專利名稱:移動終端及其鎖網(wǎng)/鎖卡的實現(xiàn)方法
技術領域:
本發(fā)明涉及通信領域���,尤其涉及一種移動終端及其鎖網(wǎng)/鎖卡的 實J見方法����。
背景技術:
目前,在相關4支術中���,越來越多的移動終端在廣泛的應用���,并 且,運營商還能夠根據(jù)自身的需要定制移動終端產(chǎn)品���。運營商在定 制移動終端產(chǎn)品時����,往往會提出鎖網(wǎng)/鎖卡的需求�����,即,要求定制的 移動終端只能使用特定的移動網(wǎng)絡或者特定的客戶識別模塊
(Subscriber Identity Model,簡稱為SIM)卡/全J求用戶識別才莫塊 (Universal Subscriber Identity Model,簡稱�����、為USIM )卡�,以有-文i也 解決用戶私自轉網(wǎng)、以及客戶群流失等問題����。
此外,運營商還對鎖網(wǎng)/鎖卡的安全性4是出了很高的要求�����。但是�, 目前還沒有能夠有效保護鎖網(wǎng)/鎖卡相關的敏感數(shù)據(jù)、以及防止黑客 石皮解鎖網(wǎng)/鎖卡的安全有效才幾制�。并且,運營商還希望給用戶4是供的 移動終端是支持鎖網(wǎng)/鎖卡功能的��,并且該終端的鎖網(wǎng)/鎖卡功能可以 靈活的設置��。但是���,在相關技術中����,鎖網(wǎng)/鎖卡的實現(xiàn)是依靠提供支
鎖卡功能的選擇靈活性較差�����,鎖網(wǎng)/鎖卡的安全性較低���。然而��,針對 上述終端選擇是否鎖網(wǎng)/鎖卡的靈活性�、安全性差的問題�����,目前尚未 提出有效的解決方案����。
發(fā)明內容
考慮到相關技術中移動終端選擇鎖網(wǎng)/鎖卡的靈活性差的問題 而提出本發(fā)明,為此����,本發(fā)明的主要目的在于提供一種移動終端及 其鎖網(wǎng)/鎖卡的實現(xiàn)方法,以解決相關技術中存在的上述問題�����。
根據(jù)本發(fā)明的 一個方面,提供了 一種鎖網(wǎng)/鎖卡的實現(xiàn)方法���。
才艮據(jù)本發(fā)明的鎖網(wǎng)/鎖卡的實現(xiàn)方法包括在移動終端的預定存 儲介質中寫入攜帶有鎖網(wǎng)/鎖卡策略字段的鎖網(wǎng)/鎖卡數(shù)據(jù)�,其中���,鎖 網(wǎng)/鎖卡策略字段用于標識移動終端是否啟動鎖網(wǎng)/鎖卡功能��;在移動
檢查����,并根據(jù)鎖網(wǎng)/鎖卡策略字段執(zhí)行相應的操作��。
優(yōu)選地�����,預定存4諸介質為一次性編程存<諸介質���。
優(yōu)選地����,在移動終端的預定存儲介質中寫入攜帶有鎖網(wǎng)/鎖卡策 略字段的鎖網(wǎng)/鎖卡數(shù)據(jù)包括PC端的鎖網(wǎng)工具讀取為移動終端隨 才幾生成的解鎖碼,并通過預定算法計算解鎖碼的散列值�,即HASH 值;鎖網(wǎng)工具根據(jù)HASH值���、鎖網(wǎng)/鎖卡數(shù)據(jù)以及鎖網(wǎng)/鎖卡策略字 段計算散列消息驗證碼,即HMAC值�����,并使用預定非對稱加密密鑰 對中的私鑰對HMAC值進4亍加密��;鎖網(wǎng)工具將鎖網(wǎng)/鎖卡數(shù)據(jù)連同 HASH ^f直禾口力����。密后的HMAC ^f直一并寫入到移動纟冬端。
優(yōu)選地��,移動終端進4亍鎖網(wǎng)/鎖卡初始化4企查包括移動終端偵L 用預定算法��,根據(jù)讀取的HASH值�、鎖網(wǎng)/鎖卡數(shù)據(jù)及攜帶的鎖網(wǎng)/ 鎖卡策略字,殳計算HMAC值;移動終端使用預定非對稱加密密鑰對 中的7>鑰乂于加密后的HMAC 4直進4亍解密����,并判斷解密后的HMAC 值與計算得到的HMAC值是否相同�;如果相同��,則確定鎖網(wǎng)/鎖卡 初始化檢查成功����,移動終端正常啟動;否則�,確定鎖網(wǎng)/鎖卡初始化 才全查失敗。優(yōu)選地���,初始化4企查后����,方法還包括���,移動終端4丸行解鎖纟喿作�����,
包括移動終端^f吏用預定算法計算用戶輸入的解碼鎖的HASH值��, 并判斷計算得到的HASH值是否與寫入移動終端的HASIK直相同�, 如果相同,則將用戶輸入的解碼鎖保存在移動終端的存儲設備的特 定位置�。
優(yōu)選地,移動終端根據(jù)鎖網(wǎng)/鎖卡策略字段執(zhí)行相應的操作包 括在移動終端正常啟動后�����,根據(jù)鎖網(wǎng)/鎖卡策略字段定時檢查移動 終端是否啟動鎖網(wǎng)/鎖卡功能��;如果不啟動鎖網(wǎng)/鎖卡功能�,則移動終 端^4居用戶的指令才丸4亍相應處理,如果啟動鎖網(wǎng)/鎖卡功能��,則移動 終端檢查是否已經(jīng)執(zhí)行了正確的解鎖操作�����;如果已經(jīng)執(zhí)行了正確的 解鎖_燥作���,則移動終端才艮據(jù)用戶的指令沖丸^亍相應處理;如果沒有寺丸
行正確的解鎖操作�,則移動終端從客戶識別模塊/全球用戶識別模 塊,即SIM/USIM卡中讀取基本文件分組標識1,即EF—GID1和本 地公用陸地移動網(wǎng)絡��,并確定EF—GID1以及本地7>用陸地移動網(wǎng)絡 中包含的移動國家號碼���、移動網(wǎng)號是否保存在移動終端���;如果確定 結果為是�����,則移動終端才艮據(jù)用戶的指令^M亍相應處理�,否則��,移動 終端4是示服務不可用�。
優(yōu)選地,移動終端4全查是否已經(jīng)執(zhí)行了正確的解鎖���,喿作的處理 包括移動終端從特定位置讀取用戶輸入的解碼鎖���,使用預定算法 計算讀取的解碼鎖的HASH值,并判斷計算得到的HASH值與寫入 的HASH值是否相同���;如果相同��,則確定已經(jīng)才丸行了正確的解鎖梯: 作�;如果不相同�����、或者特定位置為空,則確定沒有扭"行正確的解鎖 操作�。
優(yōu)選地,其特征在于����,預定算法包括安全散列算法。 才艮據(jù)本發(fā)明的另一方面�����,提供了一種移動終端����。根據(jù)本發(fā)明的移動終端包括接收模塊����,用于接收通過PC端
中,鎖網(wǎng)/鎖卡策略字段用于標識移動終端是否啟動鎖網(wǎng)/鎖卡功能���; 預定存儲介質����,用于存儲鎖網(wǎng)/鎖卡數(shù)據(jù);初始化檢查模塊�����,用于在 移動終端啟動時��,對保存的鎖網(wǎng)/鎖卡凄t據(jù)進行鎖網(wǎng)/鎖卡初始化才全 查����;執(zhí)行模塊,用于根據(jù)鎖網(wǎng)/鎖卡策略字段執(zhí)行相應的操作���。
優(yōu)選地���,上述預定存儲介質可以為一次性編程存4諸介質。
借助于本發(fā)明的技術方案���,通過設置鎖網(wǎng)/鎖卡策略字段���,解決 了相關技術中移動終端鎖網(wǎng)/鎖卡的靈活性差的問題,能夠使終端靈 活設置鎖網(wǎng)/鎖卡的鎖定或者不鎖定狀態(tài)���。
本發(fā)明的其它特征和優(yōu)點將在隨后的說明書中闡述�,并且,部 分地從說明書中變得顯而易見��,或者通過實施本發(fā)明而了解�����。本發(fā) 明的目的和其他優(yōu)點可通過在所寫的說明書�����、權利要求書�����、以及附 圖中所特別指出的結構來實現(xiàn)和獲得�。
附圖用來提供對本發(fā)明的進一 步理解,并且構成i兌明書的 一部 分����,與本發(fā)明的實施例一起用于解釋本發(fā)明���,并不構成對本發(fā)明的 限制�����。在附圖中
圖1是根據(jù)本發(fā)明實施例的鎖網(wǎng)/鎖卡的實現(xiàn)方法的流程圖2是根據(jù)本發(fā)明實施例的鎖網(wǎng)/鎖卡的實現(xiàn)方法的通過鎖網(wǎng) 工具將鎖網(wǎng)/鎖卡婆t據(jù)寫入移動終端的詳細處理的流程圖3是根據(jù)本發(fā)明實施例的鎖網(wǎng)/鎖卡的實現(xiàn)方法的移動終端 進行鎖網(wǎng)/鎖卡初始化檢查的詳細處理的流程圖����;圖4是根據(jù)本發(fā)明實施例的鎖網(wǎng)/鎖卡的實現(xiàn)方法的移動終端 定時4企查鎖網(wǎng)/鎖卡的狀態(tài)的詳細處理的流程圖5是根據(jù)本發(fā)明實施例的鎖網(wǎng)/鎖卡的實現(xiàn)方法的解鎖方法 的詳細處理的流程圖6根據(jù)本發(fā)明實施例的移動終端的框圖。
具體實施例方式
功能概述
臺匕
H匕
目前�,運營商要求其定制的移動終端能夠具有鎖網(wǎng)/鎖卡的功 即,移動終端只能使用特定的網(wǎng)絡或者特定的卡�, 一般是運營
商會指定本地公用陸地移動網(wǎng)絡(Home Public Land Mobile Network,簡稱為HPLMN)或者基本文件分組標識1 (Elementary Files Group Identifier Level 1,簡稱為EF—GID1 )�����。此夕卜�,運營商還 希望給定制的移動終端支持鎖網(wǎng)/鎖卡功能的同時,還能夠對鎖網(wǎng)/ 鎖卡功能進行靈活的設置�。然而,在相關技術是僅僅依靠提供支持
網(wǎng)/鎖卡功能的靈活性很差���。
因此���,本發(fā)明提供了 一種基于公開密鑰體系(Public Key Infrastructure,簡稱為PKI)體系和石更件^床護^L制的移動終端鎖網(wǎng)/ 鎖卡方法和對應的解鎖方法,在本發(fā)明的4支術方案中���,移動終端才妄 收由個人計算才幾(Personal Computer ��,簡稱為PC )端的鎖網(wǎng)工具寫 入的攜帶有鎖網(wǎng)/鎖卡策略字段的鎖網(wǎng)/鎖卡數(shù)據(jù)�����,其中�����,鎖網(wǎng)/鎖卡 策略字段用于標識該移動終端是否需要啟動鎖網(wǎng)/鎖卡功能����;移動終 端將鎖網(wǎng)/鎖卡數(shù)據(jù)保存在預定存儲介質中;在移動終端啟動時�����,移 動終端對保存的鎖網(wǎng)/鎖卡數(shù)據(jù)進行鎖網(wǎng)/鎖卡初始化檢查��,并根據(jù)鎖 網(wǎng)/鎖卡策略字段執(zhí)行相應的操作���。以下結合附圖對本發(fā)明的優(yōu)選實施例進行說明����,應當理解�����,此 處所描述的優(yōu)選實施例僅用于說明和解釋本發(fā)明���,并不用于限定本 發(fā)明����。
