[发明专利]访问控制方法及访问控制装置

说明书

本发明公开了一种访问控制方法及访问控制装置，该方法包括：响应于接收到第一应用发送的访问通用集成电路卡UICC请求，读取UICC中的访问控制条件文件和访问控制扩展文件；其中，所述访问控制扩展文件至少用于指示是否允许已授权访问UICC的应用提供访问控制条件；根据所述访问控制条件文件和访问控制扩展文件，确定第一访问控制条件；根据所述第一访问控制条件处理所述第一应用的访问UICC请求。不仅能够实现基于UICC的访问控制，还能够实现基于已授权访问UICC的应用的访问控制，提供了更高效更灵活的访问控制机制。

技术领域

本发明涉及通信技术领域，具体涉及一种访问控制方法及访问控制装置。

背景技术

UICC(Universal Integrated Circuit Card，通用集成电路卡)是一个通用智能卡平台，其上可驻留USIM(Universal Subscriber Identity Module，用户全球识别卡)、银行卡及票务卡等多种应用。UICC安装在终端设备中，终端设备可以通过终端应用来对UICC上驻留的各种应用进行管理。UICC作为一种安全设备，终端应用访问UICC应该有必要的安全保护机制，最基本的安全保护机制就是验证终端应用是否由合法的开发者提供并且是否已被授权可以访问UICC，通常是对终端应用的证书摘要进行验证。

通常可以通过两种访问控制方式来对请求访问UICC的终端应用的证书摘要进行验证。其一是基于已被授权可以访问UICC的终端应用的访问控制，由终端设备上已被授权可以访问UICC的其他终端应用，将请求访问UICC的终端应用的证书摘要，与已获得的基准摘要(可通过预置或下载的方式获取)进行比较，确定两者是否一致，从而验证该请求访问UICC的终端应用是否为可信应用，如验证通过，则该请求访问UICC的终端应用可以通过该已被授权可以访问UICC的其他终端应用来访问UICC。其二是基于UICC的访问控制，UICC提供基准摘要(存储在访问规则文件ARF或访问规则应用ARA-M中)，终端设备需要从UICC中获取基准摘要，将请求访问UICC的终端应用的证书摘要，与从UICC中获取的基准摘要进行比较，确定两者是否一致，从而验证该请求访问UICC的终端应用是否为可信应用，如验证通过，终端设备允许该请求访问UICC的终端应用访问UICC。

在实际业务中，终端应用访问UICC的需求策略往往相对复杂，例如，基于UICC的访问控制是更为标准的方案，但终端设备可能无法普遍支持，而基于已被授权可以访问UICC的终端应用的访问控制，也许终端设备的支持度更高，但属于不太标准的方案。目前，终端设备通常仅采用其中一种访问控制方式。

因此，亟需一种更高效更灵活的访问控制机制，以便能够同时实现基于UICC的访问控制和基于已授权访问UICC的应用的访问控制。

发明内容

为此，本发明提供一种访问控制方法及访问控制装置，以解决上述不足。

为了实现上述目的，本发明第一方面提供一种访问控制方法，所述方法包括：

响应于接收到第一应用发送的访问UICC请求，读取UICC中的访问控制条件文件和访问控制扩展文件；其中，所述访问控制扩展文件至少用于指示是否允许已授权访问UICC的应用提供访问控制条件；

根据所述访问控制条件文件和访问控制扩展文件，确定第一访问控制条件；

根据所述第一访问控制条件处理所述第一应用的访问UICC请求。

在一些实施例中，所述访问控制扩展文件还用于指示是否唯一使用所述UICC提供的第二访问控制条件。

在一些实施例中，所述访问控制扩展文件包括访问控制主体扩展指示和访问控制主体优先级指示，所述访问控制主体扩展指示至少包括第一预设字段，所述第一预设字段用于指示是否允许已授权访问UICC的应用提供访问控制条件，所述访问控制主体优先级指示至少包括第二预设字段，所述第二预设字段用于指示是否唯一使用所述UICC提供的第二访问控制条件。