基带芯片、移动终端及用于移动终端实现鉴权的方法
【专利摘要】本发明提供一种基带芯片、移动终端及用于移动终端实现鉴权的方法,所述移动终端包括基带芯片,还包括:安全存储模块,设置于所述基带芯片,所述安全存储模块预先保存用于用户鉴权的核心机密数据;鉴权处理板卡模块,用于当所述移动终端开机时,从所述安全存储模块读取所述核心机密数据实现鉴权。所述移动终端通过软件方式实现用户的登网鉴权功能,且能够保证用户数据的安全性。
【专利说明】基带芯片、移动终端及用于移动终端实现鉴权的方法
【技术领域】
[0001] 本发明涉及通信【技术领域】,尤其是指一种基带芯片、移动终端及用于移动终端实 现鉴权的方法。
【背景技术】
[0002] 在无线通信网络中,用户卡与移动终端共同构成了提供给客户通信业务和信息服 务的用户终端。用户卡凭借自身安全存储、可移植、低成本等特点在无线通信领域占据着不 可替代的作用。用户卡在全球移动通讯系统GSM环境中称为SIM (Subscriber Identity Module,客户识别模块)卡;3G 网络中称为 USIM(Universal Subscriber Identity Module, 全球用户识别模块)卡;UMTS (Universal Mobile Telecommunications System,通用移动 通信系统)环境称为UICC (Universal Integrated Circuit Card,通用集成电路卡),UICC 卡为能够支持多应用(如:SM、USM、ISM等应用)的通用1C卡。
[0003] 用户卡是一个装有微处理器的芯片卡,内部通常包含有5个模块,并且每个模块 都对应一个功能:微处理器CPU、程序存储器ROM、工作存储器RAM、数据存储器EEPR0M和串 行通信单元。该5个模块被胶封在SM卡铜制接口后与普通1C卡封装方式相同。由于芯 片间的连线可能成为非法存取和盗用用户卡的重要线索,因此该5个模块必须集成在一个 集成电路中,否则其安全性会受到威胁。
[0004] 目前,已有开发出一种取消用户卡硬件、以软件形式运行,实现上述用户卡功能的 系统,如SoftSIM (Soft Subscriber Identity Module,软件的客户识别模块)。与普通硬 件形式的用户卡相比,SoftSIM具有下述特点:1)需与其它功能共享CPU、Flash、RAM等硬 件资源;2)与其它软件共享存储及运行环境,容易受到攻击;3)取消了 IS07816硬件通信接 口,数据传输由硬件通道改为软件API调用;4)无需进行时钟、定时器、UART等硬件功能配 置。
[0005] 上述采用硬件形态的用户卡,需要硬件实体,无疑增加了生产成本;而SoftS頂虽 然可以有效降低成本,但是其安全性却存在较大风险。
【发明内容】
[0006] 本发明技术方案的目的是提供一种基带芯片、移动终端及用于移动终端实现鉴权 的方法,通过软件方式实现用户的登网鉴权功能,且能够保证用户数据的安全性。
[0007] 本发明提供一种移动终端,包括基带芯片,其中,所述移动终端还包括:
[0008] 安全存储模块,设置于所述基带芯片,所述安全存储模块预先保存用于用户鉴权 的核心机密数据;
[0009] 鉴权处理板卡模块,用于当所述移动终端开机时,从所述安全存储模块读取所述 核心机密数据实现鉴权。
[0010] 优选地,上述所述的移动终端,所述安全存储模块还用于:预先保存用于用户鉴权 的非核心数据及用于鉴权过程的代码;所述鉴权处理板卡模块还用于:在所述移动终端开 机时及开机后,从所述安全存储模块读取所述非核心数据及所述代码,以实现开机时的登 网鉴权及开机后的数据传输。
[0011] 优选地,上述所述的移动终端,还包括:
[0012] 外部存储模块,用于预先保存用于用户鉴权的非核心数据及用于鉴权过程的代 码;以及所述鉴权处理板卡模块还用于:
[0013] 所述移动终端开机时及开机后,从所述移动终端的外部存储模块读取所述非核心 数据及所述代码,以实现开机时的登网鉴权及开机后的数据传输。
[0014] 优选地,上述所述的移动终端,所述安全存储模块还用于:预先保存用于用户鉴权 的代码签名数字证书;以及所述鉴权处理板卡模块还用于:在实现鉴权时,根据所述代码 签名数字证书,对用户输入的代码签名进行验证。
[0015] 优选地,上述所述的移动终端,所述基带芯片还包括接口模块,其中所述鉴权处理 板卡模块通过所述接口模块从所述安全存储模块读取所述核心机密数据实现鉴权。
[0016] 本发明另一方面还提供一种用于移动终端实现鉴权的方法,其中,所述方法包 括:
[0017] 基带芯片的安全存储模块预先保存用于用户鉴权的核心机密数据;
[0018] 所述移动终端开机时,鉴权处理板卡模块从所述基带芯片读取所述核心机密数据 实现鉴权。
[0019] 优选地,上述所述的方法,还包括:
[0020] 所述安全存储模块预先保存用于用户鉴权的非核心数据及用于鉴权过程的代码; 以及
[0021] 在所述移动终端开机时及开机后,所述鉴权处理板卡模块从所述安全存储模块读 取所述非核心数据及所述代码,以实现开机时的登网鉴权及开机后的数据传输。
[0022] 优选地,上述所述的方法,还包括:
[0023] 所述移动终端的外部存储模块预先保存用于用户鉴权的非核心数据及用于鉴权 过程的代码;以及
[0024] 在所述移动终端开机时及开机后,所述鉴权处理板卡模块从所述外部存储模块读 取所述非核心数据及所述代码,以实现开机时的登网鉴权及开机后的数据传输。
[0025] 优选地,上述所述的方法,还包括:
[0026] 所述安全存储模块预先保存用于用户鉴权的代码签名数字证书;以及在实现鉴权 时,所述鉴权处理板卡模块根据所述代码签名数字证书,对用户输入的代码签名进行验证。
[0027] 本发明再一方面还提供一种基带芯片,包括CPU处理模块、信道编码模块、信号处 理模块、调制解调模块和接口模块,其中,所述基带芯片还包括:
[0028] 安全存储模块,用于预先保存用于用户鉴权的核心机密数据。
[0029] 本发明具体实施例上述技术方案中的至少一个具有以下有益效果:
[0030] 本发明具体实施例上述的移动终端及用于移动终端实现鉴权的方法,通过在基带 芯片上设置安全存储模块保存用于鉴权的核心机密数据,以及在移动终端上设置鉴权处理 板卡模块,用于运行基带芯片的操作系统,从安全存储模块读取该核心机密数据实现鉴权, 因此相较于传统设置硬件形态的SIM卡,无需设置该SIM卡这一硬件结构,能够达到降低设 备成本的目的;再一方面,所述移动终端及用于实现鉴权的方法,通过软件方式实现了用户 的登网鉴权功能,而且还具备代码签名机制,通过验证代码签名来确保非法模块无法访问 用户鉴权的核心机密数据,从而使安全性增强,解决了现有技术软件形式鉴权Softs頂所 存在的安全风险问题。
【专利附图】
【附图说明】
[0031] 图1表示本发明具体实施例所述移动终端的结构示意图;
[0032] 图2表示本发明具体实施例所述用于移动终端实现鉴权的方法的流程示意图。
【具体实施方式】
[0033] 下面结合附图对本发明作进一步详细的说明。
[0034] 参阅图1所示,本发明具体实施例所述移动终端包括基带芯片10,与现有技术相 同,该基带芯片10包括CPU处理模块11、信道编码模块12、信号处理模块13、调制解调模块 14和接口模块15。CPU处理模块11用于对整个移动台进行控制和管理,包括定时控制、数 字系统控制、射频控制、省电控制和人机接口控制等;同时CPU处理模块11完成GSM终端所 有的软件功能,即GSM通信协议的layerl (物理层)、layer2 (数据链路层)、layer3 (网络 层)、MMI (人-机接口)和应用层软件。接口模块15包括模拟接口、数字接口以及人机接 口等子|旲块。
[0035] 此外,本发明具体实施例中,所述基带芯片10还包括安全存储模块16,用于预先 保存用于用户鉴权的核心机密数据;所述移动终端还包括鉴权处理板卡模块30,优选地, 所述鉴权处理板卡模块30用于运行基带芯片10的操作系统40,如图1所示,该鉴权处理板 卡模块30可以通过操作系统内核OS Kernel访问基带芯片10上的安全存储模块16。
[0036] 采用上述的基带芯片10结构中:
[0037] 所述安全存储模块16,用于预先保存用于用户鉴权的核心机密数据;
[0038] 所述鉴权处理板卡模块30,用于当所述移动终端开机时,从所述安全存储模块读 取所述核心机密数据实现鉴权。
[0039] 其中,该核心机密数据包括Ki (Key identifier)码等密钥以及国际移动用户识别 石马 IMS I (IMSI : International Mobile Subscriber Identification Number)、集成电路 卡识别码ICCID( Integrate circuit card identity)、个人用户识别码PIN/PUK等个人用 户信息;非核心数据包括鉴权逻辑及鉴权用基本文件等。
[0040] 因此采用本发明具体实施例所述移动终端时,无需再设置SM卡,基带芯片10在 移动终端开机时,不再通过传统逻辑与硬件SIM卡通信实现鉴权,而是通过鉴权处理板卡 模块30与安全存储模块16配合实现。
[0041] 本发明具体实施例的另一个方面,所述鉴权处理板卡模块30也可以通过基带芯 片10的接口模块15访问安全存储模块16,如图1所示。
[0042] 所述移动终端在利用基带芯片10上的安全存储模块16存储用户鉴权所使用的核 心机密数据(如Ki)时,优选地,所述安全存储模块16还用于 :
[0043] 预先保存用于用户鉴权的非核心数据及用于鉴权过程的代码;
[0044] 所述鉴权处理板卡模块30还用于:在所述移动终端开机时以及开机后,从所述安 全存储模块16读取所述非核心数据及所述代码,以实现开机时的登网鉴权及开机后的数 据传输。
[0045] 也即采用上述技术方案时,鉴权处理板卡模块用于鉴权的非核心数据及代码保存 在安全存储模块16中。
[0046] 另一方面,当安全存储模块16的存储空间不够时,上述鉴权处理板卡模块30用于 鉴权的非核心数据及代码也可以保存在移动终端的外部存储模块中,因此参阅图1所述移 动终端还可以包括:
[0047] 外部存储模块20,用于预先保存用于用户鉴权的非核心数据及用于鉴权过程的代 码;以及所述鉴权处理板卡模块30还用于 :
[0048] 所述移动终端开机时及开机后,从所述移动终端的外部存储模块20读取所述非 核心数据及所述代码,以实现开机时的登网鉴权及开机后的数据传输。
[0049] 再一方面,由于用于基带芯片10的操作系统中可能存在其它模块,为保证安全存 储模块16中所保存的鉴权处理板卡模块所使用的核心机密数据不被其它模块非法获取, 基带芯片的操作系统应具备代码签名机制,代码签名数字证书可保存在安全存储模块16 中,通过验证代码签名来确保非法模块无法访问这些核心机密数据。
[0050] 因此,最佳地,所述安全存储模块16还用于:预先保存用于用户鉴权的代码签名 数字证书;以及所述鉴权处理板卡模块30还用于:在实现鉴权时,根据所述代码签名数字 证书,对用户输入的代码签名进行验证。
[0051] 本发明另一方面还提供一种用于移动终端实现鉴权的方法,如图2所示,所述方 法包括:
[0052] 基带芯片的安全存储模块预先保存用于用户鉴权的核心机密数据;
[0053] 所述移动终端开机时,鉴权处理板卡模块从所述基带芯片读取所述核心机密数据 实现鉴权。
[0054] 另一方面,所述方法还包括:
[0055] 所述安全存储模块预先保存用于用户鉴权的非核心数据及用于鉴权过程的代码; 以及
[0056] 在所述移动终端开机时及开机后,所述鉴权处理板卡模块从所述安全存储模块读 取所述非核心数据及所述代码,以实现开机时的登网鉴权及开机后的数据传输。
[0057] 本发明的再一方面,所述方法还包括:
[0058] 所述移动终端的外部存储模块预先保存用于用户鉴权的非核心数据及用于鉴权 过程的代码;以及
[0059] 在所述移动终端开机时及开机后,所述鉴权处理板卡模块从所述外部存储模块读 取所述非核心数据及所述代码,以实现开机时的登网鉴权及开机后的数据传输。
[0060] 以及所述方法还包括:
[0061] 所述安全存储模块预先保存用于用户鉴权的代码签名数字证书;以及在实现鉴权 时,所述鉴权处理板卡模块根据所述代码签名数字证书,对用户输入的代码签名进行验证。 [0062] 本发明另一方面还提供一种用于上述移动终端的基带芯片,其中基带芯片的具体 结构如上所述,在此不再详细描述。
[0063] 本发明具体实施例上述的基带芯片、移动终端及用于移动终端实现鉴权的方法, 通过在基带芯片上设置安全存储模块保存用于鉴权的核心机密数据,以及在移动终端上设 置鉴权处理板卡模块,用于运行基带芯片工作的操作系统,以及用于从安全存储模块读取 该核心机密数据实现鉴权,因此相较于传统设置硬件形态的SIM卡,无需设置该SIM卡这 一硬件结构,能够达到降低设备成本的目的;再一方面,所述移动终端及用于实现鉴权的方 法,通过软件方式实现了用户的登网鉴权功能,而且还具备代码签名机制,通过验证代码签 名来确保非法模块无法访问用户鉴权的核心机密数据,从而使安全性增强,解决了现有技 术软件形式鉴权Softs頂所存在的安全风险问题。
[0064] 以上所述的仅是本发明的一个实施方式。对于本领域的普通技术人员来说,在不 脱离本发明创造构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范 围。
【权利要求】
1. 一种移动终端,包括基带芯片,其特征在于,所述移动终端还包括: 安全存储模块,设置于所述基带芯片,所述安全存储模块预先保存用于用户鉴权的核 心机密数据; 鉴权处理板卡模块,用于当所述移动终端开机时,从所述安全存储模块读取所述核心 机密数据实现鉴权。
2. 如权利要求1所述的移动终端,其特征在于,所述安全存储模块还用于:预先保存用 于用户鉴权的非核心数据及用于鉴权过程的代码;所述鉴权处理板卡模块还用于:在所述 移动终端开机时及开机后,从所述安全存储模块读取所述非核心数据及所述代码,以实现 开机时的登网鉴权及开机后的数据传输。
3. 如权利要求1所述的移动终端,其特征在于,所述移动终端还包括: 外部存储模块,用于预先保存用于用户鉴权的非核心数据及用于鉴权过程的代码;以 及所述鉴权处理板卡模块还用于: 所述移动终端开机时及开机后,从所述移动终端的外部存储模块读取所述非核心数据 及所述代码,以实现开机时的登网鉴权及开机后的数据传输。
4. 如权利要求1所述的移动终端,其特征在于,所述安全存储模块还用于:预先保存用 于用户鉴权的代码签名数字证书;以及所述鉴权处理板卡模块还用于:在实现鉴权时,根 据所述代码签名数字证书,对用户输入的代码签名进行验证。
5. 如权利要求1所述的移动终端,其特征在于,所述基带芯片还包括接口模块,其中所 述鉴权处理板卡模块通过所述接口模块从所述安全存储模块读取所述核心机密数据实现 鉴权。
6. -种用于移动终端实现鉴权的方法,其特征在于,所述方法包括: 基带芯片的安全存储模块预先保存用于用户鉴权的核心机密数据; 所述移动终端开机时,鉴权处理板卡模块从所述基带芯片读取所述核心机密数据实现 鉴权。
7. 如权利要求6所述的方法,其特征在于,所述方法还包括: 所述安全存储模块预先保存用于用户鉴权的非核心数据及用于鉴权过程的代码;以及 在所述移动终端开机时及开机后,所述鉴权处理板卡模块从所述安全存储模块读取所 述非核心数据及所述代码,以实现开机时的登网鉴权及开机后的数据传输。
8. 如权利要求6所述的方法,其特征在于,所述方法还包括: 所述移动终端的外部存储模块预先保存用于用户鉴权的非核心数据及用于鉴权过程 的代码;以及 在所述移动终端开机时及开机后,所述鉴权处理板卡模块从所述外部存储模块读取所 述非核心数据及所述代码,以实现开机时的登网鉴权及开机后的数据传输。
9. 如权利要求6所述的方法,其特征在于,所述方法还包括: 所述安全存储模块预先保存用于用户鉴权的代码签名数字证书;以及在实现鉴权时, 所述鉴权处理板卡模块根据所述代码签名数字证书,对用户输入的代码签名进行验证。
10. -种基带芯片,包括CPU处理模块、信道编码模块、信号处理模块、调制解调模块和 接口模块,其特征在于,所述基带芯片还包括: 安全存储模块,用于预先保存用于用户鉴权的核心机密数据。
【文档编号】H04W88/02GK104144418SQ201310172850
【公开日】2014年11月12日 申请日期:2013年5月10日 优先权日:2013年5月10日
【发明者】杨志强, 乐祖辉, 罗红, 于蓉蓉 申请人:中国移动通信集团公司