專(zhuān)利名稱(chēng):漫游網(wǎng)絡(luò)中接入終端身份的認(rèn)證的制作方法
漫游網(wǎng)絡(luò)中接入終端身份的認(rèn)證根據(jù)35U.S.C.§ 119的優(yōu)先權(quán)要求本專(zhuān)利申請(qǐng)要求于2010年10月22日提交的題為“Mobile HandsetAuthentication in a Roaming Network (漫游網(wǎng)絡(luò)中的移動(dòng)手持機(jī)認(rèn)證)”的臨時(shí)申請(qǐng)N0.61/406�,017 和于 2011 年 I 月 22 日提交的題為 “Mobile Handset Authentication ina Roaming Network (漫游網(wǎng)絡(luò)中的移動(dòng)手持機(jī)認(rèn)證)”的臨時(shí)申請(qǐng)N0.61/435��,267的優(yōu)先權(quán)���,這兩個(gè)臨時(shí)申請(qǐng)已被轉(zhuǎn)讓給本申請(qǐng)受讓人并由此明確援引納入于此����。背景領(lǐng)域本文中所公開(kāi)的各種特征一般涉及無(wú)線通信系統(tǒng)��,并且至少一些特征尤其涉及用于促成漫游網(wǎng)絡(luò)中接入終端身份的認(rèn)證的方法和設(shè)備���。
·
背景接入終端(諸如�����,移動(dòng)電話(huà)��、尋呼機(jī)���、無(wú)線調(diào)制解調(diào)器、個(gè)人數(shù)字助理�����、個(gè)人信息管理器(PM)���、個(gè)人媒體播放器���、平板計(jì)算機(jī)���、膝上型計(jì)算機(jī)、或帶有處理器的通過(guò)無(wú)線信號(hào)與其他設(shè)備通信的任何其他設(shè)備)正日益變得流行并被更頻繁地使用��。在無(wú)線通信網(wǎng)絡(luò)中使用此類(lèi)接入終端的訂戶(hù)通常在被準(zhǔn)予接入以發(fā)起和/或接收呼叫和傳送和/或接收數(shù)據(jù)之前由無(wú)線通信網(wǎng)絡(luò)進(jìn)行認(rèn)證���。傳統(tǒng)上�����,無(wú)線通信網(wǎng)絡(luò)通過(guò)驗(yàn)證用戶(hù)身份來(lái)認(rèn)證訂戶(hù)����,該用戶(hù)身份包括例如接入終端的用于GSM網(wǎng)絡(luò)的訂戶(hù)標(biāo)識(shí)模塊(SM)�����、用于UMTS/LTE網(wǎng)絡(luò)的通用訂戶(hù)標(biāo)識(shí)模塊(例如��,USIM)和用于CDMA網(wǎng)絡(luò)的可拆卸用戶(hù)標(biāo)識(shí)模塊(RUIM)中包含并由其提供的密碼信息���。這些SM���、USM和RUM通常是基于芯片和PIN (個(gè)人識(shí)別碼)的卡�,其包含關(guān)于接入終端的訂戶(hù)/用戶(hù)的信息并且可從接入終端拆卸����。裝備有此類(lèi)可拆卸用戶(hù)身份模塊的接入終端的用戶(hù)通常能夠從一個(gè)接入終端拆卸SM��、USM或RUM卡并將該卡置于另一接入終端中���,由此容易地將它們的訂戶(hù)信息從一個(gè)接入終端轉(zhuǎn)移至另一個(gè)接入終端�。然而�����,蜂窩網(wǎng)絡(luò)傳統(tǒng)上并不認(rèn)證接入終端設(shè)備自身�。盡管常規(guī)無(wú)線通信網(wǎng)絡(luò)適配成認(rèn)證正在接入終端中使用的訂戶(hù)卡(例如,SM���,USIM, RUM)���,還是期望無(wú)線通信網(wǎng)絡(luò)認(rèn)證接入終端自身,并基于接入終端認(rèn)證的結(jié)果來(lái)拒絕或允許該接入終端的網(wǎng)絡(luò)接入��。之所以網(wǎng)絡(luò)運(yùn)營(yíng)商除了訂戶(hù)卡之外還想要認(rèn)證接入終端是因?yàn)閿?shù)個(gè)原因�。例如�,一個(gè)原因包括認(rèn)證接入終端以禁止使用被盜或丟失的接入終端����。例如,潛在的盜賊幾乎沒(méi)有動(dòng)機(jī)盜竊接入終端�����,因?yàn)橛脩?hù)能報(bào)告接入終端丟失或被盜����,并且可從網(wǎng)絡(luò)阻擋對(duì)此丟失或被盜的接入終端的操作,即使新訂戶(hù)卡被置于該終端中��。另一個(gè)原因包括認(rèn)證接入終端以阻止未經(jīng)授權(quán)的制造者生產(chǎn)或刷新未被準(zhǔn)許在無(wú)線通信網(wǎng)絡(luò)中使用的接入終端(例如���,灰色市場(chǎng)的接入終端)�����。此類(lèi)未經(jīng)授權(quán)的接入終端可能不滿(mǎn)足嚴(yán)格的條例管理�����,例如�����,發(fā)射功率�����、向未被許可給網(wǎng)絡(luò)運(yùn)營(yíng)商的毗連頻帶的泄漏��,等等�����。通過(guò)利用認(rèn)證接入終端自身的認(rèn)證系統(tǒng)���,網(wǎng)絡(luò)運(yùn)營(yíng)商可拒絕向由未經(jīng)授權(quán)的制造者生產(chǎn)或刷新的、不能以有效接入終端標(biāo)識(shí)來(lái)認(rèn)證的那些接入終端提供服務(wù)�����。又一個(gè)原因涉及部分地以使用未經(jīng)授權(quán)的接入終端來(lái)實(shí)現(xiàn)的恐怖攻擊的風(fēng)險(xiǎn)�。政府實(shí)體近來(lái)已表達(dá)了要網(wǎng)絡(luò)運(yùn)營(yíng)商能夠追蹤、跟蹤����、認(rèn)證并禁用在網(wǎng)絡(luò)運(yùn)營(yíng)商的無(wú)線通信網(wǎng)絡(luò)內(nèi)操作的所有接入終端的強(qiáng)烈愿望��。具有認(rèn)證接入終端并相應(yīng)地拒絕服務(wù)的能力將在阻止犯罪行為方面證明是有利的����。目前存在使得無(wú)線通信網(wǎng)絡(luò)能夠查詢(xún)接入終端的身份(ID)的機(jī)制����。例如,無(wú)線通信網(wǎng)絡(luò)(例如�,GSM網(wǎng)絡(luò)、WCDMA網(wǎng)絡(luò)�、TD-SCDMA網(wǎng)絡(luò))可查詢(xún)并檢查3GPP順應(yīng)性接入終端的國(guó)際移動(dòng)裝備身份αΜΕΙ)號(hào),或者無(wú)線通信網(wǎng)絡(luò)(例如����,CDMA)可查詢(xún)并檢查3GPP2順應(yīng)性接入終端的移動(dòng)裝備標(biāo)識(shí)符(MEID)。然而�����,這些用于獲得接入終端的ID的現(xiàn)有機(jī)制未能提供從接入終端接收的ID實(shí)際上屬于該接入終端的任何保證��。例如�,未經(jīng)授權(quán)的接入終端可非法地拷貝或以其他方式獲得被授權(quán)的接入終端的ID����,并隨后將該盜版的ID提供給請(qǐng)求方無(wú)線通信網(wǎng)絡(luò)��。在此情景中�����,常規(guī)無(wú)線通信網(wǎng)絡(luò)不能夠在被授權(quán)的接入終端與采用偽造ID的未經(jīng)授權(quán)的接入終端之間進(jìn)行區(qū)分����。因此,需要的適配成既發(fā)現(xiàn)又驗(yàn)證接入終端的身份的方法���、裝置、和/或系統(tǒng)����。概述各種特征促成在接入終端正在到訪網(wǎng)絡(luò)內(nèi)漫游并遠(yuǎn)離其歸屬網(wǎng)絡(luò)時(shí)認(rèn)證接入終端身份。一個(gè)特征提供適配成促成此類(lèi)設(shè)備認(rèn)證的接入終端�����。這些接入終端可包括能操作于與到訪網(wǎng)絡(luò)通信的無(wú)線通信接口���,和耦合至該無(wú)線通信接口的處理電路���。該處理電路可適配成獲得與該接入終端的接入終端標(biāo)識(shí)符相關(guān)聯(lián)的驗(yàn)證密鑰���。該處理電路可生成包括該接入終端標(biāo)識(shí)符和至少部分地使用該驗(yàn)證密鑰生成的認(rèn)證數(shù)據(jù)的設(shè)備認(rèn)證消息,并且可經(jīng)由該無(wú)線通信接口傳送該設(shè)備認(rèn)證消息��。該設(shè)備認(rèn)證消息適配成認(rèn)證該接入終端是被授權(quán)接入該到訪網(wǎng)絡(luò)的接入終端�。該處理電路可進(jìn)一步適配成經(jīng)由該無(wú)線通信接口接收基于對(duì)該設(shè)備認(rèn)證消息的驗(yàn)證來(lái)準(zhǔn)予或拒絕該接入終端接入該到訪網(wǎng)絡(luò)的通知。根據(jù)一個(gè)特征還提供了能在接入終端中操作的�、用于促成在該接入終端在到訪網(wǎng)絡(luò)內(nèi)漫游時(shí)對(duì)該接入終端進(jìn)行設(shè)備認(rèn)證的方法。在此類(lèi)方法的至少一個(gè)實(shí)現(xiàn)中���,例如��,接入終端可獲得與該接入終端的接入終端標(biāo)識(shí)符相關(guān)聯(lián)的驗(yàn)證密鑰��??缮稍O(shè)備認(rèn)證消息以包括該接入終端標(biāo)識(shí)符和至少部分地使用該驗(yàn)證密鑰生成的認(rèn)證數(shù)據(jù)��?��?蓚魉驮撛O(shè)備認(rèn)證消息以認(rèn)證該接入終端是被授權(quán)接入該到訪網(wǎng)絡(luò)的接入終端����。可接收基于對(duì)該設(shè)備認(rèn)證消息的驗(yàn)證來(lái)準(zhǔn)予或拒絕該接入終端接入該到訪網(wǎng)絡(luò)的通知���。另一個(gè)特征提供了適配成促成對(duì)在到訪網(wǎng)絡(luò)內(nèi)漫游的接入終端的設(shè)備認(rèn)證的到訪驗(yàn)證服務(wù)器��。根據(jù)至少一些實(shí)施例��,此類(lèi)到訪驗(yàn)證服務(wù)器可包括適配成促成與接入終端通信的通信接口和耦合至該通信接口的處理電路��。該處理電路可適配成經(jīng)由該通信接口從該接入終端接收設(shè)備認(rèn)證消息����。該設(shè)備認(rèn)證消息可包括接入終端標(biāo)識(shí)符和接入終端認(rèn)證數(shù)據(jù)�。處理電路可進(jìn)一步適配成基于所接收到的設(shè)備認(rèn)證消息來(lái)認(rèn)證該接入終端。該處理電路還可適配成經(jīng)由該通信接口向該接入終端傳送準(zhǔn)予或拒絕該接入終端接入到訪網(wǎng)絡(luò)的通知���。根據(jù)一個(gè)特征還提供了能在到訪驗(yàn)證服務(wù)器中操作的、用于促成對(duì)在到訪網(wǎng)絡(luò)內(nèi)漫游的接入終端進(jìn)行設(shè)備認(rèn)證的方法����。在此類(lèi)方法的至少一個(gè)實(shí)現(xiàn)中,例如��,到訪驗(yàn)證服務(wù)器可從接入終端接收設(shè)備認(rèn)證消息。該設(shè)備認(rèn)證消息可包括接入終端標(biāo)識(shí)符和接入終端認(rèn)證數(shù)據(jù)���。接入終端可基于所接收到的設(shè)備認(rèn)證消息來(lái)被認(rèn)證���,并且可向該接入終端傳送準(zhǔn)予或拒絕該接入終端接入該到訪網(wǎng)絡(luò)的通知。附加特征提供了用于促成對(duì)在到訪網(wǎng)絡(luò)內(nèi)漫游的接入終端的設(shè)備認(rèn)證的歸屬驗(yàn)證服務(wù)器���。根據(jù)一個(gè)或多個(gè)實(shí)施例�����,此類(lèi)歸屬驗(yàn)證服務(wù)器可包括與處理電路耦合的通信接口��。該處理電路可適配成接收請(qǐng)求與接入終端相關(guān)的設(shè)備認(rèn)證信息的傳輸�����,其中該傳輸包括與該接入終端相關(guān)聯(lián)的接入終端標(biāo)識(shí)符�����。該傳輸可包括設(shè)備認(rèn)證消息或?qū)εc該接入終端相關(guān)聯(lián)的認(rèn)證令牌的請(qǐng)求�。處理電路可生成包括所請(qǐng)求的設(shè)備認(rèn)證信息的響應(yīng)(例如�,設(shè)備認(rèn)證消息已被認(rèn)證的指示����、認(rèn)證令牌)���。處理電路可經(jīng)由通信接口向到訪驗(yàn)證服務(wù)器傳送該響應(yīng)����。根據(jù)一個(gè)特征還提供了能在歸屬驗(yàn)證服務(wù)器中操作的��、用于促成對(duì)在到訪網(wǎng)絡(luò)內(nèi)漫游的接入終端進(jìn)行設(shè)備認(rèn)證的方法���。在此類(lèi)方法的至少一個(gè)實(shí)現(xiàn)中�����,例如���,歸屬驗(yàn)證服務(wù)器可接收請(qǐng)求與接入終端相關(guān)的設(shè)備認(rèn)證信息的傳輸,其中該傳輸包括與該接入終端相關(guān)聯(lián)的接入終端標(biāo)識(shí)符�����。該傳輸可包括設(shè)備認(rèn)證消息或?qū)εc該接入終端相關(guān)聯(lián)的認(rèn)證令牌的請(qǐng)求�����?�?缮砂ㄋ?qǐng)求的設(shè)備認(rèn)證信息的響應(yīng)(例如�����,設(shè)備認(rèn)證消息已被認(rèn)證的指示��、認(rèn)證令牌)�����。處理電路可經(jīng)由通信接口向到訪驗(yàn)證服務(wù)器傳送該響應(yīng)�����。附圖簡(jiǎn)述
圖1是圖解其中可應(yīng)用本公開(kāi)的一個(gè)或多個(gè)實(shí)現(xiàn)的無(wú)線通信環(huán)境的示例的框圖�����。圖2是圖解對(duì)在到訪網(wǎng)絡(luò)內(nèi)漫游的接入終端進(jìn)行認(rèn)證的示例的流程圖��,其中設(shè)備認(rèn)證是由歸屬網(wǎng)絡(luò)的歸屬驗(yàn)證服務(wù)器執(zhí)行的����。圖3是圖解對(duì)在到訪網(wǎng)絡(luò)內(nèi)漫游的接入終端進(jìn)行認(rèn)證的另一示例的流程圖�,其中設(shè)備認(rèn)證是由歸屬網(wǎng)絡(luò)的歸屬驗(yàn)證服務(wù)器執(zhí)行的���。圖4是圖解對(duì)在到訪網(wǎng)絡(luò)內(nèi)漫游的接入終端進(jìn)行認(rèn)證的示例的流程圖�����,其中設(shè)備認(rèn)證是由到訪驗(yàn)證服務(wù)器執(zhí)行的����。圖5是圖解對(duì)在到訪網(wǎng)絡(luò)內(nèi)漫游的接入終端進(jìn)行認(rèn)證的示例的流程圖���,其中設(shè)備認(rèn)證是使用設(shè)備認(rèn)證令牌執(zhí)行的��。圖6圖解接入終端的至少一個(gè)實(shí)施例的功能框圖���。圖7是圖解在接入終端中操作的用于在該接入終端在到訪網(wǎng)絡(luò)內(nèi)漫游時(shí)促成對(duì)該接入終端進(jìn)行設(shè)備認(rèn)證的方法的示例的流程圖。圖8圖解到訪驗(yàn)證服務(wù)器的至少一個(gè)實(shí)施例的功能框圖�����。圖9是圖解在到訪驗(yàn)證服務(wù)器中操作的用于促成對(duì)在到訪網(wǎng)絡(luò)內(nèi)漫游的接入終端進(jìn)行設(shè)備認(rèn)證的方法的示例的流程圖。圖10圖解歸屬驗(yàn)證服務(wù)器的至少一個(gè)實(shí)施例的功能框圖�。圖11是圖解在歸屬驗(yàn)證服務(wù)器中操作的用于促成對(duì)在到訪網(wǎng)絡(luò)內(nèi)漫游的接入終端進(jìn)行設(shè)備認(rèn)證的方法的示例的流程圖�。具體描述在以下描述中,給出了具體細(xì)節(jié)以提供對(duì)所描述的實(shí)現(xiàn)的透徹理解����。但是,本領(lǐng)域普通技術(shù)人員將可理解���,沒(méi)有這些具體細(xì)節(jié)也可實(shí)踐這些實(shí)現(xiàn)���。例如,電路可能以框圖形式示出��,以免使這些實(shí)現(xiàn)湮沒(méi)在不必要的細(xì)節(jié)中�����。在其他實(shí)例中����,公知的電路、結(jié)構(gòu)���、和技術(shù)可能不被詳細(xì)示出以免湮沒(méi)這些實(shí)現(xiàn)����。措辭“示例性”在本文中用于表示“用作示例、實(shí)例或解說(shuō)”�����。本文中描述為“示例性”的任何實(shí)現(xiàn)或?qū)嵤├槐乇唤忉尀閮?yōu)于或勝過(guò)其他實(shí)施例或?qū)崿F(xiàn)�����。同樣��,術(shù)語(yǔ)“實(shí)施例”并不要求所有實(shí)施例都包括所討論的特征�����、優(yōu)點(diǎn)�、或工作模式。本文中所使用的術(shù)語(yǔ)“接入終端”意在被寬泛地解讀��。舉例而言����,“接入終端”可包括移動(dòng)電話(huà)���、尋呼機(jī)、無(wú)線調(diào)制解調(diào)器����、個(gè)人數(shù)字助理���、個(gè)人信息管理器(PM)�����、個(gè)人媒體播放器����、平板計(jì)算機(jī)�、膝上型計(jì)算機(jī)、和/或至少部分地通過(guò)無(wú)線或蜂窩網(wǎng)通信的其他移動(dòng)通信/計(jì)算設(shè)備���。綜述展現(xiàn)了在接入終端正在到訪網(wǎng)絡(luò)內(nèi)漫游并遠(yuǎn)離其歸屬網(wǎng)絡(luò)的情況下認(rèn)證接入終端的各種方法����。除了訂戶(hù)/用戶(hù)認(rèn)證之外����,還可執(zhí)行接入終端認(rèn)證���。在一些實(shí)施例中,由接入終端生成的設(shè)備認(rèn)證消息由到訪網(wǎng)絡(luò)轉(zhuǎn)發(fā)至歸屬網(wǎng)絡(luò)以進(jìn)行認(rèn)證和批準(zhǔn)��。在其他實(shí)施例中��,設(shè)備認(rèn)證消息是使用歸屬網(wǎng)絡(luò)的全局地址(諸如IP地址)從接入終端直接發(fā)送至歸屬網(wǎng)絡(luò)以供認(rèn)證的����。在其他實(shí)施例中,到訪網(wǎng)絡(luò)通過(guò)能訪問(wèn)根證書(shū)以驗(yàn)證由接入終端傳送的簽名來(lái)認(rèn)證接入終端自身�����。在其他實(shí)施例中��,到訪網(wǎng)絡(luò)從接入終端和歸屬網(wǎng)絡(luò)接收設(shè)備認(rèn)證令牌���。如果這兩個(gè)認(rèn)證令牌匹配��,則接入終端得到認(rèn)證����。本文中所展現(xiàn)的用于接入終端設(shè)備認(rèn)證的所有實(shí)施例可在任何其他被執(zhí)行以認(rèn)證訂戶(hù)/用戶(hù)的認(rèn)證規(guī)程(例如,對(duì)SM和/或RUM的認(rèn)證)之前���、之后�、或與之并行執(zhí)行���。此外��,根據(jù)另一方面,歸屬網(wǎng)絡(luò)或到訪網(wǎng)絡(luò)可向接入終端發(fā)送接入終端認(rèn)證請(qǐng)求以發(fā)起接入終端認(rèn)證��。例如�����,歸屬網(wǎng)絡(luò)或到訪網(wǎng)絡(luò)可在識(shí)別到觸發(fā)事件(諸如訂戶(hù)認(rèn)證正由接入終端發(fā)起/正為接入終端發(fā)起)之際向接入終端發(fā)送此類(lèi)設(shè)備認(rèn)證請(qǐng)求����。響應(yīng)于發(fā)送接入終端認(rèn)證請(qǐng)求,該接入終端可發(fā)送其設(shè)備認(rèn)證消息以供認(rèn)證該接入終端�����。示例性網(wǎng)絡(luò)操作環(huán)境圖1圖解了無(wú)線通信環(huán)境���,在其中與其歸屬網(wǎng)絡(luò)120相關(guān)聯(lián)的接入終端110正在到訪網(wǎng)絡(luò)150內(nèi)“漫游”�。例如,接入終端110可位于由到訪網(wǎng)絡(luò)150的基站154服務(wù)的蜂窩小區(qū)152內(nèi)�。在無(wú)線電信中,“漫游”是通用術(shù)語(yǔ)����,其是指連通性服務(wù)在與服務(wù)原被注冊(cè)的歸屬位置(諸如歸屬網(wǎng)絡(luò)120)不同的位置(諸如到訪網(wǎng)絡(luò)150)中的擴(kuò)展。漫游確保接入終端110被保持連接至網(wǎng)絡(luò)而不丟失連接�。如圖1中所圖解的,歸屬網(wǎng)絡(luò)120和到訪網(wǎng)絡(luò)150可彼此進(jìn)行通信����。接入終端110可能期望借助于到訪網(wǎng)絡(luò)150提供的無(wú)線通信接入以發(fā)送或接收數(shù)據(jù)(例如,發(fā)起和接收呼叫����、傳送和接收數(shù)據(jù)消息)。然而�,根據(jù)本公開(kāi)的至少一個(gè)特征,在接入終端110被允許在到訪網(wǎng)絡(luò)150內(nèi)的此類(lèi)接入之前�,訂戶(hù)和接入終端設(shè)備110兩者均被認(rèn)證以確保該訂戶(hù)被授權(quán)使用該網(wǎng)絡(luò)并且該接入終端110是例如由被許可制造用于與該網(wǎng)絡(luò)聯(lián)用的接入終端的經(jīng)授權(quán)的原始設(shè)備制造商(OEM)制造的經(jīng)授權(quán)的手持機(jī)。除了具有標(biāo)識(shí)訂戶(hù)信息的可拆卸用戶(hù)身份(或訂戶(hù)身份)模塊(諸如��,訂戶(hù)標(biāo)識(shí)模塊(SM)��、通用訂戶(hù)標(biāo)識(shí)模塊(USM)、CDMA訂戶(hù)標(biāo)識(shí)模塊(CSM)或可拆卸用戶(hù)標(biāo)識(shí)模塊(RUIM))之外�,接入終端100還包括對(duì)于接入終端110唯一性的接入終端標(biāo)識(shí)符(ID)。舉例而言�,該接入終端標(biāo)識(shí)符在該終端是3GPP順應(yīng)性的情況下可以是國(guó)際移動(dòng)裝備身份(MEI),或在該終端是3GPP2順應(yīng)性的情況下可以是移動(dòng)裝備身份(MEID)��。此外�����,接入終端110可包括對(duì)于接入終端設(shè)備110也是唯一性的�����、并與接入終端ID相關(guān)聯(lián)的設(shè)備憑證����。例如��,在一個(gè)實(shí)施例中����,接入終端110的OEM可充當(dāng)管理權(quán)威機(jī)構(gòu)(諸如證書(shū)權(quán)威機(jī)構(gòu)(CA)180),該管理權(quán)威機(jī)構(gòu)向接入終端110頒發(fā)驗(yàn)證密鑰(諸如密碼密鑰(例如認(rèn)證密鑰)或數(shù)字證書(shū))并且還存儲(chǔ)與接入終端110相關(guān)聯(lián)的驗(yàn)證密鑰�����。在其他實(shí)施例中,驗(yàn)證密鑰可使用常規(guī)的越空置備過(guò)程來(lái)置備��,其中驗(yàn)證密鑰是經(jīng)由無(wú)線傳輸被提供給接入終端110的��。在各種實(shí)施例中����,驗(yàn)證密鑰應(yīng)當(dāng)由接入終端110以使其受到對(duì)抗未經(jīng)授權(quán)的訪問(wèn)的保護(hù)的方式來(lái)存儲(chǔ)。因此�����,接入終端110可被置備有與接入終端110相關(guān)聯(lián)(例如與接入終端標(biāo)識(shí)符(ID)相關(guān)聯(lián))的驗(yàn)證密鑰(諸如�,私鑰-公鑰對(duì)或共享機(jī)密密鑰),該驗(yàn)證密鑰可被用來(lái)對(duì)接入終端110向其他設(shè)備或網(wǎng)絡(luò)組件發(fā)送的消息進(jìn)行數(shù)字簽名���。例如��,接入終端110可使用私鑰對(duì)它意圖發(fā)往接收方的消息進(jìn)行數(shù)字簽名���。隨后,消息的接收方可使用與接入終端ID相關(guān)聯(lián)的公鑰來(lái)驗(yàn)證該消息確實(shí)是由接入終端110發(fā)送的。由于CA180保持所有接入終端的所有公鑰并證明它們是可信的��,因此接收方可信任經(jīng)數(shù)字簽名的數(shù)據(jù)和證書(shū)是與有效接入終端110相關(guān)聯(lián)的���。如圖1中所圖解的�����,CA180可與到訪網(wǎng)絡(luò)150和歸屬網(wǎng)絡(luò)120進(jìn)行通信����。在一個(gè)實(shí)施例中�,CA180可屬于接入終端的0ΕΜ,并且可扮演根CA的角色并直接向它們的接入終端頒發(fā)數(shù)字證書(shū)��。替換地����,OEM可用作中間CA并向它們自身的接入終端頒發(fā)證書(shū)��,同時(shí)根CA可以是全局或區(qū)域性設(shè)備標(biāo)識(shí)管理權(quán)威機(jī)構(gòu)��。在該情形中�����,根CA向每個(gè)OEM CA頒發(fā)證書(shū)。證書(shū)鏈上的所有證書(shū)應(yīng)當(dāng)被置備給接入終端110�。接入終端110的ID可以是接入終端證書(shū)的一部分。此外���,OEM應(yīng)當(dāng)向接入終端110置備私鑰�����,并且該私鑰應(yīng)當(dāng)受到對(duì)抗未經(jīng)授權(quán)的訪問(wèn)的保護(hù)��。在其他實(shí)施例中�,驗(yàn)證密鑰可包括共享機(jī)密密鑰��。在此類(lèi)實(shí)施例中�,接入終端110可以不利用數(shù)字證書(shū)公鑰基礎(chǔ)設(shè)施,而是代之以存儲(chǔ)與其接入終端身份(ID)相關(guān)聯(lián)的共享機(jī)密密鑰��。共享機(jī)密密鑰應(yīng)當(dāng)僅為接入終端110還有歸屬網(wǎng)絡(luò)120所知�。例如,共享機(jī)密密鑰可存儲(chǔ)在歸屬網(wǎng)絡(luò)120的驗(yàn)證服務(wù)器122處���。例如��,此類(lèi)共享機(jī)密密鑰可由設(shè)備制造商置備����。每個(gè)網(wǎng)絡(luò)運(yùn)營(yíng)商具有本地驗(yàn)證服務(wù)器。例如����,到訪網(wǎng)絡(luò)150可包括到訪驗(yàn)證服務(wù)器156,并且歸屬網(wǎng)絡(luò)120可包括歸屬驗(yàn)證服務(wù)器122����。到訪驗(yàn)證服務(wù)器156(例如,貫徹節(jié)點(diǎn))可負(fù)責(zé)認(rèn)證給定接入終端110并允許對(duì)該網(wǎng)絡(luò)的通信接入�����。在接入終端110包括公鑰證書(shū)的實(shí)施例中����,歸屬網(wǎng)絡(luò)120使得受[目任接入終端根證書(shū)和/或受[目任OEM證書(shū)的列表對(duì)歸屬驗(yàn)證服務(wù)器122可用。在共享機(jī)密密鑰代之以存儲(chǔ)在接入終端110處的實(shí)施例中����,每個(gè)經(jīng)授權(quán)接入終端ID和它們對(duì)應(yīng)的共享機(jī)密密鑰對(duì)歸屬驗(yàn)證服務(wù)器122可用��。對(duì)接入終端110的認(rèn)證(其不同于對(duì)訂戶(hù)的認(rèn)證)可由到訪網(wǎng)絡(luò)150或由歸屬網(wǎng)絡(luò)120執(zhí)行。由網(wǎng)絡(luò)運(yùn)營(yíng)商來(lái)決定要將以下哪些方法用于接入終端110認(rèn)證�。然而,認(rèn)證結(jié)果通常由到訪網(wǎng)絡(luò)150貫徹來(lái)準(zhǔn)予或拒絕接入終端110網(wǎng)絡(luò)接入��。到訪網(wǎng)絡(luò)150的貫徹節(jié)點(diǎn)(EN)可以是到訪網(wǎng)絡(luò)150的到訪驗(yàn)證服務(wù)器156的一部分����,但在一些實(shí)施例中,它可以獨(dú)立于到訪驗(yàn)證服務(wù)器156���。示例性傳遞式(Pass-Through)設(shè)備認(rèn)證參照?qǐng)D2�����,在一個(gè)實(shí)施例中���,對(duì)接入終端110的認(rèn)證是由歸屬網(wǎng)絡(luò)120的歸屬驗(yàn)證服務(wù)器122執(zhí)行的。在步驟202中��,接入終端110向到訪網(wǎng)絡(luò)150處的到訪驗(yàn)證服務(wù)器156傳送接入終端(或設(shè)備)認(rèn)證消息�����。該設(shè)備認(rèn)證消息包括對(duì)接入終端110唯一性的信息�。例如��,設(shè)備認(rèn)證消息可包括接入終端ID和使用與接入終端ID相關(guān)聯(lián)的驗(yàn)證密鑰生成的數(shù)字簽名����。在一些實(shí)施例中�����,設(shè)備認(rèn)證消息將包括隨機(jī)元素(諸如一次性隨機(jī)數(shù)(nonce)(例如使用一次的密碼一次性隨機(jī)數(shù)或數(shù)字))以防止由其他未經(jīng)授權(quán)的接入終端進(jìn)行重放攻擊���。設(shè)備認(rèn)證消息可以是SMS�����、IP數(shù)據(jù)分組的形式�,或者是到訪網(wǎng)絡(luò)150處接受的任何其他格式����,并且可包括關(guān)于接入終端110的歸屬網(wǎng)絡(luò)120的信息。在步驟204中���,到訪驗(yàn)證服務(wù)器156將該接入終端認(rèn)證消息轉(zhuǎn)發(fā)至歸屬網(wǎng)絡(luò)120�����。在步驟206中����,歸屬驗(yàn)證服務(wù)器122使用該設(shè)備認(rèn)證消息來(lái)認(rèn)證該接入終端110�����。例如�,歸屬驗(yàn)證服務(wù)器122可驗(yàn)證該設(shè)備認(rèn)證消息內(nèi)的數(shù)字簽名,該數(shù)字簽名可以是已由接入終端110使用該終端110的與公鑰基礎(chǔ)設(shè)施相關(guān)聯(lián)的私鑰來(lái)簽名的�����。使用對(duì)應(yīng)于接入終端110的身份(ID)的�、可為歸屬網(wǎng)絡(luò)120所知或以其他方式可由歸屬網(wǎng)絡(luò)120訪問(wèn)的公鑰,歸屬驗(yàn)證服務(wù)器122就可嘗試驗(yàn)證該數(shù)字簽名��。如果使用公鑰的驗(yàn)證成功��,則接入終端110可得到認(rèn)證�,這是因?yàn)橹挥薪?jīng)授權(quán)的接入終端110才將能夠訪問(wèn)接入終端身份(ID)和用于對(duì)數(shù)據(jù)進(jìn)行簽名的相關(guān)聯(lián)驗(yàn)證密鑰兩者。在各種實(shí)施例中����,對(duì)數(shù)字簽名的驗(yàn)證可包括獲得存儲(chǔ)于例如歸屬網(wǎng)絡(luò)120中的服務(wù)器(例如歸屬驗(yàn)證服務(wù)器122)���、證書(shū)權(quán)威機(jī)構(gòu)180處、從接入終端110接收的��、或從任何受信任的第三方獲得的證書(shū)����。在另一實(shí)施例中,歸屬驗(yàn)證服務(wù)器122可驗(yàn)證該設(shè)備認(rèn)證消息內(nèi)的數(shù)字簽名�����,該數(shù)字簽名可以是已由接入終端110使用該接入終端110的共享機(jī)密密鑰來(lái)簽名的��。在此情形中��,歸屬驗(yàn)證服務(wù)器122使用對(duì)應(yīng)于接入終端身份(ID)的共享機(jī)密密鑰來(lái)驗(yàn)證數(shù)字簽名���,該共享機(jī)密密鑰存儲(chǔ)于歸屬網(wǎng)絡(luò)內(nèi)例如歸屬驗(yàn)證服務(wù)器122處�。在步驟208中��,歸屬驗(yàn)證服務(wù)器122通知到訪驗(yàn)證服務(wù)器156該認(rèn)證是成功還是失敗了����。在步驟210中�,到訪驗(yàn)證服務(wù)器156隨后基于由歸屬驗(yàn)證服務(wù)器122報(bào)告的認(rèn)證結(jié)果來(lái)準(zhǔn)予或拒絕請(qǐng)求方接入終端110接入網(wǎng)絡(luò)�。注意到,對(duì)接入終端110的接入的此類(lèi)準(zhǔn)予或拒絕可以是與分開(kāi)的之前的�、并發(fā)的、或隨后的訂戶(hù)認(rèn)證過(guò)程分開(kāi)并相異的�����。例如�,在一些實(shí)現(xiàn)中����,接入終端認(rèn)證消息202可以是還包括訂戶(hù)認(rèn)證過(guò)程的組合式認(rèn)證過(guò)程的一部分。在至少一些實(shí)現(xiàn)中����,接入終端110可自發(fā)地傳送接入終端認(rèn)證消息202。例如�,接入終端110可自發(fā)地生成和/或傳送接入終端認(rèn)證消息202至到訪驗(yàn)證服務(wù)器156以作為請(qǐng)求接入網(wǎng)絡(luò)的一般過(guò)程(諸如還包括訂戶(hù)認(rèn)證過(guò)程的組合式認(rèn)證過(guò)程)的一部分。在其他實(shí)現(xiàn)中�,接入終端110可響應(yīng)于從到訪驗(yàn)證服務(wù)器156傳送而來(lái)的接入終端認(rèn)證請(qǐng)求212來(lái)生成和/或傳送接入終端認(rèn)證消息202。例如��,接入終端110可請(qǐng)求接入網(wǎng)絡(luò)���,于是到訪驗(yàn)證服務(wù)器156可傳送要求接入終端110傳送接入終端認(rèn)證消息202的請(qǐng)求212�。有可能接入終端認(rèn)證消息202曾被發(fā)送但未被到訪驗(yàn)證服務(wù)器156接收到,或者有可能未曾從接入終端110傳送過(guò)接入終端認(rèn)證消息202��。在一些實(shí)現(xiàn)中��,到訪驗(yàn)證服務(wù)器156可以周期性間隔(例如����,每30秒、每2小時(shí)����、每24小時(shí)等)發(fā)送請(qǐng)求212以周期性地認(rèn)證接入終端110。在一些示例中���,如果到訪驗(yàn)證服務(wù)器156在傳送請(qǐng)求212之后的預(yù)定義時(shí)段內(nèi)沒(méi)有收到接入終端認(rèn)證消息202����,則可發(fā)送后續(xù)請(qǐng)求212���。在到訪驗(yàn)證服務(wù)器156已發(fā)送了預(yù)定義數(shù)目的對(duì)來(lái)自接入終端110的接入終端認(rèn)證消息202的請(qǐng)求212而沒(méi)有接入終端認(rèn)證消息202到來(lái)之后���,到訪驗(yàn)證服務(wù)器156可拒絕接入終端110的網(wǎng)絡(luò)接入��。在其他又一些實(shí)現(xiàn)中�����,接入終端認(rèn)證請(qǐng)求212可以是失效備援(failover)特征�,其中����,如果到訪網(wǎng)絡(luò)驗(yàn)證服務(wù)器156在接入終端訂戶(hù)/用戶(hù)認(rèn)證已被發(fā)起之后或接入終端110已連接至到訪網(wǎng)絡(luò)之后一時(shí)段內(nèi)未從接入終端接收到設(shè)備認(rèn)證消息����,則到訪網(wǎng)絡(luò)驗(yàn)證服務(wù)器156發(fā)送請(qǐng)求212。由歸屬驗(yàn)證服務(wù)器進(jìn)行的示例性設(shè)備認(rèn)證圖3圖解了用于認(rèn)證可在到訪網(wǎng)絡(luò)150內(nèi)漫游的接入終端110的另一實(shí)施例����,其中設(shè)備認(rèn)證由歸屬網(wǎng)絡(luò)120執(zhí)行。在步驟302中����,接入終端110直接向歸屬驗(yàn)證服務(wù)器122傳送接入終端(或設(shè)備)認(rèn)證消息。歸屬驗(yàn)證服務(wù)器122具有針對(duì)接入終端110可用來(lái)直接發(fā)送設(shè)備認(rèn)證消息和其他數(shù)據(jù)的SMS消息的全局可路由地址(諸如IP地址)和/或全局可路由電話(huà)簿號(hào)碼��。由于接入終端110正在到訪網(wǎng)絡(luò)150內(nèi)漫游,因此接入終端110可被到訪網(wǎng)絡(luò)150準(zhǔn)予受限接入以使得接入終端110能夠向歸屬驗(yàn)證服務(wù)器122傳送該設(shè)備認(rèn)證消息��。例如��,接入終端110可被允許對(duì)數(shù)據(jù)信道的受限接入��,或者接入終端110可以能夠采用用于訂戶(hù)認(rèn)證的相同信道以向歸屬驗(yàn)證服務(wù)器122發(fā)送設(shè)備認(rèn)證消息����。設(shè)備認(rèn)證消息包括對(duì)接入終端110唯一性的信息。例如��,設(shè)備認(rèn)證消息可包括接入終端ID和使用與接入終端ID相關(guān)聯(lián)的驗(yàn)證密鑰生成的數(shù)字簽名���。在一些實(shí)施例中�,設(shè)備認(rèn)證消息將包括隨機(jī)元素(諸如一次性隨機(jī)數(shù)(例如使用一次的密碼一次性隨機(jī)數(shù)或數(shù)字))以防止由其他未經(jīng)授權(quán)的接入終端進(jìn)行重放攻擊�����。設(shè)備認(rèn)證消息還可包括關(guān)于接入終端110正試圖從什么到訪網(wǎng)絡(luò)150得到網(wǎng)絡(luò)接入的信息��。在接收到設(shè)備認(rèn)證消息之后�����,在步驟304中,歸屬驗(yàn)證服務(wù)器122使用該設(shè)備認(rèn)證消息來(lái)認(rèn)證該接入終端110�����。例如����,歸屬驗(yàn)證服務(wù)器122可驗(yàn)證該設(shè)備認(rèn)證消息內(nèi)的數(shù)字簽名,該數(shù)字簽名可以是已由接入終端110使用該終端110的與公鑰基礎(chǔ)設(shè)施相關(guān)聯(lián)的私鑰來(lái)簽名的��。使用對(duì)應(yīng)于接入終端110的身份(ID)的����、為歸屬網(wǎng)絡(luò)120所知或以其他方式可由歸屬網(wǎng)絡(luò)120訪問(wèn)的公鑰,歸屬驗(yàn)證服務(wù)器122就可嘗試驗(yàn)證該數(shù)字簽名�。如果使用公鑰的驗(yàn)證成功����,則接入終端110可得到認(rèn)證,這是因?yàn)橹挥薪?jīng)授權(quán)的接入終端110才將能夠訪問(wèn)接入終端ID和用于對(duì)數(shù)據(jù)進(jìn)行簽名的相關(guān)聯(lián)的驗(yàn)證密鑰兩者��。在各種實(shí)施例中���,對(duì)數(shù)字簽名的驗(yàn)證可包括獲得存儲(chǔ)于例如歸屬網(wǎng)絡(luò)120中的服務(wù)器(例如歸屬驗(yàn)證服務(wù)器122)����、證書(shū)權(quán)威機(jī)構(gòu)處、從接入終端110接收的����、或從任何受信任的第三方接收的證書(shū)。在另一實(shí)施例中�,歸屬驗(yàn)證服務(wù)器122可驗(yàn)證該設(shè)備認(rèn)證消息內(nèi)的數(shù)字簽名,該數(shù)字簽名可以是已由接入終端110使用該終端110的共享機(jī)密密鑰來(lái)簽名的����。在此情形中,歸屬驗(yàn)證服務(wù)器122使用對(duì)應(yīng)于接入終端ID的共享機(jī)密密鑰來(lái)驗(yàn)證數(shù)字簽名��,該共享機(jī)密密鑰存儲(chǔ)于歸屬網(wǎng)絡(luò)內(nèi)例如歸屬驗(yàn)證服務(wù)器122處。在步驟306中�,歸屬驗(yàn)證服務(wù)器122基于由接入終端110提供的信息來(lái)定位到訪驗(yàn)證服務(wù)器156和/或到訪網(wǎng)絡(luò)150。歸屬驗(yàn)證服務(wù)器122通知到訪驗(yàn)證服務(wù)器156認(rèn)證成功還是失敗��。在步驟308中��,到訪驗(yàn)證服務(wù)器156隨后基于由歸屬驗(yàn)證服務(wù)器122報(bào)告的認(rèn)證結(jié)果來(lái)準(zhǔn)予或拒絕請(qǐng)求方接入終端110接入網(wǎng)絡(luò)�。在至少一個(gè)實(shí)現(xiàn)中���,接入終端110可自發(fā)地在步驟302傳送設(shè)備認(rèn)證消息����。例如,接入終端110可自發(fā)地生成和/或傳送接入終端認(rèn)證消息至歸屬驗(yàn)證服務(wù)器122以作為請(qǐng)求接入網(wǎng)絡(luò)的一般過(guò)程的一部分����。在一個(gè)或多個(gè)其他實(shí)現(xiàn)中,接入終端110可響應(yīng)于從歸屬驗(yàn)證服務(wù)器122或到訪驗(yàn)證服務(wù)器156中的至少一者傳送而來(lái)的請(qǐng)求來(lái)生成和/或傳送設(shè)備認(rèn)證消息���。例如�����,接入終端110可請(qǐng)求接入網(wǎng)絡(luò)����,于是歸屬驗(yàn)證服務(wù)器122可在可選步驟310傳送要求接入終端110傳送設(shè)備認(rèn)證消息的請(qǐng)求����。有可能設(shè)備認(rèn)證消息曾被發(fā)送但未被歸屬驗(yàn)證服務(wù)器122接收到�,或者有可能未曾從接入終端110傳送過(guò)設(shè)備認(rèn)證消息。在一些實(shí)現(xiàn)中�,到訪驗(yàn)證服務(wù)器156可以周期性間隔(例如,每30秒�����、每2小時(shí)、每24小時(shí)等)發(fā)送請(qǐng)求212以周期性地認(rèn)證接入終端110����。在一些示例中,如果歸屬驗(yàn)證服務(wù)器122在傳送請(qǐng)求之后的預(yù)定義時(shí)段內(nèi)沒(méi)有接收到設(shè)備認(rèn)證消息��,則可發(fā)送后續(xù)請(qǐng)求��。在歸屬驗(yàn)證服務(wù)器122已發(fā)送預(yù)定義數(shù)目的對(duì)來(lái)自接入終端110的設(shè)備認(rèn)證消息的請(qǐng)求而沒(méi)有設(shè)備認(rèn)證消息到來(lái)之后�����,歸屬驗(yàn)證服務(wù)器122可通知到訪驗(yàn)證服務(wù)器156對(duì)接入終端110的認(rèn)證失敗了�����,并且到訪驗(yàn)證服務(wù)器156可拒絕接入終端110的網(wǎng)絡(luò)接入��。在又一實(shí)現(xiàn)中�����,接入終端認(rèn)證請(qǐng)求310可以是失效備援特征�����,其中,如果歸屬網(wǎng)絡(luò)驗(yàn)證服務(wù)器122在接入終端訂戶(hù)/用戶(hù)認(rèn)證已被發(fā)起之后或接入終端已連接至到訪網(wǎng)絡(luò)和/或歸屬網(wǎng)絡(luò)之后一時(shí)段內(nèi)未從接入終端接收到設(shè)備認(rèn)證消息��,則歸屬網(wǎng)絡(luò)驗(yàn)證服務(wù)器122發(fā)送請(qǐng)求310���。由到訪驗(yàn)證服務(wù)器進(jìn)行的示例性設(shè)備認(rèn)證圖4圖解了用于認(rèn)證在到訪網(wǎng)絡(luò)150內(nèi)漫游的接入終端110的另一實(shí)施例�����,其中設(shè)備認(rèn)證由到訪網(wǎng)絡(luò)150執(zhí)行���。在步驟402處,接入終端110向到訪驗(yàn)證服務(wù)器156傳送接入終端(或設(shè)備)認(rèn)證消息�。在此實(shí)施例中,接入終端110是公鑰基礎(chǔ)設(shè)施(PKI)方案的一部分并且已由CA頒發(fā)公鑰/私鑰對(duì)并由CA180證明�。