一种通过密文握手增加终端自刷机安全性的方法及装置制造方法
【专利摘要】本发明公开了一种通过密文握手增加终端自刷机安全性的方法及装置,其方法包括:A、终端与刷机工具建立连接进入下载准备模式,分别对终端、刷机工具的特征信息采用随机生成的密钥加密生成终端密文、工具密文;终端与刷机工具之间交互并解析终端密文、工具密文,以验证双方的合法性和匹配性;B、验证终端与刷机工具合法匹配后,终端与刷机工具开启下载通道进行下载刷机;本发明验证终端与刷机工具合法后,才控制终端与刷机工具开启下载通道进行下载刷机,由于每次加密的密钥随机产生,大大增加了破解难度,能防止密文被破译;同时需要终端与刷机工具均合法匹配后才进行下载刷机,提高了安全性。
【专利说明】一种通过密文握手增加终端自刷机安全性的方法及装置
【技术领域】
[0001] 本发明涉及刷机【技术领域】,特别涉及一种通过密文握手增加终端自刷机安全性的 方法及装置。
【背景技术】
[0002] 为了减少人工维修的不便和修理费,目前许多用户常选择自刷机来定制或清理终 端系统。但是常常因为操作不当导致刷机失败,甚至无法开机。网上部分刷机工具(通常为 刷机应用)对终端刷机时,常直接进入下载刷机模式,没有任何加锁保护措施,这些刷机工 具虽然能通过指令开启下载通道,以封堵OEM (Original Equipment Manufacturer,原始设 备生产商)工具,但是该指令没有加密保护,很容易被修改导致用户数据丢失,可见安全性 并不高。
[0003] 有一部分防刷机方案通过设置通道加密指令来提高安全性,但是其加密时基本采 用静态明文指令,较容易被USB抓包工具截获,进而直接被重用自动开启刷机通道,使得恶 意用户可以直接烧录非官方的软件数据(如植入大量非预装软件以牟利),导致开机后系统 内存不足,反应慢;或篡改系统文件,导致部分功能失效,使系统稳定性和安全性出现异常, 甚至使终端无法正常开机,安全性较低。
【发明内容】
[0004] 鉴于上述现有技术的不足之处,本发明的目的在于提供一种通过密文握手增加终 端自刷机安全性的方法及装置,以解决现有终端自刷机时加密指令易被破解导致安全性降 低的问题。
[0005] 为了达到上述目的,本发明采取了以下技术方案: 一种通过密文握手增加终端自刷机安全性的方法,其包括: A、 终端与刷机工具建立连接进入下载准备模式,分别对终端、刷机工具的特征信息采 用随机生成的密钥加密生成终端密文、工具密文;终端与刷机工具之间交互并解析终端密 文、工具密文,以验证双方的合法性和匹配性; B、 验证终端与刷机工具合法匹配后,终端与刷机工具开启下载通道进行下载刷机。
[0006] 所述的通过密文握手增加终端自刷机安全性的方法,其中,所述步骤A还包括:验 证终端与刷机工具合法后,刷机工具对下载请求加密生成请求密文,终端对应答指令加密 生成指令密文,终端与刷机工具之间交互并解析请求密文、指令密文;验证下载请求、应答 指令有效后进入下载模式。
[0007] 所述的通过密文握手增加终端自刷机安全性的方法,其中,所述步骤A具体包括: A1、终端与刷机工具建立连接进入下载准备模式,对刷机工具的特征信息加密生成工 具密文并传输给终端; A2、终端解析工具密文,验证刷机工具合法后,对终端的特征信息加密生成终端密文并 传输给刷机工具; A3、刷机工具解析终端密文,验证终端合法后,生成下载请求并加密为请求密文传输给 终端; A4、终端解析请求密文,验证下载请求有效后,生成应答指令并加密为指令密文传输给 刷机工具;终端进入下载模式; A5、刷机工具解析指令密文,验证应答指令有效后进入下载模式。
[0008] 所述的通过密文握手增加终端自刷机安全性的方法,其中,在所述步骤A中,终端 与刷机工具进行加密操作时,每次加密的密钥均不相同。
[0009] 所述的通过密文握手增加终端自刷机安全性的方法,其中,在所述步骤A中,加密 前随机对需要加密的数据进行移位处理。
[0010] 一种通过密文握手增加终端自刷机安全性的装置,其包括终端和刷机工具: 所述刷机工具包括: 刷机连接模块,用于与终端建立连接进入下载准备模式; 刷机加密模块,用于对刷机工具的特征信息采用随机生成的密钥加密生成工具密文并 传输给终端,接收解析终端的终端密文以验证其合法性; 所述终端包括: 终端连接模块,用于与刷机工具建立连接进入下载准备模式; 终端加密模块,用于对终端的特征信息采用随机生成的密钥加密生成终端密文并传输 给刷机工具,接收解析刷机工具的工具密文以验证其合法性。
[0011] 所述的通过密文握手增加终端自刷机安全性的装置,其中, 所述刷机加密模块还用于对下载请求加密生成请求密文并传输给终端,接收解析终端 的指令密文以验证其合法性; 所述终端加密模块还用于对应答指令加密生成指令密文并传输给刷机工具,接收解析 刷机工具的请求密文以验证其合法性。
[0012] 所述的通过密文握手增加终端自刷机安全性的装置,其中,所述刷机加密模块包 括: 刷机密控初级单元,用于在终端与刷机工具进入下载准备模式时,对刷机工具的特征 信息加密生成工具密文并传输给终端; 刷机密控二级单元,用于解析终端密文,验证终端合法后,生成下载请求并加密为请求 密文传输给终端;以及验证应答指令有效后进入下载模式; 所述终端加密模块包括: 终端密控初级单元,用于解析工具密文,验证刷机工具合法后,对终端的特征信息加密 生成终端密文并传输给刷机工具; 终端密控二级单元,用于解析请求密文,验证下载请求有效后,生成应答指令并加密为 指令密文传输给刷机工具;控制终端进入下载模式。
[0013] 所述的通过密文握手增加终端自刷机安全性的装置,其中,所述刷机加密模块和 终端加密模块进行加密操作时,采用随机生成的密钥进行加密,且每次加密的密钥均不相 同。
[0014] 所述的通过密文握手增加终端自刷机安全性的装置,其中,所述刷机加密模块和 终端加密模块加密前随机对需要加密的数据进行移位处理。
[0015] 相较于现有技术,本发明提供的通过密文握手增加终端自刷机安全性的方法及装 置,在终端与刷机工具连接进入下载准备模式时,分别对终端、刷机工具的特征信息采用随 机生成的密钥加密生成终端密文、工具密文;终端与刷机工具之间交互并解析终端密文、工 具密文,以验证双方的合法性,验证终端与刷机工具合法后,才控制终端与刷机工具开启下 载通道进行下载刷机,由于每次加密的密钥随机产生,大大增加了破解难度,能防止密文被 破译;同时需要终端与刷机工具均合法匹配后才进行下载刷机,提高了安全性。
【专利附图】
【附图说明】
[0016] 图1为本发明实施例提供的通过密文握手增加终端自刷机安全性的方法的流程 图。
[0017] 图2为本发明实施例提供的通过密文握手增加终端自刷机安全性的装置的结构 框图。
【具体实施方式】
[0018] 本发明提供一种通过密文握手增加终端自刷机安全性的方法及装置。为使本发明 的目的、技术方案及效果更加清楚、明确,以下参照附图并举实施例对本发明进一步详细说 明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
[0019] 本发明针对目前自刷机加密方式比较简单,易被破解植入非预装软件导致系统运 行缓慢,或易篡改程序导致部分功能失效的问题,提供一种通过密文握手增加终端自刷机 安全性的方法及装置,采用终端与刷机工具双向鉴权机制,两次密文握手(即交互解析),相 互验证合法与匹配后才下载刷机。同时,随机生成加密的密钥,进一步增加了破译难度,从 而提高刷机的安全性。请参阅图1,本发明实施例提供的通过密文握手增加终端自刷机安全 性的方法包括: S100、终端与刷机工具建立连接进入下载准备模式,分别对终端、刷机工具的特征信息 采用随机生成的密钥加密生成终端密文、工具密文;终端与刷机工具之间交互并解析终端 密文、工具密文,以验证双方的合法性和匹配性; S200、验证终端与刷机工具合法匹配后,终端与刷机工具开启下载通道进行下载刷机。
[0020] 其中,所述终端为智能手机、平板电脑等移动终端。所述刷机工具为刷机应用软 件,其设置在PC (personal computer,个人计算机)机上。刷机时终端处于关机状态,通过 USB数据线与PC机连接。用户通过在PC机上启动刷机工具即可使终端与刷机工具进入下 载准备模式。此时终端处于下载预备状态,不接收下载请求和升级指令。
[0021] 本实施例需要先验证终端与刷机工具是否合法及匹配,则终端与刷机工具双方各 采用随机生成的密钥对其特征信息(即终端和刷机工具的身份信息,如版本号,生产厂商) 加密生成终端密文、工具密文。终端与刷机工具交互解析终端密文、工具密文来识别对方是 否合法及匹配。只有验证终端与刷机工具合法匹配后,终端与刷机工具才能开启下载通道 进行下载刷机。
[0022] 下载过程中,刷机工具发送对应的下载请求给终端,以通知终端刷机工具已准备 好,请求终端下载。终端响应下载请求后生成对应的应答指令反馈给刷机工具,以通知刷机 工具终端进入下载模式。为了进一步增加安全性,本实施例中,所述终端与刷机工具之间还 需要对下载请求和应答指令进行加密生成请求密文和指令密文,以避免恶意用户掌握下载 请求和应答指令的指令格式、降低安全性。通过对请求密文和指令密文的解析以识别其有 效性,以确认双方是否需要和是否可以下载刷机。则在所述步骤S100中,其还包括:验证终 端与刷机工具合法后,刷机工具对下载请求加密生成请求密文,终端对应答指令加密生成 指令密文,终端与刷机工具之间交互并解析请求密文、指令密文;验证下载请求、应答指令 有效后进入下载模式。
[0023] 应当理解的是,终端与刷机工具之间交互密文主要有两种:一种是表示双方身份 的终端密文、工具密文;另一种是表示双方需要执行的操作的请求密文、指令密文。这些密 文交互的方式很多,可以是终端先加密发送一种密文,刷机工具解析后反馈对应的一种密 文,接着终端再发送另一种密文,刷机工具解析后反馈对应的另一种密文。也可以双方同时 发送一种密文,验证合格后再同时发送另一种密文。当然,所述密文的种类也可以适当增 力口,如添加时间、日期等进行限制。本实施例对密文交互的先后顺序和种类不作限制。
[0024] 本实施例提供一种较优的密文交互方法,具体如下: 步骤1、PC机上的刷机工具启动,终端关机后通过USB数据线与PC机连接,PC机枚举 USB设备。终端轮询USB设备,找到目标设备后与PC机的刷机工具建立连接。终端与刷机 工具进入下载准备模式,此时相当于下载准备状态,不接收頂G (刷机包)及下载包。此时 终端等待刷机工具传输相关密文,若在第一预设时间(如30s)内没有收到,则终端的USB设 备复位、即该USB接口失效,需要重新连接。通过时间限制可以避免PC机进行非法破译操 作,以提高安全性。
[0025] 本实施例中先验证刷机工具的合法性。
[0026] 步骤2、对刷机工具的特征信息加密生成工具密文并传输给终端。
[0027] 所述特征信息A1为刷机工具的身份信息,通过第一预设加密算法B1对其加密后 得到工具密文C1下发给终端。
[0028] 刷机工具合法后,需接着验证终端的合法性。
[0029] 步骤3、终端解析工具密文,验证刷机工具合法后,对终端的特征信息加密生成终 端密文并传输给刷机工具。
[0030] 终端对工具密文C1解析后提取出刷机工具的特征信息A1和采用的第一预设加密 算法B1。该刷机工具的特征信息A1已预先保存在终端中,若解析出来的特征信息与预存的 相同,则验证该刷机工具合法且匹配,则通过第二预设加密算法E1对终端的特征信息D1加 密为终端密文F1并传输给刷机工具解析,执行步骤4。
[0031] 若不相同,则说明数据非法、刷机工具非法。此时终端反馈验证失败信息给刷机工 具。刷机工具在第二预设时间(如10S)内有3次重试的机会,若3次发送的工具密文都验 证失败,则在PC机上提示用户刷机工具非法。次数与时间的限制也是为了避免破译验证过 程,以提高安全性。
[0032] 刷机工具与终端均合法且匹配后,接着就验证是否下载的相关控制指令,先由刷 机工具发送下载请求给终端。
[0033] 步骤4、刷机工具解析终端密文,验证终端合法后,生成下载请求并加密为请求密 文传输给终端。
[0034] 刷机工具解析终端密文F1,获得终端的特征信息D1。该终端的特征信息D1也已 预先保存在刷机工具中,若解析出来的特征信息D1与预存的相同,则验证该终端合法且匹 配,则通过第三预设加密算法B2对刷机工具生成下载请求A2加密为请求密文C2、并传输给 终端。
[0035] 接着由终端响应下载请求,反馈相关数据。
[0036] 步骤5、终端解析请求密文,验证下载请求有效后,生成应答指令并加密为指令密 文传输给刷机工具;终端进入下载模式。
[0037] 终端将请求密文C2解析出下载请求A2,明确刷机工具已准备好可以随时下载。若 解析失败,则下载请求A2的数据非法。该下载请求A2中包括了时间信息(年、月、日、时、 分),即刷机工具当前工作的系统时间(相当于PC机的时间)。若终端校验该时间信息无效, 即刷机工具发送下载请求A2的时间不是在今天(具体详细到分钟),则下载请求A2无效,指 令过期。同时,该下载请求A2中包括了刷机工具当前的模式,即下载准备模式。若终端校 验该模式不合法,则模式非法。当校验的结果显示出、数据非法、指令过期和模式非法中有 一条、或两条、或均有时,下载请求均不接收,终端反馈失败信息给刷机工具。刷机工具同样 在第二预设时间(如l〇s)内有3次重试的机会。
[0038] 下载请求A2验证有效后,终端生成应答指令D2,通过第四预设加密算法E2加密为 指令密文F2传输给刷机工具。同时,终端进入下载模式,打开下载通道,等待刷机工具响应 后进入下载流程。
[0039] 步骤6、刷机工具解析指令密文,验证应答指令有效后进入下载模式。
[0040] 刷机工具解析指令密文F2,获得的应答指令D2中同样包括了时间信息(即终端发 送应当指令时的系统时间)和模式。刷机工具只有在应答指令D2的数据合法,时间合法,且 模式正确后才识别为应答指令有效。此时刷机工具启动下载模式,进入下载流程,下发刷机 包和下载包给终端;使终端实现刷机功能。
[0041] 本实施例对终端的模式校验的原因在于,若此时终端没有进入下载模式,即使刷 机工具传输相关刷机包和下载包,终端的下载通道没有打开也无法接收;而刷机工具又显 示已下载,易造成用户误解,浪费下载资源。
[0042] 若数据,时间,模式中有一个、或两个、或均非法时,刷机工具识别为指令过期、防 呆失败,均不予下载。
[0043] 需要注意的是,本实施例中终端与刷机工具采用动态加密方式。也即是说,加密前 随机对需要加密的数据进行移位处理(左移或右移),每次移多少位可以随机决定、或与当 前的系统时间、或数据的长度值有关。每次加密的密钥随机生成且均不相同。密钥可以需 要加密的数据的长度值来生成随机数,该随机数决定密钥的生成。可以以该随机数作为密 钥。也可预先设定多种密钥并对其标数,随机数为多少就选择哪个密钥。还可以将对随机 数进行预设算法(加、减、乘、除)后得到的值来选择密钥。在具体实施时,还可以当前的系统 时间作为动态因子(精确到毫秒)进行加密。密钥的局部内容也可动态变换,如密钥每次使 用后改变其内部值。通过这种动态加密方式,大大增加了加密的复杂性,使刷机工具与终端 之间每次传输的密文均不相同,提高了破译难度,充分确保了下载的安全性。
[0044] 对密文进行解析时,可将解密时间控制在第三预设时间(5s)内,通过对解密时间 的限制能避免外部破译的情况,进一步提高破译难度。
[0045] 假设对终端的特征信息加密,特征信息为01010001,其长度值为8。左移2位后变 成01000101,选择标数为8的密钥来加密01000101即可。
[0046] 基于上述的通过密文握手增加终端自刷机安全性的方法,本发明实施例还相应提 供一种通过密文握手增加终端自刷机安全性的装置。请参阅图2,所述装置包括刷机工具 10和终端20。所述刷机工具10包括依次连接的刷机连接模块110和刷机加密模块120。所 述终端20包括依次连接的终端连接模块210和终端加密模块220。所述刷机连接模块110 通过USB数据线连接终端连接模块210。所述刷机连接模块110用于与终端20建立连接进 入下载准备模式,终端连接模块210与刷机工具建立连接进入下载准备模式。刷机加密模 块120对刷机工具的特征信息采用随机生成的密钥加密生成工具密文并传输给终端20,接 收解析终端20的终端密文以验证其合法性。终端加密模块220对终端的特征信息采用随 机生成的密钥加密生成终端密文并传输给刷机工具,接收解析刷机工具的工具密文以验证 其合法性。
[0047] 为了进一步提高安全性,本实施例还需要对刷机工具10与终端20之间相关下载 请求进行加密以识别其有效性。则所述刷机加密模块120还用于对下载请求加密生成请求 密文并传输给终端,接收解析终端的指令密文以验证其合法性。所述终端加密模块221还 用于对应答指令加密生成指令密文并传输给刷机工具,接收解析刷机工具的请求密文以验 证其合法性。
[0048] 其中,所述刷机加密模块120具体包括: 刷机密控初级单元121,用于在终端与刷机工具进入下载准备模式时,对刷机工具的特 征信息加密生成工具密文并传输给终端。
[0049] 刷机密控二级单元122,用于解析终端密文,验证终端合法后,生成下载请求并加 密为请求密文传输给终端;以及验证应答指令有效后进入下载模式。
[0050] 所述终端加密模块220具体包括: 终端密控初级单元221,用于解析工具密文,验证刷机工具合法后,对终端的特征信息 加密生成终端密文并传输给刷机工具。
[0051] 终端密控二级单元222,用于解析请求密文,验证下载请求有效后,生成应答指令 并加密为指令密文传输给刷机工具;控制终端进入下载模式。具体请参见上述实施例。
[0052] 为了增加破译难度,所述刷机加密模块120和终端加密模块220进行加密前随机 对需要加密的数据进行移位处理。进行加密操作时,采用随机生成的密钥进行加密,且每次 加密的密钥均不相同。具体请参见上述实施例。
[0053] 综上所述,本发明在刷机前封锁下载通道和升级数据,通过密文方式验证刷机工 具与终端合法且匹配,以及下载请求有效后才打开下载通道,下载相关刷机包实现刷机;避 免用户采用非官方工具对终端进行自刷机操作而带来的不良后果;同时,验证时采用刷机 工具与终端双向密文握手验证方式,每次动态随机产生密钥来加密,大大增加了加密的复 杂性,使刷机工具与终端之间每次传输的密文均不相同,提高了破译难度,充分确保了下载 的安全性。
[0054] 可以理解的是,对本领域普通技术人员来说,可以根据本发明的技术方案及其发 明构思加以等同替换或改变,而所有这些改变或替换都应属于本发明所附的权利要求的保 护范围。
【权利要求】
1. 一种通过密文握手增加终端自刷机安全性的方法,其特征在于,包括: A、 终端与刷机工具建立连接进入下载准备模式,分别对终端、刷机工具的特征信息采 用随机生成的密钥加密生成终端密文、工具密文;终端与刷机工具之间交互并解析终端密 文、工具密文,以验证双方的合法性和匹配性; B、 验证终端与刷机工具合法匹配后,终端与刷机工具开启下载通道进行下载刷机。
2. 根据权利要求1所述的通过密文握手增加终端自刷机安全性的方法,其特征在于, 所述步骤A还包括:验证终端与刷机工具合法后,刷机工具对下载请求加密生成请求密文, 终端对应答指令加密生成指令密文,终端与刷机工具之间交互并解析请求密文、指令密文; 验证下载请求、应答指令有效后进入下载模式。
3. 根据权利要求2所述的通过密文握手增加终端自刷机安全性的方法,其特征在于, 所述步骤A具体包括: A1、终端与刷机工具建立连接进入下载准备模式,对刷机工具的特征信息加密生成工 具密文并传输给终端; A2、终端解析工具密文,验证刷机工具合法后,对终端的特征信息加密生成终端密文并 传输给刷机工具; A3、刷机工具解析终端密文,验证终端合法后,生成下载请求并加密为请求密文传输给 终端; A4、终端解析请求密文,验证下载请求有效后,生成应答指令并加密为指令密文传输给 刷机工具;终端进入下载模式; A5、刷机工具解析指令密文,验证应答指令有效后进入下载模式。
4. 根据权利要求2所述的通过密文握手增加终端自刷机安全性的方法,其特征在于, 在所述步骤A中,终端与刷机工具进行加密操作时,每次加密的密钥均不相同。
5. 根据权利要求4所述的通过密文握手增加终端自刷机安全性的方法,其特征在于, 在所述步骤A中,加密前随机对需要加密的数据进行移位处理。
6. -种通过密文握手增加终端自刷机安全性的装置,其特征在于,包括终端和刷机工 亘. ,N · 所述刷机工具包括: 刷机连接模块,用于与终端建立连接进入下载准备模式; 刷机加密模块,用于对刷机工具的特征信息采用随机生成的密钥加密生成工具密文并 传输给终端,接收解析终端的终端密文以验证其合法性; 所述终端包括: 终端连接模块,用于与刷机工具建立连接进入下载准备模式; 终端加密模块,用于对终端的特征信息采用随机生成的密钥加密生成终端密文并传输 给刷机工具,接收解析刷机工具的工具密文以验证其合法性。
7. 根据权利要求6所述的通过密文握手增加终端自刷机安全性的装置,其特征在于, 所述刷机加密模块还用于对下载请求加密生成请求密文并传输给终端,接收解析终端 的指令密文以验证其合法性; 所述终端加密模块还用于对应答指令加密生成指令密文并传输给刷机工具,接收解析 刷机工具的请求密文以验证其合法性。
8. 根据权利要求7所述的通过密文握手增加终端自刷机安全性的装置,其特征在于, 所述刷机加密模块包括: 刷机密控初级单元,用于在终端与刷机工具进入下载准备模式时,对刷机工具的特征 信息加密生成工具密文并传输给终端; 刷机密控二级单元,用于解析终端密文,验证终端合法后,生成下载请求并加密为请求 密文传输给终端;以及验证应答指令有效后进入下载模式; 所述终端加密模块包括: 终端密控初级单元,用于解析工具密文,验证刷机工具合法后,对终端的特征信息加密 生成终端密文并传输给刷机工具; 终端密控二级单元,用于解析请求密文,验证下载请求有效后,生成应答指令并加密为 指令密文传输给刷机工具;控制终端进入下载模式。
9. 根据权利要求7所述的通过密文握手增加终端自刷机安全性的装置,其特征在于, 所述刷机加密模块和终端加密模块进行加密操作时,采用随机生成的密钥进行加密,且每 次加密的密钥均不相同。
10. 根据权利要求9所述的通过密文握手增加终端自刷机安全性的装置,其特征在于, 所述刷机加密模块和终端加密模块加密前随机对需要加密的数据进行移位处理。
【文档编号】H04L9/32GK104065482SQ201410248521
【公开日】2014年9月24日 申请日期:2014年6月6日 优先权日:2014年6月6日
【发明者】董保同, 王丙权, 向林 申请人:宇龙计算机通信科技(深圳)有限公司, 东莞宇龙通信科技有限公司