SIM(Subscriber Identity Module,用户识别模块)和USIM(Universal Subscriber IdentityModule,全球用户识别模块)都是在UICC(Universal Integrated Circuit Card,通用集成电路卡)卡上的网络接入应用,移动终端需要通过UICC卡上的SIM应用或者USIM应用作为用户身份标识登入运营商网络。
也就是说UICC是物理实体卡,而SIM或者USIM则是卡上的应用,但是在日常使用中为了简化起见,通常将搭载了SIM模块的UICC卡称为SIM卡,将搭载了USIM模块的UICC卡称为USIM卡。SIM/USIM卡都是存储用户的一些签约数据和鉴权密钥等信息,用于用户终端接入网络时的身份认证。
SIM卡通常应用于2G网络,采用单向鉴权,USIM卡通常应用于3G/LTE网络,采用双向鉴权。由于双向鉴权有效提升了安全性,加上目前USIM卡能够搭载多个UICC应用,允许卡上业务的扩展,目前,USIM卡成为了运营商主要发行的卡品。
USIM卡作为用户在运营商网络中的身份标识,并且USIM卡携带鉴权使用的加密算法,因此,USIM卡作为移动终端上一个低成本的安全硬件来使用,利用运营商为用户提供的可信身份标识为终端上其他应用提供安全认证的服务。另外USIM卡存储容量、访问速度的扩展也使USIM卡可以为终端提供一些敏感数据的安全存储服务。(难怪以前的电话卡保存的联系人和短信是有限的)
目前,USIM卡上运营商的身份标识只应用在用户接入运营商网络时的鉴权,而对于其他的业务并没有提供任何用户身份识别的能力。在移动互联网时代,USIM卡可以通过开发身份认证应用扩展成为用户手中的信息应用枢纽和融合身份鉴权中心,为用户终端的各种应用业务提供统一的身份认证,发挥用户身份管理、应用安全访问的作用。USIM统一认证服务架构示意如图3-7所示。
运营商可以建立基于USIM卡的统一身份认证平台,为各种移动互联网应用业务提供用户身份验证的服务,同时在发行的USIM卡上建立用户身份认证的应用,也为手机终端提供相应的安全访问API。
手机终端上的应用可以调用安全访问API从USIM卡上读取用户身份认证信息,使用USIM身份认证信息登录应用服务端,应用服务端使用接收到的USIM身份认证信息向运营商的统一身份认证平台请求验证身份。身份验证通过后,运营商的统一身份认证平台向应用客户端调用安全访问API发出应用授权请求,同时向应用服务端发出验证通过的响应。这样,应用服务端就完成了对客户端的用户身份验证,保护了后续的业务访问安全。
USIM卡作为用户使用手机终端的必备硬件,成本低廉,又具有运营商发行管理的用户可信任认证标识。运营商可以建立基于USIM卡的统一管理平台,通过开放API,实现多种移动互联网应用的身份认证功能,提升移动智能终端各种业务的整体安全性。
除了发挥USIM卡作为网络鉴权以及用户身份管理、应用安全访问的身份认证能力之外,运营商还希望拓展USIM卡的信息存储能力和应用呈现能力,改进USIM卡应用的运行环境和业务体验水平,拓展以USIM卡为中心的自有业务平台和移动互联网应用运行环境,使USIM卡成为一个信息应用枢纽。
中国联通尝试推出了大容量USIM卡产品,通过IC-USB技术,解决了卡的大容量数据存储、机卡接口速率瓶颈问题,构建了高效的卡应用运行环境,为USIM卡支持多种创新应用如移动支付、云存储等提供了技术解决方案。 (其实这种还是应该安全等级比外界的终端硬件的安全等级高吧)
参考资料
•《移动互联网时代的智能终端安全》
作者:Hcoco
文章来源:TrustZone
推荐阅读
更多物联网安全,PSA等技术干货请关注平台安全架构(PSA)专栏。欢迎添加极术小姐姐微信(id:aijishu20)加入PSA技术交流群,请备注研究方向。
