CN103597799B - 服务访问认证方法和系统 - Google Patents
服务访问认证方法和系统 Download PDFInfo
- Publication number
- CN103597799B CN103597799B CN201280029514.9A CN201280029514A CN103597799B CN 103597799 B CN103597799 B CN 103597799B CN 201280029514 A CN201280029514 A CN 201280029514A CN 103597799 B CN103597799 B CN 103597799B
- Authority
- CN
- China
- Prior art keywords
- access authentication
- authentication system
- subscriber
- operator
- privately owned
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Sub-Exchange Stations And Push- Button Telephones (AREA)
Abstract
一种用于认证服务的订户的访问认证系统,访问认证系统包括运营商访问认证系统和一个或多个私有访问认证系统,各私有访问认证系统与运营商访问认证系统在通信上是可连接的,运营商访问认证系统适合提供用于基于与订户的凭证关联的相应订户认证数据项来促进服务的订户的认证的一个或多个认证功能;其中各私有访问认证系统适合将一个或多个订户认证数据项传递给所述运营商访问认证系统;以及各私有访问认证系统还适合传递指示私有访问认证系统工作在至少一个预定状态的一个或多个检验数据项。
Description
技术领域
所公开的是用于认证对服务的访问的系统及对应方法。
背景技术
许多通信网络包括用于控制和准予对通信网络的订户访问的功能性。通常,对经过用于认证所述订户装置的订户凭证的检验的订户装置准予这种访问。例如,对许多通信系统、例如移动通信网络系统的访问局限于利用通信网络的通信服务的订户。
在GSM/CDMA系统和类似移动通信系统的上下文中,移动交换中心(MSC)是主要服务交付节点,其负责路由语音呼叫和SMS以及其它服务(例如会议呼叫、FAX和电路交换数据)。MSC建立和释放端对端连接,在呼叫期间操控移动性和切换要求,并且看管计费和实时预付费帐户监视。
GSM系统中的其它重要实体是连接到MSC的归属位置寄存器(HLR)和认证中心(AuC)。在无线网络中,HLR是中心位置,其中存储用户信息,例如帐号、特征、偏好、准许等。将归属位置寄存器(HLR)作为包含管理和检查移动网络的订户所需功能的实体来在GSM中引入。结合访问者位置寄存器(VLR)和移动交换中心(MSC),HLR使订户能够在归属网络中发送和接收呼叫,并且在其它网络中行进(“漫游”),同时仍然保持对熟悉和预期服务的访问。
当GSM系统演进为UMTS(3G)系统并且最近演进为LTE系统时,HLR保持这个作用。其它移动网络系统、例如AMPS、DAMPS、CDMA等具有类似网络实体。
移动网络的另一个重要功能是认证中心(AuC)。AuC与HLR连接,并且提供认证每个SIM卡—移动电话通过其尝试连接到GSM核心网络(通常在电话加电时和/或在进行呼叫时)—的功能。一旦认证是成功的,HLR用于管理上述SIM和服务。还生成加密密钥,其随后用于保护(加密)移动电话与GSM核心网络之间的无线通信(语音、SMS等)。
AuC使用本地驻留的订户数据以及驻留在订户的SIM卡(在UMTS和LTE的情况下,它称作USIM卡)的数据,并且提供认证机制,其允许网络认证其订户。此外,AuC和SIM卡共享认证算法的知识及其参数(其将在认证过程期间使用)。为了便于本描述,订户数据(包括例如订户标识符)和认证算法/参数称作订户的凭证。
这种建立这些年来已经证明提供增强移动网络中的网络访问控制的安全方式,并且甚至扩展到提供例如IMS的服务的安全性。IMS的关键组件是归属订户服务器(HSS),其可被看作是提供宽许多的范围的特征的HLR的演进形式,并且意在充当所有订户和服务特定信息的主储存库。它组合GSM网络的HLR/AuC(认证中心)功能性,并且还提供IMS网络特别需要的信息。基于SIM的认证还能够用于其它访问技术、例如无线LAN中,其中AuC功能性由所谓的AAA服务器(认证、授权和记帐)来提供。
但是,上述建立具有后勤含义,其使得难以让大规模解决方案提供商提供特定服务的客户装置。主要问题在于,订户凭证必须提供到AuC和装置两者中。实际上,后者通过迫使订户从运营商获取SIM卡并且将这个卡插入装置来解决。当订户想要改变运营商时,他/她从另一个运营商获得SIM卡,以及去除第一SIM卡并且采用新卡更换它。这已经证明是用于单独订户的功能良好系统。但是,通过移动网络技术越来越多地用于例如(远程)计量装置等的机器对机器(M2M)装置,由于SIM卡提供到装置中并且因能够支持灵活初始选择和改变运营商的方式,上述建立涉及多个缺点。
即使在US 7149516中描述了一种机制,其允许用户通过访问由用户直接可修改的个人归属位置寄存器来修改他们自己的订户简档,但是这种方式没有解决对另一个运营商网络的认证问题,并且这种现有技术仅允许用户管理已经存在的预订;它不提供使用户能够便利地远程增加新的或现有装置的整体预订(身份和凭证)的任何机制。
如前面所述,AuC包括订户凭证,并且这些在插入装置的SIM卡中被镜像。订户凭证的示例包括IMSI(国际移动用户身份)、一个或多个密码密钥、一个或多个认证算法、一个或多个会话密钥算法、一个或多个算法参数。运营商通常将请求第三方(例如SIM卡供应商)产生一组SIM卡,并且然后将其AuC装载有那些卡上的凭证。当装置拥有者想要使用这个运营商的网络,他接收或购买(预先支付)运营商的SIN卡之一。这适用于个人装置,但是对于某些装置,基于UICC技术的可拆卸SIM卡是成本因素,并且由固定安装的SIM取代。
但是,存在现有技术机制具有严重限制的多种情况。例如,如果公共事业公司想要部署通过移动网络来报告数据的计量装置,则产生装置的制造商无法知道公共事业公司想要使用哪一个运营商的问题。因此,装置制造商无法将运营商特定凭证预先提供到装置中,以及如同传统移动装置一样必须将这个任务留给装置用户(其在这种情况下为公共事业公司)。公共事业公司则必须对装置进行某种操作(插入SIM卡或者对其重新编程),以便使其在所选运营商的网络上可使用。一旦装置能够与运营商的网络进行联络,则其它过程在这样需要时(即,在初始联系基于一些初步和/或编组凭证的情况下)能够立即提供最终凭证。
类似问题存在于连接客户电子装置,其中最终用户具有使用移动网络进行通信的一组个人装置(电话、数码相机、电视机、PC等)。甚至仅对于少量装置,使用户为各装置获取独立SIM卡趋向于极为麻烦。
已经提出的一种解决方案涉及所谓的MCIM(机器通信身份模块)或者“软SIM”,参见3GPP TR 33.812。这种解决方案解决装置侧的提供问题,但是仍然具有用户/网络侧的若干缺点。例如,如果用户想要改变其装置的运营商,必须每个装置运行一次运营商变更协议。如果用户具有许多装置、例如公共事业公司的数百或者甚至数千个远程计量装置,则这是巨大的任务。
发明内容
本文所公开的是用于认证服务的订户的访问认证系统的实施例,该访问认证系统包括运营商访问认证系统和一个或多个私有访问认证系统,各私有访问认证系统与运营商访问认证系统在通信上是可连接的,运营商访问认证系统适合提供用于基于与订户的凭证关联的相应订户认证数据项来促进服务的订户的认证的一个或多个认证功能;其中各私有访问认证系统适合将一个或多个订户认证数据项传递给所述运营商访问认证系统;以及其中各私有访问认证系统还适合传递指示私有访问认证系统工作在至少一个预定状态的一个或多个检验数据项。
因此,本文所公开的访问认证系统的实施例促进一个或多个私有访问认证系统(其可将认证数据提供给运营商认证系统)的安全提供。因此,订户可建立他/她的私有访问认证系统,并且因而执行向私有访问认证系统提供订户装置凭证。私有访问认证系统随后将与凭证关联的认证数据项传递给由提供服务的服务提供商所操作的运营商访问认证系统。这允许运营商访问认证系统来促进订户的装置的认证,而无需向运营商访问认证装置注册单独订户装置及其关联凭证并且无需修改单独订户装置。此外,运营商可确立能够信任私有访问认证系统,例如信任以操控凭证。
将会理解,本文所使用的术语“订户”和“订户装置”指的是经授权访问服务的任何用户或用户装置,例如经授权访问服务的通信装置或者任何其它电子装置。术语“通信装置”预计包括固定和便携通信设备。术语“便携通信设备”包括使用固定/有线(例如xDSL、以太网、光纤)或者无线(例如CDMA、GSM、LTE、UMTS、WLAN、WiMAX)接入技术的所有设备,例如移动电话、寻呼机、通信装置、电子组织器、智能电话、个人数字助理(PDA)、手持计算机、膝上型计算机等。
服务可以是通信服务,例如由通信网络所提供的电信服务。因此,在一些实施例中,对服务的访问可包括对通信网络、例如移动通信网络的访问。相应地,运营商访问或者服务认证系统可包括与GSM系统兼容的认证中心功能或者用于促进服务、例如通信网络的订户的认证的任何其它适当功能。运营商访问认证系统的实施例可包括附加功能,例如用于存储和/或管理订户数据的功能、例如运营商HLR。
类似地,私有访问认证系统可包括与GSM系统兼容的认证中心功能或者用于促进服务、例如通信网络的订户的认证的任何其它适当功能。私有访问认证系统的实施例可包括附加功能,例如用于存储和/或管理订户数据的功能、例如私有HLR。
例如,订户可建立其私有访问认证系统、例如连接到订户自己的HLR的订户自己的AuC,并且因而执行订户凭证的提供。因此,不需要在变更运营商时更换凭证。为了获得对运营商网络的访问,订户在网络运营商(其现有HLR/AuC修改成在与订户关联的装置之一想要获得对网络或者另外某个服务的访问时改为使用订户HLR/AuC)注册他的HLR/AuC。
一般来说,术语“访问认证系统”预计包括一种系统,其包括服务交付系统的一个或多个装置、例如计算机网络或者电信系统的一个或多个装置,其中访问认证系统包括例如响应订户装置尝试访问由服务交付系统所提供的服务而促进订户认证的功能性。具体来说,认证系统可利用或者在其中存储认证数据项和/或订户凭证,例如包括订户数据以及指示供认证过程期间使用的认证算法及其参数的数据的凭证。
在移动电信系统的上下文中,访问认证系统的实施例可通过适当配置的AuC、HLR、MSC/VLR和/或其组合来体现。
术语“运营商访问认证系统”预计指的是由服务交付系统的运营商所操作的访问认证系统,而术语“私有访问认证系统”预计指的是由与服务交付系统的运营商不同的实体、例如由服务的订户所操作的访问认证系统。因此,运营商访问认证系统定位于服务提供商、例如电信服务提供商,而私有访问认证系统没有定位于服务提供商。因此,在移动电信系统的上下文中,运营商访问认证系统的实施例可体现为MSC/VLR、运营商AuC、运营商HLR、移动管理实体(MME)或者它们的组合。
术语“认证数据项”预计指的是从访问认证系统所存储的订户凭证可得出的和/或与其关联的任何数据,该数据允许接收实体认证尝试访问服务的订户。具体来说,认证数据项可以是从订户数据、认证算法及其参数(其在认证过程期间使用)可得出的。认证数据项的示例可包括例如在访问认证系统与订户装置的用户身份模块之间的询问响应机制的询问或响应。例如,认证数据项可从共享秘密和订户身份标识符来得出,例如以便生成为了用于标识目的的询问/响应以及可选的供后续通信中使用的加密密钥。
即使当前标准(参见例如网络域安全性(NDS);事务能力应用部分(TCAP)用户安全性(版本9);第三代合作伙伴项目;技术规范组服务和系统方面;3G安全性;3GPP TS 33.2049.0.0(2009-12))描述两个运营商能够如何通过安全通信来交换数据,但是在私有访问认证系统存在的情况下要求增加的安全性。
在一些实施例中,检验数据项可以是例如远程证明机制的证明数据项。检验数据项可指示私有访问认证系统操作至少一个预定硬件和/或软件组件和/或指示私有访问认证系统工作在至少另一种可信状态。但是,将会理解,私有访问认证系统的状态的并非所有状态参数可能必须检验。在一些实施例中,仅检验足以确立私有访问认证系统工作在多个可能的可信状态之一的一个或者一些状态参数。作为替代或补充,各私有访问认证系统安全地连接到运营商访问认证系统,从而允许由运营商访问认证系统对私有访问认证系统的检验。
当私有访问认证系统传递指示私有访问认证系统操作由运营商访问认证系统可接受的硬件和/或软件的一个或多个证明数据项和/或指示私有访问认证系统工作在至少一种预定状态的另一个检验数据项时,提供抵制网络的误用的附加措施,因而允许订户的私有访问认证系统的检验和监视。相应地,在一些实施例中,私有访问认证系统在其上运行的实体(例如服务器计算机)能够由所选运营商来(远程)检验,因此它按照正确方式来引导,并且运行认可的(安全)软件。作为替代或补充,运营商访问认证系统可检验由私有访问认证系统所运行的软件的至少一个子集由运营商访问认证系统来认可或信任。一般来说,在本文所述的方法的实施例中,运营商访问认证系统和/或另一个检验系统可接收检验数据项,并且检验私有访问认证系统工作在可信状态。
因此,本文所述的网络访问认证系统的实施例可使用运营商的网络中的漫游能力来引入私有认证中心,可选地与私有HLR相结合。为了便于本描述,私有HLR又将称作pHLR,以及私有认证中心称作pAuC。pAuC包括认证所需的订户凭证数据,以及pHLR可包含与服务的类型相关的其它订户数据和可能的装置具体细节。此外,pAuC的实施例提供允许网络运营商检验pAuC的功能性。pHLR和/或pAuC可包括管理接口,通过其,pHLR/pAuC的拥有者能够控制pHLR/aAuC并且新凭证能够按照安全方式来添加、更换/更新或删除(例如,使用密码安全连接、例如SSH,或者物理安全连接、例如IR、NFC或者USB电缆)。例如,待添加(插入)到pAUC/pHLR中的订户装置可通过这种接口导出其凭证的副本或其它信息。
私有认证系统可运行于可信平台,其可实现安全引导并且坚持仅认可(例如正确签名)代码能够运行。这例如能够通过使用TCG(可信计算组)技术来实现,其中TPM(可信平台模块)或者另一个适当可信计算平台可操作以控制仅启动正确的软件组件,参见例如TPM主要规范第2等级版本1.2、修订版103(又作为国际标准ISO/IEC 11889可得到)。一般来说,可信计算平台是适合于私有或秘密数据的保护和处理的计算平台,其中计算平台提供隔离执行环境,其中保护软件/数据免于外部干扰,并且可信计算平台能够提供与其行为(硬件和软件环境)有关的保证。因此,可信计算平台的实施例可包括(上述装置凭证的)密封(例如加密)存储和远程证明的功能性。
术语“远程证明”指的是向经授权远程实体可靠地报告平台当前状态的过程,因而允许远程实体检测对包括可信平台的计算机的变更。可通过使硬件生成陈述哪一个软件当前正运行的证书,来实现远程证明。计算机随后能够将这个证书呈现给远程实体,以表明未改变软件当前正运行。远程证明可与公有密钥加密相结合,使得所发送的信息能够仅由呈现并且请求证明的程序而不是由偷听者来读取。例如,TCG技术支持远程证明,其因而能够由所选运营商用于检查私有访问认证系统的正确机能。为此,运营商的访问认证系统可扩大到支持这类平台检验过程。在例如GSM和类似移动通信网络的上下文中,经修改的运营商访问认证系统可包括经修改的HLR和/或经修改的AuC,其在本文中又将分别称作oHLR和oAuC。因此,检验数据项可包括由可信平台所生成的远程证明结果,例如由可信平台所生成的数字证明证书或者可信平台的任何其它适当签名。
在前面所述的示例中,公共事业公司可为由公共事业公司所拥有(或者另外由其管理/操作)的装置来建立其自己的pHLR和pAuC,以及装置制造商可预先提供装置,并且使pHLR和pAuC的数据在公共事业公司已经购买装置(例如经由门户网站)之后是其可用的。备选地,就在装置将要成为可操作时,凭证的至少部分可由装置和/或pAuC“根据请求”来生成(使用例如本地生成的随机/伪随机值),此后,装置和pAuC通过安全接口来同步凭证,如已经所述。随后,公共事业公司可在选择的运营商注册其pHLR和pAuC,并且运营商能够按照协议、使用与对于漫游订户相同的机制或者运营商自己的订户的机制、就其网络的使用对公共事业公司计费。如果/当公共事业公司想要变更运营商时,它与新运营商协商协议,并且然后指示其装置选择新运营商的网络。与现有技术布置相比,这个指令可通过单个(安全)多播消息进行,而不是运营商的每装置变更。在网络侧,全部所需的是使新运营商将其运营商访问认证系统(例如新oHLR/oAUC)重新配置成将认证数据信令“指向”或者重定向到公共事业公司的pHLR和pAuC。另一方面,由公共事业公司所选择的运营商想要能够检验能够信任公共事业公司的pHLR/pAuC。
本发明涉及不同的方面,包括以上和下面所述的交互运营商和私有HLR/AuC的建立、对应系统、方法和产品,其各产生结合上述方面之一所述的有益效果和优点的一个或多个,以及各具有与结合上述方面的至少一个所述的实施例对应的一个或多个实施例。
更具体来说,按照另一方面,公开一种用于由运营商访问认证系统来促进请求对服务的访问的订户装置的认证的方法;运营商访问认证系统适合提供用于基于相应订户认证数据项来促进服务的订户的认证的一个或多个认证功能,该方法包括:
● 从通信上与运营商访问认证系统连接的私有访问认证系统来接收订户认证数据项,所述订户认证数据项指示一个或多个订户凭证;
● 响应所接收订户认证数据项并且响应私有访问认证系统工作在其中的状态的检验,提供用于促进关联到所述订户凭证的订户的认证的一个或多个认证功能。
由运营商认证系统所提供的用于促进订户的认证的一个或多个认证功能可包括执行认证过程,和/或将认证数据、例如所接收认证数据项或者从其中得出的数据转发给另一个实体,其又可执行实际认证过程并且提供对所述服务的访问。私有访问认证系统工作在其中的状态的检验可至少部分由运营商访问认证系统例如响应从私有访问认证系统所接收的检验数据项来执行。作为替代或补充,检验可至少部分由另一个实体、例如检验系统来执行,该系统则可将检验结果或者中间结果传递给运营商访问认证系统。
本文中还公开的是一种由连接到运营商访问认证系统的私有访问认证系统来促进请求对服务的访问的订户装置的认证的方法;运营商访问认证系统适合提供用于基于相应订户认证数据项来促进服务的订户的认证的一个或多个认证功能,该方法包括:
● 将订户认证数据项传递给运营商访问认证系统,所述订户认证数据项指示一个或多个订户凭证,并且促进运营商访问认证系统有选择地准予或拒绝对通信网络的订户装置访问;
● 传递指示私有访问认证系统工作在其中的状态的至少一个检验数据项,并且促进关于所述状态是否为运营商访问认证系统可信任的确定。
私有认证系统可直接地或者经由另一个实体将订户认证数据项传递给运营商访问认证系统。私有认证系统可将检验数据项传递给运营商访问认证系统和/或传递给另一个系统,供私有访问认证系统的状态的检验。
还公开的是一种如本文所述的供服务访问认证系统中使用的运营商访问认证系统和私有访问认证系统。运营商访问认证系统和私有认证系统的每个可体现为服务器,例如服务器计算机或者其它数据处理系统,或者体现为使用本领域已知的适当硬件虚拟化机制的虚拟化服务器。
附图说明
通过以下参照附图所述的实施例,将掌握和说明以上及其它方面,附图包括:
图1示出认证系统的一个示例的示意框图。
图2示出用于访问认证和平台检验的过程的一个实施例。
图3示出将认证数据项的请求路由选择到私有认证系统的过程的一个示例的流程图。
具体实施方式
图1示出访问认证系统的一个示例的示意框图。图1的访问认证系统是网络访问认证系统,其促进请求对通信网络、例如移动电信网络的访问的订户装置的认证。网络认证系统包括:运营商访问认证系统101,体现为运营商认证中心(oAuC);以及私有访问认证系统102,体现为私有认证中心(pAuC)。但是将会理解,运营商访问认证系统101可体现为运营商认证中心(oAuC)、MSC/VLR、运营商HLR(oHLR)或者它们的组合,以及私有访问认证系统102可体现为私有认证中心(pAuC)、私有HLR或者它们的组合。
pAuC可连接到私有归属位置寄存器(pHLR)103。备选地,pAuC可体现为订户所操作的私有归属位置寄存器pHLR的组件。类似地,图1的oAuC由网络运营商来操作,并且可连接到运营商归属位置寄存器(oHLR)104。将会理解,即使只有上述实体的每个实体的单个实体在图1中示出,但是访问认证系统的实施例可包括这些实体的一个、一些或每个实体的相应多个实体。此外,在一些实施例中,订户可以仅操作pAuC,其可操作以与运营商的oHLR进行通信。在这种情况下,IMSI可与oHLR关联,并且对认证数据的请求会首先发送给oHLR。oHLR则可具有关于认证数据项应当向pAuC来请求的信息(例如,pAuC的URL、IP地址等在oHLR中配置),但是所有其它功能则可在oHLR进行。
pAuC是系统、例如装置或者装置的硬件和/或软件组件,其提供用于促进尝试经由基站106和移动交换中心(MSC)107连接到移动通信网络、例如GSM网络的订户装置105的认证的功能性。在一些实施例中,认证系统可直接执行认证,而在其它实施例中,认证系统而是可生成数据供认证过程中使用。例如,在GSM的上下文中,pAuC可生成所谓的三元组或向量,供MSC在认证过程期间使用。在例如按照3GPP TS 33.234进行操作的无线LAN访问的情况下;另一方面,认证判定(接受/拒绝)可至少部分由pAuC本身进行。
能够访问通信网络的诸如移动电话、计算机或者任何其它电子装置之类的订户装置105包括订户身份模块(SIM)108。SIM包括供认证过程中使用的订户凭证。但是将会理解,订户装置可包括用于安全存储订户凭证的任何其它适当存储介质。用于存储订户凭证的适当机制的示例包括“软SIM”类型的解决方案、物理UICC卡以及由装置制造商内置于装置的“硬连线”凭证或者甚至装置上的(受保护)文件中存储的凭证。即使只有单个订户装置在图1中示出,但是将会理解,网络访问认证系统的实施例可提供对多个订户装置(各具有其自己的凭证以及用于存储所述凭证的部件)的访问认证。
认证过程的安全性可取决于pAuC与SIM之间的共享秘密。相应地,pAuC还包括用于存储订户凭证的存储介质110。共享秘密可在制造期间安全地烧结或者编程到SIM中,并且还安全地复制到pAUC上。这个共享秘密此后通常从不在pAUC与SIM之间传送,而是与IMSI相结合以产生用于标识目的的询问(challenge)/响应以及供空中通信中使用的加密密钥。
因此,如从以上所述将会理解,pAuC的认证能力可与现有技术网络的正常AuC相似。但是,pAuC这时由订户而不是由运营商来拥有和操作。如同漫游建立中一样,pAuC仍然负责提供认证数据项,从而引起对移动网络的访问。当订户操作其自己的AuC时,订户能够执行订户凭证的提供,并且不需要在变更运营商时更换凭证。为了获得对运营商网络的访问,订户在网络运营商(其现有oHLR和/或oAuC修改成在订户装置之一想要获得对网络的访问时改为使用订户pAuC)注册他/她的pAuC。因此,在一些实施例中,oHLR可有选择地并且响应请求订户装置的身份来联络oAuC或pAuC,以便得到所述订户装置的认证数据。在备选实施例中,oHLR可以始终联络oAuC,其又可根据订户装置的身份将认证数据的请求转发给对应pAuC。
pAuC运行于可信(执行)平台109。pHLR可运行于相同或相似的可信平台111。如果平台能够例如基于平台中的信任功能的不变根源(例如虚拟化计算平台的硬件)来保护经授权(例如正确签名)软件的执行,则将其称作“可信”。在一个实施例中,可信平台还提供允许远程实体安全地检验平台按照正确方式启动并且正运行正确软件和/或另外工作在可信状态的功能性。这类功能性通常称作(平台)证明。存在用于基于信任根源的安全引导的若干技术。
例如,可信平台可包括实现TCG(可信计算组)技术的可信平台模块(TPM)。TPM(可信平台模块)可控制仅启动正确的软件组件。TCG技术还支持远程证明,其能够由所选运营商用于检查pAuC的正确机能。具体来说,TPM包含用于检验将要启动的软件组件并且执行其状态的证明的密钥和机制(参见例如TCG规范,架构概述,规范,修订版1.3,2007年3月)。作为替代或补充,其它解决方案、例如TrustZone技术(参见例如“ARM Security Technology,Building a Secure System using TrustZone® Technology”,ARM Whitepaper,http://infocenter.arm.com/help/topic/com.arm.doc.prd29-genc-009492c/PRD29-GENC-009492C_trustzone_security_whitepaper.pdf)可用于安全引导。作为替代或补充,也能够使用专有证明协议。证明功能可与例如平台密码证书的有效性的检验相结合。这类解决方案的一个或多个解决方案的组合一般可称作平台检验。为了便于本描述,术语“平台检验”至少可包括例如使用OCSP的平台证书的检验(参见例如RFC 2560、X.509因特网公有密钥基础设施在线证书状态协议 – OCSP)。
作为另一个选项,运营商可提供实现pAuC功能性的可执行代码。这可通过使用称作密封的TPM标准的其它技术部分进行。在这里,代码采用加密形式(例如从oHLR 104)发送给pAuC 102。代码能够仅通过(仅)TPM 109已知的密钥来解密。此外,在允许pAuC代码的解密和后续执行之前,TPM 109本地检验pAuC处于可信状态。在这个实施例中,运营商知道代码是可信的(因为运营商编写了代码),并且能够信任代码将仅在可允许/可信状态中运行。
将会理解,上述平台检验机制更一般地允许pAuC在“云(The Cloud)”中运行,其从可用性观点来看、特别是对于个人用户可具有优点。pAuC则可以是虚拟机(VM),其可在不同物理平台之间移植,同时平台信任能够如本文所述来远程检验。例如,所谓的管理程序或者虚拟机监视器(例如XEN或KVM)可用于通过将pAuC/pHLR与运行于同一物理主计算机上的其它(潜在地错误或恶意的)软件隔离,为虚拟机提供其自己的仅运行pAuC/pHLR的操作系统,由此进一步增加安全性。
执行可信平台109(以及可选的平台111)的平台检验过程的远程实体可以是oAuC或者运营商网络基础设施的另一个适当组件,例如运营商HLR或者负责安全性管理的某个节点、例如策略实施功能。相应地,oAuC和/或另一个运营商网络基础设施组件可适合支持这类平台检验过程。证明可在pAuC和/或pHLR最初与oAuC/oHLR连接和/或例如每个认证数据项请求一次、每个增加凭证/装置一次、每天一次等、根据用户与运营商之间的策略和/或协议间歇重复进行时发生。
当订户装置105经由基站106请求对运营商网络的访问以及运营商检测预订与其认证不是由oAuC来管理的订户装置相关时,运营商联络pAuC,并且请求与订户装置105的订户凭证关联的认证向量。关于预订与pAuC/pHLR关联的检测可由MSC、由oHLR或者由oAuC进行。在特殊IMSI格式用于与pAuC/pHLR关联的预订的情况下,检测可能由MSC进行。另一方面,如果IMSI与正常运营商的IMSI空间关联,则检测可需要在oHLR或者oAuC进行。在任一种情况下,检测预订与pAuC/pHLR相关的实体则可配置有关联pAuC/pHLR的地址(例如URL或IP地址)。
为了实现有效系统,这个请求可与平台检验请求(其可使用可信平台109的证明能力)相结合。组合认证向量请求可形成为
新认证向量请求={旧认证向量请求(old auth vect req),现时(nonce),proof_request} (1)
其中proof_request指示oAuC(或者一般来说,请求证明的实体)想要从pAuC接收的证据的类型。优选地,以上所述由oAuC来签名,因此pAuC能够检验请求的起源。引入现时以防止重放攻击。old_auth_vect_req可以是来自AuC的已知的对认证向量的常规请求。
pAuC则可通过下列组合认证响应来响应上述请求:
新认证向量响应={(一个或多个)认证向量,proof_answer,sign_pAuC} (2)
pAuC签名sign_pAuC可对于(一个或多个)认证向量、proof_answer和现时。这允许接收实体检验数据的正确起源以及数据不是重复。可以注意,proof_answer可包括可能证明请求的TPM签名(取决于实际proof_request)。但是将会理解,proof_request和proof_answer的实际细节取决于pAuC能够如何证明它是真实的并且运行正确软件的细节。签名能够使用任何公有密钥密码签名方法、例如基于RSA或者基于椭圆曲线进行。还将会理解,pAuC可将上述响应发送给oHLR,其可包括用于执行平台检验的功能性。在一些实施例中,响应可经由与pAuC关联的pHLR发送给oHLR。
图2示出用于使用组合认证向量请求和pHLR/pAuC检验来访问认证和平台检验的过程的一个实施例。该过程可由网络认证系统、例如图1所示的包括oAuC 101、oHLR 104和pAuC 102的系统来执行。在图2的示例中,平台检验由oHLR 104来执行,并且基于TCG TPM技术。相应地,pAuC 102在TPM 109上运行。备选地,平台检验可由另一个网络实体、例如oAuC来执行。
该过程可由oHLR来发起,但是它可实现为现有HLR的新的子功能,或者它甚至可能成为oAuC的部分。为了便于本描述,假定触发源自oHLR本身。
oHLR向与请求对网络的访问的订户装置关联的pAuC发送例如上述形式(1)的包括检验请求的认证数据的请求221。如上所述,该请求包括对pAuC构造证据的采取命令形式的检验请求,表示为proof_request。例如,请求可要求pAuC中的某些子系统的存在的证据。为了本描述的简洁起见,假定该请求针对正确引导pAuC并且它具有pAuC认证子系统私有密钥的知识的证据。将会理解,在一些实施例中,证明请求可对于认证数据的各请求来发出,以便提供高级安全性,而在其它实施例中,证明请求而是可间歇地和/或作为对与认证数据的请求关联的请求的补充来发出。
在接收请求221时,pAuC使用TPM 109来生成它被正确引导的证据。图2中,这通过由pAuC传递给TPM 109的证明请求222示出。这因此是已知过程并且在TCG规范中规定(参见例如TCG规范,架构概述,规范,修订版1.3,2007年3月)。证据由TPM作为证明结果223返回给pAuC。证明请求可包括随机询问,其可以是来自从oHLR所发送的消息221的现时,或者它能够是这个现时和认证向量数据的函数。
pAuC这时可构造作为元组的proof_answer:
Proof_answer = {
boot_proof:证明结果;
pAuC_auth_private_key_proof:RSA_signature;
};
其中,RSA_signature是先前所述现时的签名。
注意,图2所示的sign_pAuC可基于与认证子系统的私有密钥不同的另一个私有密钥,例如,它可以是与pHLR与oHLR之间的漫游协议相关的私有密钥。
pAuC随后向oHLR返回例如上述形式(2)的包括proof_answer的认证响应224。
oHLR随后可使用OCSP服务器225来检查是否已经撤销证书,如消息226和227所示。备选地,oHLR可依靠分配的分布式证书撤销列表。
如果pAuC的检验是成功的,则oHLR可按照这样已知的方式、例如如对于漫游用户通常进行的那样来处理auth_vect。
为了促进订户操作认证系统的提供,网络基础设施可修改成提供到正确pHLR/pAuC的订户认证数据的请求的路由选择。例如,如所述,这个过程可由基站(订户装置经由其来尝试访问网络)的运营商的MSC/VLR来执行。路由选择可伴随有使用例如Radius或Diameter的认证数据(所谓的认证向量)的后续传递的安全连接(例如IPsec或TLS/SSL)建立。
运营商可知道哪些IMSI编号与哪一个pAuC相关。在非漫游装置的情况下,可使用图3所示的简单解决方案。通过识别属于被注册的pAuC之一的IMSI,这种方法在路由选择解析中引入附加步骤331。通过使用例如散列表,这个查找能够在基本上恒定时间复杂度中有效地实现。在图3的示例中,该过程最初在步骤330确定IMSI的MCC(移动国家码)和MNC(移动网络码)部分是否指向另一个运营商。如果情况是这样,则该过程联络所识别的另一运营商。否则,在步骤331,该过程识别与IMSI关联的pAuC。
注意,当每一个用户可具有pAuC以及与那个pAuC关联的许多装置时,15位IMSI可能不充分。因此,作为一个选项,可使用下列方式。
当VPLMN(可见公共陆地移动网络)检测到MCC+MNC指向pAuC/pHLR时,MSIN部分用于识别pAuC/pHLR,并且VPLMN还发出第二身份请求(按照3GPP规范,IMSI请求可在网络没有充分信息来识别订户时的任何时间发出),以便识别这个pAuC/pHLR中的装置。这意味着,能够支持总共十亿pAuC/pHLR,各具有数十亿装置。
注意,能够在现有过程之前放置pAuC的检测。在装置还需要漫游到其它网络的情况下,相同路由选择信息可分配给其它运营商。
虽然已经详细描述和示出一些实施例,但是,本发明并不局限于此,而是还可以按照以下权利要求书所限定的主题范围之内的其它方式来体现。
本文所述的方法、产品部件和装置可通过包括若干不同元件的硬件以及通过适当编程的微处理器来实现。在列举若干部件的装置权利要求中,这些部件的若干部件能够通过完全相同的硬件项、例如适当编程的微处理器、一个或多个信号处理器等体现。某些量度在互不相同的从属权利要求中来引述或者在不同实施例中来描述的简单事实并不表示这些量度的组合不能用来获得优势。
应当强调,在本说明书中所使用的术语“包括/包含”用来表示存在所述特征、整数、步骤或组件,但是并不排除存在或添加一个或多个其它特征、整数、步骤、组件或者它们的编组。
应当注意,虽然在控制和准予对网络的访问的设置中描述了概念,但是将会理解,所公开方法和系统能够用于一般控制和准予对服务的访问。
Claims (19)
1.一种用于认证服务的订户的访问认证系统,所述访问认证系统包括运营商访问认证系统和一个或多个私有访问认证系统,各私有访问认证系统与所述运营商访问认证系统在通信上是可连接的,所述运营商访问认证系统适合提供用于基于与所述订户的凭证关联的相应订户认证数据项来促进所述服务的订户的认证的一个或多个认证功能;其中各私有访问认证系统适合将一个或多个订户认证数据项传递给所述运营商访问认证系统;以及其中各私有访问认证系统还适合传递指示所述私有访问认证系统工作在至少一个预定状态的一个或多个检验数据项。
2.如权利要求1所述的访问认证系统,其中,各私有访问认证系统安全地连接到所述运营商访问认证系统,从而允许由所述运营商访问认证系统对所述私有访问认证系统的检验。
3.如权利要求1或2所述的访问认证系统,其中,所述私有访问认证系统包括可信平台。
4.如权利要求3所述的访问认证系统,其中,所述可信平台可操作以执行安全引导操作。
5.如权利要求4所述的访问认证系统,其中,所述可信平台可操作以将程序代码的执行限制到数字签名程序代码。
6.如权利要求3所述的访问认证系统,其中,所述检验数据项包括可信平台的至少一个签名或者由所述可信平台所生成的至少一个证明结果。
7.如权利要求1或2所述的访问认证系统,其中,所述私有访问认证系统适合传递包括所述订户认证数据项和一个或多个检验数据项的认证消息。
8.如权利要求7所述的访问认证系统,其中,所述私有访问认证系统适合从所述运营商访问认证系统接收认证数据的请求,以及响应认证数据的所述请求而传递所述认证消息。
9.如权利要求8所述的访问认证系统,其中,认证数据的所述请求包括现时,以及其中所述私有访问认证系统适合在所述认证消息中包括至少对于至少所述所接收现时的数字签名。
10.如权利要求8所述的访问认证系统,其中,认证数据的所述请求包括指示由所述运营商访问认证系统所请求的指示所述私有访问认证系统工作在至少一种预定状态的证据的类型的数据项。
11.如权利要求7所述的访问认证系统,其中,所述认证消息包括数字签名。
12.如权利要求1或2所述的访问认证系统,其中,所述至少一种预定状态包括所述私有访问认证系统运行由所述运营商访问认证系统信任的预定软件组件。
13.一种由运营商访问认证系统来促进请求对服务的访问的订户装置的认证的方法;所述运营商访问认证系统适合提供用于基于相应订户认证数据项来促进所述服务的订户的认证的一个或多个认证功能,所述方法包括:
● 从通信上与所述运营商访问认证系统连接的私有访问认证系统来接收订户认证数据项,所述订户认证数据项指示一个或多个订户凭证;
● 响应所述所接收订户认证数据项并且响应所述私有访问认证系统工作在其中的状态的检验,提供用于促进关联到所述订户凭证的订户的认证的一个或多个认证功能。
14.如权利要求13所述的方法,包括
● 将认证数据的请求转发给所述私有认证系统;
● 接收响应所述请求的所述订户认证数据项。
15.如权利要求13或14所述的方法,还包括:
● 由所述运营商访问认证系统从所述私有访问认证系统接收至少一个检验数据项,所述检验数据项指示所述私有访问认证系统工作在其中的状态;
● 由所述运营商认证系统基于所述所接收检验数据项来确定所述状态是否为所述运营商访问认证系统可信任的;
以及其中提供一个或多个认证功能以响应所述确定。
16.一种用于访问认证系统的运营商访问认证系统,所述运营商访问认证系统适合提供用于基于相应订户认证数据项来促进服务的订户的认证的一个或多个认证功能,其中所述运营商访问认证系统配置成执行如权利要求13至15中的任一项所述的方法的步骤。
17.如权利要求16所述的运营商访问认证系统,还配置成
- 从订户装置接收服务请求;
- 基于所述所接收请求来识别一组私有访问认证系统其中的一个私有访问认证系统;以及
- 向所述所识别私有访问认证系统请求指示所述私有访问认证系统工作在其中的状态的所述至少一个检验数据项,以及指示与所述订户装置关联的一个或多个订户凭证的所述订户认证数据项。
18.一种由连接到运营商访问认证系统的私有访问认证系统来促进请求对服务的访问的订户装置的认证的方法;所述运营商访问认证系统适合提供用于基于相应订户认证数据项来促进所述服务的订户的认证的一个或多个认证功能,所述方法包括:
- 将订户认证数据项传递给所述运营商访问认证系统,所述订户认证数据项指示一个或多个订户凭证,并且促进所述运营商访问认证系统有选择地准予或拒绝对通信网络的订户装置访问;
- 传递指示所述私有访问认证系统工作在其中的状态的至少一个检验数据项,并且促进关于所述状态是否为所述运营商访问认证系统可信任的确定。
19.一种用于访问认证系统的私有访问认证系统,所述访问认证系统包括运营商访问认证系统和至少所述私有访问认证系统;其中所述私有访问认证系统适合执行如权利要求18所述的方法的步骤。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP11170110.8 | 2011-06-16 | ||
EP11170110.8A EP2536095B1 (en) | 2011-06-16 | 2011-06-16 | Service access authentication method and system |
US201161498798P | 2011-06-20 | 2011-06-20 | |
US61/498798 | 2011-06-20 | ||
PCT/EP2012/061176 WO2012171946A1 (en) | 2011-06-16 | 2012-06-13 | Service access authentication method and system |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103597799A CN103597799A (zh) | 2014-02-19 |
CN103597799B true CN103597799B (zh) | 2017-04-19 |
Family
ID=44801510
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201280029514.9A Active CN103597799B (zh) | 2011-06-16 | 2012-06-13 | 服务访问认证方法和系统 |
Country Status (7)
Country | Link |
---|---|
US (1) | US9432349B2 (zh) |
EP (1) | EP2536095B1 (zh) |
JP (1) | JP6033291B2 (zh) |
CN (1) | CN103597799B (zh) |
AR (1) | AR086967A1 (zh) |
PL (1) | PL2536095T3 (zh) |
WO (1) | WO2012171946A1 (zh) |
Families Citing this family (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6035713B2 (ja) * | 2011-08-12 | 2016-11-30 | ソニー株式会社 | 情報処理装置、通信システムおよび情報処理装置の制御方法 |
WO2013034187A1 (en) * | 2011-09-08 | 2013-03-14 | Telefonaktiebolaget L M Ericsson (Publ) | Secure communication |
TW201407412A (zh) | 2012-04-13 | 2014-02-16 | Ologn Technologies Ag | 基於電腦之安全交易之裝置、方法與系統 |
CA2870166C (en) | 2012-04-13 | 2020-07-21 | Ologn Technologies Ag | Secure zone for digital communications |
TW201403375A (zh) | 2012-04-20 | 2014-01-16 | 歐樂岡科技公司 | 用於安全購買之安全區 |
CA3234925A1 (en) | 2013-03-15 | 2014-09-18 | Ologn Technologies Ag | Systems, methods and apparatuses for securely storing and providing payment information |
WO2014141074A1 (en) * | 2013-03-15 | 2014-09-18 | Ologn Technologies Ag | Systems, methods and apparatuses for remote attestation |
EP2976902B1 (en) * | 2013-03-18 | 2019-03-13 | Telefonaktiebolaget LM Ericsson (publ) | A node for use by a network, a system for interconnecting multiple networks and methods of operating the node and system |
WO2015015473A1 (en) | 2013-08-02 | 2015-02-05 | Ologn Technologies Ag | A secure server on a system with virtual machines |
CA2938918C (en) * | 2014-04-17 | 2018-06-12 | Mitel Mobility Inc. | Gsm a3/a8 authentication in an ims network |
US10813155B2 (en) | 2015-02-06 | 2020-10-20 | Sony Corporation | Wireless communication apparatus and wireless communication method for connection to a wireless network |
US9955353B2 (en) * | 2015-08-14 | 2018-04-24 | Microsoft Technology Licensing, Llc | Delegated profile and policy management |
US9942042B1 (en) * | 2016-03-18 | 2018-04-10 | EMC IP Holding Company LLC | Key containers for securely asserting user authentication |
CN106209368B (zh) * | 2016-06-29 | 2019-04-05 | 邓月霞 | 一种基于标识密码系统的即时通信系统部署方法 |
US10057770B2 (en) * | 2016-07-28 | 2018-08-21 | Hewlett Packard Enterprise Development Lp | Deauthenticate a client device during an association validation phase based on a plurality of capabilities associated with the client device |
US10320571B2 (en) * | 2016-09-23 | 2019-06-11 | Microsoft Technology Licensing, Llc | Techniques for authenticating devices using a trusted platform module device |
US10482258B2 (en) * | 2017-09-29 | 2019-11-19 | Nxp Usa, Inc. | Method for securing runtime execution flow |
US11431698B2 (en) * | 2018-10-31 | 2022-08-30 | NBA Properties, Inc. | Partner integration network |
US11076296B1 (en) * | 2019-05-13 | 2021-07-27 | Sprint Communications Company L.P. | Subscriber identity module (SIM) application authentication |
US11533316B2 (en) * | 2019-06-27 | 2022-12-20 | Intel Corporation | Information-centric network namespace policy-based content delivery |
CN110740444A (zh) * | 2019-09-20 | 2020-01-31 | 上海酷潮信息科技有限公司 | 5g云sim认证方法 |
JP7458348B2 (ja) * | 2021-07-05 | 2024-03-29 | 株式会社東芝 | 通信システム、アクセスポイント装置、通信方法及びプログラム |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE19525363A1 (de) | 1995-07-12 | 1997-01-16 | Sel Alcatel Ag | Virtuelles privates Netz für Mobilfunkteilnehmer |
US5881235A (en) | 1996-03-07 | 1999-03-09 | Ericsson Inc. | Remotely programming a mobile terminal with a home location register address |
JP3922482B2 (ja) * | 1997-10-14 | 2007-05-30 | ソニー株式会社 | 情報処理装置および方法 |
US6269244B1 (en) | 1999-09-22 | 2001-07-31 | Ericsson Inc. | Enhanced cellular network architecture |
US7149516B2 (en) | 2001-11-29 | 2006-12-12 | Motorola, Inc. | User controlled home location register |
US7194762B2 (en) * | 2001-11-30 | 2007-03-20 | Lenovo (Singapore) Pte. Ltd. | Method of creating password list for remote authentication to services |
US6658259B2 (en) | 2002-03-07 | 2003-12-02 | Interwave Communications International, Ltd. | Wireless network having a virtual HLR and method of operating the same |
JP2007293811A (ja) * | 2006-03-31 | 2007-11-08 | Nippon Telegr & Teleph Corp <Ntt> | 代理認証システム、代理認証方法及びそれに用いる認証装置 |
EP2055077B1 (en) * | 2006-08-22 | 2017-04-05 | InterDigital Technology Corporation | Method and apparatus for providing trusted single sign-on access to applications and internet-based services |
JP5039400B2 (ja) * | 2007-01-22 | 2012-10-03 | 株式会社エヌ・ティ・ティ・ドコモ | 通信方法、通信システム及び所定装置 |
US8977852B2 (en) * | 2007-06-18 | 2015-03-10 | Telefonaktiebolaget L M Ericsson (Publ) | Security for software defined radio terminals |
US8516133B2 (en) * | 2008-02-07 | 2013-08-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and system for mobile device credentialing |
KR101001555B1 (ko) * | 2008-09-23 | 2010-12-17 | 한국전자통신연구원 | 네트워크 id 기반 연합 및 싱글사인온 인증 방법 |
KR20120099794A (ko) * | 2009-12-28 | 2012-09-11 | 인터디지탈 패튼 홀딩스, 인크 | 사물 지능 통신 게이트웨이 아키텍쳐 |
-
2011
- 2011-06-16 EP EP11170110.8A patent/EP2536095B1/en active Active
- 2011-06-16 PL PL11170110.8T patent/PL2536095T3/pl unknown
-
2012
- 2012-06-13 CN CN201280029514.9A patent/CN103597799B/zh active Active
- 2012-06-13 JP JP2014515170A patent/JP6033291B2/ja active Active
- 2012-06-13 WO PCT/EP2012/061176 patent/WO2012171946A1/en active Application Filing
- 2012-06-13 US US14/125,859 patent/US9432349B2/en active Active
- 2012-06-15 AR ARP120102152A patent/AR086967A1/es active IP Right Grant
Also Published As
Publication number | Publication date |
---|---|
WO2012171946A1 (en) | 2012-12-20 |
NZ618957A (en) | 2015-12-24 |
US9432349B2 (en) | 2016-08-30 |
PL2536095T3 (pl) | 2016-10-31 |
US20140196127A1 (en) | 2014-07-10 |
AR086967A1 (es) | 2014-02-05 |
EP2536095A1 (en) | 2012-12-19 |
JP6033291B2 (ja) | 2016-11-30 |
EP2536095B1 (en) | 2016-04-13 |
CN103597799A (zh) | 2014-02-19 |
JP2014524073A (ja) | 2014-09-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103597799B (zh) | 服务访问认证方法和系统 | |
KR101485230B1 (ko) | 안전한 멀티 uim 인증 및 키 교환 | |
CN106034104B (zh) | 用于网络应用访问的验证方法、装置和系统 | |
US11228907B2 (en) | Handset identifier verification | |
CA2879910C (en) | Terminal identity verification and service authentication method, system and terminal | |
EP2547050A1 (en) | Security authentication method, equipment and system | |
DK2924944T3 (en) | Presence authentication | |
EP2515567B1 (en) | Apparatus and method for authenticating a transaction between a user and an entity | |
CN104125567B (zh) | 家庭基站接入网络侧的鉴权方法、装置及家庭基站 | |
TWI632798B (zh) | 伺服器、行動終端機、網路實名認證系統及方法 | |
CN101841525A (zh) | 安全接入方法、系统及客户端 | |
FI128171B (en) | network authentication | |
CN110278084B (zh) | eID建立方法、相关设备及系统 | |
CN103974248A (zh) | 在能力开放系统中的终端安全性保护方法、装置及系统 | |
EP3675541A1 (en) | Authentication method and device | |
CN108028755B (zh) | 用于认证的方法及装置 | |
CN107360124A (zh) | 接入认证方法及装置、无线接入点和用户终端 | |
JP2021536687A (ja) | コアネットワークへの非3gppデバイスアクセス | |
CN107950003B (zh) | 用于双用户认证的方法及装置 | |
CN107786978B (zh) | 基于量子加密的nfc认证系统 | |
US20220030431A1 (en) | Credentials management | |
JP7231010B2 (ja) | 制御装置、無線通信システム、制御方法及びプログラム | |
CN102202291B (zh) | 无卡终端及其业务访问方法及系统、有卡终端及初始化服务器 | |
KR102558821B1 (ko) | 사용자 및 디바이스 통합 인증 시스템 및 그 방법 | |
CN101742507B (zh) | 一种WAPI终端访问Web应用站点的系统及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |