CN107852602B - 用于在公共无线网络中认证用户的方法和系统 - Google Patents

用于在公共无线网络中认证用户的方法和系统 Download PDF

Info

Publication number
CN107852602B
CN107852602B CN201580079296.3A CN201580079296A CN107852602B CN 107852602 B CN107852602 B CN 107852602B CN 201580079296 A CN201580079296 A CN 201580079296A CN 107852602 B CN107852602 B CN 107852602B
Authority
CN
China
Prior art keywords
user
mobile cellular
public wireless
wireless network
cellular network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201580079296.3A
Other languages
English (en)
Other versions
CN107852602A (zh
Inventor
F·里恰托
N·瓦卡罗
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Telecom Italia SpA
Original Assignee
Telecom Italia SpA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telecom Italia SpA filed Critical Telecom Italia SpA
Publication of CN107852602A publication Critical patent/CN107852602A/zh
Application granted granted Critical
Publication of CN107852602B publication Critical patent/CN107852602B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • H04W8/183Processing at user equipment or user record carrier
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • H04W8/20Transfer of user or subscriber data
    • H04W8/205Transfer to or from user equipment or user record carrier
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/71Hardware identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • H04W60/04Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration using triggered events

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

提供了一种用于在公共无线网络(120)中认证用户设备(100)的用户的方法,所述用户设备(100)设有移动蜂窝网卡模块(130)。所述方法包括:‑在用户利用用户设备(100)尝试(205)访问公共无线网络(120)以利用由公共无线网络(120)提供的服务之后的认证过程期间:‑从移动蜂窝网卡模块(130)检索(250)唯一地识别这种移动蜂窝网卡模块(130)的码;‑从数据库(160)检索(250)与唯一地识别这种移动蜂窝网卡模块(130)的检索出的所述码相关联的用户的无线凭证;‑向公共无线网络(120)提供检索出的用户的所述无线凭证(260);‑按照提供的无线凭证(250;260)的正确性来授予(270,280,290)用户对公共无线网络(120)的访问。

Description

用于在公共无线网络中认证用户的方法和系统
技术领域
本发明一般而言涉及公共无线网络。
背景技术
如今,公共无线网络已经变得非常普遍。在本文档中,公共无线网络意指具有不属于移动蜂窝网络类别的公共访问的任何无线网络。用于移动蜂窝网络的通信技术的示例是全球移动通信系统(GSM)、通用移动电信系统(UMTS)、长期演进(LTE)。用于公共无线网络的通信技术的示例是Wi-Fi和Wi-Max。
由于是专门为公共访问而设计,公共无线网络通常在授予用户设备(诸如移动电话、智能电话、平板电脑、便携式计算机等)的用户访问网络之前需要用户认证。因此,用于公共无线网络的用户认证过程已经成为非常重要的问题。
在公共无线网络中,另一个重要的问题涉及请求认证的用户的识别,以及根据管理公共无线网络的可能规定来跟踪其在公共无线网络上的数据活动(一旦认证已成功执行)的可能性。而且,用户识别以及他/她的数据活动的跟踪可以有利地被公共无线网络的运营商用来应用特定的数据服务简档,和/或做出有针对性的供应。
目前,通常采用授予访问公共无线网络的两种主要认证过程:基于IEEE 802.1X标准的认证过程以及基于通用访问方法(UAM)的认证过程。
在2006年Interlinks Networks LLC白皮书“Introduction to 802.1X forWireless LANs”中简要公开的IEEE 802.1X标准提供了一种用于支持增强的访问安全性的基于端口的访问控制和认证的协议。这个认证过程支持不同类型的凭证,诸如由EAP-SIM(可扩展认证协议SIM)使用的SIM(Subscriber Identity Module,订户身份模块)凭证。根据IEEE 802.1X的认证过程需要安装在用户设备上的客户端软件,并提供以下操作:
1)安装在设有与移动网络的运营商对应的SIM的用户设备上的
客户端软件与公共无线网络进行交互,以对这种用户设备的用户
进行认证。
2)公共无线网络询问与SIM对应的移动网络。
3)移动网络检查SIM卡的凭证,并根据所述检查执行认证。
4)移动网络基于认证结果向公共无线网络提供响应。
5)按照(conditioned to)由移动网络提供的响应,公共无线网
络向用户设备授予访问。
在2003年2月的Wi-Fi联盟“Best Current Practices for Wireless InternetService Provider(WISP)Roaming”2.1节中简要公开的UAM认证过程不需要安装在用户设备上的客户端软件,因为它可以使用web浏览器来完成。UAM认证过程提供以下操作:
1)用户设备尝试使用web浏览器来连接到公共无线网络,以利用由公共无线网络提供的服务(例如,用于在网页上冲浪)。
2)web浏览器加载由公共无线网络的运营商提供的门户网站的特定欢迎页面,而不是加载用户设备的用户的主页,这允许用户通过用无线网络凭证(以下简称为“无线凭证”)手动填充欢迎页面的对应字段来登录,用于访问公共无线网络,以便利用由公共无线网络提供的服务。例如,这种无线凭证可以是用户名和密码的形式。
3)按照由用户提供的无线凭证的正确性,授予认证,以访问用户的主页并在网上冲浪。
用户首次尝试登录时,他/她须在这种门户网站上申请注册。根据UAM认证过程,注册要求用户通过门户网站提供他/她的移动订户ISDN号码(MSISDN)。以这种方式,公共无线网络能够通过文本消息(诸如通过SMS之类)向用户的用户设备提供无线凭证。即使存在其它将用户注册到门户网站的方式(例如,电子邮件地址),MSISDN也是以简单和可扩展的方式检索用户身份的可信赖的数据。
US 2012149334公开了一种用于在第二通信网络(诸如Wi-Fi或WiMAX之类)中完成用户设备的认证过程的方法和系统,其利用第一通信网络(诸如GSM、CDMA、EDGE或LTE之类)的用户凭证(诸如SIM卡、USIM卡或RUIM卡之类)。客户端(诸如软件模块之类)在无线设备上执行。认证平台检索第一通信网络中的SIM卡凭证信息,并将该信息传递到第二通信网络的认证平台,由此在认证平台验证第一通信网络验证之后授予客户端对第二通信的访问。
US 2005114680公开了一种用于在WLAN因特网服务提供商(WISP)网络中执行基于SIM的认证和授权的方法和装置,其支持认证和授权的通用访问方法(UAM),使得移动服务提供商的客户能够漫游到所述网络上。此外,US 2005114680提供了一种通过采用提供用户身份隐私并防止重放攻击的用于认证的临时凭证来向移动服务提供商的网络认证客户的客户端设备的安全方式。最后,如果WISP网络支持“直通”功能,那么认证可以更安全并快速地完成。
发明内容
申请人已经认识到的是,上面提到的现有技术文档都不能提供用于对公共无线网络的用户认证的简单、安全和有效的过程。而且,上面提到的现有技术文档都不能在利用公共无线网络时有效地识别请求认证的用户,和/或有效地跟踪这种用户的数据活动。
例如,基于IEEE 802.1X标准的过程要求公共无线网络与移动网络之间的强烈交互,并由于实际认证而为移动网络带来负担。
而且,通过使用UAM认证过程,用户的识别并不总是可信的,因为用户不是唯一地且永久地绑定到通过文本消息接收的无线凭证。例如,一旦通过文本消息在其用户设备上接收到无线凭证,用户就可以将它们提供给另一个用户。
在US 2012149334和US 2005114680中公开的解决方案就实现时间和服务维护/发起(launch)成本而言都不是有效的。
鉴于上述情况,申请人已经解决了向公共无线网络提供简单、安全和有效的用户认证过程的问题,当利用公共无线网络时,所述用户认证过程能够有效地识别请求认证的用户和/或有效地跟踪这种用户的数据活动。
本发明的一方面提供了一种用于在公共无线网络中认证用户设备的用户的方法,所述用户设备设有移动蜂窝网卡模块,所述方法包括:在用户利用用户设备尝试访问公共无线网络以利用由公共无线网络提供的服务之后的认证过程期间:
-从移动蜂窝网卡模块检索唯一地识别这种移动蜂窝网卡模块的码;
-从数据库检索与唯一地识别这种移动蜂窝网卡模块的检索出的所述码相关联的用户的无线凭证;
-向公共无线网络提供检索出的用户的所述无线凭证;
-按照提供的无线凭证的正确性来授予用户对公共无线网络的访问。
根据本发明的实施例,所述方法还包括在公共无线网络上的注册过程期间执行以下项,所述注册过程要求向公共无线网络本身提交用户身份数据:
-在与移动蜂窝网卡模块对应的移动蜂窝网络处,通过与用户设备接口连接来自动检索所述用户身份数据;
-在移动蜂窝网络处,向公共无线网络自动提供通过与用户设备接口连接而检索到的所述用户身份数据;
-在公共无线网络处,基于提供给公共无线网络的用户身份数据来生成无线凭证。
根据本发明的实施例,所述方法还包括,在注册过程期间向用户设备发送在公共无线网络处生成的无线凭证。
根据本发明的实施例,所述方法还包括,在注册过程期间在数据库中保存接收到的无线凭证和唯一地识别这种移动蜂窝网卡模块的相关联的码。
根据本发明的实施例,所述数据库是位于用户设备处的本地数据库。
根据本发明的实施例,所述数据库是相对于用户设备为远程的远程数据库。
根据本发明的实施例,所述方法还包括:
-如果数据库未存储与唯一地识别这种移动蜂窝网卡模块的所述码相关联的无线凭证,那么执行所述注册过程。
根据本发明的实施例,所述移动蜂窝网卡模块包括以下项中的至少一个:
-订户身份模块卡;
-通用订户身份模块卡;
-可移除用户身份模块卡,
-CDMA订户身份模块,或
-通用集成电路卡。
根据本发明的实施例,唯一地识别这种移动蜂窝网卡模块的所述码包括以下项中的至少一个:
-集成电路卡标识符;
-用户身份模块标识符,或
-伪用户身份模块标识符。
根据本发明的实施例,唯一地识别这种移动蜂窝网卡模块的所述码包括国际移动订户身份。
本发明的另一方面提供了一种包括公共无线网络和设有移动蜂窝网卡模块的用户设备的系统。
所述用户设备包括:
-被配置为从移动蜂窝网卡模块检索唯一地识别这种移动蜂窝网卡模块的码的单元;
-数据库,被配置为存储与唯一地识别这种移动蜂窝网卡模块的所述码相关联的用户的无线凭证;
-被配置为从数据库检索与唯一地识别这种移动蜂窝网卡模块的所述码相关联的用户的所述无线凭证的单元;
-被配置为向公共无线网络提供检索出的用户的所述无线凭证的单元;
公共无线网络包括:
-被配置为按照提供的无线凭证的正确性来授予用户设备的用户对公共无线网络的访问的单元。
本发明的又一方面提供一种用于在公共无线网络中认证用户设备的用户的软件客户端,所述用户设备设有移动蜂窝网卡模块。
附图说明
通过以下对本发明的一些示例性和非限制性实施例的描述,本发明的这些和其它特征及优点将变得清楚;为了更好的可理解性,以下描述应当参考附图来阅读,其中:
图1图示了一种可能的场景,其中可以应用根据本发明的实施例的公共无线网络认证;
图2就功能块而言示出了根据本发明的实施例的用户认证和识别过程的主要阶段;
图3图示了图1中所示的公共无线网络的登录门户网站页面的可能示例;
图4图示了用于在图1中所示的公共无线网络上进行注册的页面的可能示例。
具体实施方式
参考附图,图1图示了一种可能的场景,其中可以应用根据本发明的实施例的公共无线网络认证。
在所考虑的场景中,用户设备100(诸如例如移动电话、智能电话、平板电脑、...)被配置为通过多个(在图中仅示出一个)移动蜂窝网络接入节点115(例如,eNodeB)与移动蜂窝网络110(例如,符合3GPP标准的LTE网络)建立无线链路,用于交换数据流量(例如,用于在因特网页面上冲浪)和语音流量。
用户设备100还被配置为按照将在以下详细描述的认证过程的结果来通过对应的访问点125(例如,Wi-Fi热点)与公共无线网络120(例如,Wi-Fi网络)建立无线链路,用于交换数据流量(例如,用于在因特网页面上冲浪)。
如本领域技术人员众所周知的,为了与移动蜂窝网络110交互,用户设备100配备有移动蜂窝网卡模块,诸如例如SIM卡130,即,设有安全地存储适于识别SIM卡130本身的各种码以及适于在移动蜂窝网络110上唯一地识别SIM卡130和用户的码的集成电路的卡。
以下将总结在本描述中下面将被利用的一些移动识别码:
-ICCID(集成电路卡标识符):ICCID是唯一地识别每个SIM卡130的码。ICCID通常被雕刻或印刷在SIM卡130主体上,并被数字地存储在SIM卡130的集成存储器电路的只读区域内,用于通过特定的软件应用软件接口(API)进行读取。ICCID从不被发送到无线电接口上。就物理介质而言,它与IMSI/TMSI(见下文)相关联。
-IMSI/TMSI(国际移动订户身份/临时移动订户身份):IMSI/TMSI是在移动蜂窝网络上唯一地识别用户及他/她的SIM卡130的码,并且其适于在一些过程(诸如经移动蜂窝网络110的认证和寻呼之类)中采用。IMSI被数字地存储在SIM卡130的集成存储器电路的只读区域内(而TMSI是基于IMSI生成的临时码)。IMSI/TMSI可以在无线电接口上发送。
-MSISDN(移动订户ISDN号码):MSISDN表示可以通过其联系用户设备的用户以交换语音流量的移动号码。MSISDN还用来路由呼叫或文本消息。与前两个码不同,MSISDN无法通过软件模块读取。通常,MSISDN仅存储在移动蜂窝网络110中,而不存储在SIM卡130中。MSISDN与IMSI/TMSI相关联。
如将在下面的描述中更详细地描述的,根据本发明的示例实施例的认证过程基于UAM认证过程,即,通过门户网站,并且涉及在注册到这种门户网站之后由移动网络通过文本消息递送无线凭证(用于访问公共无线网络)。通过文本消息递送这种无线凭证使得已知的涉及使用IMSI/TMSI的寻呼过程能够到达用户用于向门户网站进行注册的SIM卡,所述注册是通过向门户网站提供他/她的MSISDN而进行的。以这种方式,无线凭证和IMSI/TMSI绑定在一起,因为通过文本消息递送无线凭证的动作将无线凭证链接到具有用于接收所述文本消息的特定MSISDN的特定用户。因此,由于IMSI/TMSI识别用户无线凭证,因此将导致与用户绑定。而且,由于IMSI/TMSI与ICCID相关联,因此ICCID也可以被用来识别用户。根据UAM认证,用户和他/她的无线凭证之间的绑定不是永久的,即,用户可以在接收到文本消息之后向另一个不同的用户提供他/她的无线凭证。
根据本发明的实施例,以提供用户和他/她的无线凭证之间的永久绑定这种方式,认证过程提供将无线凭证绑定到ICCID、永久地存储这个状态,并防止用户手动填充门户网站上的登录页面。
根据本发明的实施例的认证过程由软件客户端进行,所述软件客户机适于在尝试访问公共无线网络120以利用由这种公共无线网络提供的服务的用户的用户设备100上运行。如本描述将在下面详细描述的,软件客户端被配置为:
-使其行为适应用户正在访问的门户网络(诸如通过检查用户是否已经向公共无线网络120注册之类)。
-管理用户设备100的SIM卡的ICCID以及无线凭证。
-当用户登录到门户网站时使用安全过程,从而允许公共无线网络120评估他/她是否专门使用软件客户端,而不是他/她可以通过其来手动填充登录页面的任何浏览器或不同的客户端(例如,利用基于公钥/私钥的签名过程)。
而且,根据本发明的实施例的认证过程利用被配置为永久地存储关于无线凭证、门户网站和ICCID的信息的数据库(在图1中用标号160识别)。这种数据库可以是位于用户终端110处的本地数据库,或者可以是远程数据库(例如,在云计算平台上运行的云数据库)。
图2就功能块而言示出了根据本发明的实施例的用户认证和识别过程的主要阶段。
当用户设备100的用户尝试访问公共无线网络120以利用由公共无线网络120提供的服务(例如,用于在网页上冲浪)时,安装在用户设备100上的客户端自动激活自身,并且显示登录门户网站页面(例如,强制门户(captive portal)),如在UAM认证过程中那样(块205)。
利用标号300在图3中图示这种登录门户网站页面的可能示例。
登录门户网站页面300包括要用用于认证和对公共无线网络120进行访问的无线凭证填充的输入字段。在所讨论的示例中,所述无线凭证包括用户名和密码,并且这种输入字段包括用于用户名的第一字段310和用于密码的第二输入字段320。登录门户网站页面300还包括访问命令330,例如访问按钮,用于通过向公共无线网络120提交第一和第二输入字段310、320的内容来提交访问公共无线网络120的请求。登录门户网站页面300还包括注册命令340,例如注册按钮,用于向公共无线网络120提交注册用户的请求。
如果用户尚未注册(块208的退出分支N),那么客户端显示注册页面,如在UAM认证过程中那样(块210)。
利用标号400在图4中图示了这种注册页面的可能示例。
注册页面400包括要用用户身份数据填充的输入字段。例如,所述用户身份数据可以包括用户的名字、姓氏和年龄。在所讨论的示例中,注册页面400包括用于用户的名字的第一输入字段410和用于用户的姓氏的第二输入字段420。而且,所述用户身份数据还包括用户的MSISDN(例如,用户设备100的移动电话号码),注册页面400还包括用于MSISDN的对应的第三输入字段430。注册页面400还包括确认命令440,例如确认按钮,用于确认利用在对应输入字段410-430中提供的用户身份数据进行注册的意图。
根据本发明的实施例,客户端自动地将自己与移动蜂窝网络110接口连接,以便从移动蜂窝网络110的运营商获得注册所需的用户身份数据(块212)。这个操作是通过在移动蜂窝网络110上执行用户设备100的SIM卡130的已知认证过程来执行的。这些过程与通常用于向移动蜂窝网络110进行注册的过程相同,但是具有不同的目的,即,检索用户身份数据。
然后,客户端用由移动蜂窝网络110接收的用户身份数据自动填充注册页面400的输入字段410-430(块215)。
当用户确认注册(例如通过按下确认按钮)时,公共无线网络120基于由移动蜂窝网络110接收的用户身份数据来生成用于用户认证的对应无线凭证(例如,用户名和密码)(块220)。
然后,公共无线网络120通过由移动蜂窝网络110发送的文本消息(例如,SMS)向用户设备100发送无线凭证(块225)。通过利用由公共无线网络120提供的MSISDN,所述文本消息由移动蜂窝网络110路由到用户设备100。公共无线网络120已经知道正确的MSISDN,因为所述识别码是在块212处由公共无线网络120获得的用户身份数据的一部分。如它是本领域技术人员已知的那样,为了将文本消息发送到用户设备100,移动蜂窝网络110执行寻呼操作,以到达识别用户和他/她的对应SIM卡130的IMSI/TMSI。
根据本发明的实施例,一旦由用户设备100接收到包括无线凭证的文本消息,客户端就解析它、提取无线凭证、将它们保存在数据库160中,并将它们与以下项相关联:
-用于注册的特定门户网站(例如,与这种门户网站的名字相关联),以及
-ICCID,其识别用于通过相关MSISDN在这种门户网站上进行注册的SIM卡130(块230)。
SIM卡130的ICCID可以由客户端通过安装在用户设备100中的API来读取。
以这种方式,用于认证和对公共无线网络120进行访问的无线凭证与用于在这种门户网站上注册的SIM卡130的ICCID绑定。
根据本发明的实施例,数据库160可以被构造为表,所述表针对用户被注册到的每个公共无线网络120列出以下信息:
-门户网站的名字(例如,门户的URL);
-无线凭证(例如,用户名和密码);
-ICCID,通过这种门户网站识别用于在公共无线网络120上注册的SIM卡130。
以下提供这种表的可能示例:
门户名字 用户名 密码 ICCID
www.ababa.com John345 Aj45F3 83152981048274958274
www.cdcd.com Mike1280 Xx012 94801112894504710043
... ... ... ...
根据本发明的实施例,客户端支持具有多个SIM卡130(即,具有多个不同的ICCID)和针对多个门户网络的多个注册。这意味着,如果用户通过具有许多不同SIM卡130的门户网站注册到公共无线网络120,那么客户端被配置为根据当用户尝试访问公共无线网络120以利用其服务时哪个SIM卡130位于他/她的用户设备100中,来从数据库160检索正确的无线凭证。当用户通过许多不同的门户网站注册到许多不同的公共无线网络120时,适用类似的考虑。
在这个时候,客户端再次加载登录门户网站页面300(块240)。
根据本发明的实施例,在客户端再次加载登录门户网站页面300之后,或者在用户已经注册到公共无线网络120的情况下(块208的退出分支Y),客户端识别实际位于用户设备130内的SIM卡130的ICCID(例如通过软件API读取ICCID)、识别与所显示的登录门户网站页面300对应的门户网站的名字、从数据库160检索与这种识别出的ICCID和门户网站名字的对相对应的无线凭证(例如,用户名和密码),以及用检索出的无线凭证自动填充登录门户网站页面300的输入字段310和320(块250)。
然后,一旦用户提交了访问公共无线网络120的请求(例如,通过按下访问按钮330),包括在输入字段310、320中的无线凭证就被发送到公共无线网络120(块260)。
以这种方式,根据本发明,因为由于数据库160存储与用于注册的SIM卡130的ICCID绑定的无线凭证,因而无线凭证与用户永久绑定,所以用户被单一地认证和识别,并且客户端被配置为自动执行注册,从而避免了用户向其他用户提供无线凭证。
一旦接收到无线凭证,公共无线网络120就验证其正确性。如果无线凭证被评估为正确(块270的退出分支Y),那么向用户授予对公共无线网络120的访问以利用所提供的服务(块280)。相反,如果无线凭证被评估为不正确(块270的退出分支N),那么拒绝为了利用所提供的服务而对公共无线网络120的访问(块290)。
根据本发明的实施例,客户端还被配置成使用安全系统/方法来保证在向公共无线网络120发送从数据库160检索出的无线凭证时客户端的真实性,诸如例如通过利用基于公钥/私钥的签名过程之类。如果公共无线网络120验证了客户端请求的签名,那么公共无线网络120能够评估用户是正尝试通过使用根据本发明的实施例的所述客户端,还是通过使用允许手动填充登录门户网站页面300的输入字段的不同客户端来访问公共无线网络120,从而大大增加了用户认证和识别的可信赖性。
当然,为了满足本地和具体要求,本领域技术人员可以将上述解决方案应用于许多逻辑和/或物理修改和变型。更具体而言,虽然已经参考本发明的优选实施例以一定程度的特殊性描述了本发明,但是应当理解的是,形式和细节的各种省略、替换和改变以及其它实施例是可能的。特别地,本发明的不同实施例甚至可以在没有前面描述中的为了提供对其更全面的理解而阐述的具体细节的情况下实践;相反,众所周知的特征可能已经被省略或简化,以便不用不必要的细节妨碍描述。而且,明确地意图是结合本发明的任何公开的实施例所描述的具体元件和/或方法步骤可以作为一般设计选择体结合到任何其它实施例中。
例如,即使在本描述中已经具体地参考适于通过SIM卡与移动蜂窝网络进行交互的用户设备,但是本发明的概念也可以应用于其它移动蜂窝网卡模块(诸如例如通用订户身份模块(USIM)之类)。
而且,即使已经明确地参考符合3GPP标准的移动蜂窝网络,但是类似的考虑也适用于诸如3GPP2标准之类的任何其它移动标准。在这后一种情况下,SIM卡将由RUIM/CSIM卡(可移除用户身份模块/CDMA订户身份模块)代替,并且ICCID将由UIMID/pUIMID(用户身份模块标识符/伪用户身份模块标识符)或由其任何扩展版本代替。
在本描述中描述的场景中,仅考虑了单个移动蜂窝网络的存在。但是,如果用户设备设有能够管理不同类型的移动蜂窝网络的移动蜂窝网卡模块(诸如例如能够管理符合3GPP标准的移动蜂窝网络和符合3GPP2标准的移动蜂窝网络的UICC(通用集成电路卡)之类),那么本发明的概念还可以应用于其中两个或更多个不同移动蜂窝网络共存的场景。在这种情况下,本地数据库可以被布置为存储要与ICCID和UIMID/EUIMID两者都绑定的无线凭证。
而且,本发明的概念也可以应用于设有嵌入式移动蜂窝网卡模块的用户设备。在这种情况下,ICCID/UIMID/pUIMID/EUIMID可以由用户设备的硬件识别码(例如,Ip多媒体私有身份(IMEI))代替。
所提出的解决方案还支持ISIM(Ip多媒体服务身份模块子系统),它是在UICC卡上运行以访问IMS(Ip多媒体子系统)网络的应用。在这种情况下,IMSI由IMPI(Ip多媒体私有身份)代替并且MSISDN由IMPU(Ip多媒体公共身份)代替。
在IMSI适于通过API读取的情况下,还可以通过利用IMSI代替ICCID来执行根据本发明实施例的先前描述的用户认证和识别过程。

Claims (11)

1.一种用于在公共无线网络(120)中认证用户设备(100)的用户的方法,所述用户设备(100)设有用于与移动蜂窝网络(110)交互的移动蜂窝网卡模块(130),所述方法包括:
-在用户利用用户设备(100)尝试(205)访问公共无线网络(120)以利用由公共无线网络(120)提供的服务之后的认证过程期间:
-从移动蜂窝网卡模块(130)检索(250)唯一地识别这种移动蜂窝网卡模块(130)本身的码;
-基于检索出的唯一地识别这种移动蜂窝网卡模块(130)本身的所述码,从数据库(160)检索(250)用于用户访问公共无线网络(120)的无线凭证,其中,用于用户访问公共无线网络(120)的无线凭证和唯一地识别这种移动蜂窝网卡模块(130)本身的码彼此相关联地存储在数据库(160)中,并且其中,所述无线凭证由公共无线网络(120)基于在移动蜂窝网络(110)处向公共无线网络(120)提供的用户设备(100)的用户身份数据而生成,并且所述无线凭证由公共无线网络(120)经由移动蜂窝网络(110)提供给用户设备(100)以供用户设备(100)将无线凭证预先保存在数据库(160)中;
-向公共无线网络(120)提供检索出的所述无线凭证(260);
-按照提供的无线凭证(250;260)的正确性来授予(270,280,290)用户对公共无线网络(120)的访问。
2.如权利要求1所述的方法,还包括在公共无线网络(120)上的注册过程期间执行以下项,所述注册过程要求向公共无线网络(120)本身提交用户身份数据:
-在与移动蜂窝网卡模块(130)对应的移动蜂窝网络(110)处,通过与用户设备(100)接口连接来自动检索(212)所述用户身份数据;
-在移动蜂窝网络(110)处,向公共无线网络(120)自动提供(215)通过与用户设备接口连接而检索到的所述用户身份数据;
-在公共无线网络(120)处,基于提供给公共无线网络(120)的用户身份数据来生成(220)无线凭证。
3.如权利要求2所述的方法,还包括,在注册过程期间:
-向用户设备(110)发送(225)在公共无线网络(120)处生成的无线凭证。
4.如权利要求3所述的方法,还包括,在注册过程期间:
-在数据库(160)中保存接收到的无线凭证和唯一地识别这种移动蜂窝网卡模块(130)的相关联的码。
5.如权利要求4所述的方法,其中所述数据库(160)是位于用户设备(100)处的本地数据库。
6.如权利要求4所述的方法,其中所述数据库(160)是相对于用户设备(100)为远程的远程数据库。
7.如权利要求4、5或6所述的方法,还包括:
-如果数据库(160)未存储与唯一地识别这种移动蜂窝网卡模块(130)的所述码相关联的无线凭证,那么执行所述注册过程。
8.如权利要求1至6中任一项所述的方法,其中所述移动蜂窝网卡模块(130)包括以下项中的至少一个:
-订户身份模块卡;
-通用订户身份模块卡;
-可移除用户身份模块卡,
-CDMA订户身份模块,或
-通用集成电路卡。
9.如权利要求1至6中任一项所述的方法,其中唯一地识别这种移动蜂窝网卡模块(130)的所述码包括以下项中的至少一个:
-集成电路卡标识符;
-用户身份模块标识符,或
-伪用户身份模块标识符。
10.如权利要求1至6中任一项所述的方法,其中唯一地识别这种移动蜂窝网卡模块(130)的所述码包括国际移动订户身份。
11.一种包括公共无线网络(120)和设有用于与移动蜂窝网络(110)交互的移动蜂窝网卡模块(130)的用户设备(100)的系统,其中:
-用户设备(100)包括:
-被配置为从移动蜂窝网卡模块(130)检索唯一地识别这种移动蜂窝网卡模块(130)本身的码的单元;
-数据库(160),被配置为将用于用户访问公共无线网络(120)的无线凭证和唯一地识别这种移动蜂窝网卡模块(130)本身的所述码彼此相关联地存储;
-被配置为基于检索出的唯一地识别这种移动蜂窝网卡模块(130)本身的所述码、从数据库(160)检索用于用户访问公共无线网络(120)的所述无线凭证的单元,其中,所述无线凭证由公共无线网络(120)基于在移动蜂窝网络(110)处向公共无线网络(120)提供的用户设备(100)的用户身份数据而生成,并且所述无线凭证由公共无线网络(120)经由移动蜂窝网络(110)提供给用户设备(100)以供用户设备(100)将无线凭证预先保存在数据库(160)中;
-被配置为向公共无线网络(120)提供检索出的所述无线凭证(260)的单元;
-公共无线网络(120)包括:
-被配置为按照提供的无线凭证的正确性来授予用户设备(100)的用户对公共无线网络(120)的访问的单元。
CN201580079296.3A 2015-04-28 2015-04-28 用于在公共无线网络中认证用户的方法和系统 Active CN107852602B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2015/059138 WO2016173621A1 (en) 2015-04-28 2015-04-28 Method and system for authenticating users in public wireless networks

Publications (2)

Publication Number Publication Date
CN107852602A CN107852602A (zh) 2018-03-27
CN107852602B true CN107852602B (zh) 2022-03-08

Family

ID=53188997

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201580079296.3A Active CN107852602B (zh) 2015-04-28 2015-04-28 用于在公共无线网络中认证用户的方法和系统

Country Status (4)

Country Link
US (1) US10390215B2 (zh)
EP (1) EP3289788B1 (zh)
CN (1) CN107852602B (zh)
WO (1) WO2016173621A1 (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018084686A1 (ko) * 2016-11-07 2018-05-11 엘지전자 주식회사 세션을 관리하는 방법
CN106792690B (zh) * 2016-12-19 2020-09-15 中国联合网络通信集团有限公司 基于net验证平台的公共wifi登录方法及装置
US12028933B1 (en) * 2021-08-25 2024-07-02 T-Mobile Usa, Inc. Automated subscriber identification module (SIM) activation

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008030525A2 (en) * 2006-09-06 2008-03-13 Devicescape Software, Inc. Systems and methods for providing network credentials
CN102378175A (zh) * 2011-10-08 2012-03-14 华为终端有限公司 一种无线局域网络认证方法及移动终端
CN102550062A (zh) * 2009-09-08 2012-07-04 德国电信股份公司 借助蜂窝移动无线网络认证用户的方法和系统

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB0206849D0 (en) * 2002-03-22 2002-05-01 Nokia Corp Communication system and method
US20050114680A1 (en) 2003-04-29 2005-05-26 Azaire Networks Inc. (A Delaware Corporation) Method and system for providing SIM-based roaming over existing WLAN public access infrastructure
US8191124B2 (en) * 2006-09-06 2012-05-29 Devicescape Software, Inc. Systems and methods for acquiring network credentials
US20100297983A1 (en) * 2009-05-19 2010-11-25 Nokia Corporation Method and apparatus for electronic credential security
GB2485388A (en) * 2010-11-12 2012-05-16 Trinity College Dublin Authorising a user device comprising a subscriber identity module to access wireless networks other than a cellular network
WO2012068462A2 (en) 2010-11-19 2012-05-24 Aicent, Inc. Method of and system for extending the wispr authentication procedure
US8320883B2 (en) * 2010-12-14 2012-11-27 Battlefield Telecommunications Systems, Llc Method to dynamically authenticate and control mobile devices
EP2965250A1 (en) * 2013-03-06 2016-01-13 Assa Abloy AB Instant mobile device based data capture and credentials issuance system
US9432363B2 (en) * 2014-02-07 2016-08-30 Apple Inc. System and method for using credentials of a first client station to authenticate a second client station

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008030525A2 (en) * 2006-09-06 2008-03-13 Devicescape Software, Inc. Systems and methods for providing network credentials
CN102550062A (zh) * 2009-09-08 2012-07-04 德国电信股份公司 借助蜂窝移动无线网络认证用户的方法和系统
CN102378175A (zh) * 2011-10-08 2012-03-14 华为终端有限公司 一种无线局域网络认证方法及移动终端

Also Published As

Publication number Publication date
US10390215B2 (en) 2019-08-20
CN107852602A (zh) 2018-03-27
WO2016173621A1 (en) 2016-11-03
US20180124593A1 (en) 2018-05-03
EP3289788B1 (en) 2023-09-13
EP3289788A1 (en) 2018-03-07

Similar Documents

Publication Publication Date Title
US9716999B2 (en) Method of and system for utilizing a first network authentication result for a second network
CN105052184B (zh) 控制用户设备对服务接入的方法、设备及控制器
US8533798B2 (en) Method and system for controlling access to networks
US8554180B2 (en) System to dynamically authenticate mobile devices
KR20180022842A (ko) 다수의 ims 신원을 인증하기 위한 방법 및 시스템
EP2103078B1 (en) Authentication bootstrapping in communication networks
CN108476223B (zh) 用于非sim设备的基于sim的认证的方法和装置
US20080268815A1 (en) Authentication Process for Access to Secure Networks or Services
US20180124608A1 (en) Method, Apparatus, and System for Authenticating WIFI Network
US9788202B2 (en) Method of accessing a WLAN access point
CN101919278A (zh) 使用数字证书的无线设备认证
US20110122813A1 (en) Method and system for preventing use of stolen terminal through forced location re-registration
US10291613B1 (en) Mobile device authentication
US8379572B1 (en) Method and system for use of shared data to gain wireless packet data connectivity
CN107852602B (zh) 用于在公共无线网络中认证用户的方法和系统
US11533400B2 (en) Method, device, and system for securing an access to at least one service
US20160183083A1 (en) User equipment and method for dynamic internet protocol multimedia subsystem (ims) registration
GB2547231A (en) Apparatus, method and computer program product for use in authenticating a user
EP2961208A1 (en) Method for accessing a service and corresponding application server, device and system
CN106912047B (zh) 终端认证方法、装置及系统
FI116182B (fi) Tilaajan autentikointi
KR101000101B1 (ko) 이동 단말의 이동성 제공 방법
CN116939757A (zh) 一种通信方法及装置、终端、计算机可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant