CN104796891B - 一种利用运营商网络实现安全认证系统及相应的方法 - Google Patents

Abstract

本发明提供一种利用运营商网络实现安全认证系统，包括SIM卡接口设备，移动终端，以及接入运营商核心网的后台服务器；所述SIM卡接口设备内设置有SE芯片和SIM卡槽，SIM卡设置于SIM卡槽内，所述SIM卡接口设备用于通过所述移动终端将所述SIM卡的鉴权信息转发至后台服务器；所述移动终端用于读取接口设备中的SIM卡信息，通过后台服务器注册到运营商核心网，以及通过IP通信网与后台服务器通信；所述后台服务器为移动终端建立标准Iuh或S1连接，传输信令；利用所接收的SIM卡的鉴权信息对移动终端进行安全认证。本发明无需人为参与且境外认证无需漫游费，认证成本低、过程简便且稳定性和安全性高。

Description

一种利用运营商网络实现安全认证系统及相应的方法

技术领域

本发明涉及移动通信技术领域，具体地说，涉及一种利用运营商网络实现安全认证系统及相应的方法。

背景技术

现今，随着社会的进步和科学技术的发展，手机等移动终端也已经越来越普及，随之而来的便是越来越多的移动App走进人们的生活，人们在App上进行注册、登录、安全支付或者忘记密码的时候都会要求进行安全认证，目前最普遍的安全认证方式是通过发送手机短信来进行认证。

然而现有的安全认证方式中，手机短信必须经过空口传输，短信内容加密简单、易被窃取，安全认证过程需要人为参与，用户在境外进行认证时会产生漫游费用，认证过程的稳定性和安全性无法得到保证。

发明内容

本发明的目的在于提供一种无需人为参与且境外认证无需漫游费，认证成本低、过程简便的利用运营商网络实现安全认证系统及相应的方法。

本发明的另一目的在于提供一种稳定性和安全性高的利用运营商网络实现安全认证系统及相应的方法。

为了实现上述目的，本发明提供了一种利用运营商网络实现安全认证系统，包括SIM卡接口设备，移动终端，以及接入运营商核心网的后台服务器；所述SIM卡接口设备内设置有SE芯片和SIM卡槽，SIM卡设置于SIM卡槽内，所述SIM卡接口设备用于通过所述移动终端将所述SIM卡的鉴权信息转发至后台服务器；所述移动终端用于读取接口设备中的SIM卡信息，通过后台服务器注册到运营商核心网，以及通过IP通信网与后台服务器通信；所述移动终端通过后台服务器接入运营商核心网，SIM卡协助移动终端完成接入运营商核心网的鉴权；

所述后台服务器为移动终端建立标准Iuh或S1连接，传输信令；用于保存移动终端和SIM信息，模拟移动终端的状态、信令，控制短信的传输过程；利用所接收的SIM卡的鉴权信息对移动终端进行安全认证。

其中，所述SIM卡接口设备为蓝牙盒子。

其中，所述移动终端包括：手机、平板电脑、台式电脑、笔记本电脑或者其相对应的App应用。

本发明还提供了一种利用运营商网络实现安全认证的方法，包括下列步骤：

1）所述移动终端通过SIM卡接口设备与SIM卡通信，移动终端通过后台服务器接入运营商核心网，所述SIM卡协助移动终端完成接入运营商核心网的鉴权过程；

2）所述移动终端读取SIM卡信息并向后台服务器注册，在后台服务器和移动终端之间建立IP数据通道，传输信令数据；

3）所述后台服务器接受注册，为SIM卡建立标准Iuh或S1连接，向运营商核心网传输注册信令，SIM卡完成在运营商核心网的注册；

4）所述后台服务器保存移动终端及SIM卡信息，模拟移动终端的状态、信令，控制短信的传输；

5）所述后台服务器利用SIM卡鉴权过程完成对移动终端的安全认证过程。

其中，所述步骤5）包括下列子步骤：

51) 所述后台服务器向所述移动终端发送需安全性认证的安全认证请求，

所述后台服务器触发SIM卡接口设备内的SIM卡向运营商核心网发起路由区更新请求；

52) 所述运营商核心网接收所述SIM卡的更新请求，向后台服务器发送SIM卡的鉴权请求，所述鉴权请求携带鉴权参数PARM；

53) 所述后台服务器收到鉴权参数PARM后，先用SIM卡设备中的SE芯片内置密钥对PARM进行加密生成PARM1，再用移动终端登录密码对PARM1进行加密生成PARM2，并将PARM2发送给移动终端；

54)所述移动终端收到PARM2后，用登录密码解密得到PARM1，并将PARM1通过蓝牙通道发送给SE芯片；

55) 所述SE芯片收到PARM1后，用内置密钥进行解密得到PARM，并将PARM发送给SIM进行鉴权计算；

56) 所述SE芯片将SIM卡计算的鉴权结果用密钥加密后送给移动终端，经过移动终端再次加密后送给后台服务器，所述后台服务器进行相应的解密，并将解密后的鉴权结果送给运营商核心网；

57)所述运营商核心网判断鉴权结果是否正确，如果正确会向后台服务器发送路由区更新成功消息，如果失败则向后台服务器发送路由区更新失败消息；

58)所述后台服务器收到鉴权成功消息，则认为本次安全认证过程成功，否则认为该安全认证过程失败，同时告知移动终端本次认证的结果；

59）所述移动终端根据安全认证结果来响应用户的操作。

其中，所述步骤51)中的安全认证方案还可以替换为利用对SIM卡的登录号码寻呼信令的过程完成认证，

其中，所述鉴权参数PARM和鉴权结果可采用不加密、一次加密或多重加密的方式。

其中，所述SIM卡接口设备丢失时，可进行挂失并更换新的SIM卡接口设备。

其中，所述安全认证场景包括：移动终端的注册、登录、忘记密码和安全支付。

相对于现有技术，本发明具有以下有益效果：

1. 安全认证过程实现IP化，解决了在WIFI场景下，当无线信号差、网络覆盖不好以及基站故障的情况下，无法进行短信认证的问题，提高了稳定性；

2. 在认证过程中进行多重加密，提高了认证过程的安全性；

3.在境外进行认证时，无需漫游费用，节约了认证成本。

附图说明

图1为本发明一个实施方式中的一种利用运营商网络实现安全认证系统的结构示意图。

图2为本发明一个实施方式中的一种利用运营商网络实现安全认证系统的安全认证过程示意图。

图3为本发明一个实施方式中的一种利用运营商网络实现安全认证系统的Iuh接口协议栈架构图。

图4为本发明一个实施方式中的一种利用运营商网络实现安全认证系统的S1接口协议栈架构图。

具体实施方式

下面参考附图来说明本发明的实施例。在本发明的一个附图或一种实施方式中描述的元素和特征可以与一个或更多个其他附图或实施方式中示出的元素和特征相结合。应当注意，为了清楚的目的，附图和说明中省略了与本发明无关的、本领域普通技术人员已知的部件或处理的表示和描述。

下面结合附图对本发明做进一步描述。

图1示出了本实施例中的利用运营商网络实现安全认证系统，包括SIM卡接口设备（图1中显示为蓝牙盒子），移动终端（图1中显示为手机及App应用），以及接入运营商核心网（CN）的后台服务器；所述SIM卡接口设备内设置有SE芯片(Security Element，也叫安全模块芯片，具有运算功能，负责对鉴权参数的解密以及对鉴权结果的加密运算)和SIM卡槽，SIM卡设置于SIM卡槽内，移动终端（如手机App）读取SIM卡接口设备（如蓝牙盒子）中的SIM卡信息，经过后台服务器注册到运营商核心网，利用运营商网络对SIM卡鉴权等信令过程完成手机应用APP的安全认证。所述移动终端包括：手机、平板电脑、台式电脑、笔记本电脑或者其相对应的App应用。所述SIM卡接口设备用于通过所述移动终端将所述SIM卡的鉴权信息转发至后台服务器；所述移动终端用于读取接口设备中的SIM卡信息，通过后台服务器注册到运营商核心网，以及通过IP通信网与后台服务器通信；所述移动终端通过后台服务器接入运营商核心网，SIM卡协助移动终端完成接入运营商核心网的鉴权；所述后台服务器为移动终端建立标准Iuh或S1连接，传输信令；用于保存移动终端和SIM信息，模拟移动终端的状态、信令，控制短信的传输过程；利用所接收的SIM卡的鉴权信息对移动终端进行安全认证。

基于上述利用运营商网络实现安全认证系统，本发明还提供了一种利用运营商网络实现安全认证的方法，包括下列步骤：

1）所述移动终端（App）通过SIM卡接口设备（蓝牙盒子）与SIM卡通信，移动终端通过后台服务器接入运营商核心网（CN），所述SIM卡协助移动终端完成接入运营商核心网的鉴权过程；

11）App登陆CN：App通过蓝牙盒子，读取SIM卡的IMSI信息，通过后台服务器发起到CN的注册请求，后台服务器模拟移动通信Iuh/S1口信令消息，向CN发起注册请求；注册过程中，CN会要求App进行鉴权，App通过访问SIM卡，实现鉴权，并把鉴权结果经过后台服务器反馈给CN，CN检查鉴权结果是否正确，如果正确则允许App接入CN，SIM卡信息在CN完成注册。

2）所述移动终端读取SIM卡信息并向后台服务器注册，在后台服务器和移动终端之间建立IP数据通道，传输信令数据；

21）在3G/LTE/WIFI环境下，App预登录后台服务器，并与后台服务器创建一条IP通路，此时APP登录账号未进行安全认证，仅有部分使用权限。

3）所述后台服务器接受注册，为SIM卡建立标准Iuh或S1连接，向运营商核心网传输注册信令，SIM卡完成在运营商核心网的注册；

后台服务器包含了标准Iuh口协议栈、S1口协议栈，还包括NAS模块，信令交互为移动通信标准接口消息。后台服务器与CN通信接口包含但不局限于Iuh/S1接口。

4）所述后台服务器保存移动终端及SIM卡信息，模拟移动终端的状态、信令，控制短信的传输；

以普通手机为例，在标准CN的注册过程，短信过程，体现在Iuh/S1口，是标准的信令交互过程；后台服务器支持这些信令消息，可以与CN进行标准的信令交互。

5）所述后台服务器利用SIM卡鉴权过程完成对移动终端的安全认证过程。

51) 所述后台服务器向所述移动终端发送需安全性认证的安全认证请求，

所述后台服务器触发SIM卡接口设备内的SIM卡向运营商核心网发起路由区更新（LAU）请求；

52) 所述运营商核心网接收所述SIM卡的更新请求，向后台服务器发送SIM卡的鉴权请求，所述鉴权请求携带鉴权参数PARM(Parameters的缩写，是核心网发起鉴权请求时，携带的鉴权参数)；

53) 所述后台服务器收到鉴权参数PARM后，先用SIM卡设备中的SE芯片内置密钥对PARM进行加密生成PARM1，再用移动终端登录密码对PARM1进行加密生成PARM2，并将PARM2发送给移动终端；

54)所述移动终端收到PARM2后，用登录密码解密得到PARM1，并将PARM1通过蓝牙通道发送给SE芯片；

55) 所述SE芯片收到PARM1后，用内置密钥进行解密得到PARM，并将PARM发送给SIM进行鉴权计算；

56) 所述SE芯片将SIM卡计算的鉴权结果用密钥加密后送给移动终端，经过移动终端再次加密后送给后台服务器，所述后台服务器进行相应的解密，并将解密后的鉴权结果送给运营商核心网；

57)所述运营商核心网判断鉴权结果是否正确，如果正确会向后台服务器发送路由区更新成功消息，如果失败则向后台服务器发送路由区更新失败消息；

58)所述后台服务器收到鉴权成功消息，则认为本次安全认证过程成功，否则认为该安全认证过程失败，同时告知移动终端本次认证的结果；

59）所述移动终端根据安全认证结果来响应用户的操作。

在一个实施例中，所述安全认证方案还可以利用对登录号码寻呼的信令过程完成认证，当需要安全认证时，CN发起对SIM卡在App上的登录号码或信息的寻呼信令，通过后台服务器转送给App,App通过蓝牙盒子反馈的鉴权信息完成认证。

在一个实施例中，所述鉴权参数PARM和鉴权结果可采用不加密、一次加密或多重加密的方式。

在一个实施例中，当用户不小心将SIM卡接口设备丢失时，可以进行挂失并更换新的SIM卡接口设备。

在一个实施例中，所述安全认证场景包括：移动终端的注册、登录、忘记密码和安全支付。

需要说明的是，本发明在实施前，需要有下列的前提条件：

1、需要用户手机及定制的 App应用软件；

2、App能与SIM卡取得通信（通过蓝牙盒子但不局限于蓝牙盒子等设备）；

3、App能通过3G/LTE/WiFi等方式，接入IP通信网；

4、App连接后台服务器，接入运营商核心网；

5、后台服务器存储注册账户与SE芯片的序列号记录。

虽然已经详细说明了本发明及其优点，但是应当理解在不超出由所附的权利要求所限定的本发明的精神和范围的情况下可以进行各种改变、替代和变换。而且，本申请的范围不仅限于说明书所描述的过程、设备、手段、方法和步骤的具体实施例。本领域内的普通技术人员从本发明的公开内容将容易理解，根据本发明可以使用执行与在此所述的相应实施例基本相同的功能或者获得与其基本相同的结果的、现有和将来要被开发的过程、设备、手段、方法或者步骤。因此，所附的权利要求旨在在它们的范围内包括这样的过程、设备、手段、方法或者步骤。

Claims (8)

1.一种利用运营商网络实现安全认证系统，其特征在于，包括SIM卡接口设备，移动终端，以及接入运营商核心网的后台服务器；

所述SIM卡接口设备内设置有SE芯片和SIM卡槽，SIM卡设置于SIM卡槽内，所述SIM卡接口设备用于通过所述移动终端将所述SIM卡的鉴权信息转发至后台服务器；

所述移动终端用于读取接口设备中的SIM卡信息，通过后台服务器注册到运营商核心网，以及通过IP通信网与后台服务器通信；

所述移动终端通过后台服务器接入运营商核心网，SIM卡协助移动终端完成接入运营商核心网的鉴权；所述后台服务器为移动终端建立标准Iuh或S1连接，传输信令；用于保存移动终端和SIM信息，模拟移动终端的状态、信令，控制短信的传输过程；利用所接收的SIM卡的鉴权信息对移动终端进行安全认证；

所述后台服务器利用所接收的SIM卡的鉴权信息对移动终端进行安全认证具体包括如下过程：

51)所述后台服务器向所述移动终端发送需安全性认证的安全认证请求，所述后台服务器触发SIM卡接口设备内的SIM卡向运营商核心网发起路由区更新请求；

52)所述运营商核心网接收所述SIM卡的更新请求，向后台服务器发送SIM卡的鉴权请求，所述鉴权请求携带鉴权参数PARM；

53)所述后台服务器收到鉴权参数PARM后，先用SIM卡设备中的SE芯片内置密钥对PARM进行加密生成PARM1，再用移动终端登录密码对PARM1进行加密生成PARM2，并将PARM2发送给移动终端；

54)所述移动终端收到PARM2后，用登录密码解密得到PARM1，并将PARM1发送给SE芯片；

55)所述SE芯片收到PARM1后，用内置密钥进行解密得到PARM，并将PARM发送给SIM进行鉴权计算；

56)所述SE芯片将SIM卡计算的鉴权结果用密钥加密后送给移动终端，经过移动终端再次加密后送给后台服务器，所述后台服务器进行相应的解密，并将解密后的鉴权结果送给运营商核心网；

57)所述运营商核心网判断鉴权结果是否正确，如果正确会向后台服务器发送路由区更新成功消息，如果失败则向后台服务器发送路由区更新失败消息

58)所述后台服务器收到鉴权成功消息，则认为本次安全认证过程成功，否则认为该安全认证过程失败，同时告知移动终端本次认证的结果；

59)所述移动终端根据安全认证结果来响应用户的操作。

2.根据权利要求1所述的利用运营商网络实现安全认证系统，其特征在于，所述SIM卡接口设备为蓝牙盒子。

3.根据权利要求1所述的利用运营商网络实现安全认证系统，其特征在于，所述移动终端包括：手机、平板电脑、台式电脑、笔记本电脑或者其相对应的App应用。

4.一种基于权利要求1至3任一项所述的利用运营商网络实现安全认证系统的利用运营商网络实现安全认证的方法，其特征在于，包括下列步骤：

1)所述移动终端通过SIM卡接口设备与SIM卡通信，移动终端通过后台服务器接入运营商核心网，所述SIM卡协助移动终端完成接入运营商核心网的鉴权过程；

2)所述移动终端读取SIM卡信息并向后台服务器注册，在后台服务器和移动终端之间建立IP数据通道，传输信令数据；

3)所述后台服务器接受注册，为SIM卡建立标准Iuh或S1连接，向运营商核心网传输注册信令，SIM卡完成在运营商核心网的注册；

4)所述后台服务器保存移动终端及SIM卡信息，模拟移动终端的状态、信令，控制短信的传输；

5)所述后台服务器利用SIM卡鉴权过程完成对移动终端的安全认证过程；

所述步骤5)包括下列子步骤：

51)所述后台服务器向所述移动终端发送需安全性认证的安全认证请求，所述后台服务器触发SIM卡接口设备内的SIM卡向运营商核心网发起路由区更新请求；

52)所述运营商核心网接收所述SIM卡的更新请求，向后台服务器发送SIM卡的鉴权请求，所述鉴权请求携带鉴权参数PARM；

53)所述后台服务器收到鉴权参数PARM后，先用SIM卡设备中的SE芯片内置密钥对PARM进行加密生成PARM1，再用移动终端登录密码对PARM1进行加密生成PARM2，并将PARM2发送给移动终端；

54)所述移动终端收到PARM2后，用登录密码解密得到PARM1，并将PARM1发送给SE芯片；

55)所述SE芯片收到PARM1后，用内置密钥进行解密得到PARM，并将PARM发送给SIM进行鉴权计算；

56)所述SE芯片将SIM卡计算的鉴权结果用密钥加密后送给移动终端，经过移动终端再次加密后送给后台服务器，所述后台服务器进行相应的解密，并将解密后的鉴权结果送给运营商核心网；

57)所述运营商核心网判断鉴权结果是否正确，如果正确会向后台服务器发送路由区更新成功消息，如果失败则向后台服务器发送路由区更新失败消息；

58)所述后台服务器收到鉴权成功消息，则认为本次安全认证过程成功，否则认为该安全认证过程失败，同时告知移动终端本次认证的结果；

59)所述移动终端根据安全认证结果来响应用户的操作。

5.根据权利要求4所述的利用运营商网络实现安全认证的方法，其特征在于，所述步骤51)中的安全认证方案还可以替换为利用对SIM卡的登录号码寻呼信令的过程完成认证。

6.根据权利要求4所述的利用运营商网络实现安全认证的方法，其特征在于，所述鉴权参数PARM和鉴权结果可采用不加密、一次加密或多重加密的方式。

7.根据权利要求4所述的利用运营商网络实现安全认证的方法，其特征在于，所述SIM卡接口设备丢失时，可进行挂失并更换新的SIM卡接口设备。

8.根据权利要求4所述的利用运营商网络实现安全认证的方法，其特征在于，所述安全认证场景包括：移动终端的注册、登录、忘记密码和安全支付。