本發(fā)明涉及通信技術(shù)領(lǐng)域，尤其涉及一種移動通信終端管理中空口引導(dǎo)設(shè)置(OTA Bootstrap)處理方法及終端設(shè)備。

背景技術(shù)：

隨著移動通信技術(shù)飛速發(fā)展，4G(4rd-generation，第四代移動通信技術(shù))以及更強大的移動通信系統(tǒng)逐步應(yīng)用于人們的生活與工作。尤其，進(jìn)入萬物互聯(lián)的時代，OMA DM(Object Management Architecture Data Management，移動通信設(shè)備終端管理)，作為行業(yè)廣泛使用的移動終端設(shè)備管理協(xié)議，在國內(nèi)外越來越多的應(yīng)用于數(shù)億各種類型的終端設(shè)備，涉及設(shè)備激活放號/參數(shù)收集/設(shè)備配置/固件升級等方面。

在OMA DM標(biāo)準(zhǔn)和協(xié)議中，Bootstrap是指將一個設(shè)備從空白狀態(tài)通過配置轉(zhuǎn)變成能夠進(jìn)行DM會話的過程，簡單說就是設(shè)置設(shè)備DM服務(wù)器的方法和過程。

目前，Bootstrap有如下三種類型：

Factory Bootstrap，在出廠時將所有進(jìn)行DM交互的信息預(yù)制到終端，無需再通過空口傳遞敏感性較高的公鑰等信息，所以安全性較高但不靈活，無法動態(tài)調(diào)整。

OTA(Over-the-AirTechnology，空中下載技術(shù))Bootstrap，不具備DM功能的終端通過WAP PUSH(Wireless Application Protocol Push，無線應(yīng)用協(xié)議反饋)或者OBEX(Object Exchange，對象交換)等方式來接收來自DM服務(wù)器的Bootstrap消息，并根據(jù)消息中的內(nèi)容進(jìn)行相應(yīng)賬號配置，從而獲得與DM服務(wù)器進(jìn)行DM會話的能力。

Smartcard Bootstrap，終端從插入的smartcard中讀取信息來完成bootstrap從而獲得DM交互能力，這種方式安全性也較高但應(yīng)用成本 也隨之增加，在實際使用中非常罕見。

由上分析可以看出，空口引導(dǎo)設(shè)置過程被稱為OTA Bootstrap，是最為靈活高效的方式，用于使用Push機制(IP Push或者Wap Push)進(jìn)行空中配置和改變設(shè)備所屬的服務(wù)器賬號信息。

由于OTA Bootstrap配置的是關(guān)鍵的服務(wù)器賬號信息(包括服務(wù)器地址、鑒權(quán)信息等)，所以一旦被篡改偽裝，控制用戶終端，后果很惡劣。黑客利用此協(xié)議標(biāo)準(zhǔn)漏洞進(jìn)行攻擊所需要的網(wǎng)絡(luò)環(huán)境包括：終端設(shè)備、偽裝基站和偽DM服務(wù)器，具體的流程如圖1所示：

步驟101、終端設(shè)備接入黑客設(shè)置的偽裝基站，注冊設(shè)備的信息；

步驟102、黑客利用其它手段獲取終端設(shè)備信息；

步驟103、黑客將獲取的共享密鑰相關(guān)設(shè)備信息傳遞給偽DM服務(wù)器；

步驟104、偽DM服務(wù)器根據(jù)抓取的OTA Bootstrap消息拼裝偽信息并發(fā)送給受害終端；

步驟105、終端設(shè)備使用共享密鑰校驗通過，執(zhí)行OTA Bootstrap操作，服務(wù)器賬號信息被篡改；

步驟106、終端設(shè)備執(zhí)行連接偽DM服務(wù)器操作；

步驟107、偽DM服務(wù)器控制終端，并下發(fā)惡意控制指令。

由上述流程可知，由于共享密鑰在標(biāo)準(zhǔn)中的公知性，終端設(shè)備很難抗拒專業(yè)的黑客攻擊，容易完全受非授權(quán)的DM服務(wù)器控制，存在極大的安全隱患。

技術(shù)實現(xiàn)要素：

本發(fā)明實施例提供一種空口引導(dǎo)設(shè)置處理方法及終端設(shè)備，旨在提升空口引導(dǎo)設(shè)置的安全性，進(jìn)而提升終端設(shè)備的安全性。

本發(fā)明實施例提出的一種空口引導(dǎo)設(shè)置處理方法，包括：

終端設(shè)備在接收到空口引導(dǎo)設(shè)置消息后，從預(yù)置的服務(wù)器獲取共享密鑰的關(guān)鍵要素；

根據(jù)所述共享密鑰的關(guān)鍵要素構(gòu)建共享密鑰；

通過構(gòu)建的所述共享密鑰對所述空口引導(dǎo)設(shè)置消息進(jìn)行安全校 驗；

當(dāng)校驗通過后，執(zhí)行空口引導(dǎo)設(shè)置過程，配置服務(wù)器賬號新信息。

優(yōu)選地，所述終端設(shè)備在接收到空口引導(dǎo)設(shè)置消息后，從預(yù)置的服務(wù)器獲取共享密鑰的關(guān)鍵要素的步驟包括：

所述終端設(shè)備在接收到空口引導(dǎo)設(shè)置消息后，獲取所述預(yù)置的服務(wù)器的賬號信息；

根據(jù)所述預(yù)置的服務(wù)器的賬號信息，與所述預(yù)置的服務(wù)器建立安全連接，由所述預(yù)置的服務(wù)器根據(jù)預(yù)設(shè)匹配規(guī)則匹配對應(yīng)的共享密鑰關(guān)鍵要素；

接收所述預(yù)置的服務(wù)器下發(fā)的共享密鑰關(guān)鍵要素。

優(yōu)選地，所述根據(jù)所述共享密鑰的關(guān)鍵要素構(gòu)建共享密鑰的步驟包括：

所述終端設(shè)備通過所述共享密鑰的關(guān)鍵要素以及所述終端設(shè)備的IMSI構(gòu)建共享密鑰。

優(yōu)選地，所述通過構(gòu)建的所述共享密鑰對所述空口引導(dǎo)設(shè)置消息進(jìn)行安全校驗的步驟之后還包括：

當(dāng)校驗不通過時，所述終端設(shè)備丟棄所述空口引導(dǎo)設(shè)置消息。

優(yōu)選地，所述方法還包括：

所述終端設(shè)備與配置的賬號對應(yīng)的服務(wù)器建立數(shù)據(jù)連接。

優(yōu)選地，所述方法還包括：

所述終端設(shè)備根據(jù)所述關(guān)鍵要素與建立數(shù)據(jù)連接的服務(wù)器協(xié)商DM交互中對應(yīng)的密鑰算法。

本發(fā)明實施例還提出一種實現(xiàn)空口引導(dǎo)設(shè)置的終端設(shè)備，包括：

獲取模塊，用于在接收到空口引導(dǎo)設(shè)置消息后，從預(yù)置的服務(wù)器獲取共享密鑰的關(guān)鍵要素；

構(gòu)建模塊，用于根據(jù)所述共享密鑰的關(guān)鍵要素構(gòu)建共享密鑰；

校驗?zāi)K，用于通過構(gòu)建的所述共享密鑰對所述空口引導(dǎo)設(shè)置消息進(jìn)行安全校驗；

配置模塊，用于當(dāng)校驗通過后，執(zhí)行空口引導(dǎo)設(shè)置過程，配置服 務(wù)器賬號新信息。

優(yōu)選地，所述獲取模塊，還用于在接收到空口引導(dǎo)設(shè)置消息后，獲取所述預(yù)置的服務(wù)器的賬號信息；根據(jù)所述預(yù)置的服務(wù)器的賬號信息，與所述預(yù)置的服務(wù)器建立安全連接，由所述預(yù)置的服務(wù)器根據(jù)預(yù)設(shè)匹配規(guī)則匹配對應(yīng)的共享密鑰關(guān)鍵要素；接收所述預(yù)置的服務(wù)器下發(fā)的共享密鑰關(guān)鍵要素。

