用于控制NFC功能的方法及装置、电子设备、存储介质与流程

用于控制nfc功能的方法及装置、电子设备、存储介质
技术领域
1.本技术涉及nfc功能控制技术领域，例如涉及一种用于控制nfc功能的方法及装置、电子设备、存储介质。


背景技术：

2.随着移动终端的普及应用，如手机等电子设备在生活中已不可或缺，电子设备附加的各种功能也越来越受大家的关注。目前配备nfc(near field communication，近场通信)功能的电子设备能够完成移动支付等业务请求。传统的用于控制nfc功能的方法中，nfc功能的开启和关闭需要通过电子设备中的se(secure element，安全单元)硬件来实现nfc功能的开启和关闭。
3.现有用于控制nfc功能的方法，例如：公开号为cn114037445a的中国专利文件公开了一种硬件钱包及其处理方法，包括se安全单元、主控单元以及电源管理模块；其中，所述se安全单元与用于近场通信的天线连接；在关机状态下，所述se安全单元与所述天线独立工作，所述天线与终端设备进行近场通信；所述se安全单元在特定条件下控制电源管理模块开启和关闭；所述主控单元与所述se安全单元连接；所述电源管理模块为所述主控单元供电。
4.公开号为cn104467923a的中国专利文件公开了一种设备交互的方法、设备及系统，包括：第一设备通过nfc模块与第二设备进行交互，所述交互包括以下的至少一种：接收第二设备发送的操作指令、接收第二设备发送的资源访问请求；所述第二设备支持nfc功能；第一设备根据所述交互执行相应的操作。所述nfc模块包含在所述第一设备中，或者作为所述第一设备的外设。该方法进一步包括：将nfc模块注册到安全模块se中；该方法进一步包括：通过se对nfc模块与第二设备之间的交互进行认证，并在认证通过后，执行相应的交互。
5.在实现本公开实施例的过程中，发现相关技术中至少存在如下问题：相关技术中通常是基于se硬件来实现电子设备中的nfc功能的开启和关闭，然而并不是所有电子设备中都内置有se硬件。这样在通过现有的nfc功能控制方法就难以实现没有se硬件的电子设备的nfc功能控制，从而导致nfc功能控制的兼容性较差。
6.需要说明的是，在上述背景技术部分公开的信息仅用于加强对本技术的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。


技术实现要素：

7.为了对披露的实施例的一些方面有基本的理解，下面给出了简单的概括。所述概括不是泛泛评述，也不是要确定关键／重要组成元素或描绘这些实施例的保护范围，而是作为后面的详细说明的序言。
8.本公开实施例提供了一种用于控制nfc功能的方法及装置、电子设备、存储介质，以能够提供一种兼容性更高的用于控制nfc功能的方法。
9.在一些实施例中，用于控制nfc功能的方法，应用于电子设备，所述电子设备包括可信执行环境tee，所述方法包括：在发起业务请求的情况下，建立所述tee和可信服务管理tsm平台之间的安全会话通道。通过所述安全会话通道向所述tsm平台发起近场通信nfc功能开启请求，触发所述tsm平台反馈nfc功能开启指令。响应于所述nfc功能开启指令，开启nfc功能。判断所述业务请求是否处理完成，在所述业务请求处理完成的情况下，通过所述安全会话通道向所述tsm平台发起nfc功能关闭请求，触发所述tsm平台反馈nfc功能关闭指令。响应于所述nfc功能关闭指令，关闭nfc功能。
10.在一些实施例中，建立所述tee和所述tsm平台之间的安全会话通道，包括：将所述业务请求发送给所述tsm平台，触发所述tsm平台反馈预初始化指令。根据所述预初始化指令生成第一非对称密钥对；所述第一非对称密钥对包括第一私钥和第一公钥。将所述第一公钥发送给所述tsm平台，触发所述tsm平台反馈初始化安全通道指令。对所述初始化安全通道指令进行解析，获得第二公钥。根据预设的密钥交换算法利用所述第一私钥和所述第二公钥协商出会话密钥。根据预设的分散规则利用所述会话密钥进行推导，获得子密钥。按照预设协议利用所述子密钥建立安全会话通道。
11.在一些实施例中，响应于所述nfc功能开启指令，开启nfc功能，包括：校验所述nfc功能开启指令的合法性，获得第一校验结果。在所述第一校验结果为所述nfc功能开启指令合法的情况下，从所述nfc功能开启指令中提取出第一指令参数。将所述第一指令参数转化为预设格式的第一备选指令。从所述第一备选指令中提取出所述第一指令参数，对所述第一指令参数进行校验，获得第二校验结果。在所述第二校验结果为校验通过的情况下，开启nfc功能。
12.在一些实施例中，响应于所述nfc功能关闭指令，关闭nfc功能，包括：校验所述nfc功能关闭指令的合法性，获得第三校验结果。在所述第三校验结果为所述nfc功能关闭指令合法的情况下，从所述nfc功能关闭指令中提取出第二指令参数。将所述第二指令参数转化为预设格式的第二备选指令。从所述第二备选指令中提取出所述第二指令参数，对所述第二指令参数进行校验，获得第四校验结果。在所述第四校验结果为校验通过的情况下，关闭nfc功能。
13.在一些实施例中，响应于所述nfc功能关闭指令，关闭nfc功能后，还包括：撤销所述安全会话通道。
14.在一些实施例中，撤销所述安全会话通道，包括：向所述tsm平台发起撤销安全会话通道请求，触发所述tsm平台反馈安全会话通道撤销指令。校验所述安全会话通道撤销指令的合法性，获得第五校验结果。在所述第五校验结果为所述安全会话通道撤销指令合法的情况下，销毁所述tee中的所述第一非对称密钥对、所述会话密钥和所述子密钥。
15.在一些实施例中，所述用于控制nfc功能的装置，应用于电子设备，所述电子设备包括tee，所述装置包括：通道构建模块，被配置为在发起业务请求的情况下，建立所述可信执行环境tee和可信服务管理tsm平台之间的安全会话通道。第一触发模块，被配置为通过所述安全会话通道向所述tsm平台发起近场通信nfc功能开启请求，触发所述tsm平台反馈nfc功能开启指令。第一响应模块，被配置为响应于所述nfc功能开启指令，开启nfc功能。判断模块，被配置为判断所述业务请求是否处理完成。第二触发模块，被配置为在所述业务请求处理完成的情况下，通过所述安全会话通道向所述tsm平台发起nfc功能关闭请求，触发
所述tsm平台反馈nfc功能关闭指令。第二响应模块，被配置为响应于所述nfc功能关闭指令，关闭nfc功能。
16.在一些实施例中，所述用于控制nfc功能的装置，包括处理器和存储有程序指令的存储器，所述处理器被配置为在运行所述程序指令时，执行上述的用于控制nfc功能的方法。
17.在一些实施例中，所述电子设备包括：电子设备本体；上述的用于控制nfc功能的装置，被安装于所述电子设备本体。
18.在一些实施例中，所述存储介质存储有程序指令，所述程序指令在运行时，执行上述的用于控制nfc功能的方法。
19.本公开实施例提供的用于控制nfc功能的方法及装置、电子设备、存储介质，可以实现以下技术效果：通过在发起业务请求的情况下，建立tee和可信服务管理tsm平台之间的安全会话通道。通过安全会话通道向tsm平台发起近场通信nfc功能开启请求，触发tsm平台反馈nfc功能开启指令。响应于nfc功能开启指令，开启nfc功能。判断业务请求是否处理完成，在业务请求处理完成的情况下，通过安全会话通道向tsm平台发起nfc功能关闭请求，触发tsm平台反馈nfc功能关闭指令。响应于nfc功能关闭指令，关闭nfc功能。通过直接基于tee实现与tsm平台的互信认证，建立tee与tsm平台之间的安全会话通道，通过该安全会话通道能够实现nfc功能的控制指令的传输。这样无需通过se硬件就能够实现nfc功能的开启和关闭，提高了nfc功能控制的兼容性。
20.以上的总体描述和下文中的描述仅是示例性和解释性的，不用于限制本技术。
附图说明
21.一个或多个实施例通过与之对应的附图进行示例性说明，这些示例性说明和附图并不构成对实施例的限定，附图中具有相同参考数字标号的元件示为类似的元件，附图不构成比例限制，并且其中：图1是本公开实施例提供的第一个用于控制nfc功能的方法的示意图；图2是本公开实施例提供的一个用于控制nfc功能的方法的应用示意图；图3是本公开实施例提供的第二个用于控制nfc功能的方法的示意图；图4是本公开实施例提供的一个用于控制nfc功能开启的方法的时序图；图5是本公开实施例提供的一个用于控制nfc功能关闭的方法的时序图；图6是本公开实施例提供的一个用于控制nfc功能的方法的时序图；图7是本公开实施例提供的第一个用于控制nfc功能的装置的结构示意图；图8是本公开实施例提供的第二个用于控制nfc功能的装置的结构示意图；图9是本公开实施例提供的一个电子设备的结构示意图。
22.附图标记：1：tsm(trusted service manager，可信服务管理)平台；2：hsm(hardware security module，硬件安全模块)；3：电子设备；4：ca(client application，客户端应用程序)；5：ta(tee application，可信执行环境应用程序)；6：nfc模块。
具体实施方式
23.为了能够更加详尽地了解本公开实施例的特点与技术内容，下面结合附图对本公开实施例的实现进行详细阐述，所附附图仅供参考说明之用，并非用来限定本公开实施例。在以下的技术描述中，为方便解释起见，通过多个细节以提供对所披露实施例的充分理解。然而，在没有这些细节的情况下，一个或多个实施例仍然可以实施。在其它情况下，为简化附图，熟知的结构和装置可以简化展示。
24.本公开实施例的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本公开实施例的实施例。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含。
25.除非另有说明，术语“多个”表示两个或两个以上。
26.本公开实施例中，字符“/”表示前后对象是一种“或”的关系。例如，a/b表示：a或b。
27.术语“和/或”是一种描述对象的关联关系，表示可以存在三种关系。例如，a和/或b，表示：a或b，或，a和b这三种关系。
28.术语“对应”可以指的是一种关联关系或绑定关系，a与b相对应指的是a与b之间是一种关联关系或绑定关系。
29.结合图1所示，本公开实施例提供一种用于控制nfc功能的方法，应用于电子设备，该电子设备包括tee(trusted execution environment，可信执行环境)，该方法包括：步骤s101，电子设备在发起业务请求的情况下，建立tee和tsm(trusted service manager，可信服务管理)平台之间的安全会话通道。
30.步骤s102，电子设备通过安全会话通道向tsm平台发起nfc(near field communication，近场通信)功能开启请求，触发tsm平台反馈nfc功能开启指令。
31.步骤s103，电子设备响应于nfc功能开启指令，开启nfc功能。
32.步骤s104，电子设备判断业务请求是否处理完成。
33.步骤s105，电子设备在业务请求处理完成的情况下，通过安全会话通道向tsm平台发起nfc功能关闭请求，触发tsm平台反馈nfc功能关闭指令。
34.步骤s106，电子设备响应于nfc功能关闭指令，关闭nfc功能。
35.采用本公开实施例提供的用于控制nfc功能的方法，通过在发起业务请求的情况下，建立tee和tsm平台之间的安全会话通道。通过安全会话通道向tsm平台发起nfc功能开启请求，触发tsm平台反馈nfc功能开启指令。响应于nfc功能开启指令，开启nfc功能。判断业务请求是否处理完成，在业务请求处理完成的情况下，通过安全会话通道向tsm平台发起nfc功能关闭请求，触发tsm平台反馈nfc功能关闭指令。响应于nfc功能关闭指令，关闭nfc功能。通过直接基于tee实现与tsm平台的互信认证，建立tee与tsm平台之间的安全会话通道，通过该安全会话通道能够实现nfc功能的控制指令的传输。这样无需通过se硬件就能够实现nfc功能的开启和关闭，提高了nfc功能控制的兼容性。
36.进一步的，电子设备建立tee和tsm平台之间的安全会话通道，包括：电子设备将业务请求发送给tsm平台，触发tsm平台反馈预初始化指令。根据预初始化指令生成第一非对称密钥对，第一非对称密钥对包括第一私钥和第一公钥。将第一公钥发送给tsm平台，触发tsm平台反馈初始化安全通道指令。对初始化安全通道指令进行解析，获得第二公钥。根据
预设的密钥交换算法利用第一私钥和第二公钥协商出会话密钥。根据预设的分散规则利用会话密钥进行推导，获得子密钥。按照预设协议利用子密钥建立安全会话通道。其中，第一非对称密钥对为临时ecc(elliptic curve cryptography，椭圆曲线密码学)密钥对。预设的密钥交换算法为ecdh(elliptic curve diffie
–
hellman key exchange，椭圆曲线迪菲-赫尔曼秘钥交换)算法。预设的分散规则为基于对称密钥，使用离散因子对根密钥二次分散子密钥的方法。
37.进一步的，结合图2所示，图2是本公开实施例提供的一种用于控制nfc功能的方法的应用示意图。hsm2为在tsm平台1侧指加密机硬件或类似加密机的相关硬件。hsm2用于为广泛的应用程序提供保护加密密钥和配置加密、解密、身份认证和数码签名服务。电子设备3包括nfc模块6、tee和ree(rich execution environment，富执行环境)。ree包括用于与nfc模块6进行通信的ca4，tee包括用于与nfc模块进行通信的可信执行环境应用程序ta5。其中，ta运行在tee中，ca运行在ree中，ta借助ca与tsm平台进行通信，建立安全会话通道，从而实现双方互信认证。在双方互信认证的基础上，由tsm平台下发nfc功能开启指令或nfc功能关闭指令。通过ta对该指令进行校验，校验通过后发送给nfc模块，实现用于控制nfc功能开启或关闭。在一些实施例中，ree用于表征具备丰富功能的操作系统，例如安卓android、苹果操作系统ios等。tee用于表征与ree共存于同一套硬件环境上，但物理上完全隔离的、小型的、安全的操作系统。ca为运行在ree中用于展现nfc功能、与nfc模块通信或与tsm平台进行通信的应用程序。例如：手机钱包应用程序。ta为运行在tee中用于与nfc模块进行通信的应用程序。这样，ta通过借助ca与tsm平台进行通信，实现双方互信认证。在双方互信认证的基础上，由tsm平台下发nfc功能开启指令或nfc功能关闭指令。在ta对该指令进行校验，校验通过后发送给nfc模块，从而不需要se硬件就能够实现对nfc功能的控制。
38.在一些实施例中，电子设备通过ca将业务请求发送给tsm平台，触发tsm平台反馈预初始化指令给ca。ca将预初始化指令透传给ta，ta在接收到预初始化指令后，生成第一非对称密钥对例如(esk1，epk1)，其中esk1为第一私钥，epk1为第一公钥。ta将第一公钥epk1发送给ca。ca将第一公钥epk1透传给tsm平台。tsm平台在接收到第一公钥epk1后，发送ecc密钥对指令给hsm。hsm在接收到ecc密钥对指令和第一公钥epk1后，生成第二非对称密钥对例如(esk2，epk2)。其中esk2为第二私钥，epk2为第二公钥。然后hsm根据预设的密钥交换算法利用第二私钥esk2和第一公钥epk1进行协商，获得会话密钥。并根据会话密钥获取利用预设的分散规则进行推导，获得子密钥包括kenc、kmac和kdek。同时，hsm将第二公钥epk2发送给tsm平台。tsm平台在接收到第二公钥epk2后，根据第二公钥epk2组织初始化安全通道指令，并将该初始化安全通道指令下发给电子设备中的ca。ca将初始化安全通道指令透传给ta。通过ta对初始化安全通道指令进行解析，获得第二公钥epk2。然后ta根据预设的密钥交换算法利用第一私钥和第二公钥协商出会话密钥。并根据预设的分散规则利用会话密钥进行推导，获得子密钥包括kenc、kmac和kdek。然后ta反馈初始化安全通道响应给ca。ca再将初始化安全通道响应透传给tsm平台，tsm平台对初始化安全通道响应进行验证，在初始化安全通道响应为成功的情况下，tsm平台利用子密钥包括加密分散密钥kenc、校验码分散密钥kmac和密钥加密分散密钥kdek，按照预设协向ta发起建立安全通道流程。其中，预设协议为gp规范中定义的scp02协议或scp03协议。
39.其中，tsm平台对初始化安全通道响应进行验证，包括：在初始化安全通道响应为
第一代码数据的情况下，确定初始化安全通道成功；或，在初始化安全通道响应为第二代码数据的情况下，确定初始化安全通道失败。其中，第一代码数据用于表征成功，第二代码数据用于表征失败。
40.在一些实施例中，初始化安全通道响应用于表征初始化安全通道是否成功。
41.进一步的，电子设备响应于nfc功能开启指令，开启nfc功能，包括：电子设备校验nfc功能开启指令的合法性，获得第一校验结果。在第一校验结果为nfc功能开启指令合法的情况下，从nfc功能开启指令中提取出第一指令参数。将第一指令参数转化为预设格式的第一备选指令。从第一备选指令中提取出第一指令参数，对第一指令参数进行校验，获得第二校验结果。在第二校验结果为校验通过的情况下，开启nfc功能。其中，预设格式为nci(nfc controller interface，nfc控制器接口)扩展协议格式。这样，通过对nfc功能开启指令的合法性进行校验，能够保证用于控制nfc功能的指令来源的可信性。并且，由于tsm平台发送的指令格式和nfc的指令格式不相同，所以在ta接收到nfc功能开启指令后，对该指令的格式转换为预设格式，这样便于根据该指令用于控制nfc功能。
42.在一些实施例中，nfc模块包括nfcc(nfc controller，近场通信控制模块)，通过nfcc从第一备选指令中提取出第一指令参数，然后对第一指令参数进行校验，获得第二校验结果。nfcc用于运行nfc模块中的一系列控制程序，用了指示nfc控制如何工作。
43.可选地，电子设备通过以下方式校验nfc功能开启指令的合法性：获取nfc功能开启指令的密文和mac(message authentication code，消息认证码)，根据预设规范中的定义对密文和mac进行验证。在nfc功能开启指令密文和mac均验证通过的情况下，确定nfc功能开启指令合法。其中，预设规范为gp规范。其中，预设格式为nci扩展协议格式。
44.在一些实施例中，基于已建立的安全会话通道类型和安全级别，根据gp规范中的定义对nfc功能开启指令的密文和mac进行验证。在密文和mac均验证通过的情况下，确定nfc功能开启指令合法。
45.可选地，电子设备通过以下方式判断业务请求是否处理完成：在接收到预设的业务处理完成响应的情况下，确定业务请求处理完成。
46.进一步的，电子设备响应于nfc功能关闭指令，关闭nfc功能，包括：电子设备校验nfc功能关闭指令的合法性，获得第三校验结果。在第三校验结果为nfc功能关闭指令合法的情况下，从nfc功能关闭指令中提取出第二指令参数。将第二指令参数转化为预设格式的第二备选指令。从第二备选指令中提取出第二指令参数，对第二指令参数进行校验，获得第四校验结果。在第四校验结果为校验通过的情况下，关闭nfc功能。这样，通过对nfc功能关闭指令的合法性进行校验，能够保证用于控制nfc功能的指令来源的可信性。并且，由于tsm平台发送的指令格式和nfc的指令格式不相同，所以在ta接收到nfc功能关闭指令后，对该指令的格式转换为预设格式，这样便于根据该指令用于控制nfc功能。
47.在一些实施例中，nfc模块包括nfcc，通过nfcc从第二备选指令中提取出第二指令参数，然后对第二指令参数进行校验，获得第四校验结果。
48.可选地，电子设备通过以下方式校验nfc功能关闭指令的合法性：获取nfc功能关闭指令的密文和mac，根据预设规范中的定义对密文和mac进行验证。在nfc功能关闭指令的密文和mac均验证通过的情况下，确定nfc功能关闭指令合法。其中，预设规范为gp规范。
49.在一些实施例中，基于已建立的安全会话通道类型和安全级别，根据gp规范中的
定义对nfc功能关闭指令的密文和mac进行验证。在nfc功能关闭指令的密文和mac均验证通过的情况下，确定nfc功能关闭指令合法。
50.进一步的，电子设备响应于nfc功能关闭指令，关闭nfc功能后，还包括：电子设备撤销安全会话通道。
51.结合图3所示，本公开实施例提供一种用于控制nfc功能的方法，应用于电子设备，该电子设备包括可信执行环境tee，该方法包括：步骤301，电子设备在发起业务请求的情况下，建立tee和tsm平台之间的安全会话通道。
52.步骤s302，电子设备通过安全会话通道向tsm平台发起nfc功能开启请求，触发tsm平台反馈nfc功能开启指令。
53.步骤s303，电子设备响应于nfc功能开启指令，开启nfc功能。
54.步骤s304，电子设备判断业务请求是否处理完成。
55.步骤s305，电子设备在业务请求处理完成的情况下，通过安全会话通道向tsm平台发起nfc功能关闭请求，触发tsm平台反馈nfc功能关闭指令。
56.步骤s306，电子设备响应于nfc功能关闭指令，关闭nfc功能。
57.步骤s307，电子设备撤销安全会话通道。
58.采用本公开实施例提供的用于控制nfc功能的方法，通过直接基于可信执行环境tee实现与tsm平台的互信认证，建立tee与tsm平台之间的安全会话通道，通过该安全会话通道能够实现nfc功能的控制指令的传输。这样无需通过se硬件就能够实现nfc功能的开启和关闭，提高了nfc功能控制的兼容性。同时，在电子设备完成执行业务请求对应的处理逻辑后，关闭nfc功能并撤销安全会话通道，这样能够保证用于控制nfc功能的安全性。
59.进一步的，电子设备撤销安全会话通道，包括：电子设备向tsm平台发起撤销安全会话通道请求，触发tsm平台反馈安全会话通道撤销指令。校验安全会话通道撤销指令的合法性，获得第五校验结果。在第五校验结果为安全会话通道撤销指令合法的情况下，销毁tee中的第一非对称密钥对、会话密钥和子密钥。这样，通过对存储的第一非对称密钥对、会话密钥和子密钥等密钥信息进行销毁，能够提高用于控制nfc功能的安全性，使得nfc模块和上层应用对开启或关闭nfc功能的操作指令的来源具有可信性。实现了与具备se硬件的电子设备同等安全条件的效果。
60.在一些实施例中，在关闭nfc功能后，电子设备通过ca向tsm平台发起撤销安全会话通道请求，tsm平台在接收到撤销安全会话通道请求后，生成安全会话通道撤销指令，将安全会话通道撤销指令发送给ca。同时，销毁存储在hsm中的第二非对称密钥对、会话密钥和子密钥。ca在接收到安全会话通道撤销指令，将安全会话通道撤销指令透传给ta，ta校验安全会话通道撤销指令的合法性，获得第五校验结果。在第五校验结果为安全会话通道撤销指令合法的情况下，销毁tee中的第一非对称密钥对、会话密钥和子密钥。
61.结合图4所示，本公开实施例提供一种用于控制nfc功能开启的方法，应用于电子设备，电子设备包括近场通信控制模块（nfcc）、可信执行环境应用程序（ta）和客户端应用程序（ca），tsm平台侧设置有硬件安全模块（hsm），该方法包括：步骤s401，ca发起业务请求给tsm平台。
62.步骤s402，tsm平台反馈预初始化指令给ca。
63.步骤s403，ca将预初始化指令透传给ta。
64.步骤s404，ta根据预初始化指令生成第一非对称密钥。第一非对称密钥包括第一公钥和第一私钥。
65.步骤s405，ta将第一公钥发送给ca。
66.步骤s406，ca将第一公钥透传给tsm平台。
67.步骤s407，tsm平台发送ecc密钥对指令和第一公钥给hsm。
68.步骤s408，hsm接收第一公钥和ecc密钥对指令，根据ecc密钥对指令生成第二非对称密钥对。第二非对称密钥对包括第二公钥和第二私钥。
69.步骤s409，hsm根据预设的密钥交换算法利用第二私钥和第一公钥协商出会话密钥。
70.步骤s410，hsm根据预设的分散规则利用会话密钥推导出子密钥。
71.步骤s411，hsm发送第二公钥给tsm平台。
72.步骤s412，tsm平台根据第二公钥组织初始化安全通道指令，并反馈初始化安全通道指令给ca。
73.步骤s413，ca将初始化安全通道指令透传给ta。
74.步骤s414，ta对初始化安全通道指令进行解析，获得第二公钥。
75.步骤s415，ta根据预设的密钥交换算法利用第二公钥和第一私钥协商出会话密钥。
76.步骤s416，ta根据预设的分散规则利用会话密钥推导出子密钥。
77.步骤s417，ta发送初始化安全通道指令响应给ca。
78.步骤s418，ca将初始化安全通道指令响应给tsm平台。
79.步骤s419，tsm平台对初始化安全通道指令响应进行验证，在验证通过后，通过ca向ta发起建立安全会话通道流程。
80.步骤s420，在基于已建立的安全会话通道基础上，通过ca向tsm平台发起nfc功能开启请求。
81.步骤s421，tsm平台反馈nfc功能开启指令给ca。
82.步骤s422，ca将nfc功能开启指令透传给ta。
83.步骤s423，ta验证nfc功能开启指令的合法性。
84.步骤s424，在nfc功能开启指令合法的情况下，ta从nfc功能开启指令中提取出第一指令参数。
85.步骤s425，ta将第一指令参数转换为预设格式的第一备选指令。
86.步骤s426，ta发送第一备选指令给nfcc。
87.步骤s427，nfcc校验第一备选指令。
88.步骤s428，nfcc在第一备选指令校验通过的情况下，开启nfc功能。
89.采用本公开实施例提供的用于控制nfc功能开启的方法，通过直接基于tee实现与tsm平台的互信认证，建立tee与tsm平台之间的安全会话通道，通过该安全会话通道能够实现nfc功能的控制指令的传输。这样无需通过se硬件就能够实现nfc功能的开启。提高了nfc功能控制的兼容性。同时，对nfc功能开启指令的合法性进行校验，能够保证用于控制nfc功能的指令来源的可信性。并且，由于tsm平台发送的指令格式和nfc的指令格式不相同，所以
在ta接收到nfc功能开启指令后，对该指令的格式转换为预设格式，这样便于根据该指令用于控制nfc功能。
90.结合图5所示，本公开实施例提供一种用于控制nfc功能关闭的方法，应用于电子设备，电子设备包括近场通信控制模块（nfcc）、可信执行环境应用程序（ta）和客户端应用程序（ca），该方法包括：步骤s501，通过ca向tsm平台发起nfc功能关闭请求。
91.步骤s502，tsm平台反馈nfc功能关闭指令给ca。
92.步骤s503，ca将nfc功能关闭指令透传给ta。
93.步骤s504，ta验证nfc功能关闭指令的合法性。
94.步骤s505，在nfc功能关闭指令合法的情况下，ta从nfc功能关闭指令中提取出第二指令参数。
95.步骤s506，ta将第二指令参数转换为预设格式的第二备选指令。
96.步骤s507，ta发送第二备选指令给nfcc。
97.步骤s508，nfcc校验第二备选指令。
98.步骤s509，nfcc在第二备选指令校验通过的情况下，关闭nfc功能。
99.采用本公开实施例提供的用于控制nfc功能关闭的方法，通过直接基于tee实现与tsm平台的互信认证，建立tee与tsm平台之间的安全会话通道，通过该安全会话通道能够实现nfc功能的控制指令的传输。这样无需通过se硬件就能够实现nfc功能的关闭。提高了nfc功能控制的兼容性。同时，对nfc功能关闭指令的合法性进行校验，能够保证用于控制nfc功能的指令来源的可信性。并且，由于tsm平台发送的指令格式和nfc的指令格式不相同，所以在ta接收到nfc功能关闭指令后，对该指令的格式转换为预设格式，这样便于根据该指令用于控制nfc功能。
100.结合图6所示，本公开实施例提供一种用于控制nfc功能的方法，应用于电子设备，电子设备包括可信执行环境应用程序（ta）和客户端应用程序（ca），该方法包括：步骤s601，通过ca向tsm平台发起撤销安全会话通道请求。
101.步骤s602，tsm平台生成安全会话通道撤销指令，并销毁第二非对称密钥对、会话密钥和子密钥。
102.步骤s603，tsm平台发送安全会话通道撤销指令给ca。
103.步骤s604，ca将安全会话通道撤销指令透传给ta。
104.步骤s605，ta校验安全会话通道撤销指令的合法性。
105.步骤s606，ta在安全会话通道撤销指令合法的情况下，销毁tee中的第一非对称密钥对、会话密钥和子密钥。
106.采用本公开实施例提供的用于控制nfc功能的方法，在关闭nfc功能后，通过撤销电子设备和tsm平台之间的安全会话通道，这样能够保证用于控制nfc功能的安全性。
107.结合图7所示，本公开实施例提供一种用于控制nfc功能的装置200，应用于电子设备，电子设备包括可信执行环境tee，用于控制nfc功能的装置包括：通道构建模块701、第一触发模块702、第一响应模块703、判断模块704、第二触发模块705和第二响应模块706。通道构建模块701被配置为在发起业务请求的情况下，建立tee和tsm平台之间的安全会话通道。第一触发模块702被配置为通过安全会话通道向tsm平台发起nfc功能开启请求，触发tsm平
台反馈nfc功能开启指令。并将nfc功能开启指令发送给第一响应模块。第一响应模块703被配置为接收第一触发模块发送的nfc功能开启指令，响应于该nfc功能开启指令，开启nfc功能。判断模块704被配置为判断业务请求是否处理完成。第二触发模块705被配置为在业务请求处理完成的情况下，通过安全会话通道向tsm平台发起nfc功能关闭请求，触发tsm平台反馈nfc功能关闭指令，并将nfc功能关闭指令发送给第二响应模块。第二响应模块706被配置为接收第二触发模块发送的nfc功能关闭指令，响应于该nfc功能关闭指令，关闭nfc功能。
108.采用本公开实施例提供的用于控制nfc功能的装置，通过通道构建模块在发起业务请求的情况下，建立tee和tsm平台之间的安全会话通道。第一触发模块通过安全会话通道向tsm平台发起nfc功能开启请求，触发tsm平台反馈nfc功能开启指令。第一响应模块响应于nfc功能开启指令，开启nfc功能。判断模块判断业务请求是否处理完成。第二触发模块在业务请求处理完成的情况下，通过安全会话通道向tsm平台发起nfc功能关闭请求，触发tsm平台反馈nfc功能关闭指令。第二响应模块响应于nfc功能关闭指令，关闭nfc功能。通过直接基于tee实现与tsm平台的互信认证，建立tee与tsm平台之间的安全会话通道，通过该安全会话通道能够实现nfc功能的控制指令的传输。这样无需通过se硬件就能够实现nfc功能的开启和关闭。提高了nfc功能控制的兼容性。
109.进一步的，通道构建模块被配置为通过以下方式建立tee和tsm平台之间的安全会话通道：将业务请求发送给tsm平台，触发tsm平台反馈预初始化指令。根据预初始化指令生成第一非对称密钥对；第一非对称密钥对包括第一私钥和第一公钥。将第一公钥发送给tsm平台，触发tsm平台反馈初始化安全通道指令。对初始化安全通道指令进行解析，获得第二公钥。根据预设的密钥交换算法利用第一私钥和第二公钥协商出会话密钥。根据预设的分散规则利用会话密钥进行推导，获得子密钥。按照预设协议利用子密钥建立安全会话通道。
110.进一步的，第一响应模块被配置为通过以下方式响应于nfc功能开启指令，开启nfc功能：校验nfc功能开启指令的合法性，获得第一校验结果。在第一校验结果为nfc功能开启指令合法的情况下，从nfc功能开启指令中提取出第一指令参数。将第一指令参数转化为预设格式的第一备选指令。从第一备选指令中提取出第一指令参数，对第一指令参数进行校验，获得第二校验结果。在第二校验结果为校验通过的情况下，开启nfc功能。
111.进一步的，第二响应模块被配置为通过以下方式响应于nfc功能关闭指令，关闭nfc功能，包括：校验nfc功能关闭指令的合法性，获得第三校验结果。在第三校验结果为nfc功能关闭指令合法的情况下，从nfc功能关闭指令中提取出第二指令参数。将第二指令参数转化为预设格式的第二备选指令。从第二备选指令中提取出第二指令参数，对第二指令参数进行校验，获得第四校验结果。在第四校验结果为校验通过的情况下，关闭nfc功能。
112.进一步的，用于控制nfc功能的装置还包括撤销模块，撤销模块被配置为响应于nfc功能关闭指令，关闭nfc功能后，撤销安全会话通道。
113.进一步的，撤销模块被配置为通过以下方式撤销安全会话通道：向tsm平台发起撤销安全会话通道请求，触发tsm平台反馈安全会话通道撤销指令。校验安全会话通道撤销指令的合法性，获得第五校验结果。在第五校验结果为安全会话通道撤销指令合法的情况下，销毁tee中的第一非对称密钥对、会话密钥和子密钥。
114.结合图8所示，本公开实施例提供一种用于控制nfc功能的装置300，包括处理器
（processor）800和存储器（memory）801。可选地，该装置还可以包括通信接口（communication interface）802和总线803。其中，处理器800、通信接口802、存储器801可以通过总线803完成相互间的通信。通信接口802可以用于信息传输。处理器800可以调用存储器801中的逻辑指令，以执行上述实施例的用于控制nfc功能的方法。
115.采用本公开实施例提供的用于控制nfc功能的装置，通过在发起业务请求的情况下，建立tee和tsm平台之间的安全会话通道。通过安全会话通道向tsm平台发起nfc功能开启请求，触发tsm平台反馈nfc功能开启指令。响应于nfc功能开启指令，开启nfc功能。判断业务请求是否处理完成，在业务请求处理完成的情况下，通过安全会话通道向tsm平台发起nfc功能关闭请求，触发tsm平台反馈nfc功能关闭指令。响应于nfc功能关闭指令，关闭nfc功能。通过直接基于tee实现与tsm平台的互信认证，建立tee与tsm平台之间的安全会话通道，通过该安全会话通道能够实现nfc功能的控制指令的传输。这样无需通过se硬件就能够实现nfc功能的开启和关闭。提高了nfc功能控制的兼容性。
116.此外，上述的存储器801中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。
117.存储器801作为一种计算机可读存储介质，可用于存储软件程序、计算机可执行程序，如本公开实施例中的方法对应的程序指令/模块。处理器800通过运行存储在存储器801中的程序指令/模块，从而执行功能应用以及数据处理，即实现上述实施例中用于控制nfc功能的方法。
118.存储器801可包括存储程序区和存储数据区，其中，存储程序区可存储操作至少一个功能所需的应用程序；存储数据区可存储根据终端设备的使用所创建的数据等。此外，存储器801可以包括高速随机存取存储器，还可以包括非易失性存储器。
119.结合图9所示，本公开实施例提供了一种电子设备3，包括：电子设备本体，以及上述的用于控制nfc功能的装置200(300)，用于控制nfc功能的装置200(300)被安装于所述电子设备本体。这里所表述的安装关系，并不仅限于在产品内部放置，还包括了与产品的其他元器件的安装连接，包括但不限于物理连接、电性连接或者信号传输连接等。本领域技术人员可以理解的是，用于控制nfc功能的装置200(300)可以适配于可行的产品主体，进而实现其他可行的实施例。
120.可选地，电子设备包括智能手机、智能手表等具备nfc功能的移动设备。
121.采用本公开实施例提供的电子设备，通过在发起业务请求的情况下，建立tee和tsm平台之间的安全会话通道。通过安全会话通道向tsm平台发起nfc功能开启请求，触发tsm平台反馈nfc功能开启指令。响应于nfc功能开启指令，开启nfc功能。判断业务请求是否处理完成，在业务请求处理完成的情况下，通过安全会话通道向tsm平台发起nfc功能关闭请求，触发tsm平台反馈nfc功能关闭指令。响应于nfc功能关闭指令，关闭nfc功能。通过直接基于tee实现与tsm平台的互信认证，建立tee与tsm平台之间的安全会话通道，通过该安全会话通道能够实现nfc功能的控制指令的传输。这样无需通过se硬件就能够实现nfc功能的开启和关闭。提高了nfc功能控制的兼容性。
122.本公开实施例提供了一种存储介质，存储有程序指令，程序指令在运行时，执行上述用于控制nfc功能的方法。
123.本公开实施例提供了一种计算机程序产品，所述计算机程序产品包括存储在计算
机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，使所述计算机执行上述用于控制nfc功能的方法。
124.上述的计算机可读存储介质可以是暂态计算机可读存储介质，也可以是非暂态计算机可读存储介质。
125.本公开实施例的技术方案可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括一个或多个指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本公开实施例所述方法的全部或部分步骤。而前述的存储介质可以是非暂态存储介质，包括：u盘、移动硬盘、只读存储器（rom，read-only memory）、随机存取存储器（ram，random access memory）、磁碟或者光盘等多种可以存储程序代码的介质，也可以是暂态存储介质。
126.以上描述和附图充分地示出了本公开的实施例，以使本领域的技术人员能够实践它们。其他实施例可以包括结构的、逻辑的、电气的、过程的以及其他的改变。实施例仅代表可能的变化。除非明确要求，否则单独的部件和功能是可选的，并且操作的顺序可以变化。一些实施例的部分和特征可以被包括在或替换其他实施例的部分和特征。而且，本技术中使用的用词仅用于描述实施例并且不用于限制权利要求。如在实施例以及权利要求的描述中使用的，除非上下文清楚地表明，否则单数形式的“一个”（a）、“一个”（an）和“所述”（the）旨在同样包括复数形式。类似地，如在本技术中所使用的术语“和/或”是指包含一个或一个以上相关联的列出的任何以及所有可能的组合。另外，当用于本技术中时，术语“包括”（comprise）及其变型“包括”（comprises）和/或包括（comprising）等指陈述的特征、整体、步骤、操作、元素，和/或组件的存在，但不排除一个或一个以上其它特征、整体、步骤、操作、元素、组件和/或这些的分组的存在或添加。在没有更多限制的情况下，由语句“包括一个
…”
限定的要素，并不排除在包括所述要素的过程、方法或者设备中还存在另外的相同要素。本文中，每个实施例重点说明的可以是与其他实施例的不同之处，各个实施例之间相同相似部分可以互相参见。对于实施例公开的方法、产品等而言，如果其与实施例公开的方法部分相对应，那么相关之处可以参见方法部分的描述。
127.本领域技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，可以取决于技术方案的特定应用和设计约束条件。所述技术人员可以对每个特定的应用来使用不同方法以实现所描述的功能，但是这种实现不应认为超出本公开实施例的范围。所述技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
128.本文所披露的实施例中，所揭露的方法、产品（包括但不限于装置、设备等），可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，可以仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部
分或者全部单元来实现本实施例。另外，在本公开实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。
129.附图中的流程图和框图显示了根据本公开实施例的方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这可以依所涉及的功能而定。在附图中的流程图和框图所对应的描述中，不同的方框所对应的操作或步骤也可以以不同于描述中所披露的顺序发生，有时不同的操作或步骤之间不存在特定的顺序。例如，两个连续的操作或步骤实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这可以依所涉及的功能而定。框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。