CN104303484A - 用于远程凭证管理的系统和方法 - Google Patents
用于远程凭证管理的系统和方法 Download PDFInfo
- Publication number
- CN104303484A CN104303484A CN201380024843.9A CN201380024843A CN104303484A CN 104303484 A CN104303484 A CN 104303484A CN 201380024843 A CN201380024843 A CN 201380024843A CN 104303484 A CN104303484 A CN 104303484A
- Authority
- CN
- China
- Prior art keywords
- equipment
- information
- service provider
- supplier
- provider network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/35—Protecting application or service provisioning, e.g. securing SIM application provisioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
- H04W8/20—Transfer of user or subscriber data
- H04W8/205—Transfer to or from user equipment or user record carrier
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
总体来说,本申请涉及无线通信系统,并且更具体地说,涉及无线通信系统中针对远程凭证管理的系统、方法和设备。在一个方面中,提供了一种经由服务提供商网络(例如,蜂窝网络)为设备获取设置信息的方法。所述方法包括:经由所述服务提供商网络来发送对设置服务的附着请求,所述附着请求包括具有针对所述设备的唯一标识符的设备供应商信息。所述方法还包括在认证了所述设备供应商信息时,接收来自所述服务提供商的设置信息。在其它方面中,描述了用于提供设置信息的系统和方法。
Description
对相关申请的交叉引用
本申请依据35U.S.C.§119(e)要求享有2012年5月14日递交的、题目为“SYSTEMS AND METHODS FOR REMOTE CREDENTIALSMANAGEMENT”的美国临时专利申请61/646,792的权益,通过引用方式将以上申请的公开内容整体并入本文。
技术领域
概括地说,本申请涉及无线通信系统,并且更具体地说,涉及用于无线通信系统中的远程凭证管理的系统、方法和设备。
背景技术
在许多电信系统中,可以使用通信网络来在若干个空间独立的交互设备之间交换消息。网络可以根据地理范围来分类,其可以是例如城市区域、局部区域、或者个人区域。可以分别将这种网络指定为广域网(WAN)、城域网(MAN)、局域网(LAN)、或个域网(PAN)。网络还根据用于互连各种网络节点和设备的交换技术/路由技术(例如,电路交换相对于分组交换)、所采用用于传输的物理介质的类型(例如,有线相对于无线)、和所使用的通信协议集(例如,互联网协议群(Internet protocol suite)、同步光纤网(SONET)、以太网等)而有所不同。
当网络要素是移动的并由此具有动态连接性需求时,或者如果网络架构以自组织(ad hoc)拓扑而非以固定拓扑形成的,则无线网络往往是优选的。无线网络以非制导传播模式(unguided propagation mode)来采用无形的物理介质,所述非制导传播模式使用无线频带、微波频带、红外频带、光频带等频带中的电磁波。当与固定的有线网络相比时,无线网络有利地促进了用户移动性和快速的现场部署。
在设备可以开始使用网络之前,所述设备可能需要向网络提供用于识别该设备的信息,并且,在某些情况下,提供相关联的订阅信息。该订阅信息可以包括服务等级、可用网络服务以及可以由该设备使用的其它特征。在某些实施方式中,设备标识符可能足以识别相关联的订阅信息。
例如,为了从用户选择的运营商获取蜂窝服务,蜂窝消费电子(例如,平板电脑、智能电话、功能手机、相机)或机器对机器(M2M)设备(例如,智能电表、传感器、车辆辅助设备)典型地需要用户从运营商买SIM卡并将它们安装在设备上或设备内。可替代地,设备可以预装有用户希望得到服务的运营商的订阅凭证(例如,在智能卡上或在设备的存储器中)。前者对于运营商来说可能是昂贵的(例如,由于分销渠道的复杂性)。前者对于用户来说可能也不方便。例如,如果设备是智能电表,则需要保证SIM卡的安全以防止被盗。后者可以将设备固定到具体的运营商。由于针对每个运营商制造不同的模型(例如,每个运营商、每个国家多个SKU,等等),因此这使得对于设备供应商来说是昂贵的。此外,由于后者可能为有限数量的运营商提供某些设备,因此可能限制了用户的选择。
解决所述问题的一种方式是使用设备上现有的订阅(例如,在智能卡上或设备本身上)远程地配置所述设备来下载凭证。可替代地,可以使用与另一种带外(out of band)连接性的形式(例如,WLAN)相关联的现有订阅来下载凭证。然而,如果设备不支持另一种带外连接性的形式(例如,缺少WLAN能力或WLAN对该设备不可用)和/或没有可用于该设备的订阅凭证,那么仍然需要提供一种用于使用蜂窝网络来设置这些未使用的(virgin)设备的方法。
发明内容
本发明的系统、方法和设备中每一个具有若干方面,没有哪一个中的单个方面单独负责其预期的属性。在不将本发明的范围限制为由接下来的权利要求所表达的那样的情况下,现将简要地讨论一些特征。在考虑了这个讨论后,并且尤其在阅读了题为“具体实施方式”的章节后,人们将理解本发明的特征如何提供包括针对接入点和设备的快速初始网络链路设置无线通信系统的优势。
在一个创新方面中,提供了一种经由服务提供商网络为设备获取设置信息的方法。所述方法包括经由所述服务提供商网络来发送对设置服务的附着请求,所述附着请求包括具有针对所述设备的唯一标识符的设备供应商信息。所述方法还包括在认证了所述设备供应商信息时,接收来自所述服务提供商网络的设置信息。
在进一步的创新方面中,提供了一种用于经由服务提供商网络来获取设置信息的装置。所述装置包括附着管理器,其被配置为经由所述服务提供商网络来发送对设置服务的附着请求,所述附着请求包括具有针对所述装置的唯一标识符的设备供应商信息。所述装置包括凭证管理器,其被配置为在认证了所述设备供应商信息时,接收来自所述服务提供商网络的设置信息。
在一个创新方面中,提供了一种用于经由服务提供商网络来获取设置信息的另一种装置。所述装置包括用于经由所述服务提供商网络来发送对设置服务的附着请求的单元,所述附着请求包括具有针对所述设备的唯一标识符的设备供应商信息。所述装置包括用于在认证了所述设备供应商信息时,接收来自所述服务提供商网络的设置信息的单元。
在进一步的创新方面中,提供了一种计算机可读存储介质,其包括由装置的处理器可执行的指令。所述指令使得所述装置经由服务提供商网络来发送对设置服务的附着请求,所述附着请求包括具有针对所述装置的唯一标识符的设备供应商信息。所述指令还使得所述装置在认证了所述设备供应商信息时,接收来自所述服务提供商网络的设置信息。
在进一步的创新方面中,提供了一种经由服务提供商网络来向设备提供设置信息的方法。所述方法包括经由所述服务提供商网络来接收来自所述设备的对设置服务的附着请求,所述附着请求包括具有针对所述设备的唯一标识符的设备供应商信息。所述方法包括至少部分地基于所述设备供应商信息来认证所述设备。所述方法包括在确定所述设备被认证时,发送与订阅相关联的设置信息。
在另一个创新方面中,提供了一种经由服务提供商网络为设备提供设置信息的装置。所述装置包括附着管理器,其被配置为经由所述服务提供商网络来接收来自所述设备的对设置服务的附着请求,所述附着请求包括具有针对所述设备的唯一标识符的设备供应商信息。所述装置包括认证器,其被配置为至少部分地基于所述设备供应商信息来认证所述设备。所述装置包括凭证管理器,其被配置为使得在确定所述设备被认证时,发送与订阅相关联的设置信息。
描述了用于经由服务提供商网络来向设备提供设置信息的另一种创新装置。所述装置包括用于经由所述服务提供商网络来接收来自所述设备的对设置服务的附着请求的单元,所述附着请求包括具有针对所述设备的唯一标识符的设备供应商信息。所述装置包括用于至少部分地基于所述设备供应商信息来认证所述设备的单元。所述装置还包括用于在确定所述设备被认证时,发送与订阅相关联的设置信息的单元。
在进一步的创新方面中,提供了另一种计算机可读存储介质,其包括由装置的处理器可执行的指令。所述指令使得所述装置经由所述服务提供商网络来接收来自设备的对设置服务的附着请求,所述附着请求包括具有针对所述设备的唯一标识符的设备供应商信息。所述指令使得所述装置至少部分地基于设备供应商信息来认证所述设备。所述指令使得所述装置在确定所述设备被认证时,发送与订阅相关联的设置信息。
在上述方面的一个或多个中,所述附着请求可以包括设置类型。例如,所述设置类型可以包括在所述附着请求的信息要素中。
在某些实施方式中,方法、装置或指令可以包括或被配置为交换(例如,发送和/或接收)质询请求以认证所述设备供应商信息,并至少部分地基于设备供应商信息来交换(例如,发送和/或接收)质询响应。在某些实施方式中,可以做出关于质询响应是否与订阅相关联的确定。所述确定可以基于设备供应商信息。
可选地或另外地,方法、装置或指令可以包括或被配置为交换(例如,发送和/或接收)对订阅认证的请求,并且至少部分地基于由多个设备共享的预定凭证来交换(例如,发送和/或接收)质询响应。
在某些实施方式中,可以获取会话密钥。所述会话密钥可以至少部分地基于所述设备供应商信息。可以至少部分地基于所述会话密钥来保证设备与服务提供商网络之间的通信的安全。在接收到设置信息时,所述设备可以被配置为从服务提供商网络分离,并且至少部分地基于所接收的设置信息来获取服务。在某些实施方式中,服务提供商网络可以被配置为在发送了设置信息时,发起所述分离。
在上述方面的一个或多个中,所述设备供应商信息可以包括与设备的供应商相关联的加密证书。针对设备的唯一标识符可以包括国际移动设备标识符和/或移动设备标识符。以上讨论的服务提供商网络可以包括蜂窝网络。
在某些实施方式中,在确定设备未被认证时,所描述的方法、装置或指令可以包括或被配置为:从凭证提供商获取订阅要约、向所述设备发送订阅要约、接收用于指示对所述订阅要约的接受的消息、以及基于所接受的订阅要约来发送设置信息。
附图说明
图1示出了其中可能采用本公开内容的方面的一种无线通信系统的例子。
图2示出了其中可能采用本公开内容的方面的另一种无线通信系统的例子。
图3示出了图1的无线通信系统中可能采用的无线设备的例子的功能框图。
图4示出了针对远程凭证管理的过程例子的过程流程图。
图5示出了用于远程凭证管理期间非订户处理的过程的例子的过程流程图。
图6示出了可能包括在示例性远程凭证管理系统中的一种呼叫流程图。
图7示出了经由服务提供商网络来获取设置信息的示例性方法的过程流程图。
图8示出了针对无线网络通信装置的例子的功能框图。
图9示出了经由服务提供商网络来提供设置信息的示例性方法的过程流程图。
图10示出了针对另一种无线网络通信装置的例子的功能框图。
具体实施方式
描述了通过蜂窝网络(例如,UMTS、LTE、1x、DO)向移动设备提供移动凭证(远程凭证管理)的系统和方法。这种系统和方法允许缺乏凭证和带外连接性的移动设备接入蜂窝网络,以提供可以用于接入蜂窝网络的凭证。在一些系统中,提供针对服务的设置信息的所描述的系统和方法可以被称为远程凭证管理。
以下参照附图来更全面地描述所述新颖系统、装置和方法的各个方面。然而,本公开内容可以以多种不同的形式来体现,并且其不应当被解释为受限于贯穿本公开内容所呈现的任何特定结构或功能。相反地,提供了这些方面,从而本公开内容将更透彻和完整,并且将向本领域技术人员充分地传达本公开内容的范围。根据本文的教导,本领域技术人员应当理解的是,本公开内容的范围旨在覆盖本文所公开的新颖系统、装置和方法的任意方面,无论其是独立地实现还是结合本公开内容的任何其它方面来实现。例如,可以使用本文阐述的任意数量的方面来实现装置或实践方法。另外,本发明的保护范围旨在覆盖以下装置或方法:使用除了本文阐述的申请的各个方面的结构和功能之外,还使用其它结构、功能来实践的装置或方法,或者使用除了本文阐述的申请的各个方面的结构和功能的其它结构、功能来实践的装置或方法。应当理解的是,本文所公开的公开内容的任何方面可以由权利要求的一个或多个要素来体现。
虽然本文中描述了具体的方面,但是这些方面的多种变型和排列落入本公开内容的保护范围之内。虽然提及了优选方面的一些益处和优势,但本公开内容的保护范围不旨在受限于具体的益处、用途或目的。相反地,本公开表内容的方面旨在广泛地适用于不同的无线技术、系统配置、网络和传输协议,其中的一些方面通过示例的方式在附图和优选方面的以下描述中进行了说明。详细说明和附图仅是对本公开内容的说明而不是限制,本公开内容的保护范围是由所附权利要求及其等同物来限定的。
本文中描述的系统和方法可以应用于基于LTE、UMTS、HRPD、演进型HRPD(eHRPD)或CDMA(例如,CDMA 1x)的网络中的远程凭证管理。
在某些方面中,可以以子千兆赫兹(sub-gigahertz)频段来发送无线信号。可以使用正交频分复用(OFDM)、直接序列扩频(DSSS)通信、OFDM和DSSS通信的组合或其它方案来进行发送。子千兆赫协议可以用于传感器、计量器和智能电网。实施这些协议的某些设备的方面可能比实施其它无线协议的设备消耗较少的功率。这些设备可以用来跨越相当长的范围(例如,大约一千米或更长)来发送无线信号。
在某些实施方式中,无线网络可以包括各种设备,这些设备是接入所述无线网络的组件。例如,可以存在两种类型的设备:接入点(AP)和客户端(也被称为站、或者STA)。通常,AP充当无线网络的集线器或基站,而STA充当无线网络的用户。例如,STA可以是膝上型计算机、个人数字助理(PDA)、移动电话等。在一个例子中,STA经由蜂窝无线链路连接到AP以获得与互联网或其它广域网的一般连接。在一些实施方式中,也可以将STA用作AP。
接入点(AP)还可以包括、被实现为、或被称为节点B、无线网络控制器(RNC)、eNodeB、基站控制器(BSC)、基站收发站(BTS)、基站(BS)、收发机功能单元(TF)、无线路由器、无线收发机或某种其它术语。
站“STA”还可以包括、被实现为、或被称为接入终端(AT)、订户站、订户单元、移动站、远程站、远程终端、用户终端、用户代理、用户设备、用户装置或某种其它术语。在一些实施方式中,接入终端可以包括蜂窝电话、无绳电话、会话发起协议(SIP)电话、无线本地环路(WLL)站、个人数字助理(PDA)、具有无线连接能力的手持设备、或连接到无线调制解调器的某种其它适当的处理设备。因此,本文所教导的一个或多个方面可以整合入电话(例如蜂窝电话或智能电话)、计算机(例如膝上型计算机)、便携式通信设备、手持机、便携式计算设备(例如个人数据助理)、娱乐设备(例如,音乐或视频设备、或卫星广播)、游戏设备或系统、全球定位系统设备、或被配置为经由无线介质进行通信的任何其它适当的设备。
无论所述设备被用作STA或AP或其它设备,其可以用于智能电表或用在智能电网中。这种设备可以提供传感器应用或用于家庭自动化。所述设备可以反过来用于医疗保健环境中,或者另外用于医疗保健环境中,例如,用于个人医疗保健。它们还可用于监控,以启用范围扩展的互联网连接性(例如,与热点一起使用),或实现机器对机器通信。
图1示出了一种示例性无线通信系统。无线通信系统100可以包括AP104,AP 104与诸如移动电话106a、电视机106b、计算机106c或另一个接入点106d(下文中由106来单独地或统一地来标识)之类的STA通信。
各种过程和方法可以用于无线通信系统100中AP 104与STA 106之间的传输。例如,根据OFDM/OFDMA技术,可以在AP 104与STA 106之间发送和接收信号。如果是这样的情况,则无线通信系统100可以被称为OFDM/OFDMA系统。可替代地,根据CDMA技术,可以在AP 104与STA106之间发送和接收信号。如果是这样的情况,则无线通信系统100可以被称为CDMA系统。
促进从AP 104向一个或多个STA 106的传输的通信链路可以被称为下行链路(DL)108,而促进从一个或多个STA 106向AP 104的传输的通信链路可以被称为上行链路(UL)110。可替代地,下行链路108可以被称为前向链路或前向信道,而上行链路110可以被称为反向链路或反向信道。
AP 104可以在基本服务区域(BSA)102中提供无线通信覆盖。AP 104连同与所述AP 104相关联并且被配置为使用所述AP 104进行通信的STA106,可以被称为基本服务集(BSS)。应当注意的是,无线通信系统100可以没有中央AP 104,而是可以充当STA 106之间的对等网络。因此,本文所描述的AP 104的功能可以可替代地由一个或多个STA 106来执行。
图2示出了其中可以采用本公开内容的各个方面的无线通信系统的另一个例子。图2所示的无线通信系统包括能够进行远程凭证管理的设备202。能够进行远程凭证管理的设备202可以包括智能电话、功能电话、车辆中包括的蜂窝设备、诸如温度计或地震仪的传感器、相机、平板计算机、电子图书(电子书)阅读器、信用卡阅读器或被配置用于无线通信的其它设备。能够进行远程凭证管理的设备202可以是STA 106。然而,不是所有的STA都可以是能够进行远程凭证管理的设备202。
如上所描述的,能够进行远程凭证管理的设备202可以与接入点104通信。接入点104可以被配置为提供到蜂窝网络206的接入。蜂窝网络206可以包括被配置为提供到数据网络的接入的一个或多个网关。
蜂窝网络206可以被配置为直接地或经由数据网络与远程凭证管理服务器210通信。远程凭证管理服务器210可以位于运营商的网络上。例如,远程凭证管理服务器210可以包括在设置和设备管理系统中。在某些实施方式中,远程凭证管理服务器210可以由代表网络运营商的机器对机器服务提供商来托管(hosted)。在某些实施方式中,远程凭证管理服务器210可以由代表网络运营商的设备供应商来托管。
远程凭证管理服务器210可以被配置为管理能够进行远程凭证管理的设备。远程凭证管理服务器210可以被配置为管理对设备映射的订阅。该映射可以用于订阅凭证的设置和/或计费用途。远程凭证管理服务器210可以支持到外部服务提供商的接口,用于注册设备以及关联计费计划。
服务提供商(例如,公用事业公司或电子书销售商)也可是凭证提供商212。在某些实施方式中,凭证提供商212可以不提供除了提供凭证之外的网络服务。例如,凭证提供商212可以从运营商大批地购买网络服务并转售这些服务。又如,如果用户提供信息(例如,进行调查、查看内容等),则凭证提供商212可以供应凭证。凭证提供商212可以位于服务提供商网络中或附着于服务提供商网络。
凭证提供商的一个例子是网络运营商212a。凭证提供商的另一个例子是设备制造商212b。凭证提供商212的再一个例子是机器对机器服务提供商212c。凭证提供商可以通过提供设备标识符、针对设备类别的标识符、和/或用于认证能够进行远程凭证管理的设备的证书来管理能够进行远程凭证管理的设备202。
系统还可以包括网络操作中心208。网络操作中心208可以被配置为管理与订阅凭证相关联的后台功能。例如,如果凭证提供商212给予(subsidizing)能够进行远程凭证管理的设备202接入,则网络操作中心208可以监视来自设备的流量并确定由能够进行远程凭证管理的设备202请求的服务是否在与凭证提供商相关联的协商的服务等级内。网络操作中心208可以被配置为针对能够进行远程凭证管理的设备202应用策略和计费功能以及服务质量。
图3示出了图1的无线通信系统中可以采用的示例性凭证管理设备的功能框图。凭证管理设备302是可以被配置为实现本文描述的各种方法的设备的例子。例如,凭证管理设备302可以包括能够进行远程凭证管理的设备202或远程凭证管理服务器210。
凭证管理设备302可以包括处理器单元304,所述处理器单元304控制凭证管理设备302的操作。处理器单元304中的一个或多个可以统称为中央处理单元(CPU)。可以包括只读存储器(ROM)和随机存取存储器(RAM)二者的存储器306向处理器单元304提供指令和数据。存储器306的一部分还可以包括非易失性随机存取存储器(NVRAM)。处理器单元304可以被配置为基于存储在存储器306中的程序指令来执行逻辑和算术操作。可以执行存储器306中的指令以实现本文描述的方法。
可以利用能够执行计算或信息的其它操作的通用微处理器、微控制器、数字信号处理器(DSP)、现场可编程门阵列(FPGA)、可编程逻辑设备(PLD)、控制器、状态机、门逻辑器件、分立硬件组件、专用硬件有限状态机或任何其它适当实体的任意组合来实现处理器单元304。在处理器单元304包括DSP的实施方式中,DSP可以被配置为产生用于传输的分组(例如,数据分组)。在某些方面中,分组可以包括物理层数据单元(PPDU)。
凭证管理设备302还可以包括用于存储软件的机器可读介质。处理单元304可以包括用于存储软件的一个或多个机器可读介质。无论被称为软件、固件、中间件、微代码、硬件描述语言还是其它,软件应当被广意地解释为意味着任何类型的指令。指令可以包括代码(例如,以源代码格式、二进制代码格式、可执行代码格式、或任何其它适当代码的格式)。当指令由处理器单元304执行时,使得凭证管理设备302执行本文描述的各种功能。
凭证管理设备302可以包括发射机310和/或接收机312以分别允许凭证管理设备302和远程位置之间的数据的发送和接收。发射机310和接收机312可以组合为收发机314。天线316可以附着到壳体308并与收发机314电耦合。凭证管理设备302还可以包括(未示出)多个发射机、多个接收机、多个收发机、和/或多个天线。
发射机310可以被配置为无线地发送分组和/或信号。例如,如上所讨论的,发射机310可以被配置为发送由处理器单元304产生的不同类型的分组。可以使得所述分组对发射机310可用。例如,处理器单元304可以将分组存储在存储器306中,并且发射机301可以被配置为检索所述分组。一旦发射机检索到分组,则发射机301经由天线316来发送所述分组。
凭证管理设备302上的天线316可以检测无线地发送的分组/信号。接收机312可以被配置为处理所检测的分组/信号,并使它们对处理器单元304可用。例如,接收机312可以将分组储存在存储器306中,并且处理器单元304可以被配置为检索所述分组。
凭证管理设备302还可以包括信号检测器318,所述信号检测器318可以用于检测并量化由收发机314接收到的信号的电平。信号检测器318可以检测诸如总能量、每子载波每符号的能量、功率谱密度的信号以及其它信号。凭证管理设备302还可以包括用于处理信号的数字信号处理器(DSP)320。DSP 320可以被配置为产生用于发送的分组。在某些方面中,分组可以包括物理层数据单元(PPDU)。
凭证管理设备302在一些方面中还可以包括用户接口322。用户接口322可以包括键盘、话筒、扬声器、和/或显示器。用户接口322可以包括向凭证管理设备302的用户传达信息和/或接收来自所述用户的输入的任意元件或组件。凭证管理设备302还可以包括环绕着包括在凭证管理设备302中的一个或多个组件的壳体308。
凭证管理设备302还可以包括远程凭证管理器324。当凭证管理设备302被实现为能够进行凭证管理的设备202(例如,STA)时,远程凭证管理器324可以包括被配置为进行以下操作的一个或多个电路:产生包括引导(bootstrap)信息的设置附着请求以获取订阅凭证、接收并响应质询请求、以及管理所提供的订阅凭证,如以下所进一步详细描述的。当凭证管理设备302被实现为远程凭证管理服务器210时,远程凭证管理器324可以包括被配置为执行以下操作的一个或多个电路:处理包括引导信息的设置附着请求、执行设备认证质询消息、以及识别和提供订阅凭证,如以下所进一步详细描述的。
凭证管理设备302的各种组件可以由总线系统326耦合在一起。总线系统326可以包括(例如)数据总线,以及除了数据总线外的功率总线、控制信号总线以及状态信号总线。本领域技术人员将会理解,可以使用一些其它机制来将凭证管理设备302的组件耦合在一起或接受彼此的输入或向彼此提供输入。
尽管图3中示出了数个分开的组件,但是本领域技术人员将会意识到,所述组件中的一个或多个可以组合实现或共同实现。例如,处理器单元304不仅可以用于实现以上描述的关于处理器单元304的功能,还可以用于实现以上描述的关于信号检测器318的功能。此外,图3中所示的组件的中每一个可以使用多个分开的元件来实现。
图4示出了针对远程凭证管理的过程的例子的过程流程图。图4中所示的过程可以由包括在如图1或图2中所示的无线网络中的一个或多个元件来实现。在方框402处,可以提供引导信息。所述引导信息可能通常指的是由模块/设备供应商所提供的信息。所述信息可以安装在模块/设备中用于接入无线网络。所述引导信息可以基于网络运营商要求。例如,一个网络运营商可以基于国际移动设备标识符(IMEI)和与IMEI相关联的证书或私钥/公钥对来进行引导,而另一个网络运营商可以基于IMEI、与IMEI相关联的证书或私钥/公钥对、以及服务提供商标识符来进行引导。在某些实施方式中,移动设备标识符(MEID)可以用于识别设备。因此,模块/设备可以包括引导信息的若干片段,其可以用于或可以不用于基于网络运营商来提供凭证。
在某些实施方式中,引导信息可以包括国际移动设备标识符、移动设备标识符、和/或国际移动设备标识符证书。引导信息要素在制造时可以被安全地配置。例如,所述要素可以储存在设备的静态存储器和/或安全存储器位置。在某些实施方式中,希望由运营商信任的证书授权机构来发布国际移动设备标识符。引导信息可以储存在设备的存储器中。引导信息可以储存在诸如可以与设备耦合的智能卡的可移动存储器中。
在方框404处,可以对设备上电。在决定方框406处,做出关于有效的订阅是否可用于设备的决定。例如,蜂窝订阅凭证可以包括在智能卡上或设备的存储器中。
如果设备包括有效的订阅凭证,则在方框408处,这些凭证可以用于使用由网络运营商或管理所述无线网络的标准所规定的附着程序来附着到网络。然而,如果决定方框406处的确定没有识别出针对设备的有效订阅,则在方框408处,所述设备可以被配置为使用设置附着请求来附着到网络。在一些实施方式中,附着请求可以包括附着类型字段。在这些实施方式中,附着类型可以被识别为设置或设置服务。网络可以被配置为允许该设备针对获取订阅凭证的有限目的而附着。所述网络确定该附着是针对该有限目的的一种方式可以使通过使用附着类型字段。
在方框410处,基于所述设置服务请求,所述网络可以识别针对设备的订阅信息。作为识别订阅信息的一部分,网络可以基于包括在设置服务请求中的引导信息来执行认证。在一些实施方式中,认证可以包括进一步的发消息(例如,质询请求/响应)以获取用于认证的信息。
在一些实施方式中,网络可以省略针对设置附着请求的认证与密钥协商(AKA)认证。在这种实施方式中,可以从IMEI认证中导出诸如KASME的非接入层安全上下文。在一些实施方式中,可以使用公知的凭证集合来执行AKA认证。所述公知的AKA凭证与来自IMEI认证的凭证一起,用作“客座(guest)”凭证,以在设置过程期间允许与设备的AKA保证安全的通信。所述公知的AKA凭证可以由多个设备预定和共享。公知的凭证可以是临时IMSL、临时移动订户识别码(TMSI)、全球唯一临时标识符(GUTI),或类似的标识符。可以出于对可能不具有有效订阅的设备进行设置的目的,来使用该标识符。
如果基于引导信息的认证成功了,则网络可以认为所述设备是由运营商认证的供应商和/或经证实的供应商来提供的。在一些实施方式中,该设备可以被称为用于设置目的的“可信任的”设备。在识别该设备中,在方框410处识别对应的订阅。作为识别的一部分,远程凭证管理服务器210可以安全地获取针对所述设备的订阅信息。
在决定方框412处,执行关于是否为所述设备识别出订阅信息的决定。该决定可以基于认证的结果。该决定可以基于不具有活动订阅的被认证的设备。例如,设备可以具有与服务提供商的按月订阅。在月底,所述订阅可以结束。这样,所述设备需要更新它的订阅以获取到服务的接入。
如果为设备识别了订阅,则在方框414处,可以向设备提供所识别的订阅凭证。还可以将该凭证提供给网络的一个或多个元件,例如提供给被配置为执行3GPP认证的网络实体。所述网络实体可以包括归属订户服务器(HSS)或认证、与服务提供商网络耦合的授权和访问(AAA)服务器。
在方框416处,设备可以从网络分离。由于设备之前以仅设置的模式附着,所以可用于设备的网络资源可以被限制为仅设置凭证服务。网络可以包括IP过滤器以限制(例如)数据流量。在方框418处,设备可以使用所提供的凭证来附着到网络。
返回到决定方框412处,如果没有为设备识别出有效的订阅,则可以在方框500处执行额外的非订户处理。下面将参照图5来进一步详细描述所述额外的非订户处理。
图5示出了针对远程凭证管理期间的非订户处理的过程例子的过程流程图。可以针对被认证的设备来执行非订户处理过程。在这种情形下,设备可以被识别并与一个或多个凭证提供商212相关联。然而,所述设备没有针对任一供应商的活动的有效凭证。所述过程可以在方框502处开始,在此处,识别潜在的凭证提供商。使用引导信息的一个或多个要素来查询远程凭证管理服务器,以识别潜在的凭证提供商212。
在决定方框504处,做出关于任何凭证提供商212是否可用于经识别的设备的确定。如果针对所述设备,没有发现凭证提供商212,则所述过程继续到方框518。在方框518处,可以向设备提供错误消息,所述错误消息用于指示没有可用于设置订阅信息的凭证提供商212。所述流程可以在方框520处以设备从网络分离而结束。可以由所述网络和/或所述设备来执行所述分离。
返回到决定方框504处,如果针对设备,识别了一个或多个凭证提供商212,则所述过程继续到方框506,在此处,获得供应商订阅要约。供应商订户要约通常可以指的是用于从供应商获得订阅凭证的条件和/或条款。例如,所述要约可以包括为订阅凭证提供支付信息。所述要约可以包括为订阅凭证请求关键值。所述关键值可以在带外(例如在购买收据上)来提供。
在方框508处,可以向设备发送订阅要约。所述发送使得接口例如经由网络浏览器来显示该要约信息。在方框510处,可以接收对该订阅要约的响应。在决定方框512处,做出关于是否已经接受了该要约的确定。该接受确定可以包括向凭证提供商提供订阅要约的响应以用于验证、确认和/或进一步的处理。如果接受了该要约,则可以向设备提供所述凭证。该过程可以例如像图4的方框416处那样继续。
如果没有接受该要约,则在决定方框516处,做出关于是否已经为设备识别了任何额外的凭证提供商212的确定。如果没有识别额外的凭证提供商212,则该过程继续到如上所述的方框518处。如果识别了额外的凭证提供商212,则过程进行到如上所述的方框506处。
图6示出了可能包括在示例性远程凭证管理系统中的一种呼叫流程图。图6中所示的呼叫流程图包括一些实体,所述实体可能包括在以远程凭证管理为特征的无线通信系统中。图6中所示的实体包括能够进行RCM的设备202、接入网104(例如,UTRAN或E-UTRAN)、认证器604、IP接入网关608、HSS/AAA 610、策略和计费规则功能612以及RCM服务器210。
所述呼叫流程可以以从RCM服务器210或设备供应商向HSS/AAA 610发送消息650开始。所述消息650可以识别与凭证提供商相关联的经授权的设备简档。该经授权的设备简档可以包括引导信息(例如,信任的公钥或CA证书),所述引导信息与能够进行RCM的设备或能够进行RCM的设备的类别相关联。例如,消息650可以识别与凭证提供商相关联的设备的类别。如某些特定的例子,消息650可以识别属于公用事业公司的智能电表、与服务提供商相关联的智能电话或由电子书经销商提供的电子图书阅读器。该识别可以根据设备标识符、设备标识符的部分(例如,标识符的范围)、设备类别标识符等。标识符信息可以在制造期间或递送到消费者之前,存储在能够进行RCM的设备202中。可以使用安全的存储器元件将信息存储在能够进行RCM的设备202中。
在稍后的时间点处,能够进行RCM的设备202可以向接入网104发送消息652。消息652可以是对设置服务的附着请求。该附着请求可以与类型相关联。消息652可以包括与设置服务相关联的类型的附着请求。举一个例子,该附着请求可以包括信息要素,所述信息要素包括用于指示该附着请求是与设置服务相关联的类型的值。消息652可以包括设备供应商信息,例如,唯一的设备标识符、设备类别标识符等。唯一设备标识符的一个例子是国际移动设备标识符(IMEI)。唯一设备标识符的另一个例子是移动设备标识符(MEID)。包括在消息652中的信息可以包括在由消息650提供的信息中。
接入网104可以允许能够进行RCM的设备202在网络上。例如,接入网104可以确定消息652是设置类型附着请求。这可以使得接入网104先占(preempt)订阅认证程序并允许能够进行RCM的设备的网络接入。该服务提供商将能够进行RCM的设备202的接入限制于某些网络服务和/或位置。例如,服务提供商仅允许设备接入远程凭证管理服务器210。在一些实施方式中,相比于针对非设置附着请求的服务的质量,设备供应商可以为设置附着请求分配某一质量的服务。例如,相比于非设置附着请求(例如,来自具有之前设置的凭证的设备),服务提供商可以为设置附着请求分配较低质量的服务(例如,优先级)。
一旦允许了在网络上,则可以经由认证消息654来执行设备认证。应当注意的是,认证消息654是要认证设备,而不是认证订阅,这是因为设备还没有设置具有服务信息。认证消息654可以包括向认证器604发送IMEI以及与能够进行RCM的设备202相关联的IMEI证书信息。在一些实施方式中,认证器604可以是服务通用无线分组业务支持节点(SGSN)或移动性管理实体(MME)。在某些cdma2000网络实施方式中,认证器可以是分组数据服务节点(PDSN)或HRPD服务网关(HSGW)。如果经授权的供应商特定设备认证信息还不可用(例如与能够进行RCM的设备202相关联),则证书颁发机构(CA)证书和简档可以由认证器604通过与HSS/AAA610的消息来获得或者从服务提供商网络的另一实体来获得。
如果认证失败,则呼叫流程结束。然而,如图6中所示,认证是成功的。可以发送认证器604与IP接入网关606之间的消息658。IP接入网关606的例子包括网关通用支持节点、网关通用分组无线服务服务节点或分组数据网络网关。
消息658可以为能够进行RCM的设备202产生IP会话,以接入RCM服务器210来获取订阅凭证。在一些实施方式中,IP会话可以由IP接入网关和策略计费规则功能412之间的消息(未示出)来授权。该授权可以至少部分地基于针对所述设备的IMEI/MEID授权。在一些实施方式中,IP接入网关606可以包括设备特定的受限IP过滤器,以限制能够进行RCM的设备202的网络接入。IP过滤器可以每个设备、每个设备类别、每个设置附着地来建立,或在IP网关处针对所有请求设置服务的设备被配置为相同的。
能够进行RCM的设备202现在可以与RCM服务器210通信。消息660可以在能够进行RCM的设备202与RCM服务器210之间发送,来为能够进行RCM的设备202提供订阅凭证。在一些实施方式中,能够进行RCM的设备202可以与有效的凭证相关联。如果RCM服务器210能够识别该凭证,则可以在不具有与能够进行RCM的设备202的额外的消息的情况下来实现所述设置。然而,如上所描述的,在非订户的情形下,可以将订阅要约呈现给能够进行RCM的设备202。消息660可以包括要约信息、要约响应信息等。应当注意的是,能够进行RCM的设备202与RCM服务器210之间的通信是相互认证的、基于IP的和安全的。
消息660可以使得成功设置针对能够进行RCM的设备202的凭证。在这种情形下,远程凭证管理数据还可以利用HSS/AAA610来更新,所述HSS/AAA610用于指示针对能够进行RCM的设备202的有效订阅凭证。所述更新可以经由消息662而发生。
可发送消息664以完成额外的设备管理和/或激活。例如,可以向能够进行RCM的设备202提供订阅,但是所述设备需要额外的信息来接入具体的网络。该信息可以经由消息664发送到能够进行RCM的设备202。
能够进行RCM的设备202现在可能具有有效的订阅凭证和接入网络所需的任何额外的管理或激活信息。可以在能够进行RCM的设备202和接入网104之间发送消息666以分离能够进行RCM的设备202。尽管没有示出,但是所述分离还可以使得关闭由消息658创建的IP会话。可以发送消息668来使用经设置的订阅凭证将能够进行RCM的设备202附着到网络。
因此,如所示出的,最初不具有有效订阅凭证的、能够进行RCM的设备202可以使用蜂窝连接性通过提供存储在所述能够进行RCM的设备202上的设备供应商认证信息来提供订阅凭证。
图7示出了经由服务提供商网络来获取设置信息的方法的例子的过程流程图。该过程可以全部或部分由本文描述的设备(例如上面的图3以及下面的图8所示的设备)来执行。在一些实施方式中,该过程可以在诸如能够进行远程凭证管理的设备的STA中实现。
所述过程在方框702处开始,在此处,可以经由服务提供商网络来发送针对设置服务的附着请求。该附着请求可以包括诸如上所讨论的引导信息的设备供应商信息。在一些实施方式中,可以接收认证设备的质询请求。在这些实施方式中,可以发送至少部分地基于设备供应商信息(例如,凭证)的质询响应。在方框704处,在认证了设备供应商信息时,可以从服务提供商网络接收设置信息。所发送和/或所接收的信号可以类似于图6的呼叫流程中所示的那些信号。
图8示出了针对无线网络通信装置的功能框图。本领域技术人员将会理解,无线网络通信装置可以比图8所示的简化的无线网络通信装置具有更多的组件。所示的无线网络通信装置800仅包括那些对于描述权利要求的保护范围内的实施方式的一些显著特征有用的组件。无线网络通信装置800可以包括附着管理器802和凭证管理器804。
在一些实施方式中,附着管理器802可以被配置为经由服务提供商网络来发送对设置服务的附着请求。该附着请求可以包括具有针对无线网络通信装置800的唯一标识符的设备供应商信息。附着管理器802可以包括可编程芯片、处理器、存储器、天线和发射机中的一个或多个。在一些实施方式中,用于发送对设置服务的附着请求的单元可以包括附着管理器802。
在一些实施方式中,订阅管理器804可以被配置为接收来自服务提供商网络的订阅信息。订阅管理器804可以包括接收机、天线、信号处理器以及存储器中的一个或多个。在一些实施方式中,用于接收设置服务的单元可以包括订阅管理器804。
图9示出了经由服务提供商网络向设备提供设置信息的示例性方法的过程流程图。该过程可以全部或部分由本文描述的设备(例如上面的图3以及下面的图10所示的设备)来执行。在一些实施方式中,该过程可以在远程凭证管理器服务器中实现。
所述过程在方框902处开始,在此处,经由服务提供商网络从设备接收对设置信息的附着请求。该附着请求可以包括如上所讨论的设备供应商信息。在方框904处,至少部分地基于设备供应商信息来认证该设备。在方框906处,在确定该设备被认证时,发送与订阅相关联的设置信息。
图10示出了另一个无线网络通信装置例子的功能框图。本领域技术人员将会理解,无线网络通信装置可以比图10所示的简化的无线网络通信装置1000具有更多的组件。所示的无线网络通信装置1000仅包括那些对于描述权利要求的保护范围内的实施方式的一些显著特征有用的组件。无线网络通信装置1000可以包括附着管理器1002、认证器1004以及凭证管理器1006。
在一些实施方式中,附着管理器1002可以被配置为经由服务提供商网络从设备接收针对设置服务的附着请求,所述附着请求包括具有针对所述设备的唯一标识符的设备供应商信息。附着管理器1002可以包括接收机、天线、可编程芯片、处理器、存储器和网络接口中的一个或多个。在一些实施方式中,用于接收附着请求的单元可以包括附着管理器1002。
在一些实施方式中,认证器1004可以被配置为至少部分地基于设备供应商信息来认证设备。认证器1004可以包括数据网络接口、比较器、证书处理器、处理器和存储器中的一个或多个。在一些实施方式中,用于认证设备的单元可以包括认证器1004。
在一些实施方式中,凭证管理器1006可以被配置为在认证了设备时,使得发送与订阅相关联的设置信息。凭证管理器1006可以包括发射机、天线、存储器、处理器、信号产生器以及凭证库(credential store)中的一个或多个。在一些实施方式中,用于发送设置信息的单元可以包括凭证管理器1006。
如本文中所使用的,术语“确定”包括各种各样的动作。例如,“确定”可以包括计算、运算、处理、导出、调查、查找(例如,在表格、数据库或另一个数据结构中进行查找)、断定(ascertain)等。另外,“确定”可以包括接收(例如,接收信息)、存取(例如,对存储器中的数据进行存取)等。另外,“确定”可以包括解决、挑选、选择、建立等。此外,如本文中所使用的,“信道宽度”在某些方面可以包含带宽或者还可以被称为带宽。
如本文中所使用的关于项目列表的“至少一个”的短语指的是那些项目的任意组合(包括单个成员)。举例而言,a、b或c的“至少一个”旨在涵盖:a、b、c、a-b、a-c、b-c以及a-b-c。
以上所描述的方法的各种操作可以由能够执行所述操作的任何适当单元(例如,各种硬件和/或软件组件、电路和/或模块)来执行。通常,在附图中示出的任何操作可以由能够执行所述操作的相应功能单元来执行。
可以使用被设计为执行本文所描述的功能的通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列信号(FPGA)或其它可编程逻辑器件(PLD)、分立门或晶体管逻辑器件、分立硬件组件、或者其任何组合,来实现或执行结合本公开内容来描述的各种说明性的逻辑块、模块和电路。通用处理器可以是微处理器,或者,所述处理器可以是任何市售处理器、控制器、微控制器或状态机。处理器还可以实现为计算设备的组合,例如,DSP和微处理器的组合、多个微处理器、一个或多个微处理器与DSP内核的结合,或者任何其它此种结构。
在一个或多个方面中,可以用硬件、软件、固件或其任意组合来实现所描述的功能。如果以软件来实现,则可以将这些功能作为计算机可读介质上的一个或多个指令或代码来存储或者通过其进行传输。计算机可读介质包括计算机存储介质和通信介质两者,所述通信介质包括促进从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是计算机能够存取的任何可用介质。通过示例的方式而不是通过限制的方式,这种计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM或其它光盘存储器、磁盘存储器或其它磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其它介质。另外,任何连接可以适当地称为计算机可读介质。例如,如果软件是使用同轴电缆、光纤光缆、双绞线、数字用户线(DSL)、或者诸如红外线(IR)、无线和微波之类的无线技术从网站、服务器或其它远程源传输的,则所述同轴电缆、光纤光缆、双绞线、DSL或者诸如红外线、无线和微波之类的无线技术包括在所述介质的定义中。如本申请所使用的,磁盘和光盘包括压缩光盘(CD)、激光光盘、光盘、数字通用光盘(DVD)、软盘和蓝光光盘,其中磁盘通常磁性地复制数据,而光盘则用激光来光学地复制数据。因此,在一些方面中,计算机可读介质可以包括非临时性计算机可读介质(例如,有形介质)。另外,在某些方面中,计算机可读介质可以包括临时性计算机可读介质(例如,信号)。上述的组合也应当包括在计算机可读介质的保护范围之内。
本文中所公开的方法包括用于实现所描述的方法的一个或多个步骤或动作。可以在不背离权利要求的保护范围的情况下,将方法步骤和/或动作互换。换句话说,除非规定了步骤或动作的特定顺序,否则在不背离权利要求的保护范围的情况下,可以修改特定步骤和/或动作的特定顺序和/或使用。
可以用硬件、软件、固件或其任意组合来实现所描述的功能。如果以软件来实现,则可以将所述功能作为计算机可读介质上的一个或多个指令进行存储。存储介质可以是计算机能够存取的任何可用介质。通过示例的方式而非限制的方式,这种计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM或其它光盘存储器、磁盘存储器或其它磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其它介质。如本文中所使用的,如本申请所使用的,磁盘和光盘包括压缩光盘(CD)、激光光盘、光盘、数字通用光盘(DVD)、软盘和蓝光光盘,其中磁盘通常磁性地复制数据,而光盘则用激光来光学地复制数据。
因此,某些方面可以包括用于执行本文呈现的操作的计算机程序产品。例如,这种计算机程序产品可以包括具有存储(和/或编码)于其上的指令的计算机可读介质,所述指令由一个或多个处理器可执行,以执行本文描述的操作。对于某些方面,计算机程序产品可以包括封装材料。
还可以通过传输介质来发送软件或指令。例如,如果软件是使用同轴电缆、光纤光缆、双绞线、数字用户线(DSL)或者诸如红外线、无线和微波之类的无线技术从网站、服务器或其它远程源发送的,则所述同轴电缆、光纤光缆、双绞线、DSL、或者诸如红外线、无线和微波之类的无线技术包括在传输介质的定义中。
此外,应当明白的是,用于执行本文所描述的方法和技术的模块和/或其它适当的单元,可以由用户终端和/或基站在适用时进行下载和/或以其它方式来获得。例如,可以将这种设备耦合到服务器,以促进传输用于执行本文中所描述的方法的单元。可替代地,可以经由存储单元(例如,RAM、ROM、物理存储介质(例如,压缩光盘(CD)或软盘)等)来提供本文所描述的各种方法,从而在将存储单元耦合到或者提供给所述设备时,用户终端和/或基站可以获得所述各种方法。另外,可以使用用于向设备提供本文中所描述的方法和技术的任何其它合适的技术。
将要理解的是,权利要求不限于上面示出的精确的结构和组件。可以在不脱离权利要求的保护范围的情况下对以上所描述的方法和装置的布置、操作和细节做出各种修改、变化和变型。
尽管上文涉及本公开内容的多个方面,但是可以在不背离本公开内容基本保护范围的情况下,来设计本公开内容的其它方面和另外的方面,并且本公开内容的保护范围是由接下来的权利要求所确定的。
Claims (46)
1.一种经由服务提供商网络为设备获取设置信息的方法,所述方法包括:
经由所述服务提供商网络来发送对设置服务的附着请求,所述附着请求包括具有针对所述设备的唯一标识符的设备供应商信息;以及
在认证了所述设备供应商信息时,接收来自所述服务提供商网络的设置信息。
2.根据权利要求1所述的方法,其中,所述附着请求包括设置类型。
3.根据权利要求2所述的方法,其中,针对所述附着请求的所述设置类型包括在所述附着请求的信息要素中。
4.根据权利要求1所述的方法,还包括:
接收质询请求以认证所述设备供应商信息;以及
至少部分地基于设备供应商信息来发送质询响应。
5.根据权利要求1所述的方法,还包括:
接收对订阅认证的请求;以及
至少部分地基于由多个设备共享的预定凭证,来发送质询响应。
6.根据权利要求1所述的方法,还包括:
获取会话密钥,所述会话密钥至少部分地基于所述设备供应商信息;以及
至少部分地基于所述会话密钥,来保证所述设备与所述服务提供商网络之间的通信的安全。
7.根据权利要求1所述的方法,还包括:
在接收到所述设置信息时,从所述服务提供商网络分离;以及
至少部分地基于所接收的设置信息,来获取服务。
8.根据权利要求1所述的方法,其中,所述设备供应商信息还包括与所述设备的供应商相关联的加密证书。
9.根据权利要求1所述的方法,其中,针对所述设备的所述唯一标识符包括国际移动设备标识符和移动设备标识符中的至少一个。
10.根据权利要求1所述的方法,其中,所述服务提供商网络包括蜂窝网络。
11.一种用于经由服务提供商网络来获取设置信息的装置,所述装置包括:
附着管理器,其被配置为经由所述服务提供商网络来发送对设置服务的附着请求,所述附着请求包括具有针对所述装置的唯一标识符的设备供应商信息;以及
凭证管理器,其被配置为在认证了所述设备供应商信息时,接收来自所述服务提供商网络的设置信息。
12.根据权利要求11所述的装置,其中,所述附着请求包括设置类型。
13.根据权利要求12所述的装置,其中,针对所述附着请求的所述设置类型包括在所述附着请求的信息要素中。
14.根据权利要求11所述的装置,还包括:
质询请求接收机,其被配置为接收质询请求以认证所述设备供应商信息;以及
质询响应发射机,其被配置为至少部分地基于设备供应商信息来发送质询响应。
15.根据权利要求11所述的装置,还包括:
质询请求接收机,其被配置为接收质询请求以认证针对所述装置的订阅;以及
质询响应发射机,其被配置为至少部分地基于由多个设备共享的预定凭证,来发送质询响应。
16.根据权利要求11所述的装置,还包括:
会话密钥管理器,其被配置为至少部分地基于所述设备供应商信息来获取会话密钥;以及
安全通信模块,其被配置为至少部分地基于所述会话密钥来安全地与所述服务提供商网络通信。
17.根据权利要求11所述的装置,其中,所述附着处理器还被配置为:
在接收到所述设置信息时,从所述服务提供商网络分离;以及
至少部分地基于所接收的设置信息,来获取服务。
18.根据权利要求11所述的装置,其中,所述设备供应商信息还包括与所述装置的供应商相关联的加密证书。
19.根据权利要求11所述的装置,其中,针对所述装置的唯一标识符包括国际移动设备标识符和移动设备标识符中的至少一个。
20.根据权利要求11所述的装置,其中,所述服务提供商网络是蜂窝网络。
21.一种用于经由服务提供商网络来获取设置信息的装置,所述装置包括:
用于经由所述服务提供商网络来发送对设置服务的附着请求的单元,所述附着请求包括具有针对所述设备的唯一标识符的设备供应商信息;以及
用于在认证了所述设备供应商信息时,接收来自所述服务提供商网络的设置信息的单元。
22.一种计算机可读存储介质,其包括由装置的处理器可执行的指令,所述指令使得所述装置进行以下操作:
经由服务提供商网络来发送对设置服务的附着请求,所述附着请求包括具有针对所述装置的唯一标识符的设备供应商信息;以及
在认证了所述设备供应商信息时,接收来自所述服务提供商网络的设置信息。
23.一种经由服务提供商网络来向设备提供设置信息的方法,所述方法包括:
经由所述服务提供商网络来接收来自所述设备的对设置服务的附着请求,所述附着请求包括具有针对所述设备的唯一标识符的设备供应商信息;
至少部分地基于所述设备供应商信息来认证所述设备;以及
在确定所述设备被认证时,发送与订阅相关联的设置信息。
24.根据权利要求23所述的方法,其中,所述附着请求包括设置类型。
25.根据权利要求24所述的方法,其中,针对所述附着请求的所述设置类型包括在所述附着请求的信息要素中。
26.根据权利要求23所述的方法,还包括:
发送质询请求以认证所述设备;
接收质询响应;以及
至少部分地基于设备供应商信息,来确定所述质询响应是否与订阅相关联。
27.根据权利要求23所述的方法,还包括:
发送质询请求以认证针对所述设备的订阅;
接收质询响应;以及
确定所述质询响应是否与由多个设备共享的预定凭证相关联。
28.根据权利要求23所述的方法,还包括:
产生会话密钥,所述会话密钥至少部分地基于设备供应商信息;以及
至少部分地基于所述会话密钥,来保证所述设备与所述服务提供商网络之间的通信的安全。
29.根据权利要求23所述的方法,其中,所述设备供应商信息还包括与所述设备的供应商相关联的加密证书。
30.根据权利要求23所述的方法,其中,针对所述设备的所述唯一标识符包括针对所述设备的国际移动设备标识符和针对所述设备的移动设备标识符中的至少一个。
31.根据权利要求23所述的方法,其中,所述服务提供商网络是蜂窝网络。
32.根据权利要求23所述的方法,还包括,在确定所述设备未被认证时,执行以下操作:
获取来自凭证提供商的订阅要约;
向所述设备发送所述订阅要约;
接收用于指示对所述订阅要约的接受的消息;以及
基于所接受的订阅要约,来发送设置信息。
33.根据权利要求23所述的方法,还包括:在发送了所述设置信息时,将所述设备从所述服务提供商网络分离。
34.一种经由服务提供商网络为设备提供设置信息的装置,所述装置包括:
附着管理器,其被配置为经由所述服务提供商网络来接收来自所述设备的对设置服务的附着请求,所述附着请求包括具有针对所述设备的唯一标识符的设备供应商信息;
认证器,其被配置为至少部分地基于所述设备供应商信息来认证所述设备;以及
凭证管理器,其被配置为使得在确定所述设备被认证时,发送与订阅相关联的设置信息。
35.根据权利要求34所述的装置,其中,所述附着请求包括设置类型。
36.根据权利要求35所述的装置,其中,针对所述附着请求的设置类型包括在所述附着请求的信息要素中。
37.根据权利要求34所述的装置,还包括:
质询请求电路,其被配置为使得发送质询请求以认证所述设备;以及
质询响应电路,其被配置为接收质询响应,
其中,所述认证器还被配置为至少部分地基于设备供应商信息,来确定所述质询响应是否与订阅相关联。
38.根据权利要求34所述的装置,还包括:
质询请求电路,其被配置为使得发送质询请求以认证针对所述设备的订阅;以及
质询响应电路,其被配置为接收质询响应,
其中,所述认证器还被配置为至少部分地基于由多个设备共享的预定凭证来确定所述质询响应是否与订阅相关联。
39.根据权利要求34所述的装置,还包括:
会话密钥产生器,其被配置为至少部分地基于所述设备供应商信息来产生会话密钥;以及
安全通信模块,其被配置为至少部分地基于所述会话密钥来保证所述服务提供商网络与所述设备之间的通信的安全。
40.根据权利要求34所述的装置,其中,所述设备供应商信息还包括与所述设备的供应商相关联的加密证书。
41.根据权利要求34所述的装置,其中,针对所述设备的所述唯一标识符包括针对所述设备的国际移动设备标识符和针对所述设备的移动设备标识符中的至少一个。
42.根据权利要求34所述的装置,其中,所述服务提供商网络是蜂窝网络。
43.根据权利要求34所述的装置,还包括订阅要约电路,其被配置为在确定所述设备未被认证时,执行以下操作:
获取来自凭证提供商的订阅要约;
向所述设备发送所述订阅要约;
接收用于指示对所述订阅要约的接受的消息;以及
基于所接受的订阅要约,来发送设置信息。
44.根据权利要求34所述的装置,其中,所述附着管理器还被配置为在发送了所述设置信息时,将所述设备从所述服务提供商网络分离。
45.一种经由服务提供商网络来向设备提供设置信息的装置,所述装置包括:
用于经由所述服务提供商网络来接收来自所述设备的对设置服务的附着请求的单元,所述附着请求包括具有针对所述设备的唯一标识符的设备供应商信息;
用于至少部分地基于所述设备供应商信息来认证所述设备的单元;以及
用于在确定所述设备被认证时,发送与订阅相关联的设置信息的单元。
46.一种计算机可读存储介质,其包括由装置的处理器可执行的指令,所述指令使得所述装置进行以下操作:
经由所述服务提供商网络来接收来自设备的对设置服务的附着请求,所述附着请求包括具有针对所述设备的唯一标识符的设备供应商信息;
至少部分地基于设备供应商信息来认证所述设备;以及
在确定所述设备被认证时,发送与订阅相关联的设置信息。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201261646792P | 2012-05-14 | 2012-05-14 | |
| US61/646,792 | 2012-05-14 | ||
| US13/750,816 | 2013-01-25 | ||
| US13/750,816 US8875265B2 (en) | 2012-05-14 | 2013-01-25 | Systems and methods for remote credentials management |
| PCT/US2013/040811 WO2013173246A1 (en) | 2012-05-14 | 2013-05-13 | Systems and methods for remote credentials management |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104303484A true CN104303484A (zh) | 2015-01-21 |
| CN104303484B CN104303484B (zh) | 2016-01-20 |
Family
ID=49549682
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380024843.9A Active CN104303484B (zh) | 2012-05-14 | 2013-05-13 | 用于远程凭证管理的系统和方法 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US8875265B2 (zh) |
| EP (1) | EP2850806B1 (zh) |
| KR (1) | KR101566140B1 (zh) |
| CN (1) | CN104303484B (zh) |
| ES (1) | ES2755953T3 (zh) |
| HU (1) | HUE045253T2 (zh) |
| WO (1) | WO2013173246A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109417701A (zh) * | 2016-07-05 | 2019-03-01 | 三星电子株式会社 | 用于接入蜂窝网络来获得sim简档的方法和设备 |
| CN111066014A (zh) * | 2017-07-04 | 2020-04-24 | 株式会社宙连 | 用于远程地管理设备的装置、方法及其程序 |
| CN111133728A (zh) * | 2017-07-25 | 2020-05-08 | 瑞典爱立信有限公司 | 订阅隐藏标识符 |
| CN114730332A (zh) * | 2019-11-19 | 2022-07-08 | 美光科技公司 | 使用远程主机以认证装置 |
Families Citing this family (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2504663B (en) * | 2012-06-29 | 2017-08-02 | Neul Ltd | Secure Deployment of Communication Devices in a Communications Network |
| EP2870723B1 (en) * | 2012-07-05 | 2018-01-03 | Telefonaktiebolaget LM Ericsson (publ) | Policy and charging control methods for handling multiple-user subscriptions of a telecommunication network |
| US8898769B2 (en) | 2012-11-16 | 2014-11-25 | At&T Intellectual Property I, Lp | Methods for provisioning universal integrated circuit cards |
| US9036820B2 (en) | 2013-09-11 | 2015-05-19 | At&T Intellectual Property I, Lp | System and methods for UICC-based secure communication |
| US9208300B2 (en) * | 2013-10-23 | 2015-12-08 | At&T Intellectual Property I, Lp | Apparatus and method for secure authentication of a communication device |
| US9240994B2 (en) | 2013-10-28 | 2016-01-19 | At&T Intellectual Property I, Lp | Apparatus and method for securely managing the accessibility to content and applications |
| US9240989B2 (en) | 2013-11-01 | 2016-01-19 | At&T Intellectual Property I, Lp | Apparatus and method for secure over the air programming of a communication device |
| US9313660B2 (en) | 2013-11-01 | 2016-04-12 | At&T Intellectual Property I, Lp | Apparatus and method for secure provisioning of a communication device |
| CN104683934B (zh) * | 2013-11-26 | 2019-12-06 | 中兴通讯股份有限公司 | 一种实现异构网络系统间信息交互的装置和方法 |
| US9363736B2 (en) * | 2013-12-16 | 2016-06-07 | Qualcomm Incorporated | Methods and apparatus for provisioning of credentials in network deployments |
| US10037514B2 (en) * | 2013-12-19 | 2018-07-31 | Centurylink Intellectual Property Llc | Ubiquitous in-cloud microsite generator for high speed data customer intake and activation |
| US9942762B2 (en) * | 2014-03-28 | 2018-04-10 | Qualcomm Incorporated | Provisioning credentials in wireless communications |
| GB2527276B (en) * | 2014-04-25 | 2020-08-05 | Huawei Tech Co Ltd | Providing network credentials |
| US9713006B2 (en) | 2014-05-01 | 2017-07-18 | At&T Intellectual Property I, Lp | Apparatus and method for managing security domains for a universal integrated circuit card |
| GB2526619A (en) * | 2014-05-30 | 2015-12-02 | Vodafone Ip Licensing Ltd | Service provisioning |
| US9918225B2 (en) * | 2014-11-03 | 2018-03-13 | Qualcomm Incorporated | Apparatuses and methods for wireless communication |
| CN105991600B (zh) * | 2015-02-25 | 2019-06-21 | 阿里巴巴集团控股有限公司 | 身份认证方法、装置、服务器及终端 |
| WO2017001022A1 (en) * | 2015-07-02 | 2017-01-05 | Telefonaktiebolaget Lm Ericsson (Publ) | Method for obtaining initial access to a network, and related wireless devices and network nodes |
| US10142819B2 (en) | 2015-07-29 | 2018-11-27 | Blackberry Limited | Establishing machine type communications |
| US10541958B2 (en) | 2015-08-05 | 2020-01-21 | Facebook, Inc. | Controlling a device cloud |
| US10412160B2 (en) | 2015-08-05 | 2019-09-10 | Facebook, Inc. | Controlling a device cloud |
| US10425392B2 (en) * | 2015-08-05 | 2019-09-24 | Facebook, Inc. | Managing a device cloud |
| US10348798B2 (en) | 2015-08-05 | 2019-07-09 | Facebook, Inc. | Rules engine for connected devices |
| US10567479B2 (en) | 2015-08-05 | 2020-02-18 | Facebook, Inc. | Managing a device cloud |
| SG10201602150QA (en) * | 2016-03-18 | 2017-10-30 | Huawei Int Pte Ltd | An agent-based authentication and key agreement method for devices without sim card |
| US20170317999A1 (en) * | 2016-04-27 | 2017-11-02 | Cisco Technology, Inc. | Security credential protection with cloud services |
| EP3574671B1 (en) * | 2017-01-26 | 2023-05-10 | Telefonaktiebolaget LM Ericsson (PUBL) | Attachment of a wireless device to a mobile network operator |
| US20180278607A1 (en) * | 2017-03-22 | 2018-09-27 | Amazon Technologies, Inc. | Device Credentials Management |
| US10477388B1 (en) * | 2018-05-14 | 2019-11-12 | Motorola Solutions, Inc. | Automatic device fulfillment configuration |
| US20190349880A1 (en) * | 2018-05-14 | 2019-11-14 | Motorola Solutions, Inc. | Automatic communication device out of box configuration |
| CN112584486B (zh) * | 2019-09-30 | 2022-08-09 | 华为技术有限公司 | 一种通信方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101001184A (zh) * | 2006-01-09 | 2007-07-18 | 华为技术有限公司 | 一种接入分组数据网络的方法 |
| WO2009103621A1 (en) * | 2008-02-22 | 2009-08-27 | Telefonaktiebolaget L M Ericsson (Publ) | Methods and apparatus locating a device registration server in a wireless network |
| CN102045695A (zh) * | 2009-10-23 | 2011-05-04 | 中兴通讯股份有限公司 | 一种获取mtc服务器地址信息的方法及系统 |
| WO2011115407A2 (en) * | 2010-03-15 | 2011-09-22 | Samsung Electronics Co., Ltd. | Method and system for secured remote provisioning of a universal integrated circuit card of a user equipment |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7290288B2 (en) * | 1997-06-11 | 2007-10-30 | Prism Technologies, L.L.C. | Method and system for controlling access, by an authentication server, to protected computer resources provided via an internet protocol network |
| US7260724B1 (en) * | 1999-09-20 | 2007-08-21 | Security First Corporation | Context sensitive dynamic authentication in a cryptographic system |
| US20090239503A1 (en) | 2008-03-20 | 2009-09-24 | Bernard Smeets | System and Method for Securely Issuing Subscription Credentials to Communication Devices |
| US8457599B2 (en) | 2008-11-14 | 2013-06-04 | Qualcomm Incorporated | Apparatus and method for establishing a data connection between a remote station and a wireless network |
| US8811969B2 (en) * | 2009-06-08 | 2014-08-19 | Qualcomm Incorporated | Virtual SIM card for mobile handsets |
| US8677459B2 (en) | 2009-08-11 | 2014-03-18 | Broadcom Corporation | Secure zero-touch provisioning of remote management controller |
| US9385862B2 (en) | 2010-06-16 | 2016-07-05 | Qualcomm Incorporated | Method and apparatus for binding subscriber authentication and device authentication in communication systems |
| US8312517B2 (en) | 2010-08-31 | 2012-11-13 | Intel Corporation | User-entered credentials for a mobile station in a wireless network |
| US9154477B2 (en) | 2011-05-26 | 2015-10-06 | First Data Corporation | Systems and methods for encrypting mobile device communications |
| WO2013039900A1 (en) | 2011-09-16 | 2013-03-21 | Alcatel-Lucent Usa Inc. | Network operator-neutral provisioning of mobile devices |
-
2013
- 2013-01-25 US US13/750,816 patent/US8875265B2/en active Active
- 2013-05-13 WO PCT/US2013/040811 patent/WO2013173246A1/en active Application Filing
- 2013-05-13 CN CN201380024843.9A patent/CN104303484B/zh active Active
- 2013-05-13 HU HUE13727688A patent/HUE045253T2/hu unknown
- 2013-05-13 KR KR1020147034230A patent/KR101566140B1/ko active IP Right Grant
- 2013-05-13 EP EP13727688.7A patent/EP2850806B1/en active Active
- 2013-05-13 ES ES13727688T patent/ES2755953T3/es active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101001184A (zh) * | 2006-01-09 | 2007-07-18 | 华为技术有限公司 | 一种接入分组数据网络的方法 |
| WO2009103621A1 (en) * | 2008-02-22 | 2009-08-27 | Telefonaktiebolaget L M Ericsson (Publ) | Methods and apparatus locating a device registration server in a wireless network |
| CN102045695A (zh) * | 2009-10-23 | 2011-05-04 | 中兴通讯股份有限公司 | 一种获取mtc服务器地址信息的方法及系统 |
| WO2011115407A2 (en) * | 2010-03-15 | 2011-09-22 | Samsung Electronics Co., Ltd. | Method and system for secured remote provisioning of a universal integrated circuit card of a user equipment |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109417701A (zh) * | 2016-07-05 | 2019-03-01 | 三星电子株式会社 | 用于接入蜂窝网络来获得sim简档的方法和设备 |
| CN109417701B (zh) * | 2016-07-05 | 2022-04-08 | 三星电子株式会社 | 用于接入蜂窝网络来获得sim简档的方法和设备 |
| CN114615655A (zh) * | 2016-07-05 | 2022-06-10 | 三星电子株式会社 | 用于接入蜂窝网络来获得sim简档的方法和设备 |
| CN111066014A (zh) * | 2017-07-04 | 2020-04-24 | 株式会社宙连 | 用于远程地管理设备的装置、方法及其程序 |
| CN111066014B (zh) * | 2017-07-04 | 2024-03-15 | 株式会社宙连 | 用于远程地管理设备的装置、方法及其程序 |
| CN111133728A (zh) * | 2017-07-25 | 2020-05-08 | 瑞典爱立信有限公司 | 订阅隐藏标识符 |
| US11330433B2 (en) | 2017-07-25 | 2022-05-10 | Telefonaktiebolaget Lm Ericsson (Publ) | Privacy key and message authentication code |
| CN111133728B (zh) * | 2017-07-25 | 2022-06-14 | 瑞典爱立信有限公司 | 订阅隐藏标识符 |
| CN114730332A (zh) * | 2019-11-19 | 2022-07-08 | 美光科技公司 | 使用远程主机以认证装置 |
| CN114730332B (zh) * | 2019-11-19 | 2023-10-20 | 美光科技公司 | 使用远程主机以认证装置 |
| US11847201B2 (en) | 2019-11-19 | 2023-12-19 | Micron Technology, Inc. | Authenticating a device using a remote host |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2850806B1 (en) | 2019-09-18 |
| WO2013173246A1 (en) | 2013-11-21 |
| US8875265B2 (en) | 2014-10-28 |
| EP2850806A1 (en) | 2015-03-25 |
| US20130305330A1 (en) | 2013-11-14 |
| CN104303484B (zh) | 2016-01-20 |
| KR101566140B1 (ko) | 2015-11-04 |
| ES2755953T3 (es) | 2020-04-24 |
| HUE045253T2 (hu) | 2019-12-30 |
| KR20150006879A (ko) | 2015-01-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104303484B (zh) | 用于远程凭证管理的系统和方法 | |
| US10812461B2 (en) | Connecting IMSI-less devices to the EPC | |
| US9693366B2 (en) | End-to-end architecture, API framework, discovery, and access in a virtualized network | |
| CA2766791C (en) | Methods and apparatus to register with external networks in wireless network environments | |
| EP3028506B1 (en) | Access network selection and connection methods, devices, and computer programs | |
| EP3433994B1 (en) | Methods and apparatus for sim-based authentication of non-sim devices | |
| CN107852607B (zh) | 用于验证对设备使用特征集合的授权的方法和装置 | |
| WO2017040263A1 (en) | Service layer dynamic authorization | |
| US11838752B2 (en) | Method and apparatus for managing a profile of a terminal in a wireless communication system | |
| CN102104869A (zh) | 安全用户识别模块服务 | |
| CN103503407A (zh) | 用于多sso技术的sso框架 | |
| KR20180016398A (ko) | 서비스 제공자 인증서 관리 | |
| US9591485B2 (en) | Provisioning subscriptions to user devices | |
| JP2008042862A (ja) | 無線lan通信システム及びその方法並びにプログラム | |
| US20230300596A1 (en) | Remote subscription profile download | |
| CN104836684B (zh) | 无线通信网络中用于服务供应的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |