CN102150448A - 基于凭证的频谱授权和访问控制 - Google Patents
基于凭证的频谱授权和访问控制 Download PDFInfo
- Publication number
- CN102150448A CN102150448A CN2009801354208A CN200980135420A CN102150448A CN 102150448 A CN102150448 A CN 102150448A CN 2009801354208 A CN2009801354208 A CN 2009801354208A CN 200980135420 A CN200980135420 A CN 200980135420A CN 102150448 A CN102150448 A CN 102150448A
- Authority
- CN
- China
- Prior art keywords
- equipment
- authorized certificate
- authorized
- certificate
- trusted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/02—Access restriction performed under specific conditions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/18—Self-organising networks, e.g. ad-hoc networks or sensor networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本文的方面描述了频谱授权、访问控制和配置参数验证。如果在ad-hoc或对等配置中的设备被授权使用频谱,那么该设备可以利用许可的频谱,上述授权可以被自动地确定。本文的方面涉及作为验证设备的证书和设备被授权的服务的结果,由授权服务器进行授权凭证的分发。设备可以执行授权凭证的交换和验证,并以此作为启用使用频谱的经验证的无线链路的条件。
Description
技术领域
以下的说明总体上涉及无线通信,并且更具体地涉及在许可的频谱上授权通信。
背景技术
无线通信系统被广泛地部署以提供各种类型的通信以及传送信息,无论用户位于什么地方(建筑物之内或之外),并且无论用户是静止的还是移动的(例如:在车中,步行)。例如,可以通过无线通信系统来提供语音、数据、视频等。典型的无线通信系统或网络可以提供对一个或多个共享资源的多个用户访问。例如,系统可以使用各种多路访问技术,例如:频分复用(FMD)、时分复用(TDM)、码分复用(CDM)、正交频分复用(OFDM)以及其它。
通常,通过与基站或接入点通信的设备来建立无线通信网络。接入点覆盖某个地理范围或小区,并且当设备在运行时,该设备可以被移入或移出这些地理小区。
也可以在不使用接入点的情况下仅使用对等设备来创建网络,或者该网络可以包括接入点和对等设备两者。网络的这些类型有时也被称为ad hoc网络。Ad hoc网络可以自我配置的,由此,在设备(或接入点)从另一个设备接收通信时,该另一个设备被添加到网络中。在设备离开区域时,它们被从网络中动态地移除。因此,网络的拓扑结构可以不断地改变。
Ad-hoc网络使得通信设备能够在移动时发送和/或接收信息。通信是使用频谱来建立的,然而频谱是宝贵、有限的资源,其包括在多种类型的数据的传输中所利用的大范围的电磁的无线电频率。Ad-hoc网络可以被通信地耦合到其它公共或私有网络,例如通过有线和/或无线接入点,以便能够传输去往和来自设备的信息。这种ad-hoc网络典型地包括以对等方式通信的大量设备。Ad-hoc网络还可以包括发射强信号以便于在设备之间进行对等通信的信标点。例如,发射的信标可以包含定时信息,以帮助这些设备的时序同步。由于这些设备移动进入以及穿越不同的覆盖区域,因此布置这些信标点来提供宽广范围覆盖。
如果通信系统不需要运营商拥有的接入点但利用属于频谱拥有者/获得许可的人/供应商的许可的频谱时,那么应该仅使得被授权的设备能够使用该频谱。为了补偿频谱拥有者/获得许可的人的频谱许可费,将频谱的授权授予与下面的用户或组织关联的设备,该用户和组织与频谱供应商或其经纪人代表具有商业关系。
因此,频谱供应商通过使用授权服务器来控制它的频谱的使用,该授权服务器是核心网络节点或节点组,它们在由用户服务协议或频谱供应商管理所规定的时间线或事件发生时与设备进行通信,以对设备进行认证和授权,使得该设备可以按照它们的服务协议利用频谱。
与使用频谱的ad-hoc网络关联的是用于适当使用这些链路的一系列必需的配置参数。这些参数是网际协议(IP)地址、上层或网络层标识符、服务标识符等。这些参数的错误配置可能导致安全漏洞。例如,如果(行为不端的)设备能够使用属于另一个网络节点的IP地址,好像这个(偷取的)IP地址属于该行为不端的设备,那么与行为不端的设备进行通信的对等体会不注意地将打算去往上述网络节点的数据业务重定向到该行为不端的设备。
发明内容
以下提供了一个或多个方面的简要概述,以提供这些方面的基本理解。这个概述不是所有预期的方面的广泛的概述,并且它既不旨在标识所有方面的关键点或重要的元素,也不旨在描绘任何或所有方面的范围。它的唯一目的是以简化的形式来介绍一个或多个方面的一些概念,作为稍后介绍的更详细描述的前序。
根据一个或多个方面以及其相应的公开,结合授权设备使用许可的频谱与其它设备直接地进行通信来描述各个方面。根据一些方面,授权是基于指定的用户/服务协议的。被采用来使能频谱的正确使用的配置参数可以由频谱供应商授权服务器来保证,因此,可以由对等设备来验证。这种对等设备可以是频谱授权的并且被提供了授权的配置参数,其可以在使用频谱的对等/ad-hoc通信的过程中被利用。
一个方面涉及一种用于频谱授权和访问控制的方法。该方法包括获得由受信任的第三方颁发的第一设备的第一授权凭证。该方法还包括从第二设备接收所述第二设备的第二授权凭证。所述第二授权凭证由所述受信任的第三方或另一个受信任方颁发。该方法还包括与所述第二设备建立经验证的通信会话。
另一个方面涉及无线通信装置,其包括存储器和处理器。存储器保存了涉及以下操作的指令:获得由受信任的第三方颁发的第一设备的第一授权凭证,从第二设备接收所述第二设备的第二授权凭证。所述第二授权凭证由所述受信任的第三方或另一个受信任方颁发。存储器还保存了涉及以下操作的指令:与第二设备建立经验证的通信会话。所述处理器被耦合到所述存储器并且用于执行在存储器中保存的指令。
另一个方面涉及便于频谱授权和访问控制的无线通信装置。所述装置包括:用于获得由受信任的第三方颁发的第一设备的第一授权凭证的单元以及用于将所述第一授权凭证传送给第二设备的单元。所述装置还包括:用于从第二设备接收所述第二设备的第二授权凭证的单元。所述第二授权凭证由所述受信任的第三方或另一个受信任方颁发。在所述装置中还包括:用于验证所述第二设备的所述第二授权凭证的单元;以及用于如果对所述第二授权凭证的验证是成功的,则与所述第二设备建立经验证的通信会话的单元。
另一个方面涉及包括计算机可读介质的计算机程序产品,该计算机可读介质包括:第一组代码,用于使计算机获得由受信任的第三方颁发的第一设备的第一授权凭证。所述计算机可读介质还包括:第二组代码,用于使所述计算机从第二设备接收所述第二设备的第二授权凭证;以及第三组代码,用于使所述计算机验证所述第二授权凭证。所述第二授权凭证是由所述受信任的第三方或另一个受信任方颁发的。所述计算机可读介质还包括第四组代码,用于如果所述第二授权凭证有效,则使所述计算机与所述第二设备建立经验证的通信。
另一个方面涉及用于提供频谱授权和访问控制的至少一个处理器。所述处理器包括:第一模块,用于获得由受信任的第三方颁发的第一设备的第一授权凭证;第二模块,用于将所述第一授权凭证发送给第二设备。在所述处理器中还包括第三模块,用于从第二设备接收所述第二设备的第二授权凭证。所述第二授权凭证由所述受信任的第三方或另一个受信任方颁发。此外,所述处理器包括:第四模块,用于验证所述第二设备的所述第二授权凭证;以及第五模块,用于如果对所述第二授权凭证的验证是成功的,则与所述第二设备建立经验证的通信会话。
另一个方面涉及一种用于频谱授权和访问控制的方法。所述方法包括:从第一设备接收对于系统访问的请求,以及执行对所述第一设备的认证。所述方法还包括:允许(授权)所述第一设备的系统访问,并且基于所述被授权的系统访问创建所述第一设备的授权凭证。
另一个方面涉及无线通信装置,其包括存储器和处理器。所述处理器被耦合到存储器并且用于执行在所述存储器中保存的指令。存储器保存涉及以下操作的指令:从至少第一设备接收对于系统访问的请求,并且执行对所述至少第一设备的认证。所述存储器还保存涉及以下操作的指令:向第一设备允许(授权)系统访问,并且部分地基于所述被授权的系统访问来生成所述至少第一设备的授权凭证。
另一个方面涉及提供频谱授权无线通信装置。所述装置包括:用于从至少第一设备接收对于系统访问的请求的单元;用于执行对所述至少第一设备的认证的单元。所述装置还包括:用于向所述至少第一设备允许(授权)系统访问的单元;用于部分地基于所述至少第一设备的被授权的系统访问来生成所述至少第一设备的授权凭证的单元。
另一个方面涉及一种计算机程序产品,其包括计算机可读介质。所述计算机可读介质包括:第一组代码,用于使计算机从第一设备接收对于系统访问的请求;第二组代码,用于使所述计算机执行对所述第一设备的认证。所述计算机可读介质还包括:第三组代码,用于使所述计算机向所述第一设备允许(授权)系统访问;第四组代码,用于使所述计算机基于所述被授权的系统访问来生成所述第一设备的授权凭证。
另一个方面涉及用于提供频谱授权的至少一个处理器。所述处理器包括:第一模块,用于从至少第一设备接收对系统访问的请求;第二模块,用于执行对所述至少第一设备的认证。所述处理器还包括:第三模块,用于向至少第一设备允许/授权系统访问;第四模块,用于部分地基于提供给至少第一设备的被授权的系统访问来生成所述至少第一设备的授权凭证。所述授权凭证包括所述至少第一设备的身份、有效范围以及加密签名,其中,所述授权凭证在所述有效范围期间是有效的。
为了前述及相关目标的实现,一个或多个方面包括下文详细描述并且在权利要求中特别指出的特征。以下的描述和附图详细地阐述了一个或多个方面的某些说明性特征。然而,这些特征仅仅指示了可以采用各个方面的原理的各种方式中的少数几个。在结合附图考虑时,根据以下的详细描述,其它优点和新颖特征将变得显而易见,并且公开的方面旨在包括所有这些方面和它们的等同方面。
附图说明:
图1说明了根据各个方面的无线通信系统。
图2说明了用于频谱使用授权的系统。
图3说明了从授权服务器获得授权的设备的操作的流程图。
图4说明了可以被应用到所公开的方面的示例授权凭证。
图5说明了根据本文所公开的各个方面的通过使用授权和/或关联的配置参数首先验证频谱来建立经验证的通信链路的两个设备的操作的流程图。
图6说明了根据一个或多个方面的用于基于凭证的频谱授权和访问控制的系统。
图7说明了用于频谱授权和访问控制的系统。
图8说明了用于基于凭证的配置参数的验证的系统。
图9说明了用于基于凭证的配置参数的验证的另一个系统。
图10说明了用于频谱授权和访问控制的方法。
图11说明了用于频谱授权和访问控制的方法。
图12说明了用于验证基于凭证的配置参数的方法。
图13说明了用于基于凭证的配置参数的验证的方法。
图14说明了根据所公开的方面的便于基于凭证的授权和验证的系统。
图15说明了便于在ad hoc(对等)环境中的频谱授权和访问控制的示例系统。
图16说明了提供频谱授权的示例系统。
图17说明了在通信环境中的验证基于凭证的配置参数的示例系统。
图18说明了验证基于凭证的配置参数的示例系统。
具体实施方式
现在参考附图来描述各个方面。在以下的说明中,为了解释的目的,阐述了许多具体的细节以提供一个或多个方面的透彻理解。然而,显然,可以在没有这些具体的细节的情况下实现这些方面。在其它示例中,以框图的形式来示出公知的结构和设备,以便于描述这些方面。
如本申请中所使用的,术语“部件”、“模块”、“系统”等意图指代计算机相关的实体,即,硬件、固件、硬件和软件的组合、软件或执行中的软件。例如,部件可以是、但并不限于处理器上运行的进程、处理器、对象、可执行体(executable)、执行的线程、程序和/或计算机。作为举例说明,计算设备上运行的应用和该计算设备都可以是部件。一个或更多部件可以驻留在执行的进程和/或线程内,并且部件可以位于一个计算机上,和/或分布在两个或更多计算机之间。此外,可以从其上存储有各种数据结构的各种计算机可读介质执行这些部件。这些部件可以例如根据具有一个或多个数据分组(例如,来自于与在本地系统、分布式系统中的另一个部件交互的一个部件的数据和/或来自于跨越诸如因特网的网络通过该信号与其他系统交互的一个部件的数据)的信号来通过本地和/或远程进程进行通信。
此外,本文结合设备来描述各种方面。设备也可以被称为系统、用户单元、用户站、移动台、移动站、无线终端、设备、移动设备、远程站、远程终端、接入终端、用户终端、终端、无线通信设备、无线通信装置、用户代理、用户设备或用户装置(UE),并且设备可以包含它们的一些或所有功能。移动设备可以是蜂窝电话、无绳电话、会话发起协议(SIP)电话、智能电话、无线本地环路(WLL)站、个人数字助理(PDA)、膝上型计算机、手持通信设备、手持计算设备、卫星无线电、无线调制解调卡和/或用于在无线系统上进行通信的另一个处理设备。此外,本文结合基站描述了各个方面。基站可以用于与无线终端进行通信,并且还可以被称为接入点、节点B或某个其它网络实体,并且基站可以包含它们的一些或所有功能。
将按照系统来介绍各个方面或特征,该系统可以包括多个设备、部件、模块等。应当理解和意识到,各个系统可以包括另外的设备、部件、模块等和/或可以不包括结合附图讨论的所有设备、部件、模块等。也可以使用这些方式的组合。
现在参考图1,说明了根据各个方面的无线通信系统100。系统100包括基站102,其可以包括多个天线组。例如,一个天线组可以包括天线104和天线106,另一组可以包括天线108和天线110,再一组可以包括天线112和114。对每一个天线组示出了两个天线;然而,更多或更少的天线可以被用于每一组。本领域技术人员将会意识到,基站102可以另外包括发射机链和接收机链,其中的每一个可以依次包括与信号发送和接收有关的多个部件(例如,处理器、调制器、复用器、解调器、解复用器、天线等)。此外,基站102可以是家用基站、毫微微(Femto)基站等。
基站102可以与一个或多个设备(例如,设备116)通信;然而,可以意识到,基站102可以与类似于设备116的实质上任意数量的设备进行通信。如图所示,设备116在与天线104、106进行通信,其中天线104、106在前向链路118上将信息发送给设备116,并且在反向链路120上从设备116接收信息。
例如,在频分双工(FDD)系统中,前向链路118可以使用与反向链路120所使用的不同的频带。此外,在时分双工(TDD)系统中,前向链路118与反向链路120可以使用共同的频带。
此外,设备122、124可以彼此进行通信,例如在对等配置中。另外,设备122使用链路126、128与设备124进行通信。在对等ad hoc网络中,在彼此范围内的设备,例如设备122、124,在没有基站102和/或有线的基础设施来中继它们的通信的情况下,彼此直接地进行通信。此外,对等设备或节点可以中继业务。在以对等方式进行通信的网络中的设备可以类似于基站那样工作,并且向其它类似于基站那样工作的设备中继业务或通信,直到业务到达它的最终目的地。该设备还可以发送控制信道,其携带信息,该信息可用于管理对等设备之间的数据传输。
通信网络可以包括在无线通信中的任意数量的设备或节点。每一个设备或节点可以在一个或多个其它设备或节点的范围之内,并且可以与这些其它设备/节点进行通信,或者通过使用这些其它设备/节点来进行通信,例如在多跳拓扑结构中(例如,通信可以从一个节点跳向另一个节点,直到到达最终目的地)。例如,发送方设备可以希望与接收方设备进行通信。为了能够在发送方设备与接收方设备之间进行分组传输,可以利用一个或多个中间设备。应该理解,任何设备都可以是发送方设备和/或接收方设备,并且可以在基本上相同的时间执行发送和/或接收信息的功能(例如,在与接收信息基本相同的时间和/或不同的时间,可以广播或传送信息)。
系统100可以被配置为使得授权的设备能够使用用于数据通信的频谱,其中,未被授权的设备(例如,传统的或公共的设备)不能使用该频谱。在对设备的证书和设备被授权的服务进行验证之后,授权凭证可以由受信任的第三方来分发。此外,系统100可以命令设备对授权凭证进行交换和验证,将其作为配置利用频谱的无线链路的条件。
图2说明了用于频谱使用授权的系统200。系统200可以被配置为使得在设备之间(例如,以对等的方式)或设备与基站之间能够进行频谱提供商(或受信任的第三方)所授权(或证明)的通信。
系统200包括授权服务器202和配置参数数据库204。授权服务器202可以与配置参数数据库204共同位于一处,或者授权服务器202可以通信地耦合到配置参数数据库204。在系统200中还包括设备:带标号的设备1206和设备N208,其中N为整数。设备206、208可以是根据所公开的方面的、类似于移动设备工作的移动设备和/或基站(例如,基站通常被连接到其它网络或基础设施的事实与所公开的方面是无关的)。设备206、208可以彼此通信(由双向通信链路210所示出)并且可以和其它设备无线地通信。此外,设备206、208可以与授权服务器202无线地或通过有线链路进行通信(由双向通信链路212和214所示出)。如果在设备206、208和授权服务器202之间的通信是无线的,那么该通信可以或可以不通过许可的频谱,例如,设备206、208所使用的用于彼此通信的许可的频谱。根据一些方面,在设备之间的链路(链路210)和在一个或多个设备206、208与授权服务器202之间的链路(链路212或214)可以是相同的链路或相似的链路。
授权服务器202可以选择性地将频谱(例如许可的频谱)使用的授权分发给一个或多个设备206、208。可以以授权凭证的形式来分发授权,如授权凭证1216和授权凭证M218所示,其中M为整数。授权凭证216、218可以包括各种信息,例如:授权设备(例如,授权服务器202)的设备标识符、有效期、加密签名,以及其它信息。下面将提供涉及授权凭证的进一步的信息。
设备206、208可以利用授权凭证216、218以使得能够在设备206、208之间进行通信。根据一些方面,授权凭证216、218可以被用于授权该频谱的某一使用(例如,授权服务)。根据一些方面,授权凭证216、218可以被分发给使用网络层协议的一个或多个设备206、208。应该理解,没有被给予(许可的)频谱的授权的设备不会接收到授权凭证。
为了分发授权凭证,授权服务器202可以与一个或多个设备206、208定期地进行通信(例如,每一个月一次,或者另一个预定的间隔),并且将合适的授权凭证单独地提供给每一个设备。例如,授权服务器202可以发送新的授权凭证,其与先前发送给设备的授权凭证相比具有不同的有效范围。每一个设备206、208接收与被提供给另一个设备的授权凭证不同的授权凭证。例如,授权服务器202将授权凭证1216发送给设备1206,并且将授权凭证M218发送给设备N208。每一个设备206、208可以保存它的授权凭证,例如在存储介质中。
设备206、208交换授权凭证以建立在彼此之间的经验证的通信链路210。因此,设备1206将授权凭证1216发送给设备N208,并且设备N208将授权凭证M218发送给设备1206。授权凭证的验证允许设备(例如,两个移动设备,移动设备和接入点等)按照本公开的方面以对等的方式进行通信。如果设备不能验证它希望与之进行通信的设备的授权凭证,那么在上述设备之间不建立经验证的通信链路。
图3说明了从授权服务器获得授权的设备的操作的流程图300。授权服务器202可以是将授权凭证颁发给设备(例如,设备1206)的受信任方。应当意识到,授权服务器202可以在基本上相同的时间或不同的时间将授权凭证颁发给多个设备。但是,为了简明,仅说明了一个设备。
为了启动授权凭证的颁发,设备206发送授权请求消息302,其至少包含设备的唯一的标识符(例如,Device_ID_1)。根据一些方面,授权请求消息302可以包括其它证书信息,例如公钥。
基于检测到先前获得的授权凭证(例如,设备目前使用的用于与其它设备通信的授权凭证)即将期满,来触发设备206发送授权请求消息302。根据一些方面,在设备中(例如,在存储介质中)没有保存有效的授权凭证时,通过用户应用程序的命令来触发发送授权请求消息302,以实现无线链路。
另外或可替代的,可以基于从授权服务器202接收的请求来触发设备206发送授权请求消息302。授权服务器202可以由于管理性的原因和/或基于在先前的授权凭证下的被授权由设备发送/接收的数据的量或配额已经被(或将被)超过的指示,来发送请求。在该替代方面,在授权请求消息302的传输之前从授权服务器202接收消息(未示出)。
在与接收到授权请求消息302基本上相同的时间,授权服务器202验证设备206的身份和设备206被授权的服务(例如,已经购买的服务、在目前方案中允许的服务、在推广期间免费地被允许的服务等)。这由在304的双向箭头来说明(认证机制)。该验证过程可以被称为“认证”、“授权”、“记账协议”和/或“认证协议”。这种协议的示例包括传输层安全(TLS)、互联网密钥交换(IKE)和其它。
根据一些方面,设备206响应于由授权服务器202发送的信道消息来发送证书信息,作为消息交换304的一部分。根据其它方面,设备206和授权服务器202都交换各自的证书信息,以执行相互的认证过程,并且典型地使在设备206和授权服务器202之间的通信信道安全。
如果设备206的身份被验证,那么授权服务器202分配/生成配置参数并将该信息包括在由授权服务器202所创建的授权凭证中。另外或可替代的,授权服务器202可以和一个或多个其它数据库或服务器一起分配/生成该配置参数。
根据一些方面,新创建的授权凭证与被提供给设备206的先前的授权凭证基本上相同。然而,新创建的授权凭证可以具有不同的有效期(起始时间/结束时间)和不同的加密签名。根据一些方面,新创建的授权凭证可以包括与先前的授权凭证所授权的服务相同或不同的服务的授权(例如,更多的服务、更少的服务、不同的服务)。参照图4将更详细地描述涉及授权凭证的进一步的信息。
在授权响应消息306中,新创建的授权凭证被发送给设备206。根据一些方面,为了使授权凭证仅能够由其所希望的设备(例如,设备206)来解密,授权凭证可以被加密。设备206可以将授权凭证保存在存储介质中,以为以后用于与其它设备建立经验证的通信链路。
图4说明了公开的方面所使用的示例性授权凭证400。应当理解,提供所说明和描述的授权凭证400以便于理解该详细的说明,并且可以使用其它授权凭证。
在授权凭证400中包括:设备标识符402、有效期404和授权服务器的加密签名406,其覆盖了全部的凭证400的数据。有效期404包括开始时间(例如,不早于:<日期/时间>)和结束时间(例如,不晚于:<日期/时间>)。有效期404可以创建安全级别,因为如果行为不端的设备在有效期期满后欺骗性地获得了授权凭证,那么该授权凭证将不再能被该行为不端的设备所使用。
根据可选的方面,授权凭证400可以包含可用于授权凭证持有者(例如,设备)的信息。通过在408处的虚线来表示为可选的信息可以是以下的形式:数字证书、公钥、属于由设备标识符402所指示的设备的公钥的散列,以及其它认证手段。
另外或可替代的,授权凭证400可以包括可选的(用虚线表示)服务类型的列表(或表示)410,该服务是设备标识符402所标识的设备被允许以对等或组的方式使用频谱来消费的服务(例如,语音或视频呼叫、以最大或最小速率进行的数据交换、专门的广播信息的接收等)。根据一些方面,正在验证凭证400的其它设备考虑关于允许的服务的信息410,以使得其它设备可以决定是否以及如何启用经验证的通信链路。如果启用了经验证的通信链路,那么其它设备可以将该链路配置为仅携带在允许的服务类型列表中所指定的数据和/或数据速率的类型。
授权凭证400还可以选择性地(用虚线示出)包含其它配置或使能信息412。这些其它信息412可以包括一些数据,该数据被分发给所有授权的设备并且用于在ad-hoc网络中配置物理或媒体访问控制信道,使得仅授权的设备可以使用这些信道进行通信。根据一些方面,这些其它信息412包括配置信息和/或分配的参数列表,其可以被正在验证授权凭证的其它设备使用,以便这些其它设备来确定如何正确地配置链路。
图5说明了根据本文公开的各个方面的、通过使用授权和/或关联的配置参数首先验证频谱来建立经验证的通信链路的两个设备的操作的流程图500。当第一设备(设备1)206希望使用频谱与一个或多个其它设备(设备N)208进行通信时,第一设备206发送连接请求消息502。连接请求消息502包括第一设备206的标识符(例如,“ID-Device-1”)。根据一些方面,连接请求消息502包括标识(并且属于)第一设备206的授权凭证。
第二设备208可以用包含第二设备206的标识符(例如,“ID-Device-N”)的连接响应消息504来响应连接请求消息502。根据一些方面,在第二设备208验证从第一设备206接收到的授权凭证的内容后,可以发送连接响应消息504。连接响应消息504可以包括标识(并且属于)第二设备208的授权凭证。在与接收到连接响应消息504基本上相同的时间,第一设备206可以验证从第二设备208接收到的授权凭证的内容。
连接请求消息502和连接响应消息504中的任一个或两者可以包含与发送该消息的设备关联的公钥(例如,“公钥-1”、“公钥-N”)。根据一些方面,消息502、504中的任一个或两者包括完整的数字证书。
在由虚线506所示出的可选的方面中,一个或多个其它消息可以被交换。可以为了实现互相的身份认证来发送这些其它消息506。例如,第一设备206可以认证第二设备208的身份(例如,核实身份“ID-Device-N”),并且第二设备208可以认证第一设备206的身份(例如,核实身份“ID-Device-1”)。
消息502、504和可选的506的目的是为了实现互相的身份认证。互相的身份认证不同于授权验证过程。根据一些方面,互相的身份认证和授权验证过程可以在基本上相同的时间执行。
根据各个方面,身份认证可以通过使用数字证书来实现。例如,两个设备206、208可以参加协议,凭借该协议每一个设备发送它的证书和其它信息(例如,随机数或当前量(nonce))。该交换可以有助于对其它设备确实拥有与提供的证书关联的私钥进行核实。
根据一些方面,身份认证还可以导致建立共享的密钥,该密钥可以用于保证在设备206与208之间的通信信道的安全。
根据其它方面,用于身份认证和通信信道安全的建立的数字证书可以与频谱授权凭证相同。在此情况下,身份认证任务和授权任务被合并。
第一设备206向第二设备208发送授权请求消息508时授权交换发生。授权请求消息508可以包括第一设备206的授权凭证。第二设备208可以用包含第二设备208的授权凭证的授权响应消息510来响应。
在与接收到授权请求消息508基本上相同的时间,第二设备208可以验证所接收的第一设备206的授权凭证(包括在消息中)。以类似的方式,在与接收到授权响应消息510基本上相同的时间,第一设备206可以验证第二设备208的授权凭证(包括在消息中)。如上面所讨论的,各自的授权凭证的验证包括:确认在凭证中的标识符与在相互的身份认证期间被验证的标识符相同。
应当注意,根据一些方面,仅验证授权凭证可能不足以实现合适的安全水平。所以,验证过程还可以包括设备或用户身份认证。根据这个方面,“授权凭证验证”是指服务器生成的凭证(例如,授权凭证)的验证和对凭证属于由包括在凭证中的标识符所标识的、发送凭证的设备的验证。另外或可替代的,授权凭证或者具有数字证书的形式,或者还包括设备或用户数字证书。因此,根据这个方面,每一个设备都需要证明它是所提供的授权凭证的合法所有者。根据一些方面,通过示出拥有与证书中提供的公钥相关联的私钥的验证的实体证据来验证数字证书的所有权。
在可选的方面中,如虚线512所示,为了安全密钥的产生和可能的其它配置的目的,可以在设备206和208之间执行另一个安全和/或配置协议。
在身份和授权凭证的相互验证结束之后,利用在交换的授权凭证中所包括的信息/分配的参数来配置链路。在验证的链路的配置之后,可以在514处在设备206和208之间通过经验证的通信链路来交换用户数据。
应当注意,参考图5说明并描述的流程图仅用于说明的目的。例如,可以在除了连接消息的接收时间之外的时间执行身份和授权凭证的相互验证。此外,诸如身份验证和授权验证的任务可以被组合。此外,在之后的时间,实体可以被交换和验证,作为授权凭证交换和关联的安全协议的一部分。另外或可替代的,由第一设备206发送的消息(例如,消息502、508;消息502、506、508和512)可以被组合在一个或几个消息中。以类似的方式,来自第二设备208的消息(例如,消息504和510;消息504、506、510和512)可以被组合在一个或几个消息中。
根据一些方面,第一设备206可以通过除了直接从第二设备208获得之外的手段来获得授权凭证。例如,第二设备208可以发送它的(唯一的)标识符,并且第一设备206利用该标识符以取回并验证第二设备的授权凭证,可以从服务器或本地数据库来获得该授权凭证。
根据各个方面,在允许用户数据或其它协议数据在514处在使用频谱的共享无线链路上流动之前,设备206、208两者都验证另一设备的身份和授权凭证。还应当理解,可以由不止两个的设备来进行类似的过程(例如,在使用广播/组播机制来使用组无线通信时)。在多个设备的情况下,每一个设备应当在启动用于携带其它数据的无线链路或链路之前,成功地验证授予通信组中的其它设备的授权凭证。
根据一些可选的方面,在与本文描述的频谱使用授权验证基本上相同的时间,可以利用其它实施方案。例如,无线传感器点可以被布置在地理区域上。这些传感器点可以侦听未授权的无线数据交换。在另一个示例中,如果系统要求凭证要被显式地交换,那么合法的节点可以主动地侦听并且报告在有效的授权凭证的交换之前的通信。
根据另一个方面,第一设备206获得授权凭证(例如,从授权服务器),该授权凭证仅授权类型“A”的频谱使用服务(例如,仅语音呼叫)。当在第一设备206和另一个设备(例如,第二设备208)之间建立通信时,每一个设备将它的授权凭证发送给其它设备。如果第二设备208被授权了类型“A”的服务,那么使得该链路仅能够用于交换类型“A”的数据。如果在之后的时间,第一设备206希望与第二设备208交换类型“B”(例如,视频)的数据,由于第二设备208被配置为不允许发送和/或接收这种数据(例如,类型“B”),那么第二设备208不合作。
现在参照图6,说明了根据一个或多个方面的基于凭证的频谱授权和访问控制的系统600。系统600可以被配置为使得频谱许可人/所有者能够从设备中提取收入,该设备在不需要控制的基础设施的情况下以ad-hoc或对等的方式使用(射频)频谱来进行通信。虽然授权凭证的分发和在设备之间的这些授权凭证的交换和验证用于实现携带用户或控制数据通信的经验证的无线链路,但是系统600可以由授权的设备来使能用于数据通信的频谱的使用。在系统600中包括无线通信装置602,其可以与一个或多个设备604以及一个或多个受信任方606进行通信,该受信任方606可以是节点。
无线通信装置600包括授权凭证请求器608,其获得为无线通信装置602颁发的授权凭证。用于无线通信装置602的授权凭证由受信任的第三方606来颁发。根据一些方面,受信任方606可以是颁发授权凭证的授权服务器。
根据一些方面,通过接口来进行与受信任方606(或授权服务器)的通信,该接口可以是蜂窝无线接口、有线接口,例如数字用户线路(DSL)、电缆等。
在无线通信装置600中还包括关联设备授权凭证获得器610,其被配置为从关联的设备604(例如,要与之建立通信的设备)请求或接收授权凭证。从为无线通信装置602颁发授权凭证的受信任的第三方或从另一个受信任方将授权凭证颁发给一个或多个关联的设备604。关联的设备604的授权凭证可以包括有效时间或颁发该凭证的受信任方的加密签名。
根据一些方面,无线通信装置602的授权凭证和/或关联的设备604的授权凭证被体现为传统的数字证书(例如,X.509标准)。例如,传统的数字证书可以包括指示用于频谱使用的授权的扩展部分和/或可以传递适于建立经验证的通信链路的其它信息。
验证模块612被配置为在无线通信装置602和一个或多个关联的设备604之间建立经验证的通信会话。验证模块612可以验证关联的设备的授权凭证。根据一些方面,可以基于在无线通信装置602的授权凭证和关联的设备604的授权凭证中所包含的信息来确保经验证的通信会话的安全。安全的通信会话是指具有加密/解密和完整性保护的通信会话。
根据一些方面,为无线通信装置602颁发的授权凭证被发送给关联的设备604,以使得关联的设备来验证无线通信装置602的身份并且建立经验证的通信会话。在授权凭证交换已经被成功地进行并且链路已经被验证之前,在无线通信装置602与一个或多个设备604之间的数据不能够携带数据。
根据一些方面,蜂窝接口可以用于实现在无线通信装置602、设备604和/或受信任方606之间的通信。虽然蜂窝接口主要用于与其它设备604的通信,但是该接口也可以用于与接入点(或基站)进行通信。例如,蜂窝接口可以从无线通信装置602向接入点无线地传送数据,并且从接入点向一个或多个受信任的第三方606传送数据。应当注意到,然而,接入点的存在或参与不是必需的。数据还可以通过一个或多个其它设备来被中继,它们中的一个最终连接到受信任的第三方606所在的网络。
根据一些方面,通过无线接口来执行在无线通信装置602与一个或多个受信任的第三方606之间的通信。根据这个方面,通信的指向点可以是另一个设备或接入点,该另一个设备或接入点可以继而将数据中继到具有到受信任的第三方606的通信链路的另一个实体,或者可以将数据直接地发送到受信任的第三方606。应当注意,在实现该方面时,通过该接口使用许可的频谱的通信不应该被启用,直到获得授权凭证(并且被验证)之后。在一种方式中,在不存在另一个可用的接口时,使用该通信链路来运行授权协议,因此,应该提供一种引导用于频谱使用的授权的手段。应当理解,当有效的授权凭证不存在时,通过该接口的通信被配置为限于仅仅直接属于与受信任方606授权过程的协议和数据(例如,获得授权凭证)。
在另一中方式中,由代表正在寻求授权的无线通信装置602的“协助”设备或接入点来运行授权协议。从而,无线通信装置602仅使用接口来定位另一个接入点或设备,并且请求该设备代表无线通信装置602运行与受信任方606的必要的认证/授权协议。该过程可以包括在无线通信装置602与协助对应设备之间的数据的中继。
系统600可以包括存储器614,其操作地耦合到无线通信装置602。存储器614可以位于无线通信装置602之外,或者可以位于在无线通信装置602之内。存储器614可以存储与获得与无线通信装置602关联的第一授权凭证相关的信息。第一授权凭证可以由受信任的第三方来颁发。存储器614还可以存储与从第二设备接收用于第二设备的第二授权凭证相关的信息。第二授权凭证可以由受信任的第三方或另一个受信任方来颁发。此外,存储器614可以保存涉及与第二设备或者与多个设备建立经验证的通信会话的指令。
处理器616可以操作地连接到无线通信装置602(和/或存储器614),以便于分析与对等或ad hoc通信网络中的频谱授权和访问控制相关的信息,处理器616可以是专用于分析和/或生成由无线通信装置602接收的信息的处理器、控制系统600的一个或多个部件的处理器、和/或既可以分析和生成由无线通信装置602接收的信息还可以控制系统600的一个或多个部件的处理器。
存储器614可以存储与在无线通信装置602、设备604和/或受信任方606之间的频谱授权和访问控制相关联的协议,以使得系统600可以使用存储的协议和/或算法来实现本文描述的在无线网络中的改进的通信。存储器614还可以保存与无线通信装置602和/或一个或多个设备604关联的授权凭证。
存储器614还可以保存涉及下列操作的指令:获得由受信任的第三方颁发的用于第一设备的第一授权凭证,从第二设备接收用于第二设备的第二授权凭证,该第二授权凭证是由受信任的第三方或另一个受信任方来颁发的,以及与第二设备建立经验证的通信会话。处理器616被配置为执行保存在存储器中的指令。
应当意识到,本文描述的数据存储(例如,存储器)部件可以是易失性存储器或非易失性存储器,或者可以包括易失性存储器和非易失性存储器两者。作为示例而非限制,非易失性存储器可以包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除ROM(EEPROM)或闪存。易失性存储器可以包括随机存取存储器(RAM),其作为外部高速缓存。作为示例而非限制,RAM具有多种可用形式,例如同步RAM(DRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双倍数据速率SDRAM(DDR SDRAM)、增强型SDRAM(ESDRAM)、同步链路DRAM(SLDRAM)和直接Rambus RAM(DDRAM)。本公开的方面的存储器614旨在包括而不限于存储器的这些和其它合适的类型。
图7说明了用于频谱授权和访问控制的系统700。系统700类似于图6的系统600并且包括设备702,其与其它设备704、示出为无线通信装置706的一个或多个受信任方进行通信。
受信任方706可以包括接收机708,其被配置为从第一设备(例如,设备702)接收对于系统访问的请求。在与接收来自第一设备702的请求基本相同的时间,或在不同的时间,或上述的组合,接收机708也可以接收来自其它设备704中的一个或多个设备的请求。
基于请求,认证器710可以被配置来获得第一设备702(或者发送请求的另一个设备)的认证。根据一些方面,第一设备认证是从外部源获得的,例如,在安全通信链路上从网络设备获得和/或从家庭服务器获得。例如,外部源可以是具有与第一设备(例如,用户拥有的设备)的商业关系的服务器,并且该服务器可以验证预定(例如,用户已经订购的服务)。
部分地基于第一设备702的认证,访问授权器712可以确定能够被授权给第一设备702(或另一个设备704)的系统访问。根据一些方面,访问授权器712可以咨询包含被授权访问系统的多个设备的列表的配置参数数据库,以确定第一设备被授权的访问。配置参数数据库还可以包含与每一个设备关联的一个或多个配置参数(例如,一组配置参数)。如果第一设备被包括在列表中,那么第一设备被授权访问系统。然而,如果第一设备没有被包括在列表中,那么第一设备不被授权访问系统。配置参数数据库可以被动态地更新,例如当数据库发生改变时和/或基于其它标准。
根据一些方面,认证器710和/或访问授权器712可以检查与第一设备702(或另一设备704)关联的证书以做出各自的确定。证书可以是共享的密钥、公钥、授权信息、服务列表、账单信息中的至少一个,或者它们的组合。
授权凭证生成器714可以基于由访问授权器712确定的被授权的系统访问来创建用于第一设备702(和/或其它设备704)的授权凭证。授权凭证创建的一部分可以包括授权凭证的有效性所依赖的加密签名的生成。授权凭证可以包括:第一设备的身份、有效范围、加密签名和/或其它参数,其中,所述授权凭证在所述有效范围期间是有效的。
系统700可以包括存储器716,其操作地连接到(或被包括在之内)无线通信装置706。存储器可以存储涉及以下操作的指令:从至少第一设备接收对于系统访问的请求,执行至少第一设备的认证,确定可以被授权给第一设备的系统访问,以及部分地基于被授权的系统访问来生成用于至少第一设备的授权凭证。处理器718可以被耦合到存储器716并且可以被配置来执行保存在存储器716中的指令。
现在参照图8,说明了用于基于凭证的配置参数的验证的系统800。系统800可以被配置为使得授权的设备能够通过授权凭证的使用在许可的频谱上进行通信。希望与另一个设备进行通信的设备可以验证由该另一个设备声明的已经被共同信任的第三方授权的链路配置参数。
在系统800中包括无线通信装置802,其可以是,例如受信任的第三方,例如授权服务器。无线通信装置802被配置来与一个或多个设备进行通信,该一个或多个设备为带标号的设备1804到设备P806,其中P为整数。
在无线通信装置802中包括设备标识符808,其可以部分地基于对于系统访问的请求来选择性地识别每一个设备804、806。例如,每一个设备804、806可以由唯一的标识符,例如硬件地址来识别。此外,设备标识符808可以包括与每一个设备804、806关联的其它认证和/或授权信息。例如,设备标识符808可以保留诸如共享的密钥、公钥、授权信息、每一个设备被授权的服务的列表、关联的账单/收费信息等之类的证书。
根据一些方面,设备标识符808包括配置参数数据库,其包含被授权以使用频谱的设备的数据库。该数据库还可以包含用于每一个设备的配置信息和/或分配的参数。根据一些方面,在从设备接收到对于授权的请求时,可以生成参数的子集。其它参数,例如IP地址,可以从可用的地址池中分配和/或从另一个服务器中来获得。根据一些方面,配置信息可以按服务协议等所规定的来存储。
如果设备标识符808没有(或不能获得)用于一个或多个设备804、806的所有必需的信息,那么可以从另一个服务器或网络设备来获得该信息,该服务器或网络设备完整地或部分地持有或可以访问所需要的信息。从另一个服务器或网络设备获得信息可以以安全的方式进行。在这种情况下,无线通信装置802可以利用通信接口与持有用于所有或一些设备804、806的认证/授权信息的另一个服务器进行通信。根据一些方面,与一些或所有设备804、806关联的信息可以驻留在多个网络节点中。
咨询数据库的目的是为了检查寻求授权的设备的身份,并且根据用户服务协议等来确定设备被授权的服务。咨询数据库是无线通信装置802针对寻求系统访问的每一个设备804、806来进行的过程的一部分。
授权凭证分发器810选择性地将授权凭证分发给设备804、806。授权凭证的分发可以是对设备的证书和设备被授权能够访问并且使用的服务进行验证的结果。此外,授权凭证在设备之间被交换和验证,作为建立或使能使用频谱来携带用户或控制数据通信的无线链路的条件。以这种方式,根据本文介绍的方面,仅使得被授权的设备能够使用该频谱用于数据通信。根据一些方面,授权凭证被实现为传统的数字证书,例如X.509证书,其可以包括IP地址。
此外,存储器812可以被操作地耦合到无线通信装置802。存储器812可以在无线通信装置802之外或可以位于无线通信装置802之内。存储器812可以存储涉及以下的信息:将设备与一个或多个经验证的信息元素相关联,并且将由受信任方所证明的授权凭证发送给设备。该凭证可以包括一个或多个经验证的信息元素的子集。
将授权凭证保存在存储器中可以减轻在经验证的通信会话要被建立时获得授权凭证的需要。因此,如果授权服务器和/或授权凭证的源不可用(例如,受限的连接),那么可以利用在存储器中所保存的该授权凭证。根据一些方面,在连接被恢复时,更新的授权凭证被获得。
信息元素可以是提供给用户的表达式、地址、电话号码和/或其它信息(例如,可视信息、可听信息等)。根据一些方面,信息元素可以是配置参数和/或IP地址。另外或可替代的,信息元素可以是正在被广播和/或被通告的标识符。此外,信息元素可以是名称、身份、位置、用户信息(例如,用户想表达的情绪)、商标和任何其它数据。
根据一些方面,在授权凭证中仅包括可用的信息元素的子集。例如,如果有可以被包括在授权凭证中的数百或数千的信息元素,那么在授权凭证中可以仅包括这些信息元素的子集。确定包括哪些信息元素可以是信息元素(和授权凭证)的源和/或信息元素(和授权凭证)的目的地的功能。
信息元素可以被验证以提供某些可靠性给信息元素。经验证的信息元素可以减轻独立地验证信息元素的需要(例如,不需要访问另一个设备、另一个数据库或任何其它源),因为该信息元素被服务器预先验证了。
处理器814可以操作地连接到无线通信装置802(和/或存储器812)以便于分析与在ad-hoc通信网络中的频谱授权和访问控制有关的信息。处理器814可以是专用于分析和/或生成由无线通信装置802接收的信息的处理器、控制系统800的一个或多个部件的处理器、和/或既分析和生成由无线通信装置802接收的信息又控制系统800的一个或多个部件的处理器。
存储器812可以存储与在无线通信装置802、设备804、806和/或其它受信任方之间的频谱授权和访问控制关联的协议,使得系统800可以使用所存储的协议和/或算法来实现本文描述的在无线网络中的改进的通信。根据一些方面,存储器保存涉及以下的指令:将设备与一个或多个经验证的信息元素关联,并且将由无线通信装置所证明的授权凭证发送给设备。
图9说明了基于凭证的配置参数的验证的另一个系统900。系统900类似于上面的图中的系统,并且包括:授权服务器902、第一设备904和一个或多个其它设备906
设备904可以包括获得授权凭证的凭证获得器908。授权凭证可以包括与另一个设备(例如,将与之建立经验证的通信会话的设备)关联的一个或多个经验证的信息元素,该设备在此将被称为第二设备904。经验证的信息元素中的至少一个是网际协议地址。根据一些方面,授权凭证包括:第二设备904的标识符、有效范围和将授权凭证颁发给第二设备904的受信任方的签名。在设备904中还包括验证授权凭证的验证模块910。
通信建立器912利用授权凭证来与第二设备904建立经验证的通信。经验证的通信可以是广播或组播。根据一些方面,该经验证的通信是以对等或ad-hoc配置的与第二设备904的通信。此外,与第二设备904的通信可以是在安全通信链路上。
设备904还包括操作执行模块914,其使用一个或多个经验证的信息元素的子集来执行配置操作。配置操作可以包括配置接口和/或增加路由。
存储器916操作地连接到设备904并且被配置为保存涉及以下的指令:获得授权凭证,该授权凭证包括与第二设备关联的一个或多个经验证的信息元素。存储器还保存了涉及以下的指令:验证授权凭证;利用该授权凭证来建立与第二设备的经验证的通信;以及使用一个或多个经验证的信息元素的子集来执行配置操作。处理器918被耦合到存储器916并且被配置为执行在存储器916中所保存的指令。
鉴于已示出和描述的示例性系统,根据本公开的主题,可以实现的方法参照本文提供的流程图可以被更好地理解。尽管出于简化解释的目的将这些方法示出和描述为一系列的方框,但是应该理解并意识到,所要求保护的主题并不受这些方框的数目或顺序的限制,一些方框可以以与本文描绘和描述的顺序不同的顺序发生和/或与其它方框基本同时发生。此外,可能并不需要所有说明的方框来实现本文所描述的方法。应该意识到,与方框关联的功能可以由软件、硬件、其组合或其它合适的手段(例如,设备、系统、过程、部件)来实现。此外,应当进一步意识到,全部说明书所公开的方法能够被存储在制品中以便于将这种方法运输并且发送给各个设备。本领域技术人员应当理解和意识到,方法可能替代地描绘成一系列相关的状态和事件,例如在状态图中。
图10说明了用于频谱授权和访问控制的方法1000。方法1000可以在不需要控制的基础设施的情况下,使得以ad-hoc或对等方式工作的授权的设备能够利用频谱。
在1002处,在从受信任的第三方获得第一授权凭证时,方法1000开始。例如,受信任的第三方可以是授权服务器。授权凭证可以包含设备的标识符以及受信任第三方的签名。根据一些方面,第一授权凭证被发送到第二设备上。
在1004处,从关联的设备接收到第二授权凭证。第二授权凭证可以由颁发第一授权凭证的受信任的第三方来颁发,或由另一个受信任方来颁发。第二授权凭证可以包括有效时间或颁发第二授权凭证的受信任方的加密签名(例如,受信任的第三方或另一个受信任方)。根据一些方面,第一授权凭证包括允许第一设备访问的服务,第二授权凭证包括允许第二设备访问的服务。
在1006处,建立了与关联的设备的经验证的通信会话。经验证的通信会话可以被配置来携带在第一授权凭证和第二授权凭证中包括的允许的服务的列表中指定的类型和方式的数据。
根据一些方面,建立经验证的通信会话可以包括对第二授权凭证进行验证。验证第二设备的第二授权凭证验证失败会导致拆除在第一设备和第二设备之间的通信链路。验证第二授权凭证可以包括核实有效时间和加密签名。根据一些方面,验证第二授权凭证包括验证在第二授权凭证中所标识的该第二设备的身份。另外或可替代的,验证第二授权凭证包括对与身份关联的私钥和在数字证书中包括的公钥的拥有进行核实,和/或对在设备之间在过去某个时间发生的相互认证过程中得出的共享密钥进行核实。
方法1000还可以包括基于在第一授权凭证和第二授权凭证中所包含的信息来保证经验证的通信会话的安全。保证经验证的通信会话的安全包括加密/解密和完整性保护。
根据一些方面,第一授权凭证和/或第二授权凭证被实现为传统的数字证书。例如,该传统的数字证书可以是具有新的扩展的X.509标准,以指示用于频谱使用的授权,并且可以传递适合建立经验证的通信链路的信息。在另一个示例中,传统的数字证书可以是包括包含IP地址的新的扩展的X.509证书。
现在参照图11,说明了一种用于频谱授权和访问控制的方法1100。在1102,从至少第一设备接收对于系统访问(例如,访问许可的频谱)的请求。根据一些方面,在基本上相同的时间、在不同时间、或它们的组合的情况下,接收来自多个设备的多个请求。
在1104中,从内部源、外部源、或它们的组合获得第一设备的认证。如果是从外部获得的,可以在安全通信链路上从网络节点获得认证。根据一些方面,认证是外部地从另一个服务器获得的。
在1106,确定可以被授权给第一设备的系统访问。根据一些方面,确定系统访问包括咨询配置参数数据库,其包含被授权访问系统的多个设备的列表。
在1104的第一设备的认证和/或在1106的被授权的系统访问可以由与第一设备关联的证书来确定。证书可以是共享的密钥、公钥、授权信息以及服务或帐单信息的列表中的一个或多个,或者其组合。
在1108,基于第一设备被授权的授权的系统访问来创建用于至少第一设备的授权凭证。授权凭证可以包括:第一设备的身份、有效范围、和/或颁发授权凭证方的加密签名,其中,所述授权凭证在所述有效范围期间是有效的。
图12说明了一种用于验证基于凭证的配置参数的方法1200。在1202,当设备被与一个或多个经验证的信息元素关联时,方法1200开始。信息元素可以包括分配给设备的网际协议地址、分配给设备的电话号码和/或其它信息。
根据一些方面,在将设备与一个或多个信息元素关联之前,使用授权协议来与设备进行通信。部分地基于与设备进行的通信来确定是否为设备创建授权凭证以及应当被包括在授权凭证中的信息元素。
根据一些方面,咨询由唯一的设备标识符所识别的被授权的设备和关联的参数的数据库,以确定是否将设备与信息元素相关联。当使用许可的频谱进行通信时,数据库可以包含与每一个设备可以使用的配置相关的信息。
在1204,授权凭证被发送到设备。授权凭证由受信任方来证明,并且包括一个或多个经验证的信息元素的子集。设备使用授权凭证来与另一个设备建立通信链路。根据一些方面,授权凭证包括:设备的标识符、有效范围和受信任方的签名。
根据一些方面,授权凭证被实现为传统的数字证书。例如,传统的数字证书可以是具有新的扩展的X.509标准,以指示用于频谱使用的授权,并且可以传递适于建立经验证的通信链路的信息。在另一个示例中,传统的数字证书可以是包括包含IP地址的新的扩展的X.509证书。
图13说明了一种用于基于凭证的配置参数的验证的方法1300。在1302,设备(将要与之建立验证通信会话的设备)的授权凭证被获得。授权凭证可以包括与该设备关联的一个或多个经验证的信息元素。根据一些方面,授权凭证包括:设备的标识符、有效范围和颁发授权凭证的受信任方的签名。经验证的信息元素中的至少一个是网际协议地址。在1304,授权凭证被验证。
在1306,使用授权凭证以与设备建立经验证的(并且可能安全的)通信。通信可以是广播或多播。根据一些方面,与设备的经验证的通信是对等配置。
在1308,一个或多个经验证的信息元素的子集被用于执行配置操作。根据一些方面,配置操作包括对接口进行配置。根据一些方面,配置操作包括增加路由。
现在参照图14,说明了根据所公开的方面的一种便于基于凭证的授权和验证的系统1400。系统1400可以位于用户设备中。系统1400包括接收机1402,其可以从例如接收机天线来接收信号。接收机1402可以执行其典型的操作,例如,对所接收的信号进行滤波、放大、下变频等。接收机1402还可以数字化调节后的信号,以获得采样。解调器1404可以在每一个符号周期中获得所接收的信号,并且将所接收的信号提供给处理器1406。
处理器1406可以是专用于分析由接收机部件1402所接收的信息和/或生成由发射器1408发送的信息的处理器。另外或可替代的,处理器1406可以控制用户设备1400的一个或多个部件、分析由接收机1402接收的信息、生成由发射机1408发送的信息、和/或控制用户设备1400的一个或多个部件。处理器1406可以包括控制器部件,其能够协调与另外的用户设备的通信。用户设备1400还可以包括存储器1408,其操作地耦合到处理器1406,并且其可以存储与协调通信有关的信息和任何其它适合的信息。
图15说明了便于在ad hoc(对等)环境中的频谱授权和访问控制的示例系统1500。系统1500包括可以单独地工作或协同地工作的电子部件的逻辑组1502。逻辑组1502包括电子部件1504,其用于获得第一设备的第一授权凭证。第一授权凭证是由受信任的第三方来颁发的。根据一些方面,该受信任的第三方是授权服务器。
在逻辑组1502中还包括电子部件1506,其用于将第一授权凭证传递给第二设备。第一授权凭证包括第一设备的标识符和受信任的第三方的签名。还包括电子部件1508,其用于从第二设备接收第二设备的第二授权凭证。
逻辑组1502还包括电子部件1510,其用于验证第二设备的第二授权凭证。第二授权凭证可以包括有效时间或该第二授权凭证的颁发者(例如,受信任第三方或另一个受信任方)的加密签名。验证第二授权凭证包括对有效时间和加密签名两者进行核实。根据一些方面,验证第二授权凭证包括:验证在第二授权凭证中所标识的该第二设备的身份;核实与身份关联的私钥和在数字证书中所包括的公钥的拥有;或者核实通过相互认证过程得到的共享密钥;或者上述组合。
根据一些方面,如果在验证第二设备的第二授权凭证中存在失败,那么在第一设备与第二设备之间建立的通信链路会被拆除。被拆除的通信链路是未验证的链路,设备利用该未验证的链路交换授权凭证和/或其它信息以便建立经验证的通信。
在逻辑组1502中还包括电子部件1512,其用于与第二设备建立经验证的通信会话。经验证的通信会话可以被配置来携带在第一授权凭证、第二授权凭证或第一和第二授权凭证两者中所包括的允许的服务的列表中所指定的类型和方式的数据。根据一些方面,第一授权凭证包括允许第一设备访问的服务,第二授权凭证包括允许第二设备访问的服务。
此外,系统1500可以包括存储器1514,其保存用于执行与电子部件1504、1506、1508、1510和1512或其它部件关联的功能的指令。虽然将这些部件示出为位于存储器1514外部,但应当理解,电子部件1504、1506、1508、1510和1512中的一个或多个也可以位于存储器1514之内。
图16说明了一种提供频谱授权的示例系统1600。在系统中包括可以单独地或协调地工作的电子部件的逻辑组1602。逻辑组1602包括电子部件1604,其用于从至少第一设备接收用于访问频谱的请求。
在逻辑组1602中还包括电子部件1606,其用于执行至少第一设备的认证。可以使用内部源或外部源来执行认证。根据一些方面,通过安全通信链路在外部网络设备的协助下来执行第一设备认证。
还包括电子部件1608,其用于确定可以被提供给至少第一设备的系统访问。根据一些方面,电子部件1608通过咨询包含被授权访问系统的多个设备的列表的配置参数数据库来确定系统访问。
根据各个方面,通过检查与第一设备关联的证书,电子部件1606可以执行认证和/或电子部件1608可以确定频谱访问。证书可以包括一个或多个共享密钥、公钥、授权信息、服务列表、账单信息或其组合。
逻辑组1602还包括电子部件1610,其部分地基于可以被提供给至少第一设备的频谱访问来生成用于至少第一设备的授权凭证。授权凭证可以包括:第一设备的身份、有效范围、和/或加密签名,其中,所述授权凭证在所述有效范围期间是有效的。
根据一些方面,逻辑组1602包括用于将授权凭证发送给第一设备的电子部件(未示出)。根据一些方面,基于多个请求的接收可以生成多个授权凭证。每一个授权凭证可以是唯一地用于针对每一个设备,并且单独地被发送给每一个设备。
系统1600还可以包括存储器1612,用于保存用于执行与电子部件1604、1606、1608、1610或其它部件关联的功能的指令。虽然被示出为位于存储器1612外部,但是电子部件1604、1606、1608、1610中的一个或多个也可以位于存储器1612之内。
图17说明了验证在通信环境中的基于凭证的配置参数的示例系统1700。通信环境可以是在对等配置或ad-hoc配置中。在系统1700中包括可以单独地或协调地工作的电子部件的逻辑组1702。在逻辑组1702中包括电子部件1704,用于将设备与一个或多个经验证的信息元素相关联。根据一些方面,信息元素可以是分配给设备的网际协议地址和/或分配给设备的电话号码。
逻辑组1702还包括电子部件1706,用于将由受信任方所证明的授权凭证发送给设备。授权凭证可以包括受信任方的加密签名和其它信息(例如,设备标识符、设备可以获得访问的服务等)。
应当注意,验证信息元素的过程与授权凭证的验证是分离的并且不同。受信任的第三方可以从另一方获得预先验证的信息元素,或者可以通过一些其它、分离的过程来自己验证信息元素。
根据一些方面,逻辑组1702包括用于使用认证协议或授权协议与设备通信的电子部件(未示出)。还可以包括用于确定是否创建授权凭证以及哪些信息元素要包含在授权凭证中的电子部件(未示出)。可以部分地基于与设备的通信来进行确定。
根据一些方面,逻辑组1702包括用于咨询授权的设备和由唯一的设备标识符所识别的关联的参数的数据库的电子部件(未画出)。该数据库可以包含与当使用许可的频谱进行通信时每一个设备可以利用的配置相关的信息。
在系统中还包括存储器1708,其保存用于执行与电子部件1704、1706或其它部件关联的功能的指令。尽管示出了外部的存储器1708,但是根据一些方面,电子部件1704和1706中的一个或多个也可以存在于存储器1708之内。
参照图18,说明了一种用于验证基于凭证的配置参数的示例系统1800。系统1800包括逻辑组1802,其包括电子部件1804,用于获得包括与另一个设备关联的一个或多个经验证的信息元素的授权凭证。根据一些方面,经验证的信息元素中的至少一个是网际协议地址。
在逻辑组1802中还包括电子部件1806,其用于验证授权凭证。该授权凭证可以包括:另一个设备的标识符、有效范围和颁发授权凭证的受信任方的签名。
逻辑组1802还包括电子部件1808,其部分基于授权凭证来与另一个设备建立经验证的通信。经验证的通信可以是广播或组播。与另一个设备的经验证的通信是对等配置和/或ad-hoc配置。
还包括电子部件1810,其用于使用一个或多个经验证的信息元素的子集来执行配置操作。该配置操作可以包括配置接口和/或增加路由。
此外,系统1800可以包括存储器1812,其保存用于执行与电子部件1804、1806、1808、1810或其它部件关联的功能的指令。虽然示出为位于存储器1812外部,但是应当理解,电子部件1804、1806、1808、1810中的一个或多个可以存在于存储器1812之内。
应当意识到,上述的图15、16、17和18中的系统1500、1600、1700和1800被表示为包括功能块,其可以是表示由处理器、软件或其组合(例如,固件)实现的功能的功能块。
应当理解,本文描述的方面可以通过硬件、软件、固件或它们的任意组合来实现。在用软件来实现时,功能可以作为在计算机可读介质上的一条或多条指令或代码被存储或发送。计算机可读介质包括计算机存储介质和通信介质,该通信介质包括便于将计算机程序从一处传输到另一处的任何介质。存储介质可以是由通用或专用计算机来访问的任意可用的介质。作为示例,但不仅限于此,这些计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM或其它光盘存储器、磁盘存储器或其它磁存储设备,或者可以用来携带或存储指令或数据结构形式的期望的程序代码的并且可以被通用计算机或专用计算机或通用处理器或专用处理器访问的任何其他介质。此外,任意连接可以被适当地称作计算机可读介质。例如,如果使用同轴电缆、光纤电缆、双绞线、数字用户线路(DSL)或无线技术(例如红外、无线电和微波)从网站、服务器或其他远程源发送软件,那么这些同轴电缆、光纤电缆、双绞线、DSL或无线技术(例如红外、无线电和微波)被包括在介质的定义中。本文所使用的磁盘(disk)和光盘(disc)包括致密盘(CD)、激光盘、光盘、数字多用途盘(DVD)、软盘以及蓝光盘(BD),其中,磁盘通常以磁的方式再现数据,而光盘通常用激光以光的方式再现数据。上面装置的组合也应该被包括在计算机可读介质的范围内。
可以用被设计来执行本文所描述功能的通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑器件、分离门或晶体管逻辑、分离硬件元件或它们的任意组合来实现或执行与本文公开的方面相结合描述的各种说明性的逻辑、逻辑框、模块与电路。通用处理器可以是微处理器,但是可替代的,该处理器可以是任何常规的处理器、控制器、微控制器或状态机。处理器也可以被实现为计算设备的组合,例如DSP和微处理器的组合、多个微处理器的组合、一个或多个微处理器连同DSP核心的组合、或任何其它这样的配置的组合。此外,至少一个处理器可以包括一个或多个模块,其用于执行上述的步骤和/或动作中的一个或多个。
对于软件实现,可以用执行本文所描述功能的模块(例如,过程、功能等)来实现本文所描述的技术。软件代码可以被存储在存储器单元中并被处理器执行。可以在处理器内部或处理器之外实现存储器单元,当在处理器之外实现时,可以经由本领域已知的各种手段将存储器单元通信地耦合到处理器。另外,至少一个处理器可以包括用于执行本文描述的功能的一个或多个模块。
本文描述的技术可以被用于各种无线通信系统,例如:CDMA、TDMA、FDMA、OFDMA、SC-FDMA和其它系统。术语“系统”和“网络”经常互换地使用。CDMA系统可以实现无线电技术,例如通用地面无线接入(UTRA)、CDMA2000等。UTRA包括宽带CDMA(W-CDMA)和CDMA的其它变体。此外,CDMA2000覆盖了IS-2000、IS-95、IS-856标准。TDMA系统可以实现无线电技术,例如全球移动通信系统(GSM)。OFDMA系统可以实现无线电技术,例如演进的UTRA(E-UTRA)、超移动宽带(UMB)、IEEE 802.11(Wi-Fi)、IEEE 802.16(WiMAX)、IEEE 802.20、等。UTRA和E-UTRA是通用移动电信系统(UMTS)的一部分。3GPP长期演进(LTE)是使用E-UTRA的UMTS的版本,其在下行链路上采用OFDMA而在上行链路上采用SC-FDMA。在来自于名称为“第三代合作伙伴计划(3GPP)”的组织的文档中描述了UTRA、E-UTRA、UMTS、LTE和GSM。另外,在来自于名称为“第三代合作伙伴计划2(3GPP2)”的组织的文档中描述了CDMA2000和UMB。此外,这种无线通信系统可以另外包括对等(例如,移动到移动)ad hoc网络系统,该网络系统经常使用未配对的无许可的频谱、802.xx无线LAN、蓝牙和任何其它短范围或长范围无线通信技术。
另外,本文描述的各个方面或特征可以被实现为方法、装置或使用标准编程和/或工程技术的制品。本文使用的术语“制品”旨在包括可从任何计算机可读设备、载体或介质中存取的计算机程序。例如,计算机可读介质可包括但是不限于磁存储设备(例如硬盘、软盘、磁带等)、光盘(例如致密光碟(CD)、数字多用途光盘(DVD)等)、智能卡和闪速存储器设备(例如,EPROM、卡、棒、键驱动(key drive)等)。另外,本文描述的各种存储介质可以表示用于存储信息的一个或多个设备和/或其它机器可读介质。术语“机器可读介质”可以包括但不限于无线信道以及能够存储、包含和/或携带指令和/或数据的各种其它介质。另外,计算机程序产品可以包括具有可操作来使得计算机执行本文所描述功能的一个或多个指令或代码的计算机可读介质。
另外,结合本文公开的方面描述的方法或算法的步骤和/或动作可以被直接地体现为硬件、被处理器执行的软件模块或上述两者的组合。软件模块可以位于RAM存储器、闪速存储器、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动盘、CD-ROM或本领域已知的任何其它存储介质形式中。示例性的存储介质可以被耦合到处理器,使得该处理器可以从存储介质中读取信息并向其写入信息。可选地,存储介质可以集成到处理器中。另外,在一些方面,处理器和存储介质可以位于ASIC中。另外,该ASIC可以位于用户设备中。可选地,处理器和存储介质可以作为分立部件来位于用户设备中。另外,在一些方面,方法或算法的步骤和/或动作可以作为位于机器可读介质和/或计算机可读介质上的代码和/或指令中的一个或任意组合或集合,该机器可读介质和/或计算机可读介质可以被包含在计算机程序产品中。
虽然前面的公开讨论了说明性的方面和/或方面,应当注意,在不脱离所描述的方面和/或由所附的权利要求来定义的方面的范围的情况下,可以做出各种改变和变形。因此,所描述的方面旨在涵盖落入所附权利请求范围之内的所有这样的变更、变形和改变。此外,虽然所描述的方面的元素和/或方面可以以单数的形式被描述或声明,但是除非明确限制为单数,复数是可预期的。此外,除非另外声明,任何方面的所有或部分和/或方面可以被用于任何其它方面的所有和部分和/或方面。
就用在具体实施方式或权利要求中的术语“包含”的范围来说,该术语意图是包含性的,其类似于术语“包括”作为权利要求中过渡性词语被采用时所解释的那样。此外,在具体实施方式或权利要求中使用的术语“或”意味着“非排他性的或”。
Claims (40)
1.一种用于频谱授权和访问控制的方法,包括:
获得由受信任的第三方颁发的第一设备的第一授权凭证;
从第二设备接收所述第二设备的第二授权凭证,所述第二授权凭证由所述受信任的第三方或另一个受信任方颁发;以及
与所述第二设备建立经验证的通信会话。
2.根据权利要求1所述的方法,还包括:在与所述第二设备建立所述经验证的通信会话之前,验证所述第二设备的所述第二授权凭证。
3.根据权利要求2所述的方法,其中,所述第二授权凭证包括有效时间和所述受信任的第三方或所述另一个受信任方的加密签名,并且其中,验证所述第二授权凭证包括核实所述有效时间和所述加密签名。
4.根据权利要求2所述的方法,其中,验证所述第二授权凭证包括核实与在数字证书中包括的公钥和身份两者相关联的私钥的拥有。
5.根据权利要求2所述的方法,其中,验证所述第二设备的所述第二授权凭证失败导致拆除在所述第一设备和所述第二设备之间的通信链路。
6.根据权利要求1所述的方法,还包括:在与所述第二设备建立所述经验证的通信会话之前,将所述第一授权凭证发送给所述第二设备。
7.根据权利要求1所述的方法,还包括:基于在所述第一授权凭证和所述第二授权凭证中包含的信息来保护所述经验证的通信会话的安全。
8.根据权利要求1所述的方法,其中,所述第一授权凭证包括所述第一设备的标识符、所述受信任的第三方的签名以及有效时间。
9.根据权利要求1所述的方法,其中,所述经验证的通信会话用于携带在所述第一授权凭证和所述第二授权凭证中包括的允许的服务的列表中指定的类型和方式的数据。
10.根据权利要求1所述的方法,其中,所述第一授权凭证包括允许由所述第一设备访问的服务,以及所述第二授权凭证包括允许由所述第二设备访问的服务。
11.根据权利要求1所述的方法,其中,所述第一授权凭证和所述第二授权凭证中的至少一个被实现为传统的数字证书。
12.一种无线通信装置,包括:
存储器,其保存涉及以下操作的指令:获得由受信任的第三方颁发的第一设备的第一授权凭证;从第二设备接收所述第二设备的第二授权凭证;以及与所述第二设备建立经验证的通信会话,其中,所述第二授权凭证由所述受信任的第三方或另一个受信任方颁发;以及
处理器,其耦合到所述存储器,用于执行在所述存储器中保存的所述指令。
13.根据权利要求12所述的无线通信装置,所述存储器还保存涉及以下操作的指令:在建立所述经验证的通信会话之前,验证所述第二设备的所述第二授权凭证,其中,所述经验证的通信会话用于携带在所述第一授权凭证和所述第二授权凭证中包括的允许的服务的列表中指定的类型和方式的数据。
14.根据权利要求13所述的无线通信装置,其中,验证所述第二设备的所述第二授权凭证失败导致拆除在所述第一设备和所述第二设备之间的通信链路。
15.根据权利要求12所述的无线通信装置,所述存储器还保存涉及以下操作的指令:在与所述第二设备建立所述经验证的通信会话之前,将所述第一授权凭证传送给所述第二设备,其中,所述第一授权凭证包括所述第一设备的标识符、所述受信任的第三方的签名以及有效时间。
16.一种便于频谱授权和访问控制的无线通信装置,包括:
用于获得由受信任的第三方颁发的第一设备的第一授权凭证的单元;
用于将所述第一授权凭证传送给第二设备的单元;
用于从所述第二设备接收所述第二设备的第二授权凭证的单元,所述第二授权凭证由所述受信任的第三方或另一个受信任方颁发;
用于验证所述第二设备的所述第二授权凭证的单元;以及
用于如果对所述第二授权凭证的验证是成功的,则与所述第二设备建立经验证的通信会话的单元。
17.根据权利要求16所述的无线通信装置,其中,所述第一授权凭证包括所述第一设备的标识符和所述受信任的第三方的签名,所述第二授权凭证包括所述第二设备的标识符和所述受信任的第三方或另一个受信任方的签名。
18.一种计算机程序产品,包括:
计算机可读介质,其包括:
第一组代码,用于使计算机获得由受信任的第三方颁发的第一设备的第一授权凭证;
第二组代码,用于使所述计算机从第二设备接收所述第二设备的第二授权凭证,所述第二授权凭证由所述受信任的第三方或另一个受信任方颁发;
第三组代码,用于使所述计算机验证所述第二授权凭证;以及
第四组代码,用于如果所述第二授权凭证有效,则使所述计算机与所述第二设备建立经验证的通信。
19.用于提供频谱授权和访问控制的至少一个处理器,包括:
第一模块,用于获得由受信任的第三方颁发的第一设备的第一授权凭证;
第二模块,用于将所述第一授权凭证发送给第二设备;
第三模块,用于从所述第二设备接收所述第二设备的第二授权凭证,所述第二授权凭证由所述受信任的第三方或另一个受信任方颁发;
第四模块,用于验证所述第二设备的所述第二授权凭证;以及
第五模块,用于如果对所述第二授权凭证的验证是成功的,则与所述第二设备建立经验证的通信会话。
20.根据权利要求19所述的至少一个处理器,其中,所述第一授权凭证包括允许由所述第一设备访问的服务,并且其中,所述经验证的通信会话用于携带在所述第一授权凭证和所述第二授权凭证中包括的允许的服务的列表中指定的类型和方式的数据。
21.一种用于频谱授权和访问控制的方法,包括:
从第一设备接收对于系统访问的请求;
执行对所述第一设备的认证;
确定可以被授权给所述第一设备的系统访问;以及
基于所述被授权的系统访问,创建所述第一设备的授权凭证。
22.根据权利要求21所述的方法,其中,所述第一设备认证是通过安全的通信链路外部地从网络设备获得的。
23.根据权利要求21所述的方法,其中,确定系统访问包括咨询配置参数数据库,该配置参数数据库包含被授权访问系统的多个设备的列表。
24.根据权利要求21所述的方法,其中,所述认证或所述被授权的系统访问由与所述第一设备关联的证书来确定。
25.根据权利要求24所述的方法,其中,所述证书是共享的密钥、公钥、授权信息、服务列表、账单信息中的至少一个或它们的组合。
26.根据权利要求21所述的方法,其中,所述授权凭证包括所述第一设备的身份。
27.根据权利要求21所述的方法,其中,所述授权凭证包括所述第一设备的身份和有效范围,其中,所述授权凭证在所述有效范围期间是有效的。
28.根据权利要求21所述的方法,其中,所述授权凭证包括所述第一设备的身份、有效范围以及加密签名,其中,所述授权凭证在所述有效范围期间是有效的。
29.一种无线通信装置,包括:
存储器,其保存涉及以下操作的指令:从至少第一设备接收对于系统访问的请求;执行对所述至少第一设备的认证;确定可以被授权给所述第一设备的系统访问;以及部分地基于所述被授权的系统访问来生成所述至少第一设备的授权凭证;以及
处理器,其耦合到所述存储器,用于执行在所述存储器中保存的所述指令。
30.根据权利要求29所述的无线通信装置,其中,所述至少第一设备的认证是通过安全的通信链路从网络设备获得的。
31.根据权利要求29所述的无线通信装置,其中,确定系统访问包括咨询配置参数数据库,该配置参数数据库包含被授权访问系统的多个设备的列表。
32.根据权利要求29所述的无线通信装置,其中,所述认证或所述被授权的系统访问由与所述第一设备关联的证书来确定,所述证书是共享的密钥、公钥、授权信息、服务列表、账单信息中的至少一个或它们的组合。
33.根据权利要求29所述的无线通信装置,其中,所述授权凭证包括所述第一设备的身份、所述授权凭证有效的有效期以及加密签名。
34.一种提供频谱授权的无线通信装置,包括:
用于从至少第一设备接收对于系统访问的请求的单元;
用于执行对所述至少第一设备的认证的单元;
用于确定可以被提供给所述至少第一设备的系统访问的单元;以及
用于部分地基于所述被授权的系统访问来生成所述至少第一设备的授权凭证的单元。
35.根据权利要求34所述的无线通信装置,其中,所述授权凭证包括所述第一设备的身份、有效范围以及加密签名,其中,所述授权凭证在所述有效范围期间是有效的。
36.根据权利要求34所述的无线通信装置,还包括:
用于咨询配置参数数据库的单元,该配置参数数据库包含被授权访问系统的多个设备的列表。
37.一种计算机程序产品,包括:
计算机可读介质,其包括:
第一组代码,用于使计算机从第一设备接收对于系统访问的请求;
第二组代码,用于使所述计算机执行对所述第一设备的认证;
第三组代码,用于使所述计算机确定可以被授权给所述第一设备的系统访问;以及
第四组代码,用于使所述计算机基于所述被授权的系统访问来生成所述第一设备的授权凭证。
38.根据权利要求37所述的计算机程序产品,其中,确定系统访问包括咨询配置参数数据库,该配置参数数据库包含被授权访问系统的多个设备的列表,并且其中,基于与所述第一设备关联的证书来确定所述认证或所述被授权的系统访问,所述证书是共享的密钥、公钥、授权信息、服务列表、账单信息中的至少一个或它们的组合。
39.用于提供频谱授权的至少一个处理器,包括:
第一模块,用于从至少第一设备接收对于系统访问的请求;
第二模块,用于执行对所述至少第一设备的认证;
第三模块,用于确定可以被授权给所述至少第一设备的系统访问;以及
第四模块,用于部分地基于所述被授权的系统访问来生成所述至少第一设备的授权凭证,其中,所述授权凭证包括所述至少第一设备的身份、有效范围以及加密签名,其中,所述授权凭证在所述有效范围期间是有效的。
40.根据权利要求39所述的至少一个处理器,其中,所述第四模块利用与所述第一设备关联的证书来确定可以被授权的系统访问,其中,所述证书是共享的密钥、公钥、授权信息、服务列表、账单信息中的至少一个或它们的组合。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US12/209,432 | 2008-09-12 | ||
US12/209,432 US8862872B2 (en) | 2008-09-12 | 2008-09-12 | Ticket-based spectrum authorization and access control |
PCT/US2009/055263 WO2010030516A2 (en) | 2008-09-12 | 2009-08-27 | Ticket-based spectrum authorization and access control |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310318355.0A Division CN103491538A (zh) | 2008-09-12 | 2009-08-27 | 基于凭证的频谱授权和访问控制 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102150448A true CN102150448A (zh) | 2011-08-10 |
CN102150448B CN102150448B (zh) | 2015-01-07 |
Family
ID=42005704
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310318355.0A Pending CN103491538A (zh) | 2008-09-12 | 2009-08-27 | 基于凭证的频谱授权和访问控制 |
CN200980135420.8A Expired - Fee Related CN102150448B (zh) | 2008-09-12 | 2009-08-27 | 基于凭证的频谱授权和访问控制 |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310318355.0A Pending CN103491538A (zh) | 2008-09-12 | 2009-08-27 | 基于凭证的频谱授权和访问控制 |
Country Status (7)
Country | Link |
---|---|
US (2) | US8862872B2 (zh) |
EP (1) | EP2338295A2 (zh) |
JP (1) | JP5461563B2 (zh) |
KR (1) | KR101266241B1 (zh) |
CN (2) | CN103491538A (zh) |
TW (1) | TW201026107A (zh) |
WO (1) | WO2010030516A2 (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014205645A1 (en) * | 2013-06-25 | 2014-12-31 | Nokia Corporation | A method and apparatus for anonymous and trustworthy authentication in pervasive social networking |
CN105205666A (zh) * | 2014-06-17 | 2015-12-30 | 中国银联股份有限公司 | 基于蓝牙的面对面支付方法及系统 |
CN107660292A (zh) * | 2015-06-25 | 2018-02-02 | 英特尔公司 | 受保护凭证聚合器 |
CN110232271A (zh) * | 2018-03-06 | 2019-09-13 | 通用汽车环球科技运作有限责任公司 | 车辆控制模块安全凭证替换 |
CN113039823A (zh) * | 2018-11-02 | 2021-06-25 | 亚萨合莱有限公司 | 用于访问控制的系统、方法和设备 |
US11825292B2 (en) | 2019-03-25 | 2023-11-21 | Assa Abloy Ab | Physical access control systems with localization-based intent detection |
US11900750B2 (en) | 2019-03-25 | 2024-02-13 | Assa Abloy Ab | Ultra-wide band device for access control reader system |
Families Citing this family (55)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8548467B2 (en) * | 2008-09-12 | 2013-10-01 | Qualcomm Incorporated | Ticket-based configuration parameters validation |
US9148335B2 (en) * | 2008-09-30 | 2015-09-29 | Qualcomm Incorporated | Third party validation of internet protocol addresses |
US8848914B2 (en) * | 2008-11-18 | 2014-09-30 | Qualcomm Incorporated | Spectrum authorization and related communications methods and apparatus |
US9320067B2 (en) | 2008-11-24 | 2016-04-19 | Qualcomm Incorporated | Configuration of user equipment for peer-to-peer communication |
US8505078B2 (en) | 2008-12-28 | 2013-08-06 | Qualcomm Incorporated | Apparatus and methods for providing authorized device access |
EP2237515B1 (en) | 2009-04-01 | 2011-12-07 | Nokia Siemens Networks OY | Method and device for reordering filters |
WO2010117310A1 (en) * | 2009-04-07 | 2010-10-14 | Telefonaktiebolaget L M Ericsson (Publ) | Attaching a sensor to a wsan |
US9240015B2 (en) * | 2009-05-08 | 2016-01-19 | A2Zlogix, Inc. | Method and system for synchronizing delivery of promotional material to computing devices |
EP2355437A1 (en) * | 2010-01-27 | 2011-08-10 | EADS Secure Networks Oy | Authorised data recording |
US9749832B2 (en) | 2010-09-24 | 2017-08-29 | Qualcomm Incorporated | Wireless display discovery and operation with TDLS |
US9253168B2 (en) * | 2012-04-26 | 2016-02-02 | Fitbit, Inc. | Secure pairing of devices via pairing facilitator-intermediary device |
JP5613532B2 (ja) * | 2010-11-11 | 2014-10-22 | 株式会社日立システムズ | クラウドサービス間の信頼関係構築方法及びシステム |
EP2466522A1 (en) * | 2010-11-30 | 2012-06-20 | Gemalto SA | Method for providing a user with an authentificated remote access to a remote secure device |
CN102571505B (zh) * | 2010-12-17 | 2016-04-27 | 中国移动通信集团上海有限公司 | 一种传感网信息发送方法、装置及系统 |
US8935766B2 (en) | 2011-01-19 | 2015-01-13 | Qualcomm Incorporated | Record creation for resolution of application identifier to connectivity identifier |
EP2810492B1 (en) * | 2012-02-02 | 2020-09-09 | Sierra Wireless, Inc. | Subscription and charging control for wireless communications between proximate devices |
JP2013211637A (ja) * | 2012-03-30 | 2013-10-10 | Oki Electric Ind Co Ltd | 端末認証システム並びに端末装置、チケット配布装置及びルータ端末装置 |
CN102685746A (zh) * | 2012-05-03 | 2012-09-19 | 中兴通讯股份有限公司 | 一种对移动设备验证的方法、装置及系统 |
US8738911B2 (en) * | 2012-06-25 | 2014-05-27 | At&T Intellectual Property I, L.P. | Secure socket layer keystore and truststore generation |
US9438572B2 (en) | 2012-09-06 | 2016-09-06 | Koninklijke Kpn N.V. | Establishing a device-to-device communication session |
US8843741B2 (en) * | 2012-10-26 | 2014-09-23 | Cloudpath Networks, Inc. | System and method for providing a certificate for network access |
US9444851B2 (en) | 2012-10-29 | 2016-09-13 | Koninklijke Kpn N.V. | Intercepting device-to-device communication |
ES2766802T3 (es) * | 2013-01-25 | 2020-06-15 | Koninklijke Kpn Nv | Descubrimiento de proximidad, autenticación y establecimiento de enlace entre dispositivos móviles de comunicación en LTE 3GPP |
JP6018511B2 (ja) * | 2013-01-31 | 2016-11-02 | 株式会社東芝 | サーバ装置、グループ鍵通知方法及びそのプログラム |
US9421464B2 (en) * | 2013-05-22 | 2016-08-23 | Dell Products, Lp | System and method for providing performance in a personal gaming cloud |
TWI503696B (zh) * | 2013-06-06 | 2015-10-11 | Quanta Comp Inc | 授權平台 |
US9515824B2 (en) * | 2013-10-21 | 2016-12-06 | Aruba Networks, Inc. | Provisioning devices for secure wireless local area networks |
JP6465035B2 (ja) * | 2014-02-03 | 2019-02-06 | ソニー株式会社 | 装置及び方法 |
KR102239055B1 (ko) | 2014-04-04 | 2021-04-12 | 삼성전자주식회사 | 근접한 복수의 이동 단말들에게 맞춤형 서비스를 제공하는 개인 맞춤형 장치의 동작 방법, 개인 맞춤형 장치 및 이동 단말 |
US9860818B2 (en) * | 2014-04-17 | 2018-01-02 | T-Mobile Usa, Inc. | Resource allocation for self-organizing networks |
CN105323222B (zh) * | 2014-07-11 | 2018-08-24 | 博雅网络游戏开发(深圳)有限公司 | 登录验证方法和系统 |
US9661497B2 (en) * | 2014-08-28 | 2017-05-23 | Cisco Technology, Inc. | Control and enhancement of direct wireless service communications |
US10637650B2 (en) * | 2014-10-29 | 2020-04-28 | Hewlett-Packard Development Company, L.P. | Active authentication session transfer |
JP6398635B2 (ja) * | 2014-11-13 | 2018-10-03 | 沖電気工業株式会社 | ネットワークシステム及び通信装置 |
DE102015101523A1 (de) * | 2015-02-03 | 2016-08-04 | CISC Semiconductor GmbH | Verfahren zur Berechtigungsverwaltung in einer Anordnung mit mehreren Rechensystemen |
US10965650B2 (en) | 2015-05-11 | 2021-03-30 | Nokia Technologies Oy | Indicating channel usage in wireless network |
EP3110099B1 (en) * | 2015-06-24 | 2018-10-31 | Accenture Global Services Limited | Device authentication |
JP6773401B2 (ja) | 2015-10-05 | 2020-10-21 | 任天堂株式会社 | 周辺機器、無線通信チップ、アプリケーションプログラム、情報処理システム、および情報処理方法 |
JP6567939B2 (ja) | 2015-10-05 | 2019-08-28 | 任天堂株式会社 | 情報処理システム、周辺機器、無線通信チップ、アプリケーションプログラム、および情報処理方法 |
US10615844B2 (en) * | 2016-03-15 | 2020-04-07 | Huawei Technologies Co., Ltd. | System and method for relaying data over a communication network |
US10542570B2 (en) | 2016-03-15 | 2020-01-21 | Huawei Technologies Co., Ltd. | System and method for relaying data over a communication network |
WO2018015200A1 (en) * | 2016-07-18 | 2018-01-25 | Telefonaktiebolaget Lm Ericsson (Publ) | Authorization of user equipment for mobile communications network that has previously been authorized by trusted traffic authority |
US10045312B2 (en) * | 2016-08-12 | 2018-08-07 | Nokia Technologies Oy | Method and apparatus for controlling high power transmission |
WO2018230833A1 (ko) * | 2017-06-11 | 2018-12-20 | 엘지전자(주) | V2x 통신 장치 및 그의 데이터 통신 방법 |
IL258379A (en) * | 2018-03-26 | 2018-05-31 | Kazuar Advanced Tech Ltd | Secure remote terminal |
CN110309213B (zh) * | 2018-03-28 | 2023-10-13 | 腾讯科技(深圳)有限公司 | 一种数据库访问控制方法、装置、系统、介质及设备 |
US10827356B2 (en) * | 2018-08-29 | 2020-11-03 | Continental Teves Ag & Co. Ohg | Electronic device, vehicle system and method for safeguarding wireless data communication |
US11218462B2 (en) | 2018-11-01 | 2022-01-04 | Cisco Technology, Inc. | Access network authentication token broker (ANATB) gateway |
US11637827B2 (en) * | 2018-12-04 | 2023-04-25 | Journey.ai | Providing access control and identity verification for communications when receiving a communication at an entity to be verified |
US11695767B2 (en) * | 2018-12-04 | 2023-07-04 | Journey.ai | Providing access control and persona validation for interactions |
US11743255B2 (en) * | 2018-12-04 | 2023-08-29 | Journey.ai | Providing access control and identity verification for communications when initiating a communication from an entity to be verified |
CN110113344B (zh) * | 2019-05-13 | 2021-08-10 | 西南科技大学 | 一种基于分布式加密的海上多移动平台身份识别方法 |
CA3141829A1 (en) * | 2019-05-24 | 2020-12-03 | Journey.ai | Providing access control and identity verification for communications |
CN113727341B (zh) | 2020-05-11 | 2023-03-24 | 华为技术有限公司 | 安全通信方法、相关装置及系统 |
US11985124B2 (en) | 2022-06-02 | 2024-05-14 | Bank Of America Corporation | System for implementing multifactor authentication based on secure tokenization |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070154016A1 (en) * | 2006-01-05 | 2007-07-05 | Nakhjiri Madjid F | Token-based distributed generation of security keying material |
Family Cites Families (60)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6065117A (en) | 1997-07-16 | 2000-05-16 | International Business Machines Corporation | Systems, methods and computer program products for sharing state information between a stateless server and a stateful client |
US6725376B1 (en) | 1997-11-13 | 2004-04-20 | Ncr Corporation | Method of using an electronic ticket and distributed server computer architecture for the same |
JP2003500923A (ja) | 1999-05-21 | 2003-01-07 | インターナショナル・ビジネス・マシーンズ・コーポレーション | セキュア通信をイニシャライズし、装置を排他的にペアリングする方法、コンピュータ・プログラムおよび装置 |
US6772331B1 (en) | 1999-05-21 | 2004-08-03 | International Business Machines Corporation | Method and apparatus for exclusively pairing wireless devices |
US20010020228A1 (en) * | 1999-07-09 | 2001-09-06 | International Business Machines Corporation | Umethod, system and program for managing relationships among entities to exchange encryption keys for use in providing access and authorization to resources |
FI109950B (fi) | 2000-01-20 | 2002-10-31 | Nokia Corp | Osoitteen saanti |
SE0101295D0 (sv) * | 2001-04-10 | 2001-04-10 | Ericsson Telefon Ab L M | A method and network for delivering streaming data |
US20030084302A1 (en) | 2001-10-29 | 2003-05-01 | Sun Microsystems, Inc., A Delaware Corporation | Portability and privacy with data communications network browsing |
US7181620B1 (en) * | 2001-11-09 | 2007-02-20 | Cisco Technology, Inc. | Method and apparatus providing secure initialization of network devices using a cryptographic key distribution approach |
US7580972B2 (en) * | 2001-12-12 | 2009-08-25 | Valve Corporation | Method and system for controlling bandwidth on client and server |
US7231663B2 (en) * | 2002-02-04 | 2007-06-12 | General Instrument Corporation | System and method for providing key management protocol with client verification of authorization |
US7661129B2 (en) * | 2002-02-26 | 2010-02-09 | Citrix Systems, Inc. | Secure traversal of network components |
US7373508B1 (en) * | 2002-06-04 | 2008-05-13 | Cisco Technology, Inc. | Wireless security system and method |
US7565537B2 (en) * | 2002-06-10 | 2009-07-21 | Microsoft Corporation | Secure key exchange with mutual authentication |
WO2004019640A1 (de) | 2002-08-16 | 2004-03-04 | Siemens Aktiengesellschaft | Verfahren zum identifizieren eines kommunikationsendgeräts |
US20040059913A1 (en) * | 2002-09-13 | 2004-03-25 | Sun Microsystems, Inc., A Delaware Corporation | Accessing for controlled delivery of digital content in a system for digital content access control |
US7206934B2 (en) * | 2002-09-26 | 2007-04-17 | Sun Microsystems, Inc. | Distributed indexing of identity information in a peer-to-peer network |
US7451217B2 (en) * | 2002-12-19 | 2008-11-11 | International Business Machines Corporation | Method and system for peer-to-peer authorization |
JP4039277B2 (ja) | 2003-03-06 | 2008-01-30 | ソニー株式会社 | 無線通信システム、端末、その端末における処理方法並びにその方法を端末に実行させるためのプログラム |
US7644275B2 (en) * | 2003-04-15 | 2010-01-05 | Microsoft Corporation | Pass-thru for client authentication |
US7269732B2 (en) * | 2003-06-05 | 2007-09-11 | Sap Aktiengesellschaft | Securing access to an application service based on a proximity token |
US7017181B2 (en) | 2003-06-25 | 2006-03-21 | Voltage Security, Inc. | Identity-based-encryption messaging system with public parameter host servers |
AU2004301258B2 (en) * | 2003-07-16 | 2007-04-26 | Microsoft Technology Licensing, Llc | Peer-to-peer telephone system and method |
US20050071630A1 (en) | 2003-08-15 | 2005-03-31 | Imcentric, Inc. | Processing apparatus for monitoring and renewing digital certificates |
US7188254B2 (en) * | 2003-08-20 | 2007-03-06 | Microsoft Corporation | Peer-to-peer authorization method |
JP2005110112A (ja) | 2003-10-01 | 2005-04-21 | Nec Corp | 通信システムにおける無線通信装置の認証方法及び無線通信装置及び基地局及び認証装置。 |
US7568098B2 (en) * | 2003-12-02 | 2009-07-28 | Microsoft Corporation | Systems and methods for enhancing security of communication over a public network |
JP4006403B2 (ja) | 2004-01-21 | 2007-11-14 | キヤノン株式会社 | ディジタル署名発行装置 |
KR100803272B1 (ko) | 2004-01-29 | 2008-02-13 | 삼성전자주식회사 | 아이피 브이 식스 네트워크에서 인증을 처리하는 방법 및그 장치 |
US9161231B2 (en) * | 2004-10-14 | 2015-10-13 | Alcatel Lucent | Method and system for wireless networking using coordinated dynamic spectrum access |
GB2435587B (en) * | 2004-12-13 | 2008-10-01 | Transnexus Inc | Method and system for securely authorizing VOIP interconnections between anonymous peers of VOIP networks |
DE102005004612A1 (de) * | 2005-02-01 | 2006-08-10 | Siemens Ag | Verfahren zur Aufschaltung auf verschlüsselte Kommunikationsverbindungen in einem paketorientierten Netzwerk |
US7496346B2 (en) * | 2005-04-25 | 2009-02-24 | Cisco Technology, Inc. | Authorizing a mobile node for service |
US20060294022A1 (en) * | 2005-06-22 | 2006-12-28 | Dayan Richard A | Apparatus, system, and method for enabling a service |
WO2007000179A1 (en) * | 2005-06-29 | 2007-01-04 | Telecom Italia S.P.A. | Short authentication procedure in wireless data communications networks |
CN100561919C (zh) | 2005-10-25 | 2009-11-18 | 中兴通讯股份有限公司 | 一种宽带接入用户认证方法 |
JP4933558B2 (ja) * | 2005-11-11 | 2012-05-16 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | ピア・ツー・ピア通信の干渉を制限する方法および装置 |
US8290433B2 (en) * | 2007-11-14 | 2012-10-16 | Blaze Mobile, Inc. | Method and system for securing transactions made through a mobile communication device |
US20070233827A1 (en) * | 2006-03-29 | 2007-10-04 | Mcknight Lee W | Ad hoc distributed resource coordination for a wireless grid |
US7907970B2 (en) | 2006-04-14 | 2011-03-15 | Qualcomm Incorporated | Providing quality of service for various traffic flows in a communications environment |
US8041942B2 (en) * | 2006-09-05 | 2011-10-18 | Panasonic Corporation | Robust peer-to-peer networks and methods of use thereof |
US8474028B2 (en) * | 2006-10-06 | 2013-06-25 | Fmr Llc | Multi-party, secure multi-channel authentication |
US8434133B2 (en) * | 2006-10-06 | 2013-04-30 | Fmr Llc | Single-party, secure multi-channel authentication |
US8671444B2 (en) * | 2006-10-06 | 2014-03-11 | Fmr Llc | Single-party, secure multi-channel authentication for access to a resource |
EP1912400A1 (en) | 2006-10-10 | 2008-04-16 | Matsushita Electric Industrial Co., Ltd. | Method and apparatus for mobile IP route optimization |
KR100856918B1 (ko) | 2006-11-02 | 2008-09-05 | 한국전자통신연구원 | IPv6 기반 네트워크상에서의 IP 주소 인증 방법 및IPv6 기반 네트워크 시스템 |
US7949876B2 (en) | 2006-12-28 | 2011-05-24 | Telefonaktiebolaget L M Ericsson (Publ) | Method and nodes for optimized and secure communication between routers and hosts |
US8332923B2 (en) * | 2007-01-19 | 2012-12-11 | Toshiba America Research, Inc. | Kerberized handover keying |
WO2008109641A2 (en) * | 2007-03-06 | 2008-09-12 | Anansi Networks, Inc. | System and method for spectrum management |
US8171536B2 (en) * | 2007-05-23 | 2012-05-01 | Sony Computer Entertainment America Inc. | Method and apparatus for authenticating users in a network |
US7899188B2 (en) * | 2007-05-31 | 2011-03-01 | Motorola Mobility, Inc. | Method and system to authenticate a peer in a peer-to-peer network |
US8195233B2 (en) * | 2007-07-30 | 2012-06-05 | Motorola Mobility, Inc. | Methods and systems for identity management in wireless devices |
US20090313353A1 (en) * | 2007-10-15 | 2009-12-17 | University Of Southern California | Copyrighted content delivery over p2p file-sharing networks |
US7856501B2 (en) * | 2007-12-04 | 2010-12-21 | Sony Computer Entertainment Inc. | Network traffic prioritization |
KR100953095B1 (ko) * | 2007-12-18 | 2010-04-19 | 한국전자통신연구원 | 슈퍼 피어 기반 p2p 네트워크 시스템 및 이를 위한 피어인증 방법 |
US8199768B1 (en) * | 2008-01-30 | 2012-06-12 | Google Inc. | Dynamic spectrum allocation and access |
US8239927B2 (en) * | 2008-02-29 | 2012-08-07 | Microsoft Corporation | Authentication ticket validation |
US8863234B2 (en) * | 2008-08-06 | 2014-10-14 | The Boeing Company | Collaborative security and decision making in a service-oriented environment |
US8548467B2 (en) | 2008-09-12 | 2013-10-01 | Qualcomm Incorporated | Ticket-based configuration parameters validation |
US9148335B2 (en) | 2008-09-30 | 2015-09-29 | Qualcomm Incorporated | Third party validation of internet protocol addresses |
-
2008
- 2008-09-12 US US12/209,432 patent/US8862872B2/en not_active Expired - Fee Related
-
2009
- 2009-08-27 KR KR1020117008401A patent/KR101266241B1/ko not_active IP Right Cessation
- 2009-08-27 WO PCT/US2009/055263 patent/WO2010030516A2/en active Application Filing
- 2009-08-27 JP JP2011526905A patent/JP5461563B2/ja not_active Expired - Fee Related
- 2009-08-27 EP EP09792016A patent/EP2338295A2/en not_active Withdrawn
- 2009-08-27 CN CN201310318355.0A patent/CN103491538A/zh active Pending
- 2009-08-27 CN CN200980135420.8A patent/CN102150448B/zh not_active Expired - Fee Related
- 2009-09-01 TW TW098129431A patent/TW201026107A/zh unknown
-
2014
- 2014-06-24 US US14/313,293 patent/US20140310782A1/en not_active Abandoned
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070154016A1 (en) * | 2006-01-05 | 2007-07-05 | Nakhjiri Madjid F | Token-based distributed generation of security keying material |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105308897A (zh) * | 2013-06-25 | 2016-02-03 | 诺基亚技术有限公司 | 用于渗透式社交联网中的匿名和可信认证的方法和装置 |
US10291587B2 (en) | 2013-06-25 | 2019-05-14 | Nokia Technologies Oy | Method and apparatus for anonymous and trustworthy authentication in pervasive social networking |
CN105308897B (zh) * | 2013-06-25 | 2019-09-13 | 诺基亚技术有限公司 | 用于渗透式社交联网中的匿名和可信认证的方法和装置 |
WO2014205645A1 (en) * | 2013-06-25 | 2014-12-31 | Nokia Corporation | A method and apparatus for anonymous and trustworthy authentication in pervasive social networking |
CN105205666B (zh) * | 2014-06-17 | 2019-10-25 | 中国银联股份有限公司 | 基于蓝牙的面对面支付方法及系统 |
CN105205666A (zh) * | 2014-06-17 | 2015-12-30 | 中国银联股份有限公司 | 基于蓝牙的面对面支付方法及系统 |
CN107660292A (zh) * | 2015-06-25 | 2018-02-02 | 英特尔公司 | 受保护凭证聚合器 |
CN110232271A (zh) * | 2018-03-06 | 2019-09-13 | 通用汽车环球科技运作有限责任公司 | 车辆控制模块安全凭证替换 |
CN113039823A (zh) * | 2018-11-02 | 2021-06-25 | 亚萨合莱有限公司 | 用于访问控制的系统、方法和设备 |
US11887416B2 (en) | 2018-11-02 | 2024-01-30 | Assa Abloy Ab | Systems, methods, and devices for access control |
US11825292B2 (en) | 2019-03-25 | 2023-11-21 | Assa Abloy Ab | Physical access control systems with localization-based intent detection |
US11902784B2 (en) | 2019-03-25 | 2024-02-13 | Assa Abloy Ab | Reader coordination for access control |
US11900750B2 (en) | 2019-03-25 | 2024-02-13 | Assa Abloy Ab | Ultra-wide band device for access control reader system |
US11928906B2 (en) | 2019-03-25 | 2024-03-12 | Assa Abloy Ab | Ultra-wide band device for access control reader system |
Also Published As
Publication number | Publication date |
---|---|
CN102150448B (zh) | 2015-01-07 |
US20100070760A1 (en) | 2010-03-18 |
KR101266241B1 (ko) | 2013-05-23 |
WO2010030516A3 (en) | 2010-06-17 |
WO2010030516A2 (en) | 2010-03-18 |
JP2012502587A (ja) | 2012-01-26 |
US8862872B2 (en) | 2014-10-14 |
KR20110067127A (ko) | 2011-06-21 |
JP5461563B2 (ja) | 2014-04-02 |
CN103491538A (zh) | 2014-01-01 |
TW201026107A (en) | 2010-07-01 |
EP2338295A2 (en) | 2011-06-29 |
US20140310782A1 (en) | 2014-10-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102150448B (zh) | 基于凭证的频谱授权和访问控制 | |
CN105743932B (zh) | 基于票据的配置参数验证 | |
US9465950B2 (en) | Methods, apparatuses, and computer-readable storage media for securely accessing social networking data | |
US9800554B2 (en) | Method for establishing secure communication between nodes in a network, network node, key manager, installation device and computer program product | |
US11399076B2 (en) | Profile information sharing | |
US11711693B2 (en) | Non-3GPP device access to core network | |
US11917416B2 (en) | Non-3GPP device access to core network | |
JP2023509806A (ja) | モバイルネットワークアクセスシステム、方法、記憶媒体及び電子機器 | |
US20230036353A1 (en) | Communication network node, user equipment, communication network, method | |
CN117256121A (zh) | 临时信任根注册以及设备绑定的公共密钥登记 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150107 Termination date: 20170827 |
|
CF01 | Termination of patent right due to non-payment of annual fee |