[发明专利]一种移动终端的访问控制方法、装置、终端及存储介质

说明书

本发明适用移动通信技术领域，提供了一种移动终端的访问控制方法、装置、终端及存储介质，该方法包括：当接收到应用程序请求访问安全元件中对应安全小程序的访问请求时，通过访问规则执行器根据预设的校验规则指令将该访问请求、访问请求的数字签名以及该小程序的应用标识码发送给访问规则主应用，当在访问规则主应用中未查找到对应的校验规则时，则从访问规则从应用根据中查找校验规则并对访问请求和数字签名进行验证，通过访问规则主应用将验证结果返回给访问规则执行器，访问规则执行器根据返回的验证结果确定应用程序是否拥有访问该小程序的权限，从而降低了访问规则冲突和为恶意者提供拒绝服务攻击的可能性，提高了访问安全元件的安全性。

技术领域

本发明属于移动通信技术领域，尤其涉及一种移动终端的访问控制方法、装置、终端及存储介质。

背景技术

随着移动互联网的发展，移动支付如今已经成为人们用于支付的常用方式，市场上关于移动支付的应用程序(App)也是多种多样，例如，苹果的APPLE PAY、华为的华为PAY、小米的米PAY、移动公交一卡通、手机电子钱包以及银联的云闪付等，然而，移动支付应用程序的支付安全问题、支付缓慢或卡顿问题已成为了人们关注的焦点，而基于安全元件(Secure Element，简称SE)的移动支付不仅在便携性上有很好的体现，在交易安全性上也得到了较好的保障。

一般而言，移动终端都会有相应的应用程序(App)去访问移动终端中安全元件里面各自小程序(Applet)的模式，而如何控制这些移动终端的应用程序只能访问安全元件里特定的小程序就成了关键所在，如果没有一种有效的访问控制方法，那移动终端的应用程序就可以无限制的访问安全元件中所有小程序，这样的访问方式存有被恶意攻击的隐患。为了解决这种访问安全问题，全球平台组织(Global Platform，简称GP)定义了一套访问规则应用(Access Rule Applet，简称ARA)标准，它主要包含访问控制执行器(AccessControl Enforcer，简称ACE)、访问规则主应用(Access Rule Applet-Master，简称ARA-M)以及访问规则从应用(Access Rule Applet-Client，简称ARA-C)三个部分，而访问控制的规则分别存放在ARA-M和ARA-C中，其中ARA-C中的规则由各应用发行商来维护管理，这样就可以让多个应用发行商独立、安全地管理安全元件中各自的小程序，但是这种运行模式在一定情况下存在为恶意者提供拒绝服务攻击(Denial of Service，简称DoS)的安全性漏洞，即有可能会出现某个恶意者拥有了对其中一个ARA-C的控制管理权限，然后恶意者就在这个ARA-C中添加可以访问其它的ARA-C或者是ARA-M的规则，那么他就可以通过读取全部规则的指令获取到其他所有应用发行商的HASH值和要访问的安全元件中小程序的身份标识(Applet Identification，简称AID)，然后再在自己的ARA-C中添加其他应用发行商的HASH值的拒绝访问规则，最终造成其他应用发行商的移动终端的应用程序无法正常访问SE的问题。

发明内容

本发明的目的在于提供一种移动终端的访问控制方法、装置、终端及存储介质，旨在解决由于现有技术无法提供一种有效的移动终端的访问控制方法，导致移动终端的访问控制不精确、安全性降低的问题。

一方面，本发明提供了一种移动终端的访问控制方法，所述方法包括下述步骤：

当接收到应用程序请求访问安全元件中对应安全小程序的访问请求时，使用预先生成的私钥对所述访问请求进行签名，得到所述访问请求的数字签名；

将所述访问请求、所述数字签名以及所述对应安全小程序的应用标识码发送给访问规则执行器；

根据预先设置的校验规则指令，控制所述访问规则执行器将接收到的所述访问请求、所述数字签名以及所述应用标识码发送给访问规则主应用；