CN1310568C - 对移动终端用户身份进行安全认证的方法 - Google Patents
对移动终端用户身份进行安全认证的方法 Download PDFInfo
- Publication number
- CN1310568C CN1310568C CNB2004100394866A CN200410039486A CN1310568C CN 1310568 C CN1310568 C CN 1310568C CN B2004100394866 A CNB2004100394866 A CN B2004100394866A CN 200410039486 A CN200410039486 A CN 200410039486A CN 1310568 C CN1310568 C CN 1310568C
- Authority
- CN
- China
- Prior art keywords
- detection times
- threshold value
- value
- threshold
- sim card
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000000034 method Methods 0.000 title claims abstract description 27
- 238000001514 detection method Methods 0.000 claims abstract description 54
- 238000010295 mobile communication Methods 0.000 description 6
- 238000012545 processing Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
Images
Landscapes
- Telephone Function (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种对移动终端用户身份进行安全认证的方法,包括:SIM卡内设定在单位定长时间内进行安全认证的次数的阈值;获取移动终端发出的对其用户身份进行认证的请求信息;在单位定长时间内记录进行安全认证的探测次数,并比较上述探测次数是否超过设定的阈值,如果没有超过阈值,则对移动终端进行认证,移动终端进入正常工作;如果超过阈值,则输出认证条件不满足的信息,拒绝移动终端接入网络。采用本发明所述方法,通过在SIM卡内记录单位定长时间内的安全认证次数,使得SIM卡作为GSM/GPRS网络的认证接入方式和WLAN局域网的认证接入方式,实现最大限度地提高SIM卡认证方式的抗攻击能力。
Description
技术领域
本发明涉及移动通讯技术领域,特别是涉及一种对在移动通讯网络与无线局域网之间进行漫游切换的移动终端用户的身份进行认证的方法。
背景技术
在移动通讯系统中,对移动终端用户的身份认证是通过对存放在SIM(Subscriber Identity Module)卡内的用户信息进行认证实现的。一旦认证通过,该终端就被认为是合法用户。近年来一些不法分子利用各种技术手段试图破解认证机制,从而冒充合法用户获取非法利益,因此,对移动终端用户身份认证的安全问题备受关注。
随着通讯技术的不断进步和发展,出现了移动通讯网络与无线局域网相融合的趋势,使得移动用户可以在移动通讯网络与无线局域网之间漫游切换,实现移动办公和移动通讯的兼顾,比如,GSM/GPRS系统与WLAN系统的融合,已经进入了具体的实施阶段。同时,许多运营商已开始考虑使用SIM卡作为WLAN局域网的主要认证接入方式,采用这种认证方式,极大地方便了同时使用这两个网络的用户。但是,该方法不可避免地在技术上存在被攻击的隐患:SIM卡暴露在开放的WLAN局域网中,大大增加了被攻击的可能性;同时,经过认证后的完整结果SRES和密钥Kc容易被泄漏,SIM卡的网络参数以及私人电话本的信息也可能被暴露。因此必须采用更加安全的技术方案,以提高SIM卡认证方式的抗攻击能力,从而推动两种网络融合的技术趋势。
发明内容
本发明所要解决的技术问题是提出一种对移动终端用户身份进行安全认证的方法,解决在移动通讯网络与无线局域网相融合的环境中,采用SIM卡进行用户身份认证的安全性低的问题。
本发明所述对移动终端用户身份进行安全认证的方法,包括以下步骤:
SIM卡内设定在单位定长时间内进行安全认证的次数的阈值;获取移动终端发出的对其用户身份进行认证的请求信息;在单位定长时间内记录进行安全认证的探测次数,并比较上述探测次数是否超过设定的阈值,如果没有超过阈值,则对移动终端进行认证,移动终端进入正常工作;如果超过阈值,则输出认证条件不满足的信息,拒绝移动终端接入网络。
采用本发明所述方法,通过在SIM卡内记录单位定长时间内的安全认证次数,使得SIM卡作为GSM/GPRS网络的认证接入方式和WLAN局域网的认证接入方式,实现最大限度地提高SIM卡认证方式的抗攻击能力。
附图说明
图1是本发明所述方法的流程图;
图2是本发明方法中定时器的工作流程图。
具体实施方式
下面结合附图和实施例,对本发明的技术方案做进一步的详细描述。
本发明在SIM卡内设有两个基于计数器构成的耦合计数器,分别为总计数器和检测计数器,以及一个定时器;其中总计数器用于记录异常情况下运行GSM算法指令进行认证的次数,即记录探测次数超过阈值的情况下运行GSM算法指令进行认证的次数,在SIM卡的生命周期内,总计数器只增加计数,不复位;检测计数器则用于记录单位定长时间内运行GSM算法指令进行认证的探测次数;定时器用于确定单位定长时间。
如图1给出的本发明的实施例,首先需设置在单位定长时间内运行GSM算法进行认证的次数的安全认证阈值。对于检测计数器来说,包括第一阈值和第二阈值;在本实施例中,第一阈值设置为50,第二阈值设置为100。如果移动终端发出认证用户身份的请求,即请求为运行GSM算法的指令,则检查总计数器的溢出标志,确定总计数器是否溢出。总计数器的初始值为0,溢出值为5000,溢出标志为Unblock CHV2的尝试次数为1,Unblock CHV2是指个人标识码PIN2(Personal Identification Number2)的解锁密钥PUK2(PIN2 Unblocking Key),如果用户连续3次输入错误,则个人标识码PIN2会被锁住,需使用PUK2解锁,Unblock CHV2的尝试次数的初始值设置按照GSM11.11规范的规定设为10。如果总计数器溢出,则不进行鉴权认证计算,返回“条件不满足”的状态字“98 04”。
如果总计数器没有溢出,则将检测计数器的值加1。如上所述,检测计数器是用于记录单位定长时间内运行GSM算法指令的次数,而单位定长时间由定时器确定,在本实施例中,设定单位定长时间为1小时。因此每1小时结束后,检测计数器被恢复为初始值0,1小时定时器为相对定时,如果定时器周期出现异常,也不会影响检测计数器的计数,即如果在定时器溢出前SIM卡掉电,也不会影响检测计数器的数值。每当SIM卡接收到一条运行GSM算法的指令进行鉴权时,将检测计数器的值加1。
然后将检测计数器的当前值与第一阈值50进行比较,如果小于50,则表示此次鉴权处于正常状态,正常运行GSM算法指令。
如果检测计数器的值大于第一阈值50,则进一步判断该值是否小于第二阈值100,如果小于100,则SIM卡每两次运行GSM算法指令中输出一次错误结果。对于正常用户来说,一般每小时的鉴权次数会小于50次,但考虑到特殊情况下用户每小时的鉴权次数可能会超过50次,例如一个用户在2个位置区之间频繁移动的情况,因此在输出错误结果的同时,将总计数器的值加1。如果检测计数器的值大于100,则不进行鉴权认证计算,返回“条件不满足”的状态字“98 04”。
当检测计数器的值大于第一阈值50时,还可以进一步判断检测计数器的值在连续两个单位定长时间内是否都超过了第一阈值50,即判断检测计数器的值在上一个单位定长时间内是否也超过了第一阈值50,如果是,则将当前Unblock CHV2的尝试次数减1。然后判断Unblock CHV2的尝试次数是否等于1,如果等于1,则表明总计数器溢出,返回“条件不满足”状态字“98 04”。如果Unblock CHV2的尝试次数不等于1,即大于1,则进一步判断检测计数器的值是否超过第二阈值100,如果没有超过100,则SIM卡每两次运行GSM算法指令中输出一次错误结果,将总计数器的值加1;如果超过100,则将总计数器的值加1,然后判断总计数器的当前值是否大于溢出值5000,如果没有大于5000,说明还没有达到锁卡次数,则执行错误的运行算法指令,返回伪结果。如果大于5000,说明已经达到溢出值,即达到了锁卡次数,则将Unblock CHV2的尝试次数置为1,将运行算法指令的运行条件设为不满足,并返回“条件不满足”状态字“98 04”。
由于总计数器与检测计数器都设置在SIM卡的EEPROM中,所以当SIM卡上电或复位时,不会对上述两个计数器进行复位。
本发明还在SIM卡内的GSM子目录下创建有专用的二进制文件,用于对WLAN、GPRS双模网卡中SIM卡的识别。双模网卡是指既能够接入GPRS网络,又能够接入WLAN网络的网卡,而SIM卡是内置在双模网卡中,用于对用户身份的验证。双模网卡可用来读取SIM卡内的标识文件,如果该文件存在并且文件的编码符合相关规范中的编码,则双模网卡启动SIM卡进行用户的鉴权认证,否则双模网卡终止用户的SIM卡鉴权认证流程。
在硬件结构上,本发明所述的SIM卡和普通的SIM卡是相同的,区别在于在SIM卡的软件上增加了一些内部的特殊文件,由于内容保存在SIM卡的EEPROM中,所以其值不受复位、上电的影响。本发明所述的SIM卡的COS(Chip Operation System)相对于普通的SIM卡COS而言启用了芯片内的时间定时器,当卡内定时器的记录满一小时后,自动将检测计数器的值清零,在运行GSM指令的处理上也增加了一些功能,在进行指令处理前首先判断条件是否满足,然后根据不同的情况转入相应的子处理模块。
图2给出了本发明所述定时器的工作流程图。首先设置SIM卡内定时器的初值,本发明将定时器的定长设置为1小时。然后判断定时器是否产生了中断,在定时器开始工作后,每到达定时器计数单位时长就触发一次中断,当然当SIM卡有输入/输出数据时,也可能会触发中断,但这种中断与定时器的计数触发中断是两类不同的中断请求。SIM卡通过不同的中断号进行区分,然后进行不同的处理。如果产生中断,则将SIM卡内的定时器计数值加1,再判断SIM卡内的定时器是否到达1小时,如果到了1小时,则将检测计数器清零,如果没有到达1小时,则继续等待中断请求。
