无线接入网络中的用户认证的制作方法

本发明涉及无线网络中的用户认证。

背景技术：

站的网络接入通常由网络接入提供方管理。网络接入提供方可以提供网络基础设施或利用网络运营方的网络基础设施，诸如，现有的蜂窝通信系统运营方、本地有线电视服务、或现代通信解决方案中的无线服务运营方。网络基础设施通常包括向站提供无线连接的一个或多个接入节点。然后，(多个)接入节点可以连接到网络基础设施的其他部分(诸如核心网络)，以及连接到其他网络(诸如互联网)。

当针对特定终端用户或用户实体(ue)或订户(所有均指相同的实体)协商对网络基础设施的接入时，认证是提供标识用户的解决方案的第一过程，通常通过在授权站接入(多个)接入节点之前验证用户证书。认证的过程基于每个用户都有唯一的信息、用户名-密码组合、系统标识符、或用作明确标识证书的秘钥。

技术实现要素：

本发明由独立权利要求的主题定义。实施例在从属权利要求中定义。

附图说明

在下文中，将参考实施例和附图更详细地描述本发明，在附图中

图1示出了可以在其中应用本发明的实施例的无线接入网络；

图2和图3示出了根据本发明的一些实施例的用于实现生物特征订户认证的过程的流程图；

图4示出了根据本发明的实施例的与订户的生物特征数据一起存储在网络元件中的用户配置文件；

图5示出了根据本发明的实施例的用于执行连接建立和相关联的认证的信令图；

图6示出了根据本发明的实施例的采用机制触发生物特征认证的无线电连接建立过程；

图7示出了根据本发明的实施例的用于获取用于认证的生物特征数据的信令图；

图8示出了根据本发明的实施例的用于执行认证的信令图；

图9示出了根据本发明的实施例的用于执行与会话发起协议相关的生物特征认证的信令图；以及

图10和图11示出了根据本发明的一些实施例的装置的框图。

具体实施方式

以下实施例为例。尽管说明书可能在文本的若干位置指代“一个(an)”、“一个(one)、”或“某个”实施例，但是这并不一定意味着每个引用都对指向相同的实施例，或者特定特征仅适用于单个实施例。不同实施例的单个特征也可以组合以提供其他实施例。

所描述的实施例可以在诸如以下中的至少一个的无线电系统中实现：基于基本宽带码分多址(w-cdma)的通用移动电信系统(umts、3g)、高速分组接入(hspa)、长期演进(lte)、高级lte(lte-advanced)、基于ieee802.11规范的系统、基于ieee802.15规范的系统、和/或第五代(5g)移动或蜂窝通信系统。

然而，这些实施例并不限于作为示例给出的系统，而是本领域技术人员可以将该解决方案应用于提供有必要属性的其他通信系统。如上所述，合适的通信系统的一个示例是5g系统。通过使用所谓的小小区概念(包括与较小的本地区域接入节点合作操作的宏站点)并且可能还采用了各种无线电技术来实现较好的覆盖和增强的数据速率，5g已经被设想使用多输入多输出(mimo)多天线传输技术，使用比lte的当前网络部署更多的基站或节点。5g可能由不止一种无线电接入技术(rat)组成，每种技术都针对某些用例和/或频谱进行了优化。5g系统还可能合并蜂窝(3gpp)和非蜂窝(例如，ieee)技术两者。5g移动通信将具有较宽的用例和相关应用，包括视频流、增强现实、数据共享的不同方式以及各种形式的机器类型应用(包括车辆安全、不同的传感器和实时控制)。预计5g将具有多个无线电接口，包括除了之前部署的、低于6ghz(也可能更高)的频率(即厘米波(cmwave)和毫米波(mmwave)频率)之外，并且还能够与已有的传统无线电接入技术(诸如lte)集成。至少在早期阶段可以将与lte的集成实现为一个系统，其中由lte来提供宏覆盖，并且5g无线电接口接入来自通过聚合到lte的小小区。换言之，计划5g支持rat间可操作性(诸如lte-5g)和ri间可操作性(无线电接口间可操作性，诸如厘米波和毫米波之间的ri间可操作性)两者。被认为在5g网络中使用的概念中的一个是网络分片，其中可以在相同的基础设施内创建多个独立且专用的虚拟子网络(网络实例)，以运行对延迟、可靠性、吞吐量和移动性具有不同要求的服务。

应当理解，未来的网络将最有可能利用网络功能虚拟化(nfv)，这是一种网络基础设施的概念，提出将网络节点功能虚拟化为可操作地连接或链接在一起以提供服务的“构建块”或实体。虚拟化网络功能(vnf)可以包括一个或多个虚拟机，该虚拟机使用标准或通用类型服务器而不是定制硬件来运行计算机程序代码。也可以利用云计算或云数据存储。在无线电通信中，这可能意味着要至少部分地在可操作地耦合到远程无线电头的服务器、主机或节点中执行节点操作。节点操作也可能分布在多个服务器、节点或主机中。还应当理解，核心网络操作与基站操作之间的劳动力的分配可能与lte的不同，或者甚至不存在。可能会被使用的其他技术进步是软件定义网络(sdn)、大数据和全ip，它们可能会改变网络被构建和管理的方式。

图1示出了可以在其中应用本发明的一些实施例的通信系统的示例。系统可以包括提供和管理相应小区100的一个或多个接入节点110。小区100可以是例如宏小区、微小区、豪微微小区、或微微小区。从另一角度看，小区可以定义接入节点的覆盖区域或服务区域。接入节点110可以是如lte和lte-a中的演进节点b(enb)、基于ieee802.11的网络(wi-fi或无线局域网(wlan))的接入点、或者能够控制无线电通信并管理小区内的无线电资源的任何其他装置。针对5g解决方案，实现可以类似于lte-a，如上所述。接入节点可以等同地称为基站或网络节点。系统可以是由接入节点的无线电接入网络组成的无线通信系统，每个接入节点控制一个或多个相应小区。接入节点可以向终端设备(ue)120、122提供对诸如互联网的其他网络的无线接入。终端设备120、122还可以被称为站，如下面的描述。在一些场景中，一个或多个局域接入节点可以被布置在宏小区接入节点的控制区域内。局域接入节点可以在可以被包括在宏小区内的子小区内提供无线接入。子小区的示例可以包括微小区、微微小区和/或豪微微小区。通常，子小区在宏小区内提供热点。局域接入节点的操作可以由在其控制区域内提供子小区的接入节点控制。在一些场景中，多个局域接入节点可以由单个宏小区接入节点控制。

图1的无线接入网络可以由其他网络(诸如互联网协议多媒体子系统(ims))或服务(诸如lte语音(volte))采用。

在通信网络中有多个接入节点的情况下，接入节点可以利用接口彼此连接。lte规范将这样的接口称为x2接口。在ieee802.11网络中，在接入点之间提供类似的接口。lte接入节点和wlan接入节点可以例如经由xw接口连接。在接入节点之间的其他有线或无线通信方法也是可能的。接入节点可以进一步经由另一接口连接到蜂窝通信系统的核心网络130。lte规范将核心网络指定为演进分组核心(epc)，并且核心网络可以包括移动性管理实体(mme)132、和网关(gw)节点134。mme132可以处理包含多个小区的追踪区域中的终端设备的移动性，并且还可以处理终端设备与核心网络130之间的信令连接。mme132还可以对终端设备120、122执行认证和完整性保护。网关节点134可以处理核心网络130中以及去往/来自终端设备的数据路由。在一个实施例中，诸如在lte网络中，网关节点被一组网关节点代替。在lte网络中，服务网关(sgw)节点被配置为为站120、122指派合适的分组数据网络网关(pgw)以服务数据会话。网关节点134可以连接到诸如互联网144的其他通信网络。

图1的无线电系统可以支持机器类型通信(mtc)。mtc可以实现为大量具有mtc能力的设备(诸如，至少一个终端设备120、122)提供服务。至少一个终端设备120、122可以包括移动电话、智能电话、平板计算机、膝上型计算机或用于与无线电通信网络(诸如mtc网络)进行用户通信的其他设备。与mtc方案相比，这些设备可以提供进一步的功能，诸如用于语音、视频和/或数据传输的通信链路。然而，从mtc角度来看，至少一个终端设备120、122可以被理解为mtc设备。需要理解的是，至少一个终端设备120、122还可以包括另一具有mtc能力的设备，诸如提供位置、加速度和/或温度信息的传感器设备，仅举几个例子。因此，本发明的一些实施例可以适用于物联网(iot)系统，例如支持窄带iot(nb-iot)通信方案的无线电接入技术。

图1示出了具有向移动终端设备120、122提供无线电接入的固定接入节点110的基于基础设施的通信场景。无线通信中的另一角度涉及移动设备之间的无线链路。在上下文中，设备120、122可以是对等设备，在此意义上，设备120、122可以是无线连接的端点并且建立本地对等网络。在另一方案中，设备120中的一个可以向其他设备120提供对基础设施的无线接入。因此，提供接入的设备可以被理解为移动接入节点。这种方案有时被称为网络共享(tethering)。

