专利名称:移动终端的安全开锁方法
技术领域:
本发明涉及到数字蜂窝无线通信网络中移动终端的开锁。
更具体地说,本发明涉及到提高对操作员以低价格售给用户的移动终端的开锁安全性,被考虑的用户已经支付了操作员的无线通信网络订费。在预定期限,例如六个月,签约支付订费后,由操作员将终端锁定在其自己的无线通信网并可以请求只通过操作员的网络进行通信。
通常,操作员在终端制造的最后阶段来锁定移动终端。操作员在向终端生产厂家订购大量移动终端的同时要向该厂家发送操作员识别代码。此代码是标准化的,且每个操作员都有一专有的识别代码。在制造的最后阶段,生产厂家通过在此阶段实施保密开锁算法对操作员订购的移动终端进行锁定,终端序号和操作员代码均应用到保密开锁算法以便产生出存入存储器且与锁相关联的开锁代码,该锁要求呼叫只通过操作员的网络进行。因此每个移动终端都有手动开锁功能,由终端的用户将开锁代码应用于此功能以便进行开锁。
在预定期限结束时,移动终端的用户必须呼叫操作员的客户中心以便请求开锁代码。由于操作员拥有保密开锁算法和知道与用户支付订费电话号码相一致的用户终端序号以及当然还由于操作员知道其自己的操作员代码,该操作员就能够重新计算出开锁代码。然后将开锁代码传输至用户,用户再把它输入到他或她的移动终端以便将它应用到在移动终端所实施的保密算法。接着在移动终端的最后制造阶段,该移动终端将开锁代码作为输入与原来存储在存储器的开锁代码加以比较。若所比较的开锁代码完全相同,则移动终端开锁,同时用户就能够例如使用此终端向另一无线通信网络操作员签约支付订费。
保密算法经常是直接或间接地分配,例用通过因特网进行分配,因而它也能够为某些恶意用户所得到。因而,在一恶意用户已签约支付订费之后而不用等到预定期限结束,此用户就能够使移动终端开锁而决定取出订费付予另一操作员,从而能几乎免费使用移动终端而不让将此移动终端卖给该用户的第一位操作员对其在该终端上的投资得到任何回报,而终端开锁通常确实是在预定期限期满后才能做到。在第一操作员所售出的大量移动终端中反复出现的如此开锁构成了第一操作员的巨大亏空。
本发明的目的是使得移动终端只在预定期限结束时才能开锁,从而通过使用实际上被可靠地强加于移动终端上的操作员网络保证了在预定期限中第一操作员的足够收入,而用户则不知道开锁代码。此外,一些国家的管理部门还要求操作员在所说的期限结束后进行有计划的开锁。
为此,移动终端的开锁方法在其使用之前要赋予由操作员所管理的无线通信网络,并且将保密密钥存入存储器,此保密密钥是通过把移动终端的识别码和操作员的代码应用到安全算法而得到,开锁方法包括在预定使用期限之后将保密密钥插入移动终端在此终端中与已存入的保密密钥进行比较,所述方法的特征在于它还包括下列步骤使用前,将移动终端的识别码存入存储器和实施安全模块中操作员所不知道的安全算法,以及将安全模块插入服务实体,此服务实体由操作员管理并至少通过无线通信与移动终端进行通信;在预定使用期限过后,在安全模块中,确定出更新请示已由服务实体传输之后通过把移动终端所传输的终端识别码以及操作员代码应用到安全算法而得到的保密密钥,将经过加密所确定的保密密钥通过无线通信网络传输至移动终端,以及在移动终端中对加密密钥进行解密作为插入的保密密钥以便将它与已存入的保密密钥加以比较并且在比较过的保密密钥完全相同时对移动终端开锁。
在所比较的保密密钥完全相同时起动移动终端的开锁,通过第一操作员的无线通信网络,即通过‘空中’(OTA)无线接口引起开锁,而不要求用户知道所确定的保密密钥并且也不要求输入该确定保密密钥作为开锁代码。
本发明中通过安全算法提高了移动终端开锁的安全性,该安全算法由终端的生产厂家在安全模块中实施,从而厂家能使安全算法对操作员保密。
为了在所比较的保密密钥完全相同时来起动由某一参数所决定的移动终端开锁,可以将含确定保密密钥和参数的个人数据经加密从服务实体传输至移动终端并在移动终端中进行解密。
在更为全面的实施方案中,移动终端的开锁方法还包括下列步骤在安全模块中,把由移动终端以终端识别码所传输的个人数据和第一随机数应用到以所确定之保密密钥为其密钥的算法以便生成第一信息鉴别代码从而将加过密的个人数据以及该信息鉴别代码从服务实体传输至移动终端;及在移动终端中,生成第一信息鉴别代码,将所生成的第一信息鉴别代码与传输来的第一信息鉴别代码进行比较来取代保密密钥之间的比较,以及在比较过的鉴别代码完全相同时对加密个人数据进行解密和翻译。
个人数据至少可以包括部分移动终端识别码以及参数以便在所比较的鉴别代码完全相同时起动由该参数所决定的移动终端的开锁。
在这种更全面的实施方案中,所确定的保密密钥并不是不经安全模块加密就传输到移动终端。更新个人数据须经移动终端中第一信息鉴别代码的验证。不知道保密密钥和安全算法就不可能对移动终端开锁或在移动终端中完成其他动作。第一随机数排除了对个人数据的攻击,这些攻击可能造成开锁动作的发生。
此外,借助保密密钥和安全算法还提高了安全性,与个人数据和用于鉴别代码的算法不同,保密密钥和安全算法是移动终端生产厂家的特性,其不为操作员所知,而个人数据和鉴别代码用的算法则是操作员的特性,其不为移动终端的生产厂家所知。
保密密钥可防止不具安全算法的任何恶意之人能够对移动终端开锁。保密密钥与移动终端所传输的第一随机数结合在一起共同转换成一个鉴别代码,由此便防止了除售出移动终端的第一操作员外的任何第三方对移动终端开锁,因而也防止了在移动终端中更新个人数据。
在一变型实施方案中,用户可以申请移动终端的开锁。这种情况下,在预定使用期限过后,将开锁请求信息从移动终端传输至安全模块,这样安全模块再请求将识别码传输至终端。
最好是,开锁或由安全模块在移动终端中引起的任何其他动作由该安全模块加以确认。本方法还包括下列步骤在安全模块中生成第二随机数并将它与至少是保密密钥或由保密密钥所决定的第一信息鉴别代码传输至移动终端;
当在移动终端中所比较过的保密密钥或所比较的第一信息鉴别代码完全相同时,生成通过把个人数据和第二随机数应用到以保密密钥作为其密钥之算法而得到的第二信息鉴别代码,并将终端识别码和该第二信息监别代码从移动终端传输至服务实体;及在安全模块中,生成第二鉴别代码并将它与所传输过来的第二鉴别代码进行比较。
在读过通过非限制性实例并参照相应附图所给出的本发明优选实施方案的下述说明之后本发明的其他特点和优点看起来会更加清楚明白,附图中·
图1为表示在含安全模块的操作员服务器与实施本开锁方法的移动终端之间电信链路的框图;·图2为本发明开锁方法之优选的第一实施方案主要步骤的算法;及·图3为本发明开锁方法之简化的第二实施方案主要步骤的算法。
参看图1,配备有‘通用集成电路卡(UICC)’型活动用户卡CU、在‘全球移动通信系统(GSM)’中也称为‘用户识别模块(SIM)’卡的移动无线终端TM,其由操作数字蜂窝无线通信网络RR的第一操作员供应给用户US。例如,无线通信网络RR就是GSM型的。图1中只示出了网络RR在给定时间查找移动终端TM所在的那个位置区的主要单元。该位置区包括‘移动服务交换中心MSC’,其首先通过‘基站控制器BSC’与‘基站收发信台BTS’相连接,‘基站收发信台BST’通过无线电链路与移动终端TM相连接,其次‘移动服务交换中心MSC’与‘公共电话交换网络(PSTN)’的本地电话交换台(RTC)相连接。
如所周知,网络RR还包括‘主位置寄存器HLR’,其与多个‘访问位置寄存器VLR’相连接,包括与上述位置区的‘移动服务交换中心MSC’相连接的VLR进行连接。‘主位置寄存器HLR’与数据库相类似,对每个用户来说其特别是包含有附加给用户和用户卡CU上的‘国际移动用户识别码(IMSI)’,用户的订费情况简档,以及暂时附加给移动终端TM的VLR号码。VLR对位置区中的HLR起延迟器的作用,它包含移动终端处在该位置区的那些用户的特性。
服务器SOP作为本发明的服务实体,其由无线通信网络RR的操作员来管理。
如图1中所示,操作员服务器SOP通过‘短信服务(SMS)’中心或服务器SC与移动终端TM进行数字信息交换。服务器SC具有通过高数据速率的‘分组交换网(PSN)’RP,特别是‘因特网’或一变型实施方案中的‘内连网’与操作员服务器SOP进行通信的网关,以及常常是通过如‘X.25分组交换网’等接入网络RA,或‘综合业务数字网络(ISDN)’或‘异步传输模式(ATM)网络’至少与上述‘移动服务交换中心MSC’进行通信的另一网关。由操作员服务器SOP所传输的分组在服务器控制器中被格式化成传输给移动终端TM的短信(SMS信息);相反,由移动终端TM传输的SMS信息以编址分组的形式通过服务器SC传输至操作员服务器SOP。
在一变型实施方案中,服务器SC直接与MSC相连或结合进MSC。
在本发明中,操作员服务器SOP接收活动安全模块MS,其最好是智能卡,即芯片卡。安全模块MS在存储器中包含移动终端TM的‘国际移动设备识别码(IMEI)’以及由移动终端TM和用户卡CU所构成之机组所特有的个人数据DP。IMEI还特别包括生产厂家代码。个人数据DP可由操作员进行修改,特别是它至少可包括终端之IMEI的一部分,销售含用户卡移动终端的网络RR操作员的操作员代码COP,操作员网络RR所在国的国家代码,为起动移动终端开锁的开锁参数DEV,或相反情况下的加锁参数,和/或为控制终端中的动作所需的各种其他参数。安全模块MS还包含以下定义的算法AS,AA,以及CH。
如下面在本发明的移动终端开锁方法的说明中所阐述的那样,操作员服务器SOP基本上用来与移动终端TM进行信息交换,而安全模块则基本上用来对所交换信息中包含的数据进行处理。
类似地,SIM卡通过对这种交换呈透明的移动终端提供了与远程操作员服务器SOP的可靠的信息交换,从而将终端的控制参数插入到要传输的信息并从所接收的信息中抽取出参数供终端使用。
在第一变型实施方案中,SMS服务器SC和接入网络RA由‘分组交换网络’型的接入网络所取代,该接入网络的移动性和接入通过‘通用分组无线服务(GPRS)’利用无线电进行管理。这样‘分组交换网络’RP就在‘网关GPRS支持节点(GGSN)’与GPRS网络相接,而‘基站控制器BSC’则通过‘服务GPRS支持节点(SGSN)’与其相接。这一变型实施方案的优点是以分组的形式用大为增高的数据速率来传输信息。
在第二变型实施方案中,操作员服务器SOP直接与‘主位置寄存器HLR’相连接或结合进HLR,由此使得服务器SOP能够直接使用存储在HLR中的数据。
在另外一个变型实施方案中,蜂窝无线通信网络RR为第三代网络,即‘通用移动电信系统(UMTS)’网络。在这种情况下,用户卡CU为‘通用SIM(USIM)’卡,而BSC连同BTS则一起组合进UMTS网络的‘UMTS陆地无线接入网络(UTRAN)’。
在图2所示的第一实施方案中,含智能卡CU的移动终端在销售和使用之前,本发明的开锁方法包括四个初始步骤E01-E04,这四个步骤以移动终端生产厂家和已向该厂家订购成批智能卡移动终端的网络RR操作员为前提条件加以执行。
在步骤E01,生产厂家将特定保密数据如分别包括生产厂家代码和网络RR操作员特有的操作员代码COP的IMEI和IMSI输入到卡CU和含卡CU的移动终端TM。厂家还在移动终端TM中记录下保密密钥SK,此保密密钥SK是通过把终端的IMEI和操作员代码COP应用到含母密钥MK的安全算法AS而得到的。含母密钥MK的安全算法AS是移动终端生产厂家的特性,其不为无线通信操作员所知。
在步骤E02,对操作员从生产厂家所订购的那批含用户卡CU的移动终端TM中的每个终端,厂家都在安全模块MS中结合终端识别码IMEI记录下操作员代码COP,用户识别码IMSI,以及含母密钥MK的安全算法AS。安全算法AS可以是例如‘高级加密标准(AES),型算法。
然后生产厂家将那批在步骤E01中已装入上述各不同参数的移动终端以及要插入操作员服务器SOP的活动安全模块MS交付给无线通信网络RR的操作员。
在步骤E03,操作员在所交付的这批终端中的每一个终端中装入以保密密钥SK作为其密钥的鉴别算法AA,解密算法DCH,以及至少一个开锁应用程序。鉴别算法AA是操作员的特性,其不为生产厂家所知,而相反地,算法AS是由生产厂家用来保密的,故其不为操作员所知。解密算法DCH用来对由加密算法CH加密经服务器SOP传输的数据进行解密。开锁应用程序可在步骤E03中由存储在终端中的个人数据DP决定并可由操作员进行修改。开锁应用程序要求终端TM的未来用户US只能通过将终端售给该用户的第一操作员的无线通信网络RR在预先确定的锁定期限内,通常为六个月限期,进行通信。
在步骤E04,操作员也安装以保密密钥SK为其密钥的鉴别算法AA以及解密算法DCH,并最好是在安全模块MS,或变型实施方案的服务器SOP中记录下含开锁参数DEV的个人参数DP。
然后操作员再销售这批移动终端,特别是把含用户卡CU的移动终端TM卖给用户US。用户US在预先确定的锁定期限内使用移动终端通过操作员的无线通信网络RR进行通信。
在预先确定的锁定时间期满后,用户US可请求对移动终端TM开锁以便通过另一操作员的无线通信网络来使用它。为了使移动终端开锁,在本发明开锁方法的第一实施方案中执行图2中所示的步骤E1-E17。
在步骤E1,用户US在终端上所显示的菜单中选择移动终端TM开锁。接着,由移动终端TM将开锁请求信息传输至操作员服务器SOP,并在图1所示的实施方案中以SMS信息的形式(此信息接着由SMS服务器转换成分组)通过分组交换网络RP进行传输。然后在步骤E2,服务器SOP再把更新请求通过图1所示实施方案中的网络RP、RA、以及RR传输至移动终端TM。在步骤E3,根据更新请求,移动终端TM将含有终端识别码IMEI和第一随机数RD1的信息传输到服务器SOP中的安全模块MS。第一随机数RD1由包括在终端TM微控制器之中或与终端TM微控制器相连接的伪随机发生器所生成。
在变型实施方案中,省略了步骤E1并且由操作员服务器SOP本身作出决定在预定锁定期限期满后将更新请求发送至移动终端TM。例如,更新请求由服务器SOP根据更新移动终端位置的位置更新请求,或在鉴别请求之后,或的确是在移动终端开机之后和在将移动终端接入无线通信网络RR内其位置区的过程中进行发送。
在接收到识别码IMEI和随机数RD1之后,安全模块MS在接下来的步骤E4-E6中确定出各不同参数。
在步骤E4,将所收到的移动终端识别码IMEI和操作员代码COP与母密钥MK一起应用到安全算法AS以便生成移动终端所特有的子保密密钥SK。
在下一步骤E5中,模块MS通过把个人数据DP和所接收的随机数RD1应用到以保密密钥SK作为其密钥的鉴别算法AA来确定出依据所说的个人数据和接收到的随机数而得出的第一鉴别代码MAC1。
因此,生产厂家所特有的保密密钥SK和含终端识别码IMEI且为无线通信操作员所特有的个人数据DP对鉴别个人数据DP同时产生影响,并且使得个人数据DP的鉴别在操作员不知道保密密钥SK和生产厂家不知道个人数据DP的情况下更加可靠。
接下去,在步骤E6,个人数据DP由加密算法CH将其加密成加密的个人数据DPC。在步骤E7,服务器SOP建立包括加密个人数据DPC的信息,信息鉴别代码MAC1以及第二随机数RD2。此信息通过网络RP、RA、及RR传输至移动终端TM。随机数RD2可由包括在服务器SOP或安全模块MS之内的伪随机发生器生成。
根据步骤E7中由服务器SOP所传输的信息,移动终端TM在步骤E8中计算出信息鉴别代码MAC1c。代码MAC1c是通过把步骤E03中原来存储的个人数据和步骤E3中生成并存储的随机数RD1应用到鉴别算法AA而得到的,鉴别算法AA含有步骤E01中原来存储在移动终端的保密密钥SK。在下一步骤E9,移动终端TM将算出的信息鉴别代码MAC1c与服务器SOP所传输的信息鉴别代码MAC1加以比较。
如果这两个鉴别代码相同,在步骤E10移动终端则通过把由服务器SOP所传输的加密个人数据DPC应用到解密算法DCH来对该数据进行解密并生成解密的个人数据DPd。在步骤E11,移动终端TM将步骤E03原来存储的个人数据与解密个人数据DPd进行比较。如果终端识别码IMEI或其一部分在个人数据中被识别出来同时如果所比较的个人数据项目的差别通常是加密个人数据DPd中存在的开锁参数DEV,移动终端TM就会把开锁参数DEV应用到开锁应用程序,后者在步骤E12对个人数据进行更新,这样就能够使用移动终端TM与任何其他操作员,即除第一操作员外的操作员进行通信,如果该终端的用户想要这么做的话。
相反,如果步骤E9中所比较的这两个鉴别代码MAC1c和MAC1不相同,和/或步骤E11中个人数据DP和DPd所比较的项目完全相同,那么则如步骤ER中所指出的那样,个人数据DP在生成出错信息的移动终端TM中就不进行修改。该出错信息被传输至操作员服务器SOP,后者将其翻译为终端TM和/或用户卡CU的故障,于是终端TM不被开锁。通过在移动终端屏幕上的适当显示还能够向用户显示出错信息以便邀请用户US前去操作员的销售点。
在一变型实施方案中,省去了步骤E10和E11,若在步骤E7传输了个人数据,终端TM至少对一部分个人数据进行翻译以便在步骤12中执行。
最好是,开锁方法包括步骤E13-E17,这样在步骤E12之后的个人数据DP的更新,特别是终端的开锁就为操作员服务器SOP所承认。
在步骤E13,移动终端TM确定出通过把更新的个人数据DP和随机数RD2应用到装有保密密钥SK的鉴别算法AA而得到的第二信息鉴别代码MAC2。在步骤E7随机数RD2已由安全模块MS生成并存储,并且与加密个人数据DPC和第一信息鉴别代码MAC1一起被传输到移动终端。
在步骤E14,通过用户卡,移动终端TM传输包括有终端识别码IMEI和鉴别代码MAC2的信息,并被编址到操作员服务器SOP。
在步骤E15,操作员服务器SOP中的安全模块MS把步骤E04中原来存储的与所收到的识别码IMEI和随机数RD2相一致的个人化数据应用到有保密密钥SK的鉴别算法AA,并生成通过计算得到的信息鉴别代码MAC2c。在步骤E1b,安全模块将所算出的鉴别代码MAC2c与所传输来的鉴别代码MAC2进行比较。如果所比较的鉴别代码完全相同,那么在步骤E17在移动终端TM中个人化数据的更新被确认,本方法也就终止。
但是,如果步骤E16中所比较的鉴别代码不同,则执行出错步骤ER以便可有选择地向用户显示移动终端TM被开锁但工作故障。
在图3所示的第二实施方案中,移动终端TM不包含有鉴别算法AA,此实施方案比第一实施方案简单,而且其在第一实施方案之前就能够提出。第二实施方案的步骤用字母a结尾的参考符号表示。
对步骤E01a-E04a只是通过在初始操作员步骤E03a和E04a中不在移动终端TM和安全模块MS中安装鉴别算法AA来加以修改。
第二实施方案与第一实施方案的基本差别是锁定期限期满后,用户US请求移动终端TM开锁以便能够通过另一操作员之无线通信网络使用该终端时的以下修改过的步骤。为了使移动终端开锁,在第一实施方案的步骤E5、E8、以及E9以外,至少要执行图3中所示的修改过的步骤E1a-E12a。
在步骤E1a和E2a之后,或在一变型实施方案中只在步骤E2a之后,在步骤E3a中,移动终端TM通过将含有终端识别码IMEI而不含随机数RD1的信息传输至服务器SOP中的安全模块MS来对更新请求作出应答。
在接收到识别码IMEI之后,在步骤E4a,安全模块MS将所接收到的移动终端识别码IMEI和操作员代码COP应用到有母密钥MK的安全算法AS以便生成移动终端TM所特有的子保密密钥SK。保密密钥SK起开锁代码的作用。
在下一步骤E6a中,补充有保密密钥SK的个人数据DP,或在更简单的变型实施方案中只是保密密钥SK,用加密算法CH将其加密成加密个人数据DPC。在步骤E7a,服务器SOP建立含加密个人数据DPC的信息。将这一信息通过网络RP、RA、及RR传输至移动终端TM,此信息与第一实施方案的信息相比其信息量极少。
根据所说的信息,在步骤E10a,移动终端TM通过将服务器SOP所传输的加密个人数据DPC应用到解密算法DCH对其进行解密并生成含解密保密密钥SKd的解密个人数据DPd。移动终端TM将步骤E01a中原来存储的保密密钥与解密保密密钥SKd加以比较以及在步骤E11a有选择地将步骤E03a中原来存储的另一个人数据与另一解密个人数据DPd加以比较。如果所比较的保密密钥完全相同并且个人数据所选择的比较项目的差别通常是在解密个人数据DPd中存在开锁参数DEV,在步骤E12a移动终端TM则把开锁参数DEV应用到开锁应用程序,后者对个人数据进行更新。这样就能够使用移动终端TM与任何其他操作员,即除第一操作员以外的操作员进行通信,如果用户想要如此做的话。
在上述较简单的变型实施方案中,在步骤E11a移动终端TM只是将原来存储的保密密钥与加密保密密钥SKd进行比较,以及在所比较的保密密钥完全相同时,在步骤E12a移动终端TM起动开锁应用程序。
在其他情况下,终端TM仍然是锁定状态,任何个人数据DP都不更新,并且如步骤ER中所指出的那样,移动终端TM生成出错信息。
在更加全面的第二实施方案中,开锁方法包括步骤E13至E17,如图2所示,这些步骤为的是使步骤E12a之后个人数据的更新,特别是使终端的开锁为操作员服务器SOP所承认。然后在步骤E7a由安全模块MS生成和存储随机数DR2并且将其与加密个人数据DPC一起传输至移动终端。
权利要求
1.移动终端(TM)的开锁方法,终端在使用前被分配给由操作员管理的无线通信网络(RR),并且在存储器中已经存入了保密密钥(SK),此密钥系通过把移动终端的识别码(IMEI)和操作员的代码(COP)应用到安全算法(AS)而得到,所述方法包括在预先确定的使用期限之后,将保密密钥插入移动终端用以在终端中与已存入的保密密钥进行比较,所说方法的特征在于它还包括下列步骤使用前,将移动终端的识别码(IMEI)存入存储器和在安全模块(MS)中执行(EO2a)不为操作员所知的安全算法(AS),以及将安全模块插入(E04a)服务实体(SOP),所述服务实体(SOP)由操作员管理并至少通过无线通信网络(RR)与移动终端进行通信;在预先确定的使用期限之后,在安全模块中,当更新请求(E2a)已由服务实体(SOP)传输之后确定出(E4a)通过把移动终端所传输(E3a)的终端识别码(IMEI)和操作员代码(COP)应用到安全算法(AS)而得到的保密密钥(SK),将经过加密所确定的保密密钥通过无线通信网络(RR)传输(E7a)至移动终端TM,以及在移动终端中将加密保密密钥解密(E10a)作为插入的保密密钥,以便将它与已经存入的保密密钥进行比较(11a)从而在所比较的保密密钥完全相同时使移动终端开锁(E12a)。
2.根据权利要求1的方法,其中将包含所确定的保密密钥和参数的个人数据(DP)以加密的方式从服务实体(SOP)传输(E7a)至移动终端(TM)并在移动终端中对其解密(E10a)以便在所比较的保密密钥完全相同时起动由该参数所决定的移动终端开锁。
3.根据权利要求1的方法,该方法还包括下列步骤在安全模块中,将由移动终端以终端识别码(IMEI)所传输的个人数据(DP)和第一随机数(RD1)应用到(E5)以所确定保密密钥(SK)作为其密钥的算法(AA)以便生成第一信息鉴别代码(MAC1)从而把加密的个人数据(DPC)和该信息鉴别代码(MAC1)从服务实体传输(E7)至移动终端;及在移动终端中,生成(E8)第一信息鉴别代码(MAC1c),比较(E9)所生成的与所传输的第一信息鉴别代码(MAC1c,MAC1)来取代保密密钥之间的比较,以及在所比较的鉴别代码完全相同时解密(E10)和翻译被加密的个人数据。
4.根据权利要求3的方法,其中个人数据(DP)包括至少部分移动终端识别码(IMEI)以及参数,以便在所比较的鉴别代码完全相同时起动由该参数所决定的移动终端开锁。
5.根据权利要求1-4中任一权利要求的方法,该方法还包括在预定使用期限过后,将开锁请求信息从移动终端(TM)传输(E11)至安全模块(MS),这样安全模块就可请求(E2)将识别码(IMEI)传输(E3)至终端。
6.根据权利要求1-4中任一权利要求的方法,其特征在于,该方法还包括下列步骤在安全模决(MS)中生成第二随机数(RD2),并将其至少与保密密钥或与由保密密钥所决定的第一信息鉴别代码(MAC1)一起传输至移动终端(TM);当在移动终端中所比较过的保密密钥或所比较的第一信息鉴别代码完全相同时,生成(E13)通过把个人数据(DP)和第二随机数(RD2)应用到以保密密钥(SK)作为其密钥的算法(AA)而得到的第二信息鉴别代码(MAC2),并将终端识别码(IMEI)和此第二信息鉴别代码(MAC2)从移动终端传输至服务实体;及在安全模块(MS)中,生成(E15)第二鉴别代码(MAC2c),并将它与所传输来的第二鉴别代码(MAC2)加以比较(E18)。
7.根据权利要求1-6中任一权利要求的方法,其中服务实体(SOP)为由操作员所管理的服务器,安全模块(MS)为可活动插入该服务器的智能卡。
全文摘要
本发明涉及到移动终端(TM)在使用期过后的开锁方法,该方法确保出售该终端的第一操作员在终端使用之前收到足够的支付。为此,要保存终端的识别码并在安全模块(MS)中实施安全算法,该安全模块被引入到由操作员管理的服务器(SOP)而安全算法则不为操作员所知。在使用期过后,依照服务实体所传输的请求,安全模块确定出保密密钥,此保密密钥通过将由此传输的终端识别码和操作员代码应用到安全算法来得到。在终端经加密所确定的保密密钥通过操作员的无线通信网络(RR)传输并在移动终端中解密,这样就可以将它与所保存的保密密钥进行比较以便在比较过的保密密钥完全相同时使移动终端开锁。
文档编号H04W88/02GK1989780SQ200580025117
公开日2007年6月27日 申请日期2005年4月26日 优先权日2004年5月27日
发明者E·坎博伊斯, O·本诺特 申请人:格姆普拉斯公司