CN102892102A - 一种在移动网络中实现机卡绑定的方法、系统和设备 - Google Patents
一种在移动网络中实现机卡绑定的方法、系统和设备 Download PDFInfo
- Publication number
- CN102892102A CN102892102A CN2011102020805A CN201110202080A CN102892102A CN 102892102 A CN102892102 A CN 102892102A CN 2011102020805 A CN2011102020805 A CN 2011102020805A CN 201110202080 A CN201110202080 A CN 201110202080A CN 102892102 A CN102892102 A CN 102892102A
- Authority
- CN
- China
- Prior art keywords
- information
- imsi
- portable terminal
- module
- business request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明提供了一种在移动网络中实现机卡绑定的方法、系统和设备。该方法包括:移动终端中的智能卡与网络侧鉴权通过后,在智能卡和网络侧存储通信密钥Kc信息;移动终端获取该移动终端中的智能卡的IMSI信息和Kc信息,将本次获取的IMSI信息与存储的IMSI信息进行比较,一致时,更新移动终端存储的Kc信息,不一致时,根据用户权限确定是否更新该移动终端存储的IMSI信息和Kc信息;移动终端利用自身存储的IMSI信息和Kc信息与网络侧通信。应用本发明能够提高移动终端和智能卡的配对灵活性。
Description
技术领域
本发明涉及移动通信技术领域,尤其涉及一种在移动网络中实现机卡绑定的方法、系统和设备。
背景技术
将移动终端与其中的智能卡进行绑定简称为机卡绑定。通过机卡绑定,可以实现更换智能卡后终端无法正常工作的目的。
例如,具备机卡绑定功能的移动终端,若出现遗失或被盗的情况,插入新的SIM卡将无法正常使用,从而在一定程度上保障移动终端持有人的权益,降低盗窃动机。
现有的机卡绑定技术方案包括:
在移动终端和智能卡内预置匹配的对称密钥:例如,在移动终端和SIM卡中预置相同的密钥,在开机过程或使用过程中,移动终端和SIM卡双向认证,如果密钥不匹配,则认证失败,从而实现机卡绑定。
可见,现有的机卡绑定技术方案,需要在移动终端和智能卡中预置密钥,降低了终端和智能卡的配对灵活性。
发明内容
有鉴于此,本发明提供了一种在移动网络中实现机卡绑定的方法、系统和设备,以便提高移动终端和智能卡的配对灵活性。
本发明采用的技术方案具体是这样实现的:
一种在移动网络中实现机卡绑定的方法,该方法包括:
移动终端中的智能卡与网络侧鉴权通过后,在智能卡和网络侧存储通信密钥Kc信息;
移动终端获取该移动终端中的智能卡的IMSI信息和Kc信息,将本次获取的IMSI信息与该移动终端存储的IMSI信息进行比较,在两者一致时,利用本次获取的Kc信息,更新移动终端存储的Kc信息,在两者不一致时,移动终端根据用户权限确定是否更新该移动终端存储的IMSI信息和Kc信息;
移动终端利用自身存储的IMSI信息和Kc信息与网络侧通信。
一种在移动网络中实现机卡绑定的系统,该系统包括移动终端、智能卡和网络侧鉴权设备;
所述智能卡,用于与所述网络侧鉴权设备进行鉴权,在鉴权通过时,存储通信密钥Kc信息;
所述网络侧鉴权设备,用于在所述智能卡鉴权通过后,存储所述通信密钥Kc信息;
所述移动终端,用于获取该移动终端中的智能卡的IMSI信息和Kc信息,将本次获取的IMSI信息与该移动终端存储的IMSI信息进行比较,在两者一致时,利用本次获取的Kc信息,更新移动终端存储的Kc信息,在两者不一致时,移动终端根据用户权限确定是否更新该移动终端存储的IMSI信息和Kc信息;移动终端利用自身存储的IMSI信息和Kc信息与网络侧通信。
一种移动终端,该移动终端包括通信模块和安全模块;
所述通信模块,用于获取该移动终端中的智能卡的IMSI信息和Kc信息,根据所述安全模块中存储的Kc信息与网络侧通信;
所述安全模块,用于存储所述通信模块首次获取的IMSI信息和Kc信息,将所述通信模块本次获取的IMSI信息与安全模块存储的IMSI信息进行比较,在两者一致时,利用所述本次获取的Kc信息,更新该安全模块存储的Kc信息,在两者不一致时,根据用户权限确定是否更新该安全模块存储的IMSI信息和Kc信息。
一种业务平台,该业务平台包括通信模块、获取模块、校验模块和业务请求处理模块;
所述通信模块,用于接收业务请求消息;
所述获取模块,用于从该业务请求消息中读取IMSI信息,将该IMSI信息发给网络侧鉴权设备,接收网络侧鉴权设备返回的、与该IMSI信息对应的Kc信息;
所述校验模块,用于根据所述获取模块获取的Kc信息,对所述业务请求消息中携带的加密信息进行校验;
所述业务请求处理模块,用于在校验模块对业务请求消息校验通过时,对业务请求消息中的应用数据进行处理,在校验模块对业务请求消息校验不通过时,向移动终端返回业务请求失败消息。
一种安全芯片,该安全芯片包括存储模块、更新模块和通信信息生成模块;
所述存储模块,用于存储IMSI信息和Kc信息;
所述更新模块,用于在本次接收的IMSI信息与所述存储模块中的IMSI信息不一致时,根据用户权限确定是否更新所述存储模块中的IMSI信息和Kc信息;
所述通信信息生成模块,用于生成随机数RAND1,利用所述存储模块中的Kc信息对该随机数RAND1进行加密生成会话密钥Ks,利用所述会话密钥Ks对该安全芯片的序列号Sn、所述存储模块中的IMSI信息、所述随机数RAND1以及应用数据进行加密计算得到MAC值;
其中,所述安全芯片的序列号Sn、所述存储模块中的IMSI信息、所述随机数RAND1以及所述MAC值用于携带在业务请求消息中发给业务平台。
由上述方案可见,本发明在移动终端需要更新IMSI信息和Kc信息时,即在移动终端获取的IMSI信息与该移动终端存储的IMSI信息不同时,根据用户权限确定是否更新该移动终端存储的IMSI信息,如果移动终端识别出用户没有更新权限,将无法更新移动终端中存储的Kc信息,由于移动终端利用自身存储的IMSI信息与网络侧进行通信,而网络侧在和智能卡进行鉴权成功后会存储该智能卡的IMSI信息,换言之,网络侧利用网络侧鉴权设备存储的Kc信息与所述移动终端通信,因此,如果移动终端在更换智能卡时没能更新该移动终端存储的Kc信息,将导致移动终端中当前存储的Kc信息与网络侧存储的Kc信息不同,进而导致移动终端无法与网络侧通信,从而实现了机卡绑定。
由于本发明中,如果移动终端识别出用户具有更新权限,则移动终端能够更新该移动终端存储的Kc信息,从而使得该移动终端存储的Kc信息与网络侧存储的Kc信息相同,实现移动终端与网络侧的正常通信,因此移动终端可以与多个智能卡配对,提高了移动终端与智能卡的配对灵活性。
附图说明
图1是本发明提供的移动网络中实现机卡绑定的方法流程图。
图2是GSM网络中的机卡绑定系统组成示意图。
图3是GSM网络中移动终端的登网鉴权流程图。
图4是本发明提供的移动终端与智能卡的绑定流程图。
图5是移动终端利用Kc信息与业务平台之间进行信息交互的流程图。
图6是本发明提供的移动网络中实现机卡绑定的系统组成示意图。
图7是本发明提供的移动终端结构图。
图8是本发明提供的业务平台结构图。
具体实施方式
图1是本发明提供的移动网络中实现机卡绑定的方法流程图。
如图1所示,该方法包括:
步骤101,移动终端中的智能卡与网络侧进行鉴权,如果鉴权通过,在智能卡和网络侧存储通信密钥Kc信息。
步骤102,移动终端获取该移动终端中的智能卡的IMSI信息和Kc信息。
步骤103,移动终端判断步骤102是否为所述移动终端首次获取IMSI信息和Kc信息,如果是,执行步骤104,否则,执行步骤105。
步骤104,移动终端存储首次获取的IMSI信息和Kc信息,进入步骤108。
步骤105,移动终端将本次获取的IMSI信息与该移动终端存储的IMSI信息进行比较,如果一致,执行步骤106,如果不一致,执行步骤107。
步骤106,利用本次获取的Kc信息,更新移动终端存储的Kc信息,进入步骤108。
步骤107,移动终端根据用户权限确定是否更新该移动终端存储的IMSI信息和Kc信息,进入步骤108。
本步骤中,移动终端可以接收用户口令,对该用户口令进行校验,确定用户具有更新权限,否则,用户不具有更新权限;或者,移动终端根据用户的身体体征,确定用户是否具有更新权限,例如,移动终端根据用户的指纹特征、声音特征等确定用户是否具有更新权限。
移动终端在用户具有更新权限时,利用移动终端本次获取的IMSI信息和Kc信息,更新该移动终端存储的IMSI信息和Kc信息,在用户不具有更新权限时,保持移动终端存储的IMSI信息和Kc信息不变。
步骤103~104中,移动终端直接存储首次获取的IMSI信息和Kc信息,在实际应用中,移动终端也可以先识别该用户是否具有更新权限,在用户具有更新权限时,再存储移动终端首次获取的IMSI信息和Kc信息。
步骤108,移动终端利用自身存储的IMSI信息和Kc信息与网络侧通信。
图1所示方法中,移动终端可以在每次智能卡与网络侧的鉴权通过后,获取该移动终端中的智能卡的IMSI信息和Kc信息,从而缩短业务请求的流程。
移动终端也可以在每次发起业务请求前,获取该移动终端中的智能卡的IMSI信息和Kc信息,从而有效利用Kc信息对业务请求内容进行加密保护。
在步骤108中,移动终端利用自身存储的IMSI信息和Kc信息与网络侧通信可以包括:
移动终端向业务平台发送业务请求消息,该业务请求消息中携带有该移动终端存储的IMSI信息、应用数据、以及根据移动终端存储的Kc信息得到的完整性保护信息。
业务平台根据业务请求消息中携带的IMSI信息,获取该移动终端的拜访位置寄存器VLR或归属位置存储器HLR中存储的、与该IMSI信息对应的Kc信息,业务平台根据所述VLR或HLR中获取的Kc信息对所述业务请求消息中携带的信息进行校验,如果校验通过,对业务请求消息中的应用数据进行处理,如果校验不通过,向移动终端返回业务请求失败消息。
图1所示方法中的移动终端,可以设置有安全模块,移动终端在每次获取IMSI信息和Kc信息后,都将获取的IMSI信息和Kc信息发给所述安全模块,安全模块在首次接收到IMSI信息和Kc信息时,存储该首次接收到的IMSI信息和Kc信息,如果不是首次接收到IMSI信息和Kc信息,则安全模块判断本次接收到的IMSI信息是否与该安全模块存储的IMSI信息一致,如果一致,则更新该安全模块存储的IMSI信息,如果不一致,则提示用户输入用户口令,对接收的用户口令进行校验,在用户口令校验通过时,更新该安全模块存储的IMSI信息,否则,保持该安全模块存储的IMSI信息不变。
移动终端中的安全模块可以是安全芯片,也可以是软件模块。
图1所示方法适用于GSM网络、UMTS网络和LTE网络等移动网络,不同的移动网络在适用图1所示方法时,区别在于智能卡与网络侧的鉴权流程不同,但是步骤102~步骤108的流程是相同的。
由图1可见,图1所示方法涉及到移动终端与网络侧的鉴权流程、移动终端与智能卡的绑定流程、以及移动终端利用Kc信息与业务平台之间的信息交互流程。
下面以移动网络为GSM网络、且移动终端中设置有安全芯片(SecureElement,SE)为例,分别对所述鉴权流程、所述绑定流程和所述信息交互流程进行详细说明,所举例子并不用于限制本发明。
图2是GSM网络中的机卡绑定系统组成示意图。
如图2所示,移动终端(Mobile Equipment,ME)中包含SIM卡及安全芯片(Secure Element,SE);移动终端通过移动网络与业务平台及移动鉴权中心(Home Location Register,HLR)相连;业务平台与HLR之间保持连接。
在图2中,SE通过唯一的序列号Sn(Serial Number)进行标识,SIM卡通过唯一的国际移动用户识别码(International Mobile SubscriberIdentification Number,IMSI)进行标识,SIM卡和HLR中保存相同的Ki密钥用于ME登网鉴权。
图3是GSM网络中移动终端的登网鉴权流程图。
如图3所示,SIM卡与鉴权中心(Authentication Center,AuC)之间针对同一IMSI保存相同的密钥Ki,VLR/HLR对SIM卡进行鉴权,即判断SRES和XRES是否相同,若相同则鉴权通过,移动终端与VLR/HLR之间通过Kc进行加密通信。其中,Kc既保存在SIM卡,也保存在VLR/HLR中。
图4是本发明提供的移动终端与智能卡的绑定流程图。
如图4所示,该流程包括:
步骤401,ME从SIM卡上获取IMSI及Kc信息并将其告知SE。
在步骤401之前,ME可以借助SIM卡完成登网鉴权。
步骤402,SE判断是否是第一次收到IMSI信息和Kc信息,如果是,执行步骤403,否则,执行步骤404。
步骤403,SE保存第一次收到的IMSI及Kc信息,结束本流程。
步骤404,SE将保存的IMSI信息与ME提交的IMSI进行比较,若两者一致,则执行步骤405,否则,执行步骤406。
步骤405,SE更新自身保存的IMSI信息和Kc信息,并向ME返回成功指示,结束本流程。
步骤406,SE通知ME该SE接收的IMSI信息与该SE存储的IMSI信息不一致。
步骤407,ME提示用户输入用户口令。
步骤408,ME接收用户口令。
步骤409,ME将接收的用户口令传递给SE。
步骤410,SE校验用户口令,若校验通过,执行步骤411,否则,执行步骤412。
步骤411,SE更新IMSI和Kc信息。
步骤412,SE不更新IMSI信息和Kc信息。
在步骤411-412中,SE可以向ME返回口令校验结果。
由图4可见,对于用户正常的换卡行为,即ME和SE不更换,用户更换SIM/USIM卡,可以通过图4所示流程实现新卡与移动终端的绑定。
具体地,在SE中预先保存有用户口令,例如可以在SE初始化过程中设定用户口令,当用户换卡时,SE检测出新卡的IMSI信息与该SE存储的IMSI信息不同,提示输入用户口令,在SE接收的用户口令与该SE预先保存的用户口令相同时,SE更新存储的IMSI信息和Kc信息,即实现新卡与移动终端的绑定。如果用户输入的用户口令与SE中预先存储的用户口令不同,很可能移动终端被未经授权者使用,例如已经被盗,SE拒绝更新IMSI信息和Kc信息,从而避免移动终端被未经授权者使用。
图5是移动终端利用Kc信息与业务平台之间进行信息交互的流程图。
如图5所示,该流程包括:
步骤501,ME将用户发起的业务请求提交给SE。
在本步骤之前,需要按照图4的流程进行ME中的智能卡与该ME的绑定,例如,可以在每次发起业务时,或者在每次登网鉴权后,按照图4的流程进行ME中的智能卡与该ME的绑定。其中,ME可以借助智能卡进行登网鉴权。
步骤502,SE内部生成随机数RAND1,利用Kc对RAND1进行加密生成会话密钥Ks。
步骤503,SE向ME返回SE序列号Sn、该SE存储的IMSI信息、应用数据、RAND1及MAC值,其中MAC值是利用Ks对SE序列号Sn、该SE存储的IMSI信息、应用数据以及RAND1进行计算得到的。其中,若要保证信息的机密性,还可以先利用Ks对应用数据加密,然后再利用Ks对SE序列号Sn、该SE存储的IMSI信息、对应用数据的加密结果以及RAND1计算MAC值。
步骤504,ME向业务平台提交业务请求。
本步骤中,所述业务请求中携带有:SE序列号Sn、该SE存储的IMSI信息、应用数据、RAND1及MAC值。
步骤505,业务平台收到所述业务请求后,从所述业务请求中提取出IMSI信息,提交至HLR。
步骤506,HLR返回该HLR中存储的、该IMSI信息对应的通信密钥Kc信息。
步骤507,业务平台根据业务请求中携带的RAND1和HLR返回的Kc信息计算得到会话密钥Ks’,并利用Ks’按照SE计算MAC值相同的方法,计算得到MAC’。
步骤508,业务平台比较MAC与MAC’是否一致,如果一致,执行步骤509,否则,执行步骤510。
步骤509,业务平台对应用数据进行后续处理,例如,对应用数据进行解密和解析等,结束本流程。
本步骤中,业务平台还可以向ME返回业务请求成功的响应消息。
步骤510,业务平台向ME返回业务请求失败的消息。
其中业务平台可以在业务请求失败的消息中设置失败原因值,例如设置为非法使用移动终端。ME可以将该业务请求失败的消息发给SE,则SE可以执行锁定操作,即锁定SE中的应用。
根据上述方法,本发明还提供了实现机卡绑定的系统以及相应的业务平台、移动终端和安全芯片,具体请参见图6~图8。
图6是本发明提供的移动网络中实现机卡绑定的系统组成示意图。
如图6所示,该系统包括移动终端601、智能卡602和网络侧鉴权设备603。
智能卡602,用于与网络侧鉴权设备603进行鉴权,在鉴权通过时,存储通信密钥Kc信息。
网络侧鉴权设备603,用于在智能卡602鉴权通过后,存储所述通信密钥Kc信息。
移动终端601,用于获取该移动终端601中的智能卡602的IMSI信息和Kc信息,将本次获取的IMSI信息与该移动终端601存储的IMSI信息进行比较,在两者一致时,利用本次获取的Kc信息,更新移动终端601存储的Kc信息,在两者不一致时,移动终端601根据用户权限确定是否更新该移动终端601存储的IMSI信息和Kc信息;移动终端601利用自身存储的IMSI信息和Kc信息与网络侧通信。
移动终端601,可以用于在移动终端601本次获取的IMSI信息与该移动终端601存储的IMSI信息不一致时,接收用户口令,对该用户口令进行校验,在校验通过时,确定用户具有更新权限,否则,用户不具有更新权限,或者,根据用户的身体特征,确定用户是否具有更新权限;移动终端601在用户具有更新权限时,利用移动终端601本次获取的IMSI信息和Kc信息,更新该移动终端601存储的IMSI信息和Kc信息,在用户不具有更新权限时,保持移动终端601存储的IMSI信息和Kc信息不变。
移动终端601,可以用于在每次智能卡602与网络侧的鉴权通过后,获取该移动终端601中的智能卡602的IMSI信息和Kc信息,或者,用于在每次发起业务请求前,获取该移动终端601中的智能卡602的IMSI信息和Kc信息。
网络侧鉴权设备603可以包括VLR或HLR,图6所示系统还可以包括业务平台。
