CN113541954A - 控制基带的方法及装置 - Google Patents
控制基带的方法及装置 Download PDFInfo
- Publication number
- CN113541954A CN113541954A CN202010730115.1A CN202010730115A CN113541954A CN 113541954 A CN113541954 A CN 113541954A CN 202010730115 A CN202010730115 A CN 202010730115A CN 113541954 A CN113541954 A CN 113541954A
- Authority
- CN
- China
- Prior art keywords
- baseband
- management
- information
- baseband management
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephone Function (AREA)
Abstract
本申请提供一种控制基带的方法及装置,涉及通信技术领域,其中,该方法包括当基带确定针对所述基带的第一基带操作被触发时,生成第一操作标识,所述基带基于所述第一操作标识,从第一基带管理应用获取第一基带管理信息,所述基带若在生成所述第一操作标识之后的配置等待时长之内,未获取到所述第一基带管理信息,则将至少一项第一基带功能设置为锁定状态,所述第一基带管理信息用于指示对至少一项第二基带功能进行配置。本申请提供的技术方案能够提高控制基带的可靠性和安全性。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种控制基带的方法及装置。
背景技术
随着通信技术的发展,各种通信终端得到了越来越广泛的应用。该通信终端中通常包括基带,该基带可以完成对移动网络中无线信号的解调、解扰、解扩和解码工作。在用户使用通信终端的过程中,运营商或者其他管理方通常需要对通信终端的基带进行管控。
现有技术中,通信终端可以接收并存储基带管理服务器发送的基带管理信息,该基带管理信息可以用于指示将基带设置为锁定状态或解锁状态。当基带上电启动时,该基带可以获取该基带管理信息,并根据该基带管理信息对基带进行配置。当基带进入解锁状态时,该基带可以正常运行;当基带进入锁定状态时,则不再对移动网络中无线信号的解调、解扰、解扩或解码,相应的该通信终端便不能再接入移动网络。
但在现有技术的方案中,如果需要将基带设置为锁定状态,则需要向基带发送用于指示基带设置为锁定状态的基带管理信息,那么如果基带与基带管理服务器之间的通信被劫持,则基带无法获取到该基带管理信息,也就不会进入锁定状态而脱离管控,因此,现有技术对基带进行管控的可靠性和安全性低下。
发明内容
有鉴于此,本申请提供一种控制基带的方法及装置,以提高控制基带的可靠性和安全性。
为了实现上述目的,第一方面,本申请实施例提供一种控制基带状态的方法,所述方法包括:
当基带确定针对所述基带的第一基带操作被触发时,生成第一操作标识;
所述基带基于所述第一操作标识,从第一基带管理应用获取第一基带管理信息;
所述基带若在生成所述第一操作标识之后的配置等待时长之内,未获取到所述第一基带管理信息,则将至少一项第一基带功能设置为锁定状态,所述第一基带管理信息用于指示对至少一项第二基带功能进行配置。
需要说明的是,第一基带功能和第二基带功能均就可以是任一项基带功能,且至少一项第一基带功能可以与至少一项第二基带功能相同或不同。
还需要说明的是,第一基带管理信息可以指示对至少一项第二基带功能设置为锁定状态、解锁状态或对第二基带功能的任一功能参数进行调整,本申请实施例对第一基带管理信息所指示的对第二基带功能的配置方式不做限定。
在本申请实施例中,当基带确定针对基带的第一基带操作被触发时,可以生成第一操作标识,基于所述第一操作标识,从第一基带管理应用获取第一基带管理信息,如果基带若在生成第一操作标识之后的配置等待时长之内,未获取到用于指示对至少一项第二基带功能进行配置的第一基带管理信息,还可以将至少一项第一基带功能设置为锁定状态,那么在基带无法及时获取到正确的第一基带管理信息的情况下,也可以直接将至少一项第一基带功能进行锁定,从减少基带脱离管控的可能,从而有效提高对基带进行管控的可靠性和安全性。
可选地,所述方法还包括:
所述第一基带管理应用若获取到所述第一操作标识,则获取所述第一基带管理应用与基带管理服务器建立通信连接成功的历史连接时刻;
所述第一基带管理应用若确定所述历史连接时刻至当前时刻的之间的时长小于或等于预设的通信异常指示时长,则向所述基带发送所述第一基带管理信息,所述通信异常指示时长用于指示所述第一基带管理应用与所述基带管理服务器正常通信时相邻两次建立所述通信连接成功的最大时间间隔。
可选地,所述方法还包括:
所述第一基带管理应用若确定所述历史连接成功时刻至所述当前时刻的之间的时长小于或等于所述通信异常指示时长,则基于所述第一操作标识,生成第一验证信息;
所述第一基带管理应用向所述基带发送所述第一验证信息;
所述基带基于所述第一操作标识对所述第一验证信息进行验证;
所述基带若在生成所述第一操作标识之后的所述配置等待时长之内未获取到所述第一验证信息,或,在生成所述第一操作标识之后的所述配置等待时长之内获取到所述第一验证信息,但所述第一验证信息验证未通过,则将所述至少一项第一基带功能设置为所述锁定状态。
第一基带管理应用可以确定历史中与基带服务器建立通信连接的历史连接时刻距当前时刻之间的时长,并判断该时长是否小于或等于通信异常指示时长。如果该时长小于或等于该通信异常指示时长,则说明第一基带管理应用与基带管理服务器通信正常,从而向基带发送第一基带管理信息和第一验证信息。而如果该时长大于该通信异常指示时长,已经在较长时间段内未能与基带管理服务器进行通信,基带管理与基带管理服务器之间的通信可能已经被劫持,那么便可以不向基带发送第一基带管理信息和第一验证信息。因此能够进一步减少黑产通过劫持第一基带管理应用与基带管理服务器之间的通信,进而阻止基带管理服务器对基带进行管控的风险,从而提高对基带管理的可靠性。
需要说明的是,历史连接时刻可以是在当前时刻之前倒数第一次成功建立通信连接的时刻,也可以是倒数第二次、第三次甚至更早成功建立通信连接的时刻。其中,如果历史连接时刻不是倒数第一次成功建立通信连接的时刻,且该历史连接时刻至当前时刻之间的时长小于通信异常指示时长,而最后一次成功建立通信连接的时刻也必然是晚于该历史连接时刻,那么最后一次成功建立通信连接的时刻至当前时刻之间的时长必然小于通信异常指示时长。
可选地,所述基于所述第一操作标识,生成第一验证信息,包括:
所述第一基带管理应用将所述第一操作标识、所述第一基带管理应用所在通信终端的终端标识和所述第一基带管理信息按照预设次序排序,得到第一信息序列;
所述第一基带管理应用确定所述第一信息序列的第一哈希值;
所述第一基带管理应用基于基带管理私钥,对所述第一哈希值进行签名,得到所述第一验证信息。
可选地,所述基带基于所述第一操作标识对所述第一验证信息进行验证,包括:
所述基带基于基带管理公钥,对所述第一验证信息进行解签,得到所述第一哈希值;
所述基带将所述第一操作标识、所述基带所在通信终端的终端标识和所述第一基带管理信息按照所述预设次序排序,得到第二信息序列;
所述基带确定所述第二信息序列的第二哈希值;
所述基带若确定所述第一哈希值与所述第二哈希值相同,则确定所述第一验证信息验证通过。
在对上述生成的第一验证信息进行验证的过程中,需要对第一操作标识、第一基带管理应用所在通信终端的终端标识和第一基带管理信息,第一操作标识、第一基带管理应用所在通信终端的终端标识和第一基带管理信息的排列次序,第一基带管理应用的签名都进行验证,才有可能验证成功,从而能够进一步提高验证的可靠性。
另外,由于第一操作标识是本次第一基带操作被触发时生成的,因此如果基于第一操作标识对第一验证信息验证通过,则可以确定所获取到的第一基带管理信息也是针对本次第一基带操作的,因此可以基于第一基带管理信息,对至少一项第二基带功能进行配置。所以通过对第一验证信息进行验证,即可以避免黑产通过其他操作标识(比如通信终端在历史中其它时机第一基带操作被触发时生成的操作标识),来利用第一基带管理应用生成虚假的基带管理信息,进而避免基于虚假的基带管理信息对基带进行管控,也即是,能够降低受到针对基带的重放攻击的风险。
需要说明的是,第一基带管理应用基于第一操作标识生成第一验证信息的方式,包括选取第一操作标识、第一基带管理应用所在通信终端的终端标识和第一基带管理信息中的至少一个的方式,对所选取的至少一个排序的方式以及计算哈希值方式,均可以通过事先设置得到,比如由第一基带管理应用可以事先与基带协商确定。
可选地,在所述基带基于基带管理公钥,对所述第一信息序列进行解签,得到所述第一哈希值之前,所述方法还包括:
所述基带从所述第一基带管理应用获取证书链,所述证书链用于解密获取所述基带管理公钥;
所述基带对所述证书链进行解密,得到所述基带管理公钥。
可选地,所述方法还包括:
所述第一基带管理应用每间隔预设的通信间隔,与所述基带管理服务器建立所述通信连接;
若所述通信连接成功,则所述第一基带管理应用存储当前所述通信连接建立成功的连接时刻。
其中,通信间隔可以小于通信异常指示时长。
可选地,所述第一基带操作包括上电启动操作或针对任一所述第一基带功能的调用操作。
可选地,所述第一基带管理信息用于指示将所述至少一项第二基带功能设置为解锁状态,所述至少一项第二基带功能包括所述至少一项第一基带功能,所述方法还包括:
所述基带若在生成所述第一操作标识之后的所述配置等待时长之内,获取到所述第一基带管理信息,则将所述至少一项第二基带能设置为所述解锁状态。
可选地,所述第一基带应用为设置为中的基带管理可信应用(trustedapplication,TA)。
由于基带管理TA是设置在可信执行环境(trusted execution environment,TEE)中的,相比于多样执行环境(rich execution environment,REE),TEE的安全性更高,因此能够进一步降低第一基带管理信息被篡改或在通信终端与基带管理服务器之间的通信被劫持时被阻止更新的风险。
第二方面,本申请实施例提供一种控制基带状态的方法,所述方法包括:
当基带确定针对所述基带的第一基带操作被触发时,生成第一操作标识;
所述第一基带管理应用若获取到所述第一操作标识,则获取所述第一基带管理应用与基带管理服务器建立通信连接成功的历史连接时刻;
所述第一基带管理应用若确定所述历史连接时刻至当前时刻的之间的时长小于或等于预设的通信异常指示时长,则向所述基带发送所述第一基带管理信息,所述通信异常指示时长用于指示所述第一基带管理应用与所述基带管理服务器正常通信时相邻两次建立所述通信连接成功的最大时间间隔;
所述基带若在生成所述第一操作标识之后的配置等待时长之内,获取到所述第一基带管理信息,则基于所述第一基带管理信息,对至少一项第二基带功能配置。
在本申请实施例中,基带在确定针对第一基带操作被触发时,可以生成第一操作标识。第一基带管理应用若获取到第一操作标识,可以获取第一基带管理应用与基带管理服务器建立通信连接成功的历史连接时刻,并在确定该历史连接时刻至当前时刻的之间的时长小于或等于预设的通信异常指示时长时,则向基带发送第一基带管理信息,由于通信异常指示时长可以用于指示第一基带管理应用与基带管理服务器正常通信时相邻两次建立通信连接成功的最大时间间隔,因此,如果基带在生成第一操作标识之后的配置等待时长之内,获取到第一基带管理信息,则可以确定第一基带管理应用当前与基带管理服务器之间的通信并未被劫持,因此可以基于第一基带管理信息,对至少一项第二基带功能进行设置,从而减少了因第一基带管理应用当前与基带管理服务器之间的通信被劫持而导致的基带脱离管控的风险,提高了对基带进行管控的安全性和可靠性。
第三方面,本申请实施例提供一种控制基带状态的方法,所述方法包括:
当基带确定针对所述基带的第一基带操作被触发时,生成第一操作标识;
第一基带管理应用若获取到所述第一操作标识,则基于所述第一操作标识生成第一验证信息;
所述第一基带管理应用向所述基带发送第一基带管理信息和所述第一验证信息;
所述基带若在生成所述第一操作标识之后的配置等待时长之内获取到第一基带管理信息和所述第一验证信息,且所述第一验证信息验证通过,则基于所述第一基带管理信息,对至少一项第二基带功能配置。
在本申请实施例中,基带在确定针对第一基带操作被触发时,可以生成第一操作标识。第一基带管理应用若获取到第一操作标识,可以基于第一操作标识生成第一验证信息,并向基带发送第一基带管理信息和第一验证信息。由于第一验证信息是基于第一操作标识生生成的,基带如果在生成第一操作标识之后的配置等待时长之内获取到第一基带管理信息和第一验证信息,并对第一验证信息验证通过,则说明所接收到的第一基带管理就是针对第一基带操作而发送的,那么便可以基于第一基带管理信息,对至少一项第二基带功能配置,从而减少了收到重放攻击的风险,提高了对基带进行管控的安全性和可靠性。
第四方面,本申请实施例提供一种通信终端,所述通信终端包括:
基带模块,用于当确定针对所述基带的第一基带操作被触发时,生成第一操作标识;基于所述第一操作标识,从第一基带管理应用模块获取第一基带管理信息;若在生成所述第一操作标识之后的配置等待时长之内,未获取到所述第一基带管理信息,则将至少一项第一基带功能设置为锁定状态,所述第一基带管理信息用于指示对至少一项第二基带功能进行配置。
可选地,所述第一基带管理应用模块,用于若获取到所述第一操作标识,则获取所述第一基带管理应用模块与基带管理服务器建立通信连接成功的历史连接时刻;若确定所述历史连接时刻至当前时刻的之间的时长小于或等于预设的通信异常指示时长,则向所述基带模块发送所述第一基带管理信息,所述通信异常指示时长用于指示所述第一基带管理应用模块与所述基带管理服务器正常通信时相邻两次建立所述通信连接成功的最大时间间隔。
可选地,所述第一基带管理应用模块,还用于若确定所述历史连接成功时刻至所述当前时刻的之间的时长小于或等于所述通信异常指示时长,则基于所述第一操作标识,生成第一验证信息;向所述基带模块发送所述第一验证信息;
所述基带模块,还用于基于所述第一操作标识对所述第一验证信息进行验证;若在生成所述第一操作标识之后的所述配置等待时长之内未获取到所述第一验证信息,或,在生成所述第一操作标识之后的所述配置等待时长之内获取到所述第一验证信息,但所述第一验证信息验证未通过,则将所述至少一项第一基带功能设置为所述锁定状态。
可选地,所述第一基带管理应用模块,还用于将所述第一操作标识、所述第一基带管理应用模块所在通信终端的终端标识和所述第一基带管理信息按照预设次序排序,得到第一信息序列;确定所述第一信息序列的第一哈希值;基于基带管理私钥,对所述第一哈希值进行签名,得到所述第一验证信息。
可选地,所述基带模块,还用于基于基带管理公钥,对所述第一验证信息进行解签,得到所述第一哈希值;将所述第一操作标识、所述基带模块所在通信终端的终端标识和所述第一基带管理信息按照所述预设次序排序,得到第二信息序列;确定所述第二信息序列的第二哈希值;若确定所述第一哈希值与所述第二哈希值相同,则确定所述第一验证信息验证通过。
可选地,所述基带模块,还用于从所述第一基带管理应用模块获取证书链,所述证书链用于解密获取所述基带管理公钥;对所述证书链进行解密,得到所述基带管理公钥。
可选地,所述第一基带管理应用模块,还用于每间隔预设的通信间隔,与所述基带管理服务器建立所述通信连接;若所述通信连接成功,则所述第一基带管理应用模块存储当前所述通信连接建立成功的连接时刻。
可选地,所述第一基带操作包括上电启动操作或针对任一所述第一基带功能的调用操作。
可选地,所述第一基带管理信息用于指示将所述至少一项第二基带功能设置为解锁状态,所述至少一项第二基带功能包括所述至少一项第一基带功能;
所述基带模块,还还用于若在生成所述第一操作标识之后的所述配置等待时长之内,获取到所述第一基带管理信息,则将所述至少一项第二基带能设置为所述解锁状态。
第五方面,本申请实施例提供一种通信终端,所述通信终端包括:
基带模块,用于当确定针对所述基带模块的第一基带操作被触发时,生成第一操作标识;若在生成所述第一操作标识之后的配置等待时长之内,获取到所述第一基带管理信息,则基于所述第一基带管理信息,对至少一项第二基带功能配置;
所述第一基带管理应用模块,用于若获取到所述第一操作标识,则获取所述第一基带管理应用模块与基带管理服务器建立通信连接成功的历史连接时刻;若确定所述历史连接时刻至当前时刻的之间的时长小于或等于预设的通信异常指示时长,则向所述基带模块发送所述第一基带管理信息,所述通信异常指示时长用于指示所述第一基带管理应用模块与所述基带管理服务器正常通信时相邻两次建立所述通信连接成功的最大时间间隔。
可选地,所述第一基带应用模块为设置为TEE中的基带管理TA。
第六方面,本申请实施例提供一种通信终端,所述通信终端包括:
基带模块,用于当确定针对所述基带模块的第一基带操作被触发时,生成第一操作标识;若在生成所述第一操作标识之后的配置等待时长之内获取到第一基带管理信息和所述第一验证信息,且所述第一验证信息验证通过,则基于所述第一基带管理信息,对至少一项第二基带功能配置;
第一基带管理应用模块,用于若获取到所述第一操作标识,则基于所述第一操作标识生成第一验证信息;向所述基带模块发送第一基带管理信息和所述第一验证信息。
第七方面,本申请实施例提供一种芯片,包括:
基带模块,用于当确定针对所述基带的第一基带操作被触发时,生成第一操作标识;基于所述第一操作标识,从第一基带管理应用模块获取第一基带管理信息;若在生成所述第一操作标识之后的配置等待时长之内,未获取到所述第一基带管理信息,则将至少一项第一基带功能设置为锁定状态,所述第一基带管理信息用于指示对至少一项第二基带功能进行配置。
第八方面,本申请实施例提供一种芯片,包括:
第一基带管理应用模块,用于若获取到第一操作标识,则获取所述第一基带管理应用模块与基带管理服务器建立通信连接成功的历史连接时刻;若确定所述历史连接时刻至当前时刻的之间的时长小于或等于预设的通信异常指示时长,则向基带模块发送所述第一基带管理信息,所述通信异常指示时长用于指示所述第一基带管理应用模块与所述基带管理服务器正常通信时相邻两次建立所述通信连接成功的最大时间间隔;
其中,所述第一操作标识由所述基带模块在确定针对所述基带模块的第一基带操作被触发时生成第一操作标识;所述第一基带管理信息用于所述基带模块在生成所述第一操作标识之后的配置等待时长之内获取到时,则对至少一项第二基带功能配置。
可选地,所述第一基带管理应用模块,还用于若确定所述历史连接时刻至当前时刻的之间的时长小于或等于预设的通信异常指示时长,则基于所述第一操作标识,生成第一验证信息;向所述基带模块发送所述第一验证信息。
可选地,所述第一基带管理应用模块,还用于将所述第一操作标识、所述第一基带管理应用模块所在通信终端的终端标识和所述第一基带管理信息按照预设次序排序,得到第一信息序列;确定所述第一信息序列的第一哈希值;基于基带管理私钥,对所述第一哈希值进行签名,得到所述第一验证信息。
第九方面,本申请实施例提供一种通信终端,包括:存储器和处理器,存储器用于存储计算机程序;处理器用于在调用计算机程序时执行上述第一方面、第二方面或第三方面中任一项所述的方法。
第十方面,本申请实施例提供一种芯片系统,所述芯片系统包括处理器,所述处理器与存储器耦合,所述处理器执行存储器中存储的计算机程序,以实现上述第一方面、第二方面或第三方面中任一项所述的方法。
其中,所述芯片系统可以为单个芯片,或者多个芯片组成的芯片模组。
第十一方面,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述第一方面、第二方面或第三方面中任一项所述的方法。
第十二方面,本申请实施例提供一种计算机程序产品,当计算机程序产品在通信终端上运行时,使得通信终端执行上述第一方面、第二方面或第三方面中任一项所述的方法。
可以理解的是,上述第四方面至第十二方面的有益效果可以参见上述第一方面、第二方面或第三方面中的相关描述,在此不再赘述。
附图说明
图1为本申请实施例所提供的一种通信终端的结构示意图;
图2为本申请实施例所提供的一种应用场景的示意图;
图3为本申请实施例所提供的一种基带控制系统的框图;
图4为本申请实施例所提供的一种控制基带的方法的流程图;
图5为本申请实施例所提供的另一种基带控制系统的结构示意图;
图6为本申请实施例所提供的另一种控制基带的方法的流程图;
图7为本申请实施例所提供的另一种控制基带的方法的流程图;
图8为本申请实施例所提供的另一种通信终端的框图;
图9为本申请实施例提供的另一种通信终端的框图;
图10为本申请实施例提供的另一种通信终端的框图;
图11为本申请实施例所提供的一种芯片的框图;
图12为本申请实施例所提供的另一种芯片的框图;
图13为本申请实施例提供的另一种通信终端的框图。
具体实施方式
本申请实施例提供的控制基带的方法可以应用于手机、可穿戴设备、车载设备、个人数字助理(personal digital assistant,PDA)等通信终端上,本申请实施例对通信终端的具体类型不作任何限制。
请参照图1,为本申请所提供的一种通信终端100的结构示意图。通信终端100可以包括处理器110,外部存储器接口120,内部存储器121,通用串行总线(universal serialbus,USB)接口130,充电管理模块140,电源管理模块141,电池142,天线1,天线2,基带150,音频模块170,扬声器170A,受话器170B,麦克风170C,耳机接口170D,传感器模块180,按键190,马达191,指示器192,摄像头193,显示屏194,以及用户标识模块(subscriberidentification module,SIM)卡接口195等。
可以理解的是,本申请实施例示意的结构并不构成对通信终端100的具体限定。在本申请另一些实施例中,通信终端100可以包括比图示更多或更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件,软件或软件和硬件的组合实现。
处理器110可以包括一个或多个处理单元,例如:处理器110可以包括应用处理器(application processor,AP),调制解调处理器,图形处理器(graphics processingunit,GPU),图像信号处理器(image signal processor,ISP),控制器,存储器,视频编解码器,数字信号处理器(digital signal processor,DSP),基带处理器,和/或神经网络处理器(neural-network processing unit,NPU)等。其中,不同的处理单元可以是独立的器件,也可以集成在一个或多个处理器中。
其中,控制器可以是通信终端100的神经中枢和指挥中心。控制器可以根据指令操作码和时序信号,产生操作控制信号,完成取指令和执行指令的控制。
处理器110中还可以设置存储器,用于存储指令和数据。在一些实施例中,处理器110中的存储器为高速缓冲存储器。该存储器可以保存处理器110刚用过或循环使用的指令或数据。如果处理器110需要再次使用该指令或数据,可从所述存储器中直接调用。减少了重复存取,减少了处理器110的等待时间,因而提高了系统的效率。
在一些实施例中,处理器110可以包括一个或多个接口。接口可以包括集成电路(inter-integrated circuit,I2C)接口,集成电路内置音频(inter-integrated circuitsound,I2S)接口,脉冲编码调制(pulse code modulation,PCM)接口,通用异步收发传输器(universal asynchronous receiver/transmitter,UART)接口,移动产业处理器接口(mobile industry processor interface,MIPI),通用输入输出(general-purposeinput/output,GPIO)接口,用户标识模块(subscriber identity module,SIM)接口,和/或通用串行总线(universal serial bus,USB)接口等。
可以理解的是,本申请实施例示意的各模块间的接口连接关系,只是示意性说明,并不构成对通信终端100的结构限定。在本申请另一些实施例中,通信终端100也可以采用上述实施例中不同的接口连接方式,或多种接口连接方式的组合。
充电管理模块140用于从充电器接收充电输入。其中,充电器可以是无线充电器,也可以是有线充电器。在一些有线充电的实施例中,充电管理模块140可以通过USB接口130接收有线充电器的充电输入。在一些无线充电的实施例中,充电管理模块140可以通过通信终端100的无线充电线圈接收无线充电输入。充电管理模块140为电池142充电的同时,还可以通过电源管理模块141为通信终端供电。
电源管理模块141用于连接电池142,充电管理模块140与处理器110。电源管理模块141接收电池142和/或充电管理模块140的输入,为处理器110,内部存储器121,外部存储器,显示屏194,摄像头193,和无线通信模块160等供电。电源管理模块141还可以用于监测电池容量,电池循环次数,电池健康状态(漏电,阻抗)等参数。在其他一些实施例中,电源管理模块141也可以设置于处理器110中。在另一些实施例中,电源管理模块141和充电管理模块140也可以设置于同一个器件中。
通信终端100的无线通信功能可以通过天线1以及基带150等实现。
天线1用于发射和接收电磁波信号,可用于覆盖单个或多个通信频带。不同的天线还可以复用,以提高天线的利用率。例如:可以将天线1复用为无线局域网的分集天线。在另外一些实施例中,天线可以和调谐开关结合使用。
基带150可以提供应用在通信终端100上的包括2G/3G/4G/5G等无线通信的解决方案以及无线局域网(wireless local area networks,WLAN)(如无线保真(wirelessfidelity,Wi-Fi)网络),蓝牙(bluetooth,BT),全球导航卫星系统(global navigationsatellite system,GNSS),调频(frequency modulation,FM),近距离无线通信技术(nearfield communication,NFC),红外技术(infrared,IR)等无线通信的解决方案,从而具有一项多或多项的基带功能,比如电话功能、短信功能、蓝牙功能和WIFI功能。当然,在实际应用中,基带还可以包括更多或更少的基带功能,本申请实施例对此基带功能的数目和类型均不作具体限定。
基带150可以包括至少一个滤波器,开关,功率放大器,低噪声放大器(low noiseamplifier,LNA)等。基带150可以由天线1接收电磁波,并对接收的电磁波进行滤波,放大等处理,传送至调制解调处理器进行解调。基带150还可以对经调制解调处理器调制后的信号放大,经天线1转为电磁波辐射出去。在一些实施例中,基带150的至少部分功能模块可以被设置于处理器110中。在一些实施例中,基带150的至少部分功能模块可以与处理器110的至少部分模块被设置在同一个器件中。
调制解调处理器可以包括调制器和解调器。其中,调制器用于将待发送的低频基带信号调制成中高频信号。解调器用于将接收的电磁波信号解调为低频基带信号。随后解调器将解调得到的低频基带信号传送至基带处理器处理。低频基带信号经基带处理器处理后,被传递给应用处理器。应用处理器通过音频设备(不限于扬声器170A,受话器170B等)输出声音信号,或通过显示屏194显示图像或视频。在一些实施例中,调制解调处理器可以是独立的器件。在另一些实施例中,调制解调处理器可以独立于处理器110,与基带150或其他功能模块设置在同一个器件中。
在一些实施例中,通信终端100的天线1和基带150耦合,使得通信终端100可以通过无线通信技术与网络以及其他设备通信。所述无线通信技术可以包括全球移动通讯系统(global system for mobile communications,GSM),通用分组无线服务(general packetradio service,GPRS),码分多址接入(code division multiple access,CDMA),宽带码分多址(wideband code division multiple access,WCDMA),时分码分多址(time-divisioncode division multiple access,TD-SCDMA),长期演进(long term evolution,LTE),BT,GNSS,WLAN,NFC,FM,和/或IR技术等。所述GNSS可以包括全球卫星定位系统(globalpositioning system,GPS),全球导航卫星系统(global navigation satellite system,GLONASS),北斗卫星导航系统(beidou navigation satellite system,BDS),准天顶卫星系统(quasi-zenith satellite system,QZSS)和/或星基增强系统(satellite basedaugmentation systems,SBAS)。
通信终端100通过GPU,显示屏194,以及应用处理器等实现显示功能。GPU为图像处理的微处理器,连接显示屏194和应用处理器。GPU用于执行数学和几何计算,用于图形渲染。处理器110可包括一个或多个GPU,其执行程序指令以生成或改变显示信息。
显示屏194用于显示图像,视频等。显示屏194包括显示面板。显示面板可以采用液晶显示屏(liquid crystal display,LCD),有机发光二极管(organic light-emittingdiode,OLED),有源矩阵有机发光二极体或主动矩阵有机发光二极体(active-matrixorganic light emitting diode的,AMOLED),柔性发光二极管(flex light-emittingdiode,FLED),Miniled,MicroLed,Micro-oLed,量子点发光二极管(quantum dot lightemitting diodes,QLED)等。在一些实施例中,通信终端100可以包括1个或N个显示屏194,N为大于1的正整数。
通信终端100可以通过ISP,摄像头193,视频编解码器,GPU,显示屏194以及应用处理器等实现拍摄功能。
ISP用于处理摄像头193反馈的数据。例如,拍照时,打开快门,光线通过镜头被传递到摄像头感光元件上,光信号转换为电信号,摄像头感光元件将所述电信号传递给ISP处理,转化为肉眼可见的图像。ISP还可以对图像的噪点,亮度,肤色进行算法优化。ISP还可以对拍摄场景的曝光,色温等参数优化。在一些实施例中,ISP可以设置在摄像头193中。
摄像头193用于捕获静态图像或视频。物体通过镜头生成光学图像投射到感光元件。感光元件可以是电荷耦合器件(charge coupled device,CCD)或互补金属氧化物半导体(complementary metal-oxide-semiconductor,CMOS)光电晶体管。感光元件把光信号转换成电信号,之后将电信号传递给ISP转换成数字图像信号。ISP将数字图像信号输出到DSP加工处理。DSP将数字图像信号转换成标准的RGB,YUV等格式的图像信号。在一些实施例中,通信终端100可以包括1个或N个摄像头193,N为大于1的正整数。
数字信号处理器用于处理数字信号,除了可以处理数字图像信号,还可以处理其他数字信号。例如,当通信终端100在频点选择时,数字信号处理器用于对频点能量进行傅里叶变换等。
视频编解码器用于对数字视频压缩或解压缩。通信终端100可以支持一种或多种视频编解码器。这样,通信终端100可以播放或录制多种编码格式的视频,例如:动态图像专家组(moving picture experts group,MPEG)1,MPEG2,MPEG3,MPEG4等。
NPU为神经网络(neural-network,NN)计算处理器,通过借鉴生物神经网络结构,例如借鉴人脑神经元之间传递模式,对输入信息快速处理,还可以不断的自学习。通过NPU可以实现通信终端100的智能认知等应用,例如:图像识别,人脸识别,语音识别,文本理解等。
外部存储器接口120可以用于连接外部存储卡,例如Micro SD卡,实现扩展通信终端100的存储能力。外部存储卡通过外部存储器接口120与处理器110通信,实现数据存储功能。例如将音乐,视频等文件保存在外部存储卡中。
内部存储器121可以用于存储计算机可执行程序代码,所述可执行程序代码包括指令。处理器110通过运行存储在内部存储器121的指令,从而执行通信终端100的各种功能应用以及数据处理。内部存储器121可以包括存储程序区和存储数据区。其中,存储程序区可存储操作系统,至少一个功能所需的应用程序(比如声音播放功能,图像播放功能等)等。存储数据区可存储通信终端100使用过程中所创建的数据(比如音频数据,电话本等)等。此外,内部存储器121可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件,闪存器件,通用闪存存储器(universal flash storage,UFS)等。
通信终端100可以通过音频模块170,扬声器170A,受话器170B,麦克风170C,耳机接口170D,以及应用处理器等实现音频功能。例如音乐播放,录音等。
音频模块170用于将数字音频信息转换成模拟音频信号输出,也用于将模拟音频输入转换为数字音频信号。音频模块170还可以用于对音频信号编码和解码。在一些实施例中,音频模块170可以设置于处理器110中,或将音频模块170的部分功能模块设置于处理器110中。
扬声器170A,也称“喇叭”,用于将音频电信号转换为声音信号。通信终端100可以通过扬声器170A收听音乐,或收听免提通话。
受话器170B,也称“听筒”,用于将音频电信号转换成声音信号。当通信终端100接听电话或语音信息时,可以通过将受话器170B靠近人耳接听语音。
麦克风170C,也称“话筒”,“传声器”,用于将声音信号转换为电信号。当拨打电话或发送语音信息时,用户可以通过人嘴靠近麦克风170C发声,将声音信号输入到麦克风170C。通信终端100可以设置至少一个麦克风170C。在另一些实施例中,通信终端100可以设置两个麦克风170C,除了采集声音信号,还可以实现降噪功能。在另一些实施例中,通信终端100还可以设置三个,四个或更多麦克风170C,实现采集声音信号,降噪,还可以识别声音来源,实现定向录音功能等。
耳机接口170D用于连接有线耳机。耳机接口170D可以是USB接口130,也可以是3.5mm的开放移动通信终端平台(open mobile terminal platform,OMTP)标准接口,美国蜂窝电信工业协会(cellular telecommunications industry association of the USA,CTIA)标准接口。
按键190包括开机键,音量键等。按键190可以是机械按键。也可以是触摸式按键。通信终端100可以接收按键输入,产生与通信终端100的用户设置以及功能控制有关的键信号输入。
马达191可以产生振动提示。马达191可以用于来电振动提示,也可以用于触摸振动反馈。例如,作用于不同应用(例如拍照,音频播放等)的触摸操作,可以对应不同的振动反馈效果。作用于显示屏194不同区域的触摸操作,马达191也可对应不同的振动反馈效果。不同的应用场景(例如:时间提醒,接收信息,闹钟,游戏等)也可以对应不同的振动反馈效果。触摸振动反馈效果还可以支持自定义。
指示器192可以是指示灯,可以用于指示充电状态,电量变化,也可以用于指示消息,未接来电,通知等。
SIM卡接口195用于连接SIM卡。SIM卡可以通过插入SIM卡接口195,或从SIM卡接口195拔出,实现和通信终端100的接触和分离。通信终端100可以支持1个或N个SIM卡接口,N为大于1的正整数。SIM卡接口195可以支持Nano SIM卡,Micro SIM卡,SIM卡等。同一个SIM卡接口195可以同时插入多张卡。所述多张卡的类型可以相同,也可以不同。SIM卡接口195也可以兼容不同类型的SIM卡。SIM卡接口195也可以兼容外部存储卡。通信终端100通过SIM卡和网络交互,实现通话以及数据通信等功能。在一些实施例中,通信终端100采用eSIM,即:嵌入式SIM卡。eSIM卡可以嵌在通信终端100中,不能和通信终端100分离。
通信终端100的软件系统可以采用分层架构,事件驱动架构,微核架构,微服务架构,或云架构。
为了便于理解本申请施例中的技术方案,下面首先对本申请实施例的应用场景予以介绍。
在用户使用通信终端的过程中,运营商或者其他管理方,可能需要对通信终端进行管控。以通信终端为手机为例,请参照图2,为本申请实施例提供的一种应用场景的示意图。
S201,运营商将该手机的标识添加到管控名单中。
其中,运营商可以在该手机激活联网时,将该手机的标识添加到管控名单中。
S202,运营商控制手机基带处于解锁状态。
如果用户在使用手机的过程中遵守事先制定的约定(比如及时缴费),则运营商可以控制手机基带处于解锁状态,以便于用户正常使用。
S203,运营商远程锁定该手机基带。
当用户违反预先与运营商定制的约定(比如欠费)时,运营商可以锁定该手机基带。
S204,运营商重新解锁该手机基带。
当用户不再违反约定时,运营商可以重新解锁该手机基带,以便于用户继续使用。
S205,运营商将该手机的标识从管控名单中删除。
如果运营商确定不再对该手机基带进行管控,比如与用户之间的约定等,便可以将该手机的标识从管控名单中删除。
当然,运营商也可以重新将该手机的标识加入该管控名单,从而重新对该手机基带进行管控。
由前述可知,基带是通信终端中的重要组件,其所具有的基带功能对通信终端至关重要。因此,可以通过对基带的锁定或解锁,来实现对通信终端的管控。
请参照图3,为本申请实施例提供的一种基带控制系统的结构示意图。该基带控制系统包括通信终端310和基带管理服务器320,通信终端310和基带管理服务器320之间可以通过网络连接。
通信终端310包括片上系统(system on chip,SOC)330、基带接口340和基带350,SOC330中包括REE360,REE360中包括基带管理应用370。
基于如图3所示的基带控制系统,本申请实施例提供了一种控制基带的方法。
请参照图4,为本申请实施例提供的一种控制基带的方法的流程图。
S401,基带管理服务器向通信终端发送基带管理信息。
其中,基带管理信息可以用于指示将基带设置为锁定状态或解锁状态。基带管理服务器可以在需要改变对通信终端的管控方式时,向通信终端发送基带管理信息,以将通信终端当前存储的较旧的基带管理信息,更新为最新的基带管理信息。
S402,通信终端通过基带管理应用接收该基带管理信息并存储。
其中,该基带管理应用位于通信终端的REE中。
S403,当通信终端中的基带启动时,通信终端通过基带管理应用将该基带管理信息发送给该基带。
S404,基带基于基带管理信息进入解锁状态或锁定状态。
其中,当进入锁定时,基带被禁用,通信终端无法调用任何基带功能,反之,当进入解锁状态时,通信终端可以调用任意的基带功能。
上述方法虽然一定程度上能够对通信终端中的基带进行管控,但可以看出如果需要将基带设置为锁定状态,则需要向基带发送用于指示基带设置为锁定状态的基带管理信息,那么如果基带与基带管理服务器之间的通信被劫持,则基带无法获取到该基带管理信息,也就不会进入锁定状态而脱离管控,对基带进行管控的可靠性和安全性低下。
为解决这一技术问题,本申请实施例提供了一种基带控制系统。
请参照图5,为本申请实施例所提供的一种基带控制系统的结构示意图。该基带控制系统500包括通信终端510和基带管理服务器520A,通信终端510和基带管理服务器520A之间可以通过网络连接。
通信终端510中可以包括基带530和SOC540。
基带530可以包括如图1中的移动通信模块150和无线通信模块160中的至少一个,从而具有一项或多项的基带功能。
SOC540,可以包括如图1中的处理器110(图5未示出),还可以包括外设控制器(图5未示出)。该SOC540中可以包括REE550和TEE560。REE550可以与TEE560在物理上隔离。REE550中可以运行对安全性要求不高的应用或其他数据,比如用于对基带530进行管理的第二基带管理应用570和用于存储与基带管理相关的信息的存储模块580,其中,该存储模块580可以由第二基带管理应用570和基带530进行数据读写。TEE560可以包括基带管理TA590,还可以包括内部应用程序编辑接口以及可信操作系统(trusted operatingsystem,OS)。TEE560是通信终端中一块独立的区域,向该区域安装应用受管理服务器平台控制;该区域可接管关键设备、提供硬件级别的安全隔离、保护资源和执行可信代码。基带管理TA590为运行在TEE560系统中的可信应用提供安全服务,如输入密码,保存交易记录等。
其中,第二基带管理应用570和基带管理TA590可以通过事先安装得到。比如在通信终端510出厂时分别在该REE550中安装第二基带管理应用570,并在TEE560中安装基带管理TA590。第二基带管理应用570可以用于与基带管理服务器520A以及基带管理TA590进行交互,包括从基带管理服务器520A获取最新的基带管理信息、向存储模块580读取和/或写入基带管理相关的信息。基带管理TA可以用于执行与基带管理相关的、安全性较高的操作或者存储对安全性要求较高的数据,包括对数据进行加密等等。
在一些实施例中,TEE560中还可以包括证书TA591,该证书TA591可以用于生成基带管理TA所需的安全证书。
需要说明的是,基带530可以通过基带接口与SOC540进行交互,包括从存储模块580读取数据和/或向存储模块580写入数据。当然,在实际应用中,基带530也可以通过其他方式来与SOC540进行交互,本申请实施例对此交互方式不做具体限定。
还需要说明的是,基带管理TA590可以理解为设置为TEE中的第一基带管理应用,且在实际应用中,也可以将第一基带管理应用设置在通信终端的其他环境中,比如REE。第一基带管理应用可以与基带管理TA具有相同的功能和作用。在本申请实施例中,第一基带管理应用可以与基带管理TA590互换。
在一些实施例中,基带530和SOC540可以集成在一起。
在一些实施例中,该基带控制系统还包括运营商服务器520B,运营商服务器520B可以与基带管理服务器520A网络连接,基带管理服务器520A可以从运营商服务器520B获取发送至通信终端510的基带管理信息,也即是,通信终端510中的基带管理信息可以由运营商服务器520B生成。
在一些实施例中,基带管理服务器520A和运营商服务器520B可以集成在一起,或者可以是同一服务器。
下面将结合如图1和图5所示的通信终端及基带控制系统,以具体地实施例对本申请的技术方案进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例不再赘述。
请参照图6,为本申请实施例所提供的一种控制基带的方法的流程图。需要说明的是,该方法并不以图6以及以下所述的具体顺序为限制,应当理解,在其它实施例中,该方法其中部分步骤的顺序可以根据实际需要相互交换,或者其中的部分步骤也可以省略或删除。该方法包括如下步骤:
S601,运营商服务器520B向基带管理服务器520A发送与通信终端510对应的第一基带管理信息。
为了便于对通信终端510进行管控,运营商服务器520B可以向基带管理服务器520A发送与该通信终端510对应的第一基带管理信息。
其中,第一基带管理信息可以用于指示对至少一项第二基带功能进行配置,该至少一项第二基带功能可以包括前述中的电话功能、短信功能、WIFI功能或蓝牙功能中的至少一个,当然,在实际应用中,第二基带功能也可以包括其它的基带功能,本申请实施例对此第二基带功能的种类不做具体限定。运营商服务器520B可以在确定通信终端510符合预设约定条件(比如未欠费)时,向基带管理服务器520A发送第一基带管理信息。或者,可以在接收到向该通信终端510发送第一基带管理信息的指令时,发送第一基带管理信息。当然,在实际应用中,运营商服务器520B也可以通过其他方式来确定发送第一基带管理信息的时机,本申请实施例对此确定发送第一基带管理信息的时机的方式不做具体限定。
需要说明的是,对第二基带功能的配置,可以包括将第二基带功能设置为解锁状态或锁定状态,或对第二基带功能的任一功能参数进行调整。本申请实施例对第一基带管理信息所指示的对第二基带功能的配置方式不做限定。
其中,当第二基带功能处于解锁状态时,通信终端510可以正常调用该基带功能;当该基带功能处于锁定状态时,该通信终端510无法调用该基带功能。例如,第二基带功能包括电话功能时,如果电话功能处于锁定状态,则基带可以不再发射、接收、调制或解调2G/3G/4G/5G等无线通信信号。
可选地,运营商服务器520B可以通过下述几种可能的实现方式来获取得到第一基带管理信息:
在一种可能的实现方式中,运营商服务器520B可以基于预先存储的通信终端510的终端标识以及基带管理信息生成策略,生成与该通信终端510对应的第一基带管理信息,基带管理信息生成策略可以用于指示生成与通信终端510对应的基带管理信息的方式。
需要说明的是,终端标识可以用于对通信终端510进行标识,比如该终端标识可以包括通信终端510的国际移动设备身份码(international mobile equipment identity,IMEI)和通用唯一识别码(universally unique identifier,UUID)中的至少一个。
在另一种可能的实现方式中,运营商服务器520B可以接收用户或其他设备提交的通信终端510标识以及对应的第一基带管理信息。
在另一种可能的实现方式中,运营商服务器520B可以基于预先存储的通信终端510的终端标识,接收提交的与该通信终端510对应的第一基带管理信息。
当然,在实际应用中,运用商服务器也可以通过其他方式来获取终端标识或者与该终端标识对应的第一基带管理信息,本申请实施例对此不作具体限定。
可选地,为了便于基带管理服务器520A确定第一基带管理信息所对应的通信终端510,运营商服务器520B还可以将通信终端510的终端标识发送给基带管理服务器520A。
另外,在一些可能的实现方式中,基带控制系统可能并不包括运营商服务器520B,因此S601是可选的步骤。
S602,基带管理服务器520A向通信终端510中的基带管理TA590发送第一基带管理信息。
基带管理服务器520A可以接收来自运营商服务器520B的第一基带管理信息,当然,若运营商服务器520B发送了与该第一基带管理信息对应的终端标识,该基带管理服务器520A还可以接收该终端标识。通信终端510可以与基带管理服务器520A建立通信连接,那么该基带管理服务器520A即可以通过该通信连接,将第一基带管理信息发送至该通信终端510。且由于TEE中的安全性较高,因此为了降低第一基带管理信息被篡改以及受信终端与基带管理服务器之间的通信被劫持而被阻止更新的风险,进而提高第一基带管理信息的安全性,可以将第一基带管理信息发送至通信终端510中的基带管理TA590。
其中,通信终端510可以通过第二基带管理应用570,建立基带管理TA590与基带管理服务器520A之间的通信连接。且为了提高向通信终端510发送第一基带管理信息的安全性,该通信连接可以是加密的通信连接,该第一基带管理信息可以是经过加密的。
需要说明的是,通信终端510(比如基带管理TA590中)可以预置与基带管理服务器520A建立安全通信的通信秘钥,该通信秘钥可以与用于对来自基带管理服务器520A的通信数据进行解密。
可选地,基带管理服务器520A可以按照通信终端510标识,将该第一基带管理信息发送至该终端标识对应的通信终端510。
需要说明的是,运营商服务器520B向基带管理服务器520A发送的第一基带管理信息的数据格式,可以与基带管理服务器520A向通信终端510发送的第一基带管理信息的数据格式不同。也即是,基带管理服务器520A可以将来自运营商服务器520B的第一数据格式的第一基带管理信息,转换为第二数据格式的第一基带管理信息。
其中,第一数据格式、第二数据格式以及第一数据格式与第二数据格式之间的转换方式,可以通过事先设置得到。
另外,在一些可能的实现方式中,当基带控制系统不包括运营商服务器520B时,终端标识和第一基带管理信息可以是基带管理服务器520A预先存储的,或者,可以是由基带管理服务器520A从其他设备获取得到的。或者,当基带控制系统不包括运营商服务器520B时,第一基带管理信息可以是由基带管理服务器520A按照与运营商服务器520B相同或相似的方式生成的。
S603,基带管理TA590存储第一基带管理信息。
为了便于通信终端510基于第一基带管理信息,对基带的工作状态进行控制,基带管理TA590可以存储第一基带管理信息。
可选地,为了提高第一基带管理信息的安全性,基带管理TA590可以将第一基带管理信息存储至具有至少一项安全保护机制的第三预设存储位置。
可选地,第三预设存储位置可以包括位于TEE的重放保护内存块(replayprotected memory block,RPMB)。其中,RPMB是一个具有安全特性的存储区域,当向RPMB写入数据时,可以对执行写入操作的主体进行鉴权,并对所写入的数据进行加密,因此,可以用于存储对安全性要求较高(比如防止被篡改)的数据。当然,在实际应用中,第三预设存储位置也可以包括其他类型的存储位置,本申请实施例对此第三预设存储位置的类型不做具体限定。
可选地,若当前未存储有任何基带管理信息,则第一基带管理信息可能是基带管理TA590首次获取到的基带管理信息,因此基带管理TA590可以直接将第一基带管理信息进行存储。若当前已经存储第二基带管理信息,则基带管理TA590在获取到第一基带管理信息时,可以将第一基带管理信息进行存储,并将第二基带管理信息进行删除,从而确保所存储的是最新基带管理信息,提高了对基带和通信终端510进行管控的时效性。
其中,第二基带管理信息用于指示将至少一项第三基带功能进行配置,该至少一项第三基带功能可以与至少一项第二基带功能相同或不同,且当任一第二基带功能与任一第三基带功能相同时,第二基带管理信息和第一基带管理信息针对该第二基带功能所指示的配置方式可以不同。例如,第二基带管理信息和第一基带管理信息可以分别用于指示对电话功能进行锁定和解锁。
可选地,为了减少因基带管理TA590与基带管理服务器520A之间的通信被劫持而导致的基带管理服务器520A无法更新通信终端510中基带管理信息的风险,进而减少无法对基带530进行管控的风险,基带管理TA590可以每间隔预设的通信间隔,与基带管理服务器520A建立通信连接。如果通信连接建立成功,则可以说明与基带管理服务器520A之间的通信正常,可以存储当前通信连接建立成功的连接时刻,包括生成用于指示连接时刻的第二通信时间戳或从基带管理服务器520A获取第二通信时间戳。如果连接不成功,则可以说明与基带管理服务器520A之间的通信可能被劫持。
需要说明的是,通信间隔可以通过事先设置得到,比如通信间隔可以为1天、3天或5天,当然,在实际应用中,通信间隔也可以为其他时长,本申请实施例对此通信间隔的时长大小不做具体限定。
还需要说明的是,基带管理TA590也可以按照与存储第一基带管理信息相似的方式,将第二通信时间戳进行存储,且第二通信时间戳也可以存储至第三预设存储位置。
另外,通信终端510也可以通过其他方式来获取基带管理信息,比如,可以在出厂时,在该通信终端510的基带管理TA590中预置基带管理信息。
通过上述步骤S601-S603,对本申请实施例中通信终端510获取以及更新基带管理信息的方式进行了说明,但可以理解的是,通信终端510获取并更新基带管理信息的步骤,可以在任意时机进行。接下来,将对如何基于基带管理TA590所存储的第一基带管理信息控制基带状态进行说明。
S604,当基带530确定针对基带530的第一基带操作被触发时,生成第一操作标识。
当第一基带操作被触发时,可能通信终端510准备或正在调用某些基带功能,因此为了及时针对本次第一基带操作,对基带530进行控制,可以生成用于标识第一基带操作的第一操作标识。
其中,第一基带操作可以包括任一种针对基带530的操作,比如,可以包括上电启动、调用特定基带功能等。
为了便于理解,在后续描述中,通过基带上电启动时对基带的控制,来对本申请实施例所提供的技术方案进行说明,但应当理解的是,第一基带操作并不限定于上电启动或调用特定基带功能这两种操作,本实施例对第一基带操作并不进行具体限定。
可选地,基带上电启动可以包括仅基带530进行上电启动或者该基带530随通信终端510一起上电启动。
需要说明的是,可以事先设置基带上电启动事件或者通信终端510上电启动事件,其中,基带上电启动事件可以为触发基带上电启动的事件,通信终端510上电启动事件可以为触发通信终端510上电启动的事件。那么,当通信终端510检测到基带上电启动事件时,即可以对基带530进行上电启动;当通信终端510检测到通信终端510上电启动事件时,可以对通信终端510进行上电启动。例如,基带上电启动事件可以包括基带管理TA590中的基带管理信息更新事件。那么通信终端510可以通过第二基带管理应用570检测到基带管理TA590中的基带管理信息被更新时,控制基带530重新进行上电启动。
可选地,第一操作标识可以包括随机数、累加数或累减数等数字标识。
其中,可以按照预设操作标识生成参数以及预设操作标识生成规则,生成第一操作标识。
需要说明的是,预设操作标识生成参数以及预设操作标识生成规则可以通过事先设置确定。预设操作标识生成参数可以与操作标识的类型对应,比如当操作标识包括随机数时,预设操作标识生成参数可以包括随机数种子;当操作标识包括累加数或累减数时,预设操作标识生成参数可以包括初始数值。
还需要说明的是,预设操作标识生成参数可以存储在REE之外的其他存储位置,比如随机存取存储器(random access memory,RAM)中。
可选地,基带530可以将第一操作标识写入第一预设存储位置,该第一预设存储位置可以位于如图5所示的存储模块580中。
需要说明的是,第一预设存储位置可以包括操作标识文件,该操作标识文件可以用于存储至少一个操作标识,因此基带530可以将第一操作标识写入该操作标识文件。
还需要说明的是,为了避免第一操作标识与其他操作标识进行混淆,或避免其他操作标识被利用,提高对基带530进行控制的安全性和可靠性,基带530可以将第一操作标识进行存储,并将其他操作标识进行删除,也即是,基带530在任意时刻,只存储一个操作标识。当然,基带530也可以存储多个操作标识,那么基带530可以按照时间先后顺序,将第一操作标识进行存储,比如将第一操作标识存储至包括多个操作标识的操作标识序列的首位或末位;或者,基带530可以在生成第一操作标识时生成与该第一操作标识对应的标识时间戳,然后将第一操作标识和标识时间戳均进行存储,该标识时间戳可以用于说明对应的操作标识生成的时间。当然,在实际应用中,基带530也可以按照其他方式来存储第一操作标识,只要确保能够从已存储的操作标识中确定哪个操作标识是最新的操作标识即可,本申请实施例对此操作标识的存储方式不做具体限定。
可选地,为了进一步避免本次第一基带操作被触发时生成的第一操作标识与之前第一基带操作被触发时生成的其他操作标识相混淆,基带530可以在存储第一操作标识之前,将已经存储的其他操作标识进行删除,包括对第一预设存储位置进行清空(比如格式化),和/或,可以将已有的操作标识文件进行删除。
可选地,为了避免即将从基带管理TA590获取到的第一基带管理信息,与基带530已存储的其他基带管理信息相混淆,从而进一步提高对基带530进行管控的可靠性,基带530将REE中已存储的其他基带管理信息进行删除。
其中,通信终端510可以通过第二预设存储位置来存储从基带管理TA590获取到的基带管理信息。因此,基带530可以将第二预设存储位置进行清空。
需要说明的是,第一预设存储位置可以位于图5所示的存储模块580中,且第一预设存储位置可以与第二预设存储位置可以是同一个存储位置。
可选地,基带管理信息可以以基带管理文件的形式进行存储。相应的,基带530可以将当前已经存储的基带管理文件进行删除。
可选地,由于从TEE中获取第一基带管理信息并根据该第一基带管理信息来控制基带这一过程,可能需要耗费部分时间,因此为了在获取到第一基带管理信息之前,先对基带530进行控制,以减少无法从TEE中获取到第一基带管理信息进而无法控制基带530的风险,从而进一步提高控制基带530的可靠性,当基带530上电启动时,基带530可以至少一项基带功能设置为解锁状态或锁定状态。其中,如果基带530在上电启动时将至少一项第一基带功能设置为解锁状态,即允许临时调用某些基带功能,并后续获取到针对本次上电启动的基带管理信息时,再基于该基带管理信息判断是否对保持在解锁状态,可以确保通信终端在出厂时基带530是可用的,不仅用户体验较好,且出售时无需额外的线下操作来对基带530进行配置,节省成本,也能够尽可能地减少通信终端在正常使用的过程中,因基带频繁启动而导致的基带功能状态不稳定的情况;而如果基带530在上电启动时将至少一项第一基带功能设置为锁定状态,则可以避免至少一项第一基带功能在基带530在获取到第一基带管理信息之前被调用。在实际应用中,可以由相关技术人员根据实际需求,将基带530配置为在上电启动时将至少一项基带功能设置为解锁状态还是锁定状态。
其中,第一基带功能可以是任一项基带功能,至少一个第一基带功能可以与至少一个第二基带功能相同或不同。
S605,第二基带管理应用570若检测到第一基带操作被触发,则获取第一操作标识并将第一操作标识发送给基带管理TA590。
为了便于从基带管理TA590获取与当次第一基带操作对应基带管理信息,通信终端510可以通过第二基带管理应用570向第一操作标识发送给基带管理TA590。
可选地,第二基带管理应用570可以从第一预设存储位置中获取第一操作标识。其中,如果第一预设存储位置只可以存储一个操作标识,那么第二基带管理应用570可以直接获取该操作标识作为第一操作标识。如果第一预设存储位置可以存储多个操作标识,那么第二基带管理应用570可以按照时间先后顺序,获取最新的操作标识(比如位于操作标识序列首位或末位的操作标识)作为第一操作标识;或者,如果第一预设存储位置还存储有与操作标识对应的标识时间戳,那么第二基带管理应用570可以按照标识时间戳,获取最新的操作标识,并将该操作标识确定为第一操作标识。
可选地,第二基带管理应用570可以从第一操作标识所在的操作标识文件中获取第一操作标识。
另外,在另一种可能的实现方式中,通信终端510也可以通过基带管理TA590从第一预设存储位置获取第一操作标识。
S606,基带管理TA590判断与基带管理服务器520A建立通信连接成功的历史连接时刻至当前时刻之间的时长是否小于或等于通信异常指示时长。
为了进一步减少黑产通过劫持基带管理TA590与基带管理服务器520A之间的通信,进而阻止基带管理服务器520A对基带530进行管控的风险,基带管理TA590可以确定历史中与基带服务器建立通信连接的历史连接时刻距当前时刻之间的时长,并判断该时长是否小于或等于通信异常指示时长。通信异常指示时长可以用于指示基带管理TA590与基带管理服务器520A正常通信时相邻两次建立通信连接成功的最大时间间隔,如果该时长大于该通信异常指示时长,则说明基带管理TA590已经在较长时间段内未能与基带管理服务器520A进行通信,基带管理TA590与基带管理服务器520A之间的通信可能已经被劫持,因此不再执行后续步骤,且基带管理TA590还可以向第二基带管理应用570返回连接超时提示信息,连接超时提示信息可以用于说明基带管理TA590与基带管理服务器520A之间的通信间隔超时。如果该时长小于或等于该通信异常指示时长,则说明基带管理TA590与基带管理服务器520A之间的通信正常,从而可以继续执行后续步骤。
其中,基带管理TA590可以获取第一通信时间戳,第一通信时间戳可以用于说明历史中基带管理TA590与基带管理服务器520A成功建立通信连接的时刻。
可选地,基带管理TA590可以从位于TEE的第三预设存储位置获取第一通信时间戳。
需要说明的是,若第三预设存储位置只可以存储一个通信时间戳,那么基带管理TA590可以直接获取其中存储的第一通信时间戳;若第三预设存储位置可以存储多个通信时间戳,那么基带管理TA590可以从第三预设存储位置获取距离当前时刻最近的通信时间戳作为第一通信时间戳。
还需要说明的是,通信异常指示时长可以通过事先设置得到。比如通信异常指示时长可以为5天、10天或20天。当然,在实际应用中,通信异常指示时长也可以为其他时长,只要大于通信间隔即可,本申请实施例对此通信异常指示时长的时长大小不做具体限定。
还需要说明的是,第一通信时间戳也可以不是基带管理TA590最后一次与基带管理服务器520A成功建立通信连接的时间戳,即历史连接时刻可以是倒数第二次、第三次甚至更早成功建立通信连接的时刻。在这种情况下,如果历史连接时刻至当前时刻之间的时长小于通信异常指示时长,那么最后一次成功建立通信连接的时刻也必然是晚于该历史连接时刻,因此最后一次成功建立通信连接的时刻至当前时刻之间的时长必然小于通信异常指示时长。
S607,若基带管理TA590与基带管理服务器520A建立通信连接成功的历史连接时刻至当前时刻之间的时长小于或等于通信异常指示时长,则基带管理TA590获取第一基带管理信息、第一验证信息和证书链。
若基带管理TA590与基带管理服务器520A建立通信连接成功的历史连接时刻至当前时刻之间的时长小于或等于通信异常指示时长,则说明基带管理TA590与基带管理服务器520A之间的通信正常,即基带管理TA590能够正常从基带管理服务器520A获取到最新的基带管理信息,那么基带管理TA590中当前存储的第一基带管理信息即为最新的基带管理信息,从而可以基于第一基带管理信息对基带530进行管控,因此可以将第一基带管理信息发送给第二基带管理应用570。也即是,可以通过第一时刻当前时刻之间的时长,及时判断基带管理TA590与基带管理服务器520A之间的通信是否被劫持,从而仅在基带管理TA590与基带管理服务器520A之间的通信正常时,按照第一基带管理信息对基带530进行控制,从而确保了即使基带管理TA590与基带管理服务器520A之间的通信被劫持,也能够对基带530进行管控,提高了对基带530进行管控的可靠性和安全性。
可选地,基带管理TA590可以从第三预设存储位置获取第一基带管理信息。
第一验证信息,可以用于说明第一基带管理信息是针对基带530本次第一基带操作的,从而进一步提高第一基带管理信息的可靠性。
可选地,基带管理TA590可以基于第一操作标识,生成第一验证信息,包括将第一操作标识、基带管理TA590所在通信终端的终端标识和第一基带管理信息按照预设次序排序,得到第一信息序列,第一信息序列即包括按照该预设次序排列的第一操作标识、基带管理TA590所在通信终端的终端标识和第一基带管理信息。基带管理TA590可以确定第一信息序列的第一哈希值,基带管理TA基于基带管理私钥,对第一哈希值进行签名,得到第一验证信息。那么后续在对第一验证信息进行验证时,需要对第一操作标识、基带管理TA590所在通信终端的终端标识和第一基带管理信息,第一操作标识、基带管理TA590所在通信终端的终端标识和第一基带管理信息的排列次序,基带管理TA的签名都进行验证,才有可能验证成功,从而能够进一步提高验证的可靠性。
当然,在实际应用中,基带管理TA590也可以通过其他方式来基于第一操作标识生成第一验证信息。比如,可以将第一操作标识、基带管理TA590所在通信终端的终端标识和第一基带管理信息中的至少一个作为第一验证信息;或,可以将第一信息序列作为第一验证信息;或,可以将第一哈希值作为第一验证信息;或,可以将第一操作标识、基带管理TA590所在通信终端的终端标识和第一基带管理信息中的任意两个或一个的第三哈希值作为第一验证信息;或,可以通过基带管理私钥,对第一操作标识、基带管理TA590所在通信终端的终端标识和第一基带管理信息中的任意两个或一个进行签名,得到第一验证信息;可以确定第一操作标识、基带管理TA590所在通信终端的终端标识和第一基带管理信息中的任意两个或一个的第三哈希值,通过基带管理私钥对第三哈希值进行签名,得到第一验证信息。
需要说明的是,基带管理TA590基于第一操作标识生成第一验证信息的方式,包括选取第一操作标识、基带管理TA590所在通信终端的终端标识和第一基带管理信息中的至少一个的方式,对所选取的至少一个排序的方式以及计算哈希值方式,均可以通过事先设置得到,比如由基带管理TA590可以事先与基带530协商确定。
可选地,由前述可知,可以通过基带管理私钥对第一哈希值进行签名,从而得到第一验证信息,因此,为了便于将基带管理公钥发送给基带530,从而便于后续基带530对第一验证信息进行解签,基带管理TA590可以生成证书链,该证书链可以用于解密获取基带管理公钥。
其中,基带管理TA590可以基于至少一个证书TA来生成该证书链。当证书链包括两级证书时,证书TA可以基于该证书TA私钥对基带管理公钥加密,得到二级证书,基于根私钥对与该证书TA私钥对应的该证书TA公钥进行加密,得到一级证书。
需要说明的是,证书TA私钥或基带管理公钥可以是预先设置的,也可以是在进行签名或加密时生成的。
可选地,根私钥可以为通信终端510厂商的根私钥。
可选地,二级证书中可以携带所在通信终端510的终端标识。
另外,在另一种可能的实现方式中,基带管理TA590也可以不对与基带管理服务器520A建立通信连接成功的历史连接时刻至当前时刻之间的时长是否小于或等于通信异常指示时长进行判断,即可以省略S606,相应的S607也不再参考S606的判断结果,而是直接执行生成第一基带管理信息、第一验证信息和证书链。
还需要说明的是,在实际应用中,基带管理TA590也可以不生成第一验证信息和证书链,或者,可以生成第一验证信息但不生成证书链。
S608,基带管理TA590将第一基带管理信息、第一验证信息和证书链发送至第二基带管理应用570。
其中,如果在S607中,未生成第一验证信息或证书链,则可以不发送第一验证信息或证书链。
S609,第二基带管理应用570将第一基带管理信息、第一验证信息和证书链,存储至第二预设存储位置。
可选地,可以将第一基带管理信息、第一验证信息和证书链,以基带管理文件的形式存储至第二预设存储位置。
需要说明的是,在实际应用中,通信终端510也可以通过其他方式来从基带管理TA590获取第一基带管理信息、第一验证信息和证书链,比如,可以通过基带管理TA590将第一基带管理信息、第一验证信息和证书链,存储至第二预设存储位置。
当然,如果第二基带管理应用570并未获取到第一验证信息或证书链,那么也就不需要将第一验证信息或证书链存储至第二预设存储位置。
S610,基带530若在生成第一操作标识之后的配置等待时长之内,从第二预设存储位置获取第一基带管理信息、第一验证信息和证书链,则基于第一操作标识对第一验证信息进行验证,若第一验证信息验证通过,则基于第一基带管理信息,对至少一项第二基带功能进行配置。
基带530可以在生成第一操作标识时开始计时,并每间隔预设的基带管理信息获取周期,从第二预设存储位置获取第一基带管理信息、第一验证信息和证书链,如果获取到则可以基于第一操作标识对第一验证信息进行验证。该配置等待时长可以用于指示基带在生成第一操作标识之后,等待基于第一基带管理信息对基带进行控制的最长时限。
其中,基带管理信息获取周期和配置等待时长可以通过事先设置得到,且该配置等待时长可以大于该基带管理信息获取周期。
由于第一操作标识是本次第一基带操作被触发时生成的,因此如果基于第一操作标识对第一验证信息验证通过,则可以确定所获取到的第一基带管理信息也是针对本次第一基带操作的,因此可以基于第一基带管理信息,对至少一项第二基带功能进行配置。所以通过对第一验证信息进行验证,即可以避免黑产通过其他操作标识(比如通信终端510在历史中其它时机第一基带操作被触发时生成的操作标识),来利用基带管理TA590生成虚假的基带管理信息,进而避免基于虚假的基带管理信息对基带530进行管控,也即是,能够降低受到针对基带530的重放攻击的风险。
可选地,基带530可以基于基带管理公钥,对第一验证信息进行解签,得到第一哈希值,将第一操作标识、基带530所在通信终端的终端标识和第一基带管理信息按照预设次序排序,得到第二信息序列,确定第二信息序列的第二哈希值,若确定第一哈希值与第二哈希值相同,则确定第一验证信息验证通过。
其中,当基于基带管理公钥,对第一验证信息进行解签,得到第一哈希值时,可以确定第一验证信息是来自于基带管理TA590的;当确定第一哈希值与第二哈希值相同时,可以确定基带管理TA590发送的与基带530在第一基带操作被触发时生成的都是第一操作标识,基带530和基带管理TA590所在的通信终端相同,且基带530所接收到的就是基带管理管理TA590所发送的第一基带管理信息。
当然,在实际应用中,基带530可以通过其他与基带管理TA590基于第一操作标识生成第一验证信息方式相对应的验证方式,来基于第一操作标识,对第一验证信息进行验证。其中,如果第一验证信息携带基带管理TA590的签名,则需要基于基带管理公钥对第一验证信息进行解签;如果第一验证信息包括第一操作标识、基带管理TA590所在通信终端的终端标识和第一基带管理信息中的至少一个,或,基于第一操作标识、基带管理TA590所在通信终端的终端标识和第一基带管理信息中的至少一个所确定的哈希值,则基带管理TA590需要确定第一验证信息所包括的基带管理TA590发送的与基带530所生成的均为第一操作标识、确定基带管理TA590与基带530所在通信终端相同、基带管理TA590发送的与基带530生成的均为第一基带管理信息,才能确定对第一验证信息验证通过。
可选地,基带530可以获取证书链,并对该证书链进行解密,得到基带管理公钥。
其中,基带530可以基于预设的根公钥,对该证书链逐级进行解密,从而得到基带管理公钥,该根公钥可以是通信终端厂商的根公钥。
当然,在实际应用中,基带530中的基带管理公钥可以通过事先设置得到。
另外,基带530也可以直接接收基带管理TA590或第二基带管理应用570发送的第一基带管理信息、第一验证信息和证书链,而不是从第二预设存储位置获取上述信息。
另外,在一些可能的实现方式中,基带管理TA590可能被配置为不生成并发送第一验证信息或证书链,因此,第二基带管理应用570或基带530也可以被配置为只获取第一基带管理信息,或者只获取第一验证信息和第一基带管理信息。当基带530被配置为只获取第一基带管理信息时,S610中对第一验证信息进行验证是可选地步骤,基带530可以若在生成第一操作标识之后的配置等待时长之内,从第二预设存储位置获取第一基带管理信息,可以直接基于第一基带管理信息,对至少一项第二基带功能进行配置。
S611,基带530若在生成第一操作标识之后的配置等待时长之内,未获取到第一基带管理信息或第一验证信息,或第一验证信息未验证通过,则将至少一项第一基带功能设置为锁定状态。
当基带530在生成第一操作标识之后的配置等待时长之内,未获取到第一基带管理信息或第一验证信息,或第一验证信息未验证通过时,则可能是因为基带管理TA590与基带管理服务器520A之间的通信被劫持,也可能是因为基带管理TA590受到了重放攻击,因此,为了确保对基带进行控制的可靠性和安全性,可以将至少一项第一基带功能设置为锁定状态。
当然,若基带管理TA590被配置为不生成并发送第一验证信息,则在S611中,基带530可以在若在生成第一操作标识之后的配置等待时长之内,未获取到第一基带管理信息时,将至少一项第一基带功能设置为锁定状态,也即是,不再参考是否获取到是否获取到第一验证信息以及第一验证信息的验证结果。
在本申请实施例中,当基带确定针对基带的第一基带操作被触发时,可以生成第一操作标识,基于所述第一操作标识,从基带管理TA获取第一基带管理信息。基带若在生成第一操作标识之后的配置等待时长之内,未获取到用于指示对至少一项第二基带功能进行配置的第一基带管理信息,还可以将至少一项第一基带功能设置为锁定状态,那么在基带无法及时获取到正确的第一基带管理信息的情况下,也可以直接将至少一项第一基带功能进行锁定,从减少基带脱离管控的可能,从而有效提高对基带进行管控的可靠性和安全性。
请参照图7,为本申请实施例所提供的另一种控制基带状态的方法的流程图。
S701,当基带530上电启动时,生成操作标识为123456。
S702,当第二基带管理应用570检测到基带530上电启动时,将操作标识123456发送给基带管理TA590。
S703,当基带管理TA590接收到操作标识123456时,获取基带管理信息、验证信息和证书链。
基带管理TA590对操作标识123456、当前所在通信终端的终端标识HW123以及基带管理信息进行排序“123456,HW123,基带管理信息”,并计算“123456,HW123,基带管理信息”的哈希值1,基于基带管理私钥对哈希值1进行加密,得到验证信息。
可选地,基带管理TA590在获取到操作标识123456时,获取到最近一次与基带管理服务器520A成功建立通信连接时的时刻为2020年7月7日10时10分10秒,当前时刻为2020年7月10日11时整,其间的时长小于通信异常指示时长5天,则可以确定与基带管理服务器520A通信正常,因此可以按照上述方式获取基带管理信息、验证信息和证书链。而如果获取到最近一次与基带管理服务器520成功建立通信连接时的时刻为2020年7月1日10时整,其间的时长大于5天,则可以确定与基带管理服务器520A之间的通信被劫持,从而不获取基带管理信息、验证信息和证书链。
假设,这里的基带管理信息用于指示将电话功能、WIFI功能、短信功能和蓝牙功能设置为解锁状态,即基带管理TA590中预置正向的基带管理信息。
S704,基带管理TA590向第二基带管理应用570发送基带管理信息、验证信息和证书链。
S705,第二基带管理应用570将基带管理信息、验证信息和证书链存储至第二预设存储位置。
S706,基带530若在生成第一操作标识123456之后的1分钟之内,未从第二预设存储位置获取到基带管理信息或验证信息,或验证信息未验证通过,则将电话功能设置为所锁定状态。
基带530基于根公钥对证书链进行解密,得到基带管理公钥,基于基带管理公钥对验证信息进行解签,得到哈希值1。基带530基于S701生成的操作标识123456、当前所在通信终端的终端标识HW123以及基带管理信息进行排序为“123456,HW123,基带管理信息”,并计算“123456,HW123,基带管理信息”的哈希值2。由于哈希值1与哈希值2相同,则基带530将电话功能、WIFI功能、短信功能和蓝牙功能设置为解锁状态。若基带530当前所在通信终端的终端标识为HW777,那么基带530计算得到的是“123456,HW777,基带管理信息”的哈希值3,哈希值3不等于哈希值1,则验证信息验证失败,基带530可以将电话功能设置为锁定状态,而不再基于第一基带管理信息对基带进行配置。
基于同一发明构思,作为对上述方法的实现,本申请实施例提供了一种通信终端,该装置实施例与前述方法实施例对应,为便于阅读,本装置实施例不再对前述方法实施例中的细节内容进行逐一赘述,但应当明确,本实施例中的装置能够对应实现前述方法实施例中的全部内容。
请参照图8,为本申请实施例提供的一种通信终端800的框图,如图8所示,包括:
基带模块801,用于当确定针对所述基带的第一基带操作被触发时,生成第一操作标识;基于所述第一操作标识,从第一基带管理应用模块获取第一基带管理信息;若在生成所述第一操作标识之后的配置等待时长之内,未获取到所述第一基带管理信息,则将至少一项第一基带功能设置为锁定状态,所述第一基带管理信息用于指示对至少一项第二基带功能进行配置。
可选地,所述第一基带管理应用模块,用于若获取到所述第一操作标识,则获取所述第一基带管理应用模块与基带管理服务器建立通信连接成功的历史连接时刻;若确定所述历史连接时刻至当前时刻的之间的时长小于或等于预设的通信异常指示时长,则向所述基带模块发送所述第一基带管理信息,所述通信异常指示时长用于指示所述第一基带管理应用模块与所述基带管理服务器正常通信时相邻两次建立所述通信连接成功的最大时间间隔。
可选地,所述第一基带管理应用模块,还用于若确定所述历史连接成功时刻至所述当前时刻的之间的时长小于或等于所述通信异常指示时长,则基于所述第一操作标识,生成第一验证信息;向所述基带模块发送所述第一验证信息;
所述基带模块,还用于基于所述第一操作标识对所述第一验证信息进行验证;若在生成所述第一操作标识之后的所述配置等待时长之内未获取到所述第一验证信息,或,在生成所述第一操作标识之后的所述配置等待时长之内获取到所述第一验证信息,但所述第一验证信息验证未通过,则将所述至少一项所述第一基带功能设置为所述锁定状态。
可选地,所述第一基带管理应用模块,还用于将所述第一操作标识、所述第一基带管理应用模块所在通信终端的终端标识和所述第一基带管理信息按照预设次序排序,得到第一信息序列;确定所述第一信息序列的第一哈希值;基于基带管理私钥,对所述第一哈希值进行签名,得到所述第一验证信息。
可选地,所述基带模块,还用于基于基带管理公钥,对所述第一验证信息进行解签,得到所述第一哈希值;将所述第一操作标识、所述基带模块所在通信终端的终端标识和所述第一基带管理信息按照所述预设次序排序,得到第二信息序列;确定所述第二信息序列的第二哈希值;若确定所述第一哈希值与所述第二哈希值相同,则确定所述第一验证信息验证通过。
可选地,所述基带模块,还用于从所述第一基带管理应用模块获取证书链,所述证书链用于解密获取所述基带管理公钥;对所述证书链进行解密,得到所述基带管理公钥。
可选地,所述第一基带管理应用模块,还用于每间隔预设的通信间隔,与所述基带管理服务器建立所述通信连接;若所述通信连接成功,则所述第一基带管理应用模块存储当前所述通信连接建立成功的连接时刻。
可选地,所述第一基带操作包括上电启动操作或针对任一所述第一基带功能的调用操作。
可选地,所述第一基带管理信息用于指示将所述至少一项第二基带功能设置为解锁状态,所述至少一项第二基带功能包括所述至少一项第一基带功能;
所述基带模块,还还用于若在生成所述第一操作标识之后的所述配置等待时长之内,获取到所述第一基带管理信息,则将所述至少一项第二基带能设置为所述解锁状态。
本实施例提供的通信终端可以执行上述方法实施例,其实现原理与技术效果类似,此处不再赘述。
请参照图9,为本申请实施例提供的一种通信终端900的框图,如图9所示,包括:
基带模块901,用于当确定针对所述基带模块的第一基带操作被触发时,生成第一操作标识;若在生成所述第一操作标识之后的配置等待时长之内,获取到所述第一基带管理信息,则基于所述第一基带管理信息,对至少一项第二基带功能配置;
所述第一基带管理应用模块902,用于若获取到所述第一操作标识,则获取所述第一基带管理应用模块与基带管理服务器建立通信连接成功的历史连接时刻;若确定所述历史连接时刻至当前时刻的之间的时长小于或等于预设的通信异常指示时长,则向所述基带模块发送所述第一基带管理信息,所述通信异常指示时长用于指示所述第一基带管理应用模块与所述基带管理服务器正常通信时相邻两次建立所述通信连接成功的最大时间间隔。
本实施例提供的通信终端可以执行上述方法实施例,其实现原理与技术效果类似,此处不再赘述。
请参照图10,为本申请实施例提供的一种通信终端1000的框图,如图10所示,包括:
基带模块1001,用于当确定针对所述基带模块的第一基带操作被触发时,生成第一操作标识;若在生成所述第一操作标识之后的配置等待时长之内获取到第一基带管理信息和所述第一验证信息,且所述第一验证信息验证通过,则基于所述第一基带管理信息,对至少一项第二基带功能配置;
第一基带管理应用模块1002,用于若获取到所述第一操作标识,则基于所述第一操作标识生成第一验证信息;向所述基带模块发送第一基带管理信息和所述第一验证信息。
本实施例提供的通信终端可以执行上述方法实施例,其实现原理与技术效果类似,此处不再赘述。
请参照图11为本申请实施例提供的一种芯片1100的框图,如图11所示,包括:
基带模块1101,用于当确定针对所述基带的第一基带操作被触发时,生成第一操作标识;基于所述第一操作标识,从第一基带管理应用模块获取第一基带管理信息;若在生成所述第一操作标识之后的配置等待时长之内,未获取到所述第一基带管理信息,则将至少一项第一基带功能设置为锁定状态,所述第一基带管理信息用于指示对至少一项第二基带功能进行配置。
本实施例提供的芯片可以执行上述方法实施例,其实现原理与技术效果类似,此处不再赘述。
请参照图12为本申请实施例提供的一种芯片1200的框图,如图12所示,包括:
第一基带管理应用模块1201,用于若获取到第一操作标识,则获取所述第一基带管理应用模块与基带管理服务器建立通信连接成功的历史连接时刻;若确定所述历史连接时刻至当前时刻的之间的时长小于或等于预设的通信异常指示时长,则向基带模块发送所述第一基带管理信息,所述通信异常指示时长用于指示所述第一基带管理应用模块与所述基带管理服务器正常通信时相邻两次建立所述通信连接成功的最大时间间隔;
其中,所述第一操作标识由所述基带模块在确定针对所述基带模块的第一基带操作被触发时生成第一操作标识;所述第一基带管理信息用于所述基带模块在生成所述第一操作标识之后的配置等待时长之内获取到时,则对至少一项第二基带功能配置。
可选地,所述第一基带管理应用模块,还用于若确定所述历史连接时刻至当前时刻的之间的时长小于或等于预设的通信异常指示时长,则基于所述第一操作标识,生成第一验证信息;向所述基带模块发送所述第一验证信息。
可选地,所述第一基带管理应用模块,还用于将所述第一操作标识、所述第一基带管理应用模块所在通信终端的终端标识和所述第一基带管理信息按照预设次序排序,得到第一信息序列;确定所述第一信息序列的第一哈希值;基于基带管理私钥,对所述第一哈希值进行签名,得到所述第一验证信息。
本实施例提供的芯片可以执行上述方法实施例,其实现原理与技术效果类似,此处不再赘述。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将所述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中,上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。另外,各功能单元、模块的具体名称也只是为了便于相互区分,并不用于限制本申请的保护范围。上述系统中单元、模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
基于同一发明构思,本申请实施例还提供了一种通信终端。图13为本申请实施例提供的通信终端1300的框图,如图13所示,本实施例提供的通信终端包括:存储器1310和处理器1320,存储器1310用于存储计算机程序;处理器1320用于在调用计算机程序时执行上述方法实施例所述的方法。
本实施例提供的通信终端可以执行上述方法实施例,其实现原理与技术效果类似,此处不再赘述。
基于同一发明构思,本申请实施例还提供了一种芯片系统。该所述芯片系统包括处理器,所述处理器与存储器耦合,所述处理器执行存储器中存储的计算机程序,以实现上述第一方面或第一方面的任一实施方式所述的方法。
其中,该芯片系统可以为单个芯片,或者多个芯片组成的芯片模组。
本申请实施例还提供一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述方法实施例所述的方法。
本申请实施例还提供一种计算机程序产品,当计算机程序产品在通信终端上运行时,使得通信终端执行时实现上述方法实施例所述的方法。
上述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读存储介质至少可以包括:能够将计算机程序代码携带到拍照装置/终端设备的任何实体或装置、记录介质、计算机存储器、只读存储器(read-only memory,ROM)、随机存取存储器(random accessmemory,RAM)、电载波信号、电信信号以及软件分发介质。例如U盘、移动硬盘、磁碟或者光盘等。在某些司法管辖区,根据立法和专利实践,计算机可读介质不可以是电载波信号和电信信号。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
在本申请所提供的实施例中,应该理解到,所揭露的装置/设备和方法,可以通过其它的方式实现。例如,以上所描述的装置/设备实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口,装置或单元的间接耦合或通讯连接,可以是电性,机械或其它的形式。
应当理解,当在本申请说明书和所附权利要求书中使用时,术语“包括”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在本申请说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
如在本申请说明书和所附权利要求书中所使用的那样,术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地,短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。
另外,在本申请说明书和所附权利要求书的描述中,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
在本申请说明书中描述的参考“一个实施例”或“一些实施例”等意味着在本申请的一个或多个实施例中包括结合该实施例描述的特定特征、结构或特点。由此,在本说明书中的不同之处出现的语句“在一个实施例中”、“在一些实施例中”、“在其他一些实施例中”、“在另外一些实施例中”等不是必然都参考相同的实施例,而是意味着“一个或多个但不是所有的实施例”,除非是以其他方式另外特别强调。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”,除非是以其他方式另外特别强调。
最后应说明的是:以上各实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述各实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。
Claims (13)
1.一种控制基带状态的方法,其特征在于,所述方法包括:
当基带确定针对所述基带的第一基带操作被触发时,生成第一操作标识;
所述基带基于所述第一操作标识,从第一基带管理应用获取第一基带管理信息;
所述基带若在生成所述第一操作标识之后的配置等待时长之内,未获取到所述第一基带管理信息,则将至少一项第一基带功能设置为锁定状态,所述第一基带管理信息用于指示对至少一项第二基带功能进行配置。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述第一基带管理应用若获取到所述第一操作标识,则获取所述第一基带管理应用与基带管理服务器建立通信连接成功的历史连接时刻;
所述第一基带管理应用若确定所述历史连接时刻至当前时刻的之间的时长小于或等于预设的通信异常指示时长,则向所述基带发送所述第一基带管理信息,所述通信异常指示时长用于指示所述第一基带管理应用与所述基带管理服务器正常通信时相邻两次建立所述通信连接成功的最大时间间隔。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
所述第一基带管理应用若确定所述历史连接成功时刻至所述当前时刻的之间的时长小于或等于所述通信异常指示时长,则基于所述第一操作标识,生成第一验证信息;
所述第一基带管理应用向所述基带发送所述第一验证信息;
所述基带基于所述第一操作标识对所述第一验证信息进行验证;
所述基带若在生成所述第一操作标识之后的所述配置等待时长之内未获取到所述第一验证信息,或,在生成所述第一操作标识之后的所述配置等待时长之内获取到所述第一验证信息,但所述第一验证信息验证未通过,则将所述至少一项第一基带功能设置为所述锁定状态。
4.根据权利要求3所述的方法,其特征在于,所述基于所述第一操作标识,生成第一验证信息,包括:
所述第一基带管理应用将所述第一操作标识、所述第一基带管理应用所在通信终端的终端标识和所述第一基带管理信息按照预设次序排序,得到第一信息序列;
所述第一基带管理应用确定所述第一信息序列的第一哈希值;
所述第一基带管理应用基于基带管理私钥,对所述第一哈希值进行签名,得到所述第一验证信息。
5.根据权利要求4所述的方法,其特征在于,所述基带基于所述第一操作标识对所述第一验证信息进行验证,包括:
所述基带基于基带管理公钥,对所述第一验证信息进行解签,得到所述第一哈希值;
所述基带将所述第一操作标识、所述基带所在通信终端的终端标识和所述第一基带管理信息按照所述预设次序排序,得到第二信息序列;
所述基带确定所述第二信息序列的第二哈希值;
所述基带若确定所述第一哈希值与所述第二哈希值相同,则确定所述第一验证信息验证通过。
6.根据权利要求5所述的方法,其特征在于,在所述基带基于基带管理公钥,对所述第一信息序列进行解签,得到所述第一哈希值之前,所述方法还包括:
所述基带从所述第一基带管理应用获取证书链,所述证书链用于解密获取所述基带管理公钥;
所述基带对所述证书链进行解密,得到所述基带管理公钥。
7.根据权利要求2-6任一所述的方法,其特征在于,所述方法还包括:
所述第一基带管理应用每间隔预设的通信间隔,与所述基带管理服务器建立所述通信连接;
若所述通信连接成功,则所述第一基带管理应用存储当前所述通信连接建立成功的连接时刻。
8.根据权利要求1-7任一所述的方法,其特征在于,所述第一基带操作包括上电启动操作或针对任一所述第一基带功能的调用操作。
9.根据权利要求1-8任一所述的方法,其特征在于,所述第一基带管理信息用于指示将所述至少一项第二基带功能设置为解锁状态,所述至少一项第二基带功能包括所述至少一项第一基带功能,所述方法还包括:
所述基带若在生成所述第一操作标识之后的所述配置等待时长之内,获取到所述第一基带管理信息,则将所述至少一项第二基带能设置为所述解锁状态。
10.根据权利要求1-9任一所述的方法,其特征在于,所述第一基带应用为设置为可信执行环境TEE中的基带管理可信应用TA。
11.一种通信终端,其特征在于,包括:
基带模块,用于当确定针对所述基带的第一基带操作被触发时,生成第一操作标识;基于所述第一操作标识,从第一基带管理应用模块获取第一基带管理信息;若在生成所述第一操作标识之后的配置等待时长之内,未获取到所述第一基带管理信息,则将至少一项第一基带功能设置为锁定状态,所述第一基带管理信息用于指示对至少一项第二基带功能进行配置。
12.一种通信终端,其特征在于,包括:存储器和处理器,所述存储器用于存储计算机程序;所述处理器用于在调用所述计算机程序时执行如权利要求1-10任一项所述的方法。
13.一种芯片系统,其特征在于,所述芯片系统包括处理器,所述处理器与存储器耦合,所述处理器执行存储器中存储的计算机程序,以实现如权利要求1-10任一项所述的方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2020102949897 | 2020-04-15 | ||
| CN202010294989 | 2020-04-15 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113541954A true CN113541954A (zh) | 2021-10-22 |
| CN113541954B CN113541954B (zh) | 2023-06-13 |
Family
ID=78124159
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010730115.1A Active CN113541954B (zh) | 2020-04-15 | 2020-07-27 | 控制基带的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113541954B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1829255A (zh) * | 2006-03-30 | 2006-09-06 | 深圳市杰特电信控股有限公司 | 一种移动电话的远程锁机方法及装置 |
| CN201590903U (zh) * | 2009-10-29 | 2010-09-22 | 比亚迪股份有限公司 | 短信息控制系统以及具有该系统的便携式移动终端 |
| US20120269181A1 (en) * | 2007-05-10 | 2012-10-25 | Broadcom Corporation | Cooperative transceiving between wireless interface devices of a host device with shared modules |
| CN103260231A (zh) * | 2013-05-24 | 2013-08-21 | 天津赛乐新创通信技术有限公司 | 基于gsm-r基带模块改进实现8w模块的方法及装置 |
| CN104427112A (zh) * | 2013-09-02 | 2015-03-18 | 联想(北京)有限公司 | 一种信息处理方法及电子设备 |
-
2020
- 2020-07-27 CN CN202010730115.1A patent/CN113541954B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1829255A (zh) * | 2006-03-30 | 2006-09-06 | 深圳市杰特电信控股有限公司 | 一种移动电话的远程锁机方法及装置 |
| US20120269181A1 (en) * | 2007-05-10 | 2012-10-25 | Broadcom Corporation | Cooperative transceiving between wireless interface devices of a host device with shared modules |
| CN201590903U (zh) * | 2009-10-29 | 2010-09-22 | 比亚迪股份有限公司 | 短信息控制系统以及具有该系统的便携式移动终端 |
| CN103260231A (zh) * | 2013-05-24 | 2013-08-21 | 天津赛乐新创通信技术有限公司 | 基于gsm-r基带模块改进实现8w模块的方法及装置 |
| CN104427112A (zh) * | 2013-09-02 | 2015-03-18 | 联想(北京)有限公司 | 一种信息处理方法及电子设备 |
Non-Patent Citations (1)
| Title |
|---|
| 孙福安等: "基于模糊故障树的基带设备故障诊断方法", 《兵工自动化》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113541954B (zh) | 2023-06-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111466099B (zh) | 一种登录方法、令牌发送方法、设备及存储介质 | |
| CN113225690B (zh) | 蓝牙连接方法、系统和电子设备 | |
| CN111373713B (zh) | 一种消息传输方法及设备 | |
| CN112449328A (zh) | 一种蓝牙搜索方法、系统及相关装置 | |
| CN112469013B (zh) | 一种蓝牙连接方法及相关装置 | |
| CN110730114B (zh) | 一种网络配置信息的配置方法及设备 | |
| CN111093183B (zh) | 一种移动设备管理方法及设备 | |
| WO2023011376A1 (zh) | 一种北斗通信系统中密钥更新方法、系统及相关装置 | |
| CN113408016B (zh) | 保存密文的方法和装置 | |
| CN112995990A (zh) | 一种密钥信息的同步方法、系统及设备 | |
| WO2021184264A1 (zh) | 数据保存方法、数据访问方法及相关装置、设备 | |
| CN114697955A (zh) | 一种加密通话方法、装置、终端及存储介质 | |
| CN113609472B (zh) | 解锁sim卡的方法、电子设备及存储介质 | |
| CN113541954B (zh) | 控制基带的方法及装置 | |
| CN110798830B (zh) | 一种失联设备查找方法及设备 | |
| CN116456324B (zh) | 终端控制方法、装置、移动终端及计算机可读存储介质 | |
| CN113950048A (zh) | 连接建立方法、电子设备及存储介质 | |
| CN114117461A (zh) | 一种数据保护方法、电子设备及存储介质 | |
| CN114117367A (zh) | 一种数据保护方法及电子设备 | |
| CN113676440A (zh) | 通信过程中的权限协商方法、装置和电子设备 | |
| CN115701016B (zh) | 一种卫星通信系统中鉴权校验方法、系统及相关装置 | |
| CN114845297B (zh) | 应用程序访问方法、电子设备及存储介质 | |
| CN115550919A (zh) | 设备配对认证方法、装置、发送方设备及接收方设备 | |
| CN117951662A (zh) | 一种处理数据的方法及电子设备 | |
| CN117915308A (zh) | 一种去电方法及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |