WO2017008730A1

WO2017008730A1 - 一种终端产品模式与开发模式安全切换的方法及系统

Info

Publication number: WO2017008730A1
Application number: PCT/CN2016/089765
Authority: WO
Inventors: 林金寒; 洪逸轩
Original assignee: 福建联迪商用设备有限公司
Priority date: 2015-07-16
Filing date: 2016-07-12
Publication date: 2017-01-19
Also published as: CN105117665B; EP3309702A1; CN105117665A; ES2937283T3; EP3309702A4; EP3309702B1; US10778447B2; US20180139060A1

Abstract

一种终端产品模式与开发模式安全切换的方法及系统，解决现有技术可能导致测试开发版本的终端意外流入市场使用，存在安全隐患的问题；方法对应处于不同阶段的终端配置不同的CA证书管理机构；将不同CA颁发的证书公私钥对存储在不同的安全存储介质中，只有使用对应终端当前所处CA状态的安全存储介质在通过合法性验证后，才能成功改写终端的标志位；实现终端不同CA状态的安全切换，确保处于测试开发阶段的终端即使错误地以正式产品身份流通出去后，也无法正常地被使用，使用户和运营商的利益得到保证，提高终端设备的安全性，实现安全、快速的切换。

Description

一种终端产品模式与开发模式安全切换的方法及系统

技术领域

本发明涉及一种终端产品模式与开发模式安全切换的方法及系统。

背景技术

任何设备都需要经历开发过程，才能作为正式的产品发布。特别是针对有安全性能要求的特殊终端设备，如POS终端，开发阶段和产品阶段的区分显得格外重要；若将还处于开发阶段的POS终端设备错误的以正式产品流通出去，将导致POS终端存在较大的安全隐患，严重影响POS终端的正常使用，用户和运营商的利益也无法得到保证。因此，实现终端设备的开发模式和产品模式的区分，将实际开发和实际产品的权限分离，将提高终端设备的安全性。

申请号为201210322713.0的专利申请文件，提供一种终端的工作模式切换方法及终端；通过检测终端是否满足预设工作模式切换条件，当满足时，则将终端从第一工作模式切换至第二工作模式；实现寻呼消息的接收处理。

上述申请文件并非出于终端的安全性能要求实现的改进，且仅提供终端工作状态中的其中一种消息接收工作模式的切换，所解决的问题并非提高终端设备的安全性能。因此，有必要针对上述问题，提供一种终端产品模式与开发模式安全切换的方法及系统。

发明内容

本发明所要解决的技术问题是：提供一种终端产品模式与开发模式安全切换的方法及系统，实现终端开发模式和产品模式的分离，避免处于开发阶段的终端流入市场中被使用，规避终端可能存在的安全隐患。

为了解决上述技术问题，本发明采用的第一个技术方案为：

一种终端产品模式与开发模式安全切换的方法，其特征在于，包括：

预设产品CA和开发CA；将产品CA和开发CA预置在终端中；

预设终端内部FLASH中的标志位分别对应产品状态和开发状态；

第一加密机生成产品公私钥对；第二加密机生成开发公私钥对；

使用产品CA颁发包含所述产品公钥的产品证书；使用开发CA颁发包含所述开发公钥的开发证书；

将所述产品证书和产品私钥存储在产品安全存储介质中；将所述开发证书和开发私钥存储在开发安全存储介质中；

上位机发送CA状态切换指令至终端；

终端依据所述标志位发送当前所处状态至上位机；

上位机读取一安全存储介质中存储的私钥和证书；

上位机发送所述证书至终端；

终端使用当前状态对应的CA验证所述证书的合法性，得到第五验证结果；

终端验证所述私钥的合法性，得到第六验证结果；

若第五验证结果和第六验证结果均为合法，则判定所述一安全存储介质与终端当前所处状态对应；

格式化终端的密钥存储区；改写标志位，切换终端为另一状态。

本发明提供的第二个技术方案为：

一种终端产品模式与开发模式安全切换的系统，其特征在于，包括：

预设模块，用于预设产品CA和开发CA，以及预设终端内部FLASH中的标志位分别对应产品状态和开发状态；

预置模块，用于将产品CA和开发CA预置在终端中；

加密模块，用于使用第一加密机生成产品公私钥对，以及使用第二加密机生成开发公私钥对；

颁发模块，用于使用产品CA颁发包含所述产品公钥的产品证书；使用开发CA颁发包含所述开发公钥的开发证书；

存储模块，用于将所述产品证书和产品私钥存储在产品安全存储介质中；将所述开发证书和开发私钥存储在开发安全存储介质中；

第一发送模块，用于上位机发送CA状态切换指令至终端；

第二发送模块，用于终端依据所述标志位发送当前所处状态至上位机；

读取模块，用于上位机读取一安全存储介质中存储的私钥和证书；

第三发送模块，用于上位机发送所述证书至终端；

第一验证模块，用于终端使用当前状态对应的CA验证所述证书的合法性，得到第五验证结果；

第二验证模块，用于终端验证所述私钥的合法性，得到第六验证结果；

第一判定模块，用于若第五验证结果和第六验证结果均为合法，则判定所述一安全存储介质与终端当前所处状态对应；

格式化模块，用于格式化终端的密钥存储区；

切换模块，用于改写标志位，切换终端为另一状态。

本发明的有益效果在于：本发明对应处于不同阶段的终端配置不同的CA证书管理机构，实现终端实际开发和实际产品的权限分离；通过将不同CA颁发的证书公私钥对存储在不同的安全存储介质中，只有使用对应终端当前所处CA状态的安全存储介质在通过合法性验证后，才能成功改写终端的标志位；实现终端不同CA状态的安全切换，确保处于测试开发阶段的终端即使错误的以正式产品身份流通出去后，也无法正常地被使用，使用户和运营商的利益得到保证，提高终端设备的安全性。

附图说明

图1为本发明一种终端产品模式与开发模式安全切换的方法的流程方框图；

图2本发明为一具体实施方式一种终端产品模式与开发模式安全切换的方法中终端与上位机的数据交互图；

图3本发明为一种终端产品模式与开发模式安全切换的系统的结构组成方框图；

图4本发明为一具体实施方式一种终端产品模式与开发模式安全切换的系统中第一验证模块的结构组成方框图。

标号说明：

1、预设模块；2、预置模块；3、加密模块；4、颁发模块；

5、存储模块；6、第一发送模块；7、第二发送模块；8、读取模块；

9、第三发送模块；10、第一验证模块；11、第二验证模块；

12、第一判定模块；13、格式化模块；14、切换模块；

101、签名单元；102、发送单元；103、验证单元。

具体实施方式

本发明最关键的构思在于：对应处于不同阶段的终端配置不同的CA证书管理机构；将不同CA颁发的证书公私钥对存储在不同的安全存储介质中，只有使用对应终端当前所处CA状态的安全存储介质在通过合法性验证后，才能成功改写终端的标志位；实现终端不同CA的安全切换。

本发明涉及的技术术语解释:

请参照图1以及图2，本发明提供一种终端产品模式与开发模式安全切换的方法，包括：

预设产品CA和开发CA；将产品CA和开发CA预置在终端中；

上位机发送CA状态切换指令至终端；

终端依据所述标志位发送当前所处状态至上位机；

上位机读取一安全存储介质中存储的私钥和证书；

上位机发送所述证书至终端；

终端验证所述私钥的合法性，得到第六验证结果；

需要说明的是，在CPU的内部FLASH中，存在一个标志用来表示终端当前是开发CA还是产品CA。所述标志位可以使用四字节表示，如当数据为0xFFFFFFFF时为产品模式，数据为0xABABABAB时表示当前为开发模式；FLASH的特性是擦除后均被写为0xFF，达到默认状态为产品状态的效果。

在终端状态切换过程中，通过格式化终端的密钥存储区，能够对终端当前状态的敏感信息进行清除，如切换为开发模式之前，则清除产品状态对应的密钥、证书等信息，防止产品状态的敏感信息被误用至开发状态中，提高终端安全性。

从上述描述可知，本发明的有益效果在于：本发明对应开发阶段和产品阶段配置开发CA和产品CA；并将对应的证书和公私钥分别存储在开发安全存储介质和产品安全存储介质中；通过安全存储介质中的证书和公私钥对完成终端对上位机的合法性验证后，才能成功切换终端的状态；确保终端的安全性。

进一步的，所述“使用产品CA颁发包含所述产品公钥的产品证书；使用开发CA颁发包含所述开发公钥的开发证书”具体为：

使用产品CA中的产品根私钥对产品公钥进行签名，生成产品证书签名；

生成包括产品公钥和产品证书签名的产品证书；

使用开发CA中的开发根私钥对开发公钥进行签名，生成开发证书签名；

生成包括开发公钥和开发证书签名的开发证书。

由上述描述可知，本发明针对处于产品阶段的终端配备专门的产品CA，并由产品CA颁发相应的产品公私钥对；针对处于开发阶段的终端配备专门的开发CA，由开发CA颁发相应的产品公私钥对；以实现开发阶段的终端与产品阶段的终端在本质上的区分。

进一步的，所述“终端依据所述标志位发送当前所处状态至上位机”具体为:

终端依据所述标志位发送当前所处状态和第一随机数至上位机。

进一步的，所述“终端使用当前状态对应的CA验证所述证书的合法性，得到第五验证结果；终端验证所述私钥的合法性，得到第六验证结果；若第五验证结果和第六验证结果均为合法，则判定所述一安全存储介质与终端当前所处状态对应”具体为：

上位机使用所述私钥对所述第一随机数进行签名，生成签名后第一随机数；

发送所述签名后第一随机数和所述证书至终端；

终端使用当前状态对应的CA验证所述证书中的证书签名；

若验证通过，则使用所述证书中的公钥对所述签名后第一随机数进行验签；

若验签通过，则判定所述一安全存储介质与终端当前所处状态对应。

由上述描述可知，本发明使用终端当前所处状态对应的CA来验证安全存储介质中证书和私钥的合法性，进而实现终端对上位机的权限验证；确保验证过程的可靠性。

进一步的，所述“上位机读取一安全存储介质中存储的私钥和证书”之前进一步包括：

预设对应所述一安全存储介质的PIN码；

终端获取输入的PIN码；发送所述PIN码至所述一安全存储介质中；

所述一安全存储介质验证所述PIN码的正确性；

若验证通过，则执行所述“上位机读取一安全存储介质中存储的私钥和证书”。

由上述描述可知，本发明能够预设与安全存储介质对应的PIN码，并在上位机连接安全存储介质后，要求验证PIN码；实现介质所有者与安全存储介质的合法性验证，确保安全存储介质为合法者所使用，提高终端状态切换的安全性。

进一步的，所述安全存储介质为IC卡或U-key。

由上述描述可知，安全存储介质可以以IC卡或者U-key形式存在，方便用户的使用，且具备较高的安全存储性能。

请参阅图3，本发明提供的第二个技术方案为：

一种终端产品模式与开发模式安全切换的系统，包括：

预设模块1，用于预设产品CA和开发CA，以及预设终端内部FLASH中的标志位分别对应产品状态和开发状态；

预置模块2，用于将产品CA和开发CA预置在终端中；

加密模块3，用于使用第一加密机生成产品公私钥对，以及使用第二加密机生成开发公私钥对；

颁发模块4，用于使用产品CA颁发包含所述产品公钥的产品证书；使用开发CA颁发包含所述开发公钥的开发证书；

存储模块5，用于将所述产品证书和产品私钥存储在产品安全存储介质中；将所述开发证书和开发私钥存储在开发安全存储介质中；

第一发送模块6，用于上位机发送CA状态切换指令至终端；

第二发送模块7，用于终端依据所述标志位发送当前所处状态至上位机；

读取模块8，用于上位机读取一安全存储介质中存储的私钥和证书；

第三发送模块9，用于上位机发送所述证书至终端；

第一验证模块10，用于终端使用当前状态对应的CA验证所述证书的合法性，得到第五验证结果；

第二验证模块11，用于终端验证所述私钥的合法性，得到第六验证结果；

第一判定模块12，用于若第五验证结果和第六验证结果均为合法，则判定所述一安全存储介质与终端当前所处状态对应；

格式化模块13，用于格式化终端的密钥存储区；

切换模块14，用于改写标志位，切换终端为另一状态。

从上述描述可知，本发明的有益效果在于：本发明能够通过上位机来读取安全存储介质中的证书和私钥，并与终端进行交互，完成终端状态地安全切换。

优选的，所述终端产品模式与开发模式安全切换的系统包括上位机、终端和安全存储介质；所述上位机包括第一发送模块6、读取模块8和第三发送模块9；所述终端包括第二发送模块7、第一验证模块10、第二验证模块11、第一判定模块12、格式化模块13和切换模块14。

进一步的，所述第二发送模块7具体用于终端依据所述标志位发送当前所处状态和第一随机数至上位机。

请参阅图4，进一步的，所述第一验证模块10包括签名单元101、发送单元102和验证单元103；

所述签名单元101，用于上位机使用所述私钥对所述第一随机数进行签名，生成签名后第一随机数；

所述发送单元102，用于发送所述签名后第一随机数和所述证书至终端；

所述验证单元103，用于终端使用当前状态对应的CA验证所述证书中的证书签名；

所述第二验证模块11，具体用于若所述验证单元103验证通过，则使用所述证书中的公钥对所述签名后第一随机数进行验签；

所述第一判定模块12，具体用于当所述验签单元验签通过，则判定所述一安全存储介质与终端当前所处状态对应。

由上述可知，本发明能够通过第一验证模块10和第二验证模块11使用终端当前所处状态对应的CA来验证安全存储介质中证书和私钥的合法性，进而实现终端对上位机的权限验证；确保验证过程的可靠性。

进一步的，所述安全存储介质为IC卡或U-key。

由上述可知，安全存储介质可以以IC卡或者U-key形式存在，方便用户的使用，且具备较高的安全存储性能。

请参照图2，本发明的实施例一为：

一种终端产品模式与开发模式安全切换的方法，所述安全存储介质为IC签名卡；所述终端为POS终端。

预设产品CA和开发CA，并将产品CA和开发CA同时预置在POS终端中；所述开发CA和产品CA可以是不同第三方组织或公司所开发的不同数字证书认证中心，当然，也可以是同一组织或公司开发的不同数字证书认证中心；

预设POS终端内部FLASH中的标志位为0xFFFFFFFF时POS终端为产品状态，标志位为0xABABABAB时POS终端为开发状态；

第一加密机生成产品公私钥对；使用产品CA中的产品根私钥对产品公钥进行签名，生成产品证书签名；生成包括产品公钥和产品证书签名的产品证书；将所述产品证书和产品私钥存储在产品IC签名卡中；预设与产品IC签名卡相对应的PIN码，可以每一张IC签名卡的PIN码都不一样；

第二加密机生成产品公私钥对；使用开发CA中的开发根私钥对开发公钥进行签名，生成开发证书签名；生成包括开发公钥和开发证书签名的开发证书；将所述开发证书和开发私钥存储在开发IC签名卡中；预设与开发IC签名卡相对应的PIN码；

产品人员将产品IC签名卡插入上位机的IC卡接口中；

上位机读取产品IC签名卡，并发送CA状态切换指令至POS终端；

POS终端接收所述CA状态切换指令，并判断标志位是否为0xFFFFFFFF；若不是，则判定POS终端当前处于开发状态，则提示IC签名卡与当前状态不对应，无法执行操作，结束流程；

若标志位为0xFFFFFFFF，则判定当前处于产品状态，POS终端回复上位机当前所处状态，以及第一随机数；

上位机接收POS终端的状态回复和第一随机数，提示输入PIN码；

上位机接收产品人员输入的PIN码，并通过产品IC签名卡验证PIN码是否与预设的PIN码一致；若不一致，则提示PIN码错误，结束流程；

若一致，则判定所述产品IC签名卡为插卡人合法所有；

上位机获取产品IC签名卡中存储的证书和私钥，并使用私钥对第一随机数rng1进行签名，生成签名后的第一随机数E(rng1)；

上位机发送签名后的第一随机数E(rng1)和产品证书至POS终端；

POS终端接收所述产品证书，并使用产品CA的产品根公钥对所述产品证书中的产品证书签名进行验证；

若验证通过，则判定所述产品证书为合法的证书；

POS终端使用产品证书中的产品公钥Puk对签名后的第一随机数E(rng1)进行验签；

若验签通过，则判定所述产品IC签名卡中存储的私钥为合法私钥；进而判定所述产品安全存储介质为合法的产品安全存储介质。

格式化终端的密钥存储区，清除产品状态所涉及的包括密钥和证书等的敏感信息；改写标志位为标志位为0xABABABAB，切换终端为开发CA状态；

当开发人员使用开发IC签名卡通过上位机执行POS终端的状态切换操作，将POS终端从开发状态切换成产品状态时所需的流程与上述产品状态切换成开发状态所需流程一致，在此不累述。

请参阅图3和图4，本发明提供的实施例二为：

一种终端产品模式与开发模式安全切换的系统，包括：

预置模块2，用于将产品CA和开发CA预置在终端中；

第一发送模块6，用于上位机发送CA状态切换指令至终端；

第二发送模块7，用于终端依据所述标志位发送当前所处状态和第一随机数至上位机；

第三发送模块9，用于上位机发送所述证书至终端；

第一验证模块10，用于终端使用当前状态对应的CA验证所述证书的合法性，得到第五验证结果；具体的，所述第一验证模块10包括签名单元101、发送单元102和验证单元103；

第二验证模块11，用于若所述验证单元103验证通过，则使用所述证书中的公钥对所述签名后第一随机数进行验签；

第一判定模块12，用于当所述验签单元验签通过，则判定所述一安全存储介质与终端当前所处状态对应；

格式化模块13，用于格式化终端的密钥存储区；

切换模块14，用于改写标志位，切换终端为另一状态。

综上所述，本发明提供的一种终端产品模式与开发模式安全切换的方法及系统，区别于现有技术无法实现终端从本质上区分所处不同阶段，可能导致测试开发版本的终端意外流入市场使用，存在安全隐患的问题；本发明对应处于不同阶段的终端配置不同的CA证书管理机构；将不同CA颁发的证书公私钥对存储在不同的安全存储介质中，只有使用对应终端当前所处CA状态的安全存储介质在通过合法性验证后，才能成功改写终端的标志位；实现终端不同CA的安全切换；通过终端与上位机的交互来实现终端状态的切换，确保无接口配置的终端仍能实现不同状态的安全切换；同时，还包括了对状态切换的操作执行者的身份验证，确保操作执行者的合法性；进一步的，还可以对终端的不同状态设置不同优先级别，实现安全、快速的切换。

Claims

一种终端产品模式与开发模式安全切换的方法，其特征在于，包括：

预设产品CA和开发CA；将产品CA和开发CA预置在终端中；

预设终端内部FLASH中的标志位分别对应产品状态和开发状态；

第一加密机生成产品公私钥对；第二加密机生成开发公私钥对；

使用产品CA颁发包含所述产品公钥的产品证书；使用开发CA颁发包含所述开发公钥的开发证书；

将所述产品证书和产品私钥存储在产品安全存储介质中；将所述开发证书和开发私钥存储在开发安全存储介质中；

上位机发送CA状态切换指令至终端；

终端依据所述标志位发送当前所处状态至上位机；

上位机读取一安全存储介质中存储的私钥和证书；

上位机发送所述证书至终端；

终端使用当前状态对应的CA验证所述证书的合法性，得到第五验证结果；

终端验证所述私钥的合法性，得到第六验证结果；

若第五验证结果和第六验证结果均为合法，则判定所述一安全存储介质与终端当前所处状态对应；

格式化终端的密钥存储区；改写标志位，切换终端为另一状态。
如权利要求1所述的一种终端产品模式与开发模式安全切换的方法，其特征在于，所述“使用产品CA颁发包含所述产品公钥的产品证书；使用开发CA颁发包含所述开发公钥的开发证书”具体为：

使用产品CA中的产品根私钥对产品公钥进行签名，生成产品证书签名；

生成包括产品公钥和产品证书签名的产品证书；

使用开发CA中的开发根私钥对开发公钥进行签名，生成开发证书签名；

生成包括开发公钥和开发证书签名的开发证书。
如权利要求1所述的一种终端产品模式与开发模式安全切换的方法，其特征在于，所述“终端依据所述标志位发送当前所处状态至上位机”具体为：

终端依据所述标志位发送当前所处状态和第一随机数至上位机。
如权利要求3所述的一种终端产品模式与开发模式安全切换的方法，其特征在于，所述“终端使用当前状态对应的CA验证所述证书的合法性，得到第五验证结果；终端验证所述私钥的合法性，得到第六验证结果；若第五验证结果和第六验证结果均为合法，则判定所述一安全存储介质与终端当前所处状态对应”具体为：

上位机使用所述私钥对所述第一随机数进行签名，生成签名后第一随机数；

发送所述签名后第一随机数和所述证书至终端；

终端使用当前状态对应的CA验证所述证书中的证书签名；

若验证通过，则使用所述证书中的公钥对所述签名后第一随机数进行验签；

若验签通过，则判定所述一安全存储介质与终端当前所处状态对应。
如权利要求1-4任意一项所述的一种终端产品模式与开发模式安全切换的方法，其特征在于，所述“上位机读取一安全存储介质中存储的私钥和证书”之前进一步包括：

预设对应所述一安全存储介质的PIN码；

终端获取输入的PIN码；发送所述PIN码至所述一安全存储介质中；

所述一安全存储介质验证所述PIN码的正确性；

若验证通过，则执行所述“上位机读取一安全存储介质中存储的私钥和证书”。
如权利要求1-4任意一项所述的一种终端产品模式与开发模式安全切换的方法，其特征在于，所述安全存储介质为IC卡或U-key。
一种终端产品模式与开发模式安全切换的系统，其特征在于，包括：

预设模块，用于预设产品CA和开发CA，以及预设终端内部FLASH中的标志位分别对应产品状态和开发状态；

预置模块，用于将产品CA和开发CA预置在终端中；

加密模块，用于使用第一加密机生成产品公私钥对，以及使用第二加密机生成开发公私钥对；

颁发模块，用于使用产品CA颁发包含所述产品公钥的产品证书；使用开发CA颁发包含所述开发公钥的开发证书；

存储模块，用于将所述产品证书和产品私钥存储在产品安全存储介质中；将所述开发证书和开发私钥存储在开发安全存储介质中；

第一发送模块，用于上位机发送CA状态切换指令至终端；

第二发送模块，用于终端依据所述标志位发送当前所处状态至上位机；

读取模块，用于上位机读取一安全存储介质中存储的私钥和证书；

第三发送模块，用于上位机发送所述证书至终端；

第一验证模块，用于终端使用当前状态对应的CA验证所述证书的合法性，得到第五验证结果；

第二验证模块，用于终端验证所述私钥的合法性，得到第六验证结果；

第一判定模块，用于若第五验证结果和第六验证结果均为合法，则判定所述一安全存储介质与终端当前所处状态对应；

格式化模块，用于格式化终端的密钥存储区；

切换模块，用于改写标志位，切换终端为另一状态。
如权利要求7所述的一种终端产品模式与开发模式安全切换的系统，其特征在于，所述第二发送模块具体用于终端依据所述标志位发送当前所处状态和第一随机数至上位机。
如权利要求8所述的一种终端产品模式与开发模式安全切换的系统，其特征在于，所述第一验证模块包括签名单元、发送单元和验证单元；

所述签名单元，用于上位机使用所述私钥对所述第一随机数进行签名，生成签名后第一随机数；

所述发送单元，用于发送所述签名后第一随机数和所述证书至终端；

所述验证单元，用于终端使用当前状态对应的CA验证所述证书中的证书签名；

所述第二验证模块，具体用于若所述验证单元验证通过，则使用所述证书中的公钥对所述签名后第一随机数进行验签；

所述第一判定模块，具体用于当所述验签单元验签通过，则判定所述一安全存储介质与终端当前所处状态对应。
如权利要求7所述的一种终端产品模式与开发模式安全切换的系统，其特征在于，所述安全存储介质为IC卡或U-key。