最后所应说明的是:以上实施例仅用以说明而非限制本发明的技术方案,尽管参照上述实施例对本发明进行了详细说明,本领域的普通技术人员应当理解:依然可以对本发明进行修改或者等同替换,而不脱离本发明的精神和范围的任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。
Claims (13)
1、一种对移动终端用户身份进行安全认证的方法,其特征在于:包括以下步骤:
SIM卡内设定在单位定长时间内进行安全认证的次数的阈值;获取移动终端发出的对其用户身份进行认证的请求信息;在单位定长时间内记录进行安全认证的探测次数,并比较上述探测次数是否超过设定的阈值,如果没有超过阈值,则对移动终端进行认证,移动终端进入正常工作;如果超过阈值,则输出认证条件不满足的信息,拒绝移动终端接入网络。
2、根据权利要求1所述的对移动终端用户身份进行安全认证的方法,其特征在于,在SIM卡内设有尝试次数,当单位定长时间内记录的探测次数超过阈值时,将上述尝试次数减1;判断尝试次数是否达到设定的最低值;如果达到最低值,则输出认证条件不满足的信息;如果未达到最低值,则返回获取用户身份认证请求信息的步骤。
3、根据权利要求2所述的对移动终端用户身份进行安全认证的方法,其特征在于,当获取移动终端的对其用户身份进行认证的请求信息后,判断尝试次数是否达到设定的最低值,如果达到最低值,则输出认证条件不满足的信息;若未到达最低值,则继续执行在单位定长时间内记录进行安全认证的探测次数的步骤。
4、根据权利要求2或3所述的对移动终端用户身份进行安全认证的方法,其特征在于,所述尝试次数是个人标识码的解锁密钥的尝试次数。
5、根据权利要求1所述的对移动终端用户身份进行安全认证的方法,其特征在于,所述安全认证的次数的阈值包括第一阈值和第二阈值;如果探测次数没有超过第一阈值,则对移动终端进行认证;如果探测次数大于第一阈值且小于第二阈值,则SIM卡每两次运行安全认证算法中输出一次错误结果,然后返回获取用户身份认证请求信息的步骤;如果探测次数超过第二阈值,则输出认证条件不满足的信息。
6、根据权利要求5所述的对移动终端用户身份进行安全认证的方法,其特征在于,在SIM卡内设有尝试次数;如果探测次数大于第一阈值,则判断上一单位定长时间的探测次数是否大于第一阈值;若上一单位定长时间的探测次数大于第一阈值,则将尝试次数减1;判断尝试次数是否达到设定的最低值,若达到了最低值,则锁死SIM卡;若尝试次数没有达到最低值,则进一步判断探测次数是否超过第二阈值;若探测次数小于第二阈值,则SIM卡每两次运行安全认证算法中输出一次错误结果,返回获取用户身份认证请求信息的步骤;如果探测次数超过第二阈值,则输出认证条件不满足的信息。
7、根据权利要求1所述的对移动终端用户身份进行安全认证的方法,其特征在于:当到达单位定长时间后,重新进行计时且重新记录探测次数。
8、根据权利要求1所述的对移动终端用户身份进行安全认证的方法,其特征在于,所述的SIM卡上电或复位时,探测次数的记录不清零。
9、根据权利要求1所述的对移动终端用户身份进行安全认证的方法,其特征在于,在SIM卡中设置有用于记录异常情况下运行GSM算法指令进行认证的次数的总计数器,当所述探测次数超过阈值时,总计数器加1。
10、根据权利要求9所述的对移动终端用户身份进行安全认证的方法,其特征在于:所述总计数器设置有溢出值;当探测次数大于检测计数器的阈值时,进一步判断总计数器的值是否超过设定的溢出值,如果超过溢出值,则输出认证条件不满足的信息;如果没有超过溢出值,则返回获取用户身份认证请求信息的步骤。
11、根据权利要求10所述的对移动终端用户身份进行安全认证的方法,其特征在于:所述检测计数器阈值包括第一阈值和第二阈值;如果探测次数小于第一阈值,则对移动终端进行认证;如果探测次数大于第一阈值且小于第二阈值,则SIM卡每两次运行安全认证算法中输出一次错误结果,然后返回获取用户身份认证请求信息的步骤,将总计数器的值加1;如果探测次数超过第二阈值,则将总计数器的值加1,并进一步判断总计数器的值是否超过溢出值,如果超过溢出值,则输出认证条件不满足的信息;如果没有超过溢出值,则返回获取用户身份认证请求信息的步骤。
12、根据权利要求11所述的对移动终端用户身份进行安全认证的方法,其特征在于:在SIM卡内设有尝试次数;如果探测次数大于第一阈值,则判断上一单位定长时间的探测次数是否大于第一阈值,若上一单位定长时间的探测次数大于第一阈值,则将尝试次数减1;再判断尝试次数是否达到设定的最低值,若到达则锁死SIM卡;如果尝试次数没有达到设定的最低值,则进一步判断探测次数是否超过第二阈值;若小于第二阈值,则SIM卡每两次运行安全认证算法中输出一次错误结果,返回获取用户身份认证请求信息的步骤,将总计数器的值加1;如果探测次数超过第二阈值,则将总计数器的值加1,并进一步判断总计数器的值是否超过溢出值,如果超过溢出值,则输出认证条件不满足的信息;如果没有超过溢出值,则返回获取用户身份认证请求信息的步骤。
13、根据权利要求11所述的对移动终端用户身份进行安全认证的方法,其特征在于:所述的SIM卡上电或复位时,总计数器的记录不复位。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100394866A CN1310568C (zh) | 2003-02-17 | 2004-02-16 | 对移动终端用户身份进行安全认证的方法 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN03104518.9 | 2003-02-17 | ||
| CN03104518 | 2003-02-17 | ||
| CNB2004100394866A CN1310568C (zh) | 2003-02-17 | 2004-02-16 | 对移动终端用户身份进行安全认证的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1523923A CN1523923A (zh) | 2004-08-25 |
| CN1310568C true CN1310568C (zh) | 2007-04-11 |
Family
ID=34314729
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004100394866A Expired - Lifetime CN1310568C (zh) | 2003-02-17 | 2004-02-16 | 对移动终端用户身份进行安全认证的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1310568C (zh) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101197679B (zh) * | 2008-01-04 | 2010-09-08 | 中兴通讯股份有限公司 | 一种预防拒绝服务攻击的用户认证方法及系统 |
| CN101572889B (zh) * | 2009-06-11 | 2011-11-30 | 北京握奇数据系统有限公司 | 一种sim卡鉴权的方法及装置 |
| CN101621801B (zh) | 2009-08-11 | 2012-11-28 | 华为终端有限公司 | 无线局域网的认证方法、系统及服务器、终端 |
| CN101902741B (zh) * | 2010-07-21 | 2014-07-02 | 中兴通讯股份有限公司 | 移动终端及其接入网络的方法 |
| CN102857913B (zh) * | 2011-06-28 | 2015-03-11 | 中国移动通信集团公司 | 在建立安全信道时进行鉴权的方法、装置、智能卡及终端 |
| CN102867209B (zh) * | 2011-07-05 | 2015-04-22 | 中国移动通信集团公司 | 一种智能卡和智能卡安全防护方法 |
| CN102917334B (zh) * | 2011-08-01 | 2018-02-23 | 卓望数码技术(深圳)有限公司 | 一种违规终端内置行为处理方法、装置及系统 |
| CN102917335B (zh) * | 2011-08-01 | 2018-02-23 | 卓望数码技术(深圳)有限公司 | 一种违规终端内置行为处理方法、装置及系统 |
| CN102355668A (zh) * | 2011-09-08 | 2012-02-15 | 深圳市融创天下科技股份有限公司 | 一种查找ap攻击者的方法、系统和终端设备 |
| CN103595851A (zh) * | 2012-08-16 | 2014-02-19 | 联芯科技有限公司 | 移动终端的个人信息防泄漏方法及移动终端 |
| CN104754574B (zh) * | 2013-12-26 | 2019-04-09 | 中国移动通信集团公司 | 一种sim卡及其防克隆的方法和装置 |
| CN105142146B (zh) * | 2015-09-24 | 2021-01-08 | 台州市吉吉知识产权运营有限公司 | 一种wifi热点接入的认证方法、装置及系统 |
| CN106534269A (zh) * | 2016-10-20 | 2017-03-22 | 广东美的暖通设备有限公司 | 空调机组的解锁方法、装置及服务器 |
| CN107333005B (zh) * | 2017-07-26 | 2020-03-31 | 中国联合网络通信集团有限公司 | 应急解锁方法、解锁服务器、用户设备及系统 |
| CN110418345B (zh) * | 2019-07-25 | 2022-08-19 | 天翼数字生活科技有限公司 | 身份认证方法、装置和计算机设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1050804A (zh) * | 1989-10-02 | 1991-04-17 | 莫托罗拉公司 | 无线电话自主登记的一种方法 |
| CN1161625A (zh) * | 1995-11-24 | 1997-10-08 | 诺基亚电信公司 | 检验移动用户识别号码 |
| CN1171180A (zh) * | 1994-12-23 | 1998-01-21 | 英国电讯公司 | 故障的监视 |
| CN1219337A (zh) * | 1997-03-10 | 1999-06-09 | 诺基亚电信公司 | 发现复制的sim卡 |
-
2004
- 2004-02-16 CN CNB2004100394866A patent/CN1310568C/zh not_active Expired - Lifetime
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1050804A (zh) * | 1989-10-02 | 1991-04-17 | 莫托罗拉公司 | 无线电话自主登记的一种方法 |
| CN1171180A (zh) * | 1994-12-23 | 1998-01-21 | 英国电讯公司 | 故障的监视 |
| CN1161625A (zh) * | 1995-11-24 | 1997-10-08 | 诺基亚电信公司 | 检验移动用户识别号码 |
| CN1219337A (zh) * | 1997-03-10 | 1999-06-09 | 诺基亚电信公司 | 发现复制的sim卡 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1523923A (zh) | 2004-08-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1310568C (zh) | 对移动终端用户身份进行安全认证的方法 | |
| US10171444B1 (en) | Securitization of temporal digital communications via authentication and validation for wireless user and access devices | |
| US7266364B2 (en) | Wireless communications unauthorized use verification system | |
| CN111835689B (zh) | 数字钥匙的身份认证方法、终端设备及介质 | |
| RU2441337C2 (ru) | Жетон аутентификации для идентификации атаки клонирования на такой жетон аутентификации | |
| CN101034988B (zh) | 一种网络登录认证保护装置及其使用方法 | |
| EP1965332B1 (en) | Mobile terminal and method for preventing illegitimate change of identification number of the same | |
| CN106027520B (zh) | 一种检测处理盗取网站帐号的方法及装置 | |
| JP4245151B2 (ja) | 使用制限機能付携帯電話機および該機を使用制限する方法 | |
| CN1992596A (zh) | 用户验证设备和用户验证方法 | |
| CN101711029A (zh) | 终端的接入认证方法和设备及恢复设备合法性的方法 | |
| CN1770795A (zh) | 具有安全功能的无线固定电话及其方法 | |
| CN110941844A (zh) | 一种认证鉴权方法、系统、电子设备及可读存储介质 | |
| CN101521886A (zh) | 一种对终端和电信智能卡进行认证的方法和设备 | |
| CN111581616A (zh) | 一种多端登录控制的方法及装置 | |
| CN110955884B (zh) | 密码试错的上限次数的确定方法和装置 | |
| CN105653918A (zh) | 安全操作方法、安全操作装置和终端 | |
| CN105635090B (zh) | 系统访问方法、系统访问装置和终端 | |
| US8978145B2 (en) | Apparatus and method for controlling digital rights object in portable terminal | |
| CN106709369A (zh) | 终端异常时的数据处理方法和数据处理装置 | |
| US9313662B2 (en) | Method of protecting a mobile-telephone-type telecommunication terminal | |
| US10645070B2 (en) | Securitization of temporal digital communications via authentication and validation for wireless user and access devices | |
| CN107403114B (zh) | 一种锁定输入的结构及方法 | |
| CN1359087A (zh) | 具有封锁状态的集成电路卡及为其提供信息安全性的方法 | |
| FI110565B (fi) | Menetelmä ja järjestelmä puhelinkeskusjärjestelmässä |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CX01 | Expiry of patent term | ||
| CX01 | Expiry of patent term |
Granted publication date: 20070411 |