優(yōu)選地，所述構(gòu)建模塊，還用于通過所述共享密鑰的關(guān)鍵要素以及所述終端設(shè)備的IMSI構(gòu)建共享密鑰。

優(yōu)選地，所述校驗?zāi)K，還用于當(dāng)校驗不通過時，丟棄所述空口引導(dǎo)設(shè)置消息。

優(yōu)選地，所述終端設(shè)備還包括：

連接建立模塊，用于與配置的賬號對應(yīng)的服務(wù)器建立數(shù)據(jù)連接。

優(yōu)選地，所述終端設(shè)備還包括：

協(xié)商模塊，用于根據(jù)所述關(guān)鍵要素與建立數(shù)據(jù)連接的服務(wù)器協(xié)商DM交互中對應(yīng)的密鑰算法。

本發(fā)明實施例提出的一種空口引導(dǎo)設(shè)置處理方法及終端設(shè)備，終端設(shè)備在接收到空口引導(dǎo)設(shè)置消息后，從預(yù)置的服務(wù)器獲取共享密鑰的關(guān)鍵要素；根據(jù)共享密鑰的關(guān)鍵要素構(gòu)建共享密鑰；通過構(gòu)建的共享密鑰對空口引導(dǎo)設(shè)置消息進(jìn)行安全校驗；當(dāng)校驗通過后，執(zhí)行空口引導(dǎo)設(shè)置過程，配置服務(wù)器賬號新信息，由于該方案不是直接使用公知的共享密鑰進(jìn)行安全校驗，執(zhí)行空口引導(dǎo)設(shè)置，而是從預(yù)置的服務(wù)器獲取共享密鑰的關(guān)鍵要素，并根據(jù)共享密鑰的關(guān)鍵要素構(gòu)建共享密鑰，在校驗通過后，執(zhí)行空口引導(dǎo)設(shè)置過程，配置服務(wù)器賬號新信息，由于共享密鑰可以動態(tài)獲得，避免標(biāo)準(zhǔn)中公知的安全漏洞，由此極大的提升了OTA Bootstrap的安全性，從而極大提升了終端設(shè)備的安全性；而且該方案可以不用修改服務(wù)器端的標(biāo)準(zhǔn)處理實現(xiàn)，僅需要微調(diào)終端設(shè)備客戶端的標(biāo)準(zhǔn)處理流程，就可以實現(xiàn)安全的技術(shù)升級，簡單易于推廣，且效果良好。

附圖說明

圖1是現(xiàn)有技術(shù)中黑客利用共享密鑰公知的漏洞控制終端的流程示意圖；

圖2是本發(fā)明空口引導(dǎo)設(shè)置處理方法第一實施例的流程示意圖；

圖3是本發(fā)明空口引導(dǎo)設(shè)置處理方法第二實施例的流程示意圖；

圖4是本發(fā)明實現(xiàn)空口引導(dǎo)設(shè)置的終端設(shè)備第一實施例的功能模塊示意圖；

圖5是本發(fā)明實現(xiàn)空口引導(dǎo)設(shè)置的終端設(shè)備第二實施例的功能模塊示意圖。

為了使本發(fā)明的技術(shù)方案更加清楚、明了，下面將結(jié)合附圖作進(jìn)一步詳述。

具體實施方式

應(yīng)當(dāng)理解，此處所描述的具體實施例僅僅用以解釋本發(fā)明，并不用于限定本發(fā)明。

本發(fā)明實施例的主要解決方案是：終端設(shè)備在接收到空口引導(dǎo)設(shè)置消息后，從預(yù)置的服務(wù)器獲取共享密鑰的關(guān)鍵要素；根據(jù)共享密鑰的關(guān)鍵要素構(gòu)建共享密鑰；通過構(gòu)建的共享密鑰對空口引導(dǎo)設(shè)置消息進(jìn)行安全校驗；當(dāng)校驗通過后，執(zhí)行空口引導(dǎo)設(shè)置過程，配置服務(wù)器賬號新信息，以提升OTA Bootstrap的安全性，進(jìn)而提升終端設(shè)備的安全性。

具體地，如圖2所示，本發(fā)明第一實施例提出一種空口引導(dǎo)設(shè)置處理方法，包括：

步驟S101，終端設(shè)備在接收到空口引導(dǎo)設(shè)置消息后，從預(yù)置的服務(wù)器獲取共享密鑰的關(guān)鍵要素；

由于現(xiàn)有技術(shù)中，使用公知的共享密鑰進(jìn)行安全校驗，執(zhí)行空口引導(dǎo)設(shè)置，與DM服務(wù)器建立數(shù)據(jù)連接，而由于共享密鑰在標(biāo)準(zhǔn)中的公知性，終端設(shè)備很難抗拒專業(yè)的黑客攻擊，容易完全受非授權(quán)的 DM服務(wù)器控制，存在極大的安全隱患。

因此，本發(fā)明實施例引入預(yù)置的服務(wù)器，基于預(yù)置的服務(wù)器實現(xiàn)共享密鑰的動態(tài)獲得，避免標(biāo)準(zhǔn)中公知密鑰的安全漏洞。

其中，預(yù)置的服務(wù)器為DM服務(wù)器，其安全性可知。該預(yù)置的服務(wù)器可以根據(jù)需要選擇配置，比如可以是終端設(shè)備上一次進(jìn)行DM交互的服務(wù)器；當(dāng)然還可以是使用預(yù)置其它功能定義的DM服務(wù)器。

終端設(shè)備在接收到空口引導(dǎo)設(shè)置消息(OTA Bootstrap消息)后，存儲該OTA Bootstrap消息。

然后，終端設(shè)備獲取預(yù)置的服務(wù)器的賬號信息；根據(jù)預(yù)置的服務(wù)器的賬號信息，與該預(yù)置的服務(wù)器建立安全連接。

被連接的預(yù)置的服務(wù)器，根據(jù)預(yù)設(shè)匹配規(guī)則匹配對應(yīng)的共享密鑰關(guān)鍵要素，并反饋給終端設(shè)備。

具體地，預(yù)置的服務(wù)器根據(jù)預(yù)先定義與客戶端管理樹匹配的共享密鑰關(guān)鍵要素節(jié)點(比如/DevInfo/Ext/KeyInfo)，下發(fā)Replace命令和對應(yīng)節(jié)點值給終端設(shè)備。

當(dāng)然，對于共享密鑰關(guān)鍵要素節(jié)點的定義，還可以存在其他實施方式，比如：服務(wù)器采用不同路徑的節(jié)點定義或者已有節(jié)點的復(fù)用等。

終端設(shè)備接收上述預(yù)置的服務(wù)器下發(fā)的共享密鑰關(guān)鍵要素，從而得到共享密鑰的關(guān)鍵要素。

步驟S102，根據(jù)所述共享密鑰的關(guān)鍵要素構(gòu)建共享密鑰；

終端設(shè)備在接收到預(yù)置的服務(wù)器下發(fā)的共享密鑰的關(guān)鍵要素后，根據(jù)共享密鑰的關(guān)鍵要素構(gòu)建共享密鑰。

作為一種實施方式，可以通過共享密鑰的關(guān)鍵要素以及該終端設(shè)備的IMSI(International Mobile Subscriber Identity，國際移動用戶識別碼)構(gòu)建共享密鑰。當(dāng)然，還可以采用其它方式構(gòu)建共享密鑰方式，在此不作詳述。

步驟S103，通過構(gòu)建的所述共享密鑰對所述空口引導(dǎo)設(shè)置消息進(jìn)行安全校驗；

步驟S104，當(dāng)校驗通過后，執(zhí)行空口引導(dǎo)設(shè)置過程，配置服務(wù)器賬號新信息。

終端設(shè)備使用構(gòu)建的共享密鑰安全校驗接收的OTA Bootstrap消息，當(dāng)校驗通過后，執(zhí)行空口引導(dǎo)設(shè)置過程，配置服務(wù)器賬號新信息，以選擇該新配置賬號對應(yīng)的服務(wù)器進(jìn)行DM交互業(yè)務(wù)，從而獲得與DM服務(wù)器進(jìn)行DM會話的能力。

如果校驗不通過，則視為非法OTA Bootstrap消息，予以丟棄。

本實施例通過上述方案，終端設(shè)備在接收到空口引導(dǎo)設(shè)置消息后，從預(yù)置的服務(wù)器獲取共享密鑰的關(guān)鍵要素；根據(jù)共享密鑰的關(guān)鍵要素構(gòu)建共享密鑰；通過構(gòu)建的共享密鑰對空口引導(dǎo)設(shè)置消息進(jìn)行安全校驗；當(dāng)校驗通過后，執(zhí)行空口引導(dǎo)設(shè)置過程，配置服務(wù)器賬號新信息，由于該方案不是直接使用公知的共享密鑰進(jìn)行安全校驗，執(zhí)行空口引導(dǎo)設(shè)置，而是從預(yù)置的服務(wù)器獲取共享密鑰的關(guān)鍵要素，并根據(jù)共享密鑰的關(guān)鍵要素構(gòu)建共享密鑰，在校驗通過后，執(zhí)行空口引導(dǎo)設(shè)置過程，配置服務(wù)器賬號新信息，由于共享密鑰可以動態(tài)獲得，避免標(biāo)準(zhǔn)中公知的安全漏洞，由此極大的提升了OTA Bootstrap的安全性，從而極大提升了終端設(shè)備的安全性；而且該方案可以不用修改服務(wù)器端的標(biāo)準(zhǔn)處理實現(xiàn)，僅需要微調(diào)終端設(shè)備客戶端的標(biāo)準(zhǔn)處理流程，就可以實現(xiàn)安全的技術(shù)升級，簡單易于推廣，且效果良好。

如圖3所示，本發(fā)明第二實施例提出一種空口引導(dǎo)設(shè)置處理方法，基于上述圖2所示的實施例，所述方法還包括：

步驟S105，終端設(shè)備與配置的賬號對應(yīng)的服務(wù)器建立數(shù)據(jù)連接。

相比上述實施例，本實施例還包括終端設(shè)備與配置的賬號對應(yīng)的服務(wù)器建立數(shù)據(jù)連接的方案。

具體地，終端設(shè)備在完成空口引導(dǎo)設(shè)置過程，配置服務(wù)器賬號新信息后，獲得與DM服務(wù)器進(jìn)行DM會話的能力，執(zhí)行連接該配置賬號對應(yīng)的服務(wù)器的操作，以便與該連接的DM服務(wù)器進(jìn)行DM會話。

需要說明的是，由于終端設(shè)備獲取的是公知密鑰的關(guān)鍵元素，終端設(shè)備客戶端可根據(jù)這個關(guān)鍵元素，與建立數(shù)據(jù)連接的服務(wù)器定義各自的密鑰算法，以實現(xiàn)DM交互，從而最大限度的兼顧了安全與標(biāo)準(zhǔn) 互通的平衡。

相比現(xiàn)有技術(shù)，本實施例方案存在以下優(yōu)點：

1)共享密鑰將動態(tài)獲得，避免標(biāo)準(zhǔn)中公知的安全漏洞，即使現(xiàn)有標(biāo)準(zhǔn)的公知算法不改變，也能極大提高安全性；

2)現(xiàn)有的服務(wù)器可不需要改動，簡單配置即可適用新方案，易于推廣，減少技術(shù)升級帶來的成本投入；

3)由于獲取的是公知密鑰的關(guān)鍵元素，客戶端可根據(jù)這個關(guān)鍵元素與對應(yīng)服務(wù)器定義各自的密鑰算法，最大限度的兼顧了安全與標(biāo)準(zhǔn)互通的平衡。

對應(yīng)地，提出本發(fā)明實現(xiàn)空口引導(dǎo)設(shè)置的終端設(shè)備實施例。

如圖4所示，本發(fā)明第一實施例提出一種實現(xiàn)空口引導(dǎo)設(shè)置的終端設(shè)備，包括：獲取模塊201、構(gòu)建模塊202、校驗?zāi)K203及配置模塊204，其中：

獲取模塊201，用于在接收到空口引導(dǎo)設(shè)置消息后，從預(yù)置的服務(wù)器獲取共享密鑰的關(guān)鍵要素；

構(gòu)建模塊202，用于根據(jù)所述共享密鑰的關(guān)鍵要素構(gòu)建共享密鑰；

校驗?zāi)K203，用于通過構(gòu)建的所述共享密鑰對所述空口引導(dǎo)設(shè)置消息進(jìn)行安全校驗；

配置模塊204，用于當(dāng)校驗通過后，執(zhí)行空口引導(dǎo)設(shè)置過程，配置服務(wù)器賬號新信息。

進(jìn)一步地，獲取模塊201，還用于在接收到空口引導(dǎo)設(shè)置消息后，獲取所述預(yù)置的服務(wù)器的賬號信息；根據(jù)所述預(yù)置的服務(wù)器的賬號信息，與所述預(yù)置的服務(wù)器建立安全連接，由所述預(yù)置的服務(wù)器根據(jù)預(yù)設(shè)匹配規(guī)則匹配對應(yīng)的共享密鑰關(guān)鍵要素；接收所述預(yù)置的服務(wù)器下發(fā)的共享密鑰關(guān)鍵要素。

所述構(gòu)建模塊202，還用于通過所述共享密鑰的關(guān)鍵要素以及所述終端設(shè)備的IMSI構(gòu)建共享密鑰。

所述校驗?zāi)K203，還用于當(dāng)校驗不通過時，丟棄所述空口引導(dǎo) 設(shè)置消息。

具體地，由于現(xiàn)有技術(shù)中，使用公知的共享密鑰進(jìn)行安全校驗，執(zhí)行空口引導(dǎo)設(shè)置，與DM服務(wù)器建立數(shù)據(jù)連接，而由于共享密鑰在標(biāo)準(zhǔn)中的公知性，終端設(shè)備很難抗拒專業(yè)的黑客攻擊，容易完全受非授權(quán)的DM服務(wù)器控制，存在極大的安全隱患。

因此，本發(fā)明實施例引入預(yù)置的服務(wù)器，基于預(yù)置的服務(wù)器實現(xiàn)共享密鑰的動態(tài)獲得，避免標(biāo)準(zhǔn)中公知密鑰的安全漏洞。

其中，預(yù)置的服務(wù)器為DM服務(wù)器，其安全性可知。該預(yù)置的服務(wù)器可以根據(jù)需要選擇配置，比如可以是終端設(shè)備上一次進(jìn)行DM交互的服務(wù)器；當(dāng)然還可以是使用預(yù)置其它功能定義的DM服務(wù)器。

終端設(shè)備在接收到空口引導(dǎo)設(shè)置消息(OTA Bootstrap消息)后，存儲該OTA Bootstrap消息。

然后，終端設(shè)備獲取預(yù)置的服務(wù)器的賬號信息；根據(jù)預(yù)置的服務(wù)器的賬號信息，與該預(yù)置的服務(wù)器建立安全連接。

被連接的預(yù)置的服務(wù)器，根據(jù)預(yù)設(shè)匹配規(guī)則匹配對應(yīng)的共享密鑰關(guān)鍵要素，并反饋給終端設(shè)備。

具體地，預(yù)置的服務(wù)器根據(jù)預(yù)先定義與客戶端管理樹匹配的共享密鑰關(guān)鍵要素節(jié)點(比如/DevInfo/Ext/KeyInfo)，下發(fā)Replace命令和對應(yīng)節(jié)點值給終端設(shè)備。

當(dāng)然，對于共享密鑰關(guān)鍵要素節(jié)點的定義，還可以存在其他實施方式，比如：服務(wù)器采用不同路徑的節(jié)點定義或者已有節(jié)點的復(fù)用等。

終端設(shè)備接收上述預(yù)置的服務(wù)器下發(fā)的共享密鑰關(guān)鍵要素，從而得到共享密鑰的關(guān)鍵要素。

終端設(shè)備在接收到預(yù)置的服務(wù)器下發(fā)的共享密鑰的關(guān)鍵要素后，根據(jù)共享密鑰的關(guān)鍵要素構(gòu)建共享密鑰。

作為一種實施方式，可以通過共享密鑰的關(guān)鍵要素以及該終端設(shè)備的IMSI(International Mobile Subscriber Identity，國際移動用戶識別碼)構(gòu)建共享密鑰。當(dāng)然，還可以采用其它方式構(gòu)建共享密鑰方式，在此不作詳述。

之后，終端設(shè)備使用構(gòu)建的共享密鑰安全校驗接收的OTA Bootstrap消息，當(dāng)校驗通過后，執(zhí)行空口引導(dǎo)設(shè)置過程，配置服務(wù)器賬號新信息，以選擇該新配置賬號對應(yīng)的服務(wù)器進(jìn)行DM交互業(yè)務(wù)，從而獲得與DM服務(wù)器進(jìn)行DM會話的能力。

如果校驗不通過，則視為非法OTA Bootstrap消息，予以丟棄。

本實施例通過上述方案，終端設(shè)備在接收到空口引導(dǎo)設(shè)置消息后，從預(yù)置的服務(wù)器獲取共享密鑰的關(guān)鍵要素；根據(jù)共享密鑰的關(guān)鍵要素構(gòu)建共享密鑰；通過構(gòu)建的共享密鑰對空口引導(dǎo)設(shè)置消息進(jìn)行安全校驗；當(dāng)校驗通過后，執(zhí)行空口引導(dǎo)設(shè)置過程，配置服務(wù)器賬號新信息，由于該方案不是直接使用公知的共享密鑰進(jìn)行安全校驗，執(zhí)行空口引導(dǎo)設(shè)置，而是從預(yù)置的服務(wù)器獲取共享密鑰的關(guān)鍵要素，并根據(jù)共享密鑰的關(guān)鍵要素構(gòu)建共享密鑰，在校驗通過后，執(zhí)行空口引導(dǎo)設(shè)置過程，配置服務(wù)器賬號新信息，由于共享密鑰可以動態(tài)獲得，避免標(biāo)準(zhǔn)中公知的安全漏洞，由此極大的提升了OTA Bootstrap的安全性，從而極大提升了終端設(shè)備的安全性；而且該方案可以不用修改服務(wù)器端的標(biāo)準(zhǔn)處理實現(xiàn)，僅需要微調(diào)終端設(shè)備客戶端的標(biāo)準(zhǔn)處理流程，就可以實現(xiàn)安全的技術(shù)升級，簡單易于推廣，且效果良好。

如圖5所示，本發(fā)明第二實施例提出一種實現(xiàn)空口引導(dǎo)設(shè)置的終端設(shè)備，基于上述圖4所示的實施例，該終端設(shè)備還包括：

連接建立模塊205，用于與配置的賬號對應(yīng)的服務(wù)器建立數(shù)據(jù)連接。

協(xié)商模塊206，用于根據(jù)所述關(guān)鍵要素與建立數(shù)據(jù)連接的服務(wù)器協(xié)商DM交互中對應(yīng)的密鑰算法。

相比上述實施例，本實施例還包括終端設(shè)備與配置的賬號對應(yīng)的服務(wù)器建立數(shù)據(jù)連接的方案。

具體地，終端設(shè)備在完成空口引導(dǎo)設(shè)置過程，配置服務(wù)器賬號新信息后，獲得與DM服務(wù)器進(jìn)行DM會話的能力，執(zhí)行連接該配置賬號對應(yīng)的服務(wù)器的操作，以便與該連接的DM服務(wù)器進(jìn)行DM會話。

需要說明的是，由于終端設(shè)備獲取的是公知密鑰的關(guān)鍵元素，終 端設(shè)備客戶端可根據(jù)這個關(guān)鍵元素，與建立數(shù)據(jù)連接的服務(wù)器定義各自的密鑰算法，以實現(xiàn)DM交互，從而最大限度的兼顧了安全與標(biāo)準(zhǔn)互通的平衡。

相比現(xiàn)有技術(shù)，本實施例方案存在以下優(yōu)點：

1)共享密鑰將動態(tài)獲得，避免標(biāo)準(zhǔn)中公知的安全漏洞，即使現(xiàn)有標(biāo)準(zhǔn)的公知算法不改變，也能極大提高安全性；

2)現(xiàn)有的服務(wù)器可不需要改動，簡單配置即可適用新方案，易于推廣，減少技術(shù)升級帶來的成本投入；

3)由于獲取的是公知密鑰的關(guān)鍵元素，客戶端可根據(jù)這個關(guān)鍵元素與對應(yīng)服務(wù)器定義各自的密鑰算法，最大限度的兼顧了安全與標(biāo)準(zhǔn)互通的平衡。

還需要說明的是，在本文中，術(shù)語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過程、方法、物品或者裝置不僅包括那些要素，而且還包括沒有明確列出的其他要素，或者是還包括為這種過程、方法、物品或者裝置所固有的要素。在沒有更多限制的情況下，由語句“包括一個……”限定的要素，并不排除在包括該要素的過程、方法、物品或者裝置中還存在另外的相同要素。

上述本發(fā)明實施例序號僅僅為了描述，不代表實施例的優(yōu)劣。

通過以上的實施方式的描述，本領(lǐng)域的技術(shù)人員可以清楚地了解到上述實施例方法可借助軟件加必需的通用硬件平臺的方式來實現(xiàn)，當(dāng)然也可以通過硬件，但很多情況下前者是更佳的實施方式?；谶@樣的理解，本發(fā)明的技術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來，該計算機軟件產(chǎn)品存儲在一個存儲介質(zhì)(如ROM/RAM、磁碟、光盤)中，包括若干指令用以使得一臺終端設(shè)備(可以是手機，計算機，服務(wù)器，或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個實施例所述的方法。

以上所述僅為本發(fā)明的優(yōu)選實施例，并非因此限制本發(fā)明的專利范圍，凡是利用本發(fā)明說明書及附圖內(nèi)容所作的等效結(jié)構(gòu)或流程變換，或直接或間接運用在其它相關(guān)的技術(shù)領(lǐng)域，均同理包括在本發(fā)明的專利保護(hù)范圍內(nèi)。