TW201026107A

TW201026107A - Ticket-based spectrum authorization and access control

Info

Publication number: TW201026107A
Application number: TW098129431A
Authority: TW
Inventors: Michaela Vanderveen; Lu Xiao
Original assignee: Qualcomm Inc
Priority date: 2008-09-12
Filing date: 2009-09-01
Publication date: 2010-07-01
Also published as: JP5461563B2; WO2010030516A3; KR20110067127A; JP2012502587A; CN102150448A; US20100070760A1; CN102150448B; KR101266241B1; US8862872B2; EP2338295A2; CN103491538A; US20140310782A1; WO2010030516A2

Description

201026107 六、發明說明：【發明所屬之技術領域】並且更具體地涉及在以下的說明整體上涉及無線通訊，許可的頻譜上授權通訊。【先前技術】 e 無線通訊线被廣泛地部署以提供各種類型的通訊以及傳送資訊，無論用戶位於什麼地方（建築物之内或之外），並且無論用戶是靜止的還是移動的（例如：在車中，步行）。例如’可以透過無線通訊系統來提供語音、資料、視頻等。典型的無線通訊系統或網路可以提供對一或多個共享資源的多個用戶存取。例如，系統可以使用各種多路存;技術例如：分頻多工（FMD )、分時多μ TDM )、分碼多工（、正乂分頻多工（OFDM )以及其他。 ® :通常’透過與基地台或存取點通訊的設備來建立無線通訊網路。存取點覆蓋某個地理範圍或細胞服務區，並且當設備在運行時，該設備可以被移入或移出這些地理細胞月= 區。、也可以在不使用存取點的情況下僅使用對等設備來建立 ^路，或者該網路可以包括存取點和對等設備兩者。網路的乂些類型有時也被稱爲ad h〇c網路。Ad h〇c網路可以自我配 =的，由此，在設備（或存取點）從另一個設備接收通訊時， z另—個設備被添加到網路中。在設備離開區域時，它們被 201026107 從網路中動態地移除。因此變。網路的拓撲結構可以不斷地改 … Ad hGe _使得通贼備能夠在移動時發送及/或接收 "通訊是使用頻譜來建立的，然而頻譜是寶貴、有其包括❹種類型的資料的傳輸中所利用的大範圍的磁的無線電頻率。脉h〇c網路可以被通訊地耗合到其他公 ’、或私有網路，例如透過有線及/或無線存取點，以便能夠傳 β輸去往和來自設備的資訊。這種ad-h〇c網路典型地包括以對等方式通訊的大量設備。Ad_h()e網路還可以包括發射強㈣以便於在設備之間進行對等通訊的信標點。例如，發射的信標可以包含定時資訊，以幫助這些設備的時序同步。由於這些設備移動進入以及穿越不同的覆蓋區域，因此佈置這些信標點來提供寬廣範圍覆蓋。如果通訊系統不需要服務供應商擁有的存取點但利用屬於頻譜擁有者/獲得許可的人/供應商的許可的頻譜時，那麼 ©應該僅使得被授權的設備能夠使用該頻譜。爲了補償頻譜擁有者/獲得許可的人的頻譜許可費，將頻譜的授權授予與下面的用戶或組織關聯的設備，該用戶和組織與頻譜供應商或其經紀人代表具有商業關係。因此’頻譜供應商透過使用授權伺服器來控制它的頻譜的使用，該授權伺服器是核心網路節點或節點組，它們在由用戶服務協定或頻譜供應商管理所規定的等時線或事件發生時與設備進行通訊，以對設備進行認證和授權，使得該設備可以按照它們的服務協定利用頻譜。 201026107 與使用頻错的ad-hoc網路關聯的是用於適當使用這些鏈路的一系列必需的配置參數。這些參數是網際網路協定（Ip ) 位址、上層或網路層識別符、服務識別符等。這些參數的錯誤配置可能導致安全漏洞。例如，如果（行爲不端的）設| 能夠使用屬於另一個網路節點的IP位址，好像這個（偷取的） IP位址屬於該行爲不端的設備’那麼與行爲不端的設備進行通訊的對等體會不注意地將打算去往上述網路節點的資料 ❹訊務重定向到該行爲不端的設備。【發明内容】以下提供了一或多個實施方式的簡要概述，以提供這些實施方式的基本理解。這個概述不是所有預期的實施方式的廣泛的概述，並且它既不旨在標識所有實施方式的關鍵點或重要的元素，也不旨在描繪任何或所有實施方式的範圍。它 ❿的唯一目的是以簡化的形式來介紹一或多個實施方式的一些概念，作爲稍後介紹的更詳細描述的前序。根據一或多個實施方式以及其相應的公開，結合授權設備使用許可的頻譜與其他設備直接地進行通訊來描述各個實施方式。根據一些實施方式，授權是基於指定的甩戶/服務協定的。被採用來使能頻譜的正確使用的配置參數可以由頻譜供應商授權飼服器來保證，因此，可以由對等設備來驗也。，種對等設備可以是頻譜授權的並且被提供了授權的配置參數’其可以在使用頻譜的對等/ad_h〇c通訊的過程被利 201026107 用° . 個實施方式涉及一種用於頻譜授權制的法。該方法包括獲得由受信任的第 :取控制的方一授權憑證。該方法還包括從/ —方祕㈣—設備的第第二授權憑證。所述第二授 2第—備的另一個受作任方猫双由所述又信任的第三方或個又仏任方頒發。該方法還驗證的通訊對話。、述第二設備建立經 ❹ 另-個實施方式涉及無線 mm 〇 -p 衮置其包括記憶體和處理器。圮憶逋保存了涉及以 & 锦作的扣令··獲得由香作你的第三方頒發的第一設備设件由又仏任的叹衡的第一授權；畏蹲述第借&楚谈催J證從第二設備接收所述第一備的第二授權憑證。所任& η二^ 疋第一杈權憑證由所述受信任的第一方或另一個受信任方頌發下操作的指令：與第-^邊還保存了涉及以興弟一6又備建立經驗證的通理器被耦合到所述記憶體並且用於執^ ° ° " 指令。用於執仔在圯憶體中保存的 ❹ 另一個實施方式涉及便於頻链备訊裝罾。所、t.姑® a '曰杈權和存取控制的無線通訊裝置。所述裝置包括··用第一設備的笛城搜得由欠尨任的第三方頒發的乐认備的第—授權憑證的 η ^及用於將所述第一授權 3设傳送給第二設備的單元。斤迷裝置還包括·用於代贫一設備接收所述第-执傷沾黎祜用於從第一權憑證由所述受俨任的笛二士斤述第一杈述裝置中還包括.用於私哎1 口任方頒發。在所證的單元；以刀田认』e 礼弟一叹備的所述第二授權憑的，則盥所、+、哲弟—授權憑證的驗證是成功耵幻興所述第二設備建立經级 ’驗e的通訊對話的單元。 201026107 另個實施方式涉及包括電腦可讀取媒體的電腦程式産 :電腦可讀取媒體包括：第—組代碼，用於使電腦獲得由又仏任的第二方頒發的第—設備的第一授權憑證。所述電腦可讀取媒體還包括：第二組代瑪用於使所述電腦從第二认備接收所述第二設備的第二授權憑證；以及第三組代碼，用於使所述電腦驗證所述第：授權m述第二授權憑證疋由所述又信任的第二方或另—個受信任方頒發的。所述電腦可讀取媒體還包括第四組代碼，用於如果所述第二授權憑成有效則使所述電腦與所述第二設備建立經驗證的通訊。另個實施方式涉及用於提供頻譜授權和存取控制的至少一個處理器。所述處理器包括：第一模組，用於獲得由受信任的第三方頒發的第一設備的第一授權憑證；第二模組，用於將所述第一授權憑證發送給第二設備。在所述處理器中還包括第三模組’用於從第二設備接收所述第二設備的第二授權憑證。所述第二授權憑證由所述受信任的第三方或另一 Ο個受彳§任方頒發。此外’所述處珲器包括：第四模組，用於驗證所述第二設備的所述第二授權憑證；以及第五模組，用於如果對所述第二授權憑證的驗證是成功的，則與所述第二設備建立經驗證的通訊對話。另一個實施方式涉及一種用於頻譜授權和存取控制的方法。所述方法包括：從第一設備接收對於系統存取的請求，以及執行對所述第一設備的認證。所述方法還包括：允許（授權）所述第一設備的系統存取，並且基於所述被授權的系統存取建立所述第一設備的授權憑證。 201026107 另一個實施方式涉及無線通訊裝置，其包括記憶體和處理器所述處理器被耦合到記憶體並且用於執行在所述記憶體中保存的指令。記憶體保存涉及以下操作的指令：從至少第°又備接收對於系統存取的請求’並且執行對所述至少第 —設備的㈣°所述記憶體還保存涉及以下操作的指令：向第一設備允許（授權）系統存取’並且部分地基於所述被授權的系統存取來產生所述至少第一設備的授權憑證。〇另個實施方式涉及提供頻譜授權無線通訊裝置。所述裝置包括：用於從至少第—設備接收對於系統存取的請求的單元；用於執行對所述至少第一設備的認證的單元。所述裝置還包括：用於向所述至少第—設備允許（授權）系統存取的單元；用於部分地基於所述至少第—設備的被授權的系統存取來產生所述至少第一設備的授權憑證的單元。另一個實施方式涉及一種電腦程式産品，其包括電腦可讀取媒體。所述電腦可讀取媒體包括：第一組代碼，用於使 ©電腦從第一設備接收對於系統存取的請求；第二組代碼，用於使所述電腦執行對所述第一設備的認證。所述電腦可讀取媒體還包括.第二組代碼，用於使所述電腦向所述第一設備允許（授權）系統存取；第四組代碼，用於使所述電腦基於所述被授權的系統存取來產生所述第一設備的授權憑證。另一個實施方式涉及用於提供頻譜授權的至少一個處理器。所述處理器包括：第一模組，用於從至少第一設備接收對系統存取的請米；第二模組，用於執行對所述至少第一設備的認證。所述處理器還包括:第三模组，甩於向至少第一 201026107 設備允許/授權系統存取；第四模組，用於部分地基於提供給至少第一設備的被授權的系統存取來產生所述至少第一設備的授權憑證。所述授權憑證包括所述至少第一設備的身份、有效範圍以及加密簽名，其中所述授權憑證在所述有效範圍期間是有效的》爲了前述及相關目標的實現’ 一或多個實施.方式包括下文詳細描述並且在請求項中特別指出的特徵。以下的描述 ⑩ 和附圖詳細地闡述了一或多個實施方式的某些說明性特徵。然而，這些特徵僅僅指示了可以採用各個實施方式的原理的各種方式中的少數幾個。在結合附圖考慮時，根據以下的詳細描述，其他優點和新穎特徵將變得顯而易見，並且公開的實施方式旨在包括所有這些實施方式和它們的等同實施方式。【實施方式】現在參考附圖來描述各個實施方式。在以下的說明中，爲了解釋的目的’闡述了許多具體的細節以提供一或多個實施方式的透徹理解。然而，顯然，可以在沒有這些具體的細節的情況下實現這些實施方式。在其他實施例中，以方塊圖的形式來示出公知的結構和設備，以便於描述這些實施方式。如本申請中所使用的，術語「部件」、「模組」、「系統」等意圖指代電腦相關的實體，即，硬體、韌體、硬體和 201026107 軟體的組合、軟體或執行中的軟體。例如，部件可以是、但並不限於處理器上運行的程序、處理器、物件、可執行體 (executable)、執行的線程、程式及/或電腦。作爲舉例說明，计算设備上運行的應用和該計算設備都可以是部件、一個或更多部件可以駐留在執行的程序及/或線程内並且部件可以位於一個電腦上，及/或分佈在兩個或更多電腦之間。此外，可以從其上儲存有各種資料結構的各種電腦可讀取媒體執〇行這些部件。這些部件可以例如根據具有一或多個資料封包 (例如，來自於與在本地系統、分散式系統中的另一個部件交互的一個部件的資料及/或來自於跨越諸如網際網路的網路透過該信號與其他系統交互的一個部件的資料）的信號來透過本地及/或遠端程序進行通訊。此外，本文結合設備來描述各種實施方式。設備也可以被稱爲系統、用戶單元、用戶站、行動站、行動台無線終端、設備、行動設備、遠端站、遠端終端、存取終端、用戶 ®終端、終端、無線通訊設備、無線通訊裝置、用戶代理、用戶設備或用戶裝置（UE)，並且設備可以包含它們的一些或所有功能。行動設備可以是蜂巢式電話、無線電話、對話對活啟動協定（SIP )電話、智慧型電話、無線區域迴路（冒^) 站、個人數位助理（PDA)、膝上型電腦、手持通訊設備、手持計算設備、衛星無線電、無線數據機卡及/或用於在無線系統上進行通訊的另一個處理設備。此外，本文結合基地八描述了各個實施方式。基地台可以用於與無線終端進行i 訊’並且還可以被稱爲存取點、節點Β或某個其他網路實體， 11 201026107 並且基地台可以包含它們的一些或所有功能。將按照系統來介紹各個實施方式或特徵，該系統可以包括多個設備、部件、模組等。應當理解和意識到，各値系統可以包括另外的設備、部件、模組等及/或可以不包括結合附圖討論的所有設備、部件、模組等。也可以使用這些方式的組合。

現在參考圖1’說明了根據各個實施方式的無線通訊系統 100。系統1〇〇包括基地台102，其可以包括多個天線組。例如，一個天線組可以包括天線104和天線1〇6，另一組可以包括天線108和天線11〇,再一組可以包括天線U2和114。對每一個天線組示出了兩個天線；然而，更多或更少的天線可以被用於每一組'本領域技藝人士將會意識到，基地台ι〇2 可以另外包括發射機鏈和接收機鏈，其中的每一個可以依次包括與信號發送和揍收有關的多個部件（例如，處理器、調制器、多工器、解調器、解多工器、天線等）。此外，基地台102可以是家用基地台、毫微微（ Femt〇)基地台等。基地台102可以與一或多個設備（例如，設備116)通訊；然而，可以意識到，基地台102可以與類似於設備116的實質上任意數.量的設備進行通。.如圖所示，設備1 1 6在與天線104、106進行通訊’其中天線104、1〇6在前向鏈路ιΐ8 上將資訊發送給設備116’並且在反向鏈路12〇上從設備ιι6 接收資訊。例如，在分頻雙工（FDD)系統争，前向鏈路118可以使用與反向鏈路120所使用的不同的頻帶。此外，在分時雙工 12 201026107 (TDD )系統中，刖向鏈路118與反向鏈路120可以使用共同的頻帶。此外，設備122、124可以彼此進行通訊，例如在對等配置中。另外，設備122使用鏈路126、128與設備124進行 • 通訊。在對等ad hoc網路中，在彼此範圍内的設備，例如設備122、124，在沒有基地台102及/或有線的基礎設施來中繼它們的通訊的情況下’彼此直接地進行通訊。此外，對等 Q設備或節點可以中繼訊務。在以對等方式進行通訊的網路中的設備可以類似於基地台那樣工作’並且向其他類似於基地台那樣工作的設備中繼訊務或通訊，直到訊務到達它的最終目的地。該設備還可以發送控制通道，其攜帶資訊，該資訊可用於管理對等設備之間的資料傳輸。通訊網路可以包括在無線通訊中的任意數量的設備或節點。每一個設備或節點可以在一或多個其他設備或節點的範圍之内，並且可以與這些其他設備/節點進行通訊，或者透過 ❹使用這些其他設備/節點來進行通訊，例..如在多中.繼段拓撲結構中（例如’通訊可以從一個節點跳向另一個節點，直到到達最終目的地）。例如’發送方設備可以希望與接收方設備 .進行通訊。爲了能夠在發送方設備與接收方設備之間進行封 . 包傳輸’可以利用一或多個中間設備。應該理解，任何設備都可以是發送方設備及/或接收方設備，並且可以在基本上相同的時間執行發送及/或接收資訊的功能（例如，在與接收資訊基本相同的時間及/或不同的時間，可以廣播或傳送資訊）。系統100可以被配置爲使得授權的設備能夠使用用於資 13 201026107 料通訊的頻譜’其中未被授權的設備（例如，傳統的或公共的設備）不能使用該頻譜。在對設備的憑證和設備被授權的服務進行驗證之後，授權憑證可以由受信任的第三方來分發。此外’系統100可以命令設備對授權憑證進行交換和驗證，將其作爲配置利用頻譜的無線鏈路的條件。圖2說明了用於頻譜使用授權的系統200。系統200可以被配置爲使付在設備之間（例如，以對等的方式）或設備與 φ 基地台之間能夠進行頻譜提供商（或受信任的第三方）所授權（或證明）的通訊、系統200包括授權伺服器202和配置參數資料庫2〇4。授權伺服器202可以與配置參數資料庫204共同位於一處，或者授權伺服器202可以通訊地耦合到配置參數資料庫2〇4。在系統200中還包括設備：帶標號的設備l2〇6和設備n2〇8，其中N爲整數。設備206、208可以是根據所公開的實施方式的、類似於行動設備工作的行動設備及/或基地台（例如， ◎基地台通常被連接到其他網路或基礎·設施的事實與所公開的實施方式是無關的）。設備206、208可以彼此通訊（由雙向通訊鏈路210所示出）並且可以和其他設備無線地通訊。此外’設備206、208可以與授權伺服器2Ό2無線地或透過有線鏈路進行通訊（由雙向通訊鏈路2 12和2 14所示出）。如果在設備206、208和授權伺服器2〇2之間的通訊是無線的’那麼該通訊可以或可以不透過許可的頻错，例如，設備206、208所使用的用於彼此通訊的許可的頻譜。根據一些實施方式’在設備之間的鏈路（鏈路210)和在一 14 201026107 或多個設備206、208與授權伺服器202之間的鏈路（鏈路212 或214)可以是相同的鏈路或相似的鍵路。授權伺服器202可以選擇性地將頻譜（例如許可的頻譜） * 使用的授權分發給一或多個設備206、208。可以以授權憑證 ' 的形式來分發授權’如授權憑證〗216和授權憑證M218所示，其中Μ爲整數。授權憑證216、21 8可以包括各種資訊，例如：授權設備（例如，授權伺服器202 )的設備識別符、有 ❹效期、加密簽名，以及其他資訊。下面將提供涉及授權憑證的進一步的資訊。 s曼備206、208可以利用授權憑證216、218以使得能夠在設備206、208之間進行通訊。根據一些實施方式，授權憑證216、218可以被用於授權該頻譜的某一使用（例如，授權服務）。根據一些實施方式，授權憑證216、218可以被分發給使用網路層協定的一或多個設備2〇6、2〇8。應該理解，沒有被給予（許可的）頻譜的授權的設備不會接收到授 β權憑證。 . . . ... . . ；爲了分發授權憑證’授權伺服器2〇2可以與一或多個設備206、208定期地進行通訊（例如，每一個月一次或者 ,另一個預定的間隔），並且將合適的授權憑證單獨地提供給 .每一個设備。例如’授權伺服器2〇2可以發送新的授權憑證，其與先前發送給設備的授權憑證相比具有不同的有效範圍r每一個設備206、208接收與被提供給另一個設備的授權憑證不同的授權憑證。例如，授權伺服器2〇2將授權憑證 !216發送給没備l206 ’並且將授權憑證1218發送給設備 15 201026107 N2〇8。每一個設備2〇6、2〇8可以保存它的授權憑證，例如在儲存媒體中。設備206、208交換授權憑證以建立在彼此之間的經驗證的通訊鏈路210。因此，設備」206將授權憑證丨216發送給設備N208 ’並且設備N208將授權憑證M218發送給設備[206。授權憑證的驗證允許設備（例如，兩個行動設備，行動設備和存取點等）按照本公開的實施方式以對等的方式進行通 φ 訊。如果設備不能驗證它希望與之進行通訊的設備的授權憑證’那麼在上述設備之間不建立經驗證的通訊鏈路。圖3說明了從授權伺服器獲得授權的設備的操作的流程圖300。授權伺服器202可以是將授權憑證頒發給設備（例如’設備]206 )的受信任方。應當意識到，授權伺服器202 可以在基本上相同的時間或不同的時間將授權憑證頒發給多個設備。但是，爲了簡明，僅說明了一個設備。爲了啓動授權憑證的頒發，設備206發送授權請求訊息 ® 302’其至少包含設備的唯一的識別符（例如，Device ID、）。一一根據一些實施方式授權請求訊息3 0.2可以:包括其他憑證資訊例如公.餘：。基於檢測到先前獲得的授權憑證（例.如設.備.目前使用的用於與其他设備.通:訊的授權憑證）.即將期:滿：，來觸發設備 206發送授.權清求訊息3 02。根據一些.實施方'式·，在設備中 (例如’在儲存媒體中）沒有保存有效的授權憑證時，透過 -用戶應用程式的命令來觸發發送授權請求訊息3 〇 2，以實現無線鏈路。 201026107 另外或可替代的，可以基於從授權伺服器202接收的請求來觸發設備206發送授權請求訊息302。授權伺服器202 可以由於管理性的原因及/或基於在先前的授權憑證下的被授權由設備發送/接收的資料的量或配額已經被（或將被）超過的指示’來發送請求。在該替代實施方式，在授權請求訊息3 02的傳輸之前從授權伺服器202接收訊息（未示出）。在與接收到授權請求訊息3 02基本上相同的時間，授權 ❹伺服器2〇2驗證設備206的身份和設備206被授權的服務（例如’已經購買的服務、在目前方案中允許的服務、在推廣期間免費地被允許的服務等）。這由在304的雙向箭頭來說明 (認證機制）。該驗證過程可以被稱爲「認證」、「授權」、「記賬協定」及/或「認證協定」。這種協定的示例包括傳輸層安全（TLS )、網際網路密鑰交換（IKE)和其他。根據一些實施方式，設備206回應於由授權伺服器202 發送的通道訊息來發送憑證資訊’作爲訊息交換3 〇4的一部 © 分。根據其他實施方式，設備206和授權伺服器202都交換 .. .. . 各自的憑證資訊’以執行相互的認證過程，並且典型地使在設備206和授權祠服器202之間的通訊通道安全' 如果設備206的身份被驗證，那麼授權伺服器202分配/ 產生配置參數並將該資況.包.括在.由授權.飼服器202所建.立、的授權憑證中。另外或可替代的，授權伺服器2〇2可以和一或多個其他資料庫或祠服器一起分配/產生該配置參數。根據一些實施方式’新建立的授權憑證與被提供給設備 206的先前的授權憑證.基.本.上相同。然_而·，新建立的授權憑 17 201026107 證可以具有不同的有效期（起始時間/結束時間）和不同的加密簽名。根據一些實施方式，新建立的授權憑證可以包括與先前的授權憑證所授權的服務相同或不同的服務的授權（例如更多的服務、吏少的服務、不同的服務）。參照圖4將更詳細地描述涉及授權憑證的進一步的資訊。在授權回應訊息306中，新建立的授權憑證被發送給設備206 &冑自實施方式，爲了使授權憑證僅能夠由其所 ❹希望的設備（例如，設備206)來解密，授權憑證可以被加密'又備206可以將授權憑證保存在儲存媒趙中，以爲以後用於與其他設備建立經驗證的通訊鏈路。圖4說月了公即的實施方式所使用的示例性授權憑證 4〇〇。應當理解，提供所說明和描述的授權憑證4〇〇以便於理解該詳細的說明’並且可以使用其他授權憑證。，在授權憑證4〇〇中包括：設備識別符4〇2、有效期4〇4和授權伺服器的加密簽名4〇6，其覆蓋了全部的憑證4〇〇的資料。有效期404包括開始時間（例如，不早於： <日期/時間>) η結束時間（例如，不晚於:〈日期/時間 >)。有效期 ° 、建立女全級別，因爲如果行爲不端的設備在有效期期滿 /编地獲得了授權憑證，那麼該授權憑證將不再能被該行爲不端的設備所使用。據可選的貫施方式’授權憑證400可以包含可用於授權憑也持有者（例如，設備）的資訊。透過在408處的虛線來表不爲可選的資訊可以是以下的形式：教位憑證公鑰、屬於由。又備識別符4〇2所指示的設備的公鑰的散列，以及其 18 201026107 他認證手段。另外或可替代的，授權憑證400可以包括可選的（用虛線表示）服務類型的列表（或表示）410，該服務是設備識別符402所標識的設備被允許以對等或組的方式使見頻譜來消費的服務（例如行的資料交換、專，語音或視頻呼叫、以最大或最小速率進門的廣播資訊的接收等）❶根據一些實施

方式，正在驗證憑證400的其他設備考慮關於允許的服務的資訊410，以使得其他設備可以決定是否以及如何啓用經驗證的通訊鏈路。如果啓用了經驗證的通訊鏈路，那麼其他設備可以將該鏈路配置爲僅攜帶在允許的服務類型列表中所指定的資料及/或資料速率的類型。授權憑證400還可以選擇性地（用虛線示出）包含其他配置或使能資訊412。這些其他資訊412可以包括一些資料，該資料被分發給所有授權的設備並且用於在ad_h〇c網路中配置實體或媒體存取控制通道，使得僅授權的設備可以使甩 ©這些通道進行通訊。根據—些實施方式，這些其他資訊412 包括配置資訊及/或分配的參數列表，其可以被正在驗證授權憑證的其他設備使用，以便這些其他設備來確定如何正確地配置鏈路。圖5說明了根據本文公開的各個實施方式的、透過使用授權及/或關聯的配置參數首先驗證頻譜來建立經驗證的通訊鍵路的兩個設備的操作的流程圖5 〇當第一設備（設備 206希望使用頻譜與一或多値其他設備（設備n) 2〇8進行通訊時’第一設備206發送連接請求訊息5〇2。連接請求 201026107 訊息502包括第一設備206的識別符（例如，「ID-Device-1」）。根據一些實施方式，連接請求訊息5〇2 包括標識（並且屬於）第一設備206的授權憑證。第二設備208可以用包含第二設備2〇6的識別符（例如，「ID-Device-N」）的連接回應訊息504來回應連接請求訊息 502。根據一些實施方式，在第二設備2〇8驗證從第一設備 206接收到的授權憑證的内容後，可以發送連接回應訊息 ❹ 504。連接回應訊息5〇4可以包括標識（並且屬於）第二設備208的授權憑證❶在與接收到連接回應訊息5〇4基本上相同的時間，第一設備206可以驗證從第二設備208接收到的授權憑證的内容。連接請求訊息502和連接回應訊息5〇4中的任一個或兩者可以包含與發送該訊息的設備關聯的公鑰（例如，「公錄 -1」、「公鑰-N」）。根據一些實施方式，訊息5〇2、5〇4 中的任一個或兩者包括完整的數位憑證。 © 在由虛線506所示出的可選的實施方式中，一或多個其他訊息可以被交換。可以爲了實現互相的身份認證來發送這些其他訊息506。例如，第一設備2〇6可以認證第二設備2〇8 的身伤（例如’驗證身份「ID-Device-N」)，並且第二設備 2〇8可以認證第一設備2〇6的身份（例如，驗證身份「ID-Device-1」）。訊息5〇2、5〇4和可選的5〇6的目的是爲了實現互相的身伤喊祖。互相的身份認證不同於授權驗證過程。板據一些實施方式，互扭的身份認證和授權驗證過程可以在基本上相同 20 201026107 的時間執行。根據各個實施方式，身份認證可以透過使用數位憑證來實現。例如，兩個設備206、208可以參加協定，憑藉該協 • 定每一個設備發送它的憑證和其他資訊（例如，亂數或當前 ' 量（nonce ))。該交換可以有助於對其他設備確實擁有與提供的憑證關聯的私鑰進行驗證。根據一些實施方式，身份認證還可以導致建立共享的密 φ 鑰，該密鑰可以用於保證在設備206與208之間的通訊通道的安全。根據其他實施方式，用於身份認證和通訊通道安全的建立的數位憑證可以與頻譜授權憑證相同。在此情況下，身份認證任務和授權任務被合併。第一設備206向第二設備208發送授權請求訊息508時授權交換發生。授權請求訊息508可以包括第一設備206的授權憑證。第二設備208可以用包含第二設備208的授權憑 Ο 證的授權回應訊息5 1 0來回應。在與接收到授權請求訊息508基本上相同的時間，第二設備208可以驗證所接收的第一設備206的授權憑證（包括 . 在訊息中）。以類似的方式，在與接收到授權回應訊息510 基本上相同的時間，第一設備206可以驗證第二設備208的 * 授權憑證（包括在訊息中）。如上面所討論的，各自的授權憑證的驗證包括：確認在憑證中的識別符與在相互的身份認 -證期間被驗證的識別符相同〃 ^ ^ ^ ^ ^ ^ 應當注意，根據一些實施方式，僅驗證授權憑證可能不 21 201026107 足以實現合適的安全水平。所以，驗證過程還可以包括設備或用戶身份認證。根據這個實施方式，「授權憑證驗證」是指伺服器產生的憑證（例如，授權憑證）的驗證和對憑證屬於由包括在憑證中的識別符所標識的、發送憑證的設備的驗證。另外或可替代的，授權憑證或者具有數位憑證的形式，或者還包括設備或用戶數位憑證。因此，根據這個實施方式，每一個設備都需要證明它是所提供的授權憑證的合法所 ^ 有者。根據一些實施方式，透過示出擁有與憑證中提供的公鑰相關聯的私鑰的驗證的實體證據來驗證數位憑證的所有權。在可選的實施方式中，如虛線512所示，爲了安全密鑰的産生和可能的其他配置的目的，可以在設備206和208之間執行另一個安全及/或配置協定。在身份和授權憑證的相互驗證結束之後，利用在交換的授權憑證中所包括的資訊/分配的參數來配置鏈路。在驗證的 © 鏈路的配置之後，可以在514處在設備206和208之間透過經驗證的通訊鏈路來交換用戶資料。應當注意，參考圖5說明並描述的流程圖僅用於說明的目的。例如，可以在除了連接訊息的接收時間之外的時間執行身份和授權憑證的相互驗證。此_外，諸如身份驗證和授權驗證的任務可以被組合。此外，在之後的時間，實體可以被交換和驗證，作爲授權憑證交換和關聯的安全協定的一部分。另外或可替代的，由第一設備206發送的訊息（例如，訊息502、5 08 ;訊息502、5 06、508和512)可以被組合在 22 201026107 一個或.幾個訊息中.。以類似的方式，來自第二設傷208的訊息（例如，訊息504和5 1 〇 ;訊'息504、506、 5 1 0和：5 1 2 ) 可以被組合在一個或幾個訊息中。

根據一些實施方式，第一設備206可以透過除了直接從第二設備208獲得之外的手段來獲得授權憑證。例如，第二設備208可以發送它的（唯一的）識別符，並且第一設備2〇6 利用該識別符以取回並驗證第二設備的授權憑證，可以從伺服器或本地資料庫來獲得該授權憑證。根據各値實施方式，在允許用戶資料或其他協定資料在 514處在使用頻譜的共享無線鏈路上流動之前，設備2〇6、 208兩者都驗證另一設備的身份和授權憑證。還應當理解，可以由不止兩個的設備來進行類似的過程（例如，在使用廣播/組播機制來使用組無線通訊時）。在多個設備的情況下，每一個設備應當在啓動用於攜帶其他資料的無線鏈路或鏈路之前’成功地驗證授予通訊組中的其他設備的授權憑證。根據些可選的實施方式，在與本文描述的頻譜使用授權驗證基本上相同的時間，可以利用其他實施方案。例如， ,、.、線感测器點可以被佈置在地理區域上。@些感測器點可以偵聽未授權的無線資料交換。在另一俩實施例中，如果系統要求憑證要被顯式地交換，那麼合法的節點可以主動地偵聽並且報告在有效的授權憑證的交換之前的通訊。根據另一個實雜大4 略方式，第一設備2〇6獲得授權憑證(例如，從授權词服器）-，該授權憑證僅授權類型「Α」的頻譜使用服務（例如，僅纽Αα 、僅曰呼叫）。當在第一設備206和另一 23 201026107 個設備（例如’第二設備208)之間建立通訊時，每一個設備將它的授權憑證發送給其他設備。如果第二設備2〇8被授權了類型「A」的服務，那麼使得該鏈路僅能夠用於交換類型「A」的資料^如果在之後的時間，第一設備2〇6希望與第二設備208交換類型「B」（例如，視頻）的資料，由於第一設備208被配置爲不允許發送及/或接收這種資料（例如，類型「B」），那麼第二設備2σ8不合作。 ❹ 現在參照圖6,說明了根據一或多個實施方式的基於憑證的頻譜授權和存取控制的系統600。系統600可以被配置爲使得頻譜許可人/所有者能夠從設備中提取收入，該設備在不需要控制的基礎設施的情況下以ad-hoc或對等的方式使’用 (射頻）頻譜來進行通訊。雖然授權憑證的分發和在設備之間的這些授權憑證的交換和驗證用於實現攜帶用戶或控制資料通訊的經驗證的無線鏈路，但是系統6〇〇可以由授權的設備來使能用於資料通訊的頻譜的使用。在系統6〇〇中包括 ©無線通訊裝置602，其可以與一或多俩設備604以及一或多個受信任方606進行通訊，該受信任方606可以是節點。無線通訊裝置600包括授權憑證請求器6〇8，其獲得爲無線通訊裝置602頒發的授權憑證。用於無線通訊裝置602的授權憑證由受信任的第三方606來頒發。根據一些實施方式’受信任方606可以是頒發授權憑證的授權伺服器。根據些實施方式，透；過介.面.來.進行與受..信任方.606.(..或：授權祠服器）的通訊，該介面可以是蜂巢無線介面、有線介面，例如數位用戶線路（ DSL)、電纜等。 24 201026107 在無線通訊裝置600中還包括關聯設備授權憑證獲得器 610，其被配置爲從關聯的設備604 (例如，要與之建立通訊的設備）請求或接收授權憑證。從爲無線通訊裝置602頒發授權憑證的受信任的第三方或從另一個受信任方將授權憑證頒發給一或多個關聯的設備604。關聯的設備604的授權憑證可以包括有效時間或頒發該憑證的受信任方的加密簽名。 ^ 根據一些實施方式，無線通訊裝置602的授權憑證及/或關聯的設備604的授權憑證被體現爲傳統的數位憑證（例如，X.509標準）。例如，傳統的數位憑證可以包括指示用於頻譜使用的授權的擴展部分及/或可以傳遞適於建立經驗證的通訊鏈路的其他資訊。驗證模組612彼配置爲在無線通訊裝置602和一或多個關聯的設備604之間建立經驗證的通訊對話。驗證模組612 可以驗證關聯的設備的授權憑證。根據一些實施方式，可以 © 基於在無線通訊裝置602的授權憑證和關聯的設備604的授權憑證中所包含的資訊來確保經驗證的通訊對話的安全。安全的通訊對話是指具有加密/解密和完整性保護的通訊對話。根據一些實施方式，爲無線通訊裝置602頒發的授權憑證被發送給關聯的設備604，以使得關聯的設備來驗證無線通訊裝置602的身份並且建立經驗證的通訊對話。在授權憑證交換已經被成功地進行並且鏈路已經被驗證之前，在無線通訊裝置602與一或多個設備604之間的資料不能夠攜帶資料0 25 201026107 根據一些實施方式，蜂巢介面可以用於實現在無線通訊裝置602 '設備604及/或受信任方6〇6之間的通訊雖然蜂巢介面主要用於與其他設備604的通訊，但是該介面也=以用於與存取點（或基地台）進行通訊。例如，蜂巢介面可以從無線通訊裝置602向存取點無線地傳送資料，並且從存取點向一或多個受信任的第三方6〇6傳送資料。應當注意到，然而，存取點的存在或參與不是必需的。資料還可以透過一〇或多個其他設備來被中繼，它們中的一個最終連接到受信任的第三方606所在的網路。根據-些實施方<，透過無線介面來執行在無線通訊裝置602與一或多個受信任的第三方6〇6之間的通訊。根據這個實施方式，通訊的指向點可以是另一個設備或存取點該另一個設備或存取點可以繼而將資料中繼到具有到受信任的第三方6〇6的通訊鏈路的另—個實體，或者可以將資料直熟接地發送到受信任的第三方6〇6。應當注意，在實現該實施方式時，透過該介面使用許可的頻譜的通訊不應該被啓用，直到獲得授權憑證（並且被驗證）之後。在一種方式中在不存在另一個可用的介面時，使用該通訊鏈路來運行授權協疋，因此，應該提供一種引導用於頻譜使用的授權的手段。應田理解，當有效的授權憑證不存在時，透過該介面的通訊被配置爲限於僅僅直接屬於與受信任方6〇6授權過程的協定和資料（例如，獲得授權憑證）。在另中方式中’由代表正在尋求授權的無線通訊裝置 6〇2的「協助」設備或存取點來運行授權協定。從而，無線 26 201026107 通訊裝置602僅使用介面來定位另一個存取點或設備，並且請求該設備代表無線通訊裝置602運行與受信任方606的必要的認證/授權協定。該過程可以包括在無線通訊裝置6〇2與 r 協助對應設備之間的資料的中繼。系統600可以包括記憶體614，其操作地耦合到無線通訊裝置602 »記憶體614可以位於無線通訊裝置6〇2之外，或者可以位於在無線通訊裝置602之内。記憶體614可以儲存 ❾與獲得與無線通訊裝置002關聯的第一授權憑證相關的資訊。第一授權憑證可以由受信任的第三方來頒發。記憶體614 還可以儲存與從第二設備接收用於第二設備的第二授權憑證相關的資訊。第二授權憑證可以由受信任的第三方或另一個受信任方來頒發。此外，記憶體614可以保存涉及與第二权備或者與多個設備建立經驗證的通訊對話的指令。處理器616可以操作地連接到無線通訊裝置6〇2 (及/或記憶體614)，以便於分析與對等或adh〇c j訊網路中的頻 ❹譜授權和存取控制相關的資訊，處理器616可以是專用於分析及/或產生由無線通訊裝置602接收的資訊的處理器、控制系統600的一或多個部件的處理器、及/或既可以分析和產生由無線通訊裝置6〇2接收的資訊還可以控制系統6〇〇的一或多個部件的處理器。記憶體614可以储存與在無線通訊裝置6〇2、設備6〇4及 ^受信任方606之間的頻譜授權和存取控制相關聯的協定’以使得系統60G可以使用儲本的協定及/或演算法來實現本文描述的在無線網路中的改進的通訊。記憶體還可以 27 201026107 保存與無線通訊裝置602及/或一或多個設備604關聯的授權憑證。_ 記憶體6 14還可以保存涉及下列操作的指令：獲得由受 * 信任的第三方頒發的用於第一設備的第一授權憑證，從第二 ' 設備接收用於第二設備的第二授權憑證，該第二授權憑證是由受信任的第三方或另一個受信任方來頒發的，以及與第二設備建立經驗證的通訊對話。處理器616被配置爲執行保存 0 在記憶體中的指令。應當意識到，本文描述的資料儲存（例如，記憶體）部件可以是揮發性記憶體或非揮發性記憶體，或者可以包括揮發性記憶體和非揮發性記憶體兩者。作爲示例而非限制，非揮發性記憶體可以包括唯讀記憶體（ROM )、可程式ROM (PROM )、電子可程式ROM ( EPROM )、電子可抹除ROM (EEPROM )或快閃記憶體。揮發性記憶體可以包括隨機存取記憶體（RAM )，其作爲外部快取記憶體。作爲示例而非 Ο 限制，RAM具有多種可用形式，例如同步RAM ( DRAM )、動態RAM ( DRAM)、同步DRAM ( SDRAM)、雙倍資料速率 SDRAM ( DDR SDRAM)、增強型 SDRAM ( ESDRAM)、 • 同步鏈路 DRAM ( SLDRAM )和直接 Rambus RAM (DDRAM )。本公開的實施方式的記憶體6 14旨在包括而不限於記憶體的這些和其他合適的類型。圖7說明了用於頻譜授權和存取控制的系統700。系統 700…類似於圖6的系統600並且包括設備702，.其_與其他設備704、示出爲無線通訊裝置706的一或多個受信任方進行 28 201026107 .. 通訊。受信任方706可以包括接收機7〇8，其被配置爲從第一設備（例如，設備702)接收對於系統訪問的請求。在與接收來自第一設備702的請求基本相同的時間，或在不同的時間，或上述的組合，接收機708也可以接收來自其他設備7〇4 中的一或多個設備的請求。基於請求，認證器710可以被配置來獲得第—設備7〇2 ❹（或者發送請求的另一個設備）的認證。根據一些實施方式，第一設備認證是從外部源獲得的，例如，在安全通訊鏈路上從網路設備獲得及/或從家庭伺服器獲得。例如，外部源可以疋具有與第一設備（例如，用戶擁有的設備）的商業關係的伺服器，並且該祠服器可以驗證預定（例如，用戶已經訂購的服務> 〇 ' 部分地基於第一設備702的認證，存取授權器712可以確定能夠被授權給第一設倩702 (或另一個設備704)的系 ❹統存取。根據一些實施方式，存取授權器712可以諮詢包含被授權存取系統的多個設備的列表的配置參數資料庫，以確定第一設備被授權的存取。配置參數資料庫還可以包含與每一個設備關聯的—或多個配置參數（例如，一組配置參数）。如果第一設備被包括在列表中，那麼第一設備被授權存取系統。然而，如果第—設備沒有被包括在列表中，那麼第一設備不被授權存取系統。配置參數資料庫可以被動態地更新，例如當資科庫發生改變時及/或基於其他標準。根據一些實施方式，認證器及/或存取授權器712可 -. .... ..... .... .. ... .... ... 29 201026107 以檢查與第-設備702 (或另—設備7⑷關聯的憑證以做出各自的確定。憑證可以是共享的密鑰、公鑰、授權資訊、服務列表、帳單資訊中的至少—個，或者它們的組合。° 授權憑證產生器714可以基於由存取授權器^確定的被授權的系統存取來建立用於第一設備7〇2 (及/或其他設備 7〇4)的授權憑證。授權憑證建立的一部分可以包括授ς憑證的有效性所依賴的加密簽名的產生。授權憑證可以包括： ❹第一設備的身份、有效範圍、加密簽名及/或其他參數，其中所述授權憑證在所述有效範圍期間是有效的。系統700可以包括記憶體716，其操作地連接到（或被包括在之内）.無線通訊裝置7 0 6 .«>記憶體可以儲存涉及以下操作的指令：從至少第一設備接收對於系統存取的請求，執行至少第一設備的認證，確定可以被授權給第一設備的系統存取’以及部分地基於被授權的系統存取來產生用於至少第一設備的授權憑證。處理器718可以被耦合到記憶體716並且 ® 可以被配置來執行保存在記憶體7 16中的指令。現在參照圖8，說明了用於基於憑證的配置參數的驗證的系統800。系統800可以被g&置爲使得授權的設備能夠透過授權憑證的使用在許可的頻譜上進行通訊。希望與另一個設備進行通訊的設備可以驗證由該另一個設備聲明的已經被共同信任的第三方授權的鏈路配置參數。在系統800中包括無線通訊裝置802，其可以是’例如受信任的第三方’例如授權飼服器。無線通訊—裝置802被配置來與一或多個設備進行通訊，該一或多假設備爲帶標號的設 30 201026107 備Θ04到設備P806，其十P爲整數。在無線通訊裝置802中包括設備識別符808，其可以部分地基於對於系統存取的請求來選擇性地識別每一個設備 804、806。例如，每一個設備804、806可以由唯一的識別符，例如硬體位址來識別。此外，設備識別符808可以包括與每一個設備804、806關聯的其他認證及/或授權資訊。例如，設備識別符808可以保留諸如共享的密鑰、公鎗、授權 ❹資訊、每一個設備被授權的服務的列表、關聯的帳單/收費資訊等之類的憑證。根據一些實施方式，設備識別符8〇8包括配置參數資剩庫’其包含被授權以使用頻譜的設備的資料庫。該資料庫還可以包含用於每一個設備的配置資訊及/或分配的參數。根摘一些實施方式，在從設備接收到對於授權的請求時，可以產生參數的子集。其他參數，例如Ip位址，可以從可用的位址池中分配及/或從另一個伺服器中來獲得。根據一些實施方式，配置資訊可以按服務協定等所規定的來儲存、如果設備識别符808沒有（或*能獲得）用於一或多個 λ備04 806的所有必需的資訊那麼可以從另—個飼服器或網路設備來獲得該資訊，該舰器或網路設備完整地或部分地持有或可以存取所雹次南要的貝汛。從另一個伺服器或網路設備獲得資訊可以以立八& , . 以以女全的方式進行。在這種情況下，無線通訊_裝置8〇2可& $丨® Λ _ 了以利用通訊介面與持有用於所有或一此設備804、806的切说7秘描次凡二搲此會I也楼資訊的另—個伺嚴器進行通訊。根據一些貫施方戎，ώ ,,,, 與一二或所有設備8〇4、806關聯的資訊 31 201026107 可以駐留在多個網路節點中。諮詢資料庫的目的是爲了檢查尋求授權的設備的身份， .並且根據用戶服務協定等來確定設備被授權的嚴務。諮詢資料庫是無線通訊裝置802針對尋求系統存取的每一個設備 804、806來進行的過程的一部分。授權憑證分發器8 1 0選擇性地將授權憑證分發給設備 804 806。授權憑證的分發可以是對設備的憑證和設備被授 ⑩權能夠存取並且使用的服務進行驗證的結果。此外，授權憑證在設備之間被交換和驗證，作爲建立或使能使用頻譜來攜帶用戶或控制資料通訊的無線鏈路的條件。以這種方式，根據本文介紹的實施方式，僅使得被授權的設備能夠使用該頻譜用於資料通訊。根據一些實施方式，授權憑證被實現爲傳統的數位憑證，例如χ.509憑證，其可以包括Ip位址。此外，s己憶體8 1 2可以被操作地耦合到無線通訊裝置 802。記憶體8 12可以在無線通訊裝置8〇2之外或可以位於 ❹無線通訊裝置802之内。記憶體8丨2可以儲存涉及以下的資訊：將設備與一或多個經驗證的資訊元素相關聯，並且將由爻仏任方所證明的授權憑證發送給設備。該憑證可以包括一或多個經驗證的資訊元素的子集。將授權憑證保存在記憶體中可以減輕在經驗證的通訊對話要被建立時獲得授權憑證的需要。因此，如果授權伺服器及/或授權憑證的澈不可用（例如，受限的連接），那麼可以利甩在記憶體中所保存的該授權憑證。根據_些實施方式，在連接被恢復時，更新的授權憑證被獲得。 32 201026107 -貝訊元素可χ疋提供給用戶的運算式、位址、電話號碼及/或其他資訊（例如，可視資訊、可聽資訊等）。根據一些 .實施方式’資訊元素可以是配置參數及/或汗位址。另外或可替代的，資訊7G素可以是正在被廣播及/或被通告的識別符。此外，資訊元素可以是名稱、身份、位置、用戶資訊（例如，用戶想表達的情緒）、商標和任何其他資料。根據-些實施方式’在授權憑證中僅包括可用的資訊元〇素的子集。例如，如果有可以被包括在授權憑證中的數百或數千的資訊元素，那麼在授權憑證中可以僅包括這些資訊元素的子集m括哪些資訊元素可以是資訊a素（和授權憑證）的源及/或資訊元素（和授權憑證）的目的地的功能。資訊兀素可以被驗證以提供某些可靠性給資訊元素。經驗證的資訊元素可以減輕獨立地驗證資訊元素的需要（例如，不需要存取另一個設備、另一個資料庫或任何其他源），因爲該資訊元素被飼服器預先驗證了。 ❹ 處理器814可以操作地連接到無線通訊裝置802 (及/或記憶體812)以便於分析與在ad_h〇c通訊網路中的頻譜授權和存取控制有關的資訊。處理器814可以是專甩於分析及/ 或產生由無線通訊裝置802接收的資訊的處理器、控制系統 800的一或多個部件的處理器、及/或既分析和產生由無旅通訊裝置802接收的資訊又控制系統800的—或多個部件的處理器。記憶體812可以儲存與在無線通訊裝置8〇2、設備8〇4、 806及/或其他受信任方之間的頻譜授權和存取控制關聯的協 33 201026107 定，使得系統800可以使用所儲存的協定及/或演算法來實現本文描述的在無線網路中的改進的通訊。根據一些實施方式，記憶體保存涉及以下的指令：將設備與一或多個經驗證的資訊元素關聯，並且將由無線通訊裝置所證明的授權憑證發送給設備。圖9說明了基於憑證的配置參數的驗證的另一個系統 900。系統900類似於上面的圖中的系統，並且包括：授權 ❿伺服器902、第一設備904和一或多個其他設備906 設備904可以包括獲得授權憑證的憑證獲得器908。授權憑證可以包括與另一個設備（例如，將與之建立經驗證的通訊對話的設備）關聯的一或多個經驗證的資訊元素，該設備在此將被稱爲第二設備904。經驗證的資訊元素中的至少一個是網際網路協定位址。根據一些實施方式，授權憑證包括：第二設備904的識別符、有效範圍和將授權憑證頒發給第二設備904的受信任方的簽名。在設備904中還包括驗證 ® 授權憑證的驗證模組910。通訊建立器912.利用授權憑證來與第二設備904建立經驗證的通訊。經驗證的通訊可以是廣播或組播。根據一些實施方式，該經驗證的通訊是以對等或ad-hoc配置的與第二設備904的通訊。此外，與第二設備904的通訊可以是在安全通訊鏈路上。設備904還包括操作執行模組9 14，其使用一或多個經驗證的資訊元素的子集來執行配置操作。配置操作可以包括配置介面及/或增加路由。 34 201026107 記憶體916操作地連接到設備904並且被配置爲保存涉及以下的指令：獲得授權憑證，該授根憑證包括與第二設備關聯的一或多個經驗證的資訊元素。記憶體還保存了涉及以下的指今：驗證授權憑證；利用該授權憑證來建立與第二設備的經驗證的通訊；以及使用一或多個經驗證的資訊元素的子集來執行配置操作。處理器91 8被耦合到記憶體916並且被配置爲執行在記憶體916中所保存的指令。 ❹ 鑒於已示出和描述的示例性系統，根據本公開的主題，可以實現的方法參照本文提供的流程圖可以被更好地理解。儘管出於簡化解釋的目的將這些方法示出和描述爲一系列的方塊，但是應該理解並意識到，所要求保護的主題並不受這些方塊的數目或順序的限制，一些方塊可以以與本文描繪和描述的順序不同的順序發生及/或與其他方塊基本同時發生。此外，可能並不需要所有說明的方塊來實現本文所描述的方法。應該意識到，與方塊關聯的功能可以由軟體硬 ❹體、其組合或其他合適的手段(例如，設備、系統、過程、件）來實現。此外’應當進一步意識到，全部說明書所公開的方法能夠被儲存在製品中以便於將這種方法運輸並且發送給各個設備。本領域技藝人士應當理解和意識到，方法可能替代地描繪成一系列相關的狀態和事件，例如在狀態圖中。圖10說明了用於頻譜授權和存取控制的方法1000。方法 1000可以在不需要控制的基礎設施的情況下，使得以或對等方式工作的授樣的設備能夠利用頻譜。 . ..... .. ' .......... . . . .. . . . . . . . . . . . 35 201026107 在1002處，在從受信任的第三方獲得第一授權憑證時，方法1000開始。例如，受信任的第三方可以是授權伺服器。授權憑證可以包含設備的識別符以及受信任第三方的簽名。根據一些實施方式，第一授權憑證被發送到第二設備上。在1 004處’從關聯的設備接收到第二授權憑證。第二授權憑證可以由頒發第一授權憑證的受信任的第三方來頒發’或由另一個受信任方來頒發。第二授權憑證可以包括有 ❹效時間或頒發第二授權憑證的受信任方的加密簽名（例如，受信任的第三方或另一個受信任方）。板據一些實施方式，第一授權憑證包括允許第一設備存取的服務，第二授權憑證包括允許第二設備存取的服務。在1006處，建立了與關聯的設備的經驗證的通訊對話。經驗證的通訊對話可以被配置來攜帶在第一授權憑證和第二授權憑證中包括的允許的服務的列表中指定的類型和方式的資料。根據一些實施方式，建立經驗證的通訊對話可以包括對第二授權憑證進行驗證。驗證第二設備的第二授權憑證驗證失敗會導致切斷在第一設備和第二設備之間的通訊鏈路^驗證第二授權憑證可以包括驗證有效時間和加密簽名。根據一些實施方式’驗證第二授權憑證包括驗證在第二授權憑證中所標識的該第二設備的身份。另外或可替代的’驗證第二授權憑證包括對與身份關聯的私鑰和在數位憑證中包括的公输的擁有進行驗證’及/或對在設備之間在過去某個時間發生的相互認證過程中得出的共享密鍮進行驗證。 '：3β // ；：，：· 201026107 方法1000還可以包括基於在第一授權憑證和第二授權憑證中所包含的資訊來保證經驗證的通訊對話的安全。保證經驗證的通訊對話的安全包括加密/解密和完整性保護1 根據一些實施方式，第一授權憑證及/或第二授權憑證被實現爲傳統的數位憑證《例如，該傳統的數位憑證可以是具有新的擴展的X.509標準，以指示用於頻譜使用的授權，並且可以傳遞適合建立經驗證的通訊鏈路的資訊。在另一個實〇施例中，傳統的數位憑證可以是包括包含ip位址的新的擴展的X.509憑證。現在參照圖11，說明了一種用於頻譜授權和存取控制的方法1100。在i 102,從至少第一設備接收對於系統存取（例如’存取許可的頻譜）的請求》根據一些實施方式，在基本上相同的時間、在不同時間、或它們的組合的情況下，接收來自多個設備的多個請求。在1104中，從内部源、外部源、或它們的組合獲得第一 ®攻備的認證。如果是從外部獲得的，可以在安全通訊鏈路上從網路節點獲得認證「根據一些實施方式，認證是外部地從另一個伺服器獲得的。在1 106 ’確定可以被授權給第一設備的系統存取。根據些實施方式確.定系統..存取包括諮詢配置.參數資料庫.，甘包含被授根存取系統的多個設備的列表。在1104的第一設備的認證及/或在11〇6的彼授權的系統存取可以由與第一設備關聯的憑證東確定。憑證可以是共享的密鑰、公鑰、授權資訊以及服務或帳單資訊的列表中的一 37 201026107 或多個，或者其組合。在1108，基於第一設備被授權的授權的系統存取來建立用於至少第一設備的授權憑證。授權憑證可以包括：第一設備的身份、有效fe圍、及/或頒發授權憑證方的加密簽名，其 — 中所述授權憑證在所述有效範圍期間是有效的。圖12說明了一種用於驗證基於憑證的配置參數的方法 1200。在1202,當設備被與一或多個經驗證的資訊元素關聯 ❿時方法1 200開始。資訊元素可以包括分配給設備的網際網路協定位址、分配給設備的電話號碼及/或其他資訊。根據-些實施方式，在將設備與—或多個f訊元素關聯之則，使用授權協定來與設備進行通訊。部分地基於與設備進行的通訊來確定是否爲設備建立授權憑證以及應當被包括在授權憑證中的資訊元素。根據一些實施方式，諮詢由唯一的設備識別符所識別的被授權的設備和關聯的參數的資料庫，以確定是否將設備與 ®資訊元素相關聯。當使用許可的頻譜進行通訊時，資料庫可以包含與每一個設備可以使用的配置相關的資訊。在1204,授權憑證被發送到設備。授權憑證由受信任方 •來證明，並且包括一或多個經驗證的資訊元素的子集。設備 • 使用授根憑證來與另一個設備建立通訊鏈路。根據一些實施方式，授權憑證包括：設備的識別符、有效範圍和受信任方的簽名。 . . . ' ..... ... ' . . 根據一些實施方式，授權憑證被實現爲傳統的數―位憑證。例如，傳統的數位憑證可以是具有新的擴展的χ.5〇9標 38 201026107 準，以指示用於頻譜使用的授權，並且可以傳遞適於建立經驗證的通訊鏈路的資訊。在另一個實施例中，傳統的數位憑證可以是包括包含ip位址的新的擴展的X 509憑證。 • 圖13說明了一種用於基於憑證的配置參數的驗證的方法 • 1300。在1302，設備（將要與之建立驗證通訊對話的設備）的授權憑證被獲得。授權憑證可以包括與該設備關聯的一或多個經驗證的資訊元素。根據一些實施方式，授權憑證包 © #:設備的識別符、有效範圍和頒發授權憑證的受信任方的簽名。經驗證的資訊元素中的至少一個是網際網路協定位址。在1304，授權憑證被驗證。在1 306，使用授權憑證以與設備建立經驗證的（並且可能安全的）通訊。缉訊可以是廣播或多播。根據一些實施方式，與設備的經驗證的通訊是對等配置。在1308, 一或多個經驗證的資訊元素的子集被用於執行配置操作。根據一些實施方式，置操作包括對介面進行配 ©置。根據一些實施方式，配置操作包括增加路由。現在參照圖14’說明了根據所公開的實施方式的一種便於基於憑證的授權和驗證的系統“(JO。系統M00可以位於 • 用戶設備中。系統丨4〇〇包括接收機1402 ,其可以從例如接 • 收機天線來接收信號。接收機1402可以執行其典型的操作，例如，對所接收的信號進行渡波、放大、降頻轉換等。接收機1402還可以數位化調節後的信號，以獲得採樣^解調器 1404可以在每一個符號周期中獲得所接收的信號並且將所接收的信號提供給處理器14〇6。 201026107 處理器1406可以是專用於分析由接收機部件14〇2所接收的資訊及/或產生由發射機1408發送的資訊的處理器。另外或可替代的，處理器1406可以控制用戶設備14〇〇的一或多個部件、分析由接收機14〇2接收的資訊產生由發射機 1408發送的資訊、及/或控制用戶設備14〇〇妁一或多個部件。處理器1406可以包括控制器部件，其能夠協調與另外的=戶叹備的通訊。用戶設備14〇〇還可以包括記憶體14〇8， ®其操作地耦合到處理器1406’並且其可以儲存與協調通訊有關的資訊和任何其他適合的資訊。圖15說明了便於在adh〇c (對等）環境中的頻譜授權和存取控制的示例系統1500。系統15〇〇包括可以單獨地工作或協同地工作的電子部件的邏輯組1502 ^邏輯組15〇2包括電子部件1504,其用於獲得第-設備的第—授權憑證。第一授權憑證是由受信任的第三方來頒發的。根據一些實施方式’該受信任的第三方是授權伺服器。

在邏輯組1502中還包括電子部件15〇6，其甩於將第一名權憑證傳遞給第二設備。第一授權憑證包括第一設備的識方符和受信任的第三方的簽名。還包括電子部件15〇8，其用灰從第二設備接收第二設備的第二授權憑證。邏輯组1502還包括電子部件151〇,其用於驗證第二設儀的第二授權憑證。第二授權紐可以包括有效時間或該第二授權憑證的頒發者（例如，受信任第三方或另—個受信任方兩者進行驗證。根據-些實施方式，驗證 201026107 括·驗a在第—授權憑證中所標識的該第二設備的身份；驗證與身份關聯的私.鍮和在數位憑證t所包括的公瑜的擁有；或者驗證透過相互認證過程得到的共享密錄；或者上述組合。 ▲根據-些實施方式，如果在驗證第二設備的第二授權憑也中存在失敗’那麼在第—設備與第：設備之間建立的通訊鍵路會被切斷》被切斷的通訊鏈路是未驗證的鏈路，設備利 ©用該未驗證的鏈路交換授權憑證及/或其他資訊以便建立經驗證的通訊。在邏輯組1502中還包括電子部件1512,其用於與第二設備建立經驗證的通訊對話。經驗證的通訊對話可以被配置來攜帶在第授權憑證、第二授權憑證或第一和第二授權憑證兩者甲所包括的允許的服務的列表中所指定的類型和方式的資料。根據一些實施方式，第一授權憑證包括允許第一設備存取的服務，第二授權憑證包括允許第二設備存取的服盥此外，系統1500可以包括記憶體1514,其保存用於執行 /、電子部件BO4、U06、⑼8、和或其他部件關聯的功能的指令。雖然將這些部件示出爲位於記憶體1514 外部，但應當理解，電子部件1504、1506、1508、1510和 12中的—或多個也可以位於記憶體1514之内。圖1 6說明了一種提供頻谱授權的示例系統16⑽。在系統中匕括可以單獨地或協調地工作的電子部件的邏輯組邏輯組1602包括電子部件16〇4，其用於從至少第一 41 201026107 設備接收用於存取頻譜的請求。在邏輯組1602中還包括電子部件16〇6,其用於執行至少第一設備的認證。可以使用内部源或外部源來執行認證。根據一些實施方式’透過安全通訊鏈路在外部網路設備的協助下來執行第一設備認證。還包括電子部件1608，其用於確定可以被提供給至少第一設備的系統存取1根據一些實施方式，電子部件16〇8透 ❹過諮詢包含被授權存取系統的多個設備的列表的配置參數資料庫來確定系統存取。根據各個實施方式’透過檢查與第一設備關聯的憑證，電子部件1606可以執行認證及/或電子部件16〇8可以確定頻譜存取。憑證可以包括一或多個共享密錄、公鑰、授權資訊、服務列表、帳單資訊或其組合。邏輯組1602還包括電子部件1610,其部分地基於可以被提供給至少第一設備的頻譜存取來產生用於至少第一設備 ❹的授權憑證。授權憑證可以包括：第一設備的身份、有效範圍、及/或加密簽名，其中所述授權憑證在所述有效範圍期間是有效的。根據一些實施方式，邏輯組丨6〇2包括甩於將授權憑證發送給第一設備的電子部件（未示出）。根據一些實施方式，基於多個請求的接收可以產生多個授權憑證。每一個授權憑證可以是唯一地用於針對每一個設備，並且單獨地被發送給每一個設備。 ^ 系統1600還可以包括記憶體1612 ,用於保存用於執行與 42 201026107 電子部件1604、1606、1608、161〇或其他部件關聯的功能的指令。雖然被示出爲位於記憶體1612外部，但是電子部件1604、1606、1608、1610中的一或多個也可以位於記憶體1612之内、圖17說明了驗證在通訊環境中的基於憑證的配置參數的示例系統1700。通訊環境可以是在對等配置或ad_h〇c配置中。在系統1 700中包括可以單獨地或協調地工作的電子部〇件的邏輯組1702。在邏輯組1702中包括電子部件1704，用於將設備與一或多個經驗證的資訊元素相關聯。根據一些實施方式，資訊元素可以是分配給設備的網際網路協定位址及 /或分配給設備的電話號碼。邏輯組1702還包括電子部件17〇6,用於將由受信任方所證明的授權憑證發送給設備。授權憑證可以包括受信任方的加密簽名和其他資訊（例如，設備識別符、設備可以獲得存取的服務等）。 ® 應當注意，驗證資訊元素的過程與授權憑證的驗證是分離的並且不同。受信任的第三方可以從另一方獲得預先驗證的貝讯兀素，或者可以透過一些其他、分離的過程来自己驗證資訊元素。根據一些貫施方式’邏輯組丨7〇2包括用於使用認證協定或授權協定與設備通訊的電子部件（未示出）。還可以包括用於確定是否建立授權憑證以及哪些資訊元素要包含在授權憑迅中的電子部件（未示出）。可以部分地基於與設備的通訊來進行確定。 43 201026107 根據-些實施方式，邏輯組17〇2包括用於諮詢授權的設備和由唯-的設備識別符所識別的關聯的參數的資料庫的電子㈣（未畫& )。該㈣庫可以包含錢❹許可的頻譜進行通訊時每-個設備可以利用的配置相關的資訊。㈣統t還包括記憶體17G8，其保存用於執行與電子部件1704、1706或其他部件關聯的功能的指令。儘管示出了外部的記憶们708,但是根據一些實施方式，電子部件⑽ ❹和1706中的-或多個也可以存在於記憶體17()8之内。參照圖18,說明了一種用於驗證基於憑證的配置參數的示例系統_。系統刪包括邏輯組18〇2’其包括電子部件1804’用於獲得包括與另—個設備關聯的—或多個經驗證的資訊元素的授權憑證。根據—些實施方式，經驗證的資訊疋素中的至少一個是網際網路協定位址。在邏輯組购中還包括電子部件刪，其用於驗證授權憑證。該授權憑證可以包括:另一個設備的識別符、有效範圍和頒發授權憑證的受信任方的簽名。邏輯組職還包括電子部件刪，其部分基於授權憑證來與另一個設備建立經驗證的通訊。經驗證的通訊可以是廣播或組播。與另一個設備的經驗證的通訊是對等配置及/或 ad-hoc 配詈〇還包括電子部件㈣，其用於使用一或多個經驗證的資訊兀素的子集來執行配置操作。該配置操作可以包括配置介面及-/或增加路由。此外’系統侧可以包括記憶體1812，其保存用於執行 + - · . . - · 44 201026107 與電子部件1804、1806、刪、1810或其他部件關聯的功能的指令。雖然示出爲位於記憶體1812外部，但是應當理解，電子部件18〇4、1806、刪、181〇中的一或多個可以存在於記憶體1812之内。應當意識到，上述的圖15、16、17和18中的系統15〇〇、 1600 1700和18〇〇被表示爲包括功能方塊，其可以是表示由處理器、軟體或其組合（例如’韌體）實現的功能的功能 ❹方塊。應當理解，本文描述的實施方式可以透過硬體軟體、韌體或它們的任意組合來實現。在用軟體來實現時功能可以作爲在電腦可讀取媒體上的一條或多數指令或代碼被儲存或發送。電腦可讀取媒體包括電腦儲存媒體和通訊媒體，該通訊媒體包括便於將電腦程式從一處傳輸到另一處的任何媒體。儲存媒體可以是由通用或專用電腦來存取的任意可用的媒體·>作爲不例，但不僅限於此，這些電腦可讀取媒體可以包括RAM、ROM、EEPR〇m、CD-R〇M或其他光碟記憶體、磁碟儲存^其他磁碟儲存裝【，或者可㈣來攜帶或儲存指令或資料結構形式的期望的程式碼的並且可以被通用電腦或專用電腦或通用處理器或專用處理器存取的任何其他媒體。此外，任意連接可以被適當地稱作電腦可讀取媒體。例如，如果使用同軸電纜、光纖電纜、雙絞線、數位甩戶線路（DSL)或無線技術（例如紅外、無線電和微波）從網站、何服器或其他遠端源發送軟體，那麼這些同軸電镜、光纖電纜、雙絞線、DSL或無線技術（例如紅外、無線電和 45 201026107 微波）被包括在媒體的定義中。本文所使用的磁Hdisk) 和光碟（disc)包括.1 缩光碟（CD)、雷射光碟光碟數位多功&光碟（DVD)、軟碟以及藍光光碟（BD)，其中磁片通常以磁的方式再現資料，而光碟通常⑽射以光的方式再現資料。上面袭置的組合也應該被包括在電腦可讀取媒體的範圍内。可以用被設计來執行本文所描述功能的通用處理器、數 ❹位仏號處理器（DSP)、專用積體電路（ASIC)、現場可程式閑車歹J ( FPGA)或其他可程式邏輯裝置分離門&電晶艘邏輯、刀離硬體/0件或它們的任意組合來實現或執行與本文公開的實施方式相結合描述的各種說明性的邏輯、邏輯區塊模組與電路。通用處理器可以是微處理器，但是可替代的該處理器可以疋任何常規的處理器、控制器微控制器或狀態機。處理器也可以被實現爲計算設備的組合，例如DSp和微處理器的組合、多値微處理器的組合、一或多個微處理器連同DSP核心的組合、或任何其他這樣的配置的組合。此外，至少一個處理器可以包括一或多個模組，其用於執行上述的步驟及/或動作中的一或多個。對於軟體實現，可以用執行本文所描述功能的模组（例 .L程功專）來貫現本文:所描述的技術。'敕體代碼可 '被儲存在心憶體單元中並被處理器執行。可以在處理器内部或處理器之外實現記憶體單元，當在處理器之外實現時，可以―經由本領域已知的各榛手段將記憶體單元通訊地搞合到處理器。另外’至少一個處理器可以包括用於執行本文描 46 201026107 .述的功能的一或多個模組。本文描述的技術可以被用於各種無線通訊系統，例如： CDMA、TDMA、FDMA、OFDMA、SC-FDMA 和其他系統。 • 術語「系統」和「網路」經常互換地使用。CDMA系統可以 ' 實現無線電技術，例如通用地面無線存取（UTRA )、 CDMA2000 等。UTRA 包括寬頻 CDMA( W-CDMA )和 CDMA 的其他變體。此外，CDMA2000 覆蓋了 IS-2000、IS-95、IS-856 0 標準。TDMA系統可以實現無線電技術，例如行動通訊全球系統（GSM ) 。OFDMA系統可以實覌無線電技術，例如演進的 UTRA (E-UTRA)、超行動寬頻（UMB)、IEEE 802.1 1 (Wi-Fi ) ' IEEE 802.16 ( WiMAX ) 、IEEE 802.20、

Flash-OFDM®等。UTRA和E-UTRA是通用行動電信系統 (UMTS )的一部分。3GPP長期進化（LTE )是使用E-UTRA 的UMTS的版本，其在下行鏈路上採用OFDMA而在上行鏈路上採用SC-FDMA。在來自於名稱爲「第三代合作夥伴計 ❿劃（3GPP)」的組織的文件中描述了 UTRA、E-UTRA、UMTS、 LTE和GSM。另外，在來自於名稱爲「第三代合作夥伴計劃 2 (3GPP2)」的組織的文件中描述了 CDMA2000和UMB。此 . 外’這種無線通訊系統可以另外包括對等（例如，行動到行動）ad he網路系統’該網路系統經常使用未配對的無許可的頻譜、802.XX無線LAN、藍牙和任何其他短範圍或長範圍無線通訊技術。另外’本文描述的各個實施方式或特徵可以被實現爲方法、裝置或使用標準編程及/或工程技術的製品。本文使用的 - : . ' -... ..... ..... ..... .... 47 201026107 術浯「製品」旨在包括可從任何電腦可讀取設備、載體或媒體中存取的電腦程式。例如，電腦可讀取媒體可包括但是不 . 限於磁碟儲存裝置（例如硬碟、軟碟、磁帶等）、光碟（例如壓縮光碟（CD )、數位多用途光碟（dVd )等）、智慧卡 •和快閃記憶體設備（例如，EPROM、卡、棒、鍵驅動（key drive ) 等）另外，本文描述的各種儲存媒體可以表示用於儲存資 ϋ的或夕個没備及/或其他機器可讀取媒體。術語「機器可〇遺取媒體」可以包括但不限於無線通道以及能夠儲存、包含及/或攜帶指令及/或資料的各種其他媒體。另外，電腦程式産W可以包括具有可操作來使得電腦執行本文所描述功能的一或多個指令或代碼的電腦可讀取媒體。另外，、结合本文公開的實施方式描料方法或演算法的步驟及/或動作可以被直接地體現爲硬體、被處理器執行的軟體模組或上述兩者的組合。軟趙模組可以位於RAM記憶體、 f、义記隐體ROM §己憶體、epr〇m記憶趙、別PROM記憶體、暫存器、硬碟、可移除磁碟、⑶·刪或本領域已知的任何其他f轉媒體形式中。㈣彳性的儲存媒體可以被麵合到處理器’使得該處理器可以從儲存媒體中讀取資訊並向其寫資可選地，儲存媒體可以整合到處理器中。另外在 5 ASIC t 〇 ^ ，該·可以位於以設備中。可選地，處理器和儲存媒體可以作爲個別部件來位於好設備中。另外在實施方式，方法或演算法的步驟及/或動作可以作爲心媒體及/或電腦可讀取媒體上的代碼及/或指令中的一個或往 201026107 意組合或集合，該機器可讀取媒體及/或電腦可讀取媒體可以被包含在電腦程式産品中。雖然前面的公開.討論了說明性的實施方式及/或實施方式，應當注意，在不脫離所描述的實施方式及/或由所附的請求項來定義的實施方式的範圍的情況下，可以做出各種改變和變形。因此’所描述的實施方式旨在涵蓋落人所附權利請求範圍之内的所有這樣的變更、變形和改變、此外，雖然所 ©描述的實施方式的元素及/或實施方式可以以單數的形式被描述或聲明’但是除非明確限制爲單數，複數是可預期的。此外，除非另外聲明’任何實施方式的所有或部分及/或實施方式可以被用於任何其他實施方式的所有和冑分及/施方式。就用在具體實施方式或請求射的術語「包含」的範圍來說’該術語意圖是包含性的，其類似於術語「包括上作爲 ❹請求項中過渡性詞語被採用時所解釋的那樣。此外，在具體實施方式或請求項中使用的術語「或」意味著「非排他性的或J 〇【圖式簡單說明】圖1說明了根據各嗰實施方式的無線通訊系統。圖2說明了用於頻譜使用授權的系統。圖3說明了從授權伺服器獲得授權的設備的操作的流程 1»1 η ♦ .一. . 49 201026107 圖4說明了可以被應用到所公開的實施方式的示例授權憑證〇 ' 圖5說明了根據本文所公開的各個實施方式的透過使甩授權及/或關聯的配置參數首先驗證頻譜來建立經驗證的通訊鏈路的兩個設備的操作的流程圖。圖6說明了根據一或多個實施方式的用於基於憑證的頻譜授權和存取控制的系統。 ® 圖7說明了用於頻譜授權和存取控制的系統。圖8說明了用於基於憑證的配置參數的驗證的系統。圖9說明了用於基於憑證的配置參數的驗證的另一個系統》圖1〇說明了用於頻譜授權和存取控制的方法。圖11說明了用於頻譜授權和存取控制的方法。圖1 2說明了用於驗證基於憑證的配置參數的方法。 ❿ 圖13說明了用於基於憑證的配置參數的驗證的方法。圖14說明了根據所公開的實施方式的便於基於憑證的授權和驗證的系統。圖15說明了便於在ad h〇c (對等）環境中的頻譜授權和存取控制的示例系統。圖16說明了提供頻譜授權的示例系統。圖17說明了在通訊環境中的驗證基於憑證的配置參數的示例系統。 . …. .... 圖1 8 S兒明了驗證基於憑證的配置參數的示例系統。 50 201026107

【主要元件符號說明】 100 系統 102 基地台. 104〜 1 14 天線 116 設備 118 前向鏈路 120 反向鍵路 122 ' 124 設備 126、 128 鍵路 200 系統 202 授權伺服器 204 配置參數資料庫 206 設備1 208 設備η 210〜214 雙向通訊鏈路 216 授權憑證！ 218 授權憑證Μ 302 授權請求訊息 304 認證機制 306 授權回應.訊息 400 授權憑證 51 201026107

402 設備ID 404 有效期 406 伺服器簽名 408 設備憑證/公鑰 410 允許的服務類型 412 其他配置或使能資訊 502 連接請求訊息 504 連接回應訊息 508 授權請求訊息 510 授權回應訊息 602 無線通訊裝置 604 設備 606 受信任方 608 授權憑證請求器 610 關聯設備憑證獲得器 612 驗證模組 614 記憶體 616 處理器 702 ' 704 設備 706 無線通訊裝置 708 接收機 52 201026107

710 認證器 712 存取授權器 714 憑證產生器 716 記憶體 718 處理器 802 無線通訊裝置 804 設備1 806 設備P 808 設備識別符 810 授權憑證分發器 812 記憶體 814 處理器 902 授權伺服器 904 設備1 906 設備P 908 憑證獲得器 910 驗證模組 912 通訊建立器 914 操作執行模組 916 記憶體 918 處理器 53 201026107

1000 〜1308 步驟流程 1400 用戶設備 1402 接收機 1404 解調器 1406 處理器 1408 發射機 1410 記憶體 1412 調制器 1504 ~ 1508 電子部件 1514 記憶體 1604 ~ 1610 電子部件 1612 記憶體 1704 、1706 電子部件 1708 記憶體 1804 ~ 1810 電子部件 1812 記憶體 54

Claims

201026107 七、申請專利範圍·· 卜一種用於頻譜授權和存取控制的方法’包括下列步驟：獲知·由一受信任的第三方頒發的一第一設備的一第―授權憑證；從一第二設備接收該第二設備的一第二授權憑證，該第二授權憑證由該受信任的第三方或一另一個受信任方頒發；以及 Ο 與該第—設備建立一經驗證的通訊對話。 2、如請求項1之方法’還包括步驟：在與該第二設備建立該經驗證的通^ ^ 遇況對話之前，驗證該第二設備的該第二授權憑證。 3如清求項2之方法，其中該第二授權憑證包括一有效

時間和該又L任的第三方或該另一個受信任方的一加密簽名並且其中驗證該第二授權憑證包括驗證該有效時間和該加密簽名。 4、言青jg . 〇 . :. 崎2之方法’其中驗證該第二授權憑證的步驟包括驗證與在— 數位憑證中包括的一公鑰和一身份兩者相關聯的私鑰的擁有的步驟。 5 v jg 喝2之方法，其中驗證該第二設備的該第二授 55 201026107 權步驟中的失敗會導致切斷在該第一設備和該第二設備之間的一通訊鏈路。 6、如請求項1之方法，還包括步驟：在與該第二設備建 ’至驗的通訊對話之前，將該第一授權憑證發送給該第二設備。 ° © 7、如請求項1之方法，還包括步驟：基於在該第一授權憑證和該第二授權憑證中包含的資訊來保護該經驗證的通訊對話的安全。 8如請求項1之方法’其中該第一授權憑證包括該第一設備的一識別符、該受信任的第三方的一簽名以及一有效時間。鲁 Q 往、 9、如請求項1之方法，其中該經驗證的通訊對話用於樓帶在該第一授權憑證和該第二授權憑證中包括的允許的服務的一列表中指定的一類型和方式的資料。 10、如請求項丨之方法，其中該第一授權憑證包括允許由該第一設備存取的服務，以及該第二授權憑證包括允許由該第二設備存取的服務。 11、如請求項1之方法，其中該第一授權憑證和該第二 • . . . . . . . _ . . .. .. . .... . .......... 56 . 201026107 授權憑證中的至少一個被實現爲一傳統的數位憑證。 12、一種無線通訊裝置，包括：一記憶體，其保存涉及以下操作的指令：獲得由一受俨任的第三方頒發的一第一設備的一第一授權憑證；從一^ 設備接收該第二設備的一第二授權憑證；以及與該建立-經驗證的通訊對話’其中該第二授權憑證由該受信任〇的第三方或一另一個受信任方頒發；以及一處理器，其耦合到該記憶體，用於執行在該記憶體中保存的該些指令。 ‘ 13、如請求項12之無線通訊裝置，該記憶體還保存涉石以下操作的指令：在建立該經驗證的通訊對話之前驗證言第二設備的該第二授權憑證’其中該經驗證的通訊對話用方攜帶在該第一授權憑證和該第二授權憑證中包括的允許备服務的一列表令指定的一類型和方式的資料。 14如明求項13之無線通訊裝置，其中驗證該第二設備的該第二授權憑證的失敗會導致切斷在該第一設備和該第一設備之間的一通訊鏈路。 15、如清求項12之無線通訊裝置，該記憶體還保存涉及以下操作的指令：在與該第二設備建立該經驗證的通訊對話之前，將該第一授權憑證傳送給該第二設備，其中該第一授 57 201026107 權憑證包括該第一設備的一識別符、該受信任的第三方的一簽名以及一有效時間。 16、一種便於頻譜授權和存取控制的無線通訊裝置，包括：用於獲得由一受信任的第三方頒發的一第一設備的一第一授權憑證的構件；〇用於將該第—授權憑證傳送給一第二設備的構件；用於從該第二設備接收該第二設備的一第二授權憑證的構件，該第二授權憑證由該受信任的第三方或一另一個受信任方頒發；用於驗證該第二設備的該第二授權憑證的構件；以及用於如果對該第二授權憑證的驗證是成功的，則與該第二設備建立經驗證的通訊對話的構件。 ❿ 17、如請求項16之無線通訊裝置，其中該第—授權包括該第一設備的一識別符和該受信任的第三方的名，該第二授權憑證包括該第二設備的一識別符和該受的第二方或該另一個受信任方的一簽名。 18、一種電腦程式產品，包括：一電腦可讀取媒體，其包括：一第一組代碼’用於使―電腦獲得由—受信任的第方頒發的一第一設備的—第一授權憑證； 58 201026107 一第二組代碼，用於使該電腦從一第二設備接收該第二設備的一第二授權憑證，該第二授權憑證由該受信任的第三方或一另一個受信任方頒發；一第三組代碼，用於使該電腦驗證該第二授權憑證；以及一第四組代碼，用於如果該第二授權憑證有效，則使該電腦與該第二設備建立一經驗證的通訊。 ❿ 19、一種至少一個用於提供頻譜授權和存取控制的處理器，包括：一第一模組，用於獲得由一受信任的第三方頒發的一第一設備的一第一授權憑證；一第二模組，用於將該第一授權憑證發送給一第二設備；一第三模組，用於從該第二設備接收該第二設備的一第二授權憑證，該第二授權憑證由該受信任的第三方或一另一 © 個受信任方頒發；一第四模組，用於驗證該第二設備的該第二授權憑證；以及一第五模組，用於如果對該第二授權憑證的驗證是成功的，則與該第二設備建立一經驗證的通訊對話。 20、如請求項1 9之至少一個處理器，其中該第一授權憑證包括允許由該第一設備存取的服務，並且其中該經驗證的通訊對話用於攜帶在該第一授權憑證和該第二授權憑證中 59 201026107 包括的允許的服務的一列表中指定的一類型和方式的資料。 21、—種用於頻譜授權和存取控制的方法，包括下列步驟：從一第一設備接收對於系統存取的一請求；執行對該第一設備的認證；確定可以被授權給該第一設備的系統存取；以及〇基於該被授權的系統存取，建立該第一設備的一授權憑證0 22、如請求項21之方法，其中該第一設備認證是透過— 女全的通訊鏈路外部地從一網路設備獲得。 23、如清求項21之方法’其中確定系統存取的步驟包括諮詢一配置參數資料庫’該配置參數資料庫包含被授樣存取 ❿系統的複數個設備的一列表的步驟。 24、如清求項21之方法，其中該認證或該被授權的系統存取由與該第一設備關聯的憑證來確定。 25、如凊求項24之方法，其中該些憑證是共享的密鑰、公錄、授權資訊、服務列表、帳單資訊中的至少一個或它們的_組合。__ 201026107 26、如請求項21之方法備的一身份。其中該授權憑證包括該第一設 27、如請求項21之方法，備的一身份和一有效範圍其間是有效的β 其中該授權憑證包括該第一設中該授權憑證在該有效範圍期 ® 8如請求項21之方法’其中該授權憑證包括該第一截在該有效範圍期間是有效的備的身伤—有效範圍以及一加密簽名其中該授權憑證 29、一種無線通訊裝置’包括· 一記憶趙，其保存涉及以下操作的指令：從至少一第一設備減對於h存取的—請求；執行㈣至少第—設備的義認證；確定可以被授權給該第—設備㈣統存取；以及部分 ©地基於該被授權的系統存取來產生該至少第一設備的一授權憑證；以及 _ ..保存的該指令' 30、如請求項29之無線通訊裝置，其中該至少第一設備的認證是透過一安全的逍訊鏈路從一網路設備獲得。 3丨、如讀求項29之無線通訊裝置，其中確定系統存取的 K 201026107 指令包括諮詢一配置參數資料庫，該配置參數資料庫包含被授權存取系統的複數個設備的一列表。 32、如請求項29之無線通訊裝置，其中該認證或該被授權的系統存取由與該第一設備關聯的憑證來確定，該些憑證是共享的密鑰、公鑰、授權資訊、服務列表、帳單資訊中的至少一個或它們的組合。參 33、如請求項29之無線通訊裝置，其中該授權憑證包括該第一設備的一身份、該授權憑證有效的一有效期以及一加密簽名。 4、一種提供頻譜授權的無線通訊裝置，包括：用於從至少一第一設備接收對於系統存取的請求的構件； ... . 用於執行對該至少第一設備的認證的構件；用於確定可以被提供給該至少第—設備的系統存取的構件；以及於。P /7地基於該被授權的系統存取來產生該至少第一設備的一授權憑證的構件。 35、如請求項34 B亥第一設備.的—身份授權憑證在該有效範之無線通訊裝置，其中該授權憑證包括、—有效範圍以及一加密簽名，其中該圍期間.是.有.效的。… 62 201026107 還包括： ’該配置參數資料庫列表。 36、如請求項34之無線通訊裝置，用於諮詢一配置參數資料庫的構件包含被授權存取系統的複數個設備的— 37、一種電腦程式產品，包括：一電腦可讀取媒體，其包括： ❿ 一第一組代碼，用於使一電腦從一第一設備接收對於系統存取的一請求；一第二組代碼，用於使該電腦執行對該第一設備的認證；一第三組代碼’用於使該電腦確定可以被授權給該第一設備的系統存取；以及一第四組代碼，用於使該電腦基於該被授權的系統存取來產生該第一設備的一授權憑證。 ❹ 3 8、如請求項3 7之電腦程式産品，其中確定系統存取包括枪詢一配置參數資料庫’該配置參數資料庫包含被授權存取系統的複數個設備的一列表，並且其中基於與該第一設備關聯的憑證來確定該認證或該被授權的系統存取，該些憑證是共享的密鑰、公鑰、授權資訊、服務列表、帳單資訊中的至少一個或它們的組合。 39、一種至少一個用於提供頻譜授權的處理器，包括: 63 201026107 一第一模組’用於從至少一第一設備接收對於系統存取的一請求；一第二模組’用於執行對該至少第一設備的認證；一第三模組，用於確定可以被授權給該至少第一設備的系統存取；以及一第四模組，用於部分地基於該被授權的系統存取來產生該至少第一設備的一授權憑證，其中該授權憑證包括該至 H 少第一設備的一身份、一有效範圍以及一加密簽名，其中該授權憑證在該有效範圍期間是有效的。 40、如請求項39之該至少一個處理器，其中該第四模組利用與該第一設備關聯的憑證來確定可以被授權的系統存取’其中該些憑證是共享的密鑰、公鑰、授權資訊、服務列表、帳單資訊中的至少一個或它們的組合。 64