CN102204298A - 机卡互锁的方法、用户识别模块卡和终端 - Google Patents
机卡互锁的方法、用户识别模块卡和终端 Download PDFInfo
- Publication number
- CN102204298A CN102204298A CN2011800005758A CN201180000575A CN102204298A CN 102204298 A CN102204298 A CN 102204298A CN 2011800005758 A CN2011800005758 A CN 2011800005758A CN 201180000575 A CN201180000575 A CN 201180000575A CN 102204298 A CN102204298 A CN 102204298A
- Authority
- CN
- China
- Prior art keywords
- user
- terminal
- module card
- subscriber identify
- identify module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M1/00—Substation equipment, e.g. for use by subscribers
- H04M1/66—Substation equipment, e.g. for use by subscribers with means for preventing unauthorised or fraudulent calling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Telephone Function (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明的实施例提供了一种机卡互锁的方法、用户识别模块卡和终端,为实现机卡互锁,有效保证业务的安全性而发明。所述机卡互锁的方法,包括:用户识别模块卡接收终端的身份标识,所述用户识别模块卡中存储有至少一个合法终端的身份标识;所述用户识别模块卡确定在所述存储的至少一个合法终端的身份标识中,具有与所述接收的身份标识相同的身份标识时,所述用户识别模块卡向所述终端发送所述用户识别模块卡的用户标识,以使所述终端能够根据所述用户标识确定所述用户识别模块卡为合法用户识别模块卡。本发明可用于移动通信业务中。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种机卡互锁的方法、用户识别模块卡和终端。
背景技术
目前,随着通信业务的发展和用户需求的不断提高,通信运营商出于业务推广需要,推出了资费具有较大优惠的机卡绑定业务。这种机卡绑定业务,需要终端和用户识别模块卡配合使用,用户需要使用互相绑定的专用终端与专用用户识别模块卡。实现这种机卡绑定业务首先要求专用用户识别模块卡只能在与其绑定的专用终端上使用,在普通终端上不能使用,其次,为了保障运营商的合法权益和机卡绑定业务的安全性,还要求专用终端只能使用与其绑定的用户识别模块卡,不能使用普通用户识别模块卡。
现有技术中,通常具有两种方法实现机卡绑定业务,其一,在专用用户识别模块卡中存储与其绑定的专用终端的IMEI(国际移动设备身份码,International Mobile Equipment Identity),专用用户识别模块卡获取其使用的终端的IMEI,并将该IMEI与其存储的专用终端的IMEI对比,两者相同时,用户识别模块卡才能正常被终端使用。其二,在专用用户识别模块卡中存储与其绑定的专用终端对应的密钥,使用专用用户识别模块卡的终端利用其自身的密钥对特定信息进行加密,专用用户识别模块卡利用其所存储的密钥对相同的特定信息进行加密,并对比自己加密后的信息和终端加密的信息,两者相同时,用户识别模块卡才能正常被终端使用。
但是,现有技术的上述两种方法,只能实现单一的锁卡,均不能实现机卡互锁(Phone and Card Mutual Lock),即只能使专用用户识别模块卡只能在与其绑定的专用终端上使用,但对专用终端没有限制,专用终端可以使用任何用户识别模块卡,因此,无法有效保证运营商的合法权益和机卡绑定业务的安全性。
发明内容
本发明的实施例的主要目的在于,提供一种机卡互锁的方法、用户识别模块卡和终端,能够实现机卡互锁,有效保证业务的安全性。
为达到上述目的,本发明的实施例采用如下技术方案:
一种机卡互锁的方法,包括:
用户识别模块卡接收终端的身份标识,所述用户识别模块卡中存储有至少一个合法终端的身份标识;
当所述用户识别模块卡确定在所述存储的至少一个合法终端的身份标识中,具有与所述接收的身份标识相同的身份标识时,所述用户识别模块卡向所述终端发送所述用户识别模块卡的用户标识,以使所述终端能够根据所述用户标识确定所述用户识别模块卡为合法用户识别模块卡。
一种机卡互锁的方法,包括:
终端向用户识别模块卡发送所述终端的身份标识,以使所述用户识别模块卡根据所述身份标识确定所述终端为合法终端,所述终端中存储有至少一个合法用户识别模块卡的用户标识,
所述终端接收所述用户识别模块卡的用户标识;
当所述终端确定在所述存储的至少一个合法用户识别模块卡的用户标识中,具有与所述接收的用户标识相同的用户标识时,所述终端确定所述用户识别模块卡为合法用户识别模块卡。
一种用户识别模块卡,包括:
存储单元,用于存储至少一个合法终端的身份标识;
接收单元,用于接收终端的身份标识;
确定单元,用于确定在所述存储单元存储的至少一个合法终端的身份标识中是否具有与所述接收单元接收的身份标识相同的身份标识;
发送单元,用于在确定单元确定所述存储单元存储的至少一个合法终端的身份标识中具有与所述接收单元接收的身份标识相同的身份标识时,向所述终端发送所述用户识别模块卡的用户标识,以使所述终端能够根据所述用户标识确定所述用户识别模块卡为合法用户识别模块卡。
一种终端,包括:
存储单元,用于存储至少一个合法用户识别模块卡的用户标识;
发送单元,用于向用户识别模块卡发送所述终端的身份标识,以使所述用户识别模块卡根据所述身份标识确定所述终端为合法终端;
接收单元,用于接收所述用户识别模块卡的用户标识;
确定单元,用于确定在所述存储单元存储的至少一个合法用户识别模块卡的用户标识中,是否具有与所述接收单元接收的用户标识相同的用户标识,若是,确定所述用户识别模块卡为合法用户识别模块卡。
采用上述技术方案后,本发明实施例提供的机卡互锁的方法、用户识别模块卡和终端,用户识别模块卡能够通过终端的身份标识确定终端是否为非法终端,使得用户识别模块卡不能在非法终端上使用,同时,终端能够通过用户识别模块卡的用户标识确定出合法用户识别模块卡,使得终端不能使用非法用户识别模块卡,从而实现了机卡互锁,有效避免了进行机卡绑定业务的用户识别模块卡或终端被盗用,有效保证了业务的安全性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的机卡互锁的方法的一种流程图;
图2为本发明实施例提供的机卡互锁的方法的一种流程图;
图3为本发明实施例提供的机卡互锁的方法的一种流程图;
图4为本发明实施例提供的用户识别模块卡的一种结构框图;
图5为本发明实施例提供的用户识别模块卡的一种结构框图;
图6为本发明实施例提供的终端的一种结构框图;
图7为本发明实施例提供的终端的一种结构框图;
图8为本发明实施例提供的终端的一种结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,本发明实施例中的用户识别模块卡,包括SIM(Subscriber Identity Module,客户识别模块)卡和UIM(User Identity Model,用户识别模块)卡等通信智能卡,本发明实施例中的终端,为使用所述用户识别模块卡进行通信的终端,包括手机、计算机、个人通信业务(PCS,Personal Communication Service)电话、无绳电话、会话发起协议(SIP,Session Initiation Protocol)话机、个人数字助理(PDA,Personal Digital Assistant)等设备。
本发明实施例中,将与用户识别模块卡绑定使用的终端称之为合法终端,反之,称为非法终端,将与终端绑定使用的用户识别模块卡称之为合法用户识别模块卡,反之,称为非法用户识别模块卡。
如图1所示,本发明实施例提供了一种机卡互锁的方法,基于用户识别模块卡,所述用户识别模块卡安装于终端中,本实施例包括以下步骤:
101,用户识别模块卡接收终端的身份标识,所述用户识别模块卡中存储有至少一个合法终端的身份标识。
其中,终端的身份标识,例如IMEI(国际移动设备身份码,International Mobile Equipment Identity),是与终端是唯一对应的,每台终端的身份标识与其他终端不同。
本发明实施例中,所述用户识别模块卡中预先存储有其合法终端的身份标识,所述用户识别模块卡的合法终端可以为一个,也可以为一组,因此,所述用户识别模块卡中预先存储有至少一个合法终端的身份标识。
所述用户识别模块卡所存储的身份标识用于对终端的鉴权,在非法终端未伪造身份标识的正常情况下,由于身份标识与终端唯一对应,非法终端的身份标识与合法终端的身份标识肯定不同,因此,用户识别模块卡能够基于所存储的合法终端的身份标识和所述终端发送的身份标识的对比,确定出所述终端是否非法。
102,所述用户识别模块卡确定在所述存储的至少一个合法终端的身份标识中,是否具有与所述接收的身份标识相同的身份标识。
本步骤中,所述用户识别模块卡分别将所述存储的至少一个合法终端的身份标识和所述终端发送的身份标识进行比较,确定在存储的身份标识中,是否具有与所述终端的身份标识相同的身份标识。
103,若否,所述用户识别模块卡确定所述终端为非法终端。
104,若是,所述用户识别模块卡向所述终端发送所述用户识别模块卡的用户标识,以使所述终端能够根据所述用户标识确定所述用户识别模块卡为合法用户识别模块卡。
显然,如果在所述用户识别模块卡存储的至少一个合法终端的身份标识中,没有与所述接收的身份标识相同的身份标识,所述用户识别模块卡将毫无疑义的确定所述终端为非法终端,从而所述用户识别模块卡将拒绝所述终端的使用,即所述终端无法使用该用户识别模块卡。如果在所述用户识别模块卡存储的至少一个合法终端的身份标识中,具有与所述接收的身份标识相同的身份标识,所述用户识别模块卡将认为所述终端为合法终端,将其用户标识发送给所述终端,从而有效保证所述用户识别模块卡只能在其合法终端上使用。
需要说明的是,和终端的身份标识类似,用户识别模块卡的用户标识,例如IMSI(国际移动用户标识,International Mobile Subscriber Identity),是与用户识别模块卡是唯一对应的,每个用户识别模块卡的身份标识与其他用户识别模块卡不同。
所述终端中预先存储有其合法用户识别模块卡的用户标识,在所述用户识别模块卡将用户标识发送给所述终端后,所述终端能够通过比较所述用户识别模块卡的用户标识和其存储的合法用户识别模块卡的用户标识,确定出所述用户识别模块卡是否为合法用户识别模块卡,当确定所述用户识别模块卡非法时,所述终端将拒绝使用,以有效保证所述终端只能使用合法用户识别模块卡。
如果非法终端伪造了身份标识,因此,在用户识别模块卡通过步骤102进行终端鉴权时,在所述用户识别模块卡存储的至少一个合法终端的身份标识中,可能具有与所述接收的身份标识相同的身份标识,这时,所述用户识别模块卡将向该非法终端发送所述用户识别模块卡的用户标识,这样,所述非法终端将可以应用所述用户标识登陆网络,从而将造成非法终端对所述用户识别模块卡的盗用。
可选的,为了有效避免非法终端对所述用户识别模块卡的盗用,本步骤中,所述用户识别模块卡具体可以向所述终端发送用户鉴权信息,所述用户鉴权信息包括所述用户识别模块卡的用户标识,且所述用户标识位于所述用户鉴权信息的规定字节位置上。例如,所述用户鉴权信息为一个20字节数,由12字节的随机数和8字节的用户标识组成,8字节的用户标识位于用户鉴权信息的最后8字节的位置。
其中,合法终端能够根据预先配置能够获知用户标识的字节长度和用户标识在用户鉴权信息中的位置,因此,在收到用户鉴权信息后,能够分解出正确的用户标识。而非法终端将无法获知用户标识的字节长度和/或用户标识在用户鉴权信息中的位置,因此,可能无法分解出正确的用户标识,从而有效避免了非法终端对所述用户识别模块卡的盗用。
本发明实施例提供的机卡互锁的方法,用户识别模块卡能够通过终端的身份标识确定所述终端是否为非法终端,使得用户识别模块卡不能在非法终端上使用,同时,终端能够通过用户识别模块卡的用户标识确定出合法用户识别模块卡,使得终端不能使用非法用户识别模块卡,从而实现了机卡互锁,有效避免了进行机卡绑定业务的用户识别模块卡或终端被盗用,有效保证了业务的安全性。
在所述用户识别模块卡安装于终端时,开机初始化时,终端将从用户识别模块卡中读取用户识别模块卡的身份标识,并使用该身份标识登陆网络。由于开机初始化时,用户识别模块卡尚未鉴定出所述终端是否为合法终端,因此,为了避免非法终端读取到用户标识,本发明实施例的机卡互锁的方法,在步骤101前,还可包括:
所述用户识别模块卡接收所述终端读取所述用户识别模块卡的用户标识的命令;
所述用户识别模块卡向所述终端发送伪用户标识。
由于用户识别模块卡向所述终端发送的用户标识为伪用户标识,因此,在用户识别模块卡尚未鉴定出所述终端是否为合法终端时,无论所述终端为合法终端或非法终端,均无法使用该伪用户标识登陆网络,因此,从而有效避免了非法终端对用户识别模块卡的盗用,进一步保证了机卡绑定业务的安全性。
进一步的,在步骤104所述用户识别模块卡向所述终端发送所述用户识别模块卡的用户标识后,本发明实施例的机卡互锁的方法,还可包括随机数鉴权环节,该环节具体可包括以下步骤:
所述用户识别模块卡接收所述终端发送的密文数据,该密文数据由该终端使用规定加密规则对所述用户标识进行加密运算后得到;
所述用户识别模块卡确定所述接收的密文数据与所述用户识别模块卡使用规定加密规则对所述用户标识进行加密运算后得到的密文数据是否相同;
若否,所述用户识别模块卡确定所述终端为非法终端;
若是,所述用户识别模块卡确定所述终端为合法终端,将允许所述终端使用。
其中,所述用户识别模块卡使用的规定加密规则与合法终端使用的规定加密规则相同,因此,所述用户识别模块卡和合法终端得到的密文数据是相同的,所述用户识别模块卡将允许合法终端使用。而如果终端为非法终端,两者使用的规定加密规则不同,所述用户识别模块卡和非法终端得到的密文数据是不同的,因此,即使非法终端通过伪造身份标识使所述用户识别模块卡将其身份标识发送给所述非法终端,所述用户识别模块卡还可以通过随机数鉴权环节确定出非法终端,进一步防止了非法终端对用户识别模块卡的盗用。
具体的,用户识别模块卡所使用的加密规则不限,但需要与现有标准加密算法略有不同,以使现有伪造此标准加密算法的非法终端失去效用,进一步防止用户识别模块卡被盗用。例如,现有的一种加密规则为将所述用户识别模块卡的用户标识及随机数作为明文数据,利用3重数据加密标准电子密本方式3DES-ECB(Data Encryption Standard-Electronic Code Book)算法对所述明文数据进行加密运算,而本发明实施例中,用户识别模块卡可使用的加密规则为:
将所述用户识别模块卡的用户标识取反后得到的数据及随机数作为明文数据,利用3DES-ECB算法对所述明文数据进行加密运算。
举例说明,某盗卡分子拿到本发明实施例中的用户识别模块卡B,又拿到了具有伪造身份标识IMEI的终端C,将卡B插入终端C,卡片B执行本发明实施例的机卡互锁的方法,执行步骤101、102、104,虽然伪造终端C骗过了步骤102的IMEI校验的环节,但是在104后,执行随机数鉴权环节,伪造终端C由于计算出的密文数据与卡B计算的结果不同,卡B认出C是非法终端,拒绝使用,因此,终端C不能使用卡B,即不能正常登网、打电话和发短信。
与图1所示的方法相对应,本发明又提供了一种机卡互锁的方法,基于终端,如图2所示,包括以下步骤:
201,终端向用户识别模块卡发送所述终端的身份标识,以使所述用户识别模块卡根据所述身份标识确定所述终端为合法终端,所述终端中存储有至少一个合法用户识别模块卡的用户标识;
所述用户识别模块卡中预先存储有其合法终端的身份标识,所述终端将其身份标识发送给用户识别模块卡,所述用户识别模块卡能够通过比较所述终端的身份标识和其存储的合法终端的身份标识,当其存储的合法终端的身份标识中具有和所述终端相同的身份标识时,所述用户识别模块卡确定其为合法终端,将其用户标识发送给所述终端。反之,所述用户识别模块卡将确定所述终端为非法终端,从而拒绝所述终端的使用,以有效保证所述用户识别模块卡只能在其合法终端上使用。
本发明实施例中,所述终端中预先存储有其合法用户识别模块卡的用户标识,所述终端的合法用户识别模块卡可以为一个,也可以为一组,因此,所述终端中预先存储有至少一个合法用户识别模块卡的用户标识。其中,所述终端所存储的用户标识用于对用户识别模块卡的鉴权,由于用户标识与用户识别模块卡唯一对应,非法用户识别模块卡的用户标识与合法用户识别模块卡的用户标识肯定不同,因此,所述终端能够基于所存储的合法用户识别模块卡的用户标识和所述用户识别模块卡发送的用户标识的对比,确定出所述用户识别模块卡是否非法,以有效保证所述终端只能使用合法用户识别模块卡。
202,所述终端接收所述用户识别模块卡的用户标识;
当所述用户识别模块卡确定所述终端为合法终端时,将所述用户识别模块卡的用户标识发送给该合法终端。
具体的,本步骤中,所述合法终端接收所述用户识别模块卡发送的用户鉴权信息,所述用户鉴权信息包括所述用户识别模块卡的用户标识,所述用户标识位于所述用户鉴权信息的规定字节位置上。
由于合法终端已知其合法用户识别模块卡对应的用户标识的字节长度和用户标识在用户鉴权信息中的位置,因此,在收到用户鉴权信息后,合法终端能够分解出正确的用户标识。而非法终端将无法获知用户标识的字节长度和用户标识在用户鉴权信息中的位置,因此,可能无法分解出正确的用户标识,从而有效避免了非法终端对用户识别模块卡的盗用。
203,所述终端确定在所述存储的至少一个合法用户识别模块卡的用户标识中,是否具有与所述接收的用户标识相同的用户标识;
204,若否,所述终端确定所述用户识别模块卡为非法用户识别模块卡。
205,若是,所述终端确定所述用户识别模块卡为合法用户识别模块卡。
本发明实施例提供的机卡互锁的方法,终端能够通过用户识别模块卡的用户标识确定出非法用户识别模块卡,使得终端不能使用非法用户识别模块卡,同时,用户识别模块卡能够通过终端的身份标识确定出非法终端,使得用户识别模块卡不能在非法终端上使用,从而实现了机卡互锁,有效避免了进行机卡绑定业务的用户识别模块卡或终端被盗用,有效保证了业务的安全性。
举例说明,某盗机分子拿到本发明实施例中的终端A,又拿到了非法SIM卡B,为了享受运营商提供的优惠资费,将卡片B插入A,结果由于是卡B为非法的IMSI被终端拒绝,不能打电话和发短信。
进一步的,在步骤201前,本发明实施例的机卡互锁的方法,还可包括:
所述终端向所述用户识别模块卡发送读取所述用户识别模块卡的用户标识的命令;
所述终端接收所述用户识别模块卡发送的伪用户标识。
由于用户识别模块卡向所述终端发送的用户标识为伪用户标识,因此,在用户识别模块卡尚未鉴定出所述终端是否为合法终端时,无论所述终端为合法终端或非法终端,均无法使用该伪用户标识登陆网络,因此,有效避免了非法终端对用户识别模块卡的盗用,进一步保证了机卡绑定业务的安全性。
进一步的,在步骤205后,本发明实施例的机卡互锁的方法,还可包括:
所述终端使用规定加密规则对所述用户标识进行加密运算;
所述终端将所述加密运算后得到的密文数据发送给所述用户识别模块卡,以使所述用户识别模块卡确定所述密文数据与所述用户识别模块卡使用规定加密规则对其用户标识进行加密运算的到的密文数据是否相同,从而使得用户识别模块卡进一步确定所述终端为合法终端。
其中,所述终端使用的加密规则不限,但需要与现有标准加密算法略有不同,以使现有伪造此标准加密算法的非法终端失去效用,进一步防止用户识别模块卡别盗用。具体的,所述终端使用的加密规则包括:将所述接收的用户标识取反后得到的数据及随机数作为明文数据,利用3DES-ECB算法对所述明文数据进行加密运算。
下面通过具体的实施例对本发明的机卡互锁的方法进行进一步的详细说明。
本实施例中,用户识别模块卡为SIM卡,SIM卡的用户标识为IMSI,终端的身份标识为IMEI,SIM卡安装于终端,SIM卡中存储有合法终端的IMSI,终端中存储有合法SIM卡的IMSI;如图3所示,本实施例包括:
步骤301:初始开机后,终端首先向SIM卡发起读取SIM卡内ICCID(Integrate circuit card identity集成电路卡识别码)和IMSI的命令;
步骤302:SIM卡接收到终端读取IMSI的命令,向终端返回伪IMSI,避免非法终端直接使用真实IMSI直接登陆网络;
以上步骤301和302为第一层锁卡保护,避免SIM卡的真实IMSI被非法终端盗用而直接使用真实IMSI登陆网络;
步骤303:终端向SIM卡发送终端配置指令TERMINAL PROFILE;
步骤304:SIM卡收到终端配置指令后,向终端返回提供本地信息命令PROVIDE LOCAL INFORMATION,要求终端返回终端的IMEI;
步骤305:SIM卡接收终端返回的IMEI值,通过将其与卡内存储的合法IMEI值进行对比,所述合法IMEI值为至少一个,确定终端是否合法;如果可以在卡内存储的IMEI值中找到与接收的IMEI相同的IMEI值,SIM卡执行步骤306;反之,SIM卡确定终端为非法终端,执行步骤313;
以上步骤303至305为第二层锁卡保护,SIM通过终端返回的IMEI和自身存储的合法终端的IMEI对终端进行鉴权,能够确定出非法终端,例如伪造的非法终端,使得非法终端不能使用SIM卡;
步骤306:SIM卡认为终端合法后,使用传送命令GETINPUT向终端发送用户鉴权信息,所述用户鉴权信息为一20字节数,由前12字节随机数加上后8字节SIM卡内真实IMSI组成;
步骤307:终端在接收SIM卡通过GETINPUT指令发送的20字节的用户鉴权信息后,首先根据预先设定从中分解出8字节的真实IMSI,并通过将其与终端存储的合法IMSI值进行对比,所述合法IMSI值为至少一个,确定SIM卡是否合法;如果可以在终端存储的IMSI值中找到与接收的IMSI相同的IMSI值,终端确定SIM卡合法,执行步骤308;反之,终端确定为非法SIM卡,执行步骤313;
以上步骤306至307为第三层锁机保护,终端通过SIM卡发送的IMSI和自身存储的合法SIM卡的IMSI对SIM卡进行鉴权,能够确定出非法SIM卡,使得终端不能使用非法SIM卡,例如伪造的SIM卡;
步骤308:终端认为SIM卡合法后,将IMSI取反后得到的数据及随机数作为明文数据,利用3DES-ECB算法对所述明文数据进行加密运算,得到密文数据;
步骤309:终端使用终端响应命令TERMINAL RESPONSE将得到的密文数据发送给SIM卡;
步骤310:SIM卡获得终端发送的密文数据后,将该数据与SIM卡对进行加密运算得到的密文数据进行比对,如果两者相同,则确定终端合法,执行步骤311;反之,则执行步骤313;其中,SIM卡进行加密运算时同样将IMSI取反后取反后得到的数据及随机数作为明文数据,利用3DES-ECB算法对所述明文数据进行加密运算,得到密文数据,
以上步骤306至310为第四层随机数鉴权保护,通过改变标准3DES-ECB算法中的明文数据,避免目前市面上伪造此标准加密算法的非法SIM卡贴片对SIM卡进行盗用。
步骤311:SIM卡使用恢复命令REFRESH通知终端进行热启动WarmReset,并将终端内IMSI置为真实IMSI;
步骤312:终端在响应REFRESH命令并WarmReset后,正常开机初始化。
步骤313:结束。
本实施例的机卡互锁的方法,通过4层保护,使得终端只能使用合法SIM卡,同时,SIM卡只能在合法终端上使用,从而实现了机卡互锁,有效避免了进行机卡绑定业务的SIM卡或终端被盗用,有效保证了业务的安全性。
与前述方法相对应,本发明实施例还提供了一种用户识别模块卡,如图4所示,包括:
存储单元10,用于存储至少一个合法终端的身份标识;
接收单元11,用于接收终端的身份标识;
确定单元12,用于确定在存储单元10存储的至少一个合法终端的身份标识中是否具有与接收单元11接收的身份标识相同的身份标识;
发送单元13,用于在确定单元12确定存储单元10存储的至少一个合法终端的身份标识中具有与接收单元11接收的身份标识相同的身份标识时,向所述终端发送所述用户识别模块卡的用户标识,以使所述终端能够根据所述用户标识确定所述用户识别模块卡为合法用户识别模块卡;
本发明实施例提供的用户识别模块卡,能够通过终端的身份标识确定出非法终端,使得用户识别模块卡不能在非法终端上使用,同时,能够将其用户标识发送给终端,使得终端能够通过其用户标识确定出所述用户识别模块卡合法,使得终端不能使用非法用户识别模块卡,从而实现了机卡互锁,有效避免了进行机卡绑定业务的用户识别模块卡或终端被盗用,有效保证了业务的安全性。
进一步的,接收单元11还用于在接收终端的身份标识前,接收所述终端读取所述用户识别模块卡的用户标识的命令;
此时,发送单元13还用于向所述终端发送伪用户标识。
由于发送单元13向所述终端发送的用户标识为伪用户标识,因此,在所述用户识别模块卡尚未鉴定出所述终端是否为合法终端时,无论所述终端为合法终端或非法终端,均无法使用该伪用户标识登陆网络,因此,有效避免了非法终端对用户识别模块卡的盗用,进一步保证了机卡绑定业务的安全性。
进一步的,在本发明的一个实施例中,如图5所示,所述用户识别模块卡还包括:
加密单元14,用于使用规定加密规则对所述用户标识进行加密运算;
接收单元11还用于在发送单元13向所述终端发送所述用户识别模块卡的用户标识后,接收所述终端发送的密文数据,所述密文数据由所述终端使用规定加密规则对所述用户标识进行加密运算后得到;
确定单元12还用于确定接收单元11接收的密文数据与加密单元14对所述用户标识进行加密运算后得到的密文数据是否相同,若否,确定所述终端为非法终端,若是,确定所述终端为合法终端。
从而使得所述用户识别模块能够进一步确定所述终端是否为合法终端。
可选的,加密单元14使用的规定加密规则包括:将所述用户识别模块卡的用户标识取反后得到的数据及随机数作为明文数据,利用3DES-ECB算法对所述明文数据进行加密运算。
可选的,发送单元13具体用于向所述终端发送用户鉴权信息,所述用户鉴权信息包括所述用户识别模块卡的用户标识和随机数,所述用户标识位于所述用户鉴权信息的规定字节位置上。
与前述方法相对应,本发明实施例还提供了一种终端,如图6所示,包括:
存储单元20,用于存储至少一个合法用户识别模块卡的用户标识;
发送单元21,用于向用户识别模块卡发送所述终端的身份标识,以使所述用户识别模块卡根据所述身份标识确定所述终端为合法终端;
接收单元22,用于接收所述用户识别模块卡的用户标识;
确定单元23,用于确定在存储单元20存储的至少一个合法用户识别模块卡的用户标识中,是否具有与接收单元22接收的用户标识相同的用户标识,若是,确定所述用户识别模块卡为合法用户识别模块卡。
本发明实施例提供的终端,能够通过用户识别模块卡的用户标识确定出用户识别模块卡是否合法,使得所述终端不能使用非法用户识别模块卡,同时,所述终端能够将其身份标识发送给用户识别模块卡,使得所述用户标识模块卡能够通过终端的身份标识确定出所述终端为合法终端,使得用户识别模块卡不能在非法终端上使用从而实现了机卡互锁,有效避免了进行机卡绑定业务的用户识别模块卡或终端被盗用,有效保证了业务的安全性。
进一步的,在本发明的一个实施例中,发送单元21还用于在向用户识别模块卡发送所述终端的身份标识前,向所述用户识别模块卡发送读取所述用户识别模块卡的用户标识的命令;
接收单元22还用于接收所述用户识别模块卡发送的伪用户标识。
进一步的,在本发明的一个实施例中,如图5所示,所述终端还包括:
加密单元24,用于在确定单元23确定在存储单元20存储的至少一个合法用户识别模块卡的用户标识中,具有与接收单元22接收的用户标识相同的用户标识后,使用规定加密规则对所述用户标识进行加密运算;
此时,发送单元21还用于将所述加密单元进行加密运算后得到的密文数据发送给所述用户识别模块卡。
可选的,加密单元24使用的规定加密规则包括:将所述接收单元接收的的用户标识取反后得到的数据及随机数作为明文数据,利用3DES-ECB算法对所述明文数据进行加密运算。
在本发明的一个实施例中,如图8所示,接收单元22具体用于接收所述用户识别模块卡发送的用户鉴权信息,所述用户鉴权信息包括所述用户识别模块卡的用户标识和随机数,所述用户标识位于所述用户鉴权信息的规定字节位置上;
这时,确定单元23包括:
分解模块230,用于根据预先规定从所述用户鉴权信息中分解出用户标识;
确定模块231,用于确定在存储单元20存储的至少一个合法用户识别模块卡的用户标识中,是否具有与分解模块210分解出的用户标识相同的用户标识。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分流程可以通过计算机程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (20)
1.一种机卡互锁的方法,其特征在于,包括:
用户识别模块卡接收终端的身份标识,所述用户识别模块卡中存储有至少一个合法终端的身份标识;
当所述用户识别模块卡确定在所述存储的至少一个合法终端的身份标识中,具有与所述接收的身份标识相同的身份标识时,所述用户识别模块卡向所述终端发送所述用户识别模块卡的用户标识,以使所述终端能够根据所述用户标识确定所述用户识别模块卡为合法用户识别模块卡。
2.根据权利要求1所述的方法,其特征在于,在所述用户识别模块卡接收终端的身份标识前,所述方法还包括:
所述用户识别模块卡接收所述终端读取所述用户识别模块卡的用户标识的命令;
所述用户识别模块卡向所述终端发送伪用户标识,
3.根据权利要求1或2所述的方法,其特征在于,在所述用户识别模块卡向所述终端发送所述用户识别模块卡的用户标识后,所述方法还包括:
所述用户识别模块卡接收所述终端发送的密文数据,所述密文数据由所述终端使用规定加密规则对所述用户标识进行加密运算后得到;
所述用户识别模块卡确定所述接收的密文数据与所述用户识别模块卡使用规定加密规则对所述用户标识进行加密运算后得到的密文数据是否相同;
若否,所述用户识别模块卡确定所述终端为非法终端;
若是,所述用户识别模块卡确定所述终端为合法终端。
4.根据权利要求3所述的方法,其特征在于,所述用户识别模块卡使用的规定加密规则包括:将所述用户识别模块卡的用户标识取反后得到的数据及随机数作为明文数据,利用3DES-ECB算法对所述明文数据进行加密运算。
5.根据权利要求1所述的方法,其特征在于,所述用户识别模块卡向所述终端发送所述用户识别模块卡的用户标识包括:
所述用户识别模块卡向所述终端发送用户鉴权信息,所述用户鉴权信息包括所述用户识别模块卡的用户标识,所述用户标识位于所述用户鉴权信息的规定字节位置上。
6.一种机卡互锁的方法,其特征在于,包括:
终端向用户识别模块卡发送所述终端的身份标识,以使所述用户识别模块卡根据所述身份标识确定所述终端为合法终端,所述终端中存储有至少一个合法用户识别模块卡的用户标识;
所述终端接收所述用户识别模块卡的用户标识;
当所述终端确定在所述存储的至少一个合法用户识别模块卡的用户标识中,具有与所述接收的用户标识相同的用户标识时,所述终端确定所述用户识别模块卡为合法用户识别模块卡。
7.根据权利要求6所述的方法,其特征在于,在终端向用户识别模块卡发送所述终端的身份标识前,所述方法还包括:
所述终端向所述用户识别模块卡发送读取所述用户识别模块卡的用户标识的命令;
所述终端接收所述用户识别模块卡发送的伪用户标识。
8.根据权利要求6或7所述的方法,其特征在于,所述终端确定所述用户识别模块卡为合法用户识别模块卡后,所述方法还包括:
所述终端使用规定加密规则对所述用户标识进行加密运算;
所述终端将所述加密运算后得到的密文数据发送给所述用户识别模块卡。
9.根据权利要求8所述的方法,其特征在于,所述规定加密规则包括:将所述接收的用户标识取反后得到的数据及随机数作为明文数据,利用3DES-ECB算法对所述明文数据进行加密运算。
10.根据权利要求6所述的方法,其特征在于,
所述终端接收所述用户识别模块卡的用户标识包括:
所述终端接收所述用户识别模块卡发送的用户鉴权信息,所述用户鉴权信息包括所述用户识别模块卡的用户标识,所述用户标识位于所述用户鉴权信息的规定字节位置上;
当所述终端确定在所述存储的至少一个合法用户识别模块卡的用户标识中,具有与所述接收的用户标识相同的用户标识的步骤包括:
所述终端根据预先规定从所述用户鉴权信息中分解出用户标识;
所述终端确定在所述存储的至少一个合法用户识别模块卡的用户标识中,是否具有与所述分解出的用户标识相同的用户标识。
11.一种用户识别模块卡,其特征在于,包括:
存储单元,用于存储至少一个合法终端的身份标识;
接收单元,用于接收终端的身份标识;
确定单元,用于确定在所述存储单元存储的至少一个合法终端的身份标识中是否具有与所述接收单元接收的身份标识相同的身份标识;
发送单元,用于在确定单元确定所述存储单元存储的至少一个合法终端的身份标识中具有与所述接收单元接收的身份标识相同的身份标识时,向所述终端发送所述用户识别模块卡的用户标识,以使所述终端能够根据所述用户标识确定所述用户识别模块卡为合法用户识别模块卡。
12.根据权利要求11所述的用户识别模块卡,其特征在于,
所述接收单元还用于在接收终端的身份标识前,接收所述终端读取所述用户识别模块卡的用户标识的命令;
此时,所述发送单元还用于向所述终端发送伪用户标识。
13.根据权利要求11或12所述的用户识别模块卡,其特征在于,
所述用户识别模块卡还包括加密单元,用于使用规定加密规则对所述用户标识进行加密运算;
所述接收单元还用于在所述发送单元向所述终端发送所述用户识别模块卡的用户标识后,接收所述终端发送的密文数据,所述密文数据由所述终端使用规定加密规则对所述用户标识进行加密运算后得到;
所述确定单元还用于确定所述接收单元接收的密文数据与所述加密单元对所述用户标识进行加密运算后得到的密文数据是否相同,若否,确定所述终端为非法终端,若是,确定所述终端为合法终端。
14.根据权利要求13所述的用户识别模块卡,其特征在于,所述加密单元使用的规定加密规则包括:将所述用户识别模块卡的用户标识取反后得到的数据及随机数作为明文数据,利用3DES-ECB算法对所述明文数据进行加密运算。
15.根据权利要求11所述的用户识别模块卡,其特征在于,所述发送单元具体用于向所述终端发送用户鉴权信息,所述用户鉴权信息包括所述用户识别模块卡的用户标识,所述用户标识位于所述用户鉴权信息的规定字节位置上。
16.一种终端,其特征在于,包括:
存储单元,用于存储至少一个合法用户识别模块卡的用户标识;
发送单元,用于向用户识别模块卡发送所述终端的身份标识,以使所述用户识别模块卡根据所述身份标识确定所述终端为合法终端;
接收单元,用于接收所述用户识别模块卡的用户标识;
确定单元,用于确定在所述存储单元存储的至少一个合法用户识别模块卡的用户标识中,是否具有与所述接收单元接收的用户标识相同的用户标识,若是,确定所述用户识别模块卡为合法用户识别模块卡。
17.根据权利要求16所述的终端,其特征在于,
所述发送单元还用于在向用户识别模块卡发送所述终端的身份标识前,向所述用户识别模块卡发送读取所述用户识别模块卡的用户标识的命令;
所述接收单元还用于接收所述用户识别模块卡发送的伪用户标识。
18.根据权利要求16或17所述的终端,其特征在于,
所述终端还包括:
加密单元,用于在所述确定单元确定在所述存储单元存储的至少一个合法用户识别模块卡的用户标识中,具有与所述接收单元接收的用户标识相同的用户标识后,使用规定加密规则对所述用户标识进行加密运算;
此时,所述发送单元还用于将所述加密单元进行加密运算后得到的密文数据发送给所述用户识别模块卡。
19.根据权利要求15所述的终端,其特征在于,所述加密单元使用的规定加密规则包括:将所述接收单元接收的的用户标识取反后得到的数据及随机数作为明文数据,利用3DES-ECB算法对所述明文数据进行加密运算。
20.根据权利要求15所述的终端,其特征在于,
所述接收单元具体用于接收所述用户识别模块卡发送的用户鉴权信息,所述用户鉴权信息包括所述用户识别模块卡的用户标识,所述用户标识位于所述用户鉴权信息的规定字节位置上;
所述确定单元包括:
分解模块,用于根据预先规定从所述用户鉴权信息中分解出用户标识;
确定模块,用于确定在所述存储单元存储的至少一个合法用户识别模块卡的用户标识中,是否具有与所述分解单元分解出的用户标识相同的用户标识。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2011/075046 WO2011144129A2 (zh) | 2011-05-31 | 2011-05-31 | 机卡互锁的方法、用户识别模块卡和终端。 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102204298A true CN102204298A (zh) | 2011-09-28 |
Family
ID=44662840
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011800005758A Pending CN102204298A (zh) | 2011-05-31 | 2011-05-31 | 机卡互锁的方法、用户识别模块卡和终端 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN102204298A (zh) |
| WO (1) | WO2011144129A2 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104661220A (zh) * | 2015-03-13 | 2015-05-27 | 中国联合网络通信集团有限公司 | 一种实现鉴权处理的方法及装置 |
| FR3030819A1 (fr) * | 2014-12-19 | 2016-06-24 | Orange | Interaction securisee entre un equipement et une carte sim |
| CN108197940A (zh) * | 2018-01-17 | 2018-06-22 | 武汉轻工大学 | 移动终端的支付请求响应方法、移动终端及可读存储介质 |
| CN109714753A (zh) * | 2017-10-25 | 2019-05-03 | 北京握奇智能科技有限公司 | 一种网络终端与物联网sim卡认证的方法和系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101155212A (zh) * | 2006-09-30 | 2008-04-02 | 中兴通讯股份有限公司 | 一种限制移动终端使用的方法 |
| CN101163290A (zh) * | 2006-10-09 | 2008-04-16 | 中兴通讯股份有限公司 | 一种通过机卡相互认证限制移动终端使用的方法 |
| CN101282518A (zh) * | 2007-04-03 | 2008-10-08 | 展讯通信(上海)有限公司 | 一种手机设备开机时保护用户隐私的方法及智能卡装置 |
| CN101686572A (zh) * | 2008-09-26 | 2010-03-31 | 中国移动通信集团公司 | 无线终端机卡互锁的方法、系统和管理平台 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101083816B (zh) * | 2007-07-30 | 2012-04-18 | 中兴通讯股份有限公司 | 一种无线终端及其和用户识别卡互锁及解锁的方法 |
-
2011
- 2011-05-31 WO PCT/CN2011/075046 patent/WO2011144129A2/zh active Application Filing
- 2011-05-31 CN CN2011800005758A patent/CN102204298A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101155212A (zh) * | 2006-09-30 | 2008-04-02 | 中兴通讯股份有限公司 | 一种限制移动终端使用的方法 |
| CN101163290A (zh) * | 2006-10-09 | 2008-04-16 | 中兴通讯股份有限公司 | 一种通过机卡相互认证限制移动终端使用的方法 |
| CN101282518A (zh) * | 2007-04-03 | 2008-10-08 | 展讯通信(上海)有限公司 | 一种手机设备开机时保护用户隐私的方法及智能卡装置 |
| CN101686572A (zh) * | 2008-09-26 | 2010-03-31 | 中国移动通信集团公司 | 无线终端机卡互锁的方法、系统和管理平台 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR3030819A1 (fr) * | 2014-12-19 | 2016-06-24 | Orange | Interaction securisee entre un equipement et une carte sim |
| CN104661220A (zh) * | 2015-03-13 | 2015-05-27 | 中国联合网络通信集团有限公司 | 一种实现鉴权处理的方法及装置 |
| CN104661220B (zh) * | 2015-03-13 | 2019-02-26 | 中国联合网络通信集团有限公司 | 一种实现鉴权处理的方法及装置 |
| CN109714753A (zh) * | 2017-10-25 | 2019-05-03 | 北京握奇智能科技有限公司 | 一种网络终端与物联网sim卡认证的方法和系统 |
| CN108197940A (zh) * | 2018-01-17 | 2018-06-22 | 武汉轻工大学 | 移动终端的支付请求响应方法、移动终端及可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2011144129A3 (zh) | 2012-04-26 |
| WO2011144129A2 (zh) | 2011-11-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9532223B2 (en) | Method for downloading a subscription from an operator to a UICC embedded in a terminal | |
| CN101583124B (zh) | 一种用户识别模块与终端进行认证的方法和系统 | |
| CN102843682B (zh) | 接入点认证方法、装置及系统 | |
| EP1562394B1 (en) | Apparatus and method for setting use restriction of mobile communication terminal | |
| US5455863A (en) | Method and apparatus for efficient real-time authentication and encryption in a communication system | |
| CN101577906B (zh) | 一种可实现机卡安全认证的智能卡及终端 | |
| US8483661B2 (en) | Method for loading credentials into a mobile communication device such as a mobile phone | |
| CN101494854B (zh) | 一种防止非法sim lock解锁的方法、系统和设备 | |
| CN103249045A (zh) | 一种身份识别的方法、装置和系统 | |
| CN108022100B (zh) | 一种基于区块链技术的交叉认证系统及方法 | |
| CN112492602B (zh) | 5g终端安全接入装置、系统及设备 | |
| CN106304033A (zh) | 一种基于机卡绑定的手机信息防御方法及系统 | |
| CN101711023B (zh) | 一种实现机卡互锁的方法及系统 | |
| CN103415010A (zh) | D2d网络鉴权方法及系统 | |
| CN101765101B (zh) | 一种空中个人化写卡的方法和系统 | |
| CN101583126B (zh) | 锁卡方法、客户识别模块卡以及移动终端 | |
| CN105471845A (zh) | 防止中间人攻击的通信方法及系统 | |
| WO2011124051A1 (zh) | 终端鉴权方法及系统 | |
| CN101860850B (zh) | 一种利用驱动实现移动终端锁网或锁卡的方法 | |
| CN102204298A (zh) | 机卡互锁的方法、用户识别模块卡和终端 | |
| CN105790945A (zh) | 一种实现用户唯一身份认证的认证方法、装置和系统 | |
| CN105188046A (zh) | 无sim卡手机、无sim卡手机的网络注册方法及装置 | |
| US20130183934A1 (en) | Methods for initializing and/or activating at least one user account for carrying out a transaction, as well as terminal device | |
| US8121580B2 (en) | Method of securing a mobile telephone identifier and corresponding mobile telephone | |
| CN101364909B (zh) | 无卡设备接入个人网络的方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20110928 |