專利名稱:用于鑒權(quán)終端的用戶的方法�����、鑒權(quán)系統(tǒng)��、終端�����、和授權(quán)設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種用于鑒權(quán)終端的用戶的方法���、應(yīng)用授權(quán)設(shè)備的終端����、和被連接到該終端的授權(quán)設(shè)備����。本發(fā)明還涉及一種鑒權(quán)系統(tǒng)���,該鑒權(quán)系統(tǒng)包括這樣的終端,該終端帶有用來耦合至少用于鑒權(quán)的授權(quán)設(shè)備的裝置��,以及該授權(quán)設(shè)備配備有用于實施鑒權(quán)協(xié)議的裝置���。本發(fā)明還涉及一種終端���,該終端帶有用來耦合至少用于鑒權(quán)的授權(quán)設(shè)備的裝置,以及該授權(quán)設(shè)備配備有用于實施鑒權(quán)協(xié)議的裝置����。此外,本發(fā)明涉及一種要被使用于用戶鑒權(quán)的授權(quán)設(shè)備���,該授權(quán)設(shè)備包括用于實施鑒權(quán)協(xié)議的裝置����。本發(fā)明進(jìn)一步涉及一種包括機(jī)器可執(zhí)行的步驟的計算機(jī)程序���,其中所述的步驟用于鑒權(quán)配備有用于驗證使用權(quán)利的設(shè)備的終端的用戶,該用于驗證使用權(quán)利的設(shè)備被應(yīng)用來運行鑒權(quán)協(xié)議��;以及涉及一種貯存媒體,該貯存媒體用于存儲包括機(jī)器可執(zhí)行的步驟的計算機(jī)程序���,其中所述的步驟用于鑒權(quán)配備有用于驗證使用權(quán)利的設(shè)備的終端的用戶����,該用于驗證使用權(quán)利的設(shè)備被應(yīng)用來運行鑒權(quán)協(xié)議�����。
在本說明中�,授權(quán)設(shè)備是指一種功能性設(shè)備,它具有在該設(shè)備可運行之前和/或結(jié)合該設(shè)備的使用的��、驗證使用一個功能和/或設(shè)備的權(quán)利的裝置�����。在本上下文中提到的�����、這樣的用于驗證的設(shè)備包括所謂的智能卡����,它通常包括處理器���、存儲器和連接裝置。該智能卡配備有軟件等���,用于處理進(jìn)入到該智能卡的輸入和用于生成響應(yīng)���。這樣的智能卡例如被使用在移動臺中,作為付費卡����、作為電子識別卡等等。而且�,有用于驗證使用權(quán)利、防止使用被復(fù)制的軟件的已知設(shè)備���。這樣的驗證設(shè)備(被稱為“道爾芯片(dongle)”或“硬鎖”)例如被放置在計算機(jī)的打印機(jī)連接中��,其中該軟件包括安全程序�,它例如探查該驗證設(shè)備是否被耦合在打印機(jī)連接中�,以及如果必要的話,它也檢查可能被存儲在該驗證設(shè)備中的識別(例如���,許可證號碼)����。雖然下面在本說明中�,這樣的用于驗證使用權(quán)利的設(shè)備主要被稱為智能卡,但顯然��,本發(fā)明并不限于只使用于智能卡��。
有可能讓一個要被使用于例如用戶鑒權(quán)的智能卡連接到其上的終端是已知的���。鑒權(quán)可能是必須的�����,例如����,為了防止未授權(quán)的個人使用終端或在終端上執(zhí)行這樣的功能�����,即除該終端的已授權(quán)用戶以外的其他個人沒有使用該功能的權(quán)利���。鑒權(quán)功能通常被安排為至少部分地與智能卡相連接��,其中該終端把由用戶輸入的識別數(shù)據(jù)發(fā)送到智能卡�。所使用的識別數(shù)據(jù)例如是用戶名和密碼或個人身份號(PIN)。該智能卡配備有鑒權(quán)協(xié)議��,它通過將從終端發(fā)送的識別數(shù)據(jù)作為鑒權(quán)參量應(yīng)用而被運行����。藉助于該協(xié)議而例如計算參考號,該參考號被與存儲在該智能卡中的身份號進(jìn)行比較��。這樣��,當(dāng)這些號碼匹配時��,假定該用戶就是他/她所聲稱的那個人����。
當(dāng)用戶通過終端登錄到數(shù)據(jù)網(wǎng)時,也可使用基于智能卡的解決方案���。該數(shù)據(jù)網(wǎng)配備有鑒權(quán)服務(wù)器等�,與之結(jié)合的是被存儲的注冊用戶的識別數(shù)據(jù)�,諸如他們的名字、用戶識別和密碼。因此����,鑒權(quán)服務(wù)器和智能卡通過該終端和數(shù)據(jù)網(wǎng)來通信。另外�����,在這樣的解決方案中�,可能必須首先結(jié)合終端的開啟來識別該用戶����,之后,在數(shù)據(jù)網(wǎng)的鑒權(quán)服務(wù)器中執(zhí)行第二鑒權(quán)�����。這個第二鑒權(quán)是基于使用預(yù)定的鑒權(quán)協(xié)議和鑒權(quán)算法�。因此,運行這個鑒權(quán)協(xié)議所必須的程序代碼被存儲在終端和數(shù)據(jù)網(wǎng)中���。鑒權(quán)算法被存儲在鑒權(quán)服務(wù)器和智能卡中�。
在數(shù)據(jù)網(wǎng)中��,例如可以通過從終端發(fā)送登錄請求到數(shù)據(jù)網(wǎng)而執(zhí)行鑒權(quán),其中登錄請求被發(fā)送到鑒權(quán)服務(wù)器�����。該鑒權(quán)服務(wù)器通過預(yù)定的鑒權(quán)算法而形成詢問等等���。此后��,該鑒權(quán)服務(wù)器發(fā)送登錄響應(yīng)消息到終端����,所述詢問或者照樣地或者以加密形式被包括在該終端中����。而且,這個消息的鑒權(quán)可以通過數(shù)字簽名被驗證��,該智能卡可在接收登錄響應(yīng)消息后檢驗該數(shù)字簽名�。接著,智能卡藉助于預(yù)定的鑒權(quán)算法��、根據(jù)用戶識別數(shù)據(jù)和接收的詢問而產(chǎn)生響應(yīng)數(shù)��。該響應(yīng)數(shù)被發(fā)送到鑒權(quán)服務(wù)器��,鑒權(quán)服務(wù)器能夠根據(jù)被存儲在鑒權(quán)服務(wù)器中的用戶識別數(shù)據(jù)和由它形成的詢問來形成預(yù)期的響應(yīng)數(shù)。鑒權(quán)服務(wù)器可以比較所接收的響應(yīng)數(shù)與預(yù)期的響應(yīng)數(shù)�,以及根據(jù)比較結(jié)果,而得出在形成接收的響應(yīng)數(shù)中所使用的數(shù)據(jù)是否與在形成預(yù)期的響應(yīng)數(shù)中所使用的數(shù)據(jù)相匹配�。如果該數(shù)據(jù)相匹配,則可以假定該用戶已被正確地鑒權(quán)�,以及用戶可以開始使用數(shù)據(jù)網(wǎng)。以上給出的這種方法在移動臺登錄到移動通信網(wǎng)期間被用在例如GSM移動通信系統(tǒng)和UMTS移動通信系統(tǒng)中���。在該GSM移動通信系統(tǒng)和UMTS移動通信系統(tǒng)中使用的智能卡分別是所謂的SIM卡(用戶身份模塊)和USIM卡(UMTS用戶身份模塊)����。作為鑒權(quán)服務(wù)器�,使用一個鑒權(quán)中心AuC�����。SIM卡包含移動通信網(wǎng)運營商特定的鑒權(quán)算法����。
在基于智能卡的解決方案中,用戶數(shù)據(jù)和鑒權(quán)算法可以通過用配備有新鑒權(quán)算法的新智能卡來替換該智能卡而被改變��。如果尚未安裝的話����,則這個新的鑒權(quán)算法必須以相應(yīng)的方式被安裝在鑒權(quán)服務(wù)器中�����。
以上給出的現(xiàn)有技術(shù)的解決方案的問題在于����,特別是����,鑒權(quán)協(xié)議不能只通過改變智能卡而被改變。例如�,在GSM移動通信系統(tǒng)和UMTS移動通信系統(tǒng)中使用不同的鑒權(quán)協(xié)議,其中遵從GSM移動通信系統(tǒng)的移動通信設(shè)備不能只通過改變智能卡而被更新為使用在UMTS移動通信系統(tǒng)中所使用的識別協(xié)議���。因此���,鑒權(quán)協(xié)議的改變也需要至少終端軟件的改變,以及必要時�����,還需要鑒權(quán)服務(wù)器的軟件的改變�����。
移動通信設(shè)備的用戶可以在不同的移動通信網(wǎng)的范圍內(nèi)移動。因此���,當(dāng)用戶處在不同于他/她的原籍網(wǎng)絡(luò)的另一個網(wǎng)絡(luò)中時��,鑒權(quán)以這樣的方式執(zhí)行�,即漫游網(wǎng)絡(luò)按照鑒權(quán)協(xié)議在該終端與原籍網(wǎng)絡(luò)的鑒權(quán)中心之間傳輸消息��。這樣����,由原籍網(wǎng)絡(luò)的鑒權(quán)中心執(zhí)行鑒權(quán)。因此���,鑒權(quán)算法可被設(shè)置為例如在GSM移動通信系統(tǒng)和UMTS移動通信系統(tǒng)中是運營商特定的,因為在鑒權(quán)時要被使用的所有數(shù)值是在原籍網(wǎng)絡(luò)中形成的���。漫游的網(wǎng)絡(luò)不需要知道該算法,因為它的功能只是進(jìn)行數(shù)字比較��。為了保持移動通信設(shè)備在不同的移動通信網(wǎng)中的可運行性�����,當(dāng)使用現(xiàn)有技術(shù)的解決方案時,該鑒權(quán)協(xié)議不能被設(shè)置為是運營商特定的�。
通信網(wǎng)也是已知的,在其中有可能通過例如任選的電話網(wǎng)來耦合所謂的原籍網(wǎng)絡(luò)中的工作站����。這些所謂的撥號網(wǎng)絡(luò)中的某些撥號網(wǎng)絡(luò)應(yīng)用一種可擴(kuò)展的鑒權(quán)協(xié)議(EAP)。在這樣的系統(tǒng)中�����,漫游網(wǎng)絡(luò)的目的只是在終端與原籍網(wǎng)絡(luò)的鑒權(quán)中心之間傳輸遵從EAP協(xié)議的消息����。漫游網(wǎng)絡(luò)并不需要能夠解譯遵從EAP協(xié)議的消息。新的鑒權(quán)協(xié)議或算法可被引入���,而完全不用改變漫游網(wǎng)絡(luò)����。然而�,終端必須改變,因為在現(xiàn)有技術(shù)的解決方案中新的EAP協(xié)議類型所需要的軟件必須被更新��。
EAP是由互聯(lián)網(wǎng)工程任務(wù)組IETF結(jié)合點對點協(xié)議(PPP)被使用的擴(kuò)展的鑒權(quán)協(xié)議而定義的標(biāo)準(zhǔn),而它的更具體的定義是例如在IETF文檔rfc2284�����。txt中給出的���。該標(biāo)準(zhǔn)包括對用于鑒權(quán)的消息結(jié)構(gòu)的定義�。EAP消息包括標(biāo)題字段和數(shù)據(jù)字段����。標(biāo)題字段定義例如該消息的類型、識別和長度�。該消息在數(shù)據(jù)鏈路層中使用的PPP協(xié)議的消息幀中被發(fā)送。
本發(fā)明的目的是提供一種用于用戶鑒權(quán)的改進(jìn)的方法��。本發(fā)明是基于這樣的思想���,即智能卡被配備有可擴(kuò)展的鑒權(quán)協(xié)議接口(EAP IF),通過該接口在智能卡上執(zhí)行鑒權(quán)功能��。為了更精確���,按照本發(fā)明的方法的主要特征在于授權(quán)設(shè)備應(yīng)用可擴(kuò)展的鑒權(quán)協(xié)議接口���,通過該接口實施至少某些鑒權(quán)功能����。按照本發(fā)明的系統(tǒng)的主要特征在于授權(quán)設(shè)備被配備有可擴(kuò)展的鑒權(quán)協(xié)議接口以及用于通過所述可擴(kuò)展的鑒權(quán)協(xié)議接口而實施至少某些鑒權(quán)功能的裝置����。按照本發(fā)明的終端的主要特征在于授權(quán)設(shè)備被配備有可擴(kuò)展的鑒權(quán)協(xié)議接口以及用于通過所述可擴(kuò)展的鑒權(quán)協(xié)議接口而實施至少某些鑒權(quán)功能的裝置。此外�,按照本發(fā)明的授權(quán)設(shè)備的主要特征在于該授權(quán)設(shè)備配備有可擴(kuò)展的鑒權(quán)協(xié)議接口以及用于通過所述可擴(kuò)展的鑒權(quán)協(xié)議接口而實施至少某些鑒權(quán)功能的裝置。按照本發(fā)明的計算機(jī)程序的主要特征在于該計算機(jī)程序進(jìn)一步包括機(jī)器可執(zhí)行的步驟���,用于在驗證使用權(quán)利的設(shè)備中應(yīng)用可擴(kuò)展的鑒權(quán)協(xié)議接口��,包括用于通過可擴(kuò)展的鑒權(quán)協(xié)議接口處理至少某些鑒權(quán)功能的機(jī)器可執(zhí)行的步驟�。按照本發(fā)明的貯存媒體的主要特征在于該計算機(jī)程序進(jìn)一步包括機(jī)器可執(zhí)行的步驟����,用于在驗證使用權(quán)利的設(shè)備中應(yīng)用可擴(kuò)展的鑒權(quán)協(xié)議接口,包括用于通過可擴(kuò)展的鑒權(quán)協(xié)議接口處理至少某些鑒權(quán)功能的機(jī)器可執(zhí)行的步驟�。要結(jié)合本發(fā)明被使用的鑒權(quán)協(xié)議接口在以下意義上是可擴(kuò)展的,即任何鑒權(quán)協(xié)議可以通過使用所述的接口來實施��,而無需以任何方式改變該接口或終端軟件或該設(shè)備����。
本發(fā)明顯示出與現(xiàn)有技術(shù)的解決方案相比更顯著的優(yōu)點�����。當(dāng)應(yīng)用按照本發(fā)明的方法時��,要被使用于用戶鑒權(quán)的鑒權(quán)協(xié)議可以通過改變該智能卡而被改變���。因此,在漫游網(wǎng)絡(luò)或在終端中不需要更新軟件��。這樣�����,例如�����,在移動通信網(wǎng)中��,該鑒權(quán)協(xié)議可以是運營商特定的��,因為原籍網(wǎng)絡(luò)的鑒權(quán)中心被用作為鑒權(quán)中心�。因此,不同的鑒權(quán)協(xié)議可被使用于不同于用戶的原籍網(wǎng)絡(luò)的漫游網(wǎng)絡(luò)��。因為不需要更新軟件�,所以避免了更新文件的傳輸,而更新文件的傳輸是復(fù)雜的��、很難控制的�����。
下面��,參照附圖更詳細(xì)地描述本發(fā)明���,其中�,
圖1以簡化圖顯示按照本發(fā)明的優(yōu)選實施例的鑒權(quán)系統(tǒng)�,圖2以簡化方框圖顯示按照本發(fā)明的優(yōu)選實施例的無線終端,圖3以簡化方框圖顯示按照本發(fā)明的優(yōu)選實施例的智能卡���,圖4以信令圖顯示按照本發(fā)明的優(yōu)選實施例的方法�����,以及圖5a到5e顯示在按照本發(fā)明的有利實施例的系統(tǒng)中要被使用的某些消息�。
在以下的本發(fā)明的詳細(xì)說明中,移動通信網(wǎng)2的鑒權(quán)系統(tǒng)被用作為鑒權(quán)系統(tǒng)1的例子�,但本發(fā)明并不限于只結(jié)合移動通信網(wǎng)被使用。移動通信網(wǎng)2例如是GSM移動通信系統(tǒng)或UMTS移動通信系統(tǒng)�����,但顯然本發(fā)明也可使用于其他通信系統(tǒng)���。
本發(fā)明也可結(jié)合應(yīng)用遵從EAP標(biāo)準(zhǔn)的協(xié)議的UMTS-SIP鑒權(quán)��、以及在應(yīng)用IEEE 802.1X EAP協(xié)議的系統(tǒng)中被應(yīng)用��。所述協(xié)議也正在被引入到無線局域網(wǎng)(WLAN)中���,該協(xié)議是基于遵從EAP標(biāo)準(zhǔn)的協(xié)議的應(yīng)用。
該鑒權(quán)系統(tǒng)包括鑒權(quán)服務(wù)器3���,諸如用于移動通信網(wǎng)的鑒權(quán)中心AuC�。該鑒權(quán)系統(tǒng)還包括用于在終端5與鑒權(quán)服務(wù)器3之間傳輸鑒權(quán)所需數(shù)據(jù)的通信裝置4�。該通信裝置例如包括基站6、基站控制器7���、以及通信網(wǎng)2中的一個或多個移動交換中心8���。鑒權(quán)服務(wù)器3可以是被連接到移動通信網(wǎng)2的單獨的服務(wù)器,或者它可以例如結(jié)合移動交換中心8被安排���。
圖2顯示遵從本發(fā)明的有利的實施例�����、并可被使用于圖1的鑒權(quán)系統(tǒng)的終端5�。在本發(fā)明的這個有利的實施例中�����,終端5例如包括用于與移動通信網(wǎng)2通信的移動通信裝置9�����、用戶接口10�、控制塊11、存儲器裝置12���、13���,以及用于把智能卡15連接到終端5的連接裝置14���。該存儲器裝置優(yōu)選地包括只讀存儲器(ROM)12以及隨機(jī)存取存儲器(RAM)13���。用于連接智能卡15的連接裝置14實際上可以以各種方式被實施���。一種可能性是使用物理連接,其中連接裝置14包括連接器等等,當(dāng)智能卡15被安裝在終端5時����,這些連接器被耦合到智能卡15的相應(yīng)的連接器��。這些連接裝置也可以基于無線連接�,其中連接裝置14和智能卡15包括無線通信裝置(未示出)���,諸如無線電通信裝置(例如��,BluetoothTM(藍(lán)牙)����、WLAN)���、光通信裝置(例如紅外通信裝置)�、聲通信裝置���、和/或感應(yīng)通信裝置。
在終端5中�����,優(yōu)選地在控制塊11的軟件中����,也實施協(xié)議棧����,用于當(dāng)消息從移動通信網(wǎng)2發(fā)送到終端5以及從終端5發(fā)送到移動通信網(wǎng)2時進(jìn)行必要的協(xié)議轉(zhuǎn)換�����。
圖3顯示遵從本發(fā)明的有利實施例�、并可以例如結(jié)合圖2所示的終端5使用的智能卡15�����。智能卡15優(yōu)選地例如包括處理器16��、存儲器裝置(諸如只讀存儲器17與隨機(jī)存取存儲器18)�、以及連接裝置19。
作為只讀存儲器12����、17���,有可能使用例如一次性可編程ROM(OTP-ROM�;可編程ROM或PROM)或電可擦除可編程ROM(EEPROM�;閃存)�����。另外�,所謂的非易失性RAM可被用作為只讀存儲器�����。作為隨機(jī)存取存儲器13、18��,最好使用動態(tài)隨機(jī)存取存儲器(DRAM)和/或靜態(tài)隨機(jī)存取存儲器(SRAM)����。
例如,在終端接通時要被運行的用戶鑒權(quán)算法�、以及在終端登錄到移動通信網(wǎng)2期間要被運行的終端用戶鑒權(quán)算法,被存儲在智能卡的只讀存儲器17中����。而且,智能卡的只讀存儲器17包含被存儲的可擴(kuò)展的鑒權(quán)協(xié)議接口的功能�����,這將在下面描述���。而且,以本身已知的方式����,智能卡的只讀存儲器17包含對于控制智能卡的功能所必需的其他程序命令�。
以相應(yīng)的方式����,終端的只讀存儲器12包含被存儲的��、對于控制終端5的功能所需要的程序命令、對于在智能卡15與終端5之間的通信所需要的程序命令、與移動通信功能相結(jié)合所需要的程序命令��、以及用戶接口的控制命令等等。然而,在終端5中不必存儲鑒權(quán)協(xié)議功能�,因為在本發(fā)明的系統(tǒng)中�����,這些功能是在智能卡上實施的可擴(kuò)展的鑒權(quán)協(xié)議接口中執(zhí)行的�。
在本發(fā)明中給出的可擴(kuò)展的鑒權(quán)協(xié)議接口中�����,例如,有可能實施一個使得向智能卡請求用戶識別的操作�����、以及一個使得請求消息(諸如EAP請求)被輸入到智能卡中的操作。因此�����,智能卡的功能是形成對于這個消息的響應(yīng)(例如����,EAP響應(yīng))����。該終端和漫游網(wǎng)絡(luò)可以用這樣的方式來實施�,使得有可能在發(fā)現(xiàn)鑒權(quán)結(jié)果之前實行一次以上的���、請求與響應(yīng)消息的交換��。此外��,該智能卡優(yōu)選地包含這樣一個操作,通過該操作可提供與鑒權(quán)相結(jié)合而形成的密鑰材料供終端使用���。此后,該密鑰材料可被使用于加密例如經(jīng)過無線電信道被發(fā)送的信息��,該無線電信道是當(dāng)前在例如GSM和UMTS移動通信網(wǎng)中使用的���。
在終端5接通時的階段,有可能執(zhí)行本身已知的用戶驗證,例如�����,使得終端5在用戶接口10的顯示器20上顯示一個通知,其中請求用戶輸入個人身份號(PIN)��。此后�����,用戶例如通過用戶接口10的小鍵盤21輸入他/她的密碼�,該密碼由終端控制塊11發(fā)送到智能卡15�����。在智能卡15上�,處理器16按本身已知的方式通過用戶數(shù)據(jù)和已存儲在智能卡的只讀存儲器17中的����、被安排用于檢驗的算法來核對該密碼。如果密碼被正確輸入���,則終端5可以接通����。
在接通后���,如果移動通信網(wǎng)2中的基站6的信號可在終端5中被接收的話��,則有可能開始登錄到網(wǎng)絡(luò)�����。如果有可能登錄到網(wǎng)絡(luò)�,則開始對登錄所需要的消息(信令)的傳輸,這些是本身已知的��。在登錄期間,如果必要的話,就執(zhí)行位置更新(LA)����。而且,在登錄過程中��,傳輸信道和接收的無線電信道都分配用于要被通信中的終端和基站使用的信令�。與登錄相結(jié)合����,該終端被鑒權(quán),這以簡化的方式顯示在圖4的信令圖中���。移動通信網(wǎng)2的鑒權(quán)服務(wù)器3生成登錄請求501�,它的一個有利的示例顯示于圖5a���。
登錄請求優(yōu)選地是遵從可擴(kuò)展的鑒權(quán)協(xié)議并包括某些記錄的消息���,所述記錄包含可被改變以形成幾個不同消息的數(shù)值,這幾個不同的消息基本上使用同一個記錄結(jié)構(gòu)��。該消息優(yōu)選地包括標(biāo)題字段和數(shù)據(jù)字段。標(biāo)題字段包含(特別是)以下的數(shù)據(jù)記錄代碼記錄502,用于發(fā)送有關(guān)該消息是請求�、響應(yīng)��、成功還是失敗的信息��;識別記錄503,它例如以這樣的方式被使用于識別該消息�,,使得接連的消息應(yīng)當(dāng)包含不同的識別數(shù)據(jù)����,除了在重新發(fā)送同一個消息時��;此外,長度記錄504表示消息的長度���。數(shù)據(jù)字段中要被發(fā)送的數(shù)據(jù)例如取決于消息的用途�。在按照本發(fā)明的有利實施例的系統(tǒng)中,數(shù)據(jù)字段包含類型數(shù)據(jù)記錄505,它表示所提到的消息的類型����。例如�����,根據(jù)EAP類型號�,終端15可確定哪個智能卡15或程序模塊將處理所提到的EAP類型(或鑒權(quán)協(xié)議)�����。被包含在消息中的其他數(shù)據(jù)記錄是特定于類型的,以及可包含例如對于所使用的鑒權(quán)協(xié)議特定的數(shù)據(jù)�����,諸如各種不同的詢問、響應(yīng)�、數(shù)字簽名或驗證����、消息鑒權(quán)代碼等等���。
通過登錄請求,鑒權(quán)服務(wù)器3請求終端5發(fā)送它自己的識別數(shù)據(jù)���。登錄請求的發(fā)送由圖4的箭頭401表示��。終端5的移動通信裝置9執(zhí)行必要的操作�����,以便以本身已知的方式把射頻信號變換到基帶信號�。登錄請求在終端5中被發(fā)送到智能卡15,在智能卡中該消息在可擴(kuò)展的鑒權(quán)協(xié)議接口中被處理�����。實際上�,這意味著智能卡的處理器16接收了登錄請求并運行必要的操作。該智能卡的處理器16生成響應(yīng),其中數(shù)據(jù)字段包含該終端的用戶的識別數(shù)據(jù)�����,優(yōu)選地是國際移動用戶識別符(IMSI)����。這個國際移動用戶識別符包含移動國家代碼(MCC)���、移動網(wǎng)代碼(MNC)以及移動用戶識別號(MSIN)����。在每個SIM型智能卡15中這個識別符IMSI是唯一的����,其中移動用戶可以根據(jù)這個識別符數(shù)據(jù)而被識別�����。
在遵從RAP標(biāo)準(zhǔn)的情形下��,識別符在EAP響應(yīng)/身份分組中被發(fā)送���,其中漫游網(wǎng)絡(luò)中的身份是所謂的網(wǎng)絡(luò)接入識別符(NAI)。在本發(fā)明的有利實施例中��,用戶識別符(例如IMSI)以編碼格式在這個網(wǎng)絡(luò)識別符中被發(fā)送。通常�,網(wǎng)絡(luò)識別符是標(biāo)識該用戶的字符序列��。它可包含運營商識別符,其中它具有類似于電子郵件地址的形式用戶識別符@運營商.國家代碼��。
在智能卡15中形成回答消息后����,智能卡15把這個消息通過智能卡連接裝置19發(fā)送到終端連接裝置14�。終端控制塊11讀取該消息、進(jìn)行必要的協(xié)議轉(zhuǎn)換以及把該消息發(fā)送到移動通信裝置9���,以便將其變換成射頻信號����。終端5此時可把登錄請求發(fā)送到基站6(箭頭402)��。該登錄請求在基站6處被接收,然后該請求從基站6經(jīng)過基站控制器7被傳送到移動交換中心8�。移動交換中心8再把該消息進(jìn)一步發(fā)送到鑒權(quán)服務(wù)器3。此后��,在鑒權(quán)服務(wù)器3中對該消息進(jìn)行檢查��。
在移動通信網(wǎng)中����,響應(yīng)被發(fā)送到各個用戶的原籍網(wǎng)絡(luò)�,在其中該鑒權(quán)服務(wù)器3處理該接收的響應(yīng)以及檢驗例如來自原籍位置寄存器HLR的用戶數(shù)據(jù)。在用戶的用戶數(shù)據(jù)已經(jīng)從數(shù)據(jù)庫中被檢驗后,開始該用戶鑒權(quán)處理過程�,以驗證該用戶確實是在響應(yīng)中給出其用戶數(shù)據(jù)的那個人�。該鑒權(quán)服務(wù)器3通過形成鑒權(quán)開始消息而繼續(xù)該鑒權(quán)處理過程���,該鑒權(quán)開始消息的數(shù)據(jù)字段包含被發(fā)送的、例如有關(guān)鑒權(quán)服務(wù)器3支持的協(xié)議版本的信息(箭頭403)���。這個消息的有利形式顯示于附圖5b��。
在終端5中,該消息被發(fā)送到智能卡15的可擴(kuò)展的鑒權(quán)協(xié)議接口���,在該處例如檢查在該消息中發(fā)送的協(xié)議版本數(shù)據(jù)�����。如果在鑒權(quán)服務(wù)器3處可用的一個或幾個協(xié)議在智能卡15中也是可用的,則在智能卡15中選擇這些協(xié)議之一,以便在鑒權(quán)過程的進(jìn)一步步驟中使用�。而且,這個協(xié)議也可以定義要被使用于鑒權(quán)的鑒權(quán)算法����。
顯然,上面給出的消息傳輸只是本發(fā)明可被如何應(yīng)用的一個例子��。由智能卡15處理的消息的數(shù)目可能是與在呈現(xiàn)的例子中所給出的不同的���。通常情況下���,各種請求(例如EAP請求)從通信網(wǎng)被發(fā)送到終端5,并通過終端5的軟件被引導(dǎo)到智能卡15��。智能卡15生成響應(yīng)(例如EAP響應(yīng))�,它由終端5發(fā)送到漫游網(wǎng)絡(luò),并由此進(jìn)一步發(fā)送到原籍網(wǎng)絡(luò)的鑒權(quán)服務(wù)器3���。這些請求和響應(yīng)的數(shù)目沒有受到限制�����,它們只需要對智能卡15和鑒權(quán)服務(wù)器3而言是可理解的�。
通常�,鑒權(quán)協(xié)議是基于這樣的規(guī)則��,即鑒權(quán)設(shè)備和要被鑒權(quán)的設(shè)備應(yīng)用同一個鑒權(quán)算法,在其中使用相同的數(shù)字作為輸入。例如�����,在GSM移動通信系統(tǒng)中�����,每個移動用戶被分配以一個秘密密鑰Ki,它被存儲在SIM卡中�����。而且����,這個秘密密鑰被存儲在該移動用戶的原籍位置寄存器中。鑒權(quán)算法計算響應(yīng)數(shù)���,其中通過比較由鑒權(quán)設(shè)備和要被鑒權(quán)的設(shè)備形成的響應(yīng)數(shù)�,有可能以高的概率鑒權(quán)另一方�����。為了把誤用的可能性減到最小,要在鑒權(quán)算法中輸入的所有的數(shù)字不是在設(shè)備之間傳輸?shù)?����,而是把它們存儲在該設(shè)備和/或數(shù)據(jù)庫中,其中該設(shè)備可以從該數(shù)據(jù)庫中檢索這些數(shù)字�����。具體地����,所述秘密密鑰不在移動通信網(wǎng)的任何級處被發(fā)送����。在按照本發(fā)明的有利實施例的這個方法中,采取以下步驟���。
智能卡15通過任一方法選擇第一隨機(jī)數(shù)NONCE_MT。而且���,可為在鑒權(quán)過程中要被定義的密鑰選擇一個有效期�。有關(guān)被選擇的鑒權(quán)協(xié)議的信息����、所述第一隨機(jī)數(shù)NONCE_MT、以及可能被選擇的有效期是通過應(yīng)用上述的消息傳輸機(jī)制�、在登錄響應(yīng)中發(fā)送到鑒權(quán)服務(wù)器3的(箭頭404)。這個消息的一個有利形式被顯示于附圖5c�。
鑒權(quán)服務(wù)器3檢索數(shù)目為n(n≥1)的GSM三元組,每個三元組包括第二隨機(jī)數(shù)RAND���、被簽署的響應(yīng)SRES和來自原籍位置寄存器HLR的加密密鑰Kc�。鑒權(quán)服務(wù)器3從使用GSM漫游網(wǎng)絡(luò)和移動應(yīng)用部分(MAP)協(xié)議的原籍位置寄存器HLR檢索GSM三元組�,正如現(xiàn)有技術(shù)已知的。而且����,通過使用相應(yīng)于所選擇的鑒權(quán)協(xié)議的一個或幾個鑒權(quán)算法,鑒權(quán)服務(wù)器3計算會話密鑰K以及第一鑒權(quán)代碼MAC_RAND����。在這個計算中使用的參量優(yōu)選地是加密密鑰n*Kc�、隨機(jī)數(shù)n*RAND����、國際移動用戶識別符IMSI�����、和第一隨機(jī)數(shù)NONCE_MT��。對于該密鑰����。鑒權(quán)服務(wù)器3可能接受由智能卡15建議的有效期����,或它可以選擇另一個有效期���。在給終端5的核對開始消息中��,鑒權(quán)服務(wù)器3發(fā)送由它選擇的一個或多個隨機(jī)數(shù)n*RAND�、由它計算的第一鑒權(quán)代碼MAC_RAND�����、以及有關(guān)為該密鑰所選擇的有效期的數(shù)據(jù)(箭頭405)��。這個消息的一個有利形式被顯示于附圖5d�����。
