CN102835137A - 促进接入终端身份的认证 - Google Patents
促进接入终端身份的认证 Download PDFInfo
- Publication number
- CN102835137A CN102835137A CN2011800186880A CN201180018688A CN102835137A CN 102835137 A CN102835137 A CN 102835137A CN 2011800186880 A CN2011800186880 A CN 2011800186880A CN 201180018688 A CN201180018688 A CN 201180018688A CN 102835137 A CN102835137 A CN 102835137A
- Authority
- CN
- China
- Prior art keywords
- identity
- terminal
- report message
- accesses terminal
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/71—Hardware identity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明提供用于促进认证接入终端身份且用于记录有效的接入终端身份与用户身份之间的使用关系的方法和设备。接入终端和验证服务器两者均具备对应的验证密钥。所述接入终端可确定用户身份未经记录以供与所述接入终端一起使用,且可发送报告消息以报告所述接入终端身份与所述用户身份之间的使用关系,其中所述报告消息签署有基于所述验证密钥的签名。所述验证服务器使用所述验证服务器中的所述验证密钥来认证所述签名。所述验证服务器可将所述经认证接入终端身份与所述用户身份之间的所述使用关系记录在数据库中,所述数据库记录可用以确定请求网络接入的接入终端是经授权还是未经授权。
Description
优先权主张
本专利申请案主张2010年3月16日申请的题目为“用于通信装置的身份的管理和验证的方法和设备(Method and Apparatus for Administration and Validation ofCommunication Device's Identity)”的第201010131514.2号中国专利申请案的优先权,所述中国专利申请案转让给本发明的受让人且特此以全文引用方式明确并入本文。
技术领域
本文揭示的各种特征大体上涉及无线通信系统,且至少一些特征涉及用于促进接入终端身份的认证以及接入终端身份与用户身份之间的使用关系的装置和方法。
背景技术
例如移动电话、寻呼机、无线调制解调器、个人数字助理、个人信息管理器(PIM)、个人媒体播放器、掌上型计算机、膝上型计算机或具有通过无线信号与其它装置通信的处理器的任何其它装置等接入终端正在变得越来越流行且更为频繁地使用。在无线通信网络中使用这些接入终端的订户通常是由无线通信网络认证,之后才被准予接入以起始和/或接收呼叫以及发射和/或接收数据。传统上,无线通信网络通过检验包括加密信息的用户身份来认证订户,所述加密信息包含于例如以下各者中且由其提供:用于GSM网络的接入终端的订户识别模块(SIM),用于UMTS/LTE网络的全球订户识别模块(USIM),以及用于CDMA网络的可装卸式用户识别模块(RUIM)。这些SIM、USIM和RUIM通常是基于芯片和引脚的卡,其含有关于接入终端的订户/用户的信息,且可从接入终端移除。配备有这些可装卸式用户身份模块的接入终端的用户通常能够从一个接入终端移除SIM、USIM或RUIM卡且将卡放置于另一接入终端中,从而将其订户信息容易地从一个接入终端转移到另一接入终端。
虽然常规的无线通信网络适于认证正在接入终端中使用的订户卡(例如,SIM、USIM、RUIM),但也可能希望无线通信网络认证接入终端自身,且基于接入终端认证的结果来对接入终端拒绝或允许网络接入。除了订户卡之外,网络操作者将希望认证接入终端存在多种原因。一个常见原因包含(例如)认证接入终端以便阻止未经授权的制造商生产或翻新未经批准在无线通信网络内使用的接入终端(例如,灰市接入终端)。通过利用认证接入终端的认证系统,网络操作者可拒绝对由未经授权的制造商生产或翻新的未能以有效的接入终端识别来进行认证的那些接入终端的服务。另一常见原因涉及部分地通过使用未经授权的接入终端实施的恐怖分子攻击的风险。政府实体最近已表达网络操作者应能够追寻、跟踪、认证和停用在网络操作者的无线通信网络内操作的所有接入终端的强烈希望。具有认证接入终端且相应地拒绝服务的能力将在阻止犯罪活动方面证明为有利的。
当前存在使得无线通信网络能够查询接入终端的身份(ID)的机制。举例来说,无线通信网络(例如,GSM网络、WCDMA网络、TD-SCDMA网络)可查询和检查符合3GPP的接入终端的国际移动设备身份(IMEI)号码,或者无线通信网络(例如,CDMA)可查询和检查符合3GPP-2的接入终端的移动设备识别号(MEID)。然而,这些现存的用于获得接入终端的ID的机制无法提供从接入终端接收到的ID实际上属于所述接入终端的任何保证。举例来说,未经授权的接入终端可能不合法地复制或用其它方式获得经授权接入终端的ID,且接着将所述盗版的ID提供到请求的无线通信网络。在此情形中,常规的无线通信网络不能在经授权接入终端与采用伪造ID的未经授权的接入终端之间进行区分。
因此,需要适于发现且验证接入终端的身份的方法、设备和/或系统。
发明内容
各种特征促进认证接入终端身份以及接入终端身份与用户身份之间的使用关系。一个特征提供适于促进此认证的接入终端。这些接入终端可包括处理电路,其耦合到适于促进无线通信的通信接口、包含用户身份的用户身份模块以及存储媒体。
用户身份可包括国际移动订户身份(IMSI)。根据一些实施方案,用户身份模块可包括可装卸式用户身份模块,例如订户身份模块(SIM)、全球订户身份模块(USIM)、CDMA订户识别模块(CSIM)或可装卸式用户识别模块(RUIM)。
存储媒体可包含存储在其中的验证密钥和接入终端身份。接入终端身份可包括国际移动设备身份(IMEI)或移动设备身份(MEID)中的一者。
处理电路可适于确定来自所述用户身份模块的用户身份未经记录以供与接入终端一起使用。处理电路可产生包含用户身份和接入终端身份的报告消息。报告消息可响应于接收到请求发射或响应于确定用户身份尚未经记录以使用而产生。所述报告消息可适于报告用户身份与接入终端身份之间的使用关系。处理电路可用使用验证密钥产生的签名来签署报告消息,其中所述签名可认证接入终端经授权以使用包含在报告消息中的接入终端身份。使用通信接口,处理电路可将包含经签署报告消息的发射发送到验证服务器。此发射可作为短消息接发服务(SMS)消息、基于包的消息或信令消息中的一者来发送。
根据各种实施例,所述处理电路可进一步适于经由通信接口接收确认,其中所述确认指示用户身份与接入终端身份之间的报告的使用关系经验证且记录。处理电路可接着在存储媒体中将用户身份存储为经记录以供与接入终端一起使用。
根据一特征还提供一种在接入终端上操作的方法。在这些方法的至少一个实施方案中,例如可将验证密钥存储在存储媒体中。可确定来自接入终端中的用户身份模块的用户身份未经记录以供与接入终端一起使用。可产生包含用户身份和接入终端身份的报告消息。所述报告消息可适于报告用户身份与接入终端身份之间的使用关系。用基于验证密钥产生的签名来签署报告消息,其中所述签名适于认证接入终端经授权以使用包含在报告消息中的接入终端身份。可在发射中将经签署报告消息发送到验证服务器。
额外特征提供适于促进认证接入终端身份以及接入终端身份与用户身份之间的使用关系的验证服务器。这些验证服务器可包括:通信接口,其适于促进无线通信;存储媒体;以及处理电路,其耦合到所述通信接口和存储媒体。所述通信接口、存储媒体和处理电路可与设备身份寄存器(EIR)一体地实施。
所述处理电路可适于接收验证密钥且将所述验证密钥存储在存储媒体中。处理电路可经由通信接口接收来自接入终端的发射。所述发射可包含报告消息,所述报告消息报告接入终端身份与所述接入终端中的用户身份之间的使用关系,其中所述报告消息经签署有签名。处理电路可使用验证密钥来认证报告消息的签名以检验接入终端经授权以使用包含在报告消息中的接入终端身份。
根据一些实施例,所述处理电路可进一步适于将接入终端身份与用户身份之间的使用关系记录在EIR可存取的数据库中。处理电路在与EIR一体地实施时也可适于:经由通信接口接收来自网络实体的验证请求发射,所述验证请求发射包含用户身份和接入终端身份;查询数据库是否存在检验出用户身份与接入终端身份之间的有效使用关系的记录;在数据库中的记录检验出用户身份与接入终端身份之间的使用关系的情况下确定接入终端经授权;以及在数据库中的记录证明所述使用关系不成立的情况下或者在数据库中没有记录检验出用户身份与接入终端身份之间的使用关系的情况下确定接入终端未经授权。
根据一特征还提供一种在验证服务器上操作的方法。根据这些方法的一个或一个以上实施方案,可接收验证密钥且将所述验证密钥存储在存储媒体中。可接收来自接入终端的发射,所述发射可包含报告消息,所述报告消息报告接入终端身份与接入终端中的用户身份之间的使用关系,其中报告消息经签署有签名。可使用验证密钥来认证报告消息的签名以检验接入终端经授权以使用包含在报告消息中的接入终端身份。
这些方法可进一步包含将接入终端身份与用户身份之间的使用关系记录在设备身份寄存器(EIR)可存取的数据库中。另外,可接收来自通信网络的实体的验证请求发射,所述验证请求发射包含用户身份和接入终端身份。可查询数据库是否存在检验出用户身份与接入终端身份之间的使用关系的记录。在记录检验出用户身份与接入终端身份之间的使用关系的情况下可确定接入终端经授权。另一方面,在数据库中的记录证明所述使用关系不成立的情况下或者在数据库中没有记录检验出用户身份与接入终端身份之间的使用关系的情况下可确定接入终端未经授权。
附图说明
图1是说明其中可应用本发明的一个或一个以上实施方案的无线通信系统的实例的框图。
图2是说明用于认证接入终端的身份且记录接入终端身份与订户身份之间的使用关系的网络环境的实例的框图。
图3是说明在一个或一个以上接入终端中和验证服务器中提供验证密钥的实例的流程图。
图4(包括图4A和4B)是说明认证接入终端身份且记录接入终端身份与用户身份之间的关系的实例的流程图。
图5是说明根据至少一个实施方案的接入终端的选择组件的框图。
图6是说明在例如图5的接入终端等接入终端上操作的方法的至少一个实施方案的实例的流程图。
图7是说明根据至少一个实施方案的验证服务器的选择组件的框图。
图8是说明在例如图7的验证服务器等验证服务器上操作的方法的至少一个实施方案的实例的流程图。
具体实施方式
在以下描述中,给出具体细节以提供对所描述实施方案的详尽理解。然而,所属领域的技术人员将理解,可在没有这些具体细节的情况下实践所述实施方案。举例来说,可以框图展示电路,以便不会以不必要的细节使实施方案混淆。在其它例子中,可详细展示众所周知的电路、结构和技术以便不使实施方案混淆。
词“示范性”在本文中用以意味着“充当实例、例子或说明”。本文描述为“示范性”的任一实施方案或实施例不一定解释为比其它实施例或实施方案优选或有利。同样,术语“实施例”不要求所有实施例均包含所论述的特征、优点或操作模式。如本文使用的术语“基站”和“接入终端”意在以广义方式来解释。举例来说,“基站”可指代促进到通信或数据网络的无线连接性(用于一个或一个以上接入终端)的装置。“基站”的实例可包含基站收发台(BTS)、节点B装置、毫微微小区、微微小区等。此外,“接入终端”可包含移动电话、寻呼机、无线调制解调器、个人数字助理、个人信息管理器(PIM)、个人媒体播放器、掌上型计算机、膝上型计算机和/或至少部分地通过无线或蜂窝式网络通信的其它移动通信/计算装置。
概述
一个特征提供用于认证接入终端经授权以使用接入终端身份的设备和方法。接入终端可初始具备源自管理机构的验证密钥。在操作期间,接入终端可确定来自接入终端中的用户身份模块的用户身份当前未经记录以与接入终端一起使用。接入终端可产生包含用户身份和接入终端身份的报告消息,以报告用户身份与接入终端身份之间的使用关系。所述报告消息经签署有一签名,所述签名是基于验证密钥而产生以认证接入终端是接入终端身份的经授权用户。接入终端接着将报告消息发送到验证服务器。
另一特征提供用于记录接入终端身份与用户身份之间的使用关系的设备和方法。验证服务器可具备源自管理机构的验证密钥。验证服务器可接收来自接入终端的报告消息,其中所述报告消息报告接入终端身份与来自接入终端中的用户身份模块的用户身份之间的使用关系。所述报告消息经签署有一签名,所述签名由验证服务器使用验证密钥来认证。由于由接入终端使用以签署报告消息的验证密钥仅经由经授权厂商而可用,因此经授权的签名指示由接入终端发送的接入终端身份是有效的,且接入终端是经授权装置。验证服务器可将接入终端身份与用户身份之间的使用关系记录在设备身份寄存器(EIR)可存取的数据库中,使得网络实体可验证接入终端经授权以在网络上使用。
示范性网络环境
图1是说明其中可应用本发明的一个或一个以上实施方案的无线通信系统10的实例的框图。如图1中说明,无线通信网络10大体上包含多个接入终端(也称为远程台、移动台、订户单元或用户设备)12a到12d、多个基站(也称为基站收发台(BTS)、节点B装置、毫微微小区、微微小区等)14a到14c、基站控制器(BSC)(也称为无线电网络控制器或包控制功能)16、移动交换中心(MSC)或交换机18、包数据服务节点(PDSN)或因特网联网功能(IWF)20、公共交换电话网络(PSTN)22(通常是电话公司),以及包交换数据网络24(通常是因特网协议(IP)网络)。无线通信网络10还可包含接入网络认证、授权和记账设备(AN-AAA)26、28,用于提供用户账户状态(正常、关闭、欠费)且用于维持和存储此用户账户信息。为了简单,展示四个接入终端12a到12d、三个基站14a到14c、一个BSC 16、一个MSC 18以及一个PDSN 20。所属领域的技术人员将了解,可存在任何数目的接入终端12、基站14、BSC 16、MSC 18以及PDSN 20。
在一个实施例中,无线通信网络10是包数据服务网络。接入终端12a到12d可为若干不同类型的无线通信装置中的任一者,例如便携式电话、连接到运行基于IP的网络浏览器应用程序的膝上型计算机的蜂窝式电话、具有相关联的免提车载套件的蜂窝式电话、运行基于IP的网络浏览器应用程序的个人数据助理(PDA)、并入到便携式计算机中的无线通信模块,或例如在无线本地回路或仪表读数系统中可能找到的固定位置通信模块。在最一般的实施例中,接入终端可为任一类型的通信单元。
接入终端12a到12d可经配置以执行一个或一个以上无线包数据协议,例如在例如EIA/TIA/IS-707标准中描述的无线包数据协议。在特定实施方案中,接入终端12a到12d产生以IP网络24为目的地的IP包,且使用点对点协议(PPP)将所述IP包封装为帧。
在一个实施例中,IP网络24耦合到PDSN 20,PDSN 20耦合到MSC 18,MSC耦合到BSC 16和PSTN 22,且BSC 16经由经配置以用于根据若干已知协议中的任一者来传输语音和/或数据包的有线线路耦合到基站14a到14c,所述协议包含例如E1、T1、异步传送模式(ATM)、因特网协议(IP)、点对点协议(PPP)、帧中继、高位速率数字订户线(HDSL)、不对称数字订户线(ADSL)或其它通用数字订户线设备和服务(xDSL)。在其它实施方案中,BSC 16直接耦合到PDSN 20,且MSC 18未耦合到PDSN 20。
在无线通信网络10的典型操作期间,基站14a到14c接收和解调来自从事电话呼叫、网络浏览或其它数据通信的各种接入终端12a到12d的反向链路信号集合。由给定基站14a到14c接收的每一反向链路信号是在所述基站14a到14c内处理。每一基站14a到14c可通过调制和发射前向链路信号集合到接入终端12a到12d来与多个接入终端12a到12d通信。举例来说,如图1所示,基站14a同时与第一接入终端12a和第二接入终端12b通信,且基站14c同时与第三接入终端12c和第四接入终端12d通信。将所得的包转发到BSC 16,BSC 16提供呼叫资源分配和移动性管理功能性,包含针对特定接入终端12a到12d从一个基站14a到14c到另一基站14a到14c的呼叫的软越区切换的协调。举例来说,接入终端12c同时在与两个基站14b、14c通信。最终,当接入终端12c移动足够远离基站中的一者14c时,呼叫将越区切换到另一基站14b。
如果发射是常规的电话呼叫,那么BSC 16将把接收的数据路由到MSC 18,MSC 18提供额外路由服务以用于与PSTN 22介接。如果发射是基于包的发射,例如以IP网络24为目的地的数据呼叫,那么MSC 18将把数据包路由到PDSN 20,PDSN 20将把包发送到IP网络24。或者,BSC 16将把包直接路由到PDSN 20,PDSN 20将包发送到IP网络24。
接入终端12A到12D中的每一者包含一身份。举例来说,对于符合3GPP的接入终端(例如,适于在包括GSM网络、WCDMA网络或TD-SCDMA网络、LTE网络的无线通信网络10中使用的接入终端),接入终端12A到12D可各自包括一国际移动设备身份(IMEI)号码。作为另一实例,对于符合3GPP2的接入终端(例如,适于在包括CDMA网络的无线通信网络10中使用的接入终端),接入终端12A到12D可各自包括一移动设备识别符(MEID)。
除了接入终端身份外,接入终端12A到12D中的每一者包含用户身份(或订户身份),其识别使用特定接入终端的订户。举例来说,取决于无线通信网络10的特定实施方案,每一接入终端12A到12D可包含可装卸式订户识别模块(例如,SIM、USIM、CSIM)或可装卸式用户识别模块(RUIM)。
示范性接入终端和订户认证环境
本发明的某些方面提供用于促进认证接入终端(或装置)身份和用于记录接入终端身份与用户身份之间的使用关系的技术。图2是说明用于认证接入终端的身份且用于记录接入终端身份与订户身份之间的使用关系的网络环境200的实例的框图。如图2中说明,网络可包含验证服务器202,其适于执行接入终端204的一个或一个以上认证/验证功能。验证服务器202可实施为设备身份寄存器(EIR)206的一部分,或可以通信方式连接到EIR 206和/或连接到EIR 206可存取的数据库208。数据库208包含经授权以使用(例如,加入白名单)或未经授权以使用(例如,加入黑名单)的多个接入终端身份。EIR 206可以集中式或分布式拓扑来部署,且可例如由网络操作者、政府和/或工业组织来部署。
验证服务器202和接入终端204两者均具备源自管理机构210的验证密钥。此验证密钥可包括例如加密密钥(例如,认证密钥)或数字凭证。管理机构210可包括发出适于证明公钥的所有权的验证密钥的可信赖的实体。根据至少一个实施方案,管理机构210可按厂商212的请求将验证密钥发出到接入终端204的经授权装置厂商212。验证密钥可由管理机构210提供为厂商特定的验证密钥或型号特定的验证密钥。也就是说,验证密钥可由管理机构210提供以与来自厂商212的所有型号的接入终端一起使用(厂商特定),或其可经提供以与来自厂商212的仅特定型号的接入终端一起使用(型号特定)。在每一型号被指派有唯一验证密钥(型号特定)的情况下,验证密钥的指派可作为装置批准过程的一部分被执行,厂商212借此从管理机构210获得用于特定型号的接入终端的网络接入许可证。
在厂商212获得验证密钥之后,厂商212可将经指派的验证密钥(或从经指派验证密钥导出的多样化密钥)安全地存储到其接入终端产品中。举例来说,厂商212可将验证密钥加载到接入终端204的安全存储媒体中,使得验证密钥无法由攻击者读出。除了为每一接入终端204提供验证密钥之外,管理机构210还将验证密钥(或从验证密钥导出的多样化密钥)安全地提供到验证服务器202。以此方式,接入终端204可采用验证密钥以用于签署与验证服务器202的通信,且验证服务器202可采用对应的验证密钥来检验来自接入终端204的此些经签署的通信。
根据一特征,接入终端204适于识别与接入终端204采用的用户身份模块(例如,SIM、USIM、RUIM、CSIM)相关联的用户身份(例如,国际移动订户身份(IMSI))是否不同于先前记录以与接入终端204一起使用的用户身份。当确定用户身份不同时,接入终端204可产生和发送一发射到验证服务器,其包含用户身份(例如,IMSI)和接入终端204的身份(例如,国际移动设备身份(IMEI)、移动设备身份(MEID)),所述发射由接入终端204使用验证密钥签署。所述发射可由接入终端204在识别出新用户身份后即刻自动产生和发送,或所述发射可由验证服务器202在某个指示后即刻请求,所述指示是用户身份与接入终端身份的组合当前未经记录为一起使用(例如,之前从未一起使用、最近未一起使用等)。
验证服务器202经由无线通信网络214接收发射,无线通信网络214可类似于图1中的无线通信网络10。在接收到发射后,验证服务器202可即刻通过使用验证服务器202中提供的验证密钥来验证签名而认证所述发射。如果发射经验证,指示接入终端是经授权装置,那么验证服务器202可以用户身份与接入终端身份之间的新关系来更新数据库208。由于由未经授权的厂商生产的接入终端或尝试伪造身份(例如,IMEI、MEID)的接入终端将不具有验证密钥,因此验证服务器202将能够识别这些接入终端。
以此方式,如果无线通信网络214的某个实体试图检验接入终端204且其活动的订户是有效的,那么所述实体可对EIR 206做出验证请求,如箭头216指示。在接收到此验证请求后,EIR 206可即刻在数据库208中执行检查以确定用户身份是否经授权以与接入终端身份一起使用。
促进对接入终端和验证服务器的验证密钥提供
图3是说明在一个或一个以上接入终端中和验证服务器中提供验证密钥的实例的流程图。在此实例中,图2的验证服务器202、接入终端204、管理机构210和厂商212用于说明目的。经授权接入终端厂商212可在步骤302处将申请或请求验证密钥的发射发送到管理机构210。
管理机构210可在步骤304处检验厂商212的资格且可将验证密钥安全地指派给合格的厂商212。管理机构210检验厂商212的资格以便确保不会将验证密钥给予将使用验证密钥来规避由本发明提供的安全性的实体。一旦验证密钥经指派,厂商212便可在步骤306处将验证密钥(或从验证密钥导出的多样化密钥)安全地提供到厂商212的接入终端204中。举例来说,厂商212可将验证密钥加载到每一接入终端204的安全存储媒体中,使得验证密钥无法由攻击者读出。在厂商212将验证密钥安全地存储在每一经授权接入终端204中的情况下,未经授权的接入终端将不具有获得验证密钥的能力。在无验证密钥的情况下,这些未经授权的接入终端不能规避本文描述的安全性措施。
在步骤308处,管理机构210还将验证密钥(或从验证密钥导出的多样化密钥)安全地提供到验证服务器202中。举例来说,管理机构210可经由安全或经加密发射来与验证服务器202通信以将验证密钥提供到验证服务器202。验证服务器202也可将验证密钥存储在安全存储媒体中,使得验证密钥无法由攻击者读出。
促进使用验证密钥的接入终端认证
图4(包括图4A和4B)是说明认证接入终端身份且记录接入终端身份与用户身份之间的关系的实例的流程图。在此实例中,图2的接入终端204、验证服务器202、数据库208和设备身份寄存器(EIR)206用于说明目的。首先,接入终端204可在步骤402处从用户身份模块读取用户身份(例如,IMSI)。举例来说,接入终端204可适于在每当接入终端204被加电时读取用户身份。用户身份模块包括适于以使得用户身份可被改变的方式存储用户身份的模块。举例来说,用户身份模块可包括可装卸式用户身份模块(例如,SIM、USIM、RUIM、CSIM)。在其它实施方案中,用户身份可包括不可装卸而是可再编程的模块,例如经配置以用于适于CDMA的通信网络的非适于RUIM的接入终端。在这些实施例中,不可装卸的用户身份模块中的用户身份可通过空中服务提供(OTASP)或空中参数管理(OTAPA)而改变。
在步骤404处,接入终端204确定用户身份是否当前经记录以供与接入终端204一起使用。举例来说,接入终端204可将从用户身份模块读取的用户身份与在最近成功注册中采用的用户身份进行比较。也就是说,接入终端204将用户身份与最后经成功记录以供与接入终端204一起使用的用户身份进行比较。在其它实施方案中,接入终端204可确定用户身份是否曾经已记录,或者是否已在确定的时期内记录以供与接入终端204一起使用。
如果接入终端204确定用户身份经记录以供与接入终端204一起使用,那么其可继续正常操作。然而,响应于确定用户身份当前未经记录,或任选地响应于来自验证服务器202的请求406,接入终端204可在步骤408处产生用于验证服务器202的报告消息。所述报告消息包含订户(例如,IMSI)和接入终端204(例如,IMEI、MEID)两者的身份。报告消息还可包含额外信息,例如时戳、计数器、厂商ID、型号以及其它信息中的一者或一者以上。
除了获得用于报告消息的信息之外,接入终端204基于验证密钥410而产生用于报告消息的签名。举例来说,接入终端204可基于验证密钥或基于使用任何已知的密钥导出算法从经指派的验证密钥导出的基于媒体或会话的密钥来计算签名。在步骤412处,接入终端204将包含经签署报告消息(例如,签名、接入终端身份和用户身份)的发射发送到验证服务器202。根据各种实施方案,接入终端204可经由任何用于通过无线通信网络214发送发射的装置来发送所述发射。举例来说,所述发射可作为短消息服务(SMS)、基于包的消息或具有预定义格式的信令消息来发送。
当验证服务器202接收到包括经签署报告消息的发射时,验证服务器202在步骤414处检索与接入终端204相关联的验证密钥。举例来说,验证服务器202可采用接入终端204的身份(例如,IMEI、MEID)和/或与接入终端204相关联的厂商信息,前提是此厂商信息包含在接收的发射中。采用与接入终端204相关联的相应验证密钥,验证服务器在步骤416处检验报告消息的签名以认证接入终端204经授权以使用包含在报告消息中的接入终端身份。如果签名有效,那么验证服务器202可更新数据库208以存储接入终端204的身份与订户的身份之间的新关系的记录,如步骤418中指示。然而如果签名不是有效的,那么验证服务器202可简单地忽略报告消息。
在成功认证后和/或在成功更新数据库208中的记录后,验证服务器202可即刻在步骤420处将确认发射发送到接入终端204,确认签名经检验和/或数据库208已经更新。确认发射可取决于报告消息发射的形式而呈各种形式中的一种。如果报告消息发射是作为短消息服务(SMS)发射来发送,那么确认发射可包括例如层2确认或SMS确认。如果报告消息发射是作为基于包的消息来发送,那么确认发射可包括例如用于TCP包递送的TCP确认。此外,如果报告消息发射是作为信令消息来发送,那么确认发射可包括例如信令层确认。或者,验证服务器202可返回具有用于报告消息的预定义数据格式的显式确认消息。
在接收到确认发射后,接入终端204将用户身份存储为经记录以供与接入终端204一起使用的用户身份,如步骤422处所示。接入终端204可随后在正常使用下操作。
在接入终端204在无线通信网络上的使用期间,接入终端204可请求对来自网络的某些服务的接入,或者网络(或网络的某个实体)出于一个或一个以上特定原因而可能希望检验接入终端204的状态。在此情况下,服务网络中的一个或一个以上实体(例如,移动交换域中的MSC 18(见图1)或包交换域中的服务GPRS支持节点(SGSN))可请求EIR206检验接入终端204的身份的状态,如步骤424处描绘。根据至少一个实施方案,EIR206可接收包含接入终端204的身份(例如,IMEI、MEID)和订户的身份(例如,IMSI)的此请求。EIR 206在步骤426处检查数据库208。如果数据库208处存储的记录指示接入终端204的身份与用户身份相关联和/或经授权以与用户身份一起使用,那么EIR 206可在步骤428处得出接入终端204经授权的结论。相反,如果数据库208处存储的记录指示接入终端204的身份不与用户身份相关联和/或未经授权以与用户身份一起使用,那么EIR 206可在步骤428处得出接入终端204未经授权以与网络一起使用的结论。
因为仅经授权装置具备验证密钥,且由于验证密钥用以更新数据库208处的记录,因此仅经授权接入终端可被准许使用网络。向网络报告未经记录以供与接入终端身份一起使用的用户身份的任何接入终端均可被确定为未经授权或不合法的接入终端,且可被阻止使用网络。
示范性接入终端
图5是说明根据至少一个实施方案的接入终端500的选择组件的框图。接入终端500可包含处理电路502,其耦合到通信接口504、存储媒体506以及用户身份模块508。
处理电路502经布置以获得、处理和/或发送数据,控制数据存取和存储,发出命令,以及控制其它所需操作。在至少一个实施例中,处理电路502可包括经配置以实施由适当媒体提供的所需编程的电路。举例来说,处理电路502可实施为以下各项中的一者或一者以上:处理器、控制器、多个处理器和/或经配置以执行包含例如软件和/或固件指令等可执行指令的其它结构,和/或硬件电路。处理电路502的实施例可包含通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑组件、离散门或晶体管逻辑、离散硬件组件或其经设计以执行本文描述的功能的任一组合。通用处理器可为微处理器,但在替代方案中,处理器可为任何常规处理器、控制器、微控制器或状态机。处理器还可实施为计算组件的组合,例如DSP与微处理器的组合、若干微处理器、结合DSP核心的一个或一个以上微处理器或任何其它此配置。处理电路502的这些实例是用于说明且还预期有在本发明的范围内的其它合适配置。
通信接口504经配置以促进接入终端500的无线通信。通信接口504可包含至少一个发射器510和/或至少一个接收器512(例如,一个或一个以上发射器/接收器链)。此外,一个或一个以上天线(未图示)可电耦合到通信接口504。
存储媒体506可表示用于存储编程和/或数据的一个或一个以上装置,例如处理器可执行代码或指令(例如,软件、固件)、电子数据、数据库或其它数字信息。根据至少一个实施例,包括存储媒体506的此些装置中的一者或一者以上可包括安全存储装置。存储媒体506可为可由通用或专用处理器存取的任何可用媒体。举例来说且无限制,存储媒体506可包含只读存储器(例如,ROM、EPROM、EEPROM)、随机存取存储器(RAM)、磁盘存储媒体、光学存储媒体、快闪存储器装置和/或用于存储信息的其它非暂时性计算机可读媒体。存储媒体506可耦合到处理电路502以使得处理电路502可从存储媒体506读取信息和向存储媒体506写入信息。在替代方案中,存储媒体506或其至少一部分可与处理电路502成一体式。
存储媒体506可包含存储在其中的验证密钥514。举例来说,验证密钥514可由厂商212(见图2)提供于存储媒体506的安全部分内。验证密钥514可包括例如加密密钥(例如,认证密钥)或数字凭证。存储媒体506还可包含存储在其中的接入终端身份516。接入终端身份516可包括例如国际移动设备身份(IMEI)或移动设备身份(MEID)。
用户身份模块508适于安全地存储用户身份,例如国际移动订户身份(IMSI)。在一些实施方案中,用户身份模块508可包括可装卸式用户身份模块508,使得用户可按需要移除和插入不同的用户身份模块508。此可装卸式用户身份模块可包含例如SIM、USIM、CSIM或RUIM。在其它实施方案中,用户身份模块508可包括可编程用户身份模块508。此可编程用户身份模块508的实例包含用于安全地存储在不使用RUIM的适于CDMA的接入终端中使用的用户身份的模块。此可编程用户身份模块508可通过空中服务提供(OTASP)或空中参数管理(OTAPA)以新的或经更新的用户身份来编程。
根据一个或一个以上特征,处理电路502可适于执行与如本文以上参考图1到4描述的各种接入终端(例如,接入终端12A到12D和/或204)相关的过程、功能、步骤和/或例程中的任一者或全部。如本文使用,相对于处理电路502的术语“适于”可指代处理电路502经配置、采用、实施或编程中的一者或一者以上以执行根据各种特征的特定过程、功能、步骤和/或例程。
图6是说明在例如接入终端500等接入终端上操作的方法的至少一个实施方案的实例的流程图。参考图5和6两者,在步骤602处可从经授权厂商接收验证密钥且将验证密钥存储在存储媒体中。举例来说,验证密钥514可由经授权厂商(例如图2中的厂商212)提供到存储媒体506的安全部分中。根据至少一个实施方案,处理电路502可适于从经授权厂商接收验证密钥514,且随后将接收的验证密钥514存储在存储媒体506中。
在决策菱形604处,确定来自用户身份模块的用户身份是否经记录以供与接入终端一起使用。举例来说,处理电路502可从用户身份模块508读取用户身份。处理电路502可随后将用户身份与由接入终端500存储为经记录以供与接入终端500一起使用的用户身份的用户身份进行比较。在至少一个实施方案中,处理电路502可将来自用户身份模块508的用户身份与最后经记录以供与接入终端500一起使用且存储在存储媒体506中的用户身份进行比较。
如果确定来自用户身份模块508的用户身份经记录以供与接入终端500一起使用,那么接入终端500可在步骤606处开始标准操作。然而,如果在604处确定用户身份未经记录以供与接入终端一起使用,那么可在步骤608处产生报告消息以报告用户身份与接入终端身份之间的使用关系。在一些实施方案中,可响应于用户身份未经记录以供与接入终端500一起使用的确定而自动产生报告消息。在其它实施方案中,可响应于从验证服务器接收到的请求而产生报告消息。作为实例,处理电路502可产生包含来自用户身份模块508的用户身份和接入终端身份516的报告消息。所述报告消息适于向验证服务器(例如图2中的验证服务器202)报告用户身份与接入终端身份516之间的使用关系。根据一个或一个以上实施方案,可产生报告消息以还包含额外信息,例如时戳、计数器、厂商ID、型号以及其它信息中的一者或一者以上。
为了认证包含在报告消息中的接入终端身份516是真实的(即,不是接入终端为了欺骗验证服务器而伪造的),接入终端在步骤610处用基于验证密钥产生的签名来签署报告消息。举例来说,处理电路502可使用用于产生此数字签名的算法来基于验证密钥514而产生签名。举例来说且无限制,处理电路502可适于采用一个或一个以上常规数字签名算法来产生签名,包含基于RSA的签名方案、DSA、E1Gamal签名方案、Schnorr签名、Pointcheval-Stern签名算法、Rabin签名算法、基于配对的签名方案(例如,BLS签名方案)以及其它常规签名方案或算法。
在产生且数字签署报告消息之后,在步骤612处将包含经签署报告消息的发射发送到验证服务器。举例来说,处理电路502可经由通信接口504发射经签署报告消息。根据一个或一个以上实施方案,处理电路502可将经签署报告消息作为短消息接发服务(SMS)、基于包的消息或信令消息中的一者来发射。
如果报告消息的发射不成功,那么处理电路502可适于再发送所述发射。如果发射成功,那么接入终端可在步骤614处接收来自验证服务器的确认消息。确认消息可指示用户身份与接入终端身份之间的使用关系经验证且记录。举例来说,处理电路502可经由通信接口504接收确认报告。确认消息可作为对应于报告消息发射的发射类型来接收。举例来说,确认发射可包括层2确认或SMS确认(对应于SMS报告消息发射)、TCP确认(对应于基于包的报告消息发射),或信令层确认(对应于作为信令消息的报告消息发射)。或者,验证服务器可返回具有用于报告消息的预定义数据格式的显式确认消息。
在接收到确认消息之后,接入终端500可在步骤616处存储用户身份与用户身份经记录以供与接入终端500一起使用的指示。举例来说,处理电路502可在存储媒体506中存储用户身份与用户身份已经记录以供与接入终端500一起使用的某个指示。以此方式,当接入终端500重复上述方法时(例如,当其再次被加电时),其将在决策菱形604处确定用户身份经适当记录以使用,且将在606进入标准使用。在用户身份经存储为记录的用户身份之后,接入终端500可在606处开始标准使用。
示范性验证服务器
图7是说明根据至少一个实施方案的验证服务器的选择组件的框图。如图示,验证服务器700可包含处理电路702,其耦合到通信接口704和存储媒体706。
处理电路702经布置以获得、处理和/或发送数据,控制数据存取和存储,发出命令,以及控制其它所需操作。在至少一个实施例中,处理电路702可包括经配置以实施由适当媒体提供的所需编程的电路。举例来说,处理电路702可实施为以下各项中的一者或一者以上:处理器、控制器、多个处理器和/或经配置以执行包含例如软件和/或固件指令的可执行指令的其它结构,和/或硬件电路。处理电路702的实施例可包含通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑组件、离散门或晶体管逻辑、离散硬件组件或其经设计以执行本文描述的功能的任一组合。通用处理器可为微处理器,但在替代方案中,处理器可为任何常规处理器、控制器、微控制器或状态机。处理器还可实施为计算组件的组合,例如DSP与微处理器的组合、若干微处理器、结合DSP核心的一个或一个以上微处理器或任何其它此配置。处理电路702的这些实例是用于说明且还预期在本发明的范围内的其它合适配置。
通信接口704经配置以促进验证服务器700的无线通信。通信接口704可包含至少一个发射器708和/或至少一个接收器710(例如,一个或一个以上发射器/接收器链)。此外,一个或一个以上天线(未图示)可电耦合到通信接口704。
存储媒体706可表示用于存储编程和/或数据的一个或一个以上装置,例如处理器可执行代码或指令(例如,软件、固件)、电子数据、数据库或其它数字信息。根据一个或一个以上实施例,包括存储媒体706的此些装置中的至少一者可包括安全存储装置。存储媒体706可为可由通用或专用处理器存取的任何可用媒体。举例来说且无限制,存储媒体706可包含只读存储器(例如,ROM、EPROM、EEPROM)、随机存取存储器(RAM)、磁盘存储媒体、光学存储媒体、快闪存储器装置和/或用于存储信息的其它非暂时性计算机可读媒体。存储媒体706可耦合到处理电路702以使得处理电路702可从存储媒体706读取信息和向存储媒体706写入信息。在替代方案中,存储媒体706或其至少一部分可与处理电路702成一体式。
存储媒体706可包含存储在其中的验证密钥712。举例来说,验证密钥712可由管理机构210(见图2)提供于存储媒体706的安全部分内。验证密钥712对应于由经授权厂商提供于一个或一个以上接入终端中的验证密钥。举例来说,验证密钥712可对应于接入终端类型或厂商的身份以及这两者的某个组合。验证密钥712可包括例如加密密钥(例如,认证密钥)或数字凭证。
验证服务器700或验证服务器700的组件中的至少一些可与设备身份寄存器(EIR)一体地实施。举例来说,处理电路702、存储媒体706或通信接口704中的一者或一者以上可实施为EIR的部分或集成到EIR中,所述EIR例如为图2中的EIR 206。
根据一个或一个以上特征,处理电路702可适于执行与如本文以上参考图1到4描述的各种验证服务器(例如,验证服务器202)相关的过程、功能、步骤和/或例程中的任一者或全部。如本文使用,相对于处理电路702的术语“适于”可指代处理电路702经配置、采用、实施或编程中的一者或一者以上以执行根据各种特征的特定过程、功能、步骤和/或例程。
图8是说明在例如验证服务器700等验证服务器上操作的方法的至少一个实施方案的实例的流程图。参看图7和8两者,在步骤802处可在验证服务器处接收源自管理机构的验证密钥且将验证密钥存储在存储媒体中。举例来说,处理电路702可接收验证密钥,且可将验证密钥存储在存储媒体706中。验证密钥可指示其对应于在多个接入终端中提供的验证密钥。
验证服务器700可在步骤804处从接入终端接收发射。所述发射包含适于报告接入终端身份与接入终端中的用户身份之间的使用关系的报告消息。所述报告消息还经签署有签名。根据至少一个实施方案,处理电路702可经由通信接口704接收发射。在至少一些实施方案中,此发射可作为短消息接发服务(SMS)消息、基于包的消息或信令消息中的一者来接收。
在步骤806处,验证服务器700使用验证密钥来认证报告消息的签名。认证签名向验证服务器700检验接入终端经授权以使用包含在报告消息中的接入终端身份。作为实例,处理电路702可采用一个或一个以上常规算法来使用验证密钥712认证随报告消息一起包含的数字签名。为了识别将用于认证的适当验证密钥712,处理电路702可例如读取接入终端身份和/或与接入终端相关联的厂商信息(如果包含在报告消息中)。一旦识别出适当的验证密钥712,处理电路700就可检索适当的验证密钥712,且可应用验证密钥712来认证签名。
在认证签名之后,验证服务器可在步骤808处将接入终端身份与用户身份之间的使用关系记录在设备身份寄存器(EIR)可存取的数据库中,所述EIR例如为图2中的EIR206。如上所述,验证服务器700的一些实施方案可集成到EIR中。在这些实施方案中,处理电路702可经由通信接口704接收来自网络的实体的验证请求发射,所述验证请求发射包含用户身份和接入终端身份。处理电路702可随后查询数据库是否存在检验出用户身份与接入终端身份之间的有效使用关系的记录。如果数据库中的记录检验出所述使用关系,那么处理电路702可确定接入终端经授权。如果数据库中的记录证明所述使用关系不成立或者如果在数据库中不存在检验出用户身份与接入终端身份之间的使用关系的记录,那么处理电路702可确定接入终端未经授权且可拒绝所述接入终端接入请求的网络。
在认证签名之后和/或在记录使用关系之后,验证服务器700可在步骤810处将确认报告消息的接收和认证的确认消息发送到接入终端。举例来说,处理电路702可产生确认消息且经由通信接口704发送确认消息。确认消息可作为对应于报告消息发射的发射类型来发送。举例来说,确认发射可包括层2确认或SMS确认(对应于SMS报告消息发射)、TCP确认(对应于基于包的报告消息发射),或信令层确认(对应于作为信令消息的报告消息发射)。或者,验证服务器可返回具有用于报告消息的预定义数据格式的显式确认消息。
图1、2、3、4、5、6、7和/或8中说明的组件、步骤、特征和/或功能中的一者或一者以上可经再布置和/或组合为单个组件、步骤、特征或功能或体现于若干组件、步骤或功能中。在不脱离本发明的范围的情况下也可添加额外的元件、组件、步骤和/或功能。图1、2、5和/或7中说明的设备、装置和/或组件可经配置以执行图3、4(包括4A和4B)、6和/或8中描述的方法、特征或步骤中的一者或一者以上。本文描述的新颖算法也可有效地以软件实施和/或嵌入硬件中。
而且应注意,已将至少一些实施方案描述为一个描绘为流程图、流图、结构图或框图的过程。尽管流程图可将操作描述为顺序过程,但可并行或同时执行许多操作。另外,可重新布置操作的次序。过程在其操作完成时终止。过程可对应于方法、函数、程序、子例程、子程序等。当过程对应于函数时,其终止对应于使函数返回到调用函数或主函数。
而且,实施例可通过硬件、软件、固件、中间件、微码或其任一组合来实施。当以软件、固件、中间件或微码实施时,用以执行必要任务的程序代码或代码段可存储在例如存储媒体或其它存储装置等机器可读媒体中。处理器可执行必要任务。代码段可表示过程、函数、子程序、程序、例程、子例程、模块、软件包、类,或指令、数据结构或程序语句的任一组合。代码段可通过传递和/或接收信息、数据、自变量、参数或存储器内容而耦合到另一代码段或硬件电路。信息、自变量、参数、数据等可经由包含存储器共享、消息传递、令牌传递、网络传输等的任何适当手段来传递、转发或传输。
术语“机器可读媒体”、“计算机可读媒体”和/或“处理器可读媒体”可包含(但不限于)便携式或固定存储装置、光学存储装置以及能够存储、包含或载运指令和/或数据的各种其它非暂时性媒体。因此,本文描述的各种方法可通过可存储在“机器可读媒体”、“计算机可读媒体”和/或“处理器可读媒体”中且由一个或一个以上处理器、机器和/或装置执行的指令和/或数据来部分地或完整地实施。
结合本文所揭示的实例描述的方法或算法可直接以硬件、以可由处理器执行的软件模块或以所述两者的组合以处理单元、编程指令或其它指示的形式来体现,且可包含在单个装置中或分布于多个装置之间。软件模块可驻存在RAM存储器、快闪存储器、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可装卸式盘、CD-ROM或此项技术中已知的任何其它形式的存储媒体中。存储媒体可耦合到处理器,使得处理器可从存储媒体读取信息和将信息写入到存储媒体。在替代方案中,存储媒体可与处理器成一体式。
所属领域的技术人员应进一步了解,可将结合本文中所揭示的实施例而描述的各种说明性逻辑块、模块、电路和算法步骤实施为电子硬件、计算机软件或两者的组合。为清楚说明硬件与软件的此互换性,上文已大致关于其功能性而描述了各种说明性组件、块、模块、电路及步骤。所述功能性是实施为硬件还是软件取决于特定应用及施加于整个系统的设计约束。
在不脱离本发明的范围的情况下可在不同系统中实施本文描述的实施例的各种特征。应注意,上述实施例仅是实例且将不解释为限制本发明。实施例的描述既定是说明性的,且不限制权利要求书的范围。因而,本教示可容易地应用于其它类型的设备,且许多替代方案、修改及变化对于所属领域的技术人员来说将为显而易见的。
Claims (41)
1.一种接入终端,其包括:
通信接口,其适于促进无线通信;
用户身份模块,其包含用户身份;
存储媒体,其包含存储于其中的验证密钥和接入终端身份;以及
处理电路,其耦合到所述通信接口、所述用户身份模块和所述存储媒体,所述处理电路适于:
确定来自所述用户身份模块的所述用户身份未经记录以供与所述接入终端一起使用;
产生包含所述用户身份和所述接入终端身份的报告消息,所述报告消息适于报告所述用户身份与所述接入终端身份之间的使用关系;
用基于所述验证密钥产生的签名来签署所述报告消息,其中所述签名适于认证所述接入终端经授权以使用包含在所述报告消息中的所述接入终端身份;以及经由所述通信接口发送包含所述经签署报告消息的发射。
2.根据权利要求1所述的接入终端,其中所述用户身份模块包括可装卸式用户身份模块。
3.根据权利要求2所述的接入终端,其中所述可装卸式用户身份模块包括以下各项中的一者:订户身份模块SIM、全球订户身份模块USIM、CDMA订户识别模块CSIM或可装卸式用户识别模块RUIM。
4.根据权利要求1所述的接入终端,其中所述用户身份包括国际移动订户身份IMSI。
5.根据权利要求1所述的接入终端,其中所述接入终端身份包括国际移动设备身份IMEI或移动设备身份MEID中的一者。
6.根据权利要求1所述的接入终端,其中所述报告消息是响应于所述处理电路经由所述通信接口接收到请求发射而产生的,所述请求发射从所述接入终端请求所述报告消息,或者所述报告消息是响应于所述接入终端确定来自所述用户身份模块的所述用户身份尚未经记录以供与所述接入终端身份一起使用而产生的。
7.根据权利要求1所述的接入终端,其中所述处理电路适于:
从经授权厂商接收所述验证密钥;以及
将所述验证密钥存储在所述存储媒体中。
8.根据权利要求1所述的接入终端,其中所述处理电路适于将所述发射作为短消息接发服务SMS消息、基于包的消息或信令消息中的一者来发送。
9.根据权利要求1所述的接入终端,其中所述处理电路进一步适于:
经由所述通信接口接收确认,所述确认指示所述用户身份与所述接入终端身份之间的所述报告的使用关系经验证且记录;以及
在所述存储媒体中将所述用户身份存储为经记录以供与所述接入终端一起使用。
10.一种在接入终端上操作的方法,所述方法包括:
将验证密钥存储在存储媒体中;
确定来自所述接入终端中的用户身份模块的用户身份未经记录以供与所述接入终端一起使用;
产生包含所述用户身份和接入终端身份的报告消息,所述报告消息适于报告所述用户身份与所述接入终端身份之间的使用关系;
用基于所述验证密钥产生的签名来签署所述报告消息,其中所述签名适于认证所述接入终端经授权以使用包含在所述报告消息中的所述接入终端身份;以及将包含所述经签署报告消息的发射发送到验证服务器。
11.根据权利要求10所述的方法,其中确定来自所述接入终端中的所述用户身份模块的所述用户身份未经记录以供与所述接入终端一起使用包括:
确定来自安置于所述接入终端中的可装卸式用户身份模块的所述用户身份未经记录以供与所述接入终端一起使用。
12.根据权利要求10所述的方法,其中确定来自所述接入终端中的所述用户身份模块的所述用户身份未经记录以供与所述接入终端一起使用包括:
确定来自所述接入终端中的所述用户身份模块的所述用户身份不同于最后一个经记录以供与所述接入终端一起使用且存储在所述接入终端的所述存储媒体中的用户身份。
13.根据权利要求10所述的方法,其进一步包括:
在将所述验证密钥存储在所述存储媒体中之前从经授权厂商接收所述验证密钥。
14.根据权利要求10所述的方法,其中产生包含所述用户身份的所述报告消息包括:
产生包含用于所述用户身份的国际移动订户身份IMSI的所述报告消息。
15.根据权利要求10所述的方法,其中产生包含所述接入终端身份的所述报告消息包括:
产生包含用于所述接入终端身份的国际移动设备身份IMEI或移动设备身份MEID中的一者的所述报告消息。
16.根据权利要求10所述的方法,其中将所述发射发送到所述验证服务器包括:
将所述发射作为短消息接发服务SMS消息、基于包的消息或信令消息中的一者来发送。
17.根据权利要求10所述的方法,其进一步包括:
从所述验证服务器接收指示所述用户身份与所述接入终端身份之间的所述报告的使用关系经验证且记录的确认;以及
将所述用户身份存储为经记录以供与所述接入终端一起使用的用户身份。
18.一种接入终端,其包括:
用于存储验证密钥的装置;
用于确定来自所述接入终端中的用户身份模块的用户身份未经记录以供与所述接入终端一起使用的装置;
用于产生包含所述用户身份和接入终端身份的报告消息的装置,所述报告消息适于报告所述用户身份与所述接入终端身份之间的使用关系;以及
用于用基于所述验证密钥产生的签名来签署所述报告消息的装置,其中所述签名适于认证所述接入终端经授权以使用包含在所述报告消息中的所述接入终端身份;
以及
用于将包含所述经签署报告消息的发射发送到验证服务器的装置。
19.一种处理器可读媒体,其包括在接入终端上操作的一个或一个以上指令,所述指令在由处理电路执行时致使所述处理电路:
确定来自所述接入终端中的用户身份模块的用户身份未经记录以供与所述接入终端一起使用;
产生包含所述用户身份和接入终端身份的报告消息,所述报告消息适于报告所述用户身份与所述接入终端身份之间的使用关系;
用基于存储在所述接入终端的存储媒体中的验证密钥产生的签名来签署所述报告消息,其中所述签名适于认证所述接入终端经授权以使用包含在所述报告消息中的所述接入终端身份;以及
将包含所述经签署报告消息的发射发送到验证服务器。
20.一种验证服务器,其包括:
通信接口,其适于促进无线通信;
存储媒体;以及
处理电路,其耦合到所述通信接口,所述处理电路适于:
接收验证密钥且将所述验证密钥存储在所述存储媒体中;
经由所述通信接口接收来自接入终端的发射,所述发射包含报告消息,所述报告消息报告接入终端身份与所述接入终端中的用户身份之间的使用关系,其中所述报告消息签署有签名;以及
使用所述验证密钥来认证所述报告消息的所述签名以检验所述接入终端经授权以使用包含在所述报告消息中的所述接入终端身份。
21.根据权利要求20所述的验证服务器,其中所述处理电路进一步适于将所述接入终端身份与所述用户身份之间的所述使用关系记录在设备身份寄存器EIR可存取的数据库中。
22.根据权利要求21所述的验证服务器,其中所述通信接口、所述存储媒体和所述处理电路与所述EIR实施为一体。
23.根据权利要求22所述的验证服务器,其中所述处理电路进一步适于:
经由所述通信接口接收来自网络实体的验证请求发射,所述验证请求发射包含所述用户身份和所述接入终端身份;
查询所述数据库是否存在检验出所述用户身份与所述接入终端身份之间的有效使用关系的记录;
在所述数据库中的记录检验出所述用户身份与所述接入终端身份之间的所述使用关系的情况下确定所述接入终端经授权;以及
在所述数据库中的记录证明所述使用关系不成立的情况下或者在所述数据库中没有记录检验出所述用户身份与所述接入终端身份之间的所述使用关系的情况下确定所述接入终端未经授权。
24.根据权利要求20所述的验证服务器,其中所述处理电路适于将来自所述接入终端的所述发射作为短消息接发服务SMS消息、基于包的消息或信令消息中的一者来接收。
25.根据权利要求20所述的验证服务器,其中所述处理电路进一步适于将确认所述报告消息的接收和认证的确认消息发送到所述接入终端。
26.根据权利要求20所述的验证服务器,其中包含在所述报告消息中的所述接入终端身份包括国际移动设备身份IMEI或移动设备身份MEID中的一者。
27.根据权利要求20所述的验证服务器,其中包含在所述报告消息中的所述用户身份包括国际移动订户身份IMSI。
28.一种在验证服务器上操作的方法,所述方法包括:
接收验证密钥且将所述验证密钥存储在存储媒体中;
接收来自接入终端的发射,所述发射包含报告消息,所述报告消息报告接入终端身份与所述接入终端中的用户身份之间的使用关系,其中所述报告消息签署有签名;以及
使用所述验证密钥来认证所述报告消息的所述签名以检验所述接入终端经授权以使用包含在所述报告消息中的所述接入终端身份。
29.根据权利要求28所述的方法,其进一步包括:
将所述接入终端身份与所述用户身份之间的所述使用关系记录在设备身份寄存器EIR可存取的数据库中。
30.根据权利要求29所述的方法,其进一步包括:
接收来自通信网络的实体的验证请求发射,所述验证请求发射包含所述用户身份和所述接入终端身份;
查询所述数据库是否存在检验出所述用户身份与所述接入终端身份之间的使用关系的记录;
在所述数据库中的记录检验出所述用户身份与所述接入终端身份之间的所述使用关系的情况下确定所述接入终端为经授权接入终端;以及
在所述数据库中的记录证明所述使用关系不成立的情况下或者在所述数据库中没有记录检验出所述用户身份与所述接入终端身份之间的所述使用关系的情况下确定所述接入终端为未经授权接入终端。
31.根据权利要求28所述的方法,其中接收来自所述接入终端的所述发射包括将所述发射作为短消息接发服务SMS发射、基于包的发射或信令消息发射中的一者来接收。
32.根据权利要求28所述的方法,其进一步包括:
将确认所述报告消息的接收和认证的确认消息发送到所述接入终端。
33.根据权利要求28所述的方法,其中包含在所述报告消息中的所述接入终端身份包括国际移动设备身份IMEI或移动设备身份MEID中的一者。
34.根据权利要求28所述的方法,其中包含在所述报告消息中的所述用户身份包括国际移动订户身份IMSI。
35.根据权利要求28所述的方法,其中认证所述报告消息的所述签名包括:
确定对应于发送了包含所述报告消息的所述发射的所述接入终端的所述验证密钥;
检索所述对应的验证密钥;以及
应用所述验证密钥来认证所述签名。
36.一种验证服务器,其包括:
用于接收验证密钥且将所述验证密钥存储在存储媒体中的装置;
用于接收来自接入终端的发射的装置,所述发射包含报告消息,所述报告消息报告接入终端身份与所述接入终端中的用户身份之间的使用关系,其中所述报告消息签署有签名;以及
用于使用所述验证密钥来认证所述报告消息的所述签名以检验所述接入终端经授权以使用包含在所述报告消息中的所述接入终端身份的装置。
37.根据权利要求36所述的验证服务器,其进一步包括:
用于将所述接入终端身份与所述用户身份之间的所述使用关系记录在设备身份寄存器EIR可存取的数据库中的装置。
38.根据权利要求37所述的验证服务器,其进一步包括:
用于在通信网络的实体将验证请求与获得的用户身份和接入终端身份一起发送时确定接入终端是经授权还是未经授权的装置。
39.一种处理器可读媒体,其包括在验证服务器上操作的一个或一个以上指令,所述指令在由处理电路执行时致使所述处理电路:
接收验证密钥且将所述验证密钥存储在存储媒体中;
接收来自接入终端的发射,所述发射包含报告消息,所述报告消息报告接入终端身份与所述接入终端中的用户身份之间的使用关系,其中所述报告消息签署有签名;以及
使用所述验证密钥来认证所述报告消息的所述签名以检验所述接入终端经授权以使用包含在所述报告消息中的所述接入终端身份。
40.根据权利要求39所述的处理器可读媒体,其进一步包括在所述验证服务器上操作的一个或一个以上指令,所述指令在由所述处理电路执行时致使所述处理电路:将所述接入终端身份与所述用户身份之间的所述使用关系记录在设备身份寄存器EIR可存取的数据库中。
41.根据权利要求40所述的处理器可读媒体,其进一步包括在所述验证服务器上操作的一个或一个以上指令,所述指令在由所述处理电路执行时致使所述处理电路:
在通信网络的实体将验证请求与获得的用户身份和接入终端身份一起发送时确定接入终端是经授权还是未经授权。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201180018688.0A CN102835137B (zh) | 2010-03-16 | 2011-03-16 | 促进接入终端身份的认证 |
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010101315142A CN102196438A (zh) | 2010-03-16 | 2010-03-16 | 通信终端标识号管理的方法和装置 |
| CN201010131514.2 | 2010-03-16 | ||
| CN2010101315142 | 2010-03-16 | ||
| PCT/CN2011/071855 WO2011113355A1 (en) | 2010-03-16 | 2011-03-16 | Facilitating authentication of access terminal identity |
| CN201180018688.0A CN102835137B (zh) | 2010-03-16 | 2011-03-16 | 促进接入终端身份的认证 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102835137A true CN102835137A (zh) | 2012-12-19 |
| CN102835137B CN102835137B (zh) | 2016-10-05 |
Family
ID=44603675
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010101315142A Pending CN102196438A (zh) | 2010-03-16 | 2010-03-16 | 通信终端标识号管理的方法和装置 |
| CN201180018688.0A Expired - Fee Related CN102835137B (zh) | 2010-03-16 | 2011-03-16 | 促进接入终端身份的认证 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010101315142A Pending CN102196438A (zh) | 2010-03-16 | 2010-03-16 | 通信终端标识号管理的方法和装置 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US9578498B2 (zh) |
| EP (1) | EP2548390B1 (zh) |
| JP (1) | JP5629788B2 (zh) |
| KR (1) | KR101487074B1 (zh) |
| CN (2) | CN102196438A (zh) |
| WO (1) | WO2011113355A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017024791A1 (zh) * | 2015-08-10 | 2017-02-16 | 华为技术有限公司 | 一种处理授权的方法和设备 |
| CN113473458A (zh) * | 2021-05-10 | 2021-10-01 | 厦门市思芯微科技有限公司 | 一种设备接入方法、数据传输方法和计算机可读存储介质 |
Families Citing this family (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9385862B2 (en) | 2010-06-16 | 2016-07-05 | Qualcomm Incorporated | Method and apparatus for binding subscriber authentication and device authentication in communication systems |
| US9112905B2 (en) | 2010-10-22 | 2015-08-18 | Qualcomm Incorporated | Authentication of access terminal identities in roaming networks |
| US9668128B2 (en) | 2011-03-09 | 2017-05-30 | Qualcomm Incorporated | Method for authentication of a remote station using a secure element |
| CN103108311B (zh) | 2011-11-11 | 2017-11-28 | 中兴通讯股份有限公司 | 一种mtc设备与uicc绑定的方法、装置及系统 |
| CN103188678A (zh) * | 2011-12-29 | 2013-07-03 | 希姆通信息技术(上海)有限公司 | 移动终端、管理平台、移动终端防套用系统及方法 |
| CN103634791B (zh) * | 2012-08-27 | 2018-03-09 | 华为终端(东莞)有限公司 | 切换运营商网络的方法、用户设备及远程管理平台 |
| CN103200312B (zh) * | 2013-03-01 | 2015-04-01 | 宁波萨瑞通讯有限公司 | 多卡移动电话快速写imei码方法 |
| US20150006898A1 (en) * | 2013-06-28 | 2015-01-01 | Alcatel-Lucent Usa Inc. | Method For Provisioning Security Credentials In User Equipment For Restrictive Binding |
| CN104519491B (zh) * | 2013-09-30 | 2017-12-05 | 大唐终端设备有限公司 | 一种用于移动终端的报警方法和装置 |
| CN103714470A (zh) * | 2014-01-14 | 2014-04-09 | 陈树鑫 | 商品防盗防丢方法及装置 |
| CN103973703A (zh) * | 2014-05-23 | 2014-08-06 | 杭州智屏科技有限公司 | 一种用于应用程序和服务器之间交换数据安全的请求方法 |
| CN105306320B (zh) * | 2015-11-20 | 2018-10-23 | 青岛海信移动通信技术股份有限公司 | 一种为智能设备绑定客户端的方法及装置 |
| CN105592438A (zh) * | 2016-01-22 | 2016-05-18 | 上海亮衡信息科技有限公司 | 一种pin码开机的选网优化方法及装置 |
| US20180049027A1 (en) * | 2016-08-11 | 2018-02-15 | Qualcomm Incorporated | Adding authenticatable signatures to acknowledgements |
| GB2556906A (en) * | 2016-11-24 | 2018-06-13 | Trustonic Ltd | Handset identifier verification |
| US10755694B2 (en) * | 2018-03-15 | 2020-08-25 | Motorola Mobility Llc | Electronic device with voice-synthesis and acoustic watermark capabilities |
| EP3654681A1 (en) | 2018-11-13 | 2020-05-20 | Thales Dis France SA | A method and network server for authenticating a communication apparatus |
| EP3909278A4 (en) * | 2019-01-07 | 2022-08-10 | Citrix Systems, Inc. | PARTICIPANT IDENTITY MANAGEMENT |
| CN110234116B (zh) * | 2019-06-24 | 2021-11-02 | 飞天诚信科技股份有限公司 | 一种安全认证方法及系统 |
| CN112449341B (zh) * | 2019-08-29 | 2022-08-09 | 华为云计算技术有限公司 | IoT设备数据管理方法、装置和系统 |
| CN111245865A (zh) * | 2020-02-29 | 2020-06-05 | 北京帕斯沃得科技有限公司 | 一种网络实名认证方法和系统 |
| CN111478774B (zh) * | 2020-04-09 | 2022-07-22 | 确信信息股份有限公司 | 一种基于语音鉴别的密钥授权方法及系统 |
| CN112787990B (zh) * | 2020-10-28 | 2023-01-31 | 国网辽宁省电力有限公司电力科学研究院 | 一种电力终端可信接入认证方法和系统 |
| CN112989309B (zh) * | 2021-05-21 | 2021-08-20 | 统信软件技术有限公司 | 基于多方授权的登录方法、认证方法、系统及计算设备 |
| WO2023070425A1 (zh) * | 2021-10-28 | 2023-05-04 | 京东方科技集团股份有限公司 | 设备身份验证方法及装置、电子设备、计算机可读介质 |
| CN116436905B (zh) * | 2023-04-19 | 2023-11-28 | 广州市迪士普音响科技有限公司 | 网络化广播通信方法及装置、存储介质及计算机设备 |
| CN117478432B (zh) * | 2023-12-27 | 2024-03-19 | 国网天津市电力公司信息通信公司 | 一种电力通信设备安全运维系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1225226A (zh) * | 1996-05-13 | 1999-08-04 | 艾利森电话股份有限公司 | 用于移动电话管理的方法和设备 |
| CN1684411A (zh) * | 2004-04-13 | 2005-10-19 | 华为技术有限公司 | 一种验证移动终端用户合法性的方法 |
| CN1921661A (zh) * | 2005-08-24 | 2007-02-28 | 乐金电子(中国)研究开发中心有限公司 | Gsm终端的认证处理方法 |
| CN101448257A (zh) * | 2007-11-28 | 2009-06-03 | 陈静 | 一种对用户终端进行验证的控制系统及控制方法 |
Family Cites Families (76)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FI952146A (fi) | 1995-05-04 | 1996-11-05 | Nokia Telecommunications Oy | Tilaajalaitteen käyttoikeuden tarkistus |
| FI101031B (fi) * | 1995-05-12 | 1998-03-31 | Nokia Telecommunications Oy | Tilaajalaitteen käyttöoikeuden tarkistus |
| FI103469B (fi) * | 1996-09-17 | 1999-06-30 | Nokia Telecommunications Oy | Kopioidun tilaajatunnuksen väärinkäytön estäminen matkaviestinjärjeste lmässä |
| EP0995288B1 (de) | 1997-07-10 | 2008-02-20 | T-Mobile Deutschland GmbH | Verfahren und vorrichtung zur gegenseitigen authentisierung von komponenten in einem netz mit dem challenge-response-verfahren |
| KR100315641B1 (ko) | 1999-03-03 | 2001-12-12 | 서평원 | 오티에이피에이를 위한 단말기와 시스템의 상호 인증 방법 |
| DE19812215A1 (de) | 1998-03-19 | 1999-09-23 | Siemens Ag | Verfahren, Mobilstation und Funk-Kommunikationssystem zur Steuerung von sicherheitsbezogenen Funktionen bei der Verbindungsbehandlung |
| FI110224B (fi) | 1999-09-17 | 2002-12-13 | Nokia Corp | Valvontajärjestelmä |
| US6826690B1 (en) | 1999-11-08 | 2004-11-30 | International Business Machines Corporation | Using device certificates for automated authentication of communicating devices |
| JP4223721B2 (ja) | 1999-12-08 | 2009-02-12 | 三洋電機株式会社 | 鍵管理システムおよび鍵管理方法 |
| KR100430358B1 (ko) | 1999-12-27 | 2004-05-04 | 미쓰비시덴키 가부시키가이샤 | 무선 통신 장치 및 무선 통신 방법 |
| DE10026326B4 (de) | 2000-05-26 | 2016-02-04 | Ipcom Gmbh & Co. Kg | Verfahren zur kryptografisch prüfbaren Identifikation einer physikalischen Einheit in einem offenen drahtlosen Telekommunikationsnetzwerk |
| JP4839554B2 (ja) | 2000-10-19 | 2011-12-21 | ソニー株式会社 | 無線通信システム、クライアント装置、サーバ装置および無線通信方法 |
| US7668315B2 (en) | 2001-01-05 | 2010-02-23 | Qualcomm Incorporated | Local authentication of mobile subscribers outside their home systems |
| US20080301776A1 (en) | 2001-02-14 | 2008-12-04 | Weatherford Sidney L | System method for providing secure access to a communications network |
| JP2002345041A (ja) | 2001-05-21 | 2002-11-29 | Mitsubishi Electric Corp | 加入者端末における秘密情報の登録方法 |
| US7779267B2 (en) | 2001-09-04 | 2010-08-17 | Hewlett-Packard Development Company, L.P. | Method and apparatus for using a secret in a distributed computing system |
| US20040022748A1 (en) | 2002-03-12 | 2004-02-05 | Unilever Home & Personal Care Usa, Division Of Conopco, Inc. | Method of enhancing skin lightening |
| US8060139B2 (en) | 2002-06-24 | 2011-11-15 | Toshiba American Research Inc. (Tari) | Authenticating multiple devices simultaneously over a wireless link using a single subscriber identity module |
| JP4018573B2 (ja) | 2003-03-25 | 2007-12-05 | 株式会社エヌ・ティ・ティ・ドコモ | 認証システム及び通信端末 |
| JP2005078220A (ja) | 2003-08-28 | 2005-03-24 | Matsushita Electric Ind Co Ltd | 情報処理装置ならびにサービス提供システムおよびサービス提供方法 |
| WO2005036916A1 (en) | 2003-10-03 | 2005-04-21 | Bitfone Corporation | Network and method for registration of mobile devices and management of the mobile devices |
| US7325133B2 (en) | 2003-10-07 | 2008-01-29 | Koolspan, Inc. | Mass subscriber management |
| US20050086468A1 (en) * | 2003-10-17 | 2005-04-21 | Branislav Meandzija | Digital certificate related to user terminal hardware in a wireless network |
| EP1680720B1 (en) | 2003-11-07 | 2012-01-04 | Telecom Italia S.p.A. | Method and system for the authentication of a user of a data processing system |
| FR2864410B1 (fr) | 2003-12-19 | 2006-03-03 | Gemplus Card Int | Telephone portable et procede associe de securisation de son identifiant. |
| CN1719919A (zh) * | 2004-07-09 | 2006-01-11 | 上海迪比特实业有限公司 | 一种获取移动电话用户信息的方法 |
| US8611536B2 (en) | 2004-09-08 | 2013-12-17 | Qualcomm Incorporated | Bootstrapping authentication using distinguished random challenges |
| US20060089123A1 (en) | 2004-10-22 | 2006-04-27 | Frank Edward H | Use of information on smartcards for authentication and encryption |
| US7769175B2 (en) | 2004-11-24 | 2010-08-03 | Research In Motion Limited | System and method for initiation of a security update |
| NO20050152D0 (no) | 2005-01-11 | 2005-01-11 | Dnb Nor Bank Asa | Fremgangsmate ved frembringelse av sikkerhetskode og programmbar anordning for denne |
| CN101147377B (zh) | 2005-02-04 | 2013-03-27 | 高通股份有限公司 | 无线通信的安全自启动 |
| JP2006245831A (ja) | 2005-03-01 | 2006-09-14 | Nippon Telegr & Teleph Corp <Ntt> | 通信方法、通信システム、認証サーバ、および移動機 |
| US20060206710A1 (en) | 2005-03-11 | 2006-09-14 | Christian Gehrmann | Network assisted terminal to SIM/UICC key establishment |
| US20060236369A1 (en) | 2005-03-24 | 2006-10-19 | Covington Michael J | Method, apparatus and system for enforcing access control policies using contextual attributes |
| US20060291422A1 (en) | 2005-06-27 | 2006-12-28 | Nokia Corporation | Mobility management in a communication system of at least two communication networks |
| KR100770928B1 (ko) | 2005-07-02 | 2007-10-26 | 삼성전자주식회사 | 통신 시스템에서 인증 시스템 및 방법 |
| DE202005021930U1 (de) | 2005-08-01 | 2011-08-08 | Corning Cable Systems Llc | Faseroptische Auskoppelkabel und vorverbundene Baugruppen mit Toning-Teilen |
| CN100563159C (zh) | 2006-02-23 | 2009-11-25 | 华为技术有限公司 | 通用鉴权系统及访问该系统中网络业务应用的方法 |
| JP2007281861A (ja) | 2006-04-06 | 2007-10-25 | Nec Corp | 端末認証方法及び携帯端末装置 |
| CN101056456A (zh) | 2006-04-10 | 2007-10-17 | 华为技术有限公司 | 无线演进网络实现认证的方法及安全系统 |
| EP2005706B1 (en) | 2006-04-11 | 2018-12-12 | QUALCOMM Incorporated | Method and apparatus for binding multiple authentications |
| GB0702587D0 (en) * | 2006-05-05 | 2007-03-21 | Omnifone Ltd | Digital rights management |
| JP4527085B2 (ja) | 2006-06-14 | 2010-08-18 | 株式会社エヌ・ティ・ティ・ドコモ | 加入者認証モジュール |
| US20080003980A1 (en) * | 2006-06-30 | 2008-01-03 | Motorola, Inc. | Subsidy-controlled handset device via a sim card using asymmetric verification and method thereof |
| US8689300B2 (en) * | 2007-01-30 | 2014-04-01 | The Boeing Company | Method and system for generating digital fingerprint |
| CN100456725C (zh) | 2007-03-15 | 2009-01-28 | 北京安拓思科技有限责任公司 | 用于wapi的获取公钥证书的网络系统和方法 |
| WO2008138440A2 (en) | 2007-05-16 | 2008-11-20 | Panasonic Corporation | Methods in mixed network and host-based mobility management |
| US7929959B2 (en) * | 2007-09-01 | 2011-04-19 | Apple Inc. | Service provider activation |
| KR101458205B1 (ko) | 2007-09-17 | 2014-11-12 | 삼성전자주식회사 | 휴대 방송 시스템에서 방송 서비스 송수신 방법 및 장치 |
| KR100905072B1 (ko) * | 2007-12-18 | 2009-06-30 | 주식회사 케이티프리텔 | 강제 재위치 등록에 의한 도난 단말 사용 저지 방법 및시스템 |
| US8561135B2 (en) | 2007-12-28 | 2013-10-15 | Motorola Mobility Llc | Wireless device authentication using digital certificates |
| US9197746B2 (en) | 2008-02-05 | 2015-11-24 | Avaya Inc. | System, method and apparatus for authenticating calls |
| JP4586075B2 (ja) | 2008-02-06 | 2010-11-24 | 株式会社エヌ・ティ・ティ・ドコモ | 無線端末及び無線通信方法 |
| US8249553B2 (en) | 2008-03-04 | 2012-08-21 | Alcatel Lucent | System and method for securing a base station using SIM cards |
| US20090239503A1 (en) | 2008-03-20 | 2009-09-24 | Bernard Smeets | System and Method for Securely Issuing Subscription Credentials to Communication Devices |
| US8001379B2 (en) | 2008-03-26 | 2011-08-16 | Mformation Technologies Inc. | Credential generation system and method for communications devices and device management servers |
| US8145195B2 (en) | 2008-04-14 | 2012-03-27 | Nokia Corporation | Mobility related control signalling authentication in mobile communications system |
| US20090282256A1 (en) * | 2008-05-12 | 2009-11-12 | Sony Ericsson Mobile Communications Ab | Secure push messages |
| JP5388088B2 (ja) | 2008-05-14 | 2014-01-15 | 独立行政法人情報通信研究機構 | 通信端末装置、管理装置、通信方法、管理方法及びコンピュータプログラム。 |
| US8402111B2 (en) * | 2009-01-28 | 2013-03-19 | Headwater Partners I, Llc | Device assisted services install |
| GB2464260B (en) | 2008-10-02 | 2013-10-02 | Motorola Solutions Inc | Method, mobile station, system and network processor for use in mobile communications |
| WO2010064128A2 (en) * | 2008-12-03 | 2010-06-10 | Entersect Mobile Cc | Secure transaction authentication |
| US8121600B2 (en) | 2008-12-30 | 2012-02-21 | Motorola Mobility, Inc. | Wide area mobile communications over femto-cells |
| CN102273239A (zh) | 2008-12-31 | 2011-12-07 | 诺基亚(中国)投资有限公司 | 用于在通信网络中标识合法用户设备的解决方案 |
| AR076088A1 (es) | 2009-03-06 | 2011-05-18 | Interdigital Patent Holding Inc | Plataforma de validacion y gestion de dispositivos inalambricos |
| US8498267B2 (en) * | 2009-05-01 | 2013-07-30 | At&T Mobility Ii Llc | Access control for macrocell to femtocell handover |
| US8059586B2 (en) | 2009-06-04 | 2011-11-15 | Motorola Mobility, Inc. | Mobility management entity tracking for group mobility in wireless communication network |
| EP2291015A1 (en) | 2009-08-31 | 2011-03-02 | Gemalto SA | A method for communicating data between a secure element and a network access point and a corresponding secure element |
| US20110219427A1 (en) * | 2010-03-04 | 2011-09-08 | RSSBus, Inc. | Smart Device User Authentication |
| US8645699B2 (en) | 2010-03-15 | 2014-02-04 | Blackberry Limited | Use of certificate authority to control a device's access to services |
| US8566926B1 (en) | 2010-03-18 | 2013-10-22 | Sprint Communications Company L.P. | Mobility protocol selection by an authorization system |
| US9385862B2 (en) | 2010-06-16 | 2016-07-05 | Qualcomm Incorporated | Method and apparatus for binding subscriber authentication and device authentication in communication systems |
| CN101945386B (zh) | 2010-09-10 | 2015-12-16 | 中兴通讯股份有限公司 | 一种实现安全密钥同步绑定的方法及系统 |
| US9112905B2 (en) | 2010-10-22 | 2015-08-18 | Qualcomm Incorporated | Authentication of access terminal identities in roaming networks |
| US8868915B2 (en) | 2010-12-06 | 2014-10-21 | Verizon Patent And Licensing Inc. | Secure authentication for client application access to protected resources |
| US9668128B2 (en) | 2011-03-09 | 2017-05-30 | Qualcomm Incorporated | Method for authentication of a remote station using a secure element |
-
2010
- 2010-03-16 CN CN2010101315142A patent/CN102196438A/zh active Pending
-
2011
- 2011-03-16 US US13/577,888 patent/US9578498B2/en not_active Expired - Fee Related
- 2011-03-16 JP JP2012557389A patent/JP5629788B2/ja not_active Expired - Fee Related
- 2011-03-16 CN CN201180018688.0A patent/CN102835137B/zh not_active Expired - Fee Related
- 2011-03-16 KR KR1020127026857A patent/KR101487074B1/ko active IP Right Grant
- 2011-03-16 EP EP11755672.0A patent/EP2548390B1/en not_active Not-in-force
- 2011-03-16 WO PCT/CN2011/071855 patent/WO2011113355A1/en active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1225226A (zh) * | 1996-05-13 | 1999-08-04 | 艾利森电话股份有限公司 | 用于移动电话管理的方法和设备 |
| CN1684411A (zh) * | 2004-04-13 | 2005-10-19 | 华为技术有限公司 | 一种验证移动终端用户合法性的方法 |
| CN1921661A (zh) * | 2005-08-24 | 2007-02-28 | 乐金电子(中国)研究开发中心有限公司 | Gsm终端的认证处理方法 |
| CN101448257A (zh) * | 2007-11-28 | 2009-06-03 | 陈静 | 一种对用户终端进行验证的控制系统及控制方法 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017024791A1 (zh) * | 2015-08-10 | 2017-02-16 | 华为技术有限公司 | 一种处理授权的方法和设备 |
| CN106714075A (zh) * | 2015-08-10 | 2017-05-24 | 华为技术有限公司 | 一种处理授权的方法和设备 |
| US10666661B2 (en) | 2015-08-10 | 2020-05-26 | Huawei Technologies Co., Ltd. | Authorization processing method and device |
| CN106714075B (zh) * | 2015-08-10 | 2020-06-26 | 华为技术有限公司 | 一种处理授权的方法和设备 |
| CN113473458A (zh) * | 2021-05-10 | 2021-10-01 | 厦门市思芯微科技有限公司 | 一种设备接入方法、数据传输方法和计算机可读存储介质 |
| CN113473458B (zh) * | 2021-05-10 | 2023-11-17 | 厦门市思芯微科技有限公司 | 一种设备接入方法、数据传输方法和计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102835137B (zh) | 2016-10-05 |
| KR20120139803A (ko) | 2012-12-27 |
| JP2013522989A (ja) | 2013-06-13 |
| EP2548390A4 (en) | 2017-03-29 |
| KR101487074B1 (ko) | 2015-01-28 |
| JP5629788B2 (ja) | 2014-11-26 |
| EP2548390A1 (en) | 2013-01-23 |
| US9578498B2 (en) | 2017-02-21 |
| CN102196438A (zh) | 2011-09-21 |
| EP2548390B1 (en) | 2018-10-24 |
| WO2011113355A1 (en) | 2011-09-22 |
| US20130036223A1 (en) | 2013-02-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102835137A (zh) | 促进接入终端身份的认证 | |
| KR101536489B1 (ko) | 로밍 네트워크 내의 액세스 단말 아이덴티티의 인증 | |
| CN101167388B (zh) | 对移动终端特征的受限供应访问 | |
| US8646063B2 (en) | Methods, apparatus, and computer program products for subscriber authentication and temporary code generation | |
| JP5154401B2 (ja) | トランザクションの円滑化および認証 | |
| US10440034B2 (en) | Network assisted fraud detection apparatus and methods | |
| CN101473670B (zh) | 用于控制网络接入的方法和系统 | |
| CN112673600B (zh) | 基于区块链的手机终端以及IoT设备之间的多重安全认证系统以及方法 | |
| US20070178881A1 (en) | Remotely controlling access to subscriber data over a wireless network for a mobile device | |
| ZA200401571B (en) | A method for authenticating a user in a terminal, an authentication system, a terminal and an authorization device. | |
| KR100834270B1 (ko) | 이동통신 기반의 가상사설망 서비스 제공 방법 및 시스템과이를 위한 이동단말기 | |
| CN111092820B (zh) | 一种设备节点认证方法、装置和系统 | |
| KR20160143333A (ko) | 이중 채널을 이용한 이중 인증 방법 | |
| US20220408252A1 (en) | Method for authenticating a user on a network slice | |
| US9648495B2 (en) | Method and device for transmitting a verification request to an identification module | |
| KR100790495B1 (ko) | 암호화 알고리즘을 이용한 이동통신 단말기 제어를 위한인증 방법, 시스템, 서버 및 기록매체 | |
| JP2010541437A (ja) | 固有のユーザ指向の認証を検証することによるコンテンツ配信 | |
| KR20210030607A (ko) | 모바일 네트워크 시스템을 이용한 부정 로그인 탐지를 위한 장치 및 이를 위한 방법 | |
| KR20160143337A (ko) | 이중 채널을 이용한 이중 인증 방법 및 시스템 | |
| KR20160128686A (ko) | 이중 채널을 이용한 이중 인증 방법 및 시스템 | |
| KR20160143335A (ko) | 이중채널 기반 이중인증 방법 및 시스템 | |
| KR20160143336A (ko) | 이중채널을 이용한 이중 인증방법 | |
| KR20080067806A (ko) | 이동통신 단말기의 멀티미디어 메시지 서비스 인증 시스템및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20161005 Termination date: 20210316 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |