WO2012130167A1 - 一种移动终端加密的方法、硬件加密器件及移动终端 - Google Patents

Description

一种移动终端加密的方法、 硬件加密器件及移动终端 本申请要求于 2011年 3月 31 日提交中国专利局、 申请号为 CN 201110080745. X、 发明名称为 "一种移动终端加密的方法、 硬件加密器件及移动终端"的中国专利申请的 优先权， 其全部内容通过引用结合在本申请中。 技术领域 本发明属于移动通信技术领域， 特别涉及一种移动终端加密的方法、 硬件加密器件 及移动终端。 背景技术 目前， 大多数加密方法只对移动终端存储的数据或文件进行保护， 无法保护移动终 端的锁网信息等关键数据， 这样在移动终端产品销售到不同市场上后， 很容易出现单板 软件或数据被黑客获取或篡改的问题。 发明内容

本发明提供一种移动终端加密的方法、 硬件加密器件及移动终端， 能够防止黑客轻 易获取或篡改移动终端中的关键数据。

本发明实例采用如下技术方案：

一种移动终端加密的方法， 包括：

在硬件加密器件中存储鉴权数据和加密数据；

根据所述鉴权数据所述硬件加密器件与所述移动终端的主控芯片进行鉴权； 若鉴权成功， 则所述硬件加密器件允许所述主控芯片加载所述加密数据； 若鉴权失 败， 则所述硬件加密器件禁止所述主控芯片加载所述加密数据。

一种硬件加密器件， 包括：

存储单元， 用于存储鉴权鉴权数据和加密数据；

鉴权单元，用于根据所述存储单元存储的鉴权数据与所述移动终端的主控芯片进行 鉴权；

控制单元，用于鉴权成功时，允许所述主控芯片加载所述存储单元存储的加密数据; 鉴权失败时， 禁止所述主控芯片加载所述存储单元存储的加密数据。 一种移动终端， 包括主控芯片和上述的硬件加密器件； 其中， 所述主控芯片用于与 所述硬件加密器件进行鉴权， 并在鉴权成功后加载存储在所述硬件加密器件中的加密数 据。

由本发明上述实施例的技术方案可知，通过将鉴权数据和加密数据存储在硬件加密 器件中， 在移动终端每次启动时， 硬件加密器件与所述移动终端的主控芯片进行鉴权， 只有鉴权成功， 硬件加密器件才允许所述主控芯片加载所述加密数据， 从而终端制造商 和运营商可以根据不同的需求将移动终端中的关键数据作为加密数据保存在硬件加密 器件中， 利用硬件加密技术对移动终端中的关键数据进行保护， 以达到防止黑客轻易获 取或篡改移动终端中的关键数据的目的。 附图说明 为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的 附图作一简单地介绍。

图 1为本发明实施例提供的移动终端加密的方法的流程示意图；

图 2为本发明实施例提供的一种鉴权方式的示意图；

图 3为本发明实施例提供的另一种鉴权方式的示意图；

图 4为本发明实施例提供的一种硬件加密器件的功能单元示意图；

图 5为本发明实施例提供的一种移动终端的组成示意图。 具体实施方式 为便于理解， 下面将结合本发明实施例中的附图， 对本发明实施例中的技术方案 进行清楚、 完整地描述， 显然， 所描述的实施例仅仅是本发明一部分实施例， 而不是全 部的实施例。 基于本发明中的实施例， 本领域普通技术人员在没有做出创造性劳动前提 下所获得的所有其他实施例， 都属于本发明保护的范围。

如图 1所示， 本发明实施例提供的一种移动终端加密的方法， 包括：

步骤 11， 硬件加密器件根据存储的鉴权数据与移动终端的主控芯片进行鉴权， 在 所述硬件加密器件中存储有加密数据和所述鉴权数据；

步骤 12，若鉴权成功，则所述硬件加密器件允许所述主控芯片加载所述加密数据； 步骤 13，若鉴权失败，则所述硬件加密器件禁止所述主控芯片加载所述加密数据。 由此可知， 通过本发明实施例提供的移动终端加密的方法， 终端制造商和运营商 可以根据不同的需求将移动终端中的关键数据作为加密数据保存在硬件加密器件中，利 用硬件加密技术对移动终端中的关键数据进行保护， 以达到防止黑客轻易获取或篡改移 动终端中的关键数据的目的。

