基于SIM的认证制造技术

一种在通信网络中认证的方法，所述通信网络包括网络认证服务器、本地认证实体以及用户终端，所述本地认证实体包括用户应用和认证应用，所述方法包括以下步骤：从本地认证实体向网络认证服务器发送对用户终端进行认证的请求，所述请求包括用户终端的身份标识；作为对所述请求的响应，由网络认证实体生成认证密钥，并由用户应用生成相同的认证密钥；安全地向由所述身份标识所标识的用户终端发送由网络认证服务器生成的认证密钥，接着将该认证密钥存储在用户终端处；安全地向认证应用发送由用户应用生成的认证密钥，接着将该认证密钥存储在认证应用处；以及通过利用存储在认证应用的认证密钥验证存储在用户终端的认证密钥，对用户终端进行认证。

【技术实现步骤摘要】
【国外来华专利技术】
本专利技术大致涉及无线通信网络中的移动终端的认证领域，具体地说， 涉及用于由用户身份识别模块提供此类认证的方法和系统。
技术介绍
10 SIM (用户身份识别模块)卡是通常可以在移动电话中看到的智能卡。实际上，SIM卡是在例如GSM或UMTS (通用移动通信系统)的移 动蜂窝通信网络中运行的几乎全部移动电话的必要部件。在例如UMTS 的第三代(3G)网络中，SIM卡能够支持多种应用，包括主要用于在3G 网络中对移动用户进行认证的标准SIM应用。15 过去，GSM和3G中基于SIM的认证总是与移动蜂窝网络自身链接。例如，在3G中，基于SIM的认证链接到核心移动蜂窝网络内的归属用 户服务器(HSS)。 HSS存储与SIM相关联的用户和认证信息，并通过验 证存储在SIM卡上的信息对SIM进行认证，接着对移动电话进行认证。 这是利用质询回应技术(challenge response technique)来验证HSS和SIM20两者上安全地保持的共享密钥是一致的来实现的。 一旦认证，另一认证 密钥可由HSS和SIM生成，使得可安全地进行HSS和移动蜂窝网络中 由HSS授权的其他实体例如应用服务器之间、以及和包含SIM的装置之 间的通信。然而，在现有系统中，没有规定从移动装置或SIM自身启动认证， 25并直接地而不是通过HSS或移动蜂窝网络将认证导向其他本地实体或其 他装置。事实上，在现有系统中不存在规定更有效地使用SIM，并且特别是 不存在利用SIM的防篡改特性以及在例如本地Wi-Fi网络的本地环境中 SIM卡认证能力的规定。例如3G规范下的通用认证架构(GAA， GenericAuthentication Architecture)或用于SIM的可扩展认证协议(EAP-SIM， Extensible Authentication Protocol for SIM)的现有解决方案利用HSS和 SIM之间的现有非对称关系，并要求在每个认证处理过程中引入网络运 营商，并因此在实际认证中要求连接到运营商的设备。此类解决方案不 5适用于不总能保证连接到运营商的设备的本地环境，或者一旦设置本地 网络，运营商不愿充当主要认证源的情形。
技术实现思路
本专利技术的实施方式的目的是解决上述问题并提供改进的SIM驱动的 io 认证系统和方法。根据本专利技术的一个方面，提供了一种在通信网络中认证的方法，所 述通信网络包括网络认证服务器、本地认证实体以及用户终端，所述本地认证实体包括用户应用和认证应用，所述方法包括以下步骤(i) 从所述本地认证实体向所述网络认证服务器发送对所述用户终 15端进行认证的请求，所述请求包括用户终端的身份标识；(ii) 作为对所述请求的响应，由所述网络认证实体生成认证密钥， 并由用户应用生成相同的认证密钥；(iii) 安全地向由所述身份标识所标识的用户终端发送由所述网络 认证服务器生成的认证密钥，接着将所述认证密钥存储在所述用户终端20 处；(iv )安全地向所述认证应用发送由所述用户应用生成的认证密钥，接着在所述认证应用处存储认证密钥；以及(v)通过利用存储在所述认证应用处的认证密钥验证存储在所述用 户终端处的认证密钥来对所述用户终端进行认证。 25 优选地，所述本地认证实体还包括用户身份识别模块(SIM),并且用户身份识别模块应用和所述认证应用安全地设置在所述用户身份标识 模块上。可由所述网络认证服务器生成认证密钥的事实是基于在网络认证服 务器和用户应用两者上都持有的共享密钥。向所述网络认证服务器发送的所述请求中发送的标识可以是与所述 用户终端相关联的国际移动用户识别码。优选地，所述通信网络是移动蜂窝网络，但本地认证实体和所述用 户终端之间的通信是本地网络上的而不是无线蜂窝网络上的通信。所述 5本地网络可以是Wi-Fi网络。本专利技术的实施方式使得本地认证实体(例如是家庭集线器(home hub))中的SIM卡能够改变与移动网络运营商的现有关系以建立安全的 和经认证的本地网络，其中家庭集线器中的SIM可用作其他具有SIM的装置的认证中心。io 这将把移动网络中现有的SIM认证技术改变为新的网络配置，包括可在用户的家庭或小商店创建并维护的本地网络。这有助于确保在配置本地网络的安全提供，或者在任何时候这种提 供变为必需时，确保有效地使移动网络运营商能够起到监管者甚至是本 地网络的管理者的作用。同时，用于进行本地网络内的认证而无需与网 15络运营商的互动，使得诸如归属用户服务器之类的必要的运营商的资源 不涉及到每个认证。在优选实施方式中，所述网络认证服务器和所述用户终端利用会话 密钥确保步骤(iii)中所述认证密钥的发送。所述会话密钥可以是由所述 网络认证服务器和所述用户终端两者基于所述网络认证服务器和所述用 20户终端两者都持有的公共密钥生成。步骤(iii)中存储在所述用户终端的认证密钥可用于代替所述用户 终端处所持有的公共密钥。在另一优选实施方式中，所述公共密钥和所述会话密钥由所述用户 终端处的第一用户应用管理，并且所述认证密钥由所述用户终端处的第25二用户应用管理p优选地，所述第一用户应用与所述移动蜂窝网络相关 联，并且所述第二用户应用与所述本地网络相关联。在本专利技术的第二实施方式中，提供了一种包括网络认证服务器、本 地认证实体以及用户终端的通信网络，所述本地认证实体包括用户应用 和认证应用，其中所述本地认证实体被配置为向所述网络认证服务器发送对所述用户终端进行认证的请求，其中所述请求包括所述用户终端的身份标识；所述网络认证服务器被配置为响应于来自所述本地认证实体的请求 而生成认证密钥，并且向由所述请求中的身份标识所标识的用户终端安5全地发送所述认证密钥；所述用户终端被配置为存储由所述网络认证服务器发送的认证密钥；所述用户应用被配置为生成认证密钥并将该认证密钥安全地发送到 所述认证应用；以及 10 所述认证应用被配置为存储由所述用户认证发送的认证密钥，并通过利用存储在所述认证应用处的认证密钥验证存储在所述用户终端处的 认证密钥来对所述用户终端进行认证。附图说明15 为了更好的理解本专利技术，下面将通过示例来参考附图，其中图1是例示了本专利技术的总体实施方式的网络图； 图2是例示了本专利技术的一个实施方式的消息流程图； 图3是例示了本专利技术的另一个实施方式的确保归属用户服务器和用 户设备之间的通信链路的网络图； 20 图4是例示了本专利技术的另一个实施方式的消息流程图5是例示了本专利技术的另一个实施方式的在用户设备的SIM卡上具 有两个独立的SIM应用的网络图；以及图6是例示了本专利技术的另一个实施方式的消息流程图。25 具体实施例方式这里结合具体实施方式来描述本专利技术。然而，本专利技术不限于这些实 施方式。图1示出了网络配置100，其包括归属用户服务器HSS 102、家庭集 线器104和用户设备112。 HSS 102位于3G网络的移动蜂窝网络中。HSS102提供安全功能并存储与用户设备112和家庭集线器104相关联的用户 信息。为了简洁，忽略了3G网络中常用的其他元件，例如基站、无线网 络控制器以及网关。然而，本领域技术人员可理解的是当HSS 102与家 庭集线器104或其他用户设备112通信时在网络100运行中可使用这些 5元件。家庭本文档来自技高网...

【技术保护点】
一种通信网络（１００）中的认证方法，所述通信网络（１００）包括网络认证服务器（１０２）、本地认证实体（１０４）以及用户终端（１１２），所述本地认证实体（１１２）包括用户应用（１０８）和认证应用（１１０），所述方法包括以下步骤：　（ｉ） 从所述本地认证实体（１０４）向所述网络认证服务器（１０２）发送（２０８）对所述用户终端（１１２）进行认证的请求，所述请求包括所述用户终端（１１２）的身份标识；　（ｉｉ）所述网络认证实体（１０２）响应于所述请求生成（２１２）认证密钥（１ ２２），并由所述用户应用（１０８）生成（２１４）相同的认证密钥（１２４）；　（ｉｉｉ）安全地向由所述身份标识所标识的用户终端（１１２）发送由所述网络认证服务器（１０２）生成的认证密钥，接着将该认证密钥存储在所述用户终端（１１２）处；　 　（ｉｖ）安全地向所述认证应用（１１０）发送由所述用户应用（１０８）生成的认证密钥，接着将该认证密钥存储在所述认证应用（１１０）处；以及　（ｖ）通过利用存储在所述认证应用（１１０）处的认证密钥验证存储在所述用户终端（１１２）处的认 证密钥，对所述用户终端（１１２）进行认证。...

【技术特征摘要】
【国外来华专利技术】EP 2006-3-16 06251421.11、一种通信网络(100)中的认证方法，所述通信网络(100)包括网络认证服务器(102)、本地认证实体(104)以及用户终端(112)，所述本地认证实体(112)包括用户应用(108)和认证应用(110)，所述方法包括以下步骤(i)从所述本地认证实体(104)向所述网络认证服务器(102)发送(208)对所述用户终端(112)进行认证的请求，所述请求包括所述用户终端(112)的身份标识；(ii)所述网络认证实体(102)响应于所述请求生成(212)认证密钥(122)，并由所述用户应用(108)生成(214)相同的认证密钥(124)；(iii)安全地向由所述身份标识所标识的用户终端(112)发送由所述网络认证服务器(102)生成的认证密钥，接着将该认证密钥存储在所述用户终端(112)处；(iv)安全地向所述认证应用(110)发送由所述用户应用(108)生成的认证密钥，接着将该认证密钥存储在所述认证应用(110)处；以及(v)通过利用存储在所述认证应用(110)处的认证密钥验证存储在所述用户终端(112)处的认证密钥，对所述用户终端(112)进行认证。2、 根据权利要求1所述的方法，其中所述本地认证实体(104)还 包括用户身份标识模块(106 )，并且所述用户应用(108 )和认证应用(110) 被安全地设置在所述用户身份标识模块(106)上。3、 根据权利要求1或2所述的方法，其中由所述网络认证服务器 25(102)生成的认证密钥是根据所述网络认证服务器(102)和所述用户应用(108)两者都持有的共享密钥而得到的。4、 根据上述任意一项权利要求所述的方法，其中所述身份标识是与 所述用户终端(112)相关联的国际移动用户标识。5、 根据上述任意一项权利要求所述的方法，其中所述通信网络(100)是移动蜂窝网络。6、根据上述任意一项权利要求所述的方法，其中所述认证步骤包括 所述本地认证实体(104)和所述用户终端(112)之间在本地网络上的 通信。7、根据权利要求6所述的方法，其中所述本地网络是Wi-Fi网络。8、 根据上述任意一项权利要求所述的方法，其中所述网络认证实体 (112)和所述用户终端(112)利...

【专利技术属性】
技术研发人员：彼得莱昂措夫塔，
申请(专利权)人：英国电讯有限公司，
类型：发明
国别省市：GB[英国]