一种数据分区安全交互方法及系统与流程

本发明涉及数据安全领域，特别是涉及一种数据分区安全交互方法。

背景技术：

根据屏蔽isd指令将管理权限按应用关联性交接给本智能卡的各个增强型辅助安全域(essd，enhancedsupplementarysecuritydomain)。isd收到该指令后，将执行一系列的处理，所谓的根据屏蔽isd指令将管理权限按应用关联性交接给本智能卡的各个essd分立管理，具体包括：将本智能卡的生命周期状态推送给本智能卡的各个essd；取消isd的令牌验证服务；将gp系统应用程序编程接口(即gpsystemapi)的访问对象转接到与该应用关联的essd上。从而实现了联合发卡的各个发卡方可将自己的应用仅受自己的安全域控制，因而，提高了联合发卡的各个发卡方的数据安全性。

而现有技术中，在智能卡结构中，各个附加数据区域之间进行交互时，通常都需要主控制区域进行统一加密和管理，如果交互区域较多，三者之间的数据传输就会花费很多时间。

技术实现要素：

这个部分提供了本公开的一般概要，而不是其全部范围或其全部特征的全面披露。

本公开的目的在于提供一种数据分区安全交互方法，应用于智能卡，具体包括：

a、为每一个用户终端中的应用建立一个独立数据区域，每一个数据区域利用自身私钥进行各自的权限管理和数据内容管理，而不受主控制模块的统一管理；

b、当某一或者多个独立数据区域需要与其他独立数据区域进行协作时，向主控制模块发送请求，该请求中包括请求的独立数据区域的标识和协作所需的信息；上述协作是一个或者多个，多个协作可以同时进行；

c、接收到请求后，提取请求中的请求的独立数据区域的标识和协作所需的信息，并获取被请求的独立数据区域的标识，随后，根据两个标识利用证书生成协作公钥，同时将协作所需的信息存储到主控制区域中；

d、每隔预设时间，统计各个独立数据区域被请求协作的区域数量，如果某一个独立数据区域被三个或者三个以上的其他独立数据区域请求，则将其标记为交互节点区域；

e、针对每一个交互节点区域，在主控制区域内建立一个交互数据区域，并该交互节点区域所在的所有协作区域内的数据和标识移动到该交互数据区域中。

该方法还包括：交互数据区域生成并开始进行基于所述交互数据区域的协作后，每隔一定时间，再次统计各个独立数据区域请求协作的区域数量，并基于所述区域数量更新各个交互节点区域以及各个交互数据区域。

优选的，所述独立数据区域对应一个应用，并存储用户终端中与该应用相关的信息以及应用对应的远程服务器的交互信息。

优选的，所述一个应用对应一个应用的协作请求为一个协作，而一个应用对应多个应用的协作请求，或者多个应用对应多个应用的协作请求都为多个协作

优选的，步骤c中生成协作公钥具体为将请求的每一个独立数据区域的标识和被请求的每一个独立数据区域的标识加入到利用证书生成的每一个对应的公钥中形成协作公钥。

本发明还提供一种数据分区安全交互系统，该系统设置于智能卡，具体包括：

独立区域建立模块，用于为每一个用户终端中的应用建立一个独立数据区域，每一个数据区域利用自身私钥进行各自的权限管理和数据内容管理，而不受主控制模块的统一管理；

独立区域协作模块，用于当某一或者多个独立数据区域需要与其他独立数据区域进行协作时，向主控制模块发送请求；

主控制模块，用于接收到请求后，提取请求中的请求的独立数据区域的标识和协作所需的信息，并获取被请求的独立数据区域的标识，随后，所述主控制模块根据两个标识利用证书生成协作公钥，同时将协作所需的信息存储到主控制区域中；

统计分析模块，用于每隔预设时间，统计各个独立数据区域被请求协作的区域数量，如果某一个独立数据区域被三个或者三个以上的其他独立数据区域请求，则将其标记为交互节点区域；

主控制模块还用于针对每一个交互节点区域，在主控制区域内建立一个交互数据区域，并该交互节点区域所在的所有协作区域内的数据和标识移动到该交互数据区域中。

进一步的，所述统计分析模块还用于在交互数据区域生成并开始进行基于所述交互数据区域的协作后，每隔一定时间，再次统计各个独立数据区域请求协作的区域数量，并基于所述区域数量更新各个交互节点区域以及各个交互数据区域。

进一步的，所述独立数据区域对应一个应用，并存储用户终端中与该应用相关的信息以及应用对应的远程服务器的交互信息。

进一步的，所述一个应用对应一个应用的协作请求为一个协作，而一个应用对应多个应用的协作请求，或者多个应用对应多个应用的协作请求都为多个协作进一步的，所述主控制模块具体用于将请求的每一个独立数据区域的标识和被请求的每一个独立数据区域的标识加入到利用证书生成的每一个对应的公钥中形成协作公钥。

有益效果：本发明的数据分区安全交互方法和系统中，在多个交互对象为同一数据区域时，将该区域交由主控制区域管理，这样各个交互请求区域只需要和主控制区域交互，无需进行三方数据传输，节省了时间。。

从在此提供的描述中，进一步的适用性区域将会变得明显。这个概要中的描述和特定例子只是为了示意的目的，而不旨在限制本公开的范围。

附图说明

在此描述的附图只是为了所选实施例的示意的目的而非全部可能的实施，并且不旨在限制本公开的范围。在附图中：

图1是数据分区安全交互方法流程图；

图2是数据分区安全交互系统示意图。

虽然本公开容易经受各种修改和替换形式，但是其特定实施例已作为例子在附图中示出，并且在此详细描述。然而应当理解的是，在此对特定实施例的描述并不打算将本公开限制到公开的具体形式，而是相反地，本公开目的是要覆盖落在本公开的精神和范围之内的所有修改、等效和替换。要注意的是，贯穿几个附图，相应的标号指示相应的部件。

具体实施方式

现在参考附图来更加充分地描述本公开的例子。以下描述实质上只是示例性的，而不旨在限制本公开、应用或用途。

提供了示例实施例，以便本公开将会变得详尽，并且将会向本领域技术人员充分地传达其范围。阐述了众多的特定细节如特定部件、装置和方法的例子，以提供对本公开的实施例的详尽理解。对于本领域技术人员而言，不需要使用特定的细节，示例实施例可以用许多不同的形式来实施，它们都不应当被解释为限制本公开的范围。在某些示例实施例中，没有详细地描述众所周知的过程、众所周知的结构和众所周知的技术。

下面将对本公开内容所提出的技术问题进行详细说明。需要注意的，该技术问题仅是示例性的，目的不在于限制本发明的应用。

如图1所示，本发明提供一种数据分区安全交互方法，应用于智能卡，具体包括：

a、为每一个用户终端中的应用建立一个独立数据区域，每一个数据区域利用自身私钥进行各自的权限管理和数据内容管理，而不受主控制模块的统一管理。

所述独立数据区域对应一个应用，并存储用户终端中与该应用相关的信息以及应用对应的远程服务器的交互信息。只有包含所述独立数据区域的智能卡所在的用户终端和所述独立数据区域对应的远程服务器可以利用所述私钥进行与对应独立数据区域进行数据交互，而其他数据区域、其他用户终端或者其他远程服务器无法与该独立数据区域进行数据交互。

所有的所述独立数据区域与主控制区域不同，都不受主控制模块的管理和控制。

b、当某一或者多个独立数据区域需要与其他独立数据区域进行协作时，向主控制模块发送请求。该请求中包括请求的独立数据区域的标识和协作所需的信息。上述协作是一个或者多个，多个协作可以同时进行。

在用户使用应用的过程中，经常需要借助其他应用中的部分功能，或者与其他应用配合完成部分数据处理或者交互，如支付、登录、文件共享等。用户使用的当前应用对应的独立数据区域根据处理或者协作所需的信息和标识生成请求，并将该请求发送到主控制模块。协作所需的信息通常包括账户名称、支付单号、文件名称等信息。

一个应用对应一个应用的协作请求为一个协作，而一个应用对应多个应用的协作请求，或者多个应用对应多个应用的协作请求为多个协作。即一个协作中仅包括一个请求的应用和一个被请求的应用。

c、接收到请求后，提取请求中的请求的独立数据区域的标识和协作所需的信息，并获取被请求的独立数据区域的标识，随后，根据两个标识利用证书生成协作公钥，同时将协作所需的信息存储到主控制区域中。其中，主控制模块作为中间媒介控制各个协作过程。

将请求的每一个独立数据区域的标识和被请求的每一个独立数据区域的标识加入到利用证书生成的每一个对应的公钥中形成协作公钥，同时，在主控制区域中建立一个或者多个协作区域，并将账户名称、支付单号、文件名称等信息存储在该协作区域中，方便后续协作过程中使用。

d、每隔预设时间，统计各个独立数据区域被请求协作的区域数量，如果某一个独立数据区域被三个或者三个以上的其他独立数据区域请求，则将其标记为交互节点区域。

每间隔预设时间，如10分钟、1小时等，获取所有协作区域中被请求的独立数据区域的标识，并统计每一个标识出现的次数。由于每一个被请求的独立数据区域在不同的协作区域中对应的请求的独立数据区域都不相同，所以被请求的独立数据区域的标识在每一个协作区域中出现的次数即为该独立数据区域被请求协作的区域数量。随后，将该被请求的独立数据区域标记为交互节点区域。如其中一个交互节点区域的标识出现次数为5，即该区域被5个不同的独立数据区域请求协作。

e、针对每一个交互节点区域，在主控制区域内建立一个交互数据区域，该交互节点区域所在的所有协作区域内的数据和标识移动到该交互数据区域中，从而节省主控制区域作为交互中间媒介的数据传输次数和时间。所述一个交互数据区域对应一个交互节点区域以及多个其他的独立数据区域。

例如，统计后标记了3个交互节点区域，则在主控制区域内建立三个交互数据区域。3个交互数据区域分别对应3个、5个和6个请求的独立数据区域，则将所述3个协作区域内的所有协作所需的信息和标识移动到第一个交互数据区域中；将所述5个协作区域内的所有协作所需的信息和标识移动到第二个交互数据区域中；将所述6个协作区域内的所有协作所需的信息和标识移动到第三个交互数据区域中。在这三个交互数据区域对应的各个协作都可以分别通过这三个交互数据区域中对应的一个区域进行协作，可以提高数据交互速度和处理效率。

f、交互数据区域生成并开始进行基于所述交互数据区域的协作后，每隔一定时间，再次统计各个独立数据区域请求协作的区域数量，并基于所述区域数量更新各个交互节点区域以及各个交互数据区域。

由于各个独立数据区域之间的协作都是不断变化的，所以可以在主控制区域内删除完成的协作区域，也可以在主控制区域内建立新的协作区域。也就使得新的各个协作区域内被请求的独立数据区域对应请求的独立数据区域的数量不断发生变化。如果所述交互数据区域中交互节点区域对应的所述请求协作的区域数量小于三个，则删除该交互数据区域，也将交互节点区域恢复为普通的独立数据区域；如果所述多个协作区域中被请求的独立数据区域对应的所述请求协作的区域数量大于或者等于三个，则将新的该独立数据区域标记为交互节点区域，并重复步骤e。

如图2所示，本发明提供一种数据分区安全交互系统，该系统设置于智能卡，具体包括：

独立区域建立模块，用于为每一个用户终端中的应用建立一个独立数据区域。每一个数据区域利用自身私钥进行各自的权限管理和数据内容管理，而不受主控制模块的统一管理。

所述独立数据区域对应一个应用，并存储用户终端中与该应用相关的信息以及应用对应的远程服务器的交互信息。只有包含所述独立数据区域的智能卡所在的用户终端和所述独立数据区域对应的远程服务器可以利用所述私钥进行与对应独立数据区域进行数据交互，而其他数据区域、其他用户终端或者其他远程服务器无法与该独立数据区域进行数据交互。

所有的所述独立数据区域与主控制区域不同，都不受主控制模块的管理和控制。

独立区域协作模块，用于当某一或者多个独立数据区域需要与其他独立数据区域进行协作时，向主控制模块发送请求。该请求中包括请求的独立数据区域的标识和协作所需的信息。上述协作是一个或者多个，多个协作可以同时进行。

在用户使用应用的过程中，经常需要借助其他应用中的部分功能，或者与其他应用配合完成部分数据处理或者交互，如支付、登录、文件共享等。

所述独立区域协作模块根据处理或者协作所需的信息和标识生成请求，并将该请求发送到主控制模块。协作所需的信息通常包括账户名称、支付单号、文件名称等信息。

一个应用对应一个应用的协作请求为一个协作，而一个应用对应多个应用的协作请求，或者多个应用对应多个应用的协作请求都为多个协作。即一个协作中仅包括一个请求的应用和一个被请求的应用。

主控制模块，用于接收到请求后，提取请求中的请求的独立数据区域的标识和协作所需的信息，并获取被请求的独立数据区域的标识，随后，所述主控制模块根据两个标识利用证书生成协作公钥，同时将协作所需的信息存储到主控制区域中。其中，主控制模块作为中间媒介控制各个协作过程。

主控制模块，具体用于将请求的每一个独立数据区域的标识和被请求的每一个独立数据区域的标识加入到利用证书生成的每一个对应的公钥中形成协作公钥，同时，所述主控制模块在主控制区域中建立一个或者多个协作区域，并将账户名称、支付单号、文件名称等信息存储在该协作区域中，方便后续协作过程中实使用。

统计分析模块，用于每隔预设时间，统计各个独立数据区域被请求协作的区域数量，如果某一个独立数据区域被三个或者三个以上的其他独立数据区域请求，则将其标记为交互节点区域。

每间隔预设时间，如10分钟、1小时等，所述统计分析模块获取所有协作区域中被请求的独立数据区域的标识，并统计每一个标识出现的次数。由于每一个被请求的独立数据区域在不同的协作区域中对应的请求的独立数据区域都不相同，所以被请求的独立数据区域的标识在每一个协作区域中出现的次数即为该独立数据区域被请求协作的区域数量。随后，所述统计分析模块将该被请求的独立数据区域标记为交互节点区域。如其中一个交互节点区域的标识出现次数为5，即该区域被5个不同的独立数据区域请求协作。

主控制模块还用于针对每一个交互节点区域，在主控制区域内建立一个交互数据区域，并该交互节点区域所在的所有协作区域内的数据和标识移动到该交互数据区域中，从而节省主控制区域作为交互中间媒介的数据传输次数和时间。所述一个交互数据区域对应一个交互节点区域以及多个其他的独立数据区域。

例如，所述统计分析模块在统计后标记了3个交互节点区域，则所述主控制模块在主控制区域内建立三个交互数据区域。3个交互数据区域分别对应3个、5个和6个请求的独立数据区域，则所述主控制模块将所述3个协作区域内的所有协作所需的信息和标识移动到第一个交互数据区域中；所述主控制模块将所述5个协作区域内的所有协作所需的信息和标识移动到第二个交互数据区域中；所述主控制模块将所述6个协作区域内的所有协作所需的信息和标识移动到第三个交互数据区域中。在这三个交互数据区域对应的各个协作都可以分别通过这三个交互数据区域中对应的一个区域进行协作，可以提高数据交互速度和处理效率。

所述统计分析模块还用于在交互数据区域生成并开始进行基于所述交互数据区域的协作后，每隔一定时间，再次统计各个独立数据区域请求协作的区域数量，并基于所述区域数量更新各个交互节点区域以及各个交互数据区域。

由于各个独立数据区域之间的协作都是不断变化的，所以可以在主控制区域内删除完成的协作区域，也可以在主控制区域内建立新的协作区域。也就使得新的各个协作区域内被请求的独立数据区域对应请求的独立数据区域的数量不断发生变化。如果所述交互数据区域中交互节点区域对应的所述请求协作的区域数量小于三个，则所述统计分析模块删除该交互数据区域，也将交互节点区域恢复为普通的独立数据区域；如果所述多个协作区域中被请求的独立数据区域对应的所述请求协作的区域数量大于或者等于三个，则所述统计分析模块将新的该独立数据区域标记为交互节点区域，并且所述主控制模块针对每一个交互节点区域，在主控制区域内建立一个交互数据区域，并该交互节点区域所在的所有协作区域内的数据和标识移动到该交互数据区域中。

以上参照附图描述了本公开的优选实施例，但是本公开当然不限于以上示例。本领域技术人员可在所附权利要求的范围内得到各种变更和修改，并且应理解这些变更和修改自然将落入本公开的技术范围内。

例如，在以上实施例中包括在一个单元中的多个功能可以由分开的装置来实现。替选地，在以上实施例中由多个单元实现的多个功能可分别由分开的装置来实现。另外，以上功能之一可由多个单元来实现。无需说，这样的配置包括在本公开的技术范围内。

在该说明书中，流程图中所描述的步骤不仅包括以所述顺序按时间序列执行的处理，而且包括并行地或单独地而不是必须按时间序列执行的处理。此外，甚至在按时间序列处理的步骤中，无需说，也可以适当地改变该顺序。

以上虽然结合附图详细描述了本公开的实施例，但是应当明白，上面所描述的实施方式只是用于说明本公开，而并不构成对本公开的限制。对于本领域的技术人员来说，可以对上述实施方式作出各种修改和变更而没有背离本公开的实质和范围。因此，本公开的范围仅由所附的权利要求及其等效含义来限定。