專利名稱:無線網(wǎng)絡(luò)認(rèn)證裝置與方法
技術(shù)領(lǐng)域:
本發(fā)明總體上涉及通信系統(tǒng)領(lǐng)域,更特別地,在一個(gè)示例性方面涉及允許用戶設(shè)備利用訪問控制客戶端向無線網(wǎng)絡(luò)(例如,蜂窩網(wǎng)絡(luò)、WLAN、WMAN等)進(jìn)行認(rèn)證的無線系統(tǒng)。
背景技術(shù):
無線系統(tǒng)尤其用于向例如蜂窩式電話和計(jì)算機(jī)的用戶裝備提供語音和數(shù)據(jù)服務(wù)。傳統(tǒng)上,用戶裝備裝有客戶識(shí)別模塊(SM)卡。SM卡包括例如私鑰信息的安全信息,這種信息可以在向蜂窩網(wǎng)絡(luò)認(rèn)證用戶設(shè)備時(shí)使用。
可能不是總期望需要使用SM卡。例如,在用戶設(shè)備中包括SM卡槽的需求使設(shè)備笨重而且增加成本。而且制造商或者服務(wù)提供商還必須對(duì)SM卡庫存和分發(fā)進(jìn)行管理。用戶可能即使當(dāng)其不能很容易地獲得SIM卡時(shí)也想購買無線服務(wù)。因此,期望能夠提供改進(jìn)的方式,來為用戶提供購買和使用無線網(wǎng)絡(luò)服務(wù)的能力。
發(fā)明內(nèi)容
本發(fā)明通過提供尤其是用于無線網(wǎng)絡(luò)認(rèn)證的裝置與方法來解決以上需求。在本發(fā)明的一方面,例如蜂窩式電話公司的網(wǎng)絡(luò)服務(wù)提供商可以經(jīng)通用客戶識(shí)別 模塊(USM)銷售商或者直接向可信任的服務(wù)管理者分發(fā)訪問客戶端(例如,USIM)憑證??尚湃蔚姆?wù)管理者可以維護(hù)授權(quán)用戶的列表。例如,這些用戶可以是該可信任服務(wù)管理者的客戶或者相關(guān)的實(shí)體。用戶憑證可以由可信任的服務(wù)管理者針對(duì)每個(gè)授權(quán)用戶維護(hù)。用戶裝備處的用戶可以利用一組用戶憑證向可信任的服務(wù)管理者進(jìn)行認(rèn)證。一旦被認(rèn)證,可信任的服務(wù)管理者就可以為該用戶提供一組USM憑證。USM憑證可以存儲(chǔ)在該用戶裝備的安全元件中。當(dāng)用戶期望使用無線網(wǎng)絡(luò)服務(wù)時(shí),用戶裝備可以在該用戶裝備與網(wǎng)絡(luò)服務(wù)提供商之間建立無線鏈路。在認(rèn)證操作過程中,用戶裝備可以使用存儲(chǔ)在該用戶裝備上的安全元件中的USM憑證來向網(wǎng)絡(luò)服務(wù)提供商進(jìn)行認(rèn)證。在成功的認(rèn)證之后,網(wǎng)絡(luò)服務(wù)提供商可以為該用戶裝備提供無線服務(wù)(例如,手機(jī)語音與數(shù)據(jù)連接)。在本發(fā)明的另一方面,公開了用于向用戶裝備處的用戶提供無線服務(wù)的方法。在一種實(shí)施方式中,該方法包括向第一實(shí)體分發(fā)訪問客戶端數(shù)據(jù);經(jīng)第一通信鏈路把所述訪問客戶端數(shù)據(jù)從所述第一實(shí)體傳輸?shù)降诙?shí)體;利用用戶憑證來認(rèn)證所述用戶裝備;及在認(rèn)證所述用戶裝備之后,經(jīng)第二通信鏈路把所述訪問客戶端數(shù)據(jù)從所述第二實(shí)體傳送到所述用戶裝備。在所述方法的一種變型例中,第一實(shí)體包括USM銷售商,而第二實(shí)體包括可信任的服務(wù)管理者。在該方法的另一種變型例中,訪問客戶端包括通用SM(USIM),而且可信任的服務(wù)管理者執(zhí)行認(rèn)證。在又一種變型例中,對(duì)訪問客戶端數(shù)據(jù)的傳送使用戶裝備把該訪問客戶端數(shù)據(jù)存儲(chǔ)到安全元件。 在再一種變型例中,第二通信鏈路包括安全無線連接。在還有一種變型例中,第一通信鏈路另外包括遞送包含USM數(shù)據(jù)的物理存儲(chǔ)設(shè)備。在另一種變型例中,用戶憑證包括特定于用戶的賬戶信息。在本發(fā)明的另一方面,公開了一種無線裝置。在一種實(shí)施方式中,該裝置包括適于與服務(wù)提供商通信的一條或多條通信鏈路;配置成存儲(chǔ)訪問客戶端的安全元件;處理器;及與所述處理器數(shù)據(jù)通信的存儲(chǔ)設(shè)備,該存儲(chǔ)設(shè)備包括計(jì)算機(jī)可執(zhí)行指令。所述指令配置成,當(dāng)被處理器執(zhí)行時(shí)向服務(wù)提供商進(jìn)行認(rèn)證,其中所述成功的認(rèn)證使得服務(wù)提供商提供訪問客戶端;而且,響應(yīng)于接收到所述訪問客戶端,把該訪問客戶端存儲(chǔ)在安全元件中。
在所述裝置的一種變型例中,用戶裝備包括長距離和短距離無線通信電路中的一種或者兩者。在另一種變型例中,用戶裝備另外還包括近場通信(NFC)電路。在又一種變型例中,安全元件是永久性地內(nèi)置到裝置中的防篡改的集成電路。在另一種變型例中,安全元件適于至少部分地基于訪問客戶端數(shù)據(jù)來向網(wǎng)絡(luò)服務(wù)認(rèn)證所述用戶裝備。在本發(fā)明的另一方面,公開了用于在用戶設(shè)備處安全地存儲(chǔ)訪問客戶 端數(shù)據(jù)的方法。在一種實(shí)施方式中,該方法包括向服務(wù)提供商發(fā)送一個(gè)或多個(gè)用戶憑證,所述發(fā)送使得服務(wù)提供商至少部分地基于所述一個(gè)或多個(gè)用戶憑證認(rèn)證所述用戶裝備;一旦完成了對(duì)用戶裝備的成功認(rèn)證,就經(jīng)通信鏈路接收訪問客戶端數(shù)據(jù);并且把該訪問客戶端數(shù)據(jù)存儲(chǔ)在安全兀件中。在一種變型例中,通信鏈路包括短距離無線通信電路,例如近場通信(NFC)電路。在另一種變型例中,安全元件是永久性地內(nèi)置到裝置中的防篡改的集成電路。在本發(fā)明的又一方面,公開了一種客戶識(shí)別模塊(SIM)附件裝置。在一種實(shí)施方式中,該裝置包括適于與蜂窩設(shè)備通信的一條或多條通信鏈路;容納器(receptacle);處理器;及與處理器數(shù)據(jù)通信的存儲(chǔ)設(shè)備,該存儲(chǔ)設(shè)備包括計(jì)算機(jī)可執(zhí)行指令。所述計(jì)算機(jī)可執(zhí)行指令配置成,當(dāng)被處理器執(zhí)行時(shí)向蜂窩設(shè)備通知SIM設(shè)備的存在,該SM設(shè)備在其容納器中存儲(chǔ)有第一 SIM數(shù)據(jù);并且,響應(yīng)于接收到對(duì)SIM操作的請(qǐng)求,經(jīng)所述一條或多條通信鏈路提供對(duì)該SIM設(shè)備的訪問。在一種變型例中,蜂窩設(shè)備包括安全元件,該安全元件配置成存儲(chǔ)一個(gè)或多個(gè)第二 SM數(shù)據(jù)。在本發(fā)明的再一方面,公開了一種計(jì)算機(jī)可讀介質(zhì)。在一種實(shí)施方式中,所述介質(zhì)包括其上存儲(chǔ)有訪問客戶端(例如,虛擬USM)數(shù)據(jù)的安全元件(例如,安全集成電路),所述數(shù)據(jù)在被訪問時(shí)允許對(duì)一種或多種網(wǎng)絡(luò)服務(wù)的用戶訪問。從附圖及以下對(duì)優(yōu)選實(shí)施方式的具體描述,本發(fā)明的更多特征、本質(zhì)與各種優(yōu)點(diǎn)將更加顯見。
從以下闡述的具體描述并聯(lián)系附圖,本發(fā)明的特征、目的與優(yōu)點(diǎn)將變得更加顯見,附圖中圖I是現(xiàn)有技術(shù)認(rèn)證與密鑰協(xié)商(AKA)過程的圖。圖2是由USM執(zhí)行的現(xiàn)有技術(shù)AKA操作的圖。圖3是用于客戶識(shí)別模塊(SIM)的現(xiàn)有技術(shù)硬件體系結(jié)構(gòu)的圖。圖4是根據(jù)本發(fā)明一種實(shí)施方式的例示性無線系統(tǒng)的圖。圖5a是根據(jù)本發(fā)明的用于“虛擬”客戶識(shí)別模塊(SM)的硬件體系結(jié)構(gòu)的第一示例實(shí)施方式的功能性框圖。圖5b是根據(jù)本發(fā)明的用于“虛擬”客戶識(shí)別模塊(SM)的硬件體系結(jié)構(gòu)的第二示例實(shí)施方式的功能性框圖。圖6是根據(jù)本發(fā)明的結(jié)合SIM附件設(shè)備運(yùn)行的本發(fā)明的一種示例實(shí)施方式的圖。
圖7是用于向蜂窩設(shè)備部署USIM的現(xiàn)有技術(shù)方法的圖。圖8是例示根據(jù)本發(fā)明的用于向蜂窩設(shè)備部署USIM信息的一種示例方法的圖。所有附圖的版權(quán) 20 09 -2010歸Apple公司。保留所有權(quán)利。
具體實(shí)施例方式現(xiàn)在參考附圖,其中相似的標(biāo)號(hào)貫穿所有附圖指代相似的部分。相關(guān)領(lǐng)域的普通技術(shù)人員將認(rèn)識(shí)到,本發(fā)明的各種實(shí)施方式對(duì)現(xiàn)有技術(shù)體系結(jié)構(gòu)(例如,在物理SM卡中包含的USM數(shù)據(jù))和新體系 結(jié)構(gòu)(例如,存儲(chǔ)在安全元件中的USM數(shù)據(jù))都是有用的。在有些變型例中,本發(fā)明可以進(jìn)一步使現(xiàn)有技術(shù)的卡操作與安全元件操作組合起來,使得能夠支持沒有存儲(chǔ)在安全元件中的傳統(tǒng)SIM卡。在本發(fā)明的一種示例實(shí)施方式中,SM數(shù)據(jù)包括尤其是對(duì)認(rèn)證有用的高安全性內(nèi)容(例如,密鑰及加密算法,等等)。例如,高安全性內(nèi)容可以包括認(rèn)證密鑰(Ki)及所有的加密算法(例如,就象在于2009年12月31日公開且題為“Specification of the MILENAGEAlgorithm Set:An example algorithm set for the 3GPP authentication and keygeneration functions Π,fl *,f2, f3, f4, f5 and f5 * ” 的 3GPP TS 35. 205V9. 0· 0 中所描述的FI、F2、F3、F4和F5,以上文獻(xiàn)的全部內(nèi)容通過引用并入于此)。在另一種實(shí)施方式中,SIM數(shù)據(jù)包括運(yùn)營商捆綁信息,和/或用戶數(shù)據(jù)信息。此類信息的例子包括網(wǎng)絡(luò)選擇參數(shù)、識(shí)別信息、運(yùn)營商數(shù)據(jù)、應(yīng)用數(shù)據(jù),等等。網(wǎng)絡(luò)選擇參數(shù)的常見例子包括但不限于公共陸地移動(dòng)網(wǎng)絡(luò)選擇器(PLMNSel)、被禁止的 PLMN (FPLMN)、家用 PLMN (HPLMN),等等。識(shí)別信息的常見例子包括但不限于國際移動(dòng)用戶識(shí)別碼(MSI)、集成電路卡ID(ICCID)、臨時(shí)移動(dòng)用戶識(shí)別碼(TMSI)、包TMSI (P-TMSI)及移動(dòng)用戶集成服務(wù)數(shù)字網(wǎng)絡(luò)號(hào)(MSISDN)。典型的運(yùn)營商數(shù)據(jù)可以包括,例如運(yùn)營商控制的PLMN (OPLMN)列表SPN (服務(wù)提供商名稱)、用于名稱顯示的PLMN網(wǎng)絡(luò)名稱(PNN)、用于緊急呼叫的緊急控制中心(ECC)及其它呼叫分類,等等。應(yīng)用數(shù)據(jù)的例子包括但不限于SM應(yīng)用工具包(STK)(例如,漫游中介、增強(qiáng)的網(wǎng)絡(luò)選擇(ENS)、國際移動(dòng)設(shè)備識(shí)別碼(IMEI)改變應(yīng)用,等等)?,F(xiàn)有技術(shù)的認(rèn)證過程-作為一個(gè)簡短的旁白,圖I在UMTS蜂窩系統(tǒng)的示例環(huán)境中例示了一種典型的現(xiàn)有技術(shù)認(rèn)證與密鑰協(xié)商(AKA)過程100。在正常的認(rèn)證過程中,UE 102從USM 104獲得國際移動(dòng)用戶識(shí)別碼(MSI)。UE把它傳遞到網(wǎng)絡(luò)運(yùn)營商的服務(wù)網(wǎng)絡(luò)(SN) 106或者被訪問的核心網(wǎng)絡(luò)。SN把認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)到家用網(wǎng)絡(luò)(HN)的AuC 108。HN將所接收到的MSI與AuC的注冊(registry)進(jìn)行比較并且獲得適當(dāng)?shù)腒。HN生成一個(gè)隨機(jī)數(shù)(RAND),并且利用創(chuàng)建預(yù)期響應(yīng)(XRES)的算法以K對(duì)其進(jìn)行簽名。為了在密碼和完整性保護(hù)及認(rèn)證記號(hào)(AUTN)中使用,HN還利用各種算法生成密碼密鑰(CK)和完整性密鑰(IK)。HN把由RAND、XRES、CK和AUTN組成的認(rèn)證向量發(fā)送到SN。SN存儲(chǔ)該認(rèn)證向量,僅用于一次認(rèn)證處理。SN把RAND和AUTN傳遞到UE。一旦UE 102接收到了 RAND和AUTN,USM 104就驗(yàn)證所接收到的AUTN是否有效。如果有效,UE就使用所接收到的RAND利用所存儲(chǔ)的K和與生成XRES相同的算法來計(jì)算其自己的響應(yīng)(RES)。UE把RES傳遞回SN。SN 106比較XRES與接收到的RES,而且,如果它們匹配,SN就認(rèn)證UE能夠使用運(yùn)營商的無線網(wǎng)絡(luò)服務(wù)。圖2圖示地說明了由USM所執(zhí)行的、用于驗(yàn)證所接收的AUTN的現(xiàn)有技術(shù)AKA操作200。舊頂使用密碼函數(shù)?1、?2、?344和?5 (見3GPP TS 35.205 V9. 0.0,前面已經(jīng)通過引用將其全部內(nèi)容并入于此),所存儲(chǔ)的密鑰K及接收到的AUTN和RAND。利用RAND和K作為對(duì)F5的輸入,USIM計(jì)算AK(匿名密鑰)。通過對(duì)AK與AUTN的第一字段進(jìn)行XOR (異或),生成SQN (序列號(hào))。利用RAND、K、SQN和AMF作為對(duì)F1、F2、F3和F4的輸入,US頂計(jì)算XMAC (預(yù)期的消息認(rèn)證碼)、RES、CK和IK。其后,UE比較XMAC與AUTN的MAC ;如果它們不同,UE就把帶原因指示的認(rèn)證失敗消息發(fā)送回VLR/SGSN(訪問者位置寄存器/服務(wù)GPRS支持節(jié)點(diǎn)),而且放棄該過程。在一種實(shí)現(xiàn)中,如果XMAC與MAC匹配,則UE驗(yàn)證SQN在可接受的范圍內(nèi),并且把認(rèn)證響應(yīng)消息發(fā)送回VLR/SGSN,該響應(yīng)消息包括計(jì)算出的結(jié)果RES。可選地,如果SQN不可 接受,則UE執(zhí)行重新同步過程并且把同步失敗消息發(fā)送回VLR/SGSN。在成功完成上述過程之后,UE和UTRAN對(duì)CK和IK意見一致,而且可以激活密碼與完整性保護(hù)?,F(xiàn)在參考圖3,例示了用于客戶識(shí)別模塊(SIM)的一種典型的現(xiàn)有技術(shù)硬件體系結(jié)構(gòu)300。如圖所示,USM 302存儲(chǔ)在通用集成電路卡(UICC)上,該卡適于插在蜂窩設(shè)備304中。USM執(zhí)行AKA過程所必需的軟件過程(如在圖I和2中所描述的)。安全WCC存儲(chǔ)只有USIM和網(wǎng)絡(luò)知道的秘密密鑰,并且維護(hù)與安全交易相關(guān)的內(nèi)部計(jì)數(shù)器(例如,狀態(tài))。USIM的物理形態(tài)因子可以例如經(jīng)包裹(in-box)、郵件、售貨亭等物理地遞送。示例實(shí)施方式_在圖4中示出了根據(jù)本發(fā)明的無線系統(tǒng)400的一種示例實(shí)施方式,其中用戶裝備430處的用戶可以從網(wǎng)絡(luò)服務(wù)提供商412獲得無線網(wǎng)絡(luò)服務(wù)。例如,用戶裝備430可以是蜂窩式電話或者智能電話、臺(tái)式計(jì)算機(jī)、膝上型計(jì)算機(jī)或者其它合適的計(jì)算裝備。如果得到適當(dāng)?shù)氖跈?quán),用戶裝備430可以經(jīng)無線鏈路432與網(wǎng)絡(luò)服務(wù)提供商412通信。用戶裝備430可以具有無線通信電路。例如,用戶裝備430可以使用長距離無線通信電路,例如蜂窩電話電路,以在鏈路432上利用850MHz、900MHz、1800MHz和1900MHz的蜂窩電話頻段(例如,主要的全球移動(dòng)通信系統(tǒng)或GSM蜂窩電話頻段)通信。用戶裝備430中的長距離無線通信電路還可以適用于例如2100MHz的頻段。如果期望的話,用戶裝備430還可以使用短距離無線通信鏈路來實(shí)現(xiàn)與附近裝備的通信。例如,電子設(shè)備可以利用2. 4GHz和 5GHz 的1WiFi (IEEE 802. 11)頻段和 2. 4GHz 的Bluetooth 頻段通信。在提供服務(wù)之前,網(wǎng)絡(luò)服務(wù)提供商412可能要求無線用戶正確地認(rèn)證。例如,網(wǎng)絡(luò)服務(wù)提供商412可以維護(hù)用于確定給定用戶是否被授權(quán)使用提供商412的服務(wù)的通用客戶識(shí)別模塊(USIM)信息414。未授權(quán)的用戶(例如,沒有有效賬戶的用戶)將被拒絕服務(wù)。授權(quán)用戶將被允許建立鏈路(例如,鏈路432 ),來發(fā)起和接收語音電話呼叫、下載和上載數(shù)據(jù)或者以別的方式獲得可從網(wǎng)絡(luò)服務(wù)提供商412得到的服務(wù)。傳統(tǒng)上,US頂數(shù)據(jù)414以客戶識(shí)別模塊(SM)卡的形式分發(fā)到授權(quán)用戶。這種方法通常要求用戶裝備中有SIM卡槽。對(duì)于圖4中所示類型的布置,有利地不需要用戶裝備430以可拆卸SM卡形式接收US頂數(shù)據(jù)414。相反,USM數(shù)據(jù)可以利用有線和/或無線網(wǎng)絡(luò)連接進(jìn)行分發(fā)。作為例子,US頂數(shù)據(jù)414可以直接地或者利用一個(gè)或多個(gè)中間實(shí)體(例如,USM銷售商422和/或可信任的服務(wù)管理者424)從網(wǎng)絡(luò)服務(wù)提供商412分發(fā)到用戶裝備430。在一種示例實(shí)現(xiàn)中,網(wǎng)絡(luò)服務(wù)提供商412可以經(jīng)鏈路416把用于多個(gè)用戶的USM數(shù)據(jù)414分發(fā)到USIM銷 售商422。鏈路416可以是安全的有線或無線鏈路,或者可以涉及包含USM數(shù)據(jù)414的存儲(chǔ)設(shè)備的物理遞送。USIM銷售商422可以經(jīng)鏈路420把USIM數(shù)據(jù)分發(fā)到可信任的服務(wù)管理者424(可選地,可信任的服務(wù)管理者可以經(jīng)另一條鏈路418直接從網(wǎng)絡(luò)服務(wù)提供商412獲得USM數(shù)據(jù)),其中USM銷售商422可以是例如制造SM卡的組織。可信任的服務(wù)管理者424可以維護(hù)用戶憑證426的數(shù)據(jù)庫,其中可信任的服務(wù)管理者424可以是例如銷售用戶裝備430的組織或者與裝備430的銷售商關(guān)聯(lián)的實(shí)體。用戶憑證可以用于確定哪些用戶是該可信任服務(wù)管理者的授權(quán)客戶和/或被授權(quán)從網(wǎng)絡(luò)服務(wù)提供商414獲得網(wǎng)絡(luò)訪問。例如,用戶憑證426可以包括在購買用戶裝備430時(shí)(或者其后不久)建立的用戶裝備430的用戶的賬戶信息。例如,用戶憑證426可以包括用戶名和口令信息、信用卡信息及其它可以用于確定授權(quán)用戶身份的信息。在一種實(shí)施方式中,可信任的服務(wù)管理者424可以執(zhí)行與維護(hù)用戶賬戶相關(guān)聯(lián)的賬戶管理任務(wù)(即,與維護(hù)用戶憑證426和確定與用戶憑證426關(guān)聯(lián)的哪些用戶被授權(quán)獲得USIM數(shù)據(jù)414來授權(quán)它們的用戶裝備相關(guān)聯(lián)的賬戶管理任務(wù))。網(wǎng)站及可通過電話獲得的客戶服務(wù)代表可以鏈接到可信任服務(wù)管理者424的計(jì)算裝備中。例如,網(wǎng)站可以用于允許用戶建立賬戶及關(guān)聯(lián)的一組用戶憑證、購買無線服務(wù)(與提供商412 —起使用)、從可信任的服務(wù)管理者424進(jìn)行其它購買,等等。在一種典型的場景中,用戶裝備430的用戶經(jīng)鏈路434與可信任的服務(wù)管理者424通信。鏈路434可以包括例如裝備430與管理者424之間的有線與無線鏈路。如果期望的話,在路徑434中也可以包括中間裝備(例如,用戶裝備430利用例如通用串行總線連接與之連接的個(gè)人計(jì)算機(jī))。在與可信任的服務(wù)管理者424通信時(shí),用戶裝備430向該可信任的服務(wù)管理者提供用戶憑證。在一種實(shí)施方式中,該可信任的服務(wù)管理者利用用戶憑證數(shù)據(jù)庫426對(duì)這些憑證進(jìn)行認(rèn)證。如果用戶裝備被成功認(rèn)證了,那么可信任的服務(wù)管理者424就可以經(jīng)鏈路434中的安全通道向用戶裝備430提供適當(dāng)?shù)腢SIM數(shù)據(jù)414。如果期望的話,用戶裝備430可以存儲(chǔ)以這種方式接收的USM數(shù)據(jù),例如存儲(chǔ)在安全元件428中。安全元件428可以是例如永久性地內(nèi)置到用戶裝備430中的防篡改的集成電路,或者可以是可拆卸的元件。在USM數(shù)據(jù)414存儲(chǔ)到用戶裝備430中之后,該用戶裝備可以使用所存儲(chǔ)的USM數(shù)據(jù)從網(wǎng)絡(luò)服務(wù)提供商412請(qǐng)求無線服務(wù)。一旦用戶裝備430向網(wǎng)絡(luò)服務(wù)提供商412進(jìn)行了認(rèn)證,該網(wǎng)絡(luò)服務(wù)提供商就可以利用無線路徑432向用戶裝備430提供無線服務(wù),例如語音呼叫和數(shù)據(jù)鏈路連接。現(xiàn)在參考圖5a和5b,分別例示了根據(jù)本發(fā)明的用于“虛擬”客戶識(shí)別模塊(SM)的硬件體系結(jié)構(gòu)的兩種示例實(shí)施方式(502,504)。不象圖3的現(xiàn)有技術(shù)解決方案,圖5a和5b的示例實(shí)施方式把USIM506存儲(chǔ)在嵌入式安全元件(SE) 508中,而不是可拆卸的卡中。所例示的本發(fā)明第一種實(shí)施方式502 (圖5a)另外還包括近場通信(NFC)路由器510。所例示的第二種實(shí)施方式504 (圖5b)不包括NFC路由器。圖6結(jié)合SIM附件設(shè)備602例不了圖5a的第一種實(shí)施方式502。如圖所不,SIM附件設(shè)備602使得尤其是過渡性實(shí)施方式可用,而且對(duì)傳統(tǒng)體系結(jié)構(gòu)提供支持。當(dāng)被頻繁的SIM卡“交易者”和/或很慢或者抗拒升級(jí)其現(xiàn)有網(wǎng)絡(luò)的載體采用時(shí),傳統(tǒng)實(shí)施方式會(huì)找到特別的價(jià)值。如圖6中所示,藍(lán)牙SIM訪問簡檔(SAP)提供了由插入到調(diào)制解調(diào)器中的物理SM卡正常執(zhí)行所需的功能(例如,AKA協(xié)議)。如圖所示,當(dāng)SM卡302插入SM附件設(shè)備槽時(shí),該附件可以經(jīng)藍(lán)牙收發(fā)器與蜂窩設(shè)備通信,而且可以保持在口袋、錢包等中。在正常運(yùn)行過程中,(與該附件設(shè)備通信的)蜂窩設(shè)備詢問用戶是否應(yīng)當(dāng)使用外部SM。如果是,則調(diào)制解調(diào)器502根據(jù)需要經(jīng)藍(lán)牙SAP訪問外部SM卡302?,F(xiàn)在參考圖7,圖示地說明了用于部署USM 302的一種現(xiàn)有技術(shù)方法。如圖所示, USM數(shù)據(jù)在運(yùn)營商708處生成,而且在步驟701被分發(fā)到SM卡銷售商706。然后,在步驟702,為了銷售給用戶,US頂被制造到HCC 302中。一旦在步驟703中UICC插入蜂窩設(shè)備304中,蜂窩設(shè)備和運(yùn)營商就可以執(zhí)行激活、認(rèn)證、注冊等步驟(步驟704)。相反,圖8例不了根據(jù)本發(fā)明的用于部署USIM信息506的一種不例實(shí)施方式。如在步驟801所示,USIM數(shù)據(jù)在運(yùn)營商808處生成并分發(fā)到USM銷售商806。在步驟802,USIM銷售商可以把USIM傳送到例如可信任的服務(wù)管理者(TSM)810。TSM經(jīng)任何安全管道(例如,無線或者有線接口)把USIM提供給蜂窩設(shè)備502 (步驟803)。如圖所示,所述安全管道是基于發(fā)行者安全區(qū)域(ISD)(步驟804),其中ISD在制造過程中燒制到安全元件(SE)中。一旦US頂成功地傳送到蜂窩設(shè)備,該蜂窩設(shè)備和運(yùn)營商就可以執(zhí)行激活、認(rèn)證、注冊等步驟(步驟805)。應(yīng)當(dāng)認(rèn)識(shí)到,盡管已經(jīng)關(guān)于一種方法的步驟的具體順序描述了本發(fā)明的某些方面,但是這些描述僅僅是對(duì)本發(fā)明的更廣泛方法的例示,而且可以根據(jù)需要被特定的應(yīng)用修改。在某些條件下,某些步驟可以被修改成不必要的或者可選的。此外,某些步驟或功能性可以添加到所公開的實(shí)施方式,或者兩個(gè)或更多個(gè)步驟的執(zhí)行次序可以改變。所有此類的變更都被認(rèn)為是包含在在此所公開和請(qǐng)求保護(hù)的本發(fā)明之內(nèi)。盡管以上具體描述已經(jīng)顯示、描述和指出了本發(fā)明在應(yīng)用到各種實(shí)施方式時(shí)的創(chuàng)新特征,但是,應(yīng)當(dāng)理解,在不背離本發(fā)明的情況下,本領(lǐng)域技術(shù)人員可以對(duì)所例示的設(shè)備或過程的形式與細(xì)節(jié)進(jìn)行各種忽略、替換和改變。以上描述是當(dāng)前執(zhí)行本發(fā)明所預(yù)期的最佳模式。這種描述不是要以任何方式作為限制,而應(yīng)當(dāng)視為對(duì)本發(fā)明的通用原理的例示。本發(fā)明的范圍應(yīng)當(dāng)參考權(quán)利要求來確定。
權(quán)利要求
1.一種向用戶裝備處的用戶提供無線服務(wù)的方法,包括 把訪問客戶端數(shù)據(jù)分發(fā)到第一實(shí)體; 經(jīng)第一通信鏈路把所述訪問客戶端數(shù)據(jù)從所述第一實(shí)體傳輸?shù)降诙?shí)體; 利用用戶憑證來認(rèn)證所述用戶裝備;及 在認(rèn)證所述用戶裝備之后,經(jīng)第二通信鏈路把所述訪問客戶端數(shù)據(jù)從所述第二實(shí)體傳送到所述用戶裝備。
2.如權(quán)利要求I所述的方法,其中,所述第一實(shí)體包括通用客戶識(shí)別模塊(USIM)銷售商,而所述第二實(shí)體包括可信任的服務(wù)管理者。
3.如權(quán)利要求2所述的方法,其中,訪問客戶端包括通用SM(USIM),而所述可信任的服務(wù)管理者執(zhí)行認(rèn)證。
4.如權(quán)利要求I所述的方法,其中,對(duì)訪問客戶端數(shù)據(jù)的傳送使所述用戶裝備把該訪問客戶端數(shù)據(jù)存儲(chǔ)到安全元件。
5.如權(quán)利要求I所述的方法,其中,所述第二通信鏈路包括安全無線連接。
6.如權(quán)利要求I所述的方法,其中,所述第一通信鏈路另外還包括遞送包含USIM數(shù)據(jù)的物理存儲(chǔ)設(shè)備。
7.如權(quán)利要求I所述的方法,其中,所述用戶憑證包括特定于用戶的賬戶信息。
8.一種無線裝置,包括 一條或多條通信鏈路,適于與服務(wù)提供商通信; 安全元件,配置成存儲(chǔ)訪問客戶端; 處理器;及 存儲(chǔ)設(shè)備,與所述處理器數(shù)據(jù)通信,該存儲(chǔ)設(shè)備包括計(jì)算機(jī)可執(zhí)行指令,所述指令配置成,當(dāng)被所述處理器執(zhí)行時(shí) 向所述服務(wù)提供商進(jìn)行認(rèn)證,其中成功的所述認(rèn)證使得所述服務(wù)提供商提供所述訪問客戶端 '及 響應(yīng)于接收到所述訪問客戶端,把該訪問客戶端存儲(chǔ)在所述安全元件中。
9.如權(quán)利要求8所述的裝置,其中,用戶裝備包括長距離的無線通信電路。
10.如權(quán)利要求9所述的裝置,其中,用戶裝備另外還包括短距離的無線通信電路。
11.如權(quán)利要求9所述的裝置,其中,用戶裝備另外還包括近場通信(NFC)電路。
12.如權(quán)利要求9所述的裝置,其中,所述安全元件是永久性地內(nèi)置到所述無線裝置中的防篡改的集成電路。
13.如權(quán)利要求9所述的裝置,其中,所述安全元件適于至少部分地基于訪問客戶端數(shù)據(jù)向網(wǎng)絡(luò)服務(wù)認(rèn)證用戶裝備。
14.一種用于在用戶裝備處安全地存儲(chǔ)訪問客戶端數(shù)據(jù)的方法,包括 把一個(gè)或多個(gè)用戶憑證發(fā)送到服務(wù)提供商,所述發(fā)送使得所述服務(wù)提供商至少部分地基于所述一個(gè)或多個(gè)用戶憑證認(rèn)證所述用戶裝備; 一旦實(shí)現(xiàn)了對(duì)所述用戶裝備的成功認(rèn)證,就經(jīng)通信鏈路接收所述訪問客戶端數(shù)據(jù);及 把所述訪問客戶端數(shù)據(jù)存儲(chǔ)在安全元件中。
15.如權(quán)利要求14所述的方法,其中,所述通信鏈路包括短距離無線通信電路。
16.如權(quán)利要求14所述的方法,其中,所述通信鏈路包括近場通信(NFC)電路。
17.如權(quán)利要求14所述的方法,其中,所述安全元件是永久性地內(nèi)置到裝置中的防篡改的集成電路。
18.一種客戶識(shí)別模塊(SIM)附件裝置,包括 一條或多條通信鏈路,適于與蜂窩設(shè)備通信; 容納器; 處理器 '及 存儲(chǔ)設(shè)備,與所述處理器數(shù)據(jù)通信,該存儲(chǔ)設(shè)備包括計(jì)算機(jī)可執(zhí)行指令,其中所述計(jì)算機(jī)可執(zhí)行指令配置成,當(dāng)被所述處理器執(zhí)行時(shí) 向所述蜂窩設(shè)備通知SIM設(shè)備的存在,其中所述SIM設(shè)備在所述容納器中存儲(chǔ)有第一SM數(shù)據(jù);及 響應(yīng)于接收到對(duì)SIM操作的請(qǐng)求,經(jīng)所述一條或多條通信鏈路提供對(duì)所述SM設(shè)備的訪問。
19.如權(quán)利要求18所述的裝置,其中,所述一條或多條通信鏈路包括近場通信(NFC)鏈路。
20.如權(quán)利要求18所述的裝置,其中,所述蜂窩設(shè)備包括安全元件,該安全元件配置成存儲(chǔ)一個(gè)或多個(gè)第二 SM數(shù)據(jù)。
全文摘要
用于認(rèn)證并準(zhǔn)予客戶端設(shè)備(例如,蜂窩式電話)訪問網(wǎng)絡(luò)的裝置與方法。在一種實(shí)施方式中,例如蜂窩電話公司的網(wǎng)絡(luò)服務(wù)提供商可以經(jīng)通用客戶識(shí)別模塊即“USIM”銷售商把用戶訪問(例如,USIM)憑證分發(fā)到服務(wù)管理者。服務(wù)管理者可以維護(hù)授權(quán)用戶的列表??蛻舳颂幍挠脩艨梢韵蚍?wù)管理者進(jìn)行認(rèn)證。一旦被認(rèn)證了,服務(wù)管理者就可以向所述用戶提供一組USIM憑證。當(dāng)該用戶期望使用無線網(wǎng)絡(luò)服務(wù)時(shí),用戶裝備就可以在該用戶裝備與網(wǎng)絡(luò)服務(wù)提供商之間建立無線鏈路。在認(rèn)證操作過程中,用戶裝備可以使用USIM憑證來向網(wǎng)絡(luò)服務(wù)提供商進(jìn)行認(rèn)證。在成功的認(rèn)證之后,網(wǎng)絡(luò)服務(wù)提供商可以向用戶裝備提供無線服務(wù)。
文檔編號(hào)H04L29/06GK102859966SQ201180021370
公開日2013年1月2日 申請(qǐng)日期2011年4月27日 優(yōu)先權(quán)日2010年5月3日
發(fā)明者S·V·謝爾, M·納拉格, R·卡巴勒羅 申請(qǐng)人:蘋果公司