专利名称:一种鉴权相关数据的处理方法及装置的制作方法
技术领域:
本发明涉及通信领域,特别涉及一种鉴权相关数据的处理方法及装置。
背景技术:
随着电信智能卡(例如,SIM卡、USIM卡、UIM卡)的应用日益广泛,各种攻击电信 智能卡的方法也层出不穷,最常用的便是克隆攻击技术。以SIM卡为例,攻击者往往通过攻击,窃取SIM卡机密信息(如,KI与IMSI),再复 制相同SIM卡,克隆产生的克隆卡与SIM卡本身无区别。现有的攻击模式中,攻击者必须发 送一定数量(通常介于20000次 600000次之间)的鉴权随机数到SIM卡,并分析其输出 结果,再利用产生的输出“碰撞”实现破解,而这些具有攻击性的鉴权随机数一般是连续的, 且必须是具有一定规律的鉴权随机数才能获得有效的攻击结果。面对SIM卡的克隆攻击,各种防克隆方案陆续被提出来,目前较为有效的是基于 内置随机因子的鉴权随机数检测法,该方法为依据具有攻击性的鉴权随机数的关联性,设 计鉴权随机数的分析与替换方法。在SIM卡上开辟一块存储空间,存储50个鉴权随机数, SIM卡将新接收的鉴权随机数与已存储的鉴权随机数进行比对,若与任一存储的鉴权随机 数之间有5个或以上对应字节相同则认为是攻击模式,但若16个字节全部对应相同,则认 为是网络侧数据重发,而非攻击。当攻击次数累积到设定门限值时,SIM卡将输出错误结果 以进行自我防御。采用上述鉴权随机数检测法,还需要对SIM卡中存储的鉴权随机数进行 定期替换,以防止因生产工艺泄露或攻击方法改进而升级的有效攻击。在采用现有的鉴权随机数检测法时,除了要保存设定数目的鉴权随机数外,还需 要保存以下鉴权相关数据AuthMax =SIM卡鉴权次数上限,设定AuthMax初始值为2,000, 000,鉴权1次减1, 减到0时锁定SIM卡;Count 内置计数器,记录不同的非攻击性鉴权随机数个数,初值为0,正确鉴权1 次加1 ;I^elock:检测到攻击后的预锁定计数器,用于发现攻击的预锁定机制,设定 PreLock = 255,检测到攻击后减1,减到0锁定;LockCounter =SIM卡锁定次数计数器,LockCounter初值为0,SIM卡每次被锁定 (PreLock减到0)时加1,LockCounter = 1表示SIM卡已被锁定1次;Pnext 下一个取值点,初始值为50,非攻击性鉴权一次减1,减到O时置换一次 SIM卡内预存的鉴权随机数,并计算新的Pnext,计算方法为在1_16之间取一随机数;上述鉴权相关数据通常存储在非易失性存储器中,例如,存储在EEPROM或Flash 芯片中,每次SIM卡收到鉴权指令并进行鉴权随机数检测后,都需要对上述鉴权相关数据 进行更新,即将存储空间中上一次存储的鉴权相关数据进行擦除,再写入新的鉴权相关数 据。目前制定的相关标准中规定,SIM卡需要支持200万次鉴权,那么显然,SIM卡上的存储空间就需要支持200次擦除,然而,现有技术下,EEPROM或Flash芯片是按页擦除的, 单页大小一般为1 字节或256字节。单页的擦除次数理论值不能超过10万次,而EEPROM 或Flash芯片中通常仅采用单页内的指定字节来存储鉴权相关数据,因此,难以支持200万 次的擦除次数,从而影响了 SIM卡的使用性能。
发明内容
本发明实施例提供一种鉴权相关数据的处理方法及装置,用以在支持SIM卡鉴权 理论值的前提下,降低SIM卡中存储空间的擦除次数。本发明实施例中提供的具体技术方案如下一种处理鉴权相关数据的方法,包括将电信智能卡上的存储空间划分出至少两个存储子空间;将基于鉴权流程产生的鉴权相关数据依次写入各存储子空间;将鉴权相关数据的记录数目达到预设门限值的存储子空间进行擦除。一种处理鉴权相关数据的装置,包括划分单元,用于本地存储空间划分出至少两个存储子空间;记录单元,用于将基于鉴权流程产生的鉴权相关数据依次写入各存储子空间;擦除单元,用于将鉴权相关数据的记录数目达到预设门限值的存储子空间进行擦 除。一种处理鉴权相关数据的终端装置,包括上述处理鉴权相关数据的装置。本发明实施例中,电信智能卡交替使用多块存储子空间来存储鉴权相关数据,每 当有一个存储子空间存满时,将存满的存储子空间中的存储内容进行擦除,这样,只在存储 子空间写满设定数目的鉴权相关数据时,才进行擦除,且一次仅擦除一块存储子空间,从而 有效减少了存储芯片的擦除次数,在支持电信智能卡鉴权上限的前提下,有效地保证了电 信智能卡的使用性能。
图1-图5为本发明实施例中鉴权相关数据记录及擦除示意图;图6为本发明实施例中SIM卡对鉴权相关数据进行处理流程图;图7为本发明实施例中SIM卡功能结构示意图;图8为本发明实施例中终端装置功能结构示意图。
具体实施例方式下面以电信智能卡是SIM卡为例对本发明优选的实施方式进行详细说明。当然, 实际应用中,电信智能卡也可以是USIM卡、UIM卡等等,并不局限于SIM卡一种实现方式, 本实施例中仅以SIM卡为例。为了尽量减少SIM卡的擦除次数,本发明实施例中,在SIM卡上的存储空间(如, EEPROM或Flash芯片)内,划分出至少两个存储子空间,并将基于鉴权流程产生的鉴权相关 数据依次写入各存储子空间,以及将鉴权相关数据的记录数目达到预设门限值的存储子空 间进行擦除。
上述方案中,较佳的,SIM卡在一块存储子空间中成功在首记录写入一条鉴权相关 数据后,确定上一次使用的存储子空间内的鉴权相关数据的记录数目达到预设门限值,并 将上一次使用的存储子空间内的存储内容进行擦除。现有技术中,每次在存储空间中写入新的鉴权相关数据时,均需要对存储空间内 当前保存的其他数据进行擦除,这样,SIM卡的实际可擦除次数很难支持标准中规定的200 万次鉴权,因此,本发明实施例中,针对存储子空间设置了鉴权相关数据记录数目的门限 值,当记录数目到达门限值时,说明存储子空间内的鉴权相关数据已写满或者即将写满,需 要重新挑选一块存储子空间进行数据写入,这样,在存储子空间写入多条鉴权相关数据后 才会进行擦除,从而有效降低了擦除次数,提高了 SIM卡的使用寿命,使支持200次万次鉴 权成为可能。本实施例中,以将存储空间划分出两个存储子空间为例进行介绍。参阅图1所示, 较佳的,每个存储子空间的大小设置为256字节(1 2页),每条记录长度为16字节,这 样,无论存储子空间的最小写入单元为1字节还是4字节,每次都可以将当前产生的鉴权相 关数据顺序写入16字节的存储位置;两个存储子空间总共可以保存32条记录,即记录32 条产生的鉴权相关数据。如图1所示,较佳的,1-16条记录存储在第1存储子空间,17-32 条记录存储在第2存储子空间,每条记录的存储内容如表1所示表 权利要求
1.一种处理鉴权相关数据的方法,其特征在于,包括 将电信智能卡上的存储空间划分出至少两个存储子空间; 将基于鉴权流程产生的鉴权相关数据依次写入各存储子空间; 将鉴权相关数据的记录数目达到预设门限值的存储子空间进行擦除。
2.如权利要求1所述的方法,其特征在于,将基于鉴权流程产生的鉴权相关数据依次 写入各存储子空间,包括确定当前有效的存储子空间;在当前有效的存储子空间中确定上一次写入且通过校验的非空记录,以及确定空记录;读取获得的上一次写入且通过校验的非空记录包含的鉴权相关数据; 执行鉴权随机数检测流程后,基于检测结果对上一次写入且通过校验的非空记录内包 含的鉴权相关数据进行更新,将更新结果录写入所述空记录。
3.如权利要求2所述的方法,其特征在于,所述确定当前有效的存储子空间,包括 读取各存储子空间的首字节;当仅有一块存储子空间的首字节不为空字符时,将该存储子空间确定为当前有效的存 储子空间;当至少两块存储子空间的首字节不为空字符时,分别读取每一个首字节不为空字符的 存储子空间中的首记录进行校验,若仅有一条首记录通过校验,则将该首记录所在的存储 子空间确定为当前有效的存储子空间,若至少两条首记录通过校验,则将鉴权次数多的首 记录所在的存储子空间确定为当前有效的存储子空间。
4.如权利要求1所述的方法,其特征在于,将鉴权相关数据的记录数目达到预设门限 值的存储子空间进行擦除,包括成功写入一条鉴权相关数据后,若确定该鉴权相关数据为当前使用的存储子空间的首 记录,则确定上一次使用的存储子空间中鉴权相关数据的记录数目达到预设门限值,并将 上一次使用的存储子空间进行擦除。
5.如权利要求1-4任一项所述的方法,其特征在于,所述鉴权相关数据包括鉴权次数 上限AuthMax、内置计数器Count、检测到攻击后的预锁定计数器forelock、锁定次数计数器 LockCounter、下一个取值点Pnext和循环冗余校验码CRC。
6.一种处理鉴权相关数据的装置,其特征在于,包括划分单元,用于本地存储空间划分出至少两个存储子空间;记录单元,用于将基于鉴权流程产生的鉴权相关数据依次写入各存储子空间;擦除单元,用于将鉴权相关数据的记录数目达到预设门限值的存储子空间进行擦除。
7.如权利要求6所述的装置,其特征在于,所述记录单元将基于鉴权流程产生的鉴权 相关数据依次写入各存储子空间,包括确定当前有效的存储子空间;在当前有效的存储子空间中确定上一次写入且通过校验的非空记录,以及确定空记录;读取获得的上一次写入且过校验的非空记录包含的鉴权相关数据; 执行鉴权随机数检测流程后,基于检测结果对上一次写入且通过校验的非空记录内包含的鉴权相关数据进行更新,将更新结果写入所述空记录。
8.如权利要求7所述的装置,其特征在于,所述记录单元确定当前有效的存储子空间, 包括读取各存储子空间的首字节;当仅有一块存储子空间的首字节不为空字符时,将该存储子空间确定为当前有效的存 储子空间;当至少两块存储子空间的首字节不为空字符时,分别读取每一个首字节不为空字符的 存储子空间中的首记录进行校验,若仅有一条首记录通过校验,则将该首记录所在的存储 子空间确定为当前有效的存储子空间,若至少两条首记录通过校验,则将鉴权次数多的首 记录所在的存储子空间确定为当前有效的存储子空间。
9.如权利要求6所述的装置,其特征在于,所述擦除单元鉴权相关数据的记录数目达 到预设门限值的存储子空间进行擦除,包括在所述记录单元成功写入一条鉴权相关数据后,所述擦除单元若确定该鉴权相关数据 为当前使用的存储子空间的首记录,则确定上一次使用的存储子空间中的鉴权相关数据的 记录数目达到预设门限值,并将上一次使用的存储子空间进行擦除。
10.一种处理鉴权相关数据的终端装置,其特征在于,包括如权利要求6-9任一项所述 的装置。
全文摘要
本发明涉及通信领域,特别涉及一种鉴权相关数据的处理方法及装置,该方法为电信智能卡交替使用多块存储子空间来存储鉴权相关数据,每当有一个存储子空间存满时,将存满的存储子空间中的存储内容进行擦除,这样,只在存储子空间写满设定数目的鉴权相关数据时,才进行擦除,且一次仅擦除一块存储子空间,从而有效减少了存储芯片的擦除次数,在支持电信智能卡鉴权上限的前提下,有效地保证了电信智能卡的使用性能。
文档编号H04W12/06GK102075935SQ20101060347
公开日2011年5月25日 申请日期2010年12月23日 优先权日2010年12月23日
发明者刘扬 申请人:北京握奇数据系统有限公司