技术领域
[0001] 本
申请涉及计算机领域,特别的涉及一种智能卡及其文件管理方法。
背景技术
[0002] 随着移动技术的发展,智能卡产品成为目前流行的嵌入式产品之一,广泛应用于电信、金融、卫生医疗、社会保障等与人们生活紧密相关的行业。随着多种多样的市场需求不断涌现,一张卡片同时搭载多个应用的业务模型开始出现,对运营商而言这种多应用卡能够显著降低卡片的发行成本,因此正逐渐成为智能卡产品发展的主流方向。
[0003] 现有的移动设备,对于应用进行区分,分为可信应用和非可信应用,将可信应用通常存储在智能卡中,同时使用不同的管理权限对可信应用和非可信应用进行管理,但是对于移动设备内的文件并未进行区分性管理,从而无法保障文件的安全性。
发明内容
[0004] 本申请
请求保护一种智能卡及其文件管理方法,从而解决
现有技术中存在的上述问题。
[0005] 本申请提供一种智能卡文件管理方法,包括如下步骤:响应于用户或可信应用对加密业务数据文件的
访问,查询安全芯片中存储的加密业务数据文件表,判断用户或可信应用是否有访问权限;当判断有访问权限时,从加密业务数据文件的文件头获得创建时间信息,判断用户或可信应用是否获得授权;如果具有授权,则允许用户或可信应用访问该加密业务数据文件。
[0006] 优选的,将文件划分为加密业务数据文件和通用业务数据文件;将加密业务数据文件保存到安全
数据库中。
[0007] 优选的,其中加密业务数据文件表内存储用户和可信应用可访问的文件类型。
[0008] 优选的,其中安全芯片中存储用户或可信应用的密钥信息,加密业务数据文件的文件头中存储密钥信息,二者均对创建时间信息进行加密后,比较结果,如果一致就认为有授权。
[0009] 优选的,其中当用户或可信应用访问通用业务数据文件时,将通用数据文件加入到安全数据库中,加入时,在通用数据文件中增加文件头,存储密钥,创建时间,文件类型信息。
[0010] 本申请还保护一种智能卡,包括如下部件:安全芯片,存储加密业务数据文件表和加密业务数据文件;片上处理器,响应于用户或可信应用对加密业务数据文件的访问,查询安全芯片中存储的加密业务数据文件表,判断用户或可信应用是否有访问权限,当判断有访问权限时,从加密业务数据文件的文件头获得创建时间信息,判断用户或可信应用是否获得授权,如果具有授权,则允许用户或可信应用访问该加密业务数据文件。
[0011] 优选的,加密业务数据文件保存到安全数据库中,安全数据库存储在安全芯片上。
[0012] 优选的,其中加密业务数据文件表内存储用户和可信应用可访问的文件类型。
[0013] 优选的,其中安全芯片中存储用户或可信应用的密钥信息,加密业务数据文件的文件头中存储密钥信息,二者均对创建时间信息进行加密后,比较结果,如果一致就认为有授权。
[0014] 本申请还请求保护一种移动设备,包括如上所述的智能卡。
[0015] 通过本申请,可完成对于智能卡系统文件的统一管理,增强智能卡的安全性,同时由于其对片上
操作系统层进行设置,从而使得用户和应用并不
感知其存在,方便用户使用体验。
附图说明
[0016] 为了更清楚地说明本申请
实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
[0017] 图1是本申请移动设备的系统结构图;
[0018] 图2是本申请智能卡的系统结构图;
[0019] 图3是智能卡文件管理方法的方法
流程图。
具体实施方式
[0020] 下面结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0021] 本申请提出一种移动设备100,包括如下部件:
[0022] 智能卡110、
存储器120以及处理器130,其中智能卡110的结构如图2所示,包括安全芯片210、片上处理器220。安全芯片210存储加密业务数据文件表和加密业务数据文件,片上处理器220执行如图3所示的方法,进一步地,在安全芯片的片上处理器220上运行片上操作系统,在片上操作系统中设置安全校验器,连接移动设备100的操作系统的输入输出
控制器和文件系统
驱动器,由安全校验器完成下述如图2所示的方法。由于使用安全校验器对移动设备100的操作系统的输入输出控制器和文件系统驱动器进行控制,即在操作系统层对文件进行设置,从而使得用户和应用并不感知安全校验器的存在,方便用户使用体验。
[0023] 移动设备100的存储器120中存储通用数据文件,通用数据文件是指无需认证即可访问的文件,当可信应用访问通用业务数据文件时,可以选择性的将通用数据文件加入到安全数据库中,作为加密业务数据文件,在加入安全数据库时,在通用数据文件中增加文件头以便用于存储密钥、创建时间、文件类型等信息。
[0024] 移动设备的处理器130上运行用于管理移动设备的操作系统,其中操作系统包括输入输出控制器和文件系统驱动器,用以分别管理移动设备的输入输出以及文件系统。
[0025] 如图3所示,是本申请的智能卡文件管理方法,包括如下步骤:
[0026] 步骤S310、响应于用户或可信应用对加密业务数据文件的访问,查询安全芯片中存储的加密业务数据文件表,判断用户或可信应用是否有访问权限。
[0027] 用户或可信应用均可对存储在智能卡上的加密业务数据文件进行访问,当接收到对加密业务数据文建的访问请求时,查询预先存储在安全芯片中的加密业务数据文件表,判断用户或可信应用是否有访问权限。
[0028] 加密业务数据文件表中存储用户和可信应用可访问的文件类型,如下表所示:
[0029]用户或可信应用 可访问文件类型
用户A 以.doc结尾的文件
可信应用A 所有文件
可信应用B 除可执行文件之外的所有文件
[0030] 表1
[0031] 上述表1是加密业务数据文件表的示意性表格,本领域技术人员知道,可根据实际需要设计该表格,同时,表格中的各个项也可以根据实际需要增减设置。
[0032] 步骤S320、当判断有访问权限时,从加密业务数据文件的文件头获得创建时间信息,判断用户或可信应用是否获得授权;
[0033] 将移动设备中的文件划分为加密业务数据文件和通用业务数据文件,将加密业务数据文件保存到安全数据库中,保存于安全芯片中,通用业务数据文件存储在移动设备的存储器120中。
[0034] 进一步的,加密业务数据文件由文件头和文件内容两部分组成,文件头内存储文件类别信息、创建时间信息和密钥信息,文件内容中存储文件数据。
[0035] 其中当判断有访问权限时,从加密业务数据文件的文件头获得创建时间信息,判断用户或可信应用是否获得授权包括如下子步骤:
[0036] 步骤S3201、获得用户或可信应用要访问的加密业务数据文件;
[0037] 步骤S3202、从该加密业务数据文件读取其文件头;
[0038] 步骤S3203、从所述文件头获得创建时间信息和密钥信息,从安全芯片读取用户或可信应用的密钥信息,二者均对创建时间信息进行加密后,比较加密结果,如果一致,则获得授权,否则拒绝访问所述加密业务数据文件。
[0039] 其中用户或可信应用的密钥信息可存储在加密业务数据文件表中,或者安全芯片的其他
位置。
[0040] 步骤S330、如果具有授权,则允许用户或可信应用访问该加密业务数据文件。
[0041] 以上介绍了如何访问加密业务数据文件。进一步的,在用户或可信应用访问通用业务数据文件时,将通用数据文件加入到安全数据库中,加入时,在通用数据文件中增加文件头,文件头内存储密钥、创建时间、文件类型信息。通用数据文件的文件内容部分存储其原有的文件数据。通过以上步骤将通用数据文件变换为加密业务数据文件,在此的用户是授权用户,具有将通用数据文件变换为加密业务数据文件的权利。
[0042] 进一步,加密业务数据文件中存储的密钥是其可访问的用户和可信应用的密钥以相同的方式生成的密钥。
[0043] 对应于本申请的方法,本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质上存储有
计算机程序,该计算机程序被处理器运行时执行上述安全控制的方法的步骤。
[0044] 具体地,该存储介质能够为通用的存储介质,如移动磁盘、
硬盘等,该存储介质上的计算机程序被运行时,能够执行上述在线签发eSIM证书的方法。
[0045] 在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信
接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
[0046] 所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
[0047] 另外,在本申请提供的实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
[0048] 所述功能如果以
软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,
服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、
只读存储器(ROM,Read-Only Memory)、
随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
[0049] 应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释,此外,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
[0050] 最后应说明的是:以上所述实施例,仅为本申请的具体实施方式,用以说明本申请的技术方案,而非对其限制,本申请的保护范围并不局限于此,尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉
本技术领域的技术人员在本申请揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行
修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本申请实施例技术方案的精神和范围。都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以
权利要求的保护范围为准。
