專利名稱:綜合認(rèn)證和管理服務(wù)提供者、終端和用戶身份模塊的方法以及使用該方法的系統(tǒng)和終端的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種綜合認(rèn)證和管理服務(wù)提供者、終端和用戶身份裝置的方 法以及使用該方法的系統(tǒng)和終端裝置。
背景技術(shù):
隨著無線互聯(lián)網(wǎng)和通信技術(shù)的快速發(fā)展,可通過用戶身份模塊("UIM") 和移動(dòng)終端接收各種數(shù)據(jù)或互聯(lián)網(wǎng)服務(wù)。然而,越來越多的這種服務(wù)變?yōu)楦?費(fèi)服務(wù)。近來,已經(jīng)引入版權(quán)保護(hù)技術(shù)(例如,數(shù)字權(quán)限管理("DRM"))來保護(hù)
付費(fèi)服務(wù)的內(nèi)容的版權(quán)。
法之一?;旧希珼RM技術(shù)允許用戶之間自由分發(fā)加密的內(nèi)容。然而,為了 使用內(nèi)容,需要用戶權(quán)限對(duì)象("RO")。在數(shù)字環(huán)境下容易非法復(fù)制和分發(fā)內(nèi) 容弓1起侵犯版權(quán)大量增加以及內(nèi)容提供者損失的大量增加。響應(yīng)于這些問題, 基于每一用戶的權(quán)限對(duì)象的靈活性和便利性的DRM技術(shù)聚焦在安全方面, 從而僅允許授權(quán)用戶訪問內(nèi)容。為確保安全,裝置之間的相互認(rèn)證是必須的。
圖1是顯示一般3GPP(第三代合作伙伴計(jì)劃)系統(tǒng)中BSF(引導(dǎo)服務(wù)器功 能)和UE(用戶裝置)之間的相互認(rèn)證的處理的示圖。3GPPGBA(—般引導(dǎo)架構(gòu)) 是在基于通用ID卡(UICC)的UE和BSF之間使用的一般認(rèn)證方案。通過如 在技術(shù)規(guī)范3GPPTS 33.220和33.102中規(guī)定的以下處理實(shí)現(xiàn)這種認(rèn)證方案。
在步驟30, UE 10可將請(qǐng)求用戶認(rèn)證的消息發(fā)送給BSF20。發(fā)送給BSF 20的請(qǐng)求消息包括UE 10的用戶身份信息。當(dāng)接收到該消息時(shí),在步驟40, BSF20計(jì)算與包括在UE10中的UICC(通用IC卡)相關(guān)的認(rèn)證向量。更具體 地講,BSF 20計(jì)算包括RAND、 AUTN、 XRES、 CK和IK的認(rèn)證向量。RAND 是指隨機(jī)數(shù)。AUTN是指UE IO進(jìn)行網(wǎng)絡(luò)認(rèn)證所需的認(rèn)證令牌。XRES是指 與由UICC發(fā)送的響應(yīng)(RES)進(jìn)行比較以認(rèn)證UICC的期望響應(yīng)(expected response)。 CK是加密密鑰。最后,IK是完整性密鑰。
當(dāng)計(jì)算認(rèn)證向量時(shí),BSF 20進(jìn)行步驟50以將隨機(jī)數(shù)RAND和認(rèn)證令牌 AUTN發(fā)送給UE 10。隨后UE 10將RAND和AUTN傳遞給UICC。 UICC 驗(yàn)證AUTN來確認(rèn)該消息是否從有效網(wǎng)絡(luò)發(fā)送。接下來,在步驟60, UICC 計(jì)算完整性密鑰和加密密鑰來產(chǎn)生會(huì)話密鑰Ks。另外,UICC將認(rèn)證響應(yīng)消 息RES發(fā)送給UEIO,隨后在步驟70, UE IO將把RES傳遞給BSF 20。在 步驟80, BSF20通過驗(yàn)證響應(yīng)消息執(zhí)行認(rèn)證,并且連接加密密鑰和完整性密 鑰來在步驟90產(chǎn)生會(huì)話密鑰Ks
發(fā)明內(nèi)容
技術(shù)問題
GBA僅支持用戶身份模塊和服務(wù)提供者之間的相互認(rèn)證而不通過認(rèn)證 終端確保安全性。不管實(shí)際認(rèn)證使用各種類型的用戶身份模塊的終端的需要, GBA技術(shù)不支持用戶身份模塊和終端之間的認(rèn)證。為了保證服務(wù)提供者、終 端和用戶身份模塊的安全性,優(yōu)選的是執(zhí)行用戶身份模塊和終端之間的相互 認(rèn)證以及用戶身份模塊和服務(wù)提供者之間的相互認(rèn)證。
如上所解釋,傳統(tǒng)GBA技術(shù)僅支持用戶身份模塊和服務(wù)提供者之間的 相互認(rèn)證。該技術(shù)不通過用戶身份模塊和終端之間的相互認(rèn)證以及終端和服 務(wù)提供者之間的相互認(rèn)證來確保安全性。因此,用戶不能使用攜帶用戶的身 份的用戶身份模塊(例如,智能卡)在各種終端中安全地再現(xiàn)任何購(gòu)買的內(nèi)容。
技術(shù)方案
目的在于提供一種綜合認(rèn)證和管理服務(wù)提供者、終端和用戶身份模塊的方法 以及使用該方法的系統(tǒng)和終端裝置。
本發(fā)明的另 一 目的在于提供一種通過數(shù)字權(quán)限管理以允許使用用戶身份 模塊在各種終端中安全再現(xiàn)任何購(gòu)買的內(nèi)容的綜合認(rèn)證和管理服務(wù)提供者、 終端和用戶身份模塊的方法以及使用該方法的系統(tǒng)和終端裝置。
為了實(shí)現(xiàn)本發(fā)明的以上目的,提供一種服務(wù)提供者、終端和用戶身份模 塊的綜合認(rèn)證和管理的方法,包括以下步驟將通知消息通過終端從服務(wù)提 供者傳送給用戶身份模塊;驗(yàn)證與通知消息相應(yīng)的響應(yīng)消息;根據(jù)驗(yàn)證的結(jié) 果產(chǎn)生并發(fā)送用于終端和用戶身份模塊的認(rèn)證結(jié)果消息;并基于認(rèn)證結(jié)果消
息允許終端和用戶身份模塊執(zhí)行相互認(rèn)證。
根據(jù)本發(fā)明的另一方面,提供一種服務(wù)提供者、終端和用戶身份模塊的
綜合認(rèn)證和管理的方法,包括以下步驟從終端接收發(fā)送給服務(wù)提供者的認(rèn) 證請(qǐng)求消息;產(chǎn)生與認(rèn)證請(qǐng)求消息相應(yīng)的通知消息,并通過終端將該通知消 息從服務(wù)提供者傳送給用戶身份模塊;驗(yàn)證與通知消息相應(yīng)的響應(yīng)消息;才艮 據(jù)驗(yàn)證的結(jié)果產(chǎn)生并發(fā)送用于終端和用戶身份模塊的認(rèn)證結(jié)果消息;基于認(rèn) 證結(jié)果消息在終端和用戶身份模塊中執(zhí)行相互認(rèn)證。
根據(jù)本發(fā)明的另一方面,提供一種服務(wù)提供者、終端和用戶身份模塊的 綜合認(rèn)證和管理的方法,包括由終端執(zhí)行的以下步驟從服務(wù)提供者接收通 知消息,并將該通知消息傳送給用戶身份模塊;從用戶身份模塊接收響應(yīng)消 息,將認(rèn)證終端所需的信息添加到響應(yīng)消息,并將具有認(rèn)證信息的響應(yīng)消息 傳送給服務(wù)提供者;從服務(wù)提供者接收包括對(duì)用戶身份模塊和終端執(zhí)行驗(yàn)證 的結(jié)果的結(jié)果消息;使用接收的結(jié)果消息認(rèn)證用戶身份模塊;和將結(jié)果消息 傳送給用戶身份模塊,從而可由用戶身份模塊認(rèn)證終端。
根據(jù)本發(fā)明的另一方面,提供一種用于在服務(wù)提供者、終端和用戶身份 模塊之間相互認(rèn)證的系統(tǒng),包括服務(wù)提供者,用于發(fā)送通知消息,驗(yàn)證與 通知消息相應(yīng)的響應(yīng)消息,并基于該驗(yàn)證產(chǎn)生用于終端和用戶身份模塊的認(rèn) 證結(jié)果消息;終端,用于將從服務(wù)提供者接收的通知消息傳送給用戶身份模 塊,將從用戶身份模塊接收的響應(yīng)消息發(fā)送給服務(wù)提供者,從服務(wù)提供者接 收認(rèn)證結(jié)果消息,并使用認(rèn)證結(jié)果消息認(rèn)證用戶身份模塊;和用戶身份模塊, 用于產(chǎn)生與通知消息相應(yīng)的響應(yīng)消息,將響應(yīng)消息傳送給終端,并使用通過 終端接收的認(rèn)證結(jié)果消息認(rèn)證終端。
根據(jù)本發(fā)明的另一方面,提供一種用于在服務(wù)提供者、終端和用戶身份 模塊之間相互認(rèn)證的系統(tǒng),包括服務(wù)提供者,響應(yīng)于從終端接收的認(rèn)證請(qǐng) 求消息發(fā)送通知消息,驗(yàn)證與通知相應(yīng)的響應(yīng)消息,并基于該驗(yàn)證產(chǎn)生用于 終端和用戶身份模塊的認(rèn)證結(jié)果消息;終端,用于將從服務(wù)提供者接收的通 知消息傳送給用戶身份模塊,將從用戶身份模塊接收的響應(yīng)消息發(fā)送給服務(wù) 提供者,從服務(wù)提供者接收認(rèn)證結(jié)果消息,并使用與服務(wù)提供者共享的加密 密鑰認(rèn)證用戶身份模塊;和用戶身份模塊,產(chǎn)生與通知消息相應(yīng)的響應(yīng)消息, 將響應(yīng)消息傳送給終端,接收從終端傳送的認(rèn)證結(jié)果消息,并且使用與服務(wù) 提供者共享的加密密鑰認(rèn)證終端。
根據(jù)本發(fā)明的另一方面,提供一種在服務(wù)提供者、終端和用戶身份模塊
之間的相互認(rèn)證中使用的終端裝置,包括通信模塊,用于從服務(wù)提供者接 收通知消息,并將與通知消息相應(yīng)的響應(yīng)消息發(fā)送給服務(wù)提供者;接口模塊, 用于將通過通信模塊接收的通知消息傳送給用戶身份模塊,并從用戶身份模 塊接收與通知消息相應(yīng)的響應(yīng)消息;和認(rèn)證模塊,用于將認(rèn)證終端所需的信 息添加到將被發(fā)送給服務(wù)提供者的響應(yīng)消息,使用從服務(wù)提供者接收的關(guān)于 用戶身份模塊和終端的驗(yàn)證結(jié)果消息來認(rèn)證用戶身份模塊,并將接收的結(jié)果 消息傳送給用戶身份模塊,從而可由用戶身份模塊認(rèn)證終端。
有益效果
如上解釋,根據(jù)本發(fā)明可綜合進(jìn)行用戶身份模塊和用戶之間的相互認(rèn)證、 服務(wù)提供者和終端之間的相互認(rèn)證以及服務(wù)提供者和用戶身份模塊之間的相 互認(rèn)證,從而確保用戶身份模塊和終端的安全性。因此,用戶可基于用戶的 身份使用內(nèi)容許可證來訪問任何終端裝置上的內(nèi)容。除了單獨(dú)安全性架構(gòu)的 需要,根據(jù)本發(fā)明的綜合認(rèn)證也可應(yīng)用到傳統(tǒng)公鑰或?qū)ΨQ密鑰架構(gòu)。此外, 由于根據(jù)本發(fā)明的綜合認(rèn)i正不依賴于特定網(wǎng)絡(luò)認(rèn)證4支術(shù)(例如,3GPP GBA), 因此其可獨(dú)立地應(yīng)用到各種子網(wǎng)結(jié)構(gòu)。
通過下面結(jié)合附圖進(jìn)行的詳細(xì)描述,本發(fā)明的上述和其他目的、特點(diǎn)和 優(yōu)點(diǎn)將會(huì)變得更加清楚,其中
圖1是顯示BSF和UE之間的相互認(rèn)證的一般處理的示圖2是顯示根據(jù)本發(fā)明實(shí)施例的用于執(zhí)行綜合認(rèn)證的系統(tǒng)的配置的示
圖3是根據(jù)本發(fā)明實(shí)施例的終端的框圖4是根據(jù)本發(fā)明實(shí)施例的用戶身份模塊的框圖5是顯示根據(jù)本發(fā)明實(shí)施例的服務(wù)提供者、終端和用戶身份模塊之間 的相互認(rèn)證的處理的流程圖6是顯示根據(jù)本發(fā)明實(shí)施例的在服務(wù)提供者、終端和用戶身份模塊之 間發(fā)送或接收的消息的格式的示圖7是顯示根據(jù)本發(fā)明實(shí)施例的服務(wù)提供者、終端和用戶身份模塊之間
的相互i^-i正的處理的流程圖;和
圖8是顯示根據(jù)本發(fā)明實(shí)施例的在服務(wù)提供者、終端和用戶身份^f莫塊之 間發(fā)送或接收的消息的格式的示圖。
具體實(shí)施例方式
以下,將參照附圖描述本發(fā)明的優(yōu)選實(shí)施例。在附圖中,盡管在不同的 附圖中描述的相同部件也將由相同的標(biāo)號(hào)或字符來指示。另外,在本發(fā)明的 以下描述中,當(dāng)包括于此的已知功能和配置的詳細(xì)描述可能使得本發(fā)明的主 題不清楚時(shí),將省略對(duì)它們的描述。
本發(fā)明涉及一種在服務(wù)提供者、終端和用戶身份模塊之間相互綜合認(rèn)證 的方法和系統(tǒng)。以能夠與當(dāng)前網(wǎng)絡(luò)安全環(huán)境的公鑰架構(gòu)交互并且可獨(dú)立地在 特定網(wǎng)絡(luò)系統(tǒng)中使用的結(jié)構(gòu)配置認(rèn)證系統(tǒng)。綜合認(rèn)證方法被分為公鑰認(rèn)證和 對(duì)稱密鑰認(rèn)證??墒褂眠@兩種認(rèn)證方案中的任何一種在服務(wù)提供者、終端和 用戶身份模塊之間進(jìn)行相互認(rèn)證。隨后,用戶可基于用戶的身份訪問任何終 端裝置上的內(nèi)容。
下面,將參照?qǐng)D2詳細(xì)解釋根據(jù)本發(fā)明的綜合認(rèn)證系統(tǒng)的每一部件。 如圖2所示,服務(wù)提供者("SP") IOO認(rèn)證并綜合管理用戶終端("T") 110 和用戶身份模塊("UIM") 120。服務(wù)提供者100將其內(nèi)容和服務(wù)提供給允許使 用該內(nèi)容的每個(gè)終端。終端110是與用戶身份模塊120交互的裝置。作為代 表用戶身份的模塊,用戶身份模塊120具有在認(rèn)證期間使用的加密密鑰和加 密算法。用戶身份模塊120可以是具有安全功能的智能卡、SIM卡、可移動(dòng) 媒體和其他存儲(chǔ)卡中的任意一個(gè)。
圖3和圖4是根據(jù)本發(fā)明的終端和用戶身份模塊的框圖。如圖3所示, 終端110包括與用戶身份模塊120通信的認(rèn)證模塊115、通信模塊151和接口 模塊125。具體地講,認(rèn)證模塊115包括用于管理整個(gè)認(rèn)證功能的認(rèn)證管理 器130、提供加密功能的加密模塊135、設(shè)置數(shù)字簽名的數(shù)字簽名模塊140、 實(shí)現(xiàn)MAC算法的MAC模塊145以及安全地存儲(chǔ)加密密鑰等的安全存儲(chǔ);漠塊 150。
具有以上結(jié)構(gòu)的認(rèn)證模塊115將認(rèn)證終端110所需的信息添加到從用戶 身份模塊120接收的響應(yīng)消息,并將具有認(rèn)證信息的響應(yīng)消息發(fā)送給服務(wù)提 供者100。當(dāng)從服務(wù)提供者100接收到包括在用戶身份模塊120和終端110
上執(zhí)行的驗(yàn)證處理的結(jié)果的結(jié)果消息時(shí),認(rèn)證模塊115使用該結(jié)果消息認(rèn)證
用戶身份模塊120。另外,認(rèn)證模塊115將接收的結(jié)果消息傳送到用戶身份 模塊120,從而可在用戶身傷、模塊120中對(duì)終端110進(jìn)行認(rèn)i正。
通信模塊120負(fù)責(zé)與網(wǎng)絡(luò)通信。具體地講,通信模塊120從服務(wù)提供者 100接收通知消息,并將相應(yīng)響應(yīng)消息發(fā)送給服務(wù)提供者100。接口模塊125 負(fù)責(zé)與用戶身份模塊120通信。接口模塊125將通過通信模塊120接收的通 知消息傳送給用戶身份模塊120,并從用戶身份模塊120接收相應(yīng)響應(yīng)消息。
如圖4所示,用戶身份才莫塊120包括認(rèn)證模塊155和4妄口模塊160。認(rèn) 證模塊155包括管理整個(gè)認(rèn)證功能的認(rèn)證管理器165、提供加密功能的加密 模塊170、設(shè)置數(shù)字簽名的數(shù)字簽名模塊175、 MAC模塊180和安全存儲(chǔ)加 密密鑰等的安全存儲(chǔ)模塊185。
當(dāng)接收到從終端110傳送的通知消息時(shí),認(rèn)證^^莫塊155產(chǎn)生包括用戶身 份模塊120的數(shù)字簽名的響應(yīng)消息。另外,認(rèn)證模塊155使用從終端110傳 送的結(jié)果消息認(rèn)證終端110。接口模塊160接收從終端IIO傳送的通知消息并 將響應(yīng)于該通知消息產(chǎn)生的響應(yīng)消息傳送給終端110。
用戶身份模塊120和終端110都存儲(chǔ)唯一的一對(duì)公鑰和秘密密鑰。具體 地講,秘密密鑰被存儲(chǔ)在TRM(防篡改模塊)來防止任何未授權(quán)訪問。如圖2 所示,用戶身份模塊120與終端IIO交互以與服務(wù)提供者IOO執(zhí)行相互認(rèn)證。 根據(jù)本發(fā)明使用的協(xié)議以特定加密算法、數(shù)字簽名或MAC算法被獨(dú)立構(gòu)造。 例如,RSA(不對(duì)稱公鑰加密算法)或任何其他算法可凈皮用作/〉鑰加密算法。
處理。圖5是顯示根據(jù)本發(fā)明的服務(wù)提供者、終端和用戶身份模塊之間的相 互認(rèn)證的處理的流程圖。圖6中的(a)至(d)是顯示根據(jù)本發(fā)明的在服務(wù)提供者、 終端和用戶身份模塊之間發(fā)送或接收的消息的格式的示圖。
假設(shè)服務(wù)提供者、終端和用戶身份模塊的每一個(gè)已經(jīng)接收到基于公鑰的 結(jié)構(gòu)的 一對(duì)公鑰和秘密密鑰以使用用于相互認(rèn)證的密鑰。
參照?qǐng)D5,在步驟300,服務(wù)提供者IOO將通知消息發(fā)送給終端110。月良 務(wù)提供者100可周期性地發(fā)送通知消息以開始認(rèn)證處理,或者當(dāng)終端110將 認(rèn)證請(qǐng)求直接發(fā)送給服務(wù)提供者100時(shí)服務(wù)提供者IOO可發(fā)送通知消息。用 戶身份模塊120和終端110可使用公鑰密碼系統(tǒng)中先前接收的服務(wù)提供者100 的公鑰來驗(yàn)證服務(wù)提供者100的數(shù)字簽名的真實(shí)性。因此,甚至在沒有來自
終端110的直接認(rèn)證請(qǐng)求的情況下,可在服務(wù)提供者IOO單方發(fā)送通知消息
的情況下開始認(rèn)證處理。
從服務(wù)提供者100發(fā)送給終端110的通知消息具有如圖6中的(a)所示的 格式。參照?qǐng)D6中的(a),通知消息格式包含字段ID—SP400、 RND 405、 TS1 410和Sign—SP(ID—SP||RND||TS1) 420。 ID—SP 400是指示服務(wù)提供者的身份 信息(標(biāo)識(shí)符)的字段。RND 405是存儲(chǔ)隨機(jī)提取以指示新接收的消息的信息 (隨機(jī)數(shù))的字段。TS1 410是用于設(shè)置由服務(wù)提供者進(jìn)行的第一發(fā)送的時(shí)間信 息的字段。Sign—SP(ID—SP||RND||TS1) 420是代表來自服務(wù)提供者的第一消息 上的數(shù)字簽名的字段。
當(dāng)接收到具有以上格式的通知消息時(shí),在步驟305,終端110將"f妻收的 消息簡(jiǎn)單傳送給用戶身份模塊120。隨后,在步驟310,用戶身份模塊120產(chǎn) 生包括其自己的數(shù)字簽名的響應(yīng)消息。該數(shù)字簽名可說明該響應(yīng)消息來自用 戶身份模塊120。響應(yīng)消息具有如圖6中的(b)所示的沖各式。響應(yīng)消息才各式包 含字4殳ID_SP 400 、 RND 405 、 TS1 410 、 ID_U 440 和 Sign—U(ID_SP||RND||TS 1||IDJJ) 445。 ID—U 440是代表用戶身份模塊120的身 份信息的字段。Sign—U(ID—SP||RND||TS1||ID—U) 445是用于設(shè)置用戶身份模塊 120的數(shù)字簽名的字^:。
當(dāng)在步驟315將響應(yīng)消息從用戶身份模塊120傳送給終端110時(shí),終端 110將其自己的數(shù)字簽名添加到該響應(yīng)消息。具有終端的數(shù)字簽名的響應(yīng)消 息具有如圖6中的(c)的格式,該格式將兩個(gè)字段(即,ID—T 450和 Sign一T(ID—SP||RND||TS1||TD—T) 455)額外添加到圖6中的(b)的消息格式。 ID一T450是代表終端110的身份信息的字段。SignJT(ID—SP||RND||TS1||TD—T) 455是用于設(shè)置終端110的數(shù)字簽名的字段。在步驟325,終端110將如圖6 中的(c)所示的格式的響應(yīng)消息(即,具有終端的數(shù)字簽名的響應(yīng)消息)發(fā)送給 服務(wù)提供者100。
在步驟330,服務(wù)提供者100通過驗(yàn)證接收的響應(yīng)消息產(chǎn)生認(rèn)證結(jié)果消 息。具體地講,服務(wù)提供者100使用與ID—U 440和ID—T 450相應(yīng)的/>鑰來 驗(yàn)證接收的響應(yīng)消息中的兩個(gè)字段,即,Sign一U(ID—SP||RND||TS1||ID—U) 445 和Sign—T(ID_SP||RND||TS1||TD—T) 455,在Sign—U(ID—SP||RND||TS1||IDU) 445中已經(jīng)設(shè)置了用戶身份模塊 120 的數(shù)字簽名,在 Sign一T(ID—SP||RND||TS1||TD—T) 455中已經(jīng)設(shè)置了終端110的數(shù)字簽名。此
時(shí),服務(wù)提供者100通過驗(yàn)證每一相關(guān)字段來認(rèn)證用戶身^分模塊120和終端 110。
當(dāng)成功驗(yàn)證了用戶身份模塊120的數(shù)字簽名時(shí),服務(wù)提供者100隨后認(rèn) 證用戶身份模塊120并產(chǎn)生通知認(rèn)證成功的ProofJJ消息。通知成功"i人證所 使用的數(shù)據(jù)Proof—U包括ID—UII"Success"。當(dāng)認(rèn)證失敗時(shí),服務(wù)提供者100 產(chǎn)生包括ID—UII"Fail"的ProofJJ消息。相似地,服務(wù)才是供者100使用終端110 的公鑰驗(yàn)證字段Sign—T(ID—SP||RND||TS1||TD—T) 455中的終端的數(shù)字簽名。 當(dāng)驗(yàn)證成功時(shí),服務(wù)提供者100產(chǎn)生包括ID—TII"Success"的Proof_T消息以報(bào) 告認(rèn)證成功。相反,服務(wù)提供者100產(chǎn)生包括ID—T| I "Failure"的Proof—T消息 以報(bào)告認(rèn)證失敗。
在步驟335,服務(wù)提供者100將包括在終端110和用戶身份模塊120上 執(zhí)行的認(rèn)證結(jié)果的認(rèn)證結(jié)果消息發(fā)送給終端110。認(rèn)證結(jié)果消息具有如圖6 中的(d)所示的格式。消息格式包含字段E(Pub—U, K) 460、 Proof—U 465、 Proof—T 470、 TS2 475和Sign一SP(E(Pub一U, K)||Proof—U||Proof_T||TS2) 480。 E(Pub一U, K) 460是包含關(guān)于用公鑰進(jìn)行加密的會(huì)話密鑰K的信息的字^殳。 ProofJJ 465和Proof—T 470是分別代表用戶身份模塊120和終端110的認(rèn)證 結(jié)果的字段。TS2 475是用于設(shè)置由服務(wù)提供者100進(jìn)行第二發(fā)送的時(shí)間信息 (時(shí)間戳)的字段。Sign—SP(E(Pub_U, K川Proof—Uj|Proof—T||TS2) 480是用于設(shè)置 服務(wù)提供者100的數(shù)字簽名的字段。加密的信息字段可由例如E(P,D)來代表, E(P, D)是指用于用加密密鑰K加密數(shù)據(jù)D的算法。E代表加密。
當(dāng)從服務(wù)提供者100接收到認(rèn)證結(jié)果消息時(shí),終端IIO將該消息傳送給 用戶身份模塊120,從而其可被用戶身份模塊120認(rèn)證。換句話說,在步驟 345,終端110和用戶身份模塊120執(zhí)行相互認(rèn)證,并且在驗(yàn)證認(rèn)證結(jié)果消息 的情況下執(zhí)行相關(guān)操作。
具體地講,終端UO驗(yàn)證認(rèn)證結(jié)果消息中的TS2 475字段。如果TS2中 的時(shí)間值是預(yù)定范圍外的值,則終端110將通知用戶身份模塊120和用戶該 消息不可信。如果該時(shí)間值在預(yù)定范圍內(nèi),則終端110將隨后驗(yàn)證該消息上 的數(shù)字簽名。如果驗(yàn)證失敗,則終端110將向用戶身份模塊120和用戶通知 失敗,并停止所有相關(guān)操作。
