利用嵌入式安全元件實現SIM卡數據安全防護方法與流程

本發明涉及移動通信終端和物聯網通信終端技術領域，具體涉及一種利用嵌入式安全元件實現SIM卡數據安全防護方法。

背景技術：

SIM卡(Subscriber Identification Module客戶識別模塊)也稱為用戶身份識別卡、智能卡，移動通信終端和物聯網通信終端必須裝上此卡方能使用。SIM芯片上存儲了用戶標識、加密密鑰、電話簿等內容，可供網絡對客戶身份進行鑒別，并對通信過程進行加密。如圖1所示，物理SIM卡是一個獨立的安全實體，物理SIM卡的缺點是占用物理空間，更換流程復雜。

目前市場上除了上述物理SIM卡外，還出現了一種為國際漫游場景設計的軟SIM卡。如圖2所示，軟SIM卡是通過軟件實現的虛擬化SIM卡，它將原本設置在硬SIM的信息全部存儲在一個軟SIM卡文件中，軟SIM卡的缺點是安全性較差。

技術實現要素：

本發明的目的在于提供一種新的性能和靈活性得到較大提高的SIM卡數據安全防護方法，用以解決虛擬化SIM卡安全性較差的問題。

為實現上述目的，本發明提供了利用嵌入式安全元件實現SIM卡數據安全防護方法，包括：采用嵌入式安全元件將SIM應用分為安全相關部分和非安全相關部分實現虛擬化SIM卡；調制解調器根據應用處理器的指令使用所述虛擬化SIM卡通過空中接口與網絡側交互；將原本發往物理SIM卡的指令發送給應用處理器；由應用處理器根據指令的安全屬性分別進行安全防護處理和非安全防護處理。

本發明公開的上述利用嵌入式安全元件實現SIM卡數據安全防護方法，進一步地，安全防護處理包括：安全數據個人化處理和安全數據使用處理。

本發明公開的上述利用嵌入式安全元件實現SIM卡數據安全防護方法，進一步地，安全數據個人化處理包括：用戶開通適用SIM卡數據安全防護的業務功能；eSE可信業務管理平臺通過安全客戶端應用程序在嵌入式安全元件上創建與主安全域相關聯的SIM安全域并產生隨機的SIM安全域密鑰；在嵌入式安全元件上使用SIM可信業務管理平臺的公鑰對SIM安全域密鑰進行加密；將經SIM可信業務管理平臺的公鑰加密的SIM安全域密鑰返回至eSE可信業務管理平臺；eSE可信業務管理平臺將經SIM可信業務管理平臺的公鑰加密的SIM安全域密鑰發送給SIM可信業務管理平臺；SIM可信業務管理平臺建立與嵌入式安全元件上的SIM安全域的安全通道，在SIM可信業務管理平臺上更新SIM安全域密鑰并設置SIM卡保護密鑰；SIM可信業務管理平臺利用安全通道將SIM卡保護密鑰發送至SIM安全域；利用SIM卡保護密鑰對SIM卡安全數據進行加密保護。

本發明公開的上述利用嵌入式安全元件實現SIM卡數據安全防護方法，進一步地，eSE可信業務管理平臺創建SIM安全域后在SIM安全域安裝安全相關部分的SIM應用并存儲SIM卡安全數據，SIM卡安全數據包括用戶身份標識數據、通信密鑰數據和接入網絡列表。

本發明公開的上述利用嵌入式安全元件實現SIM卡數據安全防護方法，進一步地，利用SIM卡保護密鑰對SIM卡安全數據進行加密保護包括：安全客戶端應用程序向安全相關部分的SIM應用發送傳輸密鑰生成請求；安全相關部分的SIM應用產生臨時傳輸密鑰對，在SIM安全域內部保存傳輸密鑰對的RSA私鑰，并將傳輸密鑰對的RSA公鑰經SIM卡保護密鑰進行簽名保護的結果返回給安全客戶端應用程序；安全客戶端應用程序向SIM可信業務管理平臺發送SIM卡安全數據申請；SIM可信業務管理平臺對RSA公鑰經SIM卡保護密鑰進行簽名保護的結果校驗；校驗通過后將SIM卡安全數據通過SIM卡保護密鑰和RSA公鑰進行雙重加密后經安全客戶端應用程序轉發給安全相關部分的SIM應用；安全相關部分的SIM應用使用RSA私鑰對雙重加密的SIM卡安全數據解密后保存經SIM卡保護密鑰加密的SIM卡安全數據。

本發明公開的上述利用嵌入式安全元件實現SIM卡數據安全防護方法，進一步地，安全數據使用處理包括：調制解調器在登錄網絡；移動通信網絡側通過識別請求指令獲取用戶身份標識；移動通信網絡側下發鑒權請求指令及鑒權元組；安全相關部分的SIM應用根據網絡側給出的鑒權二元組(RAND，AUTN)，使用SIM卡保護密鑰解密經加密的SIM卡安全數據后獲取通信密鑰；安全相關部分的SIM應用對鑒權二元組進行校驗鑒權；網絡側在驗證終端側的RES與網絡側的XRES一致后，允許用戶登網。

本發明公開的上述利用嵌入式安全元件實現SIM卡數據安全防護方法，進一步地，移動通信網絡側通過識別請求指令獲取用戶身份標識包括：調制解調器將識別請求指令發送給應用處理器；由應用處理器通過NFC控制器將識別請求指令發送給嵌入式安全元件的SIM安全域；嵌入式安全元件的SIM安全域使用SIM卡保護密鑰解密經加密的SIM卡安全數據；獲取用戶身份標識；通過應用處理器和調制解調器將用戶身份標識返回給網絡側。

本發明公開的上述利用嵌入式安全元件實現SIM卡數據安全防護方法，進一步地，移動通信網絡側下發鑒權請求指令及鑒權元組包括：移動通信網絡側根據獲得的用戶身份標識，通過AuC的3GPP Milenge算法計算出鑒權五元組(RAND，AUTN，XRES，CK，IK)；網絡側從所述鑒權五元組(RAND，AUTN，XRES，CK，IK)給出鑒權二元組(RAND，AUTN)；網絡側將鑒權二元組(RAND，AUTN)插入至鑒權請求指令并下發；調制解調器將插入有鑒權二元組(RAND，AUTN)的鑒權請求指令發送給應用處理器中的非安全相關部分的SIM應用；通過NFC控制器將插入有鑒權二元組(RAND，AUTN)的鑒權請求指令發送給嵌入式安全元件的安全相關部分。

本發明公開的上述利用嵌入式安全元件實現SIM卡數據安全防護方法，進一步地，安全相關部分的SIM應用對鑒權二元組進行校驗鑒權包括：安全相關部分對網絡側的AUTN進行校驗；校驗通過后使用3GPP Milenge算法計算鑒權結果RES；返回鑒權結果RES給非安全相關部分的SIM應用；非安全相關部分的SIM應用將從終端側返回的鑒權結果值RES通過應用處理器和調制解調器轉發給網絡側。

本發明公開的上述利用嵌入式安全元件實現SIM卡數據安全防護方法，進一步地，應用處理器進行所述非安全防護處理包括：對于非安全相關指令，調制解調器將非安全相關的指令發送給應用處理器，應用處理器在非安全相關部分實現所述非安全相關指令對應的功能，其中，非安全相關指令包括讀取SIM卡號ICCID指令、讀取短信中心號碼指令、位置區更新指令、讀取電話簿指令和讀取短消息存儲指令，位置區更新指令的執行包括對臨時移動用戶識別符、位置區信息、位置更新狀態的操作。

本發明具有如下優點：

本發明采用嵌入式安全元件作為SIM卡資源的保護機制，將SIM卡功能分為安全相關和非安全相關功能，安全相關功能包括用戶身份、密鑰存儲和鑒權、接入網絡列表，非安全相關功能包括位置區更新、電話簿等功能，采用嵌入式安全元件(eSE)作為安全功能的存儲和計算實體，在實現SIM卡數據的安全防護的同時，利用應用處理器軟件處理非安全相關部分的功能，使性能和靈活性得到較大提高。

附圖說明

圖1是現有技術中移動終端物理SIM卡實現方法的示意圖。

圖2是現有技術中移動終端軟SIM卡實現方法的示意圖。

圖3是本發明公開的利用嵌入式安全元件實現SIM卡數據安全防護方法的示意圖。

圖4是本發明公開的利用嵌入式安全元件實現SIM卡數據安全防護方法的流程框圖。

圖5是本發明公開的安全防護處理的流程框圖。

圖6是本發明公開的安全數據個人化處理的流程框圖。

圖7是本發明公開的利用SIM卡保護密鑰對SIM卡安全數據進行加密保護的流程框圖。

圖8是本發明公開的安全數據個人化處理中的有關密鑰傳送的示意圖。

圖9是本發明公開的安全數據使用處理的流程框圖。

圖10是本發明公開的移動通信網絡側通過識別請求指令獲取用戶身份標識的流程框圖。

圖11是本發明中公開的移動通信網絡側下發鑒權請求指令及鑒權元組的流程框圖。

圖12是本發明公開的安全相關部分的SIM應用對鑒權二元組進行校驗鑒權的流程框圖。

圖13是本發明公開的安全數據使用處理中鑒權元組傳送的示意圖。

圖14是本發明公開的鑒權過程中使用的3GPP Milenge算法的示意圖。

具體實施方式

以下實施例用于說明本發明，但不用來限制本發明的范圍。

實施例1

參考圖3和圖4，本實施例中的一種利用嵌入式安全元件(Embedded Secure Element，eSE)實現SIM卡數據安全防護方法包括：采用嵌入式安全元件(eSE)將SIM應用分為安全相關部分和非安全相關部分實現虛擬化SIM卡；調制解調器(Modem)根據應用處理器(AP)的指令使用所述虛擬化SIM卡通過空中接口與網絡側交互；將原本發往物理SIM卡的指令發送給應用處理器(AP)；由應用處理器(AP)根據指令的安全屬性分別進行安全防護處理和非安全防護處理。

參考圖5，進一步地，安全防護處理包括：安全數據個人化處理和安全數據使用處理。

參考圖6和圖8，安全數據個人化處理包括：用戶開通適用SIM卡數據安全防護的業務功能；eSE可信業務管理平臺(SEI TSM)通過安全客戶端應用程序在嵌入式安全元件(eSE)上創建與主安全域相關聯的SIM安全域并產生隨機的SIM安全域密鑰(SSD)，其中，SIM安全域又可稱為輔助安全域，SIM安全域密鑰(SSD)也可稱為輔助安全域(SSD)，另外，主安全域也有主安全域密鑰(ISD)，主安全域密鑰(ISD)也存在于eSE可信業務管理平臺(SEI TSM)，進一步地，eSE可信業務管理平臺(SEI TSM)創建SIM安全域后在SIM安全域安裝安全相關部分的SIM應用并存儲SIM卡安全數據，SIM卡安全數據包括用戶身份標識數據、通信密鑰數據和接入網絡列表；在嵌入式安全元件(eSE)上使用SIM可信業務管理平臺(SIM TSM)的公鑰對SIM安全域密鑰(SSD)進行加密，形成eSE_SSD_KEY，其生成公式如下公式一所述：eSE_SSD_KEY＝rsa_encrpt(SIM TSM public key,RGK)公式一，其中RGK為隨機生成密鑰；將經SIM可信業務管理平臺(SIM TSM)的公鑰加密的SIM安全域密鑰(eSE_SSD_KEY)返回至eSE可信業務管理平臺(SEI TSM)；eSE可信業務管理平臺(SEI TSM)將經SIM可信業務管理平臺(SIM TSM)的公鑰加密的SIM安全域密鑰(eSE_SSD_KEY)發送給SIM可信業務管理平臺(SIM TSM)；SIM可信業務管理平臺(SIM TSM)建立與嵌入式安全元件(eSE)上的SIM安全域的安全通道，在SIM可信業務管理平臺(SIM TSM)上更新SIM安全域密鑰(SSD)并設置SIM卡保護密鑰(eSE_OTA_KEY)；SIM可信業務管理平臺(SIM TSM)利用安全通道將SIM卡保護密鑰(eSE_OTA_KEY)發送至SIM安全域；利用SIM卡保護密鑰(eSE_OTA_KEY)對SIM卡安全數據進行加密保護。

參考圖7和圖8，以上描述中，利用SIM卡保護密鑰(eSE_OTA_KEY)對SIM卡安全數據進行加密保護包括：安全客戶端應用程序向安全相關部分的SIM應用發送傳輸密鑰生成請求；安全相關部分的SIM應用產生臨時傳輸密鑰對(Transmission_RSA_Private,Transmission_RSA_Public)，在SIM安全域內部保存傳輸密鑰對的RSA私鑰(Transmission_RSA_Private)，并將傳輸密鑰對的RSA公鑰(Transmission_RSA_Public)經SIM卡保護密鑰(eSE_OTA_KEY)進行簽名保護的結果(Transmission_RSA_Public_Signature)返回給安全客戶端應用程序；安全客戶端應用程序向SIM可信業務管理平臺(SIM TSM)發送SIM卡安全數據申請；SIM可信業務管理平臺(SIM TSM)對RSA公鑰(Transmission_RSA_Public)經SIM卡保護密鑰(eSE_OTA_KEY)進行簽名保護的結果(Transmission_RSA_Public_Signature)校驗；校驗通過后將SIM卡安全數據先通過SIM卡保護密鑰(eSE_OTA_KEY)加密，再使用RSA公鑰(Transmission_RSA_Public)進行加密后形成Encrypt_SIM_DATA，上述雙重加密的過程如下公式二和公式三所示：Transmission_RSA_Public_Signature＝SHA-256(Transmission_RSA_Public,eSE_OTA_KEY)公式二，Encrypt_SIM_DATA＝RSA(Transmission_RSA_Public,3DES(eSE_OTA_KEY,plainData))公式三，然后，經安全客戶端應用程序轉發給安全相關部分的SIM應用；安全相關部分的SIM應用使用RSA私鑰(Transmission_RSA_Private)對雙重加密的SIM卡安全數據解密后保存經SIM卡保護密鑰(eSE_OTA_KEY)加密的SIM卡安全數據。

參考圖9和圖13，安全數據使用處理包括：調制解調器(Modem)在登錄網絡；移動通信網絡側通過識別請求(Identity Request)指令獲取用戶身份標識；移動通信網絡側下發鑒權請求(Authentication Request)指令及鑒權元組；安全相關部分的SIM應用根據網絡側給出的鑒權二元組(RAND，AUTN)，使用SIM卡保護密鑰(eSE_OTA_KEY)解密經加密的SIM卡安全數據后獲取通信密鑰；安全相關部分的SIM應用對鑒權二元組進行校驗鑒權；網絡側在驗證終端側的RES與網絡側的XRES一致后，允許用戶登網。

參考圖10和圖13，上述描述中，移動通信網絡側通過識別請求(Identity Request)指令獲取用戶身份標識包括：調制解調器(Modem)將識別請求(Identity Request)指令發送給應用處理器(AP)；由應用處理器(AP)通過NFC控制器將識別請求(Identity Request)指令發送給嵌入式安全元件(eSE)的SIM安全域；嵌入式安全元件(eSE)的SIM安全域使用SIM卡保護密鑰(eSE_OTA_KEY)解密經加密的SIM卡安全數據；獲取用戶身份標識；通過應用處理器(AP)和調制解調器(Modem)將用戶身份標識返回給網絡側。

參考圖11和圖13，上述描述中，移動通信網絡側下發鑒權請求(Authentication Request)指令及鑒權元組包括：移動通信網絡側根據獲得的用戶身份標識，通過AuC(鑒權中心，屬于移動通信網絡中用戶位置寄存器(HLR/HSS)的一個功能單元部分，專門用于移動通信系統的用戶安全性管理，保存用戶密鑰，并提供專用算法對用戶進行鑒權)的3GPP Milenge算法計算出鑒權五元組(RAND，AUTN，XRES,CK，IK)；網絡側從所述鑒權五元組(RAND，AUTN，XRES,CK，IK)給出鑒權二元組(RAND，AUTN)；網絡側將鑒權二元組(RAND，AUTN)插入至鑒權請求(Authentication Request)指令并下發；調制解調器(Modem)將插入有鑒權二元組(RAND，AUTN)的鑒權請求(Authentication Request)指令發送給應用處理器(AP)中的非安全相關部分的SIM應用；通過NFC控制器將插入有鑒權二元組(RAND，AUTN)的鑒權請求(Authentication Request)指令發送給嵌入式安全元件(eSE)的安全相關部分。

參考圖12和圖13，安全相關部分的SIM應用對鑒權二元組進行校驗鑒權包括：安全相關部分對網絡側的AUTN進行校驗；校驗通過后使用3GPP Milenge算法計算鑒權結果RES；返回鑒權結果RES給非安全相關部分的SIM應用；非安全相關部分的SIM應用將從終端側返回的鑒權結果值RES通過應用處理器(AP)和調制解調器(Modem)轉發給網絡側，上述描述中的3GPP Milenge算法如圖7所示。

另外，應用處理器(AP)進行所述非安全防護處理包括：對于非安全相關指令，調制解調器(Modem)將非安全相關的指令發送給應用處理器(AP)，應用處理器(AP)在非安全相關部分實現所述非安全相關指令對應的功能，其中，非安全相關指令包括讀取SIM卡號ICCID指令、讀取短信中心號碼指令、位置區更新指令、讀取電話簿指令和讀取短消息存儲指令，位置區更新指令的執行包括對臨時移動用戶識別符、位置區信息、位置更新狀態的操作。

如上所述，為解決物理SIM的缺點，為了節省物理空間、減少更換SIM卡的繁雜流程，本實施例使用嵌入式安全元件(eSE)來存儲SIM卡密鑰，并根據3GPP規范進行密鑰的驗證與計算。嵌入式安全元件(eSE)與近距離無線通訊(NFC)控制器芯片配合，eSE具備完善的信息安全體系和防止攻擊的技術手段。

雖然，上文中已經用一般性說明及具體實施例對本發明作了詳盡的描述，但在本發明基礎上，可以對之作一些修改或改進，這對本領域技術人員而言是顯而易見的。因此，在不偏離本發明精神的基礎上所做的這些修改或改進，均屬于本發明要求保護的范圍。