WO2015003503A1 - 一种提高信息安全性的方法、终端设备及网络设备 - Google Patents

Abstract

本发明实施例公开了一种提高信息安全性的方法、终端设备及网络设备，涉及电子信息技术领域，能够防止了用户的真实身份信息被泄露，从而保护用户的个人隐私。本发明的方法包括：终端设备获取密钥、终端设备的识别码和终端设备中一个或多个应用程序的标识信息，终端设备中的不同应用程序的标识信息互不相同，终端设备的识别码包括：国际移动设备识别码IMEI和/或国际移动用户识别码IMSI；针对一个应用程序的标识信息，利用密钥和终端设备的识别码，通过预设的加密算法生成与这一个应用程序相对应的加密结果；当终端设备运行这一个应用程序时，利用与这一个应用程序相对应的加密结果接入网络。本发明适用于保护接入网络的终端设备的信息安全。

Description

一种提高信息安全性的方法、 终端设备及网络设备 本申请要求于 2 01 3 年 7 月 8 日提交中国专利局、 申请号为 2 01 3 1 028 39 1 2. X , 发明名称为 "一种提高信息安全性的方法、 终端设 备及网络设备" 的中国专利申请的优先权， 其全部内容通过引用结合 在本申请中。

技术领域

本发明涉及电子信息技术领域， 尤其涉及一种提高信息安全性的方 法、 终端设备及网络设备。

背景技术

随着网络技术的发展， 网络可以提供的网络业务越来越丰富， 目前终 端设备能够通过所安装的应用程序， 比如目前常用的第三方应用， 实现诸 多网络业务。 在终端设备通过端口访问或是直接访问网络端的服务器时， 上才艮终端设备的 IMEI ( International Mobile Equipment Identity, 国际移动 设备识另¹ J码 ) 或 IMSI ( International Mobile Subscriber Identity, 国际移动 用户识别码）等识别码作为用户的标识， 以便于终端设备可以稳定的使用 各个应用程序与网络端的接口与网络端的服务器进行通信，从而实现应用 程序的在线功能。

但是， 随着终端设备上安装的应用逐渐增多， 终端设备在访问不同的 应用程序与网络端的接口时， 会频繁地上报识别码， 而网络端的一些设备 可以通过分析用户通过终端设备上报的识别码，追踪并记录用户使用应用 的活动情况以及行为习惯， 例如： 用户经常使用智能手机上安装的应用程 序入、 应用程序 B , 并且终端设备使用这些应用程序的在线功能需要上报 识别码，网络端的一些设备则可以根据终端设备上报的识别码确定使用应 用程序 A、 应用程序 B的是同一台终端设备， 并可以在网络端的服务器读 取这一台终端设备使用应用程序 A、 应用程序 B时的通信记录， 并可以通 过许多常用的手段推导出使用这一台终端设备的用户的行为轮廓

( Profile ) , 最终可以推导出用户的真实身份信息。 而用户的真实身份信 息一旦泄露就很容易被恶意利用， 从而损害用户的个人隐私。

发明内容

本发明的实施例提供一种提高信息安全性的方法、终端设备及网络设 备， 能够一定程度上避免网络端的设备推导出用户的真实身份信息， 防止 了用户的真实身份信息被泄露， 从而保护用户的个人隐私。

本发明的实施例釆用如下技术方案：

第一方面， 本发明的实施例提供一种提高信息安全性的方法， 用于一 种终端设备， 包括：

所述终端设备获取密钥、所述终端设备的识别码和所述终端设备中一 个或多个应用程序的标识信息，所述终端设备中的不同应用程序的标识信 息互不相同， 所述终端设备的识别码包括： 国际移动设备识别码 （ IME I ) 和 /或国际移动用户识别码 （ IMS I );

针对所述一个或多个应用程序中的应用程序的标识信息，利用所述密 钥和所述终端设备的识别码，通过预设的加密算法生成与所述应用程序相 对应的加密结果，所述加密结果用于表示所述终端设备在接入网络和进行 接入网络的识另 'J认证时所需的信息；

当所述终端设备运行所述应用程序时，利用所述与所述应用程序相对 应的加密结果接入网络。 结合第一方面， 在第一方面的第一种可能的实现方式中， 还包括： 将 所述密钥、所述终端设备的识别码和所述终端设备中一个或多个应用程序 的标识信息上报至所述网络端， 所述网络端包括网络设备或网络端服务 器。 结合第一方面， 在第一方面的第二种可能的实现方式中， 所述预设的 加密算法为基于单向函数的算法。 第二方面， 本发明的实施例提供一种提高信息安全性的方法， 用于一 种网络设备， 包括：

所述网络设备获取未知的终端设备接入网络时使用的原始加密结果， 所述原始加密结果是由所述未知的终端设备针对所述未知的终端设备中 的应用程序的标识信息， 利用所述未知的终端设备的密钥和识别码生成 的，所述原始加密结果用于表示所述终端设备在接入网络和进行接入网络 的识另 'J认证时所需的信息； 生成各个终端设备对应的加密结果，所述安全信息包括了生成各个终端设 备对应的加密结果时所需的参数；

如果在所述网络设备所生成的加密结果中，有终端设备对应的加密结 果与所述原始加密结果相同， 则确定该终端设备为所述未知的终端设备。 结合第二方面， 在第二方面的第一种可能的实现方式中， 用于上报给 所述网络设备的终端设备的安全信息包括密钥、 识别码、预设的加密算法 和所述终端设备中一个或多个应用程序的标识信息，所述终端设备的识另 'J 码包括： 所述终端设备的国际移动设备识别码 （ IME I ) 和 /或国际移动用 户识别码 ( IMS I ); 信息生成各个终端设备对应的加密结果包括： 利用各个终端设备的密钥、 识别码和终端设备中一个或多个应用程序的标识信息通过所述基于单向 函数的算法生成各个终端设备对应的加密结果。

第三方面， 本发明的实施例提供一种终端设备， 包括: 信息提取模块， 用于获取密钥、 所述终端设备的识别码和所述终端设 备中一个或多个应用程序的标识信息，所述终端设备中的不同应用程序的 标识信息互不相同， 所述终端设备的识别码包括： 国际移动设备识别码

( IMEI ) 和 /或国际移动用户识别码 ( IMSI );

加密模块，用于针对所述一个或多个应用程序中的应用程序的标识信 息， 利用所述密钥和所述终端设备的识别码， 通过预设的加密算法生成与 所述应用程序相对应的加密结果，所述加密结果用于表示所述终端设备在 接入网络和进行接入网络的识别认证时所需的信息；

通信模块， 用于当所述终端设备运行所述应用程序时， 利用所述与所 述应用程序相对应的加密结果接入网络。 结合第三方面， 在第三方面的第一种可能的实现方式中， 所述通信模 块还用于将所述密钥、所述终端设备的识别码和所述终端设备中一个或多 个应用程序的标识信息上 ^艮至所述网络端，所述网络端包括网络设备或网 络端服务器。 结合第三方面， 在第三方面的第二种可能的实现方式中， 所述加密模 块具体用于针对一个应用程序的标识信息，利用所述密钥和所述终端设备 的识别码，通过基于单向函数的算法生成与这一个应用程序相对应的加密 结果。

第四方面， 本发明的实施例提供一种网络设备， 包括：

接收模块， 用于获取未知的终端设备接入网络时使用的原始加密结 果，所述原始加密结果是由所述未知的终端设备针对所述未知的终端设备 中的应用程序的标识信息，利用所述未知的终端设备的密钥和识别码生成 的，所述原始加密结果用于表示所述终端设备在接入网络和进行接入网络 的识另 'J认证时所需的信息； 备的安全信息生成各个终端设备对应的加密结果，所述安全信息包括了生 成各个终端设备对应的加密结果时所需的参数；

识别模块， 用于如果在所述网络设备所生成的加密结果中， 有终端设 备对应的加密结果与所述原始加密结果相同，则确定该终端设备为所述未 知的终端设备。 结合第四方面， 在第四方面的第一种可能的实现方式中， 上报给所述 网络设备的终端设备的安全信息包括密钥、 识别码、 预设的加密算法和所 述终端设备中一个或多个应用程序的标识信息，所述终端设备的识别码包 括： 所述终端设备的国际移动设备识别码 （ IME I ) 和 /或国际移动用户识 别码 ( IMS I );

所述处理模块具体用于利用各个终端设备的密钥、识别码和终端设备 中一个或多个应用程序的标识信息通过基于单向函数的算法生成各个终 端设备对应的加密结果。 本发明实施例提供的提高信息安全性的方法、 终端设备及网络设备， 终端设备， 能够生成对应于各个应用程序的加密结果， 并且终端设备运行 的一个应用程序接入网络时所使用的加密结果与另一个应用程序接入网 络时所使用的加密结果不相同，使得终端设备在运行不同的应用程序时向 网络端发送的用于标识终端设备的信息都不相同。 相对于现有技术， 由于 同，使得网络端难以利用同一个终端设备运行不同应用程序的通信记录的 交叉分析出用户的行为轮廓，避免了网络端的设备推导出用户的真实身份 信息， 防止了用户的真实身份信息被泄露， 从而保护用户的个人隐私。 附图说明 为了更清楚地说明本发明实施例中的技术方案，下面将对实施例中所 需要使用的附图作简单地介绍， 显而易见地， 下面描述中的附图仅仅是本 发明的一些实施例， 对于本领域普通技术人员来讲， 在不付出创造性劳动 的前提下， 还可以根据这些附图获得其它的附图。

图 1为本发明实施例提供的一种提高信息安全性的方法的一种流程 图；

图 2为本发明实施例提供的一种提高信息安全性的方法的另一种流程 图；

图 3为本发明实施例提供的另一种提高信息安全性的方法的流程图； 图 4为本发明实施例提供的终端设备的一种结构示意图；

图 5为本发明实施例提供的一种网络设备的结构示意图；

图 6为本发明实施例提供的一种计算节点的结构示意图；

图 7为本发明实施例提供的一种存储节点的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进 行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例， 而不是全部的实施例。基于本发明中的实施例， 本领域普通技术人员在没 有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的 范围。

本发明实施例提供一种提高信息安全性的方法， 如图 1所示， 包括： 101 , 终端设备获取密钥、 所述终端设备的识别码和所述终端设备中 一个或多个应用程序的标识信息。

其中， 终端设备中的不同应用程序的标识信息互不相同， 终端设备的 识别码可以包括： IMEI ( International Mobile Equipment Identity , 国际 移动设备识别码 )和 /或 IMSI ( International Mobile Subscriber Identity , 国 际移动用户识别码；)。

在本实施例中，终端设备所对应的密钥可以是在终端设备上电后自动 生成的密钥， 也可以是有用户输入或其他设备发送的密钥。 应用程序的标 识信息可以是应用程序的 Package Name、 应用程序携带的证书信息、 应用 程序携带的证书信息中主体密钥或者证书中的签名和 /或应用程序的 UID ( User Identification, 用户身份证明） 等信息。

102 , 针对所述一个或多个应用程序中的应用程序的标识信息， 利用 所述密钥和所述终端设备的识别码，通过预设的加密算法生成与所述应用 程序相对应的加密结果。

其中，加密结果用于表示终端设备在接入网络和进行接入网络的识别 认证时所需的信息。

需要说明的是， 在本实施例中， 网络端包括了可以通过网络与终端设 备进行数据交互的设备， 比如基站、 网关、 数据服务器等。 并且在实际应 用中， 终端设备可以向网络端发送用于标识终端设备的信息， 比如： 安装 在智能手机上的 APP ( Application, 第三方应用程序） 可以利用搭载于智 能手机的操作系统提供的 API ( Application Programming Interface,应用程 序编程接口 ）读取智能手机的设备信息， 当 APP在运行的过程中行使在线 功能或是需要与网络端进行数据交互时，即可将设备信息作为用于标识智 能手机的信息导入带传输的数据块中并通过智能手机的通信模块将数据 块发送至网络端， 从而将用于标识终端设备的信息发送至网络端。 以便于 网络端的服务器， 比如： APP提供商的服务器， 可以根据用于标识终端设 备的信息实现终端设备在网络上的注册，从而保证终端设备可以稳定的通 过各个应用程序与服务器之间的接口与网络端的服务器进行通信。

在本实施例中， 预设的加密算法也可以是一种普通的函数算法， 比如 终端设备可以对参与加密计算的各个参数进行权值计算，并获取一个权值 计算结果， 再将权值计算结果通过进制转换技术转换为与 IMEI或 IMSI具 有相同形式的字符串代码， 再从中截取与 IMEI或 IM S I长度相同的代码作 为加密结果；

预设的加密算法也可以是基于单向函数的算法比如： HASH函数。 并 且， 所生成的加密结果对应于终端设备中的应用程序。 例如： 终端设备生成加密结果的方式可以是： V=HASH(APP_INFO Θ Value θ Κ)

其中， ΑΡΡ— INFO表示应用程序的标识信息； V表示加密结果； HASH 表示的是一种单向函数，在实际应用可以表现为多种函数形式，比如 MD5、 SHA-1等。 由于单向函数具有的单向性的特性， 因此^ ί艮难对加密计算后的 结果进行逆运算、 逆向分析等可以用于破解计算的手段， 因此利用具有的 单向性的函数进行加密计算可以提高信息加密的安全性。 Value表示终端 设备的识别码； K表示终端设备生成的密钥； ④表示一种本领域技术人员 所熟知的逻辑运算方式， 比如可以表示字符串连接、 按位异或、 叠加运算 等。需要说明的是④表示的是预设的加密算法中各个参数的具体逻辑运算 方式， 在本实施例的实际应用中， 表示逻辑运算方式的符号也可以是 Q、 ®、 ®等自定义的符号，也可以是本领域中常用的逻辑运算符号， 比如 @、

&等， 即表示的是预设的加密算法中各个参数的具体逻辑运算方式的符号 并不限于④。

103 , 当所述终端设备运行所述应用程序时， 利用所述与所述应用程 序相对应的加密结果接入网络。

其中，终端设备在运行一个应用程序时所利用接入网络的加密结果与 终端设备在运行另一个应用程序时所利用接入网络的加密结果不相同。

IMEI和 IMSI在实际应用中是以字符串的形式存储、 传输的， 终端设 备将识别码上报给网络端后，网络端在接收到后可以利用识别码在服务器 上对终端设备进行注册、 记录等具体的应用流程。

在本实施例中， 终端设备可以利用加密结果作为实际应用的识别码， 并以此加密结果接入网络。 例如：

终端设备可以得到加密结果 V , V在终端设备中也是以字符串的形式 保存的。 则终端设备可以用 V代替识别码上报给网络端， 使得网络段将终 端设备上报的 V作为用于识别终端设备的字符串， 从而实现终端设备利用 V接入网络。 需要说明的是， 终端设备在实际应用中所上报的其实是一段 用于识别终端设备的字符串， 因此可以釆用与上 JMEI、 IMSI相同的方 式向网络端发送加密结果 V； 而网络端在实际应用中所处理的其实也是一 段用于识别终端设备的字符串， 因此网络端在接收到了 V后， 可以釆用与 处理 IMEI、 IMSI相同的方式处理 V, 从而实现终端设备利用加密结果 V接 入网络。

需要说明的是，终端设备在运行不同的应用程序时所利用接入网络的 加密结果也不相同， 例如： 终端设备在运行应用程序 A, 并且在使用应用 程序 A的在线功能时， 可以利用与应用程序 A相对应的加密结果 V_A接入网 络； 在运行应用程序 B , 并且在使用应用程序 B的在线功能时， 可以利用 与应用程序 B相对应的加密结果 V_B接入网络； 在运行应用程序 C , 并且在 使用应用程序 C的在线功能时， 可以利用与应用程序 C相对应的加密结果 V_c接入网络； 并且在本实施例中， V_A、 V_B和 V_c互不相同。

本发明实施例提供的提高信息安全性的方法，终端设备能够生成对应 于各个应用程序的加密结果，并且终端设备运行的一个应用程序接入网络 时所使用的加密结果与另一个应用程序接入网络时所使用的加密结果不 端设备的信息都不相同。 相对于现有技术， 由于终端设备在运行不同的应 用程序时所利用的用于标识终端设备的信息不同，使得网络端难以利用同 一个终端设备运行不同应用程序的通信记录的交叉分析出用户的行为轮 廓， 避免了网络端的设备推导出用户的真实身份信息， 防止了用户的真实 身份信息被泄露， 从而保护用户的个人隐私。

可选的， 本实施例还提供一种提高信息安全性的方法， 如图 2所示， 包括：

201 , 终端设备获取密钥、 所述终端设备的识别码和所述终端设备中 一个或多个应用程序的标识信息。

其中， 终端设备中的不同应用程序所对应的标识信息互不相同。 可选 的， 终端设备也可以获取每一个应用程序的标识信息。

在本实施例中，应用程序的标识信息可以是本领域技术人员所熟知的 应用程序的 Package Name、 应用程序携带的证书信息、 应用程序携带的证 书信息中主体密钥或者证书中的签名和 /或应用程序的 UID等信息。并且终 端设备中不同的应用程序的标识信息是互不相同。 比如： 如本领域技术人 员所熟知的， 终端设备中的任意二个应用程序的 Package Name、 UID、 证 书信息等都是互不相同的。

202 , 针对所述一个或多个应用程序中的应用程序的标识信息， 利用 所述密钥和所述终端设备的识别码，通过预设的加密算法生成与所述应用 程序相对应的加密结果。

例如： 终端设备生成加密结果的方式可以是： V=HASH(APP_INFO Θ Value Θ Ι Θ Κ)

其中， I表示预设的固定值， 终端设备不论运行哪一个应用程序都使 用相同的固定值， 比如： 1=1 , 则终端设备生成加密结果的方式就是： V=HASH(APP_INFO θ Value θ 1 Θ Κ)„

或者， 也可以是终端设备中的每一个应用程序都对应了一个固定值， 不同应用程序所对应的固定值互不相同， 比如： 应用程序 Α对应固定值 0 , 应用程序 B对应固定值 1 , 应用程序 C对应固定值 2 , 终端设备可以生成应 用程序 A所对应的加密结果 V_A=HASH(APP— INFO Θ Value④ 0④ K) ,应用程 序 Β所对应的加密结果 V_B=HASH(APP— INFO④ Value ® 1 Φ Κ) , 应用程序 C 所对应的加密结果 V_C=HASH(APP— INFO Θ Value Θ 2 Θ Κ)„

需要说明的是， 在实际应用中， 终端设备上报给网络端的 IMEI、 IMSI 等识别码往往是 15位的十进制数，而具体在终端设备中则是以二进制数的 形式进行存储，比如可以将 15位的十进制数转换为指定长度的二进制字符 串进行存储， 比如 45位的二进制字符串。 在本实施例中， 当终端设备所获 取的加密结果的字符串长度大于指定长度时，则终端设备可以从加密结果 中截取指定长度的二进制字符串， 比如 45位， 并将所获取的指定长度的二 进制字符串转换为 15位的十进制数，再将这 15位的十进制数作为用于识别 终端设备的字符串上报给网络端。

203 , 将所述密钥、 所述终端设备的识别码和所述终端设备中一个或 多个应用程序的标识信息上报至所述网络端。

其中， 网络端包括网络设备或网络端服务器。

其中， 终端设备在获取了终端设备的密钥、 识别码和应用程序的标识 信息后即可执行 203 , 即 203可以与 202同时执行， 或是 203也可以再 202之 后执行。

在本实施例中， 终端设备在确定了密钥、 终端设备的识别码和终端设 备中的应用程序的标识信息后，可以将这些信息作为安全信息上报至网络 端，网络端可以将终端设备上报的安全信息存储在能够保证信息安全的存 储设备中， 例如： 网络端可以将终端设备上报的安全信息存储在可信度较 高的， 或是在获得正式授权前无法随意访问的第三方数据库中， 比如： 网 络监管部门的数据库、 运营商的备份数据库等。

204 , 当所述终端设备运行所述应用程序时， 利用所述与所述应用程 序相对应的加密结果接入网络。

例如： 终端设备在运行应用程序 A , 并且在使用应用程序 A的在线功 能时， 可以利用与应用程序 A相对应的加密结果 V_A接入网络； 在运行应用 程序 B , 并且在使用应用程序 B的在线功能时， 可以利用与应用程序 B相对 应的加密结果 V_B接入网络； 在运行应用程序 C , 并且在使用应用程序 C的 在线功能时， 可以利用与应用程序 C相对应的加密结果 V_c接入网络； 并且 在本实施例中， V_A、 V_B和 V_c互不相同。

本发明实施例提供的提高信息安全性的方法，终端设备能够生成对应 于各个应用程序的加密结果，并且终端设备运行的一个应用程序接入网络 时所使用的加密结果与另一个应用程序接入网络时所使用的加密结果不 端设备的信息都不相同。 相对于现有技术， 由于终端设备在运行不同的应 用程序时所利用的用于标识终端设备的信息不同，使得网络端难以利用同 一个终端设备运行不同应用程序的通信记录的交叉分析出用户的行为轮 廓， 避免了网络端的设备推导出用户的真实身份信息， 防止了用户的真实 身份信息被泄露， 从而保护用户的个人隐私。 本发明实施例还提供了另一种提高信息安全性的方法，可以用于一种 网络设备。 需要说明的是， 本实施例中的网络设备可以是在网络端中能够 与终端设备进行通信的一种设备，并且网络设备存储了至少二个终端设备 的安全信息，终端设备的安全信息包括所述终端设备上报给所述网络设备 的密钥、 识别码、 预设的加密算法和所述终端设备中一个或多个应用程序 的标识信息， 所述终端设备的识别码包括： 所述终端设备的国际移动设备 识别码 IMEI和 /或国际移动用户识别码 IMSI。如图 3所示，本方法可以包括：

301 , 所述网络设备获取未知的终端设备接入网络时使用的原始加密 结果。

其中，原始加密结果是由未知的终端设备针对未知的终端设备中的应 用程序的标识信息， 利用未知的终端设备的密钥和识别码生成的。 其中， 预设的加密算法为基于单向函数的算法，所述原始加密结果用于表示所述 终端设备在接入网络和进行接入网络的识别认证时所需的信息。

由本实施例中终端设备所执行的方案可知，终端设备接入网络时利用 的是终端设备进行加密计算所生成的结果，比如本实施例中未知的终端设 备接入网络时使用的原始加密结果， 而不是终端设备原有的 IMEI、 IMSL 当一个终端设备利用所生成的加密结果接入网络时，由于网络设备并未记 录这一个终端设备与这一个终端设备所生成的加密结果之间的对应关系， 因此网络设备无法识别出接入网络的这一个终端设备，这一个终端设备对 于网络设备而言也就是未知的终端设备。 信息生成各个终端设备对应的加密结果。

其中，安全信息包括了生成各个终端设备对应的加密结果时所需的参 数。 在本实施例中， 安全信息可以包括用于上报给所述网络设备的终端设 备的安全信息包括密钥、 识别码、预设的加密算法和所述终端设备中一个 或多个应用程序的标识信息， 所述终端设备的识别码包括： 所述终端设备 的国际移动设备识别码（ IMEI )和/或国际移动用户识别码（ IMSI )。 因此， 在本实施例中， 302可以具体实现为： 利用各个终端设备的密钥、 识别码 和终端设备中一个或多个应用程序的标识信息通过所述基于单向函数的 算法生成各个终端设备对应的加密结果。

由本实施例中终端设备所执行的方案可知，终端设备是利用终端设备 的密钥、 识别码和应用程序的标识信息等作为参数， 通过预设的加密算法 生成的加密结果， 并利用终端设备所生成的加密结果接入网络， 从而避免 了现有技术中直接利用终端设备的 IMEI、 IMSI接入网络。

在本实施例中，由于网络设备中所存储的安全信息中包括了各个终端 设备的密钥和预先设置的识别码等参数，并且也存储了各个终端设备生成 加密结果时所使用的预设的加密算法。因此网络设备可以依次利用所存储 的每一个终端设备所对应的安全信息生成各个终端设备对应的加密结果。

303 , 如果在所述网络设备所生成的加密结果中， 有终端设备对应的 加密结果与所述原始加密结果相同，则确定该终端设备为所述未知的终端 设备。

例如： 终端设备 1中安装有应用程序 a, 应用程序 b和应用程序 c , 其中 应用程序 a的标识信息为 APP— INFO_a, 则终端设备在使用应用程序 a的在线 功能时可以向网络端发送加密结果 V_a,且 V_a =HASH(APP_INFO_a Θ Value θ Ι Θ Κ);终端设备在使用应用程序 b的在线功能时可以向网络端发送加密结 果 V_b, 且 V_b =HASH(APP— INFO_b④ Value ® I ® K); 终端设备在使用应用程 序 c的 在 线 功 能 时 可 以 向 网 络端 发送加 密 结 果 V_c , 且 V_c =HASH(APP_INFO_c Θ Value Θ Ι Θ Κ) ₀ 网络设备所存储的终端设备所对应 的安全信息中还可以包括 APP— INFO_a 、 APP INFOb 和 APP— INFO_c, 从而 网络设备可以生成与 V_a、 V_b或 V_c相同的加密结果， 当未知的终端设备接入 网络时实际使用的原始加密结果与 V_a、 V_b或 V_c中的任意一项相同时， 则可 以确定未知的终端设备为终端设备 1。

本发明实施例提供的提高信息安全性的方法，终端设备能够生成对应 于各个应用程序的加密结果，并且终端设备运行的一个应用程序接入网络 时所使用的加密结果与另一个应用程序接入网络时所使用的加密结果不 端设备的信息都不相同。 相对于现有技术， 由于终端设备在运行不同的应 用程序时所利用的用于标识终端设备的信息不同，使得网络端难以利用同 一个终端设备运行不同应用程序的通信记录的交叉分析出用户的行为轮 廓。若需要从网络端根据终端设备发送的用于标识终端设备的信息溯源得 到正确的终端设备， 网络设备需要获取包括了终端设备的密钥比如密钥、 预先设置的识别码等参数的安全信息，并通过与终端设备相同的预设的加 密算法， 才能够正确识别出接入网络的终端设备， 使得网络端中不具备安 全信息的设备难以溯源得到正确的终端设备，从而避免了网络端的设备推 导出用户的真实身份信息， 防止了用户的真实身份信息被泄露， 从而保护 用户的个人隐私。

本发明实施例提供一种提高信息安全性的终端设备 40 , 如图 4所示， 终端设备 40可以包括：

信息提取模块 41 , 用于获取密钥、 所述终端设备的识别码和所述终端 设备中一个或多个应用程序的标识信息。

其中， 终端设备中的不同应用程序的标识信息互不相同， 终端设备的 识别码包括： 国际移动设备识别码 （ IMEI ) 和 /或国际移动用户识别码 ( IMSI )。

加密模块 42 ,用于针对所述一个或多个应用程序中的应用程序的标识 信息， 利用所述密钥和所述终端设备的识别码， 通过预设的加密算法生成 与所述应用程序相对应的加密结果。

其中，加密结果用于表示所述终端设备在接入网络和进行接入网络的 识别认证时所需的信息。

可选的， 所述加密模块 42具体用于， 针对一个应用程序的标识信息， 利用所述密钥和所述终端设备的识别码，通过基于单向函数的算法生成与 这一个应用程序相对应的加密结果。

通信模块 43 , 用于当所述终端设备运行所述应用程序时， 利用所述与 所述应用程序相对应的加密结果接入网络。

可选的， 所述通信模块 43 , 还用于将所述密钥、 所述终端设备的识别 码和所述终端设备中一个或多个应用程序的标识信息上 4艮至所述网络端。

其中， 网络端包括网络设备或网络端服务器。

本发明实施例提供的提高信息安全性的终端设备，能够生成对应于各 个应用程序的加密结果，并且终端设备运行的一个应用程序接入网络时所 使用的加密结果与另一个应用程序接入网络时所使用的加密结果不相同， 备的信息都不相同。 相对于现有技术， 由于终端设备在运行不同的应用程 序时所发送的用于标识终端设备的信息不同，使得网络端难以利用同一个 终端设备运行不同应用程序的通信记录的交叉分析出用户的行为轮廓，避 免了网络端的设备推导出用户的真实身份信息，防止了用户的真实身份信 息被泄露， 从而保护用户的个人隐私。

本发明实施例提供一种提高信息安全性的网络设备 50 , 如图 5所示， 可以包括： 接收模块 51 ,用于获取未知的终端设备接入网络时使用的原始加密结 果， 其中， 原始加密结果是由未知的终端设备针对未知的终端设备中的应 用程序的标识信息， 利用未知的终端设备的密钥和识别码生成的， 所述原 始加密结果用于表示所述终端设备在接入网络和进行接入网络的识别认 证时所需的信息。

需要说明的是，终端设备的安全信息包括所述终端设备上报给所述网 络设备的密钥、 识别码、预设的加密算法和所述终端设备中一个或多个应 用程序的标识信息， 所述终端设备的识别码包括： 所述终端设备的国际移 动设备识别码 IMEI和 /或国际移动用户识别码 IMSI。 设备的安全信息生成各个终端设备对应的加密结果，所述安全信息包括了 生成各个终端设备对应的加密结果时所需的参数。

识别模块 53 , 用于如果在所述网络设备所生成的加密结果中， 有终端 设备对应的加密结果与所述原始加密结果相同，则确定该终端设备为所述 未知的终端设备。

其中， 报给所述网络设备的终端设备的安全信息包括密钥、 识别码、 预设的加密算法和所述终端设备中一个或多个应用程序的标识信息，所述 终端设备的识别码包括： 所述终端设备的国际移动设备识别码 （IMEI ) 和 /或国际移动用户识别码 （IMSI )。

可选的， 所述处理模块 52具体用于， 利用各个终端设备的密钥、 识别 码和终端设备中一个或多个应用程序的标识信息通过基于单向函数的算 法生成各个终端设备对应的加密结果。

由于终端设备能够生成对应于各个应用程序的加密结果，并且终端设 备运行的一个应用程序接入网络时所使用的加密结果与另一个应用程序 接入网络时所使用的加密结果不相同，使得终端设备在运行不同的应用程 序时向网络端发送的用于标识终端设备的信息都不相同。 相对于现有技 信息不同，使得网络端难以利用同一个终端设备运行不同应用程序的通信 记录的交叉分析出用户的行为轮廓。本发明实施例提供的提高信息安全性 的网络设备，能够从网络端根据终端设备发送的用于标识终端设备的信息 溯源得到正确的终端设备， 由于网络设备获取了终端设备的密钥比如密 钥、 预先设置的识别码等参数的安全信息， 并通过与终端设备相同的预设 的加密算法， 才能够正确识别出接入网络的终端设备， 使得网络端中不具 备安全信息的设备难以溯源得到正确的终端设备 ,从而避免了网络端的设 备推导出用户的真实身份信息， 防止了用户的真实身份信息被泄露， 从而 保护用户的个人隐私。

本发明实施例还提供了一种计算节点 60 ,计算节点 60可以用于终端设 备， 如图 6所示， 计算节点 60包括： 第一处理器 61、 第一通信接口 62、 第 一存储器 63、 第一总线 64 , 所述第一处理器 61、 所述第一通信接口 62和所 述第一存储器 63、 通过所述第一总线 64完成相互间的通信， 所述第一存储 器 63用于存储所述计算节点 60在运行过程中需要存储的数据， 其中： 所述第一处理器 61 , 用于通过所述第一通信接口 62获取密钥、 所述终 端设备的识别码和所述终端设备中一个或多个应用程序的标识信息。

其中， 终端设备中的不同应用程序的标识信息互不相同， 终端设备的 识别码包括： 国际移动设备识别码 （ IMEI ) 和 /或国际移动用户识别码 ( IMSI )。

所述第一处理器 61 ,还用于针对所述一个或多个应用程序中的应用程 序的标识信息， 利用所述密钥和所述终端设备的识别码， 通过预设的加密 算法生成与所述应用程序相对应的加密结果。

其中，加密结果用于表示终端设备在接入网络和进行接入网络的识别 认证时所需的信息。

其中， 预设的加密算法可以为基于单向函数的算法。 所述第一处理器 61 , 还用于当所述终端设备运行所述应用程序时， 利 用所述与所述应用程序相对应的加密结果接入网络。

可选的， 所述第一处理器 61 , 还用于通过所述第一通信接口 62将所述 密钥、所述终端设备的识别码和所述终端设备中一个或多个应用程序的标 识信息上报至所述网络端， 所述网络端包括网络设备或网络端服务器。

所述第一处理器 61 , 具体用于针对一个应用程序的标识信息， 利用所 述密钥和所述终端设备的识别码，通过基于单向函数的算法生成与这一个 应用程序相对应的加密结果。

本发明实施例提供的提高信息安全性的计算节点，能够生成对应于各 个应用程序的加密结果，并且终端设备运行的一个应用程序接入网络时所 使用的加密结果与另一个应用程序接入网络时所使用的加密结果不相同， 备的信息都不相同。 相对于现有技术， 由于终端设备在运行不同的应用程 序时所利用的用于标识终端设备的信息不同，使得网络端难以利用同一个 终端设备运行不同应用程序的通信记录的交叉分析出用户的行为轮廓，避 免了网络端的设备推导出用户的真实身份信息，防止了用户的真实身份信 息被泄露， 从而保护用户的个人隐私。 本发明实施例还提供了一种存储节点 70 ,计算节点 70可以用于网络设 备， 如图 7所示， 存储节点 70包括： 第二处理器 71、 第二通信接口 72、 第 二存储器 73、 第二总线 74 , 所述第二处理器 71、 所述第二通信接口 72和所 述第二存储器 73、 通过所述第二总线 74完成相互间的通信， 所述第二存储 器 73用于存储所述存储节点 70在运行过程中需要存储的数据， 其中：

所述第二存储器 73还用于， 存储终端设备上报的安全信息。

其中， 安全信息可以包括密钥、 识别码、 预设的加密算法和所述终端 设备中一个或多个应用程序的标识信息， 所述终端设备的识别码包括： 所 述终端设备的国际移动设备识别码 （IMEI ) 和 /或国际移动用户识别码 ( IMSI )。

所述第二处理器 71 ,用于获取未知的终端设备接入网络时使用的原始 加密结果。

其中，原始加密结果是由未知的终端设备针对未知的终端设备中的应 用程序的标识信息， 利用未知的终端设备的密钥和识别码生成的， 原始加 密结果用于表示终端设备在接入网络和进行接入网络的识另 'J认证时所需 的信息。

所述第二处理器 71 ,还用于利用在所述第二存储器 73中所存储的各个 终端设备的安全信息生成各个终端设备对应的加密结果，所述安全信息包 括了生成各个终端设备对应的加密结果时所需的参数。

所述第二处理器 71 , 还用于如果在所述网络设备所生成的加密结果 中， 有终端设备对应的加密结果与所述原始加密结果相同， 则确定该终端 设备为所述未知的终端设备。

进一步的， 所述第二处理器 71 , 可以具体用于利用各个终端设备的密 钥、识别码和终端设备中一个或多个应用程序的标识信息通过基于单向函 数的算法生成各个终端设备对应的加密结果。

本发明实施例提供的提高信息安全性的存储节点，终端设备能够生成 对应于各个应用程序的加密结果，并且终端设备运行的一个应用程序接入 网络时所使用的加密结果与另一个应用程序接入网络时所使用的加密结 识终端设备的信息都不相同。 相对于现有技术， 由于终端设备在运行不同 的应用程序时所发送的用于标识终端设备的信息不同，使得网络端难以利 用同一个终端设备运行不同应用程序的通信记录的交叉分析出用户的行 为轮廓。若需要从网络端根据终端设备发送的用于标识终端设备的信 , ¾溯 源得到正确的终端设备，网络设备需要获取包括了终端设备的密钥比如密 钥、 预先设置的识别码等参数的安全信息， 并通过与终端设备相同的预设 的加密算法， 才能够正确识别出接入网络的终端设备， 使得网络端中不具 备安全信息的设备难以溯源得到正确的终端设备 ,从而避免了网络端的设 备推导出用户的真实身份信息， 防止了用户的真实身份信息被泄露， 从而 保护用户的个人隐私。

本说明书中的各个实施例均釆用递进的方式描述，各个实施例之间相 同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的 不同之处。 尤其， 对于设备实施例而言， 由于其基本相似于方法实施例， 所以描述得比较简单， 相关之处参见方法实施例的部分说明即可。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分 流程， 是可以通过计算机程序来指令相关的硬件来完成， 所述的程序可存 储于一计算机可读取存储介质中， 该程序在执行时， 可包括如上述各方法 的实施例的流程。 其中， 所述的存储介质可为磁碟、 光盘、 只读存储记忆 体 ( Read-Only Memory , ROM ) 或随机存^ I i己忆体 ( Random Access Memory, RAM ) 等。

以上所述， 仅为本发明的具体实施方式， 但本发明的保护范围并不局 限于此， 任何熟悉本技术领域的技术人员在本发明揭露的技术范围内， 可 轻易想到的变化或替换， 都应涵盖在本发明的保护范围之内。 因此， 本发 明的保护范围应该以权利要求的保护范围为准。

Claims

权 利 要 求 书

1、 一种提高信息安全性的方法， 用于一种终端设备， 其特征在于， 包 括：

所述终端设备获取密钥、 所述终端设备的识别码和所述终端设备中一 个或多个应用程序的标识信息， 所述终端设备中的不同应用程序的标识信 息互不相同， 所述终端设备的识别码包括： 国际移动设备识别码 （ IME I ) 和 /或国际移动用户识别码 （ IMS I );

针对所述一个或多个应用程序中的应用程序的标识信息， 利用所述密 钥和所述终端设备的识别码， 通过预设的加密算法生成与所述应用程序相 对应的加密结果， 所述加密结果用于表示所述终端设备在接入网络和进行 接入网络的识另 'J认证时所需的信息；

当所述终端设备运行所述应用程序时， 利用所述与所述应用程序相对 应的加密结果接入网络。

2、 根据权利要求 1所述的提高信息安全性的方法， 其特征在于， 还包 括： 将所述密钥、 所述终端设备的识别码和所述终端设备中一个或多个应 用程序的标识信息上 4艮至所述网络端， 所述网络端包括网络设备或网络端 服务器。

3、 根据权利要求 1所述的提高信息安全性的方法， 其特征在于， 所述 预设的加密算法为基于单向函数的算法。

4、 一种提高信息安全性的方法， 用于一种网络设备， 其特征在于， 所 述方法包括：

所述网络设备获取未知的终端设备接入网络时使用的原始加密结果， 所述原始加密结果是由所述未知的终端设备针对所述未知的终端设备中的 应用程序的标识信息， 利用所述未知的终端设备的密钥和识别码生成的， 所述原始加密结果用于表示所述终端设备在接入网络和进行接入网络的识 别认证时所需的信息； 成各个终端设备对应的加密结果， 所述安全信息包括了生成各个终端设备 对应的加密结果时所需的参数；

如果在所述网络设备所生成的加密结果中， 有终端设备对应的加密结 果与所述原始加密结果相同， 则确定该终端设备为所述未知的终端设备。

5、 根据权利要求 4所述的提高信息安全性的方法， 其特征在于， 用于 上报给所述网络设备的终端设备的安全信息包括密钥、 识别码、 预设的加 密算法和所述终端设备中一个或多个应用程序的标识信息， 所述终端设备 的识别码包括： 所述终端设备的国际移动设备识别码（ IME I )和 /或国际移 动用户识别码 ( IMS I ); 息生成各个终端设备对应的加密结果包括： 利用各个终端设备的密钥、 识 别码和终端设备中一个或多个应用程序的标识信息通过所述基于单向函数 的算法生成各个终端设备对应的加密结果。

6、 一种终端设备， 其特征在于， 包括：

信息提取模块， 用于获取密钥、 所述终端设备的识别码和所述终端设 备中一个或多个应用程序的标识信息， 所述终端设备中的不同应用程序的 标识信息互不相同， 所述终端设备的识别码包括： 国际移动设备识别码 ( IME I ) 和 /或国际移动用户识别码 （ IMS I );

加密模块， 用于针对所述一个或多个应用程序中的应用程序的标识信 息， 利用所述密钥和所述终端设备的识别码， 通过预设的加密算法生成与 所述应用程序相对应的加密结果， 所述加密结果用于表示所述终端设备在 接入网络和进行接入网络的识别认证时所需的信息；

通信模块， 用于当所述终端设备运行所述应用程序时， 利用所述与所 述应用程序相对应的加密结果接入网络。

7、 根据权利要求 6所述的终端设备， 其特征在于， 所述通信模块还用 于将所述密钥、 所述终端设备的识别码和所述终端设备中一个或多个应用 程序的标识信息上报至所述网络端， 所述网络端包括网络设备或网络端服 务器。

8、 根据权利要求 6所述的终端设备， 其特征在于， 所述加密模块具体 用于针对一个应用程序的标识信息， 利用所述密钥和所述终端设备的识另 'J 码， 通过基于单向函数的算法生成与这一个应用程序相对应的加密结果。

9、 一种网络设备， 其特征在于， 所述网络设备包括：

接收模块，用于获取未知的终端设备接入网络时使用的原始加密结果， 所述原始加密结果是由所述未知的终端设备针对所述未知的终端设备中的 应用程序的标识信息， 利用所述未知的终端设备的密钥和识别码生成的， 所述原始加密结果用于表示所述终端设备在接入网络和进行接入网络的识 别认证时所需的信息； 备的安全信息生成各个终端设备对应的加密结果， 所述安全信息包括了生 成各个终端设备对应的加密结果时所需的参数；

识别模块， 用于如果在所述网络设备所生成的加密结果中， 有终端设 备对应的加密结果与所述原始加密结果相同， 则确定该终端设备为所述未 知的终端设备。

1 0、 根据权利要求 9所述的网络设备， 其特征在于， 上报给所述网络设 备的终端设备的安全信息包括密钥、 识别码、 预设的加密算法和所述终端 设备中一个或多个应用程序的标识信息， 所述终端设备的识别码包括： 所 述终端设备的国际移动设备识别码 （ IME I ) 和 /或国际移动用户识别码

( IMS I );

所述处理模块具体用于利用各个终端设备的密钥、 识别码和终端设备 中一个或多个应用程序的标识信息通过基于单向函数的算法生成各个终端 设备对应的加密结果。