移动终端601,可以用于向业务平台发送业务请求消息,该业务请求消息中携带有该移动终端601存储的IMSI信息、应用数据、以及根据移动终端601存储的Kc信息得到的完整性保护信息。
所述业务平台,用于根据业务请求消息中携带的IMSI信息,获取该移动终端601的VLR或HLR中存储的、与该IMSI信息对应的Kc信息,根据所述VLR或HLR中获取的Kc信息,对所述业务请求消息中携带的信息进行校验,如果校验通过,对业务请求消息中的应用数据进行处理,如果校验不通过,向移动终端返回业务请求失败消息。
其中,移动终端601可以包括通信模块和安全模块。
所述安全模块,用于存储IMSI信息和Kc信息,根据该安全模块存储的Kc信息得到完整性保护信息。
所述通信模块,用于向业务平台发送业务请求消息,该业务请求消息中携带有应用数据、所述安全模块存储的IMSI信息、以及所述安全模块得到的所述完整性保护信息。
所述通信模块,可以用于接收业务请求失败消息。
所述安全模块,可以用于在所述通信模块收到所述业务请求失败消息后,执行锁定操作。
所述业务平台可以包括通信模块、获取模块、校验模块和业务请求处理模块。
所述通信模块,用于接收业务请求消息。
所述获取模块,用于从该业务请求消息中读取IMSI信息,将该IMSI信息发给移动终端的VLR或HLR,接收VLR或HLR返回的、与该IMSI信息对应的Kc信息。
所述校验模块,用于根据所述Kc信息获取模块获取的Kc信息,对所述业务请求消息中携带的信息进行校验。
所述业务请求处理模块,用于在校验模块对业务请求消息校验通过时,对业务请求消息中的应用数据进行处理,在校验模块对业务请求消息校验不通过时,向移动终端返回业务请求失败消息。
所述安全模块,可以用于生成随机数RAND1,利用该安全模块存储的Kc信息对该随机数RAND1进行加密生成会话密钥Ks,利用所述会话密钥Ks对该安全模块的序列号Sn、该安全模块存储的IMSI信息、所述随机数RAND1以及应用数据进行加密计算得到MAC值。
所述通信模块,可以用于将该安全模块的序列号Sn、该安全模块存储的IMSI信息、所述随机数RAND1、所述应用数据以及所述MAC值携带在业务请求消息中,向业务平台发送所述业务请求消息。
所述校验模块,可以用于根据从所述VLR或HLR中获取的Kc信息,对所述业务请求消息中携带的随机数RAND1进行加密生成会话密钥Ks,根据该校验模块生成的会话密钥Ks,对所述业务请求消息中携带的序列号Sn、IMSI信息、随机数RAND1和应用数据进行加密计算得到MAC值,判断该校验模块自身计算得到的MAC值是否与所述业务请求消息中携带的MAC值相同,如果相同,校验通过,否则校验不通过。
图7是本发明提供的移动终端结构图。
如图7所示,该移动终端包括通信模块701和安全模块702。
通信模块701,用于获取该移动终端中的智能卡的IMSI信息和Kc信息,根据安全模块702中存储的Kc信息与网络侧通信。
安全模块702,用于存储通信模块701首次获取的IMSI信息和Kc信息,将通信模块701本次获取的IMSI信息与安全模块702存储的IMSI信息进行比较,在两者一致时,利用所述本次获取的Kc信息,更新该安全模块702存储的Kc信息,在两者不一致时,根据用户权限确定是否更新该安全模块702存储的IMSI信息和Kc信息。
安全模块702,用于在通信模块701本次获取的IMSI信息与该安全模块702存储的IMSI信息不一致时,接收用户口令,对该用户口令进行校验,在校验通过时,确定用户具有更新权限,否则,用户不具有更新权限,或者,根据用户的身体特征,确定用户是否具有更新权限;安全模块702在用户具有更新权限时,利用通信模块701本次获取的IMSI信息和Kc信息,更新该安全模块702存储的IMSI信息和Kc信息,在用户不具有更新权限时,保持该安全模块702存储的IMSI信息和Kc信息不变。
通信模块701,可以用于在每次智能卡与网络侧的鉴权通过后,获取该移动终端中的智能卡的IMSI信息和Kc信息,或者,用于在每次发起业务请求前,获取该移动终端中的智能卡的IMSI信息和Kc信息。
安全模块702,可以用于生成随机数RAND1,利用该安全模块702存储的Kc信息对该随机数RAND1进行加密生成会话密钥Ks,利用所述会话密钥Ks对该安全模块702的序列号Sn、该安全模块702存储的IMSI信息、所述随机数RAND1以及应用数据进行加密计算得到MAC值。
通信模块701,用于将该安全模块702的序列号Sn、该安全模块702存储的IMSI信息、所述随机数RAND1、所述应用数据以及所述MAC值携带在业务请求消息中,向业务平台发送所述业务请求消息。
通信模块701,可以用于接收业务响应消息。
安全模块702,可以用于在通信模块701收到所述业务请求失败消息后,锁定该移动终端。
图8是本发明提供的业务平台结构图。
如图8所示,该业务平台包括通信模块801、获取模块802、校验模块803和业务请求处理模块804。
通信模块801,用于接收业务请求消息。
获取模块802,用于从该业务请求消息中读取IMSI信息,将该IMSI信息发给网络侧鉴权设备,接收网络侧鉴权设备返回的、与该IMSI信息对应的Kc信息。
校验模块803,用于根据获取模块802获取的Kc信息,对所述业务请求消息中携带的信息进行校验。
业务请求处理模块804,用于在校验模块803对业务请求消息校验通过时,对业务请求消息中的应用数据进行处理,在校验模块803对业务请求消息校验不通过时,向移动终端返回业务请求失败消息。
校验模块803,用于根据从所述网络侧鉴权设备中获取的Kc信息,对所述业务请求消息中携带的随机数RAND1进行加密生成会话密钥Ks,根据该校验模块803生成的会话密钥Ks,对所述业务请求消息中携带的序列号Sn、IMSI信息、随机数RAND1和应用数据进行加密计算得到MAC值,判断该校验模块803自身计算得到的MAC值是否与所述业务请求消息中携带的MAC值相同,如果相同,对所述业务请求消息中携带的信息校验通过,否则,对所述业务请求消息中携带的信息校验不通过。
本发明还提供了一种安全芯片,该安全芯片包括存储模块、更新模块和通信信息生成模块。
所述存储模块,用于存储IMSI信息和Kc信息。
所述更新模块,用于在本次接收的IMSI信息与所述存储模块中的IMSI信息不一致时,根据用户权限确定是否更新所述存储模块中的IMSI信息和Kc信息。
所述通信信息生成模块,用于生成随机数RAND1,利用所述存储模块中的Kc信息对该随机数RAND1进行加密生成会话密钥Ks,利用所述会话密钥Ks对该安全芯片的序列号Sn、所述存储模块中的IMSI信息、所述随机数RAND1以及应用数据进行加密计算得到MAC值。
其中,所述安全芯片的序列号Sn、所述存储模块中的IMSI信息、所述随机数RAND1以及所述MAC值用于携带在业务请求消息中发给业务平台。
所述更新模块,可以用于在本次接收的IMSI信息与所述存储模块中的IMSI信息不一致时,接收用户口令,对该用户口令进行校验,在校验通过时,确定用户具有更新权限,否则,用户不具有更新权限,或者,根据用户的身体特征,确定用户是否具有更新权限;在用户具有更新权限时,利用通信模块本次获取的IMSI信息和Kc信息,更新该安全模块存储的IMSI信息和Kc信息,在用户不具有更新权限时,保持该安全模块存储的IMSI信息和Kc信息不变。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (26)
1.一种在移动网络中实现机卡绑定的方法,其特征在于,该方法包括:
移动终端中的智能卡与网络侧鉴权通过后,在智能卡和网络侧存储通信密钥Kc信息;
移动终端获取该移动终端中的智能卡的IMSI信息和Kc信息,将本次获取的IMSI信息与该移动终端存储的IMSI信息进行比较,在两者一致时,利用本次获取的Kc信息,更新移动终端存储的Kc信息,在两者不一致时,移动终端根据用户权限确定是否更新该移动终端存储的IMSI信息和Kc信息;
移动终端利用自身存储的IMSI信息和Kc信息与网络侧通信。
2.根据权利要求1所述的方法,其特征在于,移动终端根据用户权限确定是否更新该移动终端存储的IMSI信息和Kc信息包括:
移动终端接收用户口令,对该用户口令进行校验,在校验通过时,确定用户具有更新权限,否则,用户不具有更新权限,或者,移动终端根据用户的身体体征,确定用户是否具有更新权限;
在用户具有更新权限时,利用移动终端本次获取的IMSI信息和Kc信息,更新该移动终端存储的IMSI信息和Kc信息,在用户不具有更新权限时,保持移动终端存储的IMSI信息和Kc信息不变。
3.根据权利要求1所述的方法,其特征在于,所述移动终端获取该移动终端中的智能卡的IMSI信息和Kc信息包括:
移动终端在每次智能卡与网络侧的鉴权通过后,获取该移动终端中的智能卡的IMSI信息和Kc信息;
或者,移动终端在每次发起业务请求前,获取该移动终端中的智能卡的IMSI信息和Kc信息。
4.根据权利要求1所述的方法,其特征在于,移动终端利用自身存储的IMSI信息和Kc信息与网络侧通信包括:
移动终端向业务平台发送业务请求消息,该业务请求消息中携带有该移动终端存储的IMSI信息、应用数据、以及根据移动终端存储的Kc信息得到的完整性保护信息;
业务平台根据业务请求消息中携带的IMSI信息,获取该移动终端的拜访位置寄存器VLR或归属位置存储器HLR中存储的、与该IMSI信息对应的Kc信息,业务平台根据所述VLR或HLR中获取的Kc信息对所述业务请求消息中携带的信息进行校验,如果校验通过,对业务请求消息中的应用数据进行处理,如果校验不通过,向移动终端返回业务请求失败消息。
5.根据权利要求4所述的方法,其特征在于,在移动终端中设置有安全模块,移动终端将首次获取或更新的IMSI信息和Kc信息存储在所述安全模块中。
6.根据权利要求5所述的方法,其特征在于,该方法还包括:
移动终端接收到所述业务请求失败消息后,所述安全模块执行锁定操作。
7.根据权利要求5所述的方法,其特征在于,移动终端向业务平台发送业务请求消息包括:
移动终端中的安全模块生成随机数RAND1,利用该移动终端存储的Kc信息对该随机数RAND1进行加密生成会话密钥Ks,所述安全模块利用所述会话密钥Ks对该安全模块的序列号Sn、该安全模块存储的IMSI信息、所述随机数RAND1以及应用数据进行加密计算得到MAC值;
移动终端将该安全模块的序列号Sn、该安全模块存储的IMSI信息、所述随机数RAND1、所述应用数据以及所述MAC值携带在业务请求消息中,向业务平台发送所述业务请求消息。
8.根据权利要求7所述的方法,其特征在于,所述业务平台根据从所述VLR或HLR中获取的Kc信息对所述业务请求消息中携带的信息进行校验包括:
业务平台根据从所述VLR或HLR中获取的Kc信息,对所述业务请求消息中携带的随机数RAND1进行加密生成会话密钥Ks,业务平台根据自身生成的会话密钥Ks对所述业务请求消息中携带的序列号Sn、IMSI信息、随机数RAND1和应用数据进行加密计算得到MAC值;
业务平台判断该业务平台自身计算得到的MAC值是否与所述业务请求消息中携带的MAC值相同,如果相同,校验通过,否则校验不通过。
9.一种在移动网络中实现机卡绑定的系统,其特征在于,该系统包括移动终端、智能卡和网络侧鉴权设备;
所述智能卡,用于与所述网络侧鉴权设备进行鉴权,在鉴权通过时,存储通信密钥Kc信息;
所述网络侧鉴权设备,用于在所述智能卡鉴权通过后,存储所述通信密钥Kc信息;
所述移动终端,用于获取该移动终端中的智能卡的IMSI信息和Kc信息,将本次获取的IMSI信息与该移动终端存储的IMSI信息进行比较,在两者一致时,利用本次获取的Kc信息,更新移动终端存储的Kc信息,在两者不一致时,移动终端根据用户权限确定是否更新该移动终端存储的IMSI信息和Kc信息;
所述移动终端利用自身存储的IMSI信息和Kc信息与网络侧通信。
10.根据权利要求9所述的系统,其特征在于,
所述移动终端,用于在移动终端本次获取的IMSI信息与该移动终端存储的IMSI信息不一致时,接收用户口令,对该用户口令进行校验,如果校验通过,确定用户具有更新权限,否则,用户不具有更新权限,或者,根据用户的身体特征,确定用户是否具有更新权限;在用户口具有更新权限时,利用移动终端本次获取的IMSI信息和Kc信息,更新该移动终端存储的IMSI信息和Kc信息,在用户不具有更新权限时,保持移动终端存储的IMSI信息和Kc信息不变。
11.根据权利要求9所述的系统,其特征在于,
所述移动终端,用于在每次智能卡与网络侧的鉴权通过后,获取该移动终端中的智能卡的IMSI信息和Kc信息,或者,用于在每次发起业务请求前,获取该移动终端中的智能卡的IMSI信息和Kc信息。
12.根据权利要求9所述的系统,其特征在于,所述网络侧鉴权设备包括VLR或HLR,该系统还包括业务平台;
所述移动终端,用于向业务平台发送业务请求消息,该业务请求消息中携带有该移动终端存储的IMSI信息、应用数据、以及根据移动终端存储的Kc信息得到的完整性保护信息;
所述业务平台,用于根据业务请求消息中携带的IMSI信息,获取该移动终端的VLR或HLR中存储的、与该IMSI信息对应的Kc信息,根据所述VLR或HLR中获取的Kc信息,对所述业务请求消息中携带的信息进行校验,如果校验通过,对业务请求消息中的应用数据进行处理,如果校验不通过,向移动终端返回业务请求失败消息。
13.根据权利要求12所述的系统,其特征在于,所述移动终端包括通信模块和安全模块;
所述安全模块,用于存储IMSI信息和Kc信息,根据该安全模块存储的Kc信息得到完整性保护信息;
所述通信模块,用于向业务平台发送业务请求消息,该业务请求消息中携带有应用数据、所述安全模块存储的IMSI信息、以及所述安全模块得到的所述完整性保护信息。
14.根据权利要求13所述的系统,其特征在于,
所述通信模块,用于接收业务请求失败消息;
所述安全模块,用于在所述通信模块收到所述业务请求失败消息后,执行锁定操作。
15.根据权利要求13所述的系统,其特征在于,所述业务平台包括通信模块、获取模块、校验模块和业务请求处理模块;
所述通信模块,用于接收业务请求消息;
所述获取模块,用于从该业务请求消息中读取IMSI信息,将该IMSI信息发给移动终端的VLR或HLR,接收VLR或HLR返回的、与该IMSI信息对应的Kc信息;
所述校验模块,用于根据所述获取模块获取的Kc信息,对所述业务请求消息中携带的信息进行校验;
所述业务请求处理模块,用于在校验模块对业务请求消息校验通过时,对业务请求消息中的应用数据进行处理,在校验模块对业务请求消息校验不通过时,向移动终端返回业务请求失败消息。
16.根据权利要求15所述的系统,其特征在于;
所述安全模块,用于生成随机数RAND1,利用该安全模块存储的Kc信息对该随机数RAND1进行加密生成会话密钥Ks,利用所述会话密钥Ks对该安全模块的序列号Sn、该安全模块存储的IMSI信息、所述随机数RAND1以及应用数据进行加密计算得到MAC值;
所述通信模块,用于将该安全模块的序列号Sn、该安全模块存储的IMSI信息、所述随机数RAND1、所述应用数据以及所述MAC值携带在业务请求消息中,向业务平台发送所述业务请求消息。
17.根据权利要求16所述的系统,其特征在于,
所述校验模块,用于根据从所述VLR或HLR中获取的Kc信息,对所述业务请求消息中携带的随机数RAND1进行加密生成会话密钥Ks,根据该校验模块生成的会话密钥Ks,对所述业务请求消息中携带的序列号Sn、IMSI信息、随机数RAND1和应用数据进行加密计算得到MAC值,判断该校验模块自身计算得到的MAC值是否与所述业务请求消息中携带的MAC值相同,如果相同,校验通过,否则校验不通过。
18.一种移动终端,其特征在于,该移动终端包括通信模块和安全模块;
所述通信模块,用于获取该移动终端中的智能卡的IMSI信息和Kc信息,根据所述安全模块中存储的Kc信息与网络侧通信;
所述安全模块,用于存储所述通信模块首次获取的IMSI信息和Kc信息,将所述通信模块本次获取的IMSI信息与安全模块存储的IMSI信息进行比较,在两者一致时,利用所述本次获取的Kc信息,更新该安全模块存储的Kc信息,在两者不一致时,根据用户权限确定是否更新该安全模块存储的IMSI信息和Kc信息。
19.根据权利要求18所述的移动终端,其特征在于,
所述安全模块,用于在通信模块本次获取的IMSI信息与该安全模块存储的IMSI信息不一致时,接收用户口令,对该用户口令进行校验,在校验通过时,确定用户具有更新权限,否则,用户不具有更新权限,或者,根据用户的身体特征,确定用户是否具有更新权限;在用户具有更新权限时,利用通信模块本次获取的IMSI信息和Kc信息,更新该安全模块存储的IMSI信息和Kc信息,在用户不具有更新权限时,保持该安全模块存储的IMSI信息和Kc信息不变。
20.根据权利要求18所述的移动终端,其特征在于,
所述通信模块,用于在每次智能卡与网络侧的鉴权通过后,获取该移动终端中的智能卡的IMSI信息和Kc信息,或者,用于在每次发起业务请求前,获取该移动终端中的智能卡的IMSI信息和Kc信息。
21.根据权利要求18所述的移动终端,其特征在于,
所述安全模块,用于生成随机数RAND1,利用该安全模块存储的Kc信息对该随机数RAND1进行加密生成会话密钥Ks,利用所述会话密钥Ks对该安全模块的序列号Sn、该安全模块存储的IMSI信息、所述随机数RAND1以及应用数据进行加密计算得到MAC值;
所述通信模块,用于将该安全模块的序列号Sn、该安全模块存储的IMSI信息、所述随机数RAND1、所述应用数据以及所述MAC值携带在业务请求消息中,向业务平台发送所述业务请求消息。
22.根据权利要求18所述的移动终端,其特征在于,
所述通信模块,用于接收业务响应消息;
所述安全模块,用于在所述通信模块收到所述业务请求失败消息后,锁定该移动终端。
23.一种业务平台,其特征在于,该业务平台包括通信模块、获取模块、校验模块和业务请求处理模块;
所述通信模块,用于接收业务请求消息;
所述获取模块,用于从该业务请求消息中读取IMSI信息,将该IMSI信息发给网络侧鉴权设备,接收网络侧鉴权设备返回的、与该IMSI信息对应的Kc信息;
所述校验模块,用于根据所述获取模块获取的Kc信息,对所述业务请求消息中携带的信息进行校验;
所述业务请求处理模块,用于在校验模块对业务请求消息校验通过时,对业务请求消息中的应用数据进行处理,在校验模块对业务请求消息校验不通过时,向移动终端返回业务请求失败消息。
24.根据权利要求23所述的业务平台,其特征在于,
所述校验模块,用于根据从所述网络侧鉴权设备中获取的Kc信息,对所述业务请求消息中携带的随机数RAND1进行加密生成会话密钥Ks,根据该校验模块生成的会话密钥Ks,对所述业务请求消息中携带的序列号Sn、IMSI信息、随机数RAND1和应用数据进行加密计算得到MAC值,判断该校验模块自身计算得到的MAC值是否与所述业务请求消息中携带的MAC值相同,如果相同,校验通过,否则校验不通过。
25.一种安全芯片,其特征在于,该安全芯片包括存储模块、更新模块和通信信息生成模块;
所述存储模块,用于存储IMSI信息和Kc信息;
所述更新模块,用于在本次接收的IMSI信息与所述存储模块中的IMSI信息不一致时,根据用户权限确定是否更新所述存储模块中的IMSI信息和Kc信息;
所述通信信息生成模块,用于生成随机数RAND1,利用所述存储模块中的Kc信息对该随机数RAND1进行加密生成会话密钥Ks,利用所述会话密钥Ks对该安全芯片的序列号Sn、所述存储模块中的IMSI信息、所述随机数RAND1以及应用数据进行加密计算得到MAC值;
其中,所述安全芯片的序列号Sn、所述存储模块中的IMSI信息、所述随机数RAND1以及所述MAC值用于携带在业务请求消息中发给业务平台。
26.根据权利要求25所述的安全芯片,其特征在于,
所述更新模块,用于在本次接收的IMSI信息与所述存储模块中的IMSI信息不一致时,接收用户口令,对该用户口令进行校验,在校验通过时,确定用户具有更新权限,否则,用户不具有更新权限,或者,根据用户的身体特征,确定用户是否具有更新权限;在用户具有更新权限时,利用通信模块本次获取的IMSI信息和Kc信息,更新该安全模块存储的IMSI信息和Kc信息,在用户不具有更新权限时,保持该安全模块存储的IMSI信息和Kc信息不变。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110202080.5A CN102892102B (zh) | 2011-07-19 | 2011-07-19 | 一种在移动网络中实现机卡绑定的方法、系统和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110202080.5A CN102892102B (zh) | 2011-07-19 | 2011-07-19 | 一种在移动网络中实现机卡绑定的方法、系统和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102892102A true CN102892102A (zh) | 2013-01-23 |
| CN102892102B CN102892102B (zh) | 2015-08-19 |
Family
ID=47535424
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110202080.5A Active CN102892102B (zh) | 2011-07-19 | 2011-07-19 | 一种在移动网络中实现机卡绑定的方法、系统和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102892102B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105308560A (zh) * | 2013-05-30 | 2016-02-03 | 三星电子株式会社 | 用于设置简档的方法和装置 |
| CN106488427A (zh) * | 2015-08-27 | 2017-03-08 | 深圳富泰宏精密工业有限公司 | 执行网络注册的方法、设备和系统 |
| CN108718448A (zh) * | 2018-04-27 | 2018-10-30 | 上海晨兴希姆通电子科技有限公司 | 绑定手机的方法及系统 |
| CN109699015A (zh) * | 2017-10-23 | 2019-04-30 | 中国电信股份有限公司 | 机卡绑定关系认证方法、装置以及通信系统 |
| CN112669043A (zh) * | 2021-03-17 | 2021-04-16 | 中国银联股份有限公司 | 绑卡方法、终端设备、认证服务器及存储介质 |
| CN113099457A (zh) * | 2021-04-22 | 2021-07-09 | 联合汽车电子有限公司 | 车辆与移动终端的绑定方法及系统 |
| CN114374942A (zh) * | 2021-12-29 | 2022-04-19 | 天翼物联科技有限公司 | 基于机卡绑定的业务处理方法、系统、装置和存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1183202A (zh) * | 1995-05-04 | 1998-05-27 | 诺基亚电信公司 | 用户设备接入权的检验 |
| CN101583124A (zh) * | 2009-06-10 | 2009-11-18 | 大唐微电子技术有限公司 | 一种用户识别模块与终端进行认证的方法和系统 |
| CN101686572A (zh) * | 2008-09-26 | 2010-03-31 | 中国移动通信集团公司 | 无线终端机卡互锁的方法、系统和管理平台 |
| CN101938742A (zh) * | 2009-06-30 | 2011-01-05 | 华为技术有限公司 | 一种用户标识模块反克隆的方法、装置及系统 |
| CN102075909A (zh) * | 2009-11-23 | 2011-05-25 | 中兴通讯股份有限公司 | 一种imsi与imei绑定关系的校验方法和装置 |
-
2011
- 2011-07-19 CN CN201110202080.5A patent/CN102892102B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1183202A (zh) * | 1995-05-04 | 1998-05-27 | 诺基亚电信公司 | 用户设备接入权的检验 |
| CN101686572A (zh) * | 2008-09-26 | 2010-03-31 | 中国移动通信集团公司 | 无线终端机卡互锁的方法、系统和管理平台 |
| CN101583124A (zh) * | 2009-06-10 | 2009-11-18 | 大唐微电子技术有限公司 | 一种用户识别模块与终端进行认证的方法和系统 |
| CN101938742A (zh) * | 2009-06-30 | 2011-01-05 | 华为技术有限公司 | 一种用户标识模块反克隆的方法、装置及系统 |
| CN102075909A (zh) * | 2009-11-23 | 2011-05-25 | 中兴通讯股份有限公司 | 一种imsi与imei绑定关系的校验方法和装置 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105308560A (zh) * | 2013-05-30 | 2016-02-03 | 三星电子株式会社 | 用于设置简档的方法和装置 |
| CN105308560B (zh) * | 2013-05-30 | 2019-05-28 | 三星电子株式会社 | 用于设置简档的方法和装置 |
| USRE49465E1 (en) | 2013-05-30 | 2023-03-14 | Samsung Electronics Co., Ltd. | Method and apparatus for setting profile |
| CN106488427A (zh) * | 2015-08-27 | 2017-03-08 | 深圳富泰宏精密工业有限公司 | 执行网络注册的方法、设备和系统 |
| CN109699015A (zh) * | 2017-10-23 | 2019-04-30 | 中国电信股份有限公司 | 机卡绑定关系认证方法、装置以及通信系统 |
| CN108718448A (zh) * | 2018-04-27 | 2018-10-30 | 上海晨兴希姆通电子科技有限公司 | 绑定手机的方法及系统 |
| CN112669043A (zh) * | 2021-03-17 | 2021-04-16 | 中国银联股份有限公司 | 绑卡方法、终端设备、认证服务器及存储介质 |
| CN113099457A (zh) * | 2021-04-22 | 2021-07-09 | 联合汽车电子有限公司 | 车辆与移动终端的绑定方法及系统 |
| CN114374942A (zh) * | 2021-12-29 | 2022-04-19 | 天翼物联科技有限公司 | 基于机卡绑定的业务处理方法、系统、装置和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102892102B (zh) | 2015-08-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101676893B1 (ko) | 이동 무선 네트워크에 이동 무선 장치를 등록하기 위한 방법 | |
| CN101077027B (zh) | 更新移动终端中的配置参数 | |
| CN101366299B (zh) | 使用特殊随机询问的引导认证 | |
| CN102892102B (zh) | 一种在移动网络中实现机卡绑定的方法、系统和设备 | |
| US20140093144A1 (en) | More-Secure Hardware Token | |
| CN105847247A (zh) | 一种认证系统及其工作方法 | |
| CN110290134B (zh) | 一种身份认证方法、装置、存储介质及处理器 | |
| CN110990827A (zh) | 一种身份信息验证方法、服务器及存储介质 | |
| US9445269B2 (en) | Terminal identity verification and service authentication method, system and terminal | |
| CN103339975A (zh) | 用于在安全服务器上输出包括在包括在终端中的uicc上的数据的方法 | |
| CN102859966A (zh) | 无线网络认证装置与方法 | |
| CN105871553A (zh) | 一种无需用户身份的三因素的远程用户认证方法 | |
| CN103201998A (zh) | 用于保护移动装置中的本地资源的数据处理 | |
| CN103297224B (zh) | 密钥信息分发方法及相关设备 | |
| CN107454035B (zh) | 一种身份认证的方法及装置 | |
| CN103888938A (zh) | 一种基于参数的动态生成密钥的pki私钥保护方法 | |
| US20090044007A1 (en) | Secure Communication Between a Data Processing Device and a Security Module | |
| CN101990201B (zh) | 生成gba密钥的方法及其系统和设备 | |
| CN106789024A (zh) | 一种远程解锁方法、装置和系统 | |
| CN111065101A (zh) | 基于区块链的5g通信信息加解密方法、设备及存储介质 | |
| CN104268756A (zh) | 移动支付方法和系统 | |
| US10872327B2 (en) | Mobile payment systems and mobile payment methods thereof | |
| CN108768941B (zh) | 一种远程解锁安全设备的方法及装置 | |
| CN107786978B (zh) | 基于量子加密的nfc认证系统 | |
| CN107888376B (zh) | 基于量子通信网络的nfc认证系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |