[发明专利]智能卡与用户识别模块安全绑定的方法、系统和管理平台

说明书

技术领域

本发明涉及网络与信息安全技术领域，特别涉及一种智能卡与用户识别模块安全绑定的方法、系统和管理平台。

背景技术

基于智能卡的身份认证、数字签名技术可有效保障用户密钥安全，防止身份假冒，在网络安全领域得到较广泛应用。在移动环境下，目前业界也在探索基于UIM（User Identity Model，用户识别模块）/SIM（Subscriber Identity Module，用户识别卡）或者TF（TransFlash，闪存）/SD（Secure Digital Memory Card，安全数码卡）卡的安全应用、以及基于移动可信模块（Mobile Trusted Module，MTM）的方案。

移动终端由于计算能力、接口限制等问题，通过可卸载的智能卡扩展其安全能力，为运营商灵活开展安全型业务提供了一个技术选择。

但现有的移动环境智能卡存在一些问题。例如，基于UIM/SIM的智能卡，由于不可卸载，存在永远在线攻击的风险；对于可卸载的TF/SD卡，虽然增加了使用灵活性，但也增加了智能卡被盗用的风险；TF/SD卡或MTM模块，由于缺乏用户接入身份信息，电信运营商难以掌控。

发明内容

本发明的发明人发现上述现有技术中存在问题，并因此针对所述问题中的至少一个问题提出了一种新的技术方案。

本发明的一个目的是提供一种用于移动终端智能卡与用户识别模块安全绑定的技术方案。

根据本发明的第一方面，提供了一种移动终端智能卡与用户识别模块安全绑定方法，包括：网络侧管理平台和所述移动终端建立基于所述智能卡的安全连接；基于所述安全连接在所述移动终端的用户识别模块与网络侧接入认证中心之间模拟接入认证流程；所述网络侧管理平台根据接入认证结果和预先设定的绑定规则，验证所述智能卡和所述用户识别模块之间的绑定关系，将绑定关系验证结果发送给所述智能卡，以便所述智能卡根据所述绑定关系验证结果确定是否提供服务。

可选地，基于所述安全连接在终端侧的用户识别模块与网络侧接入认证中心之间模拟接入认证流程包括：所述网络侧管理平台模拟移动通信网络中VLR（Visitor Location Register，拜访位置寄存器）网元的角色从接入认证中心取得认证向量，向所述移动终端的客户端程序发起认证请求；所述客户端程序将认证请求提交给所述用户识别模块，得到所述用户识别模块返回的认证响应；所述客户端程序将所述认证响应经所述安全连接返回给所述网络侧管理平台；所述网络侧管理平台确认消息合法后，将该响应提交给接入认证中心进行验证；所述网络侧管理平台得到认证结果。

可选地，移动终端和网络侧管理平台建立基于所述智能卡的安全连接包括：所述移动终端接入网络后所述网络侧管理平台对所述智能卡进行身份认证；所述智能卡身份认证通过后，所述移动终端和所述网络侧管理平台之间的通信关键信息分别由所述网络侧管理平台和所述智能卡进行加密、签名，经所述网络侧管理平台和所述智能卡确认。

可选地，关键信息包括所述移动终端的认证响应、所述网络侧管理平台返回的绑定关系验证结果。

可选地，所述智能卡包括TF或SD接口的CPU卡、或移动可信模块MTM；和/或所述用户识别模块包括UIM、SIM、或USIM（Universal Subscriber Identity Module，全球用户识别卡）。

可选地，绑定规则规定智能卡和与用户信号信息相关的用户或用户群之间的绑定关系，限制智能卡只能供特定的用户、用户群使用。

根据本发明的另一方面，提供一种网络侧管理平台，应用于移动终端智能卡与用户识别模块安全绑定，包括：安全连接建立模块，用于和所述移动终端建立基于所述智能卡的安全连接；接入认证模块，用于基于所述安全连接在所述移动终端的用户识别模块与网络侧接入认证中心之间模拟接入认证流程；绑定关系验证模块，用于根据接入认证结果和预先设定的绑定规则，验证所述智能卡和所述用户识别模块之间的绑定关系，将绑定关系验证结果发送给所述智能卡，以便所述智能卡根据所述绑定关系验证结果确定是否提供服务。

可选地，安全连接建立模块包括：智能卡认证单元，用于在所述移动终端接入网络后对所述智能卡进行身份认证；关键信息保护模块，用于所述智能卡身份认证通过后，对所述移动终端和所述网络侧管理平台之间的通信关键信息进行加密、签名。