专利名称:用于鉴权终端的用户的方法、鉴权系统、终端、和授权设备的制作方法
技术领域:
本发明涉及一种用于鉴权终端的用户的方法、应用授权设备的终端、和被连接到该终端的授权设备。本发明还涉及一种鉴权系统,该鉴权系统包括这样的终端,该终端带有用来耦合至少用于鉴权的授权设备的装置,以及该授权设备配备有用于实施鉴权协议的装置。本发明还涉及一种终端,该终端带有用来耦合至少用于鉴权的授权设备的装置,以及该授权设备配备有用于实施鉴权协议的装置。此外,本发明涉及一种要被使用于用户鉴权的授权设备,该授权设备包括用于实施鉴权协议的装置。本发明进一步涉及一种包括机器可执行的步骤的计算机程序,其中所述的步骤用于鉴权配备有用于验证使用权利的设备的终端的用户,该用于验证使用权利的设备被应用来运行鉴权协议;以及涉及一种贮存媒体,该贮存媒体用于存储包括机器可执行的步骤的计算机程序,其中所述的步骤用于鉴权配备有用于验证使用权利的设备的终端的用户,该用于验证使用权利的设备被应用来运行鉴权协议。
在本说明中,授权设备是指一种功能性设备,它具有在该设备可运行之前和/或结合该设备的使用的、验证使用一个功能和/或设备的权利的装置。在本上下文中提到的、这样的用于验证的设备包括所谓的智能卡,它通常包括处理器、存储器和连接装置。该智能卡配备有软件等,用于处理进入到该智能卡的输入和用于生成响应。这样的智能卡例如被使用在移动台中,作为付费卡、作为电子识别卡等等。而且,有用于验证使用权利、防止使用被复制的软件的已知设备。这样的验证设备(被称为“道尔芯片(dongle)”或“硬锁”)例如被放置在计算机的打印机连接中,其中该软件包括安全程序,它例如探查该验证设备是否被耦合在打印机连接中,以及如果必要的话,它也检查可能被存储在该验证设备中的识别(例如,许可证号码)。虽然下面在本说明中,这样的用于验证使用权利的设备主要被称为智能卡,但显然,本发明并不限于只使用于智能卡。
有可能让一个要被使用于例如用户鉴权的智能卡连接到其上的终端是已知的。鉴权可能是必须的,例如,为了防止未授权的个人使用终端或在终端上执行这样的功能,即除该终端的已授权用户以外的其他个人没有使用该功能的权利。鉴权功能通常被安排为至少部分地与智能卡相连接,其中该终端把由用户输入的识别数据发送到智能卡。所使用的识别数据例如是用户名和密码或个人身份号(PIN)。该智能卡配备有鉴权协议,它通过将从终端发送的识别数据作为鉴权参量应用而被运行。藉助于该协议而例如计算参考号,该参考号被与存储在该智能卡中的身份号进行比较。这样,当这些号码匹配时,假定该用户就是他/她所声称的那个人。
当用户通过终端登录到数据网时,也可使用基于智能卡的解决方案。该数据网配备有鉴权服务器等,与之结合的是被存储的注册用户的识别数据,诸如他们的名字、用户识别和密码。因此,鉴权服务器和智能卡通过该终端和数据网来通信。另外,在这样的解决方案中,可能必须首先结合终端的开启来识别该用户,之后,在数据网的鉴权服务器中执行第二鉴权。这个第二鉴权是基于使用预定的鉴权协议和鉴权算法。因此,运行这个鉴权协议所必须的程序代码被存储在终端和数据网中。鉴权算法被存储在鉴权服务器和智能卡中。
在数据网中,例如可以通过从终端发送登录请求到数据网而执行鉴权,其中登录请求被发送到鉴权服务器。该鉴权服务器通过预定的鉴权算法而形成询问等等。此后,该鉴权服务器发送登录响应消息到终端,所述询问或者照样地或者以加密形式被包括在该终端中。而且,这个消息的鉴权可以通过数字签名被验证,该智能卡可在接收登录响应消息后检验该数字签名。接着,智能卡藉助于预定的鉴权算法、根据用户识别数据和接收的询问而产生响应数。该响应数被发送到鉴权服务器,鉴权服务器能够根据被存储在鉴权服务器中的用户识别数据和由它形成的询问来形成预期的响应数。鉴权服务器可以比较所接收的响应数与预期的响应数,以及根据比较结果,而得出在形成接收的响应数中所使用的数据是否与在形成预期的响应数中所使用的数据相匹配。如果该数据相匹配,则可以假定该用户已被正确地鉴权,以及用户可以开始使用数据网。以上给出的这种方法在移动台登录到移动通信网期间被用在例如GSM移动通信系统和UMTS移动通信系统中。在该GSM移动通信系统和UMTS移动通信系统中使用的智能卡分别是所谓的SIM卡(用户身份模块)和USIM卡(UMTS用户身份模块)。作为鉴权服务器,使用一个鉴权中心AuC。SIM卡包含移动通信网运营商特定的鉴权算法。
在基于智能卡的解决方案中,用户数据和鉴权算法可以通过用配备有新鉴权算法的新智能卡来替换该智能卡而被改变。如果尚未安装的话,则这个新的鉴权算法必须以相应的方式被安装在鉴权服务器中。
以上给出的现有技术的解决方案的问题在于,特别是,鉴权协议不能只通过改变智能卡而被改变。例如,在GSM移动通信系统和UMTS移动通信系统中使用不同的鉴权协议,其中遵从GSM移动通信系统的移动通信设备不能只通过改变智能卡而被更新为使用在UMTS移动通信系统中所使用的识别协议。因此,鉴权协议的改变也需要至少终端软件的改变,以及必要时,还需要鉴权服务器的软件的改变。
移动通信设备的用户可以在不同的移动通信网的范围内移动。因此,当用户处在不同于他/她的原籍网络的另一个网络中时,鉴权以这样的方式执行,即漫游网络按照鉴权协议在该终端与原籍网络的鉴权中心之间传输消息。这样,由原籍网络的鉴权中心执行鉴权。因此,鉴权算法可被设置为例如在GSM移动通信系统和UMTS移动通信系统中是运营商特定的,因为在鉴权时要被使用的所有数值是在原籍网络中形成的。漫游的网络不需要知道该算法,因为它的功能只是进行数字比较。为了保持移动通信设备在不同的移动通信网中的可运行性,当使用现有技术的解决方案时,该鉴权协议不能被设置为是运营商特定的。
通信网也是已知的,在其中有可能通过例如任选的电话网来耦合所谓的原籍网络中的工作站。这些所谓的拨号网络中的某些拨号网络应用一种可扩展的鉴权协议(EAP)。在这样的系统中,漫游网络的目的只是在终端与原籍网络的鉴权中心之间传输遵从EAP协议的消息。漫游网络并不需要能够解译遵从EAP协议的消息。新的鉴权协议或算法可被引入,而完全不用改变漫游网络。然而,终端必须改变,因为在现有技术的解决方案中新的EAP协议类型所需要的软件必须被更新。
EAP是由互联网工程任务组IETF结合点对点协议(PPP)被使用的扩展的鉴权协议而定义的标准,而它的更具体的定义是例如在IETF文档rfc2284。txt中给出的。该标准包括对用于鉴权的消息结构的定义。EAP消息包括标题字段和数据字段。标题字段定义例如该消息的类型、识别和长度。该消息在数据链路层中使用的PPP协议的消息帧中被发送。
本发明的目的是提供一种用于用户鉴权的改进的方法。本发明是基于这样的思想,即智能卡被配备有可扩展的鉴权协议接口(EAP IF),通过该接口在智能卡上执行鉴权功能。为了更精确,按照本发明的方法的主要特征在于授权设备应用可扩展的鉴权协议接口,通过该接口实施至少某些鉴权功能。按照本发明的系统的主要特征在于授权设备被配备有可扩展的鉴权协议接口以及用于通过所述可扩展的鉴权协议接口而实施至少某些鉴权功能的装置。按照本发明的终端的主要特征在于授权设备被配备有可扩展的鉴权协议接口以及用于通过所述可扩展的鉴权协议接口而实施至少某些鉴权功能的装置。此外,按照本发明的授权设备的主要特征在于该授权设备配备有可扩展的鉴权协议接口以及用于通过所述可扩展的鉴权协议接口而实施至少某些鉴权功能的装置。按照本发明的计算机程序的主要特征在于该计算机程序进一步包括机器可执行的步骤,用于在验证使用权利的设备中应用可扩展的鉴权协议接口,包括用于通过可扩展的鉴权协议接口处理至少某些鉴权功能的机器可执行的步骤。按照本发明的贮存媒体的主要特征在于该计算机程序进一步包括机器可执行的步骤,用于在验证使用权利的设备中应用可扩展的鉴权协议接口,包括用于通过可扩展的鉴权协议接口处理至少某些鉴权功能的机器可执行的步骤。要结合本发明被使用的鉴权协议接口在以下意义上是可扩展的,即任何鉴权协议可以通过使用所述的接口来实施,而无需以任何方式改变该接口或终端软件或该设备。
本发明显示出与现有技术的解决方案相比更显著的优点。当应用按照本发明的方法时,要被使用于用户鉴权的鉴权协议可以通过改变该智能卡而被改变。因此,在漫游网络或在终端中不需要更新软件。这样,例如,在移动通信网中,该鉴权协议可以是运营商特定的,因为原籍网络的鉴权中心被用作为鉴权中心。因此,不同的鉴权协议可被使用于不同于用户的原籍网络的漫游网络。因为不需要更新软件,所以避免了更新文件的传输,而更新文件的传输是复杂的、很难控制的。
下面,参照附图更详细地描述本发明,其中,
图1以简化图显示按照本发明的优选实施例的鉴权系统,图2以简化方框图显示按照本发明的优选实施例的无线终端,图3以简化方框图显示按照本发明的优选实施例的智能卡,图4以信令图显示按照本发明的优选实施例的方法,以及图5a到5e显示在按照本发明的有利实施例的系统中要被使用的某些消息。
在以下的本发明的详细说明中,移动通信网2的鉴权系统被用作为鉴权系统1的例子,但本发明并不限于只结合移动通信网被使用。移动通信网2例如是GSM移动通信系统或UMTS移动通信系统,但显然本发明也可使用于其他通信系统。
本发明也可结合应用遵从EAP标准的协议的UMTS-SIP鉴权、以及在应用IEEE 802.1X EAP协议的系统中被应用。所述协议也正在被引入到无线局域网(WLAN)中,该协议是基于遵从EAP标准的协议的应用。
该鉴权系统包括鉴权服务器3,诸如用于移动通信网的鉴权中心AuC。该鉴权系统还包括用于在终端5与鉴权服务器3之间传输鉴权所需数据的通信装置4。该通信装置例如包括基站6、基站控制器7、以及通信网2中的一个或多个移动交换中心8。鉴权服务器3可以是被连接到移动通信网2的单独的服务器,或者它可以例如结合移动交换中心8被安排。
图2显示遵从本发明的有利的实施例、并可被使用于图1的鉴权系统的终端5。在本发明的这个有利的实施例中,终端5例如包括用于与移动通信网2通信的移动通信装置9、用户接口10、控制块11、存储器装置12、13,以及用于把智能卡15连接到终端5的连接装置14。该存储器装置优选地包括只读存储器(ROM)12以及随机存取存储器(RAM)13。用于连接智能卡15的连接装置14实际上可以以各种方式被实施。一种可能性是使用物理连接,其中连接装置14包括连接器等等,当智能卡15被安装在终端5时,这些连接器被耦合到智能卡15的相应的连接器。这些连接装置也可以基于无线连接,其中连接装置14和智能卡15包括无线通信装置(未示出),诸如无线电通信装置(例如,BluetoothTM(蓝牙)、WLAN)、光通信装置(例如红外通信装置)、声通信装置、和/或感应通信装置。
在终端5中,优选地在控制块11的软件中,也实施协议栈,用于当消息从移动通信网2发送到终端5以及从终端5发送到移动通信网2时进行必要的协议转换。
图3显示遵从本发明的有利实施例、并可以例如结合图2所示的终端5使用的智能卡15。智能卡15优选地例如包括处理器16、存储器装置(诸如只读存储器17与随机存取存储器18)、以及连接装置19。
作为只读存储器12、17,有可能使用例如一次性可编程ROM(OTP-ROM;可编程ROM或PROM)或电可擦除可编程ROM(EEPROM;闪存)。另外,所谓的非易失性RAM可被用作为只读存储器。作为随机存取存储器13、18,最好使用动态随机存取存储器(DRAM)和/或静态随机存取存储器(SRAM)。
例如,在终端接通时要被运行的用户鉴权算法、以及在终端登录到移动通信网2期间要被运行的终端用户鉴权算法,被存储在智能卡的只读存储器17中。而且,智能卡的只读存储器17包含被存储的可扩展的鉴权协议接口的功能,这将在下面描述。而且,以本身已知的方式,智能卡的只读存储器17包含对于控制智能卡的功能所必需的其他程序命令。
以相应的方式,终端的只读存储器12包含被存储的、对于控制终端5的功能所需要的程序命令、对于在智能卡15与终端5之间的通信所需要的程序命令、与移动通信功能相结合所需要的程序命令、以及用户接口的控制命令等等。然而,在终端5中不必存储鉴权协议功能,因为在本发明的系统中,这些功能是在智能卡上实施的可扩展的鉴权协议接口中执行的。
在本发明中给出的可扩展的鉴权协议接口中,例如,有可能实施一个使得向智能卡请求用户识别的操作、以及一个使得请求消息(诸如EAP请求)被输入到智能卡中的操作。因此,智能卡的功能是形成对于这个消息的响应(例如,EAP响应)。该终端和漫游网络可以用这样的方式来实施,使得有可能在发现鉴权结果之前实行一次以上的、请求与响应消息的交换。此外,该智能卡优选地包含这样一个操作,通过该操作可提供与鉴权相结合而形成的密钥材料供终端使用。此后,该密钥材料可被使用于加密例如经过无线电信道被发送的信息,该无线电信道是当前在例如GSM和UMTS移动通信网中使用的。
在终端5接通时的阶段,有可能执行本身已知的用户验证,例如,使得终端5在用户接口10的显示器20上显示一个通知,其中请求用户输入个人身份号(PIN)。此后,用户例如通过用户接口10的小键盘21输入他/她的密码,该密码由终端控制块11发送到智能卡15。在智能卡15上,处理器16按本身已知的方式通过用户数据和已存储在智能卡的只读存储器17中的、被安排用于检验的算法来核对该密码。如果密码被正确输入,则终端5可以接通。
在接通后,如果移动通信网2中的基站6的信号可在终端5中被接收的话,则有可能开始登录到网络。如果有可能登录到网络,则开始对登录所需要的消息(信令)的传输,这些是本身已知的。在登录期间,如果必要的话,就执行位置更新(LA)。而且,在登录过程中,传输信道和接收的无线电信道都分配用于要被通信中的终端和基站使用的信令。与登录相结合,该终端被鉴权,这以简化的方式显示在图4的信令图中。移动通信网2的鉴权服务器3生成登录请求501,它的一个有利的示例显示于图5a。
登录请求优选地是遵从可扩展的鉴权协议并包括某些记录的消息,所述记录包含可被改变以形成几个不同消息的数值,这几个不同的消息基本上使用同一个记录结构。该消息优选地包括标题字段和数据字段。标题字段包含(特别是)以下的数据记录代码记录502,用于发送有关该消息是请求、响应、成功还是失败的信息;识别记录503,它例如以这样的方式被使用于识别该消息,,使得接连的消息应当包含不同的识别数据,除了在重新发送同一个消息时;此外,长度记录504表示消息的长度。数据字段中要被发送的数据例如取决于消息的用途。在按照本发明的有利实施例的系统中,数据字段包含类型数据记录505,它表示所提到的消息的类型。例如,根据EAP类型号,终端15可确定哪个智能卡15或程序模块将处理所提到的EAP类型(或鉴权协议)。被包含在消息中的其他数据记录是特定于类型的,以及可包含例如对于所使用的鉴权协议特定的数据,诸如各种不同的询问、响应、数字签名或验证、消息鉴权代码等等。
通过登录请求,鉴权服务器3请求终端5发送它自己的识别数据。登录请求的发送由图4的箭头401表示。终端5的移动通信装置9执行必要的操作,以便以本身已知的方式把射频信号变换到基带信号。登录请求在终端5中被发送到智能卡15,在智能卡中该消息在可扩展的鉴权协议接口中被处理。实际上,这意味着智能卡的处理器16接收了登录请求并运行必要的操作。该智能卡的处理器16生成响应,其中数据字段包含该终端的用户的识别数据,优选地是国际移动用户识别符(IMSI)。这个国际移动用户识别符包含移动国家代码(MCC)、移动网代码(MNC)以及移动用户识别号(MSIN)。在每个SIM型智能卡15中这个识别符IMSI是唯一的,其中移动用户可以根据这个识别符数据而被识别。
在遵从RAP标准的情形下,识别符在EAP响应/身份分组中被发送,其中漫游网络中的身份是所谓的网络接入识别符(NAI)。在本发明的有利实施例中,用户识别符(例如IMSI)以编码格式在这个网络识别符中被发送。通常,网络识别符是标识该用户的字符序列。它可包含运营商识别符,其中它具有类似于电子邮件地址的形式用户识别符@运营商.国家代码。
在智能卡15中形成回答消息后,智能卡15把这个消息通过智能卡连接装置19发送到终端连接装置14。终端控制块11读取该消息、进行必要的协议转换以及把该消息发送到移动通信装置9,以便将其变换成射频信号。终端5此时可把登录请求发送到基站6(箭头402)。该登录请求在基站6处被接收,然后该请求从基站6经过基站控制器7被传送到移动交换中心8。移动交换中心8再把该消息进一步发送到鉴权服务器3。此后,在鉴权服务器3中对该消息进行检查。
在移动通信网中,响应被发送到各个用户的原籍网络,在其中该鉴权服务器3处理该接收的响应以及检验例如来自原籍位置寄存器HLR的用户数据。在用户的用户数据已经从数据库中被检验后,开始该用户鉴权处理过程,以验证该用户确实是在响应中给出其用户数据的那个人。该鉴权服务器3通过形成鉴权开始消息而继续该鉴权处理过程,该鉴权开始消息的数据字段包含被发送的、例如有关鉴权服务器3支持的协议版本的信息(箭头403)。这个消息的有利形式显示于附图5b。
在终端5中,该消息被发送到智能卡15的可扩展的鉴权协议接口,在该处例如检查在该消息中发送的协议版本数据。如果在鉴权服务器3处可用的一个或几个协议在智能卡15中也是可用的,则在智能卡15中选择这些协议之一,以便在鉴权过程的进一步步骤中使用。而且,这个协议也可以定义要被使用于鉴权的鉴权算法。
显然,上面给出的消息传输只是本发明可被如何应用的一个例子。由智能卡15处理的消息的数目可能是与在呈现的例子中所给出的不同的。通常情况下,各种请求(例如EAP请求)从通信网被发送到终端5,并通过终端5的软件被引导到智能卡15。智能卡15生成响应(例如EAP响应),它由终端5发送到漫游网络,并由此进一步发送到原籍网络的鉴权服务器3。这些请求和响应的数目没有受到限制,它们只需要对智能卡15和鉴权服务器3而言是可理解的。
通常,鉴权协议是基于这样的规则,即鉴权设备和要被鉴权的设备应用同一个鉴权算法,在其中使用相同的数字作为输入。例如,在GSM移动通信系统中,每个移动用户被分配以一个秘密密钥Ki,它被存储在SIM卡中。而且,这个秘密密钥被存储在该移动用户的原籍位置寄存器中。鉴权算法计算响应数,其中通过比较由鉴权设备和要被鉴权的设备形成的响应数,有可能以高的概率鉴权另一方。为了把误用的可能性减到最小,要在鉴权算法中输入的所有的数字不是在设备之间传输的,而是把它们存储在该设备和/或数据库中,其中该设备可以从该数据库中检索这些数字。具体地,所述秘密密钥不在移动通信网的任何级处被发送。在按照本发明的有利实施例的这个方法中,采取以下步骤。
智能卡15通过任一方法选择第一随机数NONCE_MT。而且,可为在鉴权过程中要被定义的密钥选择一个有效期。有关被选择的鉴权协议的信息、所述第一随机数NONCE_MT、以及可能被选择的有效期是通过应用上述的消息传输机制、在登录响应中发送到鉴权服务器3的(箭头404)。这个消息的一个有利形式被显示于附图5c。
鉴权服务器3检索数目为n(n≥1)的GSM三元组,每个三元组包括第二随机数RAND、被签署的响应SRES和来自原籍位置寄存器HLR的加密密钥Kc。鉴权服务器3从使用GSM漫游网络和移动应用部分(MAP)协议的原籍位置寄存器HLR检索GSM三元组,正如现有技术已知的。而且,通过使用相应于所选择的鉴权协议的一个或几个鉴权算法,鉴权服务器3计算会话密钥K以及第一鉴权代码MAC_RAND。在这个计算中使用的参量优选地是加密密钥n*Kc、随机数n*RAND、国际移动用户识别符IMSI、和第一随机数NONCE_MT。对于该密钥。鉴权服务器3可能接受由智能卡15建议的有效期,或它可以选择另一个有效期。在给终端5的核对开始消息中,鉴权服务器3发送由它选择的一个或多个随机数n*RAND、由它计算的第一鉴权代码MAC_RAND、以及有关为该密钥所选择的有效期的数据(箭头405)。这个消息的一个有利形式被显示于附图5d。
在终端5的智能卡15的可扩展的鉴权协议接口中,使用由智能卡15选择的第一随机数NONCE_ME、给定数目的加密密钥n*Kc、由鉴权服务器3选择的第二随机数n*RAND、以及国际移动用户识别符IMSI作为参量,以相应的方式运行相同的鉴权算法(方块406)。鉴权算法的结果与在鉴权服务器3中计算并发送到智能卡15的第一鉴权代码代码MAC_RAND进行比较。如果该比较表明在智能卡15上和在鉴权服务器3中该鉴权算法的计算结果是相同的,则可以假定在智能卡上由鉴权服务器发送的核对开始消息确实是由鉴权服务器3发送的,以及其中的随机数是可靠的。如果该比较表明计算出的数不匹配,则在智能卡15上鉴权功能优选地地被停止,以及终端5不被注册到移动通信网,或者在结合业务的使用进行鉴权的情形下,业务的使用被阻止。
在该比较表明随机数是可靠的情形下,智能卡15形成被签署的响应SRES。这是通过使用加密密钥n*Kc和由鉴权服务器3选择的第二随机数n*RAND作为参量、以与鉴权服务器3中所用算法相应的算法而实施的。然后可以使用计算出的被签署的响应n*SRES、以及优选地国际移动用户识别符IMSI和第一随机数NONCE_MT,通过一种算法来计算第二鉴权代码MAC_SRES。对于核对开始消息,智能卡15形成一个响应,并把它发送到鉴权服务器3(箭头407)。在这个响应中,发送在智能卡上被计算出的第二鉴权数MAC_SRES。这个消息的一个有利形式被显示于附图5b。该鉴权服务器3可以进行相应的计算,并把它计算出的鉴权号码与从智能卡15发送来的第二鉴权号码MAC_SRES进行比较。如果鉴权号码相匹配,则鉴权服务器15可假定该用户确实是其国际移动用户识别符已从终端的智能卡15发送到鉴权服务器3的那个人。在成功的鉴权过程结束时,鉴权服务器3把有关成功的信息发送到终端5(箭头408)。在这同一个消息中,鉴权服务器3也把会话密钥K发送到终端5。
显然,上述的鉴权过程和结构以及结合它发送的消息的内容只是按照鉴权协议(EAP/SIM)的运行的某些有利例子。在本发明的范围内,也有可能使用其他消息结构和鉴权数据,其中的细节可能不同于以上的例子中给出的那些细节。本发明并不只被限于可扩展的鉴权协议,而是结合本发明也可以应用其他公用的鉴权协议。重要的是智能卡15配备有鉴权协议接口,在其中有可能处理接收到的、与鉴权有关的消息,以形成与鉴权有关且应当被发送到鉴权服务器3的消息,以便处理与鉴权有关的密钥(例如,从智能卡的只读存储器17和/或从接收的消息中检索它们),以及验证与该鉴权有关的消息。因此,在终端5中基本与鉴权有关的所有功能都可被放置在智能卡15中。
按照本发明的方法也可以应用于这样的情形,即其中终端5例如被耦合到互联网数据网络22以及SIM卡被使用于用户识别。因此,鉴权服务器可被放置在例如互联网数据网络22与移动通信网之间的接口中,其中该鉴权服务器可以与移动通信网的鉴权中心AcU通信,以便检索该必要的鉴权数据。在终端5与所谓的网络接入服务器(NAS)之间使用该PPP协议。该网络接入服务器通过使用AAA协议与该鉴权服务器通信。在无线局域网中,对于基本部件,情形是类似的。在终端与无线局域网的接入点之间,例如使用IEEE 802.1X协议,它是基于EAP协议的使用。接入点通过使用AAA协议而与鉴权中心通信。
通过本发明的方法,该鉴权协议可以例如通过改变智能卡而被改变。因此,可以使用在新的智能卡15上以及在鉴权服务器中实施的、这样的协议。例如,在终端的软件中不需要作出与改变鉴权协议有关的改变。
有可能使用例如无线终端作为终端5,比如无线通信设备,诸如Nokia 9210 Communicator(诺基亚9210通信器)等等。本发明也可以应用于例如局域网中工作站的鉴权,以及通过有线连接或无线连接被耦合到互联网数据网22的计算机的鉴权。
本发明也能够以这样的方式被应用,即用于验证使用权利的设备15的可扩展鉴权协议接口对某些要在终端5中运行的密码计算性操作进行分配。密码操作包括例如加密、解密、散列功能、消息鉴权代码功能、证书检验、以及与公共密钥有关的其他密码操作,诸如获菲-赫尔曼(Diffie-Hellman)密钥交换的计算等。这些密码操作的某一些需要大的计算容量,在某些应用中,在终端5中比在用于验证使用权利的设备15中更容易安排大的计算容量。而且,这样的操作是在通用库中经常实施的基本密码操作,且在终端5中不一定需要软件更新。因此有可能使用各种识别,根据这些识别,用于验证使用权利的设备15可通知终端5要被同时使用的操作/算法,以及通过可扩展的鉴权协议接口发送必要的参量到终端5。终端5进而又发送响应到用于验证使用权利的设备15的可扩展鉴权协议接口。
本发明也可以通过编制一个或多个计算机程序而以软件方式实施,其中机器可执行的步骤被定义用于执行本发明的不同步骤。该计算机程序可被存储在贮存媒体上,该贮存媒体用于例如把计算机程序传递给用户,以便把计算机程序安装在终端5上和/或用于验证使用权利的设备15上。
显然,本发明不仅仅限于上述的实施例,而是可以在所附权利要求的范围内作出修正。
权利要求
1.一种用于鉴权终端(5)的用户的方法,在该终端中用于验证使用权利的设备(15)被应用来运行鉴权协议,以及该用于验证使用权利的设备(15)被连接到该终端(5),其特征在于,该用于验证使用权利的设备(15)应用一个可扩展的鉴权协议接口,通过该接口处理至少某些鉴权功能。
2.按照权利要求1的方法,其特征在于,对于用户鉴权,采取至少以下的步骤-发送请求的步骤(401,403,405),其中将请求发送到用于验证使用权利的设备(15),-处理该请求的步骤(406),其中在该可扩展的鉴权协议接口中处理该请求,以便形成响应,以及-发送该响应的步骤(407),其中从用于验证使用权利的设备(15)发送在该可扩展的鉴权协议接口中形成的响应。
3.按照权利要求2的方法,其特征在于,在所述请求中,发送有关要被使用于用户鉴权的鉴权协议的信息。
4.按照权利要求3的方法,其特征在于,按照该鉴权协议的、要被使用于鉴权的至少一个鉴权算法被存储在用于验证使用权利的设备(15)中。
5.按照权利要求4的方法,其特征在于,用于识别用户的识别数据(IMSI,Ki)被存储在用于验证使用权利的设备(15)中,其中在处理该请求的步骤(406)中,被存储在用于验证使用权利的设备(15)中的所述至少一个鉴权算法和识别数据(IMSI,Ki)被使用于用户鉴权。
6.按照权利要求1到5的任一项的方法,其中在终端(5)与至少一个通信网(2)之间传输信息,其特征在于,在处理该请求的步骤(406)中,至少一个密码密钥(Kc)在可扩展的鉴权协议接口中形成,以及所述至少一个密码密钥(Kc)从用于验证使用权利的设备(15)被发送到终端(5)。
7.按照权利要求6的方法,其特征在于,所述至少一个密码密钥(Kc)要被使用于在终端(5)与通信网(2)之间传输的信息的加密。
8.一种鉴权系统(1),包括终端(5),该终端具有用来连接用于验证使用权利的设备(15)以便至少进行鉴权的装置(14),该用于验证使用权利的设备(15)配备有用于运行鉴权协议的装置(16,17),其特征在于,用于验证使用权利的设备(15)配备有可扩展的鉴权协议接口以及用于通过所述可扩展的鉴权协议接口来实施至少某些鉴权功能的装置(16,17,18,19)。
9.按照权利要求8的系统,其特征在于,它包括用于发送请求到用于验证使用权利的设备(15)的装置(6,7,9,14),该可扩展的鉴权协议接口包括用于处理该请求并形成响应的装置(16)和用来从用于验证使用权利的设备(15)发送在可扩展的鉴权协议接口中形成的响应的装置(19)。
10.按照权利要求9的系统,其特征在于,有关要被使用于用户鉴权的鉴权协议的信息被安排成在所述请求中发送,以及按照该鉴权协议的、要被使用于鉴权的至少一个鉴权算法被存储在用于验证使用权利的设备(15)中。
11.按照权利要求10的系统,其特征在于,用于识别该用户的识别数据(IMSI,Ki)被存储在用于验证使用权利的设备(15)中,用于处理该请求的装置(16)包括用于通过使用被存储在用于验证使用权利的设备(15)中的所述至少一个鉴权算法和识别数据(IMSI,Ki)来进行用户鉴权的装置。
12.按照权利要求7到10的任一项的系统,包括用于在终端(5)与至少一个通信网(2)之间传输信息的装置(3,6,7),其特征在于,该可扩展的鉴权协议接口包括用于形成至少一个密码密钥(Kc)的装置(16),以及所述至少一个密码密钥(Kc)被安排成从用于验证使用权利的设备(15)发送到该终端(5)。
13.按照权利要求12的系统,其特征在于,它包括用于通过使用所述至少一个密码密钥(Kc)以加密要在该终端(5)与通信网(2)之间传输的信息的装置(9,11)。
14.一种终端(5),它配备有用来连接用于验证使用权利的设备(15)以至少进行鉴权的装置(14),该用于验证使用权利的设备(15)配备有用于运行鉴权协议的装置(16,17),其特征在于,该用于验证使用权利的设备(15)配备有可扩展的鉴权协议接口以及用于通过所述可扩展的鉴权协议接口而实施至少某些鉴权功能的装置(16,17,18,19)。
15.按照权利要求14的终端,其特征在于,它包括用于执行移动台功能的装置(9)。
16.一种用于验证使用权利的设备(15),它要被使用于用户识别,该授权设备包括用于运行鉴权协议的装置(16,17),其特征在于,该用于验证使用权利的设备(15)配备有可扩展的鉴权协议接口以及用于通过所述可扩展的鉴权协议接口来执行至少某些鉴权功能的装置(16,17,18,19)。
17.按照权利要求16的授权设备,其特征在于,它是移动用户识另卡(SIM,USIM)。
18.一种包括机器可执行步骤的计算机程序,用于鉴权配备有用于验证使用权利的设备(15)的终端(5)的用户,该用于验证使用权利的设备(15)被应用来运行鉴权协议,其特征在于,该计算机程序还包括这样的机器可执行步骤,用来在该用于验证使用权利的设备(15)中应用可扩展的鉴权协议接口,其中包括用于通过该可扩展的鉴权协议接口处理至少某些鉴权功能的机器可执行步骤。
19.按照权利要求18的计算机程序,其特征在于,对于用户鉴权,它包括至少以下的机器可执行步骤-发送请求的步骤(401,403,405),其中将请求发送到用于验证使用权利的设备(15),-处理该请求的步骤(406),其中在该可扩展的鉴权协议接口中处理该请求,以便形成响应,以及-发送该响应的步骤(407),其中从用于验证使用权利的设备(15)发送在该可扩展的鉴权协议接口中形成的响应。
20.一种用于存储计算机程序的贮存媒体,该计算机程序包括机器可执行步骤,该步骤用于鉴权配备有用于验证使用权利的设备(15)的终端(5)的用户,该用于验证使用权利的设备(15)被应用来运行鉴权协议,其特征在于,该计算机程序还包括这样的机器可执行步骤,用来在用于验证使用权利的设备(15)中应用可扩展的鉴权协议接口,其中包括用于通过该可扩展的鉴权协议接口处理至少某些鉴权功能的机器可执行步骤。
全文摘要
本发明涉及一种用于鉴权终端(5)的用户的方法,在该终端中用于验证使用权利的设备(15)被应用来运行鉴权协议。该用于验证使用权利的设备(15)被连接到终端(5)。在该用于验证使用权利的设备(15)中应用可扩展的鉴权协议接口,通过该接口实行至少某些鉴权功能。
文档编号H04L29/06GK1561607SQ02819228
公开日2005年1月5日 申请日期2002年9月27日 优先权日2001年9月28日
发明者H·哈维里宁 申请人:诺基亚有限公司