[发明专利]访问控制方法、终端、智能卡、后台服务器及存储介质

说明书

本发明提供了一种访问控制方法、终端、智能卡、后台服务器及存储介质，该访问控制方法包括：客户端应用的中间件将通过非接触通道通信连接的智能卡的卡标识信息发送至后台服务器，然后基于后台服务器返回的第一随机数生成在线认证请求而发送至智能卡，中间件接收并发送智能卡返回的第二随机数和基于第一随机数生成的卡鉴权参数至后台服务器，后台服务器对卡鉴权参数验证通过而基于第二随机数生成外部鉴权参数，然后通过中间件发送至智能卡进行外部鉴权参数的认证，在智能卡对外部鉴权参数的认证也通过时，建立客户端应用对智能卡的正常访问。通过双向认证保证了客户端应用通过非接触式通道访问智能卡的合法性，有效提升了机卡通信的安全性。

技术领域

本发明涉及移动通信技术领域，尤其涉及一种访问控制方法、终端、智能卡、后台服务器及存储介质。

背景技术

随着技术的不断演进，蓝牙(Bluetooth)通信等许多无线通信技术被集成到SIM(Subscriber Identity Module，客户识别模块)卡、USIM(Universal SubscriberIdentity Module，全球用户识别模块)卡、UIM(User Identity Module，用户识别模块)卡和SD卡(Secure Digital Memory Card，安全数字存储卡)等智能卡中，使得手机等终端可以通过蓝牙等非接触连接方式与智能卡通信，从而打通了终端与智能卡之间的机卡高速数据通道，使得智能卡不仅提供电信功能，还可以通过蓝牙等通道支持各种新的应用的下载与运行，摆脱了基带芯片和操作系统对智能卡访问的限制；另一方面，终端可通过应用程序来访问智能卡中的安全元件(SE)来完成数据加密/解密，签名/验签等安全操作，从而提升应用程序的安全性。

由于智能卡存储了越来越多的非常重要的个人化数据，因此必须向用户提供必要的手段来对智能卡中存储的数据进行访问、更新等管理，为此需要通过机卡接口进行实现，然而与普通智能卡在7816接口上的访问控制措施相比，目前应用程序通过非接触方式访问如蓝牙智能卡等智能卡时，尚不具备成熟、标准的接口来实现机卡通信，从而终端厂家只有开放终端操作系统的机卡接口，以供应用程序访问，但是在这种情况下，应用程序虽然能够很方便的访问智能卡，但是会存在很大的安全隐患，如非法应用程序通过机卡接口对智能卡发动攻击等，为此，业内亟需一种安全的访问控制策略来为应用程序对智能卡的访问提供安全保障。

发明内容

本发明提供了一种访问控制方法、终端、智能卡、后台服务器及存储介质，以解决现有技术中在应用程序通过非接触方式访问智能卡时，尚不具备成熟、标准的接口来实现机卡通信，所导致的机卡通信安全隐患较大的技术问题。

为了解决上述技术问题，本发明采用以下技术方案：

本发明提供了一种访问控制方法，该访问控制方法包括：

终端在终端上的客户端应用请求访问智能卡时，确定与客户端应用的中间件通过非接触通道通信连接的智能卡的卡标识信息，并通过中间件发送至后台服务器；

终端在中间件接收到后台服务器返回的第一随机数时，控制中间件向智能卡发送在线认证请求；在线认证请求包括客户端应用的应用标识信息以及第一随机数；

终端在中间件接收到智能卡返回的第二随机数以及基于第一随机数生成的卡鉴权参数时，控制中间件将卡鉴权参数以及第二随机数发送至后台服务器，以使后台服务器对卡鉴权参数进行认证；

终端在中间件接收到后台服务器对卡鉴权参数认证通过，而发送过来的基于第二随机数生成的外部鉴权参数时，控制中间件将外部鉴权参数发送至智能卡，以使智能卡对外部鉴权参数进行认证；

终端在中间件接收到智能卡对外部鉴权参数认证通过而发送过来的在线认证通过响应时，建立客户端应用对智能卡的正常访问。

进一步地，在建立客户端应用对智能卡的正常访问之后，还包括：

基于外部鉴权参数以及应用标识信息生成外部认证记录；