專利名稱:一種在移動網(wǎng)絡(luò)中實(shí)現(xiàn)機(jī)卡綁定的方法、系統(tǒng)和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動通信技術(shù)領(lǐng)域,尤其涉及一種在移動網(wǎng)絡(luò)中實(shí)現(xiàn)機(jī)卡綁定的方法、系統(tǒng)和設(shè)備。
背景技術(shù):
將移動終端與其中的智能卡進(jìn)行綁定簡稱為機(jī)卡綁定。通過機(jī)卡綁定,可以實(shí)現(xiàn)更換智能卡后終端無法正常工作的目的。例如,具備機(jī)卡綁定功能的移動終端,若出現(xiàn)遺失或被盜的情況,插入新的SIM卡將無法正常使用,從而在一定程度上保障移動終端持有人的權(quán)益,降低盜竊動機(jī)。現(xiàn)有的機(jī)卡綁定技術(shù)方案包括 在移動終端和智能卡內(nèi)預(yù)置匹配的對稱密鑰例如,在移動終端和SIM卡中預(yù)置相同的密鑰,在開機(jī)過程或使用過程中,移動終端和SM卡雙向認(rèn)證,如果密鑰不匹配,則認(rèn)證失敗,從而實(shí)現(xiàn)機(jī)卡綁定。可見,現(xiàn)有的機(jī)卡綁定技術(shù)方案,需要在移動終端和智能卡中預(yù)置密鑰,降低了終端和智能卡的配對靈活性。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明提供了一種在移動網(wǎng)絡(luò)中實(shí)現(xiàn)機(jī)卡綁定的方法、系統(tǒng)和設(shè)備,以便提高移動終端和智能卡的配對靈活性。本發(fā)明采用的技術(shù)方案具體是這樣實(shí)現(xiàn)的一種在移動網(wǎng)絡(luò)中實(shí)現(xiàn)機(jī)卡綁定的方法,該方法包括移動終端中的智能卡與網(wǎng)絡(luò)側(cè)鑒權(quán)通過后,在智能卡和網(wǎng)絡(luò)側(cè)存儲通信密鑰Kc
信息;移動終端獲取該移動終端中的智能卡的IMSI信息和Kc信息,將本次獲取的IMSI信息與該移動終端存儲的MSI信息進(jìn)行比較,在兩者一致時,利用本次獲取的Kc信息,更新移動終端存儲的Kc信息,在兩者不一致時,移動終端根據(jù)用戶權(quán)限確定是否更新該移動終端存儲的頂SI信息和Kc信息;移動終端利用自身存儲的IMSI信息和Kc信息與網(wǎng)絡(luò)側(cè)通信。一種在移動網(wǎng)絡(luò)中實(shí)現(xiàn)機(jī)卡綁定的系統(tǒng),該系統(tǒng)包括移動終端、智能卡和網(wǎng)絡(luò)側(cè)鑒權(quán)設(shè)備;所述智能卡,用于與所述網(wǎng)絡(luò)側(cè)鑒權(quán)設(shè)備進(jìn)行鑒權(quán),在鑒權(quán)通過時,存儲通信密鑰Kc fg 息;所述網(wǎng)絡(luò)側(cè)鑒權(quán)設(shè)備,用于在所述智能卡鑒權(quán)通過后,存儲所述通信密鑰Kc信息;所述移動終端,用于獲取該移動終端中的智能卡的IMSI信息和Kc信息,將本次獲取的MSI信息與該移動終端存儲的IMSI信息進(jìn)行比較,在兩者一致時,利用本次獲取的Kc信息,更新移動終端存儲的Kc信息,在兩者不一致時,移動終端根據(jù)用戶權(quán)限確定是否更新該移動終端存儲的IMSI信息和Kc信息;移動終端利用自身存儲的IMSI信息和Kc信息與網(wǎng)絡(luò)側(cè)通信。一種移動終端,該移動終端包括通信模塊和安全模塊;所述通信模塊,用于獲取該移動終端中的智能卡的IMSI信息和Kc信息,根據(jù)所述安全模塊中存儲的Kc信息與網(wǎng)絡(luò)側(cè)通信;所述安全模塊,用于存儲所述通信模塊首次獲取的MSI信息和Kc信息,將所述通信模塊本次獲取的MSI信息與安全模塊存儲的IMSI信息進(jìn)行比較,在兩者一致時,利用所述本次獲取的Kc信息,更新該安全模塊存儲的Kc信息,在兩者不一致時,根據(jù)用戶權(quán)限確定是否更新該安全模塊存儲的頂SI信息和Kc信息。
一種業(yè)務(wù)平臺,該業(yè)務(wù)平臺包括通信模塊、獲取模塊、校驗(yàn)?zāi)K和業(yè)務(wù)請求處理模塊;所述通信模塊,用于接收業(yè)務(wù)請求消息;所述獲取模塊,用于從該業(yè)務(wù)請求消息中讀取IMSI信息,將該IMSI信息發(fā)給網(wǎng)絡(luò)側(cè)鑒權(quán)設(shè)備,接收網(wǎng)絡(luò)側(cè)鑒權(quán)設(shè)備返回的、與該頂SI信息對應(yīng)的Kc信息;所述校驗(yàn)?zāi)K,用于根據(jù)所述獲取模塊獲取的Kc信息,對所述業(yè)務(wù)請求消息中攜帶的加密信息進(jìn)行校驗(yàn);所述業(yè)務(wù)請求處理模塊,用于在校驗(yàn)?zāi)K對業(yè)務(wù)請求消息校驗(yàn)通過時,對業(yè)務(wù)請求消息中的應(yīng)用數(shù)據(jù)進(jìn)行處理,在校驗(yàn)?zāi)K對業(yè)務(wù)請求消息校驗(yàn)不通過時,向移動終端返回業(yè)務(wù)請求失敗消息。一種安全芯片,該安全芯片包括存儲模塊、更新模塊和通信信息生成模塊;所述存儲模塊,用于存儲MSI信息和Kc信息;所述更新模塊,用于在本次接收的IMSI信息與所述存儲模塊中的IMSI信息不一致時,根據(jù)用戶權(quán)限確定是否更新所述存儲模塊中的MSI信息和Kc信息;所述通信信息生成模塊,用于生成隨機(jī)數(shù)RAND1,利用所述存儲模塊中的Kc信息對該隨機(jī)數(shù)RANDl進(jìn)行加密生成會話密鑰Ks,利用所述會話密鑰Ks對該安全芯片的序列號Sn、所述存儲模塊中的IMSI信息、所述隨機(jī)數(shù)RANDl以及應(yīng)用數(shù)據(jù)進(jìn)行加密計(jì)算得到MAC值;其中,所述安全芯片的序列號Sn、所述存儲模塊中的MSI信息、所述隨機(jī)數(shù)RANDl以及所述MAC值用于攜帶在業(yè)務(wù)請求消息中發(fā)給業(yè)務(wù)平臺。由上述方案可見,本發(fā)明在移動終端需要更新IMSI信息和Kc信息時,即在移動終端獲取的MSI信息與該移動終端存儲的IMSI信息不同時,根據(jù)用戶權(quán)限確定是否更新該移動終端存儲的IMSI信息,如果移動終端識別出用戶沒有更新權(quán)限,將無法更新移動終端中存儲的Kc信息,由于移動終端利用自身存儲的MSI信息與網(wǎng)絡(luò)側(cè)進(jìn)行通信,而網(wǎng)絡(luò)側(cè)在和智能卡進(jìn)行鑒權(quán)成功后會存儲該智能卡的MSI信息,換言之,網(wǎng)絡(luò)側(cè)利用網(wǎng)絡(luò)側(cè)鑒權(quán)設(shè)備存儲的Kc信息與所述移動終端通信,因此,如果移動終端在更換智能卡時沒能更新該移動終端存儲的Kc信息,將導(dǎo)致移動終端中當(dāng)前存儲的Kc信息與網(wǎng)絡(luò)側(cè)存儲的Kc信息不同,進(jìn)而導(dǎo)致移動終端無法與網(wǎng)絡(luò)側(cè)通信,從而實(shí)現(xiàn)了機(jī)卡綁定。由于本發(fā)明中,如果移動終端識別出用戶具有更新權(quán)限,則移動終端能夠更新該移動終端存儲的Kc信息,從而使得該移動終端存儲的Kc信息與網(wǎng)絡(luò)側(cè)存儲的Kc信息相同,實(shí)現(xiàn)移動終端與網(wǎng)絡(luò)側(cè)的正常通信,因此移動終端可以與多個智能卡配對,提高了移動終端與智能卡的配對靈活性。
圖I是本發(fā)明提供的移動網(wǎng)絡(luò)中實(shí)現(xiàn)機(jī)卡綁定的方法流程圖。圖2是GSM網(wǎng)絡(luò)中的機(jī)卡綁定系統(tǒng)組成示意圖。圖3是GSM網(wǎng)絡(luò)中移動終端的登網(wǎng)鑒權(quán)流程圖。圖4是本發(fā)明提供的移動終端與智能卡的綁定流程圖。圖5是移動終端利用Kc信息與業(yè)務(wù)平臺之間進(jìn)行信息交互的流程圖。 圖6是本發(fā)明提供的移動網(wǎng)絡(luò)中實(shí)現(xiàn)機(jī)卡綁定的系統(tǒng)組成示意圖。圖7是本發(fā)明提供的移動終端結(jié)構(gòu)圖。圖8是本發(fā)明提供的業(yè)務(wù)平臺結(jié)構(gòu)圖。
具體實(shí)施例方式圖I是本發(fā)明提供的移動網(wǎng)絡(luò)中實(shí)現(xiàn)機(jī)卡綁定的方法流程圖。 如圖I所示,該方法包括步驟101,移動終端中的智能卡與網(wǎng)絡(luò)側(cè)進(jìn)行鑒權(quán),如果鑒權(quán)通過,在智能卡和網(wǎng)絡(luò)側(cè)存儲通信密鑰Kc信息。步驟102,移動終端獲取該移動終端中的智能卡的MSI信息和Kc信息。步驟103,移動終端判斷步驟102是否為所述移動終端首次獲取MSI信息和Kc信息,如果是,執(zhí)行步驟104,否則,執(zhí)行步驟105。步驟104,移動終端存儲首次獲取的MSI信息和Kc信息,進(jìn)入步驟108。步驟105,移動終端將本次獲取的MSI信息與該移動終端存儲的MSI信息進(jìn)行比較,如果一致,執(zhí)行步驟106,如果不一致,執(zhí)行步驟107。步驟106,利用本次獲取的Kc信息,更新移動終端存儲的Kc信息,進(jìn)入步驟108。步驟107,移動終端根據(jù)用戶權(quán)限確定是否更新該移動終端存儲的IMSI信息和Kc信息,進(jìn)入步驟108。本步驟中,移動終端可以接收用戶口令,對該用戶口令進(jìn)行校驗(yàn),確定用戶具有更新權(quán)限,否則,用戶不具有更新權(quán)限;或者,移動終端根據(jù)用戶的身體體征,確定用戶是否具有更新權(quán)限,例如,移動終端根據(jù)用戶的指紋特征、聲音特征等確定用戶是否具有更新權(quán)限。移動終端在用戶具有更新權(quán)限時,利用移動終端本次獲取的IMSI信息和Kc信息,更新該移動終端存儲的IMSI信息和Kc信息,在用戶不具有更新權(quán)限時,保持移動終端存儲的MSI信息和Kc信息不變。步驟103 104中,移動終端直接存儲首次獲取的IMSI信息和Kc信息,在實(shí)際應(yīng)用中,移動終端也可以先識別該用戶是否具有更新權(quán)限,在用戶具有更新權(quán)限時,再存儲移動終端首次獲取的頂SI信息和Kc信息。步驟108,移動終端利用自身存儲的MSI信息和Kc信息與網(wǎng)絡(luò)側(cè)通信。
圖I所示方法中,移動終端可以在每次智能卡與網(wǎng)絡(luò)側(cè)的鑒權(quán)通過后,獲取該移動終端中的智能卡的MSI信息和Kc信息,從而縮短業(yè)務(wù)請求的流程。移動終端也可以在每次發(fā)起業(yè)務(wù)請求前,獲取該移動終端中的智能卡的IMSI信息和Kc信息,從而有效利用Kc信息對業(yè)務(wù)請求內(nèi)容進(jìn)行加密保護(hù)。在步驟108中,移動終端利用自身存儲的MSI信息和Kc信息與網(wǎng)絡(luò)側(cè)通信可以包括移動終端向業(yè)務(wù)平臺發(fā)送業(yè)務(wù)請求消息,該業(yè)務(wù)請求消息中攜帶有該移動終端存儲的MSI信息、應(yīng)用數(shù)據(jù)、以及根據(jù)移動終端存儲的Kc信息得到的完整性保護(hù)信息。業(yè)務(wù)平臺根據(jù)業(yè)務(wù)請求消息中攜帶的MSI信息,獲取該移動終端的拜訪位置寄存器VLR或歸屬位置存儲器HLR中存儲的、與該IMSI信息對應(yīng)的Kc信息,業(yè)務(wù)平臺根據(jù)所述VLR或HLR中獲取的Kc信息對所述業(yè)務(wù)請求消息中攜帶的信息進(jìn)行校驗(yàn),如果校驗(yàn)通過,對業(yè)務(wù)請求消息中的應(yīng)用數(shù)據(jù)進(jìn)行處理,如果校驗(yàn)不通過,向移動終端返回業(yè)務(wù)請求失 敗消息。圖I所示方法中的移動終端,可以設(shè)置有安全模塊,移動終端在每次獲取MSI信息和Kc信息后,都將獲取的IMSI信息和Kc信息發(fā)給所述安全模塊,安全模塊在首次接收到MSI信息和Kc信息時,存儲該首次接收到的IMSI信息和Kc信息,如果不是首次接收到MSI信息和Kc信息,則安全模塊判斷本次接收到的IMSI信息是否與該安全模塊存儲的IMSI信息一致,如果一致,則更新該安全模塊存儲的IMSI信息,如果不一致,則提示用戶輸入用戶口令,對接收的用戶口令進(jìn)行校驗(yàn),在用戶口令校驗(yàn)通過時,更新該安全模塊存儲的IMSI信息,否則,保持該安全模塊存儲的IMSI信息不變。移動終端中的安全模塊可以是安全芯片,也可以是軟件模塊。圖I所示方法適用于GSM網(wǎng)絡(luò)、UMTS網(wǎng)絡(luò)和LTE網(wǎng)絡(luò)等移動網(wǎng)絡(luò),不同的移動網(wǎng)絡(luò)在適用圖I所示方法時,區(qū)別在于智能卡與網(wǎng)絡(luò)側(cè)的鑒權(quán)流程不同,但是步驟102 步驟108的流程是相同的。由圖I可見,圖I所示方法涉及到移動終端與網(wǎng)絡(luò)側(cè)的鑒權(quán)流程、移動終端與智能卡的綁定流程、以及移動終端利用Kc信息與業(yè)務(wù)平臺之間的信息交互流程。下面以移動網(wǎng)絡(luò)為GSM網(wǎng)絡(luò)、且移動終端中設(shè)置有安全芯片(SecureElement,SE)為例,分別對所述鑒權(quán)流程、所述綁定流程和所述信息交互流程進(jìn)行詳細(xì)說明,所舉例子并不用于限制本發(fā)明。圖2是GSM網(wǎng)絡(luò)中的機(jī)卡綁定系統(tǒng)組成示意圖。如圖2所示,移動終端(Mobile Equipment,ME)中包含SIM卡及安全芯片(SecureElement, SE);移動終端通過移動網(wǎng)絡(luò)與業(yè)務(wù)平臺及移動鑒權(quán)中心(Home LocationRegister, HLR)相連;業(yè)務(wù)平臺與HLR之間保持連接。在圖2中,SE通過唯一的序列號Sn (Serial Number)進(jìn)行標(biāo)識,SIM卡通過唯一的國際移動用戶識別碼(International Mobile SubscriberIdentification Number, IMSI)進(jìn)行標(biāo)識,SIM卡和HLR中保存相同的Ki密鑰用于ME登網(wǎng)鑒權(quán)。圖3是GSM網(wǎng)絡(luò)中移動終端的登網(wǎng)鑒權(quán)流程圖。如圖3所不,SIM卡與鑒權(quán)中心(Authentication Center, AuC)之間針對同一 IMSI保存相同的密鑰Ki,VLR/HLR對SM卡進(jìn)行鑒權(quán),即判斷SRES和XRES是否相同,若相同則鑒權(quán)通過,移動終端與VLR/HLR之間通過Kc進(jìn)行加密通信。其中,Kc既保存在SM卡,也保存在VLR/HLR中。圖4是本發(fā)明提供的移動終端與智能卡的綁定流程圖。如圖4所示,該流程包括步驟401,ME從SM卡上獲取MSI及Kc信息并將其告知SE。在步驟401之前,ME可以借助SM卡完成登網(wǎng)鑒權(quán)。步驟402,SE判斷是否是第一次收到MSI信息和Kc信息,如果是,執(zhí)行步驟403,否則,執(zhí)行步驟404。步驟403,SE保存第一次收到的MSI及Kc信息,結(jié)束本流程。 步驟404,SE將保存的MSI信息與ME提交的MSI進(jìn)行比較,若兩者一致,則執(zhí)行步驟405,否則,執(zhí)行步驟406。步驟405,SE更新自身保存的MSI信息和Kc信息,并向ME返回成功指示,結(jié)束本流程。步驟406,SE通知ME該SE接收的MSI信息與該SE存儲的MSI信息不一致。步驟407,ME提示用戶輸入用戶口令。步驟408,ME接收用戶口令。步驟409,ME將接收的用戶口令傳遞給SE。步驟410,SE校驗(yàn)用戶口令,若校驗(yàn)通過,執(zhí)行步驟411,否則,執(zhí)行步驟412。步驟411,SE更新頂SI和Kc信息。步驟412,SE不更新MSI信息和Kc信息。在步驟411-412中,SE可以向ME返回口令校驗(yàn)結(jié)果。由圖4可見,對于用戶正常的換卡行為,即ME和SE不更換,用戶更換SM/US頂卡,可以通過圖4所示流程實(shí)現(xiàn)新卡與移動終端的綁定。具體地,在SE中預(yù)先保存有用戶口令,例如可以在SE初始化過程中設(shè)定用戶口令,當(dāng)用戶換卡時,SE檢測出新卡的IMSI信息與該SE存儲的IMSI信息不同,提示輸入用戶口令,在SE接收的用戶口令與該SE預(yù)先保存的用戶口令相同時,SE更新存儲的IMSI信息和Kc信息,即實(shí)現(xiàn)新卡與移動終端的綁定。如果用戶輸入的用戶口令與SE中預(yù)先存儲的用戶口令不同,很可能移動終端被未經(jīng)授權(quán)者使用,例如已經(jīng)被盜,SE拒絕更新IMSI信息和Kc信息,從而避免移動終端被未經(jīng)授權(quán)者使用。圖5是移動終端利用Kc信息與業(yè)務(wù)平臺之間進(jìn)行信息交互的流程圖。如圖5所示,該流程包括步驟501,ME將用戶發(fā)起的業(yè)務(wù)請求提交給SE。在本步驟之前,需要按照圖4的流程進(jìn)行ME中的智能卡與該ME的綁定,例如,可以在每次發(fā)起業(yè)務(wù)時,或者在每次登網(wǎng)鑒權(quán)后,按照圖4的流程進(jìn)行ME中的智能卡與該ME的綁定。其中,ME可以借助智能卡進(jìn)行登網(wǎng)鑒權(quán)。步驟502,SE內(nèi)部生成隨機(jī)數(shù)RAND1,利用Kc對RANDl進(jìn)行加密生成會話密鑰Ks。步驟503,SE向ME返回SE序列號Sn、該SE存儲的MSI信息、應(yīng)用數(shù)據(jù)、RANDl及MAC值,其中MAC值是利用Ks對SE序列號Sn、該SE存儲的MSI信息、應(yīng)用數(shù)據(jù)以及RANDl進(jìn)行計(jì)算得到的。其中,若要保證信息的機(jī)密性,還可以先利用Ks對應(yīng)用數(shù)據(jù)加密,然后再利用Ks對SE序列號Sn、該SE存儲的IMSI信息、對應(yīng)用數(shù)據(jù)的加密結(jié)果以及RANDl計(jì)算MAC 值。步驟504, ME向業(yè)務(wù)平臺提交業(yè)務(wù)請求。本步驟中,所述業(yè)務(wù)請求中攜帶有SE序列號Sn、該SE存儲的IMSI信息、應(yīng)用數(shù)據(jù)、RANDl 及 MAC 值。步驟505,業(yè)務(wù)平臺收到所述業(yè)務(wù)請求后,從所述業(yè)務(wù)請求中提取出MSI信息,提交至HLR。步驟506,HLR返回該HLR中存儲的、該MSI信息對應(yīng)的通信密鑰Kc信息。步驟507,業(yè)務(wù)平臺根據(jù)業(yè)務(wù)請求中攜帶的RANDl和HLR返回的Kc信息計(jì)算得到會話密鑰Ks’,并利用Ks’按照SE計(jì)算MAC值相同的方法,計(jì)算得到MAC’。 步驟508,業(yè)務(wù)平臺比較MAC與MAC’是否一致,如果一致,執(zhí)行步驟509,否則,執(zhí)行步驟510。步驟509,業(yè)務(wù)平臺對應(yīng)用數(shù)據(jù)進(jìn)行后續(xù)處理,例如,對應(yīng)用數(shù)據(jù)進(jìn)行解密和解析等,結(jié)束本流程。本步驟中,業(yè)務(wù)平臺還可以向ME返回業(yè)務(wù)請求成功的響應(yīng)消息。步驟510,業(yè)務(wù)平臺向ME返回業(yè)務(wù)請求失敗的消息。其中業(yè)務(wù)平臺可以在業(yè)務(wù)請求失敗的消息中設(shè)置失敗原因值,例如設(shè)置為非法使用移動終端。ME可以將該業(yè)務(wù)請求失敗的消息發(fā)給SE,則SE可以執(zhí)行鎖定操作,即鎖定SE中的應(yīng)用。根據(jù)上述方法,本發(fā)明還提供了實(shí)現(xiàn)機(jī)卡綁定的系統(tǒng)以及相應(yīng)的業(yè)務(wù)平臺、移動終端和安全芯片,具體請參見圖6 圖8。圖6是本發(fā)明提供的移動網(wǎng)絡(luò)中實(shí)現(xiàn)機(jī)卡綁定的系統(tǒng)組成示意圖。如圖6所示,該系統(tǒng)包括移動終端601、智能卡602和網(wǎng)絡(luò)側(cè)鑒權(quán)設(shè)備603。智能卡602,用于與網(wǎng)絡(luò)側(cè)鑒權(quán)設(shè)備603進(jìn)行鑒權(quán),在鑒權(quán)通過時,存儲通信密鑰Kc f目息。網(wǎng)絡(luò)側(cè)鑒權(quán)設(shè)備603,用于在智能卡602鑒權(quán)通過后,存儲所述通信密鑰Kc信息。移動終端601,用于獲取該移動終端601中的智能卡602的MSI信息和Kc信息,將本次獲取的MSI信息與該移動終端601存儲的IMSI信息進(jìn)行比較,在兩者一致時,利用本次獲取的Kc信息,更新移動終端601存儲的Kc信息,在兩者不一致時,移動終端601根據(jù)用戶權(quán)限確定是否更新該移動終端601存儲的IMSI信息和Kc信息;移動終端601利用自身存儲的MSI信息和Kc信息與網(wǎng)絡(luò)側(cè)通信。移動終端601,可以用于在移動終端601本次獲取的IMSI信息與該移動終端601存儲的IMSI信息不一致時,接收用戶口令,對該用戶口令進(jìn)行校驗(yàn),在校驗(yàn)通過時,確定用戶具有更新權(quán)限,否則,用戶不具有更新權(quán)限,或者,根據(jù)用戶的身體特征,確定用戶是否具有更新權(quán)限;移動終端601在用戶具有更新權(quán)限時,利用移動終端601本次獲取的IMSI信息和Kc信息,更新該移動終端601存儲的IMSI信息和Kc信息,在用戶不具有更新權(quán)限時,保持移動終端601存儲的IMSI信息和Kc信息不變。移動終端601,可以用于在每次智能卡602與網(wǎng)絡(luò)側(cè)的鑒權(quán)通過后,獲取該移動終端601中的智能卡602的IMSI信息和Kc信息,或者,用于在每次發(fā)起業(yè)務(wù)請求前,獲取該移動終端601中的智能卡602的MSI信息和Kc信息。網(wǎng)絡(luò)側(cè)鑒權(quán)設(shè)備603可以包括VLR或HLR,圖6所示系統(tǒng)還可以包括業(yè)務(wù)平臺。移動終端601,可以用于向業(yè)務(wù)平臺發(fā)送業(yè)務(wù)請求消息,該業(yè)務(wù)請求消息中攜帶有該移動終端601存儲的IMSI信息、應(yīng)用數(shù)據(jù)、以及根據(jù)移動終端601存儲的Kc信息得到的完整性保護(hù)信息。所述業(yè)務(wù)平臺,用于根據(jù)業(yè)務(wù)請求消息中攜帶的IMSI信息,獲取該移動終端601的VLR或HLR中存儲的、與該IMSI信息對應(yīng)的Kc信息,根據(jù)所述VLR或HLR中獲取的Kc信息,對所述業(yè)務(wù)請求消息中攜帶的信息進(jìn)行校驗(yàn),如果校驗(yàn)通過,對業(yè)務(wù)請求消息中的應(yīng)用數(shù)據(jù)進(jìn)行處理,如果校驗(yàn)不通過,向移動終端返回業(yè)務(wù)請求失敗消息。其中,移動終端601可以包括通信模塊和安全模塊。所述安全模塊,用于存儲MSI信息和Kc信息,根據(jù)該安全模塊存儲的Kc信息得·到完整性保護(hù)信息。所述通信模塊,用于向業(yè)務(wù)平臺發(fā)送業(yè)務(wù)請求消息,該業(yè)務(wù)請求消息中攜帶有應(yīng)用數(shù)據(jù)、所述安全模塊存儲的MSI信息、以及所述安全模塊得到的所述完整性保護(hù)信息。所述通信模塊,可以用于接收業(yè)務(wù)請求失敗消息。所述安全模塊,可以用于在所述通信模塊收到所述業(yè)務(wù)請求失敗消息后,執(zhí)行鎖定操作。所述業(yè)務(wù)平臺可以包括通信模塊、獲取模塊、校驗(yàn)?zāi)K和業(yè)務(wù)請求處理模塊。所述通信模塊,用于接收業(yè)務(wù)請求消息。所述獲取模塊,用于從該業(yè)務(wù)請求消息中讀取IMSI信息,將該IMSI信息發(fā)給移動終端的VLR或HLR,接收VLR或HLR返回的、與該MSI信息對應(yīng)的Kc信息。所述校驗(yàn)?zāi)K,用于根據(jù)所述Kc信息獲取模塊獲取的Kc信息,對所述業(yè)務(wù)請求消息中攜帶的信息進(jìn)行校驗(yàn)。所述業(yè)務(wù)請求處理模塊,用于在校驗(yàn)?zāi)K對業(yè)務(wù)請求消息校驗(yàn)通過時,對業(yè)務(wù)請求消息中的應(yīng)用數(shù)據(jù)進(jìn)行處理,在校驗(yàn)?zāi)K對業(yè)務(wù)請求消息校驗(yàn)不通過時,向移動終端返回業(yè)務(wù)請求失敗消息。所述安全模塊,可以用于生成隨機(jī)數(shù)RAND1,利用該安全模塊存儲的Kc信息對該隨機(jī)數(shù)RANDl進(jìn)行加密生成會話密鑰Ks,利用所述會話密鑰Ks對該安全模塊的序列號Sn、該安全模塊存儲的MSI信息、所述隨機(jī)數(shù)RANDl以及應(yīng)用數(shù)據(jù)進(jìn)行加密計(jì)算得到MAC值。所述通信模塊,可以用于將該安全模塊的序列號Sn、該安全模塊存儲的MSI信息、所述隨機(jī)數(shù)RAND1、所述應(yīng)用數(shù)據(jù)以及所述MAC值攜帶在業(yè)務(wù)請求消息中,向業(yè)務(wù)平臺發(fā)送所述業(yè)務(wù)請求消息。所述校驗(yàn)?zāi)K,可以用于根據(jù)從所述VLR或HLR中獲取的Kc信息,對所述業(yè)務(wù)請求消息中攜帶的隨機(jī)數(shù)RANDl進(jìn)行加密生成會話密鑰Ks,根據(jù)該校驗(yàn)?zāi)K生成的會話密鑰Ks,對所述業(yè)務(wù)請求消息中攜帶的序列號SruIMSI信息、隨機(jī)數(shù)RANDl和應(yīng)用數(shù)據(jù)進(jìn)行加密計(jì)算得到MAC值,判斷該校驗(yàn)?zāi)K自身計(jì)算得到的MAC值是否與所述業(yè)務(wù)請求消息中攜帶的MAC值相同,如果相同,校驗(yàn)通過,否則校驗(yàn)不通過。圖7是本發(fā)明提供的移動終端結(jié)構(gòu)圖。如圖7所示,該移動終端包括通信模塊701和安全模塊702。
通信模塊701,用于獲取該移動終端中的智能卡的MSI信息和Kc信息,根據(jù)安全模塊702中存儲的Kc信息與網(wǎng)絡(luò)側(cè)通信。安全模塊702,用于存儲通信模塊701首次獲取的MSI信息和Kc信息,將通信模塊701本次獲取的IMSI信息與安全模塊702存儲的IMSI信息進(jìn)行比較,在兩者一致時,利用所述本次獲取的Kc信息,更新該安全模塊702存儲的Kc信息,在兩者不一致時,根據(jù)用戶權(quán)限確定是否更新該安全模塊702存儲的IMSI信息和Kc信息。安全模塊702,用于在通信模塊701本次獲取的MSI信息與該安全模塊702存儲的IMSI信息不一致時,接收用戶口令,對該用戶口令進(jìn)行校驗(yàn),在校驗(yàn)通過時,確定用戶具 有更新權(quán)限,否則,用戶不具有更新權(quán)限,或者,根據(jù)用戶的身體特征,確定用戶是否具有更新權(quán)限;安全模塊702在用戶具有更新權(quán)限時,利用通信模塊701本次獲取的IMSI信息和Kc信息,更新該安全模塊702存儲的IMSI信息和Kc信息,在用戶不具有更新權(quán)限時,保持該安全模塊702存儲的IMSI信息和Kc信息不變。通信模塊701,可以用于在每次智能卡與網(wǎng)絡(luò)側(cè)的鑒權(quán)通過后,獲取該移動終端中的智能卡的MSI信息和Kc信息,或者,用于在每次發(fā)起業(yè)務(wù)請求前,獲取該移動終端中的智能卡的MSI信息和Kc信息。安全模塊702,可以用于生成隨機(jī)數(shù)RAND1,利用該安全模塊702存儲的Kc信息對該隨機(jī)數(shù)RANDl進(jìn)行加密生成會話密鑰Ks,利用所述會話密鑰Ks對該安全模塊702的序列號Sn、該安全模塊702存儲的IMSI信息、所述隨機(jī)數(shù)RANDl以及應(yīng)用數(shù)據(jù)進(jìn)行加密計(jì)算得到MAC值。通信模塊701,用于將該安全模塊702的序列號Sn、該安全模塊702存儲的MSI信息、所述隨機(jī)數(shù)RAND1、所述應(yīng)用數(shù)據(jù)以及所述MAC值攜帶在業(yè)務(wù)請求消息中,向業(yè)務(wù)平臺發(fā)送所述業(yè)務(wù)請求消息。通信模塊701,可以用于接收業(yè)務(wù)響應(yīng)消息。安全模塊702,可以用于在通信模塊701收到所述業(yè)務(wù)請求失敗消息后,鎖定該移
動終端。圖8是本發(fā)明提供的業(yè)務(wù)平臺結(jié)構(gòu)圖。如圖8所示,該業(yè)務(wù)平臺包括通信模塊801、獲取模塊802、校驗(yàn)?zāi)K803和業(yè)務(wù)請求處理模塊804。通信模塊801,用于接收業(yè)務(wù)請求消息。獲取模塊802,用于從該業(yè)務(wù)請求消息中讀取IMSI信息,將該IMSI信息發(fā)給網(wǎng)絡(luò)側(cè)鑒權(quán)設(shè)備,接收網(wǎng)絡(luò)側(cè)鑒權(quán)設(shè)備返回的、與該頂SI信息對應(yīng)的Kc信息。校驗(yàn)?zāi)K803,用于根據(jù)獲取模塊802獲取的Kc信息,對所述業(yè)務(wù)請求消息中攜帶的信息進(jìn)行校驗(yàn)。業(yè)務(wù)請求處理模塊804,用于在校驗(yàn)?zāi)K803對業(yè)務(wù)請求消息校驗(yàn)通過時,對業(yè)務(wù)請求消息中的應(yīng)用數(shù)據(jù)進(jìn)行處理,在校驗(yàn)?zāi)K803對業(yè)務(wù)請求消息校驗(yàn)不通過時,向移動終端返回業(yè)務(wù)請求失敗消息。校驗(yàn)?zāi)K803,用于根據(jù)從所述網(wǎng)絡(luò)側(cè)鑒權(quán)設(shè)備中獲取的Kc信息,對所述業(yè)務(wù)請求消息中攜帶的隨機(jī)數(shù)RANDl進(jìn)行加密生成會話密鑰Ks,根據(jù)該校驗(yàn)?zāi)K803生成的會話密鑰Ks,對所述業(yè)務(wù)請求消息中攜帶的序列號Sn、IMSI信息、隨機(jī)數(shù)RANDl和應(yīng)用數(shù)據(jù)進(jìn)行加密計(jì)算得到MAC值,判斷該校驗(yàn)?zāi)K803自身計(jì)算得到的MAC值是否與所述業(yè)務(wù)請求消息中攜帶的MAC值相同,如果相同,對所述業(yè)務(wù)請求消息中攜帶的信息校驗(yàn)通過,否則,對所述業(yè)務(wù)請求消息中攜帶的信息校驗(yàn)不通過。本發(fā)明還提供了一種安全芯片,該安全芯片包括存儲模塊、更新模塊和通信信息生成模塊。所述存儲模塊,用于存儲MSI信息和Kc信息。所述更新模塊,用于在本次接收的IMSI信息與所述存儲模塊中的IMSI信息不一致時,根據(jù)用戶權(quán)限確定是否更新所述存儲模塊中的MSI信息和Kc信息。
所述通信信息生成模塊,用于生成隨機(jī)數(shù)RAND1,利用所述存儲模塊中的Kc信息對該隨機(jī)數(shù)RANDl進(jìn)行加密生成會話密鑰Ks,利用所述會話密鑰Ks對該安全芯片的序列號Sn、所述存儲模塊中的IMSI信息、所述隨機(jī)數(shù)RANDl以及應(yīng)用數(shù)據(jù)進(jìn)行加密計(jì)算得到MAC值。其中,所述安全芯片的序列號Sn、所述存儲模塊中的MSI信息、所述隨機(jī)數(shù)RANDl以及所述MAC值用于攜帶在業(yè)務(wù)請求消息中發(fā)給業(yè)務(wù)平臺。所述更新模塊,可以用于在本次接收的IMSI信息與所述存儲模塊中的IMSI信息不一致時,接收用戶口令,對該用戶口令進(jìn)行校驗(yàn),在校驗(yàn)通過時,確定用戶具有更新權(quán)限,否則,用戶不具有更新權(quán)限,或者,根據(jù)用戶的身體特征,確定用戶是否具有更新權(quán)限;在用戶具有更新權(quán)限時,利用通信模塊本次獲取的MSI信息和Kc信息,更新該安全模塊存儲的IMSI信息和Kc信息,在用戶不具有更新權(quán)限時,保持該安全模塊存儲的IMSI信息和Kc信息不變。以上所述僅為本發(fā)明的較佳實(shí)施例而已,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi),所做的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明保護(hù)的范圍之內(nèi)。
權(quán)利要求
1.一種在移動網(wǎng)絡(luò)中實(shí)現(xiàn)機(jī)卡綁定的方法,其特征在于,該方法包括 移動終端中的智能卡與網(wǎng)絡(luò)側(cè)鑒權(quán)通過后,在智能卡和網(wǎng)絡(luò)側(cè)存儲通信密鑰Kc信息; 移動終端獲取該移動終端中的智能卡的MSI信息和Kc信息,將本次獲取的IMSI信息與該移動終端存儲的MSI信息進(jìn)行比較,在兩者一致時,利用本次獲取的Kc信息,更新移動終端存儲的Kc信息,在兩者不一致時,移動終端根據(jù)用戶權(quán)限確定是否更新該移動終端存儲的MSI信息和Kc信息; 移動終端利用自身存儲的MSI信息和Kc信息與網(wǎng)絡(luò)側(cè)通信。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,移動終端根據(jù)用戶權(quán)限確定是否更新該移動終端存儲的頂SI信息和Kc信息包括 移動終端接收用戶口令,對該用戶口令進(jìn)行校驗(yàn),在校驗(yàn)通過時,確定用戶具有更新權(quán)限,否則,用戶不具有更新權(quán)限,或者,移動終端根據(jù)用戶的身體體征,確定用戶是否具有更新權(quán)限; 在用戶具有更新權(quán)限時,利用移動終端本次獲取的MSI信息和Kc信息,更新該移動終端存儲的MSI信息和Kc信息,在用戶不具有更新權(quán)限時,保持移動終端存儲的IMSI信息和Kc信息不變。
3.根據(jù)權(quán)利要1所述的方法,其特征在于,所述移動終端獲取該移動終端中的智能卡的頂SI信息和Kc信息包括 移動終端在每次智能卡與網(wǎng)絡(luò)側(cè)的鑒權(quán)通過后,獲取該移動終端中的智能卡的頂SI信息和Kc信息; 或者,移動終端在每次發(fā)起業(yè)務(wù)請求前,獲取該移動終端中的智能卡的MSI信息和Kc信息。
4.根據(jù)權(quán)利要求1所述的方法,其特征在于,移動終端利用自身存儲的IMSI信息和Kc信息與網(wǎng)絡(luò)側(cè)通信包括 移動終端向業(yè)務(wù)平臺發(fā)送業(yè)務(wù)請求消息,該業(yè)務(wù)請求消息中攜帶有該移動終端存儲的IMSI信息、應(yīng)用數(shù)據(jù)、以及根據(jù)移動終端存儲的Kc信息得到的完整性保護(hù)信息; 業(yè)務(wù)平臺根據(jù)業(yè)務(wù)請求消息中攜帶的MSI信息,獲取該移動終端的拜訪位置寄存器VLR或歸屬位置存儲器HLR中存儲的、與該IMSI信息對應(yīng)的Kc信息,業(yè)務(wù)平臺根據(jù)所述VLR或HLR中獲取的Kc信息對所述業(yè)務(wù)請求消息中攜帶的信息進(jìn)行校驗(yàn),如果校驗(yàn)通過,對業(yè)務(wù)請求消息中的應(yīng)用數(shù)據(jù)進(jìn)行處理,如果校驗(yàn)不通過,向移動終端返回業(yè)務(wù)請求失敗消息。
5.根據(jù)權(quán)利要求4所述的方法,其特征在于,在移動終端中設(shè)置有安全模塊,移動終端將首次獲取或更新的MSI信息和Kc信息存儲在所述安全模塊中。
6.根據(jù)權(quán)利要求5所述的方法,其特征在于,該方法還包括 移動終端接收到所述業(yè)務(wù)請求失敗消息后,所述安全模塊執(zhí)行鎖定操作。
7.根據(jù)權(quán)利要求5所述的方法,其特征在于,移動終端向業(yè)務(wù)平臺發(fā)送業(yè)務(wù)請求消息包括 移動終端中的安全模塊生成隨機(jī)數(shù)RAND1,利用該移動終端存儲的Kc信息對該隨機(jī)數(shù)RANDl進(jìn)行加密生成會話密鑰Ks,所述安全模塊利用所述會話密鑰Ks對該安全模塊的序列號Sn、該安全模塊存儲的IMSI信息、所述隨機(jī)數(shù)RANDl以及應(yīng)用數(shù)據(jù)進(jìn)行加密計(jì)算得到MAC 值;移動終端將該安全模塊的序列號Sn、該安全模塊存儲的IMSI信息、所述隨機(jī)數(shù)RANDl、所述應(yīng)用數(shù)據(jù)以及所述MAC值攜帶在業(yè)務(wù)請求消息中,向業(yè)務(wù)平臺發(fā)送所述業(yè)務(wù)請求消肩、O
8.根據(jù)權(quán)利要求7所述的方法,其特征在于,所述業(yè)務(wù)平臺根據(jù)從所述VLR或HLR中獲取的Kc信息對所述業(yè)務(wù)請求消息中攜帶的信息進(jìn)行校驗(yàn)包括 業(yè)務(wù)平臺根據(jù)從所述VLR或HLR中獲取的Kc信息,對所述業(yè)務(wù)請求消息中攜帶的隨機(jī)數(shù)RANDl進(jìn)行加密生成會話密鑰Ks,業(yè)務(wù)平臺根據(jù)自身生成的會話密鑰Ks對所述業(yè)務(wù)請求消息中攜帶的序列號Sn、IMSI信息、隨機(jī)數(shù)RANDl和應(yīng)用數(shù)據(jù)進(jìn)行加密計(jì)算得到MAC值; 業(yè)務(wù)平臺判斷該業(yè)務(wù)平臺自身計(jì)算得到的MAC值是否與所述業(yè)務(wù)請求消息中攜帶的MAC值相同,如果相同,校驗(yàn)通過,否則校驗(yàn)不通過。
9.一種在移動網(wǎng)絡(luò)中實(shí)現(xiàn)機(jī)卡綁定的系統(tǒng),其特征在于,該系統(tǒng)包括移動終端、智能卡和網(wǎng)絡(luò)側(cè)鑒權(quán)設(shè)備; 所述智能卡,用于與所述網(wǎng)絡(luò)側(cè)鑒權(quán)設(shè)備進(jìn)行鑒權(quán),在鑒權(quán)通過時,存儲通信密鑰Kc信息; 所述網(wǎng)絡(luò)側(cè)鑒權(quán)設(shè)備,用于在所述智能卡鑒權(quán)通過后,存儲所述通信密鑰Kc信息; 所述移動終端,用于獲取該移動終端中的智能卡的MSI信息和Kc信息,將本次獲取的IMSI信息與該移動終端存儲的IMSI信息進(jìn)行比較,在兩者一致時,利用本次獲取的Kc信息,更新移動終端存儲的Kc信息,在兩者不一致時,移動終端根據(jù)用戶權(quán)限確定是否更新該移動終端存儲的IMSI信息和Kc信息; 所述移動終端利用自身存儲的頂SI信息和Kc信息與網(wǎng)絡(luò)側(cè)通信。
10.根據(jù)權(quán)利要求9所述的系統(tǒng),其特征在于, 所述移動終端,用于在移動終端本次獲取的MSI信息與該移動終端存儲的IMSI信息不一致時,接收用戶口令,對該用戶口令進(jìn)行校驗(yàn),如果校驗(yàn)通過,確定用戶具有更新權(quán)限,否則,用戶不具有更新權(quán)限,或者,根據(jù)用戶的身體特征,確定用戶是否具有更新權(quán)限;在用戶口具有更新權(quán)限時,利用移動終端本次獲取的MSI信息和Kc信息,更新該移動終端存儲的MSI信息和Kc信息,在用戶不具有更新權(quán)限時,保持移動終端存儲的IMSI信息和Kc信息不變。
11.根據(jù)權(quán)利要求9所述的系統(tǒng),其特征在于, 所述移動終端,用于在每次智能卡與網(wǎng)絡(luò)側(cè)的鑒權(quán)通過后,獲取該移動終端中的智能卡的MSI信息和Kc信息,或者,用于在每次發(fā)起業(yè)務(wù)請求前,獲取該移動終端中的智能卡的IMSI f目息和Kc f目息。
12.根據(jù)權(quán)利要求9所述的系統(tǒng),其特征在于,所述網(wǎng)絡(luò)側(cè)鑒權(quán)設(shè)備包括VLR或HLR,該系統(tǒng)還包括業(yè)務(wù)平臺; 所述移動終端,用于向業(yè)務(wù)平臺發(fā)送業(yè)務(wù)請求消息,該業(yè)務(wù)請求消息中攜帶有該移動終端存儲的IMSI信息、應(yīng)用數(shù)據(jù)、以及根據(jù)移動終端存儲的Kc信息得到的完整性保護(hù)信息; 所述業(yè)務(wù)平臺,用于根據(jù)業(yè)務(wù)請求消息中攜帶的MSI信息,獲取該移動終端的VLR或HLR中存儲的、與該IMSI信息對應(yīng)的Kc信息,根據(jù)所述VLR或HLR中獲取的Kc信息,對所述業(yè)務(wù)請求消息中攜帶的信息進(jìn)行校驗(yàn),如果校驗(yàn)通過,對業(yè)務(wù)請求消息中的應(yīng)用數(shù)據(jù)進(jìn)行處理,如果校驗(yàn)不通過,向移動終端返回業(yè)務(wù)請求失敗消息。
13.根據(jù)權(quán)利要求12所述的系統(tǒng),其特征在于,所述移動終端包括通信模塊和安全模塊; 所述安全模塊,用于存儲MSI信息和Kc信息,根據(jù)該安全模塊存儲的Kc信息得到完整性保護(hù)信息; 所述通信模塊,用于向業(yè)務(wù)平臺發(fā)送業(yè)務(wù)請求消息,該業(yè)務(wù)請求消息中攜帶有應(yīng)用數(shù)據(jù)、所述安全模塊存儲的MSI信息、以及所述安全模塊得到的所述完整性保護(hù)信息。
14.根據(jù)權(quán)利要求13所述的系統(tǒng),其特征在于, 所述通信模塊,用于接收業(yè)務(wù)請求失敗消息; 所述安全模塊,用于在所述通信模塊收到所述業(yè)務(wù)請求失敗消息后,執(zhí)行鎖定操作。
15.根據(jù)權(quán)利要求13所述的系統(tǒng),其特征在于,所述業(yè)務(wù)平臺包括通信模塊、獲取模塊、校驗(yàn)?zāi)K和業(yè)務(wù)請求處理模塊; 所述通信模塊,用于接收業(yè)務(wù)請求消息; 所述獲取模塊,用于從該業(yè)務(wù)請求消息中讀取IMSI信息,將該IMSI信息發(fā)給移動終端的VLR或HLR,接收VLR或HLR返回的、與該MSI信息對應(yīng)的Kc信息; 所述校驗(yàn)?zāi)K,用于根據(jù)所述獲取模塊獲取的Kc信息,對所述業(yè)務(wù)請求消息中攜帶的信息進(jìn)行校驗(yàn); 所述業(yè)務(wù)請求處理模塊,用于在校驗(yàn)?zāi)K對業(yè)務(wù)請求消息校驗(yàn)通過時,對業(yè)務(wù)請求消息中的應(yīng)用數(shù)據(jù)進(jìn)行處理,在校驗(yàn)?zāi)K對業(yè)務(wù)請求消息校驗(yàn)不通過時,向移動終端返回業(yè)務(wù)請求失敗消息。
16.根據(jù)權(quán)利要求15所述的系統(tǒng),其特征在于; 所述安全模塊,用于生成隨機(jī)數(shù)RAND1,利用該安全模塊存儲的Kc信息對該隨機(jī)數(shù)RANDl進(jìn)行加密生成會話密鑰Ks,利用所述會話密鑰Ks對該安全模塊的序列號Sn、該安全模塊存儲的MSI信息、所述隨機(jī)數(shù)RANDl以及應(yīng)用數(shù)據(jù)進(jìn)行加密計(jì)算得到MAC值; 所述通信模塊,用于將該安全模塊的序列號Sn、該安全模塊存儲的IMSI信息、所述隨機(jī)數(shù)RANDl、所述應(yīng)用數(shù)據(jù)以及所述MAC值攜帶在業(yè)務(wù)請求消息中,向業(yè)務(wù)平臺發(fā)送所述業(yè)務(wù)請求消息。
17.根據(jù)權(quán)利要求16所述的系統(tǒng),其特征在于, 所述校驗(yàn)?zāi)K,用于根據(jù)從所述VLR或HLR中獲取的Kc信息,對所述業(yè)務(wù)請求消息中攜帶的隨機(jī)數(shù)RANDl進(jìn)行加密生成會話密鑰Ks,根據(jù)該校驗(yàn)?zāi)K生成的會話密鑰Ks,對所述業(yè)務(wù)請求消息中攜帶的序列號Sn、IMSI信息、隨機(jī)數(shù)RANDl和應(yīng)用數(shù)據(jù)進(jìn)行加密計(jì)算得到MAC值,判斷該校驗(yàn)?zāi)K自身計(jì)算得到的MAC值是否與所述業(yè)務(wù)請求消息中攜帶的MAC值相同,如果相同,校驗(yàn)通過,否則校驗(yàn)不通過。
18.—種移動終端,其特征在于,該移動終端包括通信模塊和安全模塊; 所述通信模塊,用于獲取該移動終端中的智能卡的MSI信息和Kc信息,根據(jù)所述安全模塊中存儲的Kc信息與網(wǎng)絡(luò)側(cè)通信; 所述安全模塊,用于存儲所述通信模塊首次獲取的MSI信息和Kc信息,將所述通信模塊本次獲取的MSI信息與安全模塊存儲的IMSI信息進(jìn)行比較,在兩者一致時,利用所述本次獲取的Kc信息,更新該安全模塊存儲的Kc信息,在兩者不一致時,根據(jù)用戶權(quán)限確定是否更新該安全模塊存儲的頂SI信息和Kc信息。
19.根據(jù)權(quán)利要求18所述的移動終端,其特征在于, 所述安全模塊,用于在通信模塊本次獲取的頂SI信息與該安全模塊存儲的IMSI信息不一致時,接收用戶口令,對該用戶口令進(jìn)行校驗(yàn),在校驗(yàn)通過時,確定用戶具有更新權(quán)限,否則,用戶不具有更新權(quán)限,或者,根據(jù)用戶的身體特征,確定用戶是否具有更新權(quán)限;在用戶具有更新權(quán)限時,利用通信模塊本次獲取的MSI信息和Kc信息,更新該安全模塊存儲的IMSI信息和Kc信息,在用戶不具有更新權(quán)限時,保持該安全模塊存儲的IMSI信息和Kc信息不變。
20.根據(jù)權(quán)利要求18所述的移動終端,其特征在于, 所述通信模塊,用于在每次智能卡與網(wǎng)絡(luò)側(cè)的鑒權(quán)通過后,獲取該移動終端中的智能卡的MSI信息和Kc信息,或者,用于在每次發(fā)起業(yè)務(wù)請求前,獲取該移動終端中的智能卡的IMSI f目息和Kc f目息。
21.根據(jù)權(quán)利要求18所述的移動終端,其特征在于, 所述安全模塊,用于生成隨機(jī)數(shù)RAND1,利用該安全模塊存儲的Kc信息對該隨機(jī)數(shù)RANDl進(jìn)行加密生成會話密鑰Ks,利用所述會話密鑰Ks對該安全模塊的序列號Sn、該安全模塊存儲的MSI信息、所述隨機(jī)數(shù)RANDl以及應(yīng)用數(shù)據(jù)進(jìn)行加密計(jì)算得到MAC值; 所述通信模塊,用于將該安全模塊的序列號Sn、該安全模塊存儲的IMSI信息、所述隨機(jī)數(shù)RANDI、所述應(yīng)用數(shù)據(jù)以及所述MAC值攜帶在業(yè)務(wù)請求消息中,向業(yè)務(wù)平臺發(fā)送所述業(yè)務(wù)請求消息。
22.根據(jù)權(quán)利要求18所述的移動終端,其特征在于, 所述通信模塊,用于接收業(yè)務(wù)響應(yīng)消息; 所述安全模塊,用于在所述通信模塊收到所述業(yè)務(wù)請求失敗消息后,鎖定該移動終端。
23.—種業(yè)務(wù)平臺,其特征在于,該業(yè)務(wù)平臺包括通信模塊、獲取模塊、校驗(yàn)?zāi)K和業(yè)務(wù)請求處理模塊; 所述通信模塊,用于接收業(yè)務(wù)請求消息; 所述獲取模塊,用于從該業(yè)務(wù)請求消息中讀取MSI信息,將該IMSI信息發(fā)給網(wǎng)絡(luò)側(cè)鑒權(quán)設(shè)備,接收網(wǎng)絡(luò)側(cè)鑒權(quán)設(shè)備返回的、與該頂SI信息對應(yīng)的Kc信息; 所述校驗(yàn)?zāi)K,用于根據(jù)所述獲取模塊獲取的Kc信息,對所述業(yè)務(wù)請求消息中攜帶的信息進(jìn)行校驗(yàn); 所述業(yè)務(wù)請求處理模塊,用于在校驗(yàn)?zāi)K對業(yè)務(wù)請求消息校驗(yàn)通過時,對業(yè)務(wù)請求消息中的應(yīng)用數(shù)據(jù)進(jìn)行處理,在校驗(yàn)?zāi)K對業(yè)務(wù)請求消息校驗(yàn)不通過時,向移動終端返回業(yè)務(wù)請求失敗消息。
24.根據(jù)權(quán)利要求23所述的業(yè)務(wù)平臺,其特征在于, 所述校驗(yàn)?zāi)K,用于根據(jù)從所述網(wǎng)絡(luò)側(cè)鑒權(quán)設(shè)備中獲取的Kc信息,對所述業(yè)務(wù)請求消息中攜帶的隨機(jī)數(shù)RANDl進(jìn)行加密生成會話密鑰Ks,根據(jù)該校驗(yàn)?zāi)K生成的會話密鑰Ks,對所述業(yè)務(wù)請求消息中攜帶的序列號Sn、IMSI信息、隨機(jī)數(shù)RANDl和應(yīng)用數(shù)據(jù)進(jìn)行加密計(jì)算得到MAC值,判斷該校驗(yàn)?zāi)K自身計(jì)算得到的MAC值是否與所述業(yè)務(wù)請求消息中攜帶的MAC值相同,如果相同,校驗(yàn)通過,否則校驗(yàn)不通過。
25.一種安全芯片,其特征在于,該安全芯片包括存儲模塊、更新模塊和通信信息生成模塊; 所述存儲模塊,用于存儲MSI信息和Kc信息; 所述更新模塊,用于在本次接收的MSI信息與所述存儲模塊中的IMSI信息不一致時,根據(jù)用戶權(quán)限確定是否更新所述存儲模塊中的MSI信息和Kc信息; 所述通信信息生成模塊,用于生成隨機(jī)數(shù)RAND1,利用所述存儲模塊中的Kc信息對該隨機(jī)數(shù)RANDl進(jìn)行加密生成會話密鑰Ks,利用所述會話密鑰Ks對該安全芯片的序列號Sn、所述存儲模塊中的MSI信息、所述隨機(jī)數(shù)RANDl以及應(yīng)用數(shù)據(jù)進(jìn)行加密計(jì)算得到MAC值; 其中,所述安全芯片的序列號Sn、所述存儲模塊中的IMSI信息、所述隨機(jī)數(shù)RANDl以及所述MAC值用于攜帶在業(yè)務(wù)請求消息中發(fā)給業(yè)務(wù)平臺。
26.根據(jù)權(quán)利要求25所述的安全芯片,其特征在于, 所述更新模塊,用于在本次接收的MSI信息與所述存儲模塊中的IMSI信息不一致時,接收用戶口令,對該用戶口令進(jìn)行校驗(yàn),在校驗(yàn)通過時,確定用戶具有更新權(quán)限,否則,用戶不具有更新權(quán)限,或者,根據(jù)用戶的身體特征,確定用戶是否具有更新權(quán)限;在用戶具有更新權(quán)限時,利用通信模塊本次獲取的MSI信息和Kc信息,更新該安全模塊存儲的IMSI信息和Kc信息,在用戶不具有更新權(quán)限時,保持該安全模塊存儲的IMSI信息和Kc信息不變。
全文摘要
本發(fā)明提供了一種在移動網(wǎng)絡(luò)中實(shí)現(xiàn)機(jī)卡綁定的方法、系統(tǒng)和設(shè)備。該方法包括移動終端中的智能卡與網(wǎng)絡(luò)側(cè)鑒權(quán)通過后,在智能卡和網(wǎng)絡(luò)側(cè)存儲通信密鑰Kc信息;移動終端獲取該移動終端中的智能卡的IMSI信息和Kc信息,將本次獲取的IMSI信息與存儲的IMSI信息進(jìn)行比較,一致時,更新移動終端存儲的Kc信息,不一致時,根據(jù)用戶權(quán)限確定是否更新該移動終端存儲的IMSI信息和Kc信息;移動終端利用自身存儲的IMSI信息和Kc信息與網(wǎng)絡(luò)側(cè)通信。應(yīng)用本發(fā)明能夠提高移動終端和智能卡的配對靈活性。
文檔編號H04W12/06GK102892102SQ201110202080
公開日2013年1月23日 申請日期2011年7月19日 優(yōu)先權(quán)日2011年7月19日
發(fā)明者樂祖暉, 羅紅 申請人:中國移動通信集團(tuán)公司