TWI264917B

TWI264917B - Method and system for authenticating user of data transfer device

Info

Publication number: TWI264917B
Application number: TW092107405A
Authority: TW
Inventors: Jukka Tuomi; Henry Haverinen; Niklas Lyback; Sami Pienimaki
Original assignee: Nokia Corp
Priority date: 2002-04-16
Filing date: 2003-04-01
Publication date: 2006-10-21
Also published as: US20050176407A1; EP1495585B1; FI20020733A0; AU2002352285A1; EP1495585A1; US7395050B2; ATE515855T1; WO2003088577A1; TW200307441A

Description

1264917 (1) 玖、發明說明【發明所屬之技術領域】本發明關於驗證資料傳送裝置使用者的方法，及關於驗證資料傳送裝置使用者的系統。【先前技術】習知記憶暸解驗證資料傳送裝置使用者的不同方法。一種驗證方法是依據置於資料傳送裝置中SIM (客戶識別模組）卡的使用，然而，該方法需要資料傳送裝置中的智鲁慧讀卡器。此外，由於SIM卡必須傳送至使用者的資料 · 傳送裝置’所以該方法不易適用於暫時使用，或僅使用一〜次之資料傳送裝置的情形。此處以參考的方式倂入美國專利「6，1 1 2 5 0 7 8」，其揭露一種不包括SIΜ卡的方法，其中至少若干驗證資料被傳送至資料傳送裝置使用者所在的行動台或呼叫裝置。爲求資料安全，例如使用者識別及密碼等所有驗證資料，並不經由相同的傳送路徑傳送。春【發明內容】本發明的一項目標，是提供一種驗證資料傳送裝置使 - 用者的改良方法，及關於驗證資料傳送裝置使用者的改良 “ 系統。本發明的一項觀點，是驗證資料傳送裝置使用者的方法’包括··建立資料傳送裝置至服務擷取點間的資料傳送 -6 - (2) 1264917 連接；將行動通訊系統客戶的識別資料輸入服務擷取點；檢查行動通訊系統，行動客戶識別資料是否包括服務擷取點的擷取權；及若具有有效的擷取權，便產生一密碼，並發送至行動客戶識別資料的相關客戶終端，接著以傳送至客戶終端的密碼，自資料傳送裝置登入至服務擷取點。本發明的另一項觀點，是驗證資料傳送裝置使用者的系統，包括：一資料傳送裝置；透由第一資料傳送連接，與資料傳送裝置鏈結的一服務擷取點；及透由第二資料傳送連接，與服務擷取點鏈結的一驗證伺服器。該服務擷取點是用於在第一資料傳送連接上，接收自資料傳送裝置輸入之行動通訊系統客戶的識別資料，並在第二資料傳送連接上’將行動客戶識別資料傳送至驗證伺服器；驗證伺服器是用於在第三資料傳送連接上，檢查行動通訊系統，行動客戶識別資料是否包括服務擷取點的擷取權，若具有有效的擷取權，便產生一密碼，並將該密碼發送至行動通訊系統客戶識別資料的相關客戶終端；資料傳送裝置是用於使用傳送至客戶終端的密碼，並登入至服務擷取點。本發明的較佳實施例，於各申請專利範圍中揭露。本發明是依據一個想法，即使用行動通訊系統客戶的識別資料，驗證資料傳送裝置使用者。至少傳送一密碼予行動客戶識別資料相關的客戶終端。行動客戶識別資料顯示具有所需服務擷取點的擷取權。本發明的方法及系統提供了許多優點。在行動通訊系統中，資料傳送裝置使用者的驗證，並不需要在資料傳送 -7 - (3) 1264917 裝置中使用額外的裝備或軟體，僅需透由擁有或借用，而進入客戶終端。此方案在客戶終端漫遊時亦適用。此外，此方案對於管理服務擷取點的操作員而言是便利的；例如不需將SIΜ卡交給使用者，並且以現有置入客戶終端的 S IΜ卡進行驗證。【實施方式】實施例說明圖1顯示資料傳送裝置1 〇〇使用者驗證系統的簡化範例，且描述該系統至其他必須元件的連接，該些元件用於交換資訊，並用於完成資料傳送連接。有四個主要元件，分別是：使用者配置端的裝置1 04 ;資料傳送網路1 1 8，作爲資料傳送裝置1 〇〇 ;到訪行動通訊系統1 2 6及主端行動通訊系統1 3 4。資料傳送網路1 1 8包括服務擷取點（S ΑΡ ) 11 0，透由第一資料傳送連接102，可鏈結至資料傳送裝置100。服務擷取點1 1 〇在諸如辦公室、大學校區、旅館或機場等提供使用者區域網路連接處所，形成習知的擷取區（亦稱爲熱點）。例如手提電腦的使用者，因而可透由擷取區而享有快速寬頻服務。此外，資料傳送網路1 1 8包括透由第二資料傳送連接，與服務擷取點1 1 〇相連的驗證伺服器 114° 依據實施例，第一資料傳送連接1 0 6是一無線電連接。無線電連接1 0 6司透由組建服務擺取點1 1 〇，以使用無 -8 - (4) 1264917 線區域網路（WLAN )而得以完成。在另一實施例中，服務擷取點11 0包括完成無線電連接1 〇 6的短距離無線電接收器。該無線電接收器可以是例如以藍牙技術爲主的無線電接收器，或以IEEE (電氣和電子工程師學會）8 02· 1 1 或8 〇2· 1 lb標準爲主的無線區域網路。服務擷取點1 1 0的角色是作爲一個埠，透由此提供資料傳送網路1 1 8的服務予資料傳送裝置1 00。若第一資料傳送連接1 〇 6透由無線區域網路而完成，服務擷取點1 1 0 便作爲無線區域網路的服務擷取點，例如無線區域網路中 Nokia ® A03 2型的服務擷取點，或作爲至區域網路的無線乙太橋接器。在此例中，服務擷取點1 1 0包括完成無線電連接的無線電模組，以及該無線電連接上資料加密所需的裝備與軟體。服務擷取點1 1 0亦包括一外接數據機，以撥號擷取網際網路服務廠商（ISP )，此例中服務擷取點可包括例如以網址解析（NAT )技術爲主的防火牆，以保護區域網路。此外，資料傳送網路1 1 8可包括位於服務擷取點1 1 〇與驗證伺服器1 1 4間的擷取控制器1 1 2，該控制器作爲擷取區與網際網路間的閘道。因而可透由擷取控制器1 1 2，自資料傳送網路1 1 8進入全球資訊網（WWW )伺服器，藉此資料傳送裝置1 00可於驗證後交換資訊。擷取控制器 1 12可爲例如Nokia® P〇22型擷取控制器，負責使用者驗證，即時網路監控與彙整計費資料。依據一實施例’驗證伺服器1 1 4是一 A A A (驗證、 (5) 1264917 授権、記帳）伺服器，意即該伺服器不僅負責，即確認使用者所提出的身份，亦授權系統的成使用系統的計費。驗證伺服益1 1 4可適用方際網路工程任務編組）所定義的 AAA % RADIUS (半徑，遠端驗證撥號使用者服務）徑協定。在無線區域網路中，驗證伺服器1 1 4 網路1 18與行動通訊系統126、134間，發送計費資料。依據一實施例，第一資料傳送連接1 06是料傳送連接可使用任何實施服務擷取點1 1 0與置1 〇〇間，雙向有線資料傳送的習知技藝，而此型網路技術的一個範例，是以IEEE 802.3 即乙太網路標準，並使用例如同軸電纜或雙絞有線區域網路。由於依據一實施例，當客戶終端1 02漫遊一資料傳送連接1 06，所以圖1顯示到訪行 1 2 6與主端行動通訊系統1 3 4的部分。漫遊的率管理（MM )的機能實體，當使用者及其客，自一個網路漫遊至另一個網路，例如自客戶司所管理的行動通訊系統1 3 4，漫遊至外國電理的外國行動通訊系統1 2 6時，可更正呼叫路可能實施例，是僅需要主端行動通訊系統1 3 4 者仍在母國時。在下列說明中，圖1中所示行 1 2 6、1 3 4的部分，適用於相同的行動通訊系締使用者驗證使用，並完令IETF (網 &定，諸如協定，或直在資料傳送驗證資料與有線的。資資料傳送裝加以完成。標準爲主，線而完成的時，完成第動通訊系統功能是移動戶終端 1 02 母國電話公話公司所管由。其餘的，例如使用動通訊系統 -10- (6) 1264917 行動通訊系統1 2 6、1 3 4可爲任何習知技藝無線電系統，其可自行動通訊系統的網路部分，透由無線電鏈路 1 0 8，傳送資訊至與網路部分相連的客戶終端1 〇 4。下列行動通訊系統可視爲範例：第二代GSM (泛歐數位式行動電話系統）；以GSM爲主，使用2.5代EDGE (提昇整體資料傳送率）技術以提昇資料傳送率之GPRS (整合封包無線電系統），或EGPRS (提昇型整合封包無線電系統）；以及第三代行動通訊系統，諸如IMT-2000 (國際行動電訊2000 )及UMTS (通用行動電訊系統）。然而，實施例並不受該些範例的限制，而且熟悉本技藝之人士亦可將本發明的理論，應用於具有類似特性的其他無線電系統。當需要時，可自本範疇之規格說明或本技藝之文獻，獲得所討論之行動通訊系統有關的其餘資訊，前者例如獲自GSM (泛歐數位式行動電話系統）系統或UMTS (通用行動電訊系統），後者例如「Artech House 200 1」版 ISBN 1 - 5 80 5 3 -28 7-X，Juha Korhonen 著「3G Mobile

Communications」（第三代行動通訊系統）。服務擷取點1 1 〇係用於透由第一資料傳送連接丨06，接收自資料傳送裝置1 〇〇輸入的行動客戶身份資料，並透由第二資料傳送連接，將行動客戶身份資料傳送至驗證伺服器1 1 4。依據一實施例，行動通訊系統1 3 4的客戶身份資料包括行動各戶國際整合服務數位網路編號（M S I S D N )，由於M s 1 S D Ν包括三部分：國碼、國家網路識別元及客戶編號，所以可全面且明確地識別客戶。 -11 - (7) 1264917 驗證伺服器1 1 4係用於使用第三資料傳送連接，檢查行動通訊系統1 3 4中，客戶身份資料是否包括服務擷取點 1 1 0的擷取權，若具有有效的擷取權，便產生一密碼，並將該密碼傳送至與行動通訊系統1 3 4之客戶身份資料相關的客戶終端1 02。若客戶使用完畢，驗證伺服器i i 4亦可產生所需的使用者帳單。與登入服務擷取點n 〇相關，資料傳送裝置1 00用於使用傳送至客戶終端；[02的密碼。所產生的該密碼可能是例如包含字母及/或數字，及/或不同的特定字元的字元串。該字元串可使用例如AS CII碼（美國資訊交換標準碼）加以定義。登入可使用例如WWW 對話，或依據IEEE8 02. lx標準使用資料傳送裝置操作系統的撥號對話而加以完成。資料傳送裝置100可將雙向資料傳送連接106建立於服務擷取點1 1 〇。因而，資料傳送裝置可爲例如具乙太網路卡的手提電腦，藍牙無線電收發機，或完成包含例如短距離無線電收發機之無線區域網路的卡。完成區域網路之卡的一個範例爲N 〇 k i a ® C 1 1 0 / C 1 1 1型無線區域網路卡，惟應注意的是使用者驗證功能的系統，不具包含於此型卡中的SIM卡讀取器。另一範例是Nokia ® D211型無線電卡，其在完成各式資料傳送連接中的功能，諸如：無線區域網路，GPRS及HSCSD (高速電路交換數據）。客戶終端1 〇 2可將無線資料傳送連接建立於行動通訊系統126。例如在UMTS中，客戶終端102包括兩部分：行動裝備（ME )及UMTS客戶識別模組（USIM )，即 -12- (8) 1264917 SIM卡。SIM卡包含使用者資料，及特別是與資訊安全關的資料，例如加密演算法。在GSM中，客戶終端1 通常使用G S Μ的S IΜ卡。客戶終端1 0 2包括至少一無電收發機，以便將無線電連接1 〇6建立至行動通訊系 1 2 6的無線電擷取網路或基地台系統。圖1顯示客戶終 1 〇 2建立無線電連接1 0 8之行動通訊系統1 2 6的基地 120。一客戶終端102可包含至少兩個不同的客戶識別組。此外，客戶終端1 02包含一天線、一使用者介面與電池。目前客戶終端1 02具多樣形式；它們可爲例如車式或手提式。客戶終端1 〇2亦具有個人電腦或手提電腦人所熟知的特性。此型客戶終端1 〇2的一個範例爲 Nokia ® Communicator 0 在圖1的範例中，在使用者配置中，裝置1 04即資傳送裝置100與客戶終端102，如圖所示爲不同的裝置雖然依據一實施例，二者可位於相同的實體裝置中，例在Nokia ® Communicator型裝置中，但其中資料傳送置1 〇〇所需特性係透由無線區域網路卡而完成，而客戶端1 02所需特性則透由與該裝置相結合的行動客戶終端與行動電話公司所提供的SIM卡而完成。在此合成裝中，驗證所需資訊的處理，例如可經由將客戶終端1 0 2 接收的密碼，自動傳送至資料傳送裝置1 〇〇的登入對話而自動地執行。依據一實施例，驗證伺服器1 1 4用於將密碼以封包換訊息的形式傳送至客戶終端1 〇 2。在一實施例中，驗相 02 線統丄山台模載爲料如裝終，置所 ..上^ 父 pS. -13- 1264917 Ο)

伺服器1 1 4用於將密碼以短訊（S Μ )的形式傳送至客戶終端1 〇 2。短訊可使用短訊服務（S M S )而完成，例如圖 1中顯示行動通訊系統1 2 6的短訊服務中心（S M S C ) 1 2 2 ，透由該中心可傳送短訊，並且若無法立即傳予接收器 1 02，則可儲存於該中心。雖然短訊服務中心1 22常倂入行動服務交換中心（MS C )，但原則上，短訊服務中心 1 2 2並非行動通訊系統1 2 6的一部份。仍有其他傳送文字訊息的方法，例如使用多媒體訊息服務（MMS ) 。MMS 是一種新型的服務，其中傳送的方法與SMS相關。然而，一件MMS訊息可包含三種不同的同步內容：文字、聲音與影像。依據一實施例，驗證伺服器1 1 4用於透由傳送一詢問予行動通訊系統1 3 4的本籍位址記錄器1 3 〇，檢查服務擷取點11 0的擷取權。圖1僅顯示行動通訊系統i 2 6的基地台1 2〇與短訊服務中心1 22 ;其餘的基礎設施則以區塊 I24描述。藉由例如ITU-T (國際電訊聯盟標準化區段）的七號信令系統（S S 7 )，可提供由到訪行動通訊系統 1 2 6的基礎設施，至主端行動通訊系統丨3 4的資料傳送連接1 28 ;其中主端行動通訊系統134僅顯示本籍位址記錄器（HLR ) 13〇，其包含永久儲存於行動通訊系統134之所有客戶的客戶參數。由於本籍位址記錄器丨3 〇通常位於行動服務交換中心，所以圖丨之區塊〗3 〇亦包括交換中心〇依據稍早所提及之實施例，行動通訊系統〗3 4的客戶 -14- (10) 1264917 識別資料，包括行動客戶國際I S D N編號。證伺服窃114可用於傳送詢問，其中首先捜統1 3 4的本籍位址記錄器13 〇，以獲取有關 ISDN編號的國際行動客戶識別（IMSI )，行動客戶識別搜尋行動通訊系統1 3 4的本 1 3 0，以獲取定義擷取權之相關的客戶資料依據一實施例，系統進一步包括計費伺用於產生有關第一資料傳送連接106的費用貪料傳送至f了動通訊系統 1 3 4，其中該曹用動通訊系統1 3 4之客戶識別資料相結合的帳範例中，面臨客戶終端1 02處於到訪行動通的情況，在此例中，計費伺服器1 1 6所產生傳送至主端行動通訊系統1 3 4的計費伺服資料亦可使用例如「計費記錄」（CDr ) IMSI。依據一實施例，服務擷取點1丨〇用於；置1 00與服務擷取點11 〇間第一資料傳送連建立，直至登入。換言之，在此實施例中，連接1 0 6在任何階段皆未脫勾，因而未獲授獲得密碼，並無法造成重大的資料安全風險獲得第一資料傳送連接1 0 6。資料傳送連接例如SSL (安全槽層協定），以便驗證並力口控制協定）連接。除」S S L外，亦可使用戶尸送層安全）協定。