CN102150446A - 通信网络中的鉴定 - Google Patents
通信网络中的鉴定 Download PDFInfo
- Publication number
- CN102150446A CN102150446A CN2008801311212A CN200880131121A CN102150446A CN 102150446 A CN102150446 A CN 102150446A CN 2008801311212 A CN2008801311212 A CN 2008801311212A CN 200880131121 A CN200880131121 A CN 200880131121A CN 102150446 A CN102150446 A CN 102150446A
- Authority
- CN
- China
- Prior art keywords
- node
- user
- evaluation
- shared secret
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/067—Network architectures or network communication protocols for network security for supporting key management in a packet data network using one-time keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/76—Proxy, i.e. using intermediary entity to perform cryptographic operations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种用于通信网络中的鉴定的方法和设备。网络节点从用户装置接收初始请求消息,并且向鉴定节点发送鉴定消息。作为应答,网络节点从鉴定节点接收预计响应值和鉴定令牌。预计响应值使用鉴定节点和用户已知的第一共享秘密以及鉴定节点和用户装置已知的第二共享秘密来确定,并且鉴定令牌使用第二共享秘密来确定。网络节点将鉴定令牌从网络节点发送到用户装置,并且作为响应而接收使用鉴定令牌、第一共享秘密和第二共享秘密所计算的响应值。网络节点则确定响应值是否匹配预计响应值,以及如果是的话,则用户通过鉴定。
Description
技术领域
本发明涉及通信网络中的鉴定的领域。
背景技术
当用户希望访问通信网络时,通常对他或她进行鉴定。类似地,可在允许用户访问特定域或服务之前对其进行鉴定。第三代合作伙伴项目(3GPP)已经规定称作鉴定和密钥协商(AKA)、用于执行通用移动电信系统(UMTS)网络中的鉴定和会话密钥分配的协议。UMTS AKA在3GPP TS.33.102中规定,并且是基于询问-响应的机制,它使用对称密码学(即,AKA使用共享秘密)。AKA通常运行于驻留在类似智能卡的还提供共享秘密的防篡改存储的装置(称作通用集成电路卡或UICC)上的UMTS服务识别模块(USIM)中。AKA在用户设备(UE-其中UE定义为移动台(MS)和USIM的组合)向其归属网络进行注册和重新注册时运行。为了访问IP多媒体子系统,AKA可运行于IP多媒体子系统服务识别模块(ISIM)中。AKA可用于2G网络(即,GSM)中,在这种情况下,UICC将配备有USIM和用户识别模块(SIM)应用。另外,已经决定,下一代架构(包括当前进行标准化的系统架构演进/长期演进(SAE/LTE)架构)将使用AKA或者基于AKA的安全协议。
AKA过程根据网络与UE之间的共享秘密(密钥K)来执行。对于当前技术,K存储在UICC中。图1示出AKA过程。UE 1向网络节点2(它可能是访问位置寄存器VLR、SGSN、服务呼叫会话控制功能S-CSCF或者任何其它适当节点,这取决于网络的类型)发送(S1)初始请求。该消息包括UE的识别码(例如移动访问的情况下的国际移动用户识别码IMSI或者IMS网络情况下的IP多媒体私有识别码IMPI)。向鉴定节点3(诸如鉴定中心(AuC)或归属订户服务器(HSS))执行(S2)鉴定请求,其中从鉴定节点接收(S3)鉴定向量(AV)。AV包括随机值RAND、允许UE 1鉴定网络的鉴定令牌(AUTN/AUTHN)、预计响应XRES以及加密和完整性密钥CK/IK。
网络节点2通过向UE 1发送(S4)鉴定令牌和随机值来询问UE 1。UE 1中UICC上的ISIM或USIM应用用于检验(S5)鉴定令牌,并且根据所接收的AUTN来计算(S6)预计MAC、XMAC、响应(RES)以及加密和完整性密钥CK/IK。响应RES从UE 1发送(S7)到网络节点2,以及网络节点确定是否RES=XRES;如果是的话,则UE 1通过鉴定。
图2示出图1的步骤S6中UICC中密钥和响应的计算。UE 1将所计算XMAC与AUTN中的所接收MAC进行比较。如果相等,则认为网络通过鉴定。序列号SQN也从AUTN中得出,并且相对本地存储的序列号范围得到检验。不同函数f1、f2、f3和f4分别用于计算XMAC、RES、CK和IK。这些函数需要K。UE则采用所计算的响应RES来响应网络。网络将所接收RES与从AuC/HSS所接收的XRES进行比较。如果相等,则认为用户通过鉴定。
近来已经讨论“软SIM”或“可下载SIM”的概念。术语*SIM用于表示任何类型的SIM,例如USIM、ISIM和2G SIM。软*SIM应用没有驻留在物理UICC上。但是无法为软*SIM应用提供防篡改安全环境。可能损害软*SIM的安全性的攻击示例包括:
-提取秘密K的软*SIM应用代码的逆向工程(从二进制到源代码),并且通过这样做使得可能克隆软*SIM。
-密码破解。复制所存储的K,它必须存储在用户装置上。秘密K当然可在装置上加密,以及如果这样的话,则恶意软件能够通过例如向IMS系统发送IMS注册消息以接收AUTN和RAND或者备选地通过尝试从复制的已加密K对K解密来执行攻击以获得秘密K。已解密K则能够用作对f1函数的输入以得到XMAC。将XMAC与MAC(来自AUTN)进行比较。如果这些匹配,则已成功地对K解密。注意,由于根据用户选择密码来保护K,所以K的信息熵不高,这使得用于发现K的这种强力攻击是可能的。还要注意,这些步骤可能在无需这样操纵终端中的IMS应用的情况下执行。
已经讨论抵制这种情况的许多建议。一种建议是在装置中提供嵌入式防篡改模块。但是,虽然防篡改硬件可解决安全性问题(针对密钥K的盗用和暴露),但是它是高成本解决方案。
另一种建议是同样地对软件中的*SIM进行加密或隐藏(obscure)(通过与存储基于软件的数字证书的方式相似的方式)。但是,甚至对于K和/或整个*SIM已加密的情况,进行强力攻击以恢复密钥K也是比较简单的。一般来说,通过PIN或密码所保护的任何方面都具有计算机能够进行穷举搜索以发现真实密钥K的这种低信息熵。
在一些密码保护系统中已经使用的一种方法是仅采用密码对密钥加密。攻击者不应当知道已经得到正确密钥K的时间(因为攻击者没有什么可与恢复密钥进行比较)。但是,如图1所示,在AKA的情况下,UE 1在UE 1向网络节点2发送验证(RES)之前接收AUTN中的MAC。这意味着,攻击者能够请求MAC,并且以此为基础来执行离线攻击以发现正确K。当MAC=XMAC时找到正确K。换言之,AKA具有的一个问题在于,它为UE 1提供在网络能够鉴定用户之前鉴定网络的方式。
发明内容
存在许多不同协议,它们具有不同性质,具体来说是为了执行鉴定所需要的消息往返次数。本发明针对仅要求一次消息往返的协议、诸如AKA。将AKA与软SIM配合使用的一个问题在于,网络在用户之前被鉴定。但是,本发明并不局限于软SIM。根据本发明的第一方面,提供一种在通信网络中鉴定用户的方法。网络节点从用户装置接收初始请求消息,并且向鉴定节点发送鉴定消息。网络节点然后从鉴定节点接收预计响应值和来自鉴定节点的鉴定令牌。预计响应值使用鉴定节点和用户已知的第一共享秘密以及鉴定节点和用户装置已知的第二共享秘密来确定,并且鉴定令牌使用第二共享秘密来确定。网络节点将鉴定令牌从网络节点发送到用户装置,并且作为响应而接收使用鉴定令牌、第一共享秘密和第二共享秘密所计算的响应值。网络节点然后确定响应值是否匹配预计响应值,以及如果是的话,则用户通过鉴定。该方法允许用户装置与网络用于鉴定用户的共享秘密无关地鉴定网络。
网络节点可选地从访问位置寄存器、服务呼叫会话控制功能、代理呼叫会话控制功能、服务GPRS支持节点、无线电网络控制器、归属订户服务器(在鉴定节点是鉴定中心的情况下)、移动性管理实体、演进Node-B和通用分组无线业务服务支持节点其中之一来选取,用户装置可选地从移动电话、个人计算机和用户设备其中之一来选取,以及鉴定节点可选地从归属订户服务器和鉴定中心其中之一来选取。
作为一个选项,该方法包括在网络节点接收加密密钥和完整性密钥,两种密钥均已使用第一共享秘密和第二共享秘密来确定。
第一共享秘密可选地包括提供给用户的一次性密钥,它对于允许用户单次访问通信网络是有效的。这允许用户从非安全装置、诸如共享计算机访问网络。一次性密钥可选地使用第二通信网络提供给用户,但有可能使用其它传递方法。
为了检测猜测第一共享秘密的欺诈企图,该方法可选地包括:在鉴定用户之前,确定先前鉴定尝试是否已成功,并且将这个确定用于确定是否鉴定用户。
根据第二方面,提供一种供通信网络中使用的用户装置。用户装置配备有用于向网络节点发送请求消息的第一传输部件。提供输入装置用于输入第一共享秘密,并且存储器设置成存储第二共享秘密。接收器设置成从网络节点接收包含已使用第二共享秘密确定的鉴定令牌的消息。提供用户装置处理器用于验证鉴定令牌以及用于使用第一和第二秘密来确定响应值,并且提供第二传输部件用于向网络节点发送所确定响应值。可选地,用户装置从用户设备、移动电话和个人计算机中的任一种选取。
根据第三方面,提供一种供通信网络中使用的鉴定节点。提供存储器用于存储与用户关联的第一共享秘密以及与用户装置关联的第二共享秘密。提供用于从网络节点接收鉴定消息的接收器。处理器设置成使用第二共享秘密来确定鉴定令牌以及使用第一和第二共享秘密来确定预计响应值。提供发射器用于向网络节点发送消息,该消息包括鉴定令牌和预计响应值。鉴定节点可选地从归属订户服务器和鉴定中心其中之一选取。
根据第四方面,提供一种供通信网络中使用的网络节点。提供第一接收部件用于从用户装置接收初始请求消息,并且提供第一传送部件用于向鉴定节点发送鉴定消息。第二接收部件设置成从鉴定节点接收预计响应值和鉴定令牌。预计响应值使用鉴定节点和用户已知的第一共享秘密以及鉴定节点和用户装置已知的第二共享秘密来确定。鉴定令牌使用第二共享秘密来确定。第二传送部件设置成向用户装置传送鉴定令牌。提供第三接收部件用于从用户装置接收使用鉴定令牌、第一共享秘密和第二共享秘密所计算的响应值。然后提供处理器用于确定响应值是否匹配预计响应值,以及如果是的话,则用户通过鉴定。
网络节点可选地从访问位置寄存器、服务呼叫会话控制功能、代理呼叫会话控制功能、服务GPRS支持节点、无线电网络控制器、归属订户服务器(在鉴定节点是鉴定中心的情况下)、移动性管理实体、演进Node-B和通用分组无线业务服务支持节点其中之一来选取。
为了降低恶意第三方尝试猜测第一共享秘密的风险,处理器可选地设置成确定先前鉴定尝试是否已成功,并且使用这个确定来确定是否鉴定用户。
网络节点功能可选地分布于多个物理位置。例如,在IMS通信网络中,第一接收部件、第一传送部件和第二接收部件可位于代理呼叫会话控制功能,并且第二传送和第三接收部件可位于服务呼叫会话控制功能。
附图说明
图1是示出已知鉴定和密钥协商过程的信令图;
图2示意示出在已知鉴定和密钥协商过程中在用户设备的密钥和响应的计算;
图3是示出根据本发明的一个实施例的鉴定和密钥协商过程的信令图;
图4示意示出在根据本发明的一个实施例的鉴定和密钥协商过程中在用户装置的密钥和响应的计算;
图5以框图示意示出根据本发明的一个实施例的用户装置;
图6以框图示意示出根据本发明的一个实施例的鉴定节点;以及
图7以框图示意示出根据本发明的一个实施例的网络节点。
具体实施方式
为了允许其中攻击者不可能从网络得到能够用于对秘密密钥K进行逆向工程的任何信息的更安全系统,引入用户与鉴定节点3之间共享的新秘密。这个共享秘密在本文中表示为Kp。注意,Kp没有存储在用户装置中。Kp可以是任何适当秘密,例如密码或通行短语或者个人标识号(PIN)。Kp与如上所述存储在软*SIM或UICC中的K不同。
以下示例在其中用户装置是用户设备1、鉴定节点可以是鉴定中心(AuC)、归属订户服务器(HSS)或者任何其它适当鉴定节点以及网络节点2根据网络类型可以是VLR、SGSN、S-CSC或者任何其它适当节点的环境下描述本发明。
参照图3,提供输入装置4,它允许用户将例如Kp等数据输入用户设备(UE)1中。以下编号表示图3所示的信令步骤:
S9.UE1向网络节点2发送请求在网络中访问的初始请求消息。
S10.网络节点2向鉴定节点3发送鉴定消息。
S11.鉴定节点3应答网络节点2。应答包含使用K所生成的鉴定令牌、随机数、使用K和Kp生成的预计响应XRESs以及也使用K和Kp生成的加密和完整性密钥CKs和IKs。
S12.网络节点2向UE 1发送包含鉴定令牌和随机数的消息。
S13.用户将Kp输入到输入装置4中。注意,输入装置可以是任何适当输入装置,例如键盘、触摸屏、鼠标、话筒等等。将Kp传递到UE 1。注意,这个步骤能够在直到此时的任何点发生。
S14.UE 1使用存储在UE的软*SIM或UICC中的K来检验授权码,以便鉴定网络。
S15.UE 1使用K和Kp来计算响应RESs。UE还使用K和Kp来计算加密和完整性密钥。
S16.UE 1向网络节点2发送RESs。
S17.网络节点2将从UE1所接收的RESs与从鉴定节点3所接收的XRESs进行比较。由于Kp只是用户和鉴定节点3已知的,并且XRESs和RESs均使用Kp来确定,所以如果RESs=XRESs,则用户能够在网络中通过鉴定。
注意,鉴定码仍然按照标准AKA过程使用K来生成,而无需Ks。这使得有可能使UE 1根据K来鉴定网络。但是,攻击者无法猜测RESs的值,因为攻击者无法访问Kp。
如果网络接收与XRESs不匹配的RESs的多个(例如三个连续)响应,则可锁定用户帐户,因为认为用户不知道Kp是合理的。
本文的图4示出图3的步骤S15中在UE 1的密钥和响应的计算。
可能希望在高风险环境、诸如共享计算机中提供网络服务。在这种情况下,软*SIM凭证能够作为因特网应用的一部分下载到共享计算机。为了防止木马程序记录Kp以及稍后使用软*SIM,在这个实施例中,Kp基于一次性密钥。存在用于将一次性密钥Kp传递给用户的若干机制,例如使用移动电话SMS、安全令牌卡等等。
在通信网络是IP多媒体子系统(IMS)网络的情况下,AKA过程用于建立IPsec隧道(使用CK/IK)。RES通过这个IPsec隧道来发送。在这种情况下,阻止UE尝试各种不同Kp的机制在P-CSCF中执行,其监视是否接收到无法使用IK来鉴定的来自UE 1的许多IPsec分组。如果这样的话,则P-CSCF去除IPsec SA,并且阻止UE 1尝试通过IPsec隧道发送消息。在另一个实施例中,有可能允许P-CSCF在发送给S-CSCF的未保护REGISTER消息中指示UE 1是否先前在没有CK/IK的有效值的情况下尝试进行访问。S-CSCF或HSS则可根据UE 1在不知道Kp的情况下尝试访问网络的历史来进行关于是否阻止该帐户的最终判定。
现在来看图5,示出根据本发明的一个实施例的用户装置。提供发射器(Tx)5用于向网络节点发送初始请求消息。如上所述,还提供输入装置4以便允许用户输入Kp。存储器6、诸如软*SIM存储K。提供接收器(Rx)7用于从网络节点2接收包含鉴定令牌的消息。处理器(μP)8设置成验证鉴定令牌,并且使用K和Kp来确定响应值以及CK和IK。还提供第二传输部件9用于向网络节点2发送所确定响应值。当然,第一和第二传输部件可包含在单个发射器或收发器中。
现在来看图6,示出根据本发明的一个实施例的鉴定节点3、诸如AuC或HSS。提供存储器10用于存储K和Kp。接收器11设置成从网络节点接收鉴定消息。响应这个消息,处理器12使用K来确定鉴定令牌以及使用K和Kp来确定预计响应值CK和IK。提供发射器13用于向网络节点发送消息,该消息包括鉴定令牌和预计响应值。
图7示出网络节点2,它配备有用于从用户装置1接收初始请求消息的第一接收部件13以及用于向鉴定节点3发送鉴定消息的第一传送部件14。提供第二接收部件15用于从鉴定节点接收预计响应值和鉴定令牌。提供第二传送部件16用于向用户装置1发送鉴定令牌,以及提供第三接收部件17用于从用户装置接收使用鉴定令牌、K和Kp所计算的响应值。处理器18确定响应值是否匹配预计响应值,以及如果是的话,则用户通过鉴定。当然,传送和接收部件可包含在不同发射器、接收器和收发器中,或者可包含在单个收发器中。
本发明允许使用没有存储在防篡改硬件中的软*SIM,使得有权访问凭证的恶意方无法访问网络。另外,可提供一次性Ks,它增加总体安全性。
本领域的技术人员会理解,可在没有背离本发明的范围的情况下对上述实施例进行各种修改。
Claims (14)
1.一种在通信网络中鉴定用户的方法,所述方法包括:
在网络节点从用户装置接收初始请求消息;
向鉴定节点发送鉴定消息;
在所述网络节点从所述鉴定节点接收预计响应值和鉴定令牌,所述预计响应值已使用所述鉴定节点和所述用户已知的第一共享秘密以及所述鉴定节点和所述用户装置已知的第二共享秘密来确定,所述鉴定令牌已使用所述第二共享秘密来确定;
将所述鉴定令牌从所述网络节点发送到所述用户装置;
从所述用户装置接收使用鉴定令牌、所述第一共享秘密和所述第二共享秘密计算的响应值;
确定所述响应值是否匹配所述预计响应值,以及如果是的话,则所述用户通过鉴定。
2.如权利要求1所述的方法,其中,所述网络节点从访问位置寄存器、服务呼叫会话控制功能、代理呼叫会话控制功能、服务GPRS支持节点、无线电网络控制器、归属订户服务器、移动性管理实体、演进Node-B和通用分组无线业务服务支持节点其中之一来选取;
所述用户装置从移动电话、个人计算机和用户设备其中之一来选取;以及
所述鉴定节点从归属订户服务器和鉴定中心其中之一来选取。
3.如权利要求1或2所述的方法,还包括在所述网络节点接收加密密钥和完整性密钥,两种密钥均已使用所述第一共享秘密和所述第二共享秘密来确定。
4.如权利要求1、2或3所述的方法,其中,所述第一共享秘密包括提供给所述用户的一次性密钥,所述一次性密钥对于允许所述用户单次访问所述通信网络是有效的。
5.如权利要求4所述的方法,还包括使用第二通信网络向所述用户提供所述一次性密钥。
6.如权利要求4至5中的任一项所述的方法,还包括:在鉴定所述用户之前,确定先前鉴定尝试是否已成功,并且将这个确定用于确定是否鉴定所述用户。
7.一种供通信网络中使用的用户装置,所述用户装置包括:
第一传输部件,用于向网络节点发送请求消息;
输入装置,用于输入第一共享秘密;
存储器,设置成存储第二共享秘密;
接收器,用于从所述网络节点接收包含已使用所述第二共享秘密来确定的鉴定令牌的消息;
处理器,用于验证所述鉴定令牌以及用于使用所述第一和第二秘密来确定响应值;以及
第二传输部件,用于向所述网络节点发送所述所确定响应值。
8.如权利要求7所述的用户装置,其中,所述用户装置从用户设备、移动电话和个人计算机中的任一种来选取。
9.一种供通信网络中使用的鉴定节点,所述鉴定节点包括:
存储器,用于存储与用户关联的第一共享秘密以及与用户装置关联的第二共享秘密;
接收器,用于从网络节点接收鉴定消息;
处理器,用于使用所述第二共享秘密来确定鉴定令牌以及使用所述第一和第二共享秘密来确定预计响应值;以及
发射器,用于向所述网络节点发送消息,所述消息包括所述鉴定令牌和所述预计响应值。
10.如权利要求9所述的鉴定节点,其中,所述鉴定节点从归属订户服务器和鉴定中心其中之一来选取。
11.一种供通信网络中使用的网络节点,所述网络节点包括:
第一接收部件,用于从用户装置接收初始请求消息;
第一传送部件,用于向鉴定节点发送鉴定消息;
第二接收部件,用于从所述鉴定节点接收预计响应值和鉴定令牌,所述预计响应值已使用所述鉴定节点和所述用户已知的第一共享秘密以及所述鉴定节点和所述用户装置已知的第二共享秘密来确定,并且所述鉴定令牌已使用所述第二共享秘密来确定;
第二传送部件,用于向所述用户装置发送所述鉴定令牌;
第三接收部件,用于从所述用户装置接收使用鉴定令牌、所述第一共享秘密和所述第二共享秘密计算的响应值;
处理器,用于确定所述响应值是否匹配所述预计响应值,以及如果是的话,则所述用户通过鉴定。
12.如权利要求11所述的网络节点,其中,所述网络节点从访问位置寄存器、服务呼叫会话控制功能、代理呼叫会话控制功能、服务GPRS支持节点、无线电网络控制器、归属订户服务器、移动性管理实体、演进Node-B和通用分组无线业务服务支持节点中的任一种来选取。
13.如权利要求11或12所述的网络节点,其中,所述处理器设置成确定先前鉴定尝试是否成功,并且将这个确定用于确定是否鉴定所述用户。
14.如权利要求11、12或13所述的网络节点,其中,网络节点功能分布于多个物理位置。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/EP2008/061925 WO2010028681A1 (en) | 2008-09-09 | 2008-09-09 | Authentication in a communication network |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102150446A true CN102150446A (zh) | 2011-08-10 |
Family
ID=41078335
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008801311212A Pending CN102150446A (zh) | 2008-09-09 | 2008-09-09 | 通信网络中的鉴定 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20110191842A1 (zh) |
| EP (1) | EP2347613B1 (zh) |
| CN (1) | CN102150446A (zh) |
| WO (1) | WO2010028681A1 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103906051A (zh) * | 2012-12-25 | 2014-07-02 | 中国移动通信集团北京有限公司 | 一种接入lte网络的方法、系统和装置 |
| CN106465109A (zh) * | 2014-05-20 | 2017-02-22 | 诺基亚技术有限公司 | 蜂窝网络认证 |
| CN109151823A (zh) * | 2018-09-10 | 2019-01-04 | 中国联合网络通信集团有限公司 | eSIM卡鉴权认证的方法及系统 |
| CN110858969A (zh) * | 2018-08-23 | 2020-03-03 | 刘高峰 | 客户端注册方法、装置及系统 |
| CN113661699A (zh) * | 2019-03-18 | 2021-11-16 | 第一资本服务有限责任公司 | 用于客户支持呼叫的预认证的系统和方法 |
| US12074910B2 (en) | 2019-03-18 | 2024-08-27 | Capital One Services, Llc | System and method for second factor authentication to perform services |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2464260B (en) * | 2008-10-02 | 2013-10-02 | Motorola Solutions Inc | Method, mobile station, system and network processor for use in mobile communications |
| US8380989B2 (en) | 2009-03-05 | 2013-02-19 | Sybase, Inc. | System and method for second factor authentication |
| US10263782B2 (en) * | 2011-10-12 | 2019-04-16 | Goldkey Corporation | Soft-token authentication system |
| US9357385B2 (en) | 2012-08-20 | 2016-05-31 | Qualcomm Incorporated | Configuration of a new enrollee device for use in a communication network |
| EP2965488B1 (en) * | 2013-03-08 | 2020-04-29 | NEC Corporation | Method and system for preparing a communication between a user device and a server |
| US10154025B2 (en) * | 2013-03-15 | 2018-12-11 | Qualcomm Incorporated | Seamless device configuration in a communication network |
| US10164958B2 (en) * | 2013-08-19 | 2018-12-25 | Entry Point, Llc | Open access network secure authentication systems and methods |
| US11349675B2 (en) * | 2013-10-18 | 2022-05-31 | Alcatel-Lucent Usa Inc. | Tamper-resistant and scalable mutual authentication for machine-to-machine devices |
| WO2015177398A1 (en) * | 2014-05-20 | 2015-11-26 | Nokia Technologies Oy | Cellular network authentication control |
| CN106465110B (zh) | 2014-05-20 | 2020-05-12 | 诺基亚技术有限公司 | 蜂窝认证中的异常处理 |
| US9473489B2 (en) * | 2014-09-29 | 2016-10-18 | Aerohive Networks, Inc. | Private simultaneous authentication of equals |
| WO2016190906A2 (en) * | 2015-01-16 | 2016-12-01 | Entry Point, Llc | Open access network secure authentication systems and methods |
| US9430676B1 (en) * | 2015-03-17 | 2016-08-30 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd. | Processor related noise encryptor |
| WO2017194163A1 (en) * | 2016-05-13 | 2017-11-16 | Telefonaktiebolaget Lm Ericsson (Publ) | Enduser verification in mobile networks |
| US11139975B2 (en) | 2018-11-19 | 2021-10-05 | International Business Machines Corporation | Authentication in non-secure communication channels via secure out-of-bands channels |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002073877A2 (en) * | 2001-03-09 | 2002-09-19 | Pascal Brandys | System and method of user and data verification |
| CN101064606A (zh) * | 2006-04-29 | 2007-10-31 | 华为技术有限公司 | 一种用于鉴权的系统、装置及方法 |
| CN101116284A (zh) * | 2004-12-17 | 2008-01-30 | 艾利森电话股份有限公司 | 无线电通信网络中的防克隆相互鉴权 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FI106605B (fi) | 1997-04-16 | 2001-02-28 | Nokia Networks Oy | Autentikointimenetelmä |
| US6236852B1 (en) * | 1998-12-11 | 2001-05-22 | Nortel Networks Limited | Authentication failure trigger method and apparatus |
| GB2401293B (en) * | 2002-01-17 | 2004-12-22 | Toshiba Res Europ Ltd | Data transmission links |
| ATE306776T1 (de) * | 2002-10-22 | 2005-10-15 | Verfahren und system zur authentifizierung von benutzern in einem telekommunikationssystem | |
| DE10307403B4 (de) * | 2003-02-20 | 2008-01-24 | Siemens Ag | Verfahren zum Bilden und Verteilen kryptographischer Schlüssel in einem Mobilfunksystem und Mobilfunksystem |
| US7421732B2 (en) * | 2003-05-05 | 2008-09-02 | Nokia Corporation | System, apparatus, and method for providing generic internet protocol authentication |
| EP1519530A1 (en) * | 2003-09-29 | 2005-03-30 | STMicroelectronics S.r.l. | Method for establishing an encrypted communication by means of keys |
| US20050213768A1 (en) * | 2004-03-24 | 2005-09-29 | Durham David M | Shared cryptographic key in networks with an embedded agent |
| US7628322B2 (en) * | 2005-03-07 | 2009-12-08 | Nokia Corporation | Methods, system and mobile device capable of enabling credit card personalization using a wireless network |
| US20060206710A1 (en) * | 2005-03-11 | 2006-09-14 | Christian Gehrmann | Network assisted terminal to SIM/UICC key establishment |
| FI20050562A0 (fi) * | 2005-05-26 | 2005-05-26 | Nokia Corp | Menetelmä avainmateriaalin tuottamiseksi |
| EP1865656A1 (en) * | 2006-06-08 | 2007-12-12 | BRITISH TELECOMMUNICATIONS public limited company | Provision of secure communications connection using third party authentication |
| PL2039199T3 (pl) * | 2006-07-06 | 2019-06-28 | Nokia Technologies Oy | System poświadczania urządzenia użytkownika |
| US8296836B2 (en) * | 2010-01-06 | 2012-10-23 | Alcatel Lucent | Secure multi-user identity module key exchange |
-
2008
- 2008-09-09 EP EP08803893.0A patent/EP2347613B1/en not_active Not-in-force
- 2008-09-09 US US13/063,159 patent/US20110191842A1/en not_active Abandoned
- 2008-09-09 WO PCT/EP2008/061925 patent/WO2010028681A1/en active Application Filing
- 2008-09-09 CN CN2008801311212A patent/CN102150446A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002073877A2 (en) * | 2001-03-09 | 2002-09-19 | Pascal Brandys | System and method of user and data verification |
| CN101116284A (zh) * | 2004-12-17 | 2008-01-30 | 艾利森电话股份有限公司 | 无线电通信网络中的防克隆相互鉴权 |
| CN101064606A (zh) * | 2006-04-29 | 2007-10-31 | 华为技术有限公司 | 一种用于鉴权的系统、装置及方法 |
Non-Patent Citations (2)
| Title |
|---|
| 张方舟: "3G接入技术中认证鉴权的安全性研究", 《微电子学与计算机》 * |
| 曾宪文: "对称密码加密系统与公钥密码加密系统", 《上海电机学院学报》 * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103906051A (zh) * | 2012-12-25 | 2014-07-02 | 中国移动通信集团北京有限公司 | 一种接入lte网络的方法、系统和装置 |
| CN106465109A (zh) * | 2014-05-20 | 2017-02-22 | 诺基亚技术有限公司 | 蜂窝网络认证 |
| US10484187B2 (en) | 2014-05-20 | 2019-11-19 | Nokia Technologies Oy | Cellular network authentication |
| CN110858969A (zh) * | 2018-08-23 | 2020-03-03 | 刘高峰 | 客户端注册方法、装置及系统 |
| CN109151823A (zh) * | 2018-09-10 | 2019-01-04 | 中国联合网络通信集团有限公司 | eSIM卡鉴权认证的方法及系统 |
| CN113661699A (zh) * | 2019-03-18 | 2021-11-16 | 第一资本服务有限责任公司 | 用于客户支持呼叫的预认证的系统和方法 |
| CN113661699B (zh) * | 2019-03-18 | 2024-05-24 | 第一资本服务有限责任公司 | 用于客户支持呼叫的预认证的系统和方法 |
| US12074910B2 (en) | 2019-03-18 | 2024-08-27 | Capital One Services, Llc | System and method for second factor authentication to perform services |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2010028681A1 (en) | 2010-03-18 |
| EP2347613B1 (en) | 2014-05-07 |
| EP2347613A1 (en) | 2011-07-27 |
| US20110191842A1 (en) | 2011-08-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102150446A (zh) | 通信网络中的鉴定 | |
| US20190289463A1 (en) | Method and system for dual-network authentication of a communication device communicating with a server | |
| KR101485230B1 (ko) | 안전한 멀티 uim 인증 및 키 교환 | |
| RU2480925C2 (ru) | Генерация криптографического ключа | |
| JP6757845B2 (ja) | 秘密識別子を使用するユーザ機器に関連した動作 | |
| US9485232B2 (en) | User equipment credential system | |
| CN102006294B (zh) | Ims多媒体通信方法和系统、终端及ims核心网 | |
| US8726019B2 (en) | Context limited shared secret | |
| CN110192381B (zh) | 密钥的传输方法及设备 | |
| US8819765B2 (en) | Security policy distribution to communication terminals | |
| EP2377337B1 (en) | Service-based authentication to a network | |
| US20080095361A1 (en) | Security-Enhanced Key Exchange | |
| CN108880813B (zh) | 一种附着流程的实现方法及装置 | |
| CN103155614A (zh) | 漫游网络中接入终端身份的认证 | |
| CN110545252B (zh) | 一种认证和信息保护的方法、终端、控制功能实体及应用服务器 | |
| KR20070091266A (ko) | 구별되는 랜덤한 시도들을 사용하는 부트스트랩 인증 | |
| CN101138217A (zh) | 通过比较非网络始发身份来认证用户的方法和设备 | |
| JP2005512396A (ja) | ネットワークプロバイダ及びビジネスパートナーに対する遠隔通信加入者の認証及び許可のための端末における公開鍵ペアの利用 | |
| CN101895881B (zh) | 一种实现gba密钥的方法及终端可插拔设备 | |
| CN102196426A (zh) | 一种接入ims网络的方法、装置和系统 | |
| TW200527877A (en) | Method and application for authentication of a wireless communication using an expiration marker | |
| TW200537959A (en) | Method and apparatus for authentication in wireless communications | |
| WO2009053818A2 (en) | Method and apparatus for providing secure linking to a user identity in a digital rights management system | |
| CN107786978B (zh) | 基于量子加密的nfc认证系统 | |
| CN107888376B (zh) | 基于量子通信网络的nfc认证系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20110810 |