[发明专利]用户识别模块与终端之间的密钥认证方法和装置

说明书

技术领域

本发明涉及移动通讯领域，涉及一种用户识别模块(例如SIM卡、UIM卡等)和终端之间的可升级密钥的认证方法和装置。

背景技术

随着移动通讯网络的发展以及市场竞争的加剧，国内、外的移动网络运营商都推出了很多无线固话业务，通常面向特定群体，具有资费等优惠措施，例如按照固网的单向收费标准收费。由于这种业务资费标准比普通移动电话便宜，导致很多非法盗用现象，造成大量的话费流失、干扰了正常资费政策。

现有的无线网络对用户身份的认证，只是针对用户识别模块，而不能防止其被使用在普通移动终端上；有一些专用的用户识别模块，仅仅通过改变卡片的电气管脚，来防止将其盗用于普通移动终端，这种方法很容易用卡片贴膜来破解；还有一种方法，是通过用户识别模块和终端之间的交互认证，来实现防止非法盗用的目的。

这种机卡认证的方法是：在用户开机的过程中，用户识别模块通过主动式命令向终端发送随机数和密钥；终端进行加密运算，并将加密结果返回；用户识别模块采用同样的算法，检验加密结果的正确性；如果正确的话，在随后的网络鉴权过程中提供正确信息，否则提供虚假的信息，阻止非法移动终端使用该用户识别模块注册网络。

上述方法同样存在局限性，因为随机数和密钥都是由用户识别模块提供的，因此任何具有该认证流程的终端都可以使用此种用户识别模块，导致移动运营商无法用这种方法区分面向不同客户群体的业务，因为它们之间同样可以互相盗用。

因此，需要一种用户识别模块与终端之间的密钥认证的解决方案，能够解决上述相关技术中的问题。

发明内容

本发明的目的在于在现有机卡交互流程和GSM标准协议的基础上，设计一种用户识别模块和终端之间的可升级密钥的认证方法和装置，通过升级密钥，能够解决移动网络运营商面向不同客户群体推出业务的安全性问题，保证合法用户的正常使用，同时提供一种终端软件的认证模块，配合其它软件模块，能够兼容普通的用户识别模块和具有认证流程的用户识别模块。

根据本发明的一个方面，提供了一种用户识别模块与终端之间的密钥认证方法，包括以下步骤：步骤S102，分别在用户识别模块和终端内预置相同的加密算法和一组主密钥；步骤S104，在终端开机或将用户识别模块复位后，并且在执行网络鉴权操作之前，将用户认证信息设置为虚假信息；步骤S106，在用户识别模块和终端之间使用预置的加密算法和主密钥进行交互认证；以及步骤S108，在终端通过认证的情况下，用户识别模块在网络鉴权操作中提供正确的用户认证信息，从而将终端注册到网络，否则用户识别模块在鉴权过程中保持虚假信息，从而使终端不能注册到网络。

步骤S106包括以下步骤：终端将本身所支持的主动式命令发送给用户识别模块；用户识别模块利用来自终端的特定主动式命令向终端传送特征码和随机数；终端对特征码进行识别，在终端识别出特征码标识特定命令的情况下，终端提取来自用户识别模块的随机数，并利用随机数从所存储的一组主密钥中选择一支主密钥，并使用在终端中预置的加密算法来处理随机数，从而生成加密结果；终端将加密结果返回给用户识别模块；以及用户识别模块利用存储的加密算法将其生成的随机数处理成密文数据，并将密文数据与来自终端的加密结果进行比较，如果相等，则终端通过认证，否则，终端不能通过认证。

所述一组主密钥固化在设备中通过数据线进行升级，或通过空中接口进行在线升级。

用户认证信息包括国际移动用户标识符和鉴权密钥，所述网络为GSM网络，所述特定主动式命令包括GetInput命令。

终端选择一支主密钥的步骤包括以下步骤：终端利用随机数中的最高字节对一组主密钥中的密钥数量进行取模，并将取模的结果作为索引号来从一组主密钥中选择相应的一支主密钥。

在该方法中，随机数为16字节的数据，以及一组主密钥中的密钥数量为16。

根据本发明的另一个方面，提供了一种用户识别模块与终端之间的密钥认证装置，该装置包括：密钥预置模块，用于分别在用户识别模块和终端内预置相同的加密算法和一组主密钥；认证信息设置模块，用于在终端开机或将用户识别模块复位后，并且在执行网络鉴权操作之前，将用户认证信息设置为虚假信息；认证模块，用于在用户识别模块和终端之间使用预置的加密算法和主密钥进行交互认证；以及注册模块，用于在终端通过认证的情况下，使用户识别模块在网络鉴权操作中提供正确的用户认证信息，并将终端注册到网络，否则使用户识别模块在鉴权过程中保持虚假信息，从而使终端不能注册到网络。