無線網絡認證裝置與方法

無線網絡認證裝置與方法
【專利說明】
[0001] 本申請是申請日為2011年4月27日、發明名稱為"無線網絡認證裝置與方法"的 中國專利申請201180021370. 8的分案申請。
[0002] 優先權與相關申請
[0003]本申請要求于2010年 11 月 22 日提交且題為"WIRELESSNETWORKAUTHENTICATION APPARATUSANDMETHODS"的共同擁有且共同未決的美國專利申請第12/952, 082號的優先 權，上述申請又要求于2010年5月3日提交且題為"WIRELESSNETWORKAUTHENTICATION SYSTEM"的美國臨時專利申請第61/330, 856號的優先權，以上兩個申請的全部內容都通過 引用并入于此。
[0004] 本申請還與以下共同擁有且共同未決的美國臨時專利申請相關：于2010年6月 14 日提交且題為"METHODSFORPROVISIONINGSUBSCRIBERIDENTITYDATAINAWIRELESS NETWORK"的第 61/354,653 號申請、于 2010年 7 月 21 日提交且題為"VIRTUALSUBSCRIBER IDENTITYMODULEDISTRIBUTIONSYSTEM" 的第 61/366, 505 號申請、于 2010 年 10 月 28 日 提交且題為"METHODSANDAPPARATUSFORACCESSCONTROLCLIENTASSISTEDROAMING" 的第61/407, 858號申請、于2010年10月28日提交且題為"MANAGEMENTSYSTEMSFOR MULTIPLEACCESSCONTROLENTITIES"的第61/407,861 號申請、于2010年 10月 28 日提交且 題為"METHODSANDAPPARATUSFORDELIVERINGELECTRONICIDENTIFICATIONCOMPONENTS OVERAWIRELESSNETWORK"的第61/407, 862號申請、于2010年10月28日提交且題為 "METHODSANDAPPARATUSFORSTORAGEANDEXECUTIONOFACCESSCONTROLCLIENTS" 的第61/407, 866號申請、于2010年10月29日提交且題為"ACCESSDATAPROVISIONING SERVICE"的第61/408, 504號申請、于2010年11月3日提交且題為"METHODSAND APPARATUSFORACCESSDATARECOVERYFROMAMALFUNCTIONINGDEVICE"的第61/409, 891 號申請、于 2010 年 11 月 4 日提交且題為"S頂ULACRUMOFPHYSICALSECURITYDEVICE ANDMETHODS"的第61/410, 298號申請及于2010年11月12提交且題為"APPARATUSAND METHODSFORRECORDATIONOFDEVICEHISTORYACROSSMULTIPLESOFTWAREEMULATION" 的第61/413, 317號申請，以上每個申請的全部內容都通過引入并入于此。
[0005] 版權
[0006] 本專利文檔的公開內容的一部分包含受版權保護的素材。版權擁有者不反對在專 利商標局的專利文件或記錄中出現的任何專利文檔或專利公開內容所進行的傳真復制，但 是除此之外在任何情況下都保留所有版權。
技術領域
[0007] 本發明總體上涉及通信系統領域，更特別地，在一個示例性方面涉及允許用戶設 備利用訪問控制客戶端向無線網絡（例如，蜂窩網絡、WLAN、WMAN等）進行認證的無線系統。
【背景技術】
[0008] 無線系統尤其用于向例如蜂窩式電話和計算機的用戶裝備提供語音和數據服務。
[0009] 傳統上，用戶裝備裝有客戶識別模塊（sm卡。s頂卡包括例如私鑰信息的安全信 息，這種信息可以在向蜂窩網絡認證用戶設備時使用。
[0010] 可能不是總期望需要使用S頂卡。例如，在用戶設備中包括S頂卡槽的需求使設 備笨重而且增加成本。而且制造商或者服務提供商還必須對S頂卡庫存和分發進行管理。
[0011] 用戶可能即使當其不能很容易地獲得S頂卡時也想購買無線服務。
[0012] 因此，期望能夠提供改進的方式，來為用戶提供購買和使用無線網絡服務的能力。

【發明內容】

[0013] 本發明通過提供尤其是用于無線網絡認證的裝置與方法來解決以上需求。
[0014] 在本發明的一方面，例如蜂窩式電話公司的網絡服務提供商可以經通用客戶識別 模塊（US頂）銷售商或者直接向可信任的服務管理者分發訪問客戶端（例如，US頂）憑證。
[0015] 可信任的服務管理者可以維護授權用戶的列表。例如，這些用戶可以是該可信任 服務管理者的客戶或者相關的實體。用戶憑證可以由可信任的服務管理者針對每個授權用 戶維護。
[0016] 用戶裝備處的用戶可以利用一組用戶憑證向可信任的服務管理者進行認證。一旦 被認證，可信任的服務管理者就可以為該用戶提供一組US頂憑證。US頂憑證可以存儲在該 用戶裝備的安全元件中。
[0017] 當用戶期望使用無線網絡服務時，用戶裝備可以在該用戶裝備與網絡服務提供商 之間建立無線鏈路。在認證操作過程中，用戶裝備可以使用存儲在該用戶裝備上的安全元 件中的USIM憑證來向網絡服務提供商進行認證。在成功的認證之后，網絡服務提供商可以 為該用戶裝備提供無線服務（例如，手機語音與數據連接）。
[0018] 在本發明的另一方面，公開了用于向用戶裝備處的用戶提供無線服務的方法。在 一種實施方式中，該方法包括：向第一實體分發訪問客戶端數據；經第一通信鏈路把所述 訪問客戶端數據從所述第一實體傳輸到第二實體；利用用戶憑證來認證所述用戶裝備；及 在認證所述用戶裝備之后，經第二通信鏈路把所述訪問客戶端數據從所述第二實體傳送到 所述用戶裝備。
[0019] 在所述方法的一種變型例中，第一實體包括US頂銷售商，而第二實體包括可信任 的服務管理者。
[0020] 在該方法的另一種變型例中，訪問客戶端包括通用S頂(US頂)，而且可信任的服務 管理者執行認證。
[0021] 在又一種變型例中，對訪問客戶端數據的傳送使用戶裝備把該訪問客戶端數據存 儲到安全元件。
[0022] 在再一種變型例中，第二通信鏈路包括安全無線連接。
[0023] 在還有一種變型例中，第一通信鏈路另外包括遞送包含US頂數據的物理存儲設 備。
[0024] 在另一種變型例中，用戶憑證包括特定于用戶的賬戶信息。
[0025] 在本發明的另一方面，公開了一種無線裝置。在一種實施方式中，該裝置包括： 適于與服務提供商通信的一條或多條通信鏈路；配置成存儲訪問客戶端的安全元件；處理 器；及與所述處理器數據通信的存儲設備，該存儲設備包括計算機可執行指令。所述指令配 置成，當被處理器執行時：向服務提供商進行認證，其中所述成功的認證使得服務提供商提 供訪問客戶端；而且，響應于接收到所述訪問客戶端，把該訪問客戶端存儲在安全元件中。
[0026] 在所述裝置的一種變型例中，用戶裝備包括長距離和短距離無線通信電路中的一 種或者兩者。
[0027] 在另一種變型例中，用戶裝備另外還包括近場通信（NFC)電路。
[0028] 在又一種變型例中，安全元件是永久性地內置到裝置中的防篡改的集成電路。
[0029] 在另一種變型例中，安全元件適于至少部分地基于訪問客戶端數據來向網絡服務 認證所述用戶裝備。
[0030] 在本發明的另一方面，公開了用于在用戶設備處安全地存儲訪問客戶端數據的方 法。在一種實施方式中，該方法包括：向服務提供商發送一個或多個用戶憑證，所述發送使 得服務提供商至少部分地基于所述一個或多個用戶憑證認證所述用戶裝備；一旦完成了對 用戶裝備的成功認證，就經通信鏈路接收訪問客戶端數據；并且把該訪問客戶端數據存儲 在安全元件中。
[0031] 在一種變型例中，通信鏈路包括短距離無線通信電路，例如近場通信（NFC)電路。
[0032] 在另一種變型例中，安全元件是永久性地內置到裝置中的防篡改的集成電路。
[0033] 在本發明的又一方面，公開了一種客戶識別模塊（SIM)附件裝置。在一種實施方 式中，該裝置包括：適于與蜂窩設備通信的一條或多條通信鏈路；容納器（receptacle);處 理器；及與處理器數據通信的存儲設備，該存儲設備包括計算機可執行指令。所述計算機可 執行指令配置成，當被處理器執行時：向蜂窩設備通知SIM設備的存在，該SIM設備在其容 納器中存儲有第一S頂數據；并且，響應于接收到對S頂操作的請求，經所述一條或多條通 信鏈路提供對該SIM設備的訪問。
[0034] 在一種變型例中，蜂窩設備包括安全元件，該安全元件配置成存儲一個或多個第 二S頂數據。
[0035] 在本發明的再一方面，公開了一種計算機可讀介質。在一種實施方式中，所述介質 包括其上存儲有訪問客戶端（例如，虛擬US頂）數據的安全元件（例如，安全集成電路），所 述數據在被訪問時允許對一種或多種網絡服務的用戶訪問。
[0036] 從附圖及以下對優選實施方式的具體描述，本發明的更多特征、本質與各種優點 將更加顯見。
【附圖說明】
[0037] 從以下闡述的具體描述并聯系附圖，本發明的特征、目的與優點將變得更加顯見， 附圖中：
[0038] 圖1是現有技術認證與密鑰協商（AKA)過程的圖。
[0039] 圖2是由US頂執行的現有技術AKA操作的圖。
[0040] 圖3是用于客戶識別模塊（SIM)的現有技術硬件體系結構的圖。
[0