RU2574844C2 - Apparatus and method for authentication in wireless network - Google Patents

Apparatus and method for authentication in wireless network Download PDF

Info

Publication number
RU2574844C2
RU2574844C2 RU2012149610/08A RU2012149610A RU2574844C2 RU 2574844 C2 RU2574844 C2 RU 2574844C2 RU 2012149610/08 A RU2012149610/08 A RU 2012149610/08A RU 2012149610 A RU2012149610 A RU 2012149610A RU 2574844 C2 RU2574844 C2 RU 2574844C2
Authority
RU
Russia
Prior art keywords
user
wireless
access
access client
communication
Prior art date
Application number
RU2012149610/08A
Other languages
Russian (ru)
Other versions
RU2012149610A (en
Inventor
Стефан В. ШЕЛЛ
Моит НАРАНГ
Рубен КАБАЛЛЕРО
Original Assignee
Эппл Инк.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US12/952,082 external-priority patent/US8666368B2/en
Application filed by Эппл Инк. filed Critical Эппл Инк.
Publication of RU2012149610A publication Critical patent/RU2012149610A/en
Application granted granted Critical
Publication of RU2574844C2 publication Critical patent/RU2574844C2/en

Links

Images

Abstract

FIELD: physics, computer engineering.
SUBSTANCE: invention relates to methods and an apparatus for authentication and granting a client device access to a network. A network service provider such as a cellular communication company may distribute user access (e.g., universal subscriber identity module or "USIM") credentials to a services manager via a USIM vendor. The services manager may maintain a list of authorised users. A user may be authenticated at the services manager, after which a set of USIM credentials is sent to the user. When the user desires to use wireless network services, the user equipment may establish a wireless link between the user equipment and the network service provider. During authentication operations, the user equipment may use the USIM credentials to authenticate at the network service provider. Following successful authentication, the network service provider may provide the user equipment with wireless services.
EFFECT: enabling provision of services from a provider in a wireless device without using a SIM card.
16 cl, 9 dwg

Description

Приоритет и связанные заявкиPriority and related applications

Настоящая заявка заявляет приоритет также рассматриваемой патентной заявки США №12/952,082, поданной этим же заявителем 22 ноября 2010 г и озаглавленной «УСТРОЙСТВО И СПОСОБ АУТЕНТИФИКАЦИИ В БЕСПРОВОДНОЙ СЕТИ», которая заявляет приоритет предварительной патентной заявки США №61/330,856, поданной 3 мая 2010 г. и озаглавленной «СИСТЕМА АУТЕНТИФИКАЦИИ В БЕСПРОВОДНОЙ СЕТИ», причем каждая из вышеупомянутых заявок полностью включена в настоящий документ посредством ссылки.This application claims the priority of also pending US patent application No. 12/952,082, filed by the same applicant on November 22, 2010 and entitled "DEVICE AND METHOD OF AUTHENTICATION IN A WIRELESS NETWORK", which claims the priority of provisional patent application US No. 61/330,856, filed May 3, 2010 and entitled “WIRELESS AUTHENTICATION SYSTEM”, each of the above applications is hereby incorporated by reference in their entirety.

Настоящая заявка также относится к параллельно рассматриваемым и принадлежащим этому же заявителю предварительным патентным заявкам США №61/354,653, поданной 14 июня 2010 и озаглавленной «СПОСОБЫ ОБЕСПЕЧЕНИЯ ИДЕНТИФИКАЦИОННЫХ ДАННЫХ ПОЛЬЗОВАТЕЛЯ В БЕСПРОВОДНОЙ СЕТИ», №61/366,505, поданной 21 июля 2010 и озаглавленной «СИСТЕМА ОПИСАНИЯ ВИРТУАЛЬНОГО МОДУЛЯ ИДЕНТИФИКАЦИИ ПОЛЬЗОВАТЕЛЯ», №61/407,858, поданной 28 октября 2010 и озаглавленной «СПОСОБ И УСТРОЙСТВО ДЛЯ ПОЛУЧЕНИЯ ДОСТУПА К УПРАВЛЕНИЮ ПОДДЕРЖИВАЕМОГО КЛИЕНТОМ РОУМИНГА», №61/407,861, поданной 28 октября 2010 и озаглавленной «СИСТЕМЫ УПРАВЛЕНИЯ ДЛЯ ОБЪЕКТОВ УПРАВЛЕНИЯ МНОЖЕСТВЕННЫМ ДОСТУПОМ», №61/407,862, поданной 28 октября 2010 и озаглавленной «СПОСОБ И УСТРОЙСТВО ПЕРЕДАЧИ КОМПОНЕНТОВ ЭЛЕКТРОННОЙ ИДЕНТИФИКАЦИИ ПО БЕСПРОВОДНОЙ СЕТИ», №61/407,866, поданной 28 октября 2010 и озаглавленной «СПОСОБ И УСТРОЙСТВО ХРАНЕНИЯ И ВЫПОЛНЕНИЯ КЛИЕНТОВ УПРАВЛЕНИЯ ДОСТУПОМ», №61/408,504, поданной 29 октября 2010 и озаглавленной «СПОСОБ ПЕРЕДАЧИ ДАННЫХ ДОСТУПА», №61/409,891, поданной 3 ноября 2010 и озаглавленной «СПОСОБ И УСТРОЙСТВО ВОССТАНОВЛЕНИЯ ДАННЫХ ДОСТУПА ИЗ НЕИСПРАВНОГО УСТРОЙСТВА», №61/410,298, поданной 4 ноября 2010 и озаглавленной «МОДЕЛЬ УСТРОЙСТВА ФИЗИЧЕСКОЙ БЕЗОПАСНОСТИ И СПОСОБ», и №61/413,317, поданной 12 ноября 2010 и озаглавленной «УСТРОЙСТВО И СПОСОБ РЕГИСТРАЦИИ ИСТОРИЧЕСКИХ ДАННЫХ УСТРОЙСТВА ПО ПРОГРАММНЫХ МНОЖЕСТВУ МОДЕЛИРОВАНИЙ», содержание каждой из вышеупомянутых заявок целиком включено в настоящий документ посредством ссылки.This application also relates to concurrently considered and owned by the same applicant provisional patent applications US No. 61/354,653, filed June 14, 2010 and entitled "METHODS FOR PROVIDING USER IDENTIFICATION DATA IN A WIRELESS NETWORK", No. 61/366,505, filed July 21, 2010 SYSTEM OF DESCRIPTION OF THE VIRTUAL MODULE OF USER IDENTIFICATION ”, No. 61/407,858, filed October 28, 2010 and entitled“ METHOD AND DEVICE FOR GETTING ACCESS TO MANAGEMENT SUPPORTED BY CUSTOMER ROAMING No. 61, October 28, October 7, ” 2010 and entitled “MANAGEMENT SYSTEMS FOR MULTIPLE ACCESS MANAGEMENT FACILITIES”, No. 61 / 407,862, filed October 28, 2010 and entitled “METHOD AND DEVICE FOR TRANSMITTING ELECTRONIC IDENTIFICATION COMPONENTS FOR WIRELESS NETWORK NO. AND DEVICE FOR STORING AND PERFORMING ACCESS MANAGEMENT CLIENTS ”, No. 61/408,504, filed October 29, 2010 and entitled“ METHOD FOR ACCESSING ACCESS DATA ”, No. 61 / 409,891, filed November 3, 2010 and entitled“ METHOD FOR USING ACCESS REMOVER DEVICES ”, No. 61/410,298, filed November 4, 2010 and entitled“ MODEL OF THE PHYSICAL SAFETY DEVICE AND METHOD ”, and No. 61 / 413,317, filed November 12, 2010 and entitled“ DEVICE AND METHOD FOR REGISTRATION OF HISTORICAL DATA OF THE DEVICE each of the aforementioned applications is hereby incorporated by reference in its entirety.

Область техники, к которой относится изобретениеFIELD OF THE INVENTION

Настоящее изобретение в основном относится к области систем связи и, более конкретно, в одном примерном аспекте к беспроводным системам, которые обеспечивают аутентификацию пользовательских устройств в беспроводных сетях (например, сотовых сетях, беспроводных локальных сетях (WLAN), беспроводных городских сетях (WMAN) и т.п.) с использованием клиентов управления доступом.The present invention generally relates to the field of communication systems and, more specifically, in one exemplary aspect, to wireless systems that provide authentication of user devices in wireless networks (e.g., cellular networks, wireless local area networks (WLAN), wireless urban networks (WMAN), and etc.) using access control clients.

Уровень техникиState of the art

Беспроводные системы используются для предоставления, среди прочих, услуг голосовой связи и обмена данными для пользовательского оборудования, такого как сотовые телефоны и компьютеры.Wireless systems are used to provide, among others, voice and data communications services for user equipment such as cell phones and computers.

Пользовательское оборудование традиционно снабжается картой модуля идентификации пользователя (SIM, Subscriber Identity Module). SIM-карта содержит информацию защиты, такую как информация закрытого ключа, которая может быть использована при аутентификации пользовательского оборудования в сотовой сети.The user equipment is traditionally equipped with a Subscriber Identity Module (SIM) card. The SIM card contains security information, such as private key information, which can be used to authenticate user equipment in a cellular network.

Требование использовать SIM-карту может быть не всегда желательным. Например, необходимость предусматривать разъем для SIM-карты в пользовательских устройствах приводит к тому, что устройства становятся громоздкими и имеют повышенную стоимость. Это также приводит к необходимости управления запасами и распределением SIM-карт производителем или поставщиком услуг.The requirement to use a SIM card may not always be desirable. For example, the need to provide a slot for a SIM card in user devices leads to the fact that the devices become bulky and have an increased cost. It also necessitates the management of inventory and distribution of SIM cards by the manufacturer or service provider.

Пользователь также может быть заинтересован в приобретении беспроводного обслуживания даже в том случае, если пользователь не имеет возможности легко получить SIM-карту.The user may also be interested in acquiring wireless services, even if the user is not able to easily obtain a SIM card.

Таким образом, желательно предложить улучшенные решения, посредством которых пользователь мог бы приобрести и использовать услуги беспроводных сетей.Thus, it is desirable to propose improved solutions whereby a user can acquire and use wireless network services.

Раскрытие изобретенияDisclosure of invention

Настоящее изобретение направлено на вышеупомянутые потребности путем представления, среди прочего, устройств и способов аутентификации в беспроводной сети.The present invention addresses the aforementioned needs by presenting, inter alia, devices and authentication methods in a wireless network.

В одном аспекте изобретения поставщик сетевого обслуживания, такой как компания сотовой телефонной связи, может передавать регистрационные данные клиента доступа (например, универсальный модуль идентификации пользователя (USIM, Universal Subscriber Identity Module)) доверенному менеджеру обслуживания через поставщика USIM или напрямую.In one aspect of the invention, a network service provider, such as a cellular telephone company, can transmit access client credentials (e.g., Universal Subscriber Identity Module) to a trusted service manager through a USIM provider or directly.

Доверенный менеджер обслуживания может вести список авторизованных пользователей. Эти пользователи могут быть, например, клиентами доверенного менеджера обслуживания или соответствующими лицами. Регистрационные данные могут храниться доверенным менеджером обслуживания для каждого из авторизованных пользователей.A trusted service manager can maintain a list of authorized users. These users may be, for example, clients of a trusted service manager or relevant persons. Registration data can be stored by a trusted service manager for each of the authorized users.

Пользователь посредством пользовательского устройства может аутентифицироваться у доверенного менеджера обслуживания с использованием набора регистрационных данных пользователя. Осуществив аутентификацию, доверенный менеджер обслуживания может обеспечить пользователя набором регистрационных данных USIM. Регистрационные данные USIM могут быть сохранены в защищенном элементе в пользовательском устройстве.A user through a user device can authenticate with a trusted service manager using a set of user credentials. By authenticating, a trusted service manager can provide the user with a set of USIM credentials. USIM credentials can be stored in a secure element in a user device.

Когда пользователь пожелает воспользоваться услугами беспроводной сети, пользовательское устройств может установить беспроводную линию связи между пользовательским устройством и поставщиком сетевого обслуживания. Во время операций аутентификации пользовательское устройство может использовать регистрационные данные USIM, хранящиеся в защищенном элементе в пользовательском устройстве, для аутентификации у поставщика сетевого обслуживания. После успешной аутентификации поставщик сетевого обслуживания может обеспечить пользовательское оборудование беспроводным обслуживанием (например, возможностями осуществления голосовой связи с помощью сотового телефона и обмена данными).When the user wishes to use the services of a wireless network, the user device can establish a wireless communication line between the user device and the network service provider. During authentication operations, the user device may use the USIM credentials stored in the secure element in the user device to authenticate with the network service provider. After successful authentication, the network service provider can provide the user equipment with wireless services (for example, voice communications using a cell phone and data exchange).

В другом аспекте изобретения раскрыт способ обеспечения беспроводного обслуживания для пользовательского устройства пользователя. В одном варианте осуществления способ включает передачу данных клиента доступа в первый объект; передачу данных клиента доступа из первого объекта во второй объект по первой линии связи; использование регистрационных данных пользователя для аутентификации пользовательского устройства; передачу данных клиента доступа из второго объекта в пользовательское устройство по второй линии связи после аутентификации пользовательского устройства.In another aspect of the invention, a method for providing wireless service to a user device of a user is disclosed. In one embodiment, the method includes transmitting access client data to a first entity; data transfer of the access client from the first object to the second object on the first communication line; using user credentials to authenticate a user device; data transfer of the access client from the second object to the user device on the second communication line after authentication of the user device.

В одном варианте способа первый объект включает поставщика USIM, а второй объект включает доверенного менеджера обслуживания.In one embodiment of the method, the first entity includes a USIM provider, and the second entity includes a trusted service manager.

В другом варианте способа клиент доступа включает универсальный SIM (USIM), а доверенный менеджер обслуживания осуществляет аутентификацию.In another embodiment of the method, the access client includes a universal SIM (USIM), and a trusted service manager authenticates.

В дополнительном варианте передача данных клиента доступа вызывает сохранение пользовательским устройством данных клиента доступа в защищенном элементе.In a further embodiment, transmitting access client data causes the user device to store access client data in a secure element.

В еще одном варианте вторая линия связи включает защищенное беспроводное соединение.In yet another embodiment, the second communication line includes a secure wireless connection.

В еще одном варианте первая линия связи дополнительно включает доставку физического запоминающего устройства, содержащего данные USIM.In yet another embodiment, the first communication line further includes delivering a physical storage device containing USIM data.

В еще одном варианте регистрационные данные пользователя включают информацию об учетной записи, индивидуальную для пользователя.In yet another embodiment, the user credentials include account information specific to the user.

В другом аспекте изобретения раскрыто беспроводное устройство. В одном варианте осуществления устройство содержит одну или более линий связи, реализованных с возможностью осуществления связи с поставщиком обслуживания; защищенный элемент, выполненный с возможностью сохранения клиента доступа; процессор; запоминающее устройство, выполненное с возможностью осуществления обмена данными с процессором, причем запоминающее устройство содержит выполняемые компьютером команды. Команды при выполнении их процессором обеспечивают осуществление аутентификации у поставщика обслуживания, причем указанная успешная аутентификация приводит к предоставлению поставщиком обслуживания клиента доступа; сохранение клиента доступа в защищенном элементе в ответ на прием клиента доступа.In another aspect of the invention, a wireless device is disclosed. In one embodiment, the device comprises one or more communication lines configured to communicate with a service provider; a secure element configured to save an access client; CPU; a storage device configured to communicate with a processor, the storage device comprising computer-executable instructions. Commands, when executed by the processor, provide authentication at the service provider, said successful authentication leading to the provision by the service provider of the client access; storing the access client in the secure element in response to receiving the access client.

В одном варианте устройство содержит системы схем беспроводной связи дальнего и/или ближнего действия.In one embodiment, the device comprises a system of long-range and / or short-range wireless communication schemes.

В другом варианте устройство дополнительно содержит систему схем ближней бесконтактной связи (NFC, Near Field Communications).In another embodiment, the device further comprises a system of near contactless communications (NFC, Near Field Communications).

В дополнительном варианте защищенный элемент представляет собой защищенную от несанкционированного воздействия интегрированную микросхему, встроенную в устройство на постоянной основе.In an additional embodiment, the protected element is an integrated chip protected from unauthorized interference, which is built into the device on an ongoing basis.

В другом варианте защищенный элемент выполнен с возможностью аутентификации пользовательского устройства для сетевого обслуживания на основе, по меньшей мере частично, данных клиента доступа.In another embodiment, the secure element is configured to authenticate a user device for network service based at least in part on access client data.

В другом аспекте изобретения раскрыт способ защищенного сохранения данных клиента доступа в пользовательском устройстве. В одном варианте осуществления способ включает передачу одного или более элемента регистрационных данных пользователя поставщику обслуживания, причем передача обеспечивает аутентификацию пользовательского устройства поставщиком обслуживания на основе, по меньшей мере частично, одного или более элемента регистрационных данных пользователя; прием данных клиента доступа по линии связи после успешного осуществления аутентификации пользовательского устройства; и сохранение данных клиента доступа в защищенном элементе.In another aspect of the invention, a method for securely storing access client data in a user device is disclosed. In one embodiment, the method includes transmitting one or more user credentials to a service provider, the transfer providing authentication of a user device by a service provider based at least in part on one or more user credentials; receiving data access client over the communication line after the successful authentication of the user device; and storing the access client data in the secure element.

В одном варианте линия связи содержит систему схем беспроводной связи ближнего действия, такую как система схем ближней бесконтактной связи (NFC).In one embodiment, the communication line comprises a short-range wireless communication circuit system, such as a near proximity communication (NFC) system.

В другом варианте защищенный элемент представляет собой защищенную от несанкционированного воздействия интегрированную микросхему, встроенную в устройство на постоянной основе.In another embodiment, the protected element is an integrated chip protected from unauthorized interference, which is built into the device on an ongoing basis.

В дополнительном аспекте изобретения раскрыто вспомогательное устройство для модуля идентификации пользователя (SIM). В одном варианте осуществления устройство содержит одну или более линий связи, реализованных с возможностью осуществления связи с сотовым устройством; приемное гнездо;In an additional aspect of the invention, an auxiliary device for a user identification module (SIM) is disclosed. In one embodiment, the device comprises one or more communication lines configured to communicate with a cellular device; receiving socket;

процессор; и запоминающее устройство, выполненное с возможностью осуществления обмена данными с процессором, причем запоминающее устройство содержит выполняемые компьютером команды. Выполняемые компьютером команды при выполнении их процессором обеспечивают осуществление:CPU; and a storage device configured to communicate with the processor, the storage device comprising computer-executable instructions. Computer-executed instructions, when executed by the processor, provide for:

уведомления сотового устройства о присутствии устройства SIM с сохраненными на нем первыми данными SIM в приемном гнезде; предоставление доступа к устройству SIM через одну или более линий связи в ответ на прием запроса осуществления операций SIM.notifying the cellular device of the presence of the SIM device with the first SIM data stored on it in the receiving slot; providing access to the SIM device through one or more communication lines in response to receiving a request for performing SIM operations.

В одном варианте сотовое устройство содержит защищенный элемент, причем защищенный элемент выполнен с возможностью хранения одного или более элемента вторых данных SIM.In one embodiment, the cellular device comprises a security element, the security element being configured to store one or more second SIM data elements.

В еще одном аспекте изобретения раскрыт компьютерочитаемый носитель информации. В одном варианте осуществления носитель информации содержит защищенный элемент (например, защищенную интегральную схему) с сохраненными на нем данными клиента доступа (например, виртуального USIM), причем данные, при осуществлении к ним доступа, обеспечивают пользователя возможностью доступа к одному или более сетевому обслуживанию.In yet another aspect of the invention, a computer-readable storage medium is disclosed. In one embodiment, the storage medium comprises a secure element (e.g., a secure integrated circuit) with access client data (e.g., virtual USIM) stored on it, the data, when accessing them, provide the user with access to one or more network services.

Дополнительные признаки изобретения, его сущность и различные преимущества будут более очевидны из сопровождающих чертежей и последующего детального описания предпочтительных вариантов осуществления.Additional features of the invention, its nature and various advantages will be more apparent from the accompanying drawings and the following detailed description of preferred embodiments.

Краткое описание чертежейBrief Description of the Drawings

Признаки, задачи и преимущества изобретения станут более очевидными благодаря детальному описанию, изложенному далее, представленному с использованием чертежей, на которых:The features, objectives and advantages of the invention will become more apparent due to the detailed description set forth below, presented using the drawings, in which:

На фиг.1 представлена диаграмма процедуры аутентификации и согласования ключей (АКА, Authentication and Key Agreement) из уровня техники.Figure 1 presents a diagram of the authentication procedure and key agreement (AKA, Authentication and Key Agreement) from the prior art.

На фиг.2 показана диаграмма операций АКА, осуществляемых USIM, из уровня техники.Figure 2 shows a diagram of AKA operations performed by USIM from the prior art.

На фиг.3 показана диаграмма архитектуры аппаратного обеспечения модулей идентификации пользователя (SIM) из уровня техники.Figure 3 shows a diagram of the hardware architecture of user identification modules (SIM) from the prior art.

На фиг.4 показана диаграмма, иллюстрирующая беспроводную систему в соответствии с вариантом осуществления настоящего изобретения.4 is a diagram illustrating a wireless system in accordance with an embodiment of the present invention.

На фиг.5а показана функциональная блок-схема первого примера варианта осуществления архитектуры аппаратного обеспечения для «виртуальных» модулей идентификации пользователей (SIM) в соответствии с настоящим изобретением.FIG. 5 a shows a functional block diagram of a first example embodiment of a hardware architecture for “virtual” user identification modules (SIMs) in accordance with the present invention.

На фиг.5b показана функциональная блок-схема второго примера варианта осуществления архитектуры аппаратного обеспечения для «виртуальных» модулей идентификации пользователей (SIM) в соответствии с настоящим изобретением.FIG. 5b shows a functional block diagram of a second example embodiment of a hardware architecture for “virtual” user identification modules (SIMs) in accordance with the present invention.

На фиг.6 показана диаграмма одного примера варианта осуществления настоящего изобретения, функционирующего совместно со вспомогательным устройством для SIM в соответствии с настоящим изобретением.FIG. 6 is a diagram of one example embodiment of the present invention, operating in conjunction with a SIM accessory in accordance with the present invention.

На фиг.7 показана диаграмма способа доставки USIM в сотовое устройство из уровня техники.7 shows a diagram of a method for delivering USIM to a prior art cellular device.

На фиг.8 показана диаграмма, иллюстрирующая один пример способа доставки информации USIM в сотовое устройство в соответствии с настоящим изобретением.8 is a diagram illustrating one example of a method for delivering USIM information to a cellular device in accordance with the present invention.

Осуществление изобретенияThe implementation of the invention

Обозначения с одинаковыми номерами относятся к одинаковым частям на всех чертежах.Designations with the same numbers refer to the same parts throughout the drawings.

Специалист в данной области техники может сделать вывод о том, что различные варианты осуществления настоящего изобретения полезны как для архитектур из уровня техники (например, для данных USIM, размещаемых в физической SIM-карте), так и для новых архитектур (например, данных USIM, сохраняемых в защищенном элементе). В некоторых вариантах настоящее изобретение может дополнительно относиться к комбинациям операций как карты из уровня техники, так и защищенного элемента, обеспечивая поддержку существующих SIM-карт, которые не хранятся в защищенном элементе.One of ordinary skill in the art can conclude that various embodiments of the present invention are useful both for prior art architectures (e.g., USIM data placed in a physical SIM card) and new architectures (e.g. USIM data, stored in the protected item). In some embodiments, the present invention may further relate to combinations of operations of both a prior art card and a secure element, providing support for existing SIM cards that are not stored in the secure element.

В одном примере варианта осуществления настоящего изобретения данные SIM содержат данные с высокой степенью защиты, применимые, среди прочего, для аутентификации (например, ключи и алгоритмы шифрования, др.) Например, данные с высокой степенью защиты могут содержать ключ аутентификации (Ki) и все алгоритмы шифрования (например, F1, F2, F3, F4 и F5, как описано в 3GPP TS 35.205 V9.0.0, опубликованном 31 декабря 2009 и озаглавленном "Спецификация набора алгоритмов MILENAGE: Пример набора алгоритмов для аутентификации функций формирования ключей 3GPP f1, f1*, f2, f3, f4, f5 and f5*'', все содержание которой целиком включено в настоящий документ посредством ссылки). В другом варианте осуществления данные SIM содержат информацию группы операторов и/или информацию данных пользователя. Примеры такой информации включают в себя параметры выбора сети, информацию идентификации, данные оператора, данные приложения и др.In one example embodiment of the present invention, the SIM data contains highly secure data applicable, inter alia, for authentication (e.g., keys and encryption algorithms, etc.) For example, highly secure data may contain an authentication key (Ki) and all encryption algorithms (e.g. F1, F2, F3, F4, and F5, as described in 3GPP TS 35.205 V9.0.0, published December 31, 2009, entitled "MILENAGE Algorithm Set Specification: An Example Algorithm Set for Authentication of 3GPP Key Generation Functions f1, f1 * , f2, f3, f4, f5 and f5 * '', in all contents of which are hereby incorporated by reference in their entirety.) In another embodiment, the SIM data comprises information of a group of operators and / or information of user data. Examples of such information include network selection parameters, identification information, operator data, application data, etc.

Общеизвестные примеры параметров выбора сети включают в себя, без ограничения: селектор публичной наземной мобильной сети (PLMNSel, Public Land Mobile Network Selector), запрещенные PLMN (FPLMN, Forbidden PLMN), домашняя PLMN (HPLMN, Home PLMN) и др.Well-known examples of network selection parameters include, without limitation: public land mobile network selector (PLMNSel, Public Land Mobile Network Selector), prohibited PLMN (FPLMN, Forbidden PLMN), home PLMN (HPLMN, Home PLMN), etc.

Общеизвестные примеры информации идентификации включают в себя, без ограничения: международный мобильный идентификатор пользователя (IMSI, International Mobile Subscriber Identity), идентификатор карты с интегральной схемой (ICCID, Integrated Circuit Card ID), временный мобильный идентификатор пользователя (TMSI, Temporary Mobile Subscriber Identity), пакетный TMSI (P-TMSI, Packet TMSI) и номер мобильного пользователя цифровой сети интегрированного обслуживания (MSISDN, Mobile Subscriber Integrated Services Digital Network Number).Well-known examples of identification information include, without limitation: International Mobile Subscriber Identity (IMSI), Integrated Circuit Card ID (ICCID), Temporary Mobile Subscriber Identity (TMSI) , Packet TMSI (P-TMSI, Packet TMSI) and Mobile Subscriber Integrated Services Digital Network Number (MSISDN).

Обычные данные оператора могут включать в себя, например, список наименований поставщиков обслуживания (SPN, Service Provider Name) управляемой оператором PLMN (OPLMN, Operator controlled PLMN), наименование сети PLMN (PNN, PLMN Network Name) для отображаемого наименования, центр управления экстренными ситуациями (ЕСС, Emergency Control Center) для управления экстренными вызовами и другие категории и т.п.Typical operator data may include, for example, a list of Service Provider Names (SPNs) for operator-controlled PLMNs (OPLMNs, Operator controlled PLMNs), PLMNs (PNNs, PLMNs Network Names) for the displayed names, emergency control centers (ЕСС, Emergency Control Center) for emergency call management and other categories, etc.

Пример данных приложений включают в себя, без ограничений, набор приложений SIM (STK, SIM Application Toolkit) (например, агент роуминга (Roaming Broker), усовершенствованный выбор сети (HNS, Enhanced Network Selection), приложения изменения международного идентификатора мобильного оборудования (IMEI, International Mobile Equipment Identity) и т.п.)Examples of these applications include, without limitation, a set of SIM applications (STK, SIM Application Toolkit) (for example, Roaming Broker), advanced network selection (HNS, Enhanced Network Selection), applications changing the international identifier of mobile equipment (IMEI, International Mobile Equipment Identity), etc.)

Процедуры аутентификации из уровня техникиPrior Art Authentication Procedures

В качестве краткого отступления, на фиг.1 представлена схема типичной процедуры 100 аутентификации и согласования ключей (АКА) из уровня техники в примере контекста сотовой системы UMTS. Во время обычных процедур аутентификации, устройство (терминал) UE 102 получает из USIM 104 международный мобильный идентификатор пользователя (IMSI, International Mobile Subscriber Identifier). UE передает его в обслуживающую сеть (SN, Serving Network) 106 сетевого оператора или посещаемую базовую сеть. Сеть SN направляет запрос аутентификации в AuC 108 домашней сети (HN, Home Network). Сеть HN сравнивает принятый IMSI с регистрационной записью AuC и получает соответствующий К. Сеть HN формирует случайное число (RAND) и подписывает его посредством К, используя алгоритм для создания ожидаемого ответа (XRES). Сеть HN дополнительно формирует ключ шифрования (СК, Cipher Key) и ключ целостности (IK, Integrity Key) для использования в шифровании и защите целостности, а также маркер аутентификации (AUTN, Authentication Token) с использованием различных алгоритмов. Сеть HN передает в сеть SN аутентификационный вектор, стоящий из RAND, XRES, СК и AUTN. Сеть SN сохраняет аутентификационный вектор только для использования в однократной процедуре аутентификации. Сеть SN передает RAND и AUTN в устройство UE.As a brief digression, FIG. 1 is a diagram of a typical prior art authentication and key agreement (AKA) procedure 100 in an example context of a UMTS cellular system. During normal authentication procedures, the device (terminal) of the UE 102 receives from the USIM 104 an International Mobile Subscriber Identifier (IMSI). The UE transmits it to a serving network (SN, Serving Network) 106 of a network operator or a visited core network. The SN sends an authentication request to the AuC 108 of the home network (HN, Home Network). The HN network compares the received IMSI with the AuC record and obtains the corresponding K. The HN network generates a random number (RAND) and signs it with K, using the algorithm for generating the expected response (XRES). The HN network additionally generates an encryption key (CK, Cipher Key) and an integrity key (IK, Integrity Key) for use in encryption and integrity protection, as well as an authentication token (AUTN, Authentication Token) using various algorithms. The HN network transmits to the SN network an authentication vector consisting of RAND, XRES, SC, and AUTN. The SN network stores the authentication vector for use in a single authentication procedure only. The SN network transmits RAND and AUTN to the UE.

После того, как устройство UE 102 примет RAND и AUTN, USIM 104 проверяет достоверность принятого AUTN. Если это так, то UE использует принятое RAND для определения своего собственного ответа (RES) с использованием сохраненного К и того же алгоритма, который генерирует XRES. UE отправляет RES назад в сеть SN. Сеть SN 106 сравнивает XRES с принятым RES и, если они совпадают, то SN авторизует UE для использования обслуживания в беспроводной сети оператора.After the UE 102 receives RAND and AUTN, USIM 104 checks the validity of the received AUTN. If so, then the UE uses the received RAND to determine its own response (RES) using stored K and the same algorithm that generates XRES. The UE sends the RES back to the SN network. The SN 106 compares the XRES with the received RES and, if they match, the SN authorizes the UE to use the service in the operator’s wireless network.

На фиг.2 графически показаны операции 200 АКА из уровня техники, выполняемые USIM для проверки принятого AUTN. USIM использует криптографические функции F1, F2, F3, F4 и F5 (см. 3GPP TS 3.5.205 V9.0.0, ранее полностью включенный по ссылке), сохраненный ключ К и принятые AUTN и RAND. Используя RAND и К в качестве входных данных для F5, USIM вычисляет ключ анонимности (АК, Anonymity Key). С помощью операции XOR (исключающее ИЛИ) над АК с первым полем AUTN формируется номер последовательности (SQN, Sequence Number). Используя RAND, К, SQN и AMF в качестве входных данных для F1, F2, F3 и F4, USIM вычисляет ожидаемый код аутентификации сообщения (ХМАС, Expected Message Authentication Code), RES, СК и IK. Далее UE сравнивает ХМАС с MAC из AUTN; если они отличаются, то UE отправляет назад в регистр положения посетителей/узел поддержки обслуживания GPRS (VLR/SGSN, Visitor Location Register/Serving GPRS Support Node) сообщение об ошибке аутентификации с указанием причины и прерывает процедуру.Figure 2 graphically shows the operations 200 AKA from the prior art performed by USIM to verify the received AUTN. USIM uses the cryptographic functions F1, F2, F3, F4 and F5 (see 3GPP TS 3.5.205 V9.0.0, previously fully incorporated by reference), the saved key K, and accepted by AUTN and RAND. Using RAND and K as input to F5, USIM calculates an anonymity key (AK, Anonymity Key). Using the XOR operation (exclusive OR) on the AK with the first AUTN field, the sequence number (SQN, Sequence Number) is formed. Using RAND, K, SQN, and AMF as input for F1, F2, F3, and F4, USIM calculates the Expected Message Authentication Code, RES, CK, and IK. Next, the UE compares the KhMAS with the MAC of AUTN; if they are different, then the UE sends back an authentication error message indicating the reason and terminates the procedure to the visitor location register / GPRS service support node (VLR / SGSN, Visitor Location Register / Serving GPRS Support Node) and aborts the procedure.

В одном варианте реализации, в том случае, если ХМАС совпадает с MAC, то UE проверяет, находится ли SQN в допустимом диапазоне, и отправляет назад в VLR/SGSN ответное сообщение аутентификации, которое содержит вычисленный результат RES. В альтернативном варианте, если SQN недопустим, то UE осуществляет процедуру повторной синхронизации и направляет назад в VLR/SGSN сообщение об ошибке синхронизации.In one implementation, in the event that the HMAC matches the MAC, the UE checks to see if the SQN is in the valid range and sends back an authentication response message that contains the calculated RES result to the VLR / SGSN. Alternatively, if the SQN is invalid, then the UE performs a resynchronization procedure and sends a synchronization error message back to the VLR / SGSN.

После успешного завершения вышеописанной процедуры, UE и UTRAN находятся в согласии в отношении СК и IK и могут активировать шифрование шифрования и защиту целостности. Далее со ссылкой на фиг.3 показана типичная архитектура 300 модулей идентификации пользователей (SIM) из уровня техники. Как показано, USIM сохранен на универсальной карте с интегральной схемой (UICC, Universal Integrated Circuit Card), выполненной с возможностью помещения в сотовое устройство 304. USIM осуществляет программные процедуры, необходимые для процедуры АКА (как показано на фиг.1 и 2). Защищенная UICC хранит секретные ключи, известные только USIM и сети, и поддерживает внутренние счетчики (например, состояния), относящиеся к защищенным транзакциям. Физическая форма выполнения USIM может передаваться физически, например, через почтовые ящики, почту, киоски и т.п.Upon successful completion of the above procedure, the UEs and UTRANs are in agreement with the SK and IK and can activate encryption encryption and integrity protection. Next, with reference to FIG. 3, a typical architecture 300 of a prior art user identification module (SIM) is shown. As shown, USIM is stored on a universal integrated circuit card (UICC, Universal Integrated Circuit Card) configured to be placed in cellular device 304. USIM implements the software procedures necessary for the AKA procedure (as shown in FIGS. 1 and 2). The secure UICC stores secret keys known only to USIM and networks, and supports internal counters (such as states) related to secure transactions. The physical form of USIM execution can be physically transmitted, for example, through mailboxes, mail, kiosks, etc.

Примеры вариантов осуществленияExamples of embodiments

Пример варианта осуществления беспроводной системы 400, в которой пользователь с помощью пользовательского устройства 430 может получать беспроводное сетевое обслуживание от поставщика 412 сетевого обслуживания в соответствии с настоящим изобретением показан на фиг.4. Пользовательское устройство 430 может быть, например, сотовым телефоном или смартфоном, настольным компьютером, ноутбуком или другим соответствующим вычислительным оборудованием. В случае прохождения авторизации пользовательское устройство 430 может осуществлять связь с поставщиком 412 сетевого обслуживания через беспроводную линию 432 связи.An example embodiment of a wireless system 400 in which a user using a user device 430 can receive wireless network services from a network service provider 412 in accordance with the present invention is shown in FIG. The user device 430 may be, for example, a cell phone or smartphone, desktop computer, laptop, or other appropriate computing equipment. In the case of authorization, the user device 430 can communicate with the network service provider 412 via a wireless communication line 432.

Пользовательское устройство 430 может иметь систему схем беспроводной связи. Например, пользовательское устройство 430 может использовать систему схем беспроводной связи дальнего действия, такую как система схем сотовой связи для осуществления связи через линию 432 связи с использованием диапазонов сотовой телефонии на 850 МГц, 900 МГц, 1800 МГц и 1900 МГц (например, основные диапазоны сотовой телефонии глобальной системы мобильной связи или GSM (Global System for Mobile Communications)). Система схем беспроводной связи дальнего действия в пользовательском устройстве 430 также может быть выполнена с возможностью работы в диапазоне 2100 МГц. При необходимости пользовательское устройство также может использовать линии беспроводной связи ближнего действия для эффективной связи с близлежащим оборудованием. Например, электронные устройства могут осуществлять связь с использованием диапазонов WiFi® (IEEE 802.11) 2,4 ГГц и 5 ГГц и диапазона Bluetooth® 2,4 ГГц.User device 430 may have a wireless communication circuit system. For example, user device 430 may use a long-range wireless communication system system, such as a cellular communication system, to communicate via a communication line 432 using cellular telephony bands at 850 MHz, 900 MHz, 1800 MHz, and 1900 MHz (e.g., basic cellular ranges telephony of the global system for mobile communications or GSM (Global System for Mobile Communications). The long-range wireless communication system in user device 430 may also be configured to operate in the 2100 MHz band. If necessary, the user device can also use short-range wireless links to communicate effectively with nearby equipment. For example, electronic devices can communicate using the 2.4 GHz and 5 GHz WiFi® (IEEE 802.11) bands and the 2.4 GHz Bluetooth® band.

Поставщик 412 сетевого обслуживания может потребовать, чтобы перед предоставлением обслуживания пользователь соответствующим образом аутентифицировался. Например, поставщик 412 сетевого обслуживания может поддерживать информацию 414 универсально модуля идентификации пользователя (USIM), которая используется для определения того, авторизован ли заданный пользователь для использования обслуживания поставщика 412. Неавторизованным пользователям (например, пользователям, которые не имеют активных учетных записей) в обслуживании будет отказано. Авторизованным пользователям будет разрешено установить линии связи (такие как линия 432 связи) для осуществления и приема голосовых телефонных вызовов, для скачивания и загрузки данных или для другого получения обслуживания, доступного от поставщика 412 сетевого обслуживания.The network service provider 412 may require that the user authenticate appropriately before providing the service. For example, the network service provider 412 may support universal user identification module (USIM) information 414, which is used to determine whether a given user is authorized to use the service of the provider 412. Unauthorized users (eg, users who do not have active accounts) in the service will be refused. Authorized users will be allowed to establish communication lines (such as communication line 432) for making and receiving voice telephone calls, for downloading and downloading data, or for other receiving services available from a network service provider 412.

Традиционно данные 414 USIM передаются авторизованным пользователям в форме карт модуля идентификации пользователя (SIM). Такой подход обычно требует наличие разъема для SIM-карты в пользовательском устройстве.Traditionally, USIM data 414 is transmitted to authorized users in the form of user identification module (SIM) cards. This approach usually requires a SIM card slot in the user device.

Со схемой, показанной на фиг.4, для пользовательского устройства не обязательно принимать данные 414 USIM в виде извлекаемой SIM-карты. В противоположность этому данные USIM могут распространяться с использованием проводных и/или беспроводных сетевых соединений.With the circuit shown in FIG. 4, it is not necessary for the user device to receive USIM data 414 as a retrievable SIM card. In contrast, USIM data may be distributed using wired and / or wireless network connections.

В качестве примера данные 414 USIM могут передаваться в пользовательское устройство 430 от поставщика 412 сетевого обслуживания напрямую или с использованием одного или более промежуточных объектов, таких как поставщик 422 USIM и/или доверенный менеджер 424 обслуживания.As an example, USIM data 414 may be transmitted to a user device 430 from a network service provider 412 directly or using one or more intermediate entities, such as a USIM provider 422 and / or a trusted service manager 424.

В одном примере осуществления поставщик 412 сетевого обслуживания может передавать данные 414 USIM для множества пользователей поставщику 422 USIM по линии 416 связи. Линия 416 связи может быть защищенной проводной или беспроводной линией связи или может использовать физическую доставку запоминающего устройства, содержащего данные 414 USIM.In one embodiment, the network service provider 412 may transmit USIM data 414 for multiple users to the USIM provider 422 over a communications link 416. The communication line 416 may be a secure wired or wireless communication line or may use the physical delivery of a storage device containing USIM data 414.

Поставщик 422 USIM, который может быть, например, организацией, производящей SIM-карты, может передавать данные USIM доверенному менеджеру (менеджерам) 424 обслуживания по линии 420 (или, альтернативно, доверенный менеджер обслуживания может получать данные USIM непосредственно от поставщика 412 сетевого обслуживания по другой линии 418 связи).A USIM provider 422, which may be, for example, a SIM card manufacturing organization, can transfer USIM data to a trusted service manager (s) 424 via line 420 (or, alternatively, a trusted service manager can receive USIM data directly from a network service provider 412 via another communication line 418).

Доверенный менеджер 424 обслуживания, который может быть, например, организацией, которая продает пользовательское устройство 430 или объектом, связанным с поставщиком устройства 430, может поддерживать базу данных с регистрационными данными 426 пользователя. Регистрационные данные пользователя могут быть использованы для установления того, какие пользователи являются авторизованными клиентами доверенного менеджера обслуживания и/или имеют авторизацию для получения доступа к сети от поставщика 414 сетевого обслуживания. Например, регистрационные данные 426 пользователя могут включать в себя информацию учетной записи, которую пользователи пользовательского устройства 430 получают при покупке пользовательского устройства 430 (или вскоре после этого). Регистрационные данные 426 пользователя могут включать в себя, например, информацию о пользовательском имени и пароле, информацию о кредитной карте и другую информацию, которая может быть использована для установления личности авторизованных пользователей.A trusted service manager 424, which may be, for example, an organization that sells a user device 430 or an entity associated with a vendor of a device 430, may maintain a database with user credentials 426. The user credentials can be used to determine which users are authorized clients of the trusted service manager and / or have authorization to gain access to the network from the network service provider 414. For example, user credentials 426 may include account information that users of user device 430 receive when purchasing user device 430 (or shortly thereafter). User registration data 426 may include, for example, user name and password information, credit card information, and other information that can be used to identify authorized users.

Доверенный менеджер 424 обслуживания в одном варианте осуществления может выполнять задачи управления учетной записью, связанные с обслуживанием пользовательских учетных записей (т.е. с обслуживанием регистрационных данных 426 пользователя и определением того, какой из пользователей, связанный с регистрационными данными 426 пользователя, авторизован для получения данных 414 USIM для авторизации принадлежащего ему пользовательского устройства). В вычислительное оборудование доверенного менеджера 424 обслуживания могут быть включены веб-сайт и представители клиентского обслуживания, доступные по телефону. Веб-сайт может быть использован, например, для того, чтобы позволить пользователю создать учетную запись и установить соответствующий набор регистрационных данных пользователя, купить беспроводное обслуживание (используемое у поставщика 412), совершить другие покупки у доверенного менеджера 424 обслуживания и т.п.A trusted service manager 424 in one embodiment may perform account management tasks associated with servicing user accounts (i.e., servicing user credentials 426 and determining which user associated with user credentials 426 is authorized to receive 414 USIM data for authorization of his user device). The computing equipment of the trusted service manager 424 may include a website and telephone customer service representatives. A website can be used, for example, to allow a user to create an account and set up an appropriate set of user registration data, buy a wireless service (used from a provider 412), make other purchases from a trusted service manager 424, etc.

При обычном сценарии пользователь пользовательского устройства 430 осуществляет связь с доверенным менеджером 424 обслуживания по линии 434 связи. Линия 434 связи включает, например, проводные и беспроводные линии связи между устройством 430 и менеджером 424. При необходимости в линию 434 может быть включено промежуточное оборудование (например, персональный компьютер, с которым соединяется пользовательское устройство 430 с использованием, например, соединения USB).In a typical scenario, a user of a user device 430 communicates with a trusted service manager 424 over a communication link 434. Communication line 434 includes, for example, wired and wireless communication lines between device 430 and manager 424. If necessary, intermediate equipment can be included in line 434 (for example, a personal computer to which user device 430 is connected using, for example, a USB connection).

При осуществлении связи с доверенным менеджером 424 обслуживания пользовательское устройство 430 передает доверенному менеджеру обслуживания регистрационные данные пользователя. Доверенный менеджер обслуживания аутентифицирует эти регистрационные данные с использованием в одном варианте осуществления базы 426 данных с регистрационными данными пользователя.When communicating with a trusted service manager 424, the user device 430 transmits the user credentials to the trusted service manager. A trusted service manager authenticates these credentials using, in one embodiment, a database 426 with user credentials.

Если пользовательское устройство успешно аутентифицировано, доверенный менеджер 424 обслуживания может передать соответствующие данные 414 USIM в пользовательское устройство 430 по защищенному каналу в линии 434 связи. Пользовательское устройство 430 при необходимости может сохранить данные USIM, принятые таким образом, например, в защищенном элементе 428. Защищенный элемент 428 может быть, например, защищенной от несанкционированного воздействия интегральной микросхемой, которая встроена в пользовательское устройство 430 на постоянной основе или же может быть извлекаемым элементом.If the user device is successfully authenticated, the trusted service manager 424 may transmit the corresponding USIM data 414 to the user device 430 over a secure channel on the communication link 434. The user device 430, if necessary, can store USIM data received in this way, for example, in the security element 428. The security element 428 can be, for example, protected from unauthorized interference by an integrated circuit that is permanently integrated in the user device 430 or can be retrieved an element.

После сохранения данных 414 USIM в пользовательском устройстве 430 пользовательское устройство может использовать сохраненные данные USIM для запроса беспроводного обслуживания у поставщика 412 сетевого обслуживания. После аутентификации пользовательского устройства 430 у поставщика 412 сетевого обслуживания, поставщик 412 сетевого обслуживания может обеспечить пользовательское устройство 430 беспроводным обслуживанием, таким как голосовая связь и обмен данными с использованием беспроводной линии 432 связи.After storing USIM data 414 in user device 430, the user device can use the stored USIM data to request wireless service from a network service provider 412. After authenticating the user device 430 with the network service provider 412, the network service provider 412 can provide the user device 430 with wireless services such as voice and data communications using the wireless communication line 432.

Далее со ссылкой на фиг.5а и 5b проиллюстрированы два примера варианта осуществления аппаратной архитектуры (502, 504) для «виртуальных» модулей идентификации пользователей (SIM) в соответствии с изобретением, соответственно. В отличие от решения из уровня техники на фиг.3, примеры вариантов осуществления на фиг.5а и 5b сохраняют USIM 506 во встроенном защищенном элементе (SE, Secure Element) 508, а не в извлекаемой карте. Показанный сначала вариант 502 осуществления настоящего изобретения (фиг.5а) дополнительно содержит маршрутизатор 510 ближней бесконтактной связи (NFC). Показанный далее второй вариант осуществления 504 (фиг.5b) не содержит маршрутизатор NFC.Next, with reference to FIGS. 5a and 5b, two examples of an embodiment of a hardware architecture (502, 504) for “virtual” user identification modules (SIMs) in accordance with the invention, respectively, are illustrated. In contrast to the prior art solution of FIG. 3, the examples of embodiments of FIGS. 5a and 5b store the USIM 506 in an integrated Secure Element 508, and not in a removable card. First shown, embodiment 502 of the present invention (FIG. 5 a) further comprises a proximity contact router (NFC) 510. The second embodiment 504 shown below (FIG. 5b) does not include an NFC router.

На фиг.6 показан первый вариант 502 осуществления на фиг.5а совместно со вспомогательным устройством 602 для SIM. Как показано, вспомогательное устройство 602 для SIM обеспечивает возможность осуществления, среди прочего, переходных вариантов осуществления и поддержку существующих архитектур. Варианты осуществления для существующих архитектур могут иметь определенную ценность для тех, кто часто меняет SIM-карты и/или для сотовых операторов, которые медленно обновляют их существующие сети или вовсе не хотят их обновлять. Как показано на фиг.6, Bluetooth профиль доступа SIM (SAP) обеспечивает необходимые функции (например, протокол АКА), обычно выполняемые физической SIM-картой, вставленной в модем.FIG. 6 shows a first embodiment 502 of FIG. 5a in conjunction with a SIM accessory 602. As shown, the SIM accessory 602 provides, inter alia, transitional embodiments and support for existing architectures. Embodiments for existing architectures may be of some value to those who frequently change SIM cards and / or to mobile operators who are slowly updating their existing networks or do not want to update them at all. As shown in FIG. 6, the Bluetooth SIM Access Profile (SAP) provides the necessary functions (for example, AKA protocol) typically performed by a physical SIM card inserted in the modem.

Как показано, когда SIM-карта 302 вставлена в разъем вспомогательного устройства для SIM, вспомогательное устройство может осуществлять связь с сотовым устройством с помощью приемопередатчика Bluetooth и может находиться в кармане, кошельке и т.п. Во время обычной работы сотовое устройство (поддерживающее связь со вспомогательным устройством) запрашивает пользователя, следует ли использовать внешнюю SIM. Если это так, то модем 502 при необходимости осуществляет доступ к внешней SIM 302 по Bluetooth SAP.As shown, when the SIM card 302 is inserted into the slot of the auxiliary device for SIM, the auxiliary device can communicate with the cellular device using the Bluetooth transceiver and can be in a pocket, wallet, etc. During normal operation, the cellular device (communicating with the auxiliary device) asks the user whether to use an external SIM. If so, then the modem 502, if necessary, accesses the external SIM 302 via Bluetooth SAP.

Со ссылкой на фиг.7 графически проиллюстрирован один способ из уровня техники по применению USIM 302. Как показано, данные USIM формируются у оператора 708 и на шаге 701 передаются поставщику 706 SIM-карт. Далее, на шаге 702 USIM внедряется в карты UICC 302 для продажи пользователям. После того, как карта UICC была вставлена в сотовое устройство 304 на шаге 703, и сотовое устройство и оператор могут выполнять шаги по активации, аутентификации, регистрации и т.п. (шаг 704).With reference to FIG. 7, one prior art method for using USIM 302 is graphically illustrated. As shown, USIM data is generated from an operator 708 and transmitted to a SIM provider 706 in step 701. Next, at step 702, USIM is embedded in the UICC 302 cards for sale to users. After the UICC card has been inserted into the cellular device 304 in step 703, both the cellular device and the operator can perform activation, authentication, registration, and the like steps. (step 704).

В противоположность этому, на фиг.8 показан один пример варианта осуществления способа распространения информации 506 USIM в соответствии с настоящим изобретением. Как показано на шаге 801, данные USIM генерируются у оператора 808 и передаются поставщику 806 USIM. Поставщик USIM может передать USIM на шаге 802, например, доверенному менеджеру 810 обслуживания (TSM, trusted services manager). TSM передает USIM в сотовое устройство 502 по какому-либо защищенному каналу (например, беспроводной или проводной интерфейс) (шаг 803). Как показано, защищенный канал основан на защищенном домене эмитента (ISD, Issuer's Security Domain) (шаг 804), который прошит в защищенном элементе (SE) при изготовлении. После успешного переноса USIM в сотовое устройство, сотовое устройство и оператор могут осуществлять шаги по активации, аутентификации, регистрации и т.п. (шаг 805).In contrast, FIG. 8 shows one example embodiment of a method for distributing USIM information 506 in accordance with the present invention. As shown in step 801, USIM data is generated from the operator 808 and transmitted to the USIM provider 806. The USIM provider can transfer USIM in step 802 to, for example, trusted services manager (TSM). TSM transmits USIM to cellular device 502 over some secure channel (e.g., wireless or wired interface) (step 803). As shown, the secure channel is based on the issuer's Security Domain (ISD, Issuer's Security Domain) (step 804), which is flashed into the secure element (SE) during manufacture. After successfully transferring USIM to a cellular device, the cellular device and the operator may take steps to activate, authenticate, register, and the like. (step 805).

Очевидно, что хотя некоторые аспекты изобретения описаны в терминах конкретной последовательности шагов способа, эти описания являются лишь иллюстрациями более широких способов по изобретению и могут быть при необходимости модифицированы для конкретных приложений. Кроме того, некоторые шаги или функциональные средства могут быть добавлены в раскрытые варианты осуществления или порядок выполнения двух или более шагов может быть изменен. Все эти изменения рассматриваются как входящие в изобретение, здесь раскрытое и заявленное.Obviously, although some aspects of the invention are described in terms of a specific sequence of steps of the method, these descriptions are merely illustrations of the broader methods of the invention and can be modified if necessary for specific applications. In addition, some steps or functionalities may be added to the disclosed embodiments, or the order of two or more steps may be changed. All of these changes are considered as included in the invention, here disclosed and claimed.

В то время как вышеприведенное детальное описание показывает, описывает и отмечает новые признаки изобретения в приложении к различным вариантам осуществления, необходимо понимать, что специалистом в данной области техники могут быть сделаны исключения, замены и изменения в форме и деталях показанного устройства или процесса без отступления от сущности изобретения. Вышеприведенное описание является наилучшим способом осуществления изобретения, представляемым в настоящее время. Это описание не предназначено для ограничений, а должно применяться скорее как иллюстрация основных принципов изобретения. Объем изобретения должен определяться со ссылкой на формулу изобретения.While the above detailed description shows, describes and marks the new features of the invention as applied to various embodiments, it should be understood that exceptions, replacements and changes in the form and details of the device or process shown may be made by a person skilled in the art without departing from SUMMARY OF THE INVENTION The above description is the best mode of implementation of the invention, currently presented. This description is not intended to be limiting, but rather should be used as an illustration of the basic principles of the invention. The scope of the invention should be determined with reference to the claims.

Claims (16)

1. Беспроводное устройство связи, содержащее
один или более интерфейсов связи, реализованных с возможностью осуществления связи с поставщиком беспроводного обслуживания;
защищенный элемент, выполненный с возможностью сохранения клиента доступа, причем клиент доступа включает виртуальный универсальный модуль идентификации пользователя (USIM);
процессор; и
запоминающее устройство, выполненное с возможностью осуществления обмена данными с процессором, причем запоминающее устройство хранит выполняемые компьютером команды, обеспечивающие при их выполнении процессором осуществление беспроводным устройством связи:
аутентификации у доверенного менеджера обслуживания с использованием информации учетной записи, полученной при покупке беспроводного устройства связи, причем успешная аутентификация приводит к предоставлению доверенным менеджером обслуживания клиента доступа;
сохранения клиента доступа в защищенном элементе в ответ на прием клиента доступа; и
предоставления пользователю беспроводного устройства связи запроса на выбор из:
доступа к первому из поставщиков беспроводного обслуживания посредством клиента доступа, сохраненного в защищенном элементе, и
доступа ко второму из поставщиков беспроводного обслуживания посредством физической карты модуля идентификации пользователя (SIM-карты), вставленной в разъем для SIM-карт вспомогательного устройства, осуществляющего связь с беспроводным устройством связи; и
осуществления доступа либо к первому поставщику беспроводного обслуживания, либо ко второму поставщику беспроводного обслуживания на основании выбора пользователя.1. A wireless communication device comprising
one or more communication interfaces configured to communicate with a wireless service provider;
a secure element configured to save an access client, wherein the access client includes a virtual universal user identification module (USIM);
CPU; and
a storage device configured to exchange data with the processor, the storage device storing computer-executable instructions providing, when the processor executes them, the wireless communication device:
authentication from a trusted service manager using account information obtained when purchasing a wireless communication device, and successful authentication results in the provision of access by the trusted customer service manager;
storing the access client in the secure element in response to receiving the access client; and
providing the user of the wireless communication device with a request to choose from:
access to the first of the wireless service providers through an access client stored in the secure element, and
access to the second of the wireless service providers by means of a physical card of a user identification module (SIM card) inserted into the SIM card slot of an auxiliary device in communication with the wireless communication device; and
accessing either the first wireless service provider or the second wireless service provider based on a user selection. 2. Устройство по п. 1, отличающееся тем, что по меньшей мере один из числа одного или более интерфейсов связи содержит систему схем беспроводной связи дальнего действия.2. The device according to claim 1, characterized in that at least one of the number of one or more communication interfaces comprises a system of long-range wireless communication schemes. 3. Устройство по п. 1, отличающееся тем, что по меньшей мере один из числа одного или более интерфейсов связи содержит систему схем беспроводной связи ближнего действия.3. The device according to claim 1, characterized in that at least one of the number of one or more communication interfaces comprises a short-range wireless communication system system. 4. Устройство по п. 1, отличающееся тем, что осуществляет связь со вспомогательным устройством посредством системы схем ближней бесконтактной связи (NFC).4. The device according to claim 1, characterized in that it communicates with the auxiliary device through a system of near contactless communication (NFC) circuits. 5. Устройство по п. 1, отличающееся тем, что защищенный элемент представляет собой защищенную от несанкционированного воздействия интегрированную микросхему, встроенную в беспроводное устройство связи на постоянной основе.5. The device according to p. 1, characterized in that the protected element is an integrated circuit protected from unauthorized interference, integrated into the wireless communication device on an ongoing basis. 6. Способ защищенного сохранения данных клиента доступа в пользовательском устройстве, включающий:
передачу элемента пользовательских регистрационных данных пользователя, полученного при покупке беспроводного устройства связи, доверенному менеджеру обслуживания в целях обеспечения аутентификации пользовательского устройства доверенным менеджером обслуживания на основе, по меньшей мере частично, элемента регистрационных данных пользователя, при этом пользовательское устройство не содержит разъем для карт модуля идентификации пользователя (SIM-карт);
прием данных клиента доступа через интерфейс связи после успешного осуществления аутентификации пользовательского устройства доверенным менеджером обслуживания, причем клиент доступа включает виртуальный универсальный модуль идентификации пользователя (USIM);
сохранение данных клиента доступа в защищенном элементе;
предоставление пользователю пользовательского устройства запроса на выбор из:
доступа к первому беспроводному обслуживанию посредством данных клиента доступа, сохраненных в защищенном элементе, и
доступа ко второму беспроводному обслуживанию посредством физической карты модуля идентификации пользователя (SIM-карты), вставленной в разъем для SIM-карт вспомогательного устройства, осуществляющего связь с пользовательским устройством; и
осуществление доступа либо к первому беспроводному обслуживанию, либо ко второму беспроводному обслуживанию на основании выбора пользователя.6. A method for securely storing access client data in a user device, including:
transmitting the user registration data element of the user, received upon purchase of the wireless communication device, to the trusted service manager in order to ensure authentication of the user device by the trusted service manager based at least in part on the user registration data element, while the user device does not contain an identification card slot user (SIM cards);
receiving data of the access client via the communication interface after successful authentication of the user device by a trusted service manager, wherein the access client includes a virtual universal user identification module (USIM);
saving access client data in a secure element;
providing the user of the user device with a request to choose from:
accessing the first wireless service through access client data stored in the secure element, and
access to a second wireless service through a physical card of a user identification module (SIM card) inserted into a SIM card slot of an auxiliary device in communication with the user device; and
accessing either the first wireless service or the second wireless service based on the user's choice. 7. Способ по п. 6, отличающийся тем, что интерфейс связи содержит систему схем беспроводной связи ближнего действия.7. The method according to p. 6, characterized in that the communication interface contains a system of short-range wireless communication schemes. 8. Способ по п. 6, отличающийся тем, что интерфейс связи осуществляет связь со вспомогательным устройством с использованием системы схем ближней бесконтактной связи (NFC).8. The method according to p. 6, characterized in that the communication interface communicates with the auxiliary device using a system of near contactless communication (NFC). 9. Способ по п. 6, отличающийся тем, что защищенный элемент содержит защищенную от несанкционированного воздействия интегрированную микросхему, встроенную в пользовательское устройство на постоянной основе.9. The method according to p. 6, characterized in that the protected element contains an integrated circuit protected from unauthorized interference, integrated into the user device on an ongoing basis. 10. Способ обеспечения доступа к беспроводному обслуживанию для пользовательского устройства, включающий:
передачу данных клиента доступа в первый объект, причем первый объект включает поставщика виртуальных универсальных модулей идентификации пользователя (USIM), а данные клиента доступа включают виртуальный USIM;
передачу данных клиента доступа из первого объекта во второй объект по первой линии связи, причем второй объект включает доверенный менеджер обслуживания;
использование регистрационных данных пользователя в доверенном менеджере обслуживания для аутентификации пользовательского устройства, при этом пользовательское устройство не содержит разъем для физических карт модуля идентификации пользователя (SIM-карт), а вместо этого содержит защищенный элемент для сохранения данных клиента доступа;
передачу данных клиента доступа из второго объекта в пользовательское устройство по второй линии связи после аутентификации пользовательского устройства, при этом пользовательское устройство сохраняет данные клиента доступа в защищенном элементе;
предоставление пользователю пользовательского устройства запроса на выбор из:
доступа к первому беспроводному обслуживанию посредством данных клиента доступа, сохраненных в защищенном элементе, и
доступа ко второму беспроводному обслуживанию посредством физической SIM-карты, вставленной в разъем для SIM-карт вспомогательного устройства, осуществляющего связь с пользовательским устройством; и
осуществление доступа либо к первому беспроводному обслуживанию, либо ко второму беспроводному обслуживанию на основании выбора пользователя.10. A method of providing access to wireless services for a user device, including:
transmitting the access client data to the first entity, the first entity including a virtual universal user identity module (USIM) provider, and the access client data including virtual USIM;
transmitting access client data from a first entity to a second entity via a first communication link, the second entity including a trusted service manager;
using user credentials in a trusted service manager to authenticate the user device, while the user device does not contain a slot for physical cards of the user identification module (SIM cards), but instead contains a secure element for storing access client data;
data transfer of the access client from the second object to the user device via the second communication line after authentication of the user device, while the user device stores the data of the access client in a secure element;
providing the user of the user device with a request to choose from:
accessing the first wireless service through access client data stored in the secure element, and
access to a second wireless service through a physical SIM card inserted in the SIM card slot of an auxiliary device in communication with the user device; and
accessing either the first wireless service or the second wireless service based on the user's choice. 11. Способ по п. 10, отличающийся тем, что вторая линия связи включает защищенное беспроводное соединение.11. The method according to p. 10, characterized in that the second communication line includes a secure wireless connection. 12. Способ по п. 10, отличающийся тем, что вспомогательное устройство осуществляет беспроводную связь с пользовательским устройством.12. The method according to p. 10, characterized in that the auxiliary device performs wireless communication with the user device. 13. Способ по п. 10, отличающийся тем, что регистрационные данные пользователя включают информацию об учетной записи, индивидуальную для пользователя.13. The method according to p. 10, characterized in that the user registration data includes account information that is individual for the user. 14. Устройство менеджера обслуживания, содержащее
сетевой интерфейс, выполненный с возможностью передачи множества клиентов доступа в одно или более беспроводное устройство, причем каждый клиент доступа из указанного множества клиентов доступа включает виртуальный универсальный модуль идентификации пользователя (USIM);
запоминающее устройство, выполненное с возможностью хранения множества клиентов доступа;
обрабатывающую логику, выполненную с возможностью осуществления обмена данными с сетевым интерфейсом и запоминающим устройством, при этом обрабатывающая логика выполнена с возможностью:
приема запроса доступа от конкретного устройства из числа одного или более беспроводных устройств;
в ответ на запрос доступа, авторизации указанного конкретного устройства из числа одного или более беспроводных устройств и передачи по меньшей мере одного клиента доступа из числа множества клиентов доступа, при этом указанное конкретное устройство из числа одного или более беспроводных устройств обеспечивает возможность предоставления пользователю указанного конкретного устройства запроса на выбор из:
доступа к первому беспроводному обслуживанию посредством по меньшей мере одного клиента доступа, и
доступа ко второму беспроводному обслуживанию посредством физической карты модуля идентификации пользователя (SIM-карты), вставленной в разъем для SIM-карт вспомогательного устройства, осуществляющего связь с указанным конкретным устройством из числа одного или более беспроводных устройств.14. The device manager service, containing
a network interface configured to transmit multiple access clients to one or more wireless devices, wherein each access client from said multiple access clients includes a virtual universal user identification module (USIM);
a storage device configured to store multiple access clients;
processing logic configured to exchange data with the network interface and the storage device, while the processing logic is configured to:
receiving an access request from a particular device from among one or more wireless devices;
in response to an access request, authorization of the specified specific device from among the one or more wireless devices and transmission of at least one access client from among the plurality of access clients, while the specified specific device from among the one or more wireless devices makes it possible to provide the user with the specified specific device request to choose from:
accessing the first wireless service through at least one access client, and
access to the second wireless service by means of a physical card of a user identification module (SIM card) inserted into the SIM card slot of an auxiliary device communicating with said specific device from among one or more wireless devices. 15. Устройство по п. 14, отличающееся тем, что передача по меньшей мере одного клиента доступа обеспечивает сохранение конкретным устройством из числа одного или более беспроводных устройств по меньшей мере одного клиента доступа в защищенном элементе, содержащемся в указанном конкретном устройстве.15. The device according to p. 14, characterized in that the transmission of at least one access client ensures that a particular device from among one or more wireless devices stores at least one access client in a secure element contained in the specified device. 16. Устройство по п. 14, отличающееся тем, что сетевой интерфейс выполнен с возможностью передачи по меньшей мере одного клиента доступа в указанное конкретное устройство из числа одного или более беспроводных устройств посредством второго беспроводного соединения. 16. The device according to p. 14, characterized in that the network interface is configured to transmit at least one access client to the specified specific device from among one or more wireless devices through a second wireless connection.
RU2012149610/08A 2010-05-03 2011-04-27 Apparatus and method for authentication in wireless network RU2574844C2 (en)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US33085610P 2010-05-03 2010-05-03
US61/330,856 2010-05-03
US12/952,082 US8666368B2 (en) 2010-05-03 2010-11-22 Wireless network authentication apparatus and methods
US12/952,082 2010-11-22
PCT/US2011/034199 WO2011139795A1 (en) 2010-05-03 2011-04-27 Wireless network authentication apparatus and methods

Publications (2)

Publication Number Publication Date
RU2012149610A RU2012149610A (en) 2014-06-10
RU2574844C2 true RU2574844C2 (en) 2016-02-10

Family

ID=

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2733828C1 (en) * 2017-04-11 2020-10-07 Хуавей Текнолоджиз Ко., Лтд. Method, device and system for network authentication

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2008104523A (en) * 2005-07-11 2009-10-10 Гизеке Унд Девриент Гмбх (De) FOLLOWING IMPLEMENTATION OF FUNCTIONALITY OF THE MODULE OF SUBSCRIBER IDENTIFICATION IN A PROTECTED MODULE

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2008104523A (en) * 2005-07-11 2009-10-10 Гизеке Унд Девриент Гмбх (De) FOLLOWING IMPLEMENTATION OF FUNCTIONALITY OF THE MODULE OF SUBSCRIBER IDENTIFICATION IN A PROTECTED MODULE

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2733828C1 (en) * 2017-04-11 2020-10-07 Хуавей Текнолоджиз Ко., Лтд. Method, device and system for network authentication
US11223954B2 (en) 2017-04-11 2022-01-11 Huawei Technologies Co., Ltd. Network authentication method, device, and system

Similar Documents

Publication Publication Date Title
US9338649B2 (en) Wireless network authentication apparatus and methods
US8265599B2 (en) Enabling and charging devices for broadband services through nearby SIM devices
US9788209B2 (en) Apparatus and methods for controlling distribution of electronic access clients
US9716999B2 (en) Method of and system for utilizing a first network authentication result for a second network
KR100692115B1 (en) Authentication vector generation device, subscriber identity module, wireless communication system, authentication vector generation method, calculation method, and subscriber authentication method
US8554180B2 (en) System to dynamically authenticate mobile devices
US20080108321A1 (en) Over-the-air (OTA) device provisioning in broadband wireless networks
US9788202B2 (en) Method of accessing a WLAN access point
CN108418837B (en) Mobile data communication device, mobile communication system, storage medium, and method of operating mobile data communication device
WO2018007461A1 (en) Method, server and system for sending data from a source device to a destination device
Vahidian Evolution of the SIM to eSIM
RU2574844C2 (en) Apparatus and method for authentication in wireless network
US20240056806A1 (en) Device authorization in an enterprise network based on whether a mobile number is in a user information repository
KR20050016605A (en) Inter-working function for a communication system