CN102652439A - 归属用户服务器中的智能卡安全特征简档 - Google Patents
归属用户服务器中的智能卡安全特征简档 Download PDFInfo
- Publication number
- CN102652439A CN102652439A CN2010800560272A CN201080056027A CN102652439A CN 102652439 A CN102652439 A CN 102652439A CN 2010800560272 A CN2010800560272 A CN 2010800560272A CN 201080056027 A CN201080056027 A CN 201080056027A CN 102652439 A CN102652439 A CN 102652439A
- Authority
- CN
- China
- Prior art keywords
- security feature
- tabulation
- database
- network application
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
- Stored Programmes (AREA)
- Computer And Data Communications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
根据本发明的示例性实施方式,至少提供一种方法、可执行计算机程序和装置,在网络应用功能处确定要使用的期望的用户装备安全特征的列表,按照网络应用功能的偏好对所述列表的安全特征进行排序;经由引导服务器功能将所述列表发送至用户安全设置的数据库;由所述网络应用功能经由所述启动程序服务器功能接收安全特征响应,所述安全特征响应包括从数据库中存储的信息导出的、对应于所述列表中包含的期望的安全特征的安全密钥,从而向网络应用功能通知用户装备中的期望的安全特征中的至少一个的可用性。
Description
相关申请的交叉引用
本专利申请依据35 U.S.C第119条第(e)项要求享受2009年12月11日递交的序号为61/284,045的临时专利申请的优先权,其全部公开内容以引用方式并入本文。
技术领域
概括地说,根据本发明的示例性和非限制性实施例的教导涉及无线通信系统、方法、设备和计算机程序,并且更具体地,涉及通用引导(bootstrapping)架构和安全功能。
背景技术
本部分旨在提供权利要求书中阐述的本发明的背景技术或上下文。这里的说明可包括能够实现的概念,但不一定是先前设想的、实现的或介绍的概念。因此,除非这里特别指出的,在这个部分中描述的内容并非本申请中的说明书和权利要求的现有技术,并且不会通过包含在这个部分中而被承认是现有技术。
在说明书和/或附图中可发现以下缩写定义如下:
AAA 认证授权记账
AKA 认证与密钥协商协议
AUTN 认证令牌
AV 认证向量
AVP 直径(diameter)消息中的属性值对
BSF 引导服务器功能
CK 秘密密钥(confidential key)
GAA 通用认证架构
GBA 通用引导架构
GPL 通用推送层(push layer)
GSID GAA服务标识符
GUSS GBA用户安全设置
HLR 归属位置寄存器
HSS 归属用户服务器
IK 完整性密钥
IMS 因特网协议(IP)多媒体子系统
LDAP 轻量级目录访问协议
NAF 网络应用功能(服务)
NDS 网络域安全
RAND 随机挑战
SLF 订户位置功能
TLS 传输层安全
UE 具有智能卡的用户终端
UICC 通用集成电路卡
USS 用户安全设置
Ua GAA应用的UE-NAF接口
Ub 引导的UE-BSF接口
XRES 认证中的预期响应
Zh 引导过程的BSF-HSS接口
Zh’ 引导过程的BSF-HLR接口
Zn GAA应用的BSF-NAF接口
Zpn GAA应用的NAF-BSF接口
对以下两个出版物进行参考:
3GPP TS 29.109 V9.0.0(2009-09)技术规范第三代合作伙伴计划;技术规范组核心网络和终端;通用认证架构(GAA);基于直径(Diameter)协议的Zh和Zn接口;第3阶段(版本9);和
3GPP TS 33.224 V9.0.0(2009-09)技术规范第三代合作伙伴计划;技术规范组服务和系统方面;通用认证架构(GAA);通用引导架构(GBA)推送层(版本9)。
在移动设备中,GBA的使用启用了用户或订户的验证。GBA的使用假设用户在HLR或HSS上具有有效的身份。通过共享秘密来对用户验证进行实例化,对于移动网络,一个在移动设备的智能卡中,且另一个在HLR/HSS中。在例如固定网络的不同网络架构中,共享秘密可存储于可信模块(例如PC上的可信芯片)中和AAA服务器的网络中。GBA通过使网络组件挑战智能卡并随后使用AKA协议验证对于挑战的回答类似于HLR/HSS预测的回答之一来对用户进行认证。BSF建立附加证书(称为Ks)。通过这个证书,其导出认证实体和服务提供商之间的服务提供商专用的共享秘密。在操作中,智能卡中的密钥用于对网络进行认证。然后,BSF从这个服务专用密钥导出主秘密。终端导出相同密钥。因此,每个服务具有不同密钥(如果一方妥协则仅一个服务会受到影响)。服务专用共享秘密在时间上受限并且对于专用服务域(称为Ks_(ext/int)_NAF)受限。SLF是在网络运营商具有若干HSS的情况下通知BSF在哪个HSS上找到订户数据的功能。
GBA中目前存在的一个问题涉及,在服务(NAF)想要建立与UE中的认证实体(特别地是智能卡)的安全关联时出现的情形。对此出现,NAF需要知道为了安全关联的建立所支持的安全特征。目前,服务提供NAF无法从终端或从网络获得这个信息。可注意的是,NAF可驻留于运营商网络的外部,结果是将不具有与HSS的直接接口。
发明内容
在本发明的示例性方面,提供一种方法,包括:在网络应用功能处确定要使用的期望用户装备安全特征的列表,按照网络应用功能的偏好对所述列表的安全特征进行排序;经由引导服务器功能将所述列表发送至用户安全设置的数据库;以及由所述网络应用功能经由所述引导服务器功能接收安全特征响应,所述安全特征响应包括从数据库中存储的信息导出的、对应于所述列表中包含的期望安全特征的安全密钥,从而向网络应用功能通知用户装备中的期望安全特征的至少一个的可用性。
在本发明的另一示例性方面,提供一种包含计算机程序指令的非临时性计算机可读介质,由至少一个处理器执行所述计算机程序指令以执行包括以下内容的操作:在网络应用功能处确定要使用的期望用户装备安全特征的列表,按照网络应用功能的偏好对所述列表的安全特征进行排序;经由引导服务器功能将所述列表发送至用户安全设置的数据库;以及由所述网络应用功能经由所述引导服务器功能接收安全特征响应,所述安全特征响应包括从数据库中存储的信息导出的、对应于所述列表中包含的期望安全特征的安全密钥,从而向网络应用功能通知用户装备中的期望安全特征的至少一个的可用性。
在本发明的又一示例性方面,提供一种装置,包括:至少一个处理器;和至少一个包括计算机程序代码的存储器,其中所述至少一个存储器和计算机程序代码被配置为,利用所述至少一个处理器,使得所述装置至少进行:在网络应用功能处确定要使用的期望用户装备安全特征的列表,按照网络应用功能的偏好对所述列表的安全特征进行排序;经由引导服务器功能将所述列表发送至用户安全设置的数据库;以及由所述网络应用功能经由所述引导服务器功能接收安全特征响应,所述安全特征响应包括从数据库中存储的信息导出的、对应于所述列表中包含的期望安全特征的安全密钥,从而向网络应用功能通知用户装备中的期望安全特征的至少一个的可用性。
附图说明
在下面的详细说明中,当接合附图阅读时,本发明的实施方式的以上和其他方面将变得更清楚,其中:
图1是GBA推送(push)架构的框图;
图2是GBA架构的框图;
图3是GBA架构的另一实施方式的框图;
图4A和4B是图1至3中分别示出的UE和BSF/HSS/NAF的简化框图;
图5是根据本发明示例性实施方式的信号/消息流程图;
图6是示出根据本发明示例性实施方式的计算机可读存储器上体现的计算机程序指令的执行的结果和方法的操作的逻辑流程图。
具体实施方式
本发明的示例性实施方式提供了对HSS、BSF和NAF的增强。
图1示出GBA推送架构的框图。示出的是BSF 10、SLF 12、HSS 14、NAF 16、和UE 18。这些框经由上述接口进行互连。图2示出GBA架构的框图。除了图1所示的框,将GUSS数据库(DB)20示为HSS 14的一部分。图3是GBA架构的另一实施方式,其中假设GUSS DB 20在网络外部,并经由某些适当接口21与BSF 10连接。
图4A示出UE 18的实施方式的简化框图。为了说明本发明的示例性实施方式的目的,可假设UE 18包括控制器,例如至少一个计算机或数据处理器(DP)18A、体现为存储计算机指令的程序(PROG)18C的至少一个存储器(MEM)18B的计算机可读存储介质、和至少一个适当的收发器,例如射频(RF)收发器18D,其用于经由一个或多个中间节点,例如一个或多个基站、转换节点或代理(未示出),与BSF 10和NAF 16的双向(例如无线)通信。假设UE 18包括智能卡或可信(trusted)模块18E,用于构成存储器和其他功能的安全证书处理1。一般地,这样的功能可被结合在卡中,例如在可移除卡中,或在安全(可信)芯片或模块(不必是卡)中。智能卡或安全模块18E可包括订户身份模块(SIM),或可在订户身份模块(SIM)中体现或通过订户身份模块(SIM)来体现。
智能卡或可信模块18E也可被称为UICC。已知地,UICC是GSM和UMTS网络中的移动终端中使用的智能卡,且可通过不同形式因素,例如在可信的硬件芯片上实现。UICC确保在用户设备(移动电话、PC、智能卡)和网络之间的交互的安全性。在GSM网络中,智能卡是SIM卡。UICC可包含SIM应用,在UMTS网络中UICC包含USIM应用,并且对于IMS网络其包含ISIM应用。UICC可包含并行地若干应用,使其能够为相同智能卡给出对GSM和UMTS网络以及其他应用(例如移动银行、对于移动电视的支持等)的访问。在CDMA网络中,除了3GPP USIM和SIM应用,UICC包含CSIM应用。
图4B示出可用于实现BSF 10、HSS 14和NAF 16中的一个或全部的装置的实施方式的简化框图。基本上,可以将这些组件视计算机系统,例如在BSF 10的情况下,具有:诸如至少一个计算机或数据处理器(DP)10A的控制器、体现为存储计算机指令的程序(PROG)10C的至少一个存储器(MEM)10B的计算机可读存储介质和至少一个适当的收发器,其用于经由定义的接口(Zh,Zn,Zpn,Ub,Dz)与GBA架构的其他组件的双向通信。对于代理使用或HLR的使用的情况,存在其他接口。但是,在图4B中示出这些额外的接口。
在3GPP中先前协定了,在HSS GUSS 20中应该存储与UE智能卡18E是否支持安全关联的建立相关的信息。这记载于3GPP TS 33.224中的“The GPL_U capabilities shall be stored in the GUSS in the HSS(应当在HSS的GUSS中存储GPL_U能力”。然而,没有为如何体现、实现和操作这种提出的功能定义机制、消息流和处理。
本发明的示例性实施例的使用实现了由服务提供商对智能卡的使用,或更具体地,对安全或应用专用特征的使用,其中服务提供商能够指示要使用哪个智能卡18E特征(即,哪个安全或应用专用的特征),以及识别第二选择(“第二最佳”)特征。
根据示例性实施方式,扩展在服务和密钥生成节点(BSF 10)之间以及在BSF 10和HSS 14之间的消息。还扩展了HSS 14中的用户安全信息存储,并且HSS 14处理这个附加信息。希望BSF 10考虑由HSS 14给出的指示。
最终结果是服务知道当与UE 18进行通信时可使用什么特征,并且因此能够建立期望的安全关联。
当例如和考虑本发明的示例性实施例的特定兴趣的更具体实例时,这个特征特别地有利,NAF 16想要使用GPL建立与智能卡18的安全会话。这样做的一个原因是例如供应目的。
本发明的示例性实施方式提供对GUSS 20和相关GBA组件的增强。
现在参照图5的信号/消息流程图。
(1)假设NAF 16想要使用专用安全(或应用)特征,例如GPL_U。如果这个特征不可用或限制服务使用(例如,因为安全等级较低,用于下载值的阈值较低),NAF 16可能想要降级。在第一期望特征不可用时,使用另一备份特征的这种能力能够有利地减少信令负载。在本实例中,假设第一期望特征是GPL_U,第二期望特征将是具有GBA_U的GPL,并且第三期望特征将是具有GBA的GPL,其通过“;”符号来划分以使接收节点能够确定下一“词语”开始。该元素可对于多个特征出现多次。例如,NAF 16期望使用多个安全特征,并为他们中的每个(例如{特征1;特征2;...;特征n})给出优先级列表。
因此,本发明的一个示例性方面是指示期望的安全特征的能力,有可能提供期望安全特征的优先列表。
(2)NAF 16向BSF 10指示NAF 16希望使用专用安全特征(例如GPL_U)。这可通过向现有Zn/Zn’消息增加字段来完成。基于3GPP TS29.109可以定义用于Diameter(直径)和Web服务的Zn。Zn’是用于在BSF 10和NAF 16之间存在代理的情况中的接口。BSF 10在Zh参照点上将这个请求转发至HSS 14。这可通过向Zh请求消息增加字段来完成。在利用的HLR情况下,BSF 10可将其发送至持有GUSS 20的本地数据库,并原样利用Zh’接口。这个情况下,请求并非是标准的一部分,并且可使用LDAP请求来执行。
在本发明的示例性方面中,来自NAF的请求可以是GBA-Push-Info(GPI),其用于对应于用户身份的NAF专用密钥材料。此外,请求可利用例如在3GPP TS 33.223中定义的Zpn和Zpn’协议接口。协议ZPN在NAF和BSF之间,并且请求可包括例如用户身份、NAF-Id、和/或GSID。此外,用于安全特征请求元素的字段可读作“element name(元素名称)=“securityfeaturesrequest”type(类型)=“xsd:string”minOccurs=“0””。NAF可使用安全特征请求元素或参数请求关于安全特征的可用性的信息。所述元素可包含按照偏好排序的可用的安全特征的用分号分隔的列表。根据实施方式,NAF可使用安全特征请求AVP请求关于安全特征的可用性的信息。此外,AVP可包括3GPP AV=[RAND,AUTN,XRES,CK,IK]。安全特征请求AVP可以是类型OctetString(八位字节字符串)。AVP可包含由NAF请求的安全特征中的一个或多个。
如果BSF和NAF位于相同运营商的网络中,则可根据NDS/IP来确保基于DIAMETER的Zpn参考点。然而,如果BSF和NAF位于不同运营商的网络中,则可使用TLS来确保在Zn-代理和BSF之间的基于DIAMETER的Zpn’参考点的安全。
因此,本发明的另一示例性方面是利用安全特征指示来增强Zn/Zn’,Zpn/Zpn’和Zh。
(3)可向GUSS 20增加新字段(不在BSF字段中,因为他将被剥离)。包含要增加的新元素的字段的一个示例性位置可以在ussTypecomplexType中,例如,一方可增加“UICC-Features(UICC-特征)”或更一般的“Security-Features(安全-特征)”支持字段。如果HSS 14从BSF10接收到NAF发起的优先特征的列表,则其可用提供的特征填充Securities-Features(安全-特征)支持字段。如果适当,字段还可设置UICCkeychoice(密钥选择)字段,从而BSF 10导出正确的应用专用密钥,例如Ks_int_NAF.a。
在本发明的示例性方面中,如果BSF支持安全特征的使用并且NAF从BSF请求了安全特征,则BSF可从订户的GUSS中的bsfInfo元素提取按照特征元素,并且将那些安全特征增加至在从NAF接收的安全特征请求和从bsfInfo元素提取的信息中共用的响应中的安全特征响应元素。元素“bsfInfo”中的可选元素“securityFeatures”的值指示用户装备支持的用户专用安全特征。如果安全特征元素丢失,则不定义安全特征,并且如果存在多个值的列表,则他们通过“;”来分隔。
共用安全特征可按他们在bsfInfo元素中出现的顺序增加至安全特征响应元素中。如果在GUSS中没有定义安全特征元素,或不存在共用安全特征,则BSF应将空字符串增加至响应中的安全特征响应元素。
安全特征响应AVP可以是类型OctetString(八位字节字符串)。AVP包含HSS识别的安全特征的一个或多个。可使用例如在GUSS的“bsfElement”中安全特征元素以及在请求中接收的安全特征将这个信息传送至BSF。此外,可将安全特征响应元素的字段读作例如“element name(元素名称)=“securityfeaturesresponse”type(类型)=“xsd:string(字符串)”minOccurs=“0””。
因此,本发明的另一示例性方面至少是处理HSS 14和BSF 10中的期望特征的列表的能力。
注意的是,在这一点,BSF 10可仅导出一个密钥,尽管在这些示例性实施方式的范围内,BSF 10可导出多于一个密钥(例如,BSF 10可为优先列表中出现的每个特征导出密钥,如果该特征得到支持的话)。
(4)NAF 16然后从BSF 10接收导出的服务专用密钥,并额外地获得用于NAF 16之间的通信可获得什么安全等级、以及NAF 16可使用智能卡18E的什么特征的知识。BSF 10接收GUSS并将GUSS的一部分(即USS)发送至NAF 16。这个USS将包含由NAF 16请求的安全特征信息。
因此,本发明的另一示例性方面包含可经由字段(例如Zn/Zn’,Zpn/Zpn’和Zh中的任意一个)传递的额外信息,以及在BSF 10和NAF 16中对这个信息的处理。
示例性实施方式还覆盖以下情形,其中使用HLR代替HSS 14,以及将GUSS 20存储于某些专有外部数据库(例如图3所示),从而BSF 10简单地向外部GUSS发出呼叫。
示例性实施方式还覆盖感兴趣的安全特征并非智能卡18E的一部分的情形。例如,安全特征可以是安全芯片的一部分(例如安全芯片中包含的支付应用)。
基于以上内容,明显地,本发明的示例性实施方式提供一种方法、装置和计算机程序,其增强了GBA架构的操作以克服在现有GBA中定义的GBA智能卡简档(profile)的固有缺少,或更具体地,安全特征简档的缺少,并且因此进一步避免了必须定义和支持新终端智能卡(安全特征简档)接口以实现相同目的。
图6是示出根据本发明示例性实施方式的计算机程序指令的执行的结果和方法的操作逻辑流程图。根据这些示例性实施方式,一种方法,在框6A,执行以下步骤:在网络应用功能处确定要使用的期望用户装备安全特征的列表,按照网络应用功能的偏好来对所述列表的安全特征进行排序。在方框6B,经由引导服务器功能将所述列表发送至用户安全设置的数据库。在方框6C,所述网络应用功能经由所述引导服务器功能接收安全特征响应,其包括从数据库中存储的信息导出的、对应于所述列表中包含的期望的安全特征的安全密钥,从而向网络应用功能通知用户装备中期望的安全特征的至少一个的可用性。
如以上段落中的方法,其中,安全特征响应包括对于列表共用的安全特征的指示,以及其中,根据从数据库中存储的信息导出的那样对共用安全特征进行排序。
如以上段落中的方法,其中,如果可用的话,所述密钥对应于最优选的安全特征,否则密钥对应于较低优选的安全特征。
如以上段落中的方法,其中,经由归属用户服务器将所述列表发送至用户安全设置的数据库。
如图6中所示的方法,其中,所述数据库在包含网络应用功能和引导服务器功能的系统的外部。
如以上段落中的方法,其中,所述数据库包括用于存储所支持的安全特征的字段。
如以上段落中的方法,其中,所述列表包含单个条目,或包含两个或更多个条目。
如以上段落中的方法,其中,在安全特征请求消息中发送所述列表。
如以上段落中的方法,其中,使用属性值对直径消息来发送所述安全特征请求消息。
图6中所示的各个框可被看作方法步骤、和/或从计算机程序代码的操作得到的操作、和/或被构成为执行相关功能的多个耦合逻辑电路元件。
示例性实施方式还包括一种装置,其包括处理器和含有计算机程序代码的存储器,其中存储器和计算机程序代码被配置为,利用处理器使得装置至少执行以下内容:在网络应用功能处确定要使用的期望的用户装备安全特征的列表,按照网络应用功能的偏好来对所述列表的安全特征进行排序;经由引导服务器功能将所述列表发送至用户安全设置的数据库;以及经由所述引导服务器功能接收安全特征响应,其包括从数据库中存储的信息导出的安全密钥,所述密钥对应于所述列表中包含的期望的安全特征,从而向网络应用功能通知用户装备中的期望的安全特征的至少一个的可用性。
一般地,可在硬件或专用目的电路、软件、逻辑或其任意组合中实现各个示例性实施方式。例如,一些方面可在硬件中实现,而其他方面可在由控制器、微处理器、或其他计算设备执行的固件或软件中实现,尽管本发明的并不限于此。尽管可将本发明的示例性实施方式的各个方面示为和描述为框图、流程图、或使用一些其他图形表示,但是应当很好地理解,这里描述的这些框、装置、系统、技术或方法可在作为非限制性实例的硬件、软件、固件、专用目的电路或逻辑、通用目的硬件或控制器或其他计算设备、或其一些组合中实现。
因此,应当理解的是,本发明的示例性实施例的至少一些方面可在各个组件中实践,例如集成电路芯片和模块,并且本发明的示例性实施例可在体现为集成电路的装置中实现。集成电路、或电路可包括用于实现数据处理器或多个数据处理器、数字信号处理器或多个数据信号处理器、基带电路和射频电路中的一个或多个的电路(以及可能固件),其中数据处理器或多个数据处理器、数字信号处理器或多个数据信号处理器、基带电路和射频电路中的一个或多个可被配置为根据本发明的示例性实施方式来操作。
当结合附图阅读时,根据先前的说明,相关领域的技术人员容易了解的是,可对于本发明的前述示例性实施方式进行各种修改和更改。然而,任意和所有修改将仍旧落入本发明的非限制性和示例性实施方式的范围内。
例如,当在GBA架构的环境中描述上述示例性实施方式时,应当理解的是,本发明的示例性实施方式不限制仅适用这样一种特殊类型的系统,并且他们可在任意其他系统中获得有效效果。
应当注意的是,术语“连接”、“耦合”或其任何变型意味着在两个或更多个元件之间直接或间接的任何连接或耦合,并且可涵盖在“连接”或“耦合”在一起的两个元件之间存在一个或多个中间元件。在元件之间的耦合或连接可以是物理的、逻辑的、或其组合。这里采用的两个元件可认为通过使用如下方式“连接”或“耦合”在一起:如多个非限制和非穷尽实例,一个或多个线、电缆和/或印刷电气连接,以及使用电磁能,例如,在射频区域、微波区域和光(可见和不可见)区域中具有波长的电磁能量。
此外,用于所述功能的各个名称(例如NAF、HSS、BSF等)、协议接口的各个名称(例如Zn,Zn’,Zh,Zpn,Zpn’等)、服务特征的各个名称(例如GPL_U、GBA_U等)和元素的各个名称(例如ussTypecomplexType)不希望在任何方面进行限制,因为这些的不同功能、接口、服务特征、元素等可通过任意适当名称来识别。
此外,本发明的各个非限制和示例性实施方式的一些特征可在没有其他特征的相应使用的情况下获得有效效果。由此,以上说明应当被认为仅是本发明的原理、教导和示例性实施方式的说明,而并非对其的限制。
Claims (20)
1.一种方法,包括:
在网络应用功能处确定要使用的期望的用户装备安全特征的列表,按照网络应用功能的偏好对所述列表的安全特征进行排序;
经由引导服务器功能将所述列表发送至用户安全设置的数据库;
由所述网络应用功能经由所述引导服务器功能接收安全特征响应,所述安全特征响应包括从数据库中存储的信息导出的、对应于所述列表中包含的期望的安全特征的安全密钥,从而向网络应用功能通知用户装备中的期望的安全特征中的至少一个的可用性。
2.如权利要求1所述的方法,其中,经由归属用户服务器将所述列表发送至用户安全设置的数据库。
3.如权利要求1所述的方法,其中,所述数据库在包含网络应用功能和引导服务器功能的系统的外部。
4.如权利要求1所述的方法,其中,所述数据库包括用于存储所支持的安全特征的字段。
5.如权利要求1所述的方法,其中,所述列表包含单个条目,或包含两个或多于两个条目。
6.如权利要求1所述的方法,其中,在安全特征请求消息中发送所述列表。
7.如权利要求6所述的方法,其中,使用属性值对直径消息来发送所述安全特征请求消息。
8.如权利要求6所述的方法,其中,所述安全特征请求消息包括:按期望的用户装备安全特征的优先顺序由分号分隔的期望的用户装置安全特征。
9.一种包含计算机程序指令的非临时性计算机可读介质,所述至少一个处理器执行计算机程序指令以执行包括以下内容的操作:
在网络应用功能处确定要使用的期望的用户装备安全特征的列表,按照网络应用功能的偏好对所述列表的安全特征进行排序;
经由引导服务器功能将所述列表发送至用户安全设置的数据库;
由所述网络应用功能经由所述引导服务器功能接收安全特征响应,所述安全特征响应包括从数据库中存储的信息导出的、对应于所述列表中包含的期望的安全特征的安全密钥,从而向网络应用功能通知用户装备中的期望的安全特征中的至少一个的可用性。
10.如权利要求9所述的计算机可读介质,其中,安全特征响应包括对于列表共用的安全特征的指示,以及其中,按从数据库中存储的信息导出的那样来对共用安全特征进行排序。
11.如权利要求9所述的计算机可读介质,其中,经由归属用户服务器将所述列表发送至用户安全设置的数据库。
12.如权利要求9所述的计算机可读介质,其中,所述数据库在包含网络应用功能和引导服务器功能的系统的外部。
13.一种装置,包括:
至少一个处理器;和
至少一个包括计算机程序代码的存储器,其中所述至少一个存储器和计算机程序代码被配置为,利用所述至少一个处理器使得装置至少进行:
在网络应用功能处确定要使用的期望的用户装备安全特征的列表,按照网络应用功能的偏好对所述列表的安全特征进行排序;
经由引导服务器功能将所述列表发送至用户安全设置的数据库;
由所述网络应用功能经由所述引导服务器功能接收安全特征响应,所述安全特征响应包括从数据库中存储的信息导出的、对应于所述列表中包含的期望的安全特征的安全密钥,从而向网络应用功能通知用户装备中的期望的安全特征中的至少一个的可用性。
14.如权利要求13所述的装置,其中,经由归属用户服务器将所述列表发送至用户安全设置的数据库。
15.如权利要求13所述的装置,其中,所述数据库在包含网络应用功能和引导服务器功能的系统的外部。
16.如权利要求13所述的装置,其中,所述数据库包括用于存储所支持的安全特征的字段。
17.如权利要求13所述的装置,其中,所述列表包含单个条目,或包含两个或多于两个条目。
18.如权利要求13所述的装置,其中,在安全特征请求消息中发送所述列表。
19.如权利要求18所述的装置,其中,使用属性值对直径消息来发送所述安全特征请求消息。
20.如权利要求18所述的装置,其中,所述安全特征请求消息包括按期望的用户装置安全特征的优先顺序由分号分隔的期望的用户装置安全特征。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610286717.6A CN105959945B (zh) | 2009-12-11 | 2010-11-22 | 归属用户服务器中的智能卡安全特征简档 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US28404509P | 2009-12-11 | 2009-12-11 | |
| US61/284,045 | 2009-12-11 | ||
| PCT/FI2010/050944 WO2011070226A1 (en) | 2009-12-11 | 2010-11-22 | Smart card security feature profile in home subscriber server |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610286717.6A Division CN105959945B (zh) | 2009-12-11 | 2010-11-22 | 归属用户服务器中的智能卡安全特征简档 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102652439A true CN102652439A (zh) | 2012-08-29 |
Family
ID=44144234
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010800560272A Pending CN102652439A (zh) | 2009-12-11 | 2010-11-22 | 归属用户服务器中的智能卡安全特征简档 |
| CN201610286717.6A Active CN105959945B (zh) | 2009-12-11 | 2010-11-22 | 归属用户服务器中的智能卡安全特征简档 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610286717.6A Active CN105959945B (zh) | 2009-12-11 | 2010-11-22 | 归属用户服务器中的智能卡安全特征简档 |
Country Status (18)
| Country | Link |
|---|---|
| US (1) | US8607053B2 (zh) |
| EP (1) | EP2510717B1 (zh) |
| JP (1) | JP5466770B2 (zh) |
| KR (1) | KR101377879B1 (zh) |
| CN (2) | CN102652439A (zh) |
| AP (1) | AP3318A (zh) |
| AU (1) | AU2010329814B2 (zh) |
| BR (1) | BR112012014045B1 (zh) |
| CA (1) | CA2783570C (zh) |
| CL (1) | CL2012001557A1 (zh) |
| IL (1) | IL220036A0 (zh) |
| MX (1) | MX2012006589A (zh) |
| MY (1) | MY172854A (zh) |
| RU (1) | RU2537275C2 (zh) |
| SG (1) | SG181456A1 (zh) |
| UA (1) | UA106642C2 (zh) |
| WO (1) | WO2011070226A1 (zh) |
| ZA (1) | ZA201205089B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107835204A (zh) * | 2016-09-16 | 2018-03-23 | 苹果公司 | 配置文件策略规则的安全控制 |
| CN107873137A (zh) * | 2015-04-13 | 2018-04-03 | 三星电子株式会社 | 用于管理通信系统中的简档的技术 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW201705779A (zh) | 2011-09-29 | 2017-02-01 | 內數位專利控股公司 | 致礽存取與客籍網路整合之應用方法及裝置 |
| CN106487501B (zh) * | 2015-08-27 | 2020-12-08 | 华为技术有限公司 | 密钥分发和接收方法、密钥管理中心、第一和第二网元 |
| WO2024103415A1 (en) * | 2022-11-18 | 2024-05-23 | Nokia Technologies Oy | Apparatus, method and computer program |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060251257A1 (en) * | 2005-04-14 | 2006-11-09 | Nokia Corporation | Utilizing generic authentication architecture for mobile internet protocol key distribution |
| US20070101122A1 (en) * | 2005-09-23 | 2007-05-03 | Yile Guo | Method and apparatus for securely generating application session keys |
| US20070204160A1 (en) * | 2005-12-01 | 2007-08-30 | Chan Tat K | Authentication in communications networks |
| CN101578841A (zh) * | 2007-01-11 | 2009-11-11 | 诺基亚公司 | 通信网络中的验证 |
| US20120222091A1 (en) * | 2009-11-24 | 2012-08-30 | Telefonaktiebolaget L M Ericsson (Publ) | Methods and apparatus for use in a generic bootstrapping architecture |
Family Cites Families (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2150790C1 (ru) | 1994-10-27 | 2000-06-10 | Интернэшнл Бизнес Машинз Корпорейшн | Способ и устройство для защищенной идентификации мобильного пользователя в сети связи |
| FI105637B (fi) * | 1997-07-02 | 2000-09-15 | Sonera Oyj | Menetelmä tilaajaidentiteettimoduulille tallennettujen sovellusten hallintaan |
| US6983321B2 (en) * | 2000-07-10 | 2006-01-03 | Bmc Software, Inc. | System and method of enterprise systems and business impact management |
| AU2002365257A1 (en) * | 2001-10-26 | 2003-07-24 | Zeosoft Corporation | Development, management of distributed clients and servers |
| US6931453B2 (en) * | 2003-01-03 | 2005-08-16 | Nokia Corporation | Method and apparatus for resolving protocol-agnostic schemes in an internet protocol multimedia subsystem |
| US7444675B2 (en) * | 2003-02-28 | 2008-10-28 | Hewlett-Packard Development Company, L.P. | Systems and methods for defining security information for web-services |
| CN1315268C (zh) * | 2003-11-07 | 2007-05-09 | 华为技术有限公司 | 一种验证用户合法性的方法 |
| ATE511292T1 (de) * | 2005-02-04 | 2011-06-15 | Qualcomm Inc | Sicheres bootstrapping für die drahtlose kommunikation |
| US20060236116A1 (en) * | 2005-04-18 | 2006-10-19 | Lucent Technologies, Inc. | Provisioning root keys |
| JP4791535B2 (ja) * | 2005-06-13 | 2011-10-12 | ノキア コーポレイション | 汎用ブートストラッピング・アーキテクチャ(gba)において、移動ノードの識別子を認証のプリファレンスと共に提供する装置、方法およびコンピュータ・プログラム |
| CN101228769B (zh) * | 2005-06-13 | 2012-10-03 | 诺基亚公司 | 在通用引导架构(gba)中结合认证偏好来提供移动节点标识的装置、方法和计算机程序产品 |
| FI20050853A0 (fi) * | 2005-08-25 | 2005-08-25 | Nokia Corp | Käyttäjädatan hallinta |
| US8122240B2 (en) * | 2005-10-13 | 2012-02-21 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for establishing a security association |
| EP1982493A1 (en) * | 2006-01-30 | 2008-10-22 | Nokia Corporation | Management of user data |
| CN101022651B (zh) * | 2006-02-13 | 2012-05-02 | 华为技术有限公司 | 一种组合鉴权架构及其实现方法 |
| CN101438256B (zh) * | 2006-03-07 | 2011-12-21 | 索尼株式会社 | 信息处理设备、信息通信系统、信息处理方法 |
| US7870601B2 (en) * | 2006-11-16 | 2011-01-11 | Nokia Corporation | Attachment solution for multi-access environments |
| US8612773B2 (en) * | 2007-05-03 | 2013-12-17 | International Business Machines Corporation | Method and system for software installation |
| KR20100083840A (ko) * | 2007-10-05 | 2010-07-22 | 인터디지탈 테크날러지 코포레이션 | Uicc와 단말기간 보안 채널화를 위한 기술 |
| US8151314B2 (en) * | 2008-06-30 | 2012-04-03 | At&T Intellectual Property I, Lp | System and method for providing mobile traffic information in an internet protocol system |
| RU2473184C2 (ru) * | 2008-07-14 | 2013-01-20 | Нокиа Сименс Нетуоркс Ой | Способ и устройство для абонентской базы данных |
| US8925039B2 (en) * | 2009-12-14 | 2014-12-30 | At&T Intellectual Property I, L.P. | System and method of selectively applying security measures to data services |
| US9021073B2 (en) * | 2010-08-11 | 2015-04-28 | Verizon Patent And Licensing Inc. | IP pool name lists |
-
2010
- 2010-11-22 BR BR112012014045-0A patent/BR112012014045B1/pt active IP Right Grant
- 2010-11-22 KR KR1020127017853A patent/KR101377879B1/ko active IP Right Grant
- 2010-11-22 SG SG2012040069A patent/SG181456A1/en unknown
- 2010-11-22 WO PCT/FI2010/050944 patent/WO2011070226A1/en active Application Filing
- 2010-11-22 MY MYPI2012002408A patent/MY172854A/en unknown
- 2010-11-22 AP AP2012006401A patent/AP3318A/xx active
- 2010-11-22 CN CN2010800560272A patent/CN102652439A/zh active Pending
- 2010-11-22 CN CN201610286717.6A patent/CN105959945B/zh active Active
- 2010-11-22 EP EP10835544.7A patent/EP2510717B1/en active Active
- 2010-11-22 JP JP2012542588A patent/JP5466770B2/ja active Active
- 2010-11-22 MX MX2012006589A patent/MX2012006589A/es active IP Right Grant
- 2010-11-22 RU RU2012128165/08A patent/RU2537275C2/ru active
- 2010-11-22 UA UAA201208486A patent/UA106642C2/uk unknown
- 2010-11-22 CA CA2783570A patent/CA2783570C/en active Active
- 2010-11-22 AU AU2010329814A patent/AU2010329814B2/en active Active
- 2010-11-24 US US12/954,120 patent/US8607053B2/en active Active
-
2012
- 2012-05-29 IL IL220036A patent/IL220036A0/en active IP Right Grant
- 2012-06-11 CL CL2012001557A patent/CL2012001557A1/es unknown
- 2012-07-09 ZA ZA2012/05089A patent/ZA201205089B/en unknown
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060251257A1 (en) * | 2005-04-14 | 2006-11-09 | Nokia Corporation | Utilizing generic authentication architecture for mobile internet protocol key distribution |
| US20070101122A1 (en) * | 2005-09-23 | 2007-05-03 | Yile Guo | Method and apparatus for securely generating application session keys |
| US20070204160A1 (en) * | 2005-12-01 | 2007-08-30 | Chan Tat K | Authentication in communications networks |
| CN101578841A (zh) * | 2007-01-11 | 2009-11-11 | 诺基亚公司 | 通信网络中的验证 |
| US20120222091A1 (en) * | 2009-11-24 | 2012-08-30 | Telefonaktiebolaget L M Ericsson (Publ) | Methods and apparatus for use in a generic bootstrapping architecture |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107873137A (zh) * | 2015-04-13 | 2018-04-03 | 三星电子株式会社 | 用于管理通信系统中的简档的技术 |
| CN107873137B (zh) * | 2015-04-13 | 2021-11-23 | 三星电子株式会社 | 用于管理通信系统中的简档的技术 |
| CN107835204A (zh) * | 2016-09-16 | 2018-03-23 | 苹果公司 | 配置文件策略规则的安全控制 |
| CN107835204B (zh) * | 2016-09-16 | 2020-12-08 | 苹果公司 | 配置文件策略规则的安全控制 |
Also Published As
| Publication number | Publication date |
|---|---|
| IL220036A0 (en) | 2012-07-31 |
| CL2012001557A1 (es) | 2012-08-03 |
| AU2010329814B2 (en) | 2015-10-29 |
| SG181456A1 (en) | 2012-07-30 |
| JP2013513986A (ja) | 2013-04-22 |
| WO2011070226A1 (en) | 2011-06-16 |
| EP2510717A4 (en) | 2017-06-14 |
| RU2537275C2 (ru) | 2014-12-27 |
| CA2783570A1 (en) | 2011-06-16 |
| RU2012128165A (ru) | 2014-01-20 |
| ZA201205089B (en) | 2013-12-23 |
| KR101377879B1 (ko) | 2014-03-25 |
| BR112012014045A2 (pt) | 2017-10-10 |
| KR20120102764A (ko) | 2012-09-18 |
| EP2510717B1 (en) | 2020-03-04 |
| EP2510717A1 (en) | 2012-10-17 |
| US8607053B2 (en) | 2013-12-10 |
| CA2783570C (en) | 2015-12-29 |
| US20110145583A1 (en) | 2011-06-16 |
| AP3318A (en) | 2015-06-30 |
| MX2012006589A (es) | 2012-06-19 |
| MY172854A (en) | 2019-12-12 |
| CN105959945B (zh) | 2019-12-17 |
| AU2010329814A1 (en) | 2012-06-21 |
| CN105959945A (zh) | 2016-09-21 |
| JP5466770B2 (ja) | 2014-04-09 |
| UA106642C2 (uk) | 2014-09-25 |
| BR112012014045B1 (pt) | 2022-03-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10462667B2 (en) | Method of providing mobile communication provider information and device for performing the same | |
| EP2215747B1 (en) | Method and devices for enhanced manageability in wireless data communication systems | |
| US10791106B2 (en) | Digital credential with embedded authentication instructions | |
| US20090217038A1 (en) | Methods and Apparatus for Locating a Device Registration Server in a Wireless Network | |
| US20190289463A1 (en) | Method and system for dual-network authentication of a communication device communicating with a server | |
| US20220295269A1 (en) | Network access authentication method and device | |
| US9948641B2 (en) | Method and devices for providing a subscription profile on a mobile terminal | |
| CN109891921B (zh) | 下一代系统的认证的方法、装置和计算机可读存储介质 | |
| US10291613B1 (en) | Mobile device authentication | |
| CN105722072A (zh) | 一种业务授权方法、装置、系统及路由器 | |
| CN102652439A (zh) | 归属用户服务器中的智能卡安全特征简档 | |
| JP2013513986A5 (zh) | ||
| US10251122B2 (en) | Method for switching from a first to a second mobile network operator and corresponding device | |
| CN106453400A (zh) | 一种认证方法及系统 | |
| CN108370369B (zh) | 使用重定向促进客户端设备和应用服务器之间安全通信的网关、客户端设备和方法 | |
| CN109429225A (zh) | 消息接收、发送方法及装置、终端、网络功能实体 | |
| US11930367B2 (en) | Inline eSIM generation | |
| US20220360586A1 (en) | Apparatus, methods, and computer programs | |
| KR20100131750A (ko) | 인증 벡터를 생성하는 장치 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20160104 Address after: Espoo, Finland Applicant after: Technology Co., Ltd. of Nokia Address before: Espoo, Finland Applicant before: Nokia Oyj |
|
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20120829 |