JP6400228B2 - アプリケーション固有ネットワークアクセス資格情報を使用する、ワイヤレスネットワークへのスポンサー付き接続性のための装置および方法 - Google Patents

アプリケーション固有ネットワークアクセス資格情報を使用する、ワイヤレスネットワークへのスポンサー付き接続性のための装置および方法 Download PDF

Info

Publication number
JP6400228B2
JP6400228B2 JP2017548417A JP2017548417A JP6400228B2 JP 6400228 B2 JP6400228 B2 JP 6400228B2 JP 2017548417 A JP2017548417 A JP 2017548417A JP 2017548417 A JP2017548417 A JP 2017548417A JP 6400228 B2 JP6400228 B2 JP 6400228B2
Authority
JP
Japan
Prior art keywords
application
wireless communication
communication network
application service
user device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017548417A
Other languages
English (en)
Other versions
JP2018511244A (ja
Inventor
ス・ボム・イ
アナンド・パラニガウンダー
ギャヴィン・バーナード・ホーン
Original Assignee
クアルコム,インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by クアルコム,インコーポレイテッド filed Critical クアルコム,インコーポレイテッド
Publication of JP2018511244A publication Critical patent/JP2018511244A/ja
Application granted granted Critical
Publication of JP6400228B2 publication Critical patent/JP6400228B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/11Allocation or use of connection identifiers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/51Discovery or management thereof, e.g. service location protocol [SLP] or web services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/20Services signaling; Auxiliary data signalling, i.e. transmitting data via a non-traffic channel
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/16Discovering, processing access restriction or access information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/24Key scheduling, i.e. generating round keys or sub-keys for block encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/72Signcrypting, i.e. digital signing and encrypting simultaneously
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

関連出願の相互参照
本出願は、2015年3月17日に米国特許商標庁に出願された仮出願第62/134,206号、および2015年8月18日に米国特許商標庁に出願された非仮出願第14/829,459号に対する優先権を主張するものであり、これらの出願の内容全体は、参照により本明細書に組み込まれる。
本発明は、一般に、ユーザ機器とワイヤレスネットワークとの間でデータ接続を確立することに関する。
一般に、ユーザデバイスによるワイヤレスセルラーシステムへのアクセスは、事前に取り決められた加入者フォーマットに基づく。ワイヤレスセルラーシステムの加入者でないか、またはワイヤレスセルラーシステムとの既存の関係の恩恵を有さないユーザデバイスには、アクセスは通常は与えられない。
しかし、ユーザデバイスがワイヤレスセルラーシステムに加入していないにもかかわらず、アプリケーションサービスプロバイダは、そのサーバおよびサービスに、ユーザデバイスがワイヤレスセルラーシステムを介してアクセスできるよう望むことがある。アプリケーションサービスプロバイダは、ユーザデバイスの代わりにこのアクセスに対してワイヤレスセルラーシステムに補償するのをいとわないことがある。そのような「スポンサー付き接続性(sponsored connectivity)」は、ユーザデバイスが、特定のアプリケーションを求めてアプリケーションサービスプロバイダのサーバに接続するためにワイヤレスセルラーネットワークを制限付きで利用するのを可能にすることができ、アプリケーションサービスプロバイダには、このアクセスに対する料金が課される。
スポンサー付き接続性のための既存の解決法は、アクセスポイント名(APN)ベースの転送(スポンサーによってプロビジョニングされた加入者識別モジュール(SIM)中で構成されたAPNに基づいてベアラがセットアップされる)と、SIM能力が装備された現加入者のみが利用可能な汎用ブートストラッピングアーキテクチャと、アプリケーションベースの転送(トラフィックがインターネットプロトコル(IP)アドレスに基づいてフィルタリングされる)とを含む。
しかし、前述の既存の解決法には、問題がある。たとえば、ユーザデバイスには、オペレータの(たとえばワイヤレスセルラーシステム)資格情報が装備されていないことがある。たとえば、ユーザデバイスは、SIMがないことがあり、またはセルラー加入を有さないことがある。IPアドレスベースのフィルタリングが使用される場合、スポンサー付き接続性は多くの異なるスポンサー(たとえばアプリケーションサービスプロバイダ)に対して容易にスケーリングされないことがあり、無認可/未認証トラフィックがオペレータのコアネットワークの中を流れることがあり、サービスアクセスネットワーク(たとえばゲートウェイ)が過負荷攻撃を被りやすいことがあり、非サービス関連トラフィック(たとえば、攻撃によって引き起こされるトラフィック)に対する料金がアプリケーションサービスプロバイダに課されることがあり、「ファーストマイル(first-mile)」(たとえば、進化型(evolved)ノードB(eNB)および/またはモビリティ管理エンティティ(MME)を介したアクセス)防御(すなわちフィルタリング)が利用可能でないことがある。
したがって、ユーザデバイスが加入を有さないワイヤレスネットワークを介してユーザデバイスがアプリケーションサービスプロバイダにアクセスできるようにするスポンサー付き接続性を確立するための、改善された方法、装置、およびシステムが必要とされている。
ある特徴は、ユーザデバイスにおいて動作する方法を提供する。この方法は、アプリケーションサービスプロバイダによって提供される少なくとも1つのアプリケーションサービスに関連付けられたアプリケーション固有証明書をアプリケーションサービスプロバイダから受信するステップと、アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスをワイヤレス通信ネットワークが提供すると決定するステップと、ユーザデバイスの認証のために、アプリケーション固有証明書を含む登録要求をワイヤレス通信ネットワークに送信するステップであって、アプリケーション固有証明書が、アプリケーションサービスに関連付けられた公開鍵を含む、ステップと、ワイヤレス通信ネットワークとの認証および鍵合意を実施するステップと、認証および鍵合意がうまく実施された後でアプリケーションサービスと通信するステップとを含む。一態様によれば、ワイヤレス通信ネットワークとの認証および鍵合意は、ユーザデバイスとワイヤレス通信ネットワークとの間で直接に、アプリケーションサービスプロバイダから独立して実施される。別の態様によれば、アプリケーションサービスに関連付けられた公開鍵は、ユーザデバイス公開鍵であり、アプリケーション固有証明書はさらに、アプリケーション固有ディジタル署名を含み、アプリケーション固有ディジタル署名は、アプリケーションサービスプロバイダの秘密鍵によって署名されたユーザデバイス公開鍵を含む。
一態様によれば、アプリケーション固有証明書はさらに、アプリケーション識別子およびアプリケーション固有ディジタル署名を含み、アプリケーション固有ディジタル署名は、アプリケーションサービスプロバイダの秘密鍵によって両方とも署名された公開鍵およびアプリケーション識別子を含み、アプリケーション識別子は、アプリケーションサービスに一意に関連付けられる。別の態様によれば、方法はさらに、認証および鍵合意が成功した後でアプリケーションサービスへのアプリケーション固有アクセスを得るステップを含む。さらに別の態様によれば、アプリケーション固有アクセスをワイヤレス通信ネットワークが提供すると決定するステップは、ワイヤレス通信ネットワークによってブロードキャストされた、ワイヤレス通信ネットワークを介してアプリケーションサービスが利用可能であることの告知を、受信するステップを含む。
一態様によれば、方法はさらに、信用されるワイヤレス通信ネットワークに関連付けられた複数の証明書をアプリケーションサービスプロバイダから受信するステップを含み、複数の証明書は、ワイヤレス通信ネットワークの公開鍵であるワイヤレス通信ネットワーク公開鍵を有する証明書を含む。別の態様によれば、方法はさらに、ワイヤレス通信ネットワーク公開鍵を使用してワイヤレス通信ネットワークディジタル署名を検証することによって、ワイヤレス通信ネットワークを認証するステップを含み、ワイヤレス通信ネットワークディジタル署名は、ワイヤレス通信ネットワークから受信されたアプリケーションサービス告知に含まれる。さらに別の態様によれば、方法はさらに、認証および鍵合意がうまく実施された後で、ユーザデバイスと、アプリケーションサービスプロバイダによって許可される1組のアプリケーションサービスとの間の通信を可能にするステップを含む。
別の特徴は、ワイヤレス通信ネットワークとワイヤレス通信するように適合されたワイヤレス通信インターフェースと、通信インターフェースに通信可能に結合された処理回路とを備えるユーザデバイスを提供する。処理回路は、アプリケーションサービスプロバイダによって提供される少なくとも1つのアプリケーションサービスに関連付けられたアプリケーション固有証明書をアプリケーションサービスプロバイダから受信することと、アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスをワイヤレス通信ネットワークが提供すると決定することと、ユーザデバイスの認証のために、アプリケーション固有証明書を含む登録要求をワイヤレス通信ネットワークに送信することであって、アプリケーション固有証明書が、アプリケーションサービスに関連付けられた公開鍵を含む、ことと、ワイヤレス通信ネットワークとの認証および鍵合意を実施することと、認証および鍵合意がうまく実施された後でアプリケーションサービスと通信することとを行うように適合される。一態様によれば、処理回路はさらに、認証および鍵合意が成功した後でアプリケーションサービスへのアプリケーション固有アクセスを得ることを行うように適合される。別の態様によれば、処理回路が、アプリケーション固有アクセスをワイヤレス通信ネットワークが提供すると決定することを行うように適合されることは、処理回路がさらに、ワイヤレス通信ネットワークによってブロードキャストされた、ワイヤレス通信ネットワークを介してアプリケーションサービスが利用可能であることの告知を、受信することを行うように適合されることを含む。
一態様によれば、処理回路はさらに、信用されるワイヤレス通信ネットワークに関連付けられた複数の証明書をアプリケーションサービスプロバイダから受信することを行うように適合され、複数の証明書は、ワイヤレス通信ネットワークの公開鍵であるワイヤレス通信ネットワーク公開鍵を有する証明書を含む。別の態様によれば、処理回路はさらに、ワイヤレス通信ネットワーク公開鍵を使用してワイヤレス通信ネットワークディジタル署名を検証することによって、ワイヤレス通信ネットワークを認証することを行うように適合され、ワイヤレス通信ネットワークディジタル署名は、ワイヤレス通信ネットワークから受信されたアプリケーションサービス告知に含まれる。さらに別の態様によれば、処理回路はさらに、認証および鍵合意がうまく実施された後で、ユーザデバイスと、アプリケーションサービスプロバイダによって許可される1組のアプリケーションサービスとの間の通信を可能にすることを行うように適合される。
別の特徴は、アプリケーションサービスプロバイダによって提供される少なくとも1つのアプリケーションサービスに関連付けられたアプリケーション固有証明書をアプリケーションサービスプロバイダから受信するための手段と、アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスをワイヤレス通信ネットワークが提供すると決定するための手段と、ユーザデバイスの認証のために、アプリケーション固有証明書を含む登録要求をワイヤレス通信ネットワークに送信するための手段であって、アプリケーション固有証明書が、アプリケーションサービスに関連付けられた公開鍵を含む、手段と、ワイヤレス通信ネットワークとの認証および鍵合意を実施するための手段と、認証および鍵合意がうまく実施された後でアプリケーションサービスと通信するための手段とを備えるユーザデバイスを提供する。一態様によれば、ユーザデバイスはさらに、認証および鍵合意が成功した後でアプリケーションサービスへのアプリケーション固有アクセスを得るための手段を備える。別の態様によれば、ユーザデバイスはさらに、信用されるワイヤレス通信ネットワークに関連付けられた複数の証明書をアプリケーションサービスプロバイダから受信するための手段であって、複数の証明書が、ワイヤレス通信ネットワークの公開鍵であるワイヤレス通信ネットワーク公開鍵を有する証明書を含む、手段と、ワイヤレス通信ネットワーク公開鍵を使用してワイヤレス通信ネットワークディジタル署名を検証することによって、ワイヤレス通信ネットワークを認証するための手段であって、ワイヤレス通信ネットワークディジタル署名が、ワイヤレス通信ネットワークから受信されたアプリケーションサービス告知に含まれる、手段とを備える。
別の特徴は、ワイヤレス通信ネットワークに関連するワイヤレス通信ネットワークデバイスにおいて動作する方法を提供する。この方法は、アプリケーションサービスプロバイダ公開鍵を含むアプリケーションサービスプロバイダ証明書をアプリケーションサービスプロバイダから受信するステップと、アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスを求める登録要求をユーザデバイスから受信するステップであって、登録要求が、アプリケーションサービスプロバイダによって署名されたアプリケーション固有証明書を含み、アプリケーション固有証明書が、アプリケーションサービスに関連付けられた公開鍵を含む、ステップと、アプリケーションサービスプロバイダ公開鍵を使用してアプリケーション固有証明書を検証して、ユーザデバイスを認証するステップと、ユーザデバイスとの認証および鍵合意を実施するステップとを含む。一態様によれば、ユーザデバイスとの認証および鍵合意は、ユーザデバイスとワイヤレス通信ネットワークデバイスとの間で直接に、アプリケーションサービスプロバイダから独立して実施される。別の態様によれば、方法はさらに、登録要求をユーザデバイスから受信する前に、アプリケーションサービスに関連するアプリケーションサービス登録情報を受信するステップを含む。
一態様によれば、方法はさらに、ワイヤレス通信ネットワークを介してアプリケーションサービスへのアプリケーション固有アクセスが利用可能であることを示す告知を、ブロードキャストするステップを含む。別の態様によれば、アプリケーションサービス告知は、ワイヤレス通信ネットワークの秘密鍵によって署名されたワイヤレス通信ネットワークディジタル署名を含み、ディジタル署名は、ワイヤレス通信ネットワーク公開鍵を用いたユーザデバイスにおける検証のために適合される。さらに別の態様によれば、アプリケーションサービスに関連付けられた公開鍵は、ユーザデバイス公開鍵であり、アプリケーション固有証明書はさらに、アプリケーション固有ディジタル署名を含み、アプリケーション固有ディジタル署名は、アプリケーションサービスプロバイダの秘密鍵によって署名されたユーザデバイス公開鍵を含む。
一態様によれば、アプリケーション固有証明書はさらに、アプリケーション識別子およびアプリケーション固有ディジタル署名を含み、アプリケーション固有ディジタル署名は、アプリケーションサービスプロバイダの秘密鍵によって両方とも署名された公開鍵およびアプリケーション識別子を含み、アプリケーション識別子は、アプリケーションサービスに一意に関連付けられる。別の態様によれば、方法はさらに、認証および鍵合意が成功した後でアプリケーションサービスへのアプリケーション固有アクセスをユーザデバイスに提供するステップを含む。さらに別の態様によれば、方法はさらに、アプリケーション固有証明書取消しリストを記憶するステップを含み、アプリケーション固有証明書取消しリストは、取り消された、アプリケーション固有アクセスを授与されるべきでない、ユーザデバイスにプロビジョニングされた複数のアプリケーション固有証明書を含む。
別の特徴は、ワイヤレス通信ネットワークに関連するワイヤレス通信ネットワークデバイスを提供する。このワイヤレス通信ネットワークデバイスは、少なくともユーザデバイスとワイヤレス通信するように適合されたワイヤレス通信インターフェースと、ワイヤレス通信インターフェースに通信可能に結合された処理回路とを備える。処理回路は、アプリケーションサービスプロバイダ公開鍵を含むアプリケーションサービスプロバイダ証明書をアプリケーションサービスプロバイダから受信することと、アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスを求める登録要求をユーザデバイスから受信することであって、登録要求が、アプリケーションサービスプロバイダによって署名されたアプリケーション固有証明書を含み、アプリケーション固有証明書が、アプリケーションサービスに関連付けられた公開鍵を含む、ことと、アプリケーションサービスプロバイダ公開鍵を使用してアプリケーション固有証明書を検証して、ユーザデバイスを認証することと、ユーザデバイスとの認証および鍵合意を実施することとを行うように適合される。一態様によれば、処理回路はさらに、登録要求をユーザデバイスから受信する前に、アプリケーションサービスに関連するアプリケーションサービス登録情報を受信することを行うように適合される。別の態様によれば、処理回路はさらに、ワイヤレス通信ネットワークを介してアプリケーションサービスへのアプリケーション固有アクセスが利用可能であることを示す告知を、ブロードキャストすることを行うように適合される。
一態様によれば、処理回路はさらに、認証および鍵合意が成功した後でアプリケーションサービスへのアプリケーション固有アクセスをユーザデバイスに提供することを行うように適合される。別の態様によれば、処理回路はさらに、アプリケーション固有証明書取消しリストを記憶することを行うように適合され、アプリケーション固有証明書取消しリストは、取り消された、アプリケーション固有アクセスを授与されるべきでない、ユーザデバイスにプロビジョニングされた複数のアプリケーション固有証明書を含む。
別の特徴は、アプリケーションサービスプロバイダ公開鍵を含むアプリケーションサービスプロバイダ証明書をアプリケーションサービスプロバイダから受信するための手段と、アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスを求める登録要求をユーザデバイスから受信するための手段であって、登録要求が、アプリケーションサービスプロバイダによって署名されたアプリケーション固有証明書を含み、アプリケーション固有証明書が、アプリケーションサービスに関連付けられた公開鍵を含む、手段と、アプリケーションサービスプロバイダ公開鍵を使用してアプリケーション固有証明書を検証して、ユーザデバイスを認証するための手段と、ユーザデバイスとの認証および鍵合意を実施するための手段とを備えるワイヤレス通信ネットワークデバイスを提供する。一態様によれば、ワイヤレス通信ネットワークデバイスはさらに、登録要求をユーザデバイスから受信する前に、アプリケーションサービスに関連するアプリケーションサービス登録情報を受信するための手段を備える。別の態様によれば、ワイヤレス通信ネットワークデバイスはさらに、認証および鍵合意が成功した後でアプリケーションサービスへのアプリケーション固有アクセスをユーザデバイスに提供するための手段を備える。
1つまたは複数のアプリケーションサービスに対するスポンサー付き接続性(すなわち「アプリケーション固有アクセス」)を特色とする通信システムの、高レベルの概略図である。 アプリケーション固有資格情報を使用してスポンサー付き接続性を提供することに関する高レベルのフローチャートである。 共有鍵をアプリケーション固有資格情報として使用してスポンサー付き接続性を確立するために例示的な通信システム内で実行される様々なプロセス/ステップを示す図である。 共有鍵をアプリケーション固有資格情報として使用してスポンサー付き接続性を確立するために例示的な通信システム内で実行される様々なプロセス/ステップを示す図である。 公開鍵証明書をアプリケーション固有資格情報として使用してスポンサー付き接続性を確立するために例示的な通信システム内で実行される様々なプロセス/ステップを示す図である。 公開鍵証明書をアプリケーション固有資格情報として使用してスポンサー付き接続性を確立するために例示的な通信システム内で実行される様々なプロセス/ステップを示す図である。 共有鍵を使用してスポンサー付き接続性を実行することに関するプロセスフローチャートである。 共有鍵を使用してスポンサー付き接続性を実行することに関するプロセスフローチャートである。 公開鍵証明書を使用してスポンサー付き接続性を実行することに関するプロセスフローチャートである。 公開鍵証明書を使用してスポンサー付き接続性を実行することに関するプロセスフローチャートである。 公開鍵を使用してスポンサー付き接続性を実行することに関するプロセスフローチャートである。 ユーザデバイスの概略ブロック図である。 ユーザデバイスの処理回路の第1の例示的な概略ブロック図である。 ユーザデバイスの処理回路の第2の例示的な概略ブロック図である。 アプリケーション固有アクセスを得るための、ユーザデバイスにおいて動作する第1の例示的な方法のフローチャートである。 アプリケーション固有アクセスを得るための、ユーザデバイスにおいて動作する第2の例示的な方法のフローチャートである。 ワイヤレス通信ネットワークデバイスの概略ブロック図である。 ネットワークデバイスの処理回路の第1の例示的な概略ブロック図である。 ネットワークデバイスの処理回路の第2の例示的な概略ブロック図である。 アプリケーション固有アクセスを提供するための、ネットワークデバイスにおいて動作する第1の例示的な方法のフローチャートである。 アプリケーション固有アクセスを提供するための、ネットワークデバイスにおいて動作する第2の例示的な方法のフローチャートである。
後続の記述では、本開示の様々な態様の完全な理解をもたらすために、具体的な詳細を提供する。しかし、これらの具体的な詳細がなくても態様が実践され得ることは、当業者には理解されるであろう。たとえば、態様を不必要に詳細にして不明瞭にするのを避けるために、回路をブロック図で示すことがある。他の事例では、本開示の態様を不明瞭にしないために、よく知られている回路、構造、および技法については詳細に示さないことがある。
「例示的」という用語は、本明細書では、「例、事例、または例証としての働きをする」ことを意味する。本明細書で「例示的」として記述されるいずれかの実装形態または態様が、必ずしも本開示の他の態様に勝って好適または有利であると解釈されるとは限らない。同様に、「態様」という用語は、本開示のすべての態様が、論じられる特徴、利点、または動作モードを含むことを必要としない。本明細書で使用される場合の「アプリケーションサービス」という用語は、アプリケーションサービスプロバイダによって提供される、かつ/またはアプリケーションサービスプロバイダによってアクセス許可される、アプリケーションおよび/またはサービスを指す。「アプリケーションサービスプロバイダ」という用語は、アプリケーションサービスを提供するエンティティを指す。
図1に、本開示の一態様による、1つまたは複数のアプリケーションサービスに対するスポンサー付き接続性(すなわち「アプリケーション固有アクセス」)を特色とする通信システム100の、高レベルの概略図を示す。このシステムは、ワイヤレス通信ネットワーク104(たとえばワイヤレスセルラーネットワーク)とワイヤレス通信している(103)複数のユーザデバイス102(たとえばユーザ機器(UE))を含む。ワイヤレス通信ネットワーク104は、1つまたは複数の無線アクセスネットワーク106と、コアネットワーク108とを含むことができる。複数のユーザデバイス102は、ワイヤレス通信ネットワーク104および介在する他の任意のパケットデータネットワーク(PDN)110(たとえば、インターネット、インスタントメッセージングサービス(IMS)など)を介して、アプリケーションサービスプロバイダ112にアクセスする(すなわちそれと通信する)ことができる。たとえば、複数のデバイス102は、アプリケーションサービスプロバイダ112によって提供される(たとえばホストされる)、かつ/またはアクセス許可される、1つまたは複数のアプリケーションサービス114へのアクセスを望むことがある。たとえば、アプリケーションサービス114は、アプリケーションサービスプロバイダ112によって提供されるソフトウェアであることがある。別の例として、アプリケーションサービス114は、アプリケーションサービスプロバイダ112によって提供/所有されない他のアプリケーション、データ、ウェブサイト、および/またはサービスにユーザデバイス102がアクセスするのを可能にすることができる。この意味で、アプリケーションサービス114は、ユーザデバイス102が場合によっては一般的なデータ接続にもアクセスするのを可能にすることができる。
一態様によれば、ユーザデバイス102は、次のものに限定されないが、モバイルフォン、スマートフォン、ラップトップ、パーソナルディジタルアシスタント(PDA)、タブレット、コンピュータ、スマートウォッチ、および頭部装着型ウェアラブルコンピュータ(たとえばGoogle Glass(登録商標))などの、ワイヤレス通信デバイスである。一態様によれば、セルラーネットワーク104は、次のものに限定されないが、グローバルシステムフォーモバイルコミュニケーションズ(GSM(登録商標))ネットワーク、ユニバーサルモバイル遠隔通信システム(UMTS)ネットワーク、ロングタームエボリューション(LTE)ネットワーク、および他の任意のワイヤレス通信ネットワークを含めた、任意のワイヤレスネットワークであってよい。一態様によれば、アプリケーションサービス114は、次のものに限定されないが、ウェブサイト、ソフトウェア、プログラム、データベースなど、アプリケーションサービスプロバイダ112によって提供、ホスト、および/またはそうでない場合には管理される任意の電子アプリケーションおよび/またはサービスであってよい。1つまたは複数のサーバまたは他のハードウェアデバイスが、アプリケーションサービス114の動作を容易にするためにアプリケーションサービスプロバイダ112を含むことができる。1つのアプリケーションサービス114のみが示されているが、アプリケーションサービスプロバイダ112は、複数の異なるアプリケーションサービス114(たとえば1組のサービス)を提供することもできる。同様に、1つのアプリケーションサービスプロバイダ112のみが示されているが、複数の異なるアプリケーションサービスプロバイダがあってもよく、各アプリケーションサービスプロバイダは、ワイヤレス通信ネットワーク104を介したアプリケーション固有アクセスを通して利用可能であり得る1つまたは複数のアプリケーションサービスを提供する。
ユーザデバイス102は、ワイヤレス通信ネットワーク104との、加入またはいずれかの既存の関係を有さないことがある。したがって、ユーザデバイス102は普通、データを一般に送受信するためにワイヤレス通信ネットワーク104を使用することができない場合がある。しかし、アプリケーションサービスプロバイダ112とワイヤレス通信ネットワーク104のオペレータとの間に事前交渉済みの取決めおよび合意があれば、ワイヤレス通信ネットワーク104は、ユーザデバイス102がネットワーク104を使用してアプリケーションサービスプロバイダ112および/またはそのアプリケーションサービス114にアクセスするのを可能にすることができ、そのような使用に対する料金があるとしても、そのすべてとは言わないまでも少なくとも一部をアプリケーションサービスプロバイダ112に請求することができる。この意味で、アプリケーションサービスプロバイダ112は、ユーザデバイスによるワイヤレス通信ネットワーク104の使用のスポンサーとなり、したがってユーザデバイス102は、アプリケーションサービスプロバイダ112および/またはアプリケーションサービス114への、スポンサー付き接続性を有する。
図2に、本開示の一態様による、アプリケーション固有資格情報を使用してスポンサー付き接続性を提供することに関する高レベルのフローチャート200を示す。一般に、ワイヤレスネットワークへのスポンサー付き接続性をユーザデバイスに提供するためのプロセスは、セットアップ202(たとえばセットアップ段階)と、認証204(たとえば認証段階)とを含む。
セットアップ202の間、アプリケーション固有資格情報がアプリケーションサービスプロバイダによってユーザデバイスにプロビジョニングされてよい(206)。アプリケーション固有資格情報は、アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへの、ワイヤレス通信ネットワークを介したアプリケーション固有アクセスに対して、ユーザデバイスが認証されるのを可能にする。アプリケーション固有資格情報は、セキュアな方式で供給されてよく、この方式は、次のものに限定されないが、ユーザデバイスの公開鍵(もしあれば)を使用して、かつ/またはセキュアソケットレイヤ(SSL)もしくはトランスポートレイヤセキュリティ(TLS)暗号プロトコルを使用して、資格情報を暗号化することなどである。アプリケーション固有資格情報は、共有鍵(たとえば対称鍵)、ユーザデバイス公開鍵証明書、および/またはこの2つの組合せに基づいてよい。たとえば、一態様では、アプリケーション固有資格情報は、ユーザデバイスに提供されるとともにアプリケーションサービスプロバイダにおいても記憶される、共有鍵であってよい。別の例として、アプリケーション固有資格情報は、アプリケーション固有ディジタル署名を含むアプリケーション固有証明書であってよい。アプリケーション固有資格情報は、ユーザデバイスのセキュアな実行環境または信用される実行環境に記憶されてよい。セキュアな実行環境の非限定的かつ非排他的な一例は、ARM(登録商標)アーキテクチャにおけるTrustZone(登録商標)である。
ステップ202の間にまた、信用されるワイヤレス通信ネットワークに関連付けられた複数の証明書がユーザデバイスにプロビジョニングされてよい(208)。たとえば、複数の証明書は、信用されるモバイルネットワークオペレータ(MNO)の証明書のリストであってよい。アプリケーションサービスプロバイダはサービスプロビジョニングを実施することもでき(210)、これは、ワイヤレス通信ネットワークの一部であり得るサービスプロビジョニング機能(SPF)を用いてアプリケーションサービスを登録することを含む。そしてSPFは、アプリケーション固有資格情報がアプリケーション固有証明書である場合には、アプリケーションサービスプロバイダの公開鍵を1つまたは複数のワイヤレス通信ネットワークデバイス(たとえば、RAN、MMEなど)にプロビジョニングすることができる(210)。一例によれば、アプリケーションサービスプロバイダの公開鍵は、単独でネットワークデバイスに提供されてよい。別の例として、この公開鍵は、証明書の形で、すなわち、自己署名された証明書(すなわちアプリケーションサービスプロバイダによって署名されたアプリケーションサービスプロバイダ公開鍵証明書)またはサードパーティによって署名された証明書のいずれかの形で、提供されてよい。
セットアップ202の後、使用されるアプリケーション固有資格情報が共有鍵である(212)か公開鍵証明書である(214)かに基づいて、認証(204)および鍵合意が実施されてよい。アプリケーション固有資格情報が共有鍵である場合(212)は、アプリケーションサービスプロバイダは、ホーム加入者サービス(HSS:home subscriber service)認証、認可、アカウンティング(AAA:authentication, authorization and accounting)エンティティとしての役割を果たす。共有鍵は、秘密に保たれ、ユーザデバイスとアプリケーションサービスプロバイダとの間の主要通信チャネル(たとえば、図4に示されるデータパス)とは異なる帯域外通信チャネル(たとえばWi-Fi(登録商標))を介して、ユーザデバイスとアプリケーションサービスプロバイダとの間で事前共有されてよい。一態様では、データ接続(たとえば、インターネットを介したデータ通信チャネル)が、ワイヤレス通信ネットワークデバイス(たとえばMME)とアプリケーションサービスプロバイダとの間で確立される。というのは、MMEとアプリケーションサービスプロバイダとは相互間の直接シグナリングチャネル(たとえば制御チャネル)を有さないことがあるからである。最初は、データ接続は、ユーザデバイスを認証する(たとえば、認証および鍵合意をうまく実施する)ために認証情報要求をアプリケーションサービスプロバイダに転送することのみに使用されることが可能である。ユーザデバイスが認証された後でのみ、ユーザデバイスはまた、このデータ接続および/または別のデータ接続を介してデータトラフィックもアプリケーションサービスプロバイダに送信することができる。さらに、アプリケーションサーバに対するアプリケーション固有トラフィック/モビリティ処理(たとえばベアラ事前構成)が構成されてよい。
アプリケーション固有資格情報がアプリケーション固有証明書である場合は、ワイヤレス通信ネットワークは、アプリケーション固有証明書に含まれるアプリケーション固有ディジタル署名を検証することによって、ネットワークを介したスポンサー付き接続性を得ようとするユーザデバイスを認証することができる。ネットワークアクセス認証は、アプリケーションサービスプロバイダに接触する必要なしにワイヤレスネットワーク内で実施される。すなわち、ネットワークアクセス認証は、アプリケーションサービスプロバイダから独立して(すなわち、認証のためにアプリケーションサービスプロバイダに接触する必要なしに)、ワイヤレス通信ネットワークとユーザデバイスとの間で実施されることが可能である。したがって、そのような場合のアプリケーション固有認証およびフィルタリングは、「ファーストマイル」において施行される(たとえば、RANおよび/またはMMEによって施行される)ことが可能である。同様に、ユーザデバイスは、ユーザデバイスにプロビジョニングされた、信用されるワイヤレス通信ネットワークに関連付けられた複数の証明書を使用して、アプリケーションサービスを求めてスポンサー付き接続性を確立しようとしている対象である特定のワイヤレス通信ネットワークを認証することができる。具体的には、ユーザデバイスは、これらの証明書を使用して、ワイヤレス通信ネットワークによってブロードキャストされた告知(たとえばアプリケーションサービス告知)に含まれる1つまたは複数のディジタル署名を検証することができる。
図3および図4に、本開示の一態様による、共有鍵をアプリケーション固有資格情報として使用してスポンサー付き接続性を確立するために例示的な通信システム300内で実行される様々なプロセス/ステップを示す。図3を参照すると、アプリケーションサービスプロバイダ(ASP)112は、最初に、サービスプロビジョニング機能(SPF)302を介してアプリケーションサービス114をワイヤレス通信ネットワーク104に登録することができる(ステップA1またはA2、およびステップB)。いくつかの態様では、SPF302は、ワイヤレス通信ネットワーク104の一部であってよい(たとえば、ネットワーク104の任意のネットワークデバイスにあるソフトウェアであってよい)。アプリケーションサービスをワイヤレス通信ネットワーク104に登録することは、アプリケーションサービス登録情報を提供/プロビジョニングすることを含むことができ、このアプリケーションサービス登録情報は、アプリケーションサービスに一意に関連付けられたアプリケーション識別子、料金請求に関係する情報、SPF302とASP112との間のインターフェースセットアップ情報(たとえば、セキュリティ関連情報、バーチャルプライベートネットワーク情報など)等を含むことがある。アプリケーションサービス登録情報は、次のものに限定されないが、RAN106、MME304、および/またはサービスクエリプロトコル(SQP)サーバ303を含めた、ネットワーク104のネットワークデバイスに提供されてよい。
一態様によれば、ASP112は、SPF302と直接に通信し、アプリケーションサービス登録情報をSPF302に直接に送信することができる(すなわちステップA1)。他の態様では、ASP112は、ワイヤレス通信ネットワーク104および/またはSPF302との直接インターフェースを有さないことがあり、したがって、ASP112は、PDN110および1つまたは複数のパケットデータネットワークゲートウェイ(P-GW)308を介したデータ線接続を使用して、アプリケーションサービス登録情報をSPF302に送信することができる(すなわちステップA2)。SQPサーバ303は、ユーザデバイス102からの照会を処理し、SPF302から受信されたアプリケーションサービス登録情報の少なくとも一部をユーザデバイス102に提供することができる。
ステップCで、ASP112はデバイス登録を実施するが、とりわけ、ASP112は、アプリケーション固有資格情報をユーザデバイス102にプロビジョニングすることができ、このアプリケーション固有資格情報は、この場合、ユーザデバイス102に一意に関連付けられた共有鍵である。ASP112はまた、ユーザデバイス102がスポンサー付き接続性を使用してアクセスしたいと望むアプリケーションサービスを識別するアプリケーション識別子を提供することもできる。ASP112は、ユーザデバイスの公開鍵またはセキュアなチャネル(たとえばTLS)を使用するなどのセキュアな方式で、アプリケーション固有資格情報をユーザデバイス102に提供することができる。アプリケーション固有資格情報は、ユーザデバイス102のセキュアな実行環境に記憶されてよい。一態様によれば、アプリケーションアクセスのためのパスワードまたはアクセストークンがネットワークアクセスに使用される場合には、アプリケーション固有資格情報プロビジョニングはスキップされてもよい。
図4を参照すると、アタッチプロシージャ(ステップD)が、ユーザデバイス102とアプリケーションサービスプロバイダ112との間で実施される。これは、ユーザデバイス102が登録要求(たとえばアタッチ要求)をワイヤレス通信ネットワーク104に送信することからなる。登録要求は、ユーザデバイス102を識別するデバイス識別子と、ユーザデバイス102がスポンサー付き接続性を望むアプリケーションサービス114を識別するアプリケーション識別子とを含むことができる。一例では、アプリケーション識別子は、完全修飾ドメイン名(FQDN)であってよい。次いで、ワイヤレス通信ネットワーク104(たとえばMME304)は、登録要求とサービングネットワーク識別子とを含む認証情報要求を、データパスを介してアプリケーションサービスプロバイダ112に転送することができる(図4中の「データパス」とラベル付けされた破線矢印を参照されたい)。データパスは、セキュアなデータチャネル(たとえば、TLSまたはハイパーテキストトランスファープロトコルセキュア(HTTPS))であってよい。したがって、認証情報要求メッセージは、MME304から、1つまたは複数のサービングゲートウェイ(S-GW)306、1つまたは複数のP-GW308、および1つまたは複数のパケットデータネットワーク110の中を進んで、アプリケーションサービスプロバイダ112に到達する。対照的に、従来技術では、一般的なセルラーネットワークアクセスをユーザデバイスに授与することに関係する認証要求は、データパスを介する代わりに、専用の直接制御パスと、MMEとのインターフェース(たとえばS6aインターフェース)とを介して、MME304からHSS/AAAエンティティ402/404に送られる。次いで、ASP112は、認証情報要求の中で受信したデバイス識別子とアプリケーション識別子とに関連付けられた共有鍵をルックアップし、認証情報をワイヤレス通信ネットワーク104に供給し返して、ユーザデバイス102との認証および鍵合意を容易にすることができる。
図5および図6に、本開示の一態様による、公開鍵証明書をアプリケーション固有資格情報として使用してスポンサー付き接続性を確立するために例示的な通信システム500内で実行される様々なプロセス/ステップを示す。図5を参照すると、ASP112は、最初に、サービスプロビジョニング機能(SPF)502を介してアプリケーションサービス114をワイヤレス通信ネットワーク104に登録することができる(ステップA1またはA2、およびステップB)。いくつかの態様では、SPF502は、ワイヤレス通信ネットワーク104の一部であってよい(たとえば、ネットワーク104の任意のネットワークデバイスにあるソフトウェアであってよい)。アプリケーションサービス114をワイヤレス通信ネットワーク104に登録することは、アプリケーションサービス登録情報を提供/プロビジョニングすることを含むことができ、このアプリケーションサービス登録情報は、アプリケーションサービスに一意に関連付けられたアプリケーション識別子、料金請求に関係する情報、SPF502とASP112との間のインターフェースセットアップ情報(たとえば、セキュリティ関連情報、バーチャルプライベートネットワーク情報など)等を含むことがある。アプリケーションサービス登録情報は、次のものに限定されないが、RAN106、MME304、および/またはサービスクエリプロトコル(SQP)サーバ303を含めた、ネットワーク104のネットワークデバイスに提供されてよい。ASP112はまた、RAN106および/またはMME304など1つまたは複数のネットワークデバイスに、アプリケーションサービスプロバイダ公開鍵をプロビジョニングする(ステップB)。公開鍵は、単独で提供されてもよく、または、証明書(たとえば、自己署名されたアプリケーションサービスプロバイダ公開鍵証明書、もしくはサードパーティによって署名された証明書)の形で提供されてもよい。一態様では、ASP112は、それがホストする各アプリケーションサービス114について、異なるアプリケーションサービスプロバイダ公開鍵(またはアプリケーションサービスプロバイダ公開鍵証明書)をネットワークデバイス106、304に提供する。別の態様では、ASP112は、それがホストする各アプリケーションサービス114について、同じアプリケーションサービスプロバイダ公開鍵(またはアプリケーションサービスプロバイダ公開鍵証明書)をネットワークデバイス106、304に提供することができる。
一態様では、ASP112は、SPF502と直接に通信し、アプリケーションサービスプロバイダ証明書(ASPの公開鍵証明書またはASPの公開鍵)を含むアプリケーションサービス登録情報をSPF502に直接に送信することができる(すなわちステップA1)。他の態様では、ASP112は、ワイヤレス通信ネットワーク104および/またはSPF502との直接インターフェースを有さないことがあり、したがって、ASP112は、PDN110および1つまたは複数のパケットデータネットワークゲートウェイ(P-GW)308を介したデータ線接続を使用して、アプリケーションサービス登録情報およびアプリケーションサービスプロバイダ証明書をSPF502に送信することができる(すなわちステップA2)。SQPサーバ303は、ユーザデバイス102からの照会を処理し、SPF502から受信されたアプリケーションサービス登録情報の少なくとも一部をユーザデバイス102に提供することができる。
ステップCで、ASP112はデバイス登録を実施するが、とりわけ、ASP112は、ユーザデバイス102にアプリケーション固有資格情報をプロビジョニングすることができ、このアプリケーション固有資格情報は、この場合、アプリケーション固有証明書であってよい。アプリケーション固有証明書は、ユーザデバイス識別子とユーザデバイス公開鍵とアプリケーション固有ディジタル署名とを含むシンプル公開鍵インフラストラクチャ(SPKI:simple public key infrastructure)証明書([識別+公開鍵], [認可/署名])であってよい。アプリケーション固有ディジタル署名は、アプリケーションサービスプロバイダの秘密鍵(すなわちアプリケーションサービスプロバイダ秘密鍵)によって署名された、ユーザデバイス102の公開鍵であってよい。いくつかの態様では、アプリケーション固有ディジタル署名は、アプリケーション識別子も含むことができる(すなわち、ASP112は、アプリケーション識別子とユーザデバイス102の公開鍵との両方に署名する)。後者の場合、アプリケーション固有証明書は、アプリケーション識別子も含む。一態様によれば、アプリケーション固有ディジタル署名に署名するためにアプリケーションサービスプロバイダ112によって使用される秘密鍵は、アプリケーションサービスプロバイダ112が提供/ホストする各アプリケーションサービス114に一意に関連付けられたものであってよい。一態様では、ASP112は、アプリケーション固有証明書の全体をユーザデバイス102にプロビジョニングするのではなく、単にアプリケーション固有ディジタル署名をユーザデバイス102にプロビジョニングし、ユーザデバイスは、後で、そのユーザデバイス識別子、ユーザデバイス公開鍵、および場合によってはアプリケーション識別子を付加して、完全なアプリケーション固有証明書を形成することができる。
アプリケーションサービスプロバイダ112は、ユーザデバイスの公開鍵またはセキュアなチャネル(たとえばTLS)を使用するなどのセキュアな方式で、アプリケーション固有証明書をユーザデバイス102に提供することができる。アプリケーション固有証明書は、ユーザデバイス102のセキュアな実行環境または信用される実行環境に記憶されてよい。一態様によれば、アプリケーションアクセスのためのパスワードまたはアクセストークンがネットワークアクセスに使用される場合には、アプリケーション固有資格情報プロビジョニングはスキップされてもよい。
図6を参照すると、アタッチプロシージャ(ステップD)が、ユーザデバイス102とアプリケーションサービスプロバイダ112との間で実施される。これは、ユーザデバイス102が登録要求(たとえばアタッチ要求)をワイヤレス通信ネットワーク104に送信することからなる。登録要求は、アプリケーション固有証明書を含む。MME304は、証明書に含まれるアプリケーション固有ディジタル署名を検証して、ユーザデバイス102の識別を検証する。同様に、MME304は、ワイヤレス通信ネットワークディジタル署名を含むアプリケーションサービス告知をユーザデバイス102にブロードキャストすることができる。ユーザデバイス102は、アプリケーションサービスプロバイダ112によってユーザデバイス102にプロビジョニングされたワイヤレス通信ネットワーク104の公開鍵を使用して、ワイヤレス通信ネットワークディジタル署名を検証することができる。次いで、MME304とユーザデバイス102とは、アプリケーションサービスプロバイダ112から独立して(すなわち、ユーザデバイスの認証のためにアプリケーションサービスプロバイダ112に接触する必要なしに)、相互との認証および鍵合意を実施することができる。したがって、認証および鍵合意は、「ファーストマイル」において(すなわちMME304において)実施され、さらにコアネットワーク108中には進まない。
いくつかの態様では、アプリケーション固有資格情報は、共有鍵とアプリケーション固有証明書との組合せを含むことができる。たとえば、アプリケーション固有証明書は、ユーザデバイス102の最初の識別検証に使用されてよく、共有鍵は、認証および鍵合意に使用されてよい。
図7Aおよび図7Bに、本開示の一態様による、共有鍵を使用してスポンサー付き接続性を実行することに関するプロセスフローチャート700を示す。ユーザがユーザデバイス102をアプリケーションサービスプロバイダ112(たとえばアプリケーションサーバ)に登録するとき、共有鍵がアプリケーションサービスプロバイダ112によってユーザデバイス102にプロビジョニングされる(702)。いくつかの態様では、ユーザデバイス102にはまた、アプリケーションサービスプロバイダによって、デバイス識別子(たとえばユーザ識別子)、および/または、アプリケーションサービスに関連付けられたアプリケーション識別子(たとえば完全修飾ドメイン名)がプロビジョニングされてもよい。他の態様では、ユーザデバイス102は、ユーザ識別子をすでに保有している(たとえば製造時に)ことがあり、ユーザデバイス102は、デバイス登録中にこのデバイス識別子をASP112に提供し、したがって、ASP112は、デバイス識別子を共有鍵に関連付けることができる。デバイス識別子は、国際移動局機器識別子(IMEI:international mobile station equipment identifier)、電気電子技術者協会(IEEE)拡張一意識別子(EUI:Extended Unique Identifier)アドレス(たとえば、EUI-48またはEUI-64)(すなわち媒体アクセス制御(MAC)アドレス)、移動局国際加入者ディレクトリ番号(MSISDN:mobile station international subscriber directory number)、ネットワークアクセス識別子(NAI:network access identifier)などであってよい。共有鍵は、秘密に保たれ、帯域外通信チャネル(たとえばWi-Fi(登録商標))を介してユーザデバイス102とアプリケーションサービスプロバイダ112との間で事前共有されてよい。アプリケーションサービスプロバイダ112はまた、共有鍵を、ユーザデバイス102に関連付けられた(たとえば、ユーザデバイス102のデバイス識別子に関連付けられた)状態で記憶する(704)。アプリケーションサービスプロバイダ112はまた、アプリケーションサービスをモバイルネットワークオペレータ
の(MNOの)ワイヤレスネットワーク104に登録することもでき、したがって、次いでネットワーク104は、アプリケーションサービスへのスポンサー付き接続性の利用可能性に関するアプリケーションサービス告知をブロードキャスト/送信するのを開始することができる。
サービス発見プロシージャが、ユーザデバイス102とワイヤレスネットワーク104のRAN106(たとえばeNB)との間で実施され(706)、これにより、ユーザデバイス102は、ユーザデバイス102が関心を有するであろうアプリケーションサービスをワイヤレスネットワーク104が提供するかどうかを検出することができる。サービス発見は、サービスクエリプロトコル(SQP)を介したサービスプロビジョニング機能によって可能にされてよく、SQPは、ジェネリックアドバタイズメントサービス(GAS:generic advertisement service)およびアクティブネットワーククエリプロトコル(ANQP:active network query protocol)と同様の機能性を有する。ユーザデバイス102が欲するアプリケーションサービスへのスポンサー付き接続性をワイヤレスネットワーク104が提供するとユーザデバイス102が決定すると、ユーザデバイス102は、そのデバイス識別子とアプリケーション識別子(たとえばFQDN)とを含む登録要求(たとえばアタッチ要求)メッセージをRAN106に送る(708)。RAN106は、登録要求メッセージをMME304に転送する(710)。次いで、MME304は、サービングネットワーク識別子(たとえば、サービングネットワークを識別する識別子)を登録要求メッセージに追加して(712)、認証情報要求を形成する。次いで、MME304は、セキュアであり得るデータパス(たとえば、データチャネル、データトラフィック通信線、データ接続など。図4の「データパス」参照)(たとえば、TLSまたはハイパーテキストトランスファープロトコルセキュア(HTTPS))を介して、認証情報要求メッセージをアプリケーションサービスプロバイダ112に送る(714)。したがって、認証情報要求メッセージは、1つまたは複数のS-GW306、1つまたは複数のP-GW308、および1つまたは複数のパケットデータネットワーク110の中を通った後、アプリケーションサービスプロバイダ112に到達する。対照的に、従来技術では、セルラーネットワークアクセスをユーザデバイスに授与することに関係する認証要求は、データ接続を介する代わりに、MMEとの専用の直接制御チャネルインターフェース(たとえばS6aインターフェース)を介して、MME304からHSS/AAAエンティティに送られる。
アプリケーションサービスプロバイダ112は、ユーザデバイス102に関連付けられた共有鍵から認証ベクトル(AV)を導出し(716)、AVをMME304に送る(718)。AVの導出は3GPP 33.401に記載されており、AV = [K_ASME, AUTN, RAND, XRES]であり、K_ASMEは鍵(たとえばアクセスセキュリティ管理エンティティ(ASME))であり、AUTNは認証トークンであり、RANDは乱数であり、XRESは予想される応答である。MME304は、値K_ASMEおよびXRESをローカルメモリに記憶し(720)、RANDおよびAUTNをユーザデバイス102に転送する(722)。ユーザデバイス102は、その記憶済みの共有鍵を使用して、受信された値AUTNを妥当性検査する。値AUTNが有効である場合は、ユーザデバイス102は、サービングネットワーク104に対する認証応答(RES)を導出し(724)、また、K_ASMEも導出する。ユーザデバイス102は、値RESをMME304に送る(726)。MME304は、XRES==RESかどうかを検証する(728)。検証が成功した場合は、非アクセス層(NAS)およびアクセス層(AS)鍵セットアップが、ユーザデバイス102とMME304との間で実行される(730)。
図8Aおよび図8Bに、本開示の一態様による、公開鍵証明書を使用してスポンサー付き接続性を実行することに関するプロセスフローチャート800を示す。ユーザデバイス102がアプリケーションサービスプロバイダ112に登録するとき、アプリケーションサービスプロバイダ112は、アプリケーション固有証明書をユーザデバイス102にプロビジョニングする(802)。ASP112はまた、デバイス識別子、ならびに/または、信用されるワイヤレス通信ネットワーク(たとえばMNO)の複数の公開鍵証明書を含む信用されるMNOおよび証明書リスト、をユーザデバイス102にプロビジョニングすることもできる。一態様では、ユーザデバイス102は、デバイス登録中にASP112に提供するそれ自体のデバイス識別子を有し、したがって、ASPは、提供されたアプリケーション固有証明書に関連付けられた状態でデバイス識別子を記憶する。デバイス識別子は、IMEI、IEEE EUI-48/EUI-64アドレス(すなわちMACアドレス)、MSISDN、またはNAIであってよい。別法として、デバイス識別子は、その公開鍵のハッシュであってもよい。
アプリケーションサービスプロバイダ112はまた、アプリケーションサービス登録情報を、ワイヤレス通信ネットワーク104のコンポーネント/デバイスに送信する(たとえばSPF502を介して。図5参照)。アプリケーションサービス登録情報は、アプリケーションサービスに一意に関連付けられたアプリケーション識別子、料金請求に関係する情報、SPFとASP112との間のインターフェースセットアップ情報(たとえば、セキュリティ関連情報、バーチャルプライベートネットワーク情報など)等を含むことがある。ASP112はまた、RAN106および/またはMME304など1つまたは複数のネットワークデバイスに、アプリケーションサービスプロバイダ証明書(たとえば、ASPの公開鍵証明書)をプロビジョニングする(804)。ASP証明書は、自己署名された(すなわちASPによって署名された)ものであるか、または、信用されるサードパーティエンティティによって署名されたものであってよい。いくつかの態様では、ASPは、1つまたは複数のネットワークデバイスに、単に公開鍵(すなわち公開鍵証明書ではない)をプロビジョニングするだけであってもよい。
RAN106によるアプリケーションサービス告知806の一部として、GAS/ANQPと同様のプロトコルが、サービス発見に使用されてよい。アプリケーションサービス告知は、ワイヤレス通信ネットワークディジタル署名を含むことができる。サービス告知がそのようなディジタル署名を含む場合、ユーザデバイス102は、信用されるMNOの証明書リスト中でアプリケーションサービスプロバイダ112によってユーザデバイス102にプロビジョニングされたワイヤレス通信ネットワーク公開鍵を使用して、ディジタル署名を検証することができる(808)。次いで、ユーザデバイス102は、アプリケーション固有証明書を含む登録要求をMME304に送ることができる(810)。登録要求はまた、デバイス識別子および第1の乱数(たとえばNonceU)を含むこともできる。次いで、MME304は、前にプロビジョニングされたアプリケーションサービスプロバイダ証明書を使用して(すなわちASP証明書の公開鍵を使用して)、アプリケーション固有証明書に含まれるアプリケーション固有ディジタル署名を検証することができる(811)。これは、ユーザデバイス102の識別を検証/認証する(811)。
検証811が成功すると、次いでMME304は、鍵(K_ASME)をランダムに生成し(812)、ユーザデバイス102の公開鍵PK_UDを使用してK_ASMEを暗号化する(814)(すなわちEncPK_UD(K_ASME)。ここで、Enc()は暗号化関数である)。次いで、MME304は、第2の乱数(たとえばNonceM)をランダムに生成し、XRES = HMAC(K_ASME, NonceU | NonceM)を計算する(816)(ここで、HMAC()は、鍵付きハッシュメッセージ認証コードである)。次いで、MME304は、EncPK_UD(K_ASME)、NonceM、PK_MMEに対して署名を実行する(818)(ここで、PK_MMEは、MME304の公開鍵である)。MME304は、EncPK_UE(K_ASME)、NonceM、PK_MME、および署名をユーザデバイス102に送る(820)。ユーザデバイス102は、署名を検証し、その秘密鍵を使用してK_ASMEを復号し、RES = HMAC(K_ASME, NonceU | NonceM)を計算する(822)。ユーザデバイス102は、値RESをMME304に送る(824)。MME304は、値RESを値XRESと比較し(826)、これらが一致する(すなわちMME304がユーザデバイスをうまく認証した)場合は、NASおよびアプリケーションサービス(AS)鍵セットアップが、ユーザデバイス102とMME304との間で実行される(828)。
一態様によれば、アプリケーションサービスプロバイダ112は、証明書取消しリストをワイヤレス通信ネットワーク104に提供することができ、次いでワイヤレス通信ネットワーク104は、取消しリストを証明書サービス機能(CSF)801において記憶することができる。取消しリストは、取り消されたか、またはそうでない場合には無効な、アプリケーション固有証明書を識別する。MME304は、CSF801を用いてチェックして、アプリケーション固有アクセスを得ようとするユーザデバイスが取消しリスト上のアプリケーション固有証明書を提供したか否かを決定することができる。そうである場合は、MME304は、ユーザデバイス102の認証を拒否する(すなわちアプリケーション固有アクセスを拒否する)ことができる。一態様によれば、CSF801は、アプリケーション固有証明書がその失効前に取り消されるかどうかにかかわらず、アプリケーション固有証明書をその存続期間にわたって(すなわちその失効日まで)記憶する。たとえば、アプリケーション固有証明書が1年の存続期間を有する(すなわち1年で失効する)ことがあるが、ほんの1か月後に取り消されることがある。それでも、CSF801は、その存続期間中に残っている11か月にわたって証明書を記憶することができる。別の態様では、CSF801は、オンライン証明書ステータスプロトコル(OCSP:online certificate status protocol)レスポンダを実行して、証明書取消しステータスをMME304に提供することができる。
図9に、本開示の一態様による、公開鍵を使用してスポンサー付き接続性を実行することに関するプロセスフローチャート900を示す。ユーザデバイス102がアプリケーションサービスプロバイダ112に登録するとき、アプリケーションサービスプロバイダ112は、デバイス識別子と、信用されるワイヤレス通信ネットワーク(たとえばMNO)の複数の公開鍵証明書を含む信用されるMNOおよび証明書リストとを、ユーザデバイス102にプロビジョニングすることができる(902)。デバイス識別子は、IMEI、IEEE EUI-48/EUI-64アドレス(すなわちMACアドレス)、MSISDN、もしくはNAI、またはその公開鍵のハッシュであってよい。ユーザデバイス102はまた、その公開鍵をASP112に提供し、ASP112はこの公開鍵を記憶することができる。
アプリケーションサービスプロバイダ112はまた、アプリケーションサービス登録情報を、ワイヤレス通信ネットワーク104のコンポーネント/デバイスに送信する。アプリケーションサービス登録情報は、アプリケーションサービスに一意に関連付けられたアプリケーション識別子、料金請求に関係する情報、SPFとASP112との間のインターフェースセットアップ情報(たとえば、セキュリティ関連情報、バーチャルプライベートネットワーク情報など)等を含むことがある。ASP112はまた、アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスに対して承認されたユーザデバイス公開鍵のリストを、RAN106および/またはMME304など1つまたは複数のネットワークデバイスにプロビジョニングする(904)。
RAN106によるアプリケーションサービス告知906の一部として、GAS/ANQPと同様のプロトコルが、サービス発見に使用されてよい。アプリケーションサービス告知は、ワイヤレス通信ネットワークディジタル署名を含むことができる。サービス告知がそのようなディジタル署名を含む場合、ユーザデバイス102は、信用されるMNOの証明書リスト中でアプリケーションサービスプロバイダ112によってユーザデバイス102にプロビジョニングされたワイヤレス通信ネットワーク公開鍵を使用して、署名を検証することができる(908)。次いで、ユーザデバイス102は、ユーザデバイス公開鍵を含む登録要求をMME304に送ることができる(910)。登録要求はまた、デバイス識別子および第1の乱数(たとえばNonceU)を含むこともできる。次いで、MME304は、ユーザデバイスによって提供された公開鍵が、前にアプリケーションサービスプロバイダ112によって提供された承認済み公開鍵のリスト上の公開鍵と一致するかどうかをチェックして確認することによって、ユーザデバイスの識別をチェックして検証することができる(912)。一致する場合は、ユーザデバイス102の識別は立証される。一致しない場合は、認証は失敗し、ユーザデバイス102はアプリケーション固有アクセスを得られないものとすることができる。検証912の後、プロセス900は、図8Aおよび図8Bに示されるのと同じ認可および鍵合意プロセス(ステップ812〜828)を辿ることができる。
一態様によれば、ユーザデバイスはSIMもUSIMも有さないことがあるので、アプリケーション固有資格情報は、加入者識別モジュール(SIM)資格情報にもユニバーサル加入者識別モジュール(USIM)資格情報にも基づかないことがある。アプリケーション固有資格情報は、ワイヤレスネットワーク104を介した、アプリケーションサービスプロバイダ112の特定のアプリケーションサービス114への、または1組のアプリケーションサービスへのアクセスを許可するだけとすることができる。アプリケーション固有資格情報が共有鍵を含むときに、どのようにアプリケーション固有資格情報をセキュアな方式でプロビジョニングできるかに関する、いくつかの非限定的かつ非網羅的な例は、動的対称鍵プロビジョニングプロトコル(DSKPP:dynamic symmetric key provisioning protocol(RFC6063))および/または暗号トークン鍵初期化プロトコル(CT-KIP:cryptographic token key initialization protocol(RFC4758))を含む。アプリケーション固有資格情報が公開鍵証明書を含むときは、暗号メッセージ構文(CMS:cryptographic message syntax(RFC5272、6402))プロトコルを介した証明書管理を使用して、アプリケーション固有資格情報をセキュアにプロビジョニングすることができる。
図10に、本開示の一態様による、ユーザデバイス102の概略ブロック図を示す。ユーザデバイス102は、次のものに限定されないが、モバイルフォン、スマートフォン、ラップトップ、パーソナルディジタルアシスタント(PDA)、タブレット、コンピュータ、スマートウォッチ、および頭部装着型ウェアラブルコンピュータ(たとえばGoogle Glass(登録商標))など、任意のワイヤレス通信デバイスであってよい。ユーザデバイス102は、1つまたは複数のワイヤレス通信インターフェース1002、1つまたは複数のメモリ回路1004、1つまたは複数の入力および/もしくは出力(I/O)デバイス/回路1006、ならびに/あるいは、1つまたは複数の処理回路1008を少なくとも備えることができ、これらは相互に通信可能に結合されてよい。たとえば、インターフェース1002、メモリ回路1004、I/Oデバイス1006、および処理回路1008は、バス1010を介して相互に通信可能に結合されてよい。ワイヤレス通信インターフェース1002は、ユーザデバイス102がワイヤレス通信ネットワーク104とワイヤレス通信するのを可能にする。したがって、インターフェース1002は、ユーザデバイス102が、モバイル遠隔通信セルラーネットワークなどのワイヤレスワイドエリアネットワーク(WWAN)、ならびに短距離ワイヤレスローカルエリアネットワーク(たとえば、WiFi(登録商標)、Zigbee(登録商標)、Bluetooth(登録商標)など)とワイヤレス通信するのを可能にする。ワイヤレス通信インターフェース1002は、認証および鍵合意がうまく実施された後でユーザデバイスがアプリケーションサービスと通信するための手段の一例を表す。
メモリ回路1004は、1つまたは複数の揮発性メモリ回路および/または不揮発性メモリ回路を含むことができる。したがって、メモリ回路1004は、ダイナミックランダムアクセスメモリ(DRAM)、スタティックランダムアクセスメモリ(SRAM)、磁気抵抗ランダムアクセスメモリ(MRAM)、電気的に消去可能プログラム可能な読取り専用メモリ(EEPROM)、フラッシュメモリなどを含むことができる。メモリ回路1004は、共有鍵および公開鍵証明書(たとえば、アプリケーション固有証明書、ワイヤレス通信ネットワーク公開鍵証明書、信用されるMNO証明書など)等、1つまたは複数の暗号鍵を記憶することができる。メモリ回路1004はまた、処理回路1008によって実行され得る命令を記憶することもできる。I/Oデバイス/回路1006は、1つまたは複数のキーボード、マウス、ディスプレイ、タッチスクリーンディスプレイ、プリンタ、指紋スキャナ、ならびに他の任意の入力および/または出力デバイスを含むことができる。
処理回路1008(たとえば、プロセッサ、中央処理装置(CPU)、アプリケーション処理ユニット(APU)など)は、メモリ回路1006に記憶された命令、および/または、ユーザデバイス102に通信可能に結合された別のコンピュータ可読記憶媒体(たとえば、ハードディスクドライブ、光学ディスクドライブ、固体ドライブなど)に記憶された命令を実行することができる。処理回路1008は、図2、図3、図4、図5、図6、図7A、図7B、図8A、図8B、図9、図13、および図14に関して論じられるものを含めて、本明細書に記載のユーザデバイス102のステップおよび/またはプロセスのうちの任意の1つを実施することができる。一態様によれば、処理回路1008は、汎用プロセッサであってよい。別の態様によれば、処理回路は、図2、図3、図4、図5、図6、図7A、図7B、図8A、図8B、図9、図13、および図14に関して論じられるものを含めて、本明細書に記載のユーザデバイス102のステップおよび/またはプロセスを実施するように、ハードワイヤードされてよい(たとえば特定用途向け集積回路(ASIC)であってよい)。
図11に、一態様による、ユーザデバイス処理回路1008の概略ブロック図を示す。処理回路1008は、共有鍵受信回路1102、スポンサー付き接続性決定回路1104、登録要求送信回路1106、認証情報受信回路1108、ならびに/または、認可および鍵合意(AKA)実施回路1110を備えることができる。一態様によれば、これらの回路1102、1104、1106、1108、1110は、ASICであってよく、それぞれのプロセスを実施するようにハードワイヤードされる。共有鍵受信回路1102は、共有鍵をアプリケーションサービスプロバイダから受信して記憶するための手段の一例とすることができる。スポンサー付き接続性決定回路1104は、アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスをワイヤレス通信ネットワークが提供すると決定するための手段の一例とすることができる。登録要求送信回路1106は、デバイス識別子と、アプリケーションサービスに関連付けられたアプリケーション識別子とを含む登録要求を、ワイヤレス通信ネットワークに送信するための手段の一例とすることができる。認証情報受信回路1108は、アプリケーションサービスプロバイダにおいて導出された、共有鍵に部分的に基づく認証情報を、ワイヤレス通信ネットワークから受信するための手段の一例とすることができる。AKA実施回路1110は、認証情報および記憶済みの共有鍵に基づいて、ワイヤレス通信ネットワークとの認証および鍵合意を実施するための手段の一例とすることができる。
図12に、別の態様による、ユーザデバイス処理回路1008の概略ブロック図を示す。処理回路1008は、証明書受信回路1202、スポンサー付き接続性決定回路1204、登録要求送信回路1206、ならびに/または、認可および鍵合意(AKA)実施回路1208を備えることができる。一態様によれば、これらの回路1202、1204、1206、1208は、ASICであってよく、それぞれのプロセスを実施するようにハードワイヤードされる。証明書受信回路1202は、アプリケーションサービスプロバイダによって提供される少なくとも1つのアプリケーションサービスに関連付けられたアプリケーション固有証明書を、アプリケーションサービスプロバイダから受信するための手段の一例とすることができる。スポンサー付き接続性決定回路1204は、アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスをワイヤレス通信ネットワークが提供すると決定するための手段の一例とすることができる。登録要求送信回路1206は、ユーザデバイスの認証のために、アプリケーション固有証明書を含む登録要求をワイヤレス通信ネットワークに送信するための手段の一例とすることができ、アプリケーション固有証明書は、ユーザデバイス公開鍵を含む。AKA実施回路1208は、ワイヤレス通信ネットワークとの認証および鍵合意を実施するための手段の一例とすることができる。
図13に、本開示の一態様による、アプリケーション固有アクセスを得るための、ユーザデバイス102において動作する方法のフローチャート1300を示す。最初に、ユーザデバイス102は、共有鍵をアプリケーションサービスプロバイダから受信して記憶する(1302)。次いで、ユーザデバイス102は、アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスをワイヤレス通信ネットワークが提供すると決定する(1304)。次に、デバイス識別子と、アプリケーションサービスに関連付けられたアプリケーション識別子とを含む登録要求が、ワイヤレス通信ネットワークに送信される。登録要求は、パケットデータネットワークを介したデータ接続を使用してアプリケーションサービスプロバイダに送信されるように適合されている(1306)。次いで、ユーザデバイス102は、アプリケーションサービスプロバイダにおいて導出された、共有鍵に部分的に基づく認証情報を、ワイヤレス通信ネットワークから受信する(1308)。次に、認証情報および記憶済みの共有鍵に基づいて、ワイヤレス通信ネットワークとの認証および鍵合意が実施される(1310)。次いで、ユーザデバイスは、認証および鍵合意がうまく実施された後、アプリケーションサービスと通信することができる(1312)。
図14に、本開示の一態様による、アプリケーション固有アクセスを得るための、ユーザデバイス102において動作する方法のフローチャート1400を示す。最初に、ユーザデバイス102は、アプリケーションサービスプロバイダによって提供されるアプリケーションサービスに関連付けられたアプリケーション固有証明書を、アプリケーションサービスプロバイダから受信する(1402)。次いで、ユーザデバイス102は、アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスをワイヤレス通信ネットワークが提供すると決定する(1404)。次に、ユーザデバイスの認証のために、アプリケーション固有証明書を含む登録要求がワイヤレス通信ネットワークに送信される。アプリケーション固有証明書は、ユーザデバイス公開鍵を含む(1406)。次いで、ユーザデバイス102は、ワイヤレス通信ネットワークとの認証および鍵合意を実施する(1408)。次に、ユーザデバイスは、認証および鍵合意がうまく実施された後、アプリケーションサービスと通信することができる(1410)。
図15に、本開示の一態様による、ワイヤレス通信ネットワークデバイス1500の概略ブロック図を示す。ネットワークデバイス1500は、次のものに限定されないがRAN106および/またはMME304を含めた、ワイヤレス通信ネットワーク104(図1、図3、および図5参照)のコンポーネント/デバイスのうちの任意の1つであってよい。ネットワークデバイス1500は、1つまたは複数のワイヤレス通信インターフェース1502、1つまたは複数のメモリ回路1504、1つまたは複数の入力および/もしくは出力(I/O)デバイス/回路1506、ならびに/あるいは、1つまたは複数の処理回路1508を少なくとも備えることができ、これらは相互に通信可能に結合されてよい。たとえば、インターフェース1502、メモリ回路1504、I/Oデバイス1506、および処理回路1508は、バス1510を介して相互に通信可能に結合されてよい。ワイヤレス通信インターフェース1502は、ネットワークデバイス1500がユーザデバイス102とワイヤレス通信するのを可能にする。したがって、インターフェース1502は、ネットワークデバイス1500が、モバイル遠隔通信セルラーネットワークなどのワイヤレスワイドエリアネットワーク(WWAN)、および/または短距離ワイヤレスローカルエリアネットワーク(たとえば、WiFi(登録商標)、Zigbee(登録商標)、Bluetooth(登録商標)など)を介してワイヤレス通信するのを可能にする。
メモリ回路1504は、1つまたは複数の揮発性メモリ回路および/または不揮発性メモリ回路を含むことができる。したがって、メモリ回路1504は、DRAM、SRAM、MRAM、EEPROM、フラッシュメモリなどを含むことができる。メモリ回路1504は、公開鍵証明書(たとえばアプリケーションサービスプロバイダ証明書)など、1つまたは複数の暗号鍵を記憶することができる。メモリ回路1504はまた、処理回路1508によって実行され得る命令を記憶することもできる。I/Oデバイス/回路1506は、1つまたは複数のキーボード、マウス、ディスプレイ、タッチスクリーンディスプレイ、プリンタ、指紋スキャナ、ならびに他の任意の入力および/または出力デバイスを含むことができる。
処理回路1508(たとえば、プロセッサ、中央処理装置(CPU)、アプリケーション処理ユニット(APU)など)は、メモリ回路1504に記憶された命令、および/または、ネットワークデバイス1500に通信可能に結合された別のコンピュータ可読記憶媒体(たとえば、ハードディスクドライブ、光学ディスクドライブ、固体ドライブなど)に記憶された命令を実行することができる。処理回路1508は、図2、図3、図4、図5、図6、図7A、図7B、図8A、図8B、図9、図18、および図19に関して論じられるものを含めて、本明細書に記載のネットワークデバイス106、304、306、308のステップおよび/またはプロセスのうちの任意の1つを実施することができる。一態様によれば、処理回路1508は、汎用プロセッサであってよい。別の態様によれば、処理回路1508は、図2、図3、図4、図5、図6、図7A、図7B、図8A、図8B、図9、図18、および図19に関して論じられるものを含めて、本明細書に記載のネットワークデバイス106、304、306、308のステップおよび/またはプロセスを実施するように、ハードワイヤードされてよい(たとえば特定用途向け集積回路(ASIC)であってよい)。
図16に、一態様による、ネットワークデバイス処理回路1508の概略ブロック図を示す。処理回路1508は、登録要求受信回路1602、認証情報送信回路1604、認証情報受信回路1606、および/または、認可および鍵合意(AKA)実施回路1608を備えることができる。一態様によれば、これらの回路1602、1604、1606、1608は、ASICであってよく、それぞれのプロセスを実施するようにハードワイヤードされる。登録要求受信回路1602は、アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスを求める登録要求を、ユーザデバイスから受信するための手段の一例とすることができる。認証情報送信回路1604は、登録要求と、ワイヤレス通信ネットワークを識別するサービングネットワーク識別子とを含む認証情報要求を、パケットデータネットワークを介したデータ接続を使用してアプリケーションサービスプロバイダに送信するための手段の一例とすることができる。認証情報受信回路1606は、認証情報要求を送信するのに応答して認証情報をアプリケーションサービスプロバイダから受信するための手段の一例とすることができる。AKA実施回路1608は、認証情報に基づいてユーザデバイスとの認証および鍵合意を実施するための手段の一例とすることができる。
図17に、別の態様による、ネットワークデバイス処理回路1508の概略ブロック図を示す。処理回路1508は、アプリケーションサービスプロバイダ証明書受信回路1702、登録要求受信回路1704、証明書検証回路1706、および/または、認可および鍵合意(AKA)実施回路1708を備えることができる。一態様によれば、これらの回路1702、1704、1706、1708は、ASICであってよく、それぞれのプロセスを実施するようにハードワイヤードされる。アプリケーションサービスプロバイダ証明書受信回路1702は、アプリケーションサービスプロバイダ公開鍵を含むアプリケーションサービスプロバイダ証明書をアプリケーションサービスプロバイダから受信するための手段の一例とすることができる。登録要求受信回路1704は、アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスを求める登録要求を、ユーザデバイスから受信するための手段の一例とすることができる。証明書検証回路1706は、ユーザデバイスを認証するためにアプリケーションサービスプロバイダ公開鍵を使用してアプリケーション固有証明書を検証するための手段の一例とすることができる。AKA実施回路1708は、認証情報に基づいてユーザデバイスとの認証および鍵合意を実施するための手段の一例とすることができる。
図18に、本開示の一態様による、アプリケーション固有アクセスを提供するための、ネットワークデバイス1500において動作する方法のフローチャート1800を示す。最初に、ネットワークデバイス1500は、アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスを求める登録要求を、ユーザデバイス102から受信する。登録要求は、ユーザデバイスを識別するデバイス識別子と、アプリケーションサービスを識別するアプリケーション識別子とを含む(1802)。次に、登録要求と、ワイヤレス通信ネットワークを識別するサービングネットワーク識別子とを含む認証情報要求が、パケットデータネットワークを介したデータ接続を使用してアプリケーションサービスプロバイダに送信される(1804)。次いで、認証情報要求を送信するのに応答して、認証情報がアプリケーションサービスプロバイダから受信される。認証情報は、ユーザデバイスに関連付けられた共有鍵に部分的に基づく(1806)。次に、ネットワークデバイス1500は、認証情報に基づいて、ユーザデバイス102との認証および鍵合意を実施する(1808)。
図19に、本開示の一態様による、アプリケーション固有アクセスを提供するための、ネットワークデバイスにおいて動作する方法のフローチャート1900を示す。最初に、ネットワークデバイス1500は、アプリケーションサービスプロバイダ公開鍵を含むアプリケーションサービスプロバイダ証明書を、アプリケーションサービスプロバイダから受信する(1902)。次いで、ネットワークデバイス1500は、アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスを求める登録要求を、ユーザデバイス102から受信する。登録要求は、アプリケーションサービスプロバイダによって署名されたアプリケーション固有証明書を含み、アプリケーション固有証明書は、アプリケーションサービスに関連付けられた公開鍵を含む(1904)。次に、ネットワークデバイスは、アプリケーションサービスプロバイダ公開鍵を使用してアプリケーション固有証明書を検証して、ユーザデバイスを認証する(1906)。次いで、ネットワークデバイスは、ユーザデバイスとの認証および鍵合意を実施する(1908)。
図1、図2、図3、図4、図5、図6、図7A、図7B、図8A、図8B、図9、図10、図11、図12、図13、図14、図15、図16、図17、図18、および/または図19に示すコンポーネント、ステップ、特徴、および/または機能のうちの1つまたは複数は、単一のコンポーネント、ステップ、特徴、もしくは機能に再構成および/もしくは結合されてもよく、またはいくつかのコンポーネント、ステップ、もしくは機能において具体化されてもよい。本発明を逸脱することなく、追加の要素、コンポーネント、ステップ、および/または機能が追加されてもよい。図1、図3、図4、図5、図6、図10、図11、図12、図15、図16、および/または図17に示す装置、デバイス、および/またはコンポーネントは、図2、図3、図4、図5、図6、図7A、図7B、図8A、図8B、図9、図13、図14、図18、および/または図19に記載の方法、特徴、またはステップのうちの1つまたは複数を実施するように構成されてもよい。本明細書に記載のアルゴリズムはまた、効率的に、ソフトウェアにおいて実装されてもよく、かつ/またはハードウェアに組み込まれてもよい。
さらに、本開示の一態様では、図10、図11、および/または図12に示す処理回路1008は、図2、図3、図4、図5、図6、図7A、図7B、図8A、図8B、図9、図13、および/または図14に記載のアルゴリズム、方法、および/またはステップを実施するように特に設計および/またはハードワイヤードされた特殊化プロセッサ(たとえば特定用途向け集積回路(ASIC))であってよい。したがって、そのような特殊化プロセッサ(たとえばASIC)は、図13および図14に記載のアルゴリズム、方法、および/またはステップを実行するための手段の一例とすることができる。コンピュータ可読記憶媒体1004はまた、プロセッサ1008によって読取り可能な命令を記憶することができ、これらの命令は、特殊化プロセッサ(たとえばASIC)によって実行されたとき、図2、図3、図4、図5、図6、図7A、図7B、図8A、図8B、図9、図13、および/または図14に記載のアルゴリズム、方法、および/またはステップを特殊化プロセッサに実施させる。
さらに、本開示の一態様では、図15、図16、および/または図17に示す処理回路1508は、図2、図3、図4、図5、図6、図7A、図7B、図8A、図8B、図9、図18、および/または図19に記載のアルゴリズム、方法、および/またはステップを実施するように特に設計および/またはハードワイヤードされた特殊化プロセッサ(たとえば特定用途向け集積回路(ASIC))であってよい。したがって、そのような特殊化プロセッサ(たとえばASIC)は、図18および図19に記載のアルゴリズム、方法、および/またはステップを実行するための手段の一例とすることができる。コンピュータ可読記憶媒体1504はまた、プロセッサ1508によって読取り可能な命令を記憶することができ、これらの命令は、特殊化プロセッサ(たとえばASIC)によって実行されたとき、図2、図3、図4、図5、図6、図7A、図7B、図8A、図8B、図9、図18、および/または図19に記載のアルゴリズム、方法、および/またはステップを特殊化プロセッサに実施させる。
また、本開示の態様は、フローチャート、流れ図、構造図、またはブロック図として描かれるプロセスとして記述され得ることに留意されたい。フローチャートが動作を逐次的なプロセスとして記述する場合があるが、動作の多くは、並行してまたは同時に実施される可能性もある。加えて、動作の順序は、再構成されてもよい。プロセスは、その動作が完了されたときに終了される。プロセスは、方法、関数、プロシージャ、サブルーチン、サブプログラムなどに対応することがある。プロセスが関数に対応するとき、その終了は、関数が呼出し元関数またはメイン関数に戻ることに対応する。
さらに、記憶媒体は、データを記憶するための1つまたは複数のデバイスを表すことができ、これらのデバイスは、読取り専用メモリ(ROM)、ランダムアクセスメモリ(RAM)、磁気ディスク記憶媒体、光学記憶媒体、フラッシュメモリデバイス、および/または他の機械可読媒体、ならびに、情報を記憶するためのプロセッサ可読媒体および/またはコンピュータ可読媒体を含む。「機械可読媒体」、「コンピュータ可読媒体」、および/または「プロセッサ可読媒体」という用語は、次のものに限定されないが、命令および/またはデータを記憶または収容できる可搬または固定の記憶デバイス、光学記憶デバイス、および他の様々な媒体など、非一時的な媒体を含むことができる。したがって、本明細書に記載の様々な方法は、「機械可読媒体」、「コンピュータ可読媒体」、および/または「プロセッサ可読媒体」に記憶されて1つまたは複数のプロセッサ、機械、および/またはデバイスによって実行され得る、命令および/またはデータによって、完全にまたは部分的に実装されることが可能である。
さらに、本開示の態様は、ハードウェア、ソフトウェア、ファームウェア、ミドルウェア、マイクロコード、またはこれらの任意の組合せによって実装されることが可能である。ソフトウェア、ファームウェア、ミドルウェア、またはマイクロコードにおいて実装されるときは、必要なタスクを実施するためのプログラムコードまたはコードセグメントは、記憶媒体や他の記憶装置など、機械可読媒体に記憶されてよい。プロセッサが、必要なタスクを実施することができる。コードセグメントは、プロシージャ、関数、サブプログラム、プログラム、ルーチン、サブルーチン、モジュール、ソフトウェアパッケージ、クラス、または、命令もしくはデータ構造もしくはプログラムステートメントの任意の組合せ、を表すことができる。コードセグメントは、情報、データ、引数、パラメータ、またはメモリ内容を渡すことおよび/または受け取ることによって、別のコードセグメントまたはハードウェア回路に結合され得る。情報、引数、パラメータ、データなどは、メモリ共有、メッセージパッシング、トークンパッシング、ネットワーク送信などを含めた、任意の適切な手段を介して、渡されるかまたは転送されるかまたは送信され得る。
本明細書で開示される例との関連で記述される様々な例証的な論理ブロック、モジュール、回路、要素、および/またはコンポーネントは、本明細書に記載の機能を実施するように設計された汎用プロセッサ、ディジタル信号プロセッサ(DSP)、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)もしくは他のプログラム可能ロジックコンポーネント、ディスクリートゲートもしくはトランジスタロジック、ディスクリートハードウェアコンポーネント、またはこれらの任意の組合せを用いて、実装または実施されることが可能である。汎用プロセッサはマイクロプロセッサであってよいが、代替では、プロセッサは、任意の従来型プロセッサ、コントローラ、マイクロコントローラ、またはステートマシンであってよい。プロセッサはまた、コンピューティングコンポーネントの組合せとして、たとえば、DSPとマイクロプロセッサとの組合せ、いくつかのマイクロプロセッサ、DSPコアと併用される1つもしくは複数のマイクロプロセッサ、または他の任意のそのような構成として実装されてもよい。
本明細書に記載の例との関連で記述される方法またはアルゴリズムは、ハードウェアにおいて直接に、またはプロセッサによって実行可能なソフトウェアモジュールにおいて、または両方の組合せにおいて、処理ユニット、プログラミング命令、または他の指示の形で具体化されてよく、単一のデバイスに含められるかまたは複数のデバイスにわたって分散されてよい。ソフトウェアモジュールは、RAMメモリ、フラッシュメモリ、ROMメモリ、EPROMメモリ、EEPROMメモリ、レジスタ、ハードディスク、リムーバブルディスク、CD-ROM、または当技術分野で知られている他の任意の形の記憶媒体の中にあってよい。記憶媒体はプロセッサに結合されてよく、それにより、プロセッサは、記憶媒体から情報を読み取ることおよび記憶媒体に情報を書き込むことができる。代替では、記憶媒体はプロセッサに統合されてよい。
本明細書で開示される態様との関連で記述される様々な例証的な論理ブロック、モジュール、回路、およびアルゴリズムステップは、電子ハードウェア、コンピュータソフトウェア、または両方の組合せとして実装されてよいことを、当業者ならさらに認識するであろう。このハードウェアとソフトウェアとの交換可能性を明確に例証するために、上記では、様々な例証的なコンポーネント、ブロック、モジュール、回路、およびステップを、それらの機能性の点から一般に述べた。そのような機能性がハードウェアとして実装されるかソフトウェアとして実装されるかは、特定の適用例と、システム全体に課される設計制約とに依存する。
本明細書に記載の本発明の様々な特徴は、本発明を逸脱することなく種々のシステム中で実装されることが可能である。本開示の前述の態様は、単なる例であり、本発明を限定するものと解釈されるべきではないことに留意されたい。本開示の態様に関する記述は、例証的なものとし、特許請求の範囲を限定するものとはしない。したがって、本教示は、他のタイプの装置にも容易に適用することができ、多くの代替、修正、および変形が当業者には明らかであろう。
100 通信システム
102 ユーザデバイス
103 ワイヤレス通信
104 ワイヤレス通信ネットワーク
106 無線アクセスネットワーク(RAN)
108 コアネットワーク
110 パケットデータネットワーク(PDN)
112 アプリケーションサービスプロバイダ(APS)
114 アプリケーションサービス
300 通信システム
302 サービスプロビジョニング機能(SPF)
303 サービスクエリプロトコル(SQP)サーバ
304 MME
306 サービングゲートウェイ(S-GW)
308 パケットデータネットワークゲートウェイ(P-GW)
402 HSSエンティティ
404 AAAエンティティ
500 通信システム
502 サービスプロビジョニング機能(SPF)
801 証明書サービス機能(CSF)
1002 ワイヤレス通信インターフェース
1004 メモリ回路
1006 入力および/もしくは出力(I/O)デバイス/回路
1008 処理回路
1010 バス
1102 共有鍵受信回路
1104 スポンサー付き接続性決定回路
1106 登録要求送信回路
1108 認証情報受信回路
1110 認可および鍵合意(AKA)実施回路
1202 証明書受信回路
1204 スポンサー付き接続性決定回路
1206 登録要求送信回路
1208 認可および鍵合意(AKA)実施回路
1500 ネットワークデバイス
1502 ワイヤレス通信インターフェース
1504 メモリ回路
1506 入力および/もしくは出力(I/O)デバイス/回路
1508 処理回路
1510 バス
1602 登録要求受信回路
1604 認証情報送信回路
1606 認証情報受信回路
1608 認可および鍵合意(AKA)実施回路
1702 アプリケーションサービスプロバイダ証明書受信回路
1704 登録要求受信回路
1706 証明書検証回路
1708 認可および鍵合意(AKA)実施回路

Claims (50)

  1. ユーザデバイスにおいて動作する方法であって、
    アプリケーションサービスプロバイダによって提供される少なくとも1つのアプリケーションサービスに関連付けられたアプリケーション固有証明書を前記アプリケーションサービスプロバイダから受信するステップであって、前記アプリケーション固有証明書が、通信インターフェースによって受信される、ステップと、
    処理回路によって、前記アプリケーションサービスプロバイダによって提供される前記アプリケーションサービスへのアプリケーション固有アクセスをワイヤレス通信ネットワークが提供すると判定するステップと、
    前記通信インターフェースによって、前記ワイヤレス通信ネットワークのホーム加入者サービス(HSS)から独立して、ワイヤレス通信ネットワークデバイスにおける前記アプリケーション固有証明書の検証のために、前記アプリケーション固有証明書を含む登録要求を前記ワイヤレス通信ネットワークの前記ワイヤレス通信ネットワークデバイスに送信するステップであって、前記アプリケーション固有証明書が、前記アプリケーションサービスに関連付けられた公開鍵を含む、ステップと、
    前記処理回路によって、前記ワイヤレス通信ネットワークデバイスにおける前記アプリケーション固有証明書の検証後に前記ワイヤレス通信ネットワークの前記ワイヤレス通信ネットワークデバイスとの認証および鍵合意を実施するステップと、
    前記通信インターフェースによって、認証および鍵合意がうまく実施された後で前記アプリケーションサービスと通信するステップと
    を含む方法。
  2. 前記ワイヤレス通信ネットワークデバイスとの認証および鍵合意が、前記アプリケーションサービスプロバイダから独立して実施される、請求項1に記載の方法。
  3. 前記アプリケーションサービスに関連付けられた前記公開鍵がユーザデバイス公開鍵であり、前記アプリケーション固有証明書がさらにアプリケーション固有ディジタル署名を含み、前記アプリケーション固有ディジタル署名が、前記アプリケーションサービスプロバイダの秘密鍵によって署名された前記ユーザデバイス公開鍵を含む、請求項1に記載の方法。
  4. 前記アプリケーション固有証明書がさらにアプリケーション識別子およびアプリケーション固有ディジタル署名を含み、前記アプリケーション固有ディジタル署名が、前記アプリケーションサービスプロバイダの秘密鍵によって両方とも署名された前記公開鍵および前記アプリケーション識別子を含み、前記アプリケーション識別子が前記アプリケーションサービスに一意に関連付けられた、請求項1に記載の方法。
  5. 認証および鍵合意が成功した後で前記アプリケーションサービスへのアプリケーション固有アクセスを得るステップをさらに含む、請求項1に記載の方法。
  6. アプリケーション固有アクセスを前記ワイヤレス通信ネットワークが提供すると決定するステップが、前記ワイヤレス通信ネットワークによってブロードキャストされた、前記ワイヤレス通信ネットワークを介して前記アプリケーションサービスが利用可能であることの告知を、受信するステップを含む、請求項1に記載の方法。
  7. 信用されるワイヤレス通信ネットワークに関連付けられた複数の証明書を前記アプリケーションサービスプロバイダから受信するステップをさらに含み、前記複数の証明書が、前記ワイヤレス通信ネットワークの公開鍵であるワイヤレス通信ネットワーク公開鍵を有する証明書を含む、請求項1に記載の方法。
  8. 前記ワイヤレス通信ネットワーク公開鍵を使用してワイヤレス通信ネットワークディジタル署名を検証することによって、前記ワイヤレス通信ネットワークを認証するステップをさらに含み、前記ワイヤレス通信ネットワークディジタル署名が、前記ワイヤレス通信ネットワークから受信されたアプリケーションサービス告知に含まれる、請求項7に記載の方法。
  9. 認証および鍵合意がうまく実施された後で、前記ユーザデバイスと、前記アプリケーションサービスプロバイダによって許可される1組のアプリケーションサービスとの間の通信を可能にするステップをさらに含む、請求項1に記載の方法。
  10. ワイヤレス通信ネットワークとワイヤレス通信するように適合されたワイヤレス通信インターフェースと、
    前記通信インターフェースに通信可能に結合された処理回路と
    を備えるユーザデバイスであって、前記処理回路が、
    アプリケーションサービスプロバイダによって提供される少なくとも1つのアプリケーションサービスに関連付けられたアプリケーション固有証明書を前記アプリケーションサービスプロバイダから受信することと、
    前記アプリケーションサービスプロバイダによって提供される前記アプリケーションサービスへのアプリケーション固有アクセスをワイヤレス通信ネットワークが提供すると判定することと、
    前記ワイヤレス通信ネットワークのホーム加入者サービス(HSS)から独立して、ワイヤレス通信ネットワークデバイスにおける前記アプリケーション固有証明書の検証のために、前記アプリケーション固有証明書を含む登録要求を前記ワイヤレス通信ネットワークの前記ワイヤレス通信ネットワークデバイスに送信することであって、前記アプリケーション固有証明書が、前記アプリケーションサービスに関連付けられた公開鍵を含む、ことと、
    前記ワイヤレス通信ネットワークデバイスにおける前記アプリケーション固有証明書の検証後に前記ワイヤレス通信ネットワークの前記ワイヤレス通信ネットワークデバイスとの認証および鍵合意を実施することと、
    認証および鍵合意がうまく実施された後で前記アプリケーションサービスと通信することと
    を行うように適合された、ユーザデバイス。
  11. 前記ワイヤレス通信ネットワークデバイスとの認証および鍵合意が、前記アプリケーションサービスプロバイダから独立して実施される、請求項10に記載のユーザデバイス。
  12. 前記アプリケーションサービスに関連付けられた前記公開鍵がユーザデバイス公開鍵であり、前記アプリケーション固有証明書がさらにアプリケーション固有ディジタル署名を含み、前記アプリケーション固有ディジタル署名が、前記アプリケーションサービスプロバイダの秘密鍵によって署名された前記ユーザデバイス公開鍵を含む、請求項10に記載のユーザデバイス。
  13. 前記アプリケーション固有証明書がさらにアプリケーション識別子およびアプリケーション固有ディジタル署名を含み、前記アプリケーション固有ディジタル署名が、前記アプリケーションサービスプロバイダの秘密鍵によって両方とも署名された前記公開鍵および前記アプリケーション識別子を含み、前記アプリケーション識別子が前記アプリケーションサービスに一意に関連付けられた、請求項10に記載のユーザデバイス。
  14. 前記処理回路がさらに、
    認証および鍵合意が成功した後で前記アプリケーションサービスへのアプリケーション固有アクセスを得ることを行うように適合された、請求項10に記載のユーザデバイス。
  15. 前記処理回路が、アプリケーション固有アクセスを前記ワイヤレス通信ネットワークが提供すると決定することを行うように適合されたことが、前記処理回路がさらに、
    前記ワイヤレス通信ネットワークによってブロードキャストされた、前記ワイヤレス通信ネットワークを介して前記アプリケーションサービスが利用可能であることの告知を、受信することを行うように適合されたことを含む、請求項10に記載のユーザデバイス。
  16. 前記処理回路がさらに、
    信用されるワイヤレス通信ネットワークに関連付けられた複数の証明書を前記アプリケーションサービスプロバイダから受信することを行うように適合され、前記複数の証明書が、前記ワイヤレス通信ネットワークの公開鍵であるワイヤレス通信ネットワーク公開鍵を有する証明書を含む、請求項10に記載のユーザデバイス。
  17. 前記処理回路がさらに、
    前記ワイヤレス通信ネットワーク公開鍵を使用してワイヤレス通信ネットワークディジタル署名を検証することによって、前記ワイヤレス通信ネットワークを認証することを行うように適合され、前記ワイヤレス通信ネットワークディジタル署名が、前記ワイヤレス通信ネットワークから受信されたアプリケーションサービス告知に含まれる、請求項16に記載のユーザデバイス。
  18. 前記処理回路がさらに、
    認証および鍵合意がうまく実施された後で、前記ユーザデバイスと、前記アプリケーションサービスプロバイダによって許可される1組のアプリケーションサービスとの間の通信を可能にすることを行うように適合された、請求項10に記載のユーザデバイス。
  19. アプリケーションサービスプロバイダによって提供される少なくとも1つのアプリケーションサービスに関連付けられたアプリケーション固有証明書を前記アプリケーションサービスプロバイダから受信するための手段と、
    前記アプリケーションサービスプロバイダによって提供される前記アプリケーションサービスへのアプリケーション固有アクセスをワイヤレス通信ネットワークが提供すると判定するための手段と、
    前記ワイヤレス通信ネットワークのホーム加入者サービス(HSS)から独立して、ワイヤレス通信ネットワークデバイスにおける前記アプリケーション固有証明書の検証のために、前記アプリケーション固有証明書を含む登録要求を前記ワイヤレス通信ネットワークの前記ワイヤレス通信ネットワークデバイスに送信するための手段であって、前記アプリケーション固有証明書が、前記アプリケーションサービスに関連付けられた公開鍵を含む、手段と、
    前記ワイヤレス通信ネットワークデバイスにおける前記アプリケーション固有証明書の検証後に前記ワイヤレス通信ネットワークの前記ワイヤレス通信ネットワークデバイスとの認証および鍵合意を実施するための手段と、
    認証および鍵合意がうまく実施された後で前記アプリケーションサービスと通信するための手段と
    を備えるユーザデバイス。
  20. 前記ワイヤレス通信ネットワークデバイスとの認証および鍵合意が、前記アプリケーションサービスプロバイダから独立して実施される、請求項19に記載のユーザデバイス。
  21. 前記アプリケーションサービスに関連付けられた前記公開鍵がユーザデバイス公開鍵であり、前記アプリケーション固有証明書がさらにアプリケーション固有ディジタル署名を含み、前記アプリケーション固有ディジタル署名が、前記アプリケーションサービスプロバイダの秘密鍵によって署名された前記ユーザデバイス公開鍵を含む、請求項19に記載のユーザデバイス。
  22. 認証および鍵合意が成功した後で前記アプリケーションサービスへのアプリケーション固有アクセスを得るための手段をさらに備える、請求項19に記載のユーザデバイス。
  23. 信用されるワイヤレス通信ネットワークに関連付けられた複数の証明書を前記アプリケーションサービスプロバイダから受信するための手段であって、前記複数の証明書が、前記ワイヤレス通信ネットワークの公開鍵であるワイヤレス通信ネットワーク公開鍵を有する証明書を含む、手段と、
    前記ワイヤレス通信ネットワーク公開鍵を使用してワイヤレス通信ネットワークディジタル署名を検証することによって、前記ワイヤレス通信ネットワークを認証するための手段であって、前記ワイヤレス通信ネットワークディジタル署名が、前記ワイヤレス通信ネットワークから受信されたアプリケーションサービス告知に含まれる、手段と
    をさらに備える、請求項19に記載のユーザデバイス。
  24. ワイヤレス通信ネットワークに関連するワイヤレス通信ネットワークデバイスにおいて動作する方法であって、
    アプリケーションサービスプロバイダ公開鍵を含むアプリケーションサービスプロバイダ証明書をアプリケーションサービスプロバイダから受信するステップであって、前記アプリケーションサービスプロバイダ証明書が、通信インターフェースによって受信される、ステップと、
    前記アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスを求める登録要求をユーザデバイスから受信するステップであって、前記登録要求が、通信インターフェースによって受信され、前記登録要求が、前記アプリケーションサービスプロバイダによって署名されたアプリケーション固有証明書を含み、前記アプリケーション固有証明書が、前記アプリケーションサービスに関連付けられた公開鍵をさらに含む、ステップと、
    処理回路によって、前記ワイヤレス通信ネットワークのホーム加入者サービス(HSS)から独立して、前記ワイヤレス通信ネットワークデバイスにおいて、前記アプリケーションサービスプロバイダ公開鍵を使用して前記アプリケーション固有証明書を検証するステップと、
    前記処理回路によって、前記ワイヤレス通信ネットワークデバイスにおける前記アプリケーション固有証明書の検証後に前記ユーザデバイスとの認証および鍵合意を実施するステップと
    を含む方法。
  25. 前記ユーザデバイスとの認証および鍵合意が、前記ユーザデバイスと前記ワイヤレス通信ネットワークデバイスとの間で、前記アプリケーションサービスプロバイダから独立して実施される、請求項24に記載の方法。
  26. 前記登録要求を前記ユーザデバイスから受信する前に、前記アプリケーションサービスに関連するアプリケーションサービス登録情報を受信するステップをさらに含む、請求項24に記載の方法。
  27. 前記アプリケーションサービス登録情報が、サービスプロビジョニング機能を介して前記アプリケーションサービスプロバイダから受信される、請求項26に記載の方法。
  28. 前記アプリケーションサービス登録情報が、アプリケーション識別子、および/または、前記ユーザデバイスと前記アプリケーションサービスとの間の通信について前記ワイヤレス通信ネットワークが提供するサービス品質を示すアプリケーションサービスクラス、のうちの少なくとも一方を含む、請求項26に記載の方法。
  29. 前記ワイヤレス通信ネットワークを介して前記アプリケーションサービスへのアプリケーション固有アクセスが利用可能であることを示す告知を、ブロードキャストするステップをさらに含む、請求項24に記載の方法。
  30. 前記アプリケーションサービス告知が、前記ワイヤレス通信ネットワークの秘密鍵によって署名されたワイヤレス通信ネットワークディジタル署名を含み、前記ディジタル署名が、ワイヤレス通信ネットワーク公開鍵を用いた前記ユーザデバイスにおける検証のために適合された、請求項29に記載の方法。
  31. 前記アプリケーションサービスに関連付けられた前記公開鍵がユーザデバイス公開鍵であり、前記アプリケーション固有証明書がさらにアプリケーション固有ディジタル署名を含み、前記アプリケーション固有ディジタル署名が、前記アプリケーションサービスプロバイダの秘密鍵によって署名された前記ユーザデバイス公開鍵を含む、請求項24に記載の方法。
  32. 前記アプリケーション固有証明書がさらにアプリケーション識別子およびアプリケーション固有ディジタル署名を含み、前記アプリケーション固有ディジタル署名が、前記アプリケーションサービスプロバイダの秘密鍵によって両方とも署名された前記公開鍵および前記アプリケーション識別子を含み、前記アプリケーション識別子が前記アプリケーションサービスに一意に関連付けられた、請求項24に記載の方法。
  33. 認証および鍵合意が成功した後で前記アプリケーションサービスへのアプリケーション固有アクセスを前記ユーザデバイスに提供するステップをさらに含む、請求項24に記載の方法。
  34. アプリケーション固有証明書取消しリストを記憶するステップをさらに含み、前記アプリケーション固有証明書取消しリストが、取り消された、アプリケーション固有アクセスを授与されるべきでない、ユーザデバイスにプロビジョニングされた複数のアプリケーション固有証明書を含む、請求項24に記載の方法。
  35. ワイヤレス通信ネットワークに関連するワイヤレス通信ネットワークデバイスであって、
    少なくともユーザデバイスとワイヤレス通信するように適合されたワイヤレス通信インターフェースと、
    前記ワイヤレス通信インターフェースに通信可能に結合された処理回路とを備え、前記処理回路が、
    アプリケーションサービスプロバイダ公開鍵を含むアプリケーションサービスプロバイダ証明書をアプリケーションサービスプロバイダから受信することと、
    前記アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスを求める登録要求を前記ユーザデバイスから受信することであって、前記登録要求が、前記アプリケーションサービスプロバイダによって署名されたアプリケーション固有証明書を含み、前記アプリケーション固有証明書が、前記アプリケーションサービスに関連付けられた公開鍵を含む、ことと、
    前記ワイヤレス通信ネットワークのホーム加入者サービス(HSS)から独立して、前記ワイヤレス通信ネットワークデバイスにおいて、前記アプリケーションサービスプロバイダ公開鍵を使用して前記アプリケーション固有証明書を検証することと、
    前記ワイヤレス通信ネットワークデバイスにおける前記アプリケーション固有証明書の検証後に前記ユーザデバイスとの認証および鍵合意を実施することと
    を行うように適合された、ワイヤレス通信ネットワークデバイス。
  36. 前記ユーザデバイスとの認証および鍵合意が、前記ユーザデバイスと前記ワイヤレス通信ネットワークデバイスとの間で、前記アプリケーションサービスプロバイダから独立して実施される、請求項35に記載のワイヤレス通信ネットワークデバイス。
  37. 前記処理回路がさらに、
    前記登録要求を前記ユーザデバイスから受信する前に、前記アプリケーションサービスに関連するアプリケーションサービス登録情報を受信することを行うように適合された、請求項35に記載のワイヤレス通信ネットワークデバイス。
  38. 前記アプリケーションサービス登録情報が、サービスプロビジョニング機能を介して前記アプリケーションサービスプロバイダから受信される、請求項37に記載のワイヤレス通信ネットワークデバイス。
  39. 前記アプリケーションサービス登録情報が、アプリケーション識別子、および/または、前記ユーザデバイスと前記アプリケーションサービスとの間の通信について前記ワイヤレス通信ネットワークが提供するサービス品質を示すアプリケーションサービスクラス、のうちの少なくとも一方を含む、請求項37に記載のワイヤレス通信ネットワークデバイス。
  40. 前記処理回路がさらに、
    前記ワイヤレス通信ネットワークを介して前記アプリケーションサービスへのアプリケーション固有アクセスが利用可能であることを示す告知を、ブロードキャストすることを行うように適合された、請求項35に記載のワイヤレス通信ネットワークデバイス。
  41. 前記アプリケーションサービス告知が、前記ワイヤレス通信ネットワークの秘密鍵によって署名されたワイヤレス通信ネットワークディジタル署名を含み、前記ディジタル署名が、ワイヤレス通信ネットワーク公開鍵を用いた前記ユーザデバイスにおける検証のために適合された、請求項40に記載のワイヤレス通信ネットワークデバイス。
  42. 前記アプリケーションサービスに関連付けられた前記公開鍵がユーザデバイス公開鍵であり、前記アプリケーション固有証明書がさらにアプリケーション固有ディジタル署名を含み、前記アプリケーション固有ディジタル署名が、前記アプリケーションサービスプロバイダの秘密鍵によって署名された前記ユーザデバイス公開鍵を含む、請求項35に記載のワイヤレス通信ネットワークデバイス。
  43. 前記アプリケーション固有証明書がさらにアプリケーション識別子およびアプリケーション固有ディジタル署名を含み、前記アプリケーション固有ディジタル署名が、前記アプリケーションサービスプロバイダの秘密鍵によって両方とも署名された前記公開鍵および前記アプリケーション識別子を含み、前記アプリケーション識別子が前記アプリケーションサービスに一意に関連付けられた、請求項35に記載のワイヤレス通信ネットワークデバイス。
  44. 前記処理回路がさらに、
    認証および鍵合意が成功した後で前記アプリケーションサービスへのアプリケーション固有アクセスを前記ユーザデバイスに提供することを行うように適合された、請求項35に記載のワイヤレス通信ネットワークデバイス。
  45. 前記処理回路がさらに、
    アプリケーション固有証明書取消しリストを記憶することを行うように適合され、前記アプリケーション固有証明書取消しリストが、取り消された、アプリケーション固有アクセスを授与されるべきでない、ユーザデバイスにプロビジョニングされた複数のアプリケーション固有証明書を含む、請求項35に記載のワイヤレス通信ネットワークデバイス。
  46. アプリケーションサービスプロバイダ公開鍵を含むアプリケーションサービスプロバイダ証明書をアプリケーションサービスプロバイダから受信するための手段と、
    前記アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスを求める登録要求をユーザデバイスから受信するための手段であって、前記登録要求が、前記アプリケーションサービスプロバイダによって署名されたアプリケーション固有証明書を含み、前記アプリケーション固有証明書が、前記アプリケーションサービスに関連付けられた公開鍵を含む、手段と
    イヤレス通信ネットワークのホーム加入者サービス(HSS)から独立して、前記ワイヤレス通信ネットワークデバイスにおいて、前記アプリケーションサービスプロバイダ公開鍵を使用して前記アプリケーション固有証明書を検証するための手段と、
    前記ワイヤレス通信ネットワークデバイスにおける前記アプリケーション固有証明書の検証後に前記ユーザデバイスとの認証および鍵合意を実施するための手段と
    を備えるワイヤレス通信ネットワークデバイス。
  47. 前記ユーザデバイスとの認証および鍵合意が、前記ユーザデバイスと前記ワイヤレス通信ネットワークデバイスとの間で、前記アプリケーションサービスプロバイダから独立して実施される、請求項46に記載のワイヤレス通信ネットワークデバイス。
  48. 前記登録要求を前記ユーザデバイスから受信する前に、前記アプリケーションサービスに関連するアプリケーションサービス登録情報を受信するための手段をさらに備える、請求項46に記載のワイヤレス通信ネットワークデバイス。
  49. 前記アプリケーションサービスに関連付けられた前記公開鍵がユーザデバイス公開鍵であり、前記アプリケーション固有証明書がさらにアプリケーション固有ディジタル署名を含み、前記アプリケーション固有ディジタル署名が、前記アプリケーションサービスプロバイダの秘密鍵によって署名された前記ユーザデバイス公開鍵を含む、請求項46に記載のワイヤレス通信ネットワークデバイス。
  50. 認証および鍵合意が成功した後で前記アプリケーションサービスへのアプリケーション固有アクセスを前記ユーザデバイスに提供するための手段をさらに備える、請求項46に記載のワイヤレス通信ネットワークデバイス。
JP2017548417A 2015-03-17 2016-03-01 アプリケーション固有ネットワークアクセス資格情報を使用する、ワイヤレスネットワークへのスポンサー付き接続性のための装置および方法 Active JP6400228B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201562134206P 2015-03-17 2015-03-17
US62/134,206 2015-03-17
US14/829,459 US9755837B2 (en) 2015-03-17 2015-08-18 Apparatus and method for sponsored connectivity to wireless networks using application-specific network access credentials
US14/829,459 2015-08-18
PCT/US2016/020226 WO2016148903A1 (en) 2015-03-17 2016-03-01 Apparatus and method for sponsored connectivity to wireless networks using application-specific network access credentials

Publications (2)

Publication Number Publication Date
JP2018511244A JP2018511244A (ja) 2018-04-19
JP6400228B2 true JP6400228B2 (ja) 2018-10-03

Family

ID=55910327

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017548417A Active JP6400228B2 (ja) 2015-03-17 2016-03-01 アプリケーション固有ネットワークアクセス資格情報を使用する、ワイヤレスネットワークへのスポンサー付き接続性のための装置および方法

Country Status (8)

Country Link
US (1) US9755837B2 (ja)
EP (1) EP3272099B1 (ja)
JP (1) JP6400228B2 (ja)
KR (1) KR101840180B1 (ja)
CN (1) CN107409136B (ja)
BR (1) BR112017019799B1 (ja)
TW (1) TWI645724B (ja)
WO (1) WO2016148903A1 (ja)

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9717004B2 (en) 2015-03-17 2017-07-25 Qualcomm Incorporated Apparatus and method for sponsored connectivity to wireless networks using application-specific network access credentials
US9807086B2 (en) 2015-04-15 2017-10-31 Citrix Systems, Inc. Authentication of a client device based on entropy from a server or other device
US10122709B2 (en) * 2015-05-12 2018-11-06 Citrix Systems, Inc. Multifactor contextual authentication and entropy from device or device input or gesture authentication
USD888731S1 (en) 2016-05-10 2020-06-30 Citrix Systems, Inc. Display screen or portion thereof with transitional graphical user interface
CN106793005B (zh) * 2016-11-14 2020-05-12 深圳市唯传科技有限公司 基于LoRa的物联网设备的漫游通信方法及系统
BR112019004143A2 (pt) * 2017-04-11 2019-12-31 Huawei Tech Co Ltd método, dispositivo, e sistema de autenticação de rede
WO2019017865A1 (en) * 2017-07-17 2019-01-24 Sony Mobile Communications Inc. APPLICATION-LEVEL SERVICE IDENTITY SUPPORTERS FOR NETWORK ACCESS AUTHENTICATION
US10631224B2 (en) * 2017-10-05 2020-04-21 Blackberry Limited Authenticating user equipments through relay user equipments
CN108401262A (zh) * 2018-02-06 2018-08-14 武汉斗鱼网络科技有限公司 一种终端应用通信数据获取与分析的方法及装置
US11108556B2 (en) * 2018-06-08 2021-08-31 Vmware, Inc. Unmanaged secure inter-application data communications
EP3618383A1 (en) * 2018-08-30 2020-03-04 Koninklijke Philips N.V. Non-3gpp device access to core network
CN111010744B (zh) * 2018-10-08 2022-05-13 华为技术有限公司 建立会话的方法和装置以及发送报文的方法和装置
EP3852416B1 (en) * 2020-01-15 2022-09-07 Nokia Solutions and Networks Oy Touchless support for commercial in-service user equipment in private mobile networks
CN111314475B (zh) * 2020-02-21 2021-05-04 北京紫光展锐通信技术有限公司 会话创建方法及相关设备
US11652811B2 (en) * 2020-04-16 2023-05-16 Sap Se Automatic provisioning
CN114884667B (zh) * 2021-02-05 2024-08-09 中国移动通信有限公司研究院 一种通信鉴权方法、设备及存储介质
CN114915418A (zh) * 2021-02-10 2022-08-16 华为技术有限公司 业务证书管理方法、装置、系统及电子设备
EP4123544A1 (en) * 2021-07-22 2023-01-25 Deutsche Telekom AG Method and system for operating a mobile point-of-sales application
US11962695B2 (en) 2021-07-23 2024-04-16 Blackberry Limited Method and system for sharing sensor insights based on application requests
US11968310B2 (en) * 2021-07-23 2024-04-23 Blackberry Limited Method and system for providing data security for micro-services across domains
US12013957B2 (en) 2021-07-23 2024-06-18 Blackberry Limited Method and system for indirect sharing of sensor insights

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB0326265D0 (en) 2003-11-11 2003-12-17 Nokia Corp Shared secret usage for bootstrapping
GB0414421D0 (en) * 2004-06-28 2004-07-28 Nokia Corp Authenticating users
JP4683260B2 (ja) * 2004-07-14 2011-05-18 ソニー株式会社 情報処理システム、情報処理装置、サーバ装置、および情報処理方法
CN102638794B (zh) * 2007-03-22 2016-03-30 华为技术有限公司 鉴权和密钥协商方法、认证方法、系统及设备
EP3522580B1 (en) 2007-10-16 2021-01-20 Nokia Technologies Oy Credential provisioning
US8169958B2 (en) 2008-03-27 2012-05-01 Cisco Technology, Inc. Obtaining information regarding services available from a wireless local area network
US8873523B2 (en) * 2009-09-30 2014-10-28 Apple Inc. Methods and apparatus for solicited activation for protected wireless networking
US8566596B2 (en) 2010-08-24 2013-10-22 Cisco Technology, Inc. Pre-association mechanism to provide detailed description of wireless services
JP5536628B2 (ja) * 2010-12-21 2014-07-02 Kddi株式会社 無線lan接続方法、無線lanクライアント、および無線lanアクセスポイント
US9198038B2 (en) 2011-06-13 2015-11-24 Qualcomm Incorporated Apparatus and methods of identity management in a multi-network system
RU2014111229A (ru) 2011-08-25 2015-09-27 Смарт Хаб Пте. Лтд. Система и способ предоставления доступа в интернет для вычислительного устройства
WO2013163634A1 (en) * 2012-04-27 2013-10-31 Interdigital Patent Holdings, Inc. Systems and methods for personalizing and/or tailoring a service interface
US9208298B2 (en) 2012-06-18 2015-12-08 Google Inc. Pass through service login to application login
US9413736B2 (en) 2013-03-29 2016-08-09 Citrix Systems, Inc. Providing an enterprise application store
KR20140119544A (ko) 2013-04-01 2014-10-10 삼성전자주식회사 이동통신 시스템에서 근접 서비스 메시지 라우팅 방법 및 장치
US9717004B2 (en) 2015-03-17 2017-07-25 Qualcomm Incorporated Apparatus and method for sponsored connectivity to wireless networks using application-specific network access credentials

Also Published As

Publication number Publication date
KR101840180B1 (ko) 2018-03-19
TW201644292A (zh) 2016-12-16
US20160277191A1 (en) 2016-09-22
EP3272099A1 (en) 2018-01-24
US9755837B2 (en) 2017-09-05
CN107409136B (zh) 2019-04-12
KR20170110157A (ko) 2017-10-10
CN107409136A (zh) 2017-11-28
TWI645724B (zh) 2018-12-21
JP2018511244A (ja) 2018-04-19
EP3272099B1 (en) 2018-12-26
BR112017019799B1 (pt) 2024-02-06
BR112017019799A2 (pt) 2018-05-29
WO2016148903A1 (en) 2016-09-22

Similar Documents

Publication Publication Date Title
JP6385589B2 (ja) アプリケーション固有ネットワークアクセス資格情報を使用する、ワイヤレスネットワークへのスポンサー付き接続性のための装置および方法
JP6400228B2 (ja) アプリケーション固有ネットワークアクセス資格情報を使用する、ワイヤレスネットワークへのスポンサー付き接続性のための装置および方法
US10986083B2 (en) Hardware identification-based security authentication service for IoT devices
US9882894B2 (en) Secure authentication service
KR102398221B1 (ko) 무선 직접통신 네트워크에서 비대칭 키를 사용하여 아이덴티티를 검증하기 위한 방법 및 장치
US20210337386A1 (en) Validating authorization for use of a set of features of a device
US9432349B2 (en) Service access authentication method and system
CN112514436B (zh) 发起器和响应器之间的安全的、被认证的通信
CN108886688B (zh) 一种可以在连接到无线通信网络的服务提供商sp网络中操作的方法、装置和可读介质
JP2014509162A (ja) セキュアエレメントを用いたリモート局の認証方法
JP2022043175A (ja) コアネットワークへの非3gpp装置アクセス

Legal Events

Date Code Title Description
A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20180118

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180416

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180604

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180806

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180904

R150 Certificate of patent or registration of utility model

Ref document number: 6400228

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250