將使用的加密密鑰可取自在此例中，驗尋行動通訊系行動客戶國際接著使用國際籍位址記錄器〇服器 1 1 6，其資料，並將該資料形成與行單。在圖1的訊系統1 2 6中的費用資料， 1 3 2。該費用，直接傳送至持資料傳送裝接1 〇 6的最初第一資料傳送權的入侵者僅，因爲其尙需 1 0 6使用一種密TCP (傳送謂的TLS (傳丨於TLS驗證 -15- (11) 1264917 ’ $ _ ¥地取自於透由功能強之密碼驗證協定（諸如安全迷m治、碼協定或加密密鑰交換協定）的密碼。依據一實施例，驗證伺服器1 1 4用於透由服務擷取點 1 10 ’在第一資料傳送連接106上，將第二密碼傳送至資料傳送裝置1 00，資料傳送裝置1 〇〇亦用於在例如登入時 ί吏第二密碼，如此一密碼置於另一密碼之後，形成了所 _ @密碼。此實施例確保提供第二密碼的使用者，與使用資料傳送裝置1 0 0者相同，以便將該密碼傳送至客戶終端 102° 依據一實施例，驗證伺服器1 1 4用於透由服務擷取點 1 ’在第一資料傳送連接106上，將確認識別元傳送至資料傳送裝置丨00，並將相同的確認識別元與密碼一同傳送至客戶終端1 02。此讓使用者可比較在不同資料傳送路徑上所接收的兩確認識別元，並僅當兩確認識別元相同時 ’才使用該密碼。基此實施例，可確保由使用者之資料傳送裝置1 00所要求的密碼，可自驗證伺服器1 1 4傳送至客戶終端1 0 2。依據一實施例，資料傳送裝置1 0 0係用於登入服務擷取點1 1 0，其使用例如已提及之行動客戶國際ISDN或國際行動客戶識別，作爲使用者識別，惟對使用者而言，後者較行動客戶國際ISDN難以取得。此實施例的優點是系統不需傳送使用者識別予使用者。然而，系統傳送使用者識別予使用者的實施例亦是可能的。在渠等例中，使用者最初不需知道使用者識別，但 -16- (12) 1264917 其可於例如驗證伺服器1 1 4中產生。依據一實施例，驗證伺服器1 1 4係用於將使用者識別傳送至與行動通訊系統 1 3 4之客戶驗證資料相關的客戶終端1 0 2，而資料傳送裝置1 00係用於使用客戶終端1 〇2所接收的使用者識別，以登入服務擷取點11 0。依據一實施例，驗證伺服器1 1 4係用於將使用者識別，透由第一資料傳送連接1 0 6，自服務擷取點1 1 0傳送至資料傳送裝置1 00，而資料傳送裝置 1 〇〇係用於使用資料傳送裝置1 〇〇所接收的使用者識別，以登入服務擷取點1 1 0。上述已說明服務擷取點1丨〇、驗證伺服器1 1 4及資料傳送裝置1 00，如何用於使系統完成資料傳送裝置1 〇〇的使用者驗證。考量中的渠等裝置包括控制其操作的控制部分’該控制部分目前通常爲具有相關軟體的處理器，惟硬體不同亦是可行的，例如由不同邏輯元件或一或多個特定功能積體電路（ASIC )組成之電路。渠等不同硬體的混合亦是可行的。當選擇完成組態的方法時，熟悉本技藝之人士將考量例如裝置的尺寸及電力消耗等需求、所需的處理功率、製造成本與產量。下列將參閱圖2的流程圖，說明資料傳送裝置之使用者的驗證方法。同時，參閱圖3的信號序列圖，其描述與資料傳送裝置使用者之驗證相關的不同網路原件間傳送的資訊。爲求淸晰，服務擷取點〗〗〇與擷取控制器〗〗2，在圖3中合併成單一元件，到訪行動通訊系統丨26的內部元件與主端行動通訊系統則未顯示。 -17- (13) 1264917 當使用者希望使用服務擷取點時，方法自2 〇〇開始執行。資料傳送連接於2 0 2首先自資料傳送裝置，建立至服務擷取點。依據一實施例，資料傳送裝置與服務擷取點間的資料傳送連接，是無線電連接。依據一實施例，該無線電連接係以無線區域網路完成之。依據另一實施例，該無線電連接係以短距離無線電收發機完成之。在其他實施例中’資料傳送裝置與服務擷取點間的資料傳送連接是有線的。有關渠等完成資料傳送連接的不同方法均如上述。接著於204將行動客戶的識別資料輸入服務擷取點。依據一實施例，行動客戶識別資料包括行動客戶國際 ISDN。如圖3中所示，行動客戶國際整合服務數位網路編號（M S I S DN ) 3 0 0自資料傳送裝置1 〇〇，傳送至服務擷取點1 1 0 /擷取控制器1 1 2。接著於206檢查行動通訊系統對於服務擷取點之客戶識別資料的擷取權。依據一實施例，係透由發送一詢問予行動通訊系統的本籍位址記錄器而進行該檢查。在該實施例中’行動客戶識別資料包括行動客戶國際ISDN，該詢問如圖3中所示地進行，使得首先藉由map_send_imsi 5只息3 〇 4、3 0 6 ( M A P =行動應用協定），及所接獲該詢問的回覆C REPLY ) 3 0 8、310，搜尋行動通訊系統134的本籍位址記錄器，以獲得與行動客戶國際I S DN有關的國際行動客戶識別（IMSI )，接著依據國際行動客戶識別，藉由MAP —RESTORE—DATA訊息3 12、3 14，及所接獲之 -18- (14) 1264917 回覆316、318，搜尋行動通訊系統134 ^ 器，以獲得客戶資料，其包括擷取權定義。例中’客戶終端1 〇2處於到訪行動通訊系街往返主端行動通訊系統134的訊息便透由, 接著於2 0 8檢查行動客戶識別資料是召點的擺取權。若不具擷取權或該擷取權爲無前進至2 1 0，表示服務擷取點將不會提供月园接著前進至2 2 0，結束該方法的執行。若具有有效的擷取權，程序便由208節產生密碼。接著程序前進至2 1 4，將密碼傳戶識別資料相關的客戶終端。依據一實施例交換訊息傳送至客戶終端。依據另一實施例 320、322、324、326傳送至客戶終端1〇2, ’從驗證伺服器1 14開始，前進經過到訪 1 2 6、主端行動通訊系統i 3 4，接著再回到系統1 2 6。此實施例可如前述地進行修改。接著於2 1 6使用傳送至客戶終端的密碼裝置登入服務擷取點。在圖3中以登入對話其中使用者識別及密碼以登入訊息3 2 8，自 1 〇 0傳送至服務擷取點1 1 0 /擷取控制器以登入訊息3 3 2傳送至驗證伺服器1 1 4，另 1 1 0 /擷取控制器1 1 2接獲回覆訊息3 3 2。送裝置使用者於2 1 8，可透由服務擷取點使本籍位址記錄由於圖3之範 1 2 6中，所以到訪系統傳遞具有服務擷取效的，程序便務予使用者，進至2 1 2，以送至與行動客，密碼以封包，密碼以短訊如圖3中所示行動通訊系統到訪行動通訊，自資料傳送的形式描述，資料傳送裝置 1 1 2，並進一步於服務擷取點接著，資料傳用資料傳送服 -19- (15) 1264917 務°服務可視需要藉由傳送服務訊息3 3 4，往返資料傳送裝置1 00與服務擷取點1 10/擷取控制器1 12而完成。最後’當使用者關閉資料傳送裝置至服務擷取點的連接時，便於2 2 0結束該方法的執行。依據一實施例，該方法進一步包括：資料傳送裝置與服務擺取點間資料傳送連接的計費，並將帳單直接倂入行動客戶的識別資料。如圖3中所示，此可藉由例如自服務擺取點1 1 0 /擷取控制器1 1 2，經由驗證伺服器i i 4，傳送包含計費資料的計費記錄訊息3 3 6、3 3 8，至主端行動通訊系統1 3 4而完成。依據一實施例，開始時在資料傳送裝置與服務擷取點間所建立的資料傳送連接，一直維持至開始登入。此提供了上述資訊安全的優點。依據一實施例，該方法進一步包括：透由資料傳送連接’自服務擷取點傳送第二密碼至資料傳送裝置，並使用該第二密碼進行登入。此實施例亦如上述地提昇了資訊安全。依據一實施例，該方法進一步包括··透由資料傳送連接’自服務擷取點傳送確認識別元至資料傳送裝置，並一倂傳送相同的確認識別元與密碼，只有當所接收的確認識別元相同時，才使用密碼。此實施例亦已於上述說明。依據一實施例，該方法進一步包括：登入時使用行動客戶識別資料，作爲使用者識別。依據一實施例，該方法進一步包括··將使用者識別傳送至與行動客戶識別資料相 -20- (16) 1264917 關的客戶終端，並於登入時使用所傳送的使用者識別。依據一實施例，該方法進一步包括：透由資料傳送連接，將使用者識別傳送至資料傳送裝置，並於登入時使用所傳送的使用者識別。惟其他的實施例亦是可行的，但此方法可透由使用上述參閱圖1之系統而完成。依據一實施例，到訪行動通訊系統1 2 6係用於通知客戶終端1 02，若客戶終端在到訪行動通訊系統丨26的漫遊符合既定的標準，那麼資料傳送裝置1 〇〇至服務擷取點 1 1 〇間的資料傳送連接1 06將適用較低的計價。此外，驗證伺服器1 1 4係用於在符合既定標準時，以較平常低的計價完成資料傳送裝置1 〇〇至服務擷取點1 1 0間的資料傳送連接1 〇 6。首先該既定標準可爲客戶終端1 0 2與到訪行動通訊系統1 2 6聯繫，之後該標準可爲客戶終端1 02仍停留於所選擇的行動通訊系統1 26中。此舉的目的係使漫遊之客戶終端1 02的使用者，在漫遊全程均寧願客戶終端1 02 使用考量中電話公司所管理的行動通訊系統1 26。行動通訊系統1 2 6的使用對電話公司而言產生了收入，因而電話公司可以較低的計價，提供資料傳送連接1 06予服務擷取點1 1 0，甚至在漫遊期間的一些特定情況可免費。接著，說明一種方法，可用於完成此類創造客戶忠誠度的漫遊。透由客戶終端1 〇2執行位置更新，登入基地台 1 20的涵蓋區，到訪行動通訊系統1 26便獲告知新的客戶終端102。接著，行動通訊系統126便發送一 SMS訊息（ -21 - (17) 1264917 SMS =短訊服務）予客戶終端1 02，告知使用者是否仍處於行動通訊系統1 2 6，以便資料傳送連接1 〇 6透由例如公共無線區域網路，獲得免費的擷取服務擷取點1 1 〇。此外 ’ S M S訊息可包括指令，告知使用者是否希望使用此項服務’使用者將自其客戶終端〗〇 2發送回覆S M S訊息予特定號碼。此回覆 SMS訊息將是空白或特定內容，例如縮寫「WLAN」。若希望使用者以 SMS訊息回覆，那麼在接到訊息時 ’以及傳送訊息後，到訪行動通訊系統1 26便告知驗證伺服器1 1 4 ’可透由服務擷取點丨〗〇提供使用者免費服務。使用者的回覆S M S訊息，可避免無意使用考量中服務的使用者進行不必要的系統載入。予驗證伺服器1 1 4的資訊 ’可以例如到訪行動通訊系統126所發送的SMS訊息進行傳送。此需要驗證伺服器作爲SME (短訊實體），或可接收以MAP協定爲主的 MAP_MT —FORWARD — SHORT — MESS AGE 訊息。此資訊包括使用者的識別元，例如MSISDN或IMSI。驗證伺服器 1 1 4說明SMS訊息的內容，並分析使用者的識別元。驗證伺服器1 1 4因而通知，可透由服務擷取點1 1 0提供資料傳送網路1 1 8的免費資料傳送服務，予特定使用者。驗證伺服器1 1 4接著爲使用者製造使用者識別，例如 MSISDN或IMSI。此外，並製造密碼。如上述，使用者識別及密碼可傳送予使用者，惟亦可使用其他適合的習知技藝方法，以完成驗證。同時，可傳送其餘資訊予使用者。 -22- (18) 1264917 享有免費服務的使用者，首先必須使用超過既定例如十五分鐘。若使用者使用使用者識別登入服 ! J 0，便啓用使用者識別。使用者識別的內容可使用者識別：+3 5 840 1 23 45 6 密碼：q wertyiop 時間：9 0分鐘啓用時間：19102002:09:16:48 有效時間：29102002:09:16:48 安全性：低費用：免費釋放通訊所需時間：900秒若使用者的客戶終端1 02繼續在行動通訊系漫遊，達既定時間，則透由資料傳送網路1 1 8提者之免費服務的期間可予以延長。檢查是否繼續個方便的方法，是定期發送相關詢問予客戶終端端行動通訊系統1 3 4的本籍位址記錄器1 3 0，例一或二次。此詢問可使用例如 MAP MAP — SEND—ROUTINGJNFO —FOR — SM 訊息而完息係由包含行動服務交換中心的PLMN (公眾行位址的SEND_ROU —FOR_SM訊息來回覆。若此與服務擷取點相同的行動通訊網路，那麼便結束遊。資料傳送裝置1 〇〇在服務擷取點1 1 〇的通話使用者或服務擷取點來終止，當免費服務的時間的時間，務擷取點包括如次統126中供予使用漫遊的一 102之主如每小時協定的成，該訊動網路）位址屬於持續的漫，可透由結束時， -23- (19)1264917 便切斷連接測到客戶終自驗證伺服在圖2 述的驗證之統的資訊，裝置爲低的麼區塊2 0 6 訊系統，及一既定時間訊系統的本定標準；儘當使用者下較低費用獲不需要隨後程序。儘管本明並非侷限理念的範圍元件的名稱整合程度，網路中，網能完成多項。當一段既定時間之後，例如一個月，或當偵端1 02的使用者已停止漫遊時，使用者識別便器1 1 4中刪除。中，較低費用資料傳送連接的設計2 0 1於所描前進行。若驗證伺服器已接獲到訪行動通訊系表示可以較客戶終端使用者通常使用資料傳送費用，提供至服務擷取點的資料傳送連接，那的程序便非必要。若客戶終端聯繫到訪行動通 /或客戶終端在到訪行動通訊系統中漫遊持續 ’那麼便符合既定標準。可藉由向主端行動通籍位址記錄器定期提出詢問，檢查是否符合既管圖2中所示方法的執行已可於此點結束，但次自資料傳送裝置登入服務擷取點時，仍可以得服務。除非電話公司希望改變密碼，否則並續登入’而實施區塊2〇1、206、212及214的發明爹閱上述以附圖爲主的範例，但顯然本發方令Itt ’胃S能於申請專利範圍所揭露本發明之內’進行多種變化。應注意的是，特別是網路 _ # Ϊϋ f g S異’因爲其畢竟僅爲所需網路元件與貪料傳送網路11 8規模的一個問題：在大型路兀件僅可賦予特定工作，而小型網路中，則功能，其分別顯示於圖1中。 -24- (20) 1264917 【圖式簡單說明】下述將參照較佳實施例及附圖’較詳細地說明本發明，其中圖1爲方塊圖，描述驗證資料傳送裝置使用者的系統，圖2爲流程圖，描述驗證資料傳送裝置使用者的方法 ;及圖3爲信號序列圖，描述與資料傳送裝置使用者之驗證相關的不同網路元件間傳送的資訊。主要元件對照表 1 0〇資料傳送裝置 1 02 客戶終端 1 04 裝置 106 無線電連接 108 無線電鏈路 1〇6 、 128 資料傳送連接 1 10 服務擷取點 1 1 2 擷取控制器 114 驗證伺服器 1 1 6、1 3 2 計費伺服器 118 資料傳送網路 120 基地台 122 短訊服務中心 -25- (21) 1264917 1 24 區塊 1 26 到訪行動通訊系統 13 0 本籍位址記錄器 13 4 主端行動通訊系統 3 00 行動客戶國際整合服務數位網路編號 304、 306 MAP_SEND_IMSI 訊息 308 、 310、 316 、3 1 8、3 3 2 回覆 3 1 2、3 1 4 MAP_RESTORE_DATA 訊息 320 、 322 、 324 、3 2 6 短訊 328 、 330 登入訊息 3 3 4 服務訊息 336、 338 計費記錄訊息 -26-

Claims

1264917 ⑴ 拾、申請專利範圍 1 . 一種驗證資料傳送裝置之使用驟：建立（2 〇 2 )資料傳送裝置至服務送連接；其特徵在於將行動通訊系統客戶的識別資料I 擷取點；檢查（2 0 6 )行動通訊系統，行動包括服務擷取點的擷取權；及若具有有效的擷取權，便產生（：密碼發送（2 1 4 )至行動客戶識別資料並使用傳送至客戶終端的密碼，自資 2 1 6 )至服務擷取點。 2.如申請專利範圍第1項之方法識別資料包括行動客戶國際整合服| M S I S D N )。 3 .如申請專利範圍第1項之方法，，發送一詢問至行動通訊系統的本籍位 4.如申請專利範圍第3項之方法識別資料包括行動客戶國際ISDN編號搜尋行動通訊系統的本籍位址記錄器，各戶國際I S D N編號的國際行動客戶識使用國際行動客戶識別，搜尋行動通訊者的方法，包括步擺取點間的資料傳則入（2 0 4 )至服務客戶識別資料是否 :1 2 )〜密碼，將該的相關客戶終端，料傳送裝置登入（ ’其中該行動客戶务數位網路編號（其中該檢查步驟中址記錄器。，其中該行動客戶 ’並以該首先詢問以獲取對應於行動別（IMSI )，接著系統的本籍位址記 -27- (2) 1264917 錄器，以獲取定義擷取權之相關的客戶資料。 5 .如申請專利範圍第1項之方法，其中該密碼以封包交換訊息的形式傳送至客戶終端。 6 ·如申請專利範圍第1項之方法，其中該密碼以短訊的形式傳送至客戶終端。 7 .如申請專利範圍第1項之方法，其中該資料傳送裝置與服務擷取點間的該資料傳送連接爲無線電鏈路。 8 .如申請專利範圍第7項之方法，其中該無線電鏈路是使用無線區域網路來完成。 9.如申請專利範圍第7項之方法，其中該無線電鏈路是使用短距離無線電接收器來完成。 10，如申請專利範圍第1項之方法，其中該資料傳送 _ S與服務擺取點間的該資料傳送連接爲有線的。 11.如申請專利範圍第1項之方法，進一步包括步驟 _ '胃》$4 ίί ^ ^置與服務擷取點間的該資料傳送連接計費 ’產生與行動客戶之識別資料相結合的帳單。 1 2 · Μ甲請專利範圍第1項之方法，其中該資料傳送 I ® w Μ胃取點間的最初建立資料傳送連接被維持直至登入爲止。 1 3 · ® ΐ _專利範圍第1項之方法，進一步包括步驟 • &貪料傳送連接上，將第二密碼自服務擷取點傳送至資料傳送裝置，第二密碼亦用於登入。 14 如申睛專利範圍第1項之方法，進一步包括一步 # •在資料傳送連接上，將確認識別元自服務擷取點傳送 -28- (3) 1264917 至資料傳送裝®，並將相同的確認識別元與密碼一同傳送至客戶終端，僅當所接收的確認識別元相同時，才使用該密碼。 1 5 .如申請專利範圍第1項之方法，其中當客戶終端 #遊時’建立資料傳送裝置與服務擷取點間的資料傳送連接。 1 6 .如申雨專利範圍第1 5項之方法，進一步包括步驟： t知各戶終端，若客戶終端在到訪行動通訊系統的漫 ^付口既疋的標準，那麼資料傳送裝置至服務擷取點間的資料傳送連接将適用較平常低的計價；及右付合既定檩準，則以較平常低的計價完成資料傳送我置至服務擷取點間的資料傳送連接。 17. 如申线衝咐 '-利範圍第1 6項之方法，進一步包括步驟：在到訪行動洛1 遞訊系統，接收客戶終端的資訊，該杳訊顯示寧願選用較你麵低費用之服務擷取點的資料傳送連接。 1 8 . 如申§畜谢· ^ "、利範圍第1 7項之方法，其中在驗證伺服器接收到訪行_ 力通訊系統的資訊，該資訊顯示將提供較低費用之服務擷j 、S點的資料傳送連接，予客戶終端使用者的資料傳送裝謙。 19.如申請衝x >利範圍第1 6項之方法，其中若客戶終端聯繫到訪行動策β 、讲系統，及/或客戶終端在到訪行動通訊系統中持續漫、、於 k〜既定時間，那麼便符合既定標準。 20-如申請衝x >利範圍第1 6項之方法，其中向主端行 -29- (4) 1264917 動通訊系統的本籍位址記錄器定期提出詢問，檢查是否符合既定標準。 2 1 ·如申請專利範圍第1項之方法，進一步包括步驟 :使用行動客戶識別資料，作爲與登入有關的使用者識別〇 2 2.如申請專利範圍第1項之方法，進一步包括步驟 :將使用者識別傳送予有關行動客戶識別資料的客戶終端，並使用所與登入有關的傳送的使用者識別。 2 3 .如申請專利範圍第1項之方法，其中該方法進一步包括：在資料傳送連接上，將使用者識別傳送予資料傳送裝置，並使用與登入有關的所傳送的使用者識別。 2 4. —種驗證資料傳送裝置之使用者的系統，包括：資料傳送裝置（1⑽）；服務擷取點（1 1 〇 )，其可於第一資料傳送連接（106 )上與資料傳送裝置（100 )鏈結；及在第二資料傳送連接上與服務擷取點（1 1 0 )鏈結的驗證伺服器（1 1 4 ); 其特徵在於服務擷取點（1 1 〇 )被架構以在第一資料傳送連接（ 106 )上，接收自資料傳送裝置（100 )輸入之行動通訊系統客戶的識別資料，並在第二資料傳送連接上，將行動客戶識別資料傳送至驗證伺服器（1 1 4 )；驗證伺服器（1 1 4 )被架構以在第三資料傳送連接上，檢查行動通訊系統（1 3 4 )，行動客戶識別資料是否包括服務擷取點（η 〇)的擷取權，若具有有效的擷取權’ -30- (5) 1264917 便產生一密碼，並將該密碼發送至相關於行動通訊系統 (1 3 4 )客戶識別資料的客戶終端（1 〇2 );及資料傳送裝置（1 〇〇 )被架構以使用傳送至客戶終端 (1 02 )與登入有關的密碼至服務擷取點（1 1 0 ) ° 25. 如申請專利範圍第24項之系統’其中該行動通訊系統（134 )的客戶識別資料包括行動客戶國際ISDN。 26. 如申請專利範圍第24項之系統，其中該驗證伺服器（1 1 4 )是一 A A A (驗證、授權、記帳）伺服器。 27. 如申請專利範圍第24項之系統，其中該檢查對該服務擷取點（1 1 〇 )的擷取權的步驟中，驗證伺服器（ 1 1 4 )被架構以發送一詢問至主端行動通訊系統（1 3 4 )的本籍位址記錄器（1 3 0 )。 28. 如申請專利範圍第27項之系統，其中該行動通訊系統（134 )的客戶識別資料包括行動客戶國際ISDN 編號，驗證伺服器（1 1 4 )被架構以發送該詢問，以首先搜尋行動通訊系統（1 3 4 )的本籍位址記錄器（1 3 0 )，以獲取對應於行動客戶國際ISDN編號的國際行動客戶識別 ’接著使用國際行動客戶識別，搜尋行動通訊系統（1 3 4 )的本籍位址記錄器（1 3 0 )，以獲取定義擷取權之相關的客戶資料。 2 9.如申請專利範圍第24項之系統，其中該驗證伺服器（U 4 )被架構以封包交換訊息的形式，將該密碼傳送至客戶終端（102 )。 3 〇 .如申請專利範圍第24項之系統，其中該驗證伺 -31 - (6) 1264917 服器（1 1 4 );被架構以短訊的形式，將該密戶終端（1 0 2 )。 3 1.如申請專利範圍第2 4項之系統，其資料傳送連接（1 〇 6 )爲無線電鏈路。 3 2.如申請專利範圍第3 1項之系統，其取點（Π 0 )被架構以使用無線區域網路來完鏈路。 3 3 .如申請專利範圍第3 1項之系統，其中點（1 1 〇 )包括短距離無線電接收器，以完成路。 3 4.如申請專利範圍第24項之系統，其料傳送連接（1 〇 6 )爲有線的。 3 5 .如申請專利範圍第24項之系統，進計費伺服器（1 1 6 )，其用於產生有關第一資 (1 06 )的費用資料，並將該資料傳送至行動 1 3 4 )，其中該費用資料形成與行動通訊系統< 戶識別資料有關的帳單。 3 6.如申請專利範圍第24項之系統，其取點（1 1 〇 )被架構以維持資料傳送裝置（1 〇〇取點（1 1 0 )間第一資料傳送連接（1 06 )的啓至登入爲止。 37.如申請專利範圍第24項之系統，其服器（1 1 4 )被架構以在第一資料傳送連接（1 第二密碼自服務擷取點（1 1 〇 )，傳送至資料碼傳送至客中該該第一中該服務擷成該無線電該服務擷取該無線電鏈中該第一資一步包括：料傳送連接通訊系統（ :1 3 4 )之客中該服務擷 )與服務擷始建立，直中該驗證伺 06)上，將傳送裝置（ -32- (7) 1264917 1 〇〇)，資料傳送裝置（i 〇〇 )被架構以在登入時使用第二密碼。 3 8 .如申請專利範圍第2 4項之系統，其中該驗證伺服器（11 4 )被架構以透由服務擷取點（1 1 〇 )，在第一資料傳送連接（1 0 6 )上，將確認識別元傳送至資料傳送裝置（1 〇〇 )，並將相同的確認識別元與密碼一同傳送至客戶終端（1 0 2 )。 39. 如申請專利範圍第24項之系統，其中該當客戶終端（1〇2 )漫遊時，建立資料傳送連接（106 )。 40. 如申請專利範圍第3 9項之系統，其中該到訪行動通訊系統（1 2 6 )被架構以通知客戶終端（1 〇 2 )，若客戶終端（1 02 )在到訪行動通訊系統（1 26 )中的漫遊符合既定標準，便以較平常爲低的費用，提供資料傳送裝置（ 1 〇〇 )至服務擷取點（1 1 〇 )之資料傳送連接（1 0 6 )，而驗證伺服器（1 1 4 )被架構以當符合既定標準時’以較平常爲低的費用，完成資料傳送裝置（1 00 )至服務擷取點 (1 1 〇 )之資料傳送連接（1 0 6 )。 41. 如申請專利範圍第40項之系統，其中該到訪行動通訊系統（1 2 6 )被架構以由客戶終端（1 〇 2 )接收資訊，該資訊顯示寧願選用較平常爲低費用之服務擺取點（ 1 1 〇 )的資料傳送連接（1 0 6 ) ° 4 2 如申請專利範圍第4 1項之系統’其中該驗證伺服器（1 1 4 )被架構以自到訪行動通訊系統（1 2 6 )接收資訊，該資訊顯示將提供客戶終端（1〇2)之使用者的資料 - 33 - (8)1264917 傳送裝置（ )的資料傳 43 .如終端（1 0 2 ) 終端（1 〇 2 ) 定時間，那 44. 如終端（1〇2 ) 窃（1 3 0 ) % 45. 如送裝置（1 C ，登入服務 46. 如服器（1 1 4 : 系統（1 3 4 ) 傳送裝置（使用者識別 4 7.如服器（1 1 4 ) 由服務擷取 (10 0) ，料傳送裝置 110)。 1 0 0 )，較平常費用爲低之至服務擷取點（1 } 0 送連接（1 0 6 )。申請專利範圍第4 〇項之系統，其中該若客戶聯繋到訪行動通訊系統（1 2 6 )，及/或客戶在到訪行動通訊系統（1 26 )中持續漫遊〜既麼便符合既定標準。申請專利範圍第40項之系統，其中該向客戶之主端行動通訊系統（1 3 4 )的本籍位址記錄 [期提出詢問，檢查是否符合既定標準。申請專利範圍第2 4項之系統，其中該資料傳 0 )被架構以使用行動客戶識別資料作爲密碼擷取點（1 1 0 )。申請專利範圍第24項之系統，其中該驗證伺被架構以傳送使用者識別，予有關行動通訊之客戶識別資料的客戶終端（1 〇2 )，而資料 1 〇〇)被架構以使用傳送至客戶終端（1〇2)的，以登入服務擷取點（11〇)。申請專利範圍第貝之系統，其中該驗_甸被架構以在第一資$、丨如 J 一、詞·傳送連接（1 〇6 )上，决點（1 1 〇 )，傳送餘兩 i ^ 〜用者識別予資料傳送裝暂行資料傳送裝置（1〇Ω、4 4 S 0)被架構以使用傳送至^ (100 )的使用者_咖 ^ 节衊別，以登入服務擷取點、34一