在終端5的智能卡15的可擴(kuò)展的鑒權(quán)協(xié)議接口中����,使用由智能卡15選擇的第一隨機(jī)數(shù)NONCE_ME���、給定數(shù)目的加密密鑰n*Kc、由鑒權(quán)服務(wù)器3選擇的第二隨機(jī)數(shù)n*RAND����、以及國際移動用戶識別符IMSI作為參量,以相應(yīng)的方式運行相同的鑒權(quán)算法(方塊406)�。鑒權(quán)算法的結(jié)果與在鑒權(quán)服務(wù)器3中計算并發(fā)送到智能卡15的第一鑒權(quán)代碼代碼MAC_RAND進(jìn)行比較。如果該比較表明在智能卡15上和在鑒權(quán)服務(wù)器3中該鑒權(quán)算法的計算結(jié)果是相同的���,則可以假定在智能卡上由鑒權(quán)服務(wù)器發(fā)送的核對開始消息確實是由鑒權(quán)服務(wù)器3發(fā)送的�,以及其中的隨機(jī)數(shù)是可靠的�。如果該比較表明計算出的數(shù)不匹配���,則在智能卡15上鑒權(quán)功能優(yōu)選地地被停止����,以及終端5不被注冊到移動通信網(wǎng)�,或者在結(jié)合業(yè)務(wù)的使用進(jìn)行鑒權(quán)的情形下,業(yè)務(wù)的使用被阻止����。
在該比較表明隨機(jī)數(shù)是可靠的情形下,智能卡15形成被簽署的響應(yīng)SRES����。這是通過使用加密密鑰n*Kc和由鑒權(quán)服務(wù)器3選擇的第二隨機(jī)數(shù)n*RAND作為參量、以與鑒權(quán)服務(wù)器3中所用算法相應(yīng)的算法而實施的���。然后可以使用計算出的被簽署的響應(yīng)n*SRES�����、以及優(yōu)選地國際移動用戶識別符IMSI和第一隨機(jī)數(shù)NONCE_MT,通過一種算法來計算第二鑒權(quán)代碼MAC_SRES����。對于核對開始消息�����,智能卡15形成一個響應(yīng),并把它發(fā)送到鑒權(quán)服務(wù)器3(箭頭407)�。在這個響應(yīng)中,發(fā)送在智能卡上被計算出的第二鑒權(quán)數(shù)MAC_SRES�。這個消息的一個有利形式被顯示于附圖5b�。該鑒權(quán)服務(wù)器3可以進(jìn)行相應(yīng)的計算,并把它計算出的鑒權(quán)號碼與從智能卡15發(fā)送來的第二鑒權(quán)號碼MAC_SRES進(jìn)行比較����。如果鑒權(quán)號碼相匹配,則鑒權(quán)服務(wù)器15可假定該用戶確實是其國際移動用戶識別符已從終端的智能卡15發(fā)送到鑒權(quán)服務(wù)器3的那個人����。在成功的鑒權(quán)過程結(jié)束時,鑒權(quán)服務(wù)器3把有關(guān)成功的信息發(fā)送到終端5(箭頭408)���。在這同一個消息中��,鑒權(quán)服務(wù)器3也把會話密鑰K發(fā)送到終端5。
顯然�,上述的鑒權(quán)過程和結(jié)構(gòu)以及結(jié)合它發(fā)送的消息的內(nèi)容只是按照鑒權(quán)協(xié)議(EAP/SIM)的運行的某些有利例子。在本發(fā)明的范圍內(nèi)�,也有可能使用其他消息結(jié)構(gòu)和鑒權(quán)數(shù)據(jù),其中的細(xì)節(jié)可能不同于以上的例子中給出的那些細(xì)節(jié)�����。本發(fā)明并不只被限于可擴(kuò)展的鑒權(quán)協(xié)議,而是結(jié)合本發(fā)明也可以應(yīng)用其他公用的鑒權(quán)協(xié)議�。重要的是智能卡15配備有鑒權(quán)協(xié)議接口,在其中有可能處理接收到的�����、與鑒權(quán)有關(guān)的消息����,以形成與鑒權(quán)有關(guān)且應(yīng)當(dāng)被發(fā)送到鑒權(quán)服務(wù)器3的消息����,以便處理與鑒權(quán)有關(guān)的密鑰(例如,從智能卡的只讀存儲器17和/或從接收的消息中檢索它們)�,以及驗證與該鑒權(quán)有關(guān)的消息。因此��,在終端5中基本與鑒權(quán)有關(guān)的所有功能都可被放置在智能卡15中���。
按照本發(fā)明的方法也可以應(yīng)用于這樣的情形��,即其中終端5例如被耦合到互聯(lián)網(wǎng)數(shù)據(jù)網(wǎng)絡(luò)22以及SIM卡被使用于用戶識別����。因此,鑒權(quán)服務(wù)器可被放置在例如互聯(lián)網(wǎng)數(shù)據(jù)網(wǎng)絡(luò)22與移動通信網(wǎng)之間的接口中�����,其中該鑒權(quán)服務(wù)器可以與移動通信網(wǎng)的鑒權(quán)中心AcU通信�����,以便檢索該必要的鑒權(quán)數(shù)據(jù)�����。在終端5與所謂的網(wǎng)絡(luò)接入服務(wù)器(NAS)之間使用該PPP協(xié)議�。該網(wǎng)絡(luò)接入服務(wù)器通過使用AAA協(xié)議與該鑒權(quán)服務(wù)器通信。在無線局域網(wǎng)中��,對于基本部件�,情形是類似的。在終端與無線局域網(wǎng)的接入點之間�����,例如使用IEEE 802.1X協(xié)議��,它是基于EAP協(xié)議的使用�����。接入點通過使用AAA協(xié)議而與鑒權(quán)中心通信。
通過本發(fā)明的方法����,該鑒權(quán)協(xié)議可以例如通過改變智能卡而被改變。因此�,可以使用在新的智能卡15上以及在鑒權(quán)服務(wù)器中實施的�、這樣的協(xié)議。例如���,在終端的軟件中不需要作出與改變鑒權(quán)協(xié)議有關(guān)的改變�����。
有可能使用例如無線終端作為終端5�����,比如無線通信設(shè)備��,諸如Nokia 9210 Communicator(諾基亞9210通信器)等等����。本發(fā)明也可以應(yīng)用于例如局域網(wǎng)中工作站的鑒權(quán),以及通過有線連接或無線連接被耦合到互聯(lián)網(wǎng)數(shù)據(jù)網(wǎng)22的計算機(jī)的鑒權(quán)�����。
本發(fā)明也能夠以這樣的方式被應(yīng)用����,即用于驗證使用權(quán)利的設(shè)備15的可擴(kuò)展鑒權(quán)協(xié)議接口對某些要在終端5中運行的密碼計算性操作進(jìn)行分配。密碼操作包括例如加密��、解密�����、散列功能�、消息鑒權(quán)代碼功能、證書檢驗�、以及與公共密鑰有關(guān)的其他密碼操作,諸如獲菲-赫爾曼(Diffie-Hellman)密鑰交換的計算等����。這些密碼操作的某一些需要大的計算容量,在某些應(yīng)用中����,在終端5中比在用于驗證使用權(quán)利的設(shè)備15中更容易安排大的計算容量���。而且,這樣的操作是在通用庫中經(jīng)常實施的基本密碼操作��,且在終端5中不一定需要軟件更新��。因此有可能使用各種識別����,根據(jù)這些識別,用于驗證使用權(quán)利的設(shè)備15可通知終端5要被同時使用的操作/算法����,以及通過可擴(kuò)展的鑒權(quán)協(xié)議接口發(fā)送必要的參量到終端5����。終端5進(jìn)而又發(fā)送響應(yīng)到用于驗證使用權(quán)利的設(shè)備15的可擴(kuò)展鑒權(quán)協(xié)議接口。
本發(fā)明也可以通過編制一個或多個計算機(jī)程序而以軟件方式實施��,其中機(jī)器可執(zhí)行的步驟被定義用于執(zhí)行本發(fā)明的不同步驟��。該計算機(jī)程序可被存儲在貯存媒體上��,該貯存媒體用于例如把計算機(jī)程序傳遞給用戶��,以便把計算機(jī)程序安裝在終端5上和/或用于驗證使用權(quán)利的設(shè)備15上。
顯然����,本發(fā)明不僅僅限于上述的實施例,而是可以在所附權(quán)利要求的范圍內(nèi)作出修正�。
權(quán)利要求
1.一種用于鑒權(quán)終端(5)的用戶的方法,在該終端中用于驗證使用權(quán)利的設(shè)備(15)被應(yīng)用來運行鑒權(quán)協(xié)議���,以及該用于驗證使用權(quán)利的設(shè)備(15)被連接到該終端(5)�,其特征在于����,該用于驗證使用權(quán)利的設(shè)備(15)應(yīng)用一個可擴(kuò)展的鑒權(quán)協(xié)議接口,通過該接口處理至少某些鑒權(quán)功能����。
2.按照權(quán)利要求1的方法,其特征在于�����,對于用戶鑒權(quán)����,采取至少以下的步驟-發(fā)送請求的步驟(401����,403���,405)����,其中將請求發(fā)送到用于驗證使用權(quán)利的設(shè)備(15)�����,-處理該請求的步驟(406)�����,其中在該可擴(kuò)展的鑒權(quán)協(xié)議接口中處理該請求����,以便形成響應(yīng)�,以及-發(fā)送該響應(yīng)的步驟(407),其中從用于驗證使用權(quán)利的設(shè)備(15)發(fā)送在該可擴(kuò)展的鑒權(quán)協(xié)議接口中形成的響應(yīng)���。
3.按照權(quán)利要求2的方法���,其特征在于���,在所述請求中,發(fā)送有關(guān)要被使用于用戶鑒權(quán)的鑒權(quán)協(xié)議的信息���。
4.按照權(quán)利要求3的方法���,其特征在于,按照該鑒權(quán)協(xié)議的����、要被使用于鑒權(quán)的至少一個鑒權(quán)算法被存儲在用于驗證使用權(quán)利的設(shè)備(15)中。
5.按照權(quán)利要求4的方法��,其特征在于��,用于識別用戶的識別數(shù)據(jù)(IMSI����,Ki)被存儲在用于驗證使用權(quán)利的設(shè)備(15)中,其中在處理該請求的步驟(406)中�,被存儲在用于驗證使用權(quán)利的設(shè)備(15)中的所述至少一個鑒權(quán)算法和識別數(shù)據(jù)(IMSI�����,Ki)被使用于用戶鑒權(quán)��。
6.按照權(quán)利要求1到5的任一項的方法�����,其中在終端(5)與至少一個通信網(wǎng)(2)之間傳輸信息�,其特征在于�����,在處理該請求的步驟(406)中�,至少一個密碼密鑰(Kc)在可擴(kuò)展的鑒權(quán)協(xié)議接口中形成,以及所述至少一個密碼密鑰(Kc)從用于驗證使用權(quán)利的設(shè)備(15)被發(fā)送到終端(5)����。
7.按照權(quán)利要求6的方法,其特征在于�,所述至少一個密碼密鑰(Kc)要被使用于在終端(5)與通信網(wǎng)(2)之間傳輸?shù)男畔⒌募用堋?br>
8.一種鑒權(quán)系統(tǒng)(1)�����,包括終端(5),該終端具有用來連接用于驗證使用權(quán)利的設(shè)備(15)以便至少進(jìn)行鑒權(quán)的裝置(14)��,該用于驗證使用權(quán)利的設(shè)備(15)配備有用于運行鑒權(quán)協(xié)議的裝置(16��,17)�,其特征在于,用于驗證使用權(quán)利的設(shè)備(15)配備有可擴(kuò)展的鑒權(quán)協(xié)議接口以及用于通過所述可擴(kuò)展的鑒權(quán)協(xié)議接口來實施至少某些鑒權(quán)功能的裝置(16����,17,18�����,19)��。
9.按照權(quán)利要求8的系統(tǒng)���,其特征在于��,它包括用于發(fā)送請求到用于驗證使用權(quán)利的設(shè)備(15)的裝置(6�,7���,9�����,14)�,該可擴(kuò)展的鑒權(quán)協(xié)議接口包括用于處理該請求并形成響應(yīng)的裝置(16)和用來從用于驗證使用權(quán)利的設(shè)備(15)發(fā)送在可擴(kuò)展的鑒權(quán)協(xié)議接口中形成的響應(yīng)的裝置(19)。
10.按照權(quán)利要求9的系統(tǒng)��,其特征在于���,有關(guān)要被使用于用戶鑒權(quán)的鑒權(quán)協(xié)議的信息被安排成在所述請求中發(fā)送�,以及按照該鑒權(quán)協(xié)議的�����、要被使用于鑒權(quán)的至少一個鑒權(quán)算法被存儲在用于驗證使用權(quán)利的設(shè)備(15)中�。
11.按照權(quán)利要求10的系統(tǒng),其特征在于���,用于識別該用戶的識別數(shù)據(jù)(IMSI����,Ki)被存儲在用于驗證使用權(quán)利的設(shè)備(15)中����,用于處理該請求的裝置(16)包括用于通過使用被存儲在用于驗證使用權(quán)利的設(shè)備(15)中的所述至少一個鑒權(quán)算法和識別數(shù)據(jù)(IMSI,Ki)來進(jìn)行用戶鑒權(quán)的裝置��。
12.按照權(quán)利要求7到10的任一項的系統(tǒng)��,包括用于在終端(5)與至少一個通信網(wǎng)(2)之間傳輸信息的裝置(3�����,6�����,7)��,其特征在于���,該可擴(kuò)展的鑒權(quán)協(xié)議接口包括用于形成至少一個密碼密鑰(Kc)的裝置(16)����,以及所述至少一個密碼密鑰(Kc)被安排成從用于驗證使用權(quán)利的設(shè)備(15)發(fā)送到該終端(5)����。
13.按照權(quán)利要求12的系統(tǒng),其特征在于�,它包括用于通過使用所述至少一個密碼密鑰(Kc)以加密要在該終端(5)與通信網(wǎng)(2)之間傳輸?shù)男畔⒌难b置(9�,11)��。
14.一種終端(5)��,它配備有用來連接用于驗證使用權(quán)利的設(shè)備(15)以至少進(jìn)行鑒權(quán)的裝置(14)��,該用于驗證使用權(quán)利的設(shè)備(15)配備有用于運行鑒權(quán)協(xié)議的裝置(16���,17)����,其特征在于�����,該用于驗證使用權(quán)利的設(shè)備(15)配備有可擴(kuò)展的鑒權(quán)協(xié)議接口以及用于通過所述可擴(kuò)展的鑒權(quán)協(xié)議接口而實施至少某些鑒權(quán)功能的裝置(16�,17,18��,19)��。
15.按照權(quán)利要求14的終端�,其特征在于,它包括用于執(zhí)行移動臺功能的裝置(9)。
16.一種用于驗證使用權(quán)利的設(shè)備(15)�,它要被使用于用戶識別,該授權(quán)設(shè)備包括用于運行鑒權(quán)協(xié)議的裝置(16���,17),其特征在于��,該用于驗證使用權(quán)利的設(shè)備(15)配備有可擴(kuò)展的鑒權(quán)協(xié)議接口以及用于通過所述可擴(kuò)展的鑒權(quán)協(xié)議接口來執(zhí)行至少某些鑒權(quán)功能的裝置(16����,17,18���,19)��。
17.按照權(quán)利要求16的授權(quán)設(shè)備�,其特征在于����,它是移動用戶識另卡(SIM,USIM)����。
18.一種包括機(jī)器可執(zhí)行步驟的計算機(jī)程序,用于鑒權(quán)配備有用于驗證使用權(quán)利的設(shè)備(15)的終端(5)的用戶,該用于驗證使用權(quán)利的設(shè)備(15)被應(yīng)用來運行鑒權(quán)協(xié)議�,其特征在于,該計算機(jī)程序還包括這樣的機(jī)器可執(zhí)行步驟�����,用來在該用于驗證使用權(quán)利的設(shè)備(15)中應(yīng)用可擴(kuò)展的鑒權(quán)協(xié)議接口��,其中包括用于通過該可擴(kuò)展的鑒權(quán)協(xié)議接口處理至少某些鑒權(quán)功能的機(jī)器可執(zhí)行步驟�����。
19.按照權(quán)利要求18的計算機(jī)程序�,其特征在于,對于用戶鑒權(quán)�����,它包括至少以下的機(jī)器可執(zhí)行步驟-發(fā)送請求的步驟(401�,403,405)�,其中將請求發(fā)送到用于驗證使用權(quán)利的設(shè)備(15),-處理該請求的步驟(406)�,其中在該可擴(kuò)展的鑒權(quán)協(xié)議接口中處理該請求,以便形成響應(yīng)���,以及-發(fā)送該響應(yīng)的步驟(407)��,其中從用于驗證使用權(quán)利的設(shè)備(15)發(fā)送在該可擴(kuò)展的鑒權(quán)協(xié)議接口中形成的響應(yīng)���。
20.一種用于存儲計算機(jī)程序的貯存媒體���,該計算機(jī)程序包括機(jī)器可執(zhí)行步驟,該步驟用于鑒權(quán)配備有用于驗證使用權(quán)利的設(shè)備(15)的終端(5)的用戶�,該用于驗證使用權(quán)利的設(shè)備(15)被應(yīng)用來運行鑒權(quán)協(xié)議�����,其特征在于���,該計算機(jī)程序還包括這樣的機(jī)器可執(zhí)行步驟��,用來在用于驗證使用權(quán)利的設(shè)備(15)中應(yīng)用可擴(kuò)展的鑒權(quán)協(xié)議接口���,其中包括用于通過該可擴(kuò)展的鑒權(quán)協(xié)議接口處理至少某些鑒權(quán)功能的機(jī)器可執(zhí)行步驟。
全文摘要
本發(fā)明涉及一種用于鑒權(quán)終端(5)的用戶的方法�����,在該終端中用于驗證使用權(quán)利的設(shè)備(15)被應(yīng)用來運行鑒權(quán)協(xié)議。該用于驗證使用權(quán)利的設(shè)備(15)被連接到終端(5)���。在該用于驗證使用權(quán)利的設(shè)備(15)中應(yīng)用可擴(kuò)展的鑒權(quán)協(xié)議接口����,通過該接口實行至少某些鑒權(quán)功能���。
文檔編號H04L29/06GK1561607SQ02819228
公開日2005年1月5日 申請日期2002年9月27日 優(yōu)先權(quán)日2001年9月28日
發(fā)明者H·哈維里寧 申請人:諾基亞有限公司