一种终端产品模式与开发模式安全切换的方法及系统

摘要

本发明提供一种终端产品模式与开发模式安全切换的方法及系统，解决现有技术可能导致测试开发版本的终端意外流入市场使用，存在安全隐患的问题；本发明对应处于不同阶段的终端配置不同的CA证书管理机构；将不同CA颁发的证书公私钥对存储在不同的安全存储介质中，只有使用对应终端当前所处CA状态的安全存储介质在通过合法性验证后，才能成功改写终端的标志位；实现终端不同CA的安全切换；同时，还包括了对状态切换的操作执行者的身份验证，确保操作执行者的合法性；进一步的，还可以对终端的不同状态设置不同优先级别，实现安全、快速的切换。

说明书

技术领域

本发明涉及一种终端产品模式与开发模式安全切换的方法及系统。

背景技术

任何设备都需要经历开发过程，才能作为正式的产品发布。特别是针对有 安全性能要求的特殊终端设备，如POS终端，开发阶段和产品阶段的区分显得 格外重要；若将还处于开发阶段的POS终端设备错误的以正式产品流通出去， 将导致POS终端存在较大的安全隐患，严重影响POS终端的正常使用，用户和 运营商的利益也无法得到保证。因此，实现终端设备的开发模式和产品模式的 区分，将实际开发和实际产品的权限分离，将提高终端设备的安全性。

申请号为201210322713.0的专利申请文件，提供一种终端的工作模式切换 方法及终端；通过检测终端是否满足预设工作模式切换条件，当满足时，则将 终端从第一工作模式切换至第二工作模式；实现寻呼消息的接收处理。

上述申请文件并非出于终端的安全性能要求实现的改进，且仅提供终端工 作状态中的其中一种消息接收工作模式的切换，所解决的问题并非提高终端设 备的安全性能。因此，有必要针对上述问题，提供一种终端产品模式与开发模 式安全切换的方法及系统。

发明内容

本发明所要解决的技术问题是：提供一种终端产品模式与开发模式安全切 换的方法及系统，实现终端开发模式和产品模式的分离，避免处于开发阶段的 终端流入市场中被使用，规避终端可能存在的安全隐患。

为了解决上述技术问题，本发明采用的第一个技术方案为：

一种终端产品模式与开发模式安全切换的方法，包括：

预设产品CA；将产品CA预置在终端中；

预设终端内部FLASH中的标志位分别对应产品状态和开发状态；

第一加密机生成产品公私钥对；

使用产品CA颁发包含所述产品公钥的产品证书；

将所述产品证书和产品私钥存储在产品安全存储介质中；

终端读取一安全存储介质中存储的证书；

依据所述标志位判断所述终端当前处于开发状态还是产品状态；

若为产品状态，则终端使用产品CA验证所述证书的合法性，得到第一验证 结果；

终端验证所述一安全存储介质中存储的私钥的合法性，得到第二验证结果；

若第一验证结果和第二验证结果均为合法，则判定所述一安全存储介质为 产品安全存储介质；

格式化终端的密钥存储区；改写标志位，切换终端为开发CA状态。

本发明提供的第二个技术方案为：

一种终端产品模式与开发模式安全切换的系统，包括：

第一预设模块，用于预设产品CA，预设终端内部FLASH中的标志位分别 对应产品状态和开发状态；

第一预置模块，用于将产品CA预置在终端中；

第一加密模块，用于使用第一加密机生成产品公私钥对；

第一颁发模块，用于使用产品CA颁发包含所述产品公钥的产品证书；

第一存储模块，用于将所述产品证书和产品私钥存储在产品安全存储介质 中；

第一读取模块，用于终端读取一安全存储介质中存储的证书；

第一判断模块，用于依据所述标志位判断所述终端当前处于开发状态还是 产品状态，得到第一判断结果；

第一验证模块，用于若所述第一判断结果为产品状态，则终端使用产品CA 验证所述证书的合法性，得到第一验证结果；

第二验证模块，用于终端验证所述一安全存储介质中存储的私钥的合法性， 得到第二验证结果；

第一判定模块，用于若第一验证结果和第二验证结果均为合法，则判定所 述一安全存储介质为产品安全存储介质；

第一格式化模块，用于格式化终端的密钥存储区；

第一切换模块，用于改写标志位，切换终端为开发CA状态。

本发明的有益效果在于：本发明对应处于不同阶段的终端配置不同的CA证 书管理机构，实现终端实际开发和实际产品的权限分离；通过将不同CA颁发的 证书公私钥对存储在不同的安全存储介质中，只有使用对应终端当前所处CA状 态的安全存储介质在通过合法性验证后，才能成功改写终端的标志位；实现终 端不同CA状态的安全切换，确保处于测试开发阶段的终端即使错误的以正式产 品身份流通出去后，也无法正常地被使用，使用户和运营商的利益得到保证， 提高终端设备的安全性。

附图说明

图1为本发明一种终端产品模式与开发模式安全切换的方法的流程方框图；

图2为本发明一具体实施方式一种终端产品模式与开发模式安全切换的方 法的流程方框图；

图3为本发明一种终端产品模式与开发模式安全切换的系统的结构组成方 框图；

图4为本发明一具体实施方式一种终端产品模式与开发模式安全切换的系 统的结构组成方框图；

图5为本发明一具体实施方式一种终端产品模式与开发模式安全切换的系 统的结构组成方框图。

标号说明：

1、第一预设模块；2、第一预置模块；3、第一加密模块；

4、第一颁发模块；5、第一存储模块；6、第一读取模块；

7、第一判断模块；8、第一验证模块；9、第二验证模块；

10、第一判定模块；11、第一格式化模块；12、第一切换模块；

13、第二预设模块；14、第二预置模块；15、第二加密模块；

16、第二颁发模块；17、第二存储模块；18、第三验证模块；

19、第四验证模块；20、第二判定模块；21、第二切换模块；

22、第二格式化模块。

具体实施方式

为详细说明本发明的技术内容、所实现目的及效果，以下结合实施方式并 配合附图予以说明。

本发明最关键的构思在于：对应处于不同阶段的终端配置不同的CA证书管 理机构；将不同CA颁发的证书公私钥对存储在不同的安全存储介质中，只有使 用对应终端当前所处CA状态的安全存储介质在通过合法性验证后，才能成功改 写终端的标志位；实现终端不同CA的安全切换。

本发明涉及的技术术语解释:

请参照图1以及图2，本发明提供一种终端产品模式与开发模式安全切换的 方法，包括：

预设产品CA；将产品CA预置在终端中；

预设终端内部FLASH中的标志位分别对应产品状态和开发状态；

第一加密机生成产品公私钥对；

使用产品CA颁发包含所述产品公钥的产品证书；

将所述产品证书和产品私钥存储在产品安全存储介质中；

终端读取一安全存储介质中存储的证书；

依据所述标志位判断所述终端当前处于开发状态还是产品状态，得到第一 判断结果；

若所述第一判断结果为产品状态，则终端使用产品CA验证所述证书的合法 性，得到第一验证结果；

终端验证所述一安全存储介质中存储的私钥的合法性，得到第二验证结果；

若第一验证结果和第二验证结果均为合法，则判定所述一安全存储介质为 产品安全存储介质；

格式化终端的密钥存储区；改写标志位，切换终端为开发CA状态。

需要说明的是，在CPU的内部FLASH中，存在一个标志用来表示终端当 前是开发CA还是产品CA。所述标志位可以使用四字节表示，如当数据为 0xFFFFFFFF时为产品模式，数据为0xABABABAB时表示当前为开发模式； FLASH的特性是擦除后均被写为0xFF，达到默认状态为产品状态的效果。

在终端状态切换过程中，通过格式化终端的密钥存储区，能够对终端当前 状态的敏感信息进行清除，如切换为开发模式之前，则清除产品状态对应的密 钥、证书等信息，防止产品状态的敏感信息被误用至开发状态中，提高终端安 全性。

从上述描述可知，本发明的有益效果在于：提供一种针对终端设备本身便 存在安全存储介质读取接口，无需借助外部设备，能够独立完成安全存储介质 中证书的读取和验证的方法。在安全存储介质通过接口与终端建立连接关系后， 终端能够自动读取安全存储介质中存储的证书，并验证所述证书的合法性，以 及所述安全存储介质中私钥的合法性，只有两者均通过验证后，才能成功切换 终端的CA；该方法直接在终端设备利用证书完成权限的验证，不涉及额外设备 的通信交互，成本低，且具备较高安全性。

进一步的，所述“产品CA颁发包含所述产品公钥的产品证书”具体为：

使用产品CA中的产品根私钥对产品公钥进行签名，生成产品证书签名；

生成包括产品公钥和产品证书签名的产品证书。

由上述描述可知，本发明针对处于产品阶段的终端配备专门的产品CA，并 由产品CA颁发相应的产品公私钥对，以实现开发阶段的终端与产品阶段的终端 在本质上的区分。

进一步的，所述“验证所述证书的合法性”、“验证所述一安全存储介质中 存储的私钥的合法性”和“判定”具体为：

终端获取所述证书中的证书签名；

终端使用产品CA的产品根公钥对所述证书签名进行验证，得到第一验证结 果；

若第一验证结果为验证通过，则终端发送第一随机数至所述一安全存储介 质；

所述一安全存储介质使用存储的私钥加密所述第一随机数，得到加密后第 一随机数；发送所述加密后第一随机数至终端；

终端使用所述证书中的公钥解密所述加密后的第一随机数，得到第二随机 数；

终端对比所述第一随机数和第二随机数是否一致；

若一致，则判定所述一安全存储介质为产品安全存储介质。

由上述描述可知，本发明能够针对终端当前所处的状态，调用对应的CA验 证安全存储介质中证书的合法性，并通过对随机数的加解密来验证安全存储介 质中私钥的合法性，以确认与终端接口连接的安全存储介质是否对应终端当前 所处的CA状态，只有同时通过证书和私钥的验证，才能改写标志位，提升终端 切换过程的安全性。

进一步的，进一步包括：

预设开发CA；将开发CA预置在终端中；

第二加密机生成开发公私钥对；

开发CA颁发包含所述开发公钥的开发证书；

将所述开发证书和开发私钥存储在开发安全存储介质中；

若判断所述终端当前处于开发状态，则使用开发CA验证所述证书的合法 性，得到第三验证结果；

终端验证所述一安全存储介质中存储的私钥的合法性，得到第四验证结果；

若第三验证结果和第四验证结果均为合法；则判定所述一安全存储介质为 开发安全存储介质；

格式化终端的密钥存储区；改写标志位，切换终端为产品CA状态。

由上述描述可知，本发明对应处于开发状态的终端，配套对应的开发CA来 颁发开发公私钥对，以及验证安全存储介质的合法性；同样只有存储有开发公 私钥对的开发安全存储介质才能通过处于开发状态的终端的合法性验证，实现 将终端从开发状态切换至产品状态，确保终端的安全性。

进一步的，若判断所述终端当前处于开发CA状态，则在接收到CA状态切 换指令后，直接格式化终端的密钥存储区；改写标志位，切换终端为产品CA状 态。

由上述描述可知，本发明针对终端的开发状态和产品状态设置不同的优先 级别，产品状态的优先级高于开发状态的优先级别；当终端从高优先级状态切 换至较低优先级状态的时候，必须插入安全存储介质，并通过合法性验证后才 能实现切换；而从较低优先级切换至较高优先级别的时候，只需触发终端的CA 状态切换指令，便能快速切换至产品CA，实现终端状态的快速、灵活切换。

进一步的，所述“终端读取一安全存储介质中存储的证书”之前进一步包 括：

预设对应所述一安全存储介质的PIN码；

终端获取输入的PIN码；发送所述PIN码至所述一安全存储介质中；

所述一安全存储介质验证所述PIN码的正确性；

若验证通过，则执行所述“终端读取一安全存储介质中存储的证书”。

由上述描述可知，本发明能够预设与安全存储介质对应的PIN码，并在终 端连接安全存储介质后，要求验证PIN码；实现安全存储介质所有者与安全存 储介质的合法性验证，确保安全存储介质为合法者所使用，提高终端状态切换 的安全性。

进一步的，所述安全存储介质为IC卡或U-key。

由上述描述可知，安全存储介质可以以IC卡或者U-key形式存在，方便用 户的使用，且具备较高的安全存储性能。

请参阅图3，本发明提供的第二个技术方案为：

一种终端产品模式与开发模式安全切换的系统，包括：

第一预设模块1，用于预设产品CA，预设终端内部FLASH中的标志位分 别对应产品状态和开发状态；

第一预置模块2，用于将产品CA预置在终端中；

第一加密模块3，用于使用第一加密机生成产品公私钥对；

第一颁发模块4，用于使用产品CA颁发包含所述产品公钥的产品证书；

第一存储模块5，用于将所述产品证书和产品私钥存储在产品安全存储介质 中；

第一读取模块6，用于终端读取一安全存储介质中存储的证书；

第一判断模块7，用于依据所述标志位判断所述终端当前处于开发状态还是 产品状态，得到第一判断结果；

第一验证模块8，用于若所述第一判断结果为产品状态，则终端使用产品 CA验证所述证书的合法性，得到第一验证结果；

第二验证模块9，用于终端验证所述一安全存储介质中存储的私钥的合法 性，得到第二验证结果；

第一判定模块10，用于若第一验证结果和第二验证结果均为合法，则判定 所述一安全存储介质为产品安全存储介质；

第一格式化模块11，用于格式化终端的密钥存储区；

第一切换模块12，用于改写标志位，切换终端为开发CA状态。

从上述描述可知，本发明的有益效果在于：提供一种终端设备存储安全存 储介质读取接口，能够直接通过读取模块读取一安全存储介质的证书和公私钥 对；并通过第一验证模块8和第二验证模块9进行合法性验证，第一判定模块 10判定在验证通过后，通过格式化模块和切换模块实现终端状态地安全切换。

请参阅图4，进一步的，还包括：

第二预设模块13，用于预设开发CA；

第二预置模块14，用于将开发CA预置在终端中；

第二加密模块15，用于使用第二加密机生成开发公私钥对；

第二颁发模块16，用于开发CA颁发包含所述开发公钥的开发证书；

第二存储模块17，用于将所述开发证书和开发私钥存储在开发安全存储介 质中；

第三验证模块18，用于若判断所述终端当前处于开发状态，则使用开发CA 验证所述证书的合法性，得到第三验证结果；

第四验证模块19，用于终端验证所述一安全存储介质中存储的私钥的合法 性，得到第四验证结果；

第二判定模块20，用于若第三验证结果和第四验证结果均为合法；则判定 所述一安全存储介质为开发安全存储介质；

第二切换模块21，用于改写标志位，切换终端为产品CA状态。

由上述可知，本发明对应处于开发状态的终端，配套对应的开发CA通过第 二颁发模块16来颁发开发公私钥对，以及第三验证模块18和第四验证模块19 来验证安全存储介质的合法性；同样只有存储有开发公私钥对的开发安全存储 介质才能通过处于开发状态的终端的合法性验证，实现将终端从开发状态切换 至产品状态，确保终端的安全性。

请参阅图5，进一步的，还包括：

第二格式化模块22，用于若判断所述终端当前处于开发CA状态，则在接 收到CA状态切换指令后，直接格式化终端的密钥存储区。

由上述可知，本发明针对终端的开发状态和产品状态设置不同的优先级别， 产品状态的优先级高于开发状态的优先级别；从较低优先级切换至较高优先级 别的时候，只需触发终端的CA状态切换指令，便能快速切换至产品CA，实现 终端状态的快速、灵活切换。

请参照图1和2，本发明的实施例一为：

一种终端产品模式与开发模式安全切换的方法，终端存在安全介质读取接 口；所述安全存储介质为IC签名卡；所述终端为POS终端。

预设产品CA和开发CA，并将产品CA和开发CA同时预置在POS终端中； 所述开发CA和产品CA可以是不同第三方组织或公司所开发的不同数字证书认 证中心，当然，也可以是同一组织或公司开发的不同数字证书认证中心；

预设POS终端内部FLASH中的标志位为0xFFFFFFFF时POS终端为产品 状态，标志位为0xABABABAB时POS终端为开发状态；

第一加密机生成产品公私钥对；使用产品CA中的产品根私钥对产品公钥进 行签名，生成产品证书签名；生成包括产品公钥和产品证书签名的产品证书； 将所述产品证书和产品私钥存储在产品IC签名卡中；预设与产品IC签名卡相 对应的PIN码，可以每一张IC签名卡的PIN码都不一样；

第二加密机生成产品公私钥对；使用开发CA中的开发根私钥对开发公钥进 行签名，生成开发证书签名；生成包括开发公钥和开发证书签名的开发证书； 将所述开发证书和开发私钥存储在开发IC签名卡中；

预设与开发IC签名卡相对应的PIN码；

产品人员将产品IC签名卡插入POS终端的IC卡接口中；

POS终端读取产品IC签名卡；

判断POS终端的标志位是否为0xFFFFFFFF；若不是，则判定POS终端当 前处于开发状态，则提示IC签名卡与当前状态不对应，无法执行操作，结束流 程；

若标志位为0xFFFFFFFF，则判定当前处于产品状态，则POS终端提示输 入PIN码；

POS终端接收产品人员输入的PIN码，并通过产品IC签名卡验证PIN码是 否与预设的PIN码一致；若不一致，则提示PIN码错误，结束流程；

若一致，则判定所述产品IC签名卡为插卡人合法所有；POS终端获取产品 IC签名卡中存储的产品证书中的产品证书签名；

POS终端使用产品CA的产品根公钥对所述产品证书签名进行验证，得到 第一验证结果；

若第一验证结果为验证通过，则判定所述产品证书为合法的证书；

POS终端发送第一随机数rng1至所述产品安全存储介质；

所述产品安全存储介质使用存储的私钥加密所述第一随机数rng1，得到加 密后第一随机数E(rng1)；发送所述加密后第一随机数E(rng1)至POS终端；

POS终端使用所述证书中的公钥Puk解密所述加密后的第一随机数E (rng1)，得到第二随机数rng2；

POS终端对比所述第一随机数rng1和第二随机数rng2是否一致；

若一致，则判定所述产品IC签名卡中存储的私钥为合法私钥；进而判定所 述产品安全存储介质为合法的产品安全存储介质。

格式化终端的密钥存储区，清除产品状态所涉及的包括密钥和证书等的敏 感信息；改写标志位为标志位为0xABABABAB，切换终端为开发CA状态；

当开发人员使用开发IC签名卡执行POS终端的状态切换操作，将POS终 端从开发状态切换成产品状态时所需的流程与上述产品状态切换成开发状态所 需流程一致，在此不累述。

在本发明的实施例一的基础上，本发明的实施例二为：

设置POS终端的产品状态的优先级高于开发状态的优先级；若需要POS重 点从产品状态切换至开发状态，则需要通过产品人员使用产品IC签名卡执行； 而需要将POS终端从开发状态切换至开发状态时，则只需执行以下步骤：

当POS终端的标志位为0xABABABAB，则判定所述POS终端当前处于开 发状态；

POS终端判断是否接受到CA状态切换指令，若接收到所述状态切换指令， 则直接格式化中的密钥存储区，改写标志为0xFFFFFFFF对应的产品状态。

请参照图4，本发明的实施例三为：

一种终端产品模式与开发模式安全切换的系统，包括：

第一预设模块1，用于预设产品CA，预设终端内部FLASH中的标志位分 别对应产品状态和开发状态；

第一预置模块2，用于将产品CA预置在终端中；

第一加密模块3，用于使用第一加密机生成产品公私钥对；

第一颁发模块4，用于使用产品CA颁发包含所述产品公钥的产品证书；

第一存储模块5，用于将所述产品证书和产品私钥存储在产品安全存储介质 中；

第一读取模块6，用于终端读取一安全存储介质中存储的证书；

第一判断模块7，用于依据所述标志位判断所述终端当前处于开发状态还是 产品状态，得到第一判断结果；

第一验证模块8，用于若所述第一判断结果为产品状态，则终端使用产品 CA验证所述证书的合法性，得到第一验证结果；

第二验证模块9，用于终端验证所述一安全存储介质中存储的私钥的合法 性，得到第二验证结果；

第一判定模块10，用于若第一验证结果和第二验证结果均为合法，则判定 所述一安全存储介质为产品安全存储介质；

第一格式化模块11，用于格式化终端的密钥存储区；

第一切换模块12，用于改写标志位，切换终端为开发CA状态；

第二预设模块13，用于预设开发CA；

第二预置模块14，用于将开发CA预置在终端中；

第二加密模块15，用于使用第二加密机生成开发公私钥对；

第二颁发模块16，用于开发CA颁发包含所述开发公钥的开发证书；

第二存储模块17，用于将所述开发证书和开发私钥存储在开发安全存储介 质中；

第三验证模块18，用于若判断所述终端当前处于开发状态，则使用开发CA 验证所述证书的合法性，得到第三验证结果；

第四验证模块19，用于终端验证所述一安全存储介质中存储的私钥的合法 性，得到第四验证结果；

第二判定模块20，用于若第三验证结果和第四验证结果均为合法；则判定 所述一安全存储介质为开发安全存储介质；

第二切换模块21，用于改写标志位，切换终端为产品CA状态。

请参照图5，本发明的实施例四为：

一种终端产品模式与开发模式安全切换的系统，包括：

第一预设模块1，用于预设产品CA，预设终端内部FLASH中的标志位分 别对应产品状态和开发状态；

第一预置模块2，用于将产品CA预置在终端中；

第一加密模块3，用于使用第一加密机生成产品公私钥对；

第一颁发模块4，用于使用产品CA颁发包含所述产品公钥的产品证书；

第一存储模块5，用于将所述产品证书和产品私钥存储在产品安全存储介质 中；

第一读取模块6，用于终端读取一安全存储介质中存储的证书；

第一判断模块7，用于依据所述标志位判断所述终端当前处于开发状态还是 产品状态，得到第一判断结果；

第一验证模块8，用于若所述第一判断结果为产品状态，则终端使用产品 CA验证所述证书的合法性，得到第一验证结果；

第二验证模块9，用于终端验证所述一安全存储介质中存储的私钥的合法 性，得到第二验证结果；

第一判定模块10，用于若第一验证结果和第二验证结果均为合法，则判定 所述一安全存储介质为产品安全存储介质；

第一格式化模块11，用于格式化终端的密钥存储区；

第一切换模块12，用于改写标志位，切换终端为开发CA状态；

第二格式化模块22，用于若判断所述终端当前处于开发CA状态，则在接 收到CA状态切换指令后，直接格式化终端的密钥存储区。

综上所述，本发明提供的一种终端产品模式与开发模式安全切换的方法及 系统，区别于现有技术无法实现终端从本质上区分所处不同阶段，可能导致测 试开发版本的终端意外流入市场使用，存在安全隐患的问题；本发明对应处于 不同阶段的终端配置不同的CA证书管理机构；将不同CA颁发的证书公私钥对 存储在不同的安全存储介质中，只有使用对应终端当前所处CA状态的安全存储 介质在通过合法性验证后，才能成功改写终端的标志位；实现终端不同CA的安 全切换，且终端无需与其他设备通讯，直接通过接口读取安全存储介质，独立 完成验证过程，降低成本，显著提高状态切换的安全性；进一步的，还包括了 对状态切换的操作执行者的身份验证，确保操作执行者的合法性；最后，还可 以对终端的不同状态设置不同优先级别，实现安全、快速的切换。

以上所述仅为本发明的实施例，并非因此限制本发明的专利范围，凡是利 用本发明说明书及附图内容所作的等同变换，或直接或间接运用在相关的技术 领域，均同理包括在本发明的专利保护范围内。