[发明专利]基于身份识别模块IM的IP网接入认证系统、应用和方法

说明书

技术领域

本发明涉及身份认证与IP通信领域，尤其涉及一种基于PIM(PHS用户身份识别模块)、SIM(GSM用户身份识别模块)、UIM(CDMA用户身份识别模块)和USIM(3G用户身份识别模块)卡的IP有线接入和无线接入的用户身份认证的实现方法和系统、以及应用。

背景技术

身份认证技术理论上有三个要素：(1)需要使用者记忆的身份认证内容，例如密码和身份证号码等等；(2)使用者拥有的特殊认证加强机制，例如动态密码卡、IC卡、磁卡、个人数字证书和虚拟物品(存储在电脑、智能IC卡和USB Key中的客户端个人数字证书)等；(3)使用者本身拥有的唯一特征，例如指纹，瞳孔，声音等等。

目前，比较常用的身份认证技术是口令认证方式，即只采用了第一要素。由于这种方式比较容易通过网络钓鱼、字典法、穷举法等方式被窃取密码。因此，对于对安全性要求较高的用户或业务，目前更多的是采用多因素的方式，比较常用的有一次性口令认证、基于PKI的数字签名、Kerberos等认证方式。从第三要素入手，还有一些基于生物识别、测定技术而发展起来的身份认证技术，如指纹识别技术、视网膜识别技术、声音识别技术和击键分析技术等。

由于技术成熟度、成本和易用性等多方面的原因，目前应用比较广泛的是口令认证方式。在安全性要求较高的领域，主要采用一次性口令、基于PKI的数字证书等方式。生物识别技术的应用还比较少。

在IP网领域，接入系统和应用系统大都采用口令认证方式。在IP接入方面，xDSL接入和WiFi接入即采用帐号/口令的方式接入IP网络；在应用系统的认证方面，包括邮件系统、即时通信系统、论坛等，也都是采用口令认证方式。而在移动网中，采用的是PIM/SIM/UIM/USIM卡技术。PIM/SIM/UIM/USIM卡具有唯一性和不易复制性，但在IP网中一般采用口令认证，不能采用PIM/SIM/UIM/USIM卡技术，不能保证安全性和用户的可控性，而同时PIM、SIM、UIM和USIM等智能卡所有者的使用范围只限于移动网络，无法利用IP网络的广覆盖和通达性，在业务上无法兼容移动网和IP网的资源，同时拥有移动网和IP网的优点。

发明内容

本发明的一个目的是克服现有IP网口令认证不安全的缺点，提高用户身份认证的安全性和用户的可控性。

本发明的另一个目的是拓展PIM、SIM、UIM和USIM等智能卡所有者的使用范围，在地域上将可充分利用IP网络的广覆盖和通达性，在业务上与终端配合能够使用各种业务。

本发明的另一个目的是实现用户的统一认证。

本发明提供了一种基于身份识别模块IM的IP网接入认证系统，包括耦合到各IP终端的IP网、移动网、耦合在IP网和移动网之间的应用网关，其特征在于：耦合在IP网和移动网之间的认证代理，该认证代理能够对用户身份信息向相应移动网发起认证请求；在IP终端配备读卡设备，该读卡设备能够读取IM卡中的用户身份信息，将该信息通过IP网发往认证代理。

在本发明的一方面，所述移动网包括PHS网络、GSM网络、CDMA网络、3G网络。

在本发明的一方面，所述IM卡包括PHS用户身份识别模块PIM卡、GSM用户身份识别模块SIM卡、CDMA用户身份识别模块UIM卡、3G用户身份识别模块USIM卡。

在本发明的一方面，该读卡设备包括：读取PIM/SIM/UIM/USIM卡信息的模块；确定IM卡类型以便根据该类型取出用户身份信息的卡类型识别模块；用户身份信息收发模块。

在本发明的一方面，IP终端产生读卡设备读取的卡类型的标识，将该标识经IP网发送到认证代理，认证代理根据该标识中的卡类型所对应的网络类型向相应类型的移动网发起认证请求。

在本发明的一方面，认证通过后，认证代理通过IP网通知终端认证结果。

在本发明的一方面，若终端在某次应用中通过了认证，当该终端在本次应用中再次请求认证时，认证代理将不转发该终端的认证请求，直接将前次认证通过的结果通知给终端。

在本发明的一方面，终端注销时向认证代理发送注销通知，认证代理确定是否向相应移动网注销。

在本发明的一方面，终端包括IP接入终端和IP应用终端，认证代理将PIM/SIM/UIM/USIM卡作为IP接入终端和IP应用终端的认证标识。