WO2014187363A1 - 无线终端的锁网方法及系统 - Google Patents
无线终端的锁网方法及系统 Download PDFInfo
- Publication number
- WO2014187363A1 WO2014187363A1 PCT/CN2014/078319 CN2014078319W WO2014187363A1 WO 2014187363 A1 WO2014187363 A1 WO 2014187363A1 CN 2014078319 W CN2014078319 W CN 2014078319W WO 2014187363 A1 WO2014187363 A1 WO 2014187363A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- locking
- certificate
- lock
- wireless terminal
- network
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 29
- 238000012545 processing Methods 0.000 claims description 23
- 238000012795 verification Methods 0.000 claims description 8
- 238000004891 communication Methods 0.000 abstract description 7
- 230000003993 interaction Effects 0.000 abstract description 7
- 238000012360 testing method Methods 0.000 description 15
- 238000005516 engineering process Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/40—Security arrangements using identity modules
- H04W12/48—Security arrangements using identity modules using secure binding, e.g. securely binding identity modules to devices, services or applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
Abstract
本发明公开了一种无线终端的锁网方法,包括:前端锁网模块向无线终端发送加锁证书生成请求,无线终端根据所述加锁证书生成请求生成加锁证书;后端锁网模块对加锁证书进行签名,生成已签名的加锁证书;前端锁网模块与无线终端进行通信交互,将所述已签名的加锁证书发送至无线终端,用于所述无线终端执行加锁操作。
Description
无线终端的锁网方法及系统 技术领域
本发明涉及无线终端的锁网技术领域, 尤其涉及一种无线终端的锁网 方法及系统。 背景技术
随着移动通讯技术的发展, 运营商之间的竟争日益激烈。 大部分运营 商为了吸引客户, 通常都以低价或免费方式给用户提供无线终端, 同时通 过锁网技术来限制该无线终端只能使用自身提供的网络服务, 从而实现盈 利。
通常无线终端的加锁过程都需要使用加密狗, 该加密狗存储了私钥, 用于对锁网数据进行加密, 而公钥是保存在无线终端中。 无线终端的锁网 操作基本上都是在生产线上完成的, 但是外场测试通常也需要进行锁网功 能测试。 由于测试锁网功能必须要有加密狗才能测试, 因此外场测试人员 必须携带加密狗或邮寄加密狗给前方。 这不仅会增加锁网成本, 而且可能 由于前方保管不善导致加密狗丟失, 将会无线终端的锁网安全带来极大风 险。 发明内容
本发明实施例的主要目的是提供一种无线终端的锁网方法及其锁网系 统, 旨在实现降低成本的同时, 还可实现降低外场测试、 运营商和售后代 理等锁网操作带来的安全风险。
有鉴于此, 本发明实施例提供一种无线终端的锁网方法, 所述方法包 括:
前端锁网模块向无线终端发送加锁证书生成请求, 无线终端根据所述 加锁证书生成请求生成加锁证书;
后端锁网模块对加锁证书进行签名, 生成已签名的加锁证书; 前端锁网模块与无线终端进行通信交互, 将所述已签名的加锁证书发 送至无线终端, 用于所述无线终端执行加锁操作。
优选地, 所述无线终端根据所述加锁证书生成请求生成加锁证书, 包 括:
无线终端从本地读取能够唯一标识无线终端的硬件特征信息, 使用本 地保存的加锁公钥对硬件特征信息进行加密生成加锁证书, 并将所述加锁 证书返回给前端锁网模块。
优选地, 所述后端锁网模块对加锁证书进行签名, 生成已签名的加锁 证书, 包括:
使用加密狗私钥对加锁证书进行解密, 解密出无线终端硬件的特征信 息;
使用加密狗私钥对无线终端硬件特征信息的明文进行加密, 生成已签 名的加锁证书。
优选地, 所述后端锁网模块对加锁证书进行签名, 生成已签名的加锁 证书, 还包括:
将锁网数据使用加密狗私钥进行加密, 然后将密文插入到已签名的加 锁证书中。
优选地, 所述前端锁网模块与无线终端进行通信交互, 将所述已签名 的加锁证书发送至无线终端, 用于所述无线终端执行加锁操作, 包括: 无线终端根据接收到的前端锁网模块发送的使用加锁证书加锁的请 求, 向前端锁网模块请求下发已签名的加锁证书;
无线终端接收到已签名的加锁证书后, 检查其中是否包含有锁网数据,
如果包含有锁网数据, 则对锁网数据进行校验, 并在校验通过之后执行加 锁操作;
如果不包含锁网数据, 则向前端锁网模块返回允许加锁操作的响应消 息;
前端锁网模块根据锁网单元反馈的允许加锁操作的响应消息将加锁数 据发送至无线终端, 用于所述无线终端执行加锁操作。
优选地, 在执行所述无线终端检查已签名的加锁证书中是否包含有锁 网数据之前, 所述方法还包括:
无线终端使用本地保存的加锁公钥对已签名的加锁证书进行解密, 将 所述硬件特征信息解密成明文;
判断已签名的加锁证书中的硬件特征信息与本地硬件特征信息是否一 致, 如果是, 则检查已签名的加锁证书中是否包含有锁网数据, 否则返回 拒绝进行加锁操作响应, 结束加锁流程。
本发明实施例还提供一种无线终端的锁网系统, 其包括前端锁网模块、 后端锁网模块以及终端执行单元, 其中, 所述终端执行单元在硬件具体实 现时可以为无线终端;
所述前端锁网模块, 配置为向终端执行单元发送加锁证书生成请求; 所述后端锁网模块, 配置为对加锁证书进行签名, 生成已签名的加锁 证书;
所述前端锁网模块, 还配置为与终端执行单元进行通信交互, 将所述 已签名的加锁证书发送至终端执行单元, 用于终端执行单元执行加锁操作; 所述终端执行单元包括:
加锁证书处理单元, 配置为根据所述加锁证书生成请求生成加锁证书; 锁网单元, 配置为与前端锁网模块进行通信交互, 根据所述已签名的 加锁证书执行加锁操作。
优选地, 所述加锁证书处理单元, 配置为从本地读取能够唯一标识所 述终端执行单元的硬件特征信息, 使用本地保存的加锁公钥对硬件特征信 息进行加密生成加锁证书, 并将所述加锁证书返回给前端锁网模块。
优选地, 所述后端锁网模块, 配置为使用加密狗私钥对加锁证书进行 解密, 解密出所述终端执行单元的硬件特征信息; 使用加密狗私钥对终端 执行单元硬件特征信息的明文进行加密, 生成已签名的加锁证书。
优选地, 所述后端锁网模块, 还配置为将锁网数据使用加密狗私钥进 行加密, 然后将密文插入到已签名的加锁证书中。
优选地, 所述锁网单元, 配置为接收前端锁网模块发送的使用加锁证 书加锁的请求, 并向前端锁网模块请求下发已签名的加锁证书; 接收到已 签名的加锁证书后, 检查其中是否包含有锁网数据, 如果包含有锁网数据, 则对锁网数据进行校验, 并在校验通过之后执行加锁操作; 如果不包含锁 网数据, 则向前端锁网模块返回允许加锁操作的响应消息;
前端锁网模块, 还配置为根据锁网单元反馈的允许加锁操作的响应消 息将加锁数据发送至所述终端执行单元, 用于所述终端执行单元执行加锁 操作。
优选地, 所述锁网单元, 还配置为用本地保存的加锁公钥对已签名的 加锁证书进行解密, 将硬件特征信息解密成明文; 判断已签名的加锁证书 中的硬件特征信息与本地硬件特征信息是否一致, 如果是, 则检查已签名 的加锁证书中是否包含有锁网数据, 否则返回拒绝进行加锁操作响应, 结 束加锁流程。
所述前端锁网模块、 所述后端锁网模块、 加锁证书处理单元、 锁网单 元在执行处理时, 釆用中央处理器(CPU, Central Processing Unit ), 数字 信号处理器(DSP, Digital Singnal Processor )或可编程逻辑阵列 (FPGA, Field - Programmable Gate Array ) 实现。
与现有技术相比, 本发明实施例将锁网操作分为前端和后端两部分, 前端锁网模块用于加锁证书生成和加锁操作, 后端锁网模块用于对加锁证 书进行数字签名。 对于外场测试, 前方测试人员先使用前端锁网模块和要 锁网的无线终端生成加锁证书, 然后再将生成的加锁证书发给后方 (公司 或家里), 后方人员再使用后端锁网模块和加密狗对加锁证书进行签名, 然 后将已签名的加锁证书发给前方测试人员, 前方测试人员再使用前端锁网 模块再将已签名的加锁证书发送给无线终端进行加锁。 由于使用此方案后 不在需要给前方发加密狗了, 因此该方案不仅可以降低成本, 还可大大降 低外场测试给锁网带来的安全风险。 附图说明
图 1是本发明一较佳实施例中无线终端的锁网方法的流程图;
图 2是本发明一较佳实施例中后端锁网模块生成已签名的加锁证书的 步骤流程图;
图 3是本发明一较佳实施例中无线终端执行锁网操作的步骤流程图; 图 4是本发明一较佳实施例中无线终端的锁网系统的结构示意图。 具体实施方式
以下结合说明书附图及具体实施例进一步说明本发明的技术方案。 应 当理解, 此处所描述的具体实施例仅仅用以解释本发明, 并不用于限定本 发明。
参照图 1, 本发明实施例提出一种无线终端的锁网方法, 该锁网方法包 括以下步骤:
步骤 S10, 前端锁网模块向无线终端发送加锁证书生成请求, 无线终端 根据所述加锁证书生成请求生成加锁证书;
步骤 S20,后端锁网模块对加锁证书进行签名,生成已签名的加锁证书;
本发明实施例中, 无线终端生成加锁证书后, 用户可通过邮件或者拷贝等 方式将加锁证书传送至后端锁网模块所在的数据处理终端。 后端锁网模块 生成已签名的加锁证书后, 用户再通过邮件或者拷贝等方式将已签名的加 锁证书传送给前端锁网模块所在的数据处理终端, 再由该数据处理终端传 送至无线终端。
步骤 S30, 前端锁网模块与无线终端进行通信交互, 将所述已签名的加 锁证书发送至无线终端, 以供其执行加锁操作。 本发明实施例中, 前端锁 网模块可根据无线终端发送的请求将已签名的加锁证书发送至无线终端, 并根据无线终端反馈的允许加锁操作的响应消息将加锁数据发送至无线终 端以供其执行加锁。
本发明实施例中, 前端锁网模块可以为加载在个人电脑或其他数据处 理终端中的加锁软件, 该个人电脑可由外场测试人员携带。
本发明实施例中, 后端锁网模块可为加载在电脑或其他数据处理终端 中的加锁软件, 该电脑放置在公司、 测试人员家中或测试人员选择的地点。 如果前端与后端距离较近, 可选择后端锁网模块、 前端锁网模块可以加载 在一台电脑中。
本发明实施例中, 可在无线终端中加载锁网软件, 该锁网软件至少包 括力口锁证书处理单元和锁网单元。 加锁证书单元负责加锁证书生成和证书 合法性验证, 锁网单元负责加锁和解锁操作。 应当说明的是, 本发明实施 例中, 无线终端中的锁网软件与后端锁网模块、 前端锁网模块可以属于一 种软件也可以为分别独立的软件。
本发明实施例将锁网操作分为前端和后端两部分, 前端锁网模块配置 为加锁证书生成和加锁操作, 后端锁网模块配置为对加锁证书进行数字签 名。 对于外场测试, 前方测试人员先使用前端锁网模块和要锁网的无线终 端生成加锁证书, 然后再将生成的加锁证书发给后方(公司或家里), 由后
端加锁模块对加锁证书进行签名, 然后将已签名的加锁证书发给前端锁网 模块所在的数据处理终端, 前端锁网模块再将已签名的加锁证书发送给无 线终端进行加锁。 由于使用此方案后不在需要给前方发加密狗了, 因此该 方案不仅可以降低成本, 还可大大降低外场测试给锁网带来的安全风险。
参照图 2, 本发明一较佳实施例中, 前述步骤 S20包括:
步骤 S21, 使用加密狗私钥对加锁证书进行解密, 解密出无线终端硬件 的特征信息;
步骤 S22, 使用加密狗私钥对无线终端硬件特征信息的明文进行加密, 生成已签名的加锁证书。
本发明实施例中, 加密狗设置在后端锁网模块, 从而使得对加锁证书 的签名在公司或测试人员所指定的地点完成, 而不需外场测试人员携带加 密狗或邮寄加密狗给前方, 降低了锁网成本, 避免了可能由于前方保管不 善导致加密狗丟失所导致的风险。
进一步的, 本发明一较佳实施例中, 上述步骤 S30还可包括:
将锁网数据使用加密狗私钥进行加密, 然后将密文插入到已签名的加 锁证书中。 本发明实施例通过与后端锁网模块通信的加密狗对锁网数据进 行加密, 进一步保证了锁网数据的安全性能, 提升了外场测试的安全级别。
参照图 3, 在一较佳实施例中, 前述步骤 S30中可包括:
步骤 S31, 无线终端根据接收到的前端锁网模块发送的使用加锁证书加 锁的请求, 向前端锁网模块请求下发已签名的加锁证书;
步骤 S32, 无线终端锁网单元使用本地保存的加锁公钥对已签名加锁证 书进行解密, 将硬件特征信息解密成明文;
步骤 S33, 判断已签名的加锁证书中的硬件特征信息与本地硬件特征信 息是否一致, 如果是, 则执行步骤 S34, 否则执行步骤 S35, 返回拒绝进行 加锁操作响应, 结束加锁流程。
步骤 S34, 无线终端接收到已签名的加锁证书后, 检查其中是否包含有 锁网数据, 如果不包含锁网数据, 则执行步骤 36; 否则执行步骤 37, 对锁 网数据进行校验, 并在校验通过之后执行加锁操作;
步骤 S36, 向前端锁网模块返回允许加锁操作的响应消息;
步骤 S38, 前端锁网模块根据锁网单元反馈的允许加锁操作的响应消息 将加锁数据发送至无线终端以供加锁。
本发明实施例中, 在后端锁网模块完成加锁证书发签名后, 前端锁网 模块给无线终端发送使用加锁证书加锁的请求, 无线终端收到该请求后, 向前端锁网模块请求加锁证书, 前端锁网模块将已签名的加锁证书下发给 无线终端以供无线终端解密。 无线终端可使用本地保存的加锁公钥对已签 名的加锁证书进行解密, 将硬件特征信息解密成明文, 并就将该硬件特征 信息与本地存储的硬件特征信息比较, 如果一致, 则向前端锁网模块返回 允许加锁操作的响应消息, 前端锁网模块根据该响应消息将加锁数据发送 至无线终端, 无线终端执行加锁操作。
本发明实施例还提供一种无线终端的锁网系统, 该锁网系统可实施上 述方法, 解决现有技术所存在的技术问题并达成前述方法所提及的所有有 益效果。 参照图 4, 本发明一较佳实施例中, 该锁网系统包括前端锁网模块 10、 后端锁网模块 20以及无线终端 30, 其中,
前端锁网模块 10配置为向无线终端 30发送加锁证书生成请求; 后端锁网模块 20配置为对加锁证书进行签名, 生成已签名的加锁证书; 前端锁网模块 10还配置为与无线终端 30进行通信交互, 将所述已签名 的加锁证书发送至无线终端 30, 以供其执行加锁操作;
无线终端 30包括:
加锁证书处理单元 31, 配置为根据所述加锁证书生成请求生成加锁证 书;
锁网单元 32, 配置为与前端锁网模块进行通信交互, 根据所述已签名 的加锁证书执行加锁操作。
本发明实施例中, 前端锁网模块 10可以为加载在个人电脑或其他数据 处理终端中的加锁软件, 该个人电脑可由外场测试人员携带。 在进行外场 测试时, 由该加锁软件向无线终端 30发送加锁证书生成请求。
本发明实施例中, 可在无线终端 30中加载锁网软件, 该锁网软件至少 包括加锁证书处理单元 31和锁网单元 32。 加锁证书单元 31负责加锁证书生 成和证书合法性验证, 锁网单元 32负责加锁和解锁操作。 在收到前端锁网 模块 10发送的加锁证书生成请求, 加锁证书单元 31从无线终端 30本地读取 能够唯一标识无线终端的硬件特征信息(例如硬件 ID或 IMEI号等), 然后使 用加密公钥对其进行加密生成加锁证书。 应当说明的是, 本发明实施例中, 无线终端 30中的锁网软件与后端锁网模块 20、 前端锁网模块 10可以属于一 种软件也可以为分别独立但可相互兼容匹配的软件。
本发明实施例中, 后端锁网模块 20可为加载在电脑或其他数据处理终 端中的加锁软件, 该电脑放置在公司、 测试人员家中或测试人员选择的地 点。 本发明实施例中, 无线终端 30生成加锁证书后, 前端锁网模块 10可将 加锁证书保存为一文件形式, 用户可通过加载有前端锁网模块 10的数据处 理终端将加锁证书通过邮件或者拷贝等方式传送至后端锁网模块 20。 后端 锁网模块 20生成已签名的加锁证书后, 用户再通过邮件或者拷贝等方式将 已签名的加锁证书传送给前端锁网模块 10所在的数据处理终端, 再由该数 据处理终端传送至无线终端 30。
本发明实施例, 由后端加锁模块 20对加锁证书进行签名, 然后由用户 用户再通过邮件或者拷贝等方式将已签名的加锁证书传送给前端锁网模块 10所在的数据处理终端, 前端锁网模块 10再将已签名的加锁证书发送给无 线终端 30进行加锁。 由于使用此方案后不在需要给前方发加密狗了, 因此
该方案不仅可以降低成本, 还可大大降低外场测试给锁网带来的安全风险。 本发明一较佳实施例中, 后端锁网模块 20配置为:
使用加密狗私钥对加锁证书进行解密, 解密出无线终端硬件的特征信 息;
使用加密狗私钥对无线终端硬件特征信息的明文进行加密, 生成已签 名的加锁证书。
进一步的, 后端锁网模块 20还配置为将锁网数据使用加密狗私钥进行 加密, 然后将密文插入到已签名的加锁证书中。 本发明实施例通过与后端 锁网模块通信的加密狗对锁网数据进行加密, 进一步保证了锁网数据的安 全性能, 提升了外场测试的安全级别。
进一步的, 锁网单元 32配置为:
接收前端锁网模块 10发送的使用加锁证书加锁的请求, 并向前端锁网 模块 10请求下发已签名的加锁证书;
接收到已签名的加锁证书后, 检查其中是否包含有锁网数据, 如果包 含有锁网数据, 则对锁网数据进行校验, 并在校验通过之后执行加锁操作; 如果不包含锁网数据, 则向前端锁网模块返回允许加锁操作的响应消 息;
前端锁网模块 10还配置为根据锁网单元 32反馈的允许加锁操作的响应 消息将加锁数据发送至无线终端 30以供加锁。
前端锁网模块 10还配置为给无线终端 30发送使用加锁证书加锁的请 无线终端解密, 并根据无线终端 30反馈的允许加锁操作的响应消息将加锁 数据发送至无线终端 30。 例如, 本发明实施例中, 后端锁网模块 20将加锁 证书签名后, 前端锁网模块 10给无线终端 30发送使用加锁证书加锁的请求, 无线终端 30收到该请求后, 向前端锁网模块 10请求加锁证书, 前端锁网模
端 30可使用本地保存的加锁公钥对已签名的加锁证书进行解密, 将硬件特 征信息解密成明文, 并就将该硬件特征信息与本地存储的硬件特征信息比 较, 如果一致, 则向前端锁网模块 10返回允许加锁操作的响应消息, 前端 锁网模块 10根据该响应消息将加锁数据发送至无线终端 30, 无线终端 30执 行加锁操作。
本发明实施例中, 锁网单元 32还可配置为:
用本地保存的加锁公钥对已签名的加锁证书进行解密, 将硬件特征信 息解密成明文;
判断已签名的加锁证书中的硬件特征信息与本地硬件特征信息是否一 致, 如果是, 则执行检查已签名的加锁证书中是否包含有锁网数据的步骤, 否则返回拒绝进行加锁操作响应, 结束加锁流程。
本发明一较佳实施例中, 无线终端的锁网系统工作流程包括以下步骤: 首先, 前端锁网模块 10向无线终端 30发送加锁证书生成请求; 然后, 无线终端 30读取硬件特征信息, 使用本地保存的加锁公钥对硬 件特征信息进行加密生成加锁证书;
无线终端 30将生成的加锁证书返回给前端锁网模块 10;
前端锁网模块 10将加锁证书发送给后端锁网模块 20;
后端锁网模块 20使用加密狗私钥对加锁证书进行解密, 解密出无线终 端 30的硬件特征信息;
后端锁网模块 20使用加密狗私钥对无线终端的硬件特征信息明文进行 加密, 生成已签名的加锁证书并发送给前端锁网模块 10;
前端锁网模块 10给无线终端 30发送使用加锁证书加锁请求;
无线终端 30的加锁证书单元 31向前端锁网模块 10请求加锁证书; 前端锁网模块 10将已签名的加锁证书下发给无线终端 30;
无线终端 30使用本地保存的加锁公钥对加锁证书进行解密, 将硬件特 征信息解密成明文;
无线终端 30验证从证书中解密出来的硬件特征信息是否与无线终端自 己的硬件特征信息一致, 如果否, 则返回拒绝进行加锁操作的响应消息给 前端锁网模块 10, 结束加锁流程; 如果是, 则检查已签名的加锁证书中是 否包含有锁网数据, 如果不包含锁网数据, 则返回允许加锁操作的响应消 息给前端锁网模块 10; 如果包含锁网数据, 则前端锁网模块 10将锁网数据 发送给无线终端 30; 无线终端 30对锁网数据进行校验, 校验通过之后执行 加锁操作;
无线终端 30向前端锁网模块 10返回解锁码和加锁成功指示。
以上所述, 仅为本发明的较佳实施例而已, 并非用于限定本发明的保 护范围。 工业实用性 与现有技术相比, 本发明实施例将锁网操作分为前端和后端两部分, 前端锁网模块用于加锁证书生成和加锁操作, 后端锁网模块用于对加锁证 书进行数字签名。 对于外场测试, 前方测试人员先使用前端锁网模块和要 锁网的无线终端生成加锁证书, 然后再将生成的加锁证书发给后方 (公司 或家里), 后方人员再使用后端锁网模块和加密狗对加锁证书进行签名, 然 后将已签名的加锁证书发给前方测试人员, 前方测试人员再使用前端锁网 模块再将已签名的加锁证书发送给无线终端进行加锁。 由于使用此方案后 不在需要给前方发加密狗了, 因此, 釆用本发明实施例, 不仅可以降低成 本, 还可大大降低外场测试给锁网带来的安全风险。
Claims
1、 一种无线终端的锁网方法, 包括:
前端锁网模块向无线终端发送加锁证书生成请求, 无线终端根据所述 加锁证书生成请求生成加锁证书;
后端锁网模块对所述加锁证书进行签名, 生成已签名的加锁证书; 前端锁网模块与无线终端进行通信交互, 将所述已签名的加锁证书发 送至无线终端, 用于所述无线终端执行加锁操作。
2、 根据权利要求 1所述的无线终端的锁网方法, 其中, 所述无线终端 根据所述加锁证书生成请求生成加锁证书, 包括:
无线终端从本地读取能够唯一标识无线终端的硬件特征信息, 使用本 地保存的加锁公钥对硬件特征信息进行加密生成加锁证书, 并将所述加锁 证书返回给前端锁网模块。
3、 根据权利要求 1或 2所述的无线终端的锁网方法, 其中, 所述后端锁 网模块对加锁证书进行签名, 生成已签名的加锁证书, 包括:
使用加密狗私钥对加锁证书进行解密, 解密出无线终端的所述硬件特 征信息;
使用加密狗私钥对无线终端硬件特征信息的明文进行加密, 生成已签 名的加锁证书。
4、 根据权利要求 3所述的无线终端的锁网方法, 其中, 所述后端锁网 模块对加锁证书进行签名, 生成已签名的加锁证书, 还包括:
将锁网数据使用加密狗私钥进行加密, 然后将密文插入到已签名的加 锁证书中。
5、 根据权利要求 1所述的无线终端的锁网方法, 其中, 所述前端锁网 模块与无线终端进行通信交互, 将所述已签名的加锁证书发送至无线终端, 用于所述无线终端执行加锁操作, 包括:
无线终端根据接收到的前端锁网模块发送的使用加锁证书加锁的请 求, 向前端锁网模块请求下发已签名的加锁证书;
无线终端接收到已签名的加锁证书后, 检查其中是否包含有锁网数据, 如果包含有锁网数据, 则对锁网数据进行校验, 并在校验通过之后执行加 锁操作;
如果不包含锁网数据, 则向前端锁网模块返回允许加锁操作的响应消 息;
前端锁网模块根据锁网单元反馈的允许加锁操作的响应消息将加锁数 据发送至无线终端, 用于所述无线终端执行加锁操作。
6、 根据权利要求 5所述的无线终端的锁网方法, 其中, 在执行所述无 线终端检查已签名的加锁证书中是否包含有锁网数据之前, 所述方法还包 括:
无线终端使用本地保存的加锁公钥对已签名的加锁证书进行解密, 将 所述硬件特征信息解密成明文;
判断已签名的加锁证书中的硬件特征信息与本地硬件特征信息是否一 致, 如果是, 则检查已签名的加锁证书中是否包含有锁网数据, 否则返回 拒绝进行加锁操作响应, 结束加锁流程。
7、 一种无线终端的锁网系统, 包括前端锁网模块、 后端锁网模块以及 终端执行单元, 其中,
所述前端锁网模块, 配置为向终端执行单元发送加锁证书生成请求; 所述后端锁网模块, 配置为对加锁证书进行签名, 生成已签名的加锁 证书;
所述前端锁网模块, 还配置为与终端执行单元进行通信交互, 将所述 已签名的加锁证书发送至终端执行单元, 用于所述终端执行单元执行加锁 操作;
所述终端执行单元包括:
加锁证书处理单元, 配置为根据所述加锁证书生成请求生成加锁证书; 锁网单元, 配置为与前端锁网模块进行通信交互, 根据所述已签名的 加锁证书执行加锁操作。
8、 根据权利要求 6所述的无线终端的锁网系统, 其中, 所述加锁证书 处理单元, 配置为从本地读取能够唯一标识终端执行单元的硬件特征信息, 使用本地保存的加锁公钥对硬件特征信息进行加密生成加锁证书, 并将所 述加锁证书返回给前端锁网模块。
9、 根据权利要求 7或 8所述的无线终端的锁网系统, 其中, 所述后端锁 网模块, 配置为使用加密狗私钥对加锁证书进行解密, 解密出终端执行单 元的所述硬件特征信息; 使用加密狗私钥对终端执行单元硬件特征信息的 明文进行加密, 生成已签名的加锁证书。
10、 根据权利要求 9所述的无线终端的锁网系统, 其中, 所述后端锁网 模块, 还配置为将锁网数据使用加密狗私钥进行加密, 然后将密文插入到 已签名的加锁证书中。
11、根据权利要求 7所述的无线终端的锁网系统, 其中, 所述锁网单元, 配置为接收前端锁网模块发送的使用加锁证书加锁的请求, 并向前端锁网 模块请求下发已签名的加锁证书; 接收到已签名的加锁证书后, 检查其中 是否包含有锁网数据, 如果包含有锁网数据, 则对锁网数据进行校验, 并 在校验通过之后执行加锁操作; 如果不包含锁网数据, 则向前端锁网模块 返回允许加锁操作的响应消息;
所述前端锁网模块, 还配置为根据锁网单元反馈的允许加锁操作的响 应消息将加锁数据发送至终端执行单元, 用于所述终端执行单元执行加锁 操作。
12、 根据权利要求 11所述的无线终端的锁网系统, 其中, 所述锁网单
元, 还配置为用本地保存的加锁公钥对已签名的加锁证书进行解密, 将所 述硬件特征信息解密成明文; 判断已签名的加锁证书中的硬件特征信息与 本地硬件特征信息是否一致, 如果是, 则检查已签名的加锁证书中是否包 含有锁网数据, 否则返回拒绝进行加锁操作响应, 结束加锁流程。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/104,814 US9775043B2 (en) | 2013-12-20 | 2014-05-23 | Network locking method and system for wireless terminal |
| JP2016541507A JP6074125B2 (ja) | 2013-12-20 | 2014-05-23 | 無線端末のネットロック方法及びシステム |
| EP14800946.7A EP3086583B1 (en) | 2013-12-20 | 2014-05-23 | Wireless terminal network locking method and system |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310717670.0A CN104735647A (zh) | 2013-12-20 | 2013-12-20 | 无线终端的锁网方法及系统 |
| CN201310717670.0 | 2013-12-20 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2014187363A1 true WO2014187363A1 (zh) | 2014-11-27 |
Family
ID=51932915
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/CN2014/078319 WO2014187363A1 (zh) | 2013-12-20 | 2014-05-23 | 无线终端的锁网方法及系统 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9775043B2 (zh) |
| EP (1) | EP3086583B1 (zh) |
| JP (1) | JP6074125B2 (zh) |
| CN (1) | CN104735647A (zh) |
| WO (1) | WO2014187363A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104735647A (zh) * | 2013-12-20 | 2015-06-24 | 中兴通讯股份有限公司 | 无线终端的锁网方法及系统 |
| DK3258660T3 (en) * | 2016-06-16 | 2019-01-21 | Riddle & Code Gmbh | PROTECTIVE DEVICE AND DONGLE AND PROCEDURE FOR USING SAME |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1682488A (zh) * | 2002-09-16 | 2005-10-12 | 艾利森电话股份有限公司 | 在电子装置上装载数据 |
| CN101018125A (zh) * | 2007-03-02 | 2007-08-15 | 中兴通讯股份有限公司 | 一种基于椭圆曲线公钥密码的无线终端安全锁网锁卡方法 |
| CN101534482A (zh) * | 2009-03-12 | 2009-09-16 | 中兴通讯股份有限公司 | 一种锁网方法及系统 |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5185705A (en) * | 1988-03-31 | 1993-02-09 | Square D Company | Circuit breaker having serial data communications |
| KR100553920B1 (ko) * | 2003-02-13 | 2006-02-24 | 인터내셔널 비지네스 머신즈 코포레이션 | 컴퓨터 클러스터 운영 방법 |
| US7933583B2 (en) * | 2005-04-27 | 2011-04-26 | Nokia Corporation | Method and apparatus for digital image processing of an image from an image sensor |
| FR2909243B1 (fr) * | 2006-11-23 | 2009-02-06 | Sagem Comm | Procede et systeme de controle du verrouillage / deverrouillage des fonctions d'acces reseau d'un terminal a fonctions multiples. |
| US8064598B2 (en) * | 2007-02-26 | 2011-11-22 | Nokia Corporation | Apparatus, method and computer program product providing enforcement of operator lock |
| JP5186790B2 (ja) * | 2007-04-06 | 2013-04-24 | 日本電気株式会社 | 電子マネー取引方法、及び電子マネーシステム |
| EP2071898A1 (en) * | 2007-12-10 | 2009-06-17 | Telefonaktiebolaget LM Ericsson (publ) | Method for alteration of integrity protected data in a device, computer program product and device implementing the method |
| CN102113358B (zh) * | 2008-12-31 | 2013-06-05 | 中兴通讯股份有限公司 | 实现终端设备锁网的方法、系统及终端设备 |
| US8887310B2 (en) * | 2009-11-19 | 2014-11-11 | Motorola Mobility Llc | Secure consumer programming device |
| CN102098657A (zh) * | 2009-12-11 | 2011-06-15 | 中兴通讯股份有限公司 | 一种实现终端锁网功能的方法及装置 |
| CN101800986A (zh) * | 2010-02-26 | 2010-08-11 | 华为终端有限公司 | 实现终端锁网及解锁的方法、装置 |
| CN201956490U (zh) * | 2010-05-21 | 2011-08-31 | 梁骞 | 一种可双面插接的usb插座与插头 |
| CN102404711B (zh) * | 2010-09-09 | 2015-04-08 | 国民技术股份有限公司 | 移动终端锁网装置及模块间认证方法 |
| CN101984575B (zh) * | 2010-10-14 | 2015-06-03 | 中兴通讯股份有限公司 | 一种保护移动终端软件的方法和装置 |
| CN102075910B (zh) * | 2010-12-20 | 2014-06-11 | 华为终端有限公司 | 对终端进行锁网的方法和装置 |
| CN102131182B (zh) * | 2011-03-14 | 2015-06-03 | 中兴通讯股份有限公司 | 一种移动终端锁网的方法和装置 |
| CN102118737A (zh) * | 2011-03-23 | 2011-07-06 | 中兴通讯股份有限公司 | 一种远程获取锁网信息的方法及终端 |
| CN102158846B (zh) * | 2011-03-30 | 2015-04-01 | 中兴通讯股份有限公司 | 一种移动终端及其锁网的方法 |
| JP5626102B2 (ja) * | 2011-04-28 | 2014-11-19 | 富士通株式会社 | 端末装置、及び端末装置における使用制限解除方法 |
| US8812837B2 (en) * | 2012-06-01 | 2014-08-19 | At&T Intellectual Property I, Lp | Apparatus and methods for activation of communication devices |
| AT513016B1 (de) * | 2012-06-05 | 2014-09-15 | Phactum Softwareentwicklung Gmbh | Verfahren und Vorrichtung zur Steuerung eines Schließmechanismus mit einem mobilen Endgerät |
| CN104735647A (zh) * | 2013-12-20 | 2015-06-24 | 中兴通讯股份有限公司 | 无线终端的锁网方法及系统 |
-
2013
- 2013-12-20 CN CN201310717670.0A patent/CN104735647A/zh not_active Withdrawn
-
2014
- 2014-05-23 JP JP2016541507A patent/JP6074125B2/ja not_active Expired - Fee Related
- 2014-05-23 US US15/104,814 patent/US9775043B2/en not_active Expired - Fee Related
- 2014-05-23 EP EP14800946.7A patent/EP3086583B1/en active Active
- 2014-05-23 WO PCT/CN2014/078319 patent/WO2014187363A1/zh active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1682488A (zh) * | 2002-09-16 | 2005-10-12 | 艾利森电话股份有限公司 | 在电子装置上装载数据 |
| CN101018125A (zh) * | 2007-03-02 | 2007-08-15 | 中兴通讯股份有限公司 | 一种基于椭圆曲线公钥密码的无线终端安全锁网锁卡方法 |
| CN101534482A (zh) * | 2009-03-12 | 2009-09-16 | 中兴通讯股份有限公司 | 一种锁网方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6074125B2 (ja) | 2017-02-01 |
| EP3086583A4 (en) | 2016-12-28 |
| US20160345175A1 (en) | 2016-11-24 |
| JP2017501633A (ja) | 2017-01-12 |
| EP3086583A1 (en) | 2016-10-26 |
| US9775043B2 (en) | 2017-09-26 |
| EP3086583B1 (en) | 2019-11-06 |
| CN104735647A (zh) | 2015-06-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10554420B2 (en) | Wireless connections to a wireless access point | |
| CN109150548B (zh) | 一种数字证书签名、验签方法及系统、数字证书系统 | |
| CN103118027B (zh) | 基于国密算法建立tls通道的方法 | |
| CN107248075B (zh) | 一种实现智能密钥设备双向认证和交易的方法及装置 | |
| EP2095288B1 (en) | Method for the secure storing of program state data in an electronic device | |
| KR20180114182A (ko) | 비밀 공유를 위한 타원 곡선 암호를 사용하는 개인용 장치 보안 | |
| US20090187980A1 (en) | Method of authenticating, authorizing, encrypting and decrypting via mobile service | |
| CN104618120A (zh) | 一种移动终端密钥托管数字签名方法 | |
| WO2012155644A1 (zh) | 账单代付管理方法、装置及系统 | |
| CN106060078B (zh) | 应用于云平台的用户信息加密方法、注册方法及验证方法 | |
| CN103503366A (zh) | 管理针对认证设备的数据 | |
| CN109981287B (zh) | 一种代码签名方法及其存储介质 | |
| CN103812651B (zh) | 密码验证方法、装置及系统 | |
| CN106302544A (zh) | 一种安全验证方法和系统 | |
| CN102694780A (zh) | 一种数字签名认证方法及包含该方法的支付方法及系统 | |
| WO2017162164A1 (zh) | 电子签名设备的交易方法 | |
| CN110149354A (zh) | 一种基于https协议的加密认证方法和装置 | |
| GB2515057A (en) | System and Method for Obtaining a Digital Signature | |
| CN104462949A (zh) | 一种插件的调用方法及装置 | |
| CN105827656A (zh) | 基于nfc支付的身份认证方法及装置 | |
| CN107994995A (zh) | 一种低安全介质的交易方法、系统及终端设备 | |
| CN104125230A (zh) | 一种短信认证服务系统以及认证方法 | |
| CN111770081B (zh) | 基于角色认证的大数据机密文件访问方法 | |
| WO2014187363A1 (zh) | 无线终端的锁网方法及系统 | |
| CN109492359A (zh) | 一种用于身份认证的安全网络中间件及其实现方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 14800946 Country of ref document: EP Kind code of ref document: A1 |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 15104814 Country of ref document: US |
|
| ENP | Entry into the national phase |
Ref document number: 2016541507 Country of ref document: JP Kind code of ref document: A |
|
| NENP | Non-entry into the national phase |
Ref country code: DE |
|
| REEP | Request for entry into the european phase |
Ref document number: 2014800946 Country of ref document: EP |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 2014800946 Country of ref document: EP |