CN101189827B - 综合认证和管理服务提供者、终端和用户身份模块的方法以及使用该方法的系统和终端 - Google Patents

综合认证和管理服务提供者、终端和用户身份模块的方法以及使用该方法的系统和终端 Download PDF

Info

Publication number
CN101189827B
CN101189827B CN2006800196006A CN200680019600A CN101189827B CN 101189827 B CN101189827 B CN 101189827B CN 2006800196006 A CN2006800196006 A CN 2006800196006A CN 200680019600 A CN200680019600 A CN 200680019600A CN 101189827 B CN101189827 B CN 101189827B
Authority
CN
China
Prior art keywords
terminal
identity module
subscriber identity
message
isp
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN2006800196006A
Other languages
English (en)
Other versions
CN101189827A (zh
Inventor
李炳来
黄承吾
金旭
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Samsung Electronics Co Ltd
Original Assignee
Samsung Electronics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Samsung Electronics Co Ltd filed Critical Samsung Electronics Co Ltd
Publication of CN101189827A publication Critical patent/CN101189827A/zh
Application granted granted Critical
Publication of CN101189827B publication Critical patent/CN101189827B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution
    • H04L2209/603Digital right managament [DRM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

公开了一种在服务提供者、终端和用户身份模块之间相互综合认证的方法和系统。以能够与当前网络安全环境的公钥架构交互并且可独立地使用在特定网络系统的结构配置认证系统。综合认证方法被分为公钥认证和对称密钥认证。可使用两种认证方案中的任何一个在服务提供者、终端和用户身份模块之间进行相互认证。随后用户可基于用户的身份使用内容许可证来访问任何终端装置上的内容。

Description

综合认证和管理服务提供者、终端和用户身份模块的方法以及使用该方法的系统和终端
技术领域
本发明涉及一种综合认证和管理服务提供者、终端和用户身份装置的方法以及使用该方法的系统和终端装置。
背景技术
随着无线互联网和通信技术的快速发展,可通过用户身份模块(“UIM”)和移动终端接收各种数据或互联网服务。然而,越来越多的这种服务变为付费服务。近来,已经引入版权保护技术(例如,数字权限管理(“DRM”))来保护付费服务的内容的版权。
DRM是用于控制内容的使用以及保护内容所有权和版权的最有效的方法之一。基本上,DRM技术允许用户之间自由分发加密的内容。然而,为了使用内容,需要用户权限对象(“RO”)。在数字环境下容易非法复制和分发内容引起侵犯版权大量增加以及内容提供者损失的大量增加。响应于这些问题,基于每一用户的权限对象的灵活性和便利性的DRM技术聚焦在安全方面,从而仅允许授权用户访问内容。为确保安全,装置之间的相互认证是必须的。
图1是显示一般3GPP(第三代合作伙伴计划)系统中BSF(引导服务器功能)和UE(用户装置)之间的相互认证的处理的示图。3GPP GBA(一般引导架构)是在基于通用ID卡(UICC)的UE和BSF之间使用的一般认证方案。通过如在技术规范3GPP TS33.220和33.102中规定的以下处理实现这种认证方案。
在步骤30,UE10可将请求用户认证的消息发送给BSF20。发送给BSF20的请求消息包括UE10的用户身份信息。当接收到该消息时,在步骤40,BSF20计算与包括在UE10中的UICC(通用IC卡)相关的认证向量。更具体地讲,BSF20计算包括RAND、AUTN、XRES、CK和IK的认证向量。RAND是指随机数。AUTN是指UE10进行网络认证所需的认证令牌。XRES是指与由UICC发送的响应(RES)进行比较以认证UICC的期望响应(expectedresponse)。CK是加密密钥。最后,IK是完整性密钥。
当计算认证向量时,BSF20进行步骤50以将随机数RAND和认证令牌AUTN发送给UE10。随后UE10将RAND和AUTN传递给UICC。UICC验证AUTN来确认该消息是否从有效网络发送。接下来,在步骤60,UICC计算完整性密钥和加密密钥来产生会话密钥Ks。另外,UICC将认证响应消息RES发送给UE10,随后在步骤70,UE10将把RES传递给BSF20。在步骤80,BSF20通过验证响应消息执行认证,并且连接加密密钥和完整性密钥来在步骤90产生会话密钥Ks。
发明内容
技术问题
GBA仅支持用户身份模块和服务提供者之间的相互认证而不通过认证终端确保安全性。不管实际认证使用各种类型的用户身份模块的终端的需要,GBA技术不支持用户身份模块和终端之间的认证。为了保证服务提供者、终端和用户身份模块的安全性,优选的是执行用户身份模块和终端之间的相互认证以及用户身份模块和服务提供者之间的相互认证。
如上所解释,传统GBA技术仅支持用户身份模块和服务提供者之间的相互认证。该技术不通过用户身份模块和终端之间的相互认证以及终端和服务提供者之间的相互认证来确保安全性。因此,用户不能使用携带用户的身份的用户身份模块(例如,智能卡)在各种终端中安全地再现任何购买的内容。
技术方案
因此,做出本发明来解决在现有技术中发生的上述问题,并且本发明的目的在于提供一种综合认证和管理服务提供者、终端和用户身份模块的方法以及使用该方法的系统和终端装置。
本发明的另一目的在于提供一种通过数字权限管理以允许使用用户身份模块在各种终端中安全再现任何购买的内容的综合认证和管理服务提供者、终端和用户身份模块的方法以及使用该方法的系统和终端装置。
为了实现本发明的以上目的,提供一种服务提供者、终端和用户身份模块的综合认证和管理的方法,包括以下步骤:将通知消息通过终端从服务提供者传送给用户身份模块;验证与通知消息相应的响应消息;根据验证的结果产生并发送用于终端和用户身份模块的认证结果消息;并基于认证结果消息允许终端和用户身份模块执行相互认证。
根据本发明的另一方面,提供一种服务提供者、终端和用户身份模块的综合认证和管理的方法,包括以下步骤:从终端接收发送给服务提供者的认证请求消息;产生与认证请求消息相应的通知消息,并通过终端将该通知消息从服务提供者传送给用户身份模块;验证与通知消息相应的响应消息;根据验证的结果产生并发送用于终端和用户身份模块的认证结果消息;基于认证结果消息在终端和用户身份模块中执行相互认证。
根据本发明的另一方面,提供一种服务提供者、终端和用户身份模块的综合认证和管理的方法,包括由终端执行的以下步骤:从服务提供者接收通知消息,并将该通知消息传送给用户身份模块;从用户身份模块接收响应消息,将认证终端所需的信息添加到响应消息,并将具有认证信息的响应消息传送给服务提供者;从服务提供者接收包括对用户身份模块和终端执行验证的结果的结果消息;使用接收的结果消息认证用户身份模块;和将结果消息传送给用户身份模块,从而可由用户身份模块认证终端。
根据本发明的另一方面,提供一种用于在服务提供者、终端和用户身份模块之间相互认证的系统,包括:服务提供者,用于发送通知消息,验证与通知消息相应的响应消息,并基于该验证产生用于终端和用户身份模块的认证结果消息;终端,用于将从服务提供者接收的通知消息传送给用户身份模块,将从用户身份模块接收的响应消息发送给服务提供者,从服务提供者接收认证结果消息,并使用认证结果消息认证用户身份模块;和用户身份模块,用于产生与通知消息相应的响应消息,将响应消息传送给终端,并使用通过终端接收的认证结果消息认证终端。
根据本发明的另一方面,提供一种用于在服务提供者、终端和用户身份模块之间相互认证的系统,包括:服务提供者,响应于从终端接收的认证请求消息发送通知消息,验证与通知相应的响应消息,并基于该验证产生用于终端和用户身份模块的认证结果消息;终端,用于将从服务提供者接收的通知消息传送给用户身份模块,将从用户身份模块接收的响应消息发送给服务提供者,从服务提供者接收认证结果消息,并使用与服务提供者共享的加密密钥认证用户身份模块;和用户身份模块,产生与通知消息相应的响应消息,将响应消息传送给终端,接收从终端传送的认证结果消息,并且使用与服务提供者共享的加密密钥认证终端。
根据本发明的另一方面,提供一种在服务提供者、终端和用户身份模块之间的相互认证中使用的终端装置,包括:通信模块,用于从服务提供者接收通知消息,并将与通知消息相应的响应消息发送给服务提供者;接口模块,用于将通过通信模块接收的通知消息传送给用户身份模块,并从用户身份模块接收与通知消息相应的响应消息;和认证模块,用于将认证终端所需的信息添加到将被发送给服务提供者的响应消息,使用从服务提供者接收的关于用户身份模块和终端的验证结果消息来认证用户身份模块,并将接收的结果消息传送给用户身份模块,从而可由用户身份模块认证终端。
有益效果
如上解释,根据本发明可综合进行用户身份模块和用户之间的相互认证、服务提供者和终端之间的相互认证以及服务提供者和用户身份模块之间的相互认证,从而确保用户身份模块和终端的安全性。因此,用户可基于用户的身份使用内容许可证来访问任何终端装置上的内容。除了单独安全性架构的需要,根据本发明的综合认证也可应用到传统公钥或对称密钥架构。此外,由于根据本发明的综合认证不依赖于特定网络认证技术(例如,3GPP GBA),因此其可独立地应用到各种子网结构。
附图说明
通过下面结合附图进行的详细描述,本发明的上述和其他目的、特点和优点将会变得更加清楚,其中:
图1是显示BSF和UE之间的相互认证的一般处理的示图;
图2是显示根据本发明实施例的用于执行综合认证的系统的配置的示图;
图3是根据本发明实施例的终端的框图;
图4是根据本发明实施例的用户身份模块的框图;
图5是显示根据本发明实施例的服务提供者、终端和用户身份模块之间的相互认证的处理的流程图;
图6是显示根据本发明实施例的在服务提供者、终端和用户身份模块之间发送或接收的消息的格式的示图;
图7是显示根据本发明实施例的服务提供者、终端和用户身份模块之间的相互认证的处理的流程图;和
图8是显示根据本发明实施例的在服务提供者、终端和用户身份模块之间发送或接收的消息的格式的示图。
具体实施方式
以下,将参照附图描述本发明的优选实施例。在附图中,尽管在不同的附图中描述的相同部件也将由相同的标号或字符来指示。另外,在本发明的以下描述中,当包括于此的已知功能和配置的详细描述可能使得本发明的主题不清楚时,将省略对它们的描述。
本发明涉及一种在服务提供者、终端和用户身份模块之间相互综合认证的方法和系统。以能够与当前网络安全环境的公钥架构交互并且可独立地在特定网络系统中使用的结构配置认证系统。综合认证方法被分为公钥认证和对称密钥认证。可使用这两种认证方案中的任何一种在服务提供者、终端和用户身份模块之间进行相互认证。随后,用户可基于用户的身份访问任何终端装置上的内容。
下面,将参照图2详细解释根据本发明的综合认证系统的每一部件。
如图2所示,服务提供者(“SP”)100认证并综合管理用户终端(“T”)110和用户身份模块(“UIM”)120。服务提供者100将其内容和服务提供给允许使用该内容的每个终端。终端110是与用户身份模块120交互的装置。作为代表用户身份的模块,用户身份模块120具有在认证期间使用的加密密钥和加密算法。用户身份模块120可以是具有安全功能的智能卡、SIM卡、可移动媒体和其他存储卡中的任意一个。
图3和图4是根据本发明的终端和用户身份模块的框图。如图3所示,终端110包括与用户身份模块120通信的认证模块115、通信模块151和接口模块125。具体地讲,认证模块115包括用于管理整个认证功能的认证管理器130、提供加密功能的加密模块135、设置数字签名的数字签名模块140、实现MAC算法的MAC模块145以及安全地存储加密密钥等的安全存储模块150。
具有以上结构的认证模块115将认证终端110所需的信息添加到从用户身份模块120接收的响应消息,并将具有认证信息的响应消息发送给服务提供者100。当从服务提供者100接收到包括在用户身份模块120和终端110上执行的验证处理的结果的结果消息时,认证模块115使用该结果消息认证用户身份模块120。另外,认证模块115将接收的结果消息传送到用户身份模块120,从而可在用户身份模块120中对终端110进行认证。
通信模块120负责与网络通信。具体地讲,通信模块120从服务提供者100接收通知消息,并将相应响应消息发送给服务提供者100。接口模块125负责与用户身份模块120通信。接口模块125将通过通信模块120接收的通知消息传送给用户身份模块120,并从用户身份模块120接收相应响应消息。
如图4所示,用户身份模块120包括认证模块155和接口模块160。认证模块155包括管理整个认证功能的认证管理器165、提供加密功能的加密模块170、设置数字签名的数字签名模块175、MAC模块180和安全存储加密密钥等的安全存储模块185。
当接收到从终端110传送的通知消息时,认证模块155产生包括用户身份模块120的数字签名的响应消息。另外,认证模块155使用从终端110传送的结果消息认证终端110。接口模块160接收从终端110传送的通知消息并将响应于该通知消息产生的响应消息传送给终端110。
用户身份模块120和终端110都存储唯一的一对公钥和秘密密钥。具体地讲,秘密密钥被存储在TRM(防篡改模块)来防止任何未授权访问。如图2所示,用户身份模块120与终端110交互以与服务提供者100执行相互认证。根据本发明使用的协议以特定加密算法、数字签名或MAC算法被独立构造。例如,RSA(不对称公钥加密算法)或任何其他算法可被用作公钥加密算法。
下面,将参照图5和图6详细解释根据本发明的基于公钥的相互认证的处理。图5是显示根据本发明的服务提供者、终端和用户身份模块之间的相互认证的处理的流程图。图6中的(a)至(d)是显示根据本发明的在服务提供者、终端和用户身份模块之间发送或接收的消息的格式的示图。
假设服务提供者、终端和用户身份模块的每一个已经接收到基于公钥的结构的一对公钥和秘密密钥以使用用于相互认证的密钥。
参照图5,在步骤300,服务提供者100将通知消息发送给终端110。服务提供者100可周期性地发送通知消息以开始认证处理,或者当终端110将认证请求直接发送给服务提供者100时服务提供者100可发送通知消息。用户身份模块120和终端110可使用公钥密码系统中先前接收的服务提供者100的公钥来验证服务提供者100的数字签名的真实性。因此,甚至在没有来自终端110的直接认证请求的情况下,可在服务提供者100单方发送通知消息的情况下开始认证处理。
从服务提供者100发送给终端110的通知消息具有如图6中的(a)所示的格式。参照图6中的(a),通知消息格式包含字段:ID_SP400、RND405、TS1410和Sign_SP(ID_SP||RND||TS1)420。ID_SP400是指示服务提供者的身份信息(标识符)的字段。RND405是存储随机提取以指示新接收的消息的信息(随机数)的字段。TS1 410是用于设置由服务提供者进行的第一发送的时间信息的字段。Sign_SP(ID_SP||RND||TS1)420是代表来自服务提供者的第一消息上的数字签名的字段。
当接收到具有以上格式的通知消息时,在步骤305,终端110将接收的消息简单传送给用户身份模块120。随后,在步骤310,用户身份模块120产生包括其自己的数字签名的响应消息。该数字签名可说明该响应消息来自用户身份模块120。响应消息具有如图6中的(b)所示的格式。响应消息格式包含字段:ID_SP400、RND405、TS1 410、ID_U 440和Sign_U(ID_SP||RND||TS1||ID_U)445。ID_U440是代表用户身份模块120的身份信息的字段。Sign_U(ID_SP||RND||TS1||ID_U)445是用于设置用户身份模块120的数字签名的字段。
当在步骤315将响应消息从用户身份模块120传送给终端110时,终端110将其自己的数字签名添加到该响应消息。具有终端的数字签名的响应消息具有如图6中的(c)的格式,该格式将两个字段(即,ID_T450和Sign_T(ID_SP||RND||TS1||TD_T)455)额外添加到图6中的(b)的消息格式。ID_T450是代表终端110的身份信息的字段。Sign_T(ID_SP||RND||TS1||TD_T)455是用于设置终端110的数字签名的字段。在步骤325,终端110将如图6中的(c)所示的格式的响应消息(即,具有终端的数字签名的响应消息)发送给服务提供者100。
在步骤330,服务提供者100通过验证接收的响应消息产生认证结果消息。具体地讲,服务提供者100使用与ID_U440和ID_T450相应的公钥来验证接收的响应消息中的两个字段,即,Sign_U(ID_SP||RND||TS1||ID_U)445和Sign_T(ID_SP||RND||TS1||TD_T)455,在Sign_U(ID_SP||RND||TS1||ID_U)445中已经设置了用户身份模块120的数字签名,在Sign_T(ID_SP||RND||TS1||TD_T)455中已经设置了终端110的数字签名。此时,服务提供者100通过验证每一相关字段来认证用户身份模块120和终端110。
当成功验证了用户身份模块120的数字签名时,服务提供者100随后认证用户身份模块120并产生通知认证成功的Proof_U消息。通知成功认证所使用的数据Proof_U包括ID_U||”Success”。当认证失败时,服务提供者100产生包括ID_U||”Fail”的Proof_U消息。相似地,服务提供者100使用终端110的公钥验证字段Sign_T(ID_SP||RND||TS1||TD_T)455中的终端的数字签名。当验证成功时,服务提供者100产生包括ID_T||”Success”的Proof_T消息以报告认证成功。相反,服务提供者100产生包括ID_T||”Failure”的Proof_T消息以报告认证失败。
在步骤335,服务提供者100将包括在终端110和用户身份模块120上执行的认证结果的认证结果消息发送给终端110。认证结果消息具有如图6中的(d)所示的格式。消息格式包含字段:E(Pub_U,K)460、Proof_U465、Proof_T 470、TS2 475和Sign_SP(E(Pub_U,K)||Proof_U||Proof_T||TS2)480。E(Pub_U,K)460是包含关于用公钥进行加密的会话密钥K的信息的字段。Proof_U 465和Proof_T470是分别代表用户身份模块120和终端110的认证结果的字段。TS2 475是用于设置由服务提供者100进行第二发送的时间信息(时间戳)的字段。Sign_SP(E(Pub_U,K)||Proof_U||Proof_T||TS2)480是用于设置服务提供者100的数字签名的字段。加密的信息字段可由例如E(P,D)来代表,E(P,D)是指用于用加密密钥K加密数据D的算法。E代表加密。
当从服务提供者100接收到认证结果消息时,终端110将该消息传送给用户身份模块120,从而其可被用户身份模块120认证。换句话说,在步骤345,终端110和用户身份模块120执行相互认证,并且在验证认证结果消息的情况下执行相关操作。
具体地讲,终端110验证认证结果消息中的TS2 475字段。如果TS2中的时间值是预定范围外的值,则终端110将通知用户身份模块120和用户该消息不可信。如果该时间值在预定范围内,则终端110将随后验证该消息上的数字签名。如果验证失败,则终端110将向用户身份模块120和用户通知失败,并停止所有相关操作。
如果验证数字签名成功,则终端110将检查认证结果消息中的Proof_U465以确认用户身份模块120是否可信。如果Proof_U465中的认证结果是“Fail”,则终端110将错误消息发送给用户身份模块120和用户,并将停止所有相关操作。相反,如果认证结果是“Success”,则终端110将识别出认证用户身份模块120成功,并将结束认证处理。
用户身份模块120也验证认证结果消息中的TS2 475。如果TS2中的时间值是预定范围外的值,则用户身份模块120将通知终端110该消息不可信,并将停止所有相关操作。如果时间值在预定范围内,则用户身份模块120随后将验证该消息上的数字签名。如果验证失败,则用户身份模块120将向终端110通知失败,并停止所有相关操作。如果验证数字签名成功,则用户身份模块120将检查认证结果消息中的Proof_T470以确认终端110是否可信。如果Proof_T470中的认证结果是“Fail”,则用户身份模块120将错误消息发送给终端110,并将停止所有相关操作。相反,如果认证结果是“Success”,则用户身份模块120将识别出认证终端110成功,并将结束认证处理。
当终端110和用户身份模块120之间的相互认证成功时,用户身份模块120和服务提供者100可共享会话密钥K。换句话说,用户身份模块120从认证结果消息获得会话密钥K,从而可与服务提供者100共享会话密钥。
以上已经解释基于公钥的相互认证。下面,将参照图7和图8详细解释根据本发明另一实施例的基于对称密钥的相互认证。图7是显示根据本发明的服务提供者、终端和用户身份模块之间的相互认证的处理的流程图。图8中的(a)至(g)是显示根据本发明的服务提供者、终端和用户身份模块之间发送或接收的消息的格式的示图。
本发明的实施例提供一种使用一对加密(对称)密钥(一个是在服务提供者和终端之间共享的密钥,另一个是服务提供者和用户身份模块之间共享的密钥)的基于对称密钥的相互认证。当服务提供者发送消息时,服务提供者用与用户身份模块或终端之间共享的加密密钥保护该消息。因此,与本发明的第一实施例不同,服务提供者100不能首先将通知消息发送给任何终端。根据此实施例,终端110首先将认证的请求发送给服务提供者100。
参照图7,在步骤500,用户身份模块120将如图8中的(a)所示的其身份信息ID_U600传送给终端110。随后,终端110进行步骤505以将其身份信息ID_T605添加到从用户身份模块120接收的身份信息ID_U600,并将如图8中的(b)所示带有ID_U600和ID_T605的认证请求消息发送给服务提供者100。
响应于认证请求消息,在步骤510,服务提供者100产生通知消息,并且在步骤515,将该消息发送给终端110。随后在步骤520,终端110将该通知消息传送给用户身份模块120。通知消息具有如图8中的(c)所示的格式。该格式包含字段:指示服务提供者100的身份信息的ID_SP610;指示随机数的RND615;代表由服务提供者100进行的第一发送的时间信息的TS1 620;包括使用用户身份模块120和服务提供者100之间共享的加密(对称)密钥对括号中的数据执行的MAC(消息认证编码)算法的MAC1 625;包括使用在终端110和服务提供者100之间共享的加密(对称)密钥对括号中的数据执行的MAC算法的MAC2 630。
当具有以上格式的通知消息通过终端110被传送到用户身份模块120时,在步骤525,用户身份模块120产生具有如图8中的(d)所示的格式的响应消息。该响应消息格式包括如下字段:指示用户身份模块120的身份信息的ID_U635和用于设置通过使用用户身份模块120和服务提供者100之间共享的加密密钥实现的MAC算法获得的值的MAC1 640。在步骤530,用户身份模块120将产生的响应消息传送给终端110。随后在步骤535,终端110将其MAC算法添加到接收的响应消息。换句话说,如图8中的(e)所示,额外的两个字段(即,ID_T650和MAC2 655,ID_T650指示终端110的身份信息,MAC2 655用于设置使用在终端110和服务提供者110之间共享的加密密钥实现的MAC算法的结果值)被添加到从用户身份模块120接收的响应消息。
在步骤540,终端110将如图8中的(e)所示的响应消息发送给服务提供者100。在步骤545,服务提供者100验证该响应消息以产生具有如图8中的(f)所示的格式的认证结果消息,并在步骤550,将该认证结果消息发送给终端110。由于下面提取终端110和用户身份模块120的每一个的认证结果的处理与在本发明第一实施例中解释的相同,因此将不进行进一步解释。认证结果消息包括认证结果Proof_U665和Proof_T670,其显示终端110和用户身份模块120的认证是否成功。
参照图8中的(f),发送给终端110的认证结果消息包含如下字段:用于设置用用户身份模块120和服务提供者100之间共享的加密密钥Sym1对会话密钥K加密的结果值的E(Sym1,K)660;Proof_U665;Proof_T670;用于设置由服务提供者100进行的第二发送的时间信息(时间戳)的TS2 675;用于设置对用户身份模块120执行的MAC算法的结果值的MAC1 680;和用于设置对终端110执行MAC算法的结果值的MAC2 685。
当从服务提供者100接收到认证结果消息时,在步骤555,终端110将除了认证用户身份模块120所需的字段的消息(图8中的(g)的格式)传送给用户身份模块120。接下来,在步骤560,终端110对用户身份模块120执行认证并执行相关操作。用户身份模块120还对终端110执行认证并且执行相关操作。根据本发明第一实施例的认证包括对数字签名的验证,而根据第二实施例的认证包括MAC验证。具体地讲,终端110通过验证MAC2 685的处理认证用户身份模块120,MAC2 685设置用终端110和服务提供者100之间共享的加密密钥的MAC算法的结果值。采用这种认证,能够在用户身份模块120和服务提供者100之间共享会话密钥K,并且确定每一模块是否可信。
尽管为了示例性目的描述了本发明的优选实施例,但是本领域的技术人员应该理解,在不脱离由包括其等同物的全部范围的权利要求限定的本发明的范围和精神的情况下,可以进行各种修改、添加和替换。

Claims (34)

1.一种认证并管理服务提供者、终端和用户身份模块的方法,包括:
将通知消息通过终端从服务提供者传送给用户身份模块;
服务提供者验证与通知消息相应的响应消息;
服务提供者根据验证的结果产生认证结果消息并将该认证结果消息发送给终端和用户身份模块;和
基于认证结果消息在终端和用户身份模块中执行相互认证,
其中,当用户身份模块接收到通过终端传送的通知消息时,通过将用户身份模块的数字签名添加到通知消息来产生响应消息;和
当终端从用户身份模块接收到响应消息时,将终端的数字签名添加到接收的响应消息,并将具有终端的数字签名的响应消息发送给服务提供者。
2.如权利要求1所述的方法,其中,所述通知消息具有包括以下字段的格式:身份信息字段,提供服务提供者的身份信息;随机数字段,存储随机提取的信息;时间戳字段,提供由服务提供者发送通知消息的时间信息;和数字签名字段,设置服务提供者的数字签名。
3.如权利要求1所述的方法,其中,从用户身份模块发送的所述响应消息具有包括以下字段的格式:身份信息字段,提供服务提供者的身份信息;随机数字段,存储随机提取的信息;时间戳字段,提供时间信息;身份信息字段,提供用户身份模块的身份信息;和数字签名字段,设置用户身份模块的数字签名。
4.如权利要求1所述的方法,其中,从终端发送的所述响应消息具有包括以下字段的格式:身份信息字段,提供终端的身份信息;和数字签名字段,设置添加到从用户身份模块发送的响应消息的终端的数字签名。
5.如权利要求1所述的方法,其中,所述验证响应消息的步骤是由服务提供者使用公钥对响应消息中的用于设置终端的数字签名的数字签名字段执行的验证处理。
6.如权利要求1所述的方法,其中,所述验证响应消息的步骤是使用公钥对响应消息中的用于设置用户身份模块的数字签名的数字签名字段进行验证。
7.如权利要求1所述的方法,其中,所述产生并发送认证结果消息的步骤包括:
输出通知认证终端成功或失败的认证结果;
输出通知认证用户身份模块成功或失败的认证结果;
产生认证结果消息,并发送产生的认证结果消息,该认证结果消息包括终端和用户身份模块的认证结果以及关于用公钥加密的会话密钥的信息。
8.如权利要求1所述的方法,其中,所述执行相互认证的步骤包括由终端执行的以下子步骤:
通过检查接收的认证结果消息内的数字签名字段和时间戳字段来验证该消息;和
当验证成功时,确认认证用户身份模块是否成功。
9.如权利要求8所述的方法,其中,所述执行相互认证的步骤还包括:
当验证或认证失败时,将失败通知给用户身份模块,并停止相关操作。
10.如权利要求1所述的方法,其中,所述执行相互认证的步骤包括由用户身份模块执行的以下子步骤:
通过检查接收的认证结果消息内的数字签名字段和时间戳字段来验证该消息;
当验证成功时,确认认证终端是否成功,和
当认证成功时,从认证结果消息获得与服务提供者共享的会话密钥。
11.一种认证并管理服务提供者、终端和用户身份模块的方法,该方法包括以下步骤:
接收从终端发送给服务提供者的认证请求消息;
产生与认证请求消息相应的通知消息,并通过终端将该通知消息从服务提供者传送给用户身份模块;
服务提供者验证与通知消息相应的响应消息;
服务提供者根据验证的结果产生认证结果消息,并将该认证结果消息发送给终端和用户身份模块;和
基于认证结果消息在终端和用户身份模块中执行认证,
其中,当用户身份模块接收到通过终端传送的通知消息时,产生包括关于使用与服务提供者共享的第一加密密钥实现的MAC算法的信息的响应消息;和
当终端从用户身份模块接收到响应消息时,将关于使用与服务提供者共享的第二加密密钥实现的MAC算法的信息添加到接收的响应消息,并将具有基于第二加密密钥的MAC算法信息的响应消息发送给服务提供者。
12.如权利要求11所述的方法,其中,从终端接收的所述认证请求消息包括终端和用户身份模块的身份信息。
13.如权利要求11所述的方法,其中,所述通知消息具有包括以下字段的格式:身份信息字段,提供服务提供者的身份信息;随机数字段;时间戳字段;MAC1字段,设置关于使用在服务提供者和用户身份模块之间共享的第一加密密钥实现的MAC算法的信息;和MAC2字段,设置关于使用在服务提供者和终端之间共享的第二加密密钥实现的MAC算法的信息。
14.如权利要求11所述的方法,其中,由用户身份模块产生的所述响应消息还包括用户身份模块的身份信息。
15.如权利要求11所述的方法,其中,所述终端还将其身份信息添加到具有基于第二加密密钥的MAC算法信息的响应消息。
16.如权利要求11所述的方法,其中,所述验证响应消息的步骤是由服务提供者使用与用户身份模块共享的第一加密密钥对响应消息中的MAC算法信息执行的验证处理。
17.如权利要求11所述的方法,其中,所述验证响应消息的步骤是由服务提供者使用与终端共享的第二加密密钥对响应消息中的MAC算法信息执行的验证处理。
18.如权利要求11所述的方法,其中,所述产生并发送认证结果消息的步骤包括:
输出通知认证终端和用户身份模块成功或失败的认证结果;和
产生包括终端和用户身份模块的认证结果的认证结果消息,并发送产生的认证结果消息。
19.如权利要求18所述的方法,其中,所述认证结果消息具有包括以下字段的格式:用于设置关于用用户身份模块和服务提供者之间共享的加密密钥加密的会话密钥的信息的字段、代表用户身份模块的认证结果的字段、代表终端的认证结果的字段、用于设置时间信息的时间戳字段、用于设置使用在用户身份模块和服务提供者之间共享的第一加密密钥实现的MAC算法的信息的MAC字段以及用于设置使用终端和服务提供者之间共享的第二加密密钥实现的MAC算法的信息的MAC字段。 
20.如权利要求11所述的方法,其中,所述执行认证的步骤包括由终端执行的以下子步骤:
通过检查接收的认证结果消息中的时间信息和MAC算法信息来验证该消息;和
当验证成功时,确认认证用户身份模块是否成功。
21.如权利要求11所述的方法,其中,所述执行认证的步骤包括由用户身份模块执行的以下子步骤:
通过检查接收的认证结果消息中的时间信息和MAC算法信息来验证该消息;
当验证成功时,确认认证终端是否成功;和
当认证成功时,从认证结果消息获得与服务提供者共享的会话密钥。
22.一种用于在服务提供者、终端和用户身份模块之间相互认证的系统,包括:
服务提供者,用于发送通知消息,验证与通知消息相应的响应消息,并基于该验证产生用于终端和用户身份模块的认证结果消息;
终端,用于将从服务提供者接收的通知消息传送给用户身份模块,将从用户身份模块接收的响应消息发送给服务提供者,从服务提供者接收认证结果消息,并使用认证结果消息认证用户身份模块;和
用户身份模块,用于产生与通知消息相应的响应消息,将响应消息传送给终端,并使用通过终端接收的认证结果消息认证终端。
23.如权利要求22所述的系统,其中,所述服务提供者使用公钥验证响应消息,并发送包括终端和用户身份模块的认证结果的认证结果消息。
24.一种用于在服务提供者、终端和用户身份模块之间相互认证的系统,包括:
服务提供者,响应于从终端接收的认证请求消息发送通知消息,验证与通知消息相应的响应消息,并基于该验证产生用于终端和用户身份模块的认证结果消息;
终端,用于将从服务提供者接收的通知消息传送给用户身份模块,将从用户身份模块接收的响应消息发送给服务提供者,从服务提供者接收认证结果消息,并使用与服务提供者共享的加密密钥认证用户身份模块;和
用户身份模块,产生与通知消息相应的响应消息,将响应消息传送给终 端,接收从终端传送的认证结果消息,并且使用与服务提供者共享的加密密钥认证终端。
25.如权利要求24所述的系统,其中,所述用户身份模块通过使用用户身份模块和服务提供者之间共享的加密密钥实现MAC算法来产生响应消息,并将产生的响应消息传送给终端。
26.如权利要求24所述的系统,其中,所述终端将使用终端和服务提供者之间共享的加密密钥实现的MAC算法的信息添加到从用户身份模块接收的响应消息,并将具有该MAC算法信息的响应消息发送给服务提供者。
27.一种用于服务提供者、终端和用户身份模块的综合认证和管理的方法,包括由终端执行的以下步骤:
从服务提供者接收通知消息,并将该通知消息传送给用户身份模块;
从用户身份模块接收与通知消息相应的响应消息,将认证终端所需的信息添加到响应消息,并将具有认证信息的响应消息传送给服务提供者;
接收用户身份模块和终端的验证结果消息;
使用接收的结果消息认证用户身份模块;和
将结果消息传送给用户身份模块,从而可由用户身份模块认证终端。
28.如权利要求27所述的方法,其中,认证所需的所述信息包括终端的数字签名。
29.如权利要求27所述的方法,其中,来自用户身份模块的所述响应消息包括用户身份模块的数字签名。
30.一种在服务提供者、终端和用户身份模块之间的相互认证中使用的终端装置,包括:
通信模块,用于从服务提供者接收通知消息,并将与通知消息相应的响应消息发送给服务提供者;
接口模块,用于将通过通信模块接收的通知消息传送给用户身份模块,并从用户身份模块接收与通知消息相应的响应消息;和
认证模块,用于将认证终端所需的信息添加到将被发送给服务提供者的响应消息,使用从服务提供者接收且包括由服务提供者对用户身份模块和终端执行的验证结果的结果消息来认证用户身份模块,并将接收的结果消息传送给用户身份模块,从而可由用户身份模块认证终端。
31.如权利要求30所述的终端装置,其中,所述认证模块包括: 
认证管理器,用于管理整个认证功能;
加密模块,用于提供加密功能;
数字签名模块,用于设置数字签名;
MAC模块,用于实现MAC算法;和
安全存储模块,用于安全存储加密密钥。
32.如权利要求30所述的终端装置,其中,所述认证模块包括在认证所需的信息中的终端的数字签名。
33.如权利要求30所述的终端装置,其中,所述用户身份模块包括:
认证模块,当接收到从终端传送的通知消息时,产生包括用户身份模块的数字签名的响应消息,并使用从终端传送的结果消息认证终端;和
接口模块,通过终端接收通知消息,并将响应于通知消息产生的响应消息传送给终端。
34.如权利要求32所述的终端装置,其中,所述认证模块包括:
认证管理器,用于管理整个认证功能;
加密模块,用于提供加密功能;
数字签名模块,用于设置数字签名;
MAC模块,用于实现MAC算法;和
安全存储模块,用于安全地存储加密密钥。 
CN2006800196006A 2005-06-03 2006-05-25 综合认证和管理服务提供者、终端和用户身份模块的方法以及使用该方法的系统和终端 Expired - Fee Related CN101189827B (zh)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
KR10-2005-0048038 2005-06-03
KR1020050048038A KR100652125B1 (ko) 2005-06-03 2005-06-03 서비스 제공자, 단말기 및 사용자 식별 모듈 간을총괄적으로 인증하여 관리할 수 있도록 하는 상호 인증방법 및 이를 이용한 시스템과 단말 장치
KR1020050048038 2005-06-03
PCT/KR2006/001991 WO2006129934A1 (en) 2005-06-03 2006-05-25 Method for inclusive authentication and management of service provider, terminal and user identity module, and system and terminal device using the method

Publications (2)

Publication Number Publication Date
CN101189827A CN101189827A (zh) 2008-05-28
CN101189827B true CN101189827B (zh) 2011-11-16

Family

ID=37481826

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2006800196006A Expired - Fee Related CN101189827B (zh) 2005-06-03 2006-05-25 综合认证和管理服务提供者、终端和用户身份模块的方法以及使用该方法的系统和终端

Country Status (6)

Country Link
US (1) US7953391B2 (zh)
EP (1) EP1886438B1 (zh)
JP (1) JP4712871B2 (zh)
KR (1) KR100652125B1 (zh)
CN (1) CN101189827B (zh)
WO (1) WO2006129934A1 (zh)

Families Citing this family (56)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100735221B1 (ko) * 2005-08-12 2007-07-03 삼성전자주식회사 컨텐츠를 다수의 단말기에서 재생할 수 있도록 하는 컨텐츠재생 방법 및 이를 이용한 시스템과 단말 장치
KR101009330B1 (ko) * 2006-01-24 2011-01-18 후아웨이 테크놀러지 컴퍼니 리미티드 모바일 네트워크를 기반으로 하는 엔드 투 엔드 통신에서의 인증을 위한 방법, 시스템 및 인증 센터
CN100464527C (zh) * 2007-04-16 2009-02-25 华为技术有限公司 通信系统、通信设备以及能力控制方法
JP2008269088A (ja) * 2007-04-17 2008-11-06 Toshiba Corp プログラム情報提供システム、プログラム情報提供方法、プログラム情報提供方法に用いられる記録媒体
US8539233B2 (en) * 2007-05-24 2013-09-17 Microsoft Corporation Binding content licenses to portable storage devices
US8880693B2 (en) * 2007-09-28 2014-11-04 Verizon Patent And Licensing Inc. Network service provider-assisted authentication
JP5432156B2 (ja) * 2007-10-05 2014-03-05 インターデイジタル テクノロジー コーポレーション Uiccと端末との間のセキュア通信方法
CN100553193C (zh) * 2007-10-23 2009-10-21 西安西电捷通无线网络通信有限公司 一种基于可信第三方的实体双向鉴别方法及其系统
DE112008002860T5 (de) * 2007-10-23 2010-12-09 Telefonaktiebolaget L M Ericsson (Publ) Verfahren und Vorrichtung für das Bereitstellen einer sicheren Verknüpfung mit einer Benutzeridentität in einem System für digitale Rechteverwaltung
WO2009088252A2 (en) * 2008-01-09 2009-07-16 Lg Electronics Inc. Pre-authentication method for inter-rat handover
WO2009126647A2 (en) * 2008-04-07 2009-10-15 Interdigital Patent Holdings, Inc. Secure session key generation
US20090259851A1 (en) * 2008-04-10 2009-10-15 Igor Faynberg Methods and Apparatus for Authentication and Identity Management Using a Public Key Infrastructure (PKI) in an IP-Based Telephony Environment
CN102025701B (zh) * 2009-09-17 2014-12-10 中兴通讯股份有限公司 身份位置分离网络中用户登录icp网站的方法和系统
CN101674182B (zh) 2009-09-30 2011-07-06 西安西电捷通无线网络通信股份有限公司 引入在线可信第三方的实体公钥获取、证书验证及鉴别的方法及系统
WO2011121566A1 (en) * 2010-03-31 2011-10-06 Paytel Inc. A method for mutual authentication of a user and service provider
US20130074163A1 (en) * 2010-06-10 2013-03-21 Telefonaktiebolaget L M Ericsson (Publ) User equipment and control method therefor
US9215220B2 (en) 2010-06-21 2015-12-15 Nokia Solutions And Networks Oy Remote verification of attributes in a communication network
US20130163762A1 (en) * 2010-09-13 2013-06-27 Nec Corporation Relay node device authentication mechanism
RU2568922C2 (ru) * 2010-09-17 2015-11-20 Нокиа Солюшнз энд Нетуоркс Ой Удаленная проверка атрибутов в сети связи
US20120198227A1 (en) * 2010-09-30 2012-08-02 Alec Brusilovsky Cipher key generation in communication system
CN101984577B (zh) * 2010-11-12 2013-05-01 西安西电捷通无线网络通信股份有限公司 匿名实体鉴别方法及系统
CN101997688B (zh) 2010-11-12 2013-02-06 西安西电捷通无线网络通信股份有限公司 一种匿名实体鉴别方法及系统
CN102026178B (zh) * 2010-12-31 2013-06-12 成都三零瑞通移动通信有限公司 一种基于公钥机制的用户身份保护方法
US9264230B2 (en) * 2011-03-14 2016-02-16 International Business Machines Corporation Secure key management
US8707022B2 (en) * 2011-04-05 2014-04-22 Apple Inc. Apparatus and methods for distributing and storing electronic access clients
US8634561B2 (en) 2011-05-04 2014-01-21 International Business Machines Corporation Secure key management
KR20130030599A (ko) * 2011-09-19 2013-03-27 삼성전자주식회사 디바이스들 간의 보안 연계 방법 및 그 디바이스
CN103312499B (zh) 2012-03-12 2018-07-03 西安西电捷通无线网络通信股份有限公司 一种身份认证方法及系统
CN103312670A (zh) 2012-03-12 2013-09-18 西安西电捷通无线网络通信股份有限公司 一种认证方法及系统
US8898769B2 (en) 2012-11-16 2014-11-25 At&T Intellectual Property I, Lp Methods for provisioning universal integrated circuit cards
KR101447619B1 (ko) 2012-12-31 2014-10-07 주식회사 엘지유플러스 식별 모듈 관리 방법 및 장치
US9300625B1 (en) * 2013-01-02 2016-03-29 Amazon Technologies, Inc. Network address verification
EP2959420B1 (en) * 2013-02-22 2019-09-11 Paul Simmonds Methods, apparatus and computer programs for entity authentication
CN103716153B (zh) * 2013-03-15 2017-08-01 福建联迪商用设备有限公司 终端主密钥tmk安全下载方法及系统
US9100175B2 (en) 2013-11-19 2015-08-04 M2M And Iot Technologies, Llc Embedded universal integrated circuit card supporting two-factor authentication
US9350550B2 (en) 2013-09-10 2016-05-24 M2M And Iot Technologies, Llc Power management and security for wireless modules in “machine-to-machine” communications
US9036820B2 (en) 2013-09-11 2015-05-19 At&T Intellectual Property I, Lp System and methods for UICC-based secure communication
US10498530B2 (en) 2013-09-27 2019-12-03 Network-1 Technologies, Inc. Secure PKI communications for “machine-to-machine” modules, including key derivation by modules and authenticating public keys
US9124573B2 (en) 2013-10-04 2015-09-01 At&T Intellectual Property I, Lp Apparatus and method for managing use of secure tokens
US9208300B2 (en) 2013-10-23 2015-12-08 At&T Intellectual Property I, Lp Apparatus and method for secure authentication of a communication device
US9240994B2 (en) 2013-10-28 2016-01-19 At&T Intellectual Property I, Lp Apparatus and method for securely managing the accessibility to content and applications
US9240989B2 (en) 2013-11-01 2016-01-19 At&T Intellectual Property I, Lp Apparatus and method for secure over the air programming of a communication device
US9313660B2 (en) 2013-11-01 2016-04-12 At&T Intellectual Property I, Lp Apparatus and method for secure provisioning of a communication device
US10700856B2 (en) 2013-11-19 2020-06-30 Network-1 Technologies, Inc. Key derivation for a module using an embedded universal integrated circuit card
CN112134708A (zh) * 2014-04-15 2020-12-25 创新先进技术有限公司 一种授权方法、请求授权的方法及装置
US9819485B2 (en) 2014-05-01 2017-11-14 At&T Intellectual Property I, L.P. Apparatus and method for secure delivery of data utilizing encryption key management
US9713006B2 (en) 2014-05-01 2017-07-18 At&T Intellectual Property I, Lp Apparatus and method for managing security domains for a universal integrated circuit card
US9439069B2 (en) * 2014-12-17 2016-09-06 Intel IP Corporation Subscriber identity module provider apparatus for over-the-air provisioning of subscriber identity module containers and methods
US9853977B1 (en) 2015-01-26 2017-12-26 Winklevoss Ip, Llc System, method, and program product for processing secure transactions within a cloud computing system
FR3032846B1 (fr) * 2015-02-12 2018-01-26 Idemia France Procede de communication securisee entre un systeme d'exploitation d'un terminal et un dispositif distinct du terminal
CN105491250B (zh) * 2015-12-10 2019-03-15 小米科技有限责任公司 来电号码真伪的识别方法、装置及设备
US10333715B2 (en) * 2016-11-14 2019-06-25 International Business Machines Corporation Providing computation services with privacy
CN107104795B (zh) * 2017-04-25 2020-09-04 上海汇尔通信息技术有限公司 Rsa密钥对和证书的注入方法、架构及系统
KR102157695B1 (ko) * 2018-08-07 2020-09-18 한국스마트인증 주식회사 익명 디지털 아이덴티티 수립 방법
CN109617675B (zh) * 2018-11-15 2024-02-06 国网电动汽车服务有限公司 一种充放电设施与用户端间的双方标识认证方法及系统
EP3696698A1 (en) * 2019-02-18 2020-08-19 Verimatrix Method of protecting a software program against tampering

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1444835A (zh) * 2000-08-03 2003-09-24 奥林奇私人通讯服务有限公司 移动通信网络中的验证

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI115372B (fi) * 1998-09-18 2005-04-15 Nokia Corp Menetelmä matkaviestimen tunnistamiseksi, viestintäjärjestelmä ja matkaviestin
CA2255285C (en) * 1998-12-04 2009-10-13 Certicom Corp. Enhanced subscriber authentication protocol
FI108813B (fi) * 1999-03-08 2002-03-28 Sonera Smarttrust Oy Menetelmä ja järjestelmä tietoliikennejärjestelmässä
US7308431B2 (en) * 2000-09-11 2007-12-11 Nokia Corporation System and method of secure authentication and billing for goods and services using a cellular telecommunication and an authorization infrastructure
US7668315B2 (en) * 2001-01-05 2010-02-23 Qualcomm Incorporated Local authentication of mobile subscribers outside their home systems
JP2002368737A (ja) 2001-01-12 2002-12-20 Nippon Telegr & Teleph Corp <Ntt> ネットワーク認証システムおよび方法ならびにプログラム、サービス提供装置、認証局、ユーザ端末
TW508933B (en) * 2001-04-23 2002-11-01 Inventec Appliances Corp Method for automatically switching SIM card of mobile phone and device therefor
JP3921057B2 (ja) 2001-05-11 2007-05-30 株式会社エヌ・ティ・ティ・ドコモ アクセス方法および通信端末
EP1261170A1 (en) 2001-05-24 2002-11-27 BRITISH TELECOMMUNICATIONS public limited company Method for providing network access to a mobile terminal and corresponding network
US7996888B2 (en) * 2002-01-11 2011-08-09 Nokia Corporation Virtual identity apparatus and method for using same
US7054613B2 (en) * 2002-05-03 2006-05-30 Telefonaktiebolaget Lm Ericsson (Publ) SIM card to mobile device interface protection method and system
FR2847756B1 (fr) * 2002-11-22 2005-09-23 Cegetel Groupe Procede d'etablissement et de gestion d'un modele de confiance entre une carte a puce et un terminal radio
KR20040078257A (ko) * 2003-03-03 2004-09-10 주식회사 디지탈퍼스트 무선 통신 가입자 식별 방식을 이용한 디지털 컨텐츠의디지털 저작권 관리서비스 시스템 및 방법
JP4018573B2 (ja) 2003-03-25 2007-12-05 株式会社エヌ・ティ・ティ・ドコモ 認証システム及び通信端末
JP2005050311A (ja) 2003-07-16 2005-02-24 Nippon Telegr & Teleph Corp <Ntt> サービス提供方法及びシステム
FI116654B (fi) 2003-10-23 2006-01-13 Siltanet Ltd Menetelmä käyttäjän autentikoimiseksi
US7711954B2 (en) * 2004-08-05 2010-05-04 Digital Keystone, Inc. Methods and apparatuses for configuring products
MY142227A (en) * 2005-02-04 2010-11-15 Qualcomm Inc Secure bootstrapping for wireless communications
US20060206710A1 (en) * 2005-03-11 2006-09-14 Christian Gehrmann Network assisted terminal to SIM/UICC key establishment
KR100735221B1 (ko) * 2005-08-12 2007-07-03 삼성전자주식회사 컨텐츠를 다수의 단말기에서 재생할 수 있도록 하는 컨텐츠재생 방법 및 이를 이용한 시스템과 단말 장치

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1444835A (zh) * 2000-08-03 2003-09-24 奥林奇私人通讯服务有限公司 移动通信网络中的验证

Also Published As

Publication number Publication date
WO2006129934A1 (en) 2006-12-07
EP1886438B1 (en) 2019-03-13
JP4712871B2 (ja) 2011-06-29
CN101189827A (zh) 2008-05-28
US20060281442A1 (en) 2006-12-14
US7953391B2 (en) 2011-05-31
EP1886438A4 (en) 2014-06-11
JP2008547246A (ja) 2008-12-25
EP1886438A1 (en) 2008-02-13
KR100652125B1 (ko) 2006-12-01

Similar Documents

Publication Publication Date Title
CN101189827B (zh) 综合认证和管理服务提供者、终端和用户身份模块的方法以及使用该方法的系统和终端
CA2463034C (en) Method and system for providing client privacy when requesting content from a public server
CN101212293B (zh) 一种身份认证方法及系统
CN111030814B (zh) 秘钥协商方法及装置
EP3425842B1 (en) Communication system and communication method for certificate generation
CN103532713B (zh) 传感器认证和共享密钥产生方法和系统以及传感器
CN101409621B (zh) 一种基于设备的多方身份认证方法及系统
CN102404347A (zh) 一种基于公钥基础设施的移动互联网接入认证方法
CN108566273A (zh) 基于量子网络的身份认证系统
US8234497B2 (en) Method and apparatus for providing secure linking to a user identity in a digital rights management system
CN106713236A (zh) 一种基于cpk标识认证的端对端身份认证及加密方法
CN108964897A (zh) 基于群组通信的身份认证系统和方法
CN108352982B (zh) 通信装置、通信方法及记录介质
CN101192927B (zh) 基于身份保密的授权与多重认证方法
CN115967941A (zh) 电力5g终端认证方法及认证系统
CN103024735A (zh) 无卡终端的业务访问方法及设备
CN110176989A (zh) 基于非对称密钥池的量子通信服务站身份认证方法和系统
CN114760046A (zh) 一种身份鉴别方法和装置
CN102882882B (zh) 一种用户资源授权方法
CN114760029A (zh) 一种身份鉴别方法和装置
CN113676468B (zh) 一种基于消息验证技术的三方增强认证系统设计方法
US20240171380A1 (en) Methods and devices for authentication
CN116545751A (zh) 一种基于零信任的智能设备安全认证方法及装置
CN116614259A (zh) 一种基于区块链的多域证书双向认证方法及系统
CN114760027A (zh) 一种身份鉴别方法和装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20111116

Termination date: 20200525

CF01 Termination of patent right due to non-payment of annual fee