專利名稱:用于移動(dòng)終端中安全鑒權(quán)響應(yīng)的設(shè)備����、計(jì)算機(jī)程序產(chǎn)品以及方法
技術(shù)領(lǐng)域:
本發(fā)明的實(shí)施方式一般涉及無(wú)線:技術(shù)以及,更具體地��,涉及移
動(dòng)終端中超文本傳輸協(xié)議(HTTP)摘要響應(yīng)的安全產(chǎn)生��。
背景技術(shù):
移動(dòng)終端的安全性對(duì)于移動(dòng)終端用戶而言越來(lái)越重要��,該移動(dòng)
終端諸如便攜式通信設(shè)備(PCD)(例如蜂窩電話)����、便攜式數(shù)字 助理(PDA)�、膝上型計(jì)算機(jī)����,或者能夠與無(wú)線網(wǎng)絡(luò)進(jìn)行通信的任 何適合的設(shè)備。安全性算法經(jīng)常用于實(shí)現(xiàn)移動(dòng)終端和另一網(wǎng)絡(luò)實(shí)體
移動(dòng)終端的另一網(wǎng)絡(luò)實(shí)體之間共享的秘密��。通常����,該共享秘密以密 鑰形式實(shí)施。為了進(jìn)一步增強(qiáng)安全性��,許多安全性算法需要各種時(shí) 間間隔的密鑰更新���。密鑰更新是其中建立新密鑰使得可以利用新密 鑰來(lái)保護(hù)未來(lái)通信的一種過(guò)程���。如果第三方獲得一組密鑰并且因此 危及移動(dòng)終端和另 一 網(wǎng)絡(luò)實(shí)體之間的安全性, 一旦已經(jīng)建立新的密 鑰組��,則密鑰更新將防止第三方能夠繼續(xù)接入與移動(dòng)終端的通信����, /人而在瞬間限制安全性^皮壞。
非常期望安全通信的客戶端鑒權(quán)的示例是HTTP摘要接入鑒權(quán)����。 HTTP摘要接入鑒權(quán)驗(yàn)證客戶端和服務(wù)器兩者都知道共享秘密 (HTTP密碼)。在HTTP摘要接入鑒權(quán)中���,期望在無(wú)需以明顯的方 式(即以無(wú)保護(hù)方式)發(fā)送密鑰的情況下執(zhí)行驗(yàn)證��。跟隨著驗(yàn)證的 執(zhí)行����,在客戶端和服務(wù)器之間開(kāi)始安全通信�����。
HTTP摘要接入鑒權(quán)方案基于簡(jiǎn)單挑戰(zhàn)響應(yīng)范例�����。該方案包括使用現(xiàn)時(shí)值向客戶端發(fā)起挑戰(zhàn)����。對(duì)該挑戰(zhàn)的有效HTTP響應(yīng)驗(yàn)證共享 秘密的知曉。產(chǎn)生HTTP響應(yīng)作為來(lái)自安全性算法或者安全性函數(shù) 的輸出��。該輸出包含用戶名、HTTP密碼���、現(xiàn)時(shí)值���、HTTP方法以及 所請(qǐng)求的通用資源指示符(URI)的校驗(yàn)和。因此����,如果HTTP密碼 能夠由另 一 實(shí)體來(lái)獲得,則損失關(guān)于后續(xù)通信的安全性�。
移動(dòng)終端通常至少包括用戶識(shí)別模塊(UIM)和移動(dòng)設(shè)備(ME)。 UIM是低功率處理器���,其包含安全存儲(chǔ)并且提供安全處理�。UIM可 以是例如通用集成電路卡(UICC)���、訂戶識(shí)別模塊(SIM)����、可拆 卸用戶識(shí)別模塊(R-UIM)等����。這樣���,UIM可以是可移除設(shè)備或者 嵌入移動(dòng)終端中����。ME包含高功率處理器并且未假定為包含安全存儲(chǔ) 或者提供安全處理。
針對(duì)移動(dòng)應(yīng)用����,由于ME的高處理功率,HTTP客戶端在ME處 運(yùn)行�����。HTTP響應(yīng)產(chǎn)生在ME中或者從UIM遞送到ME��。然后�����,將 HTTP響應(yīng)從ME發(fā)送到網(wǎng)絡(luò)實(shí)體從而執(zhí)行共享秘密的知曉的驗(yàn)證���。 用于實(shí)現(xiàn)將HTTP響應(yīng)遞送到ME的現(xiàn)有裝置需要發(fā)送HTTP密碼 到ME或者將其存儲(chǔ)于ME處���。HTTP密碼然后可以用于產(chǎn)生HTTP 響應(yīng)��。然而����,因?yàn)镸E可能不包含安全存儲(chǔ)器和/或提供安全處理能 力���,所以HTTP密碼處于被危及安全的風(fēng)險(xiǎn)中���,由此防止HTTP客 戶端和服務(wù)器之間的安全通信。
發(fā)明內(nèi)容
因此提供一種方法和設(shè)備用于在UIM的安全處理器中產(chǎn)生 HTTP響應(yīng)并且遞送該HTTP響應(yīng)到ME����。這樣,HTTP密碼從未暴 露給不安全的環(huán)境���。
在一個(gè)示例性實(shí)施方式中����,提供了一種設(shè)備諸如��,例如用于安 全地與網(wǎng)絡(luò)進(jìn)行通信的移動(dòng)終端�����。該設(shè)備包括用戶識(shí)別模塊(UIM)。 UIM可操作地與用戶設(shè)備模塊進(jìn)行通信并且可以包括密碼供應(yīng)模塊 (PPM)���、密碼產(chǎn)生模塊以及響應(yīng)產(chǎn)生模塊(RGM)����。用戶設(shè)備模 塊包括客戶端應(yīng)用���。PPM配置用于存儲(chǔ)密碼。密碼產(chǎn)生模塊可操作地與PPM進(jìn)行通信并且配置用于產(chǎn)生密碼����。RGM可操作地與客戶 端應(yīng)用和PPM兩者進(jìn)行通信。RGM配置用于響應(yīng)于來(lái)自客戶端應(yīng) 用的請(qǐng)求根據(jù)HTTP密碼產(chǎn)生鑒權(quán)響應(yīng)��。
在另一示例性實(shí)施方式中����,提供了一種方法用于建立移動(dòng)終端 中的響應(yīng)的安全接收。該方法可以包括以下操作將密碼存儲(chǔ)在用 戶識(shí)別模塊(UIM)的密碼供應(yīng)模塊(PPM)中���,接收來(lái)自于可操 作地與PPM以及發(fā)送請(qǐng)求的客戶端應(yīng)用進(jìn)行通信的響應(yīng)產(chǎn)生模塊 (RGM)的針對(duì)鑒岸又響應(yīng)的該請(qǐng)求���,響應(yīng)于該請(qǐng)求乂人PPM發(fā)送密碼 到RGM�,并且在響應(yīng)于該請(qǐng)求和密碼的RGM處產(chǎn)生響應(yīng)��。在示例 性實(shí)施方式中����,該方法可以進(jìn)一步包括從RGM到客戶端應(yīng)用發(fā)送該 響應(yīng)。
在另 一 示例性實(shí)施方式中����,提供了 一種計(jì)算機(jī)程序產(chǎn)品用于建 立移動(dòng)終端中的響應(yīng)的安全接收。該機(jī)算計(jì)程序產(chǎn)品包括至少 一 個(gè) 計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)�,該計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)具有存儲(chǔ)于其中的計(jì) 算機(jī)可讀程序代碼部分。該計(jì)算機(jī)可讀程序代碼部分包括第一�、第 二和第三可執(zhí)行部分。第一可執(zhí)行部分用于接收來(lái)自于可操作地與 密碼供應(yīng)模塊(PPM)和發(fā)送請(qǐng)求的客戶端應(yīng)用進(jìn)行通信的響應(yīng)產(chǎn) 生模塊(RGM)的針對(duì)鑒權(quán)響應(yīng)的該請(qǐng)求����。第二可執(zhí)行部分用于響 應(yīng)于該請(qǐng)求從PPM發(fā)送密碼到RGM。第三可執(zhí)行部分用于在響應(yīng) 于該請(qǐng)求和密碼的RGM處產(chǎn)生響應(yīng)�。
在另 一示例性實(shí)施方式中,提供了 一種設(shè)備用于建立移動(dòng)終端 中的響應(yīng)的安全接收����。該設(shè)備包括用于接收來(lái)自于可操作地與密碼 供應(yīng)模塊(PPM)和發(fā)送請(qǐng)求的客戶端應(yīng)用進(jìn)行通信的響應(yīng)產(chǎn)生模 塊(RGM)的針對(duì)鑒權(quán)響應(yīng)的該請(qǐng)求的裝置,用于響應(yīng)于該請(qǐng)求從 PPM發(fā)送密碼到RGM的裝置,以及用于在響應(yīng)于該請(qǐng)求和密碼的 RGM處產(chǎn)生響應(yīng)的裝置����。
本發(fā)明的實(shí)施方式提供了 一種方法和設(shè)備用于產(chǎn)生移動(dòng)終端的 安全UIM中的HTTP響應(yīng)。因此�,可以改進(jìn)移動(dòng)終端上客戶端應(yīng)用 和網(wǎng)絡(luò)服務(wù)器之間的通信的安全性。
現(xiàn)在將參考附圖對(duì)本發(fā)明進(jìn)行概括性地描述���,這些附圖不需要
按比例繪制���,在這些附圖中
圖1是根據(jù)本發(fā)明的示例性實(shí)施方式的移動(dòng)終端的示意性方框
圖2是根據(jù)本發(fā)明的示例性實(shí)施方式的無(wú)線通信系統(tǒng)的示意性 方框圖3示出了根據(jù)本發(fā)明的示例性實(shí)施方式的移動(dòng)終端的用戶識(shí) 別模塊(UIM)和移動(dòng)設(shè)備(ME)的示意性方框圖;以及
圖4示出了根據(jù)產(chǎn)生移動(dòng)終端的安全UIM中的HTTP響應(yīng)的示 例性方法的方框圖�����。
具體實(shí)施例方式
現(xiàn)在將在下文中參考附圖對(duì)本發(fā)明的實(shí)施方式進(jìn)行更全面地描 述��,在一些附圖中��,未示出本發(fā)明的全部實(shí)施方式���。實(shí)際上,這些 發(fā)明的實(shí)施方式可以以許多不同的形式實(shí)施并且不構(gòu)成限制于在此 所闡述的實(shí)施方式�;而是,提供這些實(shí)施方式使得本公開(kāi)將滿足可 適用的法律要求。類似的參考標(biāo)號(hào)通篇表示類似的元件����。
圖1示出了將獲益于本發(fā)明的實(shí)施方式的移動(dòng)終端10的方框 圖。然而應(yīng)該理解���,所示出的和下文將描述的移動(dòng)電話僅是獲益于 本發(fā)明的實(shí)施方式的移動(dòng)終端一種類型���,并且因此將不限制本發(fā)明 的實(shí)施方式的范圍。雖然示出了移動(dòng)終端10的多個(gè)實(shí)施方式并且將 在下文中出于示例目的而對(duì)其進(jìn)行描述��,但是其它類型的移動(dòng)終端�����, 諸如便攜式數(shù)字助理(PDA)���、尋呼機(jī)���、膝上型計(jì)算機(jī)以及其它類 型的語(yǔ)音和文本通信系統(tǒng),能夠容易地使用本發(fā)明的實(shí)施方式�����。而 且,本發(fā)明的實(shí)施方式的方法將主要結(jié)合移動(dòng)通信應(yīng)用來(lái)進(jìn)行描述�。 但是本發(fā)明的實(shí)施方式的方法能夠結(jié)合各種其它應(yīng)用來(lái)使用在移動(dòng) 通信行業(yè)中和移動(dòng)通信行業(yè)外。另外��,雖然由移動(dòng)終端IO執(zhí)行或者使用了本發(fā)明的方法的多個(gè)實(shí)施方式����,但是該方法可以由除了移動(dòng) 終端以外的其它設(shè)備來(lái)使用。
移動(dòng)終端10包括可操作地與發(fā)射器14和接收器16進(jìn)行通信的 天線12����。移動(dòng)終端IO還包括控制器20,其分別提供信號(hào)到發(fā)射器 14并且從接收器16接收信號(hào)��。該信號(hào)包括根據(jù)可應(yīng)用蜂窩系統(tǒng)的空 中接口標(biāo)準(zhǔn)的信令信息�����,并且還包括用戶語(yǔ)音和/或用戶產(chǎn)生的數(shù)據(jù)�����。 在這點(diǎn)上���,移動(dòng)終端10能夠利用空中接口標(biāo)準(zhǔn)、通信協(xié)議、調(diào)制類 型以及接入類型中的一種或者多種進(jìn)行操作����。更具體地,移動(dòng)終端 10能夠根據(jù)多個(gè)第一代����、第二代和/或第三代通信協(xié)議等中的任何一 個(gè)進(jìn)行操作。例如���,移動(dòng)終端IO可能根據(jù)第二代(2G)無(wú)線通信協(xié) 議IS-136 (TDMA) ����、 GSM以及IS-95 (CDMA)進(jìn)行操作���。
理解到控制器20包括用于實(shí)施移動(dòng)終端10的音頻和邏輯功能 所需的電路��。例如����,控制器20可以包括數(shù)字信號(hào)處理器設(shè)備�、微處 理器設(shè)備以及各種模數(shù)轉(zhuǎn)換器、數(shù)模轉(zhuǎn)換器以及其它支持電路��。移 動(dòng)終端IO的控制和信號(hào)處理功能根據(jù)它們各自的能力在這些設(shè)備之 間進(jìn)行分配。這樣控制器20還可以包括用于在調(diào)制和傳輸之間巻積 地編碼并且交織消息和數(shù)據(jù)的功能性�����?����?刂破?0還額外地包括內(nèi)部 語(yǔ)音編碼器�,并且可以包括內(nèi)部數(shù)據(jù)調(diào)制解調(diào)器。進(jìn)一步�����,控制器 20可以包括用于操作一個(gè)或者多個(gè)軟件程序的功能性��,該軟件程序 可以存儲(chǔ)在存儲(chǔ)器中�����。例如��,控制器20能夠操作連接性程序��,諸如 傳統(tǒng)Web瀏覽器�����。然后連接性程序可以允許移動(dòng)終端IO例如根據(jù) 無(wú)線應(yīng)用協(xié)議(WAP)發(fā)射并且接收Web內(nèi)容���,諸如基于位置的內(nèi) 容���。另外,根據(jù)本發(fā)明的實(shí)施方式(下文將進(jìn)行描述)��,例如控制 器20能夠操作軟件應(yīng)用���,該軟件應(yīng)用能夠創(chuàng)建用于關(guān)于該移動(dòng)終端 的位置信息的遞送的鑒權(quán)���。
移動(dòng)終端IO還包括用戶界面,該用戶界面包括傳統(tǒng)耳機(jī)或者揚(yáng) 聲器24�、振鈴器22、麥克風(fēng)26�、顯示器28,以及用戶輸入界面, 所有這些都耦合到控制器20�����。用戶輸入界面(其允許移動(dòng)終端IO 接收數(shù)據(jù))可以包括允許移動(dòng)終端10接收數(shù)據(jù)的多個(gè)設(shè)備中的任何一個(gè)���,該設(shè)備諸如小鍵盤(pán)30�����、觸摸式顯示器(未示出)或者其它輸 入設(shè)備����。在包括小鍵盤(pán)30的實(shí)施方式中,小鍵盤(pán)30包括傳統(tǒng)數(shù)字 鍵(0-9)和相關(guān)鍵(#, *),以及用于操作終端設(shè)備10的其它鍵�。 移動(dòng)終端10還包括電池34,諸如振動(dòng)電池組�,用于對(duì)操作移動(dòng)終端 10的各種電路進(jìn)行供電,以及可選地提供機(jī)械振動(dòng)作為可檢測(cè)輸出���。 移動(dòng)終端10的所有上述元件共同包括移動(dòng)設(shè)備18����,例如用戶設(shè) 備模塊����。除了 ME 18,移動(dòng)終端IO可以包括通用識(shí)別模塊(UIM) 38。 UIM38通常是具有內(nèi)置處理器的存儲(chǔ)器設(shè)備�����。UIM可以包括�����, 例如�,訂戶識(shí)別模塊(SIM)、通用集成電路卡(UICC)����、通用訂 戶識(shí)別模塊(USIM)、可拆卸用戶識(shí)別模塊(R-UIM)等��。UIM38 通常存儲(chǔ)涉及移動(dòng)訂戶的信息元素����。除了UIM38,移動(dòng)終端10可 以裝備有存儲(chǔ)器�����。例如����,移動(dòng)終端IO可以包括易失性存儲(chǔ)器40,諸 如包括用于數(shù)據(jù)的臨時(shí)存儲(chǔ)的高速緩存區(qū)域的易失性隨機(jī)訪問(wèn)存儲(chǔ) 器(RAM)。移動(dòng)終端IO還可以包括其它非易失性存儲(chǔ)器42,其 可以是嵌入式的和/或可以是可拆卸的�����。非易失性存儲(chǔ)器42能夠額外 地或者可替換地包括EEPROM、閃存等�����,諸如從加利福尼亞州桑尼 維爾市的SanDisk公司或者加利福尼亞洲弗里蒙特市的Lexar媒體 有限公司可以獲得的���。該存儲(chǔ)器能夠存儲(chǔ)由移動(dòng)終端用于實(shí)施移動(dòng) 終端的功能的多條信息����、以及數(shù)據(jù)中的任何一個(gè)��。例如���,存儲(chǔ)器能 夠包括標(biāo)識(shí)符���,諸如國(guó)際移動(dòng)設(shè)備標(biāo)識(shí)(IMEI)代碼,其能夠唯一 地標(biāo)識(shí)移動(dòng)終端10.
現(xiàn)在參考圖2�,提供了一種類型的無(wú)線通信網(wǎng)絡(luò)的示例,該網(wǎng)絡(luò) 包括終端����,諸如移動(dòng)終端10����,該終端獲益于本發(fā)明的實(shí)施方式���。如 圖所示,移動(dòng)終端10包括天線12����,用于發(fā)射信號(hào)到基址或者基站 (BS ) 50并且從基址或者基站(BS ) 50接收信號(hào)。BS 50是蜂窩網(wǎng) 絡(luò)的一部分����,該蜂窩網(wǎng)絡(luò)包括移動(dòng)交換中心(MSC) 52、語(yǔ)音編碼 器/解碼器(音碼器)���、數(shù)據(jù)調(diào)制解調(diào)器以及操作蜂窩網(wǎng)絡(luò)所需的其 它單元�。當(dāng)移動(dòng)終端IO正在發(fā)出以及接收呼叫時(shí)�����,MSC52能夠路 由來(lái)自和去往移動(dòng)終端IO的呼叫和消息���。蜂窩網(wǎng)絡(luò)還可以稱作基站/MSC/網(wǎng)際互連功能(BMI) 54�����。當(dāng)移動(dòng)終端10向^^窩網(wǎng)絡(luò)登記時(shí)�����, MSC52控制來(lái)自以及去往移動(dòng)終端IO的消息轉(zhuǎn)發(fā)�,并且還控制來(lái) 自以及去往消息中心(未示出)的移動(dòng)終端IO的消息轉(zhuǎn)發(fā)。這種消 息可以包括�����,例如���,MSC 52從公共交換電話網(wǎng)絡(luò)(PSTN)電話用 戶接收到的語(yǔ)音消息�,并且還可以包括MSC52從移動(dòng)終端10或者 蜂窩網(wǎng)絡(luò)服務(wù)的其它移動(dòng)終端接收到的短消息服務(wù)(SMS)和語(yǔ)音 消息�����。
移動(dòng)終端IO還能夠耦合到數(shù)據(jù)網(wǎng)絡(luò)�����。例如,BS50能夠連接到 分組控制功能(PCF) 56,其與分組數(shù)據(jù)服務(wù)節(jié)點(diǎn)(PDSN) 58連接��。 PDSN58可以連接到廣域網(wǎng)��,諸如因特網(wǎng)60�����。依次����,諸如處理元件 62 (例如個(gè)人計(jì)算機(jī)���、服務(wù)器計(jì)算機(jī)等)的設(shè)備經(jīng)由PDSN58能夠 耦合到移動(dòng)終端10��。通過(guò)直接或者間接連接移動(dòng)終端IO和其它設(shè)備 兩者到PDSN58和因特網(wǎng)60,移動(dòng)終端10能夠與其它設(shè)備進(jìn)行通 信��,諸如根據(jù)因特網(wǎng)協(xié)議(IP)規(guī)范�,從而由此執(zhí)行移動(dòng)終端10的 各種功能����。
盡管在此未示出和描述每個(gè)可能網(wǎng)絡(luò)的每個(gè)元素,但是應(yīng)該理 解到移動(dòng)終端IO可以耦合到使用多個(gè)不同模式(在此還稱作協(xié)議) 中的任何一個(gè)或者多個(gè)的多個(gè)不同網(wǎng)絡(luò)中的任何一個(gè)或者多個(gè)�。關(guān) 于這點(diǎn),網(wǎng)絡(luò)能夠根據(jù)多個(gè)第一代(1G)、第二代(2G) ����、 2.5G和 /或第三代(3G)移動(dòng)終端通信協(xié)議等中的任何一個(gè)或者多個(gè)支持通 信。尤其是��,移動(dòng)終端可以耦合到能夠根據(jù)2G無(wú)線通信協(xié)議IS-136
(TDMA) ��、 GSM以及IS-95 (CDMA)支持通信的網(wǎng)絡(luò)�。另外,例 如�����,網(wǎng)絡(luò)能夠根據(jù)2.5G無(wú)線通信協(xié)議GPRS��、增強(qiáng)型數(shù)據(jù)GSM環(huán)境
(EDGE)等支持通信�����。另外�����,例如����, 一個(gè)或者多個(gè)網(wǎng)絡(luò)能夠根據(jù)諸 如CDMA 2000和通用移動(dòng)電話系統(tǒng)(UMTS )網(wǎng)絡(luò)的3G無(wú)線通信 協(xié)議使用寬帶碼分多址(WCDMA)無(wú)線接入技術(shù)支持通信����。附加地�, 網(wǎng)絡(luò)能夠支持廣域網(wǎng)(WAN)通信,諸如WLAN (IEEE 802.il)或 者WiMAX( 802.16 )�����。某些窄帶AMPS ( NAMPS )網(wǎng)絡(luò)�、以及TACS 網(wǎng)絡(luò)可以也獲益于本發(fā)明的實(shí)施方式,如雙模式或者更高模式移動(dòng)臺(tái)(例如����,數(shù)字/模擬或者TDMA/CDMA模擬電話)���。
現(xiàn)在參考圖3,其示出了根據(jù)本發(fā)明的示例性實(shí)施方式的移動(dòng)終 端10的ME 18和UIM38的示意性方框圖���。然而應(yīng)該理解到,在此 示出和下文描述的移動(dòng)終端IO僅示出了獲益于本發(fā)明的實(shí)施方式的 移動(dòng)終端的一種類型�,并且因此將不作為對(duì)本發(fā)明的實(shí)施方式的范 圍的限制。
如圖3所示�����,UIM38包括響應(yīng)產(chǎn)生模塊(RGM) 66、密碼供應(yīng) 模塊(PPM) 68以及HTTP密碼產(chǎn)生模塊�,該HTTP密碼產(chǎn)生模塊 可以采用例如通用引導(dǎo)架構(gòu)(GBA) 。 GBA是允許移動(dòng)終端10和 歸屬網(wǎng)絡(luò)之間的安全性密鑰的引導(dǎo)(或者變換)的框架架構(gòu)�����,然后 其可以用于進(jìn)一步衍生用在移動(dòng)終端10和網(wǎng)絡(luò)應(yīng)用服務(wù)器之間的安 全性密鑰��。GBA可以用作提供用于保證因特網(wǎng)協(xié)議(IP)層切換安 全的密鑰的機(jī)制��。例如�,第三代合作伙伴計(jì)劃2無(wú)線局域網(wǎng)
(3GPP2-WLAN)和第三代合作伙伴計(jì)劃無(wú)線局域網(wǎng)(3GPP-WLAN) 工作組正在研發(fā)用于當(dāng)從一個(gè)網(wǎng)絡(luò)切換到另 一個(gè)網(wǎng)絡(luò)時(shí)安全地鑒權(quán) 移動(dòng)終端的機(jī)制。這樣�,例如HTTP密碼產(chǎn)生模塊可以是GBA單元
(GBA_U ) 70。 GBA—U 70產(chǎn)生HTTP密碼并且發(fā)送該HTTP密碼 到PPM 68��。 PPM 68存儲(chǔ)該HTTP密碼用于所有HTTP應(yīng)用���。
在操作中��,當(dāng)HTTP客戶端應(yīng)用72需要HTTP響應(yīng)從而建立與 處理元件62的安全通信時(shí)�,HTTP客戶端應(yīng)用72發(fā)送請(qǐng)求78到RGM 66��。該請(qǐng)求78包括包含應(yīng)用身份、用戶名以及現(xiàn)時(shí)的信息�,所有這 些信息從處理單元62接收。RGM 66然后從PPM 68請(qǐng)求HTTP密 碼�。PPM 68發(fā)送HTTP密碼到RGM 66,然后其根據(jù)安全性算法或. 者安全函數(shù)從用戶名、現(xiàn)時(shí)��、HTTP密碼等產(chǎn)生HTTP響應(yīng)76�。在 示例性實(shí)施方式中,安全性算法可以是IETF RFC 2617中所規(guī)定的�����。 然后RGM 66發(fā)送該HTTP響應(yīng)76到HTTP客戶端應(yīng)用72從而允 許與處理元件62的安全通信的建立����。HTTP客戶端應(yīng)用72和RGM 66 之間的接口連4妻可以例如經(jīng)由3GPP2或者3GPP協(xié)i義。
在示例性實(shí)施方式中�,UIM38可以計(jì)算有效HTTP響應(yīng)���,該有效HTTP響應(yīng)的一部分可能包括鑒權(quán)報(bào)頭���。有效HTTP響應(yīng)包括用 戶名、HTTP密碼���、現(xiàn)時(shí)值�����、HTTP方法以及所請(qǐng)求的URI的校驗(yàn)和���。 用戶名設(shè)置為引導(dǎo)事務(wù)ID(B-TID)����,其通過(guò)ME 18傳送到UIM38�����。 HTTP密碼設(shè)置為Ks_int—NAF ( base64編碼的)��。Ks—int—NAF是使 用UIM38內(nèi)部的GBA—U70產(chǎn)生的?,F(xiàn)時(shí)值、HTTP方法以及所請(qǐng) 求的URI通過(guò)ME 18傳送到UIM38��。在接收用戶名���、HTTP密碼����、 現(xiàn)時(shí)值、HTTP方法以及所請(qǐng)求的URI時(shí)�,UIM38(具體地是UIM 38 的RGM 66 )產(chǎn)生有效HTTP響應(yīng)并且發(fā)送該有效HTTP響應(yīng)到ME 18。
圖4是根據(jù)本發(fā)明的示例性實(shí)施方式的系統(tǒng)��、方法以及程序產(chǎn) 品的流程圖�。將理解到流程圖的每個(gè)框或者步驟,以及流程圖中的 框的組合可以通過(guò)各種裝置來(lái)實(shí)施��,該裝置諸如硬件�����、固件���、和/或 軟件�,包括一個(gè)或者多個(gè)計(jì)算機(jī)程序指令��。例如�����,GBA—U70�����、 PPM 68�����、 RGM66以及HTTP客戶端應(yīng)用72中的一個(gè)或者多個(gè)可以通過(guò) 計(jì)算機(jī)程序指令來(lái)實(shí)施�。關(guān)于這一點(diǎn),實(shí)施GBA—U70���、 PPM68��、�, RGM 66的計(jì)算機(jī)程序指令可以通過(guò)UIM38的存儲(chǔ)器設(shè)備來(lái)存儲(chǔ)并 且通過(guò)內(nèi)置處理器來(lái)4丸行�。HTTP客戶端應(yīng)用72通常存儲(chǔ)在ME18
的存儲(chǔ)器中并且由控制器20來(lái)執(zhí)行。如所理解的��,任何這種計(jì)算機(jī) 程序指令可以加載到計(jì)算機(jī)或者其它可編程設(shè)備上(即�����,硬件)從
而生產(chǎn)機(jī)器����,使得在計(jì)算機(jī)或者其它可編程設(shè)備上執(zhí)行的指令創(chuàng)建 用于實(shí)施流程圖框或者步驟中指定的功能的裝置。這些計(jì)算機(jī)程序 指令還可以存儲(chǔ)在計(jì)算機(jī)可讀存儲(chǔ)器中,該計(jì)算機(jī)程序指令能夠指 示計(jì)算機(jī)或者其它可編程設(shè)備以特定方式工作�����,使得存儲(chǔ)在計(jì)算機(jī) 可讀存儲(chǔ)器中的指令產(chǎn)生產(chǎn)品��,該產(chǎn)品包括實(shí)施在流程圖框或者步 驟中指定的功能的指令裝置��。計(jì)算機(jī)程序指令還可以加載在計(jì)算機(jī) 或者其它可編程設(shè)備上從而引起一 系列將執(zhí)行在計(jì)算機(jī)或者其它可 編程設(shè)備上的可操作步驟用于產(chǎn)生計(jì)算機(jī)實(shí)施的處理���,使得在計(jì)算 機(jī)或者其它可編程設(shè)備上執(zhí)行的指令提供用于實(shí)施流程圖框或者步 驟中指定的功能的步驟��。因此�����,流程圖的框或者步驟支持用于執(zhí)行指定功能的裝置的組 合�,支持用于執(zhí)行指定功能的步驟和用于執(zhí)行指定的功能的程序指 令裝置的組合�。將理解到流程圖的一個(gè)或多個(gè)框或者步驟,以及流 程圖的框或者步驟的組合���,可以通過(guò)專用基于硬件的計(jì)算機(jī)系統(tǒng)或 者專用硬件和計(jì)算機(jī)指令的組合來(lái)實(shí)施���,該專用基于硬件的計(jì)算機(jī) 系統(tǒng)執(zhí)行指定功能或者步驟����。
關(guān)于這一點(diǎn)���,用于移動(dòng)終端中的安全HTTP摘要響應(yīng)的方法的一 個(gè)實(shí)施方式包括在操作IOO在UIM的PPM處存儲(chǔ)HTTP密碼。在操: 作110����, HTTP客戶端應(yīng)用發(fā)送針對(duì)HTTP響應(yīng)的請(qǐng)求到UIM的 RGM。這個(gè)通過(guò)HTTP客戶端應(yīng)用的請(qǐng)求可以響應(yīng)于服務(wù)器或者其 它網(wǎng)絡(luò)實(shí)體的查詢從而驗(yàn)證客戶端�����,即移動(dòng)終端IO知道共享秘密使
得能夠執(zhí)行安全通信�����。在操作120��,響應(yīng)于針對(duì)HTTP響應(yīng)的請(qǐng)求的 接收��,將HTTP密碼發(fā)送到RGM���。在才乘作130�����, RGM產(chǎn)生可響應(yīng)于 針對(duì)HTTP響應(yīng)和HTTP密碼的請(qǐng)求的HTTP響應(yīng)���。在操作140 �����, RGM 發(fā)送HTTP響應(yīng)到HTTP客戶端應(yīng)用��。在其接收后�����,HTTP客戶端應(yīng) 用能夠向服務(wù)器或者其它網(wǎng)絡(luò)實(shí)體提供HTTP響應(yīng)使得該服務(wù)器或 者其它網(wǎng)絡(luò)實(shí)體能夠確定移動(dòng)終端IO擁有共享秘密�����,使得未來(lái)通信 可以是安全的��。這樣����,HTTP密碼從不離開(kāi)安全的UIM����,而HTTP . 客戶端應(yīng)用仍獲得需要用于向服務(wù)器或者另一網(wǎng)絡(luò)實(shí)體驗(yàn)證移動(dòng)終 端IO知道共享秘密的HTTP響應(yīng)����。因此��,網(wǎng)絡(luò)的HTTP客戶端應(yīng)用 和服務(wù)器之間的通信安全性不太可能被危及���。
應(yīng)該注意到上述方法和系統(tǒng)還可應(yīng)用于建立除了經(jīng)由HTTP摘 要訪問(wèn)鑒權(quán)以外的其它的設(shè)備的安全鑒權(quán)。然而上文詳細(xì)描述了 HTTP摘要訪問(wèn)鑒權(quán)��,從而提供這種方法和系統(tǒng)的 一 個(gè)示例性實(shí)施方 式的完整描述�。 ,
這些發(fā)明涉及的領(lǐng)域的技術(shù)人員將理解至此所闡述的本發(fā)明的 許多修改和其它實(shí)施方式�,具有上述描述和附圖中所展示的教導(dǎo)的 益處。因此�����,將理解到本發(fā)明的實(shí)施方式不限于所公開(kāi)的指定實(shí)施 方式�����,并且所述修改和其它實(shí)施方式旨在包含在所附權(quán)利要求書(shū)的范圍內(nèi)���。盡管這里使用了指定術(shù)語(yǔ)����,但是它們可以僅在描述意義上 概括地使用并且不是出于限制的目的。
權(quán)利要求
1.一種包括可操作地與具有客戶端應(yīng)用的用戶設(shè)備模塊進(jìn)行通信的用戶識(shí)別模塊(UIM)的設(shè)備��,所述UIM包括密碼供應(yīng)模塊(PPM)�,配置用于存儲(chǔ)密碼;密碼產(chǎn)生模塊����,可操作地與所述PPM進(jìn)行通信并且配置用于產(chǎn)生密碼;以及響應(yīng)產(chǎn)生模塊(RGM)�����,可操作地與所述客戶端應(yīng)用和所述PPM進(jìn)行通信��,所述RGM配置用于響應(yīng)于來(lái)自所述客戶端應(yīng)用的請(qǐng)求而根據(jù)密碼生成鑒權(quán)響應(yīng)�����。
2. 根據(jù)權(quán)利要求1所述的設(shè)備�,其中所述RGM配置用于發(fā)送所 述鑒權(quán)響應(yīng)到所述客戶端應(yīng)用。
3. 根據(jù)權(quán)利要求1所述的設(shè)備���,其中所述密碼包括超文本傳輸 協(xié)議(HTTP)密碼�����。
4. 根據(jù)權(quán)利要求1所述的設(shè)備����,其中鑒權(quán)響應(yīng)包括超文本傳輸 協(xié)議(HTTP)響應(yīng)。
5. 根據(jù)權(quán)利要求1所述的設(shè)備���,其中所述UIM配置用于使得從 所述PPM發(fā)送密碼到所述RGM, ^v而密碼乂人不離開(kāi)所述UIM。
6. 根據(jù)權(quán)利要求1所述的設(shè)備���,其中所述鑒權(quán)響應(yīng)包括超文本 傳輸協(xié)議(HTTP)響應(yīng)�����,該超文本傳輸協(xié)議(HTTP)響應(yīng)包括用 戶名���、密碼、現(xiàn)時(shí)值�����、HTTP方法以及所請(qǐng)求的通用資源標(biāo)識(shí)符(URI) 的才交-瞼和。
7. 根據(jù)權(quán)利要求1所述的設(shè)備��,其中所述請(qǐng)求包括應(yīng)用識(shí)別�����、 用戶名以及現(xiàn)時(shí)���。
8. 根據(jù)權(quán)利要求1所述的設(shè)備��,其中所述密碼產(chǎn)生模塊包括通 用引導(dǎo)架構(gòu)單元��。
9. 根據(jù)權(quán)利要求1所述的設(shè)備��,其中所述設(shè)備實(shí)施為移動(dòng)終端��。
10. —種方法�,包括接收來(lái)自于與密碼供應(yīng)模塊(PPM)以及發(fā)送請(qǐng)求的客戶端應(yīng)用進(jìn)行通信的響應(yīng)產(chǎn)生模塊(RGM)的針對(duì)鑒權(quán)響應(yīng)的所述請(qǐng)求��,所述PPM和RGM部署于用戶識(shí)別才莫塊(UIM)處��; 響應(yīng)于所述請(qǐng)求從PPM發(fā)送密碼到RGM;以及 響應(yīng)于所述請(qǐng)求和密碼根據(jù)所述密碼在所述RGM處生成所述鑒權(quán)響應(yīng)����。
11. 根據(jù)權(quán)利要求IO所述的方法�����,進(jìn)一步包括從所述RGM發(fā)送 所述鑒權(quán)響應(yīng)到所述客戶端應(yīng)用���。
12. 根據(jù)權(quán)利要求IO所述的方法,其中發(fā)送密碼包括從所述 PPM發(fā)送密碼到所述RGM從而所述密碼從不離開(kāi)所述UIM�。
13. 根據(jù)權(quán)利要求IO所述的方法,其中產(chǎn)生所述鑒權(quán)響應(yīng)包括 產(chǎn)生超文本傳輸協(xié)議(HTTP)響應(yīng)�,該超文本傳輸協(xié)議(HTTP) 響應(yīng)包括用戶名、密碼�����、現(xiàn)時(shí)值���、HTTP方法以及所請(qǐng)求的通用資源 標(biāo)識(shí)符(URI)的校驗(yàn)和。
14. 根據(jù)權(quán)利要求IO所述的方法�����,其中接收請(qǐng)求包括接收其中 包括應(yīng)用識(shí)別����、用戶名以及現(xiàn)時(shí)的請(qǐng)求�����。
15. 根據(jù)權(quán)利要求10所述的方法��,進(jìn)一步包括在通用引導(dǎo)架構(gòu) 單元中產(chǎn)生密碼����。
16. 根據(jù)權(quán)利要求10所述的方法����,進(jìn)一步包括在所述PPM中存 儲(chǔ)密碼。
17. 根據(jù)權(quán)利要求16所述的方法���,其中存儲(chǔ)密碼包括存儲(chǔ)超文 本傳輸協(xié)議(HTTP)密碼����。
18. 根據(jù)權(quán)利要求17所述的方法���,其中接收針對(duì)所述鑒權(quán)響應(yīng) 的請(qǐng)求包括接收針對(duì)超文本傳輸協(xié)議(HTTP)響應(yīng)的請(qǐng)求���。
19. 一種計(jì)算機(jī)程序產(chǎn)品,包括至少一個(gè)計(jì)算機(jī)可讀存儲(chǔ)介質(zhì),其具有存儲(chǔ)于其中的計(jì)算機(jī)可讀程序代碼部分�����,所述計(jì)算機(jī)可讀程 序代碼部分包括第一可執(zhí)行部分�����,用于接收來(lái)自于與密碼供應(yīng)模塊(PPM)和發(fā) 送請(qǐng)求的客戶端應(yīng)用進(jìn)行通信的響應(yīng)產(chǎn)生模塊(RGM)的針對(duì)鑒權(quán) 響應(yīng)的所述請(qǐng)求�����;所述PPM和RGM部署于用戶識(shí)別才莫塊(UIM)處��;第二可執(zhí)行部分���,用于響應(yīng)于所述請(qǐng)求從所述P p M發(fā)送密碼到 所述RGM;以及第三可執(zhí)行部分��,用于響應(yīng)于所述請(qǐng)求和密碼根據(jù)所述密碼在所 述RGM處產(chǎn)生所述鑒權(quán)響應(yīng)��。
20. 根據(jù)權(quán)利要求19所述的計(jì)算機(jī)程序產(chǎn)品,進(jìn)一步包括第四 可執(zhí)行部分����,用于從所述RGM向所述客戶端應(yīng)用發(fā)送所述鑒片又響 應(yīng)。
21. 根據(jù)權(quán)利要求19所述的計(jì)算機(jī)程序產(chǎn)品,其中所述第二可 執(zhí)行部分包括用于從所述PPM發(fā)送密碼到所述RGM的指令�,從而 所述密碼從不離開(kāi)所述UIM。
22. 根據(jù)權(quán)利要求19所述的計(jì)算機(jī)程序產(chǎn)品�,其中所述第三可 執(zhí)行部分包括指令,所述指令用于產(chǎn)生超文本傳輸協(xié)議(HTTP)響 應(yīng)����,該超文本傳輸協(xié)議(HTTP)響應(yīng)包括用戶名、密碼�����、現(xiàn)時(shí)值��、 HTTP方法以及所請(qǐng)求的通用資源標(biāo)識(shí)符(URI)的校驗(yàn)和�。
23. 根據(jù)權(quán)利要求19所述的計(jì)算機(jī)程序產(chǎn)品,其中所述第一可 執(zhí)行部分包括用于接收請(qǐng)求的指令����,所述請(qǐng)求包括應(yīng)用識(shí)別、用戶 名以及現(xiàn)時(shí)�。
24. 根據(jù)權(quán)利要求19所述的計(jì)算機(jī)程序產(chǎn)品,進(jìn)一步包括第四 可執(zhí)行部分����,用于在通用引導(dǎo)架構(gòu)單元中產(chǎn)生密碼���。
25. 根據(jù)權(quán)利要求19所述的計(jì)算機(jī)程序產(chǎn)品,進(jìn)一步包括第四 可執(zhí)行部分�,用于在所述PPM中存儲(chǔ)密碼。
26. 根據(jù)權(quán)利要求25所述的計(jì)算機(jī)程序產(chǎn)品��,其中所述第四可 執(zhí)行部分包括用于存儲(chǔ)超文本傳輸協(xié)議(HTTP)密碼的指令�����。
27. 根據(jù)權(quán)利要求26所述的計(jì)算機(jī)程序產(chǎn)品�����,其中所述第一可 執(zhí)行部分包括用于接收針對(duì)超文本傳輸協(xié)議(HTTP)響應(yīng)的請(qǐng)求的 指令�。
28. —種設(shè)備,包括用于接收來(lái)自于與密碼供應(yīng)模塊(PPM)和發(fā)送請(qǐng)求的客戶端應(yīng)用進(jìn)行通信的響應(yīng)產(chǎn)生模塊(RGM)的針對(duì)鑒權(quán)響應(yīng)的所述請(qǐng)求的 裝置���,所述RGM和PPM部署于用戶識(shí)別模塊(UIM)處�;用于響應(yīng)于所述請(qǐng)求從所述PPM發(fā)送密碼到所述RGM的裝置�; 以及用于響應(yīng)于所述請(qǐng)求和密碼根據(jù)所述密碼在所述RGM處產(chǎn)生所 述鑒權(quán)響應(yīng)的裝置。
全文摘要
一種用于安全地與網(wǎng)絡(luò)進(jìn)行通信的移動(dòng)終端包括用戶識(shí)別模塊(UIM)�。UIM可操作地與用戶設(shè)備模塊進(jìn)行通信并且包括密碼供應(yīng)模塊(PPM)、密碼產(chǎn)生模塊以及響應(yīng)產(chǎn)生模塊(RGM)�����。用戶設(shè)備模塊包括客戶端應(yīng)用���。PPM配置用于存儲(chǔ)密碼�����。密碼產(chǎn)生模塊可操作地與PPM進(jìn)行通信并且配置用于產(chǎn)生密碼����。RGM可操作地與客戶端應(yīng)用和PPM兩者進(jìn)行通信���。RGM配置用于響應(yīng)于來(lái)自客戶端應(yīng)用的請(qǐng)求而根據(jù)密碼產(chǎn)生鑒權(quán)響應(yīng)��。
文檔編號(hào)G06F21/20GK101317181SQ200680044932
公開(kāi)日2008年12月3日 申請(qǐng)日期2006年10月20日 優(yōu)先權(quán)日2005年10月21日
發(fā)明者過(guò)毅樂(lè) 申請(qǐng)人:諾基亞公司