無線網(wǎng)絡(luò)認(rèn)證裝置與方法
【專利說明】
[0001] 本申請是申請日為2011年4月27日、發(fā)明名稱為"無線網(wǎng)絡(luò)認(rèn)證裝置與方法"的 中國專利申請201180021370. 8的分案申請。
[0002] 優(yōu)先權(quán)與相關(guān)申請
[0003]本申請要求于2010年 11 月 22 日提交且題為"WIRELESSNETWORKAUTHENTICATION APPARATUSANDMETHODS"的共同擁有且共同未決的美國專利申請第12/952, 082號的優(yōu)先 權(quán),上述申請又要求于2010年5月3日提交且題為"WIRELESSNETWORKAUTHENTICATION SYSTEM"的美國臨時專利申請第61/330, 856號的優(yōu)先權(quán),以上兩個申請的全部內(nèi)容都通過 引用并入于此。
[0004] 本申請還與以下共同擁有且共同未決的美國臨時專利申請相關(guān):于2010年6月 14 日提交且題為"METHODSFORPROVISIONINGSUBSCRIBERIDENTITYDATAINAWIRELESS NETWORK"的第 61/354,653 號申請、于 2010年 7 月 21 日提交且題為"VIRTUALSUBSCRIBER IDENTITYMODULEDISTRIBUTIONSYSTEM" 的第 61/366, 505 號申請、于 2010 年 10 月 28 日 提交且題為"METHODSANDAPPARATUSFORACCESSCONTROLCLIENTASSISTEDROAMING" 的第61/407, 858號申請、于2010年10月28日提交且題為"MANAGEMENTSYSTEMSFOR MULTIPLEACCESSCONTROLENTITIES"的第61/407,861 號申請、于2010年 10月 28 日提交且 題為"METHODSANDAPPARATUSFORDELIVERINGELECTRONICIDENTIFICATIONCOMPONENTS OVERAWIRELESSNETWORK"的第61/407, 862號申請、于2010年10月28日提交且題為 "METHODSANDAPPARATUSFORSTORAGEANDEXECUTIONOFACCESSCONTROLCLIENTS" 的第61/407, 866號申請、于2010年10月29日提交且題為"ACCESSDATAPROVISIONING SERVICE"的第61/408, 504號申請、于2010年11月3日提交且題為"METHODSAND APPARATUSFORACCESSDATARECOVERYFROMAMALFUNCTIONINGDEVICE"的第61/409, 891 號申請、于 2010 年 11 月 4 日提交且題為"S頂U(kuò)LACRUMOFPHYSICALSECURITYDEVICE ANDMETHODS"的第61/410, 298號申請及于2010年11月12提交且題為"APPARATUSAND METHODSFORRECORDATIONOFDEVICEHISTORYACROSSMULTIPLESOFTWAREEMULATION" 的第61/413, 317號申請,以上每個申請的全部內(nèi)容都通過引入并入于此。
[0005] 版權(quán)
[0006] 本專利文檔的公開內(nèi)容的一部分包含受版權(quán)保護(hù)的素材。版權(quán)擁有者不反對在專 利商標(biāo)局的專利文件或記錄中出現(xiàn)的任何專利文檔或?qū)@_內(nèi)容所進(jìn)行的傳真復(fù)制,但 是除此之外在任何情況下都保留所有版權(quán)。
技術(shù)領(lǐng)域
[0007] 本發(fā)明總體上涉及通信系統(tǒng)領(lǐng)域,更特別地,在一個示例性方面涉及允許用戶設(shè) 備利用訪問控制客戶端向無線網(wǎng)絡(luò)(例如,蜂窩網(wǎng)絡(luò)、WLAN、WMAN等)進(jìn)行認(rèn)證的無線系統(tǒng)。
【背景技術(shù)】
[0008] 無線系統(tǒng)尤其用于向例如蜂窩式電話和計算機(jī)的用戶裝備提供語音和數(shù)據(jù)服務(wù)。
[0009] 傳統(tǒng)上,用戶裝備裝有客戶識別模塊(sm卡。s頂卡包括例如私鑰信息的安全信 息,這種信息可以在向蜂窩網(wǎng)絡(luò)認(rèn)證用戶設(shè)備時使用。
[0010] 可能不是總期望需要使用S頂卡。例如,在用戶設(shè)備中包括S頂卡槽的需求使設(shè) 備笨重而且增加成本。而且制造商或者服務(wù)提供商還必須對S頂卡庫存和分發(fā)進(jìn)行管理。
[0011] 用戶可能即使當(dāng)其不能很容易地獲得S頂卡時也想購買無線服務(wù)。
[0012] 因此,期望能夠提供改進(jìn)的方式,來為用戶提供購買和使用無線網(wǎng)絡(luò)服務(wù)的能力。
【發(fā)明內(nèi)容】
[0013] 本發(fā)明通過提供尤其是用于無線網(wǎng)絡(luò)認(rèn)證的裝置與方法來解決以上需求。
[0014] 在本發(fā)明的一方面,例如蜂窩式電話公司的網(wǎng)絡(luò)服務(wù)提供商可以經(jīng)通用客戶識別 模塊(US頂)銷售商或者直接向可信任的服務(wù)管理者分發(fā)訪問客戶端(例如,US頂)憑證。
[0015] 可信任的服務(wù)管理者可以維護(hù)授權(quán)用戶的列表。例如,這些用戶可以是該可信任 服務(wù)管理者的客戶或者相關(guān)的實體。用戶憑證可以由可信任的服務(wù)管理者針對每個授權(quán)用 戶維護(hù)。
[0016] 用戶裝備處的用戶可以利用一組用戶憑證向可信任的服務(wù)管理者進(jìn)行認(rèn)證。一旦 被認(rèn)證,可信任的服務(wù)管理者就可以為該用戶提供一組US頂憑證。US頂憑證可以存儲在該 用戶裝備的安全元件中。
[0017] 當(dāng)用戶期望使用無線網(wǎng)絡(luò)服務(wù)時,用戶裝備可以在該用戶裝備與網(wǎng)絡(luò)服務(wù)提供商 之間建立無線鏈路。在認(rèn)證操作過程中,用戶裝備可以使用存儲在該用戶裝備上的安全元 件中的USIM憑證來向網(wǎng)絡(luò)服務(wù)提供商進(jìn)行認(rèn)證。在成功的認(rèn)證之后,網(wǎng)絡(luò)服務(wù)提供商可以 為該用戶裝備提供無線服務(wù)(例如,手機(jī)語音與數(shù)據(jù)連接)。
[0018] 在本發(fā)明的另一方面,公開了用于向用戶裝備處的用戶提供無線服務(wù)的方法。在 一種實施方式中,該方法包括:向第一實體分發(fā)訪問客戶端數(shù)據(jù);經(jīng)第一通信鏈路把所述 訪問客戶端數(shù)據(jù)從所述第一實體傳輸?shù)降诙嶓w;利用用戶憑證來認(rèn)證所述用戶裝備;及 在認(rèn)證所述用戶裝備之后,經(jīng)第二通信鏈路把所述訪問客戶端數(shù)據(jù)從所述第二實體傳送到 所述用戶裝備。
[0019] 在所述方法的一種變型例中,第一實體包括US頂銷售商,而第二實體包括可信任 的服務(wù)管理者。
[0020] 在該方法的另一種變型例中,訪問客戶端包括通用S頂(US頂),而且可信任的服務(wù) 管理者執(zhí)行認(rèn)證。
[0021] 在又一種變型例中,對訪問客戶端數(shù)據(jù)的傳送使用戶裝備把該訪問客戶端數(shù)據(jù)存 儲到安全元件。
[0022] 在再一種變型例中,第二通信鏈路包括安全無線連接。
[0023] 在還有一種變型例中,第一通信鏈路另外包括遞送包含US頂數(shù)據(jù)的物理存儲設(shè) 備。
[0024] 在另一種變型例中,用戶憑證包括特定于用戶的賬戶信息。
[0025] 在本發(fā)明的另一方面,公開了一種無線裝置。在一種實施方式中,該裝置包括: 適于與服務(wù)提供商通信的一條或多條通信鏈路;配置成存儲訪問客戶端的安全元件;處理 器;及與所述處理器數(shù)據(jù)通信的存儲設(shè)備,該存儲設(shè)備包括計算機(jī)可執(zhí)行指令。所述指令配 置成,當(dāng)被處理器執(zhí)行時:向服務(wù)提供商進(jìn)行認(rèn)證,其中所述成功的認(rèn)證使得服務(wù)提供商提 供訪問客戶端;而且,響應(yīng)于接收到所述訪問客戶端,把該訪問客戶端存儲在安全元件中。
[0026] 在所述裝置的一種變型例中,用戶裝備包括長距離和短距離無線通信電路中的一 種或者兩者。
[0027] 在另一種變型例中,用戶裝備另外還包括近場通信(NFC)電路。
[0028] 在又一種變型例中,安全元件是永久性地內(nèi)置到裝置中的防篡改的集成電路。
[0029] 在另一種變型例中,安全元件適于至少部分地基于訪問客戶端數(shù)據(jù)來向網(wǎng)絡(luò)服務(wù) 認(rèn)證所述用戶裝備。
[0030] 在本發(fā)明的另一方面,公開了用于在用戶設(shè)備處安全地存儲訪問客戶端數(shù)據(jù)的方 法。在一種實施方式中,該方法包括:向服務(wù)提供商發(fā)送一個或多個用戶憑證,所述發(fā)送使 得服務(wù)提供商至少部分地基于所述一個或多個用戶憑證認(rèn)證所述用戶裝備;一旦完成了對 用戶裝備的成功認(rèn)證,就經(jīng)通信鏈路接收訪問客戶端數(shù)據(jù);并且把該訪問客戶端數(shù)據(jù)存儲 在安全元件中。
[0031] 在一種變型例中,通信鏈路包括短距離無線通信電路,例如近場通信(NFC)電路。
[0032] 在另一種變型例中,安全元件是永久性地內(nèi)置到裝置中的防篡改的集成電路。
[0033] 在本發(fā)明的又一方面,公開了一種客戶識別模塊(SIM)附件裝置。在一種實施方 式中,該裝置包括:適于與蜂窩設(shè)備通信的一條或多條通信鏈路;容納器(receptacle);處 理器;及與處理器數(shù)據(jù)通信的存儲設(shè)備,該存儲設(shè)備包括計算機(jī)可執(zhí)行指令。所述計算機(jī)可 執(zhí)行指令配置成,當(dāng)被處理器執(zhí)行時:向蜂窩設(shè)備通知SIM設(shè)備的存在,該SIM設(shè)備在其容 納器中存儲有第一S頂數(shù)據(jù);并且,響應(yīng)于接收到對S頂操作的請求,經(jīng)所述一條或多條通 信鏈路提供對該SIM設(shè)備的訪問。
[0034] 在一種變型例中,蜂窩設(shè)備包括安全元件,該安全元件配置成存儲一個或多個第 二S頂數(shù)據(jù)。
[0035] 在本發(fā)明的再一方面,公開了一種計算機(jī)可讀介質(zhì)。在一種實施方式中,所述介質(zhì) 包括其上存儲有訪問客戶端(例如,虛擬US頂)數(shù)據(jù)的安全元件(例如,安全集成電路),所 述數(shù)據(jù)在被訪問時允許對一種或多種網(wǎng)絡(luò)服務(wù)的用戶訪問。
[0036] 從附圖及以下對優(yōu)選實施方式的具體描述,本發(fā)明的更多特征、本質(zhì)與各種優(yōu)點 將更加顯見。
【附圖說明】
[0037] 從以下闡述的具體描述并聯(lián)系附圖,本發(fā)明的特征、目的與優(yōu)點將變得更加顯見, 附圖中:
[0038] 圖1是現(xiàn)有技術(shù)認(rèn)證與密鑰協(xié)商(AKA)過程的圖。
[0039] 圖2是由US頂執(zhí)行的現(xiàn)有技術(shù)AKA操作的圖。
[0040] 圖3是用于客戶識別模塊(SIM)的現(xiàn)有技術(shù)硬件體系結(jié)構(gòu)的圖。
[0