TWI713544B - 驗證對設備使用特徵集合的授權 - Google Patents

驗證對設備使用特徵集合的授權 Download PDF

Info

Publication number
TWI713544B
TWI713544B TW105121481A TW105121481A TWI713544B TW I713544 B TWI713544 B TW I713544B TW 105121481 A TW105121481 A TW 105121481A TW 105121481 A TW105121481 A TW 105121481A TW I713544 B TWI713544 B TW I713544B
Authority
TW
Taiwan
Prior art keywords
authorization
features
server
network node
selective activation
Prior art date
Application number
TW105121481A
Other languages
English (en)
Other versions
TW201714428A (zh
Inventor
李秀凡
蓋文伯納德 霍恩
約翰 史密
拉札希 潘卡吉
湯瑪士 勞斯
Original Assignee
美商高通公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 美商高通公司 filed Critical 美商高通公司
Publication of TW201714428A publication Critical patent/TW201714428A/zh
Application granted granted Critical
Publication of TWI713544B publication Critical patent/TWI713544B/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/105Arrangements for software license management or administration, e.g. for managing licenses at corporate level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/1016IP multimedia subsystem [IMS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • H04L67/303Terminal profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/35Protecting application or service provisioning, e.g. securing SIM application provisioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/14Direct-mode setup
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Multimedia (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • Business, Economics & Management (AREA)
  • Technology Law (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Computer And Data Communications (AREA)
  • Transmitters (AREA)
  • Paper (AREA)
  • Input Circuits Of Receivers And Coupling Of Receivers And Audio Equipment (AREA)

Abstract

設備獲得其被授權使用第一集合的選擇性啟動特徵的證明(第一證明)。授權伺服器使用其私密金鑰對第一證明進行簽名。該設備向網路節點發送使用網路服務的請求。該設備向網路節點發送第一證明。該網路節點使用授權伺服器的公開金鑰來驗證第一證明。該網路節點同意使用網路服務的該請求。該設備發送針對於網路節點提供該網路服務的授權證明(第二證明)的請求。該設備獲得由另一個授權伺服器簽名的第二證明,並在使用網路服務之前,對第二證明進行驗證。第一證明和第二證明均包括選擇性啟動特徵清單,其中需要該等選擇性啟動特徵才能使用或者提供網路服務。

Description

驗證對設備使用特徵集合的授權
本案係關於對設備接收的授權的驗證,以啟動可以進行選擇性啟動的特徵集合,從而發起或者維持該設備和對授權進行驗證的實體之間的服務。
多數通訊設備(例如,晶片式元件、客戶端設備、網路節點)提供多個特徵。該等特徵可以使用硬體及/或軟體來實現。
當實體獲得通訊設備時,可以啟動該通訊設備的某些特徵。可以不啟動其他特徵。例如,製造商、子部件製造商或者原始設備製造商(OEM)可以製造通訊設備的不同模型(例如,版本),其具有在該通訊設備中包含的一或多個特徵,其中該一或多個特徵基於設備模型來進行啟動或者停用的。因此,通訊設備的特徵的一個子集(例如,小於整個集合)可以在最終產品中進行操作。例如,製造商可以在第一模型中啟動一個特徵,但不在第二模型中啟動該特徵,即使此兩種模型皆包括用於實現該特徵的所有硬體和軟體。另外地或替代地,可能不執行在通訊設備上儲存的處理電路可讀取指令的一部分,以便阻止將特徵啟動。啟用及/或禁用硬體及/或軟體,增加及/或減少在最終產品中啟動的特徵的數量,並可以例如影響最終產品的價格。
相應地,當部署通訊設備時,該通訊設備可能能夠(例如,以硬體及/或軟體或韌體而言)執行某些特徵作為其操作的一部分,但其可能沒有被授權使用該等特徵。關於授權使用特徵的限制可以是基於例如購買契約的,購買契約限制對通訊設備可用的特徵及/或服務的使用。
本文所揭示的態樣提供了用於對電子設備的一或多個特徵集合的使用授權進行動態驗證的方法和裝置。
在一些態樣中,一種方法可以包括:獲得一個設備使用該設備處的第一集合的選擇性啟動特徵的授權證明。第一授權伺服器可以對用於該設備的該授權證明進行簽名。該方法可以包括:向網路節點發送使用網路服務的請求,其中第一集合的選擇性啟動特徵包括該設備使用該網路服務需要的第一選擇性啟動特徵。回應於發送使用該網路服務的請求,該設備可以從網路節點獲得針對該設備的該授權證明的請求。該設備可以向網路節點發送用於該設備的該授權證明,以及針對網路節點提供該網路服務的授權證明的請求。該設備可以從網路節點獲得該網路節點使用該網路節點處的第二集合的選擇性啟動特徵的授權證明,其中第二授權伺服器對該授權證明進行了簽名,第二集合的選擇性啟動特徵包括該網路節點提供該網路服務需要的第二選擇性啟動特徵。此外,該方法亦可以包括:在使用該網路服務之前,對用於該網路節點的授權證明進行驗證。
在一些實例中,該設備可以是晶片式元件、客戶端設備、網路存取節點、行動性管理實體或者閘道設備。在一個實例中,該設備可以是客戶端設備或者晶片式元件,該網路節點可以是網路存取節點。
在一個態樣中,針對該設備的授權證明可以源自於第一授權伺服器,可以使用第一授權伺服器的私密金鑰進行簽名,並可以包括第一選擇性啟動特徵的清單。此外,該方法亦可以包括:藉由使用第一授權伺服器的公開金鑰,對第一選擇性啟動特徵的清單進行驗證,來驗證針對該設備的授權證明。此外,該方法亦可以包括:獲得與第一選擇性啟動特徵相關聯的、使用該設備的公開金鑰進行加密的特徵啟用金鑰;使用僅僅該設備知道的該設備的私密金鑰,對特徵啟用金鑰進行解密;利用該特徵啟用金鑰,啟動該第一選擇性啟動特徵及/或維持對該第一選擇性啟動特徵的啟動。
在用於該網路節點的授權證明源自於第二授權伺服器,使用第二授權伺服器的私密金鑰進行簽名,並包括第二選擇性啟動特徵的清單的實例中,該方法亦可以包括:藉由使用第二授權伺服器的公開金鑰,對第二選擇性啟動特徵的清單進行驗證,來驗證用於該網路節點的授權證明。
在一個態樣中,第一授權伺服器可以是本端授權伺服器。
在另一個態樣中,該方法亦可以包括:辨識該網路節點使用該網路服務需要的第三集合的選擇性啟動特徵;基於判斷第三集合的選擇性啟動特徵是否包括在第二集合的選擇性啟動特徵中,使用該網路服務。
在一種實施方式中,針對該設備的授權證明源自於第一授權伺服器,並是該設備從第一授權伺服器獲得的,用於該網路節點的授權證明源自於第二授權伺服器,並是該設備從該網路節點獲得的。在一個態樣中,第一授權伺服器和第二授權伺服器可以是一個授權伺服器。
在一些態樣中,針對該設備的授權證明是在特徵啟動程序期間從第一授權伺服器獲得的,其中在該特徵啟動程序期間,該設備獲得授權以啟動第一選擇性啟動特徵。在一些態樣中,針對該設備的授權證明可以是代表授權憑證的資料。在其他態樣中,針對該設備的授權證明可以是代表授權協定的資料,其中該授權協定指示授權該設備啟動第一選擇性啟動特徵。
在一個實例中,一種設備包括網路通訊電路和耦合到該網路通訊電路的處理電路。該處理電路可以被配置為執行上面所描述的方法。
在另一個態樣中,一種在網路節點處操作的方法,可以包括:從設備獲得使用網路服務的請求。該方法可以包括:獲得用於該設備使用該設備處的第一集合的選擇性啟動特徵的授權證明。授權伺服器可以對針對該設備的授權證明進行簽名。此外,該方法亦可以包括:對針對該設備的授權證明進行驗證。此外,該方法亦可以包括:辨識該設備使用該網路服務需要的第二集合的選擇性啟動特徵;基於對針對該設備的授權證明進行驗證的結果,以及判斷第二集合的選擇性啟動特徵是否包括在第一集合的選擇性啟動特徵中,發送針對於該請求的回應。在一些態樣中,該網路節點可以是網路存取節點、行動性管理實體或者閘道設備。
在一個實例中,第一集合的選擇性啟動特徵包括第一選擇性啟動特徵,針對該設備的授權證明源自於授權伺服器。針對該設備的授權證明可以包括:使用授權伺服器的私密金鑰進行簽名的第一選擇性啟動特徵的清單。此外,該方法亦可以包括:藉由使用授權伺服器的公開金鑰,對第一選擇性啟動特徵的清單進行驗證,來驗證針對該設備的授權證明。
在一個態樣中,針對該設備的授權證明可以源自於授權伺服器,可以是該網路節點從該設備獲得的。在另一個態樣中,針對該設備的授權證明可以源自於授權伺服器,可以是該網路節點從歸屬用戶伺服器(HSS)獲得的具有該設備的能力簡檔的形式。
在一種實施方式中,針對該設備的授權證明可以是代表授權憑證的資料。在另一種實現中,針對該設備的授權證明可以是代表授權協定的資料,其中該授權協定指示授權該設備啟動第一集合的選擇性啟動特徵。
在一個態樣中,辨識第二集合的選擇性啟動特徵,可以包括:根據授權伺服器維持的被授權的選擇性啟動特徵的特定於模型及/或特定於設備的清單,來匯出該設備使用該網路服務需要的選擇性啟動特徵。在另一個態樣中,辨識第二集合的選擇性啟動特徵,可以包括:根據授權伺服器維持的可許可的選擇性啟動特徵的特定於模型及/或特定於設備的清單,來匯出該設備使用該網路服務需要的選擇性啟動特徵。
在一種實施方式中,該方法可以包括:證實該設備持有與該設備的公開金鑰相對應的私密金鑰,其中該設備的公開金鑰包含於針對該設備的授權證明,其中發送針對該請求的回應亦是基於該驗證的結果。
在一個態樣種,一種網路節點可以包括網路通訊電路和耦合到該網路通訊電路的處理電路。該處理電路可以被配置為執行上面所描述的方法。
在一個態樣中,一種在伺服器處操作的方法,可以包括:獲得設備的選擇性啟動特徵的第一清單;基於第一清單,更新在伺服器處儲存的該設備的選擇性啟動特徵的第二清單,以便反映第二列表中的至少一個選擇性啟動特徵的授權狀態的改變,其中第二清單與該設備的訂閱簡檔相關聯。
在一個實例中,該伺服器可以是歸屬用戶伺服器(HSS)。
在一種實施方式中,該方法亦可以包括:回應於關於該設備的能力的查詢,發送能力簡檔,其中該能力簡檔包括該設備的選擇性啟動特徵的第二清單。
在一個態樣中,當選擇性啟動特徵的第一清單源自於授權伺服器,並並利用授權伺服器的私密金鑰進行了簽名時,該方法亦可以包括:使用授權伺服器的公開金鑰,對選擇性啟動特徵的第一清單進行驗證。
在一個態樣中,該授權伺服器可以是本端授權伺服器。
在一個態樣中,選擇性啟動特徵的第一清單可以是代表授權伺服器所簽名的授權憑證的資料。在另一個態樣中,選擇性啟動特徵的第一清單可以是代表授權協定的資料,其中該授權協定指示授權該設備啟動該選擇性啟動特徵。
在一個態樣中,一種伺服器(例如,HSS)可以包括:用於經由網路進行通訊的網路通訊電路和耦合到該網路通訊電路的處理電路。該處理電路可以被配置為執行上文所描述的方法。
在下文描述中,參照經由示例的方式所示出的附圖,來提供本案內容中描述的特定態樣和特徵。意欲足夠詳細地提供本案內容中描述的該等態樣和特徵,以使本領域一般技藝人士能夠實現本案內容的態樣。在不脫離本案內容的保護範圍的基礎上,可以使用其他態樣和特徵,並對所揭示的態樣和特徵做出改變。不是以限制性的含義來提供下文的具體實施方式,本文所描述和示出的態樣和特徵的保護範圍僅僅由所附申請專利範圍來界定。
本文所使用的術語「示例性」一詞意味著「用作實例、示例或說明」。本文描述為「示例性的」任何態樣或實施方式,並不必需被解釋為比其他態樣或實現更優選或更具優勢。
本文所使用的術語「態樣」並不需要所有態樣皆包括所論述的態樣,或者任何論述的態樣、優點及/或操作模式。
本文所使用的術語「獲得」意味著匯出、產生、計算、請求、接收、獲取、接受、取得、佔有、收集、得到、獲得傳輸或接收、被給予、獲得存取、擁有等等。如本文所使用的術語「獲得」涵蓋本端地獲得,及/或從非本端或遠端實體獲得。
本文所使用的術語「提供」意味著發送、轉發、提供、供應、使得傳送到目的地。本文使用的術語「發送」意味著供應、轉發、提供、供給、使得傳送到目的地。
如本文所使用的,術語「製造商」可以代表構造產品、並以本實體自身的名義向消費者或OEM銷售該產品的實體。OEM可以是從另一個實體購買產品,並對該等產品進行貼牌以在該OEM的名義下進行銷售的實體。另外地或替代地,OEM可以是從相同或者不同的製造商購買不同類型的產品(例如,伺服器和資料儲存產品),將該等產品附隨在一起,並以該OEM的名義銷售最終附隨的產品的實體。
本文所使用的術語「設備」可以代表諸如晶片式元件、客戶端設備及/或網路節點之類的任何通訊設備。例如,「晶片式元件」可以包括處理電路、數據機、晶片集。例如,「客戶端設備」可以包括無線設備、行動設備、用戶設備、行動電話、行動通訊設備、行動計算設備、數位平板設備、智慧型電話、使用者裝備(UE)、使用者設備、使用者終端、終端、站(STA)。「網路節點」可以包括其是服務網路或歸屬網路的一個功能節點的任何設備或機器。網路節點的實例係包括,但不限於:基地台、網路存取節點(例如,進化節點B(eNodeB、eNB))、行動性管理實體(MME)、閘道設備(例如,服務閘道(S-GW)、封包資料網路閘道(P-GW))、歸屬用戶伺服器(HSS)、授權、認證和計費(AAA)伺服器(其統稱為HSS/AAA伺服器)、無線路由器、存取點(AP)及/或執行網路功能的任何節點。客戶端設備及/或網路節點可以包括晶片式元件。
如本文所使用的術語「網路存取節點」可以代表包括設備(例如,晶片式元件、客戶端設備)和核心網之間的無線設備連接的任何設備。網路存取節點的實例可以包括eNB、基地台、AP。可以將網路存取節點理解成網路節點的一個實例。
本文可以藉由參考封包資料網路(PDN),來舉例說明位於蜂巢通訊系統的核心網之外的網路(例如,PDN(如,網際網路)和IP多媒體服務(IMS)網路),但是,並不是意欲將核心網之外的網路限制於PDN或IMS網路。此外,本文所提供的態樣和特徵只是示例性的。任何內容並非意欲將本文所提供的任何態樣或特徵限制於蜂巢通訊系統中的使用。
如本文所使用的,對於「特徵」的引用(其包括對於「選擇性啟動特徵」的引用)可以是對於利用硬體、軟體、韌體,或者硬體、軟體和韌體中的兩個或更多的任意組合來實現的態樣、電路、服務或者設備(如,晶片式元件、客戶端設備、網路節點)的功能的引用。
術語「選擇性啟動」可以描述其活動狀態被改變的特性或者能力(例如,其可以被啟動和停用)。在一些態樣中,術語「選擇性啟動」可以描述將被專門啟用/禁用、打開/關閉,及/或開始/停止(例如,基於命令/要求)的特性或能力。因此,選擇性啟動特徵例如是能夠進行專門啟動及/或停用(例如,基於命令/要求)的特徵。
如本文所使用的,對於「網路服務」的引用可以是對於由網路提供的或者經由網路可用的功能、能力、應用或者其一部分的引用。設備(例如,客戶端設備、晶片式元件、網路節點)可以包括選擇性啟動特徵的集合以實現網路服務。
如本文所使用的,術語「授權資訊」應當被理解為意味著「對於設備使用該設備處的選擇性啟動特徵的集合的授權證明」或者「對於網路節點使用該網路節點處的選擇性啟動特徵的集合的授權證明」。授權資訊可以表示為、包括或者標識:授權協定、授權憑證,或者授權協定和授權憑證。替代地或另外地,授權資訊可以包括或者標識由授權伺服器(或者本端授權伺服器)根據該授權伺服器(或者本端授權伺服器)處儲存的授權協定所匯出的選擇性啟動特徵的集合的清單。
如本文所使用的,對於「特徵啟用金鑰」、「特徵啟用金鑰集」或者「特徵啟用金鑰(集)」的引用,可以是對於用於實現給定特徵的資料(例如,序列或者位元串)的引用。特徵啟用金鑰可以與加密函數有關及/或是利用加密函數來匯出的。
可以使用術語「最新的」來標記或者描述有效期延伸到當前時間的事情(例如,許可證)。因此,例如,最新的許可證可以是至今都有效的許可證。
如本文所使用的,術語「匹配」可以意味著「等於」,或者在一些基礎或者基本的方面,其可以意味著「對應於」。
當一個設備(例如,晶片式元件、客戶端設備、網路節點)尋求使用網路服務時,該設備除了向提供該網路服務的網路節點認證其自身之外,亦可能需要向該網路節點發送授權該設備啟動選擇性啟動特徵的集合的證明。該設備為了使用該網路服務,需要該組的選擇性啟動特徵或者其子集。因此,為了證明對該設備啟動選擇性啟動特徵的集合的授權,該設備可以發送對於該設備在該設備處使用該組選擇性啟動特徵的授權證明。該授權證明可以是該設備從授權伺服器獲得的。該設備可以向提供該網路服務的網路節點,發送用於該設備在該設備處使用該組選擇性啟動特徵的授權證明。在一個態樣中,對於該設備在該設備處使用該組選擇性啟動特徵的授權證明可以包括:用於標識授權在該設備處啟動的該組選擇性啟動特徵中的特徵的清單。在一個態樣中,可以根據授權協定來匯出該組選擇性啟動特徵。授權協定可以是儲存在授權伺服器處的。對於該設備在該設備處使用該組選擇性啟動特徵的授權證明,可以由該網路節點進行驗證。在一個態樣中,對用於該設備在該設備處使用該組選擇性啟動特徵的授權證明進行驗證,准許在該設備使用該網路服務之前,網路節點確保該設備為了使用該網路服務需要的選擇性啟動特徵,例如被授權在該設備上進行使用。例如,對用於該設備在該設備處使用該組選擇性啟動特徵的授權證明進行驗證,准許在該設備使用該網路服務之前,網路節點確保該組的選擇性啟動特徵中所列出的選擇性啟動特徵根據許可條款(其可以反映在授權協定中)進行了付費。
例如,當授權網路存取節點(例如,eNB)提供服務時,可以經由空中來廣播該網路存取節點的訊息通告能力(例如,保證傳送、保證頻寬及/或與服務品質有關的其他態樣),使得接收該訊息的設備(例如,晶片式元件、客戶端設備)可以決定本設備是否想要使用該服務。接收該訊息的設備可能已經被授權啟動(可能已經啟動)為了使用該服務而需要的選擇性啟動特徵的集合。然而,設備可能想要對於提供該服務的網路存取節點的授權進行驗證。設備應當具有驗證該網路存取節點被授權提供該網路服務的機會,例如以便避免針對不可用的網路服務的另外收費。在一個態樣中,對於網路存取節點提供該服務的授權進行驗證,准許在該設備使用該服務之前,該設備確保該網路存取節點已被授權提供該服務。
舉例而言,系統資訊廣播(SIB)和系統資訊(SI)訊息(用於傳送一或多個SIB)並不攜帶由網路節點簽名的任何訊息認證碼或者簽名。若一個設備常駐在細胞服務區上,並從網路存取節點獲得SIB,則該設備不能驗證該網路節點是否能有效地提供該SIB中通告的特徵。為了獲得對網路的存取,設備基本上信任該網路已被授權提供在該SIB中通告的特徵,而不具有進行驗證的能力。
本文所揭示的態樣可以提供用於在開始使用第二設備或節點所提供的服務之前,驗證授權資訊,以動態地准許第一設備或節點向第二設備或節點發送第一授權資訊,並從第二設備或節點獲得第二授權資訊的方法和裝置。本文所揭示的態樣可以准許設備驗證網路節點是否是有效的網路節點,以及該網路節點是否被授權啟動某些特徵。在一個態樣中,驗證、確認,或者驗證和確認可以包括加密操作。 概述
設備(例如,晶片式元件、客戶端設備、網路節點)可以包括用於啟動、停用及/或報告該設備的一或多個選擇性啟動特徵的授權電路/功能/模組。另外,該授權電路/功能/模組可以驗證設備是否具有啟動及/或使用/提供給定特徵的授權。在一些態樣中,驗證可以是對該設備使用該設備處的選擇性啟動特徵的集合的授權證明(例如,該設備的授權資訊)進行驗證。
在一個態樣中,使用客戶端設備作為實例,客戶端設備可以決定可從網路節點(例如,網路存取節點、eNB、MME)獲得一種網路服務。客戶端設備可以決定該客戶端設備使用該服務需要哪些特徵(其來自於可用於該客戶端設備的複數個特徵之中)。客戶端設備可以參與同授權伺服器的特徵啟動程序,以獲得對於該客戶端設備在該客戶端設備處使用選擇性啟動特徵的集合的授權證明(例如,授權憑證的形式的授權資訊),以及為了對使用該網路服務需要的特徵進行啟動而需要的特徵啟用金鑰。客戶端設備可以向網路節點發送請求,以請求使用該網路服務。客戶端設備可以向網路節點發送對於該客戶端設備在該使用者客戶端設備處使用該組選擇性啟動特徵的授權證明(例如,該設備的授權資訊)。作為回應,客戶端設備可以從網路節點獲得用於同意使用該網路服務的請求的回應。可以在對於客戶端設備向網路節點發送的授權資訊進行驗證的網路節點上,預測該回應。此外,在網路節點是MME的情況下,網路節點可以使用授權在客戶端設備處進行啟動的特徵的清單(其可以包括在授權資訊中),來配置用於該客戶端設備的客戶端設備上下文(例如,UE上下文)。
在客戶端設備使用該網路服務之前,其可能想要對該網路節點提供該服務的授權進行驗證。因此,客戶端設備可以從網路節點獲得對於該網路節點在該網路節點處使用選擇性啟動特徵的集合的授權證明(例如,授權憑證的形式的授權資訊)。客戶端設備在使用該網路服務之前,可以對用於該網路節點在該網路節點處使用該組選擇性啟動特徵的授權證明進行驗證。 示例性系統和系統描述
圖1是根據本文所描述的態樣,可以對一或多個設備(例如,晶片式元件、客戶端設備、網路節點)的集合上的一或多個選擇性啟動特徵進行動態授權和啟動的示例性系統100的方塊圖。在圖1中,利用設備A 102、設備B 104和設備C 106來舉例說明一或多個設備的集合。設備A 102、設備B 104和設備C 106可以均包括授權電路/功能/模組108、112、116。授權電路/功能/模組108、112、116在下文的系統中是有用的,例如在該系統中,使用可以根據例如許可條款來即時地個別啟動/停用(例如,啟用/禁用)的設備特徵,來整體地或部分地實現服務(例如,網路服務)。授權電路/功能/模組108、112、116可以包含於諸如設備A 102、設備B 104或設備C 106之類的包括選擇性啟動特徵的任何設備中,其中針對於啟動選擇性啟動特徵的授權可以是例如基於授權協定120的。因此,授權協定120可以是證明對選擇性啟動特徵進行啟動的權利的來源。
設備A 102包括授權電路/功能/模組A 108和第一集合的選擇性啟動特徵110。設備B 104包括授權電路/功能/模組B 112和第二組的選擇性啟動特徵114。設備C 106包括授權電路/功能/模組C 116和第三組的選擇性啟動特徵118。為了便於引用起見,而不具有任何限制意圖,本文可以將授權電路/功能/模組A 108、授權電路/功能/模組B 112和授權電路/功能/模組C 116個別地及/或統一地稱為「授權功能108、112、116」。另外,為了便於引用起見,而不具有任何限制意圖,本文可以將設備A 102、設備B 104和設備C 106個別地及/或統一地稱為「設備102、104、106」。
針對啟動給定設備(例如,設備A 102、設備B 104及/或設備C 106)處的選擇性啟動特徵的集合(例如,第一集合的選擇性啟動特徵110、第二集合的選擇性啟動特徵114及/或第三集合的選擇性啟動特徵118)中的一或多個選擇性啟動特徵的授權,可以是啟動該給定設備處的一或多個特徵的先決條件。
在本文所描述的一些態樣中,在設備102、104、106對選擇性啟動特徵進行啟動之前,設備102、104、106的授權功能108、112、116可以獲得和驗證對於由授權伺服器126授權設備102、104、106啟動選擇性啟動特徵的證明,並獲得和驗證該證明(例如,授權資訊)。在一些實施方式中,第一設備處的授權功能108、112、116亦可以向第二設備發送該證明,其中第二設備可以向第一設備提供服務(例如,網路服務)。
例如,網路服務的實例可以包括雙連接服務、多訂閱服務、設備到設備(D2D)模式服務、多媒體廣播/多播服務(MBMS)及/或未授權操作服務。例如,雙連接服務可以提供無線存取技術(RAT)(如,4G)中的連接,以及跨越RAT的連接(例如,跨越4G和5G及/或無線區域網路(WLAN))兩者。
多訂閱服務可以使用單一無線鏈路來向設備提供例如服務,以便同時地服務多個訂閱(例如,同時地服務服務供應商服務訂購和流視訊訂閱及/或線上零售提供商訂閱)。
D2D模式服務可以提供例如用於提供服務、朋友和供應的鄰近探索的服務。除了傳統的存取服務之外,亦可以提供D2D服務。
MBMS服務可以是促進設備除了接收單播服務之外,亦接收多播服務的服務。
未授權操作服務可以是例如允許設備使用經授權的輔助存取或者使用LTE或5G或一或多個其他RAT來操作在未授權頻帶的服務。為了使用上面所列出的示例性服務以及其他服務而需要進行啟動的完整的特徵(例如,選擇性啟動特徵)清單,在本案的範圍之外。但是,可以選擇性啟動的特徵的一些實例可以包括:載波聚合;某些實體通道(例如,在雙連接的情況下、D2D及/或未授權操作服務);選擇性啟動的硬體;及/或設備上儲存的處理電路可讀取指令的選擇性執行的部分,其他部分不執行以便將給定的選擇性啟動特徵排除在外。
在第二設備提供服務之前,向第二設備提供證明(例如,授權資訊)可能是先決條件。因此,例如,即使在設備A 102處授權和啟動第一集合的選擇性啟動特徵110之後,另一個設備(例如,設備C 106)(例如,網路存取節點)亦可以請求設備A 102發送設備A 102的使用設備A 102處的第一集合的選擇性啟動特徵110的授權證明,其中該授權證明可以由授權伺服器126進行了簽名。另外,在一些實施方式中,在設備A 102使用(例如,啟動、利用)設備C 106提供的服務(例如,網路服務)之前(其中第三集合的選擇性啟動特徵包括設備C 106向設備A 102提供服務需要的第三選擇性啟動特徵),即使在設備C 106(例如,網路存取節點)處授權和啟動第三集合的選擇性啟動特徵118之後,設備A 102(例如,客戶端設備)亦可以請求設備C 106發送設備C 106的使用設備C 106處的第三集合的選擇性啟動特徵118的授權證明,其中該授權證明可以由授權伺服器126(或者另一個授權伺服器)進行了簽名。
在使用設備C 106提供的服務之前,設備A 102可以向設備C 106發送針對證明的請求。設備A 102可以在使用設備C 106所提供的服務之前,獲得和驗證從設備C 106獲得的證明。
授權資訊(例如,用於設備使用該設備處的選擇性啟動特徵的集合的授權證明)可以是基於授權協定120。例如,可以以授權協定120及/或授權憑證122的形式,來提供授權資訊。授權協定120可以儲存在授權伺服器126處。授權伺服器126可以基於授權協定120,來匯出授權憑證122和授權檔124(其可以包括特徵啟用金鑰)。例如,授權憑證122可以包括設備102、104、106公開金鑰、向設備102、104、106授權的選擇性啟動特徵(例如,選擇性啟動特徵的集合)、以及將該等選擇性啟動特徵授權給的設備102、104、106的辨識符(例如,設備公開金鑰或者某種其他設備唯一辨識碼的雜湊)。此外,授權憑證122亦可以包括例如授權憑證122的到期時間,另外地或替代地,授權憑證122包括與授權給設備102、104、106的選擇性啟動特徵有關的參數。授權伺服器126可以使用授權伺服器126的私密金鑰來對授權憑證進行簽名。
因此,授權憑證122攜帶授權伺服器126的簽名;可以使用授權伺服器126的公開金鑰來對該簽名進行驗證。為了匯出該簽名,例如,授權伺服器126可以將設備102、104、106公開金鑰、授權給設備102、104、106的選擇性啟動特徵、以及設備102、104、106的辨識符應用於雜湊函數;隨後,授權伺服器126將匯出的雜湊值和授權伺服器126的私密金鑰輸入到簽名函數中。驗證函數可以是簽名函數的逆操作;實體(例如,網路節點)可以藉由將簽名和授權伺服器126的公開金鑰輸入到驗證函數,來對該簽名進行驗證。用此方式,可以對授權憑證122進行驗證,當授權伺服器126對授權憑證122進行了簽名時,其用作用於設備102、104、106使用該設備102、104、106處的選擇性啟動特徵的集合的授權證明。因此,授權憑證122可以用作授權資訊。
在本質上,在特徵啟動期間,向設備102、104、106提供授權伺服器的憑證。此外,授權憑證122亦可以用以證明授權伺服器126向授權檔124中標識的設備102、104、106發出了授權檔124。
應當注意的是,當設備102、104、106向實體(例如,網路節點)發送授權憑證122時,設備102、104、106可以使用該設備102、104、106的私密金鑰,對授權憑證122進行簽名。此舉促進設備102、104、106證明該設備102、104、106是授權憑證122中包括的公開金鑰的所有者的能力。使用授權憑證122中所包括的公開金鑰,實體(例如,網路節點)可以驗證發送了該授權憑證122的設備是與在該授權憑證122中的授權伺服器126所標識的相同設備。
設備102、104、106可以在任何時間(例如,在初始連接、服務請求、交遞、請求時),請求授權資訊。
若授權功能108、112、116獲得和驗證授權協定120或者根據授權協定120匯出的授權憑證122,則授權功能108、112、116可以啟動給定的選擇性啟動特徵(或者可以授權/命令/指示擁有授權功能108、112、116的設備102、104、106啟動給定的選擇性啟動特徵)。授權協定120以及授權憑證122可以記錄設備102、104、106啟動給定的選擇性啟動特徵的權利。
授權功能108、112、116可以向本端授權伺服器128發送特徵啟動請求(例如,對於啟動一或多個選擇性啟動特徵的請求、授權啟動一或多個選擇性啟動特徵的請求)。針對該特徵啟動請求的回應可以包括授權資訊(例如,用於設備102、104、106使用該設備處的選擇性啟動特徵的集合(其包括該特徵啟動請求中標識的一或多個選擇性啟動特徵)的授權證明)。此外,該回應亦可以包括授權檔124。授權檔124可以包括一或多個特徵啟用金鑰。授權伺服器126可以對授權資訊、授權檔及/或一或多個特徵啟用金鑰進行加密。
授權伺服器126可以使用屬於授權伺服器126的公開金鑰/私密金鑰對中的私密金鑰,對授權資訊進行簽名。在授權資訊包括授權憑證的情況下,例如,授權伺服器126可以使用屬於該授權伺服器126的公開金鑰/私密金鑰對中的私密金鑰,對授權憑證進行簽名。設備102、104、106可以使用授權伺服器126的公開金鑰,來驗證該授權憑證122是可信的。本領域一般技藝人士應當理解,用於對諸如授權憑證122之類的項進行簽名的替代方法亦落入本文所提供的態樣的保護範圍之內。
授權伺服器126可以使用屬於設備102、104、106的公開金鑰/私密金鑰對中的公開金鑰,對包括一或多個特徵啟用金鑰的授權檔124進行加密。在一些態樣中,僅僅授權功能108、112、116存取屬於設備102、104、106的公開金鑰/私密金鑰對中的私密金鑰;因此,僅僅授權功能108、112、116可以對包括一或多個特徵啟用金鑰的授權檔124進行解密。本領域一般技藝人士應當理解的是,用於諸如包括特徵啟用金鑰的授權檔124之類的項的其他類型的加密演算法,亦落入本文所提供的態樣的保護範圍之內。
本端授權伺服器128可以向授權伺服器126發送特徵啟動請求。在一些態樣中,可以直接地從授權功能108、112、116向授權伺服器126發送特徵啟動請求,而無需首先向本端授權伺服器128發送。
在考慮/評估/處理與諸如設備A 102、設備B 104或設備C 106相關聯的授權協定120之後,授權伺服器126可以發送針對該特徵啟動請求的回應。針對特徵啟動請求的回應可以包括授權資訊,其中該授權資訊可以用於驗證設備102、104、106啟動該特徵啟動請求中所標識的一或多個選擇性啟動特徵的權利。
此外,該回應亦可以包括授權檔124。授權檔124可以包括一或多個特徵啟用金鑰、授權參數或者一或多個特徵啟用金鑰和授權參數。例如,授權參數可以包括該授權的到期日期/廢止日期。本端授權伺服器128(或者在一些態樣,授權伺服器126)可以向授權功能108、112、116轉發包括特徵啟用金鑰和授權參數的授權憑證122和授權文件124。
如上面所指示的,為了啟動設備102、104、106的選擇性啟動特徵,可能需要對選擇性啟動特徵進行授權。根據一種非限制性實例,實體(例如,使用者、服務提供者、OEM、製造商)可以基於授權協定120中規定的條款,向許可服務付出用於啟動該選擇性啟動特徵的授權費(例如,許可費)。在驗證付費之前或者之後,可以將授權協定120上傳到授權伺服器126及/或本端授權伺服器128。授權伺服器126可以由許可服務進行託管。授權伺服器126(例如,許可伺服器)可以用於授權協定及/或與其相關聯的選擇性啟動特徵的驗證、啟動及/或實施。
在一個態樣中,設備102、104可以決定網路服務是可用的。設備102、104可以辨識可用於該設備(但不是在該設備處必須啟動)的選擇性啟動特徵,以及為了使用該網路服務而需要的選擇性啟動特徵。為了使用該網路服務而需要的選擇性啟動特徵的辨識,可以從任何適當的源(例如,設備102、104中儲存的清單/表、從本端授權伺服器128獲得的列表/表、從授權伺服器126獲得的列表/表)來獲得,或者可以從遠端網路節點或者其他源(例如,封包資料網路上的節點)來獲得。設備102、104可以決定其(亦即,設備102、104)是否被授權啟動為了使用該網路服務而需要的選擇性啟動特徵。
若設備102、104沒有被授權啟動為了使用該網路服務而需要的所有選擇性啟動特徵,則設備102、104或者設備102、104的授權功能108、112可以請求授權,以啟動選擇性啟動特徵(或者複數個選擇性啟動特徵)。設備102、104或者設備102、104的授權功能108、112可以請求針對設備102、104被授權啟動所請求的選擇性啟動特徵的證明。請求的選擇性啟動特徵的啟動可以使例如設備102、104能夠獲得在應用伺服器上提供的服務,或者使用由網路存取節點(例如,eNB)提供的服務。 示例性操作環境
圖2根據本文所描述的態樣,圖示一種示例性操作環境200。為了便於引用起見,而不具有任何限制意圖,本文可以將每一個授權電路/功能/模組稱為「授權功能」。在該示例性操作環境200中,第一設備202(例如,晶片式元件、客戶端設備、網路節點)包括第一授權功能203。第二設備204(例如,晶片式元件、客戶端設備、網路節點)包括第二授權功能205。第一設備202和第二設備204可以與第三設備206進行無線地通訊,其中第三設備206描述成網路存取節點(例如,eNodeB)。第三設備206(例如,網路存取節點)可以包括第三授權功能207。
第一設備202可以包括為了使用第一網路服務而需要的一或多個選擇性啟動特徵。第二設備204可以包括為了使用第二網路服務而需要的一或多個選擇性啟動特徵。第三設備206可以包括為了使用第一網路服務或者向第一設備202提供第一網路服務,及/或為了使用第二網路服務或者向第二設備204提供第二網路服務而需要的一或多個選擇性啟動特徵。
第三設備206(例如,網路存取節點)可以是無線存取網路(RAN)210的一部分(例如,增強型通用陸地無線存取網路(E-UTRAN))。在蜂巢通訊系統(例如,4G、LTE、LTE-A、5G)的非限制實例中,RAN 210可以向核心網212(例如,進化封包核心(EPC))傳輸控制訊號傳遞和資料傳輸量。網路服務供應商(例如,行動網路服務供應商(MNO))可以操作核心網212。可以經由S1-MME參考點來傳輸控制訊號傳遞。可以經由S1-U參考點來傳輸資料傳輸量。
核心網212可以包括行動性管理實體(MME)214、歸屬用戶伺服器/授權、認證和計費伺服器(HSS/AAA)216、服務閘道設備(S-GW)218和封包資料網路閘道設備(P-GW)220。除了上面所標識的部件之外,核心網212亦可以包括本端授權伺服器222。本端授權伺服器222可以與RAN 210中的第三設備206(例如,網路存取節點)以及其他網路存取節點(未圖示)進行通訊。本端授權伺服器222可以經由第三設備206(例如,網路存取節點),與第一設備202和第二設備204進行通訊。在核心網212的內部,本端授權伺服器222可以與MME 214及/或HSS/AAA 216進行通訊。針對耦合到與本端授權伺服器222相關聯的核心網212的第一設備202、第二設備204和第三設備206(例如,網路存取節點),本端授權伺服器222可以作為授權伺服器234的代理。
P-GW 220可以在封包資料網路(PDN)232(例如,網際網路)上,與應用伺服器228、230進行通訊。應用伺服器228、230可以與諸如零售提供商、網際網路搜尋引擎提供商、娛樂提供商和社交媒體服務提供者之類的服務提供者相關聯。應用伺服器228、230可以是託管與該等服務提供者相關聯的應用及/或應用服務。
核心網212中的本端授權伺服器222可以與封包資料網路232中的授權伺服器234進行通訊。應當理解的是,授權伺服器234可以位於任何地方。換言之,定位授權伺服器234與在封包資料網路232上的應用伺服器228、230在一起是可選的。例如,除了本端授權伺服器222之外,核心網212亦可以包括授權伺服器234。
第一設備202、第二設備204、第三設備206、以及任意數量的實體(例如,無線存取網路提供商、行動網路服務供應商或者存取點提供商)可以存取授權伺服器234。此外,每一個實體亦可以維持其自己的本端授權伺服器。下文將提供授權伺服器和本端授權伺服器的態樣。 架構參考模型
圖3是根據本文所描述的態樣的系統300的架構參考模型。圖3圖示設備302(例如,晶片式元件、使用者客戶端設備、網路節點)、本端授權伺服器306和授權伺服器308。設備302可以包括至少一個選擇性啟動特徵320。設備302啟動該選擇性啟動特徵320的權利可以是基於授權協定330(例如,契約、協定、許可)。在一個態樣中,設備302啟動該選擇性啟動特徵320的權利可以是基於對授權協定330(或者根據授權協定330所匯出的授權資訊)的驗證。在一個態樣中,設備302啟動該選擇性啟動特徵320的權利可以是基於與選擇性啟動特徵320有關的付費。在一個態樣中,可以在授權協定330(或者根據授權協定330所匯出的授權資訊)中反映與選擇性啟動特徵320有關的付費的狀態。在一種實施方式中,授權伺服器308可以結合選擇性啟動特徵320發現各個實例處的效用,例如,其包括在驗證(如,具有使用選擇性啟動特徵320的權利)、啟動(例如,選擇性啟動特徵320的啟動)和實施(例如,依據與選擇性啟動特徵320有關的授權協定330的條款)期間。
設備302可以耦合到本端授權伺服器306。本端授權伺服器306可以耦合到授權伺服器308。現在描述設備302、本端授權伺服器306和授權伺服器308。
設備302可以包括授權電路/功能/模組,為了便於引用起見,而不具有任何限制意圖,本文可以將其稱為「授權功能304」。
授權功能304可以實現設備302的處理電路314及/或設備302的安全操作環境305處的安全程序(例如,執行安全處理)。如本文所使用的,術語「安全」可以意味著受到保護或者安全,以免受其他程序(其包括外部和內部程序)及/或免受使用者的存取。在一個態樣中,安全操作環境305及/或本文所實現的安全程序是使用者不可存取的,及/或不同於授權功能304所實現的安全程序的其他程序不可存取的。在一個態樣中,當授權功能304實現設備302的處理電路314處的安全程序時,該安全程序是使用者不可存取的,及/或不同於授權功能304所實現的安全程序的其他程序不可存取的。
授權功能304可以實現程序,以驗證設備302是否被授權啟動該設備302的選擇性啟動特徵320。該程序可以是安全程序。在一個態樣中,為了驗證設備302是否被授權啟動選擇性啟動特徵320,授權功能304可以獲得針對選擇性啟動特徵320被授權進行啟動的證明(例如,授權資訊)。可以將選擇性啟動特徵320授權為在初始時啟動、重複啟動及/或繼續使用。驗證可以是藉由對所獲得的證明進行驗證的方式。
授權功能304亦可以實現程序,以驗證與該設備302連接到的或者計畫連接到的網路相關聯的網路節點(例如,eNB、MME、S-GW等等)被授權啟動與選擇性啟動特徵320相對應的特徵。該程序可以是安全程序。該網路節點處與選擇性啟動特徵320相對應的特徵,可以用於經由該網路節點來促進該網路所提供的服務。舉例而言,設備302可能需要在該網路節點處啟動與選擇性啟動特徵320相對應的特徵,以便使用該網路節點所提供的網路服務。經由另外的實例的方式,設備302可能需要在該網路節點處啟動與選擇性啟動特徵320相對應的特徵以實現改進的服務,其中該改進的服務可以藉由在設備302處啟動選擇性啟動特徵320來實現。例如,設備302(為了說明該實例起見,其可以是客戶端設備)可以被製造為在啟動選擇性啟動特徵320時實現載波聚合。載波聚合准許使用多個載波來增加傳輸頻寬。載波聚合可以提高設備302的效能。可以授權設備302啟動選擇性啟動特徵320,授權設備302配置自身使用載波聚合。但是,為了發揮功效,耦合到設備302的網路存取節點(例如,eNB)應當亦啟動相應的特徵,使得將網路存取節點配置為使用載波聚合。因此,在一些態樣中,選擇性啟動特徵320可以由兩個設備(例如,晶片式元件、客戶端設備、網路節點或者其兩個或更多的任意組合)進行聯合地啟動和使用。
舉例而言,根據授權協定330中規定的條款(以及在根據授權協定330所匯出的授權資訊中所反映的和在授權功能304處所獲得的),授權功能304可以啟動及/或停用選擇性啟動特徵320。在該實例中,可以藉由授權協定330來規定或者在授權協定330中列出啟動和使用可接受的條款。在該實例中,該等條款可以包括:交換使用選擇性啟動特徵320的權利的付費。在一種實施方式中,設備302的授權功能304可以結合與該設備302關聯的選擇性啟動特徵320發現各個實例處的效用,例如,其包括在驗證(如,具有使用選擇性啟動特徵320的權利)、啟動(例如,選擇性啟動特徵320的啟動)和實施(例如,依據與選擇性啟動特徵320有關的授權協定330的條款)期間。在一些態樣中,選擇性啟動特徵320的啟動可以允許設備302經由另一個設備(例如,eNB),從網路(例如,網際網路)上的例如應用伺服器獲得服務。
此外,設備302亦可以包括安全儲存電路310(例如,電路/功能/模組)。在一個態樣中,基於部件/實體(設備302的內部及/或外部)從安全儲存電路310讀取資料和向其寫入資料的能力,可以認為安全儲存電路310是安全的。在一個態樣中,安全儲存電路310可以永久地合併到設備302中,或者與設備302整合在一起。例如,安全儲存電路310可以包括在與該設備302中包括的處理電路314相同的基板上構造的非揮發性記憶體陣列。
在安全儲存電路310之內,可以存在針對該設備302所匯出的私密金鑰/公開金鑰對中的私密金鑰316的儲存空間。在一個態樣中,製造商或者OEM可以產生該私密金鑰/公開金鑰對。在另一個態樣中,另一個實體可以產生該私密金鑰/公開金鑰對。製造商、OEM或者另一個實體可以將該私密金鑰/公開金鑰對中的私密金鑰316儲存在安全儲存電路310中。在一個態樣中,在設備302的所有權從製造商或OEM轉移到第三實體之前,可以將私密金鑰316儲存在安全儲存電路310中。在其他態樣中,私密金鑰316可以在任何時間並由任何實體儲存在安全儲存電路310中。在一些態樣中,私密金鑰316僅僅對設備302已知。在一些態樣中,私密金鑰316僅僅對設備302的授權功能304已知。
設備302(或者授權功能304)可以使用私密金鑰316,對特徵啟用金鑰318及/或可以包括特徵啟用金鑰318的授權檔進行解密。在向設備302發送特徵啟用金鑰318之前,第三實體(例如,授權伺服器308)可以使用設備302的公開金鑰,對特徵啟用金鑰318及/或包括特徵啟用金鑰318的授權檔進行簽名/加密。
在一個態樣中,可以使用特徵啟用金鑰318來啟動設備302的選擇性啟動特徵320。在本文所描述的態樣中,特徵啟用金鑰318可以以加密形式進行儲存。在一些實例中,特徵啟用金鑰318只能由授權功能304進行解密(例如,使用設備302的私密金鑰316)。在一些實例中,可以將特徵啟用金鑰318儲存在安全環境中(例如,儲存在安全儲存電路310中)。
此外,設備302亦可以包括獨立於安全儲存電路310的資料儲存裝置312(例如,電路/功能/模組)。在一個態樣中,安全儲存電路310可以是資料儲存裝置312的一個分區,或者反之亦然。例如,安全儲存電路310及/或資料儲存裝置312可以包括硬碟、硬碟的分區、光碟、光碟的分割、固態記憶體或者固態記憶體上的一個分區。
在資料儲存裝置312之內,可以儲存特徵和授權參數清單322。例如,特徵和授權參數清單322可以標識設備302具有授權來啟動/停用的選擇性啟動特徵320,以及其相關聯的授權參數。例如,可以根據由授權伺服器所簽名的一或多個授權檔(當使用簽名來驗證授權檔時),對特徵和授權參數清單322進行編輯。授權檔可以是例如在設備啟動、設備交遞、設備更新或者回應於來自設備302的請求時,從本端授權伺服器306或者授權伺服器308獲得的。特徵和授權參數清單322中的授權參數可以指示:例如,選擇性啟動特徵320是啟動的還是停用的,以及設備302使用選擇性啟動特徵320的授權到期或者被撤銷的日期。如本文所使用的,設備302使用選擇性啟動特徵320的授權涵蓋對設備302提供選擇性啟動特徵320的授權。
在資料儲存裝置312之內,亦可以儲存授權憑證323。在一個態樣中,授權憑證323可以由任何實體進行驗證,故其不需要儲存在安全儲存區域中。另一方面,授權檔324包括諸如特徵啟用金鑰之類的私密資訊。因此,在一個態樣中,授權檔324可以儲存在安全儲存電路310中。
此外,設備302亦可以包括通訊匯流排325,以提供用於該設備302中包括的授權功能304、安全操作環境305、安全儲存電路310、資料儲存裝置312、處理電路314及/或網路通訊電路326之間的通訊。此外,網路通訊電路326亦可以提供用於與本端授權伺服器306及/或授權伺服器308的通訊。
在一些態樣中,本端授權伺服器306可以充當為針對授權伺服器308的本端代理。在一些態樣中,本端授權伺服器306可以發送用於設備302使用該設備302處的選擇性啟動特徵的集合320的授權證明,其中該授權證明由本端授權伺服器306進行了簽名,此時,設備302可以耦合到與本端授權伺服器306相關聯的核心網。在一些態樣中,本端授權伺服器306可以臨時地獨立於授權伺服器308進行操作。本端授權伺服器306是充當為授權伺服器308的本端代理,還是本身是本端伺服器,可以是例如取決於在授權伺服器308處儲存的授權協定330的條款。
授權伺服器308可以包括資料儲存裝置328(例如,電路/功能/模組)。資料儲存裝置328可以儲存授權協定330(例如,協定、契約、許可)的清單、儲存庫或記錄。授權協定330可以涉及複數個設備的各種選擇性啟動特徵。資料儲存裝置328可以維持用於授權協定330所覆蓋的設備的金鑰儲存332。金鑰儲存332可以包括能用於對發送給設備(例如,設備302)的訊息進行加密的私密金鑰及/或公開金鑰,其中授權協定330覆蓋了該設備。
此外,授權伺服器308的資料儲存裝置328亦可以包括能用於啟動設備302的選擇性啟動特徵320的特徵啟用金鑰334。在一些態樣中,當設備302的授權功能304請求針對設備302具有啟動選擇性啟動特徵320中的一或多個的授權的證明時,可以從授權伺服器308(或者本端授權伺服器306)向設備302發送特徵啟用金鑰334。在該等態樣中,在授權伺服器308(或者本端授權伺服器306)向授權功能304發送了針對設備302具有啟動選擇性啟動特徵320的授權的證明(例如,授權資訊)之後,授權功能304可以對選擇性啟動特徵320進行啟動(或者進行授權)。
舉例而言,授權伺服器308的資料儲存裝置328可以根據設備模型編號,對用於設備302處的每一個選擇性啟動特徵320的授權參數336的清單、儲存庫或記錄進行儲存。在一個態樣中,為了准許具有相同模型編號的各個設備的差異性,例如,資料儲存裝置328可以根據設備序號,或者諸如國際行動站設備標識(IMEI)之類的其他設備辨識符,來儲存用於每一個選擇性啟動特徵320的授權參數336。如本領域一般技藝人士所已知的,IMEI是用於根據第三代合作夥伴計畫(3GPP)系統(例如,GSM、UMTS、LTE、LTE-A)來標識硬體的統一編號。
授權伺服器308亦可以包括通訊匯流排338,以提供授權伺服器308中包括的資料儲存裝置328、處理電路340及/或網路通訊電路342之間的通訊。網路通訊電路342亦可以提供與本端授權伺服器306及/或設備302的通訊。
如上面所指示的,本端授權伺服器306可以用作為授權伺服器308的代理。因此,本端授權伺服器306與授權伺服器308相比,包括相同或者相類似的電路/功能/模組。因此,省略了關於相同或相類似的電路/功能/模組的描述和說明。 授權協定
參見圖1,對於設備102、104、106使用選擇性啟動特徵的集合110、114、118的授權,可以在授權協定120(例如,協定、契約、許可)中提供。在一些態樣中,授權協定120可以被認為是許可。如本文所使用的,在一個態樣中,對於選擇性啟動特徵的集合的引用,或者對於選擇性啟動特徵的引用,可以理解為是對於一個選擇性啟動特徵的引用(例如,當該集合包括一個選擇性啟動特徵時,或者當該集合包括一或多個不同的選擇性啟動特徵時)。授權協定120可以用作對設備102、104、106使用(例如,啟動、維持啟動)該設備102、104、106處的選擇性啟動特徵的集合110、114、118的授權的證明,或者可以使用授權協定120來匯出該證明。
可以在兩個或更多實體之間建立授權協定120。例如,針對授權協定120的實體可以主張對於該設備、該設備的特徵及/或該設備將使用的服務的權利。舉例而言,可以在製造商、供應商/OEM、設備購買者、零售商或者許可服務之間,及/或製造商、供應商/OEM、設備購買者、零售商或者許可服務中的任何兩個或更多之間,建立授權協定120。設備購買者可以是最終使用者、零售商或者租賃該設備的實體。許可服務可以是授予許可和監督遵守許可條款的組織。
舉例而言,可以在授權功能108、112、116尋求獲得授權協定120的證明之前,就建立授權協定120。在另一個實例中,可以在與授權功能108、112、116尋求獲得授權協定120的證明相同的時間,或者基本相同的時間,來建立授權協定。
授權協定120可以稱為文字(writing)。如本文所使用的,文字包括授權協定的所有非暫態機器可讀表達,而不管該等授權協定是否曾經以實體的人類可讀形式存在。詞語「文字」包括任何人類可讀文件,其減少為可以由機器閱讀的任何形式。能夠由機器閱讀的形式可以包括電、光、磁形式,或者本領域一般技藝人士所已知的其他儲存形式。
在一個實例中,可以使用授權協定來匯出包括以下各項的授權憑證: 1、使用的選擇性啟動特徵的集合; 2、生命週期/到期時間 3、啟用該等選擇性啟動特徵的位置(例如,其包括諸如PLMN、SSID或細胞服務區IDS之類的地理或網路辨識符); 4、可以使用該等選擇性啟動特徵的網路存取節點的最大數量;及 5、週期使用報告要求。
圖4根據本文所描述的態樣,圖示可以包括在第一實體(例如,設備的所有者、該設備的銷售/零售商、打折或者不打折地向客戶提供該設備的服務提供者)和一或多個設備的製造商或OEM之間的示例性授權協定中的參數和資料的示例性清單400。在圖4中,以表格形式來提供該清單,但是,根據該態樣,任何機器可讀(例如,處理電路可讀)形式皆是可接受的。該列表包括諸如下文各項的參數:協定的日期402、設備的所有者的辨識符404、設備的製造商或OEM的辨識符406、設備的辨識符(例如,IMEI號)408、授權特徵清單410、授權協定的持續時間412、關於該等特徵的使用的限制414、以及使用該等特徵的費用416。
圖5根據本文所描述的態樣,圖示可以包括在製造商或OEM和另一個實體(例如,操作授權伺服器的實體)之間的示例性授權協定中的參數和資料的示例性清單500。在圖5中,以表格形式來提供該清單,但是,根據該態樣,任何機器可讀(例如,處理電路可讀)形式皆是可接受的。該列表包括諸如下文各項的參數:該協定的起始日期502、該協定的結束日期504、該設備的辨識符506(例如,IMEI號)、授權特徵清單508、關於該等特徵的使用的限制510、設備的公開金鑰512的辨識符、設備的製造商或OEM的辨識符514、以及使用該等特徵的費用516。
圖6根據本文所描述的態樣,圖示可以包括在網路服務供應商(例如,行動網路服務供應商(MNO))和另一個實體(例如,授權伺服器的所有者/操作者)之間的示例性授權協定中的參數和資料的示例性清單600。在圖6中,以表格形式來提供該示例性清單600,但是,根據該態樣,任何機器可讀(例如,處理電路可讀)形式皆是可接受的。該示例性列表600包括諸如下文各項的參數:該授權協定的起始日期602、該授權協定的結束日期604、設備的辨識符606(例如,IMEI號)、授權服務清單608、授權特徵清單610、設備的製造商或OEM的辨識符612、以及使用該等特徵的費用614。 配置(Provisioning)
圖7是根據本文所描述的態樣,示出與向設備(例如,晶片式元件、客戶端設備、網路節點)發送授權憑證、授權檔、特徵啟用金鑰和軟體有關的動作的流程圖。在一個態樣中,利用元件符號702-712所標識的動作可以由授權伺服器來執行,而利用元件符號714所標識的動作可以由本端授權伺服器來執行。在一個態樣中,利用元件符號702-714所標識的動作可以由授權伺服器來執行。亦即,在該等態樣中,授權伺服器可以匯出授權憑證、授權檔、特徵啟用金鑰及/或軟體,並向設備進行發送,而無需本端授權伺服器介入。在一個態樣中,利用元件符號702-714所標識的動作可以由本端授權伺服器來執行。亦即,在該等態樣中,本端授權伺服器可以匯出授權憑證、授權檔、特徵啟用金鑰及/或軟體,並向設備進行發送,而無需授權伺服器介入。
如前述,可以將授權協定輸入到各個實體(例如,設備的所有者、該設備的銷售/零售商、打折或者不打折地向客戶提供該設備的服務提供者、製造商或者設備的OEM)之間。例如,一個實體可以為了在一個預先規定的時間(例如,一個季度)使用服務或者選擇性啟動特徵的權利,而向第二實體付費。一旦該等實體輸入授權協定,則可以將該授權協定儲存(702)在授權伺服器上。授權伺服器可以基於授權協定中的資訊來匯出特徵啟用金鑰704(例如,基於授權協定來匯出特徵啟用金鑰704)。授權伺服器可以基於授權協定中的資訊來匯出授權憑證706。此外,授權伺服器亦可以基於授權協定中的資訊來匯出授權檔708。在一些態樣中,該授權檔可以包括一或多個特徵啟用金鑰。該等動作的順序是示例性的,而不是限制性的。任何順序皆是可接受的。
可以使用特徵啟用金鑰來啟動設備(例如,晶片式元件、客戶端設備、網路節點)的選擇性啟動特徵。特徵啟用金鑰可以是加密的,及/或具有該特徵啟用金鑰的授權檔可以是加密的。在一些實例中,特徵啟用金鑰及/或授權檔可以僅僅由該設備的授權功能進行解密。
在一些態樣中,可以使用每一個選擇性啟動特徵的一個特徵啟用金鑰,來進行選擇性啟動特徵啟動。在其他態樣中,一個特徵啟用金鑰可以用於啟動多個選擇性啟動特徵。啟動選擇性啟動特徵可以包括:選擇性啟動特徵的初始啟動、以及維持已經啟動的選擇性啟動特徵的啟動。在一個態樣中,特徵啟用金鑰可以解鎖選擇性啟動特徵。舉例而言,可以對選擇性啟動特徵進行啟動,但可以基於授權協定的條款,對其進行鎖定以免使用(例如,可以基於授權協定所施加的地理限制或者與時間有關的參數限制,對選擇性啟動特徵進行鎖定以免使用)。可以基於適當的特徵啟用金鑰的獲得和使用,對已啟動的選擇性啟動特徵進行解鎖(例如,可以啟用該設備使用已經啟動的選擇性啟動特徵的能力)。
授權檔可以包括與選擇性啟動特徵有關的資料。例如,與選擇性啟動特徵有關的資料可以包括:該設備使用選擇性啟動特徵的授權到期或者被撤銷的日期。此外,在授權檔中亦可以包括與選擇性啟動特徵有關的其他資料。
在一個態樣中,授權伺服器可以向本端授權伺服器發送或者上傳710(例如,提供)包括特徵啟用金鑰的授權憑證和授權檔。可選地,授權伺服器可以向本端授權伺服器發送或者上傳與設備的選擇性啟動特徵有關的軟體712或者與該設備有關的任何特徵(硬體或軟體)。例如,除了授權憑證和授權檔之外,亦可以發送或者上傳具有更新的驅動程式的形式的軟體。
例如,作為針對從設備(例如,晶片式元件、客戶端設備、網路節點)獲得特徵啟動請求的回應,授權伺服器及/或本端授權伺服器可以向該設備發送(714)授權憑證、包括特徵啟用金鑰的授權檔和軟體(可選的)。
舉例而言,當在授權協定中包括多個設備時,本端授權伺服器可以確保不超過最大數量的設備(例如,配額)正在使用授權的選擇性啟動特徵。例如,在本端授權伺服器發出授權以啟動第二設備處的選擇性啟動特徵之前,本端授權伺服器可以接收在第一設備處對該選擇性啟動特徵進行停用的指示。替代地,在本端授權伺服器發出授權以啟動第二設備處的選擇性啟動特徵之前,本端授權伺服器可以撤銷對於啟動第一設備處的該選擇性啟動特徵的授權。例如,該撤銷可以是基於來自所有被授權設備的週期報告,從而決定哪些設備正在活動地使用該選擇性啟動特徵。 特徵啟動請求
圖8是根據本文所描述的態樣,示出一種涉及特徵啟動請求(例如,啟動一或多個特徵的請求、針對授權啟動一或多個特徵的請求)的方法的流程圖800。若一個設備(例如,晶片式元件、客戶端設備、網路節點)具有啟動選擇性啟動特徵的授權,則該設備可以進行啟動。各種事件皆可以導致設備發送特徵啟動請求。例如,為了使用一個網路服務而可能需要該選擇性啟動特徵,管理員可以決定調用該選擇性啟動特徵的方式來配置該設備,可以發生訂閱更新,及/或操作、維護和管理(OAM)協定可能需要啟動該選擇性啟動特徵以用於維持目的。
為了啟動該選擇性啟動特徵,設備可以獲得對於該設備使用該設備處的該選擇性啟動特徵的授權證明,並獲得包括特徵啟用金鑰的授權檔。例如,可以以授權資訊的形式來提供授權證明。該授權資訊可以包括授權協定及/或授權憑證。舉例而言,為了獲得用於該設備使用該選擇性啟動特徵和包括特徵啟用金鑰的授權檔的授權證明,該設備可以向本端授權伺服器發送特徵啟動請求(例如,針對啟動一或多個選擇性啟動特徵的請求)。
本端授權伺服器可以從該設備獲得(802)特徵啟動請求。本端授權伺服器可以決定(804)該本端授權伺服器是否擁有針對該請求的回應需要的項(例如,用於該設備使用該設備處的選擇性啟動特徵的集合的授權證明,諸如授權資訊和包括特徵啟用金鑰的授權檔)。若本端授權伺服器不擁有需要的該等項,或者若本端授權伺服器擁有該等項,但該等項是無效的(例如,由於授權的到期),則本端授權伺服器可以嘗試從授權伺服器獲得(806)該授權證明(例如,授權憑證的形式的授權資訊)和包括特徵啟用金鑰的授權檔。
在一個態樣中,本端授權伺服器可以藉由將特徵啟動請求轉發給授權伺服器,來從授權伺服器獲得(806)該授權證明(例如,具有授權憑證的形式的授權資訊)和包括特徵啟用金鑰的授權檔。例如,若授權協定確認所請求的選擇性啟動特徵被授權,則授權伺服器可以發送該授權證明(例如,具有授權憑證的形式的授權資訊)和包括特徵啟用金鑰的授權檔。在將特徵啟動請求發送給授權伺服器的情況下,本端授權伺服器可以充當為在設備(例如,晶片式元件、客戶端設備、網路節點)和授權伺服器之間提供安全隧道的代理伺服器。在對授權協定進行驗證(例如,在設備和許可服務之間及/或在行動網路服務供應商和許可服務之間)之後,授權伺服器可以向本端授權伺服器發送授權證明(例如,具有授權憑證的形式的授權資訊)和包括特徵啟用金鑰的授權檔。
若本端授權伺服器擁有該授權證明(例如,具有授權憑證的形式的授權資訊)和授權檔,則本端授權伺服器可以針對所請求的選擇性啟動特徵,決定(808)是否達到配額。若達到了用於所請求的選擇性啟動特徵的配額,則本端授權伺服器可以向設備發送(810)用於拒絕啟動該選擇性啟動特徵的請求的回應。可以在回應中包括該拒絕的原因。若沒有達到用於所請求的選擇性啟動特徵的配額,則本端授權伺服器可以向設備發送回應(812),其包括例如該授權證明(例如,具有授權憑證的形式的授權資訊)和包括特徵啟用金鑰的授權檔。
本端授權伺服器可以對授權協定、授權憑證、授權檔、特徵啟用金鑰和可選的軟體進行快取,以便未來使用。在一個態樣中,當本端授權伺服器代表授權伺服器來發出授權憑證,並向授權伺服器報告授權狀態時,可以應用快取。 選擇性啟動特徵的啟動
圖9是根據本文所描述的態樣,示出對選擇性啟動特徵進行啟動的一個實例的流程圖900。設備(例如,晶片式元件、客戶端設備、網路節點)或者該設備的授權功能可以獲得(902)該設備使用該設備處的選擇性啟動特徵的集合的授權證明(例如,具有授權憑證的形式的授權資訊),其中該授權證明由授權伺服器進行了簽名,亦可以獲得包括特徵啟用金鑰的授權檔。在一個態樣中,該授權證明和授權檔是回應於特徵啟動請求(例如,針對於啟動一或多個選擇性啟動特徵的請求)來獲得的。該授權檔可以包括利用該設備的公開金鑰進行加密的特徵啟用金鑰。授權功能可以對該授權證明(例如,具有授權憑證的形式的授權資訊)進行驗證(904)。在一個態樣中,驗證可以包括:使用驗證函數和授權伺服器的公開金鑰。若對授權證明(例如,具有授權憑證的形式的授權資訊)進行了驗證,則設備可以使用該設備的私密金鑰,對包括特徵啟用金鑰的授權檔進行解密(906)。授權功能可以從解密後的授權檔中獲取特徵啟用金鑰。授權功能可以對包括在授權檔中的授權參數進行評估(908)(例如,確認授權參數(如,設備使用選擇性啟動特徵的授權的到期日期)沒有到期)。隨後,授權功能可以使用解密後的特徵啟用金鑰,對該集合的選擇性啟動特徵進行啟動。
任何啟動的選擇性啟動特徵皆可以保持啟動,直到發生停用事件為止。停用事件的一個實例可以是達到在與啟動的選擇性啟動特徵相關聯的授權參數中指定的到期時間。其他停用事件亦是可接受的。授權功能可以將所取得的特徵啟用金鑰儲存(912)在該設備的安全儲存裝置處。此外,授權功能亦可以將所取得的授權參數儲存(912)在該設備的資料儲存裝置處。
在一個實例中,設備的授權功能能夠可靠地並在具有良好的安全保證的情況下,對授權檔進行解密,這是至少因為授權伺服器使用該設備的(公開金鑰/私密金鑰對中的)公開金鑰對該授權檔進行了加密,設備在本設備的安全儲存電路中儲存了私密金鑰,並且該私密金鑰可能僅僅是對授權功能已知。設備可以依賴授權功能來確保對選擇性啟動特徵的啟動是恰當的。另外,當設備從網路(例如,授權伺服器)接收到授權憑證時,設備應當能夠驗證該授權憑證是授權伺服器發送的正確授權憑證(例如,不是冒名頂替者發送的)。在一個實例中,為了促進設備驗證該授權憑證是由授權伺服器發送的正確授權憑證的能力,授權伺服器可以向授權憑證增加該授權伺服器的簽名(其利用該授權伺服器的私密金鑰來匯出)。在設備處,可以使用該授權伺服器的公開金鑰來驗證該授權伺服器的簽名。類似地,當設備從網路(例如,授權伺服器)接收到授權檔時,設備應當能夠驗證該授權檔是授權伺服器發送的正確授權憑證(例如,不是冒名頂替者發送的)。在一個實例中,為了促進設備驗證該授權檔是由授權伺服器發送的正確授權檔的能力,授權伺服器可以向授權檔增加該授權伺服器的簽名(例如,利用該授權伺服器的私密金鑰匯出的簽名)。在設備處,可以使用該授權伺服器的公開金鑰來驗證該授權伺服器的簽名。
設備可以監測啟動的選擇性啟動特徵的使用,向授權伺服器及/或本端授權伺服器發送(914)與該等選擇性啟動特徵的使用有關的週期報告(例如,報告啟動狀態)。授權伺服器及/或本端授權伺服器可以對於來自發送該等報告的所有設備的、與選擇性啟動特徵的使用有關的報告進行匯總。本文可以將關於選擇性啟動特徵的使用狀態的報告稱為狀態報告。例如,可以使用週期狀態報告來實施關於設備使用選擇性啟動特徵的權利的限制。例如,授權伺服器(或者本端授權伺服器)可以使用從該等狀態報告中獲得的資料,以驗證是否大於最大數量的設備當前正在(或者沒有)使用一個選擇性啟動特徵。若大於最大數量的設備當前正在使用該選擇性啟動特徵(例如,達到了配額),則可以拒絕用於啟動該選擇性啟動特徵的新請求。可以匯出和維持與使用、許可費等等有關的記錄。 編排程序
在一個態樣中,在設備(例如,晶片式元件、客戶端設備、網路節點)處成功地特徵啟動之後,授權伺服器可以向與該設備相關聯的HSS/AAA伺服器發送資料,以向HSS/AAA伺服器通知該設備的更新的特徵/更新的能力。
HSS/AAA伺服器可以更新該設備的訂閱簡檔,並在網路服務供應商(例如,MNO)對更新後的設備特徵進行驗證之後,向網路節點(例如,eNodeB、MME、P-GW等等)發送該資訊。在一些態樣中,基於設備的能力和授權狀態,其可以是網路服務供應商更新訂閱簡檔的角色。
一旦批準了用於啟動一或多個特徵的請求,及/或啟動了該等特徵,對設備的訂閱簡檔進行更新,就可以准許網路節點(例如,eNB、MME、S-GW、P-GW)驗證對設備使用特徵的授權,而無需該網路節點獲得另一種形式的證明。例如,更新訂閱簡檔以准許網路節點基於該訂閱簡檔來驗證設備使用特徵的授權,並可以消除網路節點從該設備獲得用於該設備使用該設備處的選擇性啟動特徵的集合的授權證明的需求。
在一個態樣中,當設備是網路存取節點(例如,eNodeB)時,可以將該網路存取節點處啟動的關於某個集合的特徵/服務的可用性的資訊發送給設備。在一些實施方式中,可以經由空中廣播(例如,系統資訊區塊(SIB)類型1廣播),將該網路存取節點處啟動的該某個集合的特徵/服務通告給設備(例如,晶片式元件、客戶端設備)。在一些實施方式中,設備可以使用協定來查詢網路存取節點,從而決定可以在該網路存取節點處啟動的該某個集合的特徵/服務的可用性。此種查詢協定的一個實例可以是存取網路查詢協定(ANQP)。其他查詢協定亦是可接受的。使用該等示例性方式,設備可以變得瞭解可從網路存取節點獲得的特徵/服務,使得設備可以在相互認證之後,決定該設備是否想要使用該等特徵/服務。 示例性授權伺服器
圖10是根據本文所描述的態樣,示出被配置為支援授權協定的動態驗證和實施的授權伺服器1000的方塊圖。在一個實例中,授權伺服器1000可以包括網路通訊電路1002、處理電路1004和記憶體電路/儲存設備(本文稱為記憶體電路1006)。網路通訊電路1002、處理電路1004和記憶體電路1006可以耦合到通訊匯流排1008,以交換資料和指令。
網路通訊電路1002可以被配置為包括輸入/輸出模組/電路/功能1010,以便與諸如P-GW設備、本端授權伺服器及/或網路存取節點之類的網路節點進行通訊。如本領域一般技藝人士所應當理解的,授權伺服器1000的網路通訊電路1002中可以包括其他電路/功能/模組。
處理電路1004可以被配置為包括或者實現一或多個處理器、專用處理器、硬體及/或軟體模組等等,其被配置為支援授權協定的動態驗證和實施。處理電路1004可以包括授權協定管理電路/功能/模組1012,後者可以管理授權伺服器1000中儲存的授權協定的收集、維護和組織。處理電路1004可以包括用於匯出特徵啟用金鑰的特徵啟動金鑰匯出電路/功能/模組1014,其中特徵啟動金鑰可以用於啟動設備(例如,晶片式元件、客戶端設備、網路節點)的選擇性啟動特徵。處理電路1004可以包括授權參數匯出電路/功能/模組1016,後者可以用於匯出能連同特徵啟用金鑰一起傳送給設備的授權參數(例如,授權的選擇性啟動特徵的到期日期)。處理電路1004可以包括授權憑證匯出電路/功能/模組1018,後者可以基於授權協定來匯出授權憑證,以及利用授權伺服器1000的私密金鑰來對授權憑證進行簽名。如本領域一般技藝人士所應當理解的,授權伺服器1000的處理電路1004中可以包括其他電路/功能/模組。
記憶體電路1006可以被配置為包括授權協定管理指令1020、特徵啟動金鑰匯出指令1022、授權參數匯出指令1024、授權憑證匯出指令1026、以及用於特徵啟動金鑰儲存1030、授權參數儲存1032、公開金鑰儲存1034和授權憑證儲存區1036的空間。如本領域一般技藝人士所應當理解的,記憶體電路1006中可以包括其他指令和用於資料的儲存的位置。 示例性本端授權伺服器
圖11是根據本文所描述的態樣,示出被配置為支援授權協定的動態驗證和實施的本端授權伺服器1100的方塊圖。本端授權伺服器1100可以是用於授權伺服器(例如,圖10的1000)的代理。在一個實例中,本端授權伺服器1100可以包括網路通訊電路1102、處理電路1104和記憶體電路/儲存設備(本文稱為記憶體電路1106)。網路通訊電路1102、處理電路1104和記憶體電路1106可以耦合到通訊匯流排1108,以交換資料和指令。
網路通訊電路1102可以被配置為包括輸入/輸出模組/電路/功能1110,以便與諸如授權伺服器及/或網路存取節點之類的網路節點進行通訊。如本領域一般技藝人士所應當理解的,本端授權伺服器1100的網路通訊電路1102中可以包括其他電路/功能/模組。
處理電路1104可以被配置為包括或者實現一或多個處理器、專用處理器、硬體及/或軟體模組等等,其被配置為支援授權協定的動態驗證和實施。處理電路1104可以包括授權協定管理電路/功能/模組1112,後者可以管理本端授權伺服器1100中儲存的授權協定的收集、維護和組織。處理電路1104可以包括用於匯出特徵啟動金鑰的特徵啟用金鑰匯出電路/功能/模組1114,其中特徵啟用金鑰可以用於啟動設備的選擇性啟動特徵。處理電路1104可以包括授權參數匯出電路/功能/模組1116,後者可以用於匯出能連同特徵啟用金鑰一起傳送給設備的授權參數(例如,授權的選擇性啟動特徵的到期日期)。處理電路1104可以包括授權憑證匯出電路/功能/模組1118,後者可以例如基於授權協定中的資料來匯出授權憑證,以及利用設備的公開金鑰來對授權憑證進行加密。處理電路1104可以包括特徵使用報告電路/功能/模組1138,後者可以從耦合到本端授權伺服器1100的設備收集特徵使用資料。如本領域一般技藝人士所應當理解的,本端授權伺服器1100的處理電路1104中可以包括其他電路/功能/模組。
記憶體電路1106可以被配置為包括授權協定管理指令1120、特徵啟用金鑰匯出指令1122、授權參數匯出指令1124、授權憑證匯出指令1126、以及用於特徵啟動金鑰儲存1130、授權參數儲存1132、授權憑證儲存區1134和公開金鑰儲存1136的空間。記憶體電路1106亦可以被配置為包括特徵使用報告指令。如本領域一般技藝人士所應當理解的,記憶體電路1106中可以包括其他指令和用於資料的儲存的位置。 特徵啟動的示例性撥叫流程圖
圖12是根據本文所描述的態樣,與授權協定的動態驗證和實施有關的撥叫流程圖1200。圖12描述了設備1202(例如,晶片式元件、客戶端設備、網路節點)、本端授權伺服器1204和授權伺服器1206之間的示例性互動。在一個態樣中,去往和來自設備1202的撥叫流可以是去往和來自設備1202的授權功能的。
授權伺服器1206可以從供應商/OEM或者另一個實體獲得設備驗證資訊1208。例如,該設備驗證資訊可以包括例如設備辨識符、設備憑證、設備公開金鑰、軟體版本(例如,與位於設備1202上的授權功能相關聯的軟體的軟體版本)及/或設備能力。設備能力可以包括該設備1202處的選擇性啟動特徵的清單。應當理解的是,在授權伺服器1206處獲得設備驗證資訊可能是持續的程序。不存在關於從授權伺服器1206中增加、修改或者刪除設備驗證資訊的時間的限制。
可以在兩個實體之間輸入授權協定。在1210處,可以在本端授權伺服器1204處獲得授權協定(或者其複本)以進行儲存,在1211處,在授權伺服器1206處獲得授權協定以進行儲存,或者在本端授權伺服器1204和授權伺服器1206二者處均可以獲得授權協定以進行儲存。在一個實例中,該授權協定可以包括:提供對於本端授權伺服器處執行的軟體的驗證的調用。
設備1202(或者設備1202的授權功能)可以向本端授權伺服器1204發送特徵啟動請求1212(例如,針對於啟動一或多個選擇性啟動特徵的請求)。該特徵啟動請求可以包括憑證簽名請求,以進行基於憑證的確認。
設備1202和本端授權伺服器1204可以參與遠端認證1214。第一實體可以使用遠端認證1214來確認第二實體正在正確地工作(例如,基於已知的正確狀態)。例如,本端授權伺服器1204可以藉由驗證在設備1202處執行的軟體,來確認設備1202正在正確地工作。在一個實例中,對軟體進行驗證,牽涉將發送給本端授權伺服器1204的設備驗證資訊中標識的軟體與設備1202處執行的軟體進行比較匹配。可以將遠端認證1214的結果發送給授權伺服器1206。遠端認證1214的結果可以用於向授權伺服器1206確保攻擊者沒有危及設備1202,設備1202正在執行供應商/OEM所描述/標識的軟體。若遠端認證沒有成功,則可以忽略特徵啟動請求。
若遠端認證1214成功,則基於授權協定(例如,在本端授權伺服器處獲得的用於儲存的授權協定),本端授權伺服器1204可以決定是向授權伺服器1206請求針對該設備的特徵啟動(例如,發送特徵啟動請求1216),還是按照自己的許可權來授權用於該設備的特徵啟動(例如,發送授權協定/授權憑證/授權檔1222)。例如,當本端授權伺服器1204基於授權協定而提前從授權伺服器1206獲得一或多個授權金鑰(例如,特徵啟用金鑰)時,可以發生後一情形。
若本端授權伺服器1204決定向授權伺服器1206請求針對該設備的特徵啟動,則本端授權伺服器1204可以向授權伺服器1206發送(例如,轉發)該特徵啟動請求1216,在該情況下,本端授權伺服器1204可以是在設備1202和授權伺服器1206之間提供安全隧道的代理伺服器。該特徵啟動請求可以包括設備驗證資訊(例如,設備辨識符、設備憑證、設備公開金鑰、軟體版本及/或設備能力)和遠端認證1214結果。此外,發送給授權伺服器1206的特徵啟動請求1216亦可以包括憑證簽名請求(若該憑證簽名請求包括在從該設備向本端授權伺服器發送的特徵啟動請求中的話)。
在一個態樣中,本端授權伺服器1204和授權伺服器1206可以參與遠端認證1218。例如,本端授權伺服器1204可以向授權伺服器1206發送針對該本端授權伺服器1204正在執行正確的軟體的證明。用此方式,授權伺服器1206能夠信任本端授權伺服器1204向授權伺服器1206發送的關於該設備1202的資訊。根據該態樣,授權伺服器1206可以接受設備1202和本端授權伺服器1204之間執行的遠端認證的結果。可選地或替代地,授權伺服器1206和設備1202可以參與遠端認證1219。
一旦授權伺服器1206接受(與本端授權伺服器1204和設備1202中的任意一個或二者的)遠端認證的結果(例如,驗證是成功的),授權伺服器1206證實該特徵啟動請求遵循授權協定的條款,在1220處,授權伺服器1206可以向本端授權伺服器1204發送設備1202使用該設備1202處的選擇性啟動特徵的集合的授權協定、授權憑證或者授權協定和授權憑證(例如,授權證明),以及包括特徵啟用金鑰的授權檔。在一個態樣中,授權伺服器1206可以證實設備1202與網路服務供應商(例如,MNO)(或者第三實體)的授權協定。授權伺服器1206發送的授權證明可以包括授權協定、授權憑證,或者授權協定和授權憑證。可選地,在1223處,授權伺服器1206可以直接向設備1202發送包括特徵啟用金鑰的授權協定/授權憑證/授權檔。
若本端授權伺服器1204決定向授權伺服器1206發送特徵啟動請求(例如,向授權伺服器1206發送針對該設備的特徵啟動),並從授權伺服器1206獲得了用於該設備使用該設備處的選擇性啟動特徵的集合的授權證明和包括特徵啟用金鑰的授權檔,或者決定按照自己的許可權來發送針對該設備的授權證明和授權檔(例如,在本端授權伺服器1204基於授權協定而提前從授權伺服器1206獲得一或多個授權金鑰的情況下),則本端授權伺服器可以向設備1202發送授權協定/授權憑證/授權檔1222。亦即,本端授權伺服器1204可以向設備1202發送用於該設備使用該組的選擇性啟動特徵的授權證明和包括特徵啟用金鑰的授權檔(以及軟體,若可用的話)。
一旦設備1202獲得了用於該設備在該設備處使用該組選擇性啟動特徵的授權證明(例如,授權協定、授權憑證或者授權協定和授權憑證)和包括特徵啟用金鑰的授權檔(例如,回應於特徵啟動請求),則設備1202(及/或該設備的授權功能)可以對該授權證明進行驗證(例如,用於決定該設備是否被授權啟動和使用所請求的選擇性啟動特徵)。若設備(及/或該設備的授權功能)決定該設備被授權使用所請求的選擇性啟動特徵,則該設備(及/或該設備的授權功能)可以取得用於所請求的選擇性啟動特徵的特徵啟用金鑰,並啟動所請求的選擇性啟動特徵(1224)。在一些實施方式中,所請求的選擇性啟動特徵可以保持啟動,直到授權證明中(例如,授權憑證中)所指定的到期時間為止,或者直到授權檔中所指定的到期時間為止。
在1226處,設備1202可以向本端授權伺服器1204發送關於選擇性啟動特徵的使用的週期報告。本端授權伺服器1204可以對從複數個設備接收的報告進行匯總,在1228處,向授權伺服器1206發送關於該等選擇性啟動特徵的使用的週期報告。本領域一般技藝人士應當理解的是,各種系統可以使用各種類型的使用報告格式。本文所描述的態樣並不限於任何一種使用報告格式。
只要啟動的選擇性啟動特徵的總數滿足相關的授權協定的條款,則藉由允許操作者啟動複數個設備(例如,晶片式元件、客戶端設備、網路節點)處的選擇性啟動特徵,週期報告可以給予本端授權管理靈活性。例如,此種週期報告可以允許操作者同時地啟動最大可允許數量的選擇性啟動特徵。 驗證使用授權的示例性系統級撥叫流程圖
在使用網路服務之前,每一方(例如,客戶端一側和服務方一側;客戶端設備和網路節點)可以驗證另一方是否被授權啟動和使用為了利用該網路服務所需要及/或為了提供該網路服務需要的一或多個選擇性啟動特徵。換言之,可以發生相互特徵證實的動作。用此方式,每一方皆實施授權協定的條款,其中該等條款可以管理設備(例如,晶片式元件、客戶端設備、網路節點)使用/提供該一或多個選擇性啟動特徵的許可權。因此,在使用/提供網路服務之前,每一方可以獲得另一方使用為了提供/使用該網路服務而需要的選擇性啟動特徵的權利的授權證明,並對該授權證明進行驗證。
下文將提供用於驗證一個設備(例如,晶片式元件、客戶端設備、網路節點)使用選擇性啟動特徵的集合的授權證明的兩種示例性系統級方法。第一方法提供基於設備的訂閱簡檔的驗證。第二方法提供基於該設備發送的授權資訊的驗證。該等示例性系統級方法不是排他的。
在實現任意一個示例性系統級方法之前,以每一設備(例如,晶片式元件、客戶端設備、網路節點)為基礎的授權資訊可以由該設備進行儲存。另外,該授權資訊或者反映該設備的新的及/或更新的選擇性啟動特徵的資訊,亦可以儲存在歸屬用戶伺服器(HSS)上。例如,當設備啟動一個選擇性啟動特徵時,授權伺服器或者本端授權伺服器可以向HSS報告該選擇性啟動特徵的啟動。當網路服務供應商(例如,MNO)確認了該設備的被授權的新的及/或更新的選擇性啟動特徵時,HSS可以更新該設備的能力簡檔。設備的能力簡檔可以與該設備的訂閱簡檔相關聯。能力簡檔可以標識授權該設備使用的選擇性啟動特徵。在一個實例中,儲存在HSS處的該設備的能力簡檔,可用於該設備、網路節點或者該設備和網路節點二者。
另外,根據一個態樣,網路節點(例如,eNB)可以向設備(例如,晶片式元件、客戶端設備)通告在該網路節點處啟動(例如,啟用、使用)的選擇性啟動特徵的集合。例如,可以使用系統資訊區塊(SIB)訊息或者經由諸如服務查詢協定(SQP)之類的查詢協定,來通告特徵集。
圖13是根據本文所描述的態樣,示出可以結合下文操作來發生的一種系統級撥叫流的示例性撥叫流程圖1300,其基於設備的訂閱簡檔,對於設備使用第一集合的選擇性啟動特徵的授權證明進行驗證。該圖圖示設備1302(例如,晶片式元件、客戶端設備、網路節點)、無線存取網路(RAN)1304(例如,其包括一或多個eNB及/或存取點)、網路節點1306(例如,MME)、HSS 1308、本端授權伺服器1310和授權伺服器1312。
在一些實施方式中,在1314處,授權伺服器1312可以從供應商/OEM或者另一個實體獲得設備驗證資訊。例如,該設備驗證資訊可以包括設備辨識符、設備憑證、設備公開金鑰、軟體版本(例如,與位於該設備1302上的授權功能相關聯的軟體的軟體版本)及/或設備能力。設備能力可以包括該設備1302處的選擇性啟動特徵的清單。應當理解的是,在授權伺服器1312處獲得設備驗證資訊可能是持續的程序。不存在關於從授權伺服器1312中增加、修改或者刪除設備驗證資訊的時間的限制。
可以在兩個實體之間輸入授權協定。在1315處,可以在授權伺服器1312處獲得授權協定以進行儲存,在1316處,在本端授權伺服器1310處獲得授權協定以進行儲存,或者在本端授權伺服器1310和授權伺服器1312二者處均可以獲得授權協定以進行儲存。在一個實例中,該授權協定可以包括:提供用於驗證在本端授權伺服器處執行的軟體的調用。
在特徵啟動期間,授權伺服器1312可以匯出授權憑證、授權檔和特徵啟用金鑰,所有該等皆如前述。此外,在特徵啟動期間,在1318處,授權伺服器1312可以向本端授權伺服器1310發送用於該設備使用該設備處的選擇性啟動特徵的集合的授權證明(例如,具有授權協定、授權憑證或者授權協定和授權憑證形式的授權資訊)以及包括特徵啟用金鑰的授權檔,所有該等皆如前述。替代地,但為了避免附圖擁擠而在附圖中未圖示,授權伺服器1312可以向設備1302發送該授權證明,所有該等皆如前述。另外地或替代地,在特徵啟動期間,在1320處,本端授權伺服器1310可以向設備1302發送用於該設備使用該設備處的選擇性啟動特徵的集合的授權證明(例如,具有授權協定、授權憑證或者授權協定和授權憑證形式的授權資訊)以及可包括特徵啟用金鑰的授權檔,所有該等皆如前述。在一個態樣中,在1322處,本端授權伺服器1310可以向HSS 1308發送設備1302的能力簡檔。設備1302的能力簡檔可以列出被授權在設備1302處啟動的選擇性啟動特徵。該能力簡檔可以列出與該等選擇性啟動特徵相關聯的參數。可以使用設備的能力簡檔來更新在HSS 1308處能儲存的該設備1302的相應能力簡檔。在一個態樣中,在1324處,授權伺服器1312可以向HSS 1308發送設備1302的能力簡檔。
參見HSS 1308,設備1302的能力簡檔可以包括被授權在設備1302處啟動的選擇性啟動特徵的清單,其可以與設備1302的訂閱簡檔相關聯。HSS 1308獲得的設備1302的能力簡檔,使HSS 1308能夠學習設備1302 新的及/或更新的選擇性啟動特徵的授權狀態。在一個態樣中,HSS 1308可以諮詢網路服務供應商(例如,MNO),以決定HSS 1308是否應當更新在HSS 1308處儲存的設備1302的相應能力簡檔。在一個態樣中,在具有或者不具有網路服務供應商的同意的情況下,在1325處,HSS 1308可以更新在HSS 1308處儲存的設備1302的能力簡檔。因此,在1325處,HSS 1308可以基於從本端授權伺服器1310或者授權伺服器1312獲得的被授權在該設備處啟動的選擇性啟動特徵的清單,來更新設備1302的選擇性啟動特徵的清單。更新該列表可以反映:被授權在設備1302處啟動的選擇性啟動特徵集合中的至少一個選擇性啟動特徵的授權狀態的改變。
在設備1302發起附著程序1326時,在1328處,網路節點(例如,MME)可以從HSS 1308獲得該設備1302的能力簡檔。在一個態樣中,在1328處,網路節點1306(例如,MME)可以藉由向HSS 1308發送請求,來從HSS 1308獲得設備1302的能力簡檔。
在一個實例中,該能力簡檔可以包括在設備1302的安全/認證啟動程序期間獲得的完整性資訊(例如,設備1302的授權功能的軟體完整性資訊)。舉例而言,在安全/認證啟動程序期間(例如,在認證和金鑰協商(AKA)程序期間)獲得完整性簡檔的情況下,網路節點1306(例如,MME)可以請求設備1302發送用於證明在設備1302中執行的軟體的完整性的完整性資訊。設備1302的完整性資訊可以由設備1302作為針對設備1302正在執行合法軟體(亦即,該設備正在執行授權的軟體)的證明來發送。在一個態樣中,網路節點1306(例如,MME)可以在與設備1302的相互認證1330(例如,遠端認證)期間,進行針對完整性資訊的請求。可以在相互認證1330期間,使用該完整性資訊。應當注意的是,前述的內容只是示例性的;可以在AKA程序期間發生用於發送完整性資訊的請求,或者該請求可以作為單獨的程序。
網路節點1306(例如,MME)可以基於從HSS 1308獲得的該設備1302的能力簡檔,來配置設備上下文1332(例如,可以標識特定信號無線承載或者缺少無線承載或資料串流的UE上下文)。網路節點1306(例如,MME)可以在RAN 1304(例如,該RAN的eNB)中配置該設備上下文1332,向RAN 1304發送該設備上下文及/或能力簡檔。這可以允許RAN 1304對選擇性啟動特徵進行啟動/停用,從而啟用(或者禁用)向該設備1302提供的網路服務。可以藉由根據設備1302的能力簡檔來更新/設置設備上下文,來實現網路服務針對於該設備1302的啟用/禁用。非存取層(NAS)和無線電資源控制(RRC)程序可以用於該目的。
應當注意的是,在S1交遞期間,若執行MME再定位,則可以將設備上下文(例如,UE上下文)傳送到目標MME。在X2交遞期間,源網路存取節點(例如,源eNB)可以向目標網路存取節點(例如,目標eNB)發送用於指定設備能力的設備上下文(例如,UE上下文)。
若設備1302的能力簡檔指示需要對某些選擇性啟動特徵進行停用(例如,由於到期),則網路節點1306(例如,MME)可以對該等選擇性啟動特徵進行停用,並向(RAN 1304中的)網路存取節點(例如,eNB)應用相應的配置。例如,可以使用設備上下文修改程序(例如,UE上下文修改程序),來向網路存取節點應用相應的配置。設備1302可以藉由更新授權協定(其儲存在授權伺服器中),並隨後執行特徵啟動(例如,發送特徵啟動請求),來重新啟動任何停用的選擇性啟動特徵,如前述。
第一示例性系統級方法可充分利用設備1302的能力簡檔中儲存的授權資訊,其中該能力簡檔與HSS 1308處的設備1302的訂閱簡檔相關聯。HSS 1308可以實現一種資訊元素(其類似於存取網路查詢協定(ANQP)中的資訊元素),其中在查詢回應類型協定中,可以使用該資訊元素來標識在設備1302處啟動、授權進行啟動的一或多個選擇性啟動特徵。該資訊元素可以用於促進回應關於在設備1302(例如,客戶端設備、網路存取節點等等)上有哪些特徵(例如,哪些選擇性啟動特徵)可用的查詢。該資訊元素可以被認為是與增強型ANQP協定(本文可以將其稱為服務查詢協定(SQP))相關聯的參數。
舉例而言,設備1302(例如,客戶端設備)可以具有准許設備1302使用網際網路,但不允許使用IP承載語音的訂閱。訂閱資訊可以儲存在HSS 1308處的該設備1302的訂閱簡檔中。此外,該設備的能力簡檔亦可以儲存在HSS 1308處。能力簡檔可以與訂閱簡檔相關聯。可以在初始附著程序1326期間,向網路節點1306(例如,MME)發送與訂閱資訊有關的資訊元素和能力簡檔。應當注意的是,初始附著程序1326可能不是頻繁地發生的。
在該實例中,接收到所描述的資訊元素的網路節點1306(例如,MME)可以對網路進行配置,使得設備1302可以使用網際網路(例如,作為第一資料服務),但不能使用IP承載語音(例如,作為第二資料服務)。因此,第一示例性方法(其充分利用在設備1302的能力簡檔中儲存的授權資訊,其中該能力簡檔與設備1302的訂閱簡檔相關聯)可以利用能力簡檔元素。可以使用該能力簡檔元素來驗證和實施對設備1302使用一或多個選擇性啟動特徵(其是實現該網路服務而需要的)的授權。最終,該授權可以是基於在授權伺服器1312處獲得的授權協定(或者在一些態樣中,在本端授權伺服器1310處獲得的授權協定)的。
網路節點1306(例如,MME)可以使用在HSS 1308處儲存的該設備1302的能力簡檔中的資訊,來配置各種網路功能。該等各種網路功能可以使設備1302能夠充分利用在該設備1302處啟動(或者被授權進行啟動)的一或多個選擇性啟動特徵。
圖14是根據本文所描述的態樣,示出與下文的操作相關聯的另一種系統級撥叫流的示例性撥叫流程圖1400,其對於設備1402(例如,晶片式元件、客戶端設備、網路節點)使用該設備1402處儲存的授權憑證中標識的第一集合的選擇性啟動特徵的授權證明進行驗證。該圖圖示設備1402(例如,晶片式元件、客戶端設備、網路節點)、無線存取網路(RAN)1404(例如,一或多個eNB及/或存取點)和網路節點1406(在圖14中示例成MME)。下文所描述的在網路節點1406(其示例成MME)和設備1402之間發生的交換,可以在任何設備1402和網路節點(例如,網路存取節點、eNB、MME、S-GW、P-GW)之間執行。應當注意的是,在配置設備上下文1426的操作可適用於諸如MME之類的網路節點1406時,配置設備上下文1426的操作可以不適用於諸如eNB之類的網路節點的其他實例。因此,利用虛線形式來描述了配置設備上下文1426和RAN 1404(其可以是配置設備上下文1426的操作的接收者)的操作,這是由於其適用於圖14中的實例,此時,將網路節點1406示例成MME,但其不適用於其他實例(例如,此時,網路節點1406是不同於MME的節點)。
如前述,在例如特徵啟動期間,在1408處,設備1402(例如,客戶端設備)可以獲得用於設備1402使用該設備1402處的第一集合的選擇性啟動特徵的授權證明(例如,由第一授權伺服器進行簽名的第一授權資訊,其可以具有授權憑證的形式)和包括特徵啟用金鑰的授權檔。網路節點1406(例如,MME)可以使用第一授權資訊(例如,授權憑證)來驗證設備1402使用一個網路服務的授權。類似地,在1410處,網路節點1406(例如,MME)可以獲得用於網路節點1406使用該網路節點1406處的第二集合的選擇性啟動特徵的授權證明(例如,由第二授權伺服器進行簽名的第二授權資訊,其可以具有授權憑證的形式)。設備1402(例如,客戶端設備)可以使用第二授權資訊(例如,授權憑證)來驗證該網路節點1406提供網路服務的授權。
第一授權資訊(例如,授權憑證)可以辨識向設備1402授權的選擇性啟動特徵,第一授權伺服器可以使用第一授權伺服器的私密金鑰來對第一授權資訊進行簽名。此外,第一授權資訊(例如,授權憑證)亦可以包括設備1402的標識,亦可以包括該授權憑證的到期時間。該授權檔可以包括特徵啟動金鑰和相關聯的參數,並可以利用設備1402的公開金鑰進行加密。在一些實施方式中,設備1402在特徵啟動期間,獲得第一授權資訊(例如,授權憑證)和授權檔。
第一授權資訊(例如,授權憑證)可以結合相應的辨識憑證(例如,其包括由第一授權伺服器進行簽名的設備1402的設備辨識符和公開金鑰)來使用。即使在將一或多個選擇性啟動特徵從設備1402中停用時,該辨識憑證亦可以仍然保持有效。在一個態樣中,該設備辨識符可以是例如設備序號或者國際行動站設備標識(IMEI)。在本文的實施方式中,設備辨識符可以始終與設備公開金鑰相關聯,使得設備1402可以證明其對於該設備辨識符的所有權。
在一個態樣中,可以將設備1402的公開金鑰(或者該公開金鑰的雜湊值)用作設備辨識符。在該情況下,辨識憑證可以是不必需的,設備1402的標識應當能夠經由第一授權伺服器及/或本端授權伺服器及/或第三實體來驗證。
可以由設備1402從本端授權伺服器獲得第一授權資訊(例如,授權憑證)。在該情況下,設備1402可以在例如特徵啟動期間,獲得本端授權伺服器的憑證。
在1412處,設備1402可以向網路節點1406發送連接請求。在一個態樣中,該連接請求可以被理解成為使用網路服務的請求,或者包括該請求。作為回應,在1414處,網路節點1406(例如,MME)可以向設備1402發送針對該設備1402使用該設備1402處的第一集合的選擇性啟動特徵的授權證明的請求,其中第一集合的選擇性啟動特徵包括設備1402為了使用該網路服務而需要的第一選擇性啟動特徵。換言之,在1414處,網路節點1406(例如,MME)可以向設備1402發送針對該設備的授權證明(例如,第一授權資訊,其可以具有授權憑證的形式)的請求。在一個態樣中,該請求1414可以是在認證和金鑰協商(AKA)程序期間發送的。在1416處,作為針對請求1414的回應,設備1402可以向網路節點1406發送針對該設備1402的授權證明。
可以在設備1402和網路節點1406之間發生相互認證1418。相互認證1418是可選的。可以實現相互認證1418,以藉由建立秘密頻道,提供確保設備1402和網路節點1406與正確的實體進行通訊。應當注意的是,與設備1402的相互認證1418(例如,遠端認證),同設備1402註冊網路所使用的AKA程序不同。
另外亦應當注意的是,在一些實例中,可以在網路節點1406向設備1402發送針對設備1402的授權證明的請求1414之前,實現相互認證1418。例如,若網路節點1406是MME(如圖14中所舉例說明的),一旦完成AKA程序,則設備1402和MME可以經由安全傳輸(亦即,NAS訊息)來彼此之間進行通訊。因此,設備1402和MME可以彼此相互進行認證。
在一個態樣中,網路節點1406(例如,MME)可以請求設備1402發送在該設備1402的安全/認證啟動程序期間產生的完整性資訊(例如,設備1402的授權功能的軟體完整性資訊)。舉例而言,在安全/認證啟動程序期間獲得完整性資訊的情況下,可以使用該完整性資訊來證明在設備1402中執行的軟體的完整性。在一個態樣中,網路節點1406(例如,MME)可以在與設備1402的相互認證1418(例如,遠端認證)期間,進行針對完整性資訊的請求。可以在相互認證期間,使用該完整性資訊。
在1420處,網路節點1406(例如,MME)可以對用於設備1402使用該設備處的第一集合的選擇性啟動特徵的授權證明(例如,第一授權資訊)進行驗證。可以藉由使用授權伺服器公開金鑰(或者使用本端授權伺服器的公開金鑰(若本端授權伺服器產生了用於該設備1402的授權證明的話))對用於設備1402的授權證明進行驗證,來執行驗證。此外,在一個態樣中,在1422處,網路節點1406可以證實發送了用於設備1402的授權證明(例如,第一授權資訊)的設備1402持有與該設備1402的公開金鑰相對應的私密金鑰,其中該公開金鑰包括在用於該設備1402的授權證明(例如,第一授權資訊)中。例如,可以藉由使用包括在用於設備1402的授權證明(例如,第一授權資訊)中的該設備1402的公開金鑰,對利用用於設備1402的授權證明(例如,第一授權資訊)來發送的該設備1402的簽名進行驗證,來執行證實。
如圖14的示例性視圖中所示,若網路節點是MME,則若驗證1420和證實1422均成功,則網路節點1406(例如,MME)可以實現配置設備上下文1426的操作,以實現在RAN 1404處使用該網路服務。在一個實例中,網路節點1406可以配置RAN 1404,使得設備1402可以使用授權的選擇性啟動特徵(若該網路節點是例如MME的話)。在另一個實例中,網路節點1406可以配置RAN 1404,使得設備1402僅僅可使用授權的選擇性啟動特徵(若該網路節點是例如MME的話)。
但是,如前述,若該網路節點是eNB,則配置設備上下文1426的操作可能是不適用的。因此,利用虛線形式來描述了配置設備上下文1426和RAN 1404的操作。
根據一些態樣,若驗證1420和確認1422均成功,則網路節點1406可以證實設備1402為了獲得該網路服務而需要使用的選擇性啟動特徵與根據第一授權資訊在設備1402處啟動的選擇性啟動特徵相匹配。換言之,可以發生確認需要的選擇性啟動特徵的啟動的可選操作(1423)。在一個態樣中,確認需要的選擇性啟動特徵的啟動(1423)可以涉及:辨識設備1402為了使用該網路服務而需要的選擇性啟動特徵的所需集合;基於決定該選擇性啟動特徵的所需集合是否包括在第一集合的選擇性啟動特徵之中,發送針對於該請求的回應(1424),其中第一集合的選擇性啟動特徵是在針對該設備的授權證明(例如,第一授權資訊)中所標識的選擇性啟動特徵的集合。
在一個態樣中,辨識該選擇性啟動特徵的所需集合可以包括:根據第一授權伺服器維持的被授權的選擇性啟動特徵的特定於模型及/或特定於設備的清單,來匯出設備1402使用該網路服務需要的選擇性啟動特徵。在另一個態樣中,辨識該選擇性啟動特徵的所需集合可以包括:根據第一授權伺服器維持的可許可的選擇性啟動特徵的特定於模型及/或特定於設備的清單,來匯出設備1402使用該網路服務需要的選擇性啟動特徵。
在一個態樣中,在1424處,網路節點1406可以發送用於指示該連接請求的同意的回應。
本文所描述的態樣准許網路節點1406對於設備1402使用網路服務的權利進行驗證;但是,其亦准許設備1402對於網路節點1406提供該網路服務的權利進行驗證。一些網路節點可能錯誤地向設備1402通告特徵(例如,選擇性啟動特徵)的可用性。實際上,即使網路節點通告相反情形,某個特徵可不被啟動。若網路沒有向設備1402提供所通告的特徵或者服務,則網路可能使用例如劣質服務,而向設備1402收取更多的費用。因此,設備1402有興趣來確認通告一個特徵的網路節點被授權提供該特徵。一旦設備1402確認了該網路被授權提供該特徵,從而確認該特徵在該網路處是可用的,則設備1402可以耦合到該網路,並使用該網路服務。
因此,在1428處,設備1402可以發送針對於該網路節點提供該網路服務的授權證明的請求。作為回應,在1430處,網路節點1406可以發送用於該網路節點使用該網路節點處的第二集合的選擇性啟動特徵(例如,第二授權資訊)的授權證明,其中第二授權伺服器對該授權證明進行了簽名,第二集合的選擇性啟動特徵包括該網路節點提供該網路服務需要的第二選擇性啟動特徵。在1432處,設備1402可以對由網路節點1406發送給該設備1402的第二授權資訊(例如,第二授權憑證)進行驗證。可以使用第二授權伺服器公開金鑰來執行驗證(或者使用第二本端授權伺服器的公開金鑰(若第二本端授權伺服器產生了用於該網路節點1406的授權證明的話))。
此外,在一個態樣中,在1434處,設備1402可以證實發送了用於網路節點1406的授權證明(例如,第二授權資訊)的網路節點1406持有與該網路節點1406的公開金鑰相對應的私密金鑰,其中該公開金鑰包括在用於該網路節點1406的授權證明(例如,第二授權資訊)中。例如,可以藉由使用包括在用於網路節點1406的授權證明(例如,第二授權資訊)中的該網路節點1406的公開金鑰,對利用用於網路節點1406的授權證明(例如,第二授權資訊)來發送的網路節點1406的簽名進行驗證,來執行證實。
根據一些態樣,若驗證1432和證實1434均成功,則設備1402可以證實網路節點1406為了提供該網路服務而需要使用的選擇性啟動特徵與根據第二授權資訊在網路節點1406處啟動的選擇性啟動特徵相匹配。換言之,可以發生確認該網路節點被授權提供該網路服務的可選操作(1436)。在一個態樣中,確認網路節點被授權提供該網路服務(1436)可以涉及:辨識網路節點1406為了使用該網路服務而需要的第三集合的選擇性啟動特徵;基於決定第三集合的選擇性啟動特徵是否包括在第二集合的選擇性啟動特徵之中,而使用該網路服務,其中第二集合的選擇性啟動特徵是在用於該網路節點1406的授權證明(例如,第二授權資訊)中所標識的。在一個態樣中,若驗證1432、證實1434、以及確認網路節點被授權提供該網路服務(1436)皆成功,則設備1402可以使用由網路節點1406所提供的該網路服務。 示例性設備
圖15是根據本文所描述的態樣,示出被配置為支援授權協定的動態驗證和實施的示例性設備1500(例如,晶片式元件、客戶端設備、網路節點)的方塊圖,其中實施包括:根據授權協定的條款,對於設備使用選擇性啟動特徵的集合的授權證明進行動態驗證,以及對選擇性啟動特徵進行啟動/停用。在一個實例中,示例性設備1500可以包括網路通訊電路1502、處理電路1504和記憶體電路/儲存設備(本文稱為記憶體電路1506)。網路通訊電路1502、處理電路1504和記憶體電路1506可以耦合到通訊匯流排1508,以交換資料和指令。
網路通訊電路1502可以包括用於使用者的輸入/輸出操作的第一輸入/輸出模組/電路/功能1510。網路通訊電路1502可以包括用於無線通訊的第二輸入/輸出模組/電路/功能1511(例如,接收器/發射器模組/電路/功能)。如本領域一般技藝人士所應當理解的,網路通訊電路1502中可以包括其他電路/功能/模組。
處理電路1504可以被配置為包括或者實現一或多個處理器、專用處理器、硬體及/或軟體模組等等,其被配置為支援授權協定的動態驗證和實施,其中實施包括:根據授權協定的條款,對於設備使用選擇性啟動特徵的集合的授權證明進行動態驗證,以及對選擇性啟動特徵進行啟動/停用。處理電路1504可以被配置為包括授權功能電路/功能模組1512、授權憑證證實電路/功能模組1514、授權參數評估電路/功能模組1516和特徵啟用金鑰提取電路/功能模組1518。如本領域一般技藝人士所應當理解的,處理電路1504中可以包括其他電路/功能/模組。
記憶體電路1506可以被配置為包括授權指令1520、授權憑證證實指令1522、授權參數評估指令1524和特徵啟用金鑰提取指令1526。記憶體電路1506的單獨部分可以被配置為支援安全儲存。因此,記憶體電路1506亦可以包括安全儲存電路1528。安全儲存電路1528可以包括私密金鑰儲存1530。私密金鑰儲存1530可以儲存公開金鑰/私密金鑰對中的私密金鑰,其中授權伺服器或本端授權伺服器使用該公開金鑰/私密金鑰對中的公開金鑰來對授權憑證進行加密。此外,安全儲存電路1528亦可以包括特徵啟用金鑰儲存1532。此外,記憶體電路1506亦可以針對設備1536的選擇性啟動特徵中的每一個,儲存選擇性啟動特徵清單1534以及授權參數列表。如本領域一般技藝人士所應當理解的,記憶體電路1506中可以包括其他指令和用於資料的儲存的位置。 授權協定的驗證/實施的示例性方法
圖16是根據本文所描述的態樣,可在設備(例如,晶片式元件、客戶端設備、網路節點)處操作的示例性方法1600的流程圖。在一個態樣中,該設備可以類似於圖15的示例性設備1500及/或圖3的設備302。在實現示例性方法1600之前,該設備已決定與一個網路服務的使用相關聯的一或多個選擇性啟動特徵的集合。在實現示例性方法1600之前,該設備已(向授權伺服器或者本端授權伺服器)發送特徵啟動請求(例如,針對於啟動該一或多個選擇性啟動特徵的授權的請求)。該特徵啟動請求或者某種其他事件可以充當為造成授權伺服器(或者本端授權伺服器)發送用於該設備使用該設備處的第一集合的選擇性啟動特徵的授權證明的觸發事件,其中該授權證明由第一授權伺服器進行了簽名。
在1602處,設備可以獲得用於該設備使用該設備處的第一集合的選擇性啟動特徵的授權證明,其中第一授權伺服器對該授權證明進行了簽名。本文可以將用於設備的授權證明稱為授權資訊。用於設備的授權證明可以包括授權憑證。用於設備的授權證明可以是使用授權檔來獲得的。授權檔可以包括授權參數和一或多個特徵啟用金鑰。如本文所描述的,設備可以對該授權憑證進行驗證,確認發送針對該設備的授權證明的授權伺服器是正確的(例如,不是冒名頂替者)授權伺服器,對特徵啟用金鑰進行解密,並使用解密後的特徵啟用金鑰來啟動該設備處的第一集合的選擇性啟動特徵。
在1604處,該設備可以向網路節點發送使用網路服務的請求。第一集合的選擇性啟動特徵可以包括該設備為了使用該網路服務需要的第一選擇性啟動特徵。經由從授權伺服器獲得的授權證明,可以授權在該設備處啟動第一選擇性啟動特徵。根據一些態樣,可以在該設備發送用於使用該網路服務的請求的時間或者之前,在該設備處啟動第一選擇性啟動特徵中的一些或者全部。
在1606處,回應於發送使用該網路服務的請求,該設備可以從網路節點獲得針對該設備的授權證明的請求。作為回應,在1608處,該設備可以向網路節點發送針對該設備的授權證明(例如,用於該設備使用該設備處的第一集合的選擇性啟動特徵的授權證明,其中第一授權伺服器對該授權證明進行了簽名)。
在1610處,該設備可以向網路節點發送針對該網路節點提供該網路服務的授權證明的請求。
可選地,在1612處,該設備可以發送設備完整性資訊。該設備完整性資訊可以是在安全啟動程序期間獲得的。另外可選地,在1614處,該設備可以在該設備和網路節點(其驗證使用該網路服務的請求)之間執行相互認證(例如,遠端認證)。
可選地,在1616處,該設備可以獲得用於批準使用該網路服務的請求的回應。該回應可以是針對於下文操作的回應:發送用於該設備使用該設備處的第一集合的選擇性啟動特徵的授權證明,其中第一授權伺服器對該授權證明進行了簽名。
在1618處,該設備可以從網路節點獲得用於該網路節點使用該網路節點處的第二集合的選擇性啟動特徵的授權證明,其中第二授權伺服器對該授權證明進行了簽名。第二集合的選擇性啟動特徵可以包括該網路節點提供該網路服務需要的第二選擇性啟動特徵。
在1620處,該設備在使用該網路服務之前,可以對用於該網路節點的授權證明進行驗證。
在一些態樣中,針對該設備的授權證明可以是該設備從授權伺服器獲得的(例如,針對該設備的授權證明源自於授權伺服器)。在一些態樣中,針對該設備的授權證明可以是該設備從本端授權伺服器獲得的(例如,針對該設備的授權證明源自於本端授權伺服器)。在一些態樣中,針對該設備的授權證明可以包括授權憑證。在一些態樣中,針對該設備的授權證明可以是在特徵啟動程序期間(例如,在該設備處使用該網路服務而需要的選擇性啟動特徵的啟動期間),從授權伺服器,或者本端授權伺服器獲得的。
根據一些態樣,該設備可以是晶片式元件、客戶端設備、網路存取節點、行動性管理實體或者閘道設備。根據一個態樣,該設備可以是客戶端設備或者晶片式元件,網路節點可以是網路存取節點。在一個態樣中,用於設備的授權證明源自於第一授權伺服器,使用第一授權伺服器的私密金鑰進行簽名,並包括第一選擇性啟動特徵的清單。在該態樣中,該方法亦可以包括:藉由使用第一授權伺服器的公開金鑰,對第一選擇性啟動特徵的清單進行驗證,來驗證針對該設備的授權證明。此外,該方法亦可以包括:獲得與第一選擇性啟動特徵相關聯的、使用該設備的公開金鑰進行加密的特徵啟用金鑰。此外,該方法亦可以包括:使用僅僅該設備知道的該設備的私密金鑰,對特徵啟用金鑰進行解密。此外,該方法亦可以包括:使用特徵啟用金鑰啟動第一選擇性啟動特徵及/或維持對第一選擇性啟動特徵的啟動。
根據一個態樣,用於網路節點的授權證明可以源自於第二授權伺服器,使用第二授權伺服器的私密金鑰進行簽名,並包括第二選擇性啟動特徵的清單。在該態樣中,該方法亦可以包括:藉由使用第二授權伺服器的公開金鑰,對第二選擇性啟動特徵的清單進行驗證,來驗證用於網路節點的授權證明。
根據一些態樣,第一授權伺服器可以是本端授權伺服器。
在一個態樣中,該方法亦可以包括:辨識網路節點使用該網路服務需要的第三集合的選擇性啟動特徵;基於決定第三集合的選擇性啟動特徵是否包括在第二集合的選擇性啟動特徵中,使用該網路服務。
在另一個態樣中,用於設備的授權證明可以源自於第一授權伺服器,並是該述設備從第一授權伺服器獲得的,而用於網路節點的授權證明源自於第二授權伺服器,並是該設備從網路節點獲得的。
在一些態樣中,第一授權伺服器和第二授權伺服器是一個授權伺服器。
在一個態樣中,針對該設備的授權證明可以是在特徵啟動程序期間從第一授權伺服器獲得的,其中在該特徵啟動程序期間,該設備獲得授權以啟動第一選擇性啟動特徵。
在一個實例中,用於網路節點的授權證明是在認證和金鑰協商(AKA)程序期間,從該網路節點獲得的。
在一個態樣中,用於設備的授權證明可以是代表授權憑證的資料。在一個態樣中,用於設備的授權證明可以是代表授權協定的資料,其中該授權協定指示授權該設備啟動第一選擇性啟動特徵。
根據一個態樣,第一授權資訊可以包括:針對於被授權在該設備處啟動的選擇性啟動特徵中的每一個,用於啟動該選擇性啟動特徵的授權將到期的日期。
圖17是根據本文所描述的態樣,可在設備(例如,晶片式元件、客戶端設備、網路節點)處操作的示例性方法1700的流程圖。在一個態樣中,該設備可以類似於圖15的示例性設備1500。在1702,該設備可以獲得用於標識網路存取節點提供網路服務的能力的資訊。該資訊可以是以任何適當的方式來接收的。例如,可以以來自網路存取節點(例如,eNB)的通告的形式來接收該資訊。該通告可以經由空中廣播來通告網路能力(例如,經由在系統資訊區塊(SIB)中提供的資訊來通告)。在另一一個實例中,該資訊可以是回應於存取網路查詢協定(ANQP)或者服務查詢協定(SQP)查詢來接收的。例如,該網路能力可以包括該網路存取節點所提供的網路服務。
在1704處,設備可以從網路存取節點獲得授權資訊,以證實對該網路存取節點提供該網路服務的授權。在一個態樣中,該授權資訊可以具有授權憑證的形式。授權伺服器(或者本端授權伺服器)可以向網路存取節點發送該授權憑證。設備可以例如藉由向網路存取節點發送針對其發送授權資訊的請求,來獲得該授權資訊,以證實該網路節點被授權提供該網路服務。
在1706處,設備可以對該授權資訊進行驗證,以驗證該網路存取節點及/或對該網路存取節點提供該網路服務的授權。在一些態樣中,可以藉由對授權憑證進行驗證,來驗證該授權資訊。在一些態樣中,若授權伺服器發出了授權憑證,則可以使用授權伺服器的公開金鑰來驗證該授權憑證。在一些態樣中,若本端授權伺服器發出了該授權憑證,則可以使用本端授權伺服器的公開金鑰來驗證該授權憑證。在1708處,設備可以決定該授權資訊的驗證是否成功。若設備決定該授權資訊的驗證是成功的,則在1710處,該設備可以使用該網路服務。若設備決定該授權資訊的驗證是不成功的,則在1712處,該設備可能不能使用該網路服務。
圖18是根據本文所描述的態樣,可在網路節點(例如,網路存取節點、eNB、MME、S-GW、P-GW)處操作的示例性方法1800的流程圖。在一個態樣中,該網路節點可以類似於圖15的示例性設備1500。在1802,該網路節點可以從設備獲得使用網路服務的請求。此外,在1804處,該網路節點亦可以從設備獲得用於該設備使用該設備處的第一集合的選擇性啟動特徵的授權證明,其中授權伺服器對該授權證明進行了簽名。
在1806處,網路節點可以對針對該設備的授權證明進行驗證。亦即,網路節點可以對用於該設備使用該設備處的第一集合的選擇性啟動特徵的授權證明進行驗證,其中授權伺服器對該授權證明進行了簽名。網路節點可以對針對該設備的授權證明進行驗證,以便驗證該設備使用該設備處的第一集合的選擇性啟動特徵的授權。第一集合的選擇性啟動特徵可以是該設備為了使用該網路服務而需要的。在一些態樣中,可以藉由對授權憑證進行驗證,來驗證針對該設備的授權證明。在一些態樣中,當授權伺服器發出了授權憑證時,可以使用授權伺服器的公開金鑰來對授權憑證進行驗證。在一些態樣中,當本端授權伺服器發出了授權憑證時,可以使用本端授權伺服器的公開金鑰來對授權憑證進行驗證。
網路節點可以獨立地辨識該設備使用該網路服務需要的特徵,其後,將第一集合的選擇性啟動特徵與該設備為了使用該網路服務而需要的獨立辨識的特徵進行比較。若獨立辨識的特徵與第一集合的選擇性啟動特徵相匹配,則網路節點可以決定該設備能夠使用該網路服務。
因此,在1808處,網路節點可以辨識該設備為了使用該網路服務而需要的第二集合的選擇性啟動特徵。根據一個態樣,網路節點可以根據授權伺服器(或者本端授權伺服器)所維持的被授權的選擇性啟動特徵的特定於模型的清單、授權伺服器(或者本端授權伺服器)所維持的被授權的選擇性啟動特徵的特定於設備的清單,或者授權伺服器(或者本端授權伺服器)所維持的被授權的選擇性啟動特徵的特定於模型和特定於設備的清單來獲得或者匯出特徵,辨識第二集合的選擇性啟動特徵。根據另一個態樣,網路節點可以根據授權伺服器(或者本端授權伺服器)所維持的可許可的選擇性啟動特徵的特定於模型的清單、授權伺服器(或者本端授權伺服器)所維持的可許可的選擇性啟動特徵的特定於設備的清單,或者授權伺服器(或者本端授權伺服器)所維持的可許可的選擇性啟動特徵的特定於模型和特定於設備的清單來獲得或者匯出特徵,來辨識第二集合的選擇性啟動特徵。
在1810處,網路節點可以基於對針對該設備的授權證明進行驗證的結果,決定第二集合的選擇性啟動特徵是否包括在第一集合的選擇性啟動特徵中,來發送針對於該請求的回應。若網路節點所獨立辨識的特徵(亦即,第二集合的選擇性啟動特徵)包括在授權在該設備處啟動的第一集合的選擇性啟動特徵之中,或者是其一個子集,並且成功地驗證了用於該設備使用該設備處的第一集合的選擇性啟動特徵的授權證明,則針對於使用該網路服務的請求的回應可以指示:准許該設備使用該網路服務。
但是,若第二集合的選擇性啟動特徵不包括在第一集合的選擇性啟動特徵之中,或者若沒有成功地驗證針對該設備的授權證明,則網路節點可以忽略用於使用該網路服務的請求,或者可以發送用於指示不准許該設備使用該網路服務的回應。
根據一些態樣,網路節點可以是網路存取節點(例如,eNB)、行動性管理實體及/或閘道設備。
在一個態樣中,第一集合的選擇性啟動特徵包括第一選擇性啟動特徵,針對該設備的授權證明源自於授權伺服器。針對該設備的授權證明可以包括使用授權伺服器的私密金鑰進行簽名的第一選擇性啟動特徵的清單。舉例而言,該方法亦可以包括:藉由使用授權伺服器的公開金鑰,對第一選擇性啟動特徵的清單進行驗證,來驗證針對該設備的授權證明。
在一個態樣中,針對該設備的授權證明源自於授權伺服器,在網路節點處,可以從該設備獲得該授權證明。在另一個態樣中,針對該設備的授權證明源自於授權伺服器,在網路節點處,可以從歸屬用戶伺服器(HSS)獲得具有該設備的能力簡檔的形式的授權證明。在另一個態樣中,可以在認證和金鑰協商(AKA)程序期間,從設備獲得針對該設備的授權證明。在一些態樣中,用於設備的授權證明可以是代表授權憑證的資料。在其他態樣中,用於設備的授權證明可以是代表授權協定的資料,其中該授權協定指示授權該設備啟動第一集合的選擇性啟動特徵。
在一個實例中,辨識第二集合的選擇性啟動特徵,可以包括:網路節點根據授權伺服器維持的被授權的選擇性啟動特徵的特定於模型及/或特定於設備的清單,來匯出該設備使用該網路服務需要的選擇性啟動特徵。在另一個實例中,辨識第二集合的選擇性啟動特徵,可以包括:網路節點根據授權伺服器維持的可許可的選擇性啟動特徵的特定於模型及/或特定於設備的清單,來匯出該設備使用該網路服務需要的選擇性啟動特徵。
在一個態樣中,該方法亦可以包括:驗證該設備持有與該設備的公開金鑰相對應的私密金鑰,其中該設備的公開金鑰包含於針對該設備的授權證明,其中發送針對該請求的回應亦可以是基於該驗證的結果。
在一些態樣中,該方法亦可以包括:接收該設備的完整性資訊。在該等態樣中,針對該請求的回應亦可以是基於決定該完整性資訊是可接受的。根據一些態樣,設備能力簡檔可以包括:在安全啟動程序、認證啟動程序或者安全和認證啟動程序期間產生的設備完整性資訊。在一個實例中,該設備完整性資訊可以證明該設備的授權電路/功能/模組的完整性。
在一些態樣中,用於設備的授權證明可以源自於授權伺服器、本端授權伺服器或者授權伺服器和本端授權伺服器(例如,首先在該等地方獲得、首先在該等地方匯出)。授權伺服器和本端授權伺服器可以與授權、認證和計費(AAA)伺服器不同。授權伺服器和本端授權伺服器可以與歸屬用戶伺服器(HSS)不同。
根據一些態樣,針對設備使用該設備處的第一集合的選擇性啟動特徵的授權證明包括:針對選擇性啟動特徵中的每一個,對於啟動該選擇性啟動特徵的授權將到期的日期。
在一個態樣中,用於設備使用該設備處的第一集合的選擇性啟動特徵的授權證明可以是網路節點在適當的時間從該設備獲得的。在一個實例中,針對該設備的授權證明可以是當該設備連接到網路時,從該設備獲得的。再舉一個實例,針對該設備的授權證明可以是在特徵啟動程序期間,從授權伺服器或者本端授權伺服器獲得的。
在一個實例中,用於設備使用該設備處的第一集合的選擇性啟動特徵的授權證明,可以發送給歸屬用戶伺服器(HSS)。在一些實施方式中,可以將設備的選擇性啟動特徵的授權狀態(例如,指示該選擇性啟動特徵是否被授權和啟動的狀態)發送給HSS。可以使用針對該設備的授權證明、該設備的選擇性啟動特徵的授權狀態,或者針對該設備的授權證明和該設備的選擇性啟動特徵的授權狀態,來更新該設備的能力簡檔,其中該能力簡檔可以儲存在HSS處。
在一個態樣中,從HSS獲得該設備的能力簡檔,可以准許網路節點(例如,eNB、MME、S-GW、P-GW)驗證對於設備使用選擇性啟動特徵的授權,而無需該網路節點獲得另一種形式的證明(例如,可以避免該網路節點從該設備獲得用於該設備使用該設備處的第一集合的選擇性啟動特徵的授權證明的需求)。
在一些實施方式中,網路節點可以基於該設備的能力簡檔,來產生及/或改變設備上下文(例如,UE上下文)。根據一些態樣,HSS可以發送用於標識被授權在該設備處啟動的選擇性啟動特徵的資訊元素。在一個態樣中,該資訊元素可以包括該設備的能力簡檔。HSS可以向網路節點發送該資訊元素。根據一些態樣,網路節點可以基於對在HSS處儲存的該設備的能力簡檔的改變,來啟動及/或停用選擇性啟動特徵。該等選擇性啟動特徵可以是該網路節點的選擇性啟動特徵。基於在HSS處儲存的該設備的能力簡檔的改變來啟動及/或停用選擇性啟動特徵,可以促進產生及/或改變設備上下文(例如,UE上下文)。
圖19是根據本文所描述的態樣,可在網路節點(例如,網路存取節點、eNB、MME、S-GW、P-GW)處操作的另一種示例性方法1900的流程圖。在一個態樣中,該網路節點可以類似於圖15的示例性設備1500。在1902處,該網路節點可以從設備獲得使用一個網路服務的請求。此外,在1904處,該網路節點亦可以獲得針對該設備使用該設備處的第一集合的選擇性啟動特徵的授權證明,其中該授權證明由授權伺服器進行了簽名。
在1906處,網路節點可以對針對該設備的授權證明進行驗證。在一些態樣中,可以藉由對授權憑證進行驗證,來驗證針對該設備的授權證明。在一些態樣中,當授權伺服器發出了授權憑證時,可以使用授權伺服器的公開金鑰來驗證該授權憑證。在一些態樣中,當本端授權伺服器發出了授權憑證時,可以使用本端授權伺服器的公開金鑰來驗證該授權憑證。
此外,在1908處,網路節點亦可以確認該設備(其發送了針對該設備的授權證明)持有與該設備的公開金鑰相對應的私密金鑰,其中該公開金鑰包括在該授權證明中。用此方式,網路節點可以證實發送了該授權證明的設備是該授權證明中所標識的設備。在一些態樣中,證實該設備持有與該設備的公開金鑰相對應的私密金鑰(其中該公開金鑰包括在授權證明中),可以涉及:使用包括在該授權證明中的該設備的公開金鑰,對該設備的簽名(其由該設備利用該設備的私密金鑰來產生)進行驗證。
在1910處,網路節點可以決定針對該設備的授權證明的驗證和對該設備的證實是否成功。若網路節點決定針對該設備的授權證明的驗證、對該設備的證實,或者針對該設備的授權證明的驗證和對該設備的證實二者皆不成功,則在1912處,網路節點可以忽略使用該網路服務的請求,或者發送用於拒絕使用該網路服務的請求的回應。
若網路節點決定針對該設備的授權證明的驗證和對該設備的證實均成功,則在1914處,網路節點可以辨識該設備使用該網路服務需要的特徵。在一個實例中,網路節點可以使該辨識獨立地進行。
可以從針對該設備的授權證明中,獲得被授權在該設備處啟動的第一集合的選擇性啟動特徵的清單。在1916處,網路節點可以將授權證明中列出的選擇性啟動特徵與所辨識的該設備使用該網路服務而需要的特徵進行比較。
在1918處,可以決定針對該設備的授權證明中包括的選擇性啟動特徵是否與該網路節點所辨識的特徵相匹配。隨後,可以發送基於該決定的回應。當該等特徵匹配時,在1920處,網路節點可以發送用於批準使用該網路服務的請求的回應。當該等特徵不匹配時,在1922處,網路節點可以忽略用於使用該網路服務的請求,或者發送用於拒絕使用該網路服務的請求的回應。 示例性歸屬用戶伺服器(HSS)
圖20是根據本文所描述的態樣,示出被配置為支援授權協定的驗證和實施的示例性歸屬用戶伺服器(HSS)2000的方塊圖。在一個實例中,示例性HSS 2000可以包括網路通訊電路2002、處理電路2004和記憶體電路/儲存設備(本文稱為記憶體電路2006)。網路通訊電路2002、處理電路2004和記憶體電路2006可以耦合到通訊匯流排2008,以交換資料和指令。
網路通訊電路2002可以包括用於輸入/輸出操作的第一輸入/輸出模組/電路/功能2010。如本領域一般技藝人士所應當理解的,網路通訊電路2002中可以包括其他電路/功能/模組。
處理電路2004可以被配置為包括或者實現一或多個處理器、專用處理器、硬體及/或軟體模組等等,其被配置為支援授權協定的驗證和實施。處理電路2004可以被配置為包括HSS操作電路/功能/模組2012以實現HSS的功能。此外,處理電路2004亦可以被配置為包括授權功能電路/功能模組2014。如本領域一般技藝人士所應當理解的,處理電路2004中可以包括其他電路/功能/模組。
記憶體電路2006可以被配置為包括儲存空間,以儲存用於複數個設備的訂閱簡檔2016和能力簡檔2017。此外,記憶體電路2006亦可以被配置為包括HSS操作指令2018和授權電路/功能/模組指令(本文稱為授權指令2020)。如本領域一般技藝人士所應當理解的,記憶體電路2006中可以包括其他指令和用於資料的儲存的位置。
可以經由通訊匯流排2008等等,來進行網路通訊電路2002、處理電路2004、記憶體電路2006和示例性HSS 2000的其他部件(未圖示)之間的通訊。 可在歸屬用戶伺服器處操作的示例性方法
圖21根據本文所描述的態樣,圖示一種可在伺服器(例如,HSS)處操作的示例性方法2100,其與驗證設備(例如,晶片式元件、客戶端設備、網路節點)的一或多個特徵集合的使用的授權有關。該伺服器可以類似於圖20的示例性HSS 2000。
在示例性方法2100中,在2102處,伺服器(例如,HSS)可以獲得設備的選擇性啟動特徵的第一清單(例如,獲得的該設備的能力簡檔)。
關於該設備的授權狀態的改變的資訊,可以被認為是關於該設備的能力的改變的資訊。關於該設備的授權狀態的改變的資訊可以關於:對該設備的選擇性啟動特徵的集合中的至少一個選擇性啟動特徵的授權狀態的改變。
在2104處,伺服器(例如,HSS)可以基於第一列表,更新在該伺服器(例如,HSS)處儲存的該設備的選擇性啟動特徵的第二清單。第二清單可以稱為儲存的該設備的能力簡檔。根據一個態樣,在伺服器(例如,HSS)處儲存的第二清單可以與該設備的訂閱簡檔相關聯。對在HSS處儲存的該設備的選擇性啟動特徵的第二清單的更新,可以反映對第二列表中的至少一個選擇性啟動特徵的授權狀態的改變。
在一個態樣中,選擇性啟動特徵的第一清單可以源自於授權伺服器,並可以被利用授權伺服器的私密金鑰進行簽名。根據該態樣,該方法亦可以包括:使用授權伺服器的公開金鑰,對選擇性啟動特徵的第一清單進行驗證。
伺服器(例如,HSS)可以獲得關於該設備的能力的查詢。根據本文所描述的態樣,在2106處,伺服器(例如,HSS)可以回應於關於該設備的能力的查詢,發送能力簡檔,其中該能力簡檔包括該設備的選擇性啟動特徵的第二清單。
根據一個實例,HSS可以在初始附著程序期間,獲得關於該設備的能力的查詢。該查詢可以是從MME獲得的。回應於該查詢,HSS可以向MME發送包括第二列表的能力簡檔。該能力簡檔可以與該設備的訂閱簡檔相關聯。
替代地,HSS可以獲得針對在該HSS處儲存的特定資訊元素的請求。該資訊元素可以與該設備的能力有關。該資訊元素可以與該設備的選擇性啟動特徵的第二清單中標識的一或多個選擇性啟動特徵(例如,在儲存的該設備的能力簡檔中)有關。
使用初始附著程序的實例,HSS可以向第二設備(例如,MME)發送第一設備(例如,晶片式元件、客戶端設備)的能力簡檔,使得第二設備(例如,MME)可以配置各種特徵,以實現或者回應已經在第一設備上授權/啟動的選擇性啟動特徵。
第二設備(例如,MME)可以驗證第一設備使用一或多個選擇性啟動特徵的權利,而無需第二設備(例如,MME)從第一設備獲得由第一授權伺服器簽名的、針對第一設備使用該第一設備處的第一集合的選擇性啟動特徵的授權證明(例如,具有授權憑證的形式的授權資訊)。第二設備(例如,MME)可能需要針對第一設備的授權證明,以驗證第一設備使用該集合的選擇性啟動特徵的權利。在替代的態樣中,該證明可以是第二設備(例如,MME)從HSS獲得的,並被配置用於網路,而無需來自第一設備的輸入。因此,例如,能力簡檔及/或與設備的能力有關的資訊元素(例如,可以使用增強型存取網路查詢協定或者服務查詢協定來從HSS獲得)的使用,可以促進/加速/提高MME驗證和實施授權協定的效率。
所示出和描述的特定實現只是示例性的,不應被解釋為是實現本案內容的唯一方式,除非本文另外指出。對於本領域一般技藝人士來說顯而易見的是,可以藉由眾多的其他解決方案來實現本案內容中的各個實例。
可以將附圖中所圖示和本文所描述的部件、動作、特徵及/或功能中的一或多個進行重新排列及/或組合到一個單一部件、動作、特徵或功能中,或者包括在幾個部件、動作、特徵或功能中。此外,在不脫離本案內容的基礎上,亦可以增加其他的元素、部件、動作及/或功能。本文所描述的演算法亦可以高效地實現在軟體及/或嵌入到硬體中。
在本文描述中,為了避免不必要的細節對本案內容造成模糊,以方塊圖形式圖示一些單元、電路、功能和模組。相反,所示出和描述的特定實現只是示例性的,不應被解釋為是實現本案內容的唯一方式,除非本文另外指出。另外,模組定義和各個區塊之間的邏輯的劃分,亦只是一種特定實現的實例。對於本文的大部分內容來說,省略了關於時序考慮等等的細節,獲得本案內容的完全理解,並不需要該等細節,該等細節應在相關領域的一般技藝人士的能力範圍之內。
此外,應當注意的是,可以使用程式方塊圖、流程圖、結構圖或方塊圖將本文的該等實例作為程序進行描述。儘管使用流程圖將操作描述成了一個連續處理程序,但很多操作可以是並行或同時執行。並且,可以調整該等操作的順序。當該等操作結束時,處理程序亦就終結了。處理程序可以對應於方法、函數、程序、子常式、副程式等。當處理程序對應於函數時,該處理程序的終結對應於從該函數到其調用函數或主函數的返回。
本領域一般技藝人士應當理解,資訊和信號可以使用多種不同的技術和方法中的任意一種來表示。例如,在貫穿上面的描述中提及的資料、指令、命令、資訊、信號、位元、符號和碼片可以用電壓、電流、電磁波、磁場或粒子、光場或粒子或者其任意組合來表示。為了呈現和描述的清楚起見,一些附圖將信號圖示成單一信號。本領域一般技藝人士應當理解的是,信號可以表示信號匯流排,其中該匯流排可以具有多種位元寬度,可以在任意數量的資料信號(其包括單一資料信號)上實現本案內容。
應當理解的是,對本文元素的任何引用使用諸如「第一」、「第二」等等之類的指定,其通常並不限制該等元素的數量或順序,除非顯式地指出了此種限制。相反,在本文中將該等指定用作區分兩個或更多元素或者一個元素的執行個體的便利方法。因此,對於第一元素和第二元素的引用並不意味在此處僅使用兩個元素,或者第一元素必須以某種方式排在第二元素之前。此外,除非另外說明,否則一組元素可以包括一或多個元素。此外,應當理解的是,使用單數形式的詞語包括複數,使用複數形式的詞語包括單數。
此外,儲存媒體可以表示用於儲存資料的一或多個設備,其包括唯讀記憶體(ROM)、隨機存取記憶體(RAM)、磁碟儲存媒體、光學儲存媒體、快閃記憶體設備及/或用於儲存資訊的其他機器可讀取媒體、處理器可讀取媒體、處理電路可讀取媒體及/或電腦可讀取媒體。術語「機器可讀取媒體」、「處理器可讀取媒體」、「處理電路可讀取媒體」及/或「電腦可讀取媒體」可以包括但不限於非臨時性媒體,例如,可攜式或固定儲存裝置、光儲存裝置和能夠儲存、包含或攜帶指令及/或資料的各種其他媒體。因此,本文所描述的各種方法可以完全地或者部分地用儲存在機器可讀取媒體、處理器可讀取媒體、處理電路可讀取媒體及/或電腦可讀取媒體中的指令及/或資料來實現,並由一或多個處理器、處理電路、機器及/或設備來執行。
此外,可以用硬體、軟體、韌體、仲介軟體、微代碼或者其任意組合來實現態樣。當使用軟體、韌體、仲介軟體或微代碼實現時,可以將執行任務的程式碼或程式碼片段儲存於諸如儲存媒體或其他記憶體之類的機器可讀取媒體中。處理電路可以執行該等任務。可以用處理、程序、函數、副程式、程式、例行程式、子例行程式、模組、套裝軟體、軟體組件,或者指令、資料結構或程式語句的任意組合來表示程式碼片段。可以藉由傳送、轉發或者發送資訊、資料、引數、參數或記憶體內容,將程式碼片段連接到另一程式碼片段或硬體電路。可以經由任何適當的方式,包括記憶體共享、訊息傳遞、符記傳遞和網路傳輸等,對資訊、資料、引數、參數或記憶體內容等進行傳遞、轉發或發送。
結合本文所公開示例描述的各種示例性的邏輯區塊、元素、電路、模組、功能及/或部件,可以使用用於執行本文所描述的功能的通用處理器、數位訊號處理器(DSP)、特殊應用積體電路(ASIC)、現場可程式化閘陣列(FPGA)或其他可程式化邏輯裝置、個別閘門或者電晶體邏輯裝置、個別硬體部件或者其任意組合來實現或者執行。通用處理器可以是微處理器,或者,該處理器亦可以是任何一般的處理器、控制器、微控制器或者狀態機。處理器亦可以實現為計算部件的組合,例如,DSP和微處理器的組合、多個微處理器、一或多個微處理器與DSP核心的結合,或者任何其他此種結構。配置為執行本文所描述的態樣的通用處理器,被視作為用於執行該等態樣的特殊用途處理器。類似地,當通用電腦被配置為執行本文所描述的態樣時,被視作為特殊用途電腦。
結合本文所公開示例描述的方法或者演算法可以用處理單元、程式指令或者其他指示的形式,直接體現為硬體、由處理器執行的軟體模組或兩者的組合,該等方法或者演算法可以包含在單一設備中,亦可以分佈在多個設備之中。軟體模組可以位於RAM記憶體、快閃記憶體、ROM記憶體、EPROM記憶體、EEPROM記憶體、暫存器、硬碟、可移除磁碟、CD-ROM或者本領域應理解的任何其他形式的儲存媒體中。可以將一種儲存媒體連接至處理器,從而使該處理器能夠從該儲存媒體讀取資訊,並且可向該儲存媒體寫入資訊。或者,儲存媒體亦可以是處理器的組成部分。
本領域一般技藝人士亦應當明白,結合本文所描述示例描述的各種示例性的邏輯區塊、電路、功能、模組和演算法步驟均可以實現成電子硬體、電腦軟體或二者的組合。為了清楚地表示硬體和軟體之間的此種可交換性,上面對各種示例性的元素、部件、方塊、模組、電路、功能、模組和演算法均圍繞其功能進行了整體描述。至於此種功能是實現成硬體、軟體,還是實現成二者的組合,取決於特定的應用和對整個系統所施加的設計約束條件。
在不脫離本案內容的保護範圍的基礎上,可以在不同的系統中實現本文所描述的本案內容的各種特徵。應當注意的是,上述的態樣僅僅是示例性的,不應將其解釋為對本案內容的限制。本案內容的該等教示示例的描述意欲是說明性的,而不是限制本發明的保護範圍。同樣,本發明內容可以容易地應用於其他類型的裝置,並且對於本領域的一般技藝人士來說,各種變化、修改和變型皆是顯而易見的。
100‧‧‧示例性系統 102‧‧‧設備A 104‧‧‧設備B 106‧‧‧設備C 108‧‧‧授權電路/功能/模組 110‧‧‧第一集合的選擇性啟動特徵 112‧‧‧授權電路/功能/模組 114‧‧‧第二組的選擇性啟動特徵 116‧‧‧授權電路/功能/模組 118‧‧‧第三組的選擇性啟動特徵 120‧‧‧授權協定 122‧‧‧授權憑證 124‧‧‧授權檔 126‧‧‧授權伺服器 128‧‧‧本端授權伺服器 200‧‧‧示例性操作環境 202‧‧‧第一設備 203‧‧‧第一授權功能 204‧‧‧第二設備 205‧‧‧第二授權功能 206‧‧‧第三設備 207‧‧‧第三授權功能 210‧‧‧無線存取網路(RAN) 212‧‧‧核心網 214‧‧‧行動性管理實體(MME) 216‧‧‧認證和計費伺服器(HSS/AAA) 218‧‧‧服務閘道設備(S-GW) 220‧‧‧封包資料網路閘道設備(P-GW) 222‧‧‧本端授權伺服器 228‧‧‧應用伺服器 230‧‧‧應用伺服器 232‧‧‧封包資料網路 234‧‧‧授權伺服器 300‧‧‧系統 302‧‧‧設備 304‧‧‧授權功能 305‧‧‧安全操作環境 306‧‧‧本端授權伺服器 308‧‧‧授權伺服器 310‧‧‧安全儲存電路 312‧‧‧資料儲存裝置 314‧‧‧處理電路 316‧‧‧私密金鑰 318‧‧‧特徵啟用金鑰 320‧‧‧選擇性啟動特徵 322‧‧‧特徵和授權參數清單 323‧‧‧授權憑證 324‧‧‧授權檔 325‧‧‧通訊匯流排 326‧‧‧網路通訊電路 330‧‧‧授權協定 332‧‧‧金鑰儲存 334‧‧‧特徵啟用金鑰 336‧‧‧授權參數 338‧‧‧通訊匯流排 340‧‧‧處理電路 342‧‧‧網路通訊電路 400‧‧‧示例性清單 402‧‧‧協定的日期 404‧‧‧設備的所有者的辨識符 406‧‧‧設備的製造商或OEM的辨識符 408‧‧‧設備的辨識符(例如,IMEI號) 410‧‧‧授權特徵清單 412‧‧‧授權協定的持續時間 414‧‧‧關於該等特徵的使用的限制 416‧‧‧使用該等特徵的費用 500‧‧‧示例性清單 502‧‧‧該協定的起始日期 504‧‧‧該協定的結束日期 506‧‧‧該設備的辨識符 508‧‧‧授權特徵清單 510‧‧‧關於該等特徵的使用的限制 512‧‧‧設備的公開金鑰 514‧‧‧設備的製造商或OEM的辨識符 516‧‧‧使用該等特徵的費用 600‧‧‧示例性清單 602‧‧‧授權協定的起始日期 604‧‧‧授權協定的結束日期 606‧‧‧設備的辨識符 608‧‧‧授權服務清單 610‧‧‧授權特徵清單 612‧‧‧設備的製造商或OEM的辨識符 614‧‧‧使用特徵的費用 702‧‧‧動作 704‧‧‧動作 706‧‧‧動作 708‧‧‧動作 710‧‧‧動作 712‧‧‧動作 714‧‧‧動作 800‧‧‧方法的流程圖 802‧‧‧動作 804‧‧‧動作 806‧‧‧動作 808‧‧‧動作 810‧‧‧動作 812‧‧‧動作 900‧‧‧流程圖 902‧‧‧動作 904‧‧‧動作 906‧‧‧動作 908‧‧‧動作 910‧‧‧動作 912‧‧‧動作 914‧‧‧動作 1000‧‧‧示例性本端授權伺服器 1002‧‧‧網路通訊電路 1004‧‧‧處理電路 1006‧‧‧記憶體電路/儲存設備 1008‧‧‧通訊匯流排 1010‧‧‧輸入/輸出模組/電路/功能 1012‧‧‧授權協定管理電路/功能/模組 1014‧‧‧特徵啟動金鑰匯出電路/功能/模組 1016‧‧‧授權參數匯出電路/功能/模組 1018‧‧‧授權憑證匯出電路/功能/模組 1020‧‧‧授權協定管理指令 1022‧‧‧特徵啟動金鑰匯出指令 1024‧‧‧授權參數匯出指令 1026‧‧‧授權憑證匯出指令 1028‧‧‧授權協定儲存 1030‧‧‧特徵啟用金鑰儲存 1032‧‧‧授權參數儲存 1034‧‧‧公開金鑰儲存 1100‧‧‧示例性授權伺服器 1102‧‧‧網路通訊電路 1104‧‧‧處理電路 1106‧‧‧記憶體電路/儲存設備 1108‧‧‧通訊匯流排 1110‧‧‧輸入/輸出模組/電路/功能 1112‧‧‧授權協定管理電路/功能/模組 1114‧‧‧特徵啟用金鑰匯出電路/功能/模組 1116‧‧‧授權參數匯出電路/功能/模組 1118‧‧‧授權憑證匯出電路/功能/模組 1120‧‧‧授權協定管理指令 1122‧‧‧特徵啟用金鑰匯出指令 1124‧‧‧授權參數匯出指令 1126‧‧‧授權憑證匯出指令 1128‧‧‧授權協定儲存 1130‧‧‧特徵啟用金鑰儲存 1132‧‧‧授權參數儲存 1134‧‧‧授權憑證儲存區 1136‧‧‧公開金鑰儲存 1138‧‧‧特徵使用報告電路/功能/模組 1140‧‧‧特徵使用報告指令 1200‧‧‧撥叫流程圖 1202‧‧‧設備 1204‧‧‧本端授權伺服器 1206‧‧‧授權伺服器 1208‧‧‧另一個實體獲得設備驗證資訊 1210‧‧‧動作 1211‧‧‧動作 1212‧‧‧動作 1214‧‧‧遠端認證 1216‧‧‧特徵啟動請求 1218‧‧‧遠端認證 1219‧‧‧遠端認證 1220‧‧‧動作 1222‧‧‧動作 1223‧‧‧動作 1224‧‧‧動作 1226‧‧‧週期報告 1228‧‧‧週期報告 1300‧‧‧示例性撥叫流程圖 1302‧‧‧設備 1304‧‧‧無線存取網路(RAN) 1306‧‧‧網路節點 1308‧‧‧HSS 1310‧‧‧本端授權伺服器 1312‧‧‧授權伺服器 1314‧‧‧動作 1315‧‧‧動作 1316‧‧‧動作 1318‧‧‧動作 1320‧‧‧動作 1322‧‧‧動作 1324‧‧‧動作 1325‧‧‧動作 1326‧‧‧動作 1328‧‧‧動作 1330‧‧‧相互認證 1332‧‧‧設備上下文 1400‧‧‧示例性撥叫流程圖 1402‧‧‧設備 1404‧‧‧無線存取網路(RAN) 1406‧‧‧網路節點 1408‧‧‧動作 1410‧‧‧動作 1412‧‧‧動作 1414‧‧‧動作 1416‧‧‧動作 1418‧‧‧動作 1420‧‧‧動作 1422‧‧‧動作 1423‧‧‧動作 1424‧‧‧動作 1426‧‧‧動作 1428‧‧‧動作 1430‧‧‧動作 1432‧‧‧動作 1434‧‧‧動作 1436‧‧‧動作 1500‧‧‧示例性設備 1502‧‧‧網路通訊電路 1504‧‧‧處理電路 1506‧‧‧記憶體電路/儲存設備 1508‧‧‧通訊匯流排 1510‧‧‧第一輸入/輸出模組/電路/功能 1511‧‧‧第二輸入/輸出模組/電路/功能 1512‧‧‧授權功能電路/功能模組 1514‧‧‧授權憑證證實電路/功能模組 1516‧‧‧授權參數評估電路/功能模組 1518‧‧‧特徵啟用金鑰提取電路/功能模組 1520‧‧‧授權指令 1522‧‧‧授權憑證證實指令 1524‧‧‧授權參數評估指令 1526‧‧‧特徵啟用金鑰提取指令 1528‧‧‧安全儲存電路 1530‧‧‧私密金鑰儲存 1532‧‧‧特徵啟用金鑰儲存 1534‧‧‧選擇性啟動特徵清單 1536‧‧‧動作 1600‧‧‧示例性方法 1602‧‧‧動作 1604‧‧‧動作 1606‧‧‧動作 1608‧‧‧動作 1610‧‧‧動作 1612‧‧‧動作 1614‧‧‧動作 1616‧‧‧動作 1618‧‧‧動作 1620‧‧‧動作 1700‧‧‧示例性方法 1702‧‧‧動作 1704‧‧‧動作 1706‧‧‧動作 1708‧‧‧動作 1710‧‧‧動作 1712‧‧‧動作 1800‧‧‧示例性方法 1802‧‧‧動作 1804‧‧‧動作 1806‧‧‧動作 1808‧‧‧動作 1810‧‧‧動作 1900‧‧‧另一種示例性方法 1902‧‧‧動作 1904‧‧‧動作 1906‧‧‧動作 1908‧‧‧動作 1910‧‧‧動作 1912‧‧‧動作 1914‧‧‧動作 1916‧‧‧動作 1918‧‧‧動作 1920‧‧‧動作 1922‧‧‧動作 2000‧‧‧示例性歸屬用戶伺服器(HSS) 2002‧‧‧網路通訊電路 2004‧‧‧處理電路 2006‧‧‧記憶體電路 2008‧‧‧通訊匯流排 2010‧‧‧第一輸入/輸出模組/電路/功能 2012‧‧‧HSS操作電路/功能/模組 2014‧‧‧授權功能電路/功能模組 2016‧‧‧訂閱簡檔 2017‧‧‧能力簡檔 2018‧‧‧HSS操作指令 2020‧‧‧授權指令 2100‧‧‧示例性方法 2102‧‧‧動作 2104‧‧‧動作 2106‧‧‧動作 S1-MME‧‧‧參考點 S1-U‧‧‧參考點
圖1是根據本文所描述的態樣,可以對一或多個設備的集合上的一或多個選擇性啟動特徵進行動態授權和啟動的示例性系統的方塊圖。
圖2根據本文所描述的態樣,圖示一種示例性操作環境。
圖3是根據本文所描述的態樣,一種系統的架構參考模型。
圖4根據本文所描述的態樣,圖示可以包括在第一實體和一或多個設備的製造商或OEM之間的示例性授權協定中的參數和資料的示例性清單。
圖5根據本文所描述的態樣,圖示可以包括在製造商或OEM和另一個實體之間的示例性授權協定中的參數和資料的示例性清單。
圖6根據本文所描述的態樣,圖示可以包括在網路服務供應商和另一個實體之間的示例性授權協定中的參數和資料的示例性清單。
圖7是根據本文所描述的態樣,示出與向設備發送授權憑證、授權檔、特徵啟用金鑰和軟體有關的動作的流程圖。
圖8是根據本文所描述的態樣,示出一種涉及特徵啟動請求的方法的流程圖。
圖9是根據本文所描述的態樣,示出對選擇性啟動特徵進行啟動的一個實例的流程圖。
圖10是根據本文所描述的態樣,示出被配置為支援授權協定的動態驗證和實施的授權伺服器的方塊圖。
圖11是根據本文所描述的態樣,示出被配置為支援授權協定的動態驗證和實施的本端授權伺服器的方塊圖。
圖12是根據本文所描述的態樣,與授權協定的動態驗證和實施有關的撥叫流程圖。
圖13是根據本文所描述的態樣,示出可以結合下文操作來發生的一種系統級撥叫流的示例性撥叫流程圖,其基於設備的訂閱簡檔,對於設備使用第一集合的選擇性啟動特徵的授權證明進行驗證。
圖14是根據本文所描述的態樣,示出與下文的操作相關聯的另一種系統級撥叫流的示例性撥叫流程圖,其對於設備使用該設備處儲存的授權憑證中標識的第一集合的選擇性啟動特徵的授權證明進行驗證。
圖15是根據本文所描述的態樣,示出被配置為支援授權協定的動態驗證和實施的示例性設備的方塊圖,其中實施包括:根據授權協定的條款,對於設備使用選擇性啟動特徵的集合的授權證明進行驗證,以及對選擇性啟動特徵進行啟動/停用。
圖16是根據本文所描述的態樣,可在設備處操作的示例性方法的流程圖。
圖17是根據本文所描述的態樣,可在設備處操作的示例性方法的流程圖。
圖18是根據本文所描述的態樣,可在網路節點處操作的示例性方法的流程圖。
圖19是根據本文所描述的態樣,可在網路節點處操作的另一種示例性方法的流程圖。
圖20是根據本文所描述的態樣,示出被配置為支援授權協定的驗證和實施的示例性歸屬用戶伺服器(HSS)的方塊圖。
圖21根據本文所描述的態樣,圖示一種可在HSS處操作的示例性方法,其與驗證設備的一或多個特徵集合的使用的授權有關。
國內寄存資訊 (請依寄存機構、日期、號碼順序註記) 無
國外寄存資訊 (請依寄存國家、機構、日期、號碼順序註記) 無
(請換頁單獨記載) 無
1400‧‧‧示例性撥叫流程圖
1402‧‧‧設備
1404‧‧‧無線存取網路(RAN)
1406‧‧‧網路節點
1408‧‧‧動作
1410‧‧‧動作
1412‧‧‧動作
1414‧‧‧動作
1416‧‧‧動作
1418‧‧‧動作
1420‧‧‧動作
1422‧‧‧動作
1423‧‧‧動作
1424‧‧‧動作
1426‧‧‧動作
1428‧‧‧動作
1430‧‧‧動作
1432‧‧‧動作
1434‧‧‧動作
1436‧‧‧動作

Claims (48)

  1. 一種用於網路服務的方法,包括以下步驟:在一設備處從一網路節點獲得一第一集合的特徵的一清單,該第一集合的特徵由該網路節點提供來提供一網路服務;向該網路節點發送對於使用該網路服務的一請求;向該網路節點發送對於針對該網路節點提供該網路服務的一授權證明的一請求;從該網路節點獲得由一授權伺服器進行了簽名的針對該網路節點提供該網路服務的該授權證明,針對該網路節點提供該網路服務的該授權證明包括被授權在該網路節點處啟動的一第二集合的特徵的一清單;對針對該網路節點的該授權證明進行驗證;確認由該網路節點提供來提供該網路服務的該第一集合的特徵是包括在被授權在該網路節點處啟動的該第二集合的特徵中,以確認該網路節點被有效地授權以使用該第二集合的特徵來提供該網路服務;由該設備辨識該網路節點提供該網路服務所需要的一第三集合的特徵的一清單;及基於決定該網路節點提供該網路服務所需要的該第三集合的特徵是否包括在被授權在該網路節點處啟動的該第二集合的特徵中,來使用該網路服務。
  2. 根據請求項1之方法,其中該設備是一晶片式元件、一客戶端設備、一網路存取節點、一行動性管理實體或者一閘道設備。
  3. 根據請求項1之方法,其中該設備是一客戶端設備或者一晶片式元件,該網路節點是一網路存取節點。
  4. 根據請求項1之方法,進一步包括以下步驟:獲得由一第一授權伺服器進行了簽名的針對該設備的使用在該設備處的一第一集合的選擇性啟動特徵的一授權證明,其中該第一集合的選擇性啟動特徵包括被該設備使用來使用該網路服務的第一選擇性啟動特徵,針對該設備的該授權證明源自於該第一授權伺服器,被利用該第一授權伺服器的一私密金鑰進行了簽名,並包括該第一選擇性啟動特徵的一清單;藉由使用該第一授權伺服器的一公開金鑰對該第一選擇性啟動特徵的該清單進行驗證,來驗證針對該設備的該授權證明;獲得與該第一選擇性啟動特徵相關聯的、被利用該設備的一公開金鑰進行加密的特徵啟用金鑰;使用僅該設備知道的該設備的一私密金鑰,對該特徵啟用金鑰進行解密;及 利用該特徵啟用金鑰,啟動該第一選擇性啟動特徵及/或維持對該第一選擇性啟動特徵的啟動。
  5. 根據請求項1之方法,其中針對該網路節點的該授權證明源自於該授權伺服器,被利用該授權伺服器的一私密金鑰進行了簽名,該方法亦包括:藉由使用該授權伺服器的一公開金鑰對在該網路節點處啟動的特徵的清單進行驗證,來驗證針對該網路節點的該授權證明。
  6. 根據請求項4之方法,其中該第一授權伺服器是一本端授權伺服器。
  7. 根據請求項1之方法,其中:針對該設備使用在該設備處的一第一集合的選擇性啟動特徵的一授權證明,包括被該設備使用來使用該網路服務的第一選擇性啟動特徵,是源自於一第一授權伺服器,並是在該設備處從該第一授權伺服器獲得的,以及針對該網路節點的該授權證明源自於該授權伺服器,並是在該設備處從該網路節點獲得的。
  8. 根據請求項7之方法,其中該第一授權伺服器和該授權伺服器是一個授權伺服器。
  9. 根據請求項7之方法,其中針對該設備的該授權證明是在一特徵啟動程序期間從該第一授權伺服器 獲得的,其中在該特徵啟動程序期間,該設備獲得授權以啟動該第一選擇性啟動特徵。
  10. 根據請求項7之方法,其中針對該設備的該授權證明是代表一授權憑證的資料。
  11. 根據請求項7之方法,其中針對該設備的該授權證明是代表一授權協定的資料,其中該授權協定指示該設備被授權以啟動該第一集合的選擇性啟動特徵。
  12. 一種用於網路服務的設備,包括:一網路通訊電路;及耦合到該網路通訊電路的一處理電路,該處理電路被配置為:從一網路節點獲得一第一集合的特徵的一清單,該第一集合的特徵由該網路節點提供來提供一網路服務;向該網路節點發送對於使用該網路服務的一請求;向該網路節點發送對於針對該網路節點提供該網路服務的一授權證明的一請求;從該網路節點獲得由一授權伺服器進行了簽名的針對該網路節點提供該網路服務的該授權證明,針對該網路節點提供該網路服務的該授權證明包括被 授權在該網路節點處啟動的一第二集合的特徵的一清單;對針對該網路節點的該授權證明進行驗證;確認由該網路節點提供來提供該網路服務的該第一集合的特徵是包括在被授權在該網路節點處啟動的該第二集合的特徵中,以確認該網路節點被有效地授權以使用該第二集合的特徵來提供該服務;辨識一第三集合的特徵的一清單,該第三集合的特徵是該網路節點提供該網路服務所需要的;及基於決定該網路節點提供該網路服務所需要的該第三集合的特徵是否包括在被授權在該網路節點處啟動的該第二集合的特徵中,來使用該網路服務。
  13. 根據請求項12之設備,其中該設備是一晶片式元件、一客戶端設備、一網路存取節點、一行動性管理實體或者一閘道設備。
  14. 根據請求項12之設備,其中該處理電路進一步被配置為:獲得由一第一授權伺服器進行了簽名的針對該設備的使用在該設備處的一第一集合的選擇性啟動特徵的一授權證明,其中針對該設備的該授權證明源自於該第一授權伺服器,被利用該第一授權伺服器的一私密 金鑰進行了簽名,並包括該第一選擇性啟動特徵的一清單;藉由使用該第一授權伺服器的一公開金鑰對該第一選擇性啟動特徵的該清單進行驗證,來驗證針對該設備的該授權證明;獲得與該第一選擇性啟動特徵相關聯的、被利用該設備的一公開金鑰進行加密的特徵啟用金鑰;使用僅該設備知道的該設備的一私密金鑰,對該特徵啟用金鑰進行解密;及利用該特徵啟用金鑰,啟動該第一選擇性啟動特徵及/或維持對該第一選擇性啟動特徵的啟動。
  15. 根據請求項12之設備,其中針對該網路節點的該授權證明源自於該授權伺服器,被利用該授權伺服器的一私密金鑰進行了簽名,其中該處理電路進一步被配置為:藉由使用該授權伺服器的一公開金鑰對在該網路節點處啟動的該等特徵的清單進行驗證,來驗證針對該網路節點的該授權證明。
  16. 根據請求項14之設備,其中該第一授權伺服器是一本端授權伺服器。
  17. 根據請求項12之設備,其中該處理電路進一步被配置為: 在該設備處,從一第一授權伺服器獲得針對該設備使用在該設備處的一第一集合的選擇性啟動特徵的一授權證明,其中針對該設備的該授權證明源自於該第一授權伺服器;及在該設備處,從該網路節點獲得針對該網路節點的該授權證明,其中針對該網路節點的該授權證明源自於該授權伺服器。
  18. 根據請求項17之設備,其中該第一授權伺服器和該授權伺服器是一個授權伺服器。
  19. 根據請求項17之設備,其中該處理電路進一步被配置為:在一特徵啟動程序期間,從該第一授權伺服器獲得針對該設備的該授權證明,其中在該特徵啟動程序期間,該設備獲得授權以啟動該第一選擇性啟動特徵。
  20. 根據請求項17之設備,其中針對該設備的該授權證明是代表一授權憑證的資料。
  21. 根據請求項17之設備,其中針對該設備的該授權證明是代表一授權協定的資料,其中該授權協定指示該設備被授權以啟動該第一集合的選擇性啟動特徵。
  22. 一種用於網路服務的方法,包括以下步驟: 由一網路節點向一設備發送一第一集合的特徵的一清單,該第一集合的特徵由該網路節點提供來為該設備提供一網路服務;從該設備獲得對於使用該網路服務的一請求;獲得對於針對該網路節點提供該網路服務的一授權證明的一請求;向該設備發送由一第一授權伺服器進行了簽名的針對該網路節點提供該網路服務的該授權證明,針對該網路節點提供該網路服務的該授權證明包括被授權在該網路節點處啟動的一第二集合的特徵的一清單,以允許藉由確認由該網路節點提供來提供該網路服務的該第一集合的特徵是包括在被授權在該網路節點處啟動的該第二集合的特徵中,來確認該網路節點被有效地授權以提供該網路服務;獲得由一第二授權伺服器進行了簽名的針對該設備的一授權證明,包括被授權在該設備處啟動的一第二集合的選擇性啟動特徵的一清單;對針對該設備的該授權證明進行驗證;辨識該設備使用該網路服務所需要的一第三集合的選擇性啟動特徵的一清單;及基於對針對該設備的該授權證明進行驗證和決定該設備使用該網路服務所需要的該第三集合的選擇性啟 動特徵是否包括在被授權在該設備處啟動的該第二集合的選擇性啟動特徵中的結果,來發送針對使用該網路服務的該請求的一回應。
  23. 根據請求項22之方法,其中該網路節點是一網路存取節點、一行動性管理實體或者一閘道設備。
  24. 根據請求項22之方法,其中:針對該設備的該授權證明源自於該第二授權伺服器,且該第一集合的選擇性啟動特徵的該清單是利用該第二授權伺服器的一私密金鑰進行簽名的;且該方法進一步包括以下步驟:藉由使用該第二授權伺服器的一公開金鑰對該第一集合的選擇性啟動特徵的該清單進行驗證,來驗證針對該設備的該授權證明。
  25. 根據請求項22之方法,其中針對該設備的該授權證明源自於該第二授權伺服器,並且是在該網路節點處從該設備獲得的。
  26. 根據請求項22之方法,其中針對該設備的該授權證明源自於該第二授權伺服器,並且是在該網路節點處以該設備的一能力簡檔的形式從一歸屬用戶伺服器(HSS)獲得的。
  27. 根據請求項22之方法,其中針對該設備的該授權證明是代表一授權憑證的資料。
  28. 根據請求項22之方法,其中針對該設備的該授權證明是代表一授權協定的資料,其中該授權協定指示該設備被授權以啟動該第一集合的選擇性啟動特徵。
  29. 根據請求項22之方法,其中辨識該第三集合的特徵之步驟包括以下步驟:從由該第二授權伺服器維持的被授權的選擇性啟動特徵的一特定於模型及/或一特定於設備的清單,匯出(deriving)該設備使用該網路服務所需要的該第三集合的特徵的該清單。
  30. 根據請求項22之方法,其中辨識該第三集合的特徵之步驟包括以下步驟:從由該第二授權伺服器維持的可許可的選擇性啟動特徵的一特定於模型及/或一特定於設備的清單,匯出(deriving)該設備使用該網路服務所需要的該第三集合的特徵的該清單。
  31. 根據請求項22之方法,進一步包括以下步驟:證實該設備持有與該設備的一公開金鑰相對應的一私密金鑰,其中該設備的該公開金鑰包含於針對該設 備的該授權證明,其中發送針對使用該網路服務的該請求的該回應是進一步基於該證實的一結果的。
  32. 一種網路節點,包括:一網路通訊電路;及耦合到該網路通訊電路的一處理電路,該處理電路被配置為:向一設備發送一第一集合的特徵的一清單,該第一集合的特徵由該網路節點提供來為該設備提供一網路服務;從該設備獲得使用該網路服務的一請求;獲得對於針對該網路節點提供該網路服務的一授權證明的一請求;向該設備發送由一第一授權伺服器進行了簽名的針對該網路節點提供該網路服務的該授權證明,針對該網路節點提供該網路服務的該授權證明包括被授權在該網路節點處啟動的一第二集合的特徵的一清單,以允許藉由確認由該網路節點提供來提供該網路服務的該第一集合的特徵是包括在被授權在該網路節點處啟動的該第二集合的特徵中,來確認該網路節點被有效地授權以提供該網路服務; 獲得由一第二授權伺服器進行了簽名的針對該設備的一授權證明,包括被授權在該設備處啟動的一第二集合的選擇性啟動特徵的一清單;對針對該設備的該授權證明進行驗證;辨識該設備使用該網路服務所需要的一第三集合的選擇性啟動特徵的一清單;及基於對針對該設備的該授權證明進行驗證和決定該設備使用該網路服務所需要的該第三集合的選擇性啟動特徵是否包括在被授權在該設備處啟動的該第二集合的選擇性啟動特徵中的結果,來發送針對使用該網路服務的該請求的一回應。
  33. 根據請求項32之網路節點,其中該網路節點是一網路存取節點、一行動性管理實體或者一閘道設備。
  34. 根據請求項32之網路節點,其中:針對該設備的該授權證明源自於該第二授權伺服器,且該第一集合的選擇性啟動特徵的該清單是利用該第二授權伺服器的一私密金鑰進行簽名的;及該處理電路進一步被配置為: 藉由使用該第二授權伺服器的一公開金鑰對該第一集合的選擇性啟動特徵的該清單進行驗證,來驗證針對該設備的該授權證明。
  35. 根據請求項32之網路節點,其中:針對該設備的該授權證明源自於該第二授權伺服器,並且該處理電路進一步被配置為:在該網路節點處,從該設備獲得針對該設備的該授權證明。
  36. 根據請求項32之網路節點,其中當辨識該第三集合的特徵時,該處理電路進一步被配置為:從由該第二授權伺服器維持的被授權的選擇性啟動特徵的一特定於模型及/或一特定於設備的清單,匯出(deriving)該設備使用該網路服務所需要的該第三集合的特徵的該清單。
  37. 根據請求項32之網路節點,其中當辨識該第三集合的特徵時,該處理電路進一步被配置為:從由該第二授權伺服器維持的可許可的選擇性啟動特徵的一特定於模型及/或一特定於設備的清單,匯出(deriving)該設備使用該網路服務所需要的該第三集合的特徵的該清單。
  38. 一種用於網路服務的方法,包括以下步驟: 在一伺服器處獲得一設備的選擇性啟動特徵的一第一清單;基於該第一清單,更新儲存在該伺服器處的該設備的選擇性啟動特徵的一第二清單,以反映對該第二清單中的至少一個選擇性啟動特徵的一授權狀態的一改變,其中該第二清單與該設備的一訂閱簡檔相關聯;及藉由確認該設備要使用一網路服務而使用的提供的選擇性啟動特徵是包括在該第二清單的選擇性啟動特徵中,來使用該第二清單以確認該設備是有效地授權以使用該網路服務。
  39. 根據請求項38之方法,其中該伺服器是一歸屬用戶伺服器(HSS)。
  40. 根據請求項39之方法,進一步包括以下步驟:回應於關於該設備的能力的一查詢,發送一能力簡檔,其中該能力簡檔包括該設備的選擇性啟動特徵的該第二清單。
  41. 根據請求項38之方法,其中選擇性啟動特徵的該第一清單源自於一授權伺服器,並被利用該授權伺服器的一私密金鑰進行了簽名;該方法進一步包括以下步驟: 使用該授權伺服器的一公開金鑰,對選擇性啟動特徵的該第一清單進行驗證。
  42. 根據請求項41之方法,其中該伺服器是作為該授權伺服器的一代理的一本端授權伺服器。
  43. 根據請求項38之方法,其中選擇性啟動特徵的該第一清單是代表由一授權伺服器簽名的一授權憑證的資料。
  44. 根據請求項38之方法,其中選擇性啟動特徵的該第一清單是代表一授權協定的資料,其中該授權協定指示該設備被授權以啟動該選擇性啟動特徵。
  45. 一種伺服器,包括:用於經由一網路進行通訊的一網路通訊電路;及耦合到該網路通訊電路的一處理電路,該處理電路被配置為:獲得一設備的選擇性啟動特徵的一第一清單;基於該第一清單,更新儲存在該伺服器處的該設備的選擇性啟動特徵的一第二清單,以反映對該第二清單中的至少一個選擇性啟動特徵的一授權狀態的一改變,其中該第二清單與該設備的一訂閱簡檔相關聯;及藉由確認該設備要使用一網路服務而使用的提供的選擇性啟動特徵是包括在該第二清單的選擇性啟 動特徵中,來使用該第二清單以確認該設備是有效地授權以使用該網路服務。
  46. 根據請求項45之伺服器,其中該伺服器是一歸屬用戶伺服器(HSS)。
  47. 根據請求項45之伺服器,其中該處理電路進一步被配置為:回應於關於該設備的能力的一查詢,發送一能力簡檔,其中該能力簡檔包括該設備的選擇性啟動特徵的該第二清單。
  48. 根據請求項45之伺服器,其中選擇性啟動特徵的該第一清單源自於一授權伺服器,並被利用該授權伺服器的一私密金鑰進行了簽名,並且該處理電路進一步被配置為:使用該授權伺服器的一公開金鑰,對選擇性啟動特徵的該第一清單進行驗證。
TW105121481A 2015-08-07 2016-07-07 驗證對設備使用特徵集合的授權 TWI713544B (zh)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US201562202664P 2015-08-07 2015-08-07
US62/202,664 2015-08-07
US15/082,919 2016-03-28
US15/082,919 US11082849B2 (en) 2015-08-07 2016-03-28 Validating authorization for use of a set of features of a device

Publications (2)

Publication Number Publication Date
TW201714428A TW201714428A (zh) 2017-04-16
TWI713544B true TWI713544B (zh) 2020-12-21

Family

ID=56557897

Family Applications (1)

Application Number Title Priority Date Filing Date
TW105121481A TWI713544B (zh) 2015-08-07 2016-07-07 驗證對設備使用特徵集合的授權

Country Status (9)

Country Link
US (2) US11082849B2 (zh)
EP (1) EP3332572B1 (zh)
JP (1) JP6893913B2 (zh)
KR (1) KR102439686B1 (zh)
CN (1) CN107852607B (zh)
AU (2) AU2016307326A1 (zh)
BR (1) BR112018002474A2 (zh)
TW (1) TWI713544B (zh)
WO (1) WO2017027134A1 (zh)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10313914B2 (en) * 2017-03-13 2019-06-04 Verizon Patent And Licensing Inc. System and method for registration, monitoring, and notifications regarding groups of internet-of-things (IoT) devices
CN107294999B (zh) * 2017-07-11 2020-04-28 阿里巴巴集团控股有限公司 信息验证处理方法、装置、系统、客户端及服务器
JP6922602B2 (ja) * 2017-09-25 2021-08-18 株式会社リコー 情報処理システム、情報処理装置及び情報処理方法
CN107846281B (zh) * 2017-10-30 2020-12-08 上海应用技术大学 基于位置的代理多重签名方法和系统
US10588013B1 (en) * 2019-01-18 2020-03-10 T-Mobile Usa, Inc. Device activation enablement
WO2020185137A1 (en) * 2019-03-12 2020-09-17 Telefonaktiebolaget Lm Ericsson (Publ) Method and nodes for handling system information
DE102019007447A1 (de) * 2019-10-25 2021-04-29 Diehl Metering Systems Gmbh Verfahren und System zur Lizenzierung und Schlüsselübergabe für Sensoren und Empfänger
US11561532B2 (en) * 2020-06-19 2023-01-24 Rockwell Automation Technologies, Inc. Systems and methods for metered automation controller functionality
US20220318391A1 (en) * 2021-04-06 2022-10-06 Hewlett Packard Enterprise Development Lp Deferred authentication in a secure boot system
US20230015789A1 (en) * 2021-07-08 2023-01-19 Vmware, Inc. Aggregation of user authorizations from different providers in a hybrid cloud environment
CN113543123B (zh) * 2021-07-23 2024-02-20 闻泰通讯股份有限公司 无线网路动态设定权限方法与装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008536231A (ja) * 2005-04-12 2008-09-04 スパイダー ナビゲイションズ エルエルシー 通信システムにおいてのセキュリティ強化方法
WO2010030515A2 (en) * 2008-09-12 2010-03-18 Qualcomm Incorporated Ticket-based configuration parameters validation
CN102598794A (zh) * 2009-11-06 2012-07-18 思科技术公司 管理员注册认证服务
US20120324225A1 (en) * 2011-06-20 2012-12-20 Jason Chambers Certificate-based mutual authentication for data security
US20130333039A1 (en) * 2012-06-07 2013-12-12 Mcafee, Inc. Evaluating Whether to Block or Allow Installation of a Software Application

Family Cites Families (47)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5956505A (en) * 1991-12-24 1999-09-21 Pitney Bowes Inc. Remote activation of software features in a data processing device
US7636846B1 (en) * 1997-06-06 2009-12-22 Uqe Llc Global conditional access system for broadcast services
US6374357B1 (en) 1998-04-16 2002-04-16 Microsoft Corporation System and method for regulating a network service provider's ability to host distributed applications in a distributed processing environment
US6473800B1 (en) * 1998-07-15 2002-10-29 Microsoft Corporation Declarative permission requests in a computer system
CN1140113C (zh) * 1999-06-21 2004-02-25 汤姆森许可贸易公司 管理数字电视系统中服务列表一致性的方法及该系统中的接收机
US7131006B1 (en) 1999-11-15 2006-10-31 Verizon Laboratories Inc. Cryptographic techniques for a communications network
US7412598B1 (en) * 2000-12-29 2008-08-12 Cisco Technology, Inc. Method and system for real-time insertion of service during a call session over a communication network
US20020103761A1 (en) * 2001-01-27 2002-08-01 Glassco David H.J. Method and apparatus for managing and administering licensing of multi-function offering applications
US7073055B1 (en) 2001-02-22 2006-07-04 3Com Corporation System and method for providing distributed and dynamic network services for remote access server users
EP1248190B1 (en) * 2001-04-02 2007-06-06 Motorola, Inc. Enabling and disabling software features
US7181620B1 (en) * 2001-11-09 2007-02-20 Cisco Technology, Inc. Method and apparatus providing secure initialization of network devices using a cryptographic key distribution approach
US20030185368A1 (en) * 2002-03-28 2003-10-02 Intel Corporation Methods and systems to install a network service
AU2003262857A1 (en) 2002-08-24 2004-03-11 Ingrian Networks, Inc. Selective feature activation
US7360096B2 (en) * 2002-11-20 2008-04-15 Microsoft Corporation Securely processing client credentials used for Web-based access to resources
US20040205151A1 (en) * 2002-12-19 2004-10-14 Sprigg Stephen A. Triggering event processing
US8737981B2 (en) * 2002-12-19 2014-05-27 Qualcomm Incorporated Downloadable configuring application for a wireless device
US7546470B2 (en) 2003-08-13 2009-06-09 International Business Machines Corporation Selective computer component activation apparatus method and system
WO2005027460A1 (en) * 2003-09-12 2005-03-24 Telefonaktiebolaget Lm Ericsson (Publ) Combinational multimedia services
KR100713351B1 (ko) * 2005-02-07 2007-05-04 삼성전자주식회사 인터넷 프로토콜 방송 서비스를 제공하기 위한 시스템 및방법
US8145241B2 (en) * 2005-06-30 2012-03-27 Armstrong, Quinton Co. LLC Methods, systems, and computer program products for role- and locale-based mobile user device feature control
US20080010669A1 (en) * 2006-04-28 2008-01-10 Nokia Corporation Hiding in Sh interface
US20070268506A1 (en) * 2006-05-19 2007-11-22 Paul Zeldin Autonomous auto-configuring wireless network device
CN1946173A (zh) * 2006-10-10 2007-04-11 华为技术有限公司 一种iptv直播业务控制方法、系统和设备
DE102006055684B4 (de) 2006-11-23 2021-03-11 Nokia Siemens Networks Gmbh & Co. Kg Verfahren zur Bearbeitung einer Netzwerkdienstanforderung sowie Netzwerkelement mit Mittel zur Bearbeitung der Anforderung
DE602007009431D1 (de) * 2007-02-01 2010-11-04 Ericsson Telefon Ab L M Erweiterte mediensteuerung
US20090150865A1 (en) * 2007-12-07 2009-06-11 Roche Diagnostics Operations, Inc. Method and system for activating features and functions of a consolidated software application
US7930372B2 (en) * 2008-04-01 2011-04-19 International Business Machines Corporation Staged integration of distributed system and publishing of remote services
US20090253409A1 (en) 2008-04-07 2009-10-08 Telefonaktiebolaget Lm Ericsson (Publ) Method of Authenticating Home Operator for Over-the-Air Provisioning of a Wireless Device
DE102008029636A1 (de) 2008-06-23 2009-12-24 Giesecke & Devrient Gmbh Freischalten eines Dienstes auf einem elektronischen Gerät
US9100548B2 (en) * 2008-07-17 2015-08-04 Cisco Technology, Inc. Feature enablement at a communications terminal
US8843997B1 (en) 2009-01-02 2014-09-23 Resilient Network Systems, Inc. Resilient trust network services
US20110149750A1 (en) * 2009-12-18 2011-06-23 Sonus Networks, Inc. Subscriber fallback/migration mechanisms in ims geographic redundant networks
US8825767B2 (en) * 2010-10-05 2014-09-02 Sivapathalingham Sivavakeesar Scalable secure wireless interaction enabling methods, system and framework
US8495377B2 (en) * 2011-02-10 2013-07-23 Telefonaktiebolaget L M Ericsson Enabling secure access to sensor network infrastructure using multiple interfaces and application-based group key selection
US20120210224A1 (en) * 2011-02-11 2012-08-16 Sony Network Entertainment International Llc System and method to add an asset as a favorite for convenient access or sharing on a second display
US8699709B2 (en) 2011-07-08 2014-04-15 Motorola Solutions, Inc. Methods for obtaining authentication credentials for attaching a wireless device to a foreign 3GPP wireless domain
US8744428B2 (en) * 2011-10-18 2014-06-03 Alcatel Lucent Supported feature override
BR102012003114B1 (pt) 2012-02-10 2021-06-22 Mls Wirelles S/A. método para ativar usuário e método para autenticar usuário em uma rede wi-fi de desvio de tráfego 3g
WO2013138532A1 (en) 2012-03-14 2013-09-19 Headwater Partners I Llc Mobile device activation via dynamically selected access network
US9635149B2 (en) * 2012-04-30 2017-04-25 Hughes Network Systems, Llc Method and apparatus for dynamic association of terminal nodes with aggregation nodes and load balancing
US9077725B2 (en) * 2012-08-27 2015-07-07 Vmware, Inc. Configuration profile validation on iOS based on root certificate validation
US9172544B2 (en) 2012-10-05 2015-10-27 General Electric Company Systems and methods for authentication between networked devices
US10111025B2 (en) * 2012-12-26 2018-10-23 Samsung Electronics Co., Ltd. Service providing terminal connection method and apparatus
TWI499269B (zh) 2013-02-04 2015-09-01 Delta Networks Xiamen Ltd 認證與授權的方法及系統
US9600641B2 (en) 2013-12-16 2017-03-21 Lenovo Enterprise Solutions (Singapore) Pte. Ltd. User permissions based control of pooled features on demand activation keys
US9584498B1 (en) * 2014-04-04 2017-02-28 Seagate Technology Llc Feature activation using near field communication
US9473505B1 (en) * 2014-11-14 2016-10-18 Trend Micro Inc. Management of third party access privileges to web services

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008536231A (ja) * 2005-04-12 2008-09-04 スパイダー ナビゲイションズ エルエルシー 通信システムにおいてのセキュリティ強化方法
WO2010030515A2 (en) * 2008-09-12 2010-03-18 Qualcomm Incorporated Ticket-based configuration parameters validation
CN102598794A (zh) * 2009-11-06 2012-07-18 思科技术公司 管理员注册认证服务
US20120324225A1 (en) * 2011-06-20 2012-12-20 Jason Chambers Certificate-based mutual authentication for data security
US20130333039A1 (en) * 2012-06-07 2013-12-12 Mcafee, Inc. Evaluating Whether to Block or Allow Installation of a Software Application

Also Published As

Publication number Publication date
CN107852607B (zh) 2022-03-01
WO2017027134A1 (en) 2017-02-16
JP2018529153A (ja) 2018-10-04
AU2020294265A1 (en) 2021-01-28
KR102439686B1 (ko) 2022-09-01
EP3332572A1 (en) 2018-06-13
US20210337386A1 (en) 2021-10-28
JP6893913B2 (ja) 2021-06-23
AU2016307326A1 (en) 2018-01-18
WO2017027134A8 (en) 2017-09-28
TW201714428A (zh) 2017-04-16
EP3332572B1 (en) 2023-06-21
KR20180039061A (ko) 2018-04-17
US11082849B2 (en) 2021-08-03
BR112018002474A2 (pt) 2018-09-18
CN107852607A (zh) 2018-03-27
US20170041794A1 (en) 2017-02-09

Similar Documents

Publication Publication Date Title
TWI707242B (zh) 用於網路服務的方法和設備
TWI713544B (zh) 驗證對設備使用特徵集合的授權
TWI610577B (zh) 用於使用特定於應用的網路存取身份碼來進行到無線網路的受贊助連接的設備和方法(一)
KR102398221B1 (ko) 무선 직접통신 네트워크에서 비대칭 키를 사용하여 아이덴티티를 검증하기 위한 방법 및 장치
TWI645724B (zh) 用於使用特定於應用的網路存取身份碼來進行到無線網路的受贊助連接的設備和方法(二)
KR102094216B1 (ko) 이동 통신 시스템 환경에서 프락시미티 기반 서비스 단말 간 발견 및 통신을 지원하기 위한 보안 방안 및 시스템
JP6997886B2 (ja) コアネットワ-クへの非3gpp装置アクセス

Legal Events

Date Code Title Description
MM4A Annulment or lapse of patent due to non-payment of fees