CN102415116B - 用于促进对漫游移动终端的授权的系统、方法和设备 - Google Patents
用于促进对漫游移动终端的授权的系统、方法和设备 Download PDFInfo
- Publication number
- CN102415116B CN102415116B CN201080017960.9A CN201080017960A CN102415116B CN 102415116 B CN102415116 B CN 102415116B CN 201080017960 A CN201080017960 A CN 201080017960A CN 102415116 B CN102415116 B CN 102415116B
- Authority
- CN
- China
- Prior art keywords
- authorization information
- service authorization
- request
- service
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/084—Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/08—Mobility data transfer
- H04W8/12—Mobility data transfer between location registers or mobility servers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明提供了用于促进对漫游移动终端的授权的系统、方法和设备。一种方法可以包括:接收针对用户设备装置的与安全性密钥有关的策略信息的请求。所述请求可以由受访网络上的服务提供节点发送。所述方法可以进一步包括:使得将包括用户安全性设定包的服务授权信息请求发送到策略决定服务器。所述方法还可以包括:响应于服务授权信息请求,接收包括经过修改的用户安全性设定包的服务授权信息应答,所述经过修改的用户安全性设定包包括对应于用户设备装置的授权策略信息。所述方法可以附加地包括:使得将所请求的与安全性密钥有关的策略信息发送到服务提供节点。此外还提供了相应的系统和设备。
Description
技术领域
本发明的实施例总体上涉及通信技术,更具体来说,涉及用于促进对漫游移动终端的授权的系统、方法和设备。
背景技术
现代的通信时代已经带来了有线和无线网络的极大发展。在消费者需求的带动下,计算机网络、电视网络以及电话网络正在经历前所未有的技术发展。无线和移动联网技术解决了有关的消费者需求,同时提供信息传输的更多灵活性和即时性。被配置成用于访问各种类型的无线网络的移动终端(其也被称作用户设备(UE)或用户设备装置)已被消费者广泛采用。除了使用移动终端访问移动网络以用于通信目的之外,消费者还可以利用移动终端访问可以由网络节点提供的其他服务。访问网络以及/或者访问由网络节点提供的某项其他服务可能要求在许可对于服务的访问或使用之前对移动终端进行授权。在这方面,网络实体可能需要在许可对于服务的访问之前验证移动终端用户是网络或服务的有效订户。
发明内容
在这里提供了用于促进对漫游移动终端的授权的方法、设备和计算机程序产品。在这方面提供了各种方法、设备和计算机程序产品,其可以为计算装置、计算装置用户、网络运营商和网络服务提供商提供几方面的优点。一些示例性实施例提供在移动终端与归属网络之间共享的安全性密钥的自举,以便当移动终端在受访网络上漫游时对移动终端进行授权。在这方面,一些示例性实施例规定,把与安全性密钥有关的策略信息(例如授权策略信息)从移动终端的归属网络中的一个或更多节点传输到受访网络上的服务提供节点,从而使得服务提供节点可以确定移动终端的授权状态,并且相应地对于发出请求的移动终端管理访问。一些示例性实施例规定,把详细的授权策略信息包括到用户安全性设定包中,并且随后将包括详细授权策略信息的经过修改的用户安全性设定包传输到受访网络上的服务提供节点。所请求的服务可以包括访问受访网络或者可以包括访问某项其他服务。一些示例性实施例规定,把包括对应于移动终端的授权策略信息的用户安全性设定包从归属网络上的自举服务器功能设备传输到受访网络上的服务提供节点。一些示例性实施例限制由于把与安全性密钥有关的策略信息传输到受访网络上的服务提供节点而对自举服务器功能设备造成的影响,这是通过如下的行为而实现的:扩展归属网络上的策略决定服务器与自举服务器功能设备之间的Zn接口,从而使得策略决定服务器负责处理对应于移动终端的授权策略,并且把用户安全性设定包修改成包括授权策略信息以用于传输到受访网络上的服务提供节点。在一些示例性实施例中,策略决定服务器包括归属网络上的存储对应于特定服务和移动终端(例如对应于移动终端的用户)的详细授权策略的应用服务器。
在第一示例性实施例中,提供一种方法,其包括:在归属网络上的自举服务器功能设备处接收针对用户设备装置的与安全性密钥有关的策略信息的请求。该实施例的请求是由受访网络上的服务提供节点发送的。该实施例的用户设备装置登记到归属网络,并且试图访问受访网络的服务。该实施例的方法附加地包括:使得将包括对应于用户设备装置的用户安全性设定包的服务授权信息请求发送到策略决定服务器。该实施例的服务授权信息请求表明以下请求:策略决定服务器把对应于用户设备装置的授权策略信息包括在用户安全性设定包中。该实施例的方法还包括:响应于服务授权信息请求,接收包括经过修改的用户安全性设定包的服务授权信息应答,所述经过修改的用户安全性设定包包括对应于用户设备装置的授权策略信息。该实施例的方法还包括:至少部分地基于所接收到的经过修改的用户安全性设定包,使得将所请求的与安全性密钥有关的策略信息发送到服务提供节点。
在一些实施例中,针对安全性密钥信息的请求包括针对与用户设备装置提供给服务提供节点的安全性密钥信息相对应的安全性密钥信息的请求,以用于由服务提供节点根据通用自举体系结构认证来为用户设备装置授权。在这样的实施例中,用户安全性设定包包括通用自举体系结构用户安全性设定。
在一些实施例中,服务提供节点包括被配置成实施受访接入网发现和选择功能的节点。在一些实施例中,策略决定服务器包括被配置成实施归属接入网发现和选择功能的设备。
在一些实施例中,通过Zn接口发送服务授权信息请求以及接收服务授权信息应答。在一些实施例中,使得发送服务授权信息请求包括使得根据直径协议发送服务授权信息请求,并且接收服务授权信息应答包括根据直径协议接收服务授权信息应答。在一些实施例中,使得发送服务授权信息请求包括使得根据web服务协议发送服务授权信息请求,并且接收服务授权信息应答包括根据web服务协议接收服务授权信息应答。
在一些实施例中,所述方法还包括:在使得将所请求的安全性密钥信息发送到服务提供节点之前,使用经过修改的用户安全性设定包来生成所请求的与安全性密钥有关的策略信息。
在一些实施例中,所述方法还包括:使得从存储用户安全性设定包的服务器请求对应于用户设备装置的用户安全性设定包。存储用户安全性设定包的服务器例如可以包括归属订户系统和/或类似系统。在这样的实施例中,所述方法附加地还包括:响应于针对用户安全性设定包的请求,接收对应于用户设备装置的用户安全性设定包。在这样的实施例中,所述方法还可以包括:确定所接收到的用户安全性设定包是否包括特定于服务的授权标志,所述标志表明必须把用户安全性设定包转发到对应于所述服务的策略决定服务器进行处理,以便获得授权策略信息。在这样的实施例中,使得发送服务授权信息请求包括使得在所接收到的用户安全性设定包包括特定于服务的授权标志时发送服务授权信息请求。
在另一个示例性实施例中,提供一种计算机程序产品。该实施例的计算机程序产品包括至少一个计算机可读存储介质,其中存储有计算机可读程序指令。该实施例的程序指令包括被配置成执行以下操作的程序指令:使得归属网络上的自举服务器功能设备接收针对用户设备装置的与安全性密钥有关的策略信息的请求。该实施例的请求由受访网络上的服务提供节点发送。该实施例的用户设备装置登记到归属网络,并且试图访问受访网络的服务。该实施例的程序指令还包括被配置成执行以下操作的程序指令:使得将包括对应于用户设备装置的用户安全性设定包的服务授权信息请求发送到策略决定服务器。该实施例的服务授权信息请求表明以下请求:策略决定服务器把对应于用户设备装置的授权策略信息包括在用户安全性设定包中。该实施例的程序指令附加地包括被配置成执行以下操作的程序指令:响应于服务授权信息请求,使得接收包括经过修改的用户安全性设定包的服务授权信息应答,所述经过修改的用户安全性设定包包括对应于用户设备装置的授权策略信息。该实施例的程序指令附加地包括被配置成执行以下操作的程序指令:至少部分地基于所接收到的经过修改的用户安全性设定包,使得将所请求的与安全性密钥有关的策略信息发送到服务提供节点。
在一些实施例中,针对与安全性密钥有关的策略信息的请求包括针对与用户设备装置提供给服务提供节点的安全性密钥信息相对应的安全性密钥信息的请求,以用于由服务提供节点根据通用自举体系结构认证来为用户设备装置授权。在这样的实施例中,用户安全性设定包包括通用自举体系结构用户安全性设定。
在一些实施例中,服务提供节点包括被配置成实施受访接入网发现和选择功能的节点。在一些实施例中,策略决定服务器包括被配置成实施归属接入网发现和选择功能的设备。
在一些实施例中,通过Zn接口发送服务授权信息请求以及接收服务授权信息应答。在一些实施例中,被配置成使得发送服务授权信息请求的程序指令包括被配置成使得根据直径协议发送服务授权信息请求的程序指令,并且被配置成使得接收服务授权信息应答的程序指令包括被配置成使得根据直径协议接收服务授权信息应答的程序指令。在一些实施例中,被配置成使得发送服务授权信息请求的程序指令包括被配置成使得根据web服务协议发送服务授权信息请求的程序指令,并且被配置成使得接收服务授权信息应答的程序指令包括被配置成使得根据web服务协议接收服务授权信息应答的程序指令。
在一些实施例中,所述计算机程序产品还包括被配置成执行以下操作的程序指令:在使得将所请求的安全性密钥信息发送到服务提供节点之前,使用经过修改的用户安全性设定包来生成所请求的与安全性密钥有关的策略信息。
在一些实施例中,所述计算机程序产品还包括被配置成使得把针对用户安全性设定包的请求发送到存储用户安全性设定包的服务器的程序指令。存储用户安全性设定包的服务器例如可以包括归属订户系统和/或类似系统。在这样的实施例中,所述计算机程序产品附加地还包括被配置成执行以下操作的程序指令:响应于针对用户安全性设定包的请求,使得接收对应于用户设备装置的用户安全性设定包。在这样的实施例中,所述计算机程序产品还可以包括被配置成确定所接收到的用户安全性设定包是否包括特定于服务的授权标志的程序指令,所述标志表明必须把用户安全性设定包转发到对应于所述服务的策略决定服务器进行处理,以便获得授权策略信息。在这样的实施例中,被配置成使得发送服务授权信息请求的程序指令可以包括被配置成使得在所接收到的用户安全性设定包包括特定于服务的授权标志时发送服务授权信息请求的程序指令。
在另一个示例性实施例中,提供一种设备。该实施例的设备包括至少一个处理器和至少一个存储计算机程序代码的存储器,其中,所述至少一个存储器和所存储的计算机程序代码配置成,利用所述至少一个处理器,使得所述设备执行以下操作:至少接收针对用户设备装置的与安全性密钥有关的策略信息的请求。该实施例的设备驻留在归属网络上。该实施例的请求由受访网络上的服务提供节点发送。该实施例的用户设备装置登记到归属网络,并且试图访问受访网络的服务。所述至少一个存储器和所存储的计算机程序代码配置成,利用所述至少一个处理器,进一步使得该实施例的设备执行以下操作:使得将包括对应于用户设备装置的用户安全性设定包的服务授权信息请求发送到策略决定服务器。该实施例的服务授权信息请求表明以下请求:策略决定服务器把对应于用户设备装置的授权策略信息包括在用户安全性设定包中。所述至少一个存储器和所存储的计算机程序代码配置成,利用所述至少一个处理器,附加地使得该实施例的设备执行以下操作:响应于服务授权信息请求,接收包括经过修改的用户安全性设定包的服务授权信息应答,所述经过修改的用户安全性设定包包括对应于用户设备装置的授权策略信息。所述至少一个存储器和所存储的计算机程序代码配置成,利用所述至少一个处理器,还使得该实施例的设备执行以下操作:至少部分地基于所接收到的经过修改的用户安全性设定包,使得将所请求的与安全性密钥有关的策略信息发送到服务提供节点。
在一些实施例中,针对与安全性密钥有关的策略信息的请求包括针对与用户设备装置提供给服务提供节点的安全性密钥信息相对应的与安全性密钥有关的策略信息的请求,以用于由服务提供节点根据通用自举体系结构认证来为用户设备装置授权。在这样的实施例中,用户安全性设定包包括通用自举体系结构用户安全性设定。
在一些实施例中,服务提供节点包括被配置成实施受访接入网发现和选择功能的节点。在一些实施例中,策略决定服务器包括被配置成实施归属接入网发现和选择功能的设备。
在一些实施例中,所述至少一个存储器和所存储的计算机程序代码配置成,利用所述至少一个处理器,使得所述设备执行以下操作:使得通过Zn接口发送服务授权信息请求以及接收服务授权信息应答。在一些实施例中,所述至少一个存储器和所存储的计算机程序代码配置成,利用所述至少一个处理器,使得所述设备根据直径协议发送服务授权信息请求,并且使得所述设备根据直径协议接收服务授权信息应答。在一些实施例中,所述至少一个存储器和所存储的计算机程序代码配置成,利用所述至少一个处理器,使得所述设备根据web服务协议发送服务授权信息请求,并且根据web服务协议来接收服务授权信息应答。
在一些实施例中,所述至少一个存储器和所存储的计算机程序代码配置成,利用所述至少一个处理器,使得所述设备执行以下操作:在将所请求的安全性密钥信息发送到服务提供节点之前,使用经过修改的用户安全性设定包来生成所请求的与安全性密钥有关的策略信息。
在一些实施例中,所述至少一个存储器和所存储的计算机程序代码配置成,利用所述至少一个处理器,使得所述设备执行以下操作:使得把针对用户安全性设定包的请求发送到存储用户安全性设定包的服务器。存储用户安全性设定包的服务器例如可以包括归属订户系统和/或类似系统。在这样的实施例中,所述至少一个存储器和所存储的计算机程序代码配置成,利用所述至少一个处理器,使得所述设备附加地执行以下操作:响应于针对用户安全性设定包的请求,接收对应于用户设备装置的用户安全性设定包。所述至少一个存储器和所存储的计算机程序代码可以配置成,利用所述至少一个处理器,进一步使得所述设备确定所接收到的用户安全性设定包是否包括特定于服务的授权标志,所述标志表明必须把用户安全性设定包转发到对应于所述服务的策略决定服务器进行处理,以便获得授权策略信息。所述至少一个存储器和所存储的计算机程序代码可以配置成,利用所述至少一个处理器,还使得所述设备执行以下操作:使得在所接收到的用户安全性设定包包括特定于服务的授权标志时发送服务授权信息请求。
在另一个示例性实施例中,提供一种设备,其包括用于接收针对用户设备装置的与安全性密钥有关的策略信息的请求的装置。该实施例的设备被配置成实施自举服务器功能并且驻留在归属网络上。该实施例的请求由受访网络上的服务提供节点发送。该实施例的用户设备装置登记到归属网络,并且试图访问受访网络的服务。该实施例的设备附加地包括用于使得将包括对应于用户设备装置的用户安全性设定包的服务授权信息请求发送到策略决定服务器的装置。该实施例的服务授权信息请求表明以下请求:策略决定服务器把对应于用户设备装置的授权策略信息包括在用户安全性设定包中。该实施例的设备还包括用于响应于服务授权信息请求而接收包括经过修改的用户安全性设定包的服务授权信息应答的装置,所述经过修改的用户安全性设定包包括对应于用户设备装置的授权策略信息。该实施例的设备还包括用于至少部分地基于所接收到的经过修改的用户安全性设定包而使得将所请求的与安全性密钥有关的策略信息发送到服务提供节点的装置。
在另一个示例性实施例中,提供一种方法,其包括在归属网络上的策略决定服务器处接收包括对应于用户设备装置的用户安全性设定包的服务授权信息请求,所述用户设备装置登记到归属网络并且试图访问受访网络的服务。该实施例的服务授权信息请求由归属网络上的自举服务器功能设备发送。该实施例的方法还包括:响应于接收到服务信息请求,处理对应于用户设备装置的授权策略。该实施例的方法附加地包括:通过把对应于用户设备装置的授权策略信息添加到用户安全性设定包来修改用户安全性设定包。该实施例的方法还包括:使得将包括经过修改的用户安全性设定包的服务授权信息应答发送到自举服务器功能设备,所述经过修改的用户安全性设定包包括对应于用户设备装置的授权策略信息。
在一些实施例中,授权策略信息被自举服务器功能设备使用来促进由受访网络上的服务提供节点根据通用自举体系结构认证对用户设备装置进行授权。在这样的实施例中,用户安全性设定包可以包括通用自举体系结构用户安全性设定。
在一些实施例中,策略决定服务器包括被配置成实施归属接入网发现和选择功能的设备。
在一些实施例中,接收服务授权信息请求包括通过Zn接口接收服务授权信息请求,并且使得发送服务授权信息应答包括使得通过Zn接口发送服务授权信息应答。在一些实施例中,接收服务授权信息请求包括根据直径协议接收服务授权信息请求,并且使得发送服务授权信息应答包括使得根据直径协议发送服务授权信息应答。在一些实施例中,接收服务授权信息请求包括根据web服务协议接收服务授权信息请求,并且使得发送服务授权信息应答包括使得根据web服务协议发送服务授权信息应答。
在一些实施例中,所述方法还包括:在处理授权策略之前,至少部分地根据关于包括在用户安全性设定包中的订户身份的指示确定对应于用户设备装置的授权策略。
在另一个示例性实施例中,提供一种计算机程序产品。该实施例的计算机程序产品包括至少一个计算机可读存储介质,其中存储有计算机可读程序指令。该实施例的程序指令包括被配置成使得接收服务授权信息请求的程序指令,其中,所述服务授权信息请求包括对应于用户设备装置的用户安全性设定包,所述用户设备装置登记到归属网络并且试图访问受访网络的服务。该实施例的服务授权信息请求由归属网络上的自举服务器功能设备发送。该实施例的程序指令还包括被配置成执行以下操作的程序指令:响应于接收到服务信息请求,处理对应于用户设备装置的授权策略。该实施例的程序指令附加地包括被配置成执行以下操作的程序指令:通过把对应于用户设备装置的授权策略信息添加到用户安全性设定包来修改用户安全性设定包。该实施例的程序指令还包括被配置成执行以下操作的程序指令:使得将服务授权信息应答发送到自举服务器功能设备,其中服务授权信息应答包括经过修改的用户安全性设定包,所述经过修改的用户安全性设定包包括对应于用户设备装置的授权策略信息。
在一些实施例中,授权策略信息被自举服务器功能设备使用来促进由受访网络上的服务提供节点根据通用自举体系结构认证对用户设备装置进行授权。在这样的实施例中,用户安全性设定包可以包括通用自举体系结构用户安全性设定。
在一些实施例中,被配置成使得接收服务授权信息请求的程序指令包括被配置成使得通过Zn接口接收服务授权信息请求的程序指令,并且被配置成使得发送服务授权信息应答的程序指令包括被配置成使得通过Zn接口发送服务授权信息应答的程序指令。在一些实施例中,被配置成使得接收服务授权信息请求的程序指令包括被配置成使得根据直径协议接收服务授权信息请求的程序指令,并且被配置成使得发送服务授权信息应答的程序指令包括被配置成使得根据直径协议发送服务授权信息应答的程序指令。在一些实施例中,被配置成使得接收服务授权信息请求的程序指令包括被配置成使得根据web服务协议接收服务授权信息请求的程序指令,并且被配置成使得发送服务授权信息应答的程序指令包括被配置成使得根据web服务协议发送服务授权信息应答的程序指令。
在一些实施例中,所述计算机程序产品还包括被配置成执行以下操作的程序指令:在处理授权策略之前,至少部分地根据关于包括在用户安全性设定包中的订户身份的指示确定对应于用户设备装置的授权策略。
在另一个示例性实施例中,提供一种设备。该实施例的设备包括至少一个处理器和至少一个存储计算机程序代码的存储器,其中所述至少一个存储器和所存储的计算机程序代码配置成,利用所述至少一个处理器,使得所述设备执行以下操作:至少接收包括对应于用户设备装置的用户安全性设定包的服务授权信息请求,所述用户设备装置登记到归属网络并且试图访问受访网络的服务。该实施例的服务授权信息请求由归属网络上的自举服务器功能设备发送。所述至少一个存储器和所存储的计算机程序代码配置成,利用所述至少一个处理器,进一步使得该实施例的设备执行以下操作:响应于接收到服务信息请求,处理对应于用户设备装置的授权策略。所述至少一个存储器和所存储的计算机程序代码配置成,利用所述至少一个处理器,附加地使得该实施例的设备执行以下操作:通过把对应于用户设备装置的授权策略信息添加到用户安全性设定包来修改用户安全性设定包。所述至少一个存储器和所存储的计算机程序代码配置成,利用所述至少一个处理器,还使得该实施例的设备执行以下操作:使得将包括经过修改的用户安全性设定包的服务授权信息应答发送到自举服务器功能设备,所述经过修改的用户安全性设定包包括对应于用户设备装置的授权策略信息。
在一些实施例中,授权策略信息被自举服务器功能设备使用来促进由受访网络上的服务提供节点根据通用自举体系结构认证对用户设备装置进行授权。在这样的实施例中,用户安全性设定包可以包括通用自举体系结构用户安全性设定。
在一些实施例中,所述设备被配置成充当策略决定服务器。策略决定服务器可以包括归属接入网发现和选择功能。
在一些实施例中,所述至少一个存储器和所存储的计算机程序代码配置成,利用所述至少一个处理器,使得所述设备通过Zn接口接收服务授权信息请求,并且使得通过Zn接口发送服务授权信息应答。在一些实施例中,所述至少一个存储器和所存储的计算机程序代码配置成,利用所述至少一个处理器,使得所述设备根据直径协议接收服务授权信息请求,并且使得根据直径协议发送服务授权信息应答。在一些实施例中,所述至少一个存储器和所存储的计算机程序代码配置成,利用所述至少一个处理器,使得所述设备根据web服务协议接收服务授权信息请求,并且使得根据web服务协议发送服务授权信息应答。
在一些实施例中,所述至少一个存储器和所存储的计算机程序代码配置成,利用所述至少一个处理器,进一步使得所述设备执行以下操作:在处理授权策略之前,至少部分地根据关于包括在用户安全性设定包中的订户身份的指示确定对应于用户设备装置的授权策略。
在另一个示例性实施例中,提供一种设备,其包括用于接收包括对应于用户设备装置的用户安全性设定包的服务授权信息请求的装置,所述用户设备装置登记到归属网络并且试图访问受访网络的服务。该实施例的服务授权信息请求由归属网络上的自举服务器功能设备发送。该实施例的设备还包括用于响应于接收到服务信息请求而处理对应于用户设备装置的授权策略的装置。该实施例的设备附加地包括用于通过把对应于用户设备装置的授权策略信息添加到用户安全性设定包来修改用户安全性设定包的装置。该实施例的设备还包括用于使得将包括经过修改的用户安全性设定包的服务授权信息应答发送到自举服务器功能设备的装置,所述经过修改的用户安全性设定包包括对应于用户设备装置的授权策略信息。
前面的概要仅仅被提供来概括本发明的一些示例性实施例,从而提供对于本发明的一些方面的基本理解。因此应当认识到,前面描述的示例性实施例仅仅是实例,并且不应当被解释为以任何方式收窄本发明的范围或精神。应当认识到,除了这里所概括的那些实施例之外,本发明的范围涵盖许多潜在的实施例,下面将进一步描述其中的一些。
附图说明
在如上一般性地描述了本发明的实施例之后,下面将参照附图,附图不一定是按比例绘制的,并且其中:
图1示出了根据本发明的一个示例性实施例的用于促进对漫游移动终端的授权的系统;
图2是根据本发明的一个示例性实施例的移动终端的示意性方框图;
图3示出了根据本发明的示例性实施例的可以在图1的系统的各个实体之间交换的信号的信令图,其用于促进对漫游移动终端的授权;以及
图4-5示出了根据本发明的示例性实施例的用于促进对漫游移动终端的授权的示例性方法的流程图。
具体实施方式
下面将参照附图更加详细地描述本发明的一些实施例,在附图中示出了本发明的一些而非所有实施例。实际上,本发明可以按照许多不同形式来具体实现并且不应当被解释成限制到这里所阐述的实施例;相反,这些实施例被提供来使得本公开内容将满足适用的法律要求。相同的附图标记贯穿全文指代相同的元件。
由网络实体使用来授权移动终端的服务使用的一种措施是要求移动终端自举在移动终端与移动终端的归属网络之间共享的安全性密钥。移动终端的归属网络可以包括该移动终端在其中登记的网络,比如由该移动终端的用户已订购的网络运营商所运营的网络。通用自举体系结构(GBA)是允许自举在移动终端与归属网络之间共享的安全性密钥的一种框架体系结构,所述安全性密钥随后可以被用来进一步导出用在移动终端与网络应用服务器之间的安全性密钥。在移动终端与归属网络之间共享的该安全性密钥通常被用来认证该移动终端并且在归属网络中许可服务授权。但是到目前为止,通过自举促进对漫游移动终端的授权被证明是成问题的,这是因为授权策略可能不是驻留在被设计成用于漫游的中央网络节点中,而是驻留在归属网络上的没有明确漫游接口的特定于服务的节点中。因此,当移动终端正在漫游并且试图访问受访网络或者访问由受访网络上的节点所提供的另一项服务时,受访网络上的网络节点可能无法访问对应于该移动终端的授权策略。
因此,这里描述的一些示例性实施例提供了用于促进对漫游移动终端的授权的系统、方法、设备以及计算机程序产品。图1示出了根据本发明的一个示例性实施例的用于促进对漫游移动终端的授权的系统100的方框图。应当认识到,系统100被提供为本发明的一个示例性实施例,而不应当被解释成以任何方式收窄本发明的范围或精神。应当认识到,除了这里所图示并描述的那些实施例之外,本发明的范围涵盖许多潜在的实施例。因此,虽然图1示出了促进对漫游移动终端的授权的系统的一个配置实例,但是许多其他配置也可以被用来实施本发明的实施例。此外还应当认识到,虽然在这里提到了特定类型的通信网络(例如LTE)和对应于通信网络上的系统实体的特定术语,但是本发明的实施例适用于不使用所提到的(多种)网络的标准的通信网络,并且适用于执行与这里所描述的功能类似的功能但是根据其他网络标准利用不同术语提到的系统实体。
此外还应当认识到,虽然在这里提到了通用自举体系结构(GBA)和通用认证体系结构(GAA),但是所提到的是作为可以结合本发明的实施例使用的授权移动终端的蜂窝认证体系结构的自举的一种标准框架的一个实例,以便允许受访网络上的服务提供节点根据本发明的实施例对漫游移动终端进行授权。因此应当认识到,本发明的示例性实施例还可以结合其他此类框架来使用。
在至少一些实施例中,系统100包括受访网络102和归属网络104。受访网络102和/或归属网络104可以包括分组交换公共陆地移动网络。在一个示例性实施例中,受访网络102和/或归属网络104包括根据LTE标准操作的网络。
受访网络102可以包括服务提供节点106,其被配置成向已授权用户设备装置108提供对于服务的访问。由服务提供节点106对之提供访问的服务例如可以包括访问受访网络102,或者可以包括可以由受访网络102上的节点对之提供访问的任何其他服务。在本发明的一些实施例中,服务提供节点106包括网络应用功能(NAF),其例如可以包括受访接入网发现和选择功能(ANDSF)。
归属网络104可以包括自举服务器功能设备(BSF)110、归属订户系统(HSS)112以及策略决定服务器(PDS)114。虽然没有示出,但是归属网络104还可以包括归属位置寄存器(HLR)或者认证、授权和记账(AAA)服务器。AAA、HLR和/或HSS可以包括数据库,所述数据库包含对应于访问授权的密码信息以及对应于登记到归属网络104的用户设备装置108的用户身份信息,并且例如可以存储对应于登记到归属网络104的用户设备装置108的用户安全性设定包。因此,每当在下文中使用术语HSS时,该术语应当被视为一个实例,并且可以被HLR、AAA或者被存储这种密码信息的另一个数据库或设备所替换。BSF 110可以包括被配置成允许在用户设备装置(例如用户设备装置108)与BSF 110之间共享的(多个)密钥的自举的服务器。在一个示例性实施例中,HSS 112可以存储用户的和/或用户设备装置108的用户安全性设定(USS)的完整集合,其在这里被称作USS包。在一个实施例中,USS包包括GBA用户安全性设定(GUSS)。在一些实施例中,PDS 114包括归属ANDSF。
系统100还可以包括用户设备装置(UE)108。UE 108可以登记到归属网络104。在这方面,UE 108的用户可以订购由归属网络104的运营商提供的网络访问。UE 108可以漫游到归属网络104所提供的网络访问覆盖区域之外,并且漫游到由受访网络102提供的网络访问覆盖区域。UE 108可以被具体实现为台式计算机、膝上型计算机、移动终端、移动计算机、移动电话、移动通信装置、游戏装置、数码相机/摄录一体机、音频/视频播放器、电视机、无线电接收器、数字视频记录器、定位装置及其任意组合等等,并且被配置成访问受访网络102和归属网络104。在一些实施例中,UE 108被配置成根据LTE标准访问受访网络102和/或归属网络104。在一个示例性实施例中,UE 108被具体实现为移动终端,正如图2种所示出的那样。
在这方面,图2示出了代表根据本发明的实施例的UE 108的一个实施例的移动终端10的方框图。但是应当理解的是,所示出并且在下文中描述的移动终端10仅仅是说明可以实施并且/或者受益于本发明的实施例的一种类型的UE 108,因此不应当被视为限制本发明的范围。虽然出于举例的目的示出了电子器件的几个实施例并且将在下文中进行描述,但是其他类型的电子器件(比如移动电话、移动计算机、便携式数字助理(PDA)、寻呼机、膝上型计算机、台式计算机、游戏装置、电视以及其他类型的电子系统)也可以采用本发明的实施例。
如图所示,移动终端12可以包括与发送器14和接收器16进行通信的天线12(或多个天线12)。所述移动终端还可以包括控制器20或其他(多个)处理器,其分别向/从发送器和接收器提供及接收信号。这些信号可以包括根据适用的蜂窝系统的空中接口标准以及/或者许多不同的有线或无线联网技术的信令信息,其中包括(但不限于)无线保真(Wi-Fi)、无线局域网(WLAN)技术(比如电气和电子工程师协会(IEEE)802.11)等等。此外,这些信号还可以包括语音数据、用户生成的数据、用户请求的数据等等。在这方面,所述移动终端可以能够利用一种或更多种空中接口标准、通信协议、调制类型、接入类型等等进行操作。更具体来说,所述移动终端可以能够根据多种第一代(1G)、第二代(2G)、2.5G、第三代(3G)通信协议、第四代(4G)通信协议、互联网协议多媒体子系统(IMS)通信协议(例如会话发起协议(SIP))等等进行操作。举例来说,所述移动终端可以能够根据2G无线通信协议IS-136(时分多址(TDMA))、全球移动通信系统(GSM)、IS-95(码分多址(CDMA))等等进行操作。此外,所述移动终端例如可以能够根据2.5G无线通信协议通用分组无线电服务(GPRS)、增强数据GSM环境(EDGE)等等进行操作。此外,所述移动终端例如可以能够根据3G无线通信协议,比如通用移动电信系统(UMTS)、码分多址2000(CDMA2000)、宽带码分多址(WCDMA)、时分同步码分多址(TD-SCDMA)等等进行操作。所述移动终端可以附加地能够根据3.9G无线通信协议,比如长期演进(LTE)或演进型通用地面无线接入网(E-UTRAN)等等进行操作。此外,所述移动终端例如可以能够根据第四代(4G)无线通信协议等等以及未来可能开发的类似无线通信协议进行操作。
一些窄带高级移动电话系统(NAMPS)以及全接入通信系统(TACS)移动终端,比如双模式或更高模式电话(例如数字/模拟或TDMA/CDMA/模拟电话)也可以受益于本发明的实施例。此外,移动终端10可以能够根据无线保真(Wi-Fi)或全球微波接入互操作性(WiMAX)协议进行操作。
应当理解的是,控制器20可以包括用于实施移动终端10的音频/视频以及逻辑功能的电路。举例来说,控制器20可以包括数字信号处理器器件、微处理器器件、模拟-数字转换器、数字-模拟转换器等等。可以根据其对应的能力在这些器件之间分配移动终端的控制和信号处理功能。所述控制器可以附加地包括内部话音编码器(VC)20a、内部数据调制解调器(DM)20b等等。此外,所述控制器可以包括用以操作可被存储在存储器中的一个或更多软件程序的功能。举例来说,控制器20可以能够操作诸如web浏览器之类的连接性程序。所述连接性程序可以允许移动终端10根据某种协议(比如无线应用协议(WAP)、超文本传输协议(HTTP)等等)发送及接收web内容(比如基于位置的内容)。移动终端10可以能够使用传输控制协议/互联网协议(TCP/IP)在因特网或其他网络上发送及接收web内容。
移动终端10还可以包括用户接口,其中例如包括可以可操作地耦合到控制器20的耳机或扬声器24、振铃器22、麦克风26、显示器28、用户输入接口等等。虽然没有示出,但是所述移动终端可以包括用于为与该移动终端关联的各种电路(比如用以提供机械震动以作为可检测的输出的电路)供电的电池组。用户输入接口可以包括允许移动终端接收数据的器件,比如小键盘30、触摸显示器(未示出)、操纵杆(未示出)和/或其他输入器件。在包括小键盘的实施例中,所述小键盘可以包括数字键(0-9)和有关按键(#、*)以及/或者用于操作移动终端的其他按键。
如图2中所示,移动终端10还可以包括一个或更多用于共享和/或获得数据的装置。举例来说,所述移动终端可以包括短距离射频(RF)收发器和/或查询器64,从而可以根据RF技术与电子器件共享数据和/或从中获得数据。所述移动终端可以包括其他短距离收发器,比如红外(IR)收发器66、利用由BluetoothTM特殊兴趣组开发的BluetoothTM品牌无线技术进行操作的BluetoothTM(BT)收发器68、无线通用串行总线(USB)收发器70等等。BluetoothTM收发器68可以能够根据超低功率BluetoothTM技术(例如WibreeTM)无线电标准进行操作。在这方面,移动终端10(特别是所述短距离收发器)可以能够向/从该移动终端附近(例如10米内)的电子器件发送数据和/或接收数据。虽然没有示出,但是所述移动终端可以能够根据多种无线联网技术,其中包括无线保真(Wi-Fi)、诸如IEEE 802.11技术之类的WLAN技术等等向/从电子器件发送和/或接收数据。
移动终端10可以包括存储器,比如订户身份模块(SIM)38、可移动用户身份模块(R-UIM)等等,其可以存储与移动订户有关的信息元素。除了SIM之外,所述移动终端还可以包括其他可移动和/或固定存储器。移动终端10可以包括易失性存储器40和/或非易失性存储器42。举例来说,易失性存储器40可以包括随机存取存储器(RAM)(其中包括动态和/或静态RAM)、芯片上或芯片外高速缓冲存储器等等。非易失性存储器42可以是嵌入式和/或可移动的,其例如可以包括只读存储器、闪速存储器、磁性存储器件(例如硬盘、软盘驱动器、磁带等等)、光盘驱动器和/或介质、非易失性随机存取存储器(NVRAM)等等。与易失性存储器40一样,非易失性存储器42可以包括用于临时存储数据的高速缓存区域。所述存储器可以存储一个或更多软件程序、指令、信息、数据等等,其可以被移动终端使用来执行该移动终端10的各项功能。举例来说,所述存储器可以包括一个标识符,比如国际移动设备标识(IMEI)代码,其能够唯一地标识移动终端10。
回到图1,通过接口建立系统100中的各个实体之间的通信。举例来说,UE 108可以通过第一接口(Ua)120(例如通过互联网协议、超文本传输协议摘要等等)与服务提供节点106通信。UE 108可以通过第二接口(Ub)122(例如通过认证和密钥协商(AKA)协议)与BSF 110通信。服务提供节点106可以通过第三接口(Zn)124(例如通过直径(DIAMETER)或web服务协议)与BSF 110通信。BSF110可以通过第四接口(Zh)126(例如通过直径、半径(RADIUS)或消息应用协议(MAP)协议)与HSS 112(以及/或者HLR和AAA服务器,如果适用的话)通信。BSF 110可以通过Zn接口128(例如通过直径或web服务协议)与PDS 114通信。应当认识到,虽然没有在图1中示出,但是Ua接口120、Ub接口122、Zn接口124、Zh接口126或Zn接口128当中的一个或更多个可以包括一个或更多代理或其他中间节点,其被配置成转发通过对应的接口发送的数据。
在一个示例性实施例中,BSF 110包括用于执行这里所描述的各项功能的各种装置,比如一个或更多处理器130、存储器132、通信接口134或者授权策略传输单元136。这里所描述的BSF 110的这些装置例如可以被具体实现为硬件元件(例如适当编程的处理器、组合逻辑电路等等)、包括存储在计算机可读介质(例如存储器132)上并且可由适当配置的处理器件(例如处理器130)执行的计算机可读程序指令(例如软件或固件)的计算机程序产品或者其某种组合。
处理器130例如可以被具体实现为多种装置,其中包括伴有(多个)数字信号处理器的一个或更多微处理器、没有数字信号处理器相伴的一个或更多处理器、一个或更多协处理器、一个或更多控制器、处理电路、一台或更多台计算机、包括诸如ASIC(专用集成电路)或FPGA(现场可编程门阵列)之类的集成电路的各种其他处理元件或者其某种组合。相应地,虽然在图1中被示出为单个处理器,但是在一些实施例中,处理器130包括多个处理器。所述多个处理器可以适于彼此通信,并且可以一起被配置成执行这里所描述的BSF 110的一项或更多项功能。所述多个处理器可以被具体实现在单个计算设备或多个计算设备上,其可以一起被配置成充当BSF 110。在一个示例性实施例中,处理器130被配置成执行存储在存储器132中或者可以否则可由处理器130所访问的指令。这些指令在由处理器130执行时可以使得BSF 110执行这里所描述的BSF 110的一项或更多项功能。因此,不管是由硬件或软件方法还是由其组合配置,处理器130可以包括能够在相应地被配置时根据本发明的实施例执行操作的实体。因此,例如当处理器130被具体实现为ASIC、FPGA等时,处理器130可以包括专门配置的硬件以用于实施这里所描述的一项或更多项操作。或者,作为另一个例子,当处理器130被具体实现为指令执行器时,所述指令可以专门配置处理器130以执行这里所描述的一项或更多项算法和操作。
存储器132例如可以包括易失性和/或非易失性存储器。虽然在图1中被示出为单个存储器,但是存储器132可以包括多个存储器。存储器132可以包括易失性存储器、非易失性存储器或其某种组合。在这方面,存储器132例如可以包括硬盘、随机存取存储器、高速缓冲存储器、闪速存储器、紧致盘只读存储器(CD-ROM)、数字通用盘只读存储器(DVD-ROM)、光盘、被配置成存储信息的电路或其某种组合。存储器132可以被配置成存储信息、数据、应用、指令等等,以便允许BSF 110根据本发明的实施例实施各项功能。举例来说,在至少一些实施例中,存储器132被配置成缓冲输入数据以供处理器130处理。附加地或替换地,在至少一些实施例中,存储器132被配置成存储程序指令以供处理器130执行。存储器132可以按照静态和/或动态信息的形式存储信息。所存储的该信息可以由授权策略传输单元136在执行其功能的过程中存储和/或使用。
通信接口134可以被具体实现为任何器件或装置,其可以用硬件、包括存储在计算机可读介质(例如存储器132)上并且由处理器件(例如处理器130)执行的计算机可读程序指令的计算机程序产品或者其被配置成从/向系统100的远程实体接收和/或发送数据的某种组合来具体实现。在这方面,通信接口134可以被配置成通过Zn接口124与服务提供节点106通信,通过Ub接口122与用户设备装置108通信,通过Zh接口126与HSS 112通信,并且/或者通过Zn接口128与PDS 114通信。在至少一个实施例中,通信接口134至少部分地被具体实现为或者以其他方式由处理器130控制。在这方面,通信接口134可以例如通过总线与处理器130通信。通信接口134例如可以包括天线、发送器、接收器、收发器以及/或者用于允许与系统100的其他实体进行通信的支持硬件或软件。通信接口134可以被配置成利用可以被用于系统100的各个实体之间的通信的任何协议来接收和/或发送数据。通信接口134可以附加地例如通过总线与存储器132和/或授权策略传输单元136进行通信。
授权策略传输单元136可以被具体实现为多种装置,比如硬件、包括存储在计算机可读介质(例如存储器132)上并且由处理器件(例如处理器130)执行的计算机可读程序指令的计算机程序产品或者其某种组合,并且在一个实施例中被具体实现为或者以其他方式由处理器130控制。在其中授权策略传输单元136与处理器130分开具体实现的实施例中,授权策略传输单元136可以与处理器130进行通信。授权策略传输单元136还可以例如通过总线与存储器132和/或通信接口134进行通信。
在一个示例性实施例中,PDS 114包括用于执行这里所描述的各项功能的各种装置,比如一个或更多处理器140、存储器142、通信接口144或者授权策略处理单元146。这里所描述的PDS 114的这些装置例如可以被具体实现为硬件元件(例如适当编程的处理器、组合逻辑电路等等)、包括存储在计算机可读介质(例如存储器142)上并且可由适当配置的处理器件(例如处理器140)执行的计算机可读程序指令(例如软件或固件)的计算机程序产品或者其某种组合。
处理器140例如可以被具体实现为多种装置,其中包括伴有(多个)数字信号处理器的一个或更多微处理器、没有数字信号处理器相伴的一个或更多处理器、一个或更多协处理器、一个或更多控制器、处理电路、一台或更多台计算机、包括诸如ASIC(专用集成电路)或FPGA(现场可编程门阵列)之类的集成电路的各种其他处理元件或者其某种组合。相应地,虽然在图1中被示出为单个处理器,但是在一些实施例中,处理器140包括多个处理器。所述多个处理器可以被具体实现在单个计算设备上或分布在多个计算设备当中,其可以一起被配置成充当PDS 114。所述多个处理器可以适于彼此通信,并且可以一起被配置成执行这里所描述的PDS 114的一项或更多项功能。在一个示例性实施例中,处理器140被配置成执行存储在存储器142中或者可以通过其他方式为处理器140所访问的指令。这些指令在由处理器140执行时可以使得PDS 114执行这里所描述的PDS 114的一项或更多项功能。因此,不管是由硬件或软件方法还是由其组合配置,处理器140可以包括能够在相应地被配置时根据本发明的实施例执行操作的实体。因此,例如当处理器140被具体实现为ASIC、FPGA等时,处理器140可以包括专门配置的硬件以用于实施这里所描述的一项或更多项操作。或者,作为另一个例子,当处理器140被具体实现为指令执行器时,所述指令可以专门配置处理器140以执行这里所描述的一项或更多项算法和操作。
存储器142例如可以包括易失性和/或非易失性存储器。虽然在图1中被示出为单个存储器,但是存储器142可以包括多个存储器。存储器142可以包括易失性存储器、非易失性存储器或其某种组合。在这方面,存储器142例如可以包括硬盘、随机存取存储器、高速缓冲存储器、闪速存储器、紧致盘只读存储器(CD-ROM)、数字通用盘只读存储器(DVD-ROM)、光盘、被配置成存储信息的电路或其某种组合。存储器142可以被配置成存储信息、数据、应用、指令等等,以便允许PDS 114根据本发明的实施例实施各项功能。举例来说,在至少一些实施例中,存储器142被配置成缓冲输入数据以供处理器140处理。附加地或替换地,在至少一些实施例中,存储器142被配置成存储程序指令以供处理器140执行。存储器142可以按照静态和/或动态信息的形式存储信息。所存储的该信息可以由授权策略处理单元146在执行其功能的过程中存储和/或使用。
通信接口144可以被具体实现为任何器件或装置,其可以用硬件、包括存储在计算机可读介质(例如存储器142)上并且由处理器件(例如处理器140)执行的计算机可读程序指令的计算机程序产品或者其被配置成从/向系统100的远程实体接收和/或发送数据的某种组合来具体实现。在这方面,通信接口144可以被配置成通过Zn接口128与BSF 110通信。在至少一个实施例中,通信接口144至少部分地被具体实现为或者以其他方式由处理器140控制。在这方面,通信接口144可以例如通过总线与处理器140通信。通信接口144例如可以包括天线、发送器、接收器、收发器以及/或者用于允许与系统100的其他实体进行通信的支持硬件或软件。通信接口144可以被配置成利用可以被用于系统100的各个计算实体之间的通信的任何协议来接收和/或发送数据。通信接口144可以附加地例如通过总线与存储器142和/或授权策略处理单元146进行通信。
授权策略处理单元146可以被具体实现为多种装置,比如硬件、包括存储在计算机可读介质(例如存储器142)上并且由处理器件(例如处理器140)执行的计算机可读程序指令的计算机程序产品或者其某种组合,并且在一个实施例中被具体实现为或者以其他方式由处理器140控制。在其中授权策略处理单元146与处理器140分开具体实现的实施例中,授权策略传输单元146可以与处理器140进行通信。授权策略处理单元146还可以例如通过总线与存储器142和/或通信接口144进行通信。
UE 108可以被配置成通过Ua接口120发送针对访问可经由服务提供节点106访问的服务的请求而发起授权处理。在其中服务提供节点106被具体实现为受访ANDSF的实施例中,UE 108可以请求访问受访网络102。所述请求可以包括使得服务提供节点106能够获取用于授权UE 108的密钥并且/或者保护协议Ua的足够信息。由UE 108提供的信息例如可以包括自举事务标识符(B-TID)。在一个实施例中,由UE 108提供的信息是根据GBA认证框架标准而提供的。
响应于接收到来自UE 108的请求,服务提供节点106通过Zn接口124发起与BSF 110的协议Zn,并且向BSF 110发送针对与安全性密钥有关的策略信息的请求。在这方面,服务提供节点106可以发送针对安全性密钥、密钥材料(例如密钥使用寿命等等)、用户安全性设定、策略信息等等的请求。所请求的与安全性密钥有关的策略信息可以是特定于服务提供节点106(例如特定于所请求的服务的与密钥有关的信息),并且可以对应于由UE 108在发起协议Ua时提供到服务提供节点106的安全性密钥信息(例如B-TID)。
授权策略传输单元136可以被配置成通过Zn接口124接收由服务提供节点106发送的针对与安全性密钥有关的策略信息的请求。响应于接收到针对与安全性密钥有关的策略信息的请求,授权策略传输单元136可以被配置成通过Zh接口126向HSS 112发送针对UE 108的认证矢量(AV)和/或USS包的请求。HSS 112可以随后向BSF 110发送所请求的认证矢量和/或USS包,其可以由授权策略传输单元136接收。在一个实施例中,所述USS包包括GUSS包。授权策略传输单元136可以被配置成确定所接收到的USS包是否包括特定于服务的授权标志,所述授权标志表明必须将该USS包转发到PDS 114进行处理以便获得附加的授权信息。当授权策略传输单元136确定所接收到的USS包包括特定于服务的授权标志时,授权策略传输单元136可以向PDS 114发送包括所述USS包的服务授权信息请求。服务授权信息请求表明针对由PDS 114把对应于UE 108、对应于服务提供节点106和/或对应于UE 108请求访问的服务的授权策略信息包括在所述USS包中的请求。在其中服务提供节点106包括NAF的实施例中,服务授权信息请求可以表明针对由PDS 114包括对应于该NAF的授权策略信息的请求。
在一些实施例中,授权策略传输单元136被配置成根据直径协议发送服务授权信息请求。在其中授权策略传输单元136被配置成根据直径协议发送服务授权信息请求的一个实施例中,服务授权信息请求具有下面的示例性格式,其中的消息内容是按照与3GPP TS 29.229中相同的格式指定的。在这方面,所述示例性格式中的花括号表示强制属性值对(AVP),并且所述示例性格式中的方括号表示可选AVP。在所述示例性格式中提到的地址指代完全合格主机名称(FQDN)。
Address of BSF-BSF地址
Realm of BSF-BSF域
Realm of PDS-PDS域
Address of the PDS-PDS地址
Service identifiers-服务标识符
Selected USSs-所选USS
NAF_ID of service-服务的NAF_ID
该实施例的Vendor-Specific-Application-ID(特定于卖主的应用ID)的内容为:
<Vendor-Specific-Application-Id>::=<AVP header:260>
1*[Vendor-Id] ;3GPP is 10415
0*1{Auth-Application-Id} ;16777220
0*1{Acct-Application-Id} ;Omitted
3GPP is 10415-3GPP是10415
Omitted-省略
该实施例的服务授权信息请求中的Destination-Realm(目的地域)AVP被设定到订户的PDS。PDS 114的地址对于相应的服务是BSF110所知的。
在一些实施例中,授权策略传输单元136被配置成根据web服务协议发送服务授权信息请求。在其中授权策略传输单元136被配置成根据web服务协议发送服务授权信息请求的一个实施例中,服务授权信息请求具有下面的示例性格式,其中消息内容的模式是按照与web服务定义语言(WSDL)中相同的格式指定的。
发送到PDS 114的简单对象访问协议(SOAP)消息(例如该实施例的消息的统一资源标识符(URI))包含配置在BSF 110中的PDS114地址。
该实施例的“nafid”包括服务提供节点106的标识。
授权策略处理单元146在一个示例性实施例中被配置成接收由BSF 110发送并且包括对应于UE 108的USS包的服务授权信息请求。服务授权信息请求可以由BSF 110发送。授权策略处理单元146可以被配置成通过Zn接口128接收服务授权信息请求。服务授权信息请求可以包括与UE 108相关联的用户标识符。所述用户标识符在一个实施例中包括互联网协议多媒体私有标识符(IMPI),其例如可以被包括在根据直径协议格式化并发送的服务授权信息请求的User-Name(用户名)字段中。附加地或替换地,所述用户标识符在一个实施例中包括互联网协议多媒体公共身份(IMPU)。至少部分地基于包括在所接收到的服务授权信息请求中的用户标识符,授权策略处理单元146可以被配置成访问存储在存储器142中的授权策略以便确定与UE108相关联、与服务提供节点106相关联和/或与UE 108所请求的服务相关联的授权策略,并且随后获取所确定的授权策略。
在本发明的至少一些实施例中,授权策略处理单元146被配置成处理所获取的授权策略。授权策略处理单元146可以根据本地漫游策略处理授权策略。授权策略处理单元146可以被配置成修改在服务授权信息请求消息中接收到的USS包,这是通过将从处理授权策略得到的授权策略信息添加到所述USS包中而实现的。授权策略处理单元146可以进一步被配置成生成包括经过修改的USS包的服务授权信息应答,并且例如通过Zn接口128把服务授权信息应答发送到BSF110。
在一些实施例中,授权策略处理单元146被配置成根据直径协议发送服务授权信息应答。在其中授权策略处理单元146被配置成根据直径协议发送服务授权信息应答的一个实施例中,服务授权信息应答具有下面的示例性格式,其中的消息内容是按照与3GPP TS 29.229中相同的格式指定的。在这方面,所述示例性格式的花括号表示强制AVP,并且所述示例性格式的方括号表示可选AVP。在所述示例性格式中提到的地址指代完全合格主机名称(FQDN)。
Address of PDS-PDS地址
Realm of PDS-PDS域
Realm of BSF-BSF域
Address of the BSF-BSF地址
Selected USSs-所选USS
在一些实施例中,授权策略处理单元146被配置成根据web服务协议发送服务授权信息应答。在其中授权策略处理单元146被配置成根据web服务协议发送服务授权信息应答的一个实施例中,服务授权信息应答具有下面的示例性格式,其中消息内容的模式是按照与web服务定义语言(WSDL)中相同的格式指定的。
“impi”元素是可选的。
该实施例的“btid”元素包含自举事务标识符。
“nafid”元素可以包含服务提供节点106的身份。
该实施例的“ussList”元素包含经过修改的USSS包。
在服务授权信息应答中还可以包括一个或更多“扩展”元素,其包括附加的数据。
授权策略传输单元136在本发明的一个实施例中被配置成接收由PDS 114发送的服务授权信息应答。响应于接收到服务授权信息应答,授权策略传输单元136可以被配置成从服务授权信息应答中提取出经过修改的USS包。所述经过修改的USS包可以包括服务提供节点106所请求的与安全性密钥有关的策略信息的至少一部分。在一个实施例中,授权策略传输单元136被配置成至少部分地基于所述经过修改的USS包生成所请求的与安全性密钥有关的策略信息的至少一部分。授权策略传输单元136可以被配置成向服务提供节点106发送所请求的与安全性密钥有关的策略信息,服务提供节点106随后可以至少部分地基于所请求的安全性密钥信息来认证UE 108。除了与安全性密钥有关的策略信息之外,授权策略传输单元136可以附加地向服务提供节点106发送和所述与安全性密钥有关的策略信息相关联的一个或更多安全性密钥。
在一个替换实施例中,授权策略传输单元136被配置成向PDS 114发送不包括USS包的服务授权信息请求。在该替换实施例中,授权策略处理单元146被配置成通过确定对应于UE 108的授权策略并且在不处理所述授权策略的情况下将授权策略发送到BSF 110而做出响应。授权策略传输单元136在该替换实施例中被配置成处理授权策略并且把USS包修改成包括通过处理授权策略而得到的授权策略信息。
在另一个替换实施例中,授权策略处理单元146被配置成把存储在存储器142中的授权策略数据与HSS 112同步,从而使得HSS 112存储从PDS 114拷贝的授权策略。当授权策略传输单元136在该替换实施例中向HSS 112发送针对UE 108的USS包的请求时,HSS 112还可以向BSF 110提供适当的授权策略。在该替换实施例中,授权策略传输单元136可以被配置成处理由HSS 112提供的授权策略,并且将USS包修改成包括通过处理授权策略而得到的授权策略信息。或者,在该替换实施例中,授权策略传输单元136可以被配置成把授权策略和USS包转发到服务提供节点106,服务提供节点106随后可以处理并施行授权策略。
图3示出了根据本发明的示例性实施例的可以在BSF 110与PDS114之间交换的信号的信令图,其用于促进对漫游移动终端的授权。操作300可以包括:由授权策略传输单元136确定需要联系PDS 114,以便获得附加的授权信息(例如除了包含在对应于UE 108的USS包中的之外的授权信息)。操作302可以包括:由授权策略传输单元136向PDS 114发送包括USS包的服务授权信息请求。授权策略处理单元146可以接收服务授权信息请求,并且至少部分地基于包括在服务授权信息请求中的用户标识符而确定授权策略。在操作304中,授权策略处理单元146可以处理所确定的授权策略以便确定附加的授权信息,并且把USS包修改成包括通过所述处理而得到的附加授权信息。操作306可以包括:由授权策略处理单元146向BSF 110发送包括经过修改的USS包的服务授权信息应答。
图4示出了根据本发明的一个示例性实施例的用于促进对漫游移动终端的授权的示例性方法的流程图。在这方面,图4示出了可以在BSF 110处发生的操作。在操作400中,所述方法可以包括:由授权策略传输单元136接收针对UE的与安全性密钥有关的策略信息的请求。操作410可以包括:由授权策略传输单元136向HSS 112发送针对UE 108的USS包的请求。在操作420中,授权策略传输单元136可以响应于发送到HSS 112的请求而接收USS。操作430可以包括:由授权策略传输单元136确定必须把所接收到的USS包转发到PDS114进行处理,以便获得授权策略信息。在操作440中,授权策略传输单元136可以向PDS 114发送包括USS包的服务授权信息请求。操作450可以包括:由授权策略传输单元136接收包括经过修改的USS包的服务授权信息应答,所述经过修改的USS包包括授权策略信息。在操作460中,授权策略传输单元136可以向服务提供节点106发送所请求的与安全性密钥有关的策略信息。可以至少部分地基于所接收到的经过修改的USS包来选择和/或生成与安全性密钥有关的策略信息。
图5示出了根据本发明的一个示例性实施例的用于促进对漫游移动终端的授权的示例性方法的流程图。在这方面,图5示出了可以在PDS 114处发生的操作。在操作500中,所述方法可以包括:由授权策略处理单元146接收包括对应于UE 108的USS包的服务授权信息请求。操作510可以包括:由授权策略处理单元146确定对应于UE的授权策略。授权策略处理单元146可以至少部分地基于包括在服务授权信息请求中的用户标识符来确定授权策略。操作520可以包括:由授权策略处理单元146处理所确定的授权策略。在操作530中,授权策略处理单元146可以通过将从所述处理得到的授权策略信息添加到USS包中来修改所述USS包。操作540可以包括:由授权策略处理单元146向BSF 110发送包括经过修改的USS包的服务授权信息应答。
图4-5是根据本发明的示例性实施例的系统、方法和计算机程序产品的流程图。应当理解的是,所述流程图的每一个方框和流程图中的方框组合都可以通过多种措施来实施,比如硬件和/或包括其上存储有计算机可读程序指令的一个或更多计算机可读介质的计算机程序产品。举例来说,这里所描述的一个或更多规程可以通过包括计算机程序指令的计算机程序产品来具体实现。在这方面,具体实现这里所描述的规程的(多个)计算机程序产品可以由移动终端、服务器或其他计算设备的一个或更多存储器器件存储并且由计算设备中的处理器执行。在一些实施例中,构成具体实现前面所描述的规程的(多个)计算机程序产品的计算机程序指令可以由多个计算设备的存储器器件存储。应当认识到,任何此类计算机程序产品都可以被加载到计算机或其他可编程设备上以便产生一台机器,从而使得包括在计算机或其他可编程设备上执行的指令的计算机程序产品产生用于实施在(多个)流程图方框中指定的功能的装置。此外,所述计算机程序产品可以包括其上可以存储计算机程序指令的一个或更多计算机可读存储器,从而所述一个或更多计算机可读存储器可以指导计算机或其他可编程设备按照特定方式运作,从而所述计算机程序产品构成实施在(多个)流程图方框中指定的功能的制造产品。一个或更多计算机程序产品的计算机程序指令也可以被加载到计算机或其他可编程设备上,从而使得在计算机或其他可编程设备上执行一系列操作,以便产生计算机实施的处理,从而在计算机或其他可编程设备上执行的指令实施在(多个)流程图方框中指定的功能。
相应地,各个流程图方框支持用于执行指定的功能的装置组合以及用于执行指定的功能的操作组合。还应当理解的是,所述流程图的一个或更多方框以及流程图中的方框组合可以通过执行指定的功能或步骤的基于专用硬件的计算机系统或者专用硬件与(多个)计算机程序产品的组合来实施。
可以通过许多方式来实施前面描述的功能。举例来说,可以采用实施前面描述的每一项功能的任何适当装置来实施各示例性实施例。在一个实施例中,一个适当配置的处理器可以提供所有或一部分元件。在另一个实施例中,所有或一部分元件可以由计算机程序产品配置并且在其控制下操作。用于执行本发明的实施例的方法的计算机程序产品包括计算机可读存储介质(比如非易失性存储介质)以及具体实现在计算机可读存储介质中的计算机可读程序代码部分(比如一系列计算机指令)。
这样,本发明的一些实施例就为计算设备、计算设备用户、网络运营商和网络服务提供商提供了几方面的优点。一些示例性实施例提供在移动终端与归属网络之间共享的安全性密钥的自举,以便当移动终端在受访网络上漫游时对移动终端进行授权。在这方面,本发明的一些示例性实施例规定,把与安全性密钥有关的策略信息(例如授权策略信息)从移动终端的归属网络中的一个或更多节点传输到受访网络上的服务提供节点,从而使得服务提供节点可以确定移动终端的授权状态,并且相应地对于发出请求的移动终端管理访问。所请求的服务可以包括访问受访网络或者可以包括访问某项其他服务。一些示例性实施例规定,把包括对应于移动终端的授权策略信息的用户安全性设定包从归属网络上的自举服务器功能设备传输到受访网络上的服务提供节点。一些示例性实施例限制由于把与安全性密钥有关的策略信息传输到受访网络上的服务提供节点而对自举服务器功能设备造成的影响,这是通过扩展归属网络上的自举服务器功能设备与策略决定服务器之间的Zn接口而实现的,从而使得策略决定服务器负责处理对应于移动终端的授权策略,并且把用户安全性设定包修改成包括授权策略信息以用于传输到受访网络上的服务提供节点。在一些实施例中,策略决定服务器包括归属网络上的存储对应于特定服务和移动终端(例如对应于移动终端的用户)的详细授权策略的应用服务器。
受益于在前面的描述和附图中给出的教导,本发明的相关领域内的技术人员将会想到这里所阐述的本发明的许多修改和其他实施例。因此应当理解的是,本发明的实施例不限于所公开的具体实施例,并且应当把修改和其他实施例包括在所附权利要求书的范围内。此外,虽然前面的描述和相关联的附图在元件和/或功能的特定示例性组合的情境中描述了示例性实施例,但是应当认识到,在不背离所附权利要求书的范围的情况下,可以由替换实施例提供元件和/或功能的不同组合。在这方面,例如还设想到可以在其中一些所附权利要求中阐述不同于前面明确描述的元件和/或功能组合。虽然在这里采用了的特定术语,但其仅是以一般性和描述性的意义来使用的,而不是为了进行限制。
Claims (32)
1.一种用于促进对漫游移动终端的授权的方法,包括:
在归属网络上的自举服务器功能设备处接收针对用户设备装置的与安全性密钥有关的策略信息的请求,所述请求是从受访网络发送的,其中用户设备装置登记到归属网络并且试图访问受访网络的服务;
在所述自举服务器功能设备处,使得发送包括对应于用户设备装置的用户安全性设定包的服务授权信息请求到策略决定服务器,其中服务授权信息请求表明将对应于用户设备装置的授权策略信息包括在用户安全性设定包中的请求;
在所述自举服务器功能设备处,响应于服务授权信息请求,从所述策略决定服务器接收包括经过修改的用户安全性设定包的服务授权信息应答,所述经过修改的用户安全性设定包包括对应于用户设备装置的授权策略信息,其中所述策略决定服务器被配置成实施归属接入网发现和选择功能;以及
在所述自举服务器功能设备处,至少部分地基于所接收到的经过修改的用户安全性设定包,使得发送所请求的与安全性密钥有关的策略信息到所述策略决定服务器。
2.根据权利要求1的方法,其中针对安全性密钥信息的请求包括针对与用户设备装置提供给服务提供节点的安全性密钥信息相对应的安全性密钥信息的请求,以用于由服务提供节点根据通用自举体系结构认证来为用户设备装置授权,并且其中用户安全性设定包包括通用自举体系结构用户安全性设定。
3.根据权利要求2的方法,其中服务提供节点包括被配置成实施受访接入网发现和选择功能的节点。
4.根据权利要求3的方法,其中:
使得发送服务授权信息请求包括使得通过Zn接口发送服务授权信息请求;并且
接收服务授权信息应答包括通过Zn接口接收服务授权信息应答。
5.根据权利要求3的方法,其中:
使得发送服务授权信息请求包括使得根据直径协议发送服务授权信息请求;并且
接收服务授权信息应答包括根据直径协议接收服务授权信息应答。
6.根据权利要求3的方法,其中:
使得发送服务授权信息请求包括使得根据web服务协议发送服务授权信息请求;并且
接收服务授权信息应答包括根据web服务协议接收服务授权信息应答。
7.根据权利要求3的方法,还包括:
在使得发送所请求的安全性密钥信息之前,使用经过修改的用户安全性设定包来生成所请求的与安全性密钥有关的策略信息。
8.根据权利要求3的方法,还包括:
使得从存储用户安全性设定包的服务器请求对应于用户设备装置的用户安全性设定包;以及
响应于针对用户安全性设定包的请求,接收对应于用户设备装置的用户安全性设定包。
9.根据权利要求8的方法,其中存储用户安全性设定包的服务器包括归属订户系统。
10.根据权利要求8的方法,还包括:
确定所接收到的用户安全性设定包是否包括特定于服务的授权标志,所述授权标志表明必须将用户安全性设定包转发到对应于所述服务的策略决定服务器进行处理,以便获得授权策略信息;以及
其中使得发送服务授权信息请求包括使得在确定所接收到的用户安全性设定包包括特定于服务的授权标志时发送服务授权信息请求。
11.一种用于促进对漫游移动终端的授权的设备,包括:
用于在归属网络上的自举服务器功能设备处、接收针对用户设备装置的与安全性密钥有关的策略信息的请求的装置,所述请求是从受访网络发送的,所述设备驻留在归属网络上,并且其中用户设备装置登记到归属网络并且试图访问受访网络的服务;
用于在所述自举服务器功能设备处、使得发送包括对应于用户设备装置的用户安全性设定包的服务授权信息请求到策略决定服务器的装置,其中服务授权信息请求表明将对应于用户设备装置的信息包括在用户安全性设定包中的请求;
用于在所述自举服务器功能设备处、响应于服务授权信息请求而从所述策略决定服务器接收包括经过修改的用户安全性设定包的服务授权信息应答的装置,所述经过修改的用户安全性设定包包括对应于用户设备装置的授权策略信息,其中所述策略决定服务器被配置成实施归属接入网发现和选择功能;以及
用于在所述自举服务器功能设备处、至少部分地基于所接收到的经过修改的用户安全性设定包而使得发送所请求的与安全性密钥有关的策略信息到所述策略决定服务器的装置。
12.根据权利要求11的设备,其中针对安全性密钥信息的请求包括针对与用户设备装置提供给服务提供节点的安全性密钥信息相对应的安全性密钥信息的请求,以用于由服务提供节点根据通用自举体系结构认证来为用户设备装置授权,并且其中用户安全性设定包包括通用自举体系结构用户安全性设定。
13.根据权利要求12的设备,其中服务提供节点包括被配置成实施受访接入网发现和选择功能的节点。
14.根据权利要求11的设备,其中:
用于使得发送服务授权信息请求的装置包括用于使得通过Zn接口发送服务授权信息请求的装置;并且
用于接收服务授权信息应答的装置包括用于通过Zn接口接收服务授权信息应答的装置。
15.根据权利要求11的设备,其中:
用于使得发送服务授权信息请求的装置包括用于使得根据直径协议发送服务授权信息请求的装置;并且
用于接收服务授权信息应答的装置包括用于根据直径协议接收服务授权信息应答的装置。
16.根据权利要求11的设备,其中:
用于使得发送服务授权信息请求的装置包括用于使得根据web服务协议发送服务授权信息请求的装置;并且
用于接收服务授权信息应答的装置包括用于根据web服务协议接收服务授权信息应答的装置。
17.根据权利要求11中的任何一项的设备,还包括:
用于在使得将所请求的安全性密钥信息发送到服务提供节点之前使用经过修改的用户安全性设定包生成所请求的与安全性密钥有关的策略信息的装置。
18.根据权利要求11的设备,还包括:
用于使得从存储用户安全性设定包的服务器请求对应于用户设备装置的用户安全性设定包的装置;以及
用于响应于针对用户安全性设定包的请求接收对应于用户设备装置的用户安全性设定包的装置。
19.根据权利要求18的设备,其中存储用户安全性设定包的服务器包括归属订户系统。
20.根据权利要求18的设备,还包括:
用于确定所接收到的用户安全性设定包是否包括特定于服务的授权标志的装置,所述授权标志表明必须将用户安全性设定包转发到对应于所述服务的策略决定服务器进行处理,以便获得授权策略信息;以及
其中用于使得发送服务授权信息请求的装置包括用于使得在确定所接收到的用户安全性设定包包括特定于服务的授权标志时发送服务授权信息请求的装置。
21.一种用于促进对漫游移动终端的授权的方法,包括:
在归属网络上的策略决定服务器处,接收包括对应于用户设备装置的用户安全性设定包的服务授权信息请求,所述用户设备装置登记到归属网络并且试图访问受访网络的服务,其中服务授权信息请求表明将对应于用户设备装置的授权策略信息包括在用户安全性设定包中的请求,并且所述策略决定服务器被配置成实施归属接入网发现和选择功能;
在所述策略决定服务器处,响应于接收到服务信息请求,处理对应于用户设备装置的授权策略;
在所述策略决定服务器处,通过将对应于用户设备装置的授权策略信息添加到用户安全性设定包来修改用户安全性设定包;以及
在所述策略决定服务器处,使得发送包括经过修改的用户安全性设定包的服务授权信息应答,所述经过修改的用户安全性设定包包括对应于用户设备装置的授权策略信息。
22.根据权利要求21的方法,其中服务授权信息请求由自举服务器功能设备发送并且服务授权信息应答被发送到自举服务器功能设备,自举服务器功能设备被配置成使用授权策略信息来促进由受访网络上的服务提供节点根据通用自举体系结构认证对用户设备装置进行授权,其中用户安全性设定包包括通用自举体系结构用户安全性设定。
23.根据权利要求21-22中的任何一项的方法,其中:
接收服务授权信息请求包括通过Zn接口接收服务授权信息请求;并且
使得发送服务授权信息应答包括使得通过Zn接口发送服务授权信息应答。
24.根据权利要求21的方法,其中:
接收服务授权信息请求包括根据直径协议接收服务授权信息请求;并且
使得发送服务授权信息应答包括使得根据直径协议发送服务授权信息应答。
25.根据权利要求21的方法,其中:
接收服务授权信息请求包括根据web服务协议接收服务授权信息请求;并且
使得发送服务授权信息应答包括使得根据web服务协议发送服务授权信息应答。
26.根据权利要求21的方法,还包括:
在处理授权策略之前,至少部分地根据关于包括在用户安全性设定包中的订户身份的指示确定对应于用户设备装置的授权策略。
27.一种用于促进对漫游移动终端的授权的设备,包括:
用于在归属网络上的策略决定服务器处、接收包括对应于用户设备装置的用户安全性设定包的服务授权信息请求的装置,所述用户设备装置登记到归属网络并且试图访问受访网络的服务,其中服务授权信息请求表明将对应于用户设备装置的授权策略信息包括在用户安全性设定包中的请求,并且所述策略决定服务器被配置成实施归属接入网发现和选择功能;
用于在所述策略决定服务器处、响应于接收到服务信息请求而处理对应于用户设备装置的授权策略的装置;
用于在所述策略决定服务器处、通过将对应于用户设备装置的授权策略信息添加到用户安全性设定包来修改用户安全性设定包的装置;以及
用于在所述策略决定服务器处、使得发送包括经过修改的用户安全性设定包的服务授权信息应答的装置,所述经过修改的用户安全性设定包包括对应于用户设备装置的授权策略信息。
28.根据权利要求27中的任何一项的设备,其中:
用于接收服务授权信息请求的装置包括用于通过Zn接口接收服务授权信息请求的装置;并且
用于使得发送服务授权信息应答的装置包括用于使得通过Zn接口发送服务授权信息应答的装置。
29.根据权利要求27的设备,其中:
用于接收服务授权信息请求的装置包括用于根据直径协议接收服务授权信息请求的装置;并且
用于使得发送服务授权信息应答的装置包括用于使得根据直径协议发送服务授权信息应答的装置。
30.根据权利要求27的设备,其中:
用于接收服务授权信息请求的装置包括用于根据web服务协议接收服务授权信息请求的装置;并且
用于使得发送服务授权信息应答的装置包括用于使得根据web服务协议发送服务授权信息应答的装置。
31.根据权利要求27的设备,还包括:
用于在处理授权策略之前至少部分地根据关于包括在用户安全性设定包中的订户身份的指示确定对应于用户设备装置的授权策略的装置。
32.根据权利要求27的设备,其中服务授权信息请求由自举服务器功能设备发送并且服务授权信息应答被发送到自举服务器功能设备,自举服务器功能设备被配置成使用授权策略信息来促进由受访网络上的服务提供节点根据通用自举体系结构认证对用户设备装置进行授权,其中用户安全性设定包包括通用自举体系结构用户安全性设定。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US17475409P | 2009-05-01 | 2009-05-01 | |
| US61/174,754 | 2009-05-01 | ||
| PCT/IB2010/051881 WO2010125535A1 (en) | 2009-05-01 | 2010-04-29 | Systems, methods, and apparatuses for facilitating authorization of a roaming mobile terminal |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102415116A CN102415116A (zh) | 2012-04-11 |
| CN102415116B true CN102415116B (zh) | 2015-04-22 |
Family
ID=43031764
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201080017960.9A Active CN102415116B (zh) | 2009-05-01 | 2010-04-29 | 用于促进对漫游移动终端的授权的系统、方法和设备 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8813171B2 (zh) |
| EP (1) | EP2425644B1 (zh) |
| CN (1) | CN102415116B (zh) |
| WO (1) | WO2010125535A1 (zh) |
Families Citing this family (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103843377A (zh) * | 2011-09-29 | 2014-06-04 | 交互数字专利控股公司 | 用于实现接入与受访网络集成的应用的方法和设备 |
| CN102984686B (zh) * | 2012-12-26 | 2016-08-03 | 华为技术有限公司 | 通信服务方法和动态签约服务器 |
| EP3226595B1 (en) * | 2013-01-17 | 2019-11-20 | Intel IP Corporation | Apparatus, system and method of communicating non-cellular access network information over a cellular network |
| EP2824973A1 (en) * | 2013-07-09 | 2015-01-14 | Orange | Network architecture enabling a mobile terminal to roam into a wireless local area network |
| CN107820234B (zh) * | 2016-09-14 | 2021-02-23 | 华为技术有限公司 | 一种网络漫游保护方法、相关设备及系统 |
| EP3503628B1 (de) * | 2017-12-22 | 2020-03-18 | Deutsche Telekom AG | Bootstrap-server und verfahren zum aufbauen einer roaming-verbindung über einen bootstrap-server |
| WO2020099148A1 (en) * | 2018-11-12 | 2020-05-22 | Telefonaktiebolaget Lm Ericsson (Publ) | Authentication of a communications device |
| CN111277543B (zh) * | 2018-12-04 | 2022-08-26 | 华为技术有限公司 | 信息同步方法、认证方法及装置 |
| WO2020174121A1 (en) * | 2019-02-28 | 2020-09-03 | Nokia Technologies Oy | Inter-mobile network communication authorization |
| US11563676B2 (en) * | 2019-08-16 | 2023-01-24 | Nokia Technologies Oy | Method and apparatus for universal integrated circuit card update via dedicated network function |
| US20230068196A1 (en) * | 2020-02-19 | 2023-03-02 | Samsung Electronics Co., Ltd. | Apparatus and method of generating application specific keys using key derived from network access authentication |
| US11751056B2 (en) | 2020-08-31 | 2023-09-05 | Oracle International Corporation | Methods, systems, and computer readable media for 5G user equipment (UE) historical mobility tracking and security screening using mobility patterns |
| US11825310B2 (en) | 2020-09-25 | 2023-11-21 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming spoofing attacks |
| US11832172B2 (en) | 2020-09-25 | 2023-11-28 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating spoofing attacks on security edge protection proxy (SEPP) inter-public land mobile network (inter-PLMN) forwarding interface |
| US11622255B2 (en) | 2020-10-21 | 2023-04-04 | Oracle International Corporation | Methods, systems, and computer readable media for validating a session management function (SMF) registration request |
| US11770694B2 (en) | 2020-11-16 | 2023-09-26 | Oracle International Corporation | Methods, systems, and computer readable media for validating location update messages |
| US11818570B2 (en) * | 2020-12-15 | 2023-11-14 | Oracle International Corporation | Methods, systems, and computer readable media for message validation in fifth generation (5G) communications networks |
| US11812271B2 (en) | 2020-12-17 | 2023-11-07 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming attacks for internet of things (IoT) devices based on expected user equipment (UE) behavior patterns |
| US11700510B2 (en) | 2021-02-12 | 2023-07-11 | Oracle International Corporation | Methods, systems, and computer readable media for short message delivery status report validation |
| US11689912B2 (en) | 2021-05-12 | 2023-06-27 | Oracle International Corporation | Methods, systems, and computer readable media for conducting a velocity check for outbound subscribers roaming to neighboring countries |
| US11974134B2 (en) | 2022-01-28 | 2024-04-30 | Oracle International Corporation | Methods, systems, and computer readable media for validating subscriber entities against spoofing attacks in a communications network |
| CN117597958A (zh) * | 2022-06-17 | 2024-02-23 | 北京小米移动软件有限公司 | 认证与授权方法、装置、通信设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1770686A (zh) * | 2004-11-05 | 2006-05-10 | 华为技术有限公司 | 通用鉴权框架及更新bsf中用户安全描述信息的方法 |
| CN1934828A (zh) * | 2003-11-04 | 2007-03-21 | 高通股份有限公司 | 在无线通信系统中用于策略控制增强的方法和装置 |
| US7231517B1 (en) * | 2000-03-03 | 2007-06-12 | Novell, Inc. | Apparatus and method for automatically authenticating a network client |
| CN101039311A (zh) * | 2006-03-16 | 2007-09-19 | 华为技术有限公司 | 一种身份标识网页业务网系统及其鉴权方法 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7478159B2 (en) * | 2003-02-21 | 2009-01-13 | Nokia Corporation | Policy information in multiple PDFs |
| US8325688B2 (en) * | 2003-11-04 | 2012-12-04 | Qualcomm Incorporated | Method and apparatus for policy control enhancement in a wireless communication system |
| CN1265676C (zh) * | 2004-04-02 | 2006-07-19 | 华为技术有限公司 | 一种实现漫游用户使用拜访网络内业务的方法 |
| CN1299537C (zh) | 2004-06-28 | 2007-02-07 | 华为技术有限公司 | 应用通用鉴权框架对接入拜访网络的用户实现管理的方法 |
| KR100651716B1 (ko) * | 2004-10-11 | 2006-12-01 | 한국전자통신연구원 | Diameter 기반 프로토콜에서 모바일 네트워크의부트스트랩핑 방법 및 그 시스템 |
| US20060095584A1 (en) * | 2004-11-12 | 2006-05-04 | Sonoa Systems, Inc. | Semantic-based switch fabric OS |
| US8261078B2 (en) * | 2006-06-09 | 2012-09-04 | Telefonaktiebolaget Lm Ericsson (Publ) | Access to services in a telecommunications network |
| US7984486B2 (en) * | 2007-11-28 | 2011-07-19 | Nokia Corporation | Using GAA to derive and distribute proxy mobile node home agent keys |
| US9717042B2 (en) * | 2008-06-04 | 2017-07-25 | Nokia Solutions And Networks Oy | Network discovery and selection |
-
2010
- 2010-04-29 EP EP10769400.2A patent/EP2425644B1/en active Active
- 2010-04-29 US US13/318,348 patent/US8813171B2/en active Active
- 2010-04-29 WO PCT/IB2010/051881 patent/WO2010125535A1/en active Application Filing
- 2010-04-29 CN CN201080017960.9A patent/CN102415116B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7231517B1 (en) * | 2000-03-03 | 2007-06-12 | Novell, Inc. | Apparatus and method for automatically authenticating a network client |
| CN1934828A (zh) * | 2003-11-04 | 2007-03-21 | 高通股份有限公司 | 在无线通信系统中用于策略控制增强的方法和装置 |
| CN1770686A (zh) * | 2004-11-05 | 2006-05-10 | 华为技术有限公司 | 通用鉴权框架及更新bsf中用户安全描述信息的方法 |
| CN101039311A (zh) * | 2006-03-16 | 2007-09-19 | 华为技术有限公司 | 一种身份标识网页业务网系统及其鉴权方法 |
Non-Patent Citations (1)
| Title |
|---|
| Huawei.Usage control of the service in visited network.《3GPP TSG-SA WG3 SECURITY Meeting #35,S3-040746,Usage control of the service in visited network》.3GPP,2004,全文. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102415116A (zh) | 2012-04-11 |
| US20120110637A1 (en) | 2012-05-03 |
| EP2425644A1 (en) | 2012-03-07 |
| WO2010125535A1 (en) | 2010-11-04 |
| EP2425644B1 (en) | 2017-11-22 |
| US8813171B2 (en) | 2014-08-19 |
| EP2425644A4 (en) | 2016-05-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102415116B (zh) | 用于促进对漫游移动终端的授权的系统、方法和设备 | |
| EP3132628B1 (en) | Method and nodes for integrating networks | |
| US11722891B2 (en) | User authentication in first network using subscriber identity module for second legacy network | |
| CN102550001B (zh) | 用于允许自举架构和共享身份服务相互作用的用户身份管理 | |
| CN101983517B (zh) | 演进分组系统的非3gpp接入的安全性 | |
| CN118433706A (zh) | 用于通过异构接入网络来安全实现连接的方法和装置 | |
| CN113541925B (zh) | 通信系统、方法及装置 | |
| US11785456B2 (en) | Delivering standalone non-public network (SNPN) credentials from an enterprise authentication server to a user equipment over extensible authentication protocol (EAP) | |
| CN104170424A (zh) | 用于订阅共享的方法和装置 | |
| EP1864544A1 (en) | Authentication mechanism for unlicensed mobile access | |
| US20230224704A1 (en) | Using a pseudonym for access authentication over non-3gpp access | |
| US8023484B1 (en) | Method for obtaining a mobile internet protocol address | |
| CN116546491A (zh) | 在通信网络中用于与服务应用的加密通信的锚密钥生成和管理的方法、设备和系统 | |
| US20240031807A1 (en) | Techniques to generate wireless local area access network fast transition key material based on authentication to a private wireless wide area access network | |
| CN117041955A (zh) | 签约数据更新方法、装置、节点和存储介质 | |
| CN113543127A (zh) | 一种密钥生成方法、装置、设备及计算机可读存储介质 | |
| US8571211B2 (en) | Method and apparatus for generating security key in a mobile communication system | |
| US20240179525A1 (en) | Secure communication method and apparatus | |
| US8036222B1 (en) | Method for obtaining a mobile internet protocol address | |
| JP7428265B2 (ja) | 通信端末及びその方法 | |
| EP4336879A1 (en) | Method for authenticating nswo service, and device and storage medium | |
| US20220030428A1 (en) | Communication Method and Communications Device | |
| JP2018514166A (ja) | アクセスポイント名許可方法、アクセスポイント名許可装置、およびアクセスポイント名許可システム | |
| US8949957B2 (en) | Method and system for creating a mobile internet protocol version 4 connection | |
| WO2022252658A1 (zh) | 一种漫游接入方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20160121 Address after: Espoo, Finland Patentee after: Technology Co., Ltd. of Nokia Address before: Espoo, Finland Patentee before: Nokia Oyj |