專利名稱:信息安全處理的方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域���,而且更具體地�,涉及信息安全處理的方法及裝置。
背景技術(shù):
廣泛使用芯片標識信息的智能卡(Smart Card)或IC卡(Intelligent Card)領(lǐng)域涉及通信���、金融財務�、社會保險�、交通旅游、醫(yī)療衛(wèi)生����、政府行政、商品零售�����、休閑娛樂�、學校管理及其它領(lǐng)域。智能卡或IC卡的使用給人們帶來了極大的方便��。該領(lǐng)域的智能卡或IC卡會存儲一些機要數(shù)據(jù)���,要求這些數(shù)據(jù)不能被非法篡改�����。這里描述的機要數(shù)據(jù)和用戶私密數(shù)據(jù)不同��,機要數(shù)據(jù)是生產(chǎn)商或者運營商來設定維護�����,用于保證生產(chǎn)商���、運營商和用戶的利益��,但用戶沒有權(quán)限對數(shù)據(jù)進行修改和功能屏蔽。所以裝置需要提供一種方法來保證機要數(shù)據(jù)的安全���,在保證數(shù)據(jù)安全的同時需要考慮合法授權(quán)修改的情況���。然而,有些非法用戶通過篡改�、盜取并復制智能卡或IC卡上的機要數(shù)據(jù)進行智能卡或IC卡的復制或盜號,對生產(chǎn)商�����、運營商和用戶的利益造成了損害�。因此,現(xiàn)有的信息安全處理方法的安全級別太低����,容易被非法用戶復制或盜號���。
發(fā)明內(nèi)容
本發(fā)明提供了一種信息安全處理的方法和裝置,能夠?qū)崿F(xiàn)高安全級別的信息安全處理功能�����。一方面�����,提供了一種信息安全處理的方法�,該方法包括在裝置的芯片的一次性寫入?yún)^(qū)域存儲裝置特征碼或裝置特征碼的變化碼,以建立裝置和裝置特征碼之間的鎖定關(guān)系��,其中裝置特征碼的變化碼是一部分裝置特征碼���、經(jīng)算法處理的裝置特征碼�����、經(jīng)算法處理的一部分裝置特征碼���、經(jīng)算法處理的一部分裝置特征碼�、經(jīng)算法處理的裝置特征碼的一部分或經(jīng)算法處理的一部分裝置特征碼的一部分���;檢驗裝置和裝置特征碼之間的鎖定關(guān)系�����, 當檢驗到裝置特征碼或裝置特征碼的變化碼與裝置不符時�,則裝置不能正常工作���,或者當檢驗到裝置特征碼或裝置特征碼的變化碼與裝置相符時��,則裝置正常工作。另一方面���,提供了一種信息安全處理的裝置�,該裝置包括第一存儲單元和檢驗單元�,其中第一存儲單元用于在裝置的芯片的一次性寫入?yún)^(qū)域存儲裝置特征碼或裝置特征碼的變化碼,以建立裝置和裝置特征碼之間的鎖定關(guān)系�����,其中裝置特征碼的變化碼是一部分裝置特征碼���、經(jīng)算法處理的裝置特征碼����、經(jīng)算法處理的一部分裝置特征碼、經(jīng)算法處理的一部分裝置特征碼�、經(jīng)算法處理的裝置特征碼的一部分或經(jīng)算法處理的一部分裝置特征碼的一部分;檢驗單元用于檢驗裝置和裝置特征碼之間的鎖定關(guān)系�,當檢驗到裝置特征碼或裝置特征碼的變化碼與裝置不符時,則裝置不能正常工作�����,或者當檢驗到裝置特征碼或裝置特征碼的變化碼與裝置相符時��,則裝置正常工作�。通過上述方案,可以在裝置的芯片的一次性寫入?yún)^(qū)域存儲裝置特征碼或裝置特征碼的變化碼�,從而實現(xiàn)了高安全級別的信息安全處理功能,有效防止非法用戶復制或盜號���, 保護生產(chǎn)商�����、運營商和用戶的利益����。
為了更清楚地說明本發(fā)明實施例的技術(shù)方案,下面將對本發(fā)明實施例中所需要使用的附圖作簡單地介紹�,顯而易見地,下面所描述的附圖僅僅是本發(fā)明的一些實施例��,對于本領(lǐng)域普通技術(shù)人員來講�,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他的附圖���。圖1是根據(jù)本發(fā)明實施例信息安全處理的方法的流程圖�����。圖2是根據(jù)本發(fā)明實施例的信息安全處理的方法的例子的示意圖��。圖3是根據(jù)本發(fā)明實施例信息安全處理的方法的另一例子的示意圖�����。圖4根據(jù)本發(fā)明實施例信息安全處理的裝置的框圖。圖5是根據(jù)本發(fā)明另一實施例信息安全處理的裝置的框圖��。
具體實施例方式下面將結(jié)合本發(fā)明實施例中的附圖����,對本發(fā)明實施例中的技術(shù)方案進行清楚��、完整地描述��,顯然�����,所描述的實施例是本發(fā)明的一部分實施例����,而不是全部實施例����。基于本發(fā)明中的實施例��,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動的前提下所獲得的所有其他實施例�,都應屬于本發(fā)明保護的范圍。圖1是根據(jù)本發(fā)明實施例信息安全處理的方法10的流程圖��。圖1的11����,在裝置的芯片的一次性寫入?yún)^(qū)域存儲裝置特征碼或裝置特征碼的變化碼���,以建立裝置和裝置特征碼之間的鎖定關(guān)系,其中裝置特征碼的變化碼是一部分裝置特征碼���、經(jīng)算法處理的裝置特征碼���、經(jīng)算法處理的一部分裝置特征碼、經(jīng)算法處理的裝置特征碼的一部分或經(jīng)算法處理的一部分裝置特征碼的一部分�。裝置的芯片的一次性寫入?yún)^(qū)域可以是一次性可編程的非易失性存儲模塊,例如芯片的電保險絲(Electrical Fuse����,簡稱EFUSE)。在一次性寫入?yún)^(qū)域存儲裝置特征碼或裝置特征碼的變化碼����,建立了芯片和裝置特征碼或裝置特征碼的變化碼的硬件對應關(guān)系。裝置特征碼可以是各種智能卡或IC卡的卡號���,鑒于作為智能卡或IC卡的應用領(lǐng)域不同����,例如是國際移動設備身份碼((International Mobile Equipment Identity�,簡稱 IMEI)、用戶身份模塊SIM卡卡號�����、銀行卡卡號�����、交通卡卡號��、社?��?ㄌ?���、身份證號碼�、駕駛證號碼或醫(yī)保卡卡號等����。其中,可以在裝置的芯片的一次性寫入?yún)^(qū)域中存儲全部的裝置特征碼���。此外����,由于芯片的存儲空間有限,或者為進一步增加安全性能��,可以存儲裝置特征碼的變化碼���。例如 一部分裝置特征碼�����、經(jīng)算法處理的裝置特征碼����、經(jīng)算法處理的一部分裝置特征碼�、經(jīng)算法處理的裝置特征碼的一部分或經(jīng)算法處理的一部分裝置特征碼的一部分。算法處理包括使用哈希(Hash)算法或其衍生算法進行處理���。圖1的12���,檢驗裝置和裝置特征碼之間的鎖定關(guān)系,當檢驗到裝置特征碼或裝置特征碼的變化碼與裝置不符時�����,則裝置不能正常工作�����,或者當檢驗到裝置特征碼或裝置特征碼的變化碼與裝置相符時���,則裝置正常工作�����。裝置工作時��,會檢驗裝置和裝置特征碼之間的鎖定關(guān)系���。如果檢驗到芯片內(nèi)存儲的裝置特征碼與裝置不符,裝置不能正常工作��。這里所說的裝置特征碼與裝置不符可以是裝置特征碼與裝置的芯片不符�。比如說,裝置更換了芯片����,或者芯片內(nèi)存儲的裝置特征碼或裝置特征碼的變化碼被篡改,都會破壞裝置和裝置特征碼之間的鎖定關(guān)系。如果檢驗通過�, 裝置可以正常工作。通過上述方案�����,可以在裝置的芯片的一次性寫入?yún)^(qū)域存儲裝置特征碼或裝置特征碼的變化碼�����,以建立裝置和裝置特征碼之間的鎖定關(guān)系�����,從而實現(xiàn)了高安全級別的信息安全處理�����,有效保護生產(chǎn)商����、運營商和用戶的利益。作為一種營銷手段��,通信運營商以優(yōu)惠的價格或服務銷售指定終端����,并為此終端指定服務期限����。運營商需要對采用其補貼的終端啟動鎖卡功能(簡稱SimLock)���,具體就是對補貼的終端進行鎖定功能,這種情況下只有運營商指定的用戶身份模塊(Subscriber Identity Module���,簡稱SIM卡)才能在此終端上使用�����。當服務期限到達的時候���,需要對這些終端進行解除SimLock,解除SimLock后的終端能夠識別任意的SIM卡���,包括來自其他運營商的SIM卡����。部分地區(qū)如歐盟國家���,SIM卡的鎖定期到期后的解鎖是法律要求的功能?��,F(xiàn)有的終端鎖卡功能安全性差��,終端很容易在服務期限內(nèi)被解鎖�����,改用其他服務���, 對原運營商的利益造成損失。當為了解除SimLock�,終端軟件版本升級時,需要運營商生成不同版本����,以使終端重新升級軟件版本,導致運營商的工作量很大��。通信領(lǐng)域機要數(shù)據(jù)中的IMEI�,其主要用于終端防盜使用,保證終端丟失后即使更換了 SIM卡也不可以繼續(xù)使用����。對于運營商和用戶利益的保護是保證終端產(chǎn)品鎖卡功能的前提�。當終端的IMEI被盜用����、復制或篡改,亦或終端被非法復制時��,也會對生產(chǎn)商����、運營商及用戶的利益造成損失���。結(jié)合方法10�����,本發(fā)明提供了另一種信息安全處理的方法�����。圖2是根據(jù)本發(fā)明實施例的信息安全處理的方法的例子20的示意圖��。本發(fā)明實施例以移動通信技術(shù)中的終端為例展開說明��,但本發(fā)明實施例可以執(zhí)行例子20的裝置不限于此���。圖2的21與圖1的11類似��,在裝置的芯片的一次性寫入?yún)^(qū)域存儲裝置特征碼或裝置特征碼的變化碼��,以建立裝置和裝置特征碼之間的鎖定關(guān)系����,其中裝置特征碼的變化碼是一部分裝置特征碼��、經(jīng)算法處理的裝置特征碼�����、經(jīng)算法處理的一部分裝置特征碼�、經(jīng)算法處理的裝置特征碼的一部分或經(jīng)算法處理的一部分裝置特征碼的一部分。IMEI是國際移動設備身份碼的縮寫�,是由15位數(shù)字組成的"電子串號",它與每臺終端一一對應����,而且該碼是全世界唯一的。IMEI是終端的裝置特征碼���。每一只終端在組裝完成后都將被賦予一個全球唯一的一組號碼���,這個號碼從生產(chǎn)到交付使用都將被制造生產(chǎn)的廠商所記錄�����。IMEI為15位數(shù)值���,其組成結(jié)構(gòu)為TAC(6位數(shù)字)+FAC(兩位數(shù)字)+SNR(6位數(shù)字)+SP(l位數(shù)字)。其中���,設備型號核準號碼(TAC)�����,由歐洲型號認證中心分配。工廠裝配碼(FAC)由廠家編碼����,通常表示生產(chǎn)廠家及其裝配地。序號碼(SNR)也由廠家分配���,用于識別每個TAC和FAC中的特定設備���。SP備用碼����,用來做備用的���。在制造終端時����,在客戶信息設置(Customer Information ktting�����,簡稱CS)工位����,寫入運營商制定信息,即在終端的一次性寫入?yún)^(qū)域�����,例如芯片的電保險絲(Electrical Fuse����,簡稱EFUSE)中存儲完整的IMEI信息。EFUSE是一次性可編程的非易失性存儲模塊。此時將IMEI存儲在芯片EFUSE中��,這樣就建立了芯片和IMEI的硬件對應關(guān)系�����,實現(xiàn)了綁定處理����。從IMEI的組成得知,每一部手機的SNR都不一樣�。可以了解到對一批次出貨最有意義的是SNR字段����,數(shù)值范圍為0-1,000�,000。SNR轉(zhuǎn)換到16進制�,表示如下。1000000 = 0xF4240HEX (SNR) - > OxAAAAA (共 20 比特)作為本發(fā)明另一實施例�����,由于芯片EFUSE字段有限�,可以將IMEI信息的一部分,例如將每個終端SNR對應的十六進制IMEI (OxAAAAA)�����,共20比特的信息存儲在芯片EFUSE中����。作為本發(fā)明又一實施例,可以將IMEI信息的全部或一部分(例如SNR)經(jīng)過哈希(HASH)算法或哈希算法的衍生算法處理后����,將處理后得到的值作為變化碼存儲在芯片 EFUSE中,或者將處理后得到的值的一部分作為變化碼存儲在芯片EFUSE中��。圖2的22�����,生成攜帶鎖卡標識信息的鎖卡密鑰參數(shù)�����,該鎖卡密鑰參數(shù)的存儲方式包括在非機要數(shù)據(jù)區(qū)設置的非易失性參數(shù)�、文件或數(shù)據(jù)庫。其中鎖卡標識信息表明本裝置是鎖卡裝置���,在本裝置解除鎖卡成功時�,鎖卡標識信息被解密信息替代。解密信息是通過使用裝置特征碼或裝置特征碼的變化碼執(zhí)行加密算法而生成的�。加解密算法可以采用安全性強的算法,諸如消息摘要算法第九版(Message Digest Alogorithm��,簡稱MD9)�。MD9算法對于每一個IMEI生成一個唯一對應的解密信息, 生成的解碼信息為8字節(jié)����。終端在產(chǎn)線生產(chǎn)時,配置一臺加密服務器���,在產(chǎn)線的CS工位����,通過MD9算法���,讀取每個IMEI��,并生成一一對應的解密信息���,存放在加密服務器上。當生產(chǎn)商向運營商提供終端時���,同時提供包括IMEI和對應解密信息的數(shù)據(jù)庫�。作為本發(fā)明實施例�����,加密也可以采用非對稱加解密算法�����。其中RSA算法是非對稱加解密算法的一種�,下面以RSA算法為例展開說明。RSA算法加密是通過采用一對長度為IOM比特��,128字節(jié)的公鑰(Key-Public)和私鑰(Key-Private)���,進行加密處理�。RSA算法加密步驟分為以下兩步����。1)待加密數(shù)據(jù)C是A (終端的IMEI)和B (Key-Public,公鑰)的線性變換����,長度是 128 字節(jié)�����。C = fl(A, B)2)D = Encrypt (Key-Private, C)���,通過 RSA 算法,用 Key-Private 對數(shù)據(jù) C 進行加密�,得到解密信息D。解密信息D用來解除終端鎖卡功能��,長度是1 字節(jié)����。A也可以是如前實施例提及的IMEI的變化碼,例如IMEI中的SNR���。以通信領(lǐng)域的終端為例����,終端的SimLock的非易失性參數(shù)(Non-Volatile Value, 簡稱NV)包括鎖卡狀態(tài)參數(shù)(簡稱CardlockStatus)用來保存是否支持SimLock (鎖卡功能)(例如缺省值為2表示鎖卡功能關(guān)閉��,1表示鎖卡功能開啟)�����。鎖卡服務參數(shù)(簡稱CustomizeSimLockPlmr^nfo)用來配置需鎖網(wǎng)的公共陸地移動網(wǎng)絡(Public Land Mobility Network���,簡稱PLMN)的起始地址�����,目前支持多組PLMN號段的鎖卡功能���。比如對于特定運營商,可以鎖定組135820xxxxx�,表示把135820開頭的號段鎖定,或者135831xxxxx 表示把135831開頭的號段鎖定���。將SimLock 相關(guān)的內(nèi)容 CardlocMtatus�����,CustomizeSimLockPlmr^nfo 作為機要數(shù)據(jù)進行保存�。機要數(shù)據(jù)是生產(chǎn)商或者運營商來設定維護��,用于保證生產(chǎn)商�、運營商和用戶的利益���,但用戶沒有權(quán)限對數(shù)據(jù)進行修改和功能屏蔽。當終端鎖卡時�,CardlockStatus設置為 1,CustomizeSimLockPlmnlnfo ±真寫需要鎖定的 PLMN 號段��。在裝置出廠前��,終端存儲鎖卡標識信息�,以表明本裝置是鎖卡終端。終端生成一項參數(shù)鎖卡密鑰參數(shù)(簡稱CardLockKey)以攜帶鎖卡標識信息�。鎖卡密鑰參數(shù)的存儲方式包括在非機要數(shù)據(jù)區(qū)存儲的NV、文件或數(shù)據(jù)庫等��,大小可以根據(jù)加解密技術(shù)的不同預留�����,例如為8字節(jié)或1 字節(jié)����,在解除SimLock時用來保存此IMEI的對應的解密信息。用戶可以對非機要數(shù)據(jù)區(qū)上的數(shù)據(jù)進行修改或功能屏蔽����。當運營商需要開啟鎖卡功能的終端時��,在鎖卡終端中����,CardlockStatus設置為1�, CustomizeSimLockPlmnlnfo ±真寫需要鎖定的PLMN號段。同時把CardLockKey設置為缺省值����。此缺省值也就是鎖卡標識信息����,例如是8字節(jié)的全F或者是1 字節(jié)的全F。此處的取值僅為舉例說明�����,可以是任何其他數(shù)值�。當運營商需要關(guān)閉鎖卡功能的終端時,在非鎖卡終端中�,CardlockStatus設置為 2, CustomizeSimLockPlmnlnfo不需要設置。同時把CardLockKey設置為全F(8字節(jié)的全F 或者是1 字節(jié)的全F)����。生產(chǎn)商向運營商提供終端時���,同時將包括IMEI和對應解密信息的數(shù)據(jù)庫同步提供給運營商(數(shù)據(jù)庫的內(nèi)容包括每個終端的C和D數(shù)據(jù))。當生產(chǎn)商向運營商提供裝置鎖卡終端產(chǎn)品時�����,同時把包括IMEI和對應解密的數(shù)據(jù)庫同步提供給運營商(數(shù)據(jù)庫的內(nèi)容包括每個終端的C和D數(shù)據(jù))�����,以便解除SimLock時使用解密信息D替代鎖卡標識信息(1 字節(jié)的全F)�����。圖2的23與圖1的12相似��,檢驗裝置和裝置特征碼之間的鎖定關(guān)系����,當檢驗到裝置特征碼或裝置特征碼的變化碼與裝置不符時,則裝置不能正常工作���,或者當檢驗到裝置特征碼或裝置特征碼的變化碼與裝置相符時���,則裝置正常工作�。終端工作時����,會檢驗裝置和裝置特征碼之間的鎖定關(guān)系。如果檢驗到芯片內(nèi)存儲的IMEI與芯片不符����,則終端不能正常工作。比如說���,裝置更換了芯片或芯片內(nèi)存儲的IMEI 或IMEI的變化碼被篡改,都會破壞芯片和IMEI之間的鎖定關(guān)系��。如果檢驗通過�,則終端可以正常工作。圖2的M����,獲取解密信息并根據(jù)解密信息執(zhí)行解密算法。當運營商需要給用戶的終端解除SimLock時���,運營商通過用戶接口的網(wǎng)頁應用 (Web UI)獲取到終端的數(shù)據(jù)C(包括IMEI和公鑰信息��,運營商用來確定用戶是否滿足解除 SimLock的條件)���,此時運營商查找數(shù)據(jù)庫���,獲取到了此用戶IMEI對應的解密信息D (128字節(jié)),并把此解密信息D用文件的方式�,例如可以通過郵件、數(shù)據(jù)拷貝等方式提供給用戶�。基于加解密技術(shù)的不同����,短的解密信息可以打印出來,便于用戶攜帶��,長的解密信息可以以電子文件的形式輸出�,以供解除SimLock時使用。終端可以通過用戶輸入獲取解密信息D并執(zhí)行解密算法�����。RSA算法解密步驟如下解密處理C= Decrypt (Key-public, D)��,通過 RSA 算法���,采用 Key-public 對解密信息D進行解密處理����,得到數(shù)據(jù)C。解密成功�,終端可以按非鎖卡終端工作;解密失敗���,終端仍可以按鎖卡終端工作����。圖2的25�,當根據(jù)解密信息執(zhí)行解密算法成功時,則存儲解密信息以替代鎖卡密
8鑰參數(shù)攜帶的鎖卡標識信息���。解密成功,CardLockKey存儲解密信息D��。這樣每次用戶開機后�,就可以使用此 CardLockKey來解除SimLock,終端按非鎖卡終端處理��,不再需要運營商為不同的終端解除 SimLock而升級軟件版本����。如果用戶輸入的解密信息D采用公鑰解密后�,結(jié)果不等于C���,則解除SimLock失敗�����, 同時不必把D寫入CardLockKey��,終端按鎖卡終端處理�。通過上述方案�����,可以在裝置的芯片的一次性寫入?yún)^(qū)域存儲裝置特征碼或裝置特征碼的變化碼�����,以建立裝置和裝置特征碼之間的鎖定關(guān)系��,使用裝置特征碼或裝置特征碼的變化碼執(zhí)行加解密算法����,從而實現(xiàn)了高安全級別的信息安全處理�����,有效保護生產(chǎn)商�����、運營商和用戶的利益���,并在解除裝置鎖卡功能時,簡單易行����,減少了運營商的工作量。圖3是根據(jù)本發(fā)明實施例信息安全處理的方法的例子300的示意圖���。本發(fā)明實施例以通信領(lǐng)域的終端為例���。圖3的301,終端開機�。圖3的302���,終端執(zhí)行硬件安全啟動(Boot)方案進行引導����。首先從芯片的 Onchipprom鏡像中啟動。Onchiprom鏡像里的程序是不可能被修改的�。Onchiprom鏡像校驗Bootload鏡像正確性,Bootload鏡像校驗Bootrom鏡像和Vxworks. bin鏡像的安全性�。 Vxworks. bin鏡像校驗機要數(shù)據(jù)的安全性。通過層層安全校驗�����,確保映像和機要數(shù)據(jù)沒有被非法修改��。鏡像表示經(jīng)過編譯后���,可運行的一個二進制的代碼模塊如果發(fā)現(xiàn)校驗失敗����,即圖3的302的“失敗”���,則進行到圖3的304���,代碼停止繼續(xù)運行,并提示用戶錯誤原因��。如果通過,即圖3的302的“通過”�����,則進行到圖3的303圖3的303�����,當Vxworks. bin映像運行時�����,首先對IMEI和芯片的EFUSE值進行校驗��。如果校驗失敗�����,即圖3的303的“失敗”�,則說明終端IMEI可能被用戶篡改,此次啟動失敗�,并提示用戶失敗原因,進行到圖3的304���。如果校驗通過�����,即圖3的303的“通過”��,則進行到圖3的305�����。圖3的305�����,接著檢驗SimLock特性�����,代碼首先查看CardlockStatus�����。如果CardlockStatus = 2����,即圖3的305的“否”,表示鎖卡功能關(guān)閉��,則此時終端為沒有鎖卡的終端����,本終端作為非鎖卡終端處理,進行到圖3的306��。如果CardlockStatus = 1���,即圖3的305的“是”�,表示鎖卡功能開啟���,初步認為此終端為鎖卡終端�,進行到圖3的307�。圖3的307,確定CardLockKey數(shù)值(來判斷SimLock功能是否被解除了)�。如果發(fā)現(xiàn)CardLockKey數(shù)值是全F,即圖3的307的“是”��,則最終確定此終端為開啟鎖卡功能的終端�,進行到圖3的308,按鎖卡終端處理�。如果發(fā)現(xiàn)CardLockKey不是全F�����,即圖3的307的“否”�,則進行到圖3的309�,直接使用CardLockKey內(nèi)容進行解密校驗�。如果校驗通過,則說明此時的終端是解除SimLock后的終端�,本終端作為非鎖卡終端處理,進行到圖3的306����。如果校驗失敗,則此次解除SimLock失敗�,并提示用戶失敗原因,進行到圖3的308���,按鎖卡終端處理�����。根據(jù)本發(fā)明實施例��,通過層層校驗����,能夠?qū)崿F(xiàn)高安全級別的信息安全處理,有效保護生產(chǎn)商�����、運營商和用戶的利益���,并在解除裝置鎖卡功能時���,簡單易行,減少了運營商的工作量�����。圖4根據(jù)本發(fā)明實施例信息安全處理的裝置40的框圖�����。裝置40包括第一存儲單元41和檢驗單元42��。第一存儲單元41在裝置的芯片的一次性寫入?yún)^(qū)域存儲裝置特征碼或裝置特征碼的變化碼�,以建立裝置和裝置特征碼之間的鎖定關(guān)系,其中裝置特征碼的變化碼是一部分裝置特征碼��、經(jīng)算法處理的裝置特征碼、經(jīng)算法處理的一部分裝置特征碼���、經(jīng)算法處理的裝置特征碼的一部分或經(jīng)算法處理的一部分裝置特征碼的一部分�。裝置的芯片的一次性寫入?yún)^(qū)域可以是一次性可編程的非易失性存儲模塊��,例如芯片的電保險絲(Electrical Fuse����,簡稱EFUSE)����。在一次性寫入?yún)^(qū)域存儲裝置特征碼或裝置特征碼的變化碼,建立了芯片和裝置特征碼或裝置特征碼的變化碼的硬件對應關(guān)系���。裝置特征碼可以是各種智能卡或IC卡的卡號�,鑒于作為智能卡或IC卡的應用領(lǐng)域不同�����,例如是國際移動設備身份碼((International Mobile Equipment Identity����,簡稱 IMEI)��、用戶身份模塊SIM卡卡號���、銀行卡卡號、交通卡卡號�����、社?���?ㄌ枴⑸矸葑C號碼��、駕駛證號碼或醫(yī)?��?ㄌ柕?��。可以存儲全部的裝置特征碼�����。此外�,由于芯片的存儲空間有限��,或者為進一步增加安全性能���,可以存儲裝置特征碼的變化碼。例如一部分裝置特征碼��、經(jīng)算法處理的裝置特征碼����、經(jīng)算法處理的一部分裝置特征碼、經(jīng)算法處理的裝置特征碼的一部分或經(jīng)算法處理的一部分裝置特征碼的一部分�����。算法處理包括使用哈希(Hash)算法或其衍生算法進行處理�����。檢驗單元42檢驗裝置和裝置特征碼之間的鎖定關(guān)系���,當檢驗到裝置特征碼或裝置特征碼的變化碼與裝置不符時,則裝置不能正常工作����,或者當檢驗到裝置特征碼或裝置特征碼的變化碼與裝置相符時�����,則裝置正常工作��。裝置工作時����,會檢驗裝置和裝置特征碼之間的鎖定關(guān)系�。如果檢驗到芯片內(nèi)存儲的裝置特征碼與裝置不符,裝置不能正常工作���。這里所說的裝置特征碼與裝置不符可以是裝置特征碼與裝置的芯片不符���。比如說�����,裝置更換了芯片,或者芯片內(nèi)存儲的裝置特征碼或裝置特征碼的變化碼被篡改����,都會破壞裝置和裝置特征碼之間的鎖定關(guān)系。如果檢驗通過�����, 裝置可以正常工作。通過上述方案��,可以在裝置的芯片的一次性寫入?yún)^(qū)域存儲裝置特征碼或裝置特征碼的變化碼����,以建立裝置和裝置特征碼之間的鎖定關(guān)系,從而實現(xiàn)了高安全級別的信息安全處理��,有效保護生產(chǎn)商�����、運營商和用戶的利益�。圖5是根據(jù)本發(fā)明另一實施例信息安全處理的裝置50的框圖。裝置50的第一存儲單元51和檢驗單元52分別與裝置40的第一存儲單元41和檢驗單元42相同或相似����。不同之處在于�����,裝置50還包括生成單元53�、解密單元M和第二存儲單元55����。生成單元53用于生成攜帶鎖卡標識信息的鎖卡密鑰參數(shù)��,該鎖卡密鑰參數(shù)的存儲方式包括在非機要數(shù)據(jù)區(qū)設置的非易失性參數(shù)����、文件或數(shù)據(jù)庫。
其中鎖卡標識信息表明本裝置是鎖卡裝置��,在本裝置解除鎖卡成功時����,鎖卡標識信息被解密信息替代。解密信息是通過使用裝置特征碼或裝置特征碼的變化碼執(zhí)行加密算法而生成的�。解密單元M用于獲取解密信息并根據(jù)解密信息執(zhí)行解密算法。第二存儲單元55用于當根據(jù)解密信息執(zhí)行解密算法成功時��,則存儲解密信息以替代鎖卡密鑰參數(shù)攜帶的鎖卡標識信息��。裝置50實現(xiàn)了方法10�����、例子20和例子300,具體細節(jié)參考方法10和例子20和例子300�����,此處不再贅述�����。通過上述方案�,可以在裝置的芯片的一次性寫入?yún)^(qū)域存儲裝置特征碼或裝置特征碼的變化碼,以建立裝置和裝置特征碼之間的鎖定關(guān)系���,使用裝置特征碼或裝置特征碼的變化碼執(zhí)行加解密算法�,從而實現(xiàn)了高安全級別的信息安全處理��,有效保護生產(chǎn)商�、運營商和用戶的利益,并在解除裝置鎖卡功能時����,簡單易行,減少了運營商的工作量�����。本領(lǐng)域普通技術(shù)人員可以意識到����,結(jié)合本文中所公開的實施例描述的各示例的單元及算法步驟,能夠以電子硬件���、或者計算機軟件和電子硬件的結(jié)合來實現(xiàn)���。這些功能究竟以硬件還是軟件方式來執(zhí)行,取決于技術(shù)方案的特定應用和設計約束條件�。專業(yè)技術(shù)人員可以對每個特定的應用來使用不同方法來實現(xiàn)所描述的功能,但是這種實現(xiàn)不應認為超出本發(fā)明的范圍�。所屬領(lǐng)域的技術(shù)人員可以清楚地了解到,為描述的方便和簡潔���,上述描述的系統(tǒng)�、 裝置和單元的具體工作過程�����,可以參考前述方法實施例中的對應過程����,在此不再贅述�。在本申請所提供的幾個實施例中��,應該理解到����,所揭露的系統(tǒng)、裝置和方法�,可以通過其它的方式實現(xiàn)。例如���,以上所描述的裝置實施例僅僅是示意性的�����,例如�����,所述單元的劃分�����,僅僅為一種邏輯功能劃分���,實際實現(xiàn)時可以有另外的劃分方式�����,例如多個單元或組件可以結(jié)合或者可以集成到另一個系統(tǒng),或一些特征可以忽略�����,或不執(zhí)行�。另一點,所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些接口�,裝置或單元的間接耦合或通信連接,可以是電性����,機械或其它的形式。所述作為分離部件說明的單元可以是或者也可以不是物理上分開的��,作為單元顯示的部件可以是或者也可以不是物理單元���,即可以位于一個地方���,或者也可以分布到多個網(wǎng)絡單元上?�?梢愿鶕?jù)實際的需要選擇其中的部分或者全部單元來實現(xiàn)本實施例方案的目的。另外�����,在本發(fā)明各個實施例中的各功能單元可以集成在一個處理單元中���,也可以是各個單元單獨物理存在�,也可以兩個或兩個以上單元集成在一個單元中���。所述功能如果以軟件功能單元的形式實現(xiàn)并作為獨立的產(chǎn)品銷售或使用時���,可以存儲在一個計算機可讀取存儲介質(zhì)中?;谶@樣的理解,本發(fā)明的技術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻的部分或者該技術(shù)方案的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來���,該計算機軟件產(chǎn)品存儲在一個存儲介質(zhì)中���,包括若干指令用以使得一臺計算機設備(可以是個人計算機,服務器��,或者網(wǎng)絡設備等)執(zhí)行本發(fā)明各個實施例所述方法的全部或部分步驟��。 而前述的存儲介質(zhì)包括U盤、移動硬盤����、只讀存儲器(ROM,Read-only Memory)�、隨機存取存儲器(RAM��,Random Access Memory)�、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)。以上所述�����,僅為本發(fā)明的具體實施方式
��,但本發(fā)明的保護范圍并不局限于此�,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi),可輕易想到變化或替換�����,都應涵蓋在本發(fā)明的保護范圍之內(nèi)���。因此��,本發(fā)明的保護范圍應所述以權(quán)利要求的保護范圍為準����。
權(quán)利要求
1.一種信息安全處理的方法,其特征在于���,所述方法包括在裝置的芯片的一次性寫入?yún)^(qū)域存儲裝置特征碼或裝置特征碼的變化碼��,以建立所述裝置和所述裝置特征碼之間的鎖定關(guān)系�����,其中所述裝置特征碼的變化碼是一部分所述裝置特征碼�����、經(jīng)算法處理的所述裝置特征碼��、 經(jīng)算法處理的一部分所述裝置特征碼���、經(jīng)算法處理的所述裝置特征碼的一部分或經(jīng)算法處理的一部分所述裝置特征碼的一部分;檢驗所述裝置和所述裝置特征碼之間的鎖定關(guān)系�����,當檢驗到所述裝置特征碼或裝置特征碼的變化碼與裝置不符時,所述裝置不能正常工作���;或者當檢驗到所述裝置特征碼或裝置特征碼的變化碼與裝置相符時���,則所述裝置正常工作。
2.根據(jù)權(quán)利要求1所述的方法���,其特征在于�,所述在裝置的芯片的一次性寫入?yún)^(qū)域存儲包括在所述裝置的芯片的電保險絲EFUSE中存儲���。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于���,所述經(jīng)算法處理的所述裝置特征碼�、經(jīng)算法處理的一部分所述裝置特征碼����、經(jīng)算法處理的所述裝置特征碼的一部分或經(jīng)算法處理的一部分所述裝置特征碼的一部分包括經(jīng)哈希算法或哈希算法的衍生算法處理的所述裝置特征碼,或經(jīng)哈希算法或哈希算法的衍生算法處理的一部分所述裝置特征碼��,或經(jīng)哈希算法或哈希算法的衍生算法處理的所述裝置特征碼的一部分��,或經(jīng)哈希算法或哈希算法的衍生算法處理的一部分所述裝置特征碼的一部分。
4.根據(jù)權(quán)利要求1所述的方法����,其特征在于,所述裝置特征碼包括國際移動設備身份碼IMEI�、用戶身份模塊SIM卡卡號、銀行卡卡號�����、交通卡卡號����、社保卡卡號�、身份證號碼、駕駛證號碼或醫(yī)?�?ㄌ?����。
5.根據(jù)權(quán)利要求4所述的方法���,其特征在于當所述裝置特征碼是國際移動設備身份碼IMEI時����,所述裝置特征碼的變化碼是所述國際移動設備身份碼IMEI中的序號碼SNR。
6.根據(jù)權(quán)利要求1-5中任一項所述的方法��,其特征在于��,所述方法還包括生成攜帶鎖卡標識信息的鎖卡密鑰參數(shù)�,所述鎖卡密鑰參數(shù)的存儲方式包括在非機要數(shù)據(jù)區(qū)設置的非易失性參數(shù)、文件或數(shù)據(jù)庫���,其中所述鎖卡標識信息表明本裝置是鎖卡裝置�����,在所述裝置解除鎖卡成功時,所述鎖卡標識信息被解密信息替代����,所述解密信息是通過使用所述裝置特征碼或所述裝置特征碼的變化碼執(zhí)行加密算法而生成的。
7.根據(jù)權(quán)利要求6所述的方法���,其特征在于��,所述方法還包括 獲取所述解密信息并根據(jù)所述解密信息執(zhí)行解密算法����;當根據(jù)所述解密信息執(zhí)行解密算法成功時,則存儲所述解密信息以替代所述鎖卡密鑰參數(shù)攜帶的鎖卡標識信息�。
8.根據(jù)權(quán)利要求6或7所述的方法,其特征在于��,所述加密算法或所述解密算法包括 非對稱加解密算法或消息摘要算法第九版�。
9.一種信息安全處理的裝置,其特征在于�����,所述裝置包括第一存儲單元�,用于在裝置的芯片的一次性寫入?yún)^(qū)域存儲裝置特征碼或裝置特征碼的變化碼,以建立所述裝置和所述裝置特征碼之間的鎖定關(guān)系�,其中所述裝置特征碼的變化碼是一部分所述裝置特征碼、經(jīng)算法處理的所述裝置特征碼��、 經(jīng)算法處理的一部分所述裝置特征碼�����、經(jīng)算法處理的所述裝置特征碼的一部分或經(jīng)算法處理的一部分所述裝置特征碼的一部分�����;檢驗單元,用于檢驗所述裝置和所述裝置特征碼之間的鎖定關(guān)系�����,如果檢驗到所述裝置特征碼或裝置特征碼的變化碼與裝置不符����,終端不能正常工作,如果檢驗到所述裝置特征碼或裝置特征碼的變化碼與裝置相符���,終端正常工作��。
10.根據(jù)權(quán)利要求9所述的裝置��,其特征在于所述第一存儲單元具體用于在所述裝置的芯片的電保險絲EFUSE中存儲裝置特征碼或裝置特征碼的變化碼�����。
11.根據(jù)權(quán)利要求9所述的裝置,其特征在于����,所述經(jīng)算法處理的所述裝置特征碼�����、經(jīng)算法處理的一部分所述裝置特征碼�、經(jīng)算法處理的所述裝置特征碼的一部分或經(jīng)算法處理的一部分所述裝置特征碼的一部分包括經(jīng)哈希算法或哈希算法的衍生算法處理的所述裝置特征碼�����,或經(jīng)哈希算法或哈希算法的衍生算法處理的一部分所述裝置特征碼���,或經(jīng)哈希算法或哈希算法的衍生算法處理的所述裝置特征碼的一部分��,或經(jīng)哈希算法或哈希算法的衍生算法處理的一部分所述裝置特征碼的一部分����。
12.根據(jù)權(quán)利要求9所述的裝置����,其特征在于,所述裝置特征碼包括國際移動設備身份碼IMEI�、用戶身份模塊SIM卡卡號、銀行卡卡號�、交通卡卡號、社?�?ㄌ枴⑸矸葑C號碼�、駕駛證號碼或醫(yī)保卡卡號�����。
13.根據(jù)權(quán)利要求12所述的裝置�,其特征在于當所述裝置特征碼是國際移動設備身份碼IMEI時,所述裝置特征碼的變化碼是所述國際移動設備身份碼IMEI中的序號碼SNR�。
14.根據(jù)權(quán)利要求9-13中任一項所述的裝置,其特征在于����,所述裝置還包括生成單元,用于生成攜帶鎖卡標識信息的鎖卡密鑰參數(shù)�,所述鎖卡密鑰參數(shù)的存儲方式包括在非機要數(shù)據(jù)區(qū)設置的非易失性參數(shù)、文件或數(shù)據(jù)庫����,其中所述鎖卡標識信息表明本裝置是鎖卡裝置,在所述裝置解除鎖卡成功時��,所述鎖卡標識信息被解密信息替代��,所述解密信息是通過使用所述裝置特征碼或所述裝置特征碼的變化碼執(zhí)行加密算法而生成的�����。
15.根據(jù)權(quán)利要求14所述的裝置�����,其特征在于�����,所述裝置還包括 解密單元�,用于獲取所述解密信息并根據(jù)所述解密信息執(zhí)行解密算法;第二存儲單元���,用于當根據(jù)所述解密信息執(zhí)行解密算法成功時��,則存儲所述解密信息以替代所述鎖卡密鑰參數(shù)攜帶的鎖卡標識信息�����。
16.根據(jù)權(quán)利要求14或15所述的裝置�,其特征在于����,所述加密算法或所述解密算法包括非對稱加解密算法或消息摘要算法第九版����。
全文摘要
本發(fā)明實施例提供了一種信息安全處理的方法和裝置�。該方法包括在裝置的芯片的一次性寫入?yún)^(qū)域存儲裝置特征碼或裝置特征碼的變化碼,以建立裝置和裝置特征碼之間的鎖定關(guān)系��;檢驗裝置和裝置特征碼之間的鎖定關(guān)系當檢驗到裝置特征碼或裝置特征碼的變化碼與裝置不符時����,則裝置不能正常工作,或者當檢驗到裝置特征碼或裝置特征碼的變化碼與裝置相符時��,則裝置正常工作���。通過上述方案�,可以在裝置的芯片的一次性寫入?yún)^(qū)域存儲裝置特征碼或裝置特征碼的變化碼����,從而實現(xiàn)了高安全級別的信息安全處理功能,有效防止非法用戶復制或盜號����,保護生產(chǎn)商、運營商和用戶的利益。
文檔編號G06K19/073GK102301381SQ201180001138
公開日2011年12月28日 申請日期2011年7月8日 優(yōu)先權(quán)日2011年7月8日
發(fā)明者馬濤 申請人:華為技術(shù)有限公司