CN101088249B

CN101088249B - 用于保护与终端用户标识模块相连的电信终端的方法

Info

Publication number: CN101088249B
Application number: CN200580044725XA
Authority: CN
Inventors: 简-克劳德·佩尔斯; 法比安·万瑞斯; 古劳姆·布瑞耶尔; 弗雷·亚历山大
Original assignee: France Telecom SA; Trusted Logic SAS
Current assignee: Orange SA; Trusted Logic SAS
Priority date: 2004-11-25
Filing date: 2005-11-02
Publication date: 2012-04-04
Anticipated expiration: 2025-11-02
Also published as: JP5895252B2; JP2012114937A; CN101088249A; JP2014225881A; US8588415B2; WO2006056669A1; JP2008522470A; US20070286373A1; EP1815638A1

Abstract

本发明涉及一种用于保护与用于标识终端用户的模块(5)相连的电信终端(4)的方法。本发明方法包括用于执行将终端与标识模块配对过程的步骤，该方法包括：将包括数据配对密钥的第一软件程序以安全方式加载(10，11)到标识模块上；将能与第一软件程序相结合操作的第二软件项以安全方式加载(12)到电信终端上；将与第一软件程序的数据配对密钥相对应的数据配对密钥传送(13)到第二软件程序；将所传送的数据配对密钥存储在电信终端的安全存储区域中；当以真值验证出(15，16)第二软件程序有效拥有数据配对密钥时，才有条件地从第一软件程序对来自第二软件程序的请求(14)做出(17)每个响应。

Description

用于保护与终端用户标识模块相连的电信终端的方法

本发明涉及一种用于保护与终端用户标识模块相连的电信终端的方法。

特别地，但非排他地，本发明可用于那些被提供为容纳用于鉴权用户的安全模块的移动通信终端。这些终端符合例如GSM标准(全球移动通信系统)或UMTS标准(通用移动电信系统)。更概括地说，本发明还用于任何如下终端，该终端包括被设计成容纳该类型的鉴权模块的电信装置。

许多使用因特网之类的公共数据传输网络的应用涉及对用户执行远程鉴权。这种应用需要对用户权力的存在进行确定，或者需要用户所提供的用于鉴权的信息，或者需要经由网络向已被正确识别的用户传送机密信息项。这些操作包括能够以可靠和安全的方式来识别用户。为此，通常使用诸如芯片卡或者鉴权或安全令牌之类的电子设备，其中该认证或安全令牌存储密钥并且能够执行加密过程，特别是对于标识，以便证实该用户持有密钥或者以便对机密消息进行解密。

移动电话，尤其是GSM类型的移动电话，通常包含芯片卡形式的标识模块，该芯片卡被称为SIM卡(用户标识模块)，其允许电话网络识别该移动电话的拥有者。用户为了能够使用他的移动电话，必须产生机密码，这个机密码由SIM卡验证。为此，SIM卡具有上述加密功能。由此，该SIM卡可以在涉及电子签名的生成的应用中使用。例如，考虑到用户先前已经输入其机密码或专用于签名生成功能的机密码并且该机密码被SIM卡验证从而该用户已被其移动电话鉴权，所以该签名可能涉及移动电话的提供商与使用者之间的事务条款。

由此，通过使用SIM卡中包含的密钥来加密或解密消息，SIM卡可以用在电子商务应用中以便对事务执行电子签名，或者可以用在传送保密消息的应用中。

但是，已经发现，SIM卡提供的安全性自身并不足以提供令人信服的安全等级，特别是随着第三代移动电话的出现，也就是能够接收并包含不同供应商提供的多个应用的电话的出现。在这种情况下，无法保证所使用的终端不包含故障、病毒或特洛伊木马，而这些故障、病毒或特洛伊木马可能使得将经加密的消息重传到另一个终端。

由此有必要从远端证实，包括移动终端和加载于该终端的软件在内的组件是一整体并且具有所需的安全属性。

为此，移动终端可以只在其可以鉴权新应用的来源及其完整性的时候才接受新应用的下载，如果情况并非如此，那么该终端可以通过如下方式运行这些应用，即，使其在任何情况下都无法修改整个终端，由此保护自身不受病毒和特洛伊木马的影响。还有必要提供鉴权功能，所述功能允许远程供应商对移动终端确实具有所需要的安全属性进行验证。

鉴于SIM是可以移除并且可以安装在任何终端中的，因此SIM不足以提供这种类型的鉴权功能。

此外，阻止用户将同一SIM卡用于多个终端(特别是，为了改变终端)不是个办法。

2003年4月23日提交的专利申请FR0304979描述了一种用于保护与终端用户标识模块相连的移动终端的方法，该方法包括用于执行配对操作的步骤，其中：

终端向与之相连的标识模块传送用于该终端的标识的信息，以及

该标识模块将从终端接收的标识信息与存储在存储器中的终端标识信息相比较，并且将比较结果传送到终端。如果标识模块并未辨认出该标识信息，则无法访问需要高安全等级并被安装在终端中的功能。

许多需要高安全等级的应用，例如商业交易，被分成了两个应用：移动站中的与用户进行对话的第一应用；以及SIM(SIMlet)中的用于安全逻辑(尤其是存储加密密钥)的第二应用。

这种第三方应用例如是EMV付费(Eurocard，MasterCard， Visa)。EMV在本实例中是参考标准。客户端应用则被分成两个部件：

1.移动站中的与用户对话以及与“销售点”终端和银行的其他特定功能(客户关系、收据管理等等)接合的应用；

2.SIM中的利用EMV密钥来执行EMV逻辑的应用；

由于SIM与移动站之间的这种类型的分布很好地满足了需要，因此这种类型的分布代表了这种类型的应用。

被设计成安全装置的SIM包含应用中的最敏感的部分，该最敏感部分包含密钥和操作，对于其的获知或修改可能致使例如移动站用户的利益遭受重大欺诈行为。

具有更为重要和变化的处理能力的移动站包含所需应用的剩余部分，例如用于用户接口(显示器/键盘)或网络接口的应用。该移动站也可能遭受到各种攻击，但是这些攻击的重要性和程度则相对较低。

这些应用必须能够经由例如OTA(空中)而被下载，以便简化用户所要执行的操作。

由此，在这种情况下，必须能够由下载服务器从远端验证终端与SIM卡之间的配对，其中只有在具有相当高的安全属性等级的移动站中执行该敏感应用时，下载服务器才会认为该敏感应用的下载是合理的。

最后，该配对不但必须考虑到移动站与SIM卡是关联的，而且还必须受存在于移动站中的软件状态的影响。从可以将程序下载到移动站的时候开始，较为有利的是对移动站中的软件状态进行核实。

由此，本发明的目的是在第三方的控制下对SIM卡与移动终端之间的配对执行初始化，其中所述第三方能够授权移动站具有支持安全应用的能力。

由此，本发明涉及一种用于保护与终端用户标识模块相连的电信终端的方法，该方法包括用于执行终端与标识模块的配对过程的步骤，其中包括：

在标识模块上以安全方式加载包括配对密钥的第一软件项，

在电信终端上以安全方式加载能与第一软件项相结合地操作的第二软件项，

将与第一软件项的配对密钥相对应的配对密钥传送到第二软件项，

将所传送的配对密钥存储在电信终端的安全存储区域中；

在第一软件项对来自第二软件项的请求(14)做出任何响应之前，验证(15，16)通信终端上存储的第二软件项的配对密钥是有效的；

当且仅当第二软件项有效拥有配对密钥时才对该请求做出响应。

本发明的其他特征是：

将配对密钥传送到第二软件项的步骤取决于用于对电信终端授权的过程；

由于该终端具有用于终端的标识和鉴权的装置，因此用于对终端授权的过程是由加载在标识模块上的第一软件项或者由鉴权服务器，借助对标识和鉴权装置的有效性进行验证的处理执行的；

