本發明涉及一種統一認證方法，用于使設備根據基于身份的密碼術來認證運營提供商網絡和服務提供商網絡，所述統一認證方法包括：所述設備生成認證數據包并向所述運營提供商網絡傳輸所述認證數據包；響應于接收到所述認證數據包，所述運營提供商網絡的所述單元基于所述認證類型確定認證的類型；響應于確定所述第一類型的認證，所述運營提供商網絡的所述單元生成第一認證響應消息并向所述設備傳輸所述第一認證響應消息，并基于所述SP_ID向所述服務提供商網絡的所述單元傳輸所述認證數據包；以及響應于接收到所述認證數據包，所述服務提供商網絡的所述單元生成第二認證響應消息并向所述設備傳輸所述第二認證響應消息。

技術領域

本發明涉及一種運營提供商和服務提供商之間的認證框架的方法和系統。具體地，本發明涉及一種根據基于ID的密碼術的運營提供商和服務提供商之間的統一認證框架的方法和系統。

背景技術

在當前的3G/4G蜂窩網絡中，在用戶設備（User Equipment，UE）和網絡之間采用相互認證，以保護移動設備和網絡在數據通信期間不被竊聽或操縱。3G/4G采用的當前相互認證協議是認證和密鑰協商（Authentication and Key Agreement，AKA）。為了執行AKA，UE和核心網（Core Network，CN）需要在兩側都保存一些預共享的機密信息。

在3G/4G網絡中，在網絡側，憑證保存在名為歸屬用戶服務器（Home SubscriberServer，HSS）的服務器中；而在UE側，憑證保存在名為全球用戶身份模塊（UniversalSubscriber Identity Module，USIM）卡的獨立設備中。USIM卡是內嵌在UE內USIM槽中的計算設備。USIM和UE可以通過特殊接口交換信息。目前，3G/4G網絡在相互認證中使用對稱密鑰。因此，對于給定的國際移動用戶識別碼（International Mobile SubscriberIdentification，IMSI），保存在相應USIM和HSS中的憑證是相同的。

當UE想要接入網絡并傳輸和接收數據時，UE必須基于AKA執行與CN的相互認證。圖1所示的AKA過程稱為網絡接入認證。在AKA過程中，UE首先向移動性管理實體（MobilityManagement Entity，MME）發送附著請求。響應于接收到附著請求，MME將附著請求轉發到HSS，HSS隨后基于與UE共享的憑證生成認證向量。將認證向量發送到MME，MME隨后向UE發送包含認證材料的認證數據響應。UE對網絡進行認證，然后將包含認證碼的用戶認證發送給MME。進而，MME對認證碼進行驗證并對UE進行認證。在認證之后，UE與MME和eNB交換密鑰材料以進一步生成用于控制和數據面的會話密鑰。

在傳統的通信系統中，當用戶想要使用任何第三方服務時，必須進行服務認證。通常，服務認證基于“用戶名+密碼”，其安全級別遠低于網絡接入認證。用戶必須首先進行網絡接入認證，然后進行服務認證才能使用該服務。因此，必須維護兩個認證系統以提供這種類型的認證服務。

因此，本領域技術人員正努力為用戶提供更好的認證系統和方法，以便與運營提供商和服務提供商進行認證。

發明內容

本發明實施例提供的系統和方法解決了上述和其它問題，并且在本領域中取得了進步。根據本發明的系統和方法實施例的第一個優點是僅需要一個認證消息來認證蜂窩網絡和服務提供商，這極大地方便了用戶并減少了網絡開銷。根據本發明的系統和方法實施例的第二個優點是網絡和服務統一認證框架實現了與網絡認證相同的安全級別，該安全級別遠高于服務認證的級別。