CN1319314C - 防止手机加密网络锁被破解的保护方法及相关装置 - Google Patents
防止手机加密网络锁被破解的保护方法及相关装置 Download PDFInfo
- Publication number
- CN1319314C CN1319314C CNB03131273XA CN03131273A CN1319314C CN 1319314 C CN1319314 C CN 1319314C CN B03131273X A CNB03131273X A CN B03131273XA CN 03131273 A CN03131273 A CN 03131273A CN 1319314 C CN1319314 C CN 1319314C
- Authority
- CN
- China
- Prior art keywords
- communicator
- access data
- communication network
- mobile phone
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
本发明提供一种无线通信网络的网络锁保护方法及相关装置。该方法是将不同的手机对应于一非对称密码算法的相异加密密钥及解密密钥;对应一手机网络锁的存取数据内容会根据对应的加密密钥以一非对称密码算法加密后储存于该手机中,而解密所用的解密密钥则储存于该手机的写保护存储器中,使该解密密钥不会被重写;而该明文存取数据及该加密密钥则仅记录于该无线通信网络的服务提供端中。要实施网络锁时,该手机会以写保护存储器中的解密密钥将加密的存取数据内容解密以验证该手机是否能存取该无线通信网络的通信服务。
Description
技术领域
本发明涉及一种网络锁保护方法及相关装置,特别涉及一种将解密密钥储存在手机中的写保护存储器、并以该解密密钥将加密后的网络锁数据内容解密以验证网络锁机制的网络锁保护方法及相关装置。
背景技术
在信息发达的现代社会中,便利的无线通信网络已成为人际交流、信息交换最重要的途径之一。只要以方便轻巧、操作简便的手机,人人都能轻易地利用无线通信网络中的通信服务,随时随地享受信息存取能力。为了使通信网络能永续经营,提高通信服务的品质,如何维持通信网络中的通信秩序,并确保通信网络中用户的权益,也就成了现代信息业界研发的重点之一。
一般来说,无线通信网络中的通信服务是由网络服务端提供的,手机的使用者则付费成为网络服务端的合法用户,并得以使用网络服务端提供的通信服务。为了要确保合法用户的权益,当手机的使用者要以手机来存取通信服务时,手机会通过一网络锁机制验证使用者是否为合法的用户;若使用者并非合法用户,手机本身就会限制使用者对通信网络的存取。关于此情形,请参考图1。图1为一已知通信系统10中,各通信装置(如手机12、13)与一服务提供端28配置的示意图。以手机12做为代表来说明已知通信系统10的通信装置,手机12中设有一无线电讯号的收发模块14、一主控手机运作的处理器16、一用来记录数据的数据存储器20(譬如说是闪速存储器等非易失性存储器)、一用来识别用户身份的用户识别卡24、一用来将声波转换为电子讯号的麦克风18A、一扬声器18B以及人机接口21。人机接口21可包含键盘、显示器、振动器等等,让手机12的使用者得以通过人机接口21操控手机12,并由人机接口21得知手机12运作的情形。服务提供端28则设有收发传输无线电讯号的基站29,以在各手机间传输无线电讯号,提供通信服务。举例来说,手机12使用者的语音声波可由麦克风18A接收并转为电子讯号,由处理器16将其适当地编码(encoding),再传输到收发模块14中进一步调制为射频讯号,由收发模块14以无线电形式发射至基站29。基站29接收手机12发出的无线电讯号后,就可将此讯号再通过基站29以无线电的方式传输至手机13,让手机13的使用者可接收到手机12使用者传来的讯息。同理,手机13要传输至手机12的语音讯息,也会以无线电方式通过基站29的转接传输至手机12,由手机12的收发模块14接收并解调为基频讯号,再由处理器16适当地解碼(decoding),传输至扬声器18B,转换成声波语音播放出来,让手机12的使用者能够听到。如此一来,手机12、13的使用者就能通过服务提供端28提供的通信服务相互沟通。
然而,正如前述,为了维护通信网络10合法用户的正当权利,在手机12要存取通信网络10的通信服务前,手机12还会自动进行一验证步骤,以验证手机12的使用者是否能合法存取通信网络10的通信服务。为了配合此一验证步骤的进行,手机12中的用户识别卡(即所谓的SIM卡)24记录有一用户识别码26,用来代表手机12使用者的身份。一般来说,用户识别卡24是以可插拔的方式安装于手机12中;当一使用者要使用手机12来存取通信网络10时,就要将其持有的用户识别卡24插入安装于手机12中,让手机12可辨识使用者的身份。对应于用户识别卡24中的用户识别码26,数据存储器20中除了记录手机12运作所必需的数据外(像是手机12的固件),也记录有一装置识别码23,及用来进行验证步骤的存取数据22。其中装置识别码23为各手机独有的专属识别码(像是IMEI识别码,International Mobile Equipment Identity);换句话说,不同的手机,其所具有的装置识别码也不同。而存取数据22即用来记录手机12网络锁的状态。所谓的网络锁,就是用来定义手机12是否仅能接受某些用户识别码来存取通信网络10的通信服务。而存取数据22中,即记录了网络锁是否启动,以及手机12可接受的合法用户识别码。举例来说,当用户识别码26中某些字段的值在某一预设范围中时,手机12可接受其为合法的用户识别码;而该预设范围即记录于存取数据22中。在已知技术中,当手机12要进行验证步骤时,处理器16会由数据存储器20中读取存取数据22,根据存取数据22来判断手机12的网络锁是否启动。若存取数据22中记录网络锁是启动的,处理器16会进一步检查用户识别卡24中的用户识别码26是否在存取数据22记录的合法用户识别码中。若用户识别码26符合合法用户识别码(举例来说,承前所述,用户识别码26中某些字段的值在存取数据22记录的预设范围中),处理器16就会判断用户识别卡24的持有者为通信网络10的合法使用者,并使手机12能继续进行后续的步骤,让手机12的使用者(也就是用户识别码24的持有者)能通过手机12存取通信网络10的通信服务。反之,若处理器16比对发现用户识别卡24中的用户识别码26并不在存取数据22记录的合法用户识别码范围的内,处理器16就会判断用户识别卡24的持有者并非通信网络10的合法使用者,并使手机12停止对通信网络10的存取。另一方面,若进行验证步骤时处理器16发现存取数据22中记录网络锁并没有启动,处理器16就不会检查用户识别码26,而直接允许用户识别卡24的持有者通过手机12存取通信网络10的通信服务。
简而言之,上述的已知网络锁的实现方式,即是依靠数据存储器20中储存的存取数据22来判断用户识别卡24的持有者是否能通过手机12存取通信网络10的通信服务。然而,此种已知的方法也隐含了网络锁被非法使用者破解的危机。举例来说,当一非法使用者要破解手机12的网络锁时,非法使用者可以由网络锁没有被启动的其它手机中取得其存取数据;由于此类手机中的网络锁没有启动,此存取数据中会记录网络锁为不启动,而此存取数据即可做为一破解存取数据。即使手机12的存取数据22中记录手机12的网络锁为启动,但非法使用者可将破解存取数据重写至数据存储器20中,将原来的存取数据22覆盖(overwrite),以此破解存取数据来取代原来的存取数据22。等到手机12要进行验证步骤时,就会错误地根据破解存取数据而不启动网络锁,而手机12的网络锁也就被破解了。此时即使用户识别卡24上的用户识别码26并非合法用户识别码,用户识别码24的持有者也可非法地以手机12来存取通信网络10的通信服务。在技术层面上,为了方便对手机12的维修、测试,手机12中的数据存储器20会设有维修用的预设接点,而非法使用者就可利用这些预设接点以特殊的数据烧录工具(像是JTAG tool)将破解存取数据写入至数据存储器20并覆盖原来的存取数据22,以破解手机12的网络锁。尤有甚者,非法使用者还能直接改写存取数据22中的记录,譬如说将存取数据22中原本记录为启动的网络锁改为不启动,也能破解手机12的网络锁。另外,非法使用者还能删除存取数据22。一般来说,在已知的手机12中,当处理器16发现数据存储器20中没有存取数据22时,会根据一预设的存取数据来进行网络锁的验证步骤,而此预设存取数据多半不会启动网络锁的功能。这样一来,非法使用者也能破解手机12的网络锁。一旦网络锁被非法破解,就会影响通信网络10的通信秩序,损及服务提供端及各合法用户(合法用户识别卡的持有者)的权益。
发明内容
因此,本发明的主要目的,即在于提供一种安全性较高的网络锁保护机制及相关系统、装置,以克服已知网络锁机制易遭破解的缺点。
在已知的网络锁机制中,手机中的处理器是依据数据存储器中存取数据所记录的网络锁状态来进行网络锁的验证步骤;一旦存取数据被重写、窜改,网络锁就会被破解,影响通信网络中的正常秩序及各方的合法权益。
在本发明中,是以一非对称性的密码算法,针对不同的手机以不同的加密密钥将各手机网络锁的存取数据加密为密文存取数据,各手机中仅储存密文存取数据,并以一写保护存储器记录解密的对应解密密钥;而各手机对应的加密密钥则仅保留在服务提供端的数据库中。其中该写保护存储器为一单次写入(OTP,One-Time Programmable)存储器或为一闪速存储器的可锁定(lockable)存储区,以使记录于其中的解密密钥不会被重写。当一手机要进行验证步骤时,该手机会根据该写保护存储器中的解密密钥将数据存储器中的密文存取数据解密为明文存取数据,并根据明文存取数据中记录的网络锁状态来进行相关的网络锁验证。由于各手机对应的加解密密钥皆互不相同,且各手机中的解密密钥无法被重写,即使非法使用者意图破解某一手机A的网络锁而将另一手机B中记录的密文存取数据重写至手机A中,但当手机A进行验证步骤而将该密文存取数据解密时,会因为手机A、B的解密密钥不同而使手机A无法解出正确格式的明文存取数据,此时手机A即可判断网络锁已遭破坏,可以停止对通信网络的存取,以防止通信网络的正常秩序受不法侵害。由于各手机中储存的存取数据为密文的存取数据,也可防止非法使用者以直接修改存取数据的方式来破解网络锁。由于加密密钥并不会暴露于各手机或通信网络中,即使非法使用者能窜改明文存取数据,也无法以正确的加密密钥将窜改后的明文存取数据加密为对应解密密钥的正确密文存取数据。另外,当服务提供端要更新一手机中的网络锁存取数据时,可由数据库中找出该手机对应的加密密钥,将更新的明文存取数据加密为新的密文存取数据,再将此一更新后的密文存取数据存入该手机的数据存储器中。经由上述机制,本发明将可确保各手机中网络锁的安全,进一步维护通信网络中的正常秩序及各方的合法权益。
为了实现本发明的目的,提供了一种使用于一通信网络的方法,用来识别该通信网络中一通信装置是否可存取该通信网络的通信服务,其中该通信装置包含有:一数据存储器,用来记录一密文存取数据;以及一写保护存储器,用来以非易失性的方式记录一解密密钥;其中该写保护存储器中记录的数据不能被重写,使得即使该数据存储器中记录的数据被改变,该写保护存储器中记录的解密密钥也不会被改变;而该方法包含有:
进行一验证步骤,以读取该写保护存储器中的解密密钥及读取该数据存储器中的密文存取数据;再根据该解密密钥,以一预设的密码算法将该密文存取数据解密为一明文存取数据,并根据该明文存取数据,判断该通讯装置是否可存取该通讯网络的通信服务。
本发明还提供了一种用于一通信网络中的通信装置,用来存取取该通信网络的通信服务;该通信装置包含有:一数据存储器,用来以非易失性的方式记录一密文存取数据;一写保护存储器,用来以非易失性的方式记录一解密密钥;其中该写保护存储器中记录的数据不能被重写,使得即使该数据存储器中记录的数据被改变,该写保护存储器中记录的解密密钥也不会被改变;一处理器,用来控制该通信装置的运作;其中当该通信装置要存取该通信网络的通信服务前,该处理器会进行一验证步骤,以读取该写保护存储器中的解密密钥及读取该数据存储器中的加密存取数据;再根据该解密密钥,以一预设的密码算法将该密文存取数据解密为一明文存取数据,并根据该明文存取数据,判断该通讯装置是否可存取该通讯网络的通信服务。
