一种内置安全机制的营区专用SIM卡的制作方法

本发明涉及智能卡技术领域，特别是指一种内置安全机制的营区专用sim卡。

背景技术：

在全球信息化时代，信息安全已成为重要课题，可以说，取得了信息控制权，就取得了控制权，面对营区信息安全建设中信息保密工作各方面的的隐患，单纯抵御外部攻击的信息保密防护措施，已经不足以应对营区信息化建设中信息保密安全工作的迫切需求，引进更先进的全方位信息保密防护系统，满足新形势下营区信息化建设中信息保密工作的需求成为营区信息化建设的首要工作。

现有的sim卡在我们日常使用过程中，手机通话和短信都存在潜在风险，间谍、黑客和犯罪分子通过技术手段能够对sim卡进行克隆或破解，在用户无感知的情况下，达到监听和拦截的目的，造成重要信息丢失或泄密的严重后果。

技术实现要素：

有鉴于此，本发明的目的在于提出一种安全性高的内置安全机制的营区专用sim卡。

基于上述目的本发明提供的内置安全机制的营区专用sim卡，包括通讯模块、安全运算模块和安全存储模块。

所述安全运算模块，通过命令数据解析、传输接口数据传输、对密码算法芯片的操作以及对各个存储单元的访问和管理日志实现身份认证和通信加密功能，同时具有高强度运算功能，负责对鉴权参数解密以及对鉴权结果加密进行运算。

所述安全存储模块，具有存储应用程序、用户信息、设置信息、数字证书以及日志文件的功能，且所述安全存储模块中存储的数据在掉电后将永久保存。

在一些实施方式中，所述安全运算模块包括：

用户身份认证单元，通过对用户身份进行认证，确保接入的用户为合法用户，以及通过对用户数据和身份信令信息进行全程加密传送，确保用户数据和信息的安全。

移动设备认证单元，在所述专用sim卡接入移动设备时，通过验证所述移动设备是否具有接入权限，保证接入的移动设备是合法的移动设备。

以及通信加密单元，自动提示终端可以使用哪些加密算法，通过对通信消息进行加密，加强了消息在网络中传送的安全指数，并采用以交换设备为核心的交换机制，加密链路指向交换设备，实现了一端到另一端的全过程加密。

在一些实施方式中，所述通信加密单元包括如下子单元：

密钥建立单元，将生成的非对称密钥由密钥管理中心进行存储，并保存其他网络生成的公开密钥，同时产生并存储用于加密信息的对称会话密钥，以及接收并分配用于加密信息其他网络的对称会话密钥。

密钥分配单元，将所述会话密钥分配给网络中的结点。

通信安全单元，使用所述非对称密钥来实现数据加密、数据源认证和数据完整性保护。

在一些实施方式中，所述用户身份认证单元包括如下子单元：

判断用户身份单元，接受用户身份信息，根据所述用户身份信息判断用户身份类型，所述用户身份类型包括临时用户身份和永久用户身份。

临时用户认证单元，当用户身份类型为所述临时用户身份时，对所述用户身份信息进行认证，对符合身份认证要求的所述临时用户进行单次授权。

永久用户认证单元，当用户身份类型为所述永久用户身份时，对所述永久用户进行永久授权。

在一些实施方式中，所述数字证书在所述安全存储模块的安全区域中存储，通过安全区的对外接口函数并通过联接授权后对证书进行读取。

在一些实施方式中，通过非对称加密算法对用户身份进行认证。

在一些实施方式中，所述用户信息包括用户身份信息和用户位置信息。

从上面所述可以看出，本发明提供的内置安全机制的营区专用sim卡，通过增加安全运算模块，进行身份认证和通信加密提升了sim卡通信的稳定新和安全新，通过增加安全存储模块，对用户信息以及数字证书进行存储，进一步加强sim卡的安全防护，进一步实现营区通信以及互联网的安全防护。

附图说明

图1为本发明提供的内置安全机制的营区专用sim卡实施例示意图；

图2为本发明提供的安全运算模块的一个实施例示意图；

图3为本发明提供的安全运算模块的另一个实施例示意图；

1-通讯模块，2-安全运算模块，3-安全存储模块，201-用户身份认证单元，202-移动设备认证单元，203-通信加密单元，201a-判断用户身份单元，201b-临时用户认证单元，201c-永久用户认证单元，203a-密钥建立单元，203b-密钥分配单元，203c-通信安全单元。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本发明进一步详细说明。

需要说明的是，本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量，可见“第一”“第二”仅为了表述的方便，不应理解为对本发明实施例的限定，后续实施例对此不再一一说明。

本发明提供的内置安全机制的营区专用sim卡，包括通讯模块1、安全运算模块2和安全存储模块3；

安全运算模块2通过命令数据解析、传输接口数据传输、对密码算法芯片的操作以及对各个存储单元的访问和管理日志实现身份认证和通信加密功能，同时具有高强度运算功能，负责对鉴权参数解密以及对鉴权结果加密进行运算。

安全存储模块3，具有存储应用程序、用户信息、设置信息、数字证书以及日志文件的功能，且所述安全存储模块中存储的数据在掉电后将永久保存。

其中，安全存储模块3除了可以永久保存数据外，还可对保存的数据进行加密，当所述专用sim脱离授权终端后，密钥丢失，保存的数据不能被其他设备读取，所述用户信息包括用户身份信息和用户位置信息，将所述用户身份信息和用户位置信息储存在安全存数模块，保证信息的安全。

其中，所述数字证书在所述安全存储模块的安全区域中存储，通过安全区的对外接口函数并通过联接授权后对证书进行读取。

本发明提供的内置安全机制的营区专用sim卡，通过增加安全运算模块，进行身份认证和通信加密提升了sim卡通信的稳定新和安全新，通过增加安 全存储模块，对用户信息以及数字证书进行存储，提高sim卡的安全性能，进一步实现营区通信以互联网的安全防护。

进一步的，如图2所示为安全运算模块2结构的一个实施例，安全运算模块2包括：

用户身份认证单元201，通过获取用户身份并对用户身份进行认证，确保接入的用户为合法用户，以及通过对用户数据和身份信令信息进行全程加密传送，确保用户数据和信息的安全。

其中，对用户身份进行认证是通过非对称加密算法对用户身份进行认证。

移动设备认证单元202，在所述专用sim卡接入移动设备时，通过验证所述移动设备是否具有接入权限，保证接入的移动设备是合法的移动设备。

以及通信加密单元203，自动提示终端可以使用哪些加密算法，通过对通信消息进行加密，加强了消息在网络中传送的安全指数，并采用以交换设备为核心的交换机制，加密链路指向交换设备，实现了一端到另一端的全过程加密。

其中，信息数据加密机制主要体现在密钥长度较长和加密算法协商机制的建立，消息在网络内的传送不再采用明文传送，在整个通信系统中，数据保密机制建立了加密密钥协商、信令数据加密、加密算法协商和用户数据加密四种安全特征。

本发明提供的内置安全机制的营区专用sim卡，通过用户身份认证单元201，通过非对称加密算法对用户身份进行认证，确保接入的用户为合法用户，以及通过对用户数据和身份信令信息进行全程加密传送，确保用户数据和信息的安全；通过移动设备认证单元202，验证所述移动设备是否具有接入权限，保证接入的移动设备是合法的移动设备；以及通过通信加密单元203对通信消息进行加密，加强了消息在网络中传送的安全指数；通过用户与智能卡认证，智能卡与终端认证的双向鉴权机制以及通信加密机制保证了网络接入、用户域和网络域的多重安全，杜绝技术漏洞造成的数据泄密，实现营区通信的安全防护。

进一步的，如图3所示为安全运算模块2的另一个实施例，安全运算模块2包括：用户身份认证单元201(如图2)、移动设备认证单元202以及通信加密单元203(如图2)。

用户身份认证单元201包括如下子单元：

判断用户身份单元201a，接受用户身份信息，根据所述用户身份信息判 断用户身份类型，所述用户身份类型包括：临时用户身份和永久用户身份；

临时用户认证单元201b，当用户身份类型为所述临时用户身份时，对所述用户身份信息进行认证，对符合身份认证要求的所述临时用户进行单次授权；

其中，所述临时身份机，是为了确保用户数据和信息的安全，用户在通信中不能长期使用同一个身份口，系统自动分配给用户一个临时身份，并且通信系统将对用户数据和身份信令信息进行全程加密传送。

永久用户认证单元201c，当用户身份类型为所述永久用户身份时，对所述永久用户进行永久授权。

进一步的，通信加密单元203包括如下子单元：

密钥建立单元203a，将生成的非对称密钥由密钥管理中心进行存储，并保存其他网络生成的公开密钥，同时产生并存储用于加密信息的对称会话密钥，以及接收并分配用于加密信息其他网络的对称会话密钥。

密钥分配单元203b，将所述会话密钥分配给网络中的结点。

通信安全单元203c，使用所述非对称密钥来实现数据加密、数据源认证和数据完整性保护。

现有技术中，信令和数据在gsm网络实体之间是通过明文方式传输的，网络实体之间的交换信息是不受保护的，本发明提供的营区专用sim卡，通过密钥建立单元203a，生成并存储非对称密钥，同时接受对称会话密钥，通过密钥分配单元203b，将所述会话密钥分配给网络中的结点，并通过通信安全单元203c，使用所述非对称密钥来实现数据加密、数据源认证和数据完整性保护，提供了网络实体之间的信息交换的安全保障，实现网络域的安全。

从上面所述可以看出，本发明提供的内置安全机制的营区专用sim卡，通过增加安全运算模块，采用双向鉴权机制和非对称加密算法的身份认证功能以及通信加密提升了sim卡通信的稳定新和安全新，通过增加安全存储模块，对用户信息以及数字证书进行存储，提高sim卡的安全性能，进一步实现营区通信以及互联网的安全防护。

所属领域的普通技术人员应当理解：以上任何实施例的讨论仅为示例性的，并非旨在暗示本公开的范围(包括权利要求)被限于这些例子；在本发明的思路下，以上实施例或者不同实施例中的技术特征之间也可以进行组合，并存在如上所述的本发明的不同方面的许多其它变化，为了简明它们没有在细节中提供。因此，凡在本发明的精神和原则之内，所做的任何省略、修改、等同替换、 改进等，均应包含在本发明的保护范围之内。