WO2013044766A1

WO2013044766A1 - 无卡终端的业务访问方法及设备

Info

Publication number: WO2013044766A1
Application number: PCT/CN2012/081805
Authority: WO
Inventors: 路晓明
Original assignee: 中国移动通信集团公司
Priority date: 2011-09-26
Filing date: 2012-09-24
Publication date: 2013-04-04
Also published as: CN103024735B; CN103024735A

Abstract

一种无卡终端的业务访问方法，包括：有卡终端接收无卡终端发送的业务认证请求，根据所述业务认证请求为所述无卡终端生成用户密钥，并根据所述用户密钥，通过与网络侧交互对所述无卡终端进行认证；所述有卡终端在所述无卡终端认证通过后，根据接收到的所述无卡终端发送的业务交互请求与网络侧进行业务交互。本方法用以解决无卡终端难以利用GBA流程直接访问网络业务的问题，增强无卡终端对网络业务访问的便捷性。

Description

无卡终端的业务访问方法及设备

本申请要求于 2011 年 09 月 26 日提交中国专利局、申请号为 201110287756.5、发明名称为"无卡终端的业务访问方法及设备"的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及通信技术领域，特别是涉及一种无卡终端的业务访问方法及设备。

背景技术

在移动网络环境下，用户使用终端访问某些业务时，需要基于用户密钥实现终端与业务服务器的相互认证并利用用户密钥加密传输某些机密数据，由此可见，用户密钥的生成是用户使用此类业务的前提条件。

从用户使用的设备中是否带有 SIM/USIM卡 ( Subscriber Identity Module /Universal Subscriber Identity Module, 用户识别卡 /全球用户识别卡）来区分，目前的终端可以分为两类：有卡终端和无卡终端。有卡终端中插有 SIM/USIM 卡，卡中记录了用户登录移动通信网络的个性化用户根密钥，与网络侧 HLR/HSS ( Home Location Register/ Home Subscriber Server, 归属位置寄存器 / 归属用户服务器）中记录的密钥相同。最常见的有卡终端如手机。由于卡中的密钥已经在网络侧和终端侧共享，所以对于有卡终端，可以基于该密钥实现终端与网络平台的相互认证并生成业务层的共享用户密钥。目前 3GPP 定义了 GBA ( Generic Bootstrapping Architecture, 通用引导架构），用于对有卡终端生成终端与业务平台共享的用户密钥。

由于无卡终端中没有插 SIM/USIM卡，终端中不包含任何能够用于认证用户身份的密钥或秘密信息，所以无法像有卡终端这样通过 GBA流程生成终端与业务平台共享的用户密钥。因此，在现有的终端业务访问技术中，无卡终端难以利用 GB A流程直接访问网络业务。

随着无卡终端（例如， PC、笔记本、机顶盒、平板电脑和电子阅读器等），尤其是以平板电脑为代表的无卡终端越来越流行和普及，由此带来的无卡终端无法利用 GBA流程直接访问网络业务的问题亟待解决。发明内容本发明实施例提供了一种无卡终端的业务访问方法及设备，用以解决无卡终端难以利用 GBA流程直接访问网络业务的问题，增强无卡终端对网络业务访问的便捷性。本发明实施例提供的无卡终端的业务访问方法，包括以下步骤：有卡终端接收无卡终端发送的业务认证请求，根据所述业务认证请求为所述无卡终端生成用户密钥，并根据所述用户密钥，通过与网络侧交互对所述无卡终端进行认证；所述有卡终端在所述无卡终端认证通过后，根据接收到的所述无卡终端发送的业务交互请求与网络侧进行业务交互。本发明实施例提供的有卡终端，包括：

第一接收模块，用于接收无卡终端发送的业务认证请求；以及，接收无卡终端发送的业务交互请求；安全模块，用于根据所述业务认证请求为所述无卡终端生成用户密钥，并根据所述用户密钥，通过网络侧对所述无卡终端进行认证；以及，在网络侧对所述无卡终端认证通过后，根据所述第一接收模块接收到的所述无卡终端发送的业务交互请求与网络侧进行业务交互。本发明实施例提供的无卡终端，包括：

安全模块，用于与有卡终端建立安全通道；客户端模块，用于通过所述安全通道向有卡终端发送业务认证请求，以使有卡终端根据所述业务认证请求为所述无卡终端生成用户密钥，并根据所述用户密钥，通过与网络侧交互对所述无卡终端进行认证；以及，通过所述安全通道向有卡终端发送业务交互请求，以使有卡终端与网络侧进行业务交互。与现有技术相比，本发明的上述实施例具有以下有益技术效果：本发明实施例通过有卡终端在接收到无卡终端发起的认证请求后，根据该业务认证请求为无卡终端生成用户密钥，并 ^据该用户密钥，通过网络侧对所述无卡终端进行认证，并在网络侧对无卡终端认证通过后，根据接收到的无卡终端发送的业务交互请求与网络侧进行业务交互，由此可以为不具备访问网络能力的无卡终端提供网络接入通道，使其可以访问业务平台，增强了无卡终端对网络业务访问的便捷性。

附图说明

图 1为本发明实施例提供的无卡终端的业务访问方法的步骤流程图；图 2为本发明实施例提供的无卡终端的业务访问方法的信令示意图；及无卡终端的用户密钥的引导标识的步骤流程图；

图 4为本发明实施例提供的 BSF生成无卡终端用户密钥的验证密钥的步骤流程图；

图 5为本发明实施例提供的有卡终端的结构示意图；

图 6为本发明实施例提供的无卡终端的结构示意图。

具体实施方式下面结合附图对本发明的技术方案进行清楚、完整的描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明的保护范围。本发明实施例所适用的业务访问系统架包括：有卡终端、无卡终端、网络应用平台（ Network Application Function, NAF )和初始 4匕月良务器 ( Bootstrapping server function, BSF )。其中， NAF在本实施例中主要用于与有卡终端进行业务认证以及业务交互； BSF主要用于生成无卡终端的用户密钥并发送给 NAF, 以使 NAF与有卡终端进行业务认证；无卡终端是不带有 SIM/USIM卡的设备，例如 PC、笔记本、机顶盒、平板电脑和电子阅读器等；有卡终端是具有 SIM/USIM卡的设备，例如手机等。

本系统中的有卡终端作为无卡终端的代理，为无卡终端提供用户密钥生成、用户认证、网络接入等功能。无卡终端不参与用户密钥生成、用户认证、网络接入等功能的实现，无卡终端上的业务客户端无需关心密钥协商、用户认证等流程和业务通道安全性，只需要按业务客户端逻辑向有卡终端发起业务交互流程，再由有卡终端通过代理机制向 NAF发送。

基于前述系统架构，本发明实施例提供的无卡终端的业务访问流程可如图 1所示，包括：

步骤 101 , 无卡终端与有卡终端之间建立安全通道。

具体实施时，无卡终端与有卡终端可利用各自存储的共享密钥（PSK )相互认证并建立安全通道。

步骤 102, 无卡终端需要接入 NAF进行业务访问时，通过安全通道向有卡终端发送业务认证请求。

步骤 103, 有卡终端根据该业务认证请求为该无卡终端生成用户密钥。具体实施时，所述业务认证请求中可携带 NAF ID ( NAF标识 )、 Device ID (发起该业务认证请求的无卡终端的设备标识 )等参数，有卡终端可根据该业务认证请求中携带的 NAF ID和 Ks ( Ks是有卡终端与 BSF之间的共享密钥，即根密钥）计算得到业务访问密钥 Ks_NAF, 然后根据 Ks_NAF、 Device ID 等参数生成用户密钥 TempK_NAF和 TB-TID, TB-TID即临时 B-TID

( Bootstrapping transaction identifier , 引导业务标识 )。

步骤 104, 有卡终端使用该用户密钥，通过网络侧对该无卡终端进行业务认证。

具体实施时，有卡终端向 NAF发起业务认证请求，其中携带有为该无卡终端生成的 TB-TID, NAF向 BSF发起获取用户密钥的请求，其中携带有 TB-TID和 NAF ID; BSF解析 TB-TID得到 DeviceID、 B-TID和用户密钥的效期（ Expire Date ), 并根据 NAF ID和 Ks计算得到业务访问密钥 Ks_NAF, 然后根据 Ks_NAF、 DevicelD等参数生成用户密钥 TempK_NAF,并返回给 NAF; NAF和有卡终端之间基于为无卡终端生成的 TempK_NAF对该无卡终端进行业务认证。步骤 105, 若该无卡终端认证通过，则该无卡终端可通过与有卡终端之间的安全通道向有卡终端发送业务交互请求，该有卡终端将该业务交互请求发送给 NAF, 并在接收到 NAF返回的业务响应后，通过该安全通道将该业务响应发送给该无卡终端。其间，根据业务需要，有卡终端可以使用为该无卡终端生成的用户密钥 TempK_NAF对发送给 NAF的数据进行加密； NAF可使用该无卡终端的用户密钥 TempK_NAF对业务响应进行加密后发送给有卡终端，此种情况下，有卡终端可以使用为该无卡终端生成的用户密钥 TempK_NAF对接收到的业务响应数据进行解密，然后将解密后的业务响应发送给无卡终端。

通过以上流程可以看出，本发明实施例具有以下优点：

1、为不具备访问网络能力的无卡终端提供网络接入通道，使其可以访问业务平台，增强了无卡终端对网络业务访问的便捷性。

2、无卡终端不参与用户密钥生成、网络接入以及用户认证等流程，只需要向有卡终端发起业务交互请求，再由有卡终端通过代理机制向业务平台发送，实现有卡终端作为无卡终端的代理接入网络访问业务平台。

3、无卡终端利用有卡终端通过代理方式接入网络访问业务平台，有卡终端接入的网络与业务平台所属网络相同，保证了无卡终端访问业务平台链路的 QoS ( Quality of Service, 服务质量），可以通过统一的网络规划和升级来降低信令响应时延和数据包丟失。

4、无论 TempK_NAF还是 Ks_NAF都不出有卡终端，有效消除了无卡终端通过 TempK_NAF推算出有卡终端 Ks_NAF的风险，提高了有卡终端上业务客户端用户密钥的安全性。务，有效期过后，为无卡终端生成的用户密钥作废，另外，在有卡终端与无卡终端之间建立安全通道，以保证设备的认证和连接的保密性。

本发明实施例在具体实施时，可通过在有卡终端和无卡终端上分别部署一个安全模块（Secure Module, SeM ), 来实现有卡终端代理无卡终端进行业务认证和网络接入的功能。无卡终端上的 SeM模块包括接口层，有卡终端上的 SeM模块包括接口层和中间件。其中，接口层可以采用多种软件或硬件形式，来保证有卡终端上中间件与无卡终端的业务客户端间接口的通信安全。有卡终端上的 SeM模块中的中间件作为一种通用能力，可以为多个无卡终端、多个业务客户端提供用户密钥生成、用户认证、网络接入等功能。

基于以上有卡终端和无卡终端的结构，本发明实施例提供的无卡终端的用户密钥生成、用户认证、网络接入以及业务交互过程的信令流程可如图 2所示。其中，在 GBA初始化过程中，有卡终端中的密钥运算模块和 BSF之间协商共享密钥，即，有卡终端的 GBA密钥运算模块利用 SIM/USIM卡计算鉴权信息与 BSF认证，实现 GBA初始化过程，并生成有卡终端的根密钥 Ks。

以下结合图 1及图 2详细说明 GBA初始化过程之后的用户密钥生成、用户认证以及业务交互过程，如图 2所示，该过程包括：

1、无卡终端和有卡终端之间建立安全通道（对应图 1中的步骤 101 ) 其中，无卡终端的 SeM模块的接口层与有卡终端的 SeM模块的接口层利用各自存储的共享密钥（PSK )相互认证并建立安全通道。其中，该共享密钥既可以是预存的，也可以是用户临时输入的口令等。

有卡终端代理无卡终端进行的业务认证过程（对应图 1中的步骤 102-104 )

2、无卡终端在需要接入 NAF时，无卡终端的 NAF客户端向有卡终端的 SeM模块中的中间件发起认证请求，其中携带有需要访问的网络应用平台标识（NAF ID )和该无卡终端标识（Device ID )。

3、有卡终端的中间件向该有卡终端 SIM/USIM中的密钥运算模块发送密钥请求，以请求获取该无卡终端的业务密钥 Ks_NAF; SIM/USIM中的密钥运算模块接收到中间件的密钥请求后生成 Ks_NAF并发送给中间件，该 Ks_NAF 对应无卡终端所请求的业务平台标识 NAF ID。

4、具体的，有卡终端的密钥运算模块利用 Ks、 NAF ID及 IP 多媒体私有标识（ IP Multimedia Private Identity, IMPI )等生成 Ks_NAF。密钥运算模块既可以是在 SIM/USIM中，也可以在 SIM/USIM之外，比如在终端上的软件或硬件。 5、有卡终端的中间件根据获得的 Ks_NAF 生成无卡终端的用户密钥

TempK_NAF以及无卡终端的用户密钥的临时 TB-TID。

6、有卡终端的中间件向 NAF发起业务认证请求，其中携带有为无卡终端生成的 TB-TID;

7、 NAF接收到中间件发送的业务认证请求后，向 BSF发起密钥请求，该密钥请求中携带有自己的 NAF ID以及从业务认证请求中获取到的 TB-TID;

8、 BSF接收到该密钥请求后生成无卡终端的用户密钥 TempK_NAF;

9、将该无卡终端的 TempK_NAF发送给 NAF;

10、有卡终端的中间件与 NAF基于为该无卡终端生成的 TempK_NAF为该无卡终端进行认证，即，中间件与 NAF基于 TempK_NAF完成 HTTP Digest 相互认证，认证通过后在有卡终端和 NAF之间建立业务通信安全通道。

11、 NAF 与有卡终端中间件对无卡终端认证通过后，中间件将该认证结果发送给无卡终端的 NAF客户端。优选的，有卡终端可以在用户界面上向用户提示无卡终端的业务认证请求，并等待用户选择是否同意，若接收到用户提交的拒绝信息，则有卡终端拒绝无卡终端的认证请求，若接收到用户提交的确认信息，则有卡终端的中间件向密钥运算模块请求业务访问密钥（ Ks_NAF )。有卡终端代理无卡终端进行的业务交互过程（对应图 1中的步骤 105 )

12、认证通过后的无卡终端的 NAF客户端向有卡终端中间件发起下一步业务交互请求；

13、有卡终端的中间件将该业务交互请求通过有卡终端的接入网络发送给 NAF (即通过该有卡终端与 NAF之间建立的业务安全通道发送该业务交互请求）； NAF接收到有卡终端中间件发来的业务交互请求后进行相应处理，并将业务响应发送给有卡终端的中间件；有卡终端的中间件接收到 NAF发送的业务响应后将其发送给无卡终端的 NAF客户端；无卡终端的 NAF客户端收到业务响应后进行相应业务处理操作。优选的，有卡终端中间件根据业务交互的安全级别，可以选择对从无卡终端收到的业务交互请求利用该无卡终端的 TempK_NAF进行加密，并将加密后的业务交互请求发送给 NAF;

务响应，使用该无卡终端的 TempK_NAF进行加密。

15、如果有卡终端的中间件接收到的业务响应进行了加密处理，则该中间件使用对应的 TempK_NAF对该业务响应进行解密，并将解密后的业务响应发送给无卡终端的 NAF客户端。

在前述步骤 103中，中间件根据获得的 Ks_NAF生成无卡终端的用户密钥以及无卡终端的用户密钥的引导标识（参见图 3所示），具体包括以下步骤：步骤 301 , 中间件根据策略为无卡终端的用户密钥设置有效期（Expire Date ), 该用户密钥的有效期可针对不同的用户以及需要访问的业务内容不同而灵活设定，以满足不同用户、不同业务的需要。具体操作时，根据无卡设备标识（Device ID )所携带的终端类型进行判断：如果是机顶盒、家庭设备等家庭内的终端，则密钥有效期长度可以为 1天，则 Expire Date可以为 2010-3-20 12: 00: 00: 2010-3-21 12: 00: 00; 如果是公共 PC等设备，则有效期可以为 1小时，则 Expire Date可为 2010-3-20 12: 00: 00: 2010-3-21 13: 00: 00。

步骤 302, 中间件根据 Ks_NAF、 Expire Date和 Device ID生成用户密钥 ( TempK_NAF ) 以及该无卡终端用户密钥的引导标识（ TB-TID )。具体的， TempK_NAF=KDF ( Ks_NAF, Device ID, Expire Date ); 其中， KDF是单向摘要函数，其包括 MD5, SHA1、 SHA256, 或者 HMAC算法。有卡终端的密钥运算模块将 Expire Date及 TempK_NAF传送至有卡终端的中间件；有卡终端的中间件根据有效期、无卡终端设备标识及引导业务标识 ( Bootstrapping transaction identifier, B-TID )生成无卡终端的临时 |导标识 TB-TID, 例如无卡终端的临时引导业务标识为：终端标识@有效期 @引导业务标识；其中， B-TID是有卡终端执行过 GBA初始化后，由 BSF为有卡终端生成的； B-TID用于标识有卡终端的用户密钥 Ks。

在前述步骤 104中， BSF生成无卡终端用户密钥的验证密钥（参见图 4 所示），具体包括以下步骤：

步骤 401 , BSF接收到 NAF发送的密钥请求后，解析该密钥请求中携带的 TB-TID, 取出 B-TID、 Device ID和 Expire Date。

步骤 402, BSF判断该 TB-TID的 Expire Date是否仍然有效，若有效，根据 B-TID查找 Ks_NAF, 否则给中间件返回认证未通过的消息（还请确认是否正确）。

步骤 403 , BSF根据 Ks_NAF计算无卡终端用户密钥的验证密钥，

TempK_NAF=KDF ( Ks_NAF, Device ID,, Expire Date )。其中， KDF是单向摘要函数，其包括 MD5, SHA1、 SHA256, 或者 HMAC算法。

通过以上流程可以看出，本发明实施例还具有以下优点：

1、本发明实施例将认证和生成业务层的共享用户密钥的功能集中在有卡终端的 SeM模块中，无卡终端上的业务客户端无需关心认证流程和业务通道安全性，降低了无卡终端上业务客户端的复杂度，减少了有卡终端和无卡终端 SeM模块间交互复杂度，提高了功能稳定性。 2、有卡终端 SeM模块中的中间件作为一种通用能力，可以为多个终端、多个客户端提供认证流程和业务通道安全性，降低各客户端的开发成本和融合难度。中间件基于相同的 GBA方案、相同的 SIM卡可以为自身业务客户端和其他若干个无卡终端上的业务客户端产生不同的身份标识和不同的业务密钥，保证不同的业务客户端可以用不同的身份进行认证。基于以上方法实施例，本发明实施例还提供一种有卡终端。参见图 5, 该图为本发明实施例提供的有卡终端的结构示意图，该有卡终端包括：

第一接收模块 501 , 用于接收无卡终端发送的业务认证请求；以及，接收无卡终端发送的业务交互请求；安全模块 502, 用于根据业务认证请求为无卡终端生成用户密钥，并根据用户密钥，通过网络侧对无卡终端进行认证；以及，在网络侧对无卡终端认证通过后，根据第一接收模块 501接收到的无卡终端发送的业务交互请求与网络侧进行业务交互。

具体的，安全模块 502具体用于，为无卡终端生成用户密钥和该用户密钥的临时引导标识，向网络应用平台 NAF发起业务认证请求，其中携带有临时引导标识，以使 NAF将所述临时引导标识发送给初始化服务器 BSF, 并从 BSF获取其 ^据该临时 I导标识生成的用户密钥；安全模块 502还用于，与 NAF基于为无有卡终端生成的用户密钥进行认证。

本发明实施例提供的有卡终端还包括密钥运算模块 503, 用于根据网络侧的网络平台标识 NAF ID以及有卡终端与网络侧的共享密钥 Ks生成业务访问密钥 Ks_NAF; 安全模块 502还用于，为无卡终端的用户密钥设置有效期，根据 Ks_NAF、有效期和无卡终端的设备标识生成无卡终端的用户密钥，根据所述有效期、所述无卡终端的设备标识和用户密钥的引导标识生成无卡终端的用户密钥的临时引导标识。

该有卡终端还包括：第二接收模块 504, 该第二接收模块 504用于接收网络侧返回的业务响应；

安全模块 502还用于，将所述第二接收模块 504接收的业务响应发送给无卡终端。具体的，安全模块 502还用于，使用为无卡终端生成的用户密钥对接收到的业务交互请求进行加密，并将加密后的业务交互请求发送给网络侧；以及，使用为无卡终端生成的用户密钥对网络侧返回的业务响应进行解密，并将解密后的业务响应发送给所述无卡终端。本发明实施例还提供一种无卡终端，参见图 6所示，为本发明实施例提供的无卡终端的结构示意图，该无卡终端包括：

安全模块 601 , 用于与有卡终端建立安全通道；

客户端模块 602, 用于通过安全通道向有卡终端发送业务认证请求，以使有卡终端根据业务认证请求为所述无卡终端生成用户密钥，并根据用户密钥，通过与网络侧交互对无卡终端进行认证；以及，通过安全通道向有卡终端发送业务交互请求，以使有卡终端与网络侧进行业务交互。具体的，客户端模块 602还用于，接收有卡终端返回的业务响应。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台终端设备（可以是手机，个人计算机，服务器，或者网络设备等）执行本发明各个实施例所述的方法。

本领域技术人员可以理解，实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中，也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块，也可以进一步拆分成多个子模块。以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视本发明的保护范围。

Claims

权利要求

1、一种无卡终端的业务访问方法，其特征在于，包括：

有卡终端接收无卡终端发送的业务认证请求，根据所述业务认证请求为所述无卡终端生成用户密钥，并根据所述用户密钥，通过与网络侧交互对所述无卡终端进行认证；

所述有卡终端在所述无卡终端认证通过后，根据接收到的所述无卡终端发送的业务交互请求与网络侧进行业务交互。

2、如权利要求 1所述的方法，其特征在于，所述有卡终端根据所述业务认证请求为所述无卡终端生成用户密钥，并 ^据所述用户密钥，通过与网络侧交互对所述无卡终端进行认证，包括：

有卡终端为所述无卡终端生成用户密钥和该用户密钥的临时引导标识；所述有卡终端向网络应用平台 NAF发起业务认证请求，其中携带有所述临时引导标识； NAF向初始化服务器 BSF发起密钥请求，其中携带有所述临时引导标识；

所述 BSF根据所述临时引导标识生成用户密钥，并返回给所述 NAF; 所述有卡终端与所述 NAF基于为所述无卡终端生成的用户密钥对所述无卡终端进行认证。

3、如权利要求 2所述的方法，其特征在于，所述有卡终端为所述无卡终端生成用户密钥和该用户密钥的临时引导标识，具体包括：

有卡终端 ^据网络平台标识 NAF ID以及有卡终端与网络侧的共享密钥

Ks生成业务访问密钥 Ks_NAF;

所述有卡终端为无卡终端的用户密钥设置有效期；

所述有卡终端根据 Ks_NAF、所述有效期和所述无卡终端的设备标识生成无卡终端的用户密钥，根据所述有效期、所述无卡终端的设备标识和用户密钥的引导标识生成所述无卡终端的用户密钥的临时引导标识；所述 BSF根据所述临时引导标识生成用户密钥，具体包括：

BSF通过解析临时引导标识得到无卡终端用户密钥的引导标识、设备标识和用户密钥的有效期；

所述 BSF判断解析得到的用户密钥的有效期是否有效，并在判断为有效时，根据用户密钥的引导标识查找对应的业务访问密钥，并根据该业务访问密钥、无卡终端的设备标识和有效期生成用户密钥。

4、如权利要求 1所述的方法，其特征在于，该方法还包括：

所述有卡终端与网络侧进行业务交互后，将网络侧返回的业务响应发送给无卡终端。

5、如权利要求 4所述的方法，其特征在于，所述有卡终端根据接收到的所述无卡终端发送的业务交互请求与网络侧进行业务交互，包括：

所述有卡终端使用为所述无卡终端生成的用户密钥对接收到的业务交互请求进行加密，并将加密后的业务交互请求发送给网络侧；

所述有卡终端将网络侧返回的业务响应发送给无卡终端，包括：

所述有卡终端使用为所述无卡终端生成的用户密钥对网络侧返回的业务响应进行解密，并将解密后的业务响应发送给所述无卡终端。

6、一种有卡终端，其特征在于，包括：

第一接收模块，用于接收无卡终端发送的业务认证请求；以及，接收无卡终端发送的业务交互请求；

安全模块，用于根据所述业务认证请求为所述无卡终端生成用户密钥，并根据所述用户密钥，通过网络侧对所述无卡终端进行认证；以及，在网络侧对所述无卡终端认证通过后，根据所述第一接收模块接收到的所述无卡终端发送的业务交互请求与网络侧进行业务交互。

7、如权利要求 6所述的有卡终端，其特征在于，所述安全模块具体用于，为所述无卡终端生成用户密钥和该用户密钥的临时引导标识，向网络应用平台 NAF发起业务认证请求，其中携带有所述临时引导标识，以使 NAF将所述临时引导标识发送给初始化服务器 BSF, 并从 BSF获取其根据该临时引导标识生成的用户密钥；

所述安全模块还用于，与 NAF基于为所述无有卡终端生成的用户密钥进行认证。

8、如权利要求 7所述的有卡终端，其特征在于，所述有卡终端，还包括：密钥运算模块，用于根据网络侧的网络平台标识 NAF ID以及有卡终端与网络侧的共享密钥 Ks生成业务访问密钥 Ks_NAF;

所述安全模块还用于，为无卡终端的用户密钥设置有效期，根据 Ks_NAF、所述有效期和所述无卡终端的设备标识生成无卡终端的用户密钥，根据所述有效期、所述无卡终端的设备标识和用户密钥的引导标识生成所述无卡终端的用户密钥的临时引导标识。

9、如权利要求 6所述的有卡终端，其特征在于，还包括：第二接收模块；所述第二接收模块，用于接收网络侧返回的业务响应；

所述安全模块还用于，将所述第二接收模块接收的业务响应发送给无卡终端。

10、如权利要求 9所述的有卡终端，其特征在于，

所述安全模块还用于，使用为所述无卡终端生成的用户密钥对接收到的业务交互请求进行加密，并将加密后的业务交互请求发送给网络侧；以及，使用为所述无卡终端生成的用户密钥对网络侧返回的业务响应进行解密，并将解密后的业务响应发送给所述无卡终端。

11、一种无卡终端，其特征在于，包括：

安全模块，用于与有卡终端建立安全通道；

客户端模块，用于通过所述安全通道向有卡终端发送业务认证请求，以使有卡终端根据所述业务认证请求为所述无卡终端生成用户密钥，并根据所述用户密钥，通过与网络侧交互对所述无卡终端进行认证；以及，通过所述安全通道向有卡终端发送业务交互请求，以使有卡终端与网络侧进行业务交互。

12、如权利要求 11所述的无卡终端，其特征在于，所述客户端模块还用于，接收有卡终端返回的业务响应。