描述一种用于向网络的基于服务的终端认证的方法和系统,其中终端包括多个通信接口,每个通信接口允许终端建立与网络的预定通信信道。该方法包括以下步骤:发送针对向网络服务的接入的服务请求;响应于服务请求从网络接收认证请求;标识通过其接收到认证请求的通信信道;并且向网络发送认证响应RES,其中认证响应依赖于标识的通信信道。
【技术实现步骤摘要】
【国外来华专利技术】向网络的基于服务的认证
本专利技术涉及一种向网络的基于服务的认证并且具体地但是并不专门地涉及一种用于向网络的基于服务的终端认证的方法和系统和一种用于在这样的系统中使用的服务接口模块。
技术介绍
新一代移动设备比如智能电话经由开放网络连接来提供越来越增强的计算功能。这样的移动设备例如能够接收电子邮件、通过近程连接而相互共享软件、下载和执行来自因特网的软件、在远程控制下进行自动化呼叫和动作。因此类似于个人计算机,在建立移动设备到网络之间的连接时涉及到的移动设备以及具体地为软件部件易受恶意代码(恶意软件)的攻击。通常,恶意软件企图滥用移动设备或者简单地破坏移动设备的合法使用。通常,恶意软件利用如下认证过程中的安全缺陷,该认证过程为订户提供向网络的接入。例如GSM认证和密钥协议(AKA)仅向网络认证移动设备但是倒过来不行。GSMAKA因此易受所谓的错误基站攻击,其中黑客冒充有效基站。在UMTSAKA中通过使用相互认证来减轻部分这些威胁,其中移动设备必须向拜访者位置寄存器(VLR)认证本身并且VLR必须向移动设备认证本身。GSMAKA中的安全威胁的概况和UMTSAKA抵抗大量这些威胁的方式在ETSITS33.900中被描述。根据TS33.900判断,UMTSAKA仍然易受安全攻击。例如UMTSAKA易受所谓的中间人攻击,其中攻击者的移动设备可以使用来自受害者的(U)SIM的认证信息以便获得向网络的接入。这样的中间人攻击如同连接由受害者建立一样允许网络接入。由于网络不能区分合法情形和这样的攻击,所以恶意软件允许以受害者为代价建立呼叫,由此引起大量损害。
技术实现思路
本专利技术的目的在于减少或者消除现有技术中已知的至少一个弊端并且在本专利技术的第一方面中提供一种用于向网络的基于服务的终端认证的方法。该终端包括用于允许终端建立与网络的通信信道的一个或者多个通信接口。该方法包括以下步骤:发送针对向网络服务的接入的服务请求;响应于服务请求从网络接收认证请求;标识通过其接收到认证请求的通信信道;并且向网络发送认证响应RES,其中认证响应依赖于标识的通信信道。该方法允许网络确定通过哪个通信信道向网络发送认证信息。可以通过标识通过其接收认证请求的通信接口来容易实现通信信道的确定。这样的基于服务的认证方法有效地防止滥用认证信息,例如中间人攻击,其中攻击者使用来自受害者(U)SIM的认证信息以便获得向网络的接入。另外,该方法与所有或者至少多数现有和提出的AKA兼容。它仅需确定通过其接收请求的通信信道以及将关于通信信道的信息安全插入到响应中。在一个实施例中,该方法还包括以下步骤:确定与标识的通信信道关联的服务代码;基于服务代码和认证请求中的信息来计算响应RES,由此将关于通过其接收到认证请求的通信信道的标识的信息优选密码地安全包括到响应中。在终端的标识模块的响应中安全插入关于通过哪个其向网络发送认证信息的通信信道的信息。因此恶意软件不可能或者至少很难检测和/或修改服务信道信息。在另一实施例中,在该方法中使用的终端包括标识模块和服务接口(SI)模块,该SI优选被实施为受信任硬件模块,被配置成与标识模块安全通信并且标识通过其接收到认证请求的通信信道。通过使用服务接口模块作为终端中的受信任硬件模块,实现一种用于向网络发送关于通信信道标识的信息的很安全和可靠的方法。优选地,服务接口模块被配置成从网络接收所有传入认证信号。因此,所有认证请求将经由服务接口模块向终端的标识模块进行路由。在又一实施例中,认证请求包括认证信息(优选为随机挑战RAND),并且该方法还包括以下步骤:基于标识的通信信道,修改认证信息;优选使用电信标准的认证和密钥协议(AKA)来基于修改的认证信息生成认证响应RES。在一个实施例中,认证请求包括认证信息(优选为随机挑战RAND),并且该方法还包括以下步骤:优选基于电信标准的认证和密钥协议(AKA)生成认证响应RES;优选使用单向函数来基于标识的通信信道修改认证参数RES。这一实施例允许通过使用与标识模块安全通信的服务接口模块而对该方法的简单和安全的实施。标识通信信道和安全插入关于标识的通信信道的信息可以在服务接口模块中进行,使得无需修改标识模块。这一实施因此与现有标识模块兼容。在另一实施例中,该方法还包括以下步骤:终端经由预定通信信道向网络发送服务请求;网络基于向网络发送服务请求的通信信道类型而生成预期服务代码XSC;基于预期服务代码XSC确定预期响应XRES。在一个实施例中,该方法还包括以下步骤:比较预期响应XRES与终端向网络发送的认证响应RES;并且如果RES不等于XRES则确定终端处于不受信任状态。因此,该方法在它需要如下网络节点的意义上仅需在现有网络中的简单修改,该网络节点被配置成标识网络通过其接收服务请求的通信信道并且提取在终端响应中加密的关于通信信道的信息。在一个实施例中,终端包括2G或者3G型无线电接口、蓝牙无线电接口、WLAN接口、数字增强无绳(DECT)无线电接口或者以太网数据接口。在又一方面中,本专利技术涉及一种用于在终端中使用的服务接口模块,该服务接口模块被优选配置成安全处理向和从终端中的标识模块发送的所有认证信息,其中服务接口模块包括:接收器,用于经由终端的通信接口之一从网络接收认证信号;信道标识器,用于优选通过提供与标识的通信信道关联的服务代码来标识通过其接收认证信号的通信信道;接口,用于建立在该模块与终端的标识模块之间的安全通信信道。在用于实施该方法的终端中需要的所有功能可以简单地位于与标识模块安全通信的一个受信任硬件模块中。在一个实施例中,服务接口模块还包括用于基于标识的通信信道来修改标识模块的认证响应的修改器或者用于向标识模块发送关于标识的通信信道的信息的发送器或者用于修改从网络接收的认证请求的修改器。在另一方面中,本专利技术涉及一种用于建立与如上文所述的服务接口模块的安全通信信道的标识模块,优选为智能卡。安全通信信道可以例如由攻击者不能干扰的在服务接口模块与标识模块之间的用密码术保护的链路或者直接硬件链路构成。所述标识模块包括:计算器,用于在接收认证请求时优选根据GSMAKA、3GPPAKA或者IMSAKA计算响应RES;以及可选地,修改器,用于使用关于标识的通信信道的信息来基于预定数学函数修改所述响应RES。在又一方面中,本专利技术涉及一种用于接入网络服务的终端(优选为移动设备),其中终端被配置成响应于认证请求向网络发送修改的响应RES’,其中该修改依赖于终端通过其接收到认证请求的通信信道的类型。在一个实施例中,终端包括根据如所述的服务接口模块并且可选地包括如上文所述的标识模块。在又一方面中,本专利技术涉及一种用于向网络的基于服务的终端认证的网络节点,其中网络节点被配置成响应于接收认证数据请求而生成修改的预期响应XRES’,其中预期响应XRES的修改依赖于向网络发送认证数据响应的通信信道类型。在一个实施例中,网络节点包括:用于从终端接收服务请求的接收器;生成器,用于基于向网络发送服务请求的通信信道类型而生成预期服务代码XSC;用于生成预期响应XRES的生成器或者用于优选根据GSMAKA、3GPPAKA或者IMSAKA从另一网络节点接收预期响应XRES的接收器;以及修改器,用于使用预期服务代码XSC作为输本文档来自技高网...
【技术保护点】
1.一种用于向网络的基于服务的终端认证的方法,所述终端包括用于建立与所述网络的通信信道的一个或者多个通信接口,所述方法包括以下步骤:- 发送针对向网络服务的接入的服务请求;- 响应于所述服务请求从所述网络接收认证请求;- 标识通过其接收到所述认证请求的所述通信信道;并且- 向所述网络发送认证响应RES,其中所述认证响应依赖于标识的通信信道。
【技术特征摘要】
【国外来华专利技术】EP08021705.22008年12月15日1.一种用于向网络的基于服务的终端认证的方法,所述终端包括用于建立与所述网络的通信信道的一个或者多个通信接口,所述方法包括以下步骤:-发送针对向网络服务的接入的服务请求;-响应于所述服务请求从所述网络接收认证请求;-标识通过其接收到所述认证请求的所述通信信道;并且-确定与标识的通信信道关联的服务代码;以及-向所述网络发送认证响应RES,其中所述认证响应依赖于标识的通信信道,其中基于所述认证请求中的信息和所确定的服务代码来计算所述响应RES,由此将关于所标识的通过其接收到所述认证请求的通信信道的信息安全包括到所述响应中。2.根据权利要求1所述的方法,其中所述终端包括标识模块和服务接口SI模块,所述SI实施为受信任硬件模块,配置成与所述标识模块安全通信并且标识通过其接收到所述认证请求的所述通信信道。3.根据权利要求1或2所述的方法,其中所述认证请求包括认证信息,所述方法还包括以下步骤:-基于标识的通信信道来修改所述认证信息;-使用电信标准的认证和密钥协议(AKA),基于修改的认证信息而生成认证响应RES。4.根据权利要求3所述的方法,其中所述认证信息为随机挑战RAND。5.根据权利要求1或2所述的方法,其中所述认证请求包括认证信息,所述方法还包括以下步骤:-基于电信标准的认证和密钥协议(AKA)来生成认证响应RES;-使用单向函数,基于标识的通信信道来修改所述认证响应RES。6.根据权利要求5所述的方法,其中所述认证信息为随机挑战RAND。7.根据权利要求1所述的方法,所述方法还包括以下步骤:-所述终端经由预定通信信道向所述网络发送服务请求;-所述网络基于向所述网络发送所述服务请求的通信信道的类型而生成预期服务代码XSC;-基于预期服务代码XSC来确定预期响应XRES。8.根据权利要求7所述的方法,所述方法还包括以下步骤:-比较所述预期响应XRES与所述终端向所述网络发送的所述认证响应RES;并且-如果RES不等于XRES,则确定所述终端处于不受信任状态。9.根据权利要求1所述的方法,其中所述终端包括2G或者3G型无线电接口、蓝牙无线电接口、WLAN接口、数字增强无绳(DECT)无线电接口或者以太网数据接口。10.一种用于在终端中使用的服务接口模块,配置成安全处理向和从所述终端中的标识模块发送的所有认证信息,所述服务接口模块包括:-接收器,用于经由所述终端的通信接口之一从网络接收认证请求;-信道标识器,用于通过提供与标识的通信信道关联的服务代码来标识通过其接收到所述认证请求的所述通信信道;-信道接口,用于建立在所述模块与所述终端的标识模块之间的安全通信信道;以及-用于向所述网络发送认证响应RES的发送器,其中所述认证响应依赖于所标识的通信信道,其中基于所述认证请求中的信息以及所述服务代码计算所述响应RES,由此将关于所标识的通过其接收到所述认证请求的所述...
【专利技术属性】
技术研发人员:F塞尔格特,
申请(专利权)人:皇家KPN公司,
类型:发明
国别省市:NL
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。