無線網絡中的用戶終端硬體的數字證書的製作方法

2023-06-12 04:44:31

專利名稱：無線網絡中的用戶終端硬體的數字證書的製作方法
技術領域：
本發明涉及硬體鑑別領域，更具體地，涉及無線網絡中的終端鑑別。
背景技術：
硬體鑑別，有時也稱為實體鑑別，是鑑別聲稱或假定的身份的過程。在無線接入網的環境中，硬體鑑別用來驗證某實體確實是其聲稱的那個實體。例如，硬體鑑別可以驗證聲稱具有特定的MAC地址的終端確實具有其聲稱的那個MAC地址。如果沒有硬體鑑別，未授權用戶終端便可以竊取無線接入網的資源，且合法用戶終端和接入點之間的上行和下行鏈路通信便有可能被攔截和偷聽。
當前，無線網絡中的硬體鑑別由時變挑戰-響應協議完成。在典型的挑戰-響應協議中，申請人通過向驗證器展示已知與該申請人有關的機密知識來證明其身份。
挑戰-響應協議的一個問題是，驗證器需要接入安全資料庫來識別申請人應具有的機密。而且，這樣的協議需要幾次報文交換和在工作時加密，而這可以使網絡訪問變慢。

發明內容
無線接入網的用戶終端可使用數字證書來向無線接入網的接入點證明其自身。在一個實施例中，該用戶終端包括存儲身份證書的存儲器，而該身份證書由用戶終端可用於鑑別的證書籤名，其中，該身份證書至少部分地基於包括在上述用戶終端內的硬體。在一個具體的實施例中，上述身份證書被捆綁到用戶終端的序列號。


本發明是通過舉例而非限制的方式進行說明的，在附圖的各幅圖中，相同的附圖標記表示相同的單元，其中圖1是無線接入網的簡化框圖，在該接入網中，可以實施本發明的一個實施例；
圖2是根據本發明的一個實施例的鑑別協議的簡化流程圖；圖3是根據本發明的一個實施例的、基於身份證書的鑑別的簡化流程圖；圖4是根據本發明的一個實施例的服務證書下載的簡化流程圖；圖5是根據本發明的一個實施例的會話證書授予的簡化流程圖；圖6是接入點的簡化框圖，在該接入點上，可以實施本發明的一個實施例；並且圖7是用戶終端的簡化框圖，在該用戶終端上，可以實施本發明的一個實施例。
具體實施例方式
無線接入網現在，結合圖1來描述可以實施本發明的實施例的示範系統。圖1示出了無線接入網100。無線接入網可用於提供到網絡102或任何其它數據網絡(如LAN或WAN)的接入。
無線接入網100包括無線接入點104(″AP″)，以允許終端用戶設備106(″EUD″)使用無線用戶終端108(″UT″)進行通信。EUD106通常是移動計算設備，如膝上型計算機或筆記本電腦、個人數字助理(″PDA″)，或蜂窩電話。然而，EUD106可以是任何其它計算裝置，如臺式計算機或工作站。
可以將UT108實施為獨立單元，如PCMCIA卡或盒，或將其集成到EUD106主體之中。一個UT108可以僅為一個EUD106或一組EUDs106提供通信。UT108是類似於數據機的通信設備。UT108可負責無線電通信和物理層信號處理。更高級別的處理可以由UT108或主機EUD106執行。
UT108可使用無線電信號與AP104進行無線通信。AP可以是蜂窩基站、802.11接入點，或其它無線系統接入點(如i-BurstTM基站)。多個AP可通過交換機110或路由器連接，以將上述連接集中於網際網路服務提供商(″ISP″)112，和當UT108從一個AP104區域移動到另一個AP區域中時促進切換。
ISP，特別是美國在線、Prodogy和SBC促進了到網際網路102的接入。EUD106的用戶向ISP112訂購網際網路服務。無線接入網100則允許這些用戶以無線的方式接入網際網路102。
在一個實施例中，交換機110也與管理伺服器(″MS″)114耦合。MS114可以執行各種網絡管理功能，例如服務授權，統計數據匯集，和用於UT108的空中(overthe air)配置。
圖1是高度簡化的框圖。在真實的網絡中，可存在交換機110與集線器組成的分層結構，且這些交換機和集線器將成千上萬的AP104與各個ISP112連接在一起。此外，本發明的實施例不必在嚴格的無線接入網環境中實施。例如，本發明的一個實施例可以在無線對等網中實施。然而，在鑑別期間，一個同位體將作為AP104，而另一個同位體將作為無線接入網的UT108。
鑑別協議在圖2中，示出了一種示範的鑑別協議，在該協議中可使用本發明的實施例。圖2也包括了對實施本發明而言並非必需的細節，本文中，為清楚和背景說明的目的而提供了這些細節。結合圖2所述的過程和報文交換主要與UT108的鑑別有關。然而，該過程也可以導致對AP104的鑑別和之後用於加密的共享機密的交換。
當UT108到達AP104的覆蓋區時，它便開始註冊過程。註冊是一種關係，它使得UT108能夠與AP104交換通信流。結合圖2所述的鑑別協議是上述註冊過程的一部分。
因為結合圖2所述的鑑別協議是基於證書的，因而在註冊開始之前，UT108和AP104均獲得了由一個或多個可信實體(如證書授權機構(「CA」))分派的至少一張數字證書。數字證書是由CA籤名的文本報文。該籤名可以是用CA的私鑰加密的文本報文的摘要，僅該CA可使用該私鑰，但該摘要可以由任何得知該CA公開的公鑰的實體進行驗證。
為鑑別證書，可用公開的CA公鑰解密籤名，並計算上述文本報文的摘要。如果這兩個文本報文字符串匹配，則該證書確實是由CA籤名的。存在商業化的CA(如VeriSign有限公司)，或者，網絡運營商可創建其自身的CA。公鑰加密技術和其創建與驗證數字證書的用途是眾所周知的。
在一個實施例中，UT108不具有獨立的時間基準，並且從AP104接收其對於時間的認知。例如，AP104可包括廣播突發或一些尋址到UT108的通信中的絕對幀編號(absolute frame number)。
在框202中，當UT104接收AP證書時，可開始鑑別協議。AP證書可包括AP104的身份，如AP104的介質存取控制(MAC)地址，它唯一地或者在網絡範圍內識別AP104。該證書也包括AP公鑰，該公匙與AP104的私鑰對應。AP104可以使用用於不同的UT108的不同公/私鑰對。如上所述，AP證書由UT108信賴的CA籤名。
在框204中，UT108產生共享機密。該共享機密僅為這一點處的UT108所知，並將僅與AP104共享。可使用隨機數序列發生器產生隨機序列形式的共享機密。在一個實施例中，隨後將該共享機密的至少一部分用作主機密，以使用對稱密鑰加密技術加密UT108和AP104之間的通信。建立用於對稱密鑰加密技術的上述機密的必要性是眾所周知的。
在框206中，UT108產生鑑別碼字符串。鑑別碼字符串的一個關鍵目的是證明UT108具有與包括在UT證書中的UT公鑰對應的UT私鑰。因為CA證明該公鑰屬於UT108，因而具有對應私鑰的設備是真實的UT108。
存在許多能證明對UT私鑰的擁有的、可能的鑑別碼字符串。例如，UT可以用私鑰加密一部分共享機密。在一個實施例中，UT108可以產生鑑別碼報文，並用UT私鑰為其籤名。如果AP104可以獨立地產生鑑別碼報文，則該鑑別碼字符串可以僅僅是籤名。
在框208中，UT108對由CA給予的UT證書進行加擾。該UT證書包括UT108的標識符(如其MAC地址)，和與用於對鑑別碼字符串進行籤名的私鑰有關的公鑰。該證書可以包括各種其它數據欄位，這些數據欄位包含有關UT 108的信息。對UT證書進行加擾的一個原因是隱藏UT標識符。這使得跟蹤UT108變得困難。
在一個實施例中，使用共享機密的至少一部分對該UT證書進行加擾。在一個實施例中，用於加擾的共享機密的那些位不再用於之後的對稱密鑰加密。例如，指定的共享機密的加擾位可用於植入(seed)線性反饋移位寄存器，該線性反饋移位寄存器的輸出可用來對UT證書加擾。在一個實施例中，將由線性反饋移位寄存器產生的位與UT證書的位進行異或運算。
在框210中，UT108用在框202中接收的AP證書中包含的AP公鑰加密在框204中產生的共享機密。在一個實施例中，在框212中，該UT也產生時間戳。該時間戳表示UT108所知的時間。在一個實施例中，如上所述，UT108從AP104得到其對時間的認知。
在框214中，UT108將報文發送到AP104，AP104可用該報文鑑別UT108。在一個實施例中，該報文包括在框204中產生並在框210中加密的共享機密、由CA頒發的並在框208中加擾的UT證書，和在框206中產生的鑑別碼字符串。此外，該報文還可以包括在框212中產生的、以防止重放攻擊(replay attack)的時間戳。
在一個實施例中，該報文是UT參數報文，除上述的內容以外，它也包括各種其它信息，且其中一些信息可以用AP公鑰加密。例如，該UT參數報文也可包括UT108的通信性能和偏好等參數。
圖2中的框的次序僅表示一個實施例，而絕非是對本發明的限制。在一些實施例中，可預先計算將包括在UT參數報文中的幾個值，而這將導致以不同次序來執行某些框。且其它框可以被完全省略。例如，如果UT108已具有可信的時間基準(例如，當UT108已具有來自經過鑑別的AP104的時間時)，框226、或許還有框212可以被省略。而且，UT108可能具有緣於在先註冊的AP證書的存儲的副本。在這種情況下，框202可能已被執行。在一個實施例中，對幾個經常訪問的AP104而言，UT108存儲AP證書，或至少存儲AP公鑰。
在一個實施例中，在註冊開始之前，UT108在框204中產生了共享機密。在其它實施例中，可以產生用於不同接入點104的多個共享機密。在一個實施例中，在接收AP證書(框202)之前，UT108產生共享機密(框208)，並用幾個保存在存儲器中的存儲的AP公鑰對該機密進行加密(框210)。而且，在註冊開始之前，並且當然在框202中接收AP證書之前，一旦產生了共享機密(框204)，則可用該機密對UT證書進行加擾(框208)。在其它實施例中，在框202中接收AP證書之前，可以在框206中產生鑑別碼字符串。
如上所述，由UT108執行的圖2的各個框可以按各種次序來執行，且本發明不限於任何特定的事件流程。在註冊開始之前，或在等候來自AP104的協議響應時，可以預先計算各個值。而且，可並行地執行某些框，同時，可以交換其他框的次序。通過猜測AP的身份與公鑰來預先計算各個值和以推測方式加密共享機密，可以進一步提高鑑別協議的速度和效率。
再次參考圖2，在框216中，AP104接收由UT108發送的UT參數報文。在框218中，該AP使用其私鑰解密該共享機密。在該AP擁有該共享機密後，在框220中，該AP可以對UT證書進行解擾。由於該共享機密的至少一部分被用於加擾UT證書，因而僅AP104可以解擾該證書，因為僅AP104具有解密該共享機密必需的AP私鑰。
在框222中，該AP通過檢查CA籤名和任何與UT證書有關的有效期來鑑別該UT證書。如上所述，該UT證書包括UT公鑰，且該CA籤名可確保將該UT公鑰分派給具有標識符(如MAC地址)的UT，而UT證書中也包括了上述標識符。
在框224中，AP104對UT108進行鑑別。而這可以通過使用鑑別碼字符串驗證UT104擁有與UT證書中的UT公鑰相應的UT私鑰來實現。在一個實施例中，該鑑別碼字符串是鑑別碼報文的UT籤名。該UT籤名可以是摘要，即用UT私鑰加密的鑑別碼報文的散列(hash)。其它數字籤名也是可能的，例如，用UT私鑰加密整個鑑別碼報文，或加密其一部分。
在一個實施例中，AP104可以獨立地產生鑑別碼報文和鑑別碼報文摘要。在這種情況下，AP104用UT公鑰解密鑑別碼字符串，產生鑑別碼報文的摘要，並將解密的鑑別碼字符串與獨立產生的鑑別碼報文摘要進行比較。以這種方式，AP104可以驗證UT108擁有與UT證書中的UT公鑰配套的UT私鑰。
在一個實施例中，UT108也可以請求時間確認。在這樣一個實施例中，當UT上電時，UT108對時間的認知得自AP104。因此，至少在進行冷啟動時(但在其它情況下也一樣)，未被授權的AP可以使用到期的證書，並且向UT提供偽時間基準，該時間基準使得該證書似乎是有效的。為緩解這個問題，UT108可以請求詢問AP104驗證在框212中由通過UT108產生的時間戳。
如果UT108請求時間驗證，則在框226中，AP可以對該時間戳進行驗證。該時間戳可以被歸入UT參數報文，作為對重放攻擊的保護，但它也可以用於時間確認。在一個實施例中，在框226中，AP104通過將時間戳轉發到可信的時間伺服器(″TS″)來執行時間確認。該TS為UT108所信賴，它可以是CA，或任何已知由網絡運營商或者其它可信實體運營的伺服器。
在一個實施例中，TS對該時間戳進行確認，並將其發送回AP104，AP104又將該時間戳轉發至UT108。在一個實施例中，在框228中，AP104將註冊參數報文發送至UT108，該註冊參數報文包括各種註冊參數-如隨機存取信道、尋呼標識符和註冊標識符-並且該被確認的時間戳被包括到該報文之中。在其它實施例中，TS可以將該確認直接(或通過AP104外的其他手段)發送到UT108。
根據結合圖2所述的一個實施例，AP104可使用來自UT108的單個報文鑑別UT108。在一個實施例中，為對稱密碼加密而使用共享機密(或其一部分)來加密UT108與AP104之間的所有另外的通信。在這種情況下，在框228中，當AP104發送註冊報文時，暗中對AP104進行鑑別，因為除UT108之外，只有擁有AP私鑰的該AP才具有該共享機密。
用戶終端證書以上，對鑑別過程期間UT108提供給AP104的、由CA籤名的UT證書進行了詳細說明。在一個實施例中，存在在不同時間使用的各種不同的UT證書。在一個實施例中，UT108擁有的最初的UT證書可稱作身份證書。
在一個實施例中，身份證書被捆綁到UT108的硬體。UT108的一個硬體標識符是其序列號。更具體地說，UT108的硬體是由其乙太網地址(或其根據其它全球尋址系統的硬體身份碼)唯一地識別的。在一個實施例中，該唯一的硬體身份碼(如序列號)被納入身份證書的明文中。示範的身份證書可包括如下欄位1.證書授權機構標識符-識別用於鑑別的CA。
2.證書類型-規定證書類型，例如″身份″。
3.證書的序列號-由CA分派的值，在證書的有效期內，它唯一地識別由該CA頒發的任何證書。
4.有效期-設置到期時間。
5.UT序列號-硬體地址，該地址識別擁有該證書的UT。例如，將該地址設定為UT的IEEE乙太網MAC地址格式。
6.UT公開身份密鑰-該公鑰用於將加密的報文發送到UT。
該示範的身份證書的欄位5將該證書與UT108的硬體進行捆綁。這樣的身份證書是唯一的，從而可防止對具有身份證書的UT108的複製(即未授權的冒充)。而且，因為身份證書不須知道EUD106的用戶預訂的ISP112(或用於接入ISP112的無線接入網100)，因而由UT的生產商在工廠階段將該身份證書植入UT108中。從而，它可用於最初的鑑別。
這樣的鑑別是結合圖3來描述的。在框310中，UT108中植入了身份證書，且該證書依賴於所製造的UT硬體。可通過在UT108的主存儲器或安全存儲器中存儲由CA籤名的證書來實現植入該身份證書。
在框320中，如圖2的框214中發送的一部分報文那樣，將身份證書從UT108發送給AP104。然後，如結合圖2的框222所述的那樣，在框330中，AP104使用作為UT證書的身份證書來鑑別UT108。以這種方式，不必考慮生產商或者服務提供商，AP104便可對UT108進行鑑別，而這使得UT108能在全球範圍內漫遊到信任CA的任何網絡。
另一類UT證書可稱作服務證書。在一個實施例中，除身份證書以外，還可獲得服務證書。在其它實施例中，它可以是唯一的UT證書。該服務證書也由CA籤名，並可由ISP112頒發給UT108。
服務證書包括UT108的預訂標識符，該標識符對應於UT向ISP112發出的預訂。除以上所示的身份證書的欄位外，示範的服務證書可包括由ISP112分派的包括UT108的國際移動業務標識符(IMSI)在內的欄位。也可以使用其它標識符。
在一個實施例中，該服務證書指明了通過上述預訂而提供給UT108的服務的質量或等級。例如，如果使用UT108連接到ISP112的EUD206的用戶選擇預訂一個高速數據會話和一個語音會話，則可以在服務證書中的與預訂標識符相同的欄位(或不同於該欄位的獨立欄位)中引入表示該服務等級的代碼。
由於在製造UT108時不知道預訂標識符和服務等級，因而需要在之後下載這些信息。在一個實施例中，使用身份證書(或工廠植入的其他UT證書)來完成下載。這樣的過程的一個實施例是結合圖4來進行描述的。在框410中，AP104從首次註冊的(或當前不具有預訂的)UT108接收工廠植入的證書(如身份證書)。
在框420中，以類似於以上結合圖3的框330所述的方式來鑑別UT108。在一個實施例中，使用工廠植入的證書來提醒AP104或MS114這是用於網絡接入的首次登錄。從而，UT108可以被引導至預訂服務，如ISP112。因此，在框430中，AP104允許在UT108和ISP112之間的連接。
在用戶與ISP112交換預訂信息(選擇的服務等級和信用卡號)後，ISP112使用從UT108接收的證書創建UT108的服務證書。為實現此目的，ISP112將預訂標識符(如IMSI)分派給UT108。此外，ISP112也可以將表示預訂的服務等級的代碼分派給UT108。這些值被加到新證書的明文中，然後，由ISP112信賴的CA為該新證書籤名。
在框440中，將該新證書(服務證書)從ISP112發送到AP104，以便進行初始連接。在框450中，AP104將服務證書轉發給UT108，後者將它保存在存儲器中，以用於將來的鑑別。使用該服務證書，UT108可以在單次通信中向AP104和ISP112證明其身份。而且，AP104可基於該服務證書確定其應當提供給UT108的服務的質量。在使用工廠植入的證書的情況下，採用其他方法均不能取得上述效果。
在基於證書的鑑別方案中，接入網100必須在各個節點-如AP104、交換機110或MS114-處保存證書撤銷清單(CRL)，以記錄尚未到期但已經作廢的證書。例如，如果UT108的用戶允許他的預訂失效，則不得不取消其下載的服務證書，即使它的有效期還沒有屆滿。因此，服務證書的有效期越長，則CRL必須越長。
因為CRL耗費物理資源(如存儲器)和計算資源(如搜索)，所以希望CRL較短而不是較長。然而，通過減少服務證書的有效期來使CRL較短將需要使用結合圖4所述的過程頻繁下載服務證書。這意味著，每當服務證書到期(要讓CRL較短，一天之內將有幾次到期)時，便需要新的預訂或對預訂進行鑑別。
根據本發明的一些實施例，無須縮短服務證書的有效期便可使AP104的CRL變短。在一個實施例中，取決於允許UT108同時維持的授權會話數目，由ISP112向UT108分派一個或多個會話證書。除服務證書的其他欄位以外，會話證書可包括與UT108將進行的會話有關的會話標識符。例如，會話標識符可在UT108內唯一地識別點到點協議(PPP)會話。
結合圖5描述了使用會話證書的鑑別的一個實施例。在框510中，ISP112從新用戶接收最初的預訂請求。在框520中，準許了該預訂。在這個例子中，服務等級是兩個並行會話，一個用於高速數據通信，一個用於基於IP的話音(VOIP)通信。在框530中，ISP112將預訂標識符分派給UT108，並產生服務證書和將該證書傳送給UT108。
在框540中，除服務證書外，ISP112也提供兩張會話證書，其中，每個允許的會話均擁有一張證書，且每個允許的會話均具有唯一的會話標識符。該會話證書的有效期比服務證書的有效期短。在一個實施例中，每張會話證書僅對單個對話有效。特別地，擁有會話證書有助於防止移交期間的會話偷竊(theft)，因為每個授權的會話必須由證書進行鑑別。
當因為會話證書已經到期，UT108請求更多的會話證書時，UT向ISP112提供服務證書。在框550中，ISP112通過檢查ISP112管理實體中的CRL來確定服務證書是否有效。如果它仍然有效，則如同框540中那樣，ISP112創建新的會話證書，並將它們提供給UT。
如果因服務證書已被撤消致使它不再有效，則在框560中ISP112拒絕提供服務給UT108。然後，可提示UT108產生身份證書，以對其進行鑑別和準許新的預訂。從而，當需要檢查可能較長的CRL(用於服務證書)時，由ISP112執行該搜索。當對UT108進行鑑別時，在大部分時間內，AP104僅需搜索相對較短的會話證書CRL。
接入點結構現在描述無線接入網的AP104和UT108的實施例。圖4示出了適於實施本發明的無線接入網或者蜂窩通信網的AP的例子。該系統或者網絡包括一些用戶站，也稱為遠程終端或UT，如圖1所示的、並在圖7中詳細說明的UT108。AP可以通過其主DSP31連接到廣域網(WAN)或網際網路，以便向即時無線系統外部提供任何需要的數據業務與連接。為支持空間分集，使用多個天線3(如四個天線)，儘管也可選擇其它數目的天線。
將用於每個用戶站的一組空間復用權重應用於各自的調製信號，以產生將由上述四個天線的組發送的空間復用信號。主DSP31產生和維護每條常規信道的每個用戶站的空間籤名，並使用接收的信號測量值計算空間復用和去復用權重。以這種方式，分離了來自當前運行的多個用戶站(其中一些用戶站在相同的常規信道上運行)的信號，並抑制了幹擾和噪聲。當從AP至用戶站進行通信時，創建了適於當前運行的用戶站連接和幹擾情形的優化的多瓣天線的輻射圖。在1998年10月27日授予Ottersten等人的美國專利No.5,828,658和1997年6月24日授予Roy，III等人的美國專利No.5,642,353中描述了用於實現這樣的空間定向波束的合適的智能天線技術。可以以任何方式劃分所使用的信道。在一個實施例中，可以以GSM(全球移動通信系統)空中接口，或任何其它時分空中接口協議(如數字蜂窩、PCS(個人通信系統)、PHS(個人手持電話系統)或WLL(無線本地環路))中定義的方式來劃分所使用的信道。另外，可使用連續的模擬信道或CDMA信道。
上述天線的輸出連接到雙工交換機7，在TDD實施例中，該交換機可以是時間交換機。該雙工交換機的兩個可能的實施例是頻分雙工(FDD)系統中的頻率雙工器和時分雙工(TDD)系統的時間交換機。當接收時，上述天線的輸出通過雙工交換機連接到接收器5，並且由RF接收器(″RX″)模塊5以模擬方式從載波頻率下變頻為FM中間頻率(″IF″)。然後該信號由模-數轉換器(″ADC″)9進行數位化(採樣)。最後，上述信號被數字地下變頻為基帶信號。可用數字濾波器來執行上述下變頻和數字濾波，其中，後者採用了有限脈衝響應(FIR)濾波技術。該過程如框13所示。本發明可適用於多種RF和IF載波頻率和頻帶。
在本實例中，存在來自每個天線的數字濾波器13的八個下變頻輸出，其中，每個接收時隙具有一個輸出。可改變時隙的特定數目，以適應網絡的需要。儘管GSM為每個TDMA幀使用八個上行鏈路和八個下行鏈路時隙，但也可用每個幀的上行鏈路和下行鏈路的任何數目的TDMA時隙實現所希望的結果。根據本發明的一個方面，對八個接收時隙中的每個時隙而言，將來自四個天線的四個下變頻輸出饋送至數位訊號處理器(DSP)17(以下稱″時隙處理器″)，以進行進一步處理，包括校準。可以將八塊摩託羅拉DSP56300族DSP作為時隙處理器使用，每個接收時隙分配一塊上述處理器。時隙處理器17監視接收的信號功率，並估計頻偏和時間校準。它們也為每個天線單元確定智能天線權重。在SDMA方案中，這些權重用於確定來自特定的遠方用戶的信號和解調該確定的信號。
時隙處理器17的輸出被解調為用於八個接收時隙的每個時隙的突發數據。該數據被發給主DSP處理器31，後者的主要功能是控制該系統的全部單元和與更高級處理接口，而上述處理涉及對多個信號的處理，其中，這些信號是在系統的通信協議所定義的所有不同的控制與服務通信信道中進行通信所需的信號。主DSP31可以是摩託羅拉DSP56300族DSP。此外，時隙處理器將用於每個UT的、確定的接收權重發送到主DSP31。主DSP31保存狀態和定時信息，從時隙處理器17接收上行鏈路的突發數據，並對時隙處理器17進行編程。此外，它解密、解擾和檢查糾錯碼，並解構上行鏈路的突發信號，然後將要被發送的上行鏈路信號格式化，以用於在AP的其他部分進行更高級處理。而且，DSP31可包括儲存數據、指令、跳躍函數(hopping function)或序列的存儲單元。另外，AP可具有獨立的存儲單元或可訪問輔助的存儲器單元。相對於AP的其他部分，它格式化服務數據和業務數據，以便在AP中進行另外的更高級處理，從AP的其他部分接收下行鏈路報文和業務數據，處理下行鏈路突發並且格式化下行鏈路突發，將下行鏈路突發發送到發送控制器/調製器(在圖中示出為37)。主DSP也管理AP的其它部分的編程，這些部分包括發送控制器/調製器37和在圖中示出為33的RF定時控制器。
如框45所示，RF定時控制器33與RF系統接口，並產生一些由RF系統和數據機使用的定時信號。RF控制器33讀取並發送功率監視和控制值，控制雙工器7，並從主DSP31接收定時參數和其他設置值。
發送控制器/調製器37接收來自主DSP31的發送數據。發射控制器使用該數據產生模擬IF輸出，該輸出被發送到RF發射器(TX)模塊35。具體地，接收的各數據位被轉換為復調製信號、上變頻為IF頻率、經過採樣和乘以從主DSP31獲得的權重，並通過作為發送控制器/調製器37的一部分的數模轉換器(″DAC″)轉換為模擬發送波形。這些模擬波形被送往發射器模塊35。發射器模塊35將這些信號上變頻為傳輸頻率，並且放大這些信號。然後，通過雙工器/時間交換機7將放大後的傳輸信號輸出發送給天線3。
用戶終端結構圖5示出了提供數據或語音通信的UT內的示範性部件配置。用戶終端的天線45被連接到雙工器46，以允許天線45用於傳輸和接收。該天線可以是全向或定向的。為獲得最優性能，該天線可以由多個單元組成，並採用上述的、用於AP的空間處理。在一個備選實施例中，使用單獨的接收和發射天線，這消除了對雙工器46的需求。在另一個使用時分雙工的備選實施例中，業內眾所周知的是，可使用發射/接收(TR)交換機代替雙工器。雙工器輸出47被作為接收器48的輸入。接收器48產生下變頻信號49，該信號被輸入到解調器51。然後，將解調後的接收聲音或語音信號67輸入到揚聲器66。
用戶終端具有相應的發射鏈，在其中，將要發送的數據或語音在調製器57中調製。由調製器57輸出要發送(59)的調製信號，且該信號由發射器60進行上變頻和放大，從而產生發射器輸出信號61。然後，將發射器輸出61輸入至雙工器46，以通過天線45發送。
將解調後的接收數據52提供給用戶終端的中央處理單元68(CPU)，作為解調50之前接收的數據。可以用標準的DSP(數位訊號處理器)設備(如摩託羅拉56300族DSP)實現用戶終端的CPU68。該DSP也可以執行解調器51和調製器57的功能。用戶終端的CPU68通過線路63控制接收器，通過線路62控制發射器，通過線路52控制解調器，並通過線路58控制調製器。它也通過線路54與鍵盤53通信，並通過線路55與顯示器56通信。對語音通信用戶終端而言，麥克風64與揚聲器66分別通過線路65與66和調製器57與解調器51相連。在另一個實施例中，該麥克風和揚聲器與CPU直接通信，以提供語音或者數據通信。而且，用戶終端的CPU68也可包括儲存數據、指令、跳躍函數或序列的存儲單元。另外，用戶終端可具有單獨的存儲單元或可以訪問輔助的存儲器單元。
在一個實施例中，通過業內眾所周知的數字接口來代替或擴充揚聲器66和麥克風64，該數字接口允許將數據發送至外部的數據處理設備(如計算機)和從該設備接收數據。在一個實施例中，用戶終端的CPU與到外部計算機的標準的數字接口(如PCMCIA接口)耦合，且顯示器、鍵盤、麥克風和揚聲器是該外部計算機的一部分。用戶終端的CPU68通過上述數字接口與外部計算機的控制器和這些部件通信。對僅涉及數據的通信而言，可取消麥克風和揚聲器。對僅涉及語音的通信而言，可取消鍵盤和顯示器。
一般內容在以上的描述中，為說明的目的，陳述了許多細節，以便讓讀者徹底理解本發明。然而，對本領域技術人員而言，很明顯的，在不具備某些上述細節的情況下也可以實施本發明。在其它方面，以框圖形式示出了眾所周知的結構和設備。
該本發明包括各種步驟。本發明的步驟可通過硬體部件(如圖6和圖7所示的硬體)執行，或可以在可由機器執行的指令中得到實施，其中，這些指令可促使通用或專用處理器或經上述指令編程的邏輯電路執行上述步驟。另外，上述步驟可以由硬體與軟體的組合來執行。已將上述步驟描述為通過AP或UT來執行。然而，許多描述為通過AP來執行的步驟可通過UT來執行，反之亦然。而且，同樣可將本發明應用於這樣的系統在其中，無需將任一個終端指定為AP、UT、用戶終端或用戶站，各終端便可以進行相互通信。因此，在通信設備組成的對等無線網絡中本發明同樣是有用的。在這樣的網絡中，在上述鑑別協議執行期間，這些設備將輪流以上述的UT和AP的方式運行。這些設備可以是蜂窩電話、個人數字助理、膝上型電腦，或任何其它無線設備。通常，因為AP和UT使用無線電波，因而它們有時被稱為無線電設備。
在上述的各部分中，僅AP被描述為使用天線陣列來進行空間處理。然而，在本發明的範圍內，UT也可以包括天線陣列，並同樣可以在接收和發送(上行鏈路和下行鏈路)時進行空間處理。
可提供電腦程式產品形式的本發明的實施例，該產品可包括存儲了指令的可機讀介質，其中，可以用這些指令來對計算機(或其它電子設備)編程，以執行根據本發明的過程。上述可機讀介質包括但不限於軟盤、光碟、CD-ROM、磁光碟、ROM、RAM、EPROM、EEPROM、磁卡或光卡、快閃記憶體，或其它類型的、適於存儲電子指令的介質/可機讀介質。而且，也可以下載電腦程式產品形式的本發明，在其中，通過通信鏈路，可以將該程序經由包含於載波或其他傳播介質中的數據信號從遠方的計算機傳輸至發出請求的計算機。
以最基本的形式描述了許多方法和計算，但在不背離本發明的基本範圍的情況下，任何方法均可增加或刪除步驟，且任何所述的報文信號也可添加或減少信息。對本領域技術人員而言，顯而易見，可以進行許多另外的修改和變更。提供上述具體實施例不是為了限制本發明，而是為了對本發明進行說明。因而，本發明的範圍不應由以上提供的具體實施例來確定，而僅應由以下的權利要求來確定。
應當理解，貫穿於本說明書始終的「一個實施例」或「實施例」意味著在本發明的實施過程中可引入某個特定的特徵。類似地，應當理解，在對本發明的示範性實施例的之前說明中，為使公開更為簡明和促進對一個或多個發明方面的理解，有時將本發明的各個特徵集中在單個實施例、附圖或其說明之中。然而，不應將這種公開方法理解為反映了這樣一種意圖即主張得到保護的發明要求的特徵比在每項權利要求中明確指出的特徵更多。相反地，如以下的權利要求所反映的，發明的各個方面體現的特徵少於之前公開的單個實施例的所有特徵。從而，便可以將緊接本說明書的權利要求明確地與本說明書進行結合，其中，就其自身而言，每個權利要求均可作為本發明的單獨的實施例。
權利要求
1.一種能夠與無線接入網通信的用戶終端，該用戶終端包括存儲身份證書的存儲器，所述身份證書由所述無線接入網的接入點用來鑑別所述用戶終端的證書授權機構籤名，所述身份證書至少部分地基於包括在所述用戶終端內的硬體。
2.如權利要求1所述的用戶終端，其中，所述身份證書包括所述用戶終端的序列號。
3.如權利要求2所述的用戶終端，其中，所述序列號包括所述用戶終端的介質存取控制(MAC)地址。
4.如權利要求1所述的用戶終端，其中，所述身份證書由工廠植入到所述用戶終端的存儲器之中。
5.如權利要求1所述的用戶終端，其中，所述身份證書為多個無線接入網絡鑑別所述用戶終端。
6.一種方法，包括通過無線接入網的接入點，使用由證書授權機構籤名的身份證書來鑑別所述無線接入網的用戶終端，且所述身份證書被捆綁到用戶終端的硬體。
7.如權利要求6所述的方法，其中，捆綁到用戶終端的硬體的所述身份證書包括包含所述用戶終端的序列號的身份證書。
8.如權利要求7所述的方法，其中，所述序列號包括所述用戶終端的介質存取控制(MAC)地址。
9.如權利要求6所述的方法，還包括使用所述身份證書通過第二無線接入網的接入點來鑑別所述用戶。
10.如權利要求6所述的方法，其中，所述身份證書由工廠植入到所述用戶終端內。
11.一種無線接入網的接入點，所述接入點包括接收器，從能夠與請求訪問的無線接入網通信的用戶終端接收鑑別碼報文，所述鑑別碼報文包括由證書授權機構籤名的所述用戶終端的身份證書，所述身份證書被捆綁到用戶終端的硬體；和與所述接收器耦合的處理器，以使用所述身份證書鑑別所述用戶終端。
12.如權利要求11所述的接入點，其中，捆綁到用戶終端的硬體的所述身份證書包括包含所述用戶終端的序列號的身份證書。
13.如權利要求12所述的接入點，其中，所述序列號包括所述用戶終端的介質存取控制(MAC)地址。
14.如權利要求11所述的接入點，其中，所述身份證書由工廠植入到所述用戶終端內。
15.一種植入到能夠與無線接入網通信的用戶終端內的數字證書，所述證書包括所述用戶終端的序列號；為所述證書籤名的證書授權機構的標識；和被標識的證書授權機構的籤名。
16.如權利要求15所述的證書，其中，所述序列號包括所述用戶終端的介質存取控制(MAC)地址。
17.如權利要求15所述的證書，其中，所述證書為多個無線接入網鑑別所述用戶終端。
18.一種存儲表示指令的數據的可機讀介質，當所述指令由無線接入網的接入點的處理器執行時，將促使所述處理器執行操作，所述操作包括使用由證書授權機構籤名的身份證書來鑑別無線接入網的用戶終端，所述身份證書被捆綁到用戶終端的硬體。
19.如權利要求18所述的可機讀介質，其中，捆綁到用戶終端的硬體的所述身份證書包括包含所述用戶終端的序列號的身份證書。
20.如權利要求19所述的可機讀介質，其中，所述序列號包括所述用戶終端的介質存取控制(MAC)地址。
21.如權利要求18所述的可機讀介質，其中，所述指令還促使所述處理器使用所述身份證書通過第二無線接入網的接入點來鑑別所述用戶。
22.如權利要求18所述的可機讀介質，其中，所述身份證書由工廠植入到所述用戶終端內。
全文摘要
無線接入網(100)的用戶終端(108)可使用數字證書來向無線接入網(100)的接入點(104)證明其自身。在一個實施例中，用戶終端(108)包括存儲身份證書的存儲器，該身份證書由用戶終端(108)用於鑑別的證書籤名，其中，上述身份證書至少部分基於包括在用戶終端(108)內的硬體。在一個具體實施例中，上述身份證書被捆綁到用戶終端的序列號。
文檔編號H04L29/06GK1894885SQ200480037532
公開日2007年1月10日 申請日期2004年10月18日 優先權日2003年10月17日
發明者B·N·米恩齊亞, M·C·多甘, M·H·戈德伯格 申請人:阿雷伊通訊有限公司