CN106658474B - 利用嵌入式安全元件实现sim卡数据安全防护方法 - Google Patents

利用嵌入式安全元件实现sim卡数据安全防护方法 Download PDF

Info

Publication number
CN106658474B
CN106658474B CN201610966020.3A CN201610966020A CN106658474B CN 106658474 B CN106658474 B CN 106658474B CN 201610966020 A CN201610966020 A CN 201610966020A CN 106658474 B CN106658474 B CN 106658474B
Authority
CN
China
Prior art keywords
sim
security
sim card
key
embedded
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610966020.3A
Other languages
English (en)
Other versions
CN106658474A (zh
Inventor
李勋宏
施成斌
闫楠
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Youka Network Technology Co.,Ltd.
Original Assignee
Shanghai Road Communication Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Road Communication Technology Co Ltd filed Critical Shanghai Road Communication Technology Co Ltd
Priority to CN201610966020.3A priority Critical patent/CN106658474B/zh
Publication of CN106658474A publication Critical patent/CN106658474A/zh
Application granted granted Critical
Publication of CN106658474B publication Critical patent/CN106658474B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/22Processing or transfer of terminal data, e.g. status or physical capabilities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephone Function (AREA)

Abstract

本发明提供了一种利用嵌入式安全元件实现SIM卡数据安全防护方法,采用嵌入式安全元件将SIM应用分为安全相关部分和非安全相关部分实现虚拟化SIM卡;调制解调器根据应用处理器的指令使用所述虚拟化SIM卡通过空中接口与网络侧交互;将原本发往物理SIM卡的指令发送给应用处理器;由应用处理器根据指令的安全属性分别进行安全防护处理和非安全防护处理。本发明采用嵌入式安全元件(eSE)作为安全功能的存储和计算实体,在实现SIM卡数据的安全防护的同时,利用应用处理器软件处理非安全相关部分的功能,使性能和灵活性得到较大提高。

Description

利用嵌入式安全元件实现SIM卡数据安全防护方法
技术领域
本发明涉及移动通信终端和物联网通信终端技术领域,具体涉及一种利用嵌入式安全元件实现SIM卡数据安全防护方法。
背景技术
SIM卡(Subscriber Identification Module客户识别模块)也称为用户身份识别卡、智能卡,移动通信终端和物联网通信终端必须装上此卡方能使用。SIM芯片上存储了用户标识、加密密钥、电话簿等内容,可供网络对客户身份进行鉴别,并对通信过程进行加密。如图1所示,物理SIM卡是一个独立的安全实体,物理SIM卡的缺点是占用物理空间,更换流程复杂。
目前市场上除了上述物理SIM卡外,还出现了一种为国际漫游场景设计的软SIM卡。如图2所示,软SIM卡是通过软件实现的虚拟化SIM卡,它将原本设置在硬SIM的信息全部存储在一个软SIM卡文件中,软SIM卡的缺点是安全性较差。
发明内容
本发明的目的在于提供一种新的性能和灵活性得到较大提高的SIM卡数据安全防护方法,用以解决虚拟化SIM卡安全性较差的问题。
为实现上述目的,本发明提供了利用嵌入式安全元件实现SIM卡数据安全防护方法,包括:采用嵌入式安全元件将SIM应用分为安全相关部分和非安全相关部分实现虚拟化SIM卡;调制解调器根据应用处理器的指令使用所述虚拟化SIM卡通过空中接口与网络侧交互;将原本发往物理SIM卡的指令发送给应用处理器;由应用处理器根据指令的安全属性分别进行安全防护处理和非安全防护处理。
本发明公开的上述利用嵌入式安全元件实现SIM卡数据安全防护方法,进一步地,安全防护处理包括:安全数据个人化处理和安全数据使用处理。
本发明公开的上述利用嵌入式安全元件实现SIM卡数据安全防护方法,进一步地,安全数据个人化处理包括:用户开通适用SIM卡数据安全防护的业务功能;eSE可信业务管理平台通过安全客户端应用程序在嵌入式安全元件上创建与主安全域相关联的SIM安全域并产生随机的SIM安全域密钥;在嵌入式安全元件上使用SIM可信业务管理平台的公钥对SIM安全域密钥进行加密;将经SIM可信业务管理平台的公钥加密的SIM安全域密钥返回至eSE可信业务管理平台;eSE可信业务管理平台将经SIM可信业务管理平台的公钥加密的SIM安全域密钥发送给SIM可信业务管理平台;SIM可信业务管理平台建立与嵌入式安全元件上的SIM安全域的安全通道,在SIM可信业务管理平台上更新SIM安全域密钥并设置SIM卡保护密钥;SIM可信业务管理平台利用安全通道将SIM卡保护密钥发送至SIM安全域;利用SIM卡保护密钥对SIM卡安全数据进行加密保护。
本发明公开的上述利用嵌入式安全元件实现SIM卡数据安全防护方法,进一步地,eSE可信业务管理平台创建SIM安全域后在SIM安全域安装安全相关部分的SIM应用并存储SIM卡安全数据,SIM卡安全数据包括用户身份标识数据、通信密钥数据和接入网络列表。
本发明公开的上述利用嵌入式安全元件实现SIM卡数据安全防护方法,进一步地,利用SIM卡保护密钥对SIM卡安全数据进行加密保护包括:安全客户端应用程序向安全相关部分的SIM应用发送传输密钥生成请求;安全相关部分的SIM应用产生临时传输密钥对,在SIM安全域内部保存传输密钥对的RSA私钥,并将传输密钥对的RSA公钥经SIM卡保护密钥进行签名保护的结果返回给安全客户端应用程序;安全客户端应用程序向SIM可信业务管理平台发送SIM卡安全数据申请;SIM可信业务管理平台对RSA公钥经SIM卡保护密钥进行签名保护的结果校验;校验通过后将SIM卡安全数据通过SIM卡保护密钥和RSA公钥进行双重加密后经安全客户端应用程序转发给安全相关部分的SIM应用;安全相关部分的SIM应用使用RSA私钥对双重加密的SIM卡安全数据解密后保存经SIM卡保护密钥加密的SIM卡安全数据。
本发明公开的上述利用嵌入式安全元件实现SIM卡数据安全防护方法,进一步地,安全数据使用处理包括:调制解调器在登录网络;移动通信网络侧通过识别请求指令获取用户身份标识;移动通信网络侧下发鉴权请求指令及鉴权元组;安全相关部分的SIM应用根据网络侧给出的鉴权二元组(RAND,AUTN),使用SIM卡保护密钥解密经加密的SIM卡安全数据后获取通信密钥;安全相关部分的SIM应用对鉴权二元组进行校验鉴权;网络侧在验证终端侧的RES与网络侧的XRES一致后,允许用户登网。
本发明公开的上述利用嵌入式安全元件实现SIM卡数据安全防护方法,进一步地,移动通信网络侧通过识别请求指令获取用户身份标识包括:调制解调器将识别请求指令发送给应用处理器;由应用处理器通过NFC控制器将识别请求指令发送给嵌入式安全元件的SIM安全域;嵌入式安全元件的SIM安全域使用SIM卡保护密钥解密经加密的SIM卡安全数据;获取用户身份标识;通过应用处理器和调制解调器将用户身份标识返回给网络侧。
本发明公开的上述利用嵌入式安全元件实现SIM卡数据安全防护方法,进一步地,移动通信网络侧下发鉴权请求指令及鉴权元组包括:移动通信网络侧根据获得的用户身份标识,通过AuC的3GPP Milenge算法计算出鉴权五元组(RAND,AUTN,XRES,CK,IK);网络侧从所述鉴权五元组(RAND,AUTN,XRES,CK,IK)给出鉴权二元组(RAND,AUTN);网络侧将鉴权二元组(RAND,AUTN)插入至鉴权请求指令并下发;调制解调器将插入有鉴权二元组(RAND,AUTN)的鉴权请求指令发送给应用处理器中的非安全相关部分的SIM应用;通过NFC控制器将插入有鉴权二元组(RAND,AUTN)的鉴权请求指令发送给嵌入式安全元件的安全相关部分。
本发明公开的上述利用嵌入式安全元件实现SIM卡数据安全防护方法,进一步地,安全相关部分的SIM应用对鉴权二元组进行校验鉴权包括:安全相关部分对网络侧的AUTN进行校验;校验通过后使用3GPP Milenge算法计算鉴权结果RES;返回鉴权结果RES给非安全相关部分的SIM应用;非安全相关部分的SIM应用将从终端侧返回的鉴权结果值RES通过应用处理器和调制解调器转发给网络侧。
本发明公开的上述利用嵌入式安全元件实现SIM卡数据安全防护方法,进一步地,应用处理器进行所述非安全防护处理包括:对于非安全相关指令,调制解调器将非安全相关的指令发送给应用处理器,应用处理器在非安全相关部分实现所述非安全相关指令对应的功能,其中,非安全相关指令包括读取SIM卡号ICCID指令、读取短信中心号码指令、位置区更新指令、读取电话簿指令和读取短消息存储指令,位置区更新指令的执行包括对临时移动用户识别符、位置区信息、位置更新状态的操作。
本发明具有如下优点:
本发明采用嵌入式安全元件作为SIM卡资源的保护机制,将SIM卡功能分为安全相关和非安全相关功能,安全相关功能包括用户身份、密钥存储和鉴权、接入网络列表,非安全相关功能包括位置区更新、电话簿等功能,采用嵌入式安全元件(eSE)作为安全功能的存储和计算实体,在实现SIM卡数据的安全防护的同时,利用应用处理器软件处理非安全相关部分的功能,使性能和灵活性得到较大提高。
附图说明
图1是现有技术中移动终端物理SIM卡实现方法的示意图。
图2是现有技术中移动终端软SIM卡实现方法的示意图。
图3是本发明公开的利用嵌入式安全元件实现SIM卡数据安全防护方法的示意图。
图4是本发明公开的利用嵌入式安全元件实现SIM卡数据安全防护方法的流程框图。
图5是本发明公开的安全防护处理的流程框图。
图6是本发明公开的安全数据个人化处理的流程框图。
图7是本发明公开的利用SIM卡保护密钥对SIM卡安全数据进行加密保护的流程框图。
图8是本发明公开的安全数据个人化处理中的有关密钥传送的示意图。
图9是本发明公开的安全数据使用处理的流程框图。
图10是本发明公开的移动通信网络侧通过识别请求指令获取用户身份标识的流程框图。
图11是本发明中公开的移动通信网络侧下发鉴权请求指令及鉴权元组的流程框图。
图12是本发明公开的安全相关部分的SIM应用对鉴权二元组进行校验鉴权的流程框图。
图13是本发明公开的安全数据使用处理中鉴权元组传送的示意图。
图14是本发明公开的鉴权过程中使用的3GPP Milenge算法的示意图。
具体实施方式
以下实施例用于说明本发明,但不用来限制本发明的范围。
实施例1
参考图3和图4,本实施例中的一种利用嵌入式安全元件(Embedded SecureElement,eSE)实现SIM卡数据安全防护方法包括:采用嵌入式安全元件(eSE)将SIM应用分为安全相关部分和非安全相关部分实现虚拟化SIM卡;调制解调器(Modem)根据应用处理器(AP)的指令使用所述虚拟化SIM卡通过空中接口与网络侧交互;将原本发往物理SIM卡的指令发送给应用处理器(AP);由应用处理器(AP)根据指令的安全属性分别进行安全防护处理和非安全防护处理。
参考图5,进一步地,安全防护处理包括:安全数据个人化处理和安全数据使用处理。
参考图6和图8,安全数据个人化处理包括:用户开通适用SIM卡数据安全防护的业务功能;eSE可信业务管理平台(SEI TSM)通过安全客户端应用程序在嵌入式安全元件(eSE)上创建与主安全域相关联的SIM安全域并产生随机的SIM安全域密钥(SSD),其中,SIM安全域又可称为辅助安全域,SIM安全域密钥(SSD)也可称为辅助安全域(SSD),另外,主安全域也有主安全域密钥(ISD),主安全域密钥(ISD)也存在于eSE可信业务管理平台(SEITSM),进一步地,eSE可信业务管理平台(SEI TSM)创建SIM安全域后在SIM安全域安装安全相关部分的SIM应用并存储SIM卡安全数据,SIM卡安全数据包括用户身份标识数据、通信密钥数据和接入网络列表;在嵌入式安全元件(eSE)上使用SIM可信业务管理平台(SIM TSM)的公钥对SIM安全域密钥(SSD)进行加密,形成eSE_SSD_KEY,其生成公式如下公式一所述:eSE_SSD_KEY=rsa_encrpt(SIM TSM public key,RGK)公式一,其中RGK为随机生成密钥;将经SIM可信业务管理平台(SIM TSM)的公钥加密的SIM安全域密钥(eSE_SSD_KEY)返回至eSE可信业务管理平台(SEI TSM);eSE可信业务管理平台(SEI TSM)将经SIM可信业务管理平台(SIM TSM)的公钥加密的SIM安全域密钥(eSE_SSD_KEY)发送给SIM可信业务管理平台(SIM TSM);SIM可信业务管理平台(SIM TSM)建立与嵌入式安全元件(eSE)上的SIM安全域的安全通道,在SIM可信业务管理平台(SIM TSM)上更新SIM安全域密钥(SSD)并设置SIM卡保护密钥(eSE_OTA_KEY);SIM可信业务管理平台(SIM TSM)利用安全通道将SIM卡保护密钥(eSE_OTA_KEY)发送至SIM安全域;利用SIM卡保护密钥(eSE_OTA_KEY)对SIM卡安全数据进行加密保护。
参考图7和图8,以上描述中,利用SIM卡保护密钥(eSE_OTA_KEY)对SIM卡安全数据进行加密保护包括:安全客户端应用程序向安全相关部分的SIM应用发送传输密钥生成请求;安全相关部分的SIM应用产生临时传输密钥对(Transmission_RSA_Private,Transmission_RSA_Public),在SIM安全域内部保存传输密钥对的RSA私钥(Transmission_RSA_Private),并将传输密钥对的RSA公钥(Transmission_RSA_Public)经SIM卡保护密钥(eSE_OTA_KEY)进行签名保护的结果(Transmission_RSA_Public_Signature)返回给安全客户端应用程序;安全客户端应用程序向SIM可信业务管理平台(SIM TSM)发送SIM卡安全数据申请;SIM可信业务管理平台(SIM TSM)对RSA公钥(Transmission_RSA_Public)经SIM卡保护密钥(eSE_OTA_KEY)进行签名保护的结果(Transmission_RSA_Public_Signature)校验;校验通过后将SIM卡安全数据先通过SIM卡保护密钥(eSE_OTA_KEY)加密,再使用RSA公钥(Transmission_RSA_Public)进行加密后形成Encrypt_SIM_DATA,上述双重加密的过程如下公式二和公式三所示:Transmission_RSA_Public_Signature=SHA-256(Transmission_RSA_Public,eSE_OTA_KEY)公式二,Encrypt_SIM_DATA=RSA(Transmission_RSA_Public,3DES(eSE_OTA_KEY,plainData))公式三,然后,经安全客户端应用程序转发给安全相关部分的SIM应用;安全相关部分的SIM应用使用RSA私钥(Transmission_RSA_Private)对双重加密的SIM卡安全数据解密后保存经SIM卡保护密钥(eSE_OTA_KEY)加密的SIM卡安全数据。
参考图9和图13,安全数据使用处理包括:调制解调器(Modem)在登录网络;移动通信网络侧通过识别请求(Identity Request)指令获取用户身份标识;移动通信网络侧下发鉴权请求(Authentication Request)指令及鉴权元组;安全相关部分的SIM应用根据网络侧给出的鉴权二元组(RAND,AUTN),使用SIM卡保护密钥(eSE_OTA_KEY)解密经加密的SIM卡安全数据后获取通信密钥;安全相关部分的SIM应用对鉴权二元组进行校验鉴权;网络侧在验证终端侧的RES与网络侧的XRES一致后,允许用户登网。
参考图10和图13,上述描述中,移动通信网络侧通过识别请求(IdentityRequest)指令获取用户身份标识包括:调制解调器(Modem)将识别请求(IdentityRequest)指令发送给应用处理器(AP);由应用处理器(AP)通过NFC控制器将识别请求(Identity Request)指令发送给嵌入式安全元件(eSE)的SIM安全域;嵌入式安全元件(eSE)的SIM安全域使用SIM卡保护密钥(eSE_OTA_KEY)解密经加密的SIM卡安全数据;获取用户身份标识;通过应用处理器(AP)和调制解调器(Modem)将用户身份标识返回给网络侧。
参考图11和图13,上述描述中,移动通信网络侧下发鉴权请求(AuthenticationRequest)指令及鉴权元组包括:移动通信网络侧根据获得的用户身份标识,通过AuC(鉴权中心,属于移动通信网络中用户位置寄存器(HLR/HSS)的一个功能单元部分,专门用于移动通信系统的用户安全性管理,保存用户密钥,并提供专用算法对用户进行鉴权)的3GPPMilenge算法计算出鉴权五元组(RAND,AUTN,XRES,CK,IK);网络侧从所述鉴权五元组(RAND,AUTN,XRES,CK,IK)给出鉴权二元组(RAND,AUTN);网络侧将鉴权二元组(RAND,AUTN)插入至鉴权请求(Authentication Request)指令并下发;调制解调器(Modem)将插入有鉴权二元组(RAND,AUTN)的鉴权请求(Authentication Request)指令发送给应用处理器(AP)中的非安全相关部分的SIM应用;通过NFC控制器将插入有鉴权二元组(RAND,AUTN)的鉴权请求(Authentication Request)指令发送给嵌入式安全元件(eSE)的安全相关部分。
参考图12和图13,安全相关部分的SIM应用对鉴权二元组进行校验鉴权包括:安全相关部分对网络侧的AUTN进行校验;校验通过后使用3GPP Milenge算法计算鉴权结果RES;返回鉴权结果RES给非安全相关部分的SIM应用;非安全相关部分的SIM应用将从终端侧返回的鉴权结果值RES通过应用处理器(AP)和调制解调器(Modem)转发给网络侧,上述描述中的3GPP Milenge算法如图7所示。
另外,应用处理器(AP)进行所述非安全防护处理包括:对于非安全相关指令,调制解调器(Modem)将非安全相关的指令发送给应用处理器(AP),应用处理器(AP)在非安全相关部分实现所述非安全相关指令对应的功能,其中,非安全相关指令包括读取SIM卡号ICCID指令、读取短信中心号码指令、位置区更新指令、读取电话簿指令和读取短消息存储指令,位置区更新指令的执行包括对临时移动用户识别符、位置区信息、位置更新状态的操作。
如上所述,为解决物理SIM的缺点,为了节省物理空间、减少更换SIM卡的繁杂流程,本实施例使用嵌入式安全元件(eSE)来存储SIM卡密钥,并根据3GPP规范进行密钥的验证与计算。嵌入式安全元件(eSE)与近距离无线通讯(NFC)控制器芯片配合,eSE具备完善的信息安全体系和防止攻击的技术手段。
虽然,上文中已经用一般性说明及具体实施例对本发明作了详尽的描述,但在本发明基础上,可以对之作一些修改或改进,这对本领域技术人员而言是显而易见的。因此,在不偏离本发明精神的基础上所做的这些修改或改进,均属于本发明要求保护的范围。

Claims (7)

1.利用嵌入式安全元件实现SIM卡数据安全防护方法,其特征在于:所述方法包括:
采用嵌入式安全元件将SIM应用分为安全相关部分和非安全相关部分,实现虚拟化SIM卡;
调制解调器根据应用处理器的指令使用所述虚拟化SIM卡通过空中接口与网络侧交互;
调制解调器将原本发往物理SIM卡的指令发送给应用处理器;
由应用处理器根据发送给应用处理器的指令的安全属性分别进行安全防护处理和非安全防护处理;
其中,所述安全防护处理包括:安全数据个人化处理和安全数据使用处理;
所述安全数据个人化处理包括:用户开通适用SIM卡数据安全防护的业务功能;嵌入式安全元件可信业务管理平台通过安全客户端应用程序在嵌入式安全元件上创建与主安全域相关联的SIM安全域并产生随机的SIM安全域密钥;在嵌入式安全元件上使用SIM可信业务管理平台的公钥对SIM安全域密钥进行加密;将经SIM可信业务管理平台的公钥加密的SIM安全域密钥返回至嵌入式安全元件可信业务管理平台;嵌入式安全元件可信业务管理平台将经SIM可信业务管理平台的公钥加密的SIM安全域密钥发送给SIM可信业务管理平台;SIM可信业务管理平台建立与嵌入式安全元件上的SIM安全域的安全通道,在SIM可信业务管理平台上更新SIM安全域密钥并设置SIM卡保护密钥;SIM可信业务管理平台利用安全通道将SIM卡保护密钥发送至SIM安全域;利用SIM卡保护密钥对SIM卡安全数据进行加密保护;
所述安全数据使用处理包括:调制解调器登录网络;移动通信网络侧通过识别请求指令获取用户身份标识;移动通信网络侧下发鉴权请求指令及鉴权元组;安全相关部分的SIM应用根据网络侧给出的鉴权二元组(RAND,AUTN),使用SIM卡保护密钥解密经加密的SIM卡安全数据后获取通信密钥;安全相关部分的SIM应用对鉴权二元组进行校验鉴权;网络侧在验证终端侧的RES与网络侧的XRES一致后,允许用户登网。
2.根据权利要求1所述利用嵌入式安全元件实现SIM卡数据安全防护方法,其特征在于:所述嵌入式安全元件可信业务管理平台创建所述SIM安全域后在所述SIM安全域安装安全相关部分的SIM应用并存储SIM卡安全数据,所述SIM卡安全数据包括用户身份标识、SIM卡通信密钥和接入网络列表。
3.根据权利要求1所述利用嵌入式安全元件实现SIM卡数据安全防护方法,其特征在于:所述利用SIM卡保护密钥对SIM卡安全数据进行加密保护包括:
安全客户端应用程序向安全相关部分的SIM应用发送SIM卡传输密钥生成请求;
安全相关部分的SIM应用产生临时传输密钥对,在SIM安全域内部保存传输密钥对的RSA私钥,并将传输密钥对的RSA公钥经SIM卡保护密钥进行签名保护的结果返回给安全客户端应用程序;
安全客户端应用程序向SIM可信业务管理平台发送SIM卡安全数据申请;
SIM可信业务管理平台对RSA公钥经SIM卡保护密钥进行签名保护的结果校验;
校验通过后将SIM卡安全数据通过SIM卡保护密钥和RSA公钥进行双重加密后经安全客户端应用程序转发给安全相关部分的SIM应用;
安全相关部分的SIM应用使用RSA私钥对双重加密的SIM卡安全数据解密后在嵌入式安全元件上的SIM安全域内保存经SIM卡保护密钥加密的SIM卡安全数据。
4.根据权利要求1所述利用嵌入式安全元件实现SIM卡数据安全防护方法,其特征在于:所述移动通信网络侧通过识别请求指令获取用户身份标识包括:
调制解调器将识别请求指令发送给应用处理器;
由应用处理器通过NFC控制器将识别请求指令发送给嵌入式安全元件的SIM安全域;
嵌入式安全元件的SIM安全域使用SIM卡保护密钥解密经加密的SIM卡安全数据;
获取用户身份标识;
通过应用处理器和调制解调器将用户身份标识返回给网络侧。
5.根据权利要求1所述利用嵌入式安全元件实现SIM卡数据安全防护方法,其特征在于:所述移动通信网络侧下发鉴权请求指令及鉴权元组包括:
移动通信网络侧根据获得的用户身份标识,通过AuC的3GPP Milenge算法计算出鉴权五元组(RAND,AUTN,XRES,CK,IK);
网络侧从所述鉴权五元组(RAND,AUTN,XRES,CK,IK)给出鉴权二元组(RAND,AUTN);
网络侧将鉴权二元组(RAND,AUTN)插入至鉴权请求指令并下发;
调制解调器将插入有鉴权二元组(RAND,AUTN)的鉴权请求指令发送给应用处理器中的非安全相关部分的SIM应用;
通过NFC控制器将插入有鉴权二元组(RAND,AUTN)的鉴权请求指令发送给嵌入式安全元件的安全相关部分。
6.根据权利要求1所述利用嵌入式安全元件实现SIM卡数据安全防护方法,其特征在于:所述安全相关部分的SIM应用对鉴权二元组进行校验鉴权包括:
安全相关部分对网络侧的AUTN进行校验;
校验通过后使用3GPPMilenge算法计算鉴权结果RES;
返回鉴权结果RES给非安全相关部分的SIM应用;
非安全相关部分的SIM应用将从终端侧返回的鉴权结果值RES通过应用处理器和调制解调器转发给网络侧。
7.根据权利要求1所述利用嵌入式安全元件实现SIM卡数据安全防护方法,其特征在于:所述非安全防护处理包括:对于非安全相关指令,调制解调器将非安全相关的指令发送给应用处理器,应用处理器在非安全相关部分实现所述非安全相关指令对应的功能,其中,所述非安全相关指令包括读取SIM卡号ICCID指令、读取短信中心号码指令、位置区更新指令、读取电话簿指令和读取短消息存储指令,所述位置区更新指令的执行包括对临时移动用户识别符、位置区信息或位置更新状态的操作。
CN201610966020.3A 2016-10-31 2016-10-31 利用嵌入式安全元件实现sim卡数据安全防护方法 Active CN106658474B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610966020.3A CN106658474B (zh) 2016-10-31 2016-10-31 利用嵌入式安全元件实现sim卡数据安全防护方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610966020.3A CN106658474B (zh) 2016-10-31 2016-10-31 利用嵌入式安全元件实现sim卡数据安全防护方法

Publications (2)

Publication Number Publication Date
CN106658474A CN106658474A (zh) 2017-05-10
CN106658474B true CN106658474B (zh) 2019-11-19

Family

ID=58821782

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610966020.3A Active CN106658474B (zh) 2016-10-31 2016-10-31 利用嵌入式安全元件实现sim卡数据安全防护方法

Country Status (1)

Country Link
CN (1) CN106658474B (zh)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108990046B (zh) * 2017-05-31 2020-09-29 北京华弘集成电路设计有限责任公司 移动网络的连接方法
CN108990058B (zh) * 2017-05-31 2021-02-09 北京华弘集成电路设计有限责任公司 软sim和嵌入式安全单元
CN107862209B (zh) * 2017-09-22 2021-08-31 捷开通讯(深圳)有限公司 一种文件加解密方法、移动终端和具有存储功能的装置
CN108200078B (zh) * 2018-01-18 2021-01-05 中国建设银行股份有限公司 签名认证工具的下载安装方法及终端设备
CN108737381B (zh) * 2018-04-23 2021-11-16 厦门盛华电子科技有限公司 一种物联网系统的扩展认证方法
CN108684036B (zh) * 2018-04-28 2021-11-23 南京润阳淀粉制品有限责任公司 电子终端及其基于可信执行环境的eSIM数据处理方法
CN110768696B (zh) * 2018-07-26 2021-06-18 中国移动通信有限公司研究院 一种nfc sim卡的识别方法及装置
IT201800009917A1 (it) * 2018-10-30 2020-04-30 St Microelectronics Srl Dispositivo resistente alla manomissione implementante una embedded Universal Integrated Circuit Card e corrispondenti dispositivo elettronico, procedimento e prodotto informatico
CN109408095A (zh) * 2018-11-09 2019-03-01 四川科道芯国智能技术股份有限公司 数据更新方法及装置
CN109831775B (zh) * 2019-02-02 2021-12-03 华为数字技术(苏州)有限公司 一种处理器、基带芯片以及sim卡信息传输方法
CN111382823A (zh) * 2020-03-23 2020-07-07 北京智联安科技有限公司 一种安全连接SIM、eSIM的蜂窝通信芯片
CN113922989A (zh) * 2021-09-16 2022-01-11 深圳市领科物联网科技有限公司 Soc系统、网络通讯模块及身份认证方法
CN116305093B (zh) * 2021-11-19 2024-06-18 荣耀终端有限公司 小应用程序的操作方法和电子设备
CN115633362B (zh) * 2022-12-01 2023-02-28 北京紫光青藤微系统有限公司 基于安全元件的nfc功能控制方法及移动终端设备
CN116980878B (zh) * 2023-09-22 2024-02-02 紫光同芯微电子有限公司 入网通信方法、终端、存储介质和智能卡

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102056077A (zh) * 2009-10-29 2011-05-11 中国移动通信集团公司 一种通过密钥进行智能卡应用的方法和装置
CN103974248A (zh) * 2013-01-24 2014-08-06 中国移动通信集团公司 在能力开放系统中的终端安全性保护方法、装置及系统
CN104504806A (zh) * 2010-12-17 2015-04-08 谷歌公司 用于非接触式智能卡的本地可信服务管理器
CN104574071A (zh) * 2010-12-17 2015-04-29 谷歌公司 将应用数据写入到安全元件
CN105071824A (zh) * 2015-07-20 2015-11-18 宇龙计算机通信科技(深圳)有限公司 一种智能穿戴设备以及传输数据的方法
CN105828324A (zh) * 2016-03-21 2016-08-03 珠海市魅族科技有限公司 一种获取虚拟用户身份的方法及装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102056077A (zh) * 2009-10-29 2011-05-11 中国移动通信集团公司 一种通过密钥进行智能卡应用的方法和装置
CN104504806A (zh) * 2010-12-17 2015-04-08 谷歌公司 用于非接触式智能卡的本地可信服务管理器
CN104574071A (zh) * 2010-12-17 2015-04-29 谷歌公司 将应用数据写入到安全元件
CN103974248A (zh) * 2013-01-24 2014-08-06 中国移动通信集团公司 在能力开放系统中的终端安全性保护方法、装置及系统
CN105071824A (zh) * 2015-07-20 2015-11-18 宇龙计算机通信科技(深圳)有限公司 一种智能穿戴设备以及传输数据的方法
CN105828324A (zh) * 2016-03-21 2016-08-03 珠海市魅族科技有限公司 一种获取虚拟用户身份的方法及装置

Also Published As

Publication number Publication date
CN106658474A (zh) 2017-05-10

Similar Documents

Publication Publication Date Title
CN106658474B (zh) 利用嵌入式安全元件实现sim卡数据安全防护方法
US10327142B2 (en) Secure short message service (SMS) communications
US9647984B2 (en) System and method for securely using multiple subscriber profiles with a security component and a mobile telecommunications device
CN104852925B (zh) 移动智能终端数据防泄漏安全存储、备份方法
US11349675B2 (en) Tamper-resistant and scalable mutual authentication for machine-to-machine devices
EP3425842B1 (en) Communication system and communication method for certificate generation
CN110519753B (zh) 访问方法、装置、终端和可读存储介质
CN107920081B (zh) 登录认证方法及装置
CN108683510A (zh) 一种加密传输的用户身份更新方法
US20230125083A1 (en) Blockchain data access authorization method, apparatus, and device
WO2006109307A2 (en) Method, device, and system of selectively accessing data
CN108848495B (zh) 一种使用预置密钥的用户身份更新方法
CN104769983A (zh) 用于管理安全元件内的数据的方法与装置
CN107333263B (zh) 一种改进型的sim卡以及移动通信身份识别方法和系统
KR20140098872A (ko) 모바일 nfc단말기 웹 서비스를 위한 바이오인식과 tsm 기반의 보안 시스템 및 방법
US11228428B2 (en) Mitigation of problems arising from SIM key leakage
CN109413648B (zh) 访问控制方法、终端、智能卡、后台服务器及存储介质
CN101917700B (zh) 一种使用业务应用的方法及用户识别模块
CN104753679A (zh) 用户认证方法和系统、以及智能穿戴设备
CN114189343A (zh) 互相认证的方法和装置
CN104717649A (zh) 移动终端软件数据远程控制擦除的方法
CN109756451B (zh) 一种信息交互方法及装置
CN112866988B (zh) 终端的隐私保护方法和装置、终端
US20170262640A1 (en) Database operation method and device
KR101329789B1 (ko) 모바일 디바이스의 데이터베이스 암호화 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20210902

Address after: Room 618, zone F, floor 6, building 13, No. 203, wushebang Road, Qingpu District, Shanghai 200030

Patentee after: Shanghai Youka Network Technology Co.,Ltd.

Address before: Room 6201, No. 550, jumen Road, Huangpu District, Shanghai 200023

Patentee before: SHANGHAI LUSUI COMMUNICATION TECHNOLOGY Co.,Ltd.

TR01 Transfer of patent right