WO2008106848A1

WO2008106848A1 - Réseau de sécurité d'un terminal sans fil et procédé de verrouillage de carte sur la base du chiffre de clé publique de courbe elliptique

Info

Publication number: WO2008106848A1
Application number: PCT/CN2007/003577
Authority: WO
Inventors: Chen Lu; Yunfeng Wang; Yanlong Hu; Ruijuan Zhang; Hongquan Yu; Yanling Guo
Original assignee: Zte Corporation
Priority date: 2007-03-02
Filing date: 2007-12-13
Publication date: 2008-09-12
Also published as: CN101018125B; CN101018125A

Description

一种基于椭圆曲线公钥密码的无线终端安全锁网锁卡方法技术领域

本发明涉及移动通信领域，特别涉及一种基于椭圓曲线公胡密码的无线终端安全锁网锁卡方法。

背景技术

随着 WCDMA网络在全球范围内的大规模商用，以及 WCDMA用户数量的增多，各运营商为了扩大和巩固用户数量，在无线终端或手机销售模式上采用话费补贴或附送手机方式来吸引用户。在一些国家和地区，运营商为了保证手机用户不流失，要求所采购的手机只能在自己的网络使用，并且使用运营商自己发行的 SIM/USIM卡，因此对手机提出了锁网锁卡的要求。通过锁网及锁卡技术，可以防止部分 3G运营商通过某个地区运营商低价获得手机，然后转到其它地区高价出售，从而賺取运营商为发展市场所进行的补贴。另一方面，为了防止黑客攻击，各运营商对手机锁网锁卡的安全性提出了很高要求。

手机锁网是指依照当初运营商与手机制造商达成的协议，此手机机型只能使用该运营商网内的 SIM USIM卡，其他运营商提供的 SIM USIM卡均不能使用。手机锁卡是指该手机只认插入的第一张卡，其他卡均不能使用。不能使用的技术原因在于，该手机是通过安全软件加了锁，解锁需要进行软件重写。

关于锁网锁卡要求的相关标准规范有 3GPP TS 22.022,但在安全实现方面，不存在任何 3GPP相关标准，也没有解决上述问题的方便可靠的方法从锁网锁卡安全技术及安全管理的角度来说，要求提供网络锁网锁卡的安全实现及方法，在手机制造商内仍然需要严格保密。另外，为保证锁网锁卡软件不被伪造，要求只有经过授权或数字签名的相关软件才可以在手机内运行，同时，对锁网锁卡的敏感数据要进行安全保护。

为保障安全的锁网锁卡功能，对手机软件进行编程 /重编的软件也应严格进行安全管理，以便不能使用或发现任何软件对手机进行去锁网锁卡功能，这就要求在手机安全引导进程中，要进行销网相关的软件完整性检查，同时，保证每种软件使用之前经过 4曼权，或要通过数字签名正。另夕卜，也不能通过降低软件版本，对软件进行重新构造，从而对锁网锁卡功能造成威胁。

按相关标准规范 3GPP TS 22.022要求，手机内锁网锁卡功能的解锁功能，只有通过 DCK (解锁密钥），即解锁密码，才可以解除。并要求解锁密钥不可被重新编码，并且要阻止任何伪造 /反向工程推导。 DCK是需要严格保密的信息,在存储与传输时要采取必要的安全手段和安全级别。只有厂家或运营商才有可能存取 DCK。除了解锁密钥外，要防止任何黑客在可用商业机上，使用任何物理或软件方法来解锁手机的锁网锁卡功能。

基于以上锁网锁卡的安全技术与管理需求，要求手机锁网锁卡软件安全机制应足够强，不能被逆向推导或受到一个非授权第三方的危害，同时要求安全机制不能被绕过。

而解决以上问题的有效途径就是借助于公钥密码体制（PKI )技术。目前实用的公钥密码体制根据其所依据的难题一般分为三类：大整数分解问题类 -RSA算法、离散对数问题类-数字签名算法（DSA )、椭圆曲线类一椭圆曲线密码（ECC ) 。

椭圆曲线密码体制是目前已知公钥密码体制中，每比特所提供加密强度最高的一种体制。 RSA公钥密码算法的特点之一是数学原理筒单、在工程应用中比较易于实现，但它的单位安全强度相对较低。目前国际上公认的对于 RSA算法最有效的攻击方法数域筛（NFS )方法去破译和攻击，证明 RSA算法的破译或求解难度是亚指数级的。而 ECC算法的数学理论非常深奥和复杂，在工程应用中比较难于实现，但它的单位安全强度相对较高。用国际上公认的对于 ECC算法最有效的攻击方法- Pollard rho方法去破译和攻击 ECC算法，它的破译或求解难度基本上是指数级的。正是由于 RSA算法和 ECC算法这一明显不同，使得 ECC算法的单位安全强度高于 RSA算法，也就是说，要达到同样的安全强度， ECC算法所需的密钥长度远比 RSA算法低。这就有效地解决了为了提高安全强度必须增加密钥长度所带来的工程实现难度的问题，特别是对于手机这样处理能力不强，内存资源比较紧张的情况。例如，当 RSA算法密钥使用 2048位时， ECC密钥仅使用 234位，而所获得的安全强度要高出许多。它们之间的密钥长度相差达 9倍以上，当 ECC密钥更大时它们之间差距将更大。 ECC密钥短的优点是非常明显的，随加密强度的提高，密钥长度变化不大。

随着全球范围内为避免预先设置的锁网锁卡功能不被运营商或用户非法取消，各大运营商对手机安全锁网锁卡提出的越来越高的安全强度的需求。发明内容

本发明所要解决的技术问题是，提供一种基于椭圆曲线公钥密码的无线终端安全锁网锁卡方法，能够实现锁网锁卡，同时在一定密钥长度可以提供更高的安全强度。

为了解决上述问题，本发明提供了一种基于椭圆曲线公钥密码的无线终端安全锁网锁卡方法，包括以下步骤：

( 1 )在无线终端开机初始阶段，使用椭圆曲线数字签名证书验证手机锁网锁卡安全软件文件的数字签名是否是合法签名；

( 2 )通过验证的软件对所述无线终端的开机信息与预存的锁网锁卡相关安全信息进行比对验证，若验证通过，则提供网絡相关业务；否则，拒绝提供网络相关业务或关机。

进一步地，所述锁网锁卡相关安全信息包括软件签名的认证码，归属公用陆地移动通信网 HPLMN, 码表文件 FLEXFILE, 锁运营商卡相关信息 EF_GID1 , 软件版本号，锁网控制密钥 NCK，运营商加锁控制密钥 SPC, 移动网络码 MNC, 移动国家码 MCC, 锁网锁卡状态标示，网络 /卡解锁剩余尝试次数，锁卡校验码，公钥，版本校验码， IMEI号校验码，锁卡校验码。

进一步地，所述步驟（1 )执行之前，执行：

( A )将手机锁网锁卡安全软件生成映象文件； ( B )使用椭圆曲线数字签名证书和所述映象文件摘要进行椭圆曲线签名，生成数字签名；

( C )将映象文件、数字签名存储到所述无线终端的非易失性内存中。进一步地，所述步骤（A ) 包括如下步骤：式可加载格式 ELF二进制目标文件；

( A2 )所述目标文件与所述无线终端处理器系统所带的 C/C++运行时库文件，经过连接器处理后，生成 ELF格式的映象文件。

进一步地，所述步骤（B ) 包括如下步骤：

( B1 )根据椭圆曲线数字签名证书得到椭圆曲线密码参数集 D = (p, a, b,

G, n, h) , 其中 p为一个大素数，用于指定有限域 GF(p); a, b用于指定椭圆曲线 E; G = (x_G, y(3) e E(GF(p))为一个基点；素数 n为基点 G 的阶； h=#E(GF(p))/n为协因子整数； #E(GF(p))表示椭圆曲线点群的阶；同时也得到了密钥对 (d,Q), 其中 d是私钥， Q=dG是公钥;

( B2 )使用哈希函数对所述映象文件进行散列运算，生成固定长度的映象文件摘要；

( B3 )针对映象文件摘要进行椭圆曲线签名，生成一个数字签名。

进一步地，所述步骤（1 )执行之前，还执行：将锁网锁卡相关安全信息基于 ElGamal算法模拟的椭圆曲线进行加密，保存到所迷无线终端内安全存储区域中。

进一步地，所述将锁网锁卡相关安全信息基于 ElGamal算法模拟的椭圆曲线进行加密包括如下步骤：

( a )根据椭圆曲线数字签名证书得到椭圆曲线密码参数集 D = (p, a, b, G, n, h) , 其中 p为一个大素数，用于指定有限域 GF(p); a, b用于指定椭圆曲线 E; G = (x_G, y_G) E(GF(p))为一个基点；素数 n为基点 G 的阶； h=#E(GF(p))/n为协因子整数； #E(GF(p))表示椭圆曲线点群的阶；同时也得到了密钥对 (d,Q), 其中 d是私钥， Q=dG是公钥；

( b )将锁网锁卡相关安全信息数据分组，将分组数据转换成椭圆曲线上的点；

( c )利用 ElGamal算法进行数据的加密运算。

进一步地，所述步骤（2 )还包括通过椭圆曲线数字签名证书公钥与手机内安全存储的椭圆曲线私钥对预存的锁网锁卡相关安全信息进行解密，恢复出明文数据。

进一步地，所述步骤（2 ) 包括如下步骤：

( 2.1 )解密锁网锁卡相关安全信息中的手机锁网状态标识，判断手机锁网状态标识是否有效；

( 2.2 )若手机锁网状态标识有效，表示要求锁网，则把当前手机注册上的 MNC, MCC和手机内安全区域中锁网锁卡相关安全信息中的 MNC,

MCC列表相比较，如果在锁网范围内，则继续运行；否则，拒绝提供网络相关业务或关机。

进一步地，所述步骤（2.1 )执行之前，还执行：手机判断 USIM卡或 SIM卡型号，借助于 USIM卡或 SIM卡驱动接口函数读出 USIM/SIM卡内的国际移动用户识别码 IMSI号，并从中分析出 HPLMN字段，读出 EF—GID1 , 判断所述 EF—GID1 与手机内安全区域中锁网锁卡相关安全信息中的 EF_GID1是否一致，若一致，才执行步骤（2.1 ) 。

本发明提供的一种基于椭圓曲线公钥密码的无线终端安全锁网锁卡方法，采用的椭圆曲线密码体制在已知公钥密码系统中具有每比特最高强度安全性，最快的处理速度和最低的开销，特别适用于具有低内存与低处理能力手机终端实现锁网锁卡公钥密码安全技术。附图概述

图 1为本发明实施例方法的手机锁网锁卡软件及数据保护流程图；图 2为本发明实施例方法手机终端基于椭圆曲线的加密解密流程图；图 3为本发明实施例方法安全数据编码为椭圆曲线上的点的流程图；图 4为本发明实施例方法锁网锁卡安全软件签名流程图；

图 5为本发明实施例方法锁网锁卡安全软件合法性认证流程图；图 6为本发明实施例方法锁网锁卡的解锁网 /锁卡功能流程图。

本发明的较佳实施方式

本发明关键是：

( )从椭圆曲线离散对数出发，辅以抗碰撞散列函数，利用椭圆曲线公钥证书数字签名方法，实现手机的锁网与锁卡方法，包括手机锁网锁卡软件授权使用确认、软件完整性检查，对锁网锁卡相关安全参数的加密保存，及锁网锁卡安全实现及锁网锁卡的安全解锁等方法。其中包括：在无线终端开机初始阶段，使用椭圓曲线数字签名证书验证手机锁网锁卡安全软件文件的数字签名是否是合法签名；通过验证的软件对所述无线终端的开机信息与预存的锁网锁卡相关安全信息进行比对验证，若验证通过，则提供网络相关业务；否则，拒绝提供网络相关业务或关机。所述椭圆曲线数字签名证书为基于椭圆曲线根 CA证书及手机密钥对或手机终端证书。所述开机信息包括： USIM/SIM卡内锁网锁卡相关字段或信息，以及开机网络信息等。

(二)本发明安全基础是基于椭圆曲线离散对数问题。给定一条定义在有限域 GF(p)上椭圆曲线 E, —个阶为 n的点 P E及一个点0 = 1^，其中 0 k < n - 1 , 确定 k。椭圆曲线离散对数问题具有可证明的安全性，相对于目前流行的 RSA公钥密码体制，具有速度快，安全性高及对终端的处理能力要求低等优点。

G)本发明实现 3G网络下的手机安全锁网锁卡方法，就是通过对手机开机引导过程中，通过对系统软件或手机锁网锁卡相关软件实施椭圆曲线数字签名，保证手机锁网锁卡软件是合法授权的，并且没有经过窜改的。在保证了锁网锁卡软件的安全性后，通过对 USIM/SIM卡内锁网锁卡相关字段或信息的检查，并与手机内的锁网锁卡相关信息进行比较判断，实现手机安全的锁网与锁卡技术。对于锁网锁卡相关的需要高强度安全保护的信息或数据，利用椭圆曲线公钥密码技术实施加密进行保护。通过以上高安全强度的基于椭圆曲线数字签名，加密与解密安全技术手段，保证手机只有在运营商网络范围及所发行的 USIM/SIM卡上安全使用。

下面具体说明本发明工作原理：

本发明基于椭圆曲线上离散对数困难问题假设出发，借助于哈希函数，椭圆曲线公钥密码或证书，利用橢圆曲线加密及数字签名方法实现 3G手机安全锁网锁卡方法，包括：手机安全锁网锁卡的安全实现过程；手机引导时安全软件完整性或系统性检测；锁网锁卡相关安全数据，如 IMEI (国际移动设备标识）手机软件版本号、锁网状态等安全加密与解密方法，手机锁网锁卡安全解锁过程等内容。

手机锁网锁卡过程包括锁网锁卡安全软件数字签名，相关安全数据的加密。首先借助 PC侧软件对手机锁网锁卡安全软件进行编译，构造，其次对构造的二进制映象文件进行椭圆曲线数字签名；再次，对锁网锁卡相关安全信息基于椭圆曲线公钥密码技术进行加密与解密处理；最后，通过 PC侧提供的手机下载软件，将相关软件与安全数据通过数据线下载到手机内存区域中，对于安全相关数据，借助于物理手段，保存到手机内安全存储区域中，如公钥证书，锁网锁卡相关数据，锁网锁卡状态等，防止外部用户进行窃取，窜改等。本发明假定手机内的椭圆曲线私钥，是安全保存在手机中，不能被夕卜部软件、硬件所读取。

所述手机锁网锁卡安全软件的数字签名方法，用于该软件完整性与合法性检查。首先对于安全软件程序中的各种源文件，包括 C语言程序，汇编程序，经过编译器编译后生成嵌入式可加载格式（ELF )文件。这些目标文件与手机处理器系统所带的 C/C++运行时库文件，经过连接器处理后，生成 ELF格式的映象文件（image ) , 这种映象文件然后写入到手机 ROM Flash 内。为实现数字签名，本发明假设运营商或制造商有一个支持椭圆曲线公钥密码的证书中心（CA ) 网站，也可以利用一个支持橢圆曲线密码的政府或商业公共 CA。用户安全申请一个椭圆曲线密码公钥证书，用于手机软件安全与锁网锁卡实现中的根 CA证书，以此证书完成对其它公钥证书签名，保证手机合钥证书的不可伪造性及合法性证明。本发明利用根 CA证书签名的手机公钥证书，完成手机安全软件的签名，及相关安全数据的签名，以实现安全软件的完整性及合法性等检查，防止第三方恶意代码的入侵。所述手机锁网锁卡安全软件的数字签名过程，首先给出椭圆曲线密码参数集0 = , &, 13, 0，11, 11) , 其中 p为一个大素数，如大于 160bit的素整数，指定了有限域 GF(p); a, b指定椭圆曲线 E; G = (x_G, y_G) e E(GF(p))为一个基点；素数 n为基点 G的阶； h=#E(GF(p))/n为协因子整数； #E(GF(p))表示椭圆曲线点群的阶；同时也得到了密钥对 (d,Q),其中 d是私钥, Q=dG是公钥；其次，使用哈希函数对所构造的手机安全软件映象文件进行散列运算，生成固定长度的映象文件摘要，如 20字节长。再次，针对映象文件摘要数据进行椭圆曲线签名过程，生成一个签名数据并存入到手机存储器中。

生成了手机安全软件数字签名后，在手机引导时，可通过对手机锁网锁基于椭圓曲线根 CA证书或手机公钥证书，取出公共椭圆曲线参数集 0=¾),&，13， 11,11}与相关公钥（5。然后，手机引导程序检查验证手机锁网锁卡安全软件文件的签名（r, s )是否合法的签名，如果是合法的，则进行手机锁网锁卡判别过程；如果是不合法的安全软件，对于研发过程中的手机，则进入到 JTAG普通文件映象文件下载模式；对于产品阶段，手机终端检测到安全不一致性，则直接关机，防止手机被非法使用。

所述手机安全加密与解密方法，是基于 ElGamal算法模拟的椭圆曲线加密与解密方案来实现安全数据的加密保护。首先对加密的数据按椭圆曲线参数集中的模大小进行分组，然后对分组数据进行编码，将加密的分组数据转换成椭圆曲线上的点，然后利用 ElGamal算法进行数据的加密运算。解密过程中，通过椭圆曲线根证书公钥与手机内安全存储的椭圆曲线私钥完成加密分组数据的解密，最后通过快速的解码方法，恢复出明文安全数据。所给出的解密方法的特点是解密速度快，特别适于手机终端这种内存与处理能力受限的设备。

借助于以上所述发明方法，可以实现手机开机过程中的软件合法性安全检查及锁网锁卡的判断，包括手机安全软件完整性检测， IMEI号、软件版本号等安全数据的完整性检查，以及网络服务状态确定后的锁网锁卡状态检测。本发明所述锁网实现方法、首先手机开机时，检查手机锁网状态标识是否有效，如果是要求锁网，则把当前手机注册上的 MNC (移动网絡码）， MCC (移动国家码）和手机内安全区域中椭圆曲线加密或安全保存的 MNC, MCC列表相比较,如果在锁网范围内，则继续运行；否则，弹出提示框，并限制手机业务。

锁网锁卡的状态检查过程中，手机判断 USIM卡或 SIM卡型号，借助于 USIM卡或 SIM卡驱动接口函数读出 USIM/SIM卡内的 IMSI (国际移动用户识别码）号，并从中分析出 HPLMN (归属公用陆地移动通信网）字段，读出 EF_GID1 (锁运营商卡相关信息）与运营商相关信息。解密加密的手机内安全区域中锁网锁卡相关安全信息，判断所述 EF_GID1与手机内安全区域中锁网锁卡相关安全信息中的 EF— GID1是否一致，若一致，则检查手机锁网状态标识是否有效，如果是要求锁网或锁卡，则把当前手机注册上的 MNC, MCC和手机中加密保存的锁网锁卡相关信息，如 MNC, MCC值，解密出来后进行比较。如果一致，则说明手机是合法的，否则，手机可能是非法的，阻止手机进行网络相关的业务或关机。手机锁网锁卡相关的网络状态值有锁网，不锁网，无效网络状态三种状态。

手机安全版本号用于控制软件版本的下载，对于不同型号的手机，分配不同的安全版本号区间。

所述手机软件版本控制与版本号校验方法是，利用 PC侧专门软件与数据线连上手机，手机软件下载工具连上手机后选择待下载安全软件版本。开始下载时，下载工具对下载的软件进行数字签名，软件安全版本号数据通过椭圆曲线加密算法进行加密，发送给手机。手机接收到软件安全版本号，与保存在手机中的安全版本号进行比较；如果待下载软件安全版本号在合法安全版本号区间，并且下载的新的软件版本通过手机内的安全认证，则手机接受下载，继续下载流程，否则手机应拒绝下载。

以上所述方法中，所需要通过椭圆曲线密码实施安全保护的相关数据有，软件签名的认证码， HPLMN, FLEXFILE (码表文件）， EF— GID1 , 软件版本号， NCK (锁网控制密钥 ) , SPC (运营商加锁控制密钥）， MNC, MCC, 锁网锁卡状态标示，网络 /卡解锁剩余尝试次数，锁卡校脸码，公钥，版本校验码， IMEI号校验码，锁卡校检码等数据。

下面结合软件流程和具体实现进一步详细说明本发明：

本发明实施例方法所述的手机所实施的锁网锁卡软件流程，具体如图 1 所示，包括以下步驟：

步骤 101中，为了完成锁网锁卡软件的数字签名，相关安全数据的加密，需要借助 PC侧软件 2实现手机 1锁网锁卡等安全相关软件的编译，构造与进行椭圆曲线数字签名，及对相关安全信息进行加密处理。然后通过 PC侧提供的手机下载软件 ,将相关软件与安全数据通过数据线下载到手机内存区域中，对于安全相关数据，借助于物理手段，保存到手机内安全存储区域中，如公钥证书，锁网锁卡相关数据，锁网锁卡状态等，防止外部用户进行窃取，窜改等。

步骤 102中，为实现手机 1锁网锁卡数据安全及相关软件合法性与完整性检查，本发明假设运营商或制造商已经建立起一个支持椭圆曲线公钥密码的证书中心 CA网站，也可以利用一个支持椭圆曲线密码的政府或商业公共 CA, 也可以运营商或制造商自己提供一个椭圆曲线安全软件，可以生成制造商或运营商的根证书 CA, 以及手机终端或用户使用椭圆曲线证书或公、私钥的密钥对。通过运营商或制造商的根证书，保证手机终端或用户的证书是合法签名的证书，而不是伪造的。另外在本发明中，根证书的作用除验证软件与数据完整性外，还完成对锁网锁卡相关安全数据的加密与解密功能。

所述步骤 102中，椭圆曲线数字签名证书内部格式由 CCITT X.509规定，可以包含以下几方面内容：证书版本号、数字证书序列号、证书拥有者姓名（可以是手机的 IMEI号）、签名算法、颁发数字证书的单位（可以是运营商或手机制造商）、颁发数字证书的单位（可以是运营商或制造商）签名、公开密钥有效期等。

步骤 103中，用椭圆曲线公钥加密相关锁网锁卡安全相关数据有，软件签名认证码， HPLMN,相关配置数据， EF— GID1 ,软件版本号， NCK, SPC, MNC, MCC,锁网锁卡状态标示，网络 /卡解锁剩余尝试次数，锁卡校验码， IMEI号校验码，锁卡认证码等数据。本发明后面给出具体椭圆曲线实现安全数据加密与解密的过程。步骤 104中，对于锁网锁卡安全相关各种源文件，包括 C语言程序或汇编程序，经过编译器（如 ARM处理器系统）编译后生成嵌入式可加载格式 ( ELF )二进制目标文件。这些目标文件与手机终端处理器系统所带的 C/C++ 运行时库文件，经过 ARM连接器处理后，生成 ELF格式的映象文件（ image ), 这种映象文件，会在后续的步骤中，通过 PC侧下载软件下载到手机 ROM Flash内。

步骤 105中，利用手机终端证书对构造的安全软件进行椭圆曲线数字签名，生成签名数据，用于手机开机时安全锁网锁卡软件的合法性认证。

步骤 106中，将安全软件映象文件及签名，相关加密数据下载到手机。步骤 107中，手机内部生成锁网锁卡的解锁码，并保存在手机中。

步骤 108中，手机将锁网锁卡的解锁码和 IMEI号发送给 PC侧软件。步骤 109中， PC侧软件在数据库中保存锁网锁卡的解锁码及手机 IMEI 号，与手机终端椭圆曲线公钥证书与对应私钥，以方便制造商或运营商为手机进行锁网锁卡的解锁之用。

上面步骤 103 所述安全数据加密与解密方法中，本发明给出 ElGamal 算法模拟的椭圆曲线加密与解密方案来实现安全数据的加密保护。

该方法的特点是解密速度快，特别适于手机终端这种内存与处理能力受限的设备，下面结合图 2，详细说明基于橢圆曲线加密与解密过程。

步骤 201 中， PC 侧安全软件从根证书导出椭圆曲线参数集 D={p,a,b,G,n,h}，其中 p为一个大素数，如大于 160bit的素整数，指定了有限域 GF(p); a, b指定椭圆曲线 E; G = (x_G, y_G) E(GF(p))为一个基点；素数 n 为基点 G的阶； h=#E(GF(p))/n为协因子整数； #E(GF(p))表示椭圆曲线点群的阶；同时也得到了密钥对 (d,Q),其中 d是私钥， Q=dG是公钥。

步骤 202中，将要加密的安全数据，如软件版本号，软件数字签名、锁网锁卡密钥等安全数据，如果长度大于 n的话就进行分组，如果加密的安全数据长度不够，则在高字节处填充 0。基于 ECC的密码体制中，在传输一个明文数据 m之前，我们必须把它编码嵌入到曲线 E上的一个点。假设消息 A是一个整数， 0<A<p/256 - 1以及曲线 E是由椭圆曲线参数集 D给出。我们试着填加二位十进制数字到 A上，直到我们得到一个整数 X, 256A < x<p, 其中 f(x) ⁼ x³ _{+ A X}2 _{+ b =} y_Amodp是一个平方剩余 (q._r)。然后，我们解这个二次同余方程 y² == f(_x) modp, 以得到曲线 E上的一个明文消息点 P_A = (XA, y_A)。很明显，只要去掉 x_A坐标中的最后 2位十进制数，我们可以容易地从 P_A中解出 A。

步驟 203 中，将加密的数据转换成椭圆曲线方程上的点的横坐标 x_A, 计算 A = x_A ³ + ax_A + b(modp), Q = p, 利用数论相关定理及图 3给出的平方剩余判断算法，判断大整数 A是否模平方剩余数。如果 A不是模 p的平方剩余数时，则说明不是椭圆曲线上的点，即不满足椭圆曲线方程等式成立。在最低字节内重新选取 x_A并重复这个平方剩余算法进行判断，直到满足为止.在图 3的算法中， Q为椭圆曲线范围 Domain参数 D中的模 p的值， A为模 Q或模 p上的平方剩余时， x_A则为所选的横坐标。图 3中的 J表示 Jacobi符号，则 J为 1是表示 A为模平方剩余，为 -1是表示 A为一个模平方非剩余。基于 J与模 p的值情况可以计算出 y_A。

步骤 203与步骤 204为根据明文安全数据转换成椭圆曲线的点的横坐标后，利用二次同余方程解的计算法，给出对应横坐标 x_A的纵坐标 y_A, 从而完成了把明文的安全数据编码为椭圆曲线上的点。然后基于椭圆曲线上的点完成安全数据的加密与解密。

步骤 205中，如果 p具有 2u+l , u为奇数的形式时，即满足 p≡ 3 (mod 4) 或 ≡7(1110(18)时，椭圆曲线方程的解为 y_A≡ ±A^(p+1)/4)(modp：)。

步骤 206中，当 p具有 4u+l， u为奇数的形式时，即满足 p≡ l(mod4) p≡5(mod 8), 如果 A^((p-^1)/4) ≡ 1 (mod p), 则 y_A ≡ ± A^((p+3)/8) (mod p); 如果 _a((P-I)/4) _{≡ 1 (mod}p), 则 ^_≡ ± ₂«^⁴).八^((?+3)/8)(111₀(1 )。步骤 207, 通过步骤 202到步骤 206的过程及图 3所示的过程，完成了将安全数据编码为椭圆曲线上的点 P_A=(y_A,y_A)。为以后数据加密奠定基础。

步骤 208中是安全数据的加密运算。对安全数据编码为橢圆曲线上的点后，就可能利用根证书私钥 d_R及手机终端证书公钥 Q_R对数据进行加密运算。加密计算过程如下： P_A + d_RQ_R = P_A + d_R(d_AG), 然后将根证书公钥，与加密的点保存到手机内存区域中，即点对 (Q_R, P_A + d_R(d_AG))。步骤 209中，手机在进行锁网锁卡过程中，当需要解密出安全数据时，使用其私钥 d_A完成如下计算：

PA + d_R (d_AG) - d_A (Q_R)=P_A + d_R (d_AG) -d_A(d_RG) = P_A;

对解密出的点 P_A中的横坐标 x_A进行解码处理，即去掉 x_A中的最后二位数字即可，然后将该整数转换成字节串，即可恢复出安全数据来。

本发明给出的基于椭圆曲线数据加、解密方案的优点是解密与解码速度快。编码较复杂，但没有实时性的要求。另外，通过运营商或制造商根证书与手机公钥证书来实施数据的加密与解密，除了可以通过 PC侧软件与手机相连完成手机安全锁网锁卡外，还可以便于通过网上下载来实现手机的锁网锁卡技术。

本发明中所述步骤 105中，利用要证书可以验证手机证书的合法性，利用手机终端证书对构造的安全软件进行椭圆曲线数字签名，生成签名数据，用于手机开机时安全锁网锁卡软件的合法性认证。下面结合图 4的代码签名流程，说明本发明中给出的手机安全软件完整性与合法性检查。

本发明实施例中，图 4所给出的流程假设以 ARM系列嵌入式处理器系统进行代码构造说明。

步骤 601中，对于安全引导程序中各种源文件，包括 C语言程序或汇编程序，经过 ARM编译器编译后生成嵌入式可加载格式（ELF )文件。这些目标文件与 ARM处理器系统所带的 C/C++运行时库文件，经过 ARM连接器处理后，生成 ELF格式的映象文件（image ) , 这种映象文件然后写入到手机 ROM Flash内。

步骤 602中，为实现手机终端软件安全与锁网锁卡技术实现，假设运营商或制造商有一个支持椭圆曲线公钥密码的证书中心（CA ) 网站，也可以利用一个支持橢圆曲线密码的政府或商业公共 CA。用户通过椭圆曲线密码 CA中心，安全申请一个椭圆曲线密码公钥证书，用于手机软件安全与锁网锁卡实现中的根 CA证书，以此证书完成对其它公钥证书签名，保证手机公钥证书的不可伪造性及合法性证明。本发明要利用根 CA证书签名的手机公钥证书，完成手机安全软件的签名，及相关安全数据的签名，以实现安全软件的完整性及合法性等检查，防止第三方恶意代码的入侵。

所述步驟 602中，椭圆曲线数字签名证书内部格式由 CCITTX.509规定，可以包含以下几方面内容：证书版本号、数字证书序列号、证书拥有者姓名、签名算法、颁发数字证书的单位、颁发数字证书的单位的签名、公开秘钥有效期等。

步骤 603中，基于步骤 602中所获得的椭圆曲线根公钥证书，生成椭圆曲线密码参数集0 = (^&,¾»，0, 11,11) , 其中 p为一个大素数，如大于 160bit 的素整数，指定了有限域 GF(p); a,b指定橢圆曲线 E; G = (x_G, y_G) ^ E(GF(p)) 为一个基点；素数 n为基点 G的阶； h=#E(GF(p))/n为协因子整数; #E(GF(p)) 表示椭圆曲线点群的阶；同时也得到了密钥对 (d，Q),其中 d是私钥， Q=dG是公钥；向网守发送哈希函数，椭圆曲线参数 a，b和公钥 Q。

步骤 604是使用安全哈希函数 SHA, 使用哈希函数对所构造的操作系统软件系统或应用系统软件映象文件进行散列运算，生成固定长度的映象文件摘要，如 20字节长。

步驟 605-步骤 610的过程，是针对映象文件摘要数据进行椭圆曲线签名的过程：

步骤 605: 选择一个随机或伪随机数 k, l k n-l;

步驟 606: 计算！^^： ^ )^:^!!!。 !!；

步骤 607，判断 r是否等于 0, 如果 r = 0, 说明所选择的椭圆曲线随机点是一个特殊点，不符合签名安全要求，返回步驟 605进行重新选取；否则，执行下一步；

步骤 608: 计算 s k- ^e + d modn;

步驟 609: 判断 s是否等于 0，如果 s = 0 , 则返回步骤 605, 否则，执行下一步。

步 610：完成对手机安全软件映象文件的签名（r,s),该签名将随映象文件一起放到手机 ROM Flash中。

如图' 5 所示，为根据本发明实施例所述的手机引导过程中，对锁网锁卡安全软件进行合法性检查，其具体步骤为：步骤 701 : 手机引导程序，基于椭圆曲线根 CA证书或手机公钥证书，取出公共椭圆曲线参数集 D={p,a,b，G， n，h}与相关公钥 Q。

步骤 702: 手机引导程序检查验证手机锁网锁卡安全软件文件（操作系统或应用系统软件）的签名（r, s )是否超过椭圆曲线基点群阶的范围，如果是，则表示不合法的签名，引导程序转到步骤 708; 否则，执行下一步。

步骤 703: 生成手机安全软件映象文件的消息摘要 e。

步骤 704: 分别计算 w = s— ¹ mod n; ui = ew mod n; u₂ = rw mod n;及 X = inG +

)的值。

步骤 705: 当 X的横坐标 ^为 0时，说明签名无效，手机引导程序转到步骤 708 , 否则，执行下一步。

步骤 706: 当 X的横坐标 _Xl不等于 r时，则表示不合法的签名。手机引导程序转到步骤 708 , 否则，执行下一步。

步驟 707: 验证了手机安全软件签名的正确性后，说明了该软件映象文件签名没有被窜改，手机引导程序可以完成锁网锁卡状态检查，结束本流程。

步骤 708: 安全认证失败：对于产品研发阶段，则进入到 JTAG普通文件映象文件下载模式；对于产品阶段，手机终端检测到安全不一致性，直接关机，防止手机非法使用。

借助于以上所述方法，可以实现手机开机过程中的软件合法性安全检查及锁网锁卡的判断，包括手机安全软件完整性检测 , IMEI号、软件版本号等安全数据的完整性检查，以及网络服务状态确定后的锁网锁卡状态检测。

锁网锁卡的状态检查过程中，手机判断 USIM卡或 SIM卡型号，借助于 USIM卡或 SIM卡驱动接口函数读出 USIM/SIM卡内的 IMSI号，并从中分析出 HPLMN字段，读出 EF— GID1与运营商相关信息。检查手机锁网状态标识是否有效，如果是要求锁网或锁卡，则把当前手机注册上的 MNC, MCC和手机中加密保存的锁网锁卡相关信息，如 MNC, MCC值，解密出来后进行比较。如果一致，则说明手机是合法的，否则，手机可能是非法的，阻止手机进行网络相关的业务或关机。手机锁网锁卡相关的网络状态值有锁网，不锁网，无效网络状态三种状态。

对于手机锁网锁卡的解锁方案，下面结合图 6说明具体过程。

步骤 301: 用户选择手机锁网 /锁卡的解锁功能。用户可以通过 PC侧软件来实现，也可以在手机提供相关解锁网锁卡界面实现。

步骤 302: 判断解锁失败次数是否超过 5次，这包括以前进行的已保存的安全解锁次数累加比较。因此包括对安全解锁次数数据的解密过程，如前所述的椭圆曲线加密与解密过程。如果解锁失败次数超过 5次，则执行步骤 312, 否则，执行下一步；

步骤 303: 判断手机是否在解锁状态，若是，则执行步骤 304，若否，则执行步骤 305。

步骤 304: 手机已解锁，则相关的解锁密钥，即 NCK与 SPC, 将恢复出明文状态，放在手机 V项中，即非易失内存中。

步骤 305: 手机在锁定状态，则可通过手机或专门的 PC侧软件提供一种提示用户输入解锁码，包括 NCK, 或 SPC。

步骤 306: 手机或 PC侧软件解密出相关的 NCK或 SPC, 与用户输入的相关值进行比较。

步骤 307: 判断手机解密出的 NCK或 SPC与用户输入的解锁码是否相等，若相等，则执行步骤 308，否则执行步骤 309。

步驟 308: 解锁成功，相关的解锁密钥，即 NCK与 SPC, 将恢复出明文状态，放在手机 NV项中。

步骤 309: 失败次数加 1，并且用户退出锁网锁卡应用时，要将与此相关的安全数据进行加密保存。

步骤 310: 判断解锁失败次数是否超过 5次，若超过，则执行步骤 312, 否则，执行下一步；

步骤 311: 提示用户已进行失败的解锁次数，并将返回到步骤 305用户解锁码输入界面，给用户尝试解锁机会。

步骤 312, 按标准要求，手机将处于永远锁状态。最后，要特别说明的是：

(-)对于手机引导来说，无论什么时候手机安全软件代码发生改变或软件版本发生变化，都要重新进行软件签名，以保证软件的完整性、一致性。

(二)本领域技术人员在实施本发明实施例时，为筒化描述本发明思想，对于手机安全软件及安全数据签名认证中，采用的是同一个 CA根证书，可选地也可以通过证书链方式对手机公钥证书进行签名，以验证手机公钥的合法性。其思想是本发明给的代码签名与认证思想相同。

(≡)本发明方法所采用的椭圆曲线密码体制在已知公钥密码系统中具有每比特最高强度安全性，最快的处理速度和最低的开销,特别适用于具有低内存与低处理能力的 3G手机终端实现网络锁网锁卡及其它安全接入。

卿基于本发明思想，也完全可以实现 3GPP TS 22.022其它安全需求，如锁内容提供商应用，锁公司应用及网络子网锁定等安全应用。本发明思想也可以为手机终端提供一个 3G终端可信计算平台，以使手机安全接入 3G 网络。

尽管本发明结合特定实施例进行了描述，但是对于本领域的技术人员来说，可以在不背离本发明的精神或范围的情况下进行修改和变化。这样的修改和变化被视作在本发明的范围和附加的权利要求书范围之内。

工业实用性

本发明实现 3G网络下的手机安全锁网锁卡方法，通过对手机开机引导过程中，对系统软件或手机锁网锁卡相关软件实施椭圆曲线数字签名，保证手机锁网锁卡软件是合法授权的，并且没有经过窜改的。在保证了锁网锁卡软件的安全性后，通过对 USIM/SIM卡内锁网锁卡相关字段或信息的检查，并与手机内的锁网锁卡相关信息进行比较判断，实现手机安全的锁网与锁卡技术。对于锁网锁卡相关的需要高强度安全保护的信息或数据，利用椭圓曲线公钥密码技术实施加密进行保护。通过以上高安全强度的基于椭圆曲线数字签名，加密与解密安全技术手段，保证手机只有在运营商网络范围及所发行的 USIM/SIM卡上安全使用。

Claims

权利要求书

1、一种基于椭圆曲线公钥密码的无线终端安全锁网锁卡方法，其特征在于，包括以下步驟：

- ( 2 )通过险证的软件对所述无线终端的开机信息与预存的锁网锁卡相关安全信息进行比对验证，若验证通过，则提供网絡相关业务；否则，拒绝提供网络相关业务或关机。

2、如权利要求 1所述锁网锁卡方法，其特征在于，所迷锁网锁卡相关安全信息包括软件签名的认证码 , 归属公用陆地移动通信网 HPLMN, 码表文件 FLEXFILE, 锁运营商卡相关信息 EF— GID1 , 软件版本号，锁网控制密钥 NCK, 运营商加锁控制密钥 SPC, 移动网络码 MNC, 移动国家码 MCC, 锁网锁卡状态标示，网络 /卡解锁剩余尝试次数，锁卡校验码，公钥，版本校验码， IMEI号校验码，锁卡校—险码。

3、如权利要求 1所述锁网锁卡方法，其特征在于，所述步骤（ 1 )执行之前 ₅ 执行二

( A )将手机锁网锁卡安全软件生成映象文件;

( B )使用椭圆曲线数字签名证书和所述映象文件摘要进行椭圆曲线签名，生成数字签名；

( C )将映象文件、数字签名存储到所述无线终端的非易失性内存中。

4、如权利要求 3 所述锁网锁卡方法，其特征在于，所述步骤（A ) 包括如下步骤：

( A1 )对手机锁网锁卡安全软件的源文件经过编译器编译后生成嵌入式可加载格式 ELF二进制目标文件；

( A2 ) 所迷目标文件与所述无线终端处理器系统所带的 C/C++运行时库文件，经过连接器处理后，生成 ELF格式的映象文件。

5、如权利要求 4所述锁网锁卡方法，其特征在于，所述步骤（B )包括如下步骤：

( Bl )根据椭圆曲线数字签名证书得到椭圆曲线密码参数集 D = (p, a, b， G, n, h) , 其中 p为一个大素数，用于指定有限域 GF(p); a, b用于指定椭圆曲线 E; G = (x_G, y_G) e E(GF(p))为一个基点；素数 n为基点 G 的阶； h=#E(GF(p))/n为协因子整数； #E(GF(p))表示椭圆曲线点群的阶；同时也得到了密钥对 (d,Q), 其中 d是私钥， Q=dG是公钥；

( B2 )使用哈希函数对所迷映象文件进行散列运算，生成固定长度的映象文件摘要；

6、如权利要求 1 ~ 5中任意一项所述锁网锁卡方法，其特征在于，所述步骤（ 1 )执行之前，还执行：将锁网锁卡相关安全信息基于 ElGamal算法模拟的椭圆曲线进行加密，保存到所述无线终端内安全存储区域中。

7、如权利要求 6所述锁网锁卡方法，其特征在于，所述将锁网锁卡相关安全信息基于 ElGamal算法模拟的椭圆曲线进行加密包括如下步骤：

( a )根据椭圓曲线数字签名证书得到椭圆曲线密码参数集 D = (p, a, b，

G, n, h) , 其中 ρ为一个大素数，用于指定有限域 GF(p); a， b用于指定椭圆曲线 E; G = (x_G, y_G; E(GF(p))为一个基点；素数 n为基点 G的阶； h=#E(GF(p))/n为协因子整数； #E(GF(p))表示椭圓曲线点群的阶；同时也得到了密钥对 (d,Q)，其中 d是私钥， Q=dG是公钥；

( c )利用 ElGamal算法进行数据的加密运算。

8、如权利要求 6所述锁网锁卡方法，其特征在于，所述步骤（2 )还包括通过椭圆曲线数字签名证书公钥与手机内安全存储的椭圆曲线私钥对预存的锁网锁卡相关安全信息进行解密，恢复出明文数据。

9、如权利要求 8所述锁网锁卡方法，其特征在于，所述步骤（2 ) 包括如下步骤：

( 2.2 )若手机锁网状态标识有效，表示要求锁网，则把当前手机注册上的 MNC, MCC和手机内安全区域中锁网锁卡相关安全信息中的 MNC, MCC列表相比较，如果在锁网范围内，则继续运行；否则，拒绝提供网络相关业务或关机。

10、如权利要求 9所述锁网锁卡方法，其特征在于，所述步骤（2.1 ) 执行之前，还执行：手机判断 USIM卡或 SIM卡型号，借助于 USIM卡或 SIM卡驱动接口函数读出 USIM/SIM卡内的国际移动用户识别码 IMSI号 , 并从中分析出 HPLMN字段，读出 EF—GID1, 判断所述 EF— GID1与手机内安全区域中锁网锁卡相关安全信息中的 EF—GID1是否一致，若一致，才执行步骤（2.1 ) 。