近場通信安全控制方法、移動終端及計算機可讀存儲介質與流程

2023-05-31 10:13:46 1

本發明涉及移動終端
技術領域：
：，具體涉及一種近場通信安全控制方法、移動終端及計算機可讀存儲介質。
背景技術：
：：nfc(nearfieldcommunication，近場通信)是一種短距高頻的無線電技術，允許電子設備之間進行非接觸式點對點數據傳輸交換數據，由rfid(radiofrequencyidentification，非接觸式射頻識別)演變而來。nfc工作頻率為13.56hz，有效範圍為20cm以內，其傳輸速度有106kbit/秒、212kbit/秒或者424kbit/秒三種。nfc有3種工作模式：讀卡器模式、點對點模式、卡模擬模式。移動終端在配置nfc控制器，且nfc控制器工作於讀卡器模式時，移動終端可通過nfc控制器產生射頻場，從外部採用相同標準的nfc卡片中讀寫數據，例如，用戶可通過手機對「深圳通」卡的信息進行讀取，並進行充值等操作。然而，由於nfc的低門檻，不法分子能夠自行製造nfc卡片，並將木馬程序或者其他危險代碼寫入到nfc卡片中，若該nfc卡片被用戶操作移動終端讀取，nfc卡片寫入的木馬程序或危險代碼將被植入到用戶的移動終端，導致用戶數據被竊取或破壞。技術實現要素：本發明提供一種近場通信安全控制方法、移動終端及計算機可讀存儲介質，旨在提升移動終端進行近場通信交互時的安全性。為實現上述發明目的，本發明提供一種近場通信安全控制方法，該近場通信安全控制方法包括：在啟動安全讀取模式時，將近場通信控制器讀取數據的傳輸路徑，重定向到可信執行環境中的預設緩存區；通過所述可信執行環境的預設可信應用，基於所述近場通信控制器將近場通信卡片的第一身份標識讀取到所述預設緩存區中，並基於所述第一身份標識，對所述近場通信卡片進行安全校驗；在所述近場通信卡片通過安全校驗時，設置普通執行環境中對應所述近場通信卡片的近場通信應用可訪問所述預設可信應用，以供所述近場通信應用通過所述預設可信應用訪問所述近場通信卡片。可選地，所述近場通信應用為票務應用，設置所述近場通信應用可訪問所述預設可信應用的步驟之後，還包括：通過預設可信應用將近場通信卡片攜帶的用戶實名信息讀取到預設緩存區中，並基於用戶實名信息以及票務應用的預設票務信息生成臨時申請信息；通過所述預設可信應用與所述票務應用之間的訪問通道，將所述臨時申請信息傳輸至所述票務應用，以供所述票務應用完成實名購票。可選地，通過預設可信應用讀取第一身份標識的步驟包括：按照預設頻率，對所述預設可信應用進行預設次數的調用，以指示所述預設可信應用讀取所述近場通信卡片的第一身份標識。可選地，所述基於所述第一身份標識，通過所述預設可信應用對所述近場通信卡片進行安全校驗的步驟之後，還包括：在所述近場通信卡片未通過安全校驗時，輸出所述近場通信卡片不安全的第一提示信息。可選地，所述在啟動安全讀取模式時，將近場通信控制器讀取數據的傳輸路徑，重定向到可信執行環境中的預設緩存區的步驟之前，還包括：在接收到用戶的安全讀取模式啟動操作時，啟動安全讀取模式。可選地，所述啟動安全讀取模式之前，還包括：在接收到用戶的安全讀取模式啟動操作時，顯示預設鑑權界面，以供用戶輸入鑑權數據；基於顯示的所述預設鑑權界面接收用戶輸入的鑑權數據，並基於所述鑑權數據進行用戶身份認證；在用戶身份認證通過之後，啟動安全讀取模式。可選地，設置所述近場通信應用可訪問所述預設可信應用的步驟之前，還包括：在所述近場通信卡片通過安全校驗時，通過所述預設可信應用讀取所述近場通信應用的第二身份標識到所述預設緩存區中；基於所述第二身份標識，通過所述預設可信應用對所述近場通信應用進行安全校驗；在所述近場通信應用通過安全校驗時，設置所述近場通信應用可訪問所述預設可信應用。可選地，所述基於所述第二身份標識，通過所述預設可信應用對所述近場通信應用進行安全校驗的步驟之後，還包括：在所述近場通信應用未通過安全校驗時，輸出所述近場通信應用不安全的第二提示信息。進一步地，本發明還提供一種移動終端，該移動終端包括：存儲有近場通信安全控制程序的存儲器；處理器，配置為執行所述近場通信安全控制程序以實現如下步驟：在啟動安全讀取模式時，將近場通信控制器讀取數據的傳輸路徑，重定向到可信執行環境中的預設緩存區；通過所述可信執行環境的預設可信應用，基於所述近場通信控制器將近場通信卡片的第一身份標識讀取到所述預設緩存區中，並基於所述第一身份標識，對所述近場通信卡片進行安全校驗；在所述近場通信卡片通過安全校驗時，設置普通執行環境中對應所述近場通信卡片的近場通信應用可訪問所述預設可信應用，以供所述近場通信應用通過所述預設可信應用訪問所述近場通信卡片。進一步地，本發明還提供一種計算機可讀存儲介質，該計算機可讀存儲介質上存儲有近場通信安全控制程序，所述近場通信安全控制程序被處理器執行時實現如下步驟：在啟動安全讀取模式時，將近場通信控制器讀取數據的傳輸路徑，重定向到可信執行環境中的預設緩存區；通過所述可信執行環境的預設可信應用，基於所述近場通信控制器將近場通信卡片的第一身份標識讀取到所述預設緩存區中，並基於所述第一身份標識，對所述近場通信卡片進行安全校驗；在所述近場通信卡片通過安全校驗時，設置普通執行環境中對應所述近場通信卡片的近場通信應用可訪問所述預設可信應用，以供所述近場通信應用通過所述預設可信應用訪問所述近場通信卡片。本發明提出的近場通信安全控制方法，結合近場通信的讀取功能，以及和普通執行環境環境隔離的可信執行環境，將近場通信控制器讀取數據的傳輸路徑重定向到可信執行環境中的預設緩存區，並通過可信執行環境中的預設可信應用對近場通信卡片進行安全檢驗，在且僅在近場通信卡片通過安全檢驗時，設置普通執行環境中對應近場通信卡片的近場通信應用可訪問預設可信應用，以供近場通信應用通過預設可信應用訪問近場通信卡片，達到提升移動終端進行近場通信交互時的安全性的目的。附圖說明圖1為實現本發明各個實施例一可選的一個移動終端的硬體結構示意圖；圖2為如圖1所示的移動終端的一種通信網絡系統架構圖；圖3為本發明近場通信安全控制方法第一實施例的流程示意圖；圖4為本發明近場通信安全控制方法第一實施例中讀取近場通信卡片的的操作示例圖；圖5為本發明近場通信安全控制方法第三實施例中觸發安全讀取模式啟動操作的控制項的示例圖；圖6為本發明近場通信安全控制方法第三實施例中的一種鑑權界面示例圖；圖7為本發明近場通信安全控制方法第三實施例中的用戶輸入的鑑權數據的示例圖。具體實施方式應當理解，此處所描述的具體實施例僅僅用以解釋本發明，並不用於限定本發明。在後續的描述中，使用用於表示元件的諸如「模塊」、「部件」或「單元」的後綴僅為了有利於本發明的說明，其本身沒有特定的意義。因此，「模塊」、「部件」或「單元」可以混合地使用。終端可以以各種形式來實施。例如，本發明中描述的終端可以包括諸如手機、平板電腦、筆記本電腦、掌上電腦、個人數字助理(personaldigitalassistant，pda)、便捷式媒體播放器(portablemediaplayer，pmp)、導航裝置、可穿戴設備、智能手環、計步器等移動終端，以及諸如數字tv、臺式計算機等固定終端。後續描述中將以移動終端為例進行說明，本領域技術人員將理解的是，除了特別用於移動目的的元件之外，根據本發明的實施方式的構造也能夠應用於固定類型的終端。請參閱圖1，其為實現本發明各個實施例的一種移動終端的硬體結構示意圖，該移動終端100可以包括：rf(radiofrequency，射頻)單元101、wifi模塊102、音頻輸出單元103、a/v(音頻/視頻)輸入單元104、傳感器105、顯示單元106、用戶輸入單元107、接口單元108、存儲器109、處理器110、以及電源111等部件。本領域技術人員可以理解，圖1中示出的移動終端結構並不構成對移動終端的限定，移動終端可以包括比圖示更多或更少的部件，或者組合某些部件，或者不同的部件布置。下面結合圖1對移動終端的各個部件進行具體的介紹：射頻單元101可用於收發信息或通話過程中，信號的接收和發送，具體的，將基站的下行信息接收後，給處理器110處理；另外，將上行的數據發送給基站。通常，射頻單元101包括但不限於天線、至少一個放大器、收發信機、耦合器、低噪聲放大器、雙工器等。此外，射頻單元101還可以通過無線通信與網絡和其他設備通信。上述無線通信可以使用任一通信標準或協議，包括但不限於gsm(globalsystemofmobilecommunication，全球移動通訊系統)、gprs(generalpacketradioservice，通用分組無線服務)、cdma2000(codedivisionmultipleaccess2000，碼分多址2000)、wcdma(widebandcodedivisionmultipleaccess,寬帶碼分多址)、td-scdma(timedivision-synchronouscodedivisionmultipleaccess，時分同步碼分多址)、fdd-lte(frequencydivisionduplexing-longtermevolution，頻分雙工長期演進)和tdd-lte(timedivisionduplexing-longtermevolution，分時雙工長期演進)等。wifi屬於短距離無線傳輸技術，移動終端通過wifi模塊102可以幫助用戶收發電子郵件、瀏覽網頁和訪問流式媒體等，它為用戶提供了無線的寬帶網際網路訪問。雖然圖1示出了wifi模塊102，但是可以理解的是，其並不屬於移動終端的必須構成，完全可以根據需要在不改變發明的本質的範圍內而省略。音頻輸出單元103可以在移動終端100處於呼叫信號接收模式、通話模式、記錄模式、語音識別模式、廣播接收模式等等模式下時，將射頻單元101或wifi模塊102接收的或者在存儲器109中存儲的音頻數據轉換成音頻信號並且輸出為聲音。而且，音頻輸出單元103還可以提供與移動終端100執行的特定功能相關的音頻輸出(例如，呼叫信號接收聲音、消息接收聲音等等)。音頻輸出單元103可以包括揚聲器、蜂鳴器等等。a/v輸入單元104用於接收音頻或視頻信號。a/v輸入單元104可以包括圖形處理器(graphicsprocessingunit，gpu)1041和麥克風1042，圖形處理器1041對在視頻捕獲模式或圖像捕獲模式中由圖像捕獲裝置(如攝像頭)獲得的靜態圖片或視頻的圖像數據進行處理。處理後的圖像幀可以顯示在顯示單元106上。經圖形處理器1041處理後的圖像幀可以存儲在存儲器109(或其它存儲介質)中或者經由射頻單元101或wifi模塊102進行發送。麥克風1042可以在電話通話模式、記錄模式、語音識別模式等等運行模式中經由麥克風1042接收聲音(音頻數據)，並且能夠將這樣的聲音處理為音頻數據。處理後的音頻(語音)數據可以在電話通話模式的情況下轉換為可經由射頻單元101發送到移動通信基站的格式輸出。麥克風1042可以實施各種類型的噪聲消除(或抑制)算法以消除(或抑制)在接收和發送音頻信號的過程中產生的噪聲或者幹擾。移動終端100還包括至少一種傳感器105，比如光傳感器、運動傳感器以及其他傳感器。具體地，光傳感器包括環境光傳感器及接近傳感器，其中，環境光傳感器可根據環境光線的明暗來調節顯示面板1061的亮度，接近傳感器可在移動終端100移動到耳邊時，關閉顯示面板1061和/或背光。作為運動傳感器的一種，加速計傳感器可檢測各個方向上(一般為三軸)加速度的大小，靜止時可檢測出重力的大小及方向，可用於識別手機姿態的應用(比如橫豎屏切換、相關遊戲、磁力計姿態校準)、振動識別相關功能(比如計步器、敲擊)等；至於手機還可配置的指紋傳感器、壓力傳感器、虹膜傳感器、分子傳感器、陀螺儀、氣壓計、溼度計、溫度計、紅外線傳感器等其他傳感器，在此不再贅述。顯示單元106用於顯示由用戶輸入的信息或提供給用戶的信息。顯示單元106可包括顯示面板1061，可以採用液晶顯示器(liquidcrystaldisplay，lcd)、有機發光二極體(organiclight-emittingdiode,oled)等形式來配置顯示面板1061。用戶輸入單元107可用於接收輸入的數字或字符信息，以及產生與移動終端的用戶設置以及功能控制有關的鍵信號輸入。具體地，用戶輸入單元107可包括觸控面板1071以及其他輸入設備1072。觸控面板1071，也稱為觸控螢幕，可收集用戶在其上或附近的觸摸操作(比如用戶使用手指、觸筆等任何適合的物體或附件在觸控面板1071上或在觸控面板1071附近的操作)，並根據預先設定的程式驅動相應的連接裝置。觸控面板1071可包括觸摸檢測裝置和觸摸控制器兩個部分。其中，觸摸檢測裝置檢測用戶的觸摸方位，並檢測觸摸操作帶來的信號，將信號傳送給觸摸控制器；觸摸控制器從觸摸檢測裝置上接收觸摸信息，並將它轉換成觸點坐標，再送給處理器110，並能接收處理器110發來的命令並加以執行。此外，可以採用電阻式、電容式、紅外線以及表面聲波等多種類型實現觸控面板1071。除了觸控面板1071，用戶輸入單元107還可以包括其他輸入設備1072。具體地，其他輸入設備1072可以包括但不限於物理鍵盤、功能鍵(比如音量控制按鍵、開關按鍵等)、軌跡球、滑鼠、操作杆等中的一種或多種，具體此處不做限定。進一步的，觸控面板1071可覆蓋顯示面板1061，當觸控面板1071檢測到在其上或附近的觸摸操作後，傳送給處理器110以確定觸摸事件的類型，隨後處理器110根據觸摸事件的類型在顯示面板1061上提供相應的視覺輸出。雖然在圖1中，觸控面板1071與顯示面板1061是作為兩個獨立的部件來實現移動終端的輸入和輸出功能，但是在某些實施例中，可以將觸控面板1071與顯示面板1061集成而實現移動終端的輸入和輸出功能，具體此處不做限定。接口單元108用作至少一個外部裝置與移動終端100連接可以通過的接口。例如，外部裝置可以包括有線或無線頭戴式耳機埠、外部電源(或電池充電器)埠、有線或無線數據埠、存儲卡埠、用於連接具有識別模塊的裝置的埠、音頻輸入/輸出(i/o)埠、視頻i/o埠、耳機埠等等。接口單元108可以用於接收來自外部裝置的輸入(例如，數據信息、電力等等)並且將接收到的輸入傳輸到移動終端100內的一個或多個元件或者可以用於在移動終端100和外部裝置之間傳輸數據。存儲器109可用於存儲軟體程序以及各種數據。存儲器109可主要包括存儲程序區和存儲數據區，其中，存儲程序區可存儲作業系統、至少一個功能所需的應用程式(比如聲音播放功能、圖像播放功能等)等；存儲數據區可存儲根據手機的使用所創建的數據(比如音頻數據、電話本等)等。此外，存儲器109可以包括高速隨機存取存儲器，還可以包括非易失性存儲器，例如至少一個磁碟存儲器件、快閃記憶體器件、或其他易失性固態存儲器件。處理器110是移動終端的控制中心，利用各種接口和線路連接整個移動終端的各個部分，通過運行或執行存儲在存儲器109內的軟體程序和/或模塊，以及調用存儲在存儲器109內的數據，執行移動終端的各種功能和處理數據，從而對移動終端進行整體監控。處理器110可包括一個或多個處理單元；優選的，處理器110可集成應用處理器和調製解調處理器，其中，應用處理器主要處理作業系統、用戶界面和應用程式等，調製解調處理器主要處理無線通信。可以理解的是，上述調製解調處理器也可以不集成到處理器110中。近場通信(nearfieldcommunication，以下簡稱為nfc)是一種短距高頻的無線電技術，允許電子設備之間進行非接觸式點對點數據傳輸交換數據，由非接觸式射頻識別(rfid)演變而來。nfc工作頻率為13.56hz，有效範圍為20cm以內，其傳輸速度有106kbit/秒、212kbit/秒或者424kbit/秒三種。nfc有3種工作模式：讀卡器模式、點對點模式、卡模擬模式。在讀卡器模式時，nfc設備產生射頻場從外部採用相同標準的nfc標籤中讀寫數據。在點對點模式中，nfc可以與其他的nfc設備通信，進行點對點的數據傳輸。卡模擬模式中，讀卡器是主動設備，產生射頻場；nfc設備為被動設備，模擬一張符合nfc標準的非接觸式卡片與讀卡器進行交互。移動終端100通過nfc控制器111實現nfc功能，如實現nfc支付等。移動終端100還可以包括給各個部件供電的電源112(比如電池)，優選的，電源112可以通過電源管理系統與處理器110邏輯相連，從而通過電源管理系統實現管理充電、放電、以及功耗管理等功能。儘管圖1未示出，移動終端100還可以包括藍牙模塊等，在此不再贅述。為了便於理解本發明實施例，下面對本發明的移動終端所基於的通信網絡系統進行描述。請參閱圖2，圖2為本發明實施例提供的一種通信網絡系統架構圖，該通信網絡系統為通用移動通信技術的lte系統，該lte系統包括依次通訊連接的ue(userequipment，用戶設備)201，e-utran(evolvedumtsterrestrialradioaccessnetwork，演進式umts陸地無線接入網)202，epc(evolvedpacketcore，演進式分組核心網)203和運營商的ip業務204。具體地，ue201可以是上述移動終端100，此處不再贅述。e-utran202包括enodeb2021和其它enodeb2022等。其中，enodeb2021可以通過回程(backhaul)(例如x2接口)與其它enodeb2022連接，enodeb2021連接到epc203，enodeb2021可以提供ue201到epc203的接入。epc203可以包括mme(mobilitymanagemententity，移動性管理實體)2031，hss(homesubscriberserver，歸屬用戶伺服器)2032，其它mme2033，sgw(servinggateway，服務網關)2034，pgw(pdngateway，分組數據網絡網關)2035和pcrf(policyandchargingrulesfunction，政策和資費功能實體)2036等。其中，mme2031是處理ue201和epc203之間信令的控制節點，提供承載和連接管理。hss2032用於提供一些寄存器來管理諸如歸屬位置寄存器(圖中未示)之類的功能，並且保存有一些有關服務特徵、數據速率等用戶專用的信息。所有用戶數據都可以通過sgw2034進行發送，pgw2035可以提供ue201的ip地址分配以及其它功能，pcrf2036是業務數據流和ip承載資源的策略與計費控制策略決策點，它為策略與計費執行功能單元(圖中未示)選擇及提供可用的策略和計費控制決策。ip業務204可以包括網際網路、內聯網、ims(ipmultimediasubsystem，ip多媒體子系統)或其它ip業務等。雖然上述以lte系統為例進行了介紹，但本領域技術人員應當知曉，本發明不僅僅適用於lte系統，也可以適用於其他無線通信系統，例如gsm、cdma2000、wcdma、td-scdma以及未來新的網絡系統等，此處不做限定。基於上述移動終端硬體結構以及通信網絡系統，提出本發明移動終端的各個實施例。參照圖1，在本發明移動終端的第一實施例中，該移動終端包括：存儲有nfc安全控制程序的存儲器109；處理器110，配置為執行存儲器109中存儲的nfc安全控制程序以實現以下操作：在啟動安全讀取模式時，將nfc控制器111讀取數據的傳輸路徑，重定向到可信執行環境中的預設緩存區；通過可信執行環境的預設可信應用，基於nfc控制器111將nfc卡片的第一身份標識讀取到預設緩存區中，並基於第一身份標識，對nfc卡片進行安全校驗；在nfc卡片通過安全校驗時，設置普通執行環境中對應nfc卡片的nfc應用可訪問預設可信應用，以供該nfc應用通過前述預設可信應用訪問nfc卡片。進一步地，前述nfc應用為票務應用，處理器110執行存儲器109中儲存的nfc安全控制程序時，還執行以下操作：通過預設可信應用將nfc卡片攜帶的用戶實名信息讀取到預設緩存區中，並基於用戶實名信息以及票務應用的預設票務信息生成臨時申請信息；通過預設可信應用與票務應用之間的訪問通道，將臨時申請信息傳輸至票務應用，以供票務應用完成實名購票。進一步地，處理器110執行存儲器109中儲存的nfc安全控制程序時，還執行以下操作：按照預設頻率，對預設可信應用進行預設次數的調用，以指示預設可信應用讀取nfc卡片的第一身份標識。進一步地，處理器110執行存儲器109中儲存的nfc安全控制程序時，還執行以下操作：在nfc卡片未通過安全校驗時，輸出nfc卡片不安全的第一提示信息。進一步地，處理器110執行存儲器109中儲存的nfc安全控制程序時，還執行以下操作：在接收到用戶的安全讀取模式啟動操作時，啟動安全讀取模式。進一步地，處理器110執行存儲器109中儲存的nfc安全控制程序時，還執行以下操作：在接收到用戶的安全讀取模式啟動操作時，顯示預設鑑權界面，以供用戶輸入鑑權數據；基於顯示的預設鑑權界面接收用戶輸入的鑑權數據，並基於鑑權數據進行用戶身份認證；在用戶身份認證通過之後，啟動安全讀取模式。進一步地，處理器110執行存儲器109中儲存的nfc安全控制程序時，還執行以下操作：通過預設可信應用讀取nfc應用的第二身份標識到預設緩存區中；基於第二身份標識，通過預設可信應用對nfc應用進行安全校驗；在nfc應用通過安全校驗時，設置nfc應用可訪問預設可信應用。進一步地，處理器110執行存儲器109中儲存的nfc安全控制程序時，還執行以下操作：在nfc應用未通過安全校驗時，輸出nfc應用不安全的第二提示信息。進一步的，本發明還提供一種nfc安全控制方法，應用於移動終端，參照圖3，在本發明近場通信安全控制方法的第一實施例中，該近場通信安全控制方法包括：步驟s10，在啟動安全讀取模式時，將nfc控制器111讀取數據的傳輸路徑，重定向到可信執行環境中的預設緩存區；步驟s20，通過可信執行環境的預設可信應用，基於nfc控制器111將nfc卡片的第一身份標識讀取到預設緩存區中，並基於第一身份標識，對nfc卡片進行安全校驗；步驟s30，在nfc卡片通過安全校驗時，設置普通執行環境中對應nfc卡片的nfc應用可訪問預設可信應用，以供該nfc應用通過前述預設可信應用訪問nfc卡片。為便於理解本發明方案，以下首先對本發明涉及的可信執行環境進行說明。可信執行環境(trustedexecutiveenvironment，以下簡稱為tee)是globalplatform(gp)提出的概念。針對行動裝置的開放環境，安全問題也越來越受到關注，不僅僅是終端用戶，還包括服務提供者，移動運營商，以及晶片廠商。tee是與設備上的普通執行環境(richosexecutionenvironment，或稱富系統執行環境，通常是android等，以下簡稱為ree)並存的運行環境，並且給ree提供安全服務。它具有其自身的執行空間，比ree的安全級別更高，但是比起安全元素(se，通常是智慧卡)的安全性要低一些。但是tee能夠滿足大多數應用的安全需求。從成本上看，tee提供了安全和成本的平衡。其中，tee所能訪問的軟硬體資源是與ree分離的。tee提供了授權安全軟體(或稱可信應用，以下簡稱為ta)的安全執行環境，同時也保護ta的資源和數據的保密性，完整性和訪問權限。為了保證tee本身的可信根，tee在安全啟動過程中是要通過驗證並且與ree隔離的。在tee中，每個ta是相互獨立的，而且不能在未授權的情況下不能互相訪問。gp在tee的標準化方面下足了工夫，基礎的規範有tee內部應用程式編程接口(applicationprogramminginterface，以下簡稱為api)，tee客戶端api，當然目前還有一系列的補充的功能性api規範，以及應用管理、調試功能、安全保護輪廓等規範正在制定中。其中，tee內部api主要包含了密鑰管理，密碼算法，安全存儲，安全時鐘資源和服務，還有擴展的可信ui等api。可信ui是指在關鍵信息的顯示和用戶關鍵數據(如口令)輸入時，屏幕顯示和鍵盤等硬體資源完全由tee控制和訪問，而ree中的軟體應用不能訪問。內部api是tee提供給ta的編程接口；tee客戶端api則是讓運行在ree中的客戶端應用(ca)訪問ta服務和數據的底層通信接口。基於以下關於tee的簡單介紹，下面開始對本發明方案進行說明。在本發明實施例中，提供有安全讀取模式，並在tee中設置有預設緩存區。其中，由於tee和ree的軟硬隔離，ree側的任何應用將不能直接訪問該預設緩存區。此外，對於預設緩存區的物理位置以及大小的設置，本發明不做具體限制，可由本領域技術人員根據實際需要進行設置，例如，可在存儲器109中歸屬於tee的儲存區域中劃分大小為1mb的儲存區域作為預設緩存區。在該安全讀取模式啟動時，處理器110基於本發明提供的近場通信安全控制程序實現功能，首先對nfc控制器111進行初始化，使其工作於讀卡器模式，然後將nfc控制器111讀取數據的傳輸路徑，重定向到tee中的預設緩存區。容易理解的是，在將nfc控制器111讀取數據的傳輸路徑重定向至tee中的預設緩存區中之後，nfc控制器111讀取到的任何數據將被儲存到預設緩存區中，等待處理。在完成對nfc控制器111的重定向之後，通過tee中的預設ta將nfc卡片的身份標識讀取到預設緩存區中，以下將nfc卡片的身份標識(在本實施例中，身份標識唯一標識nfc卡片，不同的nfc卡片的身份標識不同)記為第一身份標識，也即是第一身份標識為nfc卡片的身份標識。具體的，通過可信執行環境的預設可信應用，基於nfc控制器111將nfc卡片的第一身份標識讀取到預設緩存區中包括：按照預設頻率，對預設ta進行預設次數的調用，以指示預設ta讀取nfc卡片的第一身份標識。在本實施例中，對預設ta進行反覆調用，通過該反覆調用告知預設ta，nfc控制器111已經準備完成，可對nfc卡片的第一身份標識進行讀取。需要說明的是，本發明對於預設頻率以及預設次數的取值不做具體限制，可由本領域技術人員根據實際需要進行設置，例如，本發明按照5次/秒的頻率對預設ta進行5次調用，以指示預設ta讀取nfc卡片的第一身份標識。在具體實施時，如圖4所示，當用戶握持移動終端靠近nfc卡片，在移動終端與nfc卡片的間距位於nfc通信距離之內時，預設ta將通過nfc控制器111產生的射頻場，對nfc卡片攜帶的數據進行讀取，此處預設ta將讀取到nfc卡片的第一身份標識，並將讀取到的第一身份標識儲存至tee的預設緩存區中。需要說明的是，在本實施例中，nfc卡片可以是圖3所示物理形態為卡片的nfc卡片，也可以是工作在卡模擬模式的nfc設備，或者是其他形式的nfc卡片。在預設ta將nfc卡片的第一身份標識讀取到預設緩存區中之後，基於預設緩存區中的第一身份標識，通過預設ta對nfc卡片進行安全校驗，可選地，在一實施例中，預設ta包括第一身份認證規則，通過預設ta對nfc卡片進行安全校驗包括：判斷第一身份標識是否在預設ta的第一身份認證規則中，其中，在第一身份標識在預設ta的第一身份認證規則中時，確定nfc卡片通過安全校驗，否則確定nfc卡片未通過安全校驗。在具體實施時，前述第一身份認證規則可在移動終端出廠或安裝前述預設ta時，預置在前述預設ta中。前述第一身份認證規則包括可信的nfc卡片的身份標識。可選地，在一實施例中，預設ta包括約定的第一非對稱加密算法(對於採用何種非對稱加密算法，本發明不做具體限制，可由本領域技術人員根據實際需要進行選取)，在讀取nfc卡片的第一身份標識的同時，還讀取nfc卡片攜帶的第一密文(nfc卡片廠商採用約定的第一非對稱加密算法對於第一身份標識計算得到的密文)，通過預設ta對nfc卡片進行安全校驗包括：通過預設ta的第一非對稱加密算法，對讀取到的第一身份標識進行計算，得到第二密文；判斷計算的第二密文與第一密文是否匹配，其中，在二者密文匹配時確定nfc卡片通過安全校驗，否則確定nfc卡片未通過安全校驗。在預設ta返回的校驗結果為nfc卡片通過安全校驗時，設置ree中對應所述nfc卡片的nfc應用可訪問預設ta，以供前述nfc應用通過預設ta訪問nfc卡片。例如，以nfc卡片為「深圳通」為例，當通過預設ta對其進行安全校驗，且「深圳通」通過安全校驗時，設置ree中的「鵬淘應用」可訪問預設ta，從而「鵬淘應用」可通過預設ta訪問「深圳通」，通過相應的讀寫操作，實現「餘額查詢」以及「充值」等功能。進一步地，步驟s20之後，還包括：在nfc卡片未通過安全校驗時，輸出nfc卡片不安全的第一提示信息。容易理解的是，在nfc卡片未通過安全校驗時，說明nfc卡片可能是偽造的，存在一定的安全風險，此時輸出提示nfc卡片不安全的第一提示信息，例如，在屏幕顯示第一提示信息「nfc卡片不安全，存在安全風險」。可選地，在一實施例中，在輸出nfc卡片不安全的第一提示信息的同時，還執行以下步驟：清除預設緩存區中的第一身份標識。本發明提出的近場通信安全控制方法，結合近場通信的讀取功能，以及和普通執行環境環境隔離的可信執行環境，將近場通信控制器讀取數據的傳輸路徑重定向到可信執行環境中的預設緩存區，並通過可信執行環境中的預設可信應用對近場通信卡片進行安全檢驗，在且僅在近場通信卡片通過安全檢驗時，設置普通執行環境中對應近場通信卡片的近場通信應用可訪問預設可信應用，以供近場通信應用通過預設可信應用訪問近場通信卡片，達到提升移動終端進行近場通信交互時的安全性的目的。進一步地，基於第一實施例，提出本發明nfc安全控制方法的第二實施例，在本實施例中，步驟s30之後，還包括以下步驟：通過預設ta將nfc卡片攜帶的用戶實名信息讀取到預設緩存區中，並基於用戶實名信息以及票務應用的預設票務信息生成臨時申請信息；通過預設ta與票務應用之間的訪問通道，將臨時申請信息傳輸至票務應用，以供票務應用完成實名購票。容易理解的是，在實際生活中，如景點、動物園、遊樂園等場所都需要進行實名購票，用戶在通過票務應用進行購票時，需要手動輸入其實名信息進行購票，操作比較繁瑣。為此，本實施例在前述第一實施例的基礎上，進一步增加了臨時申請信息的處理操作，以下僅對此進行說明，其他可參照前述實施例，此處不再贅述。在本發明實施例中，前述nfc應用為票務應用，當nfc卡片通過安全校驗，且設置票務應用可訪問預設ta之後，進一步通過預設ta對nfc卡片攜帶的用戶實名信息進行讀取，將用戶實名信息讀取到預設緩存區中。之後，基於預設ta和票務應用的訪問通道，獲取到票務應用的預設票務信息，並基於用戶實名信息以及預設票務信息生成臨時申請信息。其中，預設票務信息即用戶操作票務應用購票所需的，除實名信息之外的其他票務信息，包括但不限於購票數量、位置等；臨時申請信息由預設ta按照票務應用的購票規則生成，可理解為購票請求。在生成臨時申請信息之後，通過前述訪問通道將生成的臨時申請信息傳輸至票務應用，之後，票務應用可將該臨時申請信息傳輸至預設票務伺服器，完成實名購票。例如，nfc卡片為身份證，票務應用為「攜程應用」，用戶操作「攜程應用」購買某航班機票，並完成機票信息(如位置、艙位等)的選擇，在需要輸入實名信息時，用戶將移動終端靠近身份證。移動終端通過預設ta對身份證進行安全校驗，並在身份證通過安全校驗之後，讀取到身份證攜帶的用戶實名信息「身份證號，姓名等」，並結合用戶輸入的預設票務信息，按照「攜程應用」的購票規則，生成「攜程應用」可用的購票請求「臨時申請信息」，將「臨時申請信息」傳輸至「攜程應用」，由「攜程應用」完成機票的購買。需要說明的是，前述訪問通道即客戶端api。進一步地，在本實施例中，在票務應用完成實名購票之後，將票務應用實名購票獲得的購票憑證(如攜帶門票信息的二維碼、條形碼等)透傳至預設ta，並通過預設ta，按照gp規範，將購票憑證儲存到安全單元(如嵌入式安全單元，ese)中。在需要使用購票憑證時，將nfc控制器111配置為卡模擬模式之後，將移動終端靠近校票終端即可完成校驗，方便快捷。進一步地，基於第一實施例，提出本發明nfc安全控制方法的第三實施例，在本實施例中，步驟s10之前，還包括：在接收到用戶的安全讀取模式啟動操作時，啟動安全讀取模式。需要說明的是，本實施例在前述第一實施例的基礎上，增加了安全讀取模式的啟動操作，以下僅對此進行說明，其他可參照前述實施例，此處不再贅述。在本發明實施例中，可在移動終端的「設置」界面中增加用於開啟安全讀取模式的控制項，或者在本發明提供的近場通信安全控制程序的ui中增加用於開啟安全讀取模式的控制項，供用戶操作，已開啟安全讀取模式。例如，如圖5所示，用戶可通過滑動圖5所示圓形控制項觸發安全讀取模式啟動操作。進一步地，在本實施例中，啟動安全讀取模式之前，還包括：在接收到用戶的安全讀取模式啟動操作時，顯示預設鑑權界面，以供用戶輸入鑑權數據；基於顯示的所述預設鑑權界面接收用戶輸入的鑑權數據，並基於所述鑑權數據進行用戶身份認證；在用戶身份認證通過之後，啟動安全讀取模式。在本發明實施例中，進一步增加了對用戶的鑑權操作，具體的，在接收到用戶的安全讀取模式啟動操作時，顯示預設鑑權界面，以供用戶輸入鑑權數據，在具體實施時，通過tee的可信ui實現預設鑑權界面的顯示，從而確保屏幕顯示和鍵盤等硬體資源完全由tee控制和訪問，防止用戶輸入鑑權數據被竊取。其中，本發明對預設鑑權界面的形式不做具體限制，可由本領域技術人員根據實際需要進行設置，例如，本發明實施例採用圖6所示的九宮格鑑權界面。之後，通過顯示的預設鑑權界面接收用戶輸入的鑑權數據，並在接收到用戶輸入的鑑權數據之後，將用戶輸入的鑑權數據與預設鑑權數據進行比對，以實現用戶身份認證，其中，在二者鑑權數據一致時，確定用戶身份認證通過，否則確定用戶身份認證失敗。例如，基於圖6所示的九宮格鑑權界面，用戶繪製了圖7所示的圖案(即輸入的鑑權數據)，若該圖案與預設圖案(即預設鑑權數據，如預授權用戶繪製的鑑權圖案)相同，則確定用戶身份認證通過。在確定用戶身份認證通過之後，即可啟動安全讀取模式。進一步地，基於前述任一實施例，提出本發明nfc安全控制方法的第四實施例，在本實施例中，步驟s30之前，還包括：在nfc卡片通過安全校驗時，通過預設ta讀取前述nfc應用的第二身份標識到預設緩存區中；基於第二身份標識，通過預設ta對前述nfc應用進行安全校驗；在前述nfc應用通過安全校驗時，設置前述nfc應用可訪問預設ta。需要說明的是，本實施例在前述實施例的基礎上，進一步增加了對nfc應用的安全檢驗操作，以下僅對此進行說明，其他可參照前述實施例，此處不再贅述。在本發明實施例中，當nfc卡片通過安全校驗，且前述nfc應用的第二身份標識被讀取到預設緩存區中之後，基於預設緩存區中的第二身份標識，通過預設ta對前述nfc應用進行安全校驗。其中，第二身份標識可通過解析前述nfc應用的應用安裝包得到，具體可為前述nfc應用的應用證書哈希值。可選地，在一實施例中，預設ta包括第二身份認證規則，通過預設ta對nfc卡片進行安全校驗包括：判斷第二身份標識是否在預設ta的第二身份認證規則中，其中，在第二身份標識在預設ta的第二身份認證規則中時，確定前述nfc應用通過安全校驗，否則確定前述nfc應用未通過安全校驗。在具體實施時，前述第二身份認證規則可在移動終端出廠或安裝前述預設ta時，預置在前述預設ta中。前述第二身份認證規則包括可信的nfc應用的身份標識。可選地，在一實施例中，預設ta包括約定的第二非對稱加密算法(對於採用何種非對稱加密算法，本發明不做具體限制，可由本領域技術人員根據實際需要進行選取)，在讀取前述nfc應用的第二身份標識的同時，還讀取前述nfc應用攜帶的第三密文(nfc應用廠商採用約定的第二非對稱加密算法對於第二身份標識計算得到的密文)，通過預設ta對前述nfc應用進行安全校驗包括：通過預設ta的第二非對稱加密算法，對讀取到的第二身份標識進行計算，得到第四密文；判斷計算的第四密文與第三密文是否匹配，其中，在二者密文匹配時確定前述nfc應用通過安全校驗，否則確定前述nfc應用未通過安全校驗。在預設ta返回的校驗結果為前述nfc應用通過安全校驗時，設置前述nfc應用可訪問預設ta，以供前述nfc應用通過預設ta訪問nfc卡片。進一步地，基於第二身份標識，通過預設ta對前述nfc應用進行安全校驗的步驟之後。還包括：在前述nfc應用未通過安全校驗時，輸出前述nfc應用不安全的第二提示信息。容易理解的是，在前述nfc應用未通過安全校驗時，說明前述nfc應用可能是非法發布的山寨應用，存在一定的安全風險，此時輸出提示nfc應用不安全的第二提示信息，例如，在屏幕顯示第二提示信息「nfc應用不安全，存在安全風險」。可選地，在一實施例中，在輸出nfc應用不安全的第二提示信息的同時，還執行以下步驟：清除預設緩存區中的第二身份標識。此外，本發明還提出一種計算機可讀存儲介質，該計算機可讀存儲介質上存儲有nfc安全控制程序，該nfc安全控制程序被處理器110執行時實現如下操作：在啟動安全讀取模式時，將nfc控制器111讀取數據的傳輸路徑，重定向到tee中的預設緩存區；通過tee的預設ta，基於nfc控制器111將nfc卡片的第一身份標識讀取到預設緩存區中，並基於第一身份標識，對nfc卡片進行安全校驗；在nfc卡片通過安全校驗時，設置ree中對應nfc卡片的nfc應用可訪問預設ta，以供該nfc應用通過前述預設ta訪問nfc卡片。進一步地，nfc應用為票務應用，前述nfc安全控制程序被處理器110執行時還實現如下操作：通過預設ta將nfc卡片攜帶的用戶實名信息讀取到預設緩存區中，並基於用戶實名信息以及票務應用的預設票務信息生成臨時申請信息；通過預設ta與票務應用之間的訪問通道，將臨時申請信息傳輸至票務應用，以供票務應用完成實名購票。進一步地，前述nfc安全控制程序被處理器110執行時還實現如下操作：按照預設頻率，對預設ta進行預設次數的調用，以指示預設ta讀取nfc卡片的第一身份標識。進一步地，前述nfc安全控制程序被處理器110執行時還實現如下操作：在nfc卡片未通過安全校驗時，輸出nfc卡片不安全的第一提示信息。進一步地，前述nfc安全控制程序被處理器110執行時還實現如下操作：在接收到用戶的安全讀取模式啟動操作時，啟動安全讀取模式。進一步地，前述nfc安全控制程序被處理器110執行時還實現如下操作：在接收到用戶的安全讀取模式啟動操作時，顯示預設鑑權界面，以供用戶輸入鑑權數據；基於顯示的預設鑑權界面接收用戶輸入的鑑權數據，並基於鑑權數據進行用戶身份認證；在用戶身份認證通過之後，啟動安全讀取模式。進一步地，前述近場通信安全控制程序被處理器110執行時還實現如下操作：通過預設ta讀取nfc應用的第二身份標識到預設緩存區中；基於第二身份標識，通過預設ta對nfc應用進行安全校驗；在nfc應用通過安全校驗時，設置nfc應用可訪問預設ta。進一步地，前述近場通信安全控制程序被處理器110執行時還實現如下操作：在nfc應用未通過安全校驗時，輸出nfc應用不安全的第二提示信息。需要說明的是，在本文中，術語「包括」、「包含」或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過程、方法、物品或者裝置不僅包括那些要素，而且還包括沒有明確列出的其他要素，或者是還包括為這種過程、方法、物品或者裝置所固有的要素。在沒有更多限制的情況下，由語句「包括一個……」限定的要素，並不排除在包括該要素的過程、方法、物品或者裝置中還存在另外的相同要素。上述本發明實施例序號僅僅為了描述，不代表實施例的優劣。通過以上的實施方式的描述，本領域的技術人員可以清楚地了解到上述實施例方法可藉助軟體加必需的通用硬體平臺的方式來實現，當然也可以通過硬體，但很多情況下前者是更佳的實施方式。基於這樣的理解，本發明的技術方案本質上或者說對現有技術做出貢獻的部分可以以軟體產品的形式體現出來，該計算機軟體產品存儲在如上所述的一個存儲介質(如rom/ram、磁碟、光碟)中，包括若干指令用以使得一臺終端(可以是手機，計算機，伺服器，空調器，或者網絡設備等)執行本發明各個實施例所述的方法。上面結合附圖對本發明的實施例進行了描述，但是本發明並不局限於上述的具體實施方式，上述的具體實施方式僅僅是示意性的，而不是限制性的，本領域的普通技術人員在本發明的啟示下，在不脫離本發明宗旨和權利要求所保護的範圍情況下，還可做出很多形式，這些均屬於本發明的保護之內。當前第1頁12當前第1頁12