無(wú)線網(wǎng)絡(luò)認(rèn)證裝置與方法
【專利說(shuō)明】
[0001] 本申請(qǐng)是申請(qǐng)日為2011年4月27日、發(fā)明名稱為"無(wú)線網(wǎng)絡(luò)認(rèn)證裝置與方法"的 中國(guó)專利申請(qǐng)201180021370. 8的分案申請(qǐng)。
[0002] 優(yōu)先權(quán)與相關(guān)申請(qǐng)
[0003]本申請(qǐng)要求于2010年 11 月 22 日提交且題為"WIRELESSNETWORKAUTHENTICATION APPARATUSANDMETHODS"的共同擁有且共同未決的美國(guó)專利申請(qǐng)第12/952, 082號(hào)的優(yōu)先 權(quán)，上述申請(qǐng)又要求于2010年5月3日提交且題為"WIRELESSNETWORKAUTHENTICATION SYSTEM"的美國(guó)臨時(shí)專利申請(qǐng)第61/330, 856號(hào)的優(yōu)先權(quán)，以上兩個(gè)申請(qǐng)的全部?jī)?nèi)容都通過(guò) 引用并入于此。
[0004] 本申請(qǐng)還與以下共同擁有且共同未決的美國(guó)臨時(shí)專利申請(qǐng)相關(guān)：于2010年6月 14 日提交且題為"METHODSFORPROVISIONINGSUBSCRIBERIDENTITYDATAINAWIRELESS NETWORK"的第 61/354,653 號(hào)申請(qǐng)、于 2010年 7 月 21 日提交且題為"VIRTUALSUBSCRIBER IDENTITYMODULEDISTRIBUTIONSYSTEM" 的第 61/366, 505 號(hào)申請(qǐng)、于 2010 年 10 月 28 日 提交且題為"METHODSANDAPPARATUSFORACCESSCONTROLCLIENTASSISTEDROAMING" 的第61/407, 858號(hào)申請(qǐng)、于2010年10月28日提交且題為"MANAGEMENTSYSTEMSFOR MULTIPLEACCESSCONTROLENTITIES"的第61/407,861 號(hào)申請(qǐng)、于2010年 10月 28 日提交且 題為"METHODSANDAPPARATUSFORDELIVERINGELECTRONICIDENTIFICATIONCOMPONENTS OVERAWIRELESSNETWORK"的第61/407, 862號(hào)申請(qǐng)、于2010年10月28日提交且題為 "METHODSANDAPPARATUSFORSTORAGEANDEXECUTIONOFACCESSCONTROLCLIENTS" 的第61/407, 866號(hào)申請(qǐng)、于2010年10月29日提交且題為"ACCESSDATAPROVISIONING SERVICE"的第61/408, 504號(hào)申請(qǐng)、于2010年11月3日提交且題為"METHODSAND APPARATUSFORACCESSDATARECOVERYFROMAMALFUNCTIONINGDEVICE"的第61/409, 891 號(hào)申請(qǐng)、于 2010 年 11 月 4 日提交且題為"S頂U(kuò)LACRUMOFPHYSICALSECURITYDEVICE ANDMETHODS"的第61/410, 298號(hào)申請(qǐng)及于2010年11月12提交且題為"APPARATUSAND METHODSFORRECORDATIONOFDEVICEHISTORYACROSSMULTIPLESOFTWAREEMULATION" 的第61/413, 317號(hào)申請(qǐng)，以上每個(gè)申請(qǐng)的全部?jī)?nèi)容都通過(guò)引入并入于此。
[0005] 版權(quán)
[0006] 本專利文檔的公開(kāi)內(nèi)容的一部分包含受版權(quán)保護(hù)的素材。版權(quán)擁有者不反對(duì)在專 利商標(biāo)局的專利文件或記錄中出現(xiàn)的任何專利文檔或?qū)＠_(kāi)內(nèi)容所進(jìn)行的傳真復(fù)制，但 是除此之外在任何情況下都保留所有版權(quán)。
技術(shù)領(lǐng)域
[0007] 本發(fā)明總體上涉及通信系統(tǒng)領(lǐng)域，更特別地，在一個(gè)示例性方面涉及允許用戶設(shè) 備利用訪問(wèn)控制客戶端向無(wú)線網(wǎng)絡(luò)（例如，蜂窩網(wǎng)絡(luò)、WLAN、WMAN等）進(jìn)行認(rèn)證的無(wú)線系統(tǒng)。
【背景技術(shù)】
[0008] 無(wú)線系統(tǒng)尤其用于向例如蜂窩式電話和計(jì)算機(jī)的用戶裝備提供語(yǔ)音和數(shù)據(jù)服務(wù)。
[0009] 傳統(tǒng)上，用戶裝備裝有客戶識(shí)別模塊（sm卡。s頂卡包括例如私鑰信息的安全信 息，這種信息可以在向蜂窩網(wǎng)絡(luò)認(rèn)證用戶設(shè)備時(shí)使用。
[0010] 可能不是總期望需要使用S頂卡。例如，在用戶設(shè)備中包括S頂卡槽的需求使設(shè) 備笨重而且增加成本。而且制造商或者服務(wù)提供商還必須對(duì)S頂卡庫(kù)存和分發(fā)進(jìn)行管理。
[0011] 用戶可能即使當(dāng)其不能很容易地獲得S頂卡時(shí)也想購(gòu)買無(wú)線服務(wù)。
[0012] 因此，期望能夠提供改進(jìn)的方式，來(lái)為用戶提供購(gòu)買和使用無(wú)線網(wǎng)絡(luò)服務(wù)的能力。

【發(fā)明內(nèi)容】

[0013] 本發(fā)明通過(guò)提供尤其是用于無(wú)線網(wǎng)絡(luò)認(rèn)證的裝置與方法來(lái)解決以上需求。
[0014] 在本發(fā)明的一方面，例如蜂窩式電話公司的網(wǎng)絡(luò)服務(wù)提供商可以經(jīng)通用客戶識(shí)別 模塊（US頂）銷售商或者直接向可信任的服務(wù)管理者分發(fā)訪問(wèn)客戶端（例如，US頂）憑證。
[0015] 可信任的服務(wù)管理者可以維護(hù)授權(quán)用戶的列表。例如，這些用戶可以是該可信任 服務(wù)管理者的客戶或者相關(guān)的實(shí)體。用戶憑證可以由可信任的服務(wù)管理者針對(duì)每個(gè)授權(quán)用 戶維護(hù)。
[0016] 用戶裝備處的用戶可以利用一組用戶憑證向可信任的服務(wù)管理者進(jìn)行認(rèn)證。一旦 被認(rèn)證，可信任的服務(wù)管理者就可以為該用戶提供一組US頂憑證。US頂憑證可以存儲(chǔ)在該 用戶裝備的安全元件中。
[0017] 當(dāng)用戶期望使用無(wú)線網(wǎng)絡(luò)服務(wù)時(shí)，用戶裝備可以在該用戶裝備與網(wǎng)絡(luò)服務(wù)提供商 之間建立無(wú)線鏈路。在認(rèn)證操作過(guò)程中，用戶裝備可以使用存儲(chǔ)在該用戶裝備上的安全元 件中的USIM憑證來(lái)向網(wǎng)絡(luò)服務(wù)提供商進(jìn)行認(rèn)證。在成功的認(rèn)證之后，網(wǎng)絡(luò)服務(wù)提供商可以 為該用戶裝備提供無(wú)線服務(wù)（例如，手機(jī)語(yǔ)音與數(shù)據(jù)連接）。
[0018] 在本發(fā)明的另一方面，公開(kāi)了用于向用戶裝備處的用戶提供無(wú)線服務(wù)的方法。在 一種實(shí)施方式中，該方法包括：向第一實(shí)體分發(fā)訪問(wèn)客戶端數(shù)據(jù)；經(jīng)第一通信鏈路把所述 訪問(wèn)客戶端數(shù)據(jù)從所述第一實(shí)體傳輸?shù)降诙?shí)體；利用用戶憑證來(lái)認(rèn)證所述用戶裝備；及 在認(rèn)證所述用戶裝備之后，經(jīng)第二通信鏈路把所述訪問(wèn)客戶端數(shù)據(jù)從所述第二實(shí)體傳送到 所述用戶裝備。
[0019] 在所述方法的一種變型例中，第一實(shí)體包括US頂銷售商，而第二實(shí)體包括可信任 的服務(wù)管理者。
[0020] 在該方法的另一種變型例中，訪問(wèn)客戶端包括通用S頂(US頂)，而且可信任的服務(wù) 管理者執(zhí)行認(rèn)證。
[0021] 在又一種變型例中，對(duì)訪問(wèn)客戶端數(shù)據(jù)的傳送使用戶裝備把該訪問(wèn)客戶端數(shù)據(jù)存 儲(chǔ)到安全元件。
[0022] 在再一種變型例中，第二通信鏈路包括安全無(wú)線連接。
[0023] 在還有一種變型例中，第一通信鏈路另外包括遞送包含US頂數(shù)據(jù)的物理存儲(chǔ)設(shè) 備。
[0024] 在另一種變型例中，用戶憑證包括特定于用戶的賬戶信息。
[0025] 在本發(fā)明的另一方面，公開(kāi)了一種無(wú)線裝置。在一種實(shí)施方式中，該裝置包括： 適于與服務(wù)提供商通信的一條或多條通信鏈路；配置成存儲(chǔ)訪問(wèn)客戶端的安全元件；處理 器；及與所述處理器數(shù)據(jù)通信的存儲(chǔ)設(shè)備，該存儲(chǔ)設(shè)備包括計(jì)算機(jī)可執(zhí)行指令。所述指令配 置成，當(dāng)被處理器執(zhí)行時(shí)：向服務(wù)提供商進(jìn)行認(rèn)證，其中所述成功的認(rèn)證使得服務(wù)提供商提 供訪問(wèn)客戶端；而且，響應(yīng)于接收到所述訪問(wèn)客戶端，把該訪問(wèn)客戶端存儲(chǔ)在安全元件中。
[0026] 在所述裝置的一種變型例中，用戶裝備包括長(zhǎng)距離和短距離無(wú)線通信電路中的一 種或者兩者。
[0027] 在另一種變型例中，用戶裝備另外還包括近場(chǎng)通信（NFC)電路。
[0028] 在又一種變型例中，安全元件是永久性地內(nèi)置到裝置中的防篡改的集成電路。
[0029] 在另一種變型例中，安全元件適于至少部分地基于訪問(wèn)客戶端數(shù)據(jù)來(lái)向網(wǎng)絡(luò)服務(wù) 認(rèn)證所述用戶裝備。
[0030] 在本發(fā)明的另一方面，公開(kāi)了用于在用戶設(shè)備處安全地存儲(chǔ)訪問(wèn)客戶端數(shù)據(jù)的方 法。在一種實(shí)施方式中，該方法包括：向服務(wù)提供商發(fā)送一個(gè)或多個(gè)用戶憑證，所述發(fā)送使 得服務(wù)提供商至少部分地基于所述一個(gè)或多個(gè)用戶憑證認(rèn)證所述用戶裝備；一旦完成了對(duì) 用戶裝備的成功認(rèn)證，就經(jīng)通信鏈路接收訪問(wèn)客戶端數(shù)據(jù)；并且把該訪問(wèn)客戶端數(shù)據(jù)存儲(chǔ) 在安全元件中。
[0031] 在一種變型例中，通信鏈路包括短距離無(wú)線通信電路，例如近場(chǎng)通信（NFC)電路。
[0032] 在另一種變型例中，安全元件是永久性地內(nèi)置到裝置中的防篡改的集成電路。
[0033] 在本發(fā)明的又一方面，公開(kāi)了一種客戶識(shí)別模塊（SIM)附件裝置。在一種實(shí)施方 式中，該裝置包括：適于與蜂窩設(shè)備通信的一條或多條通信鏈路；容納器（receptacle);處 理器；及與處理器數(shù)據(jù)通信的存儲(chǔ)設(shè)備，該存儲(chǔ)設(shè)備包括計(jì)算機(jī)可執(zhí)行指令。所述計(jì)算機(jī)可 執(zhí)行指令配置成，當(dāng)被處理器執(zhí)行時(shí)：向蜂窩設(shè)備通知SIM設(shè)備的存在，該SIM設(shè)備在其容 納器中存儲(chǔ)有第一S頂數(shù)據(jù)；并且，響應(yīng)于接收到對(duì)S頂操作的請(qǐng)求，經(jīng)所述一條或多條通 信鏈路提供對(duì)該SIM設(shè)備的訪問(wèn)。
[0034] 在一種變型例中，蜂窩設(shè)備包括安全元件，該安全元件配置成存儲(chǔ)一個(gè)或多個(gè)第 二S頂數(shù)據(jù)。
[0035] 在本發(fā)明的再一方面，公開(kāi)了一種計(jì)算機(jī)可讀介質(zhì)。在一種實(shí)施方式中，所述介質(zhì) 包括其上存儲(chǔ)有訪問(wèn)客戶端（例如，虛擬US頂）數(shù)據(jù)的安全元件（例如，安全集成電路），所 述數(shù)據(jù)在被訪問(wèn)時(shí)允許對(duì)一種或多種網(wǎng)絡(luò)服務(wù)的用戶訪問(wèn)。
[0036] 從附圖及以下對(duì)優(yōu)選實(shí)施方式的具體描述，本發(fā)明的更多特征、本質(zhì)與各種優(yōu)點(diǎn) 將更加顯見(jiàn)。
【附圖說(shuō)明】
[0037] 從以下闡述的具體描述并聯(lián)系附圖，本發(fā)明的特征、目的與優(yōu)點(diǎn)將變得更加顯見(jiàn)， 附圖中：
[0038] 圖1是現(xiàn)有技術(shù)認(rèn)證與密鑰協(xié)商（AKA)過(guò)程的圖。
[0039] 圖2是由US頂執(zhí)行的現(xiàn)有技術(shù)AKA操作的圖。
[0040] 圖3是用于客戶識(shí)別模塊（SIM)的現(xiàn)有技術(shù)硬件體系結(jié)構(gòu)的圖。
[0