專利名稱:基于可認證sd/mmc卡的ota認證方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種基于可認證SD/MMC卡的OTA認證方法�。
背景技術(shù):
在未來3G帶寬得到極大提升的情況下�,數(shù)據(jù)業(yè)務(wù)應(yīng)用將成為運營商利潤新的增 長點。由于運營商對終端的控制相對較弱�,而且定制終端的成本相對較大。而SIM卡或者 TF卡是由運營商發(fā)行���,受運營商控制。移動運營商急需要基于卡的方式來發(fā)布運營商特色 應(yīng)用的模式����,同時又要保證卡不被其他商業(yè)對手輕易利用��。本文基于可認證SD/MMC卡的 OTA認證技術(shù)�����,保證運營商發(fā)行的SD/MMC技術(shù)的卡在通過運營商的認證服務(wù)器認證后才能 使用�,充分的保證了運營商的權(quán)益。為便于理解本發(fā)明的一些名詞���,這里對其進行解釋SD卡(Secure Digital Memory Card)是一種基于半導(dǎo)體快閃記憶器的新一代記 憶設(shè)備��。SD卡由日本松下���、東芝及美國SanDisk公司于1999年8月共同開發(fā)研制。大小猶 如一張郵票的SD記憶卡���,重量只有2克�����,但卻擁有高記憶容量����、快速數(shù)據(jù)傳輸率、極大的移 動靈活性以及很好的安全性���。MMC (MultiMediaCard,多媒體存儲卡)由 SanDisk和 Siemens 公司在 1997 年發(fā)起���, 與傳統(tǒng)的移動存儲卡相比����,其最明顯的外在特征是尺寸更加微縮——只有普通的郵票大小 (是CF卡尺寸的1/5左右),外形尺寸只有32mmX 24mmX 1. 4mm,而其重量不超過2g��。這使 其成為世界上最小的半導(dǎo)體移動存儲卡�,它對于越來越追求便攜性的各類手持設(shè)備形成強 有力的支持。
發(fā)明內(nèi)容
本發(fā)明的技術(shù)解決問題是克服現(xiàn)有技術(shù)的不足�,提供一種基于可認證SD/MMC卡 的OTA認證方法,解決了 SD卡與特定運營商用戶或者特定運營商綁定的問題��,使得運營商 發(fā)行的SD卡只能在其許可范圍內(nèi)使用����。本發(fā)明的技術(shù)解決方案是本發(fā)明提供的一種基于可認證SD/MMC卡的OTA認證方 法�,參與該方法的有SD卡和/或MMC卡(以下將兩類卡統(tǒng)稱為SD卡)�、SIM卡、終端和服務(wù) 器��,所述方法包括系統(tǒng)初始化步驟���,服務(wù)器�、SD卡和SIM卡的相互鑒權(quán)認證步驟�,以及系統(tǒng) 授權(quán)步驟。其中��,所述系統(tǒng)初始化步驟包括(Al)移動終端開機�;(A2)移動終端給SD卡上電;(A3) SD卡的初始狀態(tài)置為只讀狀態(tài)�;(A4)移動終端向SD卡發(fā)送讀取FAT表的指令;(A5) SD卡向移動終端返回一個代表剩余空間為0�、內(nèi)容為空的虛擬的FAT表,此 FAT表并不真實地反應(yīng)實際存儲在SD卡上的文件情況���,這種狀態(tài)下����,移動終端無法讀取SD卡上實際存儲的文件內(nèi)容,也不能向SD卡寫入有效的數(shù)據(jù)�����;(A6)移動終端啟動服務(wù)器��、SD卡和SIM卡的相互鑒權(quán)認證步驟����。所述服務(wù)器、SD卡和SIM卡的相互鑒權(quán)認證步驟包括(Bi)移動終端向SIM卡發(fā)送讀取國際移動用戶識別碼IMSI的指令�����;(B2) SIM卡向移動終端返回IMSI ��;(B3)移動終端向服務(wù)器請求隨機數(shù)�����;(B4)服務(wù)器生成隨機數(shù)Rl��、R2����,并將隨機數(shù)Rl、R2返回到移動終端�����;(B5)移動終端發(fā)送隨機數(shù)Rl給SIM卡����,請求鑒權(quán);(B6) SIM卡采用預(yù)定的鑒權(quán)算法計算密鑰Kc和響應(yīng)數(shù)SRES����,并將密鑰Kc和響應(yīng) 數(shù)SRES返回到移動終端;(B7)移動終端將Rl�����、R2�����、Kc和SRES發(fā)送給SD卡�;(B8) SD卡生成隨機數(shù)R3、R4��,計算Ks和RES����,���;(B9) SD卡返回R3、R4和RES���,到移動終端���。(BlO)移動終端向服務(wù)器發(fā)送IMSI、R3��、R4和RES���,��;(Bll)服務(wù)器根據(jù)保存在其內(nèi)的SD卡的密鑰Km�����,按照SD卡計算RES’的算法計算 出驗證的RES,�����,將計算出的驗證的RES,與移動終端送來的RES����,進行比對,若二者相同���,則 計算RES”并將RES”返回給移動終端����;若二者不同�,則終止后續(xù)操作;(B 12)移動終端發(fā)送RES”給SD卡�����;(B13)SD卡計算RES”���,并將計算出的RES”與服務(wù)器送來的RES”進行比對�,如果相 同則服務(wù)器�����、SD卡和SIM卡的相互鑒權(quán)認證成功�����。所述系統(tǒng)授權(quán)步驟包括(Cl)如果服務(wù)器、SD卡和SIM卡的相互鑒權(quán)認證成功��,則SD卡置為可寫狀態(tài)��;(C2)移動終端刷新SD卡文件系統(tǒng)����;(C3) SD卡給出實際的FAT表,此FAT表反應(yīng)SD上真實的存儲內(nèi)容����。本發(fā)明與現(xiàn)有技術(shù)相比具有如下優(yōu)點本發(fā)明在可認證的SD/MMC卡的基礎(chǔ)上,設(shè)計了一套通過OTA(over theair)的方 式����,利用遠程的認證服務(wù)器,實現(xiàn)SD卡�����、SIM卡以及認證服務(wù)器的三方進行交互認證的方 法��。利用此方法�,SD卡、SIM卡以及認證服務(wù)器三方認證通過后�,SD卡可以正常使用,否則�����, SD卡不能被用戶正常使用��。這樣就可以保證運營上可以完全控制SD卡以及承載與SD卡上 的應(yīng)用����,充分保護運營上的利益。本發(fā)明的SD/MMC卡有區(qū)別于其他普通SD卡的認證技術(shù)�,它有一個特殊的認證模 塊,必須通過相關(guān)的認證后�,才可以被用戶使用。當沒有進行認證操作�,或者認證操作不成 功時,SD卡對外呈現(xiàn)的是虛擬的內(nèi)容為空�����,剩余空間為零文件系統(tǒng)�����,從而達到用戶無法正常 使用的效果。本發(fā)明不需要對現(xiàn)有的SIM卡進行改造���,SD卡與服務(wù)器是雙向認證�,并且可以靈 活地實現(xiàn)SD卡與特定的運營商用戶或者特定的運營商綁定����。
圖1為本發(fā)明工作時的系統(tǒng)部署結(jié)構(gòu)圖2為本發(fā)明的總體流程圖;圖3為本發(fā)明服務(wù)器���、SD卡和SIM卡的相互鑒權(quán)認證流程圖��。
具體實施例方式以下將結(jié)合附圖對本發(fā)明的具體實施方式
作一詳細說明��。如圖1所示���,本發(fā)明系統(tǒng)包括后臺認證服務(wù)器、手機終端代理程序����、SIM卡和SD卡 四部分。在SD卡發(fā)行時��,SD卡都會存入一個密鑰Km,用于使用過程中進行鑒權(quán)認證等計 算����。根據(jù)移動通信SIM卡技術(shù)規(guī)范��,SIM卡本身在發(fā)行時也會為不同的SIM卡分配不同的 密鑰Ki用于鑒權(quán)計算��,每張SIM卡用IMSI (國際移動用戶識別碼��,international mobile subscriber identity)唯一標識��。相應(yīng)的認證服務(wù)器端會保存SD卡密鑰Km以及每張SIM 卡的密鑰Ki�����,這樣�����,SIM卡和認證服務(wù)器以及SD卡和認證服務(wù)器都保存了共同的特定密鑰��, 這為后續(xù)的三者之間相互認證提供了基礎(chǔ)�。手機終端代理程序負責(zé)和SIM卡,SD卡以及后臺認證服務(wù)器進行通訊��,協(xié)調(diào)三者 的關(guān)系,并轉(zhuǎn)發(fā)三者之間的交互數(shù)據(jù)����。如圖2所示,本發(fā)明的總體流程如下(Al)移動終端開機�;(A2)移動終端給SD卡上電;(A3) SD卡的初始狀態(tài)置為只讀狀態(tài)����;(A4)移動終端向SD卡發(fā)送讀取FAT表的指令;(A5) SD卡向移動終端返回一個代表剩余空間為0��、內(nèi)容為空的虛擬的FAT表�����,此 FAT表并不真實地反應(yīng)實際存儲在SD卡上的文件情況��,這種狀態(tài)下�����,移動終端無法讀取SD 卡上實際存儲的文件內(nèi)容��,也不能向SD卡寫入有效的數(shù)據(jù)����;(A6)移動終端啟動服務(wù)器��、SD卡和SIM卡的相互鑒權(quán)認證步驟�。(B)服務(wù)器�����、SD卡和SIM卡的相互鑒權(quán)認證流程��。(Cl)如果服務(wù)器��、SD卡和SIM卡的相互鑒權(quán)認證成功�,則SD卡自動置為可寫狀 態(tài)�����;(C2)移動終端刷新SD卡文件系統(tǒng)�;(C3) SD卡給出實際的FAT表,此FAT表反應(yīng)SD上真實的存儲內(nèi)容�。如圖3所示,步驟(B)服務(wù)器���、SD卡和SI M卡的相互鑒權(quán)認證流程包括如下步驟(Bi)移動終端向SIM卡發(fā)送讀取國際移動用戶識別碼 IMSI (internationalmobile subscriber identity)的指令����;(B2) SIM卡向移動終端返回IMSI ;(B3)移動終端向服務(wù)器請求隨機數(shù)�;(B4)服務(wù)器生成隨機數(shù)Rl、R2��,并將隨機數(shù)Rl����、R2返回到移動終端;(B5)移動終端發(fā)送隨機數(shù)Rl給SIM卡����,請求鑒權(quán);(B6) SIM卡采用預(yù)定的鑒權(quán)算法計算Kc和SRES���,并將密鑰Kc和響應(yīng)數(shù)SRES返回 到移動終端�����;(B7)移動終端將Rl����、R2�、Kc和SRES發(fā)送給SD卡��;
(B8) SD卡生成隨機數(shù)R3�����、R4�����,計算Ks和RES�����,;Ks, RES��,���,Kc和SRES這些都是密碼算法的一些約定俗成的代號��,一般以K開頭的 是密鑰�,RES為響應(yīng)��,其本質(zhì)和方程式的X��、Y —樣,很難在前面加個漢語描述�����,即使加上也顯 得牽強��,故本發(fā)明直接以字符表示��。(Β9) SD卡返回R3����、R4和RES,到移動終端��。(BlO)移動終端向服務(wù)器發(fā)送IMSI��、R3��、R4和RES����,;(Bll)服務(wù)器根據(jù)保存在其內(nèi)的SD卡的密鑰Km���,按照SD卡計算RES’的算法計算 出RES��,����,將計算出的RES,與移動終端送來的RES����,進行比對,若二者相同����,則計算RES”并將 RES”返回給移動終端;若二者不同��,則終止后續(xù)操作�����;(B 12)移動終端發(fā)送RES”給SD卡�����;(B13)SD卡計算RES”��,并將計算出的RES”與服務(wù)器送來的RES”進行比對���,如果相 同則服務(wù)器���、SD卡和SIM卡的相互鑒權(quán)認證成功。本發(fā)明的三方認證算法中所有的密鑰在使用前均采用公開密鑰算法AES算法進 行密鑰分散��,同時計算認證結(jié)果時均采用公開散列算法md5算法����,對參與鑒權(quán)的各方產(chǎn)生 隨機數(shù)因子或者計算結(jié)果進行散列,然后利用分散得出的密鑰采用AES算法加密計算出最 終的認證結(jié)果或者響應(yīng)�����。具體地�����,Ks�、RES,��、RES”的生成算法如下Ks生成算法K = AES (Km, Rl)��,其中Km為SD卡中的密鑰Input = md5 (Kc | | Rl | | R2 | | SRES | | R3)����,Ks = AES (K, Input)RES����,生成算法K = AES (Km, Rl)�����,其中Km為SD卡中的密鑰Input = md5 (Kc | | Rl | | SRES | | R3)���,RES' = AES(K, Input)RES”生成算法RES” = AES(Ks�,R4)本發(fā)明說明書中未作詳細描述的內(nèi)容屬于本領(lǐng)域?qū)I(yè)技術(shù)人員公知技術(shù)����。上述實施例用來解釋說明本發(fā)明,而不是對本發(fā)明進行限制�����,在本發(fā)明的精神和 權(quán)利要求的保護范圍內(nèi)���,對本發(fā)明作出的任何修改和改變,都落入本發(fā)明的保護范圍���。
權(quán)利要求
基于可認證SD/MMC卡的OTA認證方法�,其特征在于包括系統(tǒng)初始化步驟,服務(wù)器��、SD卡和SIM卡的相互鑒權(quán)認證步驟�����,以及系統(tǒng)授權(quán)步驟���;其中�����,所述服務(wù)器�、SD卡和SIM卡的相互鑒權(quán)認證步驟包括(B1)移動終端向SIM卡發(fā)送讀取國際移動用戶識別碼IMSI的指令�����;(B2)SIM卡向移動終端返回IMSI���;(B3)移動終端向服務(wù)器請求隨機數(shù)�;(B4)服務(wù)器生成隨機數(shù)R1、R2�����,并將隨機數(shù)R1�、R2返回到移動終端;(B5)移動終端發(fā)送隨機數(shù)R1給SIM卡�,請求鑒權(quán);(B6)SIM卡采用預(yù)定的鑒權(quán)算法計算密鑰Kc和響應(yīng)數(shù)SRES�,并將密鑰Kc和響應(yīng)數(shù)SRES返回到移動終端;(B7)移動終端將R1��、R2�、Kc和SRES發(fā)送給SD卡;(B8)SD卡生成隨機數(shù)R3����、R4,計算Ks和RES’���;(B9)SD卡返回R3�、R4和RES’到移動終端�����。(B10)移動終端向服務(wù)器發(fā)送IMSI�����、R3����、R4和RES’;(B11)服務(wù)器根據(jù)保存在其內(nèi)的SD卡的密鑰Km�����,按照SD卡計算RES’的算法計算出RES’�����,將計算出的RES’與移動終端送來的RES’進行比對���,若二者相同��,則計算RES”并將RES”返回給移動終端���;若二者不同,則終止后續(xù)操作�;(B12)移動終端發(fā)送RES”給SD卡;(B13)SD卡計算RES”,并將計算出的RES”與服務(wù)器送來的RES”進行比對����,如果相同則服務(wù)器、SD卡和SIM卡的相互鑒權(quán)認證成功����。
2.根據(jù)權(quán)利要求1所述的基于可認證SD/MMC卡的OTA認證方法,其特征在于所述系 統(tǒng)初始化步驟包括(Al)移動終端開機��;(A2)移動終端給SD卡上電���;(A3) SD卡的初始狀態(tài)置為只讀狀態(tài)�����;(A4)移動終端向SD卡發(fā)送讀取FAT表的指令����;(A5) SD卡向移動終端返回一個代表剩余空間為0�����、內(nèi)容為空的虛擬的FAT表�,此FAT表 并不真實地反應(yīng)實際存儲在SD卡上的文件情況���,這種狀態(tài)下,移動終端無法讀取SD卡上實 際存儲的文件內(nèi)容��,也不能向SD卡寫入有效的數(shù)據(jù)���;(A6)移動終端啟動服務(wù)器、SD卡和SIM卡的相互鑒權(quán)認證步驟�。
3.根據(jù)權(quán)利要求1所述的基于可認證SD/MMC卡的OTA認證方法,其特征在于所述系 統(tǒng)授權(quán)步驟包括(Cl)如果服務(wù)器���、SD卡和SIM卡的相互鑒權(quán)認證成功���,則SD卡置為可寫狀態(tài); (C2)移動終端刷新SD卡文件系統(tǒng)���;(C3) SD卡給出實際的FAT表�����,此FAT表反應(yīng)SD上真實的存儲內(nèi)容����。
4.根據(jù)權(quán)利要求1所述的基于可認證SD/MMC卡的OTA認證方法,其特征在于 所述Ks生成算法為K = AES (Km, Rl)�����,其中Km為SD卡中的密鑰 Input = md5(Kc||Rl||R2||SRES||R3)���,Ks = AES(K, Input)����; 所述RES’生成算法為 K = AES (Km, Rl)��,其中Km為SD卡中的密鑰 Input = md5(Kc||Rl||SRES||R3)���, RES�����, = AES(K,Input)�。
5.根據(jù)權(quán)利要求3所述的基于可認證SD/MMC卡的OTA認證方法�,其特征在于 所述RES”生成算法為 RES” = AES (Ks,R4)�。
全文摘要
本發(fā)明涉及一種基于可認證SD/MMC卡的OTA認證方法,參與該方法的有SD/MMC卡��、SIM卡、終端和服務(wù)器����,該方法包括系統(tǒng)初始化步驟,服務(wù)器��、SD卡和SIM卡的相互鑒權(quán)認證步驟��,以及系統(tǒng)授權(quán)步驟�。本發(fā)明通過服務(wù)器��、SD卡以及SIM卡三者之間的相互鑒權(quán)���、認證過程�,完成SD與特定的運營商用戶或者特定的運營商綁定����。解決了SD卡與特定運營商用戶或者特定運營商綁定的問題,使得運營商發(fā)行的SD卡只能在其許可范圍內(nèi)使用����。
文檔編號H04W12/06GK101902740SQ201010225519
公開日2010年12月1日 申請日期2010年7月9日 優(yōu)先權(quán)日2010年7月9日
發(fā)明者付秦華 申請人:武漢天喻信息產(chǎn)業(yè)股份有限公司