[发明专利]用于保护与终端用户标识模块相连的电信终端的方法

说明书

本发明涉及一种用于保护与终端用户标识模块相连的电信终端的方法。 

特别地，但非排他地，本发明可用于那些被提供为容纳用于鉴权用户的安全模块的移动通信终端。这些终端符合例如GSM标准(全球移动通信系统)或UMTS标准(通用移动电信系统)。更概括地说，本发明还用于任何如下终端，该终端包括被设计成容纳该类型的鉴权模块的电信装置。 

许多使用因特网之类的公共数据传输网络的应用涉及对用户执行远程鉴权。这种应用需要对用户权力的存在进行确定，或者需要用户所提供的用于鉴权的信息，或者需要经由网络向已被正确识别的用户传送机密信息项。这些操作包括能够以可靠和安全的方式来识别用户。为此，通常使用诸如芯片卡或者鉴权或安全令牌之类的电子设备，其中该认证或安全令牌存储密钥并且能够执行加密过程，特别是对于标识，以便证实该用户持有密钥或者以便对机密消息进行解密。 

移动电话，尤其是GSM类型的移动电话，通常包含芯片卡形式的标识模块，该芯片卡被称为SIM卡(用户标识模块)，其允许电话网络识别该移动电话的拥有者。用户为了能够使用他的移动电话，必须产生机密码，这个机密码由SIM卡验证。为此，SIM卡具有上述加密功能。由此，该SIM卡可以在涉及电子签名的生成的应用中使用。例如，考虑到用户先前已经输入其机密码或专用于签名生成功能的机密码并且该机密码被SIM卡验证从而该用户已被其移动电话鉴权，所以该签名可能涉及移动电话的提供商与使用者之间的事务条款。 

由此，通过使用SIM卡中包含的密钥来加密或解密消息，SIM卡可以用在电子商务应用中以便对事务执行电子签名，或者可以用在传送保密消息的应用中。 

但是，已经发现，SIM卡提供的安全性自身并不足以提供令人信服的安全等级，特别是随着第三代移动电话的出现，也就是能够接收并包含不同供应商提供的多个应用的电话的出现。在这种情况下，无法保证所使用的终端不包含故障、病毒或特洛伊木马，而这些故障、病毒或特洛伊木马可能使得将经加密的消息重传到另一个终端。 

由此有必要从远端证实，包括移动终端和加载于该终端的软件在内的组件是一整体并且具有所需的安全属性。 

为此，移动终端可以只在其可以鉴权新应用的来源及其完整性的时候才接受新应用的下载，如果情况并非如此，那么该终端可以通过如下方式运行这些应用，即，使其在任何情况下都无法修改整个终端，由此保护自身不受病毒和特洛伊木马的影响。还有必要提供鉴权功能，所述功能允许远程供应商对移动终端确实具有所需要的安全属性进行验证。 

鉴于SIM是可以移除并且可以安装在任何终端中的，因此SIM不足以提供这种类型的鉴权功能。 

此外，阻止用户将同一SIM卡用于多个终端(特别是，为了改变终端)不是个办法。 

2003年4月23日提交的专利申请FR0304979描述了一种用于保护与终端用户标识模块相连的移动终端的方法，该方法包括用于执行配对操作的步骤，其中： 

终端向与之相连的标识模块传送用于该终端的标识的信息，以及 

该标识模块将从终端接收的标识信息与存储在存储器中的终端标识信息相比较，并且将比较结果传送到终端。如果标识模块并未辨认出该标识信息，则无法访问需要高安全等级并被安装在终端中的功能。 

许多需要高安全等级的应用，例如商业交易，被分成了两个应用：移动站中的与用户进行对话的第一应用；以及SIM(SIMlet)中的用于安全逻辑(尤其是存储加密密钥)的第二应用。 

这种第三方应用例如是EMV付费(Eurocard，MasterCard， Visa)。EMV在本实例中是参考标准。客户端应用则被分成两个部件： 

1.移动站中的与用户对话以及与“销售点”终端和银行的其他特定功能(客户关系、收据管理等等)接合的应用； 

2.SIM中的利用EMV密钥来执行EMV逻辑的应用； 

由于SIM与移动站之间的这种类型的分布很好地满足了需要，因此这种类型的分布代表了这种类型的应用。 

被设计成安全装置的SIM包含应用中的最敏感的部分，该最敏感部分包含密钥和操作，对于其的获知或修改可能致使例如移动站用户的利益遭受重大欺诈行为。 

具有更为重要和变化的处理能力的移动站包含所需应用的剩余部分，例如用于用户接口(显示器/键盘)或网络接口的应用。该移动站也可能遭受到各种攻击，但是这些攻击的重要性和程度则相对较低。 

这些应用必须能够经由例如OTA(空中)而被下载，以便简化用户所要执行的操作。