使用模糊的移动装置用户身份访问外地网络的方法和装置的制作方法

专利名称：使用模糊的移动装置用户身份访问外地网络的方法和装置的制作方法
技术领域：
本发明 一般地涉及维护移动网络环境中的隐私保护。
背景技术：
在移动环境中，移动装置用户通常基于他或她所使用的装置而被 识别，从而访问移动运营商的网络。随着用户到处旅行但仍要求具有 移动连接性的要求，移动网络运营商已经安排支持"漫游"，从而使 得即使本地运营商不在特定覆盖区域中提供任何业务，用户也能够访
问其本地运营商的业务。这是通过使用户的移动装置能够访问该装置 已经漫游到的"外地"网络来实现的。
通常，网络运营商通过将诸如装置电话号码(MSISDN)或绑定 至装置/用户的类似标识符的信息标签添加至用户对业务的请求，由 此来识别移动装置用户。因此，当移动装置漫游到外地网络并请求业 务时，该装置通常将其MSISDN或IMSI发送至本地业务运营商， 本地业务运营商随后提供所请求的业务-尽管知道用户的身份(或， 至少知道用户的移动装置身份)。在识别用户的本地网络运营商时， 这样的标识符也被绑定至用户移动装置从而绑定至用户。
一旦连接到外地网络并被验证，用户可以使用他或她的装置来获
7取业务。例如，使用迷你浏览器，用户可以访问网站并获取内容。因 为移动装置请求包括装置标识符，第三方内容提供商理论上可以访问
用户的永久标识符(即，MSISDN或IMSI)。随着对隐私和竟争的 忧虑变得更加普遍，网络运营商不能够再将这些标识符清楚地放在用 户请求中。事实上，欧洲的一些隐私拥护者已经指出在移动业务请求 中包括MSISDN涉及隐私法，并且甚至已经建议从网络层中彻底去 除这样的标识符。这些问题导致许多网络运营商考虑替代方案，例 如，从用户请求中彻底去除标识符。尽管这样的解决方案避免了隐私 纠纷，但其进而导致其他复杂性，这是因为对于外地网络运营商来说 不再能够识别用户或用户的本地运营商。
在移动业务请求中包括装置标识符也使得任何实体能够访问该数 据从而建立移动装置的档案。理论上，该描述可以被映射到移动装置 用户，其可能是不期望的。

发明内容
根据本发明的一个方面，通常伴随移动装置请求的移动装置标识 符(例如MSISDN，或其他类似标识符)被新的"增强型"标识符 代替(或至少被增补)，所述"增强型"标识符暴露移动装置用户的 本地运营商但是模糊移动装置(进而装置用户)的身份。在一个实 施例中，增强型标识符包括第一部分和第二部分。第一部分包括(直 接或通过数据库查询)识别移动装置用户的本地运营商的数据串。第 二部分是不透明数据串，例如一次性使用的唯一标识符(UID)或作 为MSISDN (或类似物)的函数而另行获得的值。与任何特定网络 可以利用其确定运营商的本地网络的身份的第一部分不同，不透明数 据串以优选地仅通过用户的本地运营商(或由其授权的实体)才能够 恢复的方式编码移动装置的身份。第二部分可以被添加到第一部分， 或反之亦然。优选地，第二部分被周期性(例如每隔几天)地改变以 增加安全性。
在一个实施例中，唯一标识符由用户的本地网络提供商(HNP)设置并被下载到移动装置中，优选基于周期地设置和下 载。最初，HNP可以将该值设置为当移动装置注册到HNP网络时
(装置和HNP之间)的协商的一部分。HNP甚至可以在用户正在漫 游时设置该值，例如，使用下载到移动装置并使用安全信道与HNP 进行通信的应用程序。
在另一实施例中，移动装置本身产生增强型标识符。该可选方案 在装置正在漫游并离开HNP网络一段延长的时间段的情况下是足够 的。
在一种应用情况中，当移动装置用户漫游至外地网络并且该装置 发起对业务的初始请求时，外地网络接收增强型标识符，优选地代替 诸如MSISDN或类似物的标识符。外地网络使用第一部分来识别移 动装置用户的本地网络，例如，确定是否允许所请求的访问(或提供 其他一些增值业务)。然而外地网络不能解码第二部分，因此，移动
装置的身份(以及移动装置用户的身份)保持为模糊。然而外地网络 仍然能够为用户提供业务，例如，基于从HNP发送回外地网络提供 商(FNP )的一个或多个许可(以及特别是基于模糊值到已知 MSISDN或类似物的HNP的内部映射)。这就保:证用户的隐私;故维 护，而防止第三方基于包括MSISDN或类似物的请求来建立装置的 档案。
上面描述了本发明的多个相关特征中的一些。这些特征应被理解 为仅是示例性的。许多其他有利的结果可以通过以不同方式应用于本 公开的发明或通过如权利要求所主张的修改本发明来实现。


下面将仅通过示例的方式参考附图来描述本发明的实施例，附图
中
图l是可以实现本发明的无线局域网环境； 图2是可以对应于移动装置用户的本地网络或移动装置可以漫游 到的外地网络的代表性广域无线网络；图3是代表性移动装置的框图4是本发明的优选实施例的增强型标识符的第一结构； 图5示出了增强型标识符的第二结构；
图6是示出了如何在移动装置处产生并使用增强型标识符的方法 流程图7是示出了业务提供商如何使用增强型标识符的方法流程以及
图8是在本发明的优选实施例中^f吏用的凌t据处理系统-
具体实施例方式
图1示出了可以实现本发明的无线网络环境。在该示例中，具有 示出的两个无线网络，即无线网络100和无线网络102。每个无线网 络是支持使用已知技术和协议的无线通信的通信网络。与移动装置用 户相关联的移动装置104在两个网络中都可使用。"移动装置"是任 何无线客户装置，例如，蜂窝电话、寻呼机、个人数字助理、具有智 能电话客户端的移动计算机等等。对 于广域无线通信，典型的能够移 动的装置支持能够以无线方式发送数据到连接网络以及从连接网络接 收数据的无线访问协议。通常，能够移动的装置使用图形显示器并能 够在所谓的迷你或微型浏览器上访问因特网(或其他通信网络)，迷 你或微型浏览器是这样的网络浏览器，其具有能够满足手持装置的减 少的存储器约束和无线网络的低带宽约束的小文件尺寸。典型的移动 装置是在GPRS (通用分组无线业务，其是用于GSM网络的数据技 术)上运行的蜂窝电话。除了传统的语音通信，特定的移动装置可以 通过多种不同类型的消息传递技术与其他的这样装置进行通信，所述 消息传递技术包括SMS (短消息业务)、强化型SMS (EMS)、多 媒体消息(MMS)、电子邮件WAP、寻呼、或其他已知无线数据格 式。
出于解释目的，假设无线网络100和102由不同的网络运营商 (有时被称作业务提供商)维护和操作。网络运营商是将业务发送给一个或多个移动装置用户的实体，其中所述一个或多个移动装置用户 使用无线装置访问运营商的网络。这些业务可以包括基本无线业务、
以及其他增值业务。在图1中，假设移动装置用户是无线网络100的 用户，因此对于移动装置用户，网络100在此处有时被称作"本地网 络"。本地网络提供商在此处有时被称作HNP。"本地网络"是移 动装置用户与其具有特定关系的网络，通常，是以业务费为代价来获 取一个或多个无线业务的合同。本地网络如权利要求所主张的，提供 使移动装置用户能够访问和使用无线业务所需的一个或多个功能(例
如验证、授权、记账等)。因此，例如，如果移动装置用户签订了 Nextel作为业务提供商，贝'j Nextel的无线网络被认为是用户的"本 地网络"。移动装置用户漫游到的任何其他(第三方)网络(例如网 络102)则被认为是"外地网络"。外地网络提供商有时被称作 FNP。当然，各种无线网络的范围在如图1所示的覆盖范围中可以重 叠。应该理解名称"本地"和"外地"仅是用于解释并且不旨在限制 本发明的范围。
图2更具体地示出了示例性的无线网络。该网络可以对应于图1 中的本地网络100或对应于外地网络102。如下面所要讨论的，本发 明不限于在该种类型的广域无线网络中使用，但是这是典型的操作环 境。在该示例中，无线网络(例如2.5G网络)包括一个或多个部 件，例如移动交换中心200 (MSC)(负责移动用户的呼叫处理的增 强型ISDN交换机)、访问者位置寄存器202 (VLR)(对处理由使 用VLR寄存的移动装置建立或接收的呼叫所需的数据进行临时性存 储的智能数据库)、本地位置寄存器204 (HLR)(负责管理每个用 户的记录的智能数据库)、 一个或多个基站206 (每个一个BS) (其以小区提供无线覆盖)、基站控制器208 (BSC)(作为流量的 本地集中器并提供本地交换以实现基站之间的切换的交换机)、以及 分组控制单元210 (PCU)(将来自移动装置的数据流分开的装 置)。HLR 204还控制与呼入电话有关的特定业务。移动装置是用 户使用的物理设备。在典型的使用情况中，移动装置连接到基站(BS)。多个基站连接到基站控制器(BSC) 。 HLR 204通常管理 验证并控制与呼入呼叫相关联的其他特定业务。语音流量从BSC发 送至移动装置。PCU分隔来自移动装置的数据流量。数据流(与语 音相对)由运营商的无线数据网络管理。因此，例如，通常数据流进 入服务GPRS支持节点(SGSN) 212。这种类型的载波网络通常具 有多个SGSN。 SGSN通过查询HLR来验证移动用户。SGSN 212还 管理数据流，并且其将数据流经由载波的GPRS网络路由至网关 GPRS支持节点(GGSN) 214。 GGSN 214是将来往于GPRS网络 的通信流路由至公共因特网的边界路由器。当用户移动穿过小区时， 用户变得与不同的SGSN相关。SGNS负责管理用户的移动。
通常，例如图3中所示，移动装置300包括作为携带用户特定信 息的智能卡的用户身份模块302 (SIM)、移动装置304 (例如，无 线和相关的信号处理装置)、人机界面306 (MMI)、以及至外部装 置(例如计算机、PDA等)的一个或多个接口 308。移动装置还包括 处理器310、操作系统312、以及一个或多个软件应用程序314，其 中，在使用过程中，在系统存储器316中支持操作系统312和应用程 序314。如在权利要求中所主张的，本发明优选地以软件方式实现为 软件应用程序314之一。
根据本发明，通常伴随移动装置请求的移动装置标识符(例如 MSISDN、 IMSI等)被"增强型"标识符315取代(或至少增补)
(见图3),"增强型"标识符暴露移动装置用户的本地运营商但是 模糊移动装置(由此模糊装置用户的)的身份。在一个实施例中，如 图4所示，增强型标识符400包括第一部分402和第二部分404。第 一部分402包括(直接或通过数据库查询)识别移动装置用户的本地 运营商的数据串。第二部分是不透明数据串，例如唯一标识符
(UID)。该UID可以是一次性使用的标识符，或更可能的是有限 次使用的标识符，其在某些方面保证是唯一的，这是因为当其他人得 到UID之后其再也不^皮再生。可以通过对MSISDN或其他标识符应 用函数来得到该第二部分。与任何特定网络可以用来确定运营商的本
12地网络的身份的第一部分不同，不透明数据串以优选地仅被用户的本 地运营商(或由其授权的实体)恢复的方式来编码移动装置的身份。
例如图5中示出的第二实施例中所示，第二部分可以附加至第一部 分，或反之亦然。在任何一种情况下，优选地，增强型标识符的不透 明部分被周期地改变以提高安全性。事实上，在使用过程中，增强型 标识符可以在每次启动装置时、周期性地(例如每天或每隔几天)、 或甚至更频繁地被改变。
因此，例如，假设移动装置用户是Nextel用户以及他或她的装 置的MSISDN是1-555-345-1234。如已知的，MSISDN是可以净皮任 何运营商查询的号码，并且在该示例中是被标识为属于Nextel以及 Nextel知道属于该用户的号码。根据本发明，增强型标识符(以图4 中所示的形式)可以是123456—4fac542fb，其中数据串123456是
(直接或通过数据库查询)评估为属于Nextel的值，以及其中仅 Nextel (或与其相关的实体)可以确定"4fac542fb"的归属或相反地 识别为有问题的用户。在特定时间段之后(例如几天之后)，增强用 户可以是123456_5ca3b57c，其中值123456再次容易地被确定与 Nextel相关，而仅Nextel (或被许可的实体)可以再次确定
"5ca3b57c"标识该用户。使用该方法，仅Nextel可以确定来自两 天前的用户"4fac542fb"与今天的"5ca3b57c"相同。当然，提供 这些值仅用于解释，而不旨在限制本发明。
移动装置包括UID管理软件(例如，可在处理器中执行的程序 指令集)，用于管理增强型标识符以及提供与业务请求相关的标识 符。在一个实施例中，管理该标识符包括引导初始UID值至移动装 置，作为使用漫游网络的注册处理的一部分声明该值，以及周期性地 更新该值(以防止建立匿名用户的档案，其可能最终导致用户真实身 份的泄露)。UID管理软件也可以用来调用对HNP的请求以获取不 透明标识符、或新的不透明标识符。如果需要，作为网络访问协商的 一部分，UID管理软件可以确定正在访问哪个网络提供商以及对于 每个不同的供应商使用不同的UID。因此，更普遍地，被模糊的部分可以具有绑定至单个装置的多个实例，其中每一个不同的实例被提 供用于一个且仅被提供用于一个漫游提供商。
作为典型实施例，模糊UID的初始引导可以被添加到SIM卡作 为对SIM卡提供用户信息(包括MSISDN)的一部分。管理软件还 可以负责在第一次将移动装置注册到本地网络时请求所需要的 UID。在该种情况下，UID管理应用程序请求用户的UID，并将其存 储在移动装置中。管理软件也可以存储类似于时间戳的值以表示该 UID值的寿命，并且被用作何时软件应请求新UID值的提示。可选 地，UID管理软件可以被编程为周期性地(例如东部时间每星期一 下午两点)请求新的值。
作为使UID管理周期性地从HNP处的应用程序请求新的UID 值的替换方式，HNP可以周期性地更新用于每个MSISDN的UID 值，并将该值推送至移动装置，在移动装置处，该值被UID管理软 件获得并存储在移动装置中。
图6示出了描述基于移动装置的从相关联的HNP "拉出"UID 的方法流程图。该方法在移动装置中作为应用程序、方法、执行线程 或类似物来执行，并在步骤600处以确定是否请求新标识符的测试开 始。如果为否，则方法循环。当步骤600是肯定的，则方法在步骤 602继续进行获取新UID所需的处理。注意，步骤602可以以任何 方式实现，包括在移动装置处自产生新UID、在HNP处从UID管理 应用程序请求新UID、或等待从HNP处的UID管理应用程序接收 UID。
因此，例如，在移动装置产生新UID的一种方法是从移动装置 处的UID管理应用程序获取唯一标识符(例如唯一 ID、 UID,或甚 至绝对唯一ID、 UUID) 。 UUID被保证是唯一的，而UID仅需要在 HNP上是唯一的。另一种产生数据串的方法是加密MSISDN和时间 戳以及一些共享的秘密(或"加密盐"(salt)，在移动装置和HNP 之间共享的值，其目的是引入额外的不确定性至开始值以扩展解空
间，通过该方法来确定地过滤强力攻击)。本领域的技术人员应该理解，假如用户的业务提供商(或那些被授权的)也知道该技术并且可 以根据需要来应用这些技术或反过来应用该技术以从数据串中识别用 户，那么可以使用任何这样的基于移动装置的模糊技术。通常，当 然，与被保持在更易遭受分析和潜在的攻击的装置上相反，与产生
UID相关的计算资源被保持在HNP处更好。
移动装置UID管理软件负责产生模糊的UID (如果使用该方 法)。然而在优选方法中，该UID是由HNP而不是装置产生的，在 该情况下，UID管理软件负责与用户的HNP交互以检索基于HNP 的UID用于在移动装置处存储。在一个这样的实施例中，在步骤 602，移动装置可以为了 UID (或甚至是UUID)在HNP处查询应用 程序。HNP将产生用于用户/移动装置的新UID，以及本地地存储该 值与相关MSISDN的映射。如果移动装置在本地网络中，则这种查 询可以在任意点发生，例如在加电时的装置注册期间，或在该装置确 定其当前存储的UID是"过期的"的任意时间。然而，如果移动装 置不在本地网络上(例如，用户在不同的网络提供商的网络上漫 游)，则移动装置上的这种特定应用程序可以打开至本地网络上的应 用程序的安全信道以请求新的UID。当由本地网络产生这个后者值 时，该后者值被返回到移动装置，在移动装置处其被存储并用作注册 到外地网络的处理的一部分。
在另一实施例中，HNP上的UID管理应用程序确定特定 MSISDN所需的新UID值，产生新UID，本地存储该新UID (从而 当其由漫游网络给出时，本地MSISDN能够被恢复)，并将其发送 到移动装置，在所述移动装置处其由移动装置UID管理应用程序存 储。
基于HNP的UID产生方法的一个优点在于，HNP为了一致性 的目的而能够维持所有的UID/MSISDN映射值。因此，如果需要， HNP能够返回并证明其产生了用于MSISDN的UID并且该值例如对 于特定的持续时间是"有效的，，。这在存在值的临时冲突的情况下是 相当有用的，例如512-555-1234的移动装置产生了用于用户的
154fac542fb，随后在三周之后，移动装置212-555-4321产生了相同值 (并使用该移动装置从事不法行为)。如果HNP负责产生UID，其 能够a)保证在任何一次，没有两个值被其任意用户重新使用，以及 b)保证可以基于其检查日志解决任何交叉提供商的冲突。
返回到图6，当移动装置试图注册到漫游网络时，在步骤604， 处理继续，作为注册处理的一部分，将在步骤602所产生的数据串附 加或追加前置(在可能的情况下)于识别或可用来识别用户的本地网 络业务提供商的数据串。典型地，后者数据串不随时间改变，并且可 以被任何运营商使用以确定移动装置的本地运营商是特定的业务提供 商(例如Nextd)。如果希望，增强型标识符的业务提供商部分也可 以周期性地改变。增强型标识符在步骤606被存储。
在步骤608，当移动装置试图注册到外地或漫游网络时，作为注 册处理的一部分，该装置将使用该增强型标识符而不是用户的 MSISDN。
因此，当移动装置用户漫游到外地网络以及该装置参与至外地 (漫游)网络的注册处理时，外地网络接收该增强型标识符，例如图 7的方法流程图中的步骤700所示的。优选地，增强型标识符已经与 业务请求一起被传递用于代替诸如MSISDN或类似物的标识符。在 步骤702，外地网络使用标识符的第一部分(即，与本地网络业务提 供商相关的部分)以识别移动装置用户的本地网络或网络提供商。
作为注册处理的 一部分，外部网络将使用该增强型标识符来询问 装置的本地网络关于该装置可用的业务类型(例如，漫游、消息传递 等)。HNP (基于其内部的模糊值至已知MISIDN的映射)发送回 一个或多个许可。基于一个或多个许可，FNP提供一个或多个上述 业务至漫游装置。
具体地，在步骤704，外地网络基于本地网络提供商的身份声明 的特权集合来允许所请求的访问(或提供一些其他的增值业务)。步 骤704可以涉及本地确定，或者外地网络提供商可以使用外部装置、 服务器、代理服务器、实体或业务以进行该确定。然而，如上所述，外地网络不能解码增强型标识符的不透明部分，因此，移动装置的身 份(以及移动装置用户的身份)保持模糊并被保护。
因此，根据本发明的优选实施例，通常伴随移动装置请求的移动
装置标识符(例如MSISDN)被"增强型"标识符所取代，该"增 强型"标识符暴露移动装置用户的本地运营商但是模糊该移动装置 (进而，该装置用户的)的身份。增强型标识符的第一部分包括(直 接或通过数据库查询)识别移动装置用户的本地运营商。增强型标识 符的第二不透明部分以优选地仅能够被用户的本地运营商(或其授权
实体)恢复的方式模糊移动装置的身份。当移动装置用户漫游至外部 网络时，该网络接收增强型标识符，优选地代替MSISDN或其他标 识符。外部网络使用第一部分来识别移动装置用户的本地网络，但不 能确定移动装置的身份。例如，基于包括MSISDN或类似标识符的 请求，维护了用户的隐私，以及防止第三方建立装置的档案。
无论用户是否在他或她的本地网络或外地(漫游)网络，本发明 都使得用户能够访问来自第三方提供商的资源。本发明还使得提供商 (例如用户能够浏览的内容提供商网站)容易地确定用户的本地网 络，这使得这样的第三方出售和提供增值业务。 一种这样的增值业务
务的广告。
尽管第三方提供商和漫游运营商不知道移动装置或其用户的身 份，但是这些第三方可以通过从本地网络业务提供商请求信息来确定 关于用户的额外信息。这样的请求可以使用共享的别名(即，在本地 网络业务提供商和这样的第三方之间共享的别名)来执行，所述别名 是在联邦的环境背景下产生的，例如在2004年7月21日提交的美国 公开第2006/0021018所主张的。如在该文档中所主张的，联邦异构 环境使得企业能够为用户提供单点登录体验。在这样的环境中，用户 能够验证到第一域，随后使该第一域为在该事务中可能涉及的每个下 游域提供适当的声明。即使在第一域和这些其他下游域之间的没有预 先建立的声明格式，这些下游域也需要能够理解并信任验证声明和/或其他类型的声明。除了识别声明，即使不存在预先建立的身份映射 关系，下游域也需要能够将包含在声明中的身份翻译为表示用户在特 定域中的身份。在替换例中，第三方提供商或运营商通过使用诸如在
网络业务信任语言(WS-Trust)中定义的请求格式从本地网络业务 提供商获取关于用户的信息。当然，可以使用任何其他方便的信任加 强技术或协议。
尽管已经在从一个2.5G网络漫游至其他网络的移动装置用户的 背景下已经主张了本发明，但是本发明不局限于应用在任何特定类型 的无线网络中。事实上，在此所主张的模糊技术可以用在任何无线网 络环境中，在该环境中，对业务的请求可以伴随着与移动装置或移动 装置用户相关的数据。因此，在代表性实施例中，本发明的技术可以 应用在任何类型的无线网络中，包括但不限于模拟蜂窝、数字蜂窝、 个人通信系统(PCS)、蜂窝数字式分组数据系统(CDPD)、 ARDIS、 RAM移动数据、Metricom Ricochet、寻呼、以及增强型专 用移动无线电(ESMR)。用于广域无线网络的示例性通信协议包括 但不限于时分多址(TDMA ,例如IS-136 )、码分多址 (CDMA) 、 lxRTT、通用分组无线业务(GPRS)、增强型数据速 率GSM演进技术(EDGE)、全球移动通信系统(GSM)、通用移 动通信系统(UMTS)、以及集成数字增强网络(iDEN)分组数 据。此外，发明的技术也可以应用在未授权的频谱中，例如符合 802.11、家庭射频、蓝牙、HiperLAN等的无线局域网(WLAN)。
如在此所主张的，在本地网络或外地网络上提供的功能可以在任 何控制器上实现。控制器可以以任何方便的方式实现，例如个人计算 机、服务器或类似机器。代表性的控制器是在奔腾(或等价物)处理 器上运行Limix 2.4 (或等价物)操作系统核心的机架安装的PC，以 及装置包括用于支持软件应用程序和相关数据的系统存储器和外部存 储器。该控制器还包括标准网络接口以有利于上面主张的功能。该控 制器通常输出用于管辖、管理和监控的基于web (或等价物)的接 口。因此，在HNP的背景中，该控制器用于UID产生功能。图8是可以用作上面主张的控制器的代表性数据处理系统。适于 存储和/或执行程序代码的数据处理系统800包括至少一个处理器 802，其通过系统总线805直接或间接耦合到存储器元件。该存储器 元件可以包括在程序代码实际执行期间使用的本地存储器804、大容 量存储器806、以及高速緩沖存储器808，其为至少一些程序代码提 供临时存储以减少在执行过程中必须从大容量存储器取回代码的次 数。输入/输出或I/O装置(包括但不限于键盘810、显示器812、指 点装置814等)可以直接或通过中间1/0控制器816耦合到系统。网 络适配器818还可以耦合到系统以使数据处理系统通过中间专用或公 用网络820耦合到其他数据处理系统或装置。
本领域的技术人员应该理解移动装置本身包括类似的数据处理部件。
本发明可以采用全部硬件实施例、全部软件实施例或包括硬件和 软件元素的实施例的形式。在优选实施例中，本发明以软件实现，包 括但不限于固件、驻留软件、微代码等。此外，如上所述，本发明可 以采用可从计算机可用或计算机可读介质存取的计算机程序产品的形 式，所述计算机可用或计算机可读介质提供由计算机或任何指令执行 系统使用或与其结合使用的程序代码。为了说明的目的，计算机可甲 或计算机可读介质可以是能够包括、存储、通信、传播或传送由指令
执行系统、设备或装置使用或与其结合使用的程序的任何装置。该介 质可以是电子、磁、光学、电磁、红外线或半导体系统(或设备或装 置)或传播介质。计算机可读介质的示例包括半导体或固态存储器、 磁带、可移除计算机磁盘、随机存取存储器(RAM)、只读存储器 (ROM)、硬盘以及光盘。光盘的当前示例包括只读光盘(CD-ROM) 、读/写光盘(CD-R/W)和DVD。
但是应该理解这样的顺序是示例性的，替换实施例可以以不同顺序执 行操作，组合特定操作，覆盖特定操作等。说明书中对特定实施例的 说明表示所主张的实施例可以包括特定特征、结构或特征，但是每个
19实施例可能不必包括该特定特征、结构或特征。
最后，尽管系统的特定部件已经被分开主张，但是本领域的技术 人员应该理解所主张的一些功能可以在特定指令、程序顺序、代码部 分中被组合或共享。
权利要求
1.一种移动装置，包括数据存储器，其中存储有用户特定信息，其中所述用户特定信息标识本地网络的所述移动装置的用户；处理器；以及包括用于执行如下方法的处理器可执行指令的代码，所述方法包括获得将所述用户特定信息与所述移动装置相关联的唯一标识符；存储所述唯一标识符；以及与业务请求相关联地提供所述唯一标识符代替所述数据存储器中的用户特定信息。
2. 如权利要求1的移动装置，其中所述用户特定信息是以下其中之一MSISDN和将所述移动装置绑定至用户的任何其他标识符。
3. 如权利要求1的移动装置，其中通过在所述移动装置处产生所述唯一标识符来获得所述唯一标识符。
4. 如权利要求1的移动装置，其中通过从本地网络提供商接收所述唯一标识符来获得所述唯一标识符。
5. 如权利要求4的移动装置，进一步包括查询所述本地网络提供商以向所述移动装置发送所述唯一标识符的步骤。
6. 如权利要求5的移动装置，其中当所述移动装置漫游至外地网络时查询所述本地网络提供商。
7. 如权利要求1的移动装置，其中周期性地进行获得所述唯一标识符的步骤。
8. 如权利要求1的移动装置，其中在提供所述用户特定信息期间进行所述获得所述唯一标识符的步骤。
9. 如权利要求1的移动装置，其中在移动装置注册至本地网络期间进行所述获得所述唯一标识符的步骤。
10. 如权利要求1的移动装置，其中所述服务请求还包括如下数据串，根据所述数据串能够确定本地网络提供商的身份。
11. 如权利要求1的移动装置，其中所述数据串与所述唯一标识符衔接。
12. 如权利要求1的移动装置，其中所述唯一标识符编码所述用户特定信息。
13. 如权利要求1的移动装置，其中所述唯一标识符是所述用户特定信息的函数。
14. 如权利要求13的移动装置，其中所述函数加密所述用户特定信息、时间戳和加密盐。
15. 如权利要求14的移动装置其中所述加密盐是移动装置和本地网络提供商共享的秘密信息。
16. 如权利要求1的移动装置，其中所述数据存储器是用户身份模块(SIM)卡。
17. —种包括用户身份模块(SIM)、无线收发信机和处理器的移动装置，所述SIM包括识别本地网络的移动装置用户的用户特定信息，所述移动装置包括第一处理器可执行指令，用于获得和存储唯一标识符，所述唯一标识符将所述用户特定信息与所述移动装置相关联；以及第二处理器可执行指令，其与业务请求相关联地提供所述唯一标识符代替所述用户特定信息。
18. 如权利要求17的移动装置，其中第一处理器可执行指令通过在所述移动装置处产生所述唯一标识符来获得所述唯一标识符。
19. 如权利要求18的移动装置，其中所述第一处理器可执行指令通过从本地网络提供商接收所述唯一标识符来获得所述唯一标识符。
20. 如权利要求19的移动装置，其中所述第一处理器可执行指令查询所迷本地网络提供商以请求所述唯一标识符。
21. 如权利要求17的移动装置，其中所述第一处理器可执行指令获得并且存储一个或多个额外的唯一标识符。
22. 如权利要求21的移动装置，进一步包括第三处理器可执行指令，在向网络提供商请求特定服务时，所述第三处理器可执行指令基于所述网络提供者的身份选择特定的唯一标识符。
23. 如权利要求17的移动装置，其中除了所述唯一标识符之外，第二处理器可执行指令还提供如下数据串，根据所述数据串能够确定本地网络提供商的身份。
24. 如权利要求23的移动装置，其中所述第二处理器可执行指令将所述用户标识符与所述数据串衔接。
25. 如权利要求17的移动装置，其中所述唯一标识符编码所述用户特定信息。
26. 如权利要求17的移动装置，其中所述唯一标识符是所述用户特定信息的函数。
27. 如权利要求26的移动装置，其中所述函数加密所述用户特定信息、时间戳和加密盐。
28. 如权利要求27的移动装置，其中所述加密盐是移动装置和本地网络提供商共享的秘密信息。
29. —种包括用户身份模块(SIM)、无线收发信机和处理器的移动装置，所述SIM具有识别本地网络的移动装置用户的用户特定信息，所述移动装置进一步包括计算机可读介质，在其中存储有一组第一处理器可执行指令，获得和存储一个或多个唯一标识符，每一个所述唯一标识符将所述用户特定信息与所述移动装置相关联，并且用于对除了本地网络提供商之外的网络提供商模糊所述移动装置用户的身份；以及一组第二处理器可执行指令，管理所述一个或多个唯一标识符。
30. 如权利要求29的移动装置，其中所述第二处理器可执行指令为从所述移动装置发送的业务请求提供唯一标识符。
31. 如权利要求30的移动装置，其中所述第二处理器可执行指令基于所述网络提供商选择为所述业务请求提供的所述唯一标识符。
32. 如权利要求29的移动装置，其中所述第一处理器可执行指令通过向所述本地网络提供商发送请求从而获得至少一个唯一标识符。
33. 如权利要求32的移动装置，其中所述请求被周期性地发送至所述本地网络提供商。
34. 如权利要求32的移动装置，其中所述请求在如下期间中的一个被发送至所述本地网络提供商提供所述移动装置的期间和注册所述移动装置的期间。
35. 如权利要求30的移动装置，其中除了所述唯一标识符之 外，所述第二处理器可执行指令还提供如下数据串，根据所述数据串能够确定所述本地网络提供商的身份。
全文摘要
通常伴随移动装置请求的移动装置标识符(例如MSISDN)被暴露移动装置用户的本地运营商但模糊移动装置(进而装置用户)的身份的“增强型”标识符代替。在一个实施例中，该标识符包括第一部分和第二部分。第一部分包括(直接或通过数据库查询)识别移动装置用户的本地运营商的数据串。然而，第二部分是不透明数据串，例如一次性使用的唯一标识符(UID)或另行作为MSISDN(或类似物)的函数得到的值。该不透明数据串能够以优选地仅由用户的本地运营商(或其授权实体)恢复的方式编码移动装置的身份。当移动装置用户漫游至外地网络时，该网络接收增强型标识符代替MSISDN。该外地网络使用第一部分来识别移动装置用户的本地网络，以例如确定是否允许所请求的访问(或提供其他一些增值业务)。然而，外地网络不能解码该第二部分，因此移动装置的身份(以及移动装置用户的身份)保持模糊。这就确保用户的隐私被维护，同时防止第三方基于包括MSISDN或类似标识符的请求来建立装置的档案。
文档编号H04L29/06GK101682620SQ200880015779
公开日2010年3月24日 申请日期2008年5月8日 优先权日2007年5月24日
发明者A·J·安格温, H·M·辛顿, M·波泽福斯基 申请人:国际商业机器公司