CN101406021B - 基于sim的认证 - Google Patents
基于sim的认证 Download PDFInfo
- Publication number
- CN101406021B CN101406021B CN2007800093076A CN200780009307A CN101406021B CN 101406021 B CN101406021 B CN 101406021B CN 2007800093076 A CN2007800093076 A CN 2007800093076A CN 200780009307 A CN200780009307 A CN 200780009307A CN 101406021 B CN101406021 B CN 101406021B
- Authority
- CN
- China
- Prior art keywords
- authentication
- user terminal
- network
- user
- authenticate key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种在通信网络中认证的方法,所述通信网络包括网络认证服务器、本地认证实体以及用户终端,所述本地认证实体包括用户应用和认证应用,所述方法包括以下步骤:从本地认证实体向网络认证服务器发送对用户终端进行认证的请求,所述请求包括用户终端的身份标识;作为对所述请求的响应,由网络认证实体生成认证密钥,并由用户应用生成相同的认证密钥;安全地向由所述身份标识所标识的用户终端发送由网络认证服务器生成的认证密钥,接着将该认证密钥存储在用户终端处;安全地向认证应用发送由用户应用生成的认证密钥,接着将该认证密钥存储在认证应用处;以及通过利用存储在认证应用的认证密钥验证存储在用户终端的认证密钥,对用户终端进行认证。
Description
技术领域
本发明大致涉及无线通信网络中的移动终端的认证领域,具体地说,涉及用于由用户身份识别模块提供此类认证的方法和***。
背景技术
SIM(用户身份识别模块)卡是通常可以在移动电话中看到的智能卡。实际上,SIM卡是在例如GSM或UMTS(通用移动通信***)的移动蜂窝通信网络中运行的几乎全部移动电话的必要部件。在例如UMTS的第三代(3G)网络中,SIM卡能够支持多种应用,包括主要用于在3G网络中对移动用户进行认证的标准SIM应用。
过去,GSM和3G中基于SIM的认证总是与移动蜂窝网络自身链接。例如,在3G中,基于SIM的认证链接到核心移动蜂窝网络内的归属用户服务器(HSS)。HSS存储与SIM相关联的用户和认证信息,并通过验证存储在SIM卡上的信息对SIM进行认证,接着对移动电话进行认证。这是利用质询回应技术(challenge response technique)来验证HSS和SIM两者上安全地保持的共享密钥是一致的来实现的。一旦认证,另一认证密钥可由HSS和SIM生成,使得可安全地进行HSS和移动蜂窝网络中由HSS授权的其他实体例如应用服务器之间、以及和包含SIM的装置之间的通信。
然而,在现有***中,没有规定从移动装置或SIM自身启动认证,并直接地而不是通过HSS或移动蜂窝网络将认证导向其他本地实体或其他装置。
事实上,在现有***中不存在规定更有效地使用SIM,并且特别是不存在利用SIM的防篡改特性以及在例如本地Wi-Fi网络的本地环境中SIM卡认证能力的规定。例如3G规范下的通用认证架构(GAA,GenericAuthentication Architecture)或用于SIM的可扩展认证协议(EAP-SIM,Extensible Authentication Protocol for SIM)的现有解决方案利用HSS和SIM之间的现有非对称关系,并要求在每个认证处理过程中引入网络运营商,并因此在实际认证中要求连接到运营商的设备。此类解决方案不适用于不总能保证连接到运营商的设备的本地环境,或者一旦设置本地网络,运营商不愿充当主要认证源的情形。
发明内容
本发明的实施方式的目的是解决上述问题并提供改进的SIM驱动的认证***和方法。
根据本发明的一个方面,提供了一种在通信网络中认证的方法,所述通信网络包括网络认证服务器、本地认证实体以及用户终端,所述本地认证实体包括用户应用和认证应用,所述方法包括以下步骤:
(i)从所述本地认证实体向所述网络认证服务器发送对所述用户终端进行认证的请求,所述请求包括用户终端的身份标识;
(ii)作为对所述请求的响应,由所述网络认证实体生成认证密钥,并由用户应用生成相同的认证密钥;
(iii)安全地向由所述身份标识所标识的用户终端发送由所述网络认证服务器生成的认证密钥,接着将所述认证密钥存储在所述用户终端处;
(iv)安全地向所述认证应用发送由所述用户应用生成的认证密钥,接着在所述认证应用处存储认证密钥;以及
(v)通过利用存储在所述认证应用处的认证密钥验证存储在所述用户终端处的认证密钥来对所述用户终端进行认证。
优选地,所述本地认证实体还包括用户身份识别模块(SIM),并且用户身份识别模块应用和所述认证应用安全地设置在所述用户身份标识模块上。
可由所述网络认证服务器生成认证密钥的事实是基于在网络认证服务器和用户应用两者上都持有的共享密钥。
向所述网络认证服务器发送的所述请求中发送的标识可以是与所述用户终端相关联的国际移动用户识别码。
优选地,所述通信网络是移动蜂窝网络,但本地认证实体和所述用户终端之间的通信是本地网络上的而不是无线蜂窝网络上的通信。所述本地网络可以是Wi-Fi网络。
本发明的实施方式使得本地认证实体(例如是家庭集线器(homehub))中的SIM卡能够改变与移动网络运营商的现有关系以建立安全的和经认证的本地网络,其中家庭集线器中的SIM可用作其他具有SIM的装置的认证中心。
这将把移动网络中现有的SIM认证技术改变为新的网络配置,包括可在用户的家庭或小商店创建并维护的本地网络。
这有助于确保在配置本地网络的安全提供,或者在任何时候这种提供变为必需时,确保有效地使移动网络运营商能够起到监管者甚至是本地网络的管理者的作用。同时,用于进行本地网络内的认证而无需与网络运营商的互动,使得诸如归属用户服务器之类的必要的运营商的资源不涉及到每个认证。
在优选实施方式中,所述网络认证服务器和所述用户终端利用会话密钥确保步骤(iii)中所述认证密钥的发送。所述会话密钥可以是由所述网络认证服务器和所述用户终端两者基于所述网络认证服务器和所述用户终端两者都持有的公共密钥生成。
步骤(iii)中存储在所述用户终端的认证密钥可用于代替所述用户终端处所持有的公共密钥。
在另一优选实施方式中,所述公共密钥和所述会话密钥由所述用户终端处的第一用户应用管理,并且所述认证密钥由所述用户终端处的第二用户应用管理。优选地,所述第一用户应用与所述移动蜂窝网络相关联,并且所述第二用户应用与所述本地网络相关联。
在本发明的第二实施方式中,提供了一种包括网络认证服务器、本地认证实体以及用户终端的通信网络,所述本地认证实体包括用户应用和认证应用,其中:
所述本地认证实体被配置为向所述网络认证服务器发送对所述用户终端进行认证的请求,其中所述请求包括所述用户终端的身份标识;
所述网络认证服务器被配置为响应于来自所述本地认证实体的请求而生成认证密钥,并且向由所述请求中的身份标识所标识的用户终端安全地发送所述认证密钥;
所述用户终端被配置为存储由所述网络认证服务器发送的认证密钥;
所述用户应用被配置为生成认证密钥并将该认证密钥安全地发送到所述认证应用;以及
所述认证应用被配置为存储由所述用户认证发送的认证密钥,并通过利用存储在所述认证应用处的认证密钥验证存储在所述用户终端处的认证密钥来对所述用户终端进行认证。
附图说明
为了更好的理解本发明,下面将通过示例来参考附图,其中:
图1是例示了本发明的总体实施方式的网络图;
图2是例示了本发明的一个实施方式的消息流程图;
图3是例示了本发明的另一个实施方式的确保归属用户服务器和用户设备之间的通信链路的网络图;
图4是例示了本发明的另一个实施方式的消息流程图;
图5是例示了本发明的另一个实施方式的在用户设备的SIM卡上具有两个独立的SIM应用的网络图;以及
图6是例示了本发明的另一个实施方式的消息流程图。
具体实施方式
这里结合具体实施方式来描述本发明。然而,本发明不限于这些实施方式。
图1示出了网络配置100,其包括归属用户服务器HSS102、家庭集线器104和用户设备112。HSS102位于3G网络的移动蜂窝网络中。HSS102提供安全功能并存储与用户设备112和家庭集线器104相关联的用户信息。为了简洁,忽略了3G网络中常用的其他元件,例如基站、无线网络控制器以及网关。然而,本领域技术人员可理解的是当HSS102与家庭集线器104或其他用户设备112通信时在网络100运行中可使用这些元件。
家庭集线器104是通常在用户的家庭网络中使用的无线路由器。家庭集线器104是无线IEEE802.11(Wi-Fi)路由器并具有ADSL连接。家庭集线器包括SIM卡106。SIM卡106是安全地保存了多个应用的防篡改模块。这些应用可在SIM卡内以确保高度安全的信息交换的方式通信,因为不可能从外界监视SIM卡106内的通信。此外,可确保存储的并由所述应用处理的信息的公开将以遵守所涉及的安全协议的方式实现。例如,当SIM卡106保存共享秘密时,确保此类秘密永远不会在SIM卡106之外畅通无阻地公开,使得仅仅可以按照认证协议公开认证的结果(加密地使用此秘密的)。
在本示例中,SIM卡106保存2个应用:SIM应用108和认证或AuC应用110。AuC应用110的重要性和操作在下面对本发明的优选实施方式的讨论中变得明显。SIM应用108中安全地存储了共享密钥Ki124,其相同拷贝Ki120存储在HSS102中。
在3G以及诸如GSM的其他移动蜂窝网络下利用HSS102对家庭集线器104的认证是基于密钥共享原理的。当制造SIM卡106时共享密钥Ki124预载在SIM应用108上,另一拷贝Ki120存储在HSS102。由此,在启动任何通信之前,在家庭集线器104中的SIM卡106和和移动网络运营商之间先验地共享Ki。Ki形成随后HSS102和家庭集线器104之间的认证、密钥生成以及加密的基础。
HSS102和家庭集线器104可在通信链路118上通信。通信链路118可至少部分包括非同步数字用户线(ADSL)连接以及3G网络的移动蜂窝网络通信信道。本领域技术人员将理解的是可使用其他连接代替ADSL连接,例如数字用户线(DSL)、综合业务数字网络(ISDN)或甚至公共交换电话网络(PSTN)。通信链路118还向家庭集线器104提供经由因特网到其他业务的接入,而不需涉及移动网络。
用户设备112通常是移动电话,但可以是其他类似的装置,例如膝上型计算机或PDA。与家庭集线器104类似,用户设备112也包括防篡改SIM卡114。SIM卡114包括执行与家庭集线器104中的SIM应用108的类似认证功能的SIM应用116。用户设备112可在3G网络中运行。因此,SIM应用116可用来利用家庭集线器102对用户设备112进行认证。用户设备112和HSS102在遵循HSS102的移动蜂窝网络的3G协议的通信链路150上通信,并可至少部分包括无线空中接口。
用户设备112和家庭集线器104可在通信链路152上彼此通信。通信链路152可以是任何合适的信道,例如IEEE802.11(Wi-Fi)信道。也可使用其他信道,例如WiMax,低功率GSM以及蓝牙。由此,用户设备112还适于在Wi-Fi环境或类似环境中运行。
下面将参考图2更详细地描述本发明优选实施方式中的HSS102、家庭集线器104以及用户设备112的操作。应注意的是利用相同的附图标记指代相同的元件。
图2例示了本发明实施方式的消息流程图,其中首先通过HSS102认证家庭集线器104,并且接着家庭集线器104对用户设备112进行认证并确保通信链路152的安全。
如上所述,如步骤200和202分别示出的,共享密钥Ki120的拷贝存储在HSS102,而同一共享Ki124的相同拷贝由家庭集线器104中的SIM应用108存储。HSS102和SIM应用108之间的相互认证处理是基于在步骤204中双方出示知晓共享的密钥Ki。
在步骤204中,当用户设备112首次进入家庭集线器104的Wi-Fi域,在Wi-Fi通信链路152上启动发现处理。本领域技术人员可理解的是存在多种可用于用户设备112和家庭集线器104相互识别的发现技术。
发现处理的结果是家庭集线器104从与用户设备112相关联的SIM卡114获得国际移动用户标识码(IMSI)。可使用其他标识代替IMSI,只要用户设备112中的SIM卡114是被唯一标识的。由此,在步骤206,作为发现处理的结果,用户设备112中的SIM应用116向家庭集线器104中的SIM应用108发送IMSI。
或者,步骤204和206可由用户将用户设备112的IMSI直接输入家庭集线器102的单个步骤代替。无论哪种方法,家庭集线器104确定试图与之认证和通信的用户设备112的身份。
在步骤208,SIM应用108利用在步骤206中接收的IMSI向HSS102发出请求。该请求是用于生成用于对由IMSI标识的用户设备112进行认证的认证密钥。
在HSS102和SIM应用108均生成用于对用户设备112进行认证的适当认证密钥之前,进行HSS102和家庭集线器104之间的认证。
在步骤210,HSS102生成包括随机数RAND和网络认证令牌AUTN的认证向量。AUTN是基于存储在HSS102的共享密钥Ki120生成的。随机数RAND和认证令牌AUTN发送到家庭集线器104中的SIM应用108。SIM应用108检查AUTN以对HSS102进行认证,并且还根据接收的RAND和存储于SIM应用108上的共享密钥Ki124利用固定认证算法计算认证响应RES。响应RES被发送到HSS102。如果由HSS102接收的响应RES与HSS基于其自身利用RAND和其存储的共享密钥Ki120的拷贝利用相同认证算法所期望的响应相同,那么家庭集线器104得到认证。
接着,在步骤212,HSS102生成认证密钥Kc122。在步骤214,SIM应用108也生成认证密钥Kc126。由HSS102生成的认证密钥Kc122和由SIM应用108生成的认证密钥Kc126是相同的。
认证密钥Kc是基于共享密钥Ki生成的,并且可使用以下方法的一种或多种:选择原始密钥的部分,连接(concatenate)多个密钥,对密钥应用单向(哈希)函数,对原始密钥应用诸如XOR的一些逻辑转换或应用加密算法(例如DES),并考虑用户设备112的IMSI。本领域技术人员可理解的是还可使用其他方法,只要由HSS102和SIM应用108都使用同一方法。
在步骤216,由SIM应用108生成的认证密钥Kc126和用户设备112的IMSI传递到AuC应用110。由于此传递是在安全的防篡改模块的SIM卡106的内部发生,因此是安全地进行的。结果,AuC应用110可以确信由SIM应用108提供的Kc126和IMSI还没有被泄露。AuC应用110接着在步骤218将Kc126和IMSI一起存储。将Kc126和关联的IMSI一起存储使得AuC应用110能够保存多个认证密钥,每个认证密钥对应于它期望认证和与其通信的每个用户设备。IMSI或类似标识符的存在使得AuC应用110能够区分并管理认证密钥。
在步骤220,HSS102安全地向用户设备112中的SIM卡上的SIM应用116提供认证密钥Kc122。HSS102通过步骤208中提供的IMSI获知向哪个用户设备112发送Kc122。
应注意的是假设已经确保了HSS102和用户设备112之间的通信信道150的安全。例如,这可以是根据HSS102和用户设备112之间的基于共享密钥的3G下常用的质询响应方法,其结果是对通信信道122的安全加密。可使用其他技术确保信道150的安全。下面参考图3和图4例示的实施方式描述了一种此类技术。
在步骤222中,用户设备112中的SIM应用104存储Kc122。
家庭集线器104和用户设备112现在共享公共认证密钥Kc。因此,家庭集线器104中的AuC应用110可根据认证密钥Kc经由通信链路152在步骤224中对用户设备112进行认证。
用于对用户设备进行认证的方法是基于利用类似于步骤210中用于对HSS102和家庭集线器104进行认证的认证向量。然而,可使用任何方法,其中用存储在AuC应用110中的Kc126验证用户设备112中的Kc122。
此外,或者通过使用认证密钥Kc直接对经由通信链路152发送的数据加密,或者与根据Ki创建Kc类似,使用Kc作为导出专用于此目的的加密密钥的基础,认证密钥Kc可用于确保家庭集线器104和用户设备112之间的通信链路152的安全。
此处描述的实施方式对于将新用户设备带入本地Wi-Fi网络使得在发生任何通信之前在此类装置和家庭集线器之间必须建立认证能力的情形是特别有利的。此类装置的其他示例可以是支持Wi-Fi的电话或媒体播放器。在两种情况下所述装置的适当认证是必须的,使得从此类装置发出的请求(例如启动增值呼叫或对受限访问内容的请求)可由家庭集线器104适当地处理。本实施方式确保建立此类能力的强大而方便的方法。
图3示出了本发明替代实施方式中的网络配置300。类似于图1的网络100,网络300包括HSS102、家庭集线器104以及用户设备112。已经利用相同附图标记来指示图1和图3中的相同元件。然而,图3中的实施方式更详细地示出了如何确保HSS102和用户设备112之间的通信链路150的安全。
开始时,家庭集线器102和用户设备112已经存储了公共密钥Kb。Kb302安全地存储在HSS102处,并且相同的Kb306安全地存储在用户设备112中的SIM卡114的SIM应用116中。该公共密钥Kb与相对于图1描述的共享密钥Ki类似,因为该公共密钥Kb先验地在HSS102和SIM应用之间116共享。然而,Kb还可在HSS102和SIM应用116之间通过其他方式共享,只要HSS102和SIM应用116两者都具有Kb的相同拷贝。
下面将参考图4的消息流程图更详细地描述图3所例示的实施方式的操作。
在步骤400,将Ki120的拷贝和Kb302存储在HSS102处。在步骤402,将Ki的相同拷贝124存储在家庭集线器104中的SIM应用108处。在步骤404,将公共密钥Kb的相同拷贝存储在用户设备112的SIM应用116中。
HSS102和SIM应用108之间的相互认证处理是基于在步骤204双方表示知道共享密钥Ki。类似地,将参考步骤422到428更详细地描述HSS102和用户设备112之间的认证处理和通信链路150的安全确保。
首先,在步骤406,在家庭集线器104和用户设备112之间进行发现。随后的使得家庭集线器104中的AuC应用110能够在步骤420安全地接收并存储与用户设备112相关联的IMSI和会话密钥Kc的具体步骤与图2中对应的步骤相同。因此,图4中的步骤406到420与图2中的步骤204到218对应。
接着,在步骤422中,HSS102和用户设备112中的SIM应用116利用公共密钥Kb进行相互认证。该处理与图2中的步骤210类似,在步骤210中HSS102和家庭集线器104之间的认证利用共享密钥Ki进行。该认证的结果是HSS102在步骤424生成会话密钥304,并且在步骤426,SIM应用116也生成相同的会话密钥Ks308。
在步骤428,HSS102和用户设备112中的SIM应用116利用会话密钥Ks确保通信链路150的安全。这是利用Ks作为对在通信链路150上发送的数据加密的基础完成的。由此,HSS102接着能够安全地向用户设备122的SIM应用116提供认证密钥Kc122。HSS102通过步骤418中提供的IMSI获知向哪个用户设备112发送Kc122。
在步骤430,用户设备112中的SIM应用116存储Kc122。实际上,如图3所示,Kc可替代初始的公共密钥Kb。
本实施方式使得(HSS102的)移动网络运营商能够起到移动装置的“白标签”发行者的作用。在此方案中,运营商可将提供运营商和装置之间关系的SIM卡安装在移动装置,使得只要需要,该装置就能够由运营商在移动网络上管理和提供。然而,一旦装置已经到达消费者手中,如果移动网络运营商允许,消费者可接管此关系,使得消费者对装置的管理负责。这通过使得消费者能够生成并利用其自身的认证密钥Kc代替装置中的原始公共密钥Ks来实现。
家庭集线器104和用户设备112现在共享认证密钥Kc。因此,家庭集线器104可基于该认证密钥Kc在通信网络152在步骤432对用户设备112进行认证,并还可基于该认证密钥Kc确保通信链路152的安全。
图5示例了本发明另一实施方式的网络配置。网络500与图1的网络300类似并包括HSS102、家庭集线器104以及用户设备112。利用相同附图标记指代图3和图5中的相同元件。
网络500中除了用户设备112中的SIM卡114之外的网络配置具有两个SIM应用:SIM应用(1)502和SIM应用(2)504。在单个SIM卡上使用两个独立的SIM应用使得一个SIM应用502能够利用所生成的如图3和图4中描述的会话密钥Ks处理通信链路150的安全提供,而另一SIM应用504能够用于处理用于家庭集线器104和用户设备112之间的认证的认证密钥kc。
下面将参考图6更详细描述两个SIM应用502和504的具体操作。
图6例示了消息流程图,其中家庭集线器104对用户设备112进行认证,并随后确保该两个实体之间的通信链路152的安全。请注意图6包括与图4中对应标号的步骤相同的步骤400到426。然而,在图6中,SIM应用116由SIM应用(1)502代替。由此,在步骤426完成后,HSS102和SIM应用(1)502两者都会生成相同的会话密钥Ks。
在步骤426之后,该方法进入步骤602,其中HSS102利用所生成的会话密钥Ks304确保到达用户设备112的通信链路150的安全。在步骤602,HSS102安全地向SIM应用(2)504提供认证密钥Kc122。
请注意HSS102知道SIM卡114包含两个SIM应用502和504,并且能够确定认证处理422中涉及哪个应用以及哪个应用应在步骤602提供。用户设备112能够从HSS102和用户识别112之间的通信环境识别出安全提供是与SIM应用(2)504关联的而不是与SIM应用(1)502关联的。例如HSS102可在步骤602发送的提供信息中包括标识符,以指令用户设备112建立对SIM应用(2)504的提供。
SIM应用(2)504接着在步骤604中安全地在SIM卡114上存储该认证密钥Kc122。
如先前的实施方式一样,家庭集线器104和用户设备112现在共享认证密钥Kc。因此,在步骤606中家庭集线器104能够基于认证密钥Kc在通信链路152上对用户设备112进行认证。对于先前的实施方式,用于认证的具体方法是基于存储在家庭集线器104中的AuC应用110和用户设备112中的SIM应用(2)504处的Kc的交叉验证。另外,或者利用Kc对在通信链路152发送的数据直接加密,或者利用Kc作为为此目的导出具体加密密钥的基础,Kc可用于确保家庭集线器104和用户设备112之间的通信链路152的安全。
本实施方式对于用户设备可能希望具有两个身份标识从而能够同时在两种不同网络中运行的情形是有利的。本实施方式允许移动网络运营商保留提供关系使得运营商能够例如在损坏或锁定SIM卡的情况下恢复该关系。此外,移动运营商还能在用户设备处于用户的本地网络之外时向该用户设备例如通过现有的3G设施向用户提供通信业务。同时用户能够具有对本地网络内的用户设备的强大的认证方法,使得消费者能够安全地使用用户设备进行敏感或增值业务而不涉及移动网络运营商。
上述示例是参考包括UMTS内和UMTS-GSM配置的3G环境描述的。然而,本领域技术人员能够理解的是本方法可由其他类型的通信网络采用,例如GSM,IEEE802.11或因特网。
这里注意到尽管上面描述了本发明的示例,还存在可对所描述的示例作出的多种变化和修改而不偏离由所附权利要求限定的本发明的范围。本领域技术人员将能够辨别对所描述的示例的修改。
Claims (16)
1.一种通信网络(100)中的认证方法,所述通信网络(100)包括网络认证服务器(102)、本地认证实体(104)以及用户终端(112),所述本地认证实体(104)包括用户应用(108)和认证应用(110),所述方法包括以下步骤:
(i)从所述本地认证实体(104)向所述网络认证服务器(102)发送(208)对所述用户终端(112)进行认证的请求,所述请求包括所述用户终端(112)的身份标识;
(ii)所述网络认证服务器(102)响应于所述请求生成(212)认证密钥(122),并由所述用户应用(108)生成(214)相同的认证密钥(124);
(iii)安全地向由所述身份标识所标识的用户终端(112)发送由所述网络认证服务器(102)生成的认证密钥,接着将该认证密钥存储在所述用户终端(112)处;
(iv)安全地向所述认证应用(110)发送由所述用户应用(108)生成的认证密钥,接着将该认证密钥存储在所述认证应用(110)处;
(v)通过利用存储在所述认证应用(110)处的认证密钥验证存储在所述用户终端(112)处的认证密钥,对所述用户终端(112)进行认证;
其中,所述本地认证实体(104)还包括用户身份标识模块(106),并且所述用户应用(108)和认证应用(110)被安全地设置在所述用户身份标识模块(106)上。
2.根据权利要求1所述的方法,其中由所述网络认证服务器(102)生成的认证密钥是根据所述网络认证服务器(102)和所述用户应用(108)两者都持有的共享密钥而得到的。
3.根据权利要求1或2所述的方法,其中所述身份标识是与所述用户终端(112)相关联的国际移动用户标识。
4.根据权利要求1或2所述的方法,其中所述通信网络(100)是移动蜂窝网络。
5.根据权利要求1或2所述的方法,其中所述认证步骤包括所述本地认证实体(104)和所述用户终端(112)之间在本地网络上的通信。
6.根据权利要求5所述的方法,其中所述本地网络是Wi-Fi网络。
7.根据权利要求1或2所述的方法,其中所述网络认证服务器(102)和所述用户终端(112)利用会话密钥来保证步骤(iii)中所述认证密钥的发送的安全。
8.根据权利要求7所述的方法,其中所述会话密钥是由所述网络认证服务器(102)和所述用户终端(112)两者基于所述网络认证服务器(102)和所述用户终端(112)两者都持有的公共密钥生成的。
9.根据权利要求8所述的方法,其中步骤(iii)中存储在所述用户终端处的认证密钥代替所述用户终端(112)处所持有的公共密钥。
10.根据权利要求7所述的方法,其中所述公共密钥和所述会话密钥由所述用户终端(112)处的第一用户应用(502)管理,而所述认证密钥由所述用户终端(112)处的第二用户应用(504)管理。
11.根据权利要求8所述的方法,其中所述公共密钥和所述会话密钥由所述用户终端(112)处的第一用户应用(502)管理,而所述认证密钥由所述用户终端(112)处的第二用户应用(504)管理。
12.根据权利要求10所述的方法,其中所述第一用户应用(502)与所述移动蜂窝网络相关联,并且所述第二用户应用(504)与所述本地网络相关联。
13.根据权利要求1或2所述的方法,其中所述网络认证服务器(102)是归属用户服务器。
14.根据权利要求1或2所述的方法,其中所述本地认证实体是无线路由器。
15.根据权利要求1或2所述的方法,其中所述用户终端是移动电话。
16.一种包括网络认证服务器(102)、本地认证实体(104)以及用户终端(112)的通信网络(100),所述本地认证实体(104)包括用户应用(108)和认证应用(110),其中:
所述本地认证实体(104)被配置为向所述网络认证服务器(102)发送对所述用户终端(112)进行认证的请求,其中所述请求包括所述用户终端(112)的身份标识;
所述网络认证服务器(102)被配置为响应于来自所述本地认证实体(104)的请求而生成认证密钥(122),并且向由所述请求中的身份标识所标识的用户终端(112)安全地发送所述认证密钥;
所述用户终端(112)被配置为存储由所述网络认证服务器(102)发送的认证密钥;
所述用户应用(108)被配置为生成认证密钥(124)并将该认证密钥安全地发送到所述认证应用(110);
所述认证应用(110)被配置为存储由所述用户应用(108)发送的认证密钥,并通过利用存储在所述认证应用(110)处的认证密钥验证存储在所述用户终端(112)处的认证密钥,来对所述用户终端(112)进行认证;并且
所述本地认证实体(104)还包括用户身份标识模块(106),并且所述用户应用(108)和认证应用(110)被安全地设置在所述用户身份标识模块(106)上。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP06251421.1 | 2006-03-16 | ||
| EP06251421A EP1835688A1 (en) | 2006-03-16 | 2006-03-16 | SIM based authentication |
| PCT/GB2007/000446 WO2007104909A1 (en) | 2006-03-16 | 2007-02-08 | Sim based authentication |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101406021A CN101406021A (zh) | 2009-04-08 |
| CN101406021B true CN101406021B (zh) | 2012-07-04 |
Family
ID=36676721
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007800093076A Active CN101406021B (zh) | 2006-03-16 | 2007-02-08 | 基于sim的认证 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8417218B2 (zh) |
| EP (2) | EP1835688A1 (zh) |
| KR (1) | KR101438243B1 (zh) |
| CN (1) | CN101406021B (zh) |
| WO (1) | WO2007104909A1 (zh) |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1327681C (zh) * | 2005-08-08 | 2007-07-18 | 华为技术有限公司 | 一种实现初始因特网协议多媒体子***注册的方法 |
| CN101848228B (zh) * | 2009-03-25 | 2015-04-29 | 黄金富 | 用sim卡认证电脑终端服务器isp身份的方法和*** |
| IT1398518B1 (it) * | 2009-09-25 | 2013-03-01 | Colombo | Safe milano |
| WO2011039495A1 (en) * | 2009-09-30 | 2011-04-07 | British Telecommunications Public Limited Company | Method for re-configuring a communications device |
| US9215220B2 (en) * | 2010-06-21 | 2015-12-15 | Nokia Solutions And Networks Oy | Remote verification of attributes in a communication network |
| US9641606B2 (en) * | 2010-06-22 | 2017-05-02 | Blackberry Limited | Peer to peer secure synchronization between handheld devices |
| FI20106032A0 (fi) | 2010-10-06 | 2010-10-06 | Teliasonera Ab | Henkilötietojen vahvistaminen tietoliikennejärjestelmän kautta |
| EP2461613A1 (en) * | 2010-12-06 | 2012-06-06 | Gemalto SA | Methods and system for handling UICC data |
| US8320883B2 (en) * | 2010-12-14 | 2012-11-27 | Battlefield Telecommunications Systems, Llc | Method to dynamically authenticate and control mobile devices |
| WO2012149219A2 (en) * | 2011-04-26 | 2012-11-01 | Apple Inc. | Electronic access client distribution apparatus and methods |
| KR101315670B1 (ko) * | 2011-05-25 | 2013-10-08 | 주식회사 슈프리마 | 보안인증 디바이스에 접근하는 스마트폰 등록 방법 및 등록된 스마트폰의 접근 권한 인증방법 |
| US9106633B2 (en) | 2011-05-26 | 2015-08-11 | First Data Corporation | Systems and methods for authenticating mobile device communications |
| EP2595422A4 (en) * | 2012-06-01 | 2014-05-14 | Huawei Device Co Ltd | METHOD, USER EQUIPMENT AND WIRELESS ROUTER DEVICE FOR WIFI COMMUNICATIONS |
| GB2504968B (en) * | 2012-08-15 | 2016-09-14 | Eseye Ltd | Multi IMSI system and method |
| US9445262B2 (en) | 2012-12-10 | 2016-09-13 | Lg Uplus Corp. | Authentication server, mobile terminal and method for issuing radio frequency card key using authentication server and mobile terminal |
| US9088574B2 (en) | 2013-07-18 | 2015-07-21 | International Business Machines Corporation | Subscriber identity module-based authentication of a wireless device and applications stored thereon |
| EP3139649A1 (en) * | 2015-09-04 | 2017-03-08 | Gemalto Sa | Method to authenticate a subscriber in a local network |
| KR102370286B1 (ko) * | 2015-10-28 | 2022-03-03 | 에스케이플래닛 주식회사 | 무선 메시 네트워크 인증 방법 및 이를 위한 장치, 이를 수행하는 컴퓨터 프로그램을 기록한 기록 매체 |
| FR3048573B1 (fr) * | 2016-03-01 | 2019-05-31 | Hager-Electro Sas | Procede d'initialisation et de securisation de communication bidirectionnelle d'un appareil avec un reseau domotique |
| CN107959927B (zh) * | 2016-10-17 | 2021-03-05 | 中国电信股份有限公司 | 用于更新鉴权码的方法、装置和*** |
| US9985834B1 (en) * | 2016-11-30 | 2018-05-29 | Wipro Limited | Methods and systems for auto-configuration of digital subscriber line (DSL) modems in wireline broadband networks |
| US10911445B2 (en) * | 2017-12-22 | 2021-02-02 | Getac Technology Corporation | Information-capturing system and communication method for the same |
| FR3077175A1 (fr) * | 2018-01-19 | 2019-07-26 | Orange | Technique de determination d'une cle destinee a securiser une communication entre un equipement utilisateur et un serveur applicatif |
| EP3592015A1 (en) * | 2018-07-02 | 2020-01-08 | Soracom International, Pte. Ltd | Updating a subscriber identity module |
| US10484863B1 (en) * | 2019-04-19 | 2019-11-19 | T-Mobile Usa, Inc. | Subscriber identity module activation for NB-IoT devices |
| CN113709737B (zh) * | 2021-08-24 | 2024-01-26 | 深圳艾创力科技有限公司 | 一种基于tws蓝牙耳机的语音通信方法及装置 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1624639A1 (en) * | 2004-08-02 | 2006-02-08 | Service Factory SF AB | Sim-based authentication |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FI105966B (fi) * | 1998-07-07 | 2000-10-31 | Nokia Networks Oy | Autentikointi tietoliikenneverkossa |
| FI20000760A0 (fi) * | 2000-03-31 | 2000-03-31 | Nokia Corp | Autentikointi pakettidataverkossa |
| US7239701B1 (en) * | 2000-05-02 | 2007-07-03 | Murata Machinery Ltd. | Key sharing method, secret key generating method, common key generating method and cryptographic communication method in ID-NIKS cryptosystem |
| FI20025018A (fi) * | 2002-04-23 | 2003-10-24 | Nokia Corp | Järjestelmä digitaalisessa langattomassa tiedonsiirtoverkossa päästä päähän -salauksen järjestämiseksi ja vastaava päätelaite |
| ITRM20030100A1 (it) * | 2003-03-06 | 2004-09-07 | Telecom Italia Mobile Spa | Tecnica di accesso multiplo alla rete, da parte di terminale di utente interconnesso ad una lan e relativa architettura di riferimento. |
| GB0311921D0 (en) * | 2003-05-23 | 2003-06-25 | Ericsson Telefon Ab L M | Mobile security |
| US8229118B2 (en) | 2003-11-07 | 2012-07-24 | Qualcomm Incorporated | Method and apparatus for authentication in wireless communications |
| US7546459B2 (en) * | 2004-03-10 | 2009-06-09 | Telefonaktiebolaget L M Ericsson (Publ) | GSM-like and UMTS-like authentication in a CDMA2000 network environment |
| US7813511B2 (en) * | 2005-07-01 | 2010-10-12 | Cisco Technology, Inc. | Facilitating mobility for a mobile station |
| US8122240B2 (en) | 2005-10-13 | 2012-02-21 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for establishing a security association |
-
2006
- 2006-03-16 EP EP06251421A patent/EP1835688A1/en not_active Withdrawn
-
2007
- 2007-02-08 WO PCT/GB2007/000446 patent/WO2007104909A1/en active Application Filing
- 2007-02-08 US US12/293,133 patent/US8417218B2/en active Active
- 2007-02-08 EP EP07705177.9A patent/EP1994715B1/en active Active
- 2007-02-08 KR KR1020087024509A patent/KR101438243B1/ko active IP Right Grant
- 2007-02-08 CN CN2007800093076A patent/CN101406021B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1624639A1 (en) * | 2004-08-02 | 2006-02-08 | Service Factory SF AB | Sim-based authentication |
Also Published As
| Publication number | Publication date |
|---|---|
| US20090068988A1 (en) | 2009-03-12 |
| EP1994715B1 (en) | 2014-04-09 |
| KR20080104180A (ko) | 2008-12-01 |
| CN101406021A (zh) | 2009-04-08 |
| US8417218B2 (en) | 2013-04-09 |
| EP1835688A1 (en) | 2007-09-19 |
| KR101438243B1 (ko) | 2014-09-04 |
| WO2007104909A1 (en) | 2007-09-20 |
| EP1994715A1 (en) | 2008-11-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101406021B (zh) | 基于sim的认证 | |
| US10638321B2 (en) | Wireless network connection method and apparatus, and storage medium | |
| CN101641976B (zh) | 认证方法 | |
| WO2017201809A1 (zh) | 终端通信方法及*** | |
| KR101097709B1 (ko) | 셀룰러 시스템과 연관된 보안값(들)에 기초하여 무선근거리 네트워크에 대한 액세스를 인증하는 방법 | |
| KR101508360B1 (ko) | 데이터 전송 장치 및 방법, 그리고 그 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체 | |
| US7325133B2 (en) | Mass subscriber management | |
| JP4000111B2 (ja) | 通信装置および通信方法 | |
| JP5579872B2 (ja) | 安全な複数uim認証および鍵交換 | |
| CN101401465B (zh) | 用于在移动网络中进行递归认证的方法和*** | |
| US20070239994A1 (en) | Bio-metric encryption key generator | |
| CN1929371B (zh) | 用户和***设备协商共享密钥的方法 | |
| US10212144B2 (en) | Digital credential with embedded authentication instructions | |
| CN101621794A (zh) | 一种无线应用服务***的安全认证实现方法 | |
| JP4550759B2 (ja) | 通信システム及び通信装置 | |
| CN105591748B (zh) | 一种认证方法和装置 | |
| CN110691359A (zh) | 一种电力营销专业的蓝牙通信的安全防护方法 | |
| JP5388088B2 (ja) | 通信端末装置、管理装置、通信方法、管理方法及びコンピュータプログラム。 | |
| CN213938340U (zh) | 5g应用接入认证网络架构 | |
| JP4677784B2 (ja) | 集合型宅内ネットワークにおける認証方法及びシステム | |
| KR101431010B1 (ko) | 하드웨어 인증 모듈을 이용한 액세스 포인트 인증 장치 및 방법 | |
| FI115097B (fi) | Todentaminen dataviestinnässä | |
| JP2004364164A (ja) | 認証システムおよび暗号化通信システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |