CN107409136A - 用于使用应用专用网络接入凭证到无线网络的受担保连通性的装置和方法 - Google Patents

用于使用应用专用网络接入凭证到无线网络的受担保连通性的装置和方法 Download PDF

Info

Publication number
CN107409136A
CN107409136A CN201680016058.2A CN201680016058A CN107409136A CN 107409136 A CN107409136 A CN 107409136A CN 201680016058 A CN201680016058 A CN 201680016058A CN 107409136 A CN107409136 A CN 107409136A
Authority
CN
China
Prior art keywords
application service
application
communication network
user equipment
cordless communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201680016058.2A
Other languages
English (en)
Other versions
CN107409136B (zh
Inventor
S·B·李
A·帕拉尼格朗德
G·B·霍恩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qualcomm Inc
Original Assignee
Qualcomm Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qualcomm Inc filed Critical Qualcomm Inc
Publication of CN107409136A publication Critical patent/CN107409136A/zh
Application granted granted Critical
Publication of CN107409136B publication Critical patent/CN107409136B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/11Allocation or use of connection identifiers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/51Discovery or management thereof, e.g. service location protocol [SLP] or web services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/20Services signaling; Auxiliary data signalling, i.e. transmitting data via a non-traffic channel
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/16Discovering, processing access restriction or access information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/24Key scheduling, i.e. generating round keys or sub-keys for block encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/72Signcrypting, i.e. digital signing and encrypting simultaneously
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

至少一个特征涉及一种能在用户设备处操作的方法,该方法包括从应用服务提供者接收与由该应用服务提供者提供的至少一个应用服务相关联的应用专用证书。该方法还包括确定无线通信网络提供对由该应用服务提供者提供的应用服务的应用专用接入,以及向无线通信网络传送包括应用专用证书的注册请求以用于认证用户设备。应用专用证书包括用户设备公钥。该方法还包括与无线通信网络执行认证和密钥协商,以及在认证和密钥协商被成功执行后与应用服务通信。在一方面,与网络的认证和密钥协商是直接在用户设备与该网络之间且独立于应用服务提供者来执行的。