核心网络130和接入节点110的网络可以形成无线接入网络，向终端设备120、122提供与其他网络144的无线接入和数据传输能力。为了提供无线接入，无线接入网络可以首先与终端设备120建立连接。连接建立可以包括在接入节点110与终端设备之间的诸如无线电资源控制(rrc)连接的无线电连接的建立，此外，其可以包括在核心网络130与终端设备之间的核心网络连接的建立。连接建立可以包括对终端设备的认证。认证可以由mme、专用认证服务器140、或通常能够执行认证的无线接入网的任何网络节点来执行。在一些实施例中，认证服务器在无线接入网络的外部。因此，可以减少关于认证的资源消耗或核心网络的过载。认证可以利用参考数据库146，该参考数据库146存储已经被授权接入无线接入网络的用户证书。

无线接入网络还可以包括存储关于订户的信息的归属订户服务器(hss)142。在lte系统中，hss结合了归属位置寄存器(hlr)和认证中心(auc)，这意味着元件140、142可以被结合为单个网络元件。hss142的hlr部分存储并维护用户订阅信息，包括：用户标识和地址信息，诸如国际移动订户身份(imsi)和移动订户isdn号码(msisdn)或订户的移动电话号码；和用户配置文件信息，诸如服务订阅状态和用户订阅的服务质量信息(诸如最大允许比特率或允许的业务类别)。hss142的auc部分负责从用户身份秘钥生成安全信息。该安全信息被提供给hlr，并且进一步向网络中的其他实体传送。安全信息主要用于认证、加密和完整性保护，以确保无线接入网络和终端设备之间传输的数据和信令是安全的。

传统的认证机制利用存储在终端设备120、122中(例如，在终端设备120、122的订户身份模块(sim)上)的身份信息。身份信息可以包括全球唯一的订户标识符，诸如lte系统的国际移动订户身份(imsi)。其他认证机制可能涉及用户名和密码的组合，作为用于认证订户或站的手段。其他机制可能涉及从站输入秘密密码。

本发明的一些实施例使得能够基于在认证中利用站的用户的生物特征数据来进行与无线接入有关的认证。图2和图3示出了用于在无线接入网络中实现基于生物特征数据的认证的过程的流程图。图2示出了由站120或站122执行的过程。参考图2，该过程包括由站执行：生成(框200)连接建立请求，该连接建立请求包括如下的至少一个信息元素，该至少一个信息元素指示了用户120或用户设备122在无线接入网络中的认证过程中使用生物特征数据的能力；以及向无线接入网络的网络节点传输(框202)连接建立请求。

图2示出了一个过程，其中站被配置为向网络节点指示在认证中使用生物特征数据的能力。在一个实施例中，网络节点是接入节点110。在另一个实施例中，网络节点是mme132或为站120、122建立核心网络连接的类似节点。

图3示出了由网络节点执行的过程。参考图3，该过程包括：接收(框300)针对站的连接建立的连接建立请求。如结合图2所描述的，连接建立请求包括如下的至少一个信息元素，该至少一个信息元素指示了在连接建立的认证过程中使用生物特征数据的能力。该方法还包括：确定存储该生物特征数据的无线接入网络的网络元件，并且从所确定的网络元件获取(框302)生物特征数据；向认证节点传输(框304)认证请求以认证所获取的生物特征数据，该认证节点具有对存储参考生物特征数据的参考数据库的接入；作为对认证请求的响应，从该认证节点接收(框304)认证结果；以及根据所接收的认证结果继续进行(框306)站的连接建立。

存储站的用户的生物特征数据的网络元件可以是hss142。如上所述，hss可以存储关于订户的各种信息。关于结合图2和图3描述的站，hss142可以存储站的一个或多个标识符、站的联系方式等。图4示出了在hss142处与该站相关联的用户配置文件的记录的实施例。参考图4，用户配置文件可以存储与站相关联的订户的互联网协议(ip)多媒体私有身份(impi)以及订户的ip多媒体公共身份(impu)。impi可以被定义为由归属网络运营方指派的永久分配的全局身份。impi可以是例如电子邮件地址形式的网络接入标识符，并且其可以用于注册、认证、授权、管理和计费目的。

认证已经在上面讨论过了。在认证之后，认证过程定义一旦网络接入被授权即允许订户使用的权限和服务。授权构成了使用某些类型的服务的能力，例如ip地址过滤、地址指派、路由指派、qos/差分服务、带宽控制、业务管理、到特定端点的强制隧道、加密等。计费用于测量订户在接入期间消耗的资源。计费可以通过记录利用无线接入的服务的会话统计和使用信息来执行。

在一个实施例中，hss142存储映射到impi的订户的生物特征数据。生物特征数据可以包括订户的扫描指纹的定义、订户的扫描视网膜的定义、订户的记录音频样本、或从订户测量、扫描或记录的另一生物特征数据，而不仅限于此处提到的这些类型。当用户购买服务时(例如移动连接订阅)，生物特征数据可以被记录在hss中。在相同的情况下，可以利用已经记录的用户的、并且可用于在认证中使用的生物特征数据的信息来更新站的sim的存储器。在另一个实施例中，站120、122被配置为具有在连接建立期间传输该生物特征数据的能力。例如，无线接入网络可以打开到站120、122的数据信道，专门用于传输生物特征数据。结果，容纳sim的站能够在图2的过程中辨别已经启用了基于生物特征数据的认证。结合框200，站可以检查sim的存储器是否已经记录了生物特征数据，并且如果该存储器存储已经对生物特征数据进行了记录的信息，则站可以继续进行到框200和框202。

订户可以被认为是该站的主要用户，例如，无线接入网络将该站的sim与其相关联的用户。

如果不存在连接请求的生物特征触发部分，则无线接入网络可以执行传统认证。impu可以被任何用户使用以用于请求与其他用户的通信。hss142的用户配置文件可以存储映射到impu的订户的电话号码或者订户的其他联系方式。其他联系方式可以包括会话发起协议(sip)联系方式(诸如“sip：user@domain”或“sip：e.164@domain”)。用户配置文件可以进一步存储与impu有关的、订户已经可用的通信服务的列表。

图2和图3的过程是相互关联的，在某种意义上，它们提出了通过利用与站的连接建立过程相关的生物特征数据来实现认证的相同概念。图5示出了用于执行站120的连接建立的过程的信令图。该过程涉及通过使用生物特征数据来包含认证的特征的信令。

参照图5，在框502中，连接建立包括用于在接入节点110与站120之间建立无线电资源控制(rrc)连接的过程。下面结合图6描述rrc连接建立的细节。在一个示例中，在框502中，站120向接入节点110指示基于生物特征数据的认证的能力。当rrc连接已经被建立时，接入节点110可以向mme132传输或转发附接请求(步骤504)。该附接请求可以是非接入层(nas)消息。该附接请求可以包括指示符，该指示符向mme112指示基于生物特征数据的认证的能力。

在一个实施例中，在框502和/或504中，指示基于生物特征数据的认证的能力的信息元素是仅指示所述能力的标志或另一短消息。信息元素可以是一比特指示符。在步骤504中接收到附接请求之后，mme132可以检测基于生物特征数据的认证已经被触发，并且作为响应，mme可以在随后的身份请求消息中包括针对提供生物特征数据的请求。在步骤506中，mme通过接入节点110并通过建立的rrc连接向站120传输身份请求消息。响应于该身份请求，站120可以生成身份响应消息并且将资源定位符元素插入到身份相应消息中，该资源定位符元素指示存储生物特征数据的网络资源。如上所述，生物特征数据可能已经事先被存储在hss或另一网络元件中。诸如网络元件的网络地址的网络位置还可以被事先存储在站120中。因此，站120能够将指示网络资源的资源定位符元素插入到身份响应消息中。

在一个实施例中，资源定位符元素是统一资源定位符(url)。

在步骤506中接收到身份响应消息并且从身份响应消息确定生物特征数据的网络位置之后，mme可以在框508的过程中从网络位置(例如，hss142)获取生物特征数据。在一个实施例中，在框508中的获取根据结合以下图7更详细描述的diameter协议被执行。

在框508中获取站120的订户的生物特征数据之后，mme132可以在框510中执行认证。在框510中，mme132可以命令认证服务器140认证所获取的生物特征数据。下面结合图8描述该过程的细节。

认证服务器140可以连接到参考数据库，该参考数据库用作用于授权的参考生物特征数据的存储库。参考数据库可以由具有对从公民收集的生物特征数据的接入的管理机构维护。众所周知，许多国家都有一个存储公民的生物特征身份的官方的数字数据库。认证服务器可以接入这样的数据库并且获取用于认证的参考生物特征数据。在从mme接收订户的生物特征数据和从参考数据库接收到参考生物特征数据之后后，认证服务器可以比较生物特征数据并且向mme132输出认证的结果。此后，mme132可以在步骤512中继续进行站的核心网络连接的建立。例如，如果认证成功，则mme可以通过在步骤512中向站120传输经加密的选项请求和接收相应的响应来继续进行。当认证失败时，可以根据标准过程执行相应的动作。

如果获取订户的生物特征数据失败，则mme132可以决定执行传统的、基于非生物特征数据的认证，并且以传统方式完成认证过程。

在图5的实施例中，站120在步骤502中发送指示用于在认证中使用生物特征数据的能力的触发或标记，并且随后在步骤506中，站120发送生物特征数据的资源位置。

在另一实施例中，在步骤502中，站120还传输生物特征数据的资源位置。因此，步骤506可以以传统方式执行。然后，在步骤504中，接入节点110可以向mme132转发生物特征数据的资源位置。在两个实施例中，都不需要从站120发送生物特征数据，因为生物特征数据已经被事先记录并且存储在无线接入网络中。

现在让我们描述指示用于基于生物特征数据的认证的能力的指示符如何被用于rrc连接建立过程。图6示出了站120与接入节点110之间的rrc连接建立过程的信令图。参照图6，rrc连接建立过程可以以传统方式在步骤600和602中开始，在步骤600和602中站向接入节点110传输随机接入前导码(步骤600)，并且从接入节点110接收随机接入响应(步骤602)。随机接入响应可以包括为后续rrc连接请求分配上行链路资源。在步骤604中，站传输rrc连接请求，并且该请求可以包括上述信息元素，该信息元素指示用于通过使用站120的订户的生物特征数据来进行认证的能力。

在一个实施例中，rrc连接请求帧的备用比特被用于指示能力。rrc连接请求可以具有以下：

以上，“备用”的值可以指示能力，例如，值“0”指示没有使用生物特征数据的能力，并且值“1”指示有使用生物特征数据的能力，但不仅限于此逻辑。一些其他可能的可用比特也可以用于实现此逻辑。

在步骤604中接收到rrc连接请求之后，接入节点可以在步骤606和608中以传统方式继续进行rrc连接建立，在步骤606和608中rrc连接建立被完成。如以上结合步骤504所述，接入节点可以使用在步骤604中接收的信息元素来向mme指示用于基于生物特征数据的认证的能力。

当mme知道可以在认证中使用的生物特征数据，并且进一步知道关于生物特征数据的位置(例如，到相应的hss142的地址)时，mme可以发起生物特征数据的获取。图7示出了用于获取生物特征数据的过程。图7的实施例描述了根据diameter协议的获取的实现。diameter协议是用于在计算机网络中认证、授权和计费的应用层协议，并且属于根据传输控制协议/互联网协议(tcp/ip)的协议集合。可以通过mme132与hss142之间的s6a或s6d接口执行图7中的通信。

如上所述，在向无线接入网络注册订户期间(例如，当向用户出售sim和相关联的服务时)，用户的生物特征数据可以被存储在诸如hss的网络元件中。网络元件可以是对无线接入网络的所有网络节点可访问的，使得例如可以出于认证目的而获取生物特征数据。参照图7，现在让我们描述图5的框508的实施例。在步骤700中，mme132，或在其他实施例中，无线接入网络的另一网络节点向hss142传输认证信息请求(air)消息(属性值对(avp)代码318)。air可以携带信息元素，该信息元素指示mme132专门请求用于认证的生物特征数据。在步骤700中接收到air之后，hss142生成响应于air的认证信息应答(ala)消息(消息代码318)。aia可以包括对请求的确认以及对将携带生物特征数据的后续消息的引用。hss142在步骤702中传输aia消息。在步骤702中接收到aia消息之后，mme提取关于对后续消息的引用的信息，并且开始等待所引用的后续消息。在步骤704中，如果需要，hss可以使用插入订户数据(isd)消息来传输用户的生物特征数据。

在步骤704中接收到生物特征数据之后，mme132可以提取生物特征数据并且在框706中确定是否需要另外的生物特征数据。在确定所接收的生物特征数据足以用于认证之后，过程可以结束。然而，在框706中确定所接收的生物特征数据不完整或者确定需要另外的生物特征数据之后，mme132可以通过在步骤708中向hss142传输插入订户响应(isr)消息来触发另外的生物特征数据的传输。在步骤708中接收到isr消息之后，hss可以从其存储器或存储库获取另外的生物特征数据，并且通过向mme132传输另外的生物特征数据而再次返回到步骤704。以这种方式，该过程可以停留在步骤704到步骤708的循环中，直到mme132确定已经完成对认证所需的生物特征数据的获取为止。这是寻找用于认证过程的生物特征数据的一种可能的实现方法，但不仅限于此。

在接收到用于认证的订户的生物特征数据之后，mme132可以命令认证服务器142执行对生物特征数据的认证。现在参照图8描述框510的该过程的实施例。在步骤800中，mme132向认证服务器140传输认证请求。根据上述实施例中的任何一个，认证请求可以携带从步骤740至步骤708获取的生物特征数据。在步骤800中接收到认证请求和生物特征数据之后，认证服务器140可以触发认证过程以验证所接收的生物特征数据的真实性。在框802中，认证服务器140从存储参考生物特征数据的存储库获取上述参考生物特征数据。认证请求还可以携带标识订户的订户证书，并且使得认证服务器能够从存储库中获取正确订户的参考生物特征数据。在框802中接收到参考生物特征数据之后，认证服务器将在步骤800中所接收的生物特征数据与在框802中所获取的参考生物特征数据比较，并且确定认证结果。如果认证服务器在框804中确定在步骤800中所接收的生物特征数据与参考生物特征数据匹配，则认证成功完成，并且认证服务器可以在步骤806中向mme132传输指示生物特征数据的经验证的真实性的认证结果。另一方面，如果认证服务器在框804中确定在步骤800中所接收的生物特征数据与参考生物特征数据不匹配，则认证失败，并且认证服务器可以在步骤806中向mme132传输指示生物特征数据的无效真实性的认证结果。

如果认证成功并且生物特征数据真实，则mme132可以完成附接过程并且允许站接入无线接入网络。然后，mme或另一网络元件也可以继续进行上述授权和计费过程。如果认证失败并且生物特征数据无效，mme132可以终止附接过程并且指示到站120的附接失败。

如果站漫游并且没有附接到其归属网络，可以由访问网络采用框800至框806的类似过程。该过程可以用于检查用户是否列入黑名单，或者用于另一目的。其他目的的示例是访问网络使用该过程来提供个性化服务的实施例。

在核心网络不支持生物特征认证的实施例中，mme132可以利用指示不支持生物特征认证的响应消息来响应于在步骤504中接收的附接请求。在这种情况下，控制认证的网络节点可以执行传统的认证过程。

在一个实施例中，生物特征认证、授权、和/或计费结合会话发起协议(sip)而被利用，例如作为sip注册的一部分。图9示出了启用生物特征认证的sip注册过程的实施例。参照图9，诸如站120的用户代理或在站120或另一电子设备中执行的应用向服务器传输sip注册消息，该服务器可以是代理服务器。sip注册消息可以包括信息元素，该信息元素指示基于生物特征数据的认证/授权/计费可用。sip注册消息还可以包括资源定位符，该资源定位符是被称为会话描述符协议(sdp)的其消息主体的一部分，该资源定位符指定存储生物特征数据的网络位置，例如以url的形式，甚至以美国信息交换标准码(ascii)或者二进制格式的加密数据。在一个实施中，sip注册消息是sip的注册(register)消息。下面是带有信息元素和资源定位符的register消息的实施例。

信息元素是“authorization:digest,biometric”，并且资源定位符是sip的会话描述协议(sdp)主体的“biometric＝”hppts://centraldatabaseserverurl/xxxxx.jpg”部分。

在步骤900中接收到sip注册消息之后，代理服务器可以在框902中从由所接收的资源定位符指示的网络资源中获取生物特征数据。代理服务器还可以获取参考生物特征数据，如上所述。在这种情况下，获取正确的参考生物特征数据的用户证书也可以包括在sip注册消息中。例如，在上述register消息中，在接入存储参考生物特征数据的存储库时，可以使用用户名参数(“001010123456789@test.3gpp.com”)。此后，代理服务器可以在框904中以上述方式将生物特征数据与参考生物特征数据比较，并且确定认证结果。在步骤906中，认证结果可以被传输给用户代理。

在存储在hss或者142中和/或参考数据库中的生物特征数据对于所有网络运营方都是可访问的实施例中，认证服务器或网络节点可以检查与生物特征数据相关联的订户的状态，并且在认证、授权、和计费过程中的一个或多个过程中利用该状态。例如，如果状态指示由于没有支付账单或一些其他原因，该订户已经被列入黑名单，则可以防止该用户对通信服务的接入。例如，可以在框508或框510中终止由图5中的网络节点建立的连接。从另一角度看，该实施例为每个订户启用全局应用的策略、规则、或特征，因为生物特征数据对于订户是全局唯一的，并且对于参考数据库146中的所有网络都是可访问的。

认证中使用的生物特征数据通常提高无线接入的安全性。

图10和图11示出了根据本发明的一些实施例的装置的框图。图10示出了站120，而图9示出了网络节点。图10的装置可以是终端设备或对等设备，或者该装置可以包括在这些装置的任何一个装置中。该装置可以是例如这种装置中的电路系统或芯片组。图11的装置可以是mme或控制认证过程的另一网络节点，或者该装置可以包括在这样的装置中。该装置可以是例如这种装置中的电路系统或芯片组。图10和图11的装置可以是包括电子电路系统的电子设备。

参照图10，装置可以包括通信控制电路系统10(诸如至少一个处理器)，以及至少一个存储器20，该至少一个存储器20包括计算机程序代码(软件)22，其中至少一个存储器和计算机程序代码(软件)被配置为与至少一个处理器一起使该装置执行上述站120的实施例中的任何一个实施例。

可以使用合适的数据存储技术来实现存储器20，诸如基于半导体的存储器设备、闪存、磁存储器设备和系统、光存储器设备和系统、固定存储器和可移除存储器。存储器可以包括用于存储用于在传输中使用的配置数据的配置数据库24。例如，配置数据库24可以存储关于是否支持生物特征认证的信息。

该装置还可以包括通信接口(tx/rx)26，该通信接口26包括用于根据一个或多个通信协议来实现通信连接的硬件和/或软件。通信接口26可以向装置提供通信能力以在蜂窝通信系统和/或另一无线网络中通信。取决于装置是否被配置为操作为终端设备、对等设备、或另一设备，通信接口26可以提供不同的功能。通信接口26可以包括标准的众所周知的组件，诸如放大器、滤波器、频率转换器、(解)调制器、和编码器/解码器电路系统以及一个或多个天线。通信接口26可以包括在一个或多个无线网络中为装置提供无线电通信能力的无线电接口组件。

在一个实施例中，装置还包括用于扫描或记录来自用户的生物特征数据的扫描器15。扫描器可以是视网膜扫描器、指纹扫描器、或录音机。在上述实施例中的任何一个实施例中，扫描的生物特征数据可以存储在存储器20中并且被传送到无线接入网络。

参照图10，通信控制电路系统10可以包括控制平面电路系统12，该控制平面电路系统12被配置为执行控制平面信令、诸如控制或管理消息的传输和接收。这样的消息可以包括连接建立消息、连接管理消息、连接终止消息、切换消息、测量消息等。控制平面电路系统可以例如根据上述rrc连接建立的实施例来执行信令。通信控制电路系统10还可以包括数据通信电路系统16，该数据通信电路系统16被配置为与服务接入节点和/或与其他设备执行用户平面或数据平面通信。

通信控制电路系统10还可以包括传输控制器18，该传输控制器18被配置为控制电路系统12和16的操作。在一个实施例中，在确定发起rrc连接的建立时，例如，在从装置中执行的应用接收到连接建立请求之后，传输控制器18可以检查配置数据库是否启用了生物特征认证。如果配置数据库24指示启用了生物特征认证，则传输控制器18可以配置控制平面电路系统以将指示生物特征认证的能力的信息元素插入到rrc连接请求消息中。另一方面，如果配置数据库24指示禁用了生物特征认证，则传输控制器18可以配置控制平面电路系统12传输传统rrc连接请求消息。

参考图11，装置可以包括通信控制电路系统50(诸如至少一个处理器)，以及至少一个存储器60，该至少一个存储器60包括计算机程序代码(软件)62，其中至少一个存储器和计算机程序代码(软件)被配置为与至少一个处理器一起使装置执行如上所述的控制认证、授权、和/或计费的网络节点的实施例中的任何一个实施例。

可以使用任何合适的数据存储技术来实现存储器60，,诸如基于半导体的存储器设备、闪存、磁存储器设备和系统、光存储器设备和系统、固定存储器和可移除存储器。存储器可以包括用于存储配置数据的配置数据库64。例如，配置数据库64可以存储关于网络节点是否支持生物特征认证的信息。

装置还可以包括通信接口(i/o)66，该通信接口66包括用于根据一个或多个通信协议来实现通信连接的硬件和/或软件。通信接口66可以向装置提供通信能力以在蜂窝通信系统和/或在另一无线接入网络中通信。通信接口可以例如提供到无线接入网络的接入节点的接口以及朝向存储生物特征数据的hss或另一实体的另一接口。通信接口66还可以提供到认证服务器的接口。图11示出了mme132朝向其他网络节点的一些接口，但是这些接口仅是示例性的。

参照图11，通信控制电路系统50可以包括认证控制器58，该认证控制器58被配置为控制与建立站120的连接有关的订户的认证。认证控制器可以包括传统认证控制器54作为子电路，该传统认证控制器54被配置为在不使用生物特征数据的情况下以传统方式执行认证。当配置数据库64指示不支持生物特征认证时，认证控制器58可以启用传统认证控制器54。认证控制器可以包括生物特征认证控制器55作为子电路，该生物特征认证控制器55被配置为通过使用生物特征数据来执行认证。当配置数据库64指示支持生物特征认证时，认证控制器58可以启用生物认证控制器55。生物特征认证控制器可以根据上述实施例中的任何一个实施例来执行框508和框510。

如本申请中所使用的，术语“电路系统”指的是以下所有：(a)仅硬件电路实现，诸如仅在模拟和/或数字电路系统中的实现，以及(b)电路和软件(和/或固件)的组合，诸如(如适用)：(i)(多个)处理器的组合或(ii)包括以下的(多个)处理器/软件的部分：(多个)数字信号处理器、软件、和(多个)存储器，它们一起工作以使装置执行各种功能，以及(c)需要软件或固件才能操作的电路，诸如(多个)微处理器或(多个)微处理器的一部分，即使软件或固件并不实际存在。“电路系统”的该定义适用于本申请中该术语的所有使用。作为另一示例，如在本申请中所使用的，术语“电路系统”还将涵盖仅处理器(或多个处理器)或处理器的一部分及其(或它们)随附软件和/或固件的实现。术语“电路系统”还将涵盖(例如并且如果适用于特定元件)用于移动电话的基带集成电路或应用处理器集成电路或在服务器、蜂窝网络设备、或另一网络设备中的类似的集成电路。

本文中所描述的技术和方法可以通过各种方式来实现。例如，可以以硬件(一个或多个设备)、固件(一个或多个设备)、软件(一个或多个模块)、或其组合来实现这些技术。对于硬件实现，可以在一个或多个专用集成电路(asic)、数字信号处理器(dsp)、数字信号处理设备(dspd)、可编程逻辑设备(pld)、现场可编程门阵列(fpga)、处理器、控制器、微控制器、微处理器、旨在执行本文中所描述的功能的其他电子单元、或其组合来实现。对于固件或软件，可以通过执行本文中所描述的功能的至少一个芯片组的模块(例如，过程、功能等)来执行该实现。软件代码可以存储在存储器单元中并且由处理器执行。该存储器单元可以在处理器内部或在处理器外部实现。在后一种情况下，如本领域中已知的，它可以经由各种方式通信地耦合到处理器。另外，本文中所描述的系统的组件可以由附加组件重新布置和/或补充，以便实现关于其描述的各个方面等，并且如本领域技术人员将理解的，它们并不局限于给定图中阐述的精确配置。

如所描述的实施例也可以以由计算机程序或其部分定义的计算机过程的形式来执行。结合图2至图7描述的方法的实施例可以通过执行包括相应指令的计算机程序的至少一部分来执行。该计算机程序可以是源代码形式、目标代码形式、或者某种中间形式，并且它可以存储在某种载体中，该载体可以是能够携带程序的任何实体或设备。例如，计算机程序可以存储在计算机或处理器可读的计算机程序分发介质上。计算机程序介质可以例如但不限于记录介质、计算机存储器、只读存储器、电载波信号、电信信号和软件分发包。该计算机程序介质可以是非瞬态介质。用于执行所示和所描述的实施例的软件的编码完全在本领域普通技术人员的范围内。

即使上面已经参照根据附图的示例描述了本发明，但是显然本发明不限于此，而是可以在所附权利要求的范围内以若干方式修改。因此，所有的词语和表达应当被广义地解释，并且它们旨在说明而不是限制实施例。对于本领域技术人员而言显而易见的是，随着技术的进步，可以以各种方式实现本发明的构思。此外，对于本领域技术人员而言清楚的是，所描述的实施例可以但不必须以各种方式与其他实施例组合。