电信智能卡与终端的认证方法
技术领域
本发明涉及数据安全领域,尤其涉及一种电信智能卡与终端的认证方法。
背景技术
为了配合村村通工程,发展农村地区的客户,中国移动、中国联通在全国范围推广了无线商务电话、无线公话,按照固定电话资费标准收费,由于这种收费标准比普通移动电话便宜,导致有些人采用盗卡或并卡的形式,将无线商务电话、无线公话的电信智能卡放在如手机一类的移动终端内使用,造成了大量话费流失、干扰了正常资费政策。而现有技术中,无线网只对电信智能卡进行认证、鉴权,而对于上述的盗卡、并卡则无能为力。
在现有的无线网络中,为有效的对用户的身份进行认证、鉴权处理,同时保证这些关键数据不能够被其他人有意或者无意的获取,用户的鉴权密钥和鉴权算法等信息都不能在网上传送,而是通过独特的鉴权流程在电信智能卡、终端和网络管理设备之间交互,从而完成用户的鉴权、认证,并最大限度的防上用户信息被盗用。基于这一需要,现有技术中无线网对电信智能卡进行认证、鉴权方法为:将网络终端的用户认证信息(包括鉴权密钥和鉴权算法等)存储在电信智能卡中。网络管理设备发送一个随机数给终端,终端将此随机数转发给电信智能卡,电信智能卡用此随机数和事先存储的鉴权密钥执行相应的鉴权算法,算法执行完毕后导出鉴权校验字,然后电信智能卡将鉴权校验字通过终端发送给网络管理设备。同时网络管理设备也使用此随机数进行相同的算法,然后将结果和终端发过来的鉴权校验字比较,如果相同,则网络终端用户可以正常的使用网络运营商提供的各项服务,如果不相同,则禁止用户登陆网络。以上鉴权方法实现了对移动网络终端用户的认证、鉴权处理,以防上未被授权的电信智能卡使用网络。但是,无法保证防止未经授权的终端如普通手机使用无限商务电话、无线公话的电信智能卡。
发明内容
针对上述现有技术中的问题和不足,本发明的目的是提出一种能够避免电信智能卡被移动终端任意盗用的电信智能卡与终端的认证方法。
为了解决上述问题,本发明提出一种电信智能卡与终端的认证方法,具体为:
(一)在电信智能卡和授权的终端内预设有相同的算法;
(二)在电信智能卡复位后,执行网络鉴权过程前,所述电信智能卡将存储的用户认证信息修改成假信息;
(三)电信智能卡与终端之间使用步骤(一)所述的算法进行认证;
(四)如果认证通过,所述智能卡将所述用户认证信息恢复为真信息;如果认证失败,则所述电信智能卡保持当前假信息。
(五)执行网络鉴权。
其中,所述步骤(三)具体为:
(A)电信智能卡向终端发送数据;
(B)所述电信智能卡使用步骤(一)所述算法对所述数据进行计算;所述终端对所述数据进行相同的计算;
(C)所述终端将计算结果发送给所述电信智能卡;
(D)所述电信智能卡将所述电信智能卡的计算结果与所述终端的计算结果进行比较认证。
其中,所述用户认证信息为国际移动用户识别号或用户鉴权密钥。
其中,所述用户认证信息为国际移动用户识别号和用户鉴权密钥。
其中,所述步骤(A)具体为:所述电信智能卡通过Getinput指令将所述数据发送到所述终端;
所述步骤(C)具体为:所述终端通过Terminal Response指令将所述计算结果发送到所述电信智能卡。
其中,所述步骤(A)中所述电信智能卡向终端发送的数据包括:随机数、主密钥和特征字。
其中,所述步骤(B)具体为:
(I)终端和电信智能卡分别对所述主密钥用随机数进行分散,得到分散密钥;
(II)终端和电信智能卡分别使用所述分散密钥将所述随机数进行加密;
(III)终端和电信智能卡分别将步骤(II)所得结果添加所述特征字。
其中,所述步骤(A)中所述电信智能卡向终端发送的数据包括:明文和密钥。
其中,所述步骤(B)具体为:
①终端和电信智能卡分别对所述明文进行相同的处理
②终端和电信智能卡分别使用所述密钥对步骤①的结果进行加密;
③终端和电信智能卡分别将步骤②所得的加密数据添加明文。
在现有方法中,电信智能卡与终端之间不进行认证。本发明提出的电信智能卡与终端的认证方法,在每次电信智能卡复位后都与终端进行认证,只需在电信智能卡和授权使用该电信智能卡的终端中预设有相同的算法,并使用该算法在电信智能卡和终端之间进行认证,由于现有的普通移动终端如普通手机内均未设有该算法,从而使未经授权的移动终端无法使用该电信智能卡,能够有效的防止移动终端使用无线商务电话、无线公话的电信智能卡造成无法管理和话费流失的问题。
附图说明
图1是本发明优选实施例流程图;
图2是本发明优选实施例中电信智能卡与终端认证流程图。
具体实施方式
下面结合附图对本发明作进一步的详细描述。
本发明优选实施例如图1所示,包括以下步骤:
(一)在电信智能卡和授权的终端内预设有相同的算法;
(二)在电信智能卡复位后,执行网络鉴权过程前,所述电信智能卡将存储的用户认正信息修改成假信息;
(三)电信智能卡与终端之间使用步骤(一)所述的算法进行认证;
(四)如果认证通过,所述智能卡将所述用户认证信息恢复为真信息;如果认证失败,则所述电信智能卡保持当前假信息。
(五)执行网络鉴权。
采用上述方法,电信智能卡在每次复位后都与终端进行一次认证,如果认证不通过则智能卡将虚假的用户认证信息通知终端,导致终端无法在电信网络注册,从而使未经授权的移动终端无法使用该电信智能卡,能够有效的防止移动终端使用无线商务电话、无线公话的电信智能卡造成无法管理和话费的流失的问题。
作为优选方案,上述方法中步骤(三)如图2所示,具体为:
(A)电信智能卡向终端发送数据;
(B)所述电信智能卡和所述终端分别使用步骤(一)所述算法对所述数据进行计算;只需在授权使用该电信智能卡的终端内预设有相同的算法,普通手机内不设有此算法,就能方便的达到认证的效果;
(C)所述终端将计算结果发送给所述电信智能卡;
(D)所述电信智能卡将所述电信智能卡的计算结果与所述终端的计算结果进行比较认证。
下面结合实例对本发明优选实施例做进一步说明:
例1:以无线公话为例,本发明的处理方法如下:
首先,将认证算法存储在智能卡上,并在无线公话内也存储有相同的认证算法;
1、电信智能卡在复位后,执行网络鉴权过程前,将进行网络鉴权的用户认证信息(目前用户认证信息仅包括:国际移动用户识别号International Mobile Subscribler Identity简称IMSI、用户鉴权密钥KeyInformation简称KI,在3G时增加新的用户认证信息)修改为假信息,修改用户认证信息可以改其中之一,较佳的,是改所有的用户认证信息;
2、电信智能卡通过Getinput指令向终端发送特征字、随机数和主密钥;
3、终端收到电信智能卡传送的数据后,对主密钥用随机数进行分散得到分散密钥,用这个分散密钥对随机数进行3DES加密,得到的加密数据添加特征字后,通过Terminal Response指令返回给智能卡;此步骤的具体计算方法包括但不限于此例;
4、终端计算的同时,电信智能卡也进行同样的算法计算;
5、电信智能卡把自身计算的结果和终端返回的结果进行比较:如果两个结果一致,则再次修改用户认证信息(IMSI、KI),将这些信息修改为真信息,步骤结束;如果比较不一致,步骤结束;
6、执行网络鉴权。
根据现有的网络认证方法,终端和电信智能卡之间的认证结果会影响电信智能卡在网络管理设备的注册结果。如果终端是授权能够使用该智能电信卡的无线商务终端,则此前终端与电信智能卡之间的认证通过,电信智能卡进行网络鉴权的用户认证信息是真信息,则电信智能卡能够顺利的在网络管理设备注册,电信智能卡可以登陆网络正常使用。如果终端是普通手机,则此前终端与电信智能卡之间的认证失败,电信智能卡进行网络鉴权的用户认证信息是假信息,则电信智能卡无法在网络管理设备注册,无法登录网络进行使用。如此能够防止未经授权的终端使用电信智能卡。
例2:以无线商务电话为例,本发明的处理方法如下:
首先,将用户的认证信息和认证算法存储在智能卡上并在无线商务电话内也存储有相同的算法;
1、电信智能卡在复位后,执行网络鉴权过程前,将进行网络鉴权的用户认证信息(国际移动用户识别号International Mobile SubscriblerIdentity、用户鉴权密钥KI)修改为假信息;
2、智能卡通过Getinkey指令向终端发送明文和密钥;
3、终端收到智能卡传送的数据后,对明文进行HASH算法,并使用密钥对HASH算法的结果进行DES加密,得到的加密数据添加明文后,通过Terminal Response指令返回给智能卡;此步骤的具体计算方法包括但不限于此例;
4、终端计算的同时,智能卡也进行同样的算法计算;
5、智能卡把自身计算的结果和终端返回的结果进行比较:如果两个结果一致,则再次修改用户认证信息(IMSI、KI),将这些信息修改为真信息,步骤结束;如果比较不一致,不执行修改操作;
6、执行网络鉴权。
根据现有的网络认证方法,终端和电信智能卡之间的认证结果会影响电信智能卡在网络管理设备的注册结果。如果终端是授权能够使用该智能电信卡的无线商务终端,则此前终端与电信智能卡之间的认证通过,电信智能卡进行网络鉴权的用户认证信息是真信息,则电信智能卡能够顺利的在网络管理设备注册,电信智能卡可以登陆网络正常使用。如果终端是普通手机,则此前终端与电信智能卡之间的认证失败,电信智能卡进行网络鉴权的用户认证信息是假信息,则电信智能卡无法在网络管理设备注册,无法登录网络进行使用。如此能够防止未经授权的终端使用电信智能卡。