JP5466770B2 - サーバにおけるスマートカード・セキュリティ機能プロファイル - Google Patents
サーバにおけるスマートカード・セキュリティ機能プロファイル Download PDFInfo
- Publication number
- JP5466770B2 JP5466770B2 JP2012542588A JP2012542588A JP5466770B2 JP 5466770 B2 JP5466770 B2 JP 5466770B2 JP 2012542588 A JP2012542588 A JP 2012542588A JP 2012542588 A JP2012542588 A JP 2012542588A JP 5466770 B2 JP5466770 B2 JP 5466770B2
- Authority
- JP
- Japan
- Prior art keywords
- security
- function
- list
- database
- network application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000006870 function Effects 0.000 claims description 148
- 238000000034 method Methods 0.000 claims description 30
- 238000004590 computer program Methods 0.000 claims description 19
- 230000004044 response Effects 0.000 claims description 15
- 238000010586 diagram Methods 0.000 description 11
- 239000000284 extract Substances 0.000 description 5
- 108091027981 Response element Proteins 0.000 description 4
- 230000006854 communication Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 230000007175 bidirectional communication Effects 0.000 description 2
- 230000008878 coupling Effects 0.000 description 2
- 238000010168 coupling process Methods 0.000 description 2
- 238000005859 coupling reaction Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000004846 x-ray emission Methods 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
- Stored Programmes (AREA)
- Computer And Data Communications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
本発明の例示的かつ非限定的実施形態に従う教示は、ワイヤレス・コミュニケーションのシステム、方法、装置およびコンピュータ・プログラムに関するものであり、特に、汎用ブートストラッピング・アーキテクチャおよびセキュリティ機能に関するものである。
〔関連出願の相互参照〕
〔関連出願の相互参照〕
本願は米国特許法第119条(e)の定めにより米国仮特許出願61/284,045(出願日2009年12月11日)に優先権を主張し、この仮特許出願は本明細書において参照されることにより本明細書に組み込まれる。
この章は、特許請求の範囲に述べられる本発明の背景や前後関係を提供することを目的とする。本章の記述は明細書中に達成されようとするコンセプトを含んでもよく、必ずしも既に着想、実行、または記述されたものである必要はない。その為、特記しない限り、本章で述べられていることは本願明細書および本願請求項の先行技術ではなく、また、本章に含めることにより先行技術と認めるものでもない。
本願明細書および/または図に出てくる略語は次の通り定義される:
AAA 認証・認可・アカウンティング (authentication authorization accounting)
AKA 認証および鍵合意 (authentication and key agreement)
AUTN 認証トークン(authentication token)
AV 認証ベクトル (Authentication Vector)
AVP Diameterメッセージ属性値ペア(attribute-value-pair in Diameter messages)
BSF ブートストラッピング・サーバ機能(bootstrapping server function)
CK 秘匿鍵 (confidential key)
GAA 汎用認証アーキテクチャ (generic authentication architecture)
GBA 汎用ブートストラッピング・アーキテクチャ (generic bootstrapping architecture)
GPL 汎用プッシュ・レイヤー (generic push layer)
GSID GAAサービス識別子 (GAA service identifier)
GUSS GBAユーザ・セキュリティ設定 (GBA user security settings)
HLR ホーム・ロケーション・レジスタ (home location register)
HSS ホーム加入者サーバ (home subscriber server)
IK インテグリティ鍵 (integrity key)
IMS インターネット・プロトコル(IP)マルチメディア・サブシステム (internet protocol (IP) multimedia subsystem)
LDAP ライトウェイト・ディレクトリ・アクセス・プロトコル:エルダップ (lightweight directory access protocol)
NAF ネットワーク・アプリケーション機能(サービス)(network application function (service))
NDS ネットワーク・ドメイン・セキュリティ (network domain security)
RAND ランダム・チャレンジ (random challenge)
SLF 加入者ロケーター機能 (subscriber locator function)
TLS トランスポート層セキュリティ (transport layer security)
UE スマートカード付きユーザ端末 (user terminal with smart card)
UICC 汎用ICカード (universal integrated circuit card)
uss ユーザ・セキュリティ設定 (user security settings)
Ua GAAアプリケーション用UE-NAFインターフェース (UE-NAF interface for GAA applications)
Ub ブートストラッピング用UE-BSFインターフェース (UE-BSF interface for bootstrapping)
XRES 想定認証応答 (expected response in authentication)
Zh ブートストラッピング・プロシージャ用BSF-HSSインターフェース (BSF-HSS interface for bootstrapping procedure)
Zh' ブートストラッピング・プロシージャ用BSF-HLRインターフェース (BSF-HLR interface for bootstrapping procedure)
Zn GAAアプリケーション用BSF-NAFインターフェース (BSF-NAF interface for GAA applications)
Zpn GAAアプリケーション用NAF-BSFインターフェース (NAF-BSF interface for GAA applications)
AAA 認証・認可・アカウンティング (authentication authorization accounting)
AKA 認証および鍵合意 (authentication and key agreement)
AUTN 認証トークン(authentication token)
AV 認証ベクトル (Authentication Vector)
AVP Diameterメッセージ属性値ペア(attribute-value-pair in Diameter messages)
BSF ブートストラッピング・サーバ機能(bootstrapping server function)
CK 秘匿鍵 (confidential key)
GAA 汎用認証アーキテクチャ (generic authentication architecture)
GBA 汎用ブートストラッピング・アーキテクチャ (generic bootstrapping architecture)
GPL 汎用プッシュ・レイヤー (generic push layer)
GSID GAAサービス識別子 (GAA service identifier)
GUSS GBAユーザ・セキュリティ設定 (GBA user security settings)
HLR ホーム・ロケーション・レジスタ (home location register)
HSS ホーム加入者サーバ (home subscriber server)
IK インテグリティ鍵 (integrity key)
IMS インターネット・プロトコル(IP)マルチメディア・サブシステム (internet protocol (IP) multimedia subsystem)
LDAP ライトウェイト・ディレクトリ・アクセス・プロトコル:エルダップ (lightweight directory access protocol)
NAF ネットワーク・アプリケーション機能(サービス)(network application function (service))
NDS ネットワーク・ドメイン・セキュリティ (network domain security)
RAND ランダム・チャレンジ (random challenge)
SLF 加入者ロケーター機能 (subscriber locator function)
TLS トランスポート層セキュリティ (transport layer security)
UE スマートカード付きユーザ端末 (user terminal with smart card)
UICC 汎用ICカード (universal integrated circuit card)
uss ユーザ・セキュリティ設定 (user security settings)
Ua GAAアプリケーション用UE-NAFインターフェース (UE-NAF interface for GAA applications)
Ub ブートストラッピング用UE-BSFインターフェース (UE-BSF interface for bootstrapping)
XRES 想定認証応答 (expected response in authentication)
Zh ブートストラッピング・プロシージャ用BSF-HSSインターフェース (BSF-HSS interface for bootstrapping procedure)
Zh' ブートストラッピング・プロシージャ用BSF-HLRインターフェース (BSF-HLR interface for bootstrapping procedure)
Zn GAAアプリケーション用BSF-NAFインターフェース (BSF-NAF interface for GAA applications)
Zpn GAAアプリケーション用NAF-BSFインターフェース (NAF-BSF interface for GAA applications)
以下に挙げる2つの文献を参照するとよい:
3GPP TS 29.109 V9.0.0 (2009-09) Technical Specification 3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals; Generic Authentication Architecture (GAA); Zh and Zn Interfaces based on the Diameter protocol; Stage 3 (Release 9) 3GPP TS 33.224 V9.0.0 (2009-09) Technical Specification 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Generic Authentication Architecture (GAA); Generic Bootstrapping Architecture (GBA) Push Layer (Release 9)。
3GPP TS 29.109 V9.0.0 (2009-09) Technical Specification 3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals; Generic Authentication Architecture (GAA); Zh and Zn Interfaces based on the Diameter protocol; Stage 3 (Release 9) 3GPP TS 33.224 V9.0.0 (2009-09) Technical Specification 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Generic Authentication Architecture (GAA); Generic Bootstrapping Architecture (GBA) Push Layer (Release 9)。
モバイル機器におけるGBAの利用はユーザまたは加入者の認証を可能にする。GBAの利用は、ユーザがHLRまたはHSSにおいて有効なIDを有することを前提とする。ユーザ認証のインスタンスは共有秘密鍵により生成される。モバイルネットワークにおいては、共有秘密鍵のひとつはモバイル機器内のスマートカード内に、もう一方はHLRまたはHSS内に格納されている。別のネットワーク、例えば固定ネットワークにおいては、共有秘密鍵は、ひとつは信頼済みモジュール(例えばPCの信頼済みチップ)内に格納され、もう一方はAAAサーバのネットワーク内に格納される。GBAは、まずネットワーク・コンポーネントにスマートカードに対するチャレンジを発行させ、次いで、チャレンジに対するレスポンスがAKAプロトコルを利用しているHLR/HSSによって予測されたものと同類であるかを検証することによってユーザを認証する。BSFは追加の認証情報(Ksともよばれる)を確立する。この追加の認証情報から、認証を行おうとしているエンティティとサービス・プロバイダとの間の、サービス・プロバイダ特定共有鍵を抽出する。動作において、スマートカード内の共有秘密鍵はネットワークの認証に利用される。そして、BSFはマスター秘密鍵を抽出し、さらにそこからサービスに特有の鍵を抽出する。さらに、端末は同じ鍵を抽出する。従って、各サービスが異なる鍵を有する(1つの鍵が侵害されると、1つのサービスのみがその影響を受けることになる)。特定サービス共有秘密鍵(Ks_(ext/int)_NAFと呼ばれる)には時間制限があり、またサービスドメインの制約を受ける。SLFは、ネットワーク・オペレータが複数のHSSを有する場合に、どのHSSに加入者データが格納されているのかをBSFに通知する機能である。
GBAにおいて現時点で存在する1つの問題は、サービス(NAF)がユーザ端末内のエンティティ、特にスマートカードの認証を行おうとしているエンティティとセキュリティ・アソシエーションを確立しようとする場合に起こる状況に関連している。これを行うため、NAFはセキュリティ・アソシエーションを確立するためにセキュリティ機能がサポートされることを知る必要がある。現在のところ、NAFを提供するサービスは、ターミナルやネットワークからこの情報を取得する手段を有さない。NAFはオペレータ・ネットワークの外部に存在してもよく、その結果HSSへのダイレクト・インターフェースを有することができない可能性がある、ということに注意すべきである。
本発明のある例示的側面によれば、ネットワーク・アプリケーション機能が、利用したい所望のセキュリティ機能のリストを決定することであって、前記セキュリティ機能の前記リストは、前記ネットワーク・アプリケーション機能の優先順に並べられている、前記決定することと;
前記リストを、ブートストラッピング・サーバ機能を経由してユーザ・セキュリティ設定のデータベースへ送信することと;
前記ネットワーク・アプリケーション機能が、前記ブートストラッピング・サーバ機能を経由して、セキュリティ鍵を含むセキュリティ機能応答を受信することと;
を含み、ただし前記セキュリティ鍵は、前記データベースに格納された情報から抽出されたものであって、前記リストに含まれる所望のセキュリティ機能に対応しており、前記所望のセキュリティ機能のうち少なくとも1つについてのユーザ機器における利用可能性を前記ネットワーク・アプリケーション機能に示すものである、方法が提供される。
前記リストを、ブートストラッピング・サーバ機能を経由してユーザ・セキュリティ設定のデータベースへ送信することと;
前記ネットワーク・アプリケーション機能が、前記ブートストラッピング・サーバ機能を経由して、セキュリティ鍵を含むセキュリティ機能応答を受信することと;
を含み、ただし前記セキュリティ鍵は、前記データベースに格納された情報から抽出されたものであって、前記リストに含まれる所望のセキュリティ機能に対応しており、前記所望のセキュリティ機能のうち少なくとも1つについてのユーザ機器における利用可能性を前記ネットワーク・アプリケーション機能に示すものである、方法が提供される。
本発明の別の例示的側面によれば、コンピュータ・プログラム命令を具現化する持続的コンピュータ可読媒体であって、動作を実行するために前記コンピュータ・プログラム命令は少なくとも1つのプロセッサにより実行され、前記動作は:
ネットワーク・アプリケーション機能が、利用したい所望のセキュリティ機能のリストを決定することであって、前記セキュリティ機能の前記リストは、前記ネットワーク・アプリケーション機能の優先順に並べられている、前記決定することと;
前記リストを、ブートストラッピング・サーバ機能を経由してユーザ・セキュリティ設定のデータベースへ送信することと;
