CN102026187B - 用户识别模块及基于该用户识别模块的传输方法、系统 - Google Patents
用户识别模块及基于该用户识别模块的传输方法、系统 Download PDFInfo
- Publication number
- CN102026187B CN102026187B CN201010577609.7A CN201010577609A CN102026187B CN 102026187 B CN102026187 B CN 102026187B CN 201010577609 A CN201010577609 A CN 201010577609A CN 102026187 B CN102026187 B CN 102026187B
- Authority
- CN
- China
- Prior art keywords
- subscriber identification
- identification module
- data
- module
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
一种用户识别模块及基于该用户识别模块的传输方法、系统;所述用户识别模块总线、以所述总线相连的处理模块和存储模块;还包括:与所述总线相连的近距离无线通信控制器;与所述近距离无线通信控制器相连的近距离无线通信模块;与所述近距离无线通信模块相连的射频天线;所述近距离无线通信控制器用于控制所述近距离无线通信模块通过驱动所述射频天线与外部交互数据;还用于将所述近距离无线通信模块从外部收到的数据,通过所述处理模块写入所述存储模块;以及通过所述处理模块从所述存储模块读取所述近距离无线通信模块所要发送给外部的数据。不用更换终端即可支持外部实体与用户识别模块的高速数据交换。
Description
技术领域
本发明涉及通信领域,尤其涉及一种用户识别模块及基于该用户识别模块的传输方法、系统。
背景技术
用户识别模块(比如SIM卡)是一种高安全的智能卡,广泛应用于移动通讯领域。用户识别模块内部结构如图1所示,主要包括总线、CPU(微处理器单元)、RAM(随机存储器)、ROM(只读存储器,一般用于存储固定的程序代码)和EEPROM(非易失性存储器),其中EEPROM一般用于存储数据,根据工艺不同,目前也广泛采用FLASH代替,用于存储用户识别模块相关关键数据和用户信息。当前,普通用户识别模块通过标准的ISO7816接口与终端进行通信。
随着移动通讯技术的不断发展,用户对用户识别模块功能的要求越来越高,现有的用户识别模块存储容量一般在512K以内,远远不能满足大量业务存储的需求,如果要增大数据存储空间,必须在用户识别模块外形和体积标准规范范围内扩充存储器,所以业内提出了大容量用户识别模块。
当前,大容量用户识别模块主要有三类通信接口:ISO7816接口、IC_USB接口、MMC接口,这三类通信接口都基于物理连接方式实现。
其中,ISO7816接口存在的问题是传输速度慢,传输速度最高只有310Kbps,无法真正满足大容量数据传输的用户实际使用需求,并且传输时间较长后会超出终端的等待时限,部分终端会出现死机等现象,导致机卡不兼容,用户感受差,可接受度低。
如图2所示,基于MMC(MultiMedia Card,多媒体存储卡)或IC_USB(IC Universal Serial Bus,IC卡通用串行总线)接口的大容量用户识别模块是在普通用户识别模块基础上,整合了集成度非常高的NANDFLASH大容量存储单元,在有限的用户识别模块物理空间内大大扩大了用户识别模块的存储容量,一般为128M、512M、1G、2G等,理论上NANDFLASH的容量可以无限扩展。用户识别模块的CPU可通过NANDFLASH控制器对NANDFLASH进行存储控制,同时可以实现安全访问控制,进而实现授权访问和数据加解密功能,具有很高的数据安全性。
另外,根据设计需要,技术上也允许从大容量存储区中划分出一部分存储空间或全部空间为普通存储区,普通存储区类似于普通SD存储卡,可用于存储任何内容,但数据存储安全性不受SIM卡保护。如果终端支持MMC接口或IC_USB接口,则可通过MMC/IC_USB控制器直接进行存储器的访问,就像直接操作终端SD卡一样,用于存储图片、音乐、视频、铃声、电子书、应用软件、大容量电话本、大容量短信箱、移动黄页等内容。如果外部有MMC或USB读卡器,也可以把用户识别模块插到读卡器上,读卡器插到电脑上直接进行信息的交换。用户识别模块可通过ISO7816和MMC/IC_USB接口与终端进行通信。
基于MMC/IC_USB高速协议接口的大容量用户识别模块不仅在存储器空间上进行的很大的扩展,且由于增加MMC/IC_USB高速协议接口,传输速率将大为增强(速度可高达24Mbps),可保证大数据量的存储和高速传输,解决了ISO7816速度慢(最高速率为310Kbps)无法传输大数据量的问题。但是,现有绝大多数终端都不支持此类接口,需要定制开发新终端,终端软硬件改造代价非常大,周期很长,成本很高,终端生产商需投入巨大资源进行终端的大量设计与改造;考虑到更换终端的成本,只有支持IC_USB接口或MMC接口的新终端用户才能使用具备该类接口的用户识别模块,用户已经购买的终端或已经上市的终端都无法支持,产品适用范围受限,难于被大多数用户接受。
即使终端改造后支持了大容量用户识别模块的数据传输,但受限于终端操作系统的多样性和大容量接口应用协议的限制,也不能实现终端和用户识别模块任意内容的数据交换(如:名片、多媒体、电子书等),只有指定的应用或服务才能通过IC_USB接口或MMC接口交换,这就限制了大容量用户识别模块的应用范围,严重阻碍了大容量用户识别模块的推广和发展,从前几年国内各大运营商实际推广效果可见一斑,目前各大运营商实际已经基本停止了大容量用户识别模块的推广。
从应用层面上看,目前国际标准仅定义了高速数据传输接口,未定义可支持的应用或服务,所以基于传统大容量用户识别模块的终端应用或服务标准化问题也很突出,单纯采用个性化定制终端的方式会导致成本居高不下,产品也就很难推广。从运营商层面上看,运营商对于用户识别模块具有完全控制权,而终端具有社会渠道性,终端很难进行控制,不利于未来技术和功能的升级。
发明内容
本发明要解决的技术问题是提供用户识别模块及基于该用户识别模块的传输方法、系统,不用更换终端即可支持外部实体与用户识别模块的高速数据交换,利用已有的应用协议即可实现丰富的业务应用,快速实现产业化。
为了解决上述问题,本发明提供了一种用户识别模块,包括:总线、以所述总线相连的处理模块和存储模块;还包括:
与所述总线相连的近距离无线通信控制器;
与所述近距离无线通信控制器相连的近距离无线通信模块;
与所述近距离无线通信模块相连的射频天线;
所述近距离无线通信控制器用于控制所述近距离无线通信模块通过驱动所述射频天线与外部交互数据;还用于将所述近距离无线通信模块从外部收到的数据,通过所述处理模块写入所述存储模块;以及通过所述处理模块从所述存储模块读取所述近距离无线通信模块所要发送给外部的数据。
优选地,所述存储模块的存储空间划分为三个部分:
用于存储用户识别模块信息的用户识别模块信息区;
保密存储区;
公共存储区;
所述处理模块还用于通过把保密存储区和公共信息区的物理地址注册到注册表中,对保密存储区和公共存储区进行空间动态划分。
优选地,所述的用户识别模块还包括:安全模块;
若干个应用模块,各应用模块对应于不同类型的数据;
所述处理模块用于当所述近距离无线通信模块要将从外部接收的数据写入所述存储模块,或从存储模块读取要发送到外部的数据时,调用与所述数据对应的应用模块;
所述应用模块用于被调用时根据要写入的数据的业务类型或服务类型判断是否需要安全认证,如果需要则指示所述安全模块写入所述数据,不需要则直接将数据写入所述存储模块;或判断所要读取的数据所在的物理地址是否属于保密存储区,如果属于则指示所述安全模块读取,不属于则直接从所述存储模块中读取后发送给所述近距离无线通信控制器;
所述安全模块写入或读取数据前,先验证访问权限,如果访问权限通过则写入数据到所述存储模块中或从所述存储模块中读取数据发送给所述近距离无线通信控制器,如果没通过则拒绝访问。
本发明还提供了基于上述用户识别模块的传输方法,包括:
当需要进行近距离无线数据传输时,所述用户识别模块保存本次传输用的配对口令,并将该配对口令通知给本次传输的对端设备;
进行传输时,所述用户识别模块通过所述配对口令与所述对端设备进行握手认证;认证成功则进行近距离无线数据传输,认证失败则不允许连接;
所述用户识别模块清除本次传输用的配对口令。
优选地,所述配对口令的生成方式包括:
用户识别模块接收用户输入的配对口令并保存;
用户识别模块生成配对口令并显示给用户;
用户识别模块向网络侧上发口令申请短信,网络侧随机产生或利用加密算法产生一个配对口令,以加密数据短信报文方式下发给用户识别模块。
本发明还提供了一种基于上述用户识别模块的传输方法,包括:
在所述用户识别模块中预置一组加密密钥,在网络侧保存各用户识别模块的唯一识别号与所预置的加密密钥的对应关系;
当两个所述用户识别模块之间进行近距离无线数据传输时,直接使用双方预置的加密密钥进行数据的加密和解密,或以预置的加密密钥为保护密钥,生成双发共享的会话密钥,利用会话密钥进行传输数据的加密和解密;
所述用户识别模块与终端进行近距离无线数据传输时,终端上发申请给网络侧,通知网络侧所述用户识别模块所在终端的号码或本终端的号码;网络侧查找到所述用户识别模块所预置的加密密钥后,根据该加密密钥生成会话密钥下发给所述终端;所述用户识别模块根据加密密钥生成会话密钥或直接从网络接收会话密钥;所述终端使用该会话密钥与所述用户识别模块进行数据传输加密。
本发明还提供了一种基于上述用户识别模块的传输方法,包括:
当所述用户识别模块与待身份认证设备之间进行身份认证时,任一方先作为认证方,另一方作为被认证方;
认证方生成一个挑战值发给被认证方;被认证方利用认证密钥对挑战值加密后,返回给认证方;认证方利用同样的认证密钥和算法解密后,判断与先前的挑战值是否一致,如果一致,则认证通过;对调认证方和被认证方,如果认证也通过,则双方认证成功,可进行数据传输。
本发明还提供了一种基于上述用户识别模块的传输方法,包括:
在所述用户识别模块中预置一组加密密钥,在网络侧保存各用户识别模块的唯一识别号与所预置的加密密钥的对应关系;
所述网络侧向所述用户识别模块发送数据时,采用所述用户识别模块对应的加密密钥对数据进行加密后发送给所述用户识别模块所在的终端;所述终端与所述用户识别模块之间进行近距离无线数据传输,将所述加密后的数据发送给用户识别模块;所述用户识别模块对接收到的数据采用所述加密密钥解密后获得明文;
所述用户识别模块向所述网络侧发送数据时,采用所述加密密钥对数据进行加密后进行近距离无线数据传输,将所述加密后的数据发送给所在的终端;所述终端上传给所述网络侧;所述网络侧对接收到的数据采用所述用户识别模块对应的加密密钥解密后获得明文。
本发明还提供了一种基于上述用户识别模块的传输系统,包括:
一个或多个上述用户识别模块;
各所述用户识别模块所在终端;
所述用户识别模块当需要进行数据传输时,保存本次传输用的配对口令,并将该配对口令通知给本次传输的对端设备;进行传输时通过所述配对口令与所述对端设备进行握手认证;认证成功则进行数据传输,认证失败则不允许连接;然后清除本次传输用的配对口令;
所述对端设备为所述用户识别模块或所述终端。
本发明还提供了一种基于上述用户识别模块的传输系统,包括:
一个或多个上述用户识别模块;
各所述用户识别模块所在终端;
各所述用户识别模块分别预置一组加密密钥;
网络侧,用于保存各用户识别模块的唯一识别号与所预置的加密密钥的对应关系;当收到申请时,根据终端的号码查找到所述用户识别模块所预置的加密密钥后,根据该加密密钥生成会话密钥返回;
所述用户识别模块用于当与其它用户识别模块之间进行近距离无线数据传输时,直接使用双方预置的加密密钥进行数据的加密和解密,或以预置的加密密钥为保护密钥,生成双发共享的会话密钥,利用会话密钥进行传输数据的加密和解密;当与终端进行近距离无线数据传输时,根据加密密钥生成会话密钥或直接从网络接收会话密钥;
所述终端用于当与其它用户识别模块之间进行近距离无线数据传输时,上发申请给所述网络侧,通知网络侧所述用户识别模块所在终端的号码或本终端的号码;接收网络侧返回的会话密钥与所述用户识别模块进行数据传输加密。
本发明还提供了一种基于上述用户识别模块的传输系统,包括:
一个或多个上述用户识别模块;
各所述用户识别模块所在终端;
当所述用户识别模块用于当与待身份认证设备之间进行身份认证时并作为认证方时,生成一个挑战值发给待身份认证设备;接收待身份认证设备返回的利用认证密钥加密后的挑战值,利用同样的认证密钥和算法解密后,判断与先前的挑战值是否一致,如果一致,则认证通过;作为被认证方时,接收挑战值,利用认证密钥加密后返回给待身份认证设备;
所述待身份认证设备为所述用户识别模块或所述终端。
本发明还提供了一种基于上述用户识别模块的传输系统,包括:
一个或多个上述用户识别模块;
各所述用户识别模块所在终端;
各所述用户识别模块分别预置一组加密密钥;
网络侧,用于保存各用户识别模块的唯一识别号与所预置的加密密钥的对应关系;用于当向所述用户识别模块发送数据时,采用所述用户识别模块对应的加密密钥对数据进行加密后发送给所述用户识别模块所在的终端;当接收到终端上传的加密的数据后,采用该终端里的用户识别模块对应的加密密钥解密后获得明文;
所述终端用于与所述用户识别模块之间进行近距离无线数据传输,将从所述网络侧接收的加密后的数据发送给用户识别模块,以及将从所述用户识别模块接收的加密后的数据上传给所述网络侧;
所述用户识别模块用于对接收到的数据采用所述加密密钥解密后获得明文;当向所述网络侧发送数据时,采用所述加密密钥对数据进行加密后进行近距离无线数据传输,发送给所在的终端。
本发明的技术方案实现了用户识别模块技术、大容量卡技术与近距离无线通信技术的融合,通过行业内现有成熟的芯片封装技术实现物理结构封装,满足与终端的用户识别模块的接口特性,通过用户识别模块操作系统(比如COS)可实现用户识别模块芯片、大容量存储器芯片、近距离无线通信芯片三者的数据传输、协议控制、安全管理等。可利用蓝牙等近距离无线通信接口作为传统的ISO7816接口、IC_USB接口、MMC接口的补充或代替,其优点在于能在无需进行终端改造的前提下,通过目前大多数终端已经支持的蓝牙等近距离无线通信接口代替IC_USB接口、MMC接口,实现大容量用户识别模块技术与本终端或外部蓝牙近距离无线通信实体的高速数据交换;运营商无需定制终端,用户也无需更换终端即可支持,因此开发周期短、成本低、兼容性问题少。
本发明的优化方案利用用户识别模块的安全特性提出了近距离无线通信安全通信机制和数据安全存储机制;利用用户识别模块的STK(SIM卡应用工具箱)技术,可实现近距离无线通信与广域通信的有效结合;在实际应用中,不仅可以通过该种智能卡与手机等终端的近距离无线通信通道进行数据交互,实现用户识别模块与终端间的大容量号簿、图片、视频等多媒体信息的数据传输与备份,还可以实现终端客户端与用户识别模块通过近距离无线数据传输共同配合进行大容量终端程序、卡程序的下载与安装,通过配合能较好实现多种不同的业务应用。如手机地图、英文字典、卡大容量程序下载安装等多种有用的业务产品。
附图说明
图1是现有的普通用户识别模块的示意框图;
图2是现有的大容量用户识别模块的示意框图;
图3是实施例一的用户识别模块的示意框图之一;
图4是实施例一的用户识别模块的示意框图之二;
图5是实施例一的用户识别模块的示意框图之三;
图6是实施例一的例子中利用SIM卡STK技术实现蓝牙控制的菜单结构示意图;
图7是实施例一中进行安全存取控制的示意图;
图8是实施例一中用户识别模块的示意框图之四;
图9是实施例六中基于实施例一的用户识别模块的传输系统的结构示意图。
具体实施方式
下面将结合附图及实施例对本发明的技术方案进行更详细的说明。
需要说明的是,如果不冲突,本发明实施例以及实施例中的各个特征可以相互结合,均在本发明的保护范围之内。另外,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
实施例一,一种用户识别模块,包括:
总线,以所述总线相连的近距离无线通信控制器、处理模块和存储模块;
与所述近距离无线通信控制器相连的近距离无线通信模块;
与所述近距离无线通信模块相连的射频天线;
所述近距离无线通信控制器用于控制所述近距离无线通信模块通过驱动所述射频天线与外部交互数据;还用于将所述近距离无线通信模块从外部收到的数据,通过所述处理模块写入所述存储模块;以及通过所述处理模块从所述存储模块读取所述近距离无线通信模块所要发送给外部的数据。
本实施例可以是在现有大容量用户识别模块的基础上,增加近距离无线通信相关硬件模块,涉及到的近距离无线通信硬件模块包括近距离无线通信控制器、近距离无线通信模块(含操作系统协议栈)、射频天线,其中近距离无线通信控制器的接口形式可以是UART、USB、SD等,实现与总线、近距离无线通信模块的相连。
本实施例中,所述用户识别模块可以但不限于为SIM卡。
本实施例中,所述处理模块可以但不限于为用户识别模块中的CPU或其它微处理单元。
本实施例中,所述存储模块可以包括RAM、ROM和EEPROM。
本实施例的一种实施方式如图3所示,所述近距离无线通信控制器可以但不限于为蓝牙控制器,相应的所述近距离无线通信模块为蓝牙模块,两者可以通过HCI(Host Controller Interface,主机控制器接口)相连,可对外提供蓝牙无线接口。选择采用蓝牙作为近距离无线通信接口方式,主要是考虑到目前大部分终端都已经标配了蓝牙功能,而且支持蓝牙的外部实体,如终端、笔记本电脑、PDA、MP4、照相机等,属于广适性比较强的通信接口。另外,蓝牙工作频段为全球开放的2.4GHz ISM(工业-科学-医用)频段,无需申请,可免费使用,蓝牙的传输速度高达3M,速度快,适合大容量数据的传输。
用户识别模块增加蓝牙功能后,用户识别模块作为一个蓝牙节点存在,通过处理模块(可运行用户识别模块的操作系统)能实现用户识别模块内电信个人化信息、大容量区信息与任何蓝牙外部设备(如:笔记本电脑、PDA等)的任意数据交换,这就大大拓展了用户识别模块的应用范围和领域,用户识别模块所承载的业务就变得非常丰富,加之用户识别模块本身的安全特性,相比普通存储产品将优势明显,将为用户带来全新的业务体验,为运营商带来新的业务增长点,适应当前移动互联网产业的发展。
本实施例的用户识别模块与传统蓝牙终端配合,可支持用户识别模块电话本、短消息、图片、铃声、电子书等个人化数据或多媒体资料与终端客户端应用软件的无线数据交换,反之,也可实现终端到用户识别模块的数据传输,整个传输机制是双向的,这就解决了ISO7816接口传输速度慢,虽可传输大数据量内容但速度慢实际使用效果难以被用户接受的缺点,也解决了传输内容受限的问题,理论上,终端通过蓝牙开放的服务都可以与用户识别模块实现内容交换,大大拓展了用户识别模块的应用范围。所述蓝牙终端可以但不限定于手机终端,可以用于无线公话终端、家庭信息机、车载终端、物联网专用终端等各类型支持蓝牙通道的终端。
实际应用中,所述近距离无线通信控制器还可以是ZigBee控制器、WiFi控制器、WAPI控制器等,相应的所述近距离无线通信模块为ZigBee模块、WiFi模块、WAPI模块等。这些技术都是采用2.4G无线通信频率且核心特点都是可以实现近距离无线通信。
该实施方式中,所述用户识别模块还可以包括ISO7816接口。
该实施方式中,如图4所示,所述存储模块还可以包括大容量存储器,比如NANDFLASH,所述用户识别模块还包括连接在所述总线上的NANDFLASH控制器;如图5所示,所述用户识别模块还可以再进一步包括连接在总线上的MMC/IC_USB控制器,以提供MMC/IC_USB接口,这样用户识别模块可实现与大容量存储区NANDFLASH控制器的通信进而控制数据的直接存取,通过蓝牙接口或MMC/IC_USB接口可实现与外部实体的数据交换。
没有MMC/IC_USB接口的方案(即图4所示的方案),可满足终端不支持MMC/IC_USB接口时的需求,降低成本,减少系统复杂度。没有NANDFLASH控制器和NANDFLASH的方案,相应地也就不需要MMC/IC_USB接口(即图3所示的方案),能满足对于大容量存储无需求的场景,可降低成本,减少系统复杂度。
该实施方式中,所述处理模块还可以用于当ISO7816接口、MMC/IC_USB接口等和蓝牙无线信道出现资源冲突时,按照预定的事件优先级排队处理。
由于目前市面上大多数终端都支持蓝牙,所以本实施方式的用户识别模块可通过无线接口实现与外部蓝牙设备的通信。如果个人的终端和用户识别模块都支持蓝牙,则可以实现自己用户识别模块内信息与终端内存储信息的交换,由此可以实现终端电话本、终端短信箱、图片铃声、文件、视频、应用软件等内容到用户识别模块的传输存储,由于用户识别模块具有安全性高、存储容量大、便于更换终端等特点,用户识别模块将会变成个人信息内容的统一化承载体,终端将成为内容的执行体而不是存储体,这样用户更换终端时只需转移用户识别模块即可,免除用户频繁更换终端个人信息无法及时转移的后顾之忧。
本实施例中,所述处理模块还用于接收用户的操作指令,根据该操作指令相应控制所述近距离无线通信控制器,从而使用户可以通过用户识别模块的菜单来执行近距离无线通信模块的开启、关闭等操作。
本实施例的一个例子中,所述近距离通信控制器/模块为蓝牙控制器/模块,所述用户识别模块为SIM卡,利用SIM卡的STK技术,用户可以实现对SIM卡中蓝牙模块进行工作状态和相关信息的控制,如图6所示,在SIM卡应用菜单中,除了通常的手机报、彩铃、航班查询菜单等,还可以包括SIM蓝牙菜单项,具体可包括但不限于“应用管理”和“蓝牙管理”两部分菜单内容;其中,“蓝牙管理”可包括如下内容:
(1)开启蓝牙
用户要想使用用户识别模块蓝牙功能,需首先开启用户识别模块的蓝牙功能。通过用户识别模块提供的STK菜单,用户进入蓝牙管理菜单后,点击开启蓝牙菜单,用户识别模块将通过内部控制命令协议实现蓝牙模块的开启,用户识别模块蓝牙开启后,不仅可以搜寻其他蓝牙设备也可以被其他设备搜寻到。
(2)关闭蓝牙
终端开机后用户识别模块默认状态为关闭状态,蓝牙开启后可通过该菜单关闭蓝牙;
(3)搜寻蓝牙设备
开启蓝牙后,用户可通过该菜单搜寻通讯距离内的蓝牙设备,如果搜索到用户识别模块将会列出名称列表供用户选择使用;
(4)名称设置
用户识别模块出厂时蓝牙设备名称默认为“SIMBLUETOOTH”(举例),用于与其他蓝牙设备通信时的设备标识名,用户可以自行修改为个性化名称。
(5)密码设置
考虑到蓝牙连接时的安全认证需求,SIM卡可提供两种密码管理方式,一种是固定密码,一种是动态密码。固定密码由用户自己设置,在不改变的情况下将一直使用该密码进行认证,安全性较低;动态密码是由卡片生成的一次一个口令的密码,每次开启蓝牙时SIM卡自动生成一个随机密码提供给用户,用于蓝牙设备建立连接时的认证密码,由于每次启用蓝牙的口令都不相同,所以安全性较高。
本实施例中,利用用户识别模块的安全特性,可实现用户识别模块信息、大容量区信息的分层级安全存取控制,为近距离无线通信接口通信和数据访问增加防火墙管理功能,提供用户对于个人信息管理的私密性需求,防止外界设备对用户信息进行非授权访问,进而导致用户信息泄密情况的发生。
本实施例也提供了一种机制,对于无安全需求的信息,可存放到公共信息区中,并且保密信息区和公共信息区空间大小支持动态分配。通过三者技术融合,弥补了大容量存储器和蓝牙模块数据访问控制方面在安全性方面的不足,同时也拓展了用户识别模块的应用范围。
本实施例中,所述存储模块的存储空间可划分为三个部分:
(1)用于存储用户识别模块信息的用户识别模块信息区;所述用户识别模块信息可以包括电话本信息、短消息信息、密钥信息、用户识别模块基本信息等;其中,用户识别模块基本信息包括比如STK业务菜单、网络参数、用户识别模块相关的文件系统等。
(2)保密存储区,可以用于存储安全性要求较高的个人信息,如信用卡卡号、密码、证券账户信息、保密联系人等信息;可通过在存储区信息头中设置权限标识,用于标识信息的安全属性,只有通过安全认证才允许访问。
(3)公共存储区,用于存储对于安全性要求不高的信息,如电子书、图片、游戏、软件等,可按照类似于U盘方式访问,无需进行认证即可进行数据存取。
如图7所示,当存在大容量存储器时,可将ROM和EEPROM/FLASH等SIM卡芯片存储器的存储空间作为用户识别模块信息区,将大容量存储器的存储空间划分为保密存储区和公共存储区。实际应用中可自行划分各存储区的位置;
所述用户识别模块还可以包括:安全模块;
一个或多个应用模块,各应用模块对应于不同类型的数据;
所述处理模块用于当所述近距离无线通信模块要将从外部接收的数据写入所述存储模块,或从存储模块读取要发送到外部的数据时,调用与所述数据对应的应用模块;
所述应用模块用于被调用时根据要写入的数据的业务类型或服务类型判断是否需要安全认证,如果需要则指示所述安全模块写入所述数据,不需要则直接将数据写入所述存储模块;或判断所要读取的数据所在的物理地址是否属于保密存储区,如果属于则指示所述安全模块读取,不属于则直接从所述存储模块中读取后发送给所述近距离无线通信控制器;
所述安全模块写入或读取数据前,先验证访问权限,如果访问权限通过则写入数据到所述存储模块中或从所述存储模块中读取数据发送给所述近距离无线通信控制器,如果没通过则拒绝访问。
考虑到用户实际需求,所述处理模块还用于对保密存储区和公共存储区进行空间动态划分,其机制是所述处理模块通过把保密存储区和公共信息区的物理地址注册到注册表中,进入注册表中的保密存储区将受到安全控制。
可以在所述应用模块中预设和修改各种业务类型或服务类型是否需要安全认证,在所述安全模块中预设和修改各种数据来源方或请求数据方的访问权限;可以但不限于通过所述处理模块进行上述预设和修改。
另外,根据用户信息的安全需求,本实施例的一个实施方式还可以提供四个层级的权限访问控制机制,实现用户识别模块、大容量存储器、近距离无线通信模块三者整合实现用户信息的分层级安全存取控制;将权限等级分为高安全级别、中安全级别、低安全级别、无安全级别。
高安全级别信息采用加密方式存储在所述保密存储区中,密钥存储在用户识别模块中无法读出,当外界访问实体提交正确的数字证书(如:MAC、RSA数字签名等)后才解密输出,安全等级达到与SIM卡中ADM的同等级别。
中安全级别信息采用明文方式存储在所述保密存储区中,外界进行访问时需提交口令认证,口令由用户自行设置,不同文件或内容可设置不同的口令。
低安全级别信息采用明文方式存储在所述保密存储区中,采用用户识别模块PIN码保护,外界进行访问时只要用户识别模块的PIN码被禁用或认证通过,则可访问。
无安全级别信息存储在所述公共存储区中,类似于U盘,外界可直接访问,无需权限认证。
实际应用时,可根据需要划分不同的安全等级。
所述应用模块对于属于无安全级别信息的服务类型或业务类型判断不需要安全认证,其它都需要安全认证;所述安全模块除了判断访问权限外,还分别对于高、中、低安全级别信息采用相应方式进行认证。
本实施例中,所述用户识别模块还可以包括以下模块中的一个或几个,如图8所示:
用于生成配对口令的口令生成模块,还可以通过所述近距离无线通信模块传输给外界;
用于保存密钥或配对口令的密钥保存模块;
用于进行加密、解密的安全算法模块;
身份认证处理模块,用于在通过所述近距离无线通信模块与外界设备进行身份认证时,调用所述安全算法模块,利用密钥存储模块中保存的密钥进行挑战值的加密/解密;
报文协议处理模块,用于在通过所述近距离无线通信模块收/发报文时,调用所述安全算法模块,利用密钥存储模块中保存的密钥进行报文解密校验/加密。
实施例二、基于实施例一的用户识别模块的传输方法,包括:
当需要进行近距离无线数据传输时,所述用户识别模块保存本次传输用的配对口令,并将该配对口令通知给本次传输的对端设备;
进行传输时,所述用户识别模块通过所述配对口令与所述对端设备进行握手认证;认证成功则进行数据传输,认证失败则不允许连接;
清除本次传输用的配对口令。
本实施例可以实现一次一个配对口令,一次一密,关闭近距离无线通信的连接后再开启时自动清除上次口令,避免口令的重复使用,提升用户识别模块的安全。
本实施例结合了移动通信的特点和用户识别模块本身的安全性,来提高传输的安全性。以蓝牙通信为例,蓝牙基带遵循国际标准接口和协议,在不同蓝牙设备进行握手配对和内容传输时都遵循标准协议,在安全方面仅通过设置访问口令(PIN码)进行安全控制,蓝牙主设备想与蓝牙从设备通信时,主设备必须知道从设备的PIN码才能进行握手认证,否则权限认证失败,不允许配对连接。
根据蓝牙标准,PIN码长度为1~16位10进制数,而大多数用户为了记忆的方便,普遍都设置为4~6位数字,这样在进行数据传输时安全性将大大降低。本实施例中,还可以预先设置好配对口令的长度和/或类型(纯数字、字母或组合等),所保存的配对口令必须符合预先设置好的长度和/或类型;比如出厂设置为仅支持16位长度配对口令(当然,根据安全需要,少于16位长度也是可以的),这样将大大增强蓝牙使用的安全性,
但考虑到配对口令记忆和传递困难的问题,本实施例中,所述配对口令的生成方式包括但不限于以下三种:
(1)用户自定义口令:用户识别模块接收用户输入的配对口令并保存。如果用户识别模块是SIM卡,则用户可以通过STK菜单输入配对口令。
(2)用户识别模块生成配对口令并显示给用户;此方式下,如果用户识别模块是SIM卡,则可以通过STK显示配对口令给用户。
上述两种方式中,可以由用户将配对口令告知所述对端设备,也可以将所述配对口令用短信传给所述对端设备,可完成长口令的快速准确传递。
(3)用户识别模块向网络侧上发口令申请短信,网络侧随机产生或利用加密算法产生一个配对口令(可以但不限于为16位长度),以加密数据短信报文方式下发给用户识别模块(可以但不限于是下发给终端,再由终端透明传递数据短信报文给用户识别模块)。此方式下,用户识别模块通过所述报文协议处理模块调用安全算法模块,利用密钥存储模块中保存的密钥进行报文解密校验,校验成功,则保存解密出的配对口令。
此方式下,可按上两种方式来将配对口令通知给对端设备,也可以由系统侧直接下发给所述对端设备。
实施例三、基于实施例一的用户识别模块的传输方法,包括:
在所述用户识别模块中预置一组加密密钥,在网络侧保存各用户识别模块的唯一识别号与所预置的加密密钥的对应关系;
当两个所述用户识别模块之间进行近距离无线数据传输时,直接使用双方预置的加密密钥进行数据的加密和解密,无需后台系统参与;或以预置的加密密钥为保护密钥,生成双发共享的会话密钥,利用会话密钥进行传输数据的加密和解密;
所述用户识别模块与终端进行近距离无线数据传输时,终端上发申请给网络侧,通知网络侧所述用户识别模块所在终端的号码或本终端号码;网络侧查找到所述用户识别模块所预置的加密密钥后,根据该加密密钥生成会话密钥下发给所述终端;所述用户识别模块根据加密密钥生成会话密钥或直接从网络接收会话密钥;所述终端使用该会话密钥与所述用户识别模块进行数据传输加密。
本实施例中,所预置的加密密钥存储在所述密钥存储模块中;所述安全算法模块用于根据加密密钥生成会话密钥,加密算法由安全算法模块提供。
本实施例的一个例子中,在蓝牙设备间组成Pico网进行握手配对通过后,当进行数据传输时,主设备利用报文协议处理模块把需要传输的数据利用加密密钥加密后生成加密报文传递给从设备,从设备利用报文协议处理模块反向解密后解析指令并存储或执行相关指令操作,直到数据传输结束。
为了使现有的终端也能支持加密传输模式,可在网络侧的应用服务器提供与终端匹配的客户端加密中间件供下载,由用户手动或终端自动下载到终端;在进行数据传输加密时,客户端加密中间件自动上发申请给应用服务器,收到会话密钥后存储到终端存储器中,开始使用该组密钥进行数据传输加密。这样就也可以实现终端与本终端中的用户识别模块之间的数据传输。
考虑到安全需求,网络侧可设置允许所述用户识别模块近距离无线通信用户范围,即可以设置一个用户可以通过所述用户识别模块与其进行通信的用户的范围,对于黑名单指定不允许通信的用户,网络侧可以禁止两者通过近距离无线通信以加密模式进行数据传输,进而达到业务可管可控的目的。
实施例四、基于实施例一的用户识别模块的传输方法,包括:
当所述用户识别模块与待身份认证设备之间进行身份认证时,任一方先作为认证方,另一方作为被认证方;
认证方生成一个挑战值发给被认证方;被认证方利用认证密钥对挑战值加密后,返回给认证方;认证方利用同样的认证密钥和算法解密后,判断与先前的挑战值是否一致,如果一致,则认证通过;对调认证方和被认证方,如果认证也通过,则双方认证成功,可进行数据传输。
可见,本实施例中的身份认证采用挑战-应答机制实现,认证成功,双方可以进行后续业务通信操作,并开放相关权限。
本实施例中,所述用户识别模块通过身份认证处理模块调用安全算法模块,利用密钥存储模块中保存的认证密钥进行挑战值的加密/解密。
同样的,现有的终端也可以通过下载客户端加密中间件后,实现与所述用户识别模块的身份认证,密钥交换方法类似于加密传输模式,不再赘述。
实施例五、基于实施例一的用户识别模块的传输方法,包括:
在所述用户识别模块中预置一组加密密钥,在网络侧保存各用户识别模块的唯一识别号与所预置的加密密钥的对应关系;
在所述用户识别模块中预置一组加密密钥,在网络侧保存各用户识别模块的唯一识别号与所预置的加密密钥的对应关系;
所述网络侧向所述用户识别模块发送数据时,采用所述用户识别模块对应的加密密钥对数据进行加密后发送给所述用户识别模块所在的终端;所述终端与所述用户识别模块之间进行近距离无线数据传输,将所述加密后的数据发送给用户识别模块;所述用户识别模块对接收到的数据采用所述加密密钥解密后获得明文;后继可以对明文信息进行存储或执行相关指令操作;
所述用户识别模块向所述网络侧发送数据时,采用所述加密密钥对数据进行加密后进行近距离无线数据传输,将所述加密后的数据发送给所在的终端;所述终端上传给所述网络侧;所述网络侧对接收到的数据采用所述用户识别模块对应的加密密钥解密后获得明文;后继可以对明文信息进行存储或执行相关指令操作。
同样的,现有的终端也可以下载客户端;网络侧可通过GPRS/3G高速无线数据网络和终端中的客户端相连;客户端透明地把接收到的内容通过近距离无线通信技术传递给所述用户识别模块。
所述用户识别模块可通过报文协议处理模块调用安全算法模块,利用密钥存储模块中保存的加密密钥进行报文的加密/解密。
实施例二到五可实现业务数据安全传输和身份认证等功能,可分别称为普通信息传输模式、加密信息传输模式、身份认证模式、系统-用户识别模块加密信息传输模式。
普通信息传输模式适用于对于安全性要求不高,但对传输内容和适配设备通用性要求较高的场景。典型应用为:用户手机电话本、短消息与SIM卡中电话本、短消息的交换,不同用户间以微网(Pico网)的方式进行信息交换,如传输照片、音乐、文件、游戏、电子书等。
加密信息传输模式可在不改变近距离无线通信技术基带标准协议的前提下,为增强信息传输的安全性,采用应用层加密技术,加密算法可采用用户识别模块已普遍支持的DES、3DES、AES、RSA、SSF33、SM1等。
身份认证传输模式与加密信息传输模式不同,加密主要是保证信息传输的安全,防止信息被拦截后恶意使用,而身份认证是鉴别通信方的身份,主要是防止身份欺诈,只有合法用户才允许进行后续业务操作。身份认证模式不同于握手配对阶段的PIN码机制,前者是基于蓝牙应用层协议实现,后者是基于蓝牙链路层协议实现,前者安全性更强且不改变蓝牙协议栈机制。
系统-用户识别模块加密信息传输模式提供了一种允许后台系统把大数据量加密内容传送给用户识别模块的方法,改变只能通过数据短信下发小数据量信息内容给用户识别模块的现状。
在实际应用中,可以使用以上传输模式中的任一种或任几种;未来还可根据业务需求进一步扩展各种传输模式。
实施例六,基于实施例一的用户识别模块的传输系统,包括一个或多个实施例一中所述的用户识别模块、各所述用户识别模块所在终端、网络侧。
所述一个或多个所述用户识别模块之间(也包括它们所在的终端之间、或用户识别模块和终端之间)可以按照实施例二到四中的传输方法进行数据传输;所述用户识别模块和网络侧之间也可以按照实施例五的传输方式进行数据传输。
本实施例的一种实施方式如图9所示,用户端中,用户识别模块所在终端为手机,用户识别模块为SIM卡,近距离无线通信控制器/模块为蓝牙控制器/模块,不同手机间进行蓝牙通信,可以完成普通信息、加密信息及身份认证。网络侧包括网络端的无线网络和短信/GPRS网关,以及系统端的防火墙和应用服务器。实际应用时,架构不限于此。
实施例七,基于实施例一的用户识别模块的传输系统,包括:
一个或多个实施例一的用户识别模块;
各所述用户识别模块所在终端;
所述用户识别模块当需要进行数据传输时,保存本次传输用的配对口令,并将该配对口令通知给本次传输的对端设备;进行传输时通过所述配对口令与所述对端设备进行握手认证;认证成功则进行数据传输,认证失败则不允许连接;然后清除本次传输用的配对口令;
所述对端设备为所述用户识别模块或所述终端。
实施例八,基于实施例一的用户识别模块的传输系统,包括:
一个或多个实施例一的用户识别模块;
各所述用户识别模块所在终端;
各所述用户识别模块分别预置一组加密密钥;
网络侧,用于保存各用户识别模块的唯一识别号与所预置的加密密钥的对应关系;当收到申请时,根据终端的号码查找到所述用户识别模块所预置的加密密钥后,根据该加密密钥生成会话密钥返回;
所述用户识别模块用于当与其它用户识别模块之间进行近距离无线数据传输时,直接使用双方预置的加密密钥进行数据的加密和解密,或以预置的加密密钥为保护密钥,生成双发共享的会话密钥,利用会话密钥进行传输数据的加密和解密;当与终端进行近距离无线数据传输时,根据加密密钥生成会话密钥或直接从网络接收会话密钥;
所述终端用于当与其它用户识别模块之间进行近距离无线数据传输时,上发申请给所述网络侧,通知网络侧所述用户识别模块所在终端的号码或本终端的号码;接收网络侧返回的会话密钥,与所述用户识别模块进行数据传输加密。
实施例九,基于实施例一的用户识别模块的传输系统,包括:
一个或多个实施例一的用户识别模块;
各所述用户识别模块所在终端;
当所述用户识别模块用于当与待身份认证设备之间进行身份认证时并作为认证方时,生成一个挑战值发给待身份认证设备;接收待身份认证设备返回的利用认证密钥加密后的挑战值,利用同样的认证密钥和算法解密后,判断与先前的挑战值是否一致,如果一致,则认证通过;作为被认证方时,接收挑战值,利用认证密钥加密后返回给待身份认证设备;
所述待身份认证设备为所述用户识别模块或所述终端。
实施例十,基于实施例一的用户识别模块的传输系统,包括:
一个或多个实施例一的用户识别模块;
各所述用户识别模块所在终端;
各所述用户识别模块分别预置一组加密密钥;
网络侧,用于保存各用户识别模块的唯一识别号与所预置的加密密钥的对应关系;用于当向所述用户识别模块发送数据时,采用所述用户识别模块对应的加密密钥对数据进行加密后发送给所述用户识别模块所在的终端;当接收到终端上传的加密的数据后,采用该终端里的用户识别模块对应的加密密钥解密后获得明文;
所述终端用于与所述用户识别模块之间进行近距离无线数据传输,将从所述网络侧接收的加密后的数据发送给用户识别模块,以及将从所述用户识别模块接收的加密后的数据上传给所述网络侧;
所述用户识别模块用于对接收到的数据采用所述加密密钥解密后获得明文;当向所述网络侧发送数据时,采用所述加密密钥对数据进行加密后进行近距离无线数据传输,发送给所在的终端。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明的权利要求的保护范围。
Claims (15)
1.一种用户识别模块,包括:总线、以所述总线相连的处理模块和存储模块;其特征在于,还包括:
与所述总线相连的近距离无线通信控制器;
与所述近距离无线通信控制器相连的近距离无线通信模块;
与所述近距离无线通信模块相连的射频天线;
所述近距离无线通信控制器用于控制所述近距离无线通信模块通过驱动所述射频天线与外部交互数据;还用于将所述近距离无线通信模块从外部收到的数据,通过所述处理模块写入所述存储模块;以及通过所述处理模块从所述存储模块读取所述近距离无线通信模块所要发送给外部的数据;
安全模块;
若干个应用模块,各应用模块对应于不同类型的数据;
所述处理模块用于当所述近距离无线通信模块要将从外部接收的数据写入所述存储模块,或从存储模块读取要发送到外部的数据时,调用与所述数据对应的应用模块;
所述应用模块用于被调用时根据要写入的数据的业务类型或服务类型判断是否需要安全认证,如果需要则指示所述安全模块写入所述数据,不需要则直接将数据写入所述存储模块;或判断所要读取的数据所在的物理地址是否属于保密存储区,如果属于则指示所述安全模块读取,不属于则直接从所述存储模块中读取后发送给所述近距离无线通信控制器;
所述安全模块写入或读取数据前,先验证访问权限,如果访问权限通过则写入数据到所述存储模块中或从所述存储模块中读取数据发送给所述近距离无线通信控制器,如果没通过则拒绝访问;
其中,所述存储模块的存储空间至少包括保密存储区。
2.如权利要求1所述的用户识别模块,其特征在于,所述存储模块的存储空间划分为三个部分:
用于存储用户识别模块信息的用户识别模块信息区;
保密存储区;
公共存储区;
所述处理模块还用于通过把保密存储区和公共存储区的物理地址注册到注册表中,对保密存储区和公共存储区进行空间动态划分。
3.基于权利要求1到2任一项所述的用户识别模块的传输方法,包括:
当需要进行近距离无线数据传输时,所述用户识别模块保存本次传输用的配对口令,并将该配对口令通知给本次传输的对端设备;
进行传输时,所述用户识别模块通过所述配对口令与所述对端设备进行握手认证;认证成功则进行近距离无线数据传输,认证失败则不允许连接;
所述用户识别模块清除本次传输用的配对口令。
4.如权利要求3所述的传输方法,其特征在于,所述配对口令的生成方式包括:
用户识别模块接收用户输入的配对口令并保存;
用户识别模块生成配对口令并显示给用户;
用户识别模块向网络侧上发口令申请短信,网络侧随机产生或利用加密算法产生一个配对口令,以加密数据短信报文方式下发给用户识别模块。
5.一种基于用户识别模块的传输方法,包括:
在用户识别模块中预置一组加密密钥,在网络侧保存各用户识别模块的唯一识别号与所预置的加密密钥的对应关系;
当两个所述用户识别模块之间进行近距离无线数据传输时,直接使用双方预置的加密密钥进行数据的加密和解密,或以预置的加密密钥为保护密钥,生成双发共享的会话密钥,利用会话密钥进行传输数据的加密和解密;
所述用户识别模块与终端进行近距离无线数据传输时,终端上发申请给网络侧,通知网络侧所述用户识别模块所在终端的号码或本终端的号码;网络侧查找到所述用户识别模块所预置的加密密钥后,根据该加密密钥生成会话密钥下发给所述终端;所述用户识别模块根据加密密钥生成会话密钥或直接从网络接收会话密钥;所述终端使用该会话密钥与所述用户识别模块进行数据传输加密;
其中,所述用户识别模块,包括:总线、以所述总线相连的处理模块和存储模块;还包括:
与所述总线相连的近距离无线通信控制器;
与所述近距离无线通信控制器相连的近距离无线通信模块;
与所述近距离无线通信模块相连的射频天线;
所述近距离无线通信控制器用于控制所述近距离无线通信模块通过驱动所述射频天线与外部交互数据;还用于将所述近距离无线通信模块从外部收到的数据,通过所述处理模块写入所述存储模块;以及通过所述处理模块从所述存储模块读取所述近距离无线通信模块所要发送给外部的数据。
6.基于权利要求1到2任一项所述的用户识别模块的传输方法,包括:
在所述用户识别模块中预置一组加密密钥,在网络侧保存各用户识别模块的唯一识别号与所预置的加密密钥的对应关系;
当两个所述用户识别模块之间进行近距离无线数据传输时,直接使用双方预置的加密密钥进行数据的加密和解密,或以预置的加密密钥为保护密钥,生成双发共享的会话密钥,利用会话密钥进行传输数据的加密和解密;
所述用户识别模块与终端进行近距离无线数据传输时,终端上发申请给网络侧,通知网络侧所述用户识别模块所在终端的号码或本终端的号码;网络侧查找到所述用户识别模块所预置的加密密钥后,根据该加密密钥生成会话密钥下发给所述终端;所述用户识别模块根据加密密钥生成会话密钥或直接从网络接收会话密钥;所述终端使用该会话密钥与所述用户识别模块进行数据传输加密。
7.基于权利要求1到2任一项所述的用户识别模块的传输方法,包括:
当所述用户识别模块与待身份认证设备之间进行身份认证时,任一方先作为认证方,另一方作为被认证方;
认证方生成一个挑战值发给被认证方;被认证方利用认证密钥对挑战值加密后,返回给认证方;认证方利用同样的认证密钥和算法解密后,判断与先前的挑战值是否一致,如果一致,则认证通过;对调认证方和被认证方,如果认证也通过,则双方认证成功,可进行数据传输。
8.一种基于用户识别模块的传输方法,包括:
在用户识别模块中预置一组加密密钥,在网络侧保存各用户识别模块的唯一识别号与所预置的加密密钥的对应关系;
所述网络侧向所述用户识别模块发送数据时,采用所述用户识别模块对应的加密密钥对数据进行加密后发送给所述用户识别模块所在的终端;所述终端与所述用户识别模块之间进行近距离无线数据传输,将所述加密后的数据发送给用户识别模块;所述用户识别模块对接收到的数据采用所述加密密钥解密后获得明文;
所述用户识别模块向所述网络侧发送数据时,采用所述加密密钥对数据进行加密后进行近距离无线数据传输,将所述加密后的数据发送给所在的终端;所述终端上传给所述网络侧;所述网络侧对接收到的数据采用所述用户识别模块对应的加密密钥解密后获得明文;
其中,所述用户识别模块,包括:总线、以所述总线相连的处理模块和存储模块;还包括:
与所述总线相连的近距离无线通信控制器;
与所述近距离无线通信控制器相连的近距离无线通信模块;
与所述近距离无线通信模块相连的射频天线;
所述近距离无线通信控制器用于控制所述近距离无线通信模块通过驱动所述射频天线与外部交互数据;还用于将所述近距离无线通信模块从外部收到的数据,通过所述处理模块写入所述存储模块;以及通过所述处理模块从所述存储模块读取所述近距离无线通信模块所要发送给外部的数据。
9.基于权利要求1到2任一项所述的用户识别模块的传输方法,包括:
在所述用户识别模块中预置一组加密密钥,在网络侧保存各用户识别模块的唯一识别号与所预置的加密密钥的对应关系;
所述网络侧向所述用户识别模块发送数据时,采用所述用户识别模块对应的加密密钥对数据进行加密后发送给所述用户识别模块所在的终端;所述终端与所述用户识别模块之间进行近距离无线数据传输,将所述加密后的数据发送给用户识别模块;所述用户识别模块对接收到的数据采用所述加密密钥解密后获得明文;
所述用户识别模块向所述网络侧发送数据时,采用所述加密密钥对数据进行加密后进行近距离无线数据传输,将所述加密后的数据发送给所在的终端;所述终端上传给所述网络侧;所述网络侧对接收到的数据采用所述用户识别模块对应的加密密钥解密后获得明文。
10.基于权利要求1到2任一项所述的用户识别模块的传输系统,其特征在于,包括:
一个或多个权利要求1到2任一项所述的用户识别模块;
各所述用户识别模块所在终端;
所述用户识别模块当需要进行数据传输时,保存本次传输用的配对口令,并将该配对口令通知给本次传输的对端设备;进行传输时通过所述配对口令与所述对端设备进行握手认证;认证成功则进行数据传输,认证失败则不允许连接;然后清除本次传输用的配对口令;
所述对端设备为所述用户识别模块或所述终端。
11.一种基于用户识别模块的传输系统,其特征在于,包括:
一个或多个用户识别模块;
各所述用户识别模块所在终端;
各所述用户识别模块分别预置一组加密密钥;
网络侧,用于保存各用户识别模块的唯一识别号与所预置的加密密钥的对应关系;当收到申请时,根据终端的号码查找到所述用户识别模块所预置的加密密钥后,根据该加密密钥生成会话密钥返回;
所述用户识别模块用于当与其它用户识别模块之间进行近距离无线数据传输时,直接使用双方预置的加密密钥进行数据的加密和解密,或以预置的加密密钥为保护密钥,生成双发共享的会话密钥,利用会话密钥进行传输数据的加密和解密;当与终端进行近距离无线数据传输时,根据加密密钥生成会话密钥或直接从网络接收会话密钥;
所述终端用于当与其它用户识别模块之间进行近距离无线数据传输时,上发申请给所述网络侧,通知网络侧所述用户识别模块所在终端的号码或本终端的号码;接收网络侧返回的会话密钥与所述用户识别模块进行数据传输加密;
其中,所述用户识别模块,包括:总线、以所述总线相连的处理模块和存储模块;还包括:
与所述总线相连的近距离无线通信控制器;
与所述近距离无线通信控制器相连的近距离无线通信模块;
与所述近距离无线通信模块相连的射频天线;
所述近距离无线通信控制器用于控制所述近距离无线通信模块通过驱动所述射频天线与外部交互数据;还用于将所述近距离无线通信模块从外部收到的数据,通过所述处理模块写入所述存储模块;以及通过所述处理模块从所述存储模块读取所述近距离无线通信模块所要发送给外部的数据。
12.基于权利要求1到2任一项所述的用户识别模块的传输系统,其特征在于,包括:
一个或多个权利要求1到2任一项所述的用户识别模块;
各所述用户识别模块所在终端;
各所述用户识别模块分别预置一组加密密钥;
网络侧,用于保存各用户识别模块的唯一识别号与所预置的加密密钥的对应关系;当收到申请时,根据终端的号码查找到所述用户识别模块所预置的加密密钥后,根据该加密密钥生成会话密钥返回;
所述用户识别模块用于当与其它用户识别模块之间进行近距离无线数据传输时,直接使用双方预置的加密密钥进行数据的加密和解密,或以预置的加密密钥为保护密钥,生成双发共享的会话密钥,利用会话密钥进行传输数据的加密和解密;当与终端进行近距离无线数据传输时,根据加密密钥生成会话密钥或直接从网络接收会话密钥;
所述终端用于当与其它用户识别模块之间进行近距离无线数据传输时,上发申请给所述网络侧,通知网络侧所述用户识别模块所在终端的号码或本终端的号码;接收网络侧返回的会话密钥与所述用户识别模块进行数据传输加密。
13.基于权利要求1到2任一项所述的用户识别模块的传输系统,其特征在于,包括:
一个或多个权利要求1到2任一项所述的用户识别模块;
各所述用户识别模块所在终端;
当所述用户识别模块用于当与待身份认证设备之间进行身份认证时并作为认证方时,生成一个挑战值发给待身份认证设备;接收待身份认证设备返回的利用认证密钥加密后的挑战值,利用同样的认证密钥和算法解密后,判断与先前的挑战值是否一致,如果一致,则认证通过;作为被认证方时,接收挑战值,利用认证密钥加密后返回给待身份认证设备;
所述待身份认证设备为所述用户识别模块或所述终端。
14.一种基于用户识别模块的传输系统,其特征在于,包括:
一个或多个用户识别模块;
各所述用户识别模块所在终端;
各所述用户识别模块分别预置一组加密密钥;
网络侧,用于保存各用户识别模块的唯一识别号与所预置的加密密钥的对应关系;用于当向所述用户识别模块发送数据时,采用所述用户识别模块对应的加密密钥对数据进行加密后发送给所述用户识别模块所在的终端;当接收到终端上传的加密的数据后,采用该终端里的用户识别模块对应的加密密钥解密后获得明文;
所述终端用于与所述用户识别模块之间进行近距离无线数据传输,将从所述网络侧接收的加密后的数据发送给用户识别模块,以及将从所述用户识别模块接收的加密后的数据上传给所述网络侧;
所述用户识别模块用于对接收到的数据采用所述加密密钥解密后获得明文;当向所述网络侧发送数据时,采用所述加密密钥对数据进行加密后进行近距离无线数据传输,发送给所在的终端;
其中,所述用户识别模块,包括:总线、以所述总线相连的处理模块和存储模块;还包括:
与所述总线相连的近距离无线通信控制器;
与所述近距离无线通信控制器相连的近距离无线通信模块;
与所述近距离无线通信模块相连的射频天线;
所述近距离无线通信控制器用于控制所述近距离无线通信模块通过驱动所述射频天线与外部交互数据;还用于将所述近距离无线通信模块从外部收到的数据,通过所述处理模块写入所述存储模块;以及通过所述处理模块从所述存储模块读取所述近距离无线通信模块所要发送给外部的数据。
15.基于权利要求1到2任一项所述的用户识别模块的传输系统,其特征在于,包括:
一个或多个权利要求1到2任一项所述的用户识别模块;
各所述用户识别模块所在终端;
各所述用户识别模块分别预置一组加密密钥;
网络侧,用于保存各用户识别模块的唯一识别号与所预置的加密密钥的对应关系;用于当向所述用户识别模块发送数据时,采用所述用户识别模块对应的加密密钥对数据进行加密后发送给所述用户识别模块所在的终端;当接收到终端上传的加密的数据后,采用该终端里的用户识别模块对应的加密密钥解密后获得明文;
所述终端用于与所述用户识别模块之间进行近距离无线数据传输,将从所述网络侧接收的加密后的数据发送给用户识别模块,以及将从所述用户识别模块接收的加密后的数据上传给所述网络侧;
所述用户识别模块用于对接收到的数据采用所述加密密钥解密后获得明文;当向所述网络侧发送数据时,采用所述加密密钥对数据进行加密后进行近距离无线数据传输,发送给所在的终端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010577609.7A CN102026187B (zh) | 2010-12-02 | 2010-12-02 | 用户识别模块及基于该用户识别模块的传输方法、系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010577609.7A CN102026187B (zh) | 2010-12-02 | 2010-12-02 | 用户识别模块及基于该用户识别模块的传输方法、系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102026187A CN102026187A (zh) | 2011-04-20 |
| CN102026187B true CN102026187B (zh) | 2014-02-26 |
Family
ID=43866903
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010577609.7A Active CN102026187B (zh) | 2010-12-02 | 2010-12-02 | 用户识别模块及基于该用户识别模块的传输方法、系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102026187B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109215307A (zh) * | 2018-09-26 | 2019-01-15 | 宁波耀龙软件科技有限公司 | 一种基于互联网的智能报警装置 |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102436570A (zh) * | 2011-10-17 | 2012-05-02 | 黄廷彰 | 身份认证用无线电识别卷标读取系统 |
| CN102496051A (zh) * | 2011-12-02 | 2012-06-13 | 武汉天喻信息产业股份有限公司 | 支持蓝牙的移动通信智能卡 |
| CN102663477A (zh) * | 2012-03-09 | 2012-09-12 | 武汉天喻信息产业股份有限公司 | 基于蓝牙技术的射频sim卡及其应用系统 |
| CN102982590A (zh) * | 2012-12-04 | 2013-03-20 | 北京开元智信通软件有限公司 | 带有储存装置的车载终端 |
| CN104066075A (zh) * | 2013-03-20 | 2014-09-24 | 华为终端有限公司 | 一种基于用户识别模块的通信方法、装置和系统 |
| CN103841201A (zh) * | 2014-03-13 | 2014-06-04 | 中国联合网络通信集团有限公司 | 数据推送方法和终端设备 |
| CN103955739B (zh) * | 2014-05-20 | 2017-03-15 | 北京智联安科技有限公司 | 一种蓝牙薄膜sim卡和访问手机sim卡的方法 |
| CN104955049A (zh) * | 2015-06-29 | 2015-09-30 | 南京熊猫电子股份有限公司 | 用mini UICC卡实现二次加密的模块电路及方法 |
| CN104955022A (zh) * | 2015-06-30 | 2015-09-30 | 宇龙计算机通信科技(深圳)有限公司 | 一种共享使用虚拟sim卡的方法和系统 |
| CN105307108B (zh) * | 2015-11-17 | 2018-12-28 | 成都工百利自动化设备有限公司 | 一种物联网信息交互通信方法及系统 |
| CN105554742B (zh) * | 2015-12-08 | 2018-12-28 | 南京熊猫电子股份有限公司 | 一种实现rfid加密通信的wapi模块电路及加密方法 |
| CN106211032A (zh) * | 2016-06-28 | 2016-12-07 | 公安部第三研究所 | 基于stk实现蓝牙sim卡配对和数字签名处理的方法 |
| CN110022536A (zh) * | 2018-01-08 | 2019-07-16 | 中国移动通信有限公司研究院 | 验证信息处理方法、通信设备、业务平台及存储介质 |
| CN109005541B (zh) * | 2018-07-20 | 2019-12-06 | 北京海泰方圆科技股份有限公司 | 蓝牙连接方法、装置和系统 |
| CN109766731B (zh) * | 2019-01-11 | 2021-01-19 | 深圳忆联信息系统有限公司 | 基于固态硬盘的加密数据处理方法、装置和计算机设备 |
| CN113225733B (zh) * | 2020-01-19 | 2023-01-13 | 中国移动通信有限公司研究院 | 用户识别模块、证书获取方法、装置和存储介质 |
| CN111310796B (zh) * | 2020-01-19 | 2023-05-02 | 中山大学 | 一种面向加密网络流的Web用户点击识别方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN201004634Y (zh) * | 2006-06-19 | 2008-01-09 | 张利华 | 基于蓝牙技术的智能卡及其应用系统 |
| CN101577740A (zh) * | 2008-05-07 | 2009-11-11 | Gkn科技株式会社 | 包括本身能进行近场通信的用户识别模块卡的移动通信终端 |
| CN101853421A (zh) * | 2010-06-07 | 2010-10-06 | 武汉天喻信息产业股份有限公司 | 一种实现近场通信功能的电信智能卡 |
-
2010
- 2010-12-02 CN CN201010577609.7A patent/CN102026187B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN201004634Y (zh) * | 2006-06-19 | 2008-01-09 | 张利华 | 基于蓝牙技术的智能卡及其应用系统 |
| CN101577740A (zh) * | 2008-05-07 | 2009-11-11 | Gkn科技株式会社 | 包括本身能进行近场通信的用户识别模块卡的移动通信终端 |
| CN101853421A (zh) * | 2010-06-07 | 2010-10-06 | 武汉天喻信息产业股份有限公司 | 一种实现近场通信功能的电信智能卡 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109215307A (zh) * | 2018-09-26 | 2019-01-15 | 宁波耀龙软件科技有限公司 | 一种基于互联网的智能报警装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102026187A (zh) | 2011-04-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102026187B (zh) | 用户识别模块及基于该用户识别模块的传输方法、系统 | |
| JP5814282B2 (ja) | Otaサービスを提供するためのシステムおよびその方法 | |
| CN100574528C (zh) | 在移动设备和用户模块中存储和访问数据 | |
| RU2415470C2 (ru) | Способ создания безопасного кода, способы его использования и программируемое устройство для осуществления способа | |
| US8789195B2 (en) | Method and system for access control and data protection in digital memories, related digital memory and computer program product therefor | |
| US7415729B2 (en) | Storage device | |
| EP2183728B1 (en) | Method, system and trusted service manager for securely transmitting an application to a mobile phone | |
| US8572372B2 (en) | Method for selectively enabling access to file systems of mobile terminals | |
| CN103310169B (zh) | 一种保护sd卡数据的方法和保护系统 | |
| JP5116846B2 (ja) | Otaサービスを提供するためのシステムおよびその方法 | |
| US8488787B2 (en) | Management of secure access to a secure digital content in a portable communicating object | |
| CN103812649B (zh) | 机卡接口的安全访问控制方法与系统、手机终端 | |
| JP2013232986A (ja) | 移動端末の近接通信モジュールへのセキュアなアクセスを保障する方法 | |
| EP1673958B1 (en) | Method and system for controlling resources via a mobile terminal, related network and computer program product therefor | |
| CN105447692A (zh) | 安全模块应用的应用标识符(aid)优先化 | |
| WO2013182154A1 (zh) | 一种对通讯终端上应用程序加、解密的方法、系统和终端 | |
| JP2013065340A (ja) | リトリーブ可能なトークン(例えば、スマートカード)内の独立した実行環境におけるアプリケーション間のセキュリティで保護されたリソース共有 | |
| CN104123506A (zh) | 数据访问方法、装置、数据加密、存储及访问方法、装置 | |
| CN101159754A (zh) | 一种运行在智能移动终端的互联网应用管理系统 | |
| CN101223798B (zh) | 安全模块中的订户身份模块能力的追溯实现 | |
| US11405782B2 (en) | Methods and systems for securing and utilizing a personal data store on a mobile device | |
| CN102867157A (zh) | 移动终端和数据保护方法 | |
| CN100476845C (zh) | 一种数字版权管理方法 | |
| CN101841806A (zh) | 业务卡信息处理方法、装置、系统及通信终端 | |
| Madlmayr | A mobile trusted computing architecture for a near field communication ecosystem |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20110420 Assignee: Beijing Datang Smart Card Co., Ltd. Assignor: Datang Microelectronics Technology Co., Ltd. Contract record no.: 2016110000008 Denomination of invention: Subscriber identification module and transmission method and system based on subscriber identification module Granted publication date: 20140226 License type: Common License Record date: 20160422 |
|
| LICC | Enforcement, change and cancellation of record of contracts on the licence for exploitation of a patent or utility model |