JP2013513986A - サーバにおけるスマートカード・セキュリティ機能プロファイル - Google Patents
サーバにおけるスマートカード・セキュリティ機能プロファイル Download PDFInfo
- Publication number
- JP2013513986A JP2013513986A JP2012542588A JP2012542588A JP2013513986A JP 2013513986 A JP2013513986 A JP 2013513986A JP 2012542588 A JP2012542588 A JP 2012542588A JP 2012542588 A JP2012542588 A JP 2012542588A JP 2013513986 A JP2013513986 A JP 2013513986A
- Authority
- JP
- Japan
- Prior art keywords
- security
- function
- list
- network application
- database
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000006870 function Effects 0.000 claims abstract description 184
- 238000000034 method Methods 0.000 claims abstract description 28
- 230000004044 response Effects 0.000 claims abstract description 17
- 238000004590 computer program Methods 0.000 claims abstract description 16
- 230000002085 persistent effect Effects 0.000 claims description 2
- 206010011224 Cough Diseases 0.000 abstract 1
- 238000010586 diagram Methods 0.000 description 11
- 239000000284 extract Substances 0.000 description 6
- 108091027981 Response element Proteins 0.000 description 4
- 230000006854 communication Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 4
- 230000007175 bidirectional communication Effects 0.000 description 2
- 230000008878 coupling Effects 0.000 description 2
- 238000010168 coupling process Methods 0.000 description 2
- 238000005859 coupling reaction Methods 0.000 description 2
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000004846 x-ray emission Methods 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
- Stored Programmes (AREA)
- Telephonic Communication Services (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Computer And Data Communications (AREA)
Abstract
本発明の例示的実施形態によれば、ネットワーク・アプリケーション機能が、利用したい所望のユーザ機器セキュリティ機能のリストを決定することであって、セキュリティ機能のリストは、ネットワーク・アプリケーション機能の優先順に並べられている、決定することと;該リストを、ブートストラッピング・サーバ機能を経由してユーザ・セキュリティ設定のデータベースに送信することと;ネットワーク・アプリケーション機能が、ブートストラッピング・サーバ機能を経由してセキュリティ鍵を含むセキュリティ機能応答を受信することであって、セキュリティ鍵はデータベースに格納された情報から抽出され、該リストに含まれる所望のセキュリティ機能に対応しており、それにより、ユーザ機器の少なくとも1つの所望のセキュリティ機能の利用可能性をネットワーク・アプリケーション機能に通知する、受信することと;を含む、少なくとも1つの方法、実行可能なコンピュータ・プログラム、そして機器が提供される。
【選択図】図6
【選択図】図6
Description
本発明の例示的かつ非限定的実施形態に従った教示は、ワイヤレス・コミュニケーションのシステム、方法、装置およびコンピュータ・プログラムに関するものであり、特に、汎用ブートストラッピング・アーキテクチャおよびセキュリティ機能に関するものである。
本願は米国特許法第119条(e)の定めにより米国仮特許出願61/284,045(出願日2009年12月11日)に優先権を主張し、この仮特許出願は本明細書において参照されることにより本明細書に組み込まれる。
この章は、特許請求の範囲に述べられる本発明の背景や前後関係を提供することを目的とする。本章の記述は明細書中に達成されようとするコンセプトを含んでもよく、必ずしも既に着想、実行、または記述されたものである必要はない。その為、特記しない限り、本章で述べられていることは本願明細書および本願請求項の先行技術ではなく、また、本章に含めることにより先行技術と認めるものでもない。
本願明細書および/または図に出てくる略語は次の通り定義される:
AAA 認証・認可・アカウンティング (authentication authorization accounting)
AKA 認証および鍵合意 (authentication and key agreement)
AUTN 認証トークン(authentication token)
AV 認証ベクトル (Authentication Vector)
AVP Diameterメッセージ属性値ペア(attribute-value-pair in Diameter messages)
BSF ブートストラッピング・サーバ機能(bootstrapping server function)
CK 秘匿鍵 (confidential key)
GAA 汎用認証アーキテクチャ (generic authentication architecture)
GBA 汎用ブートストラッピング・アーキテクチャ (generic bootstrapping architecture)
GPL 汎用プッシュ・レイヤー (generic push layer)
GSID GAAサービス識別子 (GAA service identifier)
GUSS GBAユーザ・セキュリティ設定 (GBA user security settings)
HLR ホーム・ロケーション・レジスタ (home location register)
HSS ホーム加入者サーバ (home subscriber server)
IK インテグリティ鍵 (integrity key)
IMS インターネット・プロトコル(IP)マルチメディア・サブシステム (internet protocol (IP) multimedia subsystem)
LDAP ライトウェイト・ディレクトリ・アクセス・プロトコル:エルダップ (lightweight directory access protocol)
NAF ネットワーク・アプリケーション機能(サービス)(network application function (service))
NDS ネットワーク・ドメイン・セキュリティ (network domain security)
RAND ランダム・チャレンジ (random challenge)
SLF 加入者ロケーター機能 (subscriber locator function)
TLS トランスポート層セキュリティ (transport layer security)
UE スマートカード付きユーザ端末 (user terminal with smart card)
UICC 汎用ICカード (universal integrated circuit card)
uss ユーザ・セキュリティ設定 (user security settings)
Ua GAAアプリケーション用UE-NAFインターフェース (UE-NAF interface for GAA applications)
Ub ブートストラッピング用UE-BSFインターフェース (UE-BSF interface for bootstrapping)
XRES 想定認証応答 (expected response in authentication)
Zh ブートストラッピング・プロシージャ用BSF-HSSインターフェース (BSF-HSS interface for bootstrapping procedure)
Zh' ブートストラッピング・プロシージャ用BSF-HLRインターフェース (BSF-HLR interface for bootstrapping procedure)
Zn GAAアプリケーション用BSF-NAFインターフェース (BSF-NAF interface for GAA applications)
Zpn GAAアプリケーション用NAF-BSFインターフェース (NAF-BSF interface for GAA applications)
AAA 認証・認可・アカウンティング (authentication authorization accounting)
AKA 認証および鍵合意 (authentication and key agreement)
AUTN 認証トークン(authentication token)
AV 認証ベクトル (Authentication Vector)
AVP Diameterメッセージ属性値ペア(attribute-value-pair in Diameter messages)
BSF ブートストラッピング・サーバ機能(bootstrapping server function)
CK 秘匿鍵 (confidential key)
GAA 汎用認証アーキテクチャ (generic authentication architecture)
GBA 汎用ブートストラッピング・アーキテクチャ (generic bootstrapping architecture)
GPL 汎用プッシュ・レイヤー (generic push layer)
GSID GAAサービス識別子 (GAA service identifier)
GUSS GBAユーザ・セキュリティ設定 (GBA user security settings)
HLR ホーム・ロケーション・レジスタ (home location register)
HSS ホーム加入者サーバ (home subscriber server)
IK インテグリティ鍵 (integrity key)
IMS インターネット・プロトコル(IP)マルチメディア・サブシステム (internet protocol (IP) multimedia subsystem)
LDAP ライトウェイト・ディレクトリ・アクセス・プロトコル:エルダップ (lightweight directory access protocol)
NAF ネットワーク・アプリケーション機能(サービス)(network application function (service))
NDS ネットワーク・ドメイン・セキュリティ (network domain security)
RAND ランダム・チャレンジ (random challenge)
SLF 加入者ロケーター機能 (subscriber locator function)
TLS トランスポート層セキュリティ (transport layer security)
UE スマートカード付きユーザ端末 (user terminal with smart card)
UICC 汎用ICカード (universal integrated circuit card)
uss ユーザ・セキュリティ設定 (user security settings)
Ua GAAアプリケーション用UE-NAFインターフェース (UE-NAF interface for GAA applications)
Ub ブートストラッピング用UE-BSFインターフェース (UE-BSF interface for bootstrapping)
XRES 想定認証応答 (expected response in authentication)
Zh ブートストラッピング・プロシージャ用BSF-HSSインターフェース (BSF-HSS interface for bootstrapping procedure)
Zh' ブートストラッピング・プロシージャ用BSF-HLRインターフェース (BSF-HLR interface for bootstrapping procedure)
Zn GAAアプリケーション用BSF-NAFインターフェース (BSF-NAF interface for GAA applications)
Zpn GAAアプリケーション用NAF-BSFインターフェース (NAF-BSF interface for GAA applications)
以下に挙げる2つの文献を参照するとよい:
3GPP TS 29.109 V9.0.0 (2009-09) Technical Specification 3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals; Generic Authentication Architecture (GAA); Zh and Zn Interfaces based on the Diameter protocol; Stage 3 (Release 9) 3GPP TS 33.224 V9.0.0 (2009-09) Technical Specification 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Generic Authentication Architecture (GAA); Generic Bootstrapping Architecture (GBA) Push Layer (Release 9)。
3GPP TS 29.109 V9.0.0 (2009-09) Technical Specification 3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals; Generic Authentication Architecture (GAA); Zh and Zn Interfaces based on the Diameter protocol; Stage 3 (Release 9) 3GPP TS 33.224 V9.0.0 (2009-09) Technical Specification 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Generic Authentication Architecture (GAA); Generic Bootstrapping Architecture (GBA) Push Layer (Release 9)。
モバイル機器におけるGBAの利用はユーザまたは加入者の認証を可能にする。GBAの利用は、ユーザがHLRまたはHSSにおいて有効なIDを有することを前提とする。ユーザ認証は、モバイルネットワークにおいては、ひとつはモバイル機器内のスマートカード内、もう一方はHLRまたはHSS内に格納されている共有秘密鍵によりインスタンス生成される。別のネットワーク、例えば固定ネットワークにおいては、共有秘密鍵は、ひとつは信頼済みモジュール(例えばPCの信頼済みチップ)内に格納され、もう一方はAAAサーバのネットワーク内に格納される。GBAは、まずネットワーク・コンポーネントにスマートカードに対するチャレンジを発行させ、次いで、チャレンジに対するレスポンスがAKAプロトコルを利用しているHLR/HSSによって予測されたものと同類であるかを検証することによってユーザを認証する。BSFは追加の認証情報(Ksともよばれる)を確立する。この追加の認証情報から、認証を行おうとしているエンティティとサービス・プロバイダとの間の、サービス・プロバイダ特定共有鍵を抽出する。動作において、スマートカード内の共有秘密鍵はネットワークの認証に利用される。そして、BSFはマスター秘密鍵を抽出し、さらにそこからサービスに特有の鍵を抽出する。さらに、端末は同じ鍵を抽出する。従って、各サービスが異なる鍵を有する(1つの鍵が侵害されると、1つのサービスのみがその影響を受けることになる)。特定サービス共有秘密鍵(Ks_(ext/int)_NAFと呼ばれる)には時間制限があり、またサービスドメインの制約を受ける。SLFは、ネットワーク・オペレータが複数のHSSを有する場合に、どのHSSに加入者データが格納されているのかをBSFに通知する機能である。
GBAにおいて現時点で存在する1つの問題は、サービス(NAF)がユーザ端末内、特にスマートカードの認証を行おうとしているエンティティとセキュリティ・アソシエーションを確立しようとする場合に起こる状況に関連している。これを行うため、NAFはセキュリティ・アソシエーションを確立するためにセキュリティ機能がサポートされることを知る必要がある。現在のところ、NAFを提供するサービスはターミナルやネットワークからこの情報を取得する手段を有さない。NAFはオペレータ・ネットワークの外部に存在してもよく、その結果HSSへのダイレクト・インターフェースを有することができない可能性がある、ということに注目すべきである。
本発明のある例示的側面によれば、ネットワーク・アプリケーション機能が、利用したい所望のユーザ機器セキュリティ機能のリストを決定することであって、前記セキュリティ機能の前記リストは、前記ネットワーク・アプリケーション機能の優先順に並べられている、前記決定することと;
前記リストを、ブートストラッピング・サーバ機能を経由してユーザ・セキュリティ設定のデータベースへ送信することと;
前記ネットワーク・アプリケーション機能が、前記ブートストラッピング・サーバ機能を経由して、セキュリティ鍵を含むセキュリティ機能応答を受信することであって、前記セキュリティ鍵は、前記データベースに格納された情報から抽出され、前記リストに含まれる所望のセキュリティ機能に対応しており、それにより、前記ユーザ機器の少なくとも1つの前記所望のセキュリティ機能の利用可能性を前記ネットワーク・アプリケーション機能に通知する、前記受信することと;を含む方法が提供される。
前記リストを、ブートストラッピング・サーバ機能を経由してユーザ・セキュリティ設定のデータベースへ送信することと;
前記ネットワーク・アプリケーション機能が、前記ブートストラッピング・サーバ機能を経由して、セキュリティ鍵を含むセキュリティ機能応答を受信することであって、前記セキュリティ鍵は、前記データベースに格納された情報から抽出され、前記リストに含まれる所望のセキュリティ機能に対応しており、それにより、前記ユーザ機器の少なくとも1つの前記所望のセキュリティ機能の利用可能性を前記ネットワーク・アプリケーション機能に通知する、前記受信することと;を含む方法が提供される。
本発明の別の例示的側面によれば、コンピュータ・プログラム命令を具現化する持続的コンピュータ可読媒体であって、動作を実行するために前記コンピュータ・プログラム命令は少なくとも1つのプロセッサにより実行され、前記動作は:
ネットワーク・アプリケーション機能が、利用したい所望のユーザ機器セキュリティ機能のリストを決定することであって、前記セキュリティ機能の前記リストは、前記ネットワーク・アプリケーション機能の優先順に並べられている、前記決定することと;
前記リストを、ブートストラッピング・サーバ機能を経由してユーザ・セキュリティ設定のデータベースへ送信することと;
前記ネットワーク・アプリケーション機能が、前記ブートストラッピング・サーバ機能を経由して、セキュリティ鍵を含むセキュリティ機能応答を受信することであって、前記セキュリティ鍵は、前記データベースに格納された情報から抽出され、前記リストに含まれる所望のセキュリティ機能に対応しており、それにより、前記ユーザ機器の少なくとも1つの前記所望のセキュリティ機能の利用可能性を前記ネットワーク・アプリケーション機能に通知する、前記受信することと;を含むコンピュータ可読媒体が提供される。
ネットワーク・アプリケーション機能が、利用したい所望のユーザ機器セキュリティ機能のリストを決定することであって、前記セキュリティ機能の前記リストは、前記ネットワーク・アプリケーション機能の優先順に並べられている、前記決定することと;
前記リストを、ブートストラッピング・サーバ機能を経由してユーザ・セキュリティ設定のデータベースへ送信することと;
前記ネットワーク・アプリケーション機能が、前記ブートストラッピング・サーバ機能を経由して、セキュリティ鍵を含むセキュリティ機能応答を受信することであって、前記セキュリティ鍵は、前記データベースに格納された情報から抽出され、前記リストに含まれる所望のセキュリティ機能に対応しており、それにより、前記ユーザ機器の少なくとも1つの前記所望のセキュリティ機能の利用可能性を前記ネットワーク・アプリケーション機能に通知する、前記受信することと;を含むコンピュータ可読媒体が提供される。
本発明の更なる別の例示的側面によれば、少なくとも1つのプロセッサと;
コンピュータ・プログラム・コードを含む少なくとも1つのメモリを備える装置であって、前記少なくとも1つのメモリおよび前記コンピュータ・プログラム・コードは、前記少なくとも1つのプロセッサによって、前記装置に少なくとも:
ネットワーク・アプリケーション機能が、利用したい所望のユーザ機器セキュリティ機能のリストを決定することであってと、前記セキュリティ機能の前記リストはネットワーク・アプリケーション機能の優先順に並べられる、前記決定することこと;
前記リストを、ブートストラッピング・サーバ機能を経由してユーザ・セキュリティ設定のデータベースへ送信することと;
前記ネットワーク・アプリケーション機能が、前記ブートストラッピング・サーバ機能を経由して、セキュリティ鍵を含むセキュリティ機能応答を受信することであって、前記セキュリティ鍵は、前記データベースに格納された情報から抽出され、前記リストに含まれた所望のセキュリティ機能に対応しており、それにより、前記ユーザ機器内の少なくとも1つの前記所望のセキュリティ機能の利用可能性を前記ネットワーク・アプリケーション機能に通知する、前記受信することと;
を行わせるように構成される装置が提供される。
コンピュータ・プログラム・コードを含む少なくとも1つのメモリを備える装置であって、前記少なくとも1つのメモリおよび前記コンピュータ・プログラム・コードは、前記少なくとも1つのプロセッサによって、前記装置に少なくとも:
ネットワーク・アプリケーション機能が、利用したい所望のユーザ機器セキュリティ機能のリストを決定することであってと、前記セキュリティ機能の前記リストはネットワーク・アプリケーション機能の優先順に並べられる、前記決定することこと;
前記リストを、ブートストラッピング・サーバ機能を経由してユーザ・セキュリティ設定のデータベースへ送信することと;
前記ネットワーク・アプリケーション機能が、前記ブートストラッピング・サーバ機能を経由して、セキュリティ鍵を含むセキュリティ機能応答を受信することであって、前記セキュリティ鍵は、前記データベースに格納された情報から抽出され、前記リストに含まれた所望のセキュリティ機能に対応しており、それにより、前記ユーザ機器内の少なくとも1つの前記所望のセキュリティ機能の利用可能性を前記ネットワーク・アプリケーション機能に通知する、前記受信することと;
を行わせるように構成される装置が提供される。
本発明の、これまでに述べてきた例示的側面およびその他の実施形態の以下に述べる詳細な説明は、添付図面に関連して読むとより明らかなものとなる:
GBAプッシュ・アーキテクチャのブロック図である。
GBAアーキテクチャのブロック図である。
GBAアーキテクチャの異なる実施形態についてのブロック図である。
図1-3の各図に示されるUEおよびBSF/HSS/NAFの簡略ブロック図である。
本発明の例示的実施形態における信号/メッセージのフローチャートである。
本発明の例示的実施形態における方法の実施およびコンピュータ可読メモリにおいて実装されたコンピュータ・プログラム命令を実行した結果を表したフローチャートである。
本発明の例示的実施形態によれば、HSS、BSFおよびNAFが強化される。
図1はGBAプッシュ・アーキテクチャのブロック図である。BSF 10、SLF 12、HSS 14、NAF 16およびUE 18が示される。各ブロックは上記の各インターフェースを介して相互に接続される。図2はGABアーキテクチャのブロック図である。図1に示される各ブロックに加え、HSS 14の一部としてGUSSデータベース(DB)20が示される。図3はGBAアーキテクチャの別の実施形態を示す。ここではGUSSDB 20はネットワークの外部にあり、適切なインターフェース 21を介してBSF 10と接続される。
図4AはUE 18のひとつの実施形態を示した簡略ブロック図である。本発明の例示的実施形態を説明する目的で、UE 18は少なくとも1つのコンピュータまたはデータ・プロセッサ(DP)18A等のコントローラを備えてもよく、コンピュータ命令プログラム(PROG)18Cを格納する少なくとも1つのメモリ(MEM)18Bを具現化するコンピュータ可読メモリを備えてもよく、さらに、BSF 10とNAF 16が1つ以上の中間ノード、つまり複数のノードや複数のプロキシ(図示せず)をコンバートする1つ以上のベースステーション、を介して双方向通信(例えばワイヤレス通信)を行うための無線(RF)トランシーバ 18D等の少なくとも1つの適切な送受信機を備えてもよい。UE 18は、メモリやその他の機能性を備えたセキュリティ認証情報を扱うスマートカードや信頼済みモジュール 18Eを備えてもよい。通常、この機能はリムーバブルカード等のカードや、セキュアな(信頼済み)チップもしくはモジュール(カードである必要はない)に内蔵される。スマートカードやセキュアモジュール 18Eは加入者識別モジュール(SIM)を含んでもよく、または18E内に、もしくは18Eと共に具現化されてもよい。
スマートカードもしくは信頼済みモジュール 18EはUICCとも呼ばれる。周知の通り、UICCはGSMやUMTSネットワーク内のモバイル・ターミナルの中に用いられるカードであるが、異なる形状、例えば信頼済みハードウェアチップ上で実装されることもある。UISSはユーザデバイス(携帯電話、PC、スマートカード)とネットワークとの間の相互のやり取りの安全性を確保する。GSMネットワークにおいては、スマートカードはSIMカードである。UICCはSIMアプリケーションを含んでもよく、UMTSネットワークにおいてはUSIMアプリケーションを含み、IMSネットワークにおいてはISIMアプリケーションを含む。1枚のスマートカードがGSMネットワークとUMTSネットワークおよび他のアプリケーション(例えばモバイルバンキングやモバイルTVサポート等)の両方へのアクセスを可能にするために、UICCは複数のアプリケーションを同時に含んでもよい。CDMAネットワークにおいては、3GPP USIMおよびSIMアプリケーションに加え、UICCはCSIMアプリケーションを含む。
図4Bは本発明のある実施形態における装置の簡略ブロック図である。ある実施形態によれば装置はBSF 10、HSS 14およびNAF 16のうちの1つまたは全てを実装するために利用されうる。基本的には、これらのコンポーネントはコンピュータシステムが有すると想定される。例えばBSF 10については、少なくとも1つのコンピュータまたはデータ・プロセッサ(DP)10A等のコントローラ、コンピュータ命令プログラム(PROG)入出力制御装置(IOC)を格納する少なくとも1つのメモリ(10B)で具現化されるコンピュータ可読メモリ媒体、そして定義済みインターフェース(Zh、Zn、Zpn、Ub、Dz)を経由しGBAアーキテクチャの他の複数のコンポーネントと双方向コミュニケーションするのに適した少なくとも1つの送受信機を有する。プロキシ使用もしくはHLRの使用のための更なるインターフェースがある。しかし、これら追加のインターフェースは図4Bに示されている。
UEスマートカード 18Eがセキュリティ・アソシエーションの確立をサポートするか否かに関する情報がHSS GUSS20に格納されるべきであることは、3GPPにおいて既に合意されている。このことは3 GPP TS 33.224に"GPL UケイパビリティはHSS内のGUSSに格納されうる"("The GPL U capabilities shall be stored in the GUSS in the HSS.")と記述されている。しかし、この提案された機能性がどのように具現化され、実装され、運用されるかに関するメカニズムやメッセージフロー、処理については、未だ定義されていない。
UEスマートカード 18Eがセキュリティ・アソシエーションの確立をサポートするか否かに関する情報がHSS GUSS20に格納されるべきであることは、3GPPにおいて既に合意されている。このことは3 GPP TS 33.224に"GPL UケイパビリティはHSS内のGUSSに格納されうる"("The GPL U capabilities shall be stored in the GUSS in the HSS.")と記述されている。しかし、この提案された機能性がどのように具現化され、実装され、運用されるかに関するメカニズムやメッセージフロー、処理については、未だ定義されていない。
本発明の例示的実施形態を用いることで、スマートカード、より一般的には、セキュリティまたはアプリケーション固有の機能が、サービス・プロバイダにより利用可能となる。サービス・プロバイダは、どのスマートカード 18Eの機能(即ち、どのセキュリティまたはアプリケーション固有の機能)を利用可能か、だけでなく、第2の選択肢("2番目に適しているもの")の機能をも標示することが可能となる。
例示的実施形態によれば、サービスと鍵形成ノード(BSF 10)との間のメッセージと、BSF 10とHSS 14との間のメッセージは拡張される。HSS 14内のユーザ・セキュリティ情報ストレージも同様に拡張され、HSS 14はこの追加情報を処理する。BSF 10はHSS 14からの標示を検討することが期待されている。
その結果、UE 18との通信時にどの機能が利用可能であるかをサービスが認識することにより、所望のセキュリティ・アソシエーションが確立可能となる。
この機能は、例えば本発明の例示的実施形態のさらに特徴的な特定の利点を考慮して、NAF 16はGPLを用いてスマートカード18と安全なセッションの確立を所望する場合に有利である。例示によると、これを行う理由の1つはプロビジョニングにある。
本発明の例示的実施形態によれば、GUSS 20および関連するGBAコンポーネントが強化される。
次に、図5の信号/メッセージ・フローブロック図を参照する。
(1)NAF 16がある特定のセキュリティ(もしくはアプリケーション)機能、例えばGPL Uを利用したいと仮定する。NAF 16はもし利用したい機能が利用不可であれば"ダウングレード"を実行しようとしてもよく、もしくはサービスの利用を制限してもよい(つまり、セキュリティレベルがより低いために、ダウンロードの閾値がより低くなる)。この他のバックアップ機能が利用できるということは、最適な機能が利用不可の場合に信号負荷を軽減するのに有効となる。この例においては、最適な機能がGPL Uであるとすると、2番目に適する機能はGPL with GBA U、3番目に適する機能はGPL with GBA、と、それらをセミコロン(;)で区切って表すことにより、受信ノードが、その次の"ワード"の先頭を決定できるようにする。要素は機能の数だけ存在してもよい。例えば、NAF 16がいくつかのセキュリティ機能を利用したいと所望した場合、そのいくつかの機能の優先順位のリストを提供する(例:{featurel;feature2;...;featuren})。
このように、本発明のある例示的側面は、所望のセキュリティ機能を、所望のセキュリティ機能の優先順位リストを提供する可能性とともに標示することができる。
(2)NAF 16はBSF 10に対し、NAF 16が特定のセキュリティ機能(例えばGPL U)を利用したい旨を標示する。このことは既存のZn/Zn'メッセージに任意のフィールドを追加することで遂行される。ZnはDiameterまたは3GPP TS 29.109. をベースとするウェブサービスによって定義される。Zn'はBSF 10およびNAF 16の間にプロキシが存在する場合のインターフェースである。BSF 10はこの要求をZh参照ポイント越しにHSS 14に転送する。このことはZhリクエストメッセージに任意のフィールドを追加することで遂行される。HLRが利用される場合は、BSF 10はGUSS20を所有するローカル・データベースにこれを送信してもよく、さらにZh'インターフェースをインターフェースとして使用してもよい。この場合、リクエストは標準の一部ではなく、LDAPリクエストを利用することで実行されてもよい。
本発明の例示的側面によれば、NAFからのリクエストはGBA-Push-Info(GPI)となることができ、これはユーザ・アイデンティティに応答する際のNAF特定鍵の材料である。さらに、リクエストは例えば3 GPP TS 33.223. で定義されるZpnおよびZpn'プロトコル・インターフェースを利用することも可能である。プロトコルZPNはNAFおよびBSF間に存在し、また、リクエストはユーザ・アイデンティティやNAF-Idおよび/またはGSIDを含めることができる。さらに、セキュリティ機能リクエスト要素のためのフィールドは"element name="securityfeaturesrequest" type="xsd:string" minOccurs="0"."として読み込み可能である。NAFはセキュリティ機能リクエスト要素またはパラメータを利用してセキュリティ機能の利用可能性に関する情報をリクエストしてもよい。要素はセキュリティ機能についてのセミコロンで区切られた優先順リストを含んでもよい。この実施形態によれば、NAFはセキュリティ機能リクエストAVPを利用したセキュリティ機能の利用可能性についての情報をリクエストしてもよい。さらに、AVPは3 GPP AV=[RAND, AUTN, XRES, CK, IK]を含むことができる。セキュリティ機能リクエストAVPはオクテット列型であってもよい。AVPはNAFによりリクエストされた1つまたは複数のセキュリティ機能を含むことが可能である。
BSFおよびNAFが同じオペレータによるネットワークに位置するのであれば、DIAMETERに基づくZpn参照ポイントは、NDS/IPに従って保護されうる。一方で、BSFおよびNAFが異なるオペレータによるネットワークに位置する場合は、Zn-ProxyおよびBSF間のDIAMETERに基づくZpn'参照ポイントは、TLSを利用して保護されうる。
このように、本発明の別の例示的側面によれば、セキュリティ機能の標示をによってZn/Zn'、Zpn/ Zpn'およびZhを強化できる。
(3)GUSS 20に対して新しいフィールドを追加してもよい(ただし、BSFフィールドは削除されるため、それ以外に)。ある例示的形態では、追加される新しい要素を含むフィールドは、ussType complexType に設けられ、例えば、"UICC-Features"や、より一般的には"Security-Features"サポートフィールドを追加できる。HSS 14がNAFの作成した優先順位機能リストをBSF 10から受信すると、Securities-Featuresサポートフィールドを、提供された機能に追加する。適切であれば、フィールドはさらにUICC鍵選択フィールドを設定することができ、その結果BSF 10は正しいアプリケーション特定鍵、すなわちKs int NAF.aを抽出する。
本発明のある例示的側面においては、BSFがセキュリティ機能の利用をサポートし、さらにNAFがBSFからのセキュリティ機能をリクエストしている場合、BSFは加入者GUSS内のbsflnfo要素からセキュリティ機能を引用することができ、それらセキュリティ機能を応答内のセキュリティ機能応答要素に追加する。これは通常、NAFから受信したセキュリティ機能リクエストおよびbsfInfo要素から引用した情報に含まれる。要素"bsflnfo"の中のオプショナル要素"securityFeatures"の値は、ユーザ機器がサポートするユーザ固有のセキュリティ機能リストを標示する。セキュリティ機能要素が存在しない場合には、セキュリティ機能が定義されず、または複数の値のリストが存在する場合には、それらは";"で区切られる。
一般的なセキュリティ機能は、bsflnfo要素内での出現順にセキュリティ機能応答要素に追加されうる。セキュリティ機能要素がGUSS内で定義されない場合、もしくは、一般的なセキュリティ機能が存在しない場合、BSFは応答内のセキュリティ機能応答要素に空文字列を追加するものとする。
セキュリティ機能応答AVPはオクテット列型になりうる。AVPはHSSにより特定される1つないし複数のセキュリティ機能を含む。この情報は、GUSSの"bsfElement"やリクエスト内で受信されるセキュリティ機能等のセキュリティ機能要素を利用してBSFに伝えられうる。さらに、セキュリティ機能応答要素のフィールドは、例えば"element name="securityfeaturesresponse" type="xsd:string" minOccurs="0"."のように読み込み可能である。
このように、本発明の別の例示的側面によれば、少なくともHSS 14およびBSF 10内の所望の機能のリストを処理することができる。
BSF 10は1つの鍵を抽出するだけにすぎないが、BSF 10についての例示的実施形態に従えば、1つ以上の鍵を抽出する(つまり、機能がサポートされる場合に、優先順リストに出現する機能毎に鍵が抽出されうる)という点に留意されたい。
(4)NAF 16は、BSF 10から抽出されたサービス特定鍵を受信し、さらにNAF 16が取得したコミュニケーションにどのセキュリティレベルが適切か、どの機能のスマートカード 18EをNAF 16が利用可能であるか、について認識する。BSF10はGUSSを受信し、GUSSの一部、例えばUSSをNAF 16に送信する。このUSSにはNAF 16にリクエストされたセキュリティ機能情報が含まれることもある。
このように、本発明の別の例示的側面によれば、Zn/Zn'、Zpn/ Zpn'およびZh等のフィールドを介して渡される追加情報が含められ、そしてBSF 10およびNAF 16内でのこの情報が処理される。
例示的実施形態によれば、HSS 14の代わりにHLRが利用されるケース、およびGUSS 20が商用の外部データベースに格納されているため、BSF 10が単純に外部GUSSへ呼び出しを要求するケース(図3参照のこと)についても含む。
例示的実施形態はさらに、対象となるセキュリティ機能がスマートカード 18Eの一部ではない場合についても包含している。例えば、セキュリティ機能が(例えば、セキュアチップに含まれる支払いアプリケーション等)セキュアチップの一部であってもよい。
前述に基づいて、本発明の例示的実施形態によれば、既存のGBA中の、定義済みGBA-smart cardプロファイルの欠如、より一般的には、セキュリティ機能の欠如を克服するための、さらには、同様の目的を達成するために新たなターミナル・スマートカード(セキュリティ機能プロファイル)インターフェースを定義しサポートすることを回避するための、GBAアーキテクチャの動作を強化する方法、装置、コンピュータ・プログラムが提供される。
図6は、本発明の例示的実施形態に従った方法の実施およびコンピュータ・プログラム命令を実行した結果を示す論理流れ図である。これらの例示的実施形態に従えば方法は以下の通り実行される;
図6のブロック6A:ネットワーク・アプリケーション機能において所望のユーザ機器セキュリティ機能を利用することを決定するステップである。リストのセキュリティ機能はネットワーク・アプリケーション機能の優先順に並べられる。
ブロック6B:リストはブートストラッピング・サーバ機能を経由して、ユーザ・セキュリティ設定のデータベースに送信される。
ブロック6C:ブートストラッピング・サーバ機能を経由して、ネットワーク・アプリケーション機能から、データベースに格納された情報から抽出されたセキュリティ鍵を含むセキュリティ機能応答を受信し、リストに含まれる所望のセキュリティ機能に応答し、その結果、ネットワーク・アプリケーション機能に、ユーザ機器内にある少なくとも1つの所望のセキュリティ機能について利用可能性を通知する。
図6のブロック6A:ネットワーク・アプリケーション機能において所望のユーザ機器セキュリティ機能を利用することを決定するステップである。リストのセキュリティ機能はネットワーク・アプリケーション機能の優先順に並べられる。
ブロック6B:リストはブートストラッピング・サーバ機能を経由して、ユーザ・セキュリティ設定のデータベースに送信される。
ブロック6C:ブートストラッピング・サーバ機能を経由して、ネットワーク・アプリケーション機能から、データベースに格納された情報から抽出されたセキュリティ鍵を含むセキュリティ機能応答を受信し、リストに含まれる所望のセキュリティ機能に応答し、その結果、ネットワーク・アプリケーション機能に、ユーザ機器内にある少なくとも1つの所望のセキュリティ機能について利用可能性を通知する。
前段落で述べた方法によれば、セキュリティ機能応答は、リストに共通するセキュリティ機能の標示を含み、共通のセキュリティ機能は、データベースに格納された情報から抽出された通りに順序づけられる。
前段落で述べた方法によれば、鍵は最も優先度の高いセキュリティ機能に対応し、最も優先度の高いセキュリティ機能に対応できない場合には、鍵は次に優先度の高いセキュリティ機能に対応する。
前段落で述べた方法によれば、リストはホーム加入者サーバを経由して、ユーザ・セキュリティ設定のデータベースに送信される。
図6に示された方法によれば、データベースはネットワーク・アプリケーション機能やブートストラッピング・サーバ機能を含むシステムの外部に存在する。
前段落で述べた方法によれば、データベースはサポートされたセキュリティ機能を格納するフィールドを構成する。
前段落で述べた方法によれば、リストは1つのエントリ、もしくは2つ以上のエントリを含む。
前段落で述べた方法によれば、リストはセキュリティ機能リクエストメッセージ内に送信される。
前段落で述べられた方法によれば、セキュリティ機能リクエストメッセージは属性値ペアDiameterメッセージを利用して送信される。
図6に示される各ブロックは方法のステップを、または/もしくはコンピュータ・プログラム・コードの動作を実行した結果を、または/もしくは関連した(複数の)機能の実行を構成する複数の対になった論理回路素子を示してもよい。
例示的実施形態はまた、プロセッサやコンピュータ・プログラム・コードを含むメモリからなる装置を含んでおり、メモリやコンピュータ・プログラム・コードは、プロセッサとともに、装置に少なくともネットワーク・アプリケーション機能において所望のユーザ機器セキュリティ機能のリストを利用することを決定し、該リストはネットワーク・アプリケーション機能の優先度に順位付けられており、ブートストラッピング・サーバ機能を経由してリストをユーザ・セキュリティ設定のデータベースに送信し、さらにブートストラッピング・サーバ機能を経由してデータベースに格納された情報から抽出されたセキュリティ鍵からなるセキュリティ機能レスポンスを受信し、セキュリティ鍵はリストに含まれた所望のセキュリティ機能に対応しており、その結果、ネットワーク・アプリケーション機能に、ユーザ機器内にある少なくとも1つの所望のセキュリティ機能について利用可能性を通知するように構成される。
一般的に、様々な例示的実施形態はハードウェアもしくは特定用途向け回路、ソフトウェア、ロジックもしくはそれらの組み合わせで実装されてもよい。例えば、ある側面はハードウェアに実装されてもよく、一方で他の側面はファームウェアもしくはソフトウェア内に実装されてもよく、コントローラ、マイクロプロセッサやその他コンピュータデバイスによって実行されてもよい。しかしながら、本発明はそれに制限されるものではない。本発明の例示的実施形態の様々な側面が図やブロック図、フローチャートその他の図で示されているが、それらはこうしたブロックや装置、システム、技術または述べられている方法の実装を理解する一助とするためのものであり、ハードウェア、ソフトウェア、ファームウェア、特定用途向け回路またはロジック、汎用のハードウェアまたはコントローラ、またはその他コンピュータデバイス、およびそれらの組み合わせは、例示に限定するものではない。
その結果、本発明の例示的実施形態の少なくともいくつかの側面は、ICチップやモジュールなどの様々なコンポーネントで実行されてもよく、また、本発明の例示的実施形態はICなどの装置で具現化され実現化されてもよいということが、認められるべきである。ICまたは回路は、本発明の例示的実施形態に従って動作されるべく設定可能な、少なくとも1つまたは複数のデータ・プロセッサ、1つまたは複数のデジタル信号プロセッサ、信号帯域回路または無線周波数回路などで具現化される回路(または好ましくはファームウェア)を含んでもよい。
本発明の前述の例示的実施形態へのあらゆる修正または改変は、添付の図面を併せて読めば当業者にとって、前述の観点から容易になるであろう。しかしながら、ありとあらゆる修正は本発明の限定されない例示的実施形態の範囲に含まれるであろう。
例えば、例示的実施形態にはGBAアーキテクチャのコンテクストが述べられているが、本発明の例示的実施形態はこの1つのタイプのシステムのみに限定されて利用されるのではなく、他の様々なシステムに応用されてもよい。
「接続された」「結合された」またはそれに類似の語句は、それが直接的・間接的を問わず、複数の要素間のいかなる接続や結合をも意味し、「接続された」もしくは「結合された」2つの要素間にある1つ以上の中間要素をも包含し得る。複数の要素間の接続または結合は、物理的、論理的もしくはそれらの組み合わせであり得る。ここで2つの要素とは、1つ以上の配線、ケーブル、または/もしくはプリント電子配線を用いて「接続」または「結合」されたとみなされてもよく、また、無線周波数領域やマイクロ波域、さらには光波域(可視/不可視の両方)の波長を有する電磁エネルギー等を利用して「接続」または「結合」されたとみなされてもよく、これらは限定的ではなく、かつ包括的でもない。
さらに、機能を表すさまざまな名称(例えば、NAF、HSS、BSF等)、プロトコル・インターフェースを表す名称(例えば、Zn、Zn'、Zh、Zpn、Zpn'等)、サービス機能を表す名称(例えば、GPL U、GBA U等)または要素を表す名称(例えば、ussType complexType)は、いかなる点においても限定する目的ではなく、さまざまな機能やインターフェース、サービス機能、要素または類似するものを任意の適した名称で特定してもよい。
さらに、本発明の限定されない例示的実施形態のさまざまな機能のうちのいくつかを、他の機能を対応して使用せずに、使用することができる。従って、前述の説明は、本発明の原理、教示および例示的実施形態を単に例示するものとしてみなされるべきであり、それを限定するものとしてみなされるものではない。
Claims (20)
- ネットワーク・アプリケーション機能が、利用したい所望のユーザ機器セキュリティ機能のリストを決定することであって、前記セキュリティ機能の前記リストは、前記ネットワーク・アプリケーション機能の優先順に並べられている、前記決定することと;
前記リストを、ブートストラッピング・サーバ機能を経由してユーザ・セキュリティ設定のデータベースへ送信することと;
前記ネットワーク・アプリケーション機能が、前記ブートストラッピング・サーバ機能を経由して、セキュリティ鍵を含むセキュリティ機能応答を受信することであって、前記セキュリティ鍵は、前記データベースに格納された情報から抽出され、前記リストに含まれる所望のセキュリティ機能に対応しており、それにより、前記ユーザ機器の少なくとも1つの前記所望のセキュリティ機能の利用可能性を前記ネットワーク・アプリケーション機能に通知する、前記受信することと;
を含む方法。 - 前記リストは、ホーム加入者サーバを経由して前記ユーザ・セキュリティ設定のデータベースに送信される、請求項1に記載の方法。
- 前記データベースは、前記ネットワーク・アプリケーション機能および前記ブートストラッピング・サーバ機能を含むシステムの外部にある、請求項1に記載の方法。
- 前記データベースは、サポートされるセキュリティ機能を格納するためのフィールドを含む、請求項1に記載の方法。
- 前記リストは、1つのエントリ、もしくは2つ以上のエントリを含む、請求項1に記載の方法。
- 前記リストは、セキュリティ機能リクエストメッセージで送信される、請求項1に記載の方法。
- 前記セキュリティ機能リクエストメッセージは、一対のDiameterメッセージ属性値を利用して送信される、請求項6に記載の方法。
- 前記セキュリティ機能リクエストメッセージは、優先順内でセミコロンによって区切られた前記所望のユーザ機器セキュリティ機能を含む、請求項6に記載の方法。
- コンピュータ・プログラム命令を具現化する持続的コンピュータ可読媒体であって、動作を実行するために前記コンピュータ・プログラム命令は少なくとも1つのプロセッサにより実行され、前記動作は:
ネットワーク・アプリケーション機能が、利用したい所望のユーザ機器セキュリティ機能のリストを決定することであって、前記セキュリティ機能の前記リストは、前記ネットワーク・アプリケーション機能の優先順に並べられている、前記決定することと;
前記リストを、ブートストラッピング・サーバ機能を経由してユーザ・セキュリティ設定のデータベースへ送信することと;
前記ネットワーク・アプリケーション機能が、前記ブートストラッピング・サーバ機能を経由して、セキュリティ鍵を含むセキュリティ機能応答を受信することであって、前記セキュリティ鍵は、前記データベースに格納された情報から抽出され、前記リストに含まれる所望のセキュリティ機能に対応しており、それにより、前記ユーザ機器の少なくとも1つの前記所望のセキュリティ機能の利用可能性を前記ネットワーク・アプリケーション機能に通知する、前記受信することと;
を含む、コンピュータ可読媒体。 - 前記セキュリティ機能応答は、前記リストに共通のセキュリティ機能の標示を含み、さらに前記共通のセキュリティ機能は前記データベースに格納された前記情報より抽出される通りに順序付けられる、請求項9に記載のコンピュータ可読媒体。
- 前記リストは、ホーム加入者サーバを経由して前記ユーザ・セキュリティ設定のデータベースへ送信される、請求項9に記載のコンピュータ可読媒体。
- 前記データベースは、前記ネットワーク・アプリケーション機能および前記ブートストラッピング・サーバ機能を含む前記システムの外部にある、請求項9に記載のコンピュータ可読媒体。
- 装置であって、
少なくとも1つのプロセッサと;
コンピュータ・プログラム・コードを含む少なくとも1つのメモリを備える装置であって、前記少なくとも1つのメモリおよび前記コンピュータ・プログラム・コードは、前記少なくとも1つのプロセッサによって
前記装置に少なくとも:
ネットワーク・アプリケーション機能が、利用したい所望のユーザ機器セキュリティ機能のリストを決定することであってと、前記セキュリティ機能の前記リストはネットワーク・アプリケーション機能の優先順に並べられる、前記決定することこと;
前記リストを、ブートストラッピング・サーバ機能を経由してユーザ・セキュリティ設定のデータベースへ送信することと;
前記ネットワーク・アプリケーション機能が、前記ブートストラッピング・サーバ機能を経由して、セキュリティ鍵を含むセキュリティ機能応答を受信することであって、前記セキュリティ鍵は、前記データベースに格納された情報から抽出され、前記リストに含まれた所望のセキュリティ機能に対応しており、それにより、前記ユーザ機器内の少なくとも1つの前記所望のセキュリティ機能の利用可能性を前記ネットワーク・アプリケーション機能に通知する、前記受信することと;
を行わせるように構成される、装置。 - 前記リストは、ホーム加入者サーバを経由して前記ユーザ・セキュリティ設定のデータベースへ送信される、請求項13に記載の装置。
- 前記データベースは、前記ネットワーク・アプリケーション機能および前記ブートストラッピング・サーバ機能を含む前記システムの外部にある、請求項13に記載の装置。
- 前記データベースは、サポートされたセキュリティ機能を格納するためのフィールドを含む、請求項13に記載の装置。
- 前記リストは、1つのエントリ、もしくは2つ以上のエントリを含む、請求項13に記載の装置。
- 前記リストは、セキュリティ機能リクエストメッセージで送信される、請求項13に記載の装置。
- 前記セキュリティ機能リクエストメッセージ、は一対のDiameter・メッセージ属性値を利用して送信される、請求項18に記載の装置。
- 前記セキュリティ機能リクエストメッセージは、優先順内でセミコロンによって区切られた前記所望のユーザ機器セキュリティ機能を含む、請求項18に記載の方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US28404509P | 2009-12-11 | 2009-12-11 | |
| US61/284,045 | 2009-12-11 | ||
| PCT/FI2010/050944 WO2011070226A1 (en) | 2009-12-11 | 2010-11-22 | Smart card security feature profile in home subscriber server |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2013513986A true JP2013513986A (ja) | 2013-04-22 |
| JP2013513986A5 JP2013513986A5 (ja) | 2013-10-24 |
| JP5466770B2 JP5466770B2 (ja) | 2014-04-09 |
Family
ID=44144234
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012542588A Active JP5466770B2 (ja) | 2009-12-11 | 2010-11-22 | サーバにおけるスマートカード・セキュリティ機能プロファイル |
Country Status (18)
| Country | Link |
|---|---|
| US (1) | US8607053B2 (ja) |
| EP (1) | EP2510717B1 (ja) |
| JP (1) | JP5466770B2 (ja) |
| KR (1) | KR101377879B1 (ja) |
| CN (2) | CN102652439A (ja) |
| AP (1) | AP3318A (ja) |
| AU (1) | AU2010329814B2 (ja) |
| BR (1) | BR112012014045B1 (ja) |
| CA (1) | CA2783570C (ja) |
| CL (1) | CL2012001557A1 (ja) |
| IL (1) | IL220036A0 (ja) |
| MX (1) | MX2012006589A (ja) |
| MY (1) | MY172854A (ja) |
| RU (1) | RU2537275C2 (ja) |
| SG (1) | SG181456A1 (ja) |
| UA (1) | UA106642C2 (ja) |
| WO (1) | WO2011070226A1 (ja) |
| ZA (1) | ZA201205089B (ja) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW201705779A (zh) | 2011-09-29 | 2017-02-01 | 內數位專利控股公司 | 致礽存取與客籍網路整合之應用方法及裝置 |
| KR102558361B1 (ko) * | 2015-04-13 | 2023-07-21 | 삼성전자주식회사 | 통신 시스템에서 프로파일을 관리하는 기법 |
| CN106487501B (zh) * | 2015-08-27 | 2020-12-08 | 华为技术有限公司 | 密钥分发和接收方法、密钥管理中心、第一和第二网元 |
| US10506439B2 (en) * | 2016-09-16 | 2019-12-10 | Apple Inc. | Secure control of profile policy rules |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002511964A (ja) * | 1997-07-02 | 2002-04-16 | ソネラ ユルキネン オサケユキチュア | 加入者識別モジュールに記憶されたアプリケーションの制御手順 |
| JP2007510391A (ja) * | 2003-11-07 | 2007-04-19 | フアウェイ テクノロジーズ カンパニー リミテッド | ユーザの有効性を確認するためのユーザ有効性確認方法 |
| JP2008530861A (ja) * | 2005-02-04 | 2008-08-07 | クゥアルコム・インコーポレイテッド | 無線通信のための安全なブートストラッピング |
| JP2008538482A (ja) * | 2005-04-18 | 2008-10-23 | ルーセント テクノロジーズ インコーポレーテッド | ルート鍵の提供 |
| JP2008547248A (ja) * | 2005-06-13 | 2008-12-25 | ノキア コーポレイション | 汎用ブートストラッピング・アーキテクチャ(gba)において、移動ノードの識別子を認証のプリファレンスと共に提供する装置、方法およびコンピュータ・プログラム |
| JP2009512296A (ja) * | 2005-10-13 | 2009-03-19 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | セキュリティ・アソシエーションを確立するための方法および装置 |
| WO2009046400A1 (en) * | 2007-10-05 | 2009-04-09 | Interdigital Technology Corporation | Techniques for secure channelization between uicc and a terminal |
Family Cites Families (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2150790C1 (ru) | 1994-10-27 | 2000-06-10 | Интернэшнл Бизнес Машинз Корпорейшн | Способ и устройство для защищенной идентификации мобильного пользователя в сети связи |
| EP1410281A2 (en) * | 2000-07-10 | 2004-04-21 | BMC Software, Inc. | System and method of enterprise systems and business impact management |
| WO2003058375A2 (en) * | 2001-10-26 | 2003-07-17 | Zeosoft Corporation | Development, management of distributed clients and servers |
| US6931453B2 (en) * | 2003-01-03 | 2005-08-16 | Nokia Corporation | Method and apparatus for resolving protocol-agnostic schemes in an internet protocol multimedia subsystem |
| US7444675B2 (en) * | 2003-02-28 | 2008-10-28 | Hewlett-Packard Development Company, L.P. | Systems and methods for defining security information for web-services |
| FI20050384A0 (fi) * | 2005-04-14 | 2005-04-14 | Nokia Corp | Geneerisen todentamisarkkitehtuurin käyttö Internet-käytäntöavainten jakeluun matkaviestimissä |
| CN101228769B (zh) * | 2005-06-13 | 2012-10-03 | 诺基亚公司 | 在通用引导架构(gba)中结合认证偏好来提供移动节点标识的装置、方法和计算机程序产品 |
| FI20050853A0 (fi) * | 2005-08-25 | 2005-08-25 | Nokia Corp | Käyttäjädatan hallinta |
| US20070101122A1 (en) * | 2005-09-23 | 2007-05-03 | Yile Guo | Method and apparatus for securely generating application session keys |
| WO2007063420A2 (en) * | 2005-12-01 | 2007-06-07 | Nokia Corporation | Authentication in communications networks |
| EP1982493A1 (en) * | 2006-01-30 | 2008-10-22 | Nokia Corporation | Management of user data |
| CN101022651B (zh) * | 2006-02-13 | 2012-05-02 | 华为技术有限公司 | 一种组合鉴权架构及其实现方法 |
| CN101438256B (zh) * | 2006-03-07 | 2011-12-21 | 索尼株式会社 | 信息处理设备、信息通信系统、信息处理方法 |
| US7870601B2 (en) * | 2006-11-16 | 2011-01-11 | Nokia Corporation | Attachment solution for multi-access environments |
| US7885640B2 (en) * | 2007-01-11 | 2011-02-08 | Nokia Corporation | Authentication in communication networks |
| US8612773B2 (en) * | 2007-05-03 | 2013-12-17 | International Business Machines Corporation | Method and system for software installation |
| US8151314B2 (en) * | 2008-06-30 | 2012-04-03 | At&T Intellectual Property I, Lp | System and method for providing mobile traffic information in an internet protocol system |
| US8938476B2 (en) * | 2008-07-14 | 2015-01-20 | Nokia Solutions And Networks Oy | Method and apparatus for a subscriber database |
| US8782743B2 (en) * | 2009-11-24 | 2014-07-15 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and apparatus for use in a generic bootstrapping architecture |
| US8925039B2 (en) * | 2009-12-14 | 2014-12-30 | At&T Intellectual Property I, L.P. | System and method of selectively applying security measures to data services |
| US9021073B2 (en) * | 2010-08-11 | 2015-04-28 | Verizon Patent And Licensing Inc. | IP pool name lists |
-
2010
- 2010-11-22 EP EP10835544.7A patent/EP2510717B1/en active Active
- 2010-11-22 RU RU2012128165/08A patent/RU2537275C2/ru active
- 2010-11-22 MX MX2012006589A patent/MX2012006589A/es active IP Right Grant
- 2010-11-22 AU AU2010329814A patent/AU2010329814B2/en active Active
- 2010-11-22 AP AP2012006401A patent/AP3318A/xx active
- 2010-11-22 SG SG2012040069A patent/SG181456A1/en unknown
- 2010-11-22 MY MYPI2012002408A patent/MY172854A/en unknown
- 2010-11-22 JP JP2012542588A patent/JP5466770B2/ja active Active
- 2010-11-22 BR BR112012014045-0A patent/BR112012014045B1/pt active IP Right Grant
- 2010-11-22 CN CN2010800560272A patent/CN102652439A/zh active Pending
- 2010-11-22 WO PCT/FI2010/050944 patent/WO2011070226A1/en active Application Filing
- 2010-11-22 KR KR1020127017853A patent/KR101377879B1/ko active IP Right Grant
- 2010-11-22 CA CA2783570A patent/CA2783570C/en active Active
- 2010-11-22 UA UAA201208486A patent/UA106642C2/uk unknown
- 2010-11-22 CN CN201610286717.6A patent/CN105959945B/zh active Active
- 2010-11-24 US US12/954,120 patent/US8607053B2/en active Active
-
2012
- 2012-05-29 IL IL220036A patent/IL220036A0/en active IP Right Grant
- 2012-06-11 CL CL2012001557A patent/CL2012001557A1/es unknown
- 2012-07-09 ZA ZA2012/05089A patent/ZA201205089B/en unknown
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002511964A (ja) * | 1997-07-02 | 2002-04-16 | ソネラ ユルキネン オサケユキチュア | 加入者識別モジュールに記憶されたアプリケーションの制御手順 |
| JP2007510391A (ja) * | 2003-11-07 | 2007-04-19 | フアウェイ テクノロジーズ カンパニー リミテッド | ユーザの有効性を確認するためのユーザ有効性確認方法 |
| JP2008530861A (ja) * | 2005-02-04 | 2008-08-07 | クゥアルコム・インコーポレイテッド | 無線通信のための安全なブートストラッピング |
| JP2008538482A (ja) * | 2005-04-18 | 2008-10-23 | ルーセント テクノロジーズ インコーポレーテッド | ルート鍵の提供 |
| JP2008547248A (ja) * | 2005-06-13 | 2008-12-25 | ノキア コーポレイション | 汎用ブートストラッピング・アーキテクチャ(gba)において、移動ノードの識別子を認証のプリファレンスと共に提供する装置、方法およびコンピュータ・プログラム |
| JP2009512296A (ja) * | 2005-10-13 | 2009-03-19 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | セキュリティ・アソシエーションを確立するための方法および装置 |
| WO2009046400A1 (en) * | 2007-10-05 | 2009-04-09 | Interdigital Technology Corporation | Techniques for secure channelization between uicc and a terminal |
Also Published As
| Publication number | Publication date |
|---|---|
| RU2537275C2 (ru) | 2014-12-27 |
| KR20120102764A (ko) | 2012-09-18 |
| AP3318A (en) | 2015-06-30 |
| CN105959945B (zh) | 2019-12-17 |
| RU2012128165A (ru) | 2014-01-20 |
| EP2510717B1 (en) | 2020-03-04 |
| CA2783570C (en) | 2015-12-29 |
| MY172854A (en) | 2019-12-12 |
| US20110145583A1 (en) | 2011-06-16 |
| MX2012006589A (es) | 2012-06-19 |
| EP2510717A4 (en) | 2017-06-14 |
| CL2012001557A1 (es) | 2012-08-03 |
| CN102652439A (zh) | 2012-08-29 |
| WO2011070226A1 (en) | 2011-06-16 |
| AU2010329814A1 (en) | 2012-06-21 |
| IL220036A0 (en) | 2012-07-31 |
| CA2783570A1 (en) | 2011-06-16 |
| UA106642C2 (uk) | 2014-09-25 |
| ZA201205089B (en) | 2013-12-23 |
| AU2010329814B2 (en) | 2015-10-29 |
| US8607053B2 (en) | 2013-12-10 |
| JP5466770B2 (ja) | 2014-04-09 |
| SG181456A1 (en) | 2012-07-30 |
| CN105959945A (zh) | 2016-09-21 |
| BR112012014045A2 (pt) | 2017-10-10 |
| EP2510717A1 (en) | 2012-10-17 |
| BR112012014045B1 (pt) | 2022-03-22 |
| KR101377879B1 (ko) | 2014-03-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11895157B2 (en) | Network security management method, and apparatus | |
| KR101229769B1 (ko) | 방문 네트워크에서의 무선 디바이스의 인증 | |
| EP2572527B1 (en) | Generic bootstrapping architecture usage with web applications and web pages | |
| KR101270323B1 (ko) | 단일 서비스 사인 온을 제공하는 방법, 장치 및 컴퓨터 판독가능 저장 매체 | |
| CN113748699A (zh) | 用于通信系统中的间接通信的服务授权 | |
| US20120204231A1 (en) | User identity management for permitting interworking of a bootstrapping architecture and a shared identity service | |
| KR102632519B1 (ko) | 사용자 장치와 애플리케이션 서버 간의 통신을 보안하기 위한 키를 결정하기 위한 방법 | |
| CN113541925B (zh) | 通信系统、方法及装置 | |
| JP5466770B2 (ja) | サーバにおけるスマートカード・セキュリティ機能プロファイル | |
| JP2013513986A5 (ja) | ||
| JP2023527193A (ja) | サービス取得方法、装置、通信機器及び可読記憶媒体 | |
| WO2018120150A1 (zh) | 网络功能实体之间的连接方法及装置 | |
| WO2024092529A1 (en) | Determining authentication credentials for a device-to-device service | |
| CN115913964A (zh) | 网络切片确定方法、系统、网络设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130725 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130827 |
|
| A524 | Written submission of copy of amendment under article 19 pct |
Free format text: JAPANESE INTERMEDIATE CODE: A524 Effective date: 20130904 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140116 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140124 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5466770 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |