CN101640883B - 一种用户卡存储器空间管理方法、系统及装置 - Google Patents
一种用户卡存储器空间管理方法、系统及装置 Download PDFInfo
- Publication number
- CN101640883B CN101640883B CN2008101173375A CN200810117337A CN101640883B CN 101640883 B CN101640883 B CN 101640883B CN 2008101173375 A CN2008101173375 A CN 2008101173375A CN 200810117337 A CN200810117337 A CN 200810117337A CN 101640883 B CN101640883 B CN 101640883B
- Authority
- CN
- China
- Prior art keywords
- subcard
- space
- subscriber card
- request
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种用户卡存储器空间管理方法、系统及装置,所述用户卡存储器空间被划分为若干个用户卡子卡空间,该方法包括:接收对选定用户卡发起的用户卡子卡空间管理请求;通过所述用户卡所在移动终端建立起与所述用户卡之间的通信通道,并通过所述通信通道将所述子卡空间管理请求发送给所述用户卡;所述用户卡对所述子卡空间管理请求中携带的第一信息验证码进行验证,当验证通过时,对所述用户卡子卡空间管理请求中指定的子卡空间执行对应管理操作。上述方法实现了对用户卡存储器空间的各子卡空间远程动态管理,实现方便、快捷、安全。
Description
技术领域
本发明涉及移动通信领域,尤指一种通过后台服务器对移动终端内的用户卡存储器空间进行远程安全管理的方法、系统及装置。
背景技术
传统的用户卡只能集成千比特(Kilobyte,KB)级的电擦除只读存储器(Electrically Erasable Programmable Read Only Memory,E2PROM),或只读存储器(Read Only Memory,ROM)作为非挥发性存储器,仅支持数十条短信和数百个用户电话号码的存储,远不能满足人们对大量信息存储日益增长的要求。随着存储技术的不断发展,现在的大容量用户卡可以集成兆比特(Megabyte,MB)级甚至吉比特(Gigabyte,GB)级容量的存储器。这样,除了以往的鉴权数据外,用户卡还能保存更多其它的数据。
用户卡目前主要是承载传统的电信应用,但随着多应用智能卡技术的日趋成熟,用户卡还可承载越来越多的非电信应用,例如:公交应用、金融应用、社保应用、医疗应用等。通过普及多应用卡,既能方便普通用户的生活,也能大力拓展移动运营商的业务范畴。但是,随着用户卡承载应用的增多,对用户卡空间管理的难度也随之增大。
目前与本发明最相近的实现方案为:
专利申请《对存储器逻辑分区访问权限进行控制的方法和集成电路(Integrate Circuit,IC卡》(公开号:200510088815.0)中公开了一种对存储器逻辑分区访问权限进行控制的方法,包括:在存储器中设置存储器访问权限控制区,在其中设置各逻辑分区的访问权限;根据存储器访问权限控制区中的值,对芯片当前工作状态的判断,完成对各个逻辑分区的访问权限控制;当需要修改逻辑分区的访问权限时,在密码校验通过后,可以改写存储器访问权限控制区中的值,从而改变各个逻辑分区的访问权限。
专利申请《动态逻辑分区并控制访问权限的IC智能卡及其实现方法》(公开号:03137511)中公开了一种具有动态划分多逻辑分区及存储器访问控制功能的IC智能卡及其实现方法。该IC智能卡包括微处理器、存储器组合串行输入/输出(Input/Output,I/O)接口电路。其中存储器组采用混合存储器结构,包括可编程非易失性存储器,其中可编程非易失性存储器作为动态划分存储器,在逻辑上可划分为多个逻辑分区。在微处理器内增加存储器动态划分寄存器(Multicast Address Register,MAR),用于在其中动态设置可编程非易失性存储器中各逻辑分区的大小;在微处理器与存储器组之间加入存储器管理模块,用于将可编程非易失性存储器动态划分为多个逻辑分区并进行相应的存储器访问权限控制。
上述第一个专利中涉及的是改变逻辑分区的权限,第二个专利中涉及的是通过动态划分寄存器MAR改变非易失性存储器的逻辑空间。
用户卡空间可以根据所有者的不同而划分出不同的子卡空间。如图1所示,一个用户卡的用户卡空间除了包括权限控制信息存储空间外,还可以划分出若干个子卡空间,如图1中的子卡空间1、子卡空间2......子卡空间N以及运营商子卡空间等。其中,子卡空间1、子卡空间2......子卡空间N为普通子卡空间,每一个子卡空间可以属于一个所有者所有(称为“子卡空间所有者”),例如:公交公司、金融公司、社保管理者、医疗机构等都可以是子卡空间的所有者;运营商子卡空间为用户卡空间中分割出子卡空间1、子卡空间2......子卡空间N之后的剩余空间,其所有者为运营商。
现有技术中存在下列缺点:
(1)不能实现用户卡空间在卡片出厂后的管理,用户在购买到用户卡后,如果某个(些)子卡空间所有者希望增加一些子卡空间的容量,却无法操作,或者某个(些)子卡空间所有者希望查看子卡空间的剩余容量,也无法查看;
(2)在对用户卡空间进行远程管理的过程中没有统一的安全认证机制。
发明内容
本发明实施例提供一种用户卡存储器空间管理方法、系统及装置,使得子卡空间的所有者能够远程、动态、安全的对所拥有的子卡空间进行管理。
一种用户卡存储器空间管理方法,所述用户卡存储器空间被划分为若干个用户卡子卡空间,包括:
接收对选定用户卡发起的用户卡子卡空间管理请求;
通过所述用户卡所在移动终端建立起与所述用户卡之间的通信通道,并通过所述通信通道将所述子卡空间管理请求发送给所述用户卡;
所述用户卡对所述子卡空间管理请求中携带的第一信息验证码进行验证,当验证通过时,对所述用户卡子卡空间管理请求中指定的子卡空间执行管理操作。
根据本发明的上述方法,用户卡对所述子卡空间管理请求中携带的第一信息验证码进行验证,具体包括:
所述用户卡解析出所述子卡空间管理请求中携带的命令信息和所述第一信息验证码;其中,所述第一信息验证码使用第一密钥对用户卡子卡空间管理请求中包含的所述命令信息进行加密计算后得到;
所述用户卡使用与所述指定的子卡空间对应的第二密钥对用户卡子卡空间管理请求中包含的所述命令信息进行加密计算,得到第二信息验证码;以及
比较所述第一信息验证码和所述第二信息验证码是否相同,若相同,则验证通过,否则,验证不通过。
根据本发明的上述方法,所述命令信息,至少包括下述信息之一:
命令类型信息;
命令长度信息;
至少包含有指定的子卡空间的对应标识的命令参数信息。
根据本发明的上述方法,所述密钥为主控密钥或维护密钥;
当根据所述用户卡子卡空间管理请求中包含的命令类型信息确定出所述第一信息验证码为使用第一主控密钥加密时,则使用第二主控密钥计算所述第二信息验证码;
当根据所述子卡空间管理请求中包含的命令类型信息确定出所述第一信息验证码为使用第一维护密钥加密时,使用第二维护密钥计算所述第二信息验证码。
根据本发明的上述方法,所述当验证通过时,根据所述用户卡子卡空间管理请求中携带的所述命令类型信息对指定的子卡空间执行管理操作。
根据本发明的上述方法,所述命令类型信息至少包括下述信息之一:
子卡空间的主控密钥修改、子卡空间的维护密钥创建或更新、创建新的子卡空间、改变指定子卡空间大小、子卡空间的删除或子卡空间的属性查询。
一种用户卡存储器空间管理系统,包括:服务器、用户卡和用户卡所在的移动终端;
所述服务器,用于接收对选定用户卡发起的用户卡子卡空间管理请求,通过所述用户卡所在的移动终端建立起与所述用户卡之间的通信通道,并通过所述通信通道将子卡空间管理请求发送给所述用户卡;
所述用户卡,用于对所述子卡空间管理请求中携带的第一信息验证码进行验证,当验证通过时,对所述用户卡子卡空间管理请求中指定的子卡空间执行管理操作。
本发明的上述系统,还包括:至少一个管理终端,用于选择至少一个用户卡,向所述服务器发送对所述选定用户卡发起的用户卡子卡空间管理请求。
根据本发明的上述系统,所述服务器包括:后台服务器和空中下载OTA服务器;
所述后台服务器,用于接收对选定用户卡发起的用户卡子卡空间管理请求,并转发给所述OTA服务器;
所述OTA服务器,用于接收所述后台服务器转发的所述子卡空间管理请求,通过所述用户卡所在的移动终端建立起与所述用户卡之间的通信通道,通过所述通信通道将所述子卡空间管理请求发送给所述用户卡。
一种用户卡,包括:通信单元、控制单元、运算单元和用户卡空间;
所述通信单元,用于在所述控制单元的控制下,通过所在的移动终端建立起与网络侧服务器之间的通信通道,并通过所述通信通道接收所述服务器发送的子卡空间管理请求,传送给所述控制单元;
所述控制单元,用于控制所述通信单元通过所在的移动终端建立起与所述服务器之间的所述通信通道;并将所述通信单元传送过来的子卡空间管理请求传送给所述运算单元;以及接收所述运算单元的通知,执行对所述用户卡子卡空间管理请求中指定的所述用户卡空间中的子卡空间的管理操作;
所述运算单元,用于接收所述控制单元传送过来的子卡空间管理请求,根据对所述子卡空间管理请求中携带的第一信息验证码进行验证,当验证通过时,通知所述控制单元;
根据本发明的上述用户卡,所述用户卡空间,用于保存密钥信息;
所述运算单元,根据所述用户卡空间存储的密钥信息对所述子卡空间管理请求中携带的第一信息验证码进行验证。
根据本发明的上述用户卡,所述运算单元,包括:解析子单元、计算子单元、验证子单元和通知子单元;
所述解析子单元,用于解析出所述子卡空间管理请求中携带的命令信息和所述第一信息验证码;其中,所述第一信息验证码为使用第一密钥对用户卡子卡空间管理请求中包含的所述命令信息进行加密计算后得到;
所述计算子单元,用于使用所述用户卡空间中存储的与所述指定的子卡空间对应的第二密钥对所述解析子单元解析出的命令信息进行加密计算,得到第二信息验证码;
所述验证子单元,用于比较所述第一信息验证码和第二信息验证码是否相同;若相同,则验证通过,否则验证不通过;
所述通知子单元,用于当验证通过时,通知所述控制单元。
根据本发明的上述用户卡,所述用户卡空间包括:权限控制信息存储空间、运营商子卡空间和若干普通子卡空间;
所述权限控制信息存储空间,用于存放各子卡空间的主控密钥和维护密钥;
所述运营商子卡空间,用于保存运营商相关信息和应用信息;
所述普通子卡空间,用于保存本子卡所有者相关信息和应用信息。
本发明实施例提供的用户卡存储器空间管理方法、系统及装置,通过接收对选定用户卡发起的用户卡子卡空间管理请求;通过所述用户卡所在移动终端建立起与所述用户卡之间的通信通道,并通过所述通信通道将所述子卡空间管理请求发送给所述用户卡;所述用户卡对所述子卡空间管理请求中携带的第一信息验证码进行验证,当验证通过时,对所述用户卡子卡空间管理请求中指定的子卡空间执行对应管理操作。上述方法实现了对用户卡存储器空间的各子卡空间远程动态管理,实现方便、安全。
附图说明
图1为本发明实施例中用将户卡划分出若干个子卡空间的示意图;
图2为本发明实施例中对子卡空间进行管理的流程图;
图3为本发明实施例一中子卡空间主控密钥更新流程图;
图4为本发明实施例二中子卡空间维护密钥创建/更新流程图;
图5为本发明实施例三中创建子卡空间的流程图;
图6为本发明实施例四中改变子卡空间大小的流程图;
图7为本发明实施例五中删除子卡空间的流程图;
图8为本发明实施例六中查看子卡空间属性的流程图;
图9为本发明实施例中用户卡存储器空间管理系统的结构示意图;
图10为本发明实施例中用户卡的结构示意图。
具体实施方式
本发明实施例提供的用户卡存储器空间管理方法,实现对用户卡存储器空间(简称“用户卡空间”)的远程安全管理。
用户卡空间中的普通子卡空间和运营商子卡空间都拥有各自的主控密钥和维护密钥。
子卡空间的主控密钥是该子卡空间的控制密钥。
运营商子卡空间的主控密钥初始值由用户卡生产商写入,运营商在该子卡空间主控密钥的控制下可以进行的操作包括:
装载运营商子卡空间维护密钥;
更新运营商子卡空间主控密钥、子卡空间维护密钥;
增加某普通子卡空间的容量;
创建新的普通子卡空间。
运营商子卡空间维护密钥可执行的操作同普通子卡空间维护密钥。
普通子卡空间的主控密钥,其初始值由子卡空间的创建者写入,创建者包括:用户卡生产商和运营商子卡空间的所有者,普通子卡空间的所有者在该子卡空间主控密钥的控制下可以进行的操作包括:
装载该子卡空间维护密钥;
更新该子卡空间主控密钥、子卡空间维护密钥。
子卡空间(包括运营商子卡空间和普通子卡空间)的维护密钥用于维护该子卡空间,在该子卡空间主控密钥的控制下实现装载和更新,子卡空间所有者在该子卡空间维护密钥的控制下可以进行的操作包括:
删除该子卡空间;
查看该子卡空间的属性信息(包括:子卡空间总容量、子卡空间已用容量和子卡空间剩余容量等)。
子卡空间所有者可以使用主控密钥或维护密钥对所拥有的子卡空间进行相应权限的管理,对子卡空间进行管理的流程如图2所示,执行步骤如下:
步骤S101:子卡空间所有者选择一张或多张用户卡,向后台服务器发送对所选定的一张或多张用户卡的子卡空间管理请求。
步骤S102:后台服务器收到对选定用户卡的子卡空间管理请求后,发送接收到子卡空间管理请求给空中下载技术(Over-the-Air Technology,OTA)服务器。
步骤S103:OTA服务器收到子卡空间管理请求后,通过选定的用户卡所在的移动终端建立起与该用户卡之间的通信通道。
其中,通信通道可以包括:数据短信通道或通用分组无线业务(GeneralPacket Radio Service,GPRS)通道等。
步骤S104:OTA服务器通过建立的通信通道将子卡空间管理请求发送给用户卡。
特别的,后台服务器和OTA服务器也可以集成为一个服务器,集成的服务器可以实现后台服务器和OTA服务器的功能。
步骤S105:用户卡对子卡空间管理请求中携带的第一信息验证码进行验证。
用户卡可以使用根据本地存储的密钥信息或获取到的密钥信息对子卡空间管理请求中携带的第一信息验证码进行验证,具体包括:
用户卡对接收到的子卡空间管理请求进行解析,解析出卡空间管理请求中携带的命令信息和第一信息验证码(Message Authentication Codes,MAC);命令信息可以包括:命令类型信息、命令长度信息、至少包含指定的子卡空间标识的命令参数信息等。其中,指定的子卡空间根据命令参数信息中的子卡空间标识(Identification,ID)确定;第一信息验证码MAC是指定的子卡空间所有者使用自己拥有的第一密钥,对用户卡子卡空间管理请求中包含的命令信息进行加密计算得到的。第一密钥包括:第一主控密钥和第一维护密钥。根据不同的命令类型选用相应权限的第一密钥,例如,选择第一主控密钥或者第一维护密钥。
用户卡使用与所述指定的子卡空间标识对应的第二密钥对解析出来的命令类信息进行加密计算,得到第二信息验证码。第二密钥包括:第二主控密钥和第二维护密钥。
当根据解析出的命令参数信息中包含的命令类型信息确定出第一信息验证码为使用第一主控密钥加密时,则使用本地存储的第二主控密钥计算第二信息验证码。
当根据解析出的命令参数信息中包含的命令类型信息确定出第一信息验证码为使用第一维护密钥加密时,则使用本地存储的第二维护密钥计算第二信息验证码。
其中,命令类型信息至少包括下列信息之一:子卡空间的主控密钥修改、子卡空间的维护密钥创建/更新、创建新的子卡空间、改变指定子卡空间大小、子卡空间的删除或子卡空间的属性查询等。
用户卡比较计算出的第二信息验证码和子卡空间管理请求中携带的第一信息验证码是否相同,若相同,则说明计算第一信息验证码的密钥和计算第二信息验证码的密钥相同,验证通过;否则,验证不能通过。
若验证未通过,则执行步骤S106;若验证通过,则执行步骤S107。
步骤S106:终止子卡空间管理流程。
同时通过移动终端,经由OTA服务器和后台服务器向操作人员返回子卡空间管理失败的响应消息。
步骤S107:用户卡执行对子卡空间管理请求中指定的子卡空间的管理操作。并通过移动终端,经由OTA服务器和后台服务器向操作人员返回子卡空间管理操作成功的确认消息。
用户卡根据子卡空间管理请求中携带的所述命令类型信息对指定的子卡空间执行对应管理操作,包括:执行对所述指定的子卡空间的主控密钥修改操作;或
执行对所述指定的子卡空间的维护密钥创建或更新操作;或
执行改变所述指定的子卡空间大小的操作;或
执行对所述指定的子卡空间的删除操作;或
执行对所述指定的子卡空间的属性查询操作;或
执行创建新子卡空间的操作;等等
在下面的实施例中将详细说明如何使用子卡空间的主控密钥/维护密钥对子卡空间进行管理;包括:使用主控密钥执行更新子卡空间的主控密钥、创建/更新子卡空间的维护密钥、创建子卡空间或改变子卡空间的大小;以及使用维护密钥删除子卡空间或查看子卡空间的属性等。
实施例一:
子卡空间创建时设置有初始主控密钥(称为“旧主控密钥”),出于安全的考虑,子卡空间的所有者需要将所拥有的子卡空间的旧主控密钥更新为自己设置的新主控密钥。用户卡子卡空间主控密钥更新流程如图3所示,执行步骤如下:
步骤S201:子卡空间所有者选择一张或多张用户卡,并为其设置新的子卡空间新主控密钥,利用子卡空间旧主控密钥对新主控密钥进行加密,向后台服务器发送对所选定的一张或多张用户卡的子卡空间主控密钥更新请求(更新请求的具体内容参见表1)。
表1
其中,命令类型信息、命令长度信息和命令参数信息均属于命令信息。
步骤S202:后台服务器接收到对选定用户卡的子卡空间主控密钥更新请求后,发送接收到的主控密钥更新请求给OTA服务器。
步骤S203:OTA服务器根据接收到主控密钥更新请求后,通过选定的用户卡所在的移动终端建立起与该用户卡之间的通信通道。
步骤S204:OTA服务器通过建立的通信通道将子卡空间主控密钥更新请求发送给用户卡。
步骤S205:用户卡接收主控密钥更新请求,根据更新请求中携带的子卡空间ID确定出需要更新主控密钥的子卡空间,通过本地存放的该子卡空间的旧主控密钥对子卡空间主控密钥更新请求中使用的密钥进行验证。具体为:
用户卡接收到子卡空间主控密钥更新请求后,提取本地存储的待更新的子卡空间的旧主控密钥,对更新请求中携带的命令类型、命令长度、以及子卡空间ID和密文形式的子卡空间新主控密钥等命令参数信息进行加密计算,得到MAC2,将得到的MAC2与主控密钥更新请求中携带的MAC1进行比较,若MAC2与MAC1相同时,则密钥验证通过,否则验证不能通过。
若验证未通过,则执行步骤S206;若验证通过,则执行步骤S207。
步骤S206:终止子卡空间主控密钥更新流程。
同时,通过移动终端、OTA服务器和后台服务器向该子卡空间所有者返回主控密钥更新失败的响应消息。
步骤S207:用户卡通过旧主控密钥对密文形式的新主控密钥进行解密,得到明文形式的新主控密钥。
步骤S208:用户卡利用新主控密钥更新用户卡中存储的指定子卡空间的旧主控密钥。并通过移动终端、经由OTA服务器和后台服务器向该子卡空间的所有者返回密钥更新成功的确认消息。
完成步骤S208后,子卡空间旧主控密钥失效,同时启用子卡空间新主控密钥。
实施例二
子卡空间的所有者可以使用该子卡空间的主控密钥创建/更新其维护密钥。子卡空间维护密钥创建/更新流程如图4所示,执行步骤如下:
步骤S301:子卡空间所有者选择一张或多张用户卡,并为其设置子卡空间新维护密钥,利用子卡空间主控密钥对新维护密钥进行加密,向后台服务器发送对所选定的一张或多张用户卡的子卡空间维护密钥创建/更新请求。(创建/更新请求的具体内容参见表2)
表2
步骤S302:后台服务器接收到对选定用户卡的子卡空间维护密钥创建/更新请求后,发送接收到的子卡空间维护密钥创建/更新请求给OTA服务器。
步骤S303:OTA服务器根据接收到子卡空间维护密钥创建/更新请求后,通过选定的用户卡所在的移动终端建立起与该用户卡之间的通信通道。
步骤S304:OTA服务器通过建立的通信通道将子卡空间维护密钥创建/更新请求发送给用户卡。
步骤S305:用户卡接收维护密钥创建/更新请求,根据创建/更新请求中携带的子卡空间ID确定出需要创建/更新维护密钥的子卡空间,通过本地存储的该子卡空间的主控密钥对子卡空间维护密钥创建/更新请求中使用的密钥进行验证。具体为:
用户卡接收到子卡空间维护密钥创建/更新请求后,提取本地存储的需要创建/更新维护密钥的子卡空间的主控密钥,对维护密钥创建/更新请求中携带的命令类型、命令长度、以及子卡空间ID和密文形式的子卡空间新维护密钥等命令参数信息进行加密计算,得到MAC4,将得到的MAC4与维护密钥创建/更新请求中携带的MAC3进行比较,若MAC4与MAC3相同时,则验证通过,否则验证不能通过。
若验证未通过,则执行步骤S306;若验证通过,则执行步骤S307。
步骤S306:终止子卡空间维护密钥创建/更新流程。
同时,通过移动终端,经由OTA服务器和后台服务器向操作人员返回维护密钥创建/更新失败的响应消息。
步骤S307:用户卡通过主控密钥对密文形式的新维护密钥进行解密,得到明文形式的新维护密钥;
步骤S308:用户卡利用解析出的新维护密钥创建用户卡空间中指定子卡空间的维护密钥或更新用户卡空间中存放的指定子卡空间的旧维护密钥。同时通过移动终端,经由OTA服务器和后台服务器向操作人员返回密钥创建/更新成功的确认消息。
完成步骤S308后即可使用子卡空间的新维护密钥查询子卡空间的属性信息等。
实施例三
运营商子卡空间所有者在用户卡内创建新的子卡空间的流程如图5所示,执行步骤如下:
步骤S401:运营商子卡空间所有者选择一张或多张用户卡,向后台服务器发送对所选定的一张或多张用户卡的子卡空间创建请求(子卡空间创建请求的具体内容参见表3)。
表3
| 项目 | 名称 | 长度(字节) | 类型 | 说明 |
| 命令类型 | 创建子卡空间 | 1 | b | 取值0x04 |
| 命令长度 | 命令长度 | 2 | b | 本条命令中命令参数长度 |
| 验证参数 | MAC | 4 | b | 对命令类型和命令长度进行加密计算(利用运营商子卡空间主控密钥)得到MAC5 |
步骤S402:后台服务器接收到对选定用户卡的子卡空间创建请求后,发送接收到的子卡空间创建请求给OTA服务器。
步骤S403:OTA服务器根据接收到子卡空间创建请求后,通过选定的用户卡所在的移动终端建立起与该用户卡之间的通信通道。
步骤S404:OTA服务器通过建立的通信通道将子卡空间创建请求发送给用户卡。
步骤S405:用户卡接收子卡空间创建请求,通过本地存储的运营商子卡空间主控密钥对子卡空间创建请求中使用的密钥进行验证。具体为:
用户卡接收到子卡空间创建请求后,提取本地存储的运营商子卡空间的主控密钥,对子卡空间创建请求中携带的命令类型和命令长度等进行加密计算,得到MAC6,将得到的MAC6与子卡空间创建请求中携带的MAC5进行比较,若MAC6与MAC5相同时,则验证通过,否则验证不能通过。
若验证未通过,则执行步骤S306;若验证通过,则执行步骤S307。
步骤S406:终止子卡空间创建流程,
同时,通过移动终端,经由OTA服务器和后台服务器向操作人员返回子卡空间创建失败的响应消息。
步骤S407:用户卡创建新的子卡空间,该子卡空间从运营商子卡空间中划拔。同时通过移动终端,经由OTA服务器和后台服务器向操作人员返回子卡空间创建成功的确认消息,完成新子卡空间的创建。
实施例四
运营商子卡空间的所有者可以改变用户卡内某一个子卡空间的大小,其流程如图6所示,执行步骤如下:
步骤S501:运营商选择一张或多张用户卡,向后台服务器发送对所选定的一张或多张用户卡的子卡空间大小变更请求。(子卡空间大小变更请求的具体内容参见表4)
表4
步骤S502:后台服务器接收到对选定的用户卡的子卡空间大小变更请求后,发送接收到的子卡空间大小变更请求给OTA服务器。
步骤S503:OTA服务器接收到子卡空间大小变更请求后,通过选定的用户卡所在的移动终端建立起与该用户卡之间的通信通道(例如:可以通过移动终端向用户卡发送数据短信等)。
步骤S504:OTA服务器通过建立的通信通道将子卡空间大小变更请求发送给用户卡。
步骤S505:用户卡接收子卡空间大小变更请求,根据大小变更请求中携带的子卡空间ID确定出需要改变大小的子卡空间,提取本地存放的运营商子卡空间的主控密钥对子卡空间大小变更请求中使用的密钥进行验证。具体为:
用户卡接收到子卡空间大小变更请求后,提取本地存储的运营商子卡空间的主控密钥,对大小变更请求中携带的命令类型、命令长度、以及子卡空间ID和增大/减小子卡空间的值等命令参数信息进行加密计算,得到MAC8,将得到的MAC8与大小变更请求中携带的MAC7进行比较,若MAC8与MAC7相同时,则密钥验证通过,否则验证不能通过。
若验证未通过,则执行步骤S506;若验证通过,则执行步骤S507。
步骤S506:终止子卡空间大小变更流程。
同时,通过移动终端,经由OTA服务器和后台服务器向操作人员返回子卡空间大小变更失败的响应消息。
步骤S507:用户卡改变指定的子卡空间的大小,其中,增加的子卡空间容量从运营商子卡空间中划拔,减小的子卡空间容量归入运营商子卡空间中。
同时,通过移动终端,经由OTA服务器和后台服务器向操作人员返回子卡空间大小变更成功的确认消息;指定子卡空间大小得到相应的改变。
实施例五
子卡空间所有者使用子卡空间维护密钥对所拥有的子卡空间进行删除操作的流程如图7所示,执行步骤如下:
步骤S601:子卡空间所有者选择一张或多张用户卡,向后台服务器发送对所选定的一张或多张用户卡的子卡空间删除请求。(子卡空间删除请求的具体内容参见表5)
表5
| 项目 | 名称 | 长度(字节) | 类型 | 说明 |
| 命令类型 | 删除子卡空间 | 1 | b | 取值0x07 |
| 命令长度 | 命令长度 | 2 | b | 本条命令中命令参数长度 |
| 命令参数 | 子卡空间ID | 4 | b | 取值范围0x00000000~0xFFFFFFFF |
| 验证参数 | MAC | 4 | b | 对命令类型、命令长度和子卡空间ID进行加密计算(利用子卡空间维护密钥加密)得到MAC9 |
步骤S602:后台服务器接收到对选定用户卡的子卡空间删除请求后,发送接收到的子卡空间删除请求给OTA服务器。
步骤S603:OTA服务器根据接收到子卡空间删除请求后,通过选定的用户卡所在的移动终端建立起与该用户卡之间的通信通道。
步骤S604:OTA服务器通过建立的通信通道将子卡空间删除请求发送给用户卡。
步骤S605:用户卡接收子卡空间删除请求,根据子卡空间删除请求中携带的子卡空间ID确定出待删除的子卡空间,提取本地存放的该子卡空间的维护密钥对子卡空间删除请求中使用的密钥进行验证。具体为:
用户卡接收到子卡空间删除请求后,提取本地存储的该子卡空间的维护密钥,对子卡空间删除请求中携带的命令类型、命令长度、以及子卡空间ID等命令参数信息进行加密计算,得到MAC10,将得到的MAC10与子卡空间删除请求中携带的MAC9进行比较,若MAC10与MAC9相同时,则密钥验证通过,否则验证不能通过。
若验证未通过,则执行步骤S606;若验证通过,则执行步骤S607。
步骤S606:终止子卡空间删除流程。
同时,通过移动终端,经由OTA服务器和后台服务器向操作人员返回子卡空间删除失败的响应消息。
步骤S607:用户卡删除指定的子卡空间,将该子卡空间所属的空间并入运营商子卡空间。
同时,通过移动终端,经由OTA服务器和后台服务器向操作人员返回子卡空间删除成功的确认消息;指定的子卡空间删除操作完成。
实施例六
子卡空间所有者查看自己所拥有的子卡空间属性的流程如图8所示,执行步骤如下:
步骤S701:子卡空间所有者选择一张或多张用户卡,向后台服务器发送对所选定的一张或多张用户卡的子卡空间属性查询请求。(子卡空间属性查询请求的具体内容参见表6)
表6
| 项目 | 名称 | 长度(字节) | 类型 | 说明 |
| 命令类型 | 查看子卡空间属性信息 | 1 | b | 取值0x08 |
| 命令长度 | 命令长度 | 2 | b | 本条命令中命令参数长度 |
| 命令参数 | 子卡空间ID | 4 | b | 取值范围0x00000000~0xFFFFFFFF |
| 验证参数 | MAC | 4 | b | 对命令类型、命令长度和子卡空间ID进行加密计算(利用子卡空 |
| 间维护密钥加密)得到MAC11 |
步骤S702:后台服务器接收到对选定用户卡的子卡空间属性查询请求后,发送接收到的子卡空间属性查询请求给OTA服务器。
步骤S703:OTA服务器接收到子卡空间属性查询请求后,通过选定的用户卡所在的移动终端建立起与该用户卡之间的通信通道。
步骤S704:OTA服务器通过建立的通信通道将子卡空间属性查询请求发送给用户卡。
步骤S705:用户卡接收子卡空间属性查询请求,根据子卡空间属性查询请求中携带的子卡空间ID确定出要查看的子卡空间,提取本地存放的该子卡空间的维护密钥对子卡空间属性查询请求中使用的密钥进行验证。具体为:
用户卡接收到子卡空间属性查询请求后,提取本地存储的该子卡空间的维护密钥,对子卡空间属性查询请求中携带的命令类型、命令长度、以及子卡空间ID等命令参数信息进行加密计算,得到MAC12,将得到的MAC12与子卡空间属性查询请求中携带的MAC11进行比较,若MAC12与MAC11相同时,则密钥验证通过,否则验证不能通过。
若验证未通过,则执行步骤S706;若验证通过,则执行步骤S707。
步骤S706:终止查看子卡空间属性的流程。
同时,通过移动终端,经由OTA服务器和后台服务器向操作人员返回查看子卡空间属性失败的响应消息。
步骤S707:用户卡通过移动终端,经由OTA服务器和后台服务器向操作人员返回指定的子卡空间的属性信息;指定子卡空间的属性信息查询完成。
根据本发明的上述方法,可以构建一种用户卡存储器空间管理系统,如图9所示,包括:服务器20和用户卡(30、50等)及其所在的移动终端(40、60等)。
下面以用户卡30及其所在的移动终端40为例。
服务器20,用于接收对选定用户卡30发起的用户卡子卡空间管理请求,通过用户卡30所在的移动终端40建立起与用户卡30之间的通信通道,并通过该通信通道将子卡空间管理请求发送给用户卡30。
服务器20,进一步可以包括:后台服务器201和OTA服务器202。
后台服务器201,用于接收对选定用户卡发起的用户卡子卡空间管理请求,并转发给OTA服务器202。
OTA服务器202,用于接收后台服务器201转发的子卡空间管理请求,通过用户卡30所在的移动终端40建立起与用户卡30之间的通信通道,通过建立的通信通道将子卡空间管理请求发送给用户卡30。
用户卡30,用于对所述子卡空间管理请求中携带的第一信息验证码进行验证,当验证通过时,对用户卡子卡空间管理请求中指定的子卡空间执行管理操作。
用户卡30,如图10所示,包括:通信单元301、控制单元302、运算单元303和用户卡空间304。
通信单元301,用于在控制单元302的控制下,通过所在的移动终端40建立起与服务器20之间的通信通道,并通过建立的通信通道接收服务器20发送的子卡空间管理请求,传送给控制单元302,并通过所在的移动终端向服务器20返回操作确认消息。
控制单元302,是用户卡30的核心部分,也是用户卡30操作系统的主要部分。用于控制通信单元301通过所在的移动终端40建立起与服务器20之间的通信通道;并将通信单元301传送过来的子卡空间管理请求传送给运算单元303;以及接收运算单元303的通知,执行对用户卡子卡空间管理请求中指定的用户卡空间304中的子卡空间的对应管理操作。
运算单元303,用于接收控制单元302传送过来的子卡空间管理请求,对所述子卡空间管理请求中携带的第一信息验证码进行验证,当验证通过时,通知控制单元302执行对用户卡子卡空间管理请求中指定的子卡空间的对应管理操作。
较佳的,运算单元303,进一步可以包括:解析子单元3031、计算子单元3032、验证子单元3033和通知子单元3034。
解析子单元3031,用于解析出接收到的子卡空间管理请求中携带的命令信息和第一信息验证码;其中,第一信息验证码为使用第一密钥对用户卡子卡空间管理请求中包含的命令信息进行加密计算后得到。
计算子单元3032,用于使用用户卡空间304中存储的与所述指定的子卡空间标识对应的第二密钥对解析子单元3031解析出的命令信息进行加密计算,得到第二信息验证码。
验证子单元3033,用于比较解析子单元3031解析出的第一信息验证码和计算子单元3032计算出的第二信息验证码是否相同;若相同,则验证通过,否则验证不通过。
通知子单元3034,用于当验证通过时,通知控制单元302。
用户卡空间304,用于保存密钥信息;还用于保存用户信息和应用信息。
运算单元303,根据用户卡空间304存储的密钥信息对子卡空间管理请求中携带的第一信息验证码进行验证。
较佳的,用户卡空间304,进一步可以包括:权限控制信息存储空间3041、运营商子卡空间3042和若干普通子卡空间(子卡空间3043、......、子卡空间304N等)。
权限控制信息存储空间3041,用于存放各子卡空间的密钥,包括:各子卡空间主控密钥和各子卡空间维护密钥。
运营商子卡空间3042,用于保存运营商相关信息和应用信息。
普通子卡空间3043,用于保存本子卡所有者相关信息和应用信息。
上述用户卡存储器空间管理系统,还包括:至少一个管理终端(如:10),用于选择至少一个用户卡,向服务器20发送对选定用户卡发起的用户卡子卡空间管理请求。
特别的,子卡空间所有者除了使用管理终端发送子卡空间管理请求,还可以通过短信、邮件等其他方式发送。
本发明的上述用户卡存储器空间管理方法、系统及装置,接收对选定用户卡发起的用户卡子卡空间管理请求;通过用户卡所在移动终端建立起与用户卡之间的通信通道,并通过建立的通信通道将子卡空间管理请求发送给用户卡;用户卡根据本地存储的密钥信息对子卡空间管理请求中携带的第一信息验证码进行验证,当验证通过时,对用户卡子卡空间管理请求中指定的子卡空间执行对应管理操作;从而实现了用户卡存储器空间的远程动态管理,解决了用户卡发行后无法远程动态管理存储器空间的问题,使得用户卡存储器空间的远程动态管理方便、快捷。
本发明的上述方法,建立了一套子卡空间管理密钥体系,通过密钥进行鉴权,只允许具有相应权限的用户,执行相应的管理操作,使得子卡空间所有者能够远程安全管理各自的子卡空间。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化、替换或应用到其他类似的装置,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书的保护范围为准。
Claims (13)
1.一种用户卡存储器空间管理方法,所述用户卡存储器空间被划分为若干个用户卡子卡空间,其特征在于,包括:
服务器接收对选定用户卡发起的用户卡子卡空间管理请求;
服务器通过所述用户卡所在移动终端建立起与所述用户卡之间的通信通道,并通过所述通信通道将所述子卡空间管理请求发送给所述用户卡;
所述用户卡对所述子卡空间管理请求中携带的第一信息验证码进行验证,当验证通过时,对所述用户卡子卡空间管理请求中指定的子卡空间执行管理操作。
2.如权利要求1所述的方法,其特征在于,用户卡对所述子卡空间管理请求中携带的第一信息验证码进行验证,具体包括:
所述用户卡解析出所述子卡空间管理请求中携带的命令信息和所述第一信息验证码;其中,所述第一信息验证码使用第一密钥对用户卡子卡空间管理请求中包含的所述命令信息进行加密计算后得到;
所述用户卡使用与所述指定的子卡空间对应的第二密钥对用户卡子卡空间管理请求中包含的所述命令信息进行加密计算,得到第二信息验证码;以及
比较所述第一信息验证码和所述第二信息验证码是否相同,若相同,则验证通过,否则,验证不通过。
3.如权利要求2所述的方法,其特征在于,所述命令信息,至少包括下述信息之一:
命令类型信息;
命令长度信息;
至少包含有指定的子卡空间的对应标识的命令参数信息。
4.如权利要求3所述的方法,其特征在于,所述密钥为主控密钥或维护密钥;
当根据所述用户卡子卡空间管理请求中包含的命令类型信息确定出所述第一信息验证码为使用第一主控密钥加密时,则使用第二主控密钥计算所述第二信息验证码;
当根据所述子卡空间管理请求中包含的命令类型信息确定出所述第一信息验证码为使用第一维护密钥加密时,使用第二维护密钥计算所述第二信息验证码。
5.如权利要求4所述的方法,其特征在于,所述当验证通过时,根据所述用户卡子卡空间管理请求中携带的所述命令类型信息对指定的子卡空间执行管理操作。
6.如权利要求5所述的方法,其特征在于,所述命令类型信息至少包括下述信息之一:
子卡空间的主控密钥修改、子卡空间的维护密钥创建或更新、创建新的子卡空间、改变指定子卡空间大小、子卡空间的删除或子卡空间的属性查询。
7.一种用户卡存储器空间管理系统,其特征在于,包括:服务器、用户卡和用户卡所在的移动终端;
所述服务器,用于接收对选定用户卡发起的用户卡子卡空间管理请求,通过所述用户卡所在的移动终端建立起与所述用户卡之间的通信通道,并通过所述通信通道将子卡空间管理请求发送给所述用户卡;
所述用户卡,用于对所述子卡空间管理请求中携带的第一信息验证码进行验证,当验证通过时,对所述用户卡子卡空间管理请求中指定的子卡空间执行管理操作。
8.如权利要求7所述的系统,其特征在于,还包括:至少一个管理终端,用于选择至少一个用户卡,向所述服务器发送对所述选定用户卡发起的用户卡子卡空间管理请求。
9.如权利要求7或8所述的系统,其特征在于,所述服务器包括:后台服务器和空中下载OTA服务器;
所述后台服务器,用于接收对选定用户卡发起的用户卡子卡空间管理请求,并转发给所述OTA服务器;
所述OTA服务器,用于接收所述后台服务器转发的所述子卡空间管理请求,通过所述用户卡所在的移动终端建立起与所述用户卡之间的通信通道,通过所述通信通道将所述子卡空间管理请求发送给所述用户卡。
10.一种用户卡,其特征在于,包括:通信单元、控制单元、运算单元和用户卡空间;
所述通信单元,用于在所述控制单元的控制下,通过所在的移动终端建立起与网络侧服务器之间的通信通道,并通过所述通信通道接收所述服务器发送的子卡空间管理请求,传送给所述控制单元;
所述控制单元,用于控制所述通信单元通过所在的移动终端建立起与所述服务器之间的所述通信通道;并将所述通信单元传送过来的子卡空间管理请求传送给所述运算单元;以及接收所述运算单元的通知,执行对所述用户卡子卡空间管理请求中指定的所述用户卡空间中的子卡空间的管理操作;
所述运算单元,用于接收所述控制单元传送过来的子卡空间管理请求,对所述子卡空间管理请求中携带的第一信息验证码进行验证,当验证通过时,通知所述控制单元。
11.如权利要求10所述的用户卡,其特征在于,所述用户卡空间,用于保存密钥信息;
所述运算单元,根据所述用户卡空间存储的密钥信息对所述子卡空间管理请求中携带的第一信息验证码进行验证。
12.如权利要求11所述的用户卡,其特征在于,所述运算单元,包括:解析子单元、计算子单元、验证子单元和通知子单元;
所述解析子单元,用于解析出所述子卡空间管理请求中携带的命令信息和所述第一信息验证码;其中,所述第一信息验证码为使用第一密钥对用户卡子卡空间管理请求中包含的所述命令信息进行加密计算后得到;
所述计算子单元,用于使用所述用户卡空间中存储的与所述指定的子卡空间对应的第二密钥对所述解析子单元解析出的命令信息进行加密计算,得到第二信息验证码;
所述验证子单元,用于比较所述第一信息验证码和第二信息验证码是否相同;若相同,则验证通过,否则验证不通过;
所述通知子单元,用于当验证通过时,通知所述控制单元。
13.如权利要求10-12任一所述的用户卡,其特征在于,所述用户卡空间包括:权限控制信息存储空间、运营商子卡空间和若干普通子卡空间;
所述权限控制信息存储空间,用于存放各子卡空间的主控密钥和维护密钥;
所述运营商子卡空间,用于保存运营商相关信息和应用信息;
所述普通子卡空间,用于保存本子卡所有者相关信息和应用信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101173375A CN101640883B (zh) | 2008-07-29 | 2008-07-29 | 一种用户卡存储器空间管理方法、系统及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101173375A CN101640883B (zh) | 2008-07-29 | 2008-07-29 | 一种用户卡存储器空间管理方法、系统及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101640883A CN101640883A (zh) | 2010-02-03 |
| CN101640883B true CN101640883B (zh) | 2012-07-04 |
Family
ID=41615610
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008101173375A Active CN101640883B (zh) | 2008-07-29 | 2008-07-29 | 一种用户卡存储器空间管理方法、系统及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101640883B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111565245A (zh) * | 2020-04-28 | 2020-08-21 | 武汉天喻聚联网络有限公司 | 一种多码号存储方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1567362A (zh) * | 2003-06-10 | 2005-01-19 | 大唐微电子技术有限公司 | 动态逻辑分区并控制访问权限的ic智能卡及其实现方法 |
| CN1716221A (zh) * | 2005-07-29 | 2006-01-04 | 大唐微电子技术有限公司 | 对存储器逻辑分区访问权限进行控制的方法和ic卡 |
| CN1741676A (zh) * | 2004-08-29 | 2006-03-01 | 华为技术有限公司 | 一种用户卡的安全保障方法 |
| CN101094383A (zh) * | 2007-07-09 | 2007-12-26 | 中国网络通信集团公司 | Iptv认证鉴权方法、服务器及系统 |
-
2008
- 2008-07-29 CN CN2008101173375A patent/CN101640883B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1567362A (zh) * | 2003-06-10 | 2005-01-19 | 大唐微电子技术有限公司 | 动态逻辑分区并控制访问权限的ic智能卡及其实现方法 |
| CN1741676A (zh) * | 2004-08-29 | 2006-03-01 | 华为技术有限公司 | 一种用户卡的安全保障方法 |
| CN1716221A (zh) * | 2005-07-29 | 2006-01-04 | 大唐微电子技术有限公司 | 对存储器逻辑分区访问权限进行控制的方法和ic卡 |
| CN101094383A (zh) * | 2007-07-09 | 2007-12-26 | 中国网络通信集团公司 | Iptv认证鉴权方法、服务器及系统 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111565245A (zh) * | 2020-04-28 | 2020-08-21 | 武汉天喻聚联网络有限公司 | 一种多码号存储方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101640883A (zh) | 2010-02-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8811971B2 (en) | Mobile communication device and method for disabling applications | |
| CN101755291B (zh) | 用于向移动电话安全地发送应用程序的方法、系统和可信任服务管理器 | |
| US8725211B2 (en) | Trusted service manager managing reports of lost or stolen mobile communication devices | |
| US9003133B2 (en) | Apparatus for storing/reading data in a memory array of a transponder | |
| US20030111528A1 (en) | Smart card managing system | |
| CN103299284B (zh) | 数据安全读取方法及装置 | |
| EP2169639A1 (en) | Portable electronic device and data processing method in portable electronic device | |
| CN105850155B (zh) | 用于管理非接触卡应用的应用数据的系统和方法 | |
| CN110008665A (zh) | 一种区块链的权限控制方法及装置 | |
| CN103154882A (zh) | 使用虚拟机来管理共享数据 | |
| CN105793861A (zh) | 用于安全地管理安全元件上的数据的系统、方法和计算机程序产品 | |
| CN101755435B (zh) | 用于管理唯一存储设备标识的方法、服务器和移动通信设备 | |
| CN104462893B (zh) | 多se模块管理方法和多se模块管理装置 | |
| CN101072206B (zh) | 即时通信系统中二次认证的方法及系统 | |
| CN103763370B (zh) | 一种更改移动终端工作区锁屏密码的方法、系统及装置 | |
| CN109784084B (zh) | 数据交易方法、装置和系统 | |
| CN101640883B (zh) | 一种用户卡存储器空间管理方法、系统及装置 | |
| US11768965B2 (en) | System and method for securely storing data in a SIM | |
| JP2004252968A (ja) | 半導体メモリカード、制御プログラム。 | |
| CN103281172A (zh) | 高速公路电子预付卡与加密机之间的池化通信方法 | |
| GB2350703A (en) | Smart devices | |
| CN111310243A (zh) | 一种具有多主安全域的智能ic卡片内操作系统 | |
| US20100199059A1 (en) | Mobile communication device and method for defragging mifare memory | |
| CN112541756B (zh) | 区块链合约升级方法、装置、计算机设备及可读存储介质 | |
| CN117097460A (zh) | 一种密钥管理的装置、密码卡、系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |