JP6385589B2 - アプリケーション固有ネットワークアクセス資格情報を使用する、ワイヤレスネットワークへのスポンサー付き接続性のための装置および方法 - Google Patents

アプリケーション固有ネットワークアクセス資格情報を使用する、ワイヤレスネットワークへのスポンサー付き接続性のための装置および方法 Download PDF

Info

Publication number
JP6385589B2
JP6385589B2 JP2017548136A JP2017548136A JP6385589B2 JP 6385589 B2 JP6385589 B2 JP 6385589B2 JP 2017548136 A JP2017548136 A JP 2017548136A JP 2017548136 A JP2017548136 A JP 2017548136A JP 6385589 B2 JP6385589 B2 JP 6385589B2
Authority
JP
Japan
Prior art keywords
application service
user device
communication network
application
service provider
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017548136A
Other languages
English (en)
Other versions
JP2018514117A (ja
Inventor
ス・ボム・イ
アナンド・パラニガウンダー
ギャヴィン・バーナード・ホーン
Original Assignee
クアルコム,インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by クアルコム,インコーポレイテッド filed Critical クアルコム,インコーポレイテッド
Publication of JP2018514117A publication Critical patent/JP2018514117A/ja
Application granted granted Critical
Publication of JP6385589B2 publication Critical patent/JP6385589B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/51Discovery or management thereof, e.g. service location protocol [SLP] or web services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/20Services signaling; Auxiliary data signalling, i.e. transmitting data via a non-traffic channel
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/11Allocation or use of connection identifiers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Telephone Function (AREA)

Description

関連出願の相互参照
本出願は、2015年3月17日に米国特許商標庁に出願された仮出願第62/134,206号、および2015年8月18日に米国特許商標庁に出願された非仮出願第14/829,432号に対する優先権および利益を主張するものであり、これらの出願の内容全体は、参照により本明細書に組み込まれる。
本発明は、一般に、ユーザ機器とワイヤレスネットワークとの間でデータ接続を確立することに関する。
一般に、ユーザデバイスによるワイヤレスセルラーシステムへのアクセスは、事前に取り決められた加入者フォーマットに基づく。ワイヤレスセルラーシステムの加入者でないか、またはワイヤレスセルラーシステムとの既存の関係の恩恵を有さないユーザデバイスには、アクセスは通常は与えられない。
しかし、ユーザデバイスがワイヤレスセルラーシステムに加入していないにもかかわらず、アプリケーションサービスプロバイダは、そのサーバおよびサービスに、ユーザデバイスがワイヤレスセルラーシステムを介してアクセスできるよう望むことがある。アプリケーションサービスプロバイダは、ユーザデバイスの代わりにこのアクセスに対してワイヤレスセルラーシステムに補償するのをいとわないことがある。そのような「スポンサー付き接続性(sponsored connectivity)」は、ユーザデバイスが、特定のアプリケーションを求めてアプリケーションサービスプロバイダのサーバに接続するためにワイヤレスセルラーネットワークを制限付きで利用するのを可能にすることができ、アプリケーションサービスプロバイダには、このアクセスに対する料金が課される。
スポンサー付き接続性のための既存の解決法は、アクセスポイント名(APN)ベースの転送(スポンサーによってプロビジョニングされた加入者識別モジュール(SIM)中で構成されたAPNに基づいてベアラがセットアップされる)と、SIM能力が装備された現加入者のみが利用可能な汎用ブートストラッピングアーキテクチャと、アプリケーションベースの転送(トラフィックがインターネットプロトコル(IP)アドレスに基づいてフィルタリングされる)とを含む。
しかし、前述の既存の解決法には、問題がある。たとえば、ユーザデバイスには、オペレータの(たとえばワイヤレスセルラーシステム)資格情報が装備されていないことがある。たとえば、ユーザデバイスは、SIMがないことがあり、またはセルラー加入を有さないことがある。IPアドレスベースのフィルタリングが使用される場合、スポンサー付き接続性は多くの異なるスポンサー(たとえばアプリケーションサービスプロバイダ)に対して容易にスケーリングされないことがあり、無認可/未認証トラフィックがオペレータのコアネットワークの中を流れることがあり、サービスアクセスネットワーク(たとえばゲートウェイ)が過負荷攻撃を被りやすいことがあり、非サービス関連トラフィック(たとえば、攻撃によって引き起こされるトラフィック)に対する料金がアプリケーションサービスプロバイダに課されることがあり、「ファーストマイル(first-mile)」(たとえば、進化型(evolved)ノードB(eNB)および/またはモビリティ管理エンティティ(MME)を介したアクセス)防御(すなわちフィルタリング)が利用可能でないことがある。
したがって、ユーザデバイスが加入を有さないワイヤレスネットワークを介してユーザデバイスがアプリケーションサービスプロバイダにアクセスできるようにするスポンサー付き接続性を確立するための、改善された方法、装置、およびシステムが必要とされている。
ある特徴は、ユーザデバイスにおいて動作する方法を提供する。この方法は、共有鍵をアプリケーションサービスプロバイダから受信して記憶するステップと、アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスをワイヤレス通信ネットワークが提供すると決定するステップと、デバイス識別子とアプリケーションサービスに関連付けられたアプリケーション識別子とを含む登録要求をワイヤレス通信ネットワークに送信するステップであって、登録要求が、パケットデータネットワークを介したデータ接続を使用してアプリケーションサービスプロバイダに送信されるように適合された、ステップと、アプリケーションサービスプロバイダにおいて導出された、共有鍵に部分的に基づく認証情報を、ワイヤレス通信ネットワークから受信するステップと、認証情報および記憶済みの共有鍵に基づいてワイヤレス通信ネットワークとの認証および鍵合意を実施するステップと、認証および鍵合意がうまく実施された後でアプリケーションサービスと通信するステップとを含む。一態様によれば、共有鍵は、ユーザデバイスに一意に関連付けられる。別の態様によれば、共有鍵は、セキュアな接続を介してアプリケーションサービスプロバイダから受信される。
一態様によれば、方法はさらに、認証および鍵合意がうまく実施された後で、ユーザデバイスと、アプリケーションサービスプロバイダによって許可される1組のアプリケーションサービスとの間の通信を可能にするステップを含む。別の態様によれば、方法はさらに、登録要求を送信する前に、デバイス識別子をアプリケーションサービスプロバイダから受信して記憶するステップを含む。さらに別の態様によれば、方法はさらに、登録要求をワイヤレス通信ネットワークに送信する前に、アプリケーション識別子をアプリケーションサービスプロバイダから受信するステップを含む。
一態様によれば、方法はさらに、登録要求をワイヤレス通信ネットワークに送信する前に、アプリケーションサービス告知を介してアプリケーション識別子をワイヤレス通信ネットワークから受信するステップを含む。別の態様によれば、アプリケーション識別子は、完全修飾ドメイン名、ユニフォームリソースロケータ、および/またはユニフォームリソース識別子、のうちの少なくとも1つである。一態様によれば、アプリケーション固有アクセスは、ユーザデバイスに関連するどんな加入者識別モジュールからも独立してユーザデバイスに授与される。
別の特徴は、ワイヤレス通信ネットワークとワイヤレス通信するように適合されたワイヤレス通信インターフェースと、メモリ回路と、メモリ回路とワイヤレス通信インターフェースとに通信可能に結合された処理回路とを備えるユーザデバイスを提供する。処理回路は、共有鍵をアプリケーションサービスプロバイダから受信することと、共有鍵をメモリ回路に記憶することと、アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスをワイヤレス通信ネットワークが提供すると決定することと、デバイス識別子とアプリケーションサービスに関連付けられたアプリケーション識別子とを含む登録要求をワイヤレス通信ネットワークに送信することであって、登録要求が、パケットデータネットワークを介したデータ接続を使用してアプリケーションサービスプロバイダに送信されるように適合されたことと、アプリケーションサービスプロバイダにおいて導出された、共有鍵に部分的に基づく認証情報を、ワイヤレス通信ネットワークから受信することと、認証情報および記憶済みの共有鍵に基づいてワイヤレス通信ネットワークとの認証および鍵合意を実施することと、認証および鍵合意がうまく実施された後でアプリケーションサービスと通信することとを行うように適合される。一態様によれば、処理回路はさらに、登録要求を送信する前に、デバイス識別子をアプリケーションサービスプロバイダから受信することを行うように適合される。別の態様によれば、処理回路はさらに、登録要求をワイヤレス通信ネットワークに送信する前に、アプリケーション識別子をアプリケーションサービスプロバイダから受信することを行うように適合される。
一態様によれば、処理回路はさらに、認証および鍵合意がうまく実施された後で、ユーザデバイスと、アプリケーションサービスプロバイダによって許可される1組のアプリケーションサービスとの間の通信を可能にすることを行うように適合される。別の態様によれば、処理回路はさらに、登録要求をワイヤレス通信ネットワークに送信する前に、アプリケーションサービス告知を介してアプリケーション識別子をワイヤレス通信ネットワークから受信することを行うように適合される。
別の特徴は、共有鍵をアプリケーションサービスプロバイダから受信して記憶するための手段と、アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスをワイヤレス通信ネットワークが提供すると決定するための手段と、デバイス識別子とアプリケーションサービスに関連付けられたアプリケーション識別子とを含む登録要求をワイヤレス通信ネットワークに送信するための手段であって、登録要求が、パケットデータネットワークを介したデータ接続を使用してアプリケーションサービスプロバイダに送信されるように適合された、手段と、アプリケーションサービスプロバイダにおいて導出された、共有鍵に部分的に基づく認証情報を、ワイヤレス通信ネットワークから受信するための手段と、認証情報および記憶済みの共有鍵に基づいてワイヤレス通信ネットワークとの認証および鍵合意を実施するための手段と、認証および鍵合意がうまく実施された後でアプリケーションサービスと通信するための手段とを備えるユーザデバイスを提供する。一態様によれば、ユーザデバイスはさらに、登録要求をワイヤレス通信ネットワークに送信する前に、アプリケーション識別子をアプリケーションサービスプロバイダから受信するための手段を備える。別の態様によれば、ユーザデバイスはさらに、登録要求をワイヤレス通信ネットワークに送信する前に、アプリケーションサービス告知を介してアプリケーション識別子をワイヤレス通信ネットワークから受信するための手段を備える。
別の特徴は、ワイヤレス通信ネットワークに関連するワイヤレス通信ネットワークデバイスにおいて動作する方法を提供する。この方法は、アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスを求める登録要求をユーザデバイスから受信するステップであって、登録要求が、ユーザデバイスを識別するデバイス識別子とアプリケーションサービスを識別するアプリケーション識別子とを含む、ステップと、登録要求とワイヤレス通信ネットワークを識別するサービングネットワーク識別子とを含む認証情報要求を、パケットデータネットワークを介したデータ接続を使用してアプリケーションサービスプロバイダに送信するステップと、認証情報要求を送信するのに応答して認証情報をアプリケーションサービスプロバイダから受信するステップであって、認証情報が、ユーザデバイスに関連付けられた共有鍵に部分的に基づく、ステップと、認証情報に基づいてユーザデバイスとの認証および鍵合意を実施するステップとを含む。一態様によれば、方法はさらに、登録要求をユーザデバイスから受信する前に、アプリケーションサービスに関連するアプリケーションサービス登録情報を受信するステップを含む。別の態様によれば、アプリケーションサービス登録情報は、サービスプロビジョニング機能を介してアプリケーションサービスプロバイダから受信される。
一態様によれば、アプリケーションサービス登録情報は、アプリケーション識別子、および/または、ユーザデバイスとアプリケーションサービスとの間の通信についてワイヤレス通信ネットワークが提供するサービス品質を示すアプリケーションサービスクラス、のうちの少なくとも一方を含む。別の態様によれば、方法はさらに、ワイヤレス通信ネットワークを介してアプリケーションサービスへのアプリケーション固有アクセスが利用可能であることを示す告知を、ブロードキャストすることを含む。さらに別の態様によれば、告知は、アプリケーション識別子を含む。
一態様によれば、認証情報は、鍵アクセスセキュリティ管理エンティティ(K_ASME)と、認証トークン(AUTN)と、乱数(RAND)と、予想される応答(XRES)とを含む認証ベクトルを含み、認証情報に基づいてユーザデバイスとの認証および鍵合意を実施することは、K_ASMEおよびXRESをワイヤレス通信ネットワークデバイスにおいて記憶することと、RANDおよびAUTNをユーザデバイスに送信することと、応答値(RES)をユーザデバイスから受信することと、RESがXRESに等しいことを検証してユーザデバイスを認証することとを含む。別の態様によれば、方法はさらに、認証および鍵合意が成功した後でアプリケーションサービスへのアプリケーション固有アクセスをユーザデバイスに提供するステップを含む。さらに別の態様によれば、方法はさらに、認証および鍵合意が成功した後で、ユーザデバイスと、アプリケーションサービスプロバイダによって許可される1組のアプリケーションサービスとの間の通信を可能にするステップを含む。
別の特徴は、ワイヤレス通信ネットワークに関連するワイヤレス通信ネットワークデバイスを提供する。このワイヤレス通信ネットワークデバイスは、少なくともユーザデバイスとワイヤレス通信するように適合されたワイヤレス通信インターフェースと、ワイヤレス通信インターフェースに通信可能に結合された処理回路とを備える。処理回路は、アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスを求める登録要求をユーザデバイスから受信することであって、登録要求が、ユーザデバイスを識別するデバイス識別子とアプリケーションサービスを識別するアプリケーション識別子とを含む、ことと、登録要求とワイヤレス通信ネットワークを識別するサービングネットワーク識別子とを含む認証情報要求を、パケットデータネットワークを介したデータ接続を使用してアプリケーションサービスプロバイダに送信することと、認証情報要求を送信するのに応答して認証情報をアプリケーションサービスプロバイダから受信することであって、認証情報が、ユーザデバイスに関連付けられた共有鍵に部分的に基づくことと、認証情報に基づいてユーザデバイスとの認証および鍵合意を実施することとを行うように適合される。一態様によれば、処理回路はさらに、登録要求をユーザデバイスから受信する前に、アプリケーションサービスに関連するアプリケーションサービス登録情報を受信することを行うように適合される。別の態様によれば、処理回路はさらに、ワイヤレス通信ネットワークを介してアプリケーションサービスへのアプリケーション固有アクセスが利用可能であることを示す告知を、ブロードキャストすることを行うように適合される。
一態様によれば、認証情報は、鍵アクセスセキュリティ管理エンティティ(K_ASME)と、認証トークン(AUTN)と、乱数(RAND)と、予想される応答(XRES)とを含む認証ベクトルを含み、処理回路が認証情報に基づいてユーザデバイスとの認証および鍵合意を実施することを行うように適合されたことは、処理回路がさらに、K_ASMEおよびXRESをワイヤレス通信ネットワークデバイスにおいて記憶することと、RANDおよびAUTNをユーザデバイスに送信することと、応答値(RES)をユーザデバイスから受信することと、RESがXRESに等しいことを検証してユーザデバイスを認証することとを行うように適合されたことを含む。別の態様によれば、処理回路はさらに、認証および鍵合意が成功した後で、アプリケーションサービスへのアプリケーション固有アクセスをユーザデバイスに提供することを行うように適合される。さらに別の態様によれば、処理回路はさらに、認証および鍵合意が成功した後で、ユーザデバイスと、アプリケーションサービスプロバイダによって許可される1組のアプリケーションサービスとの間の通信を可能にすることを行うように適合される。
別の特徴は、ワイヤレス通信ネットワークに関連するワイヤレス通信ネットワークデバイスを提供する。このワイヤレス通信ネットワークデバイスは、アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスを求める登録要求をユーザデバイスから受信するための手段であって、登録要求が、ユーザデバイスを識別するデバイス識別子とアプリケーションサービスを識別するアプリケーション識別子とを含む、手段と、登録要求とワイヤレス通信ネットワークを識別するサービングネットワーク識別子とを含む認証情報要求を、パケットデータネットワークを介したデータ接続を使用してアプリケーションサービスプロバイダに送信するための手段と、認証情報要求を送信するのに応答して認証情報をアプリケーションサービスプロバイダから受信するための手段であって、認証情報が、ユーザデバイスに関連付けられた共有鍵に部分的に基づく、手段と、認証情報に基づいてユーザデバイスとの認証および鍵合意を実施するための手段とを備える。一態様によれば、ワイヤレス通信ネットワークデバイスはさらに、登録要求をユーザデバイスから受信する前に、アプリケーションサービスに関連するアプリケーションサービス登録情報を受信するための手段を備える。別の態様によれば、ワイヤレス通信ネットワークデバイスはさらに、ワイヤレス通信ネットワークを介してアプリケーションサービスへのアプリケーション固有アクセスが利用可能であることを示す告知を、ブロードキャストするための手段を備える。さらに別の態様によれば、ワイヤレス通信ネットワークデバイスはさらに、認証および鍵合意が成功した後で、ユーザデバイスと、アプリケーションサービスプロバイダによって許可される1組のアプリケーションサービスとの間の通信を可能にするための手段を備える。
1つまたは複数のアプリケーションサービスに対するスポンサー付き接続性(すなわち「アプリケーション固有アクセス」)を特色とする通信システムの、高レベルの概略図である。 アプリケーション固有資格情報を使用してスポンサー付き接続性を提供することに関する高レベルのフローチャートである。 共有鍵をアプリケーション固有資格情報として使用してスポンサー付き接続性を確立するために例示的な通信システム内で実行される様々なプロセス/ステップを示す図である。 共有鍵をアプリケーション固有資格情報として使用してスポンサー付き接続性を確立するために例示的な通信システム内で実行される様々なプロセス/ステップを示す図である。 公開鍵証明書をアプリケーション固有資格情報として使用してスポンサー付き接続性を確立するために例示的な通信システム内で実行される様々なプロセス/ステップを示す図である。 公開鍵証明書をアプリケーション固有資格情報として使用してスポンサー付き接続性を確立するために例示的な通信システム内で実行される様々なプロセス/ステップを示す図である。 共有鍵を使用してスポンサー付き接続性を実行することに関するプロセスフローチャートである。 共有鍵を使用してスポンサー付き接続性を実行することに関するプロセスフローチャートである。 公開鍵証明書を使用してスポンサー付き接続性を実行することに関するプロセスフローチャートである。 公開鍵証明書を使用してスポンサー付き接続性を実行することに関するプロセスフローチャートである。 公開鍵を使用してスポンサー付き接続性を実行することに関するプロセスフローチャートである。 ユーザデバイスの概略ブロック図である。 ユーザデバイスの処理回路の第1の例示的な概略ブロック図である。 ユーザデバイスの処理回路の第2の例示的な概略ブロック図である。 アプリケーション固有アクセスを得るための、ユーザデバイスにおいて動作する第1の例示的な方法のフローチャートである。 アプリケーション固有アクセスを得るための、ユーザデバイスにおいて動作する第2の例示的な方法のフローチャートである。 ワイヤレス通信ネットワークデバイスの概略ブロック図である。 ネットワークデバイスの処理回路の第1の例示的な概略ブロック図である。 ネットワークデバイスの処理回路の第2の例示的な概略ブロック図である。 アプリケーション固有アクセスを提供するための、ネットワークデバイスにおいて動作する第1の例示的な方法のフローチャートである。 アプリケーション固有アクセスを提供するための、ネットワークデバイスにおいて動作する第2の例示的な方法のフローチャートである。
後続の記述では、本開示の様々な態様の完全な理解をもたらすために、具体的な詳細を提供する。しかし、これらの具体的な詳細がなくても態様が実践され得ることは、当業者には理解されるであろう。たとえば、態様を不必要に詳細にして不明瞭にするのを避けるために、回路をブロック図で示すことがある。他の事例では、本開示の態様を不明瞭にしないために、よく知られている回路、構造、および技法については詳細に示さないことがある。
「例示的」という用語は、本明細書では、「例、事例、または例証としての働きをする」ことを意味する。本明細書で「例示的」として記述されるいずれかの実装形態または態様が、必ずしも本開示の他の態様に勝って好適または有利であると解釈されるとは限らない。同様に、「態様」という用語は、本開示のすべての態様が、論じられる特徴、利点、または動作モードを含むことを必要としない。本明細書で使用される場合の「アプリケーションサービス」という用語は、アプリケーションサービスプロバイダによって提供される、かつ/またはアプリケーションサービスプロバイダによってアクセス許可される、アプリケーションおよび/またはサービスを指す。「アプリケーションサービスプロバイダ」という用語は、アプリケーションサービスを提供するエンティティを指す。
図1に、本開示の一態様による、1つまたは複数のアプリケーションサービスに対するスポンサー付き接続性(すなわち「アプリケーション固有アクセス」)を特色とする通信システム100の、高レベルの概略図を示す。このシステムは、ワイヤレス通信ネットワーク104(たとえばワイヤレスセルラーネットワーク)とワイヤレス通信している(103)複数のユーザデバイス102(たとえばユーザ機器(UE))を含む。ワイヤレス通信ネットワーク104は、1つまたは複数の無線アクセスネットワーク106と、コアネットワーク108とを含むことができる。複数のユーザデバイス102は、ワイヤレス通信ネットワーク104および介在する他の任意のパケットデータネットワーク(PDN)110(たとえば、インターネット、インスタントメッセージングサービス(IMS)など)を介して、アプリケーションサービスプロバイダ112にアクセスする(すなわちそれと通信する)ことができる。たとえば、複数のデバイス102は、アプリケーションサービスプロバイダ112によって提供される(たとえばホストされる)、かつ/またはアクセス許可される、1つまたは複数のアプリケーションサービス114へのアクセスを望むことがある。たとえば、アプリケーションサービス114は、アプリケーションサービスプロバイダ112によって提供されるソフトウェアであることがある。別の例として、アプリケーションサービス114は、アプリケーションサービスプロバイダ112によって提供/所有されない他のアプリケーション、データ、ウェブサイト、および/またはサービスにユーザデバイス102がアクセスするのを可能にすることができる。この意味で、アプリケーションサービス114は、ユーザデバイス102が場合によっては一般的なデータ接続にもアクセスするのを可能にすることができる。
一態様によれば、ユーザデバイス102は、次のものに限定されないが、モバイルフォン、スマートフォン、ラップトップ、パーソナルディジタルアシスタント(PDA)、タブレット、コンピュータ、スマートウォッチ、および頭部装着型ウェアラブルコンピュータ(たとえばGoogle Glass(登録商標))などの、ワイヤレス通信デバイスである。一態様によれば、セルラーネットワーク104は、次のものに限定されないが、グローバルシステムフォーモバイルコミュニケーションズ(GSM(登録商標))ネットワーク、ユニバーサルモバイル遠隔通信システム(UMTS)ネットワーク、ロングタームエボリューション(LTE)ネットワーク、および他の任意のワイヤレス通信ネットワークを含めた、任意のワイヤレスネットワークであってよい。一態様によれば、アプリケーションサービス114は、次のものに限定されないが、ウェブサイト、ソフトウェア、プログラム、データベースなど、アプリケーションサービスプロバイダ112によって提供、ホスト、および/またはそうでない場合には管理される任意の電子アプリケーションおよび/またはサービスであってよい。1つまたは複数のサーバまたは他のハードウェアデバイスが、アプリケーションサービス114の動作を容易にするためにアプリケーションサービスプロバイダ112を含むことができる。1つのアプリケーションサービス114のみが示されているが、アプリケーションサービスプロバイダ112は、複数の異なるアプリケーションサービス114(たとえば1組のサービス)を提供することもできる。同様に、1つのアプリケーションサービスプロバイダ112のみが示されているが、複数の異なるアプリケーションサービスプロバイダがあってもよく、各アプリケーションサービスプロバイダは、ワイヤレス通信ネットワーク104を介したアプリケーション固有アクセスを通して利用可能であり得る1つまたは複数のアプリケーションサービスを提供する。
ユーザデバイス102は、ワイヤレス通信ネットワーク104との、加入またはいずれかの既存の関係を有さないことがある。したがって、ユーザデバイス102は普通、データを一般に送受信するためにワイヤレス通信ネットワーク104を使用することができない場合がある。しかし、アプリケーションサービスプロバイダ112とワイヤレス通信ネットワーク104のオペレータとの間に事前交渉済みの取決めおよび合意があれば、ワイヤレス通信ネットワーク104は、ユーザデバイス102がネットワーク104を使用してアプリケーションサービスプロバイダ112および/またはそのアプリケーションサービス114にアクセスするのを可能にすることができ、そのような使用に対する料金があるとしても、そのすべてとは言わないまでも少なくとも一部をアプリケーションサービスプロバイダ112に請求することができる。この意味で、アプリケーションサービスプロバイダ112は、ユーザデバイスによるワイヤレス通信ネットワーク104の使用のスポンサーとなり、したがってユーザデバイス102は、アプリケーションサービスプロバイダ112および/またはアプリケーションサービス114への、スポンサー付き接続性を有する。
図2に、本開示の一態様による、アプリケーション固有資格情報を使用してスポンサー付き接続性を提供することに関する高レベルのフローチャート200を示す。一般に、ワイヤレスネットワークへのスポンサー付き接続性をユーザデバイスに提供するためのプロセスは、セットアップ202(たとえばセットアップ段階)と、認証204(たとえば認証段階)とを含む。
セットアップ202の間、アプリケーション固有資格情報がアプリケーションサービスプロバイダによってユーザデバイスにプロビジョニングされてよい(206)。アプリケーション固有資格情報は、アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへの、ワイヤレス通信ネットワークを介したアプリケーション固有アクセスに対して、ユーザデバイスが認証されるのを可能にする。アプリケーション固有資格情報は、セキュアな方式で供給されてよく、この方式は、次のものに限定されないが、ユーザデバイスの公開鍵(もしあれば)を使用して、かつ/またはセキュアソケットレイヤ(SSL)もしくはトランスポートレイヤセキュリティ(TLS)暗号プロトコルを使用して、資格情報を暗号化することなどである。アプリケーション固有資格情報は、共有鍵(たとえば対称鍵)、ユーザデバイス公開鍵証明書、および/またはこの2つの組合せに基づいてよい。たとえば、一態様では、アプリケーション固有資格情報は、ユーザデバイスに提供されるとともにアプリケーションサービスプロバイダにおいても記憶される、共有鍵であってよい。別の例として、アプリケーション固有資格情報は、アプリケーション固有ディジタル署名を含むアプリケーション固有証明書であってよい。アプリケーション固有資格情報は、ユーザデバイスのセキュアな実行環境または信用される実行環境に記憶されてよい。セキュアな実行環境の非限定的かつ非排他的な一例は、ARM(登録商標)アーキテクチャにおけるTrustZone(登録商標)である。
ステップ202の間にまた、信用されるワイヤレス通信ネットワークに関連付けられた複数の証明書がユーザデバイスにプロビジョニングされてよい(208)。たとえば、複数の証明書は、信用されるモバイルネットワークオペレータ(MNO)の証明書のリストであってよい。アプリケーションサービスプロバイダはサービスプロビジョニングを実施することもでき(210)、これは、ワイヤレス通信ネットワークの一部であり得るサービスプロビジョニング機能(SPF)を用いてアプリケーションサービスを登録することを含む。そしてSPFは、アプリケーション固有資格情報がアプリケーション固有証明書である場合には、アプリケーションサービスプロバイダの公開鍵を1つまたは複数のワイヤレス通信ネットワークデバイス(たとえば、RAN、MMEなど)にプロビジョニングすることができる(210)。一例によれば、アプリケーションサービスプロバイダの公開鍵は、単独でネットワークデバイスに提供されてよい。別の例として、この公開鍵は、証明書の形で、すなわち、自己署名された証明書(すなわちアプリケーションサービスプロバイダによって署名されたアプリケーションサービスプロバイダ公開鍵証明書)またはサードパーティによって署名された証明書のいずれかの形で、提供されてよい。
セットアップ202の後、使用されるアプリケーション固有資格情報が共有鍵である(212)か公開鍵証明書である(214)かに基づいて、認証(204)および鍵合意が実施されてよい。アプリケーション固有資格情報が共有鍵である場合(212)は、アプリケーションサービスプロバイダは、ホーム加入者サービス(HSS:home subscriber service)認証、認可、アカウンティング(AAA:authentication, authorization and accounting)エンティティとしての役割を果たす。共有鍵は、秘密に保たれ、ユーザデバイスとアプリケーションサービスプロバイダとの間の主要通信チャネル(たとえば、図4に示されるデータパス)とは異なる帯域外通信チャネル(たとえばWi-Fi(登録商標))を介して、ユーザデバイスとアプリケーションサービスプロバイダとの間で事前共有されてよい。一態様では、データ接続(たとえば、インターネットを介したデータ通信チャネル)が、ワイヤレス通信ネットワークデバイス(たとえばMME)とアプリケーションサービスプロバイダとの間で確立される。というのは、MMEとアプリケーションサービスプロバイダとは相互間の直接シグナリングチャネル(たとえば制御チャネル)を有さないことがあるからである。最初は、データ接続は、ユーザデバイスを認証する(たとえば、認証および鍵合意をうまく実施する)ために認証情報要求をアプリケーションサービスプロバイダに転送することのみに使用されることが可能である。ユーザデバイスが認証された後でのみ、ユーザデバイスはまた、このデータ接続および/または別のデータ接続を介してデータトラフィックもアプリケーションサービスプロバイダに送信することができる。さらに、アプリケーションサーバに対するアプリケーション固有トラフィック/モビリティ処理(たとえばベアラ事前構成)が構成されてよい。
アプリケーション固有資格情報がアプリケーション固有証明書である場合は、ワイヤレス通信ネットワークは、アプリケーション固有証明書に含まれるアプリケーション固有ディジタル署名を検証することによって、ネットワークを介したスポンサー付き接続性を得ようとするユーザデバイスを認証することができる。ネットワークアクセス認証は、アプリケーションサービスプロバイダに接触する必要なしにワイヤレスネットワーク内で実施される。すなわち、ネットワークアクセス認証は、アプリケーションサービスプロバイダから独立して(すなわち、認証のためにアプリケーションサービスプロバイダに接触する必要なしに)、ワイヤレス通信ネットワークとユーザデバイスとの間で実施されることが可能である。したがって、そのような場合のアプリケーション固有認証およびフィルタリングは、「ファーストマイル」において施行される(たとえば、RANおよび/またはMMEによって施行される)ことが可能である。同様に、ユーザデバイスは、ユーザデバイスにプロビジョニングされた、信用されるワイヤレス通信ネットワークに関連付けられた複数の証明書を使用して、アプリケーションサービスを求めてスポンサー付き接続性を確立しようとしている対象である特定のワイヤレス通信ネットワークを認証することができる。具体的には、ユーザデバイスは、これらの証明書を使用して、ワイヤレス通信ネットワークによってブロードキャストされた告知(たとえばアプリケーションサービス告知)に含まれる1つまたは複数のディジタル署名を検証することができる。
図3および図4に、本開示の一態様による、共有鍵をアプリケーション固有資格情報として使用してスポンサー付き接続性を確立するために例示的な通信システム300内で実行される様々なプロセス/ステップを示す。図3を参照すると、アプリケーションサービスプロバイダ(ASP)112は、最初に、サービスプロビジョニング機能(SPF)302を介してアプリケーションサービス114をワイヤレス通信ネットワーク104に登録することができる(ステップA1またはA2、およびステップB)。いくつかの態様では、SPF302は、ワイヤレス通信ネットワーク104の一部であってよい(たとえば、ネットワーク104の任意のネットワークデバイスにあるソフトウェアであってよい)。アプリケーションサービスをワイヤレス通信ネットワーク104に登録することは、アプリケーションサービス登録情報を提供/プロビジョニングすることを含むことができ、このアプリケーションサービス登録情報は、アプリケーションサービスに一意に関連付けられたアプリケーション識別子、料金請求に関係する情報、SPF302とASP112との間のインターフェースセットアップ情報(たとえば、セキュリティ関連情報、バーチャルプライベートネットワーク情報など)等を含むことがある。アプリケーションサービス登録情報は、次のものに限定されないが、RAN106、MME304、および/またはサービスクエリプロトコル(SQP)サーバ303を含めた、ネットワーク104のネットワークデバイスに提供されてよい。
一態様によれば、ASP112は、SPF302と直接に通信し、アプリケーションサービス登録情報をSPF302に直接に送信することができる(すなわちステップA1)。他の態様では、ASP112は、ワイヤレス通信ネットワーク104および/またはSPF302との直接インターフェースを有さないことがあり、したがって、ASP112は、PDN110および1つまたは複数のパケットデータネットワークゲートウェイ(P-GW)308を介したデータ線接続を使用して、アプリケーションサービス登録情報をSPF302に送信することができる(すなわちステップA2)。SQPサーバ303は、ユーザデバイス102からの照会を処理し、SPF302から受信されたアプリケーションサービス登録情報の少なくとも一部をユーザデバイス102に提供することができる。
ステップCで、ASP112はデバイス登録を実施するが、とりわけ、ASP112は、アプリケーション固有資格情報をユーザデバイス102にプロビジョニングすることができ、このアプリケーション固有資格情報は、この場合、ユーザデバイス102に一意に関連付けられた共有鍵である。ASP112はまた、ユーザデバイス102がスポンサー付き接続性を使用してアクセスしたいと望むアプリケーションサービスを識別するアプリケーション識別子を提供することもできる。ASP112は、ユーザデバイスの公開鍵またはセキュアなチャネル(たとえばTLS)を使用するなどのセキュアな方式で、アプリケーション固有資格情報をユーザデバイス102に提供することができる。アプリケーション固有資格情報は、ユーザデバイス102のセキュアな実行環境に記憶されてよい。一態様によれば、アプリケーションアクセスのためのパスワードまたはアクセストークンがネットワークアクセスに使用される場合には、アプリケーション固有資格情報プロビジョニングはスキップされてもよい。
図4を参照すると、アタッチプロシージャ(ステップD)が、ユーザデバイス102とアプリケーションサービスプロバイダ112との間で実施される。これは、ユーザデバイス102が登録要求(たとえばアタッチ要求)をワイヤレス通信ネットワーク104に送信することからなる。登録要求は、ユーザデバイス102を識別するデバイス識別子と、ユーザデバイス102がスポンサー付き接続性を望むアプリケーションサービス114を識別するアプリケーション識別子とを含むことができる。一例では、アプリケーション識別子は、完全修飾ドメイン名(FQDN)であってよい。次いで、ワイヤレス通信ネットワーク104(たとえばMME304)は、登録要求とサービングネットワーク識別子とを含む認証情報要求を、データパスを介してアプリケーションサービスプロバイダ112に転送することができる(図4中の「データパス」とラベル付けされた破線矢印を参照されたい)。データパスは、セキュアなデータチャネル(たとえば、TLSまたはハイパーテキストトランスファープロトコルセキュア(HTTPS))であってよい。したがって、認証情報要求メッセージは、MME304から、1つまたは複数のサービングゲートウェイ(S-GW)306、1つまたは複数のP-GW308、および1つまたは複数のパケットデータネットワーク110の中を進んで、アプリケーションサービスプロバイダ112に到達する。対照的に、従来技術では、一般的なセルラーネットワークアクセスをユーザデバイスに授与することに関係する認証要求は、データパスを介する代わりに、専用の直接制御パスと、MMEとのインターフェース(たとえばS6aインターフェース)とを介して、MME304からHSS/AAAエンティティ402/404に送られる。次いで、ASP112は、認証情報要求の中で受信したデバイス識別子とアプリケーション識別子とに関連付けられた共有鍵をルックアップし、認証情報をワイヤレス通信ネットワーク104に供給し返して、ユーザデバイス102との認証および鍵合意を容易にすることができる。
図5および図6に、本開示の一態様による、公開鍵証明書をアプリケーション固有資格情報として使用してスポンサー付き接続性を確立するために例示的な通信システム500内で実行される様々なプロセス/ステップを示す。図5を参照すると、ASP112は、最初に、サービスプロビジョニング機能(SPF)502を介してアプリケーションサービス114をワイヤレス通信ネットワーク104に登録することができる(ステップA1またはA2、およびステップB)。いくつかの態様では、SPF502は、ワイヤレス通信ネットワーク104の一部であってよい(たとえば、ネットワーク104の任意のネットワークデバイスにあるソフトウェアであってよい)。アプリケーションサービス114をワイヤレス通信ネットワーク104に登録することは、アプリケーションサービス登録情報を提供/プロビジョニングすることを含むことができ、このアプリケーションサービス登録情報は、アプリケーションサービスに一意に関連付けられたアプリケーション識別子、料金請求に関係する情報、SPF502とASP112との間のインターフェースセットアップ情報(たとえば、セキュリティ関連情報、バーチャルプライベートネットワーク情報など)等を含むことがある。アプリケーションサービス登録情報は、次のものに限定されないが、RAN106、MME304、および/またはサービスクエリプロトコル(SQP)サーバ303を含めた、ネットワーク104のネットワークデバイスに提供されてよい。ASP112はまた、RAN106および/またはMME304など1つまたは複数のネットワークデバイスに、アプリケーションサービスプロバイダ公開鍵をプロビジョニングする(ステップB)。公開鍵は、単独で提供されてもよく、または、証明書(たとえば、自己署名されたアプリケーションサービスプロバイダ公開鍵証明書、もしくはサードパーティによって署名された証明書)の形で提供されてもよい。一態様では、ASP112は、それがホストする各アプリケーションサービス114について、異なるアプリケーションサービスプロバイダ公開鍵(またはアプリケーションサービスプロバイダ公開鍵証明書)をネットワークデバイス106、304に提供する。別の態様では、ASP112は、それがホストする各アプリケーションサービス114について、同じアプリケーションサービスプロバイダ公開鍵(またはアプリケーションサービスプロバイダ公開鍵証明書)をネットワークデバイス106、304に提供することができる。
一態様では、ASP112は、SPF502と直接に通信し、アプリケーションサービスプロバイダ証明書(ASPの公開鍵証明書またはASPの公開鍵)を含むアプリケーションサービス登録情報をSPF502に直接に送信することができる(すなわちステップA1)。他の態様では、ASP112は、ワイヤレス通信ネットワーク104および/またはSPF502との直接インターフェースを有さないことがあり、したがって、ASP112は、PDN110および1つまたは複数のパケットデータネットワークゲートウェイ(P-GW)308を介したデータ線接続を使用して、アプリケーションサービス登録情報およびアプリケーションサービスプロバイダ証明書をSPF502に送信することができる(すなわちステップA2)。SQPサーバ303は、ユーザデバイス102からの照会を処理し、SPF502から受信されたアプリケーションサービス登録情報の少なくとも一部をユーザデバイス102に提供することができる。
ステップCで、ASP112はデバイス登録を実施するが、とりわけ、ASP112は、ユーザデバイス102にアプリケーション固有資格情報をプロビジョニングすることができ、このアプリケーション固有資格情報は、この場合、アプリケーション固有証明書であってよい。アプリケーション固有証明書は、ユーザデバイス識別子とユーザデバイス公開鍵とアプリケーション固有ディジタル署名とを含むシンプル公開鍵インフラストラクチャ(SPKI:simple public key infrastructure)証明書([識別+公開鍵], [認可/署名])であってよい。アプリケーション固有ディジタル署名は、アプリケーションサービスプロバイダの秘密鍵(すなわちアプリケーションサービスプロバイダ秘密鍵)によって署名された、ユーザデバイス102の公開鍵であってよい。いくつかの態様では、アプリケーション固有ディジタル署名は、アプリケーション識別子も含むことができる(すなわち、ASP112は、アプリケーション識別子とユーザデバイス102の公開鍵との両方に署名する)。後者の場合、アプリケーション固有証明書は、アプリケーション識別子も含む。一態様によれば、アプリケーション固有ディジタル署名に署名するためにアプリケーションサービスプロバイダ112によって使用される秘密鍵は、アプリケーションサービスプロバイダ112が提供/ホストする各アプリケーションサービス114に一意に関連付けられたものであってよい。一態様では、ASP112は、アプリケーション固有証明書の全体をユーザデバイス102にプロビジョニングするのではなく、単にアプリケーション固有ディジタル署名をユーザデバイス102にプロビジョニングし、ユーザデバイスは、後で、そのユーザデバイス識別子、ユーザデバイス公開鍵、および場合によってはアプリケーション識別子を付加して、完全なアプリケーション固有証明書を形成することができる。
アプリケーションサービスプロバイダ112は、ユーザデバイスの公開鍵またはセキュアなチャネル(たとえばTLS)を使用するなどのセキュアな方式で、アプリケーション固有証明書をユーザデバイス102に提供することができる。アプリケーション固有証明書は、ユーザデバイス102のセキュアな実行環境または信用される実行環境に記憶されてよい。一態様によれば、アプリケーションアクセスのためのパスワードまたはアクセストークンがネットワークアクセスに使用される場合には、アプリケーション固有資格情報プロビジョニングはスキップされてもよい。
図6を参照すると、アタッチプロシージャ(ステップD)が、ユーザデバイス102とアプリケーションサービスプロバイダ112との間で実施される。これは、ユーザデバイス102が登録要求(たとえばアタッチ要求)をワイヤレス通信ネットワーク104に送信することからなる。登録要求は、アプリケーション固有証明書を含む。MME304は、証明書に含まれるアプリケーション固有ディジタル署名を検証して、ユーザデバイス102の識別を検証する。同様に、MME304は、ワイヤレス通信ネットワークディジタル署名を含むアプリケーションサービス告知をユーザデバイス102にブロードキャストすることができる。ユーザデバイス102は、アプリケーションサービスプロバイダ112によってユーザデバイス102にプロビジョニングされたワイヤレス通信ネットワーク104の公開鍵を使用して、ワイヤレス通信ネットワークディジタル署名を検証することができる。次いで、MME304とユーザデバイス102とは、アプリケーションサービスプロバイダ112から独立して(すなわち、ユーザデバイスの認証のためにアプリケーションサービスプロバイダ112に接触する必要なしに)、相互との認証および鍵合意を実施することができる。したがって、認証および鍵合意は、「ファーストマイル」において(すなわちMME304において)実施され、さらにコアネットワーク108中には進まない。
いくつかの態様では、アプリケーション固有資格情報は、共有鍵とアプリケーション固有証明書との組合せを含むことができる。たとえば、アプリケーション固有証明書は、ユーザデバイス102の最初の識別検証に使用されてよく、共有鍵は、認証および鍵合意に使用されてよい。
図7Aおよび図7Bに、本開示の一態様による、共有鍵を使用してスポンサー付き接続性を実行することに関するプロセスフローチャート700を示す。ユーザがユーザデバイス102をアプリケーションサービスプロバイダ112(たとえばアプリケーションサーバ)に登録するとき、共有鍵がアプリケーションサービスプロバイダ112によってユーザデバイス102にプロビジョニングされる(702)。いくつかの態様では、ユーザデバイス102にはまた、アプリケーションサービスプロバイダによって、デバイス識別子(たとえばユーザ識別子)、および/または、アプリケーションサービスに関連付けられたアプリケーション識別子(たとえば完全修飾ドメイン名)がプロビジョニングされてもよい。他の態様では、ユーザデバイス102は、ユーザ識別子をすでに保有している(たとえば製造時に)ことがあり、ユーザデバイス102は、デバイス登録中にこのデバイス識別子をASP112に提供し、したがって、ASP112は、デバイス識別子を共有鍵に関連付けることができる。デバイス識別子は、国際移動局機器識別子(IMEI:international mobile station equipment identifier)、電気電子技術者協会(IEEE)拡張一意識別子(EUI:Extended Unique Identifier)アドレス(たとえば、EUI-48またはEUI-64)(すなわち媒体アクセス制御(MAC)アドレス)、移動局国際加入者ディレクトリ番号(MSISDN:mobile station international subscriber directory number)、ネットワークアクセス識別子(NAI:network access identifier)などであってよい。共有鍵は、秘密に保たれ、帯域外通信チャネル(たとえばWi-Fi(登録商標))を介してユーザデバイス102とアプリケーションサービスプロバイダ112との間で事前共有されてよい。アプリケーションサービスプロバイダ112はまた、共有鍵を、ユーザデバイス102に関連付けられた(たとえば、ユーザデバイス102のデバイス識別子に関連付けられた)状態で記憶する(704)。アプリケーションサービスプロバイダ112はまた、アプリケーションサービスをモバイルネットワークオペレータ
の(MNOの)ワイヤレスネットワーク104に登録することもでき、したがって、次いでネットワーク104は、アプリケーションサービスへのスポンサー付き接続性の利用可能性に関するアプリケーションサービス告知をブロードキャスト/送信するのを開始することができる。
サービス発見プロシージャが、ユーザデバイス102とワイヤレスネットワーク104のRAN106(たとえばeNB)との間で実施され(706)、これにより、ユーザデバイス102は、ユーザデバイス102が関心を有するであろうアプリケーションサービスをワイヤレスネットワーク104が提供するかどうかを検出することができる。サービス発見は、サービスクエリプロトコル(SQP)を介したサービスプロビジョニング機能によって可能にされてよく、SQPは、ジェネリックアドバタイズメントサービス(GAS:generic advertisement service)およびアクティブネットワーククエリプロトコル(ANQP:active network query protocol)と同様の機能性を有する。ユーザデバイス102が欲するアプリケーションサービスへのスポンサー付き接続性をワイヤレスネットワーク104が提供するとユーザデバイス102が決定すると、ユーザデバイス102は、そのデバイス識別子とアプリケーション識別子(たとえばFQDN)とを含む登録要求(たとえばアタッチ要求)メッセージをRAN106に送る(708)。RAN106は、登録要求メッセージをMME304に転送する(710)。次いで、MME304は、サービングネットワーク識別子(たとえば、サービングネットワークを識別する識別子)を登録要求メッセージに追加して(712)、認証情報要求を形成する。次いで、MME304は、セキュアであり得るデータパス(たとえば、データチャネル、データトラフィック通信線、データ接続など。図4の「データパス」参照)(たとえば、TLSまたはハイパーテキストトランスファープロトコルセキュア(HTTPS))を介して、認証情報要求メッセージをアプリケーションサービスプロバイダ112に送る(714)。したがって、認証情報要求メッセージは、1つまたは複数のS-GW306、1つまたは複数のP-GW308、および1つまたは複数のパケットデータネットワーク110の中を通った後、アプリケーションサービスプロバイダ112に到達する。対照的に、従来技術では、セルラーネットワークアクセスをユーザデバイスに授与することに関係する認証要求は、データ接続を介する代わりに、MMEとの専用の直接制御チャネルインターフェース(たとえばS6aインターフェース)を介して、MME304からHSS/AAAエンティティに送られる。
アプリケーションサービスプロバイダ112は、ユーザデバイス102に関連付けられた共有鍵から認証ベクトル(AV)を導出し(716)、AVをMME304に送る(718)。AVの導出は3GPP 33.401に記載されており、AV = [K_ASME, AUTN, RAND, XRES]であり、K_ASMEは鍵(たとえばアクセスセキュリティ管理エンティティ(ASME))であり、AUTNは認証トークンであり、RANDは乱数であり、XRESは予想される応答である。MME304は、値K_ASMEおよびXRESをローカルメモリに記憶し(720)、RANDおよびAUTNをユーザデバイス102に転送する(722)。ユーザデバイス102は、その記憶済みの共有鍵を使用して、受信された値AUTNを妥当性検査する。値AUTNが有効である場合は、ユーザデバイス102は、サービングネットワーク104に対する認証応答(RES)を導出し(724)、また、K_ASMEも導出する。ユーザデバイス102は、値RESをMME304に送る(726)。MME304は、XRES==RESかどうかを検証する(728)。検証が成功した場合は、非アクセス層(NAS)およびアクセス層(AS)鍵セットアップが、ユーザデバイス102とMME304との間で実行される(730)。
図8Aおよび図8Bに、本開示の一態様による、公開鍵証明書を使用してスポンサー付き接続性を実行することに関するプロセスフローチャート800を示す。ユーザデバイス102がアプリケーションサービスプロバイダ112に登録するとき、アプリケーションサービスプロバイダ112は、アプリケーション固有証明書をユーザデバイス102にプロビジョニングする(802)。ASP112はまた、デバイス識別子、ならびに/または、信用されるワイヤレス通信ネットワーク(たとえばMNO)の複数の公開鍵証明書を含む信用されるMNOおよび証明書リスト、をユーザデバイス102にプロビジョニングすることもできる。一態様では、ユーザデバイス102は、デバイス登録中にASP112に提供するそれ自体のデバイス識別子を有し、したがって、ASPは、提供されたアプリケーション固有証明書に関連付けられた状態でデバイス識別子を記憶する。デバイス識別子は、IMEI、IEEE EUI-48/EUI-64アドレス(すなわちMACアドレス)、MSISDN、またはNAIであってよい。別法として、デバイス識別子は、その公開鍵のハッシュであってもよい。
アプリケーションサービスプロバイダ112はまた、アプリケーションサービス登録情報を、ワイヤレス通信ネットワーク104のコンポーネント/デバイスに送信する(たとえばSPF502を介して。図5参照)。アプリケーションサービス登録情報は、アプリケーションサービスに一意に関連付けられたアプリケーション識別子、料金請求に関係する情報、SPFとASP112との間のインターフェースセットアップ情報(たとえば、セキュリティ関連情報、バーチャルプライベートネットワーク情報など)等を含むことがある。ASP112はまた、RAN106および/またはMME304など1つまたは複数のネットワークデバイスに、アプリケーションサービスプロバイダ証明書(たとえば、ASPの公開鍵証明書)をプロビジョニングする(804)。ASP証明書は、自己署名された(すなわちASPによって署名された)ものであるか、または、信用されるサードパーティエンティティによって署名されたものであってよい。いくつかの態様では、ASPは、1つまたは複数のネットワークデバイスに、単に公開鍵(すなわち公開鍵証明書ではない)をプロビジョニングするだけであってもよい。
RAN106によるアプリケーションサービス告知806の一部として、GAS/ANQPと同様のプロトコルが、サービス発見に使用されてよい。アプリケーションサービス告知は、ワイヤレス通信ネットワークディジタル署名を含むことができる。サービス告知がそのようなディジタル署名を含む場合、ユーザデバイス102は、信用されるMNOの証明書リスト中でアプリケーションサービスプロバイダ112によってユーザデバイス102にプロビジョニングされたワイヤレス通信ネットワーク公開鍵を使用して、ディジタル署名を検証することができる(808)。次いで、ユーザデバイス102は、アプリケーション固有証明書を含む登録要求をMME304に送ることができる(810)。登録要求はまた、デバイス識別子および第1の乱数(たとえばNonceU)を含むこともできる。次いで、MME304は、前にプロビジョニングされたアプリケーションサービスプロバイダ証明書を使用して(すなわちASP証明書の公開鍵を使用して)、アプリケーション固有証明書に含まれるアプリケーション固有ディジタル署名を検証することができる(811)。これは、ユーザデバイス102の識別を検証/認証する(811)。
検証811が成功すると、次いでMME304は、鍵(K_ASME)をランダムに生成し(812)、ユーザデバイス102の公開鍵PK_UDを使用してK_ASMEを暗号化する(814)(すなわちEncPK_UD(K_ASME)。ここで、Enc()は暗号化関数である)。次いで、MME304は、第2の乱数(たとえばNonceM)をランダムに生成し、XRES = HMAC(K_ASME, NonceU | NonceM)を計算する(816)(ここで、HMAC()は、鍵付きハッシュメッセージ認証コードである)。次いで、MME304は、EncPK_UD(K_ASME)、NonceM、PK_MMEに対して署名を実行する(818)(ここで、PK_MMEは、MME304の公開鍵である)。MME304は、EncPK_UE(K_ASME)、NonceM、PK_MME、および署名をユーザデバイス102に送る(820)。ユーザデバイス102は、署名を検証し、その秘密鍵を使用してK_ASMEを復号し、RES = HMAC(K_ASME, NonceU | NonceM)を計算する(822)。ユーザデバイス102は、値RESをMME304に送る(824)。MME304は、値RESを値XRESと比較し(826)、これらが一致する(すなわちMME304がユーザデバイスをうまく認証した)場合は、NASおよびアプリケーションサービス(AS)鍵セットアップが、ユーザデバイス102とMME304との間で実行される(828)。
一態様によれば、アプリケーションサービスプロバイダ112は、証明書取消しリストをワイヤレス通信ネットワーク104に提供することができ、次いでワイヤレス通信ネットワーク104は、取消しリストを証明書サービス機能(CSF)801において記憶することができる。取消しリストは、取り消されたか、またはそうでない場合には無効な、アプリケーション固有証明書を識別する。MME304は、CSF801を用いてチェックして、アプリケーション固有アクセスを得ようとするユーザデバイスが取消しリスト上のアプリケーション固有証明書を提供したか否かを決定することができる。そうである場合は、MME304は、ユーザデバイス102の認証を拒否する(すなわちアプリケーション固有アクセスを拒否する)ことができる。一態様によれば、CSF801は、アプリケーション固有証明書がその失効前に取り消されるかどうかにかかわらず、アプリケーション固有証明書をその存続期間にわたって(すなわちその失効日まで)記憶する。たとえば、アプリケーション固有証明書が1年の存続期間を有する(すなわち1年で失効する)ことがあるが、ほんの1か月後に取り消されることがある。それでも、CSF801は、その存続期間中に残っている11か月にわたって証明書を記憶することができる。別の態様では、CSF801は、オンライン証明書ステータスプロトコル(OCSP:online certificate status protocol)レスポンダを実行して、証明書取消しステータスをMME304に提供することができる。
図9に、本開示の一態様による、公開鍵を使用してスポンサー付き接続性を実行することに関するプロセスフローチャート900を示す。ユーザデバイス102がアプリケーションサービスプロバイダ112に登録するとき、アプリケーションサービスプロバイダ112は、デバイス識別子と、信用されるワイヤレス通信ネットワーク(たとえばMNO)の複数の公開鍵証明書を含む信用されるMNOおよび証明書リストとを、ユーザデバイス102にプロビジョニングすることができる(902)。デバイス識別子は、IMEI、IEEE EUI-48/EUI-64アドレス(すなわちMACアドレス)、MSISDN、もしくはNAI、またはその公開鍵のハッシュであってよい。ユーザデバイス102はまた、その公開鍵をASP112に提供し、ASP112はこの公開鍵を記憶することができる。
アプリケーションサービスプロバイダ112はまた、アプリケーションサービス登録情報を、ワイヤレス通信ネットワーク104のコンポーネント/デバイスに送信する。アプリケーションサービス登録情報は、アプリケーションサービスに一意に関連付けられたアプリケーション識別子、料金請求に関係する情報、SPFとASP112との間のインターフェースセットアップ情報(たとえば、セキュリティ関連情報、バーチャルプライベートネットワーク情報など)等を含むことがある。ASP112はまた、アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスに対して承認されたユーザデバイス公開鍵のリストを、RAN106および/またはMME304など1つまたは複数のネットワークデバイスにプロビジョニングする(904)。
RAN106によるアプリケーションサービス告知906の一部として、GAS/ANQPと同様のプロトコルが、サービス発見に使用されてよい。アプリケーションサービス告知は、ワイヤレス通信ネットワークディジタル署名を含むことができる。サービス告知がそのようなディジタル署名を含む場合、ユーザデバイス102は、信用されるMNOの証明書リスト中でアプリケーションサービスプロバイダ112によってユーザデバイス102にプロビジョニングされたワイヤレス通信ネットワーク公開鍵を使用して、署名を検証することができる(908)。次いで、ユーザデバイス102は、ユーザデバイス公開鍵を含む登録要求をMME304に送ることができる(910)。登録要求はまた、デバイス識別子および第1の乱数(たとえばNonceU)を含むこともできる。次いで、MME304は、ユーザデバイスによって提供された公開鍵が、前にアプリケーションサービスプロバイダ112によって提供された承認済み公開鍵のリスト上の公開鍵と一致するかどうかをチェックして確認することによって、ユーザデバイスの識別をチェックして検証することができる(912)。一致する場合は、ユーザデバイス102の識別は立証される。一致しない場合は、認証は失敗し、ユーザデバイス102はアプリケーション固有アクセスを得られないものとすることができる。検証912の後、プロセス900は、図8Aおよび図8Bに示されるのと同じ認可および鍵合意プロセス(ステップ812〜828)を辿ることができる。
一態様によれば、ユーザデバイスはSIMもUSIMも有さないことがあるので、アプリケーション固有資格情報は、加入者識別モジュール(SIM)資格情報にもユニバーサル加入者識別モジュール(USIM)資格情報にも基づかないことがある。アプリケーション固有資格情報は、ワイヤレスネットワーク104を介した、アプリケーションサービスプロバイダ112の特定のアプリケーションサービス114への、または1組のアプリケーションサービスへのアクセスを許可するだけとすることができる。アプリケーション固有資格情報が共有鍵を含むときに、どのようにアプリケーション固有資格情報をセキュアな方式でプロビジョニングできるかに関する、いくつかの非限定的かつ非網羅的な例は、動的対称鍵プロビジョニングプロトコル(DSKPP:dynamic symmetric key provisioning protocol(RFC6063))および/または暗号トークン鍵初期化プロトコル(CT-KIP:cryptographic token key initialization protocol(RFC4758))を含む。アプリケーション固有資格情報が公開鍵証明書を含むときは、暗号メッセージ構文(CMS:cryptographic message syntax(RFC5272、6402))プロトコルを介した証明書管理を使用して、アプリケーション固有資格情報をセキュアにプロビジョニングすることができる。
図10に、本開示の一態様による、ユーザデバイス102の概略ブロック図を示す。ユーザデバイス102は、次のものに限定されないが、モバイルフォン、スマートフォン、ラップトップ、パーソナルディジタルアシスタント(PDA)、タブレット、コンピュータ、スマートウォッチ、および頭部装着型ウェアラブルコンピュータ(たとえばGoogle Glass(登録商標))など、任意のワイヤレス通信デバイスであってよい。ユーザデバイス102は、1つまたは複数のワイヤレス通信インターフェース1002、1つまたは複数のメモリ回路1004、1つまたは複数の入力および/もしくは出力(I/O)デバイス/回路1006、ならびに/あるいは、1つまたは複数の処理回路1008を少なくとも備えることができ、これらは相互に通信可能に結合されてよい。たとえば、インターフェース1002、メモリ回路1004、I/Oデバイス1006、および処理回路1008は、バス1010を介して相互に通信可能に結合されてよい。ワイヤレス通信インターフェース1002は、ユーザデバイス102がワイヤレス通信ネットワーク104とワイヤレス通信するのを可能にする。したがって、インターフェース1002は、ユーザデバイス102が、モバイル遠隔通信セルラーネットワークなどのワイヤレスワイドエリアネットワーク(WWAN)、ならびに短距離ワイヤレスローカルエリアネットワーク(たとえば、WiFi(登録商標)、Zigbee(登録商標)、Bluetooth(登録商標)など)とワイヤレス通信するのを可能にする。ワイヤレス通信インターフェース1002は、認証および鍵合意がうまく実施された後でユーザデバイスがアプリケーションサービスと通信するための手段の一例を表す。
メモリ回路1004は、1つまたは複数の揮発性メモリ回路および/または不揮発性メモリ回路を含むことができる。したがって、メモリ回路1004は、ダイナミックランダムアクセスメモリ(DRAM)、スタティックランダムアクセスメモリ(SRAM)、磁気抵抗ランダムアクセスメモリ(MRAM)、電気的に消去可能プログラム可能な読取り専用メモリ(EEPROM)、フラッシュメモリなどを含むことができる。メモリ回路1004は、共有鍵および公開鍵証明書(たとえば、アプリケーション固有証明書、ワイヤレス通信ネットワーク公開鍵証明書、信用されるMNO証明書など)等、1つまたは複数の暗号鍵を記憶することができる。メモリ回路1004はまた、処理回路1008によって実行され得る命令を記憶することもできる。I/Oデバイス/回路1006は、1つまたは複数のキーボード、マウス、ディスプレイ、タッチスクリーンディスプレイ、プリンタ、指紋スキャナ、ならびに他の任意の入力および/または出力デバイスを含むことができる。
処理回路1008(たとえば、プロセッサ、中央処理装置(CPU)、アプリケーション処理ユニット(APU)など)は、メモリ回路1006に記憶された命令、および/または、ユーザデバイス102に通信可能に結合された別のコンピュータ可読記憶媒体(たとえば、ハードディスクドライブ、光学ディスクドライブ、固体ドライブなど)に記憶された命令を実行することができる。処理回路1008は、図2、図3、図4、図5、図6、図7A、図7B、図8A、図8B、図9、図13、および図14に関して論じられるものを含めて、本明細書に記載のユーザデバイス102のステップおよび/またはプロセスのうちの任意の1つを実施することができる。一態様によれば、処理回路1008は、汎用プロセッサであってよい。別の態様によれば、処理回路は、図2、図3、図4、図5、図6、図7A、図7B、図8A、図8B、図9、図13、および図14に関して論じられるものを含めて、本明細書に記載のユーザデバイス102のステップおよび/またはプロセスを実施するように、ハードワイヤードされてよい(たとえば特定用途向け集積回路(ASIC)であってよい)。
図11に、一態様による、ユーザデバイス処理回路1008の概略ブロック図を示す。処理回路1008は、共有鍵受信回路1102、スポンサー付き接続性決定回路1104、登録要求送信回路1106、認証情報受信回路1108、ならびに/または、認可および鍵合意(AKA)実施回路1110を備えることができる。一態様によれば、これらの回路1102、1104、1106、1108、1110は、ASICであってよく、それぞれのプロセスを実施するようにハードワイヤードされる。共有鍵受信回路1102は、共有鍵をアプリケーションサービスプロバイダから受信して記憶するための手段の一例とすることができる。スポンサー付き接続性決定回路1104は、アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスをワイヤレス通信ネットワークが提供すると決定するための手段の一例とすることができる。登録要求送信回路1106は、デバイス識別子と、アプリケーションサービスに関連付けられたアプリケーション識別子とを含む登録要求を、ワイヤレス通信ネットワークに送信するための手段の一例とすることができる。認証情報受信回路1108は、アプリケーションサービスプロバイダにおいて導出された、共有鍵に部分的に基づく認証情報を、ワイヤレス通信ネットワークから受信するための手段の一例とすることができる。AKA実施回路1110は、認証情報および記憶済みの共有鍵に基づいて、ワイヤレス通信ネットワークとの認証および鍵合意を実施するための手段の一例とすることができる。
図12に、別の態様による、ユーザデバイス処理回路1008の概略ブロック図を示す。処理回路1008は、証明書受信回路1202、スポンサー付き接続性決定回路1204、登録要求送信回路1206、ならびに/または、認可および鍵合意(AKA)実施回路1208を備えることができる。一態様によれば、これらの回路1202、1204、1206、1208は、ASICであってよく、それぞれのプロセスを実施するようにハードワイヤードされる。証明書受信回路1202は、アプリケーションサービスプロバイダによって提供される少なくとも1つのアプリケーションサービスに関連付けられたアプリケーション固有証明書を、アプリケーションサービスプロバイダから受信するための手段の一例とすることができる。スポンサー付き接続性決定回路1204は、アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスをワイヤレス通信ネットワークが提供すると決定するための手段の一例とすることができる。登録要求送信回路1206は、ユーザデバイスの認証のために、アプリケーション固有証明書を含む登録要求をワイヤレス通信ネットワークに送信するための手段の一例とすることができ、アプリケーション固有証明書は、アプリケーションサービスに関連付けられた公開鍵を含む。AKA実施回路1208は、ワイヤレス通信ネットワークとの認証および鍵合意を実施するための手段の一例とすることができる。
図13に、本開示の一態様による、アプリケーション固有アクセスを得るための、ユーザデバイス102において動作する方法のフローチャート1300を示す。最初に、ユーザデバイス102は、共有鍵をアプリケーションサービスプロバイダから受信して記憶する(1302)。次いで、ユーザデバイス102は、アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスをワイヤレス通信ネットワークが提供すると決定する(1304)。次に、デバイス識別子と、アプリケーションサービスに関連付けられたアプリケーション識別子とを含む登録要求が、ワイヤレス通信ネットワークに送信される。登録要求は、パケットデータネットワークを介したデータ接続を使用してアプリケーションサービスプロバイダに送信されるように適合されている(1306)。次いで、ユーザデバイス102は、アプリケーションサービスプロバイダにおいて導出された、共有鍵に部分的に基づく認証情報を、ワイヤレス通信ネットワークから受信する(1308)。次に、認証情報および記憶済みの共有鍵に基づいて、ワイヤレス通信ネットワークとの認証および鍵合意が実施される(1310)。次いで、ユーザデバイスは、認証および鍵合意がうまく実施された後、アプリケーションサービスと通信することができる(1312)。
図14に、本開示の一態様による、アプリケーション固有アクセスを得るための、ユーザデバイス102において動作する方法のフローチャート1400を示す。最初に、ユーザデバイス102は、アプリケーションサービスプロバイダによって提供されるアプリケーションサービスに関連付けられたアプリケーション固有証明書を、アプリケーションサービスプロバイダから受信する(1402)。次いで、ユーザデバイス102は、アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスをワイヤレス通信ネットワークが提供すると決定する(1404)。次に、ユーザデバイスの認証のために、アプリケーション固有証明書を含む登録要求がワイヤレス通信ネットワークに送信される。アプリケーション固有証明書は、アプリケーションサービスに関連付けられた公開鍵(たとえば、ユーザデバイス公開鍵であり得る)を含む(1406)。次いで、ユーザデバイス102は、ワイヤレス通信ネットワークとの認証および鍵合意を実施する(1408)。次に、ユーザデバイスは、認証および鍵合意がうまく実施された後、アプリケーションサービスと通信することができる(1410)。
図15に、本開示の一態様による、ワイヤレス通信ネットワークデバイス1500の概略ブロック図を示す。ネットワークデバイス1500は、次のものに限定されないがRAN106および/またはMME304を含めた、ワイヤレス通信ネットワーク104(図1、図3、および図5参照)のコンポーネント/デバイスのうちの任意の1つであってよい。ネットワークデバイス1500は、1つまたは複数のワイヤレス通信インターフェース1502、1つまたは複数のメモリ回路1504、1つまたは複数の入力および/もしくは出力(I/O)デバイス/回路1506、ならびに/あるいは、1つまたは複数の処理回路1508を少なくとも備えることができ、これらは相互に通信可能に結合されてよい。たとえば、インターフェース1502、メモリ回路1504、I/Oデバイス1506、および処理回路1508は、バス1510を介して相互に通信可能に結合されてよい。ワイヤレス通信インターフェース1502は、ネットワークデバイス1500がユーザデバイス102とワイヤレス通信するのを可能にする。したがって、インターフェース1502は、ネットワークデバイス1500が、モバイル遠隔通信セルラーネットワークなどのワイヤレスワイドエリアネットワーク(WWAN)、および/または短距離ワイヤレスローカルエリアネットワーク(たとえば、WiFi(登録商標)、Zigbee(登録商標)、Bluetooth(登録商標)など)を介してワイヤレス通信するのを可能にする。
メモリ回路1504は、1つまたは複数の揮発性メモリ回路および/または不揮発性メモリ回路を含むことができる。したがって、メモリ回路1504は、DRAM、SRAM、MRAM、EEPROM、フラッシュメモリなどを含むことができる。メモリ回路1504は、公開鍵証明書(たとえばアプリケーションサービスプロバイダ証明書)など、1つまたは複数の暗号鍵を記憶することができる。メモリ回路1504はまた、処理回路1508によって実行され得る命令を記憶することもできる。I/Oデバイス/回路1506は、1つまたは複数のキーボード、マウス、ディスプレイ、タッチスクリーンディスプレイ、プリンタ、指紋スキャナ、ならびに他の任意の入力および/または出力デバイスを含むことができる。
処理回路1508(たとえば、プロセッサ、中央処理装置(CPU)、アプリケーション処理ユニット(APU)など)は、メモリ回路1504に記憶された命令、および/または、ネットワークデバイス1500に通信可能に結合された別のコンピュータ可読記憶媒体(たとえば、ハードディスクドライブ、光学ディスクドライブ、固体ドライブなど)に記憶された命令を実行することができる。処理回路1508は、図2、図3、図4、図5、図6、図7A、図7B、図8A、図8B、図9、図18、および図19に関して論じられるものを含めて、本明細書に記載のネットワークデバイス106、304、306、308のステップおよび/またはプロセスのうちの任意の1つを実施することができる。一態様によれば、処理回路1508は、汎用プロセッサであってよい。別の態様によれば、処理回路1508は、図2、図3、図4、図5、図6、図7A、図7B、図8A、図8B、図9、図18、および図19に関して論じられるものを含めて、本明細書に記載のネットワークデバイス106、304、306、308のステップおよび/またはプロセスを実施するように、ハードワイヤードされてよい(たとえば特定用途向け集積回路(ASIC)であってよい)。
図16に、一態様による、ネットワークデバイス処理回路1508の概略ブロック図を示す。処理回路1508は、登録要求受信回路1602、認証情報送信回路1604、認証情報受信回路1606、および/または、認可および鍵合意(AKA)実施回路1608を備えることができる。一態様によれば、これらの回路1602、1604、1606、1608は、ASICであってよく、それぞれのプロセスを実施するようにハードワイヤードされる。登録要求受信回路1602は、アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスを求める登録要求を、ユーザデバイスから受信するための手段の一例とすることができる。認証情報送信回路1604は、登録要求と、ワイヤレス通信ネットワークを識別するサービングネットワーク識別子とを含む認証情報要求を、パケットデータネットワークを介したデータ接続を使用してアプリケーションサービスプロバイダに送信するための手段の一例とすることができる。認証情報受信回路1606は、認証情報要求を送信するのに応答して認証情報をアプリケーションサービスプロバイダから受信するための手段の一例とすることができる。AKA実施回路1608は、認証情報に基づいてユーザデバイスとの認証および鍵合意を実施するための手段の一例とすることができる。
図17に、別の態様による、ネットワークデバイス処理回路1508の概略ブロック図を示す。処理回路1508は、アプリケーションサービスプロバイダ証明書受信回路1702、登録要求受信回路1704、証明書検証回路1706、および/または、認可および鍵合意(AKA)実施回路1708を備えることができる。一態様によれば、これらの回路1702、1704、1706、1708は、ASICであってよく、それぞれのプロセスを実施するようにハードワイヤードされる。アプリケーションサービスプロバイダ証明書受信回路1702は、アプリケーションサービスプロバイダ公開鍵を含むアプリケーションサービスプロバイダ証明書をアプリケーションサービスプロバイダから受信するための手段の一例とすることができる。登録要求受信回路1704は、アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスを求める登録要求を、ユーザデバイスから受信するための手段の一例とすることができる。証明書検証回路1706は、ユーザデバイスを認証するためにアプリケーションサービスプロバイダ公開鍵を使用してアプリケーション固有証明書を検証するための手段の一例とすることができる。AKA実施回路1708は、認証情報に基づいてユーザデバイスとの認証および鍵合意を実施するための手段の一例とすることができる。
図18に、本開示の一態様による、アプリケーション固有アクセスを提供するための、ワイヤレス通信ネットワークデバイス1500において動作する方法のフローチャート1800を示す。最初に、ネットワークデバイス1500は、アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスを求める登録要求を、ユーザデバイス102から受信する。登録要求は、ユーザデバイスを識別するデバイス識別子と、アプリケーションサービスを識別するアプリケーション識別子とを含む(1802)。次に、登録要求と、ワイヤレス通信ネットワークを識別するサービングネットワーク識別子とを含む認証情報要求が、パケットデータネットワークを介したデータ接続を使用してアプリケーションサービスプロバイダに送信される(1804)。次いで、認証情報要求を送信するのに応答して、認証情報がアプリケーションサービスプロバイダから受信される。認証情報は、ユーザデバイスに関連付けられた共有鍵に部分的に基づく(1806)。次に、ネットワークデバイス1500は、認証情報に基づいて、ユーザデバイス102との認証および鍵合意を実施する(1808)。
図19に、本開示の一態様による、アプリケーション固有アクセスを提供するための、ワイヤレス通信ネットワークデバイスにおいて動作する方法のフローチャート1900を示す。最初に、ネットワークデバイス1500は、アプリケーションサービスプロバイダ公開鍵を含むアプリケーションサービスプロバイダ証明書を、アプリケーションサービスプロバイダから受信する(1902)。次いで、ネットワークデバイス1500は、アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスを求める登録要求を、ユーザデバイス102から受信する。登録要求は、アプリケーションサービスプロバイダによって署名されたアプリケーション固有証明書を含み、アプリケーション固有証明書は、アプリケーションサービスに関連付けられた公開鍵を含む(1904)。次に、ネットワークデバイスは、アプリケーションサービスプロバイダ公開鍵を使用してアプリケーション固有証明書を検証して、ユーザデバイスを認証する(1906)。次いで、ネットワークデバイスは、ユーザデバイスとの認証および鍵合意を実施する(1908)。
図1、図2、図3、図4、図5、図6、図7A、図7B、図8A、図8B、図9、図10、図11、図12、図13、図14、図15、図16、図17、図18、および/または図19に示すコンポーネント、ステップ、特徴、および/または機能のうちの1つまたは複数は、単一のコンポーネント、ステップ、特徴、もしくは機能に再構成および/もしくは結合されてもよく、またはいくつかのコンポーネント、ステップ、もしくは機能において具体化されてもよい。本発明を逸脱することなく、追加の要素、コンポーネント、ステップ、および/または機能が追加されてもよい。図1、図3、図4、図5、図6、図10、図11、図12、図15、図16、および/または図17に示す装置、デバイス、および/またはコンポーネントは、図2、図3、図4、図5、図6、図7A、図7B、図8A、図8B、図9、図13、図14、図18、および/または図19に記載の方法、特徴、またはステップのうちの1つまたは複数を実施するように構成されてもよい。本明細書に記載のアルゴリズムはまた、効率的に、ソフトウェアにおいて実装されてもよく、かつ/またはハードウェアに組み込まれてもよい。
さらに、本開示の一態様では、図10、図11、および/または図12に示す処理回路1008は、図2、図3、図4、図5、図6、図7A、図7B、図8A、図8B、図9、図13、および/または図14に記載のアルゴリズム、方法、および/またはステップを実施するように特に設計および/またはハードワイヤードされた特殊化プロセッサ(たとえば特定用途向け集積回路(ASIC))であってよい。したがって、そのような特殊化プロセッサ(たとえばASIC)は、図13および図14に記載のアルゴリズム、方法、および/またはステップを実行するための手段の一例とすることができる。コンピュータ可読記憶媒体1004はまた、プロセッサ1008によって読取り可能な命令を記憶することができ、これらの命令は、特殊化プロセッサ(たとえばASIC)によって実行されたとき、図2、図3、図4、図5、図6、図7A、図7B、図8A、図8B、図9、図13、および/または図14に記載のアルゴリズム、方法、および/またはステップを特殊化プロセッサに実施させる。
さらに、本開示の一態様では、図15、図16、および/または図17に示す処理回路1508は、図2、図3、図4、図5、図6、図7A、図7B、図8A、図8B、図9、図18、および/または図19に記載のアルゴリズム、方法、および/またはステップを実施するように特に設計および/またはハードワイヤードされた特殊化プロセッサ(たとえば特定用途向け集積回路(ASIC))であってよい。したがって、そのような特殊化プロセッサ(たとえばASIC)は、図18および図19に記載のアルゴリズム、方法、および/またはステップを実行するための手段の一例とすることができる。コンピュータ可読記憶媒体1504はまた、プロセッサ1508によって読取り可能な命令を記憶することができ、これらの命令は、特殊化プロセッサ(たとえばASIC)によって実行されたとき、図2、図3、図4、図5、図6、図7A、図7B、図8A、図8B、図9、図18、および/または図19に記載のアルゴリズム、方法、および/またはステップを特殊化プロセッサに実施させる。
また、本開示の態様は、フローチャート、流れ図、構造図、またはブロック図として描かれるプロセスとして記述され得ることに留意されたい。フローチャートが動作を逐次的なプロセスとして記述する場合があるが、動作の多くは、並行してまたは同時に実施される可能性もある。加えて、動作の順序は、再構成されてもよい。プロセスは、その動作が完了されたときに終了される。プロセスは、方法、関数、プロシージャ、サブルーチン、サブプログラムなどに対応することがある。プロセスが関数に対応するとき、その終了は、関数が呼出し元関数またはメイン関数に戻ることに対応する。
さらに、記憶媒体は、データを記憶するための1つまたは複数のデバイスを表すことができ、これらのデバイスは、読取り専用メモリ(ROM)、ランダムアクセスメモリ(RAM)、磁気ディスク記憶媒体、光学記憶媒体、フラッシュメモリデバイス、および/または他の機械可読媒体、ならびに、情報を記憶するためのプロセッサ可読媒体および/またはコンピュータ可読媒体を含む。「機械可読媒体」、「コンピュータ可読媒体」、および/または「プロセッサ可読媒体」という用語は、次のものに限定されないが、命令および/またはデータを記憶または収容できる可搬または固定の記憶デバイス、光学記憶デバイス、および他の様々な媒体など、非一時的な媒体を含むことができる。したがって、本明細書に記載の様々な方法は、「機械可読媒体」、「コンピュータ可読媒体」、および/または「プロセッサ可読媒体」に記憶されて1つまたは複数のプロセッサ、機械、および/またはデバイスによって実行され得る、命令および/またはデータによって、完全にまたは部分的に実装されることが可能である。
さらに、本開示の態様は、ハードウェア、ソフトウェア、ファームウェア、ミドルウェア、マイクロコード、またはこれらの任意の組合せによって実装されることが可能である。ソフトウェア、ファームウェア、ミドルウェア、またはマイクロコードにおいて実装されるときは、必要なタスクを実施するためのプログラムコードまたはコードセグメントは、記憶媒体や他の記憶装置など、機械可読媒体に記憶されてよい。プロセッサが、必要なタスクを実施することができる。コードセグメントは、プロシージャ、関数、サブプログラム、プログラム、ルーチン、サブルーチン、モジュール、ソフトウェアパッケージ、クラス、または、命令もしくはデータ構造もしくはプログラムステートメントの任意の組合せ、を表すことができる。コードセグメントは、情報、データ、引数、パラメータ、またはメモリ内容を渡すことおよび/または受け取ることによって、別のコードセグメントまたはハードウェア回路に結合され得る。情報、引数、パラメータ、データなどは、メモリ共有、メッセージパッシング、トークンパッシング、ネットワーク送信などを含めた、任意の適切な手段を介して、渡されるかまたは転送されるかまたは送信され得る。
本明細書で開示される例との関連で記述される様々な例証的な論理ブロック、モジュール、回路、要素、および/またはコンポーネントは、本明細書に記載の機能を実施するように設計された汎用プロセッサ、ディジタル信号プロセッサ(DSP)、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)もしくは他のプログラム可能ロジックコンポーネント、ディスクリートゲートもしくはトランジスタロジック、ディスクリートハードウェアコンポーネント、またはこれらの任意の組合せを用いて、実装または実施されることが可能である。汎用プロセッサはマイクロプロセッサであってよいが、代替では、プロセッサは、任意の従来型プロセッサ、コントローラ、マイクロコントローラ、またはステートマシンであってよい。プロセッサはまた、コンピューティングコンポーネントの組合せとして、たとえば、DSPとマイクロプロセッサとの組合せ、いくつかのマイクロプロセッサ、DSPコアと併用される1つもしくは複数のマイクロプロセッサ、または他の任意のそのような構成として実装されてもよい。
本明細書に記載の例との関連で記述される方法またはアルゴリズムは、ハードウェアにおいて直接に、またはプロセッサによって実行可能なソフトウェアモジュールにおいて、または両方の組合せにおいて、処理ユニット、プログラミング命令、または他の指示の形で具体化されてよく、単一のデバイスに含められるかまたは複数のデバイスにわたって分散されてよい。ソフトウェアモジュールは、RAMメモリ、フラッシュメモリ、ROMメモリ、EPROMメモリ、EEPROMメモリ、レジスタ、ハードディスク、リムーバブルディスク、CD-ROM、または当技術分野で知られている他の任意の形の記憶媒体の中にあってよい。記憶媒体はプロセッサに結合されてよく、それにより、プロセッサは、記憶媒体から情報を読み取ることおよび記憶媒体に情報を書き込むことができる。代替では、記憶媒体はプロセッサに統合されてよい。
本明細書で開示される態様との関連で記述される様々な例証的な論理ブロック、モジュール、回路、およびアルゴリズムステップは、電子ハードウェア、コンピュータソフトウェア、または両方の組合せとして実装されてよいことを、当業者ならさらに認識するであろう。このハードウェアとソフトウェアとの交換可能性を明確に例証するために、上記では、様々な例証的なコンポーネント、ブロック、モジュール、回路、およびステップを、それらの機能性の点から一般に述べた。そのような機能性がハードウェアとして実装されるかソフトウェアとして実装されるかは、特定の適用例と、システム全体に課される設計制約とに依存する。
本明細書に記載の本発明の様々な特徴は、本発明を逸脱することなく種々のシステム中で実装されることが可能である。本開示の前述の態様は、単なる例であり、本発明を限定するものと解釈されるべきではないことに留意されたい。本開示の態様に関する記述は、例証的なものとし、特許請求の範囲を限定するものとはしない。したがって、本教示は、他のタイプの装置にも容易に適用することができ、多くの代替、修正、および変形が当業者には明らかであろう。
100 通信システム
102 ユーザデバイス
103 ワイヤレス通信
104 ワイヤレス通信ネットワーク
106 無線アクセスネットワーク(RAN)
108 コアネットワーク
110 パケットデータネットワーク(PDN)
112 アプリケーションサービスプロバイダ(APS)
114 アプリケーションサービス
300 通信システム
302 サービスプロビジョニング機能(SPF)
303 サービスクエリプロトコル(SQP)サーバ
304 MME
306 サービングゲートウェイ(S-GW)
308 パケットデータネットワークゲートウェイ(P-GW)
402 HSSエンティティ
404 AAAエンティティ
500 通信システム
502 サービスプロビジョニング機能(SPF)
801 証明書サービス機能(CSF)
1002 ワイヤレス通信インターフェース
1004 メモリ回路
1006 入力および/もしくは出力(I/O)デバイス/回路
1008 処理回路
1010 バス
1102 共有鍵受信回路
1104 スポンサー付き接続性決定回路
1106 登録要求送信回路
1108 認証情報受信回路
1110 認可および鍵合意(AKA)実施回路
1202 証明書受信回路
1204 スポンサー付き接続性決定回路
1206 登録要求送信回路
1208 認可および鍵合意(AKA)実施回路
1500 ネットワークデバイス
1502 ワイヤレス通信インターフェース
1504 メモリ回路
1506 入力および/もしくは出力(I/O)デバイス/回路
1508 処理回路
1510 バス
1602 登録要求受信回路
1604 認証情報送信回路
1606 認証情報受信回路
1608 認可および鍵合意(AKA)実施回路
1702 アプリケーションサービスプロバイダ証明書受信回路
1704 登録要求受信回路
1706 証明書検証回路
1708 認可および鍵合意(AKA)実施回路

Claims (44)

  1. ユーザデバイスにおいて動作する方法であって、
    共有鍵をアプリケーションサービスプロバイダから受信してメモリ回路に記憶するステップと、
    処理回路において、前記アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスをワイヤレスワイドエリア通信ネットワークが提供すると判定するステップと、
    前記ワイヤレスワイドエリア通信ネットワークのホーム加入者サービス(HSS)および/または認証認可アカウンティング(AAA)のうちの少なくとも一方による認証を迂回する、前記ワイヤレスワイドエリア通信ネットワークのパケットデータネットワークを介したデータ接続を使用して、デバイス識別子と、前記アプリケーションサービスに関連付けられたアプリケーション識別子とを含む登録要求を、ワイヤレス通信インターフェースを介して前記アプリケーションサービスプロバイダに送信するステップと、
    前記アプリケーションサービスプロバイダにおいて導出された、前記共有鍵に部分的に基づく認証情報を、前記ワイヤレスワイドエリア通信ネットワークから受信するステップであって、前記認証情報が前記ワイヤレス通信インターフェースを介して受信される、ステップと、
    前記処理回路において、前記認証情報および記憶済みの前記共有鍵に基づいて、前記ワイヤレスワイドエリア通信ネットワークとの認証および鍵合意を実施するステップと、
    認証および鍵合意がうまく実施された後で、前記ワイヤレス通信インターフェースを介して前記アプリケーションサービスと通信するステップと
    を含む方法。
  2. 前記共有鍵が前記ユーザデバイスに一意に関連付けられる、請求項1に記載の方法。
  3. 前記共有鍵が、前記ワイヤレスワイドエリア通信ネットワークと確立された通信チャネルから独立したセキュアな帯域外接続を介して前記アプリケーションサービスプロバイダから受信される、請求項1に記載の方法。
  4. 認証および鍵合意がうまく実施された後で、前記ユーザデバイスと、前記アプリケーションサービスプロバイダによって許可される1組のアプリケーションサービスとの間の通信を可能にするステップをさらに含む、請求項1に記載の方法。
  5. 前記登録要求を送信する前に、前記デバイス識別子を前記アプリケーションサービスプロバイダから受信して記憶するステップをさらに含む、請求項1に記載の方法。
  6. 前記登録要求を前記ワイヤレスワイドエリア通信ネットワークに送信する前に、前記アプリケーション識別子を前記アプリケーションサービスプロバイダから受信するステップをさらに含む、請求項1に記載の方法。
  7. 前記登録要求を前記ワイヤレスワイドエリア通信ネットワークに送信する前に、アプリケーションサービス告知を介して前記アプリケーション識別子を前記ワイヤレスワイドエリア通信ネットワークから受信するステップをさらに含む、請求項1に記載の方法。
  8. 前記アプリケーション識別子が、完全修飾ドメイン名、ユニフォームリソースロケータ、および/またはユニフォームリソース識別子、のうちの少なくとも1つである、請求項1に記載の方法。
  9. アプリケーション固有アクセスが、前記ユーザデバイスに関連するどんな加入者識別モジュールからも独立して前記ユーザデバイスに授与される、請求項1に記載の方法。
  10. ワイヤレスワイドエリア通信ネットワークとワイヤレス通信するように適合されたワイヤレス通信インターフェースと、
    メモリ回路と、
    前記メモリ回路と前記ワイヤレス通信インターフェースとに通信可能に結合された処理回路とを備えるユーザデバイスであって、前記処理回路が、
    共有鍵をアプリケーションサービスプロバイダから受信して記憶することと、
    前記アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスを前記ワイヤレスワイドエリア通信ネットワークが提供すると判定することと、
    前記ワイヤレスワイドエリア通信ネットワークのホーム加入者サービス(HSS)および/または認証認可アカウンティング(AAA)のうちの少なくとも一方による認証を迂回する、前記ワイヤレスワイドエリア通信ネットワークのパケットデータネットワークを介したデータ接続を使用して、デバイス識別子と、前記アプリケーションサービスに関連付けられたアプリケーション識別子とを含む登録要求を、前記アプリケーションサービスプロバイダに送信することと、
    前記アプリケーションサービスプロバイダにおいて導出された、前記共有鍵に部分的に基づく認証情報を、前記ワイヤレスワイドエリア通信ネットワークから受信することと、
    前記認証情報および記憶済みの前記共有鍵に基づいて、前記ワイヤレスワイドエリア通信ネットワークとの認証および鍵合意を実施することと、
    認証および鍵合意がうまく実施された後で前記アプリケーションサービスと通信することと
    を行うように適合された、ユーザデバイス。
  11. 前記共有鍵が前記ユーザデバイスに一意に関連付けられる、請求項10に記載のユーザデバイス。
  12. 前記共有鍵が、前記ワイヤレスワイドエリア通信ネットワークと確立された通信チャネルから独立したセキュアな帯域外接続を介して前記アプリケーションサービスプロバイダから受信される、請求項10に記載のユーザデバイス。
  13. 前記処理回路がさらに、
    認証および鍵合意がうまく実施された後で、前記ユーザデバイスと、前記アプリケーションサービスプロバイダによって許可される1組のアプリケーションサービスとの間の通信を可能にすることを行うように適合された、請求項10に記載のユーザデバイス。
  14. 前記処理回路がさらに、
    前記登録要求を送信する前に、前記デバイス識別子を前記アプリケーションサービスプロバイダから受信することを行うように適合された、請求項10に記載のユーザデバイス。
  15. 前記処理回路がさらに、
    前記登録要求を前記ワイヤレスワイドエリア通信ネットワークに送信する前に、前記アプリケーション識別子を前記アプリケーションサービスプロバイダから受信することを行うように適合された、請求項10に記載のユーザデバイス。
  16. 前記処理回路がさらに、
    前記登録要求を前記ワイヤレスワイドエリア通信ネットワークに送信する前に、アプリケーションサービス告知を介して前記アプリケーション識別子を前記ワイヤレスワイドエリア通信ネットワークから受信することを行うように適合された、請求項10に記載のユーザデバイス。
  17. 前記アプリケーション識別子が、完全修飾ドメイン名、ユニフォームリソースロケータ、および/またはユニフォームリソース識別子、のうちの少なくとも1つである、請求項10に記載のユーザデバイス。
  18. アプリケーション固有アクセスが、前記ユーザデバイスに関連するどんな加入者識別モジュールからも独立して前記ユーザデバイスに授与される、請求項10に記載のユーザデバイス。
  19. 共有鍵をアプリケーションサービスプロバイダから受信して記憶するための手段と、
    前記アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスをワイヤレスワイドエリア通信ネットワークが提供すると判定するための手段と、
    前記ワイヤレスワイドエリア通信ネットワークのホーム加入者サービス(HSS)および/または認証認可アカウンティング(AAA)のうちの少なくとも一方による認証を迂回する、前記ワイヤレスワイドエリア通信ネットワークのパケットデータネットワークを介したデータ接続を使用して、デバイス識別子と、前記アプリケーションサービスに関連付けられたアプリケーション識別子とを含む登録要求を、前記アプリケーションサービスプロバイダに送信するための手段と、
    前記アプリケーションサービスプロバイダにおいて導出された、前記共有鍵に部分的に基づく認証情報を、前記ワイヤレスワイドエリア通信ネットワークから受信するための手段と、
    前記認証情報および記憶済みの前記共有鍵に基づいて、前記ワイヤレスワイドエリア通信ネットワークとの認証および鍵合意を実施するための手段と、
    認証および鍵合意がうまく実施された後で前記アプリケーションサービスと通信するための手段と
    を備えるユーザデバイス。
  20. 前記共有鍵が前記ユーザデバイスに一意に関連付けられる、請求項19に記載のユーザデバイス。
  21. 前記登録要求を前記ワイヤレスワイドエリア通信ネットワークに送信する前に、前記アプリケーション識別子を前記アプリケーションサービスプロバイダから受信するための手段をさらに備える、請求項19に記載のユーザデバイス。
  22. 前記登録要求を前記ワイヤレスワイドエリア通信ネットワークに送信する前に、アプリケーションサービス告知を介して前記アプリケーション識別子を前記ワイヤレスワイドエリア通信ネットワークから受信するための手段をさらに備える、請求項19に記載のユーザデバイス。
  23. ワイヤレスワイドエリア通信ネットワークに関連するワイヤレス通信ネットワークデバイスにおいて動作する方法であって、
    アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスを求める登録要求を、通信インターフェースを介してユーザデバイスから受信するステップであって、前記登録要求が、前記ユーザデバイスを識別するデバイス識別子と、前記アプリケーションサービスを識別するアプリケーション識別子とを含む、ステップと、
    前記ワイヤレスワイドエリア通信ネットワークのホーム加入者サービス(HSS)および/または認証認可アカウンティング(AAA)のうちの少なくとも一方による前記ユーザデバイスの認証を迂回する、前記ワイヤレスワイドエリア通信ネットワークのパケットデータネットワークを介したデータ接続を使用して、前記登録要求と、前記ワイヤレスワイドエリア通信ネットワークを識別するサービングネットワーク識別子とを含む認証情報要求を、前記通信インターフェースを介して前記アプリケーションサービスプロバイダに送信するステップと、
    前記認証情報要求を送信するのに応答して、前記通信インターフェースを介して認証情報を前記アプリケーションサービスプロバイダから受信するステップであって、前記認証情報が、前記ユーザデバイスに関連付けられた共有鍵に部分的に基づく、ステップと、
    処理回路において、前記認証情報に基づいて前記ユーザデバイスとの認証および鍵合意を実施するステップと
    を含む方法。
  24. 前記登録要求を前記ユーザデバイスから受信する前に、前記アプリケーションサービスに関連するアプリケーションサービス登録情報を受信するステップをさらに含む、請求項23に記載の方法。
  25. 前記アプリケーションサービス登録情報がサービスプロビジョニング機能を介して前記アプリケーションサービスプロバイダから受信される、請求項24に記載の方法。
  26. 前記アプリケーションサービス登録情報が、前記アプリケーション識別子、および/または、前記ユーザデバイスと前記アプリケーションサービスとの間の通信について前記ワイヤレスワイドエリア通信ネットワークが提供するサービス品質を示すアプリケーションサービスクラス、のうちの少なくとも一方を含む、請求項24に記載の方法。
  27. 前記ワイヤレスワイドエリア通信ネットワークを介して前記アプリケーションサービスへのアプリケーション固有アクセスが利用可能であることを示す告知を、ブロードキャストするステップをさらに含む、請求項23に記載の方法。
  28. 前記告知が前記アプリケーション識別子を含む、請求項27に記載の方法。
  29. 前記認証情報が、鍵アクセスセキュリティ管理エンティティ(K_ASME)と、認証トークン(AUTN)と、乱数(RAND)と、予想される応答(XRES)とを含む認証ベクトルを含み、前記認証情報に基づいて前記ユーザデバイスとの認証および鍵合意を実施するステップが、
    K_ASMEおよびXRESを前記ワイヤレス通信ネットワークデバイスにおいて記憶するステップと、
    RANDおよびAUTNを前記ユーザデバイスに送信するステップと、
    応答値(RES)を前記ユーザデバイスから受信するステップと、
    RESがXRESに等しいことを検証して前記ユーザデバイスを認証するステップと
    を含む、請求項23に記載の方法。
  30. 認証および鍵合意が成功した後で、前記アプリケーションサービスへのアプリケーション固有アクセスを前記ユーザデバイスに提供するステップをさらに含む、請求項23に記載の方法。
  31. 認証および鍵合意が成功した後で、前記ユーザデバイスと、前記アプリケーションサービスプロバイダによって許可される1組のアプリケーションサービスとの間の通信を可能にするステップをさらに含む、請求項23に記載の方法。
  32. ワイヤレスワイドエリア通信ネットワークに関連するワイヤレス通信ネットワークデバイスであって、
    少なくともユーザデバイスとワイヤレス通信するように適合されたワイヤレス通信インターフェースと、
    前記ワイヤレス通信インターフェースに通信可能に結合された処理回路とを備え、前記処理回路が、
    アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスを求める登録要求を前記ユーザデバイスから受信することであって、前記登録要求が、前記ユーザデバイスを識別するデバイス識別子と、前記アプリケーションサービスを識別するアプリケーション識別子とを含む、ことと、
    前記ワイヤレスワイドエリア通信ネットワークのホーム加入者サービス(HSS)および/または認証認可アカウンティング(AAA)のうちの少なくとも一方による前記ユーザデバイスの認証を迂回する、前記ワイヤレスワイドエリア通信ネットワークのパケットデータネットワークを介したデータ接続を使用して、前記登録要求と、前記ワイヤレスワイドエリア通信ネットワークを識別するサービングネットワーク識別子とを含む認証情報要求を、前記アプリケーションサービスプロバイダに送信することと、
    前記認証情報要求を送信するのに応答して認証情報を前記アプリケーションサービスプロバイダから受信することであって、前記認証情報が、前記ユーザデバイスに関連付けられた共有鍵に部分的に基づくことと、
    前記認証情報に基づいて前記ユーザデバイスとの認証および鍵合意を実施することと
    を行うように適合された、ワイヤレス通信ネットワークデバイス。
  33. 前記処理回路がさらに、
    前記登録要求を前記ユーザデバイスから受信する前に、前記アプリケーションサービスに関連するアプリケーションサービス登録情報を受信することを行うように適合された、請求項32に記載のワイヤレス通信ネットワークデバイス。
  34. 前記アプリケーションサービス登録情報が、サービスプロビジョニング機能を介して前記アプリケーションサービスプロバイダから受信される、請求項33に記載のワイヤレス通信ネットワークデバイス。
  35. 前記アプリケーションサービス登録情報が、前記アプリケーション識別子、および/または、前記ユーザデバイスと前記アプリケーションサービスとの間の通信について前記ワイヤレスワイドエリア通信ネットワークが提供するサービス品質を示すアプリケーションサービスクラス、のうちの少なくとも一方を含む、請求項33に記載のワイヤレス通信ネットワークデバイス。
  36. 前記処理回路がさらに、
    前記ワイヤレスワイドエリア通信ネットワークを介して前記アプリケーションサービスへのアプリケーション固有アクセスが利用可能であることを示す告知を、ブロードキャストすることを行うように適合された、請求項32に記載のワイヤレス通信ネットワークデバイス。
  37. 前記告知が前記アプリケーション識別子を含む、請求項36に記載のワイヤレス通信ネットワークデバイス。
  38. 前記認証情報が、鍵アクセスセキュリティ管理エンティティ(K_ASME)と、認証トークン(AUTN)と、乱数(RAND)と、予想される応答(XRES)とを含む認証ベクトルを含み、前記処理回路が前記認証情報に基づいて前記ユーザデバイスとの認証および鍵合意を実施することを行うように適合されたことが、前記処理回路がさらに、
    K_ASMEおよびXRESを前記ワイヤレス通信ネットワークデバイスにおいて記憶することと、
    RANDおよびAUTNを前記ユーザデバイスに送信することと、
    応答値(RES)を前記ユーザデバイスから受信することと、
    RESがXRESに等しいことを検証して前記ユーザデバイスを認証することと
    を行うように適合されたことを含む、請求項32に記載のワイヤレス通信ネットワークデバイス。
  39. 前記処理回路がさらに、
    認証および鍵合意が成功した後で、前記アプリケーションサービスへのアプリケーション固有アクセスを前記ユーザデバイスに提供することを行うように適合された、請求項32に記載のワイヤレス通信ネットワークデバイス。
  40. 前記処理回路がさらに、
    認証および鍵合意が成功した後で、前記ユーザデバイスと、前記アプリケーションサービスプロバイダによって許可される1組のアプリケーションサービスとの間の通信を可能にすることを行うように適合された、請求項32に記載のワイヤレス通信ネットワークデバイス。
  41. ワイヤレスワイドエリア通信ネットワークに関連するワイヤレス通信ネットワークデバイスであって、
    アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスを求める登録要求をユーザデバイスから受信するための手段であって、前記登録要求が、前記ユーザデバイスを識別するデバイス識別子と、前記アプリケーションサービスを識別するアプリケーション識別子とを含む、手段と、
    前記ワイヤレスワイドエリア通信ネットワークのホーム加入者サービス(HSS)および/または認証認可アカウンティング(AAA)のうちの少なくとも一方による前記ユーザデバイスの認証を迂回する、前記ワイヤレスワイドエリア通信ネットワークのパケットデータネットワークを介したデータ接続を使用して、前記登録要求と、前記ワイヤレスワイドエリア通信ネットワークを識別するサービングネットワーク識別子とを含む認証情報要求を、前記アプリケーションサービスプロバイダに送信するための手段と、
    前記認証情報要求を送信するのに応答して認証情報を前記アプリケーションサービスプロバイダから受信するための手段であって、前記認証情報が、前記ユーザデバイスに関連付けられた共有鍵に部分的に基づく、手段と、
    前記認証情報に基づいて前記ユーザデバイスとの認証および鍵合意を実施するための手段と
    を備えるワイヤレス通信ネットワークデバイス。
  42. 前記登録要求を前記ユーザデバイスから受信する前に、前記アプリケーションサービスに関連するアプリケーションサービス登録情報を受信するための手段をさらに備える、請求項41に記載のワイヤレス通信ネットワークデバイス。
  43. 前記ワイヤレスワイドエリア通信ネットワークを介して前記アプリケーションサービスへのアプリケーション固有アクセスが利用可能であることを示す告知を、ブロードキャストするための手段をさらに備える、請求項41に記載のワイヤレス通信ネットワークデバイス。
  44. 認証および鍵合意が成功した後で、前記ユーザデバイスと、前記アプリケーションサービスプロバイダによって許可される1組のアプリケーションサービスとの間の通信を可能にするための手段をさらに備える、請求項41に記載のワイヤレス通信ネットワークデバイス。
JP2017548136A 2015-03-17 2016-03-01 アプリケーション固有ネットワークアクセス資格情報を使用する、ワイヤレスネットワークへのスポンサー付き接続性のための装置および方法 Active JP6385589B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201562134206P 2015-03-17 2015-03-17
US62/134,206 2015-03-17
US14/829,432 2015-08-18
US14/829,432 US9717004B2 (en) 2015-03-17 2015-08-18 Apparatus and method for sponsored connectivity to wireless networks using application-specific network access credentials
PCT/US2016/020224 WO2016148902A1 (en) 2015-03-17 2016-03-01 Apparatus and method for sponsored connectivity to wireless networks using application-specific network access credentials

Publications (2)

Publication Number Publication Date
JP2018514117A JP2018514117A (ja) 2018-05-31
JP6385589B2 true JP6385589B2 (ja) 2018-09-05

Family

ID=55910326

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017548136A Active JP6385589B2 (ja) 2015-03-17 2016-03-01 アプリケーション固有ネットワークアクセス資格情報を使用する、ワイヤレスネットワークへのスポンサー付き接続性のための装置および方法

Country Status (8)

Country Link
US (1) US9717004B2 (ja)
EP (1) EP3272098B1 (ja)
JP (1) JP6385589B2 (ja)
KR (1) KR101838872B1 (ja)
CN (1) CN107409137B (ja)
BR (1) BR112017019857A2 (ja)
TW (1) TWI610577B (ja)
WO (1) WO2016148902A1 (ja)

Families Citing this family (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW201417598A (zh) * 2012-07-13 2014-05-01 Interdigital Patent Holdings 安全性關聯特性
US9755837B2 (en) 2015-03-17 2017-09-05 Qualcomm Incorporated Apparatus and method for sponsored connectivity to wireless networks using application-specific network access credentials
EP3320708B1 (en) * 2015-07-06 2022-03-09 Telefonaktiebolaget LM Ericsson (publ) Facilitating secure communcation between a client device and an application server
US10701582B2 (en) 2016-02-24 2020-06-30 Cisco Technology, Inc. Dynamic application QoS profile provisioning
US10430607B2 (en) * 2016-05-05 2019-10-01 Ribbon Communications Operating Company, Inc. Use of AKA methods and procedures for authentication of subscribers without access to SIM credentials
KR102407228B1 (ko) * 2016-05-24 2022-06-08 삼성에스디에스 주식회사 서비스 제공 시스템 및 방법
CN114189857B (zh) * 2017-05-11 2023-11-28 无线通信与技术公司 网关及由网关实施的方法
US10470086B2 (en) 2017-09-12 2019-11-05 Cisco Technology, Inc. Stateful application identification while roaming
LU100599B1 (en) * 2017-12-29 2019-07-01 Luxembourg Inst Science & Tech List Method for subjectively mapping a wireless network environment
CN109699031B (zh) 2018-01-11 2020-03-20 华为技术有限公司 采用共享密钥、公钥和私钥的验证方法及装置
CN110035433B (zh) * 2018-01-11 2024-03-19 华为技术有限公司 采用共享密钥、公钥和私钥的验证方法及装置
KR102348078B1 (ko) * 2018-01-12 2022-01-10 삼성전자주식회사 사용자 단말 장치, 전자 장치, 이를 포함하는 시스템 및 제어 방법
US10939288B2 (en) * 2018-01-14 2021-03-02 Qualcomm Incorporated Cellular unicast link establishment for vehicle-to-vehicle (V2V) communication
FR3077175A1 (fr) * 2018-01-19 2019-07-26 Orange Technique de determination d'une cle destinee a securiser une communication entre un equipement utilisateur et un serveur applicatif
JP7115027B2 (ja) * 2018-05-22 2022-08-09 ブラザー工業株式会社 通信装置と通信装置のためのコンピュータプログラム
CN110636506A (zh) * 2018-06-22 2019-12-31 维沃移动通信有限公司 网络接入方法、终端及网络侧网元
KR102696951B1 (ko) * 2018-09-21 2024-08-19 에스케이텔레콤 주식회사 패킷 관리 장치 및 방법
EP3847833A1 (en) * 2018-09-27 2021-07-14 Convida Wireless, Llc 3gpp private lans
US11387983B2 (en) * 2019-03-25 2022-07-12 Micron Technology, Inc. Secure medical apparatus communication
US11375367B2 (en) * 2019-05-07 2022-06-28 Verizon Patent And Licensing Inc. System and method for deriving a profile for a target endpoint device
US20200366754A1 (en) * 2019-05-13 2020-11-19 Google Llc Systems and methods for processing content item operations based on fraud resistent device identifiers
US11265702B1 (en) * 2019-09-24 2022-03-01 Sprint Communications Company L.P. Securing private wireless gateways
US10880748B1 (en) 2019-11-06 2020-12-29 Cisco Technology, Inc. Open access in neutral host network environments
CN111314474B (zh) * 2020-02-21 2021-02-26 北京紫光展锐通信技术有限公司 会话创建方法及相关设备
CN111314475B (zh) * 2020-02-21 2021-05-04 北京紫光展锐通信技术有限公司 会话创建方法及相关设备
KR20220141814A (ko) * 2020-02-24 2022-10-20 퀄컴 인코포레이티드 셀룰러 네트워크들을 통한 동작을 위한 무인 차량 인가를 위한 메커니즘
US20220132409A1 (en) * 2020-10-23 2022-04-28 Avaya Management L.P. Methods and systems for monitoring communication device mobility associated with venue wireless access networks
US11683380B2 (en) 2021-02-09 2023-06-20 Cisco Technology, Inc. Methods for seamless session transfer without re-keying
CN115021950A (zh) * 2021-03-03 2022-09-06 美光科技公司 用于端点的在线服务商店
US12013957B2 (en) 2021-07-23 2024-06-18 Blackberry Limited Method and system for indirect sharing of sensor insights
US11968310B2 (en) * 2021-07-23 2024-04-23 Blackberry Limited Method and system for providing data security for micro-services across domains
US11962695B2 (en) 2021-07-23 2024-04-16 Blackberry Limited Method and system for sharing sensor insights based on application requests

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB0326265D0 (en) * 2003-11-11 2003-12-17 Nokia Corp Shared secret usage for bootstrapping
GB0414421D0 (en) 2004-06-28 2004-07-28 Nokia Corp Authenticating users
US8347077B2 (en) * 2006-05-04 2013-01-01 Cisco Technology, Inc. Authenticating a registration request with a mobility key provided to an authenticator
CN101272251B (zh) * 2007-03-22 2012-04-18 华为技术有限公司 鉴权和密钥协商方法、认证方法、系统及设备
EP3522580B1 (en) 2007-10-16 2021-01-20 Nokia Technologies Oy Credential provisioning
US8169958B2 (en) 2008-03-27 2012-05-01 Cisco Technology, Inc. Obtaining information regarding services available from a wireless local area network
US8245039B2 (en) * 2008-07-18 2012-08-14 Bridgewater Systems Corp. Extensible authentication protocol authentication and key agreement (EAP-AKA) optimization
JP5246029B2 (ja) * 2009-05-15 2013-07-24 日本電気株式会社 無線通信システム
US8621203B2 (en) * 2009-06-22 2013-12-31 Nokia Corporation Method and apparatus for authenticating a mobile device
CN102111759A (zh) * 2009-12-28 2011-06-29 中国移动通信集团公司 一种认证方法、系统和装置
US9450928B2 (en) * 2010-06-10 2016-09-20 Gemalto Sa Secure registration of group of clients using single registration procedure
US8566596B2 (en) 2010-08-24 2013-10-22 Cisco Technology, Inc. Pre-association mechanism to provide detailed description of wireless services
US9198038B2 (en) * 2011-06-13 2015-11-24 Qualcomm Incorporated Apparatus and methods of identity management in a multi-network system
AU2012299462B2 (en) 2011-08-25 2015-08-13 Einnovations Holdings Pte. Ltd. System and method for provisioning internet access to a computing device
US9208298B2 (en) 2012-06-18 2015-12-08 Google Inc. Pass through service login to application login
US9413736B2 (en) 2013-03-29 2016-08-09 Citrix Systems, Inc. Providing an enterprise application store
KR20140119544A (ko) 2013-04-01 2014-10-10 삼성전자주식회사 이동통신 시스템에서 근접 서비스 메시지 라우팅 방법 및 장치
US9755837B2 (en) 2015-03-17 2017-09-05 Qualcomm Incorporated Apparatus and method for sponsored connectivity to wireless networks using application-specific network access credentials

Also Published As

Publication number Publication date
US20160277927A1 (en) 2016-09-22
BR112017019857A2 (pt) 2018-06-05
CN107409137B (zh) 2019-05-28
KR101838872B1 (ko) 2018-03-15
US9717004B2 (en) 2017-07-25
CN107409137A (zh) 2017-11-28
KR20170113672A (ko) 2017-10-12
EP3272098B1 (en) 2019-01-23
EP3272098A1 (en) 2018-01-24
TW201644291A (zh) 2016-12-16
WO2016148902A1 (en) 2016-09-22
TWI610577B (zh) 2018-01-01
JP2018514117A (ja) 2018-05-31

Similar Documents

Publication Publication Date Title
JP6385589B2 (ja) アプリケーション固有ネットワークアクセス資格情報を使用する、ワイヤレスネットワークへのスポンサー付き接続性のための装置および方法
JP6400228B2 (ja) アプリケーション固有ネットワークアクセス資格情報を使用する、ワイヤレスネットワークへのスポンサー付き接続性のための装置および方法
US10986083B2 (en) Hardware identification-based security authentication service for IoT devices
US9882894B2 (en) Secure authentication service
KR102398221B1 (ko) 무선 직접통신 네트워크에서 비대칭 키를 사용하여 아이덴티티를 검증하기 위한 방법 및 장치
US9432349B2 (en) Service access authentication method and system
US20210337386A1 (en) Validating authorization for use of a set of features of a device
CN108886688B (zh) 一种可以在连接到无线通信网络的服务提供商sp网络中操作的方法、装置和可读介质
CN112514436B (zh) 发起器和响应器之间的安全的、被认证的通信
JP2014509162A (ja) セキュアエレメントを用いたリモート局の認証方法
US11785456B2 (en) Delivering standalone non-public network (SNPN) credentials from an enterprise authentication server to a user equipment over extensible authentication protocol (EAP)
JP2022043175A (ja) コアネットワークへの非3gpp装置アクセス

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180416

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180604

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180709

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180807

R150 Certificate of patent or registration of utility model

Ref document number: 6385589

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250