專(zhuān)利名稱:促進(jìn)接入終端身份的認(rèn)證的制作方法
技術(shù)領(lǐng)域:
本文揭示的各種特征大體上涉及無(wú)線通信系統(tǒng),且至少一些特征涉及用于促進(jìn)接入終端身份的認(rèn)證以及接入終端身份與用戶身份之間的使用關(guān)系的裝置和方法。
背景技術(shù):
例如移動(dòng)電話、尋呼機(jī)、無(wú)線調(diào)制解調(diào)器、個(gè)人數(shù)字助理、個(gè)人信息管理器(PM)、個(gè)人媒體播放器、掌上型計(jì)算機(jī)、膝上型計(jì)算機(jī)或具有通過(guò)無(wú)線信號(hào)與其它裝置通信的處理器的任何其它裝置等接入終端正在變得越來(lái)越流行且更為頻繁地使用。在無(wú)線通信網(wǎng)絡(luò)中使用這些接入終端的訂戶通常是由無(wú)線通信網(wǎng)絡(luò)認(rèn)證,之后才被準(zhǔn)予接入以起始和/或接收呼叫以及發(fā)射和/或接收數(shù)據(jù)。傳統(tǒng)上,無(wú)線通信網(wǎng)絡(luò)通過(guò)檢驗(yàn)包括加密信息的用戶身份來(lái)認(rèn)證訂戶,所述加密信息包含于例如以下各者中且由其提供用于GSM網(wǎng)絡(luò)的接入終端的訂戶識(shí)別模塊(SIM),用于UMTS/LTE網(wǎng)絡(luò)的全球訂戶識(shí)別模塊(USIM),以及用于CDMA網(wǎng)絡(luò)的可裝卸式用戶識(shí)別模塊(RUM)。這些SM、USIM和RUM通常是基于芯片和引腳的卡,其含有關(guān)于接入終端的訂戶/用戶的信息,且可從接入終端移除。配備有這些可裝卸式用戶身份模塊的接入終端的用戶通常能夠從一個(gè)接入終端移除SM、USM或RUM卡且將卡放置于另一接入終端中,從而將其訂戶信息容易地從一個(gè)接入終端轉(zhuǎn)移到另一接入終端。雖然常規(guī)的無(wú)線通信網(wǎng)絡(luò)適于認(rèn)證正在接入終端中使用的訂戶卡(例如,SM、USIM, RUM),但也可能希望無(wú)線通信網(wǎng)絡(luò)認(rèn)證接入終端自身,且基于接入終端認(rèn)證的結(jié)果來(lái)對(duì)接入終端拒絕或允許網(wǎng)絡(luò)接入。除了訂戶卡之外,網(wǎng)絡(luò)操作者將希望認(rèn)證接入終端存在多種原因。一個(gè)常見(jiàn)原因包含(例如)認(rèn)證接入終端以便阻止未經(jīng)授權(quán)的制造商生產(chǎn)或翻新未經(jīng)批準(zhǔn)在無(wú)線通信網(wǎng)絡(luò)內(nèi)使用的接入終端(例如,灰市接入終端)。通過(guò)利用認(rèn)證接入終端的認(rèn)證系統(tǒng),網(wǎng)絡(luò)操作者可拒絕對(duì)由未經(jīng)授權(quán)的制造商生產(chǎn)或翻新的未能以有效的接入終端識(shí)別來(lái)進(jìn)行認(rèn)證的那些接入終端的服務(wù)。另一常見(jiàn)原因涉及部分地通過(guò)使用未經(jīng)授權(quán)的接入終端實(shí)施的恐怖分子攻擊的風(fēng)險(xiǎn)。政府實(shí)體最近已表達(dá)網(wǎng)絡(luò)操作者應(yīng)能夠追尋、跟蹤、認(rèn)證和停用在網(wǎng)絡(luò)操作者的無(wú)線通信網(wǎng)絡(luò)內(nèi)操作的所有接入終端的強(qiáng)烈希望。具有認(rèn)證接入終端且相應(yīng)地拒絕服務(wù)的能力將在阻止犯罪活動(dòng)方面證明為有利的。當(dāng)前存在使得無(wú)線通信網(wǎng)絡(luò)能夠查詢接入終端的身份(ID)的機(jī)制。舉例來(lái)說(shuō),無(wú)線通信網(wǎng)絡(luò)(例如,GSM網(wǎng)絡(luò)、WCDMA網(wǎng)絡(luò)、TD-SCDMA網(wǎng)絡(luò))可查詢和檢查符合3GPP的接入終端的國(guó)際移動(dòng)設(shè)備身份(MEI)號(hào)碼,或者無(wú)線通信網(wǎng)絡(luò)(例如,CDMA)可查詢和檢查符合3GPP-2的接入終端的移動(dòng)設(shè)備識(shí)別號(hào)(MEID)。然而,這些現(xiàn)存的用于獲得接入終端的ID的機(jī)制無(wú)法提供從接入終端接收到的ID實(shí)際上屬于所述接入終端的任何保證。舉例來(lái)說(shuō),未經(jīng)授權(quán)的接入終端可能不合法地復(fù)制或用其它方式獲得經(jīng)授權(quán)接入終端的ID,且接著將所述盜版的ID提供到請(qǐng)求的無(wú)線通信網(wǎng)絡(luò)。在此情形中,常規(guī)的無(wú)線通信網(wǎng)絡(luò)不能在經(jīng)授權(quán)接入終端與采用偽造ID的未經(jīng)授權(quán)的接入終端之間進(jìn)行區(qū)分。因此,需要適于發(fā)現(xiàn)且驗(yàn)證接入終端的身份的方法、設(shè)備和/或系統(tǒng)。
發(fā)明內(nèi)容
各種特征促進(jìn)認(rèn)證接入終端身份以及接入終端身份與用戶身份之 間的使用關(guān)系。一個(gè)特征提供適于促進(jìn)此認(rèn)證的接入終端。這些接入終端可包括處理電路,其耦合到適于促進(jìn)無(wú)線通信的通信接口、包含用戶身份的用戶身份模塊以及存儲(chǔ)媒體。用戶身份可包括國(guó)際移動(dòng)訂戶身份(MSI)。根據(jù)一些實(shí)施方案,用戶身份模塊可包括可裝卸式用戶身份模塊,例如訂戶身份模塊(SIM)、全球訂戶身份模塊(USIM) XDMA訂戶識(shí)別模塊(CSM)或可裝卸式用戶識(shí)別模塊(RUM)。存儲(chǔ)媒體可包含存儲(chǔ)在其中的驗(yàn)證密鑰和接入終端身份。接入終端身份可包括國(guó)際移動(dòng)設(shè)備身份(IMEI)或移動(dòng)設(shè)備身份(MEID)中的一者。處理電路可適于確定來(lái)自所述用戶身份模塊的用戶身份未經(jīng)記錄以供與接入終端一起使用。處理電路可產(chǎn)生包含用戶身份和接入終端身份的報(bào)告消息。報(bào)告消息可響應(yīng)于接收到請(qǐng)求發(fā)射或響應(yīng)于確定用戶身份尚未經(jīng)記錄以使用而產(chǎn)生。所述報(bào)告消息可適于報(bào)告用戶身份與接入終端身份之間的使用關(guān)系。處理電路可用使用驗(yàn)證密鑰產(chǎn)生的簽名來(lái)簽署報(bào)告消息,其中所述簽名可認(rèn)證接入終端經(jīng)授權(quán)以使用包含在報(bào)告消息中的接入終端身份。使用通信接口,處理電路可將包含經(jīng)簽署報(bào)告消息的發(fā)射發(fā)送到驗(yàn)證服務(wù)器。此發(fā)射可作為短消息接發(fā)服務(wù)(SMS)消息、基于包的消息或信令消息中的一者來(lái)發(fā)送。根據(jù)各種實(shí)施例,所述處理電路可進(jìn)一步適于經(jīng)由通信接口接收確認(rèn),其中所述確認(rèn)指示用戶身份與接入終端身份之間的報(bào)告的使用關(guān)系經(jīng)驗(yàn)證且記錄。處理電路可接著在存儲(chǔ)媒體中將用戶身份存儲(chǔ)為經(jīng)記錄以供與接入終端一起使用。根據(jù)一特征還提供一種在接入終端上操作的方法。在這些方法的至少一個(gè)實(shí)施方案中,例如可將驗(yàn)證密鑰存儲(chǔ)在存儲(chǔ)媒體中??纱_定來(lái)自接入終端中的用戶身份模塊的用戶身份未經(jīng)記錄以供與接入終端一起使用。可產(chǎn)生包含用戶身份和接入終端身份的報(bào)告消息。所述報(bào)告消息可適于報(bào)告用戶身份與接入終端身份之間的使用關(guān)系。用基于驗(yàn)證密鑰產(chǎn)生的簽名來(lái)簽署報(bào)告消息,其中所述簽名適于認(rèn)證接入終端經(jīng)授權(quán)以使用包含在報(bào)告消息中的接入終端身份??稍诎l(fā)射中將經(jīng)簽署報(bào)告消息發(fā)送到驗(yàn)證服務(wù)器。額外特征提供適于促進(jìn)認(rèn)證接入終端身份以及接入終端身份與用戶身份之間的使用關(guān)系的驗(yàn)證服務(wù)器。這些驗(yàn)證服務(wù)器可包括通信接口,其適于促進(jìn)無(wú)線通信;存儲(chǔ)媒體;以及處理電路,其耦合到所述通信接口和存儲(chǔ)媒體。所述通信接口、存儲(chǔ)媒體和處理電路可與設(shè)備身份寄存器(EIR) —體地實(shí)施。所述處理電路可適于接收驗(yàn)證密鑰且將所述驗(yàn)證密鑰存儲(chǔ)在存儲(chǔ)媒體中。處理電路可經(jīng)由通信接口接收來(lái)自接入終端的發(fā)射。所述發(fā)射可包含報(bào)告消息,所述報(bào)告消息報(bào)告接入終端身份與所述接入終端中的用戶身份之間的使用關(guān)系,其中所述報(bào)告消息經(jīng)簽署有簽名。處理電路可使用驗(yàn)證密鑰來(lái)認(rèn)證報(bào)告消息的簽名以檢驗(yàn)接入終端經(jīng)授權(quán)以使用包含在報(bào)告消息中的接入終端身份。根據(jù)一些實(shí)施例,所述處理電路可進(jìn)一步適于將接入終端身份與用戶身份之間的使用關(guān)系記錄在EIR可存取的數(shù)據(jù)庫(kù)中。處理電路在與EIR —體地實(shí)施時(shí)也可適于經(jīng)由通信接口接收來(lái)自網(wǎng)絡(luò)實(shí)體的驗(yàn)證請(qǐng)求發(fā)射,所述驗(yàn)證請(qǐng)求發(fā)射包含用戶身份和接入終端身份;查詢數(shù)據(jù)庫(kù)是否存在檢驗(yàn)出用戶身份與接入終端身份之間的有效使用關(guān)系的記錄;在數(shù)據(jù)庫(kù)中的記錄檢驗(yàn)出用戶身份與接入終端身份之間的使用關(guān)系的情況下確定接入終端經(jīng)授權(quán);以及在數(shù)據(jù)庫(kù)中的記錄證明所述使用關(guān)系不成立的情況下或者在數(shù)據(jù)庫(kù)中沒(méi)有記錄檢驗(yàn)出用戶身份與接入終端身份之間的使用關(guān)系的情況下確定接 入終端未經(jīng)授權(quán)。根據(jù)一特征還提供一種在驗(yàn)證服務(wù)器上操作的方法。根據(jù)這些方法的一個(gè)或一個(gè)以上實(shí)施方案,可接收驗(yàn)證密鑰且將所述驗(yàn)證密鑰存儲(chǔ)在存儲(chǔ)媒體中??山邮諄?lái)自接入終端的發(fā)射,所述發(fā)射可包含報(bào)告消息,所述報(bào)告消息報(bào)告接入終端身份與接入終端中的用戶身份之間的使用關(guān)系,其中報(bào)告消息經(jīng)簽署有簽名??墒褂抿?yàn)證密鑰來(lái)認(rèn)證報(bào)告消息的簽名以檢驗(yàn)接入終端經(jīng)授權(quán)以使用包含在報(bào)告消息中的接入終端身份。這些方法可進(jìn)一步包含將接入終端身份與用戶身份之間的使用關(guān)系記錄在設(shè)備身份寄存器(EIR)可存取的數(shù)據(jù)庫(kù)中。另外,可接收來(lái)自通信網(wǎng)絡(luò)的實(shí)體的驗(yàn)證請(qǐng)求發(fā)射,所述驗(yàn)證請(qǐng)求發(fā)射包含用戶身份和接入終端身份??刹樵償?shù)據(jù)庫(kù)是否存在檢驗(yàn)出用戶身份與接入終端身份之間的使用關(guān)系的記錄。在記錄檢驗(yàn)出用戶身份與接入終端身份之間的使用關(guān)系的情況下可確定接入終端經(jīng)授權(quán)。另一方面,在數(shù)據(jù)庫(kù)中的記錄證明所述使用關(guān)系不成立的情況下或者在數(shù)據(jù)庫(kù)中沒(méi)有記錄檢驗(yàn)出用戶身份與接入終端身份之間的使用關(guān)系的情況下可確定接入終端未經(jīng)授權(quán)。