需要指出的是， 存储在硬件加密器件当中的加密数据可以根据不同加密需求来确 定， 可以包括却不限于如下信息：

( 1 )实现所述移动终端正常启动的重要程序代码； 在移动终端的单板软件被篡改 时， 利用存储在硬件加密器件中的鉴权数据， 将无法通过硬件加密器件与移动终端的主 控芯片之间的鉴权，从而硬件加密器件通过禁止所述主控芯片加载所存储的这些重要程 序代码， 使得移动终端无法正常启动。

( 2) 实现所述移动终端正常工作的关键数据， 比如控制移动终端频段配置的 NV 项或射频控制管脚配置信息； 在硬件加密器件与移动终端的主控芯片之间的鉴权失败 时， 主控芯片由于无法加载到这些实现移动终端正常工作的关键数据， 从而导致移动终 端无法实现特定功能。

( 3)实现对所述移动终端的 SIM卡锁卡功能的运营商锁网号段信息； 在硬件加密 器件与所述移动终端的主控芯片之间鉴权成功时， 由所述主控芯片根据获取到的运营商 锁网号段信息判断 SIM卡是否属于特定运营商号段，从而实现对移动终端的 SIM卡锁卡 功能。

为实现硬件加密器件与所述移动终端的主控芯片之间的鉴权， 除可以利用现有公 知的硬件加密技术外， 比如公钥私钥密钥对技术。 本发明的一种实施例， 将移动终端的 单板软件摘要信息存储在所述硬件加密器件中， 鉴权时， 如图 2所示的一种鉴权方式的 示意图， 包括：

步骤 21， 移动终端的主控芯片计算出所述移动终端的单板软件摘要信息； 步骤 22， 硬件加密器件将存储的单板软件摘要信息与所述主控芯片计算出的所述 移动终端的单板软件摘要信息进行比对；

步骤 23， 判断是否比对正确？

步骤 24， 如果比对正确则鉴权成功；

步骤 25， 如果比对错误则鉴权失败。

上述鉴权方案在移动终端的单板软件中的代码被篡改时， 由于将出现摘要信息的 比对错误， 从而导致鉴权失败， 致使硬件加密器件将禁止所述主控芯片加载存储在其中 的加密数据， 并最终导致移动终端无法正常工作， 从而达到了防止黑客轻易获取移动终 端中的关键数据的目的。

需要说明的是， 硬件加密器件与移动终端的主控芯片之间的鉴权， 可以在主控芯 片每次启动时， 还可以在主控芯片需要使用某一功能时， 比如在移动终端每次连接网络 时进行鉴权。 另外鉴权进行的次数可以是一次也可以是多次。

为进一步提高安全加密的级别和防破解的难度， 本发明的一种实施例， 对硬件加 密器件内的所述加密数据设置加密级别， 鉴权时， 如图 3所示的另一种鉴权方式的示意 图， 包括：

步骤 31， 硬件加密器件与所述移动终端的主控芯片之间进行逐级鉴权； 步骤 32， 判断相应级别的鉴权是否成功？

步骤 33， 在每一级鉴权成功后， 硬件加密器件仅允许主控芯片加载相应级别的加 密数据， 直至所有级别的鉴权通过， 才允许主控芯片加载所有的加密数据， 实现移动终 端正常启动或正常工作；

步骤 34， 在任何一级的鉴权失败时， 主控芯片都将重启， 并继续进行硬件加密器 件与主控芯片的鉴权环节， 直到失败到指定次数后进入异常处理环节。

为进一步提高安全加密的级别和防破解的难度， 本发明的另一种实施例， 利用软 件加密技术， 对硬件加密器件中存储的加密数据进行软件加密， 这样即使黑客破解到硬 件加密器件中存储的加密数据， 由于还需要主控芯片对这些经过软件加密的加密数据进 一步的解密才可以使用， 从而达到防止黑客轻易获取移动终端中的关键数据的目的。

如图 4所示， 本发明实施例提供的一种硬件加密器件， 包括：

存储单元 41， 用于存储鉴权鉴权数据和加密数据；

鉴权单元 42，用于根据所述存储单元 41存储的鉴权数据与所述移动终端的主控芯 片进行鉴权；

控制单元 43，用于鉴权成功时，允许所述主控芯片加载所述存储单元 41存储的加 密数据； 鉴权失败时， 禁止所述主控芯片加载所述存储单元 41存储的加密数据。

其中， 所述存储单元 41存储的加密数据， 包括但不限于如下一种或多种： 实现所 述移动终端正常启动的重要程序代码； 和 /或实现所述移动终端正常工作的关键数据； 和 /或实现对所述移动终端的 SIM卡锁卡功能的运营商锁网号段信息。

比如， 加密数据可以是控制移动终端频段配置的 NV项或射频控制管脚配置信息； 在硬件加密器件与移动终端的主控芯片之间的鉴权失败时，主控芯片由于无法加载到这 些实现移动终端正常工作的关键数据， 从而导致移动终端无法实现特定功能。 再比如， 加密数据可以是运营商锁网号段信息； 在硬件加密器件与所述移动终端 的主控芯片之间鉴权成功时， 由所述主控芯片将根据获取到的运营商锁网号段信息判断 SIM卡是否属于特定运营商号段， 从而实现对移动终端的 SIM卡锁卡功能。

为实现硬件加密器件与所述移动终端的主控芯片之间的鉴权， 一种实施例， 所述 存储单元 41存储的鉴权数据包括： 移动终端的单板软件摘要信息； 此时， 所述鉴权单 元 42， 具体用于将所述存储单元 41存储的所述单板软件摘要信息与所述移动终端的主 控芯片计算出所述移动终端的单板软件摘要信息进行比对；如果比对正确，则鉴权成功， 如果比对错误， 则鉴权失败。 这样在移动终端的单板软件中的代码被篡改时， 由于将出 现摘要信息的比对错误， 从而导致鉴权失败， 致使控制单元 43将禁止所述主控芯片加 载存储在其中的加密数据， 并最终导致移动终端无法正常工作。

为进一步提高安全加密的级别和防破解的难度， 一种实施例， 所述存储单元存储 的加密数据设置有加密级别； 此时所述控制单元 43， 具体用于在每一级鉴权成功后， 允 许所述主控芯片加载相应级别的所述加密数据， 直至所有级别的鉴权成功， 才允许所述 主控芯片加载全部的所述加密数据。

为进一步提高安全加密的级别和防破解的难度， 另一种实施例， 还可以对存储单 元 41存储的加密需要的加密数据进行软件加密， 这样即使黑客破解到硬件加密器件中 存储的加密数据， 由于还需要主控芯片对这些经过软件加密的加密数据进一步的解密才 可以使用， 从而达到防止黑客轻易获取移动终端中的关键数据的目的。

本发明上述实施例的硬件加密器件， 通过存储单元 41存储鉴权数据和加密数据， 鉴权单元 42与所述移动终端的主控芯片进行鉴权， 只有鉴权成功， 控制单元 43才允许 所述主控芯片加载所述加密数据，从而终端制造商和运营商可以根据不同的需求将移动 终端中的关键数据作为加密数据保存在硬件加密器件中，利用硬件加密技术对移动终端 中的关键数据进行保护， 以达到防止黑客轻易获取或篡改移动终端中的关键数据的目 的。

如图 5所示， 本发明实施例提供的一种移动终端， 包括： 主控芯片和上述的硬件 加密器件； 其中， 所述主控芯片用于与所述硬件加密器件进行鉴权， 并在鉴权成功后加 载存储在所述硬件加密器件中的加密数据。 在此不再展开赘述。

本发明实施例提供的移动终端加密的方法、 硬件加密器件及移动终端可用于移动 终端加密技术和锁网技术。

以上所述， 仅为本发明的具体实施方式， 但本发明的保护范围并不局限于此， 任 何熟悉本技术领域的技术人员在本发明揭露的技术范围内， 可轻易想到变化或替换， 都 应涵盖在本发明的保护范围之内。 因此， 本发明的保护范围应该以权利要求的保护范围 为准。

Claims

权利要求

1、 一种移动终端加密的方法， 其特征在于， 包括：

硬件加密器件根据存储的鉴权数据与所述移动终端的主控芯片进行鉴权，在所述硬 件加密器件中存储有加密数据和所述鉴权数据；

若鉴权成功， 则所述硬件加密器件允许所述主控芯片加载所述加密数据； 若鉴权失 败， 则所述硬件加密器件禁止所述主控芯片加载所述加密数据。

2、 根据权利要求 1所述的方法， 其特征在于， 所述加密数据包括但不限于如下一 种或多种：

实现所述移动终端正常启动的重要程序代码；

实现所述移动终端正常工作的关键数据；

实现对所述移动终端的 SIM卡锁卡功能的运营商锁网号段信息。

3、 根据权利要求 1所述的方法， 其特征在于， 所述鉴权数据包括所述移动终端的 单板软件摘要信息；

所述硬件加密器件根据存储的鉴权数据与所述移动终端的主控芯片进行鉴权包括： 所述硬件加密器件将存储的所述单板软件摘要信息与所述主控芯片计算出的所述 移动终端的单板软件摘要信息进行比对；

如果比对正确， 则所述鉴权成功， 如果比对错误， 则所述鉴权失败。

4、 根据权利要求 1或 2所述的方法， 其特征在于， 所述方法还包括： 对所述加密 数据设置加密级别；

所述鉴权成功， 则所述硬件加密器件允许所述主控芯片加载所述加密数据包括： 在每一级别的鉴权成功后，所述硬件加密器件允许所述主控芯片加载相应级别的所 述加密数据，直至所有级别的鉴权成功，才允许所述主控芯片加载全部的所述加密数据。

5、 根据权利要求 1或 2所述的方法， 其特征在于， 所述方法还包括：

对所述加密数据进行软件加密。

6、 一种硬件加密器件， 其特征在于， 包括：

存储单元， 用于存储鉴权数据和加密数据；

鉴权单元，用于根据所述存储单元存储的鉴权数据与所述移动终端的主控芯片进行 鉴权；

控制单元，用于鉴权成功时，允许所述主控芯片加载所述存储单元存储的加密数据; 鉴权失败时， 禁止所述主控芯片加载所述存储单元存储的加密数据。

7、 根据权利要求 6所述的硬件加密器件， 其特征在于， 所述存储单元存储的加密数据， 包括但不限于如下一种或多种： 实现所述移动终端正常启动的重要程序代码； 和 /或实现所述移动终端正常工作的 关键数据； 和 /或实现对所述移动终端的 SIM卡锁卡功能的运营商锁网号段信息。

8、 根据权利要求 6或 7所述的硬件加密器件， 其特征在于，

所述存储单元存储的鉴权数据包括： 移动终端的单板软件摘要信息；

所述鉴权单元，具体用于将所述存储单元存储的所述单板软件摘要信息与所述移动 终端的主控芯片计算出所述移动终端的单板软件摘要信息进行比对； 如果比对正确， 则 所述鉴权成功， 如果比对错误， 则所述鉴权失败。

9、 根据权利要求 6或 7所述的硬件加密器件， 其特征在于，

所述存储单元存储的加密数据设置有加密级别；

所述控制单元， 具体用于在每一级鉴权成功后， 允许所述主控芯片加载相应级别的 所述加密数据， 直至所有级别的鉴权成功， 才允许所述主控芯片加载全部的所述加密数 据。

10、 根据权利要求 6或 7所述的硬件加密器件， 其特征在于，

所述存储单元存储的加密数据进行过软件加密。

11、 一种移动终端， 其特征在于， 包括主控芯片和权利要求 6-10任一项所述的硬 件加密器件； 其中， 所述主控芯片用于与所述硬件加密器件进行鉴权， 并在鉴权成功后 加载存储在所述硬件加密器件中的加密数据。