技術領域

本發明涉及通信技術，尤其是一種機卡接口的安全訪問控制方法與系統、手機終端。

背景技術

機卡接口是指手機終端（也稱為：移動終端或手機）與智能卡之間的通信接口，用于實現手機終端對于智能卡存儲數據的訪問。其中的智能卡例如用戶身份識別卡（subscriber identity module，SIM卡）。

隨著移動互聯網及無線射頻識別（radio frequency identification devices，RFID）技術的發展，智能卡由于具有安全數據存儲及RFID能力，因此在移動互聯網應用中發揮著越來越重要的作用，可廣泛應用于移動遠程支付、近場支付、移動辦公、移動電子商務等業務中。

由于智能卡存儲了越來越多的非常重要的個人化數據，在RFID、遠程支付等業務領域有越來越廣泛的應用，因此必須向用戶提供必要的手段對智能卡中存儲的數據進行訪問、更新等管理，為此需要通過機卡接口進行實現。例如，在目前最熱門的移動支付應用上，應用方希望能夠通過客戶端應用軟件（也稱為：客戶端應用軟件程序）方式對SIM卡上的RFID錢包進行管理，查詢錢包余額、交易記錄、空中充值等。再如，在手機銀行領域的應用上，銀行方希望能夠將SIM卡實現類似于U盾（也稱為：數字證書USBkey）的功能，在SIM卡上存儲數字證書，并通過手機客戶端應用軟件與SIM卡之間的交互，完成用戶的帳戶管理及安全支付。

目前基于安全性差及缺乏相關應用等原因，手機終端所支持的對SIM卡的訪問接口非常有限，只能提供短信、電話本、用戶識別應用發展工具（SIM Card Tool Kit，STK）、部分通信數據訪問等接口給應用軟件進行調用。目前一般訪問SIM卡的手機終端都是通過STK菜單的形式進行訪問，客戶端應用軟件目前不具備成熟、標準、通用的接口能夠實現機卡通信，因此只能通過STK菜單應用方式完成以短信方式與用戶身份認證系統（即：后臺系統）進行通信，導致用戶界面不友好、與用戶身份認證系統通信不實時等問題，難以滿足業務發展需要。

為此，需要手機終端廠家開放手機終端操作系統的機卡接口，提供新的更為通用和標準化的機卡接口通道供客戶端應用程序訪問，使得應用程序可以象使用標準的SIM卡讀卡器一樣，向SIM卡發送ISO7816協議規定的任意的應用協議數據單元（Application Protocol Data Unit，APDU）指令，實現對SIM卡存儲數據的訪問，從而完成各種業務功能。目前國際SIM卡聯盟（SIMalliance）和第三代合作伙伴項目（the 3rd Generation Partnership Project，3GPP）組織等都在研究相關的接口規范。

但如果機卡接口開放，客戶端應用軟件在能夠很方便的訪問SIM卡的同時，也會帶來安全隱患。如果一些非法客戶端應用軟件通過機卡接口對SIM卡發動攻擊，例如，多次嘗試錯誤的私人密碼（Personal Identification Number，PIN）碼會導致SIM卡被鎖，或者試圖破解SIM上用戶的敏感數據等。為此，必須制定必要的安全訪問策略，限制客戶端應用軟件對機終端的卡接口的訪問。

發明內容

本發明實施例所要解決的一個技術問題是：針對機卡接口開放后可能出現的安全隱患，提供一種機卡接口的安全訪問控制方法與系統、手機終端，使得客戶端應用軟件既能夠利用機卡接口提供的便利實現對SIM卡的訪問，同時又能夠保證SIM卡上存儲數據的安全性。

本發明實施例的一個方面，提供的一種機卡接口的安全訪問控制方法，包括：

客戶端應用軟件需要調用機卡接口訪問用戶身份識別單元中的應用時，安全應用中間件單元截獲客戶端應用軟件發送的訪問請求，該訪問請求中包括所述客戶端應用軟件的個性化參數的數字簽名信息與用于唯一標識所述應用的應用標識AID，所述個性化參數包括客戶端應用軟件的名稱與唯一標識所述客戶端應用軟件的軟件標識ID；其中，所述數字簽名信息包括由一個預先申請的數字證書包括的公私密鑰對中的私鑰對客戶端應用軟件的個性化參數進行數字簽名得到的加密數據與所述個性化參數；

安全應用中間件單元從所述用戶身份識別單元中讀取所述公私密鑰對中的公鑰，并利用所述公鑰對所述數字簽名信息中的加密數據進行解密；

安全應用中間件單元比較解密得到的個性化參數與所述數字簽名信息中直接攜帶的個性化參數是否一致；