201203979 六、發明說明: 根據專利法的優先權主張 - 本專利申請案主張於2010年4月23曰提出申請的標題 為「Method and Apparatus for Network Personalization of
Subscriber Devices (用於用戶設備的網路個性化的方法和 裝置)」的美國臨時申請案第61/327,518號的權益,該臨 時申明案被轉讓給本案受讓人並因而被明確以引用方式 併入本文。 【發明所屬之技術領域】 一個特徵係關於通訊系統,更特定言之係關於用於服務 供應商實體使用戶設備個性化以確保該用戶設備不能在 不同的服務供應商實體的網路中使用的改良方法。 【先前技術】 打動網路服務供應商(亦即,網路實體、服務供應商或 服務供應商實體)可能希望補貼諸如毫微微細胞服務區/ 家庭⑷B節點(H(e)NB)、中繼、包括數據機、平板電 腦和行動電話的最終使用者設備之類的用戶設備。然而, 該等新興用戶设備中的許多用戶設備可能不將智慧卡用 於認證,而是取而代之可能依靠基於設備憑證的認證。 補貼此類认備的網路實體或服務供應商可能想要確保 被補貼的設備不能在不同的服務供應商實體的網路中使 用由於在諸如毫微微細胞服務區之類的用戶設備與服務 供應商實體的網路之間有相互的認證(例如,毫微微細胞 201203979 服務區情形中的安全閘道),因而達成確保被補貼的設備 不能在不同的服務供應商實體的網路中使用的一種方式 是確保用戶設備將僅對特定的服務供應商實體而言可成 功認證。當前用於達成此舉的方法向設備製造商提供在被 補貼的設備上安裝僅用於一家服務供應商的根憑證。儘管 此舉將使給予補貼的服務供應商實體能夠確保被補貼的 設備不能在不同的服務供應商實體的網路中使用,但是會 創生製造過程中的低下效率並防止已爲—家服務供應商 實體製造的用戶設備例如在訂單被取消的情況下被出售 給另一家服務供應商實體。 因此,需要允許給予補貼的服務供應商實體確保被補貼 的設備不能在不同的服務供應商實體的網路中使用而同 時防止目前在製造過程中效率低下的系統和方法。 【發明内容】 補貼用戶設備(例如,行動設備)的服務供應商實體(例 如,無線服務供應商實體或承運商)想要確保被補貼的設 備不能在不同的服務供應商實體的網路中使用。爲了確保 用戶設備僅可在該服務供應商實體的網路中而不可在不 同的服務供應商實體的網路中操作,該服務供應商實體可 經由使儲存在該用戶設備上的與該服務供應商實體不關 聯的所有經預配置的根憑證不合格的方式來使該用戶設 備個性化。 一個特徵提供一種在用戶設備上操作^法。預配置有 201203979 複數個根憑證的用戶設備由服務供應商實體個性化。爲了 使用戶設備個性化,建立與正提供補貼的服務供應商實體 的通訊服務或鏈路。經由建立通訊服務或鏈路,可以隨後 完成用戶設備與服務供應商實體的相互認證。亦即,用服 務供應商實體來S忍證用戶設備’並且用用戶設備來認證服 務供應商實體。使用來自在用戶設備中預配置的複數個根 憑證中的根憑證來認證服務供應商實體。 在相互認證之後,用戶設備可自服務供應商接收用於使 與該服務供應商實體無關聯的所有根憑證不合格的命 令。經由使用戶設備上的與正在補貼用戶設備的服務供應 商實體無關聯的所有根憑證不合格,該用戶設備可以不能 夠與不同的服務供應商實體進行認證,並且因此將不能夠 存取由不同的服務供應商實體提供的服務。 回應於該命令,用戶設備可隨後經由去能由服務供應商 實體指冑的根憑證來使該等⑯憑證不合格。#纟能無關聯 的根憑證的嘗試失敗,則用戶設備可隨後自服務供應商實 體接收用於刪除該等無關聯的根憑證的命令。替代地,若 用戶設備最初經由刪除指定的根憑證的方式來嘗試使該 等根憑證不合格並且失敗了’則用戶設備可隨後自服務供 應商實體接收用&嘗試去能該等根憑證的命令。 在發生預定事件之後,諸如用戶設備與服務供應商實體 1的服務契約終止’則用戶設備可自服務供應商實體接 收用於賦忐先前已被去能的指定的根憑證的額外命令。替 、 若扣疋的根憑證已被刪除,則該來自服務供應商實 201203979 體的額外命令爲替代先前已被刪除的指定的根憑證。 另一特徵提供一種由給予補貼的服務供應商實體來個 性化的用戶設備。該用戶設備可包括耦合至用於儲存複數 個根憑證的記憶體設備的處理電路,及用於提供至給予補 貼的服務供應商實體的連通性的網路通訊介面。隨後可自 服務供應商實體接收用於指令用戶設備使儲存在記憶體 设備中的指定的根憑證不合格的命令;該等指定的根憑證 與該服務供應商實體無關聯。用戶設備隨後使指定的允許 存取由服務供應商實體提供的所有服務和特徵的根憑證 不合格。 ' 另一特徵提供一種由給予補貼的服務供應商實體來個 性化的用戶設備,該用戶設備可包括用於建立與服務供應 商實體的通訊服務的構件。該用戶設備可進一步包括用於 自服務供應商實體接收用於使儲存在該用戶設備中的指 疋的根憑證;^合格的命令的構件,該等指定的根憑證與該 服務供應商實體無關聯4可包括用於使料指定的根憑 證不合格的構件。 又-特徵提供-種電腦可讀取媒體,其包括用於由服務 供應商實體來使用戶設備個性化的指令。在由處理器執行 時該等才曰令可使處理器建立與服務供應商實體的通訊服 ,;自服務供應商實體接收心使儲存在用戶設備中的指 定的根憑證不合格的命令,該等指定的根憑證與該服務供 應商實體無關聯;及使該等指定的根憑證不合格。 亦提供-種在服務供應商實體上操作的方法。服務供應 201203979 商實體可補貼用彳言免備並希望確保制戶設備僅在該服 ‘ =供應冑實冑的網路中而不在+同的服務供應商實體的 • 路中操作。爲了防止用戶設備在不同的服務供應商實體 的網路中操作,服務供應商實體可經由使在該用戶設備上 預配置的與該服務供應商實體無關聯的所有根憑證不合 格的方式來使該用戶設備個性化。 爲了使用戶設備個性化,建立與該用戶設備的通訊服務 或鏈路。舉例而言,可以經由用戶設備被開啟或登錄服務 供應商實體的網路來建立通訊服務。經由建立通訊服務或 鏈路,可以隨後完成服務供應商實體與用戶設備的相互認 證。在相互認證之後,服務供應商實體可向用戶設備發送 用於使儲存在用戶設備上的與服務供應商實體無關聯的 指定的根憑證不合格的命令。 服務供應商實體可命令用戶設備經由去能該等根憑證 來使該等根憑證不合格。若無關聯的根憑證的去能失敗, 則服務供應商實體可隨後命令用戶設備刪除無關聯的根 憑證。替代地,若指定的根憑證的刪除失敗,則服務供應 商實體可隨後命令用戶設備去能該等指定根憑證。 在發生預定事件之後,諸如服務供應商實體與用戶設備 之間的服務契約終止,則服務供應商實體可向用戶設備發 送用於賦能先前已被去能的指定的根憑證的額外命令。替 代地’右}曰疋的根憑證已被刪除,則該來自服務供應商實 體的額外命令爲替代先前已被刪除的指定的根憑證。 另一特徵提供使用戶設備個性化的服務供應商實體。該 201203979 服務供應商實體可包括耦合至記憶體設備的處理電路和 用於提供至用戶設備的連通性的網路通訊介面。服務供應 商實體可建立與用戶設備的通訊服務或鏈路,並且用戶設 備與服務供應商實體之間的相互認證可被達成。隨後可向 用戶設備發送用於指令該用戶設備使儲存在該用戶設備 中的指定的根憑證不合格的命令;該等指定的根憑證與該 服務供應商實體無關聯。 另一特徵提供用於使用戶設備個性化的服務供應商實 體,該服務供應商實體包括用於建立與用戶設備的通訊服 務的構件。該用戶設備可進一步包括用於向用戶設備發送 用於使儲存在該用戶設備上的指定的根憑證不合格的命 令的構件,該等指定的根憑證與該服務供應商實體無關 聯。 又一特徵提供一種電腦可讀取媒體,其包括用於使用戶 設備個性化的服務供應商實體的指令。在由處理器執行 時’該等指令可使處理建立與用戶設備的通訊服務;及向 該用戶认備發送用於使儲存在該用戶設備上的指定的根 憑證不合格的命令,該等指定的根憑證與該服務供應商實 體無關聯。 【實施方式】 在以下說明中,提供了具體細節以提供對諸實施例的透 徹理解。但是’本領域—般技藝人士將可理解,沒有該等 具體細節亦可實施該等實施例。舉例而言,電路可能以方 201203979 塊圖形式圖示,亦可能根本不被圖示,以免因不必要的細 節而與該等實施例相混淆。在其他實例中,熟知的電路、 結構和技術可能不被具體圖示以免澄沒該等實施例。 措辭「示例性」在本文中用於意謂「用作示例、實例或 說明」。本文令描述爲「示例性」的任何實現或實施例不 必被解釋爲較佳於或勝過其他實施例n術語「實施 例」並不要求所有實施例皆包括所論述的特徵、優點,或 工作模式。 如本文中所使用的,存取點可以是用於與最終使用者設 備通訊的固定站,並且亦可被稱爲基地台、B節點,或其 他某個術語’ ϋ包括其—些或全部功能性。最終使用者設 備亦可被稱爲使用者裝備(UE )、無線或有線通訊設備、 、'端行動終端、行動站及/或任何其他的適於在網路上通 訊的設備,並包括其一些或全部功能性。 综述 一個特徵提供一種允許給予補貼的服務供應商實體(例 如無線服務供應商實體或承運商)使用戶設備個性化以 確保該用戶設備不能在不同的服務供應商實體的網路中 使用的方式。爲了確保用戶設備僅可在該服務供應商實體 的網路中而不可在不同的服務供應商實體的網路中操 作’該服務供應商實體可經由使該用戶設備上的與該服務 供應商實體無關聯的所有經預配置的根憑證不合格的方 式來使該用戶設備個性化。 根據一個實例,提供了一種用於使用戶設備個性化的方 201203979 法。可以由用戶設備的製造商用與複數個不同的服務供應 商實體相關聯的複數個根憑證來預配置該用戶設備。在開 啟用戶設備或登錄服務供應商實體的網路之後,就可以在 服務供應商實體與用戶設備之間建立通訊服務或鏈路。一 旦通訊服務或鏈路已被建立,就可以完成用戶設備與服務 供應商實體的相互認證。在相互認證之後,服務供應商實 體可向用戶設備發送用於使與該服務供應商實體無關聯 的所有根憑證不合格的命令(亦即,指令)。經由使用戶 设備上的與正在補貼該用戶設備的服務供應商實體無關 聯的所有根憑證不合格,用戶設備可以不能夠與不同的服 務供應商實體進行認證,並且因此將不能夠存取由不在補 貼該用戶設備的其他服務供應商實體提供的服務。 根據-個態樣’可以經由去能用戶設備上的與該服務供 應商實體無關聯的根憑證的方式來使該等根憑證不合 格換5之,除了與給予補貼的服務供應商實體相關聯的 根憑證之外的所有根憑證皆可被去能,從而使其呈現爲不 ::直至該服務供應商實體命令(或指令)用戶設備賦能 别被去能的根憑證為止。所有被去能的根憑證可保留在 用戶設備上。 ^以經由自用戶設備刪除與該服務供 無關聯的根憑證的方式來使該等根憑證不合格。 二:二自用戶設備删除除了與給予補貼的服務供應 設傷==的根憑證之外的所有根憑證,從而防止該用 子 同的服務供應商實體的網路。 201203979 在自服務供應商實體接收到用於使儲存在用戶設備上 的與該服務供應商實體無關聯的所有根憑證不合格的人 令之後’用戶設備可嘗試經由如所指令的一般去能或刪: 無關聯的根憑證的方式來遵循該命令。—旦用戶設備已如 所指令的—般去能或刪除了無關聯的根憑證,或者已嘗試 如所指令的一般去能或刪除無關聯的根憑證,用戶設備就 可向該服務供應商實體發送確認。該確認可指示使無關聯 的根憑證不合格的指令已成功或者使無關聯的根憑證不 合格已失敗…用戶設備接收到失敗確認之後,則服務 供應商實體可採取額外步驟以使無關聯的根憑證不合 格。舉例而言’若去能無關聯的根憑證的f試失敗,則服 務供應商實體可隨後命令用戶設備刪除無關聯的根憑 證。替代地,若刪除無關聯的根憑證的嘗試失敗,則服務 供應商實體可隨後命令用戶設備去能無關聯的根憑證·。 在已使與給予補貼的服務供應商實體無關聯的所有根 憑不合格之後,可以隨後在服務供應商實體與用戶設 備之間建立通訊鏈路,以向用戶設備提供對高層服務的存 取。 一旦高層通訊服務或鏈路已被建立,用戶設備就可以隨 後存取對於該用戶設備而言可用的所有功能和服務。另 外’用戶設備可以不能夠與其也服務供應商實體進行認 證。 在又一實例中,在發生預定事件之後,服務供應商實體 可選地決定用戶設備是否可重新存取原先被預配置到該 12 201203979 用戶設備上的所有根憑證,包括已使其不合格的所有根憑 證。預定事件可以例如是給予補貼的用戶設備與服務供應 商實體之間的服務契約結束或者在向給予補貼的服務供 應商實體支付了解鎖費或終止費之後。一旦已發生預定事 件服務供應商實體就可向用戶設備發送用於賦能先前被 去此的根憑證或者替代先前被刪除的根憑證的命令。因 此,用戶設備可隨後與另—服務供應商實體進行認證。舉 例而$,先前被刪除的根憑證可能已由服務供應商實體複 製及/或儲存並可被發送給用戶設備以供恢復。 示例性網路操作環境 圖1圖不了根據一態樣的無線網路通訊系統1〇〇。在此 實例中’圖示了第一服務供應商實體102和第二服務供應 商實體104,纟中每個服務供應商實體可向最終使用者設 備106提供用戶服務。最終使用者設備1〇6可經由存取點 no (例如,毫微微細胞服務區等)連接至網路1〇8 (諸如 網際網路)。最終使用者設備1〇6和存取點ιι〇可被稱爲「用 戶設備」。存取點110可經由第一安全閘道ln存取第—服 務供應商實體102及/或經由第二安全網路114存取第二服 務供應商實體1 〇4。 田最使用者设備電力開啟或者最初登錄網路(例如, 存取點11G的範圍内)_,可以建立與服務供應商實體的 通訊服務或鏈路,並且可以在使最終使用者設襟H)6能夠 存取與該網路相關聯的服務之前進行認證/授權/記帳 (AAA)程序。爲此,最終使用者設備106可將標識戳記 13 201203979 提供給存取點 或認證伺服器 該存取點可進而將此類戳記中繼給AAA 所建立的通訊服務或鏈路可允許服務供應 商實體與用戶設備之間的低層通訊。 低層通訊可以是限於例如發生在典型的協定堆疊中應 用層以下的通訊的非使用者控制的服務,該典型的協定堆 疊包括但不限於非存取階(NAS )層、無線電資源控制 (RRC )層 '無線電鏈路控制(RLC )層、媒體存取控制 (MAC)層和實體(ρΗγ)層。 如圖1中所圖示,每個服務供應商實體1〇2、1〇4可分
別包括認證、授權和記帳(AAA )伺服器116和11 8。AAA 伺服器116、118可用於由承運商或服務供應商實體來認證 諸連接並追蹤對帳單等的記帳。認證可經由利用公鑰密碼 術進行’從而使得訊息和交易可得到相互認證。在一個態 樣’可利用Rivest,Shamir和Adleman( RS A )加密演算法。 在一個態樣,可將安全散列演算法(SHA-1 )散列演算法 用於簽名。 經由相互認證諸交易,可以避免欺騙,因爲可以有安全 的/經簽名的確認來確認最終使用者設備是真實可信的並 且可以有安全的確認來確認伺服器是真實可信的。在公錄 -私錄密碼術中,使用了非對稱密鑰演算法,亦即被用來加 密訊息的密鑰不同於被用來解密該訊息的密输。每個使用 者具有在'碼術密錄對--公錄和私錄。私輪是保密的,而 公鑰可被廣泛分發。訊息用接收方的公鑰加密,且僅能用 對應的私錄來解密。密錄是算術地相關的,但私輪並不能 201203979 切實可行地(亦即,在實際或工程實施中)自公鑰推導出。 此外,使用密鑰資訊的交易對於最終使用者設備或遠端無 線設備而言可以是唯—性的。每個最終使用者㈣可包括 唯-性的設備序列號,該設備序㈣可以是行動裝備識別 符(MEID)或國際行動裝備身份/標識(IMEI)或因設備 而異的硬體位址(諸如電子和電氣工程師協會(IEEE )硬 體位址)。使用與用戶設備相關聯的唯一性的設備識別符 來標識設備憑證。經由利用每個用戶設備的唯一性標識, 可對啟動相對於發貨的流程進行追蹤並可避免重複計數。 每個服務供應商實體亦可包括用於配置和監視用戶設 備(例如’最終使用者設備或毫微微細胞服務區)的操作 及向最終使用者設備發佈命令的管理系統模組或管理伺 服器120、122。一旦用戶設備已與第一服務供應商實體 102進行了認證,則該用戶設備隨後就不可存取第二服務 供應商實體104的網路,反之亦然。此舉可以是作爲使其 他服務供應商實體的根憑證不合格(亦即,去能或刪除) 的結果,從而用戶設備不能與其他服務供應商實體一起操 作(例如,因爲該等用戶設備缺少用於認證其他服務供應 商實體的根憑證)。 示例性通訊系統 由於最終使用者設備和存取點如以上所描述的一般可 以結合本文中所描述的各種特徵及/或態樣來使用,因而該 兩者可被統稱爲用戶設備。可以用與不同的服務供應商實 體相關聯的複數個根憑證來預配置用戶設備。服務供應商 15 201203979 實體可使用戶設備個性化以確保該用戶設備可以與特定 的服務供應商實體聯用而不能在不同的服務供應商實體 的網路中使用。亦即,服務供應商實體可能已對用戶設備 的出售或部署而向—或多個使用者給予了補貼;因此,該 服務供應商實體希望限制該用戶設備的使用,以使得該用 戶設備在一時段内不能與其他服務供應商實體(亦即,其 他通訊承運商)聯用。 用戶設備可由服務供應商實體或通訊承運商投入使用 或啟動。亦即,在用戶設備被賣給或部署於使用者之後, 可以爲該用戶設備啟動與服務供應商實體(例如,通訊承 運商)的通訊服務。通訊承運商亦可限制一或多個根密鑰 或憑證並且可能已對用戶設備的出售或部署而向一或多 個使用者給予了補貼;目此,該通訊承運商希望限制用戶 的使用,錢得該心設備不與任何其他服務供應商實體 (亦即,其他通訊承運商)一起工作。 圖8圖示了無關聯的根憑證的集合可如何被提供在用戶 設備中並由服務供應商實體去能。在此實例中,無關聯的 根憑證/密鑰的集合802,包括根憑證/密鑰Ka、h、 KC、……&可被提供在用戶設備中。如所提供的,:關 聯憑證/㈣8G2可供任何供應商使用(亦即,無關聯的憑 證/密錄最初不是因供應商而異的Η乍爲部分啟動,其中 用戶設備設立與來自服務供應商實體(亦即,通訊承運商) 的通訊服務,該供應商可選擇可被用來設立及/或建立服務 和其他密鑰的第-無關聯的根憑證/密鑰h。在該供應商 16 201203979 已選擇了第一無關聯的根憑證/密鑰Kb之後,該供應商可 發送用於使用戶設備去能/刪除其他根憑證/密鑰KA、 Kc、……Kn 804中的一些或全部的命令。經由去能/刪除一 些或所有其他根憑證/密鑰KA、Kc、……Kn,服務供應商 實體有效地防止用戶設備由其他供應商啟動。在某—時刻 (例如,一旦用戶契約已期滿),服務供應商實體可重新 賦旎先刖被去能/刪除的無關聯的根憑證/密鑰8〇卜此舉允 許其他供應商現在向用戶設備提供服務。 圖9圖不了因供應商而異的根憑證的集合可如何被提供 在用戶設備中並由服務供應商實體去能。在此實例中,因 供應商而異的根憑證/密鑰的集合9〇2,包括根憑證/密鑰 KA' KB、KC、♦·...·KN,可被提供在用戶設備中。如所提供 的,每個因供應商而異的憑證/密鑰可供相應的供應商使用 (亦P母個供應商具有相關聯的憑證/密餘)^作爲部分 啟動’其中用戶設備設立與來自服務供應商實體.(亦即, 通:承運商)的通訊服務,供應商c可選擇自己的可被用 來設立及/或建立服務和其他密鑰的根憑證/密鑰Kc。在供 應商c已選擇了因供應商而異的根憑證/密鑰Kc之後,該 ' 可發送用於使用戶設備去能/刪除其他根憑證/密 錄 KA、
At c、......KN 904中的一些或全部的命令。經由去 月匕删除些或所有其他根憑證/密输KA、Kc、......κ,服
務供應商竇耕N (供應商C)有效地防止用戶設備由其他供 如,一 t即’供應商A、B和N)啟動。在某—時刻(例 用戶契約已期滿)’服務供應商實體可重新賦能 17 201203979 先前被去能/刪除的其他因供應商而異的根憑證/密鑰 906。此舉允許其他供應商現在向用戶設備提供服務。 圖1 〇中圊示和描述了根憑證/密錄的實例。 去能無關聯的根憑證 圖2是圖示通訊系統的操作的流程圖,其中服務供應商 實體202經由命令用戶設備204去能與該服務供應商實體 無關聯的所有根憑證的方式來使該用戶設備個性化以確 保該用戶設備不能在不同的服務供應商實體的網路中使 用。 可以用複數個不同的服務供應商實體的複數個根憑證 (亦即’受信任的憑證權威機構憑證)來預配置用戶設備 204以與該複數個服務供應商實體中的一個服務供應商實 體進行認證206。換言之,用戶設備的製造商可將複數個 根憑證安裝到其所有用戶設備上,以使得用戶設備可與各 種不同的服務供應商實體聯用。亦可用根憑證來預配置服 務供應商實體以認證用戶設備2〇8。 田用戶认備2〇4電力開啟或最初登錄網路時,可以在用 戶設備與服務供應商實體之間建立通訊鏈路21〇。此通訊 服務或鏈料允許用戶設備存取低層服務,如所描述的, 該等低層服務可限於在典型協定堆疊中應用層以下發生 的通訊。在通訊鏈路已被建立之後,可以在使用戶設備204 能夠存取較高層服務(諸如在典型協定堆疊的應用層中發 生的通訊)之前進行認證/授權/記帳(AAA)程序。使用 本領域中熟知的方法’可向服務供應商實體認證用戶設備 18 201203979 212並且可向用戶設備認證服務供應商實體214。在用戶 a備與服務供應商實體的相互認證之後,服務供應商實體 可向用戶設備發送用於經由去能在用戶設備上預配置的 指定的根憑證的方式來安全地使該等根憑證不合格的命 令(或指令)216。 在一個實例中,指定的根憑證可以是用於與不同的服務 供應商貫體認證的根憑證。亦即,被去能的根憑證與在其 中已與用戶設備相互認證的服務供應商實體無關聯。因 此’經由去能其他服務供應商實體的根憑證,用戶設備2〇 不能夠與該等其他服務供應商實體進行認證並因此不能 在該等其他服務供應商實體的網路中使用。換言之,在用 戶設備上預配置的所有根憑證可保留在用戶設備上但被 去能,以使得用戶設備不能與不同的服務供應商實體進行 認證。 在接收到該命令之後’用戶設備2〇4可隨後去能由服務 供應商實體指定的根憑證218。指定的根憑證可包括儲存 在用戶設備上的與該服務供應商實體無關聯的所有根憑 證。注意,現有的最終使用者設備管理協定(諸如開放行 動聯盟-設備管理(〇MA_DM)或技術報告〇69 ( tr 〇69)) 可支援合適的命令及合適的安全性,以按安全和受信任的 方式來執行此類管理操作。 -旦用戶設備已如所指令的—般去能了無關聯的根憑 證,或者已嘗試去能無關聯的根憑證,用戶設備就可向該 服務供應商實體發送確冑,。該確認可指示使無關聯的 19 201203979 根憑證不合格(亦即,去能)的指令已成功或者對無關聯 的根憑證的去能已失敗。在自用戶設備接收到失敗確認之 後則服務供應商實體就可採取額外步驟以使用戶設備上 的無關聯的根憑證不合格。舉例而言,若去能無關聯的根 心设的嘗試失敗’則服務供應商實體可隨後決定命令用戶 設備刪除無關聯的根憑證而不是去能指^的根憑證如。 :以自服務供應商實體向用戶設備發送用於指令該用戶 設備刪除與服務供應商實體無關聯的所有根憑證 令 224。 人旦,經由去能或刪除而使指定的無關聯的根憑證不 口格’就可以在用戶設備與服務供應商實體之間建立通訊 服務或鏈路,從而允許用戶設備存取高層服務以。在— ,巾纟發生預疋事件之後,服務供應商實體就可選 =定是否可在用戶設備上賦能(替代)用戶設備去能(或 =能失敗而刪除)的根憑證。預定事件可以例如是用戶 。又備與服務供應商實體之間的服務契約結束或者在支付 =鎖費或提前終止費之後。若服務供應商實體決定賦能 管1 )被去此(或被刪除)的根憑證’則服務供應商 安全地向用戶設備發送用於賦能(或替代)先前已 收到該命令之後,就可在用戶:(或指令)23。。在接 能r + 在用戶炚備上賦能(或替代)被去 =被删除)的根…2。因此,用戶設備可隨後具 、另—服務供應商實體建立通訊服務的能力。 刪除無關聯的根憑證 20 201203979 圖3是圖示通訊系統的操作的流程圖,其中服務供應商 實體302經由命令用戶設備3〇4刪除與該服務供應商實體 無關聯的所有根憑證的方式來使該用戶設備個性化以綠 保該用戶设備不能在不同的服務供應商實體的網路中使 用。 可以用複數個不同的服務供應商實體的複數個根憑證 (亦即’受彳5任的憑證權威機構憑證)來預配置用戶設備 304以與該複數個服務供應商實體中的一個服務供應商實 體進行認證306。亦可用根憑證來預配置服務供應商實體 以認證用戶設備308。 當用戶ax備304電力開啟或最初登錄網路時,可以在用 戶設備與服務供應商實體之間建立通訊鏈路31〇。類似於 圖2,如以上所描述的,此通訊服務或鍵路可允許用戶設 備存取低層服務’該等低層服務如所描述的一般可包括限 於在典型協定堆疊中應用層以下發生的通訊的通訊。在通 訊鏈路已被建立之後’可以在使用戶設備3〇4能夠存取高 層(諸如在典型協定堆疊的應用層中發生的通訊)之前進 行認證/授權/記帳(AAA )程序。使用本領域中熟知的方 法’可向服務供應商實體認證用戶設備312並且可向用戶 設備認證服務供應商實體314。在用戶設備與服務供應商 實體的相互認證之後,服務供應商實體可向用戶設備發送 用於經由刪除在用戶設備上預配置的指定的根憑證的方 式來安全地使該等根憑證不合格的命令(或指令)316。 在一個實例中’指定的根憑證可以是用於與不同的服務 21 201203979 供應商實體進行逐證的根憑證。亦即,被删除的根憑證與 在其中已與用戶設備相互認證的服務供應商實體無關 聯。因此,經由刪除其他服務供應商實體的根憑證,用戶 設備3 04不能夠與其他服務供應商實體進行認證並因此不 能在該等其他服務供應商實體的網路中使用。在接收到該 命令之後’用戶設備304可隨後刪除由服務供應商實體指 定的根憑證318。指定的根憑證可包括儲存在用戶設備上 的與該服務供應商實體無關聯的所有根憑證。注意,現有 的最終使用者設備管理協定諸如開放行動聯盟-設備管理 (OMA-DM)或技術報告〇69(tr_〇69)可支援合適的命 令及合適的安全性,以按安全和受信任的方式來執行此類 管理操作。 一旦用戶設備已如所指令的一般刪除了無關聯的根憑 證,或者已嘗試刪除無關聯的根憑證,用戶設備就可向該 服務供應商實體發送確認32〇。該確認可指示使無關聯的 根憑證不合格(亦即,刪除)的指令已成功或者對無關聯 的根憑證的刪除已失敗。在自用戶設備接收到失敗確認之 後,則服務供應商實體可採取額外步驟以使無關聯的根憑 也不合格。舉例而言,若刪除無關聯的根憑證的嘗試失 敗,則服務供應商實體可隨後決定命令用戶設備去能無關 聯的根憑證322。可以自服務供應商實體向用戶設備發送 用於指令該用戶設備去能與服務供應商實體無關聯的所 有根憑證的新命令324。 —旦已經由刪除或去能而使無關聯的根憑證不合格,就 22 201203979 可以在用戶設備與服務供應商實體之間建立通訊服務或 鏈路,從而允許用戶設備存取較高層服務326。在一個實 例中,在發生預定事件之後’服務供應商實體就可選地決 定是否可在用戶設備上替代(賦能)用戶設備刪除(或若 刪除失敗而去能)的根憑證328。預定事件可以例如是用 戶設備與服務供應商實體之間的服務契約結束或者在支 付了解鎖費或提前終止費之&。若服務供應商實體決定替 代(或賦能)被刪除(或被去能)的根憑證,則服務供應 商實體可安全地向用戶設備發送用於替代(或賦能)先前 已被刪除(或去能)的根憑證的命令(或指令)别。在 接收到該命令之後’就可在用戶設備上替代(或賦能)被 刪除(或被去能)的根憑證332。因&,用戶設備可隨後 具有與另一服務供應商實體建立通訊服務的能力。 注意’本文中所描述的方法、裝置和系統可適用於使用 基於憑證的相互認證來連接至服務供應商網路或服務供 應商實體的任何設備。諸實例可包括中繼(諸如由迎p 指定的長期進化(LTE)中繼)及行動對行動(m2m)設 備和未來的支援基於憑證的相互認證的通用使用者裝備/ ㈣裝備(UE/ME)。用於根憑證的安全儲存和執行環境(諸 =全%境或受信任環境)彳以是期望的以防止用戶設備 2擊的影響,諸如在連接至用戶設備之前複製所有由 製&商安裝的憑證並隨後重新安裝該等憑證。舉例而言, =標準的毫微微細胞服務區已將此安全儲存和執^環 兄疋義爲受信任的或安全的環境的一部分(參見3GPP几 23 201203979 33.320 或 3GPP2 S.S0132) ° 示例性用戶設備 圖4圖示了根據一個實例的用戶設備4〇〇的内部結構的 方塊圖。用戶設備400可包括用於執行電腦可執行過程步 驟的處理電路(例如,處理器、處理模組等)4〇2和用於 儲存根憑證的記憶體設備404。用戶設備4〇〇亦可包括用 於將用戶設備400通訊地耦合至由服務供應商運營的無線 通訊網路的第一通訊介面406。第一通訊介面4〇6用於建 立用戶設備400與服務供應商之間的鍵路。 在一些實現中,諸如當用戶設備400是毫微微細胞服務 區或B節點時,用戶設備400亦可包括用於將用戶設備4〇〇 連接至其他用戶設備的第二通訊介面408 »在此類配置 中’用戶設備400可經由第二通訊介面4〇8向和/自其他無 線設備中繼通訊。 用戶設備的示例性操作 圖5(包括圖5A、5B、5C和5D)圖示了用戶設備的操 作的實例。用戶設備可被提供(或預配置)有複數個服務 供應商實體的複數個根憑證(亦即,受信任的CA憑證) 以向該複數個服務供應商實體中的一個服務供應商實體 進行相互認證502。接下來,在登錄該複數個服務供應商 實體中的一個服務供應商實體的網路之後,或者一旦使該 複數個服務供應商實體中的一個服務供應商實體的網路 中的用戶設備電力開啟’就可以在用戶設備與該服務供應 商實體之間建立通訊鏈路504。此通訊服務或鏈路可允許 24 201203979 用戶設備存取低層服務,如所描述的,該冑低&服務可限 於在典型協定堆疊中應用層以下發生的通訊。 在該通訊鏈路已被建立之後,使用本領域中熟知的方 法,用戶設備可以與登錄其網路的服務供應商實體進行相 互。忍迅506。一旦在用戶設備與服務供應商實體之間已進 订了相互認證’用彳言5:備就可自服務供應商實體接收用於 安全地使儲存(亦gp ’預配置)在用戶設備上的與該服務 供應商實體無關聯的指定的根憑證不合格的命令(或指 令)508。在自服務供應商實體接收到用於使指定的無關 聯的根憑證不合格的命令之後,用戶設備就可決定該命令 是去能還是刪除指定的無關聯的根憑證51〇。 去能指定的根憑證 若該命令是經由去能指定的無關聯的根憑證的方式來 使該等根憑證不合格,則用戶設備可隨後嘗試去能該等指 定的根憑證512。接下來’用戶設備決定指定的根憑證是 否被成功去能514。若指定的根憑證被成功去能,則用戶 設備可選地向服務供應商實體發送相,該確認指示對指 定的根憑證的成功去能516。隨後,可以與服務供應商實 體建立通訊服務或鏈S 518,從而允冑用戶設備存取較高 層服務。 &可選地,用彳設備可自服務供應、商實體接收用於賦能先 前已被去能的指定的根憑證的第二命令52(^在一個實例 中,在發生預定事件之後,就可接收該第二命令。預定事 件可以例如是用戶設備與服務供應商實體之間的服務契 25 201203979 約結束或者向服務供應商實體支付了解鎖f或提前終止 費。在接收到該命令之後,現在就可以在用戶設備上賦能 先則被去能的指定的根憑證522。因此,用戶設備可隨後 建立與另一服務供應商實體的通訊服務。 替代地,右決定指定的根憑證沒有被成功去能5 1 4,則 用戶又備可決定是否已有先前失敗的刪除指定的根憑證 ▲的嘗試524。^已有先前失敗的刪除指^的根憑證的嘗 試,則此舉與失敗的去能指定的根憑證的嘗試相细人可产 示用戶設備可能有故障526,並且用戶設備可能以祕 ^或替代。隨後’可向服務供應商實體發送確認,該確認 指示去能和刪除指定的根憑證的嘗試均已失敗並且用戶 設備可能有故障528。 相反’若還沒有失敗的删除指定的根憑證的嘗試似, 則可以向服務供應商實體發逆浐 只瓶赞运知不未旎成功去能指定的 根憑證的㈣53〇。可選地’用戶設備可隨後回應於該失 敗確認而自服務供應商實體接收用於刪除指定的根憑證 的命令532。用戶設備可隨後嘗試刪除指定的根憑證別。 指定的根憑證的刪除 若來自服務供應商實艚的田# — 頁體的用於使私疋的無關聯的根憑 證不合格的命令是刪除指定的無關聯的根憑證51〇,則用 戶設備可隨後嘗試刪除指定的根憑證534。接下來,用戶 設備可決定指定的根馮供_ β T、上丄、,, 很心也疋否被成功刪除530。若指定的 根憑證被成功刪除,則用玲却_供π a ηη # ⑷用戶a又備可向服務供應商實體發送 確認,該確認指示對指定的根憑證的成功刪除538。隨後, 26 201203979 可以與服務供應商實體建立通訊服務或鏈路540,從而允 許用戶設備存取較高層服務。 可選地,用戶設備可自服務供應商實體接收用於替代先 前已被刪除的指定的根憑證的第二命令542。在一個實例 中’在發生預定事件之後’就可接收該第二命令。預定事 件可以例如是用戶設備與服務供應商實體之間的服務契
I 約結束或者向服務供應商實體支付了解鎖費或提前終止 費。在接收到該第二命令之後,現在就可以在用戶設備上 替代先前被刪除的指定的根憑證544。因此,用戶設備可 隨後建立與另一服務供應商實體的通訊服務。 替代地,右決定指定的根憑證沒有被成功刪除Μ 6,則 用戶設備可決定是否已有先前失敗的去能指定的根憑證 的嘗試546。右已有先前失敗的去能指定的根憑證的嘗 試,則此舉與失敗的刪除指定的根憑證的嘗試相組合可指 示用戶設備可能有故障548’並且用戶設備可能需要被修 理或替代。隨後’可向服務供應商實體發送確認,該確認 指示刪除和去能指定的根憑證的嘗試均已失敗並且用戶 設備可能有故障550。 相反,若還沒有先前失敗的去能指定的根憑證的嘗 546,則可以向服務供應商實體發送指示未能成功刪除 ::根憑證的確認552。可選地’用戶設備可隨後回應: 二認而自服務供應商實體接收用於去能指定的; ^的命令554。用戶設備可隨後嘗試去能指Μ根⑸ 27 201203979 示例性服務供應商實體 圖6圖示了根據一個實例的服 ά士谣认士仏向 同貫體600的内部 、-。構的方塊圖。如以上所描述的 命田ό - H 務供應商實體600可 向用戶5又備提供通訊或訂閱服務。 服務供應商實體600可包括用於執行 I®, 電細可執行過程步 驟的處理電路(例如,處理器、處 诉、,且寻)602和用於 儲存根憑證的記憶體設備6〇4。 、 研供恿商實體600亦可 包括用於通訊地將服務供應商實體 U0耦合至用戶設備的 網路通訊介面606。 服務供應商實體600亦可包括用於執行認證、授權㈣ 帳(ΑΑΑ)程序的ΑΑΑ词服器6〇8,該ααα程序可以如 以上所播述的-般在使用戶設備能夠存取與該服務供應 商實體相關聯的高層服務之前進行。 在一個態樣,服務供應商實體600亦可包括用於配置和 監視用戶設備的操作及向用戶設備發佈命令的管理系統 模組6 10。 服務供應商實體的實例操作 圖7(包括圖7Α、7Β和7C)圖示了服務供應商實體的 知作的實例。服務供應商實體可包括一或多個飼服器及/ 或模組並可被提供(或預配置)有用於認證用戶設備的根 憑證702。當用戶設備電力開啟或登錄服務供應商實體的 網路時,可以與用戶設備建立通訊服務或鏈路7〇4。此通 訊服務或鏈路可允許用戶設備存取低層服務,如所描述 的,該等低層服務可限於在典型協定堆疊中應用層以下發 28 201203979 生的通訊。 在該通訊鏈路已被建立之後,使用本領域中熟知的方 法’網路供應商實體可以與用戶設備進行相互認證7〇6。 一旦已在服務供應商實體與用戶設備之間發生了相互認 證’服務供應商實體就可決定是去能還是刪除用戶設備上 的與該服務供應商實體無關聯的根憑證7〇8。 命令去能指定的根憑證 若要去能無關聯的根憑證,則用戶設備可向用戶設備發 送用於去能儲存在用戶設備上的指定的根憑證的命令(或 才曰令),該等指定的根憑證與該服務供應商實體無關聯 710。服務供應商實體可自用戶設備接收關於對指定的根 憑證的去能是成功還是失敗的確認7丨2。隨後,可作出關 於該確認指示去能成功還是失敗的決定714。若指定的根 憑證已被成功去能,則可以隨後建立與用戶設備的通訊服 務或鏈路716,從而允許用戶設備存取較高層服務。 可選地,用戶設備可向用戶設備發送用於賦能先前已被 去能的指定的根憑證的第二命令718。在一個實例中在 發生骸事件之後,就可發送該第二命令。預定事件可以 例如是用戶設備與服務供應商實體之間的服務契約結束 或者由用戶設備向服務供應商實體支付了解鎖費或提前 終止費。 # 替代地,若決定指定的根憑證沒有被成功去能7丨4,則 服務供應商實體可決定是否向用戶設備發送指令該用戶 設備嘗試刪除指定的根憑證的命令 右還 >又有先前失 29 201203979 敗的刪除指定的根;馬蹲 戶…“ 則服務供應商實體可向用 戶6又備!送用於刪除指定的根憑證的命令722。相反’若 已有先則失敗的刪除指定 忍°且的嘗试,則此舉與失敗 的去此#日疋的根憑證的嘗 的嘗忒相組合可指示用戶設備可能 有故障,並且用戶設備可能需要被修理或替代。 命令刪除指定的根憑證 若服務供應商實體決定要删除用戶設備上的與該服務 供應商實體無關聯的根憑證,則用戶設備可向用戶設 備發送用於刪除儲存在用戶設備中的指^的根憑證的命 7 (或該等指定的根憑證與服務供應商實體無關 聯724。服務供應商實體可自用戶設備接收關於對指定的 根憑證的刪除是成# $ Θ 選疋失敗的確認726。隨後,可作出 關於該確認指示刪除成功還是失敗的決定728。若指定的 根憑證已被成功去能,則可以隨後建立與用戶設備的通訊 服務或鏈路730’從而允許用戶設備存取較高層服務。 可選地,用戶設備可向用戶設備發送用於替代先前已被 刪除的指定的根憑證的第二命令732。在一個實例中,在 發生預定事件之後,就可發送該第二命令。預定事件可以 例如是用戶設備與服務供應冑實體之間的服務契約結束 或者由用戶設備向服務供應商實體支付了解鎖費或提前 終止費。 替代地若決心指定的根憑證沒有被成功刪除7 2 8,則 服務供應商實體可決定是否向用戶設備發送指令該用戶 設備嘗試去能指定的根憑證的命令734。若還沒有先前失 30 201203979 敗的去能指定的根憑證的嘗試’則服務供應商實體可向用 戶叹備發送用於去能指定的根憑證的命令736。相反,若 已有先則失敗的去能指定的根憑證的嘗試’則此舉與失敗 的删除指定的根憑證的嘗試相組合可指示用戶設備可能 有故障,並且用戶設備可能需要被修理或替代。 示例性根憑證/密鑰階層 圖〇圖示了根憑證/密餘階層的實例。舉例而言,該實 例可以疋增強型UMTS地面無線電存取網路(EIJTRAN ) 密输階層。此處,用戶設備中的通用用戶身份模組(usim) 和服務供應商實體處的認證中心(Au⑺將根憑證/密餘(亦 即,主密鑰)κ用來產生密碼密鑰(CK)和完整性密鑰 (IK)密碼φ餘(CK)和完整性密餘(IK)可隨後由用 戶設備和服務供應商實體處的歸屬用戶⑯服器(HSS)用 來產生存取安全管理登錄密鑰KASME。LTE網路中的安全 啟動可經由認證和密鑰協定程序(AKA )、非存取階層 (NAS)安全模式配置(NAS SMC)和as安全模式配置 (ASSMC)來完成。AKA被用來推導线kasme,該Kasme 隨後被用作用於演算NAS (非存取階層)密餘和as (存 取階層)密錄的基密錄。用戶設備和網路側的行動性管理 實體(MME )可隨後將Kasme用來產生該等安全密餘中的 一或多個。 應§忍識到’-般而言 以用類似的方式來實現 ’本案中所描述的絕大多數處理可 。(諸)電路或電路工段中的任何 電路或工段可單獨實現或作爲積體 電路的一部分與一或 31 201203979 多個處理器組合實現。該等電路中的—或多個可以在積體 電路、高階RISC機(ARM)處理器、數位信號處理: (DSP )、通用處理器等上實現。 亦應注意,該等實施例可能是作爲被圖示爲流程圖、流 程圖、結構圖’或方塊圖的過程來描述的。儘管流程圖會 把諸操作描述爲次序過程,但是該等操作中有許多可以並 行或並發執行。另外,該等操作的次序可以被重新編排。 過程在其操作完成時終止。過程可對應於方法、函數、程 序、子常式、子程式等。當過程對應於函數時,其終止對 應於該函數返回調用方函數或主函數。 如在本案中所使用的,術語「部件」、「模組」、「系統」 等意欲代表電腦相關實體,無論其是硬體、韌體、軟硬體 組合、軟體’還是執行中的軟體。舉例而言,部件可以是 但不限於在處理器上執行的過程、處理器、物件、可執行 件、執行的線程、程式、及/或電腦。舉例而言,在計算設 備上執行的應用和該計算設備兩者皆可以是部件。一或多 個部件可常駐在過程及/或執行的線程内,且部件可以局部 化在一台電腦上及/或分佈在兩台或兩台以上電腦之間。此 外,該等部件能自其上儲存著各種資料結構的各種電腦可 4取媒體來執行。各部件可藉助於本端及/或遠端過程來通 訊,諸如根據具有一或多個資料封包的信冑(例如,來自 藉助於該信號與本端系統、分散式系統中的另一部件互 動、及/或跨諸如網際網路等網路與其他系統互動的一個部 件的資料)。 32 201203979 此外,儲存媒體可表示用於儲存資料的一或多個設備, 包括准讀記憶體(R〇M)、隨機存取記憶體(RAM)、磁碟 儲存媒體、光學儲存媒體、快閃記憶體設備及/或其他用於 儲存資訊的機器可讀取媒體、處理器可讀取媒體、及/或電 腦可璜取媒體。術語「機器可讀取媒體」、「電腦可讀取媒 體」及/或「處理器可讀取媒體」可包括,但不限於非瞬態 媒體’諸如可擔式或固定的儲存設備、光儲存設備及能夠 儲存、包含或承載指令及/或資料的各種其他媒體。因此, 本文中描述的各種方法可全部或部分地由可儲存在「機器 可讀取媒體」、「電腦可讀取媒體」及/或「處理器可讀取媒 體」中並由一或多個處理器 '機器及/或設備執行的指令及 /或資料來實現。 此外’諸實施例可以由硬體、軟體、韌體、中介軟體、 微代碼’或其任何组合來實現。當在軟體、韌體、中介軟 體或微代碼中實現時,執行必要任務的程式碼或代碼區段 可被儲存在諸如儲存媒體或其他儲存之類的機器可讀取 媒體中。處理器可以執行該等必要的任務。代碼區段可以 代表程序、函數、子程式、程式、常式、子常式、模组、 套裝軟體、軟體組件,或是指令、資料結構,或程式敘述 的任何組合。經由傳遞及/或接收資訊、資料、引數、參數, 或記憶體内容’ 一代碼區段可被耦合到另一代碼區段或硬 體電路。資訊、引數、參數、資料等可以經由包括記憶體 共享、訊息傳遞、符記傳遞、網路傳輸等任何合適的手段 被傳遞、轉發,或傳輸。 33 201203979 結合本文中揭示的實例描述的各種說明性邏輯區塊、模 組電路、几件及/或部件可用通用處理器、數位信號處理 器(DSP)、特殊應用積體電路(Asic)、現場可程式開陣 ^ ( GA )或其他可程式邏輯料、個別問門或電晶體邏 輯個别的硬體件,或其設計成執行本文中描述的功能 的任何組合來實現或執行。通用處理器可以是微處理器, <在替代方案中,處理器可以是任何一般處理器、控制 器、微控制器,或狀態機。處理器亦可以實現爲計算部件 的組合,例如DSP與微處理器的組合、數個微處理器、與 DSP核心結合的—或多個微處理器,或任何其他此類配置。 結合本文中揭示的實例描述的方法或演算法可直接在 硬體中、在由處理器執行的軟體模組中、在該兩者的組合 中’以處理單元、肖式編寫指令,或其他指示㈣式實施, 並且可包含在單個設備中或跨多個設備分佈。軟體模組可 常駐在RAM記憶體、快閃記憶體、R〇M記憶體、咖⑽ 記憶體、EEPROM記憶體、暫存器、硬碟、可移除磁碟、 CD-ROM,或本領域中所知的任何其他形式的儲存媒體 中。儲存媒體可耦合到處理器以使得該處理器能自/向該儲 存媒體讀寫資訊。在替代方案中,儲存媒體可以被整合到 處理器。 本領域技藝人士將可進一步瞭解,結合本文中揭示的實 施例描述的各種說明性邏輯區塊、模組、電路及演算法步 驟可被實現爲電子硬體、電腦軟體,或其組合。爲清楚地 解說硬體與軟體的可互換性,各種說明性部件、方塊、模 34 201203979 組、電路及步驟在上文是以其功能性的形式作總體性描述 的此類功此性是被實現爲硬體還是軟體取決於具體應用 和施加於整體系統的設計約束。 本文中所描述的本發明的各種特徵可實現於不同系統 中而不背離本發明。應注意,以上實施例僅是實例,且並 不被解釋成限定本發明。該等實施例的描述意欲說明,而 並非意欲限定請求項的範疇。由此,本發明的教示可以現 成地應用於其他類型的裝置,並且許多替代、修改及變體 對於本領域技藝人士將是顯而易見的。 【圖式簡單說明】 在結合附圖理解上文闡述的詳細描述時,各種特徵、本 質及優點會變得明顯,在附圖中,相像的元件符號貫穿始 終作相應標識。 圖1圖示了根據一態樣的無線網路通訊系統。 圖2是圖示通訊系統的操作的流程圖,其中服務供應商 實體經由命令用戶設備去能與該服務供應商實體無關聯 的所有根憑證的方式來使該用戶設備個性化以確保該用 戶k備不能在不同的服務供應商實體的網路中使用。 圖3是圖示通訊系統的操作的流程圖,其中服務供應商 實體經由命令用戶設備刪除與該服務供應商實體無關聯 的所有根憑證的方式來使該用戶設備個性化以確保該用 戶設備不能在不同的服務供應商實體的網路中使用。 圖4圖示了根據一個實例的用戶設備的内部結構的方塊 35 201203979 圖。 圖5(包括圖5A、5B、5C和5D)圖示了用戶設備的操 作的實例。 圖6圖示了根據一個實例的服務供應商實體的内部結構 的方塊圖。 圖7(包括圖7A、7B和7C)圖示了服務供應商實體的 操作的實例。 圖8圖示了無關聯的根憑證的集合可如何被提供在用戶 設備中並由服務供應商實體去能。 圖9圖示了因供應商而異的根憑證的集合可如何被提供 在用戶設備中並由服務供應商實體去能。 圖10圖示了根憑證/密錄階層的實例。 【主要元件符號說明】 100 無線網路通訊系統 102 第一服務供應商實體 104 第二服務供應商實體 106 最終使用者設備 108 網路 110 存取點 112 第一安全閘道 114 第二安全網路 116 授權和記帳(AAA )伺服器 118 授權和記帳(AAA )伺服器 36 201203979 120 管理系統模組或管理伺服器 122 管理系統模組或管理伺服器 202 服務供應商實體 204 用戶設備 206 步驟 208 步驟 210 步驟 212 步驟 214 步驟 216 步驟 218 步驟 220 步驟 222 步驟 224 步驟 226 步驟 228 步驟 230 步驟 232 步驟 302 服務供應商實體 304 用戶設備 306 步驟 308 步驟 3 10 步驟 312 步驟 37 201203979 314 步驟 3 16 步驟 318 步驟 320 步驟 322 步驟 324 步驟 326 步驟 328 步驟 330 步驟 332 步驟 400 用戶設備 402 處理電路 404 記憶體設備 406 第一通訊介面 408 第二通訊介面 502 步驟 504 步驟 506 步驟 508 步驟 510 步驟 512 步驟 514 步驟 516 步驟 518 步驟 38 201203979 520 步驟 522 步驟 524 步驟 526 步驟 528 步驟 530 步驟 532 步驟 534 步驟 536 步驟 538 步驟 540 步驟 542 步驟 544 步驟 546 步驟 548 步驟 550 步驟 552 步驟 554 步驟 600 服務供應商實體 602 處理電路 604 記憶體設備 606 網路通訊介面 608 AAA伺服器 610 管理系統模組 39 201203979 702 步驟 704 步驟 706 步驟 708 步驟 710 步驟 712 步驟 714 步驟 716 步驟 718 步驟 720 步驟 722 步驟 724 步驟 726 步驟 728 步驟 730 步驟 732 步驟 734 步驟 736 步驟 802 根憑證/密鑰的集合 804 其他根憑證/密鑰 806 根憑證/密鑰 902 根憑證/密鑰的集合 904 其他根憑證/密鑰 906 根憑證/密鑰 40