亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

智能卡與用戶識別模塊安全綁定的方法、系統(tǒng)和管理平臺的制作方法

文檔序號:7981359閱讀:281來源:國知局
智能卡與用戶識別模塊安全綁定的方法、系統(tǒng)和管理平臺的制作方法
【專利摘要】本發(fā)明公開了一種智能卡與用戶識別模塊安全綁定的方法、系統(tǒng)和管理平臺。移動終端和網(wǎng)絡(luò)側(cè)管理平臺之間建立基于智能卡的安全連接,通過該連接,終端側(cè)的用戶識別模塊與網(wǎng)絡(luò)側(cè)接入認(rèn)證中心之間模擬接入認(rèn)證流程,管理平臺根據(jù)認(rèn)證結(jié)果和預(yù)先設(shè)定的綁定規(guī)則,判斷雙方的綁定關(guān)系是否合法,并將綁定結(jié)果通知智能卡,智能卡決定是否提供服務(wù)。該方法實(shí)現(xiàn)了移動終端智能卡與接入層身份綁定,限制智能卡在特定的移動終端上使用,從而起到智能卡防盜用、智能卡鎖定的作用,既增強(qiáng)智能卡的安全性,又可保障運(yùn)營商的利益。
【專利說明】智能卡與用戶識別模塊安全綁定的方法、系統(tǒng)和管理平臺
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)與信息安全【技術(shù)領(lǐng)域】,特別涉及一種智能卡與用戶識別模塊安全 綁定的方法、系統(tǒng)和管理平臺。
【背景技術(shù)】
[0002]基于智能卡的身份認(rèn)證、數(shù)字簽名技術(shù)可有效保障用戶密鑰安全,防止身份假 冒,在網(wǎng)絡(luò)安全領(lǐng)域得到較廣泛應(yīng)用。在移動環(huán)境下,目前業(yè)界也在探索基于WM (User Identity Model,用戶識別模塊)/SIM (Subscriber Identity Module,用戶識別卡)或者 TF (TransFlash,閃存)/SD (Secure Digital Memory Card,安全數(shù)碼卡)卡的安全應(yīng)用、 以及基于移動可信模塊(Mobile Trusted Module,MTM)的方案。
[0003]移動終端由于計(jì)算能力、接口限制等問題,通過可卸載的智能卡擴(kuò)展其安全能力, 為運(yùn)營商靈活開展安全型業(yè)務(wù)提供了一個技術(shù)選擇。
[0004]但現(xiàn)有的移動環(huán)境智能卡存在一些問題。例如,基于nM/SM的智能卡,由于不可 卸載,存在永遠(yuǎn)在線攻擊的風(fēng)險(xiǎn);對于可卸載的TF/SD卡,雖然增加了使用靈活性,但也增 加了智能卡被盜用的風(fēng)險(xiǎn);TF/SD卡或MTM模塊,由于缺乏用戶接入身份信息,電信運(yùn)營商
難以掌控。

【發(fā)明內(nèi)容】

[0005]本發(fā)明的發(fā)明人發(fā)現(xiàn)上述現(xiàn)有技術(shù)中存在問題,并因此針對所述問題中的至少一 個問題提出了一種新的技術(shù)方案。
[0006]本發(fā)明的一個目的是提供一種用于移動終端智能卡與用戶識別模塊安全綁定的 技術(shù)方案。
[0007]根據(jù)本發(fā)明的第一方面,提供了一種移動終端智能卡與用戶識別模塊安全綁定方 法,包括:網(wǎng)絡(luò)側(cè)管理平臺和所述移動終端建立基于所述智能卡的安全連接;基于所述安 全連接在所述移動終端的用戶識別模塊與網(wǎng)絡(luò)側(cè)接入認(rèn)證中心之間模擬接入認(rèn)證流程;所 述網(wǎng)絡(luò)側(cè)管理平臺根據(jù)接入認(rèn)證結(jié)果和預(yù)先設(shè)定的綁定規(guī)則,驗(yàn)證所述智能卡和所述用戶 識別模塊之間的綁定關(guān)系,將綁定關(guān)系驗(yàn)證結(jié)果發(fā)送給所述智能卡,以便所述智能卡根據(jù) 所述綁定關(guān)系驗(yàn)證結(jié)果確定是否提供服務(wù)。
[0008]可選地,基于所述安全連接在終端側(cè)的用戶識別模塊與網(wǎng)絡(luò)側(cè)接入認(rèn)證中心之間 模擬接入認(rèn)證流程包括:所述網(wǎng)絡(luò)側(cè)管理平臺模擬移動通信網(wǎng)絡(luò)中VLR(Visitor Location Register,拜訪位置寄存器)網(wǎng)元的角色從接入認(rèn)證中心取得認(rèn)證向量,向所述移動終端的 客戶端程序發(fā)起認(rèn)證請求;所述客戶端程序?qū)⒄J(rèn)證請求提交給所述用戶識別模塊,得到所 述用戶識別模塊返回的認(rèn)證響應(yīng);所述客戶端程序?qū)⑺稣J(rèn)證響應(yīng)經(jīng)所述安全連接返回給 所述網(wǎng)絡(luò)側(cè)管理平臺;所述網(wǎng)絡(luò)側(cè)管理平臺確認(rèn)消息合法后,將該響應(yīng)提交給接入認(rèn)證中 心進(jìn)行驗(yàn)證;所述網(wǎng)絡(luò)側(cè)管理平臺得到認(rèn)證結(jié)果。
[0009]可選地,移動終端和網(wǎng)絡(luò)側(cè)管理平臺建立基于所述智能卡的安全連接包括:所述移動終端接入網(wǎng)絡(luò)后所述網(wǎng)絡(luò)側(cè)管理平臺對所述智能卡進(jìn)行身份認(rèn)證;所述智能卡身份認(rèn) 證通過后,所述移動終端和所述網(wǎng)絡(luò)側(cè)管理平臺之間的通信關(guān)鍵信息分別由所述網(wǎng)絡(luò)側(cè)管 理平臺和所述智能卡進(jìn)行加密、簽名,經(jīng)所述網(wǎng)絡(luò)側(cè)管理平臺和所述智能卡確認(rèn)。
[0010]可選地,關(guān)鍵信息包括所述移動終端的認(rèn)證響應(yīng)、所述網(wǎng)絡(luò)側(cè)管理平臺返回的綁 定關(guān)系驗(yàn)證結(jié)果。
[0011]可選地,所述智能卡包括TF或SD接口的CPU卡、或移動可信模塊MTM ;和/或所 述用戶識別模塊包括 UIM、SIM、或 USIM (Universal Subscriber Identity Module,全球用 戶識別卡)。
[0012]可選地,綁定規(guī)則規(guī)定智能卡和與用戶信號信息相關(guān)的用戶或用戶群之間的綁定 關(guān)系,限制智能卡只能供特定的用戶、用戶群使用。
[0013]根據(jù)本發(fā)明的另一方面,提供一種網(wǎng)絡(luò)側(cè)管理平臺,應(yīng)用于移動終端智能卡與用 戶識別模塊安全綁定,包括:安全連接建立模塊,用于和所述移動終端建立基于所述智能卡 的安全連接;接入認(rèn)證模塊,用于基于所述安全連接在所述移動終端的用戶識別模塊與網(wǎng) 絡(luò)側(cè)接入認(rèn)證中心之間模擬接入認(rèn)證流程;綁定關(guān)系驗(yàn)證模塊,用于根據(jù)接入認(rèn)證結(jié)果和 預(yù)先設(shè)定的綁定規(guī)則,驗(yàn)證所述智能卡和所述用戶識別模塊之間的綁定關(guān)系,將綁定關(guān)系 驗(yàn)證結(jié)果發(fā)送給所述智能卡,以便所述智能卡根據(jù)所述綁定關(guān)系驗(yàn)證結(jié)果確定是否提供服 務(wù)。
[0014]可選地,安全連接建立模塊包括:智能卡認(rèn)證單元,用于在所述移動終端接入網(wǎng)絡(luò) 后對所述智能卡進(jìn)行身份認(rèn)證;關(guān)鍵信息保護(hù)模塊,用于所述智能卡身份認(rèn)證通過后,對所 述移動終端和所述網(wǎng)絡(luò)側(cè)管理平臺之間的通信關(guān)鍵信息進(jìn)行加密、簽名。
[0015]可選地,綁定關(guān)系驗(yàn)證模塊包括:綁定規(guī)則存儲單元,用于存儲所述智能卡和所述 用戶識別模塊之間的綁定規(guī)則;綁定關(guān)系驗(yàn)證單元,用于根據(jù)接入認(rèn)證結(jié)果和預(yù)先設(shè)定的 綁定規(guī)則,驗(yàn)證所述智能卡和所述用戶識別模塊之間的綁定關(guān)系,將綁定關(guān)系驗(yàn)證結(jié)果發(fā) 送給所述智能卡,以便所述智能卡根據(jù)所述綁定關(guān)系驗(yàn)證結(jié)果確定是否提供服務(wù)。
[0016]可選地,所述智能卡包括TF或SD接口的CPU卡、或移動可信模塊MTM ;和/或所 述用戶識別模塊包括nM、SM、或USIM。
[0017]可選地,綁定規(guī)則規(guī)定智能卡和與用戶信號信息相關(guān)的用戶或用戶群之間的綁定 關(guān)系,限制智能卡只能供特定的用戶、用戶群使用。
[0018]根據(jù)本發(fā)明的又一方面,提供一種移動終端智能卡與用戶識別模塊安全綁定系 統(tǒng),包括:移動終端,所述移動終端包括智能卡和用戶識別模塊;以及上述的網(wǎng)絡(luò)側(cè)管理平 臺。
[0019]本發(fā)明的一個優(yōu)點(diǎn)在于,將移動終端中智能卡與用戶識別模塊進(jìn)行綁定,限制智 能卡只能在特定的終端上使用,既可防止智能卡被盜用、增強(qiáng)使用安全性。
[0020]通過以下參照附圖對本發(fā)明的示例性實(shí)施例的詳細(xì)描述,本發(fā)明的其它特征及其 優(yōu)點(diǎn)將會變得清楚。
【專利附圖】

【附圖說明】
[0021]構(gòu)成說明書的一部分的附圖描述了本發(fā)明的實(shí)施例,并且連同說明書一起用于解 釋本發(fā)明的原理。[0022]參照附圖,根據(jù)下面的詳細(xì)描述,可以更加清楚地理解本發(fā)明,其中:
[0023]圖1示出本發(fā)明的移動終端智能卡與用戶識別模塊安全綁定方法的一個實(shí)施例 的流程圖;
[0024]圖2示出本發(fā)明的移動終端智能卡與用戶識別模塊安全綁定方法的另一個實(shí)施 例的示意圖。
[0025]圖3示出本發(fā)明的移動終端智能卡與用戶識別模塊安全綁定方法的再一個實(shí)施 例的流程圖;
[0026]圖4示出本發(fā)明的移動終端智能卡與用戶識別模塊安全綁定方法的又一個實(shí)施 例的流程圖;
[0027]圖5示出本發(fā)明的網(wǎng)絡(luò)側(cè)管理平臺的一個實(shí)施例的結(jié)構(gòu)圖;
[0028]圖6示出本發(fā)明的網(wǎng)絡(luò)側(cè)管理平臺的另一個實(shí)施例的結(jié)構(gòu)圖。
【具體實(shí)施方式】
[0029]現(xiàn)在將參照附圖來詳細(xì)描述本發(fā)明的各種示例性實(shí)施例。應(yīng)注意到:除非另外具 體說明,否則在這些實(shí)施例中闡述的部件和步驟的相對布置、數(shù)字表達(dá)式和數(shù)值不限制本 發(fā)明的范圍。
[0030]同時,應(yīng)當(dāng)明白,為了便于描述,附圖中所示出的各個部分的尺寸并不是按照實(shí)際 的比例關(guān)系繪制的。
[0031]以下對至少一個示例性實(shí)施例的描述實(shí)際上僅僅是說明性的,決不作為對本發(fā)明 及其應(yīng)用或使用的任何限制。
[0032]對于相關(guān)領(lǐng)域普通技術(shù)人員已知的技術(shù)、方法和設(shè)備可能不作詳細(xì)討論,但在適 當(dāng)情況下,所述技術(shù)、方法和設(shè)備應(yīng)當(dāng)被視為授權(quán)說明書的一部分。
[0033]在這里示出和討論的所有示例中,任何具體值應(yīng)被解釋為僅僅是示例性的,而不 是作為限制。因此,示例性實(shí)施例的其它示例可以具有不同的值。
[0034]應(yīng)注意到:相似的標(biāo)號和字母在下面的附圖中表示類似項(xiàng),因此,一旦某一項(xiàng)在一 個附圖中被定義,則在隨后的附圖中不需要對其進(jìn)行進(jìn)一步討論。
[0035]圖1示出本發(fā)明的移動終端智能卡與用戶識別模塊安全綁定方法的一個實(shí)施例 的流程圖。
[0036]如圖1所示,步驟102,移動終端和網(wǎng)絡(luò)側(cè)管理平臺之間建立基于智能卡的安全連 接?;谥悄芸ń踩B接,可以通過多種現(xiàn)有方式實(shí)現(xiàn)。例如,對智能卡進(jìn)行身份認(rèn)證 通過后,通過加密或者簽名的方式實(shí)現(xiàn)移動終端和網(wǎng)絡(luò)側(cè)管理平臺之間的安全連接。
[0037]步驟104,基于安全連接在終端側(cè)的用戶識別模塊與網(wǎng)絡(luò)側(cè)接入認(rèn)證中心之間模 擬接入認(rèn)證流程。
[0038]步驟106,網(wǎng)絡(luò)側(cè)管理平臺根據(jù)接入認(rèn)證結(jié)果和預(yù)先設(shè)定的綁定規(guī)則,驗(yàn)證智能卡 和用戶識別模塊之間的綁定關(guān)系,將綁定關(guān)系驗(yàn)證結(jié)果發(fā)送給智能卡。綁定規(guī)則可以規(guī)定 智能卡和與用戶信號信息(如 IMSI (International Mobile SubscriberIdentification Number,國際移動用戶識別碼)號)相關(guān)的用戶或用戶群之間的綁定關(guān)系,可以限制智能卡 只能供特定的用戶(群)使用,防止被該用戶(群)外其他用戶盜用。
[0039]由網(wǎng)絡(luò)側(cè)管理平臺實(shí)現(xiàn)綁定關(guān)系驗(yàn)證,管理平臺可以直接存儲智能卡信息,也可以從用戶識別模塊取得用戶號碼信息;需要時,可以根據(jù)用戶號碼信息從用戶資料庫中得 到更詳細(xì)的客戶信息。
[0040]綁定規(guī)則可根據(jù)業(yè)務(wù)需要靈活設(shè)定,例如智能卡和用戶號碼GMSI號)的綁定,限 制智能卡:(I)只能在特定運(yùn)營商的手機(jī)上使用;或(2)只能由特定地區(qū)的用戶使用;或
(3)只能供特定的用戶使用(例如MSI對應(yīng)號碼為18988888888的用戶專用)。智能卡還可 以和用戶屬性的綁定(根據(jù)接入號碼獲取用戶資料、業(yè)務(wù)信息等進(jìn)行綁定):(I)只能供VIP 客戶使用(客戶級別為鉆石客戶、金牌客戶等);(2)只能供某集團(tuán)客戶使用。
[0041]步驟108,智能卡根據(jù)綁定關(guān)系驗(yàn)證結(jié)果確定是否提供服務(wù)。驗(yàn)證結(jié)果可以通知 智能卡所處終端環(huán)境(用戶識別模塊)是否合法。例如,可以用I表示成功,0表示失??;也 可以定義“RESULT=SUCCESS”表示成功,“RESULT=FAILURE”表示失敗。如前所述,智能卡根 據(jù)實(shí)現(xiàn)中約定的協(xié)議,比如,用I表示成功,0表示失敗,或者“RESULT=SUCCESS”表示成功, “RESULT=FAILURE”表示失敗,驗(yàn)證綁定是否成功;如果終端環(huán)境不合法,則鎖卡,拒絕提供 服務(wù)(數(shù)據(jù)加密、數(shù)字簽名等服務(wù))。智能卡對結(jié)果的驗(yàn)證、以及決定是否提供服務(wù),可以由 智能卡內(nèi)的COS (Chip Operating System,片內(nèi)操作系統(tǒng))系統(tǒng)實(shí)現(xiàn)。
[0042]上述實(shí)施例中,實(shí)現(xiàn)了移動終端智能卡與用戶識別模塊的安全綁定,限制智能卡 在特定的移動終端上使用,從而起到智能卡防盜用、智能卡鎖定的作用。
[0043]圖2示出本發(fā)明的移動終端智能卡與用戶識別模塊安全綁定方法的另一個實(shí)施 例的示意圖。在圖2中,終端11包括智能卡111、用戶識別模塊112,此外,在終端11上還 可以實(shí)現(xiàn)客戶端程序113。終端側(cè)的智能卡111例如是TF、SD等接口擴(kuò)展的CPU卡、或者是 移動可信模塊MTM。用戶識別模塊例如是UIM、SIM、USIM等移動用戶識別卡。智能卡和用 戶識別模塊是一個封閉環(huán)境,對于發(fā)行者來說,是安全、可控的環(huán)境,而移動終端操作環(huán)境、 以及其上的客戶端程序,是不可控環(huán)境,存在被病毒、木馬等惡意代碼篡改的風(fēng)險(xiǎn)。
[0044]在網(wǎng)絡(luò)側(cè),管理平臺12負(fù)責(zé)對終端智能卡進(jìn)行管理,并與智能卡之間共享安全信 息,該安全信息可以是僅由雙方共享的對稱密鑰,或者是對方的公鑰,對應(yīng)的私鑰則由所有 者保存。雙方可通過用上述安全信息對消息加密、簽名并確認(rèn)對方的身份。接入認(rèn)證中 心13是指移動網(wǎng)絡(luò)中移動終端接入時,驗(yàn)證用戶識別模塊合法性的HLR (Home Location Register,歸屬位置寄存器)、AuC (Authentication Center,鑒權(quán)中心)等網(wǎng)元。
[0045]該實(shí)施例針對該不可控終端環(huán)境下,實(shí)現(xiàn)智能卡與用戶識別模塊的可信、安全綁 定。
[0046]如圖2所示,步驟201,移動終端接入網(wǎng)絡(luò),管理平臺驗(yàn)證智能卡身份。管理平臺對 智能卡身份的驗(yàn)證,可以采用對稱密鑰方式驗(yàn)證,也可以采用RSA或SM4等算法的數(shù)字證書 進(jìn)行身份驗(yàn)證。
[0047]步驟202,驗(yàn)證通過后,管理平臺與移動終端建立基于智能卡的安全連接,雙方通 信的關(guān)鍵信息分別由管理平臺和智能卡進(jìn)行加密或簽名,并經(jīng)對方解密或確認(rèn)。
[0048]步驟203,管理平臺模擬移動通信網(wǎng)絡(luò)中VLR網(wǎng)元的角色,在上述連接上啟動對移 動終端的接入認(rèn)證流程。即管理平臺從接入認(rèn)證中心取得一組認(rèn)證向量,向客戶端程序發(fā) 起認(rèn)證請求,客戶端程序?qū)⒄埱筇峤唤o用戶識別模塊計(jì)算得到認(rèn)證響應(yīng),管理平臺確認(rèn)消 息合法后,將該響應(yīng)提交給接入認(rèn)證中心進(jìn)行驗(yàn)證;
[0049]步驟204,管理平臺根據(jù)接入認(rèn)證中心驗(yàn)證結(jié)果和預(yù)設(shè)的綁定規(guī)則,驗(yàn)證雙方的綁定關(guān)系,并將結(jié)果返回給智能卡。
[0050]步驟205,智能卡驗(yàn)證綁定結(jié)果,并決定是否提供服務(wù)。
[0051]上述實(shí)施例中,通過管理平臺與移動終端之間基于智能卡的安全連接,雙方通信 的關(guān)鍵信息分別由管理平臺和智能卡進(jìn)行加密或簽名,進(jìn)一步提高了安全性。
[0052]圖3示出本發(fā)明的移動終端智能卡與用戶識別模塊安全綁定方法的再一個實(shí)施 例的流程圖。在該實(shí)施例中,網(wǎng)絡(luò)側(cè)管理平臺與移動終端間通信由管理平臺和智能卡簽名 確認(rèn)。網(wǎng)絡(luò)側(cè)管理平臺驗(yàn)證智能卡合法性,并對移動終端進(jìn)行接入認(rèn)證和綁定關(guān)系驗(yàn)證。
[0053]如圖3所示,步驟311,移動終端上的客戶端程序向網(wǎng)絡(luò)側(cè)管理平臺發(fā)起接入請 求。
[0054]步驟312,管理平臺向移動終端上的客戶端程序發(fā)起智能卡身份認(rèn)證請求。
[0055]步驟313,客戶端程序向智能卡發(fā)送智能卡身份認(rèn)證請求。
[0056]步驟314,智能卡生成身份認(rèn)證信息。
[0057]步驟315,智能卡向客戶端程序發(fā)送智能卡身份認(rèn)證響應(yīng),其中包括身份認(rèn)證信
肩、O
[0058]步驟316,客戶端程序向管理平臺轉(zhuǎn)發(fā)智能卡身份認(rèn)證響應(yīng)。
[0059]步驟317,管理平臺驗(yàn)證智能卡身份。智能卡身份驗(yàn)證通過后,進(jìn)行后續(xù)的過程。
[0060]步驟318,管理平臺向接入認(rèn)證中心發(fā)送獲取認(rèn)證向量請求。
[0061]步驟319,接入認(rèn)證中心向管理平臺返回一組認(rèn)證向量。
[0062]步驟320,管理平臺根據(jù)認(rèn)證向量,生成接入認(rèn)證請求發(fā)送給客戶端程序。
[0063]步驟321,客戶端程序?qū)⒔尤胝J(rèn)證請求發(fā)送給用戶識別模塊。
[0064]步驟322,用戶識別模塊計(jì)算生成認(rèn)證信息;
[0065]步驟323,用戶識別模塊向客戶端程序發(fā)送認(rèn)證響應(yīng),將生成的接入認(rèn)證信息返回 給客戶端程序。
[0066]步驟324,客戶端程序?qū)⒄J(rèn)證響應(yīng)提交給智能卡;
[0067]步驟325,智能卡對認(rèn)證響應(yīng)簽名。
[0068]步驟326,智能卡將簽名后的認(rèn)證響應(yīng)返回給客戶端程序。
[0069]步驟327,客戶端程序?qū)⒑灻蟮恼J(rèn)證響應(yīng)回復(fù)給管理平臺;
[0070]步驟328,管理平臺驗(yàn)證簽名,驗(yàn)證通過后管理平臺將認(rèn)證響應(yīng)交由接入認(rèn)證中心 驗(yàn)證。
[0071]步驟329,接入認(rèn)證中心根據(jù)認(rèn)證響應(yīng)中的認(rèn)證信息對用戶進(jìn)行驗(yàn)證。
[0072]步驟330,接入認(rèn)證中心向管理平臺返回認(rèn)證結(jié)果。
[0073]步驟331,管理平臺根據(jù)驗(yàn)證結(jié)果和預(yù)先設(shè)定的綁定規(guī)則,確定綁定關(guān)系是否合 法。
[0074]步驟332,管理平臺將綁定驗(yàn)證結(jié)果簽名后返回給客戶端程序。
[0075]步驟333,客戶端程序?qū)⒑灻慕壎?yàn)證結(jié)果提交給智能卡。
[0076]步驟334,智能卡對簽名進(jìn)行驗(yàn)證,并根據(jù)綁定驗(yàn)證結(jié)果判斷終端的合法性,并決 定是否提供服務(wù)。
[0077]上述實(shí)施例中,通過對認(rèn)證信息、綁定結(jié)果進(jìn)行簽名驗(yàn)證,提高了綁定的安全可 靠,防止綁定關(guān)系被偽造。[0078]圖4示出本發(fā)明的移動終端智能卡與用戶識別模塊安全綁定方法的又一個實(shí)施例的流程圖。
[0079]管理平臺與移動終端間通信由管理平臺和智能卡加密通信。管理平臺驗(yàn)證智能卡合法后,對終端的認(rèn)證和綁定驗(yàn)證過程如下:
[0080]如圖4所示,步驟411,移動終端上的客戶端程序向網(wǎng)絡(luò)側(cè)管理平臺發(fā)起接入請求。
[0081]步驟412,管理平臺向移動終端上的客戶端程序發(fā)起智能卡身份認(rèn)證請求。
[0082]步驟413,客戶端程序向智能卡發(fā)送智能卡身份認(rèn)證請求。
[0083]步驟414,智能卡生成身份認(rèn)證信息。
[0084]步驟415,智能卡向客戶端程序發(fā)送智能卡身份認(rèn)證響應(yīng),其中包括身份認(rèn)證信息。
[0085]步驟416,客戶端程序向管理平臺轉(zhuǎn)發(fā)智能卡身份認(rèn)證響應(yīng)。
[0086]步驟417,管理平臺驗(yàn)證智能卡身份。智能卡身份驗(yàn)證通過后,進(jìn)行后續(xù)的過程。
[0087]步驟418,管理平臺向接入認(rèn)證中心發(fā)送獲取認(rèn)證向量請求。
[0088]步驟419,接入認(rèn)證中心向管理平臺返回一組認(rèn)證向量。
[0089]步驟420,管理平臺根據(jù)認(rèn)證向量,生成加密后的接入認(rèn)證請求發(fā)送給客戶端程序。
[0090]步驟421,客戶端程序?qū)⒓用艿慕尤胝J(rèn)證請求發(fā)送給智能卡。
[0091]步驟422,智能卡對加密的接入認(rèn)證請求進(jìn)行解密。
[0092]步驟423,智能卡將解密后的認(rèn)證請求返回給客戶端程序。
[0093]步驟424,客戶端程序?qū)⒄J(rèn)證請求發(fā)送給用戶識別模塊.[0094]步驟425,用戶識別模塊計(jì)算生成認(rèn)證信息。
[0095]步驟426,用戶識別模塊將認(rèn)證信息通過認(rèn)證響應(yīng)返回給客戶端程序。
[0096]步驟427,客戶端程序?qū)⒄J(rèn)證響應(yīng)提交給智能卡。
[0097]步驟428,智能卡對認(rèn)證響應(yīng)進(jìn)行加密。
[0098]步驟429,智能卡將加密后的認(rèn)證響應(yīng)返回給客戶端程序。
[0099]步驟430,客戶端程序?qū)⒓用芎蟮恼J(rèn)證響應(yīng)回復(fù)給管理平臺。
[0100]步驟431,管理平臺解密認(rèn)證響應(yīng),并驗(yàn)證其合法性;管理平臺將認(rèn)證響應(yīng)交由接入認(rèn)證中心驗(yàn)證。
[0101]步驟432,接入認(rèn)證中心驗(yàn)證用戶。
[0102]步驟433,接入認(rèn)證中心將認(rèn)證結(jié)果發(fā)送給管理平臺。
[0103]步驟434,管理平臺根據(jù)驗(yàn)證結(jié)果和預(yù)先設(shè)定的綁定規(guī)則,確定綁定關(guān)系是否合法。
[0104]步驟435,管理平臺將綁定驗(yàn)證結(jié)果加密后返回給客戶端程序。
[0105]步驟436,客戶端程序?qū)⒓用艿慕壎?yàn)證結(jié)果提交給智能卡。
[0106]步驟437,智能卡解密綁定驗(yàn)證結(jié)果,根據(jù)綁定驗(yàn)證結(jié)果判斷終端的合法性,并決定是否提供服務(wù)。
[0107]上述實(shí)施例中,通過對認(rèn)證信息、綁定結(jié)果進(jìn)行加密,提高了綁定的安全可靠,防止綁定關(guān)系被偽造。[0108]圖5示出本發(fā)明的網(wǎng)絡(luò)側(cè)管理平臺的一個實(shí)施例的結(jié)構(gòu)圖。如圖5所示,該網(wǎng)絡(luò) 側(cè)管理平臺可應(yīng)用于移動終端智能卡與用戶識別模塊安全綁定,包括:安全連接建立模塊 51,用于和移動終端建立基于智能卡的安全連接;接入認(rèn)證模塊52,用于基于安全連接在 移動終端的用戶識別模塊與網(wǎng)絡(luò)側(cè)接入認(rèn)證中心之間模擬接入認(rèn)證流程;綁定關(guān)系驗(yàn)證模 塊53,用于根據(jù)接入認(rèn)證結(jié)果和預(yù)先設(shè)定的綁定規(guī)則,驗(yàn)證智能卡和用戶識別模塊之間的 綁定關(guān)系,將綁定關(guān)系驗(yàn)證結(jié)果發(fā)送給智能卡,以便智能卡根據(jù)綁定關(guān)系驗(yàn)證結(jié)果確定是 否提供服務(wù)。智能卡例如包括TF或SD接口的CPU卡、或移動可信模塊MTM ;和/或用戶識 別模塊包括WM、SM、或USIM。綁定規(guī)則可以規(guī)定智能卡和與用戶信號信息相關(guān)的用戶或 用戶群之間的綁定關(guān)系,限制智能卡只能供特定的用戶、用戶群使用。
[0109]圖6示出本發(fā)明的網(wǎng)絡(luò)側(cè)管理平臺的另一個實(shí)施例的結(jié)構(gòu)圖。如圖6所示,該實(shí) 施例中網(wǎng)絡(luò)側(cè)管理平臺包括:安全連接建立模塊61、接入認(rèn)證模塊52、和綁定關(guān)系驗(yàn)證模 塊63。其中,安全連接建立模塊61包括:智能卡認(rèn)證單元611,用于在移動終端接入網(wǎng)絡(luò)后 對智能卡進(jìn)行身份認(rèn)證;關(guān)鍵信息保護(hù)模塊612,用于智能卡身份認(rèn)證通過后,對移動終端 和網(wǎng)絡(luò)側(cè)管理平臺之間的通信關(guān)鍵信息進(jìn)行加密、簽名。
[0110]在一個實(shí)施例中,綁定關(guān)系驗(yàn)證模塊63包括:綁定規(guī)則存儲單元631,用于存儲智 能卡和用戶識別模塊之間的綁定規(guī)則;綁定關(guān)系驗(yàn)證單元632,用于根據(jù)接入認(rèn)證結(jié)果和 預(yù)先設(shè)定的綁定規(guī)則,驗(yàn)證智能卡和用戶識別模塊之間的綁定關(guān)系,將綁定關(guān)系驗(yàn)證結(jié)果 發(fā)送給智能卡,以便智能卡根據(jù)綁定關(guān)系驗(yàn)證結(jié)果確定是否提供服務(wù)。
[0111]圖5-6實(shí)施例中管理平臺可以參見上文中關(guān)于方法的對應(yīng)描述,為簡潔起見在此 不再詳細(xì)描述。
[0112]本文中的多個實(shí)施例實(shí)現(xiàn)了移動終端智能卡與用戶識別模塊的安全綁定,限制智 能卡在特定的移動終端上使用,從而起到智能卡防盜用、智能卡鎖定的作用,既增強(qiáng)智能卡 的安全性,又可保障運(yùn)營商的利益。
[0113]至此,已經(jīng)詳細(xì)描述了根據(jù)本發(fā)明的智能卡和用戶識別模塊安全綁定方法和系 統(tǒng)。為了避免遮蔽本發(fā)明的構(gòu)思,沒有描述本領(lǐng)域所公知的一些細(xì)節(jié)。本領(lǐng)域技術(shù)人員根 據(jù)上面的描述,完全可以明白如何實(shí)施這里公開的技術(shù)方案。
[0114]可能以許多方式來實(shí)現(xiàn)本發(fā)明的方法和系統(tǒng)。例如,可通過軟件、硬件、固件或者 軟件、硬件、固件的任何組合來實(shí)現(xiàn)本發(fā)明的方法和系統(tǒng)。用于所述方法的步驟的上述順序 僅是為了進(jìn)行說明,本發(fā)明的方法的步驟不限于以上具體描述的順序,除非以其它方式特 別說明。此外,在一些實(shí)施例中,還可將本發(fā)明實(shí)施為記錄在記錄介質(zhì)中的程序,這些程序 包括用于實(shí)現(xiàn)根據(jù)本發(fā)明的方法的機(jī)器可讀指令。因而,本發(fā)明還覆蓋存儲用于執(zhí)行根據(jù) 本發(fā)明的方法的程序的記錄介質(zhì)。
[0115]雖然已經(jīng)通過示例對本發(fā)明的一些特定實(shí)施例進(jìn)行了詳細(xì)說明,但是本領(lǐng)域的技 術(shù)人員應(yīng)該理解,以上示例僅是為了進(jìn)行說明,而不是為了限制本發(fā)明的范圍。本領(lǐng)域的技 術(shù)人員應(yīng)該理解,可在不脫離本發(fā)明的范圍和精神的情況下,對以上實(shí)施例進(jìn)行修改。本發(fā) 明的范圍由所附權(quán)利要求來限定。
【權(quán)利要求】
1.一種移動終端智能卡與用戶識別模塊安全綁定方法,其特征在于,包括:網(wǎng)絡(luò)側(cè)管理平臺和所述移動終端建立基于所述智能卡的安全連接;基于所述安全連接在所述移動終端的用戶識別模塊與網(wǎng)絡(luò)側(cè)接入認(rèn)證中心之間模擬接入認(rèn)證流程;所述網(wǎng)絡(luò)側(cè)管理平臺根據(jù)接入認(rèn)證結(jié)果和預(yù)先設(shè)定的綁定規(guī)則,驗(yàn)證所述智能卡和所述用戶識別模塊之間的綁定關(guān)系,將綁定關(guān)系驗(yàn)證結(jié)果發(fā)送給所述智能卡,以便所述智能卡根據(jù)所述綁定關(guān)系驗(yàn)證結(jié)果確定是否提供服務(wù)。
2.如權(quán)利要求1所述的方法,其特征在于,所述基于所述安全連接在所述移動終端的用戶識別模塊與網(wǎng)絡(luò)側(cè)接入認(rèn)證中心之間模擬接入認(rèn)證流程包括:所述網(wǎng)絡(luò)側(cè)管理平臺模擬移動通信網(wǎng)絡(luò)中拜訪位置寄存器VLR網(wǎng)元的角色從接入認(rèn)證中心取得認(rèn)證向量,向所述移動終端的客戶端程序發(fā)起認(rèn)證請求;所述客戶端程序?qū)⒄J(rèn)證請求提交給所述用戶識別模塊,得到所述用戶識別模塊返回的認(rèn)證響應(yīng);所述客戶端程序?qū)⑺稣J(rèn)證響應(yīng)經(jīng)所述安全連接返回給所述網(wǎng)絡(luò)側(cè)管理平臺;所述網(wǎng)絡(luò)側(cè)管理平臺確認(rèn)消息合法后,將該響應(yīng)提交給接入認(rèn)證中心進(jìn)行驗(yàn)證;所述網(wǎng)絡(luò)側(cè)管理平臺得到認(rèn)證結(jié)果。
3.如權(quán)利要求1所述的方法,其特征在于,所述移動終端和網(wǎng)絡(luò)側(cè)管理平臺建立基于所述智能卡的安全連接包括:所述移動終端接入網(wǎng)絡(luò)后 所述網(wǎng)絡(luò)側(cè)管理平臺對所述智能卡進(jìn)行身份認(rèn)證;所述智能卡身份認(rèn)證通過后,所述移動終端和所述網(wǎng)絡(luò)側(cè)管理平臺之間的通信關(guān)鍵信息分別由所述網(wǎng)絡(luò)側(cè)管理平臺和所述智能卡進(jìn)行加密、簽名,經(jīng)所述網(wǎng)絡(luò)側(cè)管理平臺和所述智能卡確認(rèn)。
4.如權(quán)利要求3所述的方法,其特征在于,所述關(guān)鍵信息包括所述移動終端的認(rèn)證響應(yīng)、所述網(wǎng)絡(luò)側(cè)管理平臺返回的綁定關(guān)系驗(yàn)證結(jié)果。
5.如權(quán)利要求1至4中任意一項(xiàng)所述的方法,其特征在于,所述智能卡包括閃存TF或安全數(shù)碼SD接口的CPU卡、或移動可信模塊MTM ;和/或所述用戶識別模塊包括用戶識別模塊WM、用戶識別卡SM、或全球用戶識別卡USM。
6.如權(quán)利要求1所述的方法,其特征在于,所述綁定規(guī)則規(guī)定智能卡和與用戶信號信息相關(guān)的用戶或用戶群之間的綁定關(guān)系,限制智能卡只能供特定的用戶、用戶群使用。
7.—種網(wǎng)絡(luò)側(cè)管理平臺,應(yīng)用于移動終端智能卡與用戶識別模塊安全綁定,其特征在于,包括:安全連接建立模塊,用于和所述移動終端建立基于所述智能卡的安全連接;接入認(rèn)證模塊,用于基于所述安全連接在所述移動終端的用戶識別模塊與網(wǎng)絡(luò)側(cè)接入認(rèn)證中心之間模擬接入認(rèn)證流程;綁定關(guān)系驗(yàn)證模塊,用于根據(jù)接入認(rèn)證結(jié)果和預(yù)先設(shè)定的綁定規(guī)則,驗(yàn)證所述智能卡和所述用戶識別模塊之間的綁定關(guān)系,將綁定關(guān)系驗(yàn)證結(jié)果發(fā)送給所述智能卡,以便所述智能卡根據(jù)所述綁定關(guān)系驗(yàn)證結(jié)果確定是否提供服務(wù)。
8.如權(quán)利要求7所述的管理平臺,其特征在于,所述安全連接建立模塊包括:智能卡認(rèn)證單元,用于在所述移動終端接入網(wǎng)絡(luò)后對所述智能卡進(jìn)行身份認(rèn)證;關(guān)鍵信息保護(hù)模塊,用于所述智能卡身份認(rèn)證通過后,對所述移動終端和所述網(wǎng)絡(luò)側(cè)管理平臺之間的通信關(guān)鍵信息進(jìn)行加密、簽名。
9.如權(quán)利要求7所述的管理平臺,其特征在于,所述綁定關(guān)系驗(yàn)證模塊包括:綁定規(guī)則存儲單元,用于存儲所述智能卡和所述用戶識別模塊之間的綁定規(guī)則;綁定關(guān)系驗(yàn)證單元,用于根據(jù)接入認(rèn)證結(jié)果和預(yù)先設(shè)定的綁定規(guī)則,驗(yàn)證所述智能卡和所述用戶識別模塊之間的綁定關(guān)系,將綁定關(guān)系驗(yàn)證結(jié)果發(fā)送給所述智能卡,以便所述智能卡根據(jù)所述綁定關(guān)系驗(yàn)證結(jié)果確定是否提供服務(wù)。
10.如權(quán)利要求7至9中任意一項(xiàng)所述的管理平臺,其特征在于,所述智能卡包括閃存TF或安全數(shù)碼SD接口的CPU卡、或移動可信模塊MTM ;和/或所述用戶識別模塊包括用戶識別模塊WM、用戶識別卡SM、或全球用戶識別卡USM。
11.如權(quán)利要求7所 述的管理平臺,其特征在于,所述綁定規(guī)則規(guī)定智能卡和與用戶信號信息相關(guān)的用戶或用戶群之間的綁定關(guān)系,限制智能卡只能供特定的用戶、用戶群使用。
12.—種移動終端智能卡與用戶識別模塊安全綁定系統(tǒng),其特征在于,包括:移動終端,所述移動終端包括智能卡和用戶識別模塊;以及如權(quán)利要求7至11中任意一項(xiàng)所述的網(wǎng)絡(luò)側(cè)管理平臺。
【文檔編號】H04W12/02GK103581873SQ201210259827
【公開日】2014年2月12日 申請日期:2012年7月25日 優(yōu)先權(quán)日:2012年7月25日
【發(fā)明者】劉國榮, 劉東鑫, 沈軍, 金華敏, 馮明, 汪來富 申請人:中國電信股份有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
1