CN102833068B - 一种终端与智能卡双向认证的方法、协议及智能卡 - Google Patents
一种终端与智能卡双向认证的方法、协议及智能卡 Download PDFInfo
- Publication number
- CN102833068B CN102833068B CN201110160944.1A CN201110160944A CN102833068B CN 102833068 B CN102833068 B CN 102833068B CN 201110160944 A CN201110160944 A CN 201110160944A CN 102833068 B CN102833068 B CN 102833068B
- Authority
- CN
- China
- Prior art keywords
- terminal
- smart card
- authentication
- algorithm
- way
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
- G06F21/445—Program or device authentication by mutual authentication, e.g. between devices or programs
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Telephone Function (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种终端与智能卡双向认证的方法、协议及智能卡,该双向认证方法包括:智能卡根据终端的双向认证指示信息判断所述终端是否支持双向认证功能,若支持,则发起与所述终端之间的双向认证过程。通过本发明提供的双向认证方法,使得终端和智能卡的安全都得到了保证,智能卡在被盗或者非法使用时将无法登录网络使用,终端在使用非法智能卡时,也能及时锁定终端,保证了终端的安全,且保证了开展物联网等业务的终端和智能卡的专用性和安全性。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种终端与智能卡双向认证的方法、协议及智能卡。
背景技术
物联网作为新兴高技术产业的重要组成部分,已被世界各国当作应对经济危机、振兴经济的重点技术之一。物联网业务可以广泛地应用到众多的行业中,例如车辆、电力、金融、环保、石油、个人与企业安防、水文、军事、消防、气象、煤炭、农林业、电梯等。根据专家预计,未来几年间,物联网业务将快速地进入很多行业,其用户数也将快速成长,预计至2012年底,中国国内基于移动蜂窝通信技术的物联网用户数将可能达到3000~4000万,物联网应用也会在若干年后成为LTE(Long Term Evolution,长期演进)技术的核心应用之一,具有广阔的发展前景。
目前物联网业务的应用类型中,很多业务都要求终端和智能卡的设备装置具备较高的安全性,例如:环境监控,通过在小区内部署各种环境监测设备,用于监控小区环境质量,包括小区污染物、噪音、垃圾、污水等,为小区居民营造安静、健康、和谐的居住环境;以及社区安保,由于人身安全、财物安全是小区居民关注的重中之重,小区需安装视频监控设备、防盗报警设备、家庭安防设备、家庭可视对讲、楼宇门禁等,并实现业主、物业、保安、居委会、公安局的信息联互,共同构建和谐安全的居住环境;此外,还包括在智能家居、煤矿安全生产及监测、医疗健康等应用中,对于应用安全管理要求也非常高。
为避免智能卡被挪作他用或物理被盗,需考虑智能卡的应用安全管理,如采取机卡绑定、第三方合法性认证等手段等管理方式,实现专卡专用。但是,目前已有的机卡绑定方案、第三方合法性认证或者绑定等手段的效果不佳,另外,也无法保证在物联网业务等新应用环境下的安全问题。
发明内容
本发明解决的技术问题是提供一种终端与智能卡双向认证的方法、协议及智能卡,保证了终端和智能卡在应用时的更高的安全性。
为解决上述技术问题,本发明提供了一种终端与智能卡双向认证的方法,所述方法包括:
智能卡根据终端的双向认证指示信息判断所述终端是否支持双向认证功能,若支持,则发起与所述终端之间的双向认证过程。
进一步地,所述终端在发送给所述智能卡的TERMINAL PROFILE指令中包含所述双向认证指示信息。
进一步地,所述终端使用扩展的所述TERMINAL PROFILE指令中的预留字段或预留位,向所述智能卡发送双向认证指示位,所述双向认证指示位用于指示所述终端是否支持双向认证功能。
本发明还提供了一种终端与智能卡双向认证的方法,智能卡判断出终端支持双向认证功能时,则发起与所述终端之间的双向认证过程,包括:
所述智能卡根据认证信息使用算法一得出智能卡侧认证结果,并使用算法二对所述智能卡侧认证结果进行加密后,将所述认证信息以及加密后的智能卡侧认证结果发送给所述终端;
所述终端根据所述智能卡发送的认证信息使用算法一得出终端侧认证结果,同时使用算法三对所述加密后的智能卡侧认证结果进行解密,并将解密得到的智能卡侧认证结果与所述终端侧认证结果进行比较,若一致,则将所述终端侧认证结果发送给所述智能卡;否则,判定所述双向认证失败,并结束本次双向认证过程;
所述智能卡将收到的所述终端侧认证结果与得出的智能卡侧认证结果进行比较,若一致,则判定双向认证成功;否则,判定双向认证失败,并结束本次双向认证过程;
其中,所述算法三为所述算法二的逆运算。
进一步地,所述终端使用扩展的所述TERMINAL PROFILE指令中的预留字段或预留位,向所述智能卡发送双向认证指示位,所述双向认证指示位用于指示所述终端是否支持双向认证功能。
进一步地,所述智能卡判定双向认证失败后,将所述终端置为机卡锁定状态或双向认证未通过状态,并将所述智能卡的认证信息修改为无效信息。
进一步地,所述算法一、算法二包括但不限于以下算法的一种或其任意组合:
数据加密算法、3重数据加密算法、哈希算法、IMSI认证算法A3、RSA算法和错误检查、纠正算法、加密密匙生成算法A5、用户密匙生成算法A8。
进一步地,所述智能卡判断出终端支持双向认证功能时,使用命令状态字向所述终端发送允许认证指令,发起与所述终端之间的双向认证过程。
进一步地,所述方法还包括:
所述智能卡发起与所述终端之间的双向认证过程后,向所述终端发送Get input指令,通知终端获取认证信息。
进一步地,所述方法还包括:
所述终端收到所述Get input指令后,向所述智能卡发送Fetch指令,要求所述智能卡发送智能卡侧认证结果。
进一步地,所述方法还包括:
所述终端比较所述智能卡侧认证结果与所述终端侧认证结果一致时,使用Terminal Response命令将所述终端侧认证结果发送给所述智能卡。
此外,本发明还提供了一种终端与智能卡双向认证的认证协议,所述认证协议包括:
智能卡根据认证信息使用算法一得出智能卡侧认证结果,并使用算法二对所述智能卡侧认证结果进行加密后,将所述认证信息以及加密后的智能卡侧认证结果发送给所述终端;
所述终端根据所述智能卡发送的认证信息使用算法一得出终端侧认证结果,同时使用算法三对所述加密后的智能卡侧认证结果进行解密,并将解密得到的智能卡侧认证结果与所述终端侧认证结果进行比较,若一致,则将所述终端侧认证结果发送给所述智能卡,否则,认证失败,结束本次双向认证过程;
所述智能卡将收到的所述终端侧认证结果与得出的智能卡侧认证结果进行比较,若一致,则判定双向认证成功;
其中,所述算法三为所述算法二的逆运算。
进一步地,所述算法一、算法二包括但不限于以下算法的一种或其任意组合:
数据加密算法、3重数据加密算法、哈希算法、IMSI认证算法A3、RSA算法和错误检查、纠正算法、加密密匙生成算法A5、用户密匙生成算法A8。
此外,本发明还提供了一种支持双向认证的智能卡,所述智能卡包括双向认证装置,所述双向认证装置进一步包括双向认证功能识别模块和双向认证处理模块,
所述双向认证功能识别模块用于,根据终端的双向认证指示信息判断所述终端是否支持双向认证功能;
所述双向认证处理模块用于,当所述双向认证功能识别模块判断出终端支持双向认证功能时,则发起与所述终端之间的双向认证过程。
进一步地,所述双向认证功能识别模块用于,根据终端发送的TERMINAL PROFILE指令中包含的双向认证指示位,判断所述终端是否支持双向认证功能。
进一步地,所述双向认证装置还包括信息收发模块和认证结果实施模块,其中:
所述信息收发模块用于,接收终端发送的终端侧认证结果;以及,向终端发送认证信息及智能卡侧认证结果;
所述认证结果实施模块用于,当所述双向认证通过时,将所述终端及所述智能卡置为机卡认证通过状态或双向认证通过状态;当所述双向认证未通过时,将所述终端置为机卡锁定状态或双向认证未通过状态,并将所述智能卡的认证信息修改为无效信息。
进一步地,所述双向认证处理模块用于,通过使用命令状态字向所述终端发送允许认证指令,发起与所述终端之间的双向认证过程。
进一步地,所述信息收发模块还用于,通过向所述终端发送Get input指令,通知所述终端获取所述认证信息。
本发明提供一种移动终端和智能卡的双向认证方法及相应的智能卡,通过本发明提供的双向认证方法,使得终端和智能卡的安全都得到了保证,终端使用伪造的智能卡时,锁定终端,保证了终端的安全,智能卡在被盗或者非法使用时将无法登录网络使用,终端在使用非法智能卡时,也能及时锁定终端,真正保证了开展物联网业务的终端和智能卡的专用性和安全性。此外,采用本发明方案,具有安全性高、易于实现等优点,且非常易于推广。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明扩展TERMINAL PROFILE指令示意图;
图2为应用本发明双向认证方法的终端和智能卡存储的算法示意图;
图3为应用本发明双向认证协议的双向认证过程的示意图;
图4为本发明双向认证协议的总体流程图;
图5为本发明实施例一中终端和智能卡进行双向认证成功的示意图;
图6为本发明实施例二中终端和智能卡进行双向认证成功的示意图;
图7为本发明实施例三中终端不支持Profile download流程的认证过程示意图。
具体实施方式
有鉴于现有终端和智能卡应用中存在安全性不高的缺点,本发明的主要目的是提供一种终端和智能卡之间双向认证的方法,实现智能卡的应用安全管理。
为实现上述目的,本发明的基本构思描述如下:
根据3GPP TS 31.111 V10.2.0(2011-04)、3GPP TS 11.14 V8.18.0(2007-06)以及ETSI TS 131 111 V9.4.0(2011-01)、ETSI TS 102223 V10.3.0(2011-05)等版本规定的方法,终端开机后将执行Profile download下载过程,使得终端能够告知智能卡其支持的功能。该Profile download过程是通过终端向智能卡发送TERMINAL PROFILE指令实现的,TERMINAL PROFILE的各个字节、位代表了终端支持的功能。如果该字节的bit位为1,表示终端支持该功能,0为终端不支持该功能。
以3GPP TS 11.14 V8.18.0(2007-06)协议版本为例说明,如TERMINAL PROFILE的首字节First byte(Download)的8个bit位b1、b2、b3、b4、b5、b6、b7、b8分别表示:终端是否支持Profile download功能;终端是否支持SMS-PP data download功能;终端是否支持Cell Broadcast data download功能;终端是否支持Menu selection功能;终端是否支持′9EXX′response code for SIM data download error功能;终端是否支持Timerexpiration功能;终端是否支持USSD string data object support in Call Control byUSIM功能;终端是否支持Envelope Call Control always sent to the SIM duringautomatic redial mode功能。
结合以上内容,本发明提出一种基于扩展TERMINAL PROFILE指令的双向认证方法,采用如下技术方案:通过扩展TERMINAL PROFILE指令中未使用的字节作为双向认证指示位,用于实现终端和智能卡的双向验证功能。即,使用某个字节的第i位(i大于等于1且小于8)表示支持双向认证。例如,通过某个字节的第1位表示是否支持双向认证功能,如图1中所示。终端向智能卡发送TERMINAL PROFILE指令;智能卡处理终端发送的TERMINALPROFILE指令,如果对应的支持双向认证指示位为1,则启动智能卡和终端的双向认证。
此外,除上述基于扩展的TERMINAL PROFILE指令中的双向认证指示位的实现方式之外,还可以通过终端向智能卡发送双向认证指示信息的方式,告知智能卡终端是否支持双向认证功能。
如图3所示,本发明的终端和智能卡双向认证方法的总体流程具体描述如下:
步骤301,智能卡复位。
步骤302,终端向智能卡发送TERMINAL PROFILE指令。
步骤303,智能卡处理终端发送的TERMINAL PROFILE指令,如果对应的支持双向认证位为1,则执行步骤304,否则,执行步骤305。
步骤304,执行智能卡和终端的双向认证。
步骤305,使用其他认证方式。
步骤306,移动终端和智能卡双向认证是否通过,如果通过,则执行步骤307,否则,执行步骤308。
步骤307,可以正常使用移动终端和智能卡,继续后续流程。
步骤308,置位终端为非正常使用状态(如锁定终端、终端无效等),并将智能卡的认证信息置为无效信息(如将智能卡IMSI改为空白、随机数、错误信息等)。
结合图4所示,本发明还提供了一种支持移动终端和智能卡双向认证的认证协议,该认证协议流程如下:
A,智能卡和终端内分别存储算法一和算法二,终端中另外存储算法二的逆算法算法三,算法一用于根据认证信息获得认证结果,算法二用于对认证结果进行加密,算法三用于对算法二的结果进行解密。
B,智能卡向终端发送允许认证指令,并携带参数包括:随机数、国际移动设备识别号(IMSI)、用户鉴权密钥、存于智能卡内的其他信息等其中一个或多个。
C,智能卡根据约定的算法一得出智能卡侧运算结果。并使用算法二进行加密后传送给终端。
D,终端对智能卡传送的加密过的运算结果进行算法二的解密过程,获得智能卡的运算结果,终端根据智能卡发送的信息,使用同样的算法一进行运算,得到终端侧运算结果。如果终端侧运算结果与解密得到的智能卡运算结果一致,则终端侧将自己的运算结果传送给智能卡,转E,否则认证失败,转F。
E,智能卡得到终端的运算结果后,和自己运算得到的结果进行比较,如果相同,则认证成功,判定双向认证通过;否则,转F。
F,认证失败,判定双向认证未通过。结束认证,并置位终端为机卡锁定状态(如锁定终端、终端无效等),修改智能卡的认证信息为无效信息(如空白、随机数、错误信息等)。
其中,上述算法一和算法二可采用目前已知的各类算法,包括但不限于如下对称或非对称算法:数据加密算法(DES),3重数据加密算法(3DES),哈希算法(HASH),IMSI认证算法A3,RSA算法和错误检查和纠正算法(ECC),加密密匙生成算法A5,用户密匙生成算法A8以及他们之间的组合(即先用其中一个算法后运算后,将得到的结果再用另外一个算法进行运算,依此类推)。
此外,本发明提供了一种支持移动终端和智能卡双向认证的智能卡,该智能卡包括双向认证装置,具有扩展TERMINAL PROFILE指令,在TERMINAL PROFILE指令中未使用的字节使之对应终端和智能卡的双向验证功能,该双向认证装置进一步包括如下功能模块:
双向认证功能识别模块,用于根据终端的双向认证指示信息判断所述终端是否支持双向认证功能;
双向认证处理模块,用于当双向认证功能识别模块判断出终端支持双向认证功能,则发起与所述终端之间的双向认证过程。
其中,双向认证功能识别模块用于,根据终端发送的TERMINAL PROFILE指令中包含的双向认证指示位,判断终端是否支持双向认证功能。
进一步地,双向认证装置还包括信息收发模块和认证结果实施模块,其中:
信息收发模块用于,接收终端发送的相关认证结果(如终端侧认证结果);以及,向终端发送相关认证信息及认证结果(如认证参数、终端侧认证结果,等);
认证结果实施模块用于,当双向认证通过时,将终端及智能卡置为机卡认证通过状态或双向认证通过状态;当双向认证未通过时,将终端置为机卡锁定状态或双向认证未通过状态,并将智能卡的认证信息修改为无效信息。
此外,双向认证处理模块还用于,通过使用命令状态字向终端发送允许认证指令,以发起与终端之间的双向认证过程。
进一步地,所述信息收发模块还用于,通过向终端发送Get input指令,通知终端获取认证信息。
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
实施例一
本实施例中,物联网终端设备开机(本发明中的移动终端设备是指由终端和智能卡组成的设备),智能卡进行复位后,终端执行Profile Download流程,终端向智能卡发送TERMINAL PROFILE指令,该TERMINAL PROFILE指令中包含双向认证指示信息或双向认证指示位;智能卡收到该TERMINAL PROFILE指令后,根据其中包含的双向认证指示信息或双向认证指示位判断终端是否支持双向认证功能,如果支持,则发起执行移动终端和智能卡双向认证过程。
其中,本实施例使用随机数和IMSI作为认证信息,智能卡和终端内分别存储算法一和算法二,终端中另外存储算法二的逆算法算法三。其中,算法一用于根据认证信息获得认证结果,算法二用于对认证结果进行加密,算法三用于对算法二的结果进行解密。
图5为本实施例中终端和智能卡采用本发明的双向认证协议进行双向认证成功的流程示意图,如图5所示,该流程主要包括以下步骤:
步骤101,终端向智能卡发送TERMINAL PROFILE指令,其中TERMINAL PROFILE指令的第40个字节中的bit1位为1时代表需要进行终端和智能卡双向认证。
步骤102,智能卡收到TERMINAL PROFILE指令后,判断该指令中对应bit位为1,则发起执行移动终端和智能卡双向认证过程。
步骤103,智能卡使用命令状态字向终端发送允许认证指令。
步骤104,智能卡同时向终端发送Get input指令通知终端获取认证信息,所述的认证信息包括认证参数及其他相关信息。
步骤105,终端接收到命令状态字,识别出允许认证,则执行下一步骤106。
步骤106,终端根据收到的Get input命令向智能卡发送Fetch指令,请求智能卡发送其加过密的认证结果。
步骤107,智能卡根据终端的请求,使用算法一对认证参数进行运算,并使用算法二进行加密,将加密的认证结果使用命令状态字传给终端。
步骤108,终端对智能卡传送的加密过的认证结果使用算法三进行运算(即进行算法二的解密过程),获得智能卡的认证结果;同时,终端还根据智能卡发送的认证信息,使用同样的算法一进行运算,得到终端侧运算结果。终端比较两个认证结果,发现二者比较一致,则执行下一步骤109。
步骤109,终端使用Terminal Response命令给智能卡发送自己的未加密的认证结果。
步骤110,智能卡得到终端发送的终端侧运算结果后,和自己运算得到的结果进行比较,如果两个认证结果相同,则执行下一步骤111。
步骤111,通过命令状态字告诉终端双向认证成功。
如果移动终端和智能卡双向认证通过,则继续执行后续流程(如网络鉴权过程、网络、服务平台等其他认证)。
实施例二
本实施例中,使用IMSI作为认证信息,智能卡和终端内分别存储算法一和算法二,终端中另外存储算法二的逆算法算法三,算法一用于根据认证信息获得认证结果,算法二用于对认证结果进行加密,算法三用于对算法二的结果进行解密。
图6为本实施例中终端和智能卡采用本发明双向认证协议进行双向认证失败的流程示意图,如图6所示,该流程主要包括以下步骤:
步骤201,终端开机,智能卡进行复位后,终端执行Profile Download流程,并向智能卡发送TERMINAL PROFILE指令,其中TERMINAL PROFILE指令的第50个字节中的bit7位为1时代表需要进行终端和智能卡双向认证。
步骤202,智能卡收到该指令后,判断指令中对应bit位为1,则发起执行移动终端和智能卡双向认证过程。
步骤203,智能卡使用命令状态字向终端发送允许认证指令。
步骤204,智能卡向终端发送Get input指令,通知终端获取认证信息。
步骤205,终端接收到命令状态字,识别允许认证,则执行下一步骤206。
步骤206,终端根据收到的Get input命令向智能卡发送Fetch指令,请求智能卡发送其加过密的认证结果。
步骤207,智能卡根据终端请求,使用算法一对认证参数进行运算,并使用算法二进行加密,将加密的认证结果使用命令状态字传给终端。
步骤208,终端对智能卡传送的加密过的认证结果使用算法三进行运算(进行算法二的解密过程),获得智能卡的认证结果,终端同时根据智能卡发送的认证信息,使用同样的算法一进行运算,得到终端侧运算结果;终端比较两个认证结果,发现两个认证不结果一致,则执行下一步骤209。
步骤209,终端使用Terminal Response命令通知智能卡未通过认证。
如果终端智能卡认证不通过,则可以置位终端为非正常使用状态(如锁定终端、终端无效等),修改智能卡的认证信息为无效信息(如空白、随机数、错误信息等)。这样,终端被锁定,无法使用,智能卡的IMSI信息被改为随机数,即使被盗,也无法登网使用,因此,可以保证终端和智能卡的安全性。
实施例三
本实施例中,假定终端不支持Profile download流程的双向认证功能,如图7所示,本实施例流程描述如下:
步骤301,物联网设备(即终端)开机,智能卡进行复位后,终端执行ProfileDownload流程,终端向智能卡发送TERMINAL PROFILE指令,其中TERMINAL PROFILE指令的第60个字节中的bit6位为1时,代表需要进行终端和智能卡双向认证。
步骤302,智能卡收到该指令后,判断TERMINAL PROFILE指令中对应bit位为0,判断终端不支持Profile Download流程或者不支持上述双向认证功能,因而不执行移动终端和智能卡双向认证过程,而是使用其他的认证方式。
步骤303,智能卡采用其他认证方式执行终端的认证过程。
本实施例中,是终端不支持profile download功能的情况,针对这种情况,可以采用现有的其他方式进行认证,在此不做详述。
此外,本发明还提供了一种解除锁定的方法和工具,在需要时对智能卡和终端进行解除无法使用状态,恢复正常使用。
以上仅为本发明的优选实施案例而已,并不用于限制本发明,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员可根据本发明做出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
Claims (16)
1.一种终端与智能卡双向认证的方法,其特征在于,所述方法包括:
终端向智能卡发送双向认证指示信息,告知智能卡终端是否支持双向认证功能,智能卡根据终端的双向认证指示信息判断所述终端是否支持双向认证功能,若支持,则发起与所述终端之间的双向认证过程;
其中,智能卡判断出终端支持双向认证功能时,则发起与所述终端之间的双向认证过程,包括:
所述智能卡根据认证信息使用算法一得出智能卡侧认证结果,并使用算法二对所述智能卡侧认证结果进行加密后,将所述认证信息以及加密后的智能卡侧认证结果发送给所述终端;
所述终端根据所述智能卡发送的认证信息使用算法一得出终端侧认证结果,同时使用算法三对所述加密后的智能卡侧认证结果进行解密,并将解密得到的智能卡侧认证结果与所述终端侧认证结果进行比较,若一致,则将所述终端侧认证结果发送给所述智能卡;
所述智能卡将收到的所述终端侧认证结果与得出的智能卡侧认证结果进行比较,若一致,则判定双向认证成功。
2.如权利要求1所述的方法,其特征在于,
所述终端在发送给所述智能卡的TERMINAL PROFILE指令中包含所述双向认证指示信息。
3.如权利要求2所述的方法,其特征在于,
所述终端使用扩展的所述TERMINAL PROFILE指令中的预留字段或预留位,向所述智能卡发送双向认证指示位,所述双向认证指示位用于指示所述终端是否支持双向认证功能。
4.一种终端与智能卡双向认证的方法,其特征在于,智能卡判断出终端支持双向认证功能时,则发起与所述终端之间的双向认证过程,包括:
所述智能卡根据认证信息使用算法一得出智能卡侧认证结果,并使用算法二对所述智能卡侧认证结果进行加密后,将所述认证信息以及加密后的智能卡侧认证结果发送给所述终端;
所述终端根据所述智能卡发送的认证信息使用算法一得出终端侧认证结果,同时使用算法三对所述加密后的智能卡侧认证结果进行解密,并将解密得到的智能卡侧认证结果与所述终端侧认证结果进行比较,若一致,则将所述终端侧认证结果发送给所述智能卡;否则,判定所述双向认证失败,并结束本次双向认证过程;
所述智能卡将收到的所述终端侧认证结果与得出的智能卡侧认证结果进行比较,若一致,则判定双向认证成功;否则,判定双向认证失败,并结束本次双向认证过程;
其中,所述算法三为所述算法二的逆运算。
5.如权利要求4所述的方法,其特征在于,
所述终端使用扩展的所述TERMINAL PROFILE指令中的预留字段或预留位,向所述智能卡发送双向认证指示位,所述双向认证指示位用于指示所述终端是否支持双向认证功能。
6.如权利要求4所述的方法,其特征在于,
所述智能卡判定双向认证失败后,将所述终端置为机卡锁定状态或双向认证未通过状态,并将所述智能卡的认证信息修改为无效信息。
7.如权利要求4所述的方法,其特征在于,
所述算法一、算法二包括但不限于以下算法的一种或其任意组合:
数据加密算法、3重数据加密算法、哈希算法、IMSI认证算法A3、RSA算法和错误检查、纠正算法、加密密匙生成算法A5、用户密匙生成算法A8。
8.如权利要求4所述的方法,其特征在于,
所述智能卡判断出终端支持双向认证功能时,使用命令状态字向所述终端发送允许认证指令,发起与所述终端之间的双向认证过程。
9.如权利要求4或8所述的方法,其特征在于,所述方法还包括:
所述智能卡发起与所述终端之间的双向认证过程后,向所述终端发送Get input指令,通知终端获取认证信息。
10.如权利要求9所述的方法,其特征在于,所述方法还包括:
所述终端收到所述Get input指令后,向所述智能卡发送Fetch指令,要求所述智能卡发送智能卡侧认证结果。
11.如权利要求4所述的方法,其特征在于,所述方法还包括:
所述终端比较所述智能卡侧认证结果与所述终端侧认证结果一致时,使用TerminalResponse命令将所述终端侧认证结果发送给所述智能卡。
12.一种支持双向认证的智能卡,其特征在于,所述智能卡包括双向认证装置,所述双向认证装置进一步包括双向认证功能识别模块和双向认证处理模块,
所述双向认证功能识别模块用于,根据终端的双向认证指示信息判断所述终端是否支持双向认证功能,所述双向认证指示信息是终端向智能卡发送的,用于告知智能卡终端是否支持双向认证功能;
所述双向认证处理模块用于,当所述双向认证功能识别模块判断出终端支持双向认证功能时,则发起与所述终端之间的双向认证过程;
其中,智能卡与终端的双向认证过程包括:
所述智能卡根据认证信息使用算法一得出智能卡侧认证结果,并使用算法二对所述智能卡侧认证结果进行加密后,将所述认证信息以及加密后的智能卡侧认证结果发送给所述终端;
所述终端根据所述智能卡发送的认证信息使用算法一得出终端侧认证结果,同时使用算法三对所述加密后的智能卡侧认证结果进行解密,并将解密得到的智能卡侧认证结果与所述终端侧认证结果进行比较,若一致,则将所述终端侧认证结果发送给所述智能卡;
所述智能卡将收到的所述终端侧认证结果与得出的智能卡侧认证结果进行比较,若一致,则判定双向认证成功。
13.如权利要求12所述的智能卡,其特征在于,
所述双向认证功能识别模块用于,根据终端发送的TERMINAL PROFILE指令中包含的双向认证指示位,判断所述终端是否支持双向认证功能。
14.如权利要求12或13所述的智能卡,其特征在于,所述双向认证装置还包括信息收发模块和认证结果实施模块,其中:
所述信息收发模块用于,接收终端发送的终端侧认证结果;以及,向终端发送认证信息及智能卡侧认证结果;
所述认证结果实施模块用于,当所述双向认证通过时,将所述终端及所述智能卡置为机卡认证通过状态或双向认证通过状态;当所述双向认证未通过时,将所述终端置为机卡锁定状态或双向认证未通过状态,并将所述智能卡的认证信息修改为无效信息。
15.如权利要求12或13所述的智能卡,其特征在于,
所述双向认证处理模块用于,通过使用命令状态字向所述终端发送允许认证指令,发起与所述终端之间的双向认证过程。
16.如权利要求14所述的智能卡,其特征在于,
所述信息收发模块还用于,通过向所述终端发送Get input指令,通知所述终端获取所述认证信息。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110160944.1A CN102833068B (zh) | 2011-06-15 | 2011-06-15 | 一种终端与智能卡双向认证的方法、协议及智能卡 |
| PCT/CN2011/080792 WO2012171285A1 (zh) | 2011-06-15 | 2011-10-14 | 一种终端与智能卡双向认证的方法、协议及智能卡 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110160944.1A CN102833068B (zh) | 2011-06-15 | 2011-06-15 | 一种终端与智能卡双向认证的方法、协议及智能卡 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102833068A CN102833068A (zh) | 2012-12-19 |
| CN102833068B true CN102833068B (zh) | 2017-05-17 |
Family
ID=47336048
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110160944.1A Active CN102833068B (zh) | 2011-06-15 | 2011-06-15 | 一种终端与智能卡双向认证的方法、协议及智能卡 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN102833068B (zh) |
| WO (1) | WO2012171285A1 (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103914913B (zh) * | 2012-12-28 | 2017-06-20 | 北京握奇数据系统有限公司 | 一种智能卡应用场景识别方法及系统 |
| CN103997728B (zh) * | 2013-02-19 | 2017-11-21 | 中国移动通信集团公司 | 一种机卡双向认证方法及系统 |
| CN104243152B (zh) * | 2013-06-06 | 2018-01-12 | 中国银联股份有限公司 | 安全性信息交互系统、设备和方法 |
| CN105188050B (zh) | 2014-05-27 | 2020-09-11 | 中兴通讯股份有限公司 | 一种机卡动态绑定方法、设备和系统 |
| CN104219626B (zh) * | 2014-08-25 | 2017-11-21 | 北京乐富科技有限责任公司 | 一种身份认证的方法和装置 |
| CN105162797B (zh) * | 2015-09-24 | 2018-03-09 | 广东工业大学 | 一种基于视频监控系统的双向认证方法 |
| CN105516182B (zh) * | 2015-12-30 | 2019-05-24 | 深圳市正东源科技有限公司 | 一种用于智能卡和读写器之间的双向认证方法及其系统 |
| CN112241633B (zh) * | 2019-07-17 | 2023-03-14 | 杭州海康威视数字技术股份有限公司 | 一种非接触式智能卡的双向认证实现方法及系统 |
| CN111612944A (zh) * | 2020-05-06 | 2020-09-01 | 浙江中邦数码科技有限公司 | 一种智能锁及其开锁控制方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1478196A2 (en) * | 2003-05-12 | 2004-11-17 | Vodafone Group PLC | Module and method for detecting at least one event in a cellular mobile telephony subscriber equipment, a computer program to carry out the method and a card and terminal with the module. |
| CN101511083A (zh) * | 2008-12-25 | 2009-08-19 | 北京握奇数据系统有限公司 | 电信智能卡的认证鉴权方法和终端 |
| CN101577906A (zh) * | 2009-06-12 | 2009-11-11 | 大唐微电子技术有限公司 | 一种可实现机卡安全认证的智能卡及终端 |
| CN101686572A (zh) * | 2008-09-26 | 2010-03-31 | 中国移动通信集团公司 | 无线终端机卡互锁的方法、系统和管理平台 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1832397B (zh) * | 2005-11-28 | 2010-09-29 | 四川长虹电器股份有限公司 | 电子设备接口间基于公钥证书的认证密钥协商和更新方法 |
| CN100428820C (zh) * | 2006-03-28 | 2008-10-22 | 江苏移动通信有限责任公司 | 可实现移动终端区域锁定的用户识别模块及方法 |
| CN101330387B (zh) * | 2008-07-24 | 2010-12-08 | 华为终端有限公司 | 一种机卡认证的方法、通讯设备和认证系统 |
-
2011
- 2011-06-15 CN CN201110160944.1A patent/CN102833068B/zh active Active
- 2011-10-14 WO PCT/CN2011/080792 patent/WO2012171285A1/zh active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1478196A2 (en) * | 2003-05-12 | 2004-11-17 | Vodafone Group PLC | Module and method for detecting at least one event in a cellular mobile telephony subscriber equipment, a computer program to carry out the method and a card and terminal with the module. |
| CN101686572A (zh) * | 2008-09-26 | 2010-03-31 | 中国移动通信集团公司 | 无线终端机卡互锁的方法、系统和管理平台 |
| CN101511083A (zh) * | 2008-12-25 | 2009-08-19 | 北京握奇数据系统有限公司 | 电信智能卡的认证鉴权方法和终端 |
| CN101577906A (zh) * | 2009-06-12 | 2009-11-11 | 大唐微电子技术有限公司 | 一种可实现机卡安全认证的智能卡及终端 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102833068A (zh) | 2012-12-19 |
| WO2012171285A1 (zh) | 2012-12-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102833068B (zh) | 一种终端与智能卡双向认证的方法、协议及智能卡 | |
| CN102833066B (zh) | 一种三方认证方法、装置及支持双向认证的智能卡 | |
| CN105654580B (zh) | 访问控制方法及系统、电子锁、管理及访客终端 | |
| CN110365484B (zh) | 一种设备认证的数据处理方法、装置及系统 | |
| CN101742499B (zh) | 一种用于移动通讯设备终端的账号保护系统及其应用方法 | |
| CN100533459C (zh) | 数据安全读取方法及其安全存储装置 | |
| CN101511083B (zh) | 电信智能卡的认证鉴权方法和终端 | |
| CN108173822A (zh) | 智能门锁管控方法、智能门锁及计算机可读存储介质 | |
| CN108447154A (zh) | 安全解锁方法及装置、加解密方法及装置、锁及服务器 | |
| CN102945526A (zh) | 一种提高移动设备在线支付安全的装置及方法 | |
| CN104519479A (zh) | 一种终端及其锁网和解除锁网的方法 | |
| CN105405185A (zh) | 安全验证方法及装置 | |
| CN104144411B (zh) | 加密、解密终端及应用于终端的加密和解密方法 | |
| CN103514392A (zh) | 一种计算机操作系统登录认证装置和方法 | |
| CN103415010A (zh) | D2d网络鉴权方法及系统 | |
| CN102833067B (zh) | 三方认证的方法、系统及终端设备的认证状态管理方法 | |
| CN104270754B (zh) | 一种用户识别卡鉴权方法和装置 | |
| CN105871903A (zh) | 信息安全管控方法、系统及移动终端 | |
| CN104753886B (zh) | 一种对远程用户的加锁方法、解锁方法及装置 | |
| CN106936672A (zh) | 燃气设备的控制方法及终端 | |
| CN104702613B (zh) | 验证代接人信息的方法及系统 | |
| CN101854357B (zh) | 网络认证监控方法及系统 | |
| CN1705263B (zh) | 移动终端用户的合法性验证方法及其移动终端 | |
| EP2985712B1 (en) | Application encryption processing method, apparatus, and terminal | |
| WO2014057305A1 (en) | Method and apparatus for disabling algorithms in a device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20201230 Address after: 224011 No.1, Huaxing Avenue, Longgang Town, Yandu District, Yancheng City, Jiangsu Province (f) Patentee after: Yancheng Longhu sewage treatment Co.,Ltd. Address before: 518057 Ministry of justice, Zhongxing building, South Science and technology road, Nanshan District hi tech Industrial Park, Shenzhen, Guangdong Patentee before: ZTE Corp. |
|
| TR01 | Transfer of patent right |