TWI616084B - 使用現有身份碼的到蜂巢網路的受贊助連接 - Google Patents

使用現有身份碼的到蜂巢網路的受贊助連接 Download PDF

Info

Publication number
TWI616084B
TWI616084B TW105106765A TW105106765A TWI616084B TW I616084 B TWI616084 B TW I616084B TW 105106765 A TW105106765 A TW 105106765A TW 105106765 A TW105106765 A TW 105106765A TW I616084 B TWI616084 B TW I616084B
Authority
TW
Taiwan
Prior art keywords
network
service provider
code
application service
server
Prior art date
Application number
TW105106765A
Other languages
English (en)
Other versions
TW201644250A (zh
Inventor
李秀凡
帕拉尼古德艾納德
霍恩蓋文伯納德
Original Assignee
高通公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 高通公司 filed Critical 高通公司
Publication of TW201644250A publication Critical patent/TW201644250A/zh
Application granted granted Critical
Publication of TWI616084B publication Critical patent/TWI616084B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

揭示用於促進服務網路上的使用者裝備的受贊助連接,使得該UE可以存取服務的系統和技術,其中該服務的連接是由應用服務提供者來贊助的。該應用服務提供者供應服務網路,使得其意識到受贊助連接。在到該服務網路的附著嘗試中,該UE將基於預先存在的身份碼(在該UE和該應用服務提供者之間建立的)的客戶端符記而不是使用者辨識項與該附著請求一起提供。該應用服務提供者的伺服器驗證該存取身份碼以認證該UE,並且提供被該服務網路用於與該UE進行互相認證的資訊。該UE可以隨後使用該服務網路,以經由該受贊助連接來存取該服務,甚至在該UE不具有使用者身份和與蜂巢網路的訂閱的情況下。

Description

使用現有身份碼的到蜂巢網路的受贊助連接 【相關申請的交叉引用以及請求優先權】
本專利申請案請求於2015年3月6日提出申請的、名稱為「Sponsored Connectivity to Cellular Networks Using Existing Credentials」的美國臨時專利申請案第62/129,462號的優先權和權益,以引用的方式將其揭示內容全部併入本文。
本案大體係關於無線通訊系統,並且更具體而言係關於應用服務提供者贊助經由服務網路存取一或多個服務。某些實施例實現和提供了能夠及/或被配置用於在使用者可能缺少網路訂閱的場景中以可升級的、安全的以及可追蹤的方式(例如,出於記帳/計量的目的)來存取網路應用服務的設備、方法和系統。
為了從網路接收服務,未知的使用者裝備(UE)需要與網路註冊或者以其他方式變成對於網路是已知的。這是使用網路附著程序來實現的。大體上,不具有針對服務的訂 閱的UE不能夠附著到服務網路以接收語音或資料服務(除了緊急服務以外,諸如在例如美國的911)。已經進行了嘗試以藉由贊助UE到服務網路的連接來使UE仍然能夠接收到服務。受贊助連接典型地涉及有限地允許到特定的應用或服務的、由該特定的應用或服務贊助的網路存取。
當前的一般的方法使某些類型的設備(例如,沒有SIM卡及/或訂閱的UE)不能夠利用受贊助連接並且是低效率的,或者將服務網路暴露於在其核心網路上的不期望的(或惡意)傳輸量。如下文論述的,本案內容的態樣和實施例目的在於增強受贊助連接。
以下內容概括了本案內容的某些態樣,以提供對所論述的技術的基本理解。該概括不是對本案內容的全部預期特徵的詳盡概述,並且不意欲標識本案內容的全部態樣的關鍵或重要元素,亦不意欲圖示本案內容的任何或全部態樣的範圍。其唯一的目的是以概述的形式介紹本案內容的一或多個態樣的某些概念,作為隨後介紹的更詳細的描述的序言。
在本案內容的一個態樣中,一種用於存取服務的方法包括:由使用者裝備(UE)辨識服務網路,其中應用服務提供者伺服器是經由該服務網路來贊助到該服務的存取;從該UE向該服務網路發送具有客戶端符記的附著請求,該客戶端符記是基於與該應用服務提供者伺服器建立的預先存在的身份碼的,該客戶端符記是不能被辨識為到該服務網路的蜂巢存取身份碼的;及由該UE基於該預先存在的身份碼經由該 應用服務提供者伺服器來向該服務網路認證,用於到該服務的受贊助存取。
在本案內容的額外的態樣中,一種用於實現到由應用服務提供者伺服器贊助的服務的存取的方法包括:從中間服務網路接收基於來自使用者裝備(UE)的附著請求的認證資訊請求,其中該應用服務提供者伺服器是經由該中間服務網路來對到該服務的存取進行贊助的,該認證資訊請求包括客戶端符記,該客戶端符記是基於與該應用服務提供者伺服器建立的預先存在的身份碼的,並且是不能被辨識為到該服務網路的蜂巢存取身份碼的;由該應用服務提供者伺服器回應於該認證資訊請求,基於可由該應用服務提供者伺服器存取的該預先存在的身份碼來決定認證資訊;及從該應用服務提供者伺服器在對該服務網路的回應中發送該認證資訊,其中該認證資訊基於該預先存在的身份碼來輔助在該UE和該服務網路之間對到該服務的受贊助存取進行認證。
在本案內容的額外的態樣中,一種用於存取服務的使用者裝備(UE)包括收發機,其被配置為:輔助辨識服務網路,其中應用服務提供者伺服器是經由該服務網路來贊助到該服務的存取的;及向該服務網路發送具有客戶端符記的附著請求,該客戶端符記是基於與該應用服務提供者伺服器建立的預先存在的身份碼的,該客戶端符記是不能被辨識為到該服務網路的蜂巢存取身份碼的;及處理器,其被配置為基於該預先存在的身份碼經由該應用服務提供者伺服器來向該服務網路認證,用於到該服務的受贊助存取。
在本案內容的額外的態樣中,贊助到服務的存取的應用服務提供者伺服器包括收發機,其被配置為從中間服務網路接收基於來自使用者裝備(UE)的附著請求的認證資訊請求,其中該應用服務提供者伺服器是經由該中間服務網路來對到該服務的存取進行贊助的,該認證資訊請求包括客戶端符記,該客戶端符記是基於與該應用服務提供者伺服器建立的預先存在的身份碼的,並且是不能被辨識為到該服務網路的蜂巢存取身份碼的;及處理器,其被配置為回應於該認證資訊請求,基於可由該應用服務提供者伺服器存取的該預先存在的身份碼來決定認證資訊,其中該收發機亦被配置為在對該服務網路的回應中發送該認證資訊,以及其中該認證資訊基於該預先存在的身份碼來輔助在該UE和該服務網路之間對到該服務的受贊助存取進行認證。
在本案內容的額外的態樣中,一種具有記錄在其上的程式碼的電腦可讀取媒體包括程式碼,該程式碼包括:用於使使用者裝備(UE)辨識服務網路的代碼,其中應用服務提供者伺服器是經由該服務網路來贊助到服務的存取的;用於使該UE向該服務網路發送具有客戶端符記的附著請求的代碼,該客戶端符記是基於與該應用服務提供者伺服器建立的預先存在的身份碼的,該客戶端符記是不能被辨識為到該服務網路的蜂巢存取身份碼的;及用於使該UE基於該預先存在的身份碼經由該應用服務提供者伺服器來向該服務網路認證,用於到該服務的受贊助存取的代碼。
在本案內容的額外的態樣中,一種具有記錄在其上 的程式碼的電腦可讀取媒體包括程式碼,該程式碼包括:用於使應用服務提供者伺服器從中間服務網路接收基於來自使用者裝備(UE)的附著請求的認證資訊請求的代碼,其中該應用服務提供者伺服器是經由該中間服務網路來對到服務的存取進行贊助的,該認證資訊請求包括客戶端符記,該客戶端符記是基於與該應用服務提供者伺服器建立的預先存在的身份碼的,並且是不能被辨識為到該服務網路的蜂巢存取身份碼的;用於使該應用服務提供者伺服器回應於該認證資訊請求,基於可由該應用服務提供者伺服器存取的該預先存在的身份碼來決定認證資訊的代碼;及用於使該應用服務提供者伺服器在對該服務網路的回應中發送該認證資訊的代碼,其中該認證資訊基於該預先存在的身份碼來輔助在該UE和該服務網路之間對到該服務的受贊助存取進行認證。
在本案內容的額外的態樣中,一種用於存取服務的使用者裝備(UE)包括:用於辨識服務網路的手段,其中應用服務提供者伺服器是經由該服務網路來贊助到服務的存取的;用於向該服務網路發送具有客戶端符記的附著請求,該客戶端符記是基於與該應用服務提供者伺服器建立的預先存在的身份碼的,該客戶端符記是不能被辨識為到該服務網路的蜂巢存取身份碼的;及用於基於該預先存在的身份碼經由該應用服務提供者伺服器來向該服務網路認證,用於到該服務的受贊助存取的手段。
在本案內容的額外的態樣中,贊助到服務的存取的應用服務提供者伺服器包括:用於從中間服務網路接收基於 來自使用者裝備(UE)的附著請求的認證資訊請求的手段,其中該應用服務提供者伺服器是經由該中間服務網路來對到該服務的存取進行贊助的,該認證資訊請求包括客戶端符記,該客戶端符記是基於與該應用服務提供者伺服器建立的預先存在的身份碼的,並且是不能被辨識為到該服務網路的蜂巢存取身份碼的;用於回應於該認證資訊請求,基於可由該應用服務提供者伺服器存取的該預先存在的身份碼來決定認證資訊的手段;及用於在對該服務網路的回應中發送該認證資訊的手段,其中該認證資訊基於該預先存在的身份碼來輔助在該UE和該服務網路之間對到該服務的受贊助存取進行認證。
當結合附圖來參考對本案內容的具體的、示例性實施例的下文的描述時,本案內容的其他態樣、特徵和實施例對本領域的一般技藝人士來說將變得顯而易見。儘管下文關於某些實施例和附圖論述了本案內容的特徵,但是本案內容的全部實施例可以包括本文論述的優勢特徵中的一或多個優勢特徵。換句話說,儘管一或多個實施例可以被論述為具有某些優勢特徵,但是亦可以根據本文論述的本案內容的各種實施例來使用此種特徵中的一或多個特徵。以類似的方式,儘管示例性實施例在下文被論述為設備、系統或方法實施例,但是應當理解的是,此種示例性實施例可以在各種設備、系統和方法中實現。
100‧‧‧無線通訊網路
102‧‧‧UE
104‧‧‧RAN
106‧‧‧行動性管理實體(MME)
108‧‧‧服務閘道(S-GW)
110‧‧‧封包資料網路閘道(P-GW)
112‧‧‧服務網路
114‧‧‧網路
116‧‧‧伺服器
120‧‧‧授權伺服器
202‧‧‧處理器
204‧‧‧記憶體
206‧‧‧指令
208‧‧‧存取模組
210‧‧‧收發機
212‧‧‧數據機子系統
214‧‧‧RF單元
216‧‧‧天線
302‧‧‧處理器
304‧‧‧記憶體
306‧‧‧指令
308‧‧‧存取模組
310‧‧‧服務
312‧‧‧資料庫
314‧‧‧收發機
400‧‧‧MIMO系統
410‧‧‧示例性發射器系統
412‧‧‧資料來源
414‧‧‧發送(TX)資料處理器
420‧‧‧TX MIMO處理器
422a‧‧‧發射器(TMTR)
422t‧‧‧發射器(TMTR)
424a‧‧‧天線
424t‧‧‧天線
430‧‧‧處理器
432‧‧‧記憶體
436‧‧‧資料來源
438‧‧‧TX資料處理器
440‧‧‧解調器
442‧‧‧RX資料處理器
450‧‧‧接收器系統
452a‧‧‧天線
452r‧‧‧天線
454a‧‧‧接收器(RCVR)
454r‧‧‧接收器(RCVR)
460‧‧‧RX資料處理器
470‧‧‧處理器
472‧‧‧記憶體
480‧‧‧TX MIMO處理器
502‧‧‧動作
504‧‧‧動作
506‧‧‧動作
508‧‧‧動作
510‧‧‧動作
512‧‧‧動作
514‧‧‧動作
516‧‧‧動作
518‧‧‧動作
520‧‧‧動作
602‧‧‧動作
604‧‧‧動作
606‧‧‧動作
608‧‧‧步驟
610‧‧‧動作
612‧‧‧動作
614‧‧‧動作
700‧‧‧示例性方法
702‧‧‧步驟
704‧‧‧決策步驟
706‧‧‧步驟
708‧‧‧步驟
710‧‧‧步驟
712‧‧‧決策步驟
714‧‧‧步驟
716‧‧‧步驟
718‧‧‧步驟
720‧‧‧步驟
722‧‧‧步驟
740‧‧‧示例性方法
742‧‧‧步驟
744‧‧‧步驟
746‧‧‧決策步驟
748‧‧‧步驟
750‧‧‧步驟
752‧‧‧決策步驟
754‧‧‧步驟
756‧‧‧步驟
758‧‧‧步驟
760‧‧‧步驟
762‧‧‧步驟
770‧‧‧示例性方法
772‧‧‧步驟
774‧‧‧步驟
776‧‧‧步驟
778‧‧‧步驟
780‧‧‧決策步驟
782‧‧‧步驟
784‧‧‧步驟
786‧‧‧步驟
788‧‧‧步驟
790‧‧‧步驟
800‧‧‧示例性方法
802‧‧‧步驟
804‧‧‧步驟
806‧‧‧步驟
820‧‧‧示例性方法
822‧‧‧步驟
824‧‧‧步驟
826‧‧‧步驟
828‧‧‧步驟
830‧‧‧步驟
832‧‧‧步驟
834‧‧‧步驟
836‧‧‧步驟
838‧‧‧步驟
840‧‧‧步驟
842‧‧‧步驟
850‧‧‧示例性方法
852‧‧‧步驟
854‧‧‧步驟
856‧‧‧步驟
858‧‧‧步驟
860‧‧‧步驟
862‧‧‧步驟
864‧‧‧步驟
圖1圖示根據本案內容的各個態樣的無線通訊網路。
圖2是根據本案內容的實施例的示例性UE的方塊圖。
圖3是根據本案內容的實施例的示例性伺服器的方塊圖。
圖4是圖示根據本案內容的各個態樣的示例性發射器的方塊圖。
圖5是圖示根據本案內容的各個態樣的在UE、服務網路和應用服務提供者之間的示例性訊號傳遞態樣以提供受贊助連接的協定圖。
圖6是圖示根據本案內容的各個態樣的在UE、服務網路和應用服務提供者之間的示例性訊號傳遞態樣以提供受贊助連接的協定圖。
圖7A是圖示根據本案內容的各個態樣的用於存取針對由伺服器贊助的服務的網路的示例性方法的流程圖。
圖7B是圖示根據本案內容的各個態樣的用於准許針對由伺服器贊助的服務的網路存取的示例性方法的流程圖。
圖7C是圖示根據本案內容的各個態樣的用於促進針對由伺服器贊助的服務的網路存取的示例性方法的流程圖。
圖8A是圖示根據本案內容的各個態樣的用於存取針對由伺服器贊助的服務的網路的示例性方法的流程圖。
圖8B是圖示根據本案內容的各個態樣的用於准許針對由伺服器贊助的服務的網路存取的示例性方法的流程圖。
圖8C是圖示根據本案內容的各個態樣的用於促進針對由伺服器贊助的服務的網路存取的示例性方法的流程圖。
下文結合附圖闡述的具體實施方式意欲作為對各種配置的描述,而不意欲代表其中可以實施本文描述的概念的唯一配置。出於提供對各種概念的全面理解的目的,具體實施方式包括具體細節。然而,本領域的技藝人士將顯而易見的是,可以在沒有該等具體細節的情況下實施該等概念。在某些情況中,眾所周知的結構和元件以方塊圖形式示出,以避免模糊此種概念。
本文所描述的技術可以被用於各種無線通訊網路,諸如CDMA、TDMA、FDMA、OFDMA、SC-FDMA以及其他網路。術語「網路」和「系統」經常被可互換地使用。CDMA網路可以實現諸如通用陸地無線存取(UTRA)、cdma2000等的無線技術。UTRA包括寬頻CDMA(WCDMA)和CDMA的其他變形。cdma2000覆蓋IS-2000、IS-95和IS-856標準。TDMA網路可以實現諸如行動通訊全球系統(GSM)的無線技術。OFDMA網路可以實現諸如進化型UTRA(E-UTRA)、超行動寬頻(UMB)、IEEE 802.11(Wi-Fi)、IEEE 802.16(WiMAX)、IEEE 802.20、快閃-OFDM等的無線技術。UTRA和E-UTRA是通用行動電信系統(UMTS)的一部分。3GPP長期進化(LTE)和改進的LTE(LTE-A)是UMTS的使用E-UTRA的新版本。在來自名稱為「第三代合作夥伴計畫」(3GPP)的組織的文件中描述了UTRA、E-UTRA、UMTS、LTE、LTE-A和GSM。在來自名稱為「第三代合作夥伴計畫2」(3GPP2)的組織的文件中描述了CDMA2000和UMB。本文所描述的技 術可以被用於上文所提及的無線網路和無線技術以及其他無線網路和無線技術,諸如下一代(例如,第5代(5G))網路。本案內容的實施例涉及可以在上文列舉的網路中的任何一或多個網路及/或彼等亦要被開發的網路上使用的任何類型的調制方案。
本案內容的實施例介紹了用於促進服務網路(諸如進化封包核心(EPC)網路的核心網路)上的使用者裝備(UE)的受贊助連接的系統和技術。
受贊助連接的一個示例是基於存取點名稱(APN)的轉發。在基於APN的轉發中,UE具有SIM卡,該SIM卡已經被進行贊助的應用服務提供者(例如,線上市場等)配置具有APN。UE向服務網路發送資料傳輸量,以及服務網路基於從在UE的SIM卡中配置的資訊提供的訂閱簡檔資訊,來強制執行在外部網路中的公共資料網路(PDN)閘道處的規則。因此,基於APN的轉發所受的限制在於:其不能被用於不具有SIM卡及/或不具有蜂巢訂閱的UE。通用自舉架構(GBA)受類似的限制,這是因為其亦預先假定了當前的訂閱和SIM能力。
受贊助連接的另一個示例是基於應用的轉發。這是服務網路基於來自UE的單獨資料封包的網際網路協定(IP)目的地位址來過濾來自UE的資料傳輸量的情況。這可以在UE不具有SIM能力或訂閱的場景中起作用,但是卻遭受若干其他缺點。基於應用的轉發允許未經認證及/或未被授權的資料傳輸量流過服務網路的核心網路。這可以被攻擊者用來利用不 能全部被閘道處置的過量的請求/傳輸量來使服務存取網路(諸如閘道)過載,這仍然可以被歸咎於進行贊助的應用/服務。基於應用的轉發常常是低效的,這是因為服務網路必須掃瞄資料傳輸量並且決定其是否是被預期去往進行贊助的接收者的。該場景亦可以使基於應用的轉發難以將規模擴大到許多不同的贊助者及/或使用者。
對根據本案內容的對受贊助連接的促進,可以在某些場景中實現UE可以經由贊助連接(例如,在去往EPC網路的外部網路上)的應用服務提供者的伺服器,來存取一或多個服務。經由伺服器來贊助服務的實體可以在UE進行附著嘗試之前供應服務網路。該供應可以採取服務網路的服務供應商和伺服器的服務供應商之間的服務等級協定的形式。在供應之後,服務網路能夠向潛在地感興趣使用者通告受贊助連接。
在一實施例中,UE可以在探索經由服務網路的受贊助連接之後嘗試附著到服務網路。作為附著請求的一部分,UE向服務網路提供客戶端符記(或某種其他基於客戶端的資訊)而不是使用者辨識項,該客戶端符記是基於在UE和應用服務提供者之間建立的預先存在的身份碼的。例如,UE可能不被提供任何服務供應商/服務提供者身份碼(例如,因為UE不具有SIM卡及/或不具有到歸屬或蜂巢網路的訂閱)。預先存在的身份碼可以不是蜂巢網路特定的身份碼。事實上,其可以與並不運營蜂巢網路的應用服務提供者(例如,內容提供者)相關聯。服務網路可以將附著請求轉發到進行贊助的 實體的伺服器上。附著請求可以包括服務網路的辨識符。在一實施例中,進行贊助的實體的伺服器處於服務網路的核心網路外部的網路中(例如,經由PDN閘道存取,如下文進一步描述的)。伺服器可以經由多次交握來產生UE和伺服器之間的新的共享金鑰,或者替代地,可以使用雜湊形式的使用者密碼。作為一個實例,預先存在的身份碼可以是在UE和伺服器之間建立的預先存在的雜湊版本的密碼。對新的共享金鑰的使用實現了對認證向量的一或多個元素的產生。
伺服器可以隨後向服務網路發送認證向量以繼續促進網路存取。作為認證請求的一部分,一或多個網路元素可以提取和儲存來自認證向量的態樣(例如,來自UE的期望的回應和KASME),以及隨後將剩餘態樣(例如,包括亂數和認證符記)轉發至UE。UE使用共享金鑰或替代地相同的預先存在的身份碼(諸如雜湊形式的使用者密碼)來產生對認證請求的回應。該資料可以隨後被發送回服務網路用於檢驗。若來自UE的回應與由伺服器指定的期望的回應相匹配,則附著程序繼續。當繼續時,UE能夠憑藉受贊助連接利用服務網路來存取服務,即使UE不具有使用者身份及/或與服務提供者的訂閱。
在替代的實施例中,UE可以使用另一種認證方法來利用受贊助連接。UE可以嘗試附著到服務網路,但是不將基於預先存在的身份碼的客戶端符記與附著請求包括在一起。例如,在服務網路向伺服器轉發認證請求之後,伺服器經由服務網路來與UE進行通訊以對UE進行認證,以及接收對伺服 器准許服務網路的一或多個網路元素存取與UE的使用者相關聯的使用者簡檔的授權,以完成認證和附著。若UE成功地與伺服器認證(例如,經由預先存在的身份碼或其某種衍生物的方式),則伺服器將隨後與服務網路中的網路實體互動,以將授權代碼提供給網路元素(而不是提供給UE,隨後再提供給網路元素)。授權代碼使網路元素能夠獲得存取符記,網路元素可以隨後使用該存取符記來存取與UE相關聯的使用者簡檔以完成認證,以及根據贊助的條款來將UE附著到服務網路。
現在轉向附圖,圖1圖示根據本案內容的各個態樣的無線通訊網路100。無線通訊網路100可以包括多個UE 102以及多個無線存取網路(RAN)104(其中均可以包括任意數量的基地台)。為了說明和解釋的簡單,在圖1中圖示單個UE 102和單個RAN 104。RAN 104中的給定的基地台可以包括進化型節點B(eNodeB)。基地台亦可以被稱為基地台收發機或存取點。儘管大體在本文中時常參照LTE/4G網路來論述實施例,但是這樣做是出於示例性的目的。本案內容的實施例亦可適用於多個其他網路以及可利用多個其他網路來操作。
如圖所示,RAN 104與UE 102進行通訊。UE 102可以經由上行鏈路和下行鏈路來與RAN 104進行通訊。下行鏈路(或前向鏈路)代表從RAN 104中的基地台到UE 102的通訊鏈路。上行鏈路(或反向鏈路)代表從UE 102到RAN 104中的基地台的通訊鏈路。
UE 102可以散佈於整個無線網路100中,並且每個 UE 102可以是固定的或移動的。UE 102亦可以被稱為終端、行動站、用戶單元等。UE 102可以是蜂巢式電話、智慧型電話、個人數位助理、無線數據機、膝上型電腦、平板電腦、娛樂設備、可穿戴通訊設備、車輛元件、行動計算設備、健康監測設備、醫療設備、物聯網設備/萬物聯網設備、M2M/D2D設備等。無線通訊網路100是本案內容的各個態樣所應用到的網路的一個實例。
亦在圖1中圖示行動性管理實體(MME)106。MME 106可以負責與用戶(例如,UE 102)相關的控制平面功能以及通信期管理。例如,MME 106可以提供行動通信期管理,以及提供對交遞到其他網路、漫遊和用戶認證的支援。MME 106可以輔助在UE 102的初始附著期間對服務閘道(S-GW)108的選擇、非存取層(NAS)訊號傳遞、NAS訊號傳遞安全、封包資料網路閘道(P-GW)110選擇、包括專用承載建立的承載管理功能、訊號傳遞傳輸量的合法攔截以及其他功能,這裡僅列舉了幾個實例。RAN 104、MME 106、S-GW 108和P-GW 110可以處於相同的服務網路112(例如,進化封包核心(EPC)的一部分)中。將認識到的,服務網路112包括為了本案內容的態樣的論述的簡單而沒有在圖1中示出的其他網路元素。
在服務網路112中,MME 106與S-GW 108進行通訊。S-GW 108可以是此種閘道:終止去往RAN 104的介面、輔助基地台間交遞、提供針對不同標準(例如,2G、3G、4G、LTE、5G和未來網路等)之間的行動性的新購的功能錨定、 合法攔截、基於封包的路由和轉發、以及解決(account for)服務供應商間收費,這裡僅列舉了幾個實例。S-GW 108將資料封包從例如UE 102路由和轉發至P-GW 110。為了簡單起見,圖1圖示單個P-GW 110,儘管將認識到的是,存在資料可以被指引至的多個外部網路(至服務網路112),其中網路114僅是一個實例。P-GW 110作為針對來自UE 102的資料傳輸量的出口點和針對去往UE 102的資料傳輸量的進入點來提供服務網路112和外部封包資料網路之間的連接。P-GW 110可能涉及基於每使用者的封包過濾、合法攔截、服務等級選通控制、服務等級速率實施以及封包篩選,這裡僅列舉了幾個實例。
如圖1所示,P-GW 110為資料封包提供了經由網路114在UE 102和伺服器116之間進行傳送的進入點/出口點。伺服器116可以由提供贊助的實體來操作。在一實施例中,贊助可以包括向應用服務提供者支付一或多個服務(例如,內容串流、線上瀏覽、線上購買等)的費用的使用者。作為回應,應用服務提供者基於與使用者的契約來授予使用者的UE經由網路(諸如蜂巢(服務)網路)使用受贊助連接的權利。在另一個實施例中,基於應用服務提供者對增加其使用者基數的嘗試,可以使受贊助連接對於使用者的UE是免費可用的,(例如,應用服務提供者向蜂巢網路支付服務的費用)。替代地,受贊助連接的費用可以是從由其他源(諸如收益)收取的費用來收取的,而不是從使用者來收取的。
伺服器116可以在本文中被稱為應用服務提供者或 應用服務提供者伺服器。在一實施例中,伺服器116可以本身代管一或多個服務。儘管被示為一個伺服器,但是將認識到的是,伺服器116可以是獨立的系統或以合作的方式來操作(例如,以提供一或多個服務)的多個系統。服務可以是來自例如線上市場、社交媒體網路、搜尋提供者、一般網際網路/網路存取、內容提供者、網際網路存取通訊等很多服務中的任何特定的服務(無論是被在其他地方代管的還是由應用服務提供者的伺服器116代管的)。
所贊助的服務可以由伺服器116所代管的應用服務提供者來決定。例如,這可以發生在供應服務網路112和應用服務提供者之間的協定的時間。在另一個場景中,所贊助的服務可以在附著請求的時間由伺服器116根據在服務網路112和應用服務提供者之間的先前達成一致的(供應的)服務的清單來決定。這可以要麼基於來自UE 102或服務網路112的特定的經請求的服務,要麼基於由伺服器116辨識的服務。
UE 102的使用者可能先前已與應用服務提供者建立了關係,例如經由利用由伺服器116維護的使用者名和密碼來註冊使用者帳戶。根據本案內容的實施例,應用服務提供者的伺服器116亦重複歸屬使用者伺服器(HSS)的若干態樣,包括對於與服務網路112的UE附著程序是必要的或有用的彼等態樣。這可以包括與UE 102相關聯的使用者的使用者名和密碼(以及其任何雜湊等)和認證功能(包括管理根據使用者身份金鑰的安全資訊產生和向網路實體供應安全資訊),這裡僅列舉了一些實例。
如將在下文相對於包括圖示在UE、服務網路和應用服務提供者的伺服器之間的訊號傳遞態樣的協定圖的隨後的附圖來更加詳細地描述的,UE 102可以使用客戶端符記來與服務網路112和伺服器116進行通訊。客戶端符記可以基於(例如,來源於)在UE 102的使用者(或UE 102本身)和應用服務提供者之間先前建立的預先存在的身份碼(例如,密碼、高熵金鑰等的某種變形)。客戶端符記/預先存在的身份碼可以根據本案內容的實施例用於獲得經由服務網路112的受贊助連接。藉由使用預先存在的身份碼,像可能具有訂閱的UE一樣(例如,基於應用服務提供者的特定的贊助來使UE的資料使用或其他類型的服務被包含),不具有SIM卡及/或不具有訂閱的UE仍然可以經由與預先存在的身份碼相關聯的應用服務提供者來獲得受贊助連接。
在一實施例中,受贊助連接可以代表多種多樣的不同態樣。例如,受贊助連接可以代表到服務網路112的完全存取(例如,出於存取/使用由伺服器116提供的應用服務或來自贊助下的不同的提供者的服務的目的)。其他場景包括針對預定的時間量(及/或次數)的到服務的完全或局部存取、通常針對指定的時間段/資料量/資料頻寬的到網路的完全或局部存取、通常針對預定的資料量的到服務及/或網路的完全或局部存取(例如,按位元組或某種其他大小/度量來追蹤),這裡僅列舉了一些實例。
在一個實例中,作為UE 102的初始的附著請求的一部分,UE 102可以向RAN 104發送基於預先存在的身份碼的客 戶端符記而不是其他傳統辨識符。傳統辨識符的示例是國際行動用戶辨識(IMSI)。這是因為本案內容的實施例實現預先存在的身份碼的使用而不是某種類型的用戶辨識項,使得不具有SIM卡或到歸屬網路的訂閱的UE仍然可以經由服務網路112以產生較高效率和安全性的方式來利用受贊助連接(例如,藉由不允許服務網路112上的在P-GW 110處首先被過濾的任何IP傳輸量)。附著請求亦可以辨識UE 102期望與之進行通訊的應用服務提供者(亦即,使用者具有與其的預先存在的身份碼(雜湊密碼/使用者名、高熵金鑰等)的應用服務提供者)。RAN 104向MME 106轉發具有UE的客戶端符記和服務標識的附著請求。MME 106包括具有附著請求中的資訊的服務網路辨識符,並且作為認證資訊請求被轉發到S-GW 108以及隨後被轉發到P-GW 110上。伺服器116能夠基於在來自服務網路112的認證資訊請求中提供的存取符記來辨識UE 102(例如,由來自UE 102的附著請求觸發)。使用現有的身份碼來獲得受贊助連接可以增加連接到應用服務提供者的受贊助服務(或由應用服務提供者伺服器116所贊助的另一個提供者提供的其他服務)的UE的數量。
圖2是根據本案內容的實施例的示例性UE 102的方塊圖。UE 102可以具有本文描述的很多配置中的任何一種配置。UE 102可以包括處理器202、記憶體204、存取模組208、收發機210以及天線216。該等元素可以例如經由一或多個匯流排來與彼此直接或間接地進行通訊。
處理器202可以像特定類型處理器一樣具有各種特 徵。例如,該等特徵可以包括被配置為執行本文參照上文關於圖1介紹的並且在下文更加詳細論述的UE 102來描述的操作的中央處理單元(CPU)、數位訊號處理器(DSP)、特殊應用積體電路(ASIC)、控制器、現場可程式化閘陣列(FPGA)設備、另一個硬體設備、韌體設備,或其任意組合。處理器202亦可以被實現為計算設備的組合,例如,DSP和微處理器的組合、複數個微處理器、一或多個微處理器與DSP核心的結合,或任何其他此種配置。
記憶體204亦可以具有各種特徵。例如,該等特徵可以包括快取緩衝記憶體(例如,處理器442的快取緩衝記憶體)、隨機存取記憶體(RAM)、磁阻RAM(MRAM)、唯讀記憶體(ROM)、可程式化唯讀記憶體(PROM)、可抹除可程式化唯讀記憶體(EPROM)、電子可抹除可程式化唯讀記憶體(EEPROM)、快閃記憶體、固態記憶體設備、硬碟、基於憶阻器的陣列、其他形式的揮發性和非揮發性記憶體,或不同類型的記憶體的組合。在某些實施例中,記憶體204可以包括非暫時性電腦可讀取媒體。
記憶體204可以儲存指令206。指令206可以包括當被處理器202執行時使處理器202執行本文關於UE 102結合本案內容的實施例描述的操作的指令。指令206亦可以被稱為代碼。術語「指令」和「代碼」應當被廣泛地解釋為包括任何類型的電腦可讀取語句。例如,術語「指令」和「代碼」可以代表一或多個程式、常式、子常式、函數、韌體、仲介軟體、微代碼、程序等。「指令」和「代碼」可以包括單個電腦 可讀取語句或很多電腦可讀取語句。
存取模組208可以用於本案內容的各個態樣。例如,存取模組208可以控制由UE 102保留的一或多個預先存在的身份碼(及/或其衍生物)的儲存和取得。存取模組208可以從輸入源(例如在UE 102的使用者的指導下)接收密碼、使用者名/密碼組合、高熵金鑰、符記或身份憑證(這裡僅列舉了幾個示例),以及將身份碼(諸如使用者名和密碼)指引到儲存位置。在一實施例中,UE 102可以從應用服務提供者接收預先存在的身份碼,作為由使用者與應用服務提供者建立的經雜湊版本的密碼。此外,存取模組208可以根據預先存在的身份碼來決定將被用在附著請求中的客戶端符記。可以根據密碼身份碼來決定客戶端符記。例如,可以藉由將密碼與一或多個附加物(諸如salt(鹽)、亂數值,及/或其他值)雜湊來決定客戶端符記,如下文將參照隨後的附圖更加詳細地論述的。
亦可以在附著程序期間使用存取模組208。例如,當UE 102嘗試使用受贊助連接來附著到服務網路112時,存取模組208可以基於預先存在的身份碼來取回(或在所請求的時間動態地推導/決定)客戶端符記,以將其包括在附著請求中。隨後,當UE 102在與服務網路112的互相認證期間接收認證符記時,存取模組208可以輔助決定和建立對認證符記的認證回應,例如,藉由存取(或決定)由存取模組208出於該目的所維護(或決定)的一或多個金鑰。
收發機210可以包括數據機子系統212和射頻(RF) 單元214。收發機210可以是UE 102的通訊介面或UE 102的通訊介面的元件。收發機210被配置為與其他設備(諸如RAN 104中的基地台)進行雙向地通訊。數據機子系統212可以被配置為根據調制和編碼方案(MCS)(例如低密度同位元(LDPC)編碼方案、turbo編碼方案、迴旋編碼方案等)來調制及/或編碼來自存取模組208及/或記憶體204的資料。RF單元214可以被配置為處理(例如,執行類比數位轉換或數位類比轉換等)來自數據機子系統212的(在外出傳輸上)經調制的/經編碼的資料,或從諸如RAN 104中的基地台的另一個源發出的傳輸的經調制的/經編碼的資料。儘管被示為在收發機210中整合在一起,但是數據機子系統212和RF單元214可以是單獨的設備,將其在UE 102處耦合到一起,以使UE 102能夠與其他設備進行通訊。
RF單元214可以向天線216提供經調制的及/或經處理的資料,例如資料封包(或更一般地,可以包含一或多個資料封包和其他資訊(包括PMSI值)的資料訊息),用於向一或多個其他設備的傳輸。例如,這可以包括根據本案內容的實施例的去往RAN 104的對資料訊息的傳輸。天線216亦可以接收從RAN 104發送的資料訊息,並且提供所接收的資料訊息用於在收發機210處的處理及/或解調。儘管圖2將天線216示為單個天線,但是天線216可以包括多個具有類似或不同設計的天線,以便保持多個傳輸鏈路。
圖3是根據本案內容的實施例的示例性伺服器116的方塊圖。伺服器116可以包括處理器302、記憶體304、存取模 組308、服務310、資料庫312以及收發機314。該等元素可以例如經由一或多個匯流排來彼此直接或間接地進行通訊。如上文參照圖1提及的,伺服器116可以代管一或多個服務、維護使用者身份碼(使用者名/密碼、符記、身份碼,及/或根據密碼身份碼推導出的預先存在的身份碼,及/或根據預先存在的身份碼推導出的客戶端符記)的資料庫以及亦重複HSS的若干態樣。
處理器302可以像特定類型處理器一樣具有各種特徵。例如,該等特徵可以包括被配置為執行本文參照上文在圖1中介紹的伺服器116來描述的操作的CPU、DSP、ASIC、控制器、FPGA設備、另一個硬體設備、韌體設備,或其任意組合。處理器302亦可以被實現為計算設備的組合,例如,DSP和微處理器的組合、複數個微處理器、一或多個微處理器與DSP核心的結合,或任何其他此種配置。
記憶體304可以包括快取緩衝記憶體(例如,處理器302的快取緩衝記憶體)、RAM、MRAM、ROM、PROM、EPROM、EEPROM、快閃記憶體、固態記憶體設備、一或多個硬碟、基於憶阻器的陣列、其他形式的揮發性和非揮發性記憶體,或不同類型的記憶體的組合。在某些實施例中,記憶體304可以包括非暫時性電腦可讀取媒體。記憶體304可以儲存指令306。指令306可以包括當被處理器302執行時使處理器302執行本文參照伺服器116結合本案內容的實施例描述的操作的指令。指令306亦可以被稱為代碼,其可以被廣泛地解釋為包括任何類型的電腦可讀取語句,如上文參照圖2論述的。
存取模組308可以用於本案內容的各個態樣。例如,存取模組308可以涉及服務網路的初始供應,以建立經由一或多個服務網路112的一或多個辨識出的服務的受贊助連接。此外,存取模組308可以與專用服務310合作來取得與UE 102及/或UE 102的使用者相關聯的一或多個儲存的(預先存在的)身份碼。例如,在服務310將預先存在的身份碼儲存到資料庫312之後,存取模組308可以從資料庫312取得預先存在的身份碼。
存取模組308可以額外地涉及與UE 102的初始依附程序。伺服器116可以接收與來自UE 102的初始附著請求一起提供的基於預先存在的身份碼的客戶端符記,並且對比在資料庫312中儲存的使用者資訊來檢查相應的預先存在的身份碼(以及使用者名,在使用者名被包括在附著請求中的實施例中)。回應於來自UE 102的附著請求,應用服務提供者的伺服器116可以基於預先存在的身份碼來產生或存取一或多個金鑰和期望的回應,並且將該等作為對初始附著請求的認證請求回應(例如,認證向量)的一部分發送給UE 102。
服務310可以是來自例如線上市場、社交媒體網路、搜尋提供者、服務提供者等很多服務中的任何特定的服務。在一實施例中,由伺服器116表示的應用服務提供者贊助到服務310的連接。在替代的實施例中,服務310是由不同於應用服務提供者的實體提供的一或多個服務的表示,但是應用服務提供者(由伺服器116表示)經由服務網路112來提供針對該服務310的贊助,供UE 102進行存取。
操作伺服器116的應用服務提供者可以經由頻帶外通道來與UE 102的使用者互動,以例如經由UE 102或某種其他具有通訊功能的設備來建立到專用服務的存取權利。這可以包括例如與應用服務提供者的註冊、使用者偏好的建立、存取或使用費用的支付(在適用的情況下)。經由頻帶外通道與應用服務提供者(這裡由伺服器116表示)的使用者名和密碼的建立可以發生在對受贊助連接的附著請求之前的某個時間點,並且可以例如經由WLAN、LAN、Wi-Fi、同級間、網格,或除了諸如圖1的服務網路112的蜂巢網路之外的某種其他網路來發生。應用服務提供者可以例如由存取模組308例如藉由將密碼與一或多個附加物(諸如salt、亂數值,及/或其他值)雜湊,來決定稍後可以被UE 102用作獲得受贊助連接的根據的預先存在的身份碼。
資料庫312可以包括由伺服器116維護的一或多個資料庫,例如代表應用服務提供者和具體地代表存取模組308來維護使用者名和相應的預先存在的身份碼(或在替代的實施例中為密碼)的資料庫。資料庫312可以追蹤受贊助存取資訊,諸如使用者身份和定址(包括例如獲得或請求經由應用服務提供者的受贊助連接的UE的全部或子集的行動電話號碼中的一或多個行動電話號碼)、簡檔資訊、以及與每個具有預先存在的身份碼(例如,預先存在的身份碼、密碼、身份憑證、高熵金鑰,及/或一或多個安全金鑰)或與具有預先存在的身份碼的使用者相關聯的UE相關聯的安全資訊。
收發機314使伺服器116能夠通訊以從外部源(諸如 服務網路108)發送和接收資料。收發機314可以實現無線及/或有線通訊。收發機314可以包括例如乙太網路連接、WiFi連接或其他類型的數據機及/或RF子系統,如將認識到的。收發機314可以是伺服器116的通訊介面或伺服器116的通訊介面的元件。
圖4是圖示根據本案內容的各個態樣的MIMO系統400中的示例性發射器系統410(例如,RAN 104中的基地台)和接收器系統450(例如,UE 102)的方塊圖。在發射器系統410處,從資料來源412向發送(TX)資料處理器414提供針對多個資料串流的傳輸量資料。傳輸量資料可以包括所有形式的傳輸量,包括根據本案內容的態樣的來自一或多個MME實體的認證請求。
在下行鏈路傳輸中,例如,每個資料串流是經由相應的發射天線來發送的。TX資料處理器414基於針對每個資料串流所選擇的特定的編碼方案來格式化、編碼和交錯針對該資料串流的傳輸量資料,以提供經編碼的資料。
可以使用OFDM技術將針對每個資料串流的所編碼資料與引導頻資料多工。引導頻資料(例如,引導頻序列)典型地為被以已知的方式處理的並且可以在接收器系統處用於估計通道回應或其他通道參數的已知的資料模式。引導頻資料可以被格式化為引導頻符號。OFDM符號內的引導頻符號的數量和引導頻符號的佈置可以由處理器430所執行的指令來決定。
隨後基於針對每個資料串流所選擇的特定的調制方 案(例如,BPSK、QSPK、M-PSK或M-QAM)來調制針對該資料串流的經多工的引導頻和經編碼的資料,以提供調制符號。針對每個資料串流的資料速率、編碼和調制可以由處理器430所執行的指令來決定。每個訊框中的引導頻符號的數量和引導頻符號的佈置亦可以由處理器430所執行的指令來決定,例如如上文相對於圖2或3描述的。發射器系統410亦包括記憶體432,例如同樣如上文相對於圖2或3描述的。
隨後將針對所有資料串流的調制符號提供給TX MIMO處理器420,其可以進一步處理調制符號(例如,針對OFDM)。TX MIMO處理器420隨後將NT個調制符號串流提供給NT個發射器(TMTR)422a至422t。在某些實施例中,TX MIMO處理器420將波束成形權重應用於資料串流的符號和天線,其中符號是從該天線進行發送的。發射器系統410包括僅具有一個天線或具有多個天線的實施例。
每個發射器422接收和處理相應的符號串流以提供一或多個類比信號,並且進一步地調節(例如,放大、濾波和升頻轉換)類比信號,以提供適於經由MIMO通道傳輸的經調制的信號。隨後從NT個天線424a至424t分別發送NT個來自發射器422a至422t的NT個經調制的信號。本文描述的技術亦適用於僅具有一個發射天線的系統。使用一個天線的傳輸比多天線場景簡單。例如,在一個天線場景中,可能不需要TX MIMO處理器420。
在接收器系統450處,所發送的經調制的信號由NR個天線452a至452r來接收,並且將來自每個天線452的所接收 的信號提供給相應的接收器(RCVR)454a至454r。每個接收器454調節(例如,濾波、放大和降頻轉換)相應的接收到的信號,數位化所調節的信號以提供取樣,以及進一步處理取樣以提供相應的「接收到的」符號串流。本文描述的技術亦適於僅具有一個天線452的接收器系統450的實施例。
RX資料處理器460隨後接收並且基於特定的接收器處理技術來處理NR個來自接收器454a至454r的接收到的符號串流,以提供NT個偵測到的符號串流。RX資料處理器460隨後根據需要來解調、解交錯以及解碼每個偵測到的符號串流,以恢復針對資料串流的傳輸量資料。所恢復的傳輸量可以包括例如根據本案內容的態樣的來自MME的認證資訊請求中的資訊。RX資料處理器460進行的處理可以與由發射器系統410處的TX MIMO處理器420和TX資料處理器414執行的處理互補。
由RX資料處理器460提供的資訊允許處理器470產生諸如通道狀態資訊(CSI)和其他資訊的報告,以提供給TX資料處理器438。處理器470使包括CSI及/或引導頻請求的反向鏈路訊息公式化,以發送給發射器系統。
可以針對如上文關於在圖2或3中描述的處理器描述的示例來實現處理器470。除反向鏈路訊息之外,接收器系統450可以發送包括以下各項的其他各種類型的資訊:包括基於針對到服務網路112的受贊助連接的預先存在的身份碼的客戶端符記的附著請求、對互相認證的回應、以及用於建立受贊助通訊通信期以及在通訊通訊期的資料的其他資訊。訊息 可以由TX資料處理器438來處理,由TX MIMO處理器480來調制,由發射器454a至454r來調節,並且被發送回發射器系統410。如圖所示,TX資料處理器438亦可以從資料來源436接收針對多個資料串流的傳輸量資料。
在發射器系統410處,來自接收器系統450的所調制的信號由天線424來接收,由接收器422來調節,由解調器440來解調,以及由RX資料處理器442來處理,以提取由接收器系統450發送的反向鏈路訊息。結果,可以在發射器系統410和接收器系統450之間發送和接收資料。發射器系統410亦可以用於將其從接收器系統450接收的資訊發送至其服務網路內的其他網路元素,並且從服務網路中的一或多個其他網路元素接收資訊,如將認識到的。在圖4中示出的實施例僅是示例性的,並且本案內容的實施例適用於未在圖4中示出的其他發射器/接收器系統。
圖5是圖示根據本案內容的各個態樣的在UE、服務網路和應用服務提供者之間的某些訊號傳遞態樣以提供受贊助連接的協定圖。為了論述的簡單,在描述圖5的協定圖中的動作的程序中,將對在圖1中示出的元素(例如,UE 102、RAN 104(在圖5中被示為eNB 104)、MME 106、GW 110、以及作為代管特定於應用的服務的應用服務提供者的伺服器116)進行引用。亦為了簡單,論述將集中在協定流的描述本案內容的實施例的態樣的彼等態樣上,而不是集中在附著程序的所有態樣上。在圖5中示出的方法描述了其中客戶端符記是基於在UE 102和伺服器116之間共享的預先存在的身份碼(基於 密碼)的實施例。
在動作502中,UE 102承擔與服務網路112的服務探索程序。服務探索可以由伺服器116先前與服務網路112參與的服務供應功能來實現。在一實施例中,服務供應功能的結果包括服務網路112向某些或全部接收者(例如,UE 102)廣播用於辨識由伺服器116所代管的應用服務提供者贊助的連接的資訊。在另一個實施例中,向UE 102提供來自伺服器116的用於辨識某些或全部受信任網路,或者已經加入用於代表由伺服器116所代管的應用服務提供者來提供受贊助連接的協定的網路的資訊。
在UE 102探索服務網路112之後,在動作504處,UE 102向eNB 104發送認證請求。這樣做是為了嘗試附著到服務網路112。一旦接收到認證請求,eNB 104就將認證請求轉發到MME 106上。認證請求包括基於先前在UE 102(或UE 102的使用者並且被提供給UE 102)和由伺服器116代管的應用服務提供者之間建立的預先存在的身份碼的客戶端符記。認證請求不包括用户辨識項(例如,IMSI等)。在一實施例中,認證請求不包括與現有的蜂巢網路相關聯的身份碼。認證請求亦可以包括與先前與應用服務提供者建立的預先存在的身份碼相關聯的使用者名。為了輔助服務網路112正確地路由認證請求,UE 102亦可以包括用於辨識伺服器116的資訊,諸如在伺服器116處的應用服務提供者的領域名稱或應用ID。
客戶端符記可以採用多種多樣的形式並且具有多個不同的特徵。例如,預先存在的身份碼可以是藉由以下方式 來產生的:首先將在UE 102和應用服務提供者之間建立的密碼(例如,經由諸如WLAN連接的頻帶外通道)與連接應用服務提供者的名稱的salt放入到雜湊函數訊息認證碼(HMAC)中。出於該論述的目的,HMAC函數的輸出可以被指定為「預先存在的身份碼」。得出的「預先存在的身份碼」的值可以被輸入到另一個HMAC函數中,其中額外的輸入是亂數值,輸出是客戶端符記。客戶端符記使應用服務提供者能夠檢驗對有效的預先存在的身份碼的所有權。可以使用客戶端符記而不使用預先存在的身份碼(或密碼),使得惡意的攻擊者不可以以未授權的方式來攔截資訊並且嘗試偽裝成與UE 102相關聯的使用者。儘管在本文中將客戶端符記描述為與認證請求包含在一起的值,但是將認識到的是,可以替代地包括預先存在的身份碼,儘管與具有客戶端符記的情況相比,這可能將使用者暴露於額外的安全風險。在公式1和2中圖示對該等值的產生:預先存在的身份碼=HMAC(密碼,salt|服務名稱),其中|是連接操作符; (公式1)客戶端符記=HMAC(預先存在的身份碼,亂數)。 (公式2)
客戶端符記繼而被包括在客戶端向量中,用於包括在附著請求中,例如,客戶端向量=[使用者名,亂數,客戶端符記]。作為另一個實例,在一實施例中,UE 102可以使用Lamport(蘭波特)一次性雜湊來產生客戶端符記。為了得到該替代的實施例下的預先存在的身份碼,公式1和2變為如下 的公式3和4所示的:預先存在的身份碼=HMACi(密碼,salt|服務名稱),其中i是雜湊索引; (公式3)客戶端符記=HMAC(預先存在的身份碼,亂數)。 (公式4)
客戶端符記繼而被包括在客戶端向量中,用於包括在附著請求中,例如,客戶端向量=[使用者名,i,亂數,客戶端符記]。如在公式3中所見,添加了索引i。HMACi代表雜湊操作的i次執行。因此,預先存在的身份碼亦包括雜湊索引i,因此伺服器116將能夠知道雜湊操作被執行了多少次,因此其可以在自己這端經歷類似的步驟。
作為另一個實例,替代基於密碼的預先存在的身份碼,預先存在的身份碼可以是先前由伺服器116與UE 102供應的金鑰或其他值。金鑰可以是例如伺服器116將其與UE 102的使用者的帳戶關聯的高熵金鑰(例如,256位元金鑰)。將認識到,可以根據隨機選擇程序或某種其他方式來產生高熵金鑰。在此種情形下,為了建立客戶端符記,代替分別從公式1或3中產生的預先存在的身份碼,將金鑰作為到公式2或4中的預先存在的輸入。
針對上文描述的公式中的任何公式的添加的安全性,亦可以使用多因素認證(MFA)。當使用MFA時,對客戶端符記的推導可以併入另一個被稱為一次性密碼(OTP)的身份碼。因此,公式2和4將會被修改為如下:客戶端符記=HMAC(預先存在的身份碼,亂數|OTP) (公式2)客戶端符記=HMAC(預先存在的身份碼,亂數|OTP) (公式4)
客戶端符記繼而被包括在客戶端向量中,用於包括在附著請求中,例如,客戶端向量=[使用者名,亂數,i(在公式4中使用的),客戶端符記]。儘管在上文被描述為一系列推導,但是將認識到的是,決定預先存在的身份碼和存取符記可以替代地涉及在查找表中檢視一或多個值(例如,先前經由UE 102或伺服器116或某種其他實體推導的並且被提供給UE 102/伺服器116的值)。
MME 106接收從eNB 104轉發的認證請求,並且在動作506處,將對應於服務網路112的服務網路辨識符添加到認證請求中。MME 106可以經由GW 110(例如,傳送層安全(TLS)或超文字傳送協定安全(HTTPS),這裡僅列舉了兩個示例)額外地建立到伺服器116的安全連接,以向伺服器116發送所修改的認證請求。
在動作508處,MME 106向伺服器116發送所修改的認證請求。
在動作510處,一旦伺服器116接收到所修改的認證請求,伺服器116就繼續檢驗所修改的認證請求。這可以包括獲得來自客戶端符記的預先存在的身份碼,並且將預先存在的身份碼同與先前建立的帳戶相關聯的預先存在的身份碼的本端資料庫進行對比,以決定是否存在來自客戶端符記的預先存在的身份碼和資料庫中的一個預先存在的身份碼之間的 匹配。例如,比較可以包括將一個值從另一個值中減去,並且決定是否產生零值,或在零的預定範圍內的某個值(正的或負的)。將認識到,亦可以在不脫離本案內容的範圍的情況下使用其他進行比較的方法。
這是可能的,因為伺服器116亦遵循與上文描述的得到針對給定的預先存在的身份碼的客戶端符記(以及用於得到針對給定的密碼的預先存在的身份碼)的方法相同的方法。在一實施例中,這是UE 102和伺服器116例如在頻帶外通道中就針對客戶端符記(以及在某些實施例中為預先存在的身份碼)的特定的推導方法預先達成一致的結果。在另一個實施例中,這是UE 102在認證請求中包括認證類型所依賴(根據公式1/2或公式3/4,或金鑰、身份憑證等)的標識的結果。結果,伺服器116可以存取包括在認證請求中的與使用者名相關聯的預先存在的身份碼(或密碼),並且在伺服器116處對預先存在的身份碼(或密碼)執行與在UE 102處對預先存在的身份碼執行的操作相同的操作。替代地,可以預先推導出客戶端符記,並且將所接收的客戶端符記與伺服器116處的本端版本進行比較。
若伺服器116不能檢驗與UE 102的請求相關聯的預先存在的身份碼(例如,不能確認來自客戶端符記的預先存在的身份碼的值與資料庫中的預先存在的身份碼的值匹配),則伺服器116將拒絕請求。若伺服器116檢驗了預先存在的身份碼(例如,藉由確認匹配),則伺服器116繼續編譯授權向量。因此,回應於接收到包括來自UE 102的客戶端符記的 認證請求,根據本案內容的實施例,在UE 102和伺服器網路112之間執行互相認證之前,向伺服器116認證UE 102(與當前的慣例相比,其中不將向HSS認證UE作為認證請求的一部分)。在一實施例中,授權向量分量是基於上文的公式1或公式3的預先存在的身份碼來推導的,這取決於在UE 102處採用的方法(可以在UE 102和伺服器116二者處採用相同的方法,使得稍後在UE 102和MME 106之間互相授權將是可能的)。授權向量可以包括KASME(存取安全管理實體)、認證符記(AUTN)、亂數(RAND)以及來自UE的期望回應(XRES)。KASME是MME 106基本金鑰,其對於MME 106和伺服器116二者是已知的,這是因為伺服器116將其與MME 106共享。根據該實施例,KASME是基於來自公式1或3的「預先存在的身份碼」值以及亂數和RAND值的。
在另一個實施例中,在編譯認證向量之前,伺服器116可以使用PAKE(密碼認證的金鑰協定)來得到在UE 102和伺服器116之間的新的共享金鑰。例如,作為PAKE程序的一部分,伺服器116可以參與和UE 102的四向交握。將認識到,其他等級的交握(例如,兩次、三次等)可以是可能的。服務網路112的元素可以在4次交握[L1]期間在UE 102和伺服器116之間傳送通訊(即使附著程序尚未完成)。一旦就共享金鑰達成一致,UE 102和伺服器116二者就儲存共享金鑰,並且伺服器116使用共享金鑰來推導KASME。PAKE程序的完成使得UE 102和伺服器116在UE 102執行與服務網路112的互相認證之前彼此互相地認證。
在本案內容的態樣中,伺服器116使用對基於「預先存在的身份碼」(公式1或3)或基於新的共享金鑰的KASME的一個或另一個推導。在另一個態樣中,伺服器116可以首先嘗試對基於「預先存在的身份碼」的KASME的推導,若該推導因某種原因而失敗,則轉變為使用PAKE來建立用於推導KASME的新的共享金鑰(若兩種方法皆被UE 102和伺服器116支援的話)。KASME可以在認證通信期的持續時間內保持有效。此外,KASME可以用於推導隨後的金鑰,包括NAS加密和完整性金鑰以及應用伺服器(AS)加密和完整性金鑰。
一旦編譯認證向量,在動作512處,伺服器116就經由安全連接將認證回應發送回MME 106。
在動作514處,MME 106從認證向量中提取KASME和期望回應XRES。MME 106儲存該等值,並且在動作516中,將隨機值RAND和認證符記AUTN在到UE 102的認證請求中轉發至UE 102(例如,用於到服務網路112的互相認證)。
在動作518處,一旦UE 102從MME 106接收到具有認證符記AUTN和RAND的認證請求,UE 102就嘗試驗證認證符記AUTN。UE 102基於與伺服器116共享的金鑰來驗證認證符記AUTN。在不使用PAKE的實施例中,這是如根據上文的公式1或3推導出的「預先存在的身份碼」值。在使用PAKE的情況下,其為在根據四向交握與伺服器116達成一致之後在UE 102處儲存的共享金鑰。例如,UE 102基於共享密碼(預先存在的身份碼或共享金鑰)來決定其自己的AUTN版本,並且與從MME 106接收的AUTN進行比較。若值不匹配,則UE 102 不能驗證AUTN並且認證失敗。若存在匹配,則AUTN被驗證,並且UE 102繼續決定回應RES和其自己的KASME版本,其被UE 102和MME 106稍後用於推導用於對NAS訊號傳遞的加密和完整性保護的其他金鑰。
在動作520處,UE 102向MME 106發送RES,使得MME 106可以將其先前從伺服器116儲存的XRES與從UE 102接收的RES進行比較。若二者匹配,則認證是成功的,並且程序可以隨後進行NAS和AS金鑰建立。結果,在具有由伺服器116代管的應用服務提供者贊助(例如,承擔特定存取費用的某些或全部費用)UE 102與服務網路112的連接的情況下,UE 102可以經由服務網路112來存取服務。甚至在UE 102不具有SIM卡或與任何歸屬網路/服務提供者的現有訂閱的情況下,這亦是成立的。
圖6是圖示根據本案內容的各個態樣的在UE、服務網路和應用服務提供者之間的示例性訊號傳遞態樣以提供受贊助連接的協定圖。為了論述的簡單,在描述圖6的協定圖中的動作的程序中,將對在圖1中示出的元素(例如,UE 102、MME 106、由應用服務提供者操作的伺服器116、可以與伺服器116分開或整合在一起的授權伺服器120)進行引用。圖6描述了其中UE 102授權MME 106在伺服器116處存取與UE 102的使用者相關聯的身份碼的實施例。
在動作602處,UE 102向服務網路112發送附著請求,MME 106接收該附著請求以經由伺服器116(應用服務提供者)來存取受贊助服務。附著請求包括指示UE 102期望直接 地與伺服器116進行認證的資訊,而不是像在上文論述的圖5的動作504處一樣,作為認證請求的一部分,提供基於預先存在的身份碼的客戶端符記的資訊。例如,UE 102可以包括與應用服務提供者相關聯的使用者名,而不提供基於預先存在的身份碼的客戶端符記。附著請求可以明確地包括MME 106理解的用於指示UE 102需要直接地與伺服器116進行認證的辨識符,或者這可以依靠附著請求缺少身份碼的事實由MME 106間接地推斷出。UE 102亦可以包括用於辨識伺服器116的資訊(諸如在伺服器116處的應用服務提供者的領域名稱或應用ID),以輔助服務網路112將請求的態樣路由至伺服器116。附著請求不包括任何類型的用戶辨識項(例如,IMSI等)。附著請求亦可以辨識其到服務網路112的存取的所請求的範圍(例如,針對由伺服器116提供的到服務的受贊助連接)。
在動作604處,MME 106決定不存在基於預先存在的身份碼的客戶端符記及/或定位明確的辨識資訊,並且因此向授權伺服器120發送認證請求。如前述,授權伺服器120可以是與伺服器116分離的實體或與伺服器116整合在一起。MME 106可以在認證請求中包括服務網路112的辨識符。可以在應用服務提供者(由伺服器116表示)和服務網路112之間供應受贊助關係之前的時間向授權伺服器120提供辨識符或從授權伺服器120接收辨識符。
在動作606處,授權伺服器120經由服務網路112來發起與UE 102的通訊以認證UE 102。服務網路112的元素可以在使用者認證和存取授權程序期間在UE 102和認證伺服器120 之間傳送通訊,這可以涉及在UE 102和授權伺服器120之間來回的一或多個請求和回應(即使附著程序尚未完成)。例如,UE 102的使用者介面可以指導或請求UE 102的使用者經由使用者介面(未圖示)來輸入使用者名和密碼,以認證(例如,與在授權伺服器處儲存的或可由授權伺服器存取的簡檔中的一個使用者名/密碼匹配的使用者名/密碼)已經與操作伺服器116的應用服務提供者相關聯的使用者。作為另一個實例,UE 102可以存取先前被儲存在記憶體204中的針對應用服務提供者的預先存在的身份碼(或金鑰,或身份憑證)(例如,經由存取模組208),而不要求使用者經由使用者介面進行互動。
在動作606處,除了對與應用服務提供者相關聯的使用者進行認證之外,授權伺服器120亦從UE 102獲得允許MME 106(或服務網路112中的其他適當的網路元素)從伺服器116存取與UE 102相關聯的使用者簡檔的存取授權。在一實施例中,存取授權是獨立於並且不同於使用者認證來獲得的(例如,單獨的查詢)。在另一個實施例中,可以根據成功的使用者認證來暗示存取授權。若使用者認證及/或存取授權失敗,則程序停止並且由MME 106通知UE 102,該MME 106是從授權伺服器120得到通知的。
若使用者認證和存取授權是成功的,則在步驟608處,授權伺服器120向MME 106發送授權代碼(而不是例如發送給UE 102並且隨後重發回到MME 106)。授權代碼是不同於預先存在的身份碼、密碼或使用者的其他相關的身份碼的 值,以及因此從MME 106避開。在具有授權代碼的情況下,授權伺服器120亦可以包括供MME 106在請求存取符記時使用授權代碼進行檢驗的指令。
在具有授權代碼的情況下,MME 106準備好從授權伺服器120請求存取符記,以從伺服器116獲得到與UE 102相關聯的使用者簡檔的存取。在動作610處,MME 106向授權伺服器120發送對存取符記的請求。作為請求的一部分,MME 106包括在動作608處接收的授權代碼。請求亦可以包括服務網路112(或至少MME 106)的標識。
在動作612處,在對MME 106(或更一般地,服務網路112)進行認證和對授權代碼進行驗證之後,授權伺服器120對動作610的存取符記請求進行回應。若不成功,則回應指示拒絕,以及在某些實施例中指示關於拒絕的原因或指示。若成功(例如,提供了正確的授權代碼),則授權伺服器120利用所請求的存取符記來對MME 106進行回應。除了存取符記之外,回應亦可以包括對存取符記的類型的描述、指定的時間段(在該指定的時間段之後存取符記將到期(將不再有效))、以及在存取符記到期的情況下的刷新符記(其可以用於獲得新的存取符記)。
在動作614處,現在具有存取符記的MME 106繼續請求和接收使用者身份碼。在到服務網路112的連接現在由伺服器116所代管的應用服務提供者來贊助的情況下,這可以是針對MME 106輔助完成UE 102到服務網路112的附著來實現的。結果,圖6的實施例使UE 102能夠在不在附著請求中提供基 於預先存在的身份碼(例如,密碼、雜湊密碼或先前儲存在UE 102處的存取符記等)的客戶端符記的情況下,附著到服務網路112。
現在轉向圖7A,流程圖圖示根據本案內容的各個態樣的用於存取針對由操作伺服器的應用服務提供者贊助的服務的網路的示例性方法700。可以在UE 102中實現方法700。儘管將認識到的是,本文描述的態樣可以適用於複數個UE 102,但是為了論述的簡單,將相對於單個UE 102來描述方法700。應當理解的是,上文的「動作」和下文的「步驟」可以被互換地使用。亦應當理解的是,可以在方法700的步驟之前、期間和之後提供額外的步驟,並且針對方法700的其他實施例,可以重新排序、替換或刪去所描述的步驟中的某些步驟。
在步驟702處,UE 102辨識一或多個服務網路112,經由該一或多個服務網路112,受贊助連接可以是可用的。例如,UE 102可以從一或多個服務網路112接收用於通告針對一或多個服務的受贊助連接的一或多個廣播。作為另一個實例,UE 102可以基於來自代管應用服務提供者的伺服器的資訊、針對先前已經儲存在UE 102中的受信任網路的清單來檢查記憶體204。
存在UE 102可以使用預先存在的身份碼來向服務網路112認證以利用對連接的經提供的贊助的若干不同的方式。若UE 102與伺服器116建立使用者名和密碼,則決策步驟704可以將方法700指引到步驟706。
在步驟706處,UE 102將密碼與salt值雜湊,例如如上文相對於公式1或3描述的,產生預先存在的身份碼。在替代的實施例中,在伺服器116先前(例如,經由頻帶外通道)向UE 102供應密碼的預先存在的身份碼的情況下,該步驟可能不是必要的。
在步驟708處,UE 102取預先存在的身份碼並且將其與亂數值(及/或其他值)雜湊,以產生客戶端符記,例如如上文相對於公式2或4描述的。
返回到決策步驟704,若UE 102在先前的時間從伺服器116替代地接收金鑰(諸如高熵金鑰),用於登錄到應用服務提供者的伺服器116,則方法700進行到步驟708(跳過步驟706),其中預先存在的身份碼是在公式2或4中使用的金鑰。
在步驟710處,UE 102向服務網路116發送附著請求,以嘗試利用受贊助連接。UE 102可以發送作為其附著請求的一部分的客戶端符記而不是其他傳統辨識符(諸如IMSI)。客戶端符記可以被包括作為客戶端向量的一部分,除了客戶端符記之外,該客戶端向量亦包括與預先存在的身份碼相關聯的使用者名和亂數值(以及在使用索引的情況下的索引)。
在UE 102向服務網路112發送附著請求之後,如上文相對於各種附圖描述的,服務網路112將請求作為向伺服器116的認證資訊請求轉發至伺服器116上。伺服器116可以隨後檢驗請求。檢驗可以包括將諸如由UE 102提供的使用者名及/或密碼(與UE 102的使用者相關聯)的客戶端向量的態樣與 由應用服務提供者的伺服器116所維護的存取資訊進行比較。在比較產生了對在所比較的值之間的匹配的決定的情況下,可以發生檢驗。在檢驗之後,伺服器116繼續編譯認證回應(向量)。授權回應(向量)可以包括KASME、AUTN、RAND和XRES,其中服務網路112的網路節點元素(例如,MME 106)可以在本機存放區XRES和KASME,並且將RAND和AUTN轉發至UE 102。
若UE 102和伺服器116是針對PAKE來建立的,則在決策步驟712處,方法700進行到步驟714。
在步驟714處,UE 102從伺服器116接收經由服務網路112傳送的通訊。通訊是在UE 102和伺服器116之間的交握(例如,四向)的初始訊息。
在步驟716處,UE 102和伺服器116在交握期間就更新的共享金鑰達成一致。一旦就共享金鑰達成一致,UE 102和伺服器116二者就儲存共享金鑰,並且伺服器116使用共享金鑰來推導一或多個其他金鑰,諸如KASME
在UE 102和伺服器116就共享金鑰達成一致之後,伺服器116使用共享金鑰來產生認證向量的一或多個態樣,其中該認證向量的一或多個態樣是將回應於服務網路112以及部分地回應於UE 102來提供。
方法700進行到步驟718,其中UE 102從服務網路112接收認證請求,該認證請求基於在服務網路112處從伺服器116接收的認證回應。認證請求包括由伺服器116產生或以其他方式決定的並且被服務網路112轉發的認證符記。認證請求 亦可以包括來自伺服器116的亂數。
返回到決策步驟712,若UE 102和伺服器116不是針對PAKE來建立的,則方法700進行到步驟718,如已經描述的。
在步驟720處,UE 102驗證認證符記。UE 102基於與伺服器116共享的金鑰(在使用PAKE的情況下)或中間密碼身份碼來驗證認證符記AUTN。例如,UE 102基於共享密碼(預先存在的身份碼或共享金鑰)來決定其自己的AUTN版本,並且與從服務網路112接收的AUTN進行比較。
若存在匹配,則方法700進行到步驟722,其中UE 102決定回應RES和其自己的KASME版本,其被UE 102和服務網路112(例如,MME 106)稍後用於推導針對NAS訊號傳遞的加密和完整性保護的其他金鑰。
若來自UE 102的RES與在MME 106處的來自伺服器116的XRES相匹配,則認證是成功的,並且程序可以隨後進行NAS和AS金鑰建立。結果,在具有應用服務提供者伺服器116贊助(例如,承擔特定存取費用的某些或全部費用)UE 102與服務網路112的連接的情況下,UE 102可以經由服務網路112來存取服務。甚至在UE 102不具有SIM卡或與任何歸屬網路/服務提供者的現有訂閱的情況下,這亦是成立的。
圖7B是圖示根據本案內容的各個態樣的用於准許針對由應用服務提供者贊助的服務的網路存取的示例性方法740的流程圖。可以在伺服器116中實現方法740。儘管將認識到的是,本文描述的態樣可以適用於複數個伺服器116,但是 為了論述的簡單,將相對於單個伺服器116來描述方法740。應當理解的是,可以在方法740的步驟之前、期間和之後提供額外的步驟,並且針對方法740的其他實施例,可以重新排序、替換或刪去所描述的步驟中的某些步驟。
在步驟742處,伺服器116與服務網路112建立服務等級協定(例如,經由服務供應功能的方式)。作為服務供應功能的結果,服務網路112可以代表伺服器116向接收者廣播用於辨識到服務的贊助連接的資訊。在一實施例中,這亦可以涉及伺服器116向UE 102提供用於辨識某些或全部受信任的網路,或者已經加入代表伺服器116來提供到服務的受贊助連接的協定的網路的資訊。
在步驟744處,伺服器116回應於服務網路112從UE 102接收附著請求(其包括客戶端符記而不是IMSI或其他蜂巢辨識符)來從服務網路112接收認證請求。
存在可以被UE 102用於向服務網路112認證以利用由服務116提供的連接的贊助的若干不同類型的預先存在的身份碼。若UE 102已經與伺服器116建立了使用者名和密碼,則決策步驟746可以將方法740指引到步驟746。
在步驟746處,伺服器116將與使用者相關聯的密碼(該使用者的UE 102嘗試利用受贊助連接)與salt值雜湊,例如如上文相對於公式1或3描述的,產生預先存在的身份碼。在替代的實施例中,在伺服器116先前供應了密碼的預先存在的身份碼的情況下,可以跳過該步驟。
在步驟748處,伺服器116取預先存在的身份碼並且 將其與亂數值(及/或其他值)雜湊,例如如上文相對於公式2或4描述的,以產生客戶端符記的伺服器側副本。
在步驟750處,伺服器116對比使用者的簡檔(例如,使用者名、身份碼等比較)來檢驗認證請求。在一實施例中,這可以包括將所接收的客戶端符記與所決定的伺服器側副本進行比較。匹配是可能的,因為伺服器116和UE 102均可以以相同的方式來雜湊預先存在的身份碼以得到客戶端符記。
返回到決策步驟746,若伺服器116和UE 102已經替代地依賴在先前的時間從伺服器116發送的金鑰(諸如高熵金鑰),用於登錄到由伺服器116表示的應用服務提供者,則方法740進行到步驟748,其中預先存在的身份碼是高熵金鑰。方法740隨後進行到步驟750,如論述的。
若伺服器116和UE 102是針對PAKE來建立的,則在決策步驟752處,方法740進行到步驟754。
在步驟754處,伺服器116經由服務網路112發起與UE 102的通訊。通訊是在伺服器116和UE 102之間的交握(例如,四向)的初始訊息。
在步驟756處,伺服器116和UE 102在交握期間就更新的共享金鑰達成一致。一旦就共享金鑰達成一致,UE 102和伺服器116二者就(例如,在認證通信期的持續時間內)儲存共享金鑰。
在步驟758處,伺服器116使用共享金鑰來推導一或多個其他金鑰(諸如KASME),並且產生包括AUTN的認證向 量的其他態樣。伺服器116亦產生/決定用於包括在認證向量中的其他值,包括XRES和亂數RAND。
返回到決策步驟752,若UE 102和伺服器116不是針對PAKE來建立的,則方法740進行到步驟758,如已經描述的,其中共享金鑰替代地為預先存在的身份碼。
在步驟760處,伺服器116向服務網路112(例如,向MME 106)發送認證向量。MME 106儲存KASME以及XRES,並且將包括AUTN和RAND的其他態樣轉發至UE 102用於互相認證。若在MME 106和UE 102之間的互相認證是成功的,則程序可以隨後進行服務網路112和UE 102之間的NAS和AS金鑰建立,並且最終UE 102可以基於受贊助連接經由服務網路112來繼續存取服務。服務網路112追蹤受贊助連接的態樣(例如,會計、計量、記帳以及其他功能)。
在步驟762處,在UE 102成功附著到服務網路112之後的某個時刻,伺服器116從服務網路112接收對UE 102所使用的受贊助連接的態樣的收費。伺服器116隨後根據相關領域技藝人士將認識到的一或多個方法來處理所接收的收費。結果,在具有應用服務提供者贊助(例如,承擔特定存取費用的某些或全部費用)UE 102與服務網路112的連接,UE 102能夠經由服務網路112來存取服務。
圖7C是圖示根據本案內容的各個態樣的用於促進針對贊助服務的網路存取的示例性方法770的流程圖。可以在MME 106(及/或服務網路112的其他網路元素)中實現方法770。儘管將認識到的是,本文描述的態樣可以適用於服務網路 112中的一或多個其他網路元素,但是為了論述的簡單,將相對於MME 106來描述方法770。應當理解的是,可以在方法770的步驟之前、期間和之後提供額外的步驟,並且針對方法770的其他實施例,可以重新排序、替換或刪去所描述的步驟中的某些步驟。
在步驟772處,MME 106從UE 102接收服務探索請求並且進行回應。例如,MME 106可以使網路元素(諸如一或多個eNB)廣播由伺服器116所代管的應用服務提供者贊助的連接。服務探索請求可以是UE 102對確認受贊助連接的存在及/或在該時間服務網路112的可用性做出的嘗試。
在步驟774處,MME 106從UE 102接收附著請求。附著請求在其中包括客戶端符記,該客戶端符記基於先前在UE 102(及/或UE 102的使用者)和由伺服器116所代管的應用服務提供者之間建立的預先存在的身份碼,而不是其他傳統的辨識符,諸如IMSI。
在步驟776處,MME 106將對應於服務網路112的服務網路辨識符添加到附著請求中,並且將認證請求公式化,用於轉發到伺服器116上。另外,MME 106可以建立到伺服器116的安全連接(例如,TLS或HTTPS)以向伺服器116發送認證請求。
在步驟778處,MME 106向伺服器116發送認證請求,例如經由在步驟776處建立的安全連接。
若伺服器116和UE 102是針對PAKE來建立的,則在決策步驟780處,方法770進行到步驟782。
在步驟782處,MME 106在伺服器116和UE 102之間的交握(例如,四向)(或其他等級的交握)期間在伺服器116和UE 102之間傳送請求和回應訊息。MME 106傳送請求/回應訊息,直到伺服器116和UE 102就共享金鑰達成一致。
在步驟784處,在就共享金鑰達成一致之後,MME 106從伺服器116接收認證向量。認證向量可以包括KASME、AUTN、亂數RAND和XRES。
返回到決策步驟780,若UE 102和伺服器116不是針對PAKE來建立的,則方法770進行到步驟784,如已經描述的。
在步驟786處,MME 106從在步驟784處接收的認證向量中提取KASME和XRES,用於與UE 102的互相認證。
在步驟788處,MME 106向UE 102發送包括AUTN和RAND值的認證請求。UE 102基於與伺服器116共享的金鑰(在使用PAKE的情況下)或預先存在的身份碼來驗證AUTN,並且決定回應RES。例如,UE 102基於共享金鑰來決定其自己的AUTN版本,並且與從MME 106接收到的AUTN進行比較。若值不匹配,則UE 102不能驗證AUTN並且認證失敗。若存在匹配,則AUTN被驗證。
在步驟790處,MME從UE 102接收RES,並且將其與MME 106在步驟786處儲存的XRES進行比較。若來自UE 102的RES與在MME 106處的來自伺服器116的XRES相匹配,則認證是成功的,並且程序可以隨後進行NAS和AS金鑰建立。結果,在具有應用服務提供者贊助(例如,承擔特定存取費用 的某些或全部費用)UE 102與服務網路112的連接的情況下,UE 102可以經由服務網路112來存取服務。在UE 102不具有SIM卡或與任何歸屬網路/服務提供者的現有訂閱的情況下,這亦是成立的。
圖8A是圖示根據本案內容的各個態樣的用於存取針對由應用服務提供者贊助的服務的網路的示例性方法800的流程圖。可以在UE 102中實現方法800。儘管將認識到的是,本文描述的態樣可以適用於複數個UE 102,但是為了論述的簡單,將相對於單個UE 102來描述方法800。此外,如上文相對於圖6提及的,授權伺服器120和伺服器116可以是相同的或不同的實體。為了論述的簡單,下文當論述與授權伺服器120相關的態樣時將參考伺服器116。應當理解的是,可以在方法800的步驟之前、期間和之後提供額外的步驟,並且針對方法800的其他實施例,可以重新排序、替換或刪去所描述的步驟中的某些步驟。
在步驟802處,UE 102辨識一或多個服務網路112,經由該一或多個服務網路112,受贊助連接可以是可用的,例如如上文相對於圖7A的步驟702描述的。
在步驟804處,UE 102向服務網路112發送附著請求,以嘗試利用受贊助連接。然而,與圖7A的步驟710相比,UE 102不將基於預先存在的身份碼的客戶端符記與附著請求一起發送(UE 102亦不發送IMSI或另一個蜂巢身份碼)。替代地,根據圖8A至8C的實施例,UE 102將依賴與伺服器116的使用者認證和存取授權通訊來輔助向伺服器116的認證。MME 106向伺服器116發送認證請求。
在步驟806處,回應於MME 106發送的認證請求,UE 102從伺服器116經由服務網路112來接收使用者認證和存取授權請求。UE 102利用必要資訊來就請求對伺服器116進行回應(例如,在被請求的情況下或被請求時,藉由輸入或提供使用者名及/或密碼(例如以預先存在的存取身份碼的形式))。如上文相對於圖6論述的以及將在下文在圖8B和8C中進一步描述的,在UE 102和伺服器116完成使用者認證/存取授權之後,MME 106從伺服器116接收授權代碼。MME 106使用該授權代碼來請求和接收存取符記,MME 106隨後能夠使用該存取符記來從伺服器116請求和接收使用者簡檔資訊,MME 106使用該使用者簡檔資訊來向服務網路112認證UE 102,以便利用受贊助連接。
現在轉向圖8B,流程圖圖示根據本案內容的各個態樣的用於准許針對由應用服務提供者贊助的服務的網路存取的示例性方法820。可以在伺服器116中實現方法820(為了該論述的目的,亦描述了授權伺服器120的功能)。應當理解的是,可以在方法820的步驟之前、期間和之後提供額外的步驟,並且針對方法820的其他實施例,可以重新排序、替換或刪去所描述的步驟中的某些步驟。
在步驟822處,伺服器116從服務網路112(例如從MME 106(其回應於來自UE 102的附著請求來發送請求))接收認證請求。
在步驟824處,伺服器116經由服務網路112來發起與 UE 102的請求,以完成與UE 102的使用者認證和存取授權。例如,服務網路112的元素可以在使用者認證和存取授權程序期間在UE 102和伺服器116之間傳送通訊,這可以涉及在UE 102和授權伺服器116之間來回的關於預先存在的身份碼的一或多個請求和回應,如上文相對於圖6的動作606描述的。
在步驟826處,作為使用者認證/存取授權程序的一部分,伺服器116分析來自UE 102的回應以決定UE 102是否被成功地認證(例如,藉由提供與在伺服器116處儲存的或可由伺服器116存取的簡檔中儲存的相應的值相比的正確的使用者名及/或密碼)。伺服器116亦決定UE 102是否完成存取授權(例如,藉由為與UE 102相關聯的使用者提供許可或在伺服器116處定位先前儲存的許可)。若使用者認證/存取授權失敗,則方法820進行到步驟842,程序在這裡終止(並且伺服器116可以向UE 102發送用於指示程序為什麼失敗的資訊,諸如不正確的使用者名/密碼組合及/或缺少所提供的用於服務網路112存取與UE 102的使用者相關聯的使用者簡檔的許可)。
若使用者認證和存取授權成功,則方法820進行到步驟828,其中伺服器116向MME 106發送授權代碼(而不是例如發送給UE 102,並且隨後再被重發回到MME 106),例如如上文相對於圖6的動作608描述的。
在步驟830處,伺服器116從MME 106接收針對存取符記的請求,包括授權代碼。
在步驟832處,伺服器116分析與來自MME 106的符 記請求包含在一起的授權代碼。若在給予MME 106的授權代碼(其被伺服器116一直儲存)和在步驟830處從MME 106接收的授權代碼之間存在不匹配,則拒絕請求並且方法820進行到步驟842,程序在這裡終止(並且伺服器116可以向UE 102發送用於指示程序為什麼失敗的資訊)。
若成功,則方法820進行到步驟834,其中伺服器116利用所請求的存取符記就存取符記請求來對MME 106進行回應,例如如上文相對於圖6的動作612描述的。
在步驟836處,伺服器116從MME 106接收對UE 102的使用者的使用者簡檔的請求,以將UE 102附著到服務網路112。對使用者簡檔的請求包括MME 106從伺服器116接收的作為步驟834的結果的存取符記。
在步驟838處,伺服器116分析請求和所包括的存取符記,以決定是否向MME 106釋放所請求的資訊。若在給予MME 106的存取符記和在步驟836處從MME 106接收的存取符記之間存在不匹配,則拒絕請求並且方法820進行到步驟842,程序在這裡終止(並且伺服器116可以向UE 102發送用於指示程序為什麼失敗的資訊)。
若成功,則在步驟840處,伺服器116向MME 106發送所請求的使用者簡檔。結果,UE 102能夠附著到服務網路112,而不在向MME 106的附著請求中提供預先存在的身份碼(例如,先前在UE 102處儲存的密碼、雜湊密碼或存取符記等),而是允許MME 106與伺服器116相對於以獲得適當的資訊。
圖8C是圖示根據本案內容的各個態樣的用於促進針對由應用服務提供者贊助的服務的網路存取的示例性方法850的流程圖。可以在MME 106(及/或服務網路112的其他網路元素)中實現方法850。儘管將認識到的是,本文描述的態樣可以適用於服務網路112中的一或多個其他網路元素,但是為了論述的簡單,將相對於MME 106來描述方法850。應當理解的是,可以在方法850的步驟之前、期間和之後提供額外的步驟,並且針對方法850的其他實施例,可以重新排序、替換或刪去所描述的步驟中的某些步驟。
在步驟852處,MME 106從UE 102接收附著請求(其不包括基於預先存在的身份碼的客戶端符記或用戶辨識項/蜂巢身份碼),並且作為回應,向伺服器116發送認證請求。附著請求包括用於指示UE 102期望直接地與伺服器116進行認證的資訊,而不是像在上文論述的圖5的動作504處一樣,提供作為認證請求的一部分的客戶端符記的資訊。附著請求可以明確地包括MME 106理解的用於指示UE 102需要直接地與伺服器116進行認證的辨識符,或者這可以依靠附著請求缺少客戶端符記的事實由MME 106間接地推斷出。
在步驟854處,MME 106將使用者認證/存取授權請求(其可以包括例如某種形式的預先存在的身份碼)從伺服器116中繼到UE 102,以及將回應從UE 102中繼回到伺服器116。
若在UE 102和伺服器116之間的使用者認證/存取授權是成功的,則在步驟856處,MME 106從伺服器116接收可 以用於請求存取符記的授權代碼。授權代碼被發送給MME 106,而不是將該授權代碼發送給例如UE 102並且再被重發回到MME 106。
在步驟858處,MME 106向伺服器116發送對存取符記的請求,以便從伺服器116獲得到與UE 102相關聯的使用者簡檔的存取。作為請求的一部分,MME 106包括在步驟856處接收的授權代碼。
在步驟860處,在伺服器116認證MME 106並且驗證由MME 106提供的授權代碼之後,MME 106接收所請求的存取符記。
在步驟862處,MME 106發送對與UE 102的使用者相關聯的使用者簡檔的請求,使得MME 106可以輔助服務網路112完成UE 102的附著,使得UE 102可以利用由伺服器116所代管的應用服務提供者贊助的連接。
在伺服器116在步驟862處分析請求和包括在請求中的存取符記之後,在步驟864處,MME 106接收所請求的使用者簡檔。結果,UE 102在未在附著請求中提供預先存在的身份碼(例如,先前在UE 102處儲存的密碼、雜湊密碼或存取符記等)的情況下,附著到服務網路112。
資訊和信號可以使用多種不同的製程和技術中的任何一種來表示。例如,遍及以上描述所提及的資料、指令、命令、資訊、信號、位元、符號和碼片可以由電壓、電流、電磁波、磁場或粒子、光場或粒子或其任意組合來表示。
結合本文揭示內容描述的各種說明性的方塊和模組 可以利用被設計為執行本文描述的功能的通用處理器、DSP、ASIC、FPGA或其他可程式化邏輯裝置、個別閘門或者電晶體邏輯裝置、個別硬體元件或者其任意組合來實現或執行。通用處理器可以是微處理器,但是在替代的方式中,處理器可以是任何一般的處理器、控制器、微控制器或者狀態機。處理器亦可以被實現為計算設備的組合(例如,DSP和微處理器的組合、多個微處理器、一或多個微處理器與DSP核心的結合,或者任何其他此種配置)。
本文描述的功能可以在硬體、由處理器執行的軟體、韌體或其任意組合中實現。若在由處理器執行的軟體中實現,則該功能可以作為一或多個指令或代碼儲存在電腦可讀取媒體中或者經由其進行傳輸。其他示例和實現方式在本案內容和所附申請專利範圍的範圍內。例如,由於軟體的特性,上述功能可以使用由處理器執行的軟體、硬體、韌體、硬佈線或其中的任何組合來實現。特徵實現功能亦可以實體地位於各種位置,包括被分佈使得功能的部分在不同的實體位置實現。
此外,如本文中包括在申請專利範圍中所使用的,在項目列表(例如,在以諸如「……中的至少一個」或「……中的一或多個」為開始的項目列表)中使用的「或」指示包含性的列表,以使得例如列表[A、B或C中的至少一個]表示A或B或C或AB或AC或BC或ABC(亦即,A和B和C)。亦預期的是,相對於一個實施例描述的特徵、元件、動作及/或步驟可以以與本文所提供的次序不同的次序來構成及/或與相對於 本案內容的其他實施例描述的特徵、元件、動作及/或步驟組合。
本案內容的實施例包括一種用於存取服務的使用者裝備(UE),其包括:用於辨識服務網路的手段,其中應用服務提供者伺服器是經由該服務網路來贊助到服務的存取的;用於向該服務網路發送具有客戶端符記的附著請求,該客戶端符記是基於與該應用服務提供者伺服器建立的預先存在的身份碼的,該客戶端符記是不能被辨識為到該服務網路的蜂巢存取身份碼的;及用於基於該預先存在的身份碼經由該應用服務提供者伺服器來向該服務網路認證,用於到該服務的受贊助存取的手段。
UE亦包括用於在附著請求中包括被UE用於認證的認證類型的標識,以利用到服務的受贊助存取的手段。UE亦包括用於在附著請求中包括用於標識如何定位應用服務提供者伺服器的資訊的手段。UE亦包括:其中預先存在的身份碼是基於與應用服務提供者伺服器建立的、經由頻帶外通道產生的密碼的,亦包括:用於將與密碼和應用服務提供者伺服器相關聯的使用者名與附著請求包含在一起的手段;用於將密碼與第一值雜湊以產生預先存在的身份碼的手段;及用於將預先存在的身份碼與第二值雜湊以產生在附著請求中從UE發送的客戶端符記的手段。UE亦包括:用於在UE處經由服務網路從應用服務提供者伺服器接收認證符記的手段,其中服務網路儲存由應用服務提供者伺服器基於預先存在的身份碼來決定的金鑰;用於驗證認證符記的手段;及用於回應於驗 證,基於由UE產生的中間密碼身份碼來決定基於UE的金鑰的手段。UE亦包括:其中客戶端符記被包括作為預先存在的身份碼的證明,以及其中預先存在的身份碼是在發送附著請求之前在UE和應用服務提供者伺服器之間建立的。UE亦包括:用於在發送之後執行UE和應用服務提供者伺服器之間的交握,以就共享金鑰達成一致的手段;用於基於共享金鑰來決定基本金鑰的手段,該共享金鑰在UE和應用服務提供者伺服器之間的認證通信期的持續時間內是有效的;及用於基於該基本金鑰來驗證在該交握之後接收到的回應於該附著請求的認證資訊的手段。UE亦包括用於從服務網路接收對受贊助存取的通告的手段。UE亦包括用於授權來自服務網路的網路元素從應用服務提供者伺服器取回與預先存在的身份碼相關聯的使用者簡檔的手段。UE亦包括其中UE在沒有使用者身份模組(SIM)卡的情況下操作。
本案內容的實施例亦包括贊助到服務的存取的應用服務提供者伺服器,其包括:用於從中間服務網路接收基於來自使用者裝備(UE)的附著請求的認證資訊請求的手段,其中該應用服務提供者伺服器是經由該中間服務網路來對到該服務的存取進行贊助的,該認證資訊請求包括客戶端符記,該客戶端符記是基於與該應用服務提供者伺服器建立的預先存在的身份碼的,並且是不能被辨識為到該服務網路的蜂巢存取身份碼的;用於回應於認證資訊請求,基於可由應用服務提供者伺服器存取的預先存在的身份碼來決定認證資訊的手段;及用於在對服務網路的回應中發送認證資訊的手段 ,其中認證資訊基於該預先存在的身份碼來輔助在該UE和該服務網路之間對到該服務的受贊助存取進行認證。
應用服務提供者亦包括:其中預先存在的身份碼是基於與應用服務提供者伺服器建立的、經由頻帶外通道產生的密碼的,以及認證資訊請求包括與密碼和應用服務提供者伺服器相關聯的使用者名,亦包括:用於基於可由應用服務提供者伺服器存取的一或多個記錄,來檢驗使用者名和客戶端符記的手段,其中客戶端符記包括與第一值雜湊的預先存在的身份碼,以及預先存在的身份碼包括與第二值雜湊的密碼。應用服務提供者亦包括用於基於預先存在的身份碼來產生包括共享金鑰、認證符記和期望回應的認證向量的手段。應用服務提供者亦包括在接收該認證資訊請求之前,向該UE提供該客戶端符記,供該UE用作擁有該預先存在的身份碼的證明的手段。應用服務提供者亦包括:用於在接收之後,基於在UE和應用服務提供者伺服器之間的交握來就共享金鑰達成一致的手段;用於基於共享金鑰來決定基本金鑰的手段;及用於基於預先存在的身份碼來產生包括基本金鑰、認證符記和期望回應的認證向量的手段。應用服務提供者亦包括用於基於對網路元素代表UE來存取使用者簡檔的UE授權,來向來自服務網路的網路元素提供與預先存在的身份碼相關聯的使用者簡檔的手段。應用服務提供者亦包括用於在應用服務網路提供者伺服器和服務網路之間建立服務等級協定的手段,其中服務網路回應於服務等級協定來向可用的設備通告受贊助的存取。應用服務提供者亦包括:其中UE完成UE和服務 網路之間的認證並且利用受贊助的網路,亦包括用於由UE從服務網路接收與對服務網路上的服務的受贊助存取相關聯的收費的手段。應用服務提供者亦包括用於在接收認證資訊請求之前,向UE提供受信任服務網路清單的手段。應用服務提供者亦包括:其中中間服務網路包括進化封包核心(EPC)網路,以及應用服務提供者伺服器是在EPC網路外部的資料網的一部分。
如本領域技藝人士至此將意識到的以及取決於手邊的特定應用,在不脫離本案內容的精神和範圍的情況下,可以在本案內容的設備的使用的材料、裝置、配置和方法中以及對上述態樣做出很多修改、替代和變形。根據這一點,本案內容的範圍不應當受限於本文說明和描述的特定實施例的範圍,因為其僅僅是經由某些示例的方式提供的,更確切地說本案內容的範圍應當完全地與後面所附的申請專利範圍和其功能均等物的範圍相稱。
700‧‧‧示例性方法
702‧‧‧步驟
704‧‧‧決策步驟
706‧‧‧步驟
708‧‧‧步驟
710‧‧‧步驟
712‧‧‧決策步驟
714‧‧‧步驟
716‧‧‧步驟
718‧‧‧步驟
720‧‧‧步驟
722‧‧‧步驟

Claims (27)

  1. 一種用於存取一服務的方法,包括:由一使用者裝備(UE)辨識一網路,其中一應用服務提供者伺服器是經由該網路來實現到該服務的存取的;從該UE向該網路發送具有一客戶端符記的一附著請求,該客戶端符記是基於與該UE相關聯的並且與該應用服務提供者伺服器建立的一預先存在的身份碼的,該客戶端符記是不能被辨識為到該網路的一蜂巢存取身份碼的;及由該UE基於該預先存在的身份碼經由該應用服務提供者伺服器來向該網路認證,用於到該服務的受贊助存取。
  2. 根據請求項1之方法,亦包括:由該UE在該附著請求中包括被該UE用於認證的認證類型的一標識,以利用到該服務的該受贊助存取,其中該發送步驟亦包括由該UE在該附著請求中包括用於標識如何定位該應用服務提供者的資訊。
  3. 根據請求項1之方法,其中該預先存在的身份碼是基於與該應用服務提供者伺服器建立的、經由頻帶外通道產生的密碼的,該發送步驟亦包括:由該UE將與該密碼和該應用服務提供者伺服器相關聯的一使用者名與該附著請求包含在一起;由該UE將該密碼與一第一值雜湊,以產生該預先存在的身份碼;及 由該UE將該預先存在的身份碼與一第二值雜湊,以產生在該附著請求中從該UE發送的該客戶端符記。
  4. 根據請求項3之方法,亦包括:在該UE處經由該網路從該應用服務提供者伺服器接收一認證符記,其中該網路儲存包括由該應用服務提供者伺服器基於該預先存在的身份碼來決定的工作階段金鑰的一認證資訊,該工作階段金鑰使該網路能夠與該UE進行認證;由該UE驗證該認證符記;及回應於該驗證,由該UE基於由該UE產生的該預先存在的身份碼來決定一基於UE的金鑰。
  5. 根據請求項1之方法,其中該發送步驟亦包括:由該UE包括該客戶端符記作為擁有該預先存在的身份碼的一證明,其中該預先存在的身份碼是在該發送該附著請求之前在該UE和該應用服務提供者伺服器之間建立的。
  6. 根據請求項1之方法,亦包括:由該UE在該發送之後,執行在該UE和該應用服務提供者伺服器之間的一交握,以就一共享金鑰達成一致;由該UE基於該共享金鑰來決定一基本金鑰,該共享金鑰在該UE和該應用服務提供者伺服器之間的一認證通信期的一持續時間內是有效的;及由該UE基於該基本金鑰來驗證在該交握之後接收到的回 應於該附著請求的認證資訊。
  7. 根據請求項1之方法,其中該辨識亦包括:由該UE從該網路接收對該受贊助存取的一通告。
  8. 根據請求項1之方法,亦包括:由該UE授權來自該網路的一網路元素從該應用服務提供者伺服器取回與該預先存在的身份碼相關聯的一使用者簡檔。
  9. 根據請求項1之方法,其中該UE符合下文各項中的至少一項:缺少到一蜂巢服務提供者的一訂閱;及在沒有一用戶身份模組(SIM)卡的情況下操作。
  10. 一種用於存取一服務的使用者裝備(UE),包括:一收發機,其被配置為:輔助辨識一網路,其中一應用服務提供者伺服器是經由該網路來實現到該服務的存取的;及向該網路發送具有一客戶端符記的一附著請求,該客戶端符記是基於與該UE相關聯的並且與該應用服務提供者伺服器建立的一預先存在的身份碼的,該客戶端符記是不能被辨識為到該網路的一蜂巢存取身份碼的;及一處理器,其被配置為: 基於該預先存在的身份碼經由該應用服務提供者伺服器來向該網路認證,用於到該服務的受贊助存取。
  11. 根據請求項10之使用者裝備,其中該處理器亦被配置為:在該附著請求中包括被該UE用於認證的認證類型的一標識,以利用到該服務的該受贊助存取;及在該附著請求中包括用於標識如何定位該應用服務提供者的資訊。
  12. 根據請求項10之使用者裝備,其中該預先存在的身份碼是基於與該應用服務提供者伺服器建立的、經由一頻帶外通道產生的一密碼的,該處理器亦被配置為:將與該密碼和該應用服務提供者伺服器相關聯的一使用者名與該附著請求包含在一起;將該密碼與一第一值雜湊,以產生該預先存在的身份碼;及將該預先存在的身份碼與一第二值雜湊,以產生在該附著請求中從該UE發送的該客戶端符記。
  13. 根據請求項12之使用者裝備,其中:該收發機亦被配置為經由該網路從該應用服務提供者伺服器接收一認證符記,其中該網路儲存包括由該應用服務提供者伺服器基於該預先存在的身份碼來決定的一通信期金鑰 的認證資訊,該通信期金鑰使該網路能夠與該UE進行認證;及該處理器亦被配置為驗證該認證符記,以及回應於該驗證,基於由該UE產生的該預先存在的身份碼來決定一基於UE的金鑰。
  14. 根據請求項10之使用者裝備,其中:該客戶端符記表示擁有該預先存在的身份碼的證明,以及該預先存在的身份碼是在該發送該附著請求之前在該UE和該應用服務提供者伺服器之間建立的。
  15. 根據請求項10之使用者裝備,其中:該收發機亦被配置為在發送該附著請求之後,執行在該UE和該應用服務提供者伺服器之間的一交握,以就一共享金鑰達成一致;及該處理器亦被配置為基於該共享金鑰來決定一基本金鑰,該共享金鑰在該UE和該應用服務提供者伺服器之間的一認證通信期的一持續時間內是有效的,以及基於該基本金鑰來驗證在該交握之後接收到回應於該附著請求的認證資訊。
  16. 根據請求項10之使用者裝備,其中該收發機亦被配置為從該網路接收對該受贊助存取的一通告。
  17. 根據請求項10之使用者裝備,其中該處理器亦被配置為:授權來自該網路的一網路元素從該應用服務提供者伺服器取回與該預先存在的身份碼相關聯的一使用者簡檔。
  18. 根據請求項10之使用者裝備,其中該UE在沒有一使用者身份模組(SIM)卡的情況下操作。
  19. 一種具有記錄在其上的程式碼的非暫時性電腦可讀取媒體,該程式碼包括:用於使一使用者裝備(UE)辨識一網路的代碼,其中一應用服務提供者伺服器是經由該網路來實現到一服務的存取的;用於使該UE向該網路發送具有一客戶端符記的一附著請求的代碼,該客戶端符記是基於與該UE相關聯的並且與該應用服務提供者伺服器建立的一預先存在的身份碼的,該客戶端符記是不能被辨識為到該網路的一蜂巢存取身份碼的;及用於使該UE基於該預先存在的身份碼經由該應用服務提供者伺服器來向該網路認證,用於到該服務的受贊助存取的代碼。
  20. 根據請求項19之電腦可讀取媒體,亦包括:用於使該UE在該附著請求中包括被該UE用於認證的認證類型的一標識,以利用到該服務的該受贊助存取的代碼; 及用於使該UE在該附著請求中包括用於標識如何定位該應用服務提供者伺服器的資訊的代碼。
  21. 根據請求項19之電腦可讀取媒體,其中該預先存在的身份碼是基於與該應用服務提供者伺服器建立的、經由一頻帶外通道產生的一密碼的,該電腦可讀取媒體亦包括:用於使該UE將與該密碼和該應用服務提供者伺服器相關聯的一使用者名與該附著請求包含在一起的代碼;用於使該UE將該密碼與一第一值雜湊,以產生該預先存在的身份碼的代碼;及用於使該UE將該預先存在的身份碼與一第二值雜湊,以產生在該附著請求中從該UE發送的該客戶端符記的代碼。
  22. 根據請求項21之電腦可讀取媒體,亦包括:用於使該UE經由該網路從該應用服務提供者伺服器接收一認證符記的代碼,其中該網路儲存包括由該應用服務提供者伺服器基於該預先存在的身份碼來決定的一通信期金鑰的認證資訊,該通信期金鑰使該網路能夠與該UE進行認證;用於使該UE驗證該認證符記的代碼;及用於使該UE回應於該驗證,基於由該UE產生的該預先存在的身份碼來決定一基於UE的金鑰的代碼。
  23. 根據請求項19之電腦可讀取媒體,亦包括: 用於使該UE包括該客戶端符記作為擁有該預先存在的身份碼的一證明的代碼,其中該預先存在的身份碼是在該發送該附著請求之前在該UE和該應用服務提供者伺服器之間建立的。
  24. 根據請求項19之電腦可讀取媒體,亦包括:用於使該UE在該發送之後,執行在該UE和該應用服務提供者伺服器之間的一交握,以就一共享金鑰達成一致的代碼;用於使該UE基於該共享金鑰來決定一基本金鑰的代碼,該共享金鑰在該UE和該應用服務提供者伺服器之間的一認證通信期的一持續時間內是有效的;及用於使該UE基於該基本金鑰來驗證在該交握之後接收到的回應於該附著請求的認證資訊的代碼。
  25. 根據請求項19之電腦可讀取媒體,亦包括:用於使該UE從該網路接收對該受贊助存取的一通告的代碼。
  26. 根據請求項19之電腦可讀取媒體,亦包括:用於使該UE授權來自該網路的一網路元素從該應用服務提供者伺服器取回與該預先存在的身份碼相關聯的一使用者簡檔的代碼。
  27. 根據請求項19之電腦可讀取媒體,其中該UE在沒有一用戶身份模組(SIM)卡的情況下操作。
TW105106765A 2015-03-06 2016-03-04 使用現有身份碼的到蜂巢網路的受贊助連接 TWI616084B (zh)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US201562129462P 2015-03-06 2015-03-06
US62/129,462 2015-03-06
US14/817,123 US9717003B2 (en) 2015-03-06 2015-08-03 Sponsored connectivity to cellular networks using existing credentials
US14/817,123 2015-08-03

Publications (2)

Publication Number Publication Date
TW201644250A TW201644250A (zh) 2016-12-16
TWI616084B true TWI616084B (zh) 2018-02-21

Family

ID=56850049

Family Applications (1)

Application Number Title Priority Date Filing Date
TW105106765A TWI616084B (zh) 2015-03-06 2016-03-04 使用現有身份碼的到蜂巢網路的受贊助連接

Country Status (11)

Country Link
US (2) US9717003B2 (zh)
EP (1) EP3266180B1 (zh)
JP (1) JP6470846B2 (zh)
KR (2) KR101858929B1 (zh)
CN (2) CN107431701B (zh)
AU (2) AU2016229439B2 (zh)
BR (1) BR112017019089B1 (zh)
ES (1) ES2724099T3 (zh)
HU (1) HUE041995T2 (zh)
TW (1) TWI616084B (zh)
WO (1) WO2016144516A1 (zh)

Families Citing this family (44)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9083739B1 (en) 2014-05-29 2015-07-14 Shape Security, Inc. Client/server authentication using dynamic credentials
US9717003B2 (en) 2015-03-06 2017-07-25 Qualcomm Incorporated Sponsored connectivity to cellular networks using existing credentials
US9807086B2 (en) * 2015-04-15 2017-10-31 Citrix Systems, Inc. Authentication of a client device based on entropy from a server or other device
US9979562B2 (en) * 2015-05-27 2018-05-22 Sprint Communications Company L.P. Network function virtualization requirements to service a long term evolution (LTE) network
CZ2015473A3 (cs) * 2015-07-07 2017-02-08 Aducid S.R.O. Způsob zabezpečení autentizace při elektronické komunikaci
US10425414B1 (en) 2015-08-31 2019-09-24 United Services Automobile Association (Usaa) Security platform
US10582382B2 (en) * 2015-09-01 2020-03-03 Telefonaktiebolaget Lm Ericsson (Publ) Methods and devices of authenticating non-SIM mobile terminals accessing a wireless communication network
US9826379B2 (en) * 2015-09-29 2017-11-21 Verizon Patent And Licensing Inc. Methods and systems for facilitating subsidized access by a user to network content
KR102381377B1 (ko) * 2015-10-07 2022-03-31 삼성전자주식회사 통신 시스템에서 프로파일을 원격으로 제공하는 방법 및 장치
US20170171752A1 (en) * 2015-12-14 2017-06-15 Qualcomm Incorporated Securing signaling interface between radio access network and a service management entity to support service slicing
EP3393159B1 (en) * 2016-01-05 2020-09-30 Huawei Technologies Co., Ltd. Avoiding a man-in-the-middle attack on an attach request message
US11197331B2 (en) * 2016-06-10 2021-12-07 Apple Inc. Zero-round-trip-time connectivity over the wider area network
WO2018000396A1 (zh) * 2016-06-30 2018-01-04 华为技术有限公司 一种身份认证方法及通信终端
CN108377495B (zh) * 2016-10-31 2021-10-15 华为技术有限公司 一种数据传输方法、相关设备及系统
US10693867B2 (en) * 2017-03-01 2020-06-23 Futurewei Technologies, Inc. Apparatus and method for predictive token validation
WO2019010101A1 (en) * 2017-07-01 2019-01-10 Shape Security, Inc. SECURE DETECTION AND MANAGEMENT OF COMPROMISED IDENTITY SUPPORTERS
WO2019017865A1 (en) * 2017-07-17 2019-01-24 Sony Mobile Communications Inc. APPLICATION-LEVEL SERVICE IDENTITY SUPPORTERS FOR NETWORK ACCESS AUTHENTICATION
US10932129B2 (en) 2017-07-24 2021-02-23 Cisco Technology, Inc. Network access control
WO2019076025A1 (zh) * 2017-10-16 2019-04-25 Oppo广东移动通信有限公司 一种加密数据流的识别方法、设备、存储介质及系统
WO2019075608A1 (zh) * 2017-10-16 2019-04-25 Oppo广东移动通信有限公司 一种加密数据流的识别方法、设备、存储介质及系统
CN107708138B (zh) * 2017-11-06 2020-09-22 Oppo广东移动通信有限公司 一种接入网络的方法、终端及存储介质
EP3706466B1 (en) * 2017-11-16 2022-08-17 Guangdong Oppo Mobile Telecommunications Corp., Ltd. Intra cell handover with core network relocation
US11075906B2 (en) * 2017-12-28 2021-07-27 Shoppertrak Rct Corporation Method and system for securing communications between a lead device and a secondary device
FR3077175A1 (fr) * 2018-01-19 2019-07-26 Orange Technique de determination d'une cle destinee a securiser une communication entre un equipement utilisateur et un serveur applicatif
WO2019219205A1 (en) * 2018-05-18 2019-11-21 Telefonaktiebolaget Lm Ericsson (Publ) Application program access control
CN112385192B (zh) * 2018-07-09 2022-04-22 华为云计算技术有限公司 用于创建安全连接的系统和方法
US11481509B1 (en) 2018-07-10 2022-10-25 United Services Automobile Association (Usaa) Device management and security through a distributed ledger system
WO2020036947A1 (en) * 2018-08-13 2020-02-20 Intel Corporation Techniques in evolved packet core for restricted local operator services access
CN110972135A (zh) * 2018-09-28 2020-04-07 华为技术有限公司 一种安全通信方法、加密信息确定方法及装置
CN111385369B (zh) * 2018-12-28 2021-06-22 华为技术有限公司 一种域名服务器的分配方法和装置
US11728973B2 (en) * 2019-08-14 2023-08-15 Royal Bank Of Canada System and method for secure access management
US10785652B1 (en) * 2019-09-11 2020-09-22 Cisco Technology, Inc. Secure remote access to a 5G private network through a private network slice
US11589226B2 (en) * 2019-12-17 2023-02-21 Cisco Technology, Inc. Multi-factor authentication for mobile security protocol
US11509476B2 (en) * 2020-02-12 2022-11-22 Verizon Patent And Licensing Inc. System and method for enabling secure service-based communications via 5G proxies
WO2021229474A1 (en) * 2020-05-15 2021-11-18 Telefonaktiebolaget Lm Ericsson (Publ) Onboarding devices in standalone non-public networks
EP4002766B1 (en) * 2020-11-18 2024-04-24 Deutsche Telekom AG Method and system for reachability of services specific to one specific network access over a different network access and system thereof
CN115021950A (zh) * 2021-03-03 2022-09-06 美光科技公司 用于端点的在线服务商店
CN113810367A (zh) * 2021-08-02 2021-12-17 浪潮软件股份有限公司 一种基于动态令牌方式的混合数据验证访问控制方法
WO2023249519A1 (en) * 2022-06-20 2023-12-28 Telefonaktiebolaget Lm Ericsson (Publ) Providing an authentication token for authentication of a user device for a third-party application using an authentication server.
US11546323B1 (en) * 2022-08-17 2023-01-03 strongDM, Inc. Credential management for distributed services
US11736531B1 (en) 2022-08-31 2023-08-22 strongDM, Inc. Managing and monitoring endpoint activity in secured networks
US11765159B1 (en) 2022-09-28 2023-09-19 strongDM, Inc. Connection revocation in overlay networks
US11916885B1 (en) 2023-01-09 2024-02-27 strongDM, Inc. Tunnelling with support for dynamic naming resolution
US11765207B1 (en) 2023-03-17 2023-09-19 strongDM, Inc. Declaring network policies using natural language

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5560008A (en) * 1989-05-15 1996-09-24 International Business Machines Corporation Remote authentication and authorization in a distributed data processing system
US20080060066A1 (en) * 2006-09-06 2008-03-06 Devicescape Software, Inc. Systems and methods for acquiring network credentials
US20090037991A1 (en) * 1995-10-25 2009-02-05 Ellis John R Managing transfers of information in a communications network

Family Cites Families (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080108322A1 (en) * 2006-11-03 2008-05-08 Motorola, Inc. Device and / or user authentication for network access
US8117648B2 (en) * 2008-02-08 2012-02-14 Intersections, Inc. Secure information storage and delivery system and method
JP5578580B2 (ja) * 2009-04-17 2014-08-27 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 移動通信システムにおけるローカルデバイスアクセスの管理装置
US8776214B1 (en) * 2009-08-12 2014-07-08 Amazon Technologies, Inc. Authentication manager
WO2011115407A2 (en) * 2010-03-15 2011-09-22 Samsung Electronics Co., Ltd. Method and system for secured remote provisioning of a universal integrated circuit card of a user equipment
CN103460729B (zh) * 2011-01-28 2017-02-22 三星电子株式会社 用于在移动通信系统中控制收费的设备和方法
US9130935B2 (en) * 2011-05-05 2015-09-08 Good Technology Corporation System and method for providing access credentials
US8699709B2 (en) 2011-07-08 2014-04-15 Motorola Solutions, Inc. Methods for obtaining authentication credentials for attaching a wireless device to a foreign 3GPP wireless domain
US8752154B2 (en) * 2011-08-11 2014-06-10 Bank Of America Corporation System and method for authenticating a user
US8594628B1 (en) 2011-09-28 2013-11-26 Juniper Networks, Inc. Credential generation for automatic authentication on wireless access network
KR101929299B1 (ko) 2011-12-06 2019-03-13 삼성전자주식회사 이동통신 네트워크에서 요금 지불을 대행하는 인터넷 서비스 제공 방법 및 장치
WO2013165605A1 (en) 2012-05-02 2013-11-07 Interdigital Patent Holdings, Inc. One round trip authentication using single sign-on systems
CN103428696B (zh) * 2012-05-22 2017-04-19 中兴通讯股份有限公司 实现虚拟sim卡的方法、系统及相关设备
US8769651B2 (en) * 2012-09-19 2014-07-01 Secureauth Corporation Mobile multifactor single-sign-on authentication
US9338130B2 (en) * 2013-02-11 2016-05-10 Broadcom Corporation Apparatus and method to register Wi-Fi clients on a Wi-Fi network
US10313532B2 (en) 2013-06-13 2019-06-04 Kajeet, Inc. Platform for enabling users to sign up for sponsored functions on computing devices
CN104243362B (zh) * 2013-06-24 2018-07-20 新华三技术有限公司 一种报文转发方法和装置
US8646060B1 (en) * 2013-07-30 2014-02-04 Mourad Ben Ayed Method for adaptive authentication using a mobile device
US20150312248A1 (en) * 2014-04-25 2015-10-29 Bank Of America Corporation Identity authentication
US9667424B2 (en) * 2014-06-26 2017-05-30 Xiaomi Inc. Methods and apparatuses for binding token key to account
CN104469765B (zh) * 2014-07-28 2020-10-23 北京佰才邦技术有限公司 用于移动通信系统中的终端认证方法和装置
US9356921B2 (en) * 2014-08-28 2016-05-31 Sap Se Different authentication profiles
US9402093B2 (en) * 2014-09-03 2016-07-26 Spotify Ab Systems and methods for temporary access to media content
US9813400B2 (en) * 2014-11-07 2017-11-07 Probaris Technologies, Inc. Computer-implemented systems and methods of device based, internet-centric, authentication
US9705864B2 (en) * 2014-12-10 2017-07-11 Futurewei Technologies, Inc. Media session resumption in web session restoration
US9717003B2 (en) 2015-03-06 2017-07-25 Qualcomm Incorporated Sponsored connectivity to cellular networks using existing credentials
US9801055B2 (en) * 2015-03-30 2017-10-24 Qualcomm Incorporated Authentication and key agreement with perfect forward secrecy
US9853965B2 (en) * 2015-08-24 2017-12-26 Verizon Patent And Licensing Inc. Authentication service for third party applications

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5560008A (en) * 1989-05-15 1996-09-24 International Business Machines Corporation Remote authentication and authorization in a distributed data processing system
US20090037991A1 (en) * 1995-10-25 2009-02-05 Ellis John R Managing transfers of information in a communications network
US20080060066A1 (en) * 2006-09-06 2008-03-06 Devicescape Software, Inc. Systems and methods for acquiring network credentials

Also Published As

Publication number Publication date
KR20180004310A (ko) 2018-01-10
CN110086833A (zh) 2019-08-02
HUE041995T2 (hu) 2019-06-28
TW201644250A (zh) 2016-12-16
US9769665B2 (en) 2017-09-19
BR112017019089A2 (pt) 2018-04-17
WO2016144516A1 (en) 2016-09-15
US20170230829A1 (en) 2017-08-10
KR101858929B1 (ko) 2018-05-17
US9717003B2 (en) 2017-07-25
ES2724099T3 (es) 2019-09-06
AU2016229439B2 (en) 2018-11-08
KR20170106490A (ko) 2017-09-20
EP3266180A1 (en) 2018-01-10
CN107431701B (zh) 2019-06-28
KR101819878B1 (ko) 2018-02-28
AU2016229439A1 (en) 2017-08-10
US20160262021A1 (en) 2016-09-08
CN110086833B (zh) 2021-07-30
BR112017019089B1 (pt) 2024-02-06
JP2018513462A (ja) 2018-05-24
CN107431701A (zh) 2017-12-01
JP6470846B2 (ja) 2019-02-13
AU2019200920A1 (en) 2019-02-28
AU2019200920B2 (en) 2020-05-14
EP3266180B1 (en) 2019-01-30

Similar Documents

Publication Publication Date Title
TWI616084B (zh) 使用現有身份碼的到蜂巢網路的受贊助連接
AU2020202972B2 (en) Identity privacy in wireless networks
CN108781216B (zh) 用于网络接入的方法和设备
US9635010B2 (en) Network-based authentication for third party content
US20160134622A1 (en) Restricted Certificate Enrollment For Unknown Devices In Hotspot Networks
WO2017025629A1 (en) Network access identifier including an identifier for a cellular access network node
JP7470671B2 (ja) コアネットワークへの非3gpp装置アクセス
JP7337912B2 (ja) コアネットワークへの非3gppデバイスアクセス
US20200389788A1 (en) Session Key Establishment
US8442527B1 (en) Cellular authentication for authentication to a service