专利名称:移动终端锁网装置及模块间认证方法
技术领域:
本发明涉及一种移动通讯领域,特别涉及一种不容易被破解的移动终端锁网装置及方法。
背景技术:
随着移动互联网的发展,越来越多的移动互联网终端被人们所使用,比方说移动电话、平板电脑和电子书等等。现在移动互联网的不同运营商为了发展用户、保留住用户等商业角度或者竞争上的需求,经常进行各种诸如价格补贴、充话费送手机和买手机送话费之类的活动,这样用户可以用低于市场价甚至免费的方式得到移动互联网终端。如果用户或者移动终端销售商将该类型的移动互联网终端进行倒卖,将会是移动运营商遭受损失。所以对于移动运营商有对其所提供的移动互联网终端进行俗称的“锁网处理”的需求。即对其提供的移动互联网终端和配套的客户识别卡或者全球用户识别卡进行绑定。所述客户识别卡又称SIM 卡(Subscriber Identity Module, SIM),所述全球用户识别卡又称 USIM 卡(Universal Subscriber Identity Module, USIM)。目前比较常见的锁网方法基本上分为两类软件实现类和硬件实现类。基于软件实现的锁网方法采用纯软件方法对SIM卡或者USIM卡内的用户识别信息进行辨别,但是这种方法非常容易破解,只需要将移动互联网终端内的软件版本重新“刷机”,替换为不包括锁网软件的版本即可。而基于硬件实现的锁网方法采用在移动互联网终端内置一个锁网芯片的方式对用户识别信息进行辨别。这种方法虽然改善了软件实现的锁网方法的缺点, 但是现在存在一种比较简单暴力的破解方法,即直接将所述移动互联网终端上的锁网芯片进行物理拆除,让所述移动互联网终端直接和SIM\USIM卡连接,就可以突破锁网芯片的限制。更多关于硬件实现的移动终端锁网装置的技术细节可以参考我司中国专利申请号为 CN200610036091. X的《一种基于加密芯片的移动终端锁网装置》。因此,亟待提出一种先进的、可以克服上述缺点的技术方案。
发明内容
本部分的目的在于概述本发明的技术方案的一些方面以及简要介绍一些较佳实施方案。在本部分以及本申请的说明书摘要和发明名称中可能会做些简化或省略以避免使本部分、说明书摘要和发明名称的模糊,而这种简化或省略不能用于限制本发明的范围。本发明的一个目的在于提供一种模块间认证方法,该方法可以用于配对模块之间互相进行身份认证。本发明的另一目的在于同时提供一种新的移动终端锁网装置,可以改善现有移动终端锁网装置容易被破解的缺点。为了达到本发明的目的,根据本发明的一个方面,本发明提供一种模块间认证方法,所述方法包括在认证模块和目标模块内分别预置第一密钥信息和第二密钥信息;所述认证模块发送一预定义信息给目标模块;所述目标模块利用第一密钥信息对所述预定义信息加密后发出;所述认证模块利用第二密钥模块解密所述预定义信息后与初始预定义信息比较是否相同;和如果相同则认证成功,如果不相同则认证不成功。进一步地,所述预定义信息是从所述目标模块发出的信息中或者从所述目标模块接收的信息中截获的。进一步地,当所述预定义信息是从所述目标模块接收的信息中截获时,所述目标模块对所述预定义信息加密后发送给信息来源方,所述认证模块继续截获该加密后的 预定义信息以解密。根据本发明的另一方面,本发明提供一种移动终端锁网装置,所述装置包括移动终端模块,接受用户识别信息;锁网模块,根据所述用户识别信息是否拥有入网权限而控制所述移动终端模块是否工作;和所述移动终端模块与所述锁网模块内还分别包括第一密钥信息和第二密钥信息以进行互相认证。进一步地,所述移动终端模块与所述锁网模块进行互相认证是指 所述锁网模块发送一预定义信息给所述移动终端模块;
所述移动终端模块利用第一密钥信息对所述预定义信息加密后重新发回; 所述锁网模块截获所述预定义信息并利用第二密钥信息解密;和所述锁网模块判断解密后的预定义信息是否与初始预定义信息相同。进一步地,所述移动终端锁网装置还包括用户识别模块,该用户识别模块发送所述用户识别信息给所述移动终端控制模块。进一步地,所述用户识别模块是客户识别卡或者全球用户识别卡,所述加密与解密采用美国数据加密标准3重DES算法。进一步地,所述移动终端模块发送一获取随机数指令给所述用户识别模块; 所述用户识别模块反馈一个包括随机数的信息给所述移动终端模块,和
所述锁网模块截获所述包括随机数的信息并提取随机数作为所述预定义信息。进一步地,当第一密钥信息与第二密钥信息相同时,所述移动终端模块与所述锁网模块认证成功并同时工作;和
当第一密钥信息与第二密钥信息不同时,所述移动终端模块与所述锁网模块认证不成功,所述移动终端模块不工作。进一步地,所述根据所述用户识别信息是否拥有入网权限是指所述锁网模块内存储有预先设定的有入网权限的用户识别信息,在所述移动终端模块接收到用户识别信息时,所述锁网模块截获所述用户识别信息与其内部存储的预先设定的有入网权限的用户识别信息进行比对。与现有技术相比,本发明提供的移动终端锁网装置利用双向对称加密算法对移动终端模块与锁网模块之间进行互相认证的技术方案,达到了所述移动终端锁网装置不容易破解的目的,比如可以有效防范直接将所述锁网模块物理拆除的破解方法。同时本发明还提出一种模块间认证方法,适用于配对模块之间互相进行身份认证。
结合参考附图及接下来的详细描述,本发明将更容易理解,其中同样的附图标记对应同样的结构部件,其中
图1为本发明的一个实施例中的移动终端锁网装置的结构方框图; 图2为本发明的一个实施例中的移动终端模块和锁网模块之间进行认证的方法流程图;和
图3为本发明的一个实施例中的模块间认证方法的方法流程图。
具体实施例方式
本发明的详细描述主要通过程序、步骤、逻辑块、过程或其他概括性的描述来直接或间接地表述了本发明技术方案的运作。为透彻的理解本发明,在接下来的描述中陈述了很多特定细节。而在没有这些特定细节时,本发明则可能仍可实现。所属领域内的技术人员使用此处的这些描述和陈述主要是为了向所属领域内的其他技术人员有效的介绍本发明技术方案的工作本质。换句话说,为避免混淆本发明的目的,由于熟知的方法、程序、成分和电路已经很容易理解,因此它们并未被详细描述。此处所称的“一个实施例”或“实施例”是指可包含于本发明至少一个实现方式中的特定特征、结构或特性。在本说明书中不同地方出现的“在一个实施例中”并非均指同一个实施例,也不是单独的或选择性的与其他实施例互相排斥的实施例。此外,表示一个或多个实施例的方法、流程图或功能框图中的模块顺序并非固定的指代任何特定顺序,也不构成对本发明的限制。本发明所述移动终端锁网装置及模块间认证方法的实施可能通过不同的形式来进行,比如所述移动终端锁网装置可以通过软件、硬件或者两者的结合来实现成为一种产品,也可以实现成为一个系统的一部分,比如移动电话的一部分或者平板电脑的一部分。同样的,所述模块间认证方法也可以通过软件、硬件或者两者的结合来实现成为一种方法或者产品。下文将结合不同的实施例来具体描述本发明。请参考图1,其示出了本发明的一个实施例中的移动终端锁网装置100的结构方框图。所述移动终端锁网装置100包括移动终端模块120和锁网模块140。所述移动终端模块120可以是移动电话、平板电脑或者其他利用移动互联网上网的手持设备内的SIM卡或者USIM卡控制器。通常来讲,所述移动终端模块120都需要内部插入一个诸如SIM卡或者USIM卡之类的用户识别模块000。所述移动终端模块120接收所述用户识别模块000的用户识别信息以接入移动互联网。所述用户识别信息可以是国际移动用户识别码(international mobile subscriber identity,IMSI),所述 IMSI 内部包括了有关于国家、地域和用户唯一性的识别信息,具体技术细节为本领域技术人员所熟知的内容,不再累述。所述锁网模块140可以是一块芯片,也可以是一个片上系统,其内部通常包括处理器、存储器等器件。特别地,其内部还包括了预先设定的有入网权限的用户识别信息144。 所述锁网模块140可以集成于所述移动终端模块120内。所述锁网模块140介于所述移动终端模块120和用户识别模块000之间,负责监控并截获所述移动终端模块120和用户识别模块000之间交互的信息。如果所述移动终端模块120和用户识别模块000之间交互的信息内包括了用户识别信息即IMSI,则所述锁网模块140会截获该用户识别信息以与其内部预先设定的有入网权限的用户识别信息144进行比对以判断该用户识别模块102是否具有入网权限,如果有则所述移动终端模块120正常工作,如果没有则所述移动终端模块120 和用户识别模块000之间交互的信息被所述锁网模块140阻断而不能工作。作为本发明的亮点和重点之一,所述移动终端模块120和锁网模块140都还分别包括第一密钥信息122和第二密钥信息142以进行互相认证。只有在认证成功时,所述移动终端模块120和锁网模块140才可以正常工作。当认证不成功时,比如所述锁网模块140 被物理摘除或者更换后,所述移动终端模块120无法正常工作。其中所述移动终端模块120和锁网模块140之间利用双向对称性加密算法完成认证,在一个具体的实施例中,所述双向对称性加密算法采用美国数据加密标准3重DES算法。对于3重DES加密算法的技术细节为本领域技术人员所熟知的内容,不再累述。为了更为容易地描述本发明,下文将采用一个实施例来详细讲解所述移动终端模块120和锁网模块140之间完成认证的方法。请参考图2,其示出了本发明的一个 实施例中的移动终端模块120和锁网模块140 之间进行认证的方法流程图。在本例中所述移动终端模块120可以是一部手机,所述锁网模块140集成于所述移动终端模块120,所述用户识别模块000可以是SIM卡或者USIM卡。 所述认证方法包括
步骤202,在移动终端模块120和锁网模块140内预置相同的第一密钥信息122和第二密钥信息142。在一个实施例中,所述第一密钥信息122和第二密钥信息142为16字节的 朗fn息。步骤204,在移动终端模块120开机启动后,所述移动终端模块120对其内部的用户识别模块000上电启动,所述用户识别模块000会反馈ATR信号给所述移动终端模块120 建立连接,所述移动终端模块120和SIM卡建立初始通信需要交换一些协议数据,这个交换可以通过IS07816协议标准规定的ATR协议来完成。步骤206,在移动终端模块I20与所述用户识别模块000建立连接以后,所述移动终端模块120向所述用户识别模块000发送一个用于获取随机数的命令,在一个实施例中, 所述随机数是8字节的随机数。步骤208,所述用户识别模块000在接收到所述命令后会反馈一个包括随机数的信息给所述移动终端模块120。步骤210,所述锁网模块140截获所述包括随机数的信息并提取随机数作为预定义信息,所述锁网模块140将该预定义信息保存后发送给所述移动终端模块120。步骤212,所述移动终端模块120在接收到所述预定义信息后,利用第一密钥信息 122对所述预定义信息加密后重新发回给所述用户识别模块000,此时可以采用美国数据加密标准3重DES算法进行加密,重新发送时可以采用GET CHALLENGE指令。步骤214,所述锁网模块140截获所述预定义信息后利用第一密钥信息142进行解密,此时也可以采用美国数据加密标准3重DES算法进行解密。步骤216,所述锁网模块140判断解密后的预定义信息与步骤210保存的预定义信息(或称之为初始预定义信息)是否相同,如果相同,则进入步骤218,如果不成功则进入步骤 220。步骤218,认证成功,即当第一密钥信息与第二密钥信息相同时,所述移动终端模块120与所述锁网模块140认证成功并同时工作。
步骤220,认证不成功,当第一密钥信息与第二密钥信息不同时,所述移动终端模块120与所述锁网模块认证140不成功,所述移动终端模块不工作,具体可以采用所述锁网模块140截断移动终端模块120和用户识别模块000之间交互的信息的方式。综上所述,通过所述移动终端模块120和锁网模块140之间利用双向对称性加密算法认证成功然后才可以正常使用的方案,达到了所述移动终端锁网装置不容易破解的目的。在所述移动终端模块120和锁网模块140任一方的固件信息被修改、替换或者摘除都会导致所述移动终端模块120无法正常使用。但是应当认识到,在该实施例中,所述锁网模块140截获移动终端模块120和用户识别模块000之间的随机数信息来作为预定义信息, 在其他实施例中所述预定义信息也可以是所述锁网模块140自身发出或者截获其他种类的移动终端模块120和用户识别模块000之间的信息。关于其他技术细节,诸如移动终端设备具体是手机、平板电脑…,或者双向对称加密算法采用何种算法之类的等同替代方案,本文不一一累述,这些均都是本领域技术人员易于思及的。本发明同时还提供一种模块间认证方法,适用于配对模块之间互相进行身份认证,比如所述移动终端模块和所述锁网模块。请参考图3,其示出了本发明的一个实施例中的模块间认证方法300的方法流程图。所述模块间认证方法300包括
步骤302,在认证模块和目标模块内分别预置第一密钥信息和第二密钥信息; 步骤304,所述认证模块发送一预定义信息给目标模块; 步骤306,所述目标模块利用第一密钥信息对所述预定义信息加密后发出; 步骤308,所述认证模块利用第二密钥模块解密所述预定义信息; 步骤310,所述认证模块讲解密后的预定义信息与初始预定义信息比较是否相同。如果相同则进入步骤310,认证模块和目标模块认证成功,如果不相同则进入步骤312认证不成功。其中在步骤306和步骤308中采用的加密和解密方式应该是同一种对称式或者双向性的加密算法。如果在认证模块和目标模块内预置的第一密钥信息和第二密钥信息相同,则会认证成功;如果在认证模块和目标模块内预置的第一密钥信息和第二密钥信息不相同,则会认证不成功。所述认证模块和目标模块具体为何种模块视具体实施例而定,其可以是同一装置、系统内,也可以分属于不同的装置或者系统内。上述说明已经充分揭露了本发明的具体实施方式
。需要指出的是,熟悉该领域的技术人员对本发明的具体实施方式
所做的任何改动均不脱离本发明的权利要求书的范围。 相应地,本发明的权利要求的范围也并不仅仅局限于所述具体实施方式
。
权利要求
1.一种模块间认证方法,其特征在于,其包括在认证模块和目标模块内分别预置第一密钥信息和第二密钥信息; 所述认证模块发送一预定义信息给目标模块; 所述目标模块利用第一密钥信息对所述预定义信息加密后发出; 所述认证模块利用第二密钥模块解密所述预定义信息后与初始预定义信息比较是否相同;和如果相同则认证成功,如果不相同则认证不成功。
2.根据权利要求1所述的方法,其特征在于,所述预定义信息是从所述目标模块发出的信息中或者从所述目标模块接收的信息中截获的。
3.根据权利要求2所述的方法,其特征在于,当所述预定义信息是从所述目标模块接收的信息中截获时,所述目标模块对所述预定义信息加密后发送给信息来源方,所述认证模块继续截获该加密后的预定义信息以解密。
4.一种移动终端锁网装置,其特征在于,其包括 移动终端模块,接受用户识别信息;锁网模块,根据所述用户识别信息是否拥有入网权限而控制所述移动终端模块是否工作;和所述移动终端模块与所述锁网模块内还分别包括第一密钥信息和第二密钥信息以进行互相认证。
5.根据权利要求4所述的装置,其特征在于,所述移动终端模块与所述锁网模块进行互相认证是指所述锁网模块发送一预定义信息给所述移动终端模块; 所述移动终端模块利用第一密钥信息对所述预定义信息加密后重新发回; 所述锁网模块截获所述预定义信息并利用第二密钥信息解密;和所述锁网模块判断解密后的预定义信息是否与初始预定义信息相同。
6.根据权利要求5所述的装置,其特征在于,所述移动终端锁网装置还包括用户识别模块,该用户识别模块发送所述用户识别信息给所述移动终端控制模块。
7.根据权利要求6所述的装置,其特征在于,所述用户识别模块是客户识别卡或者全球用户识别卡,所述加密与解密采用美国数据加密标准3重DES算法。
8.根据权利要求4或5所述的装置,其特征在于,所述移动终端模块发送一获取随机数指令给所述用户识别模块; 所述用户识别模块反馈一个包括随机数的信息给所述移动终端模块,和所述锁网模块截获所述包括随机数的信息并提取随机数作为所述预定义信息。
9.根据权利要求4或5所述的装置,其特征在于,当第一密钥信息与第二密钥信息相同时,所述移动终端模块与所述锁网模块认证成功并同时工作;和当第一密钥信息与第二密钥信息不同时,所述移动终端模块与所述锁网模块认证不成功,所述移动终端模块不工作。
10.根据权利要求4所述的装置,其特征在于,所述根据所述用户识别信息是否拥有入网权限是指所述锁网模块内存储有预先设定的有入网权限的用户识别信息,在所述移动终端模块接收到用 户识别信息时,所述锁网模块截获所述用户识别信息与其内部存储的预先设定的有入网权限的用户识别信息进行比对。
全文摘要
本发明揭露了一种移动终端锁网装置,所述装置包括移动终端模块,接受用户识别信息;锁网模块,根据所述用户识别信息是否拥有入网权限而控制所述移动终端模块是否工作;和所述移动终端模块与所述锁网模块内还分别包括第一密钥信息和第二密钥信息以进行互相认证。本发明中利用双向对称加密算法对移动终端模块与锁网模块之间进行互相认证的技术方案,达到了所述移动终端锁网装置不容易破解的目的,比如可以有效防范直接将所述锁网模块物理拆除的破解方法。
文档编号H04W8/18GK102404711SQ20101027714
公开日2012年4月4日 申请日期2010年9月9日 优先权日2010年9月9日
发明者赖华添 申请人:国民技术股份有限公司