技術領域

本發明涉及通信領域，具體而言，涉及一種應用于智能移動終端的訪問控制方法及裝置。

背景技術

隨著智能手機的普及(尤其以android平臺為主)，智能手機平臺的應用也逐漸豐富。近年來，基于NFC手機支付(Mobile?NFC?Payment)儼然成為繼卡支付和網絡支付之后的又一個支付方式新寵。

然而，隨著手機移動支付方式的普及，其安全性也成為該項應用能被廣泛采用的一項關鍵技術。在手機支付領域，其應用一部分依賴于手機硬件設備，而另一部分則依賴于SE(Secure?Element，簡稱為SE)訪問(access?control)機制的安全性。手機側SE訪問APIs的正常運作，首先需要操作系統支持手機應用側與SE側的應用之間的數據交換；其次為了保證訪問APIs的安全性，很有必要提供一套安全訪問機制，以提高訪問SE模塊的安全性。

發明內容

本發明提供了一種訪問控制方法及裝置，以至少解決現有的智能手機平臺中訪問控制的安全性問題。

根據本發明的一個方面，提供了一種訪問控制方法，應用于智能移動終端中，包括：檢索欲訪問安全單元SE應用的終端應用程序的簽名證書；根據簽名證書和證書文件確認應用程序訪問SE應用的權限，其中，證書文件是從SE中獲取的；根據訪問SE應用的權限，控制應用程序對SE應用的訪問。

優選地，檢索欲訪問安全單元SE應用的終端應用程序的簽名證書之前，還包括：提示用戶輸入密碼，并判斷所輸入的密碼是否正確，如果密碼不正確，則結束終端應用程序。

優選地，檢索欲訪問安全單元SE應用的終端應用程序的簽名證書之前，還包括：在終端開機或應用程序啟動時，從SE中讀取證書文件并保存在終端的訪問控制數據庫中。

優選地，如果證書文件的長度大于閾值m字節，則通過設置偏移量分段讀取證書文件，具體包括：計算需要分段讀取證書文件的次數n，其中，每次最多讀取m字節；分n次讀取證書文件，其中第i次讀取時的偏移量為m×(i-1)字節，i為讀取次數；將n次讀取結果依次存儲在一個字符串中，并將字符串轉換為字節數組類型。

優選地，證書文件為PKCS#15證書文件，證書文件包括訪問SE應用的權限以及與權限對應的授權證書，其中，權限至少包括以下一種：讀取READ、更新UODATE、激活ACTIVATE和去激活DEACTIVATE。

優選地，根據簽名證書和證書文件確認應用程序訪問SE應用的權限，包括：將應用證書的簽名證書與證書文件中的授權證書進行匹配，如果匹配上，則應用程序具有與授權證書對應的訪問SE應用的權限。

根據本發明的另一方面，提供了一種訪問控制裝置，該裝置位于智能移動終端中，包括：檢索模塊，用于檢索欲訪問安全單元SE應用的終端應用程序的簽名證書；確認模塊，用于根據簽名證書和證書文件確認應用程序訪問SE應用的權限，其中，證書文件是從SE中獲取的；控制模塊，用于根據訪問SE應用的權限，控制應用程序對SE應用的訪問。

優選地，該裝置還包括：密碼模塊，用于提示用戶輸入密碼，并判斷所輸入的密碼是否正確，如果密碼不正確，則結束終端應用程序。

優選地，該裝置還包括：讀取模塊，用于在終端開機或應用程序啟動時，從SE中讀取證書文件并保存在終端的訪問控制數據庫中，其中，如果證書文件的長度大于閾值m字節，則讀取模塊通過設置偏移量分段讀取證書文件。

優選地，讀取模塊包括：計算單元，用于計算需要分段讀取證書文件的次數n，其中，每次最多讀取m字節；讀取單元，用于分n次讀取證書文件，其中第i次讀取時的偏移量為m×(i-1)字節，i為讀取次數；轉換單元，用于將n次讀取結果依次存儲在一個字符串中，并將字符串轉換為字節數組類型。

通過本發明，采用終端應用程序的簽名證書和從SE中獲取的證書文件來確認應用程序訪問SE應用的權限，提高了SE訪問的安全性，從而完善了原有智能手機平臺訪問控制機制的不足，提高了手機支付的安全性和實用性。

附圖說明

此處所說明的附圖用來提供對本發明的進一步理解，構成本申請的一部分，本發明的示意性實施例及其說明用于解釋本發明，并不構成對本發明的不當限定。在附圖中：

圖1是根據本發明實施例的訪問控制方法流程圖；

圖2是根據本發明實施例的訪問控制裝置框圖；

圖3是根據本發明實施例一的訪問控制裝置框圖；

圖4是根據本發明實施例二的訪問控制裝置模塊示意圖；

圖5是根據本發發明實施例的ACCF文件格式示意圖；以及