[发明专利]电信智能卡与移动终端互相认证绑定的方法及系统

说明书

技术领域

本发明涉及通信领域，尤其涉及电信智能卡与移动终端互相认证绑定的方法及系统。

背景技术

目前市场上常见的电信智能卡与移动终端绑定方法，有三种。电信智能卡为装载于移动终端中用于标识用户身份的卡，例如SIM(客户识别模块)卡、UIM(用户识别模块)卡。一种方法为基于硬件修改，改变芯片各脚顺序或者改变卡片物理尺寸形状，移动终端相应修改；第二种方法基于DES认证，移动终端及SIM/UIM软件增加DES算法，增加额外APDU指令来实现认证；第三中方法为上述两种软硬结合。

基于硬件修改的方法的缺点为，芯片管脚顺序和物理尺寸修改的锁定方法抗破解性差，用示波仪等设备很方便就能测出管脚顺序，并且由于此种方法需要芯片厂商修改传统生产工艺，给芯片生产带来了难题。

基于DES认证的缺点是，DES认证是对称式的，如果密钥的泄密，很难确定是电信智能卡厂商还是移动终端商泄密。

基于硬件修改及DES两种软硬结合方式的缺点为，硬件修改并不必要，抗破解性强度是由DES认证保证的，需要芯片厂商修改生产工艺，及泄密的可追溯性。

发明内容

为解决上述问题，本发明提供了电信智能卡与移动终端互相认证绑定的方法及系统，能够在进行认证的同时避免对硬件的修改。

本发明公开了一种电信智能卡与移动终端互相认证绑定的方法，

所用每组密钥表示为n×n的矩阵，每个元素为一支密钥；

所述方法包括：

步骤1，矩阵的一行密钥和一列密钥被分别分配给具有绑定关系的电信智能卡提供商和移动终端提供商；

步骤2，电信智能卡和移动终端中分别存储被分配的密钥和密钥的标识信息；

步骤3，认证过程中，电信智能卡和移动终端交互被分配的密钥的标识信息，通过所述标识信息得出使用的密钥，利用密钥完成认证。

所述步骤1进一步为，矩阵的一行密钥被分配给电信智能卡提供商，矩阵的一列密钥被分配给同电信智能卡提供商具有绑定关系的移动终端提供商；

所述步骤2进一步为，电信智能卡中存储矩阵对应的组号、被分配的行号、和被分配的行的密钥，移动终端中存储矩阵对应的组号、被分配的列号、和被分配的列的密钥；

所述步骤3中电信智能卡和移动终端交互被分配的密钥的标识信息，通过所述标识信息得出使用的密钥进一步为，

步骤21，电信智能卡插入移动终端上电后，启动认证，移动终端将存储的组号和列号传递给电信智能卡，电信智能卡确定接收的组号和自身的组号相同后，从存储的行的密钥中取同接收的列号所标识的列相交处的密钥为使用的密钥；

步骤22，电信智能卡将存储的组号和行号传递给移动终端，移动终端确定接收的组号和自身的组号相同后，从存储的列的密钥中取同接收的行号所标识的行相交处的密钥为使用的密钥。

所述步骤1进一步为，矩阵的一列密钥被分配给电信智能卡提供商，矩阵的一行密钥被分配给同电信智能卡提供商具有绑定关系的移动终端提供商；

所述步骤2进一步为，电信智能卡中存储矩阵对应的组号、被分配的列号、和被分配的列的密钥，移动终端中存储矩阵对应的组号、被分配的行号、和被分配的行的密钥；

所述步骤3中电信智能卡和移动终端交互被分配的密钥的标识信息，通过所述标识信息得出使用的密钥进一步为，

步骤31，电信智能卡插入移动终端上电后，启动认证，移动终端将存储的组号和行号传递给电信智能卡，电信智能卡确定接收的组号和自身的组号相同后，从存储的列的密钥中取同接收的行号所标识的行相交处的密钥为使用的密钥；

步骤32，电信智能卡将存储的组号和列号传递给移动终端，移动终端确定接收的组号和自身的组号相同后，从存储的行的密钥中取同接收的列号所标识的列相交处的密钥为使用的密钥。

所述步骤21中电信智能卡接收到组号和列号后还包括，

步骤41，将组号同自身存储的组号比较，如果不同，则确认没有使用的密钥，向移动终端返回报错指令，移动终端收到报错指令后，结束认证，提示卡片错误；如果相同，则进行后续步骤。

所述步骤31中电信智能卡接收到组号和行号后还包括，

步骤41，将组号同自身存储的组号比较，如果不同，则确认没有使用的密钥，向移动终端返回报错指令，移动终端收到报错指令后，结束认证，提示卡片错误；如果相同，则进行后续步骤。

所述步骤3中利用密钥完成认证进一步为

步骤61，移动终端将认证参数传递给电信智能卡，并应用所述认证参数和确定使用的密钥按CAVE算法进行计算；