本发明专利技术公开了一种智能卡与用户识别模块安全绑定的方法、系统和管理平台。移动终端和网络侧管理平台之间建立基于智能卡的安全连接,通过该连接,终端侧的用户识别模块与网络侧接入认证中心之间模拟接入认证流程,管理平台根据认证结果和预先设定的绑定规则,判断双方的绑定关系是否合法,并将绑定结果通知智能卡,智能卡决定是否提供服务。该方法实现了移动终端智能卡与接入层身份绑定,限制智能卡在特定的移动终端上使用,从而起到智能卡防盗用、智能卡锁定的作用,既增强智能卡的安全性,又可保障运营商的利益。
【技术实现步骤摘要】
智能卡与用户识别模块安全绑定的方法、系统和管理平台
本专利技术涉及网络与信息安全
,特别涉及一种智能卡与用户识别模块安全 绑定的方法、系统和管理平台。
技术介绍
基于智能卡的身份认证、数字签名技术可有效保障用户密钥安全,防止身份假 冒,在网络安全领域得到较广泛应用。在移动环境下,目前业界也在探索基于WM (User Identity Model,用户识别模块)/SIM (Subscriber Identity Module,用户识别卡)或者 TF (TransFlash,闪存)/SD (Secure Digital Memory Card,安全数码卡)卡的安全应用、 以及基于移动可信模块(Mobile Trusted Module,MTM)的方案。移动终端由于计算能力、接口限制等问题,通过可卸载的智能卡扩展其安全能力, 为运营商灵活开展安全型业务提供了一个技术选择。但现有的移动环境智能卡存在一些问题。例如,基于nM/SM的智能卡,由于不可 卸载,存在永远在线攻击的风险;对于可卸载的TF/SD卡,虽然增加了使用灵活性,但也增 加了智能卡被盗用的风险;TF/SD卡或MTM模块,由于缺乏用户接入身份信息,电信运营商难以掌控。
技术实现思路
本专利技术的专利技术人发现上述现有技术中存在问题,并因此针对所述问题中的至少一 个问题提出了一种新的技术方案。本专利技术的一个目的是提供一种用于移动终端智能卡与用户识别模块安全绑定的 技术方案。根据本专利技术的第一方面,提供了一种移动终端智能卡与用户识别模块安全绑定方 法,包括:网络侧管理平台和所述移动终端建立基于所述智能卡的安全连接;基于所述安 全连接在所述移动终端的用户识别模块与网络侧接入认证中心之间模拟接入认证流程;所 述网络侧管理平台根据接入认证结果和预先设定的绑定规则,验证所述智能卡和所述用户 识别模块之间的绑定关系,将绑定关系验证结果发送给所述智能卡,以便所述智能卡根据 所述绑定关系验证结果确定是否提供服务。可选地,基于所述安全连接在终端侧的用户识别模块与网络侧接入认证中心之间 模拟接入认证流程包括:所述网络侧管理平台模拟移动通信网络中VLR(Visitor Location Register,拜访位置寄存器)网元的角色从接入认证中心取得认证向量,向所述移动终端的 客户端程序发起认证请求;所述客户端程序将认证请求提交给所述用户识别模块,得到所 述用户识别模块返回的认证响应;所述客户端程序将所述认证响应经所述安全连接返回给 所述网络侧管理平台;所述网络侧管理平台确认消息合法后,将该响应提交给接入认证中 心进行验证;所述网络侧管理平台得到认证结果。可选地,移动终端和网络侧管理平台建立基于所述智能卡的安全连接包括:所述移动终端接入网络后所述网络侧管理平台对所述智能卡进行身份认证;所述智能卡身份认 证通过后,所述移动终端和所述网络侧管理平台之间的通信关键信息分别由所述网络侧管 理平台和所述智能卡进行加密、签名,经所述网络侧管理平台和所述智能卡确认。可选地,关键信息包括所述移动终端的认证响应、所述网络侧管理平台返回的绑 定关系验证结果。可选地,所述智能卡包括TF或SD接口的CPU卡、或移动可信模块MTM ;和/或所 述用户识别模块包括 UIM、SIM、或 USIM (Universal Subscriber Identity Module,全球用 户识别卡)。可选地,绑定规则规定智能卡和与用户信号信息相关的用户或用户群之间的绑定 关系,限制智能卡只能供特定的用户、用户群使用。根据本专利技术的另一方面,提供一种网络侧管理平台,应用于移动终端智能卡与用 户识别模块安全绑定,包括:安全连接建立模块,用于和所述移动终端建立基于所述智能卡 的安全连接;接入认证模块,用于基于所述安全连接在所述移动终端的用户识别模块与网 络侧接入认证中心之间模拟接入认证流程;绑定关系验证模块,用于根据接入认证结果和 预先设定的绑定规则,验证所述智能卡和所述用户识别模块之间的绑定关系,将绑定关系 验证结果发送给所述智能卡,以便所述智能卡根据所述绑定关系验证结果确定是否提供服 务。可选地,安全连接建立模块包括:智能卡认证单元,用于在所述移动终端接入网络 后对所述智能卡进行身份认证;关键信息保护模块,用于所述智能卡身份认证通过后,对所 述移动终端和所述网络侧管理平台之间的通信关键信息进行加密、签名。可选地,绑定关系验证模块包括:绑定规则存储单元,用于存储所述智能卡和所述 用户识别模块之间的绑定规则;绑定关系验证单元,用于根据接入认证结果和预先设定的 绑定规则,验证所述智能卡和所述用户识别模块之间的绑定关系,将绑定关系验证结果发 送给所述智能卡,以便所述智能卡根据所述绑定关系验证结果确定是否提供服务。可选地,所述智能卡包括TF或SD接口的CPU卡、或移动可信模块MTM ;和/或所 述用户识别模块包括nM、SM、或USIM。可选地,绑定规则规定智能卡和与用户信号信息相关的用户或用户群之间的绑定 关系,限制智能卡只能供特定的用户、用户群使用。根据本专利技术的又一方面,提供一种移动终端智能卡与用户识别模块安全绑定系 统,包括:移动终端,所述移动终端包括智能卡和用户识别模块;以及上述的网络侧管理平 台。本专利技术的一个优点在于,将移动终端中智能卡与用户识别模块进行绑定,限制智 能卡只能在特定的终端上使用,既可防止智能卡被盗用、增强使用安全性。通过以下参照附图对本专利技术的示例性实施例的详细描述,本专利技术的其它特征及其 优点将会变得清楚。【附图说明】构成说明书的一部分的附图描述了本专利技术的实施例,并且连同说明书一起用于解 释本专利技术的原理。参照附图,根据下面的详细描述,可以更加清楚地理解本专利技术,其中:图1示出本专利技术的移动终端智能卡与用户识别模块安全绑定方法的一个实施例 的流程图;图2示出本专利技术的移动终端智能卡与用户识别模块安全绑定方法的另一个实施 例的示意图。图3示出本专利技术的移动终端智能卡与用户识别模块安全绑定方法的再一个实施 例的流程图;图4示出本专利技术的移动终端智能卡与用户识别模块安全绑定方法的又一个实施 例的流程图;图5示出本专利技术的网络侧管理平台的一个实施例的结构图;图6示出本专利技术的网络侧管理平台的另一个实施例的结构图。【具体实施方式】现在将参照附图来详细描述本专利技术的各种示例性实施例。应注意到:除非另外具 体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本 专利技术的范围。同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际 的比例关系绘制的。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本专利技术 及其应用或使用的任何限制。对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适 当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不 是作为限制。因此,示例性实施例的其它示例可以具有不同的值。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一 个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。图1示出本专利技术的移动终端智能卡与用户识别模块安全绑定方本文档来自技高网...
【技术保护点】
一种移动终端智能卡与用户识别模块安全绑定方法,其特征在于,包括:网络侧管理平台和所述移动终端建立基于所述智能卡的安全连接;基于所述安全连接在所述移动终端的用户识别模块与网络侧接入认证中心之间模拟接入认证流程;所述网络侧管理平台根据接入认证结果和预先设定的绑定规则,验证所述智能卡和所述用户识别模块之间的绑定关系,将绑定关系验证结果发送给所述智能卡,以便所述智能卡根据所述绑定关系验证结果确定是否提供服务。
【技术特征摘要】
1.一种移动终端智能卡与用户识别模块安全绑定方法,其特征在于,包括:网络侧管理平台和所述移动终端建立基于所述智能卡的安全连接;基于所述安全连接在所述移动终端的用户识别模块与网络侧接入认证中心之间模拟接入认证流程;所述网络侧管理平台根据接入认证结果和预先设定的绑定规则,验证所述智能卡和所述用户识别模块之间的绑定关系,将绑定关系验证结果发送给所述智能卡,以便所述智能卡根据所述绑定关系验证结果确定是否提供服务。2.如权利要求1所述的方法,其特征在于,所述基于所述安全连接在所述移动终端的用户识别模块与网络侧接入认证中心之间模拟接入认证流程包括:所述网络侧管理平台模拟移动通信网络中拜访位置寄存器VLR网元的角色从接入认证中心取得认证向量,向所述移动终端的客户端程序发起认证请求;所述客户端程序将认证请求提交给所述用户识别模块,得到所述用户识别模块返回的认证响应;所述客户端程序将所述认证响应经所述安全连接返回给所述网络侧管理平台;所述网络侧管理平台确认消息合法后,将该响应提交给接入认证中心进行验证;所述网络侧管理平台得到认证结果。3.如权利要求1所述的方法,其特征在于,所述移动终端和网络侧管理平台建立基于所述智能卡的安全连接包括:所述移动终端接入网络后 所述网络侧管理平台对所述智能卡进行身份认证;所述智能卡身份认证通过后,所述移动终端和所述网络侧管理平台之间的通信关键信息分别由所述网络侧管理平台和所述智能卡进行加密、签名,经所述网络侧管理平台和所述智能卡确认。4.如权利要求3所述的方法,其特征在于,所述关键信息包括所述移动终端的认证响应、所述网络侧管理平台返回的绑定关系验证结果。5.如权利要求1至4中任意一项所述的方法,其特征在于,所述智能卡包括闪存TF或安全数码SD接口的CPU卡、或移动可信模块MTM ;和/或所述用户识别模块包括用户识别模块WM、用户识别卡SM、或全球用户识别卡USM。6.如权利要求1所述的方法,其特征在于,所述绑定规则规定智能卡和与用户信号信...
【专利技术属性】
技术研发人员:刘国荣,刘东鑫,沈军,金华敏,冯明,汪来富,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。