[发明专利]一种安全访问方法、装置及系统

说明书

技术领域

本发明涉及一种数据业务技术，尤其涉及一种安全访问方法、装置及系统。

背景技术

近距离无线通讯(Near Field Communication，简称NFC)手机上的安全模块(Security Element，简称SE)芯片的访问要求高安全可控，不是所有的手机上的软件都能访问到SE，而是必须经过授权才能访问。应用程序编程接口(Application Programming Interface，简称API)无安全访问控制的情况下，手机上软件可以随意访问SE，对SE可能构成攻击伤害，例如获取SE上数据信息，探测SE上的安全密钥，给暴力破解提供入口，最终修改掉SE上数据。

发明内容

本发明的目的在于，提供一种安全访问方法、装置及系统，提高SE被手机软件访问的安全性。

为实现上述目的，根据本发明的一个方面，提供一种安全访问方法，其特征在于，包括：操作系统OS对要访问安全模块SE的主件或辅件进行认证鉴权；认证鉴权通过后，主件或辅件访问所述SE。

其中，OS对要访问安全模块SE的主件或辅件进行认证鉴权包括：所述主件或辅件将令牌Token发送到所述OS；所述OS对所述Token进行验证。

另外，OS对要访问安全模块SE的主件或辅件进行认证鉴权之前还包括：所述主件或辅件向所述OS发送Token；所述OS对所述Token进行验证，验证成功后，在注册登记表中记录所述主件或辅件的信息；OS中对要访问安全模块SE的主件或辅件进行认证鉴权包括：所述主件或辅件向所述OS发送访问请求；所述OS根据所述访问请求查询所述注册登记表，判断所述主件或辅件是否通过认证鉴权。

优选地，认证鉴权通过后还包括：所述OS为所述主件或辅件分配临时访问权限；所述主件或辅件根据所述临时访问权限调用应用程序编程接口API，通过API访问所述SE。

更优地，该方法还包括：业务平台通过主件发送安全密钥到所述SE；所述业务平台与所述SE之间交互的信令用所述安全密钥加密。

更优地，该方法还包括：主件将应用下载请求发送给所述业务平台；

业务平台将主件请求下载的应用通过安全密钥加密后，经所述主件发送给所述SE；所述SE对加密后的应用解密后，进行安装。

更优地，该方法还包括：所述业务平台根据当前下载状态，选择相应的应用数据进行加密后经所述主件发送给所述SE。

为实现上述目的，根据本发明的一个方面，提供一种安全访问方法，包括：OS根据与主件之间的唯一访问关系验证需要访问SE的是否为所述主件，如果是，则认证通过；认证通过后，所述主件访问所述SE。

优选地，该方法还包括：所述主件对要访问SE的辅件进行认证鉴权；认证鉴权通过后，所述辅件通过所述主件访问所述SE。

其中，所述主件对要访问SE的辅件进行认证鉴权包括：所述辅件将令牌Token发送到所述主件；所述主件对所述Token进行验证。

另外，OS根据与主件之间的唯一访问关系验证需要访问SE的是否为所述主件之前包括：在主件安装后，所述OS建立与所述主件之间的唯一访问关系，仅允许所述主件访问所述OS。

优选地，该方法还包括：当需要访问SE的为所述主件时，OS为所述主件分配访问权限；所述主件根据该访问权限调用API，通过API访问所述SE。

优选地，该方法还包括：认证鉴权通过后，所述主件为所述辅件分配临时访问权限；所述辅件通过所述临时访问权限访问所述主件。

更优地，该方法还包括：业务平台通过主件发送安全密钥到所述SE；所述业务平台与所述SE之间交互的信令用所述安全密钥加密。

为实现上述目的，根据本发明的另一个方面，提供一种操作系统，包括：

接收模块，用于接收主件或辅件及认证鉴权请求；认证鉴权模块，用于根据所述认证鉴权请求对所述主件或辅件进行认证鉴权；发送模块，用于将认证鉴权结果发送给所述主件或辅件。

其中，该操作系统还包括：注册登记存储模块和查询模块，其中，所述接收模块，用于接收所述主件或辅件发送的包含Token的认证鉴权请求及访问请求；所述认证鉴权模块，用于对所述Token进行验证；所述注册登记存储模块，用于在验证成功后，在注册登记表中记录所述主件或辅件的信息；查询模块，用于根据所述主件或辅件的访问请求从所述注册登记存储模块查询所述主件或辅件是否通过认证鉴权。

优选地，该操作系统还包括：权限分配模块，用于在所述主件或辅件通过认证鉴权后，为所述主件或辅件分配临时访问权限；