数据访问方法、应用信息配置方法及相关装置、设备与流程

1.本发明涉及计算机技术领域，尤其涉及一种数据访问方法、应用信息配置方法及相关装置、设备。


背景技术：

2.随着移动支付技术的发展，用户可在可穿戴设备上实现支付功能，例如，通过绑定支付账号，授权给可穿戴设备的支付应用一定的支付权限，如小于预设数额的扣款购物，乘坐公共交通时的票款支付等。
3.然而，在可穿戴设备具有多个支付应用时，则设备数据安全难以保障。


技术实现要素：

4.有鉴于此，本发明实施例提供一种数据访问方法、应用信息配置方法及相关装置、设备，以保障设备的数据安全。
5.为实现上述目的，本发明实施例提供如下技术方案：
6.本发明实施例提供一种数据访问方法，应用于安全组件，包括：
7.获取支付应用的访问请求，所述访问请求包括支付应用的标识符和对应所述支付应用的身份验证信息；
8.基于所述标识符，确定所述支付应用是否为合法应用；
9.若是，转发所述访问请求至安全域，以使得安全域在验证所述支付应用的标识符和身份验证信息后，基于所述支付应用所关联的支付资产，执行对应所述支付资产的访问。
10.可选的，在获取对所述支付资产的访问结果后，转发所述访问结果至所述支付应用。
11.可选的，所述基于所述标识符，确定所述支付应用是否为合法应用，包括：
12.确定所述标识符，与安全组件中记录的合法应用的标识符中的一个是否一致，若一致，则所述支付应用为合法应用；若所获取的标识符，与安全组件中记录的合法应用的标识符均不一致，则所述支付应用为非法应用。
13.可选的，若所述支付应用为非法应用，退出所述数据访问流程。
14.可选的，所述安全组件转发所述访问请求至安全域，具体为，所述安全组件基于安全接口，转发所述访问请求至安全域。
15.本发明实施例还提供一种数据访问方法，应用于安全域，包括：
16.获取支付应用的访问请求，所述访问请求包括支付应用的标识符和对应所述支付应用的身份验证信息；
17.基于所述标识符，确定与所述标识符关联的身份认证信息；
18.基于所述身份认证信息，验证所述身份验证信息是否合法；
19.若是，执行对所述支付应用对应的支付资产的访问，其中，所述支付应用仅允许访问与之对应的支付资产。
20.可选的，将对所述支付资产的访问结果返回至安全组件。
21.可选的，所述身份认证信息为身份认证证书，所述身份认证证书包括用于进行身份验证的身份认证私钥证书；
22.所述基于所述身份认证信息，验证所述身份验证信息是否合法，具体为，基于所述身份认证私钥证书和标识符，验证所述身份验证信息是否合法。
23.可选的，所述执行对所述支付应用对应的支付资产的访问，包括：
24.访问获取所述支付资产对应的私钥凭证；
25.或者，
26.访问获取所述支付资产对应的支付种子。
27.本发明实施例还提供一种数据访问方法，应用于支付应用，包括：
28.发送访问请求至安全组件，所述访问请求包括所述支付应用的标识符和对应所述支付应用的身份验证信息，以使得所述安全组件基于所述标识符，确定所述支付应用为合法应用时，转发所述访问请求至安全域，并使安全域在验证所述支付应用的标识符和身份验证信息后，基于所述支付应用所关联的支付资产，执行对应所述支付资产的访问；
29.获取所述安全组件转发的访问结果。
30.本发明实施例还提供一种应用信息配置方法，应用于安全组件，包括：
31.获取支付应用的配置请求，所述配置请求至少包括所述支付应用的标识符；
32.将所述配置请求发送至安全域，以使得安全域创建对应所述支付应用的身份认证信息以及对应所述支付应用的身份验证信息，并配置对应所述支付应用的支付资产；其中，所述支付应用仅访问与之对应的支付资产；
33.在获取所述身份验证信息后，记录所述标识符为合法应用的标识符；
34.转发所述身份验证信息至所述支付应用。
35.可选的，所述获取支付应用的配置请求之后，所述将所述配置请求发送至安全域之前，还包括：
36.基于所述标识符，确定所述支付应用是否为安全应用，若是，执行所述将所述配置请求发送至安全域的步骤。
37.可选的，所述基于所述标识符，确定所述支付应用是否为安全应用，具体为：
38.基于标识符中携带的发行商信息，确定支付应用是否为安全应用；
39.或者，
40.基于标识符中携带在预设位置的字符是否为预设字符，确定是否为安全应用。
41.可选的，所述将所述配置请求发送至安全域，具体为，基于安全接口，将所述配置请求发送至安全域。
42.本发明实施例还提供一种应用信息配置方法，应用于安全域，包括：
43.获取支付应用的配置请求，所述配置请求至少包括所述支付应用的标识符；
44.基于所述标识符，创建对应所述支付应用的身份认证信息，并关联所述标识符至所述身份认证信息；
45.基于所述身份认证信息，生成对应所述支付应用的身份验证信息，并配置对应所述支付应用的支付资产；其中，所述支付应用仅访问与之对应的支付资产；
46.返回所述支付应用的身份验证信息。
47.可选的，所述身份认证信息为身份认证证书，所述身份认证证书包括用于进行身份验证的身份认证私钥证书；
48.所述基于所述身份认证信息，生成对应所述支付应用的身份验证信息，具体为，基于该身份认证私钥证书和标识符，生成对应所述支付应用的身份验证信息。
49.可选的，所述配置对应所述支付应用的支付资产，包括：
50.配置所述支付应用对其所对应的支付资产的访问权限，其中，所述访问权限包括：支付应用对其对应的支付资产的访问中，支付凭证不可更新，和/或，支付令牌明文不可读取。
51.本发明实施例还提供一种应用信息配置方法，应用于支付应用，包括：
52.发送配置请求至安全组件，所述配置请求至少包括所述支付应用的标识符，以使得安全组件发送所述配置请求至安全域，并由所述安全域创建对应所述支付应用的身份认证信息以及对应所述支付应用的身份验证信息，并配置对应所述支付应用的支付资产；其中，所述支付应用仅访问与之对应的支付资产；
53.在安全组件获取所述身份验证信息，记录所述标识符为合法应用的标识符后，获取由安全组件转发的身份验证信息。
54.本发明实施例还提供一种安全组件，包括：
55.密码安全库应用单元，用于在获取支付应用的访问请求后，基于所述访问请求中携带的所述支付应用的标识符，确定所述支付应用是否为合法应用；其中，所述访问请求包括所述支付应用的标识符和对应所述支付应用的身份验证信息；
56.安全域客户端，用于在所述支付应用为合法应用时，转发所述支付应用的访问请求至安全域，以使得安全域在验证所述支付应用的标识符和身份验证信息后，基于所述支付应用所关联的支付资产，执行对应所述支付资产的访问；以及，在获取对所述支付资产的访问结果后，转发所述访问结果至所述支付应用。
57.本发明实施例还提供一种安全域，包括：
58.管理单元，用于基于所获取的支付应用的访问请求所携带的标识符，确定与所述标识符关联的身份认证信息；其中，所述访问请求包括支付应用的标识符和对应所述支付应用的身份验证信息；
59.验证单元，用于基于所述身份认证信息，验证所述身份验证信息是否合法；
60.若所述身份验证信息合法，所述管理单元执行对所述支付应用对应的支付资产的访问，并将对所述支付资产的访问结果返回至安全组件；其中，所述支付应用仅允许访问与之对应的支付资产。
61.本发明实施例还提供一种安全域，包括：
62.管理单元，用于基于所获取支付应用的配置请求所携带的标识符，创建对应所述支付应用的身份认证信息，并关联所述标识符至所述身份认证信息；
63.验证单元，用于基于所述身份认证信息，生成对应所述支付应用的身份验证信息；
64.管理单元在验证单元生成对应所述支付应用的身份验证信息后，还配置对应所述支付应用的支付资产，并返回所述支付应用的身份验证信息；其中，所述支付应用仅访问与之对应的支付资产。
65.本发明实施例还提供一种可穿戴设备，包括：至少一个存储器和至少一个处理器，
所述存储器存储程序，所述处理器调用所述程序，以执行上述实施例中应用于安全组件的数据访问方法，和/或，以执行上述实施例中应用于安全域的数据访问方法，和/或，以执行上述实施例中应用于支付应用的数据访问方法，和/或，以执行上述实施例中应用于安全组件的应用信息配置方法，和/或，以执行上述实施例中应用于安全域的应用信息配置方法，和/或，以执行上述实施例中应用于支付应用的应用信息配置方法。
66.本发明实施例还提供一种存储介质，所述存储介质存储执行上述实施例中应用于安全组件的数据访问方法的程序，和/或，存储执行上述实施例中应用于安全域的数据访问方法的程序，和/或，存储执行上述实施例中应用于支付应用的数据访问方法的程序，和/或，存储执行上述实施例中应用于安全组件的应用信息配置方法的程序，和/或，存储执行上述实施例中应用于安全域的应用信息配置方法的程序，和/或，存储执行上述实施例中应用于支付应用的应用信息配置方法的程序的程序。
67.本发明实施例还提供一种可穿戴设备，包括至少一个存储器和至少一个处理器，所述存储器存储程序，所述处理器调用所述程序，以执行上述所述的数据访问方法和/或应用信息配置方法。
68.本发明实施例还提供一种存储介质，所述存储介质存储执行上述所述的数据访问方法和/或应用信息配置方法的程序。
69.本发明实施例提供一种计算机程序，所述计算机程序被执行时，实现如上述实施例中的应用于安全组件的数据访问方法，和/或，上述实施例中应用于安全域的数据访问方法，和/或，上述实施例中应用于支付应用的数据访问方法，和/或，上述实施例中应用于安全组件的应用信息配置方法，和/或，上述实施例中应用于安全域的应用信息配置方法，和/或，上述实施例中应用于支付应用的应用信息配置方法。
70.可见，基于本发明实施例扩展的数据访问方法、应用信息配置方法及相关装置、设备，其中，所述数据访问方法中，在支付应用发出访问请求时，由安全组件基于所述支付应用的标识符验证支付应用为合法应用后，将支付应用的标识符和身份验证信息发送至安全域，并由安全域验证支付应用的标识符和身份验证信息后，基于支付应用所关联的支付资产，执行对应所述支付资产的访问。
71.可以看出，本发明实施例中的安全组件可以对支付应用是否为合法应用进行验证，从而避免非法应用进行与支付资产相关的访问操作，同时，在安全域内，支付应用与支付资产相关联，且安全域在验证支付应用的标识符和身份验证信息后，再基于所述支付应用所关联的支付资产，执行对应所述支付资产的访问，进一步避免了非法应用进行与支付资产相关的访问操作，同时，避免了不同支付应用之间互相访问/窃取支付资产的信息，保障了可穿戴设备的数据安全。
附图说明
72.图1为本发明实施例提供的可穿戴设备的可选架构示意图；
73.图2为本发明实施例提供的带有tee的系统架构示意图；
74.图3为本发明实施例提供的带有se的系统架构示意图；
75.图4为本发明实施例提供的应用信息配置方法的一种可选流程图；
76.图5为本发明实施例提供的数据访问方法的一种可选流程图；
77.图6为本发明实施例提供的可穿戴设备的可选架构示例图；
78.图7为本发明实施例提供的可穿戴设备的硬件结构示例图。
具体实施方式
79.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
80.其中，本发明下述各实施例涉及到的相关概念可以参考如下描述进行理解：
81.可穿戴设备：应用穿戴式技术对日常穿戴进行智能化设计、并进一步开发的可以穿戴的设备的总称，如智能眼镜、智能手套、智能手表、智能服饰等。
82.支付账号：与用户身份信息对应的支付方信息，用于实现支付功能中的扣款等操作，从而基于该支付账号，实现支付功能。
83.支付应用：用于实现支付功能的应用程序(application，app)，用于基于用户的请求，与服务器进行交互，并进一步基于相应的交互信息实现对应的支付功能。
84.如背景技术所述，在可穿戴设备具有多个支付应用时，则支付安全难以保障。这是由于，在可穿戴设备具有多个支付应用时，若可穿戴设备仅绑定一个支付账号，并使该支付账号支持多个支付应用使用，则存在可穿戴设备中的非法支付应用访问并使用该支付账号的风险；若可穿戴设备针对多个支付应用进行多个支付账号的绑定，存在不同支付应用访问并窃取其他支付应用的支付信息/账号信息的风险；因此，在可穿戴设备具有多个支付应用时，可穿戴设备的数据安全难以保障。
85.有鉴于此，本发明实施例提供了一种数据访问方法、应用信息配置方法及相关装置、设备，其中，所述数据访问方法中，在支付应用发出访问请求时，由安全组件基于所述支付应用的标识符验证支付应用为合法应用后，将支付应用的标识符和身份验证信息发送至安全域，并由安全域验证支付应用的标识符和身份验证信息后，基于支付应用所关联的支付资产，执行对应所述支付资产的访问。
86.可以看出，本发明实施例中的安全组件可以对支付应用是否为合法应用进行验证，从而避免非法应用进行与支付资产相关的访问操作，同时，在安全域内，支付应用与支付资产相关联，且安全域在验证支付应用的标识符和身份验证信息后，再基于所述支付应用所关联的支付资产，执行对应所述支付资产的访问，进一步避免了非法应用进行与支付资产相关的访问操作，同时，避免了不同支付应用之间互相访问/窃取支付资产的信息，保障了可穿戴设备的数据安全。
87.可以理解的是，在执行所述数据访问方法前，相应的应用信息(如支付应用标识符的验证信息，应用标识符与所关联的支付资产的对应关系信息)可以提前配置至安全组件和安全域。有鉴于此，本发明实施例进一步提供了一种应用信息配置方法，其中，安全组件可以将支付应用的标识符发送至安全域，而安全域在获取支付应用的标识符后，可以创建对应所述支付应用的身份认证信息，并基于所述身份认证信息，生成对应所述支付应用的身份验证信息，之后，关联对应所述支付应用的支付资产，并将支付应用的身份验证信息返回至所述安全组件，同时，由安全组件记录所述标识符为合法应用的标识符，并将所述身份
验证信息转发至所述支付应用，从而可以基于所述安全组件和所述安全域，保障了可穿戴设备的数据安全。
88.作为一种可选实现，图1示出了本发明实施例提供的可穿戴设备的可选架构示意图，其中，所述可穿戴设备可以包括：支付应用(如图中标号11、12和13)，安全组件2，以及，安全域3。
89.其中，可穿戴设备可以为智能手环、智能手表、智能眼镜等。支付应用可以理解为具有支付功能的应用，在获取相应的授权后，支付应用可以访问与之关联的支付资产，进而实现支付、转账等功能。在具体的示例中，支付应用例如可以提供离线支付码、乘车码、在线支付码等。
90.安全组件2用于提供对安全域3中的资产和服务的访问权限，同时提供支付应用标识符合法性验证。具体的，在安全组件中可以提供安全域3的调用接口，在确认支付应用为合法应用时，基于安全域3的调用接口，进行相关数据的访问。
91.安全域3可以理解为一个安全环境，其中可以运行有对安全要求较高的代码、存储对安全要求较高的数据。在可选实现中，安全域3可以为可信执行环境(trusted execution environment，tee)，也可以为安全元件(secure element，se)。其中，参考图2示出的带有tee的系统架构示意图，tee是设备主处理器上的一块独立安全区域，是与现有移动操作系统(os)并存的安全操作系统，通过软件和硬件的隔离为移动os环境提供安全功能；参考图3示出的带有se的系统架构示意图，se为设备上一个独立于主处理器的芯片，其内通过设置加密/解密逻辑电路，为设备提供安全的运行环境。
92.可以理解的是，可穿戴设备(以下简称为设备)的支付应用在实现对相关支付资产的数据访问前，首先可以将相应的应用信息(如支付应用标识符与身份验证信息的对应关系信息，支付应用标识符与所关联的支付资产的对应关系信息)提前配置至安全组件和安全域。参考图4示出的本发明实施例提供的应用信息配置方法的一种可选流程，该流程可以包括：
93.步骤s10、支付应用发送配置请求至安全组件，所述配置请求至少包括所述支付应用的标识符；
94.所述配置请求用于请求安全组件和安全域进行所述支付应用的信息配置，从而获取对应支付资产的数据访问权限。所述标识符可以理解为对应所述支付应用的唯一标识，不同设备上的支付应用对应有不同的标识符。基于所述支付应用的标识符的唯一性，可以判断所述支付应用是否合法。
95.所述标识符例如可以为一段字符，在一些可选示例中，不同位置的字符可以代表不同的含义，例如，某一位置的字符可以用于标记支付应用的发行商，另一位置的字符可以用于标记支付应用所在的设备编号，再一位置的字符可以用于标记支付应用的名称等，从而可以基于所述标识符，进行与支付应用相关的信息的判断。或者，在另一些可选的示例中，所述标识符还可以直接在预设位置设置一段字符，以表明所述支付应用为安全应用。
96.其中，所述标识符可以由发行商提供，也可以由支付应用基于自身携带的信息以及设备的信息相结合生成。
97.可以理解的是，在支付应用发送配置请求至安全组件后，相应的，安全组件可以获取支付应用的配置请求。
98.步骤s12、安全组件将所述配置请求发送至安全域；
99.安全组件在获取配置请求后，可以转发所述配置请求至安全域。
100.在可选的示例中，安全组件可以在将所述配置请求发送至安全域之前，进行支付应用的安全性判断，例如，可以执行步骤s11，基于所述标识符，确定所述支付应用是否为安全应用。在具体的示例中，所述安全组件可以预先设置有与标识符相关的判断信息，例如，可以以标识符中携带的发行商为可信任的发行商为准进行判断，基于标识符中携带的发行商信息，确定支付应用是否为安全应用；或者，基于标识符中携带在预设位置的字符是否为预设字符，确定是否为安全应用。
101.可以理解的是，基于安全组件进行支付应用的安全性判断，可以避免不安全应用(例如不明来源的支付应用)对安全域的访问，从而保证设备的数据安全。其中，在确定所述支付应用是安全应用时，可以执行步骤s12，在确定所述支付应用不为安全应用时，可以退出应用信息配置流程，并发出提示信息。
102.在进一步的示例中，所述将所述配置请求发送至安全域，可以基于安全接口执行，从而保障设备的数据安全。
103.步骤s13、安全域基于所述标识符，创建对应所述支付应用的身份认证信息，并关联所述标识符至所述身份认证信息；
104.安全域获取安全组件发送的标识符后，可以基于所述标识符，进行身份认证信息的创建。
105.具体的，基于所述标识符，可以创建与所述标识符唯一对应的身份认证信息。可以理解的是，在创建所述身份认证信息后，可以进行标识符至所述身份认证信息的关联，例如将标识符至所述身份认证信息进行绑定，从而可以在对支付应用进行身份验证时，基于该唯一关联的身份认证信息进行支付应用身份的确认。
106.所述身份认证信息可以为身份认证证书，所述身份认证证书中可以包括用于进行身份验证的身份认证私钥证书，从而可以在步骤s14中基于所述身份认证私钥证书生成与支付应用标识符唯一对应的身份验证信息。
107.步骤s14、安全域基于所述身份认证信息，生成对应所述支付应用的身份验证信息，并配置对应所述支付应用的支付资产；
108.在创建与所述标识符对应的身份认证信息后，可以基于该身份认证信息进行身份验证信息的生成。
109.在具体的示例中，在身份认证证书中可以包括用于进行身份验证的身份认证私钥证书时，可以基于该身份认证私钥证书和标识符，生成对应支付应用的身份验证信息。在具体的示例中，所述身份验证信息例如可以为身份令牌，基于该身份令牌，可以实现对支付应用的身份验证。其中，所述身份令牌可以理解为唯一代表支付应用的id序列或者字符串。
110.在生成对应支付应用的身份验证信息后，可以配置对应所述支付应用的支付资产，并从访问权限的角度使得所述支付应用仅访问与之对应的支付资产，从而避免支付应用对其他支付资产的随意访问，保障设备的数据安全。
111.在具体的示例中，所述支付资产例如可以为支付凭证、支付令牌等，该支付凭证例如可以为用于进行第三方支付云服务所需要的凭证。在进一步的示例中，还可以配置所述支付应用对其所对应的支付资产的具体的访问权限，例如，在支付应用对其对应的支付资
产的访问中，支付凭证不可更新，支付令牌明文不可读取等。
112.步骤s15、安全域返回所述支付应用的身份验证信息；
113.在配置对应所述支付应用的支付资产后，可以将对应的身份验证信息进行返回，以使得支付应用基于其身份验证信息进行身份的验证，从而执行相关支付资产的访问。
114.相应的，在安全安全域返回所述支付应用的身份验证信息后，安全组件可以获取所述身份验证信息，并执行步骤s16。
115.步骤s16、安全组件记录所述标识符为合法支付应用的标识符；
116.其中，安全组件基于所记录的标识符，可以在支付应用访问支付资产的流程中，判断支付应用是否为安全应用。
117.步骤s17、安全组件转发所述身份验证信息至所述支付应用。
118.在进一步的可选实现中，本发明实施例还提供了一种数据访问方法，参考图5示出的本发明实施例提供的数据访问方法的一种可选流程，该流程可以包括：
119.步骤s20、支付应用发送访问请求至安全组件，所述访问请求包括所述支付应用的标识符和对应所述支付应用的身份验证信息；
120.其中，所述访问请求用于请求访问对应所述支付应用的支付资产，从而基于所述支付资产，实现支付应用的支付功能。所述支付应用的标识符和对应所述支付应用的身份验证信息，用于实现对支付应用的身份验证，从而保证支付应用所访问的支付资产的数据安全。
121.所述身份验证信息例如可以为身份令牌。
122.步骤s21、安全组件基于所述标识符，确定所述支付应用是否为合法应用；
123.其中，安全组件在获取支付应用的访问请求后，可以获取对应支付应用的标识符和对应所述支付应用的身份验证信息。
124.其中，所述支付应用是否为合法应用，可以基于所获取的标识符进行支付应用的合法性判断。在具体的示例中，可以基于所获取的标识符与安全组件中记录的合法应用的标识符相比对进行确认。可以理解的是，所述安全组件可以记录多个合法应用的标识符，相应的，所述确定流程具体可以为，确定所获取的标识符，与安全组件中记录的合法应用的标识符中的一个是否一致，若一致，则认为所述支付应用为合法应用，执行步骤s22；若所获取的标识符，与安全组件中记录的合法应用的标识符均不一致，则认为所述支付应用为非法应用。
125.其中，在支付应用为非法应用时，可以退出所述数据访问流程，进一步的，还可以发出提示信息，表明支付应用为非法应用。
126.步骤s22、安全组件转发所述访问请求至安全域；
127.在确定支付应用为合法应用时，安全组件可以转发所述访问请求至安全域，以使得安全域进行相应的身份确认和数据访问。
128.在可选示例中，所述安全组件中还设置有安全接口，所述安全组件可以基于该安全接口，转发所述访问请求至安全域，从而保证设备的数据安全。
129.步骤s23、安全域基于所述标识符，确定与所述标识符关联的身份认证信息；
130.可以理解的是，所述访问请求包括支付应用的标识符和对应所述支付应用的身份验证信息，在安全域获取支付应用的访问请求后，可以得到支付应用的标识符和对应所述
支付应用的身份验证信息。
131.其中，基于前述配置流程中，安全域中预先进行了标识符与身份认证信息的关联，相应的，所述安全域可以基于所述支付应用的标识符，确定与所述标识符关联的身份认证信息。
132.步骤s24、安全域基于所述身份认证信息，验证所述身份验证信息是否合法；
133.可以理解的是，在确定所述身份认证信息后，可以基于所述身份认证信息进行身份验证信息的确认。在具体的示例中，所述身份验证信息可以为支付应用的身份令牌。
134.在可选的示例中，所述身份认证信息可以为身份认证证书，所述身份认证证书中可以包括用于进行身份验证的身份认证私钥证书，所述身份验证信息可以基于该身份认证私钥证书和标识符生成，相应的，所述身份验证信息的验证可以基于所述身份认证私钥证书和标识符实现。
135.其中，在所述身份验证信息为合法时，表明所述支付应用通过身份验证，执行步骤s25；在所述身份验证信息为非法时，表明所述支付应用未通过身份验证，则退出所述数据访问流程，并发出提示信息，以指示所述支付应用为非法应用。
136.步骤s25、安全域执行对所述支付应用对应的支付资产的访问；
137.在确定所述支付应用为合法应用时，表明支付应用通过身份验证，从而可以执行对所述支付应用对应的支付资产的访问。
138.需要说明的是，即使支付应用通过身份验证，所述支付应用仅允许访问与之对应的支付资产，相应的，在支付应用通过身份验证后，安全域执行对所述支付应用对应的支付资产的访问。
139.其中，在执行对所述支付资产的访问时，可以基于访问请求中的信息，执行不同的访问操作，例如，可以访问获取所述支付资产对应的私钥凭证；或者，访问获取所述支付资产对应的支付种子。可以理解的是，不同支付应用对应的支付资产可以不同，相应的访问流程或访问内容也对应不同，在具体的示例中，若支付应用用于获取二维码支付，可以访问其所关联的支付资产存储在安全域中的静态数据，如支付资产对应的私钥凭证等；若支付应用用于获取交通支付码时，可以访问其所关联的支付资产对应的支付种子，并在安全域中基于该支付种子动态生成交通支付码，并将交通支付码作为访问结果进行返回。
140.步骤s26、安全域将对所述支付资产的访问结果返回至安全组件；
141.其中，所述访问结果例如可以为用于支付的二维码、乘车码等。
142.步骤s27、安全组件转发所述访问结果至所述支付应用；
143.在安全组件获取对所述支付资产的访问结果后，可以执行对所述访问结果的转发。
144.可以看出，本发明实施例中的安全组件可以对支付应用是否为合法应用进行验证，从而避免非法应用进行与支付资产相关的访问操作，同时，在安全域内，支付应用与支付资产相关联，且安全域在验证支付应用的标识符和身份验证信息后，再基于所述支付应用所关联的支付资产，执行对应所述支付资产的访问，进一步避免了非法应用进行与支付资产相关的访问操作，同时，避免了不同支付应用之间互相访问/窃取支付资产的信息，保障了可穿戴设备的数据安全。
145.需要说明的是，本发明实施例可以基于少资源芯片(如：ble低功耗蓝牙、mcu微控
制单元)的安全机制进行独立于os安全机制的安全扩展(即安全域设置)，能够提供满足支付应用安全性的资产访问和使用方案，为用户保障了不同支付应用的安全性。
146.另外，本发明实施例可灵活部署第三方支付应用，且能够保护第三方支付资产的数据安全。
147.在本发明实施例中，在图1示出的可穿戴设备的可选架构的基础上，进一步提供了一种可穿戴设备的可选架构示例，参考图6示出的本发明实施例提供的可穿戴设备的可选架构示例图，所述可穿戴设备中，安全组件2可以包括密码安全库应用单元21和安全域客户端22，安全域3可以包括管理单元31，验证单元32，支付资产(图中示为33-1、33-2、33-3)。其中，支付资产33-1可以对应于支付应用11，支付资产33-2可以对应于支付应用12，支付资产33-3可以对应于支付应用13。
148.其中，密码安全库应用单元21，用于提供支付应用的合法性验证，并提供对安全域里资产和服务的访问权限。在具体的在具体的实现中，所述密码安全库应用单元21用于基于所述标识符，确定所述支付应用是否为合法应用。
149.所述安全域客户端22用于提供与安全域通讯的接口，其中，所述接口可以为专用的安全接口，从而保障安全域的数据安全。在具体的实现中，所述安全域客户端22可以在进行支付应用的数据访问流程中，转发支付应用的访问请求至安全域，在接口为安全接口时，所述安全域客户端22可以调用安全接口，转发支付应用的访问请求至安全域。在应用信息配置流程中，所述安全域客户端22可以将支付应用的配置请求发送至安全域。
150.所述管理单元31用于管理和配置支付资产的访问权限。验证单元32用于验证所述支付应用的身份，为支付应用提供身份识别服务。所述支付资产可以理解为为实现支付功能的资产信息。
151.在具体的实现中，针对支付应用的数据访问流程，管理单元31，用于基于所获取的支付应用的访问请求所携带的标识符，确定与所述标识符关联的身份认证信息；其中，所述访问请求包括支付应用的标识符和对应所述支付应用的身份验证信息；
152.验证单元32，用于基于所述身份认证信息，验证所述身份验证信息是否合法；
153.若所述身份验证信息合法，所述管理单元31执行对所述支付应用对应的支付资产的访问，并将对所述支付资产的访问结果返回至安全组件；其中，所述支付应用仅允许访问与之对应的支付资产。
154.针对应用信息配置流程，管理单元31，还可以用于基于所获取支付应用的配置请求所携带的标识符，创建对应所述支付应用的身份认证信息，并关联所述标识符至所述身份认证信息；
155.验证单元32，还可以用于基于所述身份认证信息，生成对应所述支付应用的身份验证信息；
156.管理单元31在验证单元32生成对应所述支付应用的身份验证信息后，进一步可以配置对应所述支付应用的支付资产，并返回所述支付应用的身份验证信息；其中，所述支付应用仅访问与之对应的支付资产。
157.本发明实施例还提供一种可穿戴设备，该可穿戴设备可以通过装载程序形式的装载上述所述的支付应用、安全组件和安全域，以执行本发明实施例提供的数据访问方法和/或应用信息配置方法。
158.可选的，本发明实施例提供的可穿戴设备的硬件结构可以如图7所示，包括：至少一个处理器01，至少一个通信接口02，至少一个存储器03和至少一个通信总线04；
159.可选的，通信接口02可以为用于进行网络通信的通信模块的接口；
160.处理器01可能是处理器cpu，微处理器mcu，或者是特定集成电路asic(application specific integrated circuit)，或者是被配置成实施本发明实施例的一个或多个集成电路。
161.存储器03可能包含高速ram存储器，也可能还包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。
162.其中，存储器03存储有程序，处理器01调用存储器03所存储的程序，以执行本发明实施例提供的数据访问方法和/或应用信息配置方法。
163.本发明实施例还提供一种存储介质，该存储介质存储有执行本发明实施例提供的数据访问方法和/或应用信息配置方法的程序。
164.本发明实施例还提供一种计算机程序，所述计算机程序被执行时实现如上述实施例中的应用于安全组件的数据访问方法，和/或，上述实施例中应用于安全域的数据访问方法，和/或，上述实施例中应用于支付应用的数据访问方法，和/或，上述实施例中应用于安全组件的应用信息配置方法，和/或，上述实施例中应用于安全域的应用信息配置方法，和/或，上述实施例中应用于支付应用的应用信息配置方法。
165.虽然本发明披露如上，但本发明并非限定于此。任何本领域技术人员，在不脱离本发明的精神和范围内，均可作各种更动与修改，因此本发明的保护范围应当以权利要求所限定的范围为准。

技术特征：
1.一种数据访问方法，其特征在于，应用于安全组件，包括：获取支付应用的访问请求，所述访问请求包括支付应用的标识符和对应所述支付应用的身份验证信息；基于所述标识符，确定所述支付应用是否为合法应用；若是，转发所述访问请求至安全域，以使得安全域在验证所述支付应用的标识符和身份验证信息后，基于所述支付应用所关联的支付资产，执行对应所述支付资产的访问。2.如权利要求1所述的数据访问方法，其特征在于，所述执行对应所述支付资产的访问之后，还包括：在获取对所述支付资产的访问结果后，转发所述访问结果至所述支付应用；其中，所述基于所述标识符，确定所述支付应用是否为合法应用，包括：确定所述标识符，与安全组件中记录的合法应用的标识符中的一个是否一致，若一致，则所述支付应用为合法应用；若所获取的标识符，与安全组件中记录的合法应用的标识符均不一致，则所述支付应用为非法应用；若所述支付应用为非法应用，退出所述数据访问流程。3.如权利要求1所述的数据访问方法，其特征在于，所述安全组件转发所述访问请求至安全域，具体为，所述安全组件基于安全接口，转发所述访问请求至安全域。4.一种数据访问方法，其特征在于，应用于安全域，包括：获取支付应用的访问请求，所述访问请求包括支付应用的标识符和对应所述支付应用的身份验证信息；基于所述标识符，确定与所述标识符关联的身份认证信息；基于所述身份认证信息，验证所述身份验证信息是否合法；若是，执行对所述支付应用对应的支付资产的访问，其中，所述支付应用仅允许访问与之对应的支付资产。5.如权利要求4所述的数据访问方法，其特征在于，所述执行对所述支付应用对应的支付资产的访问之后，还包括，将对所述支付资产的访问结果返回至安全组件；其中，所述身份认证信息为身份认证证书，所述身份认证证书包括用于进行身份验证的身份认证私钥证书；所述基于所述身份认证信息，验证所述身份验证信息是否合法，具体为，基于所述身份认证私钥证书和标识符，验证所述身份验证信息是否合法。6.如权利要求4所述的数据访问方法，其特征在于，所述执行对所述支付应用对应的支付资产的访问，包括：访问获取所述支付资产对应的私钥凭证；或者，访问获取所述支付资产对应的支付种子。7.一种数据访问方法，其特征在于，应用于支付应用，包括：发送访问请求至安全组件，所述访问请求包括所述支付应用的标识符和对应所述支付应用的身份验证信息，以使得所述安全组件基于所述标识符，确定所述支付应用为合法应用时，转发所述访问请求至安全域，并使安全域在验证所述支付应用的标识符和身份验证信息后，基于所述支付应用所关联的支付资产，执行对应所述支付资产的访问；获取所述安全组件转发的访问结果。
8.一种应用信息配置方法，其特征在于，应用于安全组件，包括：获取支付应用的配置请求，所述配置请求至少包括所述支付应用的标识符；将所述配置请求发送至安全域，以使得安全域创建对应所述支付应用的身份认证信息以及对应所述支付应用的身份验证信息，并配置对应所述支付应用的支付资产；其中，所述支付应用仅访问与之对应的支付资产；在获取所述身份验证信息后，记录所述标识符为合法应用的标识符；转发所述身份验证信息至所述支付应用。9.如权利要求8所述的应用信息配置方法，其特征在于，所述获取支付应用的配置请求之后，所述将所述配置请求发送至安全域之前，还包括：基于所述标识符，确定所述支付应用是否为安全应用，若是，执行所述将所述配置请求发送至安全域的步骤。10.一种应用信息配置方法，其特征在于，应用于安全域，包括：获取支付应用的配置请求，所述配置请求至少包括所述支付应用的标识符；基于所述标识符，创建对应所述支付应用的身份认证信息，并关联所述标识符至所述身份认证信息；基于所述身份认证信息，生成对应所述支付应用的身份验证信息，并配置对应所述支付应用的支付资产；其中，所述支付应用仅访问与之对应的支付资产；返回所述支付应用的身份验证信息。11.一种应用信息配置方法，其特征在于，应用于支付应用，包括：发送配置请求至安全组件，所述配置请求至少包括所述支付应用的标识符，以使得安全组件发送所述配置请求至安全域，并由所述安全域创建对应所述支付应用的身份认证信息以及对应所述支付应用的身份验证信息，并配置对应所述支付应用的支付资产；其中，所述支付应用仅访问与之对应的支付资产；在安全组件获取所述身份验证信息，记录所述标识符为合法应用的标识符后，获取由安全组件转发的身份验证信息。12.一种安全组件，其特征在于，包括：密码安全库应用单元，用于在获取支付应用的访问请求后，基于所述访问请求中携带的所述支付应用的标识符，确定所述支付应用是否为合法应用；其中，所述访问请求包括所述支付应用的标识符和对应所述支付应用的身份验证信息；安全域客户端，用于在所述支付应用为合法应用时，转发所述支付应用的访问请求至安全域，以使得安全域在验证所述支付应用的标识符和身份验证信息后，基于所述支付应用所关联的支付资产，执行对应所述支付资产的访问；以及，在获取对所述支付资产的访问结果后，转发所述访问结果至所述支付应用。13.一种安全域，其特征在于，包括：管理单元，用于基于所获取的支付应用的访问请求所携带的标识符，确定与所述标识符关联的身份认证信息；其中，所述访问请求包括支付应用的标识符和对应所述支付应用的身份验证信息；验证单元，用于基于所述身份认证信息，验证所述身份验证信息是否合法；若所述身份验证信息合法，所述管理单元执行对所述支付应用对应的支付资产的访
问；其中，所述支付应用仅允许访问与之对应的支付资产。14.一种可穿戴设备或存储介质，其特征在于，所述可穿戴设备包括：至少一个存储器和至少一个处理器，所述存储器存储程序，所述处理器调用所述程序，以执行权利要求1-3任一项所述的数据访问方法，和/或，以执行权利要求4-6任一项所述的数据访问方法，和/或，以执行权利要求7所述的数据访问方法，和/或，以执行权利要求8-9任一项所述的应用信息配置方法，和/或，以执行权利要求10所述的应用信息配置方法，和/或，以执行权利要求11所述的应用信息配置方法；或者，所述存储介质存储执行权利要求1-3任一项所述的数据访问方法的程序，和/或，存储执行权利要求4-6任一项所述的数据访问方法的程序，和/或，存储执行权利要求7所述的数据访问方法的程序，和/或，存储执行权利要求8-9任一项所述的应用信息配置方法的程序，和/或，存储执行权利要求10所述的应用信息配置方法的程序，和/或，存储执行权利要求11所述的应用信息配置方法的程序。

技术总结
本发明实施例提供数据访问方法、应用信息配置方法及相关装置、设备，其中，所述数据访问方法中，在支付应用发出访问请求时，由安全组件基于所述支付应用的标识符验证支付应用为合法应用后，将支付应用的标识符和身份验证信息发送至安全域，并由安全域验证支付应用的标识符和身份验证信息后，基于支付应用所关联的支付资产，执行对应所述支付资产的访问。本发明实施例可以保障可穿戴设备的数据安全。明实施例可以保障可穿戴设备的数据安全。明实施例可以保障可穿戴设备的数据安全。


技术研发人员：崔晓夏
受保护的技术使用者：阿里巴巴（中国）有限公司
技术研发日：2023.05.05
技术公布日：2023/8/24