[发明专利]基于SIM的认证

说明书

技术领域

本发明大致涉及无线通信网络中的移动终端的认证领域，具体地说， 涉及用于由用户身份识别模块提供此类认证的方法和系统。

背景技术

SIM(用户身份识别模块)卡是通常可以在移动电话中看到的智能 卡。实际上，SIM卡是在例如GSM或UMTS(通用移动通信系统)的移 动蜂窝通信网络中运行的几乎全部移动电话的必要部件。在例如UMTS 的第三代(3G)网络中，SIM卡能够支持多种应用，包括主要用于在3G 网络中对移动用户进行认证的标准SIM应用。

过去，GSM和3G中基于SIM的认证总是与移动蜂窝网络自身链接。 例如，在3G中，基于SIM的认证链接到核心移动蜂窝网络内的归属用 户服务器(HSS)。HSS存储与SIM相关联的用户和认证信息，并通过验 证存储在SIM卡上的信息对SIM进行认证，接着对移动电话进行认证。 这是利用质询回应技术(challenge response technique)来验证HSS和SIM 两者上安全地保持的共享密钥是一致的来实现的。一旦认证，另一认证 密钥可由HSS和SIM生成，使得可安全地进行HSS和移动蜂窝网络中 由HSS授权的其他实体例如应用服务器之间、以及和包含SIM的装置之 间的通信。

然而，在现有系统中，没有规定从移动装置或SIM自身启动认证， 并直接地而不是通过HSS或移动蜂窝网络将认证导向其他本地实体或其 他装置。

事实上，在现有系统中不存在规定更有效地使用SIM，并且特别是 不存在利用SIM的防篡改特性以及在例如本地Wi-Fi网络的本地环境中 SIM卡认证能力的规定。例如3G规范下的通用认证架构(GAA，Generic Authentication Architecture)或用于SIM的可扩展认证协议(EAP-SIM， Extensible Authentication Protocol for SIM)的现有解决方案利用HSS和 SIM之间的现有非对称关系，并要求在每个认证处理过程中引入网络运 营商，并因此在实际认证中要求连接到运营商的设备。此类解决方案不 适用于不总能保证连接到运营商的设备的本地环境，或者一旦设置本地 网络，运营商不愿充当主要认证源的情形。

发明内容

本发明的实施方式的目的是解决上述问题并提供改进的SIM驱动的 认证系统和方法。

根据本发明的一个方面，提供了一种在通信网络中认证的方法，所 述通信网络包括网络认证服务器、本地认证实体以及用户终端，所述本 地认证实体包括用户应用和认证应用，所述方法包括以下步骤：

(i)从所述本地认证实体向所述网络认证服务器发送对所述用户终 端进行认证的请求，所述请求包括用户终端的身份标识；

(ii)作为对所述请求的响应，由所述网络认证实体生成认证密钥， 并由用户应用生成相同的认证密钥；

(iii)安全地向由所述身份标识所标识的用户终端发送由所述网络 认证服务器生成的认证密钥，接着将所述认证密钥存储在所述用户终端 处；

(iv)安全地向所述认证应用发送由所述用户应用生成的认证密钥， 接着在所述认证应用处存储认证密钥；以及

(v)通过利用存储在所述认证应用处的认证密钥验证存储在所述用 户终端处的认证密钥来对所述用户终端进行认证。

优选地，所述本地认证实体还包括用户身份识别模块(SIM)，并且 用户身份识别模块应用和所述认证应用安全地设置在所述用户身份标识 模块上。

可由所述网络认证服务器生成认证密钥的事实是基于在网络认证服 务器和用户应用两者上都持有的共享密钥。

向所述网络认证服务器发送的所述请求中发送的标识可以是与所述 用户终端相关联的国际移动用户识别码。

优选地，所述通信网络是移动蜂窝网络，但本地认证实体和所述用 户终端之间的通信是本地网络上的而不是无线蜂窝网络上的通信。所述 本地网络可以是Wi-Fi网络。

本发明的实施方式使得本地认证实体(例如是家庭集线器(home hub))中的SIM卡能够改变与移动网络运营商的现有关系以建立安全的 和经认证的本地网络，其中家庭集线器中的SIM可用作其他具有SIM的 装置的认证中心。

这将把移动网络中现有的SIM认证技术改变为新的网络配置，包括 可在用户的家庭或小商店创建并维护的本地网络。