Description

用于使用应用专用网络接入凭证到无线网络的受担保连通性 的装置和方法
相关申请的交叉引用
本申请要求于2015年3月17日在美国专利商标局提交的临时申请No.62/134,206以及于2015年8月18日在美国专利商标局提交的非临时申请No.14/829,459的优先权,其全部内容通过援引纳入于此。
背景
领域
本发明一般涉及在用户装备与无线网络之间建立数据连接。
背景技术
一般而言,用户设备对无线蜂窝系统的接入是基于预先布置的订户格式。接入通常不给予不是无线蜂窝系统的订户或者不具有与无线蜂窝系统的现有关系权益的用户设备。
然而,应用服务提供者可能希望用户设备能通过无线蜂窝系统来接入其服务器和服务,尽管该用户设备缺少对该无线蜂窝系统的订阅。应用服务提供者可能愿意代表用户设备为该接入补偿无线蜂窝系统。这种“受担保连通性”可允许用户设备在有限的基础上利用无线蜂窝网络来连接到特定应用的应用服务提供者的服务器,并且应用服务提供者为该接入付费。
用于受担保连通性的现有解决方案包括:基于接入点名称(APN)的转发,其中基于由担保者供应的订户身份模块(SIM)中配置的APN来设立承载;只对配备有SIM能力的当前订户可用的通用引导架构;以及基于应用的转发,其中基于网际协议(IP)地址来过滤话务。
然而,上述现有解决方案存在问题。例如,用户设备可能未配备运营商(例如,无线蜂窝系统)的凭证。例如,用户设备可能缺少SIM或者可能不具有蜂窝订阅。在其中使用基于IP地址的过滤的情形中,受担保连通性对于许多不同的担保者(例如,应用服务提供者)而言可能不容易缩放,非授权/非认证话务可能流经运营商的核心网,服务接入网(例如,网关)可能易遭受过载攻击,应用服务提供者可能为非服务相关话务(例如,攻击导致的话务)付费,并且“第一英里”(例如,通过演进型B节点(eNB)和/或移动性管理实体(MME)的接入)防范(即,过滤)可能不可用。
因此,存在对用于建立允许用户设备通过该用户设备缺少订阅的无线网络来接入应用服务提供者的受担保连通性的改进的方法、装置和系统的需要。
概述
一个特征提供了一种能在用户设备处操作的方法,该方法包括从应用服务提供者接收与由该应用服务提供者提供的至少一个应用服务相关联的应用专用证书;确定无线通信网络提供对由该应用服务提供者提供的应用服务的应用专用接入;向无线通信网络传送包括应用专用证书的注册请求以用于认证用户设备,该应用专用证书包括与应用服务相关联的公钥;与无线通信网络执行认证和密钥协商;以及在认证和密钥协商被成功执行后与应用服务通信。根据一方面,与无线通信网络的认证和密钥协商是直接在用户设备与该无线通信网络之间且独立于应用服务提供者来执行的。根据另一方面,与应用服务相关联的公钥是用户设备公钥,并且应用专用证书进一步包括应用专用数字签名,该应用专用数字签名包括由应用服务提供者的私钥签署的用户设备公钥。
根据一方面,应用专用证书进一步包括应用标识符和应用专用数字签名,该应用专用数字签名包括皆由应用服务提供者的私钥签署的公钥和应用标识符,应用标识符唯一地与应用服务相关联。根据另一方面,该方法进一步包括在认证和密钥协商成功后获取对应用服务的应用专用接入。根据又一方面,确定无线通信网络提供应用专用接入包括接收由无线通信网络广播的关于应用服务通过该无线通信网络的可用性的宣告。
根据一方面,该方法进一步包括从应用服务提供者接收与可信无线通信网络相关联的多个证书,该多个证书包括具有作为该无线通信网络的公钥的无线通信网络公钥的证书。根据另一方面,该方法进一步包括通过使用无线通信网络公钥验证无线通信网络数字签名来认证无线通信网络,无线通信网络数字签名被包括在从无线通信网络接收到的应用服务宣告中。根据又一方面,该方法还包括在认证和密钥协商被成功执行后启用用户设备与应用服务提供者允许的应用服务集之间的通信。
另一特征提供了一种用户设备,包括被适配成与无线通信网络进行无线通信的无线通信接口以及通信地耦合到该通信接口的处理电路,该处理电路被适配成从应用服务提供者接收与由该应用服务提供者提供的至少一个应用服务相关联的应用专用证书;确定无线通信网络提供对由该应用服务提供者提供的应用服务的应用专用接入;向无线通信网络传送包括应用专用证书的注册请求以用于认证用户设备,该应用专用证书包括与应用服务相关联的公钥;与无线通信网络执行认证和密钥协商;以及在认证和密钥协商被成功执行后与应用服务通信。根据一方面,该处理电路被进一步适配成在认证和密钥协商成功后获得对应用服务的应用专用接入。根据另一方面,该处理电路被适配成确定无线通信网络提供应用专用接入包括该处理电路被进一步适配成接收由无线通信网络广播的应用服务通过该无线通信网络的可用性的宣告。
根据一方面,该处理电路被进一步适配成从应用服务提供者接收与可信无线通信网络相关联的多个证书,该多个证书包括具有作为该无线通信网络的公钥的无线通信网络公钥的证书。根据另一方面,该处理电路被进一步适配成通过使用无线通信网络公钥验证无线通信网络数字签名来认证无线通信网络,无线通信网络数字签名被包括在从无线通信网络接收到的应用服务宣告中。根据又一方面,该处理电路被进一步适配成在认证和密钥协商被成功执行后启用用户设备与应用服务提供者允许的应用服务集之间的通信。
另一特征提供了一种用户设备,该用户设备包括用于从应用服务提供者接收与由该应用服务提供者提供的至少一个应用服务相关联的应用专用证书的装置;用于确定无线通信网络提供对由该应用服务提供者提供的应用服务的应用专用接入的装置;用于向无线通信网络传送包括应用专用证书的注册请求以用于认证用户设备的装置,该应用专用证书包括与应用服务相关联的公钥;用于与无线通信网络执行认证和密钥协商的装置;以及用于在认证和密钥协商被成功执行后与应用服务通信的装置。根据一方面,该用户设备进一步包括用于在认证和密钥协商成功后获取对应用服务的应用专用接入的装置。根据另一方面,该用户设备进一步包括用于从应用服务提供者接收与可信无线通信网络相关联的多个证书的装置,该多个证书包括具有作为该无线通信网络的公钥的无线通信网络公钥的证书;以及用于通过使用无线通信网络公钥验证无线通信网络数字签名来认证无线通信网络的装置,该无线通信网络数字签名被包括在从无线通信网络接收到的应用服务宣告中
另一特征提供了一种能在与无线通信网络相关联的无线通信网络设备处操作的方法,该方法包括从应用服务提供者接收包括应用服务提供者公钥的应用服务提供者证书;从用户设备接收用于对由该应用服务提供者提供的应用服务进行应用专用接入的注册请求,该注册请求包括由应用服务提供者签署的应用专用证书,该应用专用证书包括与应用服务相关联的公钥;使用应用服务提供者公钥来验证应用专用证书以认证用户设备;以及与用户设备执行认证和密钥协商。根据一方面,与用户设备的认证和密钥协商是直接在用户设备与无线通信网络设备之间且独立于应用服务提供者来执行的。根据另一方面,该方法还包括在从用户设备接收注册请求之前接收与应用服务相关联的应用服务注册信息。
根据一方面,该方法还包括广播指示对应用服务的应用专用接入通过无线通信网络的可用性的宣告。根据另一方面,应用服务宣告包括由无线通信网络的私钥签署的无线通信网络数字签名,该数字签名被适配成在用户设备处用无线通信网络公钥来验证。根据又一方面,与应用服务相关联的公钥是用户设备公钥,并且应用专用证书进一步包括应用专用数字签名,该应用专用数字签名包括由应用服务提供者的私钥签署的用户设备公钥。
根据一方面,应用专用证书进一步包括应用标识符和应用专用数字签名,该应用专用数字签名包括皆由应用服务提供者的私钥签署的公钥和应用标识符,应用标识符唯一地与应用服务相关联。根据另一方面,该方法还包括在认证和密钥协商成功后向用户设备提供对应用服务的应用专用接入。根据又一方面,该方法进一步包括存储应用专用证书撤消列表,该列表包括供应给用户设备的已经被撤消且不应被准予应用专用接入的多个应用专用证书。
另一特征提供了一种与无线通信网络相关联的无线通信网络设备,该无线通信网络设备包括被适配成与至少用户设备进行无线通信的无线通信接口以及通信地耦合到该无线通信接口的处理电路,该处理电路被适配成从应用服务提供者接收包括应用服务提供者公钥的应用服务提供者证书;从用户设备接收用于对由该应用服务提供者提供的应用服务进行应用专用接入的注册请求,该注册请求包括由应用服务提供者签署的应用专用证书,该应用专用证书包括与应用服务相关联的公钥;使用应用服务提供者公钥来验证应用专用证书以认证用户设备;以及与用户设备执行认证和密钥协商。根据一方面,该处理电路被进一步适配成在从用户设备接收注册请求之前接收与应用服务相关联的应用服务注册信息。根据另一方面,该处理电路被进一步适配成广播指示对应用服务的应用专用接入通过无线通信网络的可用性的宣告。
根据一方面,该处理电路被进一步适配成在认证和密钥协商成功后向用户设备提供对应用服务的应用专用接入。根据另一方面,该处理电路被进一步适配成存储应用专用证书撤消列表,该列表包括供应给用户设备的已经被撤消且不应被准予应用专用接入的多个应用专用证书。
另一特征提供了一种无线通信网络设备,包括用于从应用服务提供者接收包括应用服务提供者公钥的应用服务提供者证书的装置;用于从用户设备接收用于对由该应用服务提供者提供的应用服务进行应用专用接入的注册请求的装置,该注册请求包括由应用服务提供者签署的应用专用证书,该应用专用证书包括与应用服务相关联的公钥;用于使用应用服务提供者公钥来验证应用专用证书以认证用户设备的装置;以及用于与用户设备执行认证和密钥协商的装置。根据一方面,该无线通信网络设备还包括用于在从用户设备接收注册请求之前接收与应用服务相关联的应用服务注册信息的装置。根据另一方面,该无线通信网络设备还包括用于在认证和密钥协商成功后向用户设备提供对应用服务的应用专用接入的装置。
附图简述
图1解说了以针对一个或多个应用服务的受担保连通性(即,“应用专用接入”)为特征的通信系统的高级示意图。
图2解说了用于使用应用专用凭证来提供受担保连通性的高级流程图。
图3和4解说了在示例性通信系统内执行的用于使用共享密钥作为应用专用凭证来建立受担保连通性的各种过程/步骤。
图5和6解说了在示例性通信系统内执行的用于使用公钥证书作为应用专用凭证来建立受担保连通性的各种过程/步骤。
图7A和7B解说了用于使用共享密钥来执行受担保连通性的过程流程图。
图8A和8B解说了用于使用公钥证书来执行受担保连通性的过程流程图。
图9解说了用于使用公钥来执行受担保连通性的过程流程图。
图10解说了用户设备的示意性框图。
图11解说了用户设备的处理电路的第一示例性示意框图。
图12解说了用户设备的处理电路的第二示例性示意框图。
图13解说了能在用户设备处操作的用于获取应用专用接入的第一示例性方法的流程图。
图14解说了能在用户设备处操作的用于获取应用专用接入的第二示例性方法的流程图。
图15解说了无线通信网络设备的示意性框图。
图16解说了网络设备的处理电路的第一示例性示意框图。
图17解说了网络设备的处理电路的第二示例性示意框图。
图18解说了能在网络设备处操作的用于提供应用专用接入的第一示例性方法的流程图。
图19解说了能在网络设备处操作的用于提供应用专用接入的第二示例性方法的流程图。
详细描述
在以下描述中,给出了具体细节以提供对本公开的各方面的透彻理解。然而,本领域普通技术人员将理解,没有这些具体细节也可实践这些方面。例如,电路可用框图示出以避免使这些方面湮没在不必要的细节中。在其他实例中,公知的电路、结构和技术可不被详细示出以免模糊本公开的这些方面。
措辞“示例性”在本文中用于表示“用作示例、实例或解说”。本文中描述为“示例性”的任何实现或方面不必被解释为优于或胜过本公开的其他方面。同样,术语“方面”不要求本公开的所有方面都包括所讨论的特征、优点或操作模式。如本文所使用的,术语“应用服务”指的是由应用服务提供者提供的应用和/或服务和/或由应用服务提供者允许接入的应用和/或服务。术语“应用服务提供者”指的是提供应用服务的实体。
图1解说了根据本公开的一方面的以针对一个或多个应用服务的受担保连通性(即,“应用专用接入”)为特征的通信系统100的高级示意图。该系统包括与无线通信网络104(例如,无线蜂窝网络)进行无线通信103的多个用户设备102(例如,用户装备(UE))。无线通信网络104可包括一个或多个无线电接入网106以及核心网108。多个用户设备102可通过无线通信网络104以及在应用服务提供者112与无线通信网络104之间的任何其它分组数据网络(PDN)110(例如,因特网、即时消息收发服务(IMS)等)来接入应用服务提供者112(即,与其通信)。例如,多个设备102可能希望接入由应用服务提供者112提供(例如,主存)的一个或多个应用服务114和/或由应用服务提供者112允许接入的一个或多个应用服务114。例如,应用服务114可以是由应用服务提供者112提供的软件。作为另一示例,应用服务114可允许用户设备102接入并非由应用服务提供者114提供/拥有的其它应用、数据、网站和/或服务。在该意义上,在一些情形中应用服务112也可允许用户设备102接入一般数据连接。
根据一方面,用户设备102是无线通信设备,诸如但不限于移动电话、智能电话、膝上型设备、个人数字助理(PDA)、平板、计算机、智能手表和头戴式可穿戴计算机(例如,Google)。根据一方面,蜂窝网络104可以是任何无线网络,包括但不限于全球移动通信系统(GSM)网络、通用移动电信系统(UMTS)网络、长期演进(LTE)网络以及任何其它无线通信网络。根据一方面,应用服务114可以是由应用服务提供者112提供、主存和/或以其它方式管理的任何电子应用和/或服务,诸如但不限于网站、软件、程序、数据库等。一个或多个服务器或其它硬件设备可包括用于促成应用服务114的操作的应用服务提供者112。尽管只示出了一个应用服务114,但应用服务提供者114可提供多个不同的应用服务(例如,服务集)。类似地,尽管只示出了一个应用服务提供者112,但可以存在多个不同的应用服务提供者,每一应用服务提供者提供可通过经由无线通信网络104进行应用专用接入来获取的一个或多个应用服务。
用户设备102可能不具有对无线通信网络104的订阅或者与无线通信网络104的任何现有关系。由此,普通情况下,用户设备102可能无法使用无线通信网络104来一般地发送或接收数据。然而,给定应用服务提供者112与无线通信网络104的运营商之间预先商定的布置和协定,无线通信网络104可允许用户设备102使用网络104来接入应用服务提供者112和/或其应用服务114并且向应用服务提供者114收取针对这种使用的费用(如果有)的至少一部分(如果不是全部的话)。在该意义上,应用服务提供者112担保用户设备对无线通信网络104的使用,并且用户设备102因此具有到应用服务提供者112和/或应用服务114的受担保连通性。
图2解说了根据本公开的一方面的用于使用应用专用凭证来提供受担保连通性的高级流程图200。一般而言,用于向用户设备提供到无线网络的受担保连通性的过程包括设立202(例如,设立阶段)和认证204(例如,认证阶段)。
在设立202期间,可由应用服务提供者向用户设备供应应用专用凭证(206)。应用专用凭证允许用户设备针对通过无线通信网络对由应用服务提供者提供的应用服务的应用专用接入被认证。应用专用凭证可以按安全方式提供,诸如但不限于使用用户设备的公钥(如果有)和/或使用安全套接字层(SSL)或传输层安全(TLS)密码协议来加密该凭证。应用专用凭证可基于共享密钥(例如,对称密钥)、用户设备公钥证书和/或这两者的组合。例如,在一方面,应用专用凭证可以是提供给用户设备并且也存储在应用服务提供者处的共享密钥。作为另一示例,应用专用凭证可以是包括应用专用数字签名的应用专用证书。应用专用凭证可被存储在用户设备的安全执行环境或可信执行环境中。安全执行环境的一个非限制性、非排他性示例是架构中的
也在设立202期间,可以向用户设备供应(208)与可信无线通信网络相关联的多个证书。例如,该多个证书可以是可信移动网络运营商(MNO)证书的列表。应用服务提供者还可执行服务置备210,服务置备包括向可以是无线通信网络的一部分的服务置备功能(SPF)注册应用服务。在应用专用凭证是应用专用证书的情形中,SPF进而可以向一个或多个无线通信网络设备(例如,RAN、MME等)供应(210)应用服务提供者的公钥。根据一个示例,应用服务提供者的公钥可按其本身提供给网络设备。作为另一示例,该公钥可以按证书的形式提供:自签名证书(即,由应用服务提供者签署的应用服务提供者公钥证书)或第三方签署的证书。
在设立202后,可基于所使用的应用专用凭证是共享密钥212还是公钥证书214来执行认证204和密钥协商。在应用专用凭证是共享密钥212的情形中,应用服务提供者担当归属订户服务(HSS)认证、授权和记账(AAA)实体。共享密钥保持私密并且可以经由与用户设备和应用服务提供者之间的主通信信道(例如,图4所示的数据路径)不同的带外通信信道(例如,)来在用户设备与应用服务提供者之间预先共享。在一方面,在无线通信网络设备(例如,MME)与应用服务提供者之间建立数据连接(例如,经由因特网的数据通信信道),因为MME和应用服务提供者可能不具有彼此之间的直接信令信道(例如,控制信道)。首先,该数据连接可仅被用来向应用服务提供者转发认证信息请求以认证用户设备(例如,成功地执行认证和密钥协商)。只有一旦用户设备被认证,该用户设备才还可通过该数据连接和/或另一数据连接向应用服务提供者传送数据话务。此外,可配置针对应用服务器的应用专用话务/移动性处置(例如,承载预配置)。
在应用专用凭证是应用专用证书的情形中,无线通信网络可通过验证应用专用证书中所包含的应用专用数字签名来认证尝试通过该网络获得受担保连通性的用户设备。网络接入认证在无线网络内执行,而不必联系应用服务提供者。即,网络接入认证可以独立于应用服务提供者(即,不必联系应用服务提供者来进行认证)在无线通信网络与用户设备之间执行。由此,这种情形中的应用专用认证和过滤可以在“第一英里”中实施(例如,由RAN和/或MME实施)。类似地,用户设备可使用它已经置备的与可信无线通信网络相关联的多个证书来认证它正为应用服务尝试与之建立受担保连通性的特定无线通信网络。具体地,用户设备可使用这些证书来验证由无线通信网络广播的宣告(例如,应用服务宣告)中所包括的一个或多个数字签名。
图3和4解说了根据本公开的一方面的在示例性通信系统300内执行的用于使用共享密钥作为应用专用凭证来建立受担保连通性的各种过程/步骤。参照图3,应用服务提供者(ASP)112可首先经由服务置备功能(SPF)302向无线通信网络104注册应用服务114(步骤A1或A2和步骤B)。在一些方面,SPF 302可以是无线通信网络104的一部分(例如,SPF可以是驻留在网络104中的任何网络设备处的软件)。向无线通信网络104注册应用服务可包括提供/供应应用服务注册信息,该应用服务注册信息可包括唯一地关联到该应用服务的应用标识符、记账关系信息、SPF 302与ASP 112之间的接口设置信息(例如,安全关联信息、虚拟专用网信息)等等。应用服务注册信息可被提供给网络104中的网络设备,包括但不限于RAN106、MME 304和/或服务查询协议(SQP)服务器303。
根据一方面,ASP 112可以直接与SPF 302通信,并且直接向SPF 302传送应用服务注册信息(即,步骤A1)。在其它方面,ASP 112可能不具有与无线通信网络104和/或SPF 302的直接接口,并因此ASP 112可使用通过PDN 110以及一个或多个分组数据网络网关(P-GW)308的数据线连接来向SPF 302传送应用服务注册信息(即,步骤A2)。SQP服务器303可处置来自用户设备102的查询并且可以向用户设备102提供从SPF 302接收到的应用服务注册信息的至少一部分。
在步骤C,ASP 112执行设备注册,其中ASP 112尤其可以向用户设备102供应应用专用凭证,在该情形中该凭证是唯一地与用户设备102相关联的共享密钥。ASP 112还可提供标识用户设备102希望使用受担保连通性来接入的应用服务的应用标识符。ASP 112可以按安全方式(诸如使用该用户设备的公钥或安全信道(例如,TLS))向用户设备102提供应用专用凭证。应用专用凭证可被存储在用户设备102的安全执行环境中。根据一方面,在用于应用接入的口令或接入令牌被用于网络接入的情况下,应用专用凭证供应可以被跳过。
参照图4,在用户设备102与应用服务提供者112之间执行附连规程(步骤D)。该规程包括用户设备102向无线通信网络104传送注册请求(例如,附连请求)。该注册请求可包括标识用户设备102的设备标识符以及标识用户设备102需要到其的受担保连通性的应用服务114的应用标识符。在一个示例中,应用标识符可以是完全合格域名(FQDN)。无线通信网络104(例如,MME 304)然后可将包括注册请求和服务网络标识符的认证信息请求通过数据路径(参见图4中被标记为“数据路径”的虚线箭头)转发至应用服务提供者112。该数据路径可以是安全数据信道(例如、TLS或安全超文本传输协议(HTTPS))。由此,认证信息请求消息从MME 304经过一个或多个服务网关(S-GW)306、一个或多个P-GW 308以及一个或多个分组数据网络110到达应用服务提供者112。作为对比,在现有技术中,涉及向用户设备准予一般蜂窝网络接入的认证请求是通过与MME的专用的直接控制路径和接口(例如,S6a接口)从MME 304发送到HSS/AAA实体402/404,而不是通过数据路径。ASP 112然后可查找与它在认证信息请求中接收到的设备标识符和应用标识符相关联的共享密钥,并且将认证信息提供回到无线通信网络104以促成与用户设备102的认证以及密钥协商。
图5和6解说了根据本公开的一方面的在示例性通信系统500内执行的用于使用公钥证书作为应用专用凭证来建立受担保连通性的各种过程/步骤。参照图5,ASP 112可首先经由服务置备功能(SPF)502向无线通信网络104注册应用服务114(步骤A1或A2和步骤B)。在一些方面,SPF 502可以是无线通信网络104的一部分(例如,SPF可以是驻留在网络104中的任何网络设备处的软件)。向无线通信网络104注册应用服务114可包括提供/供应应用服务注册信息,该应用服务注册信息可包括唯一地关联到该应用服务的应用标识符、记账关系信息、SPF 302与ASP 112之间的接口设置信息(例如,安全关联信息、虚拟专用网信息)等等。应用服务注册信息可被提供给网络104中的网络设备,包括但不限于RAN 106、MME 304和/或服务查询协议(SQP)服务器303。ASP 112还向一个或多个网络设备(诸如RAN 106和/或MME 304)供应应用服务提供者公钥(步骤B)。公钥可按其本身提供或者以证书(例如,自签名应用服务提供者公钥证书或者由第三方签署的证书)形式提供。在一方面,ASP 112针对它主存的每一应用服务114向网络设备106、304提供不同的应用服务提供者公钥(或者应用服务提供者公钥证书)。在另一方面,ASP 112针对它主存的每一应用服务114向网络设备106、304提供相同的应用服务提供者公钥(或者应用服务提供者公钥证书)。
根据一方面,ASP 112可以直接与SPF 502通信并且直接向SPF 502传送包括应用服务提供者证书(ASP的公钥证书或ASP的公钥)的应用服务注册信息(即,步骤A1)。在其它方面,ASP 112可能不具有与无线通信网络104和/或SPF 502的直接接口,并因此ASP 112可使用通过PDN 110以及一个或多个分组数据网络网关(P-GW)308的数据线连接来向SPF 502传送应用服务注册信息和应用服务提供者证书(即,步骤A2)。SQP服务器303可处置来自用户设备102的查询并且可以向用户设备102提供从SPF 502接收到的应用服务注册信息的至少一部分。
在步骤C,ASP 112执行设备注册,其中ASP 112尤其可以向用户设备102供应应用专用凭证,在该情形中该凭证可以是应用专用证书。应用专用证书可以是包括用户设备标识符、用户设备公钥以及应用专用数字签名的简单公钥基础结构(SPKI)证书([身份+公钥]、[授权/签名])。应用专用数字签名可以是用户设备102的由应用服务提供者的私钥(即,应用服务提供者的私钥)签署的公钥。在一些方面,应用专用数字签名还可包括应用标识符(即,ASP 112签署应用标识符和用户设备102的公钥两者)。在后一种情形中,应用专用证书还包括应用标识符。根据一方面,应用服务提供者112用来签署应用专用数字签名的私钥可以唯一地与应用服务提供者112提供/主存的每一应用服务114相关联。在一方面,并非向用户设备102供应整个应用专用证书,ASP 112仅仅向用户设备102供应应用专用数字签名并且用户设备可稍后添加其用户设备标识符、用户设备公钥(并且在一些情形中还有应用标识符)以形成完整的应用专用证书。
应用服务提供者112可以按安全方式(诸如使用该用户设备的公钥或安全信道(例如,TLS))向用户设备102提供应用专用证书。应用专用证书可被存储在用户设备102的安全执行环境或可信执行环境中。根据一方面,在用于应用接入的口令或接入令牌被用于网络接入的情况下,应用专用凭证可以被跳过。
参照图6,在用户设备102与应用服务提供者112之间执行附连规程(步骤D)。该规程包括用户设备102向无线通信网络104传送注册请求(例如,附连请求)。注册请求包括应用专用证书。MME 304验证该证书中所包括的应用专用数字签名以验证用户设备102的身份。类似地,MME 304可以向用户设备102广播包括无线通信网络数字签名的应用服务宣告。用户设备102可使用已经由应用服务提供者112供应给它的无线通信网络104的公钥来验证该无线通信网络数字签名。MME 304和用户设备102然后可独立于应用服务提供者112(即,不必联系应用服务提供者112来认证用户设备)彼此执行认证和密钥协商。由此,认证和密钥协商在“第一英里”中(即,在MME 304处)执行,而不进一步进入核心网108。
在一些方面,应用专用凭证可包括共享密钥和应用专用证书的组合。例如,应用专用证书可用于用户设备102的初始身份验证,并且共享密钥可用于认证和密钥协商。
图7A和7B解说了根据本公开的一方面的用于使用共享密钥来执行受担保连通性的过程流程图700。当用户向应用服务提供者112(例如,应用服务器)注册用户设备102时,由应用服务提供者112向用户设备102供应(702)共享密钥。在一些方面,还可由应用服务提供者向用户设备102供应设备标识符(例如,用户标识符)和/或与应用服务相关联的应用标识符(例如,完全合格域名)。在其它方面,用户设备102可能已经拥有用户标识符(例如,在制造时),并且该用户设备在设备注册期间将该设备标识符提供给ASP 112以使得ASP 112能将该设备标识符与共享密钥相关联。设备标识符可以是国际移动站装备标识符(IMEI)、电气和电子工程师协会(IEEE)扩展唯一标识符(EUI)地址(例如,EUI-48或EUI-64)(即,媒体接入控制(MAC)地址)、移动站订户国际订户目录号码(MSISDN)、网络接入标识符(NAI)等。共享密钥保持私密并且可以经由带外通信信道(例如,)在用户设备102与应用服务提供者112之间预先共享。应用服务提供者112还存储(704)与用户设备102相关联(例如,与该用户设备102的设备标识符相关联)的共享密钥。应用服务提供者112还可向移动网络运营商(MNO)的无线网络104注册应用服务以使得网络104然后能开始广播/传送关于针对该应用服务的受担保连通性的可用性的应用服务宣告。
在用户设备102与无线网络104的RAN 106(例如,eNB)之间执行(706)服务发现规程,其允许用户设备102检测无线网络104是否提供用户设备102可能感兴趣的应用服务。服务发现可由服务置备功能经由服务查询协议(SQP)来启用,SQP具有与通用广告服务(GAS)和活跃网络查询协议(ANQP)相似的功能性。一旦用户设备102确定无线网络104提供到它想要的应用服务的受担保连通性,则用户设备102向RAN 106发送(708)包括其设备标识符和应用标识符(例如,FQDN)的注册请求(例如,附连请求)消息。RAN 106将注册请求消息转发(710)至MME 304。MME 304然后向注册请求消息添加(712)服务网络标识符(例如,标识服务网络的标识符)以形成认证信息请求。MME然后通过可以是安全的(例如,TLS或安全超文本传输协议(HTTPS))数据路径(例如,数据信道、数据话务通信线、数据连接等,参见图4中的“数据路径”)向应用服务提供者112发送(714)认证信息请求消息。由此,认证信息请求消息经过一个或多个S-GW 506、一个或多个P-GW 508以及一个或多个分组数据网络110,之后到达应用服务提供者112。作为对比,在现有技术中,涉及向用户设备准予蜂窝网络接入的认证请求通过与MME的专用的直接控制接口(例如,S6a接口)发送到HSS/AAA实体,而不是通过数据路径。
应用服务提供者112从与用户设备102相关联的共享密钥中导出(716)认证向量(AV)并将该AV发送(718)到MME 304。AV的导出在3GPP 33.401中描述,其中AV=[K_ASME,AUTN,RAND,XRES]且K_ASME是密钥(例如,接入安全管理实体(ASME)),AUTN是认证令牌,RAND是随机数,而XRES是预期响应。MME 304将值K_ASME和XRES存储(720)在本地存储器中,并将RAND和AUTN转发(722)到用户设备102。用户设备102使用其存储的共享密钥来确认接收到的值AUTN。如果值AUTN有效,则用户设备102导出(724)针对服务网络104的认证响应(RES)并且还导出K_ASME。用户设备102向MME 304发送(726)值RES。MME 304验证(728)是否有XRES==RES。如果验证成功,则在用户设备102与MME 304之间执行(730)非接入阶层(NAS)和接入阶层(AS)密钥设置。
图8A和8B解说了根据本公开的一方面的用于使用公钥证书来执行受担保连通性的过程流程图800。当用户设备102向应用服务提供者112注册时,应用服务提供者112向用户设备102供应(802)应用专用证书。ASP 112还可以向用户设备102供应设备标识符和/或包括可信无线通信网络(例如,MNO)的多个公钥证书的可信MNO和证书列表。在一方面,用户设备102具有其自己的设备标识符,该用户设备在设备注册期间将该设备标识符提供给ASP112以使得该ASP存储与所提供的应用专用证书相关联的设备标识符。设备标识符可以是IMEI、IEEE EUI-48/EUI-64地址(即,MAC地址)、MSISDN或NAI。替换地,设备标识符可以是其公钥的散列。
应用服务提供者112还向无线通信网络104的组件/设备传送应用服务注册信息(例如,经由SPF 502,参见图5)。应用服务注册信息可包括唯一地关联到应用服务的应用标识符、记账关系信息、SPF与ASP 112之间的接口设置信息(例如,安全关联信息、虚拟专用网信息等)、等等。ASP 112还向一个或多个网络设备(诸如RAN 106和/或MME 304)供应(804)应用服务提供者证书(例如,ASP的公钥证书)。ASP证书可以是自签名的(即,由ASP签署)或者由可信第三方实体签署。在一些方面,ASP可以只向一个或多个网络设备供应仅仅公钥(即,不是公钥证书)。
作为RAN 106的应用服务宣告806的一部分,类似于GAS/ANQP的协议可用于服务发现。应用服务宣告可包括无线通信网络数字签名。如果服务宣告包括这种数字签名,则用户设备102可使用已由应用服务提供者112在可信MNO的证书列表中供应给它的无线通信网络公钥来验证(808)该数字签名。用户设备102然后可以向MME 304发送(810)包括应用专用证书的注册请求。注册请求还可包括设备标识符和第一随机数(例如,NonceU)。MME 304然后可使用先前供应给它的应用服务提供者证书(即,使用ASP证书的公钥)来验证(811)应用专用证书中所包括的应用专用数字签名。这验证/认证(811)用户设备102的身份。
一旦验证811成功,MME 304然后就可随机生成(812)密钥(K_ASME)并使用用户设备102的公钥PK_UD来加密(814)K_ASME(即,EncPK_UD(K_ASME),其中Enc()是加密函数)。MME 304然后可随机生成第二随机数(例如,NonceM)并计算(816)XRES=HMAC(K_ASME,NonceU|NonceM)(其中HMAC()是键控散列消息认证码)。MME 304然后对EncPK_UD(K_ASME)、NonceM、PK_MME(其中PK_MME是MME 304的公钥)执行(818)签名。MME 304将EncPK_UE(K_ASME)、NonceM、PK_MME以及该签名发送(820)到用户设备102。用户设备102验证该签名,使用其私钥来解密K_ASME,并且计算(822)RES=HMAC(K_ASME、NonceU|NonceM)。用户设备102向MME 304发送(824)值RES。MME 304将值RES与值XRES进行比较(826),并且如果它们匹配(即,MME 304成功地认证用户设备),则在用户设备102与MME 304之间执行(828)NAS和应用服务(AS)密钥设置。
根据一方面,应用服务提供者112可以向无线通信网络104提供证书撤消列表,无线通信网络104然后可将该撤消列表存储在证书服务功能(CSF)801处。撤消列表标识已经被撤消或者以其它方式无效的那些应用专用证书。MME 304可检查CSF 801以确定尝试获得应用专用接入的用户设备是否提供了在撤消列表上的应用专用证书。如果是,则MME 304可拒绝用户设备102的认证(即,拒绝应用专用接入)。根据一方面,CSF 801存储应用专用证书达其生存期的历时(即,直到其期满日期),而不管该证书是否在其期满之前被撤消。例如,应用专用证书可具有1年生存期(即,1年后期满),但可能在仅仅一个月后被撤消。CSF 801仍可以存储该证书达其生存期中剩余的11个月。在另一方面,CSF 801可运行在线证书状态协议(OCSP)响应器以向MME 304提供证书撤消状态。
图9解说了根据本公开的一方面的用于使用公钥来执行受担保连通性的过程流程图900。当用户设备102向应用服务提供者112注册时,应用服务提供者112可以向用户设备102供应(902)设备标识符和包括可信无线通信网络(例如,MNO)的多个公钥证书的可信MNO和证书列表。设备标识符可以是IMEI、IEEE EUI-48/EUI-64地址(即,MAC地址)、MSISDN或NAI、或者其公钥的散列。用户设备102还向ASP 112提供其公钥,ASP 112可存储该公钥。
应用服务提供者112还向无线通信网络104的组件/设备传送应用服务注册信息。应用服务注册信息可包括唯一地关联到应用服务的应用标识符、记账关系信息、SPF与ASP112之间的接口设置信息(例如,安全关联信息、虚拟专用网信息等)、等等。ASP 112还向一个或多个网络设备(诸如RAN 106和/或MME 304)供应(904)被批准用于对由应用服务提供者提供的应用服务的应用专用接入的用户设备公钥的列表。
作为RAN 106的应用服务宣告906的一部分,类似于GAS/ANQP的协议可用于服务发现。应用服务宣告可包括无线通信网络数字签名。如果服务宣告包括这种数字签名,则用户设备102可使用已由应用服务提供者112在可信MNO的证书列表中供应给它的无线通信网络公钥来验证(908)该签名。用户设备102然后可以向MME 304发送(910)包括用户设备公钥的注册请求。注册请求还可包括设备标识符和第一随机数(例如,NonceU)。MME 304然后可检查以验证(912)用户设备的身份,这通过检查以查看用户设备提供的公钥是否匹配早先由应用服务提供者112提供给它的已批准公钥列表上的公钥。如果是,则用户设备102的身份被验证。如果否,则认证失败并且用户设备102可能无法获得应用专用接入。在验证912后,过程900可遵循图8A和8B所示的相同的授权和密钥协商过程(步骤812到828)。
根据一方面,应用专用凭证可能不基于订户身份模块(SIM)凭证或者通用订户身份模块(USIM)凭证,因为用户设备可能不具有SIM或USIM。应用专用凭证可能只准许通过无线网络104接入应用服务提供者112的特定应用服务114或者接入应用服务集。当应用专用凭证包括共享密钥时可以如何按安全的方式供应应用专用凭证的一些非限制性、非排他性示例包括动态对称密钥置备协议(DSKPP(RFC 6063))和/或密码令牌密钥初始化协议(CT-KIP(RFC 4758))。当应用专用凭证包括公钥证书时,通过密码消息句法(CMS(RFC 5272、6402))协议的证书管理可用于安全地供应应用专用凭证。
图10解说了根据本公开的一方面的用户设备102的示意性框图。用户设备102可以是任何无线通信设备,诸如但不限于移动电话、智能电话、膝上型设备、个人数字助理(PDA)、平板、计算机、智能手表和头戴式可穿戴计算机(例如,Google)。用户设备102可包括可以通信地彼此耦合的至少一个或多个无线通信接口1002、一个或多个存储器电路1004、一个或多个输入和/或输出(I/O)设备/电路1006和/或一个或多个处理电路1008。例如,接口1002、存储器电路1004、I/O设备1006以及处理电路1008可以通过总线1010通信地彼此耦合。无线通信接口1002允许用户设备102与无线通信网络104进行无线通信。由此,接口1002允许用户设备102与无线广域网(WWAN)(诸如移动电信蜂窝网络)以及短程无线局域网(例如, 等)进行无线通信。无线通信接口1002表示供用户设备在成功执行认证和密钥协商后与应用服务通信的装置的一个示例。
存储器电路1004可包括一个或多个易失性存储器电路和/或非易失性存储器电路。由此,存储器电路1004可包括动态随机存取存储器(DRAM)、静态随机存取存储器(SRAM)、磁阻式随机存取存储器(MRAM)、电可擦除可编程只读存储器(EEPROM)、闪存等。存储器电路1004可存储一个或多个密码密钥,诸如共享密钥和公钥证书(例如,应用专用证书、无线通信网络公钥证书、可信MNO证书等)。存储器电路1004还可存储可由处理电路1008执行的指令。I/O设备/电路1006可包括一个或多个键盘、鼠标、显示器、触摸屏显示器、打印机、指纹扫描仪以及任何其它输入和/或输出设备。
处理电路1008(例如,处理器、中央处理单元(CPU)、应用处理单元(APU)等)可执行存储在存储器电路1006处的指令和/或存储在通信地耦合到用户设备102的另一计算机可读存储介质(例如,硬盘驱动器、光盘驱动器、固态驱动器等)处的指令。处理电路1008可执行本文描述的用户设备102的步骤和/或过程中的任一者,包括参照图2、3、4、5、6、7A、7B、8A、8B、9、13和14讨论的那些步骤和/或过程。根据一方面,处理电路1008可以是通用处理器。根据另一方面,处理电路可被硬布线(例如,它可以是专用集成电路(ASIC))成执行本文描述的用户设备102的步骤和/或过程,包括参照图2、3、4、5、6、7A、7B、8A、8B、9、13和14讨论的那些步骤和/或过程。
图11解说了根据一方面的用户设备处理电路1008的示意性框图。处理电路1008可包括共享密钥接收电路1102、受担保连通性确定电路1104、注册请求传送电路1106、认证信息接收电路1108和/或授权和密钥协商(AKA)执行电路1110。根据一方面,这些电路1102、1104、1106、1108、1110可以是ASIC并且被硬布线成执行其各自的过程。共享密钥接收电路1102可以是用于接收并存储来自应用服务提供者的共享密钥的装置的一个示例。受担保连通性确定电路1104可以是用于确定无线通信网络提供对由应用服务提供者提供的应用服务的应用专用接入的装置的一个示例。注册请求传送电路1106可以是用于向无线通信网络传送包括设备标识符以及与应用服务相关联的应用标识符的注册请求的装置的一个示例。认证信息接收电路1108可以是用于从无线通信网络接收在应用服务提供者处导出的部分地基于共享密钥的认证信息的装置的一个示例。AKA执行电路1110可以是用于基于认证信息和所存储的共享密钥来与无线通信网络执行认证以及密钥协商的装置的一个示例。
图12解说了根据另一方面的用户设备处理电路1008的示意性框图。处理电路1008可包括证书接收电路1202、受担保连通性确定电路1204、注册请求传送电路1206和/或授权和密钥协商(AKA)执行电路1208。根据一方面,这些电路1202、1204、1206、1208可以是ASIC并且被硬布线成执行其各自的过程。证书接收电路1202可以是用于从应用服务提供者接收与由该应用服务提供者提供的至少一个应用服务相关联的应用专用证书的装置的一个示例。受担保连通性确定电路1204可以是用于确定无线通信网络提供对由应用服务提供者提供的应用服务的应用专用接入的装置的一个示例。注册请求传送电路1206可以是用于向无线通信网络传送包括应用专用证书的注册请求以用于认证用户设备的装置的一个示例,该应用专用证书包括用户设备公钥。AKA执行电路1208可以是用于与无线通信网络执行认证以及密钥协商的装置的一个示例。
图13解说了根据本公开的一方面的能在用户设备102处操作的用于获得应用专用接入的方法的流程图1300。首先,用户设备102接收并存储来自应用服务提供者的共享密钥(1302)。然后,用户设备102确定无线通信网络提供对由应用服务提供者提供的应用服务的应用专用接入(1304)。接着,向无线通信网络传送包括设备标识符以及与应用服务相关联的应用标识符的注册请求,该注册请求被适配成使用通过分组数据网络的数据连接来传送到应用服务提供者(1306)。然后,用户设备102从无线通信网络接收在应用服务提供者处导出的部分地基于共享密钥的认证信息(1308)。接着,基于认证信息和所存储的共享密钥来与无线通信网络执行认证和密钥协商(1310)。然后,用户设备可以在认证和密钥协商被成功执行后与应用服务通信(1312)。
图14解说了根据本公开的一方面的能在用户设备102处操作的用于获得应用专用接入的方法的流程图1400。首先,用户设备102从应用服务提供者接收与由该应用服务提供者提供的应用服务相关联的应用专用证书(1402)。然后,用户设备102确定无线通信网络提供对由应用服务提供者提供的应用服务的应用专用接入(1404)。接着,向无线通信网络传送包括应用专用证书的注册请求以用于认证用户设备,该应用专用证书包括用户设备公钥(1406)。然后,用户设备102与无线通信网络执行认证和密钥协商(1408)。接着,用户设备可以在认证和密钥协商被成功执行后与应用服务通信(1410)。
图15解说了根据本公开的一方面的无线通信网络设备1500的示意性框图。网络设备1500可以是无线通信网络104中的组件/设备中的任一者(参见图1、3和5),包括但不限于RAN 106和/或MME 304。网络设备1500可包括可以通信地彼此耦合的至少一个或多个无线通信接口1502、一个或多个存储器电路1504、一个或多个输入和/或输出(I/O)设备/电路1506和/或一个或多个处理电路1508。例如,接口1502、存储器电路1504、I/O设备1506以及处理电路1508可以通过总线1510通信地彼此耦合。无线通信接口1502允许网络设备1500与用户设备102进行无线通信。由此,接口1502允许网络设备1500通过无线广域网(WWAN)(诸如移动电信蜂窝网络)和/或短程无线局域网(例如,等)进行无线通信。
存储器电路1504可包括一个或多个易失性存储器电路和/或非易失性存储器电路。由此,存储器电路1504可包括DRAM、SRAM、MRAM、EEPROM、闪存等。存储器电路1504可存储一个或多个密码密钥,诸如公钥证书(例如,应用服务提供者证书)。存储器电路1504还可存储可由处理电路1508执行的指令。I/O设备/电路1506可包括一个或多个键盘、鼠标、显示器、触摸屏显示器、打印机、指纹扫描仪以及任何其它输入和/或输出设备。
处理电路1508(例如,处理器、中央处理单元(CPU)、应用处理单元(APU)等)可执行存储在存储器电路1506处的指令和/或存储在通信地耦合到网络设备1500的另一计算机可读存储介质(例如,硬盘驱动器、光盘驱动器、固态驱动器等)处的指令。处理电路1508可执行本文描述的网络设备106、304、306、308的步骤和/或过程中的任一者,包括参照图2、3、4、5、6、7A、7B、8A、8B、9、18和19讨论的那些步骤和/或过程。根据一方面,处理电路1508可以是通用处理器。根据另一方面,处理电路1508可被硬布线(例如,它可以是专用集成电路(ASIC))成执行本文描述的网络设备106、304、306、308的步骤和/或过程,包括参照图2、3、4、5、6、7A、7B、8A、8B、9、18和19讨论的那些步骤和/或过程。
图16解说了根据一方面的网络设备处理电路1508的示意性框图。处理电路1508可包括注册请求接收电路1602、认证信息传送电路1604、认证信息接收电路1606和/或授权和密钥协商(AKA)执行电路1608。根据一方面,这些电路1602、1604、1606、1608可以是ASIC并且被硬布线成执行其各自的过程。注册请求接收电路1602可以是用于从用户设备接收用于对由应用服务提供者提供的应用服务进行应用专用接入的注册请求的装置的一个示例。认证信息传送电路1604可以是用于使用通过分组数据网络的数据连接来向应用服务提供者传送包括注册请求以及标识无线通信网络的服务网络标识符的认证信息请求的装置的一个示例。认证信息接收电路1606可以是用于响应于传送认证信息请求而从应用服务提供者接收认证信息的装置的一个示例。AKA执行电路1608可以是用于基于认证信息来与用户设备执行认证和密钥协商的装置的一个示例。
图17解说了根据另一方面的网络设备处理电路1508的示意性框图。处理电路1508可包括应用服务提供者证书接收电路1702、注册请求接收电路1704、证书验证电路1706和/或授权和密钥协商(AKA)执行电路1708。根据一方面,这些电路1702、1704、1706、1708可以是ASIC并且被硬布线成执行其各自的过程。应用服务提供者证书接收电路1702可以是用于从应用服务提供者接收包括应用服务提供者公钥的应用服务提供者证书的装置的一个示例。注册请求接收电路1704可以是用于从用户设备接收用于对由应用服务提供者提供的应用服务进行应用专用接入的注册请求的装置的一个示例。证书验证电路1706可以是用于使用应用服务提供者公钥来验证应用专用证书以认证用户设备的装置的一个示例。AKA执行电路1708可以是用于基于认证信息来与用户设备执行认证和密钥协商的装置的一个示例。
图18解说了根据本公开的一方面的能在网络设备1500处操作的用于提供应用专用接入的方法的流程图1800。首先,网络设备1500从用户设备102接收用于对由应用服务提供者提供的应用服务进行应用专用接入的注册请求,该注册请求包括标识用户设备的设备标识符以及标识应用服务的应用标识符(1802)。接着,使用通过分组数据网络的数据连接来向应用服务提供者传送包括注册请求以及标识无线通信网络的服务网络标识符的认证信息请求(1804)。然后,响应于传送认证信息请求而从应用服务提供者接收认证信息,该认证信息部分地基于与用户设备相关联的共享密钥(1806)。接着,网络设备1500基于认证信息来与用户设备102执行认证和密钥协商(1808)。
图19解说了根据本公开的一方面的能在网络设备处操作的用于提供应用专用接入的方法的流程图1900。首先,网络设备1500从应用服务提供者接收包括应用服务提供者公钥的应用服务提供者证书(1902)。然后,网络设备1500从用户设备102接收用于对由应用服务提供者提供的应用服务进行应用专用接入的注册请求,该注册请求包括由应用服务提供者签署的应用专用证书,该应用专用证书包括与应用服务相关联的公钥(1904)。接着,网络设备使用应用服务提供者公钥来验证应用专用证书以认证用户设备(1906)。然后,网络设备与用户设备执行认证和密钥协商(1908)。
图1、2、3、4、5、6、7A、7B、8A、8B、9、10、11、12、13、14、15、16、17、18和/或19中解说的组件、步骤、特征和/或功能中的一者或多者可以被重新编排和/或组合成单个组件、步骤、特征或功能,或可以实施在数个组件、步骤、或功能中。也可添加附加的元件、组件、步骤、和/或功能而不会脱离本发明。图1、3、4、5、6、10、11、12、15、16和/或17中所解说的装置、设备和/或组件可以被配置成执行图2、3、4、5、6、7A、7B、8A、8B、9、13、14、18和/或19中所描述的一个或多个方法、特征、或步骤。本文中描述的算法也可以高效地实现在软件中和/或嵌入在硬件中。
此外,在本公开的一个方面,图10、11和/或12中解说的处理电路1008可以是被专门设计和/或硬布线成执行图2、3、4、5、6、7A、7B、8A、8B、9、13和/或14中描述的算法、方法、和/或步骤的专用处理器(例如,专用集成电路(例如,ASIC))。因此,此类专用处理器(例如,ASIC)可以是用于执行图13和14中描述的算法、方法和/或步骤的装置的一个示例。计算机可读存储介质1004还可存储处理器1008可读指令,这些处理器可读指令在由专用处理器(例如,ASIC)执行时使得该专用处理器执行图2、3、4、5、6、7A、7B、8A、8B、9、13和/或14中描述的算法、方法和/或步骤。
此外,在本公开的一个方面,图15、16和/或17中解说的处理电路1508可以是被专门设计和/或硬布线成执行图2、3、4、5、6、7A、7B、8A、8B、9、18和/或19中描述的算法、方法、和/或步骤的专用处理器(例如,专用集成电路(例如,ASIC))。因此,此类专用处理器(例如,ASIC)可以是用于执行图18和19中描述的算法、方法和/或步骤的装置的一个示例。计算机可读存储介质1504还可存储处理器1508可读指令,这些处理器可读指令在由专用处理器(例如,ASIC)执行时使得该专用处理器执行图2、3、4、5、6、7A、7B、8A、8B、9、18和/或19中描述的算法、方法和/或步骤。
还应注意,本公开的各方面可作为被描绘为流程图、流图、结构图、或框图的过程来描述。尽管流程图可把各操作描述为顺序过程,但是这些操作中有许多操作能够并行或并发地执行。另外,这些操作的次序可以被重新安排。过程在其操作完成时终止。过程可对应于方法、函数、规程、子例程、子程序等。当过程对应于函数时,它的终止对应于该函数返回调用方函数或主函数。
此外,存储介质可表示用于存储数据的一个或多个设备,包括只读存储器(ROM)、随机存取存储器(RAM)、磁盘存储介质、光学存储介质、闪存设备和/或其他用于存储信息的机器可读介质、以及处理器可读介质、和/或计算机可读介质。术语“机器可读介质”、“计算机可读介质”和/或“处理器可读介质”可包括但不限于非瞬态介质,诸如便携或固定的存储设备、光学存储设备,以及能够存储或包含(诸)指令和/或数据的各种其他介质。因此,本文中描述的各种方法可全部或部分地由可存储在“机器可读介质”、“计算机可读介质”和/或“处理器可读介质”中并由一个或多个处理器、机器和/或设备执行的指令和/或数据来实现。
此外,本公开的各方面可以由硬件、软件、固件、中间件、微代码、或其任何组合来实现。当在软件、固件、中间件或微代码中实现时,执行必要任务的程序代码或代码段可被存储在诸如存储介质之类的机器可读介质或其它存储中。处理器可以执行这些必要的任务。代码段可表示规程、函数、子程序、程序、例程、子例程、模块、软件包、类,或是指令、数据结构、或程序语句的任何组合。通过传递和/或接收信息、数据、自变量、参数、或存储器内容,一代码段可被耦合到另一代码段或硬件电路。信息、自变量、参数、数据等可以经由包括存储器共享、消息传递、令牌传递、网络传输等的任何合适的手段被传递、转发、或传输。
结合本文中公开的示例描述的各个解说性逻辑块、模块、电路、元件和/或组件可用设计成执行本文中描述的功能的通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其他可编程逻辑组件、分立的门或晶体管逻辑、分立的硬件组件、或其任何组合来实现或执行。通用处理器可以是微处理器,但在替换方案中,该处理器可以是任何常规的处理器、控制器、微控制器、或状态机。处理器还可以实现为计算组件的组合,例如DSP与微处理器的组合、数个微处理器、与DSP核心协作的一个或多个微处理器、或任何其他此类配置。
结合本文中公开的示例描述的方法或算法可直接在硬件中、在能由处理器执行的软件模块中、或在这两者的组合中以处理单元、编程指令、或其他指示的形式实施,并且可包含在单个设备中或跨多个设备分布。软件模块可驻留在RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动盘、CD-ROM、或本领域中所知的任何其他形式的存储介质中。存储介质可耦合到处理器以使得该处理器能从/向该存储介质读写信息。在替换方案中,存储介质可以被整合到处理器。
本领域技术人员将可进一步领会,结合本文中公开的各方面描述的各种解说性逻辑框、模块、电路、和算法步骤可被实现为电子硬件、计算机软件、或两者的组合。为清楚地解说硬件与软件的这一可互换性,各种解说性组件、块、模块、电路、以及步骤在上面是以其功能性的形式作一般化描述的。此类功能性是被实现为硬件还是软件取决于具体应用和施加于整体系统的设计约束。
本文中所描述的本发明的各种特征可实现在不同系统中而不会脱离本发明。应注意,本公开的以上各方面仅是示例,且不应被解释成限定本发明。对本公开的各方面的描述旨在是解说性的,而非限定所附权利要求的范围。由此,本发明的教导可以现成地应用于其他类型的装置,并且许多替换、修改和变形对于本领域技术人员将是显而易见的。

Claims (50)

1.一种能在用户设备处操作的方法,所述方法包括:
从应用服务提供者接收与由所述应用服务提供者提供的至少一个应用服务相关联的应用专用证书;
确定无线通信网络提供对由所述应用服务提供者提供的应用服务的应用专用接入;
向所述无线通信网络传送包括所述应用专用证书的注册请求以用于认证所述用户设备,所述应用专用证书包括与所述应用服务相关联的公钥;
与所述无线通信网络执行认证和密钥协商;以及
在认证和密钥协商被成功执行后与所述应用服务通信。
2.如权利要求1所述的方法,其特征在于,与所述无线通信网络的认证和密钥协商是直接在所述用户设备与所述无线通信网络之间且独立于所述应用服务提供者来执行的。
3.如权利要求1所述的方法,其特征在于,与所述应用服务相关联的所述公钥是用户设备公钥,并且所述应用专用证书进一步包括应用专用数字签名,所述应用专用数字签名包括由所述应用服务提供者的私钥签署的所述用户设备公钥。
4.如权利要求1所述的方法,其特征在于,所述应用专用证书进一步包括应用标识符和应用专用数字签名,所述应用专用数字签名包括皆由所述应用服务提供者的私钥签署的所述公钥和所述应用标识符,所述应用标识符唯一地与所述应用服务相关联。
5.如权利要求1所述的方法,其特征在于,进一步包括:
在认证和密钥协商成功后获得对所述应用服务的应用专用接入。
6.如权利要求1所述的方法,其特征在于,确定所述无线通信网络提供应用专用接入包括接收由所述无线通信网络广播的关于所述应用服务通过所述无线通信网络的可用性的宣告。
7.如权利要求1所述的方法,其特征在于,进一步包括:
从所述应用服务提供者接收与可信无线通信网络相关联的多个证书,所述多个证书包括具有作为所述无线通信网络的公钥的无线通信网络公钥的证书。
8.如权利要求7所述的方法,其特征在于,进一步包括:
通过使用所述无线通信网络公钥验证无线通信网络数字签名来认证所述无线通信网络,所述无线通信网络数字签名被包括在从所述无线通信网络接收到的应用服务宣告中。
9.如权利要求1所述的方法,其特征在于,进一步包括:
在成功执行认证和密钥协商后启用所述用户设备与所述应用服务提供者允许的应用服务集之间的通信。
10.一种用户设备,包括:
被适配成与无线通信网络进行无线通信的无线通信接口;以及
通信地耦合至所述通信接口的处理电路,所述处理电路被适配成:
从应用服务提供者接收与由所述应用服务提供者提供的至少一个应用服务相关联的应用专用证书;
确定无线通信网络提供对由所述应用服务提供者提供的应用服务的应用专用接入;
向所述无线通信网络传送包括所述应用专用证书的注册请求以用于认证所述用户设备,所述应用专用证书包括与所述应用服务相关联的公钥;
与所述无线通信网络执行认证和密钥协商;以及
在认证和密钥协商被成功执行后与所述应用服务通信。
11.如权利要求10所述的用户设备,其特征在于,与所述无线通信网络的认证和密钥协商是直接在所述用户设备与所述无线通信网络之间且独立于所述应用服务提供者来执行的。
12.如权利要求10所述的用户设备,其特征在于,与所述应用服务相关联的所述公钥是用户设备公钥,并且所述应用专用证书进一步包括应用专用数字签名,所述应用专用数字签名包括由所述应用服务提供者的私钥签署的所述用户设备公钥。
13.如权利要求10所述的用户设备,其特征在于,所述应用专用证书进一步包括应用标识符和应用专用数字签名,所述应用专用数字签名包括皆由所述应用服务提供者的私钥签署的所述公钥和所述应用标识符,所述应用标识符唯一地与所述应用服务相关联。
14.如权利要求10所述的用户设备,其特征在于,所述处理电路被进一步配置成:
在认证和密钥协商成功后获得对所述应用服务的应用专用接入。
15.如权利要求10所述的用户设备,其特征在于,所述处理电路被适配成确定所述无线通信网络提供应用专用接入包括所述处理电路被进一步适配成:
接收由所述无线通信网络广播的关于所述应用服务通过所述无线通信网络的可用性的宣告。
16.如权利要求10所述的用户设备,其特征在于,所述处理电路被进一步配置成:
从所述应用服务提供者接收与可信无线通信网络相关联的多个证书,所述多个证书包括具有作为所述无线通信网络的公钥的无线通信网络公钥的证书。
17.如权利要求16所述的用户设备,其特征在于,所述处理电路被进一步配置成:
通过使用所述无线通信网络公钥验证无线通信网络数字签名来认证所述无线通信网络,所述无线通信网络数字签名被包括在从所述无线通信网络接收到的应用服务宣告中。
18.如权利要求10所述的用户设备,其特征在于,所述处理电路被进一步配置成:
在成功执行认证和密钥协商后启用所述用户设备与所述应用服务提供者允许的应用服务集之间的通信。
19.一种用户设备,包括:
用于从应用服务提供者接收与由所述应用服务提供者提供的至少一个应用服务相关联的应用专用证书的装置;
用于确定无线通信网络提供对由所述应用服务提供者提供的应用服务的应用专用接入的装置;
用于向所述无线通信网络传送包括所述应用专用证书的注册请求以用于认证所述用户设备的装置,所述应用专用证书包括与所述应用服务相关联的公钥;
用于与所述无线通信网络执行认证和密钥协商的装置;以及
用于在认证和密钥协商被成功执行后与所述应用服务通信的装置。
20.如权利要求19所述的用户设备,其特征在于,与所述无线通信网络的认证和密钥协商是直接在所述用户设备与所述无线通信网络之间且独立于所述应用服务提供者来执行的。
21.如权利要求19所述的用户设备,其特征在于,与所述应用服务相关联的所述公钥是用户设备公钥,并且所述应用专用证书进一步包括应用专用数字签名,所述应用专用数字签名包括由所述应用服务提供者的私钥签署的所述用户设备公钥。
22.如权利要求19所述的用户设备,其特征在于,进一步包括:
用于在认证和密钥协商成功后获得对所述应用服务的应用专用接入的装置。
23.如权利要求19所述的用户设备,其特征在于,进一步包括:
用于从所述应用服务提供者接收与可信无线通信网络相关联的多个证书的装置,所述多个证书包括具有作为所述无线通信网络的公钥的无线通信网络公钥的证书;以及
用于通过使用所述无线通信网络公钥验证无线通信网络数字签名来认证所述无线通信网络的装置,所述无线通信网络数字签名被包括在从所述无线通信网络接收到的应用服务宣告中。
24.一种能在与无线通信网络相关联的无线通信网络设备处操作的方法,所述方法包括:
从应用服务提供者接收包括应用服务提供者公钥的应用服务提供者证书;
从用户设备接收用于对由所述应用服务提供者提供的应用服务进行应用专用接入的注册请求,所述注册请求包括由所述应用服务提供者签署的应用专用证书,所述应用专用证书包括与所述应用服务相关联的公钥;
使用所述应用服务提供者公钥来验证所述应用专用证书以认证所述用户设备;以及
与所述用户设备执行认证和密钥协商。
25.如权利要求24所述的方法,其特征在于,与所述用户设备的认证和密钥协商是直接在所述用户设备与所述无线通信网络设备之间且独立于所述应用服务提供者来执行的。
26.如权利要求24所述的方法,其特征在于,进一步包括:
在从所述用户设备接收所述注册请求之前接收与所述应用服务相关联的应用服务注册信息。
27.如权利要求26所述的方法,其特征在于,所述应用服务注册信息是经由服务置备功能从所述应用服务提供者接收的。
28.如权利要求26所述的方法,其特征在于,所述应用服务注册信息包括应用标识符和/或应用服务类中的至少一者,所述应用服务类指示所述无线通信网络提供所述用户设备与所述应用服务之间的通信的服务质量。
29.如权利要求24所述的方法,其特征在于,进一步包括:
广播指示对所述应用服务的应用专用接入通过所述无线通信网络的可用性的宣告。
30.如权利要求29所述的方法,其特征在于,所述应用服务宣告包括由所述无线通信网络的私钥签署的无线通信网络数字签名,所述数字签名被适配成在所述用户设备处用无线通信网络公钥来验证。
31.如权利要求24所述的方法,其特征在于,与所述应用服务相关联的所述公钥是用户设备公钥,并且所述应用专用证书进一步包括应用专用数字签名,所述应用专用数字签名包括由所述应用服务提供者的私钥签署的所述用户设备公钥。
32.如权利要求24所述的方法,其特征在于,所述应用专用证书进一步包括应用标识符和应用专用数字签名,所述应用专用数字签名包括皆由所述应用服务提供者的私钥签署的所述公钥和所述应用标识符,所述应用标识符唯一地与所述应用服务相关联。
33.如权利要求24所述的方法,其特征在于,进一步包括:
在认证和密钥协商成功后向所述用户设备提供对所述应用服务的应用专用接入。
34.如权利要求24所述的方法,其特征在于,进一步包括:
存储应用专用证书撤消列表,所述列表包括供应给用户设备的已经被撤消且不应被准予应用专用接入的多个应用专用证书。
35.一种与无线通信网络相关联的无线通信网络设备,所述无线通信网络设备包括:
被适配成与至少用户设备进行无线通信的无线通信接口;以及
通信地耦合到所述无线通信接口的处理电路,所述处理电路被适配成:
从应用服务提供者接收包括应用服务提供者公钥的应用服务提供者证书;
从用户设备接收用于对由所述应用服务提供者提供的应用服务进行应用专用接入的注册请求,所述注册请求包括由所述应用服务提供者签署的应用专用证书,所述应用专用证书包括与所述应用服务相关联的公钥;
使用所述应用服务提供者公钥来验证所述应用专用证书以认证所述用户设备;以及
与所述用户设备执行认证和密钥协商。
36.如权利要求35所述的无线通信网络设备,其特征在于,与所述用户设备的认证和密钥协商是直接在所述用户设备与所述无线通信网络设备之间且独立于所述应用服务提供者来执行的。
37.如权利要求35所述的无线通信网络设备,其特征在于,所述处理电路被进一步配置成:
在从所述用户设备接收所述注册请求之前接收与所述应用服务相关联的应用服务注册信息。
38.如权利要求37所述的无线通信网络设备,其特征在于,所述应用服务注册信息是经由服务置备功能从所述应用服务提供者接收的。
39.如权利要求37所述的无线通信网络设备,其特征在于,所述应用服务注册信息包括应用标识符和/或应用服务类中的至少一者,所述应用服务类指示所述无线通信网络提供所述用户设备与所述应用服务之间的通信的服务质量。
40.如权利要求35所述的无线通信网络设备,其特征在于,所述处理电路被进一步配置成:
广播指示对所述应用服务的应用专用接入通过所述无线通信网络的可用性的宣告。
41.如权利要求40所述的无线通信网络设备,其特征在于,所述应用服务宣告包括由所述无线通信网络的私钥签署的无线通信网络数字签名,所述数字签名被适配成在所述用户设备处用无线通信网络公钥来验证。
42.如权利要求35所述的无线通信网络设备,其特征在于,与所述应用服务相关联的所述公钥是用户设备公钥,并且所述应用专用证书进一步包括应用专用数字签名,所述应用专用数字签名包括由所述应用服务提供者的私钥签署的所述用户设备公钥。
43.如权利要求35所述的无线通信网络设备,其特征在于,所述应用专用证书进一步包括应用标识符和应用专用数字签名,所述应用专用数字签名包括皆由所述应用服务提供者的私钥签署的所述公钥和所述应用标识符,所述应用标识符唯一地与所述应用服务相关联。
44.如权利要求35所述的无线通信网络设备,其特征在于,所述处理电路被进一步配置成:
在认证和密钥协商成功后向所述用户设备提供对所述应用服务的应用专用接入。
45.如权利要求35所述的无线通信网络设备,其特征在于,所述处理电路被进一步配置成:
存储应用专用证书撤消列表,所述列表包括供应给用户设备的已经被撤消且不应被准予应用专用接入的多个应用专用证书。
46.一种无线通信网络设备,包括:
用于从应用服务提供者接收包括应用服务提供者公钥的应用服务提供者证书的装置;
用于从用户设备接收用于对由所述应用服务提供者提供的应用服务进行应用专用接入的注册请求的装置,所述注册请求包括由所述应用服务提供者签署的应用专用证书,所述应用专用证书包括与所述应用服务相关联的公钥;
用于使用所述应用服务提供者公钥来验证所述应用专用证书以认证所述用户设备的装置;以及
用于与所述用户设备执行认证和密钥协商的装置。
47.如权利要求46所述的无线通信网络设备,其特征在于,与所述用户设备的认证和密钥协商是直接在所述用户设备与所述无线通信网络之间且独立于所述应用服务提供者来执行的。
48.如权利要求46所述的无线通信网络设备,其特征在于,进一步包括:
用于在从所述用户设备接收所述注册请求之前接收与所述应用服务相关联的应用服务注册信息的装置。
49.如权利要求46所述的无线通信网络设备,其特征在于,与所述应用服务相关联的所述公钥是用户设备公钥,并且所述应用专用证书进一步包括应用专用数字签名,所述应用专用数字签名包括由所述应用服务提供者的私钥签署的所述用户设备公钥。
50.如权利要求46所述的无线通信网络设备,其特征在于,进一步包括:
用于在认证和密钥协商成功后向所述用户设备提供对所述应用服务的应用专用接入的装置。
CN201680016058.2A 2015-03-17 2016-03-01 用于使用应用专用网络接入凭证到无线网络的受担保连通性的装置和方法 Active CN107409136B (zh)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201562134206P 2015-03-17 2015-03-17
US62/134,206 2015-03-17
US14/829,459 2015-08-18
US14/829,459 US9755837B2 (en) 2015-03-17 2015-08-18 Apparatus and method for sponsored connectivity to wireless networks using application-specific network access credentials
PCT/US2016/020226 WO2016148903A1 (en) 2015-03-17 2016-03-01 Apparatus and method for sponsored connectivity to wireless networks using application-specific network access credentials

Publications (2)

Publication Number Publication Date
CN107409136A true CN107409136A (zh) 2017-11-28
CN107409136B CN107409136B (zh) 2019-04-12

Family

ID=55910327

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201680016058.2A Active CN107409136B (zh) 2015-03-17 2016-03-01 用于使用应用专用网络接入凭证到无线网络的受担保连通性的装置和方法

Country Status (8)

Country Link
US (1) US9755837B2 (zh)
EP (1) EP3272099B1 (zh)
JP (1) JP6400228B2 (zh)
KR (1) KR101840180B1 (zh)
CN (1) CN107409136B (zh)
BR (1) BR112017019799B1 (zh)
TW (1) TWI645724B (zh)
WO (1) WO2016148903A1 (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108401262A (zh) * 2018-02-06 2018-08-14 武汉斗鱼网络科技有限公司 一种终端应用通信数据获取与分析的方法及装置
CN113132951A (zh) * 2020-01-15 2021-07-16 诺基亚通信公司 针对专用移动网络中的商业服务用户设备的无接触支持
CN114884667A (zh) * 2021-02-05 2022-08-09 中国移动通信有限公司研究院 一种通信鉴权方法、设备及存储介质
CN112640385B (zh) * 2018-08-30 2023-12-12 皇家飞利浦有限公司 用于在si系统中使用的非si设备和si设备以及相应的方法

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9717004B2 (en) 2015-03-17 2017-07-25 Qualcomm Incorporated Apparatus and method for sponsored connectivity to wireless networks using application-specific network access credentials
US9807086B2 (en) 2015-04-15 2017-10-31 Citrix Systems, Inc. Authentication of a client device based on entropy from a server or other device
US10122709B2 (en) * 2015-05-12 2018-11-06 Citrix Systems, Inc. Multifactor contextual authentication and entropy from device or device input or gesture authentication
USD907652S1 (en) 2016-05-10 2021-01-12 Citrix Systems, Inc. Display screen or portion thereof with graphical user interface
CN106793005B (zh) * 2016-11-14 2020-05-12 深圳市唯传科技有限公司 基于LoRa的物联网设备的漫游通信方法及系统
RU2733828C1 (ru) * 2017-04-11 2020-10-07 Хуавей Текнолоджиз Ко., Лтд. Способ, устройство и система для сетевой аутентификации
WO2019017865A1 (en) * 2017-07-17 2019-01-24 Sony Mobile Communications Inc. APPLICATION-LEVEL SERVICE IDENTITY SUPPORTERS FOR NETWORK ACCESS AUTHENTICATION
US11108556B2 (en) * 2018-06-08 2021-08-31 Vmware, Inc. Unmanaged secure inter-application data communications
CN111010744B (zh) * 2018-10-08 2022-05-13 华为技术有限公司 建立会话的方法和装置以及发送报文的方法和装置
CN111314475B (zh) * 2020-02-21 2021-05-04 北京紫光展锐通信技术有限公司 会话创建方法及相关设备
US11652811B2 (en) * 2020-04-16 2023-05-16 Sap Se Automatic provisioning
EP4123544A1 (en) * 2021-07-22 2023-01-25 Deutsche Telekom AG Method and system for operating a mobile point-of-sales application
US11962695B2 (en) 2021-07-23 2024-04-16 Blackberry Limited Method and system for sharing sensor insights based on application requests
US11968310B2 (en) * 2021-07-23 2024-04-23 Blackberry Limited Method and system for providing data security for micro-services across domains
US12013957B2 (en) 2021-07-23 2024-06-18 Blackberry Limited Method and system for indirect sharing of sensor insights

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1977514A (zh) * 2004-06-28 2007-06-06 诺基亚公司 用户鉴权
US20090245184A1 (en) * 2008-03-27 2009-10-01 Esteban Raul Torres Concierge launcher
EP2424192A2 (en) * 2010-08-24 2012-02-29 Cisco Technology, Inc. Pre-association mechanism to provide detailed description of wireless services

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB0326265D0 (en) 2003-11-11 2003-12-17 Nokia Corp Shared secret usage for bootstrapping
JP4683260B2 (ja) * 2004-07-14 2011-05-18 ソニー株式会社 情報処理システム、情報処理装置、サーバ装置、および情報処理方法
CN101272251B (zh) * 2007-03-22 2012-04-18 华为技术有限公司 鉴权和密钥协商方法、认证方法、系统及设备
EP2204008B1 (en) 2007-10-16 2019-03-27 Nokia Technologies Oy Credential provisioning
US8873523B2 (en) * 2009-09-30 2014-10-28 Apple Inc. Methods and apparatus for solicited activation for protected wireless networking
JP5536628B2 (ja) * 2010-12-21 2014-07-02 Kddi株式会社 無線lan接続方法、無線lanクライアント、および無線lanアクセスポイント
US9198038B2 (en) 2011-06-13 2015-11-24 Qualcomm Incorporated Apparatus and methods of identity management in a multi-network system
WO2013028136A1 (en) 2011-08-25 2013-02-28 Smart Hub Pte. Ltd. System and method for provisioning internet access to a computing device
EP2842288A1 (en) * 2012-04-27 2015-03-04 Interdigital Patent Holdings, Inc. Systems and methods for personalizing and/or tailoring a service interface
US9208298B2 (en) 2012-06-18 2015-12-08 Google Inc. Pass through service login to application login
US9413736B2 (en) 2013-03-29 2016-08-09 Citrix Systems, Inc. Providing an enterprise application store
KR20140119544A (ko) 2013-04-01 2014-10-10 삼성전자주식회사 이동통신 시스템에서 근접 서비스 메시지 라우팅 방법 및 장치
US9717004B2 (en) 2015-03-17 2017-07-25 Qualcomm Incorporated Apparatus and method for sponsored connectivity to wireless networks using application-specific network access credentials

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1977514A (zh) * 2004-06-28 2007-06-06 诺基亚公司 用户鉴权
US20090245184A1 (en) * 2008-03-27 2009-10-01 Esteban Raul Torres Concierge launcher
EP2424192A2 (en) * 2010-08-24 2012-02-29 Cisco Technology, Inc. Pre-association mechanism to provide detailed description of wireless services

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108401262A (zh) * 2018-02-06 2018-08-14 武汉斗鱼网络科技有限公司 一种终端应用通信数据获取与分析的方法及装置
CN112640385B (zh) * 2018-08-30 2023-12-12 皇家飞利浦有限公司 用于在si系统中使用的非si设备和si设备以及相应的方法
CN113132951A (zh) * 2020-01-15 2021-07-16 诺基亚通信公司 针对专用移动网络中的商业服务用户设备的无接触支持
CN114884667A (zh) * 2021-02-05 2022-08-09 中国移动通信有限公司研究院 一种通信鉴权方法、设备及存储介质

Also Published As

Publication number Publication date
EP3272099B1 (en) 2018-12-26
BR112017019799B1 (pt) 2024-02-06
JP2018511244A (ja) 2018-04-19
TWI645724B (zh) 2018-12-21
CN107409136B (zh) 2019-04-12
TW201644292A (zh) 2016-12-16
US20160277191A1 (en) 2016-09-22
US9755837B2 (en) 2017-09-05
BR112017019799A2 (pt) 2018-05-29
WO2016148903A1 (en) 2016-09-22
KR101840180B1 (ko) 2018-03-19
EP3272099A1 (en) 2018-01-24
KR20170110157A (ko) 2017-10-10
JP6400228B2 (ja) 2018-10-03

Similar Documents

Publication Publication Date Title
CN107409137B (zh) 用于使用应用专用网络接入凭证到无线网络的受担保连通性的装置和方法
CN107409136B (zh) 用于使用应用专用网络接入凭证到无线网络的受担保连通性的装置和方法
US10638321B2 (en) Wireless network connection method and apparatus, and storage medium
TWI616084B (zh) 使用現有身份碼的到蜂巢網路的受贊助連接
EP2005702B1 (en) Authenticating an application
US9853965B2 (en) Authentication service for third party applications
CN108476223B (zh) 用于非sim设备的基于sim的认证的方法和装置
CN108183803A (zh) 用于在热点网络中未知设备的受限证书注册
WO2015061977A1 (en) User authentication
JP6997886B2 (ja) コアネットワ-クへの非3gpp装置アクセス
US20220182829A1 (en) Systems and methods for subscriber certificate provisioning
EP3547734A1 (en) Authentication for a communication system
JP2021536687A (ja) コアネットワークへの非3gppデバイスアクセス
JP6075885B2 (ja) 認証システム及びオンラインサインアップ制御方法
JP2022551025A (ja) 通信ネットワークコンポーネント及び方法
WO2024049335A1 (en) Two factor authentication
CN116711387A (zh) 利用边缘数据网络进行认证和授权的方法、设备和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant