[发明专利]一种Java卡的应用身份验证方法及验证系统

说明书

本发明公开了一种Java卡的应用身份验证方法，包括：第一应用发送第一通信信息至JCRE；所述JCRE对所述第一应用进行正向身份验证；所述JCRE发送第二通信信息至所述第二应用，所述第二通信信息包括所述第一应用的应用信息以及所述共享接口引用请求；所述第二应用根据所述应用信息判断所述第一应用是否具有共享接口引用权限；所述第二应用发送第三通信信息至所述JCRE，所述第三通信信息包括共享接口确认信息；所述JCRE发送所述第三通信信息至所述第一应用。本发明还公开了一种系统，用于实现上述方法。本发明实施例可增强应用身份验证可靠性，保障用户信息安全。

技术领域

本发明涉及通信领域，尤其涉及一种Java卡的应用身份验证方法及验证系统。

背景技术

智能卡(Smart Card)是一种带有微型处理器和存储器芯片的微型集成电路卡片，具有运算能力和信息存储功能。智能卡包括传统的智能卡和Java智能卡，与传统卡片相比，Java智能卡不仅具有平台无关性，更重要的是支持一卡多应用，且具有更高的安全性。

Java卡的出现使得一卡多应用成为可能。在同一张卡片上安装来自不同领域的应用，带来的是应用之间的数据安全问题。Java卡设计规范中定义了防火墙来对不同的应用之间的内存空间进行隔离和访问控制。默认情况下，一个应用不能访问其他应用的方法、属性，即使其方法和属性是Public。但由于业务需要，应用间难免会有需要互相调用的情况，比如支付应用，在支付环节发送验证码验证用户信息时，需要调用短信应用程序。因此，Java卡防火墙提供一套用于不同应用程序之间数据共享的机制。主要实现方式是提供共享服务的应用程序通过继承指定接口程序，可为其他应用程序提供数据。共享机制的具体流程如下描述：

1.应用程序应用B定义了一个共享接口SI，并在SI中定义将要被其他应用所访问的方法，用一个类C来实现该SI；

2.应用程序应用A要调用应用B中的某个方法，需要通过调用系统获取SI对象的方法，向JCRE(Java card run-time environment,Java卡运行时环境)请求应用B的共享接口对象引用；

3.JCRE接收到请求后，查找内部应用注册表，找到应用B，将应用A的请求以Java卡API中的函数getShareAbleInterface(AID,PARA)的方法发送给B；

4.应用B接到请求后，判断是否与A进行共享，如果同意，则返回一个共享接口对象的引用给JCRE，再转发给应用A。

可以发现，JCRE是通过AID(application identifier，应用标识)直接查找应用A和应用B的引用信息，且应用B是通过AID来判断对方的身份，这带来的安全隐患是：如果恶意应用设置了一个与A相同的AID，那么就可以实现对应用B的方法或数据的访问。若仅仅只是靠AID来验证，那安全系数比较低。考虑Java卡在安装应用时，AID应该是唯一的，即当卡片中已经存在一个应用A，那么不可能再安装一个AID与A相同的应用。然而，Java卡上的应用是可以被某些攻击进行反编译的，反编译时可以获得应用A的AID,然后再将应用A从卡片内删除，重新安装一个具有A的AID的恶意应用，这样就可以通过共享接口非法来获取应用B的数据。

发明内容

本发明实施例提供一种Java卡的应用身份验证方法及验证系统，以解决现有技术中，Java卡上多个应用进行共享时，应用验证可靠性低，信息安全性差的问题。

第一方面，本发明实施例提供了一种Java卡的应用身份认证方法，应用于Java卡，包括：

第一应用发送第一通信信息至JCRE，所述第一通信信息包括以第二应用为对象的共享接口引用请求；

所述JCRE按预设步骤对所述第一应用进行正向身份验证；