促進接入終端身份的認證的制作方法

文檔序號：7849108閱讀：127來源：國知局

專利名稱：促進接入終端身份的認證的制作方法
技術領域：
本文揭示的各種特征大體上涉及無線通信系統(tǒng)，且至少一些特征涉及用于促進接入終端身份的認證以及接入終端身份與用戶身份之間的使用關系的裝置和方法。
背景技術：
例如移動電話、尋呼機、無線調制解調器、個人數字助理、個人信息管理器(PM)、個人媒體播放器、掌上型計算機、膝上型計算機或具有通過無線信號與其它裝置通信的處理器的任何其它裝置等接入終端正在變得越來越流行且更為頻繁地使用。在無線通信網絡中使用這些接入終端的訂戶通常是由無線通信網絡認證，之后才被準予接入以起始和/或接收呼叫以及發(fā)射和/或接收數據。傳統(tǒng)上，無線通信網絡通過檢驗包括加密信息的用戶身份來認證訂戶，所述加密信息包含于例如以下各者中且由其提供用于GSM網絡的接入終端的訂戶識別模塊(SIM)，用于UMTS/LTE網絡的全球訂戶識別模塊(USIM)，以及用于CDMA網絡的可裝卸式用戶識別模塊(RUM)。這些SM、USIM和RUM通常是基于芯片和引腳的卡，其含有關于接入終端的訂戶/用戶的信息，且可從接入終端移除。配備有這些可裝卸式用戶身份模塊的接入終端的用戶通常能夠從一個接入終端移除SM、USM或RUM卡且將卡放置于另一接入終端中，從而將其訂戶信息容易地從一個接入終端轉移到另一接入終端。雖然常規(guī)的無線通信網絡適于認證正在接入終端中使用的訂戶卡(例如，SM、USIM, RUM)，但也可能希望無線通信網絡認證接入終端自身，且基于接入終端認證的結果來對接入終端拒絕或允許網絡接入。除了訂戶卡之外，網絡操作者將希望認證接入終端存在多種原因。一個常見原因包含(例如)認證接入終端以便阻止未經授權的制造商生產或翻新未經批準在無線通信網絡內使用的接入終端(例如，灰市接入終端)。通過利用認證接入終端的認證系統(tǒng)，網絡操作者可拒絕對由未經授權的制造商生產或翻新的未能以有效的接入終端識別來進行認證的那些接入終端的服務。另一常見原因涉及部分地通過使用未經授權的接入終端實施的恐怖分子攻擊的風險。政府實體最近已表達網絡操作者應能夠追尋、跟蹤、認證和停用在網絡操作者的無線通信網絡內操作的所有接入終端的強烈希望。具有認證接入終端且相應地拒絕服務的能力將在阻止犯罪活動方面證明為有利的。當前存在使得無線通信網絡能夠查詢接入終端的身份(ID)的機制。舉例來說，無線通信網絡(例如，GSM網絡、WCDMA網絡、TD-SCDMA網絡)可查詢和檢查符合3GPP的接入終端的國際移動設備身份(MEI)號碼，或者無線通信網絡(例如，CDMA)可查詢和檢查符合3GPP-2的接入終端的移動設備識別號(MEID)。然而，這些現(xiàn)存的用于獲得接入終端的ID的機制無法提供從接入終端接收到的ID實際上屬于所述接入終端的任何保證。舉例來說，未經授權的接入終端可能不合法地復制或用其它方式獲得經授權接入終端的ID，且接著將所述盜版的ID提供到請求的無線通信網絡。在此情形中，常規(guī)的無線通信網絡不能在經授權接入終端與采用偽造ID的未經授權的接入終端之間進行區(qū)分。因此，需要適于發(fā)現(xiàn)且驗證接入終端的身份的方法、設備和/或系統(tǒng)。

發(fā)明內容
各種特征促進認證接入終端身份以及接入終端身份與用戶身份之間的使用關系。一個特征提供適于促進此認證的接入終端。這些接入終端可包括處理電路，其耦合到適于促進無線通信的通信接口、包含用戶身份的用戶身份模塊以及存儲媒體。用戶身份可包括國際移動訂戶身份(MSI)。根據一些實施方案，用戶身份模塊可包括可裝卸式用戶身份模塊，例如訂戶身份模塊(SIM)、全球訂戶身份模塊(USIM) XDMA訂戶識別模塊(CSM)或可裝卸式用戶識別模塊(RUM)。存儲媒體可包含存儲在其中的驗證密鑰和接入終端身份。接入終端身份可包括國際移動設備身份(IMEI)或移動設備身份(MEID)中的一者。處理電路可適于確定來自所述用戶身份模塊的用戶身份未經記錄以供與接入終端一起使用。處理電路可產生包含用戶身份和接入終端身份的報告消息。報告消息可響應于接收到請求發(fā)射或響應于確定用戶身份尚未經記錄以使用而產生。所述報告消息可適于報告用戶身份與接入終端身份之間的使用關系。處理電路可用使用驗證密鑰產生的簽名來簽署報告消息，其中所述簽名可認證接入終端經授權以使用包含在報告消息中的接入終端身份。使用通信接口，處理電路可將包含經簽署報告消息的發(fā)射發(fā)送到驗證服務器。此發(fā)射可作為短消息接發(fā)服務(SMS)消息、基于包的消息或信令消息中的一者來發(fā)送。根據各種實施例，所述處理電路可進一步適于經由通信接口接收確認，其中所述確認指示用戶身份與接入終端身份之間的報告的使用關系經驗證且記錄。處理電路可接著在存儲媒體中將用戶身份存儲為經記錄以供與接入終端一起使用。根據一特征還提供一種在接入終端上操作的方法。在這些方法的至少一個實施方案中，例如可將驗證密鑰存儲在存儲媒體中?？纱_定來自接入終端中的用戶身份模塊的用戶身份未經記錄以供與接入終端一起使用?？僧a生包含用戶身份和接入終端身份的報告消息。所述報告消息可適于報告用戶身份與接入終端身份之間的使用關系。用基于驗證密鑰產生的簽名來簽署報告消息，其中所述簽名適于認證接入終端經授權以使用包含在報告消息中的接入終端身份?？稍诎l(fā)射中將經簽署報告消息發(fā)送到驗證服務器。額外特征提供適于促進認證接入終端身份以及接入終端身份與用戶身份之間的使用關系的驗證服務器。這些驗證服務器可包括通信接口，其適于促進無線通信；存儲媒體；以及處理電路，其耦合到所述通信接口和存儲媒體。所述通信接口、存儲媒體和處理電路可與設備身份寄存器(EIR) —體地實施。所述處理電路可適于接收驗證密鑰且將所述驗證密鑰存儲在存儲媒體中。處理電路可經由通信接口接收來自接入終端的發(fā)射。所述發(fā)射可包含報告消息，所述報告消息報告接入終端身份與所述接入終端中的用戶身份之間的使用關系，其中所述報告消息經簽署有簽名。處理電路可使用驗證密鑰來認證報告消息的簽名以檢驗接入終端經授權以使用包含在報告消息中的接入終端身份。根據一些實施例，所述處理電路可進一步適于將接入終端身份與用戶身份之間的使用關系記錄在EIR可存取的數據庫中。處理電路在與EIR —體地實施時也可適于經由通信接口接收來自網絡實體的驗證請求發(fā)射，所述驗證請求發(fā)射包含用戶身份和接入終端身份；查詢數據庫是否存在檢驗出用戶身份與接入終端身份之間的有效使用關系的記錄；在數據庫中的記錄檢驗出用戶身份與接入終端身份之間的使用關系的情況下確定接入終端經授權；以及在數據庫中的記錄證明所述使用關系不成立的情況下或者在數據庫中沒有記錄檢驗出用戶身份與接入終端身份之間的使用關系的情況下確定接入終端未經授權。根據一特征還提供一種在驗證服務器上操作的方法。根據這些方法的一個或一個以上實施方案，可接收驗證密鑰且將所述驗證密鑰存儲在存儲媒體中?？山邮諄碜越尤虢K端的發(fā)射，所述發(fā)射可包含報告消息，所述報告消息報告接入終端身份與接入終端中的用戶身份之間的使用關系，其中報告消息經簽署有簽名?？墒褂抿炞C密鑰來認證報告消息的簽名以檢驗接入終端經授權以使用包含在報告消息中的接入終端身份。這些方法可進一步包含將接入終端身份與用戶身份之間的使用關系記錄在設備身份寄存器(EIR)可存取的數據庫中。另外，可接收來自通信網絡的實體的驗證請求發(fā)射，所述驗證請求發(fā)射包含用戶身份和接入終端身份?？刹樵償祿焓欠翊嬖跈z驗出用戶身份與接入終端身份之間的使用關系的記錄。在記錄檢驗出用戶身份與接入終端身份之間的使用關系的情況下可確定接入終端經授權。另一方面，在數據庫中的記錄證明所述使用關系不成立的情況下或者在數據庫中沒有記錄檢驗出用戶身份與接入終端身份之間的使用關系的情況下可確定接入終端未經授權。

圖I是說明其中可應用本發(fā)明的一個或一個以上實施方案的無線通信系統(tǒng)的實例的框圖。圖2是說明用于認證接入終端的身份且記錄接入終端身份與訂戶身份之間的使用關系的網絡環(huán)境的實例的框圖。圖3是說明在一個或一個以上接入終端中和驗證服務器中提供驗證密鑰的實例的流程圖。圖4(包括圖4A和4B)是說明認證接入終端身份且記錄接入終端身份與用戶身份之間的關系的實例的流程圖。圖5是說明根據至少一個實施方案的接入終端的選擇組件的框圖。圖6是說明在例如圖5的接入終端等接入終端上操作的方法的至少一個實施方案的實例的流程圖。圖7是說明根據至少一個實施方案的驗證服務器的選擇組件的框圖。圖8是說明在例如圖7的驗證服務器等驗證服務器上操作的方法的至少一個實施方案的實例的流程圖。
具體實施方式
在以下描述中，給出具體細節(jié)以提供對所描述實施方案的詳盡理解。然而，所屬領域的技術人員將理解，可在沒有這些具體細節(jié)的情況下實踐所述實施方案。舉例來說，可以框圖展示電路，以便不會以不必要的細節(jié)使實施方案混淆。在其它例子中，可詳細展示眾所周知的電路、結構和技術以便不使實施方案混淆。詞“示范性”在本文中用以意味著“充當實例、例子或說明”。本文描述為“示范性”的任一實施方案或實施例不一定解釋為比其它實施例或實施方案優(yōu)選或有利。同樣，術語“實施例”不要求所有實施例均包含所論述的特征、優(yōu)點或操作模式。如本文使用的術語“基站”和“接入終端”意在以廣義方式來解釋。舉例來說，“基站”可指代促進到通信或數據網絡的無線連接性(用于一個或一個以上接入終端)的裝置?！盎尽钡膶嵗砂臼瞻l(fā)臺(BTS)、節(jié)點B裝置、毫微微小區(qū)、微微小區(qū)等。此外，“接入終端”可包含移動電話、尋呼機、無線調制解調器、個人數字助理、個人信息管理器(PM)、個人媒體播放器、掌上型計算機、膝上型計算機和/或至少部分地通過無線或蜂窩式網絡通信的其它移動通信/計算裝置。概述一個特征提供用于認證接入終端經授權以使用接入終端身份的設備和方法。接入終端可初始具備源自管理機構的驗證密鑰。在操作期間，接入終端可確定來自接入終端中的用戶身份模塊的用戶身份當前未經記錄以與接入終端一起使用。接入終端可產生包含用戶身份和接入終端身份的報告消息，以報告用戶身份與接入終端身份之間的使用關系。所述報告消息經簽署有一簽名，所述簽名是基于驗證密鑰而產生以認證接入終端是接入終端身份的經授權用戶。接入終端接著將報告消息發(fā)送到驗證服務器。另一特征提供用于記錄接入終端身份與用戶身份之間的使用關系的設備和方法。驗證服務器可具備源自管理機構的驗證密鑰。驗證服務器可接收來自接入終端的報告消息，其中所述報告消息報告接入終端身份與來自接入終端中的用戶身份模塊的用戶身份之間的使用關系。所述報告消息經簽署有一簽名，所述簽名由驗證服務器使用驗證密鑰來認證。由于由接入終端使用以簽署報告消息的驗證密鑰僅經由經授權廠商而可用，因此經授權的簽名指示由接入終端發(fā)送的接入終端身份是有效的，且接入終端是經授權裝置。驗證服務器可將接入終端身份與用戶身份之間的使用關系記錄在設備身份寄存器(EIR)可存取的數據庫中，使得網絡實體可驗證接入終端經授權以在網絡上使用。示范性網絡環(huán)境圖I是說明其中可應用本發(fā)明的一個或一個以上實施方案的無線通信系統(tǒng)10的實例的框圖。如圖I中說明，無線通信網絡10大體上包含多個接入終端(也稱為遠程臺、移動臺、訂戶單元或用戶設備)12a到12d、多個基站(也稱為基站收發(fā)臺(BTS)、節(jié)點B裝置、毫微微小區(qū)、微微小區(qū)等)14a到14c、基站控制器(BSC)(也稱為無線電網絡控制器或包控制功能)16、移動交換中心(MSC)或交換機18、包數據服務節(jié)點(PDSN)或因特網聯(lián)網功能(IWF) 20、公共交換電話網絡(PSTN)22(通常是電話公司)，以及包交換數據網絡24(通常是因特網協(xié)議(IP)網絡)。無線通信網絡10還可包含接入網絡認證、授權和記賬設備(AN-AAA) 26、28，用于提供用戶賬戶狀態(tài)(正常、關閉、欠費)且用于維持和存儲此用戶賬戶信息。為了簡單，展示四個接入終端12a到12d、三個基站14a到14c、一個BSC 16、一個MSC18以及一個H)SN 20。所屬領域的技術人員將了解，可存在任何數目的接入終端12、基站14、BSC 16、MSC 18 以及 PDSN 20。在一個實施例中，無線通信網絡10是包數據服務網絡。接入終端12a到12d可為若干不同類型的無線通信裝置中的任一者，例如便攜式電話、連接到運行基于IP的網絡瀏覽器應用程序的膝上型計算機的蜂窩式電話、具有相關聯(lián)的免提車載套件的蜂窩式電話、運行基于IP的網絡瀏覽器應用程序的個人數據助理(PDA)、并入到便攜式計算機中的無線通信模塊，或例如在無線本地回路或儀表讀數系統(tǒng)中可能找到的固定位置通信模塊。在最一般的實施例中，接入終端可為任一類型的通信單元。接入終端12a到12d可經配置以執(zhí)行一個或一個以上無線包數據協(xié)議，例如在例如EIA/TIA/IS-707標準中描述的無線包數據協(xié)議。在特定實施方案中，接入終端12a到12d產生以IP網絡24為目的地的IP包，且使用點對點協(xié)議(PPP)將所述IP包封裝為幀。在一個實施例中，IP網絡24耦合到PDSN 20，PDSN 20耦合到MSC 18，MSC耦合到BSC 16和PSTN 22，且BSC 16經由經配置以用于根據若干已知協(xié)議中的任一者來傳輸語音和/或數據包的有線線路耦合到基站14a到14c，所述協(xié)議包含例如E1、Tl、異步傳送模式(ATM)、因特網協(xié)議(IP)、點對點協(xié)議(PPP)、幀中繼、高位速率數字訂戶線(HDSL)、不對稱數字訂戶線(ADSL)或其它通用數字訂戶線設備和服務(xDSL)。在其它實施方案中，BSC16直接耦合到PDSN 20，且MSC 18未耦合到PDSN 20。在無線通信網絡10的典型操作期間，基站14a到14c接收和解調來自從事電話呼口4、網絡瀏覽或其它數據通信的各種接入終端12a到12d的反向鏈路信號集合。由給定基站14a到14c接收的每一反向鏈路信號是在所述基站14a到14c內處理。每一基站14a到14c可通過調制和發(fā)射前向鏈路信號集合到接入終端12a到12d來與多個接入終端12a到12d通信。舉例來說，如圖I所示，基站14a同時與第一接入終端12a和第二接入終端12b通信，且基站14c同時與第三接入終端12c和第四接入終端12d通信。將所得的包轉發(fā)到BSC 16, BSC 16提供呼叫資源分配和移動性管理功能性，包含針對特定接入終端12a到12d從一個基站14a到14c到另一基站14a到14c的呼叫的軟越區(qū)切換的協(xié)調。舉例來說，接入終端12c同時在與兩個基站14b、14c通信。最終，當接入終端12c移動足夠遠離基站中的一者14c時，呼叫將越區(qū)切換到另一基站14b。如果發(fā)射是常規(guī)的電話呼叫，那么BSC 16將把接收的數據路由到MSC 18,MSC 18提供額外路由服務以用于與PSTN 22介接。如果發(fā)射是基于包的發(fā)射，例如以IP網絡24為目的地的數據呼叫，那么MSC 18將把數據包路由到I3DSN 20, PDSN 20將把包發(fā)送到IP網絡24?；蛘?，BSC 16將把包直接路由到I3DSN 20，PDSN 20將包發(fā)送到IP網絡24。接入終端12A到12D中的每一者包含一身份。舉例來說，對于符合3GPP的接入終端(例如，適于在包括GSM網絡、WCDMA網絡或TD-SCDMA網絡、LTE網絡的無線通信網絡10中使用的接入終端)，接入終端12A到12D可各自包括一國際移動設備身份(MEI)號碼。作為另一實例，對于符合3GPP2的接入終端(例如，適于在包括CDMA網絡的無線通信網絡10中使用的接入終端)，接入終端12Α到12D可各自包括一移動設備識別符(MEID)。除了接入終端身份外，接入終端12Α到12D中的每一者包含用戶身份(或訂戶身份)，其識別使用特定接入終端的訂戶。舉例來說，取決于無線通信網絡10的特定實施方案，每一接入終端12Α到12D可包含可裝卸式訂戶識別模塊(例如，SIM、USIM、CSIM)或可裝卸式用戶識別模塊(RUM)。
示范性接入終端和訂戶認證環(huán)境本發(fā)明的某些方面提供用于促進認證接入終端(或裝置)身份和用于記錄接入終端身份與用戶身份之間的使用關系的技術。圖2是說明用于認證接入終端的身份且用于記錄接入終端身份與訂戶身份之間的使用關系的網絡環(huán)境200的實例的框圖。如圖2中說明，網絡可包含驗證服務器202，其適于執(zhí)行接入終端204的一個或一個以上認證/驗證功能。驗證服務器202可實施為設備身份寄存器(EIR) 206的一部分，或可以通信方式連接到EIR206和/或連接到EIR 206可存取的數據庫208。數據庫208包含經授權以使用(例如，力口入白名單)或未經授權以使用(例如，加入黑名單)的多個接入終端身份。EIR 206可以集中式或分布式拓撲來部署，且可例如由網絡操作者、政府和/或工業(yè)組織來部署。驗證服務器202和接入終端204兩者均具備源自管理機構210的驗證密鑰。此驗證密鑰可包括例如加密密鑰(例如，認證密鑰)或數字憑證。管理機構210可包括發(fā)出適于證明公鑰的所有權的驗證密鑰的可信賴的實體。根據至少一個實施方案，管理機構210可按廠商212的請求將驗證密鑰發(fā)出到接入終端204的經授權裝置廠商212。驗證密鑰可由管理機構210提供為廠商特定的驗證密鑰或型號特定的驗證密鑰。也就是說，驗證密鑰可由管理機構210提供以與來自廠商212的所有型號的接入終端一起使用(廠商特定)，或其可經提供以與來自廠商212的僅特定型號的接入終端一起使用(型號特定)。在每一型號被指派有唯一驗證密鑰(型號特定)的情況下，驗證密鑰的指派可作為裝置批準過程的一部分被執(zhí)行，廠商212借此從管理機構210獲得用于特定型號的接入終端的網絡接入許可證。在廠商212獲得驗證密鑰之后，廠商212可將經指派的驗證密鑰(或從經指派驗證密鑰導出的多樣化密鑰)安全地存儲到其接入終端產品中。舉例來說，廠商212可將驗證密鑰加載到接入終端204的安全存儲媒體中，使得驗證密鑰無法由攻擊者讀出。除了為每一接入終端204提供驗證密鑰之外，管理機構210還將驗證密鑰(或從驗證密鑰導出的多樣化密鑰)安全地提供到驗證服務器202。以此方式，接入終端204可采用驗證密鑰以用于簽署與驗證服務器202的通信，且驗證服務器202可采用對應的驗證密鑰來檢驗來自接入終端204的此些經簽署的通信。根據一特征，接入終端204適于識別與接入終端204采用的用戶身份模塊(例如，SIM、USIM、RUIM、CSIM)相關聯(lián)的用戶身份(例如，國際移動訂戶身份(IMSI))是否不同于先前記錄以與接入終端204 —起使用的用戶身份。當確定用戶身份不同時，接入終端204可產生和發(fā)送一發(fā)射到驗證服務器，其包含用戶身份(例如，頂SI)和接入終端204的身份(例如，國際移動設備身份(IMEI)、移動設備身份(MEID))，所述發(fā)射由接入終端204使用驗證密鑰簽署。所述發(fā)射可由接入終端204在識別出新用戶身份后即刻自動產生和發(fā)送，或所述發(fā)射可由驗證服務器202在某個指示后即刻請求，所述指示是用戶身份與接入終端身份的組合當前未經記錄為一起使用(例如，之前從未一起使用、最近未一起使用等)。驗證服務器202經由無線通信網絡214接收發(fā)射，無線通信網絡214可類似于圖I中的無線通信網絡10。在接收到發(fā)射后，驗證服務器202可即刻通過使用驗證服務器202中提供的驗證密鑰來驗證簽名而認證所述發(fā)射。如果發(fā)射經驗證，指示接入終端是經授權裝置，那么驗證服務器202可以用戶身份與接入終端身份之間的新關系來更新數據庫208。由于由未經授權的廠商生產的接入終端或嘗試偽造身份(例如，頂EI、MEID)的接入終端將不具有驗證密鑰，因此驗證服務器202將能夠識別這些接入終端。以此方式，如果無線通信網絡214的某個實體試圖檢驗接入終端204且其活動的訂戶是有效的，那么所述實體可對EIR 206做出驗證請求，如箭頭216指示。在接收到此驗證請求后，EIR 206可即刻在數據庫208中執(zhí)行檢查以確定用戶身份是否經授權以與接入終端身份一起使用。促進對接入終端和驗證服務器的驗證密鑰提供圖3是說明在一個或一個以上接入終端中和驗證服務器中提供驗證密鑰的實例的流程圖。在此實例中，圖2的驗證服務器202、接入終端204、管理機構 210和廠商212用于說明目的。經授權接入終端廠商212可在步驟302處將申請或請求驗證密鑰的發(fā)射發(fā)送到管理機構210。管理機構210可在步驟304處檢驗廠商212的資格且可將驗證密鑰安全地指派給合格的廠商212。管理機構210檢驗廠商212的資格以便確保不會將驗證密鑰給予將使用驗證密鑰來規(guī)避由本發(fā)明提供的安全性的實體。一旦驗證密鑰經指派，廠商212便可在步驟306處將驗證密鑰(或從驗證密鑰導出的多樣化密鑰)安全地提供到廠商212的接入終端204中。舉例來說，廠商212可將驗證密鑰加載到每一接入終端204的安全存儲媒體中，使得驗證密鑰無法由攻擊者讀出。在廠商212將驗證密鑰安全地存儲在每一經授權接入終端204中的情況下，未經授權的接入終端將不具有獲得驗證密鑰的能力。在無驗證密鑰的情況下，這些未經授權的接入終端不能規(guī)避本文描述的安全性措施。在步驟308處，管理機構210還將驗證密鑰(或從驗證密鑰導出的多樣化密鑰)安全地提供到驗證服務器202中。舉例來說，管理機構210可經由安全或經加密發(fā)射來與驗證服務器202通信以將驗證密鑰提供到驗證服務器202。驗證服務器202也可將驗證密鑰存儲在安全存儲媒體中，使得驗證密鑰無法由攻擊者讀出。促進使用驗證密鑰的接入終端認證圖4(包括圖4A和4B)是說明認證接入終端身份且記錄接入終端身份與用戶身份之間的關系的實例的流程圖。在此實例中，圖2的接入終端204、驗證服務器202、數據庫208和設備身份寄存器(EIR) 206用于說明目的。首先，接入終端204可在步驟402處從用戶身份模塊讀取用戶身份(例如，頂SI)。舉例來說，接入終端204可適于在每當接入終端204被加電時讀取用戶身份。用戶身份模塊包括適于以使得用戶身份可被改變的方式存儲用戶身份的模塊。舉例來說，用戶身份模塊可包括可裝卸式用戶身份模塊(例如，SIM、USIM, RUIM, CSIM)。在其它實施方案中，用戶身份可包括不可裝卸而是可再編程的模塊，例如經配置以用于適于CDMA的通信網絡的非適于RUM的接入終端。在這些實施例中，不可裝卸的用戶身份模塊中的用戶身份可通過空中服務提供(OTASP)或空中參數管理(OTAPA)而改變。在步驟404處，接入終端204確定用戶身份是否當前經記錄以供與接入終端204一起使用。舉例來說，接入終端204可將從用戶身份模塊讀取的用戶身份與在最近成功注冊中采用的用戶身份進行比較。也就是說，接入終端204將用戶身份與最后經成功記錄以供與接入終端204 —起使用的用戶身份進行比較。在其它實施方案中，接入終端204可確定用戶身份是否曾經已記錄，或者是否已在確定的時期內記錄以供與接入終端204 —起使用。
如果接入終端204確定用戶身份經記錄以供與接入終端204 —起使用，那么其可繼續(xù)正常操作。然而，響應于確定用戶身份當前未經記錄，或任選地響應于來自驗證服務器202的請求406，接入終端204可在步驟408處產生用于驗證服務器202的報告消息。所述報告消息包含訂戶(例如，頂SI)和接入終端204(例如，頂EI、MEID)兩者的身份。報告消息還可包含額外信息，例如時戳、計數器、廠商ID、型號以及其它信息中的一者或一者以上。除了獲得用于報告消息的信息之外，接入終端204基于驗證密鑰410而產生用于報告消息的簽名。舉例來說，接入終端204可基于驗證密鑰或基于使用任何已知的密鑰導出算法從經指派的驗證密鑰導出的基于媒體或會話的密鑰來計算簽名。在步驟412處，接入終端204將包含經簽署報告消息(例如，簽名、接入終端身份和用戶身份)的發(fā)射發(fā)送到驗證服務器202。根據各種實施方案，接入終端204可經由任何用于通過無線通信網絡214發(fā)送發(fā)射的裝置來發(fā)送所述發(fā)射。舉例來說，所述發(fā)射可作為短消息服務(SMS)、基于包的消息或具有預定義格式的信令消息來發(fā)送。當驗證服務器202接收到包括經簽署報告消息的發(fā)射時，驗證服務器202在步驟414處檢索與接入終端204相關聯(lián)的驗證密鑰。舉例來說，驗證服務器202可采用接入終端204的身份(例如，IMEI.MEID)和/或與接入終端204相關聯(lián)的廠商信息，前提是此廠商信息包含在接收的發(fā)射中。采用與接入終端204相關聯(lián)的相應驗證密鑰，驗證服務器在步驟416處檢驗報告消息的簽名以認證接入終端204經授權以使用包含在報告消息中的接入終端身份。如果簽名有效，那么驗證服務器202可更新數據庫208以存儲接入終端204的身份與訂戶的身份之間的新關系的記錄，如步驟418中指示。然而如果簽名不是有效的，那么驗證服務器202可簡單地忽略報告消息。在成功認證后和/或在成功更新數據庫208中的記錄后，驗證服務器202可即刻在步驟420處將確認發(fā)射發(fā)送到接入終端204，確認簽名經檢驗和/或數據庫208已經更新。確認發(fā)射可取決于報告消息發(fā)射的形式而呈各種形式中的一種。如果報告消息發(fā)射是作為短消息服務(SMS)發(fā)射來發(fā)送，那么確認發(fā)射可包括例如層2確認或SMS確認。如果報告消息發(fā)射是作為基于包的消息來發(fā)送，那么確認發(fā)射可包括例如用于TCP包遞送的TCP確認。此外，如果報告消息發(fā)射是作為信令消息來發(fā)送，那么確認發(fā)射可包括例如信令層確認?；蛘?，驗證服務器202可返回具有用于報告消息的預定義數據格式的顯式確認消息。在接收到確認發(fā)射后，接入終端204將用戶身份存儲為經記錄以供與接入終端204 一起使用的用戶身份，如步驟422處所示。接入終端204可隨后在正常使用下操作。在接入終端204在無線通信網絡上的使用期間，接入終端204可請求對來自網絡的某些服務的接入，或者網絡(或網絡的某個實體)出于一個或一個以上特定原因而可能希望檢驗接入終端204的狀態(tài)。在此情況下，服務網絡中的一個或一個以上實體(例如，移動交換域中的MSC 18 (見圖I)或包交換域中的服務GPRS支持節(jié)點(SGSN))可請求EIR206檢驗接入終端204的身份的狀態(tài)，如步驟424處描繪。根據至少一個實施方案，EIR206可接收包含接入終端204的身份(例如，IMEI.MEID)和訂戶的身份(例如，IMSI)的此請求。EIR 206在步驟426處檢查數據庫208。如果數據庫208處存儲的記錄指示接入終端204的身份與用戶身份相關聯(lián)和/或經授權以與用戶身份一起使用，那么EIR 206可在步驟428處得出接入終端204經授權的結論。相反，如果數據庫208處存儲的記錄指示接入終端204的身份不與用戶身份相關聯(lián)和/或未經授權以與用戶身份一起使用，那么EIR 206可在步驟428處得出接入終端204未經授權以與網絡一起使用的結論。因為僅經授權裝置具備驗證密鑰，且由于驗證密鑰用以更新數據庫208處的記錄，因此僅經授權接入終端可被準許使用網絡。向網絡報告未經記錄以供與接入終端身份一起使用的用戶身份的任何接入終端均可被確定為未經授權或不合法的接入終端，且可被阻止使用網絡。示范性接入終端圖5是說明根據至少一個實施方案的接入終端500的選擇組件的框圖。接入終端500可包含處理電路502，其耦合到通信接口 504、存儲媒體506以及用戶身份模塊508。處理電路502經布置以獲得、處理和/或發(fā)送數據，控制數據存取和存儲，發(fā)出命令，以及控制其它所需操作。在至少一個實施例中，處理電路502可包括經配置以實施由適當媒體提供的所需編程的電路。舉例來說，處理電路502可實施為以下各項中的一者或一者以上處理器、控制器、多個處理器和/或經配置以執(zhí)行包含例如軟件和/或固件指令等可執(zhí)行指令的其它結構，和/或硬件電路。處理電路502的實施例可包含通用處理器、數字信號處理器(DSP)、專用集成電路(ASIC)、現(xiàn)場可編程門陣列(FPGA)或其它可編程邏輯組件、離散門或晶體管邏輯、離散硬件組件或其經設計以執(zhí)行本文描述的功能的任一組合。通用處理器可為微處理器，但在替代方案中，處理器可為任何常規(guī)處理器、控制器、微控制器或狀態(tài)機。處理器還可實施為計算組件的組合，例如DSP與微處理器的組合、若干微處理器、結合DSP核心的一個或一個以上微處理器或任何其它此配置。處理電路502的這些實例是用于說明且還預期有在本發(fā)明的范圍內的其它合適配置。通信接口 504經配置以促進接入終端500的無線通信。通信接口 504可包含至少一個發(fā)射器510和/或至少一個接收器512 (例如，一個或一個以上發(fā)射器/接收器鏈)。此外，一個或一個以上天線(未圖示)可電耦合到通信接口 504。存儲媒體506可表示用于存儲編程和/或數據的一個或一個以上裝置，例如處理器可執(zhí)行代碼或指令(例如，軟件、固件)、電子數據、數據庫或其它數字信息。根據至少一個實施例，包括存儲媒體506的此些裝置中的一者或一者以上可包括安全存儲裝置。存儲媒體506可為可由通用或專用處理器存取的任何可用媒體。舉例來說且無限制，存儲媒體506可包含只讀存儲器(例如，R0M、EPR0M、EEPR0M)、隨機存取存儲器(RAM)、磁盤存儲媒體、光學存儲媒體、快閃存儲器裝置和/或用于存儲信息的其它非暫時性計算機可讀媒體。存儲媒體506可耦合到處理電路502以使得處理電路502可從存儲媒體506讀取信息和向存儲媒體506寫入信息。在替代方案中，存儲媒體506或其至少一部分可與處理電路502成一體式。存儲媒體506可包含存儲在其中的驗證密鑰514。舉例來說，驗證密鑰514可由廠商212 (見圖2)提供于存儲媒體506的安全部分內。驗證密鑰514可包括例如加密密鑰(例如，認證密鑰)或數字憑證。存儲媒體506還可包含存儲在其中的接入終端身份516。接入終端身份516可包括例如國際移動設備身份(MEI)或移動設備身份(MEID)。用戶身份模塊508適于安全地存儲用戶身份，例如國際移動訂戶身份(MSI)。在一些實施方案中，用戶身份模塊508可包括可裝卸式用戶身份模塊508，使得用戶可按需要移除和插入不同的用戶身份模塊508。此可裝卸式用戶身份模塊可包含例如SIM、USIM、CSM或RUM。在其它實施方案中，用戶身份模塊508可包括可編程用戶身份模塊508。此可編程用戶身份模塊508的實例包含用于安全地存儲在不使用RUM的適于CDMA的接入終端中使用的用戶身份的模塊。此可編程用戶身份模塊508可通過空中服務提供(OTASP)或空中參數管理(OTAPA)以新的或經更新的用戶身份來編程。根據一個或一個以上特征，處理電路502可適于執(zhí)行與如本文以上參考圖I到4描述的各種接入終端(例如，接入終端12A到12D和/或204)相關的過程、功能、步驟和/或例程中的任一者或全部。如本文使用，相對于處理電路502的術語“適于”可指代處理電路502經配置、采用、實施或編程中的一者或一者以上以執(zhí)行根據各種特征的特定過程、功能、步驟和/或例程。圖6是說明在例如接入終端500等接入終端上操作的方法的至少一個實施方案的實例的流程圖。參考圖5和6兩者，在步驟602處可從經授權廠商接收驗證密鑰且將驗證密鑰存儲在存儲媒體中。舉例來說，驗證密鑰514可由經授權廠商(例如圖2中的廠商212)提供到存儲媒體506的安全部分中。根據至少一個實施方案，處理電路502可適于從經授權廠商接收驗證密鑰514，且隨后將接收的驗證密鑰514存儲在存儲媒體506中。在決策菱形604處，確定來自用戶身份模塊的用戶身份是否經記錄以供與接入終端一起使用。舉例來說，處理電路502可從用戶身份模塊508讀取用戶身份。處理電路502可隨后將用戶身份與由接入終端500存儲為經記錄以供與接入終端500 —起使用的用戶身份的用戶身份進行比較。在至少一個實施方案中，處理電路502可將來自用戶身份模塊508的用戶身份與最后經記錄以供與接入終端500 —起使用且存儲在存儲媒體506中的用戶身份進行比較。如果確定來自用戶身份模塊508的用戶身份經記錄以供與接入終端500 —起使用，那么接入終端500可在步驟606處開始標準操作。然而，如果在604處確定用戶身份未經記錄以供與接入終端一起使用，那么可在步驟608處產生報告消息以報告用戶身份與接入終端身份之間的使用關系。在一些實施方案中，可響應于用戶身份未經記錄以供與接入終端500 —起使用的確定而自動產生報告消息。在其它實施方案中，可響應于從驗證服務器接收到的請求而產生報告消息。作為實例，處理電路502可產生包含來自用戶身份模塊508的用戶身份和接入終端身份516的報告消息。所述報告消息適于向驗證服務器(例如圖2中的驗證服務器202)報告用戶身份與接入終端身份516之間的使用關系。根據一個或一個以上實施方案，可產生報告消息以還包含額外信息，例如時戳、計數器、廠商ID、型號以及其它信息中的一者或一者以上。為了認證包含在報告消息中的接入終端身份516是真實的(即，不是接入終端為了欺騙驗證服務器而偽造的)，接入終端在步驟610處用基于驗證密鑰產生的簽名來簽署報告消息。舉例來說，處理電路502可使用用于產生此數字簽名的算法來基于驗證密鑰514而產生簽名。舉例來說且無限制，處理電路502可適于采用一個或一個以上常規(guī)數字簽名算法來產生簽名，包含基于RSA的簽名方案、DSA、ElGamal簽名方案、Schnorr簽名、Pointcheval-Stern簽名算法、Rabin簽名算法、基于配對的簽名方案(例如，BLS簽名方案)以及其它常規(guī)簽名方案或算法。在產生且數字簽署報告消息之后，在步驟612處將包含經簽署報告消息的發(fā)射發(fā)送到驗證服務器。舉例來說，處理電路502可經由通信接口 504發(fā)射經簽署報告消息。根據一個或一個以上實施方案，處理電路502可將經簽署報告消息作為短消息接發(fā)服務(SMS)、基于包的消息或信令消息中的一者來發(fā)射。如果報告消息的發(fā)射不成功，那么處理電路502可適于再發(fā)送所述發(fā)射。如果發(fā)射成功，那么接入終端可在步驟614處接收來自驗證服務器的確認消息。確認消息可指示用戶身份與接入終端身份之間的使用關系經驗證且記錄。舉例來說，處理電路502可經由通信接口 504接收確認報告。確認消息可作為對應于報告消息發(fā)射的發(fā)射類型來接收。舉例來說，確認發(fā)射可包括層2確認或SMS確認(對應于SMS報告消息發(fā)射)、TCP確認(對應于基于包的報告消息發(fā)射)，或信令層確認(對應于作為信令消息的報告消息發(fā)射)?；蛘撸炞C服務器可返回具有用于報告消息的預定義數據格式的顯式確認消息。在接收到確認消息之后，接入終端500可在步驟616處存儲用戶身份與用戶身份經記錄以供與接入終端500 —起使用的指示。舉例來說，處理電路502可在存儲媒體506中存儲用戶身份與用戶身份已經記錄以供與接入終端500 —起使用的某個指示。以此方式，當接入終端500重復上述方法時(例如，當其再次被加電時)，其將在決策菱形604處確定用戶身份經適當記錄以使用，且將在606進入標準使用。在用戶身份經存儲為記錄的用戶身份之后，接入終端500可在606處開始標準使用。示范性驗證服務器圖7是說明根據至少一個實施方案的驗證服務器的選擇組件的框圖。如圖示，驗證服務器700可包含處理電路702，其耦合到通信接口 704和存儲媒體706。處理電路702經布置以獲得、處理和/或發(fā)送數據，控制數據存取和存儲，發(fā)出命令，以及控制其它所需操作。在至少一個實施例中，處理電路702可包括經配置以實施由適當媒體提供的所需編程的電路。舉例來說，處理電路702可實施為以下各項中的一者或一者以上處理器、控制器、多個處理器和/或經配置以執(zhí)行包含例如軟件和/或固件指令的可執(zhí)行指令的其它結構，和/或硬件電路。處理電路702的實施例可包含通用處理器、數字信號處理器(DSP)、專用集成電路(ASIC)、現(xiàn)場可編程門陣列(FPGA)或其它可編程邏輯組件、離散門或晶體管邏輯、離散硬件組件或其經設計以執(zhí)行本文描述的功能的任一組合。通用處理器可為微處理器，但在替代方案中，處理器可為任何常規(guī)處理器、控制器、微控制器或狀態(tài)機。處理器還可實施為計算組件的組合，例如DSP與微處理器的組合、若干微處理器、結合DSP核心的一個或一個以上微處理器或任何其它此配置。處理電路702的這些實例是用于說明且還預期在本發(fā)明的范圍內的其它合適配置。通信接口 704經配置以促進驗證服務器700的無線通信。通信接口 704可包含至少一個發(fā)射器708和/或至少一個接收器710 (例如，一個或一個以上發(fā)射器/接收器鏈)。此外，一個或一個以上天線(未圖示)可電耦合到通信接口 704。存儲媒體706可表示用于存儲編程和/或數據的一個或一個以上裝置，例如處理器可執(zhí)行代碼或指令(例如，軟件、固件)、電子數據、數據庫或其它數字信息。根據一個或一個以上實施例，包括存儲媒體706的此些裝置中的至少一者可包括安全存儲裝置。存儲媒體706可為可由通用或專用處理器存取的任何可用媒體。舉例來說且無限制，存儲媒體706可包含只讀存儲器(例如，R0M、EPR0M、EEPR0M)、隨機存取存儲器(RAM)、磁盤存儲媒體、光學存儲媒體、快閃存儲器裝置和/或用于存儲信息的其它非暫時性計算機可讀媒體。存儲媒體706可耦合到處理電路702以使得處理電路702可從存儲媒體706讀取信息和向存儲媒體706寫入信息。在替代方案中，存儲媒體706或其至少一部分可與處理電路702成一體式。存儲媒體706可包含存儲在其中的驗證密鑰712。舉例來說，驗證密鑰712可由管理機構210 (見圖2)提供于存儲媒體706的安全部分內。驗證密鑰712對應于由經授權廠商提供于一個或一個以上接入終端中的驗證密鑰。舉例來說，驗證密鑰712可對應于接入終端類型或廠商的身份以及這兩者的某個組合。驗證密鑰712可包括例如加密密鑰(例如，認證密鑰)或數字憑證。驗證服務器700或驗證服務器700的組件中的至少一些可與設備身份寄存器(EIR) 一體地實施。舉例來說，處理電路702、存儲媒體706或通信接口 704中的一者或一者以上可實施為EIR的部分或集成到EIR中，所述EIR例如為圖2中的EIR 206。

根據一個或一個以上特征，處理電路702可適于執(zhí)行與如本文以上參考圖I到4描述的各種驗證服務器(例如，驗證服務器202)相關的過程、功能、步驟和/或例程中的任一者或全部。如本文使用，相對于處理電路702的術語“適于”可指代處理電路702經配置、采用、實施或編程中的一者或一者以上以執(zhí)行根據各種特征的特定過程、功能、步驟和/或例程。圖8是說明在例如驗證服務器700等驗證服務器上操作的方法的至少一個實施方案的實例的流程圖。參看圖7和8兩者，在步驟802處可在驗證服務器處接收源自管理機構的驗證密鑰且將驗證密鑰存儲在存儲媒體中。舉例來說，處理電路702可接收驗證密鑰，且可將驗證密鑰存儲在存儲媒體706中。驗證密鑰可指示其對應于在多個接入終端中提供的驗證密鑰。驗證服務器700可在步驟804處從接入終端接收發(fā)射。所述發(fā)射包含適于報告接入終端身份與接入終端中的用戶身份之間的使用關系的報告消息。所述報告消息還經簽署有簽名。根據至少一個實施方案，處理電路702可經由通信接口 704接收發(fā)射。在至少一些實施方案中，此發(fā)射可作為短消息接發(fā)服務(SMS)消息、基于包的消息或信令消息中的一者來接收。在步驟806處，驗證服務器700使用驗證密鑰來認證報告消息的簽名。認證簽名向驗證服務器700檢驗接入終端經授權以使用包含在報告消息中的接入終端身份。作為實例，處理電路702可采用一個或一個以上常規(guī)算法來使用驗證密鑰712認證隨報告消息一起包含的數字簽名。為了識別將用于認證的適當驗證密鑰712，處理電路702可例如讀取接入終端身份和/或與接入終端相關聯(lián)的廠商信息(如果包含在報告消息中)。一旦識別出適當的驗證密鑰712，處理電路700就可檢索適當的驗證密鑰712，且可應用驗證密鑰712來認證簽名。在認證簽名之后，驗證服務器可在步驟808處將接入終端身份與用戶身份之間的使用關系記錄在設備身份寄存器(EIR)可存取的數據庫中，所述EIR例如為圖2中的EIR206。如上所述，驗證服務器700的一些實施方案可集成到EIR中。在這些實施方案中，處理電路702可經由通信接口 704接收來自網絡的實體的驗證請求發(fā)射，所述驗證請求發(fā)射包含用戶身份和接入終端身份。處理電路702可隨后查詢數據庫是否存在檢驗出用戶身份與接入終端身份之間的有效使用關系的記錄。如果數據庫中的記錄檢驗出所述使用關系，那么處理電路702可確定接入終端經授權。如果數據庫中的記錄證明所述使用關系不成立或者如果在數據庫中不存在檢驗出用戶身份與接入終端身份之間的使用關系的記錄，那么處理電路702可確定接入終端未經授權且可拒絕所述接入終端接入請求的網絡。在認證簽名之后和/或在記錄使用關系之后，驗證服務器700可在步驟810處將確認報告消息的接收和認證的確認消息發(fā)送到接入終端。舉例來說，處理電路702可產生確認消息且經由通信接口 704發(fā)送確認消息。確認消息可作為對應于報告消息發(fā)射的發(fā)射類型來發(fā)送。舉例來說，確認發(fā)射可包括層2確認或SMS確認(對應于SMS報告消息發(fā)射)、TCP確認(對應于基于包的報告消息發(fā)射)，或信令層確認(對應于作為信令消息的報告消息發(fā)射)?；蛘撸炞C服務器可返回具有用于報告消息的預定義數據格式的顯式確認消息。圖1、2、3、4、5、6、7和/或8中說明的組件、步驟、特征和/或功能中的一者或一者以上可經再布置和/或組合為單個組件、步驟、特征或功能或體現(xiàn)于若干組件、步驟或功能中。在不脫離本發(fā)明的范圍的情況下也可添加額外的元件、組件、步驟和/或功能。圖I、2、5和/或7中說明的設備、裝置和/或組件可經配置以執(zhí)行圖3、4 (包括4A和4B)、6和/或8中描述的方法、特征或步驟中的一者或一者以上。本文描述的新穎算法也可有效地以軟件實施和/或嵌入硬件中。而且應注意，已將至少一些實施方案描述為一個描繪為流程圖、流圖、結構圖或框圖的過程。盡管流程圖可將操作描述為順序過程，但可并行或同時執(zhí)行許多操作。另外，可重新布置操作的次序。過程在其操作完成時終止。過程可對應于方法、函數、程序、子例程、子程序等。當過程對應于函數時，其終止對應于使函數返回到調用函數或主函數。而且，實施例可通過硬件、軟件、固件、中間件、微碼或其任一組合來實施。當以軟件、固件、中間件或微碼實施時，用以執(zhí)行必要任務的程序代碼或代碼段可存儲在例如存儲媒體或其它存儲裝置等機器可讀媒體中。處理器可執(zhí)行必要任務。代碼段可表示過程、函數、子程序、程序、例程、子例程、模塊、軟件包、類，或指令、數據結構或程序語句的任一組合。代碼段可通過傳遞和/或接收信息、數據、自變量、參數或存儲器內容而耦合到另一代碼段或硬件電路。信息、自變量、參數、數據等可經由包含存儲器共享、消息傳遞、令牌傳遞、網絡傳輸等的任何適當手段來傳遞、轉發(fā)或傳輸。術語“機器可讀媒體”、“計算機可讀媒體”和/或“處理器可讀媒體”可包含(但不限于)便攜式或固定存儲裝置、光學存儲裝置以及能夠存儲、包含或載運指令和/或數據的各種其它非暫時性媒體。因此，本文描述的各種方法可通過可存儲在“機器可讀媒體”、“計算機可讀媒體”和/或“處理器可讀媒體”中且由一個或一個以上處理器、機器和/或裝置執(zhí)行的指令和/或數據來部分地或完整地實施。結合本文所揭示的實例描述的方法或算法可直接以硬件、以可由處理器執(zhí)行的軟件模塊或以所述兩者的組合以處理單元、編程指令或其它指示的形式來體現(xiàn)，且可包含在單個裝置中或分布于多個裝置之間。軟件模塊可駐存在RAM存儲器、快閃存儲器、ROM存儲器、EPROM存儲器、EEPROM存儲器、寄存器、硬盤、可裝卸式盤、CD-ROM或此項技術中已知的任何其它形式的存儲媒體中。存儲媒體可耦合到處理器，使得處理器可從存儲媒體讀取信息和將信息寫入到存儲媒體。在替代方案中，存儲媒體可與處理器成一體式。所屬領域的技術人員應進一步了解，可將結合本文中所揭示的實施例而描述的各種說明性邏輯塊、模塊、電路和算法步驟實施為電子硬件、計算機軟件或兩者的組合。為清楚說明硬件與軟件的此互換性，上文已大致關于其功能性而描述了各種說明性組件、塊、模塊、電路及步驟。所述功能性是實施為硬件還是軟件取決于特定應用及施加于整個系統(tǒng)的設計約束。在不脫離本發(fā)明的范圍的情況下可在不同系統(tǒng)中實施本文描述的實施例的各種特征。應注意，上述實施例僅是實例且將不解釋為限制本發(fā)明。實施例的描述既定是說明性的，且不限制權利要求書的范圍。因而，本教示可容易地應用于其它類型的設備，且許多替代方案、修改及變化對于所屬領域的技術人員來說將為顯而易見的。
權利要求
1.一種接入終端，其包括通信接ロ，其適于促進無線通信；用戶身份模塊，其包含用戶身份；存儲媒體，其包含存儲于其中的驗證密鑰和接入終端身份；以及處理電路，其耦合到所述通信接ロ、所述用戶身份模塊和所述存儲媒體，所述處理電路適于: 確定來自所述用戶身份模塊的所述用戶身份未經記錄以供與所述接入終端一起使用；產生包含所述用戶身份和所述接入終端身份的報告消息，所述報告消息適于報告所述用戶身份與所述接入終端身份之間的使用關系；用基于所述驗證密鑰產生的簽名來簽署所述報告消息，其中所述簽名適于認證所述接入終端經授權以使用包含在所述報告消息中的所述接入終端身份；以及經由所述通信接ロ發(fā)送包含所述經簽署報告消息的發(fā)射。
2.根據權利要求I所述的接入終端，其中所述用戶身份模塊包括可裝卸式用戶身份模塊。
3.根據權利要求2所述的接入終端，其中所述可裝卸式用戶身份模塊包括以下各項中的一者訂戶身份模塊SIM、全球訂戶身份模塊USIM、CDMA訂戶識別模塊CSIM或可裝卸式用戶識別模塊RUIM。
4.根據權利要求I所述的接入終端，其中所述用戶身份包括國際移動訂戶身份IMSI。
5.根據權利要求I所述的接入終端，其中所述接入終端身份包括國際移動設備身份IMEI或移動設備身份MEID中的一者。
6.根據權利要求I所述的接入終端，其中所述報告消息是響應于所述處理電路經由所述通信接ロ接收到請求發(fā)射而產生的，所述請求發(fā)射從所述接入終端請求所述報告消息，或者所述報告消息是響應于所述接入終端確定來自所述用戶身份模塊的所述用戶身份尚未經記錄以供與所述接入終端身份一起使用而產生的。
7.根據權利要求I所述的接入終端，其中所述處理電路適于從經授權廠商接收所述驗證密鑰；以及將所述驗證密鑰存儲在所述存儲媒體中。
8.根據權利要求I所述的接入終端，其中所述處理電路適于將所述發(fā)射作為短消息接發(fā)服務SMS消息、基于包的消息或信令消息中的一者來發(fā)送。
9.根據權利要求I所述的接入終端，其中所述處理電路進一步適于經由所述通信接ロ接收確認，所述確認指示所述用戶身份與所述接入終端身份之間的所述報告的使用關系經驗證且記錄；以及在所述存儲媒體中將所述用戶身份存儲為經記錄以供與所述接入終端一起使用。
10.一種在接入終端上操作的方法，所述方法包括將驗證密鑰存儲在存儲媒體中；確定來自所述接入終端中的用戶身份模塊的用戶身份未經記錄以供與所述接入終端一起使用；產生包含所述用戶身份和接入終端身份的報告消息，所述報告消息適于報告所述用戶身份與所述接入終端身份之間的使用關系；用基于所述驗證密鑰產生的簽名來簽署所述報告消息，其中所述簽名適于認證所述接入終端經授權以使用包含在所述報告消息中的所述接入終端身份；以及將包含所述經簽署報告消息的發(fā)射發(fā)送到驗證服務器。
11.根據權利要求10所述的方法，其中確定來自所述接入終端中的所述用戶身份模塊的所述用戶身份未經記錄以供與所述接入終端一起使用包括確定來自安置于所述接入終端中的可裝卸式用戶身份模塊的所述用戶身份未經記錄以供與所述接入終端一起使用。
12.根據權利要求10所述的方法，其中確定來自所述接入終端中的所述用戶身份模塊的所述用戶身份未經記錄以供與所述接入終端一起使用包括確定來自所述接入終端中的所述用戶身份模塊的所述用戶身份不同于最后一個經記錄以供與所述接入終端一起使用且存儲在所述接入終端的所述存儲媒體中的用戶身份。
13.根據權利要求10所述的方法，其進ー步包括在將所述驗證密鑰存儲在所述存儲媒體中之前從經授權廠商接收所述驗證密鑰。
14.根據權利要求10所述的方法，其中產生包含所述用戶身份的所述報告消息包括產生包含用于所述用戶身份的國際移動訂戶身份IMSI的所述報告消息。
15.根據權利要求10所述的方法，其中產生包含所述接入終端身份的所述報告消息包括產生包含用于所述接入終端身份的國際移動設備身份頂EI或移動設備身份MEID中的一者的所述報告消息。
16.根據權利要求10所述的方法，其中將所述發(fā)射發(fā)送到所述驗證服務器包括將所述發(fā)射作為短消息接發(fā)服務SMS消息、基于包的消息或信令消息中的一者來發(fā)送。
17.根據權利要求10所述的方法，其進ー步包括從所述驗證服務器接收指示所述用戶身份與所述接入終端身份之間的所述報告的使用關系經驗證且記錄的確認；以及將所述用戶身份存儲為經記錄以供與所述接入終端一起使用的用戶身份。
18.一種接入終端，其包括用于存儲驗證密鑰的裝置；用于確定來自所述接入終端中的用戶身份模塊的用戶身份未經記錄以供與所述接入終端一起使用的裝置；用于產生包含所述用戶身份和接入終端身份的報告消息的裝置，所述報告消息適于報告所述用戶身份與所述接入終端身份之間的使用關系；以及用于用基于所述驗證密鑰產生的簽名來簽署所述報告消息的裝置，其中所述簽名適于認證所述接入終端經授權以使用包含在所述報告消息中的所述接入終端身份；以及用于將包含所述經簽署報告消息的發(fā)射發(fā)送到驗證服務器的裝置。
19.一種處理器可讀媒體，其包括在接入終端上操作的ー個或ー個以上指令，所述指令在由處理電路執(zhí)行時致使所述處理電路確定來自所述接入終端中的用戶身份模塊的用戶身份未經記錄以供與所述接入終端一起使用；產生包含所述用戶身份和接入終端身份的報告消息，所述報告消息適于報告所述用戶身份與所述接入終端身份之間的使用關系；用基于存儲在所述接入終端的存儲媒體中的驗證密鑰產生的簽名來簽署所述報告消息，其中所述簽名適于認證所述接入終端經授權以使用包含在所述報告消息中的所述接入終端身份；以及將包含所述經簽署報告消息的發(fā)射發(fā)送到驗證服務器。
20.ー種驗證服務器，其包括通信接ロ，其適于促進無線通信；存儲媒體；以及處理電路，其耦合到所述通信接ロ，所述處理電路適于接收驗證密鑰且將所述驗證密鑰存儲在所述存儲媒體中；經由所述通信接ロ接收來自接入終端的發(fā)射，所述發(fā)射包含報告消息，所述報告消息報告接入終端身份與所述接入終端中的用戶身份之間的使用關系，其中所述報告消息簽署有簽名；以及使用所述驗證密鑰來認證所述報告消息的所述簽名以檢驗所述接入終端經授權以使用包含在所述報告消息中的所述接入終端身份。
21.根據權利要求20所述的驗證服務器，其中所述處理電路進一步適于將所述接入終端身份與所述用戶身份之間的所述使用關系記錄在設備身份寄存器EIR可存取的數據庫中。
22.根據權利要求21所述的驗證服務器，其中所述通信接ロ、所述存儲媒體和所述處理電路與所述EIR實施為一體。
23.根據權利要求22所述的驗證服務器，其中所述處理電路進一步適于經由所述通信接ロ接收來自網絡實體的驗證請求發(fā)射，所述驗證請求發(fā)射包含所述用戶身份和所述接入終端身份；查詢所述數據庫是否存在檢驗出所述用戶身份與所述接入終端身份之間的有效使用關系的記錄；在所述數據庫中的記錄檢驗出所述用戶身份與所述接入終端身份之間的所述使用關系的情況下確定所述接入終端經授權；以及在所述數據庫中的記錄證明所述使用關系不成立的情況下或者在所述數據庫中沒有記錄檢驗出所述用戶身份與所述接入終端身份之間的所述使用關系的情況下確定所述接入終端未經授權。
24.根據權利要求20所述的驗證服務器，其中所述處理電路適于將來自所述接入終端的所述發(fā)射作為短消息接發(fā)服務SMS消息、基于包的消息或信令消息中的一者來接收。
25.根據權利要求20所述的驗證服務器，其中所述處理電路進一步適于將確認所述報告消息的接收和認證的確認消息發(fā)送到所述接入終端。
26.根據權利要求20所述的驗證服務器，其中包含在所述報告消息中的所述接入終端身份包括國際移動設備身份頂EI或移動設備身份MEID中的一者。
27.根據權利要求20所述的驗證服務器，其中包含在所述報告消息中的所述用戶身份包括國際移動訂戶身份頂SI。
28.—種在驗證服務器上操作的方法，所述方法包括接收驗證密鑰且將所述驗證密鑰存儲在存儲媒體中；接收來自接入終端的發(fā)射，所述發(fā)射包含報告消息，所述報告消息報告接入終端身份與所述接入終端中的用戶身份之間的使用關系，其中所述報告消息簽署有簽名；以及使用所述驗證密鑰來認證所述報告消息的所述簽名以檢驗所述接入終端經授權以使用包含在所述報告消息中的所述接入終端身份。
29.根據權利要求28所述的方法，其進ー步包括將所述接入終端身份與所述用戶身份之間的所述使用關系記錄在設備身份寄存器EIR可存取的數據庫中。
30.根據權利要求29所述的方法，其進ー步包括接收來自通信網絡的實體的驗證請求發(fā)射，所述驗證請求發(fā)射包含所述用戶身份和所述接入終端身份；查詢所述數據庫是否存在檢驗出所述用戶身份與所述接入終端身份之間的使用關系的記錄；在所述數據庫中的記錄檢驗出所述用戶身份與所述接入終端身份之間的所述使用關系的情況下確定所述接入終端為經授權接入終端；以及在所述數據庫中的記錄證明所述使用關系不成立的情況下或者在所述數據庫中沒有記錄檢驗出所述用戶身份與所述接入終端身份之間的所述使用關系的情況下確定所述接入終端為未經授權接入終端。
31.根據權利要求28所述的方法，其中接收來自所述接入終端的所述發(fā)射包括將所述發(fā)射作為短消息接發(fā)服務SMS發(fā)射、基于包的發(fā)射或信令消息發(fā)射中的一者來接收。
32.根據權利要求28所述的方法，其進ー步包括將確認所述報告消息的接收和認證的確認消息發(fā)送到所述接入終端。
33.根據權利要求28所述的方法，其中包含在所述報告消息中的所述接入終端身份包括國際移動設備身份頂EI或移動設備身份MEID中的一者。
34.根據權利要求28所述的方法，其中包含在所述報告消息中的所述用戶身份包括國際移動訂戶身份頂SI。
35.根據權利要求28所述的方法，其中認證所述報告消息的所述簽名包括確定對應于發(fā)送了包含所述報告消息的所述發(fā)射的所述接入終端的所述驗證密鑰；檢索所述對應的驗證密鑰；以及應用所述驗證密鑰來認證所述簽名。
36.ー種驗證服務器，其包括用于接收驗證密鑰且將所述驗證密鑰存儲在存儲媒體中的裝置；用于接收來自接入終端的發(fā)射的裝置，所述發(fā)射包含報告消息，所述報告消息報告接入終端身份與所述接入終端中的用戶身份之間的使用關系，其中所述報告消息簽署有簽名；以及用于使用所述驗證密鑰來認證所述報告消息的所述簽名以檢驗所述接入終端經授權以使用包含在所述報告消息中的所述接入終端身份的裝置。
37.根據權利要求36所述的驗證服務器，其進ー步包括用于將所述接入終端身份與所述用戶身份之間的所述使用關系記錄在設備身份寄存器EIR可存取的數據庫中的裝置。
38.根據權利要求37所述的驗證服務器，其進ー步包括用于在通信網絡的實體將驗證請求與獲得的用戶身份和接入終端身份一起發(fā)送時確定接入終端是經授權還是未經授權的裝置。
39.一種處理器可讀媒體，其包括在驗證服務器上操作的ー個或ー個以上指令，所述指令在由處理電路執(zhí)行時致使所述處理電路接收驗證密鑰且將所述驗證密鑰存儲在存儲媒體中；接收來自接入終端的發(fā)射，所述發(fā)射包含報告消息，所述報告消息報告接入終端身份與所述接入終端中的用戶身份之間的使用關系，其中所述報告消息簽署有簽名；以及使用所述驗證密鑰來認證所述報告消息的所述簽名以檢驗所述接入終端經授權以使用包含在所述報告消息中的所述接入終端身份。
40.根據權利要求39所述的處理器可讀媒體，其進ー步包括在所述驗證服務器上操作的ー個或ー個以上指令，所述指令在由所述處理電路執(zhí)行時致使所述處理電路將所述接入終端身份與所述用戶身份之間的所述使用關系記錄在設備身份寄存器EIR可存取的數據庫中。
41.根據權利要求40所述的處理器可讀媒體，其進ー步包括在所述驗證服務器上操作的ー個或ー個以上指令，所述指令在由所述處理電路執(zhí)行時致使所述處理電路在通信網絡的實體將驗證請求與獲得的用戶身份和接入終端身份一起發(fā)送時確定接入終端是經授權還是未經授權。
全文摘要
本發(fā)明提供用于促進認證接入終端身份且用于記錄有效的接入終端身份與用戶身份之間的使用關系的方法和設備。接入終端和驗證服務器兩者均具備對應的驗證密鑰。所述接入終端可確定用戶身份未經記錄以供與所述接入終端一起使用，且可發(fā)送報告消息以報告所述接入終端身份與所述用戶身份之間的使用關系，其中所述報告消息簽署有基于所述驗證密鑰的簽名。所述驗證服務器使用所述驗證服務器中的所述驗證密鑰來認證所述簽名。所述驗證服務器可將所述經認證接入終端身份與所述用戶身份之間的所述使用關系記錄在數據庫中，所述數據庫記錄可用以確定請求網絡接入的接入終端是經授權還是未經授權。
文檔編號H04W12/06GK102835137SQ201180018688
公開日2012年12月19日申請日期2011年3月16日優(yōu)先權日2010年3月16日
發(fā)明者杜志民, 李彥申請人:高通股份有限公司

完整全部詳細技術資料下載