该标识和鉴权装置包括RSA密钥对以及由认证机构传送的证书，并且该装置的有效性的验证包括对RSA密钥对以及证书的鉴权；

对第二软件项拥有配对密钥进行验证是经由从第一软件项到第二软件项的“质询-响应”处理执行的；

该标识模块至少包括第三软件项，该第三软件项能够与在终端上加载的互补软件项一起操作，以使得只在利用第一软件项验证出第二软件项有效拥有配对密钥的时候，该软件项才对来自其互补软件项的请求做出响应；

该配对密钥用于建立允许对终端与标识模块之间的交换进行加密的会话密钥；

第一软件项执行的配对密钥的验证还包括放置那些用于标记标识模块中记录的配置与电信终端当前配置之间差别的标志；

该标志和配置信息可以借助鉴权服务器而以一种安全的方式被读取和更新。

另一个方面是一种用于保护与终端用户标识模块相连的电信终端的系统，包括：

用于在标识模块中安全加载和存储包括配对密钥的第一软件项的装置，

用于在电信终端中安全加载能与第一软件项相结合地操作的第二软件项的装置，

用于安全加载和存储第二软件项的配对密钥的装置，以及

用于在第一与第二软件项之间进行通信的装置，其中该装置包括用于验证第二软件项的配对密钥的装置，该用于验证第二软件项的配对密钥的装置只在以真值验证出第二软件项有效拥有配对密钥之后才授权通信。

本发明的另一个方面是一种电信终端，该电信终端包括用于与用户标识模块进行通信的装置；用于加载、存储和执行能与标识模块上存在的第一软件项一起操作的第二软件项的装置；以及用于安全存储配对密钥的装置，所述装置与使用该标识模块上存在的第一软件项来验证该配对密钥的装置相连。

本发明的另一个方面是一种用户标识模块，该模块包括：用于与该电信终端通信的装置；用于安全加载和存储与终端上存储的配对密钥相对应的配对密钥以及能与终端上存在的软件项一起操作的软件项的装置；用于根据模块的配对密钥来验证终端的配对密钥的装置，所述装置以真值验证出第二软件项有效拥有配对密钥之后才能够授权通信。

本发明的另一个方面是一种软件产品，该软件产品包括在电信终端上使用的第一模块以及在用于电信终端用户的标识的模块上使用的第二模块，以便执行该方法。

通过阅读参照附图并且只作为示例给出的描述，可以更好地理解本发明，其中：

图1是由本发明第一实施例使用的部件的示意图；

图2是该第一实施例的数据流的图示；

图3是第二实施例中的数据流的图示；以及

图4是第三实施例中的数据流的图示。

在图1中，根据本发明的方法是由移动电话1实施的，该移动电话被配置成经由电话网络3而与其他终端(未图示)或受服务运营商控制的服务器2进行通信。为了允许网络3的运营商识别这种类型的移动电话1的用户，该移动电话包括终端4本身以及例如微电路或微处理器类型的可移除标识设备5，以及用于连接到这种类型的卡的连接装置6。在GSM或UMTS移动网络中，这种标识设备5被称为“用户标识模块”(SIM)。

图2、3和4描述的是上述部件之间的不同处理流程。每一个部件都用垂直线来图示。每一次数据传输都用水平箭头指示，该箭头的方向指示传输方向(为了简明起见，并未图示与所用协议严格关联的交换，本领域技术人员能够很容易再现这些交换)，相同的标号对应于相同或相似的传输。本方法的时间的经过是由图形的向下移动来图示的。

如本说明书的前序部分所述，为此考虑一种安全软件应用，其包括两个相互协作的模块或软件项，即，可以安装在SIM卡5上的第一软件项以及可以安装在终端4上的第二软件项。

在图2的第一步骤10中，第一软件项以安全的方式安装在SIM卡中。该处理是通过在SIM卡5与软件运营商的服务器2之间创建安全信道来执行的。该安全信道例如是在网络运营商的加密密钥的控制下创建的。

这种类型的创建的示例是由运营商在SIM卡上创建银行安全区域，该运营商为该区域分配临时存取密钥k_t，然后将该密钥k_t传送到通常是银行的第三方运营商，由此运营商可以以一种安全的方式来个性化该区域。

在运营商2与SIM卡5之间创建该安全信道使得运营商可以在11中向第一软件项传送包括配对密钥k_a的个性化要素。

应该指出的是，在本方法的显而易见的变型中，第一软件项的个性化处理可以由运营商2执行，并且利用配对密钥k_a执行第一软件项的单独传输。

在SIM卡5接收到其第一软件项以及配对密钥k_a之后，在12中以安全的方式将第二软件项下载到终端上。对于该传输的保护可以是例如利用存在于终端上的证书，其中该证书是属于网络运营商的。

当确保在终端上正确地安装了第二软件项之后，在13中运营商向第二软件项传送配对密钥卡k’_a。该配对密钥k’_a与第一软件项的配对密钥k_a对应。

术语“对应”旨在指代这样一个事实，即，密钥对(k_a，k’_a)对应于加密关系。通过这种方式，在3DES或AES类型的对称算法的情况下，这两个密钥k_a和k’_a是相同的。

然后，由第二软件项将这个配对密钥k’_a永久性地存储在安全区域中。

当在14中第二软件项向第一软件项传送请求时，在17中做出响应之前，在15和16中该第一软件项验证终端上的第二软件项确实具有配对密钥k’_a。

如果情况并非如此，则第一软件项拒绝执行操作，由此致使安全应用不可用。

对配对密钥的拥有的控制是主动的，是“质询(challenge)-响应”类型的，并且由此不允许攻击者在授权的移动站上重放初始捕获的数据，从而使用未经授权的移动站来替换该授权的移动站。重申一下，应该指出的是，对第一软件项来说，“质询-响应”类型的处理涉及在15中以随机数的形式向第二软件项发送质询，该第二软件项则利用其密钥k’_a来对该质询加密，并且在16中将结果返回给第一软件项，由此该第一软件项验证该结果与预期值是对应的。

如此描述的方法使得确保第二软件项有效并且是在终端上正确加载的软件项。

但是，在传送密钥k’_a之前对终端自身进行授权似乎可以使得提高安全性。

可以想到使用间谍软件或间谍硬件项的攻击，该间谍软件或间谍硬件项会在配对密钥k’_a的传输过程中截取该配对密钥k’_a。

在第一变型中，如图3和4所示，授权是在代理机构中由经授权的人员执行的。

用于在SIM模块中加载两个软件模块以及配对密钥k_a的步骤10到12与上述方法的步骤是相同的。

但是，用于加载第二软件项的步骤12是在代理机构中利用许多经授权的人员执行的，这些经授权的人员验证该终端被正确配置成接收安全应用。可以注意到，针对该验证的质量，终端必须具有适当的装置用于验证和结果显示。

根据代理机构执行配对操作的能力是由运营商在远端控制的还是由SIM卡在本地控制的，可能有两种配对方法。

在第一方法中，在图3中，经授权的代理启动终端上的第二软件项，在20中该软件项开启与服务器2的安全会话。

在21中，该第二软件项请求代理使用密码对其自身进行鉴权，在22中将该密码发送到运营商的服务器2以用于验证。

如果该验证是肯定的，那么在23中服务器将配对密钥k’_a发送到第二软件项，该第二软件项将其存储在安全存储区域中。

在第二方法中，在图4中，经授权的代理启动终端上的第二软件项。这要求代理在21中使用密码来对其自身进行鉴权，该密码是为了执行验证而在25中发送到SIM卡5的。

如果该验证是肯定的，那么SIM卡5在26中将配对密钥k’_a发送到第二软件项，该软件项将其存储在安全存储区域中。

应该指出的是，在第二方法中，在SIM-移动站连接6上执行的密钥k’_a的传输不会出现问题，这是因为这个过程是在安全的环境(代理机构)中使用的，在该环境中，无法进行电缆、加长电缆等等的安装。

在一个变型中，可以依照终端4或SIM卡5对代理的密码进行修改。该修改量可以是例如SIM卡或终端等的序列号。

该修改量将被传送到运营商，运营商从中推导出密码，并且使用完全独立于终端及其SIM卡的装置而将其安全地传送到经过验证的代理。

在该方法的另一个变型中发现，许多移动终端具有安全模块，这些安全模块能够包含唯一的标识符以及加密密钥和算法。

假设移动终端具有双RSA密钥以及由其公钥已知的机构所传送的证书，则可以基于双密钥和证书的鉴权而由终端的控制来替换由代理机构中的代理进行的手动授权，其中该替换是由运营商或SIM卡实施的。由于这种鉴权方法对本领域技术人员来说是众所周知的，因此不对其进行更详细的描述。

该方法的其他步骤(传送配对密钥和对其的控制)则保持不变。

如果在同一个终端中必须共存多个敏感应用，则可以在终端侧以及SIM卡侧将它们的配对功能组合起来。

由此，第二种应用包括在SIM卡上加载的第三软件项以及在终端上操作并与第三软件项互补的软件项。

该应用并未涉及配对，但却依赖于成功的配对。

由此，只有在利用第一软件项验证出第二软件项有效拥有配对密钥，也就是该配对处理有效的情况下，第三软件项才会对来自其互补软件项的请求做出响应。

该验证处理包括例如在配对过程成功或失败之后对由第一软件项激活的标志的状态进行验证。

应该指出的是，通过将第一和第二软件项局限于配对功能，有利地可以将第二软件项固定在无法通过下载处理而修改的区域中。然后，这两个软件项可被提供有互补功能。

第一个功能涉及通过对所传送的数据进行加密来保护终端与 SIM卡之间的连接装置(防止“中间人”类型的攻击)。

在常规方式中，使用配对密钥k_a和k’_a来定义会话密钥k_i，该密钥钥k_i允许对在终端与SIM卡之间交换的数据进行加密。

第二种功能涉及对终端的软件配置进行验证。该第二软件项可以经由上述安全连接装置而向SIM传送与终端的硬件或软件配置相关的信息(例如配置表、诸如移动电话操作系统之类的程序的概要)。由此，SIM卡的第一软件项可以将这些“当前”配置数据与先前存储的值相比较，如果存在差别，则根据所指出的差别来放置标志。SIM侧的第三软件项可以对这些标志进行测试，并且决定是继续还是停止处理。这些对上述配置信息的配置发展进行标记的标志可以被远程读取，另选的，这些标志可以在传送SIM卡的运营商的控制下被复位成零。

概言之，由此，用于保护与终端用户标识模块相连的电信终端的系统包括：

用于在电信终端上安全加载能与第一软件项结合操作的第二软件项的装置，所述装置连接到

用于安全加载和存储第二软件项的配对密钥的装置，以及

用于在第一与第二软件项之间进行通信的装置，该装置包括用于验证第二软件项的配对密钥的装置，该用于验证第二软件项的配对密钥的装置只在以真值验证出第二软件项拥有配对密钥的时候才授权通信。

包括用于与用户标识模块进行通信的装置的电信终端还包括：用于加载、存储和执行能与标识模块上存在的软件项一起操作的软件项的装置；以及用于安全存储配对密钥的装置，所述装置与使用该标识模块上存在的软件项来验证该配对密钥的装置相连。

对于与电信终端相关联的用户标识模块而言，该模块包括：用于安全加载和存储与终端上存储的配对密钥相对应的配对密钥以及能与终端上存在的软件项一起操作的软件项的装置，所述装置连接到用于根据模块的配对密钥来验证终端的配对密钥的装置，并且所述装置只有该终端的配对密钥有效的时候才能够授权所述两个软件项之间的通信。

如上所述，所描述的方法是由软件产品使用的，该软件产品包括：在电信终端上使用的第一模块，以及在用于标识电信终端用户的模块上使用的第二模块。

由此，有利地，通过将终端与其SIM卡配对而描述的方法和系统允许为其第一模块加载在SIM卡上并且其第二互补模块加载在终端中的应用提高其安全性。

Claims

1.一种用于保护与终端用户标识模块(5)相连的电信终端(4)的方法，该方法包括用于执行终端与标识模块的配对过程的步骤，该方法包括：

在标识模块上以安全方式加载(10，11)包括配对密钥的第一软件项；

在电信终端上以安全方式加载(12)能与第一软件项相结合操作的第二软件项；

将与第一软件项的配对密钥相对应的配对密钥传送(13)到第二软件项，

将所传送的配对密钥存储在电信终端的安全存储区域中；

在从第一软件项对来自第二软件项的请求(14)做出任何响应之前，在所述标识模块中验证(15，16)通信终端上存储的第二软件项的配对密钥是有效的；

2.根据权利要求1的用于保护电信终端的方法，其特征在于：将配对密钥传送到第二软件项的步骤取决于对电信终端授权的过程。

3.根据权利要求2的用于保护电信终端的方法，其特征在于：由于该终端具有用于终端的标识和鉴权的装置，因此用于对终端授权的过程是由加载在标识模块上的第一软件项或者由鉴权服务器，借助对标识和鉴权装置的有效性进行验证的处理自动执行的。

4.根据权利要求3的用于保护电信终端的方法，其特征在于：该标识和鉴权装置包括RSA密钥对以及由认证机构传送的证书，并且该装置的有效性的验证包括对RSA密钥对以及证书的鉴权。

5.根据权利要求1到4中任一权利要求的用于保护电信终端的方法，其特征在于：对第二软件项拥有配对密钥进行验证是经由从第一软件项到第二软件项的“质询-响应”处理执行的。

6.根据权利要求1到4中任一权利要求的用于保护电信终端的方法，其特征在于：该标识模块至少包括第三软件项，该第三软件项能够与在终端上加载的互补软件项一起操作，以使得只在利用第一软件项验证出第二软件项有效拥有配对密钥之后该第三软件项才对来自其互补软件项的请求做出响应。

7.根据权利要求1到4中任一权利要求的用于保护电信终端的方法，其特征在于：第一软件项中的配对密钥和传送到第二软件项的配对密钥用于建立允许对终端与标识模块之间的交换进行加密的会话密钥。

8.根据权利要求1到4中任一权利要求的用于保护电信终端的方法，其特征在于：第一软件项执行的配对密钥的验证还包括放置那些用于标记标识模块中记录的配置与电信终端当前配置之间的差别的标志。

9.根据权利要求8的用于保护电信终端的方法，其特征在于：该标志和配置信息能够借助鉴权服务器而以安全的方式被读取和更新。

10.一种用于保护与终端用户标识模块(5)相连的电信终端(4)的系统，其特征在于其包括：

用于在电信终端上安全加载能与第一软件项相结合地操作的第二软件项的装置，

用于安全加载和存储第二软件项的配对密钥的装置，以及

用于在第一与第二软件项之间进行通信的装置，该装置包括用于验证第二软件项的配对密钥的装置，该用于验证第二软件项的配对密钥的装置只有在所述标识模块中以真值验证出(15，16)第二软件项有效拥有配对密钥之后才能够授权通信。

11.一种电信终端(4)，包括用于与用户标识模块(5)通信的装置(6)并且被权利要求1的方法所保护，该电信终端的特征在于其包括：

用于加载、存储和执行能与标识模块上存在的第一软件项一起操作的第二软件项的装置；以及用于安全存储配对密钥的装置，所述用于安全存储配对密钥的装置与使用该标识模块上存在的第一软件项来验证该配对密钥的装置相连。

12.一种用户标识模块(5)，对其应用了根据权利要求1的用于保护与该用户标识模块相连的电信终端的方法，所述用户标识模块包括用于与该电信终端(4)进行通信的装置(6)，该用户标识模块的特征在于其包括

用于安全加载和存储与终端上存储的配对密钥相对应的配对密钥以及能与终端上存在的第二软件项一起操作的第一软件项的装置，

用于根据模块的配对密钥来验证终端配对密钥的装置，所述装置只在以真值验证出第二软件项有效拥有配对密钥之后才能够授权通信。