TW201717078A - 用於特徵的授權和啟動的子系統 - Google Patents

用於特徵的授權和啟動的子系統 Download PDF

Info

Publication number
TW201717078A
TW201717078A TW105121601A TW105121601A TW201717078A TW 201717078 A TW201717078 A TW 201717078A TW 105121601 A TW105121601 A TW 105121601A TW 105121601 A TW105121601 A TW 105121601A TW 201717078 A TW201717078 A TW 201717078A
Authority
TW
Taiwan
Prior art keywords
authorization
feature
features
selectively activated
server
Prior art date
Application number
TW105121601A
Other languages
English (en)
Other versions
TWI707242B (zh
Inventor
李秀凡
霍恩蓋文伯納德
史密約翰
潘卡吉拉札希
勞斯湯瑪士
Original Assignee
高通公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 高通公司 filed Critical 高通公司
Publication of TW201717078A publication Critical patent/TW201717078A/zh
Application granted granted Critical
Publication of TWI707242B publication Critical patent/TWI707242B/zh

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/629Protecting access to data via a platform, e.g. using keys or access control rules to features or functions of an application
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0813Configuration setting characterised by the conditions triggering a change of settings
    • H04L41/082Configuration setting characterised by the conditions triggering a change of settings the condition being updates or upgrades of network functionality
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/082Access security using revocation of authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/22Processing or transfer of terminal data, e.g. status or physical capabilities
    • H04W8/24Transfer of terminal data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/1016IP multimedia subsystem [IMS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/14Direct-mode setup
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Multimedia (AREA)

Abstract

可以辨識為了使用網路服務在設備處所需的一或多個選擇性啟動的特徵。可以在設備處獲得與設備已經被授權啟動的特徵相關聯的授權資訊和特徵啟用金鑰。特徵啟用金鑰可以用於啟動及/或保持啟動與為了使用網路服務所需的選擇性啟動的特徵相匹配的、經授權的特徵。授權伺服器可以獲得用於啟動設備的一或多個選擇性啟動的特徵的請求。授權伺服器可以基於在授權伺服器處獲得的授權協定來驗證選擇性啟動的特徵被授權在設備處使用。授權伺服器可以發送設備被授權使用選擇性啟動的特徵的證明,以及可以回應於請求基於授權協定來發送特徵啟用金鑰。

Description

用於特徵的授權和啟動的子系統
本案係關於通訊網路,更具體地說,本案係關於用於動態授權和選擇性啟動一或多個設備上的一或多個特徵以便促進該一或多個設備中的一個設備處的網路服務的使用及/或向該一或多個設備中的一個設備供應網路服務的方法。
大多數通訊設備(例如,晶片組件、客戶端設備、網路節點)給予多個特徵。這些特徵可以用硬體及/或軟體來實現。
當實體獲得通訊設備時,該通訊設備的一些特徵可以被啟動。其他特徵可以不被啟動。例如,製造商、子組件製造商或原始設備製造商(OEM)可能可以生產具有包括在通訊設備中的一或多個特徵的通訊設備的不同模型(例如,版本),其中這一或多個特徵基於設備模型來被啟動或去啟動。隨後,通訊設備的特徵的子集(例如,小於整個集合)在最終產品中可以是可操作的。例如,製造商可以啟動第一模型中的特徵但不啟動第二模型中的該特徵,即使這兩個模型皆包括用於實現該特徵的所有硬體和軟體。另外或替代地,可以不執行儲存在通訊設備上的處理電路可讀取指令的一部分以便阻止啟動某個特徵。啟用及/或禁用硬體及/或軟體增加及/或減少在最終產品中啟動的特徵的數量,並且可以例如,影響最終產品的價格。
因此,當部署通訊設備時,通訊設備可以能夠(例如,按照硬體及/或軟體或韌體)執行特定特徵作為其操作的一部分,但可以不被授權使用該特定特徵。例如,對使用特徵的授權的限制可以基於限制通訊設備可用的特徵及/或服務的使用的購買協定。
本文中揭示的態樣提供了用於電子設備的選擇性啟動的特徵的授權和啟動的方法和裝置。
根據一個態樣,一種在設備處可操作的方法可以包括:辨識為了使用網路服務在該設備處所需的一或多個選擇性啟動的特徵。該方法亦可以包括:獲得與該設備已經被授權啟動的特徵相關聯的授權資訊和一或多個特徵啟用金鑰。該設備可以使用該一或多個特徵啟用金鑰來啟動及/或保持啟動與為了使用該網路服務所需的該一或多個選擇性啟動的特徵相匹配的、該設備已經被授權啟動的特徵。在辨識為了使用該網路服務所需的該一或多個選擇性啟動的特徵之前,該方法亦可以包括:獲得用於指示從網路存取節點可獲得該網路服務的資訊。該一或多個選擇性啟動的特徵可以是硬體特徵及/或軟體特徵。
在一個態樣中,該方法可以包括:向另一個設備及/或節點發送該授權資訊,作為該設備被授權啟動在該授權資訊中標識的特徵的證明。在一些實施方式中,獲得該授權資訊和該一或多個特徵啟用金鑰可以包括:發送用於對一或多個特徵的啟動進行授權的請求;回應於該請求,獲得該授權資訊和該一或多個特徵啟用金鑰;及在該設備處儲存該授權資訊和該等特徵啟用金鑰。根據一個實例,針對該設備已經被授權啟動的特徵,該授權資訊包括授權將到期時的日期。在一些實施方式中,該授權資訊是作為表示授權證書的資料而獲得的。該授權證書可以是由儲存該授權證書所基於的授權協定的授權伺服器簽署的。在一些實施方式中,辨識為了使用該網路服務所需的該一或多個選擇性啟動的特徵可以包括:從網路存取節點或從該設備的記憶體電路獲得為了使用該網路服務所需的特徵的清單。在一個態樣中,為了使用該網路服務所需的該選擇性啟動的特徵中的至少一個特徵是在使用時可獲許可的,並且當在該設備處獲得對最新許可的驗證時被啟動。
在一個態樣中,本文中描述了一種設備,其包括可以與網路節點通訊的網路通訊電路,並且亦可以包括耦合到該網路通訊電路的處理電路。該處理電路可以被配置為:辨識為了使用網路服務在該設備處所需的一或多個選擇性啟動的特徵。該處理電路亦可以被配置為:獲得與該設備已經被授權啟動的特徵相關聯的授權資訊和一或多個特徵啟用金鑰。該處理電路亦可以進一步被配置為:使用該一或多個特徵啟用金鑰來啟動及/或保持啟動與為了使用該網路服務所需的該一或多個選擇性啟動的特徵相匹配的、該設備已經被授權啟動的特徵。根據一個態樣,該處理電路亦可以進一步被配置為:獲得用於指示從網路存取節點可獲得該網路服務的資訊。該資訊可以在辨識為了使用該網路服務所需的該一或多個選擇性啟動的特徵之前獲得。在一個態樣中,該處理電路亦可以被配置為:向另一個設備及/或節點發送該授權資訊,作為該設備被授權啟動在該授權資訊中標識的特徵的證明。
本文中描述的另一個態樣提供了一種在設備處可操作的方法。該方法可以包括:獲得標識從網路存取節點可獲得的網路服務的空中廣播。該方法亦可以包括:辨識為了使用該網路服務該設備所需的一或多個選擇性啟動的特徵,以及辨識該設備已經被授權啟動的特徵。在一個態樣中,該設備可以決定所辨識的為了使用該網路服務該設備所需的一或多個選擇性啟動的特徵與該設備已經被授權啟動的特徵之間是否存在匹配。該方法亦可以進一步包括:若存在該匹配,則使用該設備已經被授權啟動的特徵的特徵啟用金鑰來啟動及/或保持啟動與所辨識的為了使用該網路服務該設備所需的一或多個選擇性啟動特徵的相匹配的、該設備已經被授權啟動的特徵。在一些實施方式中,在接收該空中廣播之前,該方法亦可以包括:獲得用於啟動及/或保持啟動該設備已經被授權啟動的一或多個選擇性啟動的特徵的授權資訊和一或多個特徵啟用金鑰。在一個實例中,(從其接收該空中廣播的)該網路存取節點是未經認證的,並且沒有附著到該設備。
在一些實施方式中,該方法亦可以包括:從所辨識的為了使用該網路服務該設備所需的一或多個選擇性啟動的特徵中辨識該設備尚未被授權啟動的特徵。可以發送針對該設備尚未被授權啟動的特徵的授權資訊和特徵啟用金鑰的請求,並且回應於該請求而獲得的特徵啟用金鑰可以用於啟動該設備尚未被授權啟動的特徵。在一些實施方式中,該空中廣播回應於從辨識了為了使用該網路服務在該設備上所需的該一或多個選擇性啟動的特徵的該設備發送的查詢。在一個態樣中,辨識為了使用該網路服務在該設備上所需的該一或多個選擇性啟動的特徵可以包括:從該設備的記憶體電路或從該網路存取節點獲得為了使用該網路服務所需的特徵的清單。
在一個態樣中,本文中描述了一種設備,其包括可以與網路存取節點通訊的網路通訊電路,並且亦可以包括耦合到該網路通訊電路的處理電路。該處理電路可以被配置為:獲得標識從該網路存取節點可獲得的網路服務的空中廣播,辨識為了使用該網路服務該設備所需的一或多個選擇性啟動的特徵,以及辨識該設備已經被授權啟動的特徵。該處理電路亦可以被配置為:決定所辨識的為了使用該網路服務該設備所需的一或多個選擇性啟動的特徵與該設備已經被授權啟動的特徵之間是否存在匹配。若存在該匹配,則該處理電路可以被配置為:使用該設備已經被授權啟動的特徵的特徵啟用金鑰來啟動及/或保持啟動與所辨識的為了使用該網路服務該設備所需的一或多個選擇性啟動特徵的相匹配的、該設備已經被授權啟動的特徵。在一些實施方式中,在接收該空中廣播之前,該處理電路可以獲得用於啟動及/或保持啟動該設備已經被授權啟動的一或多個選擇性啟動的特徵的授權資訊和一或多個特徵啟用金鑰。在一些實施方式中,該處理電路亦可以被配置為:從所辨識的為了使用該網路服務該設備所需的一或多個選擇性啟動的特徵中辨識該設備尚未被授權啟動的特徵。該處理電路隨後可以發送針對該設備尚未被授權啟動的特徵的授權資訊和特徵啟用金鑰的請求,並且使用回應於該請求而獲得的特徵啟用金鑰來啟動該設備尚未被授權啟動的特徵。
本案內容的另一個態樣提供了一種在授權伺服器處可操作的方法。該方法可以包括:在該授權伺服器處獲得用於啟動設備的一或多個選擇性啟動的特徵的請求。該方法亦可以包括:基於在該授權伺服器處獲得的授權協定來驗證該一或多個選擇性啟動的特徵被授權在該設備處使用。該方法亦可以進一步包括:回應於該用於啟動一或多個選擇性啟動的特徵的請求,基於該授權協定,發送該設備被授權使用該一或多個選擇性啟動的特徵的證明以及一或多個特徵啟用金鑰。在一個態樣中,該方法亦可以包括:向該設備的網路的歸屬用戶伺服器(HSS)發送該設備的經更新的能力資訊。在一些態樣中,該授權伺服器不同於該HSS,並且不同於授權、認證和計費(AAA)伺服器。在一些實施方式中,該方法亦可以包括:評估該設備的完整性資訊;及若該完整性資訊是可接受的,則發送該設備被授權使用該一或多個選擇性啟動的特徵的證明以及一或多個特徵啟用金鑰。該完整性資訊可以由該授權伺服器從第一伺服器獲得,其中該授權伺服器和該第一伺服器是不同的伺服器。在一個態樣中,該第一伺服器可以是該授權伺服器的代理。在一些實施方式中,該方法亦可以包括:從接收來自該授權伺服器的特徵啟動授權的設備接收週期性特徵啟動和使用狀態資料;及基於儲存在該授權伺服器中的該等授權協定的條款,經由控制特徵啟動授權來實施授權協定。
在另一個態樣中,本文中描述了一種授權伺服器,其包括可以與網路存取節點通訊的網路通訊電路,以及耦合到該網路通訊電路的處理電路。該處理電路可以被配置為:獲得用於啟動一或多個選擇性啟動的特徵的請求。該處理電路可以驗證該一或多個選擇性啟動的特徵被授權在該設備處使用。在一個態樣中,該處理電路亦可以被配置為:回應於該用於啟動一或多個選擇性啟動的特徵的請求,發送該設備被授權使用該一或多個選擇性啟動的特徵的證明以及一或多個特徵啟用金鑰。該處理電路亦可以被配置為:向該設備的網路的歸屬用戶伺服器(HSS)發送該設備的經更新的能力資訊。在一些實施方式中,該處理電路亦可以進一步被配置為:評估該設備的完整性資訊;及若該完整性資訊是可接受的,則可以發送該設備被授權使用該一或多個選擇性啟動的特徵的證明以及一或多個特徵啟用金鑰。在一些實施方式中,該處理電路亦可以進一步被配置為:從接收來自該授權伺服器的特徵啟動授權的設備接收週期性特徵啟動和使用狀態資料;及基於儲存在該授權伺服器中的該等授權協定的條款,經由控制特徵啟動授權來實施授權協定。
本案內容的另一個態樣提供了一種在本端授權伺服器處可操作的方法。該方法可以包括:獲得用於啟動設備的一或多個選擇性啟動的特徵的請求。在一個態樣中,該方法可以包括:獲得該設備的完整性資訊;及向授權伺服器發送該用於啟動一或多個選擇性啟動的特徵的請求和該完整性資訊。在一些實施方式中,該方法亦可以包括:獲得用於指示該設備被授權啟動該一或多個選擇性啟動的特徵的授權資訊,其中該授權資訊包括分別與該一或多個選擇性啟動的特徵相對應的一或多個特徵啟用金鑰;及向該設備發送該授權資訊和該一或多個特徵啟用金鑰。
在另一個態樣中,本文中描述了一種本端授權伺服器,其包括可以與授權伺服器通訊的網路通訊電路,以及耦合到該網路通訊電路的處理電路。該處理電路可以被配置為:獲得用於啟動設備的一或多個選擇性啟動的特徵的請求。該處理電路亦可以被配置為:獲得該設備的完整性資訊;及向該授權伺服器發送該用於啟動一或多個選擇性啟動的特徵的請求和該完整性資訊。在一些實施方式中,該處理電路亦可以被配置為:獲得用於指示該設備被授權啟動該一或多個選擇性啟動的特徵的授權資訊。在一個實例中,該授權資訊包括分別與該一或多個選擇性啟動的特徵相對應的一或多個特徵啟用金鑰。該處理電路亦可以被配置為:向該設備發送該授權資訊和該一或多個特徵啟用金鑰。
在下面的描述中,參考了附圖,在附圖中經由圖示的方式圖示本案內容中描述的具體態樣和特徵。足夠詳細地提供本案內容中描述的這些態樣和特徵意在使本發明所屬領域中具有通常知識者能夠實踐本案內容的態樣。可以使用其他態樣和特徵並且可以對所揭示的態樣和特徵做出改變而不脫離本案內容的範疇。下面的詳細描述不應被視為具有限制意義,並且本文中描述和說明的態樣和特徵的範疇僅由所附申請專利範圍定義。
本文中使用的術語「示例性的」意指「用作實例、例子或說明」。在本文中被描述為「示例性」的任何態樣或實施方式不必被解釋為優選的或者比其他態樣或實施方式更有優勢的。
本文中所使用的術語「態樣」並不要求所有的態樣皆包括所論述的態樣,或者任何所論述的態樣、優點及/或操作模式。
在本文中使用術語「獲得」意指推導、產生、計算、請求、接收、獲取、接受、購買、拿、收集、得到、提取或收取、被給予、可以使用、擁有等。本文中所使用的術語「獲得」包含在本端獲得及/或從非本端或遠端實體獲得。
本文中使用術語「供應」意指發送、轉發、提供、供給、使得被傳送到一目的地。本文中使用術語「發送」意指供應、轉發、提供、供給、使得被傳送到一目的地。
如本文中所使用的,術語「製造商」可以代表構建產品,並以實體自己的名義向消費者或OEM銷售該產品的實體。OEM可以是從另一個實體購買產品並以OEM的名義對產品貼牌用於銷售的實體。另外或替代地,OEM可以是從相同或不同的製造商購買不同類型的產品(例如,伺服器和資料儲存產品),將產品附隨在一起,並以OEM的名義銷售所得到的附隨產品的實體。
術語「設備」可以在本文中用來代表諸如晶片組件、客戶端設備及/或網路節點之類的任何通訊設備。「晶片組件」可以包括例如處理電路、數據機、晶片組。「客戶端設備」可以包括例如無線設備、行動設備、用戶設備、行動電話、行動通訊設備、行動計算裝置、數位平板電腦、智慧型電話、使用者裝置(UE)、使用者設備、使用者終端、終端、站(STA)。「網路節點」可以包括是服務網路或家用網路的功能節點的任何設備或機器。網路節點的實例包括但不限於:基地台、網路存取點(例如,進化型節點B(eNodeB、eNB))、行動性管理實體(MME)、閘道設備(例如,服務閘道(S-GW)、封包資料網路閘道(P-GW))、歸屬用戶伺服器(HSS)、授權、認證和計費(AAA)伺服器(統稱為HSS/AAA伺服器)、無線路由器、存取點(AP)及/或執行網路功能的任何節點。客戶端設備及/或網路節點可以包括晶片組件。
術語「網路存取節點」在本文中可以用於代表包括設備(例如,晶片組件、客戶端設備)與核心網路之間的無線設備連線性的任何設備。網路存取節點的實例可以包括eNB、基地台、AP。網路存取節點可以被理解為網路節點的一個實例。
在本文中可以經由提及PDN來例示蜂巢通訊系統的核心網路外部的網路(例如,封包資料網路(PDN)(例如,網際網路)和IP多媒體服務(IMS)網路),但任何內容均無意將核心網路外部的網路限定為PDN或IMS網路。另外,本文中呈現的態樣和特徵是示例性的。任何內容均無意限制本文中呈現的在蜂巢通訊系統中使用的任何態樣或特徵。
如本文中所使用的,對「特徵」的提及(包括對「選擇性啟動的特徵」)的提及可以是對可以用硬體、軟體、韌體、或硬體、軟體和韌體中的兩項或更多項的任意組合來實現的、設備(例如,晶片組件、客戶端設備、網路節點)的態樣、電路、服務或功能的提及。
術語「選擇性啟動的」可以描述其啟動狀態正在被改變的特性或能力(例如,其可以被啟動和去啟動)。在一些態樣中,術語「選擇性啟動的」可以描述特定地被啟用/禁用、開啟/關閉及/或開始/停止(例如,根據命令/需求)的特性或能力。因此,選擇性啟動的特徵是例如能夠被特定地啟動及/或去啟動(例如,根據命令/需求)的特徵。
如本文中所使用的,提及「網路服務」可以是提及由網路給予或經由網路可獲得的功能、能力、應用或它們的一部分。設備(例如,晶片組件、客戶端設備、網路節點)可以包括用於實現網路服務的選擇性啟動的特徵的集合。
如本文中所使用的,術語「授權資訊」應當被理解為意指「設備使用設備處的選擇性啟動的特徵的集合的許可權的證明」或者「網路節點使用網路節點處選擇性啟動的特徵的集合的許可權的證明」。授權資訊可以由以下各項表示、可以包括或者可以標識:授權協定、授權證書、或者授權協定和授權證書。或者或另外,授權資訊可以包括或標識由授權伺服器(或本端授權伺服器)從儲存在授權伺服器(或本端授權伺服器)處的授權協定推導出的選擇性啟動的特徵的集合的清單。如本文中所使用的,提及「特徵啟用金鑰」、「一些特徵啟用金鑰」或「一或多個特徵啟用金鑰」可以指的是用於啟用給定特徵的資料(例如,位元序列或位元串)。特徵啟用金鑰可以與加密功能相關或利用加密功能推導出。
術語「最新的」可以用於註釋或描述有效地延伸到當前時刻的事物。因此,例如,最新許可可以是直至當前時刻有效的許可。
如本文中所使用的,術語「匹配」在一些根本或基本態樣可以意指「等於」或可以意指「對應於」。
許多通訊設備(例如,晶片組件、客戶端設備、網路節點)給予多個特徵。製造商可以啟動通訊設備的第一模型中的特徵但不啟動第二模型中的該特徵,即使這兩個模型皆包括用於實現該特徵的所有硬體和軟體。這可以允許製造商對第一模式比對第二模式收費更高。製造商可以將一些特徵實現為選擇性啟動的特徵(例如,擁有被啟動及/或去啟動能力(例如,根據命令/需求)的特徵)。載波聚合是可以實現為選擇性啟動的特徵的特徵的一個實例。載波聚合允許使用多個載波以增加傳輸頻寬。載波聚合可以改進通訊設備效能。
本文中揭示的態樣提供了用於在一或多個通訊設備的集合上動態授權和啟動一或多個選擇性啟動的特徵的方法和裝置。選擇性啟動的特徵的動態授權和啟動可以用於例如自動啟動及/或去啟動網路上的服務,該網路例如蜂巢通訊網路(例如,4G、長期進化(LTE)、先進LTE(LTE-A)及/或諸如5G之類的未來實施方式)。 概述
設備(例如,晶片組件、客戶端設備、網路節點)可以包括對設備的一或多個選擇性啟動的特徵進行啟動、去啟動及/或報告的授權電路/功能單元/模組。授權電路/功能單元/模組可以另外地驗證設備具有啟動及/或使用/提供給定特徵的許可權。給定特徵可以用於使得設備能夠採用給定服務(例如,網路服務)。在一些態樣中,驗證可以經由對授權資訊的確認來進行。在例如可以即時地經由許可來單獨啟用服務及/或設備特徵的系統中,授權電路/功能單元/模組可以是有用的。
在一個態樣中,使用客戶端設備作為實例,客戶端設備可以決定服務(例如,網路服務)是從網路存取節點(例如,eNB)可獲得的。客戶端設備可以決定客戶端設備需要(客戶端設備可獲得的複數個特徵當中的)哪個/哪些選擇性啟動的特徵來使用服務。客戶端設備亦可以決定客戶端設備當前是否具有啟動及/或使用所決定的特徵的授權。若客戶端設備決定客戶端設備當前具有啟動及/或使用所決定的特徵的授權,則客戶端設備可以啟動及/或使用所決定的特徵。客戶端設備可以使用由授權電路/功能單元/模組獲得的一或多個特徵啟用金鑰來啟動特徵(包括硬體/軟體/韌體特徵)。若客戶端設備決定客戶端設備當前不具有啟動及/或使用所有所決定的特徵的授權,則客戶端設備可以向本端授權伺服器發送特徵啟動請求(例如,用於啟動一或多個特徵的請求,針對用於啟動一或多個特徵的授權的請求)。
在一個態樣中,若本端授權伺服器擁有與設備有關的授權資訊(例如,設備被授權啟動特徵啟動請求中標識的選擇性啟動的特徵的證明),則本端授權伺服器可以向客戶端設備發送授權資訊和授權檔。授權資訊可以具有授權協定及/或授權證書的形式。授權檔可以包括其內容被授權伺服器批准/認證的證明,從而使得設備可以在啟動特徵之前驗證檔。
在一個態樣中,授權檔可以包括與特徵啟動請求中標識的一或多個選擇性啟動的特徵相關聯的一或多個特徵啟用金鑰。授權檔亦可以包括授權參數(例如,使用給定特徵的授權到期或被撤銷的日期,標識特徵啟用金鑰在何時及/或何地有效的地理及/或時間相關的資料)。客戶端設備可以使用這樣獲得的一或多個特徵啟用金鑰來啟動特徵啟動請求中標識的啟動特徵。
若本端授權伺服器不擁有與設備相關的授權資訊,則本端授權伺服器可以向授權伺服器發送(例如,轉發)特徵啟動請求。
在一個態樣中,授權伺服器可以驗證客戶端設備啟動作為特徵啟動請求的物件的選擇性啟動的特徵的權利。驗證可以包括對儲存在授權伺服器處的授權協定的評估及/或確認。若授權伺服器驗證了客戶端設備啟動特徵的權利,則授權伺服器可以向本端授權伺服器發送授權資訊及/或包括授權參數及/或一或多個特徵啟用金鑰的授權檔。本端授權伺服器可以向客戶端設備發送(例如,轉發)授權資訊及/或包括授權參數及/或一或多個特徵啟用金鑰的授權檔。客戶端設備可以使用這樣獲得的一或多個特徵啟用金鑰來啟動特徵啟動請求中標識的特徵。 示例性系統和系統描述
圖1是根據本文中描述的態樣的可以動態授權和啟動一或多個設備(例如,晶片組件、客戶端設備、網路節點)的集合上的一或多個選擇性啟動的特徵的示例性系統100的方塊圖。一或多個設備的集合在圖1中利用設備A 102、設備B 104和設備C 106來例示。設備A 102、設備B 104和設備C 106可以分別包括授權電路/功能單元/模組108、112、116。在例如可以使用可以根據例如許可條款即時單獨啟動/去啟動(例如,啟用/禁用)的設備特徵(例如,選擇性啟動的特徵)來整體地或部分地實現服務(例如,網路服務)的系統中,授權電路/功能單元/模組108、112、116可以是有用的。包括選擇性啟動的特徵的任何設備(例如,設備A 102、設備B 104或設備C 106)可以包括授權電路/功能單元/模組108、112、116,其中啟動選擇性啟動的特徵的授權可以基於例如授權協定120。授權協定120因此可以是啟動選擇性啟動的特徵的權利的證明的來源。
設備A 102包括授權電路/功能單元/模組A 108和選擇性啟動的特徵的第一集合110。設備B 104包括授權電路/功能單元/模組B 112和選擇性啟動的特徵的第二集合114。設備C 106包括授權電路/功能單元/模組C 116和選擇性啟動的特徵的第三集合118。為了便於參考,且無任何限制意圖,在本文中,可以將授權電路/功能單元/模組A 108、授權電路/功能單元/模組B 112和授權電路/功能單元/模組C 116單獨及/或統稱為「授權功能單元108、112、116」。另外,為了便於參考,且無任何限制意圖,在本文中,可以將設備A 102、設備B 104和設備C 106單獨及/或統稱為「設備102、104、106」。
對啟動給定設備(例如,設備A 102、設備B 104及/或設備C 106)處的選擇性啟動的特徵的集合(例如,選擇性啟動的特徵的第一集合110、選擇性啟動的特徵的第二集合114及/或選擇性啟動的特徵的第三集合118)中的一或多個選擇性啟動的特徵的授權可以是啟動給定設備處的一或多個特徵的先決條件。
在本文中描述的一些態樣中,設備102、104、106的授權功能單元108、112、116可以獲得並驗證以下證明:設備102、104、106被授權伺服器126授權啟動選擇性啟動的特徵,並且在設備102、104、106啟動選擇性啟動的特徵之前獲得並驗證該證明(例如,授權資訊)。在一些實施方式中,第一設備處的授權功能單元108、112、116亦可以向第二設備發送證明,其中第二設備可以向第一設備提供服務(例如,網路服務)。
例如,網路服務的實例可以包括:雙連線性服務、多訂制服務、設備對設備(D2D)模式服務、多媒體廣播/多播服務(MBMS)及/或免許可操作服務。例如,雙連線性服務可以在無線電存取技術(RAT)(例如,4G)之內和跨越RAT(例如,跨越4G和5G及/或無線區域網路(WLAN))二者提供連線性。
例如,多訂制服務可以使用單個無線電鏈路向設備提供服務以便同時服務多個訂制(例如,同時提供服務供應商服務訂制和資料串流視訊訂制及/或線上零售提供商訂制)。
例如,D2D模式服務可以給予提供服務、朋友和邀約的近端發現的服務。例如,除了傳統存取服務之外,亦可以給予D2D服務。
MBMS服務可以是促進設備在除了存取單播服務之外接收多播服務的服務。
例如,免許可操作服務可以是允許設備使用經許可的輔助的存取或操作在使用LTE或5G或者一或多個其他RAT的免許可頻帶中的服務。可能需要啟動以使用上文列出的示例性服務以及其他服務的特徵(例如,選擇性啟動的特徵)的完整清單超出了本案的範疇。不過,可以選擇性啟動的特徵的一些實例可以包括:載波聚合、某些實體通道(例如,在雙連線性、D2D及/或免許可操作服務的情況下)、選擇性啟動的硬體、及/或儲存在設備上的處理電路可讀取指令的選擇性執行的部分(不然其不被執行以便阻止啟動給定的選擇性啟動的特徵)。
向第二設備提供證明(例如,授權資訊)可以是第二設備提供服務之前的先決條件。因此,例如,甚至在選擇性啟動的特徵的第一集合110在設備A 102處被授權和啟動之後,另一個設備(例如,設備C 106)(例如,網路存取節點)可以請求設備A 102發送設備A 102使用設備A 102處的選擇性啟動的特徵的第一集合110的許可權的證明,其中該許可權的證明可以由授權伺服器126簽署。另外,在一些實施方式中,在設備A 102使用(例如,啟動、採用)由設備C 106給予的服務(例如,網路服務)之前(其中選擇性啟動的特徵的第三集合包括設備C 106向設備A 102提供該服務所需的第三選擇性啟動的特徵),並且甚至在選擇性啟動的特徵的第三集合118在設備C 106(例如,網路存取節點)處被授權以及被啟動之後,設備A 102(例如,客戶端設備)可以請求設備C 106發送設備C 106使用設備C 106處的選擇性啟動的特徵的第三集合118的許可權的證明,其中該許可權的證明可以由授權伺服器126(或另一個授權伺服器)簽署。
設備A 102可以在使用設備C 106處給予的服務之前,向設備C 106發送針對證明的請求。設備A 102可以在使用設備C 106處給予的服務之前,從設備C 106獲得的證明並驗證所獲得的證明。
授權資訊(例如,設備使用在該設備處的選擇性啟動的特徵的集合的許可權的證明)可以基於授權協定120。例如,授權資訊可以按照授權協定120及/或授權證書122的形式提供。授權協定120可以儲存在授權伺服器126處。授權伺服器126可以基於授權協定120來推導授權證書122和授權檔124(其可以包括特徵啟用金鑰)。例如,授權證書122可以包括:設備102、104、106公開金鑰,向設備102、104、106授權的選擇性啟動的特徵(例如,選擇性啟動的特徵的集合),以及向其授權選擇性啟動的特徵的設備102、104、106的辨識符(例如,設備公開金鑰或某種其他設備唯一辨識碼的散列)。例如,授權證書122亦可以包括:授權證書122的到期時間,並且可以另外或替代地包括與授權給設備102、104、106的選擇性啟動的特徵相關的參數。授權證書可以由授權伺服器126使用授權伺服器126的私密金鑰來簽署。
因此,授權證書122攜帶授權伺服器126的簽名;該簽名可以使用授權伺服器126的公開金鑰來驗證。例如,為了推導出該簽名,授權伺服器126可以向散列函數應用設備102、104、106的公開金鑰,授權給設備102、104、106的選擇性啟動的特徵,以及設備102、104、106的辨識符;授權伺服器126隨後可以向簽名函數輸入推導出的散列值和授權伺服器126的私密金鑰。驗證函數可以是簽名函數的逆;實體(例如,網路節點)可以經由向驗證函數輸入授權伺服器126的簽名和公開金鑰來驗證簽名。以這種方式,當授權證書122由授權伺服器126簽署時,授權證書122可以得到驗證,並且可以用作設備102、104、106使用設備102、104、106處的選擇性啟動的特徵的集合的許可權的證明。因此,授權證書122可以用作授權資訊。
本質上,在特徵啟動期間,設備102、104、106得到了授權伺服器的證書。授權證書122亦可以用來證明授權伺服器126向授權檔124中標識的設備102、104、106簽發了授權檔124。
應當注意的是:當設備102、104、106向實體(例如,網路節點)發送授權證書122時,設備102、104、106可以利用設備102、104、106的私密金鑰來簽署授權證書122。這促進了設備102、104、106證明設備102、104、106是包括在授權證書122中的公開金鑰的所有者的能力。使用包括在授權證書122中的公開金鑰,實體(例如,網路節點)可以驗證發送授權證書122的設備是由授權伺服器126在授權證書122中標識的同一個設備。
設備102、104、106可以在任何時刻(例如,在初始附著、服務請求、切換、點播期間)請求授權資訊。
若授權功能單元108、112、116獲得並驗證了授權協定120、或者從授權協定120推導出的授權證書122,則授權功能單元108、112、116可以啟動給定的選擇性啟動的特徵(或者可以授權/命令/指示託管授權功能單元108、112、116的設備102、104、106啟動給定的選擇性啟動的特徵)。授權協定120以及授權證書122可以記錄設備102、104、106啟動給定選擇性啟動的特徵的權利。
授權功能單元108、112、116可以向本端授權伺服器128發送特徵啟動請求(例如,用於啟動一或多個選擇性啟動的特徵的請求,針對用於啟動一或多個選擇性啟動的特徵的授權的請求)。對特徵啟動請求的回應可以包括授權資訊(例如,設備102、104、106使用設備處的選擇性啟動的特徵的集合(其包括特徵啟動請求中標識的一或多個選擇性啟動的特徵)的許可權的證明)。回應亦可以包括授權檔124。授權檔124可以包括一或多個特徵啟用金鑰。授權伺服器126可以對授權資訊、授權檔及/或一或多個特徵啟用金鑰進行加密。
授權伺服器126可以利用屬於授權伺服器126的公開金鑰/私密金鑰對的私密金鑰來簽署授權資訊。在授權資訊包括授權證書的情況下,例如,授權伺服器126可以利用屬於授權伺服器126的公開金鑰/私密金鑰對的私密金鑰來簽署授權證書。設備102、104、106可以使用授權伺服器126的公開金鑰來驗證授權證書122是真實的。本發明所屬領域中具有通常知識者將領會:用於簽署諸如授權證書122之類的專案的替代方式在本文中呈現的各個態樣的範疇之內。
授權伺服器126可以使用屬於設備102、104、106的公開金鑰/私密金鑰對的公開金鑰對可以包括一或多個特徵啟用金鑰的授權檔124進行加密。在一些態樣中,只有授權功能單元108、112、116能夠存取屬於設備102、104、106的公開金鑰/私密金鑰對的私密金鑰;因此,只有授權功能單元108、112、116可以對可以包括一或多個特徵啟用金鑰的授權檔124進行解密。本發明所屬領域中具有通常知識者將領會:用於諸如可以包括特徵啟用金鑰的授權檔124之類的項目的其他類型的加密在本文中呈現的各個態樣的範疇之內。
本端授權伺服器128可以向授權伺服器126發送特徵啟動請求。在一些態樣中,特徵啟動請求可以在不首先發送到本端授權伺服器128的情況下,從授權功能單元108、112、116直接發送到授權伺服器126。
授權伺服器126可以在考慮/評估/處理與設備(例如,設備A 102、設備B 104或設備C 106)相關聯的授權協定120之後發送對特徵啟動請求的回應。對特徵啟動請求的回應可以包括可以用於驗證設備102、104、106啟動特徵啟動請求中標識的一或多個選擇性啟動的特徵的權利的授權資訊。
回應亦可以包括授權檔124。授權檔124可以包括一或多個特徵啟用金鑰、授權參數、或者一或多個特徵啟用金鑰和授權參數。例如,授權參數可以包括授權的到期日期/撤銷日期。本端授權伺服器128,或者在一些態樣中,授權伺服器126可以向授權功能單元108、112、116轉發授權證書122和包括特徵啟用金鑰和授權參數的授權檔124。
如上文所指示的,為了啟動設備102、104、106的選擇性啟動的特徵,可能需要授權選擇性啟動的特徵。根據一個非限制性實例,實體(例如,使用者、服務提供者、OEM、製造商)可以基於授權協定120中定義的條款向許可服務支付用於啟動選擇性啟動的特徵的授權費(例如,許可費)。在支付被驗證之前或之後,授權協定120可以被上傳到授權伺服器126及/或本端授權伺服器128。授權伺服器126可以由許可服務託管。授權伺服器126(例如,許可伺服器)可以用於授權協定及/或與其相關聯的選擇性啟動的特徵的驗證、啟動及/或實施。
在一個態樣中,設備102、104可以決定網路服務是可用的。設備102、104可以辨識設備可獲得的(但不一定在設備處啟動的)並且使用網路服務所需的選擇性啟動的特徵。可以從任何合適的源(例如,儲存在設備102、104中的列表/表格,從本端授權伺服器128獲得的列表/表格,從授權伺服器126獲得的列表/表格),或者可以從遠端網路節點或其他源(例如,封包資料網路上的節點)獲得對為了使用網路服務所需的選擇性啟動的特徵的辨識。設備102、104可以決定其(亦即,設備102、104)是否被授權啟動使用網路服務所需的選擇性啟動的特徵。
若設備102、104沒有被授權啟動為了使用網路服務所需的所有選擇性啟動的特徵,則設備102、104或設備102、104的授權功能單元108、112可以請求用於啟動選擇性啟動的特徵(或者複數個選擇性啟動的特徵)的授權。設備102、104或設備102、104的授權功能單元108、112可以請求設備102、104被授權啟動所請求的選擇性啟動的特徵的證明。所請求的選擇性啟動的特徵的啟動可以使得設備102、104例如能夠獲得應用伺服器上給予的服務或使用由網路存取節點(例如,eNB)提供的服務。 示例性操作環境
圖2圖示根據本文中描述的態樣的示例性操作環境200。為了便於參考,且無任何限制意圖,每個授權電路/功能單元/模組在本文中將被稱為「授權功能單元」。在示例性操作環境200中,第一設備202(例如,晶片組件、客戶端設備、網路節點)包括第一授權功能單元203。第二設備204(例如,晶片組件、客戶端設備、網路節點)包括第二授權功能單元205。第一設備202和第二設備204可以與被圖示為網路存取節點(例如,eNodeB)的第三設備206進行無線通訊。第三設備206(例如,網路存取節點)可以包括第三授權功能單元207。
第一設備202可以包括為了使用第一網路服務所需的一或多個選擇性啟動的特徵。第二設備204可以包括為了使用第二網路服務所需的一或多個選擇性啟動的特徵。第三設備206可以包括為了使用/向第一設備202提供第一網路服務及/或使用/向第二設備204提供第二網路服務所需的一或多個選擇性啟動的特徵。
第三設備206(例如,網路存取節點)可以是無線電存取網路(RAN)210(例如,增強型通用陸地無線電存取網路(E-UTRAN))的一部分。在蜂巢通訊系統的非限制性實例中(例如,4G、LTE、LTE-A、5G),RAN 210可以向核心網路212(例如,進化型封包核心(EPC))傳輸控制訊號傳遞和資料傳輸量。網路服務供應商(例如,行動網路服務供應商(MNO))可以操作核心網路212。可以經由S1-MME參考點來傳輸控制訊號傳遞。可以經由S1-U參考點來傳輸資料傳輸量。
核心網路212可以包括行動性管理實體(MME)214、歸屬用戶伺服器/授權、認證和計費伺服器(HSS/AAA)216、服務閘道設備(S-GW)218和封包資料網路閘道設備(P-GW)220。除了上面標識的組件之外,核心網路212亦可以包括本端授權伺服器222。本端授權伺服器222可以與RAN 210中的第三設備206(例如,網路存取節點)以及其他網路存取節點(未圖示)通訊。本端授權伺服器222可以經由第三設備206(例如,網路存取節點)與第一設備202和第二設備204通訊。在核心網路212內部,本端授權伺服器222可以與MME 214及/或HSS/AAA 216通訊。本端授權伺服器222可以用作授權伺服器234針對第一設備202、第二設備204和第三設備206(例如,網路存取節點)的代理,其中第一設備202、第二設備204和第三設備206耦合到與本端授權伺服器222相關聯的核心網路212。
P-GW 220可以與封包資料網路(PDN)232(例如,網際網路)上的應用伺服器228、230通訊。應用伺服器228、230可以與服務提供者(例如,零售提供商、網際網路搜尋引擎提供商、娛樂提供商和社交媒體服務提供者)相關聯。應用伺服器228、230可以託管與服務提供者相關聯的應用及/或應用服務。
核心網路212中的本端授權伺服器222可以與封包資料網路232中的授權伺服器234通訊。將理解的是:授權伺服器234可以位於任何地方。換句話說,授權伺服器234與應用伺服器228、230一起位於封包資料網路232上是可選的。例如,除了本端授權伺服器222之外,核心網路212亦可以包括授權伺服器234。
授權伺服器234可以由第一設備202、第二設備204、第三設備206以及由任意數量的實體(例如,無線電存取網路提供商、行動網路服務供應商或存取點提供商)存取。每個實體亦可以保持其自己的本端授權伺服器。下面將提供授權伺服器和本端授權伺服器的一些態樣。 架構參考模型
圖3是根據本文中描述的態樣的系統300的架構參考模型。圖3圖示設備302(例如,晶片組件、客戶端設備、網路節點)、本端授權伺服器306和授權伺服器308。設備302可以包括至少一個選擇性啟動的特徵320。設備302啟動選擇性啟動的特徵320的權利可以基於授權協定330(例如,契約、協定、許可)。在一個態樣中,設備302啟動選擇性啟動的特徵320的權利可以基於授權協定330(或者從授權協定330推導出的授權資訊)的驗證。在一個態樣中,設備302啟動選擇性啟動的特徵320的權利可以基於與該選擇性啟動的特徵320相關的支付。在一個態樣中,與選擇性啟動的特徵320相關的支付的狀態可以反映在授權協定330(或者從授權協定330推導出的授權資訊)中。在一種實施方式中,授權伺服器308可以在與選擇性啟動的特徵320有關的各個實例處發現用途,其例如包括:在確認(例如,使用選擇性啟動的特徵320的權利)、啟動(例如,選擇性啟動的特徵320)、以及實施(例如,與選擇性啟動的特徵320相關的授權協定330的條款)期間。
設備302可以耦合到本端授權伺服器306。本端授權協定306可以耦合到授權伺服器308。現在將描述設備302、本端授權伺服器306和授權伺服器308。
設備302可以包括授權電路/功能單元/模組,為了便於參考,且無任何限制意圖,其在本文中將被稱為「授權功能單元304」。
授權功能單元304可以實現設備302的處理電路314處及/或設備302的安全操作環境305處的安全程序(例如,執行安全處理)。如本文中所使用的,術語「安全」可以意指保護不被或免於被其他程序(包括外部和內部程序)及/或使用者存取。在一個態樣中,安全操作環境305及/或在其中實現的安全程序可能是使用者不可存取的及/或是除了由授權功能單元304實現的安全程序之外的程序不可存取的。在授權功能單元304實現設備302的處理電路314處的安全程序的一個態樣中,安全程序可能是使用者不可存取的及/或是除了由授權功能單元304實現的安全程序之外的程序不可存取的。
授權功能單元304可以實現用於驗證設備302被授權啟動設備302的選擇性啟動的特徵320的程序。該程序可以是安全程序。在一個態樣中,為了驗證設備302被授權啟動選擇性啟動的特徵320,授權功能單元304可以獲得選擇性啟動的特徵320被授權啟動的證明(例如,授權資訊)。可以授權啟動選擇性啟動的特徵320以便初始、重複及/或繼續使用。驗證可以是經由確認所獲得的證明。
授權功能單元304亦可以實現用於驗證與設備302附著到或計畫附著到的網路相關聯的網路節點(例如,eNB、MME、S-GW等)被授權啟動與選擇性啟動的特徵320相對應的特徵的程序。該程序可以是安全程序。與網路節點處的選擇性啟動的特徵320相對應的特徵可以用於促進由網路經由網路節點給予的服務。經由舉例的方式,設備302可能需要與選擇性啟動的特徵320相對應的特徵在網路節點處啟動,以便使用網路節點處提供的網路服務。經由另外舉例的方式,設備302可能需要與選擇性啟動的特徵320相對應的特徵在網路節點處啟動,以便實現可以經由啟動設備302處的選擇性啟動的特徵320達到的改進的服務。例如,可以製造設備302(出於該實例的目的其可以是客戶端設備)以便在啟動選擇性啟動的特徵320時實現載波聚合。載波聚合允許使用多個載波來增加傳輸頻寬。載波聚合可以改進設備302的效能。設備302可以被授權啟動選擇性啟動的特徵320,並且可以被授權配置其自身使用載波聚合。然而,為了有效,耦合到設備302的網路存取節點(例如,eNB)亦應當啟動相應的特徵,以使得網路存取節點被配置為使用載波聚合。因此,在一些態樣中,選擇性啟動的特徵320可以由兩個設備(例如,晶片組件、客戶端設備、網路節點或兩個或兩個以上上述設備的任意組合)聯合啟動並使用。
在一個實例中,授權功能單元304可以根據授權協定330中定義的(並且在從授權協定330推導出並在授權功能單元304處獲得的授權資訊中反映的)條款來啟動及/或去啟動選擇性啟動的特徵320。在該實例中,可接受啟動和使用所基於的條款可以由授權協定330定義或列在其中。在該實例中,條款可以包括換取使用選擇性啟動的特徵320的權利的支付。在一種實施方式中,設備302的授權功能單元304可以在與和設備302相關聯的選擇性啟動的特徵320有關的各個實例中發現用途,其例如包括:在確認(例如,使用選擇性啟動的特徵320的權利)、啟動(例如,選擇性啟動的特徵320)、以及實施(例如,與選擇性啟動的特徵320相關的授權協定330的條款)期間。在一些態樣中,選擇性啟動的特徵320的啟動可以允許設備302經由另一個設備(例如,eNB)從例如網路(例如,網際網路)上的應用伺服器獲得服務。
設備302亦可以包括安全儲存電路310(例如,電路/功能單元/模組)。在一個態樣中,基於(設備302內部及/或外部的)組件/實體從安全儲存電路310讀取資料以及向安全儲存電路310寫入資料的能力可以認為安全儲存電路310是安全的。在一個態樣中,安全儲存電路310可以永久性併入設備302或與設備302集成在一起。例如,安全儲存電路310可以包括與包括在設備302中的處理電路314製造在同一基板上的非揮發性記憶體陣列。
在安全儲存電路310內可以存在用於從設備302推導出的公開金鑰/私密金鑰對的私密金鑰316的儲存空間。在一個態樣中,製造商或OEM可以產生公開金鑰/私密金鑰對。在另一個態樣中,另一個實體可以產生私密金鑰/公開金鑰對。私密金鑰/公開金鑰對的私密金鑰316可以由製造商、OEM或由另一個實體儲存在安全儲存電路310中。在一個態樣中,私密金鑰316可以在設備302的所有權從製造商或OEM轉移到協力廠商之前儲存在安全儲存電路310中。在其他態樣中,私密金鑰316可以由任意實體在任意時刻儲存在安全儲存電路310中。在一些態樣中,私密金鑰316僅是設備302已知的。在一些態樣中,私密金鑰316僅是設備302的授權功能單元304已知的。
私密金鑰316可以由設備302(或授權功能單元304)用於對特徵啟用金鑰318及/或可以包括特徵啟用金鑰318的授權檔進行解密。特徵啟用金鑰318及/或可以包括特徵啟用金鑰318的授權檔可以由第三實體(例如,授權伺服器308)在向設備302發送特徵啟用金鑰318之前使用設備302的公開金鑰來簽署/加密。
在一個態樣中,特徵啟用金鑰318可以用於啟動設備302的選擇性啟動的特徵320。在本文中描述的一些態樣中,可以任何加密的形式來儲存特徵啟用金鑰318。在一些實例中,特徵啟用金鑰318可僅由授權功能單元304(例如,使用設備302的私密金鑰316)來解密。在一些實例中,特徵啟用金鑰318可以儲存在安全環境(例如,安全儲存電路310)中。
設備302亦可以包括資料存放裝置312(例如,電路/功能單元/模組),其可以與安全儲存電路310分離。在一個態樣中,安全儲存電路310可以是資料存放裝置312的分區,或者反之亦然。安全儲存電路310及/或資料存放裝置312可以例如包括硬碟、硬碟的分區、光碟、光碟的分區、固態記憶體或固態記憶體上的分區。
在資料存放裝置312之內可以儲存特徵和授權參數的清單322。例如,特徵和授權參數的清單322可以標識設備302具有許可權啟動/去啟動的選擇性啟動的特徵320及其相關聯的授權參數。特徵和授權參數的清單322可以例如是根據由授權伺服器簽署(其中簽署可以用於驗證授權檔)的一或多個授權檔編寫的。授權檔可以在例如設備啟動、設備切換、設備更新或回應於來自設備302的請求時,從本端授權伺服器306或授權伺服器308獲得。特徵和授權參數的清單322中的授權參數可以指示例如選擇性啟動的特徵320是否被啟動或去啟動,以及設備302使用選擇性啟動的特徵320的許可權到期或被撤銷的日期。如本文中所使用的,設備302使用選擇性啟動的特徵320的許可權包括設備302提供選擇性啟動的特徵320的許可權。
在資料存放裝置312之內亦可以儲存授權證書323。在一個態樣中,授權證書323可以由任何實體驗證,並且因此不需要儲存在安全儲存裝置中。另一態樣,授權檔324包括諸如特徵啟用金鑰之類的私有資訊。因此,在一個態樣中,授權檔324可以儲存在安全儲存電路310中。
設備302亦可以包括:用於提供授權功能單元304、安全操作環境305、安全儲存電路310、資料存放裝置312、處理電路314及/或包括在設備302中的網路通訊電路326之間的通訊的通訊匯流排325。網路通訊電路326亦可以提供與本端授權伺服器306及/或授權伺服器308的通訊。
在一些態樣中,本端授權伺服器306可以用作授權伺服器308的本端代理。在一些態樣中,本端授權伺服器306可以發送由本端授權伺服器306簽署的、設備302使用設備302處的選擇性啟動的特徵320的集合的許可權的證明,其中設備302可以耦合到與本端授權伺服器306相關聯的核心網路。在一些態樣中,本端授權伺服器306可以暫時獨立於授權伺服器308來進行操作。不管本端授權伺服器306是用作授權伺服器308的代理還是本機伺服器本身,其皆可以根據例如儲存在授權伺服器308處的授權協定330的條款。
授權伺服器308可以包括資料存放裝置328(例如,電路/功能單元/模組)。資料存放裝置328可以儲存授權協定330(例如,協定、契約、許可)的列表、儲存庫或記錄。授權協定330可以與複數個設備的各個選擇性啟動的特徵相關。資料存放裝置328可以保持由授權協定330涵蓋的設備的金鑰儲存裝置332。金鑰儲存裝置332可以包括可以用於對向由授權協定330涵蓋的設備(例如,設備302)發送的訊息進行加密的私密金鑰及/或公開金鑰。
授權伺服器308的資料存放裝置328亦可以包括可以用於啟動設備302的選擇性啟動的特徵320的特徵啟用金鑰334。在一些態樣中,當設備302的授權功能單元304請求設備302具有啟動選擇性啟動的特徵320中的一或多個選擇性啟動的特徵的許可權的證明時,特徵啟用金鑰334可以從授權伺服器308(或本端授權伺服器306)發送到設備302。在此類態樣中,選擇性啟動的特徵320可以由授權功能單元304在授權伺服器308(或本端授權伺服器306)向授權功能單元304發送設備302具有啟動選擇性啟動的特徵320的許可權的證明(例如,授權資訊)之後啟動(或者由其授權)。
在一個實例中,授權伺服器308的資料存放裝置328可以根據設備模型號來存放裝置302處的每個選擇性啟動的特徵320的授權參數336的列表、儲存庫或記錄。在一個態樣中,為了允許具有相同模型編號的各個設備的差異,例如,資料存放裝置328可以根據設備序號或其他設備辨識符(例如,國際行動設備辨識碼(IMEI))來儲存每個選擇性啟動的特徵320的授權參數336。如本發明所屬領域中具有通常知識者已知的,IMEI是用於根據第三代合作夥伴計畫(3GPP)系統(例如,GSM、UMTS、LTE、LTE-A)來辨識硬體的唯一編號。
授權伺服器308亦可以包括用於提供包括在授權伺服器308中的資料存放裝置328、處理電路340及/或網路通訊電路342之間的通訊的通訊匯流排338。網路通訊電路342亦可以提供與本端授權伺服器306及/或設備302的通訊。
如上文所指示的,本端授權伺服器306可以用作授權伺服器308的代理。因此,本端授權伺服器306包括與授權伺服器308的相同或相似的電路/功能單元/模組。因此將省略對這些相同或相似的電路/功能單元/模組的描述和說明。 授權協定
返回到圖1,可以在授權協定120(例如,協定、契約、許可)中給予設備102、104、106使用選擇性啟動的特徵110、114、118的集合的許可權。在一些態樣中,可以認為授權協定120是許可。如本文中所使用的,在一個態樣中,對選擇性啟動的特徵的集合的提及,或者對選擇性啟動的特徵的提及,可以理解為是對一個選擇性啟動的特徵(例如,其中集合包括一個選擇性啟動的特徵或集合包括一或多個不同的選擇性啟動的特徵)的提及。授權協定120可以用作設備102、104、106使用(例如,啟動,保持啟動)設備102、104、106處的選擇性啟動的特徵110、114、118的集合的許可權的證明,或者授權協定120可以用於推導該證明。
可以在兩個或兩個以上實體之間建立授權協定120。例如,授權協定120的實體可以對設備、設備的特徵及/或設備將使用的服務要求權利。經由舉例的方式,可以在製造商、廠商/OEM、設備購買者、中間商、許可服務及/或製造商、廠商/OEM、設備購買者、中間商或許可服務中的任意兩個或兩個以上之間建立授權協定120。設備購買者可以是端使用者、中間商或者是將出租設備的實體。許可服務可以是准予許可並監測遵守許可條款的組織。
在一個實例中,授權協定120可以在授權功能單元108、112、116尋求獲得授權協定120的證明之前建立。在另一個實例中,授權協定120可以在與授權功能單元108、112、116尋求獲得授權協定120的證明同時或基本同時建立。
授權協定120可以被稱為作品(writing)。如本文中所使用的,作品包括授權協定的所有非暫態機器可讀表達,不管這些授權協定是否曾經以實體的人類可讀的形式存在。術語「作品」包括簡化為可以由機器閱讀的任何形式的任何人類可讀的文件。機器可閱讀的形式可以包括電儲存形式、光儲存形式、磁儲存形式或本發明所屬領域中具有通常知識者已知的其他儲存形式。
在一個實例中,授權協定可以用於推導包括以下各項的授權證書: 1、被授權使用的選擇性啟動的特徵的集合; 2、壽命/到期時間; 3、選擇性啟動的特徵啟用的位置(例如,包括諸如PLMN、SSID或細胞ID的地理或網路辨識符); 4、可以使用選擇性啟動的特徵的網路存取節點的最大數量;及 5、週期性使用報告要求。
圖4圖示根據本文中描述的態樣的可以包括在第一實體(例如,設備的所有者、設備的銷售者/中間商、以折扣或無折扣向消費者給予設備的服務提供者)與一或多個設備的製造商或OEM之間的示例性授權協定中的參數和資料的示例性清單400。該列表以表格的形式呈現在圖4中,然而,根據該態樣,任何機器可讀(例如,處理電路可讀)的形式皆是可接受的。該列表包括諸如以下各項之類的參數:協定的日期402、設備的所有者的辨識符404、設備的製造商或OEM的辨識符406、設備的辨識符408(例如,IMEI號)、經授權特徵的清單410、授權協定的持續時間412、特徵使用的限制414以及特徵使用的費用416。
圖5圖示根據本文中描述的態樣的可以包括在製造商或OEM與另一個實體(例如,操作授權伺服器的實體)之間的示例性授權協定中的參數和資料的示例性清單500。該列表以表格的形式呈現在圖5中,然而,根據該態樣,任何機器可讀(例如,處理電路可讀)的形式皆是可接受的。該列表包括諸如以下各項之類的參數:協定的開始日期502、協定的結束日期504、設備的辨識符506(例如,IMEI號)、經授權特徵的清單508、特徵使用的限制510、設備的公開金鑰的辨識符512、設備的製造商或OEM的辨識符514、以及特徵使用的費用516。
圖6圖示根據本文中描述的態樣的可以包括在網路服務供應商(例如,行動網路服務供應商(MNO))與另一個實體(例如,授權伺服器的所有者/服務供應商)之間的示例性授權協定中的參數和資料的示例性列表600。該示例性列表600以表格的形式呈現在圖6中,然而,根據該態樣,任何機器可讀(例如,處理電路可讀)的形式皆是可接受的。該示例性列表600包括諸如以下各項之類的參數:授權協定的開始日期602、授權協定的結束日期604、設備的辨識符606(例如,IMEI號)、經授權服務的清單608、經授權特徵的清單610、設備的製造商或OEM的辨識符612、以及特徵使用的費用614。 供應
圖7是示出根據本文中描述的態樣的與向設備(例如,晶片組件、客戶端設備、網路節點)發送授權證書、授權檔、特徵啟用金鑰和軟體有關的動作的流程圖。在一個態樣中,用元件符號702-712標識的動作可以由授權伺服器採取,而用元件符號714標識的動作可以由本端授權伺服器採取。在一個態樣中,用元件符號702-714標識的動作可以由授權伺服器採取。亦即,在這些態樣中,授權伺服器可以在沒有本端授權伺服器的介入的情況下推導並向設備發送授權證書、授權檔、特徵啟用金鑰及/或軟體。在一個態樣中,用元件符號702-714標識的動作可以由本端授權伺服器採取。亦即,在這些態樣中,本端授權伺服器可以在沒有授權伺服器的介入的情況下推導並向設備發送授權證書、授權檔、特徵啟用金鑰及/或軟體。
如前述,可以在各個實體(例如,設備的所有者、設備的銷售者/中間商、以折扣或無折扣向消費者給予設備的服務提供者、製造商或設備的OEM)之間締結授權協定。例如,一個實體可以向第二實體支付用於在預先定義的時間期間(例如,按季度)使用服務或選擇性啟動的特徵的權利的費用。一旦實體已經締結了授權協定,授權協定就可以儲存在授權伺服器上702。授權伺服器可以基於授權協定中的資訊來推導特徵啟用金鑰704(例如,基於授權協定來推導特徵啟用金鑰704)。授權伺服器可以基於授權協定中的資訊來推導授權證書706。授權伺服器亦可以基於授權協定中的資訊來推導授權檔708。在一些態樣中,授權檔可以包括一或多個特徵啟用金鑰。這些動作的順序是示例性的並且是非限制性的。任何順序皆是可接受的。
特徵啟用金鑰可以用於啟動設備(例如,晶片組件、客戶端設備、網路節點)的選擇性啟動的特徵。特徵啟用金鑰可以被加密,及/或具有特徵啟用金鑰的授權檔可以被加密。在一些實例中,特徵啟用金鑰及/或授權檔可以僅由設備的授權功能單元解密。
在一些態樣中,每個選擇性啟動的特徵的一個特徵啟用金鑰可以用於選擇性啟動的特徵的啟動。在其他態樣中,一個特徵啟用金鑰可以用於啟動多個選擇性啟動的特徵。啟動選擇性啟動的特徵可以包括:選擇性啟動的特徵的初始啟動,以及保持已經啟動的選擇性啟動的特徵的啟動。在一個態樣中,特徵啟用金鑰可以解鎖選擇性啟動的特徵。經由舉例的方式,選擇性啟動的特徵可以被啟動,但可以基於授權協定的條款將其鎖定無法使用(例如,可以基於由授權協定施加的地理或時間相關的參數限制來鎖定選擇性啟動的特徵使其無法使用)。可以基於合適的特徵啟用金鑰的獲得和使用來對啟動的選擇性啟動的特徵進行解鎖(例如,可以啟用設備使用已經啟動的選擇性啟動的特徵的能力)。
授權檔可以包括與選擇性啟動的特徵相關的資料。例如,與選擇性啟動的特徵相關的資料可以包括設備使用選擇性啟動的特徵的許可權到期或被撤銷的日期。與選擇性啟動的特徵相關的其他資料亦可以包括在授權檔中。
在一個態樣中,授權伺服器可以向本端授權伺服器發送或上傳710(例如,供應)授權證書和包括特徵啟用金鑰的授權檔。授權伺服器可以可選地向本端授權伺服器發送或上傳與設備的選擇性啟動的特徵有關的軟體712、或與設備有關的任何特徵(硬體或軟體)。例如,除了授權證書和授權檔之外,可以發送或上傳具有經更新的驅動器形式的軟體。
授權伺服器及/或本端授權伺服器可以回應於例如從設備獲得特徵啟動請求,向設備(例如,晶片組件、客戶端設備、網路節點)發送714授權證書、包括特徵啟用金鑰的授權檔、和軟體(可選)。
在一個實例中,當多個設備包括在授權協定中,本端授權伺服器可以確保不超過最大數量(例如,配額)的設備正在使用經授權的選擇性啟動的特徵。例如,在本端授權伺服器發出在第二設備處啟動選擇性啟動的特徵的授權之前,本端授權伺服器可以接收選擇性啟動的特徵何時在第一設備處被去啟動的指示。或者,在本端授權伺服器發出在第二設備處啟動選擇性啟動的特徵的授權之前,本端授權伺服器可以撤銷在第一設備處啟動選擇性啟動的特徵的指示。例如,撤銷可以基於來自所有經授權設備的週期性報告,以決定選擇性啟動的特徵正在哪些設備中被活躍使用。 特徵啟動請求
圖8是示出根據本文中描述的態樣的涉及特徵啟動請求(例如,用於啟動一或多個特徵的請求,針對用於啟動一或多個特徵的授權的請求)的方法的流程圖800。若設備(例如,晶片組件、使用者客戶端設備、網路節點)具有這麼做的授權,則其可以啟動選擇性啟動的特徵。各個事件可以引起設備發送特徵啟動請求。例如,可能需要選擇性啟動的特徵來使用網路服務,管理員可以決定以調用選擇性啟動的特徵的方式來配置設備,可能發生訂制更新,及/或出於維護的目的可能需要操作、維護和管理(OAM)協定來啟動選擇性啟動的特徵。
為了啟動選擇性啟動的特徵,設備可以獲得設備在設備處使用選擇性啟動的特徵的許可權的證明,並獲得包括特徵啟用金鑰的授權檔。例如,可以以授權資訊的形式提供許可權的證明。授權資訊可以包括授權協定及/或授權證書。在一個實例中,為了獲得設備使用選擇性啟動的特徵和包括特徵啟用金鑰的授權檔的許可權的證明,設備可以向本端授權伺服器發送特徵啟動請求(例如,用於啟動一或多個特徵的請求)。
本端授權伺服器可以從設備獲得802特徵啟動請求。本端授權伺服器可以決定804本端授權伺服器是否擁有針對該請求的回應所需的專案(例如,設備使用設備處的選擇性啟動的特徵的集合的許可權的證明,例如授權資訊和包括特徵啟用金鑰的授權檔)。若本端授權伺服器不擁有所需的項目,或者若本端授權伺服器擁有這些項目但這些項目不是有效的(例如,由於授權到期),則本端授權伺服器可以試圖從授權伺服器獲得806許可權的證明(例如,具有授權證書形式的授權資訊)和包括特徵啟用金鑰的授權檔。
在一個態樣中,本端授權伺服器可以經由向授權伺服器轉發特徵啟動請求來從授權伺服器獲得806許可權的證明(例如,具有授權證書形式的授權資訊)和包括特徵啟用金鑰的授權檔。若,例如,授權協定確認所請求的選擇性啟動的特徵是經授權的,則授權伺服器可以發送許可權的證明(例如,具有授權證書形式的授權資訊)和包括特徵啟用金鑰的授權檔。在特徵啟動請求被發送到授權伺服器的情況下,本端授權伺服器可以用作提供設備(例如,晶片組件、客戶端設備、網路節點)與授權伺服器之間的安全隧道的代理伺服器。在驗證(例如,設備與許可服務之間的及/或行動網路服務供應商與許可服務之間的)授權協定之後,授權伺服器可以向本端授權伺服器發送許可權的證明(例如,具有授權證書形式的授權資訊)和包括特徵啟用金鑰的授權檔。
若本端授權伺服器擁有許可權的證明(例如,具有授權證書形式的授權資訊)和授權檔,則本端授權伺服器可以決定808所請求的選擇性啟動的特徵的配額是否達到。若達到了所請求的選擇性啟動的特徵的配額,則本端授權伺服器可以向設備發送拒絕810用於啟動選擇性啟動的特徵的請求的回應。回應可以包括拒絕的原因。若沒有達到所請求的選擇性啟動的特徵的配額,則本端授權伺服器可以向設備發送812包括例如許可權的證明(例如,具有授權證書形式的授權資訊)和包括特徵啟用金鑰的授權檔的回應。
本端授權伺服器可以對授權協定、授權證書、授權檔、特徵啟用金鑰和可選軟體進行緩存以備未來使用。在一個態樣中,當本端授權伺服器代表授權伺服器發佈授權證書並向授權伺服器報告授權狀態時,可以應用緩存。 選擇性啟動的特徵的啟動
圖9是示出根據本文中描述的態樣的選擇性啟動的特徵的啟動的一個實例的流程圖900。設備(例如,晶片組件、客戶端設備、網路節點)或設備的授權功能單元可以獲得設備使用該設備處的選擇性啟動的特徵的集合的許可權的證明(例如,具有授權證書形式的授權資訊)902,其中許可權的證明是由授權伺服器簽署的,以及亦可以獲得包括特徵啟用金鑰的授權檔。在一個態樣中,許可權的證明和授權檔可以回應於特徵啟動請求(例如,用於啟動一或多個選擇性啟動的特徵的請求)而獲得。授權檔可以包括利用設備的公開金鑰加密的特徵啟用金鑰。授權功能單元可以確認904許可權的證明(例如,具有授權證書形式的授權資訊)。在一個態樣中,確認可以包括使用授權伺服器的確認功能和公開金鑰。若確認了許可權的證明(例如,具有授權證書形式的授權資訊),則設備可以使用設備的私密金鑰對包括特徵啟用金鑰的授權檔進行解密906。授權功能單元可以從經解密的授權檔取回特徵啟用金鑰。授權功能單元可以對授權檔所包括的授權參數進行評估908(例如,確認授權參數沒有到期,該授權參數例如設備使用選擇性啟動的特徵的許可權的到期日期)。授權功能單元隨後可以使用經解密的特徵啟用金鑰來啟動選擇性啟動的特徵的集合910。
任何啟動的選擇性啟動的特徵可以保持啟動直到去啟動事件發生。去啟動事件的一個實例可以是達到與啟動的選擇性啟動的特徵相關聯的授權參數中規定的到期時間。其他去啟動事件是可接受的。授權功能單元可以在設備的安全存放裝置處儲存912取回的特徵啟用金鑰。授權功能單元亦可以在設備的資料存放裝置處儲存912取回的授權參數。
在一個實例中,設備的授權功能單元可以能夠可靠地對授權檔進行解密,並確保安全性,這至少是因為授權伺服器可能已經使用設備的(公開金鑰/私密金鑰對的)公開金鑰對授權檔進行了加密,設備可能已經將私密金鑰儲存在設備的安全儲存電路中,並且私密金鑰可能僅是授權功能單元已知的。設備可以依賴授權功能單元來確保對選擇性啟動的特徵的啟動是合適的。另外,當設備從網路(例如,授權伺服器)接收授權證書時,設備應當能夠驗證授權證書是由授權伺服器發送的(例如,不是由冒充者發送的)正確授權證書。在一個實例中,為了促進設備驗證授權證書是由授權伺服器發送的正確授權證書的能力,授權伺服器可以向授權證書添加授權伺服器的(利用授權證書的私密金鑰推導出的)簽名。可以使用授權伺服器的公開金鑰在設備處驗證授權伺服器的簽名。類似地,當設備從網路(例如,授權伺服器)接收授權檔時,設備應當能夠驗證授權檔是由授權伺服器發送的(例如,不是由冒充者發送的)正確授權檔。在一個實例中,為了促進設備驗證授權檔是由授權伺服器發送的正確授權檔的能力,授權伺服器可以向授權檔添加授權伺服器的簽名(例如,利用授權證書的私密金鑰推導出的簽名)。可以使用授權伺服器的公開金鑰在設備處驗證授權伺服器的簽名。
設備可以監測所啟動的選擇性啟動的特徵的使用,以及可以向授權伺服器及/或本端授權伺服器發送914與選擇性啟動的特徵的使用相關的週期性報告(例如,報告啟動狀態)。授權伺服器及/或本端授權伺服器可以對來自發送此類報告的所有設備的與選擇性啟動的特徵的使用相關的報告進行聚合。關於選擇性啟動的特徵的使用狀態的報告在本文中可以被稱為狀態報告。週期性狀態報告可以用於例如實施對設備使用選擇性啟動的特徵的權利的限制。例如,授權伺服器(或本端授權伺服器)可以使用從狀態報告獲得的資料來驗證:超過最大數量的設備在或不在同時使用選擇性啟動的特徵。若超過最大數量的設備在同時使用選擇性啟動的特徵(例如,達到配額),則可以拒絕用於啟動選擇性啟動的特徵的新請求。可以推導和保持關於使用、許可費等的記錄。 編排程序
在一個態樣中,在設備(例如,晶片組件、客戶端設備、網路節點)處的特徵啟動成功時,授權伺服器可以向與設備相關聯的HSS/AAA伺服器發送資料,以便向HSS/AAA伺服器告知設備的經更新的特徵/經更新的能力。
HSS/AAA伺服器可以更新設備的訂制簡檔,以及可以在經更新的設備特徵由網路服務供應商(例如,MNO)驗證之後,向網路節點(例如,eNodeB、MME、P-GW等)發送資訊。在一些態樣中,可以是由網路服務供應商來基於設備的能力和授權狀態更新訂制簡檔。
一旦用於啟動一或多個特徵的請求被批准及/或特徵被啟動,更新設備的訂制簡檔就可以允許網路節點(例如,eNB、MME、S-GW、P-GW)確認設備使用特徵的授權,而不需要網路節點獲得另一種形式的證明。例如,更新訂制簡檔以允許網路節點基於訂制簡檔來確認設備使用特徵的授權,並且可以避免網路節點需要從設備獲得設備使用該設備處的選擇性啟動的特徵的集合的許可權的證明。
在一個態樣中,當設備是網路存取節點(例如,eNodeB)時,可以向設備發送與在網路存取節點處啟動的特徵/服務的特定集合的可用性有關的資訊。在一些實施方式中,可以經由空中廣播(例如,系統資訊區塊(SIB)類型1廣播)向設備(例如,晶片組件、客戶端設備)宣佈在網路存取節點處啟動的特徵/服務的特定集合。在一些實施方式中,設備可以使用協定來向網路存取節點查詢,並由此可以決定可以在網路存取節點處啟動的該特徵/服務的特定集合的可用性。此類查詢協定的一個實例可以是存取網路查詢協定(ANQP)。其他查詢協定是可接受的。在這些示例性方式中,設備可以變得知曉從網路存取節點可獲得的特徵/服務,以便設備可以決定設備在互認證之後是否想要使用這些特徵/服務。 特徵啟動的示例性撥叫流程圖
圖10是根據本文中描述的態樣的與設備1002的選擇性啟動的特徵的動態授權和啟動有關的撥叫流程圖1000。設備1002的特徵的動態授權和啟動在其中例如在設備1002處可能需要一或多個選擇性啟動的特徵來使用網路服務的系統中可以是有用的,並且網路服務及/或設備特徵可以經由許可來即時地單獨啟用。圖10圖示了設備1002(例如,晶片組件、客戶端設備、網路節點)、本端授權伺服器1004和授權伺服器1006之間的互動。在圖10的上下文中,去往和來自設備1002的撥叫流可以是去往和來自設備1002的授權功能單元的。
可以向授權伺服器1006供應1008來自廠商/OEM或另一個實體的設備確認資訊/完整性資訊。設備確認資訊/完整性資訊可以包括設備辨識符、設備證書/公開金鑰、軟體版本(例如,與位於設備1002上的授權功能單元相關聯的軟體的軟體版本)及/或設備能力。該清單是非限制的並且是非排他性的。設備能力可以包括設備1002處的選擇性啟動的特徵的列表。將理解的是:從廠商/OEM或另一個實體向授權伺服器發送設備確認資訊/完整性資訊可以是持續的程序。設備確認資訊/完整性資訊可以在任何合適的時刻添加、修改或從授權伺服器1006移除。
可以在兩個實體之間締結授權協定。授權協定(或其副本)可以供應給本端授權伺服器1004用於儲存1010並且可以供應給授權伺服器1006用於儲存1011。本發明所屬領域中具有通常知識者將領會:供應的順序可以是相反的。因此,授權協定可以儲存在本端授權伺服器1004和授權伺服器1006處的本機存放區裝置中。授權協定可以包括:要求對在本端授權伺服器處執行的軟體進行確認的規定。
設備1002(或設備1002的授權功能單元)可以向本端授權伺服器1004發送特徵啟動請求1012(例如,用於啟動一或多個特徵的請求)。特徵啟動請求可以包括針對基於證書的驗證的證書簽署請求。
設備1002和本端授權伺服器1004可以參與遠端鑒證1014。遠端鑒證可以由一個實體用來驗證另一個實體正在正確工作(例如,基於已知的正確狀態)。在一個態樣中,本端授權伺服器1004可以確認在設備處執行的軟體(例如,經由驗證在向應用伺服器供應的設備確認資訊/完整性資訊中標識的軟體與設備處執行的軟體相匹配)。遠端鑒證1014的結果可以用於向授權伺服器1006確保攻擊者尚未危害設備1002,並且設備1002正在執行軟體由廠商/OEM描述/標識的軟體。若遠端鑒證不成功,則可以忽略特徵啟動請求。
若遠端鑒證成功,則基於授權協定(例如,供應給本端授權伺服器用於儲存1010的授權協定), 則本端授權伺服器1004可以決定是否為設備向授權伺服器1006請求特徵啟動(例如,發送特徵啟動請求1016),或者根據其自己的許可權為設備授權特徵啟動(例如,發送授權協定/授權證書/包括特徵啟用金鑰的授權檔1022)。例如,當本端授權伺服器1004已經基於授權協定提前從授權伺服器1006獲得一或多個授權金鑰(例如,特徵啟用金鑰)時,後一種場景可能發生。
若本端授權伺服器1004決定為設備向授權伺服器1006請求特徵啟動,則本端授權伺服器1004可以向授權伺服器1006發送(例如,轉發)特徵啟動請求1016,在這種情況下,本端授權伺服器1004可以是提供設備1002與授權伺服器1006之間的安全隧道的代理/伺服器。特徵啟動請求可以包括設備資訊(例如,設備辨識符、設備證書/公開金鑰、軟體版本)和遠端鑒證結果。若從設備向本端授權伺服器發送的特徵啟動請求包括證書簽署請求,則向授權伺服器1006發送的特徵啟動請求1016亦可以包括證書簽署請求。
在一個態樣中,本端授權伺服器1004和授權伺服器1006可以參與遠端鑒證1018。例如,本端授權伺服器1004可以向授權伺服器1006發送本端授權伺服器1004正在執行正確軟體的證明。以這種方式,授權伺服器1006可以能夠信任由本端授權伺服器1004向授權伺服器1006提供的關於設備1002的資訊。根據此類態樣,授權伺服器1006可以接受在設備1002與本端授權伺服器1004之間執行的遠端鑒證的結果。可選地或備選地,授權伺服器1006和設備1002可以參與遠端鑒證1019。
一旦授權伺服器1006接受(利用本端授權伺服器1004和設備1002中的任何一個或該二者的)遠端鑒證的結果(例如,驗證成功),並且授權伺服器1006決定特徵啟動請求符合授權協定的條款,授權伺服器1006就可以向本端授權伺服器發送1020用於啟動選擇性啟動的特徵的授權的證明(例如,授權資訊)和包括特徵啟用金鑰的授權檔。在一個態樣中,授權伺服器1006可以驗證設備1002與網路服務供應商(例如,MNO)(或協力廠商)的授權協定。由授權伺服器1006發送的授權的證明(例如,授權資訊)可以包括授權協定及/或授權證書。
本端授權伺服器1004可以向設備1002發送授權協定/授權證書/包括特徵啟用金鑰1022的授權檔。在第一實例中,本端授權伺服器1004可以決定為設備向授權伺服器1006請求特徵啟動。回應於該請求,本端授權伺服器1004可以從授權伺服器1006獲得用於啟動選擇性啟動的特徵的授權的證明(例如,授權資訊)和包括特徵啟用金鑰的授權檔。因此,在第一實例的情況下,本端授權伺服器可以向設備1002發送授權協定/授權證書/包括特徵啟用金鑰1022的授權檔。在第二實例中,本端授權伺服器1004可以根據其自己的許可權決定為設備1002授權特徵啟動(例如,在本端授權伺服器1004基於授權協定提前從授權伺服器1006獲得了一或多個特徵啟用金鑰的情況下)。因此,在第二實例的情況下,本端授權伺服器可以向設備1002發送授權協定/授權證書/包括特徵啟用金鑰1022的授權檔。通常,本端授權伺服器1004可以向設備1002發送用於啟動特徵的授權的證明(例如,授權資訊)和授權檔(包括特徵啟用金鑰和軟體,若必要的話)。用於啟動特徵的授權的證明(例如,授權資訊)可以具有授權協定及/或授權證書的形式。另外,本端授權伺服器1004可以儲存(例如,緩存)授權協定及/或授權證書和包括特徵啟用金鑰(和軟體,若必要的話)的授權檔以備將來使用。
一旦設備1002接收了用於啟動選擇性啟動的特徵的授權的證明(例如,授權資訊)和包括特徵啟用金鑰的授權檔(例如,回應於特徵啟動請求),設備1002(及/或設備的授權功能單元)就可以確認授權的證明(例如,授權資訊)以便決定設備1002(及/或設備的授權功能單元)是否被授權啟動和使用所請求的特徵。若設備(及/或設備的授權功能單元)決定了設備被授權啟動和使用所請求的特徵,則設備(及/或設備的授權功能單元)可以取回所請求的特徵的特徵啟用金鑰並啟動和使用所請求的特徵1024。在一些實施方式中,所請求的特徵可以保持啟動直至授權證書中規定的到期時間。
設備1002可以向本端授權伺服器1004發送關於所啟動的特徵的使用的週期性報告1026。本端授權伺服器1004可以對從複數個設備接收的報告進行聚合,以及可以向授權伺服器1006發送關於所啟動的特徵的使用的週期性報告1028。本發明所屬領域中具有通常知識者將理解:各種系統可以使用各種類型的使用報告格式。本文中描述的態樣不局限於任何一種使用報告格式。
週期性報告可以經由在所啟動的特徵的總數量滿足相關授權協定的條款的情況下允許操作者啟動複數個晶片組件/客戶端設備/網路節點處的選擇性啟動的特徵來給予本端授權管理一些靈活性。例如,週期性報告可以允許操作者同時啟動最大可允許數量的特徵。 示例性設備
圖11是示出根據本文中描述的態樣的適用於支援選擇性啟動的特徵的動態授權和啟動以促進示例性設備1100上的網路服務的使用的示例性設備1100(例如,晶片組件、客戶端設備、網路節點)的方塊圖。在一個實例中,示例性設備1100可以包括網路通訊電路1102、處理電路1104和記憶體電路/存放裝置(在本文中被稱為記憶體電路1106)。網路通訊電路1102、處理電路1104和記憶體電路1106可以耦合到通訊匯流排1108用於資料和指令的交換。
網路通訊電路1102可以包括用於與使用者的輸入/輸出操作的第一輸入/輸出電路/功能單元/模組1110。網路通訊電路1102可以包括用於無線通訊的第二輸入/輸出電路/功能單元/模組1111(例如,接收器/發射器模組/電路/功能單元)。如本發明所屬領域中具有通常知識者已知的,網路通訊電路1102可以包括其他電路/功能單元/模組。前述信息是示例性和非限制性的。
處理電路1104可以適用於包括或實現適用於支援選擇性啟動的特徵的動態授權和啟動以促進示例性設備1100上的網路服務的使用的一或多個處理器、特定於應用的處理器、硬體及/或軟體模組等。處理電路1104可以適用於包括授權電路/功能單元/模組1112、授權證書驗證電路/功能單元/模組1114、授權參數評估電路/功能單元/模組1116和特徵啟用金鑰提取電路/功能單元/模組1118。如本發明所屬領域中具有通常知識者已知的,處理電路1104可以包括其他電路/功能單元/模組。前述信息是示例性和非限制性的。
記憶體電路1106可以適用於包括授權指令1120、授權證書驗證指令1122、授權參數評估指令1124和特徵啟用金鑰提取指令1126。記憶體電路1106的單獨區域可以適用於安全儲存。因此,記憶體電路1106亦可以包括安全儲存電路1128。安全儲存電路1128可以包括私密金鑰儲存裝置1130。私密金鑰儲存裝置1130可以儲存公開金鑰/私密金鑰對的私密金鑰,其中授權伺服器或本端授權伺服器使用公開金鑰/私密金鑰對的公開金鑰來加密授權證書。安全儲存電路1128亦可以包括特徵啟用金鑰儲存裝置1132。記憶體電路1106亦可以儲存選擇性啟動的特徵1134的列表以及設備的選擇性啟動的特徵之每一者特徵的授權參數1136的列表。如本發明所屬領域中具有通常知識者已知的,處理電路1106可以包括用於資料儲存的其他指令和位置。前述信息是示例性和非限制性的。 在設備處可操作的示例性方法
圖12是根據本文中描述的態樣的在設備(例如,晶片組件、客戶端設備、網路節點)處可操作的示例性方法1200的流程圖。可選地,設備可以獲得用於指示從網路存取節點(例如,eNB)可獲得網路服務的資訊1202。設備可以辨識為了使用網路服務在設備處所需的一或多個選擇性啟動的特徵1204。在一些態樣中,辨識為了使用網路服務在設備處所需的一或多個選擇性啟動的特徵可以包括:從設備的記憶體電路獲得為了使用網路服務所需的特徵的清單。在其他態樣中,辨識為了使用網路服務在設備處所需的一或多個選擇性啟動的特徵可以包括:從網路節點獲得為了使用網路服務所需的特徵的清單。
設備可以獲得與設備已經被授權啟動的選擇性啟動的特徵相關聯的授權資訊和一或多個特徵啟用金鑰1206。在一些實施方式中,獲得授權資訊和一或多個特徵啟用金鑰可以包括:發送用於對一或多個特徵的啟動進行授權的請求;回應於該用於對一或多個特徵的啟動進行授權的請求,獲得授權資訊和一或多個特徵啟用金鑰;及儲存授權資訊和特徵啟用金鑰。
可選地,設備可以儲存所獲得的授權資訊和特徵啟用金鑰1208。設備可以決定設備已經被授權啟動的特徵與為了使用網路服務在設備上所需的一或多個選擇性啟動的特徵之間是否存在匹配。
設備可以使用一或多個特徵啟用金鑰來啟動及/或保持啟動與為了使用網路服務所需的一或多個選擇性啟動的特徵相匹配的、設備已經被授權啟動的選擇性啟動的特徵1210。可選地,若不存在匹配,則設備可以決定是否發送針對用於啟動為了使用網路服務所需的選擇性啟動的特徵的授權的特徵授權請求1212。隨後,設備可以發送特徵啟動請求1214或等待獲得用於指示從網路存取節點可獲得網路服務的資訊,這取決於決定的結果。
在一些態樣中,選擇性啟動的特徵可以是硬體特徵及/或軟體特徵。授權資訊可以由設備向另一個設備及/或節點發送,作為設備被授權啟動在授權資訊中標識的特徵的證明。
在一些態樣中,獲得授權資訊和一或多個特徵啟用金鑰可以包括:發送特徵啟動請求;回應於該特徵啟動請求獲得授權資訊和特徵啟用金鑰;及儲存授權資訊和特徵啟用金鑰。儲存授權資訊和特徵啟用金鑰可以是可選的。
在一些態樣中,針對設備已經被授權啟動的特徵之每一者特徵,授權資訊可以包括授權將到期時的日期。授權資訊可以作為表示授權證書的資料來獲得。授權證書可以由儲存授權證書所基於的授權協定的授權伺服器簽署(例如,授權證書可以是從授權協定推導出的,或以其他方式基於授權協定建立的)。在一個態樣中,授權伺服器可以不同於授權、認證和計費(AAA)伺服器。在一個態樣中,辨識為了使用網路服務在設備上所需的一或多個選擇性啟動的特徵可以包括:從網路存取節點獲得為了使用網路服務所需的特徵的清單。在另一個態樣中,辨識為了使用網路服務在設備上所需的一或多個選擇性啟動的特徵可以包括:從設備的記憶體電路/功能單元/模組獲得為了使用網路服務所需的特徵的清單。
在一些態樣中,可以由設備的授權功能單元來執行以下操作:辨識為了使用網路服務在設備處所需的一或多個選擇性啟動的特徵1204;獲得與設備已經被授權啟動的特徵相關聯的授權資訊和一或多個特徵啟用金鑰1206;及使用一或多個特徵啟用金鑰來啟動及/或保持啟動與為了使用網路服務所需的一或多個選擇性啟動的特徵相匹配的、設備已經被授權啟動的特徵1210。授權功能單元可以是授權協定(例如,協定、契約、許可)的實施點。例如,授權協定可以在設備的製造商/原始設備製造商(OEM)或其組件與許可服務之間。
在一些態樣中,該方法可以包括:儲存與設備已經被授權啟動的特徵相關的授權資訊和特徵啟用金鑰,其中與特徵相關的授權資訊包括用於啟動特徵的授權將到期時的日期。在一些態樣中,為了使用網路服務所需的特徵中的至少一個特徵是在使用時可獲許可的,並且當在設備處獲得對最新許可的驗證時被啟動。
圖13是根據本文中描述的態樣的在設備(例如,晶片組件、客戶端設備、網路節點)處可操作的另一種示例性方法1300的流程圖。可選地,設備可以獲得,或者獲得並儲存用於啟動及/或保持啟動設備已經被授權啟動的一或多個選擇性啟動的特徵的授權資訊和一或多個特徵啟用金鑰1302。一或多個選擇性啟動的特徵可以或可以不在任何給定時刻被啟動。
設備可以獲得標識從網路存取節點(例如,eNodeB)可獲得的網路服務的空中廣播1304。在一個態樣中,可以在未經認證的訊息中獲得(例如,接收)空中廣播。在一個態樣中,當獲得(例如,接收)空中廣播時,設備可能沒有附著到網路存取節點。換句話說,從其獲得(例如,接收)空中廣播的網路存取節點可以是未經認證的,並且沒有附著到設備。
在一些態樣中,用於指示從網路存取節點可獲得的網路服務的空中廣播可以回應於從辨識了為了使用網路服務在設備上所需的一或多個選擇性啟動的特徵及/或辨識了網路服務的設備發送的查詢。
設備可以辨識為了使用網路服務設備所需的一或多個選擇性啟動的特徵1306。辨識一或多個選擇性啟動的特徵可以與設備是否已經擁有用於啟動任何選擇性啟動的特徵的授權無關。
接下來,設備可以辨識設備已經被授權啟動的特徵1308。設備可以決定所辨識的為了使用網路服務設備所需的一或多個選擇性啟動的特徵與設備已經被授權啟動的特徵之間是否存在匹配1310。若存在匹配,則設備可以使用設備已經被授權啟動的特徵的特徵啟用金鑰。設備可以使用這些特徵啟用金鑰來啟動及/或保持啟動與所辨識的為了使用網路服務設備所需的一或多個選擇性啟動的特徵相匹配的那些特徵1312。
可選地,設備可以從所辨識的為了使用網路服務設備所需的一或多個選擇性啟動的特徵中辨識設備尚未被授權啟動的特徵。設備可以發送針對設備尚未被授權啟動的特徵的授權資訊和特徵啟用金鑰的請求,以及使用回應於用於啟動設備尚未被授權啟動的特徵的請求而獲得的特徵啟用金鑰1314。
可選地,設備可以儲存授權資訊和特徵啟用金鑰1316。
同時,與設備對接的網路存取節點或網路節點亦可能需要啟動一或多個選擇性啟動的特徵的對應物,以便促進設備對選擇性啟動的特徵的使用。
在上述態樣中,獲得和使用授權資訊和特徵啟用金鑰可以由設備的授權功能單元執行。授權功能單元可以是授權協定(例如,協定、契約、許可)的實施點。協定可以在設備的製造商/原始設備製造商(OEM)或其組件與許可服務之間。協定可以儲存在授權伺服器上。授權伺服器可以與授權、認證和計費(AAA)伺服器相同或不同。 示例性授權伺服器
圖14是示出根據本文中描述的態樣的適用於支援特徵的動態授權和啟動以促進設備(例如,晶片組件、客戶端設備、網路節點)上的網路服務的使用的示例性授權伺服器1400的方塊圖。在一個實例中,示例性授權伺服器1400可以包括網路通訊電路1402、處理電路1404和記憶體電路/存放裝置(在本文中被稱為記憶體電路1406)。網路通訊電路1402、處理電路1404和記憶體電路1406可以耦合到通訊匯流排1408用於資料和指令的交換。
網路通訊電路1402可以適用於包括用於與網路節點(例如,P-GW、本端授權伺服器及/或網路存取節點)通訊的輸入/輸出模組/電路/功能單元1410。如本發明所屬領域中具有通常知識者已知的,其他電路/功能單元/模組可以包括在示例性授權伺服器1400的網路通訊電路1402中。前述信息是示例性和非限制性的。
處理電路1404可以適用於包括或實現適用於支援特徵的動態授權和啟動以促進設備上的網路服務的使用的一或多個處理器、特定於應用的處理器、硬體及/或軟體模組等。處理電路1404可以包括授權協定管理電路/功能單元/模組1412,其可以管理儲存在示例性授權伺服器1400中的授權協定的收集、維護和組織。處理電路1404可以包括特徵啟用金鑰推導電路/功能單元/模組1414,其可以用於推導可以用於啟動設備(例如,晶片組件、客戶端設備、網路節點)的特徵的特徵啟用金鑰。處理電路1404可以包括授權參數推導電路/功能單元/模組1416,其可以用於推導可以連同特徵啟用金鑰一起傳遞到設備的授權參數(例如,經授權的特徵的到期日期)。處理電路1404可以包括授權證書推導電路/功能單元/模組1418,其可以基於授權協定來推導授權證書,以及可以利用設備的公開金鑰來對授權證書進行加密。如本發明所屬領域中具有通常知識者已知的,示例性授權伺服器1400的處理電路1404中可以包括其他電路/功能單元/模組可以。前述信息是示例性和非限制性的。
記憶體電路1406可以適用於包括:授權協定管理指令1420、特徵啟用金鑰推導指令1422、授權參數推導指令1424、授權證書推導指令1426,以及用於特徵啟用金鑰儲存裝置1430、授權參數儲存裝置1432、公開金鑰儲存裝置1434和授權憑證存放區裝置1436的空間。如本發明所屬領域中具有通常知識者已知的,處理電路1406可以包括用於資料儲存的其他指令和位置。前述信息是示例性和非限制性的。 示例性本端授權伺服器
圖15是示出根據本文中描述的態樣的適用於支援特徵的動態授權和啟動以促進設備(例如,晶片組件、客戶端設備、網路節點)上的網路服務的使用的示例性本端授權伺服器1500的方塊圖。示例性本端授權伺服器1500可以是授權伺服器(例如,1400,圖14)的代理。在一個實例中,示例性本端授權伺服器1500可以包括網路通訊電路1502、處理電路1504和記憶體電路/存放裝置(在本文中被稱為記憶體電路1506)。網路通訊電路1502、處理電路1504和記憶體電路1506可以耦合到通訊匯流排1508用於資料和指令的交換。
網路通訊電路1502可以適用於包括用於與網路節點(例如,授權伺服器及/或網路存取節點)通訊的輸入/輸出模組/電路/功能單元1510。如本發明所屬領域中具有通常知識者已知的,示例性本端授權伺服器1500的網路通訊電路1502可以包括其他電路/功能單元/模組。前述信息是示例性和非限制性的。
處理電路1504可以適用於包括或實現適用於支援特徵的動態授權和啟動以促進設備上的網路服務的使用的一或多個處理器、特定於應用的處理器、硬體及/或軟體模組等。處理電路1504可以包括授權協定管理電路/功能單元/模組1512,其可以管理儲存在示例性本端授權伺服器1500中的授權協定的收集、維護和組織。處理電路1504可以包括特徵啟用金鑰推導電路/功能單元/模組1514,其可以用於推導可以用於啟動設備的特徵的特徵啟用金鑰。處理電路1504可以包括授權參數推導電路/功能單元/模組1516,其可以用於推導可以連同特徵啟用金鑰一起傳遞到設備的授權參數(例如,經授權的特徵的到期日期)。處理電路1504可以包括授權證書推導電路/功能單元/模組1518,其可以基於例如授權協定中的資料來推導授權證書,以及利用設備的公開金鑰來對授權證書進行加密。處理電路1504可以包括特徵使用報告電路/功能單元/模組1538,其可以從耦合到示例性本端授權伺服器1500的設備收集特徵使用資料。如本發明所屬領域中具有通常知識者已知的,示例性本端授權伺服器1500的處理電路1504可以包括其他電路/功能單元/模組。前述信息是示例性和非限制性的。
記憶體電路1506可以適用於包括:授權協定管理指令1520、特徵啟用金鑰推導指令1522、授權參數推導指令1524、授權證書推導指令1526,以及用於特徵啟用金鑰儲存裝置1530、授權參數儲存裝置1532、授權憑證存放區裝置1534和公開金鑰儲存裝置1536的空間。記憶體電路1506亦可以適用於包括特徵使用報告指令1540。如本發明所屬領域中具有通常知識者已知的,記憶體電路1506可以包括用於資料儲存的其他指令和位置。前述信息是示例性和非限制性的。 在伺服器(例如,授權伺服器或本端授權伺服器)處可操作的示例性方法
圖16是根據本文中描述的態樣的在授權伺服器處可操作的示例性方法1600的流程圖。授權伺服器可以獲得用於啟動設備的一或多個選擇性啟動的特徵的請求(例如,特徵啟動請求)1602。設備的一或多個選擇性啟動的特徵可以包括在設備的複數個選擇性啟動的特徵中。授權伺服器可以驗證一或多個選擇性啟動的特徵被授權在設備處使用1604。驗證可以基於從授權協定獲得的資料。授權協定可以儲存在授權伺服器處。
在一些態樣中,授權伺服器可以回應於用於啟動一或多個選擇性啟動的特徵的請求,發送設備被授權使用一或多個選擇性啟動的特徵的證明(例如,授權資訊)和一或多個特徵啟用金鑰1606。例如,證明(例如,授權資訊)可以具有授權協定及/或授權證書的形式。
在一些態樣中,授權伺服器可以向設備的網路的歸屬用戶伺服器(HSS)發送設備的經更新的能力資訊1608。在一些實施方式中,授權伺服器可以來向網路服務供應商(例如,MNO)發送用於建議網路服務供應商經由添加一或多個特徵作為設備的能力來更新設備的網路的HSS的通知。授權伺服器可以與HSS不同及/或可以與授權、認證和計費(AAA)伺服器不同。
該方法亦可以包括:評估設備的完整性資訊;及若完整性資訊是可接受的,則可以發送設備被授權使用一或多個選擇性啟動的特徵的證明和一或多個特徵啟用金鑰。在一個態樣中,完整性資訊可以由授權伺服器獲得。在其他態樣中,完整性資訊可以由第一伺服器獲得並提供給授權伺服器,其中授權伺服器和第一伺服器是不同的伺服器,並且不是AAA伺服器。在此類態樣中,第一伺服器可以是授權伺服器的代理。例如,第一伺服器可以是本端授權伺服器。設備的完整性資訊可以是由設備提供的設備正在執行合法軟體(亦即,設備正在執行可以由授權伺服器驗證的經授權的軟體,例如,與特徵啟動/授權相關的軟體)的證明。這可以由授權伺服器執行的遠端鑒證來完成,例如,參見圖10中的遠端鑒證1019。
在一些態樣中,該方法亦可以包括:從接收來自授權伺服器的特徵啟動授權的設備接收週期性特徵啟動和使用狀態資料;並且亦可以包括:基於儲存在授權伺服器中的授權協定的條款經由控制特徵啟動授權來實施授權協定。
圖17是根據本文中描述的態樣的在本端授權伺服器處可操作的示例性方法1700的流程圖。本端授權伺服器可以獲得用於啟動設備的一或多個選擇性啟動的特徵的請求1702。本端授權伺服器可以獲得設備的完整性資訊1704。本端授權伺服器可以向授權伺服器發送用於啟動一或多個選擇性啟動的特徵的請求和完整性資訊1706。
在一些態樣中,授權伺服器不同於本端授權伺服器,並且這二者不同於設備的授權、認證和計費(AAA)伺服器。
在本端授權伺服器處可操作的方法可以可選地並且額外地包括:接收對用於啟動設備的一或多個特徵的請求的回應1708。接收回應可以包括:獲得用於指示設備被授權啟動一或多個選擇性啟動的特徵的授權資訊,其中授權資訊包括分別與一或多個選擇性啟動的特徵相對應的一或多個特徵啟用金鑰。
本端授權伺服器隨後可以基於回應來決定設備是否被授權啟動一或多個選擇性啟動的特徵1710。該方法亦可以包括:若設備被授權啟動特徵,則向設備發送授權資訊和一或多個特徵啟用金鑰1712。然而,若回應指示設備沒有被授權啟動一或多個選擇性啟動的特徵,則方法可以等待1714,例如,直到本端授權伺服器接收到用於啟動該設備或另一個設備的一或多個特徵的新的請求(例如,返回1702)。
可以將本文中描述的並且在附圖中示出的組件、動作、特徵及/或功能單元中的一或多個重新佈置及/或組合成單個組件、動作、特徵或功能單元,或者體現在若干個組件、動作、特徵或功能單元中。在不脫離本案內容的前提下,亦可以添加額外的元素、組件、動作及/或功能單元。本文中描述的演算法亦可以在軟體中有效地實現及/或嵌入硬體中。
在本說明書中,為了不以不必要的細節使本案內容模糊,可以方塊圖的形式示出元件、電路、功能單元和模組。相反,所示出和描述的具體實施方式僅是示例性的,並且除非在本文中另有規定,否則不應當被解釋為用於實現本案內容的唯一方式。另外,方塊定義和各個方塊之間的邏輯的劃分是具體實施方式的實例。對本發明所屬領域中具有通常知識者來說顯而易見的是:可以經由多種其他劃分技術方案來實踐本案內容。在大多數情況下,已經省略了關於定時考慮和類似物的細節,其中這些細節對於獲得對本案內容的完整理解來說不是必要的,並且在相關領域具有通常知識者的能力範疇之內。
另外,需要注意的是,實施例可能被描述為被圖示為流程圖、流程圖表、結構圖或方塊圖的程序。儘管流程圖可以將操作描述為順序程序,但是很多操作可以被並行或同時執行。另外,可以重新排列這些操作的順序。當程序的操作被完成時,程序亦就終止了。程序可以對應於方法、函數、程式、子常式、副程式等。當程序對應於函數時,其終止對應於對調用函數或主函數的函數的返回。
本發明所屬領域中具有通常知識者應當理解:資訊和信號可以使用各種不同的技術和方法中的任意一種來表示。例如,在貫穿本說明書中可能提及的資料、指令、命令、資訊、信號、位元、符號和碼片可以用電壓、電流、電磁波、磁場或粒子、光場或粒子或其任意組合來表示。為了呈現和描述的清晰起見,一些附圖可能將信號示為單個信號。本發明所屬領域中具有通常知識者將理解的是:信號可以表示信號的匯流排,其中匯流排可以具有各種位元寬,並且本案內容可以在任意數量的資料信號(包括單個資料信號)上實現。
應當理解的是,使用諸如「第一」、「第二」等的標號對本文中的元素的任何引用並不限制那些元素的數量或順序,除非明確聲明瞭此類限制。更確切地說,本文可以使用這些標號作為一種區分元素的兩個或兩個以上元素或實例之間的便利方法。因此,提及第一和第二元素並不意味著那裡只可以採用兩個元素或第一元素必須以某種方式先於第二元素。另外,除非另有聲明,否則元素的集合可以包括一或多個元素。此外,應當理解的是,以單數形式使用的詞語包括複數形式,並且以複數形式使用的詞語包括單數形式。
此外,儲存媒體可以表示用於儲存資料的一或多個設備,其包括:唯讀記憶體(ROM)、隨機存取記憶體(RAM)、磁碟儲存媒體、光學儲存媒體、快閃記憶體設備及/或用於儲存資訊的其他機器可讀取媒體、處理器可讀取媒體、處理電路可讀取媒體及/或電腦可讀取媒體。術語「機器可讀取媒體」、「處理器可讀取媒體」、「處理電路可讀取媒體」及/或「電腦可讀取媒體」可以包括但不限於諸如可攜式或固定存放裝置、光存放裝置之類的非暫時性媒體,以及能夠儲存、包含或承載指令及/或資料的各種其他媒體。因此,本文中描述的各種方法可以由儲存在機器可讀取媒體、處理器可讀取媒體、處理電路可讀取媒體及/或電腦可讀取媒體中,並由一或多個處理電路、機器及/或設備執行的指令及/或資料完全或部分實現。
另外,實施例可以由硬體、軟體、韌體、仲介軟體、微代碼或它們的任意組合來實現。當用軟體、韌體、仲介軟體或微代碼實現時,用於執行必要任務的程式碼或程式碼片段可以儲存在諸如儲存媒體或其他儲存裝置的機器可讀取媒體中。處理電路可以執行必要的任務。程式碼片段可以表示程序、規程、功能、副程式、程式、常式、子常式、模組、套裝軟體、軟體組件、或者指令、資料結構或程式語句的任意組合。程式碼片段可以經由傳遞、轉發或發送資訊、資料、引數(argument)、參數或記憶體內容來耦合到另一個程式碼片段或硬體電路。資訊、資料、引數、參數或記憶體內容可以經由包括記憶體共享、訊息傳遞、符記傳遞、網路傳輸等的任何合適的手段來傳遞、轉發或發送。
利用被設計為執行本文所述功能的通用處理器、數位訊號處理器(DSP)、特殊應用積體電路(ASIC)、現場可程式設計閘陣列(FPGA)或其他可程式設計邏輯組件、個別閘門或者電晶體邏輯裝置、個別硬體組件或者其任意組合,可以實現或執行結合本文揭示的實例所描述的各個說明性的邏輯方塊、元素、電路、模組、功能單元及/或組件。通用處理器可以是微處理器,但是,在替代方案中,通用處理器可以是任何習知的處理器、控制器、微控制器或者狀態機。處理器亦可以實現為計算組件的組合,例如,DSP和微處理器的組合、多個微處理器、一或多個微處理器與DSP核心的結合、或者任何其他這種配置。被配置用於執行本文中描述的實施例的通用處理器被視為用於執行這些實施例的專用處理器。類似地,當被配置用於執行本文中描述的實施例時,通用電腦被視為專用電腦。
結合本文中揭示的實例描述的方法或演算法可以直接體現為處理單元、程式指令或其他指令的形式的硬體、處理器可執行的軟體模組或這二者的組合,並且可以包含在單個設備中或跨越多個設備分佈。軟體模組可以位於RAM記憶體、快閃記憶體、ROM記憶體、EPROM記憶體、EEPROM記憶體、暫存器、硬碟、可移除磁碟、CD-ROM、或本發明所屬領域中具有通常知識者已知的任何其他形式的儲存媒體中。可以將儲存媒體耦合到處理器以使得處理器可以從該儲存媒體讀取資訊,並且向該儲存媒體寫入資訊。可替換地,儲存媒體可以是處理器的組成部分。
本發明所屬領域中具有通常知識者亦應當領會,結合本文揭示的實施例而描述的各個說明性的邏輯方塊、電路、功能單元、模組和演算法均可以實現成電子硬體、電腦軟體或這二者的組合。為了清楚地表示硬體和軟體之間的這種可交換性,上文對各個說明性元件、組件、方塊、電路、功能單元、模組和演算法均圍繞其功能進行了整體描述。至於這種功能是實現為硬體、軟體還是它們的組合,取決於具體應用和對整個系統所施加的設計選擇。
在不脫離揭示內容的前提下,本文中描述的揭示內容的各個特徵可以在不同的系統中實現。應當注意的是,上述實施例僅僅是實例,而不應當被解釋為限制本案內容。對這些實施例的描述意欲是說明性的,而不是限制請求項的範疇。因此,本發明的教導可以容易地應用於其他類型的裝置,並且許多替換、修改以及變型對本發明所屬領域中具有通常知識者來說將是顯而易見的。
100‧‧‧系統
102‧‧‧設備A
104‧‧‧設備B
106‧‧‧設備C
108‧‧‧授權電路/功能單元/模組
110‧‧‧選擇性啟動的特徵的第一集合
112‧‧‧授權電路/功能單元/模組
114‧‧‧選擇性啟動的特徵的第二集合
116‧‧‧授權電路/功能單元/模組
118‧‧‧選擇性啟動的特徵的第三集合
120‧‧‧授權協定
122‧‧‧授權證書
124‧‧‧授權檔
126‧‧‧授權伺服器
128‧‧‧本端授權伺服器
200‧‧‧操作環境
202‧‧‧第一設備
203‧‧‧第一授權功能單元
204‧‧‧第二設備
205‧‧‧第二授權功能單元
206‧‧‧第三設備
207‧‧‧第三授權功能單元
210‧‧‧無線電存取網路(RAN)
212‧‧‧核心網路
214‧‧‧行動性管理實體(MME)
216‧‧‧歸屬用戶伺服器/授權、認證和計費伺服器(HSS/AAA)
218‧‧‧服務閘道設備(S-GW)
220‧‧‧封包資料網路閘道設備(P-GW)
222‧‧‧本端授權伺服器
228‧‧‧應用伺服器
230‧‧‧應用伺服器
232‧‧‧封包資料網路
234‧‧‧授權伺服器
300‧‧‧系統
302‧‧‧設備
304‧‧‧授權功能單元
305‧‧‧安全操作環境
306‧‧‧本端授權伺服器
308‧‧‧授權伺服器
310‧‧‧安全儲存電路
312‧‧‧資料存放裝置
314‧‧‧處理電路
316‧‧‧私密金鑰
318‧‧‧特徵啟用金鑰
320‧‧‧選擇性啟動的特徵
322‧‧‧特徵和授權參數的清單
323‧‧‧授權證書
324‧‧‧授權檔
325‧‧‧通訊匯流排
326‧‧‧網路通訊電路
328‧‧‧資料存放裝置
330‧‧‧授權協定
332‧‧‧金鑰儲存裝置
334‧‧‧特徵啟用金鑰
336‧‧‧授權參數
338‧‧‧通訊匯流排
340‧‧‧處理電路
342‧‧‧網路通訊電路
400‧‧‧清單
402‧‧‧協定的日期
404‧‧‧設備的所有者的辨識符
406‧‧‧設備的製造商或OEM的辨識符
408‧‧‧設備的辨識符
410‧‧‧經授權特徵的清單
412‧‧‧授權協定的持續時間
414‧‧‧特徵使用的限制
416‧‧‧特徵使用的費用
500‧‧‧清單
502‧‧‧協定的開始日期
504‧‧‧協定的結束日期
506‧‧‧設備的辨識符
508‧‧‧經授權特徵的清單
510‧‧‧特徵使用的限制
512‧‧‧設備的公開金鑰的辨識符
514‧‧‧設備的製造商或OEM的辨識符
516‧‧‧特徵使用的費用
600‧‧‧列表
602‧‧‧授權協定的開始日期
604‧‧‧授權協定的結束日期
606‧‧‧設備的辨識
608‧‧‧經授權服務的清單
610‧‧‧經授權特徵的清單
612‧‧‧設備的製造商或OEM的辨識符
614‧‧‧特徵使用的費用
702‧‧‧元件符號
704‧‧‧元件符號
706‧‧‧元件符號
708‧‧‧元件符號
710‧‧‧元件符號
712‧‧‧元件符號
714‧‧‧元件符號
800‧‧‧流程圖
802‧‧‧方塊
804‧‧‧方塊
806‧‧‧方塊
808‧‧‧方塊
810‧‧‧方塊
812‧‧‧方塊
900‧‧‧流程圖
902‧‧‧方塊
904‧‧‧方塊
906‧‧‧方塊
908‧‧‧方塊
910‧‧‧方塊
912‧‧‧方塊
914‧‧‧方塊
1000‧‧‧撥叫流程圖
1002‧‧‧設備
1004‧‧‧本端授權伺服器
1006‧‧‧授權伺服器
1008‧‧‧流程
1010‧‧‧流程
1012‧‧‧流程
1014‧‧‧流程
1016‧‧‧流程
1018‧‧‧流程
1020‧‧‧流程
1022‧‧‧流程
1024‧‧‧流程
1026‧‧‧流程
1028‧‧‧流程
1100‧‧‧設備
1102‧‧‧網路通訊電路
1104‧‧‧處理電路
1106‧‧‧記憶體電路
1108‧‧‧通訊匯流排
1110‧‧‧第一輸入/輸出電路/功能單元/模組
1111‧‧‧第二輸入/輸出電路/功能單元/模組
1112‧‧‧授權電路/功能單元/模組
1114‧‧‧授權證書驗證電路/功能單元/模組
1116‧‧‧授權參數評估電路/功能單元/模組
1118‧‧‧特徵啟用金鑰提取電路/功能單元/模組
1120‧‧‧授權指令
1122‧‧‧授權證書驗證指令
1124‧‧‧授權參數評估指令
1126‧‧‧特徵啟用金鑰提取指令
1128‧‧‧安全儲存電路
1130‧‧‧私密金鑰儲存裝置
1132‧‧‧特徵啟用金鑰儲存裝置
1134‧‧‧選擇性啟動的特徵
1136‧‧‧授權參數
1200‧‧‧方法
1202‧‧‧方塊
1204‧‧‧方塊
1206‧‧‧方塊
1208‧‧‧方塊
1210‧‧‧方塊
1212‧‧‧方塊
1214‧‧‧方塊
1300‧‧‧方法
1302‧‧‧方塊
1304‧‧‧方塊
1306‧‧‧方塊
1308‧‧‧方塊
1310‧‧‧方塊
1312‧‧‧方塊
1314‧‧‧方塊
1316‧‧‧方塊
1400‧‧‧授權伺服器
1402‧‧‧網路通訊電路
1404‧‧‧處理電路
1406‧‧‧記憶體電路
1408‧‧‧通訊匯流排
1410‧‧‧輸入/輸出模組/電路/功能單元
1412‧‧‧輸入/輸出模組/電路/功能單元
1414‧‧‧特徵啟用金鑰推導電路/功能單元/模組
1416‧‧‧授權參數推導電路/功能單元/模組
1418‧‧‧授權證書推導電路/功能單元/模組
1420‧‧‧授權協定管理指令
1422‧‧‧授權協定管理指令
1424‧‧‧授權參數推導指令
1426‧‧‧授權證書推導指令
1430‧‧‧特徵啟用金鑰儲存裝置
1432‧‧‧授權參數儲存裝置
1434‧‧‧公開金鑰儲存裝置
1500‧‧‧本端授權伺服器
1502‧‧‧網路通訊電路
1504‧‧‧處理電路
1506‧‧‧記憶體電路
1508‧‧‧通訊匯流排
1510‧‧‧輸入/輸出模組/電路/功能單元
1512‧‧‧授權協定管理電路/功能單元/模組
1514‧‧‧特徵啟用金鑰推導電路/功能單元/模組
1516‧‧‧授權參數推導電路/功能單元/模組
1518‧‧‧授權證書推導電路/功能單元/模組
1520‧‧‧授權協定管理指令
1522‧‧‧特徵啟用金鑰推導指令
1524‧‧‧授權參數推導指令
1526‧‧‧授權證書推導指令
1530‧‧‧特徵啟用金鑰儲存裝置
1532‧‧‧授權參數儲存裝置
1534‧‧‧授權憑證存放區裝置
1536‧‧‧公開金鑰儲存裝置
1538‧‧‧特徵使用報告電路/功能單元/模組
1540‧‧‧特徵使用報告指令
1600‧‧‧方法
1602‧‧‧方塊
1604‧‧‧方塊
1606‧‧‧方塊
1608‧‧‧方塊
1700‧‧‧方法
1702‧‧‧方塊
1704‧‧‧方塊
1706‧‧‧方塊
1708‧‧‧方塊
1710‧‧‧方塊
1712‧‧‧方塊
1714‧‧‧方塊
圖1是根據本文中描述的態樣的可以動態授權和啟動一或多個設備的集合上的一或多個選擇性啟動的特徵的示例性系統的方塊圖。
圖2圖示根據本文中描述的態樣的示例性操作環境。
圖3是根據本文中描述的態樣的系統的架構參考模型。
圖4圖示根據本文中描述的態樣的可以包括在第一實體與一或多個設備的製造商或OEM之間的示例性授權協定中的參數和資料的示例性清單。
圖5圖示根據本文中描述的態樣的可以包括在製造商或OEM與另一個實體之間的示例性授權協定中的參數和資料的示例性清單。
圖6圖示根據本文中描述的態樣的可以包括在網路服務供應商與另一個實體之間的示例性授權協定中的參數和資料的示例性清單。
圖7是示出根據本文中描述的態樣的與向設備發送授權證書、授權檔、特徵啟用金鑰和軟體有關的動作的流程圖。
圖8是示出根據本文中描述的態樣的涉及特徵啟動請求的方法的流程圖。
圖9是示出根據本文中描述的態樣的選擇性啟動的特徵的啟動的一個實例的流程圖。
圖10是根據本文中描述的態樣的與設備的特徵的動態授權和啟動有關的撥叫流程圖。
圖11是示出根據本文中描述的態樣的適用於支援特徵的動態授權和啟動以促進設備上的網路服務的使用的示例性設備的方塊圖。
圖12是根據本文中描述的態樣的在設備處可操作的示例性方法的流程圖。
圖13是根據本文中描述的態樣的在設備處可操作的另一示例性方法的流程圖。
圖14是示出根據本文中描述的態樣的適用於支援特徵的動態授權和啟動以促進設備上的網路服務的使用的示例性授權伺服器的方塊圖。
圖15是示出根據本文中描述的態樣的適用於支援特徵的動態授權和啟動以促進設備上的網路服務的使用的示例性本端授權伺服器的方塊圖。
圖16是根據本文中描述的態樣的在授權伺服器處可操作的示例性方法的流程圖。
圖17是根據本文中描述的態樣的在本端授權伺服器處可操作的示例性方法的流程圖。
國內寄存資訊 (請依寄存機構、日期、號碼順序註記) 無
國外寄存資訊 (請依寄存國家、機構、日期、號碼順序註記) 無
(請換頁單獨記載) 無
1000‧‧‧撥叫流程圖
1002‧‧‧設備
1004‧‧‧本端授權伺服器
1006‧‧‧授權伺服器
1008‧‧‧流程
1010‧‧‧流程
1012‧‧‧流程
1014‧‧‧流程
1016‧‧‧流程
1018‧‧‧流程
1020‧‧‧流程
1022‧‧‧流程
1024‧‧‧流程
1026‧‧‧流程
1028‧‧‧流程

Claims (39)

  1. 一種在一設備處可操作的方法,包括以下步驟: 辨識為了使用一網路服務在該設備處所需的一或多個選擇性啟動的特徵; 獲得與該設備已經被授權啟動的特徵相關聯的授權資訊和一或多個特徵啟用金鑰;及 使用該一或多個特徵啟用金鑰來啟動及/或保持啟動與為了使用該網路服務所需的該一或多個選擇性啟動的特徵相匹配的、該設備已經被授權啟動的特徵。
  2. 根據請求項1之方法,亦包括以下步驟:在辨識為了使用該網路服務所需的該一或多個選擇性啟動的特徵之前,獲得用於指示從一網路存取節點可獲得該網路服務的資訊。
  3. 根據請求項1之方法,其中該一或多個選擇性啟動的特徵是硬體特徵及/或軟體特徵。
  4. 根據請求項1之方法,亦包括以下步驟: 向另一個設備及/或節點發送該授權資訊,作為該設備被授權啟動在該授權資訊中標識的一特徵的證明。
  5. 根據請求項1之方法,其中獲得該授權資訊和該一或多個特徵啟用金鑰包括以下步驟: 發送用於對一或多個特徵的啟動進行授權的一請求; 回應於該用於對該一或多個特徵的啟動進行授權的該請求,獲得該授權資訊和該一或多個特徵啟用金鑰;及 儲存該授權資訊和該等特徵啟用金鑰。
  6. 根據請求項1之方法,其中針對該設備已經被授權啟動的特徵,該授權資訊包括授權將到期時的一日期。
  7. 根據請求項1之方法,其中該授權資訊是作為表示一授權證書的資料而獲得的。
  8. 根據請求項7之方法,其中該授權證書是由一授權伺服器簽署的,該授權伺服器儲存該授權證書所基於的一授權協定。
  9. 根據請求項1之方法,其中辨識為了使用該網路服務所需的該一或多個選擇性啟動的特徵包括以下步驟: 從一網路存取節點獲得為了使用該網路服務所需的特徵的一清單。
  10. 根據請求項1之方法,其中辨識為了使用該網路服務所需的該一或多個選擇性啟動的特徵包括以下步驟: 從該設備的一記憶體電路獲得為了使用該網路服務所需的特徵的一清單。
  11. 根據請求項1之方法,其中為了使用該網路服務所需的該等選擇性啟動的特徵中的至少一個特徵是在使用時可獲許可的,並且當在該設備處獲得對一最新許可的驗證時被啟動。
  12. 一種設備,其包括: 一網路通訊電路,其用於與一網路節點通訊;及 耦合到該網路通訊電路的一處理電路,該處理電路被配置為: 辨識為了使用一網路服務在該設備處所需的一或多個選擇性啟動的特徵; 獲得與該設備已經被授權啟動的特徵相關聯的授權資訊和一或多個特徵啟用金鑰;及 使用該一或多個特徵啟用金鑰來啟動及/或保持啟動與為了使用該網路服務所需的該一或多個選擇性啟動的特徵相匹配的、該設備已經被授權啟動的特徵。
  13. 根據請求項12之設備,其中該處理電路亦被配置為: 在辨識為了使用該網路服務所需的該一或多個選擇性啟動的特徵之前,獲得用於指示從一網路存取節點可獲得該網路服務的資訊。
  14. 根據請求項12之設備,其中該處理電路亦被配置為: 向另一個設備及/或節點發送該授權資訊,作為該設備被授權啟動在該授權資訊中標識的一特徵的證明。
  15. 一種在設備處可操作的方法,包括以下步驟: 獲得標識從一網路存取節點可獲得的一網路服務的空中廣播; 辨識為了使用該網路服務該設備所需的一或多個選擇性啟動的特徵; 辨識該設備已經被授權啟動的特徵; 決定該所辨識的為了使用該網路服務該設備所需的一或多個選擇性啟動的特徵與該設備已經被授權啟動的特徵之間是否存在一匹配;及 若存在該匹配,則使用該設備已經被授權啟動的該等特徵的特徵啟用金鑰來啟動及/或保持啟動與所辨識的為了使用該網路服務該設備所需的一或多個選擇性啟動特徵的相匹配的、該設備已經被授權啟動的特徵。
  16. 根據請求項15之方法,亦包括以下步驟:在接收該空中廣播之前,獲得用於啟動及/或保持啟動該設備已經被授權啟動的一或多個選擇性啟動的特徵的授權資訊和一或多個特徵啟用金鑰。
  17. 根據請求項15之方法,其中從其接收該空中廣播的該網路存取節點是未經認證的,並且沒有附著到該設備。
  18. 根據請求項15之方法,亦包括以下步驟: 從該所辨識的為了使用該網路服務該設備所需的一或多個選擇性啟動的特徵中辨識該設備尚未被授權啟動的特徵; 發送針對該設備尚未被授權啟動的該等特徵的授權資訊和特徵啟用金鑰的一請求;及 使用回應於該請求而獲得的特徵啟用金鑰來啟動該設備尚未被授權啟動的特徵。
  19. 根據請求項15之方法,其中該空中廣播回應於從辨識了為了使用該網路服務在該設備上所需的該一或多個選擇性啟動的特徵的該設備發送的一查詢。
  20. 根據請求項15之方法,其中辨識為了使用該網路服務在該設備上所需的該一或多個選擇性啟動的特徵包括以下步驟: 從該設備的一記憶體電路獲得為了使用該網路服務所需的特徵的一清單。
  21. 根據請求項15之方法,其中辨識為了使用該網路服務在該設備上所需的該一或多個選擇性啟動的特徵包括以下步驟: 從該網路存取節點獲得為了使用該網路服務所需的特徵的一清單。
  22. 一種設備,其包括: 一網路通訊電路,其用於與一網路存取節點通訊;及 耦合到該網路通訊電路的一處理電路,該處理電路被配置為: 獲得標識從該網路存取節點可獲得的一網路服務的一空中廣播; 辨識為了使用該網路服務該設備所需的一或多個選擇性啟動的特徵; 辨識該設備已經被授權啟動的特徵; 決定該所辨識的為了使用該網路服務該設備所需的一或多個選擇性啟動的特徵與該設備已經被授權啟動的特徵之間是否存在一匹配;及 若存在該匹配,則使用該設備已經被授權啟動的該等特徵的特徵啟用金鑰來啟動及/或保持啟動與所辨識的為了使用該網路服務該設備所需的一或多個選擇性啟動特徵的相匹配的、該設備已經被授權啟動的特徵。
  23. 根據請求項22之設備,其中該處理電路亦被配置為: 在接收該空中廣播之前,獲得用於啟動及/或保持啟動該設備已經被授權啟動的一或多個選擇性啟動的特徵的授權資訊和一或多個特徵啟用金鑰。
  24. 根據請求項22之設備,其中該處理電路亦被配置為: 從該所辨識的為了使用該網路服務該設備所需的一或多個選擇性啟動的特徵中辨識該設備尚未被授權啟動的特徵; 發送針對該設備尚未被授權啟動的該等特徵的授權資訊和特徵啟用金鑰的一請求;及 使用回應於該請求而獲得的特徵啟用金鑰來啟動該設備尚未被授權啟動的特徵。
  25. 一種在一授權伺服器處可操作的方法,包括以下步驟: 在該授權伺服器處獲得用於啟動設備的一或多個選擇性啟動的特徵的一請求; 基於在該授權伺服器處獲得的一授權協定來驗證該一或多個選擇性啟動的特徵被授權在該設備處使用; 回應於該用於啟動一或多個選擇性啟動的特徵的請求,基於該授權協定,發送該設備被授權使用該一或多個選擇性啟動的特徵的證明以及一或多個特徵啟用金鑰;及 向該設備的一網路的一歸屬用戶伺服器(HSS)發送該設備的經更新的能力資訊。
  26. 根據請求項25之方法,其中該授權伺服器不同於該HSS,並且不同於一授權、認證和計費(AAA)伺服器。
  27. 根據請求項25之方法,亦包括以下步驟: 評估該設備的完整性資訊;及 若該完整性資訊是可接受的,則發送該設備被授權使用該一或多個選擇性啟動的特徵的該證明以及一或多個特徵啟用金鑰。
  28. 根據請求項27之方法,其中該完整性資訊是由該授權伺服器從一第一伺服器獲得的,其中該授權伺服器和該第一伺服器是不同的伺服器。
  29. 根據請求項28之方法,其中該第一伺服器是該授權伺服器的一代理。
  30. 根據請求項28之方法,其中該授權伺服器和該第一伺服器不同於一授權、認證和計費(AAA)伺服器。
  31. 根據請求項25之方法,亦包括以下步驟: 從接收來自該授權伺服器的特徵啟動授權的設備接收週期性特徵啟動和使用狀態資料;及 基於儲存在該授權伺服器中的該等授權協定的條款,經由控制特徵啟動授權來實施授權協定。
  32. 一種設備,包括: 一網路通訊電路,其用於與一設備的一網路通訊;及 耦合到該網路通訊電路的一處理電路,該處理電路被配置為: 在該設備處獲得一用於啟動一或多個選擇性啟動的特徵的請求; 驗證該一或多個選擇性啟動的特徵被授權在該設備處使用; 回應於該用於啟動一或多個選擇性啟動的特徵的請求,發送該設備被授權使用該一或多個選擇性啟動的特徵的證明以及一或多個特徵啟用金鑰;及 向該設備的一網路的一歸屬用戶伺服器(HSS)發送該設備的經更新的能力資訊。
  33. 根據請求項32之設備,其中該處理電路亦被配置為: 評估該設備的完整性資訊;及 若該完整性資訊是可接受的,則發送該設備被授權使用該一或多個選擇性啟動的特徵的該證明以及一或多個特徵啟用金鑰。
  34. 根據請求項32之設備,其中該處理電路亦被配置為: 從接收來自該設備的特徵啟動授權的設備接收週期性特徵啟動和使用狀態資料;及 基於儲存在該設備中的該等授權協定的條款,經由控制特徵啟動授權來實施授權協定。
  35. 一種在一本端授權伺服器處可操作的方法,包括以下步驟: 在該本端授權伺服器處獲得用於啟動一設備的一或多個選擇性啟動的特徵的一請求; 獲得該設備的完整性資訊;及 向一授權伺服器發送該用於啟動一或多個選擇性啟動的特徵的請求和該完整性資訊。
  36. 根據請求項35之方法,其中該授權伺服器不同於該本端授權伺服器,並且這二者皆不同於該設備的一授權、認證和計費(AAA)伺服器。
  37. 根據請求項35之方法,亦包括以下步驟: 獲得用於指示該設備被授權啟動該一或多個選擇性啟動的特徵的授權資訊,其中該授權資訊包括分別與該一或多個選擇性啟動的特徵相對應的一或多個特徵啟用金鑰;及 向該設備發送該授權資訊和該一或多個特徵啟用金鑰。
  38. 一種本端授權伺服器,包括: 一網路通訊電路,其用於與一授權伺服器通訊;及 耦合到該網路通訊電路的一處理電路,該處理電路被配置為: 在該本端授權伺服器處獲得用於啟動設備的一或多個選擇性啟動的特徵的一請求; 獲得該設備的完整性資訊;及 向該授權伺服器發送該用於啟動一或多個選擇性啟動的特徵的請求和該完整性資訊。
  39. 根據請求項38之本端授權伺服器,其中該處理電路亦被配置為: 獲得用於指示該設備被授權啟動該一或多個選擇性啟動的特徵的授權資訊,其中該授權資訊包括分別與該一或多個選擇性啟動的特徵相對應的一或多個特徵啟用金鑰;及 向該設備發送該授權資訊和該一或多個特徵啟用金鑰。
TW105121601A 2015-08-07 2016-07-07 用於網路服務的方法和設備 TWI707242B (zh)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US201562202660P 2015-08-07 2015-08-07
US62/202,660 2015-08-07
US15/082,862 2016-03-28
US15/082,862 US9992681B2 (en) 2015-08-07 2016-03-28 Subsystem for authorization and activation of features

Publications (2)

Publication Number Publication Date
TW201717078A true TW201717078A (zh) 2017-05-16
TWI707242B TWI707242B (zh) 2020-10-11

Family

ID=56550355

Family Applications (1)

Application Number Title Priority Date Filing Date
TW105121601A TWI707242B (zh) 2015-08-07 2016-07-07 用於網路服務的方法和設備

Country Status (9)

Country Link
US (3) US9992681B2 (zh)
EP (1) EP3332526B1 (zh)
JP (1) JP6861698B2 (zh)
KR (1) KR20180036971A (zh)
CN (1) CN107852341B (zh)
AU (1) AU2016307325B2 (zh)
BR (1) BR112018002521A2 (zh)
TW (1) TWI707242B (zh)
WO (1) WO2017027133A1 (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI650961B (zh) * 2017-12-26 2019-02-11 財團法人工業技術研究院 通訊服務驗證系統和方法及其驗證中心伺服器
TWI716056B (zh) * 2018-10-25 2021-01-11 開曼群島商創新先進技術有限公司 身份認證、號碼保存和發送、綁定號碼方法、裝置及設備
TWI750726B (zh) * 2020-07-09 2021-12-21 緯穎科技服務股份有限公司 伺服器裝置及其伺服模組連接辨識方法

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11250423B2 (en) * 2012-05-04 2022-02-15 Institutional Cash Distributors Technology, Llc Encapsulated security tokens for electronic transactions
US9992681B2 (en) 2015-08-07 2018-06-05 Qualcomm Incorporated Subsystem for authorization and activation of features
US10146916B2 (en) * 2015-11-17 2018-12-04 Microsoft Technology Licensing, Llc Tamper proof device capability store
DE102016110723A1 (de) * 2016-06-10 2017-12-14 Endress+Hauser Process Solutions Ag Verfahren zum Verhindern eines unerlaubten Zugriffs auf Softwareanwendungen in Feldgeräten
US20170357784A1 (en) * 2016-06-14 2017-12-14 Arista Networks, Inc. Method and system for license management
US20180239916A1 (en) * 2017-02-21 2018-08-23 Ricoh Company, Ltd. Feature-based access to a multi-function peripheral application using an activation server
US10298581B2 (en) * 2017-04-28 2019-05-21 Cisco Technology, Inc. Zero-touch IoT device provisioning
CN114706634A (zh) * 2018-01-15 2022-07-05 华为技术有限公司 一种系统、程序以及计算机可读存储介质
US11544354B2 (en) * 2018-03-07 2023-01-03 Avago Technologies International Sales Pte. Limited System for secure provisioning and enforcement of system-on-chip (SOC) features
US11095454B2 (en) * 2018-09-24 2021-08-17 International Business Machines Corporation Releasing secret information in a computer system
WO2020104032A1 (en) * 2018-11-22 2020-05-28 Telefonaktiebolaget Lm Ericsson (Publ) Secure handling of hardware activation codes
US10921130B1 (en) 2019-09-18 2021-02-16 Here Global B.V. Method and apparatus for providing an indoor pedestrian origin-destination matrix and flow analytics
US11599368B2 (en) 2019-09-27 2023-03-07 Intel Corporation Device enhancements for software defined silicon implementations
WO2021062242A1 (en) 2019-09-27 2021-04-01 Intel Corporation Software defined silicon implementation and management
US11977612B2 (en) 2020-07-07 2024-05-07 Intel Corporation Software defined silicon guardianship
JP2022034321A (ja) * 2020-08-18 2022-03-03 富士フイルムビジネスイノベーション株式会社 情報処理装置及び情報処理プログラム
KR20220050702A (ko) * 2020-10-16 2022-04-25 한화테크윈 주식회사 중계 장치를 통한 카메라 장치 내 애플리케이션의 라이선스 관리
US20230015789A1 (en) * 2021-07-08 2023-01-19 Vmware, Inc. Aggregation of user authorizations from different providers in a hybrid cloud environment
GB2609026B (en) * 2021-07-19 2023-08-23 Chevin Tech Holdings Limited A method and system for permitting one or more features on a computer program
CN113543123B (zh) * 2021-07-23 2024-02-20 闻泰通讯股份有限公司 无线网路动态设定权限方法与装置
CN114186199B (zh) * 2022-02-15 2022-06-28 北京安帝科技有限公司 许可授权方法及装置
CN114710718B (zh) * 2022-04-12 2024-05-14 烽火通信科技股份有限公司 Fttr组网下基于扩展oam的消息转发方法及装置

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7131001B1 (en) 1999-10-29 2006-10-31 Broadcom Corporation Apparatus and method for secure filed upgradability with hard wired public key
AU2001275402A1 (en) * 2000-06-06 2001-12-17 Marconi Communications, Inc. System and method for controlling network elements using softkeys
JP2002077438A (ja) * 2000-08-30 2002-03-15 Sony Corp 携帯通信端末装置
DE60128785T2 (de) 2001-04-02 2008-01-31 Motorola, Inc., Schaumburg Aktivieren und Deaktivieren von Softwarefunktionen
AU2003262857A1 (en) 2002-08-24 2004-03-11 Ingrian Networks, Inc. Selective feature activation
US7373138B2 (en) 2002-11-21 2008-05-13 Motorola Inc. Mobile wireless communications device enablement and methods therefor
JP4417123B2 (ja) * 2003-02-19 2010-02-17 パナソニック株式会社 ソフトウェア更新方法及び無線通信装置
US20050047573A1 (en) * 2003-08-28 2005-03-03 Cameron Jeffrey M. Controlling access to features of call processing software
AU2005246830B2 (en) * 2004-05-18 2007-12-13 Kyocera Corporation Modular software components for wireless communication devices
US7899754B2 (en) 2004-12-03 2011-03-01 International Business Machines Corporation Enablement of system features with improved feature key
US8417641B1 (en) 2006-01-31 2013-04-09 Kyocera Corporation System for licensing mobile applications, features, and devices
CA2651248A1 (en) 2006-05-04 2007-11-05 Gregory Foster License scheme for use with stackable devices
KR20120101602A (ko) * 2007-04-15 2012-09-13 주삼영 컨텐츠 사용기기 및 사용 방법
US10361864B2 (en) 2007-09-29 2019-07-23 Intel Corporation Enabling a secure OEM platform feature in a computing environment
US9100548B2 (en) 2008-07-17 2015-08-04 Cisco Technology, Inc. Feature enablement at a communications terminal
GB2470209B (en) 2009-05-13 2011-04-13 Skype Ltd Processing communication events in a communications system
US8898469B2 (en) 2010-02-05 2014-11-25 Motorola Mobility Llc Software feature authorization through delegated agents
US20130232524A1 (en) * 2012-03-01 2013-09-05 Sony Corporation System and method for leasing a tv
US9491048B2 (en) * 2013-03-28 2016-11-08 Qualcomm Incorporated Devices and methods for facilitating automated configuration of communications interfaces
US9866493B2 (en) 2013-03-29 2018-01-09 Infinera Corporation Dynamic activation of pre-deployed network resources
CN103269502B (zh) * 2013-04-27 2016-09-28 杭州华三通信技术有限公司 一种无线速率自动调整的方法及装置
JP2015027007A (ja) * 2013-07-29 2015-02-05 株式会社日立公共システム セキュリティ制御装置、セキュリティ制御方法及びセキュリティ制御プログラム
US9992681B2 (en) 2015-08-07 2018-06-05 Qualcomm Incorporated Subsystem for authorization and activation of features

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI650961B (zh) * 2017-12-26 2019-02-11 財團法人工業技術研究院 通訊服務驗證系統和方法及其驗證中心伺服器
TWI716056B (zh) * 2018-10-25 2021-01-11 開曼群島商創新先進技術有限公司 身份認證、號碼保存和發送、綁定號碼方法、裝置及設備
US11177956B2 (en) 2018-10-25 2021-11-16 Advanced New Technologies Co., Ltd. Identity authentication, number saving and sending, and number binding method, apparatus and device
US11677555B2 (en) 2018-10-25 2023-06-13 Advanced New Technologies Co., Ltd. Identity authentication, number saving and sending, and number binding method, apparatus and device
TWI750726B (zh) * 2020-07-09 2021-12-21 緯穎科技服務股份有限公司 伺服器裝置及其伺服模組連接辨識方法

Also Published As

Publication number Publication date
US10740490B2 (en) 2020-08-11
US20180242156A1 (en) 2018-08-23
EP3332526B1 (en) 2020-08-19
BR112018002521A2 (pt) 2018-09-18
AU2016307325B2 (en) 2020-12-03
CN107852341B (zh) 2021-06-29
WO2017027133A1 (en) 2017-02-16
CN107852341A (zh) 2018-03-27
TWI707242B (zh) 2020-10-11
US10341870B2 (en) 2019-07-02
JP6861698B2 (ja) 2021-04-21
KR20180036971A (ko) 2018-04-10
US20190274049A1 (en) 2019-09-05
JP2018525919A (ja) 2018-09-06
AU2016307325A1 (en) 2018-01-25
US9992681B2 (en) 2018-06-05
US20170041793A1 (en) 2017-02-09
EP3332526A1 (en) 2018-06-13

Similar Documents

Publication Publication Date Title
TWI707242B (zh) 用於網路服務的方法和設備
US20210337386A1 (en) Validating authorization for use of a set of features of a device
JP6385589B2 (ja) アプリケーション固有ネットワークアクセス資格情報を使用する、ワイヤレスネットワークへのスポンサー付き接続性のための装置および方法
TWI645724B (zh) 用於使用特定於應用的網路存取身份碼來進行到無線網路的受贊助連接的設備和方法(二)
TW201429173A (zh) 在虛擬網路中端對端架構、api框架、發現及存取
TW201026107A (en) Ticket-based spectrum authorization and access control
JP2022043175A (ja) コアネットワークへの非3gpp装置アクセス

Legal Events

Date Code Title Description
MM4A Annulment or lapse of patent due to non-payment of fees