CN112469039B - 一种基于安全芯片的移动终端安全授权方法 - Google Patents
一种基于安全芯片的移动终端安全授权方法 Download PDFInfo
- Publication number
- CN112469039B CN112469039B CN202011339856.3A CN202011339856A CN112469039B CN 112469039 B CN112469039 B CN 112469039B CN 202011339856 A CN202011339856 A CN 202011339856A CN 112469039 B CN112469039 B CN 112469039B
- Authority
- CN
- China
- Prior art keywords
- ukey
- authorization
- writing
- mobile terminal
- security chip
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明属于信息安全技术领域,尤其涉及一种基于安全芯片的移动终端安全授权方法,通过双Ukey方式,对SN号授权写入移动终端安全芯片中,所述双Ukey为生产Ukey和授权写号Ukey,包括以下步骤:写入移动终端SN号的许可基数范围到生产Ukey中存储;授权写号数据存储于授权写号Ukey中;授权写号Ukey配合PC端写号工具将合法SN号写入移动终端的安全芯片,从而通过上述移动终端安全授权方法,监管主体可以对设备的生厂与应用过程实现有效的监管,避免设备序列号任意更换、随意使用的情况,达到对带安全芯片的移动终端进行安全管控的目的。
Description
技术领域
本发明属于信息安全技术领域,尤其涉及一种基于安全芯片的移动终端安全授权方法。
背景技术
随着移动信息技术的不断发展,移动终端成为人们生产生活重要的辅助工具,有些行业领域已成为主要的应用工具,特别随着移动互联网的快速发展与应用,移动政务、移动警务、移动办公等专用业务领域也开始普及。另一方面,随着我国积极推动自主密码技术应用,基于安全密码模块的移动智能终端在行业应用将更加广泛和深入。
传统的消费类电子设备(如智能手机)的设备序列号或芯片序列号均由设备厂家自己把控,即通过自己开发的写号工具直接写入序列号到设备中,这样方便快捷但对于要求较高的行业则不便于有效的管理终端;而移动终端在警务、政务等行业时,为达到安全使用的效果,终端设备需内嵌安全芯片,而对应的主管监管部门为规范使用终端,需对设备内嵌的安全芯片序列号进行有效监管,以避免任意写入设备芯片序列号,造成管理混乱。
现有技术对应的移动终端提供商可以直接通过写号工具进行序列号写入操作,并没有授权管理的安全方案,移动终端提供商可以通过写号工具任意写入序列号,若此类终端应用在警务、政务等特殊领域中时,就监管主体而言就无法对设备的生厂与应用过程实现有效的监管,没有权限管控,设备序列号将可任意更换,随意使用,达不到对带安全芯片的移动终端进行安全管控的目的。
发明内容
为克服现有技术中达不到对带安全芯片的移动终端进行安全管控的问题,本发明提供以下技术方案:
一种基于安全芯片的移动终端安全授权方法,通过双Ukey方式,对SN号授权写入移动终端安全芯片中,所述双Ukey为生产Ukey和授权写号Ukey,包括以下步骤:
在安全环境下由监管机构写入移动终端SN号的许可基数范围到生产Ukey中存储;
授权写号数据存储于授权写号Ukey中;
授权写号Ukey配合PC端写号工具将合法SN号写入移动终端的安全芯片。
进一步的,所述写入移动终端SN号的许可基数范围到生产Ukey中存储前,还包括以下步骤:
生产Ukey生成密钥对并存储于生产Ukey的安全芯片中;
制作生产Ukey的公钥证书,并将其存储于移动终端的安全芯片中。
进一步的,所述授权写号数据存储于授权写号Ukey中,包括以下步骤:
授权写号Ukey生成密钥对并存储于授权写号Ukey的安全芯片中;
制作授权写号Ukey的公钥证书,并将其存储于授权写号Ukey的安全芯片中;
生产Ukey的公钥证书使用授权写号Ukey的公钥加密生成密文,并将密文传输至授权写号Ukey中,且调用授权写号Ukey的私钥解密该密文,将生产Ukey的公钥证书存储于授权写号Ukey的安全芯片中;
写号数据使用授权写号Ukey的公钥加密形成密文数据,以及使用生产Ukey的私钥签名;
授权写号Ukey接收到签名和密文数据后,使用生产Ukey的公钥验签,以及调用授权写号Ukey的私钥解密密文数据,并存储于授权写号Ukey中。
进一步的,所述写好数据包括版本号、SN号的有效位、SN号的起止流水号和当前写入SN号。
进一步的,所述当前写入SN号在移动终端SN号的许可基数范围内。
进一步的,所述授权写号Ukey配合PC端写号工具将合法SN号写入移动终端的安全芯片包括以下步骤:
PC端写号工具从授权写号Ukey中读取对应录入的写号数据,授权写号Ukey则使用生产Ukey的公钥对录入的写号数据进行预处理,并使用授权写号Ukey的私钥签名,同时将授权写号Ukey的公钥证书发送给移动终端的安全芯片;
移动终端的安全芯片使用授权写号Ukey的公钥验上述签名数据,将当前写入的SN号写入移动终端安全芯片中。
进一步的,所述PC端写号工具授权写号Ukey则使用生产Ukey的公钥对录入的写号数据进行预处理前,检测移动终端的安全芯片未写入SN号。
进一步的,所述将当前写入的SN号写入移动终端安全芯片中后,移动终端返回SN号写入成功信息,PC端写号工具根据SN号规则,将SN号的起止范围-1,当前写入SN号+1,并写至授权写号盾中存储。
进一步的,所述生产Ukey和所述授权写号Ukey均通过Ukey生成工具生成SM2非对称密钥对。
进一步的,所述密钥对的公钥由第三方合法CA制作公钥证书。
本发明一种基于安全芯片的移动终端安全授权方法的有益效果为:由生产Ukey和授权写号Ukey进行双Ukey方式,通过证书鉴别身份,对SN号授权,写入移动终端安全芯片中,监管机构可对移动终端安全芯片SN号进行有效管控。
附图说明
图1为本发明实施例中移动终端安全授权方法的流程图;
图2为本发明实施例中移动终端安全授权方法生产Ukey的初始化流程图;
图3为本发明实施例中移动终端安全授权方法授权写号Ukey的生成流程图;
图4为本发明实施例中移动终端安全授权方法SN号写入流程图,
图5为本发明实施例中移动终端安全授权方法的结构框图。
具体实施方式
以下结合实施例对本发明作进一步的阐述,所述的实施例仅为本发明一部分的实施例,这些实施例仅用于解释本发明,对本发明的范围并不构成任何限制。
在一实施例中,一种基于安全芯片的移动终端安全授权方法,采用Ukey生成工具、生产Ukey、授权写号Ukey、PC端写号工具、嵌入安全芯片的移动终端,如说明书附图5所示,通过双Ukey方式,对SN号授权写入移动终端安全芯片中。
其中Ukey生成工具为生产Ukey和授权写号Ukey的初始化及制作工具,采用空的Ukey连接Ukey生成工具,以手动方式在工具上为Ukey创建应用(此为UKey中的应用,具有独立的权限管理)便于后续Ukey生成密钥及存储密钥、公钥证书;并且UKey生成工具是写入移动终端序列号范围,组装授权写号数据给Ukey的管理工具。
生产Ukey和授权写号Ukey是具备不同权限的Ukey,生产Ukey是由权威的监管部门所掌握,生成Ukey包含了所有移动终端安全芯片序列号的写号范围,可由生产Ukey分配写号范围给对应授权写号Ukey权限。授权写号Ukey则是授权PC端写号工具为移动终端安全芯片写入合法SN号的提权设备,移动终端厂商获取授权写号Ukey后,通过与PC端写号工具配合实施写号。
嵌入安全芯片的移动终端是写号的受体,通过PC端写号工具将合法SN号写入安全芯片。监管机构可根据移动终端安全芯片的SN号来对设备进行管控,如政务、警务终端的合法管控,只有合法的SN号才能被授权下载证书到安全芯片,并通过移动终端及内置的安全芯片实现相应的业务服务。
在采用上述工具进行移动终端安全授权时,如说明书附图1所示,包括以下步骤:
S1、写入移动终端SN号的许可基数范围到生产Ukey中存储;
生产Ukey在使用前需对其进行特殊的初始化,通过在安全环境下由监管机构对生产Ukey进行初始化操作,如说明书附图2所示,其流程如下:
S101、在PC端打开Ukey生成工具,插入空的Ukey,通过Ukey生成工具手动创建生产Ukey的应用;
S102、生产Ukey创建应用后,由生产Ukey中的安全芯片产生生产根密钥,即SM2非对称密钥对,并将该密钥对存储于生产Ukey的安全芯片中;
S103、通过第三方合法CA制作生产Ukey的公钥证书,并在安全的生产环境下将其公钥证书预置到移动终端安全芯片中保存;
S104、通过Ukey生成工具由监管机构人员手动写入移动终端序列号的许可基数范围到生产Ukey中存储。
S2、授权写号数据存储于授权写号Ukey中;
授权写号Ukey使用前需对其进行授权数据录入,如说明书附图3所示,其流程如下:
S201、插入生产Ukey和授权写号空Ukey,通过Ukey生成工具手动创建授权写号Ukey应用;
S202、授权写号空Ukey生成一对授权写号的SM2非对称密钥对,该密钥对保存于授权写号Ukey的安全芯片中;
S203、授权写号Ukey密钥对的公钥将由第三方合法CA制作授权写号Ukey的公钥证书,将该公钥证书保存在授权写号Ukey的安全芯片中;
S204、将生产Ukey的公钥证书使用授权写号Ukey的公钥加密生成密文,并将该密文传输至授权写号Ukey中,并调用授权写号Ukey私钥解密该密文,将公钥证书保存于授权写号Ukey的安全芯片;
S205、Ukey生成工具组装授权写号数据,包括版本号、序列号的有效位、序列号的起止流水号、当前写入SN号,将上述四项数据以授权写号Ukey的公钥加密,并对原数据做预处理使用生产Ukey的私钥签名;
其中对于特别的序列号的有效位、序列号的起止流水号两项需手动输入,且输入的SN起止范围必须在生产Ukey内SN号范围内;
S206、授权写号Ukey接收到S205中的签名及密文数据后,使用生产Ukey的公钥验签,以及调用授权写号Ukey的私钥解密密文,获得版本号、序列号的有效位、序列号的起止流水号、当前待写入SN号数据并写入授权写号Ukey中保存。
S3、授权写号Ukey配合PC端写号工具将合法SN号写入移动终端的安全芯片
移动终端安全芯片写入SN号时将由授权写号Ukey授权写入,如说明书附图4所示,其流程如下:
S301、插入授权写号Ukey,打开PC端写号工具,写号工具将枚举检测插入仅有一把授权写号Ukey时,写号工具才可被授权打开对应功能;
S302、PC端写号工具从授权写号Ukey中读取对应写号录入数据,读取序列号有效位、序列号的起止流水号、当前写入SN号,插入待写号的移动终端,写号工具若检测到移动终端安全芯片已有序列号则将禁止写入SN号;
S303、若移动终端安全芯片序列号为空时,授权写号Ukey则使用生产Ukey的公钥对版本号、序列号的有效位、序列号的起止流水号、当前写入SN号数据做预处理,并使用授权写号Ukey的私钥签名,同时将Ukey的公钥证书发送给移动终端安全芯片;
S304、移动终端安全芯片使用授权写号Ukey的公钥验上述签名数据,验证数据的其合法性,若合法则将当前写入的SN号写入移动终端安全芯片中;
S305、移动终端返回SN号写入成功信息,PC端写号工具根据序列号规则,将序列号的起止范围-1,当前写入序列号SN+1,并将更新后的序列号范围及当前写入的序列号SN+1会写至授权写号盾中存储。
当SN号成功写入移动终端安全芯片后,移动终端及嵌入的安全芯片将进入用户应用阶段,可正常实行对应的业务功能,如行业服务证书的下载。
从而通过上述移动终端安全授权方法,监管主体可以对设备的生厂与应用过程实现有效的监管,避免设备序列号任意更换、随意使用的情况,达到对带安全芯片的移动终端进行安全管控的目的。
以上所述,仅是本发明的较佳实施例而已,并非对本发明作任何形式上的限制,虽然本发明已以较佳实施例揭露如上,然而并非用以限定本发明,任何熟悉本专业的技术人员,在不脱离本发明技术方案范围内,当可利用上述揭示的技术内容作出些许更动或修饰为等同变化的等效实施例,但凡是未脱离本发明技术方案内容,依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰,均仍属于本发明技术方案的范围内。
Claims (8)
1.一种基于安全芯片的移动终端安全授权方法,其特征在于,通过双Ukey方式,对SN号授权写入移动终端安全芯片中,所述双Ukey为生产Ukey和授权写号Ukey,包括以下步骤:
写入移动终端SN号的许可基数范围到生产Ukey中存储;
授权写号数据存储于授权写号Ukey中;
授权写号Ukey配合PC端写号工具将合法SN号写入移动终端的安全芯片;
所述写入移动终端SN号的许可基数范围到生产Ukey中存储前,还包括以下步骤:
生产Ukey生成秘钥对并存储于生产Ukey的安全芯片中;
制作生产Ukey的公钥证书,并将其存储于移动终端的安全芯片中;
所述授权写号数据存储于授权写号Ukey中,包括以下步骤:
授权写号Ukey生成秘钥对并存储于授权写号Ukey的安全芯片中;
制作授权写号Ukey的公钥证书,并将其存储于授权写号Ukey的安全芯片中;
生产Ukey的公钥证书使用授权写号Ukey的公钥加密生成密文,并将密文传输至授权写号Ukey中,且调用授权写号Ukey的私钥解密该密文,将生产Ukey的公钥证书存储于授权写号Ukey的安全芯片中;
写号数据使用授权写号Ukey的公钥加密形成密文数据,以及使用生产Ukey的私钥签名;
授权写号Ukey接收到签名和密文数据后,使用生产Ukey的公钥验签,以及调用授权写号Ukey的私钥解密密文数据,并存储于授权写号Ukey中。
2.根据权利要求1所述一种基于安全芯片的移动终端安全授权方法,其特征在于,所述写号数据包括版本号、SN号的有效位、SN号的起止流水号和当前写入SN号。
3.根据权利要求2所述一种基于安全芯片的移动终端安全授权方法,其特征在于,所述当前写入SN号在移动终端SN号的许可基数范围内。
4.根据权利要求3所述一种基于安全芯片的移动终端安全授权方法,其特征在于,所述授权写号Ukey配合PC端写号工具将合法SN号写入移动终端的安全芯片包括以下步骤:
PC端写号工具从授权写号Ukey中读取对应录入的写号数据,授权写号Ukey则使用生产Ukey的公钥对录入的写号数据进行预处理,并使用授权写号Ukey的私钥签名,同时将授权写号Ukey的公钥证书发送给移动终端的安全芯片;
移动终端的安全芯片使用授权写号Ukey的公钥验证上述签名数据,将当前写入的SN号写入移动终端安全芯片中。
5.根据权利要求4所述一种基于安全芯片的移动终端安全授权方法,其特征在于,所述PC端写号工具在授权写号Ukey使用生产Ukey的公钥对录入的写号数据进行预处理前,检测移动终端的安全芯片是否写入SN号。
6.根据权利要求5所述一种基于安全芯片的移动终端安全授权方法,其特征在于,所述将当前写入的SN号写入移动终端安全芯片中后,移动终端返回SN号写入成功信息,PC端写号工具根据SN号规则,将SN号的起止范围-1,当前写入SN号+1,并写至授权写号盾中存储。
7.根据权利要求6所述一种基于安全芯片的移动终端安全授权方法,其特征在于,所述生产Ukey和所述授权写号Ukey均通过Ukey生成工具生成SM2非对称密钥对。
8.根据权利要求7所述一种基于安全芯片的移动终端安全授权方法,其特征在于,所述密钥对的公钥由第三方合法CA制作公钥证书。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011339856.3A CN112469039B (zh) | 2020-11-25 | 2020-11-25 | 一种基于安全芯片的移动终端安全授权方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011339856.3A CN112469039B (zh) | 2020-11-25 | 2020-11-25 | 一种基于安全芯片的移动终端安全授权方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112469039A CN112469039A (zh) | 2021-03-09 |
| CN112469039B true CN112469039B (zh) | 2023-04-28 |
Family
ID=74808325
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011339856.3A Active CN112469039B (zh) | 2020-11-25 | 2020-11-25 | 一种基于安全芯片的移动终端安全授权方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112469039B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113783863B (zh) * | 2021-09-02 | 2023-05-19 | 北京奕斯伟计算技术股份有限公司 | 一种写号方法及系统 |
| CN117540439B (zh) * | 2024-01-10 | 2024-04-19 | 深圳市一恒科电子科技有限公司 | 设备自动授权写号方法、装置、存储介质及电子设备 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103237004A (zh) * | 2013-03-15 | 2013-08-07 | 福建联迪商用设备有限公司 | 密钥下载方法、管理方法、下载管理方法及装置和系统 |
| CN107609415A (zh) * | 2017-09-26 | 2018-01-19 | 重庆市珞宾信息技术有限公司 | 一种设备序列号写入保护方法 |
| CN107943492A (zh) * | 2017-11-28 | 2018-04-20 | 四川长虹电器股份有限公司 | 一种基于u盘给嵌入式产品写序列号的方法 |
| CN111770489B (zh) * | 2020-09-03 | 2020-12-22 | 蘑菇车联信息科技有限公司 | Sn号写入方法及设备、电子设备、可读存储介质 |
-
2020
- 2020-11-25 CN CN202011339856.3A patent/CN112469039B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN112469039A (zh) | 2021-03-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10595201B2 (en) | Secure short message service (SMS) communications | |
| CN101662765B (zh) | 手机短信保密系统及方法 | |
| CN1961523B (zh) | 令牌提供 | |
| US7095851B1 (en) | Voice and data encryption method using a cryptographic key split combiner | |
| CN1708942B (zh) | 设备特定安全性数据的安全实现及利用 | |
| CN101720071B (zh) | 基于安全sim卡的短消息两阶段加密传输和安全存储方法 | |
| CN110100422B (zh) | 基于区块链智能合约的数据写入方法、装置及存储介质 | |
| CN105847005B (zh) | 加密装置和方法 | |
| CN105450395A (zh) | 一种信息加解密处理方法及系统 | |
| CN112469039B (zh) | 一种基于安全芯片的移动终端安全授权方法 | |
| CN107425971B (zh) | 无证书的数据加/解密方法和装置、终端 | |
| CN109617675B (zh) | 一种充放电设施与用户端间的双方标识认证方法及系统 | |
| CN103036681B (zh) | 一种密码安全键盘装置及系统 | |
| CN107317677A (zh) | 密钥存储及设备身份认证方法、装置 | |
| CN102801730A (zh) | 一种用于通讯及便携设备的信息防护方法及装置 | |
| CN104182676A (zh) | 一种智能终端数据加密的方法和装置 | |
| CN105653986A (zh) | 一种基于microSD卡的数据保护方法及装置 | |
| CN104202170A (zh) | 一种基于标识的身份认证系统和方法 | |
| US20060294395A1 (en) | Executable software security system | |
| CN111865579A (zh) | 基于sm2算法改造的数据加解密方法及装置 | |
| CN103051459A (zh) | 安全卡的交易密钥的管理方法和装置 | |
| US20090144553A1 (en) | System and method of controlling access to a device | |
| CN111489462B (zh) | 一种个人用蓝牙钥匙系统 | |
| CN111489461B (zh) | 一种集团用蓝牙钥匙系统 | |
| CN113328860A (zh) | 一种基于区块链的用户隐私数据安全提供方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |