[发明专利]访问控制方法及装置

说明书

技术领域

本发明涉及通信领域，具体而言，涉及一种应用于智能移动终端的访问控制方法及装置。

背景技术

随着智能手机的普及(尤其以android平台为主)，智能手机平台的应用也逐渐丰富。近年来，基于NFC手机支付(Mobile NFC Payment)俨然成为继卡支付和网络支付之后的又一个支付方式新宠。

然而，随着手机移动支付方式的普及，其安全性也成为该项应用能被广泛采用的一项关键技术。在手机支付领域，其应用一部分依赖于手机硬件设备，而另一部分则依赖于SE(Secure Element，简称为SE)访问(access control)机制的安全性。手机侧SE访问APIs的正常运作，首先需要操作系统支持手机应用侧与SE侧的应用之间的数据交换；其次为了保证访问APIs的安全性，很有必要提供一套安全访问机制，以提高访问SE模块的安全性。

发明内容

本发明提供了一种访问控制方法及装置，以至少解决现有的智能手机平台中访问控制的安全性问题。

根据本发明的一个方面，提供了一种访问控制方法，应用于智能移动终端中，包括：检索欲访问安全单元SE应用的终端应用程序的签名证书；根据签名证书和证书文件确认应用程序访问SE应用的权限，其中，证书文件是从SE中获取的；根据访问SE应用的权限，控制应用程序对SE应用的访问。

优选地，检索欲访问安全单元SE应用的终端应用程序的签名证书之前，还包括：提示用户输入密码，并判断所输入的密码是否正确，如果密码不正确，则结束终端应用程序。

优选地，检索欲访问安全单元SE应用的终端应用程序的签名证书之前，还包括：在终端开机或应用程序启动时，从SE中读取证书文件并保存在终端的访问控制数据库中。

优选地，如果证书文件的长度大于阈值m字节，则通过设置偏移量分段读取证书文件，具体包括：计算需要分段读取证书文件的次数n，其中，每次最多读取m字节；分n次读取证书文件，其中第i次读取时的偏移量为m×(i-1)字节，i为读取次数；将n次读取结果依次存储在一个字符串中，并将字符串转换为字节数组类型。

优选地，证书文件为PKCS#15证书文件，证书文件包括访问SE应用的权限以及与权限对应的授权证书，其中，权限至少包括以下一种：读取READ、更新UODATE、激活ACTIVATE和去激活DEACTIVATE。

优选地，根据签名证书和证书文件确认应用程序访问SE应用的权限，包括：将应用证书的签名证书与证书文件中的授权证书进行匹配，如果匹配上，则应用程序具有与授权证书对应的访问SE应用的权限。

根据本发明的另一方面，提供了一种访问控制装置，该装置位于智能移动终端中，包括：检索模块，用于检索欲访问安全单元SE应用的终端应用程序的签名证书；确认模块，用于根据签名证书和证书文件确认应用程序访问SE应用的权限，其中，证书文件是从SE中获取的；控制模块，用于根据访问SE应用的权限，控制应用程序对SE应用的访问。

优选地，该装置还包括：密码模块，用于提示用户输入密码，并判断所输入的密码是否正确，如果密码不正确，则结束终端应用程序。

优选地，该装置还包括：读取模块，用于在终端开机或应用程序启动时，从SE中读取证书文件并保存在终端的访问控制数据库中，其中，如果证书文件的长度大于阈值m字节，则读取模块通过设置偏移量分段读取证书文件。

优选地，读取模块包括：计算单元，用于计算需要分段读取证书文件的次数n，其中，每次最多读取m字节；读取单元，用于分n次读取证书文件，其中第i次读取时的偏移量为m×(i-1)字节，i为读取次数；转换单元，用于将n次读取结果依次存储在一个字符串中，并将字符串转换为字节数组类型。

通过本发明，采用终端应用程序的签名证书和从SE中获取的证书文件来确认应用程序访问SE应用的权限，提高了SE访问的安全性，从而完善了原有智能手机平台访问控制机制的不足，提高了手机支付的安全性和实用性。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是根据本发明实施例的访问控制方法流程图；

图2是根据本发明实施例的访问控制装置框图；

图3是根据本发明实施例一的访问控制装置框图；

图4是根据本发明实施例二的访问控制装置模块示意图；

图5是根据本发发明实施例的ACCF文件格式示意图；以及