CN101799856A - 对evdo数据卡端应用软件私密区进行加密的方法 - Google Patents

Abstract

本发明公开了一种对EVDO数据卡端应用软件私密区进行加密的方法，其特征在于所述EVDO数据卡端与主机间读写接口采用USB协议和SCSI协议规范，主机与EVDO数据卡端通讯时通过SCSI命令进行读写应用软件私密区内容。该方法更加具有隐蔽性，而且对于用户来说这个操作流程是和数据卡端的程序对称的，不通过约定的读写操作是无法读写相应的内容的，安全性更好且难以破解。

Description

对EVDO数据卡端应用软件私密区进行加密的方法

技术领域

本发明属于EVDO数据卡的加密技术领域，具体涉及一种对EVDO数据卡端应用软件私密区进行加密的方法。

背景技术

3G数据卡是目前无线广域通信网络应用广泛的上网介质。目前我国有中国移动的td-scdma和中国电信的CDMA2000以及中国联通的WCDMA三种网络制式，所以常见的无线上网卡就包括CDMA2000无线上网卡和TD、WCDMA无线上网卡三类。相当于有线的调制解调器，它可以在拥有无线电话信号覆盖的任何地方，利用手机的SIM卡来连接到互联网上。

CDMA2000 EVDO让个人用户可以发送和接收带大附件的电子邮件、享受实时互动游戏、收发高分辨率的图片和视频、下载视频和音乐内容或者与办公室里的电脑保持无线连接。该数据卡是针对CDMA2000 EVDO网络无线高速数据业务而提供的互连网接入设备，将已开通EV-DO服务的UIM卡插入设备中，与电脑的USB接口相连，实现高速无线上网、语音通话、短信收发、数据传输等功能，数据下载速率最高可达到2.4Mbps，上传可达到153.6Kbps，适合与笔记本电脑、台式电脑、工控机使用。兼容CDMA20001X网络，在未开通EV-DO网络的环境下，数据传输速率为153.6Kbps.

EVDO(EV-DO)(Evolution(演进)、Data Only)，其全称为：CDMA20001xEV-DO，第一阶段叫1xEV-DO，即“Data Only”，它可以使运营商利用一个与IS-95或CDMA2000相同频宽的CDMA载频就可实现高达2.4Mbps的前向数据传输速率，目前已被国际电联ITU接纳为国际3G标准。第二阶段叫1xEV-DV。1xEV-DV意为“Data and Voice”，它可以在一个CDMA载频上同时支持话音和数据，其可提供6Mbps甚至更高的数据传输速率。现实生活中使用无线上网的用户越来越多，而随之而来的安全问题也越来越受到重视。

当前软件加密的方法多种多样，如USB Key，一种通过USB接口与计算机连接的智能存储设备，内有CPU芯片与加密算法，可用于存放电子印章与用户证书等信息，其中证书信息只能由特定的加密算法来应用，不可读出；而其他的信息也只能通过程序按特定的方式进行读取。使用USB Key保证电子印章系统的安全性，其印章也不会因为操作不当而被误删除，也不会因为丢失造成电子印章失密。USB Key是为了PKI应用的安全性而设计的设备。目前的USB-key加密是采用USB接口，内置单片机或智能卡芯片(用来存储用户的私钥以及数字证书)，利用USB KEY内置的公钥算法实现对用户身份的认证。由于用户私钥保存在芯片的密码锁中，无法直接读取，因此保证了用户认证的安全性。

目前，主机(PC、笔记本)对EVDO数据卡访问通常是用AT端口的模拟串口来完成的，AT端口指令访问是通过EVDO数据的模拟串口完成的，应用软件的协议License文件通过模拟串口传输，其安全性不佳。本发明由此而来。

发明内容

本发明目的在于提供一种对EVDO数据卡端应用软件私密区进行加密的方法，解决了现有技术中EVDO数据卡安全性能不佳等问题。

为了解决现有技术中的这些问题，本发明提供的技术方案是：

一种对EVDO数据卡端应用软件私密区进行加密的方法，其特征在于所述EVDO数据卡端与主机间读写接口采用USB协议和SCSI协议规范，主机与EVDO数据卡端通讯时通过SCSI命令进行读写应用软件私密区内容。

优选的，所述方法中当主机操作系统为Windows操作系统时，所述SCSI命令通过DeviceIOControl接口调用函数调用进行读写应用软件私密区内容。

优选的，所述方法中EVDO数据卡FLASH内加密存储应用程序的协议License，所述协议License用于对用户软件信息进行认证。

优选的，所述方法中还包括向EVDO数据卡内写入协议License前对协议License进行DES加密，密钥与EVDO数据卡内装配的SIM卡绑定或用户也可以自己设计密钥，将其烧录到EVDO数据卡。

优选的，所述方法中还包括向EVDO数据卡内写入协议License前对协议License采用公钥私钥机制进行加密。

优选的，所述方法使用SCSI命令进行应用软件私密区读写操作遵循Bulk-Only传输协议。

优选的，所述方法使用SCSI命令进行应用软件私密区读操作时，包括以下步骤：

(1)主机与EVDO数据卡端传输命令块包CBW，EVDO数据卡端接收到命令块包CBW后，将SCSI命令从CBW中分离，并判断命令块包CBW第16字节是否为“AA”；

(2)当命令块包CBW第16字节为“AA”时，将数据卡端FLASH内协议License读取到数据卡端缓存，执行结果以命令执行状态包CSW形式反馈给主机，返回成功；否则返回错误；

(3)当步骤(2)返回成功时，判断命令块包CBW第16字节是否为“CC”；当命令块包CBW第16字节是为“CC”时，将协议license由缓存通过USB发送给主机，执行结果以命令执行状态包CSW形式反馈给主机，返回成功；否则返回错误；

(4)主机解密协议License，如成功则可使用相应的应用程序；如错误则继续循环。

优选的，所述方法还包括在使用SCSI命令进行应用软件私密区读操作前进行口令确认的步骤。

优选的，所述方法使用SCSI命令进行应用软件私密区写操作时，包括以下步骤：

(1)主机与EVDO数据卡端传输命令块包CBW，EVDO数据卡端接收到命令块包CBW后，将SCSI命令从CBW中分离，并判断命令块包CBW第16字节是否为“EE”；

(2)当命令块包CBW第16字节为“EE”时，将协议license内容通过USB接口发送到EVDO数据库卡端缓存，执行结果以命令执行状态包CSW形式反馈给主机，返回成功；否则返回错误；

(3)当步骤(2)返回成功时，判断命令块包CBW第16字节是否为“DD”；当当命令块包CBW第16字节是为“DD”时，将协议license由缓存写入EVDO数据卡端FLASH内，执行结果以命令执行状态包CSW形式反馈给主机，返回成功；否则返回错误。

本发明将USB-key技术应用在EVDO数据卡上，利用SCSI命令实现应用软件私密区加密，本发明EVDO数据卡端的安全性从两部分考虑：安全的读写接口和私密区加密方案。

当需要使用SCSI命令写私密区时，主机用命令块包的12字节(即byte15至byte26有效)方式发送数据到EVDO数据卡端，CBW第15byte定义写操作。第16byte定义为“EE”表示开始写数据；写命令发送成功后，开始向EVDO数据卡端发送license内容，存储在卡端的缓存区；写license成功后，主机继续发送SCSI命令，将CBW的SCSI命令部分第16byte定义为“DD”表示写结束，EVDO数据卡端接到结束命令，EVDO数据卡端负责将此license内容写入其flash中。

当需要使用SCSI命令读私密区时，主机用命令块包12字节(即byte15至byte26有效)方式发送SCSI命令到EVDO数据卡端，CBW第15byte定义读操作。第16byte定义为“AA”表示开始读数据；读命令发送成功后，EVDO数据卡端读取flash里的license存储在卡端的缓存区；读license成功后，主机发送SCSI命令，将SCSI命令第16byte定义为“CC”表示读结束，数据卡端将license发送给主机端如应用程序；应用程序解密该license，解密成功通过检验才可以使用相应应用程序的服务。

现有技术中AT端口指令访问是通过EVDO数据的模拟串口完成的，而本发明技术方案中SCSI命令则在U盘模式下使用。PC对EVDO数据卡访问通常是用AT端口的模拟串口来完成的，并非用AT端口命令来进行加密，本发明是针对EVDO数据卡加密使用了访问数据卡的接口，此接口需与应用程序协定使用，因此隐秘性更好。

由数据卡端提供私密区对flash读写接口。使用Windows提供的DeviceIoControl接口调用函数，在EVDO数据卡侧实现特殊功能，即对私密区域的读写。客户可以使用DeviceIoControl按照预定好的软件接口流程来读写这块区域。软件私密区读写接口提供了访问私密区的读写接口。该接口改变了传统通过AT端口指令访问的方法，更加具有隐蔽性，而且对于用户来说这个操作流程是和数据卡端的程序对称的，不通过约定的读写操作时无法读写相应的内容的。因此，非常难以破解的。本方案中的读写接口是通过USB协议和SCSI协议规范中的接口完成。由于微软Windows操作系统对USB mass storage处理上留了IOCTL的收发通道，因此借助这个手段，可以完成对数据卡flash区域的读写。而且该加密方法特殊，而且采用了特殊的传输协议，因此可以保证私密区的读取方法的私密性。同时该读取算法可以根据客户的需求做出一些特殊处理，这样保证了不同客户之间的保密性。

对于客户可以根据私密区的内容做认证操作，通过认证才可以执行相应的操作。私密区存储应用软件的license，即对用户软件的认证信息存储。为了防止license防复制。本方案对加密部分提供了解决方法。为了保证数据内容的保密性。客户可以根据对应用安全级别的要求，可以对数据内容进行加密和认证。客户可以采用任何一种认为可行的方案，以保证数据的可复制性。一方面，可以在写入前对数据进行DES加密，密钥可以和SIM卡绑定，也可以用户自己设计，在烧录时制定。应用程序在出厂该密钥只有正版软件才可以解密。因此，保证了该段数据的保密性，如对license的加密。另一方面，可以采用公钥私钥机制对数据加密，保证密钥的唯一性。

相对于现有技术中的方案，本发明的优点是：

1.本发明由于使用了SCSI扩展命令，该接口改变了传统通过AT端口指令访问的方法，更加具有隐蔽性，而且对于用户来说这个操作流程是和数据卡端的程序对称的，不通过约定的读写操作时无法读写相应的内容的。因此，安全性更好且难以破解。

2、本发明优选技术方案中还对私密区内容的保密，还考虑了私密区域内容的加密保密措施，使得本发明的EVDO数据卡安全性能更高。

附图说明

下面结合附图及实施例对本发明作进一步描述：

图1为本发明实施例PC端应用程序界面图；

图2为本发明实施例PC端读取EVDO数据卡应用软件私密区数据的流程图；

图3为本发明实施例PC端写入EVDO数据卡应用程序私密区数据的流程图。

具体实施方式

以下结合具体实施例对上述方案做进一步说明。应理解，这些实施例是用于说明本发明而不限于限制本发明的范围。实施例中采用的实施条件可以根据具体厂家的条件做进一步调整，未注明的实施条件通常为常规实验中的条件。

实施例 EVDO数据卡的应用程序私密区加密实现

本实施例的EVDO数据卡端加密方案包括安全的读写接口和私密区加密方案。如图1，PC的应用程序使用SCSI命令进行应用软件私密区读写操作遵循Bulk-Only传输协议，以下关于读写接口的一些说明。

主机与EVDO数据卡端传输的命令块包结构如下表所示：

其中dCBWSignature：表示当前发送的是一个CBW，是CBW的标志，固定值为0x43425355，所有CBW的值在USB总线上传输的时候都是按照LSB顺发送的，即最先发送低位，然后发送高位。DCBWTag：由主机产生的并发送给设备，设备会将此值填入CSW的dCSWTag，以此返回给主机。DCBWDataTransferLength：主机希望在批量端点上传输数据的大小。BmCBWFlags：表示本次CBW是读数据还是写数据；位D7＝“0”时表示主机输出数据，反之主机接受数据，D6没有用到，D5-D0保留位。BCBWCBLength：表示命令的长度。为后续字符串中命令字节的长度CBWCB：表示本次磁盘操作命令，也即是SCSI命令。当设备从主机收到CBW块以后，它会把SCSI命令从CBW中分离出来，然后根据要求执行，执行的结果又以CSW的形式发给主机。CBW是以二进制位发送的，每个包必须是精确的31个字节，不满足的要补0。

命令执行状态包CSW的格式如下表所示：

dCSWSignature：CSW的标志，表示当前发送的是一个CSW，固定值为0x53425355，CSW的值也都是按LSB顺序发送。DCSWTag：必须CBW中dCBWTag一样。DCSWDataResidue：还要传送的数据。即CBWDataTransferLength字段中主机希望的数据长度与实际发送的数据长度之间的差额。BCSWStatue：命令执行状态，命令正确执行时，为0。命令错误执行失败1，命令错误执行是2，其他保留。

当需要使用SCSI命令读私密区时，主机用命令块包12字节(即byte15至byte26有效)方式发送SCSI命令到EVDO数据卡端，CBW第15byte定义读操作。第16byte定义为“AA”表示开始读数据；读命令发送成功后，EVDO数据卡端读取flash里的license存储在卡端的缓存区；读license成功后，主机发送SCSI命令，将SCSI命令第16byte定义为“CC”表示读结束，数据卡端将license发送给主机端如应用程序；应用程序解密该license，解密成功通过检验才可以使用相应应用程序的服务。

如图2，PC机使用SCSI命令进行应用软件私密区读操作时，

(1)主机与EVDO数据卡端传输命令块包CBW，EVDO数据卡端接收到命令块包CBW后，将SCSI命令从CBW中分离，并判断命令块包CBW第16字节是否为“AA”；

(2)当命令块包CBW第16字节为“AA”时，将数据卡端FLASH内协议License读取到数据卡端缓存，执行结果以命令执行状态包CSW形式反馈给主机，返回成功；否则返回错误；

(3)当步骤(2)返回成功时，判断命令块包CBW第16字节是否为“CC”；当命令块包CBW第16字节是为“CC”时，将协议license由缓存通过USB发送给主机，执行结果以命令执行状态包CSW形式反馈给主机，返回成功；否则返回错误；

(4)主机解密协议License，如成功则可使用相应的应用程序；如错误则继续循环。

如下为开始读数据的典型方式(sptdwb.sptd.Cdb[1]＝0xAA表示开始读数据)，本实施例的实现不限于该方式。

sptdwb.sptd.Length＝sizeof(SCSI_PASS_THROUGH_DIRECT)；

sptdwb.sptd.PathId＝0；

sptdwb.sptd.TargetId＝1；

sptdwb.sptd.Lun＝0；

sptdwb.sptd.CdbLength＝12；

sptdwb.sptd.DataIn＝SCSI_IOCTL_DATA_IN；

sptdwb.sptd.SenseInfoLength＝0；

sptdwb.sptd.DataTransferLength＝sectorSize；

sptdwb.sptd.TimeOutValue＝2；

sptdwb.sptd.DataBuffer＝readBuffer；

sptdwb.sptd.SenseInfoOffset＝

offsetof(SCSI_PASS_THROUGH_DIRECT_WITH_BUFFER，ucSenseBuf)；

sptdwb.sptd.Cdb[0]＝0x16；//USBSDMS_READ_SECRET

sptdwb.sptd.Cdb[1]＝0xAA；//Data mode

length＝sizeof(SCSI_PASS_THROUGH_DIRECT_WITH_BUFFER)；

status＝DeviceIoControl(fileHandle，

IOCTL_SCSI_PASS_THROUGH_DIRECT，

&sptdwb，

length，

&sptdwb，

length，

&returned，

FALSE)；

if(！status)

{

errorCode＝GetLastError()；

return TRUE；

}

当需要使用SCSI命令写私密区时，主机用命令块包的12字节(即byte15至byte26有效)方式发送数据到EVDO数据卡端，CBW第15byte定义写操作。第16byte定义为“EE”表示开始写数据；写命令发送成功后，开始向EVDO数据卡端发送license内容，存储在卡端的缓存区；写license成功后，主机继续发送SCSI命令，将CBW的SCSI命令部分第16byte定义为“DD”表示写结束，EVDO数据卡端接到结束命令，EVDO数据卡端负责将此license内容写入其flash中。

如图3，为PC机使用SCSI命令进行应用软件私密区写操作时，

(1)主机与EVDO数据卡端传输命令块包CBW，EVDO数据卡端接收到命令块包CBW后，将SCSI命令从CBW中分离，并判断命令块包CBW第16字节是否为“EE”；

(2)当命令块包CBW第16字节为“EE”时，将协议license内容通过USB接口发送到EVDO数据库卡端缓存，执行结果以命令执行状态包CSW形式反馈给主机，返回成功；否则返回错误；

(3)当步骤(2)返回成功时，判断命令块包CBW第16字节是否为“DD”；当当命令块包CBW第16字节是为“DD”时，将协议license由缓存写入EVDO数据卡端FLASH内，执行结果以命令执行状态包CSW形式反馈给主机，返回成功；否则返回错误。

如下为开始写数据的典型方式(sptdwb.sptd.Cdb[1]＝0xEE表示开始写数据)，本实施例的实现不限于该方式。

sptdwb.sptd.Length＝sizeof(SCSI_PASS_THROUGH_DIRECT)；

sptdwb.sptd.PathId＝0；

sptdwb.sptd.TargetId＝1；

sptdwb.sptd.Lun＝0；

sptdwb.sptd.CdbLength＝12；

sptdwb.sptd.SenseInfoLength＝24；

sptdwb.sptd.DataIn＝SCSI_IOCTL_DATA_OUT；

sptdwb.sptd.DataTransferLength＝sectorSize；

sptdwb.sptd.TimeOutValue＝2；

sptdwb.sptd.DataBuffer＝databuffer；

sptdwb.sptd.SenseInfoOffset＝

offsetof(SCSI_PASS_THROUGH_DIRECT_WITH_BUFFER，ucSenseBuf)；

sptdwb.sptd.Cdb[0]＝0x56；//USBSDMS_WRITE_SECRET；

sptdwb.sptd.Cdb[1]＝0xEE；//Data mode

length＝sizeof(SCSI_PASS_THROUGH_DIRECT_WITH_BUFFER)；

status＝DeviceIoControl(fileHandle，

IOCTL_SCSI_PASS_THROUGH_DIRECT，

&sptdwb，

length，

&sptdwb，

length，

&returned，

FALSE)；

if(！status)

{

errorCode＝GetLastError()；

CloseHandle(fileHandle)；

return TRUE；

}

上述实例只为说明本发明的技术构思及特点，其目的在于让熟悉此项技术的人是能够了解本发明的内容并据以实施，并不能以此限制本发明的保护范围。凡根据本发明精神实质所做的等效变换或修饰，都应涵盖在本发明的保护范围之内。

Claims (9)

1.一种对EVDO数据卡端应用软件私密区进行加密的方法，其特征在于所述EVDO数据卡端与主机间读写接口采用USB协议和SCSI协议规范，主机与EVDO数据卡端通讯时通过SCSI命令进行读写应用软件私密区内容。

2.根据权利要求1所述的方法，其特征在于所述方法中当主机操作系统为Windows操作系统时，所述SCSI命令通过DeviceIOControl接口调用函数调用进行读写应用软件私密区内容。

3.根据权利要求1所述的方法，其特征在于所述方法中EVDO数据卡FLASH内加密存储应用程序的协议License，所述协议License用于对用户软件信息进行认证。

4.根据权利要求3所述的方法，其特征在于所述方法中还包括向EVDO数据卡内写入协议License前对协议License进行DES加密，密钥与EVDO数据卡内装配的SIM卡绑定或用户设计密钥后将密钥烧录到EVDO数据卡。

5.根据权利要求3所述的方法，其特征在于所述方法中还包括向EVDO数据卡内写入协议License前对协议License采用公钥私钥机制进行加密。

6.根据权利要求1所述的方法，其特征在于所述方法使用SCSI命令进行应用软件私密区读写操作遵循Bulk-Only传输协议。

7.根据权利要求6所述的方法，其特征在于所述方法使用SCSI命令进行应用软件私密区读操作时，包括以下步骤：

(1)主机与EVDO数据卡端传输命令块包CBW，EVDO数据卡端接收到命令块包CBW后，将SCSI命令从CBW中分离，并判断命令块包CBW第16字节是否为“AA”；

(2)当命令块包CBW第16字节为“AA”时，将数据卡端FLASH内协议License读取到数据卡端缓存，执行结果以命令执行状态包CSW形式反馈给主机，返回成功；否则返回错误；

(3)当步骤(2)返回成功时，判断命令块包CBW第16字节是否为“CC”；当命令块包CBW第16字节是为“CC”时，将协议license由缓存通过USB发送给主机，执行结果以命令执行状态包CSW形式反馈给主机，返回成功；否则返回错误；

(4)主机解密协议License，如成功则可使用相应的应用程序；如错误则继续循环。

8.根据权利要求7所述的方法，其特征在于所述方法还包括在使用SCSI命令进行应用软件私密区读操作前进行口令确认的步骤。

9.根据权利要求6所述的方法，其特征在于所述方法使用SCSI命令进行应用软件私密区写操作时，包括以下步骤：

(1)主机与EVDO数据卡端传输命令块包CBW，EVDO数据卡端接收到命令块包CBW后，将SCSI命令从CBW中分离，并判断命令块包CBW第16字节是否为“EE”；

(2)当命令块包CBW第16字节为“EE”时，将协议license内容通过USB接口发送到EVDO数据库卡端缓存，执行结果以命令执行状态包CSW形式反馈给主机，返回成功；否则返回错误；

(3)当步骤(2)返回成功时，判断命令块包CBW第16字节是否为“DD”；当当命令块包CBW第16字节是为“DD”时，将协议license由缓存写入EVDO数据卡端FLASH内，执行结果以命令执行状态包CSW形式反馈给主机，返回成功；否则返回错误。

Images