CN103905192A - 一种加密鉴权方法、装置以及系统 - Google Patents
一种加密鉴权方法、装置以及系统 Download PDFInfo
- Publication number
- CN103905192A CN103905192A CN201210574414.6A CN201210574414A CN103905192A CN 103905192 A CN103905192 A CN 103905192A CN 201210574414 A CN201210574414 A CN 201210574414A CN 103905192 A CN103905192 A CN 103905192A
- Authority
- CN
- China
- Prior art keywords
- authentication
- code
- processor
- message
- logical operation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例提供了一种加密鉴权方法、装置以及系统,该方法包括:通过处理器获取网络侧的鉴权网络参数;将所述鉴权网络参数与预先存储的鉴权密钥K码进行逻辑运算,获得鉴权消息;将所述鉴权消息通过所述处理器发送至网络侧,所述鉴权消息包括鉴权失败消息或鉴权成功消息。采用本发明实施例提供的方法、装置及系统可以使处理器不参与整个加密鉴权过程,所以处理器无需读取K码,这样其他用户就不能从处理器的缓存中获得K码,进一步的,由于处理器仅仅只知道鉴权网络参数以及鉴权消息,并不知道内部的加密鉴权过程,所以移动终端开发人员不能获得整个加密鉴权的过程,从而不能将K码跟踪分析出来。
Description
技术领域
本发明涉及数据处理领域,更具体的说,是涉及一种加密鉴权方法、装置以及系统。
背景技术
SIM/USIM卡中存储的数据包括:IMSI(International MobileSubscriberIdentification Number,国际移动用户识别号)以及鉴权密钥(简称K码),IMSI码标识了SIM/USIM卡的唯一性,且SIM/USIM卡的用户和网络可以获取SIM/USIM卡中的IMSI码,但是K码必须保密,否则其他用户就可以复制该SIM/USIM卡,就可以随意使用该用户的SIM/USIM卡拨打电话或进行其他非法操作。
现有技术中的虚拟SIM/USIM卡方式主要是采用基带芯片中的处理器来完成SIM/USIM所有功能。这需要将SIM/USIM卡中存储的数据都存储至基带的存储器中,SIM/USIM卡中的IMSI码和K码也会存储至基带的存储器中,当在执行鉴权功能时,由于处理器需要处理大量的工作,所以基带存储器会先将K码映射至缓存中,等待处理器的读取,这时其他用户可以从基带的缓存中获取K码,从而将IMSI码和K码复制到其他终端上。即使对K码进行加密处理,移动终端开发人员依然可以通过整个加密鉴权的过程,将K码跟踪分析出来。
发明内容
有鉴于此,本发明提供了一种加密鉴权方法、装置以及系统,以克服现有技术中由于在进行鉴权的过程中K码会映射到基带的内存中而导致K码泄露的问题。
为实现上述目的,本发明提供如下技术方案:
一种加密鉴权方法,应用于基带芯片,包括:
通过处理器获取网络侧的鉴权网络参数;
将所述鉴权网络参数与预先存储的鉴权密钥K码进行逻辑运算,获得鉴权消息;
将所述鉴权消息通过所述处理器发送至网络侧,所述鉴权消息包括鉴权失败消息或鉴权成功消息。
其中,所述鉴权网络参数包括鉴权随机数RAND以及鉴权标记AUTN,所述将所述鉴权网络参数与预先存储的鉴权密钥K码进行逻辑运算,获得鉴权消息包括:
将所述RAND与所述K码进行第一逻辑运算,获得第一逻辑运算结果;
将所述AUTN与所述第一逻辑运算结果进行第二逻辑运算,获得第二逻辑运算结果;
依据所述第二逻辑运算结果与预设运算结果,判断所述鉴权网络参数是否通过网络认证;
当通过网络认证时,生成所述鉴权成功消息,当未通过网络认证时,生成所述鉴权失败消息。
优选地,还包括:
从所述处理器接收到更新K码的请求时,根据从所述处理器接收到的当前K码对所述预先存储的鉴权密钥K码进行更新;
和/或,
从外设接口接收到更新K码的请求时,根据从所述外设接口接收到的当前K码对所述预先存储的鉴权密钥K码进行更新。
一种加密鉴权装置,包括:
用于存储鉴权密钥K码的K码存储器;
用于存储从处理器获得的鉴权网络参数的网络参数寄存器;
分别与所述K码存储器以及所述网络参数寄存器相连,用于将所述鉴权网络参数与所述K码进行逻辑运算,获得鉴权消息的逻辑运算电路,所述鉴权消息包括鉴权成功消息或鉴权失败消息;
与所述逻辑运算电路相连,用于将所述鉴权消息通过所述处理器发送至网络侧的发送端口。
其中,所述网络参数寄存器包括:存储鉴权随机数RAND的RAND寄存器以及存储鉴权标记AUTN的AUTN寄存器;
所述逻辑电路包括:
与所述RAND寄存器相连,用于将所述RAND与所述K码进行第一逻辑运算,获得第一逻辑运算结果的第一逻辑运算电路;
与所述第一逻辑运算电路相连,用于将所述AUTN与所述第一逻辑运算结果进行第二逻辑运算,获得第二逻辑运算结果的第二逻辑运算电路;
与所述第二逻辑运算电路相连,用于依据所述第二逻辑运算结果与预设运算结果,判断所述鉴权网络参数是否通过网络认证的比较电路;
与所述比较电路相连,用于当所述比较电路的比较结果为是时,生成所述鉴权成功消息,当所述比较电路的比较结果为否时,生成所述鉴权失败消息的第三逻辑运算电路。
其中,所述比较电路与所述第二逻辑运算电路相连包括:
所述比较电路的正相输入端与所述第二逻辑运算电路的输出端相连,所述预设运算结果作用于所述比较电路的反相输入端,当所述第二逻辑运算结果与预设运算结果的差值小于鉴权管理信息值时,所述比较电路输出确定所述鉴权网络参数通过网络认证的信号,否则,所述比较电路输出确定所述鉴权网络参数未通过网络认证的信号。
一种加密鉴权系统,包括:
用于接收来自网络侧的鉴权网络参数,以及将鉴权消息反馈至网络侧的处理器;
以及,与所述处理器相连的加密鉴权装置;
所述加密鉴权装置为上述任一项所述装置;
与所述逻辑运算电路相连,用于将所述鉴权消息通过所述处理器发送至网络侧的发送端口。
其中,所述处理器与所述加密鉴权电路相连包括:
所述处理器通过写信号线与所述加密鉴权装置内的K码存储器相连,所述处理器通过所述写信号线对所述K码存储器中的K码进行更新。
优选的,还包括:
通过写信号线与所述K码存储器相连的外设接口,所述外设接口上设置有供电引脚。
优选的,还包括:
与所述外设接口相连的外接设备,所述外接设备通过所述外设接口对所述K码存储器中的K码进行更新,所述外接设备通过所述供电引脚为所述加密鉴权装置供电。
一种基带芯片,其特征在于,包括上述任一项所述系统。
经由上述的技术方案可知,与现有技术相比,本发明实施例提供的加密鉴权方法,首先通过处理器获取网络侧的鉴权网络参数,再将鉴权网络参数与预先存储的K码进行逻辑运算,获得鉴权消息,最后将鉴权消息通过处理器发送至网络侧,整个加密鉴权过程处理器都没有参与,所以处理器无需读取K码,这样其他用户就不能从处理器的缓存中获得K码,进一步的,由于处理器仅仅只知道鉴权网络参数以及鉴权消息,并不知道内部的加密鉴权过程,所以移动终端开发人员不能获得整个加密鉴权的过程,从而不能将K码跟踪分析出来。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例提供的第一种加密鉴权方法的流程图;
图2为本发明实施例提供的第二种加密鉴权方法的流程图;
图3为本发明实施例提供的第一种加密鉴权装置的结构示意图;
图4为本发明实施例提供的第二种加密鉴权装置的结构示意图;
图5为本发明实施例提供的第一种加密鉴权系统的结构示意图;
图6(a)为本发明实施例提供的一种通过处理器更新K码存储器中的K码以及更新IMSI码存储器中的IMSI码的方法流程图;
图6(b)为本发明实施例提供的一种通过处理器更新K码存储器中的K码以及更新IMSI码存储器中的IMSI码的方法流程图;
图6(c)为本发明实施例提供的一种通过处理器更新K码存储器中的K码以及更新IMSI码存储器中的IMSI码的方法流程图;
图7为本发明实施例提供的一种外接设备对K码存储器中的K码和IMSI码进行更新的示意图;
图8为本发明实施例提供的一种外设存储器的存储数据示意图。
具体实施方式
为了引用和清楚起见,下文中使用的技术名词的说明、简写或缩写总结如下:
AUTN:Authentication Network,鉴权标记;
RAND:Random Challenge,鉴权随机数;
AUTS:Re-synchronisation Token,鉴权重新同步码;
MAC-A:Network Authentication Code,鉴权码;
XRES:Response to Challenge,网络期望用户反馈的鉴权数据;
CK:Cipher Key,加密的密码;
IK:Integrity Key,完整性保护密码;
AMF:Authentication Management Field,鉴权管理信息值;
MAC:Media Access Control,介质访问控制层;
SQN:Sequence number,序列号;
AK:Anonymity Key,匿名码。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
请参阅附图1,为本发明实施例提供的第一种加密鉴权方法的流程图,该方法应用于基带芯片中,该方法可以包括:
步骤S101:通过处理器获取网络侧的鉴权网络参数。
步骤S102:将鉴权网络参数与预先存储的鉴权密钥K码进行逻辑运算,获得鉴权消息。
K码可以预先存储在一存储单元中,根据K码的长度可以选择相应容量的存储单元,现有技术中存储K码的存储单元可以为128bit,本发明实施例并不对比进行限制。本发明实施例可以在进行逻辑运算时读取该存储单元中的K码。
步骤S103:将鉴权消息通过上述处理器发送至网络侧。
鉴权消息包括鉴权成功消息或鉴权失败消息。
本发明实施例提供的加密鉴权方法,首先通过处理器获取网络侧的鉴权网络参数,再将鉴权网络参数与预先存储的K码进行逻辑运算,获得鉴权消息,最后将鉴权消息通过处理器发送至网络侧,整个加密鉴权过程处理器都没有参与,所以处理器无需读取K码,这样其他用户就不能从处理器的缓存中获得K码,进一步的,由于处理器仅仅只知道鉴权网络参数以及鉴权消息,并不知道内部的加密鉴权过程,所以移动终端开发人员不能获得整个加密鉴权的过程,从而不能将K码跟踪分析出来。
实施例二
请参阅图2,为本发明实施例提供的第二种加密鉴权方法的流程图,该方法应用于基带芯片中,该方法可以包括:
步骤S201:通过处理器获取网络侧的鉴权网络参数。
鉴权网络参数可以包括:鉴权随机数RAND以及鉴权标记AUTN。
步骤S202:将RAND与K码进行第一逻辑运算,获得第一逻辑运算结果。
第一逻辑运算可以是3GPP 35.206算法规范要求中的f5算法。
步骤S203:将AUTN与第一逻辑运算结果进行第二逻辑运算,获得第二逻辑运算结果。
第二逻辑运算可以是异或运算,鉴权标记AUTN包括鉴权管理信息值、MAC地址以及SQN异或AK(以下称SQN异或AK为第一参数)。
具体的,将AUTN与第一逻辑运算结果进行第二逻辑运算可以为:将第一参数与第一逻辑运算结果进行第二逻辑运算。
步骤S204:依据第二逻辑运算结果与预设运算结果,判断鉴权网络参数是否通过网络认证。
具体的,可以为:判断第二逻辑运算结果与预设运算结果的差值是否小于AMF;当小于AMF时,确定鉴权网络参数通过网络认证,当不小于AMF时,确定鉴权网络参数未通过网络认证。
预设运算结果可以为距离当前时间最近的一次加密鉴权过程中的第二逻辑运算结果。
步骤S205:当通过网络认证时,生成鉴权成功消息,当未通过网络认证时,生成鉴权失败消息。
当通过网络认证时,可以根据第二逻辑运算结果获得鉴权成功消息,具体的将第二逻辑运算结果与K码进行第三逻辑运算,获得XRES参数,第三逻辑运算可以是3GPP 35.206算法规范要求中的f2算法。鉴权成功消息为包括XRES参数的消息。
此外,还可以将K码与RAND进行3GPP 35.206算法规范要求中的f3算法,得到CK;将K码与RAND进行3GPP 35.206算法规范要求中的f4算法,得到IK;将K码、第二逻辑运算结果、AMF以及RAND进行3GPP 35.206算法规范要求中的f1算法,得到MAC-A。CK为鉴权网络参数在传输过程中加密的密码,IK为各个信令在传输过程中完整性保护密码的,这些参数保证了各个数据(包括鉴权网络参数)和信令(包括请求)在传输过程中的安全。
当未通过网络认证时,可以根据预设运算结果获得鉴权失败消息,具体的将预设运算结果、RAND、K码以及AMF进行3GPP 35.206算法规范要求中的f1算法,得到中间结果MAC-S参数。将第一逻辑运算结果与预设运算结果进行异或运算,将异或运算的结果与MAC-S参数合并,得到AUTS参数,鉴权失败消息为包括AUTS参数的消息。
步骤S206:从处理器接收到更新K码的请求时,根据从处理器接收到的当前K码对预先存储的鉴权密钥K码进行更新。
如果K码存储器存储在一存储单元中,那么处理器可以通过写信号线与存储单元相连。
步骤S207:从外设接口接收到更新K码的请求时,根据从所述外设接口接收到的当前K码对预先存储的鉴权密钥K码进行更新。
如果K码存储器存储在一存储单元中,那么外设接口可以通过写信号线与存储单元相连。
在不同的应用场景中可以只执行步骤S206,也可以只执行步骤S207,步骤S206与步骤S206没有先后顺序,只是为了画图方便,所以才规定了顺序。步骤S206与步骤S207还可以位于步骤S202之前。
本发明实施例具有实施例一的有益效果。
上述本发明公开的实施例中详细描述了方法,对于本发明的方法可采用多种形式的装置实现,因此本发明还公开了两种装置,下面给出具体的实施例进行详细说明。
实施例三
请参阅图3,为本发明实施例提供的第一种加密鉴权装置的结构示意图,该装置包括:
K码存储器301、网络参数寄存器302、逻辑运算电路303以及发送端口304,其中:
K码存储器301,用于存储鉴权密钥K码。
K码存储器301可以为存储量为128bit的存储器。
网络参数寄存器302,用于存储从处理器获得的鉴权网络参数。
逻辑运算电路303分别与K码存储器301以及网络参数寄存器302相连,用于将鉴权网络参数与K码进行逻辑运算,获得鉴权消息。
鉴权消息包括鉴权成功消息或鉴权失败消息。
发送端口304与逻辑运算电路303相连,用于将鉴权消息通过处理器发送至网络侧。
本发明实施例,从网络参数寄存器302获得鉴权网络参数,以及从K码存储器301中获取鉴权密钥K码,再通过逻辑运算电路303将鉴权网络参数与K码进行逻辑运算,获得鉴权消息,最后由发送端口304将鉴权消息通过处理器发送至网络侧,整个鉴权过程处理器都没有参与,所以处理器无需读取K码,这样其他用户就不能从处理器的缓存中获得K码,进一步的,由于处理器仅仅只知道网络参数以及鉴权消息,并不知道内部的加密鉴权过程,所以移动终端开发人员不能获得整个加密鉴权的过程,从而不能将K码跟踪分析出来。
实施例四
请参阅图4,为本发明实施例提供的第二种加密鉴权装置的结构示意图,该装置可以包括:
K码存储器301、网络参数寄存器302、逻辑运算电路303以及发送端口304,其中:
K码存储器301,用于存储鉴权密钥K码。
K码存储器301可以为存储量为128bit的存储器。
网络参数寄存器302,用于存储从处理器获得的鉴权网络参数。
加密鉴权装置还可以包括:接收端口,用于从处理器获得鉴权网络参数。网络参数寄存器302将接收端口接收到的鉴权网络参数进行存储。网络参数寄存器302包括存储鉴权随机数RAND的RAND寄存器3021以及存储鉴权标记AUTN的AUTN寄存器3022。
逻辑运算电路303分别与K码存储器301以及网络参数寄存器302相连,且用于将鉴权网络参数与K码进行逻辑运算,获得鉴权消息。
逻辑运算电路303包括:第一逻辑运算电路3031、第二逻辑运算电路3032、比较电路3033以及第三逻辑运算电路,其中:
第一逻辑运算电路3031与RAND寄存器3021相连,用于将RAND与K码进行第一逻辑运算,获得第一逻辑运算结果。
第二逻辑运算电路3032与第一逻辑运算电路3031相连,用于将AUTN与第一逻辑运算结果进行第二逻辑运算,获得第二逻辑运算结果。
比较电路3033与第二逻辑运算电路3032相连,用于依据第二逻辑运算结果与预设运算结果,判断鉴权网络参数是否通过网络认证。
比较电路3033与第二逻辑运算电路3032相连包括:比较电路3033的正相输入端与第二逻辑运算电路3032的输出端相连,预设运算结果作用于比较电路3033的反相输入端。
当第二逻辑运算结果与预设运算结果的差值小于AMF时,比较电路3033输出确定鉴权网络参数通过网络认证的信号,当第二逻辑运算结果与预设运算结果的差值不小于AMF时,比较电路3033输出确定鉴权网络参数未通过网络认证的信号。
第三逻辑运算电路与比较电路3033相连,且用于当比较电路3033的比较结果为是时,生成鉴权成功消息,当比较电路3033的比较结果为否时,生成鉴权失败消息。
当通过网络认证时,可以根据第二逻辑运算结果获得鉴权成功消息,具体的,将第二逻辑运算结果与K码进行第三逻辑运算,获得XRES参数,第三逻辑运算可以是3GPP 35.206算法规范要求中的f2算法。鉴权成功消息为包括XRES参数的消息。
此外,还可以将K码与RAND进行3GPP 35.206算法规范要求中的f3算法,得到CK;将K码与RAND进行3GPP 35.206算法规范要求中的f4算法,得到IK;将K码、第二逻辑运算结果、AMF以及RAND进行3GPP 35.206算法规范要求中的f1算法,得到MAC-A。CK为鉴权网络参数在传输过程中加密的密码,IK为各个信令在传输过程中完整性保护密码的,这些参数保证了各个数据(包括鉴权网络参数)和信令(包括请求)在传输过程中的安全。
加密鉴权装置还可以包括:用于存储MAC-A的MAC-A存储器306,用于存储XRES的XRES存储器307,用于存储CK的CK存储器308以及用于存储IK的IK存储器309。
当未通过网络认证时,可以根据预设运算结果获得鉴权失败的消息,具体的,将预设运算结果、RAND、K码以及AMF进行3GPP 35.206算法规范要求中的f1算法,得到MAC-S参数。将第一逻辑运算结果与预设运算结果进行异或运算,将异或运算的结果与MAC-S参数合并,得到AUTS参数,鉴权失败消息为包括AUTS参数的消息。
加密鉴权装置还可以包括:用于存储AUTS参数的AUTS存储器310。
上述f1至f5算法可以由逻辑运算电路实现。
本发明实施例还可以包括:与比较电路3033相连的状态寄存器305,当比较电路3033的判断结果为是时,设置状态寄存器305中的参数为合法状态,当比较电路3033的判断结果为否时,设置状态寄存器305中的参数为非法状态。
本发明实施例还可以包括IMSI码存储器,IMSI码存储器与处理器相连,且用于存储IMSI码。
本发明实施例具有实施例三的有益效果。
本发明实施例还提供了一种基带芯片,该基带芯片包括装置实施例提供的任一种装置。
实施例五
请参阅图5,为本发明实施例提供的第一种加密鉴权系统的结构示意图,该系统包括:
处理器501以及加密鉴权装置502,其中:
处理器501,用于接收来自网络侧的鉴权网络参数,以及将鉴权消息反馈至网络侧。
加密鉴权装置502与处理器501相连。
加密鉴权装置502为上述装置实施例中任一种装置,加密鉴权装置502主要包括:K码存储器301,用于存储鉴权密钥K码。
K码存储器301可以为存储量为128bit的存储器。
网络参数寄存器302,用于存储从处理器获得的鉴权网络参数。
逻辑运算电路303分别与K码存储器301以及网络参数寄存器302相连,用于将鉴权网络参数与K码进行逻辑运算,获得鉴权消息。
鉴权消息包括鉴权成功消息或鉴权失败消息。
发送端口304与逻辑运算电路303相连,用于将鉴权消息通过处理器发送至网络侧。
上述加密鉴权装置502与处理器501相连包括:处理器501通过写信号线与加密鉴权装置内的K码存储器301相连,处理器501通过所述写信号线对K码存储器301中的K码进行更新。
上述系统还可以包括:外设接口503,外设接口503通过写信号线与K码存储器301相连。
上述系统还可以包括外接设备504,外接设备504与外设接口503相连。外接设备504通过外设接口503对K码存储器301中的K码进行更新。
优选的,外设接口503上设置有供电引脚,外接设备504可以通过供电引脚为加密鉴权装置501供电。
上述加密鉴权装置502与处理器501相连包括:外设接口503与加密鉴权装置501可以直接挂接在处理器501的总线上,加密鉴权装置501也可以直接挂接在处理器501的总线上。
加密鉴权装置502还可以包括IMSI码存储器,上述加密鉴权装置502与处理器501相连包括:处理器通过读写信号线与IMSI码存储器相连。处理器可以更新IMSI码存储器中的IMSI码。
IMSI码存储器的存储空间可以为15位数字60比特长度。
外设接口可以通过读写信号线与IMSI码存储器相连,外接设备可以通过外设接口对IMSI码存储器中的IMSI码进行更新,也可以通过外设接口读取IMSI码存储器中的IMSI码。
本发明实施例还提供了一种基带芯片,该基带芯片包括上述系统实施例提供的任一种系统。
为了本领域人员更加理解本发明实施例,下面对K码和IMSI码的更新过程进行说明。由于对K码和IMSI码的更新的流程有很多分支,为了附图更加清晰,将该流程分为三个附图即图6(a)、图6(b)以及图6(c)进行描述。图6(a)、图6(b)以及图6(c)组成了一个完整的流程。
请参阅图6(a)、图6(b)以及图6(c),为本发明实施例提供的一种通过处理器更新K码存储器中的K码以及更新IMSI码存储器中的IMSI码的方法流程图,该方法包括:
步骤S601:处理器判断当前是对K码的更新操作,还是对IMSI码的操作,如果是对K码的更新操作,则进入步骤S602,如果是对IMSI码的操作,则进入步骤S608。
如果加密鉴权装置502中不包括IMSI码存储器,那么也可以没有步骤S601。
步骤S602:处理器通过地址总线输出K码的初始地址。
步骤S603:处理器通过写信号线向K码存储器发出更新K码的请求。
步骤S604:处理器通过数据总线向K码存储器中相应的位置写入16bit的K码。
由于K码可能为128bit,所以有可能需要多次写入。
由于数据总线的位宽为16bit,总计4个地址,所以可以一次写入16bit的K码,如果数据总线的位宽为32bit,那么就可以一次写入32bit的K码,所以具体处理器可以写入多少bit的K码,本发明实施例并不做具体限定。
根据地址总线输出的当前地址将16bit的K码写入K码存储器的相应位置。
步骤S605:判断K码是否写入完毕,如果否,则进入步骤S606,如果是,则进入步骤S607。
步骤S606:处理器将输出的距离当前时间最近的K码地址加1,并返回步骤S604。
步骤S607:结束。
步骤S608:处理器通过地址总线输出IMSI的初始地址。
步骤S609:处理器判断是读取IMSI码,还是更新IMSI码,如果是读取IMSI码,则进入步骤S610,如果是更新IMSI码,则进入步骤S615。
步骤S610:处理器通过读信号线向IMSI码存储器发出读取IMSI码的请求。
步骤S611:处理器通过数据总线读取IMSI码存储器中16bit的IMSI码。
由于数据总线的位宽为16bit,总计4个地址,所以可以一次读取16bit的IMSI码,如果数据总线的位宽为32bit,那么就可以一次读取32bit的IMSI码,所以具体处理器可以一次读取多少bit的IMSI码,本发明实施例并不做具体限定。
根据地址总线输出的当前地址读取IMSI码存储器中的16bit的IMSI码。
步骤S612:判断是否读取完毕IMSI码,如果否,则进入步骤S613,如果是,则进入步骤S614。
步骤S613:处理器将输出的距离当前时间最近的K码地址加1,并返回步骤S611。
步骤S614:结束。
步骤S615:处理器通过写信号线向IMSI码存储器发出更新IMSI码的请求。
步骤S616:处理器通过数据总线将16bit的IMSI码写入IMSI码存储器中。
由于数据总线的位宽为16bit,总计4个地址,所以可以一次写入16bit的IMSI码,如果数据总线的位宽为32bit,那么就可以一次写入32bit的IMSI码,所以具体处理器可以一次写入多少bit的IMSI码,本发明实施例并不做具体限定。
根据地址总线输出的当前地址向IMSI码存储器中相应位置写入16bit的IMSI码。
步骤S617:处理器判断是否写入完毕,如果否,则进入步骤S618,如果是,则进入步骤S619。
步骤S618:处理器将输出的距离当前时间最近的K码地址加1,并返回步骤S616。
步骤S619:结束。
上述过程可以是终端在出厂之前由运营商写入的,从上述的流程可知处理器通过写信号线与K码存储器相连,处理器只能对K码存储器中的K码进行更新操作,并不能对K码存储器中的K码进行读取操作。处理器通过读写信号线与IMSI码存储器相连,处理器既可以对IMSI码存储器中的IMSI码进行更新操作,也可以进行读取操作。运营商可以重复写入K码和IMSI码。
请参阅图7,为本发明实施例提供的一种外接设备对K码存储器中的K码和IMSI码进行更新的示意图。
外设接口设置有供电引脚,外接设备可以通过供电引脚为加密鉴权装置进行供电,不需要要启动处理器,直接触发加密鉴权装置的加密鉴权过程。
外设接口上设置有:地址总线、数据总线以及控制总线,外设接口上还可以设置有时钟信号引脚,该引脚可以使外接设备与加密鉴权装置同步。
当外接设备是对K码存储器进行更新操作时,控制总线只可以作为写信号线,当外接设备是对IMSI码存储器进行操作时,控制总线既可以作为写信号线,又可以作为读信号线。
外接设备通过外设接口对IMSI码存储器中IMSI码的读操作与更新操作以及对K码存储器中K码的更新操作与图6中的流程相同,将图6中各个步骤中的处理器修改为外接设备即可,在此不在一一赘述。
虚拟SIM/USIM卡中不仅仅包括IMSI码以及K码,还包括:业务代码(例如个人识别码、解锁码和计费费率等)、电话号码(手机用户随时输入的电话号码)以及网络参数(例如,位置区域识别码、移动用户暂时识别码和禁止接入的公共电话网代码等)。
请参阅图8,为本发明实施例提供的一种外设存储器的存储数据示意图。
本发明实施例的加密鉴权系统还可以包括:外设存储器801,外设存储器801可以包括非易失存储器8011和易失存储器8012,其中的非易失存储器8011中的数据可以通过外接设备或处理器写入,其特点是读写速度慢,但是掉电之后,信息依然保存;易失存储器8012,主要特点是读写速度快,但是掉电之后信息将丢失,所以在终端上电之后,程序从非易失存储器8011中搬移到易失存储器8012中运行,如果终端关机重启,那么易失存储器8012中的程序就会丢失,需要重新将非易失存储器8011中的程序搬移到易失存储器8012。
从图8中可知,本发明实施例中的非易失存储器8011可以存储有:终端参数(例如手机的手机号)、网络参数、电话号码、短信、业务相关信息、对应的SIM/USIM卡管理程序(例如,3GPP 35.206算法)、处理器中的处理软件(称为基带处理软件)。
在终端开机后,可以将SIM/USIM卡管理程序连同处理器中的处理软件一同加载到易失存储器8012中运行。终端从IMSI码存储器中读取IMSI码,并将IMSI码保存在非易失存储器8011中的IMSI内存中,等待处理器使用。
本发明实施例对虚拟的SIM/USIM卡操作的可以分成两大部分,关于网络鉴权的操作,可以在加密鉴权装置中完成。关于网络信息、业务操作、电话号码以及短信操作则可以由SIM/USIM卡管理程序完成。
在终端出厂之前可以由处理器或是外接设备直接写入IMSI码和K码。终端在和网络交互过程中,如果收到来自网络的鉴权请求,则通过本发明中的加密鉴权功能模块完成。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (11)
1.一种加密鉴权方法,应用于基带芯片,其特征在于,包括:
通过处理器获取网络侧的鉴权网络参数;
将所述鉴权网络参数与预先存储的鉴权密钥K码进行逻辑运算,获得鉴权消息;
将所述鉴权消息通过所述处理器发送至网络侧,所述鉴权消息包括鉴权失败消息或鉴权成功消息。
2.根据权利要求1所述方法,其特征在于,所述鉴权网络参数包括鉴权随机数RAND以及鉴权标记AUTN,所述将所述鉴权网络参数与预先存储的鉴权密钥K码进行逻辑运算,获得鉴权消息包括:
将所述RAND与所述K码进行第一逻辑运算,获得第一逻辑运算结果;
将所述AUTN与所述第一逻辑运算结果进行第二逻辑运算,获得第二逻辑运算结果;
依据所述第二逻辑运算结果与预设运算结果,判断所述鉴权网络参数是否通过网络认证;
当通过网络认证时,生成所述鉴权成功消息,当未通过网络认证时,生成所述鉴权失败消息。
3.根据权利要求1所述方法,其特征在于,还包括:
从所述处理器接收到更新K码的请求时,根据从所述处理器接收到的当前K码对所述预先存储的鉴权密钥K码进行更新;
和/或,
从外设接口接收到更新K码的请求时,根据从所述外设接口接收到的当前K码对所述预先存储的鉴权密钥K码进行更新。
4.一种加密鉴权装置,其特征在于,包括:
用于存储鉴权密钥K码的K码存储器;
用于存储从处理器获得的鉴权网络参数的网络参数寄存器;
分别与所述K码存储器以及所述网络参数寄存器相连,用于将所述鉴权网络参数与所述K码进行逻辑运算,获得鉴权消息的逻辑运算电路,所述鉴权消息包括鉴权成功消息或鉴权失败消息;
与所述逻辑运算电路相连,用于将所述鉴权消息通过所述处理器发送至网络侧的发送端口。
5.根据权利要求4所述装置,其特征在于,
所述网络参数寄存器包括:存储鉴权随机数RAND的RAND寄存器以及存储鉴权标记AUTN的AUTN寄存器;
所述逻辑电路包括:
与所述RAND寄存器相连,用于将所述RAND与所述K码进行第一逻辑运算,获得第一逻辑运算结果的第一逻辑运算电路;
与所述第一逻辑运算电路相连,用于将所述AUTN与所述第一逻辑运算结果进行第二逻辑运算,获得第二逻辑运算结果的第二逻辑运算电路;
与所述第二逻辑运算电路相连,用于依据所述第二逻辑运算结果与预设运算结果,判断所述鉴权网络参数是否通过网络认证的比较电路;
与所述比较电路相连,用于当所述比较电路的比较结果为是时,生成所述鉴权成功消息,当所述比较电路的比较结果为否时,生成所述鉴权失败消息的第三逻辑运算电路。
6.根据权利要求5所述装置,其特征在于,所述比较电路与所述第二逻辑运算电路相连包括:
所述比较电路的正相输入端与所述第二逻辑运算电路的输出端相连,所述预设运算结果作用于所述比较电路的反相输入端,当所述第二逻辑运算结果与预设运算结果的差值小于鉴权管理信息值时,所述比较电路输出确定所述鉴权网络参数通过网络认证的信号,否则,所述比较电路输出确定所述鉴权网络参数未通过网络认证的信号。
7.一种加密鉴权系统,其特征在于,包括:
用于接收来自网络侧的鉴权网络参数,以及将鉴权消息反馈至网络侧的处理器;
以及,与所述处理器相连的加密鉴权装置;
所述加密鉴权装置为权利要求4-6任一项所述装置;
与所述逻辑运算电路相连,用于将所述鉴权消息通过所述处理器发送至网络侧的发送端口。
8.根据权利要求7所述系统,其特征在于,所述处理器与所述加密鉴权电路相连包括:
所述处理器通过写信号线与所述加密鉴权装置内的K码存储器相连,所述处理器通过所述写信号线对所述K码存储器中的K码进行更新。
9.根据权利要求7所述系统,其特征在于,还包括:
通过写信号线与所述K码存储器相连的外设接口,所述外设接口上设置有供电引脚。
10.根据权利要求9所述系统,其特征在于,还包括:
与所述外设接口相连的外接设备,所述外接设备通过所述外设接口对所述K码存储器中的K码进行更新,所述外接设备通过所述供电引脚为所述加密鉴权装置供电。
11.一种基带芯片,其特征在于,包括权利要求7至10任一项所述系统。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210574414.6A CN103905192B (zh) | 2012-12-26 | 2012-12-26 | 一种加密鉴权方法、装置以及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210574414.6A CN103905192B (zh) | 2012-12-26 | 2012-12-26 | 一种加密鉴权方法、装置以及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103905192A true CN103905192A (zh) | 2014-07-02 |
| CN103905192B CN103905192B (zh) | 2018-10-12 |
Family
ID=50996349
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210574414.6A Active CN103905192B (zh) | 2012-12-26 | 2012-12-26 | 一种加密鉴权方法、装置以及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103905192B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106341419A (zh) * | 2016-10-17 | 2017-01-18 | 重庆邮电大学 | 一种调用外接加解密模块的方法及移动终端 |
| CN106982432A (zh) * | 2017-03-29 | 2017-07-25 | 中国联合网络通信集团有限公司 | 一种鉴权同步的方法及装置 |
| CN111277592A (zh) * | 2018-06-27 | 2020-06-12 | 贵州白山云科技股份有限公司 | 一种鉴权方法、装置、存储介质及计算机设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020012433A1 (en) * | 2000-03-31 | 2002-01-31 | Nokia Corporation | Authentication in a packet data network |
| CN1783777A (zh) * | 2004-12-02 | 2006-06-07 | 华为技术有限公司 | 固定通信安全、数据加密方法和系统及固定终端鉴权方法 |
| CN1848995A (zh) * | 2005-04-11 | 2006-10-18 | 华为技术有限公司 | 一种移动终端和网络设备之间的鉴权方法 |
| CN101330420A (zh) * | 2008-07-24 | 2008-12-24 | 中兴通讯股份有限公司 | 鉴权方法及装置、移动终端 |
| CN101938742A (zh) * | 2009-06-30 | 2011-01-05 | 华为技术有限公司 | 一种用户标识模块反克隆的方法、装置及系统 |
-
2012
- 2012-12-26 CN CN201210574414.6A patent/CN103905192B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020012433A1 (en) * | 2000-03-31 | 2002-01-31 | Nokia Corporation | Authentication in a packet data network |
| CN1783777A (zh) * | 2004-12-02 | 2006-06-07 | 华为技术有限公司 | 固定通信安全、数据加密方法和系统及固定终端鉴权方法 |
| CN1848995A (zh) * | 2005-04-11 | 2006-10-18 | 华为技术有限公司 | 一种移动终端和网络设备之间的鉴权方法 |
| CN101330420A (zh) * | 2008-07-24 | 2008-12-24 | 中兴通讯股份有限公司 | 鉴权方法及装置、移动终端 |
| CN101938742A (zh) * | 2009-06-30 | 2011-01-05 | 华为技术有限公司 | 一种用户标识模块反克隆的方法、装置及系统 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106341419A (zh) * | 2016-10-17 | 2017-01-18 | 重庆邮电大学 | 一种调用外接加解密模块的方法及移动终端 |
| CN106341419B (zh) * | 2016-10-17 | 2019-04-19 | 重庆邮电大学 | 一种调用外接加解密模块的方法及移动终端 |
| CN106982432A (zh) * | 2017-03-29 | 2017-07-25 | 中国联合网络通信集团有限公司 | 一种鉴权同步的方法及装置 |
| CN106982432B (zh) * | 2017-03-29 | 2019-06-14 | 中国联合网络通信集团有限公司 | 一种鉴权同步的方法及装置 |
| CN111277592A (zh) * | 2018-06-27 | 2020-06-12 | 贵州白山云科技股份有限公司 | 一种鉴权方法、装置、存储介质及计算机设备 |
| CN111277592B (zh) * | 2018-06-27 | 2022-06-10 | 贵州白山云科技股份有限公司 | 一种鉴权方法、装置、存储介质及计算机设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103905192B (zh) | 2018-10-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11153746B2 (en) | Method and terminal for keeping subscriber identity module card in standby state | |
| US9769660B2 (en) | Method for implementing SIM card function on terminal, terminal, and UICC | |
| JP2016127598A (ja) | 通信制御装置、認証装置、中央制御装置及び通信システム | |
| CN110351346A (zh) | 一种eSIM换卡方法及相关设备 | |
| CN103916844A (zh) | 客户识别模块卡开通方法及虚拟客户识别模块卡服务器 | |
| US8997214B2 (en) | Method and system for creating and accessing a secure storage area in a non-volatile memory card | |
| CN102867157B (zh) | 移动终端和数据保护方法 | |
| CN106792637B (zh) | 国际移动设备识别码写入方法、装置及移动终端 | |
| US9276748B2 (en) | Data-encrypting method and decrypting method for a mobile phone | |
| WO2019214345A1 (zh) | 网络连接方法、装置、计算机装置及计算机可读存储介质 | |
| CN105376059A (zh) | 基于电子钥匙进行应用签名的方法和系统 | |
| CN210627203U (zh) | 一种带有安全存储功能的uicc装置 | |
| CN105430738B (zh) | 一种发起注册的方法及装置 | |
| CN103905192A (zh) | 一种加密鉴权方法、装置以及系统 | |
| KR102114431B1 (ko) | 모바일 터미널의 내장 보안 요소에 서브스크립션을 로딩하는 방법 | |
| CN101841783A (zh) | 基于stk业务的短信安全通信方法和系统以及装置 | |
| CN102667806B (zh) | 芯片卡、电子系统以及由芯片卡和计算机程序产品执行的方法 | |
| CN104732166A (zh) | 一种数据存储、读取方法、装置及设备 | |
| CN111386513B (zh) | 数据处理的方法、装置和系统芯片 | |
| CN103841552A (zh) | 一种通过移动终端和读卡器进行空中写卡的方法及系统 | |
| JP6763096B1 (ja) | システム | |
| CN101841353B (zh) | 一种通过加密狗进行数据加密的方法及设备 | |
| CN103902921A (zh) | 文件加密方法及系统 | |
| CN108769989B (zh) | 一种无线网连接方法、无线接入装置和设备 | |
| Köse et al. | Design of a Secure Key Management System for SIM Cards: SIM-GAYS |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20170214 Address after: 401336 Chongqing Nan'an District Tea Garden Road, No. 8, software Incubation Park, building 1 Applicant after: Keen (Chongqing) Microelectronics Technology Co., Ltd. Address before: 400065 Chongqing Nan'an District huangjuezhen pass Fort Park No. 1 Applicant before: Chongqing City Communication & Technology Co., Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |