一种改进型的SIM卡以及移动通信身份识别方法和系统与流程

本发明涉及移动通信领域，尤其涉及一种改进型sim卡以及移动通信身份识别方法和系统。

背景技术：

每个客户在移动通信网络中注册登记时，就被分配一个客户电话号码(msisdn，mobilesubscriberinternationalisdn/pstnnumber)和国际移动用户识别码(imsi，internationalmobilesubscriberidentificationnumber)。imsi通过sim写卡机写入客户的sim卡中，同时在写卡机中又产生了一个与imsi相对应的唯一客户鉴权键(鉴权密钥)ki，它被存储在sim卡中的特定区域不能读取，同时又被存储在鉴权中心auc中，这是永久性的信息。客户的手机开机后会从sim卡中读取imsi，当手机登录网络时，会将imsi发送给网络，网络接收到手机发送来的imsi后返回给手机一个随机数rand，手机收到rand后，将rand发给sim卡，sim卡里的ki对rand通过算法生成鉴权响应sres(signedresponse)，手机读取sres并发给网络，网络根据imsi找到对应的ki并对rand通过与sim卡约定的算法生成sres’，网络比较接收到的sres和自己生成的sres’，如果两者相同则认为该客户合法，反之认为该客户不合法。现有3g、4g移动通信网络采取双向鉴权，即除了网络对客户的鉴权之外，还包括客户对网络的鉴权。其鉴权过程与单向鉴权类似，都是建立在初始时写入后保持不变的密钥的基础上。

sim卡里的ki对rand通过算法生成sres的同时还产生一个加密密钥kc,用来进行保密通话。因此，sim卡中的ki是保证移动通信安全的关键性密钥，一旦被不法分子窃取，整个系统的安全性将遭到破坏。由于ki是永久性信息，且是用来产生认证消息sres和加密密钥kc的，因此，不法分子往往通过分析sres或者kc破解到ki。

现有技术中，sim卡内的ki是sim卡出厂时写入且固定不变，现在有很多途径可破解其ki，一旦ki被破解，该sim卡就可以被大量复制或者其保密通信遭到破解。

技术实现要素：

本发明提供一种移动通信身份识别方法，在sim卡与移动通信网络之间进行身份识别时，采用真随机数密钥生成鉴权响应，可以进一步提高通信的保密性。

一种基于改进型sim卡的移动通信身份识别方法，实施在移动通信网络与安装在移动终端内的sim卡之间，包括：

其中一者利用第一鉴权密钥以及来自对方的随机数生成第一鉴权响应，并将该第一鉴权响应发送给对方；

对方用所述随机数以及第二鉴权密钥生成第二鉴权响应，对比第一鉴权响应与第二鉴权响应进行身份识别；

所述第一鉴权密钥以及第二鉴权密钥为相应的真随机数密钥且预先在移动通信网络和sim卡之间分发。

目前，2g网络(如gsm网络)是采用单向鉴权，即只有移动通信网络对客户的认证。3g网络(如wcdma网络)和4g网络(如lte)均采用双向鉴权，即除了移动通信网络对客户认证其合法性之外，客户对移动通信网络也进行认证，只有双方都认证成功才能登录网络进行通信服务。本发明所采用的认证方式不限制单向认证或者双向认证，也不限制认证所使用的方法，只强调认证所使用的鉴权密钥是由客户sim卡和网络双方所共享的真随机数密钥。

本发明中，“第一”、“第二”仅仅为了便于区分和叙述，并不对技术特征本身作为限定。

具体的移动通信网络对客户认证时，包括；

移动终端携带sim卡内的imsi码向移动通信网络发送认证请求；

移动通信网络接收到所述认证请求并验证imsi码有效后向移动终端发送随机数；

sim卡采用真随机数密钥作为第一鉴权密钥，结合所述随机数生成第一鉴权响应，再通过移动终端发给移动通信网络；

移动通信网络接收所述第一鉴权响应，利用所述随机数以及第二鉴权密钥生成第二鉴权响应，对比第一鉴权响应与第二鉴权响应进行身份识别。

具体的，客户对移动通信网络认证时，包括：

移动通信网络向移动终端发送认证请求；

移动终端响应于移动通信网络的认证请求，并向移动通信网络发送随机数；

移动通信网络接收所述随机数；采用真随机数密钥作为第一鉴权密钥，结合所述随机数生成第一鉴权响应并发给移动终端；

sim卡经由移动终端接收所述第一鉴权响应，利用所述随机数以及第二鉴权密钥生成第二鉴权响应，对比第一鉴权响应与第二鉴权响应进行身份识别。

本发明还提供一种基于改进型sim卡的移动通信身份识别系统，包括移动通信网络、移动终端以及安装在所述移动终端内的sim卡，移动通信网络与安装在移动终端内的sim卡之间进行身份识别时：

其中一者利用第一鉴权密钥以及来自对方的随机数生成第一鉴权响应，并将该第一鉴权响应发送给对方；

对方用所述随机数以及第二鉴权密钥生成第二鉴权响应，对比第一鉴权响应与第二鉴权响应进行身份识别；

所述第一鉴权密钥以及第二鉴权密钥为相应的真随机数密钥且预先在移动通信网络和sim卡之间分发。

基于同一发明思路，本发明还提供一种改进型的sim卡，在移动通信网络对sim卡进行身份识别时，sim卡通过所在的移动终端向移动通信网络发送认证请求，并接收来自移动通信网络的随机数；采用真随机数密钥作为鉴权密钥，结合所述随机数生成鉴权响应并发给移动通信网络以供身份认证。

基于同一发明思路，本发明还提供一种移动终端，安装有所述的sim卡。

基于同一发明思路，本发明还提供一种改进型的sim卡，在sim卡对移动通信网络认证时，包括：

响应于移动通信网络的认证请求，通过所在的移动终端向移动通信网络发送随机数；

接收来自移动通信网络的第二鉴权响应，该第二鉴权响应为移动通信网络采用第二鉴权密钥结合所述随机数生成；

利用所述随机数以及第一鉴权密钥生成第一鉴权响应，对比第一鉴权响应与第二鉴权响应进行身份识别；

所述第一鉴权密钥以及第二鉴权密钥为相应的真随机数密钥且预先在移动通信网络和sim卡之间分发。

基于同一发明思路，本发明还提供一种移动终端，安装有所述的sim卡。

本发明所述的移动通信网络，是指全球移动通信系统，我国符合通信系统网络标准的运营商主要有移动、联通、电信等。其主要作用是为合法的移动终端客户提供语音通信服务。

作为优选，所述移动通信网络中包括密钥颁发服务器，密钥颁发服务器中设有真随机数发生器，用于生成真随机数并在移动通信网络和sim卡之间分发形成相应的真随机数密钥。

密钥颁发服务器可以为持有移动终端的客户办理入网手续及颁发sim卡，该密钥颁发服务器上含有真随机数发生器，可用来产生真随机数作为真随机数密钥颁发给客户的sim卡。

所述移动通信网络中还具有鉴权中心(auc)，所述真随机数密钥在移动通信网络中存储在鉴权中心中。

移动通信网络会将写入sim卡内的鉴权客户信息(至少包括国际移动用户识别码imsi、真随机数密钥和各类密码学算法)存储在鉴权中心auc中。当移动客户接入网络进行通信时，由auc对客户的移动终端的sim卡进行认证，认证通过后允许客户登录移动通信网络进行保密通信。

本发明所述的移动终端也称为移动通信终端，是指可以在移动中使用的通讯设备，优选为手机、笔记本、平板电脑、pos机、车载电脑等。他通过网络与其他设备进行通信并在自身的系统上开发出不同的应用功能供用户使用，以完成用户的需求。本发明所述的移动终端是指基于sim卡来接入移动通信网络的终端设备。该移动终端具有自带的存储器也可以通过内置sd卡来扩展其存储区。

本发明所述的sim卡具有传统sim卡的功能，是客户终端入网的身份凭证，其内部结构包括cpu、内存、存储器等，并有相应的操作系统，可以存储客户信息，存储和运行各类密码学算法等，优选表现形式为usbkey、sdkey或移动终端主板芯片。

sim卡中存有国际移动用户识别码imsi、真随机数密钥、客户身份信息和各类密码学算法等，其中真随机数密钥与传统sim卡中的ki定义相同，都是在客户注册时写入sim卡中并在客户的移动终端登录网络时用做认证的密钥，区别在于把传统sim卡中的一个ki改为由一组真随机数组成真随机数密钥，其密钥量取决于sim卡的容量或者移动终端的存储量。

鉴权密钥可以保存在sim卡内，优选以加密的方式保存在sim卡或移动终端内。

sim卡内设有安全加密芯片，用于采用所述真随机数加密密钥对鉴权密钥进行加、解密。安全加密芯片也可以对鉴权密钥进行存储，安全加密芯片优选为tpm安全芯片。

作为优选，sim卡内设有真随机数发生器芯片，用于生成真随机数加密密钥对鉴权密钥进行加密。

加密后的鉴权密钥既可以保存在sim卡中，也可以保存在移动终端中。例如保存在移动终端自带的存储器，或移动终端的内置扩展sd卡中。

sim卡使用鉴权密钥时，先从移动终端读取加密形式的鉴权密钥，在sim卡内利用真随机数加密密钥对鉴权密钥进行解密使用。

作为进一步优选，所述真随机数发生器芯片为量子真随机数发生器芯片。

真随机数密钥形式的鉴权密钥在一次使用过后即作废，作废的密钥存储区称为无效数据区，反之，未被使用的密钥存储区称为有效数据区。真随机数密钥在存储时都有一个指针指向当前有效密钥的位置，该指针所指向的当前有效密钥即为下次待使用的真随机数密钥，当该真随机数密钥使用后，移动终端会与移动通信网络进行同步更新，即将指针指向下一个有效真随机数密钥的位置。

当有效数据区内的真随机数密钥量小于一定的值时，该sim卡将通过移动终端向客户发出充值密钥的信号，提醒该客户到移动通信网络充值真随机数密钥，充值真随机数密钥的方法与真随机数密钥颁发的方法类似，在此不做赘述。

本发明中，客户的移动终端每次登录移动通信网络时所用的认证码是由sim卡与移动通信网络共享的真随机数密钥生成的，且用于生成认证码的真随机数密钥使用一次后更新。这使得真随机数密钥取代了传统sim卡中的ki，并有效防止了传统sim卡中ki密钥被破解的风险，提高了移动通信系统的安全性。

附图说明

图1为实施例1的流程示意图；

图2为实施例2的流程示意图。

具体实施方式

实施例1

本实施例基于改进型sim卡的移动通信身份识别系统中当客户到移动通信网络办理入网时，该客户就被分配一个客户电话号码(msisdn)、国际移动用户识别码(imsi)及一张sim卡。通过写卡机将imsi及其他客户信息如各类密码学算法等写入客户的sim卡中。

移动通信网络中设有密钥颁发服务器，密钥颁发服务器中设有真随机数发生器，从真随机数发生器产生的真随机数中，取出指定数量的真随机数密钥，该真随机数密钥即为本次所颁发的真随机数密钥。并将该真随机数密钥写入客户的sim卡中。该真随机数密钥直接以明文的形式被保存在sim卡中，通过任何途径都无法再取出。

移动通信网络中设有鉴权中心，移动通信网络会将写入sim卡内的鉴权客户信息(至少包括imsi、真随机数密钥和各类密码学算法)存储在auc中。并将该sim卡颁发给客户，客户使用sim卡联合移动终端即可接入移动通信网络进行通信。

下面将根据传统的鉴权方式给出移动通信网络对客户sim卡的鉴权过程，客户sim卡对移动通信网络的鉴权过程类似。

参见图1，认证过程包括：

1)客户的移动终端从sim卡中读取imsi码发送给移动通信网络。

2)移动通信网络中的鉴权中心auc接收到imsi后首先判断该imsi码是否有效，如果有效，则产生一个真随机数n返回给客户的移动终端。

3)客户的移动终端接收到真随机数n后，将真随机数n发送给sim卡。

4)sim卡使用真随机数密钥和真随机数n通过与移动通信网络约定的算法生成认证码key及鉴权响应，发送给移动终端。

5)移动终端将认证码key返回给移动通信网络。

6)移动通信网络中的鉴权中心auc接收到认证码key，用与sim卡相同的方式，利用存储在鉴权中心auc中相应的真随机数密钥生成key’，并比较key和key’。如果key＝key’，则表明移动通信网络认证成功。如果key≠key’，则表明移动通信网络认证失败。

实施例2

相对于实施例1，本实施例中的sim卡内部设有真随机数发生器芯片，sim卡接收到来自移动通信网络的真随机数密钥后，通过其内部的真随机数发生器芯片产生一个真随机数加密密钥k，并使用真随机数加密密钥k将真随机数密钥加密成密文形式的真随机数密钥。该密文形式的真随机数密钥可以保存在移动终端的存储器中或者移动终端扩展的存储区域也可以存储在sim卡内的数据存储区。同时真随机数加密密钥k会被保存sim卡中以供解密时使用。

下面将根据传统的鉴权方式给出移动通信网络对客户sim卡的鉴权过程，客户sim卡对移动通信网络的鉴权过程类似。

参见图2，认证过程包括：

1)客户的移动终端从sim卡中读取imsi码发送给移动通信网络。

2)移动通信网络中的鉴权中心auc接收到imsi后首先判断该imsi码是否有效，如果有效，则产生一个真随机数n返回给客户的移动终端。

3)客户的移动终端接收到真随机数n后，将真随机数n和密文形式的真随机数密钥发送给sim卡。

4)sim卡使用真随机数加密密钥k将密文形式的真随机数密钥解密，并将解密后的真随机数密钥，结合真随机数n通过与移动通信网络约定的算法生成认证码key，将key发送给客户的移动终端。

5)客户的移动终端将认证码key返回给移动通信网络。

6)移动通信网络中的鉴权中心auc接收到认证码key，用与sim卡相同的方式利用存储在鉴权中心auc中相应的真随机数密钥生成key’，并比较key和key’。如果key＝key’，则表明移动通信网络对客户的移动终端认证成功。如果key≠key’，则表明移动通信网络对客户认证失败。

以上公开的仅为本发明的具体实施例，但是本发明并非局限于此，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。显然这些改动和变型均应属于本发明要求的保护范围保护内。此外，尽管本说明书中使用了一些特定的术语，但这些术语只是为了方便说明，并不对本发明构成任何特殊限制。