用户身份识别卡的鉴权控制方法和系统与流程

1.本发明实施例涉及身份鉴权技术领域，尤其涉及一种用户身份识别卡的鉴权控制方法和系统。


背景技术：

2.移动网络通信技术的快速发展，极大的提高了人们的通信水平。网络用户可以使用网络进行视频通话、语音聊天、打电话、发短信等。通常，用户在使用网络之前需要在网络运营商办理用户身份识别(subscriber identification module，sim)卡，然后对sim进行登网鉴权，鉴权通过后即开通了sim卡接入网络的权限，用户使用sim便可以访问信号网络，用户使用sim卡过程中的数据信息也会存储在sim卡中。
3.相关技术在，每一张sim卡都对应一个国际移动用户唯一识别码(international mobile subscriber indentity，imsi)和鉴权密钥。用户将sim卡装入移动终端之后，移动终端开机之后直接读取sim卡中的系列信息并向sim卡发送鉴权请求，以请求sim开始鉴权，在鉴权过程中，sim向网络端发送鉴权请求，网络端生成一个随机数，然后利用sim中存储的imsi和鉴权密钥计算出鉴权结果sres和通话加密密钥，同时sim卡端也根据网络端生成的随机数以及imsi和鉴权密钥生成鉴权结果sres和通话加密密钥，若网络端和sim计算结果相同，则鉴权成功。鉴权成功之后便可以登网使用网络了。
4.然而，该鉴权方法过程中仅仅通过sim卡和网络端交互便可完成，其鉴权过程无法控制，因此很容易在鉴权过程中泄露重要信息，降低了鉴权过程的安全性和保密性。


技术实现要素：

5.本发明实施例提供一种用户身份识别卡的鉴权控制方法和系统，通过在移动终端部署鉴权控制应用程序，使得移动终端能够在鉴权控制应用程序指示下调用设置于该移动终端中的用户身份识别卡的应用协议数据单元，使得用户身份识别卡可根据鉴权控制信息执行鉴权过程，以解决现有技术中鉴权过程的安全性和保密性低的问题。
6.本发明实施例的第一方面提供一种用户身份识别卡的鉴权控制方法，应用于移动终端，所述移动终端内设置有用户身份识别卡，且所述移动终端部署有鉴权控制应用程序，所述方法包括：
7.所述移动终端在所述鉴权控制应用程序的指示下，调用所述用户身份识别卡的应用协议数据单元指令，所述应用协议数据单元指令携带鉴权控制信息；
8.所述移动终端向所述用户身份识别卡发送所述应用协议数据单元指令，所述鉴权控制信息用于控制所述用户身份识别卡的鉴权过程。
9.可选的，所述调用所述用户身份识别卡的应用协议数据单元指令，包括：
10.所述移动终端获取访问密钥，根据所述访问密钥调用所述应用协议数据单元指令。
11.可选的，所述调用所述用户身份识别卡的应用协议数据单元指令之前，所述方法
还包括：
12.所述移动终端在所述鉴权控制应用程序的指示下，在服务端获取所述用户身份识别卡的鉴权状态和鉴权密钥，并在所述鉴权状态为未鉴权时执行下一步骤。
13.本发明实施例的第二方面提供一种用户身份识别卡的鉴权控制方法，应用于用户身份识别卡，所述方法包括：
14.接收移动终端发送的应用协议数据单元指令，所述应用协议数据单元指令携带鉴权控制信息，所述应用协议数据单元指令是所述移动终端在所述鉴权控制应用程序的指示下调用的所述用户身份识别卡的应用协议数据单元指令；
15.根据所述鉴权控制信息执行鉴权过程。
16.可选的，所述鉴权控制信息包括鉴权时间段；
17.所述根据所述鉴权控制信息执行鉴权过程，包括：
18.在所述鉴权时间段内通过所述移动终端发送的鉴权请求，并根据所述鉴权请求完成鉴权过程。
19.可选的，所述方法还包括：
20.接收服务端发送的访问密钥，并将所述访问密钥发送至移动终端，以使所述移动终端获取到所述访问密钥之后根据所述访问密钥调用所述用户身份识别卡的应用协议数据单元指令。
21.本发明实施例的第三方面提供一种用户身份识别卡的鉴权控制系统，包括：移动终端和用户身份识别卡，所述用户身份识别卡设置在所述移动终端中，且所述移动终端部署有鉴权控制应用程序；
22.其中，所述移动终端在所述鉴权控制应用程序的指示下，调用所述用户身份识别卡的应用协议数据单元指令，所述应用协议数据单元指令携带鉴权控制信息；
23.所述移动终端向所述用户身份识别卡发送所述应用协议数据单元指令；
24.所述用户身份识别卡接收移动终端发送的应用协议数据单元指令，并根据所述鉴权控制信息执行鉴权过程。
25.本发明实施例的第四方面提供一种计算机设备，包括：至少一个处理器和存储器；
26.所述存储器存储计算机执行指令；
27.所述至少一个处理器执行所述存储器存储的计算机执行指令，使得所述至少一个处理器执行本发明实施例第一方面或第二方面所述的用户身份识别卡的鉴权控制方法。
28.本发明实施例的第五方面提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机执行指令，当处理器执行所述计算机执行指令时，实现本发明实施例第一方面或第二方面所述的用户身份识别卡的鉴权控制方法。
29.本发明实施例的第六方面提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现本发明实施例第一方面或第二方面所述的用户身份识别卡的鉴权控制方法。
30.本发明实施例提供一种用户身份识别卡的鉴权控制方法，该方法通过在移动终端部署鉴权控制应用程序，使得移动终端能够在鉴权控制应用程序指示下调用设置于该移动终端中的用户身份识别卡的应用协议数据单元指令，又因为所述应用协议数据单元指令携带鉴权控制信息；因此，移动终端向所述用户身份识别卡发送所述应用协议数据单元指令
之后，能够通过该应用协议数据单元指令控制所述用户身份识别卡的鉴权过程，仅仅通过设置在移动终端内的用户身份识别卡无法单独完成鉴权，从而使得用户身份识别卡的鉴权过程可由移动终端部署的鉴权控制应用程序来控制，进而提高了鉴权过程中的安全性和保密性。
附图说明
31.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
32.图1是现有用户身份识别卡的鉴权方法的流程示意图；
33.图2是本发明一示例性实施例示出的用户身份识别卡的鉴权控制方法的流程示意图；
34.图3是本发明另一示例性实施例示出的用户身份识别卡的鉴权控制方法的流程示意图；
35.图4是本发明一示例性实施例示出的用户身份识别卡的鉴权控制系统的架构图；
36.图5是本发明一示例性实施例示出的计算机设备的结构示意图。
具体实施方式
37.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
38.本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
39.图1是现有用户身份识别卡的鉴权方法的流程示意图。相关技术在，用户将sim卡装入移动终端之后，移动终端开机之后自动读取sim卡中的系列信息并向sim卡发送鉴权请求，在鉴权过程中，如图1所示，sim向网络端发送鉴权请求，该鉴权请求包括该sim卡对应的imsi和鉴权密钥ki，网络端生成一个随机数rand，然后利用sim中存储的imsi和鉴权密钥计算出鉴权结果sres和通话加密密钥kc，同时sim卡端也根据网络端生成的随机数rand以及imsi和鉴权密钥ki生成鉴权结果sres和通话加密密钥kc，若网络端和sim计算结果相同，则鉴权成功。鉴权成功之后便可以登网使用网络了。然而，该鉴权方法过程中仅仅通过sim卡和网络端交互便可完成，其鉴权过程无法控制，因此很容易在鉴权过程中泄露重要信息，降低了鉴权过程的安全性和保密性。
40.针对此缺陷，本发明的技术方案主要在于：通过在移动终端部署鉴权控制应用程序，使得移动终端能够在鉴权控制应用程序指示下调用设置于该移动终端中的用户身份识别卡的应用协议数据单元(application protocol data unit，apdu)指令，又因为所述应用协议数据单元指令携带鉴权控制信息；因此，移动终端向所述用户身份识别卡发送所述应用协议数据单元指令之后，能够通过该应用协议数据单元指令控制所述用户身份识别卡的鉴权过程，仅仅通过设置在移动终端内的用户身份识别卡无法单独完成鉴权，从而使得用户身份识别卡的鉴权过程可由移动终端部署的鉴权控制应用程序来控制，进而提高了鉴权过程中的安全性和保密性。
41.图2是本发明一示例性实施例示出的用户身份识别卡的鉴权控制方法的流程示意图，本实施例以移动终端的执行为例对鉴权控制方法进行描述。
42.需要说明的是，本实施例中，移动终端内设置有用户身份识别卡，且所述移动终端部署有鉴权控制应用程序。
43.如图2所示，本实施例提供的方法可以包括如下步骤；
44.s201，所述移动终端在所述鉴权控制应用程序的指示下，调用所述用户身份识别卡的应用协议数据单元指令，所述应用协议数据单元指令携带鉴权控制信息。
45.具体的，apdu)是读卡器和sim卡之间的通信单元，移动终端部署的鉴权控制应用程序调用sim卡的apdu指令，apdu指令中包含鉴权控制信息，通过调用sim卡的adpi指令触发sim卡的鉴权功能，以控制终端用户打电话、发短信、上网等网络能力。
46.s202，所述移动终端向所述用户身份识别卡发送所述应用协议数据单元指令，所述鉴权控制信息用于控制所述用户身份识别卡的鉴权过程。
47.具体的，移动终端调用到sim卡的apdu指令之后，将该apdu指令发送至自身安装的sim卡，以控制sim卡鉴权。
48.示例性的，手机app可以发送apdu指令，要求sim卡在30分钟有效期内，通过手机操作性系统或者通信模组(或是通信模组直接通过7816接口与sim卡通信)的网络鉴权请求，并完成鉴权。
49.本实施例中，通过在移动终端部署鉴权控制应用程序，使得移动终端能够在鉴权控制应用程序指示下调用设置于该移动终端中的用户身份识别卡的应用协议数据单元指令，又因为所述应用协议数据单元指令携带鉴权控制信息；因此，移动终端向所述用户身份识别卡发送所述应用协议数据单元指令之后，能够通过该应用协议数据单元指令控制所述用户身份识别卡的鉴权过程，仅仅通过设置在移动终端内的用户身份识别卡无法单独完成鉴权，从而使得用户身份识别卡的鉴权过程可由移动终端部署的鉴权控制应用程序来控制，进而提高了鉴权过程中的安全性和保密性。
50.在一种或多种可能的实施例中，所述调用所述用户身份识别卡的应用协议数据单元指令，包括：所述移动终端获取访问密钥，根据所述访问密钥调用所述应用协议数据单元指令。
51.具体的，apdu指令需要有正确的访问密钥才能调用，通常，服务端存储有每张sim卡的访问密钥，服务端将访问密钥发送至sim卡，鉴权控制app在sim卡获取访问密钥，根据所述访问密钥调用所述应用协议数据单元指令。
52.在一种或多种可能的实施例中，所述调用所述用户身份识别卡的应用协议数据单
元指令之前，所述方法还包括：所述移动终端在所述鉴权控制应用程序的指示下，在服务端获取所述用户身份识别卡的鉴权状态和鉴权密钥，并在所述鉴权状态为未鉴权时执行下一步骤。
53.具体的，每张sim卡的鉴权状态和鉴权密钥都统一存储在服务端，用于与sim卡通信，避免sim卡的鉴权控制过程被破解。因此，部署在移动终端的鉴权控制app需要在服务端获取sim卡对应的鉴权状态和鉴权密钥，当鉴权状态为未鉴权时，调用sim卡的apdu指令，从而触发sim卡鉴权。
54.图3是本发明另一示例性实施例示出的用户身份识别卡的鉴权控制方法的流程示意图，本实施例以sim卡的执行为例对鉴权控制方法进行描述。
55.如图3所示，本实施例提供的方法可以包括如下步骤；
56.s301，接收移动终端发送的应用协议数据单元指令，所述应用协议数据单元指令携带鉴权控制信息，所述应用协议数据单元指令是所述移动终端在所述鉴权控制应用程序的指示下调用的所述用户身份识别卡的应用协议数据单元指令。
57.具体的，apdu)是读卡器和sim卡之间的通信单元，移动终端部署的鉴权控制应用程序调用sim卡的apdu指令，apdu指令中包含鉴权控制信息，通过调用sim卡的adpi指令触发sim卡的鉴权功能，以控制终端用户打电话、发短信、上网等网络能力。
58.s302，根据所述鉴权控制信息执行鉴权过程。
59.具体的，移动终端调用到sim卡的apdu指令之后，将该apdu指令发送至自身安装的sim卡，以控制sim卡鉴权。
60.示例性的，手机app可以发送apdu指令，要求sim卡在30分钟有效期内，通过手机操作性系统或者通信模组(或是通信模组直接通过7816接口与sim卡通信)的网络鉴权请求，并完成鉴权。
61.本实施例中，通过在移动终端部署鉴权控制应用程序，使得移动终端能够在鉴权控制应用程序指示下调用设置于该移动终端中的用户身份识别卡的应用协议数据单元指令，又因为所述应用协议数据单元指令携带鉴权控制信息；因此，移动终端向所述用户身份识别卡发送所述应用协议数据单元指令之后，能够通过该应用协议数据单元指令控制所述用户身份识别卡的鉴权过程，仅仅通过设置在移动终端内的用户身份识别卡无法单独完成鉴权，从而使得用户身份识别卡的鉴权过程可由移动终端部署的鉴权控制应用程序来控制，进而提高了鉴权过程中的安全性和保密性。
62.在一种或多种可能的实施例中，所述鉴权控制信息包括鉴权时间段；所述根据所述鉴权控制信息执行鉴权过程，包括：在所述鉴权时间段内通过所述移动终端发送的鉴权请求，并根据所述鉴权请求完成鉴权过程。
63.具体的，移动终端开机后自动读取sim卡的系列信息，然后通过鉴权控制app调用apdu指令以向sim卡发送鉴权请求，sim卡在接收到apdu指令之后，对其进行解析得到鉴权控制信息中的鉴权时间段，在鉴权时间段内通过鉴权请求，并完成整个鉴权过程。
64.需要说明的是，本实施例中的鉴权过程和现有技术中的鉴权过程类似，此处不再详细说明。
65.在一种或多种可能的实施例中，所述方法还包括：接收服务端发送的访问密钥，并将所述访问密钥发送至移动终端，以使所述移动终端获取到所述访问密钥之后根据所述访
问密钥调用所述用户身份识别卡的应用协议数据单元指令。
66.具体的，apdu指令需要有正确的访问密钥才能调用，通常，服务端存储有每张sim卡的访问密钥，服务端将访问密钥发送至sim卡，鉴权控制app在sim卡获取访问密钥，根据所述访问密钥调用所述应用协议数据单元指令。
67.本实施例中，若sim卡在限定时间内没有收到鉴权控制app发送的apdu指令，则sim卡拒绝所有后续的网络鉴权认证。也就是说，通过移动终端中部署的鉴权控制app来控制sim卡的鉴权，从而保证了鉴权过程中的安全性和保密性。
68.图4是本发明一示例性实施例示出的用户身份识别卡的鉴权控制系统的架构图。
69.如图4所示，本实施例提供的系统包括：移动终端401和用户身份识别卡402，所述用户身份识别卡设置在所述移动终端中，且所述移动终端部署有鉴权控制应用程序；其中，所述移动终端在所述鉴权控制应用程序的指示下，调用所述用户身份识别卡的应用协议数据单元指令，所述应用协议数据单元指令携带鉴权控制信息；所述移动终端向所述用户身份识别卡发送所述应用协议数据单元指令；所述用户身份识别卡接收移动终端发送的应用协议数据单元指令，并根据所述鉴权控制信息执行鉴权过程。
70.进一步的，所述系统还包括：服务端403，服务端存储有每张sim卡的鉴权状态和鉴权密钥都，用于与sim卡通信，避免sim卡的鉴权控制过程被破解。因此，部署在移动终端的鉴权控制app需要在服务端获取sim卡对应的鉴权状态和鉴权密钥，当鉴权状态为未鉴权时，调用sim卡的apdu指令，从而触发sim卡鉴权。
71.进一步的，服务端还用于向sim卡以加密二进制短信的发送访问密钥，该访问密钥用于访问sim卡的apdu指令，移动终端获取访问密钥，根据访问密钥调用sim卡的apdu指令。
72.本实施例中，通过在移动终端部署鉴权控制应用程序，使得移动终端能够在鉴权控制应用程序指示下调用设置于该移动终端中的用户身份识别卡的应用协议数据单元指令，又因为所述应用协议数据单元指令携带鉴权控制信息；因此，移动终端向所述用户身份识别卡发送所述应用协议数据单元指令之后，能够通过该应用协议数据单元指令控制所述用户身份识别卡的鉴权过程，仅仅通过设置在移动终端内的用户身份识别卡无法单独完成鉴权，只有sim卡在接收到移动终端部署的鉴权app发送的apdu指令之后才能触发鉴权功能，从而使得用户身份识别卡的鉴权过程可由移动终端部署的鉴权控制应用程序来控制，进而提高了鉴权过程中的安全性和保密性。
73.本实施例中提供的各个模块的具体功能实现可参考上述有关方法实施例中的详细描述。
74.图5是本发明一示例性实施例示出的计算机设备的结构示意图。如图5所示，本实施例提供的计算机设备50包括：至少一个处理器501和存储器502。其中，处理器501、存储器502通过总线503连接。
75.在具体实现过程中，至少一个处理器501执行所述存储器502存储的计算机执行指令，使得至少一个处理器501执行上述方法实施例中的方法。
76.处理器501的具体实现过程可参见上述方法实施例，其实现原理和技术效果类似，本实施例此处不再赘述。
77.在上述的图5所示的实施例中，应理解，处理器可以是中央处理单元(英文：central processing unit，简称：cpu)，还可以是其他通用处理器、数字信号处理器(英文：
digital signal processor，简称：dsp)、专用集成电路(英文：application specific integrated circuit，简称：asic)等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合发明所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。
78.存储器可能包含高速ram存储器，也可能还包括非易失性存储nvm，例如至少一个磁盘存储器。
79.总线可以是工业标准体系结构(industry standard architecture，isa)总线、外部设备互连(peripheral component interconnect，pci)总线或扩展工业标准体系结构(extended industry standard architecture，eisa)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示，本技术附图中的总线并不限定仅有一根总线或一种类型的总线。
80.本技术的另一实施例提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机执行指令，当处理器执行所述计算机执行指令时，实现上述方法实施例中的用户身份识别卡的鉴权控制方法。
81.本技术的另一实施例提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现本发明实施例第一方面所述的用户身份识别卡的鉴权控制方法。
82.上述的计算机可读存储介质，上述可读存储介质可以是由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(sram)，电可擦除可编程只读存储器(eeprom)，可擦除可编程只读存储器(eprom)，可编程只读存储器(prom)，只读存储器(rom)，磁存储器，快闪存储器，磁盘或光盘。可读存储介质可以是通用或专用计算机能够存取的任何可用介质。
83.一种示例性的可读存储介质耦合至处理器，从而使处理器能够从该可读存储介质读取信息，且可向该可读存储介质写入信息。当然，可读存储介质也可以是处理器的组成部分。处理器和可读存储介质可以位于专用集成电路(application specific integrated circuits，简称：asic)中。当然，处理器和可读存储介质也可以作为分立组件存在于设备中。
84.本领域普通技术人员可以理解：实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时，执行包括上述各方法实施例的步骤；而前述的存储介质包括：rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。
85.最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。