用户识别模块与防止访问其的方法、及移动通信终端设备的制作方法

专利名称：用户识别模块与防止访问其的方法、及移动通信终端设备的制作方法
技术领域：
本发明总体上涉及可拆分地位于移动通信终端设备主体上、用于识别用户的用户识别模块，更具体而言，涉及在其由于失误或偷窃遗失时防止访问这种用户识别模块数据的方法。
背景技术：
在泛欧数字蜂窝系统(下文中称为GSM(全球移动通信系统))中，用户识别模块(SIM)用在每个遵循GSM的移动通信终端设备(下文中简称为移动终端或终端)中，以提高安全性。具有数据处理和存储能力的SIM是可拆分地位于终端设备中、用于GSM用户识别的卡形设备。当用户将SIM装入终端设备并输入PIN(个人识别号)后，移动终端的通信及其它功能就变得有效了。但是，当每次终端设备开机时都提示要输入PIN，用户有时候会感到很麻烦，从而使用户使用禁用了PIN鉴权功能的移动电话。如果禁用了PIN鉴权功能的移动电话由于失误或偷窃丢失了，拥有这丢失的移动终端的一方可以使用其来通信，而完全不去考虑用户的意图。
为了防止这种问题发生，在GSM系统中建立鉴权中心(AuC)。鉴权中心具有包括用户IMSI(国际移动台用户标识码)与用户电话号码之间相关的用户列表。如果其移动终端丢失的用户报告了这个情况，用户列表中的相关就改变，拒绝源自该丢失的移动终端的呼叫。即，用户通知其IMSI注册的鉴权中心用户移动终端的丢失，使一个新的IMSI发出，从而防止具有丢失IMSI的移动终端由第三人通过基站的适当处理建立通信。
但是，SIM存储个人数据，例如AND(缩位拨打号码)和FND(固定拨打号码)。由于PIN鉴权的功能在丢失的SIM上禁用，因此个人数据就可以在任何移动终端上从SIM读出。
对于在第三代移动电话系统上采用的UIM(或USIM)，也存在该问题。

发明内容
本发明的一个目的是提供一种如果关掉PIN鉴权功能的移动终端由于失误或偷窃丢失了则防止访问位于丢失的移动终端上的用户识别模块，从其读取数据的用户识别模块和方法。
在执行本发明的过程中并根据其一方面，提供了一种配置成可拆分地位于移动通信终端上、为了进行用户识别的用户识别模块，包括用于存储从外部下载的应用程序的应用存储装置；用于执行该应用程序的处理装置；用于存储文件管理描述、文件描述和数据的存储装置；及用于管理文件管理描述、文件描述和数据的文件管理装置；其中处理装置在下载应用程序后执行该应用程序，以控制文件管理装置，从而防止对数据的访问。
在上面提到的用户识别模块中，文件管理描述包括指示口令功能是否启用的信息及指示在口令功能启用状态下口令的连续错误输入是否计数的信息，对数据的访问是通过如下改变文件管理描述而阻止的，启用口令功能并将口令连续错误输入计数设置成预定的最大计数。
在上面提到的用户识别模块中，文件管理描述包括指示用于将口令功能禁用状态恢复成口令功能启用状态的口令连续错误输入计数的信息，对数据的访问是通过如下改变文件管理描述而阻止的，将口令连续错误输入计数设置成预定的最大计数。
在上面提到的用户识别模块中，对数据的访问是通过删除处于保护之下的数据来阻止的。
在上面提到的用户识别模块中，文件描述包括数据大小，对数据的访问是通过将处于保护之下的数据大小变成0来阻止的。
在上面提到的用户识别模块中，对数据的访问是通过删除存储在用户识别模块中的用户号信息来阻止的。
在上面提到的用户识别模块中，文件描述包括文件访问条件，对数据的访问是通过将处于保护之下的数据的文件访问条件设置成访问禁用状态来阻止的。
在上面提到的用户识别模块中，用于保护存储在用户识别模块中的数据的应用程序是以后现代方式外部下载的；但是，提前将应用程序存储在存储装置中也是可行的，以便根据外部输入的命令阻止对数据的访问。
在执行本发明的过程中并根据其另一方面，提供了一种数据访问阻止方法，包括步骤在基站比较利用位置注册信息请求从移动通信终端设备接收到的用户号信息与用户识别模块用于数据保护的用户号信息；及如果在比较中找到匹配，则通过将预定应用程序发送到移动通信终端设备并将应用程序下载到用户识别模块自动执行预定的应用程序，而不考虑移动通信终端设备用户的意图，从而在用户识别模块中阻止对数据的访问。
对于防止访问上面提到的数据，可以采用各种特定的方法。
如果用于保护存储在用户识别模块中的数据的应用程序事先存储在存储装置中，则基站可以向移动通信终端设备发送用于数据保护的命令，而不是发送应用程序，从而自动执行存储在用户识别模块中的应用程序，而不考虑通信终端设备用户的意图。
根据本发明的移动通信终端设备配置成使用于用户识别的用户识别模块是可拆分装载的，包括用于存储外部下载的应用程序的应用部分，用于执行这个应用部分的SAT功能部分，用于存储文件管理描述，文件描述和文件数据的非易失性存储部分，及用于管理这些信息和数据的文件管理部分。SAT功能部分执行下载的应用程序以控制文件管理部分，从而防止访问用户识别模块中存储的数据。
在上面提到的移动通信终端设备中，用于保护存储在用户识别模块中的数据的应用程序是以后现代方式从外部下载的；但是，提前将应用程序存储在存储装置中也是可行的，以便根据外部输入的命令阻止对数据的访问。
如上所述并根据本发明，如果PIN鉴权功能禁用的移动通信终端丢了或被偷了，也能阻止拥有该丢失或被偷的移动通信终端的第三方访问存储在该设备用户识别模块中的数据。
此外，本发明的实施方式可以利用移动通信终端的现有功能来实现，因此不需要增加新的硬件，从而不涉及成本的增加。


图1是说明作为本发明一种实施方式实现的数字蜂窝系统配置的示意图；图2是说明图1所示数字蜂窝系统中通用移动电话的配置方框图；图3是说明SIM示例性内部配置的方框图；图4是说明SIM中用于文件管理的示例性目录描述的图；图5是说明SIM中用于直接管理文件数据文件访问等的示例性文件信息描述信息的图；图6是作为与安全性相关的标准示例性口令处理的PIN访问流程图；图7是指示作为GSM移动终端标准示例性处理的SAT处理流程图；图8是说明IMSI结构的图；图9是指示上述实施方式中SIM中数据保护处理的流程图；图10是指示上述实施方式中在基站一侧执行的处理的流程图；及图11是说明上述实施方式中SIM中内部逻辑结构及在SIM外围执行的事务的方框图。
具体实施例方式
以下参考附图详细描述本发明的一种优选实施方式。
首先，参考图1描述作为本发明一种实施方式实现的数字蜂窝系统的配置。参考图1，示出了这个系统的概念图，其中描述了移动终端和网络的通用概念。例如，当从作为一个移动终端的移动电话200a向作为另一个移动终端的移动电话200b进行呼叫时，移动电话200a的用户输入移动电话200b的电话号码并拨号。这种拨号呼出还可以由安装在移动电话200a中的软件自动执行。然后，移动电话200a通过无线接口(或空中接口)105a连接到移动电话基站101a。移动电话基站101a通过数字接口106(例如，通常是IDSN)连接到另一移动电话基站101b。由于移动电话200b是通过空中接口107b利用这个移动电话基站101b位置注册的，因此移动电话200a最终连接到移动电话200b，从而建立拨号连接。另一方面，有线电话与移动电话200a或移动电话200b之间的连接是通过将有线电话连接到PSTN(公共交换电话网)站108建立的，连接到移动电话基站101a或移动电话基站101b的数字接口106连接到PSTN站108。
应当指出，在此移动电话200a和移动电话200b统称为移动电话200(这对于其它标号也是正确的)。
互联网服务提供商109通过数字接口110连接到移动电话基站101a，这就有可能根据移动电话200a与服务提供商109之间签订的合同通过移动电话基站101a从移动电话200a享受服务。这些服务包括例如更新的数据的下载及其它数据的提供。此外，还可以提供一种服务，其中利用SAT(SIM应用工具包)的应用通过例如SMS-PP(点对点的短消息服务)或SMS-CB(短消息服务单元广播)发送到用户，而且作为应用执行结果的由用户选择的信息可以被接收。
SAT是使电信承运商能将其特有的应用程序加到SIM中的一种功能。本发明意在通过使用这种功能改变存储在SIM中的数据，以阻止个人数据从SIM非法泄漏。用户鉴权中心AuC 111事先注册每个用户的用户号IMSI。例如，当用户打开移动电话200a的电源时，存储在SIM中的IMSI通过空中接口105a、移动电话基站101a及数字接口106发送到用户鉴权中心AuC 111。根据接收到的IMSI，在用户鉴权中心AuC 111参考用户列表。如果发现用户是授权用户，则执行作为定位通信建立所必需的过程。IMSI不直接与电话号码、传真号或数据号相关，而是只在用户鉴权中心AuC 111与这些号码相关。IMSI的细节随后描述。
以下利用例如图2所示的方框图描述通用移动电话的配置。在天线201进入的接收信号通过选择器202导入接收RF部分203。在接收RF部分203中，对信号执行波段限制和自动增益控制，以便将其设到一个合适的水平。接下来，为了将期望的接收频率转换成恒定频率，被处理的信号发送到混频器204，与从局部振荡器211提供的频率控制信号混合。然后，混频器204的输出发送到接收IF部分205进行A/D转换，以提供具有恒定位速率的IQ数字数据。接收解调部分206执行如衰减、类型区别、去交织等影响的去除，及对IQ数据的纠错，该IQ数据随后被分成声音数据和通信数据。因为声音数据通常是压缩的，而且是以接收到的脉冲块提供的，因此声音数据被声音解码器207根据声音采样速率解压缩并解码，进行D/A转换。然后，由此产生的D/A转换后的信号被扬声器放大器208进行功率放大，放大的信号从扬声器209可以听到。另一方面，在接收解调部分206中与声音数据分离的通信数据发送到通信数据解码部分210，返回成其最终的原始数据。然后原始数据通过CPU总线225发送到I/O 220，然后通过数据I/F 220c发送到外部设备。
在发送方，声音由麦克风218转换成模拟声音信号。因为麦克风218的输出很小，所以它被麦克风放大器217放大到必要的电压。然后，放大的声音信号发送到声音编码部分216，以适当的采样速率A/D转换成数字信号。为了压缩，数字信号编码成适于RF中脉冲信号的块。另一方面，从I/O 220的数据I/F 220c输入的数字数据被通信数据编码部分219放入合适的块中。来自声音编码部分216的数据和来自通信数据编码部分219的数据由发送调制部分215合并，以提供具有恒定数据速率的IQ数字数据。这个IQ信号被发送I/F部分214 D/A转换成模拟调制信号，转换后的信号发送到混频器213，其中这个信号是与来自局部振荡器211的转换信号混合，以得到期望的发送频率。具有期望的发送频率的信号被发送RF部分212功率放大到必要的发送功率。然后，结果信号发送到选择器202，再发送到天线201，辐射到外面。
ROM(只读存储器)221存储例如由CPU(中央处理单元)224执行并显示字体数据的程序。RAM(随机访问存储器)222存储在CPU 224进行程序处理期间所获得的数据，用作数据通过其从接收部分或发送部分移动的工作区。EEPROM(电可擦除可编程ROM)223存储移动电话关机之前那一刻的设置，并在以后保持这些设置。当移动电话开机时，所存储的设置被再次使用，从而为用户提供方便。用于计时的实时时钟(RTC)226提供数据时间戳、移动电话时间显示及例如提供日期和时间数据中的报警。在这个例子中，与外部设备的输入/输出接口I/O 220通过I/F 220a连接到显示部分231，通过I/F220b连接到键盘232。I/O 220还通过数据I/F 220c连接到外部设备。外部存储I/F 220d用于存储从记忆棒提供的数据或从图1所示服务提供商109下载的数据。SIM I/F 220e提供后述与SIM的接口。
参考图3，示出了示例性的SIM内部配置，其中有一个非常通用的加入了CPU的IC卡方框图。来自外部的工作电源VCC 301提供5V、3V或1.8V的电压。程序电源VPP 302是用于电可擦除ROMEEPROM 310的程序电源，通常提供与VCC 301相同的电压或在SIM内部产生电压。在这个例子中，这个电压是从外部提供的。但是，这种配置对于本发明不是必要的。双向数据信号线I/O 303是用于执行实际的数据输入/输出的信号线。当数据信号没有输入或输出时，这条线通常保持在与工作电源VCC 301相同的电压，从而保持外部控制设备和SIM在相互数据接收状态。时钟(CLK)304提供用于驱动结合进SIM的CPU 312的时钟信号，并且被适当地分割，以便提供用于确定在双向数据信号线T/O 303中交换的数据传输速率的传输时钟。复位(RST)305是不仅初始化结合进来的CPU 312，还初始化分割器308、串行/并行转换器307等的复位信号输入。例如，串行/并行转换器307将从外部设备串行传输的数据转换成并行的8位数据。为了这种转换，双向数据信号线I/O 303检测后面首先跟着LSB正逻辑(或首先是MSB负逻辑，这种选择是由IC卡制造商作出的)中的位数据、附加了一位偶校验的起始位“L”。如果检测到校验错，则接收方以两个时钟的特定周期发送校验位之后的“L”，响应它发送方再次发送相同的数据。这种方法在ISO 7816半双工异步通信协议中定义。通过这些处理，串行数据转换成等效的并行数据。RAM 309临时存储CPU312执行处理所需的数据或临时存储数据，直到积累到特定的数据块。EEPROM 310存储只在内部使用的数据或更新时连续使用的数据。例如，在数字蜂窝移动终端中，EEPROM 310存储缩写的拨号数据、合同内容、短信息或用于开始和维持通信的控制数据。ROM 311主要存储CPU 312要执行的程序。处理命令是通过双向数据信号线I/O 303从外部设备输入的。各个处理命令是基于制造和使用移动终端所必需的公共命令系统、用于处理只用于安全性的数据的非公共管理命令系统，如加扰键发生器、发行器或管理器及口令。这进一步增强了SIM的安全功能。分割器308通过使用预定的发送速率由双向数据信号线I/O 303从驱动CPU 312的时钟(CLK)304获得用于数据发送的时钟。1/372的分割比率用于GSM，但这不是唯一的。CPU 312根据从外部提供的命令在SIM内部执行处理。这种处理是通过确定每个内部存储的数据组(或数据文件)特有的访问条件，即确定口令验证是否必要或是否给出了访问权限，来执行的。数据总线(或CPU总线)313是当CPU 312执行命令时从ROM 311读命令、在RAM 309中临时存储数据及将用于EEPROM 310的访问数据移动到外部设备的信号线。
与SAT相关的信息存储在一般用户不能读取的ROM 311中。作为SMS接收的应用首先存储在电可擦除EEPROM 310的适当文件中，然后执行。在这个时候，终端简介从终端设备读出。简介数据存储在例如RAM 309中，RAM 309是读/写存储器。以前，SAT的执行是与用户交互完成的。但是，由于本实施方式意在阻止丢失或被偷的SIM被任何第三方使用，因此SAT是不通知用户执行的。可选地，指示所涉及SIM为丢失或被偷SIM的消息在内部处理后显示，从而通知所涉及的SIM不能使用。
以下参考在存储器中开发的逻辑文件描述GSM的SIM结构。图4示出了在SIM中用于为文件管理提供信息的目录描述的例子。这个目录描述400提供了关于主目录或主目录下子目录的信息。对用于子目录的信息保持相同。目录描述400包括主目录或子目录存储容量、文件个数及指示是提供了安全口令能力还是启用SIM时钟停止的信息。除了用于管理的隐藏目录，这种信息可以从外部设备读出。编码内容大部分归成两种类型。一种是以独立于应用、以通用格式编码的通用描述401。字节1和2(403)是为将来使用保留的。下面的字节3和4指示SIM剩余的有效存储容量404。字节5和6构成用于由2-字节编码识别目录的目录ID 405。字节7是用于对识别目录或后述文件类型的数据进行编码的目录类型406。例如，主目录编码成01Hex(Hex表示16进制标记法)，该主目录下的子目录编码成02Hex，编码成04Hex指示数据文件。字节8至12(407)是为将来使用保留的。字节13是用于以下应用的文件数据长度408。这是用于每个应用的规格大小402，用于指示目录信息的长度。这使得子目录信息和数据文件能在其后连续分配，从而提供存储器的有效利用。
以下描述对每个应用规格的内容402。字节14是指示提供给SIM的CPU工作时钟是否可以停止的目录特征409。如果这个时钟可以停止，则在“H”或“L”状态可以指定停止。功耗会依赖停止状态而变化，因此移动终端等设计成还通过目录特征最小化功耗。目录特征409的MSB指示PIN1有效还是无效。PIN1设置成主要用于检查用户鉴权的口令，它可以很容易地检查这种状态。字节15是指示选定主目录下子目录个数的子目录计数410。字节16是指示该主目录和子目录下文件个数的当前目录下文件计数411。字节17是PIN、PUK(口令未阻塞键＝未阻塞PIN)，指示口令个数，如果口令功能被阻塞则指示未阻塞个数及特定管理码的管理码计数412。例如，如果设置两种类型的PIN和两种类型的管理码不公开，则字节17编码成4Hex。提供字节23(418)是为了让SIM的管理者使用。字节19是其编码示例在图4所示目录信息的安全状态表中示出的PIN1状态414。例如，如果设置了PIN1，则位8编码成1，如果错误计数器设成3，则提供编码83Hex。在这种情况下，如果PIN1口令连续失败，则错误计数器设成0，从而阻止用户访问需要更多PIN1验证的SIM。这种状态是指PIN1处于阻塞状态。如果PIN1验证成功地完成了，则错误计数器重置成初始值3。这些操作也对字节21，PIN2状态416，进行。字节20是其编码示例在图4所示目录信息的安全状态表中示出的PUK1状态415。例如，如果设置了PIN1，则这个PUK1状态415与PIN1成对的位8编码成1。如果PIN1由于PIN1状态414的错误计数器为0而阻塞，则口令号PUK1专门准备用来解锁这种状态，PUK1状态415指示这种状态。这对PIN2也一样。例如，如果错误计数器设成0，则PUK1状态415也编码成8AHex。在这种情况下，如果口令PUK1连续失败10次，则PUK1错误计数器设成0，从而阻止用户对未阻塞的PIN1进行更多的口令PUK1验证。如果进入了这种状态，则除了利用只能由发行器或管理者使用的管理命令系统恢复状态以外没有别的办法。这种配置还有利于安全性的增强。如果用于未阻塞PIN1块的口令PUK1验证成功完成了，则PUK1错误计数器的值重置成初始值10，到此用户新近设置PIN1。这些操作也对字节22，PUK2状态417，执行。本实施方式还包括将PIN1、PIN2、PUK1和PUK2错误计数器强制变成阻塞状态的装置。
以下通过使用图5所说明的文件信息500描述例如描述用于直接管理数据文件访问操作的信息的文件描述。字节1和2是为将来使用保留的。字节3和4指示数据部分的文件大小503。在本实施方式中，这个数据大小设成0，从而使SAT强制执行并实现无数据状态。字节5和6构成用于2-字节编码文件标识的文件ID 504。字节7是编码成指示数据文件的04Hex的文件类型505。字节8(506)是专用于循环文件的数据。这指示只能与这个循环文件一起使用的增加命令是否可以执行。例如，该循环文件是具有能够以特定的时间间隔由单个命令增加收费信息单元的文件结构的文件。这个数据指示这个命令是否可以执行。这个数据可以用作管理用途，例如，如果收费信息已经积累到最大水平，则这个SIM卡不能再使用。字节9至11构成设置在执行对应于该字节的示例命令507a至507c时必须满足的安全条件的访问条件507。如果访问条件码512是0Hex，则它指示访问总是启用的。如果是1Hex，则它指示当PIN1的验证成功结束时访问是启用的。如果是2Hex，则它指示PIN2的验证已成功结束。4Hex至EHex指示如果满足不公开的管理访问，则访问是启用的。FHex指示访问是禁止的。例如，如果字节9(507a)编码成01Hex，那么如果PIN1的验证已成功结束且“读”或“搜索”可以无条件使用，则“更新”可以使用。在本实施方式中，这种访问条件是通过使用SAT强制将所有文件设成FHex来实现的。字节12，文件状态508，指示文件的状态。例如，位1指示这个文件是否可用。接下来的字节13，后续文件信息数据长度509，用于指示每个应用数据大小中文件信息的位置500。为了有效利用内存，其后数据文件是连续分配的。字节14，文件结构510，指示文件的逻辑结构。如果字节14编码成00Hex，那么一样量的数据不需要变化就可以存储，象对普通内存一样。如果这个字节编码成01Hex，则特定的格式数据存成一组。例如，如果一个缩写的拨号是50字节长，则这可以作为一个记录来处理，从而分配等于100个缩写拨号的5K存储区域＝500记录。如果这个字节编码成03Hex，则提供与02Hex“线性固定”相同的记录格式，其中记录的顺序可以顺序改变。例如，一个特定记录的优先级可以改变，使这个记录移到第一个记录位置。如果一个记录序列从第一个记录开始，以第n个记录结束，那么，例如，这个序列可以改变成第一个记录移动到第n个记录，第二个记录移到第一个记录。字节15，记录长度511，指示一个记录的存储大小。根据文件大小503和这个记录长度511，可以计算可用记录的个数。
以下参考图11描述SIM 300的逻辑结构和关于本实施方式中SIM 300的外围的事务。SIM 300具有作为主要逻辑部件的SAT功能部分330、应用部分340、文件管理部分350、目录描述400、文件描述500和文件数据550。SAT功能部分330、应用部分340和文件部分350主要是由图3所示的CPU 312和存储在ROM 311中的程序实现的。应用部分340利用RAM 309作为缓冲存储器。目录描述400、文件描述500和文件数据550以非易失方式存储在EEPROM 310中。
下面在描述本发明的实施方式之前描述最初的SAT操作。移动电话200通常被认为是其主体和SIM 300。如果发现SIM 300与SAT兼容，则这个终端的程序部分230发送终端简介，这是指示该终端对SIM 300中的SAT功能部分330能做什么的信息。另一方面，从例如服务提供商(图中所示的109)下载的应用程序(或者简单地说是应用)存储在SIM 300中作为专用缓冲的应用部分340。所存储的应用被执行，例如通过SAT功能部分330颁发显示请求，在终端的显示部分231上显示用户选择菜单。用户通过进行菜单选择和例如通过使用键盘232输入选择号作出响应。程序部分230将所选择的信息发送到SAT功能部分330，从SAT功能部分330所选择的信息又通过应用部分340反馈到提供这个应用的服务提供商，从而实现用户与服务提供商之间的交互信息交换。
在本实施方式中，可以布置SAT功能部分330根据本发明的扩展功能，其中通过操作SIM 300中的文件管理部分350、目录描述400、文件描述500和文件数据550可以沿实现一个目的所必需的最小路由直接访问，而不通过终端主体中的程序部分230，从而防止有恶意的第三方读取个人信息。在这个例子中，为了简单描述使用一项目录描述、一项文件描述和一项文件数据，但这些信息和数据也可以是两个或多个。在本实施方式中，从原理上讲不使用主体的程序部分230；但是，通过使用标准SAT功能，程序部分230可用于在终端的显示部分231上显示例如“这是被偷的SIM，关于用户的请求禁止使用”的消息。
以下参考图6说明的PIN访问流程图描述与安全性相关的一般口令处理。关于图4所示目录描述的PIN1、PIN2、PUK1和PUK2的处理大体上是以相同的方式执行的，区别只在于预定的错误计数值，因此PIN1、PIN2、PUK1和PUK2将共同描述。
当进行PIN输入时处理开始。首先，执行用于设置PIN1、PIN2、PUK1和PUK2中一个的“PIN模式设置”。接下来，根据这个设置，作出所涉及PIN是否已初始化的“PIN初始化”结论(S602)。如果发现PIN未初始化，则“未初始化状态”输出到外部设备(S609)。如果PIN已初始化，则对于PIN错误计数确定“错误计数＝0”，以便检查PIN是否阻塞(8603)。如果所涉及的PIN错误计数为0，则“阻塞状态”输出到外部设备(S613)。如果所涉及的PIN错误计数非0，则它指示所涉及的PIN未阻塞，因此作出是否需要PIN验证功能的“PIN启用”决定(S604)。如果PIN验证功能设成禁用状态，则“PIN禁用状态”输出到外部设备(S610)。如果需要PIN验证功能，则在所涉及的PIN与输入的PIN之间进行比较“比较PIN”(S605)。然后，作出“存储的PIN”决定，看是否有与所存储PIN的匹配(S606)。如果发现输入的PIN是错的，则执行“减小错误计数”处理，更新错误计数(S611)，并输出“错误的PIN状态”，通知外部设备错误PIN的输入(S612)。如果通过PIN比较“比较PIN”(S605)在所存储的PIN和输入的PIN之间找到匹配，则执行用于将错误计数设成初始值的“错误计数设成N”(S607)。接下来，输出用于通知外部设备正常结束的“正常结束命令状态”(S608)，到此PIN验证结束。当PUK验证正常结束后，PUK错误计数初始化，相关PIN的错误计数也初始化。
在本实施方式中，通过有效设置在这个PIN状态中定义的PIN鉴权功能和由SAT将错误计数值强制设成0，实现SIM阻塞状态，这将在后面详述。
以下描述正常的SAT处理。
图7是作为GSM移动终端正常处理例子的SAT处理流程。首先，接收基于短信息服务(SMS)的短信息，以确定所接收的短信息是否是文本(S701)。如果发现短信息是文本，则执行正常的SMS显示处理(S705)，到此本处理结束。如果在确定步骤S701中发现短信息不是文本，则确定短信息是否是SAT应用(S702)。如果发现短信息不是SAT应用，则执行指示禁用应用执行的显示(S706)，到此本处理结束。如果在步骤S703中发现接收到了SAT应用，则所接收的SAT应用被下载到SIM(S703)。当SAT应用下载到SIM后，在SIM中执行该应用(S704)。如果需要，在这个执行过程中可以进行预定显示，以便从例如键盘获得用户的响应，从而将执行结果发送到提供SAT应用的一侧。在本实施方式中，用于数据安全的处理是通过在SIM中执行这个应用执行的。
以下关于IMSI进一步描述上面提到的处理。IMSI是用于用户识别的代码。如图8所示，IMSI由几部分组成。MCC(移动国家代码)801是用于国家或地区识别的代码。MNC(移动网络代码)802是用于国家或地区运营商识别的代码。MSIN(移动用户识别号)803是用于用户识别的代码。这三个连接在一起的代码称为IMSI(国际移动用户识别码)。IMSI是通过SIM和鉴权中心注册的。当用户打开移动终端时，IMSI从SIM发送到鉴权中心，以确定用户期望的位置是否是授权用户。如果发现用户是授权用户，则过程前进到用于位置注册的下一步；否则，过程被基站中断。因此，其移动终端丢失或被偷的用户可以利用鉴权中心进行注册，使IMSI失效，从而防止第三方使用用户丢失或被偷的移动终端。
给予用户的IMSI 804与用户的电话号码805、传真号码806和数据通信号807相关。用户的移动电话或SIM没有与电话号码等对应的信息。当对所涉及的用户进行呼叫时，呼叫者将用户的电话号码发送到基站。基站检查电话号码与IMSI之间的相关并建立与这个区域的通信线路，利用其确定所涉及的IMSI的位置，从而建立与所涉及用户的通信。如果用户的移动电话丢了或被偷了，则如前所述颁发新IMSI，利用鉴权中心再次注册。这种情况由“新IMSI”808示出。电话号码805、传真号码806和数据通信号807可以与“新IMSI”相关改变，而不改变这些信息项，因此用户能够连续使用最初的号码。另一方面，旧的(即丢失或被偷的)SIM 804失去了与电话号码等的相关，因此用于位置注册等的过程被基站拒绝，从而使旧的SIM不可用。但是，这种配置不能完全保护存储在SIM中的个人数据。根据本实施方式的以下过程能进一步增强存储在SIM中的个人数据的安全性。
以下描述在本实施方式中执行的一个应用。下面描述可在此采用的所有装置。但是，对于本发明没有必要执行所有这些装置。只执行这些装置的一部分也能实现本发明的目的。
图9是指示根据本实施方式SIM中数据安全性处理的流程图。这种处理等同于图7所示流程图步骤S704的处理。首先，执行“PIN启用”处理(步骤S901)。这个处理通过设置图4所示目录描述400的字节14的MSB(409)来启用PIN鉴权功能。所以，至少在开机时需要PIN输入。在本实施方式中，每个PIN由4至8位数字组成。当连续错误输入PIN预定次数(在这个例子中是3次)时SIM被阻塞，不知道正确PIN的第三方的PIN输入企图失败了。下一步S902中的“PIN计数＝80Hex”处理将图4所示目录描述400的字节19(414)或字节21(416)的错误计数值设成0。这提供了与上述第三方连续3次输入错误PIN相同的效果。(每输入一次错误PIN，计数值减1，最后到达0)。此外，如果PIN被阻塞，则执行用于恢复阻塞PIN的“PUK计数＝80Hex”处理(S903)。PUK是由8位数组成的。为了恢复PIN，SIM必需输入PUK。但是，如果错误的PUK连续输入了预定次数(在这个例子中是10次)，则SIM完全阻塞。这个处理将错误计数置成阻塞状态。
接下来，执行“ADN数据删除”处理，以删除作为个人数据存储的例如缩写拨号文件内容本身，从而使得完全不可能读出这些内容(S904)。此外，执行“ADN文件大小＝0000Hex”处理(S905)，通过改变文件描述500的字节3和4，文件大小503，将文件大小设成0。因此，如果选择了这个文件，则所选的文件不能通过向外部提供未分配内存的信息读出。
类似地，执行“FDN数据删除”处理，以删除作为个人数据存储的固定拨号文件内容本身，从而使得不可能读出这些内容(S906)。此外，执行“FDN文件大小＝0000Hex”处理，通过图5所示文件描述500字节3和4的文件大小503的内容将其值设成0(S907)。因此，如果选择了这个文件，那么向外部提供未分配内存的信息使得不能读出这个文件。而且，还执行“IMSI数据删除”处理，删除IMSI，用户特有的信息，从而禁用用户识别(S908)。此外，执行“IMSI文件大小＝0000Hex”处理，通过修改图5所示文件描述字节3和4的文件大小503的内容将其值设成0(S909)。因此，如果选择了这个文件，则向外部提供未分配内存的信息使得不能读出这个文件。此外，通过将由图5所示文件描述500字节9至11的访问条件码512指定的访问条件设置成文件描述500访问条件码512的FHex(NEV)，访问条件被改变，因此该文件永远不可能通过使用任何在普通GSM公开说明中操作的命令系统来访问(S910)。
如上所述，改变存储在SIM中的目录描述400和/或文件描述500来阻止对文件的访问及读出文件数据本身使得能够阻止个人数据从SIM泄漏。因此，新配置提供了多层的安全能力。
以下参考图10所示的基站处理流程描述由基站侧执行的处理，从而实现上述在终端侧执行的处理。
当第三方打开已报告偷窃丢失的移动终端且位置更新请求首先发送到基站用于位置注册时，确定从移动终端提供的信息是否是位置更新请求(S1001)。如果发现这个信息不是位置更新请求，则处理结束。另一方面，如果发现信息是位置更新请求，则基站从移动终端接收作为用户识别信息的IMSI(S1002)。接下来，由鉴权中心AuC进行“未授权IMSI”确定，看从移动终端接收到的用户识别信息IMSI是不是授权的(S1003)。
如果发现IMSI是授权的，则执行用于位置更新请求的正常过程(S1006)。另一方面，如果发现IMSI是未授权的，例如指示是偷来的，则位于从其接收到位置更新请求的移动终端中的SIM是未授权的，据此，从基站通过SAT发送SIM保护程序(S1004)。作为响应，在移动终端执行上面参考图9描述的SIM数据保护处理。在发送SIM保护程序后，基站发送位置更新失败消息，通知移动终端其位置更新请求被拒绝(S1005)，到此处理结束。
尽管已经利用专用术语描述了本发明的一种优选实施方式，但这种描述只是为了说明，应当理解在不背离以下权利要求主旨或范围的前提下，可以进行改变和变化。
例如，在上述新配置中，应用是从外部下载的；可选地，应用也可以内部安装在SIM中，根据外部提供的命令执行。
权利要求
1.一种用户识别模块，配置成可拆分地装在移动通信终端上，用于用户识别，包括应用存储装置，用于存储从外部下载的应用程序；处理装置，用于执行所述应用程序；存储装置，用于存储文件管理描述、文件描述和数据；及文件管理装置，用于管理所述文件管理描述、所述文件描述和所述数据；其中所述处理装置在下载所述应用程序后执行所述应用程序来控制所述文件管理装置，从而阻止对所述数据的访问。
2.如权利要求1所述的用户识别模块，其中所述文件管理描述包括指示口令功能是否启用的信息和指示口令功能启用状态下口令连续错误输入计数的信息，及通过将所述文件管理描述改变成使所述口令功能启用且所述口令连续错误输入计数设置成预定的最大计数，阻止对所述数据的访问。
3.如权利要求1所述的用户识别模块，其中所述文件管理描述包括指示用于将口令功能禁用状态恢复成口令功能启用状态的口令连续错误输入计数的信息，及通过将所述文件管理描述改变成使所述口令连续错误输入计数设置成预定的最大计数，阻止对所述数据的访问。
4.如权利要求1所述的用户识别模块，其中通过删除处于保护之下的数据来阻止对所述数据的访问。
5.如权利要求1所述的用户识别模块，其中所述文件描述包括数据大小，通过将处于保护之下的所述数据的大小改变成0来阻止对所述数据的访问。
6.如权利要求1所述的用户识别模块，其中通过删除存储在所述用户识别模块中的用户号信息来阻止对所述数据的访问。
7.如权利要求1所述的用户识别模块，其中所述文件描述包括文件访问条件，通过将用于所述处于保护之下的数据的所述文件访问条件设置成访问禁用状态来阻止对所述数据的访问。
8.一种用户识别模块，配置成可拆分地装在移动通信终端上，用于用户识别，包括应用存储装置，用于存储保护存储在用户识别模块中的数据的应用程序；处理装置，用于执行所述应用程序；存储装置，用于存储文件管理描述、文件描述和数据；及文件管理装置，用于管理所述文件管理描述、所述文件描述和所述数据；其中所述处理装置根据外部输入的命令执行所述应用程序，以便控制所述文件管理装置，从而阻止访问所述数据。
9.一种数据访问阻止方法，包括步骤比较利用位置注册请求从移动通信终端设备接收到的用户号信息和在基站用于数据保护的用户识别模块的用户号信息；及如果在比较中找到匹配，则通过将所述预定的应用程序发送到所述移动通信终端设备和将所述应用程序下载到所述用户识别模块来自动执行预定的应用程序，而不考虑所述移动通信终端设备用户的意图，由此阻止访问存储在所述用户识别模块中的数据。
10.一种数据访问阻止方法，包括步骤比较利用位置注册请求从移动通信终端设备接收到的用户号信息和在基站用于数据保护的用户识别模块的用户号信息；及如果在比较中找到匹配，则通过将用于数据保护的命令发送到所述移动通信终端设备来自动执行存储在所述用户识别模块中的应用程序，而不考虑所述移动通信终端设备用户的意图，由此阻止访问存储在所述用户识别模块中的数据。
11.一种用户识别模块，配置成可拆分地装在移动通信终端上，用于用户识别，包括应用部分，用于存储从外部下载的应用程序；处理部分，用于执行所述应用程序；存储部分，用于存储文件管理描述、文件描述和数据；及文件管理部分，用于管理所述文件管理描述、所述文件描述和所述数据；其中所述处理部分在下载完所述应用程序后执行所述应用程序以便控制所述文件管理部分，从而阻止访问所述数据。
12.一种用户识别模块，配置成可拆分地装在移动通信终端上，用于用户识别，包括应用部分，用于存储保护存储在所述用户识别模块中的数据的应用程序；处理部分，用于执行所述应用程序；存储部分，用于存储文件管理描述、文件描述和数据；及文件管理部分，用于管理所述文件管理描述、所述文件描述和所述数据；其中所述处理部分根据外部输入的命令执行所述应用程序以便控制所述文件管理部分，从而阻止访问所述数据。
13.一种移动通信终端设备，配置成可拆分地容纳用于用户识别的用户识别模块，所述用户识别模块包括应用部分，用于存储从外部下载的应用程序；处理部分，用于执行所述应用程序；存储部分，用于存储文件管理描述、文件描述和数据；及文件管理部分，用于管理所述文件管理描述、所述文件描述和所述数据；其中所述处理部分在下载完所述应用程序后执行所述应用程序以便控制所述文件管理部分，从而阻止访问所述数据。
14.一种移动通信终端设备，配置成可拆分地容纳用于用户识别的用户识别模块，所述用户识别模块包括应用部分，用于存储保护存储在所述用户识别模块中的数据的应用程序；处理部分，用于执行所述应用程序；存储部分，用于存储文件管理描述、文件描述和数据；及文件管理部分，用于管理所述文件管理描述、所述文件描述和所述数据；其中所述处理部分根据外部输入的命令执行所述应用程序以便控制所述文件管理部分，从而阻止访问所述数据。
全文摘要
配置成可拆分装载在移动通信终端设备上的用于用户识别的用户识别模块(SIM)，具有用于存储从外部下载的应用程序的应用部分，用于执行这个应用程序的处理部分(或SAT功能部分)，用于存储文件管理描述、文件描述和文件数据的存储部分，及用于管理这些信息和数据的文件管理部分。在下载完应用程序后，处理部分执行下载的应用程序，以控制文件管理部分。因此阻止了对存储在用户识别模块中的数据的访问，从而阻止第三方访问存储在丢失或被偷的移动通信终端的用户识别模块中的数据。
文档编号H04M1/00GK1625291SQ20041009799
公开日2005年6月8日 申请日期2004年12月1日 优先权日2003年12月1日
发明者井村滋 申请人:索尼爱立信移动通信日本株式会社