本发明还提供了一种使用于一通信网络的方法,其中该通信网络包含有:多个通信装置,每一通信装置包含有一写保护存储器及一数据存储器;而该方法用来验证各通信装置是否可存取该通信网络的通信服务;该方法包含有:根据一密码算法,提供多个相异的加密密钥及多个解密密钥,其中各加密密钥对应于一解密密钥;使得一明文在根据一加密密钥以该密码算法加密为一密文后可根据该加密密钥对应的解密密钥解密为原来的明文;使不同的通信装置对应于不同的加密密钥;将每一通信装置所对应之一笔的存取数据根据该通信装置对应的加密密钥以该密码算法加密为一密文存取数据;将对应每一通信装置加密密钥的解密密钥记录于该通信装置中的写保护存储器,以使该解密密钥不会被重写;将每一通信装置的密文存取数据记录于该通信装置中的数据存储器;以及当要验证一通信装置是否可存取该通信网络的通信服务时,根据该通信装置写保护存储器中的解密密钥以该密码算法将该通信装置数据存储器中的密文存取数据解密,并根据解密后的密文存取数据来判断该通信装置是否可存取该通信网络的通信服务。
附图说明
图1为一已知通信网络中各手机及服务提供端相关配置的示意图。
图2为本发明通信网络中各手机及服务提供端相关配置的示意图。
图3为本发明网络锁机制实施情形的示意图。
附图标号说明
10、30通信网络 12-13、32A-32B手机
14、34收发模块 16、36处理器
18A、38A麦克风 18B、38B扬声器
20、40A-40B数据存储器 21、41人机界面
22存取数据 23、IDA-IDB装置识别码
24、45用户识别卡 26、46用户识别码
28、48服务提供端 29、49基站
50A-50B写保护存储器 52数据库
54密码算法
EKA-EKB加密密钥 DKA-DKB解密密钥
PTA-PT明文存取数据 CTA-CTB密文存取数据
具体实施方式
请参考图2。图2为本发明通信网络30配置的示意图。通信网络30可以是一无线通信网络,以服务提供端48提供通信服务,而各使用者则通过各手机(图2中绘出两手机32A、32B做为代表)来存取通信网络30的通信服务。以手机32A做为代表来说明通信网络30中各手机的构造;手机32A做为一通信装置,其包括有一用来收发无线电讯号的收发模块34、一用来控制手机12运作的处理器36、一用来将声波转换为电子讯号的麦克风38A、一用来将电子讯号转换为声波的扬声器38B、一用来以非易失性方式储存数据的数据存储器40A、一非易失性的写保护存储器50A、一以可插拔方式安装于手机32A中的客户识别卡45,以及一人机接口(MMI,Man-MachineInterface)41。人机接口41可以包括有键盘、显示器、用来提示来电的振动器及另一扬声器等等,让手机32A的使用者可通过此人机接口41操控手机32A,并由显示器等接口得知手机32A的运作状态。服务提供端48则设有多个基站49,用来向各手机收发无线电讯号,以向各手机提供通信服务。举例来说,手机32A使用者的语音声波可经由话筒38A接收转为电子讯号,经由处理器36的编码、讯号处理后传输至收发模块34,由收发模块34将其调制为射频讯号后,以无线电的方式发射至服务提供端48的基站49。服务提供端48在接收手机32A传来的无线电讯号后,可通过另一基站49将手机32A的讯号再以无线电方式传输至手机32B,让手机32B的使用者能经由服务提供端48的通信服务而接收到手机32A使用者传来的讯息。同理,手机32B的讯息也能经由服务提供端48讯号转接的通信服务而传至手机32A的收发模块34,由收发模块34将其解调为基频讯号,再由处理器36进一步译码、讯号处理,并由扬声器38B将其以声波的方式播放出来(或经由人机接口41显示出来)。
不过,如前所述,为了维持通信网络30正常的通信秩序及各使用者的合法权益,在手机32A的使用者在通过手机32A存取通信网络30的通信服务前,要先在手机32A中插入其所持有的用户识别卡45,而手机32A就会依据用户识别卡45上记录的用户识别码46自动地进行一验证步骤,以通过网络锁的机制验证手机32A的使用者(亦即用户识别卡45的持有者)是否为通信网络30的合法用户,并决定是否要继续存取通信服务。为了配合本发明验证机制的实施,在本发明通信网络30中,各手机的数据存储器除了储存代表各手机的装置识别码(及各手机的固件)外,还储存有一密文存取数据;而各手机也还设有一写保护存储器,用来储存一对应的解密密钥。如图2所示,手机32A的数据存储器40A中即储存有手机32A的装置识别码IDA及一密文存取数据CTA;而其写保护存储器50A中则储存有一解密密钥DKA。基于相同的配置原理,手机32B中的数据存储器40B则储存有对应手机32B的装置识别码IDB、密文数据CTB,并于其写保护存储器50B中储存有一解密密钥DKB(手机32A的基本构造与手机32A相似,在不妨碍本发明技术披露的情形下,手机32B的部分构造,如收发模块、处理器等等已于图2中省略未示)。如前所述,各手机对应的装置识别码(像是IMEI识别码)是用来独一无二地识别出该手机,故不同的手机也具有不同的装置识别码,如手机32A的装置识别码IDA就和手机32B的装置识别码IDB不同。另外,在通信网络30中,不同手机中记录的解密密钥、密文存取数据也互不相同。以图2为例,各手机32A、32B对应的解密密钥DKA、DKB以及密文存取数据CTA、CTB即互不相同。其中,各手机的解密密钥是储存于写保护存储器中的。此写保护存储器的特性即是其内记录的数据具有只读的特性;一旦数据被烧录记录于写保护存储器后,该数据即无法再被重写。在实际实施时,此写保护存储器可以是单次可程序化(OTP,One-TimeProgrammable)存储器;一旦数据被写入写保护存储器后,该数据就不能被重写而具有只读(read-only)的特性。另外,在现代的某些闪速存储器中,已经可划分出部分的存储区为可锁定(lockable)的存储区;同样地,数据被烧录、写入至此可锁定的存储区后,就不能再被重写而具有只读的特性。相对地,在同一闪速存储器不具有可锁定特性的存储区中,数据还是可被重复写入、抹除。利用这样的闪速存储器,本发明中的数据存储器、写保护存储器就能实施于同一闪速存储器上,其中可锁定的存储区做为写保护存储器,用来记录各手机对应的解密密钥;不具有可锁定特性而可重复重写的存储区,即可当作数据存储器,以记录手机的固件及装置识别码、密文存取数据等等。
配合本发明的实施,本发明于服务提供端48也设有一数据库52,用来记录各手机对应的装置识别码、一对应的加密密钥及一明文存取数据,也可选择性地记录各手机对应的解密密钥。举例来说,针对图2中的两手机32A、32B,数据库52即记录了手机32A的装置识别码IDA,并以装置识别码IDA为记录的索引标的,记录了手机32A对应的加密密钥EKA、解密密钥DKA及明文存取数据PTA。同理,针对手机32B,数据库48中也以手机32B的装置识别码IDB做为记录索引的标的,记录了手机32B对应的加密密钥EKB、解密密钥DKB以及明文存取数据PTB。其中,对应各手机的明文存取数据,就是用来记录该手机网络锁的存取数据内容,像是网络锁是否启动,网络锁所能接受的合法用户识别码等等。
本发明网络锁机制实施的原理可先描述如下。本发明是将各手机网络锁的存取数据根据该手机对应的加密密钥以一非对称的密码算法加密,成为该手机数据存储器中的密文存取数据。等到该手机在存取通信服务前而要进行验证步骤时,该手机的处理器即以写保护存储器中的解密密钥将密文存取数据解密为明文存取数据,再依据明文存取数据中记录的事项(如网络锁是否启动,合法用户识别码的范围)来比对该手机的用户识别卡持有者是否为合法用户,实现网络锁机制。至于本发明进一步的实施细节,请继续参考图3(并一并参考图2)。图3为本发明于通信网络30中进行网络锁验证机制的示意图。为了方便后续说明,简化图式,在不妨碍本发明技术披露的情形下,图3中手机32A、32B的部分装置(如收发模块等等)已经省略未绘出。
如前所述,本发明在实施时会以一预设的非对称密码算法将明文存取数据、密文存取数据加解密。在非对称的密码算法中,将一明文加密为一密文的加密密钥,与将该密文解密为原来明文所需的对应解密密钥,两者并不相同。换句话说,当明文以加密密钥加密为对应的密文后,该密文无法以同一个加密密钥解密为原来的明文,必需要经由对应的特定解密密钥才能解密为原来的明文。同理,以该解密密钥对该明文加密所得出的结果,和以该如密密钥对该明文加密所得出的密文,两者也不会相同。根据此密码算法,本发明可预先算出多组不同的加密密钥及对应的解密密钥,各组的加密密钥均不相同。配合各手机的出厂,各手机会被赋予专属的对应装置识别码,而本发明即可利用各手机的装置识别码做为记录索引标的,将一组如密密钥及对应的解密密钥指定予一手机,并连同该手机对应的明文存取数据,一同记录于服务提供端48的数据库52中。如图3中的示意例,本发明可在服务提供端48预先根据非对称的密码算法54计算出加密密钥EKA及其对应的解密密钥DKA、加密密钥EKB及对应的解密密钥DKB等等。其中机密密钥EKA、EKB相异;再加上密码算法54的非对称特性,事实上加解密密钥EKA、EKB、DKA、DKB皆不相同。当手机32A出厂时,手机32A会被赋予其专属的装置识别码IDA;而服务提供端48也就可以将加密密钥EKA、解密密钥DKA分配予手机32A,并以手机32A的装置识别码IDA为记录索引标的,将加解密密钥EKA、DKA连同手机32A网络锁对应的明文存取数据PTA一同记录于数据库52中。同理,对应于装置识别码为lDB的手机32B,服务提供端48可将加解密密钥EKB、DKB分配予手机32B;并在数据库52中,将加解密密钥EKB、DKB连同手机32B网络锁对应的明文存取数据PTB,一同记录于装置识别码IDB对应的项目下。
在服务提供端48中,除了在各手机出厂时将不同组的加解密密钥分配给各手机,也会将各手机对应的解密密钥写入至该手机的写保护存储器中。等手机出厂后而为各使用者使用时,各手机中记录的解密密钥也就不能被重写了。如图3所示,手机32A的对应解密密钥DKA会被记录于写保护存储器50A中,并具有不可重写的只读特性。同样地,手机32B中的写保护存储器50B中也以只读特性记录了手机32B对应的解密密钥DKB。另外,在数据库52的各笔明文存取数据,就以明文记录了各对应手机的网络锁状态。然而,在本发明中,各手机网络锁的明文存取数据并不会直接储存于各手机中,而是会由服务提供端48根据各手机对应的加密密钥以密码算法54加密为密文存取数据,再将此密文存取数据写入至对应手机的数据存储器32A中。如图3中,各手机32A、32B对应的明文存取数据PTA、PTB,即分别用来以明文记录对应手机网络锁的状态。举例来说,明文存取数据PTA记录了手机32A的网络锁功能是否启动等等相关讯息。不过,如前所述,服务提供端48会先根据手机32A的加密密钥EKA,以密码算法54将手机32A的明文存取数据PTA加密为密文存取数据CTA,再将密文存取数据CTA记录于手机32A的数据存储器40A中。同理,服务提供端48也会根据手机32B对应的加密密钥EKB,以密码算法54将手机32B对应的明文存取数据PTB加密为对应的密文存取数据CTB,再将密文存取数据CTB写入至手机32B的数据存储器40B中。总结以上描述,在手机32A出厂时,数据库52中已经记录有手机32A对应的加解密密钥EKA、DKA及网络锁的明文存取数据PTA;手机32A中也已经于写保护存储器50A中以只读、不可重写的特性记录有手机32A的解密密钥DKA,并于数据存储器40A中记录有密文存取数据CTA。同理,在手机32B出厂而能为使用者使用时,手机32B中的写保护存储器50B也以只读特性记录了手机32B的解密密钥DKB,手机32B的数据存储器40B中也记录有手机32B的密文存取数据CTB。请注意,在本发明的架构下,各手机虽有各自对应的加密密钥及网络锁明文存取数据,但这些数据均仅记录于服务提供端48的数据库52中,不会暴露于各手机中;而各手机中仅保存有对应的密文存取数据及解密密钥。
