知財求人 - 知財ポータルサイト「IP Force」
特許6400228アプリケーション固有ネットワークアクセス資格情報を使用する、ワイヤレスネットワークへのスポンサー付き接続性のための装置および方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6400228
(24)【登録日】2018年9月14日
(45)【発行日】2018年10月3日
(54)【発明の名称】アプリケーション固有ネットワークアクセス資格情報を使用する、ワイヤレスネットワークへのスポンサー付き接続性のための装置および方法
(51)【国際特許分類】
H04L 9/32 20060101AFI20180920BHJP
H04W 12/04 20090101ALI20180920BHJP
H04W 88/18 20090101ALI20180920BHJP
H04W 8/18 20090101ALI20180920BHJP
H04W 48/10 20090101ALI20180920BHJP
【FI】
H04L9/00 675B
H04W12/04
H04W88/18
H04W8/18
H04W48/10
【請求項の数】50
【全頁数】36
(21)【出願番号】特願2017-548417(P2017-548417)
(86)(22)【出願日】2016年3月1日
(65)【公表番号】特表2018-511244(P2018-511244A)
(43)【公表日】2018年4月19日
(86)【国際出願番号】US2016020226
(87)【国際公開番号】WO2016148903
(87)【国際公開日】20160922
【審査請求日】2017年9月14日
(31)【優先権主張番号】62/134,206
(32)【優先日】2015年3月17日
(33)【優先権主張国】US
(31)【優先権主張番号】14/829,459
(32)【優先日】2015年8月18日
(33)【優先権主張国】US
【早期審査対象出願】
(73)【特許権者】
【識別番号】507364838
【氏名又は名称】クアルコム,インコーポレイテッド
(74)【代理人】
【識別番号】100108453
【弁理士】
【氏名又は名称】村山 靖彦
(74)【代理人】
【識別番号】100163522
【弁理士】
【氏名又は名称】黒田 晋平
(72)【発明者】
【氏名】ス・ボム・イ
(72)【発明者】
【氏名】アナンド・パラニガウンダー
(72)【発明者】
【氏名】ギャヴィン・バーナード・ホーン
【審査官】
上島 拓也
(56)【参考文献】
【文献】
特表2014−524174(JP,A)
【文献】
特表2013−507049(JP,A)
【文献】
国際公開第2013/163634(WO,A1)
【文献】
特開2006−033266(JP,A)
【文献】
特開2012−134703(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/32
H04W 8/18
H04W 12/04
H04W 48/10
H04W 88/18
(57)【特許請求の範囲】
【請求項1】
ユーザデバイスにおいて動作する方法であって、
アプリケーションサービスプロバイダによって提供される少なくとも1つのアプリケーションサービスに関連付けられたアプリケーション固有証明書を前記アプリケーションサービスプロバイダから受信するステップであって、前記アプリケーション固有証明書が、通信インターフェースによって受信される、ステップと、
処理回路によって、前記アプリケーションサービスプロバイダによって提供される前記アプリケーションサービスへのアプリケーション固有アクセスをワイヤレス通信ネットワークが提供すると判定するステップと、
前記通信インターフェースによって、前記ワイヤレス通信ネットワークのホーム加入者サービス(HSS)から独立して、ワイヤレス通信ネットワークデバイスにおける前記アプリケーション固有証明書の検証のために、前記アプリケーション固有証明書を含む登録要求を前記ワイヤレス通信ネットワークの前記ワイヤレス通信ネットワークデバイスに送信するステップであって、前記アプリケーション固有証明書が、前記アプリケーションサービスに関連付けられた公開鍵を含む、ステップと、
前記処理回路によって、前記ワイヤレス通信ネットワークデバイスにおける前記アプリケーション固有証明書の検証後に前記ワイヤレス通信ネットワークの前記ワイヤレス通信ネットワークデバイスとの認証および鍵合意を実施するステップと、
前記通信インターフェースによって、認証および鍵合意がうまく実施された後で前記アプリケーションサービスと通信するステップと
を含む方法。
アプリケーションサービスプロバイダによって提供される少なくとも1つのアプリケーションサービスに関連付けられたアプリケーション固有証明書を前記アプリケーションサービスプロバイダから受信するステップであって、前記アプリケーション固有証明書が、通信インターフェースによって受信される、ステップと、
処理回路によって、前記アプリケーションサービスプロバイダによって提供される前記アプリケーションサービスへのアプリケーション固有アクセスをワイヤレス通信ネットワークが提供すると判定するステップと、
前記通信インターフェースによって、前記ワイヤレス通信ネットワークのホーム加入者サービス(HSS)から独立して、ワイヤレス通信ネットワークデバイスにおける前記アプリケーション固有証明書の検証のために、前記アプリケーション固有証明書を含む登録要求を前記ワイヤレス通信ネットワークの前記ワイヤレス通信ネットワークデバイスに送信するステップであって、前記アプリケーション固有証明書が、前記アプリケーションサービスに関連付けられた公開鍵を含む、ステップと、
前記処理回路によって、前記ワイヤレス通信ネットワークデバイスにおける前記アプリケーション固有証明書の検証後に前記ワイヤレス通信ネットワークの前記ワイヤレス通信ネットワークデバイスとの認証および鍵合意を実施するステップと、
前記通信インターフェースによって、認証および鍵合意がうまく実施された後で前記アプリケーションサービスと通信するステップと
を含む方法。
【請求項2】
前記ワイヤレス通信ネットワークデバイスとの認証および鍵合意が、前記アプリケーションサービスプロバイダから独立して実施される、請求項1に記載の方法。
【請求項3】
前記アプリケーションサービスに関連付けられた前記公開鍵がユーザデバイス公開鍵であり、前記アプリケーション固有証明書がさらにアプリケーション固有ディジタル署名を含み、前記アプリケーション固有ディジタル署名が、前記アプリケーションサービスプロバイダの秘密鍵によって署名された前記ユーザデバイス公開鍵を含む、請求項1に記載の方法。
【請求項4】
前記アプリケーション固有証明書がさらにアプリケーション識別子およびアプリケーション固有ディジタル署名を含み、前記アプリケーション固有ディジタル署名が、前記アプリケーションサービスプロバイダの秘密鍵によって両方とも署名された前記公開鍵および前記アプリケーション識別子を含み、前記アプリケーション識別子が前記アプリケーションサービスに一意に関連付けられた、請求項1に記載の方法。
【請求項5】
認証および鍵合意が成功した後で前記アプリケーションサービスへのアプリケーション固有アクセスを得るステップをさらに含む、請求項1に記載の方法。
【請求項6】
アプリケーション固有アクセスを前記ワイヤレス通信ネットワークが提供すると決定するステップが、前記ワイヤレス通信ネットワークによってブロードキャストされた、前記ワイヤレス通信ネットワークを介して前記アプリケーションサービスが利用可能であることの告知を、受信するステップを含む、請求項1に記載の方法。
【請求項7】
信用されるワイヤレス通信ネットワークに関連付けられた複数の証明書を前記アプリケーションサービスプロバイダから受信するステップをさらに含み、前記複数の証明書が、前記ワイヤレス通信ネットワークの公開鍵であるワイヤレス通信ネットワーク公開鍵を有する証明書を含む、請求項1に記載の方法。
【請求項8】
前記ワイヤレス通信ネットワーク公開鍵を使用してワイヤレス通信ネットワークディジタル署名を検証することによって、前記ワイヤレス通信ネットワークを認証するステップをさらに含み、前記ワイヤレス通信ネットワークディジタル署名が、前記ワイヤレス通信ネットワークから受信されたアプリケーションサービス告知に含まれる、請求項7に記載の方法。
【請求項9】
認証および鍵合意がうまく実施された後で、前記ユーザデバイスと、前記アプリケーションサービスプロバイダによって許可される1組のアプリケーションサービスとの間の通信を可能にするステップをさらに含む、請求項1に記載の方法。
【請求項10】
ワイヤレス通信ネットワークとワイヤレス通信するように適合されたワイヤレス通信インターフェースと、
前記通信インターフェースに通信可能に結合された処理回路と
を備えるユーザデバイスであって、前記処理回路が、
アプリケーションサービスプロバイダによって提供される少なくとも1つのアプリケーションサービスに関連付けられたアプリケーション固有証明書を前記アプリケーションサービスプロバイダから受信することと、
前記アプリケーションサービスプロバイダによって提供される前記アプリケーションサービスへのアプリケーション固有アクセスをワイヤレス通信ネットワークが提供すると判定することと、
前記ワイヤレス通信ネットワークのホーム加入者サービス(HSS)から独立して、ワイヤレス通信ネットワークデバイスにおける前記アプリケーション固有証明書の検証のために、前記アプリケーション固有証明書を含む登録要求を前記ワイヤレス通信ネットワークの前記ワイヤレス通信ネットワークデバイスに送信することであって、前記アプリケーション固有証明書が、前記アプリケーションサービスに関連付けられた公開鍵を含む、ことと、
前記ワイヤレス通信ネットワークデバイスにおける前記アプリケーション固有証明書の検証後に前記ワイヤレス通信ネットワークの前記ワイヤレス通信ネットワークデバイスとの認証および鍵合意を実施することと、
認証および鍵合意がうまく実施された後で前記アプリケーションサービスと通信することと
を行うように適合された、ユーザデバイス。
前記通信インターフェースに通信可能に結合された処理回路と
を備えるユーザデバイスであって、前記処理回路が、
アプリケーションサービスプロバイダによって提供される少なくとも1つのアプリケーションサービスに関連付けられたアプリケーション固有証明書を前記アプリケーションサービスプロバイダから受信することと、
前記アプリケーションサービスプロバイダによって提供される前記アプリケーションサービスへのアプリケーション固有アクセスをワイヤレス通信ネットワークが提供すると判定することと、
前記ワイヤレス通信ネットワークのホーム加入者サービス(HSS)から独立して、ワイヤレス通信ネットワークデバイスにおける前記アプリケーション固有証明書の検証のために、前記アプリケーション固有証明書を含む登録要求を前記ワイヤレス通信ネットワークの前記ワイヤレス通信ネットワークデバイスに送信することであって、前記アプリケーション固有証明書が、前記アプリケーションサービスに関連付けられた公開鍵を含む、ことと、
前記ワイヤレス通信ネットワークデバイスにおける前記アプリケーション固有証明書の検証後に前記ワイヤレス通信ネットワークの前記ワイヤレス通信ネットワークデバイスとの認証および鍵合意を実施することと、
認証および鍵合意がうまく実施された後で前記アプリケーションサービスと通信することと
を行うように適合された、ユーザデバイス。
【請求項11】
前記ワイヤレス通信ネットワークデバイスとの認証および鍵合意が、前記アプリケーションサービスプロバイダから独立して実施される、請求項10に記載のユーザデバイス。
【請求項12】
前記アプリケーションサービスに関連付けられた前記公開鍵がユーザデバイス公開鍵であり、前記アプリケーション固有証明書がさらにアプリケーション固有ディジタル署名を含み、前記アプリケーション固有ディジタル署名が、前記アプリケーションサービスプロバイダの秘密鍵によって署名された前記ユーザデバイス公開鍵を含む、請求項10に記載のユーザデバイス。
【請求項13】
前記アプリケーション固有証明書がさらにアプリケーション識別子およびアプリケーション固有ディジタル署名を含み、前記アプリケーション固有ディジタル署名が、前記アプリケーションサービスプロバイダの秘密鍵によって両方とも署名された前記公開鍵および前記アプリケーション識別子を含み、前記アプリケーション識別子が前記アプリケーションサービスに一意に関連付けられた、請求項10に記載のユーザデバイス。
【請求項14】
前記処理回路がさらに、
認証および鍵合意が成功した後で前記アプリケーションサービスへのアプリケーション固有アクセスを得ることを行うように適合された、請求項10に記載のユーザデバイス。
認証および鍵合意が成功した後で前記アプリケーションサービスへのアプリケーション固有アクセスを得ることを行うように適合された、請求項10に記載のユーザデバイス。
【請求項15】
前記処理回路が、アプリケーション固有アクセスを前記ワイヤレス通信ネットワークが提供すると決定することを行うように適合されたことが、前記処理回路がさらに、
前記ワイヤレス通信ネットワークによってブロードキャストされた、前記ワイヤレス通信ネットワークを介して前記アプリケーションサービスが利用可能であることの告知を、受信することを行うように適合されたことを含む、請求項10に記載のユーザデバイス。
前記ワイヤレス通信ネットワークによってブロードキャストされた、前記ワイヤレス通信ネットワークを介して前記アプリケーションサービスが利用可能であることの告知を、受信することを行うように適合されたことを含む、請求項10に記載のユーザデバイス。
【請求項16】
前記処理回路がさらに、
信用されるワイヤレス通信ネットワークに関連付けられた複数の証明書を前記アプリケーションサービスプロバイダから受信することを行うように適合され、前記複数の証明書が、前記ワイヤレス通信ネットワークの公開鍵であるワイヤレス通信ネットワーク公開鍵を有する証明書を含む、請求項10に記載のユーザデバイス。
信用されるワイヤレス通信ネットワークに関連付けられた複数の証明書を前記アプリケーションサービスプロバイダから受信することを行うように適合され、前記複数の証明書が、前記ワイヤレス通信ネットワークの公開鍵であるワイヤレス通信ネットワーク公開鍵を有する証明書を含む、請求項10に記載のユーザデバイス。
【請求項17】
前記処理回路がさらに、
前記ワイヤレス通信ネットワーク公開鍵を使用してワイヤレス通信ネットワークディジタル署名を検証することによって、前記ワイヤレス通信ネットワークを認証することを行うように適合され、前記ワイヤレス通信ネットワークディジタル署名が、前記ワイヤレス通信ネットワークから受信されたアプリケーションサービス告知に含まれる、請求項16に記載のユーザデバイス。
前記ワイヤレス通信ネットワーク公開鍵を使用してワイヤレス通信ネットワークディジタル署名を検証することによって、前記ワイヤレス通信ネットワークを認証することを行うように適合され、前記ワイヤレス通信ネットワークディジタル署名が、前記ワイヤレス通信ネットワークから受信されたアプリケーションサービス告知に含まれる、請求項16に記載のユーザデバイス。
【請求項18】
前記処理回路がさらに、
認証および鍵合意がうまく実施された後で、前記ユーザデバイスと、前記アプリケーションサービスプロバイダによって許可される1組のアプリケーションサービスとの間の通信を可能にすることを行うように適合された、請求項10に記載のユーザデバイス。
認証および鍵合意がうまく実施された後で、前記ユーザデバイスと、前記アプリケーションサービスプロバイダによって許可される1組のアプリケーションサービスとの間の通信を可能にすることを行うように適合された、請求項10に記載のユーザデバイス。
【請求項19】
アプリケーションサービスプロバイダによって提供される少なくとも1つのアプリケーションサービスに関連付けられたアプリケーション固有証明書を前記アプリケーションサービスプロバイダから受信するための手段と、
前記アプリケーションサービスプロバイダによって提供される前記アプリケーションサービスへのアプリケーション固有アクセスをワイヤレス通信ネットワークが提供すると判定するための手段と、
前記ワイヤレス通信ネットワークのホーム加入者サービス(HSS)から独立して、ワイヤレス通信ネットワークデバイスにおける前記アプリケーション固有証明書の検証のために、前記アプリケーション固有証明書を含む登録要求を前記ワイヤレス通信ネットワークの前記ワイヤレス通信ネットワークデバイスに送信するための手段であって、前記アプリケーション固有証明書が、前記アプリケーションサービスに関連付けられた公開鍵を含む、手段と、
前記ワイヤレス通信ネットワークデバイスにおける前記アプリケーション固有証明書の検証後に前記ワイヤレス通信ネットワークの前記ワイヤレス通信ネットワークデバイスとの認証および鍵合意を実施するための手段と、
認証および鍵合意がうまく実施された後で前記アプリケーションサービスと通信するための手段と
を備えるユーザデバイス。
前記アプリケーションサービスプロバイダによって提供される前記アプリケーションサービスへのアプリケーション固有アクセスをワイヤレス通信ネットワークが提供すると判定するための手段と、
前記ワイヤレス通信ネットワークのホーム加入者サービス(HSS)から独立して、ワイヤレス通信ネットワークデバイスにおける前記アプリケーション固有証明書の検証のために、前記アプリケーション固有証明書を含む登録要求を前記ワイヤレス通信ネットワークの前記ワイヤレス通信ネットワークデバイスに送信するための手段であって、前記アプリケーション固有証明書が、前記アプリケーションサービスに関連付けられた公開鍵を含む、手段と、
前記ワイヤレス通信ネットワークデバイスにおける前記アプリケーション固有証明書の検証後に前記ワイヤレス通信ネットワークの前記ワイヤレス通信ネットワークデバイスとの認証および鍵合意を実施するための手段と、
認証および鍵合意がうまく実施された後で前記アプリケーションサービスと通信するための手段と
を備えるユーザデバイス。
【請求項20】
前記ワイヤレス通信ネットワークデバイスとの認証および鍵合意が、前記アプリケーションサービスプロバイダから独立して実施される、請求項19に記載のユーザデバイス。
【請求項21】
前記アプリケーションサービスに関連付けられた前記公開鍵がユーザデバイス公開鍵であり、前記アプリケーション固有証明書がさらにアプリケーション固有ディジタル署名を含み、前記アプリケーション固有ディジタル署名が、前記アプリケーションサービスプロバイダの秘密鍵によって署名された前記ユーザデバイス公開鍵を含む、請求項19に記載のユーザデバイス。
【請求項22】
認証および鍵合意が成功した後で前記アプリケーションサービスへのアプリケーション固有アクセスを得るための手段をさらに備える、請求項19に記載のユーザデバイス。
【請求項23】
信用されるワイヤレス通信ネットワークに関連付けられた複数の証明書を前記アプリケーションサービスプロバイダから受信するための手段であって、前記複数の証明書が、前記ワイヤレス通信ネットワークの公開鍵であるワイヤレス通信ネットワーク公開鍵を有する証明書を含む、手段と、
前記ワイヤレス通信ネットワーク公開鍵を使用してワイヤレス通信ネットワークディジタル署名を検証することによって、前記ワイヤレス通信ネットワークを認証するための手段であって、前記ワイヤレス通信ネットワークディジタル署名が、前記ワイヤレス通信ネットワークから受信されたアプリケーションサービス告知に含まれる、手段と
をさらに備える、請求項19に記載のユーザデバイス。
前記ワイヤレス通信ネットワーク公開鍵を使用してワイヤレス通信ネットワークディジタル署名を検証することによって、前記ワイヤレス通信ネットワークを認証するための手段であって、前記ワイヤレス通信ネットワークディジタル署名が、前記ワイヤレス通信ネットワークから受信されたアプリケーションサービス告知に含まれる、手段と
をさらに備える、請求項19に記載のユーザデバイス。
【請求項24】
ワイヤレス通信ネットワークに関連するワイヤレス通信ネットワークデバイスにおいて動作する方法であって、
アプリケーションサービスプロバイダ公開鍵を含むアプリケーションサービスプロバイダ証明書をアプリケーションサービスプロバイダから受信するステップであって、前記アプリケーションサービスプロバイダ証明書が、通信インターフェースによって受信される、ステップと、
前記アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスを求める登録要求をユーザデバイスから受信するステップであって、前記登録要求が、通信インターフェースによって受信され、前記登録要求が、前記アプリケーションサービスプロバイダによって署名されたアプリケーション固有証明書を含み、前記アプリケーション固有証明書が、前記アプリケーションサービスに関連付けられた公開鍵をさらに含む、ステップと、
処理回路によって、前記ワイヤレス通信ネットワークのホーム加入者サービス(HSS)から独立して、前記ワイヤレス通信ネットワークデバイスにおいて、前記アプリケーションサービスプロバイダ公開鍵を使用して前記アプリケーション固有証明書を検証するステップと、
前記処理回路によって、前記ワイヤレス通信ネットワークデバイスにおける前記アプリケーション固有証明書の検証後に前記ユーザデバイスとの認証および鍵合意を実施するステップと
を含む方法。
アプリケーションサービスプロバイダ公開鍵を含むアプリケーションサービスプロバイダ証明書をアプリケーションサービスプロバイダから受信するステップであって、前記アプリケーションサービスプロバイダ証明書が、通信インターフェースによって受信される、ステップと、
前記アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスを求める登録要求をユーザデバイスから受信するステップであって、前記登録要求が、通信インターフェースによって受信され、前記登録要求が、前記アプリケーションサービスプロバイダによって署名されたアプリケーション固有証明書を含み、前記アプリケーション固有証明書が、前記アプリケーションサービスに関連付けられた公開鍵をさらに含む、ステップと、
処理回路によって、前記ワイヤレス通信ネットワークのホーム加入者サービス(HSS)から独立して、前記ワイヤレス通信ネットワークデバイスにおいて、前記アプリケーションサービスプロバイダ公開鍵を使用して前記アプリケーション固有証明書を検証するステップと、
前記処理回路によって、前記ワイヤレス通信ネットワークデバイスにおける前記アプリケーション固有証明書の検証後に前記ユーザデバイスとの認証および鍵合意を実施するステップと
を含む方法。
【請求項25】
前記ユーザデバイスとの認証および鍵合意が、前記ユーザデバイスと前記ワイヤレス通信ネットワークデバイスとの間で、前記アプリケーションサービスプロバイダから独立して実施される、請求項24に記載の方法。
【請求項26】
前記登録要求を前記ユーザデバイスから受信する前に、前記アプリケーションサービスに関連するアプリケーションサービス登録情報を受信するステップをさらに含む、請求項24に記載の方法。
【請求項27】
前記アプリケーションサービス登録情報が、サービスプロビジョニング機能を介して前記アプリケーションサービスプロバイダから受信される、請求項26に記載の方法。
【請求項28】
前記アプリケーションサービス登録情報が、アプリケーション識別子、および/または、前記ユーザデバイスと前記アプリケーションサービスとの間の通信について前記ワイヤレス通信ネットワークが提供するサービス品質を示すアプリケーションサービスクラス、のうちの少なくとも一方を含む、請求項26に記載の方法。
【請求項29】
前記ワイヤレス通信ネットワークを介して前記アプリケーションサービスへのアプリケーション固有アクセスが利用可能であることを示す告知を、ブロードキャストするステップをさらに含む、請求項24に記載の方法。
【請求項30】
前記アプリケーションサービス告知が、前記ワイヤレス通信ネットワークの秘密鍵によって署名されたワイヤレス通信ネットワークディジタル署名を含み、前記ディジタル署名が、ワイヤレス通信ネットワーク公開鍵を用いた前記ユーザデバイスにおける検証のために適合された、請求項29に記載の方法。
【請求項31】
前記アプリケーションサービスに関連付けられた前記公開鍵がユーザデバイス公開鍵であり、前記アプリケーション固有証明書がさらにアプリケーション固有ディジタル署名を含み、前記アプリケーション固有ディジタル署名が、前記アプリケーションサービスプロバイダの秘密鍵によって署名された前記ユーザデバイス公開鍵を含む、請求項24に記載の方法。
【請求項32】
前記アプリケーション固有証明書がさらにアプリケーション識別子およびアプリケーション固有ディジタル署名を含み、前記アプリケーション固有ディジタル署名が、前記アプリケーションサービスプロバイダの秘密鍵によって両方とも署名された前記公開鍵および前記アプリケーション識別子を含み、前記アプリケーション識別子が前記アプリケーションサービスに一意に関連付けられた、請求項24に記載の方法。
【請求項33】
認証および鍵合意が成功した後で前記アプリケーションサービスへのアプリケーション固有アクセスを前記ユーザデバイスに提供するステップをさらに含む、請求項24に記載の方法。
【請求項34】
アプリケーション固有証明書取消しリストを記憶するステップをさらに含み、前記アプリケーション固有証明書取消しリストが、取り消された、アプリケーション固有アクセスを授与されるべきでない、ユーザデバイスにプロビジョニングされた複数のアプリケーション固有証明書を含む、請求項24に記載の方法。
【請求項35】
ワイヤレス通信ネットワークに関連するワイヤレス通信ネットワークデバイスであって、
少なくともユーザデバイスとワイヤレス通信するように適合されたワイヤレス通信インターフェースと、
前記ワイヤレス通信インターフェースに通信可能に結合された処理回路とを備え、前記処理回路が、
アプリケーションサービスプロバイダ公開鍵を含むアプリケーションサービスプロバイダ証明書をアプリケーションサービスプロバイダから受信することと、
前記アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスを求める登録要求を前記ユーザデバイスから受信することであって、前記登録要求が、前記アプリケーションサービスプロバイダによって署名されたアプリケーション固有証明書を含み、前記アプリケーション固有証明書が、前記アプリケーションサービスに関連付けられた公開鍵を含む、ことと、
前記ワイヤレス通信ネットワークのホーム加入者サービス(HSS)から独立して、前記ワイヤレス通信ネットワークデバイスにおいて、前記アプリケーションサービスプロバイダ公開鍵を使用して前記アプリケーション固有証明書を検証することと、
前記ワイヤレス通信ネットワークデバイスにおける前記アプリケーション固有証明書の検証後に前記ユーザデバイスとの認証および鍵合意を実施することと
を行うように適合された、ワイヤレス通信ネットワークデバイス。
少なくともユーザデバイスとワイヤレス通信するように適合されたワイヤレス通信インターフェースと、
前記ワイヤレス通信インターフェースに通信可能に結合された処理回路とを備え、前記処理回路が、
アプリケーションサービスプロバイダ公開鍵を含むアプリケーションサービスプロバイダ証明書をアプリケーションサービスプロバイダから受信することと、
前記アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスを求める登録要求を前記ユーザデバイスから受信することであって、前記登録要求が、前記アプリケーションサービスプロバイダによって署名されたアプリケーション固有証明書を含み、前記アプリケーション固有証明書が、前記アプリケーションサービスに関連付けられた公開鍵を含む、ことと、
前記ワイヤレス通信ネットワークのホーム加入者サービス(HSS)から独立して、前記ワイヤレス通信ネットワークデバイスにおいて、前記アプリケーションサービスプロバイダ公開鍵を使用して前記アプリケーション固有証明書を検証することと、
前記ワイヤレス通信ネットワークデバイスにおける前記アプリケーション固有証明書の検証後に前記ユーザデバイスとの認証および鍵合意を実施することと
を行うように適合された、ワイヤレス通信ネットワークデバイス。
【請求項36】
前記ユーザデバイスとの認証および鍵合意が、前記ユーザデバイスと前記ワイヤレス通信ネットワークデバイスとの間で、前記アプリケーションサービスプロバイダから独立して実施される、請求項35に記載のワイヤレス通信ネットワークデバイス。
【請求項37】
前記処理回路がさらに、
前記登録要求を前記ユーザデバイスから受信する前に、前記アプリケーションサービスに関連するアプリケーションサービス登録情報を受信することを行うように適合された、請求項35に記載のワイヤレス通信ネットワークデバイス。
前記登録要求を前記ユーザデバイスから受信する前に、前記アプリケーションサービスに関連するアプリケーションサービス登録情報を受信することを行うように適合された、請求項35に記載のワイヤレス通信ネットワークデバイス。
【請求項38】
前記アプリケーションサービス登録情報が、サービスプロビジョニング機能を介して前記アプリケーションサービスプロバイダから受信される、請求項37に記載のワイヤレス通信ネットワークデバイス。
【請求項39】
前記アプリケーションサービス登録情報が、アプリケーション識別子、および/または、前記ユーザデバイスと前記アプリケーションサービスとの間の通信について前記ワイヤレス通信ネットワークが提供するサービス品質を示すアプリケーションサービスクラス、のうちの少なくとも一方を含む、請求項37に記載のワイヤレス通信ネットワークデバイス。
【請求項40】
前記処理回路がさらに、
前記ワイヤレス通信ネットワークを介して前記アプリケーションサービスへのアプリケーション固有アクセスが利用可能であることを示す告知を、ブロードキャストすることを行うように適合された、請求項35に記載のワイヤレス通信ネットワークデバイス。
前記ワイヤレス通信ネットワークを介して前記アプリケーションサービスへのアプリケーション固有アクセスが利用可能であることを示す告知を、ブロードキャストすることを行うように適合された、請求項35に記載のワイヤレス通信ネットワークデバイス。
【請求項41】
前記アプリケーションサービス告知が、前記ワイヤレス通信ネットワークの秘密鍵によって署名されたワイヤレス通信ネットワークディジタル署名を含み、前記ディジタル署名が、ワイヤレス通信ネットワーク公開鍵を用いた前記ユーザデバイスにおける検証のために適合された、請求項40に記載のワイヤレス通信ネットワークデバイス。
【請求項42】
前記アプリケーションサービスに関連付けられた前記公開鍵がユーザデバイス公開鍵であり、前記アプリケーション固有証明書がさらにアプリケーション固有ディジタル署名を含み、前記アプリケーション固有ディジタル署名が、前記アプリケーションサービスプロバイダの秘密鍵によって署名された前記ユーザデバイス公開鍵を含む、請求項35に記載のワイヤレス通信ネットワークデバイス。
【請求項43】
前記アプリケーション固有証明書がさらにアプリケーション識別子およびアプリケーション固有ディジタル署名を含み、前記アプリケーション固有ディジタル署名が、前記アプリケーションサービスプロバイダの秘密鍵によって両方とも署名された前記公開鍵および前記アプリケーション識別子を含み、前記アプリケーション識別子が前記アプリケーションサービスに一意に関連付けられた、請求項35に記載のワイヤレス通信ネットワークデバイス。
【請求項44】
前記処理回路がさらに、
認証および鍵合意が成功した後で前記アプリケーションサービスへのアプリケーション固有アクセスを前記ユーザデバイスに提供することを行うように適合された、請求項35に記載のワイヤレス通信ネットワークデバイス。
認証および鍵合意が成功した後で前記アプリケーションサービスへのアプリケーション固有アクセスを前記ユーザデバイスに提供することを行うように適合された、請求項35に記載のワイヤレス通信ネットワークデバイス。
【請求項45】
前記処理回路がさらに、
アプリケーション固有証明書取消しリストを記憶することを行うように適合され、前記アプリケーション固有証明書取消しリストが、取り消された、アプリケーション固有アクセスを授与されるべきでない、ユーザデバイスにプロビジョニングされた複数のアプリケーション固有証明書を含む、請求項35に記載のワイヤレス通信ネットワークデバイス。
アプリケーション固有証明書取消しリストを記憶することを行うように適合され、前記アプリケーション固有証明書取消しリストが、取り消された、アプリケーション固有アクセスを授与されるべきでない、ユーザデバイスにプロビジョニングされた複数のアプリケーション固有証明書を含む、請求項35に記載のワイヤレス通信ネットワークデバイス。
【請求項46】
アプリケーションサービスプロバイダ公開鍵を含むアプリケーションサービスプロバイダ証明書をアプリケーションサービスプロバイダから受信するための手段と、
前記アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスを求める登録要求をユーザデバイスから受信するための手段であって、前記登録要求が、前記アプリケーションサービスプロバイダによって署名されたアプリケーション固有証明書を含み、前記アプリケーション固有証明書が、前記アプリケーションサービスに関連付けられた公開鍵を含む、手段と、
ワイヤレス通信ネットワークのホーム加入者サービス(HSS)から独立して、前記ワイヤレス通信ネットワークデバイスにおいて、前記アプリケーションサービスプロバイダ公開鍵を使用して前記アプリケーション固有証明書を検証するための手段と、
前記ワイヤレス通信ネットワークデバイスにおける前記アプリケーション固有証明書の検証後に前記ユーザデバイスとの認証および鍵合意を実施するための手段と
を備えるワイヤレス通信ネットワークデバイス。
前記アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスを求める登録要求をユーザデバイスから受信するための手段であって、前記登録要求が、前記アプリケーションサービスプロバイダによって署名されたアプリケーション固有証明書を含み、前記アプリケーション固有証明書が、前記アプリケーションサービスに関連付けられた公開鍵を含む、手段と、
ワイヤレス通信ネットワークのホーム加入者サービス(HSS)から独立して、前記ワイヤレス通信ネットワークデバイスにおいて、前記アプリケーションサービスプロバイダ公開鍵を使用して前記アプリケーション固有証明書を検証するための手段と、
前記ワイヤレス通信ネットワークデバイスにおける前記アプリケーション固有証明書の検証後に前記ユーザデバイスとの認証および鍵合意を実施するための手段と
を備えるワイヤレス通信ネットワークデバイス。
【請求項47】
前記ユーザデバイスとの認証および鍵合意が、前記ユーザデバイスと前記ワイヤレス通信ネットワークデバイスとの間で、前記アプリケーションサービスプロバイダから独立して実施される、請求項46に記載のワイヤレス通信ネットワークデバイス。
【請求項48】
前記登録要求を前記ユーザデバイスから受信する前に、前記アプリケーションサービスに関連するアプリケーションサービス登録情報を受信するための手段をさらに備える、請求項46に記載のワイヤレス通信ネットワークデバイス。
【請求項49】
前記アプリケーションサービスに関連付けられた前記公開鍵がユーザデバイス公開鍵であり、前記アプリケーション固有証明書がさらにアプリケーション固有ディジタル署名を含み、前記アプリケーション固有ディジタル署名が、前記アプリケーションサービスプロバイダの秘密鍵によって署名された前記ユーザデバイス公開鍵を含む、請求項46に記載のワイヤレス通信ネットワークデバイス。
【請求項50】
認証および鍵合意が成功した後で前記アプリケーションサービスへのアプリケーション固有アクセスを前記ユーザデバイスに提供するための手段をさらに備える、請求項46に記載のワイヤレス通信ネットワークデバイス。
【発明の詳細な説明】
【技術分野】
【0001】
関連出願の相互参照本出願は、2015年3月17日に米国特許商標庁に出願された仮出願第62/134,206号、および2015年8月18日に米国特許商標庁に出願された非仮出願第14/829,459号に対する優先権を主張するものであり、これらの出願の内容全体は、参照により本明細書に組み込まれる。
【0002】
本発明は、一般に、ユーザ機器とワイヤレスネットワークとの間でデータ接続を確立することに関する。
【背景技術】
【0003】
一般に、ユーザデバイスによるワイヤレスセルラーシステムへのアクセスは、事前に取り決められた加入者フォーマットに基づく。ワイヤレスセルラーシステムの加入者でないか、またはワイヤレスセルラーシステムとの既存の関係の恩恵を有さないユーザデバイスには、アクセスは通常は与えられない。
【0004】
しかし、ユーザデバイスがワイヤレスセルラーシステムに加入していないにもかかわらず、アプリケーションサービスプロバイダは、そのサーバおよびサービスに、ユーザデバイスがワイヤレスセルラーシステムを介してアクセスできるよう望むことがある。アプリケーションサービスプロバイダは、ユーザデバイスの代わりにこのアクセスに対してワイヤレスセルラーシステムに補償するのをいとわないことがある。そのような「スポンサー付き接続性(sponsored connectivity)」は、ユーザデバイスが、特定のアプリケーションを求めてアプリケーションサービスプロバイダのサーバに接続するためにワイヤレスセルラーネットワークを制限付きで利用するのを可能にすることができ、アプリケーションサービスプロバイダには、このアクセスに対する料金が課される。
【0005】
スポンサー付き接続性のための既存の解決法は、アクセスポイント名(APN)ベースの転送(スポンサーによってプロビジョニングされた加入者識別モジュール(SIM)中で構成されたAPNに基づいてベアラがセットアップされる)と、SIM能力が装備された現加入者のみが利用可能な汎用ブートストラッピングアーキテクチャと、アプリケーションベースの転送(トラフィックがインターネットプロトコル(IP)アドレスに基づいてフィルタリングされる)とを含む。
【0006】
しかし、前述の既存の解決法には、問題がある。たとえば、ユーザデバイスには、オペレータの(たとえばワイヤレスセルラーシステム)資格情報が装備されていないことがある。たとえば、ユーザデバイスは、SIMがないことがあり、またはセルラー加入を有さないことがある。IPアドレスベースのフィルタリングが使用される場合、スポンサー付き接続性は多くの異なるスポンサー(たとえばアプリケーションサービスプロバイダ)に対して容易にスケーリングされないことがあり、無認可/未認証トラフィックがオペレータのコアネットワークの中を流れることがあり、サービスアクセスネットワーク(たとえばゲートウェイ)が過負荷攻撃を被りやすいことがあり、非サービス関連トラフィック(たとえば、攻撃によって引き起こされるトラフィック)に対する料金がアプリケーションサービスプロバイダに課されることがあり、「ファーストマイル(first-mile)」(たとえば、進化型(evolved)ノードB(eNB)および/またはモビリティ管理エンティティ(MME)を介したアクセス)防御(すなわちフィルタリング)が利用可能でないことがある。
【発明の概要】
【発明が解決しようとする課題】
【0007】
したがって、ユーザデバイスが加入を有さないワイヤレスネットワークを介してユーザデバイスがアプリケーションサービスプロバイダにアクセスできるようにするスポンサー付き接続性を確立するための、改善された方法、装置、およびシステムが必要とされている。
【課題を解決するための手段】
【0008】
ある特徴は、ユーザデバイスにおいて動作する方法を提供する。この方法は、アプリケーションサービスプロバイダによって提供される少なくとも1つのアプリケーションサービスに関連付けられたアプリケーション固有証明書をアプリケーションサービスプロバイダから受信するステップと、アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスをワイヤレス通信ネットワークが提供すると決定するステップと、ユーザデバイスの認証のために、アプリケーション固有証明書を含む登録要求をワイヤレス通信ネットワークに送信するステップであって、アプリケーション固有証明書が、アプリケーションサービスに関連付けられた公開鍵を含む、ステップと、ワイヤレス通信ネットワークとの認証および鍵合意を実施するステップと、認証および鍵合意がうまく実施された後でアプリケーションサービスと通信するステップとを含む。一態様によれば、ワイヤレス通信ネットワークとの認証および鍵合意は、ユーザデバイスとワイヤレス通信ネットワークとの間で直接に、アプリケーションサービスプロバイダから独立して実施される。別の態様によれば、アプリケーションサービスに関連付けられた公開鍵は、ユーザデバイス公開鍵であり、アプリケーション固有証明書はさらに、アプリケーション固有ディジタル署名を含み、アプリケーション固有ディジタル署名は、アプリケーションサービスプロバイダの秘密鍵によって署名されたユーザデバイス公開鍵を含む。
【0009】
一態様によれば、アプリケーション固有証明書はさらに、アプリケーション識別子およびアプリケーション固有ディジタル署名を含み、アプリケーション固有ディジタル署名は、アプリケーションサービスプロバイダの秘密鍵によって両方とも署名された公開鍵およびアプリケーション識別子を含み、アプリケーション識別子は、アプリケーションサービスに一意に関連付けられる。別の態様によれば、方法はさらに、認証および鍵合意が成功した後でアプリケーションサービスへのアプリケーション固有アクセスを得るステップを含む。さらに別の態様によれば、アプリケーション固有アクセスをワイヤレス通信ネットワークが提供すると決定するステップは、ワイヤレス通信ネットワークによってブロードキャストされた、ワイヤレス通信ネットワークを介してアプリケーションサービスが利用可能であることの告知を、受信するステップを含む。
【0010】
一態様によれば、方法はさらに、信用されるワイヤレス通信ネットワークに関連付けられた複数の証明書をアプリケーションサービスプロバイダから受信するステップを含み、複数の証明書は、ワイヤレス通信ネットワークの公開鍵であるワイヤレス通信ネットワーク公開鍵を有する証明書を含む。別の態様によれば、方法はさらに、ワイヤレス通信ネットワーク公開鍵を使用してワイヤレス通信ネットワークディジタル署名を検証することによって、ワイヤレス通信ネットワークを認証するステップを含み、ワイヤレス通信ネットワークディジタル署名は、ワイヤレス通信ネットワークから受信されたアプリケーションサービス告知に含まれる。さらに別の態様によれば、方法はさらに、認証および鍵合意がうまく実施された後で、ユーザデバイスと、アプリケーションサービスプロバイダによって許可される1組のアプリケーションサービスとの間の通信を可能にするステップを含む。
【0011】
別の特徴は、ワイヤレス通信ネットワークとワイヤレス通信するように適合されたワイヤレス通信インターフェースと、通信インターフェースに通信可能に結合された処理回路とを備えるユーザデバイスを提供する。処理回路は、アプリケーションサービスプロバイダによって提供される少なくとも1つのアプリケーションサービスに関連付けられたアプリケーション固有証明書をアプリケーションサービスプロバイダから受信することと、アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスをワイヤレス通信ネットワークが提供すると決定することと、ユーザデバイスの認証のために、アプリケーション固有証明書を含む登録要求をワイヤレス通信ネットワークに送信することであって、アプリケーション固有証明書が、アプリケーションサービスに関連付けられた公開鍵を含む、ことと、ワイヤレス通信ネットワークとの認証および鍵合意を実施することと、認証および鍵合意がうまく実施された後でアプリケーションサービスと通信することとを行うように適合される。一態様によれば、処理回路はさらに、認証および鍵合意が成功した後でアプリケーションサービスへのアプリケーション固有アクセスを得ることを行うように適合される。別の態様によれば、処理回路が、アプリケーション固有アクセスをワイヤレス通信ネットワークが提供すると決定することを行うように適合されることは、処理回路がさらに、ワイヤレス通信ネットワークによってブロードキャストされた、ワイヤレス通信ネットワークを介してアプリケーションサービスが利用可能であることの告知を、受信することを行うように適合されることを含む。
【0012】
一態様によれば、処理回路はさらに、信用されるワイヤレス通信ネットワークに関連付けられた複数の証明書をアプリケーションサービスプロバイダから受信することを行うように適合され、複数の証明書は、ワイヤレス通信ネットワークの公開鍵であるワイヤレス通信ネットワーク公開鍵を有する証明書を含む。別の態様によれば、処理回路はさらに、ワイヤレス通信ネットワーク公開鍵を使用してワイヤレス通信ネットワークディジタル署名を検証することによって、ワイヤレス通信ネットワークを認証することを行うように適合され、ワイヤレス通信ネットワークディジタル署名は、ワイヤレス通信ネットワークから受信されたアプリケーションサービス告知に含まれる。さらに別の態様によれば、処理回路はさらに、認証および鍵合意がうまく実施された後で、ユーザデバイスと、アプリケーションサービスプロバイダによって許可される1組のアプリケーションサービスとの間の通信を可能にすることを行うように適合される。
【0013】
別の特徴は、アプリケーションサービスプロバイダによって提供される少なくとも1つのアプリケーションサービスに関連付けられたアプリケーション固有証明書をアプリケーションサービスプロバイダから受信するための手段と、アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスをワイヤレス通信ネットワークが提供すると決定するための手段と、ユーザデバイスの認証のために、アプリケーション固有証明書を含む登録要求をワイヤレス通信ネットワークに送信するための手段であって、アプリケーション固有証明書が、アプリケーションサービスに関連付けられた公開鍵を含む、手段と、ワイヤレス通信ネットワークとの認証および鍵合意を実施するための手段と、認証および鍵合意がうまく実施された後でアプリケーションサービスと通信するための手段とを備えるユーザデバイスを提供する。一態様によれば、ユーザデバイスはさらに、認証および鍵合意が成功した後でアプリケーションサービスへのアプリケーション固有アクセスを得るための手段を備える。別の態様によれば、ユーザデバイスはさらに、信用されるワイヤレス通信ネットワークに関連付けられた複数の証明書をアプリケーションサービスプロバイダから受信するための手段であって、複数の証明書が、ワイヤレス通信ネットワークの公開鍵であるワイヤレス通信ネットワーク公開鍵を有する証明書を含む、手段と、ワイヤレス通信ネットワーク公開鍵を使用してワイヤレス通信ネットワークディジタル署名を検証することによって、ワイヤレス通信ネットワークを認証するための手段であって、ワイヤレス通信ネットワークディジタル署名が、ワイヤレス通信ネットワークから受信されたアプリケーションサービス告知に含まれる、手段とを備える。
【0014】
別の特徴は、ワイヤレス通信ネットワークに関連するワイヤレス通信ネットワークデバイスにおいて動作する方法を提供する。この方法は、アプリケーションサービスプロバイダ公開鍵を含むアプリケーションサービスプロバイダ証明書をアプリケーションサービスプロバイダから受信するステップと、アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスを求める登録要求をユーザデバイスから受信するステップであって、登録要求が、アプリケーションサービスプロバイダによって署名されたアプリケーション固有証明書を含み、アプリケーション固有証明書が、アプリケーションサービスに関連付けられた公開鍵を含む、ステップと、アプリケーションサービスプロバイダ公開鍵を使用してアプリケーション固有証明書を検証して、ユーザデバイスを認証するステップと、ユーザデバイスとの認証および鍵合意を実施するステップとを含む。一態様によれば、ユーザデバイスとの認証および鍵合意は、ユーザデバイスとワイヤレス通信ネットワークデバイスとの間で直接に、アプリケーションサービスプロバイダから独立して実施される。別の態様によれば、方法はさらに、登録要求をユーザデバイスから受信する前に、アプリケーションサービスに関連するアプリケーションサービス登録情報を受信するステップを含む。
【0015】
一態様によれば、方法はさらに、ワイヤレス通信ネットワークを介してアプリケーションサービスへのアプリケーション固有アクセスが利用可能であることを示す告知を、ブロードキャストするステップを含む。別の態様によれば、アプリケーションサービス告知は、ワイヤレス通信ネットワークの秘密鍵によって署名されたワイヤレス通信ネットワークディジタル署名を含み、ディジタル署名は、ワイヤレス通信ネットワーク公開鍵を用いたユーザデバイスにおける検証のために適合される。さらに別の態様によれば、アプリケーションサービスに関連付けられた公開鍵は、ユーザデバイス公開鍵であり、アプリケーション固有証明書はさらに、アプリケーション固有ディジタル署名を含み、アプリケーション固有ディジタル署名は、アプリケーションサービスプロバイダの秘密鍵によって署名されたユーザデバイス公開鍵を含む。
【0016】
一態様によれば、アプリケーション固有証明書はさらに、アプリケーション識別子およびアプリケーション固有ディジタル署名を含み、アプリケーション固有ディジタル署名は、アプリケーションサービスプロバイダの秘密鍵によって両方とも署名された公開鍵およびアプリケーション識別子を含み、アプリケーション識別子は、アプリケーションサービスに一意に関連付けられる。別の態様によれば、方法はさらに、認証および鍵合意が成功した後でアプリケーションサービスへのアプリケーション固有アクセスをユーザデバイスに提供するステップを含む。さらに別の態様によれば、方法はさらに、アプリケーション固有証明書取消しリストを記憶するステップを含み、アプリケーション固有証明書取消しリストは、取り消された、アプリケーション固有アクセスを授与されるべきでない、ユーザデバイスにプロビジョニングされた複数のアプリケーション固有証明書を含む。
【0017】
別の特徴は、ワイヤレス通信ネットワークに関連するワイヤレス通信ネットワークデバイスを提供する。このワイヤレス通信ネットワークデバイスは、少なくともユーザデバイスとワイヤレス通信するように適合されたワイヤレス通信インターフェースと、ワイヤレス通信インターフェースに通信可能に結合された処理回路とを備える。処理回路は、アプリケーションサービスプロバイダ公開鍵を含むアプリケーションサービスプロバイダ証明書をアプリケーションサービスプロバイダから受信することと、アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスを求める登録要求をユーザデバイスから受信することであって、登録要求が、アプリケーションサービスプロバイダによって署名されたアプリケーション固有証明書を含み、アプリケーション固有証明書が、アプリケーションサービスに関連付けられた公開鍵を含む、ことと、アプリケーションサービスプロバイダ公開鍵を使用してアプリケーション固有証明書を検証して、ユーザデバイスを認証することと、ユーザデバイスとの認証および鍵合意を実施することとを行うように適合される。一態様によれば、処理回路はさらに、登録要求をユーザデバイスから受信する前に、アプリケーションサービスに関連するアプリケーションサービス登録情報を受信することを行うように適合される。別の態様によれば、処理回路はさらに、ワイヤレス通信ネットワークを介してアプリケーションサービスへのアプリケーション固有アクセスが利用可能であることを示す告知を、ブロードキャストすることを行うように適合される。
【0018】
一態様によれば、処理回路はさらに、認証および鍵合意が成功した後でアプリケーションサービスへのアプリケーション固有アクセスをユーザデバイスに提供することを行うように適合される。別の態様によれば、処理回路はさらに、アプリケーション固有証明書取消しリストを記憶することを行うように適合され、アプリケーション固有証明書取消しリストは、取り消された、アプリケーション固有アクセスを授与されるべきでない、ユーザデバイスにプロビジョニングされた複数のアプリケーション固有証明書を含む。
【0019】
別の特徴は、アプリケーションサービスプロバイダ公開鍵を含むアプリケーションサービスプロバイダ証明書をアプリケーションサービスプロバイダから受信するための手段と、アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスを求める登録要求をユーザデバイスから受信するための手段であって、登録要求が、アプリケーションサービスプロバイダによって署名されたアプリケーション固有証明書を含み、アプリケーション固有証明書が、アプリケーションサービスに関連付けられた公開鍵を含む、手段と、アプリケーションサービスプロバイダ公開鍵を使用してアプリケーション固有証明書を検証して、ユーザデバイスを認証するための手段と、ユーザデバイスとの認証および鍵合意を実施するための手段とを備えるワイヤレス通信ネットワークデバイスを提供する。一態様によれば、ワイヤレス通信ネットワークデバイスはさらに、登録要求をユーザデバイスから受信する前に、アプリケーションサービスに関連するアプリケーションサービス登録情報を受信するための手段を備える。別の態様によれば、ワイヤレス通信ネットワークデバイスはさらに、認証および鍵合意が成功した後でアプリケーションサービスへのアプリケーション固有アクセスをユーザデバイスに提供するための手段を備える。
【図面の簡単な説明】
【0020】
【図1】1つまたは複数のアプリケーションサービスに対するスポンサー付き接続性(すなわち「アプリケーション固有アクセス」)を特色とする通信システムの、高レベルの概略図である。
【図2】アプリケーション固有資格情報を使用してスポンサー付き接続性を提供することに関する高レベルのフローチャートである。
【図3】共有鍵をアプリケーション固有資格情報として使用してスポンサー付き接続性を確立するために例示的な通信システム内で実行される様々なプロセス/ステップを示す図である。
【図4】共有鍵をアプリケーション固有資格情報として使用してスポンサー付き接続性を確立するために例示的な通信システム内で実行される様々なプロセス/ステップを示す図である。
【図5】公開鍵証明書をアプリケーション固有資格情報として使用してスポンサー付き接続性を確立するために例示的な通信システム内で実行される様々なプロセス/ステップを示す図である。
【図6】公開鍵証明書をアプリケーション固有資格情報として使用してスポンサー付き接続性を確立するために例示的な通信システム内で実行される様々なプロセス/ステップを示す図である。
【図7A】共有鍵を使用してスポンサー付き接続性を実行することに関するプロセスフローチャートである。
【図7B】共有鍵を使用してスポンサー付き接続性を実行することに関するプロセスフローチャートである。
【図8A】公開鍵証明書を使用してスポンサー付き接続性を実行することに関するプロセスフローチャートである。
【図8B】公開鍵証明書を使用してスポンサー付き接続性を実行することに関するプロセスフローチャートである。
【図9】公開鍵を使用してスポンサー付き接続性を実行することに関するプロセスフローチャートである。
【図10】ユーザデバイスの概略ブロック図である。
【図11】ユーザデバイスの処理回路の第1の例示的な概略ブロック図である。
【図12】ユーザデバイスの処理回路の第2の例示的な概略ブロック図である。
【図13】アプリケーション固有アクセスを得るための、ユーザデバイスにおいて動作する第1の例示的な方法のフローチャートである。
【図14】アプリケーション固有アクセスを得るための、ユーザデバイスにおいて動作する第2の例示的な方法のフローチャートである。
【図15】ワイヤレス通信ネットワークデバイスの概略ブロック図である。
【図16】ネットワークデバイスの処理回路の第1の例示的な概略ブロック図である。
【図17】ネットワークデバイスの処理回路の第2の例示的な概略ブロック図である。
【図18】アプリケーション固有アクセスを提供するための、ネットワークデバイスにおいて動作する第1の例示的な方法のフローチャートである。
【図19】アプリケーション固有アクセスを提供するための、ネットワークデバイスにおいて動作する第2の例示的な方法のフローチャートである。
【発明を実施するための形態】
【0021】
後続の記述では、本開示の様々な態様の完全な理解をもたらすために、具体的な詳細を提供する。しかし、これらの具体的な詳細がなくても態様が実践され得ることは、当業者には理解されるであろう。たとえば、態様を不必要に詳細にして不明瞭にするのを避けるために、回路をブロック図で示すことがある。他の事例では、本開示の態様を不明瞭にしないために、よく知られている回路、構造、および技法については詳細に示さないことがある。
【0022】
「例示的」という用語は、本明細書では、「例、事例、または例証としての働きをする」ことを意味する。本明細書で「例示的」として記述されるいずれかの実装形態または態様が、必ずしも本開示の他の態様に勝って好適または有利であると解釈されるとは限らない。同様に、「態様」という用語は、本開示のすべての態様が、論じられる特徴、利点、または動作モードを含むことを必要としない。本明細書で使用される場合の「アプリケーションサービス」という用語は、アプリケーションサービスプロバイダによって提供される、かつ/またはアプリケーションサービスプロバイダによってアクセス許可される、アプリケーションおよび/またはサービスを指す。「アプリケーションサービスプロバイダ」という用語は、アプリケーションサービスを提供するエンティティを指す。
【0023】
図1に、本開示の一態様による、1つまたは複数のアプリケーションサービスに対するスポンサー付き接続性(すなわち「アプリケーション固有アクセス」)を特色とする通信システム100の、高レベルの概略図を示す。このシステムは、ワイヤレス通信ネットワーク104(たとえばワイヤレスセルラーネットワーク)とワイヤレス通信している(103)複数のユーザデバイス102(たとえばユーザ機器(UE))を含む。ワイヤレス通信ネットワーク104は、1つまたは複数の無線アクセスネットワーク106と、コアネットワーク108とを含むことができる。複数のユーザデバイス102は、ワイヤレス通信ネットワーク104および介在する他の任意のパケットデータネットワーク(PDN)110(たとえば、インターネット、インスタントメッセージングサービス(IMS)など)を介して、アプリケーションサービスプロバイダ112にアクセスする(すなわちそれと通信する)ことができる。たとえば、複数のデバイス102は、アプリケーションサービスプロバイダ112によって提供される(たとえばホストされる)、かつ/またはアクセス許可される、1つまたは複数のアプリケーションサービス114へのアクセスを望むことがある。たとえば、アプリケーションサービス114は、アプリケーションサービスプロバイダ112によって提供されるソフトウェアであることがある。別の例として、アプリケーションサービス114は、アプリケーションサービスプロバイダ112によって提供/所有されない他のアプリケーション、データ、ウェブサイト、および/またはサービスにユーザデバイス102がアクセスするのを可能にすることができる。この意味で、アプリケーションサービス114は、ユーザデバイス102が場合によっては一般的なデータ接続にもアクセスするのを可能にすることができる。
【0024】
一態様によれば、ユーザデバイス102は、次のものに限定されないが、モバイルフォン、スマートフォン、ラップトップ、パーソナルディジタルアシスタント(PDA)、タブレット、コンピュータ、スマートウォッチ、および頭部装着型ウェアラブルコンピュータ(たとえばGoogle Glass(登録商標))などの、ワイヤレス通信デバイスである。一態様によれば、セルラーネットワーク104は、次のものに限定されないが、グローバルシステムフォーモバイルコミュニケーションズ(GSM(登録商標))ネットワーク、ユニバーサルモバイル遠隔通信システム(UMTS)ネットワーク、ロングタームエボリューション(LTE)ネットワーク、および他の任意のワイヤレス通信ネットワークを含めた、任意のワイヤレスネットワークであってよい。一態様によれば、アプリケーションサービス114は、次のものに限定されないが、ウェブサイト、ソフトウェア、プログラム、データベースなど、アプリケーションサービスプロバイダ112によって提供、ホスト、および/またはそうでない場合には管理される任意の電子アプリケーションおよび/またはサービスであってよい。1つまたは複数のサーバまたは他のハードウェアデバイスが、アプリケーションサービス114の動作を容易にするためにアプリケーションサービスプロバイダ112を含むことができる。1つのアプリケーションサービス114のみが示されているが、アプリケーションサービスプロバイダ112は、複数の異なるアプリケーションサービス114(たとえば1組のサービス)を提供することもできる。同様に、1つのアプリケーションサービスプロバイダ112のみが示されているが、複数の異なるアプリケーションサービスプロバイダがあってもよく、各アプリケーションサービスプロバイダは、ワイヤレス通信ネットワーク104を介したアプリケーション固有アクセスを通して利用可能であり得る1つまたは複数のアプリケーションサービスを提供する。
【0025】
ユーザデバイス102は、ワイヤレス通信ネットワーク104との、加入またはいずれかの既存の関係を有さないことがある。したがって、ユーザデバイス102は普通、データを一般に送受信するためにワイヤレス通信ネットワーク104を使用することができない場合がある。しかし、アプリケーションサービスプロバイダ112とワイヤレス通信ネットワーク104のオペレータとの間に事前交渉済みの取決めおよび合意があれば、ワイヤレス通信ネットワーク104は、ユーザデバイス102がネットワーク104を使用してアプリケーションサービスプロバイダ112および/またはそのアプリケーションサービス114にアクセスするのを可能にすることができ、そのような使用に対する料金があるとしても、そのすべてとは言わないまでも少なくとも一部をアプリケーションサービスプロバイダ112に請求することができる。この意味で、アプリケーションサービスプロバイダ112は、ユーザデバイスによるワイヤレス通信ネットワーク104の使用のスポンサーとなり、したがってユーザデバイス102は、アプリケーションサービスプロバイダ112および/またはアプリケーションサービス114への、スポンサー付き接続性を有する。
【0026】
図2に、本開示の一態様による、アプリケーション固有資格情報を使用してスポンサー付き接続性を提供することに関する高レベルのフローチャート200を示す。一般に、ワイヤレスネットワークへのスポンサー付き接続性をユーザデバイスに提供するためのプロセスは、セットアップ202(たとえばセットアップ段階)と、認証204(たとえば認証段階)とを含む。
【0027】
セットアップ202の間、アプリケーション固有資格情報がアプリケーションサービスプロバイダによってユーザデバイスにプロビジョニングされてよい(206)。アプリケーション固有資格情報は、アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへの、ワイヤレス通信ネットワークを介したアプリケーション固有アクセスに対して、ユーザデバイスが認証されるのを可能にする。アプリケーション固有資格情報は、セキュアな方式で供給されてよく、この方式は、次のものに限定されないが、ユーザデバイスの公開鍵(もしあれば)を使用して、かつ/またはセキュアソケットレイヤ(SSL)もしくはトランスポートレイヤセキュリティ(TLS)暗号プロトコルを使用して、資格情報を暗号化することなどである。アプリケーション固有資格情報は、共有鍵(たとえば対称鍵)、ユーザデバイス公開鍵証明書、および/またはこの2つの組合せに基づいてよい。たとえば、一態様では、アプリケーション固有資格情報は、ユーザデバイスに提供されるとともにアプリケーションサービスプロバイダにおいても記憶される、共有鍵であってよい。別の例として、アプリケーション固有資格情報は、アプリケーション固有ディジタル署名を含むアプリケーション固有証明書であってよい。アプリケーション固有資格情報は、ユーザデバイスのセキュアな実行環境または信用される実行環境に記憶されてよい。セキュアな実行環境の非限定的かつ非排他的な一例は、ARM(登録商標)アーキテクチャにおけるTrustZone(登録商標)である。
【0028】
ステップ202の間にまた、信用されるワイヤレス通信ネットワークに関連付けられた複数の証明書がユーザデバイスにプロビジョニングされてよい(208)。たとえば、複数の証明書は、信用されるモバイルネットワークオペレータ(MNO)の証明書のリストであってよい。アプリケーションサービスプロバイダはサービスプロビジョニングを実施することもでき(210)、これは、ワイヤレス通信ネットワークの一部であり得るサービスプロビジョニング機能(SPF)を用いてアプリケーションサービスを登録することを含む。そしてSPFは、アプリケーション固有資格情報がアプリケーション固有証明書である場合には、アプリケーションサービスプロバイダの公開鍵を1つまたは複数のワイヤレス通信ネットワークデバイス(たとえば、RAN、MMEなど)にプロビジョニングすることができる(210)。一例によれば、アプリケーションサービスプロバイダの公開鍵は、単独でネットワークデバイスに提供されてよい。別の例として、この公開鍵は、証明書の形で、すなわち、自己署名された証明書(すなわちアプリケーションサービスプロバイダによって署名されたアプリケーションサービスプロバイダ公開鍵証明書)またはサードパーティによって署名された証明書のいずれかの形で、提供されてよい。
【0029】
セットアップ202の後、使用されるアプリケーション固有資格情報が共有鍵である(212)か公開鍵証明書である(214)かに基づいて、認証(204)および鍵合意が実施されてよい。アプリケーション固有資格情報が共有鍵である場合(212)は、アプリケーションサービスプロバイダは、ホーム加入者サービス(HSS:home subscriber service)認証、認可、アカウンティング(AAA:authentication, authorization and accounting)エンティティとしての役割を果たす。共有鍵は、秘密に保たれ、ユーザデバイスとアプリケーションサービスプロバイダとの間の主要通信チャネル(たとえば、図4に示されるデータパス)とは異なる帯域外通信チャネル(たとえばWi-Fi(登録商標))を介して、ユーザデバイスとアプリケーションサービスプロバイダとの間で事前共有されてよい。一態様では、データ接続(たとえば、インターネットを介したデータ通信チャネル)が、ワイヤレス通信ネットワークデバイス(たとえばMME)とアプリケーションサービスプロバイダとの間で確立される。というのは、MMEとアプリケーションサービスプロバイダとは相互間の直接シグナリングチャネル(たとえば制御チャネル)を有さないことがあるからである。最初は、データ接続は、ユーザデバイスを認証する(たとえば、認証および鍵合意をうまく実施する)ために認証情報要求をアプリケーションサービスプロバイダに転送することのみに使用されることが可能である。ユーザデバイスが認証された後でのみ、ユーザデバイスはまた、このデータ接続および/または別のデータ接続を介してデータトラフィックもアプリケーションサービスプロバイダに送信することができる。さらに、アプリケーションサーバに対するアプリケーション固有トラフィック/モビリティ処理(たとえばベアラ事前構成)が構成されてよい。
【0030】
アプリケーション固有資格情報がアプリケーション固有証明書である場合は、ワイヤレス通信ネットワークは、アプリケーション固有証明書に含まれるアプリケーション固有ディジタル署名を検証することによって、ネットワークを介したスポンサー付き接続性を得ようとするユーザデバイスを認証することができる。ネットワークアクセス認証は、アプリケーションサービスプロバイダに接触する必要なしにワイヤレスネットワーク内で実施される。すなわち、ネットワークアクセス認証は、アプリケーションサービスプロバイダから独立して(すなわち、認証のためにアプリケーションサービスプロバイダに接触する必要なしに)、ワイヤレス通信ネットワークとユーザデバイスとの間で実施されることが可能である。したがって、そのような場合のアプリケーション固有認証およびフィルタリングは、「ファーストマイル」において施行される(たとえば、RANおよび/またはMMEによって施行される)ことが可能である。同様に、ユーザデバイスは、ユーザデバイスにプロビジョニングされた、信用されるワイヤレス通信ネットワークに関連付けられた複数の証明書を使用して、アプリケーションサービスを求めてスポンサー付き接続性を確立しようとしている対象である特定のワイヤレス通信ネットワークを認証することができる。具体的には、ユーザデバイスは、これらの証明書を使用して、ワイヤレス通信ネットワークによってブロードキャストされた告知(たとえばアプリケーションサービス告知)に含まれる1つまたは複数のディジタル署名を検証することができる。
【0031】
図3および図4に、本開示の一態様による、共有鍵をアプリケーション固有資格情報として使用してスポンサー付き接続性を確立するために例示的な通信システム300内で実行される様々なプロセス/ステップを示す。図3を参照すると、アプリケーションサービスプロバイダ(ASP)112は、最初に、サービスプロビジョニング機能(SPF)302を介してアプリケーションサービス114をワイヤレス通信ネットワーク104に登録することができる(ステップA1またはA2、およびステップB)。いくつかの態様では、SPF302は、ワイヤレス通信ネットワーク104の一部であってよい(たとえば、ネットワーク104の任意のネットワークデバイスにあるソフトウェアであってよい)。アプリケーションサービスをワイヤレス通信ネットワーク104に登録することは、アプリケーションサービス登録情報を提供/プロビジョニングすることを含むことができ、このアプリケーションサービス登録情報は、アプリケーションサービスに一意に関連付けられたアプリケーション識別子、料金請求に関係する情報、SPF302とASP112との間のインターフェースセットアップ情報(たとえば、セキュリティ関連情報、バーチャルプライベートネットワーク情報など)等を含むことがある。アプリケーションサービス登録情報は、次のものに限定されないが、RAN106、MME304、および/またはサービスクエリプロトコル(SQP)サーバ303を含めた、ネットワーク104のネットワークデバイスに提供されてよい。
【0032】
一態様によれば、ASP112は、SPF302と直接に通信し、アプリケーションサービス登録情報をSPF302に直接に送信することができる(すなわちステップA1)。他の態様では、ASP112は、ワイヤレス通信ネットワーク104および/またはSPF302との直接インターフェースを有さないことがあり、したがって、ASP112は、PDN110および1つまたは複数のパケットデータネットワークゲートウェイ(P-GW)308を介したデータ線接続を使用して、アプリケーションサービス登録情報をSPF302に送信することができる(すなわちステップA2)。SQPサーバ303は、ユーザデバイス102からの照会を処理し、SPF302から受信されたアプリケーションサービス登録情報の少なくとも一部をユーザデバイス102に提供することができる。
【0033】
ステップCで、ASP112はデバイス登録を実施するが、とりわけ、ASP112は、アプリケーション固有資格情報をユーザデバイス102にプロビジョニングすることができ、このアプリケーション固有資格情報は、この場合、ユーザデバイス102に一意に関連付けられた共有鍵である。ASP112はまた、ユーザデバイス102がスポンサー付き接続性を使用してアクセスしたいと望むアプリケーションサービスを識別するアプリケーション識別子を提供することもできる。ASP112は、ユーザデバイスの公開鍵またはセキュアなチャネル(たとえばTLS)を使用するなどのセキュアな方式で、アプリケーション固有資格情報をユーザデバイス102に提供することができる。アプリケーション固有資格情報は、ユーザデバイス102のセキュアな実行環境に記憶されてよい。一態様によれば、アプリケーションアクセスのためのパスワードまたはアクセストークンがネットワークアクセスに使用される場合には、アプリケーション固有資格情報プロビジョニングはスキップされてもよい。
【0034】
図4を参照すると、アタッチプロシージャ(ステップD)が、ユーザデバイス102とアプリケーションサービスプロバイダ112との間で実施される。これは、ユーザデバイス102が登録要求(たとえばアタッチ要求)をワイヤレス通信ネットワーク104に送信することからなる。登録要求は、ユーザデバイス102を識別するデバイス識別子と、ユーザデバイス102がスポンサー付き接続性を望むアプリケーションサービス114を識別するアプリケーション識別子とを含むことができる。一例では、アプリケーション識別子は、完全修飾ドメイン名(FQDN)であってよい。次いで、ワイヤレス通信ネットワーク104(たとえばMME304)は、登録要求とサービングネットワーク識別子とを含む認証情報要求を、データパスを介してアプリケーションサービスプロバイダ112に転送することができる(図4中の「データパス」とラベル付けされた破線矢印を参照されたい)。データパスは、セキュアなデータチャネル(たとえば、TLSまたはハイパーテキストトランスファープロトコルセキュア(HTTPS))であってよい。したがって、認証情報要求メッセージは、MME304から、1つまたは複数のサービングゲートウェイ(S-GW)306、1つまたは複数のP-GW308、および1つまたは複数のパケットデータネットワーク110の中を進んで、アプリケーションサービスプロバイダ112に到達する。対照的に、従来技術では、一般的なセルラーネットワークアクセスをユーザデバイスに授与することに関係する認証要求は、データパスを介する代わりに、専用の直接制御パスと、MMEとのインターフェース(たとえばS6aインターフェース)とを介して、MME304からHSS/AAAエンティティ402/404に送られる。次いで、ASP112は、認証情報要求の中で受信したデバイス識別子とアプリケーション識別子とに関連付けられた共有鍵をルックアップし、認証情報をワイヤレス通信ネットワーク104に供給し返して、ユーザデバイス102との認証および鍵合意を容易にすることができる。
【0035】
図5および図6に、本開示の一態様による、公開鍵証明書をアプリケーション固有資格情報として使用してスポンサー付き接続性を確立するために例示的な通信システム500内で実行される様々なプロセス/ステップを示す。図5を参照すると、ASP112は、最初に、サービスプロビジョニング機能(SPF)502を介してアプリケーションサービス114をワイヤレス通信ネットワーク104に登録することができる(ステップA1またはA2、およびステップB)。いくつかの態様では、SPF502は、ワイヤレス通信ネットワーク104の一部であってよい(たとえば、ネットワーク104の任意のネットワークデバイスにあるソフトウェアであってよい)。アプリケーションサービス114をワイヤレス通信ネットワーク104に登録することは、アプリケーションサービス登録情報を提供/プロビジョニングすることを含むことができ、このアプリケーションサービス登録情報は、アプリケーションサービスに一意に関連付けられたアプリケーション識別子、料金請求に関係する情報、SPF502とASP112との間のインターフェースセットアップ情報(たとえば、セキュリティ関連情報、バーチャルプライベートネットワーク情報など)等を含むことがある。アプリケーションサービス登録情報は、次のものに限定されないが、RAN106、MME304、および/またはサービスクエリプロトコル(SQP)サーバ303を含めた、ネットワーク104のネットワークデバイスに提供されてよい。ASP112はまた、RAN106および/またはMME304など1つまたは複数のネットワークデバイスに、アプリケーションサービスプロバイダ公開鍵をプロビジョニングする(ステップB)。公開鍵は、単独で提供されてもよく、または、証明書(たとえば、自己署名されたアプリケーションサービスプロバイダ公開鍵証明書、もしくはサードパーティによって署名された証明書)の形で提供されてもよい。一態様では、ASP112は、それがホストする各アプリケーションサービス114について、異なるアプリケーションサービスプロバイダ公開鍵(またはアプリケーションサービスプロバイダ公開鍵証明書)をネットワークデバイス106、304に提供する。別の態様では、ASP112は、それがホストする各アプリケーションサービス114について、同じアプリケーションサービスプロバイダ公開鍵(またはアプリケーションサービスプロバイダ公開鍵証明書)をネットワークデバイス106、304に提供することができる。
【0036】
一態様では、ASP112は、SPF502と直接に通信し、アプリケーションサービスプロバイダ証明書(ASPの公開鍵証明書またはASPの公開鍵)を含むアプリケーションサービス登録情報をSPF502に直接に送信することができる(すなわちステップA1)。他の態様では、ASP112は、ワイヤレス通信ネットワーク104および/またはSPF502との直接インターフェースを有さないことがあり、したがって、ASP112は、PDN110および1つまたは複数のパケットデータネットワークゲートウェイ(P-GW)308を介したデータ線接続を使用して、アプリケーションサービス登録情報およびアプリケーションサービスプロバイダ証明書をSPF502に送信することができる(すなわちステップA2)。SQPサーバ303は、ユーザデバイス102からの照会を処理し、SPF502から受信されたアプリケーションサービス登録情報の少なくとも一部をユーザデバイス102に提供することができる。
【0037】
ステップCで、ASP112はデバイス登録を実施するが、とりわけ、ASP112は、ユーザデバイス102にアプリケーション固有資格情報をプロビジョニングすることができ、このアプリケーション固有資格情報は、この場合、アプリケーション固有証明書であってよい。アプリケーション固有証明書は、ユーザデバイス識別子とユーザデバイス公開鍵とアプリケーション固有ディジタル署名とを含むシンプル公開鍵インフラストラクチャ(SPKI:simple public key infrastructure)証明書([識別+公開鍵], [認可/署名])であってよい。アプリケーション固有ディジタル署名は、アプリケーションサービスプロバイダの秘密鍵(すなわちアプリケーションサービスプロバイダ秘密鍵)によって署名された、ユーザデバイス102の公開鍵であってよい。いくつかの態様では、アプリケーション固有ディジタル署名は、アプリケーション識別子も含むことができる(すなわち、ASP112は、アプリケーション識別子とユーザデバイス102の公開鍵との両方に署名する)。後者の場合、アプリケーション固有証明書は、アプリケーション識別子も含む。一態様によれば、アプリケーション固有ディジタル署名に署名するためにアプリケーションサービスプロバイダ112によって使用される秘密鍵は、アプリケーションサービスプロバイダ112が提供/ホストする各アプリケーションサービス114に一意に関連付けられたものであってよい。一態様では、ASP112は、アプリケーション固有証明書の全体をユーザデバイス102にプロビジョニングするのではなく、単にアプリケーション固有ディジタル署名をユーザデバイス102にプロビジョニングし、ユーザデバイスは、後で、そのユーザデバイス識別子、ユーザデバイス公開鍵、および場合によってはアプリケーション識別子を付加して、完全なアプリケーション固有証明書を形成することができる。
【0038】
アプリケーションサービスプロバイダ112は、ユーザデバイスの公開鍵またはセキュアなチャネル(たとえばTLS)を使用するなどのセキュアな方式で、アプリケーション固有証明書をユーザデバイス102に提供することができる。アプリケーション固有証明書は、ユーザデバイス102のセキュアな実行環境または信用される実行環境に記憶されてよい。一態様によれば、アプリケーションアクセスのためのパスワードまたはアクセストークンがネットワークアクセスに使用される場合には、アプリケーション固有資格情報プロビジョニングはスキップされてもよい。
【0039】
図6を参照すると、アタッチプロシージャ(ステップD)が、ユーザデバイス102とアプリケーションサービスプロバイダ112との間で実施される。これは、ユーザデバイス102が登録要求(たとえばアタッチ要求)をワイヤレス通信ネットワーク104に送信することからなる。登録要求は、アプリケーション固有証明書を含む。MME304は、証明書に含まれるアプリケーション固有ディジタル署名を検証して、ユーザデバイス102の識別を検証する。同様に、MME304は、ワイヤレス通信ネットワークディジタル署名を含むアプリケーションサービス告知をユーザデバイス102にブロードキャストすることができる。ユーザデバイス102は、アプリケーションサービスプロバイダ112によってユーザデバイス102にプロビジョニングされたワイヤレス通信ネットワーク104の公開鍵を使用して、ワイヤレス通信ネットワークディジタル署名を検証することができる。次いで、MME304とユーザデバイス102とは、アプリケーションサービスプロバイダ112から独立して(すなわち、ユーザデバイスの認証のためにアプリケーションサービスプロバイダ112に接触する必要なしに)、相互との認証および鍵合意を実施することができる。したがって、認証および鍵合意は、「ファーストマイル」において(すなわちMME304において)実施され、さらにコアネットワーク108中には進まない。
【0040】
いくつかの態様では、アプリケーション固有資格情報は、共有鍵とアプリケーション固有証明書との組合せを含むことができる。たとえば、アプリケーション固有証明書は、ユーザデバイス102の最初の識別検証に使用されてよく、共有鍵は、認証および鍵合意に使用されてよい。
【0041】
図7Aおよび図7Bに、本開示の一態様による、共有鍵を使用してスポンサー付き接続性を実行することに関するプロセスフローチャート700を示す。ユーザがユーザデバイス102をアプリケーションサービスプロバイダ112(たとえばアプリケーションサーバ)に登録するとき、共有鍵がアプリケーションサービスプロバイダ112によってユーザデバイス102にプロビジョニングされる(702)。いくつかの態様では、ユーザデバイス102にはまた、アプリケーションサービスプロバイダによって、デバイス識別子(たとえばユーザ識別子)、および/または、アプリケーションサービスに関連付けられたアプリケーション識別子(たとえば完全修飾ドメイン名)がプロビジョニングされてもよい。他の態様では、ユーザデバイス102は、ユーザ識別子をすでに保有している(たとえば製造時に)ことがあり、ユーザデバイス102は、デバイス登録中にこのデバイス識別子をASP112に提供し、したがって、ASP112は、デバイス識別子を共有鍵に関連付けることができる。デバイス識別子は、国際移動局機器識別子(IMEI:international mobile station equipment identifier)、電気電子技術者協会(IEEE)拡張一意識別子(EUI:Extended Unique Identifier)アドレス(たとえば、EUI-48またはEUI-64)(すなわち媒体アクセス制御(MAC)アドレス)、移動局国際加入者ディレクトリ番号(MSISDN:mobile station international subscriber directory number)、ネットワークアクセス識別子(NAI:network access identifier)などであってよい。共有鍵は、秘密に保たれ、帯域外通信チャネル(たとえばWi-Fi(登録商標))を介してユーザデバイス102とアプリケーションサービスプロバイダ112との間で事前共有されてよい。アプリケーションサービスプロバイダ112はまた、共有鍵を、ユーザデバイス102に関連付けられた(たとえば、ユーザデバイス102のデバイス識別子に関連付けられた)状態で記憶する(704)。アプリケーションサービスプロバイダ112はまた、アプリケーションサービスをモバイルネットワークオペレータの(MNOの)ワイヤレスネットワーク104に登録することもでき、したがって、次いでネットワーク104は、アプリケーションサービスへのスポンサー付き接続性の利用可能性に関するアプリケーションサービス告知をブロードキャスト/送信するのを開始することができる。
【0042】
サービス発見プロシージャが、ユーザデバイス102とワイヤレスネットワーク104のRAN106(たとえばeNB)との間で実施され(706)、これにより、ユーザデバイス102は、ユーザデバイス102が関心を有するであろうアプリケーションサービスをワイヤレスネットワーク104が提供するかどうかを検出することができる。サービス発見は、サービスクエリプロトコル(SQP)を介したサービスプロビジョニング機能によって可能にされてよく、SQPは、ジェネリックアドバタイズメントサービス(GAS:generic advertisement service)およびアクティブネットワーククエリプロトコル(ANQP:active network query protocol)と同様の機能性を有する。ユーザデバイス102が欲するアプリケーションサービスへのスポンサー付き接続性をワイヤレスネットワーク104が提供するとユーザデバイス102が決定すると、ユーザデバイス102は、そのデバイス識別子とアプリケーション識別子(たとえばFQDN)とを含む登録要求(たとえばアタッチ要求)メッセージをRAN106に送る(708)。RAN106は、登録要求メッセージをMME304に転送する(710)。次いで、MME304は、サービングネットワーク識別子(たとえば、サービングネットワークを識別する識別子)を登録要求メッセージに追加して(712)、認証情報要求を形成する。次いで、MME304は、セキュアであり得るデータパス(たとえば、データチャネル、データトラフィック通信線、データ接続など。図4の「データパス」参照)(たとえば、TLSまたはハイパーテキストトランスファープロトコルセキュア(HTTPS))を介して、認証情報要求メッセージをアプリケーションサービスプロバイダ112に送る(714)。したがって、認証情報要求メッセージは、1つまたは複数のS-GW306、1つまたは複数のP-GW308、および1つまたは複数のパケットデータネットワーク110の中を通った後、アプリケーションサービスプロバイダ112に到達する。対照的に、従来技術では、セルラーネットワークアクセスをユーザデバイスに授与することに関係する認証要求は、データ接続を介する代わりに、MMEとの専用の直接制御チャネルインターフェース(たとえばS6aインターフェース)を介して、MME304からHSS/AAAエンティティに送られる。
【0043】
アプリケーションサービスプロバイダ112は、ユーザデバイス102に関連付けられた共有鍵から認証ベクトル(AV)を導出し(716)、AVをMME304に送る(718)。AVの導出は3GPP 33.401に記載されており、AV = [K_ASME, AUTN, RAND, XRES]であり、K_ASMEは鍵(たとえばアクセスセキュリティ管理エンティティ(ASME))であり、AUTNは認証トークンであり、RANDは乱数であり、XRESは予想される応答である。MME304は、値K_ASMEおよびXRESをローカルメモリに記憶し(720)、RANDおよびAUTNをユーザデバイス102に転送する(722)。ユーザデバイス102は、その記憶済みの共有鍵を使用して、受信された値AUTNを妥当性検査する。値AUTNが有効である場合は、ユーザデバイス102は、サービングネットワーク104に対する認証応答(RES)を導出し(724)、また、K_ASMEも導出する。ユーザデバイス102は、値RESをMME304に送る(726)。MME304は、XRES==RESかどうかを検証する(728)。検証が成功した場合は、非アクセス層(NAS)およびアクセス層(AS)鍵セットアップが、ユーザデバイス102とMME304との間で実行される(730)。
【0044】
図8Aおよび図8Bに、本開示の一態様による、公開鍵証明書を使用してスポンサー付き接続性を実行することに関するプロセスフローチャート800を示す。ユーザデバイス102がアプリケーションサービスプロバイダ112に登録するとき、アプリケーションサービスプロバイダ112は、アプリケーション固有証明書をユーザデバイス102にプロビジョニングする(802)。ASP112はまた、デバイス識別子、ならびに/または、信用されるワイヤレス通信ネットワーク(たとえばMNO)の複数の公開鍵証明書を含む信用されるMNOおよび証明書リスト、をユーザデバイス102にプロビジョニングすることもできる。一態様では、ユーザデバイス102は、デバイス登録中にASP112に提供するそれ自体のデバイス識別子を有し、したがって、ASPは、提供されたアプリケーション固有証明書に関連付けられた状態でデバイス識別子を記憶する。デバイス識別子は、IMEI、IEEE EUI-48/EUI-64アドレス(すなわちMACアドレス)、MSISDN、またはNAIであってよい。別法として、デバイス識別子は、その公開鍵のハッシュであってもよい。
【0045】
アプリケーションサービスプロバイダ112はまた、アプリケーションサービス登録情報を、ワイヤレス通信ネットワーク104のコンポーネント/デバイスに送信する(たとえばSPF502を介して。図5参照)。アプリケーションサービス登録情報は、アプリケーションサービスに一意に関連付けられたアプリケーション識別子、料金請求に関係する情報、SPFとASP112との間のインターフェースセットアップ情報(たとえば、セキュリティ関連情報、バーチャルプライベートネットワーク情報など)等を含むことがある。ASP112はまた、RAN106および/またはMME304など1つまたは複数のネットワークデバイスに、アプリケーションサービスプロバイダ証明書(たとえば、ASPの公開鍵証明書)をプロビジョニングする(804)。ASP証明書は、自己署名された(すなわちASPによって署名された)ものであるか、または、信用されるサードパーティエンティティによって署名されたものであってよい。いくつかの態様では、ASPは、1つまたは複数のネットワークデバイスに、単に公開鍵(すなわち公開鍵証明書ではない)をプロビジョニングするだけであってもよい。
【0046】
RAN106によるアプリケーションサービス告知806の一部として、GAS/ANQPと同様のプロトコルが、サービス発見に使用されてよい。アプリケーションサービス告知は、ワイヤレス通信ネットワークディジタル署名を含むことができる。サービス告知がそのようなディジタル署名を含む場合、ユーザデバイス102は、信用されるMNOの証明書リスト中でアプリケーションサービスプロバイダ112によってユーザデバイス102にプロビジョニングされたワイヤレス通信ネットワーク公開鍵を使用して、ディジタル署名を検証することができる(808)。次いで、ユーザデバイス102は、アプリケーション固有証明書を含む登録要求をMME304に送ることができる(810)。登録要求はまた、デバイス識別子および第1の乱数(たとえばNonceU)を含むこともできる。次いで、MME304は、前にプロビジョニングされたアプリケーションサービスプロバイダ証明書を使用して(すなわちASP証明書の公開鍵を使用して)、アプリケーション固有証明書に含まれるアプリケーション固有ディジタル署名を検証することができる(811)。これは、ユーザデバイス102の識別を検証/認証する(811)。
【0047】
検証811が成功すると、次いでMME304は、鍵(K_ASME)をランダムに生成し(812)、ユーザデバイス102の公開鍵PK_UDを使用してK_ASMEを暗号化する(814)(すなわちEncPK_UD(K_ASME)。ここで、Enc()は暗号化関数である)。次いで、MME304は、第2の乱数(たとえばNonceM)をランダムに生成し、XRES = HMAC(K_ASME, NonceU | NonceM)を計算する(816)(ここで、HMAC()は、鍵付きハッシュメッセージ認証コードである)。次いで、MME304は、EncPK_UD(K_ASME)、NonceM、PK_MMEに対して署名を実行する(818)(ここで、PK_MMEは、MME304の公開鍵である)。MME304は、EncPK_UE(K_ASME)、NonceM、PK_MME、および署名をユーザデバイス102に送る(820)。ユーザデバイス102は、署名を検証し、その秘密鍵を使用してK_ASMEを復号し、RES = HMAC(K_ASME, NonceU | NonceM)を計算する(822)。ユーザデバイス102は、値RESをMME304に送る(824)。MME304は、値RESを値XRESと比較し(826)、これらが一致する(すなわちMME304がユーザデバイスをうまく認証した)場合は、NASおよびアプリケーションサービス(AS)鍵セットアップが、ユーザデバイス102とMME304との間で実行される(828)。
【0048】
一態様によれば、アプリケーションサービスプロバイダ112は、証明書取消しリストをワイヤレス通信ネットワーク104に提供することができ、次いでワイヤレス通信ネットワーク104は、取消しリストを証明書サービス機能(CSF)801において記憶することができる。取消しリストは、取り消されたか、またはそうでない場合には無効な、アプリケーション固有証明書を識別する。MME304は、CSF801を用いてチェックして、アプリケーション固有アクセスを得ようとするユーザデバイスが取消しリスト上のアプリケーション固有証明書を提供したか否かを決定することができる。そうである場合は、MME304は、ユーザデバイス102の認証を拒否する(すなわちアプリケーション固有アクセスを拒否する)ことができる。一態様によれば、CSF801は、アプリケーション固有証明書がその失効前に取り消されるかどうかにかかわらず、アプリケーション固有証明書をその存続期間にわたって(すなわちその失効日まで)記憶する。たとえば、アプリケーション固有証明書が1年の存続期間を有する(すなわち1年で失効する)ことがあるが、ほんの1か月後に取り消されることがある。それでも、CSF801は、その存続期間中に残っている11か月にわたって証明書を記憶することができる。別の態様では、CSF801は、オンライン証明書ステータスプロトコル(OCSP:online certificate status protocol)レスポンダを実行して、証明書取消しステータスをMME304に提供することができる。
【0049】
図9に、本開示の一態様による、公開鍵を使用してスポンサー付き接続性を実行することに関するプロセスフローチャート900を示す。ユーザデバイス102がアプリケーションサービスプロバイダ112に登録するとき、アプリケーションサービスプロバイダ112は、デバイス識別子と、信用されるワイヤレス通信ネットワーク(たとえばMNO)の複数の公開鍵証明書を含む信用されるMNOおよび証明書リストとを、ユーザデバイス102にプロビジョニングすることができる(902)。デバイス識別子は、IMEI、IEEE EUI-48/EUI-64アドレス(すなわちMACアドレス)、MSISDN、もしくはNAI、またはその公開鍵のハッシュであってよい。ユーザデバイス102はまた、その公開鍵をASP112に提供し、ASP112はこの公開鍵を記憶することができる。
【0050】
アプリケーションサービスプロバイダ112はまた、アプリケーションサービス登録情報を、ワイヤレス通信ネットワーク104のコンポーネント/デバイスに送信する。アプリケーションサービス登録情報は、アプリケーションサービスに一意に関連付けられたアプリケーション識別子、料金請求に関係する情報、SPFとASP112との間のインターフェースセットアップ情報(たとえば、セキュリティ関連情報、バーチャルプライベートネットワーク情報など)等を含むことがある。ASP112はまた、アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスに対して承認されたユーザデバイス公開鍵のリストを、RAN106および/またはMME304など1つまたは複数のネットワークデバイスにプロビジョニングする(904)。
【0051】
RAN106によるアプリケーションサービス告知906の一部として、GAS/ANQPと同様のプロトコルが、サービス発見に使用されてよい。アプリケーションサービス告知は、ワイヤレス通信ネットワークディジタル署名を含むことができる。サービス告知がそのようなディジタル署名を含む場合、ユーザデバイス102は、信用されるMNOの証明書リスト中でアプリケーションサービスプロバイダ112によってユーザデバイス102にプロビジョニングされたワイヤレス通信ネットワーク公開鍵を使用して、署名を検証することができる(908)。次いで、ユーザデバイス102は、ユーザデバイス公開鍵を含む登録要求をMME304に送ることができる(910)。登録要求はまた、デバイス識別子および第1の乱数(たとえばNonceU)を含むこともできる。次いで、MME304は、ユーザデバイスによって提供された公開鍵が、前にアプリケーションサービスプロバイダ112によって提供された承認済み公開鍵のリスト上の公開鍵と一致するかどうかをチェックして確認することによって、ユーザデバイスの識別をチェックして検証することができる(912)。一致する場合は、ユーザデバイス102の識別は立証される。一致しない場合は、認証は失敗し、ユーザデバイス102はアプリケーション固有アクセスを得られないものとすることができる。検証912の後、プロセス900は、図8Aおよび図8Bに示されるのと同じ認可および鍵合意プロセス(ステップ812〜828)を辿ることができる。
【0052】
一態様によれば、ユーザデバイスはSIMもUSIMも有さないことがあるので、アプリケーション固有資格情報は、加入者識別モジュール(SIM)資格情報にもユニバーサル加入者識別モジュール(USIM)資格情報にも基づかないことがある。アプリケーション固有資格情報は、ワイヤレスネットワーク104を介した、アプリケーションサービスプロバイダ112の特定のアプリケーションサービス114への、または1組のアプリケーションサービスへのアクセスを許可するだけとすることができる。アプリケーション固有資格情報が共有鍵を含むときに、どのようにアプリケーション固有資格情報をセキュアな方式でプロビジョニングできるかに関する、いくつかの非限定的かつ非網羅的な例は、動的対称鍵プロビジョニングプロトコル(DSKPP:dynamic symmetric key provisioning protocol(RFC6063))および/または暗号トークン鍵初期化プロトコル(CT-KIP:cryptographic token key initialization protocol(RFC4758))を含む。アプリケーション固有資格情報が公開鍵証明書を含むときは、暗号メッセージ構文(CMS:cryptographic message syntax(RFC5272、6402))プロトコルを介した証明書管理を使用して、アプリケーション固有資格情報をセキュアにプロビジョニングすることができる。
【0053】
図10に、本開示の一態様による、ユーザデバイス102の概略ブロック図を示す。ユーザデバイス102は、次のものに限定されないが、モバイルフォン、スマートフォン、ラップトップ、パーソナルディジタルアシスタント(PDA)、タブレット、コンピュータ、スマートウォッチ、および頭部装着型ウェアラブルコンピュータ(たとえばGoogle Glass(登録商標))など、任意のワイヤレス通信デバイスであってよい。ユーザデバイス102は、1つまたは複数のワイヤレス通信インターフェース1002、1つまたは複数のメモリ回路1004、1つまたは複数の入力および/もしくは出力(I/O)デバイス/回路1006、ならびに/あるいは、1つまたは複数の処理回路1008を少なくとも備えることができ、これらは相互に通信可能に結合されてよい。たとえば、インターフェース1002、メモリ回路1004、I/Oデバイス1006、および処理回路1008は、バス1010を介して相互に通信可能に結合されてよい。ワイヤレス通信インターフェース1002は、ユーザデバイス102がワイヤレス通信ネットワーク104とワイヤレス通信するのを可能にする。したがって、インターフェース1002は、ユーザデバイス102が、モバイル遠隔通信セルラーネットワークなどのワイヤレスワイドエリアネットワーク(WWAN)、ならびに短距離ワイヤレスローカルエリアネットワーク(たとえば、WiFi(登録商標)、Zigbee(登録商標)、Bluetooth(登録商標)など)とワイヤレス通信するのを可能にする。ワイヤレス通信インターフェース1002は、認証および鍵合意がうまく実施された後でユーザデバイスがアプリケーションサービスと通信するための手段の一例を表す。
【0054】
メモリ回路1004は、1つまたは複数の揮発性メモリ回路および/または不揮発性メモリ回路を含むことができる。したがって、メモリ回路1004は、ダイナミックランダムアクセスメモリ(DRAM)、スタティックランダムアクセスメモリ(SRAM)、磁気抵抗ランダムアクセスメモリ(MRAM)、電気的に消去可能プログラム可能な読取り専用メモリ(EEPROM)、フラッシュメモリなどを含むことができる。メモリ回路1004は、共有鍵および公開鍵証明書(たとえば、アプリケーション固有証明書、ワイヤレス通信ネットワーク公開鍵証明書、信用されるMNO証明書など)等、1つまたは複数の暗号鍵を記憶することができる。メモリ回路1004はまた、処理回路1008によって実行され得る命令を記憶することもできる。I/Oデバイス/回路1006は、1つまたは複数のキーボード、マウス、ディスプレイ、タッチスクリーンディスプレイ、プリンタ、指紋スキャナ、ならびに他の任意の入力および/または出力デバイスを含むことができる。
【0055】
処理回路1008(たとえば、プロセッサ、中央処理装置(CPU)、アプリケーション処理ユニット(APU)など)は、メモリ回路1006に記憶された命令、および/または、ユーザデバイス102に通信可能に結合された別のコンピュータ可読記憶媒体(たとえば、ハードディスクドライブ、光学ディスクドライブ、固体ドライブなど)に記憶された命令を実行することができる。処理回路1008は、図2、図3、図4、図5、図6、図7A、図7B、図8A、図8B、図9、図13、および図14に関して論じられるものを含めて、本明細書に記載のユーザデバイス102のステップおよび/またはプロセスのうちの任意の1つを実施することができる。一態様によれば、処理回路1008は、汎用プロセッサであってよい。別の態様によれば、処理回路は、図2、図3、図4、図5、図6、図7A、図7B、図8A、図8B、図9、図13、および図14に関して論じられるものを含めて、本明細書に記載のユーザデバイス102のステップおよび/またはプロセスを実施するように、ハードワイヤードされてよい(たとえば特定用途向け集積回路(ASIC)であってよい)。
【0056】
図11に、一態様による、ユーザデバイス処理回路1008の概略ブロック図を示す。処理回路1008は、共有鍵受信回路1102、スポンサー付き接続性決定回路1104、登録要求送信回路1106、認証情報受信回路1108、ならびに/または、認可および鍵合意(AKA)実施回路1110を備えることができる。一態様によれば、これらの回路1102、1104、1106、1108、1110は、ASICであってよく、それぞれのプロセスを実施するようにハードワイヤードされる。共有鍵受信回路1102は、共有鍵をアプリケーションサービスプロバイダから受信して記憶するための手段の一例とすることができる。スポンサー付き接続性決定回路1104は、アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスをワイヤレス通信ネットワークが提供すると決定するための手段の一例とすることができる。登録要求送信回路1106は、デバイス識別子と、アプリケーションサービスに関連付けられたアプリケーション識別子とを含む登録要求を、ワイヤレス通信ネットワークに送信するための手段の一例とすることができる。認証情報受信回路1108は、アプリケーションサービスプロバイダにおいて導出された、共有鍵に部分的に基づく認証情報を、ワイヤレス通信ネットワークから受信するための手段の一例とすることができる。AKA実施回路1110は、認証情報および記憶済みの共有鍵に基づいて、ワイヤレス通信ネットワークとの認証および鍵合意を実施するための手段の一例とすることができる。
【0057】
図12に、別の態様による、ユーザデバイス処理回路1008の概略ブロック図を示す。処理回路1008は、証明書受信回路1202、スポンサー付き接続性決定回路1204、登録要求送信回路1206、ならびに/または、認可および鍵合意(AKA)実施回路1208を備えることができる。一態様によれば、これらの回路1202、1204、1206、1208は、ASICであってよく、それぞれのプロセスを実施するようにハードワイヤードされる。証明書受信回路1202は、アプリケーションサービスプロバイダによって提供される少なくとも1つのアプリケーションサービスに関連付けられたアプリケーション固有証明書を、アプリケーションサービスプロバイダから受信するための手段の一例とすることができる。スポンサー付き接続性決定回路1204は、アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスをワイヤレス通信ネットワークが提供すると決定するための手段の一例とすることができる。登録要求送信回路1206は、ユーザデバイスの認証のために、アプリケーション固有証明書を含む登録要求をワイヤレス通信ネットワークに送信するための手段の一例とすることができ、アプリケーション固有証明書は、ユーザデバイス公開鍵を含む。AKA実施回路1208は、ワイヤレス通信ネットワークとの認証および鍵合意を実施するための手段の一例とすることができる。
【0058】
図13に、本開示の一態様による、アプリケーション固有アクセスを得るための、ユーザデバイス102において動作する方法のフローチャート1300を示す。最初に、ユーザデバイス102は、共有鍵をアプリケーションサービスプロバイダから受信して記憶する(1302)。次いで、ユーザデバイス102は、アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスをワイヤレス通信ネットワークが提供すると決定する(1304)。次に、デバイス識別子と、アプリケーションサービスに関連付けられたアプリケーション識別子とを含む登録要求が、ワイヤレス通信ネットワークに送信される。登録要求は、パケットデータネットワークを介したデータ接続を使用してアプリケーションサービスプロバイダに送信されるように適合されている(1306)。次いで、ユーザデバイス102は、アプリケーションサービスプロバイダにおいて導出された、共有鍵に部分的に基づく認証情報を、ワイヤレス通信ネットワークから受信する(1308)。次に、認証情報および記憶済みの共有鍵に基づいて、ワイヤレス通信ネットワークとの認証および鍵合意が実施される(1310)。次いで、ユーザデバイスは、認証および鍵合意がうまく実施された後、アプリケーションサービスと通信することができる(1312)。
【0059】
図14に、本開示の一態様による、アプリケーション固有アクセスを得るための、ユーザデバイス102において動作する方法のフローチャート1400を示す。最初に、ユーザデバイス102は、アプリケーションサービスプロバイダによって提供されるアプリケーションサービスに関連付けられたアプリケーション固有証明書を、アプリケーションサービスプロバイダから受信する(1402)。次いで、ユーザデバイス102は、アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスをワイヤレス通信ネットワークが提供すると決定する(1404)。次に、ユーザデバイスの認証のために、アプリケーション固有証明書を含む登録要求がワイヤレス通信ネットワークに送信される。アプリケーション固有証明書は、ユーザデバイス公開鍵を含む(1406)。次いで、ユーザデバイス102は、ワイヤレス通信ネットワークとの認証および鍵合意を実施する(1408)。次に、ユーザデバイスは、認証および鍵合意がうまく実施された後、アプリケーションサービスと通信することができる(1410)。
【0060】
図15に、本開示の一態様による、ワイヤレス通信ネットワークデバイス1500の概略ブロック図を示す。ネットワークデバイス1500は、次のものに限定されないがRAN106および/またはMME304を含めた、ワイヤレス通信ネットワーク104(図1、図3、および図5参照)のコンポーネント/デバイスのうちの任意の1つであってよい。ネットワークデバイス1500は、1つまたは複数のワイヤレス通信インターフェース1502、1つまたは複数のメモリ回路1504、1つまたは複数の入力および/もしくは出力(I/O)デバイス/回路1506、ならびに/あるいは、1つまたは複数の処理回路1508を少なくとも備えることができ、これらは相互に通信可能に結合されてよい。たとえば、インターフェース1502、メモリ回路1504、I/Oデバイス1506、および処理回路1508は、バス1510を介して相互に通信可能に結合されてよい。ワイヤレス通信インターフェース1502は、ネットワークデバイス1500がユーザデバイス102とワイヤレス通信するのを可能にする。したがって、インターフェース1502は、ネットワークデバイス1500が、モバイル遠隔通信セルラーネットワークなどのワイヤレスワイドエリアネットワーク(WWAN)、および/または短距離ワイヤレスローカルエリアネットワーク(たとえば、WiFi(登録商標)、Zigbee(登録商標)、Bluetooth(登録商標)など)を介してワイヤレス通信するのを可能にする。
【0061】
メモリ回路1504は、1つまたは複数の揮発性メモリ回路および/または不揮発性メモリ回路を含むことができる。したがって、メモリ回路1504は、DRAM、SRAM、MRAM、EEPROM、フラッシュメモリなどを含むことができる。メモリ回路1504は、公開鍵証明書(たとえばアプリケーションサービスプロバイダ証明書)など、1つまたは複数の暗号鍵を記憶することができる。メモリ回路1504はまた、処理回路1508によって実行され得る命令を記憶することもできる。I/Oデバイス/回路1506は、1つまたは複数のキーボード、マウス、ディスプレイ、タッチスクリーンディスプレイ、プリンタ、指紋スキャナ、ならびに他の任意の入力および/または出力デバイスを含むことができる。
【0062】
処理回路1508(たとえば、プロセッサ、中央処理装置(CPU)、アプリケーション処理ユニット(APU)など)は、メモリ回路1504に記憶された命令、および/または、ネットワークデバイス1500に通信可能に結合された別のコンピュータ可読記憶媒体(たとえば、ハードディスクドライブ、光学ディスクドライブ、固体ドライブなど)に記憶された命令を実行することができる。処理回路1508は、図2、図3、図4、図5、図6、図7A、図7B、図8A、図8B、図9、図18、および図19に関して論じられるものを含めて、本明細書に記載のネットワークデバイス106、304、306、308のステップおよび/またはプロセスのうちの任意の1つを実施することができる。一態様によれば、処理回路1508は、汎用プロセッサであってよい。別の態様によれば、処理回路1508は、図2、図3、図4、図5、図6、図7A、図7B、図8A、図8B、図9、図18、および図19に関して論じられるものを含めて、本明細書に記載のネットワークデバイス106、304、306、308のステップおよび/またはプロセスを実施するように、ハードワイヤードされてよい(たとえば特定用途向け集積回路(ASIC)であってよい)。
【0063】
図16に、一態様による、ネットワークデバイス処理回路1508の概略ブロック図を示す。処理回路1508は、登録要求受信回路1602、認証情報送信回路1604、認証情報受信回路1606、および/または、認可および鍵合意(AKA)実施回路1608を備えることができる。一態様によれば、これらの回路1602、1604、1606、1608は、ASICであってよく、それぞれのプロセスを実施するようにハードワイヤードされる。登録要求受信回路1602は、アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスを求める登録要求を、ユーザデバイスから受信するための手段の一例とすることができる。認証情報送信回路1604は、登録要求と、ワイヤレス通信ネットワークを識別するサービングネットワーク識別子とを含む認証情報要求を、パケットデータネットワークを介したデータ接続を使用してアプリケーションサービスプロバイダに送信するための手段の一例とすることができる。認証情報受信回路1606は、認証情報要求を送信するのに応答して認証情報をアプリケーションサービスプロバイダから受信するための手段の一例とすることができる。AKA実施回路1608は、認証情報に基づいてユーザデバイスとの認証および鍵合意を実施するための手段の一例とすることができる。
【0064】
図17に、別の態様による、ネットワークデバイス処理回路1508の概略ブロック図を示す。処理回路1508は、アプリケーションサービスプロバイダ証明書受信回路1702、登録要求受信回路1704、証明書検証回路1706、および/または、認可および鍵合意(AKA)実施回路1708を備えることができる。一態様によれば、これらの回路1702、1704、1706、1708は、ASICであってよく、それぞれのプロセスを実施するようにハードワイヤードされる。アプリケーションサービスプロバイダ証明書受信回路1702は、アプリケーションサービスプロバイダ公開鍵を含むアプリケーションサービスプロバイダ証明書をアプリケーションサービスプロバイダから受信するための手段の一例とすることができる。登録要求受信回路1704は、アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスを求める登録要求を、ユーザデバイスから受信するための手段の一例とすることができる。証明書検証回路1706は、ユーザデバイスを認証するためにアプリケーションサービスプロバイダ公開鍵を使用してアプリケーション固有証明書を検証するための手段の一例とすることができる。AKA実施回路1708は、認証情報に基づいてユーザデバイスとの認証および鍵合意を実施するための手段の一例とすることができる。
【0065】
図18に、本開示の一態様による、アプリケーション固有アクセスを提供するための、ネットワークデバイス1500において動作する方法のフローチャート1800を示す。最初に、ネットワークデバイス1500は、アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスを求める登録要求を、ユーザデバイス102から受信する。登録要求は、ユーザデバイスを識別するデバイス識別子と、アプリケーションサービスを識別するアプリケーション識別子とを含む(1802)。次に、登録要求と、ワイヤレス通信ネットワークを識別するサービングネットワーク識別子とを含む認証情報要求が、パケットデータネットワークを介したデータ接続を使用してアプリケーションサービスプロバイダに送信される(1804)。次いで、認証情報要求を送信するのに応答して、認証情報がアプリケーションサービスプロバイダから受信される。認証情報は、ユーザデバイスに関連付けられた共有鍵に部分的に基づく(1806)。次に、ネットワークデバイス1500は、認証情報に基づいて、ユーザデバイス102との認証および鍵合意を実施する(1808)。
【0066】
図19に、本開示の一態様による、アプリケーション固有アクセスを提供するための、ネットワークデバイスにおいて動作する方法のフローチャート1900を示す。最初に、ネットワークデバイス1500は、アプリケーションサービスプロバイダ公開鍵を含むアプリケーションサービスプロバイダ証明書を、アプリケーションサービスプロバイダから受信する(1902)。次いで、ネットワークデバイス1500は、アプリケーションサービスプロバイダによって提供されるアプリケーションサービスへのアプリケーション固有アクセスを求める登録要求を、ユーザデバイス102から受信する。登録要求は、アプリケーションサービスプロバイダによって署名されたアプリケーション固有証明書を含み、アプリケーション固有証明書は、アプリケーションサービスに関連付けられた公開鍵を含む(1904)。次に、ネットワークデバイスは、アプリケーションサービスプロバイダ公開鍵を使用してアプリケーション固有証明書を検証して、ユーザデバイスを認証する(1906)。次いで、ネットワークデバイスは、ユーザデバイスとの認証および鍵合意を実施する(1908)。
【0067】
図1、図2、図3、図4、図5、図6、図7A、図7B、図8A、図8B、図9、図10、図11、図12、図13、図14、図15、図16、図17、図18、および/または図19に示すコンポーネント、ステップ、特徴、および/または機能のうちの1つまたは複数は、単一のコンポーネント、ステップ、特徴、もしくは機能に再構成および/もしくは結合されてもよく、またはいくつかのコンポーネント、ステップ、もしくは機能において具体化されてもよい。本発明を逸脱することなく、追加の要素、コンポーネント、ステップ、および/または機能が追加されてもよい。図1、図3、図4、図5、図6、図10、図11、図12、図15、図16、および/または図17に示す装置、デバイス、および/またはコンポーネントは、図2、図3、図4、図5、図6、図7A、図7B、図8A、図8B、図9、図13、図14、図18、および/または図19に記載の方法、特徴、またはステップのうちの1つまたは複数を実施するように構成されてもよい。本明細書に記載のアルゴリズムはまた、効率的に、ソフトウェアにおいて実装されてもよく、かつ/またはハードウェアに組み込まれてもよい。
【0068】
さらに、本開示の一態様では、図10、図11、および/または図12に示す処理回路1008は、図2、図3、図4、図5、図6、図7A、図7B、図8A、図8B、図9、図13、および/または図14に記載のアルゴリズム、方法、および/またはステップを実施するように特に設計および/またはハードワイヤードされた特殊化プロセッサ(たとえば特定用途向け集積回路(ASIC))であってよい。したがって、そのような特殊化プロセッサ(たとえばASIC)は、図13および図14に記載のアルゴリズム、方法、および/またはステップを実行するための手段の一例とすることができる。コンピュータ可読記憶媒体1004はまた、プロセッサ1008によって読取り可能な命令を記憶することができ、これらの命令は、特殊化プロセッサ(たとえばASIC)によって実行されたとき、図2、図3、図4、図5、図6、図7A、図7B、図8A、図8B、図9、図13、および/または図14に記載のアルゴリズム、方法、および/またはステップを特殊化プロセッサに実施させる。
【0069】
さらに、本開示の一態様では、図15、図16、および/または図17に示す処理回路1508は、図2、図3、図4、図5、図6、図7A、図7B、図8A、図8B、図9、図18、および/または図19に記載のアルゴリズム、方法、および/またはステップを実施するように特に設計および/またはハードワイヤードされた特殊化プロセッサ(たとえば特定用途向け集積回路(ASIC))であってよい。したがって、そのような特殊化プロセッサ(たとえばASIC)は、図18および図19に記載のアルゴリズム、方法、および/またはステップを実行するための手段の一例とすることができる。コンピュータ可読記憶媒体1504はまた、プロセッサ1508によって読取り可能な命令を記憶することができ、これらの命令は、特殊化プロセッサ(たとえばASIC)によって実行されたとき、図2、図3、図4、図5、図6、図7A、図7B、図8A、図8B、図9、図18、および/または図19に記載のアルゴリズム、方法、および/またはステップを特殊化プロセッサに実施させる。
【0070】
また、本開示の態様は、フローチャート、流れ図、構造図、またはブロック図として描かれるプロセスとして記述され得ることに留意されたい。フローチャートが動作を逐次的なプロセスとして記述する場合があるが、動作の多くは、並行してまたは同時に実施される可能性もある。加えて、動作の順序は、再構成されてもよい。プロセスは、その動作が完了されたときに終了される。プロセスは、方法、関数、プロシージャ、サブルーチン、サブプログラムなどに対応することがある。プロセスが関数に対応するとき、その終了は、関数が呼出し元関数またはメイン関数に戻ることに対応する。
【0071】
さらに、記憶媒体は、データを記憶するための1つまたは複数のデバイスを表すことができ、これらのデバイスは、読取り専用メモリ(ROM)、ランダムアクセスメモリ(RAM)、磁気ディスク記憶媒体、光学記憶媒体、フラッシュメモリデバイス、および/または他の機械可読媒体、ならびに、情報を記憶するためのプロセッサ可読媒体および/またはコンピュータ可読媒体を含む。「機械可読媒体」、「コンピュータ可読媒体」、および/または「プロセッサ可読媒体」という用語は、次のものに限定されないが、命令および/またはデータを記憶または収容できる可搬または固定の記憶デバイス、光学記憶デバイス、および他の様々な媒体など、非一時的な媒体を含むことができる。したがって、本明細書に記載の様々な方法は、「機械可読媒体」、「コンピュータ可読媒体」、および/または「プロセッサ可読媒体」に記憶されて1つまたは複数のプロセッサ、機械、および/またはデバイスによって実行され得る、命令および/またはデータによって、完全にまたは部分的に実装されることが可能である。
【0072】
さらに、本開示の態様は、ハードウェア、ソフトウェア、ファームウェア、ミドルウェア、マイクロコード、またはこれらの任意の組合せによって実装されることが可能である。ソフトウェア、ファームウェア、ミドルウェア、またはマイクロコードにおいて実装されるときは、必要なタスクを実施するためのプログラムコードまたはコードセグメントは、記憶媒体や他の記憶装置など、機械可読媒体に記憶されてよい。プロセッサが、必要なタスクを実施することができる。コードセグメントは、プロシージャ、関数、サブプログラム、プログラム、ルーチン、サブルーチン、モジュール、ソフトウェアパッケージ、クラス、または、命令もしくはデータ構造もしくはプログラムステートメントの任意の組合せ、を表すことができる。コードセグメントは、情報、データ、引数、パラメータ、またはメモリ内容を渡すことおよび/または受け取ることによって、別のコードセグメントまたはハードウェア回路に結合され得る。情報、引数、パラメータ、データなどは、メモリ共有、メッセージパッシング、トークンパッシング、ネットワーク送信などを含めた、任意の適切な手段を介して、渡されるかまたは転送されるかまたは送信され得る。
【0073】
本明細書で開示される例との関連で記述される様々な例証的な論理ブロック、モジュール、回路、要素、および/またはコンポーネントは、本明細書に記載の機能を実施するように設計された汎用プロセッサ、ディジタル信号プロセッサ(DSP)、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)もしくは他のプログラム可能ロジックコンポーネント、ディスクリートゲートもしくはトランジスタロジック、ディスクリートハードウェアコンポーネント、またはこれらの任意の組合せを用いて、実装または実施されることが可能である。汎用プロセッサはマイクロプロセッサであってよいが、代替では、プロセッサは、任意の従来型プロセッサ、コントローラ、マイクロコントローラ、またはステートマシンであってよい。プロセッサはまた、コンピューティングコンポーネントの組合せとして、たとえば、DSPとマイクロプロセッサとの組合せ、いくつかのマイクロプロセッサ、DSPコアと併用される1つもしくは複数のマイクロプロセッサ、または他の任意のそのような構成として実装されてもよい。
【0074】
本明細書に記載の例との関連で記述される方法またはアルゴリズムは、ハードウェアにおいて直接に、またはプロセッサによって実行可能なソフトウェアモジュールにおいて、または両方の組合せにおいて、処理ユニット、プログラミング命令、または他の指示の形で具体化されてよく、単一のデバイスに含められるかまたは複数のデバイスにわたって分散されてよい。ソフトウェアモジュールは、RAMメモリ、フラッシュメモリ、ROMメモリ、EPROMメモリ、EEPROMメモリ、レジスタ、ハードディスク、リムーバブルディスク、CD-ROM、または当技術分野で知られている他の任意の形の記憶媒体の中にあってよい。記憶媒体はプロセッサに結合されてよく、それにより、プロセッサは、記憶媒体から情報を読み取ることおよび記憶媒体に情報を書き込むことができる。代替では、記憶媒体はプロセッサに統合されてよい。
【0075】
本明細書で開示される態様との関連で記述される様々な例証的な論理ブロック、モジュール、回路、およびアルゴリズムステップは、電子ハードウェア、コンピュータソフトウェア、または両方の組合せとして実装されてよいことを、当業者ならさらに認識するであろう。このハードウェアとソフトウェアとの交換可能性を明確に例証するために、上記では、様々な例証的なコンポーネント、ブロック、モジュール、回路、およびステップを、それらの機能性の点から一般に述べた。そのような機能性がハードウェアとして実装されるかソフトウェアとして実装されるかは、特定の適用例と、システム全体に課される設計制約とに依存する。
【0076】
本明細書に記載の本発明の様々な特徴は、本発明を逸脱することなく種々のシステム中で実装されることが可能である。本開示の前述の態様は、単なる例であり、本発明を限定するものと解釈されるべきではないことに留意されたい。本開示の態様に関する記述は、例証的なものとし、特許請求の範囲を限定するものとはしない。したがって、本教示は、他のタイプの装置にも容易に適用することができ、多くの代替、修正、および変形が当業者には明らかであろう。
【符号の説明】
【0077】
100 通信システム102 ユーザデバイス
103 ワイヤレス通信
104 ワイヤレス通信ネットワーク
106 無線アクセスネットワーク(RAN)
108 コアネットワーク
110 パケットデータネットワーク(PDN)
112 アプリケーションサービスプロバイダ(APS)
114 アプリケーションサービス
300 通信システム
302 サービスプロビジョニング機能(SPF)
303 サービスクエリプロトコル(SQP)サーバ
304 MME
306 サービングゲートウェイ(S-GW)
308 パケットデータネットワークゲートウェイ(P-GW)
402 HSSエンティティ
404 AAAエンティティ
500 通信システム
502 サービスプロビジョニング機能(SPF)
801 証明書サービス機能(CSF)
1002 ワイヤレス通信インターフェース
1004 メモリ回路
1006 入力および/もしくは出力(I/O)デバイス/回路
1008 処理回路
1010 バス
1102 共有鍵受信回路
1104 スポンサー付き接続性決定回路
1106 登録要求送信回路
1108 認証情報受信回路
1110 認可および鍵合意(AKA)実施回路
1202 証明書受信回路
1204 スポンサー付き接続性決定回路
1206 登録要求送信回路
1208 認可および鍵合意(AKA)実施回路
1500 ネットワークデバイス
1502 ワイヤレス通信インターフェース
1504 メモリ回路
1506 入力および/もしくは出力(I/O)デバイス/回路
1508 処理回路
1510 バス
1602 登録要求受信回路
1604 認証情報送信回路
1606 認証情報受信回路
1608 認可および鍵合意(AKA)実施回路
1702 アプリケーションサービスプロバイダ証明書受信回路
1704 登録要求受信回路
1706 証明書検証回路
1708 認可および鍵合意(AKA)実施回路