[发明专利]用于终端用户的身份验证的系统、装备和方法

说明书

技术领域

本发明涉及用于要求访问例如受保护的资源或受保护的服务等的 受保护的信息的用户站装备的终端用户的身份验证的系统，包括访问 服务器装置和身份验证装置，其中，移动的用户站装备支持在无线电 网络的第一通信通道上与身份验证装置通信。

本发明还涉及用于从用户站装备要求访问受保护的信息、受保护 的资源或受保护的服务的终端用户的身份验证的身份验证装置，包括 访问服务装置接口，使得能够在无线电网络的第一通信通道上与用户 站装备通信的至少一个接口。

本发明还涉及用于通过将访问要求发送到身份验证装置要求访问 受保护的服务、资源、信息等的用户站装备的远程终端用户的身份验 证的方法。特别地，其涉及经由IP网络或其它形式的电子接入网络要 求访问受保护的资源的移动的用户的身份验证。

背景技术

总之，经由公用网络对受保护的服务或受保护的敏感信息的远程 访问要求对终端用户的强效的身份验证以避免滥用受保护的信息或防 止非故意地传播受保护的信息或服务。传统的身份验证提供有提供给 终端用户的所谓的身份验证令牌。随后，在准予访问受保护的服务或 信息之前，验证终端用户是否拥有令牌。其典型的示例为所谓的令牌 卡，令牌卡为终端用户提供伪随机的一次性的密码以被身份验证服务 器验证。

替代配置分开的身份验证令牌，例如GSM SIM(用户识别模块) 卡或UMTS(通用移动电信系统)USIM(UMTS SIM)的移动设备的 识别模块能够用作令牌。识别模块可以包含私人密钥，私人密钥能够 用于签名身份认证询问并且证明远程终端用户拥有安全令牌，在这样 的实现中，安全令牌包括移动设备的识别模块。

现今，存在用于将移动设备的识别模块用作安全令牌的两种主要 的方法。其中一种方法包括将移动网络用作安全通道，由此，身份验 证服务器经由无线电网络与移动设备通信，这在下文中将被称作基于 网络的身份验证。基于网络的身份验证非常容易使用，因为身份验证 服务器能够自动地执行身份验证对话中的数个步骤，仅需要来自终端 用户的最小量的输入。然而，这样的基于网络的身份验证方法的一个 缺点为移动设备必须在无线电覆盖内以使得身份验证起作用。另一个 缺点为通道简单地能够被堵塞，从而阻止执行身份验证。

另一个方法基于要求终端用户在移动设备上手动地执行签名操 作，这在这里表示为通过手动输入进行身份验证。

通过手动输入进行身份验证要求与终端用户的相当多的交互，终 端用户例如必须读取来自访问通道的询问，在移动设备上输入，并且 每次返回签名的响应。如果移动设备同时用作访问终端，这变得特别 不方便。然而，这样的方法不依赖无线电覆盖。

US-A-5 668 876描述了用于试图访问电子的服务的终端用户的 身份验证的方法和仪器，由此，将询问码发送到诸如移动电话的个人 单元以与标准电话、移动电话或有线电话一起使用。将询问码传输到 个人单元，用户输入PIN等，单元产生基于内部存储的密钥的响应码。 在例如电话上输入此码，发送回去以比较响应与原始的询问码或与预 期的响应码以允许或拒绝访问。此文件特别地解决要求专用的终端或 定制的终端从而限制安全系统用于特定的场所的问题。然而，此解决 方案是不利的，因为其不追踪询问码的输送的结果，其中这意味着如 果没有无线电覆盖，身份验证将失败。

发明内容

因此，需要这样的系统，通过该系统，能够以容易和灵活的方式 执行终端用户的身份验证，特别地要求尽可能少的终端用户交互。特 别地，需要这样的系统，该系统不限于使用任何专用的单元。还需要 这样的系统，该系统能够利用所谓的基于网络的方法，而不受通常和 该方法相关的缺点的影响。特别地，需要这样的系统，该系统能够与 用户站装备是否可达到，即，是否在无线电网络的覆盖内无关地操作， 另外，该系统是用户友好的，并且能够是希望地或最大程度地自动的。 特别地，需要这样的系统，该系统容易在已经存在的通信系统中以及 在新的系统中实现。

还需要装备或身份验证装置，通过该装备或身份验证装置，能够 实现一个或多个上面提到的目的。还需要这样的方法，通过该方法， 能够实现一个或多个上面提到的目的。