圖I是說(shuō)明其中可應(yīng)用本發(fā)明的一個(gè)或一個(gè)以上實(shí)施方案的無(wú)線通信系統(tǒng)的實(shí)例的框圖。圖2是說(shuō)明用于認(rèn)證接入終端的身份且記錄接入終端身份與訂戶身份之間的使用關(guān)系的網(wǎng)絡(luò)環(huán)境的實(shí)例的框圖。圖3是說(shuō)明在一個(gè)或一個(gè)以上接入終端中和驗(yàn)證服務(wù)器中提供驗(yàn)證密鑰的實(shí)例的流程圖。圖4(包括圖4A和4B)是說(shuō)明認(rèn)證接入終端身份且記錄接入終端身份與用戶身份之間的關(guān)系的實(shí)例的流程圖。圖5是說(shuō)明根據(jù)至少一個(gè)實(shí)施方案的接入終端的選擇組件的框圖。圖6是說(shuō)明在例如圖5的接入終端等接入終端上操作的方法的至少一個(gè)實(shí)施方案的實(shí)例的流程圖。圖7是說(shuō)明根據(jù)至少一個(gè)實(shí)施方案的驗(yàn)證服務(wù)器的選擇組件的框圖。圖8是說(shuō)明在例如圖7的驗(yàn)證服務(wù)器等驗(yàn)證服務(wù)器上操作的方法的至少一個(gè)實(shí)施方案的實(shí)例的流程圖。
具體實(shí)施方式
在以下描述中,給出具體細(xì)節(jié)以提供對(duì)所描述實(shí)施方案的詳盡理解。然而,所屬領(lǐng)域的技術(shù)人員將理解,可在沒(méi)有這些具體細(xì)節(jié)的情況下實(shí)踐所述實(shí)施方案。舉例來(lái)說(shuō),可以框圖展示電路,以便不會(huì)以不必要的細(xì)節(jié)使實(shí)施方案混淆。在其它例子中,可詳細(xì)展示眾所周知的電路、結(jié)構(gòu)和技術(shù)以便不使實(shí)施方案混淆。詞“示范性”在本文中用以意味著“充當(dāng)實(shí)例、例子或說(shuō)明”。本文描述為“示范性”的任一實(shí)施方案或?qū)嵤├灰欢ń忉尀楸绕渌鼘?shí)施例或?qū)嵤┓桨竷?yōu)選或有利。同樣,術(shù)語(yǔ)“實(shí)施例”不要求所有實(shí)施例均包含所論述的特征、優(yōu)點(diǎn)或操作模式。如本文使用的術(shù)語(yǔ)“基站”和“接入終端”意在以廣義方式來(lái)解釋。舉例來(lái)說(shuō),“基站”可 指代促進(jìn)到通信或數(shù)據(jù)網(wǎng)絡(luò)的無(wú)線連接性(用于一個(gè)或一個(gè)以上接入終端)的裝置?!盎尽钡膶?shí)例可包含基站收發(fā)臺(tái)(BTS)、節(jié)點(diǎn)B裝置、毫微微小區(qū)、微微小區(qū)等。此外,“接入終端”可包含移動(dòng)電話、尋呼機(jī)、無(wú)線調(diào)制解調(diào)器、個(gè)人數(shù)字助理、個(gè)人信息管理器(PM)、個(gè)人媒體播放器、掌上型計(jì)算機(jī)、膝上型計(jì)算機(jī)和/或至少部分地通過(guò)無(wú)線或蜂窩式網(wǎng)絡(luò)通信的其它移動(dòng)通信/計(jì)算裝置。概述一個(gè)特征提供用于認(rèn)證接入終端經(jīng)授權(quán)以使用接入終端身份的設(shè)備和方法。接入終端可初始具備源自管理機(jī)構(gòu)的驗(yàn)證密鑰。在操作期間,接入終端可確定來(lái)自接入終端中的用戶身份模塊的用戶身份當(dāng)前未經(jīng)記錄以與接入終端一起使用。接入終端可產(chǎn)生包含用戶身份和接入終端身份的報(bào)告消息,以報(bào)告用戶身份與接入終端身份之間的使用關(guān)系。所述報(bào)告消息經(jīng)簽署有一簽名,所述簽名是基于驗(yàn)證密鑰而產(chǎn)生以認(rèn)證接入終端是接入終端身份的經(jīng)授權(quán)用戶。接入終端接著將報(bào)告消息發(fā)送到驗(yàn)證服務(wù)器。另一特征提供用于記錄接入終端身份與用戶身份之間的使用關(guān)系的設(shè)備和方法。驗(yàn)證服務(wù)器可具備源自管理機(jī)構(gòu)的驗(yàn)證密鑰。驗(yàn)證服務(wù)器可接收來(lái)自接入終端的報(bào)告消息,其中所述報(bào)告消息報(bào)告接入終端身份與來(lái)自接入終端中的用戶身份模塊的用戶身份之間的使用關(guān)系。所述報(bào)告消息經(jīng)簽署有一簽名,所述簽名由驗(yàn)證服務(wù)器使用驗(yàn)證密鑰來(lái)認(rèn)證。由于由接入終端使用以簽署報(bào)告消息的驗(yàn)證密鑰僅經(jīng)由經(jīng)授權(quán)廠商而可用,因此經(jīng)授權(quán)的簽名指示由接入終端發(fā)送的接入終端身份是有效的,且接入終端是經(jīng)授權(quán)裝置。驗(yàn)證服務(wù)器可將接入終端身份與用戶身份之間的使用關(guān)系記錄在設(shè)備身份寄存器(EIR)可存取的數(shù)據(jù)庫(kù)中,使得網(wǎng)絡(luò)實(shí)體可驗(yàn)證接入終端經(jīng)授權(quán)以在網(wǎng)絡(luò)上使用。示范性網(wǎng)絡(luò)環(huán)境圖I是說(shuō)明其中可應(yīng)用本發(fā)明的一個(gè)或一個(gè)以上實(shí)施方案的無(wú)線通信系統(tǒng)10的實(shí)例的框圖。如圖I中說(shuō)明,無(wú)線通信網(wǎng)絡(luò)10大體上包含多個(gè)接入終端(也稱為遠(yuǎn)程臺(tái)、移動(dòng)臺(tái)、訂戶單元或用戶設(shè)備)12a到12d、多個(gè)基站(也稱為基站收發(fā)臺(tái)(BTS)、節(jié)點(diǎn)B裝置、毫微微小區(qū)、微微小區(qū)等)14a到14c、基站控制器(BSC)(也稱為無(wú)線電網(wǎng)絡(luò)控制器或包控制功能)16、移動(dòng)交換中心(MSC)或交換機(jī)18、包數(shù)據(jù)服務(wù)節(jié)點(diǎn)(PDSN)或因特網(wǎng)聯(lián)網(wǎng)功能(IWF) 20、公共交換電話網(wǎng)絡(luò)(PSTN)22(通常是電話公司),以及包交換數(shù)據(jù)網(wǎng)絡(luò)24(通常是因特網(wǎng)協(xié)議(IP)網(wǎng)絡(luò))。無(wú)線通信網(wǎng)絡(luò)10還可包含接入網(wǎng)絡(luò)認(rèn)證、授權(quán)和記賬設(shè)備(AN-AAA) 26、28,用于提供用戶賬戶狀態(tài)(正常、關(guān)閉、欠費(fèi))且用于維持和存儲(chǔ)此用戶賬戶信息。為了簡(jiǎn)單,展示四個(gè)接入終端12a到12d、三個(gè)基站14a到14c、一個(gè)BSC 16、一個(gè)MSC18以及一個(gè)H)SN 20。所屬領(lǐng)域的技術(shù)人員將了解,可存在任何數(shù)目的接入終端12、基站14、BSC 16、MSC 18 以及 PDSN 20。在一個(gè)實(shí)施例中,無(wú)線通信網(wǎng)絡(luò)10是包數(shù)據(jù)服務(wù)網(wǎng)絡(luò)。接入終端12a到12d可為若干不同類(lèi)型的無(wú)線通信裝置中的任一者,例如便攜式電話、連接到運(yùn)行基于IP的網(wǎng)絡(luò)瀏覽器應(yīng)用程序的膝上型計(jì)算機(jī)的蜂窩式電話、具有相關(guān)聯(lián)的免提車(chē)載套件的蜂窩式電話、運(yùn)行基于IP的網(wǎng)絡(luò)瀏覽器應(yīng)用程序的個(gè)人數(shù)據(jù)助理(PDA)、并入到便攜式計(jì)算機(jī)中的無(wú)線通信模塊,或例如在無(wú)線本地回路或儀表讀數(shù)系統(tǒng)中可能找到的固定位置通信模塊。在最一般的實(shí)施例中,接入終端可為任一類(lèi)型的通信單元。接入終端12a到12d可經(jīng)配置以執(zhí)行一個(gè)或一個(gè)以上無(wú)線包數(shù)據(jù)協(xié)議,例如在例如EIA/TIA/IS-707標(biāo)準(zhǔn)中描述的無(wú)線包數(shù)據(jù)協(xié)議。在特定實(shí)施方案中,接入終端12a到12d產(chǎn)生以IP網(wǎng)絡(luò)24為目的地的IP包,且使用點(diǎn)對(duì)點(diǎn)協(xié)議(PPP)將所述IP包封 裝為幀。在一個(gè)實(shí)施例中,IP網(wǎng)絡(luò)24耦合到PDSN 20,PDSN 20耦合到MSC 18,MSC耦合到BSC 16和PSTN 22,且BSC 16經(jīng)由經(jīng)配置以用于根據(jù)若干已知協(xié)議中的任一者來(lái)傳輸語(yǔ)音和/或數(shù)據(jù)包的有線線路耦合到基站14a到14c,所述協(xié)議包含例如E1、Tl、異步傳送模式(ATM)、因特網(wǎng)協(xié)議(IP)、點(diǎn)對(duì)點(diǎn)協(xié)議(PPP)、幀中繼、高位速率數(shù)字訂戶線(HDSL)、不對(duì)稱數(shù)字訂戶線(ADSL)或其它通用數(shù)字訂戶線設(shè)備和服務(wù)(xDSL)。在其它實(shí)施方案中,BSC16直接耦合到PDSN 20,且MSC 18未耦合到PDSN 20。在無(wú)線通信網(wǎng)絡(luò)10的典型操作期間,基站14a到14c接收和解調(diào)來(lái)自從事電話呼口4、網(wǎng)絡(luò)瀏覽或其它數(shù)據(jù)通信的各種接入終端12a到12d的反向鏈路信號(hào)集合。由給定基站14a到14c接收的每一反向鏈路信號(hào)是在所述基站14a到14c內(nèi)處理。每一基站14a到14c可通過(guò)調(diào)制和發(fā)射前向鏈路信號(hào)集合到接入終端12a到12d來(lái)與多個(gè)接入終端12a到12d通信。舉例來(lái)說(shuō),如圖I所示,基站14a同時(shí)與第一接入終端12a和第二接入終端12b通信,且基站14c同時(shí)與第三接入終端12c和第四接入終端12d通信。將所得的包轉(zhuǎn)發(fā)到BSC 16, BSC 16提供呼叫資源分配和移動(dòng)性管理功能性,包含針對(duì)特定接入終端12a到12d從一個(gè)基站14a到14c到另一基站14a到14c的呼叫的軟越區(qū)切換的協(xié)調(diào)。舉例來(lái)說(shuō),接入終端12c同時(shí)在與兩個(gè)基站14b、14c通信。最終,當(dāng)接入終端12c移動(dòng)足夠遠(yuǎn)離基站中的一者14c時(shí),呼叫將越區(qū)切換到另一基站14b。如果發(fā)射是常規(guī)的電話呼叫,那么BSC 16將把接收的數(shù)據(jù)路由到MSC 18,MSC 18提供額外路由服務(wù)以用于與PSTN 22介接。如果發(fā)射是基于包的發(fā)射,例如以IP網(wǎng)絡(luò)24為目的地的數(shù)據(jù)呼叫,那么MSC 18將把數(shù)據(jù)包路由到I3DSN 20, PDSN 20將把包發(fā)送到IP網(wǎng)絡(luò)24。或者,BSC 16將把包直接路由到I3DSN 20,PDSN 20將包發(fā)送到IP網(wǎng)絡(luò)24。接入終端12A到12D中的每一者包含一身份。舉例來(lái)說(shuō),對(duì)于符合3GPP的接入終端(例如,適于在包括GSM網(wǎng)絡(luò)、WCDMA網(wǎng)絡(luò)或TD-SCDMA網(wǎng)絡(luò)、LTE網(wǎng)絡(luò)的無(wú)線通信網(wǎng)絡(luò)10中使用的接入終端),接入終端12A到12D可各自包括一國(guó)際移動(dòng)設(shè)備身份(MEI)號(hào)碼。作為另一實(shí)例,對(duì)于符合3GPP2的接入終端(例如,適于在包括CDMA網(wǎng)絡(luò)的無(wú)線通信網(wǎng)絡(luò)10中使用的接入終端),接入終端12Α到12D可各自包括一移動(dòng)設(shè)備識(shí)別符(MEID)。除了接入終端身份外,接入終端12Α到12D中的每一者包含用戶身份(或訂戶身份),其識(shí)別使用特定接入終端的訂戶。舉例來(lái)說(shuō),取決于無(wú)線通信網(wǎng)絡(luò)10的特定實(shí)施方案,每一接入終端12Α到12D可包含可裝卸式訂戶識(shí)別模塊(例如,SIM、USIM、CSIM)或可裝卸式用戶識(shí)別模塊(RUM)。
示范性接入終端和訂戶認(rèn)證環(huán)境本發(fā)明的某些方面提供用于促進(jìn)認(rèn)證接入終端(或裝置)身份和用于記錄接入終端身份與用戶身份之間的使用關(guān)系的技術(shù)。圖2是說(shuō)明用于認(rèn)證接入終端的身份且用于記錄接入終端身份與訂戶身份之間的使用關(guān)系的網(wǎng)絡(luò)環(huán)境200的實(shí)例的框圖。如圖2中說(shuō)明,網(wǎng)絡(luò)可包含驗(yàn)證服務(wù)器202,其適于執(zhí)行接入終端204的一個(gè)或一個(gè)以上認(rèn)證/驗(yàn)證功能。驗(yàn)證服務(wù)器202可實(shí)施為設(shè)備身份寄存器(EIR) 206的一部分,或可以通信方式連接到EIR206和/或連接到EIR 206可存取的數(shù)據(jù)庫(kù)208。數(shù)據(jù)庫(kù)208包含經(jīng)授權(quán)以使用(例如,力口入白名單)或未經(jīng)授權(quán)以使用(例如,加入黑名單)的多個(gè)接入終端身份。EIR 206可以集中式或分布式拓?fù)鋪?lái)部署,且可例如由網(wǎng)絡(luò)操作者、政府和/或工業(yè)組織來(lái)部署。驗(yàn)證服務(wù)器202和接入終端204兩者均具備源自管理機(jī)構(gòu)210的驗(yàn)證密鑰。此驗(yàn)證密鑰可包括例如加密密鑰(例如,認(rèn)證密鑰)或數(shù)字憑證。管理機(jī)構(gòu)210可包括發(fā)出適于證明公鑰的所有權(quán)的驗(yàn)證密鑰的可信賴的實(shí)體。根據(jù)至少一個(gè)實(shí)施方案,管理機(jī)構(gòu)210可按廠商212的請(qǐng)求將驗(yàn)證密鑰發(fā)出到接入終端204的經(jīng)授權(quán)裝置廠商212。驗(yàn)證密鑰可由管理機(jī)構(gòu)210提供為廠商特定的驗(yàn)證密鑰或型號(hào)特定的驗(yàn)證密鑰。也就是說(shuō),驗(yàn)證密鑰可由管理機(jī)構(gòu)210提供以與來(lái)自廠商212的所有型號(hào)的接入終端一起使用(廠商特定),或其可經(jīng)提供以與來(lái)自廠商212的僅特定型號(hào)的接入終端一起使用(型號(hào)特定)。在每一型號(hào)被指派有唯一驗(yàn)證密鑰(型號(hào)特定)的情況下,驗(yàn)證密鑰的指派可作為裝置批準(zhǔn)過(guò)程的一部分被執(zhí)行,廠商212借此從管理機(jī)構(gòu)210獲得用于特定型號(hào)的接入終端的網(wǎng)絡(luò)接入許可證。在廠商212獲得驗(yàn)證密鑰之后,廠商212可將經(jīng)指派的驗(yàn)證密鑰(或從經(jīng)指派驗(yàn)證密鑰導(dǎo)出的多樣化密鑰)安全地存儲(chǔ)到其接入終端產(chǎn)品中。舉例來(lái)說(shuō),廠商212可將驗(yàn)證密鑰加載到接入終端204的安全存儲(chǔ)媒體中,使得驗(yàn)證密鑰無(wú)法由攻擊者讀出。除了為每一接入終端204提供驗(yàn)證密鑰之外,管理機(jī)構(gòu)210還將驗(yàn)證密鑰(或從驗(yàn)證密鑰導(dǎo)出的多樣化密鑰)安全地提供到驗(yàn)證服務(wù)器202。以此方式,接入終端204可采用驗(yàn)證密鑰以用于簽署與驗(yàn)證服務(wù)器202的通信,且驗(yàn)證服務(wù)器202可采用對(duì)應(yīng)的驗(yàn)證密鑰來(lái)檢驗(yàn)來(lái)自接入終端204的此些經(jīng)簽署的通信。根據(jù)一特征,接入終端204適于識(shí)別與接入終端204采用的用戶身份模塊(例如,SIM、USIM、RUIM、CSIM)相關(guān)聯(lián)的用戶身份(例如,國(guó)際移動(dòng)訂戶身份(IMSI))是否不同于先前記錄以與接入終端204 —起使用的用戶身份。當(dāng)確定用戶身份不同時(shí),接入終端204可產(chǎn)生和發(fā)送一發(fā)射到驗(yàn)證服務(wù)器,其包含用戶身份(例如,頂SI)和接入終端204的身份(例如,國(guó)際移動(dòng)設(shè)備身份(IMEI)、移動(dòng)設(shè)備身份(MEID)),所述發(fā)射由接入終端204使用驗(yàn)證密鑰簽署。所述發(fā)射可由接入終端204在識(shí)別出新用戶身份后即刻自動(dòng)產(chǎn)生和發(fā)送,或所述發(fā)射可由驗(yàn)證服務(wù)器202在某個(gè)指示后即刻請(qǐng)求,所述指示是用戶身份與接入終端身份的組合當(dāng)前未經(jīng)記錄為一起使用(例如,之前從未一起使用、最近未一起使用等)。驗(yàn)證服務(wù)器202經(jīng)由無(wú)線通信網(wǎng)絡(luò)214接收發(fā)射,無(wú)線通信網(wǎng)絡(luò)214可類(lèi)似于圖I中的無(wú)線通信網(wǎng)絡(luò)10。在接收到發(fā)射后,驗(yàn)證服務(wù)器202可即刻通過(guò)使用驗(yàn)證服務(wù)器202中提供的驗(yàn)證密鑰來(lái)驗(yàn)證簽名而認(rèn)證所述發(fā)射。如果發(fā)射經(jīng)驗(yàn)證,指示接入終端是經(jīng)授權(quán)裝置,那么驗(yàn)證服務(wù)器202可以用戶身份與接入終端身份之間的新關(guān)系來(lái)更新數(shù)據(jù)庫(kù)208。由于由未經(jīng)授權(quán)的廠商生產(chǎn)的接入終端或嘗試偽造身份(例如,頂EI、MEID)的接入終端將不具有驗(yàn)證密鑰,因此驗(yàn)證服務(wù)器202將能夠識(shí)別這些接入終端。以此方式,如果無(wú)線通信網(wǎng)絡(luò)214的某個(gè)實(shí)體試圖檢驗(yàn)接入終端204且其活動(dòng)的訂戶是有效的,那么所述實(shí)體可對(duì)EIR 206做出驗(yàn)證請(qǐng)求,如箭頭216指示。在接收到此驗(yàn)證請(qǐng)求后,EIR 206可即刻在數(shù)據(jù)庫(kù)208中執(zhí)行檢查以確定用戶身份是否經(jīng)授權(quán)以與接入終端身份一起使用。促進(jìn)對(duì)接入終端和驗(yàn)證服務(wù)器的驗(yàn)證密鑰提供圖3是說(shuō)明在一個(gè)或一個(gè)以上接入終端中和驗(yàn)證服務(wù)器中提供驗(yàn)證密鑰的實(shí)例的流程圖。在此實(shí)例中,圖2的驗(yàn)證服務(wù)器202、接入終端204、管理機(jī)構(gòu) 210和廠商212用于說(shuō)明目的。經(jīng)授權(quán)接入終端廠商212可在步驟302處將申請(qǐng)或請(qǐng)求驗(yàn)證密鑰的發(fā)射發(fā)送到管理機(jī)構(gòu)210。管理機(jī)構(gòu)210可在步驟304處檢驗(yàn)廠商212的資格且可將驗(yàn)證密鑰安全地指派給合格的廠商212。管理機(jī)構(gòu)210檢驗(yàn)廠商212的資格以便確保不會(huì)將驗(yàn)證密鑰給予將使用驗(yàn)證密鑰來(lái)規(guī)避由本發(fā)明提供的安全性的實(shí)體。一旦驗(yàn)證密鑰經(jīng)指派,廠商212便可在步驟306處將驗(yàn)證密鑰(或從驗(yàn)證密鑰導(dǎo)出的多樣化密鑰)安全地提供到廠商212的接入終端204中。舉例來(lái)說(shuō),廠商212可將驗(yàn)證密鑰加載到每一接入終端204的安全存儲(chǔ)媒體中,使得驗(yàn)證密鑰無(wú)法由攻擊者讀出。在廠商212將驗(yàn)證密鑰安全地存儲(chǔ)在每一經(jīng)授權(quán)接入終端204中的情況下,未經(jīng)授權(quán)的接入終端將不具有獲得驗(yàn)證密鑰的能力。在無(wú)驗(yàn)證密鑰的情況下,這些未經(jīng)授權(quán)的接入終端不能規(guī)避本文描述的安全性措施。在步驟308處,管理機(jī)構(gòu)210還將驗(yàn)證密鑰(或從驗(yàn)證密鑰導(dǎo)出的多樣化密鑰)安全地提供到驗(yàn)證服務(wù)器202中。舉例來(lái)說(shuō),管理機(jī)構(gòu)210可經(jīng)由安全或經(jīng)加密發(fā)射來(lái)與驗(yàn)證服務(wù)器202通信以將驗(yàn)證密鑰提供到驗(yàn)證服務(wù)器202。驗(yàn)證服務(wù)器202也可將驗(yàn)證密鑰存儲(chǔ)在安全存儲(chǔ)媒體中,使得驗(yàn)證密鑰無(wú)法由攻擊者讀出。促進(jìn)使用驗(yàn)證密鑰的接入終端認(rèn)證圖4(包括圖4A和4B)是說(shuō)明認(rèn)證接入終端身份且記錄接入終端身份與用戶身份之間的關(guān)系的實(shí)例的流程圖。在此實(shí)例中,圖2的接入終端204、驗(yàn)證服務(wù)器202、數(shù)據(jù)庫(kù)208和設(shè)備身份寄存器(EIR) 206用于說(shuō)明目的。首先,接入終端204可在步驟402處從用戶身份模塊讀取用戶身份(例如,頂SI)。舉例來(lái)說(shuō),接入終端204可適于在每當(dāng)接入終端204被加電時(shí)讀取用戶身份。用戶身份模塊包括適于以使得用戶身份可被改變的方式存儲(chǔ)用戶身份的模塊。舉例來(lái)說(shuō),用戶身份模塊可包括可裝卸式用戶身份模塊(例如,SIM、USIM, RUIM, CSIM)。在其它實(shí)施方案中,用戶身份可包括不可裝卸而是可再編程的模塊,例如經(jīng)配置以用于適于CDMA的通信網(wǎng)絡(luò)的非適于RUM的接入終端。在這些實(shí)施例中,不可裝卸的用戶身份模塊中的用戶身份可通過(guò)空中服務(wù)提供(OTASP)或空中參數(shù)管理(OTAPA)而改變。在步驟404處,接入終端204確定用戶身份是否當(dāng)前經(jīng)記錄以供與接入終端204一起使用。舉例來(lái)說(shuō),接入終端204可將從用戶身份模塊讀取的用戶身份與在最近成功注冊(cè)中采用的用戶身份進(jìn)行比較。也就是說(shuō),接入終端204將用戶身份與最后經(jīng)成功記錄以供與接入終端204 —起使用的用戶身份進(jìn)行比較。在其它實(shí)施方案中,接入終端204可確定用戶身份是否曾經(jīng)已記錄,或者是否已在確定的時(shí)期內(nèi)記錄以供與接入終端204 —起使用。
如果接入終端204確定用戶身份經(jīng)記錄以供與接入終端204 —起使用,那么其可繼續(xù)正常操作。然而,響應(yīng)于確定用戶身份當(dāng)前未經(jīng)記錄,或任選地響應(yīng)于來(lái)自驗(yàn)證服務(wù)器202的請(qǐng)求406,接入終端204可在步驟408處產(chǎn)生用于驗(yàn)證服務(wù)器202的報(bào)告消息。所述報(bào)告消息包含訂戶(例如,頂SI)和接入終端204(例如,頂EI、MEID)兩者的身份。報(bào)告消息還可包含額外信息,例如時(shí)戳、計(jì)數(shù)器、廠商ID、型號(hào)以及其它信息中的一者或一者以上。除了獲得用于報(bào)告消息的信息之外,接入終端204基于驗(yàn)證密鑰410而產(chǎn)生用于報(bào)告消息的簽名。舉例來(lái)說(shuō),接入終端204可基于驗(yàn)證密鑰或基于使用任何已知的密鑰導(dǎo)出算法從經(jīng)指派的驗(yàn)證密鑰導(dǎo)出的基于媒體或會(huì)話的密鑰來(lái)計(jì)算簽名。在步驟412處,接入終端204將包含經(jīng)簽署報(bào)告消息(例如,簽名、接入終端身份和用戶身份)的發(fā)射發(fā)送到驗(yàn)證服務(wù)器202。根據(jù)各種實(shí)施方案,接入終端204可經(jīng)由任何用于通過(guò)無(wú)線 通信網(wǎng)絡(luò)214發(fā)送發(fā)射的裝置來(lái)發(fā)送所述發(fā)射。舉例來(lái)說(shuō),所述發(fā)射可作為短消息服務(wù)(SMS)、基于包的消息或具有預(yù)定義格式的信令消息來(lái)發(fā)送。當(dāng)驗(yàn)證服務(wù)器202接收到包括經(jīng)簽署報(bào)告消息的發(fā)射時(shí),驗(yàn)證服務(wù)器202在步驟414處檢索與接入終端204相關(guān)聯(lián)的驗(yàn)證密鑰。舉例來(lái)說(shuō),驗(yàn)證服務(wù)器202可采用接入終端204的身份(例如,IMEI.MEID)和/或與接入終端204相關(guān)聯(lián)的廠商信息,前提是此廠商信息包含在接收的發(fā)射中。采用與接入終端204相關(guān)聯(lián)的相應(yīng)驗(yàn)證密鑰,驗(yàn)證服務(wù)器在步驟416處檢驗(yàn)報(bào)告消息的簽名以認(rèn)證接入終端204經(jīng)授權(quán)以使用包含在報(bào)告消息中的接入終端身份。如果簽名有效,那么驗(yàn)證服務(wù)器202可更新數(shù)據(jù)庫(kù)208以存儲(chǔ)接入終端204的身份與訂戶的身份之間的新關(guān)系的記錄,如步驟418中指示。然而如果簽名不是有效的,那么驗(yàn)證服務(wù)器202可簡(jiǎn)單地忽略報(bào)告消息。在成功認(rèn)證后和/或在成功更新數(shù)據(jù)庫(kù)208中的記錄后,驗(yàn)證服務(wù)器202可即刻在步驟420處將確認(rèn)發(fā)射發(fā)送到接入終端204,確認(rèn)簽名經(jīng)檢驗(yàn)和/或數(shù)據(jù)庫(kù)208已經(jīng)更新。確認(rèn)發(fā)射可取決于報(bào)告消息發(fā)射的形式而呈各種形式中的一種。如果報(bào)告消息發(fā)射是作為短消息服務(wù)(SMS)發(fā)射來(lái)發(fā)送,那么確認(rèn)發(fā)射可包括例如層2確認(rèn)或SMS確認(rèn)。如果報(bào)告消息發(fā)射是作為基于包的消息來(lái)發(fā)送,那么確認(rèn)發(fā)射可包括例如用于TCP包遞送的TCP確認(rèn)。此外,如果報(bào)告消息發(fā)射是作為信令消息來(lái)發(fā)送,那么確認(rèn)發(fā)射可包括例如信令層確認(rèn)?;蛘撸?yàn)證服務(wù)器202可返回具有用于報(bào)告消息的預(yù)定義數(shù)據(jù)格式的顯式確認(rèn)消息。在接收到確認(rèn)發(fā)射后,接入終端204將用戶身份存儲(chǔ)為經(jīng)記錄以供與接入終端204 一起使用的用戶身份,如步驟422處所示。接入終端204可隨后在正常使用下操作。在接入終端204在無(wú)線通信網(wǎng)絡(luò)上的使用期間,接入終端204可請(qǐng)求對(duì)來(lái)自網(wǎng)絡(luò)的某些服務(wù)的接入,或者網(wǎng)絡(luò)(或網(wǎng)絡(luò)的某個(gè)實(shí)體)出于一個(gè)或一個(gè)以上特定原因而可能希望檢驗(yàn)接入終端204的狀態(tài)。在此情況下,服務(wù)網(wǎng)絡(luò)中的一個(gè)或一個(gè)以上實(shí)體(例如,移動(dòng)交換域中的MSC 18 (見(jiàn)圖I)或包交換域中的服務(wù)GPRS支持節(jié)點(diǎn)(SGSN))可請(qǐng)求EIR206檢驗(yàn)接入終端204的身份的狀態(tài),如步驟424處描繪。根據(jù)至少一個(gè)實(shí)施方案,EIR206可接收包含接入終端204的身份(例如,IMEI.MEID)和訂戶的身份(例如,IMSI)的此請(qǐng)求。EIR 206在步驟426處檢查數(shù)據(jù)庫(kù)208。如果數(shù)據(jù)庫(kù)208處存儲(chǔ)的記錄指示接入終端204的身份與用戶身份相關(guān)聯(lián)和/或經(jīng)授權(quán)以與用戶身份一起使用,那么EIR 206可在步驟428處得出接入終端204經(jīng)授權(quán)的結(jié)論。相反,如果數(shù)據(jù)庫(kù)208處存儲(chǔ)的記錄指示接入終端204的身份不與用戶身份相關(guān)聯(lián)和/或未經(jīng)授權(quán)以與用戶身份一起使用,那么EIR 206可在步驟428處得出接入終端204未經(jīng)授權(quán)以與網(wǎng)絡(luò)一起使用的結(jié)論。因?yàn)閮H經(jīng)授權(quán)裝置具備驗(yàn)證密鑰,且由于驗(yàn)證密鑰用以更新數(shù)據(jù)庫(kù)208處的記錄,因此僅經(jīng)授權(quán)接入終端可被準(zhǔn)許使用網(wǎng)絡(luò)。向網(wǎng)絡(luò)報(bào)告未經(jīng)記錄以供與接入終端身份一起使用的用戶身份的任何接入終端均可被確定為未經(jīng)授權(quán)或不合法的接入終端,且可被阻止使用網(wǎng)絡(luò)。示范性接入終端圖5是說(shuō)明根據(jù)至少一個(gè)實(shí)施方案的接入終端500的選擇組件的 框圖。接入終端500可包含處理電路502,其耦合到通信接口 504、存儲(chǔ)媒體506以及用戶身份模塊508。處理電路502經(jīng)布置以獲得、處理和/或發(fā)送數(shù)據(jù),控制數(shù)據(jù)存取和存儲(chǔ),發(fā)出命令,以及控制其它所需操作。在至少一個(gè)實(shí)施例中,處理電路502可包括經(jīng)配置以實(shí)施由適當(dāng)媒體提供的所需編程的電路。舉例來(lái)說(shuō),處理電路502可實(shí)施為以下各項(xiàng)中的一者或一者以上處理器、控制器、多個(gè)處理器和/或經(jīng)配置以執(zhí)行包含例如軟件和/或固件指令等可執(zhí)行指令的其它結(jié)構(gòu),和/或硬件電路。處理電路502的實(shí)施例可包含通用處理器、數(shù)字信號(hào)處理器(DSP)、專(zhuān)用集成電路(ASIC)、現(xiàn)場(chǎng)可編程門(mén)陣列(FPGA)或其它可編程邏輯組件、離散門(mén)或晶體管邏輯、離散硬件組件或其經(jīng)設(shè)計(jì)以執(zhí)行本文描述的功能的任一組合。通用處理器可為微處理器,但在替代方案中,處理器可為任何常規(guī)處理器、控制器、微控制器或狀態(tài)機(jī)。處理器還可實(shí)施為計(jì)算組件的組合,例如DSP與微處理器的組合、若干微處理器、結(jié)合DSP核心的一個(gè)或一個(gè)以上微處理器或任何其它此配置。處理電路502的這些實(shí)例是用于說(shuō)明且還預(yù)期有在本發(fā)明的范圍內(nèi)的其它合適配置。通信接口 504經(jīng)配置以促進(jìn)接入終端500的無(wú)線通信。通信接口 504可包含至少一個(gè)發(fā)射器510和/或至少一個(gè)接收器512 (例如,一個(gè)或一個(gè)以上發(fā)射器/接收器鏈)。此外,一個(gè)或一個(gè)以上天線(未圖示)可電耦合到通信接口 504。存儲(chǔ)媒體506可表示用于存儲(chǔ)編程和/或數(shù)據(jù)的一個(gè)或一個(gè)以上裝置,例如處理器可執(zhí)行代碼或指令(例如,軟件、固件)、電子數(shù)據(jù)、數(shù)據(jù)庫(kù)或其它數(shù)字信息。根據(jù)至少一個(gè)實(shí)施例,包括存儲(chǔ)媒體506的此些裝置中的一者或一者以上可包括安全存儲(chǔ)裝置。存儲(chǔ)媒體506可為可由通用或?qū)S锰幚砥鞔嫒〉娜魏慰捎妹襟w。舉例來(lái)說(shuō)且無(wú)限制,存儲(chǔ)媒體506可包含只讀存儲(chǔ)器(例如,R0M、EPR0M、EEPR0M)、隨機(jī)存取存儲(chǔ)器(RAM)、磁盤(pán)存儲(chǔ)媒體、光學(xué)存儲(chǔ)媒體、快閃存儲(chǔ)器裝置和/或用于存儲(chǔ)信息的其它非暫時(shí)性計(jì)算機(jī)可讀媒體。存儲(chǔ)媒體506可耦合到處理電路502以使得處理電路502可從存儲(chǔ)媒體506讀取信息和向存儲(chǔ)媒體506寫(xiě)入信息。在替代方案中,存儲(chǔ)媒體506或其至少一部分可與處理電路502成一體式。存儲(chǔ)媒體506可包含存儲(chǔ)在其中的驗(yàn)證密鑰514。舉例來(lái)說(shuō),驗(yàn)證密鑰514可由廠商212 (見(jiàn)圖2)提供于存儲(chǔ)媒體506的安全部分內(nèi)。驗(yàn)證密鑰514可包括例如加密密鑰(例如,認(rèn)證密鑰)或數(shù)字憑證。存儲(chǔ)媒體506還可包含存儲(chǔ)在其中的接入終端身份516。接入終端身份516可包括例如國(guó)際移動(dòng)設(shè)備身份(MEI)或移動(dòng)設(shè)備身份(MEID)。用戶身份模塊508適于安全地存儲(chǔ)用戶身份,例如國(guó)際移動(dòng)訂戶身份(MSI)。在一些實(shí)施方案中,用戶身份模塊508可包括可裝卸式用戶身份模塊508,使得用戶可按需要移除和插入不同的用戶身份模塊508。此可裝卸式用戶身份模塊可包含例如SIM、USIM、CSM或RUM。在其它實(shí)施方案中,用戶身份模塊508可包括可編程用戶身份模塊508。此可編程用戶身份模塊508的實(shí)例包含用于安全地存儲(chǔ)在不使用RUM的適于CDMA的接入終端中使用的用戶身份的模塊。此可編程用戶身份模塊508可通過(guò)空中服務(wù)提供(OTASP)或空中參數(shù)管理(OTAPA)以新的或經(jīng)更新的用戶身份來(lái)編程。根據(jù)一個(gè)或一個(gè)以上特征,處理電路502可適于執(zhí)行與如本文以上參考圖I到4描述的各種接入終端(例如,接入終端12A到12D和/或204)相關(guān)的過(guò)程、功能、步驟和/或例程中的任一者或全部。如本文使用,相對(duì)于處理電路502的術(shù)語(yǔ)“適于”可指代處理電路502經(jīng)配置、采用、實(shí)施或編程中的一者或一者以上以執(zhí)行根據(jù)各種特征的特定過(guò)程、功能、步驟和/或例程。圖6是說(shuō)明在例如接入終端500等接入終端上操作的方法的至少一個(gè) 實(shí)施方案的實(shí)例的流程圖。參考圖5和6兩者,在步驟602處可從經(jīng)授權(quán)廠商接收驗(yàn)證密鑰且將驗(yàn)證密鑰存儲(chǔ)在存儲(chǔ)媒體中。舉例來(lái)說(shuō),驗(yàn)證密鑰514可由經(jīng)授權(quán)廠商(例如圖2中的廠商212)提供到存儲(chǔ)媒體506的安全部分中。根據(jù)至少一個(gè)實(shí)施方案,處理電路502可適于從經(jīng)授權(quán)廠商接收驗(yàn)證密鑰514,且隨后將接收的驗(yàn)證密鑰514存儲(chǔ)在存儲(chǔ)媒體506中。在決策菱形604處,確定來(lái)自用戶身份模塊的用戶身份是否經(jīng)記錄以供與接入終端一起使用。舉例來(lái)說(shuō),處理電路502可從用戶身份模塊508讀取用戶身份。處理電路502可隨后將用戶身份與由接入終端500存儲(chǔ)為經(jīng)記錄以供與接入終端500 —起使用的用戶身份的用戶身份進(jìn)行比較。在至少一個(gè)實(shí)施方案中,處理電路502可將來(lái)自用戶身份模塊508的用戶身份與最后經(jīng)記錄以供與接入終端500 —起使用且存儲(chǔ)在存儲(chǔ)媒體506中的用戶身份進(jìn)行比較。如果確定來(lái)自用戶身份模塊508的用戶身份經(jīng)記錄以供與接入終端500 —起使用,那么接入終端500可在步驟606處開(kāi)始標(biāo)準(zhǔn)操作。然而,如果在604處確定用戶身份未經(jīng)記錄以供與接入終端一起使用,那么可在步驟608處產(chǎn)生報(bào)告消息以報(bào)告用戶身份與接入終端身份之間的使用關(guān)系。在一些實(shí)施方案中,可響應(yīng)于用戶身份未經(jīng)記錄以供與接入終端500 —起使用的確定而自動(dòng)產(chǎn)生報(bào)告消息。在其它實(shí)施方案中,可響應(yīng)于從驗(yàn)證服務(wù)器接收到的請(qǐng)求而產(chǎn)生報(bào)告消息。作為實(shí)例,處理電路502可產(chǎn)生包含來(lái)自用戶身份模塊508的用戶身份和接入終端身份516的報(bào)告消息。所述報(bào)告消息適于向驗(yàn)證服務(wù)器(例如圖2中的驗(yàn)證服務(wù)器202)報(bào)告用戶身份與接入終端身份516之間的使用關(guān)系。根據(jù)一個(gè)或一個(gè)以上實(shí)施方案,可產(chǎn)生報(bào)告消息以還包含額外信息,例如時(shí)戳、計(jì)數(shù)器、廠商ID、型號(hào)以及其它信息中的一者或一者以上。為了認(rèn)證包含在報(bào)告消息中的接入終端身份516是真實(shí)的(即,不是接入終端為了欺騙驗(yàn)證服務(wù)器而偽造的),接入終端在步驟610處用基于驗(yàn)證密鑰產(chǎn)生的簽名來(lái)簽署報(bào)告消息。舉例來(lái)說(shuō),處理電路502可使用用于產(chǎn)生此數(shù)字簽名的算法來(lái)基于驗(yàn)證密鑰514而產(chǎn)生簽名。舉例來(lái)說(shuō)且無(wú)限制,處理電路502可適于采用一個(gè)或一個(gè)以上常規(guī)數(shù)字簽名算法來(lái)產(chǎn)生簽名,包含基于RSA的簽名方案、DSA、ElGamal簽名方案、Schnorr簽名、Pointcheval-Stern簽名算法、Rabin簽名算法、基于配對(duì)的簽名方案(例如,BLS簽名方案)以及其它常規(guī)簽名方案或算法。在產(chǎn)生且數(shù)字簽署報(bào)告消息之后,在步驟612處將包含經(jīng)簽署報(bào)告消息的發(fā)射發(fā)送到驗(yàn)證服務(wù)器。舉例來(lái)說(shuō),處理電路502可經(jīng)由通信接口 504發(fā)射經(jīng)簽署報(bào)告消息。根據(jù)一個(gè)或一個(gè)以上實(shí)施方案,處理電路502可將經(jīng)簽署報(bào)告消息作為短消息接發(fā)服務(wù)(SMS)、基于包的消息或信令消息中的一者來(lái)發(fā)射。如果報(bào)告消息的發(fā)射不成功,那么處理電路502可適于再發(fā)送所述發(fā)射。如果發(fā)射成功,那么接入終端可在步驟614處接收來(lái)自驗(yàn)證服務(wù)器的確認(rèn)消息。確認(rèn)消息可指示用戶身份與接入終端身份之間的使用關(guān)系經(jīng)驗(yàn)證且記錄。舉例來(lái)說(shuō),處理電路502可經(jīng)由通信接口 504接收確認(rèn)報(bào)告。確認(rèn)消息可作為對(duì)應(yīng)于報(bào)告消息發(fā)射的發(fā)射類(lèi)型來(lái)接收。舉例來(lái)說(shuō),確認(rèn)發(fā)射可包括層2確認(rèn)或SMS確認(rèn)(對(duì)應(yīng)于SMS報(bào)告消息發(fā)射)、TCP確認(rèn)(對(duì)應(yīng)于基于包的報(bào)告消息發(fā)射),或信令層確認(rèn)(對(duì)應(yīng)于作為信令消息的報(bào)告消息發(fā)射)。或者,驗(yàn)證服務(wù)器可返回具有用于報(bào)告消息的預(yù)定義數(shù)據(jù)格式的顯式確認(rèn)消息。在接收到確認(rèn)消息之后,接 入終端500可在步驟616處存儲(chǔ)用戶身份與用戶身份經(jīng)記錄以供與接入終端500 —起使用的指示。舉例來(lái)說(shuō),處理電路502可在存儲(chǔ)媒體506中存儲(chǔ)用戶身份與用戶身份已經(jīng)記錄以供與接入終端500 —起使用的某個(gè)指示。以此方式,當(dāng)接入終端500重復(fù)上述方法時(shí)(例如,當(dāng)其再次被加電時(shí)),其將在決策菱形604處確定用戶身份經(jīng)適當(dāng)記錄以使用,且將在606進(jìn)入標(biāo)準(zhǔn)使用。在用戶身份經(jīng)存儲(chǔ)為記錄的用戶身份之后,接入終端500可在606處開(kāi)始標(biāo)準(zhǔn)使用。示范性驗(yàn)證服務(wù)器圖7是說(shuō)明根據(jù)至少一個(gè)實(shí)施方案的驗(yàn)證服務(wù)器的選擇組件的框圖。如圖示,驗(yàn)證服務(wù)器700可包含處理電路702,其耦合到通信接口 704和存儲(chǔ)媒體706。處理電路702經(jīng)布置以獲得、處理和/或發(fā)送數(shù)據(jù),控制數(shù)據(jù)存取和存儲(chǔ),發(fā)出命令,以及控制其它所需操作。在至少一個(gè)實(shí)施例中,處理電路702可包括經(jīng)配置以實(shí)施由適當(dāng)媒體提供的所需編程的電路。舉例來(lái)說(shuō),處理電路702可實(shí)施為以下各項(xiàng)中的一者或一者以上處理器、控制器、多個(gè)處理器和/或經(jīng)配置以執(zhí)行包含例如軟件和/或固件指令的可執(zhí)行指令的其它結(jié)構(gòu),和/或硬件電路。處理電路702的實(shí)施例可包含通用處理器、數(shù)字信號(hào)處理器(DSP)、專(zhuān)用集成電路(ASIC)、現(xiàn)場(chǎng)可編程門(mén)陣列(FPGA)或其它可編程邏輯組件、離散門(mén)或晶體管邏輯、離散硬件組件或其經(jīng)設(shè)計(jì)以執(zhí)行本文描述的功能的任一組合。通用處理器可為微處理器,但在替代方案中,處理器可為任何常規(guī)處理器、控制器、微控制器或狀態(tài)機(jī)。處理器還可實(shí)施為計(jì)算組件的組合,例如DSP與微處理器的組合、若干微處理器、結(jié)合DSP核心的一個(gè)或一個(gè)以上微處理器或任何其它此配置。處理電路702的這些實(shí)例是用于說(shuō)明且還預(yù)期在本發(fā)明的范圍內(nèi)的其它合適配置。通信接口 704經(jīng)配置以促進(jìn)驗(yàn)證服務(wù)器700的無(wú)線通信。通信接口 704可包含至少一個(gè)發(fā)射器708和/或至少一個(gè)接收器710 (例如,一個(gè)或一個(gè)以上發(fā)射器/接收器鏈)。此外,一個(gè)或一個(gè)以上天線(未圖示)可電耦合到通信接口 704。存儲(chǔ)媒體706可表示用于存儲(chǔ)編程和/或數(shù)據(jù)的一個(gè)或一個(gè)以上裝置,例如處理器可執(zhí)行代碼或指令(例如,軟件、固件)、電子數(shù)據(jù)、數(shù)據(jù)庫(kù)或其它數(shù)字信息。根據(jù)一個(gè)或一個(gè)以上實(shí)施例,包括存儲(chǔ)媒體706的此些裝置中的至少一者可包括安全存儲(chǔ)裝置。存儲(chǔ)媒體706可為可由通用或?qū)S锰幚砥鞔嫒〉娜魏慰捎妹襟w。舉例來(lái)說(shuō)且無(wú)限制,存儲(chǔ)媒體706可包含只讀存儲(chǔ)器(例如,R0M、EPR0M、EEPR0M)、隨機(jī)存取存儲(chǔ)器(RAM)、磁盤(pán)存儲(chǔ)媒體、光學(xué)存儲(chǔ)媒體、快閃存儲(chǔ)器裝置和/或用于存儲(chǔ)信息的其它非暫時(shí)性計(jì)算機(jī)可讀媒體。存儲(chǔ)媒體706可耦合到處理電路702以使得處理電路702可從存儲(chǔ)媒體706讀取信息和向存儲(chǔ)媒體706寫(xiě)入信息。在替代方案中,存儲(chǔ)媒體706或其至少一部分可與處理電路702成一體式。存儲(chǔ)媒體706可包含存儲(chǔ)在其中的驗(yàn)證密鑰712。舉例來(lái)說(shuō),驗(yàn)證密鑰712可由管理機(jī)構(gòu)210 (見(jiàn)圖2)提供于存儲(chǔ)媒體706的安全部分內(nèi)。驗(yàn)證密鑰712對(duì)應(yīng)于由經(jīng)授權(quán)廠商提供于一個(gè)或一個(gè)以上接入終端中的驗(yàn)證密鑰。舉例來(lái)說(shuō),驗(yàn)證密鑰712可對(duì)應(yīng)于接入終端類(lèi)型或廠商的身份以及這兩者的某個(gè)組合。驗(yàn)證密鑰712可包括例如加密密鑰(例如,認(rèn)證密鑰)或數(shù)字憑證。驗(yàn)證服務(wù)器700或驗(yàn)證服務(wù)器700的組件中的至少一些可與設(shè)備身份寄存器(EIR) 一體地實(shí)施。舉例來(lái)說(shuō),處理電路702、存儲(chǔ)媒體706或通信接口 704中的一者或一者以上可實(shí)施為EIR的部分或集成到EIR中,所述EIR例如為圖2中的EIR 206。
根據(jù)一個(gè)或一個(gè)以上特征,處理電路702可適于執(zhí)行與如本文以上參考圖I到4描述的各種驗(yàn)證服務(wù)器(例如,驗(yàn)證服務(wù)器202)相關(guān)的過(guò)程、功能、步驟和/或例程中的任一者或全部。如本文使用,相對(duì)于處理電路702的術(shù)語(yǔ)“適于”可指代處理電路702經(jīng)配置、采用、實(shí)施或編程中的一者或一者以上以執(zhí)行根據(jù)各種特征的特定過(guò)程、功能、步驟和/或例程。圖8是說(shuō)明在例如驗(yàn)證服務(wù)器700等驗(yàn)證服務(wù)器上操作的方法的至少一個(gè)實(shí)施方案的實(shí)例的流程圖。參看圖7和8兩者,在步驟802處可在驗(yàn)證服務(wù)器處接收源自管理機(jī)構(gòu)的驗(yàn)證密鑰且將驗(yàn)證密鑰存儲(chǔ)在存儲(chǔ)媒體中。舉例來(lái)說(shuō),處理電路702可接收驗(yàn)證密鑰,且可將驗(yàn)證密鑰存儲(chǔ)在存儲(chǔ)媒體706中。驗(yàn)證密鑰可指示其對(duì)應(yīng)于在多個(gè)接入終端中提供的驗(yàn)證密鑰。驗(yàn)證服務(wù)器700可在步驟804處從接入終端接收發(fā)射。所述發(fā)射包含適于報(bào)告接入終端身份與接入終端中的用戶身份之間的使用關(guān)系的報(bào)告消息。所述報(bào)告消息還經(jīng)簽署有簽名。根據(jù)至少一個(gè)實(shí)施方案,處理電路702可經(jīng)由通信接口 704接收發(fā)射。在至少一些實(shí)施方案中,此發(fā)射可作為短消息接發(fā)服務(wù)(SMS)消息、基于包的消息或信令消息中的一者來(lái)接收。在步驟806處,驗(yàn)證服務(wù)器700使用驗(yàn)證密鑰來(lái)認(rèn)證報(bào)告消息的簽名。認(rèn)證簽名向驗(yàn)證服務(wù)器700檢驗(yàn)接入終端經(jīng)授權(quán)以使用包含在報(bào)告消息中的接入終端身份。作為實(shí)例,處理電路702可采用一個(gè)或一個(gè)以上常規(guī)算法來(lái)使用驗(yàn)證密鑰712認(rèn)證隨報(bào)告消息一起包含的數(shù)字簽名。為了識(shí)別將用于認(rèn)證的適當(dāng)驗(yàn)證密鑰712,處理電路702可例如讀取接入終端身份和/或與接入終端相關(guān)聯(lián)的廠商信息(如果包含在報(bào)告消息中)。一旦識(shí)別出適當(dāng)?shù)尿?yàn)證密鑰712,處理電路700就可檢索適當(dāng)?shù)尿?yàn)證密鑰712,且可應(yīng)用驗(yàn)證密鑰712來(lái)認(rèn)證簽名。在認(rèn)證簽名之后,驗(yàn)證服務(wù)器可在步驟808處將接入終端身份與用戶身份之間的使用關(guān)系記錄在設(shè)備身份寄存器(EIR)可存取的數(shù)據(jù)庫(kù)中,所述EIR例如為圖2中的EIR206。如上所述,驗(yàn)證服務(wù)器700的一些實(shí)施方案可集成到EIR中。在這些實(shí)施方案中,處理電路702可經(jīng)由通信接口 704接收來(lái)自網(wǎng)絡(luò)的實(shí)體的驗(yàn)證請(qǐng)求發(fā)射,所述驗(yàn)證請(qǐng)求發(fā)射包含用戶身份和接入終端身份。處理電路702可隨后查詢數(shù)據(jù)庫(kù)是否存在檢驗(yàn)出用戶身份與接入終端身份之間的有效使用關(guān)系的記錄。如果數(shù)據(jù)庫(kù)中的記錄檢驗(yàn)出所述使用關(guān)系,那么處理電路702可確定接入終端經(jīng)授權(quán)。如果數(shù)據(jù)庫(kù)中的記錄證明所述使用關(guān)系不成立或者如果在數(shù)據(jù)庫(kù)中不存在檢驗(yàn)出用戶身份與接入終端身份之間的使用關(guān)系的記錄,那么處理電路702可確定接入終端未經(jīng)授權(quán)且可拒絕所述接入終端接入請(qǐng)求的網(wǎng)絡(luò)。在認(rèn)證簽名之后和/或在記錄使用關(guān)系之后,驗(yàn)證服務(wù)器700可在步驟810處將確認(rèn)報(bào)告消息的接收和認(rèn)證的確認(rèn)消息發(fā)送到接入終端。舉例來(lái)說(shuō),處理電路702可產(chǎn)生確認(rèn)消息且經(jīng)由通信接口 704發(fā)送確認(rèn)消息。確認(rèn)消息可作為對(duì)應(yīng)于報(bào)告消息發(fā)射的發(fā)射類(lèi)型來(lái)發(fā)送。舉 例來(lái)說(shuō),確認(rèn)發(fā)射可包括層2確認(rèn)或SMS確認(rèn)(對(duì)應(yīng)于SMS報(bào)告消息發(fā)射)、TCP確認(rèn)(對(duì)應(yīng)于基于包的報(bào)告消息發(fā)射),或信令層確認(rèn)(對(duì)應(yīng)于作為信令消息的報(bào)告消息發(fā)射)?;蛘?,驗(yàn)證服務(wù)器可返回具有用于報(bào)告消息的預(yù)定義數(shù)據(jù)格式的顯式確認(rèn)消息。圖1、2、3、4、5、6、7和/或8中說(shuō)明的組件、步驟、特征和/或功能中的一者或一者以上可經(jīng)再布置和/或組合為單個(gè)組件、步驟、特征或功能或體現(xiàn)于若干組件、步驟或功能中。在不脫離本發(fā)明的范圍的情況下也可添加額外的元件、組件、步驟和/或功能。圖I、2、5和/或7中說(shuō)明的設(shè)備、裝置和/或組件可經(jīng)配置以執(zhí)行圖3、4 (包括4A和4B)、6和/或8中描述的方法、特征或步驟中的一者或一者以上。本文描述的新穎算法也可有效地以軟件實(shí)施和/或嵌入硬件中。而且應(yīng)注意,已將至少一些實(shí)施方案描述為一個(gè)描繪為流程圖、流圖、結(jié)構(gòu)圖或框圖的過(guò)程。盡管流程圖可將操作描述為順序過(guò)程,但可并行或同時(shí)執(zhí)行許多操作。另外,可重新布置操作的次序。過(guò)程在其操作完成時(shí)終止。過(guò)程可對(duì)應(yīng)于方法、函數(shù)、程序、子例程、子程序等。當(dāng)過(guò)程對(duì)應(yīng)于函數(shù)時(shí),其終止對(duì)應(yīng)于使函數(shù)返回到調(diào)用函數(shù)或主函數(shù)。而且,實(shí)施例可通過(guò)硬件、軟件、固件、中間件、微碼或其任一組合來(lái)實(shí)施。當(dāng)以軟件、固件、中間件或微碼實(shí)施時(shí),用以執(zhí)行必要任務(wù)的程序代碼或代碼段可存儲(chǔ)在例如存儲(chǔ)媒體或其它存儲(chǔ)裝置等機(jī)器可讀媒體中。處理器可執(zhí)行必要任務(wù)。代碼段可表示過(guò)程、函數(shù)、子程序、程序、例程、子例程、模塊、軟件包、類(lèi),或指令、數(shù)據(jù)結(jié)構(gòu)或程序語(yǔ)句的任一組合。代碼段可通過(guò)傳遞和/或接收信息、數(shù)據(jù)、自變量、參數(shù)或存儲(chǔ)器內(nèi)容而耦合到另一代碼段或硬件電路。信息、自變量、參數(shù)、數(shù)據(jù)等可經(jīng)由包含存儲(chǔ)器共享、消息傳遞、令牌傳遞、網(wǎng)絡(luò)傳輸?shù)鹊娜魏芜m當(dāng)手段來(lái)傳遞、轉(zhuǎn)發(fā)或傳輸。術(shù)語(yǔ)“機(jī)器可讀媒體”、“計(jì)算機(jī)可讀媒體”和/或“處理器可讀媒體”可包含(但不限于)便攜式或固定存儲(chǔ)裝置、光學(xué)存儲(chǔ)裝置以及能夠存儲(chǔ)、包含或載運(yùn)指令和/或數(shù)據(jù)的各種其它非暫時(shí)性媒體。因此,本文描述的各種方法可通過(guò)可存儲(chǔ)在“機(jī)器可讀媒體”、“計(jì)算機(jī)可讀媒體”和/或“處理器可讀媒體”中且由一個(gè)或一個(gè)以上處理器、機(jī)器和/或裝置執(zhí)行的指令和/或數(shù)據(jù)來(lái)部分地或完整地實(shí)施。結(jié)合本文所揭示的實(shí)例描述的方法或算法可直接以硬件、以可由處理器執(zhí)行的軟件模塊或以所述兩者的組合以處理單元、編程指令或其它指示的形式來(lái)體現(xiàn),且可包含在單個(gè)裝置中或分布于多個(gè)裝置之間。軟件模塊可駐存在RAM存儲(chǔ)器、快閃存儲(chǔ)器、ROM存儲(chǔ)器、EPROM存儲(chǔ)器、EEPROM存儲(chǔ)器、寄存器、硬盤(pán)、可裝卸式盤(pán)、CD-ROM或此項(xiàng)技術(shù)中已知的任何其它形式的存儲(chǔ)媒體中。存儲(chǔ)媒體可耦合到處理器,使得處理器可從存儲(chǔ)媒體讀取信息和將信息寫(xiě)入到存儲(chǔ)媒體。在替代方案中,存儲(chǔ)媒體可與處理器成一體式。所屬領(lǐng)域的技術(shù)人員應(yīng)進(jìn)一步了解,可將結(jié)合本文中所揭示的實(shí)施例而描述的各種說(shuō)明性邏輯塊、模塊、電路和算法步驟實(shí)施為電子硬件、計(jì)算機(jī)軟件或兩者的組合。為清楚說(shuō)明硬件與軟件的此互換性,上文已大致關(guān)于其功能性而描述了各種說(shuō)明性組件、塊、模塊、電路及步驟。所述功能性是實(shí)施為硬件還是軟件取決于特定應(yīng)用及施加于整個(gè)系統(tǒng)的設(shè)計(jì)約束。在不脫離本發(fā)明的范圍的情況下可在不同系統(tǒng)中實(shí)施本文描述的實(shí)施例的各種特征。應(yīng)注意,上述實(shí)施例僅是實(shí)例且將不解釋為 限制本發(fā)明。實(shí)施例的描述既定是說(shuō)明性的,且不限制權(quán)利要求書(shū)的范圍。因而,本教示可容易地應(yīng)用于其它類(lèi)型的設(shè)備,且許多替代方案、修改及變化對(duì)于所屬領(lǐng)域的技術(shù)人員來(lái)說(shuō)將為顯而易見(jiàn)的。
權(quán)利要求
1.一種接入終端,其包括 通信接ロ,其適于促進(jìn)無(wú)線通信; 用戶身份模塊,其包含用戶身份; 存儲(chǔ)媒體,其包含存儲(chǔ)于其中的驗(yàn)證密鑰和接入終端身份;以及處理電路,其耦合到所述通信接ロ、所述用戶身份模塊和所述存儲(chǔ)媒體,所述處理電路適于: 確定來(lái)自所述用戶身份模塊的所述用戶身份未經(jīng)記錄以供與所述接入終端一起使用; 產(chǎn)生包含所述用戶身份和所述接入終端身份的報(bào)告消息,所述報(bào)告消息適于報(bào)告所述用戶身份與所述接入終端身份之間的使用關(guān)系; 用基于所述驗(yàn)證密鑰產(chǎn)生的簽名來(lái)簽署所述報(bào)告消息,其中所述簽名適于認(rèn)證所述接入終端經(jīng)授權(quán)以使用包含在所述報(bào)告消息中的所述接入終端身份;以及經(jīng)由所述通信接ロ發(fā)送包含所述經(jīng)簽署報(bào)告消息的發(fā)射。
2.根據(jù)權(quán)利要求I所述的接入終端,其中所述用戶身份模塊包括可裝卸式用戶身份模塊。
3.根據(jù)權(quán)利要求2所述的接入終端,其中所述可裝卸式用戶身份模塊包括以下各項(xiàng)中的一者訂戶身份模塊SIM、全球訂戶身份模塊USIM、CDMA訂戶識(shí)別模塊CSIM或可裝卸式用戶識(shí)別模塊RUIM。
4.根據(jù)權(quán)利要求I所述的接入終端,其中所述用戶身份包括國(guó)際移動(dòng)訂戶身份IMSI。
5.根據(jù)權(quán)利要求I所述的接入終端,其中所述接入終端身份包括國(guó)際移動(dòng)設(shè)備身份IMEI或移動(dòng)設(shè)備身份MEID中的一者。
6.根據(jù)權(quán)利要求I所述的接入終端,其中所述報(bào)告消息是響應(yīng)于所述處理電路經(jīng)由所述通信接ロ接收到請(qǐng)求發(fā)射而產(chǎn)生的,所述請(qǐng)求發(fā)射從所述接入終端請(qǐng)求所述報(bào)告消息,或者所述報(bào)告消息是響應(yīng)于所述接入終端確定來(lái)自所述用戶身份模塊的所述用戶身份尚未經(jīng)記錄以供與所述接入終端身份一起使用而產(chǎn)生的。
7.根據(jù)權(quán)利要求I所述的接入終端,其中所述處理電路適于 從經(jīng)授權(quán)廠商接收所述驗(yàn)證密鑰;以及 將所述驗(yàn)證密鑰存儲(chǔ)在所述存儲(chǔ)媒體中。
8.根據(jù)權(quán)利要求I所述的接入終端,其中所述處理電路適于將所述發(fā)射作為短消息接發(fā)服務(wù)SMS消息、基于包的消息或信令消息中的一者來(lái)發(fā)送。
9.根據(jù)權(quán)利要求I所述的接入終端,其中所述處理電路進(jìn)一步適于 經(jīng)由所述通信接ロ接收確認(rèn),所述確認(rèn)指示所述用戶身份與所述接入終端身份之間的所述報(bào)告的使用關(guān)系經(jīng)驗(yàn)證且記錄;以及 在所述存儲(chǔ)媒體中將所述用戶身份存儲(chǔ)為經(jīng)記錄以供與所述接入終端一起使用。
10.一種在接入終端上操作的方法,所述方法包括 將驗(yàn)證密鑰存儲(chǔ)在存儲(chǔ)媒體中; 確定來(lái)自所述接入終端中的用戶身份模塊的用戶身份未經(jīng)記錄以供與所述接入終端一起使用; 產(chǎn)生包含所述用戶身份和接入終端身份的報(bào)告消息,所述報(bào)告消息適于報(bào)告所述用戶身份與所述接入終端身份之間的使用關(guān)系; 用基于所述驗(yàn)證密鑰產(chǎn)生的簽名來(lái)簽署所述報(bào)告消息,其中所述簽名適于認(rèn)證所述接入終端經(jīng)授權(quán)以使用包含在所述報(bào)告消息中的所述接入終端身份;以及將包含所述經(jīng)簽署報(bào)告消息的發(fā)射發(fā)送到驗(yàn)證服務(wù)器。
11.根據(jù)權(quán)利要求10所述的方法,其中確定來(lái)自所述接入終端中的所述用戶身份模塊的所述用戶身份未經(jīng)記錄以供與所述接入終端一起使用包括 確定來(lái)自安置于所述接入終端中的可裝卸式用戶身份模塊的所述用戶身份未經(jīng)記錄以供與所述接入終端一起使用。
12.根據(jù)權(quán)利要求10所述的方法,其中確定來(lái)自所述接入終端中的所述用戶身份模塊的所述用戶身份未經(jīng)記錄以供與所述接入終端一起使用包括 確定來(lái)自所述接入終端中的所述用戶身份模塊的所述用戶身份不同于最后一個(gè)經(jīng)記錄以供與所述接入終端一起使用且存儲(chǔ)在所述接入終端的所述存儲(chǔ)媒體中的用戶身份。
13.根據(jù)權(quán)利要求10所述的方法,其進(jìn)ー步包括 在將所述驗(yàn)證密鑰存儲(chǔ)在所述存儲(chǔ)媒體中之前從經(jīng)授權(quán)廠商接收所述驗(yàn)證密鑰。
14.根據(jù)權(quán)利要求10所述的方法,其中產(chǎn)生包含所述用戶身份的所述報(bào)告消息包括 產(chǎn)生包含用于所述用戶身份的國(guó)際移動(dòng)訂戶身份IMSI的所述報(bào)告消息。
15.根據(jù)權(quán)利要求10所述的方法,其中產(chǎn)生包含所述接入終端身份的所述報(bào)告消息包括 產(chǎn)生包含用于所述接入終端身份的國(guó)際移動(dòng)設(shè)備身份頂EI或移動(dòng)設(shè)備身份MEID中的一者的所述報(bào)告消息。
16.根據(jù)權(quán)利要求10所述的方法,其中將所述發(fā)射發(fā)送到所述驗(yàn)證服務(wù)器包括 將所述發(fā)射作為短消息接發(fā)服務(wù)SMS消息、基于包的消息或信令消息中的一者來(lái)發(fā)送。
17.根據(jù)權(quán)利要求10所述的方法,其進(jìn)ー步包括 從所述驗(yàn)證服務(wù)器接收指示所述用戶身份與所述接入終端身份之間的所述報(bào)告的使用關(guān)系經(jīng)驗(yàn)證且記錄的確認(rèn);以及 將所述用戶身份存儲(chǔ)為經(jīng)記錄以供與所述接入終端一起使用的用戶身份。
18.一種接入終端,其包括 用于存儲(chǔ)驗(yàn)證密鑰的裝置; 用于確定來(lái)自所述接入終端中的用戶身份模塊的用戶身份未經(jīng)記錄以供與所述接入終端一起使用的裝置; 用于產(chǎn)生包含所述用戶身份和接入終端身份的報(bào)告消息的裝置,所述報(bào)告消息適于報(bào)告所述用戶身份與所述接入終端身份之間的使用關(guān)系;以及 用于用基于所述驗(yàn)證密鑰產(chǎn)生的簽名來(lái)簽署所述報(bào)告消息的裝置,其中所述簽名適于認(rèn)證所述接入終端經(jīng)授權(quán)以使用包含在所述報(bào)告消息中的所述接入終端身份; 以及 用于將包含所述經(jīng)簽署報(bào)告消息的發(fā)射發(fā)送到驗(yàn)證服務(wù)器的裝置。
19.一種處理器可讀媒體,其包括在接入終端上操作的ー個(gè)或ー個(gè)以上指令,所述指令在由處理電路執(zhí)行時(shí)致使所述處理電路確定來(lái)自所述接入終端中的用戶身份模塊的用戶身份未經(jīng)記錄以供與所述接入終端一起使用; 產(chǎn)生包含所述用戶身份和接入終端身份的報(bào)告消息,所述報(bào)告消息適于報(bào)告所述用戶身份與所述接入終端身份之間的使用關(guān)系; 用基于存儲(chǔ)在所述接入終端的存儲(chǔ)媒體中的驗(yàn)證密鑰產(chǎn)生的簽名來(lái)簽署所述報(bào)告消息,其中所述簽名適于認(rèn)證所述接入終端經(jīng)授權(quán)以使用包含在所述報(bào)告消息中的所述接入終端身份;以及 將包含所述經(jīng)簽署報(bào)告消息的發(fā)射發(fā)送到驗(yàn)證服務(wù)器。
20.ー種驗(yàn)證服務(wù)器,其包括 通信接ロ,其適于促進(jìn)無(wú)線通信; 存儲(chǔ)媒體;以及 處理電路,其耦合到所述通信接ロ,所述處理電路適于 接收驗(yàn)證密鑰且將所述驗(yàn)證密鑰存儲(chǔ)在所述存儲(chǔ)媒體中; 經(jīng)由所述通信接ロ接收來(lái)自接入終端的發(fā)射,所述發(fā)射包含報(bào)告消息,所述報(bào)告消息報(bào)告接入終端身份與所述接入終端中的用戶身份之間的使用關(guān)系,其中所述報(bào)告消息簽署有簽名;以及 使用所述驗(yàn)證密鑰來(lái)認(rèn)證所述報(bào)告消息的所述簽名以檢驗(yàn)所述接入終端經(jīng)授權(quán)以使用包含在所述報(bào)告消息中的所述接入終端身份。
21.根據(jù)權(quán)利要求20所述的驗(yàn)證服務(wù)器,其中所述處理電路進(jìn)一步適于將所述接入終端身份與所述用戶身份之間的所述使用關(guān)系記錄在設(shè)備身份寄存器EIR可存取的數(shù)據(jù)庫(kù)中。
22.根據(jù)權(quán)利要求21所述的驗(yàn)證服務(wù)器,其中所述通信接ロ、所述存儲(chǔ)媒體和所述處理電路與所述EIR實(shí)施為一體。
23.根據(jù)權(quán)利要求22所述的驗(yàn)證服務(wù)器,其中所述處理電路進(jìn)一步適于 經(jīng)由所述通信接ロ接收來(lái)自網(wǎng)絡(luò)實(shí)體的驗(yàn)證請(qǐng)求發(fā)射,所述驗(yàn)證請(qǐng)求發(fā)射包含所述用戶身份和所述接入終端身份; 查詢所述數(shù)據(jù)庫(kù)是否存在檢驗(yàn)出所述用戶身份與所述接入終端身份之間的有效使用關(guān)系的記錄; 在所述數(shù)據(jù)庫(kù)中的記錄檢驗(yàn)出所述用戶身份與所述接入終端身份之間的所述使用關(guān)系的情況下確定所述接入終端經(jīng)授權(quán);以及 在所述數(shù)據(jù)庫(kù)中的記錄證明所述使用關(guān)系不成立的情況下或者在所述數(shù)據(jù)庫(kù)中沒(méi)有記錄檢驗(yàn)出所述用戶身份與所述接入終端身份之間的所述使用關(guān)系的情況下確定所述接入終端未經(jīng)授權(quán)。
24.根據(jù)權(quán)利要求20所述的驗(yàn)證服務(wù)器,其中所述處理電路適于將來(lái)自所述接入終端的所述發(fā)射作為短消息接發(fā)服務(wù)SMS消息、基于包的消息或信令消息中的一者來(lái)接收。
25.根據(jù)權(quán)利要求20所述的驗(yàn)證服務(wù)器,其中所述處理電路進(jìn)一步適于將確認(rèn)所述報(bào)告消息的接收和認(rèn)證的確認(rèn)消息發(fā)送到所述接入終端。
26.根據(jù)權(quán)利要求20所述的驗(yàn)證服務(wù)器,其中包含在所述報(bào)告消息中的所述接入終端身份包括國(guó)際移動(dòng)設(shè)備身份頂EI或移動(dòng)設(shè)備身份MEID中的一者。
27.根據(jù)權(quán)利要求20所述的驗(yàn)證服務(wù)器,其中包含在所述報(bào)告消息中的所述用戶身份包括國(guó)際移動(dòng)訂戶身份頂SI。
28.—種在驗(yàn)證服務(wù)器上操作的方法,所述方法包括 接收驗(yàn)證密鑰且將所述驗(yàn)證密鑰存儲(chǔ)在存儲(chǔ)媒體中; 接收來(lái)自接入終端的發(fā)射,所述發(fā)射包含報(bào)告消息,所述報(bào)告消息報(bào)告接入終端身份與所述接入終端中的用戶身份之間的使用關(guān)系,其中所述報(bào)告消息簽署有簽名;以及 使用所述驗(yàn)證密鑰來(lái)認(rèn)證所述報(bào)告消息的所述簽名以檢驗(yàn)所述接入終端經(jīng)授權(quán)以使用包含在所述報(bào)告消息中的所述接入終端身份。
29.根據(jù)權(quán)利要求28所述的方法,其進(jìn)ー步包括 將所述接入終端身份與所述用戶身份之間的所述使用關(guān)系記錄在設(shè)備身份寄存器EIR可存取的數(shù)據(jù)庫(kù)中。
30.根據(jù)權(quán)利要求29所述的方法,其進(jìn)ー步包括 接收來(lái)自通信網(wǎng)絡(luò)的實(shí)體的驗(yàn)證請(qǐng)求發(fā)射,所述驗(yàn)證請(qǐng)求發(fā)射包含所述用戶身份和所述接入終端身份; 查詢所述數(shù)據(jù)庫(kù)是否存在檢驗(yàn)出所述用戶身份與所述接入終端身份之間的使用關(guān)系的記錄; 在所述數(shù)據(jù)庫(kù)中的記錄檢驗(yàn)出所述用戶身份與所述接入終端身份之間的所述使用關(guān)系的情況下確定所述接入終端為經(jīng)授權(quán)接入終端;以及 在所述數(shù)據(jù)庫(kù)中的記錄證明所述使用關(guān)系不成立的情況下或者在所述數(shù)據(jù)庫(kù)中沒(méi)有記錄檢驗(yàn)出所述用戶身份與所述接入終端身份之間的所述使用關(guān)系的情況下確定所述接入終端為未經(jīng)授權(quán)接入終端。
31.根據(jù)權(quán)利要求28所述的方法,其中接收來(lái)自所述接入終端的所述發(fā)射包括將所述發(fā)射作為短消息接發(fā)服務(wù)SMS發(fā)射、基于包的發(fā)射或信令消息發(fā)射中的一者來(lái)接收。
32.根據(jù)權(quán)利要求28所述的方法,其進(jìn)ー步包括 將確認(rèn)所述報(bào)告消息的接收和認(rèn)證的確認(rèn)消息發(fā)送到所述接入終端。
33.根據(jù)權(quán)利要求28所述的方法,其中包含在所述報(bào)告消息中的所述接入終端身份包括國(guó)際移動(dòng)設(shè)備身份頂EI或移動(dòng)設(shè)備身份MEID中的一者。
34.根據(jù)權(quán)利要求28所述的方法,其中包含在所述報(bào)告消息中的所述用戶身份包括國(guó)際移動(dòng)訂戶身份頂SI。
35.根據(jù)權(quán)利要求28所述的方法,其中認(rèn)證所述報(bào)告消息的所述簽名包括 確定對(duì)應(yīng)于發(fā)送了包含所述報(bào)告消息的所述發(fā)射的所述接入終端的所述驗(yàn)證密鑰; 檢索所述對(duì)應(yīng)的驗(yàn)證密鑰;以及 應(yīng)用所述驗(yàn)證密鑰來(lái)認(rèn)證所述簽名。
36.ー種驗(yàn)證服務(wù)器,其包括 用于接收驗(yàn)證密鑰且將所述驗(yàn)證密鑰存儲(chǔ)在存儲(chǔ)媒體中的裝置; 用于接收來(lái)自接入終端的發(fā)射的裝置,所述發(fā)射包含報(bào)告消息,所述報(bào)告消息報(bào)告接入終端身份與所述接入終端中的用戶身份之間的使用關(guān)系,其中所述報(bào)告消息簽署有簽名;以及 用于使用所述驗(yàn)證密鑰來(lái)認(rèn)證所述報(bào)告消息的所述簽名以檢驗(yàn)所述接入終端經(jīng)授權(quán)以使用包含在所述報(bào)告消息中的所述接入終端身份的裝置。
37.根據(jù)權(quán)利要求36所述的驗(yàn)證服務(wù)器,其進(jìn)ー步包括 用于將所述接入終端身份與所述用戶身份之間的所述使用關(guān)系記錄在設(shè)備身份寄存器EIR可存取的數(shù)據(jù)庫(kù)中的裝置。
38.根據(jù)權(quán)利要求37所述的驗(yàn)證服務(wù)器,其進(jìn)ー步包括 用于在通信網(wǎng)絡(luò)的實(shí)體將驗(yàn)證請(qǐng)求與獲得的用戶身份和接入終端身份一起發(fā)送時(shí)確定接入終端是經(jīng)授權(quán)還是未經(jīng)授權(quán)的裝置。
39.一種處理器可讀媒體,其包括在驗(yàn)證服務(wù)器上操作的ー個(gè)或ー個(gè)以上指令,所述指令在由處理電路執(zhí)行時(shí)致使所述處理電路接收驗(yàn)證密鑰且將所述驗(yàn)證密鑰存儲(chǔ)在存儲(chǔ)媒體中; 接收來(lái)自接入終端的發(fā)射,所述發(fā)射包含報(bào)告消息,所述報(bào)告消息報(bào)告接入終端身份與所述接入終端中的用戶身份之間的使用關(guān)系,其中所述報(bào)告消息簽署有簽名;以及 使用所述驗(yàn)證密鑰來(lái)認(rèn)證所述報(bào)告消息的所述簽名以檢驗(yàn)所述接入終端經(jīng)授權(quán)以使用包含在所述報(bào)告消息中的所述接入終端身份。
40.根據(jù)權(quán)利要求39所述的處理器可讀媒體,其進(jìn)ー步包括在所述驗(yàn)證服務(wù)器上操作的ー個(gè)或ー個(gè)以上指令,所述指令在由所述處理電路執(zhí)行時(shí)致使所述處理電路將所述接入終端身份與所述用戶身份之間的所述使用關(guān)系記錄在設(shè)備身份寄存器EIR可存取的數(shù)據(jù)庫(kù)中。
41.根據(jù)權(quán)利要求40所述的處理器可讀媒體,其進(jìn)ー步包括在所述驗(yàn)證服務(wù)器上操作的ー個(gè)或ー個(gè)以上指令,所述指令在由所述處理電路執(zhí)行時(shí)致使所述處理電路 在通信網(wǎng)絡(luò)的實(shí)體將驗(yàn)證請(qǐng)求與獲得的用戶身份和接入終端身份一起發(fā)送時(shí)確定接入終端是經(jīng)授權(quán)還是未經(jīng)授權(quán)。
全文摘要
本發(fā)明提供用于促進(jìn)認(rèn)證接入終端身份且用于記錄有效的接入終端身份與用戶身份之間的使用關(guān)系的方法和設(shè)備。接入終端和驗(yàn)證服務(wù)器兩者均具備對(duì)應(yīng)的驗(yàn)證密鑰。所述接入終端可確定用戶身份未經(jīng)記錄以供與所述接入終端一起使用,且可發(fā)送報(bào)告消息以報(bào)告所述接入終端身份與所述用戶身份之間的使用關(guān)系,其中所述報(bào)告消息簽署有基于所述驗(yàn)證密鑰的簽名。所述驗(yàn)證服務(wù)器使用所述驗(yàn)證服務(wù)器中的所述驗(yàn)證密鑰來(lái)認(rèn)證所述簽名。所述驗(yàn)證服務(wù)器可將所述經(jīng)認(rèn)證接入終端身份與所述用戶身份之間的所述使用關(guān)系記錄在數(shù)據(jù)庫(kù)中,所述數(shù)據(jù)庫(kù)記錄可用以確定請(qǐng)求網(wǎng)絡(luò)接入的接入終端是經(jīng)授權(quán)還是未經(jīng)授權(quán)。
文檔編號(hào)H04W12/06GK102835137SQ201180018688
公開(kāi)日2012年12月19日 申請(qǐng)日期2011年3月16日 優(yōu)先權(quán)日2010年3月16日
發(fā)明者杜志民, 李彥 申請(qǐng)人:高通股份有限公司