專利名稱:用戶識別模塊及基于該用戶識別模塊的傳輸方法、系統(tǒng)的制作方法
技術(shù)領域:
本發(fā)明涉及通信領域,尤其涉及一種用戶識別模塊及基于該用戶識別模塊的傳 輸方法、系統(tǒng)。
背景技術(shù):
用戶識別模塊(比如SIM卡)是一種高安全的智能卡,廣泛應用于移動通 訊領域。用戶識別模塊內(nèi)部結(jié)構(gòu)如圖1所示,主要包括總線、CPU(微處理器單 元)、RAM(隨機存儲器)、ROM(只讀存儲器,一般用于存儲固定的程序代碼)和 EEPROM(非易失性存儲器),其中EEPROM—般用于存儲數(shù)據(jù),根據(jù)工藝不同,目前也 廣泛采用FLASH代替,用于存儲用戶識別模塊相關關鍵數(shù)據(jù)和用戶信息。當前,普通用 戶識別模塊通過標準的IS07816接口與終端進行通信。隨著移動通訊技術(shù)的不斷發(fā)展,用戶對用戶識別模塊功能的要求越來越高,現(xiàn) 有的用戶識別模塊存儲容量一般在512K以內(nèi),遠遠不能滿足大量業(yè)務存儲的需求,如果 要增大數(shù)據(jù)存儲空間,必須在用戶識別模塊外形和體積標準規(guī)范范圍內(nèi)擴充存儲器,所 以業(yè)內(nèi)提出了大容量用戶識別模塊。當前,大容量用戶識別模塊主要有三類通信接口 IS07816接口、ICJJSB接 口、MMC接口,這三類通信接口都基于物理連接方式實現(xiàn)。其中,IS07816接口存在的問題是傳輸速度慢,傳輸速度最高只有310Kbps,無 法真正滿足大容量數(shù)據(jù)傳輸?shù)挠脩魧嶋H使用需求,并且傳輸時間較長后會超出終端的等 待時限,部分終端會出現(xiàn)死機等現(xiàn)象,導致機卡不兼容,用戶感受差,可接受度低。如圖2所示,基于MMC (MultiMedia Card,多媒體存儲卡)或ICJJSB (IC Universal Serial Bus, IC卡通用串行總線)接口的大容量用戶識別模塊是在普通用戶 識別模塊基礎上,整合了集成度非常高的NANDFLASH大容量存儲單元,在有限的用 戶識別模塊物理空間內(nèi)大大擴大了用戶識別模塊的存儲容量,一般為128M、512M、 1G、2G等,理論上NANDFLASH的容量可以無限擴展。用戶識別模塊的CPU可通過 NANDFLASH控制器對NANDFLASH進行存儲控制,同時可以實現(xiàn)安全訪問控制,進而 實現(xiàn)授權(quán)訪問和數(shù)據(jù)加解密功能,具有很高的數(shù)據(jù)安全性。另外,根據(jù)設計需要,技術(shù)上也允許從大容量存儲區(qū)中劃分出一部分存儲空間 或全部空間為普通存儲區(qū),普通存儲區(qū)類似于普通SD存儲卡,可用于存儲任何內(nèi)容,但 數(shù)據(jù)存儲安全性不受SIM卡保護。如果終端支持MMC接口或ICJJSB接口,則可通過 MMC/ICJJSB控制器直接進行存儲器的訪問,就像直接操作終端SD卡一樣,用于存儲 圖片、音樂、視頻、鈴聲、電子書、應用軟件、大容量電話本、大容量短信箱、移動黃 頁等內(nèi)容。如果外部有MMC或USB讀卡器,也可以把用戶識別模塊插到讀卡器上,讀 卡器插到電腦上直接進行信息的交換。用戶識別模塊可通過IS07816和MMC/ICJJSB 接口與終端進行通信。基于MMC/ICJJSB高速協(xié)議接口的大容量用戶識別模塊不僅在存儲器空間上進行的很大的擴展,且由于增加MMC/ICJJSB高速協(xié)議接口,傳輸速率將大為增強(速度 可高達24Mbps),可保證大數(shù)據(jù)量的存儲和高速傳輸,解決了 IS07816速度慢(最高速 率為310Kbps)無法傳輸大數(shù)據(jù)量的問題。但是,現(xiàn)有絕大多數(shù)終端都不支持此類接口, 需要定制開發(fā)新終端,終端軟硬件改造代價非常大,周期很長,成本很高,終端生產(chǎn)商 需投入巨大資源進行終端的大量設計與改造;考慮到更換終端的成本,只有支持ICJJSB 接口或MMC接口的新終端用戶才能使用具備該類接口的用戶識別模塊,用戶已經(jīng)購買的 終端或已經(jīng)上市的終端都無法支持,產(chǎn)品適用范圍受限,難于被大多數(shù)用戶接受。即使終端改造后支持了大容量用戶識別模塊的數(shù)據(jù)傳輸,但受限于終端操作系 統(tǒng)的多樣性和大容量接口應用協(xié)議的限制,也不能實現(xiàn)終端和用戶識別模塊任意內(nèi)容的 數(shù)據(jù)交換(如名片、多媒體、電子書等),只有指定的應用或服務才能通過ICJJSB接 口或MMC接口交換,這就限制了大容量用戶識別模塊的應用范圍,嚴重阻礙了大容量用 戶識別模塊的推廣和發(fā)展,從前幾年國內(nèi)各大運營商實際推廣效果可見一斑,目前各大 運營商實際已經(jīng)基本停止了大容量用戶識別模塊的推廣。從應用層面上看,目前國際標準僅定義了高速數(shù)據(jù)傳輸接口,未定義可支持的 應用或服務,所以基于傳統(tǒng)大容量用戶識別模塊的終端應用或服務標準化問題也很突 出,單純采用個性化定制終端的方式會導致成本居高不下,產(chǎn)品也就很難推廣。從運營 商層面上看,運營商對于用戶識別模塊具有完全控制權(quán),而終端具有社會渠道性,終端 很難進行控制,不利于未來技術(shù)和功能的升級。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是提供用戶識別模塊及基于該用戶識別模塊的傳輸方 法、系統(tǒng),不用更換終端即可支持外部實體與用戶識別模塊的高速數(shù)據(jù)交換,利用已有 的應用協(xié)議即可實現(xiàn)豐富的業(yè)務應用,快速實現(xiàn)產(chǎn)業(yè)化。為了解決上述問題,本發(fā)明提供了一種用戶識別模塊,包括總線、以所述總 線相連的處理模塊和存儲模塊;還包括與所述總線相連的近距離無線通信控制器;與所述近距離無線通信控制器相連的近距離無線通信模塊;與所述近距離無線通信模塊相連的射頻天線;所述近距離無線通信控制器用于控制所述近距離無線通信模塊通過驅(qū)動所述射 頻天線與外部交互數(shù)據(jù);還用于將所述近距離無線通信模塊從外部收到的數(shù)據(jù),通過所 述處理模塊寫入所述存儲模塊;以及通過所述處理模塊從所述存儲模塊讀取所述近距離 無線通信模塊所要發(fā)送給外部的數(shù)據(jù)。優(yōu)選地,所述存儲模塊的存儲空間劃分為三個部分用于存儲用戶識別模塊信息的用戶識別模塊信息區(qū);保密存儲區(qū);公共存儲區(qū);所述處理模塊還用于通過把保密存儲區(qū)和公共信息區(qū)的物理地址注冊到注冊表 中,對保密存儲區(qū)和公共存儲區(qū)進行空間動態(tài)劃分。優(yōu)選地,所述的用戶識別模塊還包括安全模塊;
若干個應用模塊,各應用模塊對應于不同類型的數(shù)據(jù);所述處理模塊用于當所述近距離無線通信模塊要將從外部接收的數(shù)據(jù)寫入所述 存儲模塊,或從存儲模塊讀取要發(fā)送到外部的數(shù)據(jù)時,調(diào)用與所述數(shù)據(jù)對應的應用模 塊;所述應用模塊用于被調(diào)用時根據(jù)要寫入的數(shù)據(jù)的業(yè)務類型或服務類型判斷是否 需要安全認證,如果需要則指示所述安全模塊寫入所述數(shù)據(jù),不需要則直接將數(shù)據(jù)寫入 所述存儲模塊;或判斷所要讀取的數(shù)據(jù)所在的物理地址是否屬于保密存儲區(qū),如果屬于 則指示所述安全模塊讀取,不屬于則直接從所述存儲模塊中讀取后發(fā)送給所述近距離無 線通信控制器;所述安全模塊寫入或讀取數(shù)據(jù)前,先驗證訪問權(quán)限,如果訪問權(quán)限通過則寫入 數(shù)據(jù)到所述存儲模塊中或從所述存儲模塊中讀取數(shù)據(jù)發(fā)送給所述近距離無線通信控制 器,如果沒通過則拒絕訪問。本發(fā)明還提供了基于上述用戶識別模塊的傳輸方法,包括當需要進行近距離無線數(shù)據(jù)傳輸時,所述用戶識別模塊保存本次傳輸用的配對 口令,并將該配對口令通知給本次傳輸?shù)膶Χ嗽O備;進行傳輸時,所述用戶識別模塊通過所述配對口令與所述對端設備進行握手認 證;認證成功則進行近距離無線數(shù)據(jù)傳輸,認證失敗則不允許連接;所述用戶識別模塊清除本次傳輸用的配對口令。優(yōu)選地,所述配對口令的生成方式包括用戶識別模塊接收用戶輸入的配對口令并保存;用戶識別模塊生成配對口令并顯示給用戶;用戶識別模塊向網(wǎng)絡側(cè)上發(fā)口令申請短信,網(wǎng)絡側(cè)隨機產(chǎn)生或利用加密算法產(chǎn) 生一個配對口令,以加密數(shù)據(jù)短信報文方式下發(fā)給用戶識別模塊。本發(fā)明還提供了一種基于上述用戶識別模塊的傳輸方法,包括在所述用戶識別模塊中預置一組加密密鑰,在網(wǎng)絡側(cè)保存各用戶識別模塊的唯 一識別號與所預置的加密密鑰的對應關系;當兩個所述用戶識別模塊之間進行近距離無線數(shù)據(jù)傳輸時,直接使用雙方預置 的加密密鑰進行數(shù)據(jù)的加密和解密,或以預置的加密密鑰為保護密鑰,生成雙發(fā)共享的 會話密鑰,利用會話密鑰進行傳輸數(shù)據(jù)的加密和解密;所述用戶識別模塊與終端進行近距離無線數(shù)據(jù)傳輸時,終端上發(fā)申請給網(wǎng)絡 側(cè),通知網(wǎng)絡側(cè)所述用戶識別模塊所在終端的號碼或本終端的號碼;網(wǎng)絡側(cè)查找到所述 用戶識別模塊所預置的加密密鑰后,根據(jù)該加密密鑰生成會話密鑰下發(fā)給所述終端;所 述用戶識別模塊根據(jù)加密密鑰生成會話密鑰或直接從網(wǎng)絡接收會話密鑰;所述終端使用 該會話密鑰與所述用戶識別模塊進行數(shù)據(jù)傳輸加密。本發(fā)明還提供了一種基于上述用戶識別模塊的傳輸方法,包括當所述用戶識別模塊與待身份認證設備之間進行身份認證時,任一方先作為認 證方,另一方作為被認證方;認證方生成一個挑戰(zhàn)值發(fā)給被認證方;被認證方利用認證密鑰對挑戰(zhàn)值加密 后,返回給認證方;認證方利用同樣的認證密鑰和算法解密后,判斷與先前的挑戰(zhàn)值是否一致,如果一致,則認證通過;對調(diào)認證方和被認證方,如果認證也通過,則雙方認 證成功,可進行數(shù)據(jù)傳輸。本發(fā)明還提供了一種基于上述用戶識別模塊的傳輸方法,包括在所述用戶識別模塊中預置一組加密密鑰,在網(wǎng)絡側(cè)保存各用戶識別模塊的唯 一識別號與所預置的加密密鑰的對應關系;所述網(wǎng)絡側(cè)向所述用戶識別模塊發(fā)送數(shù)據(jù)時,采用所述用戶識別模塊對應的加 密密鑰對數(shù)據(jù)進行加密后發(fā)送給所述用戶識別模塊所在的終端;所述終端與所述用戶識 別模塊之間進行近距離無線數(shù)據(jù)傳輸,將所述加密后的數(shù)據(jù)發(fā)送給用戶識別模塊;所述 用戶識別模塊對接收到的數(shù)據(jù)采用所述加密密鑰解密后獲得明文;所述用戶識別模塊向所述網(wǎng)絡側(cè)發(fā)送數(shù)據(jù)時,采用所述加密密鑰對數(shù)據(jù)進行加 密后進行近距離無線數(shù)據(jù)傳輸,將所述加密后的數(shù)據(jù)發(fā)送給所在的終端;所述終端上傳 給所述網(wǎng)絡側(cè);所述網(wǎng)絡側(cè)對接收到的數(shù)據(jù)采用所述用戶識別模塊對應的加密密鑰解密 后獲得明文。本發(fā)明還提供了一種基于上述用戶識別模塊的傳輸系統(tǒng),包括一個或多個上述用戶識別模塊;各所述用戶識別模塊所在終端;所述用戶識別模塊當需要進行數(shù)據(jù)傳輸時,保存本次傳輸用的配對口令,并將 該配對口令通知給本次傳輸?shù)膶Χ嗽O備;進行傳輸時通過所述配對口令與所述對端設備 進行握手認證;認證成功則進行數(shù)據(jù)傳輸,認證失敗則不允許連接;然后清除本次傳輸 用的配對口令;所述對端設備為所述用戶識別模塊或所述終端。本發(fā)明還提供了一種基于上述用戶識別模塊的傳輸系統(tǒng),包括一個或多個上述用戶識別模塊;各所述用戶識別模塊所在終端;各所述用戶識別模塊分別預置一組加密密鑰;網(wǎng)絡側(cè),用于保存各用戶識別模塊的唯一識別號與所預置的加密密鑰的對應關 系;當收到申請時,根據(jù)終端的號碼查找到所述用戶識別模塊所預置的加密密鑰后,根 據(jù)該加密密鑰生成會話密鑰返回;所述用戶識別模塊用于當與其它用戶識別模塊之間進行近距離無線數(shù)據(jù)傳輸 時,直接使用雙方預置的加密密鑰進行數(shù)據(jù)的加密和解密,或以預置的加密密鑰為保護 密鑰,生成雙發(fā)共享的會話密鑰,利用會話密鑰進行傳輸數(shù)據(jù)的加密和解密;當與終端 進行近距離無線數(shù)據(jù)傳輸時,根據(jù)加密密鑰生成會話密鑰或直接從網(wǎng)絡接收會話密鑰;所述終端用于當與其它用戶識別模塊之間進行近距離無線數(shù)據(jù)傳輸時,上發(fā)申 請給所述網(wǎng)絡側(cè),通知網(wǎng)絡側(cè)所述用戶識別模塊所在終端的號碼或本終端的號碼;接收 網(wǎng)絡側(cè)返回的會話密鑰與所述用戶識別模塊進行數(shù)據(jù)傳輸加密。本發(fā)明還提供了一種基于上述用戶識別模塊的傳輸系統(tǒng),包括一個或多個上述用戶識別模塊;各所述用戶識別模塊所在終端;當所述用戶識別模塊用于當與待身份認證設備之間進行身份認證時并作為認證方時,生成一個挑戰(zhàn)值發(fā)給待身份認證設備;接收待身份認證設備返回的利用認證密鑰 加密后的挑戰(zhàn)值,利用同樣的認證密鑰和算法解密后,判斷與先前的挑戰(zhàn)值是否一致, 如果一致,則認證通過;作為被認證方時,接收挑戰(zhàn)值,利用認證密鑰加密后返回給待 身份認證設備;所述待身份認證設備為所述用戶識別模塊或所述終端。本發(fā)明還提供了一種基于上述用戶識別模塊的傳輸系統(tǒng),包括一個或多個上述用戶識別模塊;各所述用戶識別模塊所在終端;各所述用戶識別模塊分別預置一組加密密鑰;網(wǎng)絡側(cè),用于保存各用戶識別模塊的唯一識別號與所預置的加密密鑰的對應關 系;用于當向所述用戶識別模塊發(fā)送數(shù)據(jù)時,采用所述用戶識別模塊對應的加密密鑰對 數(shù)據(jù)進行加密后發(fā)送給所述用戶識別模塊所在的終端;當接收到終端上傳的加密的數(shù)據(jù) 后,采用該終端里的用戶識別模塊對應的加密密鑰解密后獲得明文;所述終端用于與所述用戶識別模塊之間進行近距離無線數(shù)據(jù)傳輸,將從所述網(wǎng) 絡側(cè)接收的加密后的數(shù)據(jù)發(fā)送給用戶識別模塊,以及將從所述用戶識別模塊接收的加密 后的數(shù)據(jù)上傳給所述網(wǎng)絡側(cè);所述用戶識別模塊用于對接收到的數(shù)據(jù)采用所述加密密鑰解密后獲得明文;當 向所述網(wǎng)絡側(cè)發(fā)送數(shù)據(jù)時,采用所述加密密鑰對數(shù)據(jù)進行加密后進行近距離無線數(shù)據(jù)傳 輸,發(fā)送給所在的終端。本發(fā)明的技術(shù)方案實現(xiàn)了用戶識別模塊技術(shù)、大容量卡技術(shù)與近距離無線通信 技術(shù)的融合,通過行業(yè)內(nèi)現(xiàn)有成熟的芯片封裝技術(shù)實現(xiàn)物理結(jié)構(gòu)封裝,滿足與終端的用 戶識別模塊的接口特性,通過用戶識別模塊操作系統(tǒng)(比如COS)可實現(xiàn)用戶識別模塊 芯片、大容量存儲器芯片、近距離無線通信芯片三者的數(shù)據(jù)傳輸、協(xié)議控制、安全管理 等??衫盟{牙等近距離無線通信接口作為傳統(tǒng)的IS07816接口、ICJJSB接口、MMC 接口的補充或代替,其優(yōu)點在于能在無需進行終端改造的前提下,通過目前大多數(shù)終端 已經(jīng)支持的藍牙等近距離無線通信接口代替ICJJSB接口、MMC接口,實現(xiàn)大容量用戶 識別模塊技術(shù)與本終端或外部藍牙近距離無線通信實體的高速數(shù)據(jù)交換;運營商無需定 制終端,用戶也無需更換終端即可支持,因此開發(fā)周期短、成本低、兼容性問題少。本發(fā)明的優(yōu)化方案利用用戶識別模塊的安全特性提出了近距離無線通信安全通 信機制和數(shù)據(jù)安全存儲機制;利用用戶識別模塊的STK(SIM卡應用工具箱)技術(shù),可實 現(xiàn)近距離無線通信與廣域通信的有效結(jié)合;在實際應用中,不僅可以通過該種智能卡與 手機等終端的近距離無線通信通道進行數(shù)據(jù)交互,實現(xiàn)用戶識別模塊與終端間的大容量 號簿、圖片、視頻等多媒體信息的數(shù)據(jù)傳輸與備份,還可以實現(xiàn)終端客戶端與用戶識別 模塊通過近距離無線數(shù)據(jù)傳輸共同配合進行大容量終端程序、卡程序的下載與安裝,通 過配合能較好實現(xiàn)多種不同的業(yè)務應用。如手機地圖、英文字典、卡大容量程序下載安 裝等多種有用的業(yè)務產(chǎn)品。
圖1是現(xiàn)有的普通用戶識別模塊的示意框圖2是現(xiàn)有的大容量用戶識別模塊的示意框圖;圖3是實施例一的用戶識別模塊的示意框圖之一;圖4是實施例一的用戶識別模塊的示意框圖之二 ;圖5是實施例一的用戶識別模塊的示意框圖之三;圖6是實施例一的例子中利用SIM卡STK技術(shù)實現(xiàn)藍牙控制的菜單結(jié)構(gòu)示意 圖;圖7是實施例一中進行安全存取控制的示意圖;圖8是實施例一中用戶識別模塊的示意框圖之四;圖9是實施例六中基于實施例一的用戶識別模塊的傳輸系統(tǒng)的結(jié)構(gòu)示意圖。
具體實施例方式下面將結(jié)合附圖及實施例對本發(fā)明的技術(shù)方案進行更詳細的說明。需要說明的是,如果不沖突,本發(fā)明實施例以及實施例中的各個特征可以相互 結(jié)合,均在本發(fā)明的保護范圍之內(nèi)。另外,在附圖的流程圖示出的步驟可以在諸如一組 計算機可執(zhí)行指令的計算機系統(tǒng)中執(zhí)行,并且,雖然在流程圖中示出了邏輯順序,但是 在某些情況下,可以以不同于此處的順序執(zhí)行所示出或描述的步驟。實施例一,一種用戶識別模塊,包括總線,以所述總線相連的近距離無線通信控制器、處理模塊和存儲模塊;與所述近距離無線通信控制器相連的近距離無線通信模塊;與所述近距離無線通信模塊相連的射頻天線;所述近距離無線通信控制器用于控制所述近距離無線通信模塊通過驅(qū)動所述射 頻天線與外部交互數(shù)據(jù);還用于將所述近距離無線通信模塊從外部收到的數(shù)據(jù),通過所 述處理模塊寫入所述存儲模塊;以及通過所述處理模塊從所述存儲模塊讀取所述近距離 無線通信模塊所要發(fā)送給外部的數(shù)據(jù)。本實施例可以是在現(xiàn)有大容量用戶識別模塊的基礎上,增加近距離無線通信相 關硬件模塊,涉及到的近距離無線通信硬件模塊包括近距離無線通信控制器、近距離無 線通信模塊(含操作系統(tǒng)協(xié)議棧)、射頻天線,其中近距離無線通信控制器的接口形式可 以是UART、USB、SD等,實現(xiàn)與總線、近距離無線通信模塊的相連。本實施例中,所述用戶識別模塊可以但不限于為SIM卡。本實施例中,所述處理模塊可以但不限于為用戶識別模塊中的CPU或其它微處 理單元。本實施例中,所述存儲模塊可以包括RAM、ROM和EEPROM。本實施例的一種實施方式如圖3所示,所述近距離無線通信控制器可以但不限 于為藍牙控制器,相應的所述近距離無線通信模塊為藍牙模塊,兩者可以通過HCICHost Controller Interface,主機控制器接口)相連,可對外提供藍牙無線接口。選擇采用藍牙作 為近距離無線通信接口方式,主要是考慮到目前大部分終端都已經(jīng)標配了藍牙功能,而 且支持藍牙的外部實體,如終端、筆記本電腦、PDA、MP4、照相機等,屬于廣適性比 較強的通信接口。另外,藍牙工作頻段為全球開放的2.4GHz ISM (工業(yè)-科學-醫(yī)用) 頻段,無需申請,可免費使用,藍牙的傳輸速度高達3M,速度快,適合大容量數(shù)據(jù)的傳
用戶識別模塊增加藍牙功能后,用戶識別模塊作為一個藍牙節(jié)點存在,通過處 理模塊(可運行用戶識別模塊的操作系統(tǒng))能實現(xiàn)用戶識別模塊內(nèi)電信個人化信息、大容 量區(qū)信息與任何藍牙外部設備(如筆記本電腦、PDA等)的任意數(shù)據(jù)交換,這就大大 拓展了用戶識別模塊的應用范圍和領域,用戶識別模塊所承載的業(yè)務就變得非常豐富, 加之用戶識別模塊本身的安全特性,相比普通存儲產(chǎn)品將優(yōu)勢明顯,將為用戶帶來全新 的業(yè)務體驗,為運營商帶來新的業(yè)務增長點,適應當前移動互聯(lián)網(wǎng)產(chǎn)業(yè)的發(fā)展。本實施例的用戶識別模塊與傳統(tǒng)藍牙終端配合,可支持用戶識別模塊電話本、 短消息、圖片、鈴聲、電子書等個人化數(shù)據(jù)或多媒體資料與終端客戶端應用軟件的無線 數(shù)據(jù)交換,反之,也可實現(xiàn)終端到用戶識別模塊的數(shù)據(jù)傳輸,整個傳輸機制是雙向的, 這就解決了 IS07816接口傳輸速度慢,雖可傳輸大數(shù)據(jù)量內(nèi)容但速度慢實際使用效果難 以被用戶接受的缺點,也解決了傳輸內(nèi)容受限的問題,理論上,終端通過藍牙開放的服 務都可以與用戶識別模塊實現(xiàn)內(nèi)容交換,大大拓展了用戶識別模塊的應用范圍。所述藍 牙終端可以但不限定于手機終端,可以用于無線公話終端、家庭信息機、車載終端、物 聯(lián)網(wǎng)專用終端等各類型支持藍牙通道的終端。實際應用中,所述近距離無線通信控制器還可以是ZigBee控制器、WiFi控制 器、WAPI控制器等,相應的所述近距離無線通信模塊為ZigBee模塊、WiFi模塊、WAPI 模塊等。這些技術(shù)都是采用2.4G無線通信頻率且核心特點都是可以實現(xiàn)近距離無線通該實施方式中,所述用戶識別模塊還可以包括IS07816接口。該實施方式中,如圖4所示,所述存儲模塊還可以包括大容量存儲器,比 如NANDFLASH,所述用戶識別模塊還包括連接在所述總線上的NANDFLASH控制 器;如圖5所示,所述用戶識別模塊還可以再進一步包括連接在總線上的MMC/IC_ USB控制器,以提供MMC/ICJJSB接口,這樣用戶識別模塊可實現(xiàn)與大容量存儲區(qū) NANDFLASH控制器的通信進而控制數(shù)據(jù)的直接存取,通過藍牙接口或MMC/ICJJSB 接口可實現(xiàn)與外部實體的數(shù)據(jù)交換。沒有MMC/ICJJSB接口的方案(即圖4所示的方案),可滿足終端不支持 MMC/ICJJSB接口時的需求,降低成本,減少系統(tǒng)復雜度。沒有NANDFLASH控制器 和NANDFLASH的方案,相應地也就不需要MMC/ICJJSB接口(即圖3所示的方案), 能滿足對于大容量存儲無需求的場景,可降低成本,減少系統(tǒng)復雜度。該實施方式中,所述處理模塊還可以用于當IS07816接口、MMC/ICJJSB接口 等和藍牙無線信道出現(xiàn)資源沖突時,按照預定的事件優(yōu)先級排隊處理。由于目前市面上大多數(shù)終端都支持藍牙,所以本實施方式的用戶識別模塊可通 過無線接口實現(xiàn)與外部藍牙設備的通信。如果個人的終端和用戶識別模塊都支持藍牙, 則可以實現(xiàn)自己用戶識別模塊內(nèi)信息與終端內(nèi)存儲信息的交換,由此可以實現(xiàn)終端電話 本、終端短信箱、圖片鈴聲、文件、視頻、應用軟件等內(nèi)容到用戶識別模塊的傳輸存 儲,由于用戶識別模塊具有安全性高、存儲容量大、便于更換終端等特點,用戶識別模 塊將會變成個人信息內(nèi)容的統(tǒng)一化承載體,終端將成為內(nèi)容的執(zhí)行體而不是存儲體,這 樣用戶更換終端時只需轉(zhuǎn)移用戶識別模塊即可,免除用戶頻繁更換終端個人信息無法及時轉(zhuǎn)移的后顧之憂。本實施例中,所述處理模塊還用于接收用戶的操作指令,根據(jù)該操作指令相應 控制所述近距離無線通信控制器,從而使用戶可以通過用戶識別模塊的菜單來執(zhí)行近距 離無線通信模塊的開啟、關閉等操作。本實施例的一個例子中,所述近距離通信控制器/模塊為藍牙控制器/模塊,所 述用戶識別模塊為SIM卡,利用SIM卡的STK技術(shù),用戶可以實現(xiàn)對SIM卡中藍牙模塊 進行工作狀態(tài)和相關信息的控制,如圖6所示,在SIM卡應用菜單中,除了通常的手機 報、彩鈴、航班查詢菜單等,還可以包括SIM藍牙菜單項,具體可包括但不限于“應用 管理”和“藍牙管理”兩部分菜單內(nèi)容;其中,“藍牙管理”可包括如下內(nèi)容(1)開啟藍牙用戶要想使用用戶識別模塊藍牙功能,需首先開啟用戶識別模塊的藍牙功能。 通過用戶識別模塊提供的STK菜單,用戶進入藍牙管理菜單后,點擊開啟藍牙菜單,用 戶識別模塊將通過內(nèi)部控制命令協(xié)議實現(xiàn)藍牙模塊的開啟,用戶識別模塊藍牙開啟后, 不僅可以搜尋其他藍牙設備也可以被其他設備搜尋到。(2)關閉藍牙終端開機后用戶識別模塊默認狀態(tài)為關閉狀態(tài),藍牙開啟后可通過該菜單關閉 藍牙;(3)搜尋藍牙設備開啟藍牙后,用戶可通過該菜單搜尋通訊距離內(nèi)的藍牙設備,如果搜索到用戶 識別模塊將會列出名稱列表供用戶選擇使用;(4)名稱設置用戶識別模塊出廠時藍牙設備名稱默認為“SIMBLUETOOTH”(舉例),用于 與其他藍牙設備通信時的設備標識名,用戶可以自行修改為個性化名稱。(5)密碼設置考慮到藍牙連接時的安全認證需求,SIM卡可提供兩種密碼管理方式,一種是 固定密碼,一種是動態(tài)密碼。固定密碼由用戶自己設置,在不改變的情況下將一直使用 該密碼進行認證,安全性較低;動態(tài)密碼是由卡片生成的一次一個口令的密碼,每次開 啟藍牙時SIM卡自動生成一個隨機密碼提供給用戶,用于藍牙設備建立連接時的認證密 碼,由于每次啟用藍牙的口令都不相同,所以安全性較高。本實施例中,利用用戶識別模塊的安全特性,可實現(xiàn)用戶識別模塊信息、大容 量區(qū)信息的分層級安全存取控制,為近距離無線通信接口通信和數(shù)據(jù)訪問增加防火墻管 理功能,提供用戶對于個人信息管理的私密性需求,防止外界設備對用戶信息進行非授 權(quán)訪問,進而導致用戶信息泄密情況的發(fā)生。本實施例也提供了一種機制,對于無安全需求的信息,可存放到公共信息區(qū) 中,并且保密信息區(qū)和公共信息區(qū)空間大小支持動態(tài)分配。通過三者技術(shù)融合,彌補了 大容量存儲器和藍牙模塊數(shù)據(jù)訪問控制方面在安全性方面的不足,同時也拓展了用戶識 別模塊的應用范圍。本實施例中,所述存儲模塊的存儲空間可劃分為三個部分(1)用于存儲用戶識別模塊信息的用戶識別模塊信息區(qū);所述用戶識別模塊信息可以包括電話本信息、短消息信息、密鑰信息、用戶識別模塊基本信息等;其中,用 戶識別模塊基本信息包括比如STK業(yè)務菜單、網(wǎng)絡參數(shù)、用戶識別模塊相關的文件系統(tǒng)等。(2)保密存儲區(qū),可以用于存儲安全性要求較高的個人信息,如信用卡卡號、密 碼、證券賬戶信息、保密聯(lián)系人等信息;可通過在存儲區(qū)信息頭中設置權(quán)限標識,用于 標識信息的安全屬性,只有通過安全認證才允許訪問。(3)公共存儲區(qū),用于存儲對于安全性要求不高的信息,如電子書、圖片、游 戲、軟件等,可按照類似于U盤方式訪問,無需進行認證即可進行數(shù)據(jù)存取。如圖7所示,當存在大容量存儲器時,可將ROM和EEPROM/FLASH等SIM卡 芯片存儲器的存儲空間作為用戶識別模塊信息區(qū),將大容量存儲器的存儲空間劃分為保 密存儲區(qū)和公共存儲區(qū)。實際應用中可自行劃分各存儲區(qū)的位置;所述用戶識別模塊還可以包括安全模塊;一個或多個應用模塊,各應用模塊對應于不同類型的數(shù)據(jù);所述處理模塊用于當所述近距離無線通信模塊要將從外部接收的數(shù)據(jù)寫入所述 存儲模塊,或從存儲模塊讀取要發(fā)送到外部的數(shù)據(jù)時,調(diào)用與所述數(shù)據(jù)對應的應用模 塊;所述應用模塊用于被調(diào)用時根據(jù)要寫入的數(shù)據(jù)的業(yè)務類型或服務類型判斷是否 需要安全認證,如果需要則指示所述安全模塊寫入所述數(shù)據(jù),不需要則直接將數(shù)據(jù)寫入 所述存儲模塊;或判斷所要讀取的數(shù)據(jù)所在的物理地址是否屬于保密存儲區(qū),如果屬于 則指示所述安全模塊讀取,不屬于則直接從所述存儲模塊中讀取后發(fā)送給所述近距離無 線通信控制器;所述安全模塊寫入或讀取數(shù)據(jù)前,先驗證訪問權(quán)限,如果訪問權(quán)限通過則寫入 數(shù)據(jù)到所述存儲模塊中或從所述存儲模塊中讀取數(shù)據(jù)發(fā)送給所述近距離無線通信控制 器,如果沒通過則拒絕訪問。考慮到用戶實際需求,所述處理模塊還用于對保密存儲區(qū)和公共存儲區(qū)進行空 間動態(tài)劃分,其機制是所述處理模塊通過把保密存儲區(qū)和公共信息區(qū)的物理地址注冊到 注冊表中,進入注冊表中的保密存儲區(qū)將受到安全控制??梢栽谒鰬媚K中預設和修改各種業(yè)務類型或服務類型是否需要安全認 證,在所述安全模塊中預設和修改各種數(shù)據(jù)來源方或請求數(shù)據(jù)方的訪問權(quán)限;可以但不 限于通過所述處理模塊進行上述預設和修改。另外,根據(jù)用戶信息的安全需求,本實施例的一個實施方式還可以提供四個層 級的權(quán)限訪問控制機制,實現(xiàn)用戶識別模塊、大容量存儲器、近距離無線通信模塊三者 整合實現(xiàn)用戶信息的分層級安全存取控制;將權(quán)限等級分為高安全級別、中安全級別、 低安全級別、無安全級別。高安全級別信息采用加密方式存儲在所述保密存儲區(qū)中,密鑰存儲在用戶識別 模塊中無法讀出,當外界訪問實體提交正確的數(shù)字證書(如MAC、RSA數(shù)字簽名等) 后才解密輸出,安全等級達到與SIM卡中ADM的同等級別。中安全級別信息采用明文方式存儲在所述保密存儲區(qū)中,外界進行訪問時需提 交口令認證,口令由用戶自行設置,不同文件或內(nèi)容可設置不同的口令。
低安全級別信息采用明文方式存儲在所述保密存儲區(qū)中,采用用戶識別模塊PIN 碼保護,外界進行訪問時只要用戶識別模塊的PIN碼被禁用或認證通過,則可訪問。無安全級別信息存儲在所述公共存儲區(qū)中,類似于U盤,外界可直接訪問,無 需權(quán)限認證。實際應用時,可根據(jù)需要劃分不同的安全等級。所述應用模塊對于屬于無安全級別信息的服務類型或業(yè)務類型判斷不需要安全 認證,其它都需要安全認證;所述安全模塊除了判斷訪問權(quán)限外,還分別對于高、中、 低安全級別信息采用相應方式進行認證。本實施例中,所述用戶識別模塊還可以包括以下模塊中的一個或幾個,如圖8 所示用于生成配對口令的口令生成模塊,還可以通過所述近距離無線通信模塊傳輸 給外界;用于保存密鑰或配對口令的密鑰保存模塊;用于進行加密、解密的安全算法模塊;身份認證處理模塊,用于在通過所述近距離無線通信模塊與外界設備進行身份 認證時,調(diào)用所述安全算法模塊,利用密鑰存儲模塊中保存的密鑰進行挑戰(zhàn)值的加密/ 解密;報文協(xié)議處理模塊,用于在通過所述近距離無線通信模塊收/發(fā)報文時,調(diào)用 所述安全算法模塊,利用密鑰存儲模塊中保存的密鑰進行報文解密校驗/加密。實施例二、基于實施例一的用戶識別模塊的傳輸方法,包括當需要進行近距離無線數(shù)據(jù)傳輸時,所述用戶識別模塊保存本次傳輸用的配對 口令,并將該配對口令通知給本次傳輸?shù)膶Χ嗽O備;進行傳輸時,所述用戶識別模塊通過所述配對口令與所述對端設備進行握手認 證;認證成功則進行數(shù)據(jù)傳輸,認證失敗則不允許連接;清除本次傳輸用的配對口令。本實施例可以實現(xiàn)一次一個配對口令,一次一密,關閉近距離無線通信的連接 后再開啟時自動清除上次口令,避免口令的重復使用,提升用戶識別模塊的安全。本實施例結(jié)合了移動通信的特點和用戶識別模塊本身的安全性,來提高傳輸?shù)?安全性。以藍牙通信為例,藍牙基帶遵循國際標準接口和協(xié)議,在不同藍牙設備進行握 手配對和內(nèi)容傳輸時都遵循標準協(xié)議,在安全方面僅通過設置訪問口令(PIN碼)進行安 全控制,藍牙主設備想與藍牙從設備通信時,主設備必須知道從設備的PIN碼才能進行 握手認證,否則權(quán)限認證失敗,不允許配對連接。根據(jù)藍牙標準,PIN碼長度為1 16位10進制數(shù),而大多數(shù)用戶為了記憶的方 便,普遍都設置為4 6位數(shù)字,這樣在進行數(shù)據(jù)傳輸時安全性將大大降低。本實施例 中,還可以預先設置好配對口令的長度和/或類型(純數(shù)字、字母或組合等),所保存的 配對口令必須符合預先設置好的長度和/或類型;比如出廠設置為僅支持16位長度配對 口令(當然,根據(jù)安全需要,少于16位長度也是可以的),這樣將大大增強藍牙使用的安 全性,但考慮到配對口令記憶和傳遞困難的問題,本實施例中,所述配對口令的生成方式包括但不限于以下三種(1)用戶自定義口令用戶識別模塊接收用戶輸入的配對口令并保存。如果用 戶識別模塊是SIM卡,則用戶可以通過STK菜單輸入配對口令。(2)用戶識別模塊生成配對口令并顯示給用戶;此方式下,如果用戶識別模塊 是SIM卡,則可以通過STK顯示配對口令給用戶。上述兩種方式中,可以由用戶將配對口令告知所述對端設備,也可以將所述配 對口令用短信傳給所述對端設備,可完成長口令的快速準確傳遞。(3)用戶識別模塊向網(wǎng)絡側(cè)上發(fā)口令申請短信,網(wǎng)絡側(cè)隨機產(chǎn)生或利用加密算法 產(chǎn)生一個配對口令(可以但不限于為16位長度),以加密數(shù)據(jù)短信報文方式下發(fā)給用戶 識別模塊(可以但不限于是下發(fā)給終端,再由終端透明傳遞數(shù)據(jù)短信報文給用戶識別模 塊)。此方式下,用戶識別模塊通過所述報文協(xié)議處理模塊調(diào)用安全算法模塊,利用密鑰 存儲模塊中保存的密鑰進行報文解密校驗,校驗成功,則保存解密出的配對口令。此方式下,可按上兩種方式來將配對口令通知給對端設備,也可以由系統(tǒng)側(cè)直 接下發(fā)給所述對端設備。實施例三、基于實施例一的用戶識別模塊的傳輸方法,包括在所述用戶識別模塊中預置一組加密密鑰,在網(wǎng)絡側(cè)保存各用戶識別模塊的唯 一識別號與所預置的加密密鑰的對應關系;當兩個所述用戶識別模塊之間進行近距離無線數(shù)據(jù)傳輸時,直接使用雙方預置 的加密密鑰進行數(shù)據(jù)的加密和解密,無需后臺系統(tǒng)參與;或以預置的加密密鑰為保護密 鑰,生成雙發(fā)共享的會話密鑰,利用會話密鑰進行傳輸數(shù)據(jù)的加密和解密;所述用戶識別模塊與終端進行近距離無線數(shù)據(jù)傳輸時,終端上發(fā)申請給網(wǎng)絡 側(cè),通知網(wǎng)絡側(cè)所述用戶識別模塊所在終端的號碼或本終端號碼;網(wǎng)絡側(cè)查找到所述用 戶識別模塊所預置的加密密鑰后,根據(jù)該加密密鑰生成會話密鑰下發(fā)給所述終端;所述 用戶識別模塊根據(jù)加密密鑰生成會話密鑰或直接從網(wǎng)絡接收會話密鑰;所述終端使用該 會話密鑰與所述用戶識別模塊進行數(shù)據(jù)傳輸加密。本實施例中,所預置的加密密鑰存儲在所述密鑰存儲模塊中;所述安全算法模 塊用于根據(jù)加密密鑰生成會話密鑰,加密算法由安全算法模塊提供。本實施例的一個例子中,在藍牙設備間組成Pico網(wǎng)進行握手配對通過后,當進 行數(shù)據(jù)傳輸時,主設備利用報文協(xié)議處理模塊把需要傳輸?shù)臄?shù)據(jù)利用加密密鑰加密后生 成加密報文傳遞給從設備,從設備利用報文協(xié)議處理模塊反向解密后解析指令并存儲或 執(zhí)行相關指令操作,直到數(shù)據(jù)傳輸結(jié)束。為了使現(xiàn)有的終端也能支持加密傳輸模式,可在網(wǎng)絡側(cè)的應用服務器提供與終 端匹配的客戶端加密中間件供下載,由用戶手動或終端自動下載到終端;在進行數(shù)據(jù)傳 輸加密時,客戶端加密中間件自動上發(fā)申請給應用服務器,收到會話密鑰后存儲到終端 存儲器中,開始使用該組密鑰進行數(shù)據(jù)傳輸加密。這樣就也可以實現(xiàn)終端與本終端中的 用戶識別模塊之間的數(shù)據(jù)傳輸??紤]到安全需求,網(wǎng)絡側(cè)可設置允許所述用戶識別模塊近距離無線通信用戶范 圍,即可以設置一個用戶可以通過所述用戶識別模塊與其進行通信的用戶的范圍,對于 黑名單指定不允許通信的用戶,網(wǎng)絡側(cè)可以禁止兩者通過近距離無線通信以加密模式進行數(shù)據(jù)傳輸,進而達到業(yè)務可管可控的目的。實施例四、基于實施例一的用戶識別模塊的傳輸方法,包括當所述用戶識別模塊與待身份認證設備之間進行身份認證時,任一方先作為認 證方,另一方作為被認證方;認證方生成一個挑戰(zhàn)值發(fā)給被認證方;被認證方利用認證密鑰對挑戰(zhàn)值加密 后,返回給認證方;認證方利用同樣的認證密鑰和算法解密后,判斷與先前的挑戰(zhàn)值是 否一致,如果一致,則認證通過;對調(diào)認證方和被認證方,如果認證也通過,則雙方認 證成功,可進行數(shù)據(jù)傳輸??梢?,本實施例中的身份認證采用挑戰(zhàn)-應答機制實現(xiàn),認證成功,雙方可以 進行后續(xù)業(yè)務通信操作,并開放相關權(quán)限。本實施例中,所述用戶識別模塊通過身份認證處理模塊調(diào)用安全算法模塊,利 用密鑰存儲模塊中保存的認證密鑰進行挑戰(zhàn)值的加密/解密。同樣的,現(xiàn)有的終端也可以通過下載客戶端加密中間件后,實現(xiàn)與所述用戶識 別模塊的身份認證,密鑰交換方法類似于加密傳輸模式,不再贅述。實施例五、基于實施例一的用戶識別模塊的傳輸方法,包括在所述用戶識別模塊中預置一組加密密鑰,在網(wǎng)絡側(cè)保存各用戶識別模塊的唯 一識別號與所預置的加密密鑰的對應關系;在所述用戶識別模塊中預置一組加密密鑰,在網(wǎng)絡側(cè)保存各用戶識別模塊的唯 一識別號與所預置的加密密鑰的對應關系;所述網(wǎng)絡側(cè)向所述用戶識別模塊發(fā)送數(shù)據(jù)時,采用所述用戶識別模塊對應的加 密密鑰對數(shù)據(jù)進行加密后發(fā)送給所述用戶識別模塊所在的終端;所述終端與所述用戶識 別模塊之間進行近距離無線數(shù)據(jù)傳輸,將所述加密后的數(shù)據(jù)發(fā)送給用戶識別模塊;所述 用戶識別模塊對接收到的數(shù)據(jù)采用所述加密密鑰解密后獲得明文;后繼可以對明文信息 進行存儲或執(zhí)行相關指令操作;所述用戶識別模塊向所述網(wǎng)絡側(cè)發(fā)送數(shù)據(jù)時,采用所述加密密鑰對數(shù)據(jù)進行加 密后進行近距離無線數(shù)據(jù)傳輸,將所述加密后的數(shù)據(jù)發(fā)送給所在的終端;所述終端上傳 給所述網(wǎng)絡側(cè);所述網(wǎng)絡側(cè)對接收到的數(shù)據(jù)采用所述用戶識別模塊對應的加密密鑰解密 后獲得明文;后繼可以對明文信息進行存儲或執(zhí)行相關指令操作。同樣的,現(xiàn)有的終端也可以下載客戶端;網(wǎng)絡側(cè)可通過GPRS/3G高速無線數(shù)據(jù) 網(wǎng)絡和終端中的客戶端相連;客戶端透明地把接收到的內(nèi)容通過近距離無線通信技術(shù)傳 遞給所述用戶識別模塊。所述用戶識別模塊可通過報文協(xié)議處理模塊調(diào)用安全算法模塊,利用密鑰存儲 模塊中保存的加密密鑰進行報文的加密/解密。實施例二到五可實現(xiàn)業(yè)務數(shù)據(jù)安全傳輸和身份認證等功能,可分別稱為普通信 息傳輸模式、加密信息傳輸模式、身份認證模式、系統(tǒng)-用戶識別模塊加密信息傳輸模 式。普通信息傳輸模式適用于對于安全性要求不高,但對傳輸內(nèi)容和適配設備通用 性要求較高的場景。典型應用為用戶手機電話本、短消息與SIM卡中電話本、短消息 的交換,不同用戶間以微網(wǎng)(Pico網(wǎng))的方式進行信息交換,如傳輸照片、音樂、文件、游戲、電子書等。加密信息傳輸模式可在不改變近距離無線通信技術(shù)基帶標準協(xié)議的前提下,為 增強信息傳輸?shù)陌踩?,采用應用層加密技術(shù),加密算法可采用用戶識別模塊已普遍支 持的 DES、3DES、AES> RSA、SSF33、SMl 等。身份認證傳輸模式與加密信息傳輸模式不同,加密主要是保證信息傳輸?shù)陌?全,防止信息被攔截后惡意使用,而身份認證是鑒別通信方的身份,主要是防止身份欺 詐,只有合法用戶才允許進行后續(xù)業(yè)務操作。身份認證模式不同于握手配對階段的PIN 碼機制,前者是基于藍牙應用層協(xié)議實現(xiàn),后者是基于藍牙鏈路層協(xié)議實現(xiàn),前者安全 性更強且不改變藍牙協(xié)議棧機制。系統(tǒng)-用戶識別模塊加密信息傳輸模式提供了一種允許后臺系統(tǒng)把大數(shù)據(jù)量加 密內(nèi)容傳送給用戶識別模塊的方法,改變只能通過數(shù)據(jù)短信下發(fā)小數(shù)據(jù)量信息內(nèi)容給用 戶識別模塊的現(xiàn)狀。在實際應用中,可以使用以上傳輸模式中的任一種或任幾種;未來還可根據(jù)業(yè) 務需求進一步擴展各種傳輸模式。實施例六,基于實施例一的用戶識別模塊的傳輸系統(tǒng),包括一個或多個實施例 一中所述的用戶識別模塊、各所述用戶識別模塊所在終端、網(wǎng)絡側(cè)。所述一個或多個所述用戶識別模塊之間(也包括它們所在的終端之間、或用戶 識別模塊和終端之間)可以按照實施例二到四中的傳輸方法進行數(shù)據(jù)傳輸;所述用戶識 別模塊和網(wǎng)絡側(cè)之間也可以按照實施例五的傳輸方式進行數(shù)據(jù)傳輸。本實施例的一種實施方式如圖9所示,用戶端中,用戶識別模塊所在終端為手 機,用戶識別模塊為SIM卡,近距離無線通信控制器/模塊為藍牙控制器/模塊,不同手 機間進行藍牙通信,可以完成普通信息、加密信息及身份認證。網(wǎng)絡側(cè)包括網(wǎng)絡端的無 線網(wǎng)絡和短信/GPRS網(wǎng)關,以及系統(tǒng)端的防火墻和應用服務器。實際應用時,架構(gòu)不限 于此。實施例七,基于實施例一的用戶識別模塊的傳輸系統(tǒng),包括一個或多個實施例一的用戶識別模塊;各所述用戶識別模塊所在終端;所述用戶識別模塊當需要進行數(shù)據(jù)傳輸時,保存本次傳輸用的配對口令,并將 該配對口令通知給本次傳輸?shù)膶Χ嗽O備;進行傳輸時通過所述配對口令與所述對端設備 進行握手認證;認證成功則進行數(shù)據(jù)傳輸,認證失敗則不允許連接;然后清除本次傳輸 用的配對口令;所述對端設備為所述用戶識別模塊或所述終端。實施例八,基于實施例一的用戶識別模塊的傳輸系統(tǒng),包括一個或多個實施例一的用戶識別模塊;各所述用戶識別模塊所在終端;各所述用戶識別模塊分別預置一組加密密鑰;網(wǎng)絡側(cè),用于保存各用戶識別模塊的唯一識別號與所預置的加密密鑰的對應關 系;當收到申請時,根據(jù)終端的號碼查找到所述用戶識別模塊所預置的加密密鑰后,根 據(jù)該加密密鑰生成會話密鑰返回;
所述用戶識別模塊用于當與其它用戶識別模塊之間進行近距離無線數(shù)據(jù)傳輸 時,直接使用雙方預置的加密密鑰進行數(shù)據(jù)的加密和解密,或以預置的加密密鑰為保護 密鑰,生成雙發(fā)共享的會話密鑰,利用會話密鑰進行傳輸數(shù)據(jù)的加密和解密;當與終端 進行近距離無線數(shù)據(jù)傳輸時,根據(jù)加密密鑰生成會話密鑰或直接從網(wǎng)絡接收會話密鑰;所述終端用于當與其它用戶識別模塊之間進行近距離無線數(shù)據(jù)傳輸時,上發(fā)申 請給所述網(wǎng)絡側(cè),通知網(wǎng)絡側(cè)所述用戶識別模塊所在終端的號碼或本終端的號碼;接收 網(wǎng)絡側(cè)返回的會話密鑰,與所述用戶識別模塊進行數(shù)據(jù)傳輸加密。實施例九,基于實施例一的用戶識別模塊的傳輸系統(tǒng),包括一個或多個實施例一的用戶識別模塊;各所述用戶識別模塊所在終端;當所述用戶識別模塊用于當與待身份認證設備之間進行身份認證時并作為認證 方時,生成一個挑戰(zhàn)值發(fā)給待身份認證設備;接收待身份認證設備返回的利用認證密鑰 加密后的挑戰(zhàn)值,利用同樣的認證密鑰和算法解密后,判斷與先前的挑戰(zhàn)值是否一致, 如果一致,則認證通過;作為被認證方時,接收挑戰(zhàn)值,利用認證密鑰加密后返回給待 身份認證設備;所述待身份認證設備為所述用戶識別模塊或所述終端。實施例十,基于實施例一的用戶識別模塊的傳輸系統(tǒng),包括一個或多個實施例一的用戶識別模塊;各所述用戶識別模塊所在終端;各所述用戶識別模塊分別預置一組加密密鑰;網(wǎng)絡側(cè),用于保存各用戶識別模塊的唯一識別號與所預置的加密密鑰的對應關 系;用于當向所述用戶識別模塊發(fā)送數(shù)據(jù)時,采用所述用戶識別模塊對應的加密密鑰對 數(shù)據(jù)進行加密后發(fā)送給所述用戶識別模塊所在的終端;當接收到終端上傳的加密的數(shù)據(jù) 后,采用該終端里的用戶識別模塊對應的加密密鑰解密后獲得明文;所述終端用于與所述用戶識別模塊之間進行近距離無線數(shù)據(jù)傳輸,將從所述網(wǎng) 絡側(cè)接收的加密后的數(shù)據(jù)發(fā)送給用戶識別模塊,以及將從所述用戶識別模塊接收的加密 后的數(shù)據(jù)上傳給所述網(wǎng)絡側(cè);所述用戶識別模塊用于對接收到的數(shù)據(jù)采用所述加密密鑰解密后獲得明文;當 向所述網(wǎng)絡側(cè)發(fā)送數(shù)據(jù)時,采用所述加密密鑰對數(shù)據(jù)進行加密后進行近距離無線數(shù)據(jù)傳 輸,發(fā)送給所在的終端。本領域普通技術(shù)人員可以理解上述方法中的全部或部分步驟可通過程序來指令 相關硬件完成,所述程序可以存儲于計算機可讀存儲介質(zhì)中,如只讀存儲器、磁盤或光 盤等??蛇x地,上述實施例的全部或部分步驟也可以使用一個或多個集成電路來實現(xiàn)。 相應地,上述實施例中的各模塊/單元可以采用硬件的形式實現(xiàn),也可以采用軟件功能 模塊的形式實現(xiàn)。本發(fā)明不限制于任何特定形式的硬件和軟件的結(jié)合。當然,本發(fā)明還可有其他多種實施例,在不背離本發(fā)明精神及其實質(zhì)的情況 下,熟悉本領域的技術(shù)人員當可根據(jù)本發(fā)明作出各種相應的改變和變形,但這些相應的 改變和變形都應屬于本發(fā)明的權(quán)利要求的保護范圍。
權(quán)利要求
1.一種用戶識別模塊,包括總線、以所述總線相連的處理模塊和存儲模塊;其特 征在于,還包括與所述總線相連的近距離無線通信控制器;與所述近距離無線通信控制器相連的近距離無線通信模塊;與所述近距離無線通信模塊相連的射頻天線;所述近距離無線通信控制器用于控制所述近距離無線通信模塊通過驅(qū)動所述射頻天 線與外部交互數(shù)據(jù);還用于將所述近距離無線通信模塊從外部收到的數(shù)據(jù),通過所述處 理模塊寫入所述存儲模塊;以及通過所述處理模塊從所述存儲模塊讀取所述近距離無線 通信模塊所要發(fā)送給外部的數(shù)據(jù)。
2.如權(quán)利要求1所述的用戶識別模塊,其特征在于,所述存儲模塊的存儲空間劃分為 三個部分用于存儲用戶識別模塊信息的用戶識別模塊信息區(qū); 保密存儲區(qū); 公共存儲區(qū);所述處理模塊還用于通過把保密存儲區(qū)和公共信息區(qū)的物理地址注冊到注冊表中, 對保密存儲區(qū)和公共存儲區(qū)進行空間動態(tài)劃分。
3.如權(quán)利要求2所述的用戶識別模塊,其特征在于,還包括 安全模塊;若干個應用模塊,各應用模塊對應于不同類型的數(shù)據(jù);所述處理模塊用于當所述近距離無線通信模塊要將從外部接收的數(shù)據(jù)寫入所述存儲 模塊,或從存儲模塊讀取要發(fā)送到外部的數(shù)據(jù)時,調(diào)用與所述數(shù)據(jù)對應的應用模塊;所述應用模塊用于被調(diào)用時根據(jù)要寫入的數(shù)據(jù)的業(yè)務類型或服務類型判斷是否需要 安全認證,如果需要則指示所述安全模塊寫入所述數(shù)據(jù),不需要則直接將數(shù)據(jù)寫入所述 存儲模塊;或判斷所要讀取的數(shù)據(jù)所在的物理地址是否屬于保密存儲區(qū),如果屬于則指 示所述安全模塊讀取,不屬于則直接從所述存儲模塊中讀取后發(fā)送給所述近距離無線通 信控制器;所述安全模塊寫入或讀取數(shù)據(jù)前,先驗證訪問權(quán)限,如果訪問權(quán)限通過則寫入數(shù)據(jù) 到所述存儲模塊中或從所述存儲模塊中讀取數(shù)據(jù)發(fā)送給所述近距離無線通信控制器,如 果沒通過則拒絕訪問。
4.基于權(quán)利要求1到3任一項所述的用戶識別模塊的傳輸方法,包括當需要進行近距離無線數(shù)據(jù)傳輸時,所述用戶識別模塊保存本次傳輸用的配對口 令,并將該配對口令通知給本次傳輸?shù)膶Χ嗽O備;進行傳輸時,所述用戶識別模塊通過所述配對口令與所述對端設備進行握手認證; 認證成功則進行近距離無線數(shù)據(jù)傳輸,認證失敗則不允許連接; 所述用戶識別模塊清除本次傳輸用的配對口令。
5.如權(quán)利要求4所述的傳輸方法,其特征在于,所述配對口令的生成方式包括 用戶識別模塊接收用戶輸入的配對口令并保存;用戶識別模塊生成配對口令并顯示給用戶;用戶識別模塊向網(wǎng)絡側(cè)上發(fā)口令申請短信,網(wǎng)絡側(cè)隨機產(chǎn)生或利用加密算法產(chǎn)生一個配對口令,以加密數(shù)據(jù)短信報文方式下發(fā)給用戶識別模塊。
6.基于權(quán)利要求1到3任一項所述的用戶識別模塊的傳輸方法,包括在所述用戶識別模塊中預置一組加密密鑰,在網(wǎng)絡側(cè)保存各用戶識別模塊的唯一識 別號與所預置的加密密鑰的對應關系;當兩個所述用戶識別模塊之間進行近距離無線數(shù)據(jù)傳輸時,直接使用雙方預置的加 密密鑰進行數(shù)據(jù)的加密和解密,或以預置的加密密鑰為保護密鑰,生成雙發(fā)共享的會話 密鑰,利用會話密鑰進行傳輸數(shù)據(jù)的加密和解密;所述用戶識別模塊與終端進行近距離無線數(shù)據(jù)傳輸時,終端上發(fā)申請給網(wǎng)絡側(cè),通 知網(wǎng)絡側(cè)所述用戶識別模塊所在終端的號碼或本終端的號碼;網(wǎng)絡側(cè)查找到所述用戶識 別模塊所預置的加密密鑰后,根據(jù)該加密密鑰生成會話密鑰下發(fā)給所述終端;所述用戶 識別模塊根據(jù)加密密鑰生成會話密鑰或直接從網(wǎng)絡接收會話密鑰;所述終端使用該會話 密鑰與所述用戶識別模塊進行數(shù)據(jù)傳輸加密。
7.基于權(quán)利要求1到3任一項所述的用戶識別模塊的傳輸方法,包括當所述用戶識別模塊與待身份認證設備之間進行身份認證時,任一方先作為認證 方,另一方作為被認證方;認證方生成一個挑戰(zhàn)值發(fā)給被認證方;被認證方利用認證密鑰對挑戰(zhàn)值加密后, 返回給認證方;認證方利用同樣的認證密鑰和算法解密后,判斷與先前的挑戰(zhàn)值是否一 致,如果一致,則認證通過;對調(diào)認證方和被認證方,如果認證也通過,則雙方認證成 功,可進行數(shù)據(jù)傳輸。
8.基于權(quán)利要求1到3任一項所述的用戶識別模塊的傳輸方法,包括在所述用戶識別模塊中預置一組加密密鑰,在網(wǎng)絡側(cè)保存各用戶識別模塊的唯一識 別號與所預置的加密密鑰的對應關系;所述網(wǎng)絡側(cè)向所述用戶識別模塊發(fā)送數(shù)據(jù)時,采用所述用戶識別模塊對應的加密密 鑰對數(shù)據(jù)進行加密后發(fā)送給所述用戶識別模塊所在的終端;所述終端與所述用戶識別模 塊之間進行近距離無線數(shù)據(jù)傳輸,將所述加密后的數(shù)據(jù)發(fā)送給用戶識別模塊;所述用戶 識別模塊對接收到的數(shù)據(jù)采用所述加密密鑰解密后獲得明文;所述用戶識別模塊向所述網(wǎng)絡側(cè)發(fā)送數(shù)據(jù)時,采用所述加密密鑰對數(shù)據(jù)進行加密后 進行近距離無線數(shù)據(jù)傳輸,將所述加密后的數(shù)據(jù)發(fā)送給所在的終端;所述終端上傳給所 述網(wǎng)絡側(cè);所述網(wǎng)絡側(cè)對接收到的數(shù)據(jù)采用所述用戶識別模塊對應的加密密鑰解密后獲 得明文。
9.基于權(quán)利要求1到3任一項所述的用戶識別模塊的傳輸系統(tǒng),其特征在于,包括一個或多個權(quán)利要求1到3任一項所述的用戶識別模塊;各所述用戶識別模塊所在終端;所述用戶識別模塊當需要進行數(shù)據(jù)傳輸時,保存本次傳輸用的配對口令,并將該配 對口令通知給本次傳輸?shù)膶Χ嗽O備;進行傳輸時通過所述配對口令與所述對端設備進行 握手認證;認證成功則進行數(shù)據(jù)傳輸,認證失敗則不允許連接;然后清除本次傳輸用的 配對口令;所述對端設備為所述用戶識別模塊或所述終端。
10.基于權(quán)利要求1到3任一項所述的用戶識別模塊的傳輸系統(tǒng),其特征在于,包括一個或多個權(quán)利要求1到3任一項所述的用戶識別模塊; 各所述用戶識別模塊所在終端; 各所述用戶識別模塊分別預置一組加密密鑰;網(wǎng)絡側(cè),用于保存各用戶識別模塊的唯一識別號與所預置的加密密鑰的對應關系; 當收到申請時,根據(jù)終端的號碼查找到所述用戶識別模塊所預置的加密密鑰后,根據(jù)該 加密密鑰生成會話密鑰返回;所述用戶識別模塊用于當與其它用戶識別模塊之間進行近距離無線數(shù)據(jù)傳輸時,直 接使用雙方預置的加密密鑰進行數(shù)據(jù)的加密和解密,或以預置的加密密鑰為保護密鑰, 生成雙發(fā)共享的會話密鑰,利用會話密鑰進行傳輸數(shù)據(jù)的加密和解密;當與終端進行近 距離無線數(shù)據(jù)傳輸時,根據(jù)加密密鑰生成會話密鑰或直接從網(wǎng)絡接收會話密鑰;所述終端用于當與其它用戶識別模塊之間進行近距離無線數(shù)據(jù)傳輸時,上發(fā)申請給 所述網(wǎng)絡側(cè),通知網(wǎng)絡側(cè)所述用戶識別模塊所在終端的號碼或本終端的號碼;接收網(wǎng)絡 側(cè)返回的會話密鑰與所述用戶識別模塊進行數(shù)據(jù)傳輸加密。
11.基于權(quán)利要求1到3任一項所述的用戶識別模塊的傳輸系統(tǒng),其特征在于,包括一個或多個權(quán)利要求1到3任一項所述的用戶識別模塊; 各所述用戶識別模塊所在終端;當所述用戶識別模塊用于當與待身份認證設備之間進行身份認證時并作為認證方 時,生成一個挑戰(zhàn)值發(fā)給待身份認證設備;接收待身份認證設備返回的利用認證密鑰加 密后的挑戰(zhàn)值,利用同樣的認證密鑰和算法解密后,判斷與先前的挑戰(zhàn)值是否一致,如 果一致,則認證通過;作為被認證方時,接收挑戰(zhàn)值,利用認證密鑰加密后返回給待身 份認證設備;所述待身份認證設備為所述用戶識別模塊或所述終端。
12.基于權(quán)利要求1到3任一項所述的用戶識別模塊的傳輸系統(tǒng),其特征在于,包括一個或多個權(quán)利要求1到3任一項所述的用戶識別模塊; 各所述用戶識別模塊所在終端; 各所述用戶識別模塊分別預置一組加密密鑰;網(wǎng)絡側(cè),用于保存各用戶識別模塊的唯一識別號與所預置的加密密鑰的對應關系; 用于當向所述用戶識別模塊發(fā)送數(shù)據(jù)時,采用所述用戶識別模塊對應的加密密鑰對數(shù)據(jù) 進行加密后發(fā)送給所述用戶識別模塊所在的終端;當接收到終端上傳的加密的數(shù)據(jù)后, 采用該終端里的用戶識別模塊對應的加密密鑰解密后獲得明文;所述終端用于與所述用戶識別模塊之間進行近距離無線數(shù)據(jù)傳輸,將從所述網(wǎng)絡側(cè) 接收的加密后的數(shù)據(jù)發(fā)送給用戶識別模塊,以及將從所述用戶識別模塊接收的加密后的 數(shù)據(jù)上傳給所述網(wǎng)絡側(cè);所述用戶識別模塊用于對接收到的數(shù)據(jù)采用所述加密密鑰解密后獲得明文;當向所 述網(wǎng)絡側(cè)發(fā)送數(shù)據(jù)時,采用所述加密密鑰對數(shù)據(jù)進行加密后進行近距離無線數(shù)據(jù)傳輸, 發(fā)送給所在的終端。
全文摘要
一種用戶識別模塊及基于該用戶識別模塊的傳輸方法、系統(tǒng);所述用戶識別模塊總線、以所述總線相連的處理模塊和存儲模塊;還包括與所述總線相連的近距離無線通信控制器;與所述近距離無線通信控制器相連的近距離無線通信模塊;與所述近距離無線通信模塊相連的射頻天線;所述近距離無線通信控制器用于控制所述近距離無線通信模塊通過驅(qū)動所述射頻天線與外部交互數(shù)據(jù);還用于將所述近距離無線通信模塊從外部收到的數(shù)據(jù),通過所述處理模塊寫入所述存儲模塊;以及通過所述處理模塊從所述存儲模塊讀取所述近距離無線通信模塊所要發(fā)送給外部的數(shù)據(jù)。不用更換終端即可支持外部實體與用戶識別模塊的高速數(shù)據(jù)交換。
文檔編號H04W12/04GK102026187SQ201010577609
公開日2011年4月20日 申請日期2010年12月2日 優(yōu)先權(quán)日2010年12月2日
發(fā)明者焦華清, 王京陽, 鄭輝 申請人:大唐微電子技術(shù)有限公司