CN101317181B - 用于移动终端中安全鉴权响应的设备以及方法 - Google Patents
用于移动终端中安全鉴权响应的设备以及方法 Download PDFInfo
- Publication number
- CN101317181B CN101317181B CN200680044932XA CN200680044932A CN101317181B CN 101317181 B CN101317181 B CN 101317181B CN 200680044932X A CN200680044932X A CN 200680044932XA CN 200680044932 A CN200680044932 A CN 200680044932A CN 101317181 B CN101317181 B CN 101317181B
- Authority
- CN
- China
- Prior art keywords
- password
- response
- request
- rgm
- ppm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 230000004044 response Effects 0.000 title claims abstract description 90
- 238000000034 method Methods 0.000 title claims description 41
- 238000012795 verification Methods 0.000 claims description 5
- 230000005540 biological transmission Effects 0.000 claims description 4
- 238000004891 communication Methods 0.000 abstract description 30
- 230000006870 function Effects 0.000 description 15
- 238000010586 diagram Methods 0.000 description 10
- 238000004590 computer program Methods 0.000 description 8
- 230000001413 cellular effect Effects 0.000 description 7
- 230000008569 process Effects 0.000 description 7
- 230000008901 benefit Effects 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 3
- 238000010295 mobile communication Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- IRLPACMLTUPBCL-KQYNXXCUSA-N 5'-adenylyl sulfate Chemical compound C1=NC=2C(N)=NC=NC=2N1[C@@H]1O[C@H](COP(O)(=O)OS(O)(=O)=O)[C@@H](O)[C@H]1O IRLPACMLTUPBCL-KQYNXXCUSA-N 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephone Function (AREA)
- Telephonic Communication Services (AREA)
Abstract
一种用于安全地与网络进行通信的移动终端包括用户识别模块(UIM)。UIM可操作地与用户设备模块进行通信并且包括密码供应模块(PPM)、密码产生模块以及响应产生模块(RGM)。用户设备模块包括客户端应用。PPM配置用于存储密码。密码产生模块可操作地与PPM进行通信并且配置用于产生密码。RGM可操作地与客户端应用和PPM两者进行通信。RGM配置用于响应于来自客户端应用的请求而根据密码产生鉴权响应。
Description
技术领域
本发明的实施方式一般涉及无线技术以及,更具体地,涉及移动终端中超文本传输协议(HTTP)摘要响应的安全产生。
背景技术
移动终端的安全性对于移动终端用户而言越来越重要,该移动终端诸如便携式通信设备(PCD)(例如蜂窝电话)、便携式数字助理(PDA)、膝上型计算机,或者能够与无线网络进行通信的任何适合的设备。安全性算法经常用于实现移动终端和另一网络实体之间的安全性。这些安全性算法通常依赖于在移动终端和允许鉴权移动终端的另一网络实体之间共享的秘密。通常,该共享秘密以密钥形式实施。为了进一步增强安全性,许多安全性算法需要各种时间间隔的密钥更新。密钥更新是其中建立新密钥使得可以利用新密钥来保护未来通信的一种过程。如果第三方获得一组密钥并且因此危及移动终端和另一网络实体之间的安全性,一旦已经建立新的密钥组,则密钥更新将防止第三方能够继续接入与移动终端的通信,从而在瞬间限制安全性破坏。
非常期望安全通信的客户端鉴权的示例是HTTP摘要接入鉴权。HTTP摘要接入鉴权验证客户端和服务器两者都知道共享秘密(HTTP密码)。在HTTP摘要接入鉴权中,期望在无需以明显的方式(即以无保护方式)发送密钥的情况下执行验证。跟随着验证的执行,在客户端和服务器之间开始安全通信。
HTTP摘要接入鉴权方案基于简单挑战响应范例。该方案包括使用现时值向客户端发起挑战。对该挑战的有效HTTP响应验证共享秘密的知晓。产生HTTP响应作为来自安全性算法或者安全性函数的输出。该输出包含用户名、HTTP密码、现时值、HTTP方法以及所请求的通用资源指示符(URI)的校验和。因此,如果HTTP密码能够由另一实体来获得,则损失关于后续通信的安全性。
移动终端通常至少包括用户识别模块(UIM)和移动设备(ME)。UIM是低功率处理器,其包含安全存储并且提供安全处理。UIM可以是例如通用集成电路卡(UICC)、订户识别模块(SIM)、可拆卸用户识别模块(R-UIM)等。这样,UIM可以是可移除设备或者嵌入移动终端中。ME包含高功率处理器并且未假定为包含安全存储或者提供安全处理。
针对移动应用,由于ME的高处理功率,HTTP客户端在ME处运行。HTTP响应产生在ME中或者从UIM递送到ME。然后,将HTTP响应从ME发送到网络实体从而执行共享秘密的知晓的验证。用于实现将HTTP响应递送到ME的现有装置需要发送HTTP密码到ME或者将其存储于ME处。HTTP密码然后可以用于产生HTTP响应。然而,因为ME可能不包含安全存储器和/或提供安全处理能力,所以HTTP密码处于被危及安全的风险中,由此防止HTTP客户端和服务器之间的安全通信。
发明内容
因此提供一种方法和设备用于在UIM的安全处理器中产生HTTP响应并且递送该HTTP响应到ME。这样,HTTP密码从未暴露给不安全的环境。
在一个示例性实施方式中,提供了一种设备诸如,例如用于安全地与网络进行通信的移动终端。该设备包括用户识别模块(UIM)。UIM可操作地与用户设备模块进行通信并且可以包括密码供应模块(PPM)、密码产生模块以及响应产生模块(RGM)。用户设备模块包括客户端应用。PPM配置用于存储密码。密码产生模块可操作地与PPM进行通信并且配置用于产生密码。RGM可操作地与客户端应用和PPM两者进行通信。RGM配置用于响应于来自客户端应用的请求根据HTTP密码产生鉴权响应。
在另一示例性实施方式中,提供了一种方法用于建立移动终端中的响应的安全接收。该方法可以包括以下操作:将密码存储在用户识别模块(UIM)的密码供应模块(PPM)中,接收来自于可操作地与PPM以及发送请求的客户端应用进行通信的响应产生模块(RGM)的针对鉴权响应的该请求,响应于该请求从PPM发送密码到RGM,并且在响应于该请求和密码的RGM处产生响应。在示例性实施方式中,该方法可以进一步包括从RGM到客户端应用发送该响应。
在另一示例性实施方式中,提供了一种计算机程序产品用于建立移动终端中的响应的安全接收。该机算计程序产品包括至少一个计算机可读存储介质,该计算机可读存储介质具有存储于其中的计算机可读程序代码部分。该计算机可读程序代码部分包括第一、第二和第三可执行部分。第一可执行部分用于接收来自于可操作地与密码供应模块(PPM)和发送请求的客户端应用进行通信的响应产生模块(RGM)的针对鉴权响应的该请求。第二可执行部分用于响应于该请求从PPM发送密码到RGM。第三可执行部分用于在响应于该请求和密码的RGM处产生响应。
在另一示例性实施方式中,提供了一种设备用于建立移动终端中的响应的安全接收。该设备包括用于接收来自于可操作地与密码供应模块(PPM)和发送请求的客户端应用进行通信的响应产生模块(RGM)的针对鉴权响应的该请求的装置,用于响应于该请求从PPM发送密码到RGM的装置,以及用于在响应于该请求和密码的RGM处产生响应的装置。
本发明的实施方式提供了一种方法和设备用于产生移动终端的安全UIM中的HTTP响应。因此,可以改进移动终端上客户端应用和网络服务器之间的通信的安全性。
附图说明
现在将参考附图对本发明进行概括性地描述,这些附图不需要按比例绘制,在这些附图中:
图1是根据本发明的示例性实施方式的移动终端的示意性方框图;
图2是根据本发明的示例性实施方式的无线通信系统的示意性方框图;
图3示出了根据本发明的示例性实施方式的移动终端的用户识别模块(UIM)和移动设备(ME)的示意性方框图;以及
图4示出了根据产生移动终端的安全UIM中的HTTP响应的示例性方法的方框图。
具体实施方式
现在将在下文中参考附图对本发明的实施方式进行更全面地描述,在一些附图中,未示出本发明的全部实施方式。实际上,这些发明的实施方式可以以许多不同的形式实施并且不构成限制于在此所阐述的实施方式;而是,提供这些实施方式使得本公开将满足可适用的法律要求。类似的参考标号通篇表示类似的元件。
图1示出了将获益于本发明的实施方式的移动终端10的方框图。然而应该理解,所示出的和下文将描述的移动电话仅是获益于本发明的实施方式的移动终端一种类型,并且因此将不限制本发明的实施方式的范围。虽然示出了移动终端10的多个实施方式并且将在下文中出于示例目的而对其进行描述,但是其它类型的移动终端,诸如便携式数字助理(PDA)、寻呼机、膝上型计算机以及其它类型的语音和文本通信系统,能够容易地使用本发明的实施方式。而且,本发明的实施方式的方法将主要结合移动通信应用来进行描述。但是本发明的实施方式的方法能够结合各种其它应用来使用在移动通信行业中和移动通信行业外。另外,虽然由移动终端10执行或者使用了本发明的方法的多个实施方式,但是该方法可以由除了移动终端以外的其它设备来使用。
移动终端10包括可操作地与发射器14和接收器16进行通信的天线12。移动终端10还包括控制器20,其分别提供信号到发射器14并且从接收器16接收信号。该信号包括根据可应用蜂窝系统的空中接口标准的信令信息,并且还包括用户语音和/或用户产生的数据。在这点上,移动终端10能够利用空中接口标准、通信协议、调制类型以及接入类型中的一种或者多种进行操作。更具体地,移动终端10能够根据多个第一代、第二代和/或第三代通信协议等中的任何一个进行操作。例如,移动终端10可能根据第二代(2G)无线通信协议IS-136(TDMA)、GSM以及IS-95(CDMA)进行操作。
理解到控制器20包括用于实施移动终端10的音频和逻辑功能所需的电路。例如,控制器20可以包括数字信号处理器设备、微处理器设备以及各种模数转换器、数模转换器以及其它支持电路。移动终端10的控制和信号处理功能根据它们各自的能力在这些设备之间进行分配。这样控制器20还可以包括用于在调制和传输之间卷积地编码并且交织消息和数据的功能性。控制器20还额外地包括内部语音编码器,并且可以包括内部数据调制解调器。进一步,控制器20可以包括用于操作一个或者多个软件程序的功能性,该软件程序可以存储在存储器中。例如,控制器20能够操作连接性程序,诸如传统Web浏览器。然后连接性程序可以允许移动终端10例如根据无线应用协议(WAP)发射并且接收Web内容,诸如基于位置的内容。另外,根据本发明的实施方式(下文将进行描述),例如控制器20能够操作软件应用,该软件应用能够创建用于关于该移动终端的位置信息的递送的鉴权。
移动终端10还包括用户界面,该用户界面包括传统耳机或者扬声器24、振铃器22、麦克风26、显示器28,以及用户输入界面,所有这些都耦合到控制器20。用户输入界面(其允许移动终端10接收数据)可以包括允许移动终端10接收数据的多个设备中的任何一个,该设备诸如小键盘30、触摸式显示器(未示出)或者其它输入设备。在包括小键盘30的实施方式中,小键盘30包括传统数字键(0-9)和相关键(#,*),以及用于操作终端设备10的其它键。移动终端10还包括电池34,诸如振动电池组,用于对操作移动终端10的各种电路进行供电,以及可选地提供机械振动作为可检测输出。
移动终端10的所有上述元件共同包括移动设备18,例如用户设备模块。除了ME 18,移动终端10可以包括通用识别模块(UIM)38。UIM 38通常是具有内置处理器的存储器设备。UIM可以包括,例如,订户识别模块(SIM)、通用集成电路卡(UICC)、通用订户识别模块(USIM)、可拆卸用户识别模块(R-UIM)等。UIM 38通常存储涉及移动订户的信息元素。除了UIM 38,移动终端10可以装备有存储器。例如,移动终端10可以包括易失性存储器40,诸如包括用于数据的临时存储的高速缓存区域的易失性随机访问存储器(RAM)。移动终端10还可以包括其它非易失性存储器42,其可以是嵌入式的和/或可以是可拆卸的。非易失性存储器42能够额外地或者可替换地包括EEPROM、闪存等,诸如从加利福尼亚州桑尼维尔市的SanDisk公司或者加利福尼亚洲弗里蒙特市的Lexar媒体有限公司可以获得的。该存储器能够存储由移动终端用于实施移动终端的功能的多条信息、以及数据中的任何一个。例如,存储器能够包括标识符,诸如国际移动设备标识(IMEI)代码,其能够唯一地标识移动终端10.
现在参考图2,提供了一种类型的无线通信网络的示例,该网络包括终端,诸如移动终端10,该终端获益于本发明的实施方式。如图所示,移动终端10包括天线12,用于发射信号到基址或者基站(BS)50并且从基址或者基站(BS)50接收信号。BS 50是蜂窝网络的一部分,该蜂窝网络包括移动交换中心(MSC)52、语音编码器/解码器(音码器)、数据调制解调器以及操作蜂窝网络所需的其它单元。当移动终端10正在发出以及接收呼叫时,MSC 52能够路由来自和去往移动终端10的呼叫和消息。蜂窝网络还可以称作基站/MSC/网际互连功能(BMI)54。当移动终端10向蜂窝网络登记时,MSC 52控制来自以及去往移动终端10的消息转发,并且还控制来自以及去往消息中心(未示出)的移动终端10的消息转发。这种消息可以包括,例如,MSC 52从公共交换电话网络(PSTN)电话用户接收到的语音消息,并且还可以包括MSC 52从移动终端10或者蜂窝网络服务的其它移动终端接收到的短消息服务(SMS)和语音消息。
移动终端10还能够耦合到数据网络。例如,BS 50能够连接到分组控制功能(PCF)56,其与分组数据服务节点(PDSN)58连接。PDSN 58可以连接到广域网,诸如因特网60。依次,诸如处理元件62(例如个人计算机、服务器计算机等)的设备经由PDSN 58能够耦合到移动终端10。通过直接或者间接连接移动终端10和其它设备两者到PDSN 58和因特网60,移动终端10能够与其它设备进行通信,诸如根据因特网协议(IP)规范,从而由此执行移动终端10的各种功能。
尽管在此未示出和描述每个可能网络的每个元素,但是应该理解到移动终端10可以耦合到使用多个不同模式(在此还称作协议)中的任何一个或者多个的多个不同网络中的任何一个或者多个。关于这点,网络能够根据多个第一代(1G)、第二代(2G)、2.5G和/或第三代(3G)移动终端通信协议等中的任何一个或者多个支持通信。尤其是,移动终端可以耦合到能够根据2G无线通信协议IS-136(TDMA)、GSM以及IS-95(CDMA)支持通信的网络。另外,例如,网络能够根据2.5G无线通信协议GPRS、增强型数据GSM环境(EDGE)等支持通信。另外,例如,一个或者多个网络能够根据诸如CDMA 2000和通用移动电话系统(UMTS)网络的3G无线通信协议使用宽带码分多址(WCDMA)无线接入技术支持通信。附加地,网络能够支持广域网(WAN)通信,诸如WLAN(IEEE 802.11)或者WiMAX(802.16)。某些窄带AMPS(NAMPS)网络、以及TACS网络可以也获益于本发明的实施方式,如双模式或者更高模式移动台(例如,数字/模拟或者TDMA/CDMA模拟电话)。
现在参考图3,其示出了根据本发明的示例性实施方式的移动终端10的ME 18和UIM 38的示意性方框图。然而应该理解到,在此示出和下文描述的移动终端10仅示出了获益于本发明的实施方式的移动终端的一种类型,并且因此将不作为对本发明的实施方式的范围的限制。
如图3所示,UIM 38包括响应产生模块(RGM)66、密码供应模块(PPM)68以及HTTP密码产生模块,该HTTP密码产生模块可以采用例如通用引导架构(GBA)。GBA是允许移动终端10和归属网络之间的安全性密钥的引导(或者变换)的框架架构,然后其可以用于进一步衍生用在移动终端10和网络应用服务器之间的安全性密钥。GBA可以用作提供用于保证因特网协议(IP)层切换安全的密钥的机制。例如,第三代合作伙伴计划2无线局域网(3GPP2-WLAN)和第三代合作伙伴计划无线局域网(3GPP-WLAN)工作组正在研发用于当从一个网络切换到另一个网络时安全地鉴权移动终端的机制。这样,例如HTTP密码产生模块可以是GBA单元(GBA_U)70。GBA_U 70产生HTTP密码并且发送该HTTP密码到PPM 68。PPM 68存储该HTTP密码用于所有HTTP应用。
在操作中,当HTTP客户端应用72需要HTTP响应从而建立与处理元件62的安全通信时,HTTP客户端应用72发送请求78到RGM66。该请求78包括包含应用身份、用户名以及现时的信息,所有这些信息从处理元件62接收。RGM 66然后从PPM 68请求HTTP密码。PPM 68发送HTTP密码到RGM 66,然后其根据安全性算法或者安全函数从用户名、现时、HTTP密码等产生HTTP响应76。在示例性实施方式中,安全性算法可以是IETF RFC 2617中所规定的。然后RGM 66发送该HTTP响应76到HTTP客户端应用72从而允许与处理元件62的安全通信的建立。HTTP客户端应用72和RGM 66之间的接口连接可以例如经由3GPP2或者3GPP协议。
在示例性实施方式中,UIM 38可以计算有效HTTP响应,该有效HTTP响应的一部分可能包括鉴权报头。有效HTTP响应包括用户名、HTTP密码、现时值、HTTP方法以及所请求的URI的校验和。用户名设置为引导事务ID(B-TID),其通过ME 18传送到UIM 38。HTTP密码设置为Ks_int_NAF(base64编码的)。Ks_int_NAF是使用UIM 38内部的GBA_U 70产生的。现时值、HTTP方法以及所请求的URI通过ME 18传送到UIM 38。在接收用户名、HTTP密码、现时值、HTTP方法以及所请求的URI时,UIM 38(具体地是UIM 38的RGM 66)产生有效HTTP响应并且发送该有效HTTP响应到ME18。
图4是根据本发明的示例性实施方式的系统、方法以及程序产品的流程图。将理解到流程图的每个框或者步骤,以及流程图中的框的组合可以通过各种装置来实施,该装置诸如硬件、固件、和/或软件,包括一个或者多个计算机程序指令。例如,GBA_U 70、PPM68、RGM 66以及HTTP客户端应用72中的一个或者多个可以通过计算机程序指令来实施。关于这一点,实施GBA_U 70、PPM 68、RGM 66的计算机程序指令可以通过UIM 38的存储器设备来存储并且通过内置处理器来执行。HTTP客户端应用72通常存储在ME 18的存储器中并且由控制器20来执行。如所理解的,任何这种计算机程序指令可以加载到计算机或者其它可编程设备上(即,硬件)从而生产机器,使得在计算机或者其它可编程设备上执行的指令创建用于实施流程图框或者步骤中指定的功能的装置。这些计算机程序指令还可以存储在计算机可读存储器中,该计算机程序指令能够指示计算机或者其它可编程设备以特定方式工作,使得存储在计算机可读存储器中的指令产生产品,该产品包括实施在流程图框或者步骤中指定的功能的指令装置。计算机程序指令还可以加载在计算机或者其它可编程设备上从而引起一系列将执行在计算机或者其它可编程设备上的可操作步骤用于产生计算机实施的处理,使得在计算机或者其它可编程设备上执行的指令提供用于实施流程图框或者步骤中指定的功能的步骤。
因此,流程图的框或者步骤支持用于执行指定功能的装置的组合,支持用于执行指定功能的步骤和用于执行指定的功能的程序指令装置的组合。将理解到流程图的一个或多个框或者步骤,以及流程图的框或者步骤的组合,可以通过专用基于硬件的计算机系统或者专用硬件和计算机指令的组合来实施,该专用基于硬件的计算机系统执行指定功能或者步骤。
关于这一点,用于移动终端中的安全HTTP摘要响应的方法的一个实施方式包括在操作100在UIM的PPM处存储HTTP密码。在操作110,HTTP客户端应用发送针对HTTP响应的请求到UIM的RGM。这个通过HTTP客户端应用的请求可以响应于服务器或者其它网络实体的查询从而验证客户端,即移动终端10知道共享秘密使得能够执行安全通信。在操作120,响应于针对HTTP响应的请求的接收,将HTTP密码发送到RGM。在操作130,RGM产生可响应于针对HTTP响应和HTTP密码的请求的HTTP响应。在操作140,RGM发送HTTP响应到HTTP客户端应用。在其接收后,HTTP客户端应用能够向服务器或者其它网络实体提供HTTP响应使得该服务器或者其它网络实体能够确定移动终端10拥有共享秘密,使得未来通信可以是安全的。这样,HTTP密码从不离开安全的UIM,而HTTP客户端应用仍获得需要用于向服务器或者另一网络实体验证移动终端10知道共享秘密的HTTP响应。因此,网络的HTTP客户端应用和服务器之间的通信安全性不太可能被危及。
应该注意到上述方法和系统还可应用于建立除了经由HTTP摘要访问鉴权以外的其它的设备的安全鉴权。然而上文详细描述了HTTP摘要访问鉴权,从而提供这种方法和系统的一个示例性实施方式的完整描述。
这些发明涉及的领域的技术人员将理解至此所阐述的本发明的许多修改和其它实施方式,具有上述描述和附图中所展示的教导的益处。因此,将理解到本发明的实施方式不限于所公开的指定实施方式,并且所述修改和其它实施方式旨在包含在所附权利要求书的范围内。尽管这里使用了指定术语,但是它们可以仅在描述意义上概括地使用并且不是出于限制的目的。
Claims (27)
1.一种包括可操作地与具有客户端应用的用户设备模块进行通信的用户识别模块UIM的设备,所述UIM包括:
密码供应模块PPM,配置用于存储密码;
密码产生模块,可操作地与所述PPM进行通信并且配置用于产生密码;以及
响应产生模块RGM,可操作地与所述客户端应用和所述PPM进行通信,所述RGM配置用于响应于来自所述客户端应用的请求而根据密码生成鉴权响应。
2.根据权利要求1所述的设备,其中所述RGM配置用于发送所述鉴权响应到所述客户端应用。
3.根据权利要求1所述的设备,其中所述密码包括超文本传输协议密码。
4.根据权利要求1所述的设备,其中鉴权响应包括超文本传输协议响应。
5.根据权利要求1所述的设备,其中所述UIM配置用于使得从所述PPM发送密码到所述RGM,从而密码从不离开所述UIM。
6.根据权利要求1所述的设备,其中所述鉴权响应包括超文本传输协议响应,该超文本传输协议响应包括用户名、密码、现时值、超文本传输协议方法以及所请求的通用资源标识符的校验和。
7.根据权利要求1所述的设备,其中所述请求包括应用识别、用户名以及现时。
8.根据权利要求1所述的设备,其中所述密码产生模块包括通用引导架构单元。
9.根据权利要求1所述的设备,其中所述设备实施为移动终端。
10.一种用于安全鉴权响应的方法,包括:
接收来自于与密码供应模块PPM以及发送请求的客户端应用进行通信的响应产生模块RGM的针对鉴权响应的所述请求,所述PPM和RGM部署于用户识别模块UIM处;
响应于所述请求从PPM发送密码到RGM;以及
响应于所述请求和密码根据所述密码在所述RGM处生成所述鉴权响应。
11.根据权利要求10所述的方法,进一步包括从所述RGM发送所述鉴权响应到所述客户端应用。
12.根据权利要求10所述的方法,其中发送密码包括从所述PPM发送密码到所述RGM从而所述密码从不离开所述UIM。
13.根据权利要求10所述的方法,其中产生所述鉴权响应包括产生超文本传输协议响应,该超文本传输协议响应包括用户名、密码、现时值、超文本传输协议方法以及所请求的通用资源标识符的校验和。
14.根据权利要求10所述的方法,其中接收请求包括接收其中包括应用识别、用户名以及现时的请求。
15.根据权利要求10所述的方法,进一步包括在通用引导架构单元中产生密码。
16.根据权利要求10所述的方法,进一步包括在所述PPM中存储密码。
17.根据权利要求16所述的方法,其中存储密码包括存储超文本传输协议密码。
18.根据权利要求17所述的方法,其中接收针对所述鉴权响应的请求包括接收针对超文本传输协议响应的请求。
19.一种用于安全鉴权响应的设备,包括:
第一装置,用于接收来自于与密码供应模块PPM以及发送请求的客户端应用进行通信的响应产生模块RGM的针对鉴权响应的所述请求,所述PPM和RGM部署于用户识别模块UIM处;
第二装置,用于响应于所述请求从PPM发送密码到RGM;以及
第三装置,用于响应于所述请求和密码根据所述密码在所述RGM处生成所述鉴权响应。
20.根据权利要求19所述的设备,进一步包括第四装置,用于从所述RGM发送所述鉴权响应到所述客户端应用。
21.根据权利要求19所述的设备,其中所述第二装置包括用于从所述PPM发送密码到所述RGM从而所述密码从不离开所述UIM的装置。
22.根据权利要求19所述的设备,其中所述第三装置包括用于产生超文本传输协议响应的装置,该超文本传输协议响应包括用户名、密码、现时值、超文本传输协议方法以及所请求的通用资源标识符的校验和。
23.根据权利要求19所述的设备,其中所述第一装置包括用于用于接收其中包括应用识别、用户名以及现时的请求的装置。
24.根据权利要求19所述的设备,进一步包括第四装置,用于在通用引导架构单元中产生密码。
25.根据权利要求19所述的设备,进一步包括第四装置,用于在所述PPM中存储密码。
26.根据权利要求25所述的设备,其中所述第四装置包括用于存储超文本传输协议密码的装置。
27.根据权利要求26所述的设备,其中所述第一装置包括用于接收针对超文本传输协议响应的请求的装置。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US72903105P | 2005-10-21 | 2005-10-21 | |
US60/729,031 | 2005-10-21 | ||
PCT/IB2006/002956 WO2007045990A1 (en) | 2005-10-21 | 2006-10-20 | Apparatus, computer program product and method for secure authentication response in a mobile terminal |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101317181A CN101317181A (zh) | 2008-12-03 |
CN101317181B true CN101317181B (zh) | 2010-05-19 |
Family
ID=37962227
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200680044932XA Expired - Fee Related CN101317181B (zh) | 2005-10-21 | 2006-10-20 | 用于移动终端中安全鉴权响应的设备以及方法 |
Country Status (6)
Country | Link |
---|---|
US (1) | US8316426B2 (zh) |
EP (1) | EP1955250A4 (zh) |
JP (1) | JP2009512928A (zh) |
KR (1) | KR20080066811A (zh) |
CN (1) | CN101317181B (zh) |
WO (1) | WO2007045990A1 (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8397077B2 (en) | 2007-12-07 | 2013-03-12 | Pistolstar, Inc. | Client side authentication redirection |
TW201116023A (en) * | 2009-09-25 | 2011-05-01 | Ibm | A method and a system for providing a deployment lifecycle management of cryptographic objects |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1001641A2 (en) * | 1998-11-09 | 2000-05-17 | Lucent Technologies Inc. | Secure method for generating cryptographic function outputs |
CN1456973A (zh) * | 2003-06-10 | 2003-11-19 | 吴昌晖 | 单芯片监控服务器 |
EP1513113A1 (en) * | 2003-09-03 | 2005-03-09 | France Telecom | System and method for providing secured communication based on smart cards |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6230002B1 (en) * | 1997-11-19 | 2001-05-08 | Telefonaktiebolaget L M Ericsson (Publ) | Method, and associated apparatus, for selectively permitting access by a mobile terminal to a packet data network |
FI112151B (fi) | 1999-12-23 | 2003-10-31 | Nokia Corp | Sanoman välitys |
DE50112712D1 (de) | 2000-02-21 | 2007-08-23 | E Plus Mobilfunk Gmbh & Co Kg | Verfahren zum festellen der authentizität der identität eines dienste-nutzers und vorrichtung zum durchführen des verfahrens |
AU2003265034A1 (en) * | 2002-10-07 | 2004-04-23 | Telefonaktiebolaget Lm Ericsson (Publ) | Security and privacy enhancements for security devices |
GB0314971D0 (en) * | 2003-06-27 | 2003-07-30 | Ericsson Telefon Ab L M | Method for distributing passwords |
US7302060B2 (en) * | 2003-11-10 | 2007-11-27 | Qualcomm Incorporated | Method and application for authentication of a wireless communication using an expiration marker |
US8260259B2 (en) * | 2004-09-08 | 2012-09-04 | Qualcomm Incorporated | Mutual authentication with modified message authentication code |
US7628322B2 (en) * | 2005-03-07 | 2009-12-08 | Nokia Corporation | Methods, system and mobile device capable of enabling credit card personalization using a wireless network |
US20060236116A1 (en) * | 2005-04-18 | 2006-10-19 | Lucent Technologies, Inc. | Provisioning root keys |
FI20050562A0 (fi) * | 2005-05-26 | 2005-05-26 | Nokia Corp | Menetelmä avainmateriaalin tuottamiseksi |
DE602005019255D1 (de) * | 2005-07-07 | 2010-03-25 | Ericsson Telefon Ab L M | Verfahren und anordnung für authentifikation und privatsphäre |
-
2006
- 2006-10-20 CN CN200680044932XA patent/CN101317181B/zh not_active Expired - Fee Related
- 2006-10-20 EP EP06809093.5A patent/EP1955250A4/en not_active Ceased
- 2006-10-20 JP JP2008536148A patent/JP2009512928A/ja not_active Withdrawn
- 2006-10-20 WO PCT/IB2006/002956 patent/WO2007045990A1/en active Application Filing
- 2006-10-20 KR KR1020087012015A patent/KR20080066811A/ko not_active Application Discontinuation
- 2006-10-20 US US11/551,449 patent/US8316426B2/en not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1001641A2 (en) * | 1998-11-09 | 2000-05-17 | Lucent Technologies Inc. | Secure method for generating cryptographic function outputs |
CN1456973A (zh) * | 2003-06-10 | 2003-11-19 | 吴昌晖 | 单芯片监控服务器 |
EP1513113A1 (en) * | 2003-09-03 | 2005-03-09 | France Telecom | System and method for providing secured communication based on smart cards |
Also Published As
Publication number | Publication date |
---|---|
KR20080066811A (ko) | 2008-07-16 |
EP1955250A1 (en) | 2008-08-13 |
EP1955250A4 (en) | 2014-07-16 |
WO2007045990A1 (en) | 2007-04-26 |
US20070107049A1 (en) | 2007-05-10 |
JP2009512928A (ja) | 2009-03-26 |
CN101317181A (zh) | 2008-12-03 |
US8316426B2 (en) | 2012-11-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11895157B2 (en) | Network security management method, and apparatus | |
CN103959831B (zh) | 辅助的证书注册 | |
CN102396203B (zh) | 根据通信网络中的认证过程的紧急呼叫处理 | |
US8091122B2 (en) | Computer program product, apparatus and method for secure HTTP digest response verification and integrity protection in a mobile terminal | |
EP1550289B1 (en) | Contact validation and trusted contact updating in mobile wireless communications devices | |
CN1126345C (zh) | 用于建立保密连接的方法、无线通信设备和系统 | |
CN102017572B (zh) | 用于提供单一服务签入的方法、设备和计算机程序产品 | |
CN102377769B (zh) | 提供针对私有数据访问的无线认证的通信系统及相关方法 | |
US20080167002A1 (en) | Method and System for Remote Controlling Operation of Mobile Telecommunication Terminal | |
CN1835436B (zh) | 一种通用鉴权网络及一种实现鉴权的方法 | |
US9473942B2 (en) | System and method for authentication for wireless emergency services | |
CN104170424A (zh) | 用于订阅共享的方法和装置 | |
AU2011380272A1 (en) | Security mechanism for external code | |
WO2007034299A1 (en) | Re-keying in a generic bootstrapping architecture following handover of a mobile terminal | |
CN101317181B (zh) | 用于移动终端中安全鉴权响应的设备以及方法 | |
CN100571130C (zh) | 一种通用的安全等级协商方法 | |
Jørstad et al. | Releasing the potential of OpenID & SIM | |
KR101530111B1 (ko) | 통신중계 서비스 운용 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C41 | Transfer of patent application or patent right or utility model | ||
TR01 | Transfer of patent right |
Effective date of registration: 20160206 Address after: Espoo, Finland Patentee after: NOKIA TECHNOLOGIES OY Address before: Espoo, Finland Patentee before: NOKIA Corp. |
|
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100519 |
|
CF01 | Termination of patent right due to non-payment of annual fee |