简而言之,在本发明架构下,当各手机出厂而能为各使用者使用时,各手机中已经储存有该手机对应的解密密钥及密文存取数据。如前所述,当使用者要使用手机来存取通信网络30的服务时,各手机要先自动进行网络锁机制的验证步骤,以验证使用者是否为合法使用者。在本发明架构下,此时各手机的处理器就会由该手机中的写保护存储器将解密密钥读出,以根据密码算法54来将数据存储器中的密文存取数据解密为明文存取数据,再根据明文存取数据中记录的网络锁状态来验证使用者是否为合法的使用者。举例来说,如图3所示,当手机32A要进行验证步骤时,手机32A的处理器36就会由数据存储器40A、写保护存储器50A中分别将密文存取数据CTA、解密密钥DKA读出,再利用密码算法54,根据解密密钥DKA将密文存取数据CTA解密为一明文存取数据PTA2。由于密文存取数据CTA是由服务提供端49将明文存取数据PTA以手机32A的对应加密密钥EKA加密而得,而写保护存储器50A中的解密密钥DKA即对应于加密密钥EKA,所以手机32A由处理器36解密出来的明文存取数据PTA2,应该就等于手机32A原来对应的明文存取数据PTA。根据处理器36本身解密出来的明文存取数据PTA2所记录的网络锁状态,手机32A就能进行验证步骤;举例来说,若明文存取数据PTA2中记录手机32A的网络锁为启动,处理器36就会比对用户识别卡45(见图2)中的用户识别码46是否符合明文存取数据PTA2中记录的合法用户识别码。若符合,处理器36就会允许使用者进一步以手机32A存取通信网络30的通信服务。不论验证步骤的结果如何,处理器36解密而得的明文存取数据PTA2都只会暂存于处理器36本身的易失性存储区中;等处理器36完成网络锁的验证步骤,也就可将明文存取数据PTA2释放,不会暴露于手机32A的各个非易失性的存储器中(像是数据存储器40A)。同理,当手机32B要进行验证步骤时,手机32B也会以其写保护存储器50B中的专属解密密钥DKB来将数据存储器40B中的密文存取数据CTB解密,以取得对应的明文存取数据PTB。
本发明以上述的架构来实现网络锁机制,就可有效保护网络锁不被破解。如前面所讨论过的,在已知技术中,非法使用者可将手机中储存的网络锁存取数据(也就是明文的存取数据)以破解存取数据覆盖,或将其直接窜改,以使已知的手机在进行网络锁的验证步骤时,无法得知真正的网络锁状态。然而,在本发明中,上述方法都无法破解本发明的网络锁机制。举例来说,一意图破解手机32A网络锁的非法使用者可将手机32B中的密文存取数据CTB读出并重写至手机32A中,以将手机32A原来的密文存取数据CTA用手机323的密文存取数据CTB代替;但当手机32A要验证网络锁而根据解密密钥DKA将数据存储器40A中的密文存取数据CTB解密时,由于解密密钥DKA对应的加密密钥EKA并非加密密文存取数据CTB的如密密钥EKB,故处理器36不会解出正确的明文存取数据PTB,其解密出来的明文存取数据PTA2会是没有意义的,不具有明文存取数据的正确格式(举例来说,正确明文数据必有一定字段记录网络锁功能是否启动)。当处理器36发现解密出来的明文存取数据PTA2没有存取数据的正确格式而是无意义时,就可判断手机32A的网络锁已遭到破坏。要以手机32B的密文存取数据CTB来破解(代替)手机32A原来的网络锁,非法使用者必需要将手机32A中的解密密钥DKA也重写为手机32B的解密密钥DKB,才能让手机32A以手机32B的解密密钥DKB将密文存取数据CTB解密为具有正确格式的明文存取数据;然而,正如前面所强调的,手机32A中的解密密钥DKA是储存于写保护存储器50A中,无法再被重写窜改,故非法使用者也无从破解本发明架构下的网络锁。另外,若非法使用者直接窜改数据存储器40A中的密文存取数据CTA而意图破解手机32A的网络锁,处理器在36验证步骤中解密出来的明文存取数据PTA2势必也会变成没有意义的数据,不具有存取数据的正确格式;此时处理器36也可判断手机32A的网络锁遭到破坏。要破解手机32A的网络锁机制,非法使用者要能将破解的明文存取数据(像是将网络锁功能记录为不启动的存取数据)以加密密钥EKA加密为破解的密文存取数据,再重写至手机32A中的数据存储器;但是手机32A的加密密钥EKA仅保留于通信网络30的网络服务端48,并不会暴露于各手机中,且各手机中的解密密钥并不等于对应的加密密钥,故非法使用者将无法得出正确的破解密文存取数据,也就无法破解手机的网络锁。
当手机32A的处理器36发现解密出来的明文存取数据PTA2没有正确格式而判断出网络锁遭受破坏时,代表密文存取数据CTA已遭不明数据重写;此时处理器36可停止手机32A存取通信服务的功能,防止通信网络30的通信秩序及各方的合法权益遭受破坏。另外,在网络锁受破坏时,处理器32A也可以用人机接口41(图2)进一步提示手机32A的使用者需向服务提供端48确认其所应有的权益;而服务提供端48就可依据手机32A的装置识别码IDA于数据库52中找出手机32A对应的加密密钥EKA,并依据此机加密密钥DKA,再以密码算法54将明文存取数据PTA加密为密文存取数据CTA,并重新写入至手机32A中的数据存储器40A,以恢复手机32A的网络锁机制。当然,当处理器36发现网络锁遭到破坏时,也可自动地通过通信网络30向服务提供端48提示其装置识别码IDA,并要求服务提供端48通过通信网络将正确的密文存取数据CTA再度传送至手机32A,由处理器40A自动将其写入数据存储器40A中,以恢复手机32A对应的网络锁机制。由于手机32A仅需密文数据CTA即可恢复网络锁机制,即使通过无线通信网络传输密文存取数据CTA,手机32A加解密密钥也不会暴露于无线通信网络;此外,即使有非法使用者截获此密文存取数据CTA,因为各手机对应的解密密钥皆相异,此密文存取数据CTA也无法用来破解其它手机(像是手机32B)的网络锁。尤其是当非法使用者以删除密文存取数据CTA的手段意图破解手机32A的网络锁时,手机32A在找不到密文存取数据CTA的情形下,即可向服务提供端48要求再度传输密文存取数据CTA,恢复原来的网络锁机制,保护网络锁不遭破解。
即使是正常网络锁内容的改变,以本发明的架构,也可保护网络锁的安全。举例来说,若服务提供端48要主动改变手机32A的网络锁内容(譬如说是将手机32A的网络锁由启动改变为不启动),网络服务端48可更新明文存取数据PTA,再根据手机32A的加密密钥EKA将更新后的明文存取数据PTA加密为新的密文存取数据CTA。除了通知手机32A的使用者将手机32A携至服务提供端48,由服务提供端48(的相关技术人员)将新的密文存取数据CTA写入至手机32A外,服务提供端48也可通过无线通信网络30将新的密文存取数据CTA传输至手机32A,由手机32A的处理器36将其写入至数据存储器40A中,代替原来的密文存取数据。这样一来,不仅能方便手机32A的使用者,由于存取数据在通信网络上传播时已经加密,也不用担心密文存取数据的暴露危害各手机的网络锁安全。另外,在各手机的明文存取数据中,除了记录对应手机的网络锁状态外,服务提供端还能另外再于明文存取数据中记录该手机对应的装置识别码,使加密后的密文存取数据也隐含了该手机的装置识别码。当该手机进行认证步骤而将密文存取数据解密为明文存取数据后,除了依据明文存取数据是否有正确格式来判断网络锁是否遭破坏,也可比对解密出来的装置识别码及该手机真正的识别码是否相符,以进行双重检查,判断网络锁机制是否遭到破坏,
总的来说,在已知技术中,由于网络锁存取数据是以明文方式记录于各手机中,易遭非法使用者以重写、直接窜改等方式加以破解,影向网络通信秩序及各方的合法权益。相较之下,本发明是对通信网络中的各手机分配一组独一无二的加解密密钥,网络服务端保留各手机对应的加密密钥,以将各手机对应网络锁的明文存取数据加密为对应的密文存取数据。而各手机仅保留密文存取数据,并以写保护、只读的方式记录有对应的解密密钥。当一手机要进行网络锁的认证步骤时,是以该手机的解密密钥将该密文存取数据解密为明文存取数据,再依据明文存取数据实现网络锁机制。由于各手机的加解密密钥不相同,即使非法使用者以其它手机的密文存取数据重写一手机的密文存取数据,或直接窜改一手机中的密文存取数据,该手机都会发现网络锁遭破坏而阻止对通信服务的非去存取,进而达到保护网络锁机制的目的,维护通信网络的通信秩序及各方的合法权益。
以上所述仅为本发明的较佳实施例,凡依本发明申请专利范围所做的均等变化与修饰,皆应属本发明专利的涵盖范围。
Claims (26)
1.一种使用于一通信网络的方法,用来识别该通信网络中一通信装置是否可存取该通信网络的通信服务,其中该通信装置包含有:
一数据存储器,用来记录一密文存取数据;以及
一写保护存储器,用来以非易失性的方式记录一解密密钥;其中该写保护存储器中记录的数据不能被重写,使得即使该数据存储器中记录的数据被改变,该写保护存储器中记录的解密密钥也不会被改变;
而该方法包含有:
进行一验证步骤,以读取该写保护存储器中的解密密钥及读取该数据存储器中的密文存取数据;再根据该解密密钥,以一预设的密码算法将该密文存取数据解密为一明文存取数据,并根据该明文存取数据,判断该通信装置是否可存取该通信网络的通信服务。
2.如权利要求1所述的方法,其中该密码算法为一非对称的加解密算法。
3.如权利要求1所述的方法,其中该数据存储器为一非易失性的存储器。
4.如权利要求1所述的方法,其还包含有:
根据一加密密钥,将一对应该通信装置的存取数据以该密码算法加密为该密文存取数据;其中该加密密钥对应于该解密密钥,使得一明文在根据该加密密钥以该密码算法加密为一密文后可根据该解密密钥解密为原来的明文;以及
将该密文存取数据记录至该数据存储器。
5.如权利要求4所述的方法,其还包含有:
在根据该加密密钥加密出该密文存取数据前,根据该密码算法产生出该加密密钥及该对应的解密密钥。
6.如权利要求4所述的方法,其中该通信网络中还包含有一服务提供端,用来对该通信装置提供通信服务;该服务提供端设有一数据库,用来记录该加密密钥及对应该通信装置的存取数据。
7.如权利要求6所述的方法,其中当根据该加密密钥加密出该密文存取数据时,系于该服务提供端根据该数据库中记录的加密密钥将对应该通信装置的存取数据加密为该密文存取数据。
8.如权利要求7所述的方法,其中当要将该密文存取数据记录至该数据存储器时,是将该密文存取数据由该服务提供端通过该通信网络传输至该通信装置,再以该通信装置将该密文存取数据记录至该数据存储器。
9.如权利要求4所述的方法,其中该加密密钥与该解密密钥相异。
10.如权利要求1所述的方法,其中当根据该明文存取数据判断该通信装置是否可存取该通信网络的通信服务时,是根据该明文存取数据是否符合一预设存取数据来判断;若该明文存取数据符合该预设存取数据,则判断该通信装置可存取该通信网络的通信服务。
11.如权利要求1所述的方法,其中该通信装置中还包含有一用户识别卡,用来记录一用户识别码;而该明文存取数据中记录有一预设识别码;其中当根据该明文存取数据判断该通信装置是否可存取该通信网络的通信服务时,是根据该用户识别码是否符合该预设识别码来判断;若两者符合,则判断该通信装置可存取该通信网络的通信服务;若否,则判断该通信装置不可存取该通信网络的通信服务,而该通信装置会停止存取该通信网络。
12.如权利要求1所述的方法,其中该通信装置为一手机,而该通信网络为一无线通信网络。
13.一种用于一通信网络中的通信装置,用来存取该通信网络的通信服务;该通信装置包含有:
一数据存储器,用来以非易失性的方式记录一密文存取数据;
一写保护存储器,用来以非易失性的方式记录一解密密钥;其中该写保护存储器中记录的数据不能被重写,使得即使该数据存储器中记录的数据被改变,该写保护存储器中记录的解密密钥也不会被改变;
一处理器,用来控制该通信装置的运作;
其中当该通信装置要存取该通信网络的通信服务前,该处理器会进行一验证步骤,以读取该写保护存储器中的解密密钥及读取该数据存储器中的加密存取数据;再根据该解密密钥,以一预设的密码算法将该密文存取数据解密为一明文存取数据,并根据该明文存取数据,判断该通信装置是否可存取该通信网络的通信服务。
14.如权利要求13所述的通信装置,其中该密码算法为一非对称的加解密算法。
15.如权利要求13所述的通信装置,其中该数据存储器为一非易失性的存储器。
16.如权利要求13所述的通信装置,其中该通信网络中还包含有一服务提供端,用来对该通信装置提供通信服务;该服务提供端设有一数据库,用来记录一加密密钥及对应该通信装置的存取数据;而该通信装置中的密文存取数据系根据该加密密钥,将对应该通信装置的存取数据以该密码算法加密而得;其中该加密密钥系对应于该解密密钥,使得一明文在根据该加密密钥以该密码算法加密为一密文后可根据该解密密钥解密为原来的明文。
17.如权利要求16所述的通信装置,其中该加密密钥及该对应的解密密钥系根据该密码算法所计算出来的。
18.如权利要求16所述的通信装置,其中将该密文存取数据由该服务提供端通过该通信网络传输至该通信装置,再由该处理器将该密文存取数据记录至该数据存储器。
19.如权利要求13所述的通信装置,其中当该处理器根据该明文存取数据判断该通信装置是否可存取该通信网络的通信服务时,是根据该明文存取数据是否符合一预设存取数据来判断;若该明文存取数据符合该预设存取数据,则该处理器会判断该通信装置可存取该通信网络的通信服务。
20.如权利要求13所述的通信装置,其中该通信装置中还包含有一用户识别卡,用来记录一用户识别码;而该明文存取数据中记录有一预设识别码;其中当该处理器根据该明文存取数据判断该通信装置是否可存取该通信网络的通信服务时,系根据该用户识别码是否符合该预设识别码来判断;若两者符合,则判断该通信装置可存取该通信网络的通信服务;若否,则判断该通信装置不可存取该通信网络的通信服务,而该通信装置会停止存取该通信网络。
21.如权利要求13所述的通信装置,其为一手机,而该通信网络为一无线通信网络。
22.一种使用于一通信网络的方法,其中该通信网络包含有:
多个通信装置,每一通信装置包含有一写保护存储器及一数据存储器;
而该方法用来验证各通信装置是否可存取该通信网络的通信服务;该方法包含有:
根据一密码算法,提供多个相异的加密密钥及多个解密密钥,其中各加密密钥对应于一解密密钥;使得一明文在根据一加密密钥以该密码算法加密为一密文后可根据该加密密钥对应的解密密钥解密为原来的明文;
使不同的通信装置对应于不同的加密密钥;
将每一通信装置所对应的存取数据根据该通信装置对应的加密密钥以该密码算法加密为一密文存取数据;
将对应每一通信装置加密密钥的解密密钥记录于该通信装置中的写保护存储器,以使该解密密钥不会被重写;
将每一通信装置的密文存取数据记录于该通信装置中的数据存储器;以及
当要验证一通信装置是否可存取该通信网络的通信服务时,根据该通信装置写保护存储器中的解密密钥以该密码算法将该通信装置数据存储器中的密文存取数据解密,并根据解密后的密文存取数据来判断该通信装置是否可存取该通信网络的通信服务。
23.如权利要求22所述的方法,其中不同的加密密钥对应的解密密钥也互不相同。
24.如权利要求22所述的方法,其中该密码算法是一非对称的加解密算法,使一加密密钥与对应的解密密钥不相等;而当一明文根据该加密密钥以该密码算法加密为一密文后,该密文无法根据该加密密钥以该密码算法解密为原来的明文。
25.如权利要求22所述的方法,其中该通信网络还包含有一服务提供端,用来在各通信装置间传输讯号以提供通信服务;该服务提供端设有一数据库,而该方法还包含有:
将各通信装置对应的加密密钥记录于该数据库中。
26.如权利要求22所述的方法,其中该通信装置为手机,而该通信网络为一无线通信网络。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB03131273XA CN1319314C (zh) | 2003-05-12 | 2003-05-12 | 防止手机加密网络锁被破解的保护方法及相关装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB03131273XA CN1319314C (zh) | 2003-05-12 | 2003-05-12 | 防止手机加密网络锁被破解的保护方法及相关装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1549495A CN1549495A (zh) | 2004-11-24 |
| CN1319314C true CN1319314C (zh) | 2007-05-30 |
Family
ID=34322824
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB03131273XA Expired - Fee Related CN1319314C (zh) | 2003-05-12 | 2003-05-12 | 防止手机加密网络锁被破解的保护方法及相关装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1319314C (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101018125B (zh) * | 2007-03-02 | 2010-06-16 | 中兴通讯股份有限公司 | 一种基于椭圆曲线公钥密码的无线终端安全锁网锁卡方法 |
| CN101170407B (zh) * | 2007-12-03 | 2011-01-12 | 北京深思洛克软件技术股份有限公司 | 一种安全地生成密钥对和传送公钥或证书申请文件的方法 |
| CN101673250B (zh) * | 2009-09-18 | 2012-02-08 | 中兴通讯股份有限公司 | 一种手机存储器中代码/数据的保护方法及装置 |
| CN102136905A (zh) * | 2011-03-23 | 2011-07-27 | 华为终端有限公司 | 用户设备的加密、校验方法及设备 |
| CN102752269B (zh) * | 2011-04-21 | 2015-10-07 | 中国移动通信集团广东有限公司 | 基于云计算的身份认证的方法、系统及云端服务器 |
| CN104951405B (zh) * | 2014-03-28 | 2019-09-06 | 三星电子株式会社 | 存储系统以及对存储系统执行和验证写保护的方法 |
| CN109933481B (zh) * | 2019-03-13 | 2022-08-09 | 珠海一微半导体股份有限公司 | 一种jtag接口的解锁系统及jtag解锁控制方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5613214A (en) * | 1993-10-18 | 1997-03-18 | Nec Corporation | Mobile communication terminal authenticating system |
| US5673317A (en) * | 1995-03-22 | 1997-09-30 | Ora Electronics, Inc. | System and method for preventing unauthorized programming of wireless network access devices |
| US5956633A (en) * | 1995-06-19 | 1999-09-21 | Nokia Mobile Phones Limited | Method and apparatus for controlling the right of use/activating of a mobile station which uses at least two predefined codes which are pre-stored in a SIM module |
| CN1409836A (zh) * | 1999-12-17 | 2003-04-09 | 阿克蒂夫卡德公司 | 通过鉴定数据访问应用的信息系统 |
-
2003
- 2003-05-12 CN CNB03131273XA patent/CN1319314C/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5613214A (en) * | 1993-10-18 | 1997-03-18 | Nec Corporation | Mobile communication terminal authenticating system |
| US5673317A (en) * | 1995-03-22 | 1997-09-30 | Ora Electronics, Inc. | System and method for preventing unauthorized programming of wireless network access devices |
| US5956633A (en) * | 1995-06-19 | 1999-09-21 | Nokia Mobile Phones Limited | Method and apparatus for controlling the right of use/activating of a mobile station which uses at least two predefined codes which are pre-stored in a SIM module |
| CN1409836A (zh) * | 1999-12-17 | 2003-04-09 | 阿克蒂夫卡德公司 | 通过鉴定数据访问应用的信息系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1549495A (zh) | 2004-11-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TW595195B (en) | Network lock method and related apparatus by ciphered network lock and inerasable deciphering key | |
| KR100636111B1 (ko) | 분실된 이동 단말기에 내장된 데이터 보호 방법 및 이에 관한 기록매체 | |
| KR100674792B1 (ko) | 이동 전화 자동 개인용 컴퓨터 로그온 | |
| US7912224B2 (en) | Wireless network system and communication method for external device to temporarily access wireless network | |
| CN100574528C (zh) | 在移动设备和用户模块中存储和访问数据 | |
| CN100401822C (zh) | 移动终端防盗用的保护方法与系统 | |
| CN1889419B (zh) | 一种实现加密的方法及装置 | |
| US7992006B2 (en) | Smart card data protection method and system thereof | |
| JP2004180310A (ja) | チップカードと無線端末の間の信頼モデルの設定と管理の方法 | |
| CN101325485A (zh) | 处理电子设备中信息的方法、系统、电子设备和处理块 | |
| CN102781001A (zh) | 移动终端内置文件加密方法及移动终端 | |
| CN103037370A (zh) | 一种移动存储设备和身份认证方法 | |
| KR20030071824A (ko) | 기록 매체, 정보 처리 장치, 컨텐츠 배포 서버, 방법,프로그램, 및 그것의 기록 매체 | |
| CN101449549A (zh) | 认证基站路由器中的防窜改模块 | |
| EP2835997B1 (en) | Cell phone data encryption method and decryption method | |
| JP2001016655A (ja) | 安全な携帯端末装置 | |
| CN103812649A (zh) | 机卡接口的安全访问控制方法与系统、手机终端 | |
| CN102075615A (zh) | 一种短消息发送、接收方法及客户识别模块 | |
| CN101630265A (zh) | 升级设备、终端设备、软件更新方法及系统 | |
| CN108108632A (zh) | 一种多因素文件水印生成提取方法和系统 | |
| CN107465504A (zh) | 一种提高密钥安全性的方法及装置 | |
| CN100476845C (zh) | 一种数字版权管理方法 | |
| CN101841814A (zh) | 终端鉴权方法及系统 | |
| CN1319314C (zh) | 防止手机加密网络锁被破解的保护方法及相关装置 | |
| US9277403B2 (en) | Authentication method and device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20070530 Termination date: 20100512 |