專利名稱:驗(yàn)證密鑰設(shè)置方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信網(wǎng)絡(luò)中的通信安全技術(shù),具體涉及一種移動終端和驗(yàn)證設(shè)備的驗(yàn)證密鑰設(shè)置方法。
背景技術(shù):
在當(dāng)前的移動通信網(wǎng)絡(luò)中,為了保證移動終端的安全,例如為了防止移動終端容易被盜搶的情況時時發(fā)生,在用戶使用移動終端之前,需要對移動終端用戶的合法性進(jìn)行驗(yàn)證。只有通過驗(yàn)證的移動終端才能正常使用或者正常接入移動通信網(wǎng)絡(luò),而沒有通過驗(yàn)證的移動終端則會自動鎖定、關(guān)機(jī),甚至?xí)鶕?jù)移動終端用戶的設(shè)置自動發(fā)送短消息給移動終端用戶的親友或者發(fā)送給公安機(jī)關(guān),從而使盜搶了移動終端的非法用戶即使得到了該移動終端也不能正常使用,甚至還有可能會被繩之以法,因此從根本上杜絕了盜搶移動終端的現(xiàn)象,極大地提高了移動終端的安全。
在上述對移動終端用戶進(jìn)行合法性驗(yàn)證的過程中,一般需要在移動通信網(wǎng)絡(luò)中設(shè)置一個驗(yàn)證設(shè)備,例如歸屬位置寄存器(HLR)或者鑒權(quán)中心(AC),然后在移動終端中設(shè)置一個密鑰,這里可以將其稱之為防盜密鑰,并在驗(yàn)證設(shè)備中同時保存該密鑰,驗(yàn)證設(shè)備中還保存密鑰和用戶簽約信息之間的對應(yīng)關(guān)系。當(dāng)需要對移動終端用戶合法性進(jìn)行驗(yàn)證時,最簡單的方式是移動終端向驗(yàn)證設(shè)備發(fā)送一個請求密鑰的請求消息,驗(yàn)證設(shè)備將對應(yīng)于該移動終端用戶的密鑰發(fā)送給移動終端,移動終端比較接收到的密鑰和自己保存的密鑰是否一致。如果一致,則表明移動終端用戶合法,否則表明移動終端用戶非法。當(dāng)然,也可以是移動終端向驗(yàn)證設(shè)備發(fā)送一個請求驗(yàn)證信息,驗(yàn)證設(shè)備根據(jù)移動終端對應(yīng)的密鑰進(jìn)行相關(guān)計(jì)算,比如摘要計(jì)算,并將計(jì)算結(jié)果返回給移動終端,移動終端利用自己保存的密鑰進(jìn)行相應(yīng)的計(jì)算,并比較自己計(jì)算的結(jié)果和來自驗(yàn)證設(shè)備的計(jì)算結(jié)果是否一致來判斷移動終端用戶的合法性。
當(dāng)移動終端被盜搶后,合法用戶會要求通信運(yùn)營商停止對自己的用戶卡服務(wù),那么盜搶移動終端的非法用戶如果想使用該移動終端進(jìn)行正常通信,就必須更換一個用戶卡。但是在更換用戶卡之后,由于不同用戶卡的用戶簽約信息的不同,致使驗(yàn)證設(shè)備根據(jù)新的用戶簽約信息查找不到移動終端保存的密鑰,或者查找得到的密鑰和移動終端中保存的密鑰不同,從而移動終端判定用戶非法。這樣上述方法即可有效地達(dá)到保障移動終端安全的目的。
在上述方法中,移動終端中的密鑰和驗(yàn)證設(shè)備中的密鑰一般保持一致。在具體實(shí)現(xiàn)過程中,密鑰可以由移動終端產(chǎn)生,然后傳送給驗(yàn)證設(shè)備,例如可以由移動終端的用戶輸入一組數(shù)字或者字符來形成密鑰,或者由移動終端隨機(jī)產(chǎn)生一個密鑰,然后移動終端將該密鑰直接傳送給驗(yàn)證設(shè)備。另外,密鑰也可以由驗(yàn)證設(shè)備隨機(jī)產(chǎn)生,然后由驗(yàn)證設(shè)備將該密鑰直接傳送給移動終端。
可以看出,上述密鑰設(shè)置方法具有如下缺點(diǎn)。其一,如果密鑰由移動終端用戶輸入,那么用戶輸入的密鑰可能不是一個符合密鑰產(chǎn)生標(biāo)準(zhǔn)的密鑰,換句話說是一個容易被攻擊的密鑰,從而降低了移動終端用戶合法性驗(yàn)證的安全性。其二,無論是移動終端將密鑰傳送給驗(yàn)證設(shè)備,還是驗(yàn)證設(shè)備將密鑰傳送給移動終端,在傳送密鑰的過程中,網(wǎng)絡(luò)側(cè)相關(guān)設(shè)備可能并沒有對信令進(jìn)行加密,從而導(dǎo)致傳送的密鑰容易被他人截獲,從而降低了移動終端用戶合法性驗(yàn)證的安全性。
綜上所述,現(xiàn)有技術(shù)中的密鑰設(shè)置方法存在安全漏洞,從而降低了移動終端用戶合法性驗(yàn)證的安全性,并因此降低了移動終端防盜的效果。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的主要目的是提出一種移動終端和驗(yàn)證設(shè)備的驗(yàn)證密設(shè)置方法,以克服現(xiàn)有技術(shù)中的安全漏洞,提高移動終端用戶合法性驗(yàn)證的安全性,保障移動終端防盜的效果。
本發(fā)明的上述目的是通過如下的技術(shù)方案予以實(shí)現(xiàn)的一種移動終端和驗(yàn)證設(shè)備的驗(yàn)證密鑰設(shè)置方法,至少包括a.移動終端和驗(yàn)證設(shè)備中的一個生成一個隨機(jī)數(shù),并將對應(yīng)該隨機(jī)數(shù)的隨機(jī)信息發(fā)送到移動終端和驗(yàn)證設(shè)備中的另一個;b.移動終端和驗(yàn)證設(shè)備中的一個對該隨機(jī)數(shù)和移動終端相關(guān)信息進(jìn)行聯(lián)合計(jì)算,或者對隨機(jī)信息和移動終端相關(guān)信息進(jìn)行聯(lián)合計(jì)算,生成并保存用于驗(yàn)證移動終端用戶合法性的驗(yàn)證密鑰,移動終端和驗(yàn)證設(shè)備中的另一個對該隨機(jī)信息和移動終端相關(guān)信息進(jìn)行聯(lián)合計(jì)算,生成并保存相應(yīng)的驗(yàn)證密鑰。
這里的隨機(jī)信息和隨機(jī)數(shù)可以相同,步驟a為移動終端生成一個隨機(jī)數(shù)并將該隨機(jī)數(shù)發(fā)送給驗(yàn)證設(shè)備。在這種情況下,發(fā)送隨機(jī)數(shù)是將該隨機(jī)數(shù)包含在一個驗(yàn)證密鑰設(shè)置請求中進(jìn)行發(fā)送,該方法進(jìn)一步包括驗(yàn)證設(shè)備在保存驗(yàn)證密鑰之后向移動終端返回一個用于表明設(shè)置驗(yàn)證密鑰的操作是否成功的驗(yàn)證密鑰設(shè)置請求響應(yīng)消息。步驟a還可以是驗(yàn)證設(shè)備生成一個隨機(jī)數(shù)并將該隨機(jī)數(shù)發(fā)送給移動終端。此時,在驗(yàn)證設(shè)備生成一個隨機(jī)數(shù)之前進(jìn)一步包括移動終端向驗(yàn)證設(shè)備發(fā)送一個驗(yàn)證密鑰設(shè)置請求,所述驗(yàn)證設(shè)備將隨機(jī)數(shù)發(fā)送給移動終端是將該隨機(jī)數(shù)包含在一個驗(yàn)證密鑰設(shè)置請求響應(yīng)中發(fā)送。
步驟a在接收到用戶要求進(jìn)行移動終端用戶合法性驗(yàn)證的設(shè)置之后執(zhí)行。
步驟b中移動終端根據(jù)隨機(jī)數(shù)生成用于驗(yàn)證移動終端用戶合法性的驗(yàn)證密鑰包括移動終端將隨機(jī)數(shù)發(fā)送給移動終端中的用戶卡;用戶卡使用自己保存的移動終端相關(guān)信息和所接收的隨機(jī)數(shù)進(jìn)行聯(lián)合計(jì)算,得到一個計(jì)算結(jié)果;用戶卡將所得到的計(jì)算結(jié)果發(fā)送給移動終端。
另外,隨機(jī)信息和隨機(jī)數(shù)也可以不同,較佳地,步驟a為移動終端生成一個隨機(jī)數(shù),并對該隨機(jī)數(shù)進(jìn)行計(jì)算得到一個隨機(jī)信息,然后將該隨機(jī)信息發(fā)送給驗(yàn)證設(shè)備;在步驟b中移動終端對隨機(jī)信息和移動終端相關(guān)信息進(jìn)行計(jì)算得到驗(yàn)證密鑰。
具體地說,移動終端根據(jù)隨機(jī)數(shù)進(jìn)行計(jì)算得到一個隨機(jī)信息并且對該隨機(jī)信息和移動終端相關(guān)信息進(jìn)行聯(lián)合計(jì)算生成驗(yàn)證密鑰包括移動終端將隨機(jī)數(shù)發(fā)送到移動終端中的用戶卡;用戶卡對隨機(jī)數(shù)進(jìn)行摘要計(jì)算,得到一個作為隨機(jī)信息的摘要計(jì)算結(jié)果;用戶卡對摘要計(jì)算結(jié)果和相應(yīng)的移動終端相關(guān)信息進(jìn)行聯(lián)合計(jì)算,得到一個聯(lián)合計(jì)算結(jié)果;用戶卡將摘要計(jì)算結(jié)果和聯(lián)合計(jì)算結(jié)果同時返回給移動終端;移動終端將接收自用戶卡的聯(lián)合計(jì)算結(jié)果保存為驗(yàn)證密鑰。
隨機(jī)信息和隨機(jī)數(shù)不同時,較佳地,步驟a為移動終端生成一個隨機(jī)數(shù),并對該隨機(jī)數(shù)進(jìn)行計(jì)算得到一個隨機(jī)信息,然后將該隨機(jī)信息發(fā)送給驗(yàn)證設(shè)備;在步驟b中移動終端對隨機(jī)數(shù)和移動終端相關(guān)信息進(jìn)行計(jì)算得到驗(yàn)證密鑰。
具體地說,移動終端根據(jù)隨機(jī)數(shù)進(jìn)行計(jì)算得到一個隨機(jī)信息并且對該隨機(jī)數(shù)和移動終端相關(guān)信息進(jìn)行聯(lián)合計(jì)算生成驗(yàn)證密鑰包括移動終端將隨機(jī)數(shù)發(fā)送到移動終端中的用戶卡;用戶卡根據(jù)該隨機(jī)數(shù)和相應(yīng)的移動終端相關(guān)信息進(jìn)行聯(lián)合計(jì)算得到第一計(jì)算結(jié)果;用戶卡對隨機(jī)數(shù)進(jìn)行摘要計(jì)算,得到作為隨機(jī)信息的第二計(jì)算結(jié)果;用戶卡將兩個計(jì)算結(jié)果返回給移動終端;移動終端將第一計(jì)算結(jié)果保存為驗(yàn)證密鑰。
較佳地,步驟b中驗(yàn)證設(shè)備對隨機(jī)信息和移動終端相關(guān)信息進(jìn)行聯(lián)合計(jì)算并生成驗(yàn)證密鑰是從第二計(jì)算結(jié)果計(jì)算得到第一計(jì)算結(jié)果,然后將得到的第一計(jì)算結(jié)果保存為驗(yàn)證密鑰。
在上述方法中,移動終端中可以進(jìn)一步包括一個安全芯片,所述移動終端保存驗(yàn)證密鑰為將驗(yàn)證密鑰保存在所述安全芯片上。較佳地,在安全芯片預(yù)先設(shè)置用戶操作密碼,在將所述驗(yàn)證密鑰寫入安全芯片之前或接收到用戶的設(shè)置之后,進(jìn)一步包括提示用戶輸入表明用戶是否有權(quán)操作安全芯片的用戶操作密碼,然后判斷用戶輸入的用戶操作密碼是否正確,如果正確執(zhí)行步驟a,否則結(jié)束本流程。
在上述方法中,移動終端相關(guān)信息是用戶卡的根密鑰(KI)、用戶卡的通信密鑰(KC)、用戶卡的國際移動用戶標(biāo)識(IMSI)、移動終端的國際移動設(shè)備標(biāo)識(IMEI)中的一種或者它們的任意組合。
較佳地,在驗(yàn)證設(shè)備保存驗(yàn)證密鑰是按照終端身份信息保存對應(yīng)的計(jì)算得到的驗(yàn)證密鑰。這里的終端身份信息是用戶卡標(biāo)識信息、用戶終端號碼信息和移動終端標(biāo)識信息中的一種或者它們的任意組合。
本發(fā)明中的驗(yàn)證設(shè)備是HLR、AC和設(shè)備標(biāo)識寄存器(EIR)中的一種。
從本發(fā)明的技術(shù)方案可以看出,通過移動終端和驗(yàn)證設(shè)備中的任意一個設(shè)備生成一個隨機(jī)數(shù),然后將對應(yīng)該隨機(jī)數(shù)的隨機(jī)信息傳送給另外一個設(shè)備,移動終端和驗(yàn)證設(shè)備都根據(jù)隨機(jī)數(shù)或隨機(jī)信息分別生成各自的用于驗(yàn)證移動終端用戶合法性的驗(yàn)證密鑰。本發(fā)明的驗(yàn)證密鑰通過直接或間接對一個隨機(jī)數(shù)進(jìn)行計(jì)算得到,而不是直接由用戶生成,因此避免了現(xiàn)有技術(shù)中用戶直接生成密鑰造成的容易被攻擊的現(xiàn)象;另外,該方法也避免了密鑰的直接傳送,進(jìn)而避免了因?yàn)閭鬏斝帕顩]有進(jìn)行相應(yīng)的加密而導(dǎo)致的通過截取密鑰而獲得密鑰明文的現(xiàn)象發(fā)生,因此,保證了密鑰的安全性,也提高了移動終端用戶合法性驗(yàn)證的安全性。比如,即使隨機(jī)信息被他人截獲,但由于驗(yàn)證密鑰是根據(jù)隨機(jī)信息和移動終端相關(guān)信息進(jìn)行聯(lián)合計(jì)算得到的,截獲隨機(jī)信息的人難以知道具體計(jì)算并生成密鑰時使用的保存在移動終端(包括用戶卡)里的相關(guān)信息,因此難以根據(jù)截獲的隨機(jī)信息得到驗(yàn)證密鑰。
如上所述,根據(jù)本發(fā)明的密鑰設(shè)置方法克服了現(xiàn)有技術(shù)所存在的安全漏洞,提高了移動終端用戶合法性驗(yàn)證的安全性,并因此提高了移動終端的防盜效果。
圖1是根據(jù)本發(fā)明的第一種方法的流程圖。
圖2是根據(jù)本發(fā)明的第一種方法的第一實(shí)施例的流程圖。
圖3是根據(jù)本發(fā)明的第一種方法的第二實(shí)施例的流程圖。
圖4是根據(jù)本發(fā)明的第二種方法的流程圖。
圖5是根據(jù)本發(fā)明的第三種方法的流程圖。
具體實(shí)施例方式
下面結(jié)合附圖和具體實(shí)施例對本發(fā)明進(jìn)行詳細(xì)說明。
為了克服現(xiàn)有技術(shù)中移動終端用戶輸入信息作為密鑰可能造成的易被攻擊的缺陷,本發(fā)明中摒棄了這種密鑰產(chǎn)生方式。另外,為了防止移動終端和驗(yàn)證設(shè)備之間直接傳輸密鑰容易造成密鑰被截獲而泄漏的問題,在本發(fā)明中不直接傳輸密鑰,而是傳輸一個用于生成密鑰的隨機(jī)數(shù),然后移動終端和驗(yàn)證設(shè)備分別根據(jù)該隨機(jī)數(shù)進(jìn)行計(jì)算得到各自的密鑰。
圖1示出了按照上述思路提出的根據(jù)本發(fā)明的第一種密鑰設(shè)置方法的總體流程。如圖1所示,該方法包括如下步驟在步驟101,移動終端或者驗(yàn)證設(shè)備生成一個隨機(jī)數(shù),然后將該隨機(jī)數(shù)發(fā)送給對方。
在步驟102,移動終端和驗(yàn)證設(shè)備根據(jù)該隨機(jī)數(shù)和相應(yīng)的移動終端相關(guān)信息進(jìn)行計(jì)算,分別得到各自的用于驗(yàn)證移動終端用戶合法性的驗(yàn)證密鑰。
在步驟103,移動終端和驗(yàn)證設(shè)備分別保存自己計(jì)算得到的驗(yàn)證密鑰。
其中在步驟101中,對于移動終端生成隨機(jī)數(shù)的情況,隨機(jī)數(shù)可以是由用戶卡產(chǎn)生,也可以是由移動終端自己產(chǎn)生。
其中在步驟102中,移動終端相關(guān)信息可以是用戶卡的KI,可以是用戶卡的KC,可以是用戶卡的IMSI,也可以是移動終端的IMEI,并且可以是它們的任意組合。本領(lǐng)域技術(shù)人員可以理解,這些信息會同時保存在移動終端和驗(yàn)證設(shè)備中。對于移動終端來說,上述移動終端根據(jù)隨機(jī)數(shù)和相應(yīng)的移動終端相關(guān)信息進(jìn)行的計(jì)算可以是在用戶卡內(nèi)進(jìn)行,即,由用戶卡根據(jù)隨機(jī)數(shù)和移動終端相關(guān)信息進(jìn)行計(jì)算得到驗(yàn)證密鑰。
步驟103中驗(yàn)證設(shè)備保存計(jì)算得到的驗(yàn)證密鑰時,可以進(jìn)一步保存表示終端身份信息的用戶卡標(biāo)識信息或者用戶終端號碼信息或者移動終端的標(biāo)識信息和所計(jì)算得到的驗(yàn)證密鑰的對應(yīng)關(guān)系,這樣驗(yàn)證設(shè)備可以按照終端身份信息對應(yīng)地保存驗(yàn)證密鑰,從而方便驗(yàn)證密鑰的查找。這里的用戶卡標(biāo)識信息也就是IMSI信息,用戶終端號碼信息也就是移動終端中的用戶卡所對應(yīng)的電話號碼,移動終端的標(biāo)識信息可以是移動終端的IMEI。
本發(fā)明中的驗(yàn)證設(shè)備可以是HLR,也可以是AC,還可以是EIR。
下面結(jié)合圖2說明根據(jù)本發(fā)明的第一種方法的第一實(shí)施例。在第一實(shí)施例中,由移動終端產(chǎn)生隨機(jī)數(shù),然后將隨機(jī)數(shù)發(fā)送給驗(yàn)證設(shè)備。
在步驟201,移動終端生成一個隨機(jī)數(shù),并將該隨機(jī)數(shù)發(fā)送給用戶卡。此步驟可以是在用戶設(shè)置需要進(jìn)行移動終端用戶合法性驗(yàn)證操作時開始執(zhí)行。
在步驟202,用戶卡接收到該隨機(jī)數(shù)后,使用該隨機(jī)數(shù)和自己保存的KI以及IMSI進(jìn)行聯(lián)合計(jì)算得到一個計(jì)算結(jié)果,然后將該計(jì)算結(jié)果傳送給移動終端。
在步驟203,移動終端向驗(yàn)證設(shè)備發(fā)送一個驗(yàn)證密鑰設(shè)置請求,在該請求中攜帶有步驟201產(chǎn)生的隨機(jī)數(shù)。
在步驟204,驗(yàn)證設(shè)備在接收到來自移動終端的驗(yàn)證密鑰設(shè)置請求后,從中提取出隨機(jī)數(shù),然后對該隨機(jī)數(shù)和自己保存的對應(yīng)該移動終端的KI以及IMSI進(jìn)行聯(lián)合計(jì)算得到一個計(jì)算結(jié)果,并將該計(jì)算結(jié)果保存為用于驗(yàn)證移動終端用戶合法性的驗(yàn)證密鑰。然后向移動終端返回驗(yàn)證密鑰設(shè)置請求響應(yīng),其中可以進(jìn)一步攜帶有設(shè)置驗(yàn)證密鑰是否成功的信息。
在步驟205,移動終端接收到驗(yàn)證設(shè)備的響應(yīng)消息后,將來自用戶卡的計(jì)算結(jié)果保存為用于驗(yàn)證移動終端用戶合法性的驗(yàn)證密鑰。
這樣,通過發(fā)送一個隨機(jī)數(shù),移動終端和驗(yàn)證設(shè)備根據(jù)相同的隨機(jī)數(shù)進(jìn)行計(jì)算分別得到各自的驗(yàn)證密鑰。這里,移動終端和驗(yàn)證設(shè)備對相同的隨機(jī)數(shù)進(jìn)行的計(jì)算可以相同,也可以不同。在相同的情況下,在后續(xù)的移動終端用戶合法性驗(yàn)證時,移動終端判斷接收自驗(yàn)證設(shè)備的驗(yàn)證密鑰和自己保存的驗(yàn)證密鑰是否相同。在兩個計(jì)算不同的情況下,需要確定兩種計(jì)算之間的關(guān)系,這樣在后續(xù)的移動終端用戶合法性驗(yàn)證時,移動終端判斷接收自驗(yàn)證設(shè)備的驗(yàn)證密鑰和自己保存的驗(yàn)證密鑰是否滿足該關(guān)系。
需要說明的是,移動終端也可以通過其它方式判斷保存在驗(yàn)證設(shè)備的驗(yàn)證密鑰和自己保存的驗(yàn)證密鑰是否一致。比如,移動終端也可以通過給驗(yàn)證設(shè)備發(fā)送一個隨機(jī)數(shù),由移動終端和驗(yàn)證設(shè)備分別根據(jù)保存的驗(yàn)證密鑰對隨機(jī)數(shù)進(jìn)行摘要計(jì)算,移動終端通過比較驗(yàn)證設(shè)備的摘要計(jì)算結(jié)果和自己的摘要計(jì)算結(jié)果是否一致來判斷保存在驗(yàn)證設(shè)備的驗(yàn)證密鑰和自己保存的驗(yàn)證密鑰是否一致。
本領(lǐng)域技術(shù)人員可以理解,上述計(jì)算可以是加密計(jì)算、摘要計(jì)算或者其它任何一種計(jì)算。對于所述聯(lián)合計(jì)算,可以是使用KI對隨機(jī)數(shù)進(jìn)行摘要計(jì)算,并使用計(jì)算得到的結(jié)果,再對IMSI進(jìn)行摘要計(jì)算以得到最終的摘要計(jì)算結(jié)果。
下面結(jié)合圖3說明根據(jù)本發(fā)明的第一種方法的第二實(shí)施例。在第二實(shí)施例中,由驗(yàn)證設(shè)備產(chǎn)生隨機(jī)數(shù),然后將隨機(jī)數(shù)發(fā)送給移動終端。
在步驟301,移動終端向驗(yàn)證設(shè)備發(fā)送一個驗(yàn)證密鑰設(shè)置請求。此步驟可以是在用戶設(shè)置需要進(jìn)行移動終端用戶合法性驗(yàn)證操作時開始執(zhí)行。
在步驟302,驗(yàn)證設(shè)備生成一個隨機(jī)數(shù),并使用該隨機(jī)數(shù)和對應(yīng)該移動終端的KI以及IMSI信息進(jìn)行聯(lián)合計(jì)算得到一個計(jì)算結(jié)果,保存該計(jì)算結(jié)果為用于驗(yàn)證移動終端用戶合法性的驗(yàn)證密鑰。然后向移動終端返回驗(yàn)證密鑰設(shè)置請求響應(yīng),其中該響應(yīng)消息中包含所述隨機(jī)數(shù)。
在步驟303,移動終端接收到來自驗(yàn)證設(shè)備的響應(yīng)消息后,提取其中的隨機(jī)數(shù),然后將該隨機(jī)數(shù)發(fā)送給用戶卡。
在步驟304,用戶卡對該隨機(jī)數(shù)和自己保存的KI以及IMSI信息進(jìn)行聯(lián)合計(jì)算,得到一個計(jì)算結(jié)果,然后將該計(jì)算結(jié)果返回給移動終端。
在步驟305,移動終端將接收自用戶卡的該計(jì)算結(jié)果保存為用于驗(yàn)證移動終端用戶合法性的驗(yàn)證密鑰。
和第二實(shí)施例類似,這里移動終端和驗(yàn)證設(shè)備對相同的隨機(jī)數(shù)進(jìn)行的計(jì)算可以相同,也可以不同。
在上述兩個實(shí)施例中,移動終端產(chǎn)生隨機(jī)數(shù)、發(fā)送隨機(jī)數(shù)等操作是由移動終端程序來控制實(shí)現(xiàn)的。另外,用戶設(shè)置需要進(jìn)行移動終端用戶合法性驗(yàn)證操作可以是通過移動終端的屏幕界面來進(jìn)行設(shè)置。
在通常情況下,移動終端的驗(yàn)證密鑰由移動終端程序保存在移動終端的一個非易失性存儲器中。這時,可以在移動終端中設(shè)置用于驗(yàn)證用戶合法性的安全芯片,移動終端中的驗(yàn)證密鑰較佳地是由安全芯片來保存,此時在上述兩個實(shí)施例中,移動終端在接收到來自用戶卡的計(jì)算結(jié)果后,將該計(jì)算結(jié)果進(jìn)一步發(fā)送給安全芯片,安全芯片將該計(jì)算結(jié)果保存為用于驗(yàn)證移動終端用戶合法性的驗(yàn)證密鑰。
在將驗(yàn)證密鑰保存到安全芯片的情況下,為了提高對安全芯片操作的安全性,可以在安全芯片設(shè)置一個用戶操作密碼,在對安全芯片進(jìn)行訪問時,比如,寫入密鑰數(shù)據(jù)操作等,需要通過用戶操作密鑰驗(yàn)證后方可進(jìn)行。實(shí)際當(dāng)中,可以在用戶要求進(jìn)行移動終端用戶合法性驗(yàn)證操作的設(shè)置后,移動終端進(jìn)一步提示用戶輸入一個用戶操作密碼,以表明用戶有權(quán)進(jìn)行這項(xiàng)設(shè)置。在用戶輸入用戶操作密碼后,移動終端程序會判斷用戶輸入的用戶操作密碼是否正確,如果正確執(zhí)行后續(xù)步驟,否則向用戶返回密碼輸入錯誤的消息,并結(jié)束本流程。
實(shí)際當(dāng)中,用戶操作密碼可以設(shè)置在安全芯片,以保證用戶操作密鑰的安全性。相應(yīng)的,在用戶輸入用戶操作密碼后,移動終端程序會將用戶輸入的用戶操作密鑰傳送給安全芯片,并由安全芯片判斷用戶輸入的用戶操作密碼是否正確,并將判斷結(jié)果傳送給移動終端程序,以顯示給用戶;如果安全芯片判斷用戶輸入的用戶操作密碼正確,則允許對安全芯片進(jìn)行相關(guān)訪問操作。
在本發(fā)明中,也可以對隨機(jī)數(shù)進(jìn)行一個摘要計(jì)算得到摘要計(jì)算結(jié)果,然后將該摘要計(jì)算結(jié)果作為新的隨機(jī)數(shù),也就是隨機(jī)信息發(fā)送給另一方。具體地說,本發(fā)明提出了如圖4所示的第二種方法。
在步驟401,移動終端生成一個隨機(jī)數(shù),并向用戶卡發(fā)送該隨機(jī)數(shù)。此步驟可以是在用戶設(shè)置需要進(jìn)行移動終端用戶合法性驗(yàn)證操作時開始執(zhí)行。
在步驟402,用戶卡接收到該隨機(jī)數(shù)后,對隨機(jī)數(shù)進(jìn)行計(jì)算得到一個計(jì)算結(jié)果。該計(jì)算可以是摘要計(jì)算,并且,在進(jìn)行摘要計(jì)算時,可以引入KI、KC、IMSI、IMEI等信息中的一個或任意幾個組合等參與計(jì)算。
在步驟403,用戶卡使用該計(jì)算結(jié)果和自己保存的KI以及IMSI等等進(jìn)行聯(lián)合計(jì)算得到一個聯(lián)合計(jì)算結(jié)果,然后將摘要計(jì)算結(jié)果和聯(lián)合計(jì)算結(jié)果同時傳送給移動終端。
在步驟404,移動終端向驗(yàn)證設(shè)備發(fā)送一個驗(yàn)證密鑰設(shè)置請求,在該請求中攜帶有步驟403從用戶卡接收的摘要計(jì)算結(jié)果,也就是隨機(jī)信息。
在步驟405,驗(yàn)證設(shè)備在接收到來自移動終端的驗(yàn)證密鑰設(shè)置請求后,從中提取出摘要計(jì)算結(jié)果,然后對該摘要計(jì)算結(jié)果和自己保存的對應(yīng)該移動終端的KI以及IMSI等等進(jìn)行聯(lián)合計(jì)算得到一個聯(lián)合計(jì)算結(jié)果,并將該聯(lián)合計(jì)算結(jié)果保存為用于驗(yàn)證移動終端用戶合法性的驗(yàn)證密鑰。然后向移動終端返回驗(yàn)證密鑰設(shè)置請求響應(yīng),其中攜帶有設(shè)置驗(yàn)證密鑰是否成功的信息。
在步驟406,移動終端接收到驗(yàn)證設(shè)備的響應(yīng)消息后,將來自用戶卡的聯(lián)合計(jì)算結(jié)果保存為用于驗(yàn)證移動終端用戶合法性的驗(yàn)證密鑰。
在第二種方法中,用戶卡在步驟402進(jìn)行的摘要計(jì)算和在步驟403進(jìn)行的聯(lián)合計(jì)算是分離進(jìn)行的,實(shí)際當(dāng)中,這種分離進(jìn)行的計(jì)算可能會對效率產(chǎn)生一定影響,或者增加實(shí)現(xiàn)的復(fù)雜度。實(shí)際當(dāng)中,可以通過算法設(shè)計(jì)將這兩個計(jì)算步驟合成為一個,為此,本發(fā)明提出了如圖5所示的第三種方法。
在步驟501,移動終端生成一個隨機(jī)數(shù),并向用戶卡發(fā)送該隨機(jī)數(shù)。此步驟可以是在用戶設(shè)置需要進(jìn)行移動終端用戶合法性驗(yàn)證操作時開始執(zhí)行。
在步驟502,用戶卡接收到該隨機(jī)數(shù)后,對隨機(jī)數(shù)和移動終端相關(guān)信息,例如KI以及IMSI等等進(jìn)行聯(lián)合計(jì)算得到一個第一計(jì)算結(jié)果,同時對隨機(jī)數(shù)進(jìn)行摘要計(jì)算得到一個第二計(jì)算結(jié)果。摘要計(jì)算時可以引入KI、KC、IMSI、IMEI等信息中的一個或任意幾個組合等參與計(jì)算。
在步驟503,用戶卡將第一計(jì)算結(jié)果和第二計(jì)算結(jié)果同時傳送給移動終端。
在步驟504,移動終端向驗(yàn)證設(shè)備發(fā)送一個驗(yàn)證密鑰設(shè)置請求,在該請求中攜帶有步驟503從用戶卡接收的第二計(jì)算結(jié)果,也就是隨機(jī)信息。
在步驟505,驗(yàn)證設(shè)備在接收到來自移動終端的驗(yàn)證密鑰設(shè)置請求后,從中提取出第二計(jì)算結(jié)果,然后對該第二計(jì)算結(jié)果和自己保存的對應(yīng)該移動終端的相關(guān)信息,例如KI以及IMSI等等進(jìn)行聯(lián)合計(jì)算得到一個聯(lián)合計(jì)算結(jié)果,并將該聯(lián)合計(jì)算結(jié)果保存為用于驗(yàn)證移動終端用戶合法性的驗(yàn)證密鑰。然后向移動終端返回驗(yàn)證密鑰設(shè)置請求響應(yīng),其中攜帶有設(shè)置驗(yàn)證密鑰是否成功的信息。
在步驟506,移動終端接收到驗(yàn)證設(shè)備的響應(yīng)消息后,將來自用戶卡的第一計(jì)算結(jié)果保存為用于驗(yàn)證移動終端用戶合法性的驗(yàn)證密鑰。當(dāng)然,保存所述驗(yàn)證密鑰前提應(yīng)該是接收到驗(yàn)證設(shè)備響應(yīng)了設(shè)置驗(yàn)證密鑰成功的消息。
在上述方法中,移動終端保存的驗(yàn)證密鑰是第一計(jì)算結(jié)果,而驗(yàn)證設(shè)備保存的驗(yàn)證密鑰是對第二計(jì)算結(jié)果進(jìn)行進(jìn)一步計(jì)算得到的聯(lián)合計(jì)算結(jié)果,驗(yàn)證設(shè)備計(jì)算得到的該聯(lián)合計(jì)算結(jié)果和用戶卡計(jì)算得到的第一計(jì)算結(jié)果要滿足對稱密鑰的關(guān)系。比如,實(shí)際當(dāng)中,可以將用戶卡根據(jù)隨機(jī)數(shù)計(jì)算得到第二計(jì)算結(jié)果的步驟稱為步驟s1,將從第二計(jì)算結(jié)果進(jìn)行計(jì)算得第一計(jì)算結(jié)果的步驟稱為s2,將從隨機(jī)數(shù)計(jì)算得到第一計(jì)算結(jié)果的步驟稱為s3,這樣,s3就是執(zhí)行了s1之后再執(zhí)行s2的結(jié)果。相應(yīng)的,驗(yàn)證設(shè)備根據(jù)第二計(jì)算結(jié)果,通過執(zhí)行步驟s2既可以得到和用戶卡執(zhí)行s3得到的計(jì)算結(jié)果一樣的計(jì)算結(jié)果。
同樣,如果將用戶卡根據(jù)隨機(jī)數(shù)計(jì)算得到第一計(jì)算結(jié)果的步驟稱為步驟s1,將用戶卡從第一計(jì)算結(jié)果進(jìn)行計(jì)算得第二計(jì)算結(jié)果的步驟稱為s2;將驗(yàn)證設(shè)備從第二計(jì)算結(jié)果計(jì)算得到所述聯(lián)合計(jì)算結(jié)果的步驟稱為s3,這樣,如果s3就是執(zhí)行了s2的逆步驟,那么,s3就能夠從第二計(jì)算結(jié)果計(jì)算出第一計(jì)算結(jié)果,并以此計(jì)算結(jié)果來作為驗(yàn)證設(shè)備的聯(lián)合計(jì)算結(jié)果。
實(shí)際當(dāng)中,可能因?yàn)樗惴ㄔO(shè)計(jì)演變出各種不同的步驟,但其核心思想?yún)s都是在本發(fā)明方法的框架之下。
上述各個實(shí)施例中,所述對應(yīng)該移動終端的KI、KC以及IMSI信息實(shí)際上是移動終端中當(dāng)前用戶卡中的KI、KC和IMSI信息。所述的聯(lián)合計(jì)算可以是摘要計(jì)算,也可以是加密計(jì)算。
在上述各個實(shí)施例中,移動終端和驗(yàn)證設(shè)備保存的驗(yàn)證密鑰可以是相同的,也可以不同,而只要滿足預(yù)先設(shè)定的關(guān)系或者從一個驗(yàn)證密鑰簡單地推導(dǎo)出另外一個密鑰即可,也即,兩個密鑰滿足對稱密鑰關(guān)系即可。由于對稱密鑰是本領(lǐng)域技術(shù)人員公知常識,這里不再詳細(xì)敘述。
可以理解,以上所述僅為本發(fā)明的較佳實(shí)施例,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1.一種移動終端和驗(yàn)證設(shè)備的驗(yàn)證密鑰設(shè)置方法,至少包括a.移動終端和驗(yàn)證設(shè)備中的一個生成一個隨機(jī)數(shù),并將對應(yīng)該隨機(jī)數(shù)的隨機(jī)信息發(fā)送到移動終端和驗(yàn)證設(shè)備中的另一個;b.移動終端和驗(yàn)證設(shè)備中的一個對該隨機(jī)數(shù)和移動終端相關(guān)信息進(jìn)行聯(lián)合計(jì)算,或者對隨機(jī)信息和移動終端相關(guān)信息進(jìn)行聯(lián)合計(jì)算,生成并保存用于驗(yàn)證移動終端用戶合法性的驗(yàn)證密鑰,移動終端和驗(yàn)證設(shè)備中的另一個對該隨機(jī)信息和移動終端相關(guān)信息進(jìn)行聯(lián)合計(jì)算,生成并保存相應(yīng)的驗(yàn)證密鑰。
2.根據(jù)權(quán)利要求1所述的驗(yàn)證密鑰設(shè)置方法,其特征是,所述隨機(jī)信息和隨機(jī)數(shù)相同,步驟a為移動終端生成一個隨機(jī)數(shù)并將該隨機(jī)數(shù)發(fā)送給驗(yàn)證設(shè)備。
3.根據(jù)權(quán)利要求2所述的驗(yàn)證密鑰設(shè)置方法,其特征是,所述發(fā)送隨機(jī)數(shù)是將該隨機(jī)數(shù)包含在一個驗(yàn)證密鑰設(shè)置請求中進(jìn)行發(fā)送,該方法進(jìn)一步包括驗(yàn)證設(shè)備在保存驗(yàn)證密鑰之后向移動終端返回一個用于表明設(shè)置驗(yàn)證密鑰的操作是否成功的驗(yàn)證密鑰設(shè)置請求響應(yīng)消息。
4.根據(jù)權(quán)利要求1所述的驗(yàn)證密鑰設(shè)置方法,其特征是,所述隨機(jī)信息和隨機(jī)數(shù)相同,步驟a為驗(yàn)證設(shè)備生成一個隨機(jī)數(shù)并將該隨機(jī)數(shù)發(fā)送給移動終端。
5.根據(jù)權(quán)利要求4所述的驗(yàn)證密鑰設(shè)置方法,其特征是,在驗(yàn)證設(shè)備生成一個隨機(jī)數(shù)之前進(jìn)一步包括移動終端向驗(yàn)證設(shè)備發(fā)送一個驗(yàn)證密鑰設(shè)置請求,所述驗(yàn)證設(shè)備將隨機(jī)數(shù)發(fā)送給移動終端是將該隨機(jī)數(shù)包含在一個驗(yàn)證密鑰設(shè)置請求響應(yīng)中發(fā)送。
6.根據(jù)權(quán)利要求2或5所述的驗(yàn)證密鑰設(shè)置方法,其特征是,步驟a在接收到用戶要求進(jìn)行移動終端用戶合法性驗(yàn)證的設(shè)置之后執(zhí)行。
7.根據(jù)權(quán)利要求2或5所述的驗(yàn)證密鑰設(shè)置方法,其特征是,步驟b中移動終端根據(jù)隨機(jī)數(shù)生成用于驗(yàn)證移動終端用戶合法性的驗(yàn)證密鑰包括移動終端將隨機(jī)數(shù)發(fā)送給移動終端中的用戶卡;用戶卡使用自己保存的移動終端相關(guān)信息和所接收的隨機(jī)數(shù)進(jìn)行聯(lián)合計(jì)算,得到一個計(jì)算結(jié)果;用戶卡將所得到的計(jì)算結(jié)果發(fā)送給移動終端。
8.根據(jù)權(quán)利要求1所述的驗(yàn)證密鑰設(shè)置方法,其特征是,所述隨機(jī)信息和隨機(jī)數(shù)不同,步驟a為移動終端生成一個隨機(jī)數(shù),并對該隨機(jī)數(shù)進(jìn)行計(jì)算得到一個隨機(jī)信息,然后將該隨機(jī)信息發(fā)送給驗(yàn)證設(shè)備;在步驟b中移動終端對隨機(jī)信息和移動終端相關(guān)信息進(jìn)行計(jì)算得到驗(yàn)證密鑰。
9.根據(jù)權(quán)利要求8所述的驗(yàn)證密鑰設(shè)置方法,其特征是,所述移動終端根據(jù)隨機(jī)數(shù)進(jìn)行計(jì)算得到一個隨機(jī)信息并且對該隨機(jī)信息和移動終端相關(guān)信息進(jìn)行聯(lián)合計(jì)算生成驗(yàn)證密鑰包括移動終端將隨機(jī)數(shù)發(fā)送到移動終端中的用戶卡;用戶卡對隨機(jī)數(shù)進(jìn)行摘要計(jì)算,得到一個作為隨機(jī)信息的摘要計(jì)算結(jié)果;用戶卡對摘要計(jì)算結(jié)果和相應(yīng)的移動終端相關(guān)信息進(jìn)行聯(lián)合計(jì)算,得到一個聯(lián)合計(jì)算結(jié)果;用戶卡將摘要計(jì)算結(jié)果和聯(lián)合計(jì)算結(jié)果同時返回給移動終端;移動終端將接收自用戶卡的聯(lián)合計(jì)算結(jié)果保存為驗(yàn)證密鑰。
10.根據(jù)權(quán)利要求1所述的驗(yàn)證密鑰設(shè)置方法,其特征是,所述隨機(jī)信息和隨機(jī)數(shù)不同,步驟a為移動終端生成一個隨機(jī)數(shù),并對該隨機(jī)數(shù)進(jìn)行計(jì)算得到一個隨機(jī)信息,然后將該隨機(jī)信息發(fā)送給驗(yàn)證設(shè)備;在步驟b中移動終端對隨機(jī)數(shù)和移動終端相關(guān)信息進(jìn)行計(jì)算得到驗(yàn)證密鑰。
11.根據(jù)權(quán)利要求10所述的驗(yàn)證密鑰設(shè)置方法,其特征是,所述移動終端根據(jù)隨機(jī)數(shù)進(jìn)行計(jì)算得到一個隨機(jī)信息并且對該隨機(jī)數(shù)和移動終端相關(guān)信息進(jìn)行聯(lián)合計(jì)算生成驗(yàn)證密鑰包括移動終端將隨機(jī)數(shù)發(fā)送到移動終端中的用戶卡;用戶卡根據(jù)該隨機(jī)數(shù)和相應(yīng)的移動終端相關(guān)信息進(jìn)行聯(lián)合計(jì)算得到第一計(jì)算結(jié)果;用戶卡對隨機(jī)數(shù)進(jìn)行摘要計(jì)算,得到作為隨機(jī)信息的第二計(jì)算結(jié)果;用戶卡將兩個計(jì)算結(jié)果返回給移動終端;移動終端將第一計(jì)算結(jié)果保存為驗(yàn)證密鑰。
12.根據(jù)權(quán)利要求11所述的驗(yàn)證密鑰設(shè)置方法,其特征是,步驟b中驗(yàn)證設(shè)備對隨機(jī)信息和移動終端相關(guān)信息進(jìn)行聯(lián)合計(jì)算并生成驗(yàn)證密鑰是從第二計(jì)算結(jié)果計(jì)算得到第一計(jì)算結(jié)果,然后將得到的第一計(jì)算結(jié)果保存為驗(yàn)證密鑰。
13.根據(jù)權(quán)利要求1所述的驗(yàn)證密鑰設(shè)置方法,其特征是,所述移動終端中進(jìn)一步包括一個安全芯片,所述移動終端保存驗(yàn)證密鑰為將驗(yàn)證密鑰保存在所述安全芯片上。
14.根據(jù)權(quán)利要求13所述的驗(yàn)證密鑰設(shè)置方法,其特征是,在安全芯片預(yù)先設(shè)置用戶操作密碼,在將所述驗(yàn)證密鑰寫入安全芯片之前或接收到用戶的設(shè)置之后,進(jìn)一步包括提示用戶輸入表明用戶是否有權(quán)操作安全芯片的用戶操作密碼,然后判斷用戶輸入的用戶操作密碼是否正確,如果正確執(zhí)行步驟a,否則結(jié)束本流程。
15.根據(jù)權(quán)利要求1所述的驗(yàn)證密鑰設(shè)置方法,其特征是,所述移動終端相關(guān)信息是用戶卡的根密鑰KI、用戶卡的通信密鑰KC、用戶卡的國際移動用戶標(biāo)識IMSI、移動終端的國際移動設(shè)備標(biāo)識IMEI中的一種或者它們的任意組合。
16.根據(jù)權(quán)利要求1所述的驗(yàn)證密鑰設(shè)置方法,其特征是,在驗(yàn)證設(shè)備保存驗(yàn)證密鑰是按照終端身份信息保存對應(yīng)的計(jì)算得到的驗(yàn)證密鑰。
17.根據(jù)權(quán)利要求16所述的驗(yàn)證密鑰設(shè)置方法,其特征是,所述終端身份信息是用戶卡標(biāo)識信息、用戶終端號碼信息和移動終端標(biāo)識信息中的一種或者它們的任意組合。
18.根據(jù)權(quán)利要求1所述的驗(yàn)證密鑰設(shè)置方法,其特征是,所述驗(yàn)證設(shè)備是歸屬位置寄存器HLR、鑒權(quán)中心AC和設(shè)備標(biāo)識寄存器EIR中的一種。
全文摘要
本發(fā)明公開了一種移動終端和驗(yàn)證設(shè)備的驗(yàn)證密鑰設(shè)置方法,至少包括移動終端和驗(yàn)證設(shè)備中的一個生成一個隨機(jī)數(shù),并將對應(yīng)該隨機(jī)數(shù)的隨機(jī)信息發(fā)送到移動終端和驗(yàn)證設(shè)備中的另一個;移動終端和驗(yàn)證設(shè)備中的一個對該隨機(jī)數(shù)和移動終端相關(guān)信息進(jìn)行聯(lián)合計(jì)算,或者對隨機(jī)信息和移動終端相關(guān)信息進(jìn)行聯(lián)合計(jì)算,生成并保存用于驗(yàn)證移動終端用戶合法性的驗(yàn)證密鑰,移動終端和驗(yàn)證設(shè)備中的另一個對該隨機(jī)信息和移動終端相關(guān)信息進(jìn)行聯(lián)合計(jì)算,生成并保存相應(yīng)的驗(yàn)證密鑰。根據(jù)本發(fā)明的驗(yàn)證密鑰設(shè)置方法提高了移動終端用戶合法性驗(yàn)證的安全性,并因此提高了移動終端的防盜效果。
文檔編號H04L9/16GK1747384SQ20041007429
公開日2006年3月15日 申請日期2004年9月8日 優(yōu)先權(quán)日2004年9月8日
發(fā)明者王正偉, 黃迎新 申請人:華為技術(shù)有限公司