本发明专利技术公开了安全增强USIM装置和USIM安全增强方法,所述装置包括标准USIM装置的功能,所述装置还包括:权限控制安全处理模块,所述权限控制安全处理模块对Applet应用进行权限控制;权限控制策略模块,所述权限控制策略模块用于存储USIM装置的所有权限策略;校验值存储模块,所述校验值存储模块用于存储USIM装置的所有Applet特征值的校验值。本发明专利技术既能够防止恶意Applet访问USIM卡COS系统的功能,又能够防止合法Applet执行USIM卡底层主动式命令的权限超出使用者授权范围。令的权限超出使用者授权范围。令的权限超出使用者授权范围。
【技术实现步骤摘要】
安全增强USIM装置和USIM安全增强方法
[0001]本专利技术属于通信安全
,尤其涉及安全增强USIM装置和USIM安全增强方法。
技术介绍
[0002]在移动通信领域,用户终端UE包括ME和USIM卡两部分,虽然经过了多年的发展,USIM卡的安全性有大幅度提升,但其提升的能力主要体现在其业务功能上,无论是Native卡还是Java卡,其自身的安全性存在以下几个安全隐患:(1)根据3GPP标准规定,USIM卡能够在移动终端ME和使用者无感的情况下,接收下行的短信报文,具备接收、解析并处理外部控制指令的条件。
[0003](2)根据3GPP标准规定,USIM卡能够通过主动式命令SEND SHORT MESSAGE在移动终端和使用者无感的情况下发送上行短消息,包括SMS
‑
SUBMIT普通短消息和SMS
‑
COMMAND命令短消息两种短信类型。具备在终端和使用者完全无感的情况下,向网络或攻击者发送携带敏感信息短消息的条件。
[0004](3)USIM卡自身存储了代表用户的签约信息和安全凭证等关键信息,包括用户永久身份标识SUPI、长期密钥、认证参数等关键信息,一旦泄露,危害很大。
[0005](4)根据3GPP标准规定,USIM卡能够通过主动式命令PROVIDE LOCAL INFORMATION在移动终端ME和使用者无感的情况下,从ME获取到该终端当前的位置信息和终端身份标识IMEI/PEI等隐私信息,一旦泄露,危害极大。
[0006]若是将上述4种隐患结合起来,就可能形成攻击闭环,即攻击者通过下行短信内嵌控制指令发送到USIM卡,远程操控USIM卡窃取其本地以及移动终端ME的关键信息和隐私信息,再通过上行短信将窃取到的信息进行回传,从而实施攻击行为,而移动终端ME和使用者全程无感,危害极大。
技术实现思路
[0007]本专利技术的目的在于,为克服现有技术缺陷,提供了安全增强USIM装置和USIM安全增强方法,解决攻击者利用Applet潜在漏洞或者通过植入恶意Applet漏洞,接收外部恶意控制指令,窃取用户终端或USIM卡自身隐私信息等安全问题。
[0008]本专利技术目的通过下述技术方案来实现:一种安全增强USIM装置,所述装置包括标准USIM装置的功能,所述装置还包括:权限控制安全处理模块,所述权限控制安全处理模块对Applet应用进行权限控制;权限控制策略模块,所述权限控制策略模块用于存储USIM装置的所有权限策略;校验值存储模块,所述校验值存储模块用于存储USIM装置的所有Applet特征值的校验值。
[0009]进一步的,所述权限控制安全处理模块以软件功能库的形式内嵌于USIM装置的
COS系统中。
[0010]进一步的,所述权限控制策略模块和校验值存储模块以配置文件形式嵌于USIM装置的文件系统中。
[0011]另一方面,本专利技术还提供了一种USIM安全增强方法,所述方法通过前述任一安全增强USIM装置实现,所述方法包括:生成Applet特征值和校验值,并将所述特征值注入USIM装置中;配置USIM装置权限控制策略;对Applet身份及行为进行权限控制。
[0012]进一步的,所述生成Applet特征值和校验值,并将所述特征值注入USIM装置中具体包括:生成一组或多组Applet特征值集合;将所述校验值分发注入到USIM装置的COS系统中,将所述特征值集合分发注入到USIM装置的Applet中。
[0013]进一步的,所述将所述校验值分发注入到USIM装置的COS系统中具体包括:生成所述特征值的校验值;将特征值的校验值写入到COS系统的文件系统中。
[0014]进一步的,所述将所述特征值集合分发注入到USIM装置的Applet中具体包括:根据所述特征值与Applet身份标识生成AID;将内部嵌入了特征值的AID作为Applet的标识ID。
[0015]进一步的,所述配置USIM装置权限控制策略具体包括:终端通过APDU指令向USIM装置发送权限控制配置策略;权限控制安全处理模块访问文件系统的权限控制策略模块并更新权限控制策略模块。
[0016]进一步的,所述方法还包括更新完成后权限控制安全处理模块通过APDU指令向终端发送通知,提示完成权限控制配置策略更新操作。
[0017]进一步的,所述对Applet身份及行为进行权限控制具体包括:当安全增强USIM装置发起操作时,向权限控制安全处理模块发送应用标识AID,权限控制安全处理模块根据AID提取出特征值信息;权限控制安全处理模块调用密码服务引擎,计算并生成特征值的校验值;权限控制安全处理模块访问文件系统的校验值存储模块,根据计算生成的特征值的校验值鉴别Applet合法性,若Applet合法则继续后续操作,否则阻断操作;权限控制安全处理模块访问文件系统的权限控制策略模块,对安全增强USIM装置行为进行权限控制;权限控制安全处理模块对允许满足权限控制策略的行为,执行主动式命令操作。
[0018]本专利技术的有益效果在于:(1)本专利技术可以提供USIM卡操作系统级底层的权限控制,既可以防止恶意Applet访问USIM卡COS系统的功能,又能够防止合法Applet执行USIM卡底层主动式命令的权限超出使用者授权范围。
[0019](2)本专利技术能够有效解决USIM卡接收外部短消息、从终端ME获取信息、向外部发送
短消息等情况下,终端ME和使用者均不知情,且无法实施权限控制和干预等重大安全隐患问题。
[0020](3)本专利技术应用范围广,适用于任何移动通信终端和模组。
附图说明
[0021]图1是本专利技术实施例提供的安全增强USIM装置结构框图;图2是本专利技术实施例提供的USIM安全增强方法流程示意图;图3是本专利技术实施例Applet特征值及其校验值生成示意图。
具体实施方式
[0022]以下通过特定的具体实例说明本专利技术的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本专利技术的其他优点与功效。本专利技术还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本专利技术的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。
[0023]基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0024]将现有USIM存在的隐患结合起来,可能形成攻击闭环,即攻击者通过下行短信内嵌控制指令发送到USIM卡,远程操控USIM卡窃取其本地以及移动终端ME的关键信息和隐私信息,再通过上行短信将窃取到的信息进行回传,从而实施攻击行为,而移动终端ME和使用者全程无感,危害极大。
[0025]为了解决上述技术问题,提出了本专利技术安全增强USIM装置和USIM安全增强方法的下述各个实施例。
[0026]实施例1参照图1,如图1所本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种安全增强USIM装置,所述装置包括标准USIM装置的功能,其特征在于,所述装置还包括:权限控制安全处理模块,所述权限控制安全处理模块对Applet应用进行权限控制;权限控制策略模块,所述权限控制策略模块用于存储USIM装置的所有权限策略;校验值存储模块,所述校验值存储模块用于存储USIM装置的所有Applet特征值的校验值。2.如权利要求1所述的安全增强USIM装置,其特征在于,所述权限控制安全处理模块以软件功能库的形式内嵌于USIM装置的COS系统中。3.如权利要求1所述的安全增强USIM装置,其特征在于,所述权限控制策略模块和校验值存储模块以配置文件形式嵌于USIM装置的文件系统中。4.一种USIM安全增强方法,其特征在于,所述方法通过权利要求1
‑
3任一所述的安全增强USIM装置实现,所述方法包括:生成Applet特征值和校验值,并将所述特征值注入USIM装置中;配置USIM装置权限控制策略;对Applet身份及行为进行权限控制。5.如权利要求4所述的USIM安全增强方法,其特征在于,所述生成Applet特征值和校验值,并将所述特征值注入USIM装置中具体包括:生成一组或多组Applet特征值集合;将所述校验值分发注入到USIM装置的COS系统中,将所述特征值集合分发注入到USIM装置的Applet中。6.如权利要求5所述的USIM安全增强方法,其特征在于,所述将所述校验值分发注入到USIM装置的COS系统中具体包括:生成所述特征值的校验值;...
【专利技术属性】
技术研发人员:王俊,李文江,叶雷,顾芳,张力,
申请(专利权)人:中国电子科技集团公司第三十研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。