CN101521886B - 一种对终端和电信智能卡进行认证的方法和设备 - Google Patents
一种对终端和电信智能卡进行认证的方法和设备 Download PDFInfo
- Publication number
- CN101521886B CN101521886B CN2009100772735A CN200910077273A CN101521886B CN 101521886 B CN101521886 B CN 101521886B CN 2009100772735 A CN2009100772735 A CN 2009100772735A CN 200910077273 A CN200910077273 A CN 200910077273A CN 101521886 B CN101521886 B CN 101521886B
- Authority
- CN
- China
- Prior art keywords
- terminal
- control
- authentication
- monitor console
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
- Telephone Function (AREA)
Abstract
本发明公开了一种对终端和电信智能卡进行认证的方法和设备,涉及数据安全领域,能够有效遏制通过机卡分离。本发明实施例提供的方法包括:在执行网络鉴权前,将电信智能卡中的网络鉴权用户认证信息置为假信息;执行电信智能卡和终端之间的认证;当认证通过时,将电信智能卡中的网络鉴权用户认证信息置为真信息;根据网络鉴权用户认证信息,执行网络鉴权;在通过网络鉴权后,终端首次使用时或电信智能卡发生更换时,监控台获取终端信息,并进行验证,生成验证信息,终端获取来自监控台的验证信息并保存验证通过与否的状态;终端根据所述验证信息判断终端是否通过监控台的验证,若是,允许用户使用该终端,若否,限制用户使用该终端。
Description
技术领域
本发明涉及数据安全领域,尤其涉及一种对终端和电信智能卡进行认证的方法、终端和网络设备。
背景技术
随着无线通讯技术的飞速发展,无线通讯产品由于其强大的功能被广泛应用到各个领域。为了在激烈的市场竞争中抢占市场份额,移动运营商推出了无线公话/无线商话等具有无线功能的终端产品,迅速占领了很大份额的固话市场。
并且,为了迅速拓展城市政府、企业和家庭用户及农村的用户市场,移动运营商在推广模式和资费方案上都采用了大力度的“补贴”政策,如无线商话、无线公话的无线业务按照固定电话资费标准收费,按非常低的价格向用户出售无线公话/无线商话等终端,低廉的资费和设备购置开销吸引了大量的客户,使移动运营商在通讯领域的业务迅速扩大。
然而,随着这种业务的广泛推广,产生了不少问题。由于移动运营商的“补贴”政策,许多不法分子由于利益驱动,采用盗卡或并卡的形式,将无线商话、无线公话的电信智能卡放在如手机一类的移动终端内使用,盗用大量话费。甚至出现不法商人批量地进行“机卡分离”操作,将分离后的终端机以低价在异地进行销售,而将分离后的智能卡直接销售给普通手机用户使用,从中牟取暴利。不法分子的这种做法严重冲击了正常的市场秩序,造成了大量话费的流失、干扰了正常资费政策,同时也使授权的终端产商蒙受了严重的损失。
针对上述套卡的问题,目前主要采用异型卡和加密卡两种解决方案。异型卡方案指采用硬件修改智能卡(如SIM卡)的管脚或内部电路,或改变智能卡物理形状的手段,使修改后的非标准智能卡无法放入普通手机中使用。加密卡方案指采用软件的实现方式,通过加密的手段对智能卡的内部信息进行加密,只有拥有密匙的终端设备才能正常的读取卡上的信息。然而现有的技术方案,不仅导致了终端故障率的上升、维护的不便,同时随着加密破解手段的不断出现,非法套卡的现象仍时有出现。而针对套机问题则还未出现可行的解决方案。
发明内容
为了解决现有技术中存在的套卡、套机问题,本发明的实施例提供了一种对终端和电信智能卡进行认证的方法、终端和网络设备,用于避免由于电信智能卡被未经授权的终端盗用,及非法销售授权的无线商务电话、无线公话,给运营商和终端厂商带来的损失。
为达到上述目的,本发明的实施例采用如下技术方案:
一种对终端和电信智能卡进行认证的方法,所述方法包括:
在执行网络鉴权前,将电信智能卡中的网络鉴权用户认证信息置为假信息;
执行电信智能卡和终端之间的认证;
当认证通过时,将所述电信智能卡中的网络鉴权用户认证信息置为真信息;
根据所述网络鉴权用户认证信息,执行网络鉴权;
在通过网络鉴权后,终端首次使用时或电信智能卡发生更换时,监控台获取终端信息,并进行验证,生成验证信息,所述终端获取来自监控台的验证信息并保存验证通过与否的状态;
所述终端根据所述验证通过与否的状态判断该终端是否通过监控台的验证,若是,允许用户使用该终端,若否,限制用户使用该终端。
一种终端,该终端包括:
嵌入式安全模块,用于嵌入在所述终端中,通过作为传输通道的所述终端,和电信智能卡进行认证;其中,在嵌入式安全模块和所述电信智能卡中预置用于认证的相同的加密算法和保证相同的认证密钥;
信息处理模块,用于在所述嵌入式安全模块和电信智能卡认证成功且通过网络鉴权后,当首次使用时或电信智能卡发生更换时,向监控台发送终端信息,以获取来自监控台的验证信息并保存验证通过与否的状态;
认证授权模块,用于根据所述信息处理模块获取的验证通过与否的状态信息,判断该终端和电信智能卡是否通过监控台的认证,若是,允许用户正常使用该终端,若否,限制用户使用该终端。
一种网络设备,该设备包括:
接收模块,用于接收终端信息;
验证模块,用于当终端首次使用时或电信智能卡发生更换时,对所述接收模块接收到的终端信息进行验证,生成验证信息;
通讯模块,用于将所述验证模块生成的验证信息发送至所述终端。
本发明实施例提供的技术方案,电信智能卡和终端之间能够进行认证,且监控台能够对终端的有效性进行验证并生成验证信息,只有当电信智能卡认证成功且终端根据该验证信息判断该终端通过监控台的验证时,才允许用户使用该终端和电信智能卡。本发明的实施例通过终端验证结合监控台管理的方法,能够保证在授权的范围内使用电信智能卡和相应的终端,有效遏制了通过机卡分离,非法盗用话费、套销终端机现象的发生,避免了话费的流失、维护了正常的资费政策和运营商与终端厂商的合法利益。
附图说明
图1为本发明实施例一提供的对终端和电信智能卡进行认证的方法流程图;
图2为本发明实施例一提供的对终端和电信智能卡进行认证方法示意图;
图3为本发明实施例一提供的网络鉴权后对终端进行认证方法流程示意图;
图4为本发明实施例一提供的监控台对终端进行验证的方法流程示意图;
图5为本发明实施例二提供的终端结构示意图;
图6为本发明实施例三提供的网络设备结构示意图;
图7为本发明实施例三提供的一种人机交互界面示意图。
具体实施方式
为了更清楚地说明本发明实施例的技术方案,下面将结合附图对本发明的实施例进行详细的介绍,下面的描述仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些实施例获得本发明的其它的实施方式。
本发明实施例一主要通过一种终端验证结合平台管理的方案,解决SIM卡被盗打和终端机被套销等套卡、套机问题。在终端验证方面,优选的,采用终端与嵌入式安全模块(Embedded Security Access Module,ESAM)进行认证的方法,无需对标准硬件进行改动,节省成本且设置、维护方便,故障率低;在平台管理方面,采用一种首创的在线验证模式,可对终端和电信智能卡的有效性进行集中验证,安全性高。
本发明实施例一提供了一种对终端和电信智能卡进行认证的方法,如图1所示,所述方法包括:
步骤11:在执行网络鉴权前,将电信智能卡中的网络鉴权用户认证信息置为假信息;
上述网络鉴权用户认证信息包括国际移动用户识别号(InternationalMobile Subscribler Identity,IMSI)和/或用户鉴权密钥(Key Information,KI)。但不限于此,不同的通信制式,可以采用对应的网络鉴权用户认证信息,例如,可根据3G标准增加新的网络鉴权用户认证信息。可以将网络鉴权用户认证信息中的一种或多种修改为假信息,也可将所有的网络鉴权用户认证信息都修改为假信息。
步骤12:执行电信智能卡和终端之间的认证;
优选地,本发明实施例一通过将加密算法和认证密钥设置在电信智能卡和终端内的嵌入式安全模块(Embedded Security Access Module,ESAM)中,在电信智能卡和嵌入式安全模块之间进行认证,而终端作为两者之间数据的传输通道。
步骤13:当认证通过时,将所述电信智能卡中的网络鉴权用户认证信息置为真信息;
若电信智能卡和ESAM之间认证未通过,表明当前的电信智能卡为未授权的智能卡,不允许用户使用该终端。
步骤14:根据所述网络鉴权用户认证信息,执行网络鉴权;
步骤15:在通过网络鉴权后,终端首次使用时或电信智能卡发生更换时,监控台获取终端信息,并进行验证,生成验证信息,所述终端获取来自监控台的验证信息并保存验证通过与否的状态;
监控台可采用多种方式获取终端信息,例如,监控台实时采集该终端信息或预先配置该终端信息,并对该终端信息进行验证,生成验证信息。监控台可定时或根据接收到的命令向终端发送验证信息。
为了节省网络资源,且确保对当前终端的信息进行验证,优选的本发明实施例中,当需要根据验证信息对终端进行验证时,进行如下处理:
所述终端向监控台发送注册信息,上述监控台获取的终端信息为该注册信息,该注册信息包括电信智能卡认证信息和终端认证信息;所述监控台对接收到的注册信息进行验证后,将生成的验证信息发送至该终端;
其中,优选地,所述电信智能卡认证信息可以包括国际移动用户识别号IMSI,所述终端认证信息可以包括国际移动设备身份标识IMEI及终端归属区域码,但不限于此,所述电信智能卡认证信息还可以包括卡商代码、卡批次、卡版本号及卡归属区域码等,所述终端认证信息可以包括终端厂商代码、终端软件版本号等。
上述验证信息中还可包括验证状态指示标识,用以指示验证通过与否的状态,终端保存该验证通过与否的状态时,可以保存验证信息的所有内容,也可以只保存该验证状态指示标识。
步骤16:所述终端根据所述验证通过与否的状态判断该终端是否通过监控台的验证,若是,允许用户使用该终端,若否,限制用户使用该终端。
所述终端判断所述验证信息指示通过验证时,允许用户使用该终端,所述终端判断所述验证信息指示未通过验证时,限制用户使用该终端。
在电信智能卡和ESAM之间通过认证,终端登陆网络后,若未通过监控台的验证,限制用户使用该终端,这种限制的处理方式可以为禁止终端进行通讯或接受人机交互界面输入的指令,如接收终端输入的指令,允许终端以短信的方式发送消息。
进一步地,为了在授权的正常范围内,确保用户都能使用终端,用户可以在允许范围内再次进行验证,这时,还包括:
当终端没有获取到来自监控台的验证信息时,终端向监控台重发终端信息,如注册信息,利用重新获取的验证信息再次进行判断。
进一步地,本发明实施例一中,通过网络鉴权后,终端还可以对电信智能卡进行认证,还包括:
所述终端保存来自监控台的验证信息中携带的电信智能卡的IMSI;
所述终端判断是否存在所述验证信息中携带的IMSI,若不存在,判定终端为首次使用,所述终端向监控台发送注册信息,重新获取所述IMSI;
若存在,所述终端读取所述电信智能卡的IMSI,并与终端存储的IMSI进行对比;IMSI对比不一致时,判定电信智能卡发生更换,并向监控台发送所述终端信息,如注册信息,并用所述读取的IMSI替换终端,或清空原保存的IMSI并存储重新获取到的IMSI。
即只有当终端判断验证通过且所保存的电信智能卡的IMSI与当前电信智能卡的IMSI一致时,允许用户正常使用该终端。
为防止恶意攻击,当所述终端重发终端信息的次数大于预定次数时,如大于3次时,不再重发信息。
本发明实施例一提供的方法,电信智能卡和终端内的ESAM之间能够进行认证,且监控台能够对终端的有效性进行验证并生成验证信息,只有当电信智能卡认证成功且终端根据该验证信息判断该终端通过监控台的验证时,才允许用户使用该终端和电信智能卡。本发明的实施例通过终端验证结合监控台管理的方法,能够保证在授权的范围内使用电信智能卡和相应的终端,有效遏制了通过机卡分离,非法盗用话费、套销终端机现象的发生,避免了话费的流失、维护了正常的资费政策和运营商与终端厂商的合法利益。
参见图2,下面以一台终端的具体处理场景为例,进一步说明本发明实施例一的技术方案,该终端包括但不局限于各种类型的无线商话、无线公话及手持商话等无线产品。在该终端中包含用户身份识别模块(Subscriber IdentityModule,SIM)卡和ESAM,具体包括如下处理:
步骤T1:终端开机上电后,验证ESAM是否存在,若不存在,不允许用户使用该终端;若存在,在SIM卡和ESAM之间,利用作为传输通道的终端进行认证。
为保证SIM卡不被盗用,只有在终端中存在ESAM且SIM卡与ESAM认证成功时,才进行后续的监控台管理操作。
下面对本发明实施例中SIM卡和ESAM之间,利用作为传输通道的终端进行认证的过程进行介绍。
首先,在电信智能卡SIM卡和嵌入式安全模块ESAM中预置相同的加密算法和保证相同的认证密钥,ESAM位于所述终端内;且执行网络鉴权前,将SIM卡中的网络鉴权用户认证信息置为假信息。
应当注意到,终端在上电后,对SIM卡中的网络鉴权用户认证信息置为假信息的操作和验证ESAM是否存在的操作是两个互不干扰独立的操作。
上述加密算法可采用任何合适的算法,保证相同的认证密钥的方式也有多种,例如,在ESAM中设置主密钥(可由移动运营商提供),进行认证时,ESAM将该主密钥经过特征因子分散得到的子密钥作为认证密钥;电信智能卡将存储的该主密钥经过特征因子分散得到的子密钥作为认证密钥。
SIM卡与ESAM的认证过程可以包括如下步骤T11至T13:
步骤T11:SIM卡通过终端向ESAM发送认证数据;
所述认证数据包括随机数和特征因子。特征因子为SIM卡的专有信息,如集成电路卡识别码(ICCID)、用户鉴权密钥(KI)和国际移动用户识别号(IMSI)等。特征因子不同,主密钥根据不同的特征因子进行分散运算时,得到的子密钥也不同。SIM卡发送的特征因子,为SIM卡上存储的子密钥对应的特征因子。
步骤T12:ESAM利用所述加密算法和认证密钥对接收到认证数据进行计算,获取反馈结果并通过终端将该反馈结果发送给SIM卡;
首先,ESAM利用接收到的特征因子对主密钥进行分散,当终端为合法的授权终端时,ESAM获取到的子密钥,与SIM卡中存储的子密钥相同;否则,与SIM卡中存储的子密钥不同。
然后,ESAM利用获取到的子密钥通过配置的加密算法对随机数进行加密,获取反馈结果并通过终端发送给SIM卡。
步骤T13:SIM卡对反馈结果进行认证。
在执行步骤T11和步骤T12的同时,SIM卡利用配置的加密算法和认证密钥对认证数据进行计算,获取计算结果。
SIM卡利用该计算结果对反馈结果进行认证,若不相同,则将SIM卡中的网络鉴权用户认证信息保持为当前的假信息,限制话机使用,不执行网络鉴权;若相同,则将SIM卡中的网络鉴权用户认证信息置为真信息,终端发起网络鉴权流程。
步骤T2:执行网络鉴权流程。
当上述网络鉴权用户认证信息为真时,网络授权终端正常登陆网络。网络鉴权通过后,就可以使用电信网络,具体实现技术在此不再赘述。
步骤T3:通过网络鉴权,接入网络后,终端首先判断是否已经开启机卡分离监控功能,若否,限制终端使用;若是;执行步骤T4;
该机卡分离监控即为由监控台对终端和电信智能卡进行监控,终端只有配置或开启了机卡分离监控,才能正常使用。
上述的限制用户使用该终端主要指禁止终端通话或通过外部接口接受指令,如通过键盘输入指令,但终端可以自行发送预定类型的消息,如利用短信发送注册信息等。
步骤T4:对终端进行认证。
终端判断是否为第一次使用,或者该终端所绑定的SIM卡是否发生了变更,
如果不是,终端根据保存的验证通过与否的状态,判断该终端是否已经通过了监控台的验证,当终端通过监控台验证时,则允许用户正常使用该终端,完成开机流程;
如果是,则执行步骤T5。
终端可通过保存使用记录和SIM卡的信息,来判断是否为第一次使用或SIM卡是否发生了更换,例如,该使用记录可以包括终端的IMEI(或其它终端专有的信息)和SIM卡的IMSI(或ICCID、KI等SIM卡专有的信息),在终端未使用之前,使用记录中终端的IMEI为空,SIM卡未发生变化时,使用记录中SIM卡的IMSI记录为当前电信智能卡的IMSI,终端接入网络后,判断使用记录中的IMEI为空时,说明首次使用该终端;判断当前SIM卡的IMSI与使用记录中的IMSI一致时,则说明SIM卡未发生变化。但不限于此,如可由监控台通过检测,将检测结果告知终端。
应当注意到,终端可通过多种方式获取验证信息,例如,监控台可按照预定的时间周期性地对终端进行检测及信息验证并将验证信息发送至终端,或监控台根据接收到的管理者的命令向终端发送验证信息。
在本发明实施例中,终端在首次使用时或更换电信智能卡后会自动发送注册信息到监控台,监控台对接收到的注册信息进行验证后,将生成的验证信息发送至该终端。
其中,优选地,所述电信智能卡认证信息可以包括IMSI,所述终端认证信息可以包括IMEI及终端归属区域码,但不限于此,所述电信智能卡认证信息包括卡商代码、卡批次、卡版本号、及卡归属区域码,所述终端认证信息包括终端厂商代码、终端软件版本号。
参见图3,示出了一种网络鉴权后对终端进行认证的方法流程,当终端不是第一次使用,或该终端所绑定的SIM卡未发生变更时,终端还可以再对SIM卡进行认证,这时,还包括:
步骤T41:所述终端获取并保存的指示通过验证的验证信息中携带电信智能卡认证信息;
所述终端判断所述验证信息指示成功后,还需判断所保存的电信智能卡认证信息与当前电信智能卡的信息一致时,才允许用户正常使用该终端,否则,所述终端向监控台重发注册信息,利用重新获取的验证信息再次进行判断。
步骤T41可以通过下述的具体处理来实现:
所述终端保存来自监控台的验证信息中携带的电信智能卡的IMSI;
所述终端判断是否存在所述验证信息中携带的IMSI,若不存在,判定终端为首次使用,所述终端向监控台发送注册信息,重新获取所述IMSI;若存在,所述终端读取所述电信智能卡的IMSI,并与终端存储的IMSI进行对比;IMSI对比不一致时,判定电信智能卡发生更换,并向监控台发送所述终端信息,如注册信息,并用所述读取的IMSI替换终端,或包括步骤T42:终端清空已保存的验证信息,并存储重新获取到的IMSI。
终端可清空所保存的电信智能卡认证信息,如IMSI,也可以清空所保存的所有验证信息。
进一步地,为了防止不法分子的恶意攻击,还包括步骤T43:为重发注册信息的次数设定阈值,例如,3次,即当重发注册信息的次数超过3次时,限制用户使用该终端,如锁定终端,用户只能通过更换有效的电信智能卡或到通信营业厅由专业人员解锁。
进一步地,在本发明实施例中,终端可通过短信的方式发送注册信息,将该注册信息通过网络网关,例如,行业短信网关,发送至监控台。
终端发送注册信息后,会接收到来自监控台的验证信息,由于网络质量较差等原因,需要较长时间才能返回验证信息,而这段时间中终端的信息可能已发生了变化,为了保证验证信息是对当前终端的验证,这时还包括:步骤T44:判断当前接收到的验证信息是否超时,若超时,限制用户使用该终端。
步骤T5:终端向监控台发送注册信息,监控台对终端进行验证,生成验证信息。
参见图4,为监控台对终端进行验证的方法流程图,具体包括如下处理:
步骤T51:监控台判断所述终端的呼叫号码是否属于监控台中预置的呼叫号码组,若是,该呼叫号码为有效的呼叫号码,则执行步骤T52;
若否,该呼叫号码为无效的呼叫号码,则监控台做出告警并将该终端信息记录至告警信息表。这时,若监控台根据预定的配置判断能够提供该项服务,则执行步骤53,否则,监控台直接向终端返回指示未通过验证的验证信息。
上述呼叫号码,在终端通过网络鉴权,登陆网络与监控台建立连接后,监控台可自动获知该呼叫号码。
步骤T52:监控台判断所述终端的呼叫号码对应的区域码是否与监控台中预置的区域码一致,若是,呼叫号码对应的区域码为有效的区域码,则执行步骤T53;
若否,呼叫号码对应的区域码为无效的区域码,则监控台做出告警并将该终端信息记录至告警信息表。这时,若监控台根据预定的配置判断能够提供该项服务,则执行步骤T53,否则,监控台直接向终端返回指示未通过验证的验证信息。
应当注意到,步骤T51和T52利用了呼叫号码(如手机号码)对终端进行验证,该步骤为可选的步骤,监控台也可直接利用注册信息中的所述终端归属区域码对终端进行验证。
为了便于整体上理解本发明实施例的技术方案,如图2所示,显示了终端、网关和监控台三者交互的流程图。图2示出了本发明实施例的一些主要步骤,但不包括所有具体的技术细节,例如,图2中并未包括可选步骤T51和T52,本发明实施例并不局限于图2所示流程。
步骤T53:监控台判断所述终端归属区域码是否与监控台中预置的区域码一致,若是,该终端归属区域码为有效的区域码,则监控台返回指示通过验证的验证信息,若否,该终端归属区域码为无效的区域码,则监控台做出告警并返回指示未通过验证的验证信息。
通过步骤T51至T53保证了一个地区中的终端、电信智能卡只能在该地区中使用,有效防止了利用机卡分离,套销终端或电信智能卡的违法行为,维护了移动商和终端厂商的合法利益。
应当注意的是,上述步骤T51至步骤T53为本发明提供的一种可选的方法,监控台对终端进行验证时,可采用步骤T51至步骤T53的任一步骤或步骤T51至步骤T53的任一组合,即当下述任一条件或其组合成立时,监控台返回指示通过验证的验证信息;否则,监控台做出告警并返回指示未通过验证的验证信息。
上述条件可以包括如下:监控台判断所述终端归属区域码与监控台中预置的区域码一致;或者,监控台判断所述终端的呼叫号码属于监控台中预置的呼叫号码组;或者,监控台判断所述终端的呼叫号码对应的区域码与监控台中预置的区域码一致。
进一步地,监控台还可以对注册信息中携带的电信智能卡认证信息进行验证,这时,监控台可以预先维护一个合法的电信智能卡数据库,利用该数据库,监控台首先检测当前的电信智能卡为合法的智能卡,然后,监控台判断所述卡归属区域码是否与监控台中预置的区域码一致,若是,监控台返回指示成功的验证信息,若否,监控台做出告警并返回指示失败的验证信息。
通过上述监控台对电信智能卡的验证,保证了智能卡为有效的地区性的智能卡,避免出现B地区卡在A地区的终端中使用或智能卡被用作他途的情况,保证了终端和所使用智能卡为同一地区和智能卡的专卡专用。
应当注意到,在上述终端和监控台的之间的交互过程中,为保证交互数据的安全性,如终端不被仿冒的伪监控台修改验证信息,可采用加密方式以确保数据交互的安全性,例如,在终端中内置监控台的标识信息,如监控台的接入号,该标识信息不能肆意改变,如果需要修改,必需使用终端厂商的专用加密软件。
本发明实施例二提供了一种终端,如图5所示,该终端包括:
嵌入式安全模块51,用于嵌入在所述终端中,通过作为传输通道的所述终端,和电信智能卡进行认证;其中,在嵌入式安全模块和所述电信智能卡中预置用于认证的相同的加密算法和保证相同的认证密钥;信息处理模块52,用于在所述嵌入式安全模块51和电信智能卡认证成功且通过网络鉴权后,当首次使用时或电信智能卡发生更换时,向监控台发送终端信息,以获取来自监控台的验证信息并保存验证通过与否的状态;认证授权模块53,用于根据所述信息处理模块52获取的验证通过与否的状态信息,判断该终端和电信智能卡是否通过监控台的认证,若是,允许用户正常使用该终端,若否,限制用户使用该终端。
优选地,上述终端信息为终端向监控台发送的注册信息,所述注册信息包括电信智能卡认证信息和终端认证信息;所述电信智能卡认证信息包括国际移动用户识别号IMSI,所述终端认证信息包括国际移动设备身份标识IMEI及终端归属区域码。但不限于此,所述电信智能卡认证信息还可以包括卡商代码、卡批次、卡版本号及卡归属区域码等,所述终端认证信息可以包括终端厂商代码、终端软件版本号等。
优选地,在本发明实施例中,为避免非法套卡,采用电信智能卡与终端中内置的嵌入式安全模块进行认证方式,上述信息处理模块52进一步用于判断是否存在所述嵌入式安全模块,若存在,执行所述电信智能卡和终端之间的认证;若不存在,结束认证操作。
进一步地,为了确保授权的用户能够使用终端,上述信息处理模块52包括:重发单元,用于在没有获取到来自监控台的验证信息时,向监控台重发终端信息,以重新获取验证信息并发送至所述信息处理模块。然而,为防止恶意攻击,当该重发单元重发终端信息的次数大于预定次数时,不再重发信息。
进一步地,所述终端在通过网络鉴权后,还可以对电信智能卡进行认证,上述信息处理模块52包括:
第一IMSI处理单元,用于读取所述电信智能卡的IMSI,并与终端存储的IMSI进行对比,所述终端存储的IMSI为空时,判定终端为首次使用;IMSI对比不一致时,判定电信智能卡发生更换,并向监控台发送所述注册信息,并用所述读取的IMSI替换终端原保存的IMSI。
第二IMSI处理单元,用于保存来自监控台的验证信息中携带的电信智能卡的IMSI;并判断是否存在所述验证信息中携带的IMSI,若不存在,向监控台发送注册信息,重新获取所述IMSI,若存在,判断验证通过且所保存的电信智能卡的IMSI与当前电信智能卡的IMSI一致时,允许用户正常使用该终端,否则,清空所述IMSI,向监控台重发注册信息,利用重新获取的验证信息再次进行判断。
电信智能卡和终端认证成功,通过网络鉴权后,若终端未通过监控台的验证,限制用户使用该终端,这时上述终端还包括:
终端限制单元,其用于在电信智能卡认证通过后且未完成与监控台认证前,禁止所述终端进行通讯或接受人机交互界面输入的指令,允许所述终端以短信的方式发送消息。
上述终端可具体由无线公话、无线商话或手持商话实现,实现时无需对终端即电信智能卡在硬件上进行改动,可通过在终端中加载与监控台相应的机卡分离监控软件来实现。
本发明实施例二中各功能模块的具体工作方法参见本发明方法实施例。
本发明实施例三提供了一种网络设备,如图6所示,该设备包括:
接收模块60,用于接收终端信息;验证模块61,用于当终端首次使用时或电信智能卡发生更换时,对所述接收模块60接收到的终端信息进行验证,生成验证信息;通讯模块62,用于将所述验证模块61生成的验证信息发送至所述终端。
上述终端信息为终端向所述网络设备发送的注册信息,并包括电信智能卡认证信息和终端认证信息;
其中所述电信智能卡认证信息包括国际移动用户识别号IMSI,所述终端认证信息包括国际移动设备身份标识IMEI及终端归属区域码。但不限于此,所述电信智能卡认证信息还可以包括卡商代码、卡批次、卡版本号及卡归属区域码等,所述终端认证信息可以包括终端厂商代码、终端软件版本号等。
进一步地,上述接收模块60还包括:
接收单元,用于接收终端发送的注册信息;所述验证模块61,用于对所述接收单元接收到的注册信息进行验证,生成验证信息;
其中,所述注册信息可以包括电信智能卡认证信息和终端认证信息,所述电信智能卡认证信息包括卡商代码、卡批次、卡版本号、国际移动用户识别号IMSI及卡归属区域码,所述终端认证信息可以包括终端厂商代码、终端软件版本号、国际移动设备身份标识IMEI及终端归属区域码。
上述验证模块61还包括:
判断模块,用于当下述任一条件或其组合成立时,向所述终端返回指示通过验证的验证信息;否则,做出告警并返回指示未通过验证的验证信息;
所述条件包括:
所述终端归属区域码与所述网络设备中预置的区域码一致;或者,所述终端的呼叫号码属于所述网络设备中预置的呼叫号码组;或者,所述终端的呼叫号码对应的区域码与所述网络设备中预置的区域码一致。
进一步地,上述网络设备发往终端的验证信息中携带有电信智能卡的IMSI,以使终端根据接收到的验证信息中携带的IMSI对当前电信智能卡进行认证。
进一步地,所述设备还可以提供人机交互界面,接收操作命令;根据所述接口单元接收到的操作命令或预先配置的策略管理所述网络设备的操作。
上述网络设备能够用作一种监控台对终端和电信智能卡进行认证,该网络设备可由网络中的单独的网络实体实现,也可结合于已有的网络设备中。例如,该网络设备可由一台接入网络的计算机实现,采用浏览器/服务器(Browser/Server)结构。如图7所示,显示了上述网络设备提供的一种人机交互界面示意图。
本发明实施例三提供的网络设备,可对终端及电信智能卡进行检测,如利用验证模块61检测出终端的信息,如SIM卡是否在使用以及SIM卡在何种设备上使用,以监控终端设备被套机以及SIM卡被套卡的情况。对检测到的信息进行验证后,如发现异常,则发起告警,通知管理员对其进行处理。
上述网络设备可采用定时监控和手动监控两种监控模式对终端进行检测。其中,定时检测,由网络设备根据配置的策略定时下发机卡分离检测指令,时间间隔可以由用户根据需要,通过监控台设定。手动检测,用户通过监控台提供的机卡分离检测指令下发功能,手动下发检测指令。
在本发明实施例三中,上述网络设备还可以提供采集终端的信息,如终端的IMEI、终端归属区域码等;对终端和电信智能卡进行远程配置,如启用/禁用终端机卡分离的监控功能、配置终端机卡分离监控台的短信接入号;以及提供终端的使用情况以及在网率等统计数据,为移动运营商决策提供数据支持等。
本领域普通技术人员可以理解实现上述实施例中的全部或部分步骤,可以通过程序指令相关硬件完成。所述实施例对应的软件可以存储在一个计算机可存储读取的介质中。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (19)
1.一种对终端和电信智能卡进行认证的方法,其特征在于,该方法包括:
在执行网络鉴权前,将电信智能卡中的网络鉴权用户认证信息置为假信息;
执行电信智能卡和终端之间的认证;
当认证通过时,将所述电信智能卡中的网络鉴权用户认证信息置为真信息;
根据所述网络鉴权用户认证信息,执行网络鉴权;
在通过网络鉴权后,终端首次使用时或电信智能卡发生更换时,监控台获取终端信息,并进行验证,生成验证信息,所述终端获取来自监控台的验证信息并保存验证通过与否的状态;
所述终端根据所述验证通过与否的状态判断该终端是否通过监控台的验证,若是,允许用户使用该终端,若否,限制用户使用该终端;
其中,所述监控台对终端信息进行验证包括当下述任一条件或其组合成立时,监控台返回指示成功的验证信息;否则,监控台返回指示未通过验证的验证信息:
所述终端信息为所述终端向监控台发送的注册信息,所述注册信息包括终端归属区域码,监控台判断所述终端归属区域码与监控台中预置的区域码一致;或者,监控台判断所述终端的呼叫号码属于监控台中预置的呼叫号码组;或者,监控台判断所述终端的呼叫号码对应的区域码与监控台中预置的区域码一致。
2.根据权利要求1所述的方法,其特征在于,所述执行电信智能卡和终端之间的认证包括:
在电信智能卡和嵌入式安全模块ESAM中预置相同的加密算法和设置相同的认证密钥,所述嵌入式安全模块位于所述终端内;
利用所述加密算法和认证密钥,在所述电信智能卡和ESAM之间,通过作为传输通道的所述终端进行认证。
3.根据权利要求2所述的方法,其特征在于,在执行电信智能卡和终端之间的认证之前还包括:
判断终端中是否存在ESAM,若存在,执行所述电信智能卡和终端之间的认证;若不存在,结束认证操作。
4.根据权利要求1所述的方法,其特征在于,所述监控台获取的终端信息为终端向监控台发送的注册信息,该注册信息包括电信智能卡认证信息和终端认证信息,其中所述电信智能卡认证信息包括国际移动用户识别号IMSI,所述终端认证信息包括国际移动设备身份标识IMEI及终端归属区域码;
所述监控台接收所述注册信息,并对该注册信息进行验证,生成验证信息,并将所述验证信息发送至所述终端。
5.根据权利要求1所述的方法,其特征在于,该方法还包括:
所述终端在没有获取到来自监控台的验证信息时,向监控台重发终端信息,利用重新获取的验证信息再次进行判断。
6.根据权利要求1所述的方法,其特征在于,该方法还包括:
所述终端读取所述电信智能卡的IMSI,并与终端存储的IMSI进行对比;
在所述终端存储的IMSI为空时,判定终端为首次使用;IMS I对比不一致时,判定电信智能卡发生更换,并向监控台发送所述终端信息,并用所述读取的IMSI替换终端原保存的IMSI。
7.根据权利要求4所述的方法,其特征在于,该方法还包括:
所述终端保存来自监控台的验证信息中携带的电信智能卡的IMSI;
所述终端判断是否存在所述验证信息中携带的IMSI,若不存在,所述终端向监控台发送注册信息,重新获取所述IMSI,若存在,所述终端判断验证通过且所保存的电信智能卡的IMSI与当前电信智能卡的IMSI一致时,允许用户正常使用该终端,否则,所述终端清空所述IMSI,向监控台重发注册信息,利用重新获取的验证信息再次进行判断。
8.根据权利要求5或7所述的方法,其特征在于,在所述终端重发终端信息的次数大于预定次数时,不再重发信息。
9.根据权利要求1所述的方法,其特征在于,所述限制用户使用所述终端包括:
禁止终端进行通讯或接受人机交互界面输入的指令,允许终端以短信的方式发送消息。
10.一种终端,其特征在于,该终端包括:
嵌入式安全模块,用于嵌入在所述终端中,通过作为传输通道的所述终端,和电信智能卡进行认证;其中,在嵌入式安全模块和所述电信智能卡中预置用于认证的相同的加密算法和设置相同的认证密钥;
信息处理模块,用于在所述嵌入式安全模块和电信智能卡认证成功且通过网络鉴权后,当首次使用时或电信智能卡发生更换时,向监控台发送终端信息,以获取来自监控台的验证信息并保存验证通过与否的状态;
认证授权模块,用于根据所述信息处理模块获取的验证通过与否的状态信息,判断该终端和电信智能卡是否通过监控台的认证,若是,允许用户正常使用该终端,若否,限制用户使用该终端;
终端限制单元,用于在与电信智能卡认证通过后且未完成与监控台认证前,禁止所述终端进行通讯或接受人机交互界面输入的指令,允许所述终端以短信的形式发送消息。
11.根据权利要求10所述的终端,其特征在于,所述终端信息为终端向监控台发送的注册信息,并包括电信智能卡认证信息和终端认证信息;
其中所述电信智能卡认证信息包括国际移动用户识别号IMSI,所述终端认证信息包括国际移动设备身份标识IMEI及终端归属区域码。
12.根据权利要求10所述的终端,其特征在于,所述信息处理模块进一步包括:
重发单元,用于在没有获取到来自监控台的验证信息时,向监控台重发终端信息,以重新获取验证信息并发送至所述信息处理模块。
13.根据权利要求11所述的终端,其特征在于,所述信息处理模块进一步包括:
第一IMSI处理单元,用于读取所述电信智能卡的IMSI,并与终端存储的IMSI进行对比,所述终端存储的IMSI为空时,判定终端为首次使用;IMSI对比不一致时,判定电信智能卡发生更换,并向监控台发送所述注册信息,并用所述读取的IMSI替换终端原保存的IMSI。
14.根据权利要求11所述的终端,其特征在于,所述信息处理模块进一步包括:
第二IMSI处理单元,用于保存来自监控台的验证信息中携带的电信智能卡的IMSI;并判断是否存在所述验证信息中携带的IMSI,若不存在,向监控台发送注册信息,重新获取所述IMSI,若存在,判断验证通过且所保存的电信智能卡的IMSI与当前电信智能卡的IMSI一致时,允许用户正常使用该终端,否则,清空所述IMSI,向监控台重发注册信息,利用重新获取的验证信息再次进行判断。
15.根据权利要求12或14所述的终端,其特征在于,所述信息处理模块进一步用于在重发信息的次数大于预定次数时,不再重发信息。
16.根据权利要求10所述的终端,其特征在于,所述信息处理模块进一步用于判断是否存在所述嵌入式安全模块,若存在,执行所述电信智能卡和终端之间的认证;若不存在,结束认证操作。
17.一种网络设备,其特征在于,该设备包括:
接收模块,用于接收终端信息;
验证模块,用于当终端首次使用时或电信智能卡发生更换时,对所述接收模块接收到的终端信息进行验证,生成验证信息;
通讯模块,用于将所述验证模块生成的验证信息发送至所述终端;
其中,所述验证模块包括:判断单元,用于当下述任一条件或其组合成立时,向所述终端返回指示通过验证的验证信息;否则,返回指示未通过验证的验证信息;所述条件包括:
所述终端信息为所述终端向监控台发送的注册信息,所述注册信息包括终端归属区域码,所述终端归属区域码与所述网络设备中预置的区域码一致;或者,所述终端的呼叫号码属于所述网络设备中预置的呼叫号码组;或者,所述终端的呼叫号码对应的区域码与所述网络设备中预置的区域码一致。
18.根据权利要求17所述的网络设备,其特征在于,所述终端信息为终端向所述网络设备发送的注册信息,并包括电信智能卡认证信息和终端认证信息;
其中所述电信智能卡认证信息包括国际移动用户识别号IMSI,所述终端认证信息包括国际移动设备身份标识IMEI及终端归属区域码。
19.根据权利要求18所述的网络设备,其特征在于,所述发往终端的验证信息中携带有电信智能卡的IMSI。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100772735A CN101521886B (zh) | 2009-01-21 | 2009-01-21 | 一种对终端和电信智能卡进行认证的方法和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100772735A CN101521886B (zh) | 2009-01-21 | 2009-01-21 | 一种对终端和电信智能卡进行认证的方法和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101521886A CN101521886A (zh) | 2009-09-02 |
| CN101521886B true CN101521886B (zh) | 2011-04-20 |
Family
ID=41082210
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009100772735A Expired - Fee Related CN101521886B (zh) | 2009-01-21 | 2009-01-21 | 一种对终端和电信智能卡进行认证的方法和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101521886B (zh) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101707645B (zh) * | 2009-10-22 | 2013-07-03 | 中兴通讯股份有限公司 | 一种终端和卡批量互锁方法及终端 |
| CN101765113A (zh) * | 2009-12-18 | 2010-06-30 | 中兴通讯股份有限公司 | 一种数据卡防盗用系统及方法 |
| CN101841814B (zh) * | 2010-04-06 | 2014-07-02 | 中兴通讯股份有限公司 | 终端鉴权方法及系统 |
| CN101917708B (zh) * | 2010-08-16 | 2014-11-05 | 中兴通讯股份有限公司 | 一种无线通信终端及其数据保护方法 |
| CN101945393A (zh) * | 2010-09-17 | 2011-01-12 | 中兴通讯股份有限公司 | 一种终端功能借用的方法和系统 |
| CN102231746B (zh) * | 2011-07-11 | 2014-03-12 | 华为技术有限公司 | 验证标识信息的方法及终端 |
| CN103124440B (zh) * | 2011-11-18 | 2018-05-15 | 中兴通讯股份有限公司 | 一种无sim卡终端接入物联网的方法和系统 |
| JP5714560B2 (ja) * | 2012-12-21 | 2015-05-07 | 株式会社オプティム | 自己管理機能の発揮を妨げずに設定を行う携帯端末、端末設定方法、及び携帯端末用プログラム |
| WO2014191952A1 (en) * | 2013-05-29 | 2014-12-04 | Visa International Service Association | Systems and methods for verification conducted at a secure element |
| CN104469736B (zh) * | 2014-11-05 | 2018-01-19 | 中兴通讯股份有限公司 | 一种数据处理方法、服务器及终端 |
| CN107404719A (zh) * | 2016-05-18 | 2017-11-28 | 中兴通讯股份有限公司 | Sim卡处理方法、装置、终端及esam芯片 |
| CN107889105B (zh) * | 2017-09-12 | 2021-02-02 | 深圳市优购时代科技有限公司 | 手机的验证锁卡方法及其验证锁卡系统 |
| CN112019688B (zh) * | 2019-05-31 | 2021-12-31 | 中国电信股份有限公司 | 检测盗打固定电话的方法及装置 |
| BR112022003179A2 (pt) * | 2019-08-18 | 2022-05-17 | Huawei Tech Co Ltd | Método e aparelho de comunicação |
| CN114157510B (zh) * | 2021-12-14 | 2023-07-04 | 中国联合网络通信集团有限公司 | 物网业务处理方法、平台和存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1946229A (zh) * | 2006-03-09 | 2007-04-11 | 北京握奇数据系统有限公司 | 电信智能卡与终端的认证方法 |
| CN101079703A (zh) * | 2006-05-23 | 2007-11-28 | 北京握奇数据系统有限公司 | 在互联网上使用用户识别卡认证的系统及方法 |
| CN101287298A (zh) * | 2008-05-29 | 2008-10-15 | 德信无线通讯科技(北京)有限公司 | 一种移动通信终端的鉴权方法与系统 |
-
2009
- 2009-01-21 CN CN2009100772735A patent/CN101521886B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1946229A (zh) * | 2006-03-09 | 2007-04-11 | 北京握奇数据系统有限公司 | 电信智能卡与终端的认证方法 |
| CN101079703A (zh) * | 2006-05-23 | 2007-11-28 | 北京握奇数据系统有限公司 | 在互联网上使用用户识别卡认证的系统及方法 |
| CN101287298A (zh) * | 2008-05-29 | 2008-10-15 | 德信无线通讯科技(北京)有限公司 | 一种移动通信终端的鉴权方法与系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101521886A (zh) | 2009-09-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101521886B (zh) | 一种对终端和电信智能卡进行认证的方法和设备 | |
| EP2826004B1 (en) | Mobile phone takeover protection system and method | |
| US10440034B2 (en) | Network assisted fraud detection apparatus and methods | |
| CN101577906B (zh) | 一种可实现机卡安全认证的智能卡及终端 | |
| CN103886661B (zh) | 门禁管理方法及系统 | |
| CN102113358B (zh) | 实现终端设备锁网的方法、系统及终端设备 | |
| CN103793960A (zh) | 用于移动钥匙服务的方法 | |
| CN103716795A (zh) | 一种无线网络安全接入方法、装置和系统 | |
| CN101511083B (zh) | 电信智能卡的认证鉴权方法和终端 | |
| CN102859966A (zh) | 无线网络认证装置与方法 | |
| CN101422058A (zh) | 用于保护对移动终端中的近距离通信模块的访问的方法 | |
| CN105373919A (zh) | 基于远近场数据交互的用户身份安全认证设备及认证方法 | |
| WO2012062067A1 (zh) | 运营商解锁移动终端的方法、装置和系统 | |
| CN100353787C (zh) | 一种移动终端内存储的资料信息的安全保障方法 | |
| CN103619020A (zh) | 无线数据专网物理隔离互联网的移动支付安全系统 | |
| CN105848091A (zh) | 无钥匙的车辆控制方法及装置 | |
| CN107113613A (zh) | 服务器、移动终端、网络实名认证系统及方法 | |
| CN105868975A (zh) | 电子金融账户的管理方法、管理系统和移动终端 | |
| CN101841814A (zh) | 终端鉴权方法及系统 | |
| CN110730446A (zh) | 一种登录方法、终端及计算机存储介质 | |
| CN101262669B (zh) | 一种移动终端内存储的资料信息的安全保障方法 | |
| CN101854357B (zh) | 网络认证监控方法及系统 | |
| CN109547998B (zh) | 针对虚拟用户身份识别卡的管理方法、装置及存储介质 | |
| CN101247618A (zh) | 一种终端合法性检测方法及系统 | |
| Vahidian | Evolution of the SIM to eSIM |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110420 Termination date: 20220121 |