設(shè)備認(rèn)證消息可包括整個(gè)證書(shū)鏈或?qū)蚬€證書(shū)的信息。例如����,設(shè)備認(rèn)證消息可包括URL或?qū)⒌皆L驗(yàn)證服務(wù)器156指引到存儲(chǔ)證書(shū)的CA180的索引。在一個(gè)實(shí)施例中��,到訪驗(yàn)證服務(wù)器156裝備有根證書(shū)或者能訪問(wèn) CAI80�。在步驟404處,到訪驗(yàn)證服務(wù)器156基于接收到的設(shè)備認(rèn)證消息來(lái)認(rèn)證該接入終端110����。例如,到訪驗(yàn)證服務(wù)器156可基于設(shè)備認(rèn)證消息內(nèi)提供的URL來(lái)訪問(wèn)CA180并驗(yàn)證接入終端110是經(jīng)授權(quán)的接入終端設(shè)備����。在一個(gè)實(shí)施例中,到訪驗(yàn)證服務(wù)器156可嘗試驗(yàn)證該設(shè)備認(rèn)證消息內(nèi)的數(shù)字簽名�,該數(shù)字簽名可以是已由接入終端110使用與接入終端ID相關(guān)聯(lián)的私鑰來(lái)數(shù)字簽名的。使用對(duì)應(yīng)于接入終端ID的����、可從CA180獲得的公鑰,到訪驗(yàn)證網(wǎng)絡(luò)156就可嘗試驗(yàn)證該數(shù)字簽名���。如果使用公鑰對(duì)數(shù)字簽名的驗(yàn)證成功��,則接入終端110可得到認(rèn)證�����,這是因?yàn)橹挥薪?jīng)授權(quán)的接入終端110才將能夠訪問(wèn)接入終端ID和用于對(duì)數(shù)據(jù)進(jìn)行簽名的私鑰兩者���。在一個(gè)實(shí)施例中�����,到訪驗(yàn)證服務(wù)器156不需要聯(lián)系CA180����,而是到訪驗(yàn)證服務(wù)器156和/或到訪網(wǎng)絡(luò)150自身可存儲(chǔ)可采用以驗(yàn)證由接入終端110發(fā)送的�����、在設(shè)備認(rèn)證消息內(nèi)的數(shù)字簽名的證書(shū)����。在其他實(shí)施例中,到訪驗(yàn)證服務(wù)器156可從接入終端110接收用于驗(yàn)證數(shù)字簽名的證書(shū)�����。在步驟406處���,到訪驗(yàn)證服務(wù)器156基于設(shè)備認(rèn)證是成功還是失敗來(lái)準(zhǔn)予或拒絕接入終端110的網(wǎng)絡(luò)接入���。在至少一些實(shí)現(xiàn)中,接入終端110可自發(fā)地在步驟402處傳送該設(shè)備認(rèn)證消息。例如����,接入終端110可自發(fā)地生成和/或傳送設(shè)備認(rèn)證消息至到訪驗(yàn)證服務(wù)器156以作為用于請(qǐng)求接入網(wǎng)絡(luò)的一般過(guò)程的一部分�����。在一個(gè)或多個(gè)其他實(shí)現(xiàn)中�,接入終端110可響應(yīng)于從到訪驗(yàn)證服務(wù)器156傳送而來(lái)的請(qǐng)求來(lái)在步驟402處生成和/或傳送設(shè)備認(rèn)證消息。例如��,接入終端110可請(qǐng)求接入網(wǎng)絡(luò)����,于是到訪驗(yàn)證服務(wù)器156可在可選步驟408處傳送要求接入終端110傳送設(shè)備認(rèn)證消息的請(qǐng)求。有可能設(shè)備認(rèn)證消息曾被發(fā)送但未被到訪驗(yàn)證服務(wù)器156接收到����,或者有可能未曾從接入終端110傳送過(guò)設(shè)備認(rèn)證消息。在一些實(shí)現(xiàn)中��,到訪驗(yàn)證服務(wù)器156可以周期性間隔(例如����,每30秒、每2小時(shí)、每24小時(shí)等)發(fā)送請(qǐng)求212以周期性地認(rèn)證接入終端110�����。在一些示例中�����,如果到訪驗(yàn)證服務(wù)器156在傳送請(qǐng)求之后的預(yù)定義時(shí)段內(nèi)沒(méi)有收到設(shè)備認(rèn)證消息��,則可發(fā)送后續(xù)請(qǐng)求��。在到訪驗(yàn)證服務(wù)器156已發(fā)送了預(yù)定義數(shù)目的對(duì)來(lái)自接入終端110的設(shè)備認(rèn)證消息的請(qǐng)求而沒(méi)有設(shè)備認(rèn)證消息到來(lái)之后��,到訪驗(yàn)證服務(wù)器156可拒絕接入終端110的網(wǎng)絡(luò)接入�。在又一個(gè)實(shí)現(xiàn)中,接入終端認(rèn)證請(qǐng)求408可以是失效備援特征�����,其中如果到訪網(wǎng)絡(luò)驗(yàn)證服務(wù)器156在接入終端訂戶(hù)/用戶(hù)認(rèn)證已被發(fā)起之后或接入終端已連接至到訪網(wǎng)絡(luò)之后一時(shí)段內(nèi)未從接入終端接收到設(shè)備認(rèn)證消息�,則到訪網(wǎng)絡(luò)驗(yàn)證服務(wù)器156發(fā)送請(qǐng)求408。使用設(shè)備認(rèn)證令牌的示例性設(shè)備認(rèn)證圖5圖解了用于認(rèn)證在到訪網(wǎng)絡(luò)150內(nèi)漫游的接入終端110的另一實(shí)施例����,其中設(shè)備認(rèn)證由到訪網(wǎng)絡(luò)150執(zhí)行���。在此實(shí)施例中,設(shè)備認(rèn)證是使用從接入終端110和歸屬網(wǎng)絡(luò)120接收到的設(shè)備認(rèn)證令牌來(lái)執(zhí)行的��。在步驟502處���,接入終端110向到訪驗(yàn)證服務(wù)器156傳送接入終端(或設(shè)備)認(rèn)證消息���。該設(shè)備認(rèn)證消息包括接入終端ID和設(shè)備認(rèn)證令牌����。該設(shè)備認(rèn)證令牌可以是由接入終端110使用其驗(yàn)證密鑰(例如,私鑰或共享機(jī)密密鑰)來(lái)數(shù)字簽名的消息�����。在一些實(shí)施例中����,該設(shè)備認(rèn)證消息將包括被其數(shù)字簽名的隨機(jī)元素(諸如一次性隨機(jī)數(shù))和/或日期和時(shí)間數(shù)據(jù)以防止重放攻擊。在步驟504處����,到訪驗(yàn)證服務(wù)器156傳送對(duì)來(lái)自歸屬驗(yàn)證服務(wù)器122的設(shè)備認(rèn)證令牌的請(qǐng)求����,其中�,該請(qǐng)求尤其包括接入終端110的ID號(hào)和/或與由接入終端110傳送的設(shè)備認(rèn)證消息相關(guān)聯(lián)的任何一次性隨機(jī)數(shù)信息等。在步驟506處�,歸屬驗(yàn)證服務(wù)器122使用由到訪驗(yàn)證服務(wù)器提供的給定接入終端ID和任何一次性隨機(jī)數(shù)信息來(lái)生成相對(duì)應(yīng)的設(shè)備認(rèn)證令牌。在一些實(shí)施例中�����,歸屬驗(yàn)證服務(wù)器122可事先存儲(chǔ)與每個(gè)接入終端ID相對(duì)應(yīng)的設(shè)備認(rèn)證令牌�����。在此類(lèi)情形中�����,歸屬驗(yàn)證服務(wù)器122和接入終端110可具有用于事先防止重放攻擊的機(jī)制�����。例如�����,由接入終端在步驟502中傳送的設(shè)備認(rèn)證消息可包含根據(jù)歸屬驗(yàn)證服務(wù)器122已知的序列來(lái)更新的數(shù)字。在步驟508處�����,到訪驗(yàn)證服務(wù)器156通過(guò)將由接入終端110提供的設(shè)備認(rèn)證令牌與由歸屬驗(yàn)證服務(wù)器122提供的設(shè)備認(rèn)證令牌進(jìn)行比較來(lái)認(rèn)證接入終端110����。如果這兩個(gè)認(rèn)證令牌匹配,則設(shè)備認(rèn)證成功/通過(guò)�����。如果這兩個(gè)令牌不匹配�,則設(shè)備認(rèn)證失敗���。在步驟510處�,到訪驗(yàn)證服務(wù)器156基于來(lái)自步驟508的設(shè)備認(rèn)證是否成功來(lái)準(zhǔn)予或拒絕接入終端110的網(wǎng)絡(luò)接入��。在至少一些實(shí)現(xiàn)中���,接入終端110可自發(fā)地在步驟502處傳送設(shè)備認(rèn)證消息����。例如,接入終端110可自發(fā)地生成和/或傳送設(shè)備認(rèn)證消息至到訪驗(yàn)證服務(wù)器156以作為用于請(qǐng)求接入網(wǎng)絡(luò)的一般過(guò)程的一部分��。在一個(gè)或多個(gè)其他實(shí)現(xiàn)中����,接入終端110可響應(yīng)于從到訪驗(yàn)證服務(wù)器156或歸屬驗(yàn)證服務(wù)器122中的至少一者傳送而來(lái)的請(qǐng)求來(lái)在步驟502處生成和/或傳送設(shè)備認(rèn)證消息。例如��,接入終端110可請(qǐng)求接入網(wǎng)絡(luò)����,于是到訪驗(yàn)證服務(wù)器156可在可選步驟512處傳送要求接入終端110傳送設(shè)備認(rèn)證消息的請(qǐng)求。有可能設(shè)備認(rèn)證消息曾被發(fā)送但未被到訪驗(yàn)證服務(wù)器156接收到��,或者有可能未曾從接入終端110傳送過(guò)設(shè)備認(rèn)證消息��。在一些實(shí)現(xiàn)中��,到訪驗(yàn)證服務(wù)器156可以周期性間隔(例如��,每30秒�、每2小時(shí)、每24小時(shí)等)發(fā)送請(qǐng)求212以周期性地認(rèn)證接入終端110��。在一些示例中�����,如果到訪驗(yàn)證服務(wù)器156在傳送請(qǐng)求之后的預(yù)定義時(shí)段內(nèi)沒(méi)有接收到設(shè)備認(rèn)證消息,則可發(fā)送后續(xù)請(qǐng)求����。在到訪驗(yàn)證服務(wù)器156已發(fā)送了預(yù)定義數(shù)目的對(duì)來(lái)自接入終端110的設(shè)備認(rèn)證消息的請(qǐng)求而沒(méi)有設(shè)備認(rèn)證消息到來(lái)之后,到訪驗(yàn)證服務(wù)器156可拒絕接入終端110的網(wǎng)絡(luò)接入���。在又一實(shí)現(xiàn)中���,接入終端認(rèn)證請(qǐng)求512可以是失效備援特征,其中��,如果到訪網(wǎng)絡(luò)驗(yàn)證服務(wù)器156在訂戶(hù)/用戶(hù)認(rèn)證已被發(fā)起之后或接入終端已連接至到訪網(wǎng)絡(luò)和/或歸屬網(wǎng)絡(luò)之后一時(shí)段內(nèi)未從接入終端110接收到接入終端認(rèn)證消息����,則到訪網(wǎng)絡(luò)驗(yàn)證服務(wù)器156發(fā)送請(qǐng)求512���。示例性接終端圖6圖解接入終端600的至少一個(gè)實(shí)施例的功能框圖��。接入終端600 —般可包括耦合至存儲(chǔ)器電路(例如�,存儲(chǔ)器模塊�、存儲(chǔ)器等)604和無(wú)線通信接口 606的處理電路602(例如�,處理器�、處理模塊等)。處理電路602被安排成獲得���、處理和/或發(fā)送數(shù)據(jù)�,控制數(shù)據(jù)訪問(wèn)和存儲(chǔ)����,發(fā)布命令,以及控制其他期望操作���。處理電路602可被耦合至存儲(chǔ)器電路604��,從而處理電路602能從存儲(chǔ)器電路604讀取信息和向存儲(chǔ)器電路604寫(xiě)入信息�����。在替換方案中����,存儲(chǔ)器電路604可被整合到處理電路602��。根據(jù)至少一個(gè)實(shí)施例,處理電路602可包括用于執(zhí)行認(rèn)證接入終端600的各個(gè)步驟的設(shè)備認(rèn)證模塊/電路620��。根據(jù)各個(gè)實(shí)施例���,存儲(chǔ)器電路1004可存儲(chǔ)接入終端標(biāo)識(shí)符(ID)608和/或驗(yàn)證密鑰609 (例如��,來(lái)自公鑰/私鑰對(duì)的私鑰����、共享機(jī)密密鑰等)�����。例如�,在一些實(shí)施例中,在接入終端600被置備有公鑰/私鑰對(duì)的場(chǎng)合�,存儲(chǔ)器電路604可存儲(chǔ)公鑰610和私鑰612a。在其他實(shí)施例中���,在接入終端600是對(duì)稱(chēng)共享機(jī)密密鑰密碼方案的一部分的場(chǎng)合�,存儲(chǔ)器電路604可存儲(chǔ)共享機(jī)密密鑰612b����。驗(yàn)證密鑰609 (例如�����,私鑰612a、共享機(jī)密密鑰612b)和/或接入終端ID608可被存儲(chǔ)于存儲(chǔ)器電路604的讀/寫(xiě)受保護(hù)的部分中�。因此,由接入終端600的最終用戶(hù)(諸如訂戶(hù))對(duì)該受保護(hù)區(qū)的訪問(wèn)可能不被允許����。此類(lèi)保護(hù)可幫助保護(hù)驗(yàn)證密鑰609和/或接入終端ID608的機(jī)密性不受損害。無(wú)線通信接口 606允許接入終端600在無(wú)線網(wǎng)絡(luò)上與一個(gè)或多個(gè)接入終端通信��。無(wú)線通信接口 606還允許接入終端600與一個(gè)或多個(gè)網(wǎng)絡(luò)(諸如�,歸屬網(wǎng)絡(luò)(例如,圖1中的歸屬網(wǎng)絡(luò)120)和到訪網(wǎng)絡(luò)(例如��,圖1中的到訪網(wǎng)絡(luò)150))�、包括它們的組件(例如,歸屬驗(yàn)證服務(wù)器122和到訪驗(yàn)證服務(wù)器156)通信�。無(wú)線通信接口 606可包括無(wú)線收發(fā)機(jī)電路系統(tǒng),其包括發(fā)射機(jī)614和/或接收機(jī)616 (例如,一個(gè)或多個(gè)發(fā)射機(jī)/接收機(jī)鏈)�。接入終端600還可包括耦合至處理電路602的訂戶(hù)(或用戶(hù))身份模塊618。訂戶(hù)身份模塊618可包括任何常規(guī)的訂戶(hù)身份模塊�,諸如,訂戶(hù)標(biāo)識(shí)模塊(SIM)���、通用訂戶(hù)身份模塊(USM)����、CDMA訂戶(hù)標(biāo)識(shí)模塊(CSM)或可拆卸用戶(hù)標(biāo)識(shí)模塊(RUIM))。訂戶(hù)身份模塊可包括包含于其中�����、并適配成在常規(guī)訂戶(hù)認(rèn)證規(guī)程中使用的密碼訂戶(hù)信息�����。根據(jù)一個(gè)或多個(gè)特征��,接入終端600的處理電路602可被適配成執(zhí)行與以上參照?qǐng)D1-5所描述的各種接入終端(例如��,接入終端110)相關(guān)的任何或所有過(guò)程��、功能�����、步驟和/或例程��。如本文中所使用的�,與處理電路602相關(guān)的術(shù)語(yǔ)“適配成”可以指代處理電路602以被配置����、采用��、實(shí)現(xiàn)�����、或編程中的一者或多者的方式執(zhí)行根據(jù)本文中所描述的各種特征的特定過(guò)程����、功能���、步驟和/或例程����。圖7是圖解在接入終端(諸如接入終端600)中操作的���、用于促成在該接入終端在到訪網(wǎng)絡(luò)內(nèi)漫游時(shí)對(duì)該接入終端進(jìn)行設(shè)備認(rèn)證的方法的示例的流程圖�����。參照?qǐng)D6和7��,接入終端600可初始獲得與接入終端600的接入終端標(biāo)識(shí)符(ID)相關(guān)聯(lián)的驗(yàn)證密鑰����。例如,諸如私鑰/公鑰對(duì)(例如公鑰610和私鑰612a)或共享機(jī)密密鑰612b之類(lèi)的驗(yàn)證密鑰609可被置備到存儲(chǔ)器電路604的有安全保護(hù)的部分中�。根據(jù)各種實(shí)現(xiàn),驗(yàn)證密鑰609可由接入終端制造商通過(guò)越空置備過(guò)程��、或者如本領(lǐng)域中已知的用于為接入終端安全地置備驗(yàn)證密鑰的其他方式來(lái)置備���。驗(yàn)證密鑰是與接入終端ID608相關(guān)聯(lián)的���,從而它能被用來(lái)驗(yàn)證接入終端ID是可/[目的。在步驟704處���,可生成設(shè)備認(rèn)證消息�,其中��,該設(shè)備認(rèn)證消息包括接入終端ID和至少部分地使用驗(yàn)證密鑰來(lái)生成的認(rèn)證數(shù)據(jù)���。例如�����,處理電路602的設(shè)備認(rèn)證模塊620可生成設(shè)備認(rèn)證消息�����,該消息可包括接入終端ID608和使用驗(yàn)證密鑰來(lái)生成的認(rèn)證數(shù)據(jù)����。在至少一些實(shí)現(xiàn)中��,該認(rèn)證數(shù)據(jù)可由處理電路602 (例如��,設(shè)備認(rèn)證模塊620)使用驗(yàn)證密鑰(諸如私鑰612a或共享機(jī)密密鑰612b)來(lái)生成�����,以使用任何常規(guī)的簽名算法來(lái)對(duì)設(shè)備認(rèn)證消息進(jìn)行簽名�����。在一個(gè)或多個(gè)其他實(shí)現(xiàn)中���,該認(rèn)證數(shù)據(jù)可由處理電路602 (例如����,設(shè)備認(rèn)證模塊620)使用驗(yàn)證密鑰609來(lái)生成以生成接入終端認(rèn)證令牌。在步驟706處��,接入終端600傳送要被采用來(lái)認(rèn)證接入終端600是被授權(quán)接入到訪網(wǎng)絡(luò)的設(shè)備的設(shè)備認(rèn)證消息�����。例如����,處理電路602可經(jīng)由無(wú)線通信接口 606傳送該設(shè)備認(rèn)證消息。在一些實(shí)現(xiàn)中��,設(shè)備認(rèn)證消息可被傳送至到訪驗(yàn)證服務(wù)器���,以由到訪驗(yàn)證服務(wù)器轉(zhuǎn)發(fā)至歸屬網(wǎng)絡(luò)內(nèi)的歸屬驗(yàn)證服務(wù)器��、或由用來(lái)驗(yàn)證該設(shè)備認(rèn)證消息的到訪驗(yàn)證服務(wù)器使用��。在此類(lèi)情形中����,設(shè)備認(rèn)證消息可包括用于將該消息轉(zhuǎn)發(fā)至歸屬驗(yàn)證服務(wù)器的信息����。在其他實(shí)現(xiàn)中��,設(shè)備認(rèn)證消息可被傳送至歸屬驗(yàn)證服務(wù)器���。在此類(lèi)實(shí)例中,處理電路602可采用歸屬驗(yàn)證服務(wù)器的全局可路由地址以用于將該消息定向到歸屬驗(yàn)證服務(wù)器����。在步驟708處,接入終端600可從到訪驗(yàn)證服務(wù)器接收準(zhǔn)予或拒絕接入到訪網(wǎng)絡(luò)的通知�����。例如�����,處理電路602可經(jīng)由無(wú)線通信接口 606接收通知��,該通知可從到訪網(wǎng)絡(luò)傳送而來(lái)����。如果被準(zhǔn)予接入到訪網(wǎng)絡(luò)�����,則處理電路602可使用無(wú)線通信接口 606經(jīng)由到訪網(wǎng)絡(luò)來(lái)通信以發(fā)送和接收通信。在步驟710處�,接入終端600還可生成訂戶(hù)認(rèn)證消息。例如��,處理電路602可使用訂戶(hù)身份模塊618中所存儲(chǔ)的訂戶(hù)信息和/或由訂戶(hù)身份模塊618執(zhí)行的過(guò)程來(lái)生成訂戶(hù)認(rèn)證消息���。訂戶(hù)認(rèn)證消息可由接入終端602使用無(wú)線通信接口 606傳送以供在步驟712處驗(yàn)證該訂戶(hù)是被授權(quán)網(wǎng)絡(luò)接入的��。訂戶(hù)認(rèn)證可根據(jù)常規(guī)訂戶(hù)認(rèn)證規(guī)程來(lái)實(shí)行�,如本領(lǐng)域通常所知的��,因此在本文中不再詳細(xì)描述��。根據(jù)各種實(shí)現(xiàn)���,訂戶(hù)認(rèn)證過(guò)程可在步驟702和704的設(shè)備認(rèn)證過(guò)程之前�、與之并行或隨后實(shí)行�����。示例性到訪驗(yàn)證服務(wù)器圖8圖解到訪驗(yàn)證服務(wù)器800的至少一個(gè)實(shí)施例的功能框圖�。到訪驗(yàn)證服務(wù)器800通常可包括耦合至存儲(chǔ)器電路804和通信接口 806的處理電路802。處理電路802被安排成獲得�、處理和/或發(fā)送數(shù)據(jù),控制數(shù)據(jù)訪問(wèn)和存儲(chǔ)���,發(fā)布命令��,以及控制其他期望操作��。處理電路802可被耦合至存儲(chǔ)器電路804����,從而處理電路802能從存儲(chǔ)器電路804讀取信息和向存儲(chǔ)器電路804寫(xiě)入信息����。在替換方案中��,存儲(chǔ)器電路804可被整合到處理電路802����。根據(jù)至少一個(gè)實(shí)施例,處理電路802可包括適配成執(zhí)行用于根據(jù)本文中所描述的一個(gè)或多個(gè)接入終端認(rèn)證規(guī)程來(lái)認(rèn)證接入終端的各種步驟的接入終端認(rèn)證模塊/電路812�。處理電路802還可包括適配成根據(jù)常規(guī)訂戶(hù)認(rèn)證實(shí)踐來(lái)執(zhí)行訂戶(hù)認(rèn)證規(guī)程的訂戶(hù)認(rèn)證模塊/電路814。通信接口 806可包括向/從接入終端(例如�����,圖1中的接入終端110)、證書(shū)權(quán)威機(jī)構(gòu)服務(wù)器(例如�����,圖1中的CA180)��、和/或其他網(wǎng)絡(luò)(例如��,圖1中的歸屬網(wǎng)絡(luò)120)傳送和接收數(shù)據(jù)的發(fā)射機(jī)808和/或接收機(jī)810����。根據(jù)一個(gè)或多個(gè)特征,到訪驗(yàn)證服務(wù)器800的處理電路802可被適配成執(zhí)行與以上參照?qǐng)D1-5所描述的到訪驗(yàn)證服務(wù)器(例如����,到訪驗(yàn)證服務(wù)器156)相關(guān)的任何或所有過(guò)程、功能�、步驟和/或例程。如本文中所使用的�,與處理電路802相關(guān)的術(shù)語(yǔ)“適配成”可以是指處理電路802以被配置、采用�����、實(shí)現(xiàn)、或編程中的一者或多者的方式執(zhí)行根據(jù)本文中所描述的各種特征的特定過(guò)程��、功能���、步驟和/或例程�。圖9是圖解在到訪驗(yàn)證服務(wù)器(諸如到訪驗(yàn)證服務(wù)器800)中操作的用于促成在接入終端在到訪網(wǎng)絡(luò)內(nèi)漫游時(shí)對(duì)接入終端進(jìn)行設(shè)備認(rèn)證的方法的示例的流程圖�����。在步驟902處��,到訪驗(yàn)證服務(wù)器800可從接入終端接收設(shè)備認(rèn)證消息�。設(shè)備認(rèn)證消息可包括接入終端ID、以及接入終端認(rèn)證數(shù)據(jù)����,諸如,由與該接入終端ID相關(guān)聯(lián)的驗(yàn)證密鑰(例如��,私鑰�、共享機(jī)密密鑰)所作的數(shù)字簽名和/或接入終端認(rèn)證令牌���。例如�,處理電路802可經(jīng)由通信接口806接收該設(shè)備認(rèn)證消息。在步驟904處��,到訪驗(yàn)證服務(wù)器800可基于該設(shè)備認(rèn)證消息來(lái)認(rèn)證該接入終端����。例如,在接入終端認(rèn)證數(shù)據(jù)包括由驗(yàn)證密鑰所作的數(shù)字簽名的一些實(shí)現(xiàn)中���,處理電路802的接入終端認(rèn)證模塊812可經(jīng)由通信接口 806轉(zhuǎn)發(fā)設(shè)備認(rèn)證消息至位于歸屬網(wǎng)絡(luò)內(nèi)的歸屬驗(yàn)證服務(wù)器以供該歸屬驗(yàn)證服務(wù)器對(duì)該認(rèn)證消息進(jìn)行驗(yàn)證����。接入終端認(rèn)證模塊812可隨后經(jīng)由通信接口 806從歸屬驗(yàn)證服務(wù)器接收指示接入終端的認(rèn)證是否成功了的認(rèn)證結(jié)果����。在接入終端認(rèn)證數(shù)據(jù)包括由驗(yàn)證密鑰所作的數(shù)字簽名的一個(gè)或多個(gè)其他實(shí)現(xiàn)中,處理電路802的接入終端認(rèn)證模塊812可獲得與接入終端ID相關(guān)聯(lián)的證書(shū)����。根據(jù)各種實(shí)現(xiàn),與接入終端ID相關(guān)聯(lián)的證書(shū)可例如從到訪網(wǎng)絡(luò)(例如��,從到訪驗(yàn)證服務(wù)器800的存儲(chǔ)器電路804)��、從第三方證書(shū)權(quán)威機(jī)構(gòu)�����、從接入終端(例如,包括于設(shè)備認(rèn)證消息中�����、從分開(kāi)的傳輸中獲得)���、或從任何其他受信任的第三方獲得���。在取回證書(shū)之后,接入終端認(rèn)證模塊812可使用所取回的證書(shū)來(lái)驗(yàn)證該數(shù)字簽名���。在接入終端認(rèn)證數(shù)據(jù)包括接入終端認(rèn)證令牌的一個(gè)或多個(gè)實(shí)現(xiàn)中�,處理電路802的接入終端認(rèn)證模塊812可向歸屬驗(yàn)證服務(wù)器發(fā)送對(duì)與該接入終端相關(guān)聯(lián)的第二認(rèn)證令牌的請(qǐng)求����。響應(yīng)于此,接入終端認(rèn)證模塊812可從歸屬驗(yàn)證服務(wù)器接收第二認(rèn)證令牌�,并可將接入終端認(rèn)證令牌與第二認(rèn)證令牌進(jìn)行比較。如果接入終端認(rèn)證令牌與第二認(rèn)證令牌匹配���,則接入終端認(rèn)證模塊812可認(rèn)證接入終端并允許網(wǎng)絡(luò)接入����。在另一方面�,如果接入終端認(rèn)證令牌與第二認(rèn)證令牌不能匹配,則接入終端認(rèn)證模塊812可拒絕該接入終端的網(wǎng)絡(luò)接入�。在步驟906處,到訪驗(yàn)證服務(wù)器800可基于認(rèn)證向接入終端傳送準(zhǔn)予或拒絕接入終端接入到訪網(wǎng)絡(luò)的通知�����。例如,處理電路802的接入終端認(rèn)證模塊812可經(jīng)由通信接口806向接入終端傳送指示基于認(rèn)證接入是被拒絕了還是準(zhǔn)予了的通知�。在步驟908處,到訪驗(yàn)證服務(wù)器800還可從接入終端接收訂戶(hù)認(rèn)證消息���。例如�,處理電路802的訂戶(hù)認(rèn)證模塊814可經(jīng)由通信接口 806接收訂戶(hù)認(rèn)證消息�,該訂戶(hù)認(rèn)證消息包括與訂戶(hù)相關(guān)聯(lián)的信息,諸如���,使用存儲(chǔ)于訂戶(hù)身份模塊(例如���,SM、USM��、CSM、RUM)中的訂戶(hù)數(shù)據(jù)生成的信息����。訂戶(hù)認(rèn)證可根據(jù)常規(guī)訂戶(hù)認(rèn)證規(guī)程來(lái)實(shí)行,如本領(lǐng)域通常所知的�,因此在本文中不再詳細(xì)描述。根據(jù)各種實(shí)現(xiàn)����,訂戶(hù)認(rèn)證過(guò)程可在步驟902到906的設(shè)備認(rèn)證過(guò)程之前、與之并行或隨后實(shí)行���。在一些實(shí)現(xiàn)中�,訂戶(hù)認(rèn)證消息可以是與設(shè)備認(rèn)證消息分開(kāi)的消息��。在其他實(shí)現(xiàn)中�,訂戶(hù)認(rèn)證消息和設(shè)備認(rèn)證消息可被整合到適配成用于認(rèn)證接入終端和訂戶(hù)兩者的單個(gè)消息中。示例性歸屬驗(yàn)證服務(wù)器圖10圖解歸屬驗(yàn)證服務(wù)器1000的至少一個(gè)實(shí)施例的功能框圖�����。歸屬驗(yàn)證服務(wù)器1000通??砂ㄌ幚黼娐?002、存儲(chǔ)器電路1004和通信接口 1006�。處理電路1002被安排成獲得�����、處理和/或發(fā)送數(shù)據(jù),控制數(shù)據(jù)訪問(wèn)和存儲(chǔ)�����,發(fā)布命令�����,以及控制其他期望操作��。處理電路1002可被耦合至存儲(chǔ)器電路1004以使得處理電路1002能從存儲(chǔ)器電路1004讀取信息和向存儲(chǔ)器電路1004寫(xiě)入信息�����。在替換方案中���,存儲(chǔ)器電路1004可被整合到處理電路1002���。根據(jù)至少一個(gè)實(shí)施例,處理電路1002可包括適配成在歸屬驗(yàn)證服務(wù)器1000上執(zhí)行用于根據(jù)本文中所描述的一個(gè)或多個(gè)接入終端認(rèn)證規(guī)程來(lái)認(rèn)證接入終端的各種步驟中的一個(gè)或多個(gè)步驟的接入終端認(rèn)證模塊/電路1012�����。處理電路1002還可包括適配成根據(jù)常規(guī)訂戶(hù)認(rèn)證實(shí)踐來(lái)執(zhí)行訂戶(hù)認(rèn)證規(guī)程的訂戶(hù)認(rèn)證模塊/電路 1014。通信接口 1006可包括向/從接入終端(例如�����,圖1中的接入終端110)�、證書(shū)權(quán)威機(jī)構(gòu)服務(wù)器(例如,圖1中的CA180)���、和/或其他網(wǎng)絡(luò)(例如���,圖1中的到訪網(wǎng)絡(luò)150)傳送和接收數(shù)據(jù)的發(fā)射機(jī)1008和/或接收機(jī)1010。根據(jù)一個(gè)或多個(gè)特征��,歸屬驗(yàn)證服務(wù)器1000的處理電路1002可被適配成執(zhí)行與以上參照?qǐng)D1-5所描述的各歸屬驗(yàn)證服務(wù)器(例如���,歸屬驗(yàn)證服務(wù)器122)相關(guān)的任何或所有過(guò)程���、功能、步驟和/或例程�。如本文中所使用的,與處理電路1002相關(guān)的術(shù)語(yǔ)“適配成”可以是指處理電路1002以被配置、采用�����、實(shí)現(xiàn)�����、或編程中的一者或多者的方式執(zhí)行根據(jù)本文中所描述的各種特征的特定過(guò)程�����、功能�、步驟和/或例程��。圖11是圖解在歸屬驗(yàn)證服務(wù)器(諸如����,歸屬驗(yàn)證服務(wù)器1000)中操作的用于促成在接入終端在到訪網(wǎng)絡(luò)內(nèi)漫游時(shí)對(duì)接入終端進(jìn)行設(shè)備認(rèn)證的方法的示例的流程圖。參照?qǐng)D10和11��,在步驟1102�����,歸屬驗(yàn)證1000服務(wù)器可接收請(qǐng)求與接入終端相關(guān)的設(shè)備認(rèn)證信息的傳輸。所接收到的傳輸可包括與該接入終端相關(guān)聯(lián)的接入終端標(biāo)識(shí)符(ID)以使得歸屬驗(yàn)證服務(wù)器1000能夠獲得和/或生成正確的設(shè)備認(rèn)證信息���。在至少一些實(shí)現(xiàn)中����,處理電路1002 (例如接入終端認(rèn)證模塊1012)可經(jīng)由通信接口 1006接收該傳輸��。根據(jù)至少一些實(shí)現(xiàn)�,該傳輸可包括設(shè)備認(rèn)證消息,后者包括接入終端ID和由與該接入終端ID相關(guān)聯(lián)的驗(yàn)證密鑰所作的數(shù)字簽名����。在此類(lèi)實(shí)現(xiàn)中,設(shè)備認(rèn)證消息可從到訪驗(yàn)證服務(wù)器作為轉(zhuǎn)發(fā)消息接收�,或者該設(shè)備認(rèn)證消息可從接入終端接收。在至少一些其他實(shí)現(xiàn)中��,請(qǐng)求與接入終端相關(guān)的設(shè)備認(rèn)證信息的傳輸可包括來(lái)自到訪驗(yàn)證服務(wù)器的����、對(duì)與該接入終端相關(guān)聯(lián)的認(rèn)證令牌的請(qǐng)求。在步驟1104處����,歸屬驗(yàn)證服務(wù)器生成對(duì)所接收到的傳輸?shù)捻憫?yīng)���,其中該響應(yīng)包括所請(qǐng)求的設(shè)備認(rèn)證信息。例如����,在該傳輸包括設(shè)備認(rèn)證消息的實(shí)現(xiàn)中,處理電路1002的接入終端認(rèn)證模塊1012可驗(yàn)證隨該設(shè)備認(rèn)證消息包括的數(shù)字簽名�,并且可生成指示該數(shù)字簽名的驗(yàn)證是否成功的認(rèn)證結(jié)果消息。在其他實(shí)現(xiàn)中�����,在該傳輸包括對(duì)與接入終端相關(guān)聯(lián)的認(rèn)證令牌的請(qǐng)求的場(chǎng)合�����,接入終端認(rèn)證模塊1012可使用該傳輸中所包括的接入終端ID來(lái)生成所請(qǐng)求的認(rèn)證令牌以生成正確的認(rèn)證令牌��。在步驟1106處��,歸屬驗(yàn)證服務(wù)器向到訪驗(yàn)證服務(wù)器傳送所生成的響應(yīng)�。例如��,在歸屬驗(yàn)證服務(wù)器生成認(rèn)證結(jié)果消息的實(shí)現(xiàn)中����,處理電路1002 (例如��,接入終端認(rèn)證模塊1012)可經(jīng)由通信接口 1006向到訪驗(yàn)證服務(wù)器傳送該認(rèn)證結(jié)果消息以指示對(duì)數(shù)字簽名的驗(yàn)證是否成功�����。在歸屬驗(yàn)證服務(wù)器生成認(rèn)證令牌的那些實(shí)現(xiàn)中���,處理電路1002(例如,接入終端認(rèn)證模塊1012)可經(jīng)由通信接口 1006向到訪驗(yàn)證服務(wù)器發(fā)送與所指定的接入終端ID相關(guān)聯(lián)的認(rèn)證令牌����。根據(jù)至少一些實(shí)現(xiàn),歸屬驗(yàn)證服務(wù)器還可在步驟1108接收訂戶(hù)認(rèn)證消息���,該訂戶(hù)認(rèn)證消息包括與接入終端的用戶(hù)相關(guān)聯(lián)的訂戶(hù)信息�����。例如���,處理電路1002的訂戶(hù)認(rèn)證模塊1014可經(jīng)由通信接口 1006接收訂戶(hù)認(rèn)證消息,該訂戶(hù)認(rèn)證消息包括與用戶(hù)(或訂戶(hù))相關(guān)聯(lián)的信息���,諸如使用存儲(chǔ)于訂戶(hù)身份模塊(例如�����,SM���、USIM, CSIM�����、RUIM)中的訂戶(hù)數(shù)據(jù)生成的信息���。訂戶(hù)認(rèn)證可由訂戶(hù)認(rèn)證模塊1014根據(jù)常規(guī)訂戶(hù)認(rèn)證規(guī)程來(lái)實(shí)行,如本領(lǐng)域通常所知的���,因此在本文中不再詳細(xì)描述。根據(jù)各種實(shí)現(xiàn)���,訂戶(hù)認(rèn)證過(guò)程可在步驟1102到1106的設(shè)備認(rèn)證過(guò)程之前�、與之并行或隨后實(shí)行��。圖1�����、2、3����、4、5�、6、7���、8��、9�����、10和/或11中解說(shuō)的組件����、步驟�、特征和/或功能中的一
個(gè)或多個(gè)可以被重新安排和/或組合成單個(gè)組件、步驟��、特征或功能�����,或可以實(shí)施在數(shù)個(gè)組件、步驟�����、或功能中�。可添加更多的元件��、組件��、步驟���、和/或功能而不會(huì)脫離本公開(kāi)�����。圖1�、
6��、8和/或10中解說(shuō)的裝置���、設(shè)備����、和/或組件可以被配置成執(zhí)行參照?qǐng)D2��、3����、4、5����、7、9和/或11描述的方法���、特征�����、或步驟中的一者或更多者���。本文中描述的新穎算法還可以高效地實(shí)現(xiàn)在軟件中和/或嵌入在硬件中。另外�����,注意到至少一些實(shí)現(xiàn)是作為被描繪為流圖、流程圖��、結(jié)構(gòu)圖�、或框圖的過(guò)程來(lái)描述的。盡管流圖可能會(huì)把諸操作描述為順序過(guò)程���,但是這些操作中有許多能夠并行或并發(fā)地執(zhí)行�����。另外��,這些操作的次序可以被重新安排����。過(guò)程在其操作完成時(shí)終止��。過(guò)程可對(duì)應(yīng)于方法�、函數(shù)、規(guī)程�����、子例程�、子程序等。當(dāng)過(guò)程對(duì)應(yīng)于函數(shù)時(shí)���,它的終止對(duì)應(yīng)于該函數(shù)返回調(diào)用方函數(shù)或主函數(shù)����。此外�����,各實(shí)施例可由硬件��、軟件��、固件�����、中間件�����、微代碼�����、或其任何組合來(lái)實(shí)現(xiàn)。當(dāng)在軟件��、固件�、中間件或微碼中實(shí)現(xiàn)時(shí),執(zhí)行必要任務(wù)的程序代碼或代碼段可被存儲(chǔ)在諸如存儲(chǔ)介質(zhì)或其它存儲(chǔ)之類(lèi)的機(jī)器可讀介質(zhì)中�。處理器可以執(zhí)行這些必要的任務(wù)。代碼段可表示規(guī)程����、函數(shù)、子程序�、程序、例程�����、子例程�、模塊、軟件包���、類(lèi)��,或是指令���、數(shù)據(jù)結(jié)構(gòu)����、或程序語(yǔ)句的任何組合�。通過(guò)傳遞和/或接收信息�����、數(shù)據(jù)�����、自變量��、參數(shù)��、或存儲(chǔ)器內(nèi)容�,一代碼段可被耦合到另一代碼段或硬件電路。信息�����、自變量�����、參數(shù)、數(shù)據(jù)等可以經(jīng)由包括存儲(chǔ)器共享�����、消息傳遞���、令牌傳遞����、網(wǎng)絡(luò)傳輸?shù)热魏魏线m的手段被傳遞�����、轉(zhuǎn)發(fā)����、或傳輸。本文所描述的處理電路(例如���,處理電路602���、802和/或1002)可包括配置成實(shí)現(xiàn)由至少一個(gè)實(shí)施例中的適當(dāng)介質(zhì)提供的期望編程的電路系統(tǒng)��。例如��,處理電路可被實(shí)現(xiàn)為處理器���、控制器、多個(gè)處理器和/或被配置成執(zhí)行包括例如軟件和/或固件指令的可執(zhí)行指令的其他結(jié)構(gòu)���、和/或硬件電路系統(tǒng)中的一者或更多者。處理電路的實(shí)施例可包括被設(shè)計(jì)成執(zhí)行本文中所描述的功能的通用處理器���、數(shù)字信號(hào)處理器(DSP)���、專(zhuān)用集成電路(ASIC)、現(xiàn)場(chǎng)可編程門(mén)陣列(FPGA)或其他可編程邏輯組件���、分立的門(mén)或晶體管邏輯��、分立的硬件組件����、或其任何組合��。通用處理器可以是微處理器,但在替換方案中���,處理器可以是任何常規(guī)的處理器�����、控制器���、微控制器、或狀態(tài)機(jī)�����。處理器還可以實(shí)現(xiàn)為計(jì)算組件的組合��,諸如DSP與微處理器的組合����、數(shù)個(gè)微處理器、與DSP核心協(xié)作的一個(gè)或多個(gè)微處理器�����、或任何其他此類(lèi)配置�。處理電路的這些示例是為了解說(shuō)���,并且本公開(kāi)范圍內(nèi)的其他合適的配置也被構(gòu)想。如上文所描述�,諸如存儲(chǔ)器電路604、804和/或1004之類(lèi)的存儲(chǔ)器電路可表示用于存儲(chǔ)編程和/或數(shù)據(jù)的一個(gè)或多個(gè)設(shè)備���,該編程和/或數(shù)據(jù)諸如是處理器可執(zhí)行代碼或指令(例如�����,軟件�、固件)�、電子數(shù)據(jù)���、數(shù)據(jù)庫(kù)����、或其他數(shù)字化信息����。存儲(chǔ)器電路可以是能被通用或?qū)S锰幚砥髟L問(wèn)的任何可用介質(zhì)。作為示例而非限定�,存儲(chǔ)器電路可包括只讀存儲(chǔ)器(例如����,ROM�、EPROM、EEPR0M)����、隨機(jī)存取存儲(chǔ)器(RAM)、磁盤(pán)存儲(chǔ)介質(zhì)�����、光學(xué)存儲(chǔ)介質(zhì)���、閃存設(shè)備��、和/或其他用于存儲(chǔ)信息的非瞬態(tài)計(jì)算機(jī)可讀介質(zhì)����。術(shù)語(yǔ)“機(jī)器可讀介質(zhì)”���、“計(jì)算機(jī)可讀介質(zhì)”和/或“處理器可讀介質(zhì)”可包括���,但不限于�����,便攜或固定的存儲(chǔ)設(shè)備�、光學(xué)存儲(chǔ)設(shè)備���、以及能夠存儲(chǔ)����、包含或攜帶指令和/或數(shù)據(jù)的各種其他非瞬態(tài)介質(zhì)����。因此,本文中描述的各種方法可部分或全部地由可存儲(chǔ)在“機(jī)器可讀介質(zhì)”���、“計(jì)算機(jī)可讀介質(zhì)”和/或“處理器可讀介質(zhì)”中并由一個(gè)或多個(gè)處理器、機(jī)器和/或設(shè)備執(zhí)行的指令和/或數(shù)據(jù)來(lái)實(shí)現(xiàn)����。結(jié)合本文中公開(kāi)的示例描述的方法或算法可直接在硬件中、在能由處理器執(zhí)行的軟件模塊中�、或在這兩者的組合中,以處理單元�、編程指令�、或其他指示的形式實(shí)施��,并且可包含在單個(gè)設(shè)備中或跨多個(gè)設(shè)備分布��。軟件模塊可駐留在RAM存儲(chǔ)器���、閃存���、ROM存儲(chǔ)器、EPROM存儲(chǔ)器�、EEPROM存儲(chǔ)器、寄存器�、硬盤(pán)、可移動(dòng)盤(pán)����、CD-ROM、或本領(lǐng)域中所知的任何其他形式的非瞬態(tài)存儲(chǔ)介質(zhì)中�。存儲(chǔ)介質(zhì)可耦合到處理器以使得該處理器能從/向該存儲(chǔ)介質(zhì)讀取信息和寫(xiě)入信息。在替換方案中��,存儲(chǔ)介質(zhì)可以被整合到處理器����。本領(lǐng)域技術(shù)人員將可進(jìn)一步領(lǐng)會(huì)��,結(jié)合本文中公開(kāi)的實(shí)施例描述的各種解說(shuō)性邏輯框��、模塊���、電路、和算法步驟可被實(shí)現(xiàn)為電子硬件����、計(jì)算機(jī)軟件、或兩者的組合����。為清楚地解說(shuō)硬件與軟件的這一可互換性,以上已經(jīng)以其功能性的形式一般化地描述了各種解說(shuō)性組件�、框、模塊�、電路、和步驟����。此類(lèi)功能性是被實(shí)現(xiàn)為硬件還是軟件取決于具體應(yīng)用和加諸于整體系統(tǒng)的設(shè)計(jì)約束�����。本文中所描述的本公開(kāi)的各種方面可實(shí)現(xiàn)于不同系統(tǒng)中而不會(huì)脫離本公開(kāi)。應(yīng)注意�,以上實(shí)施例僅是示例,且并不應(yīng)被解釋成限定本公開(kāi)����。這些實(shí)施例的描述旨在解說(shuō),而并非旨在限定本公開(kāi)的范圍��。由此����,本發(fā)明的教導(dǎo)可以現(xiàn)成地應(yīng)用于其他類(lèi)型的裝置,并且許多替換�、修改、和變形對(duì)于本領(lǐng)域技術(shù)人員將是顯而易見(jiàn)的�����。
權(quán)利要求
1.一種在接入終端上操作的�、用于促成在所述接入終端在到訪網(wǎng)絡(luò)內(nèi)漫游時(shí)對(duì)所述接入終端的設(shè)備認(rèn)證的方法,包括: 獲得與所述接入終端的接入終端標(biāo)識(shí)符相關(guān)聯(lián)的驗(yàn)證密鑰����; 生成包括所述接入終端標(biāo)識(shí)符和至少部分地使用所述驗(yàn)證密鑰來(lái)生成的認(rèn)證數(shù)據(jù)的設(shè)備認(rèn)證消息�����; 傳送所述設(shè)備認(rèn)證消息以認(rèn)證所述接入終端是被授權(quán)接入所述到訪網(wǎng)絡(luò)的接入終端�;以及 接收基于對(duì)所述設(shè)備認(rèn)證消息的驗(yàn)證來(lái)準(zhǔn)予或拒絕所述接入終端接入所述到訪網(wǎng)絡(luò)的通知��。
2.如權(quán)利要求1所述的方法�����,其特征在于��,接收所述驗(yàn)證密鑰包括: 接收作為私鑰/公鑰對(duì)或作為共享機(jī)密密鑰的所述驗(yàn)證密鑰���。
3.如權(quán)利要求1所述的方法�����,其特征在于�,生成包括所述接入終端標(biāo)識(shí)符和至少部分地使用所述驗(yàn)證密鑰來(lái)生成的所述認(rèn)證數(shù)據(jù)的所述設(shè)備認(rèn)證消息包括: 生成包括所述接入終端標(biāo)識(shí)符和由所述驗(yàn)證密鑰所作的數(shù)字簽名的所述設(shè)備認(rèn)證消肩�����、O
4.如權(quán)利要求3所述的方法����,其特征在于,傳送所述設(shè)備認(rèn)證消息包括: 向到訪驗(yàn)證服務(wù)器傳送所述設(shè)備認(rèn)證消息��。
5.如權(quán)利要求4所述的方法���,其特征在于����,所述設(shè)備認(rèn)證消息進(jìn)一步包括:使得所述到訪驗(yàn)證服務(wù)器能夠向歸屬驗(yàn)證服務(wù)器轉(zhuǎn)發(fā)所述設(shè)備認(rèn)證消息的信息�����。
6.如權(quán)利要求3所述的方法�,其特征在于,傳送所述設(shè)備認(rèn)證消息包括: 向歸屬驗(yàn)證服務(wù)器傳送所述設(shè)備認(rèn)證消息�����。
7.如權(quán)利要求1所述的方法����,其特征在于,生成包括所述接入終端標(biāo)識(shí)符和至少部分地使用所述驗(yàn)證密鑰來(lái)生成的所述認(rèn)證數(shù)據(jù)的所述設(shè)備認(rèn)證消息包括: 生成包括所述接入終端標(biāo)識(shí)符和接入終端認(rèn)證令牌的所述設(shè)備認(rèn)證消息�。
8.如權(quán)利要求1所述的方法�,其特征在于����,進(jìn)一步包括: 在生成所述設(shè)備認(rèn)證消息或傳送所述設(shè)備認(rèn)證消息之前接收對(duì)所述設(shè)備認(rèn)證消息的請(qǐng)求。
9.如權(quán)利要求1所述的方法����,其特征在于,進(jìn)一步包括: 生成包括與訂戶(hù)相關(guān)聯(lián)的信息的訂戶(hù)認(rèn)證消息����;以及 傳送所述訂戶(hù)認(rèn)證消息以供驗(yàn)證所述訂戶(hù)是被授權(quán)網(wǎng)絡(luò)接入的。
10.一種接入終端�����,包括: 無(wú)線通信接口�����,能操作以與到訪網(wǎng)絡(luò)通信���;以及 處理電路�����,耦合至所述無(wú)線通信接口并適配成: 獲得與所述接入終端的接入終端標(biāo)識(shí)符相關(guān)聯(lián)的驗(yàn)證密鑰���; 生成設(shè)備認(rèn)證消息�����,所述設(shè)備認(rèn)證消息包括所述接入終端標(biāo)識(shí)符和至少部分地使用所述驗(yàn)證密鑰來(lái)生成的認(rèn)證數(shù)據(jù); 經(jīng)由所述無(wú)線通信接口傳送所述設(shè)備認(rèn)證消息���,其中����,所述設(shè)備認(rèn)證消息適配成認(rèn)證所述接入終端是被授權(quán)接入所述到訪網(wǎng)絡(luò)的接入終端�;以及 經(jīng)由所述無(wú)線通信接口接收基于對(duì)所述設(shè)備認(rèn)證消息的驗(yàn)證來(lái)準(zhǔn)予或拒絕所述接入終端接入所述到訪網(wǎng)絡(luò)的通知。
11.如權(quán)利要求10所述的接入終端�,其特征在于,所述驗(yàn)證密鑰包括私鑰/公鑰對(duì)或共享機(jī)密密鑰之一�。
12.如權(quán)利要求10所述的接入終端,其特征在于����,所述認(rèn)證數(shù)據(jù)包括由所述驗(yàn)證密鑰所作的數(shù)字簽名。
13.如權(quán)利要求12所述的接入終端�����,其特征在于,處理電路適配成向到訪驗(yàn)證服務(wù)器傳送所述設(shè)備認(rèn)證消息�。
14.如權(quán)利要求12所述的接入終端,其特征在于��,所述處理電路適配成向歸屬驗(yàn)證服務(wù)器傳送所述設(shè)備認(rèn)證消息����。
15.如權(quán)利要求10所述的接入終端,其特征在于�����,所述認(rèn)證數(shù)據(jù)包括接入終端認(rèn)證令牌��,并且所述處 理電路適配成向所述到訪驗(yàn)證服務(wù)器傳送所述接入終端標(biāo)識(shí)符和所述設(shè)備認(rèn)證令牌�����。
16.如權(quán)利要求10所述的接入終端����,其特征在于,所述處理電路進(jìn)一步適配成: 生成包括與訂戶(hù)相關(guān)聯(lián)的信息的訂戶(hù)認(rèn)證消息;以及 傳送所述訂戶(hù)認(rèn)證消息以供驗(yàn)證所述訂戶(hù)是被授權(quán)網(wǎng)絡(luò)接入的����。
17.一種接入終端,包括: 用于獲得與所述接入終端的接入終端標(biāo)識(shí)符相關(guān)聯(lián)的驗(yàn)證密鑰的裝置����; 用于生成包括所述接入終端標(biāo)識(shí)符和至少部分地使用所述驗(yàn)證密鑰來(lái)生成的認(rèn)證數(shù)據(jù)的設(shè)備認(rèn)證消息的裝置; 用于傳送所述設(shè)備認(rèn)證消息以認(rèn)證所述接入終端是被授權(quán)接入到訪網(wǎng)絡(luò)的接入終端的裝置���;以及 用于接收基于對(duì)所述設(shè)備認(rèn)證消息的驗(yàn)證來(lái)準(zhǔn)予或拒絕所述接入終端接入所述到訪網(wǎng)絡(luò)的通知的裝置。
18.如權(quán)利要求17所述的接入終端��,其特征在于��,所述認(rèn)證數(shù)據(jù)包括由所述驗(yàn)證密鑰所作的數(shù)字簽名或至少部分地使用所述驗(yàn)證密鑰來(lái)生成的接入終端認(rèn)證令牌中的至少一者�。
19.如權(quán)利要求17所述的接入終端,其特征在于�����,進(jìn)一步包括: 用于生成包括與訂戶(hù)相關(guān)聯(lián)的信息的訂戶(hù)認(rèn)證消息的裝置�;以及 用于傳送所述訂戶(hù)認(rèn)證消息以供驗(yàn)證所述訂戶(hù)是被授權(quán)網(wǎng)絡(luò)接入的裝置。
20.一種具有能在接入終端上操作的一條或多條指令的處理器可讀介質(zhì)��,所述指令在由處理器執(zhí)行時(shí)使所述處理器: 接收與所述接入終端的接入終端標(biāo)識(shí)符相關(guān)聯(lián)的驗(yàn)證密鑰; 生成設(shè)備認(rèn)證消息�����,所述設(shè)備認(rèn)證消息包括所述接入終端標(biāo)識(shí)符和至少部分地使用所述驗(yàn)證密鑰生成的認(rèn)證數(shù)據(jù)���; 傳送適配成認(rèn)證所述接入終端是被授權(quán)接入到訪網(wǎng)絡(luò)的接入終端的所述設(shè)備認(rèn)證消息�����;以及 接收基于對(duì)所述設(shè)備認(rèn)證消息的驗(yàn)證來(lái)準(zhǔn)予或拒絕所述接入終端接入所述到訪網(wǎng)絡(luò)的通知�。
21.如權(quán)利要求20所述的處理器可讀介質(zhì)����,其特征在于,所述認(rèn)證數(shù)據(jù)包括由所述驗(yàn)證密鑰所作的數(shù)字簽名或至少部分地使用所述驗(yàn)證密鑰來(lái)生成的接入終端認(rèn)證令牌中的至少一者�����。
22.如權(quán)利要求20所述的處理器可讀介質(zhì)�����,進(jìn)一步包括能在接入終端上操作的����、在由處理器執(zhí)行時(shí)使所述處理器執(zhí)行以下動(dòng)作的指令: 生成包括與訂戶(hù)相關(guān)聯(lián)的信息的訂戶(hù)認(rèn)證消息�;以及 傳送所述訂戶(hù)認(rèn)證消息以供驗(yàn)證所述訂戶(hù)是被授權(quán)網(wǎng)絡(luò)接入的�。
23.一種能在到訪驗(yàn)證服務(wù)器處操作的、用于促成對(duì)在到訪網(wǎng)絡(luò)內(nèi)漫游的接入終端的設(shè)備認(rèn)證的方法��,包括: 從接入終端接收設(shè)備認(rèn)證消息���,所述設(shè)備認(rèn)證消息包括接入終端標(biāo)識(shí)符和接入終端認(rèn)證數(shù)據(jù)�; 基于接收到的所述設(shè)備認(rèn)證消息來(lái)認(rèn)證所述接入終端�;以及 向所述接入終端傳送準(zhǔn)予或拒絕所述接入終端接入所述到訪網(wǎng)絡(luò)的通知。
24.如權(quán)利要求23所述的方法�,其特征在于,接收包括所述接入終端標(biāo)識(shí)符和所述接入終端認(rèn)證數(shù)據(jù)的所述設(shè)備認(rèn)證消息包括: 接收包括所述接入終端標(biāo)識(shí)符和由與所述接入終端的所述接入終端標(biāo)識(shí)符相關(guān)聯(lián)的驗(yàn)證密鑰所作的數(shù)字簽名的所述設(shè)備認(rèn)證消息����。
25.如權(quán)利要求24所述的方法�����,其特征在于�,基于接收到的所述設(shè)備認(rèn)證消息來(lái)認(rèn)證所述接入終端包括: 向位于歸屬網(wǎng)絡(luò)內(nèi) 的歸屬驗(yàn)證服務(wù)器轉(zhuǎn)發(fā)所述設(shè)備認(rèn)證消息以供由所述歸屬驗(yàn)證服務(wù)器對(duì)所述認(rèn)證消息進(jìn)行驗(yàn)證;以及 從所述歸屬驗(yàn)證服務(wù)器接收指示所述接入終端的認(rèn)證是否成功了的認(rèn)證結(jié)果��。
26.如權(quán)利要求24所述的方法,其特征在于���,基于接收到的所述設(shè)備認(rèn)證消息來(lái)認(rèn)證所述接入終端包括: 獲得與所述接入終端標(biāo)識(shí)符相關(guān)聯(lián)的證書(shū)�����;以及 使用所取回的證書(shū)來(lái)驗(yàn)證隨所述設(shè)備認(rèn)證消息包括的所述數(shù)字簽名�����。
27.如權(quán)利要求23所述的方法���,其特征在于,所述接入終端認(rèn)證數(shù)據(jù)包括接入終端認(rèn)證令牌���,并且基于所述設(shè)備認(rèn)證消息來(lái)認(rèn)證所述接入終端包括: 向歸屬驗(yàn)證服務(wù)器傳送對(duì)與所述接入終端相關(guān)聯(lián)的第二認(rèn)證令牌的請(qǐng)求�����; 從所述歸屬驗(yàn)證服務(wù)器接收所述第二認(rèn)證令牌�����; 將所述接入終端認(rèn)證令牌與所述第二認(rèn)證令牌進(jìn)行比較��; 如果所述接入終端認(rèn)證令牌與所述第二認(rèn)證令牌匹配�,則認(rèn)證所述接入終端并允許所述到訪網(wǎng)絡(luò)內(nèi)的網(wǎng)絡(luò)接入;以及 如果所述接入終端認(rèn)證令牌與所述第二認(rèn)證令牌不能匹配��,則拒絕所述接入終端的網(wǎng)絡(luò)接入���。
28.如權(quán)利要求23所述的方法�����,其特征在于�,進(jìn)一步包括: 向所述接入終端傳送要求傳送所述認(rèn)證消息的請(qǐng)求����,其中所述請(qǐng)求是在從所述接入終端接收到所述認(rèn)證消息之前發(fā)送的。
29.如權(quán)利要求28所述的方法�,其特征在于,所述請(qǐng)求是在繼從所述接入終端發(fā)起訂戶(hù)認(rèn)證的一時(shí)段之后未能從所述接入終端接收所述認(rèn)證消息之際傳送的����。
30.如權(quán)利要求23所述的方法��,其特征在于��,進(jìn)一步包括: 從所述接入終端接收訂戶(hù)認(rèn)證消息,所述訂戶(hù)認(rèn)證消息包括與訂戶(hù)相關(guān)聯(lián)的信息�����。
31.一種到訪驗(yàn)證服務(wù)器�,包括: 通信接口,適配成促成與接入終端的通信�����; 處理電路�����,耦合至所述無(wú)線通信接口��,所述處理電路適配成: 經(jīng)由所述通信接口從所述接入終端接收設(shè)備認(rèn)證消息���,所述設(shè)備認(rèn)證消息包括接入終端標(biāo)識(shí)符和接入終端認(rèn)證數(shù)據(jù)�; 基于接收到的所述設(shè)備認(rèn)證消息來(lái)認(rèn)證所述接入終端�;以及 經(jīng)由所述通信接口向所述接入終端傳送準(zhǔn)予或拒絕所述接入終端接入到訪網(wǎng)絡(luò)的通知。
32.如權(quán)利要求31所述的到訪驗(yàn)證服務(wù)器���,其特征在于�,所述接入終端認(rèn)證數(shù)據(jù)包括由與所述接入終端的所述接入終端標(biāo)識(shí)符相關(guān)聯(lián)的驗(yàn)證密鑰所作的數(shù)字簽名。
33.如權(quán)利要求32所述的到訪驗(yàn)證服務(wù)器��,其特征在于�,所述處理電路適配成認(rèn)證所述接入終端包括:所述處理電路適配成: 向位于歸屬網(wǎng)絡(luò)內(nèi)的歸屬驗(yàn)證服務(wù)器轉(zhuǎn)發(fā)所述設(shè)備認(rèn)證消息以供由所述歸屬驗(yàn)證服務(wù)器對(duì)所述認(rèn)證消息進(jìn)行驗(yàn)證;以及 從所述歸屬驗(yàn)證服務(wù)器接收指示所述接入終`端的認(rèn)證是否成功了的認(rèn)證結(jié)果�����。
34.如權(quán)利要求32所述的到訪驗(yàn)證服務(wù)器��,其特征在于���,所述處理電路適配成認(rèn)證所述接入終端包括:所述處理電路適配成: 獲得與所述接入終端標(biāo)識(shí)符相關(guān)聯(lián)的證書(shū)��;以及 使用所取回的證書(shū)來(lái)驗(yàn)證隨所述設(shè)備認(rèn)證消息包括的所述數(shù)字簽名�。
35.如權(quán)利要求31所述的到訪驗(yàn)證服務(wù)器�����,其特征在于���,所述接入終端認(rèn)證數(shù)據(jù)包括接入終端認(rèn)證令牌,并且所述處理電路適配成認(rèn)證所述接入終端包括:所述處理電路適配成: 向歸屬驗(yàn)證服務(wù)器傳送對(duì)與所述接入終端相關(guān)聯(lián)的第二認(rèn)證令牌的請(qǐng)求���; 從所述歸屬驗(yàn)證服務(wù)器接收所述第二認(rèn)證令牌��; 將所述接入終端認(rèn)證令牌與所述第二認(rèn)證令牌進(jìn)行比較����; 如果所述接入終端認(rèn)證令牌與所述第二認(rèn)證令牌匹配,則認(rèn)證所述接入終端并允許所述到訪網(wǎng)絡(luò)內(nèi)的網(wǎng)絡(luò)接入�;以及 如果所述接入終端認(rèn)證令牌與所述第二認(rèn)證令牌不能匹配,則拒絕所述接入終端的網(wǎng)絡(luò)接入���。
36.如權(quán)利要求31所述的到訪驗(yàn)證服務(wù)器�����,其特征在于��,所述處理電路進(jìn)一步適配成: 從所述接入終端接收訂戶(hù)認(rèn)證消息�����,所述訂戶(hù)認(rèn)證消息包括與訂戶(hù)相關(guān)聯(lián)的信息�。
37.一種到訪驗(yàn)證服務(wù)器���,包括: 用于從接入終端接收設(shè)備認(rèn)證消息的裝置�,所述設(shè)備認(rèn)證消息包括接入終端標(biāo)識(shí)符和接入終端認(rèn)證數(shù)據(jù); 用于基于接收到的所述設(shè)備認(rèn)證消息來(lái)認(rèn)證所述接入終端的裝置�����;以及 用于向所述接入終端傳送準(zhǔn)予或拒絕所述接入終端接入到訪網(wǎng)絡(luò)的通知的裝置���。
38.如權(quán)利要求37所述的到訪驗(yàn)證服務(wù)器����,其特征在于��,所述接入終端認(rèn)證數(shù)據(jù)包括由與所述接入終端標(biāo)識(shí)符相關(guān)聯(lián)的驗(yàn)證密鑰所作的數(shù)字簽名�、或者接入終端認(rèn)證令牌中的至少一者。
39.如權(quán)利要求37所述的到訪驗(yàn)證服務(wù)器�,其特征在于,進(jìn)一步包括: 用于從所述接入終端接收訂戶(hù)認(rèn)證消息的裝置���,所述訂戶(hù)認(rèn)證消息包括與訂戶(hù)相關(guān)聯(lián)的信息����。
40.一種具有能在到訪驗(yàn)證服務(wù)器上操作的一條或多條指令的處理器可讀介質(zhì)����,所述指令在由處理器執(zhí)行時(shí)使所述處理器: 從接入終端接收設(shè)備認(rèn)證消息��,所述設(shè)備認(rèn)證消息包括接入終端標(biāo)識(shí)符和接入終端認(rèn)證數(shù)據(jù); 基于接收到的所述設(shè)備認(rèn)證消息來(lái)認(rèn)證所述接入終端�;以及 向所述接入終端傳送準(zhǔn)予或拒絕所述接入終端接入到訪網(wǎng)絡(luò)的通知。
41.如權(quán)利要求40所述的處理器可讀介質(zhì)�����,其特征在于��,所述接入終端認(rèn)證數(shù)據(jù)包括由與所述接入終端標(biāo)識(shí)符相關(guān)聯(lián)的驗(yàn)證密鑰所作的數(shù)字簽名���、或者接入終端認(rèn)證令牌中的至少一者���。
42.如權(quán)利要求41所述的處理器可讀介質(zhì),其特征在于����,適配成使處理器認(rèn)證所述接入終端的所述一條或多條指令包括:在由處理器執(zhí)行時(shí)使所述處理器執(zhí)行以下動(dòng)作的一條或多條指令: 向位于歸屬網(wǎng)絡(luò)內(nèi)的歸屬驗(yàn)證服務(wù)器轉(zhuǎn)發(fā)包括所述數(shù)字簽名的所述設(shè)備認(rèn)證消息以供由所述歸屬驗(yàn)證服務(wù)器對(duì)所述認(rèn)證消息進(jìn)行驗(yàn)證;以及 從所述歸屬驗(yàn)證服務(wù)器 接收指示所述接入終端的認(rèn)證是否成功了的認(rèn)證結(jié)果���。
43.如權(quán)利要求41所述的處理器可讀介質(zhì)�,其特征在于,適配成使處理器認(rèn)證所述接入終端的所述一條或多條指令包括:在由處理器執(zhí)行時(shí)使所述處理器執(zhí)行以下動(dòng)作的一條或多條指令: 獲得與所述接入終端標(biāo)識(shí)符相關(guān)聯(lián)的證書(shū)��;以及 使用所取回的證書(shū)來(lái)驗(yàn)證隨所述設(shè)備認(rèn)證消息包括的所述數(shù)字簽名����。
44.如權(quán)利要求41所述的處理器可讀介質(zhì),其特征在于�����,適配成使處理器認(rèn)證所述接入終端的所述一條或多條指令包括:在由處理器執(zhí)行時(shí)使所述處理器執(zhí)行以下動(dòng)作的一條或多條指令: 向歸屬驗(yàn)證服務(wù)器傳送對(duì)與所述接入終端相關(guān)聯(lián)的第二認(rèn)證令牌的請(qǐng)求����; 從所述歸屬驗(yàn)證服務(wù)器接收所述第二認(rèn)證令牌; 將所述接入終端認(rèn)證令牌與所述第二認(rèn)證令牌進(jìn)行比較����; 如果所述接入終端認(rèn)證令牌與所述第二認(rèn)證令牌匹配,則認(rèn)證所述接入終端并允許所述到訪網(wǎng)絡(luò)內(nèi)的網(wǎng)絡(luò)接入����;以及 如果所述接入終端認(rèn)證令牌與所述第二認(rèn)證令牌不能匹配,則拒絕所述接入終端的網(wǎng)絡(luò)接入��。
45.如權(quán)利要求40所述的處理器可讀介質(zhì)��,進(jìn)一步包括在由處理器執(zhí)行時(shí)使所述處理器執(zhí)行以下動(dòng)作的一條或多條指令:從所述接入終端接收訂戶(hù)認(rèn)證消息,所述訂戶(hù)認(rèn)證消息包括與訂戶(hù)相關(guān)聯(lián)的信息�。
46.一種能在歸屬驗(yàn)證服務(wù)器處操作的、用于促成對(duì)在到訪網(wǎng)絡(luò)內(nèi)漫游的接入終端的設(shè)備認(rèn)證的方法���,包括: 接收請(qǐng)求與接入終端相關(guān)的設(shè)備認(rèn)證信息的傳輸��,所述傳輸包括與所述接入終端相關(guān)聯(lián)的接入終端標(biāo)識(shí)符; 生成包括所請(qǐng)求的設(shè)備認(rèn)證信息的響應(yīng)�;以及 向到訪驗(yàn)證服務(wù)器傳送所述響應(yīng)。
47.如權(quán)利要求46所述的方法�,其特征在于,接收請(qǐng)求與接入終端相關(guān)的設(shè)備認(rèn)證信息的所述傳輸包括: 接收包括所述接入終端標(biāo)識(shí)符和由與所述接入終端的所述接入終端標(biāo)識(shí)符相關(guān)聯(lián)的驗(yàn)證密鑰所作的數(shù)字簽名的設(shè)備認(rèn)證消息����。
48.如權(quán)利要求47所述的方法,其特征在于���,接收所述設(shè)備認(rèn)證消息包括: 接收從所述到訪驗(yàn)證服務(wù)器轉(zhuǎn)發(fā)的所述設(shè)備認(rèn)證消息��。
49.如權(quán)利要求47所述的方法����,其特征在于��,接收所述設(shè)備認(rèn)證消息包括: 從所述接入終端接收所述設(shè)備認(rèn)證消息。
50.如權(quán)利要求47所述的方法�����,其特征在于�����,生成包括所請(qǐng)求的設(shè)備認(rèn)證信息的所述響應(yīng)包括: 驗(yàn)證隨所述設(shè)備認(rèn)證消息包括的 所述數(shù)字簽名�����;以及 生成指示所述數(shù)字簽名的驗(yàn)證是否成功的認(rèn)證結(jié)果消息���。
51.如權(quán)利要求46所述的方法����,其特征在于�,接收請(qǐng)求與接入終端相關(guān)的設(shè)備認(rèn)證信息的所述傳輸包括: 接收來(lái)自所述到訪驗(yàn)證服務(wù)器的、對(duì)與所述接入終端相關(guān)聯(lián)的認(rèn)證令牌的請(qǐng)求�����。
52.如權(quán)利要求51所述的方法���,其特征在于����,生成包括所請(qǐng)求的設(shè)備認(rèn)證信息的所述響應(yīng)包括: 使用所述傳輸中包括的所述接入終端標(biāo)識(shí)符來(lái)生成所述認(rèn)證令牌。
53.如權(quán)利要求46所述的方法�����,其特征在于���,進(jìn)一步包括: 接收包括與所述接入終端的用戶(hù)相關(guān)聯(lián)的訂戶(hù)信息的訂戶(hù)認(rèn)證消息。
54.—種歸屬驗(yàn)證服務(wù)器,包括: 通信接口 ��;以及 處理電路���,與所述通信接口耦合��,所述處理電路適配成: 接收請(qǐng)求與接入終端相關(guān)的設(shè)備認(rèn)證信息的傳輸���,所述傳輸包括與所述接入終端相關(guān)聯(lián)的接入終端標(biāo)識(shí)符; 生成包括所請(qǐng)求的設(shè)備認(rèn)證信息的響應(yīng)�;以及 向到訪驗(yàn)證服務(wù)器傳送所述響應(yīng)。
55.如權(quán)利要求54所述的歸屬驗(yàn)證服務(wù)器����,其特征在于��,請(qǐng)求設(shè)備認(rèn)證信息的所述傳輸包括:包括所述接入終端標(biāo)識(shí)符和由與所述接入終端的所述接入終端標(biāo)識(shí)符相關(guān)聯(lián)的驗(yàn)證密鑰所作的數(shù)字簽名的設(shè)備認(rèn)證消息��。
56.如權(quán)利要求55所述的歸屬驗(yàn)證服務(wù)器�,其特征在于�,所述處理電路適配成生成包括所請(qǐng)求的設(shè)備認(rèn)證信息的響應(yīng)包括:所述處理電路適配成: 驗(yàn)證隨所述設(shè)備認(rèn)證消息包括的所述數(shù)字簽名;以及 生成指示所述數(shù)字簽名的驗(yàn)證是否成功了的認(rèn)證結(jié)果消息�����。
57.如權(quán)利要求54所述的歸屬驗(yàn)證服務(wù)器����,其特征在于,請(qǐng)求設(shè)備認(rèn)證信息的所述傳輸包括來(lái)自所述到訪驗(yàn)證服務(wù)器的�����、對(duì)與所述接入終端相關(guān)聯(lián)的認(rèn)證令牌的請(qǐng)求����。
58.如權(quán)利要求57所述的歸屬驗(yàn)證服務(wù)器,其特征在于����,所述處理電路適配成生成包括所請(qǐng)求的設(shè)備認(rèn)證信息的響應(yīng)包括:所述處理電路適配成: 使用所述傳輸中包括的所述接入終端標(biāo)識(shí)符來(lái)生成所述認(rèn)證令牌��。
59.如權(quán)利要求54所述的歸屬驗(yàn)證服務(wù)器����,其特征在于���,所述處理電路進(jìn)一步適配成: 接收包括與所述接入終端的用戶(hù)相關(guān)聯(lián)的訂戶(hù)信息的訂戶(hù)認(rèn)證消息�����。
60.—種歸屬驗(yàn)證服務(wù)器,包括: 用于接收請(qǐng)求與接入終端相關(guān)的設(shè)備認(rèn)證信息的傳輸?shù)难b置�,所述傳輸包括與所述接入終端相關(guān)聯(lián)的接入終端標(biāo)識(shí)符����; 用于生成包括所請(qǐng)求的設(shè)備認(rèn)證信息的響應(yīng)的裝置�����;以及 用于向到訪驗(yàn)證服務(wù)器傳送所述響應(yīng)的裝置�����。
61.一種具有能在歸屬驗(yàn)證服務(wù)器上操作的一條或多條指令的處理器可讀介質(zhì),所述指令在由處理器執(zhí)行時(shí)使所述處理器: 接收請(qǐng)求與接入終端相關(guān)的設(shè)備認(rèn)證信息的傳輸���,所述傳輸包括與所述接入終端相關(guān)聯(lián)的接入終端標(biāo)識(shí)符�; 生成包括所請(qǐng)求的設(shè)備認(rèn)證信息的 響應(yīng)�����;以及 向到訪驗(yàn)證服務(wù)器傳送所述響應(yīng)�。
全文摘要
展現(xiàn)了在接入終端在到訪網(wǎng)絡(luò)內(nèi)漫游的情形中認(rèn)證該接入終端的各種方法。接入終端向到訪驗(yàn)證服務(wù)器或歸屬驗(yàn)證服務(wù)器發(fā)送設(shè)備認(rèn)證消息���,其中���,該設(shè)備認(rèn)證消息包括接入終端標(biāo)識(shí)符和至少部分地使用驗(yàn)證密鑰生成的認(rèn)證數(shù)據(jù)。在一些實(shí)施例中���,該認(rèn)證數(shù)據(jù)可包括由與該接入終端標(biāo)識(shí)符相關(guān)聯(lián)的驗(yàn)證密鑰所作的數(shù)字簽名���。此類(lèi)簽名可由抑或到訪驗(yàn)證服務(wù)器、抑或歸屬驗(yàn)證服務(wù)器來(lái)認(rèn)證����。在其他實(shí)施例中��,該認(rèn)證數(shù)據(jù)可包括向到訪驗(yàn)證服務(wù)器發(fā)送的接入終端認(rèn)證令牌�。到訪驗(yàn)證服務(wù)器可通過(guò)將該接入終端認(rèn)證令牌與從歸屬驗(yàn)證服務(wù)器獲得的接入終端認(rèn)證令牌進(jìn)行比較來(lái)認(rèn)證該設(shè)備認(rèn)證消息����。
文檔編號(hào)H04L29/06GK103155614SQ201180048988
公開(kāi)日2013年6月12日 申請(qǐng)日期2011年10月23日 優(yōu)先權(quán)日2010年10月22日
發(fā)明者Y·毛, Q·李, A·帕拉尼格朗德 申請(qǐng)人:高通股份有限公司