WO2022052665A1

WO2022052665A1 - 无线终端及无线终端在Uboot模式下的接口访问鉴权方法

Info

Publication number: WO2022052665A1
Application number: PCT/CN2021/110126
Authority: WO
Inventors: 温海龙
Original assignee: 中兴通讯股份有限公司
Priority date: 2020-09-14
Filing date: 2021-08-02
Publication date: 2022-03-17
Also published as: CN114189862A; JP2023542099A; EP4213520A4; US20230370262A1; EP4213520A1

Abstract

本公开提供了一种无线终端及无线终端在Uboot模式下的接口访问鉴权方法，通过响应接口访问的鉴权请求，获取鉴权请求携带的鉴权请求密匙信息，依据预设的一密匙验证信息验证鉴权请求密匙信息，当验证成功时，获取无线终端的接口访问权限，当验证失败时，输出一密匙查询信息。其中，密匙查询信息与密匙验证信息依据相同的明文密匙获取。由于获取无线终端的接口访问权限需有鉴权步骤，增加了无线终端接口访问的安全措施，进而阻止对无线终端接口的恶意访问。

Description

无线终端及无线终端在Uboot模式下的接口访问鉴权方法

相关申请的交叉引用

本公开基于2020年9月14日提交的中国专利申请CN202010960485.4，并且要求该专利申请的优先权，通过引用将其所公开的内容全部并入本申请。

技术领域

本公开实施例涉及但不限于无线终端领域，具体而言，涉及但不限于无线终端及无线终端在Uboot模式下的接口访问鉴权方法。

背景技术

随着通信技术的不断发展，各种不同的无线终端得到了广泛的推广和应用，现有的无线终端一般都需要通过各种接口来调用和获取数据，例如，无线终端的串口是产品研发阶段的软件调试和故障诊断的重要通讯接口，通过它可以了解无线终端的运行机制、获取敏感数据和逆向固件信息，为了防止恶意攻击、读取或篡改，无线终端只对部分串口功能进行关闭，而绝大部分串口功能为了满足售后服务故障诊断的需要而保留，就增加了无线终端的安全隐患，因此需要为无线终端的接口访问增加安全措施，以能够阻止对无线终端接口的恶意访问。

发明内容

本公开实施例提供的无线终端在Uboot模式下的接口访问鉴权方法，主要解决的技术问题是无线终端的接口访问存在安全隐患。

为解决上述技术问题，本公开实施例提供一种无线终端在Uboot模式下的接口访问鉴权方法，用于获取无线终端的接口访问权限，所述接口访问鉴权方法包括：

响应接口访问的鉴权请求，获取鉴权请求携带的鉴权请求密匙信息；

依据预设的一密匙验证信息验证所述鉴权请求密匙信息；

在验证成功的情况下，获取所述无线终端的接口访问权限；

再验证失败的情况下，输出一密匙查询信息；所述密匙查询信息与所述密匙验证信息依据相同的明文密匙获取。

在一实施例中，所述密匙查询信息与所述密匙验证信息依据相同的明文密匙获取，包括：

按预设密码强度策略随机生成所述明文密匙；

采用第一加密算法将所述明文密匙生成所述密匙验证信息，采用第二加密算法将所述明文密匙生成所述密匙查询信息。

在一实施例中，所述密码强度策略包括密码字符最小长度和包含的最少字符类型数。

在一实施例中，所述第一加密算法和所述第二加密算法不同；所述第一加密算法包括对称加密算法或散列算法；所述第二加密算法包括非对称加密算法。

在一实施例中，所述第一加密算法包括AES、MD5或SHA加密算法。

在一实施例中，所述第二加密算法包括RSA或椭圆曲线非对称加密算法。

本公开实施例还提供一种无线终端，包括处理器和存储器；

所述处理器设置为执行所述存储器中存储的一个或者多个程序，以实现如上所述的接口访问鉴权方法的步骤；其中，所述存储器与所述处理器耦接。

本公开实施例还提供一种无线终端，包括：

接口开启模块，设置为开启所述无线终端的串口接口的访问权限；

存储模块，设置为存储所述无线终端预设的一密匙验证信息和一密匙查询信息；所述密匙查询信息与所述密匙验证信息依据相同的明文密匙获取；

鉴权模块，设置为响应接口访问的鉴权请求，获取所述鉴权请求携带的鉴权请求密匙信息，并依据所述密匙验证信息验证所述鉴权请求密匙信息；验证成功时，获取所述无线终端的接口访问权限；验证失败时，输出所述密匙查询信息。

一实施例中，还包括加密模块，设置为按第一预设加密算法对所述鉴权请求密匙信息进行加密，以用于所述鉴权模块依据所述密匙验证信息验证加密后的所述鉴权请求密匙信息。

一实施例中，所述加密模块还设置为按预设密码强度策略随机生成所述明文密匙，采用第一加密算法将所述明文密匙生成所述密匙验证信息，采用第二加密算法将所述明文密匙生成所述密匙查询信息。

本公开实施例还提供一种计算机存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现如上所述实施例中的接口访问鉴权方法的步骤。

根据本公开实施例提供的一种无线终端在Uboot模式下的接口访问鉴权方法、无线终端以及计算机存储介质，通过响应接口访问的鉴权请求，获取鉴权请求携带的鉴权请求密匙信息，依据预设的一密匙验证信息验证鉴权请求密匙信息，当验证成功时，获取无线终端的接口访问权限，当验证失败时，输出一密匙查询信息。其中，密匙查询信息与密匙验证信息依据相同的明文密匙获取。在某些实施过程中由于获取无线终端的接口访问权限需有鉴权步骤，增加了无线终端接口访问的安全措施，进而阻止对无线终端接口的恶意访问。

本公开其他特征和相应的有益效果在说明书的后面部分进行阐述说明，且应当理解，至少部分有益效果从本公开说明书中的记载变的显而易见。

附图说明

图1为本公开实施例一的Uboot模式下的接口访问鉴权方法的流程示意图；

图2为本公开实施例二的一种无线终端的结构示意图；

图3为本公开实施例三的一种无线终端串口接口的访问鉴权方法的流程示意图；

图4为本公开实施例三的密匙验证信息和密匙查询信息的获取方法的流程示意图；

图5为另一种实施例中无线终端的结构示意图。

具体实施方式

为了使本公开的目的、技术方案及优点更加清楚明白，下面通过具体实施方式结合附图对本公开实施例作进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本公开，并不设置为限定本公开。

实施例一：

无线终端的串口是产品研发阶段的软件调试和故障诊断的重要手段，对于攻击者来说串口也具有极高的利用价值，通过它可以了解设备运行机制、获取敏感数据和逆向固件。无线终端只有部分项目的设备串口功能是关闭的，但大部分项目为了售后故障诊断需要保留设备串口调试功能，因此需要有安全措施能够阻止非法用户对设备串口的访问。为了对无线终端在Uboot模式下的接口访问进行保护，在Uboot模式下默认不允许输入除鉴权请求之外的任何命令，即使无线终端的内核启动后也不打开无线设备的接口控制台。例如，要打开无线终端的串口命令输入功能，则需要输入密码并且鉴权通过后才能开启，该密码对每个无线终端唯一，是无线终端自行生成并保存到Flash存储中。

请参考图1，为本公开实施例一的Uboot模式下的接口访问鉴权方法的流程示意图，该方法用于获取无线终端的接口访问权限，包括：

步骤一，获取鉴权请求密匙信息。

无线终端开机启动进入Uboot模式后，接口的命令输入功能是关闭的，如果预开启接口访问的命令输入功能，需输入携带鉴权请求密匙信息的鉴权请求命令。在Uboot模式下输入鉴权请求后，响应接口访问的鉴权请求，获取鉴权请求携带的鉴权请求密匙信息。

步骤二，验证鉴权请求密匙信息。

依据预设的一密匙验证信息验证鉴权请求密匙信息。其中，预设的密匙验证信息是依据一明文密匙获取的。一实施例中，预设的密匙验证信息是将明文密匙使用第一加密算法加密后获取的。先将获取的密匙验证信息按第一加密算法进行加密，然后比对加密后的密匙验证信息和预设的密匙验证信息是否相同，相同则验证成功，不相同则验证失败。一实施例中，第一加密算法包括对称加密算法或散列算法。

步骤三，获取接口访问权限。

验证成功，获取无线终端的接口访问权限，即开启接口访问的命令输入功能。

步骤四，输出密匙查询信息。

如果验证失败，则输出一密匙查询信息。其中，密匙查询信息与密匙验证信息依据相同的明文密匙获取，密匙查询信息和密匙验证信息获取方法包括：

按预设密码强度策略随机生成明文密匙，预设密码强度策略包括明文密匙必须包括大写字母、小写字母、特殊字符和/或数字，预设密码强度策略还包括明文密匙的字符最小长度和包含的最少字符类型数。采用第一加密算法将明文密匙生成密匙验证信息，采用第二加密算法将明文密匙生成密匙查询信息。一实施例中，第一加密算法和第二加密算法不同，其中，第一加密算法包括对称加密算法或散列算法，第二加密算法包括非对称加密算法。一实施例中，第一加密算法包括AES、MD5或SHA加密算法；一实施例中，第二加密算法包括RSA或椭圆曲线非对称加密算法。

因密匙查询信息与密匙验证信息依据相同的明文密匙获取，所以依据输出的密匙查询信息按第二加密算法可获取明文密匙，将明文密匙作为鉴权请求密匙信息，即访问鉴权成功，进而获取无线终端的接口访问权限。

本公开实施例提供的一种无线终端在Uboot模式下的接口访问鉴权方法，通过响应接口访问的鉴权请求，获取鉴权请求携带的鉴权请求密匙信息，依据预设的一密匙验证信息验证鉴权请求密匙信息，当验证成功时，获取无线终端的接口访问权限，当验证失败时，输出一密匙查询信息。其中，密匙查询信息与密匙验证信息依据相同的明文密匙获取。在某些实施过程中由于获取无线终端的接口访问权限需有鉴权步骤，增加了无线终端接口访问的安全措施，进而阻止对无线终端接口的恶意访问。在一实施例中，当验证失败时，研发或测试人员将使用包含第二加密算法私钥工具或IT***将密匙查询信息解密出明文密匙，然后再在接口使用鉴权请求携带解密后的明文密匙输入无线终端来开启无线终端的接口调试功能。

实施例二：

请参考图2，为本公开实施例二的一种无线终端的结构示意图，无线终端100包括接口开启模块110、存储模块120和鉴权模块130。接口开启模块110，设置为开启无线终端的串口接口的访问权限。存储模块120设置为存储无线终端100预设的一密匙验证信息和一密匙查询信息，密匙查询信息与密匙验证信息依据相同的明文密匙获取。鉴权模块130设置为响应接口访问的鉴权请求，获取鉴权请求携带的鉴权请求密匙信息，并依据密匙验证信息验证鉴权请求密匙信息,当验证成功时，获取无线终端的接口访问权限，验证失败时，输出所述密匙查询信息。一实施例中，无线终端100还包括加密模块140，设置为按照第一预设加密算法对鉴权请求密匙信息进行加密，以用于鉴权模块130依据密匙验证信息验证加密后的鉴权请求密匙信息。加密模块140还设置为按预设密码强度策略随机生成所述明文密匙，采用第一加密算法将所述明文密匙生成所述密匙验证信息，采用第二加密算法将所述明文密匙生成所述密匙查询信息。

在本申请实施例中，无线终端包括接口开启模块、存储模块和鉴权模块，接口开启模块设置为开启无线终端的串口接口的访问权限，存储模块设置为存储密匙验证信息和密匙查询信息，鉴权模块设置为响应接口访问的鉴权请求获取鉴权请求密匙信息，并依据密匙验证信息验证鉴权请求密匙信息,当验证成功时，获取无线终端的接口访问权限，验证失败时，输出所述密匙查询信息。其中，密匙查询信息与密匙验证信息依据相同的明文密匙获取。

实施例三：

请参考图3，为本公开实施例三的一种无线终端串口接口的访问鉴权方法的流程示意图，该方法用于获取无线终端串口接口的访问权限，无线终端包括串口模块200和鉴权模块300，无线终端开机启动后，在uboot模式下串口模块200的命令输入功能是关闭的，如果要开启uboot的串口接口的访问权限，则需要在无线终端开机进入uboot启动模式的倒计时阶段，输入带鉴权请求信息的鉴权请求，该访问鉴权方法包括：

步骤S101，串口模块200从无线终端的串口接收携带鉴权请求信息的鉴权请求；

步骤S102，串口模块200从鉴权请求中获取鉴权请求信息，并发送鉴权请求信息给鉴权模块300；

步骤S103，鉴权模块300对鉴权请求信息进行加密，加密方式使用与预进行比较的密匙验证信息的加密方式相同。一实施例中，采用第一加密算法加密，该第一加密算法包括AES、MD5或SHA加密算法；

步骤S104，验证密匙验证信息和加密后的鉴权请求信息；

步骤S105，验证失败发送密匙查询信息给串口模块200；

步骤S106，串口模块200输出接收的密匙查询信息，并不开启串口接口的访问权限，关闭串口控制台。

在一实施例中，该访问鉴权方法还可包括：

步骤S107，依据密匙查询信息获取密匙验证信息。密匙查询信息和密匙验证信息是依据同一明文密匙获取，采用第一加密算法将明文密匙生成密匙验证信息，采用第二加密算法将明文密匙生成密匙查询信息。在一实施例中，第一加密算法和第二加密算法不同，其中，第一加密算法包括对称加密算法或散列算法，第二加密算法包括非对称加密算法。一实施例中，第一加密算法包括AES、MD5或SHA加密算法，第二加密算法包括RSA或椭圆曲线非对称加密算法；

步骤S108，通过鉴权请求携带明文密匙给串口模块200，串口模块200将明文密匙发送给鉴权模块300用于无线终端串口接口的访问鉴权；

步骤S109，对明文密匙进行加密，并验证密匙验证信息和加密后的明文密匙；

步骤S110，发送验证成功信息给串口模块200；

步骤S111：串口模块200开启无线终端的串口接口的访问权限。

实施例四：

请参考图4，为本公开实施例三的密匙验证信息和密匙查询信息的获取方法的流程示意图，用于通过密匙生成装置生成获取无线终端串口接口安全开启的密匙验证信息和密匙查询信息，首先查询密匙验证信息是否已存在，如果存在则停止密匙验证信息和密匙查询信息的生成，如果不存在则该方法包括：

步骤S201，生成明文密匙。按照预设密码强度策略生成一个随机密码作为明文密匙，密码强度策略包括密码字符最小长度、包含的最少字符类型数(例如大写、小写、数字、特殊字符等)。

步骤S202，采用第二加密算法对明文密匙进行加密，生成密匙查询信息并存储，因密匙查询信息的获取不需要在uboot模式下生成，所以第二加密算法可采用复杂的非对称加密算法，在预设的专用密匙生成装置中生成密匙查询信息。

步骤S203，采用第一加密算法对明文密匙进行加密，以生成密匙验证信息并存储，因在鉴权过程中，需要在uboot模式下对预验证鉴权请求信息采用第一加密算法进行加密，所以第一加密算法需采用对称加密算法或散列算法，不需要uboot集成复杂的加密算法库，从而使得加密过程简单和易于实现。一实施例中，第一加密算法包括AES、MD5或SHA等加密算法。

本实施例还提供了一种无线终端，包括处理器和存储器，处理器设置为执行存储器中存储的一个或者多个程序，以实现实施例一中所述的接口访问鉴权方法的步骤，其中，存储器与处理器耦接。

本实施例还提供了一种计算机可读存储介质，该计算机可读存储介质包括在设置为存储信息(诸如计算机可读指令、数据结构、计算机程序模块或其他数据)的任何方法或技术中实施的易失性或非易失性、可移除或不可移除的介质。计算机可读存储介质包括但不限于RAM(Random Access Memory，随机存取存储器),ROM(Read-Only Memory，只读存储器),EEPROM(Electrically Erasable Programmable read only memory，带电可擦可编程只读存储器)、闪存或其他存储器技术、CD-ROM(Compact Disc Read-Only Memory，光盘只读存储器)，数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。

本实施例还提供了一种计算机程序(或称计算机软件)，该计算机程序可以分布在计算机可读介质上，由可计算装置来执行，以实现上述实施例一、实施例三和实施例四中的Uboot模式下的接口访问鉴权方法、无线终端串口接口的访问鉴权方法和密匙验证信息和密匙查询信息的获取方法的至少一个步骤；并且在某些情况下，可以采用不同于上述实施例所描述的顺序执行所示出或描述的至少一个步骤。

本实施例还提供了一种数据传输装置，请参考图5，为另一种实施例中无线终端的结构示意图，其包括处理器51、存储器53及通信总线52，其中：

通信总线52设置为实现处理器51和存储器52之间的连接通信；

处理器51设置为执行存储器53中存储的一个或者多个计算机程序，以实现上述实施例一中一种数据传输方法中的至少一个步骤。

应当理解的是，在某些情况下，可以采用不同于上述实施例所描述的顺序执行所示出或描述的至少一个步骤。

本实施例还提供了一种计算机程序产品，包括计算机可读装置，该计算机可读装置上存储有如上所示的计算机程序。本实施例中该计算机可读装置可包括如上所示的计算机可读存储介质。

在本申请的一实施例中，由于每个无线终端用于接口鉴权密匙验证信息和密匙查询信息是随机生成且唯一，而且在uboot模式的启动阶段就对无线终端的接口访问权限进行了控制因此具有较高的安全性。另本申请一实施例中，接口鉴权密码支持密码查询功能，研发或测试人员如果不知道认证密码则可以输入鉴权密令查询，然后使用工具或IT***解密成明文密匙，从而可以提升用户体验。密匙验证信息和密匙查询信息是由预设的密匙生成装置生成，该预设的密匙生成装置可运行在非uboot模式，从而可以降低本申请公开的接口访问鉴权方法的实现难度。

可见，本领域的技术人员应该明白，上文中所公开方法中的全部或某些步骤、***、装置中的功能模块/单元可以被实施为软件(可以用计算装置可执行的计算机程序代码来实现)、固件、硬件及其适当的组合。在硬件实施方式中，在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分；例如，一个物理组件可以具有多个功能，或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器，如中央处理器、数字信号处理器或微处理器执行的软件，或者被实施为硬件，或者被实施为集成电路，如专用集成电路。

此外，本领域普通技术人员公知的是，通信介质通常包含计算机可读指令、数据结构、计算机程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据，并且可包括任何信息递送介质。所以，本公开不限制于任何特定的硬件和软件结合。

以上内容是结合具体的实施方式对本公开实施例所作的进一步详细说明，不能认定本公开的具体实施只局限于这些说明。对于本公开所属技术领域的普通技术人员来说，在不脱离本公开构思的前提下，还可以做出若干简单推演或替换，都应当视为属于本公开的保护范围。

Claims

一种无线终端在Uboot模式下的接口访问鉴权方法，用于获取无线终端的接口访问权限，所述接口访问鉴权方法包括：

响应接口访问的鉴权请求，获取所述鉴权请求携带的鉴权请求密匙信息；

依据预设的一密匙验证信息验证所述鉴权请求密匙信息；

在验证成功的情况下，获取所述无线终端的接口访问权限；

在验证失败的情况下，输出一密匙查询信息；所述密匙查询信息与所述密匙验证信息依据相同的明文密匙获取。
如权利要求1所述的接口访问鉴权方法，其中，所述密匙查询信息与所述密匙验证信息依据相同的明文密匙获取，包括：

按预设密码强度策略随机生成所述明文密匙；

采用第一加密算法将所述明文密匙生成所述密匙验证信息，采用第二加密算法将所述明文密匙生成所述密匙查询信息。
如权利要求2所述的接口访问鉴权方法，其中，所述密码强度策略包括密码字符最小长度和包含的最少字符类型数。
如权利要求2所述的接口访问鉴权方法，其中，所述第一加密算法和所述第二加密算法不同；所述第一加密算法包括对称加密算法或散列算法,所述第二加密算法包括非对称加密算法。
如权利要求2所述的接口访问鉴权方法，其中，所述第一加密算法包括AES、MD5或SHA加密算法；所述第二加密算法包括RSA或椭圆曲线非对称加密算法。
一种无线终端，包括：

接口开启模块，设置为开启所述无线终端的串口接口的访问权限；

存储模块，设置为存储所述无线终端预设的一密匙验证信息和一密匙查询信息；所述密匙查询信息与所述密匙验证信息依据相同的明文密匙获取；

鉴权模块，设置为响应接口访问的鉴权请求，获取所述鉴权请求携带的鉴权请求密匙信息，并依据所述密匙验证信息验证所述鉴权请求密匙信息；验证成功时，获取所述无线终端的接口访问权限；验证失败时，输出所述密匙查询信息。
如权利要求6所述的无线终端，其中，还包括加密模块，设置为按一第一预设加密算法对所述鉴权请求密匙信息进行加密，以用于所述鉴权模块依据所述密匙验证信息验证加密后的所述鉴权请求密匙信息。
如权利要求7所述的无线终端，其中，所述加密模块还设置为按预设密码强度策略随机生成所述明文密匙，采用第一加密算法将所述明文密匙生成所述密匙验证信息，采用第二加密算法将所述明文密匙生成所述密匙查询信息。
一种无线终端，包括处理器和存储器，所述存储器与所述处理器耦接；

所述处理器设置为执行所述存储器中存储的一个或者多个程序，以实现如权利要求1至5中任一项所述的接口访问鉴权方法的步骤。
一种计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个计算机程序，所述一个或者多个计算机程序可被一个或者多个处理器执行，以实现如权利要求1至5中任一项所述的接口访问鉴权方法的步骤。