一种鉴权方法、鉴权系统及智能卡技术领域
本发明涉及移动通信中的鉴权技术,尤其涉及一种鉴权方法、鉴权系统及
智能卡。
背景技术
现有移动通信中,只有签约用户才能使用移动通信网络,用户签约后会获
得由运营商提供的一张智能卡,该智能卡中预置有用户登录网络的识别信息和
相关算法,在提供用于用户身份识别的智能卡时,运营商也会把该智能卡对应
的网络数据添加至网络侧的归属位置寄存器(HLR)/鉴权中心(Auc)中,并
根据用户需要开通相应的功能。
签约用户登录网络时,网络侧会通过HLR/Auc和智能卡预先定义的或协商
的算法和密钥,对智能卡进行身份识别,如果确认用户是签约用户,则网络侧
允许该用户登录并使用网络,否则,拒绝该用户登录网络。
可以看出,现有移动网络用户签约过程采用的是到运营商销售网点购买签
约的方式,在用户签约前,运营商需要在网络侧添加与智能卡对应的网络数据,
所以,受网络容量、资源等原因的限制,可销售的智能卡数量较少,导致不能
在超市等更广泛的公开销售点销售智能卡,从而不利于用户体验。
另外,随着M2M应用的不断推广,设备用智能卡使用量越来越多,提出
了智能卡内置和预装要求,但是目前并没有相关方案可以解决设备内置和预装
智能卡按需签约的难题。
发明内容
有鉴于此,本发明的主要目的在于提供一种鉴权方法、鉴权系统、智能卡
及终端,能使未签约的智能卡与网络侧交互完成鉴权,进而使用户取得网络合
法身份。
为达到上述目的,本发明的技术方案是这样实现的:
一种鉴权方法,包括:
归属位置寄存器HLR/鉴权中心Auc接收智能卡通过终端发送的鉴权请求
后,对所述智能卡进行鉴权,由于没有所述智能卡鉴权数据而判定所述智能卡
鉴权失败时,鉴权失败监视平台将所述智能卡的信息发送给业务支撑平台;
业务支撑平台判定所述智能卡的信息合法,则指示HLR/Auc创建相应的鉴
权数据;
HLR/Auc再次接收所述智能卡通过终端发送的鉴权请求,并根据所述创建
的鉴权数据对所述智能卡进行鉴权。
所述鉴权请求至少携带所述智能卡的国际移动用户识别IMSI码,
所述鉴权失败监视平台发送给业务支撑平台的所述智能卡的信息至少包
括:所述智能卡的IMSI码。
所述HLR/Auc对所述智能卡进行鉴权为:
HLR/Auc向所述智能卡发送鉴权命令,所述鉴权命令携带鉴权随机数;
所述智能卡根据所述鉴权随机数、以及自身保存的Ki和鉴权算法进行计
算,并将计算结果返回HLR/Auc;
HLR/Auc将所述计算结果与所述智能卡的鉴权数据进行比较,判断所述智
能卡是否鉴权成功。
所述业务支撑平台判定所述智能卡的信息合法为:判断本地是否存储有所
述智能卡的IMSI码,本地存储有所述智能卡的IMSI码,则所述智能卡的信息
合法,
所述业务支撑平台指示HLR/Auc创建相应的鉴权数据为:为所述智能卡的
IMSI码分配至少包括临时号码的临时数据;向HLR/Auc发送创建鉴权指令,
所述创建鉴权指令至少携带所述临时数据。
该方法还包括:
所述智能卡鉴权通过后,业务支撑平台以密文方式向所述智能卡发送验证
报文;
所述智能卡收到验证报文后解密,并根据预先约定的算法对所述验证报文
中的约定数据段进行计算,并返回计算结果;
业务支撑平台校验所述计算结果,计算结果正确,则向所述智能卡推送签
约页面,供用户进行签约选择。
该方法还包括:
业务支撑平台根据用户选择的号码判断是否需要更新所述智能卡中的数
据,需要更新所述智能卡中的数据时,组织写卡报文并以密文方式下发给所述
智能卡;
所述智能卡解密、校验后,更新自身的数据,并反馈更新结果。
该方法还包括:
业务支撑平台根据用户的选择重新组织鉴权数据,并将组织好的鉴权数据
发给HLR/Auc,由HLR/Auc更新相应的鉴权数据。
一种鉴权系统,包括:HLR/Auc、鉴权失败监视平台和业务支撑平台;其
中,
所述HLR/Auc,用于在接收到智能卡通过终端发送的鉴权请求后,对所述
智能卡进行鉴权;以及根据业务支撑平台的指示,创建相应的鉴权数据;
所述鉴权失败监视平台,用于在HLR/Auc由于没有所述智能卡鉴权数据而
判定所述智能卡鉴权失败时,将所述智能卡的信息发送给业务支撑平台;
所述业务支撑平台,用于在收到来自鉴权失败监视平台的智能卡的信息后,
判断所述智能卡的信息是否合法,判定所述智能卡的信息合法时,则指示
HLR/Auc创建相应的鉴权数据。
所述业务支撑平台,还用于在智能卡鉴权通过后,以密文方式向所述智能
卡发送验证报文;以及校验所述智能卡返回的计算结果,计算结果正确,则向
所述智能卡推送签约页面,供用户进行签约选择。
所述业务支撑平台,还用于根据用户选择的号码判断是否需要更新所述智
能卡中的数据,需要更新所述智能卡中的数据时,组织写卡报文并以密文方式
下发给所述智能卡。
所述业务支撑平台,还用于根据用户的选择重新组织鉴权数据,并将组织
好的鉴权数据发给HLR/Auc;
所述HLR/Auc,还用于根据来自业务支撑平台的鉴权数据更新相应的鉴权
数据。
所述HLR/Auc和鉴权失败监视平台合设。
一种智能卡,包括:
处理模块,用于生成向网络侧发送的、携带所述智能卡IMSI码的鉴权请
求,并通过通信模块传输给终端;以及通过通信模块从终端获取来自网络侧的
携带鉴权随机数的鉴权命令,根据所述鉴权随机数、以及自身保存的Ki和鉴权
算法进行计算,并将计算结果通过通信模块返回终端;以及通过通信模块从终
端获取来自网络侧的、密文方式的验证报文,对所述验证报文解密后,根据预
先约定的算法对所述验证报文中的约定数据段进行计算,并通过通信模块向终
端返回计算结果;
通信模块,所述处理模块与终端通信。
该智能卡还包括:
交互模块,用于通过通信模块从终端获取来自网络侧的签约页面,供用户
进行签约选择;以及将用户的选择结果通过通信模块返回终端。
所述处理模块,还用于通过通信模块从终端获取来自网络侧的、密文方式
的写卡报文,对所述写卡报文解密、校验后,更新自身的数据,并通过通信模
块向终端反馈更新结果。
一种终端,该终端用于向网络侧发送由智能卡生成的鉴权请求,所述鉴权
请求至少携带智能卡的IMSI码;以及将来自网络侧的携带鉴权随机数的鉴权
命令,或密文方式的验证报文转发给智能卡;以及将来自智能卡的计算结果返
回网络侧。
该终端还用于将来自网络侧的签约页面转发给智能卡,以及将来自智能卡
的用户的选择结果返回网络侧。
该终端还用于将来自网络侧的、密文方式的写卡报文转发给智能卡,以及
将智能卡的更新结果返回网络侧。
本发明提供的鉴权方法、鉴权系统、智能卡及终端,HLR/Auc接收智能卡
通过终端发送的鉴权请求后,对所述智能卡进行鉴权,由于没有所述智能卡鉴
权数据而判定所述智能卡鉴权失败时,鉴权失败监视平台将所述智能卡的信息
发送给业务支撑平台;业务支撑平台判定所述智能卡的信息合法,则指示
HLR/Auc创建相应的鉴权数据;HLR/Auc再次接收所述智能卡通过终端发送的
鉴权请求,并根据所述创建的鉴权数据对所述智能卡进行鉴权。本发明可以实
现在网络侧不预先配置用户网络数据的情况下,用户使用未签约的智能卡依然
能通过自身终端或他人终端完成鉴权过程并取得网络合法身份,从而能够扩大
智能卡销售数量及范围,提高智能卡销售的通用性和普及性,提高用户体验;
另一方面,随着M2M应用的不断推广,设备用智能卡使用量越来越多,提出
了智能卡内置和预装要求,本发明解决了设备内置和预装智能卡的按需签约难
题。
附图说明
图1为本发明适用的一种情况示意图;
图2为本发明适用的另一种情况示意图;
图3为本发明适用的再一种情况示意图;
图4为本发明鉴权方法流程示意图;
图5为本发明鉴权系统的结构示意图;
图6为本发明实施例1所述鉴权方法的实现流程示意图。
具体实施方式
本发明的基本思想是:HLR/Auc接收智能卡通过终端发送的鉴权请求后,
对所述智能卡进行鉴权;当由于没有所述智能卡鉴权数据而判定所述智能卡鉴
权失败时,鉴权失败监视平台将所述智能卡的信息发送给业务支撑平台;业务
支撑平台判定所述智能卡的信息合法,则指示HLR/Auc创建相应的鉴权数据;
HLR/Auc再次接收所述智能卡通过终端发送的鉴权请求,并根据所述创建的鉴
权数据对所述智能卡进行鉴权。
需要说明的是,本发明适用于图1所示机卡分离的情况,也适用于图2所
示终端中内置具有类似智能卡功能的设备的情况,还适用于图3所示终端包括
具有类似智能卡功能的软件模块的情况。为方便表述,下文基于图1所示机卡
分离的情况进行详细阐述,下述实现过程同样适用于其他几种适用情况的实现。
图4为本发明鉴权方法流程示意图,如图4所示,该方法包括:
步骤401:HLR/Auc接收智能卡通过终端发送的鉴权请求。
这里,所述鉴权请求至少携带所述智能卡的国际移动用户识别码
(International Mobile Subscriber Identification Number,IMSI码)
步骤402:HLR/Auc对所述智能卡进行鉴权。
这里,所述HLR/Auc对所述智能卡进行鉴权一般为:
HLR/Auc向所述智能卡发送鉴权命令,所述鉴权命令携带鉴权随机数;
所述智能卡根据所述鉴权随机数、以及自身保存的Ki和鉴权算法进行计
算,并将计算结果返回HLR/Auc;
HLR/Auc将所述计算结果与所述智能卡的鉴权数据进行比较,判断所述智
能卡是否鉴权成功。
步骤403:HLR/Auc由于没有所述智能卡的鉴权数据时,判定所述智能卡
鉴权失败。
步骤404:鉴权失败监视平台将所述智能卡的信息发送给业务支撑平台。
步骤405:业务支撑平台判定所述智能卡的信息合法,则指示HLR/Auc创
建相应的鉴权数据。
这里,所述业务支撑平台判定所述智能卡的信息合法一般为:判断本地是
否存储有所述智能卡的IMSI码,本地存储有所述智能卡的IMSI码,则所述智
能卡的信息合法。
所述业务支撑平台指示HLR/Auc创建相应的鉴权数据为:为所述智能卡的
IMSI码分配至少包括临时号码的临时数据;向HLR/Auc发送创建鉴权指令,
所述创建鉴权指令至少携带所述临时数据。实际上,在创建鉴权数据的时候至
少是分两次执行的,第一次是创建鉴权,包括IMSI、Ki,第二次是包括号码等
数据,第二次包括临时号码的创建指令是对HLR操作的。
步骤406:HLR/Auc再次接收智能卡通过终端发送的鉴权请求。
步骤407:HLR/Auc根据所述创建的鉴权数据对所述智能卡进行鉴权,鉴
权成功后,相应的用户取得网络合法身份。
需要说明的是,该步骤中HLR/Auc对智能卡的鉴权原理与步骤402相同。
需要说明的是,该方法还可以包括:
所述智能卡鉴权通过后,业务支撑平台以密文方式向所述智能卡发送验证
报文;
所述智能卡收到验证报文后解密,并根据预先约定的算法,对所述验证报
文中的约定数据段进行计算,并返回计算结果;
业务支撑平台校验所述计算结果,计算结果正确,则向所述智能卡推送签
约页面,供用户进行签约选择。
需要说明的是,该方法还可以包括:
业务支撑平台根据用户选择的号码判断是否需要更新所述智能卡中的数
据,需要更新所述智能卡中的数据时,则组织写卡报文并以密文方式下发给所
述智能卡;
所述智能卡解密、校验后,更新自身的数据,并反馈更新结果。
需要说明的是,该方法还可以包括:
业务支撑平台根据用户的选择重新组织鉴权数据,并将组织好的鉴权数据
发给HLR/Auc,由HLR/Auc更新相应的鉴权数据。
需要说明的是,加密算法及加密报文非本发明必备要求,不过为了安全性
考虑,建议采用加密算法及加密报文。
本发明还相应提出了一种鉴权系统,图5为本发明鉴权系统的结构示意图,
如图5所示,该鉴权系统包括:HLR/Auc、鉴权失败监视平台和业务支撑平台;
其中,
所述HLR/Auc,用于在接收到智能卡通过终端发送的鉴权请求后,对所述
智能卡进行鉴权;以及根据业务支撑平台的指示,创建相应的鉴权数据;
所述鉴权失败监视平台,用于在HLR/Auc由于没有智能卡鉴权数据而判定
所述智能卡鉴权失败时,将所述智能卡的信息发送给业务支撑平台;
所述业务支撑平台,用于在收到来自鉴权失败监视平台的智能卡的信息后,
判断所述智能卡的信息是否合法,判定所述智能卡的信息合法时,则指示
HLR/Auc创建相应的鉴权数据。
其中,所述HLR/Auc接收的鉴权请求至少携带所述智能卡的IMSI码;所
述鉴权失败监视平台发送给业务支撑平台的所述智能卡的信息至少包括:所述
智能卡的IMSI码。
所述HLR/Auc对智能卡进行鉴权为:
HLR/Auc向所述智能卡发送鉴权命令,所述鉴权命令携带鉴权随机数;
所述智能卡根据所述鉴权随机数、以及自身保存的Ki和鉴权算法进行计
算,并将计算结果返回HLR/Auc;
HLR/Auc将所述计算结果与所述智能卡的鉴权数据进行比较,判断所述智
能卡是否鉴权成功。
所述业务支撑平台判断所述智能卡的信息是否合法为:判断本地是否存储
有所述智能卡的IMSI码。
所述业务支撑平台指示HLR/Auc创建相应的鉴权数据为:为所述智能卡的
IMSI码分配至少包括临时号码的临时数据;向HLR/Auc发送创建鉴权指令,
所述创建鉴权指令至少携带所述临时数据。
所述业务支撑平台,还用于在智能卡鉴权通过后,以密文方式向所述智能
卡发送验证报文;以及校验所述智能卡返回的计算结果,计算结果正确,则向
所述智能卡推送签约页面,供用户进行签约选择。
所述业务支撑平台,还用于根据用户选择的号码判断是否需要更新所述智
能卡中的数据,需要更新所述智能卡中的数据,则组织写卡报文并以密文方式
下发给所述智能卡。
所述业务支撑平台,还用于根据用户的选择重新组织鉴权数据,并将组织
好的鉴权数据发给HLR/Auc;
所述HLR/Auc,还用于根据来自业务支撑平台的鉴权数据更新相应的鉴权
数据。
所述HLR/Auc可以与鉴权失败监视平台合设。
本发明还相应地提出了一种智能卡,该智能卡包括:
处理模块,用于生成向网络侧发送的、携带所述智能卡IMSI码的鉴权请
求,并通过通信模块传输给终端;以及通过通信模块从终端获取来自网络侧的
携带鉴权随机数的鉴权命令,根据所述鉴权随机数、以及自身保存的Ki和鉴权
算法进行计算,并将计算结果通过通信模块返回终端;以及通过通信模块从终
端获取来自网络侧的、密文方式的验证报文,对所述验证报文解密后,根据预
先约定的算法对所述验证报文中的约定数据段进行计算,并通过通信模块向终
端返回计算结果;
通信模块,所述处理模块与终端通信。
可选的,该智能卡还包括:
交互模块,用于通过通信模块从终端获取来自网络侧的签约页面,供用户
进行签约选择;以及将用户的选择结果通过通信模块返回终端。
可选的,所述处理模块,还用于通过通信模块从终端获取来自网络侧的、
密文方式的写卡报文,对所述写卡报文解密、校验后,更新自身的数据,并通
过通信模块向终端反馈更新结果。
本发明还相应地提出了一种终端,该终端用于向网络侧发送由智能卡生成
的鉴权请求,所述鉴权请求至少携带智能卡的IMSI码;以及将来自网络侧的
携带鉴权随机数的鉴权命令,或密文方式的验证报文转发给智能卡;以及将来
自智能卡的计算结果返回网络侧;
可选的,该终端还用于将来自网络侧的签约页面转发给智能卡,以及将来
自智能卡的用户的选择结果返回网络侧。
可选的,该终端还用于将来自网络侧的、密文方式的写卡报文转发给智能
卡,以及将智能卡的更新结果返回网络侧。
需要说明的是,本发明中所述的智能卡预置有IMSI码、Ki等鉴权数据和
鉴权算法,且具备自我更新IMSI码等鉴权数据功能;为确保数据传输安全,
智能卡具有对称或非对称解密算法及功能。通常,对报文中除报文头外,包括
指令在内的敏感数据体使用上述算法和密钥加密,数据到达智能卡后,智能卡
对文头进行解密,并根据指令内容执行包括更新IMSI码、Ki在内的数据。
根据之前描述,可以看出,HLR/Auc主要负责网络对用户身份进行合法性
认证,保存有签约用户的个性化数据、认证算法,以全球移动通讯系统(Global
System of Mobile communication,GSM)网络为例,HLR/Auc中保存有签约用
户的IMSI码、Ki和鉴权算法,并产生用于鉴权的随机数组。
业务支撑平台为满足部分用户需求,为该部分用户使用的智能卡建立数据
库,保存有提供给该用户群的智能卡预置的IMSI码、Ki等鉴权数据。业务支
撑平台接收鉴权失败监视平台传送过来的鉴权失败用户使用的智能卡的IMSI
码等信息,并核对该IMSI码等数据的合法性。检验通过后随机选择一个可以
匹配的号码,通过与鉴权中心的接口为该用户创建鉴权数据。在该用户建立无
线链路后,主动向该用户发起无线数据链接,根据用户选择和输入的数据,并
根据需要开通业务或将更新命令打包、加密后发送至该用户使用的智能卡,以
更新该智能卡IMSI码等数据,同时删除鉴权中心的临时数据,创建新的鉴权
数据,从而使该用户取得合法身份。
下面结合具体实施例对本发明的技术方案作进一步详细说明。
实施例1
本实施例以用户A使用SIM卡B为例,说明用户A由非签约用户取得合
法身份的具体流程。图6为本发明实施例1所述的鉴权方法流程示意图,如图
6所示,该方法包括:
步骤1:非签约用户A使用SIM卡B,开机尝试登录网络;
步骤2:SIM卡B通过终端向HLR/Auc发起鉴权请求;
步骤3:HLR/Auc发起网络鉴权;
步骤4:HLR/Auc向终端发送鉴权命令,该鉴权命令携带鉴权随机数;
步骤5:终端将HLR/Auc发来的鉴权命令传输给SIM卡B,SIM卡B使用
其中携带的鉴权随机数、以及自身保存的Ki和鉴权算法进行计算;
步骤6:终端将SIM卡B的计算结果返回HLR/Auc;
步骤7:由于用户A是非签约用户,HLR/Auc没有SIM卡B的鉴权数据,
导致SIM卡B鉴权失败,从而拒绝用户A登录网络;
步骤8:鉴权失败监视平台检测到鉴权失败用户;
步骤9:鉴权失败监视平台将该失败用户A使用的SIM卡B的IMSI码等
数据发送给业务支撑平台;
步骤10:业务支撑平台接收到鉴权失败监视平台发来的IMSI码等数据,
在数据库中核对该IMSI码的合法性;如果检索到SIM卡B的IMSI码数据,
则说明用户A使用SIM卡B登录网络主动签约;
步骤11:根据用户A的需求,业务支撑平台根据IMSI码组织包括临时号
码在内的临时数据;
步骤12:业务支撑平台向HLR/Auc发送创建鉴权指令,该创建鉴权指令
携带所述组织的临时数据;
步骤13:HLR/Auc根据所述创建鉴权指令建立鉴权数据;
步骤14:用户A使用SIM卡B重新开机;
步骤15~19:重复步骤2~6的鉴权过程;
步骤20:由于HLR/Auc已为该SIM卡B创建了鉴权数据,用户A通过鉴
权并成功登录网络;
步骤21:为进一步验证SIM卡B的合法性,业务支撑平台通过临时网络
链路以密文方式向SIM卡B发送验证报文;
步骤22:SIM卡B收到验证报文后解密,并根据预先约定的算法,对
HLR/Auc发来的报文中的约定数据段进行计算,并返回计算结果;
步骤23:业务支撑平台校验SIM卡B返回的计算结果,结果正确时,向
用户A推送包括电子签约协议在内的签约页面;
步骤24:用户A根据页面提示,选择号码、业务、输入个人信息等;
步骤25:业务支撑平台根据用户A选择的号码判断是否需要更新SIM卡B
中的IMSI码等数据;如果需要,则组织写卡报文并以密文方式下发SIM卡B;
如果不需要,则更新SIM卡B数据,则转步骤30;
步骤26:SIM卡B解密、校验后,更新自己的IMSI码等数据,并反馈更
新结果;
步骤27:根据用户A步骤24的选择,重新组织鉴权数据;
步骤28:业务支撑平台将组织好的新鉴权数据发送给HLR/Auc;
步骤29:HLR/Auc使用用户A选择的对应的数据创建鉴权数据;
步骤30:用户A使用SIM卡B重新开机,以签约用户登录网络,用户A
使用SIM卡B由非签约用户转变为签约用户。
需要说明的是,除了GSM网络,本发明的技术方案还可应用于CDMA、
3G等移动通信网络。
可以看出,本发明通过主动获取鉴权失败用户数据,有选择地为用户智能
卡建立链路,并在该临时链路上完成用户鉴权、签约等功能,从而能够扩大智
能卡销售数量及范围,提高用户体验。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范
围。