移動終端的安全開鎖方法

專利名稱：移動終端的安全開鎖方法
技術領域：
本發明涉及到數字蜂窩無線通信網絡中移動終端的開鎖。
更具體地說，本發明涉及到提高對操作員以低價格售給用戶的移動終端的開鎖安全性，被考慮的用戶已經支付了操作員的無線通信網絡訂費。在預定期限，例如六個月，簽約支付訂費后，由操作員將終端鎖定在其自己的無線通信網并可以請求只通過操作員的網絡進行通信。
通常，操作員在終端制造的最后階段來鎖定移動終端。操作員在向終端生產廠家訂購大量移動終端的同時要向該廠家發送操作員識別代碼。此代碼是標準化的，且每個操作員都有一專有的識別代碼。在制造的最后階段，生產廠家通過在此階段實施保密開鎖算法對操作員訂購的移動終端進行鎖定，終端序號和操作員代碼均應用到保密開鎖算法以便產生出存入存儲器且與鎖相關聯的開鎖代碼，該鎖要求呼叫只通過操作員的網絡進行。因此每個移動終端都有手動開鎖功能，由終端的用戶將開鎖代碼應用于此功能以便進行開鎖。
在預定期限結束時，移動終端的用戶必須呼叫操作員的客戶中心以便請求開鎖代碼。由于操作員擁有保密開鎖算法和知道與用戶支付訂費電話號碼相一致的用戶終端序號以及當然還由于操作員知道其自己的操作員代碼，該操作員就能夠重新計算出開鎖代碼。然后將開鎖代碼傳輸至用戶，用戶再把它輸入到他或她的移動終端以便將它應用到在移動終端所實施的保密算法。接著在移動終端的最后制造階段，該移動終端將開鎖代碼作為輸入與原來存儲在存儲器的開鎖代碼加以比較。若所比較的開鎖代碼完全相同，則移動終端開鎖，同時用戶就能夠例如使用此終端向另一無線通信網絡操作員簽約支付訂費。
保密算法經常是直接或間接地分配，例用通過因特網進行分配，因而它也能夠為某些惡意用戶所得到。因而，在一惡意用戶已簽約支付訂費之后而不用等到預定期限結束，此用戶就能夠使移動終端開鎖而決定取出訂費付予另一操作員，從而能幾乎免費使用移動終端而不讓將此移動終端賣給該用戶的第一位操作員對其在該終端上的投資得到任何回報，而終端開鎖通常確實是在預定期限期滿后才能做到。在第一操作員所售出的大量移動終端中反復出現的如此開鎖構成了第一操作員的巨大虧空。
本發明的目的是使得移動終端只在預定期限結束時才能開鎖，從而通過使用實際上被可靠地強加于移動終端上的操作員網絡保證了在預定期限中第一操作員的足夠收入，而用戶則不知道開鎖代碼。此外，一些國家的管理部門還要求操作員在所說的期限結束后進行有計劃的開鎖。
為此，移動終端的開鎖方法在其使用之前要賦予由操作員所管理的無線通信網絡，并且將保密密鑰存入存儲器，此保密密鑰是通過把移動終端的識別碼和操作員的代碼應用到安全算法而得到，開鎖方法包括在預定使用期限之后將保密密鑰插入移動終端在此終端中與已存入的保密密鑰進行比較，所述方法的特征在于它還包括下列步驟使用前，將移動終端的識別碼存入存儲器和實施安全模塊中操作員所不知道的安全算法，以及將安全模塊插入服務實體，此服務實體由操作員管理并至少通過無線通信與移動終端進行通信；在預定使用期限過后，在安全模塊中，確定出更新請示已由服務實體傳輸之后通過把移動終端所傳輸的終端識別碼以及操作員代碼應用到安全算法而得到的保密密鑰，將經過加密所確定的保密密鑰通過無線通信網絡傳輸至移動終端，以及在移動終端中對加密密鑰進行解密作為插入的保密密鑰以便將它與已存入的保密密鑰加以比較并且在比較過的保密密鑰完全相同時對移動終端開鎖。
在所比較的保密密鑰完全相同時起動移動終端的開鎖，通過第一操作員的無線通信網絡，即通過‘空中’(OTA)無線接口引起開鎖，而不要求用戶知道所確定的保密密鑰并且也不要求輸入該確定保密密鑰作為開鎖代碼。
本發明中通過安全算法提高了移動終端開鎖的安全性，該安全算法由終端的生產廠家在安全模塊中實施，從而廠家能使安全算法對操作員保密。
為了在所比較的保密密鑰完全相同時來起動由某一參數所決定的移動終端開鎖，可以將含確定保密密鑰和參數的個人數據經加密從服務實體傳輸至移動終端并在移動終端中進行解密。
在更為全面的實施方案中，移動終端的開鎖方法還包括下列步驟在安全模塊中，把由移動終端以終端識別碼所傳輸的個人數據和第一隨機數應用到以所確定之保密密鑰為其密鑰的算法以便生成第一信息鑒別代碼從而將加過密的個人數據以及該信息鑒別代碼從服務實體傳輸至移動終端；及在移動終端中，生成第一信息鑒別代碼，將所生成的第一信息鑒別代碼與傳輸來的第一信息鑒別代碼進行比較來取代保密密鑰之間的比較，以及在比較過的鑒別代碼完全相同時對加密個人數據進行解密和翻譯。
個人數據至少可以包括部分移動終端識別碼以及參數以便在所比較的鑒別代碼完全相同時起動由該參數所決定的移動終端的開鎖。
在這種更全面的實施方案中，所確定的保密密鑰并不是不經安全模塊加密就傳輸到移動終端。更新個人數據須經移動終端中第一信息鑒別代碼的驗證。不知道保密密鑰和安全算法就不可能對移動終端開鎖或在移動終端中完成其他動作。第一隨機數排除了對個人數據的攻擊，這些攻擊可能造成開鎖動作的發生。
此外，借助保密密鑰和安全算法還提高了安全性，與個人數據和用于鑒別代碼的算法不同，保密密鑰和安全算法是移動終端生產廠家的特性，其不為操作員所知，而個人數據和鑒別代碼用的算法則是操作員的特性，其不為移動終端的生產廠家所知。
保密密鑰可防止不具安全算法的任何惡意之人能夠對移動終端開鎖。保密密鑰與移動終端所傳輸的第一隨機數結合在一起共同轉換成一個鑒別代碼，由此便防止了除售出移動終端的第一操作員外的任何第三方對移動終端開鎖，因而也防止了在移動終端中更新個人數據。
在一變型實施方案中，用戶可以申請移動終端的開鎖。這種情況下，在預定使用期限過后，將開鎖請求信息從移動終端傳輸至安全模塊，這樣安全模塊再請求將識別碼傳輸至終端。
最好是，開鎖或由安全模塊在移動終端中引起的任何其他動作由該安全模塊加以確認。本方法還包括下列步驟在安全模塊中生成第二隨機數并將它與至少是保密密鑰或由保密密鑰所決定的第一信息鑒別代碼傳輸至移動終端；
當在移動終端中所比較過的保密密鑰或所比較的第一信息鑒別代碼完全相同時，生成通過把個人數據和第二隨機數應用到以保密密鑰作為其密鑰之算法而得到的第二信息鑒別代碼，并將終端識別碼和該第二信息監別代碼從移動終端傳輸至服務實體；及在安全模塊中，生成第二鑒別代碼并將它與所傳輸過來的第二鑒別代碼進行比較。
在讀過通過非限制性實例并參照相應附圖所給出的本發明優選實施方案的下述說明之后本發明的其他特點和優點看起來會更加清楚明白，附圖中·

圖1為表示在含安全模塊的操作員服務器與實施本開鎖方法的移動終端之間電信鏈路的框圖；·圖2為本發明開鎖方法之優選的第一實施方案主要步驟的算法；及·圖3為本發明開鎖方法之簡化的第二實施方案主要步驟的算法。
參看圖1，配備有‘通用集成電路卡(UICC)’型活動用戶卡CU、在‘全球移動通信系統(GSM)’中也稱為‘用戶識別模塊(SIM)’卡的移動無線終端TM，其由操作數字蜂窩無線通信網絡RR的第一操作員供應給用戶US。例如，無線通信網絡RR就是GSM型的。圖1中只示出了網絡RR在給定時間查找移動終端TM所在的那個位置區的主要單元。該位置區包括‘移動服務交換中心MSC’，其首先通過‘基站控制器BSC’與‘基站收發信臺BTS’相連接，‘基站收發信臺BST’通過無線電鏈路與移動終端TM相連接，其次‘移動服務交換中心MSC’與‘公共電話交換網絡(PSTN)’的本地電話交換臺(RTC)相連接。
如所周知，網絡RR還包括‘主位置寄存器HLR’，其與多個‘訪問位置寄存器VLR’相連接，包括與上述位置區的‘移動服務交換中心MSC’相連接的VLR進行連接。‘主位置寄存器HLR’與數據庫相類似，對每個用戶來說其特別是包含有附加給用戶和用戶卡CU上的‘國際移動用戶識別碼(IMSI)’，用戶的訂費情況簡檔，以及暫時附加給移動終端TM的VLR號碼。VLR對位置區中的HLR起延遲器的作用，它包含移動終端處在該位置區的那些用戶的特性。
服務器SOP作為本發明的服務實體，其由無線通信網絡RR的操作員來管理。
如圖1中所示，操作員服務器SOP通過‘短信服務(SMS)’中心或服務器SC與移動終端TM進行數字信息交換。服務器SC具有通過高數據速率的‘分組交換網(PSN)’RP，特別是‘因特網’或一變型實施方案中的‘內連網’與操作員服務器SOP進行通信的網關，以及常常是通過如‘X.25分組交換網’等接入網絡RA，或‘綜合業務數字網絡(ISDN)’或‘異步傳輸模式(ATM)網絡’至少與上述‘移動服務交換中心MSC’進行通信的另一網關。由操作員服務器SOP所傳輸的分組在服務器控制器中被格式化成傳輸給移動終端TM的短信(SMS信息)；相反，由移動終端TM傳輸的SMS信息以編址分組的形式通過服務器SC傳輸至操作員服務器SOP。
在一變型實施方案中，服務器SC直接與MSC相連或結合進MSC。
在本發明中，操作員服務器SOP接收活動安全模塊MS，其最好是智能卡，即芯片卡。安全模塊MS在存儲器中包含移動終端TM的‘國際移動設備識別碼(IMEI)’以及由移動終端TM和用戶卡CU所構成之機組所特有的個人數據DP。IMEI還特別包括生產廠家代碼。個人數據DP可由操作員進行修改，特別是它至少可包括終端之IMEI的一部分，銷售含用戶卡移動終端的網絡RR操作員的操作員代碼COP，操作員網絡RR所在國的國家代碼，為起動移動終端開鎖的開鎖參數DEV，或相反情況下的加鎖參數，和/或為控制終端中的動作所需的各種其他參數。安全模塊MS還包含以下定義的算法AS，AA，以及CH。
如下面在本發明的移動終端開鎖方法的說明中所闡述的那樣，操作員服務器SOP基本上用來與移動終端TM進行信息交換，而安全模塊則基本上用來對所交換信息中包含的數據進行處理。
類似地，SIM卡通過對這種交換呈透明的移動終端提供了與遠程操作員服務器SOP的可靠的信息交換，從而將終端的控制參數插入到要傳輸的信息并從所接收的信息中抽取出參數供終端使用。
在第一變型實施方案中，SMS服務器SC和接入網絡RA由‘分組交換網絡’型的接入網絡所取代，該接入網絡的移動性和接入通過‘通用分組無線服務(GPRS)’利用無線電進行管理。這樣‘分組交換網絡’RP就在‘網關GPRS支持節點(GGSN)’與GPRS網絡相接，而‘基站控制器BSC’則通過‘服務GPRS支持節點(SGSN)’與其相接。這一變型實施方案的優點是以分組的形式用大為增高的數據速率來傳輸信息。
在第二變型實施方案中，操作員服務器SOP直接與‘主位置寄存器HLR’相連接或結合進HLR，由此使得服務器SOP能夠直接使用存儲在HLR中的數據。
在另外一個變型實施方案中，蜂窩無線通信網絡RR為第三代網絡，即‘通用移動電信系統(UMTS)’網絡。在這種情況下，用戶卡CU為‘通用SIM(USIM)’卡，而BSC連同BTS則一起組合進UMTS網絡的‘UMTS陸地無線接入網絡(UTRAN)’。
在圖2所示的第一實施方案中，含智能卡CU的移動終端在銷售和使用之前，本發明的開鎖方法包括四個初始步驟E01-E04，這四個步驟以移動終端生產廠家和已向該廠家訂購成批智能卡移動終端的網絡RR操作員為前提條件加以執行。
在步驟E01，生產廠家將特定保密數據如分別包括生產廠家代碼和網絡RR操作員特有的操作員代碼COP的IMEI和IMSI輸入到卡CU和含卡CU的移動終端TM。廠家還在移動終端TM中記錄下保密密鑰SK，此保密密鑰SK是通過把終端的IMEI和操作員代碼COP應用到含母密鑰MK的安全算法AS而得到的。含母密鑰MK的安全算法AS是移動終端生產廠家的特性，其不為無線通信操作員所知。
在步驟E02，對操作員從生產廠家所訂購的那批含用戶卡CU的移動終端TM中的每個終端，廠家都在安全模塊MS中結合終端識別碼IMEI記錄下操作員代碼COP，用戶識別碼IMSI，以及含母密鑰MK的安全算法AS。安全算法AS可以是例如‘高級加密標準(AES)，型算法。
然后生產廠家將那批在步驟E01中已裝入上述各不同參數的移動終端以及要插入操作員服務器SOP的活動安全模塊MS交付給無線通信網絡RR的操作員。
在步驟E03，操作員在所交付的這批終端中的每一個終端中裝入以保密密鑰SK作為其密鑰的鑒別算法AA，解密算法DCH，以及至少一個開鎖應用程序。鑒別算法AA是操作員的特性，其不為生產廠家所知，而相反地，算法AS是由生產廠家用來保密的，故其不為操作員所知。解密算法DCH用來對由加密算法CH加密經服務器SOP傳輸的數據進行解密。開鎖應用程序可在步驟E03中由存儲在終端中的個人數據DP決定并可由操作員進行修改。開鎖應用程序要求終端TM的未來用戶US只能通過將終端售給該用戶的第一操作員的無線通信網絡RR在預先確定的鎖定期限內，通常為六個月限期，進行通信。
在步驟E04，操作員也安裝以保密密鑰SK為其密鑰的鑒別算法AA以及解密算法DCH，并最好是在安全模塊MS，或變型實施方案的服務器SOP中記錄下含開鎖參數DEV的個人參數DP。
然后操作員再銷售這批移動終端，特別是把含用戶卡CU的移動終端TM賣給用戶US。用戶US在預先確定的鎖定期限內使用移動終端通過操作員的無線通信網絡RR進行通信。
在預先確定的鎖定時間期滿后，用戶US可請求對移動終端TM開鎖以便通過另一操作員的無線通信網絡來使用它。為了使移動終端開鎖，在本發明開鎖方法的第一實施方案中執行圖2中所示的步驟E1-E17。
在步驟E1，用戶US在終端上所顯示的菜單中選擇移動終端TM開鎖。接著，由移動終端TM將開鎖請求信息傳輸至操作員服務器SOP，并在圖1所示的實施方案中以SMS信息的形式(此信息接著由SMS服務器轉換成分組)通過分組交換網絡RP進行傳輸。然后在步驟E2，服務器SOP再把更新請求通過圖1所示實施方案中的網絡RP、RA、以及RR傳輸至移動終端TM。在步驟E3，根據更新請求，移動終端TM將含有終端識別碼IMEI和第一隨機數RD1的信息傳輸到服務器SOP中的安全模塊MS。第一隨機數RD1由包括在終端TM微控制器之中或與終端TM微控制器相連接的偽隨機發生器所生成。
在變型實施方案中，省略了步驟E1并且由操作員服務器SOP本身作出決定在預定鎖定期限期滿后將更新請求發送至移動終端TM。例如，更新請求由服務器SOP根據更新移動終端位置的位置更新請求，或在鑒別請求之后，或的確是在移動終端開機之后和在將移動終端接入無線通信網絡RR內其位置區的過程中進行發送。
在接收到識別碼IMEI和隨機數RD1之后，安全模塊MS在接下來的步驟E4-E6中確定出各不同參數。
在步驟E4，將所收到的移動終端識別碼IMEI和操作員代碼COP與母密鑰MK一起應用到安全算法AS以便生成移動終端所特有的子保密密鑰SK。
在下一步驟E5中，模塊MS通過把個人數據DP和所接收的隨機數RD1應用到以保密密鑰SK作為其密鑰的鑒別算法AA來確定出依據所說的個人數據和接收到的隨機數而得出的第一鑒別代碼MAC1。
因此，生產廠家所特有的保密密鑰SK和含終端識別碼IMEI且為無線通信操作員所特有的個人數據DP對鑒別個人數據DP同時產生影響，并且使得個人數據DP的鑒別在操作員不知道保密密鑰SK和生產廠家不知道個人數據DP的情況下更加可靠。
接下去，在步驟E6，個人數據DP由加密算法CH將其加密成加密的個人數據DPC。在步驟E7，服務器SOP建立包括加密個人數據DPC的信息，信息鑒別代碼MAC1以及第二隨機數RD2。此信息通過網絡RP、RA、及RR傳輸至移動終端TM。隨機數RD2可由包括在服務器SOP或安全模塊MS之內的偽隨機發生器生成。
根據步驟E7中由服務器SOP所傳輸的信息，移動終端TM在步驟E8中計算出信息鑒別代碼MAC1c。代碼MAC1c是通過把步驟E03中原來存儲的個人數據和步驟E3中生成并存儲的隨機數RD1應用到鑒別算法AA而得到的，鑒別算法AA含有步驟E01中原來存儲在移動終端的保密密鑰SK。在下一步驟E9，移動終端TM將算出的信息鑒別代碼MAC1c與服務器SOP所傳輸的信息鑒別代碼MAC1加以比較。
如果這兩個鑒別代碼相同，在步驟E10移動終端則通過把由服務器SOP所傳輸的加密個人數據DPC應用到解密算法DCH來對該數據進行解密并生成解密的個人數據DPd。在步驟E11，移動終端TM將步驟E03原來存儲的個人數據與解密個人數據DPd進行比較。如果終端識別碼IMEI或其一部分在個人數據中被識別出來同時如果所比較的個人數據項目的差別通常是加密個人數據DPd中存在的開鎖參數DEV，移動終端TM就會把開鎖參數DEV應用到開鎖應用程序，后者在步驟E12對個人數據進行更新，這樣就能夠使用移動終端TM與任何其他操作員，即除第一操作員外的操作員進行通信，如果該終端的用戶想要這么做的話。
相反，如果步驟E9中所比較的這兩個鑒別代碼MAC1c和MAC1不相同，和/或步驟E11中個人數據DP和DPd所比較的項目完全相同，那么則如步驟ER中所指出的那樣，個人數據DP在生成出錯信息的移動終端TM中就不進行修改。該出錯信息被傳輸至操作員服務器SOP，后者將其翻譯為終端TM和/或用戶卡CU的故障，于是終端TM不被開鎖。通過在移動終端屏幕上的適當顯示還能夠向用戶顯示出錯信息以便邀請用戶US前去操作員的銷售點。
在一變型實施方案中，省去了步驟E10和E11，若在步驟E7傳輸了個人數據，終端TM至少對一部分個人數據進行翻譯以便在步驟12中執行。
最好是，開鎖方法包括步驟E13-E17，這樣在步驟E12之后的個人數據DP的更新，特別是終端的開鎖就為操作員服務器SOP所承認。
在步驟E13，移動終端TM確定出通過把更新的個人數據DP和隨機數RD2應用到裝有保密密鑰SK的鑒別算法AA而得到的第二信息鑒別代碼MAC2。在步驟E7隨機數RD2已由安全模塊MS生成并存儲，并且與加密個人數據DPC和第一信息鑒別代碼MAC1一起被傳輸到移動終端。
在步驟E14，通過用戶卡，移動終端TM傳輸包括有終端識別碼IMEI和鑒別代碼MAC2的信息，并被編址到操作員服務器SOP。
在步驟E15，操作員服務器SOP中的安全模塊MS把步驟E04中原來存儲的與所收到的識別碼IMEI和隨機數RD2相一致的個人化數據應用到有保密密鑰SK的鑒別算法AA，并生成通過計算得到的信息鑒別代碼MAC2c。在步驟E1b，安全模塊將所算出的鑒別代碼MAC2c與所傳輸來的鑒別代碼MAC2進行比較。如果所比較的鑒別代碼完全相同，那么在步驟E17在移動終端TM中個人化數據的更新被確認，本方法也就終止。
但是，如果步驟E16中所比較的鑒別代碼不同，則執行出錯步驟ER以便可有選擇地向用戶顯示移動終端TM被開鎖但工作故障。
在圖3所示的第二實施方案中，移動終端TM不包含有鑒別算法AA，此實施方案比第一實施方案簡單，而且其在第一實施方案之前就能夠提出。第二實施方案的步驟用字母a結尾的參考符號表示。
對步驟E01a-E04a只是通過在初始操作員步驟E03a和E04a中不在移動終端TM和安全模塊MS中安裝鑒別算法AA來加以修改。
第二實施方案與第一實施方案的基本差別是鎖定期限期滿后，用戶US請求移動終端TM開鎖以便能夠通過另一操作員之無線通信網絡使用該終端時的以下修改過的步驟。為了使移動終端開鎖，在第一實施方案的步驟E5、E8、以及E9以外，至少要執行圖3中所示的修改過的步驟E1a-E12a。
在步驟E1a和E2a之后，或在一變型實施方案中只在步驟E2a之后，在步驟E3a中，移動終端TM通過將含有終端識別碼IMEI而不含隨機數RD1的信息傳輸至服務器SOP中的安全模塊MS來對更新請求作出應答。
在接收到識別碼IMEI之后，在步驟E4a，安全模塊MS將所接收到的移動終端識別碼IMEI和操作員代碼COP應用到有母密鑰MK的安全算法AS以便生成移動終端TM所特有的子保密密鑰SK。保密密鑰SK起開鎖代碼的作用。
在下一步驟E6a中，補充有保密密鑰SK的個人數據DP，或在更簡單的變型實施方案中只是保密密鑰SK，用加密算法CH將其加密成加密個人數據DPC。在步驟E7a，服務器SOP建立含加密個人數據DPC的信息。將這一信息通過網絡RP、RA、及RR傳輸至移動終端TM，此信息與第一實施方案的信息相比其信息量極少。
根據所說的信息，在步驟E10a，移動終端TM通過將服務器SOP所傳輸的加密個人數據DPC應用到解密算法DCH對其進行解密并生成含解密保密密鑰SKd的解密個人數據DPd。移動終端TM將步驟E01a中原來存儲的保密密鑰與解密保密密鑰SKd加以比較以及在步驟E11a有選擇地將步驟E03a中原來存儲的另一個人數據與另一解密個人數據DPd加以比較。如果所比較的保密密鑰完全相同并且個人數據所選擇的比較項目的差別通常是在解密個人數據DPd中存在開鎖參數DEV，在步驟E12a移動終端TM則把開鎖參數DEV應用到開鎖應用程序，后者對個人數據進行更新。這樣就能夠使用移動終端TM與任何其他操作員，即除第一操作員以外的操作員進行通信，如果用戶想要如此做的話。
在上述較簡單的變型實施方案中，在步驟E11a移動終端TM只是將原來存儲的保密密鑰與加密保密密鑰SKd進行比較，以及在所比較的保密密鑰完全相同時，在步驟E12a移動終端TM起動開鎖應用程序。
在其他情況下，終端TM仍然是鎖定狀態，任何個人數據DP都不更新，并且如步驟ER中所指出的那樣，移動終端TM生成出錯信息。
在更加全面的第二實施方案中，開鎖方法包括步驟E13至E17，如圖2所示，這些步驟為的是使步驟E12a之后個人數據的更新，特別是使終端的開鎖為操作員服務器SOP所承認。然后在步驟E7a由安全模塊MS生成和存儲隨機數DR2并且將其與加密個人數據DPC一起傳輸至移動終端。
權利要求
1.移動終端(TM)的開鎖方法，終端在使用前被分配給由操作員管理的無線通信網絡(RR)，并且在存儲器中已經存入了保密密鑰(SK)，此密鑰系通過把移動終端的識別碼(IMEI)和操作員的代碼(COP)應用到安全算法(AS)而得到，所述方法包括在預先確定的使用期限之后，將保密密鑰插入移動終端用以在終端中與已存入的保密密鑰進行比較，所說方法的特征在于它還包括下列步驟使用前，將移動終端的識別碼(IMEI)存入存儲器和在安全模塊(MS)中執行(EO2a)不為操作員所知的安全算法(AS)，以及將安全模塊插入(E04a)服務實體(SOP)，所述服務實體(SOP)由操作員管理并至少通過無線通信網絡(RR)與移動終端進行通信；在預先確定的使用期限之后，在安全模塊中，當更新請求(E2a)已由服務實體(SOP)傳輸之后確定出(E4a)通過把移動終端所傳輸(E3a)的終端識別碼(IMEI)和操作員代碼(COP)應用到安全算法(AS)而得到的保密密鑰(SK)，將經過加密所確定的保密密鑰通過無線通信網絡(RR)傳輸(E7a)至移動終端TM，以及在移動終端中將加密保密密鑰解密(E10a)作為插入的保密密鑰，以便將它與已經存入的保密密鑰進行比較(11a)從而在所比較的保密密鑰完全相同時使移動終端開鎖(E12a)。
2.根據權利要求1的方法，其中將包含所確定的保密密鑰和參數的個人數據(DP)以加密的方式從服務實體(SOP)傳輸(E7a)至移動終端(TM)并在移動終端中對其解密(E10a)以便在所比較的保密密鑰完全相同時起動由該參數所決定的移動終端開鎖。
3.根據權利要求1的方法，該方法還包括下列步驟在安全模塊中，將由移動終端以終端識別碼(IMEI)所傳輸的個人數據(DP)和第一隨機數(RD1)應用到(E5)以所確定保密密鑰(SK)作為其密鑰的算法(AA)以便生成第一信息鑒別代碼(MAC1)從而把加密的個人數據(DPC)和該信息鑒別代碼(MAC1)從服務實體傳輸(E7)至移動終端；及在移動終端中，生成(E8)第一信息鑒別代碼(MAC1c)，比較(E9)所生成的與所傳輸的第一信息鑒別代碼(MAC1c，MAC1)來取代保密密鑰之間的比較，以及在所比較的鑒別代碼完全相同時解密(E10)和翻譯被加密的個人數據。
4.根據權利要求3的方法，其中個人數據(DP)包括至少部分移動終端識別碼(IMEI)以及參數，以便在所比較的鑒別代碼完全相同時起動由該參數所決定的移動終端開鎖。
5.根據權利要求1-4中任一權利要求的方法，該方法還包括在預定使用期限過后，將開鎖請求信息從移動終端(TM)傳輸(E11)至安全模塊(MS)，這樣安全模塊就可請求(E2)將識別碼(IMEI)傳輸(E3)至終端。
6.根據權利要求1-4中任一權利要求的方法，其特征在于，該方法還包括下列步驟在安全模決(MS)中生成第二隨機數(RD2)，并將其至少與保密密鑰或與由保密密鑰所決定的第一信息鑒別代碼(MAC1)一起傳輸至移動終端(TM)；當在移動終端中所比較過的保密密鑰或所比較的第一信息鑒別代碼完全相同時，生成(E13)通過把個人數據(DP)和第二隨機數(RD2)應用到以保密密鑰(SK)作為其密鑰的算法(AA)而得到的第二信息鑒別代碼(MAC2)，并將終端識別碼(IMEI)和此第二信息鑒別代碼(MAC2)從移動終端傳輸至服務實體；及在安全模塊(MS)中，生成(E15)第二鑒別代碼(MAC2c)，并將它與所傳輸來的第二鑒別代碼(MAC2)加以比較(E18)。
7.根據權利要求1-6中任一權利要求的方法，其中服務實體(SOP)為由操作員所管理的服務器，安全模塊(MS)為可活動插入該服務器的智能卡。
全文摘要
本發明涉及到移動終端(TM)在使用期過后的開鎖方法，該方法確保出售該終端的第一操作員在終端使用之前收到足夠的支付。為此，要保存終端的識別碼并在安全模塊(MS)中實施安全算法，該安全模塊被引入到由操作員管理的服務器(SOP)而安全算法則不為操作員所知。在使用期過后，依照服務實體所傳輸的請求，安全模塊確定出保密密鑰，此保密密鑰通過將由此傳輸的終端識別碼和操作員代碼應用到安全算法來得到。在終端經加密所確定的保密密鑰通過操作員的無線通信網絡(RR)傳輸并在移動終端中解密，這樣就可以將它與所保存的保密密鑰進行比較以便在比較過的保密密鑰完全相同時使移動終端開鎖。
文檔編號H04W88/02GK1989780SQ200580025117
公開日2007年6月27日 申請日期2005年4月26日 優先權日2004年5月27日
發明者E·坎博伊斯, O·本諾特 申請人:格姆普拉斯公司