[发明专利]一种用户识别模块与终端进行认证的方法和系统

说明书

技术领域

本发明涉及无线通讯领域，尤其涉及一种用户识别模块与终端进行认证的方法和系统。

背景技术

随着移动业务的发展，运营商出于业务推广需要，对部分业务使用的终端与用户识别模块配合使用的资费有较大优惠，需要限制用户必须使用绑定的专用终端与用户识别模块，要求该种专用用户识别模块在普通手机终端上不能使用，如无线公话业务中要求公话终端与专用USIM(UniversalSubscriberIdentity Module，通用用户识别模块)、SIM(Subscriber IdentityModule，用户识别模块)、UIM(User Identity Model，用户识别模块)、EVDO UIM卡绑定使用，移动阅读器使用移动终端与专用用户识别模块绑定。随着移动差异化、多样化业务的快速发展，这种需要专用用户识别模块与终端进行相互认证，确保专用用户识别模块只能用于专用终端，不能用于普通手机终端，和/或专用终端只能使用专用用户识别模块，不能使用普通用户识别模块的情况逐渐增多并有更高的安全性要求。

这都需要实现用户识别模块与终端相互认证，但目前在实现用户识别模块与终端相互认证中采用的是终端与用户识别模块两方认证解决方案，无论采用何种公开或不公开的安全算法，破解者一旦获得密钥及算法，就很容易通过在机卡间加入非法贴片等中间介质，实现贴片伪装成智能卡进行对终端的欺骗，伪装成终端进行对智能卡的欺骗，从而实现了批量制作非法贴片在普通终端上正常使用的目的。

以无线公话终端与卡为例，现有的终端与用户识别模块认证方法主要有以下4种：

1、利用PIN码锁卡方式；

2、异形卡方式；

3、锁手机IMEI(International Mobile Equipment Identity，国际移动身份识别)方式；

4、随机数鉴权方式；

其中，利用PIN码锁卡方式由于可使用PUK(PIN UnBlock，PIN解锁码)码进行解码，而且PUK码用户较易通过社会代销渠道获取，因此方案总体安全性较差；异形卡和锁手机IMEI方式由于非法卡贴很容易模仿终端接口定义异性接口或伪造IMEI，因此方案安全性也较差。

目前正在主要使用的公话技术方案为随机数鉴权方式，该方案的基本思想是通过卡和终端共享对称加密密钥，采用对称加密算法实现机卡认证，机卡认证通过后，允许鉴权并登陆移动网络，公话卡必须用在公话终端上才能使用，用在普通终端上无法使用。该方案的缺点是由于采用共享对称密钥方式，认证密钥通过运营商传递给终端厂商、卡商(可能是多家供卡商)，密钥的获知者至少是这三个参与方，所以认证密钥的安全传递和保管属于最为脆弱的一环，一旦一个环节泄漏密钥，由于机卡握手协议和算法是公开的，就会出现仿造终端公话认证模块的风险，出现该种情况，运营商也无法追究泄漏密钥方到底是哪个环节，将给运营商带来不必要的损失。加之DES(DataEncryption Standard，数据加密标准)算法属于对称加密算法，密钥破解者也可以利用DES的可逆性破解出认证密钥，这又增加了一种获得认证密钥的风险。

目前市面上非法出售的SIM卡贴片就是利用了这个弱点，贴片内嵌软件实现了公话认证流程并预制了公话认证密钥，通过截获机卡交互命令模拟公话终端实现机卡认证，达到在普通手机上也可使用的目的，严重扰乱了移动通讯市场，打乱了移动细分市场的策略。

可见，现有随机数鉴权认证方案存在以下几个方面的缺点：

(1)采用两端认证，一方识别另一方的主要依据是安全算法和密钥，而安全算法又是公开的，因此机卡认证的安全性完全依靠单一的密钥；

(1)一个终端厂商的所有公话终端卡片的密钥都是一样的，一旦泄漏，很容易批量复制；

(2)所有卡片的认证密钥都是按终端商分类的预置的同一组密钥；

(3)采用公开的DES对称加密算法，已有较成熟、快速的破解先例；

(4)密钥知情方较多，易出现密钥泄漏，且出现密钥泄漏后，无法判定泄漏责任方；

(5)当出现贴片后，运营商无法掌控哪些用户属于合法终端用户，哪些用户属于非法贴片用户。

发明内容

本发明要解决的技术问题是提供一种用户识别模块与终端进行认证的方法和系统，引入密钥管理系统平台作为认证第三方，能够避免只要在机卡两端间加入中间介质即能破解认证的缺陷。

为了解决上述问题，本发明提供了一种用户识别模块与终端进行认证的方法，包括：