CN114040401B - 终端认证方法及系统 - Google Patents

终端认证方法及系统 Download PDF

Info

Publication number
CN114040401B
CN114040401B CN202111312432.2A CN202111312432A CN114040401B CN 114040401 B CN114040401 B CN 114040401B CN 202111312432 A CN202111312432 A CN 202111312432A CN 114040401 B CN114040401 B CN 114040401B
Authority
CN
China
Prior art keywords
terminal
authenticated
authentication certificate
counterfeiting
unique identifier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111312432.2A
Other languages
English (en)
Other versions
CN114040401A (zh
Inventor
姜琳
段维宁
鲁笛
赵鑫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China United Network Communications Group Co Ltd
Original Assignee
China United Network Communications Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China United Network Communications Group Co Ltd filed Critical China United Network Communications Group Co Ltd
Priority to CN202111312432.2A priority Critical patent/CN114040401B/zh
Publication of CN114040401A publication Critical patent/CN114040401A/zh
Application granted granted Critical
Publication of CN114040401B publication Critical patent/CN114040401B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/71Hardware identity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明提供一种终端认证方法及系统,其中所述方法包括:终端厂商节点向工信部节点发送入网申请,其中包括待认证终端的硬件固化信息;工信部节点为待认证终端分配终端唯一标识,再根据待认证终端的硬件固化信息和终端唯一标识生成终端防伪认证证书,然后将终端防伪认证证书和终端唯一标识返回给终端厂商节点;终端厂商节点将终端防伪认证证书和终端唯一标识写入待认证终端;当待认证终端接入运营商网络时,运营商基站接收待认证终端发送的终端防伪认证证书、终端唯一标识和终端硬件固化信息并对对待认证终端防伪认证证书的合法性进行入网认证。本发明提供的技术方案可有效避免IMEI被冒用或篡改,为治理山寨机提供了切实可行的解决方案。

Description

终端认证方法及系统
技术领域
本发明涉及通信技术领域,尤其涉及一种终端认证方法,以及一种终端认证系统。
背景技术
近期市面上频繁出现售卖山寨机的情况,此类“山寨机”通过冒用或伪造IMEI(International Mobile Equipment Identity,国际移动设备识别码)等认证信息的方式正常接入运营商网络。
然而终端厂商仅仅将从工信部申请的IMEI作为终端身份的唯一认证手段,对于目前存在的终端在生产、售后、用户各个环节都存在的随意刷写IMEI的问题,IMEI真实可信度无法得到保证,导致运营商无法使用IMEI作为其是否为山寨机的认证标准,无法对山寨机进行有效治理。
发明内容
为了至少部分解决现有技术中存在的IMEI可随意刷写导致无法有效治理山寨机的技术问题而完成了本发明。
根据本发明的一方面,提供一种终端认证方法,所述方法包括:
终端厂商节点向工信部节点发送入网申请,其中包括待认证终端的硬件固化信息;
工信部节点为待认证终端分配终端唯一标识,再根据待认证终端的硬件固化信息和终端唯一标识生成终端防伪认证证书,然后将终端防伪认证证书和终端唯一标识返回给终端厂商节点;
终端厂商节点将终端防伪认证证书和终端唯一标识写入待认证终端;
当待认证终端接入运营商网络时,运营商基站接收待认证终端发送的终端防伪认证证书、终端唯一标识和终端硬件固化信息,并根据接收到的终端硬件固化信息和终端唯一标识对待认证终端防伪认证证书的合法性进行入网认证。
可选地,工信部节点根据待认证终端的硬件固化信息和终端唯一标识生成终端防伪认证证书,具体为:
工信部节点利用预设安全散列算法对待认证终端的硬件固化信息和终端唯一标识进行运算得到散列值s2,再根据散列值s2生成终端防伪认证证书;
运营商基站根据接收到的终端硬件固化信息和终端唯一标识对待认证终端防伪认证证书的合法性进行入网认证,包括:
运营商基站利用同样的预设安全散列算法对待认证终端发送的终端硬件固化信息和终端唯一标识进行运算,生成散列值s1;
运营商基站将散列值s1与从终端防伪认证证书内读取的散列值s2进行比对,若二者一致,则认为待认证终端防伪认证证书合法且网络接入认证通过,允许其接入网络。
可选地,所述预设安全散列算法为SHA256散列算法。
可选地,所述方法还包括:
工信部节点使用其私钥证书对散列值s2进行数字签名运算,得到终端防伪认证证书密文并返回给终端厂商节点,以及将其公钥证书发送至运营商基站;
运营商基站利用工信部公钥证书对待认证终端发送的终端防伪认证证书密文进行数字签名验证,若验证通过,则认为终端防伪认证证书为工信部签发并得到终端防伪认证证书明文,再从中读取散列值s2。
可选地,所述数字签名采用的加密算法为RSA非对称加密算法。
可选地,所述终端厂商节点将终端防伪认证证书和终端唯一标识写入待认证终端,具体为:
终端厂商节点将终端防伪认证证书和终端唯一标识写入待认证终端内指定的安全存储区域,且所述安全存储区域为只读存储区。
可选地,所述方法还包括:
工信部节点对外发布终端防伪识别应用程序APP,以使得用户终端自行下载并安装终端防伪识别APP;
当用户终端运行终端防伪识别APP时,APP后台服务器接收APP发送的终端防伪认证证书、终端唯一标识和终端硬件固化信息,并根据接收到的终端防伪认证证书、终端唯一标识和终端硬件固化信息对用户终端进行认证。
可选地,所述终端硬件固化信息包括CPU芯片序列号、设备序列号和存储芯片序列号中的至少一种。
可选地,所述终端唯一标识为国际移动设备识别码。
根据本发明的另一方面,提供一种终端认证系统,所述系统包括:终端厂商节点、工信部节点和运营商基站;
终端厂商节点设置为,向工信部节点发送入网申请,其中包括待认证终端的硬件固化信息;
工信部节点设置为,为待认证终端分配终端唯一标识,再根据待认证终端的硬件固化信息和终端唯一标识生成终端防伪认证证书,然后将终端防伪认证证书和终端唯一标识返回给终端厂商节点;
终端厂商节点还设置为,将终端防伪认证证书和终端唯一标识写入待认证终端;
当待认证终端接入运营商网络时,运营商基站设置为,接收待认证终端发送的终端防伪认证证书、终端唯一标识和终端硬件固化信息,并根据接收到的终端硬件固化信息和终端唯一标识对待认证终端防伪认证证书的合法性进行入网认证。
本发明提供的技术方案可以包括以下有益效果:
本发明提供的终端认证方法及系统,针对现有技术手段已无法满足现阶段工信部对终端行业的监管,由IMEI可随意刷写而导致无法有效治理山寨机的问题,不同于现有方案中仅将工信部发放的IMEI作为终端身份的唯一认证手段,将终端防伪认证证书和IMEI一并写入终端中,然后运营商基站根据终端上传的终端硬件固化信息和IMEI对终端防伪认证证书的合法性进行入网认证,本方案的认证过程综合了入网申请、工信部审批和终端入网等各个环节,可有效避免IMEI被冒用或篡改,为治理山寨机提供了切实可行的解决方案。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明技术方案的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明的技术方案,并不构成对本发明技术方案的限制。
图1为本发明实施例提供的一种终端认证方法的流程示意图;
图2为本发明实施例提供的另一种终端认证方法的流程示意图;
图3为本发明实施例提供的终端认证系统的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本发明,并不用于限制本发明。
在后续的描述中,使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本发明的说明,其本身没有特定的意义。因此,“模块”、“部件”或“单元”可以混合地使用;并且,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互任意组合。
图1为本发明实施例提供的一种终端认证方法的流程示意图。如图1所示,所述方法包括如下步骤S101至S104。
S101.终端厂商节点向工信部节点发送入网申请,其中包括待认证终端的硬件固化信息。
其中,终端硬件固化信息可包括CPU(Central Processing Unit,中央处理器)芯片序列号、设备序列号和存储芯片序列号中的至少一种。所述终端为智能手机、平板电脑等可以接入运营商基站的终端设备。
本步骤中,终端厂商使用终端硬件固化信息作为申请条件,向工信部申请终端入网认证所需信息。
S102.工信部节点为待认证终端分配终端唯一标识,再根据待认证终端的硬件固化信息和终端唯一标识生成终端防伪认证证书,然后将终端防伪认证证书和终端唯一标识返回给终端厂商节点。
其中,所述终端唯一标识可以为国际移动设备识别码(IMEI)。
本步骤中,工信部为每个终端分配一个IMEI,同时根据终端厂商提供的终端硬件固化信息和IMEI使用预设算法生成该终端设备的唯一防伪认证证书并提供给终端厂商,用于后续的合法性认证。
S103.终端厂商节点将终端防伪认证证书和终端唯一标识写入待认证终端。
本步骤中,终端厂商在终端生产过程中将每一部终端的唯一防伪认证证书及其IMEI都写入对应的终端中。
S104.当待认证终端接入运营商网络时,运营商基站接收待认证终端发送的终端防伪认证证书、终端唯一标识和终端硬件固化信息,并根据接收到的终端硬件固化信息和终端唯一标识对待认证终端防伪认证证书的合法性进行入网认证。
本实施例中,针对现有技术手段已无法满足现阶段工信部对终端行业的监管,由IMEI可随意刷写而导致无法有效治理山寨机的问题,不同于现有方案中仅将工信部发放的IMEI作为终端身份的唯一认证手段,将终端防伪认证证书和IMEI一并写入终端中,然后运营商基站根据终端上传的终端硬件固化信息和IMEI对终端防伪认证证书的合法性进行入网认证,本方案的认证过程综合了入网申请、工信部审批和终端入网等各个环节,可有效避免IMEI被冒用或篡改,为治理山寨机提供了切实可行的解决方案。
在一种具体实施方式中,步骤S102中工信部节点根据待认证终端的硬件固化信息和终端唯一标识生成终端防伪认证证书,具体为:
工信部节点利用预设安全散列算法对待认证终端的硬件固化信息和终端唯一标识进行运算得到散列值s2,再根据散列值s2生成终端防伪认证证书。
相应地,步骤S104中运营商基站根据接收到的终端硬件固化信息和终端唯一标识对待认证终端防伪认证证书的合法性进行入网认证,包括如下步骤S104a和S104b。
S104a.运营商基站利用同样的预设安全散列算法对待认证终端发送的终端硬件固化信息和终端唯一标识进行运算,生成散列值s1;
S104b.运营商基站将散列值s1与从终端防伪认证证书内读取的散列值s2进行比对,若二者一致,则认为待认证终端防伪认证证书合法且网络接入认证通过,允许其接入网络。当然,若二者不一致,则认为待认证终端冒用或伪造防伪认证证书且网络接入认证失败,拒绝其接入网络。
本实施例中,将工信部分配的终端唯一标识(IMEI)与终端硬件固化信息紧密关联,其中任何一项信息发生修改都将导致认证失败,从而有效避免IMEI被冒用或篡改。
在一种具体实施方式中,步骤S102和S104a采用的预设安全散列算法为SHA256散列算法。
安全散列算法(Secure Hash Algorithm,缩写为SHA)是一个密码散列函数家族,是FIPS(Federal Information Processing Standard,联邦信息处理标准)所认证的安全散列算法。其包括SHA1、SHA224、SHA256、SHA384和SHA512等算法。本实施例优选其中的SHA256算法,具体地,对于任意长度的消息,SHA256都会产生一个256位的哈希值,称作消息摘要,这个摘要相当于是个长度为32个字节的数组,用以验证数据是否发生改变。
在一种具体实施方式中,在步骤S102中还包括:工信部节点使用其私钥证书对散列值s2进行数字签名运算,得到终端防伪认证证书密文并返回给终端厂商节点,以及将其公钥证书发送至运营商基站。
本步骤中,工信部节点先利用SHA256算法对待认证终端的硬件固化信息和终端唯一标识进行运算得到散列值s2,再使用其私钥证书对散列值s2进行数字签名运算,得到终端防伪认证证书密文,然后将终端防伪认证证书密文和终端唯一标识返回给终端厂商节点,由终端厂商节点将终端防伪认证证书密文和终端唯一标识写入待认证终端;同时,将其公钥证书发送至运营商基站。
相应地,在步骤S104a与S104b之间还包括如下步骤S104c。
S104c.运营商基站利用工信部公钥证书对待认证终端发送的终端防伪认证证书密文进行数字签名验证,若验证通过,则认为终端防伪认证证书为工信部签发并得到终端防伪认证证书明文,再执行后续步骤S104b。当然,若验证失败,则认为终端防伪认证证书非法,结束待认证终端当前网络接入认证流程,并拒绝其接入网络。
在步骤S104中,运营商基站先利用SHA256算法对待认证终端发送的终端硬件固化信息和终端唯一标识进行运算,生成散列值s1;然后利用工信部公钥证书对待认证终端发送的终端防伪认证证书密文进行数字签名验证,并在验证通过时得到终端防伪认证证书明文;再将散列值s1与从终端防伪认证证书明文内读取的散列值s2进行比对,根据比对结果决定是否允许终端入网。
本实施例中,同时利用散列算法和数字签名对终端硬件固化信息和终端唯一标识进行运算,数据传输的安全性更高。
在一种具体实施方式中,步骤S102中数字签名采用的加密算法为RSA非对称加密算法。
RSA是1977年由罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(Leonard Adleman)一起提出的,RSA就是他们三人姓氏开头字母拼在一起组成的。RSA非对称加密算法使用不同的加密密钥与解密密钥,通常是生成一对RSA密钥,其中之一是保密密钥,由用户保存;另一个为公开密钥,可对外公开。
在一种具体实施方式中,步骤S103具体为:
终端厂商节点将终端防伪认证证书和终端唯一标识写入待认证终端内指定的安全存储区域,且所述安全存储区域为只读存储区。
本实施例中,终端厂商节点将从工信部申请的IMEI和终端防伪认证证书写入终端内指定的安全存储区域中,由于该安全存储区域只读不可修改,避免了终端内保存的IMEI被篡改。
在一种具体实施方式中,在步骤S103之后,所述方法还包括步骤S105至S106。
S105.工信部节点对外发布终端防伪识别APP(应用程序,Application的缩写),以使得用户终端自行下载并安装终端防伪识别APP;
S106.当用户终端运行终端防伪识别APP时,APP后台服务器接收APP发送的终端防伪认证证书、终端唯一标识和终端硬件固化信息,并根据接收到的终端防伪认证证书、终端唯一标识和终端硬件固化信息对用户终端进行认证。
本实施例中,工信部可对外发布终端防伪识别APP,用户自行下载并安装该APP后即可验证所购买的终端是否为山寨机,从而提升全民防伪和自我权益保护的意识。
在步骤S102中工信部节点已根据散列值s2生成终端防伪认证证书的前提下,在一种具体实施方式中,步骤S106中APP后台服务器根据用户终端上传的终端防伪认证证书、终端唯一标识和终端硬件固化信息对用户终端进行认证,包括如下步骤S106a和S106b。
S106a.APP后台服务器利用与工信部节点同样的预设安全散列算法对APP发送的终端硬件固化信息和终端唯一标识进行运算,生成散列值s1′;
S106b.APP后台服务器将散列值s1′与从终端防伪认证证书内读取的散列值s2进行比对,若二者一致,则认为该终端为工信部认证的入网终端。当然,若二者不一致,则认为该终端非工信部认证的入网终端。
进一步地,APP后台服务器若认定用户终端为工信部认证的入网终端,还可提示用户“该终端为工信部认证的入网终端”、“该终端为正规行货终端”等;若认定用户终端非工信部认证的入网终端,还可提示用户“该终端非工信部认证的入网终端”、“工信部认证失败、谨防假冒”等。
在步骤S102中工信部节点已使用其私钥证书对散列值s2进行数字签名运算,得到终端防伪认证证书密文并返回给终端厂商节点的前提下,在一种具体实施方式中,工信部节点还将其公钥证书发送至APP后台服务器,步骤S106a与S106b之间还包括如下步骤S106c。
S106c.APP后台服务器利用工信部公钥证书对APP发送的终端防伪认证证书密文进行数字签名验证,若验证通过,则认为终端防伪认证证书为工信部签发并得到终端防伪认证证书明文,再执行后续步骤S106b。当然,若验证失败,则认为终端防伪认证证书非法,结束终端当前认证流程。
本实施例中,在步骤S106中,APP后台服务器先利用与工信部节点同样的预设安全散列算法对APP发送的终端硬件固化信息和终端唯一标识进行运算,生成散列值s1′;然后利用工信部公钥证书对APP发送的终端防伪认证证书密文进行数字签名验证,并在验证通过时得到终端防伪认证证书明文;再将散列值s1′与从终端防伪认证证书明文内读取的散列值s2进行比对,根据比对结果判定用户终端是否为工信部认证的入网终端。
需要说明的是,上述步骤的顺序只是为了说明本发明实施例而提出的一个具体实例,本发明对上述步骤的顺序不做限定,本领域技术人员在实际应用中可按需对其进行调整;而且上述步骤的序号大小也不限制其执行顺序。
图2为本发明实施例提供的另一种终端认证方法的流程示意图。如图2所示,所述终端认证方法包括如下步骤S201至S205。
S201.终端厂商向工信部申请入网备案。
本步骤中,终端厂商向工信部提交每部终端的硬件固化信息,用户IMEI及终端防伪认证证书的申请。其中,每部终端的硬件固化信息包含但不限于CPU芯片序列号、设备序列号、存储芯片序列号等。
S202.工信部审批,为每部终端分配IMEI并制证。
本步骤中,工信部为每部终端分配IMEI,并将IMEI与终端厂商提交的终端硬件固化信息一同作为输入信息,生成对应的终端防伪认证证书。
终端防伪认证证书的计算公式为:RSA_Signature(SHA256(IMEI+终端硬件固化信息)),其运算过程为:对(IMEI+终端硬件固化信息)先使用SHA256散列算法进行运算生成散列值S2,再使用工信部私钥证书对生成的散列值S2进行RSA数字签名运算。
由于工信部分配的IMEI与终端硬件固化信息紧密关联,其中任何一项信息的修改都将导致认证失败,从而有效避免IMEI被冒用或者篡改
S203.终端厂商产线生产终端。
本步骤中,终端厂商将从工信部申请的IMEI及终端防伪认证证书写入对应终端指定的安全存储区域,该区域只读不可修改。
S204.运营商入网认证。
本步骤中,在终端接入运营商网络时,将IMEI、终端硬件固化信息和终端防伪认证证书一同上报给运营商基站;基站在接收到上述信息之后,具体的验证过程如下:
1)使用工信部公钥证书对终端防伪认证证书进行签名验证,验证通过则表示为工信部签发的合法证书继续步骤2),否则表示证书非法,结束网络接入认证并拒绝接入网络;
2)根据基站收到的IMEI及终端硬件固化信息按照SHA256(IMEI+硬件固化信息)算法进行计算,得到散列值S1;
3)从终端防伪认证证书内读取对应的散列值S2,与基站计算的散列值S1比对,如果相同则表示该终端与终端防伪证书匹配,继续步骤4),否则认为冒用防伪认证证书,结束其网络接入认证并拒绝接入网络;
4)认证通过,允许接入网络。
S205.用户自行认证。
本步骤中,工信部可对外发布终端防伪识别APP,用户自行下载安装该APP后,APP后台服务器采用与运营商基站相同验证过程,可验证用户所购买终端是否是山寨机,如果验证通过,可提示用户“该终端为工信部认证入网终端,正规行货终端”,如果验证失败,可提示用户“工信部认证失败,谨防假冒”,从而提升全民防伪和自我权益保护的意识。
本发明实施例提供的终端认证方法,将终端防伪认证证书和IMEI一并写入终端中,然后运营商基站/终端防伪识别APP后台服务器根据终端上传的终端硬件固化信息和IMEI对终端防伪认证证书的合法性进行入网认证,整个认证过程综合了入网申请、工信部审批和终端入网等各个环节,可有效避免IMEI被冒用或篡改,从而规范终端生产、审核、入网整个流程,为阻断山寨机提供切实可行的技术方案,并提高了工信部对终端产业链全流程的管理能力。
图3为本发明实施例提供的终端认证系统的结构示意图。如图3所示,所述终端认证系统300包括终端厂商节点301、工信部节点302和运营商基站303。
其中,终端厂商节点301设置为,向工信部节点302发送入网申请,申请中包括待认证终端的硬件固化信息;工信部节点302设置为,为待认证终端分配终端唯一标识,再根据待认证终端的硬件固化信息和终端唯一标识生成终端防伪认证证书,然后将终端防伪认证证书和终端唯一标识返回给终端厂商节点301;终端厂商节点301还设置为,将终端防伪认证证书和终端唯一标识写入待认证终端;当待认证终端接入运营商网络时,运营商基站303设置为,接收待认证终端发送的终端防伪认证证书、终端唯一标识和终端硬件固化信息,并根据接收到的终端硬件固化信息和终端唯一标识对待认证终端防伪认证证书的合法性进行入网认证。
本实施例中,针对现有技术手段已无法满足现阶段工信部对终端行业的监管,由IMEI可随意刷写而导致无法有效治理山寨机的问题,不同于现有方案中仅将工信部发放的IMEI作为终端身份的唯一认证手段,本方案将终端防伪认证证书和IMEI一并写入终端中,然后运营商基站根据终端上传的终端硬件固化信息和IMEI对终端防伪认证证书的合法性进行入网认证,本方案的认证过程综合了入网申请、工信部审批和终端入网等各个环节,可有效避免IMEI被冒用或篡改,为治理山寨机提供了切实可行的解决方案。
在一种具体实施方式中,工信部节点302具体设置为,利用预设安全散列算法对待认证终端的硬件固化信息和终端唯一标识进行运算得到散列值s2,再根据散列值s2生成终端防伪认证证书。
相应地,运营商基站303具体设置为,利用同样的预设安全散列算法对待认证终端发送的终端硬件固化信息和终端唯一标识进行运算,生成散列值s1;以及,将散列值s1与从终端防伪认证证书内读取的散列值s2进行比对,若二者一致,则认为待认证终端防伪认证证书合法且网络接入认证通过,允许其接入网络。当然,若二者不一致,则认为待认证终端冒用或伪造防伪认证证书且网络接入认证失败,拒绝其接入网络。
本实施例中,将工信部分配的终端唯一标识(IMEI)与终端硬件固化信息紧密关联,其中任何一项信息发生修改都将导致认证失败,从而有效避免IMEI被冒用或篡改。
在一种具体实施方式中,工信部节点302和运营商基站303采用的预设安全散列算法为SHA256散列算法。
在一种具体实施方式中,工信部节点302还设置为,使用其私钥证书对散列值s2进行数字签名运算,得到终端防伪认证证书密文并返回给终端厂商节点301,以及将其公钥证书发送至运营商基站303。
相应地,运营商基站303还设置为,利用工信部公钥证书对待认证终端发送的终端防伪认证证书密文进行数字签名验证,若验证通过,则认为终端防伪认证证书为工信部签发并得到终端防伪认证证书明文,再执行后续将散列值s1与从终端防伪认证证书明文内读取的散列值s2进行比对的步骤。当然,若验证失败,则认为终端防伪认证证书非法,结束待认证终端当前网络接入认证流程,并拒绝其接入网络。
本实施例中,同时利用散列算法和数字签名对终端硬件固化信息和终端唯一标识进行运算,数据传输的安全性更高。
在一种具体实施方式中,工信部节点302进行数字签名采用的加密算法为RSA非对称加密算法。
在一种具体实施方式中,终端厂商节点301具体设置为,将终端防伪认证证书和终端唯一标识写入待认证终端内指定的安全存储区域,且所述安全存储区域为只读存储区。
本实施例中,终端厂商节点将从工信部申请的IMEI和终端防伪认证证书写入终端内指定的安全存储区域中,由于该安全存储区域只读不可修改,避免了终端内保存的IMEI被篡改。
在一种具体实施方式中,工信部节点302还设置为对外发布终端防伪识别APP,以使得用户终端自行下载并安装终端防伪识别APP。
所述终端认证系统300还包括:终端防伪识别APP后台服务器304。
APP后台服务器304设置为,当用户终端运行终端防伪识别APP时,接收APP发送的终端防伪认证证书、终端唯一标识和终端硬件固化信息,并根据接收到的终端防伪认证证书、终端唯一标识和终端硬件固化信息对用户终端进行认证。
本实施例中,工信部可对外发布终端防伪识别APP,用户自行下载并安装该APP后即可验证所购买的终端是否为山寨机,从而提升全民防伪和自我权益保护的意识。
在工信部节点已根据散列值s2生成终端防伪认证证书的前提下,在一种具体实施方式中,APP后台服务器304具体设置为,利用与工信部节点同样的预设安全散列算法对APP发送的终端硬件固化信息和终端唯一标识进行运算,生成散列值s1′;以及,将散列值s1′与从终端防伪认证证书内读取的散列值s2进行比对,若二者一致,则认为该终端为工信部认证的入网终端。当然,若二者不一致,则认为该终端非工信部认证的入网终端。
在工信部节点302已使用其私钥证书对散列值s2进行数字签名运算,得到终端防伪认证证书密文并返回给终端厂商节点301的前提下,在一种具体实施方式中,工信部节点302还设置为,将其公钥证书发送至APP后台服务器304,APP后台服务器304还设置为,利用工信部公钥证书对APP发送的终端防伪认证证书密文进行数字签名验证,若验证通过,则认为终端防伪认证证书为工信部签发并得到终端防伪认证证书明文,再执行后续将散列值s1′与从终端防伪认证证书内读取的散列值s2进行比对的操作。当然,若验证失败,则认为终端防伪认证证书非法,结束终端当前认证流程。
本发明实施例提供的终端认证系统,将终端防伪认证证书和IMEI一并写入终端中,然后运营商基站/终端防伪识别APP后台服务器根据终端上传的终端硬件固化信息和IMEI对终端防伪认证证书的合法性进行入网认证,整个认证过程综合了入网申请、工信部审批和终端入网等各个环节,可有效避免IMEI被冒用或篡改,从而规范终端生产、审核、入网整个流程,为阻断山寨机提供切实可行的技术方案,并提高了工信部对终端产业链全流程的管理能力。
综上所述,本发明提供的终端认证方法及系统,在入网申请阶段终端厂商使用终端硬件固化信息作为申请条件向工信部申请终端入网认证所需信息,即终端防伪认证证书和IMEI;工信部为终端分配IMEI,同时根据终端厂商提供的终端硬件固化信息和IMEI,使用数字散列、签名等算法生成终端唯一的防伪认证证书,并提供给终端厂商,由终端厂商在终端生产过程中将每一部终端对应的防伪认证证书写入各自指定的安全存储区域中;在终端上市后,当用户在终端内插入SIM卡(Subscriber Identity Module,用户身份识别模块)接入运营商网络时,运营商基站会从终端内读取入网认证所需信息并对终端防伪认证证书的合法性进行入网认证。本发明通过前述技术手段实现了终端设备的入网认证及防伪认证,并且认证过程综合了入网申请、工信部审批和终端入网等各个环节,可有效避免IMEI被冒用或篡改,解决了现有技术中存在的IMEI可随意刷写导致无法有效治理山寨机的技术问题。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器,如中央处理器、数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (9)

1.一种终端认证方法,其特征在于,包括:
终端厂商节点向工信部节点发送入网申请,其中包括待认证终端的硬件固化信息;
工信部节点为待认证终端分配终端唯一标识,再根据待认证终端的硬件固化信息和终端唯一标识生成终端防伪认证证书,然后将终端防伪认证证书和终端唯一标识返回给终端厂商节点;
终端厂商节点将终端防伪认证证书和终端唯一标识写入待认证终端;
当待认证终端接入运营商网络时,运营商基站接收待认证终端发送的终端防伪认证证书、终端唯一标识和终端硬件固化信息,并根据接收到的终端硬件固化信息和终端唯一标识对待认证终端防伪认证证书的合法性进行入网认证;
工信部节点根据待认证终端的硬件固化信息和终端唯一标识生成终端防伪认证证书,具体为:
工信部节点利用预设安全散列算法对待认证终端的硬件固化信息和终端唯一标识进行运算得到散列值s2,再根据散列值s2生成终端防伪认证证书;
运营商基站根据接收到的终端硬件固化信息和终端唯一标识对待认证终端防伪认证证书的合法性进行入网认证,包括:
运营商基站利用同样的预设安全散列算法对待认证终端发送的终端硬件固化信息和终端唯一标识进行运算,生成散列值s1;
运营商基站将散列值s1与从终端防伪认证证书内读取的散列值s2进行比对,若二者一致,则认为待认证终端防伪认证证书合法且网络接入认证通过,允许其接入网络;若二者不一致,则认为待认证终端冒用或伪造防伪认证证书且网络接入认证失败,拒绝其接入网络。
2.根据权利要求1所述的方法,其特征在于,所述预设安全散列算法为SHA256散列算法。
3.根据权利要求1所述的方法,其特征在于,还包括:
工信部节点使用其私钥证书对散列值s2进行数字签名运算,得到终端防伪认证证书密文并返回给终端厂商节点,以及将其公钥证书发送至运营商基站;
运营商基站利用工信部公钥证书对待认证终端发送的终端防伪认证证书密文进行数字签名验证,若验证通过,则认为终端防伪认证证书为工信部签发并得到终端防伪认证证书明文,再从中读取散列值s2。
4.根据权利要求3所述的方法,其特征在于,所述数字签名采用的加密算法为RSA非对称加密算法。
5.根据权利要求1所述的方法,其特征在于,所述终端厂商节点将终端防伪认证证书和终端唯一标识写入待认证终端,具体为:
终端厂商节点将终端防伪认证证书和终端唯一标识写入待认证终端内指定的安全存储区域,且所述安全存储区域为只读存储区。
6.根据权利要求1所述的方法,其特征在于,还包括:
工信部节点对外发布终端防伪识别应用程序APP,以使得用户终端自行下载并安装终端防伪识别APP;
当用户终端运行终端防伪识别APP时,APP后台服务器接收APP发送的终端防伪认证证书、终端唯一标识和终端硬件固化信息,并根据接收到的终端防伪认证证书、终端唯一标识和终端硬件固化信息对用户终端进行认证。
7.根据权利要求1-6中任一项所述的方法,其特征在于,所述终端硬件固化信息包括CPU芯片序列号、设备序列号和存储芯片序列号中的至少一种。
8.根据权利要求1-6中任一项所述的方法,其特征在于,所述终端唯一标识为国际移动设备识别码。
9.一种终端认证系统,其特征在于,包括:终端厂商节点、工信部节点和运营商基站;
终端厂商节点设置为,向工信部节点发送入网申请,其中包括待认证终端的硬件固化信息;
工信部节点设置为,为待认证终端分配终端唯一标识,再根据待认证终端的硬件固化信息和终端唯一标识生成终端防伪认证证书,然后将终端防伪认证证书和终端唯一标识返回给终端厂商节点;
终端厂商节点还设置为,将终端防伪认证证书和终端唯一标识写入待认证终端;
当待认证终端接入运营商网络时,运营商基站设置为,接收待认证终端发送的终端防伪认证证书、终端唯一标识和终端硬件固化信息,并根据接收到的终端硬件固化信息和终端唯一标识对待认证终端防伪认证证书的合法性进行入网认证;
工信部节点具体设置为:工信部节点利用预设安全散列算法对待认证终端的硬件固化信息和终端唯一标识进行运算得到散列值s2,再根据散列值s2生成终端防伪认证证书;
运营商基站具体设置为:运营商基站利用同样的预设安全散列算法对待认证终端发送的终端硬件固化信息和终端唯一标识进行运算,生成散列值s1;运营商基站将散列值s1与从终端防伪认证证书内读取的散列值s2进行比对,若二者一致,则认为待认证终端防伪认证证书合法且网络接入认证通过,允许其接入网络;若二者不一致,则认为待认证终端冒用或伪造防伪认证证书且网络接入认证失败,拒绝其接入网络。
CN202111312432.2A 2021-11-08 2021-11-08 终端认证方法及系统 Active CN114040401B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111312432.2A CN114040401B (zh) 2021-11-08 2021-11-08 终端认证方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111312432.2A CN114040401B (zh) 2021-11-08 2021-11-08 终端认证方法及系统

Publications (2)

Publication Number Publication Date
CN114040401A CN114040401A (zh) 2022-02-11
CN114040401B true CN114040401B (zh) 2024-04-12

Family

ID=80143142

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111312432.2A Active CN114040401B (zh) 2021-11-08 2021-11-08 终端认证方法及系统

Country Status (1)

Country Link
CN (1) CN114040401B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116192447B (zh) * 2022-12-20 2024-01-30 江苏云涌电子科技股份有限公司 一种多因子身份认证方法
CN115665747B (zh) * 2022-12-26 2023-03-03 深圳市亲邻科技有限公司 终端设备运营商网络切换方法、装置、介质及终端设备

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101145906A (zh) * 2006-09-13 2008-03-19 北京邦天科技有限公司 对单向网络中的接收终端进行合法性认证的方法及系统
US9641344B1 (en) * 2013-09-20 2017-05-02 Mobile Iron, Inc. Multiple factor authentication in an identity certificate service
CN106656499A (zh) * 2015-07-15 2017-05-10 同方股份有限公司 一种数字版权保护系统中终端设备可信认证方法及其系统
CN107026823A (zh) * 2016-02-02 2017-08-08 普天信息技术有限公司 应用于无线局域网wlan中的接入认证方法和终端
JP2017175226A (ja) * 2016-03-18 2017-09-28 株式会社インテック 公開鍵証明書を発行するためのプログラム、方法およびシステム
CN107566451A (zh) * 2017-08-02 2018-01-09 深圳市盛路物联通讯技术有限公司 一种设备组网方法和系统
CN110661797A (zh) * 2019-09-23 2020-01-07 深圳传音控股股份有限公司 一种数据保护方法、终端、以及计算机可读存储介质
CN111030824A (zh) * 2019-11-29 2020-04-17 国核自仪系统工程有限公司 工业控制设备的识别系统、方法、介质及电子设备

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105101194B (zh) * 2014-04-28 2019-07-09 华为技术有限公司 终端安全认证方法、装置及系统
CN106603461A (zh) * 2015-10-14 2017-04-26 阿里巴巴集团控股有限公司 一种业务认证的方法、装置和系统
US10868803B2 (en) * 2017-01-13 2020-12-15 Parallel Wireless, Inc. Multi-stage secure network element certificate provisioning in a distributed mobile access network
US11089480B2 (en) * 2018-11-30 2021-08-10 Apple Inc. Provisioning electronic subscriber identity modules to mobile wireless devices

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101145906A (zh) * 2006-09-13 2008-03-19 北京邦天科技有限公司 对单向网络中的接收终端进行合法性认证的方法及系统
US9641344B1 (en) * 2013-09-20 2017-05-02 Mobile Iron, Inc. Multiple factor authentication in an identity certificate service
CN106656499A (zh) * 2015-07-15 2017-05-10 同方股份有限公司 一种数字版权保护系统中终端设备可信认证方法及其系统
CN107026823A (zh) * 2016-02-02 2017-08-08 普天信息技术有限公司 应用于无线局域网wlan中的接入认证方法和终端
JP2017175226A (ja) * 2016-03-18 2017-09-28 株式会社インテック 公開鍵証明書を発行するためのプログラム、方法およびシステム
CN107566451A (zh) * 2017-08-02 2018-01-09 深圳市盛路物联通讯技术有限公司 一种设备组网方法和系统
CN110661797A (zh) * 2019-09-23 2020-01-07 深圳传音控股股份有限公司 一种数据保护方法、终端、以及计算机可读存储介质
CN111030824A (zh) * 2019-11-29 2020-04-17 国核自仪系统工程有限公司 工业控制设备的识别系统、方法、介质及电子设备

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
Survey on Threats and Attacks on Mobile Networks;Silvère Mavoungou et al.;IEEE Access;20160818;第4卷;全文 *
Trust and Reputation Management for Securing Collaboration in 5G Access Networks: The Road Ahead;Israr Ahmad et al.;IEEE Access;20200330;第8卷;全文 *
基于可信芯片的终端平台匿名身份建立方法研究;于爱民等;计算机学报;20100915(第09期);全文 *

Also Published As

Publication number Publication date
CN114040401A (zh) 2022-02-11

Similar Documents

Publication Publication Date Title
US11070542B2 (en) Systems and methods for certificate chain validation of secure elements
EP3800909B1 (en) Remote management method, and device
US20080003980A1 (en) Subsidy-controlled handset device via a sim card using asymmetric verification and method thereof
US10237072B2 (en) Signatures for near field communications
CN114040401B (zh) 终端认证方法及系统
CN102056077B (zh) 一种通过密钥进行智能卡应用的方法和装置
CN102273239A (zh) 用于在通信网络中标识合法用户设备的解决方案
CN104753674A (zh) 一种应用身份的验证方法和设备
CN102096841B (zh) 安装有计算机代码的集成电路和系统
CN111880919B (zh) 数据调度方法、系统和计算机设备
CN111814132B (zh) 安全认证方法及装置、安全认证芯片、存储介质
CN110545272B (zh) 一种身份认证、权限认证方法、装置、用户管理系统及存储介质
CN105812334A (zh) 一种网络认证方法
CN109492371B (zh) 一种数字证书空发方法及装置
CN101895885B (zh) 一种密钥文件的保护方法及系统
CN111970122B (zh) 识别官方app的方法、移动终端及应用服务器
CN111062059A (zh) 用于业务处理的方法和装置
CN116909603A (zh) 车辆安全升级方法及系统
CN109302442B (zh) 一种数据存储证明方法及相关设备
CN107395350B (zh) 密钥及密钥句柄的生成方法、系统及智能密钥安全设备
CN114845301A (zh) 基于超级sim卡的号码验证方法、终端及系统
CN108599936A (zh) 一种OpenStack开源云用户的安全认证方法
CN117063174A (zh) 用于通过基于app的身份的app间相互信任的安全模块及方法
CN113868713A (zh) 一种数据验证方法、装置、电子设备及存储介质
CN112637855A (zh) 基于区块链的机卡绑定方法和服务器

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant