亚洲狠狠干,亚洲国产福利精品一区二区,国产八区,激情文学亚洲色图

智能卡與用戶識別模塊安全綁定的方法、系統(tǒng)和管理平臺的制作方法

文檔序號:7981359閱讀:263來源:國知局
智能卡與用戶識別模塊安全綁定的方法、系統(tǒng)和管理平臺的制作方法
【專利摘要】本發(fā)明公開了一種智能卡與用戶識別模塊安全綁定的方法、系統(tǒng)和管理平臺。移動(dòng)終端和網(wǎng)絡(luò)側(cè)管理平臺之間建立基于智能卡的安全連接,通過該連接,終端側(cè)的用戶識別模塊與網(wǎng)絡(luò)側(cè)接入認(rèn)證中心之間模擬接入認(rèn)證流程,管理平臺根據(jù)認(rèn)證結(jié)果和預(yù)先設(shè)定的綁定規(guī)則,判斷雙方的綁定關(guān)系是否合法,并將綁定結(jié)果通知智能卡,智能卡決定是否提供服務(wù)。該方法實(shí)現(xiàn)了移動(dòng)終端智能卡與接入層身份綁定,限制智能卡在特定的移動(dòng)終端上使用,從而起到智能卡防盜用、智能卡鎖定的作用,既增強(qiáng)智能卡的安全性,又可保障運(yùn)營商的利益。
【專利說明】智能卡與用戶識別模塊安全綁定的方法、系統(tǒng)和管理平臺
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)與信息安全【技術(shù)領(lǐng)域】,特別涉及一種智能卡與用戶識別模塊安全 綁定的方法、系統(tǒng)和管理平臺。
【背景技術(shù)】
[0002]基于智能卡的身份認(rèn)證、數(shù)字簽名技術(shù)可有效保障用戶密鑰安全,防止身份假 冒,在網(wǎng)絡(luò)安全領(lǐng)域得到較廣泛應(yīng)用。在移動(dòng)環(huán)境下,目前業(yè)界也在探索基于WM (User Identity Model,用戶識別模塊)/SIM (Subscriber Identity Module,用戶識別卡)或者 TF (TransFlash,閃存)/SD (Secure Digital Memory Card,安全數(shù)碼卡)卡的安全應(yīng)用、 以及基于移動(dòng)可信模塊(Mobile Trusted Module,MTM)的方案。
[0003]移動(dòng)終端由于計(jì)算能力、接口限制等問題,通過可卸載的智能卡擴(kuò)展其安全能力, 為運(yùn)營商靈活開展安全型業(yè)務(wù)提供了一個(gè)技術(shù)選擇。
[0004]但現(xiàn)有的移動(dòng)環(huán)境智能卡存在一些問題。例如,基于nM/SM的智能卡,由于不可 卸載,存在永遠(yuǎn)在線攻擊的風(fēng)險(xiǎn);對于可卸載的TF/SD卡,雖然增加了使用靈活性,但也增 加了智能卡被盜用的風(fēng)險(xiǎn);TF/SD卡或MTM模塊,由于缺乏用戶接入身份信息,電信運(yùn)營商
難以掌控。

【發(fā)明內(nèi)容】

[0005]本發(fā)明的發(fā)明人發(fā)現(xiàn)上述現(xiàn)有技術(shù)中存在問題,并因此針對所述問題中的至少一 個(gè)問題提出了一種新的技術(shù)方案。
[0006]本發(fā)明的一個(gè)目的是提供一種用于移動(dòng)終端智能卡與用戶識別模塊安全綁定的 技術(shù)方案。
[0007]根據(jù)本發(fā)明的第一方面,提供了一種移動(dòng)終端智能卡與用戶識別模塊安全綁定方 法,包括:網(wǎng)絡(luò)側(cè)管理平臺和所述移動(dòng)終端建立基于所述智能卡的安全連接;基于所述安 全連接在所述移動(dòng)終端的用戶識別模塊與網(wǎng)絡(luò)側(cè)接入認(rèn)證中心之間模擬接入認(rèn)證流程;所 述網(wǎng)絡(luò)側(cè)管理平臺根據(jù)接入認(rèn)證結(jié)果和預(yù)先設(shè)定的綁定規(guī)則,驗(yàn)證所述智能卡和所述用戶 識別模塊之間的綁定關(guān)系,將綁定關(guān)系驗(yàn)證結(jié)果發(fā)送給所述智能卡,以便所述智能卡根據(jù) 所述綁定關(guān)系驗(yàn)證結(jié)果確定是否提供服務(wù)。
[0008]可選地,基于所述安全連接在終端側(cè)的用戶識別模塊與網(wǎng)絡(luò)側(cè)接入認(rèn)證中心之間 模擬接入認(rèn)證流程包括:所述網(wǎng)絡(luò)側(cè)管理平臺模擬移動(dòng)通信網(wǎng)絡(luò)中VLR(Visitor Location Register,拜訪位置寄存器)網(wǎng)元的角色從接入認(rèn)證中心取得認(rèn)證向量,向所述移動(dòng)終端的 客戶端程序發(fā)起認(rèn)證請求;所述客戶端程序?qū)⒄J(rèn)證請求提交給所述用戶識別模塊,得到所 述用戶識別模塊返回的認(rèn)證響應(yīng);所述客戶端程序?qū)⑺稣J(rèn)證響應(yīng)經(jīng)所述安全連接返回給 所述網(wǎng)絡(luò)側(cè)管理平臺;所述網(wǎng)絡(luò)側(cè)管理平臺確認(rèn)消息合法后,將該響應(yīng)提交給接入認(rèn)證中 心進(jìn)行驗(yàn)證;所述網(wǎng)絡(luò)側(cè)管理平臺得到認(rèn)證結(jié)果。
[0009]可選地,移動(dòng)終端和網(wǎng)絡(luò)側(cè)管理平臺建立基于所述智能卡的安全連接包括:所述移動(dòng)終端接入網(wǎng)絡(luò)后所述網(wǎng)絡(luò)側(cè)管理平臺對所述智能卡進(jìn)行身份認(rèn)證;所述智能卡身份認(rèn) 證通過后,所述移動(dòng)終端和所述網(wǎng)絡(luò)側(cè)管理平臺之間的通信關(guān)鍵信息分別由所述網(wǎng)絡(luò)側(cè)管 理平臺和所述智能卡進(jìn)行加密、簽名,經(jīng)所述網(wǎng)絡(luò)側(cè)管理平臺和所述智能卡確認(rèn)。
[0010]可選地,關(guān)鍵信息包括所述移動(dòng)終端的認(rèn)證響應(yīng)、所述網(wǎng)絡(luò)側(cè)管理平臺返回的綁 定關(guān)系驗(yàn)證結(jié)果。
[0011]可選地,所述智能卡包括TF或SD接口的CPU卡、或移動(dòng)可信模塊MTM ;和/或所 述用戶識別模塊包括 UIM、SIM、或 USIM (Universal Subscriber Identity Module,全球用 戶識別卡)。
[0012]可選地,綁定規(guī)則規(guī)定智能卡和與用戶信號信息相關(guān)的用戶或用戶群之間的綁定 關(guān)系,限制智能卡只能供特定的用戶、用戶群使用。
[0013]根據(jù)本發(fā)明的另一方面,提供一種網(wǎng)絡(luò)側(cè)管理平臺,應(yīng)用于移動(dòng)終端智能卡與用 戶識別模塊安全綁定,包括:安全連接建立模塊,用于和所述移動(dòng)終端建立基于所述智能卡 的安全連接;接入認(rèn)證模塊,用于基于所述安全連接在所述移動(dòng)終端的用戶識別模塊與網(wǎng) 絡(luò)側(cè)接入認(rèn)證中心之間模擬接入認(rèn)證流程;綁定關(guān)系驗(yàn)證模塊,用于根據(jù)接入認(rèn)證結(jié)果和 預(yù)先設(shè)定的綁定規(guī)則,驗(yàn)證所述智能卡和所述用戶識別模塊之間的綁定關(guān)系,將綁定關(guān)系 驗(yàn)證結(jié)果發(fā)送給所述智能卡,以便所述智能卡根據(jù)所述綁定關(guān)系驗(yàn)證結(jié)果確定是否提供服 務(wù)。
[0014]可選地,安全連接建立模塊包括:智能卡認(rèn)證單元,用于在所述移動(dòng)終端接入網(wǎng)絡(luò) 后對所述智能卡進(jìn)行身份認(rèn)證;關(guān)鍵信息保護(hù)模塊,用于所述智能卡身份認(rèn)證通過后,對所 述移動(dòng)終端和所述網(wǎng)絡(luò)側(cè)管理平臺之間的通信關(guān)鍵信息進(jìn)行加密、簽名。
[0015]可選地,綁定關(guān)系驗(yàn)證模塊包括:綁定規(guī)則存儲單元,用于存儲所述智能卡和所述 用戶識別模塊之間的綁定規(guī)則;綁定關(guān)系驗(yàn)證單元,用于根據(jù)接入認(rèn)證結(jié)果和預(yù)先設(shè)定的 綁定規(guī)則,驗(yàn)證所述智能卡和所述用戶識別模塊之間的綁定關(guān)系,將綁定關(guān)系驗(yàn)證結(jié)果發(fā) 送給所述智能卡,以便所述智能卡根據(jù)所述綁定關(guān)系驗(yàn)證結(jié)果確定是否提供服務(wù)。
[0016]可選地,所述智能卡包括TF或SD接口的CPU卡、或移動(dòng)可信模塊MTM ;和/或所 述用戶識別模塊包括nM、SM、或USIM。
[0017]可選地,綁定規(guī)則規(guī)定智能卡和與用戶信號信息相關(guān)的用戶或用戶群之間的綁定 關(guān)系,限制智能卡只能供特定的用戶、用戶群使用。
[0018]根據(jù)本發(fā)明的又一方面,提供一種移動(dòng)終端智能卡與用戶識別模塊安全綁定系 統(tǒng),包括:移動(dòng)終端,所述移動(dòng)終端包括智能卡和用戶識別模塊;以及上述的網(wǎng)絡(luò)側(cè)管理平 臺。
[0019]本發(fā)明的一個(gè)優(yōu)點(diǎn)在于,將移動(dòng)終端中智能卡與用戶識別模塊進(jìn)行綁定,限制智 能卡只能在特定的終端上使用,既可防止智能卡被盜用、增強(qiáng)使用安全性。
[0020]通過以下參照附圖對本發(fā)明的示例性實(shí)施例的詳細(xì)描述,本發(fā)明的其它特征及其 優(yōu)點(diǎn)將會變得清楚。
【專利附圖】

【附圖說明】
[0021]構(gòu)成說明書的一部分的附圖描述了本發(fā)明的實(shí)施例,并且連同說明書一起用于解 釋本發(fā)明的原理。[0022]參照附圖,根據(jù)下面的詳細(xì)描述,可以更加清楚地理解本發(fā)明,其中:
[0023]圖1示出本發(fā)明的移動(dòng)終端智能卡與用戶識別模塊安全綁定方法的一個(gè)實(shí)施例 的流程圖;
[0024]圖2示出本發(fā)明的移動(dòng)終端智能卡與用戶識別模塊安全綁定方法的另一個(gè)實(shí)施 例的示意圖。
[0025]圖3示出本發(fā)明的移動(dòng)終端智能卡與用戶識別模塊安全綁定方法的再一個(gè)實(shí)施 例的流程圖;
[0026]圖4示出本發(fā)明的移動(dòng)終端智能卡與用戶識別模塊安全綁定方法的又一個(gè)實(shí)施 例的流程圖;
[0027]圖5示出本發(fā)明的網(wǎng)絡(luò)側(cè)管理平臺的一個(gè)實(shí)施例的結(jié)構(gòu)圖;
[0028]圖6示出本發(fā)明的網(wǎng)絡(luò)側(cè)管理平臺的另一個(gè)實(shí)施例的結(jié)構(gòu)圖。
【具體實(shí)施方式】
[0029]現(xiàn)在將參照附圖來詳細(xì)描述本發(fā)明的各種示例性實(shí)施例。應(yīng)注意到:除非另外具 體說明,否則在這些實(shí)施例中闡述的部件和步驟的相對布置、數(shù)字表達(dá)式和數(shù)值不限制本 發(fā)明的范圍。
[0030]同時(shí),應(yīng)當(dāng)明白,為了便于描述,附圖中所示出的各個(gè)部分的尺寸并不是按照實(shí)際 的比例關(guān)系繪制的。
[0031]以下對至少一個(gè)示例性實(shí)施例的描述實(shí)際上僅僅是說明性的,決不作為對本發(fā)明 及其應(yīng)用或使用的任何限制。
[0032]對于相關(guān)領(lǐng)域普通技術(shù)人員已知的技術(shù)、方法和設(shè)備可能不作詳細(xì)討論,但在適 當(dāng)情況下,所述技術(shù)、方法和設(shè)備應(yīng)當(dāng)被視為授權(quán)說明書的一部分。
[0033]在這里示出和討論的所有示例中,任何具體值應(yīng)被解釋為僅僅是示例性的,而不 是作為限制。因此,示例性實(shí)施例的其它示例可以具有不同的值。
[0034]應(yīng)注意到:相似的標(biāo)號和字母在下面的附圖中表示類似項(xiàng),因此,一旦某一項(xiàng)在一 個(gè)附圖中被定義,則在隨后的附圖中不需要對其進(jìn)行進(jìn)一步討論。
[0035]圖1示出本發(fā)明的移動(dòng)終端智能卡與用戶識別模塊安全綁定方法的一個(gè)實(shí)施例 的流程圖。
[0036]如圖1所示,步驟102,移動(dòng)終端和網(wǎng)絡(luò)側(cè)管理平臺之間建立基于智能卡的安全連 接?;谥悄芸ń踩B接,可以通過多種現(xiàn)有方式實(shí)現(xiàn)。例如,對智能卡進(jìn)行身份認(rèn)證 通過后,通過加密或者簽名的方式實(shí)現(xiàn)移動(dòng)終端和網(wǎng)絡(luò)側(cè)管理平臺之間的安全連接。
[0037]步驟104,基于安全連接在終端側(cè)的用戶識別模塊與網(wǎng)絡(luò)側(cè)接入認(rèn)證中心之間模 擬接入認(rèn)證流程。
[0038]步驟106,網(wǎng)絡(luò)側(cè)管理平臺根據(jù)接入認(rèn)證結(jié)果和預(yù)先設(shè)定的綁定規(guī)則,驗(yàn)證智能卡 和用戶識別模塊之間的綁定關(guān)系,將綁定關(guān)系驗(yàn)證結(jié)果發(fā)送給智能卡。綁定規(guī)則可以規(guī)定 智能卡和與用戶信號信息(如 IMSI (International Mobile SubscriberIdentification Number,國際移動(dòng)用戶識別碼)號)相關(guān)的用戶或用戶群之間的綁定關(guān)系,可以限制智能卡 只能供特定的用戶(群)使用,防止被該用戶(群)外其他用戶盜用。
[0039]由網(wǎng)絡(luò)側(cè)管理平臺實(shí)現(xiàn)綁定關(guān)系驗(yàn)證,管理平臺可以直接存儲智能卡信息,也可以從用戶識別模塊取得用戶號碼信息;需要時(shí),可以根據(jù)用戶號碼信息從用戶資料庫中得 到更詳細(xì)的客戶信息。
[0040]綁定規(guī)則可根據(jù)業(yè)務(wù)需要靈活設(shè)定,例如智能卡和用戶號碼GMSI號)的綁定,限 制智能卡:(I)只能在特定運(yùn)營商的手機(jī)上使用;或(2)只能由特定地區(qū)的用戶使用;或
(3)只能供特定的用戶使用(例如MSI對應(yīng)號碼為18988888888的用戶專用)。智能卡還可 以和用戶屬性的綁定(根據(jù)接入號碼獲取用戶資料、業(yè)務(wù)信息等進(jìn)行綁定):(I)只能供VIP 客戶使用(客戶級別為鉆石客戶、金牌客戶等);(2)只能供某集團(tuán)客戶使用。
[0041]步驟108,智能卡根據(jù)綁定關(guān)系驗(yàn)證結(jié)果確定是否提供服務(wù)。驗(yàn)證結(jié)果可以通知 智能卡所處終端環(huán)境(用戶識別模塊)是否合法。例如,可以用I表示成功,0表示失?。灰?可以定義“RESULT=SUCCESS”表示成功,“RESULT=FAILURE”表示失敗。如前所述,智能卡根 據(jù)實(shí)現(xiàn)中約定的協(xié)議,比如,用I表示成功,0表示失敗,或者“RESULT=SUCCESS”表示成功, “RESULT=FAILURE”表示失敗,驗(yàn)證綁定是否成功;如果終端環(huán)境不合法,則鎖卡,拒絕提供 服務(wù)(數(shù)據(jù)加密、數(shù)字簽名等服務(wù))。智能卡對結(jié)果的驗(yàn)證、以及決定是否提供服務(wù),可以由 智能卡內(nèi)的COS (Chip Operating System,片內(nèi)操作系統(tǒng))系統(tǒng)實(shí)現(xiàn)。
[0042]上述實(shí)施例中,實(shí)現(xiàn)了移動(dòng)終端智能卡與用戶識別模塊的安全綁定,限制智能卡 在特定的移動(dòng)終端上使用,從而起到智能卡防盜用、智能卡鎖定的作用。
[0043]圖2示出本發(fā)明的移動(dòng)終端智能卡與用戶識別模塊安全綁定方法的另一個(gè)實(shí)施 例的示意圖。在圖2中,終端11包括智能卡111、用戶識別模塊112,此外,在終端11上還 可以實(shí)現(xiàn)客戶端程序113。終端側(cè)的智能卡111例如是TF、SD等接口擴(kuò)展的CPU卡、或者是 移動(dòng)可信模塊MTM。用戶識別模塊例如是UIM、SIM、USIM等移動(dòng)用戶識別卡。智能卡和用 戶識別模塊是一個(gè)封閉環(huán)境,對于發(fā)行者來說,是安全、可控的環(huán)境,而移動(dòng)終端操作環(huán)境、 以及其上的客戶端程序,是不可控環(huán)境,存在被病毒、木馬等惡意代碼篡改的風(fēng)險(xiǎn)。
[0044]在網(wǎng)絡(luò)側(cè),管理平臺12負(fù)責(zé)對終端智能卡進(jìn)行管理,并與智能卡之間共享安全信 息,該安全信息可以是僅由雙方共享的對稱密鑰,或者是對方的公鑰,對應(yīng)的私鑰則由所有 者保存。雙方可通過用上述安全信息對消息加密、簽名并確認(rèn)對方的身份。接入認(rèn)證中 心13是指移動(dòng)網(wǎng)絡(luò)中移動(dòng)終端接入時(shí),驗(yàn)證用戶識別模塊合法性的HLR (Home Location Register,歸屬位置寄存器)、AuC (Authentication Center,鑒權(quán)中心)等網(wǎng)元。
[0045]該實(shí)施例針對該不可控終端環(huán)境下,實(shí)現(xiàn)智能卡與用戶識別模塊的可信、安全綁 定。
[0046]如圖2所示,步驟201,移動(dòng)終端接入網(wǎng)絡(luò),管理平臺驗(yàn)證智能卡身份。管理平臺對 智能卡身份的驗(yàn)證,可以采用對稱密鑰方式驗(yàn)證,也可以采用RSA或SM4等算法的數(shù)字證書 進(jìn)行身份驗(yàn)證。
[0047]步驟202,驗(yàn)證通過后,管理平臺與移動(dòng)終端建立基于智能卡的安全連接,雙方通 信的關(guān)鍵信息分別由管理平臺和智能卡進(jìn)行加密或簽名,并經(jīng)對方解密或確認(rèn)。
[0048]步驟203,管理平臺模擬移動(dòng)通信網(wǎng)絡(luò)中VLR網(wǎng)元的角色,在上述連接上啟動(dòng)對移 動(dòng)終端的接入認(rèn)證流程。即管理平臺從接入認(rèn)證中心取得一組認(rèn)證向量,向客戶端程序發(fā) 起認(rèn)證請求,客戶端程序?qū)⒄埱筇峤唤o用戶識別模塊計(jì)算得到認(rèn)證響應(yīng),管理平臺確認(rèn)消 息合法后,將該響應(yīng)提交給接入認(rèn)證中心進(jìn)行驗(yàn)證;
[0049]步驟204,管理平臺根據(jù)接入認(rèn)證中心驗(yàn)證結(jié)果和預(yù)設(shè)的綁定規(guī)則,驗(yàn)證雙方的綁定關(guān)系,并將結(jié)果返回給智能卡。
[0050]步驟205,智能卡驗(yàn)證綁定結(jié)果,并決定是否提供服務(wù)。
[0051]上述實(shí)施例中,通過管理平臺與移動(dòng)終端之間基于智能卡的安全連接,雙方通信 的關(guān)鍵信息分別由管理平臺和智能卡進(jìn)行加密或簽名,進(jìn)一步提高了安全性。
[0052]圖3示出本發(fā)明的移動(dòng)終端智能卡與用戶識別模塊安全綁定方法的再一個(gè)實(shí)施 例的流程圖。在該實(shí)施例中,網(wǎng)絡(luò)側(cè)管理平臺與移動(dòng)終端間通信由管理平臺和智能卡簽名 確認(rèn)。網(wǎng)絡(luò)側(cè)管理平臺驗(yàn)證智能卡合法性,并對移動(dòng)終端進(jìn)行接入認(rèn)證和綁定關(guān)系驗(yàn)證。
[0053]如圖3所示,步驟311,移動(dòng)終端上的客戶端程序向網(wǎng)絡(luò)側(cè)管理平臺發(fā)起接入請 求。
[0054]步驟312,管理平臺向移動(dòng)終端上的客戶端程序發(fā)起智能卡身份認(rèn)證請求。
[0055]步驟313,客戶端程序向智能卡發(fā)送智能卡身份認(rèn)證請求。
[0056]步驟314,智能卡生成身份認(rèn)證信息。
[0057]步驟315,智能卡向客戶端程序發(fā)送智能卡身份認(rèn)證響應(yīng),其中包括身份認(rèn)證信
肩、O
[0058]步驟316,客戶端程序向管理平臺轉(zhuǎn)發(fā)智能卡身份認(rèn)證響應(yīng)。
[0059]步驟317,管理平臺驗(yàn)證智能卡身份。智能卡身份驗(yàn)證通過后,進(jìn)行后續(xù)的過程。
[0060]步驟318,管理平臺向接入認(rèn)證中心發(fā)送獲取認(rèn)證向量請求。
[0061]步驟319,接入認(rèn)證中心向管理平臺返回一組認(rèn)證向量。
[0062]步驟320,管理平臺根據(jù)認(rèn)證向量,生成接入認(rèn)證請求發(fā)送給客戶端程序。
[0063]步驟321,客戶端程序?qū)⒔尤胝J(rèn)證請求發(fā)送給用戶識別模塊。
[0064]步驟322,用戶識別模塊計(jì)算生成認(rèn)證信息;
[0065]步驟323,用戶識別模塊向客戶端程序發(fā)送認(rèn)證響應(yīng),將生成的接入認(rèn)證信息返回 給客戶端程序。
[0066]步驟324,客戶端程序?qū)⒄J(rèn)證響應(yīng)提交給智能卡;
[0067]步驟325,智能卡對認(rèn)證響應(yīng)簽名。
[0068]步驟326,智能卡將簽名后的認(rèn)證響應(yīng)返回給客戶端程序。
[0069]步驟327,客戶端程序?qū)⒑灻蟮恼J(rèn)證響應(yīng)回復(fù)給管理平臺;
[0070]步驟328,管理平臺驗(yàn)證簽名,驗(yàn)證通過后管理平臺將認(rèn)證響應(yīng)交由接入認(rèn)證中心 驗(yàn)證。
[0071]步驟329,接入認(rèn)證中心根據(jù)認(rèn)證響應(yīng)中的認(rèn)證信息對用戶進(jìn)行驗(yàn)證。
[0072]步驟330,接入認(rèn)證中心向管理平臺返回認(rèn)證結(jié)果。
[0073]步驟331,管理平臺根據(jù)驗(yàn)證結(jié)果和預(yù)先設(shè)定的綁定規(guī)則,確定綁定關(guān)系是否合 法。
[0074]步驟332,管理平臺將綁定驗(yàn)證結(jié)果簽名后返回給客戶端程序。
[0075]步驟333,客戶端程序?qū)⒑灻慕壎?yàn)證結(jié)果提交給智能卡。
[0076]步驟334,智能卡對簽名進(jìn)行驗(yàn)證,并根據(jù)綁定驗(yàn)證結(jié)果判斷終端的合法性,并決 定是否提供服務(wù)。
[0077]上述實(shí)施例中,通過對認(rèn)證信息、綁定結(jié)果進(jìn)行簽名驗(yàn)證,提高了綁定的安全可 靠,防止綁定關(guān)系被偽造。[0078]圖4示出本發(fā)明的移動(dòng)終端智能卡與用戶識別模塊安全綁定方法的又一個(gè)實(shí)施例的流程圖。
[0079]管理平臺與移動(dòng)終端間通信由管理平臺和智能卡加密通信。管理平臺驗(yàn)證智能卡合法后,對終端的認(rèn)證和綁定驗(yàn)證過程如下:
[0080]如圖4所示,步驟411,移動(dòng)終端上的客戶端程序向網(wǎng)絡(luò)側(cè)管理平臺發(fā)起接入請求。
[0081]步驟412,管理平臺向移動(dòng)終端上的客戶端程序發(fā)起智能卡身份認(rèn)證請求。
[0082]步驟413,客戶端程序向智能卡發(fā)送智能卡身份認(rèn)證請求。
[0083]步驟414,智能卡生成身份認(rèn)證信息。
[0084]步驟415,智能卡向客戶端程序發(fā)送智能卡身份認(rèn)證響應(yīng),其中包括身份認(rèn)證信息。
[0085]步驟416,客戶端程序向管理平臺轉(zhuǎn)發(fā)智能卡身份認(rèn)證響應(yīng)。
[0086]步驟417,管理平臺驗(yàn)證智能卡身份。智能卡身份驗(yàn)證通過后,進(jìn)行后續(xù)的過程。
[0087]步驟418,管理平臺向接入認(rèn)證中心發(fā)送獲取認(rèn)證向量請求。
[0088]步驟419,接入認(rèn)證中心向管理平臺返回一組認(rèn)證向量。
[0089]步驟420,管理平臺根據(jù)認(rèn)證向量,生成加密后的接入認(rèn)證請求發(fā)送給客戶端程序。
[0090]步驟421,客戶端程序?qū)⒓用艿慕尤胝J(rèn)證請求發(fā)送給智能卡。
[0091]步驟422,智能卡對加密的接入認(rèn)證請求進(jìn)行解密。
[0092]步驟423,智能卡將解密后的認(rèn)證請求返回給客戶端程序。
[0093]步驟424,客戶端程序?qū)⒄J(rèn)證請求發(fā)送給用戶識別模塊.[0094]步驟425,用戶識別模塊計(jì)算生成認(rèn)證信息。
[0095]步驟426,用戶識別模塊將認(rèn)證信息通過認(rèn)證響應(yīng)返回給客戶端程序。
[0096]步驟427,客戶端程序?qū)⒄J(rèn)證響應(yīng)提交給智能卡。
[0097]步驟428,智能卡對認(rèn)證響應(yīng)進(jìn)行加密。
[0098]步驟429,智能卡將加密后的認(rèn)證響應(yīng)返回給客戶端程序。
[0099]步驟430,客戶端程序?qū)⒓用芎蟮恼J(rèn)證響應(yīng)回復(fù)給管理平臺。
[0100]步驟431,管理平臺解密認(rèn)證響應(yīng),并驗(yàn)證其合法性;管理平臺將認(rèn)證響應(yīng)交由接入認(rèn)證中心驗(yàn)證。
[0101]步驟432,接入認(rèn)證中心驗(yàn)證用戶。
[0102]步驟433,接入認(rèn)證中心將認(rèn)證結(jié)果發(fā)送給管理平臺。
[0103]步驟434,管理平臺根據(jù)驗(yàn)證結(jié)果和預(yù)先設(shè)定的綁定規(guī)則,確定綁定關(guān)系是否合法。
[0104]步驟435,管理平臺將綁定驗(yàn)證結(jié)果加密后返回給客戶端程序。
[0105]步驟436,客戶端程序?qū)⒓用艿慕壎?yàn)證結(jié)果提交給智能卡。
[0106]步驟437,智能卡解密綁定驗(yàn)證結(jié)果,根據(jù)綁定驗(yàn)證結(jié)果判斷終端的合法性,并決定是否提供服務(wù)。
[0107]上述實(shí)施例中,通過對認(rèn)證信息、綁定結(jié)果進(jìn)行加密,提高了綁定的安全可靠,防止綁定關(guān)系被偽造。[0108]圖5示出本發(fā)明的網(wǎng)絡(luò)側(cè)管理平臺的一個(gè)實(shí)施例的結(jié)構(gòu)圖。如圖5所示,該網(wǎng)絡(luò) 側(cè)管理平臺可應(yīng)用于移動(dòng)終端智能卡與用戶識別模塊安全綁定,包括:安全連接建立模塊 51,用于和移動(dòng)終端建立基于智能卡的安全連接;接入認(rèn)證模塊52,用于基于安全連接在 移動(dòng)終端的用戶識別模塊與網(wǎng)絡(luò)側(cè)接入認(rèn)證中心之間模擬接入認(rèn)證流程;綁定關(guān)系驗(yàn)證模 塊53,用于根據(jù)接入認(rèn)證結(jié)果和預(yù)先設(shè)定的綁定規(guī)則,驗(yàn)證智能卡和用戶識別模塊之間的 綁定關(guān)系,將綁定關(guān)系驗(yàn)證結(jié)果發(fā)送給智能卡,以便智能卡根據(jù)綁定關(guān)系驗(yàn)證結(jié)果確定是 否提供服務(wù)。智能卡例如包括TF或SD接口的CPU卡、或移動(dòng)可信模塊MTM ;和/或用戶識 別模塊包括WM、SM、或USIM。綁定規(guī)則可以規(guī)定智能卡和與用戶信號信息相關(guān)的用戶或 用戶群之間的綁定關(guān)系,限制智能卡只能供特定的用戶、用戶群使用。
[0109]圖6示出本發(fā)明的網(wǎng)絡(luò)側(cè)管理平臺的另一個(gè)實(shí)施例的結(jié)構(gòu)圖。如圖6所示,該實(shí) 施例中網(wǎng)絡(luò)側(cè)管理平臺包括:安全連接建立模塊61、接入認(rèn)證模塊52、和綁定關(guān)系驗(yàn)證模 塊63。其中,安全連接建立模塊61包括:智能卡認(rèn)證單元611,用于在移動(dòng)終端接入網(wǎng)絡(luò)后 對智能卡進(jìn)行身份認(rèn)證;關(guān)鍵信息保護(hù)模塊612,用于智能卡身份認(rèn)證通過后,對移動(dòng)終端 和網(wǎng)絡(luò)側(cè)管理平臺之間的通信關(guān)鍵信息進(jìn)行加密、簽名。
[0110]在一個(gè)實(shí)施例中,綁定關(guān)系驗(yàn)證模塊63包括:綁定規(guī)則存儲單元631,用于存儲智 能卡和用戶識別模塊之間的綁定規(guī)則;綁定關(guān)系驗(yàn)證單元632,用于根據(jù)接入認(rèn)證結(jié)果和 預(yù)先設(shè)定的綁定規(guī)則,驗(yàn)證智能卡和用戶識別模塊之間的綁定關(guān)系,將綁定關(guān)系驗(yàn)證結(jié)果 發(fā)送給智能卡,以便智能卡根據(jù)綁定關(guān)系驗(yàn)證結(jié)果確定是否提供服務(wù)。
[0111]圖5-6實(shí)施例中管理平臺可以參見上文中關(guān)于方法的對應(yīng)描述,為簡潔起見在此 不再詳細(xì)描述。
[0112]本文中的多個(gè)實(shí)施例實(shí)現(xiàn)了移動(dòng)終端智能卡與用戶識別模塊的安全綁定,限制智 能卡在特定的移動(dòng)終端上使用,從而起到智能卡防盜用、智能卡鎖定的作用,既增強(qiáng)智能卡 的安全性,又可保障運(yùn)營商的利益。
[0113]至此,已經(jīng)詳細(xì)描述了根據(jù)本發(fā)明的智能卡和用戶識別模塊安全綁定方法和系 統(tǒng)。為了避免遮蔽本發(fā)明的構(gòu)思,沒有描述本領(lǐng)域所公知的一些細(xì)節(jié)。本領(lǐng)域技術(shù)人員根 據(jù)上面的描述,完全可以明白如何實(shí)施這里公開的技術(shù)方案。
[0114]可能以許多方式來實(shí)現(xiàn)本發(fā)明的方法和系統(tǒng)。例如,可通過軟件、硬件、固件或者 軟件、硬件、固件的任何組合來實(shí)現(xiàn)本發(fā)明的方法和系統(tǒng)。用于所述方法的步驟的上述順序 僅是為了進(jìn)行說明,本發(fā)明的方法的步驟不限于以上具體描述的順序,除非以其它方式特 別說明。此外,在一些實(shí)施例中,還可將本發(fā)明實(shí)施為記錄在記錄介質(zhì)中的程序,這些程序 包括用于實(shí)現(xiàn)根據(jù)本發(fā)明的方法的機(jī)器可讀指令。因而,本發(fā)明還覆蓋存儲用于執(zhí)行根據(jù) 本發(fā)明的方法的程序的記錄介質(zhì)。
[0115]雖然已經(jīng)通過示例對本發(fā)明的一些特定實(shí)施例進(jìn)行了詳細(xì)說明,但是本領(lǐng)域的技 術(shù)人員應(yīng)該理解,以上示例僅是為了進(jìn)行說明,而不是為了限制本發(fā)明的范圍。本領(lǐng)域的技 術(shù)人員應(yīng)該理解,可在不脫離本發(fā)明的范圍和精神的情況下,對以上實(shí)施例進(jìn)行修改。本發(fā) 明的范圍由所附權(quán)利要求來限定。
【權(quán)利要求】
1.一種移動(dòng)終端智能卡與用戶識別模塊安全綁定方法,其特征在于,包括:網(wǎng)絡(luò)側(cè)管理平臺和所述移動(dòng)終端建立基于所述智能卡的安全連接;基于所述安全連接在所述移動(dòng)終端的用戶識別模塊與網(wǎng)絡(luò)側(cè)接入認(rèn)證中心之間模擬接入認(rèn)證流程;所述網(wǎng)絡(luò)側(cè)管理平臺根據(jù)接入認(rèn)證結(jié)果和預(yù)先設(shè)定的綁定規(guī)則,驗(yàn)證所述智能卡和所述用戶識別模塊之間的綁定關(guān)系,將綁定關(guān)系驗(yàn)證結(jié)果發(fā)送給所述智能卡,以便所述智能卡根據(jù)所述綁定關(guān)系驗(yàn)證結(jié)果確定是否提供服務(wù)。
2.如權(quán)利要求1所述的方法,其特征在于,所述基于所述安全連接在所述移動(dòng)終端的用戶識別模塊與網(wǎng)絡(luò)側(cè)接入認(rèn)證中心之間模擬接入認(rèn)證流程包括:所述網(wǎng)絡(luò)側(cè)管理平臺模擬移動(dòng)通信網(wǎng)絡(luò)中拜訪位置寄存器VLR網(wǎng)元的角色從接入認(rèn)證中心取得認(rèn)證向量,向所述移動(dòng)終端的客戶端程序發(fā)起認(rèn)證請求;所述客戶端程序?qū)⒄J(rèn)證請求提交給所述用戶識別模塊,得到所述用戶識別模塊返回的認(rèn)證響應(yīng);所述客戶端程序?qū)⑺稣J(rèn)證響應(yīng)經(jīng)所述安全連接返回給所述網(wǎng)絡(luò)側(cè)管理平臺;所述網(wǎng)絡(luò)側(cè)管理平臺確認(rèn)消息合法后,將該響應(yīng)提交給接入認(rèn)證中心進(jìn)行驗(yàn)證;所述網(wǎng)絡(luò)側(cè)管理平臺得到認(rèn)證結(jié)果。
3.如權(quán)利要求1所述的方法,其特征在于,所述移動(dòng)終端和網(wǎng)絡(luò)側(cè)管理平臺建立基于所述智能卡的安全連接包括:所述移動(dòng)終端接入網(wǎng)絡(luò)后 所述網(wǎng)絡(luò)側(cè)管理平臺對所述智能卡進(jìn)行身份認(rèn)證;所述智能卡身份認(rèn)證通過后,所述移動(dòng)終端和所述網(wǎng)絡(luò)側(cè)管理平臺之間的通信關(guān)鍵信息分別由所述網(wǎng)絡(luò)側(cè)管理平臺和所述智能卡進(jìn)行加密、簽名,經(jīng)所述網(wǎng)絡(luò)側(cè)管理平臺和所述智能卡確認(rèn)。
4.如權(quán)利要求3所述的方法,其特征在于,所述關(guān)鍵信息包括所述移動(dòng)終端的認(rèn)證響應(yīng)、所述網(wǎng)絡(luò)側(cè)管理平臺返回的綁定關(guān)系驗(yàn)證結(jié)果。
5.如權(quán)利要求1至4中任意一項(xiàng)所述的方法,其特征在于,所述智能卡包括閃存TF或安全數(shù)碼SD接口的CPU卡、或移動(dòng)可信模塊MTM ;和/或所述用戶識別模塊包括用戶識別模塊WM、用戶識別卡SM、或全球用戶識別卡USM。
6.如權(quán)利要求1所述的方法,其特征在于,所述綁定規(guī)則規(guī)定智能卡和與用戶信號信息相關(guān)的用戶或用戶群之間的綁定關(guān)系,限制智能卡只能供特定的用戶、用戶群使用。
7.—種網(wǎng)絡(luò)側(cè)管理平臺,應(yīng)用于移動(dòng)終端智能卡與用戶識別模塊安全綁定,其特征在于,包括:安全連接建立模塊,用于和所述移動(dòng)終端建立基于所述智能卡的安全連接;接入認(rèn)證模塊,用于基于所述安全連接在所述移動(dòng)終端的用戶識別模塊與網(wǎng)絡(luò)側(cè)接入認(rèn)證中心之間模擬接入認(rèn)證流程;綁定關(guān)系驗(yàn)證模塊,用于根據(jù)接入認(rèn)證結(jié)果和預(yù)先設(shè)定的綁定規(guī)則,驗(yàn)證所述智能卡和所述用戶識別模塊之間的綁定關(guān)系,將綁定關(guān)系驗(yàn)證結(jié)果發(fā)送給所述智能卡,以便所述智能卡根據(jù)所述綁定關(guān)系驗(yàn)證結(jié)果確定是否提供服務(wù)。
8.如權(quán)利要求7所述的管理平臺,其特征在于,所述安全連接建立模塊包括:智能卡認(rèn)證單元,用于在所述移動(dòng)終端接入網(wǎng)絡(luò)后對所述智能卡進(jìn)行身份認(rèn)證;關(guān)鍵信息保護(hù)模塊,用于所述智能卡身份認(rèn)證通過后,對所述移動(dòng)終端和所述網(wǎng)絡(luò)側(cè)管理平臺之間的通信關(guān)鍵信息進(jìn)行加密、簽名。
9.如權(quán)利要求7所述的管理平臺,其特征在于,所述綁定關(guān)系驗(yàn)證模塊包括:綁定規(guī)則存儲單元,用于存儲所述智能卡和所述用戶識別模塊之間的綁定規(guī)則;綁定關(guān)系驗(yàn)證單元,用于根據(jù)接入認(rèn)證結(jié)果和預(yù)先設(shè)定的綁定規(guī)則,驗(yàn)證所述智能卡和所述用戶識別模塊之間的綁定關(guān)系,將綁定關(guān)系驗(yàn)證結(jié)果發(fā)送給所述智能卡,以便所述智能卡根據(jù)所述綁定關(guān)系驗(yàn)證結(jié)果確定是否提供服務(wù)。
10.如權(quán)利要求7至9中任意一項(xiàng)所述的管理平臺,其特征在于,所述智能卡包括閃存TF或安全數(shù)碼SD接口的CPU卡、或移動(dòng)可信模塊MTM ;和/或所述用戶識別模塊包括用戶識別模塊WM、用戶識別卡SM、或全球用戶識別卡USM。
11.如權(quán)利要求7所 述的管理平臺,其特征在于,所述綁定規(guī)則規(guī)定智能卡和與用戶信號信息相關(guān)的用戶或用戶群之間的綁定關(guān)系,限制智能卡只能供特定的用戶、用戶群使用。
12.—種移動(dòng)終端智能卡與用戶識別模塊安全綁定系統(tǒng),其特征在于,包括:移動(dòng)終端,所述移動(dòng)終端包括智能卡和用戶識別模塊;以及如權(quán)利要求7至11中任意一項(xiàng)所述的網(wǎng)絡(luò)側(cè)管理平臺。
【文檔編號】H04W12/02GK103581873SQ201210259827
【公開日】2014年2月12日 申請日期:2012年7月25日 優(yōu)先權(quán)日:2012年7月25日
【發(fā)明者】劉國榮, 劉東鑫, 沈軍, 金華敏, 馮明, 汪來富 申請人:中國電信股份有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
1