WO2012171284A1

WO2012171284A1 - 一种三方认证方法、装置及支持双向认证的智能卡

Info

Publication number: WO2012171284A1
Application number: PCT/CN2011/080785
Authority: WO
Inventors: 吴传喜
Original assignee: 中兴通讯股份有限公司
Priority date: 2011-06-15
Filing date: 2011-10-14
Publication date: 2012-12-20
Also published as: CN102833066A; CN102833066B

Abstract

本发明公开了一种三方认证方法、装置及支持双向认证的智能卡，三方认证方法包括：终端与智能卡之间进行认证；终端与智能卡之间的认证通过后，终端向管理平台报告终端与智能卡的绑定关系，并向管理平台请求对该绑定关系进行认证；管理平台对终端与智能卡的绑定关系进行认证，若绑定关系认证通过，则判定三方认证通过，若绑定关系认证通过，则判定三方认证未通过。采用本发明，使得终端和智能卡的安全都得到了保证，同时终端和智能能卡的绑定关系能够被动态的认证，在管理平台侧具有对终端和卡设备的控制管理权，便于运营商开展自己的业务，也保证了开展物联网业务的终端和智能卡的专用性和安全性。

Description

一种三方认证方法、装置及支持双向认证的智能卡

技术领域

本发明涉及通信技术领域，尤其涉及一种三方认证方法、装置及支持双向认证的智能卡。

背景技术

物联网作为新兴高技术产业的重要组成部分，已被世界各国当作应对经济危机、振兴经济的重点技术之一。物联网业务可以广泛地应用到众多的行业中，例如车辆、电力、金融、环保、石油、个人与企业安防、水文、军事、消防、气象、煤炭、农林业、电梯等。根据专家预计，未来几年间，物联网业务将快速地进入很多行业，其用户数也将快速成长，预计至 2012年底，中国国内基于移动蜂窝通信技术的物联网用户数将可能达到 3000 ~ 4000万，物联网应用也会在若干年后成为长期演进（Long Term Evolution, LTE )技术的核心应用之一，具有广阔的发展前景。

目前物联网业务的应用类型中，很多业务都要求终端和智能卡的设备装置具备较高的安全性，例如：环境监控，通过在小区内部署各种环境监测设备，用于监控小区环境质量，包括小区污染物、噪音、垃圾、污水等，为小区居民营造安静、健康、和谐的居住环境；以及社区安保，由于人身安全、财物安全是小区居民关注的重中之重，小区需安装视频监控设备、防盗报警设备、家庭安防设备、家庭可视对讲、楼宇门禁等，并实现业主、物业、保安、居委会、公安局的信息联互，共同构建和谐安全的居住环境；此外，还包括在智能家居、煤矿安全生产及监测、医疗健康等应用中，对于应用安全管理要求也非常高。

为避免智能卡被挪作他用或物理被盗，需考虑智能卡的应用安全管理，如釆取机卡绑定、第三方合法性认证等手段等管理方式，实现专卡专用。但是，目前已有的机卡绑定方案、第三方合法性认证等手段或者绑定效果不佳，容易破解，或者安全性不高，或者无法解决在新应用环境下的问题。发明内容

本发明解决的技术问题是提供一种三方认证方法、装置及支持双向认证的智能卡，能够保证终端设备在多种应用环境下的安全性问题。

为解决上述技术问题，本发明提供了一种三方认证方法，所述方法包括：终端与智能卡之间进行认证；所述终端与所述智能卡之间的认证通过后 , 所述终端向管理平台报告所述终端与所述智能卡的绑定关系，并向所述管理平台请求对所述绑定关系进行认证；所述管理平台对所述终端与所述智能卡的绑定关系进行认证，若所述绑定关系认证通过，则判定三方认证通过，若所述绑定关系认证不通过，则判定三方认证未通过。

可选的，所述终端与所述智能卡之间的认证釆用双向认证协议，所述双向认证协议包括：智能卡根据认证信息使用算法一得出智能卡侧认证结果，并使用算法二对所述智能卡侧认证结果进行加密后，将所述认证信息以及加密后的智能卡侧认证结果发送给所述终端；

所述终端根据所述智能卡发送的认证信息使用算法一得出终端侧认证结果，同时使用算法三对所述加密后的智能卡侧认证结果进行解密，并将解密得到的智能卡侧认证结果与所述终端侧认证结果进行比较，若一致，则将所述终端侧认证结果发送给所述智能卡，若不一致，则认证失败，结束本次认证过程；

所述智能卡将收到的所述终端侧认证结果与得出的智能卡侧认证结果进行比较，若一致，则认证成功；

其中，所述算法三为所述算法二的逆运算。

可选的，所述终端与所述智能卡进行认证的步骤包括：

智能卡复位后，终端向所述智能卡发送终端配置 ( TERMINAL PROFILE ) 指令；所述智能卡根据所述 TERMINAL PROFILE指令中的双向认证指示位判断出所述终端支持双向认证功能时，发起与所述终端之间的双向认证过程；智能卡根据认证信息使用算法一得出智能卡侧认证结果，并使用算法二对所述智能卡侧认证结果进行加密后，将所述认证信息以及加密后的智能卡侧认证结果发送给所述终端；

所述智能卡将收到的所述终端侧认证结果与得出的智能卡侧认证结果进行比较，若一致，则认证通过，若不一致，则认证未通过。

可选的，所述方法还包括：

所述终端和所述智能卡之间的双向认证通过时，将所述终端及所述智能卡置为机卡认证通过状态或双向认证通过状态；

所述终端和所述智能卡之间的双向认证未通过时，将所述终端及所述智能卡置为机卡锁定状态或双向认证未通过状态，并将所述智能卡的认证信息置为无效信息。

可选的，所述绑定关系，是指终端信息与智能卡信息的组合；

其中，所述终端信息包括以下信息中的一种或其任意组合：国际移动设备身份标识（ International Mobile Equipment Identity , IMEI ) 、电子序列号 ( Electronic Serial Numbers , ESN ) 、存储在终端中的参数信息；

所述智能卡信息包括以下信息中的一种或其任意组合：国际移动用户识另 ll号 ( International Mobile Subscriber Identification Number , IMSI ) 、集成电路卡识别号（ Integrate Circuit Card Identity , ICCID ) 、存储在智能卡中的参数信息。

可选的，所述管理平台对所述终端与所述智能卡的绑定关系进行认证的步骤包括：所述管理平台查找本地的绑定关系数据库中是否存在所述终端与所述智能卡的绑定关系，若存在，则判定所述绑定关系认证通过，若不存在，则判定所述绑定关系认证未通过。

可选的，所述方法还包括：

所述管理平台在判定所述三方认证通过时，将所述终端及所述智能卡置为三方认证通过状态或安全状态；判定三方认证未通过时，将所述终端及所述智能卡置为三方认证未通过状态或非安全状态。

可选的，所述方法还包括：所述智能卡判断出终端支持双向认证功能时，使用命令状态字向所述终端发送允许认证指令，发起与所述终端之间的双向认证过程。

可选的，所述终端与所述智能卡进行认证的步骤还包括：

所述智能卡发起与所述终端之间的双向认证过程后，向所述终端发送获取输入（Get input )指令，通知终端获取认证信息。

可选的，所述终端与所述智能卡进行认证的步骤还包括：

所述终端收到所述 Get input指令后，向所述智能卡发送提取 ( Fetch )指令，要求所述智能卡发送智能卡侧认证结果。

可选的，所述终端与所述智能卡进行认证的步骤还包括：

所述终端比较所述智能卡侧认证结果与所述终端侧认证结果一致时，使卡。

本发明还提供了一种支持双向认证的智能卡，所述智能卡包括：认证处理模块、信息收发模块和认证结果实施模块，

所述认证处理模块设置为：发起并执行智能卡与终端之间的双向认证过程；

所述信息收发模块设置为：接收终端发送的终端侧认证结果；以及，向终端发送认证信息及智能卡侧认证结果；

所述认证结果实施模块设置为：当所述双向认证未通过时，将所述终端及所述智能卡置为机卡锁定状态或双向认证未通过状态，并将所述智能卡的认证信息置为无效信息。

可选的，所述认证处理模块是设置为：根据接收到的所述终端发送的双向认证指示信息、或者根据所述终端发送的 TERMINAL PROFILE指令中的双向认证指示位判断出所述终端支持双向认证功能时，发起与所述终端之间的双向认证过程。

本发明还提供了一种三方认证装置，所述装置包括由终端和智能卡组成的终端设备，还包括管理平台；所述终端设备包括绑定关系认证请求模块，所述管理平台包括绑定关系认证模块，其中：

所述绑定关系认证请求模块设置为：终端与智能卡之间的认证通过后，向管理平台报告所述终端与所述智能卡的绑定关系，并向所述管理平台请求对所述绑定关系进行认证；

所述绑定关系认证模块设置为：对所述终端与所述智能卡的绑定关系进行认证，若所述绑定关系认证通过，则判定三方认证通过，若所述绑定关系认证不通过，则判定三方认证未通过。

此外，所述终端设备还包括终端侧的双向认证模块，和智能卡侧的双向认证模块，

所述智能卡侧的双向认证模块设置为：根据认证信息使用算法一得出智能卡侧认证结果，并使用算法二对所述智能卡侧认证结果进行加密后，将所述认证信息以及加密后的智能卡侧认证结果发送给所述终端；并在收到终端侧认证结果后，与得出的所述智能卡侧认证结果进行比较，若一致，则认证成功，若不一致，则认证失败；

所述终端侧的双向认证模块设置为：根据所述智能卡发送的认证信息使用算法一得出终端侧认证结果，同时使用算法三对所述加密后的智能卡侧认证结果进行解密，并将解密得到的智能卡侧认证结果与所述终端侧认证结果进行比较，若一致，则将所述终端侧认证结果发送给所述智能卡，若不一致，则认证失败，结束本次认证过程；

其中，所述算法三为所述算法二的逆运算。可选的，所述终端设备还包括终端中的指令发送模块，和智能卡中的双向认证发起模块，

所述指令发送模块设置为：使用扩展的 TERMINAL PROFILE指令中的预留字段或预留位，向所述智能卡发送双向认证指示位，其中所述双向认证指示位用于指示所述终端是否支持双向认证功能；

所述双向认证发起模块设置为：根据收到的 TERMINAL PROFILE指令中的所述双向认证指示位判断所述终端是否支持双向认证功能，若支持，则发起与所述终端之间的双向认证过程。

可选的，所述绑定关系认证模块是设置为：查找所述管理平台本地的绑定关系数据库中是否存在所述终端与所述智能卡的绑定关系，若存在，则判定所述绑定关系认证通过，若不存在，则判定所述绑定关系认证未通过；所述绑定关系，是指终端信息与智能卡信息的组合；

其中，所述终端信息包括以下信息中的一种或其任意组合： IMEI、 ESN、存储在终端中的参数信息；

所述智能卡信息包括以下信息中的一种或其任意组合： IMSI、 ICCID、存储在智能卡中的参数信息。

可选的，所述装置还包括所述智能卡中的认证结果实施模块，

所述认证结果实施模块设置为：当所述双向认证过程通过时，将所述终端及所述智能卡置为机卡认证通过状态或双向认证通过状态；当所述双向认证未通过时，将所述终端及所述智能卡置为机卡锁定状态或双向认证未通过状态，并将所述智能卡的认证信息置为无效信息。

釆用上述认证方法，使得终端和智能卡的安全都得到了保证，终端使用伪造的智能卡时，锁定终端，保证了终端的安全，智能卡在被盗或者非法使用时将无法登录网络使用，终端在使用非法智能卡时，也能及时锁定终端，同时这种绑定关系能够被动态的认证，在管理平台侧具有对终端和卡设备的控制管理权，便于运营商开展自己的业务，也保证了开展物联网业务的终端和智能卡的专用性和安全性。附图概述

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图 2为本发明实施方式的终端、智能卡和管理平台的交互示意图；图 3为本发明实施例的三方认证方法的总体流程示意图；

图 4为本发明实施例的终端和智能卡双向认证的流程示意图；

图 6为本发明实施例的双向认证的流程示意图；

图 7为本发明实施例一中终端、智能卡、管理平台成功进行三方认证示意图；

图 8为本发明实施例二中终端、智能卡、管理平台进行三方认证失败示意图；

图 9为本发明实施例三中终端、智能卡、管理平台进行三方认证失败示意图；

图 10为本发明实施例四中终端不支持 Profile download流程，釆用其他认证方式进行双方认证，成功进行三方认证的示意图。本发明的较佳实施方式

下文中将结合附图对本发明的实施方式进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

本发明的实施方式提供了一种终端和智能卡、管理平台三方认证的方法，包括：

步骤 1. 智能卡复位后，终端设备为机卡未认证状态，首先进行移动终端和智能卡之间的双向认证，如果终端、智能卡双向认证不通过，转步骤 2, 如果通过了移动终端和智能卡之间的两方认证，转步骤 3。

其中，终端设备是指由终端和智能卡组成的设备。

步骤 2. 将状态置为机卡锁定状态（可以锁定终端、设置终端无效等），同时修改智能卡的认证信息（如 IMSI )为无效信息，如将 IMSI改为空白、随机数、错误信息等，确保智能卡无法使用，认证结束。

步骤 3.如果终端和智能卡通过了双向认证，则将状态置为机卡认证通过状态，移动终端向管理平台告其和智能卡的绑定关系，并请求管理平台对绑定关系进行认证。如果管理平台通过了终端和智能卡的绑定关系认证，则三方认证通过，管理平台向终端返回绑定关系认证通过标志，置状态为安全状态（三方认证通过状态），终端设备可以运行相关物联网应用，如果管理平台没有通过终端和智能卡的绑定关系认证，则向终端返回绑定关系认证不通过标志，置状态为不安全状态（三方认证不通过状态），禁止运行相关物联网应用。终端设备运行相关物联网应用前，判断状态为安全状态（三方认证通过状态），则可以运行相关物联网应用，判断状态为不安全状态（三方认证不通过状态），则禁止运行相关物联网应用。

该步骤 3中所述的绑定关系，是指终端信息与智能卡信息的组合；所述终端信息包括以下信息中的一种或其任意组合： IMEI、 ESN、存储在终端中的参数信息等；

所述智能卡信息包括以下信息中的一种或其任意组合： IMSI、 ICCID、存储在智能卡中的参数信息等。

针对终端和智能卡之间的双向认证，本发明实施方式提出一种基于扩展 TERMINAL PROFILE指令的双向认证方法，包括：

根据 3GPP TS 31.111 V10.2.0 (2011-04)、3GPP TS 11.14 V8.18.0 (2007-06) 以及 ETSI TS 131 111 V9.4.0 (2011-01)、 ETSI TS 102 223 V10.3.0 (2011-05)^- 版本规定的方法，终端开机后将执行配置下载（Profile download )过程，使得终端能够告知智能卡其支持的功能。该 Profile download过程是通过终端向智能卡发送 TERMINAL PROFILE指令实现的， TERMINAL PROFILE的各个字节、位代表了终端支持的功能。如果该字节的 bit位为 1 , 表示终端支持该功能， bit位为 0, 表示终端不支持该功能。

以 3GPP TS 11.14 V8.18.0 (2007-06)协议版本为例说明，如 TERMINAL PROFILE的首字节 First byte (Download)的 8个 bit位 bl、 b2、 b3、 b4、 b5、 b6、 b7、 b8分别表示：终端是否支持 Profile download功能；终端是否支持点对点短消息业务数据下载（ SMS-PP data download )功能；终端是否支持小区广播数据下载（ Cell Broadcast data download )功能；终端是否支持菜单选择（Menu selection ) 功能；终端是否支持 '9EXX' SIM数据下载错误响应码 ( response code for SIM data download error )功能；终端是否支持计时器超时 ( Timer expiration )功能；终端是否支持非结构化补充数据业务字符串数据对象支持 USIM呼叫控制（USSD string data object support in Call Control by USIM ) 功能；终端是否支持自动重拨模式下封装呼叫控制总是发送到 SIM ( Envelope Call Control always sent to the SIM during automatic redial mode )功

•6匕

匕。

结合以上内容，本发明提供的双向认证釆用如下方案：通过扩展

TERMINAL PROFILE指令中未使用的字节，用于实现终端和智能卡的双向验证功能。即，使用某个字节的第 i位（i大于等于 1且小于 8 )表示是否支持双向认证。例如，通过某个字节的第 1个比特位表示是否支持双向认证功能，如图 1中所示。终端向智能卡发送 TERMINAL PROFILE指令；智能卡处理终端发送的 TERMINAL PROFILE指令，如果对应的支持双向认证位为 1 , 则启动智能卡和终端的双向认证。如果移动终端和智能卡双向认证通过，则继续执行后续流程（如网络鉴权过程等），否则终端智能卡认证不通过，置位终端为非正常使用状态（如锁定终端、终端无效等），修改智能卡的认证信息为无效信息（如空白、随机数、错误信息等）。

较佳地，终端和智能卡的双向认证过程是釆用终端、智能卡认证协议进行认证，如图 2所示，智能卡和终端内分别存储算法一和算法二，终端中另外存储算法二的逆算法一一算法三，其中，算法一用于根据认证信息获得认证结果，算法二用于对认证结果进行加密，算法三用于对算法二的结果进行解密。管理平台中包括机卡绑定关系数据库，用于保存机卡绑定关系的相应信息。其中，所述的管理平台可以是网络认证平台，应用管理平台，安全管理平台等。

如图 3所示，移动终端和智能卡、管理平台三方认证的方法，包括如下流程：

步骤 301. 终端设备开机，智能卡复位后，终端设备从初始状态转为机卡未认证状态；

步骤 302, 首先进行移动终端和智能卡之间的两方认证，如果通过了移动终端和智能卡之间的两方认证，转步骤 303 , 如果终端、智能卡双方认证不通过，转步骤 304。

步骤 303 , 如果终端和智能卡通过了两方双向认证，则将状态置为机卡认证通过状态，移动终端向管理平台上报其和智能卡的绑定关系，并请求管理平台对绑定关系进行认证。

步骤 304,将状态置为机卡锁定状态 (可以锁定终端、设置终端无效等），同时修改智能卡的认证信息（尤其 IMSI )为无效信息，如将 IMSI改为空白、随机数、错误信息等，确保智能卡无法使用，认证结束。

步骤 305, 管理平台执行移动终端和智能卡、管理平台三方认证过程。步骤 306, 如果管理平台通过了终端和智能卡的绑定关系认证，则三方认证通过，管理平台向终端返回绑定关系认证通过标志，并执行步骤 307, 否则，执行步骤 308。

步骤 307 , 终端收到管理平台的认证通过标志，则置终端设备的状态为安全状态（三方认证通过状态），允许终端设备运行相关物联网应用。

步骤 308, 终端收到管理平台的认证不通过标志，置终端设备的状态为不安全状态（三方认证不通过状态），禁止终端设备运行相关物联网应用。

其中，终端设备运行相关物联网应用前，判断状态为安全状态（三方认证通过状态），则可以运行相关物联网应用，否则，禁止运行相关物联网应用。如图 4所示，本发明实施方式所述的移动终端和智能卡双向认证过程具体 4 述 ^口下：

步骤 401 , 智能卡复位。

步骤 402 , 终端向智能卡发送 TERMINAL PROFILE指令。

步骤 403 ,智能卡处理终端发送的 TERMINAL PROFILE指令，如果对应的支持双向认证位为 1 ,则执行步骤 404,如果对应的支持双向认证位不为 1 , 则执行步骤 405。

步骤 404 , 执行智能卡和终端的双向认证。

步骤 405, 使用其他认证方式。

步骤 406, 移动终端和智能卡双向认证是否通过，如果通过，则执行步骤 407, 如果不通过，则执行步骤 408。

步骤 407, 可以正常使用移动终端和智能卡，继续后续流程。

步骤 408, 置位终端为非正常使用状态（如锁定终端、终端无效等），修改智能卡的认证信息为无效信息（如空白、随机数、错误信息等）。

此外，本发明的实施方式还提供了一种终端和智能卡的双向认证协议，认证协议如下：

A, 智能卡和终端内分别存储算法一和算法二，终端中另外存储算法二的逆算法算法三，算法一用于根据认证信息获得认证结果，算法二用于对认证结果进行加密，算法三用于对算法二的结果进行解密。

B, 智能卡向终端发送允许认证指令，并携带参数包括：随机数、 IMSL 用户鉴权密钥、存于智能卡内的其他信息等其中一个或多个。

C,智能卡根据约定的算法一得出智能卡侧运算结果。并使用算法二进行加密后传送给终端。

D, 终端对智能卡传送的加密过的运算结果进行算法二的解密过程，获得智能卡的运算结果，终端根据智能卡发送的信息，使用同样的算法一进行运算，得到终端侧运算结果。如果终端侧运算结果与解密得到的智能卡运算结果一致，则终端侧将自己的运算结果传送给智能卡，转 E, 如果不一致，则认证失败，转0。

E, 智能卡得到终端的运算结果后，和自己运算得到的结果进行比较，如果相同，则给双向认证通过。如果不相同，则转 G。

F, 认证成功，结束认证，继续后续流程。

G, 认证失败，结束认证，置位终端为非正常使用状态（如锁定终端、终端无效等），修改智能卡的认证信息为无效信息（如空白、随机数、错误信息等）。

其中，上述所述算法一和算法二为目前已知的各类算法，包括但不限于如下对称和非对称算法以及它们之间的任意组合：数据加密算法 DES, 3重数据加密算法 3DES, 哈希算法 HASH, IMSI认证算法 A3 , RSA算法和错误检查和纠正算法 ECC, 加密密匙生成算法 A5, 用户密匙生成算法 A8。其中，算法之间的组合是指，如先用其中一个算法后运算后，将得到的结果再用另外一个算法进行运算，等。

如图 5示出了终端设备在具体应用中的各种状态，如图 5所示，终端设备的状态可分为如下几种：

在终端与智能卡尚未进行双向认证时，终端设备的状态为机卡未认证状态；具体地，终端设备的默认状态为起始状态，当终端开机、智能卡刚复位后，终端设备由起始状态转为机卡未认证状态；终端设备转为机卡双向认证通过状态；

双向认证未通过时，终端设备转为机卡锁定状态；另外，若使用其他认证方式未通过时，终端设备也转为机卡锁定状态；

管理平台对终端与智能卡的绑定关系认证通过时，终端设备转为三方认证通过状态或安全状态；绑定关系认证未通过时，终端设备转为三方认证未通过状态或非安全状态。如图 6所示，釆用上述终端和智能卡的双向认证协议进行认证的过程如下：

步骤 601 , 智能卡根据认证信息（包括认证参数等信息）使用约定的算法一得出智能卡侧运算结果（下文中也称作认证结果） , 并使用算法二进行加密后，向终端发送允许认证指令，并携带认证信息，以及根据认证信息运算的加密的认证结果；

其中，认证信息包括：随机数、 IMSL 用户鉴权密钥、存于智能卡内的其他信息等其中一个或多个。

步骤 602 , 终端对智能卡传送的加密过的运算结果进行算法三运算（算法二的逆运算），即进行算法二的解密过程，获得智能卡侧认证结果；同时，终端根据智能卡发送的信息，使用同样的算法一进行运算，得到终端侧认证结果。

步骤 603 , 判断智能卡的认证结果是否与终端的认证结果相同，如果相同，则执行步骤 604, 如果不相同，则执行步骤 605。

步骤 604 , 如果终端侧运算结果与解密得到的智能卡运算结果一致，则终端侧将自己的运算结果传送给智能卡，转步骤 606。

步骤 605 , 如果终端侧运算结果与解密得到的智能卡运算结果不一致，则认证失败，转步骤 608。

步骤 606 , 智能卡得到终端的运算结果后，和自己运算得到的结果进行比较，如果相同，则转步骤 607 , 如果不相同，则转步骤 608。

步骤 607 , 双向认证通过，结束认证，继续后续流程。

步骤 608 , 认证失败，结束认证，置位终端为非正常使用状态（如锁定终端、终端无效等），修改智能卡的认证信息为无效信息（如空白、随机数、错误信息等 ) 。

管理平台认证的是智能卡和终端之间的绑定关系，只有通过了这个绑定关系的认证，管理平台才允许基于该终端和智能卡的设备运行物联网应用，否则禁止该终端和智能卡的设备运行物联网应用。在终端设备处于机卡未认证状态时，是指在终端不支持 ProfileDownload 命令的情况，依然支持釆用其他的认证方式处理。在终端不支持 ProfileDownload命令的情况下，可以釆用其他认证方式使得终端设备的状态转为机卡绑定状态，然后再由管理平台对绑定关系进行认证，达到三方认证通过，终端设备处于安全状态（三方认证通过状态），这里不予详细描述。

管理平台对绑定关系的认证的具体实现如下：

1. 移动终端和智能卡之间的两方认证通过后，移动终端向管理平台报告其和智能卡的绑定关系，并请求管理对绑定关系进行认证。

2. 管理平台保存有智能卡和终端的绑定关系对应表。

3. 管理平台验证该智能卡和终端的绑定关系是否存在，如果绑定关系通过马全证，则给终端返回三方认证通过标示。否则，给终端返回三方认证不通过标示。

4. 如果终端收到管理平台返回的三方认证通过标示，则置终端设备的状态为安全状态（三方认证通过状态），否则如果收到管理平台返回的三方认证不通过标示，则置终端设备的状态为不安全状态（三方认证不通过状态）。

5. 物联网应用被运行前，终端设备首先判断状态是否为安全状态（三方认证通过状态），如果为安全状态（三方认证通过状态）则运行该应用，否则不运行该应用。

另外，提供了一种解除锁定的方法和工具，使得在需要时，可以按需对智能卡和终端进行解除锁定，使之能正常使用。

实施例一

如图 7所示，本实施例的终端、智能卡、管理平台成功进行三方认证过程，主要包括：

步骤 701 , 物联网终端开机，智能卡进行复位后，终端执行 Profile

Download 流程，终端向智能卡发送 TERMINAL PROFILE 指令，其中 TERMINAL PROFILE指令的第 40个字节中的第 1 bit位为 1时代表需要进行终端和智能卡双向认证。步骤 702 ,智能卡收到该指令后，判断 TERMINAL PROFILE指令中对应 bit位为 1 , 则执行移动终端和智能卡双向认证过程。

具体地，本实施例中是使用随机数和 IMSI作为认证信息，智能卡和终端内分别存储算法一和算法二，终端中另外存储算法二的逆算法算法三，算法一用于根据认证信息获得认证结果，算法二用于对认证结果进行加密，算法三用于对算法二的结果进行解密。

步骤 704,智能卡同时向终端发送 Get input指令通知终端获取认证参数。步骤 705, 终端接收到命令状态字，识别允许认证，根据 Get input命令向智能卡发送 Fetch指令，要求智能卡发送其加过密的认证结果。

步骤 706, 智能卡根据终端请求，使用算法一对认证参数进行运算，并使用算法二进行加密，将认证参数及加密的认证结果使用命令状态字传给终端。

步骤 707 , 终端对智能卡传送的加密过的认证结果使用算法三进行运算 (进行算法二的解密过程)，获得智能卡的认证结果，终端同时根据智能卡发送的认证信息，使用同样的算法一进行运算，得到终端侧认证结果。终端比较两个认证结果是否一致。

步骤 708,终端若比较发现两个认证结果一致，则使用 Terminal Response 命令给智能卡发送未加密的终端侧认证结果。

步骤 709, 智能卡得到终端侧认证结果后，和自己运算得到的认证结果进行比较。

步骤 710, 智能卡比较发现两个认证结果相同，则通过命令状态字通知终端双向认证成功。

步骤 711 , 终端收到通知后则将状态置为机卡认证通过状态，并向管理平台发送终端设备识别号和 IMSI等标识移动终端和智能卡的信息，向管理平台报告其和智能卡的绑定关系（通讯手段可以釆用现有技术，如短信息， BIP 等方式），并发送请求信息给管理平台，请求对绑定关系进行认证。

步骤 712, 管理平台收到绑定关系的终端设备识别号和 IMSI对时，去对应的绑定关系数据库查找终端和智能卡的绑定关系是否存在，发现对应关系存在，则通过三方认证，管理平台向终端返回绑定关系认证通过标志。

终端设备接收到认证通过标志后，则置终端设备状态为安全状态（三方认证通过状态），终端设备运行相关物联网应用前，判断设备的状态为安全状态（三方认证通过状态），开始运行相关物联网应用。

实施例二

图 8为本发明实施例中终端、智能卡、管理平台进行三方认证失败的过程，如图 8所示，该过程主要包括：

步骤 801 , 终端开机，智能卡进行复位后，终端执行 Profile Download流程，终端向智能卡发送 TERMINAL PROFILE指令，其中 TERMINAL PROFILE 指令的第 50个字节中的第 7 bit位为 1时代表需要进行终端和智能卡双向认证。

步骤 802 ,智能卡收到该指令后，判断 TERMINAL PROFILE指令中对应 bit位为 1 , 因此，执行移动终端和智能卡双向认证过程。

具体地，本实施例中是使用 IMSI作为认证信息，智能卡和终端内分别存储算法一和算法二，终端中另外存储算法二的逆算法算法三，算法一用于根据认证信息获得认证结果，算法二用于对认证结果进行加密，算法三用于对算法二的结果进行解密。

步骤 804,智能卡同时向终端发送 Get input指令通知终端获取认证参数。步骤 805, 终端接收到命令状态字，识别允许认证，根据 Get input命令向智能卡发送 Fetch指令，要求智能卡发送其加过密的认证结果。

步骤 806, 智能卡根据终端请求，使用算法一对认证参数进行运算，并使用算法二进行加密，将认证参数以及加密的认证结果使用命令状态字传给终端。

步骤 807 , 终端对智能卡传送的加密过的认证结果使用算法三进行运算 (进行算法二的解密过程)，获得智能卡的认证结果，终端同时根据智能卡发送的认证信息，使用同样的算法一进行运算，得到终端侧运算结果。终端比较两个认证结果是否一致。

步骤 808,终端比较发现两个认证不结果一致，则使用 Terminal Response 命令通知智能卡未通过认证。

此时，终端和智能卡结束认证，终端被锁定，无法使用，智能卡的 IMSI 信息被改为随机数，即使被盗，也无法登网使用，终端设备处于机卡锁定状态。

实施例三

图 9为本发明实施例中终端、智能卡、管理平台进行三方认证失败的过程，如图 9所示，该过程主要包括：

步骤 901 , 终端开机，智能卡进行复位后，终端执行 Profile Download流程，终端向智能卡发送 TERMINAL PROFILE指令，其中 TERMINAL PROFILE 指令的第 62个字节中的第 1 bit位为 1时代表需要进行终端和智能卡双向认证。

步骤 902 ,智能卡收到该指令后，判断 TERMINAL PROFILE指令中对应 bit位为 1 , 所以执行移动终端和智能卡双向认证过程。

步骤 904,智能卡同时向终端发送 Get input指令通知终端获取认证参数。步骤 905, 终端接收到命令状态字，识别允许认证，根据 Get input命令向智能卡发送 Fetch指令，要求智能卡发送其加过密的认证结果。

步骤 906, 智能卡根据终端请求，使用算法一对认证参数进行运算，并使用算法二进行加密，将认证参数以及加密的认证结果使用命令状态字传给终端。步骤 907 , 终端对智能卡传送的加密过的认证结果使用算法三进行运算 (进行算法二的解密过程)，获得智能卡的认证结果，终端同时根据智能卡发送的认证信息，使用同样的算法一进行运算，得到终端侧运算结果。终端比较两个认证结果是否一致。

步骤 908, 终端比较发现两个认证结果一致，则使用 Terminal Response 命令给智能卡发送自己的未加密的认证结果。

步骤 909, 智能卡得到终端的运算结果后，和自己运算得到的结果进行比较。

步骤 910, 发现两个认证结果相同，则通过命令状态字通知终端双向认证成功。

步骤 911 , 终端收到通知后则将状态置为机卡认证通过状态，终端向管理平台发送终端设备识别号和 IMSI等标识移动终端和智能卡的信息，向管理平台报告其和智能卡的绑定关系（通讯手段可以釆用现有技术，如短信息， BIP等方式），并发送请求信息给管理平台，请求对绑定关系进行认证。

步骤 912, 管理平台收到绑定关系的终端设备识别号和 IMSI对时，去对应的绑定关系数据库查找终端和智能卡的绑定关系是否存在，发现对应关系不存存在，则未能通过三方认证，管理平台向终端返回绑定关系认证不通过标志。

终端设备接收到认证不通过标志时，则置终端设备状态为不安全状态（三方认证不通过状态），终端设备运行相关物联网应用前，判断设备的状态为不安全状态（三方认证不通过状态），则禁止运行相关物联网应用。

实施例四

参见图 10, 本发明实施例中终端不支持 Profile download 流程的且通过三方认证的过程，主要包括：

步骤 1001 ,物联网设备（终端）开机，智能卡进行复位后，终端执行 Profile Download 流程，终端向智能卡发送 TERMINAL PROFILE 指令，其中 TERMINAL PROFILE指令的第 53个字节中的第 3 bit位为 1时代表需要进行终端和智能卡双向认证。

步骤 1002 , 智能卡收到该指令后，判断 TERMINAL PROFILE指令中对应 bit位为 0 , 判断终端不支持 Profile Download流程。

步骤 1003 , 智能卡不执行移动终端和智能卡双向认证过程，而是使用其他的认证方式并且通过了机卡认证，此时机卡状态也将转为机卡认证通过状态。

步骤 1004, 终端向管理平台发送终端设备识别号和 IMSI等标识移动终端和智能卡的信息，向管理平台报告其和智能卡的绑定关系（通讯手段可以釆用现有技术，如短信息， BIP等方式），并发送请求信息给管理平台，请求对绑定关系进行认证。

步骤 1005, 管理平台收到绑定关系的终端设备识别号和 IMSI对时，去对应的绑定关系数据库查找终端和智能卡的绑定关系是否存在，发现对应关系存在，所以通过三方认证，管理平台向终端返回绑定关系认证通过标志。

终端设备接收到认证通过标志时，则置终端设备状态为安全状态（三方认证通过状态），终端设备运行相关物联网应用前，判断设备的状态为安全状态（三方认证通过状态），开始运行相关物联网应用。

此外，本发明实施例中还提供了一种支持双向认证的智能卡，该智能卡包括：认证处理模块、信息收发模块、认证结果实施模块，

认证处理模块设置为，发起并执行智能卡与终端之间的双向认证过程；信息收发模块设置为，接收终端发送的终端侧认证结果；以及，向终端发送认证信息及智能卡侧认证结果；

认证结果实施模块设置为，当双向认证未通过时，将终端及智能卡置为机卡锁定状态或双向认证未通过状态，并将智能卡的认证信息置为无效信息。

较佳的，认证处理模块是设置为，根据接收到的终端发送的双向认证指示信息、或者根据终端发送的 TERMINAL PROFILE指令中的双向认证指示位判断出终端支持双向认证功能时，发起与该终端之间的双向认证过程。此外，本发明实施例中还提供了一种三方认证装置，该装置包括由终端和智能卡组成的终端设备，还包括管理平台；所述的终端设备包括绑定关系认证请求模块，管理平台包括绑定关系认证模块，其中：

绑定关系认证请求模块设置为，终端与智能卡之间的认证通过后，向管理平台报告终端与能卡的绑定关系，并向管理平台请求对该绑定关系进行认证；

绑定关系认证模块设置为，对终端与智能卡的绑定关系进行认证，若绑定关系认证通过，则判定三方认证通过，若绑定关系认证不通过，则判定三方认证未通过。

此外，终端设备还包括终端侧的双向认证模块，和智能卡侧的双向认证模块，

智能卡侧的双向认证模块设置为 , 根据认证信息使用算法一得出智能卡侧认证结果，并使用算法二对所述智能卡侧认证结果进行加密后，将认证信息以及加密后的智能卡侧认证结果发送给终端；并在收到终端侧认证结果后 , 与得出的智能卡侧认证结果进行比较，若一致，则认证成功，若不一致，则认证失败；

终端侧的双向认证模块设置为，根据智能卡发送的认证信息使用算法一得出终端侧认证结果，同时使用算法三对加密后的智能卡侧认证结果进行解密，并将解密得到的智能卡侧认证结果与终端侧认证结果进行比较，若一致，则将终端侧认证结果发送给智能卡，若不一致，则认证失败，结束本次认证过程；

其中，所述算法三为所述算法二的逆运算。

较佳的，终端设备还包括终端中的指令发送模块，和智能卡中的双向认证发起模块，

指令发送模块设置为，使用扩展的 TERMINAL PROFILE指令中的预留字段或预留位，向智能卡发送双向认证指示位，其中双向认证指示位用于指示终端是否支持双向认证功能；

双向认证发起模块设置为，根据收到的 TERMINAL PROFILE指令中的双向认证指示位判断终端是否支持双向认证功能，若支持，则发起与终端之间的双向认证过程。

较佳的，绑定关系认证模块设置为，查找管理平台本地的绑定关系数据库中是否存在终端与智能卡的绑定关系，若存在，则判定绑定关系认证通过，若不存在，则判定绑定关系认证未通过。

其中，所述的绑定关系，是指终端信息与智能卡信息的组合；

所述终端信息包括以下信息中的一种或其任意组合： IMEI、 ESN、存储在终端中的参数信息；

较佳的，上述的三方认证装置还包括智能卡中的认证结果实施模块，认证结果实施模块设置为，当双向认证过程通过时，将终端及智能卡置为机卡认证通过状态或双向认证通过状态；当双向认证未通过时，将终端及智能卡置为机卡锁定状态或双向认证未通过状态，并将智能卡的认证信息置为无效信息。

以上仅为本发明的优选实施案例而已，并不用于限制本发明，本发明还可有其他多种实施例，在不背离本发明精神及其实质的情况下，熟悉本领域的技术人员可根据本发明做出各种相应的改变和变形，但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。

显然，本领域的技术人员应该明白，上述各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。工业实用性

釆用上述认证方法，使得终端和智能卡的安全都得到了保证，终端使用伪造的智能卡时，锁定终端，保证了终端的安全，智能卡在被盗或者非法使用时将无法登录网络使用，终端在使用非法智能卡时，也能及时锁定终端，同时这种绑定关系能够被动态的认证，在管理平台侧具有对终端和卡设备的控制管理权，便于运营商开展自己的业务，也保证了开展物联网业务的终端和智能卡的专用性和安全性。

Claims

权利要求书

1、一种三方认证方法，所述方法包括：

终端与智能卡之间进行认证；所述终端与所述智能卡之间的认证通过后 , 所述终端向管理平台报告所述终端与所述智能卡的绑定关系，并向所述管理平台请求对所述绑定关系进行认证；所述管理平台对所述终端与所述智能卡的绑定关系进行认证，若所述绑定关系认证通过，则判定三方认证通过，若所述绑定关系认证不通过，则判定三方认证未通过。

2、如权利要求 1所述的方法，其中，所述终端与所述智能卡之间的认证釆用双向认证协议，所述双向认证协议包括：

所述智能卡根据认证信息使用算法一得出智能卡侧认证结果，并使用算法二对所述智能卡侧认证结果进行加密后，将所述认证信息以及加密后的智能卡侧认证结果发送给所述终端；

其中，所述算法三为所述算法二的逆运算。

3、如权利要求 1所述的方法，其中，所述终端与所述智能卡进行认证的步骤包括：

智能卡复位后，终端向所述智能卡发送终端配置（ TERMINAL PROFILE ) 指令；

所述智能卡根据所述 TERMINAL PROFILE指令中的双向认证指示位判断出所述终端支持双向认证功能时，发起与所述终端之间的双向认证过程；智能卡根据认证信息使用算法一得出智能卡侧认证结果，并使用算法二对所述智能卡侧认证结果进行加密后，将所述认证信息以及加密后的智能卡侧认证结果发送给所述终端；

4、如权利要求 3所述的方法，所述方法还包括：

5、如权利要求 1所述的方法，其中，

所述绑定关系，是指终端信息与智能卡信息的组合；

其中，所述终端信息包括以下信息中的一种或其任意组合：国际移动设备身份标识（IMEI ) 、电子序列号（ESN ) 、存储在终端中的参数信息；所述智能卡信息包括以下信息中的一种或其任意组合：国际移动用户识别号（IMSI ) 、集成电路卡识别号（ICCID ) 、存储在智能卡中的参数信息。

6、如权利要求 5所述的方法，其中，

所述管理平台对所述终端与所述智能卡的绑定关系进行认证的步骤包括：

所述管理平台查找本地的绑定关系数据库中是否存在所述终端与所述智能卡的绑定关系，若存在，则判定所述绑定关系认证通过，若不存在，则判定所述绑定关系认证未通过。

7、如权利要求 1、 5或 6所述的方法，所述方法还包括：

8、如权利要求 3所述的方法，所述方法还包括：

所述智能卡判断出终端支持双向认证功能时，使用命令状态字向所述终端发送允许认证指令，发起与所述终端之间的双向认证过程。

9、如权利要求 3所述的方法，其中，所述终端与所述智能卡进行认证的步骤还包括：

10、如权利要求 9所述的方法，其中，所述终端与所述智能卡进行认证的步骤还包括：

11、如权利要求 3所述的方法，其中，所述终端与所述智能卡进行认证的步骤还包括：

所述终端比较所述智能卡侧认证结果与所述终端侧认证结果一致时，使卡。。、 '、 .

12、一种支持双向认证协议的智能卡，所述智能卡包括：认证处理模块、信息收发模块和认证结果实施模块，

13、如权利要求 12所述的智能卡，其中，

所述认证处理模块是设置为：根据接收到的所述终端发送的双向认证指示信息、或者根据所述终端发送的终端配置（ TERMINAL PROFILE )指令中的双向认证指示位判断出所述终端支持双向认证功能时，发起与所述终端之间的双向认证过程。

14、一种三方认证装置，所述装置包括由终端和智能卡组成的终端设备，还包括管理平台；所述终端设备包括绑定关系认证请求模块，所述管理平台包括绑定关系认证模块，其中：

所述绑定关系认证请求模块设置为：所述终端与所述智能卡之间的认证通过后，向所述管理平台^艮告所述终端与所述智能卡的绑定关系，并向所述管理平台请求对所述绑定关系进行认证；

15、如权利要求 14所述的装置，其中，所述终端设备还包括终端侧的双向认证模块，和智能卡侧的双向认证模块，

其中，所述算法三为所述算法二的逆运算。

16、如权利要求 15所述的装置，其中，所述终端设备还包括终端中的指令发送模块，和智能卡中的双向认证发起模块，

17、如权利要求 15或 16所述的装置，其中，

所述绑定关系认证模块是设置为：查找所述管理平台本地的绑定关系数据库中是否存在所述终端与所述智能卡的绑定关系，若存在，则判定所述绑定关系认证通过，若不存在，则判定所述绑定关系认证未通过；

所述绑定关系，是指终端信息与智能卡信息的组合；

18、如权利要求 15或 16所述的装置，其中，所述装置还包括所述智能卡中的认证结果实施模块，