一种贴膜SIM卡及相应的应用鉴权系统和鉴权方法

技术领域

本发明涉及移动通信技术领域，具体的说，本发明涉及一种贴膜SIM卡及相应 的应用鉴权系统和鉴权方法。

背景技术

目前，手机等移动终端已经越来越普及，随之而来的是应用(即App)的极大 丰富。各种各样的手机上的App可以作为移动互联网的接入口。其中，对于一些关 键的App(如银行App)，往往需要进行鉴权。

现有技术中，App的软件鉴权过程主要有两类。一类是传统的用户名、密码方 式登陆，其中App通过向网络侧发送账号和密码，实现鉴权。这种传统方式存在账 号密码易泄露的问题。手机应用的账号和密码一旦泄露，即可在其它终端上登录， 进行各项危险操作。并且账号密码易忘记，极大降低用户体验。另一类是短信辅助 方式登陆，这种方式中，服务器通过短信通道向用户手机发送短期内有效的一次性 密码，实现登录验证。这种方式能够通过手机的信令通道增强App使用的安全性。 然而这种登陆方式较为繁琐，易用性还有待提高。

发明内容

本发明的目的在于克服现有技术的不足，提出一种安全性高，且易用性高的应 用鉴权解决方案。

为实现上述发明目的，本发明提供了一种贴膜SIM卡，包括：第一通信接口、 第二通信接口、逻辑控制模块、指令处理模块和密钥生成模块；

所述第一通信接口用于与移动终端连接；

所述第二通信接口用于与宿主卡连接；

所述逻辑控制模块用于识别所述第一通信接口所接收的标准电信7816指令和非 标准电信7816指令，将标准电信7816指令直接转发至所述第二通信接口，将非标 准电信7816指令转发至所述指令处理模块；还用于将所述第二通信接口所接收的标 准电信7816指令直接转发至所述第一通信接口；

所述指令处理模块用于对所接收的非标准电信7816指令进行解析得到指令中携 带的随机值，并将该随机值发送给密钥生成模块，还用于接收密钥生成模块所返回 的密钥，生成携带该密钥的非标准电信7816指令并将其输出至所述第一通信接口；

所述密钥生成模块，用于根据所接收的随机值和固有的贴膜SIM卡标识，基于 所述密钥生成模块中预置的第一算法生成密钥，并将其返回给所述指令处理模块。

其中，所述指令处理模块还用于对所接收的非标准电信7816指令进行解析得到 指令中携带的Result值和应用标识，并将同一非标准电信7816指令中携带的随机值 和Result值一并发送给所述密钥生成模块；所述密钥生成模块还用于根据固有的贴 膜SIM卡标识和所接收的应用标识，基于预置的第二算法校验所述Result值，仅当 通过检验时才向所述指令处理模块返回所述密钥，在未通过校验时不向所述指令处 理模块返回密钥。

其中，所述第一通信接口包括一与移动终端modem模块相适配的双向通信接口， 用于收发标准电信7816指令，以及一蓝牙通信接口，用于收发非标准电信7816指 令。

本发明还提供了一种基于上述贴膜SIM卡的应用鉴权系统，包括：作为宿主卡 的SIM卡、粘贴在所述宿主卡上的所述贴膜SIM卡，以及通过移动网络互联的移动 终端和鉴权服务器，粘贴有贴膜SIM卡的所述宿主卡安装于所述移动终端内；

所述移动终端用于向所述鉴权服务器发送需鉴权应用的鉴权请求，接收所述鉴 权服务器返回的鉴权响应消息，并解析出所述鉴权响应消息携带一随机值，向所述 贴膜SIM卡发送携带所述随机值的非标准电信7816指令，接收贴膜SIM卡所返回 的密钥，然后向所述鉴权服务器发送登陆请求，所述登陆请求携带宿主号码、应用 标识和所述密钥；

所述鉴权服务器用于存储宿主号码-应用标识-贴膜SIM卡标识的绑定关系， 接收所述鉴权请求，生成并返回所述鉴权响应消息，接收所述登陆请求，根据所述 登陆请求携带的宿主号码查找到相应的贴膜SIM卡标识，进而对所述登陆请求携带 的密钥进行校验。

其中，并所述鉴权请求携带宿主号码和应用标识，所述鉴权服务器还用于在接 收鉴权请求后，查找到相应的贴膜SIM卡标识，使用该贴膜SIM卡标识、所述应用 标识和所述随机值计算出Result值，并且所述鉴权响应消息还进一步携带所述Result 值；

所述移动终端还用于在接收所述鉴权响应消息后，向所述贴膜SIM卡发送携带 所述随机值和所述Result值的非标准电信7816指令，并接收所述贴膜SIM卡所返回 的密钥；

所述贴膜SIM卡用于根据所述的固有的贴膜SIM卡标识和所述应用标识，基于 所述预置的第二算法对所述Result值进行反向鉴权，并在通过反向鉴权后，根据所 述随机值和所述固有的贴膜SIM卡标识，基于所述预置的第一算法生成密钥，并将 密钥返回给所述移动终端。

本发明还提供了一种基于上述应用鉴权系统的应用鉴权方法，包括下列步骤：

1)所述移动终端向所述鉴权服务器发送需鉴权应用的鉴权请求；

2)所述鉴权服务器接收所述鉴权请求，生成并返回所述鉴权响应消息，所述鉴 权响应消息携带一随机值；

3)所述移动终端向所述贴膜SIM卡发送携带所述随机值的非标准电信7816指 令，接收贴膜SIM卡所返回的密钥；

4)所述移动终端向所述鉴权服务器发送携带宿主号码、应用标识和所述密钥的 登陆请求；

5)所述鉴权服务器接收所述登陆请求，根据所述登陆请求携带的宿主号码查找 到相应的贴膜SIM卡标识，进而对所述登陆请求携带的密钥进行校验。

其中，所述步骤1)中，所述鉴权请求携带宿主号码和应用标识，

所述步骤2)还包括：所述鉴权服务器在接收所述鉴权请求后，查找到相应的贴 膜SIM卡标识，使用该贴膜SIM卡标识、所述应用标识和所述随机值计算出Result 值，并且所述鉴权响应消息还进一步携带所述Result值；

所述步骤3)包括下列子步骤：

31)所述移动终端向所述贴膜SIM卡发送携带所述应用标识，随机值和所述 Result值的非标准电信7816指令；

32)所述贴膜SIM卡根据所述的固有的贴膜SIM卡标识和所述应用标识，基于 所述预置的第二算法对所述Result值进行反向鉴权，并在通过反向鉴权后，根据所 述应用标识，随机值和所述固有的贴膜SIM卡标识，基于所述预置的第一算法生成 密钥，并将密钥返回给所述移动终端；

33)所述移动终端接收所述贴膜SIM卡所返回的密钥。

本发明还提供了一种基于上述应用鉴权系统的注册方法，包括下列步骤：

a)所述移动终端激活所述贴膜SIM卡；

b)所述贴膜SIM卡基于所述宿主卡发送注册短信至所述鉴权服务器，所述注册 短信携带所述贴膜SIM卡中所绑定的应用标识；

c)所述鉴权服务器接收所述注册短信并将宿主号码与应用标识以及相应的贴膜 SIM卡标识绑定，并基于所述宿主卡向所述移动终端返回所述应用标识。

相对于现有技术，本发明具体下列技术效果：

1、本发明的安全性高。

2、本发明登陆时无需输入密码，易用性高。

3、本发明中贴膜SIM卡与手机应用和宿主卡绑定，贴膜SIM卡被贴装到其它 宿主卡或被安装到其它手机时无法登陆，从而进一步提高了安全性。

4、本发明中，如手机丢失，可通过挂失贴膜SIM卡，使服务器侧的绑定关系失 效，进而使手机应用无法使用。

5、本发明中，一个贴膜SIM卡即可为所在手机上所安装的多个应用提供鉴权服 务。

附图说明

图1是本发明一个实施例的贴膜SIM卡的结构示意图；

图2是本发明一个实施例的应用鉴权系统的注册过程示意图；

图3是本发明一个实施例的应用鉴权系统的鉴权过程示意图。

具体实施方式

下面结合附图和实施例对本发明做进一步地描述。

根据本发明的一个实施例，提供了一种贴膜SIM卡，将该贴膜SIM卡安装到移 动终端(例如手机)中，能够实现贴膜SIM卡与手机应用以及宿主卡的绑定，并且 贴膜SIM卡能够为手机提供登陆所绑定的应用所需的密钥，从而完成对所绑定的应 用的鉴权。图1是本发明一个实施例的贴膜SIM卡的结构示意图，参考图1所述贴 膜SIM卡包括：第一通信接口、第二通信接口、逻辑控制模块、指令处理模块和密 钥生成模块；所述第一通信接口用于与移动终端连接；所述第二通信接口用于与宿 主卡连接；所述逻辑控制模块用于识别所述第一通信接口所接收的标准电信7816指 令和非标准电信7816指令，将标准电信7816指令直接转发至所述第二通信接口， 将非标准电信7816指令转发至所述指令处理模块；还用于将所述第二通信接口所接 收的标准电信7816指令直接转发至所述第一通信接口；所述指令处理模块用于对所 接收的非标准电信7816指令进行解析得到指令中携带的随机值，并将该随机值发送 给密钥生成模块，还用于接收密钥生成模块所返回的密钥，生成携带该密钥的非标 准电信7816指令并将其输出至所述第一通信接口；所述密钥生成模块，用于根据所 接收的随机值和固有的贴膜SIM卡标识，基于所述密钥生成模块中预置的第一算法 生成密钥，并将其返回给所述指令处理模块。为增强安全性，实现第一算法的运算 逻辑可以用固化在SIM卡中的逻辑电路实现。其中，第一算法只要能够实现下述功 能即可：将随机值和贴膜SIM卡标识作为密钥生成模块的输入参数，通过第一算法 的演算能够获得一个对应的输出结果，该输出结果就是密钥。第一算法可以采用现 有的常见加密算法，例如Millenage算法。

一个实施例中，所述指令处理模块还用于对所接收的非标准电信7816指令进行 解析得到指令中携带的Result值和应用标识，并将同一非标准电信7816指令中携带 的随机值、应用标识和Result值一并发送给所述密钥生成模块；所述密钥生成模块 还用于根据固有的贴膜SIM卡标识，基于预置的第二算法校验所述Result值，仅当 通过检验时才向所述指令处理模块返回所述密钥，在未通过校验时不向所述指令处 理模块返回密钥。这样贴膜SIM卡就具备了对鉴权服务器的反向鉴权能力。为增强 安全性，实现第二算法的运算逻辑可以用固化在SIM卡中的逻辑电路实现。第二算 法可以与第一算法相同，也可以不同。第二算法可以是现有的常见加密算法，例如 Millenage算法。一个实施例中，所述第一通信接口包括一与移动终端modem模块 相适配的双向通信接口，用于收发标准电信7816指令，以及一蓝牙通信接口，用于 收发非标准电信7816指令。这样，贴膜SIM卡通过不同的接口即可直接判别所接收 的指令是应当透传至作为宿主卡的SIM卡，还是应当进行解析和处理。

根据本发明的另一个实施例，提供了一种基于上述贴膜SIM卡的应用鉴权系统， 包括：作为宿主卡的SIM卡、粘贴在所述宿主卡上的贴膜SIM卡，以及通过移动网 络互联的移动终端和鉴权服务器，所述移动终端内设置卡槽，粘贴有贴膜SIM卡的 所述宿主卡置于所述移动终端的所述卡槽内。其中，鉴权服务器中存有：宿主号码- App ID列表-vSIM ID的映射表，一个宿主号码可以绑定多个应用标识(即App ID)， 因此映射表中一个vSIM ID(即贴膜SIM卡标识)可以与一个App ID列表绑定，App ID列表中每个App ID分别对应于一个应用，这样一台手机(或其它移动终端)在安 装一个贴膜SIM卡后就可以支持多个应用。而移动终端内的App中存有：宿主号码 (用户名)，App ID(可作为应用的内置密码)。薄膜卡中存有：App ID Iist，vSIM ID。 应用鉴权系统中，宿主号码和App ID是在数据通道中传递的(类似于IMSI)，但vSIM ID是不在数据通道中传递的。通过这些参数，在SVR(即鉴权服务器)、App(即应 用)、SIM卡(即宿主卡)之间建立起了一个固定的绑定关系，利用贴膜SIM卡的鉴 权能力和它所提供的密钥，用户只需要输入手机号码(即宿主号码)就可以登录App， 不用有忘记密码之类的烦恼，这样能够使App易用性提高。而服务器侧通过构建在 服务器和贴膜SIM卡之间的数据通道，完成鉴权过程，从而保证了App的安全性。

基于上述应用鉴权系统，贴膜SIM卡粘贴在宿主卡上并安装到移动终端(例如 手机)相应位置后，启动贴膜SIM卡应用鉴权系统中的注册，注册方法包括下列步 骤：

a)所述移动终端激活所述贴膜SIM卡；

b)所述贴膜SIM卡基于所述宿主卡发送注册短信至所述鉴权服务器，所述注册 短信携带所述贴膜SIM卡中所绑定的应用标识；

c)所述鉴权服务器接收所述注册短信并将宿主号码与应用标识以及相应的贴膜 SIM卡标识绑定，并基于所述宿主卡向所述移动终端返回所述应用标识。

对于完成贴膜SIM卡注册的应用鉴权系统，其移动终端(例如手机)上所安装 的应用的鉴权方法包括下列步骤：

1)所述移动终端向所述鉴权服务器发送需鉴权应用的鉴权请求；

2)所述鉴权服务器接收所述鉴权请求，生成并返回所述鉴权响应消息，所述鉴 权响应消息携带一随机值；

3)所述移动终端向所述贴膜SIM卡发送携带所述随机值的非标准电信7816指 令，接收贴膜SIM卡所返回的密钥；

4)所述移动终端向所述鉴权服务器发送携带宿主号码、应用标识和所述密钥的 登陆请求；

5)所述鉴权服务器接收所述登陆请求，根据所述登陆请求携带的宿主号码查找 到相应的贴膜SIM卡标识，进而对所述登陆请求携带的密钥进行校验。

在一个优选实施例中，前述步骤1)中，所述鉴权请求携带宿主号码和应用标识，

所述步骤2)还包括：所述鉴权服务器在接收所述鉴权请求后，查找到相应的贴 膜SIM卡标识，使用该贴膜SIM卡标识、所述应用标识和所述随机值计算出Result 值，并且所述鉴权响应消息还进一步携带所述Result值；

所述步骤3)包括下列子步骤：

31)所述移动终端向所述贴膜SIM卡发送携带所述应用标识，随机值和所述 Result值的非标准电信7816指令；

32)所述贴膜SIM卡根据所述的固有的贴膜SIM卡标识和所述应用标识，基于 所述预置的第二算法对所述Result值进行反向鉴权，并在通过反向鉴权后，根据所 述应用标识，随机值和所述固有的贴膜SIM卡标识，基于所述预置的第一算法生成 密钥，并将密钥返回给所述移动终端；

33)所述移动终端接收所述贴膜SIM卡所返回的密钥。

该优选实施例中，贴膜SIM卡能支持移动终端(例如手机)上安装的多个应用， 即为多个应用提供鉴权服务并生成相应的密钥。这样用户只需要一张贴膜SIM卡， 即可安全地登录不同的多个应用，避免为登录不同的应用而频繁更换贴膜SIM卡。 并且，由于该贴膜SIM卡具有反向鉴权能力，因此还可以防范钓鱼网站等来自服务 器端的安全隐患，进一步提高应用登陆的安全性。为便于理解，下面结合实际应用 对本发明做进一步地描述。在实际使用时，用户获得贴膜SIM卡后，将其贴在宿主 手机卡上，然后再将二者安装到手机的卡槽中。操作手机中的STK菜单，激活贴膜 SIM卡和宿主卡的绑定，SVR侧检查SVR中已存在的宿主号码-vSIM ID绑定关系， 验证通过，则该贴膜SIM卡被激活。具体地，用户将贴膜SIM卡粘贴到作为宿主卡 的SIM卡上，然后将其安装到手机中，发起手机应用注册流程，即手机通过SMS 通道向SVR侧发送携带宿主号码和App ID的短信，SVR侧在获得上行SMS通道送 上来的宿主号码及App ID后，在后台形成宿主号码-App ID-vSIM ID的绑定关系(其 中App ID和vSIM ID的绑定关系在鉴权服务器中是预先存在的，另外，需要说明的 是，当SVR接收到携带宿主号码和App ID的激活短信时，会检查SVR中已存在的 宿主号码-vSIM ID绑定关系，如果同一vSIM ID已绑定了其它宿主卡，则当前的贴 膜SIM卡激活失败)。在确定绑定关系后，系统会生成一个OTP(One Time App ID) 校验码，通过下行SMS通道把OTP校验码及App下载链接发给用户。用户获得链 接后，完成下载。

首次开启App时，用户输入手机宿主卡号码(用户名)及OTP，发起登录。鉴 权服务器在收到登录请求后会把手机中的密码项(内容此时为空)置换成App ID。 至此，鉴权服务器、App、贴膜SIM卡完成各自的参数确定。

可以看出在贴膜SIM卡中并没有宿主卡的MSISDN信息，因此这个薄膜卡之后 贴在其他宿主卡上应该是可以使用的。这里所说的可以使用是指，在其他宿主卡安 装的应用的App中使用原宿主的号码(可作为登陆用户名)及App ID(可作为登陆 密码)--这种情况仅发生于用户在获取到下载链接及验证码的下行SMS后，把信息 转发给另一部终端并把薄膜卡揭下来贴到那部手机的SIM卡上。否则，即使把薄膜 卡贴在其他手机的SIM卡上，并输入原宿主手机号码后申请登录，由于内置App ID 为空，SVR侧可以拒绝用户的请求。没有App ID或者App ID不对，即使SVR侧给 App发送鉴权信息(随机值)，薄膜卡同样会因为App ID不对拒绝鉴权流程。

参考图2，在一个例子中，应用鉴权系统的注册过程如下：

1、手机贴装薄膜SIM后，激活贴膜SIM卡上的手机应用，向宿主卡发送信息， 携带App ID等；

2、宿主卡向鉴权服务器发送SMS短信；

3、鉴权服务器形成宿主号码-App ID-vSIM ID的绑定关系，并向宿主号码发送 OTP及App下载链接短信，手机下载App，并使用宿主号码和OTP校验码注册登 录，鉴权服务器把App ID发送到手机应用App，至此App保存了宿主号码-App ID 信息。

参考图3，在一个例子中，应用鉴权系统的鉴权过程如下：

1、手机应用App向鉴权服务器发送鉴权请求，携带宿主号码-App ID，鉴权服 务器查找用户表项，使用vSIM ID、App ID和Random等参数，计算出Result值， 并发送鉴权响应消息，携带Result和Random值；

2、手机应用App向贴膜SIM卡发起鉴权秘钥获取，携带宿主号码-App ID-Result-Random信息，贴膜SIM卡使用本身存储的App ID进行匹配，并使用vSIM ID、App ID和Random等参数，计算出Result*，通过比对Result值，对SVR进行 鉴权；鉴权通过，使用vSIM ID和Random等参数，计算出秘钥Verify(与获取Result 值的算法和参数都有差异)；鉴权失败，退出登陆流程。

3、手机应用App向鉴权服务器发送登录请求，携带宿主号码-App ID-Verify等 参数，鉴权服务器查找宿主号码表项，对Verify值进行校验，校验通过，允许登录。

上述实施例中，贴膜SIM一般制作成薄膜卡形式，有了薄膜卡后，手机上网还 是通过原SIM卡进行，薄膜卡只做透传。手机上了网，则手机上的App就可以与 Internet连接了。那么，此时，App接入Internet之前，通过特有的方式与薄膜卡交 互(如蓝牙方式，薄膜卡上内置蓝牙功能等)，从而可以像在PC机上插入银行USB KEY一样，登陆银行的客户端，从而安全的访问各种数据，极大地提高App的安全 性和易用性。

最后所应说明的是，以上实施例仅用以说明本发明的技术方案而非限制，尽管 参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以 对本发明的技术方案进行修改或者等同替换，而不脱离本发明技术方案的精神和范 围，其均应涵盖在本发明的权利要求范围当中。