專利名稱:基于個人手持電話系統(tǒng)的用戶標識模塊的認證方法和設備的制作方法
技術領域:
本發(fā)明 一般地涉及一種認證方法和設備����,并且特別涉及基于個人手持
電話系統(tǒng)(PHS )的用戶標識模塊(SIM )來進行802.1x無線局域網(WLAN ) 接入認證的方法和設備�����。
背景技術:
對于當今的移動商務專業(yè)人士來說,對現代辦公工具的無縫訪問是最 有價值的財富之一����。但是,有限的帶寬卻阻礙了很多應用的推廣���,例如大 型電子郵件下載�����,視頻會議等����。WLAN向終端用戶提供了比任何其它無線 技術(包括PHS分組系統(tǒng))要好的帶寬����。然而,運營商在對終端用戶的 Wi-Fi設備進行認證的時候卻面臨問題���。
基于通用分組無線業(yè)務(GPRS)的可擴展認證協議-用戶標識模塊 (EAP-SIM)解決方案是用于Wi-Fi終端用戶設備進行認證的最好的現有 解決方案�����。圖1給出了針對GPRS EAP-SIM解決方案的整體網g系結 構100�����。在基于全球移動通信系統(tǒng)-用戶標識模塊(GSM-SIM)的運營商 WLAN體系結構中����,如圖1所示,GSM終端lOl可通過GSM的基站lll 經由GPRS居民接入網(RAN) IIO參與無線通信����,并獲得對諸如話音業(yè) 務、低速數據業(yè)務等相關通信業(yè)務的支持���。另一方面����,Wi-Fi終端102可 通過鄰近的接入點(AP) 121經由公共無線局域網120而接入到諸如因特 網的IP網絡1(B中���,由此獲得對諸如高速數據業(yè)務等相關通信業(yè)務的支持����。
當Wi-Fi終端102希望通過WLAN接入到IP網絡103時�,需要得到 運營商的認證�����,以防止未經授權的Wi-Fi終端用戶接入該運營商的WLAN 網絡。對于擁有GSM網絡和WLAN網絡的運營商來說���,當運營商采用了 基于GSM-SIM的WLAN接入認證方案時��,Wi-Fi終端102可以利用其在GSM網絡中使用的SIM卡來請求獲得WLAN網絡的接入許可�����。例如�, Wi-Fi終端102可以通過WLAN中的接入控制器(AC ) 122向認證服務器 131發(fā)送認證所需要的信息���。認證服務器131利用從移動交換中心/歸屬位 置寄存器(MSC/HLR) 132獲得的認證數據來對Wi-Fi終端102是否可以 接入WLAN網絡進行認證���,從而使得用戶可以將其GSM網絡與WLAN 網絡進行結合,而GSM運營商也可以防止未經授權的Wi-Fi終端用戶接 入該GSM運營商的WLAN網絡�����。但是該解決方案卻不能用于沒有GPRS 系統(tǒng)或GSM網絡的運營商��,例如中國網通和中國電信。對于現有的基于 GSM-SIM的解決方案來說����,運營商必須具有GSM網絡以及GSM終端。 這對于沒有GSM網絡的那些運營商來說是個瓶頸��。
因此�����,需要一種認證解決方案����,其能夠使得沒有GSM網絡的運營商, 例如PHS運營商�����,可以防止未經授4又的Wi-Fi終端用戶接入該運營商的 WLAN網絡���。
發(fā)明內容
根據本發(fā)明的第一方面���,提供了一種用于用戶設備的認證方法,其基 于個人手持電話系統(tǒng)的用戶標識模塊進行無線局域網接入認證�,所述方法 包括以下步驟響應于來自網絡的認證詢問�����,將所述用戶設備的第一標識 信息發(fā)送至所述網絡���,其中����,所述第一標識信息存儲在所述用戶設備內的 所述用戶標識才莫塊中;從所述網絡接收用于認證的隨機數�,其中,所述隨 機數來自于認證三元組�����,所述認證三元組還包括第一認證結果以及與所述 第一標識信息相匹配的由所述網絡預先分配給所述用戶設備的第二標識信 息��;基于預先確定的認證算法����,在所述用戶設備處利用所述隨機數以及存 儲在所述用戶標識^^莫塊中的^人證密鑰來計算第二i人證結果;將所述第二i^ 證結果發(fā)送至所述網絡��;以及當所述第一i^證結果與所述第二認證結果匹 配時�����,接收來自所述網絡的接入許可消息。
根據本發(fā)明的第二方面�,提供了一種用于認證的用戶設備,其基于個 人手持電話系統(tǒng)的用戶標識模塊進行無線局域網接入認證��,所述用戶設備包括用戶標識模塊���,其用于存儲所述用戶i殳備的第一標識信息以及i人證 密鑰���;標識信息發(fā)送^^塊,其用于響應于來自網絡的i人證詢問�����,將所述第 一標識信息發(fā)送至所述網絡����;認證信息接收模塊,其用于從所述網,收 用于認證的隨機數��,其中��,所述隨機數來自于認證三元組���,所述認證三元 組還包括第 一認證結果以及與所述第 一標識信息相匹配的由所述網絡預先 分配給所述用戶設備的第二標識信息����;計算模塊,其用于基于預先確定的 認證算法�,利用所述隨機數和所述認證密鑰來計算第二認證結果;認證結 果發(fā)送模塊�,其用于將所述第二認證結果發(fā)送至所述網絡;以及接入消息 接收模塊����,其用于當所述第一認證結果與所述笫二認證結果匹配時����,接收 來自所述網絡的接入許可消息。
根據本發(fā)明的第三方面����,提供了一種用于網絡設備的認證方法,其基 于個人手持電話系統(tǒng)的用戶標識模塊進行無線局域網接入認證�,所述方法 包括以下步驟從用戶設備接收響應于網絡的認證詢問的笫 一標識信息, 其中所述第一標識信息存儲在所述用戶設備內的所述用戶標識模塊中�����;基 于所述第一標識信息來獲取認證三元組,其中所述認證三元組包括用于認 證的隨機數���、第一認證結果�����,以及與所述第一標識信息相匹配的由所述網 絡預先分配給所述用戶設備的第二標識信息����;向所述用戶設備發(fā)送所述隨 機數�;從所述用戶設備接收第二認證結果,其中所述第二認證結果是基于 預先確定的認證算法并利用所述隨機數以及存儲在所述用戶標識模塊中的 認證密鑰來計算的�;以及當所述第一認證結果與所述第二認證結果匹配時, 向所述用戶設備發(fā)送接入許可消息��。
根據本發(fā)明的第四方面�,提供了一種用于認證的網絡設備,其基于個 人手持電話系統(tǒng)的用戶標識模塊進行無線局域網接入認證��,所述網絡設備 包括標識信息接收模塊��,其用于從用戶設備接收響應于網絡的認證詢問 的第 一標識信息��,其中所述第 一標識信息存儲在所述用戶i殳備內的所述用 戶標識才莫塊中;認證模塊�,其用于基于所述第一標識信息來獲取認證三元 組,其中所述認證三元組包括用于認證的隨機數�����、第一認證結果����,以及與 所述笫 一標識信息相匹配的由所述網絡預先分配給所述用戶設備的第二標識信息;認證信息發(fā)送模塊�,其用于向所述用戶設^^發(fā)送所述隨機數;認 證結果接收模塊�����,其用于從所述用戶設備接收第二認證結果�,其中所述第
一V
用戶標識才莫塊中的認證密鑰來計算的����;以及接入消息發(fā)送模塊,其用于當 所述第 一認證結果與所述第二認證結果匹配時���,向所述用戶設備發(fā)送接入 許可消息�。
根據本發(fā)明的第五方面,提供了一種認證方法�����,其基于個人手持電話 系統(tǒng)的用戶標識才莫塊進行無線局域網接入認證����,所述方法包括以下步驟 響應于來自網絡的認證詢問,將用戶設備的第一標識信息從所述用戶設備 發(fā)送至所述網絡�,其中,所述第一標識信息存儲在所述用戶設備內的所述 用戶標識才莫塊中�����;基于所述第一標識信息�,在所述網絡處獲取認證三元組, 其中所述認證三元組包括用于認證的隨機數��、第一認證結果���,以及與所述 第 一標識信息相匹配的由所述網絡預先分配給所述用戶設備的第二標識信 息�;從所述網絡向所述用戶設備發(fā)送所述隨機數�;基于預先確定的認證算 法,在所述用戶設備處利用所述隨機數以及存儲在所述用戶標識模塊中的 認證密鑰來計算第二認證結果�����;將所述第二認證結果從所述用戶設備發(fā)送 至所述網絡;以及當所述第一認證結果與所述第二認證結果匹配時���,從所 述網絡向所述用戶設備發(fā)送接入許可消息��。
在所附權利要求中闡述了本發(fā)明的新穎性特征��。當結合附圖閱讀時�, 通過參照以下對說明性實施例的詳細描述�,將最好地理解本發(fā)明本身以及 優(yōu)選的使用模式,及其進一步的目的和優(yōu)點���,在附圖中
圖1示出了現有技術中基于GSM-SIM的運營商WLAN體系結構�����;
圖2依照本發(fā)明的示例性實施例示出了基于PHS-SIM的運營商 WLAN體系結構;
圖3依照本發(fā)明的示例性實施例說明了用于實現基于PHS-SIM的 WL AN接入認證方法的流程10圖4依照本發(fā)明的示例性實施例說明了對PHS分組卡中的標識信息的訪問�����;圖5依照本發(fā)明的示例性實施例說明了對PHS分組卡中的認證結果的 訪問��;圖6依照本發(fā)明的示例性實施例示出了實現WLAN接入認證的消息 流;以及圖7依照本發(fā)明的示例性實施例說明了用于實現基于PHS-SIM的 WLAN接入認證的系統(tǒng)����。
具體實施方式
下面將參照附圖來詳細描述本發(fā)明的實施例。貫穿本說明書全文����,談 及特征、優(yōu)點或類似的措辭并非意味著可以利用本發(fā)明而實現的所有特征 與優(yōu)點應當在或者是在本發(fā)明的任何單個的實施例中�����。相反�����,要理解涉及 特征與優(yōu)點的措辭意味著結合實施例所描述的具體特征�、優(yōu)點或特性包括 在本發(fā)明的至少一個實施例中。因而����,貫穿本說明書全文,對特征和優(yōu)點 的討論以及類似的措辭可以指同一實施例��,但卻不一定指同一實施例���。此 外�����,所描述的本發(fā)明的特征����、優(yōu)點以及特性可以用任何合適的方式合并在 一個或多個實施例中。相關領域的技術人員將^^人識到����,可以在沒有特定 實施例的一個或多個具體特征或優(yōu)點的情況下實踐本發(fā)明。在其它的實例 中��,可以在某些實施例中實現附加的特征和優(yōu)點��,其不一定出現于本發(fā)明的所有實施例之中�。為了使不具有GSM網絡的運營商(例如PHS運營商)可以防止未經 授權的Wi-Fi終端用戶接入該運營商的WLAN網絡,本發(fā)明給出了基于 PHS分組卡的802.1x認證解決方案����。本發(fā)明可應用于擁有PHS網絡以及 WLAN網絡的所有運營商。本發(fā)明的解決方案基于的是被稱為EAP的 802.1x認證和控制框架��。其使用PHS-SIM作為替代GSM-SIM的唯一用 戶標識���。所有用于WLAN認證的數據均存儲在PHS-SIM中�,PHS-SIM已 經凈皮集成到PHS分組卡中��。當終端用戶想要通過其Wi-Fi i殳備接入WLAN時��,接入控制器元件(AC)將啟動EAP認證過程����。終端上的應用(例如 軟件程序)將檢索駐留于PHS分組卡中的所需數據并且對接入控制器進行 響應。在EAP ^人證成功之后���,終端將開始啟動動態(tài)主才幾配置協i義(DHCP) 過程����,以便動態(tài)獲取IP地址����,并且由此能夠接入IP網絡或因特網。圖2依照本發(fā)明的示例性實施例示出了基于PHS-SIM的運營商 WLAN體系結構200�。如圖2所示,該體系結構200中的PHS終端201 可經由PHS RAN 210參與數據通信����,而具有PHS分組卡的Wi-Fi終端202 可經由公共WLAN 220而接入到諸如因特網的IP網絡203中�����。此外�,在 另一示例性實施例中���,舉例來說�����,具有PHS分組卡的Wi-Fi終端202還可 以通過PHS RAN 210來接入IP網絡或因特網��,并且其可以實現無縫切換�����。 在圖2所示出的體系結構200中����,PHS分組數據服務器(PDS) 233充當 PHS數據終端的網關����,以l更接入IP數據網絡或因特網,類似用于GPRS 網絡中的服務GPRS支持節(jié)點/網關GPRS支持節(jié)點(SGSN/GGSN),如 圖1所示���。如果PHS用戶數據被集成到PDS 233中,則PDS 233將直接 向認證服務器(AS) 231提供用于認證的數據�����,例如i人證三元組����。否則, PDS 233將在AS 231與PHS交換中心/歸屬位置寄存器(PSC/HLR) 232 之間作為中繼來轉發(fā)認證三元組請求和響應(利用7號信令系統(tǒng)237)����, 如圖2中的虛線所示。根據本發(fā)明的示例性實施例���,當Wi-Fi終端202希望通過WLAN接 入到IP網絡時���,需要得到運營商的認證,以防止未經授權的Wi-Fi終端用 戶接入該運營商的WLAN網絡���。對于擁有PHS網絡和WLAN網絡的運 營商來說����,當運營商采用了本發(fā)明的基于PHS-SIM的WLAN認證方案時, Wi-Fi終端202可以利用其在PHS網絡中使用的PHS分組卡來請求獲得 WLAN網絡的接入許可�。例如,Wi-Fi終端202可以通過AC 222向認證 服務器231發(fā)送認證所需要的信息�。認證服務器231利用從PDS 233 (當 其集成了 PHS用戶數據時)中獲得或者從PSC/HLR 232經由PDS 233轉 發(fā)而獲得的認證數據,來對Wi-Fi終端202是否可以接入WLAN網絡進 行認證����,從而使得PHS運營商可以將其PHS分組網絡與WLAN網絡進行無縫結合,并且終端用戶能夠在無需改變其終端設備的情況下通過WLAN 接口或PHS接口接入IP網絡���。利用本發(fā)明��,PHS運營商可以防止未經授 權的Wi-Fi終端用戶接入其所擁有的WLAN網絡����。下面的示意性流程圖一般作為邏輯流程圖來進行闡述����。因此,所示出 的順序和所標記的步驟表示所提出的方法的一個實施例����。可以想到在功能、 邏輯或效果方面等效于所描述的方法的一個或多個步驟或其部分的其它步 驟和方法�。另外,所采用的格式和符號是為了闡釋該方法的邏輯步驟而提 供的�,并JU皮理解為并不限制該方法的范圍。盡管在流程圖中可以采用各 種箭頭類型和線條類型�,然而它們被理解為并不限制相應的方法的范圍。 事實上��,某些箭頭或其它的連接符可能僅僅用于指示該方法的邏輯流程���。 例如,箭頭可以指示所示方法的所列步驟之間未指定的持續(xù)時間的等待或 監(jiān)視期��。另外�,特定方法發(fā)生的順序可以嚴格按照所示對應步驟的順序, 或者����,可以不嚴格按照所示對應步驟的順序。圖3是依照本發(fā)明的示例性實施例說明了用于實現基于PHS-SIM的 WLAN接入認證方法的流程圖����。該方法的認證過程基于的是用于802.1x 的EAP過程,該過程開始于當諸如Wi-Fi終端202的用戶設備請求接入諸 如公共WLAN 222的WLAN網絡時����,此時�����,該WLAN網^^向發(fā)起請求 的用戶設備進行i人證詢問�。在步驟302�����,響應于來自網絡的認證詢問�����,用 戶設備將諸如手機設備號(PSEN)的第一標識信息發(fā)送至該網絡���,該第一 標識信息對該用戶設備進行唯一標識���,并且其可以存儲在該用戶設備內的 用戶標識;漢塊(例如PHS分組卡)中。在步驟304�����,網絡中的認證服務器(例如��,圖2中的AS 231)基于從 用戶設備接收到的第一標識信息來獲取認證三元組。舉例來說����,認證三元 組可以具有三個字段(尸S^7V,及做^附7V"附6c爿"幼及^w&),其分別 表示與第 一標識信息相匹配的由網絡預先分配給該用戶設備的第二標識信 息、用于認證的隨機數�,以及第一認證結果(其用于與用戶設備根據認證 隨機數所計算出的第二認證結果進行比較)。如果PDS集成了用戶數據�, 則認證三元組由PDS (例如,圖2中的PHS PDS 233)提供��。如果PDS不具有集成的HLR (其含有用戶數據)����,則i人證三元組由PSC/HLR (例 如��,圖2中的PSC/HLR 232 )提供����。在步驟306,該網絡向用戶設備發(fā)送所獲得的認證三元組中的隨機數�。 用戶設備可基于預先確定的認證算法,例如Feal32或Stephi���,并且根據所 接收到的隨機數以及存儲在用戶標識模塊中的認證密鑰來計算第二認證結 果(如步驟308所示)���,以便在步驟310中將第二認證結果發(fā)送給網絡�����, 用于與認證服務器從認證三元組中獲得的第一認證結果進行比較�����。在步驟 312中�����,當認證服務器確認第一認證結果與第二認證結果匹配時�,便可以 向該用戶設備發(fā)送接入許可消息(如步驟314所示)���。此后�,用戶設備可 接入該網絡����。如果在步驟312中第一認證結果與第二認證結果不匹配,則 認證服務器向用戶設備發(fā)送接入拒絕消息(如步驟316所示)�����,并且該接 入認證過程在步驟318結束。以上描述了根據本發(fā)明的實施例的用于實現基于PHS-SIM的WLAN 接入認證方法�。應當指出的是,所描述的方法僅為示例���,而不是對本發(fā)明 的限制�。本發(fā)明的用于實現基于PHS-SIM的WLAN接入認證方法可具有 更多����、更少或不同的步驟,所描述的一些步驟可合并為單個步驟或劃分為 更細的步驟��,且一些步驟之間的順序可改變或可并行執(zhí)行�����。圖4依照本發(fā)明的示例性實施例說明了對PHS分組卡410中的標識信 息的訪問����。如圖4所示��,在PHS分組數據卡410內保存了特殊的數據塊�����, 該數據塊在文中被稱為簡檔數據塊(PDB) 411。對于Wi-Fi終端信息存儲 來說��,PSEN和認證密鑰是存儲在該數據塊中的必不可少的信息��。PSEN(其 作為終端標識)由認證服務器(例如圖2中AS 231 )用來從PDS或PSC/HLR 獲得認證三元組����。終端可使用認證密鑰,并基于從認證服務器接收的隨機 數來計算認證結果�����。當終端420希望獲取其標識信息PSEN時��,PHS分組 卡410需要向OS驅動器提供第一接口 ���,即PSEN訪問接口 ��。應用421可 通過諸如ReadPDB ()這樣的應用編程接口 ( API)來獲得該PSEN信息���。使用認證密鑰的方式與使用PSEN的方式完全不同。對于PSEN來說�, 可以由卡驅動器向OS提供簡單的API (例如,ReadPDB ())�。應用421將調用該API并且然后直接獲得PSEN����。但是對于認證密鑰來說�,出于安 全問題,其不能夠通過API被直接讀取出來����。圖5依照本發(fā)明的示例性實施例說明了對PHS分組卡410中的認證結 果的訪問。如圖5所示���,基于以秘密個人標識號碼(PIN)作為密鑰的算 法��,應用421可以通過第二接口 (即諸如GetSRES (i^iVD)的另一API) 將來自網絡的認證隨機數及"mto附A^附&r饋送給PHS分組卡410����,然后該 分組卡410將通過選取認證算法并基于認證密鑰來計算不可逆的認證結果 57 £^����。算法矩陣412必須與PDS或PSC/HLR上的算法矩陣匹配��。在本 發(fā)明的示例性實施例中�����,選取Feal32和/或Stephi作為i/v證算法,其已被 廣泛4吏用于PHS網絡��。圖6依照本發(fā)明的示例性實施例示出了實現WLAN接入認證的消息 流��。諸如圖2中的Wi-Fi終端202這樣的用戶設備(STA)可以經由鄰近 的AP連接到AC (例如圖2中的AC 222)�����,并且通過AC與AS之間的 通信獲得接入認證�����。作為例子�,AP和AC使用EAPoL(基于LAN的EAP ) 的認證協議,而AS和PDS或PSC/HLR使用EAPoR (基于RADIUS的 EAP)的認證協議�,如圖6中所示。當用戶設備STA希望接入諸如WLAN的網絡時��,其向AC發(fā)送認證 請求消息601,從而啟動接入認證過程��。AC在接收到來自STA的認證請 求時�,會對STA進行認證詢問602,以便獲得用戶設備的標識信息�����。響應 于來自AC的認證詢問,STA獲得603用于對自身進行唯一標識的標識信 息����,例如從其用戶標識模塊(PHS分組卡)中獲取PSEN,并將該標識信 息發(fā)送給AC作為響應604����。在消息605中,AC將從STA接收到的標識 信息發(fā)送至AS,以便請求進行用戶設備的接入認證�����。為了對發(fā)起請求的 STA進行接入認證�����,AS需要獲得關于該設備的認證信息����。因此,通過消 息606����, AS利用從AC接收到的用戶設備標識信息來獲得相匹配的認證三 元組����。此時�,PDS或PSC/HLR需要提供認證三元組給AS�,并且使其能夠 對Wi-Fi終端用戶進行認證。當PHS/PDS集成了 HLR并具有相關的用戶 信息時�����,認證三元組可以由PHS/PDS提供給AS��。如果PHS/PDS沒有集證的 隨機數RAND以及第一認證結果�����。在消息609中�����,AS將隨機數RAND發(fā) 送給AC��, AC然后在消息610中將該隨機數RAND返回給STA��,以便STA 進行認證���。STA將所獲得的隨機數饋送給PHS分組卡/用戶標識模塊����,并 基于預先確定的認證算法(例如Feal32或Stephi),利用該隨機數以及存 儲在用戶標識模塊中的認證密鑰來獲得本地認證結果611 (例如����,使用 GetSRES ( ) API) 。 STA然后在消息612中將該認證結果提供給AC���, 而AC在消息613中將該認證結果發(fā)送至AS�。 AS將從AC接收到的認證 結果與先前從i人證三元組獲得的認證結果進行比較�,如果二者匹配,則AS 向AC發(fā)送接入許可消息614a���,否則發(fā)送接入拒絕消息614b�����。 AC將接入 成功或失敗的消息615返回給STA�,由此完成對STA的接入認證��。在本發(fā)明的另 一示例性實施例中���,當用戶設備STA實現接入級的認證 之后�����,其還可以實現諸如應用級等其它級別的認證過程616��,舉例來說��, 用戶可以通過輸入用戶名和密碼等獲得相關認證�����。在EAP認證成功之后����, 用戶設備可以進一步實現DHCP過程617,并且其然后將能夠接入IP網絡 或因特網���,由此進行相應的計費請求618和獲得計費響應619����。圖7依照本發(fā)明的示例性實施例說明了用于實現基于PHS-SIM的 WLAN接入認證的系統(tǒng)框圖700�。需要注意的是,圖7僅示意性地示出了 參與WLAN接入認證的用戶設備710和網絡設備720及其主要模塊��。應 當指出的是,所描述的用戶設備710和網絡設備720僅為示例���,而不是對 本發(fā)明的限制�。本發(fā)明的用戶設備710和網絡設備720可具有比所描迷的 更多�、更少或不同的功能模塊,所描述的一些功能模塊可合并在一起�,或 進一步劃分,或具有不同的連接關系和包含關系�����,所有這些變化均處于本 發(fā)明的精神和范圍之內�。如圖7所示,用戶設備710包括用戶標識模塊711���、標識信息發(fā)送模 塊712�、認證信息接收模塊713�����、計算模塊714�、認證結果發(fā)送模塊715,以及接入消息接收模塊716。用戶標識模塊711用于存儲用戶設備710的 唯一標識信息以;5U人證密鑰�。響應于來自網絡的^人證詢問��,標識信息發(fā)送 模塊712將用戶設備710的唯一標識信息(例如PSEN)發(fā)送給網絡設備 720���。認證信息接收模塊713用于從網絡設備720接收用于認證的隨機數。 利用所接收的隨機數以及用戶標識模塊711內的認證密鑰�����,計算模塊714 基于預先確定的認證算法來計算用戶側認證結果��。認證結果發(fā)送模塊715 將該認證結果發(fā)送給網絡設備720����。當網絡側認證結果與用戶側認證結果 匹配時����,接入消息接收模塊716可以接收到來自網絡設備720的接入許可 消息。
網絡設備720包括標識信息接收模塊721���、認證模塊722����、認證信息發(fā) 送模塊723�����、認證結果接收模塊724,以及接入消息發(fā)送模塊725�����。當用戶 設備710向網絡設備720發(fā)送了其唯一標識信息時�����,接收才莫塊721接收該 用戶設備的標識信息���。認仏漠塊722基于該標識信息來獲取認證三元組����, 其中認證三元組包括用于認證的隨機數���、網絡側i/v證結果��,以及與用戶i殳 備710所提供的標識信息相匹配的由網絡預先分配給用戶設備的標識信 息����。為了進行用戶接入認證�����,網絡設備720的認證信息發(fā)送模塊723向用 戶設備710發(fā)送該隨機數,并通過認證結果接收模塊724從用戶設備710 接收用戶側認證結果���。當用戶側認證結果與網絡側認證結果匹配時���,接入 消息發(fā)送模塊725向用戶設備710發(fā)送接入許可消息。否則���,接入消息發(fā) 送模塊725向用戶設備710發(fā)送接入拒絕消息��。
可以用硬件、軟件���、固件或其組合的方式實現本發(fā)明�����。適于實現文中 所描述的方法的任何計算機系統(tǒng)或其它裝置都是合適的�。 一種典型的硬件 和軟件的組合可以是含有計算機程序的通用計算機系統(tǒng)��,當該計算機程序 被加載和執(zhí)行時��,其控制該計算機系統(tǒng)而使其執(zhí)行文中所描述的方法的步 驟,或者構成根據本發(fā)明的實施例的裝置和系統(tǒng)中的功能模塊�����。
本發(fā)明還可以體現在計算機程序產品中�,該計算機程序產品含有使得 能夠實現文中所描述的方法的所有特征,并且當其#>載到計算機系統(tǒng)中 時����,能夠執(zhí)行這些方法,或者構成才艮據本發(fā)明的實施例的裝置和系統(tǒng)中的功能模塊�。
盡管已經公開了本發(fā)明的具體實施例,然而本領域的普通技術人員應 該理解在不背離本發(fā)明的精神和范圍的情況下可以對具體的實施例進行改 變��。因此��,本發(fā)明的范圍并不限于具體的實施例�����,并且其旨在所附權利要 求涵蓋本發(fā)明范圍內的任何以及所有這樣的應用�、修改和實施例。
權利要求
1.一種用于用戶設備的認證方法��,其基于個人手持電話系統(tǒng)的用戶標識模塊進行無線局域網接入認證,所述方法包括以下步驟響應于來自網絡的認證詢問��,將所述用戶設備的第一標識信息發(fā)送至所述網絡���,其中�,所述第一標識信息存儲在所述用戶設備內的所述用戶標識模塊中���;從所述網絡接收用于認證的隨機數����,其中���,所述隨機數來自于認證三元組���,所述認證三元組還包括第一認證結果以及與所述第一標識信息相匹配的由所述網絡預先分配給所述用戶設備的第二標識信息����;基于預先確定的認證算法,在所述用戶設備處利用所述隨機數以及存儲在所述用戶標識模塊中的認證密鑰來計算第二認證結果�;將所述第二認證結果發(fā)送至所述網絡;以及當所述第一認證結果與所述第二認證結果匹配時���,接收來自所述網絡的接入許可消息���。
2. 根據權利要求1的方法����,其中��,所述第一標識信息是通過第一接口 直接從所述用戶標識才莫塊獲取的�����。
3. 根據權利要求1或2的方法�����,其中��,計算所迷第二認證結果包括以 下步驟通過第二接口將所述隨機數饋送至所述用戶標識模塊��;以及 從所述用戶標識模塊獲取所述第二認證結果����。
4. 根據權利要求1或2的方法,其中���,所述認證三元組是由所述個人 手持電話系統(tǒng)的分組數據服務器提供的�,所述分組數據服務器集成了用戶 歸屬位置寄存器。
5. 根據權利要求1或2的方法����,其中,所述認證三元組是從用戶歸屬 位置寄存器經由所述個人手持電話系統(tǒng)的分組數據服務器的轉發(fā)而獲得 的���。
6. 根據權利要求1或2的方法��,其中�����,所述認證算法是Fea132算法或Stephi算法�。
7. 根據權利要求1或2的方法����,其中,所述認證是基于802.1x的可擴 展認證協議的0
8. —種用于認證的用戶設備�����,其基于個人手持電話系統(tǒng)的用戶標識模 塊進行無線局域網接入認證�,所述用戶i殳備包括用戶標識模塊,其用于存儲所述用戶設備的第一標識信息以及認證密鑰�;標識信息發(fā)送模塊,其用于響應于來自網絡的認證詢問�,將所述第一 標識信息發(fā)送至所述網絡;認證信息接收模塊�����,其用于從所述網絡接收用于認證的隨機數�,其中, 所述隨機數來自于認證三元組����,所述認證三元組還包括第一認證結果以及 與所述第一標識信息相匹配的由所述網絡預先分配給所述用戶設備的第二 標識4言息;計算模塊��,其用于基于預先確定的認證算法���,利用所述隨機數和所述認證密鑰來計算笫二認證結果�����;認證結果發(fā)送模塊����,其用于將所述第二認證結果發(fā)送至所述網絡;以及接入消息接收模塊��,其用于當所述第一認證結果與所述第二認證結果 匹配時�,接收來自所述網絡的接入許可消息。
9. 根據權利要求8的用戶設備�����,其進一步包括第一接口�����,用于從所述 用戶標識模塊直接獲取所述第一標識信息��。
10. 根據權利要求8或9的用戶設備�����,其進一步包括第二接口�,用于 將所述隨機數饋送至所述用戶標識模塊,以及從所述用戶標識模塊獲取所 述笫二認證結果�����。
11. 根據權利要求8或9的用戶設備�����,其中�,所述認證算法是FeaB2 算法或Stephi算法。
12. 根據權利要求8或9的用戶設備�,其中,所述認證三元組是由所 述個人手持電話系統(tǒng)的分組數據服務器提供的�,所述分組數據服務器集成了用戶歸屬位置寄存器。
13. 根據權利要求8或9的用戶設備��,其中�,所述認證三元組是從用 戶歸屬位置寄存器經由所述個人手持電話系統(tǒng)的分組數據服務器的轉發(fā)而 獲得的。
14. 根據權利要求8或9的用戶設備�,其中,所述i人證是基于802.1x 的可擴展認證協議的�。
15. —種用于網絡設備的認證方法,其基于個人手持電話系統(tǒng)的用戶 標識才莫塊進行無線局域網接入認證���,所述方法包括以下步驟從用戶設名�����、接收響應于網絡的認證詢問的第 一標識信息��,其中所述第 一標識信息存儲在所述用戶設備內的所述用戶標識模塊中�����;基于所述第一標識信息來獲取i/v證三元組�����,其中所述i人證三元組包括 用于認證的隨機數���、第一認證結果��,以及與所述第一標識信息相匹配的由 所述網絡預先分配給所述用戶設備的第二標識信息����;向所述用戶i殳備發(fā)送所述隨機數���;從所述用戶設備接收第二認證結果�,其中所述第二認證結果是基于預 先確定的認證算法并利用所述隨機數以及存儲在所述用戶標識模塊中的認 證密鑰來計算的��;以及當所述笫一認證結果與所述第二認證結果匹配時�����,向所述用戶設備發(fā) 送接入許可消息��。
16. 根據權利要求15的方法,其中��,所述第一標識信息是通過第一 接口直接從所述用戶標識模塊獲取的����。
17. 根據權利要求15或16的方法��,其中���,所述第二認證結果是通過 將所述隨機數經由笫二接口饋送至所述用戶標識模塊而從所述用戶標識模 塊獲取的���。
18. 根據權利要求15或16的方法,其中����,所述認證算法是Feal32 算法或Stephi算法。
19. 根據權利要求15或16的方法����,其中,所述認證三元組是由所述 個人手持電話系統(tǒng)的分組數據服務器提供的����,所述分組數據服務器集成了用戶歸屬位置寄存器�����。
20. 根據權利要求15或16的方法����,其中�,所述認證三元組是從用戶 歸屬位置寄存器經由所述個人手持電話系統(tǒng)的分組數據服務器的轉發(fā)而獲 得的。
21. 才艮據權利要求15或16的方法�,其中,所述認證是基于802.1x 的可擴展認證協議的�。
22. —種用于認證的網絡設備,其基于個人手持電話系統(tǒng)的用戶標識 模塊進行無線局域網接入認證���,所述網絡設備包括標識信息接收模塊���,其用于從用戶設備接收響應于網絡的認證詢問的 第一標識信息,其中所述第一標識信息存儲在所述用戶設備內的所述用戶 標識模塊中��;認證^^莫塊�����,其用于基于所述第一標識信息來獲取認證三元組,其中所 述認證三元組包括用于認證的隨機數���、第一認證結果�����,以及與所述第一標 識信息相匹配的由所述網絡預先分配給所述用戶i殳備的第二標識信息��; 認證信息發(fā)送模塊�,其用于向所述用戶設備發(fā)送所述隨機數�; 認證結果接收模塊����,其用于從所述用戶設備接收第二認證結果,其中 所述第二認證結果是基于預先確定的認證算法并利用所述隨機數以及存儲在所述用戶標識才莫塊中的i人證密鑰來計算的���;以及接入消息發(fā)送模塊����,其用于當所述第 一認證結果與所述第二認證結果 匹配時�����,向所述用戶i殳備發(fā)送接入許可消息。
23. 根據權利要求22的網絡設備���,其中��,所述第一標識信息是通過 第 一接口直接從所述用戶標識模塊獲取的����。
24. 根據權利要求22或23的網絡設備���,其中����,所述第二認證結果是 通過將所述隨機數經由第二接口饋送至所述用戶標識模塊而從所述用戶標 識模塊獲取的��。
25. 根據權利要求22或23的網絡設備�����,其中��,所述認證算法是Fea132 算法或Stephi算法��。
26. 根據權利要求22或23的網絡設備�����,其中,所述認證三元組是由所述個人手持電話系統(tǒng)的分組數據服務器提供的����,所述分組數據服務器集 成了用戶歸屬位置寄存器。
27. 根據權利要求22或23的網絡設備���,其中�����,所述認證三元組是從 用戶歸屬位置寄存器經由所述個人手持電話系統(tǒng)的分組數據服務器的轉發(fā) 而獲得的����。
28. 根據權利要求22或23的網絡設備�,其中���,所述認證U于802.1x 的可擴展i人證協i義的����。
29. —種認證方法�����,其基于個人手持電話系統(tǒng)的用戶標識模塊進行無 線局域網接入認證,所述方法包括以下步驟響應于來自網絡的認證詢問��,將用戶設備的第一標識信息從所述用戶 設備發(fā)送至所述網絡���,其中����,所述第一標識信息存儲在所述用戶設備內的 所述用戶標識才莫塊中����;基于所述第一標識信息,在所述網絡處獲取認證三元組�����,其中所述^人 證三元組包括用于認證的隨機數�����、第一認證結果���,以及與所述第一標識信 息相匹配的由所述網絡預先分配給所述用戶設備的第二標識信息����;從所述網絡向所述用戶設備發(fā)送所述隨機數;基于預先確定的認證算法��,在所述用戶設備處利用所述隨機數以及存 儲在所述用戶標識模塊中的認證密鑰來計算第二認證結果���;將所述第二認證結果從所述用戶設4^發(fā)送至所述網絡����;以及當所述第一認證結果與所述第二認證結果匹配時�,從所述網絡向所述 用戶設備發(fā)送接入許可消息。
全文摘要
本發(fā)明提供了一種基于個人手持電話系統(tǒng)的用戶標識模塊進行無線局域網認證的方法�����,包括響應于來自網絡的認證詢問���,將所述用戶標識模塊中存儲的第一標識信息發(fā)送至所述網絡;基于所述第一標識信息��,在所述網絡處獲取認證三元組�����,其包括用于認證的隨機數、第一認證結果����,以及與所述第一標識信息匹配的由所述網絡預先分配給所述用戶設備的第二標識信息;從所述網絡向用戶設備發(fā)送所述隨機數����;基于預先確定的認證算法,在所述用戶設備處利用所述隨機數以及存儲在所述用戶標識模塊中的認證密鑰來計算第二認證結果��;將所述第二認證結果發(fā)送至所述網絡����;以及當所述第一認證結果與所述第二認證結果匹配時,從所述網絡向所述用戶設備發(fā)送接入許可消息���。
文檔編號H04W12/00GK101662768SQ20081021460
公開日2010年3月3日 申請日期2008年8月28日 優(yōu)先權日2008年8月28日
發(fā)明者超 厲, 尚傳進, 營 王, 管恩花 申請人:阿爾卡特朗訊公司