芯片卡(CP)必须以安全的方式通过个性化中心(CE)分配给网络运营商(MNO)以便不经网络进行传输,就能确定出分配给运营商用户的最终鉴别密钥。用模块(MP)将以下内容装入卡内:算法和分配密钥;确定该最终鉴别密钥和至少一个中间鉴别密钥的算法。模块(MA)将包含最终身份识别号码(IMSI)、随机号码和分配签名的分配信息从中心传输到卡。卡根据分配密钥和分配签名借助分配算法鉴别此信息并根据中间密钥和随机号码确定最终鉴别密钥。
【技术实现步骤摘要】
【国外来华专利技术】向网络运营商分配芯片卡的系统本专利技术涉及向指定网络运营商分配芯片卡的系统。更准确地说, 它涉及到在芯片卡由生产厂制造出来、实现个性化,并发送给例如由 运营商所推荐的服务供应商之后将芯片卡分配给运营商。芯片卡目前是在生产厂进行制造和个性化时分配给指定的网络运营商。这些芯片卡是含微控制器的uicc卡(通用集成电路卡),例如像用于GSM型蜂窝式通信网的SIM (用户身份识别模块)卡,或用 于UMTS (通用移动电信系统)第三代(3GPP) CDMA (码分多址接 入)网的USIM(通用用户身份识别模块)身份识别模块。可将这样的 卡插入移动终端,特别是用来对卡进行识别,从而也识别出拥有此卡 的用户。服务供应商还可以是鉴别供应商,例如银行,它提供可插入识别终端并含有标识符和鉴别密钥的识别卡。此后将使用GSM网作为实例。在这种网络中,SIM卡在个性化之 后包括至少一个分配给运营商用户的IMSI (国际移动用户识别码)号 码以及同样分配给该用户的鉴别密钥Ki。在用户预定由运营商所提供 的通信服务时,就已经装入卡的鉴别密钥Ki和相关的IMSI号码分配 给用户。密钥Ki存储在用户的SIM卡以及运营商数据库中,后者也被 称为鉴别中心。为减小密钥Ki被读取的可能性,决不通过网络对其进 行传输。图l示出了移动网运营商,例如移动电话运营商,MNOl, MN02 以及MN03的卡的已知分配情况,运营商MNOl, MN02以及MN03 向生产厂F定购一定数量的芯片卡并将发送出包括其各自身份识别号 码IMSIl, IMSI2和IMSI3的输入文件发送给生产厂。收到这些输入 文件后,生产厂F的卡个性化装置借助已知的密钥产生算法对所接收 号码IMSIl, IMSI2和IMSI3分别产生出鉴别密钥Kil, K二 Ki3。在 卡个性化期间,卡个性化装置将运营商的IMSI号码及相关的鉴别密钥 Ki装入各个卡并将包括这些号码和各相应鉴别密钥的输出文件发送给 运营商,这些运营商再把这些文件加入他们的数据库。例如,两个卡 分别地存储了分配给同一个运营商MNOl的号码和密钥对IMSIla和 Kila, IMSIlb和Kilb。这一已知的卡分配方法不允许将已经分配给第一个运营商的卡再 分配给第二个运营商。每个卡只能够明确地分配给单独一个运营商。这个缺点例如在出售单一服务供应商(其也称为虚拟网络运营 商,它并不拥有网络)之下的不同运营商所提供的服务时就突显出来。 该供应商向几个运营商订购一定数量的卡,每个卡都包括运营商所特 有的IMSI号码和相应的Ki号码以^使例如在在毗邻店中对它们进行转 售。由于各个卡分配给了指定的运营商,供应商必须经常不断地对其 已分配卡的库存加以管理。供应商可售出第一运营商比第二运营商多 得多的卡,因此,第二运营商未分配给用户的卡仍由供应商保存。这 种库存的管理使供应商负担了很大的费用。为解决这个问题,现在向 用户出售服务预订时提供卡的后分配方法。后分配的优点是供应商所 存放的卡,其性质是不确定的、没有分配给任何运营商,可在售出时 根据用户的选择可逐步分配。卡的后分配不要求运营商为分配已生产 的各个卡进行任何指定的个性化.已经知道,通过在卡内或外部实体如卡生产厂中生成加密鉴别密 钥Ki和将此加密密钥例如通过短信SMS从卡传输到运营商或从外部 实体传输到卡以及运营商来进行芯片卡的后分配.由于鉴别密钥通过 电信网络传输,因此这些后分配的安全性较差。本专利技术的目的是通过以安全方式经电信网络对卡进行后分配方 法,以克服前述缺点,而无需经电信网传输鉴别密钥。为此,将芯片卡分配给网络运营商的方法使用了个性化装置来确 定分配给该运营商用户的最终鉴别密钥,所述方法的特征在于其包括 下述步骤将分配算法和分配密钥以及用来确定鉴别密钥和至少一个不分配 给运营商的中间鉴别密钥的算法,装入放在个性化装置中的卡中,将分配信息从个性化装置传输到卡,分配信息包括分配给运营商 用户的最终身份识别号码,与用户相关的随机号码,以及把最终身份 识别号码、随机号码和分配密钥用于分配算法所得到之分配签名。根据分配密钥和分配签名利用卡内的分配算法对分配信息进行鉴 别,及根据中间密钥和随机号码,利用卡内的确定鉴别密钥的算法来确定分配给用户的最终鉴别密钥。该方法兼有下述三个优点不经过网络来传输指定给网络运营商 所属每个用户的鉴别密钥;如果选择经过网络传输加密的随机数据 时,直接在卡内确定这一密钥,这样即使鉴别密钥被第三方截取,也 不会被解密;以及不把最终鉴别密钥存在个性化装置。在装载卡时,将用于卡与个性化装置间首次通信的引导程序也装 载入卡,该引导程序包括引导身份识别号码和引导鉴别密钥,在确定 了最终鉴别密钥之后,它们可由最终身份识别号码和最终鉴别密钥所 取代。本专利技术还涉及到将芯片卡分配给网络运营商的系统,该系统使用 个性化装置来确定分配给运营商用户的最终鉴别密钥。该系统的特征 在于它包括装栽装置,它把分配算法和分配密钥,以及用来确定鉴别密钥和 至少一个不分配给运营商的中间鉴别密钥的算法装入放在个性化装置 中的卡,传输装置,它把分配信息从个性化装置传输到卡,分配信息包括 分配给运营商用户的最终身份识别号码,与用户相关的随机号码,以 及将最终身份识别号码、随机号码和分配密钥应用于分配算法所得之 分配签名卡,鉴别装置,它根据分配密钥和分配签名利用卡内的分配算法对卡 内的分配信息进行鉴别,及确定装置,它根据中间密钥和随机号码利用确定鉴别密钥的算法 来确定分配给用户的最终鉴别密钥。本专利技术还涉及到要分配给网络运营商用户的芯片卡,其使用个性 化装置以便确定分配给运营商用户的最终鉴别密钥,该卡包括至少一 个存储器模块和一个微处理器。该芯片卡的特征在于,利用个性化装 置对卡进行装载之后存储器包括以下内容一个分配密钥和一种分配算法,供微处理器在卡分配给运营商 时,鉴别由个性化装置传输来的分配信息,包括分配给运营商用户的 最终身份识别号码,随机号码以及通过把最终身份识别号码、随机号 码和分配密钥应用于分配算法所得到之分配签名,以及一种用来确定鉴别密钥和至少一个不分配给运营商的中间鉴别密钥的算法,供微处理器根据随机号码确定分配给用户的最终签别密钥。芯片卡还可以包括将卡分配给运营商用户时用于卡与个性化装置 间首次通信的引导程序,该程序包括引导身份识别号码和引导鉴别密 钥,在确定了最终鉴别密钥之后,它们可由最终身份识别号码和最终 鉴别密钥所取代。通过阅读本专利技术作为非限制性实例给出的几个优选实施方案的下 述说明。本专利技术更多的特点和优点将会更清晰地显现出来,参看附图,其中-图l,已经加以说明,它是根据现有技术的芯片卡分配系统的方 框图;-图2和图3为根据本专利技术的卡分配系统的方框图,分别涉及卡个 性化和卡分配;-图4是一种根据本专利技术用于对芯片卡进行后分配的方法的算法;-图5是一种根据本专利技术用于对芯片卡进行个性化的方法的算 法;及-图6是一种根据本专利技术用于对芯片卡进行分配的方法的算法。图2和图3中所示的实施方案表示根据本专利技术将芯片卡分配给移 动数字式蜂窝通信网络运营商的系统.例如在用户预订由服务供应商 如所说的网络运营商或如虚拟网络运营商也称为经销商或转卖商所出 售的电信服务时,将芯片卡后分配给指定的本文档来自技高网...
【技术保护点】
向网络运营商(MNO)分配芯片卡(CP)的方法,该方法采用个性化装置(CE)来确定分配给运营商用户的最终鉴别密钥K↓[i], 其特征在于: 所述方法包括下述步骤: 将分配算法(AA)和分配密钥(Kalloc)以及为确定鉴别密钥和至少一个不分配给运营商(MNO)的中间鉴别密钥(K↓[int])的算法(AD)装入(E1)放在个性化装置内的卡(CP), 将分配信息(MES)从个性化装置(CE)传输(E23)到卡,该分配信息包括分配给运营商(MNO)用户的最终身份识别号码(IMSI),与用户相关的随机号码(RND),以及把最终身份识别号码、随机号码和分配密钥用于分配算法所得到之分配签名(Salloc), 根据分配密钥(Kalloc)和分配签名(Salloc),利用卡内的分配算法(AA)对分配信息(MES)进行鉴别(E24),及 根据中间密钥(K↓[int])和随机号码(RND),利用卡内的确定鉴别密钥的算法(AD)来确定出(E26)分配给用户的最终鉴别密钥(K↓[i])。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:M德格鲁特,G丘,L默里恩,
申请(专利权)人:格姆普拉斯公司,
类型:发明
国别省市:FR[法国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。