[发明专利]验证终端设备和用户卡安全关联的方法、装置及系统

说明书

技术领域

本发明涉及移动通信安全技术领域，尤其涉及一种验证终端设备和用户卡安全的方法、装置及系统。

背景技术

现有的移动通信网络中，终端设备与用户卡之间不采用安全机制，用户可以将任意一张用户卡置于任意的终端设备当中，用户卡包括用户识别模块(SIM，Subscriber Identity Module)卡或者全球用户识别卡(USIM，Universal Subscriber Identity Module)卡等。这种使用方式在普通的应用场景下不存在安全问题，但是应用于物联网等无人值守的场景下可能存在安全问题，例如，攻击者可以通过物理接触方式破坏终端设备和用户卡之间的联系方式，使得特定的用户卡从相应的终端设备中被拔出，进而滥用用户卡或者终端设备。

为了在物联网等无人值守等场景下，保障特定的用户卡和相应的终端设备的安全使用，现有技术提出了以下两种解决方案：1、在终端设备和用户卡之间建立安全通道，使得终端设备和用户卡之间能够进行相互认证；2、在终端设备上预置用户卡的个人识别密码(PIN，Personal Identification Number)进行验证。上述第一种解决方案中，需要在用户卡上增加功能模块，用来建立安全通道，使得用户卡的功能变得更复杂；上述第二种解决方案中，由于PIN码密钥空间较短，攻击者可以尝试进行暴力破解，且只能进行终端设备对用户卡的单向认证，无法进行用户卡对终端设备的认证。从而，如何在不扩展用户卡功能的前提下，实现用户卡和终端设备的双向安全认证，成为现有技术中亟待解决的技术问题之一。

发明内容

本发明实施例提供一种验证用户卡和终端设备安全关联的方法、装置及系统，用以在不扩展用户卡功能的前提下，实现用户卡和终端设备的双向安全认证。

本发明实施例提供的验证终端设备和用户卡安全关联的方法，当终端设备接入核心网时，将自身的终端标识和自身内置的用户卡的用户卡标识及其对应的第一待验证终端标识发送给网络侧，网络侧根据用户卡标识在预先存储的用户卡标识与鉴权密钥标识的对应关系中，查找其对应的鉴权密钥，并利用查找到的鉴权密钥对终端标识和用户卡标识加密得到第二待验证终端标识，若第一待验证终端标识与第二待验证终端标识相同，则确定终端设备和用户卡安全关联验证通过，否则，确定终端设备和用户卡安全关联验证未通过。这样，由网络侧对终端设备和用户卡是否为安全关联进行验证，实现了对终端设备和用户卡的双向认证，且无需扩展用户卡功能。

本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。

附图说明

图1为本发明实施例中，验证终端设备和用户卡安全关联的系统的结构示意图；

图2为本发明实施例中，验证终端设备和用户卡安全关联的方法的实施流程示意图；

图3为本发明实施例中，终端设备和用户卡首次安全关联时的实施流程示意图；

图4为本发明实施例中，终端设备和用户卡非首次安全关联时的实施流程示意图；

图5为本发明实施例中，验证终端设备和用户卡安全关联的装置的结构示意图。

具体实施方式

现有技术中，验证用户卡和终端设备是否安全关联的方法要么需要扩展用户卡的功能，要么只能实现终端设备对用户卡的单向认证，而且现有技术的解决方案均为终端侧的解决方案，这些解决方案无法将用户卡和终端设备的验证结果告知网络侧，因此，在无人值守的物联网等应用场景下无法满足网络侧对终端设备进行异常检测的需求。

有鉴于此，本发明实施例提供一种验证用户卡和终端设备安全关联的方法、装置及系统，使得网络侧可以判断和获知用户卡和终端设备之间是否安全关联的验证结果，实现用户卡和终端设备的双向安全认证，并且在保证安全性的条件下无需对用户卡进行功能扩展。

以下结合说明书附图对本发明的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本发明，并不用于限定本发明，并且在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。

如图1所示，为本发明实施例提供的验证终端设备和用户卡安全关联的系统的结构示意图，包括终端设备101和核心网设备102，以及验证服务器103，其中，终端设备101中内置有用户卡。