專利名稱:用于生成認(rèn)證信息的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信系統(tǒng)中的認(rèn)證協(xié)議,具體地涉及認(rèn)證信息的生成���。
背景技術(shù):
通信系統(tǒng)的認(rèn)證協(xié)議通常依據(jù)存儲(chǔ)在諸如SIM(用戶身份模塊)卡的安全模塊中�����、移動(dòng)臺(tái)中�����、以及諸如AuC(認(rèn)證中心)節(jié)點(diǎn)的專用網(wǎng)絡(luò)節(jié)點(diǎn)中的密鑰信息�。密鑰信息可以是共享秘密,或者例如是私有/公有密鑰對(duì)�����。在使用了共享秘密的系統(tǒng)中�����,認(rèn)證信息基于共享秘密而生成��,并通常用于詢問(wèn)響應(yīng)(challenge-response)協(xié)議以向網(wǎng)絡(luò)認(rèn)證該移動(dòng)臺(tái)���。
蜂窩電信系統(tǒng)的持續(xù)發(fā)展帶來(lái)了移動(dòng)臺(tái)和網(wǎng)絡(luò)之間所使用的認(rèn)證程序的發(fā)展。其不可避免地導(dǎo)致了伴隨著較老設(shè)備和新系統(tǒng)的廣泛使用基礎(chǔ)的操作協(xié)同問(wèn)題����。
通用認(rèn)證架構(gòu)(GAA)是在撰寫本專利申請(qǐng)時(shí)處于3GPP(第三代合作伙伴計(jì)劃)系統(tǒng)第6版下的標(biāo)準(zhǔn)。3GPP標(biāo)準(zhǔn)指定了特定認(rèn)證程序�����,其需要移動(dòng)臺(tái)的安全模塊的特定能力�。但是,存在具有大量用戶的GSM(全球移動(dòng)通信系統(tǒng))技術(shù)的廣泛安裝基礎(chǔ)�,其導(dǎo)致了如何結(jié)合最新認(rèn)證程序使用較老的GSM SIM卡的問(wèn)題���,因?yàn)镾IM卡不能提供這些最新的認(rèn)證程序所需的密鑰資料。本發(fā)明人預(yù)想的是��,當(dāng)發(fā)展的下一代技術(shù)取代目前處于發(fā)展中的第三代(3G)技術(shù)時(shí)��,類似的問(wèn)題今后還將出現(xiàn)���。
發(fā)明內(nèi)容
本發(fā)明的實(shí)施方式旨在克服上述問(wèn)題中的一個(gè)或者多個(gè)����。
根據(jù)實(shí)施方式����,提供了一種通信系統(tǒng)的移動(dòng)臺(tái)中的方法。該方法包括以下步驟確定安裝在移動(dòng)臺(tái)中的安全模塊是否能夠生成通過(guò)通信系統(tǒng)在預(yù)定認(rèn)證過(guò)程中使用的認(rèn)證信息��;如果不能��,則利用安全模塊生成密鑰資料���;以及�����,至少基于所述密鑰資料來(lái)生成通過(guò)所述通信系統(tǒng)在所述預(yù)定認(rèn)證程序中使用的認(rèn)證信息����。
根據(jù)更具體的實(shí)施方式,所述認(rèn)證信息是共享秘密����。
例如可以通過(guò)確定安全模塊的類型來(lái)確定所述安全模塊生成在預(yù)定認(rèn)證程序中使用的認(rèn)證信息的能力。該確定還可以例如通過(guò)確定作為用戶身份而存儲(chǔ)在安全模塊中的信息的類型來(lái)執(zhí)行��。
本方法可以進(jìn)一步包括以下步驟發(fā)送確定安裝在移動(dòng)臺(tái)中的安全模塊是否能夠生成認(rèn)證信息的步驟的結(jié)果的指示��。
根據(jù)本發(fā)明的另一實(shí)施方式�����,提供了一種通信系統(tǒng)的網(wǎng)元中的方法����。根據(jù)該實(shí)施方式�����,該方法包括確定移動(dòng)臺(tái)的安全模塊是否能夠生成在待執(zhí)行于通信系統(tǒng)和移動(dòng)臺(tái)之間的預(yù)定認(rèn)證程序中使用的認(rèn)證信息���;如果不能�����,則使用安全模塊能夠執(zhí)行的方法生成密鑰資料�;以及,至少基于該密鑰資料生成在預(yù)定認(rèn)證程序中使用的認(rèn)證信息�����。
根據(jù)更詳細(xì)的實(shí)施方式���,所述認(rèn)證信息是共享秘密�����。
進(jìn)一步�,確定安裝在移動(dòng)臺(tái)中的安全模塊是否能夠生成認(rèn)證信息的步驟包括從移動(dòng)臺(tái)接收指示的步驟�。
根據(jù)另一實(shí)施方式,提供了一種用于通信系統(tǒng)的移動(dòng)臺(tái)�����,該移動(dòng)臺(tái)具有用于安全模塊的接口。根據(jù)該實(shí)施方式�����,移動(dòng)臺(tái)包括用于確定與所述接口相連接的安全模塊是否能夠生成通過(guò)通信系統(tǒng)在預(yù)定認(rèn)證程序中使用的認(rèn)證信息的裝置��;用于使安全模塊生成密鑰資料并用于接收所生成的第一密鑰資料的裝置�;以及,用于至少基于該密鑰資料而生成通過(guò)通信系統(tǒng)在預(yù)定認(rèn)證過(guò)程中使用的認(rèn)證信息的裝置����。
用于確定的裝置可以配置為確定所述安全模塊的類型,或者確定例如作為用戶身份而存儲(chǔ)在安全模塊中的信息的類型����。
移動(dòng)臺(tái)還可以包括用于發(fā)送安裝在移動(dòng)臺(tái)中的安全模塊是否能夠生成通過(guò)通信系統(tǒng)在預(yù)定認(rèn)證程序中使用的認(rèn)證信息的指示的裝置。
根據(jù)另一實(shí)施方式�,提供了用于通信系統(tǒng)的移動(dòng)臺(tái)�,該移動(dòng)臺(tái)具有用于安全模塊的接口。根據(jù)該實(shí)施方式����,移動(dòng)臺(tái)包括配置為確定與該接口相連接的安全模塊是否能夠生成通過(guò)通信系統(tǒng)在預(yù)定認(rèn)證程序中使用的認(rèn)證信息的控制器;配置為使安全模塊生成密鑰資料并且接收所生成的第一密鑰資料的控制器����;密鑰資料生成器�����,配置為至少基于該密鑰資料而生成通過(guò)通信系統(tǒng)在預(yù)定認(rèn)證程序中使用的認(rèn)證信息���。
根據(jù)另一實(shí)施方式,提供了一種通信系統(tǒng)的網(wǎng)元中的認(rèn)證系統(tǒng)��。根據(jù)該實(shí)施方式�,該認(rèn)證系統(tǒng)包括用于確定移動(dòng)臺(tái)的安全模塊是否能夠生成在待執(zhí)行于通信系統(tǒng)和移動(dòng)臺(tái)之間的預(yù)定認(rèn)證程序中使用的認(rèn)證信息的裝置;用于使用安全模塊能夠執(zhí)行的方法而生成密鑰資料的裝置���;以及用于至少基于該密鑰資料而生成在所述預(yù)定認(rèn)證程序中使用的認(rèn)證信息的裝置���。
根據(jù)又一實(shí)施方式,提供了一種通信系統(tǒng)的網(wǎng)元中的認(rèn)證系統(tǒng)�����。根據(jù)該實(shí)施方式�����,該認(rèn)證系統(tǒng)包括配置為確定移動(dòng)臺(tái)的安全模塊是否能夠生成在待執(zhí)行于通信系統(tǒng)和移動(dòng)臺(tái)之間的預(yù)定認(rèn)證程序中使用的認(rèn)證信息的控制器;配置為使用安全模塊能夠執(zhí)行的方法而生成密鑰資料的密鑰生成器�����;以及配置為至少基于該密鑰資料而生成在預(yù)定認(rèn)證程序中使用的認(rèn)證信息的密鑰生成器�。
根據(jù)另一實(shí)施方式,提供了一種通信系統(tǒng)的網(wǎng)元����。根據(jù)該實(shí)施方式,網(wǎng)元包括用于確定移動(dòng)臺(tái)的安全模式是否能夠生成在待執(zhí)行于通信系統(tǒng)和移動(dòng)臺(tái)之間的預(yù)定認(rèn)證程序中使用的認(rèn)證信息的裝置����;用于使用安全模塊能夠執(zhí)行的方法而生成密鑰資料的裝置;以及�����,用于至少基于該密鑰資料而生成在所述預(yù)定認(rèn)證程序中使用的認(rèn)證信息的裝置���。
根據(jù)又一實(shí)施方式,提供了一種通信系統(tǒng)的網(wǎng)元���。根據(jù)該實(shí)施方式����,該網(wǎng)元包括配置為確定移動(dòng)臺(tái)的安全模塊是否能夠生成在待執(zhí)行于通信系統(tǒng)和移動(dòng)臺(tái)之間的預(yù)定認(rèn)證程序中使用的認(rèn)證信息的控制器;配置為使用安全模塊能夠執(zhí)行的方法而生成密鑰資料的密鑰生成器�;以及,配置為至少基于該密鑰資料而生成在預(yù)定認(rèn)證程序中使用的認(rèn)證信息的密鑰生成器�����。
將參考附圖并通過(guò)示例的方式對(duì)本發(fā)明的實(shí)施方式進(jìn)行描述�����,附圖中圖1示出了移動(dòng)臺(tái)和通信系統(tǒng)���;以及圖2示出了根據(jù)實(shí)施方式的信號(hào)傳輸流程圖���。
具體實(shí)施例方式
圖1示出了移動(dòng)臺(tái)20和安裝在該移動(dòng)臺(tái)中的安全模塊10。圖1還示出了諸如蜂窩電信網(wǎng)絡(luò)的通信系統(tǒng)210��、通信系統(tǒng)的基站212���、SANE 30以及安全網(wǎng)元40�����。
移動(dòng)臺(tái)還包括用于確定與所述接口相連接的安全模塊是否能夠生成通過(guò)蜂窩網(wǎng)絡(luò)在預(yù)定認(rèn)證程序中使用的認(rèn)證信息的裝置220�����;用于使所述安全模塊生成密鑰資料并用于接收所生成的第一密鑰資料的裝置222�����;以及��,用于至少部分地基于所述密鑰資料而生成通過(guò)蜂窩網(wǎng)絡(luò)在所述預(yù)定認(rèn)證程序中使用的認(rèn)證信息的裝置224����。
有利地,所述裝置220�、222以及224可以使用移動(dòng)臺(tái)的處理器中的軟件程序代碼來(lái)實(shí)現(xiàn)。
圖1還示出了安全網(wǎng)元40的特定組件�。安全網(wǎng)元還包括用于確定移動(dòng)臺(tái)的安全模塊是否能夠生成在待執(zhí)行于網(wǎng)絡(luò)通信系統(tǒng)和移動(dòng)臺(tái)之間的預(yù)定認(rèn)證程序中使用的認(rèn)證信息的裝置230;用于使用所述安全模塊能夠執(zhí)行的方法而生成密鑰資料的裝置232��;以及���,用于至少部分地基于所述密鑰資料而生成在所述預(yù)定認(rèn)證程序中使用的認(rèn)證信息的裝置234���。有利地,所述裝置230�����、232以及234可以使用網(wǎng)元的處理器中的軟件程序代碼來(lái)實(shí)現(xiàn)����。
圖2示出了安全模塊(SM)10、移動(dòng)臺(tái)(MS)20����、認(rèn)證網(wǎng)元(SANE)30以及安全網(wǎng)元(NE)40的行為和它們之間的信號(hào)傳輸。安全應(yīng)用網(wǎng)元(SANE)是一種網(wǎng)元��,其與負(fù)責(zé)存儲(chǔ)用戶的密鑰信息的網(wǎng)元和移動(dòng)臺(tái)進(jìn)行通信�����,執(zhí)行特定認(rèn)證協(xié)議�����。例如�,MSC/VLR(移動(dòng)交換中心/訪問(wèn)位置寄存器)或者SGSN(GPRS服務(wù)支持節(jié)點(diǎn))可以用作SANE。例如����,在GAA架構(gòu)(通用認(rèn)證架構(gòu))中�,引導(dǎo)(Bootstrapping)功能(BSF)可以用作SANE���。安全網(wǎng)元40(NE)是執(zhí)行根據(jù)本發(fā)明的密鑰資料的準(zhǔn)備的元件�。安全網(wǎng)元可以包括保持用戶的密鑰信息的數(shù)據(jù)庫(kù)或者其它存儲(chǔ)裝置����。安全網(wǎng)元也可以在這種數(shù)據(jù)庫(kù)或者其他存儲(chǔ)裝置的外部實(shí)現(xiàn),在這種情況下�����,安全網(wǎng)元可以從這種數(shù)據(jù)庫(kù)或者其他存儲(chǔ)裝置查詢密鑰信息�。這種數(shù)據(jù)庫(kù)可以例如是GSM系統(tǒng)的歸屬位置寄存器(HLR)、或者第三代蜂窩電信系統(tǒng)的歸屬用戶服務(wù)器(HSS)�。
根據(jù)圖2,移動(dòng)臺(tái)(MS)例如通過(guò)確定安全模塊的類型并根據(jù)其類型推斷安全模塊的能力而首先確定110安全模塊的能力(SM)����。稍后在本說(shuō)明書中進(jìn)一步論述用于執(zhí)行確定安全模塊的能力的方法。移動(dòng)臺(tái)通過(guò)發(fā)送115認(rèn)證請(qǐng)求到SANE 30而開始認(rèn)證程序����。移動(dòng)臺(tái)可以在認(rèn)證請(qǐng)求中包括安全模塊能力的指示��。SANE 30發(fā)送120認(rèn)證信息請(qǐng)求到安全網(wǎng)元40���。安全網(wǎng)元確定125移動(dòng)臺(tái)的安全模塊的能力�。在這種移動(dòng)臺(tái)包含了安全模塊的能力指示的本發(fā)明實(shí)施方式中,該確定可以如觀察指示一般簡(jiǎn)單���。稍后在本說(shuō)明書中將進(jìn)一步呈現(xiàn)用于確定安全模塊的能力的可能的方法的示例���。
在安全模塊不能生成在認(rèn)證協(xié)議中使用的認(rèn)證信息的情況下,安全網(wǎng)元首先使用移動(dòng)臺(tái)的安全模塊所支持的方法來(lái)準(zhǔn)備130密鑰資料���。在該準(zhǔn)備中�����,安全網(wǎng)元使用諸如移動(dòng)臺(tái)的安全模塊和網(wǎng)絡(luò)兩者所已知的共享秘密的密鑰信息�����,該密鑰信息從用戶安全信息的數(shù)據(jù)庫(kù)獲得��。安全網(wǎng)元至少部分地基于步驟130中所準(zhǔn)備的密鑰資料而準(zhǔn)備132認(rèn)證信息����。認(rèn)證信息可以例如采用適合于在由SANE所執(zhí)行的認(rèn)證程序中使用的共享秘密形式,即用作認(rèn)證程序中的臨時(shí)共享秘密��。
接下來(lái)����,安全網(wǎng)元在認(rèn)證信息請(qǐng)求應(yīng)答消息135中將所生成的認(rèn)證信息發(fā)送135到SANE?����;谠撜J(rèn)證信息�,SANE發(fā)送140詢問(wèn)(challenge)到移動(dòng)臺(tái)20。
在步驟142中�����,移動(dòng)臺(tái)使安全模塊計(jì)算密鑰資料�����?;谒?jì)算的密鑰資料,移動(dòng)臺(tái)使用對(duì)應(yīng)于由網(wǎng)絡(luò)安全元件所利用的方法的方法而計(jì)算認(rèn)證信息,并且使用該認(rèn)證信息計(jì)算145對(duì)認(rèn)證程序所要求的詢問(wèn)的響應(yīng)��。接下來(lái)�����,移動(dòng)臺(tái)發(fā)送150該響應(yīng)到SANE�����,SANE然后根據(jù)在用的認(rèn)證協(xié)議來(lái)檢查155該響應(yīng)匹配于所發(fā)送的詢問(wèn)��。
應(yīng)該理解到圖2僅表示根據(jù)本發(fā)明的通信的特別示例�,以及在使用不同類型的認(rèn)證程序的執(zhí)行中信號(hào)傳輸可以不同�����。
該方法步驟還可以使用在處理器上執(zhí)行的軟件而實(shí)現(xiàn)���。例如�,可以通過(guò)軟件實(shí)現(xiàn)一個(gè)實(shí)施方式��,當(dāng)在移動(dòng)臺(tái)的處理器上執(zhí)行該軟件時(shí)�����,其使得移動(dòng)臺(tái)執(zhí)行實(shí)施方式的步驟。例如�,可以通過(guò)軟件實(shí)現(xiàn)另一實(shí)施方式,當(dāng)在通信系統(tǒng)的網(wǎng)元的處理器上執(zhí)行該軟件時(shí)��,其使得網(wǎng)元執(zhí)行實(shí)施方式的步驟����。適當(dāng)?shù)馗木幍挠?jì)算機(jī)程序代碼產(chǎn)品在裝載到處理器中時(shí),可以用于實(shí)現(xiàn)本實(shí)施方式�。用于提供方法步驟的程序代碼可以存儲(chǔ)在載體介質(zhì)上或者由載體介質(zhì)來(lái)提供,該載體介質(zhì)諸如載體盤�����、卡或者帶�。可以經(jīng)由數(shù)據(jù)網(wǎng)下載該程序代碼產(chǎn)品�����。
在本發(fā)明的另一實(shí)施方式中���,本發(fā)明的功能在MS和安全網(wǎng)元中實(shí)現(xiàn)���。這種實(shí)施方式中����,SANE不需要為對(duì)本發(fā)明起作用而修改�,也不需要知道安全模塊不支持由SANE所執(zhí)行的認(rèn)證程序的情形。移動(dòng)臺(tái)可以適合于使用不同類型的安全元件�,并且可以被編程以執(zhí)行新的認(rèn)證協(xié)議。例如�����,舊的GSM SIM卡可以用于3G移動(dòng)臺(tái)中��,并且本發(fā)明允許將SIM卡與開發(fā)該SIM卡時(shí)未預(yù)見到的認(rèn)證協(xié)議一起使用���。
移動(dòng)臺(tái)的安全模塊支持哪些密鑰生成方法的確定可以以不同的方式執(zhí)行。在本發(fā)明的另一實(shí)施方式中��,該確定可以運(yùn)用顯性查詢和信號(hào)傳輸而實(shí)現(xiàn)網(wǎng)絡(luò)可以發(fā)送查詢到移動(dòng)臺(tái)���,移動(dòng)臺(tái)將安全模塊的能力報(bào)告回給網(wǎng)絡(luò)��。任何這種協(xié)商的執(zhí)行本質(zhì)上有賴于網(wǎng)絡(luò)中在用的特定認(rèn)證協(xié)議�����,以及協(xié)議所允許的何種類型的協(xié)商擴(kuò)展(如果有的話)��。
在另一實(shí)施方式中�,移動(dòng)臺(tái)的安全模塊支持哪些密鑰生成方法的確定可以通過(guò)檢測(cè)安全模塊的類型,并基于該類型確定該安全模式的能力來(lái)實(shí)現(xiàn)�����。例如��,在撰寫本專利申請(qǐng)時(shí)��,可以在根據(jù)3GPP標(biāo)準(zhǔn)的移動(dòng)臺(tái)中使用的安全模塊類型是SIM�����、USIM以及ISIM���。在這些類型中���,SIM能夠根據(jù)所謂的2G(第二代)GSM標(biāo)準(zhǔn)執(zhí)行密鑰生成,而USIM和ISIM類型的安全模塊可以執(zhí)行3G密鑰生成�。
在本發(fā)明的另一實(shí)施方式中����,存儲(chǔ)在安全模塊中的身份信息的類型可以用于執(zhí)行確定移動(dòng)臺(tái)的安全模塊支持哪些密鑰生成方法�。例如,安全模塊的類型以及由此而來(lái)的安全模塊的能力可以從安全模塊是否具有作為用戶的身份存儲(chǔ)的IMSI(國(guó)際移動(dòng)用戶身份)或者IMPI(IP多媒體私有身份)來(lái)推斷����。
在另一實(shí)施方式中,安全模塊的能力從所檢測(cè)的安全模塊的類型來(lái)推斷���,其中類型檢測(cè)是基于存儲(chǔ)在安全模塊中的多條信息而進(jìn)行的����。
安全模塊的能力還可以通過(guò)從通信系統(tǒng)中的數(shù)據(jù)庫(kù)獲得關(guān)于能力的信息來(lái)確定�。
在另一實(shí)施方式中,安全網(wǎng)元可以具有可能的認(rèn)證信息生成方法的預(yù)定義順序的列表����,按順序嘗試這些方法���,直到通過(guò)移動(dòng)臺(tái)的安全模塊的進(jìn)行的認(rèn)證成功為止�。網(wǎng)絡(luò)安全元件還可以具有多個(gè)這樣的列表�,可以基于參數(shù)從該列表中選擇一個(gè)來(lái)使用����,該參數(shù)例如是移動(dòng)臺(tái)的位置���、或者安全模塊的公知屬性�����。
在真實(shí)共享秘密不可用的情況下���,代替真實(shí)共享秘密而使用的偽共享秘密可以基于其它共享數(shù)據(jù)而生成,該其他共享數(shù)據(jù)即由移動(dòng)臺(tái)和網(wǎng)絡(luò)兩者已知的數(shù)據(jù)����。該偽共享秘密然后可以用于生成在認(rèn)證中所使用的密鑰信息。這種共享數(shù)據(jù)可以例如是存儲(chǔ)在操作者也已知的終端側(cè)中的設(shè)置標(biāo)志和控制信息����。通常地,在配置程序中設(shè)定到移動(dòng)臺(tái)的和在正常通信中未通過(guò)空中接口發(fā)送的任何數(shù)據(jù)可以用作這種共享數(shù)據(jù)����。該共享數(shù)據(jù)還可以是存儲(chǔ)在用戶專用用戶模塊中的用戶專用共享數(shù)據(jù),或者是基于所使用的ME的特性(例如IMEI)的終端專用共享數(shù)據(jù)�。
本發(fā)明具有多個(gè)優(yōu)勢(shì)�。優(yōu)勢(shì)之一在于本發(fā)明允許在使用較舊安全模塊所不支持的認(rèn)證程序的網(wǎng)絡(luò)中使用大量用戶已經(jīng)在用的較舊安全模塊����。本發(fā)明還允許使用同一認(rèn)證程序,而無(wú)論移動(dòng)臺(tái)的安全模塊是否支持該程序��。
請(qǐng)注意盡管前文的描述示出了3G蜂窩電信系統(tǒng)中的本發(fā)明的多種實(shí)施方式���,但是本發(fā)明不限于所謂的3G蜂窩系統(tǒng)���,而還可以實(shí)現(xiàn)在不同類型的蜂窩電信系統(tǒng)中。
還請(qǐng)注意在此盡管上文描述了本發(fā)明的示例性實(shí)施方式�����,但是在不偏離所附權(quán)利要求書所限定的本發(fā)明的范圍的前提下�����,可以對(duì)所公開的解決方案進(jìn)行一些改變以及修改�����。
權(quán)利要求
1.一種用于通信系統(tǒng)的移動(dòng)臺(tái)中的方法����,所述方法包括以下步驟確定安裝在移動(dòng)臺(tái)中的安全模塊是否能夠生成通過(guò)通信系統(tǒng)在預(yù)定認(rèn)證過(guò)程中使用的認(rèn)證信息,如果不能��,則使用所述安全模塊生成密鑰資料����,以及至少基于所述密鑰資料來(lái)生成通過(guò)所述通信系統(tǒng)在所述預(yù)定認(rèn)證程序中使用的認(rèn)證信息。
2.根據(jù)權(quán)利要求1所述的方法��,其中所述認(rèn)證信息包括共享秘密����。
3.根據(jù)前述權(quán)利要求中任意一項(xiàng)所述的方法,其中所述確定步驟包括確定所述安全模塊的類型的步驟�。
4.根據(jù)前述權(quán)利要求中任意一項(xiàng)所述的方法,其中確定安裝在所述移動(dòng)臺(tái)中的安全模塊是否能夠生成所述認(rèn)證信息的所述步驟包括確定作為用戶身份而存儲(chǔ)在所述安全模塊中的信息的類型的步驟�。
5.根據(jù)前述權(quán)利要求中的任意一項(xiàng)所述的方法,還包括發(fā)送確定安裝在所述移動(dòng)臺(tái)中的安全模塊是否能夠生成所述認(rèn)證信息的步驟的結(jié)果的指示的步驟�����。
6.一種通信系統(tǒng)的網(wǎng)元中的方法�����,所述方法還包括以下步驟確定移動(dòng)臺(tái)的安全模塊是否能夠生成在待執(zhí)行于所述通信系統(tǒng)和所述移動(dòng)臺(tái)之間的預(yù)定認(rèn)證程序中使用的認(rèn)證信息,如果不能���,則使用所述安全模塊能夠執(zhí)行的方法生成密鑰資料���,以及至少基于所述密鑰資料而生成在所述預(yù)定認(rèn)證程序中使用的認(rèn)證信息。
7.根據(jù)權(quán)利要求6所述的方法�����,其中所述認(rèn)證信息包括共享秘密�。
8.根據(jù)權(quán)利要求6或者7所述的方法,其中所述確定步驟包括確定所述安全模塊的類型的步驟�����。
9.根據(jù)權(quán)利要求6����、7或者8所述的方法,其中確定所述移動(dòng)臺(tái)的所述安全模塊是否能夠生成所述認(rèn)證信息的所述步驟包括確定作為用戶身份而存儲(chǔ)在所述安全模塊中的信息的類型的步驟�����。
10.根據(jù)權(quán)利要求6或者7所述的方法,其中確定安裝在所述移動(dòng)臺(tái)中的安全模塊是否能夠生成所述認(rèn)證信息的所述步驟包括從所述移動(dòng)臺(tái)接收指示的步驟�����。
11.一種用于通信系統(tǒng)的移動(dòng)臺(tái)�,所述移動(dòng)臺(tái)具有用于安全模塊的接口����,所述移動(dòng)臺(tái)包括用于確定與所述接口相連接的安全模塊是否能夠生成通過(guò)所述通信系統(tǒng)在預(yù)定認(rèn)證程序中使用的認(rèn)證信息的裝置,用于使所述安全模塊生成密鑰資料并用于接收所生成的第一密鑰資料的裝置�,以及用于至少基于所述密鑰資料而生成通過(guò)所述通信系統(tǒng)在所述預(yù)定認(rèn)證程序中使用的認(rèn)證信息的裝置。
12.根據(jù)權(quán)利要求11所述的移動(dòng)臺(tái)����,其中用于生成所述認(rèn)證信息的所述裝置配置為生成共享秘密。
13.根據(jù)權(quán)利要求11或者12所述的移動(dòng)臺(tái)�,其中用于確定的所述裝置配置為確定所述安全模塊的類型。
14.根據(jù)權(quán)利要求11���、12或者13所述的移動(dòng)臺(tái)�����,其中用于確定的所述裝置配置為確定作為用戶身份而存儲(chǔ)在所述安全模塊中的信息的類型����。
15.根據(jù)權(quán)利要求11至14中任意一項(xiàng)所述的移動(dòng)臺(tái),還包括用于發(fā)送安裝在所述移動(dòng)臺(tái)中的所述安全模塊是否能夠生成通過(guò)所述通信系統(tǒng)在所述預(yù)定認(rèn)證程序中使用的所述認(rèn)證信息的指示的裝置���。
16.一種用于通信系統(tǒng)中的移動(dòng)臺(tái)����,所述移動(dòng)臺(tái)具有用于安全模塊的接口����,所述移動(dòng)臺(tái)包括配置為確定與所述接口相連接的安全模塊是否能夠生成通過(guò)所述通信系統(tǒng)在預(yù)定認(rèn)證程序中使用的認(rèn)證信息的控制器,配置為使所述安全模塊生成密鑰資料并且接收所生成的第一密鑰資料的控制器���,配置為至少基于所述密鑰資料而生成通過(guò)所述通信系統(tǒng)在所述預(yù)定認(rèn)證程序中使用的認(rèn)證信息的密鑰資料生成器�����。
17.根據(jù)權(quán)利要求16所述的移動(dòng)臺(tái)����,其中所述密鑰生成器配置為生成共享秘密����。
18.根據(jù)權(quán)利要求16或者17所述的移動(dòng)臺(tái)���,其中配置為進(jìn)行確定的所述控制器配置為確定所述安全模塊的類型。
19.根據(jù)權(quán)利要求16�、17或者18所述的移動(dòng)臺(tái),其中配置為進(jìn)行確定的所述控制器配置為確定作為用戶身份而存儲(chǔ)在所述安全模塊中的信息的類型��。
20.根據(jù)權(quán)利要求16至19中任意一項(xiàng)的所述的移動(dòng)臺(tái)��,還包括發(fā)送器����,配置為發(fā)送安裝在所述移動(dòng)臺(tái)中的所述安全模塊是否能夠生成通過(guò)所述通信系統(tǒng)在所述預(yù)定認(rèn)證程序中使用的認(rèn)證信息的指示���。
21.一種通信系統(tǒng)的網(wǎng)元中的認(rèn)證系統(tǒng)���,所述認(rèn)證系統(tǒng)包括用于確定移動(dòng)臺(tái)的安全模塊是否能夠生成在待執(zhí)行于所述通信系統(tǒng)和所述移動(dòng)臺(tái)之間的預(yù)定認(rèn)證程序中使用的認(rèn)證信息的裝置,用于使用所述安全模塊能夠執(zhí)行的方法來(lái)生成密鑰資料的裝置��,以及至少基于所述密鑰資料而生成在所述預(yù)定認(rèn)證程序中使用的認(rèn)證信息的裝置��。
22.根據(jù)權(quán)利要求21所述的認(rèn)證系統(tǒng)�����,其中用于生成所述認(rèn)證信息的所述裝置配置為生成共享秘密。
23.根據(jù)權(quán)利要求21或者22所述的認(rèn)證系統(tǒng)����,其中用于確定的所述裝置配置為確定所述安全模塊的類型。
24.根據(jù)權(quán)利要求21�、22或者23所述的認(rèn)證系統(tǒng),其中用于確定的所述裝置配置為確定作為用戶身份而存儲(chǔ)在所述安全模塊中的信息的類型�。
25.根據(jù)權(quán)利要求21或者22所述的認(rèn)證系統(tǒng),其中用于確定的所述裝置配置為從所述移動(dòng)臺(tái)接收指示���。
26.一種通信系統(tǒng)的網(wǎng)元中的認(rèn)證系統(tǒng)����,所述認(rèn)證系統(tǒng)包括配置為確定移動(dòng)臺(tái)的安全模塊是否能夠生成在待執(zhí)行于所述通信系統(tǒng)和所述移動(dòng)臺(tái)之間的預(yù)定認(rèn)證程序中使用的認(rèn)證信息的控制器��,配置為使用所述安全模塊能夠執(zhí)行的方法來(lái)生成密鑰資料的密鑰生成器��,以及配置為至少基于所述密鑰資料而生成在所述預(yù)定認(rèn)證程序中使用的認(rèn)證信息的密鑰生成器���。
27.根據(jù)權(quán)利要求26所述的認(rèn)證系統(tǒng)�����,其中配置為生成所述認(rèn)證信息的所述密鑰生成器配置為生成共享秘密��。
28.根據(jù)權(quán)利要求26或者27所述的認(rèn)證信息��,其中配置為進(jìn)行確定的所述控制器配置為確定所述安全模塊的類型���。
29.根據(jù)權(quán)利要求26�����、27或者28所述的認(rèn)證系統(tǒng),其中配置為進(jìn)行確定的所述控制器配置為確定作為用戶身份而存儲(chǔ)在所述安全模塊中的信息的類型�。
30.根據(jù)權(quán)利要求26或者27所述的認(rèn)證系統(tǒng),其中配置為進(jìn)行確定的所述控制器配置為從所述移動(dòng)臺(tái)接收指示����。
31.一種通信系統(tǒng)的網(wǎng)元,包括用于確定移動(dòng)臺(tái)的安全模塊是否能夠生成在待執(zhí)行于所述通信系統(tǒng)和所述移動(dòng)臺(tái)之間的預(yù)定認(rèn)證程序中使用的認(rèn)證信息的裝置�����,用于使用所述安全模塊能夠執(zhí)行的方法來(lái)生成密鑰資料的裝置�,以及用于至少基于所述密鑰資料而生成在所述預(yù)定認(rèn)證程序中使用的認(rèn)證信息的裝置。
32.根據(jù)權(quán)利要求31所述的網(wǎng)元���,其中用于生成認(rèn)證信息的所述裝置配置為生成共享秘密��。
33.根據(jù)權(quán)利要求31或者32所述的網(wǎng)元���,其中用于確定的所述裝置配置為確定所述安全模塊的類型��。
34.根據(jù)權(quán)利要求31����、32或者33所述的網(wǎng)元�,其中用于確定的所述裝置配置為確定作為用戶身份而存儲(chǔ)在所述安全模塊中的信息的類型。
35.根據(jù)權(quán)利要求31或者32所述的網(wǎng)元�����,其中用于確定的所述裝置配置為從所述移動(dòng)臺(tái)接收指示��。
36.一種通信系統(tǒng)的網(wǎng)元�����,包括配置為確定移動(dòng)臺(tái)的安全模塊是否能夠生成在待執(zhí)行于所述通信系統(tǒng)和所述移動(dòng)臺(tái)之間的預(yù)定認(rèn)證程序中使用的認(rèn)證信息的控制器���,配置為使用所述安全模塊能夠執(zhí)行的方法來(lái)生成密鑰資料的密鑰生成器����,以及配置為至少基于所述密鑰資料而生成在所述預(yù)定認(rèn)證程序中使用的認(rèn)證信息的密鑰生成器。
37.根據(jù)權(quán)利要求36所述的網(wǎng)元���,其中配置為生成認(rèn)證信息的所述密鑰生成器配置為生成共享秘密����。
38.根據(jù)權(quán)利要求36或者37所述的網(wǎng)元�,其中配置為進(jìn)行確定的所述控制器配置為確定所述安全模塊的類型。
39.根據(jù)權(quán)利要求36�����、37或者38所述的網(wǎng)元��,其中配置為進(jìn)行確定的所述控制器配置為確定作為用戶身份而存儲(chǔ)在所述安全模塊中的信息的類型�。
40.根據(jù)權(quán)利要求36或者37所述的網(wǎng)元���,其中配置為進(jìn)行確定的所述控制器配置為從所述移動(dòng)臺(tái)接收指示����。
41.一種計(jì)算機(jī)程序�,包括計(jì)算機(jī)代碼裝置,當(dāng)所述程序在處理器上執(zhí)行的時(shí)候所述計(jì)算機(jī)代碼裝置適用于執(zhí)行權(quán)利要求1至10中任意一項(xiàng)所述的步驟�����。
全文摘要
一種用于通信系統(tǒng)的移動(dòng)臺(tái)中的方法,該方法包括確定安裝在移動(dòng)臺(tái)中的安全模塊是否能夠生成通過(guò)通信系統(tǒng)在預(yù)定認(rèn)證程序中使用的認(rèn)證信息��。如果不能�,則該方法包括使用該安全模塊生成密鑰資料,以及�,至少基于該密鑰資料而生成通過(guò)通信系統(tǒng)在預(yù)定認(rèn)證程序中使用的認(rèn)證信息。
文檔編號(hào)H04L29/06GK101084694SQ200580043661
公開日2007年12月5日 申請(qǐng)日期2005年11月16日 優(yōu)先權(quán)日2004年12月22日
發(fā)明者L·萊蒂南 申請(qǐng)人:諾基亞公司