以下描述了用于移動終端鎖網(wǎng)/鎖卡的實現(xiàn)方法和移動終端���。在 以下的描述中���,為了解釋的目的,描述了多個特定的細節(jié)���,以提供 對本發(fā)明的透徹理解���。然而,4艮顯然����,在沒有這些特定細節(jié)的情況 下,也可以實i見本發(fā)明。
方法實施例
根據(jù)本發(fā)明的實施例����,提供了一種鎖網(wǎng)/鎖卡的實現(xiàn)方法,圖1 是根據(jù)本發(fā)明實施例的鎖網(wǎng)/鎖卡的實現(xiàn)方法的流程圖�,如圖1所示,
包凌舌以下處理(步-驟S102-步艱《S104):
步驟S102���,在移動終端的預定存儲介質中寫入攜帶有鎖網(wǎng)/鎖 卡策略字段的鎖網(wǎng)/鎖卡數(shù)據(jù)�,其中��,鎖網(wǎng)/鎖卡策略字段用于標識移 動終端是否啟動鎖網(wǎng)/鎖卡功能�����;也就是說���,除了和鎖網(wǎng)/鎖卡相關的 凄t據(jù)以外����,本發(fā)明的實施例還"i殳計了一個鎖網(wǎng)/鎖卡策略字,殳���。在移 動終端下載了支持鎖網(wǎng)/鎖卡的軟件版本后(該軟件已經(jīng)使用PC端 的PKI簽名工具進行簽名)��,如果不利用鎖網(wǎng)工具進行鎖網(wǎng)操作�, 則移動終端就相當于 一個普通的終端。在寫入與鎖網(wǎng)/鎖卡相關的數(shù) 據(jù)時�,只有設定鎖網(wǎng)/鎖卡策略為鎖的時候����,移動終端才真正的鎖定, 否則移動終端就相當于一個沒有鎖定的普通終端���。
具體地�����,在步驟S102中�����,在鎖網(wǎng)工具對移動終端進行寫入時�, 鎖網(wǎng)工具會首先讀耳又為移動終端隨才幾生成的解鎖碼���,并^f吏用安全性 較高的SHA-1算法對解鎖碼計算散列(HASH)值;鎖網(wǎng)工具將 HASH值�����、鎖網(wǎng)/鎖卡數(shù)據(jù)(包括移動國家號碼(Mobile Country Code,簡稱為MCC)、移動網(wǎng)號(Mobile Network Code,簡稱為MNC )列表或者基本文4牛分纟且才示識1 (Elementary Files Group Identifier level 1���,簡稱為EF—GID1列表)、以及攜帶的鎖網(wǎng)/鎖卡策 略字段作為整體計算散歹'J消息馬全證碼(Hashed Message Authentication Code,簡稱為HMAC)值�,并使用非對稱加密(Rivest Shamir Adleman,簡稱為RSA )密鑰對中的私鑰對HMAC ^f直進4亍力口 密;并將鎖網(wǎng)/鎖卡數(shù)據(jù)��、解鎖碼的HASH值�����、鎖網(wǎng)/鎖卡策略字賴: 和對應的HMAC值密文一起寫入移動終端�。
下面�,結合附圖,對通過鎖網(wǎng)工具將攜帶有鎖網(wǎng)/鎖卡策略字段 的鎖網(wǎng)/鎖卡數(shù)據(jù)寫入移動終端的處理進行詳細的說明(對應于圖1 中的步驟S102),圖2是根據(jù)本發(fā)明實施例的鎖網(wǎng)/鎖卡的實現(xiàn)方法 的通過鎖網(wǎng)工具將鎖網(wǎng)/鎖卡凝:據(jù)寫入移動終端的詳細處理的流程 圖�,如圖2所示�,包4舌以下處理
步艱《S201,隨才幾生成解鎖碼。
步驟S202,計算解鎖碼的SHA-1 HASH值���。
步驟S203�����,對解鎖碼的HASH值�����,鎖網(wǎng)/鎖卡#:據(jù),鎖網(wǎng)策略 計算HMAC����。
步驟S204 ,對計算產(chǎn)生的HMAC進4亍RSA加密�����。
步驟S205,用鎖網(wǎng)工具把鎖網(wǎng)/鎖卡的數(shù)據(jù)��、解鎖碼HASH值�����、 鎖網(wǎng)策略的明文���、以及HMAC密文寫入移動終端���。
通過如圖2所示的處理�����,通過鎖網(wǎng)工具能夠將鎖網(wǎng)/鎖卡凄t據(jù)寫 入移動終端�。
并且����,移動終端將鎖網(wǎng)/鎖卡數(shù)據(jù)保存在預定存儲介質中,預定 存4諸介質可以為 一次性編禾呈(One Time Programming��,簡稱為OTP )存儲介質���。此外����,如這里所描述的��,術語"存儲介質����,,可以表示用
于存儲數(shù)據(jù)的一種或多種裝置����,包括只讀存儲器(ROM)�、隨機存 取存儲器(RAM)�、閃存裝置和/或用于存儲信息的其他機器可讀介質。
具體地�����,目前���,通行的鎖網(wǎng)/鎖卡機制是將鎖網(wǎng)/鎖卡信息相關 的敏感數(shù)據(jù)保存在移動終端4吏用的閃存器(FLASH )的某些頁面上�����。 通常使用兩種FLASH: —種是或非門閃存器(NOR FLASH ),另外 一種是與非門閃存器(NAND FLASH )。兩種FLASH均可自由讀寫 并保存數(shù)據(jù)�����。不同的是NOR FLASH上的代碼可直接運行����,NAND FLASH需要先4巴代碼拷貝到SDRAM中運行。
但是�����,不管是哪一種FLASH,由于其可自由讀寫的特性,使得 保存在FLASH特定頁面的鎖網(wǎng)/鎖卡數(shù)據(jù)有可能一皮攻擊篡改���。如果 這些數(shù)據(jù)被改寫�,則會嚴重危及鎖網(wǎng)/鎖卡的安全性��。
因此����,在本發(fā)明的實施例中,鎖網(wǎng)工具將鎖網(wǎng)/鎖卡凄t據(jù)保存在 移動終端的OTP中(目前��,有很多硬件廠商提供OTP)���, OTP不同 于普通的FLASH,其ft據(jù)只能一次寫入�����,以后不允許重新改寫�。如 果采用OTP保存與鎖網(wǎng)/鎖卡相關的每丈感^t據(jù)�,就可以有效防止數(shù) 據(jù)被攻擊篡改。例如�,MCC�、 MNC�、 GID1、 GID2等與鎖網(wǎng)/鎖卡 相關的4丈感數(shù)據(jù)一旦寫入OTP,他人就無法對這些凄t據(jù)進行改寫�。 能夠/人才艮本上杜絕用戶對移動終端壽欠件進4亍攻擊石皮解,同時也可以 防止前述的移動終端軟件的安全機制被破壞以后��,還能借助硬件保 護才幾制防止鎖網(wǎng)/鎖卡才幾制一皮石皮壞�����。
步艱朵S104,在移動鄉(xiāng)冬端啟動時�����,移動終端^j"寫入的鎖網(wǎng)/鎖卡 數(shù)據(jù)進行鎖網(wǎng)/鎖卡初始化檢查�����,并根據(jù)鎖網(wǎng)/鎖卡策略字段執(zhí)行相應 的操作�。具體地��,在步驟S104中�,移動終端啟動的時候,需要進行鎖 網(wǎng)/鎖卡初始化沖企查����,移動終端首先需要讀取鎖網(wǎng)/鎖卡數(shù)據(jù)�、解鎖碼 的HASH值��、鎖網(wǎng)/鎖卡策略字段��,并且按照和PC端相同的方式對 讀取的HASH值�����、鎖網(wǎng)/鎖卡數(shù)據(jù)及攜帶的鎖網(wǎng)/鎖卡策略字段計算 HMAC; 4吏用RSA密鑰對中的公鑰對加密后的HMAC值進行解密�, 并判斷解密后的HMAC值與計算的HMAC值是否相同;在判斷為 是的情況下��,則i兌明數(shù)據(jù)是有效的����,沒有遭到石皮壞,鎖網(wǎng)/鎖卡初始 4匕才企查成功�����,移動鄉(xiāng)冬端能夠正常啟動��;否則確定鎖網(wǎng)/鎖卡初始4匕才企 查失敗,可以采耳又關才幾等方式拒絕用戶的4吏用��。
下面����,對移動終端進4于鎖網(wǎng)/鎖卡初始化4企查的具體處理進4亍詳 細說明(對應于圖1中的步驟S104),圖3是根據(jù)本發(fā)明實施例的 鎖網(wǎng)/鎖卡的實現(xiàn)方法的移動終端進行鎖網(wǎng)/鎖卡初始化檢查的詳細 處理的流禾呈圖,i口圖3所示�����,包4舌以下處5里
步驟S301���,從特定OTP頁讀取解鎖碼HASH值���,鎖網(wǎng)/鎖卡凄t 據(jù),鎖網(wǎng)策略�����。
步驟S302����,才艮據(jù)解鎖碼HASH值����,鎖網(wǎng)/鎖卡tt據(jù)����,鎖網(wǎng)策略 計算HMAC值����。
步驟S303,從特定OTP頁讀取HMAC密文,并4吏用RSA中 的公鑰進行解密���。
步驟S304,將步驟S302計算產(chǎn)生的HMAC和步驟S303得到 的HMAC明文進4亍比壽交�。
步艱《S305���,如果兩個HMAC明文相同��,則初始4匕成功���。
步艱《S306,如果兩個HMAC明文不相同,則初始4匕失敗��。通過上述處理�����,實現(xiàn)了鎖網(wǎng)/鎖卡lt據(jù)在移動終端在啟動時的初 始化4企查。
在步驟S104中�,移動終端需要根據(jù)鎖網(wǎng)/鎖卡策略字段執(zhí)行相 應的4喿作的處理,具體;也��,在移動纟冬端正常啟動后(進4于初始4匕成
功后)�,移動終端會定時檢查鎖網(wǎng)/鎖卡的狀態(tài),即����,根據(jù)鎖網(wǎng)/鎖卡 策略字段定時4企查移動終端是否啟動鎖網(wǎng)/鎖卡功能;在移動終端未 啟動鎖網(wǎng)/鎖卡功能的情況下(即�����,用戶之前已經(jīng)4巴該終端"i殳計為不 鎖)�����,才艮據(jù)用戶的指令#^亍相應處理(即�,移動終端正常#丸4亍各類功 能);在移動終端啟動鎖網(wǎng)/鎖卡功能的情況下(即���,用戶將鎖網(wǎng)/鎖 卡策略設定為鎖定)����,檢查是否已經(jīng)執(zhí)行了正確的解鎖操作��;在判斷 已經(jīng)執(zhí)行了正確的解鎖操作的情況下�,則終端和普通終端一樣,可 以不受限制的使用�、或者根據(jù)用戶的指令執(zhí)行相應處理;在判斷沒 有^U亍正確的解鎖操:作的情況下�,移動鄉(xiāng)冬端/人SIM/USIM卡中讀耳又 HLPMN和EF—GID1,并才企查HLPMN中包含的(MCC,MNC )和 EF—GID1是否保存在移動終端的(MCC,MNC)和EF—GID1列表中; 在判斷(MCC,MNC)和EF—GID1包含在列表中的情況下�����,移動終 端才艮據(jù)用戶的指令4丸4亍相應處理(即��,用戶可以正常4吏用力良務)�����;在 判斷(MCC���,MNC)和EF—GID1沒有包含在列表中的情況下�,則按 照運營商要求4是示用戶月良務不可用�,需要解鎖,拒絕正常的月良務���。
其中��,移動終端寺丸行解鎖才喿作的處理包括移動終端4吏用SHA-1 對用戶輸入的解碼鎖計算HASH值��,并判斷計算的HASH值是否與 保存在移動終端內的HASH值相同�;在判斷為是的情況下,則說明 用戶輸入的是正確的解鎖碼��,確定已經(jīng)才丸4亍了正確的解鎖才喿作����,并 將計算的解碼鎖保存在移動終端存儲設備的特定位置;在判斷為否 的情況下�,則確定沒有執(zhí)行正確的解鎖操作。并且�����,在解鎖過程中 可以事先指定解鎖嘗試次數(shù)��,如果在進行了指定次數(shù)的嘗試后仍未 解鎖�����,則終端永久鎖定�����。并且,終端在4企查是否進行過解鎖的時^f'美�����,移動終端從特定位
置讀取解碼鎖����,使用SHA-1算法對讀取的解碼鎖計算HASH值�, 并判斷對解碼鎖計算的HASH值與鎖網(wǎng)工具寫入的HASH值是否相 同;在判斷為是的情況下���,移動終端確定已經(jīng)執(zhí)行了正確的解鎖操 作����;在判斷為否�����、或者特定位置為空的情況下�,移動終端確定沒有 執(zhí)行正確的解鎖操作。具體地��,只要沒有執(zhí)行過正確的解鎖操作, 由于存儲設備的特性�,其特定位置的數(shù)據(jù)讀取必然是"FF"(空)。 比壽交失敗��,返回結果未解鎖成功��。
下面�����,對移動終端定時檢查鎖網(wǎng)/鎖卡的狀態(tài)的處理進行說明����,
查鎖網(wǎng)/鎖卡的狀態(tài)的詳細處理的流程圖,如圖4所示�,包括以下處 理
步驟S401,檢查鎖網(wǎng)/鎖卡策略是否為OFF�。
步驟S402,如果鎖網(wǎng)/鎖卡策略為OFF�����,則3兆過后續(xù)4企查正常 運行��,否則轉步驟S403�。
步艱《S403,沖企查是否已正確解鎖���。
步驟S404,如果正確解鎖則正常運行����,否則執(zhí)行步驟S405。
步驟S405���, 乂人SIM/USIM卡中讀取HPLMN和EF—GID1,得 到對應的(MCC,MNC)和EF—GID1,比較是否與保存的數(shù)據(jù)一致�����, 如果一致��,則正常運4于����;否則拒絕正常iE務,4是示用戶解鎖�����。
通過上述處理��,終端能夠對終端鎖網(wǎng)/鎖卡的狀態(tài)進4亍檢查。下面�,對上述的解鎖過程進行說明,圖5是根據(jù)本發(fā)明實施例 的鎖網(wǎng)/鎖卡的實現(xiàn)方法的解鎖方法的詳細處理的流程圖�,如圖5所 示,包i舌以下步-驟
步-驟S501,用戶l命入解石馬鎖���。
步驟S502���,對用戶輸入的解鎖碼用SHA-1計算HASH值。
步驟S503,比較用戶輸入解鎖碼的HASH值是否和之前保持 在終端內的HASH值是相同����。如果相同執(zhí)行步驟S504,否則執(zhí)行步 驟S505�。
步驟S504,保存解鎖碼明文在OTP介質特定位置,并執(zhí)4亍步 驟S505���。
步-驟S505�,解鎖成功����。
步艱朵S506,解鎖失敗。
通過上述處理,實現(xiàn)了用戶對移動終端進行解鎖���。
下面�����,將從整體上詳細的說明本發(fā)明實施例的移動終端實現(xiàn)鎖 網(wǎng)/鎖卡的實現(xiàn)方法的處理���。利用PKI體系和硬件保護機制的移動終 端鎖網(wǎng)/鎖卡包括了以下步艱《
步驟l、選定對數(shù)據(jù)進行加密的RSA密鑰對�。
步驟2、選定用來保存數(shù)據(jù)的OTP頁面���。
步驟3、設定鎖網(wǎng)/鎖卡策略為鎖定或者不鎖�����。步艱《4��、隨才幾生成乂十應移動終端的解鎖石馬����,并用SHA-1算法計 算其HASH。
步驟5、對鎖網(wǎng)/鎖卡凄t據(jù)����,解鎖碼的HASH值,鎖網(wǎng)策略計算 HMAC值�。
步驟6、用步驟l中的RSA密鑰對中的私鑰對步驟5中生產(chǎn)的 HMAC <直進4亍力口密�����,并才巴步-驟5中的凄O居和密文寫入特定OTP頁 面(只于應于圖1中的步艱AS102)����。
步驟7、移動終端啟動����,讀取保存在OTP中的鎖網(wǎng)/鎖卡數(shù)據(jù), 解鎖碼的HASH值����,鎖網(wǎng)策略,并計算其HMAC(步驟7和以下步 艱&寸應于圖1中的步駛《S104)����。
步驟8����、移動終端用步驟1中的RSA密鑰對中的7>鑰解密步驟 6寫入的密文��,并和步驟7中得到的HMAC值進行比較��。如果比較 相同�����,則:執(zhí)行步驟9;如不同�����,則4姿運營商要求處理���。
步驟9�、移動終端才企查鎖網(wǎng)/鎖卡狀態(tài)����,如果狀態(tài)為不鎖�,則正 常運行,反之執(zhí)行步驟10��。
步駛艮10、終端沖企查是否正確解鎖�,如果正常解鎖,則#丸4亍正常 功能���,否則4丸4亍步-驟11�。
步驟11���、終端才企查當前4吏用的SIM/USIM包含的(MCC,MNC) 或EF_GDI1信息是否包含在保存的(MCC,MNC)和EF_GID1列 表中����,如果在�,則正常執(zhí)行終端各類功能;如果不在�,則拒絕服務, 并才是示用戶解鎖�。
從上述處理可以看出,本發(fā)明實施例利用安全性較高的PKI技 術和SHA-1算法���,其簽名和密文很難破解�����。通過PC段的鎖網(wǎng)工具�,對于使用了鎖網(wǎng)/鎖卡軟件版本的終端可以靈活的設定為鎖定或者
不鎖�����,提供了非常靈活的選擇�����。使用OTP保存數(shù)據(jù)���,使得惡意用戶 難以改寫鎖網(wǎng)/鎖卡的教:據(jù)���。
裝置實施例
根據(jù)本發(fā)明的實施例,提供了 一種移動終端���,圖6是根據(jù)本發(fā) 明實施例的移動終端的框圖��,如圖6所示����,包括接收模塊60��、預定 存儲介質62�����、初始化檢查模塊64�、執(zhí)行模塊66。下面����,對本發(fā)明 的移動終端進4亍詳細的i兌明。
接收才莫塊60,用于接收通過PC端的鎖網(wǎng)工具(位于PC端���, 用于將鎖網(wǎng)/鎖卡相關的敏感數(shù)據(jù)通過接收模塊60寫入移動終端) 寫入的將攜帶有鎖網(wǎng)/鎖卡策略字段的鎖網(wǎng)/鎖卡數(shù)據(jù)���,其中,鎖網(wǎng)/ 鎖卡策略字段用于標識移動終端是否啟動鎖網(wǎng)/鎖卡功能�����;也就是 說���,除了和鎖網(wǎng)/鎖卡相關的數(shù)據(jù)以外�����,本發(fā)明的實施例還設計了一 個鎖網(wǎng)/鎖卡策略字段��。在移動終端下載了支持鎖網(wǎng)/鎖卡的軟件版本 后(該軟件已經(jīng)使用PC端的PKI簽名工具進行簽名)�,如果不利用 鎖網(wǎng)工具進行鎖網(wǎng)操作,則移動終端就相當于一個普通的終端���。在 接收模塊60接收到鎖網(wǎng)工具寫入的與鎖網(wǎng)/鎖卡相關的數(shù)據(jù)時��,只 有設定鎖網(wǎng)/鎖卡策略為鎖的時候����,移動終端才真正的鎖定�,否則移 動終端就相當于一個沒有鎖定的普通終端。
具體地�����,在鎖網(wǎng)工具通過接收模塊60對移動終端進行寫入時����, 鎖網(wǎng)工具會首先讀取為移動終端隨才幾生成的解鎖碼,并4吏用安全性 較高的SHA-1算法對解鎖碼計算HASH值��;鎖網(wǎng)工具將HASH值��、 鎖網(wǎng)/鎖卡數(shù)據(jù)、以及攜帶的鎖網(wǎng)/鎖卡策略字段作為整體計算 HMAC值�����,并使用RSA密鑰對中的私鑰對HMAC值進行加密�����;并 將鎖網(wǎng)/鎖卡凄史據(jù)����、解鎖碼的HASH值��、鎖網(wǎng)/鎖卡策略字,殳和對應 的HMAC值密文一起通過4妄收才莫塊60寫入移動終端��。預定存儲介質62��,連接至接收模塊60,用于存儲鎖網(wǎng)/鎖卡數(shù) 據(jù)����;優(yōu)選地,預定存^f渚介質為OTP存^f諸介質�。OTP不同于普通的 FLASH,其凄t才居只能一次寫入,以后不允"i午重新改寫���。如果采用 OTP 4呆存與鎖網(wǎng)/鎖卡相關的壽丈感^:據(jù)���,就可以有歲文防止凄t據(jù);故攻擊 篡改�。鎖網(wǎng)/鎖卡相關的敏感數(shù)據(jù)一旦寫入OTP��,他人就無法對這些 數(shù)據(jù)進行改寫���。能夠從根本上杜絕用戶對移動終端軟件進行攻擊破 解��,同時也可以防止前述的移動終端軟件的安全機制被破壞以后�, 還能借助硬件保護機制防止鎖網(wǎng)/鎖卡機制被破壞�����。
初始化檢查模塊64���,連接至預定存儲介質62,用于在移動終端 啟動時��,對保存的鎖網(wǎng)/鎖卡數(shù)據(jù)進行鎖網(wǎng)/鎖卡初始化檢查����;具體地����, 初始化檢查模塊64首先需要讀取鎖網(wǎng)/鎖卡數(shù)據(jù)���、解鎖碼的HASH 爿f直、鎖網(wǎng)/鎖卡策略字l殳�,并JU安照和PC端相同的方式對讀取的 HASH值、鎖網(wǎng)/鎖卡數(shù)據(jù)及攜帶的鎖網(wǎng)/鎖卡策略字段計算HMAC; 并使用RSA密鑰對中的公鑰對加密后的HMAC值進行解密�,并判 斷解密后的HMAC值與計算的HMAC值是否相同����;在判斷為是的 情況下,則說明數(shù)據(jù)是有效的�,沒有遭到破壞,鎖網(wǎng)/鎖卡初始化檢 查成功�,移動纟冬端能夠正常啟動;否則初始4匕4全查才莫塊64確定鎖網(wǎng) /鎖卡初始化檢查失敗�,可以采取關機等方式拒絕用戶的使用。
執(zhí)行模塊66�����,連接至預定存儲介質62����,用于根據(jù)鎖網(wǎng)/鎖卡策 略字段執(zhí)行相應的操作。
具體地,在移動終端正常啟動后(進行初始化成功后)�����,執(zhí)行模 塊66會定時檢查鎖網(wǎng)/鎖卡的狀態(tài)����,即,根據(jù)鎖網(wǎng)/鎖卡策略字段定 時才全查移動終端是否啟動鎖網(wǎng)/鎖卡功能���;在移動終端未啟動鎖網(wǎng)/ 鎖卡功能的情況下(即���,用戶之前已經(jīng)4巴該終端設計為不鎖),根據(jù) 用戶的指令執(zhí)行相應處理(即�,移動終端正常執(zhí)行各類功能);在移 動終端啟動鎖網(wǎng)/鎖卡功能的情況下(即�����,用戶將鎖網(wǎng)/鎖卡策略^:定 為鎖定)����,檢查是否已經(jīng)執(zhí)行了正確的解鎖操作;在判斷已經(jīng)執(zhí)行了正確的解鎖操作的情況下�,則可以不受限制的4吏用����、或者才艮據(jù)用戶
的指令4丸行相應處理�;在判斷沒有執(zhí)4于正確的解鎖4喿作的情況下, 才丸行才莫塊66 乂人SIM/USIM卡中讀取HLPMN和EF—GID1,并4全查 HLPMN中包含的(MCC�,MNC )和EF—GID1是否寸呆存在移動纟冬端 的(MCC,MNC)和EF—GID1列表中�����;在判斷(MCC��,MNC )和EF—GID1 包含在列表中的情況下���,根據(jù)用戶的指令執(zhí)行相應處理(即,用戶 可以正常^f吏用月良務)�����;在判斷(MCC��,MNC)和EF—GID1沒有包含 在列表中的情況下�����,4丸行才莫塊66 4安照運營商要求4是示用戶H務不可 用,需要解鎖�,拒絕正常的服務。
其中�����,執(zhí)行模塊66執(zhí)行解鎖操作的處理包括執(zhí)行模塊66使 用SHA-1對用戶輸入的解碼鎖計算HASH值���,并判斷計算的HASH 值是否與保存在移動終端內的HASH值相同����;在判斷為是的情況下�����, 則說明用戶輸入的是正確的解鎖碼�,確定已經(jīng)執(zhí)行了正確的解鎖操 作,并將計算的解碼鎖保存在移動終端存儲設備的特定位置�;在判 斷為否的情況下,則確定沒有才丸4于正確的解鎖4喿作�����。并且����,4丸行才莫 塊66在解鎖過程中可以事先指定解鎖嘗試次凄t,如果在進行了指定 次數(shù)的嘗試后仍未解鎖��,則終端永久鎖定�����。
并且���,執(zhí)行模塊66在檢查是否進行過解鎖的時候,執(zhí)行模塊 66需要從特定位置讀取解碼鎖�����,使用SHA-1算法對讀取的解碼鎖 計算HASH值�,并判斷對解碼鎖計算的HASH值與鎖網(wǎng)工具寫入的 HASH值是否相同���;在判斷為是的情況下����,移動終端確定已經(jīng)執(zhí)行 了正確的解鎖操作�;在判斷為否、或者特定位置為空的情況下����,執(zhí) 行沖莫塊66確定沒有才丸4于正確的解鎖:捧作����。具體地��,只要沒有才丸4亍過 正確的解鎖操作�����,由于存儲設備的特性�����,其特定位置的數(shù)據(jù)讀取必 然是全"FF"�����。比較自然失敗���,返回結果未解鎖成功�����。
應當了解�����,在不背離所附權利要求闡明的精神和范圍的情況下���, 可以對上述各個模塊進行各種改變和組合����。綜上所述��,借助于本發(fā)明的技術方案��,通過利用安全性較高的
PKI技術和SHA-1算法��,使得簽名和密文很難破解�,使用OTP保 存數(shù)據(jù),使得惡意用戶難以改寫鎖網(wǎng)/鎖卡的數(shù)據(jù)�����,提高了安全性�����; 通過PC端的鎖網(wǎng)工具�,對于4吏用了鎖網(wǎng)/鎖卡軟件版本的終端可以 靈活的設定為鎖定或者不鎖,提高了靈活性���。
以上所述僅為本發(fā)明的優(yōu)選實施例而已����,并不用于限制本發(fā)明�, 對于本領域的技術人員來說,本發(fā)明可以有各種更改和變化����。凡在 本發(fā)明的精神和原則之內,所作的任何4奮改��、等同替換���、改進等����, 均應包含在本發(fā)明的保護范圍之內��。
權利要求
1. 一種鎖網(wǎng)/鎖卡的實現(xiàn)方法���,其特征在于��,包括在移動終端的預定存儲介質中寫入攜帶有鎖網(wǎng)/鎖卡策略字段的鎖網(wǎng)/鎖卡數(shù)據(jù)�����,其中�,所述鎖網(wǎng)/鎖卡策略字段用于標識所述移動終端是否啟動鎖網(wǎng)/鎖卡功能;在所述移動終端啟動時��,所述移動終端對寫入的所述鎖網(wǎng)/鎖卡數(shù)據(jù)進行鎖網(wǎng)/鎖卡初始化檢查��,并根據(jù)所述鎖網(wǎng)/鎖卡策略字段執(zhí)行相應的操作��。
2. 根據(jù)權利要求1所述的方法�,其特征在于,所述預定存儲介質 為 一次性編程存儲介質�����。
3. 根據(jù)權利要求1所述的方法�����,其特征在于�����,在移動終端的預定 存儲介質中寫入攜帶有鎖網(wǎng)/鎖卡策略字"^殳的鎖網(wǎng)/鎖卡教:據(jù)包 括PC端的鎖網(wǎng)工具讀耳又為所述移動終端隨才幾生成的解鎖 碼��,并通過預定算法計算所述解鎖碼的散列值�����,即HASH值��;所述鎖網(wǎng)工具才艮據(jù)所述HASH值����、所述鎖網(wǎng)/鎖卡凄t據(jù)以 及所述鎖網(wǎng)/鎖卡策略字段計算散列消息驗證碼,即HMAC值��, 并使用預定非對稱加密密鑰對中的私鑰對所述HMAC值進行 加密�;所述鎖網(wǎng)工具將所述鎖網(wǎng)/鎖卡凄t據(jù)連同所述HASH值和 加密后的所述HMAC值一并寫入到所述移動終端。
4. 才艮據(jù)^又利要求3所述的方法�,其特^正在于,所述移動終端進4亍 鎖網(wǎng)/鎖卡初始化4企查包括所述移動終端使用所述預定算法�����,根據(jù)讀取的所述HASH HMAC值��;所述移動終端使用所述預定非對稱加密密鑰對中的7>鑰 對加密后的所迷HMAC ^直進^于解密,并判斷解密后的所述 HMAC值與計算得到的所述HMAC值是否相同�;如果相同,則確定鎖網(wǎng)/鎖卡初始化4企查成功��,所述移動 纟冬端正常啟動�;否則,確定鎖網(wǎng)/鎖卡^刀始化一險查失敗��。
5. 根據(jù)權利要求3所述的方法�����,其特征在于��,初始化檢查后�,所 述方法還包括,所述移動終端執(zhí)行解鎖操作��,包括所述移動終端使用所述預定算法計算用戶輸入的解碼鎖 的HASH值���,并判斷計算得到的所述HASH值是否與寫入所 述移動終端的HASH值相同�,如果相同��,則將用戶輸入的所 述解碼鎖保存在所述移動終端的存^f諸i殳備的特定位置���。
6. 4艮據(jù);K利要求4所述的方法����,其特征在于�����,所述移動終端4艮據(jù) 所述鎖網(wǎng)/鎖卡策略字段執(zhí)行相應的操作包括在所述移動終端正常啟動后����,才艮據(jù)所述鎖網(wǎng)/鎖卡策略字 l殳定時4企查所述移動終端是否啟動所述鎖網(wǎng)/鎖卡功能;如果不啟動所述鎖網(wǎng)/鎖卡功能���,則所述移動終端#4居用 戶的指令執(zhí)行相應處理��,如果啟動所述鎖網(wǎng)/鎖卡功能��,則所 述移動終端4全查是否已經(jīng)4丸行了正確的解鎖4喿作����;如果已經(jīng)執(zhí)4于了正確的解鎖^乘作�����,則所述移動終端才艮據(jù)用 戶的指令執(zhí)行相應處理;如果沒有執(zhí)行正確的解鎖操作�����,則所 述移動終端從客戶識別才莫塊/全球用戶識別沖莫塊�����,即SIM/USIM卡中讀耳又基本文件分組標識1��,即EF—GID1和本地7>用陸;也 移動網(wǎng)絡�����,并確定所述EF一GID1以及所述本地/〉用陸地移動網(wǎng)絡中包含的移動國家號碼��、移動網(wǎng)號是否保存在所述移動終二山�,柳;如果確定結果為是���,則所述移動終端根據(jù)用戶的指令執(zhí)行 相應處理��,否則����,所述移動終端纟是示力艮務不可用。
7. 才艮據(jù)4又利要求6所述的方法�����,其特;f正在于��,所述移動終端4企查 是否已經(jīng)執(zhí)行了正確的解鎖操作的處理包括所述移動終端從所述特定位置讀取用戶輸入的所述解碼 鎖�,4吏用所述預定算法計算讀取的所述解碼鎖的HASH值���, 并判斷計算得到的所述HASH值與寫入的所述HASH值是否相同���;如果相同,則確定已經(jīng)執(zhí)行了正確的解鎖操作��;如果不相 同����、或者所述特定位置為空,則確定沒有#1^亍正確的解鎖才喿作�����。
8. 根據(jù)權利要求3至7中任一項所述的方法�,其特征在于�����,所述 預定算法包括安全散列算法�����。
9. 一種移動鄉(xiāng)冬端����,其特^正在于����,包才舌接收模塊,用于接收通過PC端的鎖網(wǎng)工具寫入的將攜帶 有鎖網(wǎng)/鎖卡策略字段的鎖網(wǎng)/鎖卡翁:據(jù)�,其中,所述鎖網(wǎng)/鎖卡 策略字萃殳用于標識所述移動終端是否啟動鎖網(wǎng)/鎖卡功能�����;預定存儲介質����,用于存儲所述鎖網(wǎng)/鎖卡數(shù)據(jù);初始化檢查模塊�����,用于在所述移動終端啟動時,對保存的 所述鎖網(wǎng)/鎖卡凝:據(jù)進行鎖網(wǎng)/鎖卡初始化沖僉查�����;執(zhí)行模塊�����,用于根據(jù)所述鎖網(wǎng)/鎖卡策略字段執(zhí)行相應的 操作��。
10. 根據(jù)權利要求9所述的移動終端����,其特征在于�,所述預定存儲 介質為 一次性編程存儲介質。
全文摘要
本發(fā)明公開了一種移動終端及其鎖網(wǎng)/鎖卡的實現(xiàn)方法��,該方法包括在移動終端的預定存儲介質中寫入攜帶有鎖網(wǎng)/鎖卡策略字段的鎖網(wǎng)/鎖卡數(shù)據(jù)���,其中�,鎖網(wǎng)/鎖卡策略字段用于標識移動終端是否啟動鎖網(wǎng)/鎖卡功能����;在移動終端啟動時�����,移動終端對寫入的鎖網(wǎng)/鎖卡數(shù)據(jù)進行鎖網(wǎng)/鎖卡初始化檢查��,并根據(jù)鎖網(wǎng)/鎖卡策略字段執(zhí)行相應的操作��。通過上述處理��,能夠使終端非常靈活的設置鎖網(wǎng)/鎖卡的鎖定或者不鎖定狀態(tài)����。
文檔編號H04M1/673GK101437067SQ20081017985
公開日2009年5月20日 申請日期2008年12月5日 優(yōu)先權日2008年12月5日
發(fā)明者原 薛 申請人:中興通訊股份有限公司