专利名称:一种实现无线数据终端私有性的方法、系统及装置的制作方法
技术领域:
本发明涉及无线数据终端信息安全领域,尤其涉及一种实现无线数据终端 私有性的方法、系统及装置。
背景技术:
无线数据终端是指具有无线接入技术的数据通讯终端设备,如USB modem、 PCMCIA上网卡等设备,此类设备一般与计算机配合使用,通过计算 机上的软件实现高速无线数据业务、浏览网页、发送短消息、语音通话等功能。
随着3G技术的广泛应用,无线数据终端的使用越来越普遍,而且无线数 据终端内部存储的信息类型与数量也越来越多,随之产生的一个问题就是如何 实现无线数据终端的私有性,即,如何保护用户的无线数据终端及其存储信息 的安全性。
保证信息安全的 一个重要方式是访问控制,无线数据终端的信息安全是指 保证无线数据终端及其信息只对有权限的人员提供访问功能。现有技术中一般 是通过密码的方式来实现私有性用户在计算机的用户接口上输入密码;用户 接口将用户输入的密码发送到无线数据终端;无线数据终端判断该密码是否与
本地存储的密码一致,若是,允许所述计算机使用本无线数据终端,否则,拒 绝所述计算机使用本无线数据终端。这种方式的缺点是,密码容易被他人窃取 或者破解,安全性不够高。
发明内容
本发明所要解决的技术问题是提供一种实现无线数据终端私有性的方法、 系统及装置,以提高无线数据终端的安全性。
为解决上述技术问题,本发明提供技术方案如下 一种实现无线数据终端私有性的方法,包括如下步骤 在计算机侧的用户接口中设置共享密钥;
所述用户接口启动时,发送验证请求消息到所述无线数据终端;所迷无线数据终端接收到所述验证请求消息后,产生一随机密钥,并将所 述随机密钥发送到所述用户接口 ;
所述用户接口接收到所述无线数据终端发送的随机密钥后,将所述共享密 钥与所述随机密钥做加密运算,得到第一加密运算值,并将所述第一加密运算
值发送到所述无线数据终端;
所述无线数据终端接收到所述第一加密运算值后,将所述无线数据终端中
存储的本地共享密钥与所述随机密钥做加密运算,得到第二加密运算值;
所述无线数据终端判断所述第一加密运算值与所述第二加密运算值是否
相同,若是,发送成功的验证响应消息到所述用户接口,允许所述计算机使用
本无线数据终端,否则,发送失败的验证响应消息到所述用户接口,拒绝所述
计算机使用本无线数据终端。
上述的方法,其中,所述在计算机侧的用户接口中设置共享密钥包括 在所述用户接口中尚未设置有共享密钥时,设置共享密钥为与所述计算
机绑定的无线数据终端中存储的本地共享密钥。
上述的方法,其中,所述在计算机侧的用户接口中设置共享密钥还包括 在所述用户接口中已经设置有共享密钥时,设置一新的共享密钥; 所述用户接口用新的共享密钥对原共享密钥加密后生成绑定消息,并将所
述绑定消息发送到所述无线数据终端;
所述无线数据终端用本地共享密钥对所述绑定消息进行解密,解密成功
后,将本地共享密钥更新为所述新的共享密钥,并发送成功的绑定响应消息到
所述用户接口;
所述用户接口接收到所述成功的绑定响应消息后,将原共享密钥更新为新
的共享密钥。
上述的方法,其中,还包括
所迷无线数据终端定期生成随机密钥,并将所述随机密钥发送到所述用户 接口 。
一种实现无线数据终端私有性的系统,包括计算机和无线数据终端,所述 计算机中包括有用户接口,所述用户接口中包括 第一绑定冲莫块,用于设置用户接口的共享密钥;验证发起模块,用于在用户接口启动时,发送验证请求消息到所述无线数 据终端,以及,在接收到所述无线数据终端发送的随机密钥后,将所述共享密 钥与所述随机密钥做加密运算,得到第一加密运算值,并将所述第一加密运算
值发送到所述无线数据终端; 所述无线数据终端包括.-
第二绑定模块,用于设置无线数据终端的共享密钥;
验证接收模块,用于在接收到所述验证请求消息后,从随机密钥生成模块 中获取随机密钥,并将所述随机密钥发送到所述用户接口,以及,在接收到所 述第一加密运算值后,将本无线数据终端中存储的本地共享密钥与所述随机密 钥做加密运算,得到第二加密运算值,判断所述第一加密运算值与所述第二加 密运算值是否相同,若是,发送成功的验证响应消息到所述用户接口,允许所 述计算机使用本无线数据终端,否则,发送失败的验证响应消息到所述用户接 口,拒绝所述计算机使用本无线数据终端;
随机密钥生成模块,用于根据验证接收模块的请求产生随机密钥。
一种无线数据终端,包括
第二绑定模块,用于设置无线数据终端的共享密钥;
验证接收模块,用于在接收到计算机侧的用户接口发送的验证请求消息 后,从随机密钥生成模块中获取随机密钥,并将所述随机密钥发送到所述用户 接口,以及,在接收到所述用户接口发送的第一加密运算值后,将本无线数据 终端中存储的本地共享密钥与所述随机密钥做加密运算,得到第二加密运算 值,判断所述第一加密运算值与所述第二加密运算值是否相同,若是,发送成 功的验证响应消息到所述用户接口,允许所述计算机使用本无线数据终端,否 则,发送失败的验证响应消息到所述用户接口 ,拒绝所述计算机使用本无线数 据终端;
随机密钥生成模块,用于根据验证接收模块的请求产生随机密钥;
其中,所述第一加密运算值为所述用户接口在接收到所述无线数据终端
发送的随机密钥后,将用户接口中的共享密钥与所述随机密钥做加密运算得到
的加密运算值。
与现有技术相比,本发明的有益效果是本发明通过将无线数据终端与计算机进行绑定,并采用了类似于点对点协
议(PPP)中的挑战握手认证协议(CHAP)来对试图使用无线数据终端的计 算机进行认证,实现了良好的访问控制功能,提高了无线数据终端的安全性。
图1为本发明实施例的实现无线数据终端私有性的系统结构示意图; 图2为本发明实施例的实现无线数据终端私有性的方法流程图。
具体实施例方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图及具体实 施例对本发明进行详细描述。
参照图1,本发明实施例的实现无线数据终端私有性的系统包括,计算机 和无线数据终端,所述计算机中包括有用户接口 (UI),其中,所述用户接口 中包括第一绑定模块和验证发起模块;所述无线数据终端中包括第二绑定 模块、验证接收模块和随机密钥生成模块。
第一绑定模块,用于设置用户接口的共享密钥。 第二绑定模块,用于设置无线数据终端的共享密钥。
本发明实施例是通过在计算机侧的用户接口和无线数据终端中设置相同 的共享密钥来实现计算机与无线数据终端的绑定。
其中,无线数据终端在出厂时,第二绑定模块中存储有初始共享密钥。用
户接口首次启动时,第一绑定模块中尚未设置有共享密钥,此时,第一绑定模
块设置共享密钥为设置一与所述计算机绑定的无线数据终端中存储的共享密
钥相同的共享密钥。
用户接口非首次启动时,所述用户接口中已经设置有共享密钥,此时,可
以对初始共享密钥或者旧共享密钥进行更新,具体为
用户通过第 一 绑定模块设置 一 新的共享密钥;
第一绑定模块用新的共享密钥对原共享密钥加密后生成绑定消息,并将所 述绑定消息发送到所述无线数据终端;
所述无线数据终端中的第二绑定模块用本地共享密钥对所述绑定消息进 行解密,解密成功后,将本地共享密钥更新为所述新的共享密钥,并发送成功 的绑定响应消息到所述用户接口;如果解密失败,说明所述计算机不是与本无线数据终端绑定的计算机,则不进行所述更新,并发送失败的绑定响应消息到
所述用户接口;
所述用户接口接收到所述成功的绑定响应消息后,将原共享密钥更新为新
的共享密钥;若接收到的是失败的绑定响应消息,则不进行所述更新。
验证发起模块,用于在用户接口启动时,发送验证请求消息到所述无线数 据终端。
随机密钥生成模块,用于根据验证接收模块的请求产生随机密钥。 验证接收模块,用于在接收到所述验证请求消息后,从随机密钥生成模块 中获取随机密钥,并将所述随机密钥发送到所述用户接口 。
验证发起模块接收到所述无线数据终端发送的随机密钥后,将第 一绑定模
块中存储的共享密钥与所述随机密钥做加密运算(例如,采用MD5算法、FHA 算法等),得到第一加密运算值,并将所述第一加密运算值发送到所述无线数 据终端。
验证接收模块接收到所述第一加密运算值后,将第二绑定模块中存储的共 享密钥与所述随机密钥做加密运算(例如,采用MD5算法、FHA算法等), 得到第二加密运算值;判断所述第一加密运算值与所述第二加密运算值是否相 同,若是,则说明所述计算机为与本无线数据终端绑定的计算机,发送成功的 验证响应消息到所述用户接口,允许所述计算机使用本无线数据终端,否则, 说明所述计算机不是与本无线数据终端绑定的计算机,发送失败的验证响应消 息到所述用户接口 ,拒绝所述计算机使用本无线数据终端。
为了保证无线数据终端在运行过程中没有更换绑定的计算机,还可以在运 行过程中,进行动态的验证。具体为
所述随机密钥生成模块定期生成随机密钥,所述验证接收模块将所述随机 密钥生成模块定期生成的随机密钥发送到所述用户接口 ;
验证发起模块接收到所述无线数据终端发送的随机密钥后,将第一绑定模 块中存储的共享密钥与所述随机密钥做加密运算,得到第一加密运算值,并将 所述第一加密运算值发送到所述无线数据终端;
验证接收模块接收到所述第一加密运算值后,将第二绑定模块中存储的共 享密钥与所述随机密钥做加密运算,得到第二加密运算值;判断所述第一加密运算值与所述第二加密运算值是否相同,若是,发送成功的验证响应消息到所 述用户接口,允许所述计算机继续使用本无线数据终端,否则,发送失败的验 证响应消息到所述用户接口 ,拒绝所述计算机使用本无线数据终端。
其中,所谓允许计算机使用无线数据终端是指,允许计算机访问无线数据 终端中的信息,并通过无线数据终端访问网络设备。所谓拒绝计算机使用无线 数据终端是指,拒绝计算机访问无线数据终端中的信息,所述无线数据终端关 闭射频,切换网络到飞行模式。
步骤201:在计算机侧的用户接口中设置共享密钥; 本发明实施例是通过在计算机侧的用户接口和无线数据终端中设置相同 的共享密钥来实现计算机与无线数据终端的绑定。其中,无线数据终端在出厂
时,该无线数据终端中存储有初始共享密钥。用户接口首次启动时,该用户接 口中尚未设置有共享密钥,此时,设置共享密钥为与所述计算机绑定的无线 数据终端中存储的共享密钥。
用户接口非首次启动时,所述用户接口中已经设置有共享密钥,此时,可
以对初始共享密钥或者旧共享密钥进行更新,具体为 在用户接口中设置一新的共享密钥;
所述用户接口用新的共享密钥对原共享密钥加密后生成绑定消息,并将所 述绑定消息发送到所述无线数据终端;
所述无线数据终端用本地共享密钥对所述绑定消息进行解密,解密成功 后,将本地共享密钥更新为所述新的共享密钥,并发送成功的绑定响应消息到 所述用户接口;如果解密失败,说明所述计算机不是与本无线数据终端绑定的 计算机,则不进行所述更新,并发送失败的绑定响应消息到所述用户接口。
所述用户接口接收到所述成功的绑定响应消息后,将原共享密钥更新为新 的共享密钥;若接收到的是失败的绑定响应消息,则不进行所述更新。
步骤202:所述用户接口启动时,发送验证请求消息到所述无线数据终端;
步骤203:所述无线数据终端接收到所述验证请求消息后,产生一随机密 钥,并将所述随机密钥发送到所述用户接口;
步骤204:所述用户接口接收到所述无线数据终端发送的随机密钥后,将所述共享密钥与所述随机密钥做加密运算,得到第一加密运算值,并将所述第
一加密运算值发送到所述无线数据终端;
步骤205:所述无线数据终端接收到所述第一加密运算值后,将所述无线 数据终端中存储的本地共享密钥与所述随机密钥做加密运算,得到第二加密运 算值;
步骤206:所述无线数据终端判断所述第一加密运算值与所述第二加密运 算值是否相同,若是,发送成功的验证响应消息到所述用户接口,允许所述计 算机使用本无线数据终端,否则,发送失败的验证响应消息到所述用户接口, 拒绝所述计算机使用本无线数据终端。
为了保证无线数据终端在运行过程中没有更换绑定的计算机,还可以在运 行过程中,进行动态的验证,如下
所述无线数据终端定期生成随机密钥,并将所述随机密钥发送到所述用户 接口,然后,重新执行从所述步骤203开始的步骤。
其中,所谓允许计算机使用无线数据终端是指,允许计算机访问无线数据 终端中的信息,并通过无线数据终端访问网络设备。所谓拒绝计算机使用无线 数据终端是指,拒绝计算机访问无线数据终端中的信息,所述无线数据终端关 闭射频,切换网络到飞行模式。
综上所述,本发明通过将无线数据终端与计算机进行绑定,并采用了类似 于点对点协议(PPP)中的挑战握手认证协议(CHAP)来对试图使用无线数 据终端的计算机进行认证,实现了良好的访问控制功能,提高了无线数据终端 的安全性。
最后应当说明的是,以上实施例仅用以说明本发明的技术方案而非限制, 本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同 替换,而不脱离本发明技术方案的精神范围,其均应涵盖在本发明的权利要求 范围当中。
权利要求
1.一种实现无线数据终端私有性的方法,其特征在于,包括如下步骤在计算机侧的用户接口中设置共享密钥;所述用户接口启动时,发送验证请求消息到所述无线数据终端;所述无线数据终端接收到所述验证请求消息后,产生一随机密钥,并将所述随机密钥发送到所述用户接口;所述用户接口接收到所述无线数据终端发送的随机密钥后,将所述共享密钥与所述随机密钥做加密运算,得到第一加密运算值,并将所述第一加密运算值发送到所述无线数据终端;所述无线数据终端接收到所述第一加密运算值后,将所述无线数据终端中存储的本地共享密钥与所述随机密钥做加密运算,得到第二加密运算值;所述无线数据终端判断所述第一加密运算值与所述第二加密运算值是否相同,若是,发送成功的验证响应消息到所述用户接口,允许所述计算机使用本无线数据终端,否则,发送失败的验证响应消息到所述用户接口,拒绝所述计算机使用本无线数据终端。
2. 如权利要求1所述的方法,其特征在于,所述在计算机侧的用户接口 中设置共享密钥包括在所述用户接口中尚未设置有共享密钥时,设置共享密钥为与所述计算 机绑定的无线数据终端中存储的本地共享密钥。
3. 如权利要求2所述的方法,其特征在于,所述在计算机侧的用户接口 中设置共享密钥还包括在所述用户接口中已经设置有共享密钥时,设置一新的共享密钥; 所述用户接口用新的共享密钥对原共享密钥加密后生成绑定消息,并将所述绑定消息发送到所述无线数据终端;所述无线数据终端用本地共享密钥对所述绑定消息进行解密,解密成功后,将本地共享密钥更新为所述新的共享密钥,并发送成功的绑定响应消息到所述用户接口;所述用户接口接收到所述成功的绑定响应消息后,将原共享密钥更新为新的共享密钥。
4. 如权利要求l所述的方法,其特征在于,还包括 所述无线数据终端定期生成随机密钥,并将所述随机密钥发送到所述用户接口。
5. —种实现无线数据终端私有性的系统,包括计算机和无线数据终端, 所述计算机中包括有用户接口,其特征在于,所述用户接口中包括第一绑定模块,用于设置用户接口的共享密钥;验证发起模块,用于在用户接口启动时,发送验证请求消息到所述无线数 据终端,以及,在接收到所述无线数据终端发送的随机密钥后,将所述共享密 钥与所述随机密钥做加密运算,得到第一加密运算值,并将所述第一加密运算 值发送到所述无线数据终端;所述无线数据终端包括第二绑定模块,用于设置无线数据终端的共享密钥;验证接收模块,用于在接收到所述验证请求消息后,从随机密钥生成模块 中获取随机密钥,并将所述随机密钥发送到所述用户接口 ,以及,在接收到所 述第一加密运算值后,将本无线数据终端中存储的本地共享密钥与所述随机密 钥做加密运算,得到第二加密运算值,判断所述第一加密运算值与所述第二加 密运算值是否相同,若是,发送成功的验证响应消息到所述用户接口,允许所 述计算机使用本无线数据终端,否则,发送失败的验证响应消息到所述用户接 口,拒绝所述计算机使用本无线数据终端;随机密钥生成模块,用于根据验证接收模块的请求产生随机密钥。
6. 如权利要求5所述的系统,其特征在于所述第一绑定模块进一步用于在所述用户接口中尚未设置有共享密铜 时,设置共享密钥为与所述计算机绑定的无线数据终端中存储的本地共享密 钥。
7. 如权利要求6所述的系统,其特征在于所述第一绑定模块进一步用于在所述用户接口中已经设置有共享密钥 时,设置一新的共享密钥,用新的共享密钥对原共享密钥加密后生成绑定消息, 并将所述绑定消息发送到所述无线数据终端,以及,在接收到无线数据终端发送的成功的绑定响应消息后,将原共享密钥更新为新的共享密钥;所述第二绑定模块进一 步用于用本地共享密钥对所述绑定消息进行解密,解密成功后,将本地共享密钥更新为所述新的共享密钥,并发送成功的绑 定响应消息到所述用户接口 。
8. 如权利要求5所述的系统,其特征在于 所述随机密钥生成模块还用于,定期生成随机密钥; 所述验证接收模块还用于,将随机密钥生成模块定期生成的随机密钥发送到所述用户接口。
9. 一种无线数据终端,其特征在于,包括 第二绑定模块,用于设置无线数据终端的共享密钥;验证接收模块,用于在接收到计算机侧的用户接口发送的验证请求消息 后,从随机密钥生成模块中获取随机密钥,并将所述随机密钥发送到所述用户 接口,以及,在接收到所述用户接口发送的第一加密运算值后,将本无线数据 终端中存储的本地共享密钥与所述随机密钥做加密运算,得到第二加密运算值,判断所述第一加密运算值与所述第二加密运算值是否相同,若是,发送成 功的验证响应消息到所述用户接口,允许所述计算机使用本无线数据终端,否 则,发送失败的验证响应消息到所述用户接口 ,拒绝所述计算机使用本无线数 据终端;随机密钥生成模块,用于根据验证接收模块的请求产生随机密钥;其中,所述第一加密运算值为所述用户接口在接收到所述无线数据终端发送的随机密钥后,将用户接口中的共享密钥与所述随机密钥做加密运算得到的加密运算值。
10. 如权利要求9所述的无线数据终端,其特征在于 所述第二绑定模块进一步用于用本地共享密钥对所述用户接口发送的绑定消息进行解密,解密成功得到新的共享密铜后,将本地共享密钥更新为所述 新的共享密钥,并发送成功的绑定响应消息到所述用户接口 ;其中,所述绑定消息为所述用户接口用新的共享密钥对原共享密钥加密 后生成的消息。
11. 如权利要求9所述的无线数据终端,其特征在于所述随机密钥生成模块还用于,定期生成随机密钥;所述验证接收模块还用于,将随机密钥生成模块定期生成的随机密钥发送 到所述用户接口。
全文摘要
本发明提供一种实现无线数据终端私有性的方法、系统及装置。方法包括在计算机侧的用户接口中设置共享密钥;用户接口启动时,发送验证请求消息到无线数据终端;无线数据终端接收到验证请求消息后,产生一随机密钥发送到用户接口;用户接口将所述共享密钥与所述随机密钥做加密运算,得到第一加密运算值,并将其发送到无线数据终端;无线数据终端接收到第一加密运算值后,将无线数据终端中存储的本地共享密钥与所述随机密钥做加密运算,得到第二加密运算值;无线数据终端判断第一加密运算值与第二加密运算值是否相同,若是,允许所述计算机使用本无线数据终端,否则,拒绝所述计算机使用本无线数据终端。本发明能够有效提高无线数据终端的安全性。
文档编号H04W12/04GK101621795SQ20091008940
公开日2010年1月6日 申请日期2009年7月17日 优先权日2009年7月17日
发明者程广亮 申请人:中兴通讯股份有限公司