[发明专利]访问控制方法及装置

权利要求书

1.一种访问控制方法，其特征在于，包括：

获取访问指定数据的应用的身份识别密钥，其中，所述身份识别密钥根据所述应用的标识和从寄存器或独立的安全芯片中读取的硬件密钥生成；

根据所述身份识别密钥判断所述应用是否合法，并根据判断结果控制所述应用对所述指定数据的访问。

2.根据权利要求1所述的方法，其特征在于，根据所述身份识别密钥判断所述应用是否合法包括：

判断所述身份识别密钥对应的应用是否属于预设的应用白名单中，如果是，则确定所述应用合法。

3.根据权利要求1所述的方法，其特征在于，在判断所述身份识别密钥对应的应用是否属于预设的应用白名单中之前，还包括：

从所述寄存器或独立的安全芯片中读取RSA公钥；

用所述RSA公钥校验使用RSA私钥签名后的所述应用白名单对应的白名单数据，并用aes_cbc_128解密所述白名单数据得到所述应用白名单。

4.根据权利要求3所述的方法，其特征在于，在从所述寄存器或独立的安全芯片中读取RSA公钥之前，还包括：

对所述应用白名单经过aes_cbc_128加密，并用RSA私钥签名得到所述白名单数据；

将与所述RSA私钥对应的RSA公钥保存在所述寄存器或独立的安全芯片中。

5.根据权利要求1所述的方法，其特征在于，所述方法还包括：

对应用客户端与服务器的交互信令使用服务器的RSA公钥进行认证，其中，所述服务器的公钥保存在所述寄存器或独立的安全芯片中，所述公钥对应的服务器的私钥保存在所述服务器一侧。

6.一种访问控制装置，其特征在于，包括：

获取模块，用于获取访问指定数据的应用的身份识别密钥，其中，所述身份识别密钥根据所述应用的标识和从寄存器或独立的安全芯片中读取的硬件密钥生成；

控制模块，用于根据所述身份识别密钥判断所述应用是否合法，并根据判断结果控制所述应用对所述指定数据的访问。

7.根据权利要求6所述的装置，其特征在于，所述控制模块包括：

判断单元，用于判断所述身份识别密钥对应的应用是否属于预设的应用白名单中，如果是，则确定所述应用合法。

8.根据权利要求6所述的装置，其特征在于，所述装置还包括：

读取模块，用于从所述寄存器或独立的安全芯片中读取RSA公钥；

解密模块，用于用所述RSA公钥校验使用RSA私钥签名后的所述应用白名单对应的白名单数据，并用aes_cbc_128解密所述白名单数据得到所述应用白名单。

9.根据权利要求8所述的装置，其特征在于，所述装置还包括：

加密模块，用于对所述应用白名单经过aes_cbc_128加密，并用RSA私钥签名得到所述白名单数据；

保存模块，用于将与所述RSA私钥对应的RSA公钥保存在所述寄存器或独立的安全芯片中。

10.根据权利要求6所述的装置，其特征在于，所述装置还包括：

认证模块，用于对应用客户端与服务器的交互信令使用服务器的RSA公钥进行认证，其中，所述服务器的公钥保存在所述寄存器或独立的安全芯片中，所述公钥对应的服务器的私钥保存在所述服务器一侧。