终端设备的联机解锁方法、终端设备及可读存储介质与流程

1.本技术涉及但不限于安全技术领域，尤其涉及一种终端设备的联机解锁方法、终端设备及可读存储介质。


背景技术：

2.对于终端设备，特别是终端设备设备产品来说，除了对终端设备的数据进行保护外，还需要一套安全可靠的解锁机制来对终端设备进行解锁，保证终端设备解锁的安全性。


技术实现要素：

3.以下是对本文详细描述的主题的概述。本概述并非是为了限制权利要求的保护范围。
4.本技术实施例提供了一种终端设备的联机解锁方法、终端设备及可读存储介质，以解决现有技术中所存在的一个或多个技术问题，至少提供一种有益的选择或创造条件。
5.第一方面，本技术实施例提供了一种终端设备的联机解锁方法，所述终端设备包括se，并安装有操作系统，所述方法包括以下步骤：
6.当se检测到拆机信号时，随机生成一串密钥，并触发终端设备将操作系统的状态设置为锁住；
7.终端设备采用预先生成的公钥对所述密钥进行加密，将加密得到的密钥密文上传给平台系统；
8.终端设备对平台系统进行轮询，当轮询到密钥密文时，采用密钥对轮询到的密钥密文进行解密，得到解锁命令；
9.终端设备发送使用授权卡进行解锁的提示信息，以通过授权卡对se进行授权；
10.当对se授权成功后，终端设备对操作系统进行解锁。
11.根据本技术第一方面提供的一种终端设备的联机解锁方法，至少具有如下有益效果：通过由授权用户、平台系统、se、授权卡联合授权，实现对终端设备的联机解锁，保证了对终端设备进行解锁的安全性。
12.在一些实施例中，所述方法还包括：
13.预先生成一组公私钥对，将预先生成的公钥存放到终端设备，将预先生成的私钥存放到平台系统；其中，所述公私钥对基于非对称加密算法预先生成，所述非对称加密算法为rsa加密算法。
14.在一些实施例中，所述终端设备发送使用授权卡进行解锁的提示信息，以通过授权卡对se进行授权，包括：
15.响应解密得到的解锁命令，终端设备发送使用授权卡进行解锁的提示信息；
16.当在终端设备中插入设置有授权卡的读卡器时，通过读卡器读取终端设备中se的序列号；
17.授权卡获取读卡器读取的se的序列号，基于se的序列号得到授权码；
18.授权卡将所述授权码发送给se，以对se进行授权。
19.在一些实施例中，所述基于se的序列号得到授权码，包括：
20.基于sm4算法对se的序列号进行计算得到授权码。
21.在一些实施例中，所述方法还包括：
22.当对se授权成功后，终端设备将操作系统已解锁的信息上报给平台系统，以使平台系统将终端设备中操作系统的状态实时更新为解锁。
23.在一些实施例中，所述方法还包括：
24.终端设备将加密得到的密钥密文上传给平台系统，以使所述平台系统采用预先生成的私钥对接收到的密钥密文进行解密，得到密钥明文；并响应授权用户触发的解锁命令，采用所述密钥明文对所述解锁命令进行加密，得到密钥密文。
25.第二方面，本技术实施例还提供了一种终端设备，所述终端设备包括se，并安装有操作系统，所述终端设备还包括：存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如第一方面所述的终端设备的联机解锁方法。
26.第三方面，本技术实施例还提供了一种计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令用于执行如第一方面所述的终端设备的联机解锁方法。
27.本技术的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本技术而了解。本技术的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
28.附图用来提供对本技术技术方案的进一步理解，并且构成说明书的一部分，与本技术的实施例一起用于解释本技术的技术方案，并不构成对本技术技术方案的限制。
29.图1是本技术一个实施例提供的终端设备的联机解锁方法的流程图；
30.图2是本技术一个实施例提供的终端设备的电路框图。
具体实施方式
31.为了使本技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本技术进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本技术，并不用于限定本技术。
32.需要说明的是，虽然在装置示意图中进行了功能模块划分，在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于装置中的模块划分，或流程图中的顺序执行所示出或描述的步骤。说明书、权利要求书或上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。
33.下面结合附图，对本技术实施例作进一步阐述。
34.首先，对本技术实施例中提及的技术名词进行说明：
35.se(secure element，安全元件)：指负责检测拆机及对敏感数据进行处理的安全芯片，为防止外部恶意解析攻击，保护数据安全，在芯片中设置有加密/解密逻辑电路；
36.操作系统(operating system，os)：是管理计算机硬件与软件资源的计算机程序；
比如android系统。
37.敏感数据：指比较重要的安全数据，比如人脸特征、tusn等数据，tusn是银联的终端设备序列号，每个终端设备唯一，由银联分配；
38.拆机信号：指外壳或是屏蔽罩拆除触发的信号。
39.如图1和图2所示，图1是本技术一个实施例提供的一种终端设备的联机解锁方法的流程图，所述终端设备包括se，并安装有操作系统，在该方法中，包括但不限于有以下步骤：
40.步骤s100，当se检测到拆机信号时，随机生成一串密钥，并触发终端设备将操作系统的状态设置为锁住；
41.具体地，当se检测到拆机信号时，确定终端设备被拆，se随机生成一串16字节16进制的密钥，并触发终端设备的操作系统霸屏，将终端设备的os锁住。
42.步骤s200，终端设备采用预先生成的公钥对所述密钥进行加密，将加密得到的密钥密文上传给平台系统；其中，所述平台系统采用预先生成的私钥对接收到的密钥密文进行解密，得到密钥明文；并响应授权用户触发的解锁命令，采用所述密钥明文对所述解锁命令进行加密，得到密钥密文；
43.具体地，终端设备采用预先生成的公钥对se生成的密钥进行加密，加密后得到密钥密文，将密钥密文上传到平台系统。平台系统接收到密钥密文后，用预先生成的公私钥对中的私钥解密得到密钥明文。平台系统的授权用户采用授权账号登录平台系统，通过点击解锁按钮向平台系统下达解锁命令，平台系统用密钥明文对解锁命令进行基于3des算法的加密，得到密钥密文。
44.步骤s300，终端设备对平台系统进行轮询，当轮询到密钥密文时，采用密钥对轮询到的密钥密文进行解密，得到解锁命令；
45.步骤s400，终端设备发送使用授权卡进行解锁的提示信息，以通过授权卡对se进行授权；
46.步骤s500，当对se授权成功后，终端设备对操作系统进行解锁。
47.具体地，终端设备在锁住的状态下，轮询平台系统的状态接口，并采用密钥对查询到的密钥密文进行解密，解密得到解锁命令后，终端设备在其显示界面显示使用授权卡进行解锁的提示信息，以提示该终端设备的授权用户将授权卡插入终端设备进行解锁。
48.另外，在一些实施例中，步骤s100之前，所述方法还包括但不限于有以下步骤：
49.预先生成一组公私钥对，将预先生成的公钥存放到终端设备，将预先生成的私钥存放到平台系统；其中，所述公私钥对基于非对称加密算法预先生成，所述非对称加密算法为rsa加密算法。
50.在一些实施例中，采用openssl生成一组基于非对称加密算法(例如rsa加密算法)的公私钥对，公私钥对的长度为2048位，公钥存放在终端设备，用于对数据加密，私钥存放在平台系统，用于对被公钥加密过的数据进行解密；需要说明的是，openssl是一个基于密码学的安全开发包。
51.另外，在一些实施例中，步骤s400中，所述通过授权卡对终端设备中的操作系统进行解锁还包括但不限于有以下步骤：
52.步骤s410，响应解密得到的解锁命令，终端设备发送使用授权卡进行解锁的提示
信息；
53.在一些实施例中，终端设备在其显示界面显示使用授权卡进行解锁的提示信息，或者，通过语音播报使用授权卡进行解锁的提示信息；
54.步骤s420，当在终端设备中插入设置有授权卡的读卡器时，通过读卡器读取终端设备中se的序列号；
55.步骤s430，授权卡获取读卡器读取的se的序列号，基于se的序列号得到授权码；
56.步骤s440，授权卡将所述授权码发送给se，以对se进行授权。
57.另外，在一些实施例中，步骤s430中，所述基于se的序列号得到授权码；还包括但不限于有以下步骤：
58.基于sm4算法对se的序列号进行计算得到授权码。
59.在一实施例中，为了安全解锁被锁住的终端设备，授权卡采用安全保密性好的金融ic卡，需要说明的是，金融ic卡具备很强的抗攻击能力；接着，在授权卡中写入配合终端设备的解锁应用程序，比如基于“se的序列号+sm4算法”组合计算得到授权码，并把授权码发给se授权。
60.另外，在一些实施例中，步骤s500还包括但不限于有以下步骤：
61.当对se授权成功后，终端设备将操作系统已解锁的信息上报给平台系统，以使平台系统将终端设备中操作系统的状态实时更新为解锁。
62.下面对基于授权卡的解锁流程进行详细说明：
63.(1)在终端设备提示插入授权卡解锁的状态下，插入带有授权卡的读卡器到终端设备。
64.(2)读卡器获取终端设备中se的序列号，并将se的序列号发送给授权卡。
65.(3)授权卡获取到读卡器读取的se的序列号后，基于sm4算法对se的序列号进行计算得到授权码。
66.(4)授权卡将计算得到的授权码发送给se进行授权；
67.(5)授权成功后解锁se，解除系统霸屏。
68.(6)终端设备将操作系统已解锁的信息上报给平台系统，平台系统实时更新中操作系统的状态为解锁。
69.本技术提供的实施例中，通过授权用户、授权平台、se、授权卡四维度的紧密配合，采用“联机+se+授权卡”的机制实现对金融终端的安全解锁，不仅需要通过授权用户登录安全平台；还基于一组非对称加密算法rsa公私钥对的数据加解密，公钥存放在终端，私钥存放在平台，需要一对rsa公私钥对确保平台系统和终端设备联机过程下发解锁命令的安全性，实现平台和终端的安全联机机制；而且结合内置了解锁应用的授权卡进行授权，采用“se序列号+sm4算法”组合计算授权码，授权卡内置解锁关键流程，根据se的序列号，采用sm4算法计算得到授权卡对se进行授权，保证了只有采用定制的授权卡才能解锁，确保安全可控。
70.另外，参照图2，本技术的一个实施例还提供了一种终端设备10，所述终端设备包括se，并安装有操作系统，所述终端设备10还包括：存储器11、处理器12及存储在存储器11上并可在处理器12上运行的计算机程序。
71.处理器12和存储器11可以通过总线或者其他方式连接。
72.实现上述实施例的终端设备的联机解锁方法所需的非暂态软件程序以及指令存储在存储器11中，当被处理器12执行时，执行上述实施例中的终端设备的联机解锁方法。
73.此外，本技术的一个实施例还提供了一种计算机可读存储介质，该计算机可读存储介质存储有计算机可执行指令，该计算机可执行指令被一个处理器或控制器执行，例如，被上述终端设备实施例中的一个处理器执行，可使得上述处理器执行上述实施例中的终端设备的联机解锁方法。
74.本领域普通技术人员可以理解，上文中所公开方法中的全部或某些步骤、系统可以被实施为软件、固件、硬件及其适当的组合。某些物理组件或所有物理组件可以被实施为由处理器，如中央处理器、数字信号处理器或微处理器执行的软件，或者被实施为硬件，或者被实施为集成电路，如专用集成电路。这样的软件可以分布在计算机可读介质上，计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的，术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于ram、rom、eeprom、闪存或其他存储器技术、cd-rom、数字多功能盘(dvd)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外，本领域普通技术人员公知的是，通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据，并且可包括任何信息递送介质。
75.以上是对本技术的较佳实施进行了具体说明，但本技术并不局限于上述实施方式，熟悉本领域的技术人员在不违背本技术精神的前提下还可作出种种的等同变形或替换，这些等同的变形或替换均包含在本技术权利要求所限定的范围内。