前記ネットワーク・アプリケーション機能が、前記ブートストラッピング・サーバ機能を経由して、セキュリティ鍵を含むセキュリティ機能応答を受信することと;
を含み、ただし前記セキュリティ鍵は、前記データベースに格納された情報から抽出されたものであって、前記リストに含まれる所望のセキュリティ機能に対応しており、前記所望のセキュリティ機能のうち少なくとも1つについてのユーザ機器における利用可能性を前記ネットワーク・アプリケーション機能に示すものである、コンピュータ可読媒体が提供される。
ネットワーク・アプリケーション機能が、利用したい所望のセキュリティ機能のリストを決定することであって、前記セキュリティ機能の前記リストは、前記ネットワーク・アプリケーション機能の優先順に並べられている、前記決定することと;
前記リストを、ブートストラッピング・サーバ機能を経由してユーザ・セキュリティ設定のデータベースへ送信することと;
前記ネットワーク・アプリケーション機能が、前記ブートストラッピング・サーバ機能を経由して、セキュリティ鍵を含むセキュリティ機能応答を受信することと;
を含み、ただし前記セキュリティ鍵は、前記データベースに格納された情報から抽出されたものであって、前記リストに含まれる所望のセキュリティ機能に対応しており、前記所望のセキュリティ機能のうち少なくとも1つについてのユーザ機器における利用可能性を前記ネットワーク・アプリケーション機能に示すものである、コンピュータ可読媒体が提供される。
本発明の更なる別の例示的側面によれば、 少なくとも1つのプロセッサと、コンピュータ・プログラムを格納する少なくとも1つのメモリとを備える装置であって、前記コンピュータ・プログラムは、前記少なくとも1つのプロセッサに実行されることにより、前記装置に少なくとも:
ネットワーク・アプリケーション機能が、利用したい所望のセキュリティ機能のリストを決定することであって、前記セキュリティ機能の前記リストはネットワーク・アプリケーション機能の優先順に並べられる、前記決定することこと;
前記リストを、ブートストラッピング・サーバ機能を経由してユーザ・セキュリティ設定のデータベースへ送信することと;
前記ネットワーク・アプリケーション機能が、前記ブートストラッピング・サーバ機能を経由して、セキュリティ鍵を含むセキュリティ機能応答を受信することと;
を行わせるように構成され、ただし前記セキュリティ鍵は、前記データベースに格納された情報から抽出されたものであって、前記リストに含まれる所望のセキュリティ機能に対応しており、前記所望のセキュリティ機能のうち少なくとも1つについてのユーザ機器における利用可能性を前記ネットワーク・アプリケーション機能に示すものである、装置が提供される。
ネットワーク・アプリケーション機能が、利用したい所望のセキュリティ機能のリストを決定することであって、前記セキュリティ機能の前記リストはネットワーク・アプリケーション機能の優先順に並べられる、前記決定することこと;
前記リストを、ブートストラッピング・サーバ機能を経由してユーザ・セキュリティ設定のデータベースへ送信することと;
前記ネットワーク・アプリケーション機能が、前記ブートストラッピング・サーバ機能を経由して、セキュリティ鍵を含むセキュリティ機能応答を受信することと;
を行わせるように構成され、ただし前記セキュリティ鍵は、前記データベースに格納された情報から抽出されたものであって、前記リストに含まれる所望のセキュリティ機能に対応しており、前記所望のセキュリティ機能のうち少なくとも1つについてのユーザ機器における利用可能性を前記ネットワーク・アプリケーション機能に示すものである、装置が提供される。
本発明の、これまでに述べてきた例示的側面およびその他の実施形態の以下に述べる詳細な説明は、添付図面に関連して読むとより明らかなものとなる。
GBAプッシュ・アーキテクチャのブロック図である。
GBAアーキテクチャのブロック図である。
GBAアーキテクチャの異なる実施形態についてのブロック図である。
図1-3の各図に示されるUEおよびBSF/HSS/NAFの簡略ブロック図である。
本発明の例示的実施形態における信号/メッセージのフローチャートである。
本発明の例示的実施形態における方法の実施およびコンピュータ可読メモリに実装されたコンピュータ・プログラム命令を実行した結果を表したフローチャートである。
本発明の例示的実施形態によれば、HSS、BSFおよびNAFが強化される。
図1はGBAプッシュ・アーキテクチャのブロック図である。BSF 10、SLF 12、HSS 14、NAF 16およびUE 18が示される。各ブロックは上記の各インターフェースを介して相互に接続される。図2はGABアーキテクチャのブロック図である。図1に示される各ブロックに加え、HSS 14の一部としてGUSSデータベース(DB)20が示される。図3はGBAアーキテクチャの別の実施形態を示す。ここではGUSSDB 20はネットワークの外部にあり、適切なインターフェース 21を介してBSF 10と接続される。
図4AはUE 18のひとつの実施形態を示した簡略ブロック図である。本発明の例示的実施形態を説明する目的で、UE 18は少なくとも1つのコンピュータまたはデータ・プロセッサ(DP)18A等のコントローラを備えてもよく、コンピュータ命令プログラム(PROG)18Cを格納する少なくとも1つのメモリ(MEM)18Bを具現化するコンピュータ可読メモリを備えてもよく、さらに、BSF 10とNAF 16が1つ以上の中間ノード、つまり複数のノードや複数のプロキシ(図示せず)をコンバートする1つ以上のベースステーション、を介して双方向通信(例えばワイヤレス通信)を行うための無線(RF)トランシーバ 18D等の少なくとも1つの適切な送受信機を備えてもよい。UE 18は、メモリやその他の機能性を備えたセキュリティ認証情報を扱うスマートカードや信頼済みモジュール 18Eを備えてもよい。通常、この機能はリムーバブルカード等のカードや、セキュアな(信頼済み)チップもしくはモジュール(カードである必要はない)に内蔵される。スマートカードやセキュアモジュール 18Eは加入者識別モジュール(SIM)を含んでもよく、または18E内に、もしくは18Eと共に具現化されてもよい。
スマートカードもしくは信頼済みモジュール 18EはUICCとも呼ばれる。周知の通り、UICCはGSMやUMTSネットワーク内のモバイル・ターミナルの中に用いられるカードであるが、異なる形状、例えば信頼済みハードウェアチップ上で実装されることもある。UISSはユーザデバイス(携帯電話、PC、スマートカード)とネットワークとの間の相互のやり取りの安全性を確保する。GSMネットワークにおいては、スマートカードはSIMカードである。UICCはSIMアプリケーションを含んでもよく、UMTSネットワークにおいてはUSIMアプリケーションを含み、IMSネットワークにおいてはISIMアプリケーションを含む。1枚のスマートカードがGSMネットワークとUMTSネットワークおよび他のアプリケーション(例えばモバイルバンキングやモバイルTVサポート等)の両方へのアクセスを可能にするために、UICCは複数のアプリケーションを同時に含んでもよい。CDMAネットワークにおいては、3GPP USIMおよびSIMアプリケーションに加え、UICCはCSIMアプリケーションを含む。
図4Bは本発明のある実施形態における装置の簡略ブロック図である。ある実施形態によれば装置はBSF 10、HSS 14およびNAF 16のうちの1つまたは全てを実装するために利用されうる。基本的には、これらのコンポーネントはコンピュータシステムが有すると想定される。例えばBSF 10については、少なくとも1つのコンピュータまたはデータ・プロセッサ(DP)10A等のコントローラ、コンピュータ命令プログラム(PROG)入出力制御装置(IOC)を格納する少なくとも1つのメモリ(10B)に具現化されるコンピュータ可読メモリ媒体、そして定義済みインターフェース(Zh、Zn、Zpn、Ub、Dz)を経由しGBAアーキテクチャの他の複数のコンポーネントと双方向コミュニケーションするのに適した少なくとも1つの送受信機を有する。プロキシ使用もしくはHLRの使用のための更なるインターフェースがある。しかし、これら追加のインターフェースは図4Bに示されている。
セキュリティ・アソシエーションの確立をUEスマートカード18Eがサポートするか否かに関する情報が、HSS GUSS 20に格納されるべきであることは、3GPPにおいて既に合意されている。このことは3GPP TS 33.224に"GPL UケイパビリティはHSS内のGUSSに格納されうる"("The GPL U capabilities shall be stored in the GUSS in the HSS.")と記述されている。しかし、この提案された機能性がどのように具現化され、実装され、運用されるかに関するメカニズムやメッセージフロー、処理については、未だ定義されていない。
セキュリティ・アソシエーションの確立をUEスマートカード18Eがサポートするか否かに関する情報が、HSS GUSS 20に格納されるべきであることは、3GPPにおいて既に合意されている。このことは3GPP TS 33.224に"GPL UケイパビリティはHSS内のGUSSに格納されうる"("The GPL U capabilities shall be stored in the GUSS in the HSS.")と記述されている。しかし、この提案された機能性がどのように具現化され、実装され、運用されるかに関するメカニズムやメッセージフロー、処理については、未だ定義されていない。
本発明の例示的実施形態を用いることで、スマートカード、より一般的には、セキュリティまたはアプリケーション固有の機能が、サービス・プロバイダにより利用可能となる。サービス・プロバイダは、スマートカード18Eのどの機能(即ち、どのセキュリティまたはアプリケーション固有の機能)を利用可能か、だけでなく、第2の選択肢("2番目に適しているもの")の機能をも標示することが可能となる。
例示的実施形態によれば、サービスと鍵形成ノード(BSF 10)との間のメッセージ、および、BSF 10とHSS 14との間のメッセージが機能拡張される。HSS 14内のユーザ・セキュリティ情報ストレージも同様に機能拡張され、HSS 14はこの追加情報を処理する。BSF 10はHSS 14からの情報を検討することが期待されている。
その結果、サービスは、UE 18との通信時にどの機能が利用可能であるかを既に知っていることができ、従って所望のセキュリティ・アソシエーションを確立することが可能になる。
本発明の例示的実施形態が特に関心を有する具体的な場合を考えると、上記の特徴は、例えば、NAF 16がGPLを用いてスマートカード18と安全なセッションの確立を望む場合に特に有益である。例示によると、これを行う理由の1つはプロビジョニングにある。
本発明の例示的実施形態によれば、GUSS 20および関連するGBAコンポーネントが強化される。
次に、図5の信号/メッセージ・フローブロック図を参照する。
(1)NAF 16がある特定のセキュリティ(もしくはアプリケーション)機能、例えばGPL Uを利用したいと仮定する。NAF 16は、利用したい機能が利用不可であれば"ダウングレード"を実行しようとしてもよく、もしくはサービスの利用を制限してもよい(つまり、セキュリティレベルが低いために、ダウンロードの閾値が低くなるので)。この他のバックアップ機能が利用できるということは、最適な機能が利用不可の場合に信号負荷を軽減するのに有効となる。この例においては、最適な機能がGPL Uであるとすると、2番目に適する機能はGPL with GBA U、3番目に適する機能はGPL with GBA、と、それらをセミコロン(;)で区切って表す。これによって、受信ノードが、その次の"ワード"の先頭を決定できるようにする。機能によっては要素は複数回現れてもよい。NAF 16がいくつかのセキュリティ機能を利用したいと望む場合、NAF 16は、例えば、それら機能の優先順位のリストを提供する(例:{機能1;機能2;...;機能n})。
このように、本発明のある例示的側面は、所望のセキュリティ機能を表示する能力であり、さらにそれは、所望のセキュリティ機能を複数個優先順位と共に示すリストを提供する可能性を含む。
(2)NAF 16はBSF 10に対し、NAF 16が特定のセキュリティ機能(例えばGPL U)を利用したい旨を標示する。このことは既存のZn/Zn'メッセージに任意のフィールドを追加することで遂行される。ZnはDiameterまたは3GPP TS 29.109. をベースとするウェブサービスのために定義される。Zn'はBSF 10およびNAF 16の間にプロキシが存在する場合のインターフェースである。BSF 10はこの要求をZh参照ポイント越しにHSS 14に転送する。このことはZhリクエストメッセージに任意のフィールドを追加することで遂行される。HLRが利用される場合は、BSF 10はGUSS20を所有するローカル・データベースにこれを送信してもよく、さらにZh'インターフェースをインターフェースとして使用してもよい。この場合、リクエストは標準の一部ではなく、LDAPリクエストを利用することで実行されてもよい。
本発明の例示的側面によれば、NAFからのリクエストはGBA-Push-Info(GPI)となることができ、これはユーザ・アイデンティティに応答する際のNAF特定鍵の材料である。このリクエストは、例えば3GPP TS 33.223. で定義されるZpnおよびZpn'プロトコル・インターフェースを利用することも可能である。プロトコルZPNはNAFとBSFとの間に存在し、また、上記リクエストは、ユーザ・アイデンティティやNAF-Idおよび/またはGSIDを含むことができる。さらに、セキュリティ機能リクエスト要素のためのフィールドは"element name="securityfeaturesrequest" type="xsd:string" minOccurs="0"."として読みとることができる。NAFは、セキュリティ機能リクエスト要素またはパラメータを利用して、セキュリティ機能の利用可能性に関する情報をリクエストしてもよい。この要素は、利用可能な複数のセキュリティ機能を優先順にセミコロンで区切ったリストを含んでもよい。この実施形態によれば、NAFは、セキュリティ機能リクエストAVPを利用して、セキュリティ機能の利用可能性についての情報をリクエストしてもよい。さらに、AVPは3GPP AV=[RAND, AUTN, XRES, CK, IK]を含むことができる。セキュリティ機能リクエストAVPはオクテット列型であってもよい。AVPはNAFによりリクエストされた1つまたは複数のセキュリティ機能を含むことが可能である。
BSFおよびNAFが同じオペレータによるネットワークに位置するのであれば、DIAMETERに基づくZpn参照ポイントは、NDS/IPに従って保護されうる。一方で、BSFおよびNAFが異なるオペレータによるネットワークに位置する場合は、Zn-ProxyおよびBSF間のDIAMETERに基づくZpn'参照ポイントは、TLSを利用して保護されうる。
このように、本発明の別の例示的側面によれば、セキュリティ機能の標示によってZn/Zn'、Zpn/ Zpn'およびZhを強化できる。
(3)GUSS 20に対して新しいフィールドを追加してもよい(ただし、BSFフィールドは削除されるため、それ以外に)。ある例示的形態では、追加される新しい要素を含むフィールドは、ussType complexType に設けられ、例えば、"UICC-Features"や、より一般的には"Security-Features"サポートフィールドを追加できる。HSS 14は、NAFの作成した(優先順に並んだ)機能リストをBSF 10から受信すると、Securities-Featuresサポートフィールドを、提供された機能に追加する。適切であれば、さらにUICC鍵選択フィールドを設定することができ、その結果、BSF 10は、正しいアプリケーション特定鍵、たとえばKs int NAF.aを抽出する。
本発明のある例示的側面においては、BSFがセキュリティ機能の利用をサポートし、さらにNAFがBSFからのセキュリティ機能をリクエストしている場合、BSFは、加入者GUSS内のbsflnfo要素からSecurity Features 要素を抽出することができる。BSFは、NAFから受信したセキュリティ機能リクエストおよびbsfInfo要素から抽出した情報の両方に共通のセキュリティ機能を、応答内のSecurity Features Response 要素に追加する。要素"bsflnfo"の中のオプショナル要素"securityFeatures"(セキュリティ機能要素)の値は、ユーザ機器がサポートするユーザ固有のセキュリティ機能のリストを表す。Security Features 要素が存在しない場合にはセキュリティ機能は定義されていない。複数の値からなるリストが存在する場合には、それらの値は";"で区切られる。
上記共通のセキュリティ機能は、bsflnfo要素における出現順に、Security Features Response 要素に追加されうる。Security Features 要素がGUSSで定義されていない場合、もしくは、一般的なセキュリティ機能が存在しない場合、BSFは、応答内のSecurity Features Response 要素に空文字列を追加するものとする。
セキュリティ機能応答(Security Feature Response )AVPはオクテット列型になりうる。AVPはHSSにより特定される1つないし複数のセキュリティ機能を含む。この情報は、GUSSの"bsfElement"や、リクエストで受信されるセキュリティ機能のような、Security Features 要素を利用してBSFに伝えられうる。さらに、Security Features Response 要素のフィールドは、例えば"element name="securityfeaturesresponse" type="xsd:string" minOccurs="0"."のように読み込み可能である。
このように、本発明の別の例示的側面は、少なくとも、HSS 14およびBSF 10で所望の機能のリストを処理することに関する。
上記の例ではBSF 10は1つの鍵を抽出するだけにすぎないが、BSF 10についての例示的実施形態の範囲は、1つ以上の鍵を抽出する(つまり、機能がサポートされる場合に、優先順リストに出現する機能の各々について鍵が抽出されうる)ことも含まれるという点に留意されたい。
(4)NAF 16は、BSF 10から抽出されたサービス特定鍵を受信し、さらにNAF 16が取得したコミュニケーションにどのようなセキュリティレベルが使えるか、スマートカード18Eのどの機能をNAF 16が利用可能であるか、についての情報を得る。BSF10はGUSSを受信し、GUSSの一部、例えばUSSをNAF 16に送信する。このUSSにはNAF 16にリクエストされたセキュリティ機能情報が含まれることもある。
このように、本発明の別の例示的側面は、Zn/Zn'、Zpn/ Zpn'およびZh等のフィールドを介して渡される追加情報を含めることと、この情報をBSF 10およびNAF 16で処理することである。
例示的実施形態は、HSS 14の代わりにHLRが利用されるケース、およびGUSS 20が商用の外部データベースに格納されているため、BSF 10が単純に外部GUSSへ呼び出しを要求するケース(図3参照のこと)もその範囲に含む。
例示的実施形態はさらに、対象となるセキュリティ機能がスマートカード18Eの一部ではない場合についても包含している。例えば、セキュリティ機能が(例えば、セキュアチップに含まれる支払いアプリケーション等)セキュアチップの一部であってもよい。
以上のように、本発明の例示的実施形態によれば、既存のGBAにおけるGBA-smart cardプロファイルの先天的な欠如、より一般的には、セキュリティ機能の欠如を克服するための、さらには、同様の目的を達成するために新たなターミナル・スマートカード(セキュリティ機能プロファイル)インターフェースを定義しサポートすることを回避するための、GBAアーキテクチャの動作を強化する方法、装置、コンピュータ・プログラムが提供される。
図6は、本発明の例示的実施形態に従う方法の実施およびコンピュータ・プログラム命令を実行した結果を示す論理流れ図である。これらの例示的実施形態に従えば、方法は、以下の通りに実行される;
図6のブロック6A:ネットワーク・アプリケーション機能が、利用したい所望のセキュリティ機能のリストを決定する。セキュリティ機能のリストは、ネットワーク・アプリケーション機能の優先順に並べられている。
ブロック6B:前記リストは、ブートストラッピング・サーバ機能を経由して、ユーザ・セキュリティ設定のデータベースへ送信される。
ブロック6C:ネットワーク・アプリケーション機能が、ブートストラッピング・サーバ機能を経由して、セキュリティ鍵を含むセキュリティ機能応答を受信する。このセキュリティ鍵は、前記データベースに格納された情報から抽出されたものであって、前記リストに含まれる所望のセキュリティ機能に対応しており、ネットワーク・アプリケーション機能に、前記所望のセキュリティ機能のうち少なくとも1つについてのユーザ機器における利用可能性を示すものである。
図6のブロック6A:ネットワーク・アプリケーション機能が、利用したい所望のセキュリティ機能のリストを決定する。セキュリティ機能のリストは、ネットワーク・アプリケーション機能の優先順に並べられている。
ブロック6B:前記リストは、ブートストラッピング・サーバ機能を経由して、ユーザ・セキュリティ設定のデータベースへ送信される。
ブロック6C:ネットワーク・アプリケーション機能が、ブートストラッピング・サーバ機能を経由して、セキュリティ鍵を含むセキュリティ機能応答を受信する。このセキュリティ鍵は、前記データベースに格納された情報から抽出されたものであって、前記リストに含まれる所望のセキュリティ機能に対応しており、ネットワーク・アプリケーション機能に、前記所望のセキュリティ機能のうち少なくとも1つについてのユーザ機器における利用可能性を示すものである。
前段落で述べた方法によれば、前記セキュリティ機能応答は、前記データベースに格納された前記情報と前記リストとに共通するセキュリティ機能の標示を含む。該標示において、前記共通のセキュリティ機能は、データベースに格納された情報から抽出された通りの順序に並んでいる。
前段落で述べた方法によれば、前記セキュリティ鍵は最も優先度の高いセキュリティ機能に対応し、最も優先度の高いセキュリティ機能に対応できない場合には、前記セキュリティは次に優先度の高いセキュリティ機能に対応する。
前段落で述べた方法によれば、前記リストはホーム加入者サーバを経由して、ユーザ・セキュリティ設定のデータベースに送信される。
図6に示された方法によれば、前記データベースはネットワーク・アプリケーション機能やブートストラッピング・サーバ機能を含むシステムの外部に存在する。
前段落で述べた方法によれば、前記データベースはサポートされたセキュリティ機能を格納するフィールドを構成する。
前段落で述べた方法によれば、前記リストは1つのエントリ、もしくは2つ以上のエントリを含む。
前段落で述べた方法によれば、前記リストはセキュリティ機能リクエストメッセージ内に送信される。
前段落で述べられた方法によれば、前記セキュリティ機能リクエストメッセージは属性値ペアDiameterメッセージを利用して送信される。
図6に示される各ブロックは方法のステップを、または/もしくはコンピュータ・プログラム・コードの動作を実行した結果を、または/もしくは関連した(複数の)機能の実行を構成する複数の対になった論理回路素子を示してもよい。
例示的実施形態はまた、少なくとも1つのプロセッサと、コンピュータ・プログラムを格納する少なくとも1つのメモリとを備える装置であって、前記コンピュータ・プログラムは、前記少なくとも1つのプロセッサに実行されることにより、前記装置に少なくとも:
ネットワーク・アプリケーション機能が、利用したい所望のセキュリティ機能のリストを決定することであって、前記セキュリティ機能の前記リストはネットワーク・アプリケーション機能の優先順に並べられる、前記決定することこと;
前記リストを、ブートストラッピング・サーバ機能を経由してユーザ・セキュリティ設定のデータベースへ送信することと;
前記ネットワーク・アプリケーション機能が、前記ブートストラッピング・サーバ機能を経由して、セキュリティ鍵を含むセキュリティ機能応答を受信することと;
を行わせるように構成され、ただし前記セキュリティ鍵は、前記データベースに格納された情報から抽出されたものであって、前記リストに含まれる所望のセキュリティ機能に対応しており、前記所望のセキュリティ機能のうち少なくとも1つについてのユーザ機器における利用可能性を前記ネットワーク・アプリケーション機能に示すものである、装置を含む。
ネットワーク・アプリケーション機能が、利用したい所望のセキュリティ機能のリストを決定することであって、前記セキュリティ機能の前記リストはネットワーク・アプリケーション機能の優先順に並べられる、前記決定することこと;
前記リストを、ブートストラッピング・サーバ機能を経由してユーザ・セキュリティ設定のデータベースへ送信することと;
前記ネットワーク・アプリケーション機能が、前記ブートストラッピング・サーバ機能を経由して、セキュリティ鍵を含むセキュリティ機能応答を受信することと;
を行わせるように構成され、ただし前記セキュリティ鍵は、前記データベースに格納された情報から抽出されたものであって、前記リストに含まれる所望のセキュリティ機能に対応しており、前記所望のセキュリティ機能のうち少なくとも1つについてのユーザ機器における利用可能性を前記ネットワーク・アプリケーション機能に示すものである、装置を含む。
一般的に、様々な例示的実施形態はハードウェアもしくは特定用途向け回路、ソフトウェア、ロジックもしくはそれらの組み合わせで実装されてもよい。例えば、ある側面はハードウェアに実装されてもよく、一方で他の側面はファームウェアもしくはソフトウェア内に実装されてもよく、コントローラ、マイクロプロセッサやその他コンピュータデバイスによって実行されてもよい。しかしながら、本発明はそれに制限されるものではない。本発明の例示的実施形態の様々な側面が図やブロック図、フローチャートその他の図で示されているが、それらはこうしたブロックや装置、システム、技術または述べられている方法の実装を理解する一助とするためのものであり、ハードウェア、ソフトウェア、ファームウェア、特定用途向け回路またはロジック、汎用のハードウェアまたはコントローラ、またはその他コンピュータデバイス、およびそれらの組み合わせは、例示に限定するものではない。
その結果、本発明の例示的実施形態の少なくともいくつかの側面は、ICチップやモジュールなどの様々なコンポーネントで実行されてもよく、また、本発明の例示的実施形態はICなどの装置で具現化され実現化されてもよいということが、認められるべきである。ICまたは回路は、本発明の例示的実施形態に従って動作されるべく設定可能な、少なくとも1つまたは複数のデータ・プロセッサ、1つまたは複数のデジタル信号プロセッサ、信号帯域回路または無線周波数回路などで具現化される回路(または好ましくはファームウェア)を含んでもよい。
本発明の前述の例示的実施形態へのあらゆる修正または改変は、添付の図面を併せて読めば当業者にとって、前述の観点から容易になるであろう。しかしながら、ありとあらゆる修正は本発明の限定されない例示的実施形態の範囲に含まれるであろう。
例えば、例示的実施形態にはGBAアーキテクチャのコンテクストが述べられているが、本発明の例示的実施形態はこの1つのタイプのシステムのみに限定されて利用されるのではなく、他の様々なシステムに応用されてもよい。
「接続された」「結合された」またはそれに類似の語句は、それが直接的・間接的を問わず、複数の要素間のいかなる接続や結合をも意味し、「接続された」もしくは「結合された」2つの要素間にある1つ以上の中間要素をも包含し得る。複数の要素間の接続または結合は、物理的、論理的もしくはそれらの組み合わせであり得る。ここで2つの要素とは、1つ以上の配線、ケーブル、または/もしくはプリント電子配線を用いて「接続」または「結合」されたとみなされてもよく、また、無線周波数領域やマイクロ波域、さらには光波域(可視/不可視の両方)の波長を有する電磁エネルギー等を利用して「接続」または「結合」されたとみなされてもよく、これらは限定的ではなく、かつ包括的でもない。
さらに、機能を表すさまざまな名称(例えば、NAF、HSS、BSF等)、プロトコル・インターフェースを表す名称(例えば、Zn、Zn'、Zh、Zpn、Zpn'等)、サービス機能を表す名称(例えば、GPL U、GBA U等)または要素を表す名称(例えば、ussType complexType)は、いかなる点においても限定する目的ではなく、さまざまな機能やインターフェース、サービス機能、要素または類似するものを任意の適した名称で特定してもよい。
さらに、本発明の限定されない例示的実施形態のさまざまな機能のうちのいくつかを、他の機能を対応して使用せずに、使用することができる。従って、前述の説明は、本発明の原理、教示および例示的実施形態を単に例示するものとしてみなされるべきであり、それを限定するものとしてみなされるものではない。
Claims (20)
- ネットワーク・アプリケーション機能が、利用したい所望のセキュリティ機能のリストを決定することであって、前記セキュリティ機能の前記リストは、前記ネットワーク・アプリケーション機能の優先順に並べられている、前記決定することと;
前記リストを、ブートストラッピング・サーバ機能を経由してユーザ・セキュリティ設定のデータベースへ送信することと;
前記ネットワーク・アプリケーション機能が、前記ブートストラッピング・サーバ機能を経由して、セキュリティ鍵を含むセキュリティ機能応答を受信することと;
を含み、ただし前記セキュリティ鍵は、前記データベースに格納された情報から抽出されたものであって、前記リストに含まれる所望のセキュリティ機能に対応しており、前記所望のセキュリティ機能のうち少なくとも1つについてのユーザ機器における利用可能性を前記ネットワーク・アプリケーション機能に示すものである、方法。 - 前記リストは、ホーム加入者サーバを経由して前記ユーザ・セキュリティ設定のデータベースに送信される、請求項1に記載の方法。
- 前記データベースは、前記ネットワーク・アプリケーション機能および前記ブートストラッピング・サーバ機能を含むシステムの外部にある、請求項1または2に記載の方法。
- 前記データベースは、サポートされるセキュリティ機能を格納するためのフィールドを含む、請求項1から3の何れかに記載の方法。
- 前記リストは、1つのエントリ、もしくは2つ以上のエントリを含む、請求項1から4の何れかに記載の方法。
- 前記リストは、セキュリティ機能リクエストメッセージで送信される、請求項1から5の何れかに記載の方法。
- 前記セキュリティ機能リクエストメッセージは、一対のDiameterメッセージ属性値を利用して送信される、請求項6に記載の方法。
- 前記セキュリティ機能リクエストメッセージは、優先順内でセミコロンによって区切られた前記所望のセキュリティ機能を含む、請求項6または7に記載の方法。
- コンピュータ可読命令を含むコンピュータ・プログラムであって、動作を実行するために前記コンピュータ可読命令は少なくとも1つのプロセッサにより実行され、前記動作は:
ネットワーク・アプリケーション機能が、利用したい所望のセキュリティ機能のリストを決定することであって、前記セキュリティ機能の前記リストは、前記ネットワーク・アプリケーション機能の優先順に並べられている、前記決定することと;
前記リストを、ブートストラッピング・サーバ機能を経由してユーザ・セキュリティ設定のデータベースへ送信することと;
前記ネットワーク・アプリケーション機能が、前記ブートストラッピング・サーバ機能を経由して、セキュリティ鍵を含むセキュリティ機能応答を受信することと;
を含み、ただし前記セキュリティ鍵は、前記データベースに格納された情報から抽出されたものであって、前記リストに含まれる所望のセキュリティ機能に対応しており、前記所望のセキュリティ機能のうち少なくとも1つについてのユーザ機器における利用可能性を前記ネットワーク・アプリケーション機能に示すものである、コンピュータ・プログラム。 - 前記セキュリティ機能応答は、前記データベースに格納された前記情報と前記リストとに共通のセキュリティ機能の標示を含み、
さらに前記標示において、前記共通のセキュリティ機能は、前記データベースに格納された前記情報から抽出された通りの順序に並んでいる、請求項9に記載のコンピュータ・プログラム。 - 前記リストは、ホーム加入者サーバを経由して前記ユーザ・セキュリティ設定のデータベースへ送信される、請求項9または10に記載のコンピュータ・プログラム。
- 前記データベースは、前記ネットワーク・アプリケーション機能および前記ブートストラッピング・サーバ機能を含むシステムの外部にある、請求項9から11の何れかに記載のコンピュータ・プログラム。
- 少なくとも1つのプロセッサと、コンピュータ・プログラムを格納する少なくとも1つのメモリとを備える装置であって、前記コンピュータ・プログラムは、前記少なくとも1つのプロセッサに実行されることにより、前記装置に少なくとも:
ネットワーク・アプリケーション機能が、利用したい所望のセキュリティ機能のリストを決定することであって、前記セキュリティ機能の前記リストはネットワーク・アプリケーション機能の優先順に並べられる、前記決定することこと;
前記リストを、ブートストラッピング・サーバ機能を経由してユーザ・セキュリティ設定のデータベースへ送信することと;
前記ネットワーク・アプリケーション機能が、前記ブートストラッピング・サーバ機能を経由して、セキュリティ鍵を含むセキュリティ機能応答を受信することと;
を行わせるように構成され、ただし前記セキュリティ鍵は、前記データベースに格納された情報から抽出されたものであって、前記リストに含まれる所望のセキュリティ機能に対応しており、前記所望のセキュリティ機能のうち少なくとも1つについてのユーザ機器における利用可能性を前記ネットワーク・アプリケーション機能に示すものである、装置。 - 前記リストは、ホーム加入者サーバを経由して前記ユーザ・セキュリティ設定のデータベースへ送信される、請求項13に記載の装置。
- 前記データベースは、前記ネットワーク・アプリケーション機能および前記ブートストラッピング・サーバ機能を含むシステムの外部にある、請求項13または14に記載の装置。
- 前記データベースは、サポートされたセキュリティ機能を格納するためのフィールドを含む、請求項13から15の何れかに記載の装置。
- 前記リストは、1つのエントリ、もしくは2つ以上のエントリを含む、請求項13から16の何れかに記載の装置。
- 前記リストは、セキュリティ機能リクエストメッセージで送信される、請求項13から17の何れかに記載の装置。
- 前記セキュリティ機能リクエストメッセージ、は一対のDiameter・メッセージ属性値を利用して送信される、請求項18に記載の装置。
- 前記セキュリティ機能リクエストメッセージは、優先順内でセミコロンによって区切られた前記所望のセキュリティ機能を含む、請求項18または19に記載の方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US28404509P | 2009-12-11 | 2009-12-11 | |
| US61/284,045 | 2009-12-11 | ||
| PCT/FI2010/050944 WO2011070226A1 (en) | 2009-12-11 | 2010-11-22 | Smart card security feature profile in home subscriber server |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2013513986A JP2013513986A (ja) | 2013-04-22 |
| JP2013513986A5 JP2013513986A5 (ja) | 2013-10-24 |
| JP5466770B2 true JP5466770B2 (ja) | 2014-04-09 |
Family
ID=44144234
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012542588A Active JP5466770B2 (ja) | 2009-12-11 | 2010-11-22 | サーバにおけるスマートカード・セキュリティ機能プロファイル |
Country Status (18)
| Country | Link |
|---|---|
| US (1) | US8607053B2 (ja) |
| EP (1) | EP2510717B1 (ja) |
| JP (1) | JP5466770B2 (ja) |
| KR (1) | KR101377879B1 (ja) |
| CN (2) | CN105959945B (ja) |
| AP (1) | AP3318A (ja) |
| AU (1) | AU2010329814B2 (ja) |
| BR (1) | BR112012014045B1 (ja) |
| CA (1) | CA2783570C (ja) |
| CL (1) | CL2012001557A1 (ja) |
| IL (1) | IL220036A0 (ja) |
| MX (1) | MX2012006589A (ja) |
| MY (1) | MY172854A (ja) |
| RU (1) | RU2537275C2 (ja) |
| SG (1) | SG181456A1 (ja) |
| UA (1) | UA106642C2 (ja) |
| WO (1) | WO2011070226A1 (ja) |
| ZA (1) | ZA201205089B (ja) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20140084100A (ko) | 2011-09-29 | 2014-07-04 | 인터디지탈 패튼 홀딩스, 인크 | 방문 네트워크와 통합된 애플리케이션에의 접근을 가능하게 하는 방법 및 장치 |
| EP3297309B1 (en) * | 2015-04-13 | 2019-06-19 | Samsung Electronics Co., Ltd. | Technique for managing profile in communication system |
| CN106487501B (zh) * | 2015-08-27 | 2020-12-08 | 华为技术有限公司 | 密钥分发和接收方法、密钥管理中心、第一和第二网元 |
| US10506439B2 (en) * | 2016-09-16 | 2019-12-10 | Apple Inc. | Secure control of profile policy rules |
| WO2024103415A1 (en) * | 2022-11-18 | 2024-05-23 | Nokia Technologies Oy | Apparatus, method and computer program |
Family Cites Families (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2150790C1 (ru) | 1994-10-27 | 2000-06-10 | Интернэшнл Бизнес Машинз Корпорейшн | Способ и устройство для защищенной идентификации мобильного пользователя в сети связи |
| FI105637B (fi) * | 1997-07-02 | 2000-09-15 | Sonera Oyj | Menetelmä tilaajaidentiteettimoduulille tallennettujen sovellusten hallintaan |
| AU2001286145A1 (en) * | 2000-07-10 | 2002-01-21 | It Masters Technologies S.A. | System and method of enterprise systems and business impact management |
| WO2003058375A2 (en) * | 2001-10-26 | 2003-07-17 | Zeosoft Corporation | Development, management of distributed clients and servers |
| US6931453B2 (en) * | 2003-01-03 | 2005-08-16 | Nokia Corporation | Method and apparatus for resolving protocol-agnostic schemes in an internet protocol multimedia subsystem |
| US7444675B2 (en) * | 2003-02-28 | 2008-10-28 | Hewlett-Packard Development Company, L.P. | Systems and methods for defining security information for web-services |
| CN1315268C (zh) * | 2003-11-07 | 2007-05-09 | 华为技术有限公司 | 一种验证用户合法性的方法 |
| EP1854263B1 (en) * | 2005-02-04 | 2011-05-25 | Qualcomm Incorporated | Secure bootstrapping for wireless communications |
| FI20050384A0 (fi) * | 2005-04-14 | 2005-04-14 | Nokia Corp | Geneerisen todentamisarkkitehtuurin käyttö Internet-käytäntöavainten jakeluun matkaviestimissä |
| US20060236116A1 (en) * | 2005-04-18 | 2006-10-19 | Lucent Technologies, Inc. | Provisioning root keys |
| MX2007015841A (es) * | 2005-06-13 | 2008-02-22 | Nokia Corp | Aparato, metodo y producto de programa de computadora que proporciona identidades de nodo movil en conjunto con preferencias de autenticacion en arquitectura de arranque generico. |
| CN101228769B (zh) * | 2005-06-13 | 2012-10-03 | 诺基亚公司 | 在通用引导架构(gba)中结合认证偏好来提供移动节点标识的装置、方法和计算机程序产品 |
| FI20050853A0 (fi) * | 2005-08-25 | 2005-08-25 | Nokia Corp | Käyttäjädatan hallinta |
| US20070101122A1 (en) * | 2005-09-23 | 2007-05-03 | Yile Guo | Method and apparatus for securely generating application session keys |
| US8122240B2 (en) * | 2005-10-13 | 2012-02-21 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for establishing a security association |
| WO2007063420A2 (en) * | 2005-12-01 | 2007-06-07 | Nokia Corporation | Authentication in communications networks |
| WO2007085951A1 (en) * | 2006-01-30 | 2007-08-02 | Nokia Corporation | Management of user data |
| CN101022651B (zh) * | 2006-02-13 | 2012-05-02 | 华为技术有限公司 | 一种组合鉴权架构及其实现方法 |
| CN101438256B (zh) * | 2006-03-07 | 2011-12-21 | 索尼株式会社 | 信息处理设备、信息通信系统、信息处理方法 |
| US7870601B2 (en) * | 2006-11-16 | 2011-01-11 | Nokia Corporation | Attachment solution for multi-access environments |
| US7885640B2 (en) * | 2007-01-11 | 2011-02-08 | Nokia Corporation | Authentication in communication networks |
| US8612773B2 (en) * | 2007-05-03 | 2013-12-17 | International Business Machines Corporation | Method and system for software installation |
| CN102857912A (zh) * | 2007-10-05 | 2013-01-02 | 交互数字技术公司 | 由内部密钥中心(ikc)使用的用于安全通信的方法 |
| US8151314B2 (en) * | 2008-06-30 | 2012-04-03 | At&T Intellectual Property I, Lp | System and method for providing mobile traffic information in an internet protocol system |
| BRPI0822932A2 (pt) * | 2008-07-14 | 2015-06-23 | Nokia Siemens Networks Oy | Método e aparelho para uma base de dados de assinante |
| EP2505007A1 (en) * | 2009-11-24 | 2012-10-03 | Telefonaktiebolaget LM Ericsson (publ) | Methods and apparatus for use in a generic bootstrapping architecture |
| US8925039B2 (en) * | 2009-12-14 | 2014-12-30 | At&T Intellectual Property I, L.P. | System and method of selectively applying security measures to data services |
| US9021073B2 (en) * | 2010-08-11 | 2015-04-28 | Verizon Patent And Licensing Inc. | IP pool name lists |
-
2010
- 2010-11-22 MY MYPI2012002408A patent/MY172854A/en unknown
- 2010-11-22 KR KR1020127017853A patent/KR101377879B1/ko active IP Right Grant
- 2010-11-22 MX MX2012006589A patent/MX2012006589A/es active IP Right Grant
- 2010-11-22 CN CN201610286717.6A patent/CN105959945B/zh active Active
- 2010-11-22 UA UAA201208486A patent/UA106642C2/uk unknown
- 2010-11-22 BR BR112012014045-0A patent/BR112012014045B1/pt active IP Right Grant
- 2010-11-22 WO PCT/FI2010/050944 patent/WO2011070226A1/en active Application Filing
- 2010-11-22 SG SG2012040069A patent/SG181456A1/en unknown
- 2010-11-22 CA CA2783570A patent/CA2783570C/en active Active
- 2010-11-22 AU AU2010329814A patent/AU2010329814B2/en active Active
- 2010-11-22 RU RU2012128165/08A patent/RU2537275C2/ru active
- 2010-11-22 CN CN2010800560272A patent/CN102652439A/zh active Pending
- 2010-11-22 JP JP2012542588A patent/JP5466770B2/ja active Active
- 2010-11-22 EP EP10835544.7A patent/EP2510717B1/en active Active
- 2010-11-22 AP AP2012006401A patent/AP3318A/xx active
- 2010-11-24 US US12/954,120 patent/US8607053B2/en active Active
-
2012
- 2012-05-29 IL IL220036A patent/IL220036A0/en active IP Right Grant
- 2012-06-11 CL CL2012001557A patent/CL2012001557A1/es unknown
- 2012-07-09 ZA ZA2012/05089A patent/ZA201205089B/en unknown
Also Published As
| Publication number | Publication date |
|---|---|
| KR20120102764A (ko) | 2012-09-18 |
| CL2012001557A1 (es) | 2012-08-03 |
| CN105959945A (zh) | 2016-09-21 |
| SG181456A1 (en) | 2012-07-30 |
| RU2537275C2 (ru) | 2014-12-27 |
| US20110145583A1 (en) | 2011-06-16 |
| CA2783570C (en) | 2015-12-29 |
| IL220036A0 (en) | 2012-07-31 |
| EP2510717B1 (en) | 2020-03-04 |
| CN105959945B (zh) | 2019-12-17 |
| WO2011070226A1 (en) | 2011-06-16 |
| JP2013513986A (ja) | 2013-04-22 |
| MX2012006589A (es) | 2012-06-19 |
| EP2510717A4 (en) | 2017-06-14 |
| RU2012128165A (ru) | 2014-01-20 |
| AP3318A (en) | 2015-06-30 |
| AU2010329814A1 (en) | 2012-06-21 |
| CN102652439A (zh) | 2012-08-29 |
| EP2510717A1 (en) | 2012-10-17 |
| CA2783570A1 (en) | 2011-06-16 |
| BR112012014045A2 (pt) | 2017-10-10 |
| KR101377879B1 (ko) | 2014-03-25 |
| BR112012014045B1 (pt) | 2022-03-22 |
| US8607053B2 (en) | 2013-12-10 |
| MY172854A (en) | 2019-12-12 |
| AU2010329814B2 (en) | 2015-10-29 |
| ZA201205089B (en) | 2013-12-23 |
| UA106642C2 (uk) | 2014-09-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2572527B1 (en) | Generic bootstrapping architecture usage with web applications and web pages | |
| KR101270323B1 (ko) | 단일 서비스 사인 온을 제공하는 방법, 장치 및 컴퓨터 판독가능 저장 매체 | |
| US8943321B2 (en) | User identity management for permitting interworking of a bootstrapping architecture and a shared identity service | |
| TWI455558B (zh) | 通訊網路之認證 | |
| KR102632519B1 (ko) | 사용자 장치와 애플리케이션 서버 간의 통신을 보안하기 위한 키를 결정하기 위한 방법 | |
| US20130074163A1 (en) | User equipment and control method therefor | |
| JP2018517367A (ja) | サービスプロバイダ証明書管理 | |
| JP2008538471A (ja) | Gaaのための汎用鍵の決定メカニズム | |
| KR20180008411A (ko) | 서비스 등록 절차 내에서 다수의 인증을 수행하는 방법 | |
| JP5466770B2 (ja) | サーバにおけるスマートカード・セキュリティ機能プロファイル | |
| JP2022541760A (ja) | コアネットワークドメインにおける証明書ハンドリングのための技法 | |
| JP2013513986A5 (ja) | ||
| JP2023527193A (ja) | サービス取得方法、装置、通信機器及び可読記憶媒体 | |
| WO2021099675A1 (en) | Mobile network service security management | |
| US20220360586A1 (en) | Apparatus, methods, and computer programs | |
| WO2024179262A1 (zh) | 通信方法和通信装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130725 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130827 |
|
| A524 | Written submission of copy of amendment under article 19 pct |
Free format text: JAPANESE INTERMEDIATE CODE: A524 Effective date: 20130904 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140116 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140124 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5466770 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |