[发明专利]利用嵌入式安全元件实现SIM卡数据安全防护方法

权利要求书

1.利用嵌入式安全元件实现SIM卡数据安全防护方法，其特征在于：所述方法包括：

采用嵌入式安全元件将SIM应用分为安全相关部分和非安全相关部分，实现虚拟化SIM卡；

调制解调器根据应用处理器的指令使用所述虚拟化SIM卡通过空中接口与网络侧交互；

调制解调器将原本发往物理SIM卡的指令发送给应用处理器；

由应用处理器根据发送给应用处理器的指令的安全属性分别进行安全防护处理和非安全防护处理；

其中，所述安全防护处理包括：安全数据个人化处理和安全数据使用处理；

所述安全数据个人化处理包括：用户开通适用SIM卡数据安全防护的业务功能；嵌入式安全元件可信业务管理平台通过安全客户端应用程序在嵌入式安全元件上创建与主安全域相关联的SIM安全域并产生随机的SIM安全域密钥；在嵌入式安全元件上使用SIM可信业务管理平台的公钥对SIM安全域密钥进行加密；将经SIM可信业务管理平台的公钥加密的SIM安全域密钥返回至嵌入式安全元件可信业务管理平台；嵌入式安全元件可信业务管理平台将经SIM可信业务管理平台的公钥加密的SIM安全域密钥发送给SIM可信业务管理平台；SIM可信业务管理平台建立与嵌入式安全元件上的SIM安全域的安全通道，在SIM可信业务管理平台上更新SIM安全域密钥并设置SIM卡保护密钥；SIM可信业务管理平台利用安全通道将SIM卡保护密钥发送至SIM安全域；利用SIM卡保护密钥对SIM卡安全数据进行加密保护；

所述安全数据使用处理包括：调制解调器登录网络；移动通信网络侧通过识别请求指令获取用户身份标识；移动通信网络侧下发鉴权请求指令及鉴权元组；安全相关部分的SIM应用根据网络侧给出的鉴权二元组(RAND，AUTN)，使用SIM卡保护密钥解密经加密的SIM卡安全数据后获取通信密钥；安全相关部分的SIM应用对鉴权二元组进行校验鉴权；网络侧在验证终端侧的RES与网络侧的XRES一致后，允许用户登网。

2.根据权利要求1所述利用嵌入式安全元件实现SIM卡数据安全防护方法，其特征在于：所述嵌入式安全元件可信业务管理平台创建所述SIM安全域后在所述SIM安全域安装安全相关部分的SIM应用并存储SIM卡安全数据，所述SIM卡安全数据包括用户身份标识、SIM卡通信密钥和接入网络列表。

3.根据权利要求1所述利用嵌入式安全元件实现SIM卡数据安全防护方法，其特征在于：所述利用SIM卡保护密钥对SIM卡安全数据进行加密保护包括：

安全客户端应用程序向安全相关部分的SIM应用发送SIM卡传输密钥生成请求；

安全相关部分的SIM应用产生临时传输密钥对，在SIM安全域内部保存传输密钥对的RSA私钥，并将传输密钥对的RSA公钥经SIM卡保护密钥进行签名保护的结果返回给安全客户端应用程序；

安全客户端应用程序向SIM可信业务管理平台发送SIM卡安全数据申请；

SIM可信业务管理平台对RSA公钥经SIM卡保护密钥进行签名保护的结果校验；

校验通过后将SIM卡安全数据通过SIM卡保护密钥和RSA公钥进行双重加密后经安全客户端应用程序转发给安全相关部分的SIM应用；

安全相关部分的SIM应用使用RSA私钥对双重加密的SIM卡安全数据解密后在嵌入式安全元件上的SIM安全域内保存经SIM卡保护密钥加密的SIM卡安全数据。

4.根据权利要求1所述利用嵌入式安全元件实现SIM卡数据安全防护方法，其特征在于：所述移动通信网络侧通过识别请求指令获取用户身份标识包括：

调制解调器将识别请求指令发送给应用处理器；

由应用处理器通过NFC控制器将识别请求指令发送给嵌入式安全元件的SIM安全域；

嵌入式安全元件的SIM安全域使用SIM卡保护密钥解密经加密的SIM卡安全数据；

获取用户身份标识；

通过应用处理器和调制解调器将用户身份标识返回给网络侧。