[发明专利]访问安全元件的方法、终端及计算机可读存储介质

摘要

本发明实施例提供了访问安全元件的方法、终端及计算机可读存储介质。该方法包括：接收终端应用通过终端的REE系统提供的接口发送访问安全元件的第一访问指令；通过所述REE系统中的通信应用获取终端应用的签名证书的哈希值，结合哈希值和第一访问指令生成第二访问指令；通过终端的TEE系统中的可信应用接收第二访问指令，解析第二访问指令以获取哈希值；从安全元件中获取终端应用对应的预存哈希值，判断哈希值与预存哈希值是否一致；若是，则控制可信应用将第二访问指令还原为第一访问指令并将第一访问指令发送至安全元件。本发明通过在TEE环境中验证终端应用的合法性来提高访问安全元件的安全性。 1

主权项

1.一种访问安全元件的方法，其特征在于，包括：

接收终端应用通过终端的REE系统提供的接口发送访问安全元件的第一访问指令；

通过所述REE系统中的通信应用获取所述终端应用的签名证书的哈希值，结合所述哈希值和所述第一访问指令生成第二访问指令；

通过终端的TEE系统中的可信应用接收所述第二访问指令，解析所述第二访问指令以获取所述哈希值；

从所述安全元件中获取所述终端应用对应的预存哈希值，判断所述哈希值与所述预存哈希值是否一致；

若是，则控制所述可信应用将所述第二访问指令还原为所述第一访问指令并将所述第一访问指令发送至所述安全元件。

2.根据权利要求1所述的方法，其特征在于，所述第一访问指令与所述第二访问指令均为TLV格式。

3.根据权利要求2所述的方法，其特征在于，所述结合所述哈希值和所述第一访问指令生成第二访问指令，包括：

获取所述哈希值的长度；

将所述哈希值拼接至所述第一访问指令的末尾且根据所述哈希值的长度修改所述第一访问指令的长度值，以形成所述第二访问指令。

4.根据权利要求3所述的方法，其特征在于，解析所述第二访问指令获取所述哈希值，包括：

从所述第二访问指令的末尾获取所述长度的信息，确定所述信息为所述哈希值。

5.根据权利要求3所述的方法，其特征在于，将所述第二访问指令还原为所述第一访问指令，包括：

在所述第二访问指令的末尾去除所述长度的信息且根据所述长度修改所述第二访问指令的长度值，以形成所述第一访问指令。

6.根据权利要求1所述的方法，其特征在于，所述控制所述可信应用将所述第二访问指令还原为所述第一访问指令并将所述第一访问指令发送至所述安全元件之前，还包括：

获取所述可信应用的UUID，并从所述安全元件中获取可用于与该安全元件通信的应用的预存UUID，判断所述可信应用的UUID与所述预设UUID是否一致；

若是，则控制所述可信单元执行所述将所述第二访问指令还原为所述第一访问指令并将所述第一访问指令发送至所述安全元件的步骤。

7.根据权利要求1所述的方法，其特征在于，所述将所述第一访问指令发送至所述安全元件之后，还包括：

控制所述安全元件处理所述第一访问指令，并向所述终端应用返回处理结果。

8.一种终端，其特征在于，包括用于执行如权利要求1‑7任一项权利要求所述的方法的单元。

9.一种终端，其特征在于，包括处理器、输入设备、输出设备和存储器，所述处理器、输入设备、输出设备和存储器相互连接，其中，所述存储器用于存储应用程序代码，所述处理器被配置用于调用所述程序代码，执行如权利要求1‑7任一项所述的方法。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令当被处理器执行时使所述处理器执行如权利要求1‑7任一项所述的方法。