JP2017501633A - 無線端末のネットロック方法及びシステム - Google Patents

無線端末のネットロック方法及びシステム Download PDF

Info

Publication number
JP2017501633A
JP2017501633A JP2016541507A JP2016541507A JP2017501633A JP 2017501633 A JP2017501633 A JP 2017501633A JP 2016541507 A JP2016541507 A JP 2016541507A JP 2016541507 A JP2016541507 A JP 2016541507A JP 2017501633 A JP2017501633 A JP 2017501633A
Authority
JP
Japan
Prior art keywords
lock
certificate
wireless terminal
netlock
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016541507A
Other languages
English (en)
Other versions
JP6074125B2 (ja
Inventor
ハイロン ウェン
ハイロン ウェン
ウェイ リー
ウェイ リー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Publication of JP2017501633A publication Critical patent/JP2017501633A/ja
Application granted granted Critical
Publication of JP6074125B2 publication Critical patent/JP6074125B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules
    • H04W12/48Security arrangements using identity modules using secure binding, e.g. securely binding identity modules to devices, services or applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephone Function (AREA)

Abstract

本発明は無線端末のネットロック方法を開示している。前記方法は、フロントエンドネットロックモジュールは、ロック証明書生成要求を無線端末へ送信し、無線端末は、前記ロック証明書生成要求に基づいて、ロック証明書を生成することと、バックエンドネットロックモジュールは、ロック証明書に署名して、署名されたロック証明書を生成することと、フロントエンドネットロックモジュールは、無線端末と通信インタラクションを行い、前記無線端末がロック操作を実行するように、前記署名されたロック証明書を無線端末へ送信することとを含む。【選択図】図1

Description

本発明は無線端末のネットロック技術分野に関し、特に、無線端末のネットロック方法及びシステムに関する。
移動通信技術の発展に伴い、通信事業者間の競争が日増しに激しくなる。多数の通信事業者は、通常には、顧客を引き付けるために、低価又は無料の無線端末をユーザーに提供している。さらに、ネットロック技術を介して該当無線端末が自身の提供するネットワークサービスのみを利用できるように限定することによって、収益を実現する。
通常、無線端末をロックする全過程において、ドングルの使用が必要である。該当ドングルにネットロックデータを暗号化するための秘密キーが記憶され、公開キーは無線端末に保存されている。無線端末におけるネットロックの操作は、基本的に生産ラインで完了される。しかしながら、一般的に、アウトフィールドテストでもネットロック機能をテストする必要がある。ネットロック機能のテストにおいて、ドングルが必要であるため、アウトフィールドテスターは、ドングルを持つ又はドングルをフロントエンドへ郵送する必要がある。これは、ネットロックのコストを増加させ、さらに、フロントエンドでの不適切な保管に起因するドングルが紛失される可能性があるため、無線端末におけるネットロックのセキュリティに大きなリスクをもたらすことがある。
本発明に係る実施例の主な目的は、コストを低減するとともに、アウトフィールドテスト、通信事業者及びアフターサービス等のネットロック操作によるセキュリティのリスクを低減するように、無線端末のネットロック方法及びそのネットロックシステムを提供する。
これを鑑みて、本発明に係る実施例は、無線端末のネットロック方法を提供する。
前記方法は、
フロントエンドネットロックモジュールは、ロック証明書生成要求を無線端末へ送信し、無線端末は、前記ロック証明書生成要求に基づいて、ロック証明書を生成することと、
バックエンドネットロックモジュールは、前記ロック証明書に署名して、署名されたロック証明書を生成することと、
フロントエンドネットロックモジュールは、無線端末と通信インタラクションを行い、無線端末がロック操作を実行するように、前記署名されたロック証明書を無線端末へ送信することとを含む。
好ましくは、前記無線端末が、前記ロック証明書生成要求に基づいて、ロック証明書を生成することは、
無線端末は、ローカルから無線端末を一意に識別するためのハードウェア特徴情報を読み取り、ローカルに保存されているロック公開キーを使ってハードウェア特徴情報を暗号化してロック証明書を生成し、前記ロック証明書をフロントエンドネットロックモジュールへ返信することを含む。
好ましくは、前記バックエンドネットロックモジュールが、前記ロック証明書に署名し、署名されたロック証明書を生成することは、
ドングル秘密キーを使ってロック証明書を復号化し、無線端末の前記ハードウェア特徴情報を復号化することと、
ドングル秘密キーを使って無線端末のハードウェア特徴情報の平文を暗号化し、署名されたロック証明書を生成することと、を含む。
好ましくは、前記バックエンドネットロックモジュールが、前記ロック証明書に署名し、署名されたロック証明書を生成することは、さらに、
ドングル秘密キーを使ってネットロックデータを暗号化し、暗号文を署名されたロック証明書に挿入することを含む。
好ましくは、前記フロントエンドネットロックモジュールが、無線端末と通信インタラクションを行い、無線端末がロック操作を実行するように、前記署名されたロック証明書を無線端末へ送信することは、
無線端末は、フロントエンドネットロックモジュールにより送信されたロック証明書を使ってロックする要求に基づいて、署名されたロック証明書を送信することをフロントエンドネットロックモジュールに要求することと、
無線端末は、署名されたロック証明書を受信した後、前記署名されたロック証明書にネットロックデータが含まれるかどうかを検査し、ネットロックデータが含まれる場合、ネットロックデータを検証し、検証を通過した場合、ロック操作を実行することと、
ネットロックデータが含まれない場合、ロック操作を許可する応答メッセージをフロントエンドネットロックモジュールへ返信することと、
フロントエンドネットロックモジュールは、ネットロックユニットによりフィードバックされたロック操作を許可する応答メッセージに基づいて、前記無線端末がロック操作を実行するように、ロックデータを無線端末へ送信することと、を含む。
好ましくは、前記無線端末が、署名されたロック証明書にはネットロックデータが含まれるかどうかを検査する前に、さらに、
無線端末は、ローカルに保存されているロック公開キーを使って署名されたロック証明書を復号化し、前記ハードウェア特徴情報を平文に復号化することと、
署名されたロック証明書におけるハードウェア特徴情報がローカルにおけるハードウェア特徴情報と一致するかどうかを判断し、一致する場合、署名されたロック証明書にはネットロックデータが含まれるかどうかを検査し、一致しない場合、ロック操作を拒否する応答を返信し、ロック処理を終了することとを含む。
本発明に係る実施例はまた、無線端末のネットロックシステムを提供する。前記無線端末のネットロックシステムは、フロントエンドネットロックモジュール、バックエンドネットロックモジュール及び端末実行ユニットを備え、
前記フロントエンドネットロックモジュールは、ロック証明書生成要求を端末実行ユニットへ送信するように構成され、
前記バックエンドネットロックモジュールは、ロック証明書に署名し、署名されたロック証明書を生成するように構成され、
前記フロントエンドネットロックモジュールは、更に、端末実行ユニットと通信インタラクションを行い、前記端末実行ユニットがロック操作を実行するように、前記署名されたロック証明書を端末実行ユニットへ送信するように構成され、
前記端末実行ユニットは、
前記ロック証明書生成要求に基づいて、ロック証明書を生成するように構成されるロック証明書処理ユニットと、
フロントエンドネットロックモジュールと通信インタラクションを行い、前記署名されたロック証明書に基づいて、ロック操作を実行するように構成されるネットロックユニットとを備える。
好ましくは、前記ロック証明書処理ユニットは、ローカルから端末実行ユニットを一意に識別するためのハードウェア特徴情報を読み取り、ローカルに保存されているロック公開キーを使ってハードウェア特徴情報を暗号化し、ロック証明書を生成し、前記ロック証明書をフロントエンドネットロックモジュールへ返信するように構成される。
好ましくは、前記バックエンドネットロックモジュールは、
ドングル秘密キーを使ってロック証明書を復号化し、端末実行ユニットの前記ハードウェア特徴情報を復号化し、ドングル秘密キーを使って端末実行ユニットのハードウェア特徴情報の平文を暗号化し、署名されたロック証明書を生成するように構成される。
好ましくは、前記バックエンドネットロックモジュールは、さらに、ドングル秘密キーを使ってネットロックデータを暗号化し、暗号文を署名されたロック証明書に挿入するように構成される。
好ましくは、前記ネットロックユニットは、フロントエンドネットロックモジュールにより送信されたロック証明書を使ってロックする要求を受信し、署名されたロック証明書を送信することをフロントエンドネットロックモジュールに要求し、署名されたロック証明書を受信した後、署名されたロック証明書にネットロックデータが含まれるかどうかを検査し、ネットロックデータが含まれる場合、ネットロックデータを検証し、検証を通過した場合、ロック操作を実行し、ネットロックデータが含まれない場合、ロック操作を許可する応答メッセージをフロントエンドネットロックモジュールへ返信するように構成され、
前記フロントエンドネットロックモジュールは、更に、ネットロックユニットによりフィードバックされたロック操作を許可する応答メッセージに基づいて、前記端末実行ユニットがロック操作を実行するように、ロックデータを端末実行ユニットへ送信するように構成される。
好ましくは、前記ネットロックユニットは、更に、ローカルに保存されているロック公開キーを使って署名されたロック証明書を復号化し、前記ハードウェア特徴情報を平文に復号化し、署名されたロック証明書におけるハードウェア特徴情報がローカルにおけるハードウェア特徴情報と一致するかどうかを判断し、一致する場合、署名されたロック証明書にはネットロックデータが含まれるかどうかを検査し、一致しない場合、ロック操作を拒否する応答を返信し、ロック処理を終了するように構成される。
前記フロントエンドネットロックモジュール、前記バックエンドネットロックモジュール、ロック証明書処理ユニット、ネットロックユニットは、処理を実行する場合、中央処理装置(CPU:Central Processing Unit)、ディジタル信号プロセッサ(DSP:Digital Singnal Processor)又はフィールドプログラマブルゲートアレイ(FPGA:Field−Programmable Gate Array)により実現されることができる。
従来の技術と比べて、本発明における実施例は、ネットロック操作をフロントエンド処理とバックエンド処理に分け、フロントエンドネットロックモジュールは、ロック証明書の生成とロック操作に用いられ、バックエンドネットロックモジュールは、ロック証明書の電子署名に用いられる。アウトフィールドテストにおいて、フロントエンドテスターは、まず、フロントエンドネットロックモジュールとネットロックすべき無線端末を使ってロック証明書を生成し、次に、生成されたロック証明書をバックエンド(会社又は自宅)へ送信する。バックエンド人員は、バックエンドネットロックモジュールとドングルを使ってロック証明書に署名し、その後に署名されたロック証明書をフロントエンドテスターへ送信する。そして、フロントエンドテスターは、フロントエンドネットロックモジュールを使って署名されたロック証明書を無線端末へ送信してロックを行う。このスキームでは、ドングルをフロントエンドへ発送する必要がないため、コストを低減するとともに、アウトフィールドテストがネットロックにもたらすセキュリティリスクを減少することができる。
本発明に係る好ましい実施例における無線端末のネットロック方法のフローチャートである。 本発明に係る好ましい実施例におけるバックエンドネットロックモジュールが署名されたロック証明書を生成するステップのフローチャートである。 本発明に係る好ましい実施例における無線端末がネットロック操作を実行するステップのフローチャートである 本発明に係る好ましい実施例における無線端末のネットロックシステムの構造構成を表す図である。
以下、明細書、図面及び具体的な実施例を参照して、本発明の技術的解決手段を説明する。ここで記載される具体的な実施例は、本発明を解釈するためのものであるが、本発明を限定しないと理解すべきである。
図1を参照して、本発明に係る実施例は、無線端末のネットロック方法を提供する。該当ネットロック方法は以下のステップを含む。
ステップS10:フロントエンドネットロックモジュールは、ロック証明書生成要求を無線端末へ送信し、無線端末は、前記ロック証明書生成要求に基づいて、ロック証明書を生成する。
ステップS20:バックエンドネットロックモジュールは、ロック証明書に署名して、署名されたロック証明書を生成する。本発明に係る実施例において、無線端末はロック証明書を生成した後、ユーザーは、メール又はコピーなどでロック証明書をバックエンドネットロックモジュールがあるデータ処理端末へ送信することができる。バックエンドネットロックモジュールは署名されたロック証明書を生成した後、ユーザーはメール又はコピーなどで署名されたロック証明書フロントエンドネットロックモジュールがあるデータ処理端末へ送信し、該当データ処理端末が無線端末へ送信する。
ステップS30:フロントエンドネットロックモジュールは、無線端末と通信インタラクションを行い、無線端末がロック操作を実行するように、前記署名されたロック証明書を無線端末へ送信する。本発明に係る実施例において、フロントエンドネットロックモジュールは、無線端末により送信された要求に基づいて、署名されたロック証明書を無線端末へ送信し、無線端末によりフィードバックされたロック操作を許可する応答メッセージに基づいて、無線端末がロックを実行するように、ロックデータを無線端末へ送信する。
本発明に係る実施例において、フロントエンドネットロックモジュールは、パソコン又は他のデータ処理端末にロードされているロックソフトウェアであってもよく、アウトフィールドテスターが該当パソコンを携帯する。
本発明に係る実施例において、バックエンドネットロックモジュールは、パソコン又は他のデータ処理端末にロードされているロックソフトウェアであってもよく、該当パソコンは、会社、テスターの自宅又はテスターにより選択された場所に置かれている。フロントエンドとバックエンドとの距離が近い場合、バックエンドネットロックモジュールとフロントエンドネットロックモジュールを同一のパソコンにロードされてもよい。
本発明に係る実施例において、無線端末にネットロックソフトウェアをロードしてもよく、該当ネットロックソフトウェアは、少なくともロック証明書処理ユニットとネットロックユニットを含む。ロック証明書処理ユニットは、ロック証明書の生成と証明書の合法性の検証を担い、ネットロックユニットは、ロックとロック解除の操作を担う。なお、本発明に係る実施例において、無線端末におけるネットロックソフトウェア、バックエンドネットロックモジュール及びフロントエンドネットロックモジュールは、一つのソフトウェアに属してもよいし、それぞれ独立したソフトウェアであってもよい。
本発明に係る実施例において、ネットロック操作をフロントエンド処理とバックエンド処理という二つ処理に分け、フロントエンドネットロックモジュールは、ロック証明書を生成し、ロック操作するように構成され、バックエンドネットロックモジュールは、ロック証明書に対して電子署名を行うように構成される。アウトフィールドテストにおいて、フロントエンドテスターは、まず、フロントエンドネットロックモジュールとネットロックすべき無線端末を使ってロック証明書を生成し、次に、生成されたロック証明書をバックエンド(会社又は自宅)へ送信し、バックエンドネットロックモジュールがロック証明書に署名した後、署名されたロック証明書をフロントエンドネットロックモジュールがあるデータ処理端末へ送信し、フロントエンドネットロックモジュールは、署名されたロック証明書を無線端末へ送信してロックを行う。このスキームでは、ドングルをフロントエンドへ発送する必要がないため、コストを低減するとともに、フィールドテストがネットロックにもたらすセキュリティリスクを減少することができる。
図2を参照して、本発明に係る好ましい実施例において、前記ステップS20は以下のステップを含む。
ステップS21:ドングル秘密キーを使ってロック証明書を復号化し、無線端末の前記ハードウェア特徴情報を復号化する。
ステップS22:ドングル秘密キーを使って無線端末ハードウェア特徴情報の平文を暗号化し、署名されたロック証明書を生成する。
本発明に係る実施例において、ドングルはバックエンドネットロックモジュールに設置されているため、会社又はテスターにより指定された場所でロック証明書に署名する。アウトフィールドテスターがドングルを持つ又はドングルをフロントエンドへ発送する必要がないので、ネットロックのコストを低減させ、フロントエンドでの不適切な保管に起因するドングルが紛失されることを回避することができる。
また、本発明に係る好ましい実施例において、上記のステップS30は、更に、ドングル秘密キーを使ってネットロックデータを暗号化し、暗号文を署名されたロック証明書に挿入することを含む。本発明に係る実施例において、バックエンドネットロックモジュールと通信するドングルを使ってネットロックデータを暗号化することによって、ネットロックデータのセキュリティをさらに保証し、アウトフィールドテストのセキュリティレベルを向上させる。
図3を参照して、ある好ましい実施例において、前記ステップS30は以下のステップを含む。
ステップS31:無線端末は、フロントエンドネットロックモジュールにより送信された、ロック証明書を使ってロックする要求に基づいて、署名されたロック証明書を送信することをフロントエンドネットロックモジュールに要求する。
ステップS32:無線端末におけるネットロックユニットは、ローカルに保存されているロック公開キーを使って署名されたロック証明書を復号化し、前記ハードウェア特徴情報を平文に復号化する。
ステップS33:署名されたロック証明書におけるハードウェア特徴情報がローカルにおけるハードウェア特徴情報と一致するかどうかを判断し、一致する場合、ステップS34を実行する。一致しない場合、ステップS35を実行し、ロック操作を拒否する応答を返信し、ロック処理を終了する。
ステップS34:無線端末は、署名されたロック証明書を受信した後、その中にネットロックデータが含まれるかどうかを検査し、ネットロックデータが含まれない場合、ステップ36を実行する。ネットロックデータが含まれる場合、ステップ37を実行し、ネットロックデータを検証し、検証を通過した場合、ロック操作を実行する。
ステップS36:ロック操作を許可する応答メッセージをフロントエンドネットロックモジュールへ返信する。
ステップS38:フロントエンドネットロックモジュールは、ネットロックユニットによりフィードバックされた、ロック操作を許可する応答メッセージに基づいて、無線端末がロック操作を実行するように、ロックデータを無線端末へ送信する。
本発明に係る実施例において、バックエンドネットロックモジュールはロック証明書に署名した後、フロントエンドネットロックモジュールは、ロック証明書を使ってロックするという要求を無線端末へ送信する。無線端末は、該当要求を受信した後、フロントエンドネットロックモジュールにロック証明書を要求し、フロントエンドネットロックモジュールは、無線端末が復号化するように、署名されたロック証明書無線端末を無線端末へ送信する。無線端末は、ローカルに保存されているロック公開キーを使って署名されたロック証明書を復号化し、前記ハードウェア特徴情報を平文に復号化することができる。該当ハードウェア特徴情報をローカルに保存されているハードウェア特徴情報と比較し、一致する場合、ロック操作を許可する応答メッセージをフロントエンドネットロックモジュールへ返信する。フロントエンドネットロックモジュールは、応答メッセージに基づいて、無線端末がロック操作を実行するように、ロックデータを無線端末へ送信する。
本発明に係る実施例はまた、無線端末におけるネットロックシステムを提供する。該当ネットロックシステムは、前記方法を実施して、従来の技術において存在する課題を解決し、前記方法で記載された全ての有益な効果を実現することができる。図4を参照して、本発明に係る好ましい実施例において、該当ネットロックシステムは、フロントエンドネットロックモジュール10、バックエンドネットロックモジュール20及び無線端末30を含む。
フロントエンドネットロックモジュール10は、ロック証明書生成要求を無線端末30へ送信するように構成される。
バックエンドネットロックモジュール20は、ロック証明書に署名して、署名されたロック証明書を生成するように構成される。
フロントエンドネットロックモジュール10は、更に、無線端末30がロック操作を実行するように、無線端末30と通信インタラクションを行い、前記署名されたロック証明書を無線端末30へ送信するように構成される。
無線端末30は、前記ロック証明書生成要求に基づいて、ロック証明書を生成するように構成されるロック証明書処理ユニット31と、フロントエンドネットロックモジュールと通信インタラクションを行い、前記署名されたロック証明書に基づいて、ロック操作を実行するように構成されるネットロックユニット32とを備える。
本発明に係る実施例において、フロントエンドネットロックモジュール10は、パソコン又は他のデータ処理端末にロードされているロックソフトウェアウェアであってもよく、アウトフィールドテスターは該当パソコンを携帯している。アウトフィールドテストを行う場合、該当ロックソフトウェアはロック証明書生成要求を無線端末30へ送信する。
本発明に係る実施例において、無線端末30にネットロックソフトウェアをロードしてもよい。該当ネットロックソフトウェアは、少なくともロック証明書処理ユニット31とネットロックユニット32を含む。ロック証明書処理ユニット31は、ロック証明書の生成と証明書の合法性の検証を担い、ネットロックユニット32は、ロックとロック解除の操作を担う。フロントエンドネットロックモジュール10からのロック証明書生成要求を受信した場合、ロック証明書処理ユニット31は、無線端末30のローカルから無線端末を一意に識別するためのハードウェア特徴情報(例えばハードウェアID又はIMEI番号等)を読み取り、次に、ロック公開キーを使ってハードウェア特徴情報を暗号化してロック証明書を生成する。なお、本発明に係る実施例において、無線端末30におけるネットロックソフトウェア、バックエンドネットロックモジュール20及びフロントエンドネットロックモジュール10は、一つのソフトウェアに属してもよいし、それぞれ独立して互換性のあるソフトウェアであってもよい。
本発明に係る実施例において、バックエンドネットロックモジュール20は、パソコン又は他のデータ処理端末にロードされているロックソフトウェアであってもよく、該当パソコンは会社、テスターの自宅又はテスターにより選択された場所に置かれている。本発明に係る実施例において、無線端末30がロック証明書を生成した後、フロントエンドネットロックモジュール10は、ロック証明書を一つのファイルとして保存してもよい。ユーザーは、フロントエンドネットロックモジュール10がロードされているデータ処理端末を使って、ロック証明書をメール又はコピーでバックエンドネットロックモジュール20へ送信することができる。バックエンドネットロックモジュール20が署名されたロック証明書を生成した後、ユーザーは、メール又はコピーで署名されたロック証明書をフロントエンドネットロックモジュール10が位置するデータ処理端末へ送信し、次に、該当データ処理端末は、署名されたロック証明書を無線端末30へ送信する。
本発明に係る実施例において、バックエンドネットロックモジュール20はロック証明書に署名し、次に、ユーザーは、メール又はコピーなどで署名されたロック証明書をフロントエンドネットロックモジュール10が位置するデータ処理端末へ送信し、次に、フロントエンドネットロックモジュール10は、署名されたロック証明書を無線端末30へ送信してロックを行う。このスキームを使用した後、ドングルをフロントエンドへ発送する必要がないため、コストを低減するとともに、アウトフィールドテストがネットロックにもたらすセキュリティリスクを減少することができる。
本発明に係る好ましい実施例において、バックエンドネットロックモジュール20は、ドングル秘密キーを使ってロック証明書を復号化し、無線端末の前記ハードウェア特徴情報を復号化し、ドングル秘密キーを使って無線端末ハードウェア特徴情報の平文を暗号化し、署名されたロック証明書を生成するように構成される。
また、バックエンドネットロックモジュール20は、更に、ドングル秘密キーを使ってネットロックデータを暗号化し、暗号文を署名されたロック証明書に挿入するように構成される。本発明に係る実施例において、バックエンドネットロックモジュールと通信するドングルを使ってネットロックデータを暗号化し、ネットロックデータのセキュリティをさらに保証し、アウトフィールドテストのセキュリティレベルを向上させる。
また、ネットロックユニット32は、更に、フロントエンドネットロックモジュール10により送信されたロック証明書を使ってロックするという要求を受信し、署名されたロック証明書を送信することをフロントエンドネットロックモジュール10に要求し、署名されたロック証明書を受信した後、その中にネットロックデータが含まれるかどうかを検査し、ネットロックデータが含まれる場合、ネットロックデータを検証し、検証を通過した場合、ロック操作を実行し、ネットロックデータが含まれない場合、ロック操作を許可する応答メッセージをフロントエンドネットロックモジュールへ返信するように構成される。
フロントエンドネットロックモジュール10は、更に、無線端末30がロック操作を実行するように、ネットロックユニット32によりフィードバックされたロック操作を許可する応答メッセージに基づいて、ロックデータを無線端末30へ送信するように構成される。
フロントエンドネットロックモジュール10は、更に、ロック証明書を使ってロックする要求を無線端末30へ送信し、無線端末30からのフィードバックに基づいて、無線端末が復号化するように、署名されたロック証明書を無線端末30へ送信し、無線端末30からフィードバックされたロック操作を許可する応答メッセージに基づいて、ロックデータを無線端末30へ送信するように構成される。例えば、本発明に係る実施例において、バックエンドネットロックモジュール20がロック証明書に署名した後、フロントエンドネットロックモジュール10はロック証明書を使ってロックする要求を無線端末30へ送信する。無線端末30は該当要求を受信した後、ロック証明書をフロントエンドネットロックモジュール10に要求する。フロントエンドネットロックモジュール10は、無線端末30が復号化するように、署名されたロック証明書を無線端末30へ送信する。無線端末30のローカルに保存されているロック公開キーを使って署名されたロック証明書を復号化し、前記ハードウェア特徴情報を平文に復号化することができる。更に、該当ハードウェア特徴情報をローカルに保存されているハードウェア特徴情報と比較し、一致する場合、ロック操作を許可する応答メッセージをフロントエンドネットロックモジュール10へ返信する。フロントエンドネットロックモジュール10は、無線端末30がロック操作を実行するように、該当応答メッセージに基づいて、ロックデータを無線端末30へ送信する。
本発明に係る実施例において、ネットロックユニット32は、更に、ローカルに保存されているロック公開キーを使って署名されたロック証明書を復号化し、前記ハードウェア特徴情報を平文に復号化し、署名されたロック証明書におけるハードウェア特徴情報がローカルにおけるハードウェア特徴情報と一致するかどうかを判断し、一致する場合、署名されたロック証明書にはネットロックデータが含まれるかどうかを検査するステップを実行し、一致しない場合、ロック操作を拒否する応答を返信し、ロック処理を終了するように構成される。
本発明に係る好ましい実施例において、無線端末におけるネットロックシステムの動作フローチャートは以下のステップを含む。
まず、フロントエンドネットロックモジュール10は、ロック証明書生成要求を無線端末30へ送信する。
次に、無線端末30は、ハードウェア特徴情報を読み取り、ローカルに保存されているロック公開キーを使ってハードウェア特徴情報を暗号化してロック証明書を生成する。
無線端末30は、生成されたロック証明書をフロントエンドネットロックモジュール10へ返信する。
フロントエンドネットロックモジュール10は、ロック証明書をバックエンドネットロックモジュール20へ送信する。
バックエンドネットロックモジュール20は、ドングル秘密キーを使ってロック証明書を復号化し、無線端末30のハードウェア特徴情報を復号化する。
バックエンドネットロックモジュール20は、ドングル秘密キーを使って、無線端末におけるハードウェア特徴情報の平文を暗号化して、署名されたロック証明書を生成し、フロントエンドネットロックモジュール10へ送信する。
フロントエンドネットロックモジュール10は、ロック証明書を使ってロック要求を無線端末30へ送信する。
無線端末30におけるロック証明書処理ユニット31は、ロック証明書をフロントエンドネットロックモジュール10に要求する。
フロントエンドネットロックモジュール10は、署名されたロック証明書を無線端末30へ送信する。
無線端末30は、ローカルに保存されているロック公開キーを使ってロック証明書を復号化し、前記ハードウェア特徴情報を平文に復号化する。
無線端末30は、証明書から復号化されたハードウェア特徴情報が無線端末自身のハードウェア特徴情報と一致するかどうかを判断し、一致しない場合、ロック操作を拒否する応答メッセージをフロントエンドネットロックモジュール10へ返信し、ロック処理を終了する。一致する場合、署名されたロック証明書にネットロックデータが含まれるかどうかを判断し、ネットロックデータが含まれない場合、ロック操作を許可する応答メッセージをフロントエンドネットロックモジュール10へ返信する。ネットロックデータが含まれる場合、フロントエンドネットロックモジュール10は、ネットロックデータを無線端末30へ送信する。無線端末30は、ネットロックデータを検証した後、検証を通過した場合、ロック操作を実行する。
無線端末30は、ロック解除コードとロック成功指示をフロントエンドネットロックモジュール10へ返信する。
以上は、本発明の最適的な実施例に過ぎなく、本発明を制限しない。
従来の技術と比べて、本発明における実施例は、ネットロック操作をフロントエンド処理とバックエンド処理に分け、フロントエンドネットロックモジュールは、ロック証明書の生成とロック操作に用いられ、バックエンドネットロックモジュールは、ロック証明書の電子署名に用いられる。アウトフィールドテストにおいて、フロントエンドテスターは、まず、フロントエンドネットロックモジュールとネットロックすべき無線端末を使ってロック証明書を生成し、次に、生成されたロック証明書をバックエンド(会社又は自宅)へ送信する。バックエンド人員は、バックエンドネットロックモジュールとドングルを使ってロック証明書に署名し、その後に署名されたロック証明書をフロントエンドテスターへ送信する。そして、フロントエンドテスターは、フロントエンドネットロックモジュールを使って署名されたロック証明書を無線端末へ送信してロックを行う。このスキームでは、ドングルをフロントエンドへ発送する必要がないため、コストを低減するとともに、アウトフィールドテストがネットロックにもたらすセキュリティリスクを減少することができる。

Claims (12)

  1. 無線端末のネットロック方法であって、
    フロントエンドネットロックモジュールは、ロック証明書生成要求を無線端末へ送信し、前記無線端末は、前記ロック証明書生成要求に基づいて、ロック証明書を生成することと、
    バックエンドネットロックモジュールは、前記ロック証明書に署名して、署名されたロック証明書を生成することと、
    前記フロントエンドネットロックモジュールは、前記無線端末と通信インタラクションを行い、前記無線端末がロック操作を実行するように、前記署名されたロック証明書を前記無線端末へ送信することとを含む、無線端末のネットロック方法。
  2. 前記無線端末が、前記ロック証明書生成要求に基づいて、前記ロック証明書を生成することは、
    前記無線端末は、ローカルから前記無線端末を一意に識別するためのハードウェア特徴情報を読み取り、ローカルに保存されているロック公開キーを使って前記ハードウェア特徴情報を暗号化して前記ロック証明書を生成し、前記ロック証明書を前記フロントエンドネットロックモジュールへ返信することを含む、
    請求項1に記載の無線端末のネットロック方法。
  3. 前記バックエンドネットロックモジュールが、前記ロック証明書に署名し、前記署名されたロック証明書を生成することは、
    ドングル秘密キーを使って前記ロック証明書を復号化し、前記無線端末のハードウェア特徴情報を復号化することと、
    前記ドングル秘密キーを使って前記無線端末の前記ハードウェア特徴情報の平文を暗号化し、前記署名されたロック証明書を生成することと、を含む、
    請求項1又は2に記載の無線端末のネットロック方法。
  4. 前記バックエンドネットロックモジュールが、前記ロック証明書に署名し、前記署名されたロック証明書を生成することは、さらに、
    前記ドングル秘密キーを使ってネットロックデータを暗号化し、暗号文を前記署名されたロック証明書に挿入することを含む、
    請求項3に記載の無線端末のネットロック方法。
  5. 前記フロントエンドネットロックモジュールが、前記無線端末と通信インタラクションを行い、前記無線端末がロック操作を実行するように、前記署名されたロック証明書を前記無線端末へ送信することは、
    前記無線端末は、前記フロントエンドネットロックモジュールにより送信された前記ロック証明書を使ってロックする要求に基づいて、前記署名されたロック証明書を送信することを前記フロントエンドネットロックモジュールに要求することと、
    前記無線端末は、前記署名されたロック証明書を受信した後、前記署名されたロック証明書にネットロックデータが含まれるかどうかを検査し、前記ネットロックデータが含まれる場合、前記ネットロックデータを検証し、検証を通過した場合、ロック操作を実行することと、
    前記ネットロックデータが含まれない場合、ロック操作を許可する応答メッセージを前記フロントエンドネットロックモジュールへ返信することと、
    前記フロントエンドネットロックモジュールは、ネットロックユニットによりフィードバックされたロック操作を許可する応答メッセージに基づいて、前記無線端末がロック操作を実行するように、ロックデータを前記無線端末へ送信することと、を含む、
    請求項1に記載の無線端末のネットロック方法。
  6. 前記無線端末が、前記署名されたロック証明書には前記ネットロックデータが含まれるかどうかを検査する前に、さらに、
    前記無線端末は、ローカルに保存されているロック公開キーを使って前記署名されたロック証明書を復号化し、ハードウェア特徴情報を平文に復号化することと、
    前記署名されたロック証明書におけるハードウェア特徴情報がローカルにおけるハードウェア特徴情報と一致するかどうかを判断し、一致する場合、前記署名されたロック証明書には前記ネットロックデータが含まれるかどうかを検査し、一致しない場合、ロック操作を拒否する応答を返信し、ロック処理を終了することとを含む、
    請求項5に記載の無線端末のネットロック方法。
  7. 無線端末のネットロックシステムであって、
    フロントエンドネットロックモジュール、バックエンドネットロックモジュール及び端末実行ユニットを備え、
    前記フロントエンドネットロックモジュールは、ロック証明書生成要求を端末実行ユニットへ送信するように構成され、
    前記バックエンドネットロックモジュールは、ロック証明書に署名して、署名されたロック証明書を生成するように構成され、
    前記フロントエンドネットロックモジュールは、更に、前記端末実行ユニットと通信インタラクションを行い、前記端末実行ユニットがロック操作を実行するように、前記署名されたロック証明書を前記端末実行ユニットへ送信するように構成され、
    前記端末実行ユニットは、
    前記ロック証明書生成要求に基づいて、前記ロック証明書を生成するように構成されるロック証明書処理ユニットと、
    前記フロントエンドネットロックモジュールと通信インタラクションを行い、前記署名されたロック証明書に基づいて、ロック操作を実行するように構成されるネットロックユニットとを備える、無線端末のネットロックシステム。
  8. 前記ロック証明書処理ユニットは、ローカルから前記端末実行ユニットを一意に識別するためのハードウェア特徴情報を読み取り、ローカルに保存されているロック公開キーを使って前記ハードウェア特徴情報を暗号化し、前記ロック証明書を生成し、前記ロック証明書を前記フロントエンドネットロックモジュールへ返信するように構成される、
    請求項7に記載の無線端末のネットロックシステム。
  9. 前記バックエンドネットロックモジュールは、
    ドングル秘密キーを使って前記ロック証明書を復号化し、前記端末実行ユニットの前記ハードウェア特徴情報を復号化し、前記ドングル秘密キーを使って前記端末実行ユニットのハードウェア特徴情報の平文を暗号化し、前記署名されたロック証明書を生成するように構成される、
    請求項7又は8に記載の無線端末のネットロックシステム。
  10. 前記バックエンドネットロックモジュールは、さらに、前記ドングル秘密キーを使ってネットロックデータを暗号化し、暗号文を前記署名されたロック証明書に挿入するように構成される、請求項9に記載の無線端末のネットロックシステム。
  11. 前記ネットロックユニットは、前記フロントエンドネットロックモジュールにより送信された前記ロック証明書を使ってロックする要求を受信し、前記署名されたロック証明書を送信することを前記フロントエンドネットロックモジュールに要求し、前記署名されたロック証明書を受信した後、前記署名されたロック証明書にネットロックデータが含まれるかどうかを検査し、前記ネットロックデータが含まれる場合、前記ネットロックデータを検証し、検証を通過した場合、ロック操作を実行し、前記ネットロックデータが含まれない場合、ロック操作を許可する応答メッセージを前記フロントエンドネットロックモジュールへ返信するように構成され、
    前記フロントエンドネットロックモジュールは、更に、前記ネットロックユニットによりフィードバックされたロック操作を許可する応答メッセージに基づいて、前記端末実行ユニットがロック操作を実行するように、ロックデータを前記端末実行ユニットへ送信するように構成される、
    請求項7に記載の無線端末のネットロックシステム。
  12. 前記ネットロックユニットは、更に、ローカルに保存されているロック公開キーを使って前記署名されたロック証明書を復号化し、ハードウェア特徴情報を平文に復号化し、前記署名されたロック証明書におけるハードウェア特徴情報が前記ローカルにおけるハードウェア特徴情報と一致するかどうかを判断し、一致する場合、前記署名されたロック証明書には前記ネットロックデータが含まれるかどうかを検査し、一致しない場合、ロック操作を拒否する応答を返信し、ロック処理を終了するように構成される、
    請求項11に記載の無線端末のネットロックシステム。
JP2016541507A 2013-12-20 2014-05-23 無線端末のネットロック方法及びシステム Expired - Fee Related JP6074125B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201310717670.0A CN104735647A (zh) 2013-12-20 2013-12-20 无线终端的锁网方法及系统
CN201310717670.0 2013-12-20
PCT/CN2014/078319 WO2014187363A1 (zh) 2013-12-20 2014-05-23 无线终端的锁网方法及系统

Publications (2)

Publication Number Publication Date
JP2017501633A true JP2017501633A (ja) 2017-01-12
JP6074125B2 JP6074125B2 (ja) 2017-02-01

Family

ID=51932915

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016541507A Expired - Fee Related JP6074125B2 (ja) 2013-12-20 2014-05-23 無線端末のネットロック方法及びシステム

Country Status (5)

Country Link
US (1) US9775043B2 (ja)
EP (1) EP3086583B1 (ja)
JP (1) JP6074125B2 (ja)
CN (1) CN104735647A (ja)
WO (1) WO2014187363A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104735647A (zh) * 2013-12-20 2015-06-24 中兴通讯股份有限公司 无线终端的锁网方法及系统
DK3258660T3 (en) * 2016-06-16 2019-01-21 Riddle & Code Gmbh PROTECTIVE DEVICE AND DONGLE AND PROCEDURE FOR USING SAME

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005539304A (ja) * 2002-09-16 2005-12-22 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 電子機器へのデータのローディング方法
JP2008538874A (ja) * 2005-04-27 2008-11-06 ノキア コーポレイション 携帯端末機能への制限付きアクセスの供給
JP2012235182A (ja) * 2011-04-28 2012-11-29 Fujitsu Ltd 端末装置、及び端末装置における使用制限解除方法

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5185705A (en) * 1988-03-31 1993-02-09 Square D Company Circuit breaker having serial data communications
KR100553920B1 (ko) * 2003-02-13 2006-02-24 인터내셔널 비지네스 머신즈 코포레이션 컴퓨터 클러스터 운영 방법
FR2909243B1 (fr) * 2006-11-23 2009-02-06 Sagem Comm Procede et systeme de controle du verrouillage / deverrouillage des fonctions d'acces reseau d'un terminal a fonctions multiples.
WO2008104934A1 (en) * 2007-02-26 2008-09-04 Nokia Corporation Apparatus, method and computer program product providing enforcement of operator lock
CN101018125B (zh) * 2007-03-02 2010-06-16 中兴通讯股份有限公司 一种基于椭圆曲线公钥密码的无线终端安全锁网锁卡方法
JP5186790B2 (ja) * 2007-04-06 2013-04-24 日本電気株式会社 電子マネー取引方法、及び電子マネーシステム
EP2071898A1 (en) 2007-12-10 2009-06-17 Telefonaktiebolaget LM Ericsson (publ) Method for alteration of integrity protected data in a device, computer program product and device implementing the method
WO2010075644A1 (zh) * 2008-12-31 2010-07-08 中兴通讯股份有限公司 实现终端设备锁网的方法、系统及终端设备
CN101534482B (zh) 2009-03-12 2013-05-08 中兴通讯股份有限公司 一种锁网方法及系统
US8887310B2 (en) * 2009-11-19 2014-11-11 Motorola Mobility Llc Secure consumer programming device
CN102098657A (zh) * 2009-12-11 2011-06-15 中兴通讯股份有限公司 一种实现终端锁网功能的方法及装置
CN101800986A (zh) * 2010-02-26 2010-08-11 华为终端有限公司 实现终端锁网及解锁的方法、装置
CN201956490U (zh) * 2010-05-21 2011-08-31 梁骞 一种可双面插接的usb插座与插头
CN102404711B (zh) * 2010-09-09 2015-04-08 国民技术股份有限公司 移动终端锁网装置及模块间认证方法
CN101984575B (zh) * 2010-10-14 2015-06-03 中兴通讯股份有限公司 一种保护移动终端软件的方法和装置
CN102075910B (zh) * 2010-12-20 2014-06-11 华为终端有限公司 对终端进行锁网的方法和装置
CN102131182B (zh) * 2011-03-14 2015-06-03 中兴通讯股份有限公司 一种移动终端锁网的方法和装置
CN102118737A (zh) * 2011-03-23 2011-07-06 中兴通讯股份有限公司 一种远程获取锁网信息的方法及终端
CN102158846B (zh) * 2011-03-30 2015-04-01 中兴通讯股份有限公司 一种移动终端及其锁网的方法
US8812837B2 (en) * 2012-06-01 2014-08-19 At&T Intellectual Property I, Lp Apparatus and methods for activation of communication devices
AT513016B1 (de) * 2012-06-05 2014-09-15 Phactum Softwareentwicklung Gmbh Verfahren und Vorrichtung zur Steuerung eines Schließmechanismus mit einem mobilen Endgerät
CN104735647A (zh) * 2013-12-20 2015-06-24 中兴通讯股份有限公司 无线终端的锁网方法及系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005539304A (ja) * 2002-09-16 2005-12-22 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 電子機器へのデータのローディング方法
JP2008538874A (ja) * 2005-04-27 2008-11-06 ノキア コーポレイション 携帯端末機能への制限付きアクセスの供給
JP2012235182A (ja) * 2011-04-28 2012-11-29 Fujitsu Ltd 端末装置、及び端末装置における使用制限解除方法

Also Published As

Publication number Publication date
JP6074125B2 (ja) 2017-02-01
EP3086583A4 (en) 2016-12-28
EP3086583B1 (en) 2019-11-06
US9775043B2 (en) 2017-09-26
CN104735647A (zh) 2015-06-24
WO2014187363A1 (zh) 2014-11-27
US20160345175A1 (en) 2016-11-24
EP3086583A1 (en) 2016-10-26

Similar Documents

Publication Publication Date Title
CN109495274B (zh) 一种去中心化智能锁电子钥匙分发方法及系统
US8607050B2 (en) Method and system for activation
US7653713B2 (en) Method of measuring round trip time and proximity checking method using the same
CN110858249B (zh) 一种数据库文件加密方法、解密方法和相关装置
US20160294553A1 (en) Information delivery system
CN103297403A (zh) 一种实现动态密码认证的方法和系统
CN101771699A (zh) 一种提高SaaS应用安全性的方法及系统
CN103503366A (zh) 管理针对认证设备的数据
JP5380583B1 (ja) デバイス認証方法及びシステム
CN109981287B (zh) 一种代码签名方法及其存储介质
CN104094267A (zh) 安全共享来自源装置的媒体内容的方法、装置和系统
CN109218263A (zh) 一种控制方法及装置
CN103812651B (zh) 密码验证方法、装置及系统
CN108199847B (zh) 数字安全处理方法、计算机设备及存储介质
CN104836784A (zh) 一种信息处理方法、客户端和服务器
CN102970676A (zh) 一种对原始数据进行处理的方法、物联网系统及终端
CN105142134A (zh) 参数获取以及参数传输方法和装置
CN111241492A (zh) 一种产品多租户安全授信方法、系统及电子设备
JP6074125B2 (ja) 無線端末のネットロック方法及びシステム
JP2015091070A (ja) 半導体素子、情報端末および半導体素子の制御方法、情報端末の制御方法
CN116599719A (zh) 一种用户登录认证方法、装置、设备、存储介质
CN107241341B (zh) 访问控制方法及装置
KR101329789B1 (ko) 모바일 디바이스의 데이터베이스 암호화 방법
CN106685931B (zh) 智能卡应用管理方法和系统、终端和智能卡
KR102263053B1 (ko) 근거리 영역 네트워크(lan) 환경에서 기기 간 데이터 동기화가 가능한 데이터베이스 구조 및 이를 이용한 데이터 동기화 방법

Legal Events

Date Code Title Description
A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20161027

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20161213

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170105

R150 Certificate of patent or registration of utility model

Ref document number: 6074125

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees