CN101662768B - 基于个人手持电话系统的用户标识模块的认证方法和设备 - Google Patents
基于个人手持电话系统的用户标识模块的认证方法和设备 Download PDFInfo
- Publication number
- CN101662768B CN101662768B CN200810214603.6A CN200810214603A CN101662768B CN 101662768 B CN101662768 B CN 101662768B CN 200810214603 A CN200810214603 A CN 200810214603A CN 101662768 B CN101662768 B CN 101662768B
- Authority
- CN
- China
- Prior art keywords
- authentication
- network
- identification information
- subscriber equipment
- authentication result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
本发明提供了一种基于个人手持电话系统的用户标识模块进行无线局域网认证的方法,包括:响应于来自网络的认证询问,将所述用户标识模块中存储的第一标识信息发送至所述网络;基于所述第一标识信息,在所述网络处获取认证三元组,其包括用于认证的随机数、第一认证结果,以及与所述第一标识信息匹配的由所述网络预先分配给所述用户设备的第二标识信息;从所述网络向用户设备发送所述随机数;基于预先确定的认证算法,在所述用户设备处利用所述随机数以及存储在所述用户标识模块中的认证密钥来计算第二认证结果;将所述第二认证结果发送至所述网络;以及当所述第一认证结果与所述第二认证结果匹配时,从所述网络向所述用户设备发送接入许可消息。
Description
技术领域
本发明一般地涉及一种认证方法和设备,并且特别涉及基于个人手持电话系统(PHS)的用户标识模块(SIM)来进行802.1x无线局域网(WLAN)接入认证的方法和设备。
背景技术
对于当今的移动商务专业人士来说,对现代办公工具的无缝访问是最有价值的财富之一。但是,有限的带宽却阻碍了很多应用的推广,例如大型电子邮件下载,视频会议等。WLAN向终端用户提供了比任何其它无线技术(包括PHS分组系统)要好的带宽。然而,运营商在对终端用户的Wi-Fi设备进行认证的时候却面临问题。
基于通用分组无线业务(GPRS)的可扩展认证协议-用户标识模块(EAP-SIM)解决方案是用于Wi-Fi终端用户设备进行认证的最好的现有解决方案。图1给出了针对GPRS EAP-SIM解决方案的整体网络体系结构100。在基于全球移动通信系统-用户标识模块(GSM-SIM)的运营商WLAN体系结构中,如图1所示,GSM终端101可通过GSM的基站111经由GPRS居民接入网(RAN)110参与无线通信,并获得对诸如话音业务、低速数据业务等相关通信业务的支持。另一方面,Wi-Fi终端102可通过邻近的接入点(AP)121经由公共无线局域网120而接入到诸如因特网的IP网络103中,由此获得对诸如高速数据业务等相关通信业务的支持。
当Wi-Fi终端102希望通过WLAN接入到IP网络103时,需要得到运营商的认证,以防止未经授权的Wi-Fi终端用户接入该运营商的WLAN网络。对于拥有GSM网络和WLAN网络的运营商来说,当运营商采用了基于GSM-SIM的WLAN接入认证方案时,Wi-Fi终端102可以利用其在GSM网络中使用的SIM卡来请求获得WLAN网络的接入许可。例如,Wi-Fi终端102可以通过WLAN中的接入控制器(AC)122向认证服务器131发送认证所需要的信息。认证服务器131利用从移动交换中心/归属位置寄存器(MSC/HLR)132获得的认证数据来对Wi-Fi终端102是否可以接入WLAN网络进行认证,从而使得用户可以将其GSM网络与WLAN网络进行结合,而GSM运营商也可以防止未经授权的Wi-Fi终端用户接入该GSM运营商的WLAN网络。但是该解决方案却不能用于没有GPRS系统或GSM网络的运营商,例如中国网通和中国电信。对于现有的基于GSM-SIM的解决方案来说,运营商必须具有GSM网络以及GSM终端。这对于没有GSM网络的那些运营商来说是个瓶颈。
因此,需要一种认证解决方案,其能够使得没有GSM网络的运营商,例如PHS运营商,可以防止未经授权的Wi-Fi终端用户接入该运营商的WLAN网络。
发明内容
根据本发明的第一方面,提供了一种用于用户设备的认证方法,其基于个人手持电话系统的用户标识模块进行无线局域网接入认证,所述方法包括以下步骤:响应于来自网络的认证询问,将所述用户设备的第一标识信息发送至所述网络,其中,所述第一标识信息存储在所述用户设备内的所述用户标识模块中;从所述网络接收用于认证的随机数,其中,所述随机数来自于认证三元组,所述认证三元组还包括第一认证结果以及与所述第一标识信息相匹配的由所述网络预先分配给所述用户设备的第二标识信息;基于预先确定的认证算法,在所述用户设备处利用所述随机数以及存储在所述用户标识模块中的认证密钥来计算第二认证结果;将所述第二认证结果发送至所述网络;以及当所述第一认证结果与所述第二认证结果匹配时,接收来自所述网络的接入许可消息。
根据本发明的第二方面,提供了一种用于认证的用户设备,其基于个人手持电话系统的用户标识模块进行无线局域网接入认证,所述用户设备包括:用户标识模块,其用于存储所述用户设备的第一标识信息以及认证密钥;标识信息发送模块,其用于响应于来自网络的认证询问,将所述第一标识信息发送至所述网络;认证信息接收模块,其用于从所述网络接收用于认证的随机数,其中,所述随机数来自于认证三元组,所述认证三元组还包括第一认证结果以及与所述第一标识信息相匹配的由所述网络预先分配给所述用户设备的第二标识信息;计算模块,其用于基于预先确定的认证算法,利用所述随机数和所述认证密钥来计算第二认证结果;认证结果发送模块,其用于将所述第二认证结果发送至所述网络;以及接入消息接收模块,其用于当所述第一认证结果与所述第二认证结果匹配时,接收来自所述网络的接入许可消息。
根据本发明的第三方面,提供了一种用于网络设备的认证方法,其基于个人手持电话系统的用户标识模块进行无线局域网接入认证,所述方法包括以下步骤:从用户设备接收响应于网络的认证询问的第一标识信息,其中所述第一标识信息存储在所述用户设备内的所述用户标识模块中;基于所述第一标识信息来获取认证三元组,其中所述认证三元组包括用于认证的随机数、第一认证结果,以及与所述第一标识信息相匹配的由所述网络预先分配给所述用户设备的第二标识信息;向所述用户设备发送所述随机数;从所述用户设备接收第二认证结果,其中所述第二认证结果是基于预先确定的认证算法并利用所述随机数以及存储在所述用户标识模块中的认证密钥来计算的;以及当所述第一认证结果与所述第二认证结果匹配时,向所述用户设备发送接入许可消息。
根据本发明的第四方面,提供了一种用于认证的网络设备,其基于个人手持电话系统的用户标识模块进行无线局域网接入认证,所述网络设备包括:标识信息接收模块,其用于从用户设备接收响应于网络的认证询问的第一标识信息,其中所述第一标识信息存储在所述用户设备内的所述用户标识模块中;认证模块,其用于基于所述第一标识信息来获取认证三元组,其中所述认证三元组包括用于认证的随机数、第一认证结果,以及与所述第一标识信息相匹配的由所述网络预先分配给所述用户设备的第二标识信息;认证信息发送模块,其用于向所述用户设备发送所述随机数;认证结果接收模块,其用于从所述用户设备接收第二认证结果,其中所述第二认证结果是基于预先确定的认证算法并利用所述随机数以及存储在所述用户标识模块中的认证密钥来计算的;以及接入消息发送模块,其用于当所述第一认证结果与所述第二认证结果匹配时,向所述用户设备发送接入许可消息。
根据本发明的第五方面,提供了一种认证方法,其基于个人手持电话系统的用户标识模块进行无线局域网接入认证,所述方法包括以下步骤:响应于来自网络的认证询问,将用户设备的第一标识信息从所述用户设备发送至所述网络,其中,所述第一标识信息存储在所述用户设备内的所述用户标识模块中;基于所述第一标识信息,在所述网络处获取认证三元组,其中所述认证三元组包括用于认证的随机数、第一认证结果,以及与所述第一标识信息相匹配的由所述网络预先分配给所述用户设备的第二标识信息;从所述网络向所述用户设备发送所述随机数;基于预先确定的认证算法,在所述用户设备处利用所述随机数以及存储在所述用户标识模块中的认证密钥来计算第二认证结果;将所述第二认证结果从所述用户设备发送至所述网络;以及当所述第一认证结果与所述第二认证结果匹配时,从所述网络向所述用户设备发送接入许可消息。
附图说明
在所附权利要求中阐述了本发明的新颖性特征。当结合附图阅读时,通过参照以下对说明性实施例的详细描述,将最好地理解本发明本身以及优选的使用模式,及其进一步的目的和优点,在附图中:
图1示出了现有技术中基于GSM-SIM的运营商WLAN体系结构;
图2依照本发明的示例性实施例示出了基于PHS-SIM的运营商WLAN体系结构;
图3依照本发明的示例性实施例说明了用于实现基于PHS-SIM的WLAN接入认证方法的流程图;
图4依照本发明的示例性实施例说明了对PHS分组卡中的标识信息的访问;
图5依照本发明的示例性实施例说明了对PHS分组卡中的认证结果的访问;
图6依照本发明的示例性实施例示出了实现WLAN接入认证的消息流;以及
图7依照本发明的示例性实施例说明了用于实现基于PHS-SIM的WLAN接入认证的系统。
具体实施方式
下面将参照附图来详细描述本发明的实施例。贯穿本说明书全文,谈及特征、优点或类似的措辞并非意味着可以利用本发明而实现的所有特征与优点应当在或者是在本发明的任何单个的实施例中。相反,要理解涉及特征与优点的措辞意味着结合实施例所描述的具体特征、优点或特性包括在本发明的至少一个实施例中。因而,贯穿本说明书全文,对特征和优点的讨论以及类似的措辞可以指同一实施例,但却不一定指同一实施例。此外,所描述的本发明的特征、优点以及特性可以用任何合适的方式合并在一个或多个实施例中。相关领域的技术人员将会认识到,可以在没有特定实施例的一个或多个具体特征或优点的情况下实践本发明。在其它的实例中,可以在某些实施例中实现附加的特征和优点,其不一定出现于本发明的所有实施例之中。
为了使不具有GSM网络的运营商(例如PHS运营商)可以防止未经授权的Wi-Fi终端用户接入该运营商的WLAN网络,本发明给出了基于PHS分组卡的802.1x认证解决方案。本发明可应用于拥有PHS网络以及WLAN网络的所有运营商。本发明的解决方案基于的是被称为EAP的802.1x认证和控制框架。其使用PHS-SIM作为替代GSM-SIM的唯一用户标识。所有用于WLAN认证的数据均存储在PHS-SIM中,PHS-SIM已经被集成到PHS分组卡中。当终端用户想要通过其Wi-Fi设备接入WLAN时,接入控制器元件(AC)将启动EAP认证过程。终端上的应用(例如软件程序)将检索驻留于PHS分组卡中的所需数据并且对接入控制器进行响应。在EAP认证成功之后,终端将开始启动动态主机配置协议(DHCP)过程,以便动态获取IP地址,并且由此能够接入IP网络或因特网。
图2依照本发明的示例性实施例示出了基于PHS-SIM的运营商WLAN体系结构200。如图2所示,该体系结构200中的PHS终端201可经由PHS RAN210参与数据通信,而具有PHS分组卡的Wi-Fi终端202可经由公共WLAN220而接入到诸如因特网的IP网络203中。此外,在另一示例性实施例中,举例来说,具有PHS分组卡的Wi-Fi终端202还可以通过PHS RAN210来接入IP网络或因特网,并且其可以实现无缝切换。在图2所示出的体系结构200中,PHS分组数据服务器(PDS)233充当PHS数据终端的网关,以便接入IP数据网络或因特网,类似用于GPRS网络中的服务GPRS支持节点/网关GPRS支持节点(SGSN/GGSN),如图1所示。如果PHS用户数据被集成到PDS233中,则PDS233将直接向认证服务器(AS)231提供用于认证的数据,例如认证三元组。否则,PDS233将在AS231与PHS交换中心/归属位置寄存器(PSC/HLR)232之间作为中继来转发认证三元组请求和响应(利用7号信令系统237),如图2中的虚线所示。
根据本发明的示例性实施例,当Wi-Fi终端202希望通过WLAN接入到IP网络时,需要得到运营商的认证,以防止未经授权的Wi-Fi终端用户接入该运营商的WLAN网络。对于拥有PHS网络和WLAN网络的运营商来说,当运营商采用了本发明的基于PHS-SIM的WLAN认证方案时,Wi-Fi终端202可以利用其在PHS网络中使用的PHS分组卡来请求获得WLAN网络的接入许可。例如,Wi-Fi终端202可以通过AC222向认证服务器231发送认证所需要的信息。认证服务器231利用从PDS233(当其集成了PHS用户数据时)中获得或者从PSC/HLR232经由PDS233转发而获得的认证数据,来对Wi-Fi终端202是否可以接入WLAN网络进行认证,从而使得PHS运营商可以将其PHS分组网络与WLAN网络进行无缝结合,并且终端用户能够在无需改变其终端设备的情况下通过WLAN接口或PHS接口接入IP网络。利用本发明,PHS运营商可以防止未经授权的Wi-Fi终端用户接入其所拥有的WLAN网络。
下面的示意性流程图一般作为逻辑流程图来进行阐述。因此,所示出的顺序和所标记的步骤表示所提出的方法的一个实施例。可以想到在功能、逻辑或效果方面等效于所描述的方法的一个或多个步骤或其部分的其它步骤和方法。另外,所采用的格式和符号是为了阐释该方法的逻辑步骤而提供的,并且被理解为并不限制该方法的范围。尽管在流程图中可以采用各种箭头类型和线条类型,然而它们被理解为并不限制相应的方法的范围。事实上,某些箭头或其它的连接符可能仅仅用于指示该方法的逻辑流程。例如,箭头可以指示所示方法的所列步骤之间未指定的持续时间的等待或监视期。另外,特定方法发生的顺序可以严格按照所示对应步骤的顺序,或者,可以不严格按照所示对应步骤的顺序。
图3是依照本发明的示例性实施例说明了用于实现基于PHS-SIM的WLAN接入认证方法的流程图。该方法的认证过程基于的是用于802.1x的EAP过程,该过程开始于当诸如Wi-Fi终端202的用户设备请求接入诸如公共WLAN222的WLAN网络时,此时,该WLAN网络会向发起请求的用户设备进行认证询问。在步骤302,响应于来自网络的认证询问,用户设备将诸如手机设备号(PSEN)的第一标识信息发送至该网络,该第一标识信息对该用户设备进行唯一标识,并且其可以存储在该用户设备内的用户标识模块(例如PHS分组卡)中。
在步骤304,网络中的认证服务器(例如,图2中的AS231)基于从用户设备接收到的第一标识信息来获取认证三元组。举例来说,认证三元组可以具有三个字段:(PSEN,RandomNumber,AuthResult),其分别表示与第一标识信息相匹配的由网络预先分配给该用户设备的第二标识信息、用于认证的随机数,以及第一认证结果(其用于与用户设备根据认证随机数所计算出的第二认证结果进行比较)。如果PDS集成了用户数据,则认证三元组由PDS(例如,图2中的PHS PDS233)提供。如果PDS不具有集成的HLR(其含有用户数据),则认证三元组由PSC/HLR(例如,图2中的PSC/HLR232)提供。
在步骤306,该网络向用户设备发送所获得的认证三元组中的随机数。用户设备可基于预先确定的认证算法,例如Feal32或Stephi,并且根据所接收到的随机数以及存储在用户标识模块中的认证密钥来计算第二认证结果(如步骤308所示),以便在步骤310中将第二认证结果发送给网络,用于与认证服务器从认证三元组中获得的第一认证结果进行比较。在步骤312中,当认证服务器确认第一认证结果与第二认证结果匹配时,便可以向该用户设备发送接入许可消息(如步骤314所示)。此后,用户设备可接入该网络。如果在步骤312中第一认证结果与第二认证结果不匹配,则认证服务器向用户设备发送接入拒绝消息(如步骤316所示),并且该接入认证过程在步骤318结束。
以上描述了根据本发明的实施例的用于实现基于PHS-SIM的WLAN接入认证方法。应当指出的是,所描述的方法仅为示例,而不是对本发明的限制。本发明的用于实现基于PHS-SIM的WLAN接入认证方法可具有更多、更少或不同的步骤,所描述的一些步骤可合并为单个步骤或划分为更细的步骤,且一些步骤之间的顺序可改变或可并行执行。
图4依照本发明的示例性实施例说明了对PHS分组卡410中的标识信息的访问。如图4所示,在PHS分组数据卡410内保存了特殊的数据块,该数据块在文中被称为简档数据块(PDB)411。对于Wi-Fi终端信息存储来说,PSEN和认证密钥是存储在该数据块中的必不可少的信息。PSEN(其作为终端标识)由认证服务器(例如图2中AS231)用来从PDS或PSC/HLR获得认证三元组。终端可使用认证密钥,并基于从认证服务器接收的随机数来计算认证结果。当终端420希望获取其标识信息PSEN时,PHS分组卡410需要向OS驱动器提供第一接口,即PSEN访问接口。应用421可通过诸如ReadPDB()这样的应用编程接口(API)来获得该PSEN信息。
使用认证密钥的方式与使用PSEN的方式完全不同。对于PSEN来说,可以由卡驱动器向OS提供简单的API(例如,ReadPDB())。应用421将调用该API并且然后直接获得PSEN。但是对于认证密钥来说,出于安全问题,其不能够通过API被直接读取出来。
图5依照本发明的示例性实施例说明了对PHS分组卡410中的认证结果的访问。如图5所示,基于以秘密个人标识号码(PIN)作为密钥的算法,应用421可以通过第二接口(即诸如GetSRES(RAND)的另一API)将来自网络的认证随机数RandomNumber馈送给PHS分组卡410,然后该分组卡410将通过选取认证算法并基于认证密钥来计算不可逆的认证结果SRES。算法矩阵412必须与PDS或PSC/HLR上的算法矩阵匹配。在本发明的示例性实施例中,选取Feal32和/或Stephi作为认证算法,其已被广泛使用于PHS网络。
图6依照本发明的示例性实施例示出了实现WLAN接入认证的消息流。诸如图2中的Wi-Fi终端202这样的用户设备(STA)可以经由邻近的AP连接到AC(例如图2中的AC222),并且通过AC与AS之间的通信获得接入认证。作为例子,AP和AC使用EAPoL(基于LAN的EAP)的认证协议,而AS和PDS或PSC/HLR使用EAPoR(基于RADIUS的EAP)的认证协议,如图6中所示。
当用户设备STA希望接入诸如WLAN的网络时,其向AC发送认证请求消息601,从而启动接入认证过程。AC在接收到来自STA的认证请求时,会对STA进行认证询问602,以便获得用户设备的标识信息。响应于来自AC的认证询问,STA获得603用于对自身进行唯一标识的标识信息,例如从其用户标识模块(PHS分组卡)中获取PSEN,并将该标识信息发送给AC作为响应604。在消息605中,AC将从STA接收到的标识信息发送至AS,以便请求进行用户设备的接入认证。为了对发起请求的STA进行接入认证,AS需要获得关于该设备的认证信息。因此,通过消息606,AS利用从AC接收到的用户设备标识信息来获得相匹配的认证三元组。此时,PDS或PSC/HLR需要提供认证三元组给AS,并且使其能够对Wi-Fi终端用户进行认证。当PHS/PDS集成了HLR并具有相关的用户信息时,认证三元组可以由PHS/PDS提供给AS。如果PHS/PDS没有集成HLR,那么可由该PHS/PDS将来自HLR的认证三元组转发给AS。除了与用户设备提供的标识信息相匹配的由网络运营商预先分配给该用户设备的标识信息之外,在所获得的认证三元组中还包括用于进行接入认证的随机数RAND以及第一认证结果。在消息609中,AS将随机数RAND发送给AC,AC然后在消息610中将该随机数RAND返回给STA,以便STA进行认证。STA将所获得的随机数馈送给PHS分组卡/用户标识模块,并基于预先确定的认证算法(例如Feal32或Stephi),利用该随机数以及存储在用户标识模块中的认证密钥来获得本地认证结果611(例如,使用GetSRES()API)。STA然后在消息612中将该认证结果提供给AC,而AC在消息613中将该认证结果发送至AS。AS将从AC接收到的认证结果与先前从认证三元组获得的认证结果进行比较,如果二者匹配,则AS向AC发送接入许可消息614a,否则发送接入拒绝消息614b。AC将接入成功或失败的消息615返回给STA,由此完成对STA的接入认证。
在本发明的另一示例性实施例中,当用户设备STA实现接入级的认证之后,其还可以实现诸如应用级等其它级别的认证过程616,举例来说,用户可以通过输入用户名和密码等获得相关认证。在EAP认证成功之后,用户设备可以进一步实现DHCP过程617,并且其然后将能够接入IP网络或因特网,由此进行相应的计费请求618和获得计费响应619。
图7依照本发明的示例性实施例说明了用于实现基于PHS-SIM的WLAN接入认证的系统框图700。需要注意的是,图7仅示意性地示出了参与WLAN接入认证的用户设备710和网络设备720及其主要模块。应当指出的是,所描述的用户设备710和网络设备720仅为示例,而不是对本发明的限制。本发明的用户设备710和网络设备720可具有比所描述的更多、更少或不同的功能模块,所描述的一些功能模块可合并在一起,或进一步划分,或具有不同的连接关系和包含关系,所有这些变化均处于本发明的精神和范围之内。
如图7所示,用户设备710包括用户标识模块711、标识信息发送模块712、认证信息接收模块713、计算模块714、认证结果发送模块715,以及接入消息接收模块716。用户标识模块711用于存储用户设备710的唯一标识信息以及认证密钥。响应于来自网络的认证询问,标识信息发送模块712将用户设备710的唯一标识信息(例如PSEN)发送给网络设备720。认证信息接收模块713用于从网络设备720接收用于认证的随机数。利用所接收的随机数以及用户标识模块711内的认证密钥,计算模块714基于预先确定的认证算法来计算用户侧认证结果。认证结果发送模块715将该认证结果发送给网络设备720。当网络侧认证结果与用户侧认证结果匹配时,接入消息接收模块716可以接收到来自网络设备720的接入许可消息。
网络设备720包括标识信息接收模块721、认证模块722、认证信息发送模块723、认证结果接收模块724,以及接入消息发送模块725。当用户设备710向网络设备720发送了其唯一标识信息时,接收模块721接收该用户设备的标识信息。认证模块722基于该标识信息来获取认证三元组,其中认证三元组包括用于认证的随机数、网络侧认证结果,以及与用户设备710所提供的标识信息相匹配的由网络预先分配给用户设备的标识信息。为了进行用户接入认证,网络设备720的认证信息发送模块723向用户设备710发送该随机数,并通过认证结果接收模块724从用户设备710接收用户侧认证结果。当用户侧认证结果与网络侧认证结果匹配时,接入消息发送模块725向用户设备710发送接入许可消息。否则,接入消息发送模块725向用户设备710发送接入拒绝消息。
可以用硬件、软件、固件或其组合的方式实现本发明。适于实现文中所描述的方法的任何计算机系统或其它装置都是合适的。一种典型的硬件和软件的组合可以是含有计算机程序的通用计算机系统,当该计算机程序被加载和执行时,其控制该计算机系统而使其执行文中所描述的方法的步骤,或者构成根据本发明的实施例的装置和系统中的功能模块。
本发明还可以体现在计算机程序产品中,该计算机程序产品含有使得能够实现文中所描述的方法的所有特征,并且当其被加载到计算机系统中时,能够执行这些方法,或者构成根据本发明的实施例的装置和系统中的功能模块。
尽管已经公开了本发明的具体实施例,然而本领域的普通技术人员应该理解在不背离本发明的精神和范围的情况下可以对具体的实施例进行改变。因此,本发明的范围并不限于具体的实施例,并且其旨在所附权利要求涵盖本发明范围内的任何以及所有这样的应用、修改和实施例。
Claims (25)
1.一种用于用户设备的认证方法,其基于个人手持电话系统的用户标识模块进行无线局域网接入认证,所述方法包括以下步骤:
响应于来自网络的认证询问,将所述用户设备的第一标识信息发送至所述网络,其中,所述第一标识信息存储在所述用户设备内的所述用户标识模块中;
从所述网络接收用于认证的随机数,其中,所述随机数来自于认证三元组,所述认证三元组还包括第一认证结果以及与所述第一标识信息相匹配的由所述网络预先分配给所述用户设备的第二标识信息;
基于预先确定的认证算法,在所述用户设备处利用所述随机数以及存储在所述用户标识模块中的认证密钥来计算第二认证结果;
将所述第二认证结果发送至所述网络;以及
当所述第一认证结果与所述第二认证结果匹配时,接收来自所述网络的接入许可消息,
其中,所述认证是基于802.1x的可扩展认证协议的。
2.根据权利要求1的方法,其中,所述第一标识信息是通过第一接口直接从所述用户标识模块获取的。
3.根据权利要求1或2的方法,其中,计算所述第二认证结果包括以下步骤:
通过第二接口将所述随机数馈送至所述用户标识模块;以及
从所述用户标识模块获取所述第二认证结果。
4.根据权利要求1或2的方法,其中,所述认证三元组是由所述个人手持电话系统的分组数据服务器提供的,所述分组数据服务器集成了用户归属位置寄存器。
5.根据权利要求1或2的方法,其中,所述认证三元组是从用户归属位置寄存器经由所述个人手持电话系统的分组数据服务器的转发而获得的。
6.根据权利要求1或2的方法,其中,所述认证算法是Feal32算法或Stephi算法。
7.一种用于认证的用户设备,其基于个人手持电话系统的用户标识模块进行无线局域网接入认证,所述用户设备包括:
用户标识模块,其用于存储所述用户设备的第一标识信息以及认证密钥;
标识信息发送模块,其用于响应于来自网络的认证询问,将所述第一标识信息发送至所述网络;
认证信息接收模块,其用于从所述网络接收用于认证的随机数,其中,所述随机数来自于认证三元组,所述认证三元组还包括第一认证结果以及与所述第一标识信息相匹配的由所述网络预先分配给所述用户设备的第二标识信息;
计算模块,其用于基于预先确定的认证算法,利用所述随机数和所述认证密钥来计算第二认证结果;
认证结果发送模块,其用于将所述第二认证结果发送至所述网络;以及
接入消息接收模块,其用于当所述第一认证结果与所述第二认证结果匹配时,接收来自所述网络的接入许可消息,
其中,所述认证是基于802.1x的可扩展认证协议的。
8.根据权利要求7的用户设备,其进一步包括第一接口,用于从所述用户标识模块直接获取所述第一标识信息。
9.根据权利要求7或8的用户设备,其进一步包括第二接口,用于将所述随机数馈送至所述用户标识模块,以及从所述用户标识模块获取所述第二认证结果。
10.根据权利要求7或8的用户设备,其中,所述认证算法是Feal32算法或Stephi算法。
11.根据权利要求7或8的用户设备,其中,所述认证三元组是由所述个人手持电话系统的分组数据服务器提供的,所述分组数据服务器集成了用户归属位置寄存器。
12.根据权利要求7或8的用户设备,其中,所述认证三元组是从用户归属位置寄存器经由所述个人手持电话系统的分组数据服务器的转发而获得的。
13.一种用于网络设备的认证方法,其基于个人手持电话系统的用户标识模块进行无线局域网接入认证,所述方法包括以下步骤:
从用户设备接收响应于网络的认证询问的第一标识信息,其中所述第一标识信息存储在所述用户设备内的所述用户标识模块中;
基于所述第一标识信息来获取认证三元组,其中所述认证三元组包括用于认证的随机数、第一认证结果,以及与所述第一标识信息相匹配的由所述网络预先分配给所述用户设备的第二标识信息;
向所述用户设备发送所述随机数;
从所述用户设备接收第二认证结果,其中所述第二认证结果是基于预先确定的认证算法并利用所述随机数以及存储在所述用户标识模块中的认证密钥来计算的;以及
当所述第一认证结果与所述第二认证结果匹配时,向所述用户设备发送接入许可消息,
其中,所述认证是基于802.1x的可扩展认证协议的。
14.根据权利要求13的方法,其中,所述第一标识信息是通过第一接口直接从所述用户标识模块获取的。
15.根据权利要求13或14的方法,其中,所述第二认证结果是通过将所述随机数经由第二接口馈送至所述用户标识模块而从所述用户标识模块获取的。
16.根据权利要求13或14的方法,其中,所述认证算法是Feal32算法或Stephi算法。
17.根据权利要求13或14的方法,其中,所述认证三元组是由所述个人手持电话系统的分组数据服务器提供的,所述分组数据服务器集成了用户归属位置寄存器。
18.根据权利要求13或14的方法,其中,所述认证三元组是从用户归属位置寄存器经由所述个人手持电话系统的分组数据服务器的转发而获得的。
19.一种用于认证的网络设备,其基于个人手持电话系统的用户标识模块进行无线局域网接入认证,所述网络设备包括:
标识信息接收模块,其用于从用户设备接收响应于网络的认证询问的第一标识信息,其中所述第一标识信息存储在所述用户设备内的所述用户标识模块中;
认证模块,其用于基于所述第一标识信息来获取认证三元组,其中所述认证三元组包括用于认证的随机数、第一认证结果,以及与所述第一标识信息相匹配的由所述网络预先分配给所述用户设备的第二标识信息;
认证信息发送模块,其用于向所述用户设备发送所述随机数;
认证结果接收模块,其用于从所述用户设备接收第二认证结果,其中所述第二认证结果是基于预先确定的认证算法并利用所述随机数以及存储在所述用户标识模块中的认证密钥来计算的;以及
接入消息发送模块,其用于当所述第一认证结果与所述第二认证结果匹配时,向所述用户设备发送接入许可消息,
其中,所述认证是基于802.1x的可扩展认证协议的。
20.根据权利要求19的网络设备,其中,所述第一标识信息是通过第一接口直接从所述用户标识模块获取的。
21.根据权利要求19或20的网络设备,其中,所述第二认证结果是通过将所述随机数经由第二接口馈送至所述用户标识模块而从所述用户标识模块获取的。
22.根据权利要求19或20的网络设备,其中,所述认证算法是Feal32算法或Stephi算法。
23.根据权利要求19或20的网络设备,其中,所述认证三元组是由所述个人手持电话系统的分组数据服务器提供的,所述分组数据服务器集成了用户归属位置寄存器。
24.根据权利要求19或20的网络设备,其中,所述认证三元组是从用户归属位置寄存器经由所述个人手持电话系统的分组数据服务器的转发而获得的。
25.一种认证方法,其基于个人手持电话系统的用户标识模块进行无线局域网接入认证,所述方法包括以下步骤:
响应于来自网络的认证询问,将用户设备的第一标识信息从所述用户设备发送至所述网络,其中,所述第一标识信息存储在所述用户设备内的所述用户标识模块中;
基于所述第一标识信息,在所述网络处获取认证三元组,其中所述认证三元组包括用于认证的随机数、第一认证结果,以及与所述第一标识信息相匹配的由所述网络预先分配给所述用户设备的第二标识信息;
从所述网络向所述用户设备发送所述随机数;
基于预先确定的认证算法,在所述用户设备处利用所述随机数以及存储在所述用户标识模块中的认证密钥来计算第二认证结果;
将所述第二认证结果从所述用户设备发送至所述网络;以及
当所述第一认证结果与所述第二认证结果匹配时,从所述网络向所述用户设备发送接入许可消息,
其中,所述认证是基于802.1x的可扩展认证协议的。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810214603.6A CN101662768B (zh) | 2008-08-28 | 2008-08-28 | 基于个人手持电话系统的用户标识模块的认证方法和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810214603.6A CN101662768B (zh) | 2008-08-28 | 2008-08-28 | 基于个人手持电话系统的用户标识模块的认证方法和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101662768A CN101662768A (zh) | 2010-03-03 |
| CN101662768B true CN101662768B (zh) | 2013-06-19 |
Family
ID=41790459
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200810214603.6A Expired - Fee Related CN101662768B (zh) | 2008-08-28 | 2008-08-28 | 基于个人手持电话系统的用户标识模块的认证方法和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101662768B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8842833B2 (en) * | 2010-07-09 | 2014-09-23 | Tata Consultancy Services Limited | System and method for secure transaction of data between wireless communication device and server |
| CN102752269B (zh) * | 2011-04-21 | 2015-10-07 | 中国移动通信集团广东有限公司 | 基于云计算的身份认证的方法、系统及云端服务器 |
| CN102823281B (zh) | 2012-06-01 | 2016-05-25 | 华为终端有限公司 | 实现WiFi通信的方法、用户设备和无线路由设备 |
| WO2014044491A1 (en) | 2012-09-24 | 2014-03-27 | Alcatel Lucent | Triggering user authentication in communication networks |
| CN105282113A (zh) * | 2014-07-18 | 2016-01-27 | 鸿富锦精密工业(深圳)有限公司 | 网络通话方法及系统 |
| CN106161359B (zh) * | 2015-04-02 | 2019-09-17 | 阿里巴巴集团控股有限公司 | 认证用户的方法及装置、注册可穿戴设备的方法及装置 |
| US11019037B2 (en) | 2016-03-15 | 2021-05-25 | Dialog Semiconductor B.V. | Security improvements in a wireless data exchange protocol |
| US10701514B2 (en) | 2016-03-15 | 2020-06-30 | Dialog Semiconductor B.V. | Determining the distance between devices in a wireless data exchange protocol |
| CN106162641B (zh) * | 2016-07-25 | 2019-10-11 | 中电福富信息科技有限公司 | 一种安全公众WiFi认证方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1259811A (zh) * | 1998-05-07 | 2000-07-12 | 朗迅科技公司 | 用于在通信系统中进行鉴权的方法和装置 |
| CN1320344A (zh) * | 1999-08-16 | 2001-10-31 | 诺基亚网络有限公司 | 移动通信系统的认证 |
| CN1341338A (zh) * | 1999-02-22 | 2002-03-20 | 格姆普拉斯公司 | 在无线电话网络中的鉴权 |
| CN1756428A (zh) * | 2004-09-30 | 2006-04-05 | 华为技术有限公司 | Ip多媒体子系统中对终端用户标识模块进行鉴权的方法 |
-
2008
- 2008-08-28 CN CN200810214603.6A patent/CN101662768B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1259811A (zh) * | 1998-05-07 | 2000-07-12 | 朗迅科技公司 | 用于在通信系统中进行鉴权的方法和装置 |
| CN1341338A (zh) * | 1999-02-22 | 2002-03-20 | 格姆普拉斯公司 | 在无线电话网络中的鉴权 |
| CN1320344A (zh) * | 1999-08-16 | 2001-10-31 | 诺基亚网络有限公司 | 移动通信系统的认证 |
| CN1756428A (zh) * | 2004-09-30 | 2006-04-05 | 华为技术有限公司 | Ip多媒体子系统中对终端用户标识模块进行鉴权的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101662768A (zh) | 2010-03-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101662768B (zh) | 基于个人手持电话系统的用户标识模块的认证方法和设备 | |
| EP3223549B1 (en) | Wireless network access method and access apparatus, client and storage medium | |
| CN110557751B (zh) | 基于服务器信任评估的认证 | |
| CN101150594B (zh) | 一种移动蜂窝网络和无线局域网的统一接入方法及系统 | |
| US8265599B2 (en) | Enabling and charging devices for broadband services through nearby SIM devices | |
| EP2617222B1 (en) | Dynamic account creation with secured hotspot network | |
| CN102111766B (zh) | 网络接入方法、装置及系统 | |
| CN103841560B (zh) | 增强sim卡可靠性的方法及设备 | |
| CN101534531B (zh) | 一种网络切换方法及系统 | |
| US20090265775A1 (en) | Proximity Based Authentication Using Tokens | |
| US20060023682A1 (en) | Wireless communication network, wireless terminal, access server, and method therefor | |
| US9253638B2 (en) | Single card multi-mode multi-operator authentication method and device | |
| EP2676464B1 (en) | Seamless wi-fi subscription remediation | |
| US20080294891A1 (en) | Method for Authenticating a Mobile Node in a Communication Network | |
| CN106105134A (zh) | 改进的端到端数据保护 | |
| CA2777098C (en) | Using a first network to control access to a second network | |
| US20130109351A1 (en) | Authentication system, authentication method and authentication server | |
| CN105898733A (zh) | 基于eSIM卡的换机方法、装置、移动终端和服务器 | |
| CN101330718B (zh) | 单/双模手持终端及其实现方法 | |
| US20030191939A1 (en) | System and method for authentication in public networks | |
| US8635667B2 (en) | Electronic apparatus and terminal | |
| US20090037979A1 (en) | Method and System for Recovering Authentication in a Network | |
| CN104754689B (zh) | 家庭网关接入管理方法和系统 | |
| CN103138935A (zh) | 一种基于电信运营商的身份认证系统 | |
| WO2006079953A1 (en) | Authentication method and device for use in wireless communication system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130619 Termination date: 20160828 |