将可移除模块绑定到接入终端的制作方法

将可移除模块绑定到接入终端的制作方法
【专利摘要】所描述的装置和方法可包括处理器，与该处理器通信的存储器，与该处理器通信且能操作用于存储数据的可移除模块，可由该处理器执行且配置成初始化可移除模块的初始化组件，以及可由该处理器执行的认证组件，该认证组件配置成：接收来自可移除模块的执行认证操作的命令，其中该命令是具有表示认证质询的命令限定符值或码的标准消息；响应于该命令获得来自可移除模块的随机值；基于该随机值以及存储于存储器中的终端密钥计算响应；以及将该响应传送给可移除模块。可移除模块104可以是可移除标识（ID）芯片、通用集成电路卡（UICC）、用户身份模块（UIM）、可移除UIM（R-UIM）、CDMA订户身份模块（CSIM）、订户身份模块（SIM）、通用订户身份模块（USIM）。
【专利说明】将可移除模块绑定到接入终端
[0001]根据35U.S.C.§ 119的优先权要求
[0002]本申请要求2011 年 8 月 9 日提交的、题为 “APPARATUS AND METHOD OF BINDINGA REMOVABLE MODULE TO AN ACCESS TERMINAL (将可移除模块绑定到接入终端的装置和方法)”的美国临时专利申请S/N.61/521，642的权益。上述申请的全体内容通过引用纳入于此。
[0003]背景
[0004]领域
[0005]下文一般涉及接入终端的认证，尤其涉及将可移除模块绑定到接入终端的装置和方法。
[0006]背景
[0007]无线网络运营商日益关注防止在未经授权的设备上使用通用集成电路卡(UICC)或订户标识模块(SIM)。防止此类未经授权的使用的技术已在重要性上增长。这些技术中的一些包括安全信道技术、国际移动装备身份软件版本(IMEISV)锁定、以及个人识别号(PIN)码技术。遗憾的是，解决此问题的技术被证实为要么太过复杂，要么非常容易被破坏。
[0008]因此，存在对于将可移除模块绑定到接入终端的简单且安全的机制的需要。
[0009]概述
[0010]以下给出一个或多个方面的简要概述以提供对这些方面的基本理解。此概述不是所有构想到的方面的详尽综览，并且既非旨在标识出所有方面的关键性或决定性要素亦非试图界定任何或所有方面的范围。其唯一的目的是要以简化形式给出一个或多个方面的一些概念以作为稍后给出的更加详细的描述之序。
[0011]在一方面，一种将可移除模块绑定到接入终端的方法包括:在接入终端处初始化可移除模块，以及接收来自可移除模块的执行认证操作的命令，其中该命令是具有表示认证质询的命令限定符的标准消息。此外，该方法包括响应于该命令获得来自可移除模块的随机值，基于该随机值以及接入终端的存储器中所存储的终端密钥来计算响应，以及将该响应传送给可移除模块。
[0012]附加方面包括:具有配置成执行以上所述方法的动作的组件的接入终端；具有用于执行以上所述方法的动作的模块的至少一个处理器；包括计算机可读介质的计算机程序产品，该计算机可读介质包括用于使得计算机执行以上所述方法的动作的指令；以及包括用于执行以上所述方法的动作的装置的设备。
[0013]又一方面包括一种将可移除模块绑定到接入终端的方法，包括:在可移除模块处生成随机值，向接入终端传送执行认证操作的命令，其中该命令是包括表示认证质询的命令限定符的标准消息， 以及向接入终端提供该随机值以执行认证操作。该方法还包括接收由接入终端基于该随机值以及存储于接入终端的存储器中的终端密钥所计算出的响应，以及基于该响应来确定是否要授权接入终端使用可移除模块进行通信。
[0014]附加方面包括:具有配置成执行以上所述方法的动作的组件的可移除模块；具有用于执行以上所述方法的动作的模块的至少一个处理器；包括计算机可读介质的计算机程序产品，该计算机可读介质包括用于使得计算机执行以上所述方法的动作的指令；以及包括用于执行以上所述方法的动作的装置的设备。
[0015]为能达成前述及相关目的，这一个或多个方面包括在下文中充分描述并在所附权利要求中特别指出的特征。以下描述和附图详细阐述了这一个或多个方面的某些解说性特征。但是，这些特征仅仅是指示了可采用各种方面的原理的各种方式中的若干种，并且本描述旨在涵盖所有此类方面及其等效方案。
[0016]附图简要说明
[0017]以下将结合附图来描述所公开的方面，提供附图是为了解说而非限定所公开的各方面，其中相似的标号标示相似的元件，且其中:
[0018]图1是网络部署内绑定系统的一方面的示意表示；
[0019]图2是能够实现绑定机制的接入终端和可移除模块的一方面的示意表示；
[0020]图3是如在图1的接入终端上实现的将可移除模块绑定到接入终端的方法的一方面的流程图；
[0021]图4是如在图1的可移除模块上实现的将可移除模块绑定到接入终端的方法的一方面的流程图；
[0022]图5是在可移除模块的存储器中存储的信息的一方面的表示；
[0023]图6是如在图1的接入终端上实现的将可移除模块绑定到接入终端的示例系统的一方面的解说；以及
[0024]图7是如在图1的可移除模块上实现的将可移除模块绑定到接入终端的示例系统的一方面的解说。
[0025]详细描述
[0026]现在参照附图描述各个方面。在以下描述中，出于解释目的阐述了众多具体细节以提供对一个或更多个方面的透彻理解。但是显然的是，没有这些具体细节也可实践此(诸)方面。
[0027]本方面涉及将可移除模块(诸如，通用集成电路卡(UICC)或订户标识模块(SIM))绑定到接入终端(例如，蜂窝电话)。在一方面，该绑定通过以下操作实现:使可移除模块向接入终端发送表示认证质询的命令，由此提示接入终端从可移除模块检索所生成的随机值，使用该随机值和终端密钥来计算响应，并向可移除模块传送该响应以进行认证。如果可移除模块确定该响应是有效的(例如，用来计算该响应的终端密钥是正确的，因为它对应于可移除模块上的机密密钥)，则可移除模块可认证该接入终端并允许它接入通信网络，诸如，3GPP网络。否则，如果该响应是错的(例如，该终端密钥是不正确的，因为它不对应于可移除模块上的机密密钥)，则可移除模块可在一方面中止操作并阻止接入终端接入通信网络。例如，在一方面，该命令可以是根据所描述的方面被重新改造的标准消息或现有协议命令，诸如但不限于具有表示认证质询的命令限定符的提供本地信息命令。因此，所描述的装置和方法提供了将可移除模块绑定到接入终端的简单且安全的方式。
[0028]图1例如示出了网络部署100，其包括通信网络106、网络运营商108、接入终端102、以及与接入终端102配对或者以其他方式能够与接入终端102配对的可移除模块104。
[0029]通信网络106可包括可支持接入终端的各种服务(诸如，无线电通信)的数个基站(未示出)和其他网络实体。网络运营商108可以是单个网络实体或网络实体的集合，并且可提供对一组基站的协调和控制以及向可移除模块104供应信息。
[0030]接入终端102可与通信网络中的基站通信以获得通信服务。如图1中所示，可移除模块104可被插入接入终端102或以其他方式被连接以与接入终端102进行通信。可移除模块104可存储订阅信息、个人信息、和/或关于用户的其他信息。例如，可移除模块104可存储帐户号码、电话号码、图片、文本消息等。可移除模块104可以是但不限于可移除标识(ID)芯片、通用集成电路卡(UICC)、用户身份模块(UM)、可移除ΠΜ (R-UM)、CDMA订户身份模块(CSM)、订户身份模块(SM)、通用订户身份模块(USM)、智能卡、或可被插入设备(诸如，蜂窝电话，智能电话，PDA等)中并从设备移除的某一其他模块，以用于使得能够与通信网络进行通信的目的。
[0031]根据各方面，可移除模块104可配置有绑定管理器110，绑定管理器110允许可移除模块104与接入终端102绑定。绑定管理器110确保可移除模块104仅与其所绑定的接入终端102工作，而不与其他接入终端工作，从而阻止使用未授权的接入终端对可移除模块104的未经授权的使用。
[0032]图2示出接入终端102和能够实现绑定管理器110的可移除模块104的一方面的示意表示。接入终端102可包括至少一个处理器202以及存储器204。处理器222可实现与接入终端102内的一个或多个组件和功能相关联的处理功能。处理器202可包括单组或多组处理器或多核处理器。此外，处理器202可被实现为集成处理系统和/或分布式处理系统。
[0033]存储器204可被用于存储数据，诸如终端密钥212。例如，终端密钥212可包括认证机制(诸如，加密和/或解密算法)，其可被用来基于认证规程对消息编码和/或解码，此类编码响应于认证质询。存储器204还可存储正被处理器202执行的应用、模块、组件、或算法的本地版本。存储器204可包括计算机能使用的任何类型的存储器，诸如随机存取存储器(RAM)、只读存储器(ROM)、带、磁盘、光盘、易失性存储器、非易失性存储器、以及它们的任何组合。例如，存储器204可包括用于执行接入终端102的所有动作或动作的某一部分的指令。
[0034]进一步，接入终端102可包括通信组件214，其如本文中所描述地例如提供利用硬件、软件和服务来建立和维护与一个或多个实体的通信。通信组件214可以在接入终端102上的各组件之间、以及在接入终端102与外部设备(诸如，位于通信网络上的设备和/或串行连接或本地连接到接入终端102的设备，诸如可移除模块104)之间运送通信。例如，通信组件106可包括一条或多条总线，并可进一步包括可操作用于与外部设备对接的一个或多个发射链组件和接收链组件以及各自所关联的发射机和接收机、或一个或多个收发机。
[0035]另外，接入终端102还可包括数据存储216，其可以是硬件和/或软件的任何适当组合，数据存储216提供对结合本文中所描述的诸方面所采用的信息、数据库和程序的大容量存储。例如，数据存储216可以是当前并非正由处理器202执行的应用的数据仓库。
[0036]接入终端102可附加地包括用户接口组件218，其可配置成接收来自接入终端102的用户的输入，并且进一步配置成生成供呈现给用户的输出。用户接口组件218可包括一个或多个输入设备，包括但不限于键盘、数字小键盘、鼠标、触敏显示器、导航键、功能键、话筒、语音识别组件、能够从用户接收输入的任何其他机构、或其任何组合。另外，用户接口组件218可包括一个或多个输出设备，包括但不限于显示器、扬声器、触觉反馈机构、打印机、能够向用户呈现输出的任何其他机构、或其任何组合。
[0037]接入终端102可进一步包括初始化组件206和认证组件208。初始化组件206配置成在可移除模块104被插入到接入终端102中且接入终端102被上电时初始化可移除模块104。认证组件208可在与可移除模块104进行通信时执行关于绑定管理器110的各种功能。例如，认证组件208可例如基于一个或多个认证规程来管理消息的接收和解读，以及对消息的响应。
[0038]接入终端102还可包括接口 210，其配置成在与可移除模块104的接口 220接触时促成接入终端102和可移除模块104之间的通信。
[0039]如图2中所示，可移除模块104可包括至少一个处理器222。处理器222可执行与可移除模块104内的一个或多个组件和功能相关联的处理功能。处理器222可以是适于在可移除模块104上实现的任何类型的处理器。
