TW201644291A - 用於使用特定於應用的網路存取身份碼來進行到無線網路的受贊助連接的設備和方法(一) - Google Patents
用於使用特定於應用的網路存取身份碼來進行到無線網路的受贊助連接的設備和方法(一) Download PDFInfo
- Publication number
- TW201644291A TW201644291A TW105105895A TW105105895A TW201644291A TW 201644291 A TW201644291 A TW 201644291A TW 105105895 A TW105105895 A TW 105105895A TW 105105895 A TW105105895 A TW 105105895A TW 201644291 A TW201644291 A TW 201644291A
- Authority
- TW
- Taiwan
- Prior art keywords
- application service
- application
- user device
- wireless communication
- communication network
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/51—Discovery or management thereof, e.g. service location protocol [SLP] or web services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/20—Services signaling; Auxiliary data signalling, i.e. transmitting data via a non-traffic channel
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/11—Allocation or use of connection identifiers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
- Telephone Function (AREA)
Abstract
至少一個特徵涉及一種在使用者裝置處可操作的方法。該方法包括:接收和儲存來自應用服務提供者的共享金鑰;及決定無線通訊網路提供到由該應用服務提供者提供的應用服務的特定於應用的存取。該方法亦包括:向該無線通訊網路發送包括裝置識別符和與該應用服務相關聯的應用識別符的註冊請求。該註冊請求是使用經由封包資料網路的資料連接而被發送給該應用服務提供者的。該方法亦包括:接收在該應用服務提供者處推導出的認證資訊,該認證資訊是基於該共享金鑰的;及基於該認證資訊和所儲存的共享金鑰來執行與該網路的認證和金鑰協議。隨後,在成功地執行認證和金鑰協議之後,該使用者裝置可以與該應用服務進行通訊。
Description
本專利申請案主張享有於2015年3月17日向美國專利商標局遞交的專利臨時申請案第62/134,206號和於2015年8月18日向美國專利商標局遞交的專利申請案第14/829,432號的優先權和權益。
本發明大體係關於建立在使用者裝置與無線網路之間的資料連接。
通常,使用者裝置存取無線蜂巢式系統是基於預先安排的用戶格式的。通常存取並不提供給不是無線蜂巢式系統的用戶的使用者裝置或沒有受益於與無線蜂巢式系統的現有關係的使用者裝置。
儘管不存在使用者裝置對無線蜂巢式系統的訂用,
但是應用服務提供者可能想讓該使用者裝置經由無線蜂巢式系統有權存取其伺服器和服務。應用服務提供者可能願意代表使用者裝置來針對該存取對無線蜂巢式系統進行補償。此種「受贊助連接(sponsored connectivity)」可以允許使用者裝置在有限的基礎上使用無線蜂巢網路,以便連接到應用服務提供者的伺服器以用於特定的應用,並且向應用服務提供者存取收取存取的費用。
針對受贊助連接的現有解決方案包括:基於存取點名稱(APN)的轉發,其中基於贊助方所供應的用戶身份模組(SIM)中配置的APN來建立承載,通用靴帶式牽引架構僅可用於當前配備有SIM能力的用戶;及基於應用的轉發,其中基於網際網路協定(IP)位址來過濾訊務。
但是,上述的現有解決方案存在問題。例如,使用者裝置可能沒有配備有服務供應商的(例如,無線蜂巢式系統)身份碼。例如,使用者裝置可能缺少SIM或者可能不具有蜂巢訂用。在使用基於IP位址的過濾的情況下,受贊助連接可能不容易擴展規模用於許多個不同的贊助方(例如,應用服務提供者),未授權/未認證的訊務可能流動經由服務供應商的核心網路,服務存取網路(例如,閘道)可能易於受到過載攻擊,應用服務提供者可能因非服務相關的訊務(例如,由攻擊造成的訊務)而被收取費用,並且沒有「第一哩」(例如,經由進化型節點B(eNB)及/或行動性管理實體(MME)來存取)防禦(亦即,過濾)可以是可用的。
因此,存在對用於建立受贊助連接的改良的方法、
設備和系統的需求,該等改良的方法、設備和系統允許使用者裝置經由使用者裝置所缺少訂用的無線網路來存取應用服務提供者。
一個特徵提供了一種在使用者裝置處可操作的方法,該方法包括:接收和儲存來自應用服務提供者的共享金鑰;決定無線通訊網路提供到由該應用服務提供者提供的應用服務的特定於應用的存取;向該無線通訊網路發送包括裝置識別符和與該應用服務相關聯的應用識別符的註冊請求,該註冊請求適於使用經由封包資料網路的資料連接而傳輸給該應用服務提供者;從該無線通訊網路接收在該應用服務提供者處推導出的認證資訊,該認證資訊是部分地基於該共享金鑰的;基於該認證資訊和所儲存的共享金鑰來執行與該無線通訊網路的認證和金鑰協議;及在成功地執行認證和金鑰協議之後,與該應用服務進行通訊。根據一個態樣,該共享金鑰與該使用者裝置唯一地相關聯。根據另一個態樣,該共享金鑰是經由安全連接從該應用服務提供者接收的。
根據一個態樣,該方法亦包括:在成功地執行認證和金鑰協議之後,賦能在該使用者裝置與該應用服務提供者所允許的應用服務的集合之間的通訊。根據另一個態樣,該方法亦包括:在發送該註冊請求之前,接收和儲存來自該應用服務提供者的該裝置識別符。根據再一個態樣,該方法亦包括:在向該無線通訊網路發送該註冊請求之前,從該應用服務提供者接收該應用識別符。
根據一個態樣,該方法亦包括:在向該無線通訊網路發送該註冊請求之前,經由應用服務通告從該無線通訊網路接收該應用識別符。根據另一個態樣,該應用識別符是全合格領域名稱、統一資源定位符及/或統一資源識別符中的至少一個。根據一個態樣,特定於應用的存取被授權給該使用者裝置,而與和該使用者裝置相關聯的任何用戶身份模組無關。
另一個特徵提供了一種使用者裝置,該使用者裝置包括:無線通訊介面,其適於與無線通訊網路無線地進行通訊;記憶體電路;及處理電路,其通訊地耦合到該記憶體電路和該無線通訊介面,該處理電路適於:從應用服務提供者接收共享金鑰;將該共享金鑰儲存在該記憶體電路處;決定該無線通訊網路提供到由該應用服務提供者提供的應用服務的特定於應用的存取;向該無線通訊網路發送包括裝置識別符和與該應用服務相關聯的應用識別符的註冊請求,該註冊請求適於使用經由封包資料網路的資料連接而傳輸給該應用服務提供者;從該無線通訊網路接收在該應用服務提供者處推導出的認證資訊,該認證資訊是部分地基於該共享金鑰的;基於該認證資訊和所儲存的共享金鑰來執行與該無線通訊網路的認證和金鑰協議;及在成功地執行認證和金鑰協議之後,與該應用服務進行通訊。根據一個態樣,該處理電路亦適於:在發送該註冊請求之前,從該應用服務提供者接收該裝置識別符。根據另一個態樣,該處理電路亦適於:在向該無線通訊網路發送該註冊請求之前,從該應用服務提供者接
收該應用識別符。
根據一個態樣,該處理電路亦適於:在成功地執行認證和金鑰協議之後,賦能在該使用者裝置與該應用服務提供者所允許的應用服務的集合之間的通訊。根據另一個態樣,該處理電路亦適於:在向該無線通訊網路發送該註冊請求之前,經由應用服務通告從該無線通訊網路接收該應用識別符。
另一個特徵提供了一種使用者裝置,該使用者裝置包括:用於接收和儲存來自應用服務提供者的共享金鑰的構件;用於決定無線通訊網路提供到由該應用服務提供者提供的應用服務的特定於應用的存取的構件;用於向該無線通訊網路發送包括裝置識別符和與該應用服務相關聯的應用識別符的註冊請求的構件,該註冊請求適於使用經由封包資料網路的資料連接而傳輸給該應用服務提供者;用於從該無線通訊網路接收在該應用服務提供者處推導出的認證資訊的構件,該認證資訊是部分地基於該共享金鑰的;用於基於該認證資訊和所儲存的共享金鑰來執行與該無線通訊網路的認證和金鑰協議的構件;及用於在成功地執行認證和金鑰協議之後,與該應用服務進行通訊的構件。根據一個態樣,該使用者裝置亦包括:用於在向該無線通訊網路發送該註冊請求之前,從該應用服務提供者接收該應用識別符的構件。根據另一個態樣,該使用者裝置亦包括:用於在向該無線通訊網路發送該註冊請求之前,經由應用服務通告從該無線通訊網路接收該應用識別符的構件。
另一個特徵提供了一種在與無線通訊網路相關聯的無線通訊網路裝置處可操作的方法,該方法包括:從使用者裝置接收針對到由應用服務提供者提供的應用服務的特定於應用的存取的註冊請求,該註冊請求包括用於標識該使用者裝置的裝置識別符和用於標識該應用服務的應用識別符;使用經由封包資料網路的資料連接來向該應用服務提供者發送認證資訊請求,其中該認證資訊請求包括該註冊請求和用於標識該無線通訊網路的服務網路識別符;回應於發送該認證資訊請求來從該應用服務提供者接收認證資訊,該認證資訊是部分地基於與該使用者裝置相關聯的共享金鑰的;及基於該認證資訊來執行與該使用者裝置的認證和金鑰協議。根據一個態樣,該方法亦包括:在從該使用者裝置接收該註冊請求之前,接收與該應用服務相關聯的應用服務註冊資訊。根據另一個態樣,該應用服務註冊資訊是經由服務供應功能從該應用服務提供者接收的。
根據一個態樣,該應用服務註冊資訊包括該應用識別符及/或應用服務等級中的至少一個,該應用服務等級指示該無線通訊網路為該使用者裝置與該應用服務之間的通訊提供的服務品質。根據另一個態樣,該方法亦包括:對通告進行廣播,該通告指示經由該無線通訊網路到該應用服務的特定於應用的存取的可用性。根據再一個態樣,該通告包括該應用識別符。
根據一個態樣,該認證資訊包括認證向量,該認證向量包括金鑰存取安全管理實體(K_ASME)、認證符記(
AUTN)、亂數(RAND)和期望的回應(XRES),並且基於該認證資訊來執行與該使用者裝置的認證和金鑰協議包括:在該無線通訊網路裝置處儲存K_ASME和XRES;向該使用者裝置發送RAND和AUTN;從該使用者裝置接收回應值(RES);及驗證RES等於XRES以認證該使用者裝置。根據另一個態樣,該方法亦包括:在認證和金鑰協議是成功的之後,向該使用者裝置提供針對該應用服務的特定於應用的存取。根據再一個態樣,該方法亦包括:在認證和金鑰協議是成功的之後,賦能在該使用者裝置與該應用服務提供者所允許的應用服務的集合之間的通訊。
另一個特徵提供了一種與無線通訊網路相關聯的無線通訊網路裝置,該無線通訊網路裝置包括:無線通訊介面,其適於與至少一個使用者裝置無線地進行通訊;及處理電路,其通訊地耦合到該無線通訊介面,該處理電路適於:從該使用者裝置接收針對到由應用服務提供者提供的應用服務的特定於應用的存取的註冊請求,該註冊請求包括用於標識該使用者裝置的裝置識別符和用於標識該應用服務的應用識別符;使用經由封包資料網路的資料連接來向該應用服務提供者發送認證資訊請求,其中該認證資訊請求包括該註冊請求和用於標識該無線通訊網路的服務網路識別符;回應於發送該認證資訊請求來從該應用服務提供者接收認證資訊,該認證資訊是部分地基於與該使用者裝置相關聯的共享金鑰的;及基於該認證資訊來執行與該使用者裝置的認證和金鑰協議。根據一個態樣,該處理電路亦適於:在從該使用者裝置
接收該註冊請求之前,接收與該應用服務相關聯的應用服務註冊資訊。根據另一個態樣,該處理電路亦適於:對通告進行廣播,該通告指示經由該無線通訊網路到該應用服務的特定於應用的存取的可用性。
根據一個態樣,該認證資訊包括認證向量,該認證向量包括金鑰存取安全管理實體(K_ASME)、認證符記(AUTN)、亂數(RAND)和期望的回應(XRES),並且適於基於該認證資訊來執行與該使用者裝置的認證和金鑰協議的該處理電路包括亦適於進行以下操作的該處理電路:在該無線通訊網路裝置處儲存K_ASME和XRES;向該使用者裝置發送RAND和AUTN;從該使用者裝置接收回應值(RES);及驗證RES等於XRES以認證該使用者裝置。根據另一個態樣,該處理電路亦適於:在認證和金鑰協議是成功的之後,向該使用者裝置提供針對該應用服務的特定於應用的存取。根據再一個態樣,該處理電路亦適於:在認證和金鑰協議是成功的之後,啟用在該使用者裝置與該應用服務提供者所允許的應用服務的集合之間的通訊。
另一個特徵提供了一種與無線通訊網路相關聯的無線通訊網路裝置,該無線通訊網路裝置包括:用於從使用者裝置接收針對到由應用服務提供者提供的應用服務的特定於應用的存取的註冊請求的構件,該註冊請求包括用於標識該使用者裝置的裝置識別符和用於標識該應用服務的應用識別符;用於使用經由封包資料網路的資料連接來向該應用服務提供者發送認證資訊請求的構件,其中該認證資訊請求包括
該註冊請求和用於標識該無線通訊網路的服務網路識別符;用於回應於發送該認證資訊請求來從該應用服務提供者接收認證資訊的構件,該認證資訊是部分地基於與該使用者裝置相關聯的共享金鑰的;及用於基於該認證資訊來執行與該使用者裝置的認證和金鑰協議的構件。根據一個態樣,該無線通訊裝置亦包括:在從該使用者裝置接收該註冊請求之前,接收與該應用服務相關聯的應用服務註冊資訊。根據另一個態樣,該無線通訊裝置亦包括:對通告進行廣播,該通告指示經由該無線通訊網路到該應用服務的特定於應用的存取的可用性。根據再一個態樣,該無線通訊裝置亦包括:在認證和金鑰協議是成功的之後,賦能在該使用者裝置與該應用服務提供者所允許的應用服務的集合之間的通訊。
100‧‧‧通訊系統
102‧‧‧使用者裝置
103‧‧‧無線通訊
104‧‧‧無線通訊網路
106‧‧‧無線電存取網路
108‧‧‧核心網路
110‧‧‧封包資料網路(PDN)
112‧‧‧應用服務提供者
114‧‧‧應用服務
200‧‧‧高級流程圖
202‧‧‧建立
204‧‧‧認證
206‧‧‧特定於應用的身份碼
208‧‧‧供應
210‧‧‧服務供應
212‧‧‧共享金鑰
214‧‧‧公開金鑰
300‧‧‧通訊系統
302‧‧‧服務供應功能
303‧‧‧服務查詢協定(SQP)伺服器
304‧‧‧MME
306‧‧‧服務閘道(S-GW)
308‧‧‧P-GW
402‧‧‧HSS實體
404‧‧‧AAA實體
500‧‧‧通訊系統
502‧‧‧服務供應功能(SPF)
700‧‧‧過程流程圖
702‧‧‧供應
704‧‧‧儲存
706‧‧‧執行
708‧‧‧發送
710‧‧‧轉發
712‧‧‧添加
714‧‧‧發送
716‧‧‧推導出
718‧‧‧發送
720‧‧‧儲存
722‧‧‧轉發
724‧‧‧推導出
726‧‧‧發送
728‧‧‧驗證
730‧‧‧執行
800‧‧‧過程流程圖
801‧‧‧憑證服務功能(CSF)
802‧‧‧供應
804‧‧‧供應
806‧‧‧應用服務通告
808‧‧‧驗證
810‧‧‧發送
811‧‧‧驗證
812‧‧‧產生
814‧‧‧加密
816‧‧‧計算
818‧‧‧執行
820‧‧‧發送
822‧‧‧計算
824‧‧‧發送
826‧‧‧比較
828‧‧‧執行
900‧‧‧過程流程圖
902‧‧‧供應
904‧‧‧供應
906‧‧‧應用服務通告
908‧‧‧驗證
910‧‧‧發送
912‧‧‧驗證
1002‧‧‧無線通訊介面
1004‧‧‧記憶體電路
1006‧‧‧輸入及/或輸出(I/O)裝置/電路
1008‧‧‧處理電路
1010‧‧‧匯流排
1102‧‧‧共享金鑰接收電路
1104‧‧‧受贊助連接決定電路
1106‧‧‧註冊請求發送電路
1108‧‧‧認證資訊接收電路
1110‧‧‧授權和金鑰協議(AKA)執行電路
1202‧‧‧憑證接收電路
1204‧‧‧受贊助連接確認電路
1206‧‧‧註冊請求發送電路
1208‧‧‧授權和金鑰協議(AKA)執行電路
1300‧‧‧流程圖
1302‧‧‧步驟
1304‧‧‧步驟
1306‧‧‧步驟
1308‧‧‧步驟
1310‧‧‧步驟
1312‧‧‧步驟
1400‧‧‧流程圖
1402‧‧‧步驟
1404‧‧‧步驟
1406‧‧‧步驟
1408‧‧‧步驟
1410‧‧‧步驟
1500‧‧‧無線通訊網路裝置
1502‧‧‧無線通訊介面
1504‧‧‧記憶體電路
1506‧‧‧輸入及/或輸出(I/O)裝置/電路
1508‧‧‧處理電路
1510‧‧‧匯流排
1602‧‧‧註冊請求接收電路
1604‧‧‧認證資訊發送電路
1606‧‧‧認證資訊接收電路
1608‧‧‧授權和金鑰協議(AKA)執行電路
1702‧‧‧應用服務提供者憑證接收電路
1704‧‧‧註冊請求接收電路
1706‧‧‧憑證驗證電路
1708‧‧‧授權和金鑰協議(AKA)執行電路
1800‧‧‧流程圖
1802‧‧‧步驟
1804‧‧‧步驟
1806‧‧‧步驟
1808‧‧‧步驟
1900‧‧‧步驟
1902‧‧‧步驟
1904‧‧‧步驟
1906‧‧‧步驟
1908‧‧‧步驟
第1圖圖示以針對一或多個應用服務的受贊助連接(亦即,「特定於應用的存取」)為特徵的通訊系統的高級示意圖。
第2圖圖示用於使用特定於應用的身份碼來提供受贊助連接的高級流程圖。
第3圖和第4圖圖示在示例性通訊系統內執行的、用於使用共享金鑰作為特定於應用的身份碼來建立受贊助連接的各個過程/步驟。
第5圖和第6圖圖示在示例性通訊系統內執行的、用於使用公開金鑰憑證作為特定於應用的身份碼來建立受贊助連接的各個過程/步驟。
第7A圖和第7B圖圖示用於使用共享金鑰來執行受贊助連接的過程流程圖。
第8A圖和第8B圖圖示使用公開金鑰憑證來執行受贊助連接的過程流程圖。
第9圖圖示用於使用公開金鑰來執行受贊助連接的過程流程圖。
第10圖圖示使用者裝置的示意方塊圖。
第11圖圖示使用者裝置的處理電路的第一示例性示意方塊圖。
第12圖圖示使用者裝置的處理電路的第二示例性示意方塊圖。
第13圖圖示在使用者裝置處可操作的、用於獲得特定於應用的存取的第一示例性方法的流程圖。
第14圖圖示在使用者裝置處可操作的、用於獲得特定於應用的存取的第二示例性方法的流程圖。
第15圖圖示無線通訊網路裝置的示意方塊圖。
第16圖圖示網路裝置的處理電路的第一示例性示意方塊圖。
第17圖圖示網路裝置的處理電路的第二示例性示意方塊圖。
第18圖圖示在網路裝置處可操作的、用於提供特定於應用的存取的第一示例性方法的流程圖。
第19圖圖示在網路裝置處可操作的、用於提供特定於應用的存取的第二示例性方法的流程圖。
在以下的描述中,提供了特定細節以提供對本案內容的各個態樣的透徹理解。但是,本領域一般技藝人士將理解的是,可以在沒有該等特定細節的情況下實施該等態樣。例如,可以以方塊圖圖示電路,以便避免以不必要的細節模糊該等態樣。在其他實例中,可以不詳細圖示公知的電路、結構和技術,以便不混模糊本案內容的該等態樣。
詞語「示例性」在本文中用於意指「用作示例、實例或說明」。本文中描述為「示例性」的任何實施方式或態樣不必被解釋為比本案內容的其他態樣優選或有優勢。同樣地,術語「態樣」並不要求本案內容的所有態樣包括所論述的特徵、優點或操作模式。如本文所使用的,術語「應用服務」代表應用服務提供者所提供的應用及/或服務或者所允許存取的應用及/或服務。術語「應用服務提供者」代表提供應用服務的實體。
第1圖圖示根據本案內容的一個態樣的以針對一或多個應用服務的受贊助連接(亦即,「特定於應用的存取」)為特徵的通訊系統100的高級示意圖。該系統包括與無線通訊網路104(例如,無線蜂巢網路)進行無線通訊103的複數個使用者裝置102(例如,使用者裝置(UE))。無線通訊網路104可以包括一或多個無線電存取網路106以及核心網路108。複數個使用者裝置102可以經由無線通訊網路104以及在無線通訊網路104與應用服務提供者112之間的任何其他封包資料網路(PDN)110(例如,網際網路、即時訊息傳遞服務
(IMS)等)來存取應用服務提供者112(亦即,與應用服務提供者112進行通訊)。例如,複數個裝置102可能期望存取應用服務提供者112所提供的(例如,所主管的)及/或所允許存取的一或多個應用服務114。例如,應用服務114可以是由應用服務提供者112提供的軟體。作為另一個實例,應用服務114可以允許使用者裝置102存取並不由應用服務提供者114提供/擁有的其他應用、資料、網站及/或服務。在此種意義上,應用服務112可以在一些情況下亦允許使用者裝置102存取一般的資料連接。
根據一個態樣,使用者裝置102是無線通訊裝置,諸如但不限於行動電話、智慧型電話、膝上型電腦、個人數位助理(PDA)、平板電腦、電腦、智慧手錶和頭戴式可穿戴電腦(例如,穀歌眼鏡®)。根據一個態樣,蜂巢網路104可以是任何無線網路,包括但不限於行動通訊全球系統(GSM)網路、通用行動電信系統(UMTS)網路、長期進化(LTE)網路和任何其他無線通訊網路。根據一個態樣,應用服務114可以是任何電子應用及/或服務,諸如但不限於由應用服務提供者112提供、主管及/或以其他方式管理的網站、軟體、程式、資料庫等。一或多個伺服器或其他硬體裝置可以包括應用服務提供者112以促進應用服務114的操作。儘管僅圖示一個應用服務114,但是應用服務提供者114可以提供複數個不同的應用服務(例如,服務的集合)。類似地,儘管僅圖示一個應用服務提供者112,但是可以有複數個不同的應用服務提供者,該等應用服務提供者均提供了可以經由無線通訊網
路104經由特定於應用的存取而可獲得的一或多個應用服務。
使用者裝置102可能不具有與無線通訊網路104的訂用或任何現有關係。因此,通常而言使用者裝置102可能無法使用無線通訊網路104來通常發送或接收資料。但是,在應用服務提供者112與無線通訊網路104的服務供應商之間具有預先協商的安排和協議的條件下,無線通訊網路104可以允許使用者裝置102使用網路104存取應用服務提供者112及/或其應用服務114,並針對對應用服務提供者114的此種使用而收取費用的至少一部分(若不是全部)。在此種意義上,應用服務提供者112贊助使用者裝置對無線通訊網路104的使用,並且使用者裝置102因此具有到應用服務提供者112及/或應用服務114的受贊助連接。
第2圖圖示根據本案內容的一個態樣的用於使用特定於應用的身份碼來提供受贊助連接的高級流程圖200。通常,用於提供到無線網路的使用者裝置受贊助連接的過程包括建立202(例如,建立階段)和認證204(例如,認證階段)。
在建立202期間,應用服務提供者可以向使用者裝置供應特定於應用的身份碼206。特定於應用的身份碼允許使用者裝置被認證用於經由無線通訊網路的到應用服務提供者提供的應用服務的特定於應用的存取。可以以安全方式提供特定於應用的身份碼,諸如但不限於:使用使用者裝置的公開金鑰(若有)及/或使用安全封包層協定(SSL)或傳輸層安全(TLS)密碼協定來加密身份碼。特定於應用的身份碼可以
基於共享金鑰(例如,對稱金鑰)、使用者裝置公開金鑰憑證,及/或兩者的組合。例如,在一個態樣中,特定於應用的身份碼可以是提供給使用者裝置並且亦儲存在應用服務提供者處的共享金鑰。作為另一個實例,特定於應用的身份碼可以是包括特定於應用的數位簽章的特定於應用的憑證。特定於應用的身份碼可以儲存在使用者裝置的安全執行環境或受信任執行環境中。安全執行環境的一個非限制性、非排他性的實例是ARM®架構中的TrustZone(信任區)®。
此外在建立202期間,可以向使用者裝置供應208與受信任無線通訊網路相關聯的複數個憑證。例如,複數個憑證可以是受信任行動網路操作員(MNO)的憑證列表。應用服務提供者亦可以執行服務供應210,其包括利用可以是無線通訊網路的一部分的服務供應功能(SPF)來註冊應用服務。在特定於應用的身份碼是特定於應用的憑證的情況下,SPF可以繼而向一或多個無線通訊網路裝置(例如,RAN、MME等)供應210應用服務提供者的公開金鑰。根據一個實例,可以由應用服務提供者自身向網路裝置提供應用服務提供者的公開金鑰。作為另一個實例,可以以憑證的形式提供公開金鑰:自簽名的憑證(亦即,由應用服務提供者簽名的應用服務提供者公開金鑰憑證)或第三方簽名的憑證。
在建立202之後,可以基於所使用的特定於應用的身份碼是共享金鑰212還是公開金鑰憑證214來執行認證204和金鑰協議。在特定於應用的身份碼是共享金鑰212的情況下,應用服務提供者充當歸屬用戶服務(HSS)認證、授權和計費
(AAA)實體。共享金鑰被保密,並且可以是經由頻帶外通訊通道(例如,Wi-Fi®)在使用者裝置與應用服務提供者之間預先共享的,該頻帶外通訊通道不同於在使用者裝置與應用服務提供者之間的主通訊通道(例如,第4圖中示出的資料路徑)。在一個態樣中,在無線通訊網路裝置(例如,MME)與應用服務提供者之間建立資料連接(例如,經由網際網路的資料通訊通道),此是由於MME和應用服務提供者可能彼此之間不具有直接的訊號傳遞通道(例如,控制通道)。最初,資料連接可以僅用於向應用服務提供者轉發認證資訊請求以便認證使用者裝置(例如,成功地執行認證和金鑰協議)。僅在一旦使用者裝置被認證,該使用者裝置才可以亦經由該資料連接及/或另一個資料連接向應用服務提供者發送資料訊務。此外,可以配置對應用伺服器的特定於應用的訊務/行動性處置(例如,承載預配置)。
在特定於應用的身份碼是特定於應用的憑證的情況下,無線通訊網路可以藉由驗證在特定於應用的憑證內所包含的特定於應用的數位簽章,來對嘗試獲取經由該網路的受贊助連接的使用者裝置進行認證。網路存取認證是在無線網路內執行的而不必聯絡應用服務提供者。亦即,網路存取認證可以在無線通訊網路與使用者裝置之間執行,而與應用服務提供者無關(亦即,不必聯絡應用服務提供者進行認證)。因此,在此種情況下的特定於應用的認證和過濾可以是在「第一哩」中強制執行的(例如,由RAN及/或MME強制執行的)。類似地,使用者裝置可以使用其被供應給的與受信任
無線通訊網路相關聯的複數個憑證,來認證特定的無線通訊網路,其中該使用者裝置正嘗試與該特定的無線通訊網路建立針對應用服務的受贊助連接。特定而言,使用者裝置可以使用該等憑證來驗證無線通訊網路所廣播的通告(例如,應用服務通告)中包括的一或多個數位簽章。
第3圖和第4圖圖示根據本案內容的一個態樣的在示例性通訊系統300內執行的、用於使用共享金鑰作為特定於應用的身份碼來建立受贊助連接的各個過程/步驟。參考第3圖,應用服務提供者(ASP)112可以首先經由服務供應功能(SPF)302向無線通訊網路104註冊應用服務114(步驟A1或A2以及步驟B)。在某些態樣中,SPF 302可以是無線通訊網路104的一部分(例如,其可以是常駐於網路104的任何網路裝置處的軟體)。應用服務到無線通訊網路104的註冊可以包括提供/供應應用服務註冊資訊,該應用服務註冊資訊可以包括應用識別符,該應用識別符被唯一地關聯到應用服務、帳單相關資訊、SPF 302與ASP 112之間的介面建立資訊(例如,安全相關聯的資訊、虛擬私人網路資訊等)等等。可以將應用服務註冊資訊提供給網路104的網路裝置,包括但不限於RAN 106、MME 304及/或服務查詢協定(SQP)伺服器303。
根據一個態樣,ASP112可以直接與SPF 302通訊,並且直接向SPF 302發送應用服務註冊資訊(亦即,步驟A1)。在其他態樣中,ASP 112可能不具有與無線通訊網路104及/或SPF 302的直接介面,因此ASP 112可以使用經由PDN 110和一或多個封包資料網路閘道(P-GW)308的資料線路連接
來向SPF 302發送應用服務註冊資訊(亦即,步驟A2)。SQP伺服器303可以處置來自使用者裝置102的查詢,並且向使用者裝置102提供從SPF 302接收的應用服務註冊資訊的至少一部分。
在步驟C處,ASP 112執行裝置註冊,其中除了其他事項以外,ASP 112可以向使用者裝置102供應特定於應用的身份碼,在此種情況下,該特定於應用的身份碼是與使用者裝置102唯一地相關聯的共享金鑰。ASP 112亦可以提供應用識別符,該應用識別符用於標識使用者裝置102希望使用受贊助連接來存取的應用服務。ASP 112可以以諸如使用使用者裝置的公開金鑰或安全通道(例如,TLS)之類的安全方式來向使用者裝置102提供特定於應用的身份碼。特定於應用的身份碼可以儲存在使用者裝置102的安全執行環境中。根據一個態樣,若將用於應用存取的密碼或存取符記用於網路存取,則可以跳過特定於應用的身份碼供應。
參考第4圖,在使用者裝置102與應用服務提供者112之間執行附著程序(步驟D)。此包含使用者裝置102向無線通訊網路104發送註冊請求(例如,附著請求)。註冊請求可以包括裝置識別符和應用識別符,該裝置識別符用於標識使用者裝置102,該應用識別符用於標識使用者裝置102期望受贊助連接到的應用服務114。在一個實例中,應用識別符可以是全合格領域名稱(FQDN)。隨後,無線通訊網路104(例如,MME 304)可以經由資料路徑(參見第4圖中虛線箭頭標記的「資料路徑」)向應用服務提供者112轉發包括註冊請求
和服務網路識別符的認證資訊請求。資料路徑可以是安全資料通道(例如,TLS或超文字傳輸協定安全(HTTPS))。因此,認證資訊請求訊息穿過一或多個服務閘道(S-GW)306、一或多個P-GW 308和一或多個封包資料網路110,以從MME 304到達應用服務提供者112。相比之下,在現有技術中,在專用的、直接的控制路徑和與MME的介面(例如,S6a介面)上而不是經由資料路徑,從MME 304向HSS/AAA實體402/404發送涉及授權使用者裝置的通用蜂巢網路存取的認證請求。隨後,ASP 112可以檢視與其在認證資訊請求中接收到的裝置識別符和應用識別符相關聯的共享金鑰,並且將認證資訊提供回給無線通訊網路104,以有助於與使用者裝置102的認證和金鑰協議。
第5圖和第6圖圖示根據本案內容的一個態樣的在示例性通訊系統500內執行的、用於使用公開金鑰憑證作為特定於應用的身份碼來建立受贊助連接的各個過程/步驟。參考第5圖,ASP 112可以首先經由服務供應功能(SPF)502向無線通訊網路104註冊應用服務114(步驟A1或A2以及步驟B)。在某些態樣中,SPF 502可以是無線通訊網路104的一部分(例如,其可以是存在於網路104的任何網路裝置處的軟體)。應用服務114向無線通訊網路104的註冊可以包括提供/供應應用服務註冊資訊,該應用服務註冊資訊可以包括應用識別符,該應用識別符被唯一地關聯到應用服務、帳單相關資訊、SPF 302與ASP 112之間的介面建立資訊(例如,安全相關聯的資訊、虛擬私人網路資訊等)等等。可以將應用服務註冊資訊
提供給網路104的網路裝置,包括但不限於RAN 106、MME 304及/或服務查詢協定(SQP)伺服器303。ASP 112亦向諸如RAN 106及/或MME 304之類的一或多個網路裝置供應應用服務提供者公開金鑰(步驟B)。公開金鑰可以由ASP自身或以憑證(例如,自簽名的應用服務提供者公開金鑰憑證或由第三方簽名的憑證)的形式來提供。在一個態樣中,ASP 112針對其主管的每個應用服務114向網路裝置106、304提供不同的應用服務提供者公開金鑰(或應用服務提供者公開金鑰憑證)。在另一個態樣中,ASP 112可以針對其主管的每個應用服務114向網路裝置106、304提供相同的應用服務提供者公開金鑰(或應用服務提供者公開金鑰憑證)。
根據一個態樣,ASP 112可以直接與SPF 502通訊,並且直接向SPF 502發送包括應用服務提供者憑證(ASP的公開金鑰憑證或ASP的公開金鑰)的應用服務註冊資訊(亦即,步驟A1)。在其他態樣中,ASP 112可能不具有與無線通訊網路104及/或SPF 502的直接介面,因此ASP 112可以使用經由PDN 110和一或多個封包資料網路閘道(P-GW)308的資料線路連接來向SPF 502發送應用服務註冊資訊和應用服務提供者憑證(亦即,步驟A2)。SQP伺服器303可以處置來自使用者裝置102的查詢,並且向使用者裝置102提供從SPF 502接收的應用服務註冊資訊的至少一部分。
在步驟C處,ASP 112執行裝置註冊,其中除了其他事項以外,ASP 112可以向使用者裝置102供應特定於應用的身份碼,在此種情況下,該特定於應用的身份碼可以是特定
於應用的憑證。特定於應用的憑證可以是簡單公開金鑰基礎結構(SPKI)憑證([身份+公開金鑰],[授權/簽名]),其包括使用者裝置識別符、使用者裝置公開金鑰和特定於應用的數位簽章。特定於應用的數位簽章可以是被該應用服務提供者的私密金鑰(亦即,應用服務提供者的私密金鑰)簽名的使用者裝置102的公開金鑰。在某些態樣中,特定於應用的數位簽章亦可以包括應用識別符(亦即,ASP 112對應用識別符和使用者裝置102的公開金鑰兩者進行簽名)。在後一種情況下,特定於應用的憑證亦包括應用識別符。根據一個態樣,應用服務提供者112所使用的、用於對特定於應用的數位簽章進行簽名的私密金鑰可以是與應用服務提供者112提供/主管的每個應用服務114唯一地相關聯。在一個態樣中,ASP 112並不是向使用者裝置102供應整個特定於應用的憑證,而是僅向使用者裝置102供應僅特定於應用的數位簽章,並且使用者裝置可以稍後添加其使用者裝置識別符、使用者裝置公開金鑰、以及在一些情況下的應用識別符,以形成完整的特定於應用的憑證。
應用服務提供者112可以以諸如使用使用者裝置的公開金鑰或安全通道(例如,TLS)之類的安全方式來向使用者裝置102提供特定於應用的憑證。特定於應用的憑證可以儲存在使用者裝置102的安全執行環境或受信任執行環境中。根據一個態樣,若將用於應用存取的密碼或存取符記用於網路存取,則可以跳過特定於應用的身份碼供應。
參考第6圖,在使用者裝置102與應用服務提供者112
之間執行附著程序(步驟D)。此包含使用者裝置102向無線通訊網路104發送註冊請求(例如,附著請求)。註冊請求包括特定於應用的憑證。MME 304驗證憑證中所包括的特定於應用的數位簽章,以驗證使用者裝置102的身份。類似地,MME 304可以向使用者裝置102廣播應用服務通告,該應用服務通告包括無線通訊網路數位簽章。使用者裝置102可以使用由應用服務提供者112供應給其的、無線通訊網路104的公開金鑰,來驗證無線通訊網路數位簽章。隨後,MME 304和使用者裝置102可以與彼此執行認證和金鑰協議,而與應用服務提供者112無關(亦即,不必聯絡應用服務提供者112進行對使用者裝置的認證)。因此,認證和金鑰協議是在「第一哩」中(亦即,在MME 304處)執行的,並沒有深入到核心網路108中。
在某些態樣中,特定於應用的身份碼可以包括共享金鑰和特定於應用的憑證的組合。例如,特定於應用的憑證可以用於使用者裝置102的初始身份驗證,並且共享金鑰可以用於認證和金鑰協議。
第7A圖和第7B圖圖示根據本案內容的一個態樣的用於使用共享金鑰來執行受贊助連接的過程流程圖700。當使用者向應用服務提供者112(例如,應用伺服器)註冊使用者裝置102時,應用服務提供者112向使用者裝置102供應702共享金鑰。在某些態樣中,應用服務提供者亦可以向使用者裝置102供應裝置識別符(例如,使用者識別符)及/或與應用服務相關聯的應用識別符(例如,全合格領域名稱)。在其他
態樣中,使用者裝置102可能已經擁有使用者識別符(例如,在製造時),並且其在裝置註冊期間向ASP 112提供該裝置識別符,使得ASP 112可以將裝置識別符與共享金鑰進行關聯。裝置識別符可以是國際行動站設備識別符(IMEI)、電機電子工程師學會(IEEE)擴展唯一識別符(EUI)位址(例如,EUI-48或EUI-64)(亦即,媒體存取控制(MAC)位址)、行動站用戶國際用戶目錄號(MSISDN)、網路存取識別符(NAI)等。共享金鑰被保密,並且可以是經由頻帶外通訊通道(例如,Wi-Fi®)在使用者裝置102與應用服務提供者112之間預先共享的。應用服務提供者112亦儲存704與使用者裝置102相關聯(例如,與使用者裝置102的裝置識別符相關聯)的共享金鑰。應用服務提供者112亦可以向行動網路操作員的(MNO的)無線網路104註冊應用服務,因此網路104可以隨後針對應用服務的受贊助連接的可用性開始廣播/發送應用服務通告。
在使用者裝置102與無線網路104的RAN 106(例如,eNB)之間執行706服務探索程序,其允許使用者裝置102偵測無線網路104是否提供使用者裝置102可能感興趣的應用服務。服務探索可以是由服務供應功能經由服務查詢協定(SQP)賦能的,服務查詢協定(SQP)具有與通用公告服務(GAS)和主動網路查詢協定(ANQP)相似的功能。一旦使用者裝置102決定無線網路104提供到使用者裝置102所想要的應用服務的受贊助連接,使用者裝置102就將包括其裝置識別符和應用識別符(例如,FQDN)的註冊請求(例如,附著請
求)訊息發送708給RAN 106。RAN 106向MME 304轉發710註冊請求訊息。隨後,MME 304將服務網路識別符(例如,用於標識服務網路的識別符)添加712到註冊請求訊息,以形成認證資訊請求。隨後,MME在資料路徑(例如,資料通道、資料訊務通訊線路、資料連接等,參見第4圖中的「資料路徑」)上向應用服務提供者112發送714認證資訊請求訊息,該資料路徑可以是安全的(例如,TLS或超文字傳輸協定安全(HTTPS))。因此,認證資訊請求訊息在到達應用服務提供者112之前穿過一或多個S-GW 506、一或多個P-GW 508和一或多個封包資料網路110。相比之下,在現有技術中,在專用的、與MME的直接控制通道介面(例如,S6a介面)上而不是經由資料連接,向HSS/AAA實體發送涉及授權使用者裝置的蜂巢網路存取的認證請求。
應用服務提供者112根據與使用者裝置102相關聯的共享金鑰推導出716認證向量(AV),並將AV發送718給MME 304。在3GPP 33.401中描述了對AV的推導,其中AV=[K_ASME,AUTN,RAND,XRES],K_ASME是金鑰(例如,存取安全管理實體(ASME)),AUTN是認證符記,RAND是亂數,以及XRES是期望的回應。MME 304將值K_ASME和XRES儲存720在本機記憶體中並且將RAND和AUTN轉發722給使用者裝置102。使用者裝置102使用其儲存的共享金鑰來驗證接收到的值AUTN。若值AUTN是有效的,則使用者裝置102推導出724針對服務網路104的認證回應(RES),並且亦推導出K_ASME。使用者裝置102向MME 304發送726值RES。
MME304驗證728是否XRES==RES。若驗證是成功的,則在使用者裝置102與MME 304之間執行730非存取層(NAS)和存取層(AS)金鑰建立。
第8A圖和第8B圖圖示根據本案內容的一個態樣的使用公開金鑰憑證來執行受贊助連接的過程流程圖800。當使用者裝置102向應用服務提供者112註冊時,應用服務提供者112向使用者裝置102供應802特定於應用的憑證。ASP 112亦可以向使用者裝置102供應裝置識別符及/或受信任MNO和憑證列表,該列表包括受信任無線通訊網路(例如,MNO)的複數個公開金鑰憑證。在一個態樣中,使用者裝置102具有其自身的裝置識別符,其在裝置註冊期間向ASP 112提供裝置識別符,使得ASP儲存與所提供的特定於應用的憑證相關聯的裝置識別符。裝置識別符可以是IMEI、IEEE EUI-48/EUI-64位址(亦即,MAC位址)、MSISDN或NAI。替代地,裝置識別符可以是對其公開金鑰的雜湊。
應用服務提供者112亦向無線通訊網路104的部件/裝置發送應用服務註冊資訊(例如,經由SPF 502,參見第5圖)。應用服務註冊資訊可以包括應用識別符,該應用識別符被唯一地關聯到應用服務、帳單相關資訊、SPF與ASP 112之間的介面建立資訊(例如,安全相關聯的資訊、虛擬私人網路資訊等)等等。ASP 112亦向諸如RAN 106及/或MME 304之類的一或多個網路裝置供應804應用服務提供者憑證(例如,ASP的公開金鑰憑證)。ASP憑證可以是自簽名的(亦即,由ASP簽名的)或由受信任的第三方實體簽名的。在某些態樣
中,ASP可以僅僅向一或多個網路裝置供應僅公開金鑰(亦即,不是公開金鑰憑證)。
作為由RAN 106進行的應用服務通告806的一部分,可以使用與GAS/ANQP類似的協定來進行服務探索。應用服務通告可以包括無線通訊網路數位簽章。若服務通告包括此種數位簽章,則使用者裝置102可以使用由應用服務提供者112在受信任MNO的憑證列表中供應給其的無線通訊網路公開金鑰,來驗證808數位簽章。隨後,使用者裝置102可以向MME 304發送810包括特定於應用的憑證的註冊請求。註冊請求亦可以包括裝置識別符和第一亂數(例如,NonceU)。隨後,MME 304可以使用其先前被供應給的應用服務提供者憑證(亦即,使用ASP憑證的公開金鑰)來驗證811特定於應用的憑證中所包括的特定於應用的數位簽章。此驗證/認證811使用者裝置102的身份。
一旦驗證811是成功的,隨後MME 304可以隨機地產生812金鑰(K_ASME)並且使用使用者裝置102的公開金鑰PK_UD來加密814 K_ASME(亦即,EncPK_UD(K_ASME),其中Enc( )是加密函數)。隨後,MME 304可以隨機地產生第二亂數(例如,NonceM)並且計算816 XRES=HMAC(K_ASME,NonceU|NonceM)(其中HMAC( )是帶金鑰的雜湊訊息認證碼)。隨後,MME 304在EncPK_UD(K_ASME)、NonceM、PK_MME(其中PK_MME是MME 304的公開金鑰)上執行818簽名。MME 304將EncPK_UE(K_ASME)、NonceM、PK_MME和簽名發送820給使用者裝置102。使用者裝置102驗證簽名,使用其
私密金鑰來解密K_ASME,並且計算822 RES=HMAC(K_ASME,NonceU|NonceM)。使用者裝置102將值RES發送824給MME 304。MME 304將值RES與值XRES進行比較826,並且若其匹配(亦即,MME 304成功地認證使用者裝置),則在使用者裝置102與MME 304之間執行828 NAS和應用服務(AS)金鑰建立。
根據一個態樣,應用服務提供者112可以向無線通訊網路104提供憑證撤銷列表,隨後無線通訊網路104可以將撤銷列表儲存在憑證服務功能(CSF)801處。撤銷列表標識已被撤銷或以其他方式而無效的彼等特定於應用的憑證。MME 304可以利用CSF 801進行檢查以決定嘗試獲得特定於應用的存取的使用者裝置是否被提供了位於撤銷列表上的特定於應用的憑證。若是,則MME 304可以拒絕對使用者裝置102的認證(亦即,拒絕特定於應用的存取)。根據一個態樣,CSF 801在其生命期期間儲存特定於應用的憑證(亦即,直到其期滿日期為止),而不管憑證是否在其期滿之前被撤銷。例如,特定於應用的憑證可以具有1年生命期(亦即,1年到期),但可能在一個月後就被撤銷。CSF 801可能仍然在其生命期剩餘的11個月內儲存憑證。在另一個態樣中,CSF 801可以執行線上憑證狀態協定(OCSP)回應器,以向MME 304提供憑證撤銷狀態。
第9圖圖示根據本案內容的一個態樣的使用公開金鑰來執行受贊助連接的過程流程圖900。當使用者裝置102向應用服務提供者112註冊時,應用服務提供者112可以向使用
者裝置102供應902裝置識別符以及受信任MNO和憑證列表,該列表包括受信任無線通訊網路(例如,MNO)的複數個公開金鑰憑證。裝置識別符可以是IMEI、IEEE EUI-48/EUI-64位址(亦即,MAC位址)、MSISDN或NAI,或對其公開金鑰的雜湊。使用者裝置102亦向ASP 112提供其公開金鑰,ASP 112可以儲存該公開金鑰。
應用服務提供者112亦向無線通訊網路104的部件/裝置發送應用服務註冊資訊。應用服務註冊資訊可以包括應用識別符,該應用識別符被唯一地關聯到應用服務、帳單相關資訊、SPF與ASP 112之間的介面建立資訊(例如,安全相關聯的資訊、虛擬私人網路資訊等)等等。ASP 112亦向諸如RAN 106及/或MME 304之類的一或多個網路裝置供應904使用者裝置公開金鑰列表,該使用者裝置公開金鑰列表被批準用於針對應用服務提供者所提供的應用服務的特定於應用的存取。
作為由RAN 106進行的應用服務通告906的一部分,可以使用與GAS/ANQP類似的協定來進行服務探索。應用服務通告可以包括無線通訊網路數位簽章。若服務通告包括此種數位簽章,則使用者裝置102可以使用由應用服務提供者112在受信任MNO的憑證列表中供應給其的無線通訊網路公開金鑰來驗證908簽名。隨後,使用者裝置102可以向MME 304發送910包括使用者裝置公開金鑰的註冊請求。註冊請求亦可以包括裝置識別符和第一亂數(例如,NonceU)。隨後,MME 304可以藉由檢查使用者裝置所提供的公開金鑰是否與應用
服務提供者112早先提供給其的批準的公開金鑰列表上的公開金鑰相匹配,來進行檢查以驗證912使用者裝置的身份。若匹配,則使用者裝置102的身份被證實。若不匹配,則認證失敗,並且使用者裝置102可能無法獲得特定於應用的存取。在驗證912之後,過程900可以遵循第8A圖和第8B圖中圖示的相同的認證和金鑰協議過程(步驟812到828)。
根據一個態樣,特定於應用的身份碼可以不是基於用戶身份模組(SIM)身份碼或通用用戶身份模組(USIM)身份碼的,此是由於使用者裝置可能不具有SIM或USIM。特定於應用的身份碼可以僅允許經由無線網路104來存取應用服務提供者112的特定應用服務114,或存取應用服務的集合。當特定於應用的身份碼包括共享金鑰時如何可以以安全的方式供應特定於應用的身份碼的一些非限制性、非排他性的實例包括:動態對稱金鑰供應協定(DSKPP(RFC 6063))及/或密碼符記金鑰初始化協定(CT-KIP(RFC 4758))。當特定於應用的身份碼包括公開金鑰憑證時,密碼訊息語法(CMS(RFC 5272,6402))協定上的憑證管理可以用於安全地供應特定於應用的身份碼。
第10圖圖示根據本案內容的一個態樣的使用者裝置102的示意方塊圖。使用者裝置102可以是任何無線通訊裝置,諸如但不限於行動電話、智慧型電話、膝上型電腦、個人數位助理(PDA)、平板電腦、電腦、智慧手錶和頭戴式可穿戴電腦(例如,穀歌眼鏡®)。使用者裝置102可以至少包括一或多個無線通訊介面1002、一或多個記憶體電路1004、
一或多個輸入及/或輸出(I/O)裝置/電路1006,及/或一或多個處理電路1008,該等部件可以彼此通訊地耦合。例如,介面1002、記憶體電路1004、I/O裝置1006和處理電路1008可以經由匯流排1010彼此通訊地耦合。無線通訊介面1002允許使用者裝置102與無線通訊網路104無線地通訊。因此,介面1002允許使用者裝置102與諸如行動電信蜂巢網路之類的無線廣域網(WWAN)以及短距離、無線區域網路(例如,WiFi®、Zigbee(紫蜂)®、藍芽®等)無線地通訊。無線通訊介面1002表示用於在成功地執行認證和金鑰協議之後,使用者裝置與應用服務進行通訊的構件的一個實例。
記憶體電路1004可以包括一或多個揮發性記憶體電路及/或非揮發性記憶體電路。因此,記憶體電路1004可以包括動態隨機存取記憶體(DRAM)、靜態隨機存取記憶體(SRAM)、磁阻隨機存取記憶體(MRAM)、電子可抹除可程式設計唯讀記憶體(EEPROM)、快閃記憶體等。記憶體電路1004可以儲存一或多個加密金鑰,諸如共享金鑰和公開金鑰憑證(例如,特定於應用的憑證、無線通訊網路公開金鑰憑證、受信任MNO憑證等)。記憶體電路1004亦可以儲存可以由處理電路1008執行的指令。I/O裝置/電路1006可以包括一或多個鍵盤、滑鼠、顯示器、觸控式螢幕顯示器、印表機、指紋掃瞄器以及任何其他輸入及/或輸出裝置。
處理電路1008(例如,處理器、中央處理單元(CPU)、應用處理單元(APU)等)可以執行在記憶體電路1006處儲存的指令,及/或在通訊地耦合到使用者裝置102的另一個
電腦可讀取儲存媒體(例如,硬碟、光碟機、固態驅動器等)處儲存的指令。處理電路1008可以執行本文所描述的使用者裝置102的步驟及/或過程中的任何一個步驟及/或過程,包括參照第2圖、第3圖、第4圖、第5圖、第6圖、第7A圖、第7B圖、第8A圖、第8B圖、第9圖、第13圖和第14圖所論述的彼等步驟及/或過程。根據一個態樣,處理電路1008可以是通用處理器。根據另一個態樣,處理電路可以是硬佈線的(例如,其可以是特殊應用積體電路(ASIC))以執行本文所描述的使用者裝置102的步驟及/或過程,包括參照第2圖、第3圖、第4圖、第5圖、第6圖、第7A圖、第7B圖、第8A圖、第8B圖、第9圖、第13圖和第14圖所論述的彼等步驟及/或過程。
第11圖圖示根據一個態樣的使用者裝置處理電路1008的示意方塊圖。處理電路1008可以包括共享金鑰接收電路1102、受贊助連接決定電路1104、註冊請求發送電路1106、認證資訊接收電路1108,及/或授權和金鑰協議(AKA)執行電路1110。根據一個態樣,該等電路1102、1104、1106、1108、1110可以是ASIC並且是硬佈線的以執行其相應的過程。共享金鑰接收電路1102可以是用於接收和儲存來自應用服務提供者的共享金鑰的構件的一個實例。受贊助連接決定電路1104可以是用於決定無線通訊網路提供到由應用服務提供者提供的應用服務的特定於應用的存取的構件的一個實例。註冊請求發送電路1106可以是用於向無線通訊網路發送註冊請求的構件的一個實例,該註冊請求包括裝置識別符和與應用服務相關聯的應用識別符。認證資訊接收電路1108可以是
用於從無線通訊網路接收在應用服務提供者處推導出的認證資訊(其是部分地基於共享金鑰的)的構件的一個實例。AKA執行電路1110可以是用於基於認證資訊和所儲存的共享金鑰,來執行與無線通訊網路的認證和金鑰協議的構件的一個實例。
第12圖圖示根據另一個態樣的使用者裝置處理電路1008的示意方塊圖。處理電路1008可以包括憑證接收電路1202、受贊助連接確認電路1204、註冊請求發送電路1206,及/或授權和金鑰協議(AKA)執行電路1208。根據一個態樣,該等電路1202、1204、1206、1208可以是ASIC並且是硬佈線的以執行其相應的過程。憑證接收電路1202可以是用於從應用服務提供者接收與由應用服務提供者提供的至少一個應用服務相關聯的特定於應用的憑證的構件的一個實例。受贊助連接確認電路1204可以是用於決定無線通訊網路提供到由應用服務提供者提供的應用服務的特定於應用的存取的構件的一個實例。註冊請求發送電路1206可以是用於向無線通訊網路發送包括特定於應用的憑證的註冊請求,以用於對使用者裝置的認證的構件的一個實例,特定於應用的憑證包括與應用服務相關聯的公開金鑰。AKA執行電路1208可以是用於執行與無線通訊網路的認證和金鑰協議的構件的一個實例。
第13圖圖示根據本案內容的一個態樣的在使用者裝置102處可操作的、用於獲得特定於應用的存取的方法的流程圖1300。首先,使用者裝置102接收和儲存來自應用服務提供者的共享金鑰1302。隨後,使用者裝置102決定無線通訊網路
提供到由應用服務提供者提供的應用服務的特定於應用的存取1304。接著,向無線通訊網路發送包括裝置識別符和與應用服務相關聯的應用識別符的註冊請求,註冊請求適於使用經由封包資料網路的資料連接而傳輸給應用服務提供者1306。隨後,使用者裝置102從無線通訊網路接收在應用服務提供者處推導出的認證資訊(其是部分地基於共享金鑰的)1308。接著,基於認證資訊和所儲存的共享金鑰來執行與無線通訊網路的認證和金鑰協議1310。隨後,在認證和金鑰協議被成功地執行之後,使用者裝置可以與應用服務進行通訊1312。
第14圖圖示根據本案內容的一個態樣的在使用者裝置102處可操作的、用於獲得特定於應用的存取的方法的流程圖1400。首先,使用者裝置102從應用服務提供者接收與應用服務提供者所提供的應用服務相關聯的特定於應用的憑證1402。隨後,使用者裝置102決定無線通訊網路提供到由應用服務提供者提供的應用服務的特定於應用的存取1404。接著,向無線通訊網路發送包括特定於應用的憑證的註冊請求以用於對使用者裝置的認證,特定於應用的憑證包括與應用服務相關聯的公開金鑰1406(例如,可以是使用者裝置公開金鑰)。隨後,使用者裝置102執行與無線通訊網路的認證和金鑰協議1408。接著,在認證和金鑰協議被成功地執行之後,使用者裝置可以與應用服務進行通訊1410。
第15圖圖示根據本案內容的一個態樣的無線通訊網路裝置1500的示意方塊圖。網路裝置1500可以是無線通訊網
路104(參見第1圖、第3圖和第5圖)的部件/裝置中的任何一個部件/裝置,包括但不限於RAN 106及/或MME 304。網路裝置1500可以包括至少一或多個無線通訊介面1502、一或多個記憶體電路1504、一或多個輸入及/或輸出(I/O)裝置/電路1506,及/或一或多個處理電路1508,該等部件可以彼此通訊地耦合。例如,介面1502、記憶體電路1504、I/O裝置1506和處理電路1508可以經由匯流排1510彼此通訊地耦合。無線通訊介面1502允許網路裝置1500與使用者裝置102無線地通訊。因此,介面1502允許網路裝置1500經由諸如行動電信蜂巢網路之類的無線廣域網(WWAN)及/或短距離、無線區域網路(例如,WiFi®、紫蜂®、藍芽®等)無線地通訊。
記憶體電路1504可以包括一或多個揮發性記憶體電路及/或非揮發性記憶體電路。因此,記憶體電路1504可以包括DRAM、SRAM、MRAM、EEPROM、快閃記憶體等。記憶體電路1504可以儲存一或多個加密金鑰,諸如公開金鑰憑證(例如,應用服務提供者憑證)。記憶體電路1504亦可以儲存可以由處理電路1508執行的指令。I/O裝置/電路1506可以包括一或多個鍵盤、滑鼠、顯示器、觸控式螢幕顯示器、印表機、指紋掃瞄器以及任何其他輸入及/或輸出裝置。
處理電路1508(例如,處理器、中央處理單元(CPU)、應用處理單元(APU)等)可以執行在記憶體電路1506處儲存的指令及/或在通訊地耦合到網路裝置1500的另一個電腦可讀取儲存媒體(例如,硬碟、光碟機、固態驅動器等)處儲存的指令。處理電路1508可以執行本文所描述的網路裝
置106、304、306、308的步驟及/或過程中的任何一個步驟及/或過程,包括參照第2圖、第3圖、第4圖、第5圖、第6圖、第7A圖、第7B圖、第8A圖、第8B圖、第9圖、第18圖和第19圖所論述的彼等步驟及/或過程。根據一個態樣,處理電路1508可以是通用處理器。根據另一個態樣,處理電路1508可以是硬佈線的(例如,其可以是特殊應用積體電路(ASIC))以執行本文所描述的網路裝置106、304、306、308的步驟及/或過程,包括參照第2圖、第3圖、第4圖、第5圖、第6圖、第7A圖、第7B圖、第8A圖、第8B圖、第9圖、第18圖和第19圖所論述的彼等步驟及/或過程。
第16圖圖示根據一個態樣的網路裝置處理電路1508的示意方塊圖。處理電路1508可以包括註冊請求接收電路1602、認證資訊發送電路1604、認證資訊接收電路1606,及/或授權和金鑰協議(AKA)執行電路1608。根據一個態樣,該等電路1602、1604、1606、1608可以是ASIC並且是硬佈線的以執行其相應的過程。註冊請求接收電路1602可以是用於從使用者裝置接收針對到由應用服務提供者提供的應用服務的特定於應用的存取的註冊請求的構件的一個實例。認證資訊發送電路1604可以是用於使用經由封包資料網路的資料連接來向應用服務提供者發送認證資訊請求的構件的一個實例,該認證資訊請求包括註冊請求和標識無線通訊網路的服務網路識別符。認證資訊接收電路1606可以是用於回應於發送認證資訊請求來從應用服務提供者接收認證資訊的構件的一個實例。AKA執行電路1608可以是用於基於認證資訊來執行
與使用者裝置的認證和金鑰協議的構件的一個實例。
第17圖圖示根據另一個態樣的網路裝置處理電路1508的示意方塊圖。處理電路1508可以包括應用服務提供者憑證接收電路1702、註冊請求接收電路1704、憑證驗證電路1706,及/或授權和金鑰協議(AKA)執行電路1708。根據一個態樣,該等電路1702、1704、1706、1708可以是ASIC並且是硬佈線的以執行其相應的過程。應用服務提供者憑證接收電路1702可以是用於從應用服務提供者接收包括應用服務提供者公開金鑰的應用服務提供者憑證的構件的一個實例。註冊請求接收電路1704可以是用於從使用者裝置接收針對到由應用服務提供者提供的應用服務的特定於應用的存取的註冊請求的構件的一個實例。憑證驗證電路1706可以是用於使用應用服務提供者公開金鑰來驗證特定於應用的憑證以認證使用者裝置的構件的一個實例。AKA執行電路1708可以是用於基於認證資訊來執行與使用者裝置的認證和金鑰協議的構件的一個實例。
第18圖圖示根據本案內容的一個態樣的在無線通訊網路裝置1500可處操作的、用於提供特定於應用的存取的方法的流程圖1800。首先,網路裝置1500從使用者裝置102接收針對到由應用服務提供者提供的應用服務的特定於應用的存取的註冊請求,註冊請求包括用於標識使用者裝置的裝置識別符和用於標識應用服務的應用識別符1802。接著,使用經由封包資料網路的資料連接來向應用服務提供者發送包括註冊請求和用於標識無線通訊網路的服務網路識別符的認證資
訊請求1804。隨後,回應於發送認證資訊請求來從應用服務提供者接收認證資訊,認證資訊是部分地基於與使用者裝置相關聯的共享金鑰的1806。接著,網路裝置1500基於認證資訊來執行與使用者裝置102的認證和金鑰協議1808。
第19圖圖示根據本案內容的一個態樣的在無線通訊網路裝置處可操作的、用於提供特定於應用的存取的方法的流程圖1900。首先,網路裝置1500從應用服務提供者接收包括應用服務提供者公開金鑰的應用服務提供者憑證1902。隨後,網路裝置1500從使用者裝置102接收針對到由應用服務提供者提供的應用服務的特定於應用的存取的註冊請求,註冊請求包括由應用服務提供者簽名的特定於應用的憑證,特定於應用的憑證包括與應用服務相關聯的公開金鑰1904。接著,網路裝置使用應用服務提供者公開金鑰來驗證特定於應用的憑證以認證使用者裝置1906。隨後,網路裝置執行與使用者裝置的認證和金鑰協議1908。
第1圖、第2圖、第3圖、第4圖、第5圖、第6圖、第7A圖、第7B圖、第8A圖、第8B圖、第9圖、第10圖、第11圖、第12圖、第13圖、第14圖、第15圖、第16圖、第17圖、第18圖及/或第19圖中圖示的部件、步驟、特徵及/或功能中的一或多個可以被重新排列及/或組合到單個部件、步驟、特徵或功能中或體現在若干個部件、步驟或功能中。在不脫離本發明的情況下,亦可以添加另外的元素、部件、步驟及/或功能。第1圖、第3圖、第4圖、第5圖、第6圖、第10圖、第11圖、第12圖、第15圖、第16圖及/或第17圖中示出的設備、裝置及/
或部件可以被配置為執行第2圖、第3圖、第4圖、第5圖、第6圖、第7A圖、第7B圖、第8A圖、第8B圖、第9圖、第13圖、第14圖、第18圖及/或第19圖中描述的方法、特徵或步驟中的一或多個。本文所描述的演算法亦可以用軟體來高效地實施及/或嵌入在硬體中。
此外,在本案內容的一個態樣中,第10圖、第11圖及/或第12圖中圖示的處理電路1008可以是被專門設計及/或硬佈線為執行第2圖、第3圖、第4圖、第5圖、第6圖、第7A圖、第7B圖、第8A圖、第8B圖、第9圖、第13圖及/或第14圖中描述的演算法、方法及/或步驟的專用處理器(例如,特殊應用積體電路(例如,ASIC))。因此,此種專用處理器(例如,ASIC)可以是用於執行第13圖和第14圖中描述的演算法、方法及/或步驟的構件的一個實例。電腦可讀取儲存媒體1004亦可以儲存處理器1008可讀取指令,該等指令在由專用處理器(例如,ASIC)執行時使得專用處理器執行第2圖、第3圖、第4圖、第5圖、第6圖、第7A圖、第7B圖、第8A圖、第8B圖、第9圖、第13圖及/或第14圖中描述的演算法、方法及/或步驟。
此外,在本案內容的一個態樣中,第15圖、第16圖及/或第17圖中圖示的處理電路1508可以是被專門設計及/或硬佈線為執行第2圖、第3圖、第4圖、第5圖、第6圖、第7A圖、第7B圖、第8A圖、第8B圖、第9圖、第18圖及/或第19圖中描述的演算法、方法及/或步驟的專用處理器(例如,特殊應用積體電路(例如,ASIC))。因此,此種專用處理器(例
如,ASIC)可以是用於執行第18圖和第19圖中描述的演算法、方法及/或步驟的構件的一個實例。電腦可讀取儲存媒體1504亦可以儲存處理器1508可讀取指令,該等指令在由專用處理器(例如,ASIC)執行時使得專用處理器執行第2圖、第3圖、第4圖、第5圖、第6圖、第7A圖、第7B圖、第8A圖、第8B圖、第9圖、第18圖及/或第19圖中描述的演算法、方法及/或步驟。
此外,應當注意,本案內容的該等態樣可以被描述為一種被圖示為流程圖、流程圖、結構圖或方塊圖的過程。儘管流程圖可能將操作描述為順序性過程,但可以並行或併發地執行該等操作中的許多個操作。此外,可以重新排列該等操作的順序。過程在其操作完成時被終止。過程可以對應於方法、函數、程序、子常式、副程式等。當過程對應於函數時,其終止對應於函數返回到調用函數或主函數。
此外,儲存媒體可以表示用於儲存資料的一或多個裝置,包括唯讀記憶體(ROM)、隨機存取記憶體(RAM)、磁碟儲存媒體、光學儲存媒體、快閃記憶體裝置及/或其他機器可讀取媒體,以及用於儲存資訊的處理器可讀取媒體及/或電腦可讀取媒體。術語「機器可讀取媒體」、「電腦可讀取媒體」及/或「處理器可讀取媒體」可以包括但不限於:諸如可攜式或固定儲存裝置、光學儲存裝置之類的非暫時性媒體以及能夠儲存或包含指令及/或資料的各種其他媒體。因此,本文所描述的各種方法可以全部或部分地由可以儲存在「機器可讀取媒體」、「電腦可讀取媒體」及/或「處理器可讀
取媒體」中並由一或多個處理器、機器及/或裝置執行的指令及/或資料來實施。
此外,本案內容的態樣可以由硬體、軟體、韌體、中介軟體、微代碼,或者其任意組合來實施。當用軟體、韌體、中介軟體或微代碼來實施時,用於執行必要任務的程式碼或程式碼片段可以儲存在諸如儲存媒體之類的機器可讀取媒體或其他儲存裝置中。處理器可以執行必要任務。程式碼片段可以表示程序、函數、副程式、程式、常式、子常式、模組、套裝軟體、軟體組件,或者指令、資料結構或程式語句的任意組合。一個程式碼片段可以藉由傳遞及/或接收資訊、資料、引數、參數或記憶體內容來耦合到另一個程式碼片段或硬體電路。可以經由任何適當的手段傳遞、轉發或發送資訊、引數、參數、資料等,該等手段包括記憶體共享、訊息傳遞、符記傳遞、網路傳輸等。
結合本文所揭示的實例描述的各種說明性的邏輯區塊、模組、電路、元件及/或部件可以利用被設計為執行本文所描述的功能的通用處理器、數位訊號處理器(DSP)、特殊應用積體電路(ASIC)、現場可程式設計閘陣列(FPGA)或其他可程式設計邏輯部件、個別閘門或電晶體邏輯、個別硬體部件,或者其任意組合來實施或執行。通用處理器可以是微處理器,但是在替代方案中,處理器可以是任何一般處理器、控制器、微控制器或狀態機。處理器亦可以實施為計算部件的組合,例如,DSP和微處理器的組合、多個微處理器、一或多個微處理器結合DSP核心,或任何其他此類配置。
結合本文所揭示的實例描述的方法或演算法可以以處理單元、程式設計指令或其他指示的形式直接體現在硬體中、由處理器執行的軟體模組中,或兩者的組合中,並且可以包含在單個裝置中或跨越多個裝置而分佈。軟體模組可以常駐於RAM記憶體、快閃記憶體、ROM記憶體、EPROM記憶體、EEPROM記憶體、暫存器、硬碟、可移除磁碟、CD-ROM或本領域公知的任何其他形式的儲存媒體中。儲存媒體可以耦合到處理器,使得處理器可以從儲存媒體讀取資訊以及向儲存媒體寫入資訊。在替代方案中,儲存媒體可以被整合到處理器。
本領域技藝人士亦將領會,結合本文所揭示的態樣描述的各種說明性的邏輯區塊、模組、電路和演算法步驟可以實施為電子硬體、電腦軟體,或兩者的組合。為了清楚地說明硬體和軟體的此可互換性,上文已就其功能對各種說明性的部件、方塊、模組、電路和步驟進行了整體描述。至於此種功能是實施為硬體還是軟體,取決於特定的應用和施加在整體系統上的設計約束。
在不脫離本發明的情況下,可以在不同系統中實施本文所描述的本發明的各種特徵。應當注意,本案內容的上述態樣僅是實例,並不應被解釋為限制本發明。本案內容的態樣的描述意欲是說明性的,並不意欲限制申請專利範圍的範疇。因此,可以容易地將本發明的教示應用於其他類型的設備,並且許多替代、修改和變型對於本領域技藝人士而言將是顯而易見的。
1300‧‧‧流程圖
1302‧‧‧步驟
1304‧‧‧步驟
1306‧‧‧步驟
1308‧‧‧步驟
1310‧‧‧步驟
1312‧‧‧步驟
Claims (44)
- 一種在一使用者裝置處可操作的方法,該方法包括以下步驟:接收和儲存來自一應用服務提供者的一共享金鑰;決定一無線通訊網路提供到由該應用服務提供者提供的一應用服務的特定於應用的存取;向該無線通訊網路發送包括一裝置識別符和與該應用服務相關聯的一應用識別符的一註冊請求,該註冊請求適於使用經由一封包資料網路的一資料連接而傳輸給該應用服務提供者;從該無線通訊網路接收在該應用服務提供者處推導出的認證資訊,該認證資訊是部分地基於該共享金鑰的;基於該認證資訊和該所儲存的共享金鑰來執行與該無線通訊網路的認證和金鑰協議;及在成功地執行認證和金鑰協議之後,與該應用服務進行通訊。
- 如請求項1所述之方法,其中該共享金鑰與該使用者裝置唯一地相關聯。
- 如請求項1所述之方法,其中該共享金鑰是經由安全連接從該應用服務提供者接收的。
- 如請求項1所述之方法,亦包括以下步驟: 在成功地執行認證和金鑰協議之後,賦能在該使用者裝置與該應用服務提供者所允許的一應用服務的集合之間的通訊。
- 如請求項1所述之方法,亦包括以下步驟:在發送該註冊請求之前,接收和儲存來自該應用服務提供者的該裝置識別符。
- 如請求項1所述之方法,亦包括以下步驟:在向該無線通訊網路發送該註冊請求之前,從該應用服務提供者接收該應用識別符。
- 如請求項1所述之方法,亦包括以下步驟:在向該無線通訊網路發送該註冊請求之前,經由一應用服務通告從該無線通訊網路接收該應用識別符。
- 如請求項1所述之方法,其中該應用識別符是一全合格領域名稱、一統一資源定位符及/或一統一資源識別符中的至少一個。
- 如請求項1所述之方法,其中特定於應用的存取被授權給該使用者裝置,而與和該使用者裝置相關聯的任何使用者身份模組無關。
- 一種使用者裝置,包括:一無線通訊介面,其適於與一無線通訊網路無線地進行通訊;一記憶體電路;及一處理電路,其通訊地耦合到該記憶體電路和該無線通訊介面,該處理電路適於:從一應用服務提供者接收一共享金鑰;將該共享金鑰儲存在該記憶體電路處;決定該無線通訊網路提供到由該應用服務提供者提供的一應用服務的特定於應用的存取;向該無線通訊網路發送包括一裝置識別符和與該應用服務相關聯的一應用識別符的一註冊請求,該註冊請求適於使用經由一封包資料網路的一資料連接而傳輸給該應用服務提供者;從該無線通訊網路接收在該應用服務提供者處推導出的認證資訊,該認證資訊是部分地基於該共享金鑰的;基於該認證資訊和該所儲存的共享金鑰來執行與該無線通訊網路的認證和金鑰協議;及在成功地執行認證和金鑰協議之後,與該應用服務進行通訊。
- 如請求項10所述之使用者裝置,其中該共享金鑰與該使用者裝置唯一地相關聯。
- 如請求項10所述之使用者裝置,其中該共享金鑰是經由一安全連接從該應用服務提供者接收的。
- 如請求項10所述之使用者裝置,其中該處理電路亦適於:在成功地執行認證和金鑰協議之後,賦能在該使用者裝置與該應用服務提供者所允許的一應用服務的集合之間的通訊。
- 如請求項10所述之使用者裝置,其中該處理電路亦適於:在發送該註冊請求之前,從該應用服務提供者接收該裝置識別符。
- 如請求項10所述之使用者裝置,其中該處理電路亦適於:在向該無線通訊網路發送該註冊請求之前,從該應用服務提供者接收該應用識別符。
- 如請求項10所述之使用者裝置,其中該處理電路亦適於:在向該無線通訊網路發送該註冊請求之前,經由一應用服務通告從該無線通訊網路接收該應用識別符。
- 如請求項10所述之使用者裝置,其中該應用識別符是一全合格領域名稱、一統一資源定位符及/或一統一資源識別符中的至少一個。
- 如請求項10所述之使用者裝置,其中特定於應用的存取被授權給該使用者裝置,而與和該使用者裝置相關聯的任何使用者身份模組無關。
- 一種使用者裝置,包括:用於接收和儲存來自一應用服務提供者的一共享金鑰的構件;用於決定一無線通訊網路提供到由該應用服務提供者提供的一應用服務的特定於應用的存取的構件;用於向該無線通訊網路發送包括一裝置識別符和與該應用服務相關聯的一應用識別符的一註冊請求的構件,該註冊請求適於使用經由封包資料網路的一資料連接而傳輸給該應用服務提供者;用於從該無線通訊網路接收在該應用服務提供者處推導出的認證資訊的構件,該認證資訊是部分地基於該共享金鑰的;用於基於該認證資訊和該所儲存的共享金鑰來執行與該無線通訊網路的認證和金鑰協議的構件;及用於在成功地執行認證和金鑰協議之後,與該應用服務 進行通訊的構件。
- 如請求項19所述之使用者裝置,其中該共享金鑰與該使用者裝置唯一地相關聯。
- 如請求項19所述之使用者裝置,亦包括:用於在向該無線通訊網路發送該註冊請求之前,從該應用服務提供者接收該應用識別符的構件。
- 如請求項19所述之使用者裝置,亦包括:用於在向該無線通訊網路發送該註冊請求之前,經由一應用服務通告從該無線通訊網路接收該應用識別符的構件。
- 一種在與一無線通訊網路相關聯的一無線通訊網路裝置處可操作的方法,該方法包括以下步驟:從一使用者裝置接收針對到由一應用服務提供者提供的一應用服務的特定於應用的存取的一註冊請求,該註冊請求包括用於標識該使用者裝置的一裝置識別符和用於標識該應用服務的一應用識別符;使用經由一封包資料網路的一資料連接來向該應用服務提供者發送一認證資訊請求,其中該認證資訊請求包括該註冊請求和用於標識該無線通訊網路的一服務網路識別符;回應於發送該認證資訊請求來從該應用服務提供者接收認證資訊,該認證資訊是部分地基於與該使用者裝置相關聯 的該共享金鑰的;及基於該認證資訊來執行與該使用者裝置的認證和金鑰協議。
- 如請求項23所述之方法,亦包括以下步驟:在從該使用者裝置接收該註冊請求之前,接收與該應用服務相關聯的應用服務註冊資訊。
- 如請求項24所述之方法,其中該應用服務註冊資訊是經由一服務供應功能從該應用服務提供者接收的。
- 如請求項24所述之方法,其中該應用服務註冊資訊包括該應用識別符及/或應用服務等級中的至少一個,該應用服務等級指示該無線通訊網路為該使用者裝置與該應用服務之間的通訊提供的一服務品質。
- 如請求項23所述之方法,亦包括以下步驟:對一通告進行廣播,該通告指示經由該無線通訊網路到該應用服務的特定於應用的存取的可用性。
- 如請求項27所述之方法,其中該通告包括該應用識別符。
- 如請求項23所述之方法,其中該認證資訊包括一認證向 量,該認證向量包括一金鑰存取安全管理實體(K_ASME)、一認證符記(AUTN)、一亂數(RAND)和一期望的回應(XRES),並且基於該認證資訊來執行與該使用者裝置的認證和金鑰協議的步驟包括以下步驟:在該無線通訊網路裝置處儲存K_ASME和XRES;向該使用者裝置發送RAND和AUTN;從該使用者裝置接收一回應值(RES);及驗證RES等於XRES以認證該使用者裝置。
- 如請求項23所述之方法,亦包括以下步驟:在認證和金鑰協議是成功的之後,向該使用者裝置提供針對該應用服務的特定於應用的存取。
- 如請求項23所述之方法,亦包括以下步驟:在認證和金鑰協議是成功的之後,賦能在該使用者裝置與該應用服務提供者所允許的一應用服務的集合之間的通訊。
- 一種與一無線通訊網路相關聯的一無線通訊網路裝置,該無線通訊網路裝置包括:一無線通訊介面,其適於與至少一個使用者裝置無線地進行通訊;及一處理電路,其通訊地耦合到該無線通訊介面,該處理電路適於: 從該使用者裝置接收針對到由一應用服務提供者提供的一應用服務的特定於應用的存取的一註冊請求,該註冊請求包括用於標識該使用者裝置的一裝置識別符和用於標識該應用服務的一應用識別符;使用經由一封包資料網路的一資料連接來向該應用服務提供者發送一認證資訊請求,其中該認證資訊請求包括該註冊請求和用於標識該無線通訊網路的一服務網路識別符;回應於發送該認證資訊請求來從該應用服務提供者接收認證資訊,該認證資訊是部分地基於與該使用者裝置相關聯的一共享金鑰的;及基於該認證資訊來執行與該使用者裝置的認證和金鑰協議。
- 如請求項32所述之無線通訊網路裝置,其中該處理電路亦適於:在從該使用者裝置接收該註冊請求之前,接收與該應用服務相關聯的應用服務註冊資訊。
- 如請求項33所述之無線通訊網路裝置,其中該應用服務註冊資訊是經由一服務供應功能從該應用服務提供者接收的。
- 如請求項33所述之無線通訊網路裝置,其中該應用服務 註冊資訊包括該應用識別符及/或應用服務等級中的至少一個,該應用服務等級指示該無線通訊網路為該使用者裝置與該應用服務之間的通訊提供的一服務品質。
- 如請求項32所述之無線通訊網路裝置,其中該處理電路亦適於:對一通告進行廣播,該通告指示經由該無線通訊網路到該應用服務的特定於應用的存取的可用性。
- 如請求項36所述之無線通訊網路裝置,其中該通告包括該應用識別符。
- 如請求項32所述之無線通訊網路裝置,其中該認證資訊包括一認證向量,該認證向量包括一金鑰存取安全管理實體(K_ASME)、一認證符記(AUTN)、一亂數(RAND)和一期望的回應(XRES),並且適於基於該認證資訊來執行與該使用者裝置的認證和金鑰協議的該處理電路包括亦適於進行以下操作的該處理電路:在該無線通訊網路裝置處儲存K_ASME和XRES;向該使用者裝置發送RAND和AUTN;從該使用者裝置接收一回應值(RES);及驗證RES等於XRES以認證該使用者裝置。
- 如請求項32所述之無線通訊網路裝置,其中該處理電路 亦適於:在認證和金鑰協議是成功的之後,向該使用者裝置提供針對該應用服務的特定於應用的存取。
- 如請求項32所述之無線通訊網路裝置,其中該處理電路亦適於:在認證和金鑰協議是成功的之後,賦能在該使用者裝置與該應用服務提供者所允許的一應用服務的集合之間的通訊。
- 一種與一無線通訊網路相關聯的一無線通訊網路裝置,該無線通訊網路裝置包括:用於從一使用者裝置接收針對到由一應用服務提供者提供的一應用服務的特定於應用的存取的一註冊請求的構件,該註冊請求包括用於標識該使用者裝置的一裝置識別符和用於標識該應用服務的一應用識別符;用於使用經由一封包資料網路的一資料連接來向該應用服務提供者發送一認證資訊請求的構件,其中該認證資訊請求包括該註冊請求和用於標識該無線通訊網路的一服務網路識別符;用於回應於發送該認證資訊請求來從該應用服務提供者接收認證資訊的構件,該認證資訊是部分地基於與該使用者裝置相關聯的共享金鑰的;及用於基於該認證資訊來執行與該使用者裝置的認證和金 鑰協議的構件。
- 如請求項41所述之無線通訊網路裝置,亦包括:在從該使用者裝置接收該註冊請求之前,接收與該應用服務相關聯的應用服務註冊資訊。
- 如請求項41所述之無線通訊網路裝置,亦包括:對一通告進行廣播,該通告指示經由該無線通訊網路到該應用服務的特定於應用的存取的可用性。
- 如請求項41所述之無線通訊網路裝置,亦包括:在認證和金鑰協議是成功的之後,賦能在該使用者裝置與該應用服務提供者所允許的一應用服務的集合之間的通訊。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201562134206P | 2015-03-17 | 2015-03-17 | |
| US62/134,206 | 2015-03-17 | ||
| US14/829,432 | 2015-08-18 | ||
| US14/829,432 US9717004B2 (en) | 2015-03-17 | 2015-08-18 | Apparatus and method for sponsored connectivity to wireless networks using application-specific network access credentials |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201644291A true TW201644291A (zh) | 2016-12-16 |
| TWI610577B TWI610577B (zh) | 2018-01-01 |
Family
ID=55910326
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW105105895A TWI610577B (zh) | 2015-03-17 | 2016-02-26 | 用於使用特定於應用的網路存取身份碼來進行到無線網路的受贊助連接的設備和方法(一) |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US9717004B2 (zh) |
| EP (1) | EP3272098B1 (zh) |
| JP (1) | JP6385589B2 (zh) |
| KR (1) | KR101838872B1 (zh) |
| CN (1) | CN107409137B (zh) |
| BR (1) | BR112017019857A2 (zh) |
| TW (1) | TWI610577B (zh) |
| WO (1) | WO2016148902A1 (zh) |
Families Citing this family (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW201417598A (zh) * | 2012-07-13 | 2014-05-01 | Interdigital Patent Holdings | 安全性關聯特性 |
| US9755837B2 (en) | 2015-03-17 | 2017-09-05 | Qualcomm Incorporated | Apparatus and method for sponsored connectivity to wireless networks using application-specific network access credentials |
| WO2017007385A1 (en) * | 2015-07-06 | 2017-01-12 | Telefonaktiebolaget Lm Ericsson (Publ) | Facilitating secure communcation between a client device and an application server |
| US10701582B2 (en) | 2016-02-24 | 2020-06-30 | Cisco Technology, Inc. | Dynamic application QoS profile provisioning |
| US10430607B2 (en) * | 2016-05-05 | 2019-10-01 | Ribbon Communications Operating Company, Inc. | Use of AKA methods and procedures for authentication of subscribers without access to SIM credentials |
| KR102407228B1 (ko) * | 2016-05-24 | 2022-06-08 | 삼성에스디에스 주식회사 | 서비스 제공 시스템 및 방법 |
| EP3955699A1 (en) * | 2017-05-11 | 2022-02-16 | Airties Kablosuz Iletisim San. ve Dis Tic. A.S. | Wifi network setup for multiple access points |
| US10470086B2 (en) | 2017-09-12 | 2019-11-05 | Cisco Technology, Inc. | Stateful application identification while roaming |
| LU100599B1 (en) * | 2017-12-29 | 2019-07-01 | Luxembourg Inst Science & Tech List | Method for subjectively mapping a wireless network environment |
| CN110035433B (zh) * | 2018-01-11 | 2024-03-19 | 华为技术有限公司 | 采用共享密钥、公钥和私钥的验证方法及装置 |
| CN109699031B (zh) | 2018-01-11 | 2020-03-20 | 华为技术有限公司 | 采用共享密钥、公钥和私钥的验证方法及装置 |
| KR102348078B1 (ko) * | 2018-01-12 | 2022-01-10 | 삼성전자주식회사 | 사용자 단말 장치, 전자 장치, 이를 포함하는 시스템 및 제어 방법 |
| US10939288B2 (en) * | 2018-01-14 | 2021-03-02 | Qualcomm Incorporated | Cellular unicast link establishment for vehicle-to-vehicle (V2V) communication |
| FR3077175A1 (fr) * | 2018-01-19 | 2019-07-26 | Orange | Technique de determination d'une cle destinee a securiser une communication entre un equipement utilisateur et un serveur applicatif |
| JP7115027B2 (ja) * | 2018-05-22 | 2022-08-09 | ブラザー工業株式会社 | 通信装置と通信装置のためのコンピュータプログラム |
| CN110636506A (zh) * | 2018-06-22 | 2019-12-31 | 维沃移动通信有限公司 | 网络接入方法、终端及网络侧网元 |
| KR20210066855A (ko) * | 2018-09-27 | 2021-06-07 | 콘비다 와이어리스, 엘엘씨 | 3gpp 사설 lan들 |
| US11387983B2 (en) * | 2019-03-25 | 2022-07-12 | Micron Technology, Inc. | Secure medical apparatus communication |
| US11375367B2 (en) * | 2019-05-07 | 2022-06-28 | Verizon Patent And Licensing Inc. | System and method for deriving a profile for a target endpoint device |
| US20200366754A1 (en) * | 2019-05-13 | 2020-11-19 | Google Llc | Systems and methods for processing content item operations based on fraud resistent device identifiers |
| US11265702B1 (en) * | 2019-09-24 | 2022-03-01 | Sprint Communications Company L.P. | Securing private wireless gateways |
| US10880748B1 (en) * | 2019-11-06 | 2020-12-29 | Cisco Technology, Inc. | Open access in neutral host network environments |
| CN115136222A (zh) * | 2020-02-24 | 2022-09-30 | 高通股份有限公司 | 用于无人驾驶交通工具授权以在蜂窝网络上运行的机制 |
| US20220132409A1 (en) * | 2020-10-23 | 2022-04-28 | Avaya Management L.P. | Methods and systems for monitoring communication device mobility associated with venue wireless access networks |
| US11683380B2 (en) * | 2021-02-09 | 2023-06-20 | Cisco Technology, Inc. | Methods for seamless session transfer without re-keying |
| US11962695B2 (en) | 2021-07-23 | 2024-04-16 | Blackberry Limited | Method and system for sharing sensor insights based on application requests |
| US11968310B2 (en) * | 2021-07-23 | 2024-04-23 | Blackberry Limited | Method and system for providing data security for micro-services across domains |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB0326265D0 (en) * | 2003-11-11 | 2003-12-17 | Nokia Corp | Shared secret usage for bootstrapping |
| GB0414421D0 (en) | 2004-06-28 | 2004-07-28 | Nokia Corp | Authenticating users |
| US8347077B2 (en) * | 2006-05-04 | 2013-01-01 | Cisco Technology, Inc. | Authenticating a registration request with a mobility key provided to an authenticator |
| CN102638794B (zh) * | 2007-03-22 | 2016-03-30 | 华为技术有限公司 | 鉴权和密钥协商方法、认证方法、系统及设备 |
| US8724819B2 (en) | 2007-10-16 | 2014-05-13 | Nokia Corporation | Credential provisioning |
| US8169958B2 (en) | 2008-03-27 | 2012-05-01 | Cisco Technology, Inc. | Obtaining information regarding services available from a wireless local area network |
| US8245039B2 (en) * | 2008-07-18 | 2012-08-14 | Bridgewater Systems Corp. | Extensible authentication protocol authentication and key agreement (EAP-AKA) optimization |
| JP5246029B2 (ja) * | 2009-05-15 | 2013-07-24 | 日本電気株式会社 | 無線通信システム |
| US8621203B2 (en) * | 2009-06-22 | 2013-12-31 | Nokia Corporation | Method and apparatus for authenticating a mobile device |
| CN102111759A (zh) * | 2009-12-28 | 2011-06-29 | 中国移动通信集团公司 | 一种认证方法、系统和装置 |
| US9450928B2 (en) * | 2010-06-10 | 2016-09-20 | Gemalto Sa | Secure registration of group of clients using single registration procedure |
| US8566596B2 (en) | 2010-08-24 | 2013-10-22 | Cisco Technology, Inc. | Pre-association mechanism to provide detailed description of wireless services |
| US9198038B2 (en) * | 2011-06-13 | 2015-11-24 | Qualcomm Incorporated | Apparatus and methods of identity management in a multi-network system |
| BR112014003898A2 (pt) | 2011-08-25 | 2017-03-14 | Smart Hub Pte Ltd | sistema e método para provisão de acesso à internet e dispositivo móvel |
| US9208298B2 (en) | 2012-06-18 | 2015-12-08 | Google Inc. | Pass through service login to application login |
| US9369449B2 (en) | 2013-03-29 | 2016-06-14 | Citrix Systems, Inc. | Providing an enterprise application store |
| KR20140119544A (ko) | 2013-04-01 | 2014-10-10 | 삼성전자주식회사 | 이동통신 시스템에서 근접 서비스 메시지 라우팅 방법 및 장치 |
| US9755837B2 (en) | 2015-03-17 | 2017-09-05 | Qualcomm Incorporated | Apparatus and method for sponsored connectivity to wireless networks using application-specific network access credentials |
-
2015
- 2015-08-18 US US14/829,432 patent/US9717004B2/en active Active
-
2016
- 2016-02-26 TW TW105105895A patent/TWI610577B/zh not_active IP Right Cessation
- 2016-03-01 CN CN201680016150.9A patent/CN107409137B/zh active Active
- 2016-03-01 EP EP16720206.8A patent/EP3272098B1/en active Active
- 2016-03-01 BR BR112017019857-6A patent/BR112017019857A2/pt not_active IP Right Cessation
- 2016-03-01 JP JP2017548136A patent/JP6385589B2/ja active Active
- 2016-03-01 WO PCT/US2016/020224 patent/WO2016148902A1/en active Application Filing
- 2016-03-01 KR KR1020177026180A patent/KR101838872B1/ko active IP Right Grant
Also Published As
| Publication number | Publication date |
|---|---|
| CN107409137B (zh) | 2019-05-28 |
| EP3272098A1 (en) | 2018-01-24 |
| CN107409137A (zh) | 2017-11-28 |
| BR112017019857A2 (pt) | 2018-06-05 |
| JP2018514117A (ja) | 2018-05-31 |
| TWI610577B (zh) | 2018-01-01 |
| US9717004B2 (en) | 2017-07-25 |
| EP3272098B1 (en) | 2019-01-23 |
| WO2016148902A1 (en) | 2016-09-22 |
| KR101838872B1 (ko) | 2018-03-15 |
| US20160277927A1 (en) | 2016-09-22 |
| JP6385589B2 (ja) | 2018-09-05 |
| KR20170113672A (ko) | 2017-10-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI610577B (zh) | 用於使用特定於應用的網路存取身份碼來進行到無線網路的受贊助連接的設備和方法(一) | |
| TWI645724B (zh) | 用於使用特定於應用的網路存取身份碼來進行到無線網路的受贊助連接的設備和方法(二) | |
| US11063912B2 (en) | Methods and systems for communicating with an M2M device | |
| US10986083B2 (en) | Hardware identification-based security authentication service for IoT devices | |
| US9882894B2 (en) | Secure authentication service | |
| KR101038064B1 (ko) | 애플리케이션 인증 | |
| CN108886688B (zh) | 一种可以在连接到无线通信网络的服务提供商sp网络中操作的方法、装置和可读介质 | |
| JP7337912B2 (ja) | コアネットワークへの非3gppデバイスアクセス | |
| JP2022043175A (ja) | コアネットワークへの非3gpp装置アクセス | |
| US11316670B2 (en) | Secure communications using network access identity | |
| CN112514436B (zh) | 发起器和响应器之间的安全的、被认证的通信 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4A | Annulment or lapse of patent due to non-payment of fees |