用于认证到移动网络的方法、设备和系统以及用于将设备认证到移动网络的服务器技术方案

本发明专利技术涉及一种用于认证到移动网络的方法（20）。根据本发明专利技术，方法包括以下步骤。设备激活（22）仅第一临时订阅标识符。设备向第一服务器发送第一临时订阅标识符（24）和第一数据（212）。第一服务器向设备发送包括基于第一数据的认证失败的第一结果消息（216）。设备激活（220）仅第二临时订阅标识符。设备向第一服务器发送第二临时订阅标识符（222）和第二数据（232）。以及第一服务器向设备发送包括基于相关联的第一临时订阅标识符和第二临时订阅标识符以及第二数据的认证成功的第二结果消息（236）。本发明专利技术还涉及用于将设备认证到移动网络的对应的设备和系统以及服务器。

Method, device and system for authenticating to mobile network, and server for authenticating equipment to mobile network

The invention relates to a method for authenticating to a mobile network (20). According to the invention, the method includes the following steps. Device activation (22) is only the first temporary subscription identifier. The device sends the first temporary subscriber identifier (24) and the first data (212) to the first server. The first server sends the first result message (216) including the authentication failure based on the first data to the device. Device activation (220) has only second temporary subscription identifiers. The device sends second temporary subscription identifiers (222) and second data (232) to the first server. And the first server sends to the device the second result message (236) including the first temporary subscription identifier and the second temporary subscription identifier, and the authentication success of the second data. The invention also relates to corresponding devices and systems and servers for authenticate devices to mobile networks.

【技术实现步骤摘要】
【国外来华专利技术】用于认证到移动网络的方法、设备和系统以及用于将设备认证到移动网络的服务器
本专利技术一般地涉及用于认证到移动网络的方法。此外，本专利技术涉及用于将设备认证到移动网络的服务器。此外，本专利技术还涉及用于认证到移动网络的设备。最后，本专利技术也涉及用于认证到移动网络的系统。系统包括至少一个服务器和设备。设备被连接到服务器。设备可以尤其是机器对机器（或M2M）或物联网或对象（或IoT）环境内的嵌入式通用集成电路卡（或eUICC）或者是作为包括在智能卡（比如例如订户身份模块（或SIM）类型卡（或者诸如此类））内的芯片从安全元件（或SE）主机设备（比如例如移动（电话机）电话）可移除的。在本说明书内，SE是包括物理地保护对存储的数据的访问的芯片并且旨在与作为SE主机设备的外界（比如例如M2M设备）传送数据的智能对象。
技术介绍
M2M市场年复一年地增长并且持续增长。对应的连接的对象应在2020年达到大约500亿的单位。已知的是，eUICC通过使用作为资源的国际移动订户身份（或IMSI）来标识订阅。然而，这样的已知技术方案应经历资源短缺。事实上，对于IMSI的移动订阅标识号码（或MSIN），IMSI仅具有10亿个值，所述IMSI的移动订阅标识号码（或MSIN）以九个或十个数位来表示，作为IMSI数据格式的一个数据字段。因此，存在对提供允许高效地使用可用资源以便减轻资源成本的技术方案的需求。
技术实现思路
本专利技术提议了一种用于通过提供用于认证到移动网络的方法来满足刚才在上文指定的需求的技术方案。根据本专利技术，方法包括以下步骤。设备激活仅第一临时订阅标识符。设备向第一服务器发送第一临时订阅标识符和第一数据。第一服务器向设备发送包括基于第一数据的认证失败的第一结果消息。设备激活仅第二临时订阅标识符。设备向第一服务器发送第二临时订阅标识符和第二数据。以及第一服务器向设备发送包括基于相关联的第一临时订阅标识符和第二临时订阅标识符以及第二数据的认证成功的第二结果消息。本专利技术的原理包括服务器标识和认证连续地使用第一临时订阅标识符和第二临时订阅标识符的设备。首先，当使用仅第一临时订阅标识符时，设备基于由设备提交的第一数据未能认证到服务器。其次，当使用仅第二临时订阅标识符时，设备基于第一临时订阅标识符和第二临时订阅标识符以及由设备提交的第二数据成功地认证到服务器。值得注意的是，一旦第一临时订阅标识符和第二临时订阅标识符的对已经由服务器接收，服务器就仅能够以唯一的方式标识（对话者（interlocutor））设备。要注意，在给定的时间时仅一个临时订阅标识符是活跃的，即第一临时订阅标识符首先是活跃的并且第二临时订阅标识符其次是活跃的。一旦服务器已经标识了第一临时订阅标识符和第二临时订阅标识符的对，服务器就也能够确定与设备共享的一个或若干个秘密，以便认证设备。本专利技术技术方案可以是自动的并且因此对可能的设备用户、所有者或管理员而言是方便的。本专利技术技术方案因此是用户友好的。除了第一临时订阅标识符和第二临时订阅标识符、第一数据和第二数据之外，本专利技术技术方案不需要服务器访问其他信息，比如例如与设备或与设备合作的另一个设备有关的设备位置和/或一个或若干个标识符。本专利技术技术方案是安全的，因为一旦设备和服务器在第一临时订阅标识符之后使用第二临时订阅标识符和（一个或多个）相关联的共享秘密（比如例如用于认证到移动网络的相关联的共享密钥）两者，设备就成功认证到服务器。本专利技术技术方案允许例如对于一队N2个设备使用仅2*N个临时订阅标识符的范围，所述2*N个临时订阅标识符的范围通过第一临时订阅标识符和第二临时订阅标识符的对被分配给设备并且然后在用于设备的标识和认证时间段期间临时使用。因此，在设备激活过程之前，在范围的可用临时订阅标识符中选择第二临时订阅标识符作为有限数量的N个可能的第二临时订阅标识符。设备激活过程允许将在第一临时订阅标识符和第二临时订阅标识符的（一个或多个）范围之外的至少确定的订阅标识符分配给设备作为订阅简档。由于被用于设备激活过程的2*N个临时订阅标识符少于未被激活的设备的计数，所以存在冲突的风险。冲突在两个或更多个设备两者在同一时间时使用同一个临时订阅标识符作为第一临时订阅标识符或第二临时订阅标识符时发生。用于选择在设备与服务器之间共享的第二临时订阅标识符的算法被选择，以便尽可能减少冲突的风险。有利地，设备或与设备合作的另一个设备和服务器通过使用至少第一临时订阅标识符来确定第二临时订阅标识符。因此，第二临时标识符与第一临时订阅标识符关联。关联可以取决于在设备侧处被预先提供的一个或若干个参数或比如例如在第一认证会话期间由服务器向设备发送的第一挑战。因此，服务器和设备以公共的方式确定取决于在第一认证会话期间先前由设备向服务器发送的至少第一临时订阅标识符的第二临时订阅标识符。根据另一个方面，本专利技术是一种用于将设备认证到移动网络的第一服务器。根据本专利技术，第一服务器被配置成接收第一临时订阅标识符和第一数据。第一服务器被配置成发送包括基于第一数据的认证失败的第一结果消息。第一服务器被配置成接收第二临时订阅标识符和第二数据。以及第一服务器被配置成发送包括基于相关联的第一临时订阅标识符和第二临时订阅标识符以及第二数据的认证成功的第二结果消息。根据仍然附加的方面，本专利技术是一种用于认证到移动网络的设备。根据本专利技术，设备被配置成激活仅第一临时订阅标识符。设备被配置成发送第一临时订阅标识符和第一数据。设备被配置成接收包括基于第一数据的认证失败的第一结果消息。设备被配置成激活仅第二临时订阅标识符。设备被配置成发送第二临时订阅标识符和第二数据。以及设备被配置成接收包括基于相关联的第一临时订阅标识符和第二临时订阅标识符以及第二数据的认证成功的第二结果消息。设备包括终端、用户终端或SE。安全元件可以被固定、焊接到SE主机设备或从SE主机设备可移除。本专利技术不施加关于SE的种类的任何约束。作为可移除的SE，其可以为SIM类型卡、安全可移除模块（或SRM）、USB（针对“通用串行总线”的首字母缩写）类型的智能软件狗（dongle）、（微）安全数字（或SD）类型卡或多媒体类型卡（或MMC）或被耦合到SE主机设备或被连接到SE主机设备的任何格式卡。根据仍然附加的方面，本专利技术是一种用于认证到移动网络的系统。根据本专利技术，系统包括至少一个服务器和设备。设备被连接到服务器。设备被配置成激活仅第一临时订阅标识符。设备被配置成向第一服务器发送第一临时订阅标识符和第一数据。第一服务器被配置成向设备发送包括基于第一数据的认证失败的第一结果消息。设备被配置成激活仅第二临时订阅标识符并且被配置成向第一服务器发送第二临时订阅标识符和第二数据。以及第一服务器被配置成向设备发送包括基于相关联的第一临时订阅标识符和第二临时订阅标识符以及第二数据的认证成功的第二结果消息。附图说明在结合以下附图阅读作为一个指示性和非限制性示例给出的本专利技术的一个优选实施例的详细描述之后，本专利技术的附加的特征和优势将是更清楚地可理解的：-图1是根据本专利技术的具有两个远程服务器的移动网络和具有终端和SE的终端装备的示例性实施例的简化的方案，终端装备被布置成激活第一临时订阅标识符和第二临时订阅标识符，以首先用第一临时订阅标识符不成功地认证到移动网络并本文档来自技高网...

【技术保护点】
1.一种用于认证到移动网络的方法，其特征在于所述方法包括以下步骤：‑设备激活（22）仅第一临时订阅标识符；‑设备向第一服务器发送第一临时订阅标识符（24）和第一数据（212）；‑第一服务器向设备发送包括基于第一数据的认证失败的第一结果消息（216）；‑设备激活（220）仅第二临时订阅标识符；‑设备向第一服务器发送第二临时订阅标识符（222）和第二数据（232）；以及‑第一服务器向设备发送包括基于相关联的第一临时订阅标识符和第二临时订阅标识符以及第二数据的认证成功的第二结果消息（236）。

【技术特征摘要】
【国外来华专利技术】2015.12.02 EP 15306916.61.一种用于认证到移动网络的方法，其特征在于所述方法包括以下步骤：-设备激活（22）仅第一临时订阅标识符；-设备向第一服务器发送第一临时订阅标识符（24）和第一数据（212）；-第一服务器向设备发送包括基于第一数据的认证失败的第一结果消息（216）；-设备激活（220）仅第二临时订阅标识符；-设备向第一服务器发送第二临时订阅标识符（222）和第二数据（232）；以及-第一服务器向设备发送包括基于相关联的第一临时订阅标识符和第二临时订阅标识符以及第二数据的认证成功的第二结果消息（236）。2.根据权利要求1所述的方法，其中，在接收包括认证失败的第一结果消息之前，所述方法包括以下步骤：-第一服务器向设备发送用于发送第一响应的请求（28），第一响应请求包括第一挑战；-设备向第一服务器发送作为第一响应的第一数据；-第一服务器访问第一预期结果；-第一服务器将第一响应与第一预期结果比较（214）；-第一服务器确定第一响应与第一预期结果不匹配。3.根据权利要求1或2所述的方法，其中，在接收包括认证成功的第二结果消息之前，所述方法包括以下步骤：-第一服务器向设备发送用于发送第二响应的请求（228），第二响应请求包括第二挑战；-设备向第一服务器发送作为第二响应的第二数据；-第一服务器访问第二预期结果；-第一服务器将第二响应与第二预期结果比较（234）；-第一服务器确定第二响应与第二预期结果匹配。4.根据权利要求2或从属于权利要求2的权利要求3所述的方法，其中，设备和第一服务器通过使用至少第一临时订阅标识符来确定第二临时订阅标识符。5.根据权利要求4所述的方法，其中，设备被连接到安全元件或被耦合到安全元件，所述安全元件通过使用第二挑战和用于认证到移动网络的密钥来生成第二数据，用于认证到移动网络的密钥与至少第二临时订阅标识符相关联并且与第一服务器共享，并且安全元件向设备发送第二数据。6.根据权利要求2或3所述的方法，其中，第一服务器被连接到第二服务器或被耦合...

【专利技术属性】
技术研发人员：D马夫拉基斯，F赞宁，H特罗亚德克，JF库克，P吉拉尔，
申请(专利权)人：格马尔托股份有限公司，
类型：发明
国别省市：法国,FR