[0040]可移除模块104还可包括存储器226。存储器226可包括各种信息(诸如个人信息)以及包括机密密钥232和随机值234的特定基本文件。机密密钥232可由网络运营商108供应，并且随机值234可由认证组件228生成。存储器204还可存储正被处理器222执行的应用、模块、组件、或算法的本地版本。存储器226还可包括用于执行可移除模块104的所有动作或动作的某一部分的指令。存储器226可包括处理器能使用的任何类型的存储器，如参照接入终端102的存储器204所描述的。
[0041]可移除模块104还可包括认证组件228。认证组件228可由处理器222执行，并且可被配置成控制将可移除模块104绑定到接入终端102。
[0042]可移除模块104可进一步包括应用组件230和接口 220。应用组件230可支持各种服务(例如，语音，分组数据，短消息服务(SMS)，浏览器)，并且接口 220可在与接入终端102的接口 210耦合时支持与接入终端102的安全通信。
[0043]在操作期间，一旦可移除模块104被插入到接入终端102中，接口 210和220耦合在一起，并且接入终端102被上电，初始化组件206就可通过经由接口 210和220对可移除模块104供电来检测和初始化可移除模块104。
[0044]在一个可选方面，在可移除模块104初始化之际，认证组件208可确定用于访问可移除模块104的功能和服务的机密密钥232是否可供从可移除模块104获得。认证组件208可通过读取可移除模块104的存储器226或者向可移除模块104传送密钥获得请求来执行此类确定。
[0045]如果机密密钥232在存储器226中可获得，则响应于密钥获得请求或者读取机密密钥232的尝试，可移除模块104的认证组件228可将机密密钥232提供给接入终端102。当接入终端102接收到来自可移除模块104的机密密钥232时，它可将该机密密钥232存储于存储器204中。为了此说明的目的，存储于接入终端102的存储器204中的任何密钥(包括机密密钥232)可被称为终端密钥212。在机密密钥232作为终端密钥212被存储于接入终端102的存储器204中之后，接入终端102的认证组件208可向可移除模块104传送去激活存储器226中的机密密钥232的信号以使得机密密钥232不可访问。例如，机密密钥232的去激活可通过使机密密钥232无效，或者以其他方式使得机密密钥232无法被可移除模块104外部的任何组件或装置访问，而同时保持机密密钥232仅由可移除模块104访问来实现。此去激活机制导致可移除模块104被绑定到拥有机密密钥232的接入终端102。[0046]另一方面，如果机密密钥232在存储器226中不可获得，则认证组件228可向接入终端102指示机密密钥232不可获得。机密密钥232在它先前已被接入终端102或某一其他接入终端去激活的情况下可能变得不可获得。
[0047]在一方面，不论机密密钥232是否通过认证组件228被提供给接入终端102，在可移除模块104的初始化(诸如接入终端102上电)之际，可移除模块104的认证组件228可生成随机值234以供在认证操作中使用，并将随机值234存储在存储器226中。
[0048]随后，可移除模块104的认证组件228可向接入终端102传送执行认证操作的命令240。在一方面，例如，该命令240可以是标准消息242 (诸如提供本地彳目息命令)，其具有表示认证质询的命令限定符值或码244。除了命令240以外，认证组件228可使得随机值234可用以供接入终端102获得。
[0049]在接收到来自可移除模块104的命令240并响应该命令240之际，接入终端102的认证组件208可从可移除模块104的存储器226获得随机值234。认证组件208可随后基于该随机值234和所存储的终端密钥212计算响应。基于终端密钥212生成的该响应可以使用由终端密钥212定义的、与其相关联的、或者被包括为其一部分的恰适算法来计算，如以上所提及的，终端密钥212可以是由网络运营商108提供给接入终端102或者由认证组件208从可移除模块104获得的机密密钥232。
[0050]一旦计算了该响应，认证组件208就可将该响应传送给可移除模块104以供验证。可移除模块104的认证组件228可接收该响应并确定藉以计算该响应的终端密钥212是否对应于机密密钥232，并由此确定是否要授权接入终端102通过使用可移除模块104来在通信网络106中进行通信，以及能够访问可移除模块104上可用的功能和服务。在一方面，确定终端密钥212和机密密钥232是否对应可包括分析响应以查看该响应是否正确。例如，该响应可以使得认证组件228将该响应识别为是使用正确密钥(例如，机密密钥232)计算出的。
[0051]如果可移除模块104的认证组件228确定终端密钥212对应于机密密钥232 (例如，终端密钥212是从可移除模块104的存储器226获得的机密密钥232)，则认证组件228可授权接入终端102接入通信网络106和可移除模块104的功能及服务。
[0052]另一方面，如果可移除模块104的认证组件228确定终端密钥212不对应于机密密钥232(即，终端密钥212不同于机密密钥232)，则认证组件228可通过阻止接入终端102能够接入通信网络106和可移除模块104的功能及服务来将接入终端102锁定。
[0053]在一些方面，认证组件228可在接入终端102未对认证质询作响应的预定时间量之后、或者在接入终端102响应于认证质询提供不正确的密钥达预定次数之后将接入终端102锁定。
[0054]前述架构由此提供了将可移除模块104绑定到接入终端102的简单且安全的机制。
[0055]图3示出将可移除模块绑定到接入终端的示例性过程300，其可在图1的接入终端102中实现。
[0056]如图3中所示，在框302中，该过程在接入终端处初始化可移除模块。例如，初始化组件206可诸如基于将可移除模块104插入到接入终端102中、或者基于具有已插入的可移除模块104的接入终端102的上电而在接入终端102处初始化可移除模块104。[0057]可选地，在框304，该过程确定机密密钥是否可供从可移除模块获得。例如，认证组件208可确定机密密钥232是否可供从可移除模块104获得。如果该过程确定该密钥可获得，则该过程进行到框308。否则，该过程进行到框314。
[0058]可选地，在框308中，该过程从可移除模块的存储器获得机密密钥。例如，认证组件208可从可移除模块104的存储器226获得机密密钥232。例如，存储器226可包括定义机密密钥232的基本文件。
[0059]在此可选方面获得机密密钥之后，该过程在框310中在接入终端的存储器中存储该机密密钥。例如，认证组件208可在接入终端102的存储器226中存储机密密钥232。
[0060]随后，在此可选方面，该过程在框312中去激活可移除模块中的该机密密钥，从而使得该机密密钥对于可移除模块104外部的组件不可访问，而同时对可移除模块104保持可访问。例如，认证组件208可向可移除设备104发送去激活(例如，无效)可移除模块104的存储器226中的机密密钥232的信号。该过程随后进行到框314。
[0061]在框314中，该过程接收来自可移除模块的执行认证操作的命令。在一方面，例如，该命令可以是标准消息(诸如提供本地信息命令)，其具有表示认证质询的命令限定符值或码。例如，认证组件208可接收到来自可移除模块104的执行认证操作的命令。
[0062]在框316中，该过程响应于该命令而获得来自可移除模块的随机值。例如，认证组件208可获得来自可移除模块104的随机值234。例如，在一方面，随机值234可被存储于可移除模块104的存储器226中的基本文件中。
[0063]在框318中，该过程基于该随机值以及存储于接入终端的存储器中的终端密钥来计算响应。例如，认证组件208可基于随机值234以及存储于接入终端102的存储器204中的终端密钥212来计算响应。在一方面，终端密钥212可以是先前诸如经由网络运营商或设备制造商载入到接入终端102上的。在另一可选方面，如以上详述的，接入终端102可通过以上所述的与可移除模块104的可选交互(例如，框308和310)获得终端密钥212。
[0064]在框320，该过程向可移除模块传送该响应。例如，认证组件208可向可移除模块104传送计算出的响应。
[0065]可选地，在框322中，例如如果该响应诸如基于具有与机密密钥232匹配的终端密钥212而为有效的，则该过程可以获得与可移除模块104提供的服务交互的能力来结束，或者例如如果该响应诸如基于具有与机密密钥232匹配的终端密钥212而为有效的，则该过程可以被拒绝访问可移除模块104来结束。这样，过程300导致将可移除模块104绑定到接入终端102的能力，以使得仅被授权的接入终端能够访问由可移除模块104提供的服务，诸如与通信网络106 (图1)进行通信的能力。
[0066]图4示出将可移除模块绑定到接入终端的示例性过程400，其可在图1的可移除模块104中实现。过程400的可选方面包括框402-410。
[0067]如图4中所示，在框402中，该过程可任选地接收来自接入终端的获得可移除模块上所存储的机密密钥的请求。例如，可移除模块104上的认证组件228可接收来自接入终端102的获得可移除模块104的存储器226中所存储的机密密钥232的请求。
[0068]可选地，在框404中，该过程确定机密密钥是否可供获得。例如，认证组件228可检查存储器226以确定机密密钥232是否可供接入终端102获得。如果该过程确定该机密密钥可获得，则该过程进行到框408。否则，该过程进行到框406。[0069]可选地，在框408中，该过程将该机密密钥提供给接入终端。例如，认证组件228可允许接入终端102从存储器226读取机密密钥232。例如，存储器226可包括定义机密密钥232的基本文件。在此可选方面，在机密密钥已被提供给接入终端之后，该过程在框410中接收去激活机密密钥的信号以使得该机密密钥不可访问。例如，可移除模块104可接收来自接入终端102的去激活、删除、或无效可移除模块104的存储器226中所存储的机密密钥232的信号。该过程随后进行到框412。
[0070]在框406中，该过程向接入终端传送指示该机密密钥不可获得的消息。例如，认证组件228可向接入终端102传送指示机密密钥232不可获得的信号。该过程随后进行到框412。
[0071]在框412中，该过程生成随机值。例如，随机值234可由可移除终端104处的认证组件228生成。例如，在一方面，随机值234可被存储于可移除模块104的存储器226中的基本文件中。
[0072]在框414中，该过程向接入终端传送执行认证操作的命令。例如，认证组件228可向接入终端102传送命令240。在一方面，例如，该命令240是标准消息242 (诸如提供本地信息命令)，其包括表示认证质询的命令限定符值或码244。
[0073]在框416中，该过程向接入终端提供该随机值以执行认证操作。例如，认证组件228可向接入终端102提供随机值234。
[0074]在框418中，该过程接收由接入终端基于该随机值以及存储于接入终端的存储器中的终端密钥所计算出的响应。例如，认证组件228可接收由接入终端102基于随机值234以及存储于接入终端102的存储器204中的终端密钥212所计算出的响应。在一方面，终端密钥212可以是先前诸如经由网络运营商或设备制造商载入到接入终端102上的。在另一可选方面，如以上详述的，可移除模块104可能已通过以上所述的与接入终端102的可选交互(例如，框402、404和408)向接入终端102提供了终端密钥212(例如，机密密钥232)。
[0075]在框420中，该过程确定终端密钥是否对应于机密密钥。例如，可移除模块104的认证组件228可分析收到响应并基于该响应确定终端密钥212是否对应于机密密钥232。例如，在一方面，接入终端102可将终端密钥212应用到所获得的随机数，并将结果作为响应发送给可移除模块104。这样，可移除模块104可以能够将机密密钥232应用到该响应，并且如果终端密钥212对应于机密密钥232，则结果将是该随机数。然而，应当注意，还可利用其他利用终端密钥212和机密密钥232的认证过程。
[0076]在框422中，基于该响应，该过程基于终端密钥是否对应于机密密钥来确定是否要授权接入终端使用可移除模块进行通信。例如，认证组件228可基于该响应确定是否要授权接入终端102使用可移除模块104进行通信。如果终端密钥对应于机密密钥，则该过程进行到框424。否则，该过程进行到框426。
[0077]在框424中，该过程授权接入终端使用可移除模块进行通信。例如，认证组件228可授权接入终端102通过使用可移除模块104来与通信网络106进行通信并访问可移除模块104上可用的功能和服务。
[0078]在框426中，该过程阻止接入终端使用可移除模块进行通信。例如，授权组件228可阻止接入终端102通过使用可移除模块104来与通信网络106进行通信并访问可移除模块104上可用的功能和服务。这样，过程400导致将可移除模块104绑定到接入终端102的能力，以使得仅被授权的接入终端能够访问由可移除模块104提供的服务，诸如与通信网络106 (图1)进行通信的能力。
[0079]图5是在可移除模块104的存储器226中存储的信息的一方面的表示。具体而言，存储器226可包括多个基本文件，诸如密钥文件502和随机文件504，这两个文件均具有用于存储因文件而异的信息的多个字段。例如，密钥文件502可包括含有机密密钥232的字段；而随机文件504可包括含有随机值234的字段。随机值234可在每当可移除模块104发起将可移除模块104绑定到接入终端102的认证操作时被更新。
[0080]图6是能够将可移除模块绑定到接入终端的示例系统600的解说。例如，系统600可至少部分地驻留在接入终端内，等等。应领会，系统600被表示为包括功能块，这些功能块可以是表示由处理器、软件、或其组合(例如固件)实现的功能的功能块。系统600包括可协同动作的装置的逻辑编组602。例如，逻辑编组602可包括:用于初始化可移除模块的装置604 ;用于接收来自可移除模块的执行认证操作的命令的装置606，其中该命令是具有表示认证质询的命令限定符的标准消息；用于响应于该命令获得来自可移除模块的随机值的装置608 ;用于基于该随机值以及设备的存储器中所存储的终端密钥来计算响应的装置610 ;以及用于向可移除模块传送该响应的装置612。此外，系统600可包括留存用于执行与装置604到612相关联的功能的指令的存储器614。虽然被示为在存储器614外部，但是要理解的是装置604和612中的一者或多者可存在于存储器612内部。
[0081]图7是能够将可移除模块绑定到接入终端的示例系统700的解说。例如，系统700可至少部分地驻留在可移除模块内，等等。应领会，系统700被表示为包括功能块，这些功能块可以是表示由处理器、软件、或其组合(例如固件)实现的功能的功能块。系统700包括可协同动作的装置的逻辑编组702。例如，逻辑编组702可包括:用于生成随机值的装置704 ;用于向接入终端传送执行认证操作的命令的装置706，其中该命令是包括表示认证质询的命令限定符的标准消息；用于向接入终端提供随机值以执行认证操作的装置708 ;用于接收由接入终端基于该随机值以及存储于接入终端的存储器中的终端密钥所计算出的响应的装置710 ;以及用于基于该响应来确定是否要授权接入终端使用可移除模块进行通信的装置712。此外，系统700可包括留存用于执行与装置704到712相关联的功能的指令的存储器714。虽然被示为在存储器714外部，但是要理解的是装置704和712中的一者或多者可存在于存储器712内部。
[0082]因此，基于上文，所描述的装置和方法使得能够以简单且安全的方式将可移除模块绑定到接入终端。
[0083]如本申请中所使用的，术语“组件”、“模块”、“系统”及类似术语旨在包括计算机相关实体，诸如但并不限于硬件、固件、硬件与软件的组合、软件、或执行中的软件。例如，组件可以是但不限于在处理器上运行的进程、处理器、对象、可执行件、执行的线程、程序、和/或计算机。作为解说，在计算设备上运行的应用和该计算设备两者皆可以是组件。一个或多个组件可驻留在进程和/或执行的线程内，且组件可以本地化在一台计算机上和/或分布在两台或更多台计算机之间。此外，这些组件能从其上存储着各种数据结构的各种计算机可读介质来执行。这些组件可藉由本地和/或远程进程来通信，诸如根据具有一个或多个数据分组的信号来通信，这样的数据分组诸如是来自藉由该信号与本地系统、分布式系统中另一组件交互的、和/或跨诸如因特网之类的网络与其他系统交互的一个组件的数据。[0084]另外，本文结合终端来描述各个方面，终端可以是有线终端或无线终端。终端也可被称为系统、设备、订户单元、订户站、移动站、移动台、移动设备、远程站、远程终端、接入终端、用户终端、终端、通信设备、用户代理、用户设备、或用户装备(UE)。无线终端可以是蜂窝电话、卫星电话、无绳电话、会话发起协议(SIP)电话、无线本地环路(WLL)站、个人数字助理(PDA)、具有无线连接能力的手持式设备、计算设备、或连接到无线调制解调器的其他处理设备。此外，本文结合基站来描述各个方面。基站可用于与无线终端进行通信，且也可被称为接入点、B节点、或其它某个术语。
[0085]此外，术语“或”旨在表示“包含性或”而非“排他性或”。即，除非另外指明或从上下文能清楚地看出，否则短语“X采用A或B”旨在表示任何自然的可兼排列。即，短语“X米用A或B”藉由以下实例中任何实例得到满足:X米用A ；X米用B ;或X米用A和B两者。另外，本申请和所附权利要求书中所使用的冠词“一”和“某”一般应当被解释成表示“一个或多个”，除非另外声明或者可从上下文中清楚看出是指单数形式。
[0086]本文中所描述的技术可用于各种无线通信系统，诸如CDMA、TDMA, FDMA, OFDMA,SC-FDMA和其他系统。术语“系统”和“网络”常被可互换地使用。CDMA系统可实现诸如通用地面无线电接入(UTRA)，cdma2000等无线电技术。UTRA包括宽带CDMA(W-CDMA)和CDMA的其它变体。此外，cdma2000涵盖IS-2000、IS-95和IS-856标准。TDMA系统可实现诸如全球移动通信系统(GSM)之类的无线电技术。OFDMA系统可以实现诸如演进UTRA(E-UTRA)、超移动宽带(UMB)、IEEE802.11 (W1-Fi )、IEEE802.16 (WiMAX)、IEEE802.20、Flash_0FDM 等的无线电技术。UTRA和E-UTRA是通用移动电信系统(UMTS)的一部分。3GPP长期演进(LTE)是使用E-UTRA的UMTS版本，其在下行链路上采用OFDMA而在上行链路上采用SC-FDMA。UTRA, E-UTRA, UMTS, LTE和GSM在来自名为“第三代伙伴项目”(3GPP)的组织的文献中描述。另外，cdma2000和UMB在来自名为“第三代伙伴项目2”(3GPP2)的组织的文献中描述。此外，此类无线通信系统还可包括常常使用非配对无许可频谱、802.XX无线LAN、蓝牙以及任何其他短程或长程无线通信技术的对等(例如，移动对移动)自组织(ad hoc)网络系统。
[0087]各个方面或特征将以可包括数个设备、组件、模块、及类似物的系统的形式来呈现。将理解和领会，各种系统可包括附加设备、组件、模块等，和/或可以并不包括结合附图所讨论的设备、组件、模块等的全体。也可以使用这些办法的组合。
[0088]结合本文所公开的实施例描述的各种说明性逻辑、逻辑块、模块、和电路可用通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑器件、分立的门或晶体管逻辑、分立的硬件组件、或其设计成执行本文所描述功能的任何组合来实现或执行。通用处理器可以是微处理器，但在替换方案中，处理器可以是任何常规的处理器、控制器、微控制器、或状态机。处理器还可以被实现为计算设备的组合，例如DSP与微处理器的组合、多个微处理器、与DSP核心协同的一个或更多个微处理器或任何其他此类配置。此外，至少一个处理器可包括可作用于执行以上描述的一个或多个步骤和/或动作的一个或多个模块。
[0089]此外，结合本文中所公开的方面描述的方法或算法的步骤和/或动作可直接在硬件中、在由处理器执行的软件模块中、或在这两者的组合中实施。软件模块可驻留在RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动盘、CD-ROM、或本领域中所知的任何其他形式的存储介质中。示例性存储介质可耦合到处理器以使得该处理器能从/向该存储介质读和写信息。替换地，存储介质可以被整合到处理器。另外，在一些方面，处理器和存储介质可驻留在ASIC中。另外，ASIC可驻留在用户终端中。替换地，处理器和存储介质可作为分立组件驻留在用户终端中。另外，在一些方面，方法或算法的步骤和/或动作可作为代码和/或指令之一或其任何组合或集合驻留在可被纳入到计算机程序产品中的机器可读介质和/或计算机可读介质上。
[0090]在一个或多个方面中，所描述的功能可在硬件、软件、固件或其任何组合中实现。如果在软件中实现，则各功能可以作为一条或更多条指令或代码存储在计算机可读介质上或藉其进行传送。计算机可读介质包括计算机存储介质和通信介质两者，其包括促成计算机程序从一地向另一地转移的任何介质。存储介质可以是能被计算机访问的任何可用介质。作为示例而非限定，这样的计算机可读介质可包括RAM、ROM、EEPROM、CD-ROM或其他光盘存储、磁盘存储或其他磁存储设备、或能被用来携带或存储指令或数据结构形式的期望程序代码且能被计算机访问的任何其他介质。任何连接也可被称为计算机可读介质。例如，如果软件是使用同轴电缆、光纤电缆、双绞线、数字订户线(DSL)、或诸如红外、无线电、以及微波之类的无线技术从web网站、服务器、或其它远程源传送而来，则该同轴电缆、光纤电缆、双绞线、DSL、或诸如红外、无线电、以及微波之类的无线技术就被包括在介质的定义之中。如本文中所使用的盘和碟包括压缩碟(⑶)、激光碟、光碟、数字多用碟(DVD)、软盘和蓝光碟，其中盘(disk)往往以磁的方式再现数据，而碟(disc)往往用激光以光学方式再现数据。上述的组合也应被包括在计算机可读介质的范围内。
[0091]尽管前面的公开讨论了解说性的方面和/或实施例，但是应当注意，在其中可作出各种变更和改动而不会脱离所描述的这些方面和/或实施例的如由所附权利要求定义的范围。此外，尽管所描述的方面和/或实施例的要素可能是以单数来描述或主张权利的，但是复数也是已构想了的，除非显式地声明了限定于单数。另外，任何方面和/或实施例的全部或部分可与任何其他方面和/或实施例的全部或部分联用，除非另外声明。
【权利要求】
1.一种将可移除模块绑定到接入终端的方法，包括: 在所述接入终端处初始化所述可移除模块； 接收来自所述可移除模块的执行认证操作的命令，其中所述命令是具有表示认证质询的命令限定符的标准消息； 响应于所述命令获得来自所述可移除模块的随机值； 基于所述随机值以及存储于所述接入终端的存储器中的终端密钥来计算响应；以及 将所述响应传送给所述可移除模块。
2.如权利要求1所述的方法，其特征在于，所述命令是提供本地信息命令。
3.如权利要求1所述的方法，其特征在于，还包括: 在接收来自所述可移除模块的所述命令之前，确定机密密钥是否可供从所述可移除模块获得。
4.如权利要求3所述的方法，其特征在于，还包括: 如果所述机密密钥可供从所述可移除模块获得，则从所述可移除模块获得所述机密密钥； 将所述机密密钥作为所述终端密钥存储于所述接入终端的所述存储器中；以及 去激活所述可移除模块中的所述机密密钥以使得所述机密密钥不可访问。
5.如权利要求3所述的方法，其特征在于，还包括:` 如果所述机密密钥不可供从所述可移除模块获得，则从所述接入终端的所述存储器获得所述终端密钥。
6.—种接入终端，包括: 处理器； 存储器，其与所述处理器处于通信； 可移除模块，其与所述处理器处于通信并且能操作用于存储数据； 初始化组件，其可由所述处理器执行并且配置成初始化所述可移除模块； 认证组件，其可由所述处理器执行并且配置成: 接收来自所述可移除模块的执行认证操作的命令，其中所述命令是具有表示认证质询的命令限定符的标准消息； 响应于所述命令获得来自所述可移除模块的随机值； 基于所述随机值以及存储于所述存储器中的终端密钥来计算响应；以及 将所述响应传送给所述可移除模块。
7.如权利要求6所述的接入终端，其特征在于，所述命令是提供本地信息命令。
8.如权利要求6所述的接入终端，其特征在于，所述认证组件配置成在接收来自所述可移除模块的所述命令之前确定机密密钥是否可供从所述可移除模块获得。
9.如权利要求8所述的接入终端，其特征在于，如果所述机密密钥可供从所述可移除模块获得，则所述认证组件还配置成: 从所述可移除模块获得所述机密密钥； 将所述机密密钥作为所述终端密钥存储于所述接入终端的所述存储器中；以及 去激活所述可移除模块中的所述机密密钥以使得所述机密密钥不可访问。
10.如权利要求8所述的接入终端，其特征在于，如果所述机密密钥不可供从所述可移除模块获得，则所述认证组件还配置成从所述接入终端的所述存储器获得所述终端密钥。
11.至少一个用于将可移除模块绑定到接入终端的处理器，包括: 用于在所述接入终端处初始化所述可移除模块的第一模块； 用于接收来自所述可移除模块的执行认证操作的命令的第二模块，其中所述命令是具有表示认证质询的命令限定符的标准消息； 用于响应于所述命令获得来自所述可移除模块的随机值的第三模块； 用于基于所述随机值以及存储于所述接入终端的存储器中的终端密钥来计算响应的第四模块；以及 用于将所述响应传送给所述可移除模块的第五模块。
12.如权利要求11所述的至少一个处理器，其特征在于，所述命令是提供本地信息命令。
13.如权利要求11所述的至少一个处理器，其特征在于，还包括:配置成在所述第二模块接收来自所述可移除模块的所述命令之前确定所述机密密钥是否可供从所述可移除模块获得的第六模块。
14.一种用于将可 移除模块绑定到接入终端的计算机程序产品，包括: 计算机可读介质，包括: 可执行以使得计算机在所述接入终端处初始化所述可移除模块的至少一条指令；可执行以使得计算机接收来自所述可移除模块的执行认证操作的命令的至少一条指令，其中所述命令是具有表示认证质询的命令限定符的标准消息； 可执行以使得计算机响应于所述命令获得来自所述可移除模块的随机值的至少一条指令； 可执行以使得计算机基于所述随机值以及存储于所述接入终端的存储器中的终端密钥来计算响应的至少一条指令；以及 可执行以使得计算机将所述响应传送给所述可移除模块的至少一条指令。
15.如权利要求14所述的计算机程序产品，其特征在于，所述命令是提供本地信息命令。
16.如权利要求14所述的计算机程序产品，其特征在于，还包括可执行以使得计算机在接收来自所述可移除模块的所述命令之前确定机密密钥是否可供从所述可移除模块获得的至少一条指令。
17.—种设备,包括: 用于初始化可移除模块的装置； 用于接收来自所述可移除模块的执行认证操作的命令的装置，其中所述命令是具有表示认证质询的命令限定符的标准消息； 用于响应于所述命令获得来自所述可移除模块的随机值的装置； 用于基于所述随机值以及存储于所述设备的存储器中的终端密钥来计算响应的装置；以及 用于将所述响应传送给所述可移除模块的装置。
18.如权利要求17所述的设备，其特征在于，所述命令是提供本地信息命令。
19.如权利要求17所述的设备，其特征在于，还包括用于在接收来自所述可移除模块的所述命令之前确定机密密钥是否可供从所述可移除模块获得的装置。
20.一种将可移除模块绑定到接入终端的方法，包括: 在所述可移除模块处生成随机值； 向所述接入终端传送执行认证操作的命令，其中所述命令是包括表示认证质询的命令限定符的标准消息； 向所述接入终端提供所述随机值以执行所述认证操作； 接收由所述接入终端基于所述随机值以及存储于所述接入终端的存储器中的终端密钥所计算出的响应；以及 基于所述响应来确定是否要授权所述接入终端使用所述可移除模块进行通信。
21.如权利要求20所述的方法，其特征在于，所述命令是提供本地信息命令。
22.如权利要求20所述的方法，其特征在于，还包括: 在生成所述随机值之前，接收来自所述接入终端的获得存储于所述可移除模块上的机密密钥的请求； 如果所述机密密钥可获得，则将所述机密密钥提供给所述接入终端；以及 接收去激活所述机密密钥的信号以使得所述机密密钥不可访问。
23.如权利要求22所述的方法，其特征在于，确定是否要授权所述接入终端包括确定所述终端密钥是否对应于所述机密密钥。
24.如权利要求23所述的方法，其特征在于，还包括: 如果所述终端密钥对应于所述机密密钥，则授权所述接入终端使用所述可移除模块进行通信；以及 如果所述终端密钥不对应于所述机密密钥，则阻止所述接入终端使用所述可移除模块进行通信。
25.一种可移除模块，包括: 处理器； 存储器，其与所述处理器处于通信； 认证组件，其可由所述处理器执行并且配置成: 生成随机值； 向接入终端传送执行认证操作的命令，其中所述命令是包括表示认证质询的命令限定符的标准消息； 向所述接入终端提供所述随机值以执行所述认证操作； 接收由所述接入终端基于所述随机值以及存储于所述接入终端的存储器中的终端密钥所计算出的响应；以及 基于所述响应来确定是否要授权所述接入终端使用所述可移除模块与通信网络进行通信。
26.如权利要求25所述的可移除模块，其特征在于，所述命令是提供本地信息命令。
27.如权利要求25所述的可移除模块，其特征在于，所述认证组件还配置成: 在生成所述随机值之前，接收来自所述接入终端的获得存储于所述可移除模块上的机密密钥的请求； 如果所述机密密钥可获得，则将所述机密密钥提供给所述接入终端；以及接收去激活所述机密密钥的信号以使得所述机密密钥不可访问。
28.如权利要求27所述的可移除模块，其特征在于，所述认证组件在确定是否要授权所述接入终端时还配置成确定所述终端密钥是否对应于所述机密密钥。
29.如权利要求28所述的可移除模块，其特征在于，所述认证组件还配置成: 如果所述终端密钥对应于所述机密密钥，则授权所述接入终端使用所述可移除模块进行通信；以及 如果所述终端密钥不对应于所述机密密钥，则阻止所述接入终端使用所述可移除模块进行通信。
30.至少一个用于将可移除模块绑定到接入终端的处理器，包括: 用于在所述可移除模块处生成随机值的第一模块； 用于向所述接入终端传送执行认证操作的命令的第二模块，其中所述命令是包括表示认证质询的命令限定符的标准消息； 用于向所述接入终端提供所述随机值以执行所述认证操作的第三模块； 用于接收由所述接入终端基于所述随机值以及存储于所述接入终端的存储器中的终端密钥所计算出的响应的第四模块；以及 用于基于所述响应来确定是否要授权所述接入终端使用所述可移除模块进行通信的第五模块。
31.如权利要求30所述的至少一个处理器，其特征在于，所述命令是提供本地信息命令。
32.如权利要求30所述的至少一个处理器，其特征在于，还包括: 用于在生成所述随机值之前接收来自所述接入终端的获得存储于所述可移除模块上的机密密钥的请求的第六模块； 用于在所述机密密钥可获得的情况下将所述机密密钥提供给所述接入终端的第七模块；以及 用于接收去激活所述机密密钥的信号以使得所述机密密钥不可访问的第八模块。
33.一种用于将可移除模块绑定到接入终端的计算机程序产品，包括: 计算机可读介质，包括: 可执行以使得计算机在所述可移除模块处生成随机值的至少一条指令； 可执行以使得所述计算机向所述接入终端传送执行认证操作的命令的至少一条指令，其中所述命令是包括表示认证质询的命令限定符的标准消息； 可执行以使得所述计算机向所述接入终端提供所述随机值以执行所述认证操作的至少一条指令； 可执行以使得所述计算机接收由所述接入终端基于所述随机值以及存储于所述接入终端的存储器中的终端密钥所计算出的响应的至少一条指令；以及 可执行以使得所述计算机基于所述响应来确定是否要授权所述接入终端使用所述可移除模块进行通信的至少一条指令。
34.如权利要求33所述的计算机程序产品，其特征在于，所述命令是提供本地信息命令。
35.如权利要求33所述的计算机程序产品，其特征在于，还包括:可执行以使得所述计算机在生成所述随机值之前接收来自所述接入终端的获得存储于所述可移除模块上的机密密钥的请求的至少一条指令； 可执行以使得所述计算机在所述机密密钥可获得的情况下将所述机密密钥提供给所述接入终端的至少一条指令； 可执行以使得所述计算机接收去激活所述机密密钥的信号以使得所述机密密钥不可访问的至少一条指令。
36.一种设备,包括: 用于生成随机值的装置； 用于向接入终端传送执行认证操作的命令的装置，其中所述命令是包括表示认证质询的命令限定符的标准消息； 用于向所述接入终端提供所述随机值以执行认证操作的装置； 用于接收由所述接入终端基于所述随机值以及存储于所述接入终端的存储器中的终端密钥所计算出的响应的装置；以及 用于基于所述响应来确定是否要授权所述接入终端使用所述可移除模块进行通信的装置。
37.如权利要求36所述的设备，其特征在于，所述命令是提供本地信息命令。
38.如权利要求36所述的设备，其特征在于，还包括: 用于在生成所述随机值之前接收来自所述接入终端的获得存储于所述可移除模块上的机密密钥的请求的装置； 用于在所述机密密钥可获得的情况下将所述机密密钥提供给所述接入终端的装置；以及 用于接收去激活所述机密密钥的信号以使得所述机密密钥不可访问的装置。
【文档编号】H04W12/06GK103733591SQ201280038833
【公开日】2014年4月16日 申请日期:2012年8月9日 优先权日:2011年8月9日
【发明者】M·伯洛尼, B·M·罗森伯格 申请人:高通股份有限公司