一種改進型的SIM卡以及移動通信身份識別方法和系統與流程
本發明涉及移動通信領域,尤其涉及一種改進型sim卡以及移動通信身份識別方法和系統。
背景技術:
每個客戶在移動通信網絡中注冊登記時,就被分配一個客戶電話號碼(msisdn,mobilesubscriberinternationalisdn/pstnnumber)和國際移動用戶識別碼(imsi,internationalmobilesubscriberidentificationnumber)。imsi通過sim寫卡機寫入客戶的sim卡中,同時在寫卡機中又產生了一個與imsi相對應的唯一客戶鑒權鍵(鑒權密鑰)ki,它被存儲在sim卡中的特定區域不能讀取,同時又被存儲在鑒權中心auc中,這是永久性的信息。客戶的手機開機后會從sim卡中讀取imsi,當手機登錄網絡時,會將imsi發送給網絡,網絡接收到手機發送來的imsi后返回給手機一個隨機數rand,手機收到rand后,將rand發給sim卡,sim卡里的ki對rand通過算法生成鑒權響應sres(signedresponse),手機讀取sres并發給網絡,網絡根據imsi找到對應的ki并對rand通過與sim卡約定的算法生成sres’,網絡比較接收到的sres和自己生成的sres’,如果兩者相同則認為該客戶合法,反之認為該客戶不合法。現有3g、4g移動通信網絡采取雙向鑒權,即除了網絡對客戶的鑒權之外,還包括客戶對網絡的鑒權。其鑒權過程與單向鑒權類似,都是建立在初始時寫入后保持不變的密鑰的基礎上。
sim卡里的ki對rand通過算法生成sres的同時還產生一個加密密鑰kc,用來進行保密通話。因此,sim卡中的ki是保證移動通信安全的關鍵性密鑰,一旦被不法分子竊取,整個系統的安全性將遭到破壞。由于ki是永久性信息,且是用來產生認證消息sres和加密密鑰kc的,因此,不法分子往往通過分析sres或者kc破解到ki。
現有技術中,sim卡內的ki是sim卡出廠時寫入且固定不變,現在有很多途徑可破解其ki,一旦ki被破解,該sim卡就可以被大量復制或者其保密通信遭到破解。
技術實現要素:
本發明提供一種移動通信身份識別方法,在sim卡與移動通信網絡之間進行身份識別時,采用真隨機數密鑰生成鑒權響應,可以進一步提高通信的保密性。
一種基于改進型sim卡的移動通信身份識別方法,實施在移動通信網絡與安裝在移動終端內的sim卡之間,包括:
其中一者利用第一鑒權密鑰以及來自對方的隨機數生成第一鑒權響應,并將該第一鑒權響應發送給對方;
對方用所述隨機數以及第二鑒權密鑰生成第二鑒權響應,對比第一鑒權響應與第二鑒權響應進行身份識別;
所述第一鑒權密鑰以及第二鑒權密鑰為相應的真隨機數密鑰且預先在移動通信網絡和sim卡之間分發。
目前,2g網絡(如gsm網絡)是采用單向鑒權,即只有移動通信網絡對客戶的認證。3g網絡(如wcdma網絡)和4g網絡(如lte)均采用雙向鑒權,即除了移動通信網絡對客戶認證其合法性之外,客戶對移動通信網絡也進行認證,只有雙方都認證成功才能登錄網絡進行通信服務。本發明所采用的認證方式不限制單向認證或者雙向認證,也不限制認證所使用的方法,只強調認證所使用的鑒權密鑰是由客戶sim卡和網絡雙方所共享的真隨機數密鑰。
本發明中,“第一”、“第二”僅僅為了便于區分和敘述,并不對技術特征本身作為限定。
具體的移動通信網絡對客戶認證時,包括;
移動終端攜帶sim卡內的imsi碼向移動通信網絡發送認證請求;
移動通信網絡接收到所述認證請求并驗證imsi碼有效后向移動終端發送隨機數;
sim卡采用真隨機數密鑰作為第一鑒權密鑰,結合所述隨機數生成第一鑒權響應,再通過移動終端發給移動通信網絡;
移動通信網絡接收所述第一鑒權響應,利用所述隨機數以及第二鑒權密鑰生成第二鑒權響應,對比第一鑒權響應與第二鑒權響應進行身份識別。
具體的,客戶對移動通信網絡認證時,包括:
移動通信網絡向移動終端發送認證請求;
移動終端響應于移動通信網絡的認證請求,并向移動通信網絡發送隨機數;
移動通信網絡接收所述隨機數;采用真隨機數密鑰作為第一鑒權密鑰,結合所述隨機數生成第一鑒權響應并發給移動終端;
sim卡經由移動終端接收所述第一鑒權響應,利用所述隨機數以及第二鑒權密鑰生成第二鑒權響應,對比第一鑒權響應與第二鑒權響應進行身份識別。
本發明還提供一種基于改進型sim卡的移動通信身份識別系統,包括移動通信網絡、移動終端以及安裝在所述移動終端內的sim卡,移動通信網絡與安裝在移動終端內的sim卡之間進行身份識別時:
其中一者利用第一鑒權密鑰以及來自對方的隨機數生成第一鑒權響應,并將該第一鑒權響應發送給對方;
對方用所述隨機數以及第二鑒權密鑰生成第二鑒權響應,對比第一鑒權響應與第二鑒權響應進行身份識別;
所述第一鑒權密鑰以及第二鑒權密鑰為相應的真隨機數密鑰且預先在移動通信網絡和sim卡之間分發。
基于同一發明思路,本發明還提供一種改進型的sim卡,在移動通信網絡對sim卡進行身份識別時,sim卡通過所在的移動終端向移動通信網絡發送認證請求,并接收來自移動通信網絡的隨機數;采用真隨機數密鑰作為鑒權密鑰,結合所述隨機數生成鑒權響應并發給移動通信網絡以供身份認證。
基于同一發明思路,本發明還提供一種移動終端,安裝有所述的sim卡。
基于同一發明思路,本發明還提供一種改進型的sim卡,在sim卡對移動通信網絡認證時,包括:
響應于移動通信網絡的認證請求,通過所在的移動終端向移動通信網絡發送隨機數;
接收來自移動通信網絡的第二鑒權響應,該第二鑒權響應為移動通信網絡采用第二鑒權密鑰結合所述隨機數生成;
利用所述隨機數以及第一鑒權密鑰生成第一鑒權響應,對比第一鑒權響應與第二鑒權響應進行身份識別;
所述第一鑒權密鑰以及第二鑒權密鑰為相應的真隨機數密鑰且預先在移動通信網絡和sim卡之間分發。
基于同一發明思路,本發明還提供一種移動終端,安裝有所述的sim卡。
本發明所述的移動通信網絡,是指全球移動通信系統,我國符合通信系統網絡標準的運營商主要有移動、聯通、電信等。其主要作用是為合法的移動終端客戶提供語音通信服務。
作為優選,所述移動通信網絡中包括密鑰頒發服務器,密鑰頒發服務器中設有真隨機數發生器,用于生成真隨機數并在移動通信網絡和sim卡之間分發形成相應的真隨機數密鑰。
密鑰頒發服務器可以為持有移動終端的客戶辦理入網手續及頒發sim卡,該密鑰頒發服務器上含有真隨機數發生器,可用來產生真隨機數作為真隨機數密鑰頒發給客戶的sim卡。
所述移動通信網絡中還具有鑒權中心(auc),所述真隨機數密鑰在移動通信網絡中存儲在鑒權中心中。
移動通信網絡會將寫入sim卡內的鑒權客戶信息(至少包括國際移動用戶識別碼imsi、真隨機數密鑰和各類密碼學算法)存儲在鑒權中心auc中。當移動客戶接入網絡進行通信時,由auc對客戶的移動終端的sim卡進行認證,認證通過后允許客戶登錄移動通信網絡進行保密通信。
本發明所述的移動終端也稱為移動通信終端,是指可以在移動中使用的通訊設備,優選為手機、筆記本、平板電腦、pos機、車載電腦等。他通過網絡與其他設備進行通信并在自身的系統上開發出不同的應用功能供用戶使用,以完成用戶的需求。本發明所述的移動終端是指基于sim卡來接入移動通信網絡的終端設備。該移動終端具有自帶的存儲器也可以通過內置sd卡來擴展其存儲區。
本發明所述的sim卡具有傳統sim卡的功能,是客戶終端入網的身份憑證,其內部結構包括cpu、內存、存儲器等,并有相應的操作系統,可以存儲客戶信息,存儲和運行各類密碼學算法等,優選表現形式為usbkey、sdkey或移動終端主板芯片。
sim卡中存有國際移動用戶識別碼imsi、真隨機數密鑰、客戶身份信息和各類密碼學算法等,其中真隨機數密鑰與傳統sim卡中的ki定義相同,都是在客戶注冊時寫入sim卡中并在客戶的移動終端登錄網絡時用做認證的密鑰,區別在于把傳統sim卡中的一個ki改為由一組真隨機數組成真隨機數密鑰,其密鑰量取決于sim卡的容量或者移動終端的存儲量。
鑒權密鑰可以保存在sim卡內,優選以加密的方式保存在sim卡或移動終端內。
sim卡內設有安全加密芯片,用于采用所述真隨機數加密密鑰對鑒權密鑰進行加、解密。安全加密芯片也可以對鑒權密鑰進行存儲,安全加密芯片優選為tpm安全芯片。
作為優選,sim卡內設有真隨機數發生器芯片,用于生成真隨機數加密密鑰對鑒權密鑰進行加密。
加密后的鑒權密鑰既可以保存在sim卡中,也可以保存在移動終端中。例如保存在移動終端自帶的存儲器,或移動終端的內置擴展sd卡中。
sim卡使用鑒權密鑰時,先從移動終端讀取加密形式的鑒權密鑰,在sim卡內利用真隨機數加密密鑰對鑒權密鑰進行解密使用。
作為進一步優選,所述真隨機數發生器芯片為量子真隨機數發生器芯片。
真隨機數密鑰形式的鑒權密鑰在一次使用過后即作廢,作廢的密鑰存儲區稱為無效數據區,反之,未被使用的密鑰存儲區稱為有效數據區。真隨機數密鑰在存儲時都有一個指針指向當前有效密鑰的位置,該指針所指向的當前有效密鑰即為下次待使用的真隨機數密鑰,當該真隨機數密鑰使用后,移動終端會與移動通信網絡進行同步更新,即將指針指向下一個有效真隨機數密鑰的位置。
當有效數據區內的真隨機數密鑰量小于一定的值時,該sim卡將通過移動終端向客戶發出充值密鑰的信號,提醒該客戶到移動通信網絡充值真隨機數密鑰,充值真隨機數密鑰的方法與真隨機數密鑰頒發的方法類似,在此不做贅述。
本發明中,客戶的移動終端每次登錄移動通信網絡時所用的認證碼是由sim卡與移動通信網絡共享的真隨機數密鑰生成的,且用于生成認證碼的真隨機數密鑰使用一次后更新。這使得真隨機數密鑰取代了傳統sim卡中的ki,并有效防止了傳統sim卡中ki密鑰被破解的風險,提高了移動通信系統的安全性。
附圖說明
圖1為實施例1的流程示意圖;
圖2為實施例2的流程示意圖。
具體實施方式
實施例1
本實施例基于改進型sim卡的移動通信身份識別系統中當客戶到移動通信網絡辦理入網時,該客戶就被分配一個客戶電話號碼(msisdn)、國際移動用戶識別碼(imsi)及一張sim卡。通過寫卡機將imsi及其他客戶信息如各類密碼學算法等寫入客戶的sim卡中。
移動通信網絡中設有密鑰頒發服務器,密鑰頒發服務器中設有真隨機數發生器,從真隨機數發生器產生的真隨機數中,取出指定數量的真隨機數密鑰,該真隨機數密鑰即為本次所頒發的真隨機數密鑰。并將該真隨機數密鑰寫入客戶的sim卡中。該真隨機數密鑰直接以明文的形式被保存在sim卡中,通過任何途徑都無法再取出。
移動通信網絡中設有鑒權中心,移動通信網絡會將寫入sim卡內的鑒權客戶信息(至少包括imsi、真隨機數密鑰和各類密碼學算法)存儲在auc中。并將該sim卡頒發給客戶,客戶使用sim卡聯合移動終端即可接入移動通信網絡進行通信。
下面將根據傳統的鑒權方式給出移動通信網絡對客戶sim卡的鑒權過程,客戶sim卡對移動通信網絡的鑒權過程類似。
參見圖1,認證過程包括:
1)客戶的移動終端從sim卡中讀取imsi碼發送給移動通信網絡。
2)移動通信網絡中的鑒權中心auc接收到imsi后首先判斷該imsi碼是否有效,如果有效,則產生一個真隨機數n返回給客戶的移動終端。
3)客戶的移動終端接收到真隨機數n后,將真隨機數n發送給sim卡。
4)sim卡使用真隨機數密鑰和真隨機數n通過與移動通信網絡約定的算法生成認證碼key及鑒權響應,發送給移動終端。
5)移動終端將認證碼key返回給移動通信網絡。
6)移動通信網絡中的鑒權中心auc接收到認證碼key,用與sim卡相同的方式,利用存儲在鑒權中心auc中相應的真隨機數密鑰生成key’,并比較key和key’。如果key=key’,則表明移動通信網絡認證成功。如果key≠key’,則表明移動通信網絡認證失敗。
實施例2
相對于實施例1,本實施例中的sim卡內部設有真隨機數發生器芯片,sim卡接收到來自移動通信網絡的真隨機數密鑰后,通過其內部的真隨機數發生器芯片產生一個真隨機數加密密鑰k,并使用真隨機數加密密鑰k將真隨機數密鑰加密成密文形式的真隨機數密鑰。該密文形式的真隨機數密鑰可以保存在移動終端的存儲器中或者移動終端擴展的存儲區域也可以存儲在sim卡內的數據存儲區。同時真隨機數加密密鑰k會被保存sim卡中以供解密時使用。
下面將根據傳統的鑒權方式給出移動通信網絡對客戶sim卡的鑒權過程,客戶sim卡對移動通信網絡的鑒權過程類似。
參見圖2,認證過程包括:
1)客戶的移動終端從sim卡中讀取imsi碼發送給移動通信網絡。
2)移動通信網絡中的鑒權中心auc接收到imsi后首先判斷該imsi碼是否有效,如果有效,則產生一個真隨機數n返回給客戶的移動終端。
3)客戶的移動終端接收到真隨機數n后,將真隨機數n和密文形式的真隨機數密鑰發送給sim卡。
4)sim卡使用真隨機數加密密鑰k將密文形式的真隨機數密鑰解密,并將解密后的真隨機數密鑰,結合真隨機數n通過與移動通信網絡約定的算法生成認證碼key,將key發送給客戶的移動終端。
5)客戶的移動終端將認證碼key返回給移動通信網絡。
6)移動通信網絡中的鑒權中心auc接收到認證碼key,用與sim卡相同的方式利用存儲在鑒權中心auc中相應的真隨機數密鑰生成key’,并比較key和key’。如果key=key’,則表明移動通信網絡對客戶的移動終端認證成功。如果key≠key’,則表明移動通信網絡對客戶認證失敗。
以上公開的僅為本發明的具體實施例,但是本發明并非局限于此,本領域的技術人員可以對本發明進行各種改動和變型而不脫離本發明的精神和范圍。顯然這些改動和變型均應屬于本發明要求的保護范圍保護內。此外,盡管本說明書中使用了一些特定的術語,但這些術語只是為了方便說明,并不對本發明構成任何特殊限制。
- 還沒有人留言評論。精彩留言會獲得點贊!