如果驗(yàn)證數(shù)字簽名成功,則終端110將檢查認(rèn)i正結(jié)果消息中的Proof—U 465以確認(rèn)用戶身份模塊120是否可信。如果ProofJJ 465中的認(rèn)證結(jié)果是
"Fail",則終端110將錯(cuò)誤消息發(fā)送給用戶身份模塊120和用戶,并將停止所 有相關(guān)操作。相反,如果認(rèn)證結(jié)果是"Success",則終端110將識(shí)別出"i人證用 戶身份模塊120成功,并將結(jié)束認(rèn)證處理。
用戶身份模塊120也驗(yàn)證認(rèn)證結(jié)果消息中的TS2 475。如果TS2中的時(shí) 間值是預(yù)定范圍外的值,則用戶身份模塊120將通知終端IIO該消息不可信, 并將停止所有相關(guān)操作。如果時(shí)間值在預(yù)定范圍內(nèi),則用戶身份模塊120隨 后將驗(yàn)證該消息上的數(shù)字簽名。如果驗(yàn)證失敗,則用戶身份模塊120將向終 端110通知失敗,并停止所有相關(guān)操作。如果驗(yàn)證數(shù)字簽名成功,則用戶身 份模塊120將檢查認(rèn)證結(jié)果消息中的Proof一T470以確認(rèn)終端IIO是否可信。 如果Proof—T 470中的認(rèn)證結(jié)果是"Fail",則用戶身^分才莫塊120將錯(cuò)誤消息發(fā) 送給終端110,并將停止所有相關(guān)操作。相反,如果認(rèn)證結(jié)果是"Success", 則用戶身份模塊120將識(shí)別出認(rèn)證終端110成功,并將結(jié)束認(rèn)證處理。
當(dāng)終端110和用戶身份模塊120之間的相互i^i正成功時(shí),用戶身傷叫莫塊 120和服務(wù)提供者100可共享會(huì)話密鑰K。換句話說,用戶身份模塊120從 認(rèn)證結(jié)果消息獲得會(huì)話密鑰K,從而可與服務(wù)提供者IOO共享會(huì)話密鑰。
以上已經(jīng)解釋基于公鑰的相互認(rèn)證。下面,將參照?qǐng)D7和圖8詳細(xì)解釋 根據(jù)本發(fā)明另一實(shí)施例的基于對(duì)稱密鑰的相互認(rèn)證。圖7是顯示根據(jù)本發(fā)明 的服務(wù)提供者、終端和用戶身份模塊之間的相互認(rèn)證的處理的流程圖。圖8 中的(a)至(g)是顯示根據(jù)本發(fā)明的服務(wù)提供者、終端和用戶身份模塊之間發(fā)送 或接收的消息的格式的示圖。
本發(fā)明的實(shí)施例提供一種使用 一對(duì)加密(對(duì)稱)密鑰(一個(gè)是在服務(wù)提供者 和終端之間共享的密鑰,另一個(gè)是服務(wù)提供者和用戶身份模塊之間共享的密 鑰)的基于對(duì)稱密鑰的相互認(rèn)證。當(dāng)服務(wù)提供者發(fā)送消息時(shí),服務(wù)提供者用與 用戶身份模塊或終端之間共享的加密密鑰保護(hù)該消息。因此,與本發(fā)明的第 一實(shí)施例不同,服務(wù)提供者100不能首先將通知消息發(fā)送給任何終端。根據(jù) 此實(shí)施例,終端110首先將認(rèn)證的請(qǐng)求發(fā)送給服務(wù)提供者100。
參照?qǐng)D7,在步驟500,用戶身份模塊120將如圖8中的(a)所示的其身 份信息ID—U 600傳送給終端110。隨后,終端110進(jìn)行步驟505以將其身份 信息ID—T 605添加到從用戶身份模塊120接收的身4分信息ID—U 600,并將如 圖8中的(b)所示帶有IDJJ 600和ID一T 605的認(rèn)證請(qǐng)求消息發(fā)送給服務(wù)提供 者100。
響應(yīng)于認(rèn)證請(qǐng)求消息,在步驟510,服務(wù)提供者IOO產(chǎn)生通知消息,并 且在步驟515,將該消息發(fā)送給終端110。隨后在步驟520,終端110將該通 知消息傳送給用戶身份模塊120。通知消息具有如圖8中的(c)所示的才各式。 該格式包含字段指示服務(wù)提供者IOO的身份信息的ID_SP610;指示隨機(jī)數(shù) 的RND 615;代表由服務(wù)提供者100進(jìn)行的第一發(fā)送的時(shí)間信息的TS1 620; 包括使用用戶身份模塊120和服務(wù)提供者IOO之間共享的加密(對(duì)稱)密鑰對(duì)括 號(hào)中的數(shù)據(jù)執(zhí)行的MAC(消息認(rèn)證編碼)算法的MAC1 625;包括使用在終端 110和服務(wù)提供者100之間共享的加密(對(duì)稱)密鑰對(duì)括號(hào)中的數(shù)據(jù)執(zhí)行的 MAC算法的MAC2 630。
當(dāng)具有以上格式的通知消息通過終端110被傳送到用戶身份模塊120時(shí), 在步驟525,用戶身份模塊120產(chǎn)生具有如圖8中的(d)所示的格式的響應(yīng)消 息。該響應(yīng)消息格式包括如下字段:指示用戶身份模塊120的身份信息的ID—U 635和用于設(shè)置通過使用用戶身份模塊120和服務(wù)提供者IOO之間共享的加 密密鑰實(shí)現(xiàn)的MAC算法獲得的值的MAC1 640。在步驟530,用戶身份才莫塊 120將產(chǎn)生的響應(yīng)消息傳送給終端110。隨后在步驟535,終端IIO將其MAC 算法添加到接收的響應(yīng)消息。換句話說,如圖8中的(e)所示,額外的兩個(gè)字 段(即,ID—T650和MAC2 655, ID—T 650指示終端110的身份信息,MAC2 655 用于設(shè)置使用在終端110和服務(wù)提供者110之間共享的加密密鑰實(shí)現(xiàn)的MAC 算法的結(jié)果值)被添加到從用戶身份模塊120接收的響應(yīng)消息。
在步驟540,終端110將如圖8中的(e)所示的響應(yīng)消息發(fā)送給服務(wù)^是供 者100。在步驟545,服務(wù)提供者IOO驗(yàn)證該響應(yīng)消息以產(chǎn)生具有如圖8中的 (f)所示的格式的認(rèn)證結(jié)果消息,并在步驟550,將該認(rèn)證結(jié)果消息發(fā)送給終 端110。由于下面提取終端110和用戶身^分模塊120的每一個(gè)的認(rèn)證結(jié)果的處 理與在本發(fā)明第一實(shí)施例中解釋的相同,因此將不進(jìn)行進(jìn)一步解釋。認(rèn)證結(jié) 果消息包括i人-i正結(jié)果Proof—U 665和Proof—T 670,其顯示終端110和用戶身 份模塊120的認(rèn)證是否成功。
參照?qǐng)D8中的(f),發(fā)送給終端110的認(rèn)證結(jié)果消息包含如下字段用于 設(shè)置用用戶身份模塊120和服務(wù)提供者IOO之間共享的加密密鑰Syml對(duì)會(huì) 話密鑰K加密的結(jié)果值的E(Syml,K) 660; Proof—U 665; Proof—T 670;用于 設(shè)置由服務(wù)提供者100進(jìn)行的第二發(fā)送的時(shí)間信息(時(shí)間戳)的TS2 675;用于 設(shè)置對(duì)用戶身份模塊120執(zhí)行的MAC算法的結(jié)果值的MAC1 680;和用于設(shè)
置對(duì)終端110執(zhí)行MAC算法的結(jié)果值的MAC2 685。
當(dāng)從服務(wù)提供者100接收到認(rèn)證結(jié)果消息時(shí),在步驟555,終端110將 除了認(rèn)證用戶身份模塊120所需的字段的消息(圖8中的(g)的格式)傳送給用 戶身份模塊120。接下來,在步驟560,終端110對(duì)用戶身份模塊120執(zhí)行認(rèn) 證并執(zhí)行相關(guān)操作。用戶身份模塊120還對(duì)終端110執(zhí)行認(rèn)證并且執(zhí)行相關(guān) 操作。根據(jù)本發(fā)明第一實(shí)施例的認(rèn)證包括對(duì)數(shù)字簽名的驗(yàn)證,而根據(jù)第二實(shí) 施例的認(rèn)證包括MAC驗(yàn)證。具體地講,終端110通過驗(yàn)證MAC2 685的處 理認(rèn)證用戶身份模塊120, MAC2 685設(shè)置用終端110和服務(wù)提供者100之間 共享的加密密鑰的MAC算法的結(jié)果值。采用這種認(rèn)證,能夠在用戶身份模 塊120和服務(wù)提供者100之間共享會(huì)話密鑰K,并且確定每一模塊是否可信。
盡管為了示例性目的描述了本發(fā)明的優(yōu)選實(shí)施例,但是本領(lǐng)域的技術(shù)人 員應(yīng)該理解,在不脫離由包括其等同物的全部范圍的權(quán)利要求限定的本發(fā)明 的范圍和精神的情況下,可以進(jìn)行各種修改、添加和替換。
權(quán)利要求
1、一種認(rèn)證并管理服務(wù)提供者、終端和用戶身份模塊的方法,包括將通知消息通過終端從服務(wù)提供者傳送給用戶身份模塊;驗(yàn)證與通知消息相應(yīng)的響應(yīng)消息;根據(jù)驗(yàn)證的結(jié)果產(chǎn)生認(rèn)證結(jié)果消息并將該認(rèn)證結(jié)果消息發(fā)送給終端和用戶身份模塊;和基于認(rèn)證結(jié)果消息在終端和用戶身份模塊中執(zhí)行相互認(rèn)證。
2、 如權(quán)利要求l所述的方法,其中,所述通知消息具有包括以下字段的 格式身份信息字段,提供服務(wù)提供者的身份信息;隨機(jī)數(shù)字段,存儲(chǔ)隨機(jī) 提取的信息;時(shí)間戳字段,提供由服務(wù)提供者發(fā)送通知消息的時(shí)間信息;和 數(shù)字簽名字段,設(shè)置服務(wù)提供者的數(shù)字簽名。
3、 如權(quán)利要求l所述的方法,還包括以下步驟當(dāng)用戶身份模塊接收到通過終端傳送的通知消息時(shí),通過將用戶身份模 塊的數(shù)字信號(hào)添加到通知消息來產(chǎn)生響應(yīng)消息;和當(dāng)終端從用戶身份模塊接收到響應(yīng)消息時(shí),將終端的數(shù)字簽名添加到接 收的響應(yīng)消息,并將具有終端的數(shù)字簽名的響應(yīng)消息發(fā)送給服務(wù)提供者。
4、 如權(quán)利要求3所述的方法,其中,從用戶身份模塊發(fā)送的所述響應(yīng)消 息具有包括以下字段的格式身份信息字段,提供服務(wù)提供者的身份信息; 隨機(jī)數(shù)字段,存儲(chǔ)隨機(jī)提取的信息;時(shí)間戳字段,提供時(shí)間信息;身份信息 字段,提供用戶身份模塊的身份信息;和數(shù)字簽名字段,設(shè)置用戶身份模塊 的數(shù)字簽名。
5、 如權(quán)利要求3所述的方法,其中,從終端發(fā)送的所述響應(yīng)消息具有包 括以下字段的格式身份信息字段,提供終端的身份信息;和數(shù)字簽名字段, 設(shè)置添加到從用戶身份模塊發(fā)送的響應(yīng)消息的終端的數(shù)字簽名。
6、 如權(quán)利要求l所述的方法,其中,所述驗(yàn)證響應(yīng)消息的步驟是由服務(wù) 提供者使用公鑰對(duì)響應(yīng)消息中的用于設(shè)置終端的數(shù)字簽名的數(shù)字簽名字段執(zhí) 行的驗(yàn)證處理。
7、 如權(quán)利要求l所述的方法,其中,所述驗(yàn)證響應(yīng)消息的步驟是使用公 鑰對(duì)響應(yīng)消息中的用于設(shè)置用戶身份模塊的數(shù)字簽名的數(shù)字簽名字段進(jìn)行驗(yàn)證。
8、 如權(quán)利要求l所述的方法,其中,所述產(chǎn)生并發(fā)送認(rèn)證結(jié)果的步驟包括輸出通知認(rèn)證終端成功或失敗的i^證結(jié)果; 輸出通知認(rèn)證用戶身份模塊成功或失敗的認(rèn)證結(jié)果; 產(chǎn)生認(rèn)證結(jié)果消息,并發(fā)送產(chǎn)生的認(rèn)證結(jié)果消息,該認(rèn)證結(jié)果消息包括 終端和用戶身份模塊的認(rèn)證結(jié)果以及關(guān)于用公鑰加密的會(huì)話密鑰的信息。
9、 如權(quán)利要求l所述的方法,其中,所述執(zhí)行相互認(rèn)證的步驟包括由終 端執(zhí)行的以下子步驟通過檢查接收的認(rèn)證結(jié)果消息內(nèi)的數(shù)字簽名字段和時(shí)間戳字段來驗(yàn)證該 消息;和當(dāng)驗(yàn)證成功時(shí),確認(rèn)認(rèn)證用戶身份才莫塊是否成功。
10、 如權(quán)利要求9所述的方法,其中,所述執(zhí)行相互認(rèn)證的步驟還包括 當(dāng)驗(yàn)證或認(rèn)證失敗時(shí),將失敗通知給用戶身份模塊,并停止相關(guān)操作。
11、 如權(quán)利要求l所述的方法,其中,所述執(zhí)行相互認(rèn)證的步驟包括由 用戶身份模塊執(zhí)行的以下子步驟通過檢查接收的認(rèn)證結(jié)果消息內(nèi)的數(shù)字簽名字段和時(shí)間戳字段來驗(yàn)證該 消息;當(dāng)驗(yàn)證成功時(shí),確認(rèn)認(rèn)證終端是否成功,和當(dāng)認(rèn)證成功時(shí),從認(rèn)證結(jié)果消息獲得與服務(wù)提供者共享的會(huì)話密鑰。
12、 一種認(rèn)證并管理服務(wù)提供者、終端和用戶身份模塊的方法,該方法 包括以下步驟接收從終端發(fā)送給服務(wù)提供者的認(rèn)證請(qǐng)求消息;產(chǎn)生與認(rèn)證請(qǐng)求消息相應(yīng)的通知消息,并通過終端將該通知消息從服務(wù) 提供者傳送給用戶身份模塊;一瞼i正與通知消息相應(yīng)的響應(yīng)消息;根據(jù)驗(yàn)證的結(jié)果產(chǎn)生認(rèn)證結(jié)果消息,并將該認(rèn)證結(jié)果消息發(fā)送給終端和用戶身份模塊;和基于認(rèn)證結(jié)果消息在終端和用戶身份模塊中執(zhí)行認(rèn)證。
13、 如權(quán)利要求12所述的方法,其中,從終端接收的所述認(rèn)證請(qǐng)求消息 包括終端和用戶身份模塊的身份信息。
14、 如權(quán)利要求12所述的方法,其中,所述通知消息具有包括以下字段的格式身份信息字段,提供服務(wù)提供者的身份信息;隨機(jī)數(shù)字段;時(shí)間戳 字段;MAC1字段,設(shè)置關(guān)于使用在服務(wù)提供者和用戶身份模塊之間共享的 第一加密密鑰實(shí)現(xiàn)的MAC算法的信息;和MAC2字段,設(shè)置關(guān)于使用在服 務(wù)提供者和終端之間共享的第二加密密鑰實(shí)現(xiàn)的MAC算法的信息。
15、 如權(quán)利要求12所述的方法,還包括當(dāng)用戶身份模塊接收到通過終端傳送的通知消息時(shí),產(chǎn)生包括關(guān)于使用 與服務(wù)提供者共享的第一加密密鑰實(shí)現(xiàn)的MAC算法的信息的響應(yīng)消息;和當(dāng)終端從用戶身份模塊接收到響應(yīng)消息時(shí),將關(guān)于使用與服務(wù)提供者共 享的第二加密密鑰實(shí)現(xiàn)的MAC算法的信息添加到接收的響應(yīng)消息,并將具 有基于第二加密密鑰的MAC算法信息的響應(yīng)消息發(fā)送給服務(wù)提供者。
16、 如權(quán)利要求15所述的方法,其中,由用戶身份模塊產(chǎn)生的所述響應(yīng) 消息還包括用戶身份模塊的身份信息。
17、 如權(quán)利要求15所述的方法,其中,所述終端還將其身份信息添加到 具有基于第二加密密鑰的MAC算法信息的響應(yīng)消息。
18、 如權(quán)利要求12所述的方法,其中,所述驗(yàn)證響應(yīng)消息的步驟是由服 務(wù)提供者使用與用戶身份模塊共享的第 一加密密鑰對(duì)響應(yīng)消息中的MAC算 法信息執(zhí)行的驗(yàn)證處理。
19、 如權(quán)利要求12所述的方法,其中,所述驗(yàn)證響應(yīng)消息的步驟是由服 務(wù)提供者使用與終端共享的第二加密密鑰對(duì)響應(yīng)消息中的MAC算法信息執(zhí) 行的驗(yàn)證處理。
20、 如權(quán)利要求12所述的方法,其中,所述產(chǎn)生并發(fā)送認(rèn)證結(jié)果消息的 步驟包括輸出通知認(rèn)證終端和用戶身份模塊成功或失敗的認(rèn)證結(jié)果;和 產(chǎn)生包括終端和用戶身份模塊的認(rèn)證結(jié)果的認(rèn)證結(jié)果消息,并發(fā)送產(chǎn)生 的認(rèn)證結(jié)果消息。
21、 如權(quán)利要求20所述的方法,其中,所述認(rèn)證結(jié)果消息具有包括以下 字段的格式用于設(shè)置關(guān)于用用戶身份模塊和服務(wù)提供者之間共享的加密密 鑰加密的會(huì)話密鑰的信息的字段、代表用戶身份模塊的認(rèn)證結(jié)果的字段、代 表終端的認(rèn)證結(jié)果的字段、用于設(shè)置時(shí)間信息的時(shí)間戳字段、用于設(shè)置使用 在用戶身份模塊和服務(wù)提供者之間共享的第一加密密鑰實(shí)現(xiàn)的MAC算法的 信息的MAC字段以及用于設(shè)置使用終端和服務(wù)提供者之間共享的第二加密密鑰實(shí)現(xiàn)的MAC算法的信息的MAC字段。
22、 如權(quán)利要求12所述的方法,其中,所述執(zhí)行認(rèn)證的步驟包括由終端 執(zhí)行的以下子步驟通過檢查接收的認(rèn)證結(jié)果消息中的時(shí)間信息和MAC算法信息來驗(yàn)證該 消息;和當(dāng)驗(yàn)證成功時(shí),確認(rèn)認(rèn)證用戶身份模塊是否成功。
23、 如權(quán)利要求12所述的方法,其中,所述執(zhí)行認(rèn)證的步驟包括由用戶 身份模塊執(zhí)行的以下子步驟通過檢查接收的認(rèn)證結(jié)果消息中的時(shí)間信息和MAC算法信息來驗(yàn)證該消息;當(dāng)-驗(yàn)i正成功時(shí),確i人i人^正終端是否成功;和當(dāng)認(rèn)證成功時(shí),從認(rèn)證結(jié)果消息獲得與服務(wù)提供者共享的會(huì)話密鑰。
24、 一種用于在服務(wù)提供者、終端和用戶身份模塊之間相互認(rèn)證的系統(tǒng), 包括服務(wù)提供者,用于發(fā)送通知消息,驗(yàn)證與通知消息相應(yīng)的響應(yīng)消息,并 基于該驗(yàn)證產(chǎn)生用于終端和用戶身份模塊的認(rèn)證結(jié)果消息;終端,用于將從服務(wù)提供者接收的通知消息傳送給用戶身份模塊,將從 用戶身份模塊接收的響應(yīng)消息發(fā)送給服務(wù)提供者,從服務(wù)提供者接收認(rèn)證結(jié) 果消息,并使用認(rèn)證結(jié)果消息認(rèn)證用戶身份模塊;和用戶身份模塊,用于產(chǎn)生與通知消息相應(yīng)的響應(yīng)消息,將響應(yīng)消息傳送 給終端,并使用通過終端接收的認(rèn)證結(jié)果消息認(rèn)證終端。
25、 如權(quán)利要求24所述的系統(tǒng),其中,所述服務(wù)提供者使用公鑰驗(yàn)證響 應(yīng)消息,并發(fā)送包括終端和用戶身份模塊的認(rèn)證結(jié)果的認(rèn)證結(jié)果消息。
26、 一種用于在服務(wù)提供者、終端和用戶身份模塊之間相互認(rèn)證的系統(tǒng), 包括服務(wù)提供者,響應(yīng)于從終端接收的認(rèn)證請(qǐng)求消息發(fā)送通知消息,驗(yàn)證與 通知消息相應(yīng)的響應(yīng)消息,并基于該驗(yàn)證產(chǎn)生用于終端和用戶身份模塊的認(rèn) 證結(jié)果消息;終端,用于將從服務(wù)提供者接收的通知消息傳送給用戶身份模塊,將從 用戶身份模塊接收的響應(yīng)消息發(fā)送給服務(wù)提供者,從服務(wù)提供者接收認(rèn)證結(jié) 果消息,并使用與服務(wù)提供者共享的加密密鑰認(rèn)證用戶身份模塊;和 用戶身〗分模塊,產(chǎn)生與通知消息相應(yīng)的響應(yīng)消息,將響應(yīng)消息傳送給終 端,接收從終端傳送的認(rèn)證結(jié)果消息,并且使用與服務(wù)提供者共享的加密密鑰i^"i正終端。
27、 如權(quán)利要求26所述的系統(tǒng),其中,所述用戶身份模塊通過使用用戶 身份模塊和服務(wù)提供者之間共享的加密密鑰實(shí)現(xiàn)MAC算法來產(chǎn)生響應(yīng)消息, 并將產(chǎn)生的響應(yīng)消息傳送給終端。
28、 如權(quán)利要求26所述的系統(tǒng),其中,所述終端將使用終端和服務(wù)提供 者之間共享的加密密鑰實(shí)現(xiàn)的MAC算法的信息添加到從用戶身份模塊接收 的響應(yīng)消息,并將具有該MAC算法信息的響應(yīng)消息發(fā)送給服務(wù)提供者。
29、 一種用于服務(wù)提供者、終端和用戶身份模塊的綜合認(rèn)證和管理的方 法,包括由終端執(zhí)行的以下步驟從服務(wù)提供者接收通知消息,并將該通知消息傳送給用戶身份模塊; 從用戶身份模塊接收與通知消息相應(yīng)的響應(yīng)消息,將認(rèn)證終端所需的信 息添加到響應(yīng)消息,并將具有認(rèn)證信息的響應(yīng)消息傳送給服務(wù)提供者; 接收用戶身份模塊和終端的驗(yàn)證結(jié)果消息; 使用接收的結(jié)果消息認(rèn)證用戶身份模塊;和將結(jié)果消息傳送給用戶身份模塊,從而可由用戶身份模塊認(rèn)證終端。
30、 如權(quán)利要求29所述的方法,其中,認(rèn)證所需的所述信息包括終端的數(shù)字簽名。
31、 如權(quán)利要求29所述的方法,其中,來自用戶身份模塊的所述響應(yīng)消 息包括用戶身份模塊的數(shù)字簽名。
32、 一種在服務(wù)提供者、終端和用戶身份模塊之間的相互認(rèn)證中使用的 終端裝置,包括通信模塊,用于從服務(wù)提供者接收通知消息,并將與通知消息相應(yīng)的響 應(yīng)消息發(fā)送給服務(wù)提供者;接口模塊,用于將通過通信模塊接收的通知消息傳送給用戶身份模塊, 并從用戶身份才莫塊接收與通知消息相應(yīng)的響應(yīng)消息;和認(rèn)證模塊,用于將認(rèn)證終端所需的信息添加到將被發(fā)送給服務(wù)提供者的端執(zhí)行的驗(yàn)證結(jié)果的結(jié)果消息來認(rèn)證用戶身份模塊,并將接收的結(jié)果消息傳 送給用戶身份模塊,從而可由用戶身份模塊認(rèn)證終端。
33、 如權(quán)利要求32所述的終端裝置,其中,所述認(rèn)證模塊包括 認(rèn)證管理器,用于管理整個(gè)認(rèn)證功能;加密模塊,用于提供加密功能; 數(shù)字簽名模塊,用于設(shè)置數(shù)字簽名; MAC模塊,用于實(shí)現(xiàn)MAC算法;和 安全存儲(chǔ)模塊,用于安全存儲(chǔ)加密密鑰。
34、 如權(quán)利要求32所述的終端裝置,其中,所述認(rèn)證模塊包括在認(rèn)證所 需的信息中的終端的數(shù)字簽名。
35、 如權(quán)利要求32所述的終端裝置,其中,所述用戶身份模塊包括 認(rèn)證模塊,當(dāng)接收到從終端傳送的通知消息時(shí),產(chǎn)生包括用戶身份模塊的數(shù)字簽名的響應(yīng)消息,并使用從終端傳送的結(jié)果消息認(rèn)證終端;和接口才莫塊,通過終端接收通知消息,并將響應(yīng)于通知消息產(chǎn)生的響應(yīng)消 息傳送給終端。
36、 如權(quán)利要求34所述的終端裝置,其中,所述認(rèn)證模塊包括 認(rèn)證管理器,用于管理整個(gè)認(rèn)證功能;加密模塊,用于提供加密功能; 數(shù)字簽名模塊,用于設(shè)置數(shù)字簽名; MAC模塊,用于實(shí)現(xiàn)MAC算法;和 安全存儲(chǔ)模塊,用于安全地存儲(chǔ)加密密鑰。
全文摘要
公開了一種在服務(wù)提供者、終端和用戶身份模塊之間相互綜合認(rèn)證的方法和系統(tǒng)。以能夠與當(dāng)前網(wǎng)絡(luò)安全環(huán)境的公鑰架構(gòu)交互并且可獨(dú)立地使用在特定網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)配置認(rèn)證系統(tǒng)。綜合認(rèn)證方法被分為公鑰認(rèn)證和對(duì)稱密鑰認(rèn)證??墒褂脙煞N認(rèn)證方案中的任何一個(gè)在服務(wù)提供者、終端和用戶身份模塊之間進(jìn)行相互認(rèn)證。隨后用戶可基于用戶的身份使用內(nèi)容許可證來訪問任何終端裝置上的內(nèi)容。
文檔編號(hào)H04L9/32GK101189827SQ200680019600
公開日2008年5月28日 申請(qǐng)日期2006年5月25日 優(yōu)先權(quán)日2005年6月3日
發(fā)明者李炳來, 旭 金, 黃承吾 申請(qǐng)人:三星電子株式會(huì)社