智能卡與用戶識別模塊安全綁定的方法、系統和管理平臺的制作方法
【專利摘要】本發明公開了一種智能卡與用戶識別模塊安全綁定的方法、系統和管理平臺。移動終端和網絡側管理平臺之間建立基于智能卡的安全連接，通過該連接，終端側的用戶識別模塊與網絡側接入認證中心之間模擬接入認證流程，管理平臺根據認證結果和預先設定的綁定規則，判斷雙方的綁定關系是否合法，并將綁定結果通知智能卡，智能卡決定是否提供服務。該方法實現了移動終端智能卡與接入層身份綁定，限制智能卡在特定的移動終端上使用，從而起到智能卡防盜用、智能卡鎖定的作用，既增強智能卡的安全性，又可保障運營商的利益。
【專利說明】智能卡與用戶識別模塊安全綁定的方法、系統和管理平臺
【技術領域】
[0001]本發明涉及網絡與信息安全【技術領域】，特別涉及一種智能卡與用戶識別模塊安全 綁定的方法、系統和管理平臺。
【背景技術】
[0002]基于智能卡的身份認證、數字簽名技術可有效保障用戶密鑰安全，防止身份假 冒，在網絡安全領域得到較廣泛應用。在移動環境下，目前業界也在探索基于WM (User Identity Model,用戶識別模塊)/SIM (Subscriber Identity Module,用戶識別卡)或者 TF (TransFlash,閃存)/SD (Secure Digital Memory Card,安全數碼卡)卡的安全應用、 以及基于移動可信模塊(Mobile Trusted Module，MTM)的方案。
[0003]移動終端由于計算能力、接口限制等問題，通過可卸載的智能卡擴展其安全能力， 為運營商靈活開展安全型業務提供了一個技術選擇。
[0004]但現有的移動環境智能卡存在一些問題。例如，基于nM/SM的智能卡，由于不可 卸載，存在永遠在線攻擊的風險；對于可卸載的TF/SD卡,雖然增加了使用靈活性,但也增 加了智能卡被盜用的風險；TF/SD卡或MTM模塊，由于缺乏用戶接入身份信息，電信運營商
難以掌控。

【發明內容】

[0005]本發明的發明人發現上述現有技術中存在問題，并因此針對所述問題中的至少一 個問題提出了一種新的技術方案。
[0006]本發明的一個目的是提供一種用于移動終端智能卡與用戶識別模塊安全綁定的 技術方案。
[0007]根據本發明的第一方面，提供了一種移動終端智能卡與用戶識別模塊安全綁定方 法，包括:網絡側管理平臺和所述移動終端建立基于所述智能卡的安全連接；基于所述安 全連接在所述移動終端的用戶識別模塊與網絡側接入認證中心之間模擬接入認證流程；所 述網絡側管理平臺根據接入認證結果和預先設定的綁定規則，驗證所述智能卡和所述用戶 識別模塊之間的綁定關系，將綁定關系驗證結果發送給所述智能卡，以便所述智能卡根據 所述綁定關系驗證結果確定是否提供服務。
[0008]可選地，基于所述安全連接在終端側的用戶識別模塊與網絡側接入認證中心之間 模擬接入認證流程包括:所述網絡側管理平臺模擬移動通信網絡中VLR(Visitor Location Register，拜訪位置寄存器)網元的角色從接入認證中心取得認證向量，向所述移動終端的 客戶端程序發起認證請求；所述客戶端程序將認證請求提交給所述用戶識別模塊，得到所 述用戶識別模塊返回的認證響應；所述客戶端程序將所述認證響應經所述安全連接返回給 所述網絡側管理平臺；所述網絡側管理平臺確認消息合法后，將該響應提交給接入認證中 心進行驗證；所述網絡側管理平臺得到認證結果。
[0009]可選地，移動終端和網絡側管理平臺建立基于所述智能卡的安全連接包括:所述移動終端接入網絡后所述網絡側管理平臺對所述智能卡進行身份認證；所述智能卡身份認 證通過后，所述移動終端和所述網絡側管理平臺之間的通信關鍵信息分別由所述網絡側管 理平臺和所述智能卡進行加密、簽名，經所述網絡側管理平臺和所述智能卡確認。
[0010]可選地，關鍵信息包括所述移動終端的認證響應、所述網絡側管理平臺返回的綁 定關系驗證結果。
[0011]可選地，所述智能卡包括TF或SD接口的CPU卡、或移動可信模塊MTM ;和/或所 述用戶識別模塊包括 UIM、SIM、或 USIM (Universal Subscriber Identity Module,全球用 戶識別卡)。
[0012]可選地，綁定規則規定智能卡和與用戶信號信息相關的用戶或用戶群之間的綁定 關系，限制智能卡只能供特定的用戶、用戶群使用。
[0013]根據本發明的另一方面，提供一種網絡側管理平臺，應用于移動終端智能卡與用 戶識別模塊安全綁定，包括:安全連接建立模塊，用于和所述移動終端建立基于所述智能卡 的安全連接；接入認證模塊，用于基于所述安全連接在所述移動終端的用戶識別模塊與網 絡側接入認證中心之間模擬接入認證流程；綁定關系驗證模塊，用于根據接入認證結果和 預先設定的綁定規則，驗證所述智能卡和所述用戶識別模塊之間的綁定關系，將綁定關系 驗證結果發送給所述智能卡，以便所述智能卡根據所述綁定關系驗證結果確定是否提供服 務。
[0014]可選地，安全連接建立模塊包括:智能卡認證單元，用于在所述移動終端接入網絡 后對所述智能卡進行身份認證；關鍵信息保護模塊，用于所述智能卡身份認證通過后，對所 述移動終端和所述網絡側管理平臺之間的通信關鍵信息進行加密、簽名。
[0015]可選地，綁定關系驗證模塊包括:綁定規則存儲單元，用于存儲所述智能卡和所述 用戶識別模塊之間的綁定規則；綁定關系驗證單元，用于根據接入認證結果和預先設定的 綁定規則，驗證所述智能卡和所述用戶識別模塊之間的綁定關系，將綁定關系驗證結果發 送給所述智能卡，以便所述智能卡根據所述綁定關系驗證結果確定是否提供服務。
[0016]可選地，所述智能卡包括TF或SD接口的CPU卡、或移動可信模塊MTM ;和/或所 述用戶識別模塊包括nM、SM、或USIM。
[0017]可選地，綁定規則規定智能卡和與用戶信號信息相關的用戶或用戶群之間的綁定 關系，限制智能卡只能供特定的用戶、用戶群使用。
[0018]根據本發明的又一方面，提供一種移動終端智能卡與用戶識別模塊安全綁定系 統，包括:移動終端，所述移動終端包括智能卡和用戶識別模塊；以及上述的網絡側管理平 臺。
[0019]本發明的一個優點在于，將移動終端中智能卡與用戶識別模塊進行綁定，限制智 能卡只能在特定的終端上使用，既可防止智能卡被盜用、增強使用安全性。
[0020]通過以下參照附圖對本發明的示例性實施例的詳細描述，本發明的其它特征及其 優點將會變得清楚。
【專利附圖】

【附圖說明】
[0021]構成說明書的一部分的附圖描述了本發明的實施例，并且連同說明書一起用于解 釋本發明的原理。[0022]參照附圖，根據下面的詳細描述，可以更加清楚地理解本發明，其中:
[0023]圖1示出本發明的移動終端智能卡與用戶識別模塊安全綁定方法的一個實施例 的流程圖；
[0024]圖2示出本發明的移動終端智能卡與用戶識別模塊安全綁定方法的另一個實施 例的示意圖。
[0025]圖3示出本發明的移動終端智能卡與用戶識別模塊安全綁定方法的再一個實施 例的流程圖；
[0026]圖4示出本發明的移動終端智能卡與用戶識別模塊安全綁定方法的又一個實施 例的流程圖；
[0027]圖5示出本發明的網絡側管理平臺的一個實施例的結構圖；
[0028]圖6示出本發明的網絡側管理平臺的另一個實施例的結構圖。
【具體實施方式】
[0029]現在將參照附圖來詳細描述本發明的各種示例性實施例。應注意到:除非另外具 體說明，否則在這些實施例中闡述的部件和步驟的相對布置、數字表達式和數值不限制本 發明的范圍。
[0030]同時，應當明白，為了便于描述，附圖中所示出的各個部分的尺寸并不是按照實際 的比例關系繪制的。
[0031]以下對至少一個示例性實施例的描述實際上僅僅是說明性的，決不作為對本發明 及其應用或使用的任何限制。
[0032]對于相關領域普通技術人員已知的技術、方法和設備可能不作詳細討論，但在適 當情況下，所述技術、方法和設備應當被視為授權說明書的一部分。
[0033]在這里示出和討論的所有示例中，任何具體值應被解釋為僅僅是示例性的，而不 是作為限制。因此，示例性實施例的其它示例可以具有不同的值。
[0034]應注意到:相似的標號和字母在下面的附圖中表示類似項，因此，一旦某一項在一 個附圖中被定義，則在隨后的附圖中不需要對其進行進一步討論。
[0035]圖1示出本發明的移動終端智能卡與用戶識別模塊安全綁定方法的一個實施例 的流程圖。
[0036]如圖1所示，步驟102，移動終端和網絡側管理平臺之間建立基于智能卡的安全連 接。基于智能卡建立安全連接，可以通過多種現有方式實現。例如，對智能卡進行身份認證 通過后，通過加密或者簽名的方式實現移動終端和網絡側管理平臺之間的安全連接。
[0037]步驟104，基于安全連接在終端側的用戶識別模塊與網絡側接入認證中心之間模 擬接入認證流程。
[0038]步驟106，網絡側管理平臺根據接入認證結果和預先設定的綁定規則，驗證智能卡 和用戶識別模塊之間的綁定關系，將綁定關系驗證結果發送給智能卡。綁定規則可以規定 智能卡和與用戶信號信息(如 IMSI (International Mobile SubscriberIdentification Number,國際移動用戶識別碼)號)相關的用戶或用戶群之間的綁定關系，可以限制智能卡 只能供特定的用戶(群)使用，防止被該用戶(群)外其他用戶盜用。
[0039]由網絡側管理平臺實現綁定關系驗證，管理平臺可以直接存儲智能卡信息，也可以從用戶識別模塊取得用戶號碼信息；需要時，可以根據用戶號碼信息從用戶資料庫中得 到更詳細的客戶信息。
[0040]綁定規則可根據業務需要靈活設定，例如智能卡和用戶號碼GMSI號)的綁定，限 制智能卡:(I)只能在特定運營商的手機上使用；或(2)只能由特定地區的用戶使用；或
(3)只能供特定的用戶使用(例如MSI對應號碼為的用戶專用)。智能卡還可 以和用戶屬性的綁定(根據接入號碼獲取用戶資料、業務信息等進行綁定):(I)只能供VIP 客戶使用(客戶級別為鉆石客戶、金牌客戶等)；(2)只能供某集團客戶使用。
[0041]步驟108，智能卡根據綁定關系驗證結果確定是否提供服務。驗證結果可以通知 智能卡所處終端環境(用戶識別模塊)是否合法。例如，可以用I表示成功，0表示失敗；也 可以定義“RESULT=SUCCESS”表示成功，“RESULT=FAILURE”表示失敗。如前所述，智能卡根 據實現中約定的協議，比如，用I表示成功，0表示失敗，或者“RESULT=SUCCESS”表示成功， “RESULT=FAILURE”表示失敗，驗證綁定是否成功；如果終端環境不合法，則鎖卡，拒絕提供 服務(數據加密、數字簽名等服務)。智能卡對結果的驗證、以及決定是否提供服務，可以由 智能卡內的COS (Chip Operating System,片內操作系統)系統實現。
[0042]上述實施例中，實現了移動終端智能卡與用戶識別模塊的安全綁定，限制智能卡 在特定的移動終端上使用，從而起到智能卡防盜用、智能卡鎖定的作用。
[0043]圖2示出本發明的移動終端智能卡與用戶識別模塊安全綁定方法的另一個實施 例的示意圖。在圖2中，終端11包括智能卡111、用戶識別模塊112，此外，在終端11上還 可以實現客戶端程序113。終端側的智能卡111例如是TF、SD等接口擴展的CPU卡、或者是 移動可信模塊MTM。用戶識別模塊例如是UIM、SIM、USIM等移動用戶識別卡。智能卡和用 戶識別模塊是一個封閉環境，對于發行者來說，是安全、可控的環境，而移動終端操作環境、 以及其上的客戶端程序，是不可控環境，存在被病毒、木馬等惡意代碼篡改的風險。
[0044]在網絡側，管理平臺12負責對終端智能卡進行管理，并與智能卡之間共享安全信 息，該安全信息可以是僅由雙方共享的對稱密鑰，或者是對方的公鑰，對應的私鑰則由所有 者保存。雙方可通過用上述安全信息對消息加密、簽名并確認對方的身份。接入認證中 心13是指移動網絡中移動終端接入時，驗證用戶識別模塊合法性的HLR (Home Location Register,歸屬位置寄存器)、AuC (Authentication Center,鑒權中心)等網元。
[0045]該實施例針對該不可控終端環境下，實現智能卡與用戶識別模塊的可信、安全綁 定。
[0046]如圖2所示，步驟201，移動終端接入網絡，管理平臺驗證智能卡身份。管理平臺對 智能卡身份的驗證，可以采用對稱密鑰方式驗證，也可以采用RSA或SM4等算法的數字證書 進行身份驗證。
[0047]步驟202，驗證通過后，管理平臺與移動終端建立基于智能卡的安全連接，雙方通 信的關鍵信息分別由管理平臺和智能卡進行加密或簽名，并經對方解密或確認。
[0048]步驟203，管理平臺模擬移動通信網絡中VLR網元的角色，在上述連接上啟動對移 動終端的接入認證流程。即管理平臺從接入認證中心取得一組認證向量，向客戶端程序發 起認證請求，客戶端程序將請求提交給用戶識別模塊計算得到認證響應，管理平臺確認消 息合法后，將該響應提交給接入認證中心進行驗證；
[0049]步驟204，管理平臺根據接入認證中心驗證結果和預設的綁定規則，驗證雙方的綁定關系，并將結果返回給智能卡。
[0050]步驟205，智能卡驗證綁定結果，并決定是否提供服務。
[0051]上述實施例中，通過管理平臺與移動終端之間基于智能卡的安全連接，雙方通信 的關鍵信息分別由管理平臺和智能卡進行加密或簽名，進一步提高了安全性。
[0052]圖3示出本發明的移動終端智能卡與用戶識別模塊安全綁定方法的再一個實施 例的流程圖。在該實施例中，網絡側管理平臺與移動終端間通信由管理平臺和智能卡簽名 確認。網絡側管理平臺驗證智能卡合法性，并對移動終端進行接入認證和綁定關系驗證。
[0053]如圖3所示，步驟311，移動終端上的客戶端程序向網絡側管理平臺發起接入請 求。
[0054]步驟312，管理平臺向移動終端上的客戶端程序發起智能卡身份認證請求。
[0055]步驟313,客戶端程序向智能卡發送智能卡身份認證請求。
[0056]步驟314，智能卡生成身份認證信息。
[0057]步驟315，智能卡向客戶端程序發送智能卡身份認證響應，其中包括身份認證信
肩、O
[0058]步驟316，客戶端程序向管理平臺轉發智能卡身份認證響應。
[0059]步驟317，管理平臺驗證智能卡身份。智能卡身份驗證通過后，進行后續的過程。
[0060]步驟318，管理平臺向接入認證中心發送獲取認證向量請求。
[0061]步驟319,接入認證中心向管理平臺返回一組認證向量。
[0062]步驟320，管理平臺根據認證向量，生成接入認證請求發送給客戶端程序。
[0063]步驟321，客戶端程序將接入認證請求發送給用戶識別模塊。
[0064]步驟322，用戶識別模塊計算生成認證信息；
[0065]步驟323，用戶識別模塊向客戶端程序發送認證響應，將生成的接入認證信息返回 給客戶端程序。
[0066]步驟324，客戶端程序將認證響應提交給智能卡；
[0067]步驟325，智能卡對認證響應簽名。
[0068]步驟326，智能卡將簽名后的認證響應返回給客戶端程序。
[0069]步驟327，客戶端程序將簽名后的認證響應回復給管理平臺；
[0070]步驟328，管理平臺驗證簽名，驗證通過后管理平臺將認證響應交由接入認證中心 驗證。
[0071]步驟329，接入認證中心根據認證響應中的認證信息對用戶進行驗證。
[0072]步驟330,接入認證中心向管理平臺返回認證結果。
[0073]步驟331，管理平臺根據驗證結果和預先設定的綁定規則，確定綁定關系是否合 法。
[0074]步驟332，管理平臺將綁定驗證結果簽名后返回給客戶端程序。
[0075]步驟333，客戶端程序將簽名的綁定驗證結果提交給智能卡。
[0076]步驟334，智能卡對簽名進行驗證，并根據綁定驗證結果判斷終端的合法性，并決 定是否提供服務。
[0077]上述實施例中，通過對認證信息、綁定結果進行簽名驗證，提高了綁定的安全可 靠，防止綁定關系被偽造。[0078]圖4示出本發明的移動終端智能卡與用戶識別模塊安全綁定方法的又一個實施例的流程圖。
[0079]管理平臺與移動終端間通信由管理平臺和智能卡加密通信。管理平臺驗證智能卡合法后，對終端的認證和綁定驗證過程如下:
[0080]如圖4所示，步驟411，移動終端上的客戶端程序向網絡側管理平臺發起接入請求。
[0081]步驟412，管理平臺向移動終端上的客戶端程序發起智能卡身份認證請求。
[0082]步驟413,客戶端程序向智能卡發送智能卡身份認證請求。
[0083]步驟414，智能卡生成身份認證信息。
[0084]步驟415，智能卡向客戶端程序發送智能卡身份認證響應，其中包括身份認證信息。
[0085]步驟416，客戶端程序向管理平臺轉發智能卡身份認證響應。
[0086]步驟417，管理平臺驗證智能卡身份。智能卡身份驗證通過后，進行后續的過程。
[0087]步驟418，管理平臺向接入認證中心發送獲取認證向量請求。
[0088]步驟419,接入認證中心向管理平臺返回一組認證向量。
[0089]步驟420，管理平臺根據認證向量，生成加密后的接入認證請求發送給客戶端程序。
[0090]步驟421，客戶端程序將加密的接入認證請求發送給智能卡。
[0091]步驟422,智能卡對加密的接入認證請求進行解密。
[0092]步驟423，智能卡將解密后的認證請求返回給客戶端程序。
[0093]步驟424，客戶端程序將認證請求發送給用戶識別模塊.[0094]步驟425，用戶識別模塊計算生成認證信息。
[0095]步驟426，用戶識別模塊將認證信息通過認證響應返回給客戶端程序。
[0096]步驟427，客戶端程序將認證響應提交給智能卡。
[0097]步驟428,智能卡對認證響應進行加密。
[0098]步驟429，智能卡將加密后的認證響應返回給客戶端程序。
[0099]步驟430，客戶端程序將加密后的認證響應回復給管理平臺。
[0100]步驟431，管理平臺解密認證響應，并驗證其合法性；管理平臺將認證響應交由接入認證中心驗證。
[0101]步驟432,接入認證中心驗證用戶。
[0102]步驟433，接入認證中心將認證結果發送給管理平臺。
[0103]步驟434，管理平臺根據驗證結果和預先設定的綁定規則，確定綁定關系是否合法。
[0104]步驟435，管理平臺將綁定驗證結果加密后返回給客戶端程序。
[0105]步驟436，客戶端程序將加密的綁定驗證結果提交給智能卡。
[0106]步驟437，智能卡解密綁定驗證結果，根據綁定驗證結果判斷終端的合法性，并決定是否提供服務。
[0107]上述實施例中，通過對認證信息、綁定結果進行加密，提高了綁定的安全可靠，防止綁定關系被偽造。[0108]圖5示出本發明的網絡側管理平臺的一個實施例的結構圖。如圖5所示，該網絡 側管理平臺可應用于移動終端智能卡與用戶識別模塊安全綁定，包括:安全連接建立模塊 51，用于和移動終端建立基于智能卡的安全連接；接入認證模塊52，用于基于安全連接在 移動終端的用戶識別模塊與網絡側接入認證中心之間模擬接入認證流程；綁定關系驗證模 塊53，用于根據接入認證結果和預先設定的綁定規則，驗證智能卡和用戶識別模塊之間的 綁定關系，將綁定關系驗證結果發送給智能卡，以便智能卡根據綁定關系驗證結果確定是 否提供服務。智能卡例如包括TF或SD接口的CPU卡、或移動可信模塊MTM ;和/或用戶識 別模塊包括WM、SM、或USIM。綁定規則可以規定智能卡和與用戶信號信息相關的用戶或 用戶群之間的綁定關系，限制智能卡只能供特定的用戶、用戶群使用。
[0109]圖6示出本發明的網絡側管理平臺的另一個實施例的結構圖。如圖6所示，該實 施例中網絡側管理平臺包括:安全連接建立模塊61、接入認證模塊52、和綁定關系驗證模 塊63。其中，安全連接建立模塊61包括:智能卡認證單元611，用于在移動終端接入網絡后 對智能卡進行身份認證；關鍵信息保護模塊612，用于智能卡身份認證通過后，對移動終端 和網絡側管理平臺之間的通信關鍵信息進行加密、簽名。
[0110]在一個實施例中，綁定關系驗證模塊63包括:綁定規則存儲單元631，用于存儲智 能卡和用戶識別模塊之間的綁定規則；綁定關系驗證單元632，用于根據接入認證結果和 預先設定的綁定規則，驗證智能卡和用戶識別模塊之間的綁定關系，將綁定關系驗證結果 發送給智能卡，以便智能卡根據綁定關系驗證結果確定是否提供服務。
[0111]圖5-6實施例中管理平臺可以參見上文中關于方法的對應描述，為簡潔起見在此 不再詳細描述。
[0112]本文中的多個實施例實現了移動終端智能卡與用戶識別模塊的安全綁定，限制智 能卡在特定的移動終端上使用，從而起到智能卡防盜用、智能卡鎖定的作用，既增強智能卡 的安全性，又可保障運營商的利益。
[0113]至此，已經詳細描述了根據本發明的智能卡和用戶識別模塊安全綁定方法和系 統。為了避免遮蔽本發明的構思，沒有描述本領域所公知的一些細節。本領域技術人員根 據上面的描述，完全可以明白如何實施這里公開的技術方案。
[0114]可能以許多方式來實現本發明的方法和系統。例如，可通過軟件、硬件、固件或者 軟件、硬件、固件的任何組合來實現本發明的方法和系統。用于所述方法的步驟的上述順序 僅是為了進行說明，本發明的方法的步驟不限于以上具體描述的順序，除非以其它方式特 別說明。此外，在一些實施例中，還可將本發明實施為記錄在記錄介質中的程序，這些程序 包括用于實現根據本發明的方法的機器可讀指令。因而，本發明還覆蓋存儲用于執行根據 本發明的方法的程序的記錄介質。
[0115]雖然已經通過示例對本發明的一些特定實施例進行了詳細說明，但是本領域的技 術人員應該理解，以上示例僅是為了進行說明，而不是為了限制本發明的范圍。本領域的技 術人員應該理解，可在不脫離本發明的范圍和精神的情況下，對以上實施例進行修改。本發 明的范圍由所附權利要求來限定。
【權利要求】
1.一種移動終端智能卡與用戶識別模塊安全綁定方法，其特征在于，包括:網絡側管理平臺和所述移動終端建立基于所述智能卡的安全連接；基于所述安全連接在所述移動終端的用戶識別模塊與網絡側接入認證中心之間模擬接入認證流程；所述網絡側管理平臺根據接入認證結果和預先設定的綁定規則，驗證所述智能卡和所述用戶識別模塊之間的綁定關系，將綁定關系驗證結果發送給所述智能卡，以便所述智能卡根據所述綁定關系驗證結果確定是否提供服務。
2.如權利要求1所述的方法，其特征在于，所述基于所述安全連接在所述移動終端的用戶識別模塊與網絡側接入認證中心之間模擬接入認證流程包括:所述網絡側管理平臺模擬移動通信網絡中拜訪位置寄存器VLR網元的角色從接入認證中心取得認證向量，向所述移動終端的客戶端程序發起認證請求；所述客戶端程序將認證請求提交給所述用戶識別模塊，得到所述用戶識別模塊返回的認證響應；所述客戶端程序將所述認證響應經所述安全連接返回給所述網絡側管理平臺；所述網絡側管理平臺確認消息合法后，將該響應提交給接入認證中心進行驗證；所述網絡側管理平臺得到認證結果。
3.如權利要求1所述的方法，其特征在于，所述移動終端和網絡側管理平臺建立基于所述智能卡的安全連接包括:所述移動終端接入網絡后 所述網絡側管理平臺對所述智能卡進行身份認證；所述智能卡身份認證通過后，所述移動終端和所述網絡側管理平臺之間的通信關鍵信息分別由所述網絡側管理平臺和所述智能卡進行加密、簽名，經所述網絡側管理平臺和所述智能卡確認。
4.如權利要求3所述的方法，其特征在于，所述關鍵信息包括所述移動終端的認證響應、所述網絡側管理平臺返回的綁定關系驗證結果。
5.如權利要求1至4中任意一項所述的方法，其特征在于，所述智能卡包括閃存TF或安全數碼SD接口的CPU卡、或移動可信模塊MTM ；和/或所述用戶識別模塊包括用戶識別模塊WM、用戶識別卡SM、或全球用戶識別卡USM。
6.如權利要求1所述的方法，其特征在于，所述綁定規則規定智能卡和與用戶信號信息相關的用戶或用戶群之間的綁定關系，限制智能卡只能供特定的用戶、用戶群使用。
7.—種網絡側管理平臺，應用于移動終端智能卡與用戶識別模塊安全綁定，其特征在于，包括:安全連接建立模塊，用于和所述移動終端建立基于所述智能卡的安全連接；接入認證模塊，用于基于所述安全連接在所述移動終端的用戶識別模塊與網絡側接入認證中心之間模擬接入認證流程；綁定關系驗證模塊，用于根據接入認證結果和預先設定的綁定規則，驗證所述智能卡和所述用戶識別模塊之間的綁定關系，將綁定關系驗證結果發送給所述智能卡，以便所述智能卡根據所述綁定關系驗證結果確定是否提供服務。
8.如權利要求7所述的管理平臺，其特征在于，所述安全連接建立模塊包括:智能卡認證單元，用于在所述移動終端接入網絡后對所述智能卡進行身份認證；關鍵信息保護模塊，用于所述智能卡身份認證通過后，對所述移動終端和所述網絡側管理平臺之間的通信關鍵信息進行加密、簽名。
9.如權利要求7所述的管理平臺，其特征在于，所述綁定關系驗證模塊包括:綁定規則存儲單元，用于存儲所述智能卡和所述用戶識別模塊之間的綁定規則；綁定關系驗證單元，用于根據接入認證結果和預先設定的綁定規則，驗證所述智能卡和所述用戶識別模塊之間的綁定關系，將綁定關系驗證結果發送給所述智能卡，以便所述智能卡根據所述綁定關系驗證結果確定是否提供服務。
10.如權利要求7至9中任意一項所述的管理平臺，其特征在于，所述智能卡包括閃存TF或安全數碼SD接口的CPU卡、或移動可信模塊MTM ；和/或所述用戶識別模塊包括用戶識別模塊WM、用戶識別卡SM、或全球用戶識別卡USM。
11.如權利要求7所 述的管理平臺，其特征在于，所述綁定規則規定智能卡和與用戶信號信息相關的用戶或用戶群之間的綁定關系，限制智能卡只能供特定的用戶、用戶群使用。
12.—種移動終端智能卡與用戶識別模塊安全綁定系統，其特征在于，包括:移動終端，所述移動終端包括智能卡和用戶識別模塊；以及如權利要求7至11中任意一項所述的網絡側管理平臺。
【文檔編號】H04W12/02GK103581873SQ201210259827
【公開日】2014年2月12日 申請日期:2012年7月25日 優先權日:2012年7月25日
【發明者】劉國榮, 劉東鑫, 沈軍, 金華敏, 馮明, 汪來富 申請人:中國電信股份有限公司