[发明专利]访问控制方法及装置

说明书

技术领域

本发明涉及通信领域，具体而言，涉及一种访问控制方法及装置。

背景技术

随着智能手机上的应用越来越多，很多应用都需要访问手机上的用户数据，比如社交应用需要访问通讯录、导航应用需要访问手机位置、鉴权类软件需要访问手机标识，但是往往用户并没有意识到手机的这些信息被应用读取，而且也常常发生某些应用访问一些与自身并无关联的数据，这就为信息泄露提供了机会。

目前业内对于应用访问数据的权限控制，基本采用下述方式：

A.检查应用对私密权限的访问情况，如：拨打电话、发送消息、读取联系人、读取消息、获取GPS位置、录音、拍照摄像、手机识别信息等；

B.用户对上述私密权限是否允许应用访问，进行允许或禁止的控制。

采用这种方式进行权限控制，仅仅对上述特定类别权限和数据访问进行了控制，具有局限性，不能对任意敏感的数据进行安全保护。

针对相关技术中访问数据的权限控制方式具有局限性的问题，目前尚未提出有效的解决方案。

发明内容

针对相关技术中访问数据的权限控制方式具有局限性的问题，本发明提供了一种访问控制方法及装置，以至少解决上述问题。

根据本发明的一个方面，提供了一种访问控制方法，包括：获取访问指定数据的应用的身份识别密钥，其中，所述身份识别密钥根据所述应用的标识和从寄存器或独立的安全芯片中读取的硬件密钥生成；根据所述身份识别密钥判断所述应用是否合法，并根据判断结果控制所述应用对所述指定数据的访问。

优选地，根据所述身份识别密钥判断所述应用是否合法包括：判断所述身份识别密钥对应的应用是否属于预设的应用白名单中，如果是，则确定所述应用合法。

优选地，在判断所述身份识别密钥对应的应用是否属于预设的应用白名单中之前，还包括：从所述寄存器或独立的安全芯片中读取RSA公钥；用所述RSA公钥校验使用RSA私钥签名后的所述应用白名单对应的白名单数据，并用aes_cbc_128解密所述白名单数据得到所述应用白名单。

优选地，在从所述寄存器或独立的安全芯片中读取RSA公钥之前，还包括：对所述应用白名单经过aes_cbc_128加密，并用RSA私钥签名得到所述白名单数据；将与所述RSA私钥对应的RSA公钥保存在所述寄存器或独立的安全芯片中。

优选地，所述方法还包括：对应用客户端与服务器的交互信令使用服务器的RSA公钥进行认证，其中，所述服务器的公钥保存在所述寄存器或独立的安全芯片中，所述公钥对应的服务器的私钥保存在所述服务器一侧。

根据本发明的另一方面，提供了一种访问控制装置，包括：获取模块，用于获取访问指定数据的应用的身份识别密钥，其中，所述身份识别密钥根据所述应用的标识和从寄存器或独立的安全芯片中读取的硬件密钥生成；控制模块，用于根据所述身份识别密钥判断所述应用是否合法，并根据判断结果控制所述应用对所述指定数据的访问。

优选地，所述控制模块包括：判断单元，用于判断所述身份识别密钥对应的应用是否属于预设的应用白名单中，如果是，则确定所述应用合法。

优选地，所述装置还包括：读取模块，用于从所述寄存器或独立的安全芯片中读取RSA公钥；解密模块，用于用所述RSA公钥校验使用RSA私钥签名后的所述应用白名单对应的白名单数据，并用aes_cbc_128解密所述白名单数据得到所述应用白名单。

优选地，所述装置还包括：加密模块，用于对所述应用白名单经过aes_cbc_128加密，并用RSA私钥签名得到所述白名单数据；保存模块，用于将与所述RSA私钥对应的RSA公钥保存在所述寄存器或独立的安全芯片中。

优选地，所述装置还包括：认证模块，用于对应用客户端与服务器的交互信令使用服务器的RSA公钥进行认证，其中，所述服务器的公钥保存在所述寄存器或独立的安全芯片中，所述公钥对应的服务器的私钥保存在所述服务器一侧。

通过本发明，采用获取访问指定数据的应用的身份识别密钥，其中，所述身份识别密钥根据所述应用的标识和从寄存器或独立的安全芯片中读取的硬件密钥生成；根据所述身份识别密钥判断所述应用是否合法，并根据判断结果控制所述应用对所述指定数据的访问的方式，解决了相关技术中访问数据的权限控制方式具有局限性的问题，使得对访问数据的权限控制更加灵活多样，并且安全性更高。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：