使用现有凭证的到蜂窝网络的受赞助连通性转让专利
申请号 : CN201680013738.9
文献号 : CN107431701B
文献日 : 2019-06-28
发明人 : S·B·李 , A·帕拉尼格朗德 , G·B·霍恩
申请人 : 高通股份有限公司
摘要 :
公开了用于促成服务网络上的用户装备的受赞助连通性,从而UE可访问其连通性由应用服务提供商赞助的服务的系统和技术。应用服务提供商置备服务网络以使得它知晓受赞助连通性。在对服务网络的附连尝试中,UE随附连请求一起提供基于(在UE与应用服务提供者之间建立的)预先存在的凭证的客户端令牌,而非订户标识符。应用服务提供商的服务器证实访问凭证以认证UE并且提供服务网络用来与UE相互认证的信息。UE可随后使用服务网络经由受赞助连接来访问服务,甚至在UE不具有与蜂窝网络的订户身份和订阅的情况下。
权利要求 :
1.一种用于访问服务的方法,包括:
由用户装备(UE)标识网络,应用服务提供商服务器通过所述网络实现对所述服务的访问;
从所述UE向所述网络发送附连请求,所述附连请求具有基于与所述UE相关联且与所述应用服务提供商服务器建立的预先存在的凭证的客户端令牌,所述客户端令牌不能由所述网络识别为蜂窝接入凭证;以及由所述UE基于所述预先存在的凭证经由所述应用服务提供商服务器向所述网络进行认证以寻求对所述服务的受赞助访问。
2.如权利要求1所述的方法,其特征在于,进一步包括:由所述UE在所述附连请求中包括认证类型的标识,所述UE使用所述认证类型的标识以用于认证以利用对所述服务的受赞助访问,其中所述发送进一步包括由所述UE在所述附连请求中包括标识如何定位所述应用服务提供商的信息。
3.如权利要求1所述的方法,其特征在于,所述预先存在的凭证基于口令,所述口令是经由带外信道生成的、与所述应用服务提供商服务器建立的,所述发送进一步包括:由所述UE随所述附连请求一起包括与所述口令和所述应用服务提供商服务器相关联的用户名;
由所述UE使用第一值对所述口令进行散列以生成所述预先存在的凭证;以及由所述UE使用第二值对所述预先存在的凭证进行散列以生成所述客户端令牌,所述客户端令牌是在所述附连请求中从所述UE发送的。
4.如权利要求3所述的方法,其特征在于,进一步包括:在所述UE处经由所述网络接收来自所述应用服务提供商服务器的认证令牌,其中所述网络存储包括由所述应用服务提供商服务器基于所述预先存在的凭证确定的会话密钥的认证信息,所述会话密钥使得所述网络能够与所述UE进行认证;
由所述UE证实所述认证令牌;以及
响应于所述证实,由所述UE基于由所述UE生成的所述预先存在的凭证来确定基于UE的密钥。
5.如权利要求1所述的方法,其特征在于,所述发送进一步包括:由所述UE包括所述客户端令牌作为拥有所述预先存在的凭证的证明,其中所述预先存在的凭证是在发送所述附连请求之前在所述UE与所述应用服务提供商服务器之间建立的。
6.如权利要求1所述的方法,其特征在于,进一步包括:由所述UE在所述发送之后执行所述UE与所述应用服务提供商服务器之间的握手以商定共享私密密钥;
由所述UE基于所述共享私密密钥来确定基密钥,所述基密钥在所述UE与所述应用服务提供商服务器之间的认证会话的历时内是有效的;以及由所述UE基于所述基密钥证实在所述握手之后响应于所述附连请求接收到的认证信息。
7.如权利要求1所述的方法,其特征在于,所述标识进一步包括:由所述UE从所述网络接收所述受赞助访问的广告。
8.如权利要求1所述的方法,其特征在于,进一步包括:由所述UE授权来自所述网络的网络元件从所述应用服务提供商服务器检索与所述预先存在的凭证相关联的用户简档。
9.如权利要求1所述的方法,其特征在于,所述UE是以下至少一者:缺乏对蜂窝服务提供商的订阅;以及
在没有订户身份模块(SIM)卡的情况下操作。
10.一种用于访问服务的用户装备(UE),包括:
收发机,其被配置成:
辅助标识网络,应用服务提供商服务器通过所述网络实现对所述服务的访问;
向所述网络发送附连请求,所述附连请求具有基于与所述UE相关联且与所述应用服务提供商服务器建立的预先存在的凭证的客户端令牌,所述客户端令牌不能由所述网络识别为蜂窝接入凭证;以及处理器,其被配置成基于所述预先存在的凭证经由所述应用服务提供商服务器向所述网络进行认证以寻求对所述服务的受赞助访问。
11.如权利要求10所述的用户装备,其特征在于,所述处理器被进一步配置成:在所述附连请求中包括认证类型的标识,所述UE使用所述认证类型的标识以用于认证以利用对所述服务的受赞助访问;以及在所述附连请求中包括标识如何定位所述应用服务提供商的信息。
12.如权利要求10所述的用户装备,其特征在于,所述预先存在的凭证基于口令,所述口令是经由带外信道生成的、与所述应用服务提供商服务器建立的,所述处理器被进一步配置成:随所述附连请求一起包括与所述口令和所述应用服务提供商服务器相关联的用户名;
使用第一值对所述口令进行散列以生成所述预先存在的凭证;以及使用第二值对所述预先存在的凭证进行散列以生成所述客户端令牌,所述客户端令牌是在所述附连请求中从所述UE发送的。
13.如权利要求12所述的用户装备,其特征在于,
所述收发机被进一步配置成经由所述网络接收来自所述应用服务提供商服务器的认证令牌,其中所述网络存储包括由所述应用服务提供商服务器基于所述预先存在的凭证确定的会话密钥的认证信息,所述会话密钥使得所述网络能够与所述UE进行认证;以及所述处理器被进一步配置成证实所述认证令牌以及响应于所述证实,基于由所述UE生成的所述预先存在的凭证来确定基于UE的密钥。
14.如权利要求10所述的用户装备,其特征在于,
所述客户端令牌表示拥有所述预先存在的凭证的证明,以及所述预先存在的凭证是在发送所述附连请求之前在所述UE与所述应用服务提供商服务器之间建立的。
15.如权利要求10所述的用户装备,其特征在于:
所述收发机被进一步配置成在发送所述附连请求之后执行所述UE与所述应用服务提供商服务器之间的握手以商定共享私密密钥;以及所述处理器被进一步配置成基于所述共享私密密钥来确定基密钥,所述基密钥在所述UE与所述应用服务提供商服务器之间的认证会话的历时内是有效的;以及基于所述基密钥证实在所述握手之后响应于所述附连请求接收到的认证信息。
16.如权利要求10所述的用户装备,其特征在于,所述收发机被进一步配置成从所述网络接收所述受赞助访问的广告。
17.如权利要求10所述的用户装备,其特征在于,所述处理器被进一步配置成:授权来自所述网络的网络元件从所述应用服务提供商服务器检索与所述预先存在的凭证相关联的用户简档。
18.如权利要求10所述的用户装备,其特征在于,所述UE在没有订户身份模块(SIM)卡的情况下操作。
19.一种其上记录有程序代码的非瞬态计算机可读介质,所述程序代码包括:用于使用户装备(UE)标识网络的代码,应用服务提供商服务器通过所述网络实现对服务的访问;
用于使所述UE向所述网络发送附连请求的代码,所述附连请求具有基于与所述UE相关联且与所述应用服务提供商服务器建立的预先存在的凭证的客户端令牌,所述客户端令牌不能由所述网络识别为蜂窝接入凭证;以及用于使所述UE基于所述预先存在的凭证经由所述应用服务提供商服务器向所述网络进行认证以寻求对所述服务的受赞助访问的代码。
20.如权利要求19所述的计算机可读介质,其特征在于,进一步包括:用于使所述UE在所述附连请求中包括认证类型的标识的代码,所述UE使用所述认证类型的标识以用于认证以利用对所述服务的受赞助访问;以及用于使所述UE在所述附连请求中包括标识如何定位应用服务提供商服务器的信息的代码。
21.如权利要求19所述的计算机可读介质,其特征在于,所述预先存在的凭证基于口令,所述口令是经由带外信道生成的、与所述应用服务提供商服务器建立的,所述计算机可读介质进一步包括:用于使所述UE随所述附连请求一起包括与所述口令和所述应用服务提供商服务器相关联的用户名的代码;
用于使所述UE使用第一值对所述口令进行散列以生成所述预先存在的凭证的代码;以及用于使所述UE使用第二值对所述预先存在的凭证进行散列以生成客户端令牌的代码,所述客户端令牌是在所述附连请求中从所述UE发送的。
22.如权利要求21所述的计算机可读介质,其特征在于,进一步包括:用于使所述UE经由所述网络接收来自所述应用服务提供商服务器的认证令牌的代码,其中所述网络存储包括由所述应用服务提供商服务器基于所述预先存在的凭证确定的会话密钥的认证信息,所述会话密钥使得所述网络能够与所述UE进行认证;
用于使所述UE证实所述认证令牌的代码;以及
用于使所述UE响应于所述证实而基于由所述UE生成的所述预先存在的凭证来确定基于UE的密钥的代码。
23.如权利要求19所述的计算机可读介质,其特征在于,进一步包括:用于使所述UE包括所述客户端令牌作为拥有所述预先存在的凭证的证明的代码,其中所述预先存在的凭证是在所述发送所述附连请求之前在所述UE与所述应用服务提供商服务器之间建立的。
24.如权利要求19所述的计算机可读介质,其特征在于,进一步包括:用于使所述UE在所述发送之后执行所述UE与所述应用服务提供商服务器之间的握手以商定共享私密密钥的代码;
用于使所述UE基于所述共享私密密钥来确定基密钥的代码,所述基密钥在所述UE与所述应用服务提供商服务器之间的认证会话的历时内是有效的;以及用于使所述UE基于所述基密钥证实在所述握手之后响应于所述附连请求接收到的认证信息的代码。
25.如权利要求19所述的计算机可读介质,其特征在于,进一步包括:用于使所述UE从所述网络接收对受赞助访问的广告的代码。
26.如权利要求19所述的计算机可读介质,其特征在于,进一步包括:用于使所述UE授权来自所述网络的网络元件从所述应用服务提供商服务器检索与所述预先存在的凭证相关联的用户简档的代码。
27.如权利要求19所述的计算机可读介质,其特征在于,所述UE在没有订户身份模块(SIM)卡的情况下操作。
说明书 :
使用现有凭证的到蜂窝网络的受赞助连通性
[0001] 相关申请的交叉引用和优先权声明
[0002] 本申请要求于2015年8月3日提交的美国非临时专利申请No.14/817,123的优先权和权益,该申请要求于2015年3月6日提交的、题为“Sponsored Connectivity to Cellular Networks Using Existing Credentials(使用现有凭证的到蜂窝网络的受赞助连通性)”美国临时专利申请No.62/129,462的权益,这些申请的公开内容通过援引整体纳入于此。
技术领域
[0003] 本申请一般涉及无线通信系统,尤其涉及应用服务提供商赞助在服务网络上访问一个或多个服务。某些实施例实现并提供能够和/或被配置成用于在用户可能缺少网络订阅的场景中以可缩放、安全且可跟踪(例如,以用于计费/计量目的)的方式访问网络应用服务的设备、方法和系统。
[0004] 引言
[0005] 为了从网络接收服务,未知的用户装备(UE)需要向网络注册或者以其他方式变得为网络所知。这使用网络附连规程来完成。一般而言,不具有服务订阅的UE不能够附连到服务网络来接收语音或数据服务(除了紧急服务之外,诸如举例而言,美国的911)。已作出尝试通过赞助UE到服务网络的连通性来使得UE仍能够接收服务。受赞助连通性通常涉及由特定应用或服务赞助的对该特定应用或服务的网络接入的受限允许。
[0006] 当前的常规办法拒绝某些类型的设备(例如,不具有SIM卡和/或订阅的UE)能够利用受赞助连通性且是低效的,或者将服务网络暴露于其核心网上的不期望(或恶意)话务。如以下所讨论的,本公开的各方面和实施例的目的在于增强受赞助连通性。
[0007] 选集示例的简要概述
[0008] 以下概述本公开的一些方面以提供对所讨论的技术的基本理解。此概述不是本公开的所有构想到的特征的详尽综览,并且既非旨在标识出本公开的所有方面的关键性或决定性要素亦非试图界定本公开的任何或所有方面的范围。其唯一目的是以概述形式给出本公开的一个或多个方面的一些概念作为稍后给出的更详细描述之序言。
[0009] 在本公开的一个方面,一种用于访问服务的方法包括:由用户装备(UE)标识应用服务提供商服务器通过其赞助对该服务的访问的服务网络;从UE向该服务网络发送具有基于与该应用服务提供商服务器建立的预先存在的凭证的客户端令牌的附连请求,该客户端令牌不能由该服务网络识别为蜂窝接入凭证;以及由UE基于预先存在的凭证经由应用服务提供商服务器向服务网络进行认证以寻求对该服务的受赞助访问。
[0010] 在本公开的附加方面,一种用于实现对由应用服务提供商服务器赞助的服务的访问的方法包括:从应用服务提供商服务器通过其赞助对服务的访问的中间服务网络接收基于来自用户装备(UE)的附连请求的认证信息请求,该认证信息请求包括基于与该应用服务提供商服务器建立的预先存在的凭证并且不能由该服务网络识别为蜂窝接入凭证的客户端令牌;由应用服务提供商服务器响应于认证信息请求而基于应用服务提供商服务器能访问的预先存在的凭证来确定认证信息;以及从应用服务提供商服务器在给服务网络的响应中传送认证信息,其中该认证信息辅助基于预先存在的凭证在UE与服务网络之间关于对该服务的受赞助访问的认证。
[0011] 在本公开的附加方面,一种用于访问服务的用户装备(UE)包括:收发机,其被配置成:辅助标识应用服务提供商服务器通过其赞助对该服务的访问的服务网络;向该服务网络发送具有基于与该应用服务提供商服务器建立的预先存在的凭证的客户端令牌的附连请求,该客户端令牌不能由该服务网络识别为蜂窝接入凭证;以及处理器,其被配置成基于预先存在的凭证经由应用服务提供商服务器向服务网络进行认证以寻求对该服务的受赞助访问。
[0012] 在本公开的附加方面,一种赞助对服务的访问的应用服务提供商服务器包括:收发机,其被配置成从应用服务提供商服务器通过其赞助对服务的访问的中间服务网络接收基于来自用户装备(UE)的附连请求的认证信息请求,该认证信息请求包括基于与应用服务提供商服务器建立的预先存在的凭证并且不能由服务网络识别为蜂窝接入凭证的客户端令牌;以及处理器,其被配置成响应于认证信息请求而基于应用服务提供商服务器能访问的预先存在的凭证来确定认证信息,其中收发机被进一步配置成在给服务网络的响应中传送认证信息,以及其中该认证信息辅助基于预先存在的凭证在UE与服务网络之间关于对服务的受赞助访问的认证。
[0013] 在本公开的附加方面,一种其上记录有程序代码的计算机可读介质包括程序代码,该程序代码包括:用于使用户装备(UE)标识应用服务提供商服务器通过其赞助对服务的访问的服务网络的代码;用于使UE向该服务网络发送具有基于与该应用服务提供商服务器建立的预先存在的凭证的客户端令牌的附连请求的代码,该客户端令牌不能由该服务网络识别为蜂窝接入凭证;以及用于使UE基于预先存在的凭证经由应用服务提供商服务器向服务网络进行认证以寻求对服务的受赞助访问的代码。
[0014] 在本公开的附加方面,一种其上记录有程序代码的计算机可读介质包括程序代码,该程序代码包括:用于使应用服务提供商服务器从应用服务提供商服务器通过其赞助对服务的访问的中间服务网络接收基于来自用户装备(UE)的附连请求的认证信息请求的代码,认证信息请求包括基于与应用服务提供商服务器建立的预先存在的凭证且不能由网络识别为蜂窝接入凭证的客户端令牌;用于使应用服务提供商服务器响应于认证信息请求而基于应用服务提供商服务器能访问的预先存在的凭证来确定认证信息的代码;以及用于使应用服务提供商服务器在给服务网络的响应中传送认证信息的代码,其中该认证信息辅助基于预先存在的凭证在UE与服务网络之间关于对服务的受赞助访问的认证。
[0015] 在本公开的附加方面,一种用于访问服务的用户装备(UE)包括:用于标识应用服务提供商服务器通过其赞助对该服务的访问的服务网络的装置;用于向该服务网络发送具有基于与该应用服务提供商服务器建立的预先存在的凭证的客户端令牌的附连请求的装置,该客户端令牌不能由该服务网络识别为蜂窝接入凭证;以及用于基于预先存在的凭证经由该应用服务提供商服务器向该服务网络进行认证以寻求对服务的受赞助访问的装置。
[0016] 在本公开的附加方面,一种赞助对服务的访问的应用服务提供商服务器包括:用于从应用服务提供商服务器通过其赞助对服务的访问的中间服务网络接收基于来自用户装备(UE)的附连请求的认证信息请求的装置,该认证信息请求包括基于与该应用服务提供商服务器建立的预先存在的凭证并且不能由该服务网络识别为蜂窝接入凭证的客户端令牌;用于响应于该认证信息请求而基于应用服务提供商服务器能访问的预先存在的凭证来确定认证信息的装置;以及用于在给服务网络的响应中传送认证信息的装置,其中该认证信息辅助基于预先存在的凭证在UE与服务网络之间关于对服务的受赞助访问的认证。
[0017] 在结合附图研读了下文对本公开的具体示例性实施例的描述之后,本公开的其他方面、特征和实施例对于本领域普通技术人员将是明显的。尽管本公开的特征在以下可能是关于某些实施例和附图来讨论的,但本公开的所有实施例可包括本文所讨论的有利特征中的一个或多个。换言之,尽管可能讨论了一个或多个实施例具有某些有利特征,但也可以根据本文讨论的本公开的各种实施例使用此类特征中的一个或多个特征。以类似方式,尽管示例性实施例在下文可能是作为设备、系统或方法实施例进行讨论的,但是应该理解,此类示例性实施例可以在各种设备、系统、和方法中实现。
[0018] 附图简要说明
[0019] 图1解说了根据本公开的各个方面的无线通信网络。
[0020] 图2是根据本公开的各实施例的示例性UE的框图。
[0021] 图3是根据本公开的各实施例的示例性服务器的框图。
[0022] 图4是解说根据本公开的各个方面的示例性发射机系统的框图。
[0023] 图5是解说根据本公开的各个方面的UE、服务网络与应用服务提供商之间用于提供受赞助连通性的示例性信令方面的协议示图。
[0024] 图6是解说根据本公开的各个方面的UE、服务网络与应用服务提供商之间用于提供受赞助连通性的示例性信令方面的协议示图。
[0025] 图7A是解说根据本公开的各个方面的用于针对由服务器赞助的服务接入网络的示例性方法的流程图。
[0026] 图7B是解说根据本公开的各个方面的用于准予针对由服务器赞助的服务的网络接入的示例性方法的流程图。
[0027] 图7C是解说根据本公开的各个方面的用于促成针对由服务器赞助的服务的网络接入的示例性方法的流程图。
[0028] 图8A是解说根据本公开的各个方面的用于针对由服务器赞助的服务接入网络的示例性方法的流程图。
[0029] 图8B是解说根据本公开的各个方面的用于准予针对由服务器赞助的服务的网络接入的示例性方法的流程图。
[0030] 图8C是解说根据本公开的各个方面的用于促成针对由服务器赞助的服务的网络接入的示例性方法的流程图。
[0031] 详细描述
[0032] 以下结合附图阐述的详细描述旨在作为各种配置的描述,而无意表示可实践本文中所描述的概念的仅有的配置。本详细描述包括具体细节以便提供对各种概念的透彻理解。然而,对于本领域技术人员将显而易见的是,没有这些具体细节也可实践这些概念。在一些实例中,以框图形式示出众所周知的结构和组件以避免湮没此类概念。
[0033] 本文中所描述的技术可用于各种无线通信网络,诸如CDMA、TDMA、FDMA、OFDMA、SC-FDMA及其他网络。术语“网络”和“系统”常常可互换地使用。CDMA网络可以实现诸如通用地面无线电接入(UTRA)、cdma2000等无线电技术。UTRA包括宽带CDMA(WCDMA)和CDMA的其他变体。cdma2000涵盖IS-2000、IS-95和IS-856标准。TDMA网络可实现诸如全球移动通信系统(GSM)之类的无线电技术。OFDMA网络可以实现诸如演进型UTRA(E-UTRA)、超移动宽带(UMB)、IEEE 802.11(Wi-Fi)、IEEE 802.16(WiMAX)、IEEE 802.20、Flash-OFDM等无线电技术。UTRA和E-UTRA是通用移动电信系统(UMTS)的一部分。3GPP长期演进(LTE)和高级LTE(LTE-A)是使用E-UTRA的新UMTS版本。UTRA、E-UTRA、UMTS、LTE、LTE-A以及GSM在来自名为“第三代伙伴项目”(3GPP)的组织的文献中描述。CDMA2000和UMB在来自名为“第三代伙伴项目2”(3GPP2)的组织的文献中描述。本文所描述的技术可被用于以上所提及的无线网络和无线电技术以及其他无线网络和无线电技术,诸如下一代(例如,第5代(5G))网络。本公开的各实施例涉及可在上述网络中的任何一者或多者和/或尚未被开发的那些网络上使用的任何类型的调制方案。
[0034] 本公开的各实施例引入了用于促成服务网络(例如,核心网(诸如演进型分组核心(EPC)网络))上用户装备(UE)的受赞助连通性的系统和技术。
[0035] 受赞助连通性的一个示例是基于接入点名称(APN)的转发。在基于APN的转发中,UE具有SIM卡,该SIM卡已被赞助方应用服务提供商(例如,网上市场等)配置有APN。UE向服务网络发送数据话务,并且服务网络基于从UE的SIM卡中配置的信息提供的订阅简档信息来实施外部网络中的公共数据网络(PDN)网关处的规则。基于APN的转发由此是受限的,因为它无法被用于不具有SIM卡和/或不具有蜂窝订阅的UE。通用引导架构(GBA)类似地是受限的,因为它也预先假定当前订阅和SIM能力。
[0036] 受赞助连通性的另一示例是基于应用的转发。这是服务网络基于来自UE的个体数据分组的网际(IP)目的地地址来过滤来自UE的话务的情况。这可在UE不具有SIM能力或订阅的场景中起作用,会遭遇若干其他缺点。基于应用的转发允许未认证和/或未授权的数据话务流过服务网络的核心网。这可被攻击者用来使用网关无法完全处置的过量请求/话务来使服务接入网(诸如,该网关)超载,该网关可能仍然被赞助方应用/服务收费。基于应用的转发在大多数情况下是低效的,因为服务网络必须扫描数据话务并且确定它是否预期给赞助接收方。该场景还可使得基于应用的转发难以缩放到许多不同的赞助方和/或用户。
[0037] 根据本公开的各方面促成受赞助连通性可使得在某些场景中,UE可访问由赞助该连通性的应用服务提供商的服务器(例如,在EPC网络的外部网络上)提供的一个或多个服务。通过该服务器赞助该服务的实体可在由UE进行附连尝试之前置备服务网络。该置备可以采取服务网络的运营商与服务器的运营商之间的服务级商定的形式。在置备之后,服务网络能够向潜在感兴趣的用户广告受赞助连通性。
[0038] 在一实施例中,UE可在经由服务网络发现受赞助连通性之后尝试附连至该服务网络。作为附连请求的一部分,UE向服务网络提供基于在UE与应用服务提供商之间建立的预先存在的凭证的客户端令牌(或某一其他基于客户端的信息)而非订户标识符。例如,UE可以不被置备有任何运营商/服务提供商凭证(例如,由于UE不具有SIM卡和/或不具有对家庭或蜂窝网络的订阅)。该预先存在的凭证可以不是蜂窝网络专用凭证。事实上,它可以与不操作蜂窝网络的应用服务提供商(例如,内容提供商)相关联。服务网络可将附连请求转发给赞助方实体的服务器。附连请求可包括服务网络的标识符。在一实施例中,赞助方实体的服务器处于在服务网络的核心网外部的网络中(例如,如经由PDN网关接入,如以下进一步描述的)。服务器可经由多路握手生成UE与服务器之间的新共享私密密钥,或者替换地可使用用户的口令的经散列形式。作为一个示例,该预先存在的凭证可以是在UE与服务器之间建立的预先存在的口令的经散列版本。新共享私密密钥的使用实现了认证向量的一个或多个元素的生成。
[0039] 服务器随后可向服务网络发送认证向量以继续促成网络接入。一个或多个网络元件可从认证向量中提取和存储各方面(例如,来自UE的预期响应和KASME)并且随后将其余部分(例如,包括随机数和认证令牌)转发给UE作为认证请求的一部分。UE使用共享私密密钥或者替换地使用相同的预先存在的凭证(诸如,用户的口令的经散列形式)以生成对认证请求的响应。该数据随后可被发送回服务网络以进行验证。如果来自UE的响应与由服务器指定的预期响应相匹配,则附连规程继续。在被继续时,UE能够依靠受赞助连接利用服务网络来访问服务,甚至在UE不具有对服务提供商的订户身份和/或订阅的情况下。
[0040] 在替换实施例中,UE可使用另一认证办法来利用受赞助连通性。UE可尝试附连至服务网络,但不随附连请求一起包括基于预先存在的凭证的客户端令牌。例如,在服务网络将认证请求转发给服务器之后,服务器经由服务网络与UE通信以认证UE并且接收关于服务器准予服务网络的一个或多个网络元件访问与UE的用户相关联的用户简档以完成认证和附连的授权。如果UE成功地与服务器进行了认证(例如,藉由预先存在的凭证或其某一导出物),则服务器随后将与服务网络中的服务实体交互以将授权代码提供给网络元件(而非给UE并随后给网络元件)。授权代码使得网络元件能够获取访问令牌,该访问令牌随后可被网络元件用来访问与UE相关联的用户简档以完成认证并在赞助形式下将UE附连到服务网络。
[0041] 现在转到附图,图1解说了根据本公开的各个方面的无线通信网络100。无线通信网络100可包括数个UE 102、以及数个无线电接入网(RAN)104(其中每个RAN 104可包括任何数目的基站)。单个UE 102和单个RAN 104已在图1中解说以简化解说和解释。RAN 104中的给定基站可包括演进型B节点(eNodeB)。基站还可被称为基收发机站或接入点。尽管实施例在本文有时通常是参照LTE/4G网络来讨论的,但这是出于示例性目的来进行的。本公开的各实施例还可适用于和操作于数个其他网络。
[0042] 如图所示,RAN 104与UE 102通信。UE 102可经由上行链路和下行链路与RAN 104通信。下行链路(或即前向链路)是指从RAN 104中的基站至UE102的通信链路。上行链路(或即反向链路)是指从UE 102至RAN 104中的基站的通信链路。
[0043] UE 102可分散遍及无线网络100,并且每个UE 102可以是驻定的或移动的。UE 102也可以被称为终端、移动站、订户单元等。UE 102可以是蜂窝电话、智能电话、个人数字助理、无线调制解调器、膝上型计算机、平板计算机、娱乐设备、可穿戴通信设备、车辆组件、移动计算设备、健康监视设备、医疗设备、物联网/万物联网设备、M2M/D2D设备、等等。无线通信网络100是本公开的各个方面应用的网络的一个示例。
[0044] 还在图1中解说了移动管理实体(MME)106。MME 106可以负责与订户(例如,UE 102)相关的控制面功能以及会话管理。例如,MME 106可提供移动性会话管理以及向其他网络的切换、漫游和订户认证的支持。MME 106可辅助UE 102的初始附连期间的服务网关(S-GW)108的选择、非接入阶层(NAS)信令、NAS信令安全性、分组数据网络网关(P-GW)110选择、承载管理功能(包括专用承载建立、信令话务的合法拦截、以及其他功能,仅举出数个示例)。RAN 104、MME 106、S-GW 108和P-GW 110可处于相同服务网络112(例如,演进型分组核心(EPC)的一部分)中。如将认识到的,服务网络112包括图1中未示出的其他网络元件以简化本公开的各方面的讨论。
[0045] MME 106与服务网络112中的S-GW 108通信。S-GW 108可以是终接朝向RAN 104的接口、辅助基站间切换、提供移动性锚定以用于不同标准(例如,2G、3G、4G、LTE、5G和将来网络,等等)之间的移动性、合法拦截、基于分组的路由和转发、以及计及运营商间计费的网关,这里仅举出数个示例。S-GW 108将来自UE 102的数据分组路由和转发例如给P-GW 110。图1为了简化起见解说了单个P-GW 110,尽管将认识到存在数据可被定向的(服务网络112的)多个外部网络,其中网络114仅仅是一个示例。P-GW 110作为用于来自/去往UE 102的数据话务的退出和进入点来提供服务网络112与外部分组数据网络之间的连通性。P-GW 110可涉及基于每用户的分组过滤、合法拦截、服务级门控、服务级速率实施、以及分组筛分,这里仅举出数个示例。
[0046] 如图1中所解说的,P-GW 110提供进入/退出点以供数据分组在UE 102与服务器116之间在网络上114行进。服务器116可由提供赞助的实体操作。在一实施例中,赞助可包括用户针对一个或多个服务(例如,内容流送、在线浏览、在线购物等)向应用服务提供商进行支付。作为响应,应用服务提供商基于与用户的合约实现通过网络(诸如,蜂窝(服务)网络)到用户的UE的受赞助连通性。在另一实施例中,可基于应用服务提供商增加其用户基础的尝试(例如,应用服务提供商针对该服务向蜂窝网络进行支付)而使得受赞助连接可对于用户的UE免费可用。替换地,受赞助连通性的费用可从由其他源(诸如,广告收入)收集的费用来收集(而非来自用户)。
[0047] 服务器116在本文可被称为应用服务提供商或者应用服务提供商服务器。在一实施例中,服务器116可以自己主存一个或多个服务。尽管被解说为一个服务器,但将认识到,服务器116可以是自立系统或者协作操作的多个系统(例如,以提供一个或多个服务)。服务可以是来自许多服务(例如,网上市场、社交媒体网络、搜索提供商、通用因特网/网络接入、内容提供商、因特网接入通信等)中的任何特定服务(无论在其他地方主存还是由应用服务提供商的服务器116主存)。
[0048] 受赞助的服务可由服务器116主存的应用服务提供商确定。例如,这可发生在服务网络112与应用服务提供商之间的商定的置备之时。在另一场景中,正被赞助的服务可由服务器116在附连请求之时从服务网络112与应用服务提供商之间的先前商定(置备)的服务列表确定。这可以基于来自UE 102或服务网络112的专门请求的服务、或者基于服务器116所标识的服务。
[0049] UE 102的用户可能先前已建立了与应用服务提供商的关系,例如通过用用户名和口令注册用户账户,其由服务器116维护。根据本公开的各实施例,应用服务提供商的服务器116还复制家庭订户服务器(HSS)的若干方面,包括对于UE与服务网络112的附连规程可能必要或有用的那些方面。这可包括与UE 102相关联的用户的用户名和口令(以及其任何散列/等)以及认证功能(包括管理从用户身份密钥的安全性信息生成和向网络实体的安全性信息的置备),这里举出一些示例。
[0050] 如以下将关于后续附图(包括解说UE、服务网络与应用服务提供商的服务器之间的信令的协议示图)更详细描述的,UE 102可使用客户端令牌与服务网络112和服务器116通信。客户端令牌可以基于(例如,从其推导出)先前在UE 102的用户(或UE 102自身)与应用服务提供商之间建立的预先存在的凭证(例如,口令的某种变型、高熵密钥等)。可以根据本公开的各实施例来将客户端令牌/预先存在的凭证用于经由服务网络112获取受赞助连通性。通过使用预先存在的凭证,不具有SIM卡和/或不具有订阅的UE仍可通过与预先存在的凭证相关联的应用服务提供商获取受赞助连通性,可能具有订阅的UE(例如,使其数据使用或其他类型的服务基于应用服务提供商的特定赞助而被覆盖)也如此。
[0051] 在一实施例中,受赞助连通性可指代各式各样的不同方面。例如,受赞助连通性可指代对服务网络112的完全接入(例如,以用于在赞助下访问/使用由服务器116提供的应用服务或来自不同提供商的服务的目的)。其他场景包括针对预定时间量(和/或次数)对服务的完全或部分访问、一般地针对指定时间段/数据量/数据带宽对网络的完全或部分接入、一般地针对预定数据量(例如,如以字节或某种其他大小/度量跟踪的)对服务和/或网络的完全或部分访问,这里举出一些示例。
[0052] 在一示例中,UE 102可发送基于预先存在的凭证的客户端令牌作为其向RAN 104的初始附连请求的一部分,而非其他传统标识符。传统标识符的示例是国际移动订户身份(IMSI)。这是因为本公开的各实施例使得能够使用预先存在的凭证、而非某种类型的订户标识符,从而不具有SIM卡或者对家庭网络的订阅的UE仍可以按照产生服务网络112上的更高效率和安全性(例如,通过不允许服务网络112上首先在P-GW 110处被过滤掉的任何IP话务)的方式利用受赞助连通性。附连请求还可标识UE102希望与其通信的应用服务提供商(即,用户与其具有预先存在的凭证(经散列口令/用户名、高熵密钥等)的应用服务提供商)。RAN 104将具有UE的客户端令牌的附连请求和服务标识转发给MME 106。MME 106将服务网络标识符与该信息包括在附连请求中并且作为认证信息请求转发给S-GW 108并随后转发给P-GW 110。服务器116能够基于来自服务网络112的认证信息请求(例如,其由来自UE 102的附连请求触发)中提供的访问令牌来标识UE 102。使用现有凭证获取受赞助连通性可增加连接至应用服务提供商的受赞助服务(或者由应用服务提供商服务器116赞助的另一提供商提供的其他服务)的UE的数量。
[0053] 图2是根据本公开的各实施例的示例性UE 102的框图。UE 102可具有本文所描述的许多配置中的任一种。UE 102可包括处理器202、存储器204、访问模块208、收发机210、以及天线216。这些元件可以彼此直接或间接(例如经由一条或多条总线)通信。
[0054] 处理器202可具有作为专用类型处理器的各种特征。例如,这些特征可包括中央处理单元(CPU)、数字信号处理器(DSP)、专用集成电路(ASIC)、控制器、现场可编程门阵列(FPGA)器件、另一硬件设备、固件设备、或者被配置成执行本文参照以上关于图1介绍的UE 102描述的和以下更详细讨论的操作的其任何组合。处理器202还可以被实现为计算设备的组合,例如DSP与微处理器的组合、多个微处理器、与DSP核心协同的一个或更多个微处理器、或任何其他此类配置。
[0055] 存储器204还可具有各种特征。例如,这些特征可包括高速缓存存储器(例如,处理器442的高速缓存存储器)、随机存取存储器(RAM)、磁阻RAM(MRAM)、只读存储器(ROM)、可编程只读存储器(PROM)、可擦除可编程只读存储器(EPROM)、电可擦除只读存储器(EEPROM)、闪存、固态存储器设备、硬盘驱动器、基于忆阻器的阵列、其他形式的易失性和非易失性存储器、或者不同类型的存储器的组合。在一些实施例中,存储器204可包括非瞬态计算机可读介质。
[0056] 存储器204可存储指令206。指令206可包括在由处理器202执行时使得处理器202执行本文结合本公开的各实施例参照UE 102描述的操作的指令。指令206也可被称为代码。术语“指令”和“代码”应被宽泛地解读为包括任何类型的计算机可读语句。例如,术语“指令”和“代码”可以是指一个或多个程序、例程、子例程、函数、固件、中间件、微代码、规程等。
“指令”和“代码”可包括单条计算机可读语句或许多条计算机可读语句。
“指令”和“代码”可包括单条计算机可读语句或许多条计算机可读语句。
[0057] 访问模块208可被用于本公开的各方面。例如,访问模块208可控制由UE 102保存的一个或多个预先存在的凭证(和/或其导出物)的存储和检索。访问模块208可例如在UE 102的用户的指导下接收来自输入源的口令、用户名/口令组合、高熵口令、令牌或身份证书(举出数个示例)并且将凭证(诸如用户名和口令)定向到存储位置。在一实施例中,UE 102可从应用服务提供商接收作为由用户与应用服务提供商建立的口令的已被散列版本的预先存在的凭证。进一步,访问模块208可从该预先存在的凭证确定将在附连请求中使用的客户端令牌。客户端令牌可以从口令凭证确定。例如,客户端令牌可通过使用一个或多个附加物(诸如,盐值、一次性数值、和/或如以下将关于后续附图更详细讨论的其他值)对口令进行散列来确定。
[0058] 访问模块208还可用于附连规程期间。例如,在UE 102尝试使用受赞助连接附连到服务网络112时,访问模块208可检索(或者在所请求的时间动态推导/确定)基于预先存在的凭证的客户端令牌以包括在附连请求中。稍后,在UE 102在与服务网络112的相互认证期间接收认证令牌时,访问模块208可辅助确定和创建对认证令牌的认证响应,例如通过访问(或确定)由访问模块208维护(或确定)的一个或多个密钥以用于该目的。
[0059] 收发机210可包括调制解调器子系统212和射频(RF)单元214。收发机210可以是用于UE 102的通信接口或者是用于UE 102的通信接口的组件。收发机210被配置成与其他设备(诸如,RAN 104中的基站)进行双向通信。调制解调器子系统212可被配置成根据调制及编码方案(MCS)(例如,低密度奇偶校验(LDPC)编码方案、turbo编码方案、卷积编码方案等)调制和/或编码来自访问模块208和/或存储器204的数据。RF单元214可被配置成处理(例如,执行模数转换或数模转换等)(在外出传输上)来自调制解调器子系统212的或者从另一源(诸如RAN 104中的基站)始发的传输的经调制/经编码数据。尽管被示为在收发机210中整合在一起,但调制解调器子系统212和RF单元214可以是分开的设备,它们在UE 102处耦合在一起以使得UE 102能够与其他设备通信。
[0060] RF单元214可将经调制和/或经处理的数据分组(或者更一般地,可包含一个或多个数据分组和其他信息(包括PMSI值)的数据消息)提供给天线216以供传送给一个或多个其他设备。例如,这可包括根据本公开的各实施例向RAN 104传送数据消息。天线216可进一步接收从RAN 104传送的数据消息并且提供收到数据消息以供在收发机210处进行处理和/或解调。尽管图2将天线216解说为单个天线,但天线216可包括相似或不同设计的多个天线以便维持多个传输链路。
[0061] 图3是根据本公开的实施例的示例性服务器116的框图。服务器116可包括处理器302、存储器304、访问模块308、服务310、数据库312、以及收发机314。这些元件可以彼此直接或间接通信,例如经由一条或多条总线。如以上关于图1提及的,服务器116可主存一个或多个服务,维护用户凭证(用户名/口令、令牌、证书、和/或从口令凭证推导出的预先存在的凭证和/或从预先存在的凭证推导出的客户端令牌)的数据库,并且还复制HSS的若干方面。
[0062] 处理器302可具有作为专用类型处理器的各种特征。例如,这些特征可包括CPU、DSP、ASIC、控制器、FPGA设备、另一硬件设备、固件设备、或者被配置成执行本文参照以上关于图1介绍的服务器116描述的操作的其任何组合。处理器302还可以被实现为计算设备的组合,例如DSP与微处理器的组合、多个微处理器、与DSP核心协同的一个或更多个微处理器、或任何其他此类配置。
[0063] 存储器304可包括高速缓存存储器(例如,处理器302的高速缓存存储器)、RAM、MRAM、ROM、PROM、EPROM、EEPROM、闪存、固态存储器设备、一个或多个硬盘驱动器、基于忆阻器的阵列、其他形式的易失性和非易失性存储器、或者不同类型的存储器的组合。在一些实施例中,存储器304可包括非瞬态计算机可读介质。存储器304可存储指令306。指令306可包括在由处理器302执行时使得处理器302执行本文结合本公开的各实施例参照服务器116描述的操作的指令。指令306还可被称为代码,其可被宽泛地解读为包括如以上关于图2讨论的任何类型的计算机可读语句。
[0064] 访问模块308可被用于本公开的各方面。例如,访问模块308可涉及服务网络的初始置备以建立经由一个或多个服务网络112的一个或多个所标识服务的受赞助连通性。进一步,访问模块308可协同因应用而异的服务310检索与UE 102和/或UE 102的用户相关联的一个或多个所存储(预先存在)的凭证。例如,访问模块308可在服务310将预先存在的凭证存储在数据库312之后从数据库312检索该预先存在的凭证。
[0065] 访问模块308可附加地涉及与UE 102的初始附连规程。服务器116可从UE 102接收随初始附连请求一起提供的基于预先存在的凭证的客户端令牌并且对照数据库312中存储的用户信息来检查对应的预先存在的凭证(以及在用户名被包括在附连请求的实施例中还检查用户名)。响应于来自UE 102的附连请求,应用服务提供商的服务器116可基于预先存在的凭证生成或访问一个或多个密钥和预期响应并将这些作为对初始附连请求的认证请求响应(例如,认证向量)传送给UE 102。
[0066] 服务310可以是来自许多服务(例如,网上市场、社交媒体网络、搜索提供商、服务提供商等)中的任何特定服务。在一实施例中,由服务器116代表的应用服务提供商赞助对服务310的连通性。在替换实施例中,服务310代表由不同于应用服务提供商的实体提供的一个或多个服务,但应用服务提供商(由服务器116表示)经由服务网络112提供对该一个或多个服务的赞助以供UE 102访问。
[0067] 操作服务器116的应用服务提供商可经由带外信道与UE 102的用户交互以建立例如经由UE 102或某一其他启用通信的设备对因应用而异的服务的访问权利。例如,这可包括向应用服务提供商注册、建立用户偏好、访问或使用费用的支付(在适用的情况下)。经由带外信道与应用服务提供商(这里如由服务器116表示)建立用户名和口令可在对受赞助连通性的附连请求之前的某一时间点发生,并且可以例如经由WLAN、LAN、Wi-Fi、对等、网状网或者除蜂窝网络(诸如,图1的服务网络112)之外的某一其他网络发生。应用服务提供商可以例如通过访问模块308确定预先存在的凭证,UE 102可稍后例如通过用一个或多个附加物(诸如,盐值、一次性数值、和/或其他值)将口令进行散列来使用该预先存在的凭证作为基础以获得受赞助连通性。
[0068] 数据库312可包括由服务器116维护的一个或多个数据库,例如,专门代表应用服务提供商和访问模块308维护用户名和对应预先存在的凭证(或者在替换实施例中为口令)的数据库。数据库312可跟踪受赞助访问信息(诸如,用户标识和地址(例如包括获取或请求经由应用服务提供商的受赞助连通性的UE的全部或子集的移动电话号码中的一者或多者)、简档信息、以及与具有或关联于具有预先存在的凭证(例如,预先存在的凭证、口令、身份证书、高熵密钥、和/或一个或多个安全性密钥)的用户的每个UE相关联的安全性信息)。
[0069] 收发机314使得服务器116能够与外部源(诸如,服务网络108)通信以传送和接收数据。收发机314可实现无线和/或有线通信。收发机314可例如包括以太网连接、WiFi连接、或者其他类型的调制解调器和/或RF子系统,如将认识到的。收发机314可以是用于服务器116的通信接口或者是用于服务器116的通信接口的组件。
[0070] 图4是解说根据本公开的某些方面的MIMO系统400中的示例性发射机系统410(例如,RAN 104中的基站)和接收机系统450(例如,UE 102)的框图。在发射机系统410处,从数据源412向发射(TX)数据处理器414提供数个数据流的话务数据。该话务数据可包括所有方式的话务,包括根据本公开的各方面来自一个或多个MME实体的认证请求。
[0071] 例如,在下行链路传输中,每一数据流在各自相应的发射天线上被发射。TX数据处理器414基于为每个数据流选择的特定编码方案来对该数据流的话务数据进行格式化、编码、和交织以提供经编码数据。
[0072] 每个数据流的经编码数据可使用OFDM技术来与导频数据复用。导频数据(例如,导频序列)通常是以已知方式处理的已知数据码型,并且可在接收机系统处用来估计信道响应或其他信道参数。导频数据可被格式化成导频码元。OFDM码元内的导频码元的数目和导频码元的布置可由处理器430执行的指令确定。
[0073] 随后基于为每个数据流选定的特定调制方案(例如,BPSK、QPSK、M-PSK或M-QAM)来调制(即,码元映射)该数据流的经复用的导频和经编码数据以提供调制码元。每个数据流的数据率、编码、和调制可由处理器430执行的指令来确定。每个帧中的导频码元的数目和导频码元的布置也可由处理器430执行的指令确定,例如如以上关于图2或3描述的。发射机系统410进一步包括存储器432,例如如以上也关于图2或3描述的。
[0074] 所有数据流的调制码元随后被提供给TX MIMO处理器420,其可进一步处理这些调制码元(例如,针对OFDM)。TX MIMO处理器420随后向NT个发射机(TMTR)422a到422t提供NT个调制码元流。在一些实施例中,TX MIMO处理器420向这些数据流的码元以及藉以发射该码元的天线应用波束成形权重。发射机系统410包括仅具有一个天线或者具有多个天线的实施例。
[0075] 每个发射机422接收并处理各自相应的码元流以提供一个或多个模拟信号,并进一步调理(例如,放大、滤波、和上变频)这些模拟信号以提供适于在MIMO信道上传输的经调制信号。来自发射机422a到422t的NT个经调制信号随后分别从NT个天线424a到424t被发射。本文所描述的技术还应用于仅具有一个发射天线的系统。使用一个天线的传输比多天线场景简单。例如,在单天线场景中不需要TX MIMO处理器420。
[0076] 在接收机系统450处,所传送的经调制信号被NR个天线452a到452r接收,并且从每个天线452接收到的信号被提供给各个相应的接收机(RCVR)454a到454r。每个接收机454调理(例如,滤波、放大、以及下变频)各自接收到的信号,将经调理的信号数字化以提供采样,并进一步处理这些采样以提供对应的“收到”码元流。本文所描述的技术还应用于仅具有一个天线452的接收机系统450的实施例。
[0077] RX数据处理器460随后从接收机454a到454r接收这NR个收到码元流并基于特定接收机处理技术对其进行处理以提供NR个检出码元流。RX数据处理器460随后按需解调、解交织、和解码每个检出码元流以恢复该数据流的话务数据。恢复出的话务可包括例如根据本公开的各个方面来自MME的认证信息请求中的信息。RX数据处理器460所作的处理可与发射机系统410处由TXMIMO处理器420和TX数据处理器414所执行的处理互补。
[0078] 由RX数据处理器460提供的信息允许处理器470生成报告(诸如信道状态信息(CSI)和其他信息)以提供给TX数据处理器438。处理器470制备包括CSI和/或导频请求的反向链路消息以传送给发射机系统。
[0079] 处理器470可例如如以上关于图2或3中描述的处理器所描述的来实现。除了反向链路消息之外,接收机系统450还可传送其他各种类型的信息,包括附连请求(其包括基于预先存在的凭证的客户端令牌以寻求对到服务网络112的受赞助连通性);对相互认证的响应;以及用于建立受赞助通信会话的其他信息和该通信会话期间的数据。该消息可被TX数据处理器438处理、被TXMIMO处理器480调制、被发射机454a到454r调理,并且被传送会发射机系统410。如图所示,TX数据处理器438还可从数据源436接收用于数个数据流的话务数据。
[0080] 在发射机系统410处,来自接收机系统450的经调制信号由天线424所接收,由接收机422来调理,由解调器440来解调,并由RX数据处理器442来处理以提取由接收机系统450所传送的反向链路消息。作为结果,可在发射机系统410与接收机系统450之间发送和接收数据。发射机系统410还可被用来将其从接收机系统450接收到的信息传送给其服务网络内的其他网络元件并且接收来自服务网络中的一个或多个其他网络元件的信息,如将认识到的。图4中所解说的实施例仅仅是示例性的,并且本公开的各实施例适用于未在图4中解说的其他发射机/接收机系统。
[0081] 图5是解说根据本公开的各个方面的UE、服务网络与应用服务提供商之间用于提供受赞助连通性的一些信令方面的协议示图。出于讨论简单起见,在描述图5的协议示图中的动作时将参照图1中所示的各元件(例如,UE 102、RAN 104(图5中所示的eNB 104)、MME 106、GW 110以及作为主存因应用而异的服务的应用服务提供商的服务器116)。进一步为了简单起见,讨论将集中于描述本公开的各实施例的各方面的协议流的那些方面,而非附连规程的所有方面。图5中解说的办法描述了其中客户端令牌是基于在UE 102与服务器116之间共享的预先存在的凭证(基于口令)的实施例。
[0082] 在动作502中,UE 102着手与服务网络112的服务发现规程。该服务发现可由服务器116先前与服务网络112进行的服务置备功能来实现。在一实施例中,服务置备功能的结果包括服务网络112向一些或全部接收方(例如,UE 102)广播标识由服务器116主存的应用服务提供商所作的受赞助连通性的信息。在另一实施例中,UE 102可能已被提供有来自服务器116的标识一些或全部受信任网络、或者已达成代表由服务器116主存的应用服务提供商提供受赞助连通性的商定的网络的信息。
[0083] 在UE 102已发现了服务网络112之后,在动作504,UE 102向eNB 104发送认证请求。这在尝试附连至服务网络112时进行。在接收到认证请求之际,eNB 104将认证请求转发给MME 106。认证请求包括基于预先存在的凭证的客户端令牌,该预先存在的凭证先前在UE 102(或者UE 102的用户并提供给UE102)与由服务器116主存的应用服务提供商之间建立。
认证请求不包括订户标识符(例如,IMSI等)。在一实施例中,认证请求不包括与现有蜂窝网络相关联的凭证。认证请求还可包括关联于如先前与应用服务提供商建立的预先存在的凭证的用户名。为了辅助服务网络112正确地路由认证请求,UE 102还可包括用于标识服务器
116的信息(诸如,服务器116处的应用服务提供商的域名或应用ID)。
认证请求不包括订户标识符(例如,IMSI等)。在一实施例中,认证请求不包括与现有蜂窝网络相关联的凭证。认证请求还可包括关联于如先前与应用服务提供商建立的预先存在的凭证的用户名。为了辅助服务网络112正确地路由认证请求,UE 102还可包括用于标识服务器
116的信息(诸如,服务器116处的应用服务提供商的域名或应用ID)。
[0084] 客户端令牌可采取各种形式并且具有数个不同特征。例如,预先存在的凭证可通过以下操作来生成:首先将在UE 102与应用服务提供商之间(例如,经由带外信道,诸如WLAN连接)建立的口令与盐值和应用服务提供商的名称的级联放置到散列函数消息认证代码(HMAC)中。HMAC函数的输出可被指定为“预先存在的凭证”以用于本讨论的目的。结果所得的“预先存在的凭证”的值可被输入另一HMAC函数中,在此附加输入是一次性数值,输出为客户端令牌。客户端令牌使得应用服务提供商能够验证拥有有效的预先存在的凭证。使用客户端令牌而非预先存在的凭证(或口令),从而没有恶意攻击者可拦截该信息并尝试以未获授权的方式伪装成与UE 102相关联的用户。尽管客户端令牌在本文被描述为与认证请求一起包括的值,但将认识到,预先存在的凭证可代替地被包括,尽管与使用客户端令牌的情形相比,它可将用户暴露给附加安全性风险。这些值的生成在式1和2中解说:
[0085] 预先存在的凭证=HMAC(口令,盐值|服务名称),其中|是级联运算符;式1)[0086] 客户端令牌=HMAC(预先存在的凭证,一次性数)。式2)
[0087] 客户端令牌进而被包括在客户端向量中以供包括在附连请求中,例如,客户端向量=[用户名,一次性数,客户端令牌]。作为另一示例,在一实施例中,UE 102可使用Lamport(兰伯特)一次性散列来生成客户端令牌。为了在该替换实施例中达到预先存在的凭证,式1和2改变成看起来是如下式3和4中:
[0088] 预先存在的凭证=HMACi(口令,盐值|服务名称),其中i是散列索引;式3)[0089] 客户端令牌=HMAC(预先存在的凭证,一次性数)。式4)
[0090] 客户端令牌进而被包括在客户端向量中以供包括在附连请求中,例如,客户端向量=[用户名,i,一次性数值,客户端令牌]。如式3中所见,加入了索引i。HMACi表征散列操作的“i”转。因此,预先存在的凭证进一步包括散列索引i,所以服务器116将能够知晓散列操作被执行了多少次,从而它可在其端经历简单的步骤。
[0091] 作为另一示例,代替基于口令的预先存在的凭证,预先存在的凭证可以是服务器116与UE 102先前置备的密钥或其他值。例如,该密钥可以是服务器116将其与UE 102的用户的账户相关联的高熵密钥(例如,256比特密钥)。高熵密钥可以根据随机选择过程或者某种其他方式来生成,如将认识到的。在该场景中,为了创建该客户端令牌,将该密钥作为式2或4的预先存在的输入,分别代替从式1或3生成的预先存在的凭证。
[0092] 为了关于上述各式中的任一者的更多安全性,还可使用多因子认证(MFA)。在被使用时,客户端令牌的推导可纳入被称为一次性口令(OTP)的另一凭证。因此,式2和4将被如下修改:
[0093] 客户端令牌=HMAC(预先存在的凭证,一次性数|OTP)式2)
[0094] 客户端令牌=HMAC(预先存在的凭证,一次性数|OTP)。式4)
[0095] 客户端令牌进而被包括在客户端向量中以供包括在附连请求中,例如,客户端向量=[用户名,一次性数,i(其中使用式4),客户端令牌]。尽管在以上被描述为一系列推导,但将认识到,确定预先存在的凭证和访问令牌可代替地涉及在查找表中查找一个或多个值(例如,其先前由UE 102或服务器116或某一其他实体推导出并且被提供给UE 102/服务器116)。
[0096] MME 106接收从eNB 104转发的认证请求,并且在动作506将服务网络标识符添加到对应于服务网络112的认证请求。MME 106可附加地建立通过GW 110到服务器116的安全连接(例如,传输层安全性(TLS)或超文本传输协议安全(HTTPS),举出两个示例)以将经修改的认证请求传送给服务器116。
[0097] 在动作508,MME 106将经修改的认证请求传送给服务器116。
[0098] 在动作510,一旦服务器116接收到经修改的认证请求,服务器116就行进至验证经修改的认证请求。这可包括:从客户端令牌获取预先存在的凭证,以及将预先存在的凭证与同先前建立的账户相关联的预先存在的凭证的本地数据库进行比较以确定是否存在来自客户端令牌的预先存在的凭证与数据库中的一个预先存在的凭证之间的匹配。例如,该比较可包括从一个值减去另一个值并且确定是否产生零值、或者零的预定范围(或正或负)内的某一值。如将认识到的,也可使用其他比较方法而不脱离本公开的范围。
[0099] 这是可能的,因为服务器116在达到用于给定预先存在的凭证(以及用于达到针对给定口令的预先存在的凭证)的客户端令牌时也遵循如上所述的相同办法。在一实施例中,这是UE 102与服务器116例如在带外信道中、在用于客户端令牌(以及在一些实施例中的预先存在的凭证)的特定推导办法上预先商定的结果。在另一实施例中,这是UE 102在认证请求中包括认证类型所依赖的标识(例如,根据式1/2或式3/4,或者密钥、身份证书等)的结果。作为结果,服务器116可访问与认证请求中所包括的用户名相关联的预先存在的凭证(或口令)并且在服务器116处对预先存在的凭证(或口令)执行与在UE 102处对预先存在的凭证进行的相同的操作。替换地,客户端口令可预先被推导出并且收到的客户端令牌与服务器116处的本地版本进行比较。
[0100] 如果服务器116无法验证与UE 102的请求相关联的预先存在的凭证(例如,无法确认来自客户端令牌的预先存在的凭证的值与数据库中的预先存在的凭证的值相匹配),则服务器116将拒绝该请求。如果服务器116验证预先存在的凭证(例如,通过确认匹配),则服务器116行进至编译授权向量。因此,响应于接收到来自UE 102的包括客户端令牌的认证请求,根据本公开的各实施例,在UE 102与服务网络112之间执行相互认证之前,UE 102向服务器116认证(与UE未作为认证请求的一部分向HSS认证的当前实践形成对比)。在一实施例中,授权向量分量基于以上式1或式3的预先存在的凭证来推导,取决于UE 102处采取的办法(可在UE 102和服务器116两者处采取相同办法,从而相互认证稍后将在UE 102与MME 106之间是可能的)。授权向量可包括KASME(访问安全性管理实体)、认证令牌(AUTN)、随机数(RAND)、以及来自UE的预期响应(XRES)。KASME是MME 106基密钥,其是MME 106与服务器116都知晓的,因为服务器116与MME 106共享它。根据该实施例,KASME基于来自式1或3的“预先存在的凭证”值以及一次性数和RAND值。
[0101] 在另一实施例中,在编译认证向量之前,服务器116可使用PAKE(口令认证的密钥商定)来达到UE 102与服务器116之间的新共享私密密钥。例如,作为PAKE规程的一部分,服务器116可进行与UE 102的四路握手。其他等级的握手(例如,两路、三路等)也是可能的,如将认识到的。服务网络112的元件可在4路握手期间传达UE 102与服务器116之间的通信(即使附连规程尚未完成)。一旦商定了共享私密密钥,UE 102与服务器116两者就存储该共享私密密钥并且服务器116使用该共享私密密钥来推导KASME。PAKE规程的完成导致UE 102与服务器116彼此相互认证,随后UE 102执行与服务网络112的相互认证。
[0102] 在本公开的各方面,服务器116基于“预先存在的凭证”(式1或3)或者基于新共享私密密钥来使用一个或另一—KASME的推导。在另一方面,服务器116可首先基于“预先存在的凭证”尝试KASME的推导,并且如果出于某些原因失败,则随后转变成使用PAKE来建立新共享私密密钥以在推导KASME中使用,如果两种办法都被UE 102和服务器116两者支持的话。KASME可在认证会话的历时内保持有效。进一步,KASME可被用来推导后续密钥,包括NAS加密和完整性密钥以及应用服务器(AS)加密和完整性密钥。
[0103] 一旦认证向量被编译,在动作512,服务器116就经由安全连接向MME 106发送回认证响应。
[0104] 在动作514,MME 106从认证向量中提取KASME和预期响应XRES。MME106存储这些值并且在动作516在给UE 102的认证请求(例如,用于向服务网络112的相互认证)中将随机值RAND和认证令牌AUTN转发给UE 102。
[0105] 在动作518,一旦UE 102从MME 106接收到具有认证令牌AUTN和RAND的认证请求,UE 102就尝试证实认证令牌AUTN。UE 102基于与服务器116的共享私密密钥来证实认证令牌AUTN。在未使用PAKE的实施例中,这是如根据以上式1或3推导出的“预先存在的凭证”的值。在使用PAKE的情况下,它是在从四路握手与服务器116的商定之后存储在UE 102处的共享私密密钥。例如,UE 102基于共享秘密(预先存在的凭证或共享私密密钥)来确定其自己的AUTN版本并且与接收自MME 106的AUTN进行比较。如果值不匹配,则UE 102无法证实AUTN并且认证失败。如果存在匹配,则AUTN被证实并且UE 102行进至确定响应RES和其自己的KASME版本,UE 102和MME 106稍后将使用它们来推导其他密钥以用于NAS信令的加密和完整性保护。
[0106] 在动作520,UE 102向MME 106发送RES,从而MME 106可将其先前存储的来自服务器116的XRES与从UE 102接收到的RES进行比较。如果两者匹配,则认证已成功并且过程随后可行进至NAS和AS密钥设立。作为结果,UE 102可经由服务网络112访问服务,其中服务器116主存的应用服务提供商赞助(例如,覆盖一些或全部用于特定访问的成本)UE 102与服务网络112的连接。这甚至在UE 102不具有SIM卡或者与任何家庭网络/服务提供商的现有订阅的情况下也成立。
[0107] 图6是解说根据本公开的各个方面的UE、服务网络与应用服务提供商之间用于提供受赞助连通性的信令方面的协议示图。出于讨论简单起见,在描述图6的协议示图中的动作时将参照图1中所示的各元件(例如,UE 102、MME106、由应用服务提供商操作的服务器116、以及可与服务器116分开或集成的授权服务器120)。图6描述了其中UE 102授权MME
106访问服务器116处与UE 102的用户相关联的凭证的实施例。
106访问服务器116处与UE 102的用户相关联的凭证的实施例。
[0108] 在动作602,UE 102向服务网络112发送附连请求以经由服务器116(应用服务提供商)访问受赞助服务,MME 106接收该请求。该附连请求包括指示UE 102希望直接与服务器116认证的信息、而非如以上讨论的在图5的动作504处提供基于预先存在的凭证的客户端令牌作为认证请求的一部分。例如,UE 102可包括与应用服务提供商相关联的用户名,而非提供基于预先存在的凭证的客户端令牌。该附连请求可显式地包括MME 106理解的指示UE
102需要直接与服务器116认证的标识符,或者这可由MME 106凭借附连请求缺少凭证的事实来间接推断出。UE 102还可包括用于标识服务器116的信息(诸如,服务器116处的应用服务提供商的域名或应用ID)以辅助服务网络112将请求的各方面路由到服务器116。该附连请求不包括任何类型的订户标识符(例如,IMSI等)。附连请求还可标识其对服务网络112的接入的所请求范围(例如,以用于由服务器116提供的对服务的受赞助连通性)。
102需要直接与服务器116认证的标识符,或者这可由MME 106凭借附连请求缺少凭证的事实来间接推断出。UE 102还可包括用于标识服务器116的信息(诸如,服务器116处的应用服务提供商的域名或应用ID)以辅助服务网络112将请求的各方面路由到服务器116。该附连请求不包括任何类型的订户标识符(例如,IMSI等)。附连请求还可标识其对服务网络112的接入的所请求范围(例如,以用于由服务器116提供的对服务的受赞助连通性)。
[0109] 在动作604,MME 106基于预先存在的凭证确定不存在客户端令牌和/或定位显式标识信息,并且由此向授权服务器120发送认证请求。如以上所提及的,授权服务器120可以是与服务器116分开的实体或者与其集成。MME 106可在认证请求中包括服务网络112的标识符。该标识符可能在应用服务提供商(表示为服务器116)与服务网络112之间置备受赞助关系时的在先时间被提供给授权服务器120或者从授权服务器120接收。
[0110] 在动作606,授权服务器120经由服务网络112发起与UE 102的通信以认证UE 102。服务网络112的元件可在用户认证和访问授权过程期间传达UE 102与认证服务器120之间的通信,这可涉及UE 102与授权服务器120之间往来的一个或多个请求和响应(即使附连规程尚未完成)。例如,UE 102的用户接口可指导或请求UE 102的用户经由用户接口(未示出)输入用户名和口令以认证(例如,与授权服务器处存储的简档或者授权服务器可访问的简档中的一者匹配的用户名、口令)已经与操作服务器116的应用服务提供商相关联的用户。
作为另一示例,UE 102可访问(例如,经由访问模块208)先前被存储在存储器204中的关于应用服务提供商的预先存在的凭证(或密钥、或身份证书),而不要求用户经由用户接口交互。
作为另一示例,UE 102可访问(例如,经由访问模块208)先前被存储在存储器204中的关于应用服务提供商的预先存在的凭证(或密钥、或身份证书),而不要求用户经由用户接口交互。
[0111] 除了在动作606认证与应用服务提供商相关联的用户之外,授权服务器120还从UE 102获取访问授权,该访问授权允许MME 106(或服务网络112中的其他恰适网络元件)从服务器116访问与UE 102相关联的用户简档。在一实施例中,访问授权是与用户认证分开获得且是相异的(例如,分开的查询)。在另一实施例中,访问授权可隐含于成功的用户认证。如果用户认证和/或访问授权失败,则该过程停止并且UE 102由MME 106通知,MME 106从授权服务器120获通知。
[0112] 如果用户认证和访问授权成功,则在动作608,授权服务器120将授权代码发送给MME 106(例如,代替发送给UE 102并随后重新定向回MME 106)。该授权代码是不同于预先存在的凭证、口令、或用户的其他相关凭证的值,并且由此对MME 106隐蔽。使用授权代码,授权服务器120还可包括使MME 106在请求访问令牌时将授权代码用于验证的指令,如下所述。
[0113] 使用授权代码,MME 106准备好向授权服务器120请求访问令牌以从服务器116获取对与UE 102相关联的用户简档的访问。在动作610,MME 106向授权服务器120发送对访问令牌的请求。作为该请求的一部分,MME 106包括在动作608接收到的授权代码。该请求可进一步包括服务网络112(或者至少MME 106)的标识。
[0114] 在动作612,授权服务器120在认证MME 106(或者更一般地认证服务网络112)和证实授权代码之后对动作610的访问令牌请求作出响应。如果不成功,则该响应指示拒绝,以及在一些实施例中指示关于拒绝的原因或指示。如果成功(例如,提供了正确的授权代码),则授权服务器120使用所请求的访问令牌向MME 106作出响应。该响应除了访问令牌之外还可包括访问令牌类型的描述、访问令牌将在其之后期满(将不再有效)的指定时间段、以及在访问令牌期满的情况下的刷新令牌(其可被用来获取新访问令牌)。
[0115] 在动作614,MME 106―现在具有访问令牌―行进至请求和接收用户凭证。这可被完成以供MME 106辅助完成UE 102到服务网络112的附连,其中到服务网络112的连通性现在由服务器116主存的应用服务提供商赞助。作为结果,图6的实施例使得UE 102能够附连至服务网络112,而无需在附连请求中提供基于预先存在的凭证(例如,口令、经散列口令、或先前存储在UE 102处的访问令牌,等等)的客户端令牌。
[0116] 现在转到图7A,流程图解说了根据本公开的各个方面的用于针对由操作服务器的应用服务提供商赞助的服务接入网络的示例性方法700。方法700可在UE 102中实现。方法700为了讨论的简单起见将关于单个UE 102描述,尽管将认识到,本文所描述的各方面可适用于多个UE 102。将理解,以上“动作”和以下“步骤”可互换地使用。还将理解,可在方法700的步骤之前、期间和之后提供附加步骤,并且所描述的一些步骤可被重新排序、替换或消除以用于方法700的其他实施例。
[0117] 在步骤702,UE 102标识受赞助连接可通过其可获得的一个或多个服务网络112。例如,UE 102可从一个或多个服务网络112接收广告用于一个或多个服务的受赞助连通性的一个或多个广播。作为另一示例,UE 102可检查存储器204来获取先前可能基于来自主存应用服务提供商的服务器的信息存储在UE102中的受信任网络列表。
[0118] 存在UE 102可使用预先存在的凭证向服务网络112认证以利用所提供的连通性赞助的若干不同方式。如果UE 102与服务器116设立用户名和口令,则判定步骤704可将方法700指引至步骤706。
[0119] 在步骤706,UE 102使用盐值来对口令进行散列,例如如以上关于式1或3描述的,从而产生预先存在的凭证。在替换实施例中,在服务器116先前(例如,经由带外信道)将UE 102置备有口令的预先存在的凭证的情况下,该步骤可能不是必要的。
[0120] 在步骤708,UE 102取得预先存在的凭证并且使用一次性数值(和/或其他值)对其进行散列以产生客户端令牌,例如如以上关于式2或4描述的。
[0121] 返回判定步骤704,如果UE 102代之在先前用于登录到应用服务提供商的服务器116的时间从服务器116接收到了密钥(诸如,高熵密钥),则方法700行进至步骤708(跳过步骤706),其中预先存在的凭证是在式2或4中使用的密钥。
[0122] 在步骤710,UE 102向服务网络112发送附连请求以尝试利用受赞助连通性。UE 102作为其附连请求的一部分发送客户端令牌,而非其他传统标识符(诸如,IMSI)。客户端令牌可作为客户端向量的一部分来包括,该客户端向量除了客户端令牌之外还包括与预先存在的凭证相关联的用户名以及一次性数值(和索引(在使用的情况下))。
[0123] 在UE 102已向服务网络112发送了附连请求之后,如以上关于各个附图描述的,服务网络112将该请求作为给服务器116的认证信息请求转发给服务器116。服务器116随后可验证该请求。验证可包括将客户端向量的各方面(诸如由UE 102提供的用户名和/或口令(与UE 102的用户相关联))与由应用服务提供商的服务器116维护的访问信息进行比较。验证可发生在比较导致确定被比较值之间的匹配的情况下。在验证之后,服务器116行进至编译认证响应(向量)。授权响应(向量)可包括KASME、AUTN、RAND和XRES,其中服务网络112的网络节点元件(例如,MME 106)可本地存储XRES和KASME并将RAND和AUTN转发给UE 102。
[0124] 如果UE 102和服务器116被设立用于PAKE,则在判定步骤712,该方法行进至步骤714。
[0125] 在步骤714,UE 102接收来自服务器116的之前经由服务网络112传达的通信。该通信是UE 102与服务网络112之间的握手(例如,四路)的初始消息。
[0126] 在步骤716,UE 102和服务器116在握手期间商定经更新的共享私密密钥。一旦商定了共享私密密钥,UE 102与服务器116两者就存储共享私密密钥并且服务器116使用共享私密密钥来推导一个或多个其他密钥(诸如,KASME)。
[0127] 在UE 102和服务器116已商定了共享私密密钥之后,服务器116使用共享私密密钥来生成认证向量的一个或多个方面,其将在对服务网络112的响应中并且部分地提供给UE 102。
[0128] 方法700行进至步骤718,其中UE 102从服务网络112接收认证请求,该认证请求基于在服务网络112处从服务器116接收的认证响应。认证请求包括认证令牌,其由服务器116生成或以其他方式确定并被服务网络112转发。该认证请求还可包括来自服务器116的随机数。
[0129] 回到判定步骤712,如果UE 102和服务器116未被设立用于PAKE,则该方法行进至步骤718,如已经描述的。
[0130] 在步骤720,UE 102证实认证令牌。UE 102基于与服务器116的共享私密密钥(在使用PAKE的情况下)或者中间口令凭证来证实认证令牌AUTN。例如,UE 102基于共享秘密(预先存在的凭证或共享私密密钥)来确定其自己的AUTN版本并且与接收自服务网络112的AUTN进行比较。
[0131] 如果存在匹配,则方法700行进至步骤722,其中UE 102确定响应RES和其自己的KASME版本,UE 102和服务网络112(例如,MME 106)稍后将使用它们来推导其他密钥以用于NAS信令的加密和完整性保护。
[0132] 如果在MME 106处来自UE 102的RES与来自服务器116的XRES相匹配,则认证已成功并且过程随后可行进至NAS和AS密钥设立。作为结果,UE102可经由服务网络112访问服务,其中应用服务提供商服务器116赞助(例如,覆盖一些或全部用于特定访问的成本)UE 102与服务网络112的连接。这甚至在UE 102不具有SIM卡或者与任何家庭网络/服务提供商的现有订阅的情况下也成立。
[0133] 图7B是解说根据本公开的各个方面的用于准予针对由应用服务提供商赞助的服务的网络接入的示例性方法740的流程图。方法740可在服务器116中实现。方法740为了讨论的简单起见将关于单个服务器116描述,尽管将认识到,本文所描述的各方面可适用于多个服务器116。将理解,可在方法740的步骤之前、期间和之后提供附加步骤,并且所描述的一些步骤可被重新排序、替换或消除以用于方法740的其他实施例。
[0134] 在步骤742,服务器116建立与服务网络112的服务级商定(例如,藉由服务置备功能)。作为服务置备功能的结果,服务网络112可向接收方广播标识代表服务器116对服务的受赞助连通性的信息。在一实施例中,这还可涉及服务器116向UE 102提供标识一些或全部受信任网络、或者已达成代表服务器116提供对服务的受赞助连通性的商定的网络的信息。
[0135] 在步骤744,服务器116响应于服务网络112接收到来自UE 102的附连请求(其包括客户端令牌、而非IMSI或其他蜂窝标识符)而接收来自服务网络112的认证请求。
[0136] 存在UE 102可用来向服务网络112认证以利用由服务器116提供的连通性赞助的若干不同类型的预先存在的凭证。如果UE 102已与服务器116设立了用户名和口令,则判定步骤746可将方法740指引至步骤746。
[0137] 在步骤746,服务器116使用盐值来对与其UE 102正尝试利用受赞助连通性的用户相关联的口令进行散列,例如如以上关于式1或3描述的,从而产生预先存在的凭证。在替换实施例中,在服务器116先前置备了口令的预先存在的凭证的情况下,该步骤可被跳过。
[0138] 在步骤748,服务器116取得预先存在的凭证并且使用一次性数值(和/或其他值)对其进行散列(例如如以上关于式2或4描述的)以产生客户端令牌的服务器侧副本。
[0139] 在步骤750,服务器116对照用户的简档来验证认证请求(例如,用户名、凭证等比较)。在一实施例中,这可包括将接收到的客户端令牌与所确定的服务器侧副本进行比较。匹配是可能的,因为服务器116和UE 102可各自以相同方式对预先存在的凭证进行散列以达到客户端令牌。
[0140] 返回判定步骤746,如果服务器116和UE 102代之依赖于在先前用于登录到由服务器116表示的应用服务提供商的时间从服务器116发送的密钥(诸如,高熵密钥),则方法740行进至步骤748,其中预先存在的凭证是高熵密钥。方法740随后行进至步骤750,如所讨论的。
[0141] 如果服务器116和UE 102被设立用于PAKE,则在判定步骤752,该方法行进至步骤754。
[0142] 在步骤754,服务器116经由服务网络112发起与UE 102的通信。该通信是服务器116与UE 112之间的握手(例如,四路)的初始消息。
[0143] 在步骤756,服务器116和UE 112在握手期间商定经更新的共享私密密钥。一旦商定了共享私密密钥,UE 102与服务器116两者就存储共享私密密钥(例如,达认证会话的历时)。
[0144] 在步骤758,服务器116使用共享私密密钥来推导一个或多个其他密钥(诸如,KASME),并且生成包括AUTN的认证向量的其他方面。服务器116还生成/确定其他值以供包括在包括XRES和随机数RAND的认证向量中。
[0145] 返回判定步骤752,如果UE 102和服务器116未被设立用于PAKE,则方法740行进至如已经描述的步骤758,其中共享私密密钥代之是预先存在的凭证。
[0146] 在步骤760,服务器116将认证向量传送给服务网络112(例如,给MME106)。MME 106存储KASME以及XRES并将包括AUTN和RAND的其他方面转发给UE 102以用于相互认证。如果MME 106与UE 102之间的相互认证成功,则该过程随后可行进至服务网络112与UE 102之间的NAS和AS密钥设立,并且最终UE 102可行进至基于受赞助连接经由服务网络112访问服务。服务网络112跟踪受赞助连接的各方面(例如,记账、计量、计费、以及其他功能)。
[0147] 在步骤762,在UE 102到服务网络112的成功附连之后的某一时刻,服务器116接收来自服务网络112的关于由UE 102使用的受赞助连通性的各方面的费用。服务器116随后根据一种或多种办法来处理接收到的费用,如相关领域技术人员将认识到的。作为结果,UE 102能够经由服务网络112访问服务,其中应用服务提供商赞助(例如,覆盖一些或全部用于特定接入的成本)UE 102与服务网络112的连接。
[0148] 图7C是解说根据本公开的各个方面的用于促成针对受赞助服务的网络接入的示例性方法770的流程图。方法770可在MME 106(和/或服务网络112的其他网络元件)中实现。方法770为了讨论的简单起见将关于单个MME 106描述,尽管将认识到,本文所描述的各方面可适用于服务网络112中的一个或多个其他网络元件。将理解,可在方法770的步骤之前、期间和之后提供附加步骤,并且所描述的一些步骤可被重新排序、替换或消除以用于方法
770的其他实施例。
770的其他实施例。
[0149] 在动作772,MME 106接收来自UE 102的服务发现请求并作出响应。例如,MME 106可能已使得网络元件(诸如一个或多个eNB)广播由被服务器116主存的应用服务提供商赞助的连通性。该服务发现请求可以是UE 102作出的尝试以确认受赞助连通性的存在和/或在那时服务网络112的可用性。
[0150] 在框774,MME 106接收来自UE 102的附连请求。附连请求在其中包括基于预先存在的凭证的客户端令牌、而非其他传统标识符(诸如,IMSI),该预先存在的凭证先前在UE 102(和/或UE 102的用户)与由服务器116主存的应用服务提供商之间建立。
[0151] 在步骤776,MME 106向附连请求添加对应于服务网络112的服务网络标识符并且制备认证请求以供转发给服务器116。另外,MME 106可建立到服务器116的安全连接(例如,TLS或HTTPS)以将认证请求传送给服务器116。
[0152] 在步骤778,MME 106将认证请求传送给服务器116(例如,经由在步骤776建立的安全连接)。
[0153] 如果服务器116和UE 102被设立用于PAKE,则在判定步骤780,该方法770行进至步骤782。
[0154] 在步骤782,MME 106在服务器116与UE 102之间的握手(例如,四路)(或其他级别的握手)期间在服务器116与UE 102之间传达请求和响应消息。MME 106传达请求/响应消息直至服务器116和UE 102商定共享私密密钥。
[0155] 在步骤784,在已商定共享私密密钥之后,MME 106接收来自服务器116的认证向量。该认证向量可包括KASME、AUTN、随机数RAND、以及XRES。
[0156] 返回判定步骤780,如果UE 102和服务器116未被设立用于PAKE,则该方法770行进至步骤784,如已经描述的。
[0157] 在步骤786,MME 106从在步骤784接收到的认证向量中提取KASME与XRES以供在与UE 102的相互认证中使用。
[0158] 在框788,MME 106向UE 102发送包括AUTN和RAND值的认证请求。UE 102基于与服务器116的共享私密密钥(在使用PAKE的情况下)或者预先存在的凭证来证实AUTN并且确定响应RES。例如,UE 102基于共享私密密钥来确定其自己的AUTN版本并且与接收自MME 106的AUTN进行比较。如果值不匹配,则UE 102无法证实AUTN并且认证失败。如果存在匹配,则AUTN得到证实。
[0159] 在步骤790,MME 106接收来自UE 102的RES并将其与MME 106在步骤786存储的XRES进行比较。如果在MME 106处来自UE 102的RES与来自服务器116的XRES相匹配,则认证已成功并且过程随后可行进至NAS和AS密钥设立。作为结果,UE 102可经由服务网络112访问服务,其中应用服务提供商赞助(例如,覆盖一些或全部用于特定访问的成本)UE 102与服务网络112的连接。这甚至在UE 102不具有SIM卡或者与任何家庭网络/服务提供商的现有订阅的情况下也成立。
[0160] 图8A是解说根据本公开的各个方面的用于针对由应用服务提供商赞助的服务接入网络的示例性方法800的流程图。方法800可在UE 102中实现。方法800为了讨论的简单起见将关于单个UE 102描述,尽管将认识到,本文所描述的各方面可适用于多个UE 102。进一步,如以上关于图6提及的,授权服务器120和服务器116可以是相同或不同的实体。为了讨论简单起见,下文在讨论与授权服务器120相关的各方面时将参照服务器116。将理解,可在方法800的步骤之前、期间和之后提供附加步骤,并且所描述的一些步骤可被重新排序、替换或消除以用于方法800的其他实施例。
[0161] 在步骤802,UE 102标识受赞助连接可通过其可获得的一个或多个服务网络112,例如如以上关于图7A的步骤702描述的。
[0162] 在步骤804,UE 102向服务网络112发送附连请求以尝试利用受赞助连通性。然而,与图7A的步骤710相反,UE 102不随附连请求一起发送基于预先存在的凭证的客户端令牌(UE 102还不发送IMSI或另一蜂窝凭证)。代替地,根据图8A-8C的实施例,UE 102将依赖于与服务器116的用户认证和访问授权通信来辅助向服务器116的认证。MME 106向服务器116发送认证请求。
[0163] 在步骤806,响应于MME 106发送的认证请求,UE 102经由服务网络112接收来自服务器116的用户认证和访问授权请求。UE 102使用给服务器116的必需信息对该请求作出响应(例如,通过在被请求的情况下或在被请求之时输入或提供用户名和/或口令(例如,以预先存在的凭证的形式))。如以上关于图6讨论并且以下将进一步在图8B和8C中描述的,MME 106在UE 102与服务器116完成用户认证/访问授权之后接收来自服务器116的认证代码。
MME106使用该授权代码以请求和接收访问令牌,MME 106随后能够使用该访问令牌来请求和接收来自服务器116的用户简档信息,其使用该用户简档信息向服务网络112认证UE 102以便利用受赞助连通性。
MME106使用该授权代码以请求和接收访问令牌,MME 106随后能够使用该访问令牌来请求和接收来自服务器116的用户简档信息,其使用该用户简档信息向服务网络112认证UE 102以便利用受赞助连通性。
[0164] 现在转到图8B,流程图解说了根据本公开的各个方面的用于准予针对由应用服务提供商赞助的服务的网络接入的示例性方法820。方法820可在服务器116中实现(其出于本讨论的目的还描述了授权服务器120的功能性)。将理解,可在方法820的步骤之前、期间和之后提供附加步骤,并且所描述的一些步骤可被重新排序、替换或消除以用于方法820的其他实施例。
[0165] 在步骤822,服务器116接收来自服务网络112(例如,来自MME 106(其响应于来自UE 102的附连请求而发送该请求))的认证请求。
[0166] 在步骤824,服务器116经由服务网络112发起与UE 102的请求以完成与UE 102的用户认证和访问授权。例如,服务网络112的元件可在用户认证和访问授权过程期间传达UE 102与服务器116之间的通信,这可涉及UE 102与服务器116之间往来的关于预先存在的凭证的一个或多个请求和响应,如以上关于图6的动作606描述的。
[0167] 在步骤826,作为用户认证/访问授权过程的一部分,服务器116分析来自UE 102的响应以确定UE 102是否已被成功认证(例如,通过提供与服务器116处存储或服务器116可访问的简档中所存储的对应值相比正确的用户名和/或口令凭证)。服务器116进一步确定UE 102是否已完成访问授权(例如,通过提供准许或者定位服务器116处先前存储的关于与UE 102相关联的用户的准许)。如果用户认证和/或访问授权失败,则方法820行进至步骤842,其中过程结束(并且服务器116可向UE 102发送指示过程为何失败的信息,诸如不正确用户名/口令组合和/或缺乏关于服务网络112给予的访问与UE 102的用户相关联的用户简档的准许)。
[0168] 如果用户认证和访问授权成功,则方法820行进至步骤828,其中服务器116将授权代码发送给MME 106(例如,代替发送给UE 102并随后重新定向回MME 106),例如如以上关于图6的动作608描述的。
[0169] 在步骤830,服务器116接收来自MME 106的对访问令牌的请求,包括授权代码。
[0170] 在步骤832,服务器116分析来自MME 106的随令牌请求一起包括的授权代码。如果在给予MME 106的授权代码(服务器116保持存储它)与在步骤830从MME 106接收的授权代码之间存在失配,则该请求被拒绝并且方法820行进至步骤842,其中过程结束(并且服务器116可向UE 102发送指示过程为何失败的信息)。
[0171] 如果成功,则方法820行进至步骤834,其中服务器116使用给MME 106的所请求访问令牌对访问令牌请求作出响应,例如如以上关于图6的动作612描述的。
[0172] 在步骤836,服务器116接收来自MME 106的对UE 102的用户的用户简档的请求以将UE 102附连至服务网络112。对用户简档的请求包括作为步骤834的结果MME 106从服务器116接收到的访问令牌。
[0173] 在步骤838,服务器116分析该请求和所包括的访问令牌以确定是否向MME 106发布所请求的信息。如果在给予MME 106的访问令牌与在步骤836从MME 106接收的访问令牌之间存在失配,则该请求被拒绝并且方法820行进至步骤842,其中过程结束(并且服务器116可向UE 102发送指示过程为何失败的信息)。
[0174] 如果成功,则在步骤840,服务器116向MME 106发送所请求的用户简档。作为结果,UE 102能够附连至服务网络112,而无需在附连请求中向MME 106提供预先存在的凭证(例如,口令、经散列口令、或先前存储在UE 102处的访问令牌,等等),代替地允许MME 106与服务器116通信以获取恰适的信息。
[0175] 图8C是解说根据本公开的各个方面的用于促成针对由应用服务提供商赞助的服务的网络接入的示例性方法850的流程图。方法850可在MME 106(和/或服务网络112的其他网络元件)中实现。方法850为了讨论的简单起见将关于单个MME 106描述,尽管将认识到,本文所描述的各方面可适用于服务网络112中的一个或多个其他网络元件。将理解,可在方法850的步骤之前、期间和之后提供附加步骤,并且所描述的一些步骤可被重新排序、替换或消除以用于方法850的其他实施例。
[0176] 在动作852,MME 106从UE 102接收附连请求(其不包括基于预先存在的凭证的客户端令牌或者订户标识符/蜂窝凭证),并且作为响应,向服务器116发送认证请求。该附连请求包括指示UE 102希望直接与服务器116认证的信息、而非如以上讨论的在图5的动作504处提供客户端令牌作为认证请求的一部分。该附连请求可显式地包括MME 106理解的指示UE 102需要直接与服务器116认证的标识符,或者这可由MME 106凭借附连请求缺少客户端令牌的事实来间接推断出。
[0177] 在步骤854,MME 106将用户认证/访问授权请求从服务器116中继到UE102以及将响应从UE 102中继返回给服务器116(其可包括例如某种形式的预先存在的凭证)。
[0178] 如果UE 102与服务器116之间的用户认证/访问授权成功,则在步骤856,MME 106接收来自服务器116的授权代码,该授权代码可被用来请求访问令牌。该授权代码被发送给MME 106,例如代替发送给UE 102并且重新定向回MME 106。
[0179] 在步骤858,MME 106向服务器116发送对于访问令牌的请求以从服务器116获取对与UE 102相关联的用户简档的访问。作为该请求的一部分,MME106包括在步骤856接收到的授权代码。
[0180] 在步骤860,在服务器116认证MME 106并且证实MME 106所提供的授权代码之后,MME 106接收所请求的访问令牌。
[0181] 在步骤862,MME 106发送对与UE 102的用户相关联的用户简档的请求,从而MME 106可辅助服务网络112完成UE 102的附连,使得它可利用由服务器116主存的应用服务提供商所赞助的连通性。
[0182] 在步骤864,在服务器116分析该请求以及步骤862处的请求中所包括的访问令牌之后,MME 106接收所请求的用户简档。作为结果,UE 102附连至服务网络112,而无需在附连请求中提供预先存在的凭证(例如,口令、经散列口令、或先前存储在UE 102处的访问令牌,等等)。
[0183] 信息和信号可使用各种各样的不同技艺和技术中的任一种来表示。例如,贯穿上面说明始终可能被述及的数据、指令、命令、信息、信号、比特、码元和码片可由电压、电流、电磁波、磁场或磁粒子、光场或光粒子、或其任何组合来表示。
[0184] 结合本文中的公开描述的各种解说性框以及模块可以用设计成执行本文中描述的功能的通用处理器、DSP、ASIC、FPGA或其他可编程逻辑器件、分立的门或晶体管逻辑、分立的硬件组件、或其任何组合来实现或执行。通用处理器可以是微处理器,但在替换方案中,处理器可以是任何常规的处理器、控制器、微控制器、或状态机。处理器还可以被实现为计算设备的组合(例如,DSP与微处理器的组合、多个微处理器、与DSP核心协作的一个或多个微处理器、或任何其他此类配置)。
[0185] 本文中所描述的功能可以在硬件、由处理器执行的软件、固件、或其任何组合中实现。如果在由处理器执行的软件中实现,则各功能可以作为一条或多条指令或代码存储在计算机可读介质上或藉其进行传送。其他示例和实现落在本公开及所附权利要求的范围内。例如,由于软件的本质,以上描述的功能可使用由处理器执行的软件、硬件、固件、硬连线或其任何组合来实现。实现功能的特征也可物理地位于各种位置,包括被分布以使得功能的各部分在不同的物理位置处实现。
[0186] 另外,如本文(包括权利要求中)所使用的,在项目列举(例如,以附有诸如“……中的至少一个”或“……中的一个或多个”之类的措辞的项目列举)中使用的或摂指示包含性列举,以使得例如[A、B或C中的至少一个]的列举意指A或B或C或AB或AC或BC或ABC(即,A和B和C)。还构想到,关于一个实施例描述的特征、组件、动作、和/或步骤可按照与本文给出的不同的次序来架构,和/或与关于本公开的其他实施例描述的特征、组件、动作、和/或步骤相组合。
[0187] 本公开的各实施例包括一种用于访问服务的用户装备(UE),包括:用于标识应用服务提供商服务器通过其赞助对该服务的访问的服务网络的装置;用于向该服务网络发送具有基于与该应用服务提供商服务器建立的预先存在的凭证的客户端令牌的附连请求的装置,该客户端令牌不能由该服务网络识别为蜂窝接入凭证;以及用于基于预先存在的凭证经由该应用服务提供商服务器向该服务网络进行认证以寻求对服务的受赞助访问的装置。
[0188] 该UE进一步包括用于在附连请求中包括由UE用于认证以利用对服务的受赞助访问的认证类型的标识的装置。UE进一步包括用于在附连请求中包括标识如何定位应用服务提供商服务器的信息的装置。该UE进一步包括其中预先存在的凭证是基于经由带外信道生成的与应用服务提供商服务器建立的口令的,该UE进一步包括:用于随附连请求一起包括与口令和应用服务提供商服务器相关联的用户名的装置;用于使用第一值对口令进行散列以生成预先存在的凭证的装置;以及用于使用第二值对预先存在的凭证进行散列以生成客户端令牌的装置,该客户端令牌是在附连请求中从UE发送的。该UE进一步包括用于在UE处经由服务网络接收来自应用服务提供商服务器的认证令牌的装置,其中该服务网络存储由应用服务提供商服务器基于预先存在的凭证确定的密钥;用于证实认证令牌的装置;用于响应于该证实而基于由UE生成的中间口令凭证来确定基于UE的密钥的装置。该UE进一步包括其中该客户端令牌被包括作为预先存在的凭证的证明,并且其中该预先存在的凭证是在发送附连请求之前在UE与应用服务提供商服务器之间建立的。该UE进一步包括用于在发送之后执行UE与应用服务提供商服务器之间的握手以商定共享私密密钥的装置;用于基于共享私密密钥来确定基密钥的装置,该基密钥在UE与应用服务提供商服务器之间的认证会话的历时内是有效的;以及用于基于该基密钥证实在握手之后响应于附连请求接收到的认证信息的装置。该UE进一步包括用于接收来自服务网络的对受赞助访问的广告的装置。该UE进一步包括用于授权来自服务网络的网络元件从应用服务提供商服务器检索与预先存在的凭证相关联的用户简档的装置。该UE进一步包括其中UE在没有订户身份模块(SIM)卡的情况下操作。
[0189] 本公开的各实施例进一步包括赞助对服务的访问的应用服务提供商服务器,其包括:用于从应用服务提供商服务器通过其赞助对服务的访问的中间服务网络接收基于来自用户装备(UE)的附连请求的认证信息请求的装置,该认证信息请求包括基于与该应用服务提供商服务器建立的预先存在的凭证并且不能由该服务网络识别为蜂窝接入凭证的客户端令牌;用于响应于该认证信息请求而基于应用服务提供商服务器能访问的预先存在的凭证来确定认证信息的装置;以及用于在给服务网络的响应中传送认证信息的装置,其中该认证信息辅助基于预先存在的凭证在UE与服务网络之间关于对服务的受赞助访问的认证。
[0190] 该应用服务提供商进一步包括其中预先存在的凭证是基于经由带外信道生成的与应用服务提供商服务器建立的口令的,并且该认证信息请求包括与口令和应用服务提供商服务器相关联的用户名,该应用服务提供商进一步包括:用于基于应用服务提供商服务器能访问的一个或多个记录来验证用户名和客户端令牌的装置,其中该客户端令牌包括使用第一值散列的预先存在的凭证并且该预先存在的凭证包括使用第二值散列的口令。该应用服务提供商进一步包括用于基于预先存在的凭证来生成认证向量的装置,该认证向量包括共享密钥、认证令牌以及预期响应。该应用服务提供商进一步包括用于在接收认证信息请求之前向UE提供客户端令牌以供UE用作拥有预先存在的凭证的证明的装置。该应用服务提供商进一步包括:用于在该接收之后在UE与应用服务提供商服务器之间基于握手商定共享私密密钥的装置;用于基于该共享私密密钥确定基密钥的装置;以及用于基于预先存在的凭证生成认证向量的装置,该认证向量包括基密钥、认证令牌以及预期响应。该应用服务提供商进一步包括用于基于UE对网络元件代表UE访问用户简档的授权从服务网络向该网络元件提供与预先存在的凭证相关联的用户简档的装置。该应用服务提供商进一步包括用于在应用服务提供商服务器与服务网络之间建立服务级商定的装置,其中响应于该服务级商定,服务网络向可用设备广告受赞助访问。该应用服务提供商进一步包括其中UE完成UE与服务网络之间的认证并且利用受赞助访问,该应用服务提供商进一步包括:用于从服务网络接收与由UE在服务网络上对服务的受赞助访问相关联的费用的装置。该应用服务提供商进一步包括用于在接收认证信息请求之前向UE提供受信任服务网络列表的装置。该应用服务提供商进一步包括其中中间服务网络包括演进型分组核心(EPC)网络并且应用服务提供商服务器是EPC网络外部的数据网络的一部分。
[0191] 如本领域普通技术人员至此将领会的并取决于手头的具体应用,可以在本公开的设备的材料、装置、配置和使用方法上做出许多修改、替换和变化而不会脱离本公开的精神和范围。有鉴于此,本公开的范围不应当被限定于本文所解说和描述的特定实施例(因为其仅是作为本公开的一些示例),而应当与所附权利要求及其功能等同方案完全相当。