一种远程鉴权应用系统及其实现方法与流程

本发明涉及移动通讯领域，尤其涉及一种远程鉴权应用系统及其实现方法。

背景技术：

SIM（Subscriber Identity Module，客户识别模块）卡是目前移动运营商最常用的通信身份识别卡。几乎所有的移动运营商（例如移动、联通等）都通过此卡控制客户的移动终端选择不同的网络，并提供不同的套餐服务，例如是否接入4G 网络，每月有多少流量，是否能打电话权限等。

MIFI是一种便携式宽带无线装置（流量终端设备），大小相当于一个手机，集调制解调器、路由器和接入点三者功能于一身。其内置的调制解调器可接入一个无线信号，内部的路由器可在多个用户和无线设备间共享这一连接。

但是现有的MIFI设备定制存在要求门槛高，技术难度大，不利于大规模推广使用的问题。

因此，现有技术还有待于改进和发展。

技术实现要素：

鉴于上述现有技术的不足，本发明的目的在于提供一种远程鉴权应用系统及其实现方法，旨在解决现有现有MIFI设备定制要求门槛高，技术难度大等问题。

本发明的技术方案如下：

一种远程鉴权应用系统，其中，包括移动终端、与所述移动终端通过延长线连接的鉴权模块、与所述鉴权模块连接的后台服务器；

所述移动终端内设置有用于接收移动运营商的网络鉴权信息的无线上网模块；

所述移动终端通知鉴权模块向后台服务器申请一张实体SIM卡数据并写回到鉴权模块中，或者根据用户的指令向后台服务器发起申请一张实体SIM卡数据请求，后台服务器主动通知鉴权模块自觉发起申请请求，并从后台服务器得到实体SIM卡数据并写回到鉴权模块中，当鉴权模块内有实体SIM卡数据后，由鉴权模块主动通知移动终端重新切换状态，这时鉴权模块自动完成从空卡状态向指定的移动网络切换。

所述的远程鉴权应用系统，其中，所述延长线的一端具有触点式接口，所述触点式接口与所述移动终端SIM卡插座上的金属触点连接。

所述的远程鉴权应用系统，其中，所述鉴权模块中设置有主控芯片和移动通讯模块。

所述的远程鉴权应用系统，其中，所述移动通讯模块获取移动网络基站信息，根据所述移动网络基站信息获取位置信息，并实时向后台服务器传输位置信息。

所述的远程鉴权应用系统，其中，所述无线上网模块接收到移动运营商的网络鉴权信息时，将网络鉴权信息传递到鉴权模块，鉴权模块进行如下判断：如果鉴权模块里存储有实体SIM卡的KI数据，则直接进行网络鉴权计算，并将网络鉴权结果返回至移动终端；如果鉴权模块里未存储实体SIM卡的KI数据，则将所述网络鉴权信息发送至后台服务器端的实体SIM卡一侧，由实体SIM卡进行网络鉴权计算，并将网络鉴权结果返回至鉴权模块，再由鉴权模块将网络鉴权结果返回移动终端。

所述的远程鉴权应用系统，其中，所述后台服务器通过加密机制对实体SIM卡数据进行加密。

所述的远程鉴权应用系统，其中，所述移动终端与所述鉴权模块通过短信通道进行信息交互。

所述的远程鉴权应用系统，其中，所述鉴权模块通过内部保存的IP地址自动跟后台服务器进行长连接，并采用采取定时心跳包维护长连接的稳定性。

所述的远程鉴权应用系统，其中，所述鉴权模块内设置有CDMA和USIM两套协议，并根据移动终端的制式来采用对应的协议。

一种如上所述的远程鉴权应用系统的实现方法，其中，包括：移动终端通知鉴权模块向后台服务器申请一张实体SIM卡数据并写回到鉴权模块中，或者根据用户的指令向后台服务器发起申请一张实体SIM卡请求，后台服务器主动通知鉴权模块自觉发起申请请求，并从后台服务器得到实体SIM卡数据并写回到鉴权模块中；当鉴权模块内有实体SIM卡数据后，由鉴权模块主动通知移动终端重新切换状态，这时鉴权模块自动完成从空卡状态向指定的移动网络切换。

有益效果：本发明所提供的远程鉴权应用系统及其实现方法，移动终端设备无需任何改造，即可成为一个远程动态调卡设备，降低生产厂家设计及生产门槛，有利于快速推出成熟产品，降低了生产成本，有利于大规模推广使用。

附图说明

图1为本发明一种远程鉴权应用系统较佳实施例的结构框图。

图2为本发明系统中鉴权模块的原理框图。

图3为本发明一种远程鉴权应用系统的实现方法较佳实施例的流程图。

具体实施方式

本发明提供一种远程鉴权应用系统及其实现方法，为使本发明的目的、技术方案及效果更加清楚、明确，以下对本发明进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

请参阅图1，图1为本发明一种远程鉴权应用系统较佳实施例的结构框图，如图所示，其包括移动终端20、与所述移动终端20通过延长线连接的鉴权模块10、与所述鉴权模块10连接的后台服务器30；

所述移动终端20内设置有用于接收移动运营商的网络鉴权信息的无线上网模块；

所述移动终端20通知鉴权模块10向后台服务器30申请一张实体SIM卡数据并写回到鉴权模块10中，或者根据用户的指令向后台服务器30发起申请一张实体SIM卡数据请求，后台服务器30主动通知鉴权模块10自觉发起申请请求，并从后台服务器30得到实体SIM卡数据并写回到鉴权模块10中，当鉴权模块10内有实体SIM卡数据后，由鉴权模块10主动通知移动终端20重新切换状态，这时鉴权模块10自动完成从空卡状态向指定的移动网络切换。

本发明支持二种启动方式：本地控制主要是由移动终端20主动发起，类似移动终端20有操作界面，当用户选择登录网络时，移动终端20（例如通过短信通道）来通知鉴权模块10进行向后台服务器30申请实体SIM卡数据，然后实现登录移动网络。远程控制主要是非移动终端自身发起，而是由用户通过某个终端设备的APP应用发起指令，向后台服务器30直接发起，然后由后台服务器30通过主动控制命令方式，来通知鉴权模块10向后台服务器30申请实体SIM卡数据，然后实现登录移动网络。也就是说，本发明支持通过主动发送命令通知移动终端20自动切换卡片模式，将空号状态直接进入有网络状态，无需重复开关机。同时也支持由后台服务器30端通过移动网络主动控制此鉴权模块10的工作，从而控制移动终端20登录移动网络及断开移动网络。

本发明中，如图2所示，鉴权模块10通过延长线130与移动终端20连接，所述延长线130的一端具有触点式接口，所述触点式接口与所述移动终端20 SIM卡插座上的金属触点140连接。该触点式接口是标准SIM卡金属触点式接口（标准SIM卡7816接口），所有的移动终端20都支持此接口，所以无需任何改造。这样，鉴权模块10可从触点式接口接收来自移动终端20对鉴权模块10的访问信息，也可将从后台服务器30的控制信息通过触点式接口发回移动终端20，实现移动终端20与鉴权模块10之间的信息交互。

进一步，所述鉴权模块10中设置有主控芯片110和移动通讯模块120。

进一步，所述移动通讯模块120获取移动网络基站信息，根据所述移动网络基站信息获取位置信息，并实时向后台服务器30传输位置信息。利用所述移动通讯模块120，获取移动网络基站信息，来辅助定位，并实时向后台服务器30传输定位到的位置信息。因为该鉴权模块10与移动终端20连接在一起，所以定位该鉴权模块10的位置，也就定位到整个移动终端20的位置。

该鉴权模块10开机时属于空号状态，无网络信号，但移动终端20能够正确识别，避免了移动终端20开机时处于无SIM卡状态，后续只能重复开关机才能使用的问题。

进一步，所述无线上网模块接收到移动运营商的网络鉴权信息时，将网络鉴权信息传递到鉴权模块10（通过触点式接口传递），鉴权模块10进行如下判断：如果鉴权模块10里存储有实体SIM卡的KI数据（属于实体SIM卡数据中的一部分），则直接进行网络鉴权计算，并将网络鉴权结果返回至移动终端20；如果鉴权模块10里未存储实体SIM卡的KI数据（存储了SIM卡其他数据，但无KI数据），则将所述网络鉴权信息及时发送至后台服务器30端的实体SIM卡一侧，由实体SIM卡进行网络鉴权计算，并将网络鉴权结果返回至鉴权模块10，再由鉴权模块10将网络鉴权结果返回移动终端20。

其中的Ki (Key identifier)数据是实体SIM卡与移动运营商之间加密数据传递的密钥，是用户登录移动网络的认证密钥，是实体SIM卡中的关键数据，一旦泄漏，会对运行商及用户造成重大损失。

上述的步骤是为了保证移动终端20连接移动网络之后，可长期正常工作，所以需要解决随机鉴权认证问题。当移动运营商通过移动网络向移动终端20发起鉴权请求时，鉴权模块10会将通过触点式接口收到网络鉴权信息，如果鉴权模块10里存储有实体SIM卡的KI数据（属于实体SIM卡数据中的一部分），则直接进行网络鉴权计算，并将网络鉴权结果返回至移动终端20，这样鉴权模块10可成为一张普通本地SIM卡，后续无需移动网络支持；如果鉴权模块10里没有存储实体SIM卡的KI数据，则鉴权模块10并不直接返回网络鉴权结果，而是由其移动通讯模块120将网络鉴权信息转到后台服务器30，并访问到对应的实体SIM卡进行鉴权，网络鉴权结果由实体SIM卡通过原路返回，再由鉴权模块10传回移动终端20，最终完成鉴权。这样，鉴权模块10即可获得合法身份，并让移动终端20能长期维持上网。

由于鉴权模块10可从后台服务器30申请到实体SIM卡的KI数据，由于KI数据是敏感数据，为了防止泄密，传输时需要加密保护。本发明中，所述后台服务器30通过加密机制对实体SIM卡数据进行加密。具体来说，后台服务器30使用加密机进行数据加密，鉴权模块10进行数据解密还原并存储在本地。为了保证安全，采取一卡一密方式，当鉴权模块10申请实体SIM卡的KI数据时，需要上传鉴权模块10的唯一ID号，加密机根据此唯一ID号计算出此鉴权模块10相应的加密密钥，且KI数据直接在加密机内部进行加密，防止泄密。鉴权模块10收到加密后的KI数据后，使用内部存储的加密密钥（与前述加密密钥相同）进行解密还原存储在本地。

进一步，所述移动终端20与所述鉴权模块10通过短信通道进行信息交互，从而解决移动终端20无法直接跟鉴权模块直接通讯的问题。其中，下行数据由移动终端20按照往SIM卡存储短信方式处理，写入某个固定的存储区位置，短信内容里包括按照拟定的协议的控制信息，鉴权模块10收到后，进行处理。上行数据则通过读取SIM卡的存储区位置短信，读取鉴权模块10返回的信息。

进一步，所述鉴权模块10通过内部保存的IP地址自动跟后台服务器30进行长连接，并采用采取定时心跳包维护长连接的稳定性。鉴权模块10在通电时，根据内部保存的IP地址，自动跟后台服务器30进行长连接，且采取定时心跳包维护长连接的稳定性，实现双向数据传输。这样鉴权模块10既能接收后台服务器30的远程控制，也能向后台服务器30随时上传信息。

进一步，所述鉴权模块10内设置有CDMA和USIM两套协议，并根据移动终端20的制式来采用对应的协议。本发明将CDMA SIM和3G USIM卡两套不同协议标准同时实现，将两套协议的共同部分(数据存储，数据读写权限控制)共享同一段代码。鉴权模块10根据移动终端20启动时发送的APDU指令，判断移动终端20属于什么制式，自动切换到CDMA或者USIM模式。

本发明还提供一种如上所述的远程鉴权应用系统的实现方法，如图3所示，其包括：

S1、移动终端通知鉴权模块向后台服务器申请一张实体SIM卡数据并写回到鉴权模块中，或者根据用户的指令向后台服务器发起申请一张实体SIM卡请求，后台服务器主动通知鉴权模块自觉发起申请请求，并从后台服务器得到实体SIM卡数据并写回到鉴权模块中；

S2、当鉴权模块内有实体SIM卡数据后，由鉴权模块主动通知移动终端重新切换状态，这时鉴权模块自动完成从空卡状态向指定的移动网络切换。

本发明的鉴权模块和所有的现有移动终端都兼容。只需在移动终端中插入该鉴权模块，就可以由客户或服务商来选择移动运营商了。比如可以由程序选择移动公司的网络或联通的网络，出国后还可以任意选择其它国外公司的网络。

采用本发明的方案，移动终端无需任何硬件改造，直接插入鉴权模块后，即成为可以调用远程SIM卡的设备，实现移动流量动态分配，也可实现该设备全球漫游，享受本地优惠流量价格，节省用户高昂的国际漫游费用。本发明解决了当前全球漫游终端设备定制化门槛高、成本高且只能使用某款终端通讯芯片的问题，将现有设备简单加装此鉴权模块，即成为全球漫游设备，避免了重新购买或设计的成本。同时该鉴权模块支持现有移动终端的全部网络制式，解决定制设备无法远程调用CDMA制式应用的问题。

应当理解的是，本发明的应用不限于上述的举例，对本领域普通技术人员来说，可以根据上述说明加以改进或变换，所有这些改进和变换都应属于本发明所附权利要求的保护范围。