用于遠程憑證管理的系統和方法
【專利摘要】總體來說,本申請涉及無線通信系統,并且更具體地說,涉及無線通信系統中針對遠程憑證管理的系統、方法和設備。在一個方面中,提供了一種經由服務提供商網絡(例如,蜂窩網絡)為設備獲取設置信息的方法。所述方法包括:經由所述服務提供商網絡來發送對設置服務的附著請求,所述附著請求包括具有針對所述設備的唯一標識符的設備供應商信息。所述方法還包括在認證了所述設備供應商信息時,接收來自所述服務提供商的設置信息。在其它方面中,描述了用于提供設置信息的系統和方法。
【專利說明】用于遠程憑證管理的系統和方法
[0001] 對相關申請的交叉引用
[0002] 本申請依據35U. S.C. § 119(e)要求享有2012年5月14日遞交的、題目為 "SYSTEMS AND METHODS FOR REMOTE CREDENTIALS MANAGEMENT" 的美國臨時專利申請 61/646, 792的權益,通過引用方式將以上申請的公開內容整體并入本文。
【技術領域】
[0003] 概括地說,本申請涉及無線通信系統,并且更具體地說,涉及用于無線通信系統中 的遠程憑證管理的系統、方法和設備。
【背景技術】
[0004] 在許多電信系統中,可以使用通信網絡來在若干個空間獨立的交互設備之間交換 消息。網絡可以根據地理范圍來分類,其可以是例如城市區域、局部區域、或者個人區域。可 以分別將這種網絡指定為廣域網(WAN)、城域網(MAN)、局域網(LAN)、或個域網(PAN)。網 絡還根據用于互連各種網絡節點和設備的交換技術/路由技術(例如,電路交換相對于分 組交換)、所采用用于傳輸的物理介質的類型(例如,有線相對于無線)、和所使用的通信協 議集(例如,互聯網協議群(Internet protocol suite)、同步光纖網(SONET)、以太網等) 而有所不同。
[0005] 當網絡要素是移動的并由此具有動態連接性需求時,或者如果網絡架構以自組織 (ad hoc)拓撲而非以固定拓撲形成的,則無線網絡往往是優選的。無線網絡以非制導傳播 模式(unguided propagation mode)來采用無形的物理介質,所述非制導傳播模式使用無 線頻帶、微波頻帶、紅外頻帶、光頻帶等頻帶中的電磁波。當與固定的有線網絡相比時,無線 網絡有利地促進了用戶移動性和快速的現場部署。
[0006] 在設備可以開始使用網絡之前,所述設備可能需要向網絡提供用于識別該設備的 信息,并且,在某些情況下,提供相關聯的訂閱信息。該訂閱信息可以包括服務等級、可用網 絡服務以及可以由該設備使用的其它特征。在某些實施方式中,設備標識符可能足以識別 相關聯的訂閱信息。
[0007] 例如,為了從用戶選擇的運營商獲取蜂窩服務,蜂窩消費電子(例如,平板電腦、 智能電話、功能手機、相機)或機器對機器(M2M)設備(例如,智能電表、傳感器、車輛輔助 設備)典型地需要用戶從運營商買SM卡并將它們安裝在設備上或設備內。可替代地,設 備可以預裝有用戶希望得到服務的運營商的訂閱憑證(例如,在智能卡上或在設備的存儲 器中)。前者對于運營商來說可能是昂貴的(例如,由于分銷渠道的復雜性)。前者對于用 戶來說可能也不方便。例如,如果設備是智能電表,則需要保證SIM卡的安全以防止被盜。 后者可以將設備固定到具體的運營商。由于針對每個運營商制造不同的模型(例如,每個 運營商、每個國家多個SKU,等等),因此這使得對于設備供應商來說是昂貴的。此外,由于 后者可能為有限數量的運營商提供某些設備,因此可能限制了用戶的選擇。
[0008] 解決所述問題的一種方式是使用設備上現有的訂閱(例如,在智能卡上或設備本 身上)遠程地配置所述設備來下載憑證。可替代地,可以使用與另一種帶外(out of band) 連接性的形式(例如,WLAN)相關聯的現有訂閱來下載憑證。然而,如果設備不支持另一種 帶外連接性的形式(例如,缺少WLAN能力或WLAN對該設備不可用)和/或沒有可用于該 設備的訂閱憑證,那么仍然需要提供一種用于使用蜂窩網絡來設置這些未使用的(virgin) 設備的方法。
【發明內容】
[0009] 本發明的系統、方法和設備中每一個具有若干方面,沒有哪一個中的單個方面單 獨負責其預期的屬性。在不將本發明的范圍限制為由接下來的權利要求所表達的那樣的情 況下,現將簡要地討論一些特征。在考慮了這個討論后,并且尤其在閱讀了題為"具體實施 方式"的章節后,人們將理解本發明的特征如何提供包括針對接入點和設備的快速初始網 絡鏈路設置無線通信系統的優勢。
[0010] 在一個創新方面中,提供了一種經由服務提供商網絡為設備獲取設置信息的方 法。所述方法包括經由所述服務提供商網絡來發送對設置服務的附著請求,所述附著請求 包括具有針對所述設備的唯一標識符的設備供應商信息。所述方法還包括在認證了所述設 備供應商信息時,接收來自所述服務提供商網絡的設置信息。
[0011] 在進一步的創新方面中,提供了一種用于經由服務提供商網絡來獲取設置信息的 裝置。所述裝置包括附著管理器,其被配置為經由所述服務提供商網絡來發送對設置服務 的附著請求,所述附著請求包括具有針對所述裝置的唯一標識符的設備供應商信息。所述 裝置包括憑證管理器,其被配置為在認證了所述設備供應商信息時,接收來自所述服務提 供商網絡的設置信息。
[0012] 在一個創新方面中,提供了一種用于經由服務提供商網絡來獲取設置信息的另一 種裝置。所述裝置包括用于經由所述服務提供商網絡來發送對設置服務的附著請求的單 元,所述附著請求包括具有針對所述設備的唯一標識符的設備供應商信息。所述裝置包括 用于在認證了所述設備供應商信息時,接收來自所述服務提供商網絡的設置信息的單元。
[0013] 在進一步的創新方面中,提供了一種計算機可讀存儲介質,其包括由裝置的處理 器可執行的指令。所述指令使得所述裝置經由服務提供商網絡來發送對設置服務的附著請 求,所述附著請求包括具有針對所述裝置的唯一標識符的設備供應商信息。所述指令還使 得所述裝置在認證了所述設備供應商信息時,接收來自所述服務提供商網絡的設置信息。
[0014] 在進一步的創新方面中,提供了一種經由服務提供商網絡來向設備提供設置信息 的方法。所述方法包括經由所述服務提供商網絡來接收來自所述設備的對設置服務的附著 請求,所述附著請求包括具有針對所述設備的唯一標識符的設備供應商信息。所述方法包 括至少部分地基于所述設備供應商信息來認證所述設備。所述方法包括在確定所述設備被 認證時,發送與訂閱相關聯的設置信息。
[0015] 在另一個創新方面中,提供了一種經由服務提供商網絡為設備提供設置信息的裝 置。所述裝置包括附著管理器,其被配置為經由所述服務提供商網絡來接收來自所述設備 的對設置服務的附著請求,所述附著請求包括具有針對所述設備的唯一標識符的設備供應 商信息。所述裝置包括認證器,其被配置為至少部分地基于所述設備供應商信息來認證所 述設備。所述裝置包括憑證管理器,其被配置為使得在確定所述設備被認證時,發送與訂閱 相關聯的設置信息。
[0016] 描述了用于經由服務提供商網絡來向設備提供設置信息的另一種創新裝置。所述 裝置包括用于經由所述服務提供商網絡來接收來自所述設備的對設置服務的附著請求的 單元,所述附著請求包括具有針對所述設備的唯一標識符的設備供應商信息。所述裝置包 括用于至少部分地基于所述設備供應商信息來認證所述設備的單元。所述裝置還包括用于 在確定所述設備被認證時,發送與訂閱相關聯的設置信息的單元。
[0017] 在進一步的創新方面中,提供了另一種計算機可讀存儲介質,其包括由裝置的處 理器可執行的指令。所述指令使得所述裝置經由所述服務提供商網絡來接收來自設備的對 設置服務的附著請求,所述附著請求包括具有針對所述設備的唯一標識符的設備供應商信 息。所述指令使得所述裝置至少部分地基于設備供應商信息來認證所述設備。所述指令使 得所述裝置在確定所述設備被認證時,發送與訂閱相關聯的設置信息。
[0018] 在上述方面的一個或多個中,所述附著請求可以包括設置類型。例如,所述設置類 型可以包括在所述附著請求的信息要素中。
[0019] 在某些實施方式中,方法、裝置或指令可以包括或被配置為交換(例如,發送和/ 或接收)質詢請求以認證所述設備供應商信息,并至少部分地基于設備供應商信息來交換 (例如,發送和/或接收)質詢響應。在某些實施方式中,可以做出關于質詢響應是否與訂 閱相關聯的確定。所述確定可以基于設備供應商信息。
[0020] 可選地或另外地,方法、裝置或指令可以包括或被配置為交換(例如,發送和/或 接收)對訂閱認證的請求,并且至少部分地基于由多個設備共享的預定憑證來交換(例如, 發送和/或接收)質詢響應。
[0021] 在某些實施方式中,可以獲取會話密鑰。所述會話密鑰可以至少部分地基于所述 設備供應商信息。可以至少部分地基于所述會話密鑰來保證設備與服務提供商網絡之間的 通信的安全。在接收到設置信息時,所述設備可以被配置為從服務提供商網絡分離,并且至 少部分地基于所接收的設置信息來獲取服務。在某些實施方式中,服務提供商網絡可以被 配置為在發送了設置信息時,發起所述分離。
[0022] 在上述方面的一個或多個中,所述設備供應商信息可以包括與設備的供應商相關 聯的加密證書。針對設備的唯一標識符可以包括國際移動設備標識符和/或移動設備標識 符。以上討論的服務提供商網絡可以包括蜂窩網絡。
[0023] 在某些實施方式中,在確定設備未被認證時,所描述的方法、裝置或指令可以包括 或被配置為:從憑證提供商獲取訂閱要約、向所述設備發送訂閱要約、接收用于指示對所述 訂閱要約的接受的消息、以及基于所接受的訂閱要約來發送設置信息。
【專利附圖】
【附圖說明】
[0024] 圖1示出了其中可能采用本公開內容的方面的一種無線通信系統的例子。
[0025] 圖2示出了其中可能采用本公開內容的方面的另一種無線通信系統的例子。
[0026] 圖3示出了圖1的無線通信系統中可能采用的無線設備的例子的功能框圖。
[0027] 圖4示出了針對遠程憑證管理的過程例子的過程流程圖。
[0028] 圖5示出了用于遠程憑證管理期間非訂戶處理的過程的例子的過程流程圖。
[0029] 圖6示出了可能包括在示例性遠程憑證管理系統中的一種呼叫流程圖。
[0030] 圖7示出了經由服務提供商網絡來獲取設置信息的示例性方法的過程流程圖。
[0031] 圖8示出了針對無線網絡通信裝置的例子的功能框圖。
[0032] 圖9示出了經由服務提供商網絡來提供設置信息的示例性方法的過程流程圖。
[0033] 圖10示出了針對另一種無線網絡通信裝置的例子的功能框圖。
【具體實施方式】
[0034] 描述了通過蜂窩網絡(例如,UMTS、LTE、lx、D0)向移動設備提供移動憑證(遠程 憑證管理)的系統和方法。這種系統和方法允許缺乏憑證和帶外連接性的移動設備接入蜂 窩網絡,以提供可以用于接入蜂窩網絡的憑證。在一些系統中,提供針對服務的設置信息的 所描述的系統和方法可以被稱為遠程憑證管理。
[0035] 以下參照附圖來更全面地描述所述新穎系統、裝置和方法的各個方面。然而,本 公開內容可以以多種不同的形式來體現,并且其不應當被解釋為受限于貫穿本公開內容所 呈現的任何特定結構或功能。相反地,提供了這些方面,從而本公開內容將更透徹和完整, 并且將向本領域技術人員充分地傳達本公開內容的范圍。根據本文的教導,本領域技術人 員應當理解的是,本公開內容的范圍旨在覆蓋本文所公開的新穎系統、裝置和方法的任意 方面,無論其是獨立地實現還是結合本公開內容的任何其它方面來實現。例如,可以使用本 文闡述的任意數量的方面來實現裝置或實踐方法。另外,本發明的保護范圍旨在覆蓋以下 裝置或方法:使用除了本文闡述的申請的各個方面的結構和功能之外,還使用其它結構、功 能來實踐的裝置或方法,或者使用除了本文闡述的申請的各個方面的結構和功能的其它結 構、功能來實踐的裝置或方法。應當理解的是,本文所公開的公開內容的任何方面可以由權 利要求的一個或多個要素來體現。
[0036] 雖然本文中描述了具體的方面,但是這些方面的多種變型和排列落入本公開內容 的保護范圍之內。雖然提及了優選方面的一些益處和優勢,但本公開內容的保護范圍不旨 在受限于具體的益處、用途或目的。相反地,本公開表內容的方面旨在廣泛地適用于不同的 無線技術、系統配置、網絡和傳輸協議,其中的一些方面通過示例的方式在附圖和優選方面 的以下描述中進行了說明。詳細說明和附圖僅是對本公開內容的說明而不是限制,本公開 內容的保護范圍是由所附權利要求及其等同物來限定的。
[0037] 本文中描述的系統和方法可以應用于基于LTE、UMTS、HRPD、演進型HRPD(eHRPD) 或CDMA(例如,CDMA lx)的網絡中的遠程憑證管理。
[0038] 在某些方面中,可以以子千兆赫茲(sub-gigahertz)頻段來發送無線信號。可以 使用正交頻分復用(0FDM)、直接序列擴頻(DSSS)通信、0FDM和DSSS通信的組合或其它方 案來進行發送。子千兆赫協議可以用于傳感器、計量器和智能電網。實施這些協議的某些 設備的方面可能比實施其它無線協議的設備消耗較少的功率。這些設備可以用來跨越相當 長的范圍(例如,大約一千米或更長)來發送無線信號。
[0039] 在某些實施方式中,無線網絡可以包括各種設備,這些設備是接入所述無線網絡 的組件。例如,可以存在兩種類型的設備:接入點(AP)和客戶端(也被稱為站、或者STA)。 通常,AP充當無線網絡的集線器或基站,而STA充當無線網絡的用戶。例如,STA可以是膝 上型計算機、個人數字助理(PDA)、移動電話等。在一個例子中,STA經由蜂窩無線鏈路連 接到AP以獲得與互聯網或其它廣域網的一般連接。在一些實施方式中,也可以將STA用作 AP。
[0040] 接入點(AP)還可以包括、被實現為、或被稱為節點B、無線網絡控制器(RNC)、 eNodeB、基站控制器(BSC)、基站收發站(BTS)、基站(BS)、收發機功能單元(TF)、無線路由 器、無線收發機或某種其它術語。
[0041] 站"STA"還可以包括、被實現為、或被稱為接入終端(AT)、訂戶站、訂戶單元、移動 站、遠程站、遠程終端、用戶終端、用戶代理、用戶設備、用戶裝置或某種其它術語。在一些實 施方式中,接入終端可以包括蜂窩電話、無繩電話、會話發起協議(SIP)電話、無線本地環 路(WLL)站、個人數字助理(PDA)、具有無線連接能力的手持設備、或連接到無線調制解調 器的某種其它適當的處理設備。因此,本文所教導的一個或多個方面可以整合入電話(例 如蜂窩電話或智能電話)、計算機(例如膝上型計算機)、便攜式通信設備、手持機、便攜式 計算設備(例如個人數據助理)、娛樂設備(例如,音樂或視頻設備、或衛星廣播)、游戲設 備或系統、全球定位系統設備、或被配置為經由無線介質進行通信的任何其它適當的設備。
[0042] 無論所述設備被用作STA或AP或其它設備,其可以用于智能電表或用在智能電網 中。這種設備可以提供傳感器應用或用于家庭自動化。所述設備可以反過來用于醫療保健 環境中,或者另外用于醫療保健環境中,例如,用于個人醫療保健。它們還可用于監控,以啟 用范圍擴展的互聯網連接性(例如,與熱點一起使用),或實現機器對機器通信。
[0043] 圖1示出了一種示例性無線通信系統。無線通信系統100可以包括AP104,AP 104 與諸如移動電話106a、電視機106b、計算機106c或另一個接入點106d (下文中由106來單 獨地或統一地來標識)之類的STA通信。
[0044] 各種過程和方法可以用于無線通信系統100中AP 104與STA 106之間的傳輸。例 如,根據0FDM/0FDMA技術,可以在AP 104與STA 106之間發送和接收信號。如果是這樣的 情況,則無線通信系統100可以被稱為0FDM/0FDMA系統。可替代地,根據CDMA技術,可以 在AP 104與STA106之間發送和接收信號。如果是這樣的情況,則無線通信系統100可以 被稱為CDMA系統。
[0045] 促進從AP 104向一個或多個STA 106的傳輸的通信鏈路可以被稱為下行鏈路 (DL) 108,而促進從一個或多個STA 106向AP 104的傳輸的通信鏈路可以被稱為上行鏈路 (UL) 110。可替代地,下行鏈路108可以被稱為前向鏈路或前向信道,而上行鏈路110可以 被稱為反向鏈路或反向信道。
[0046] AP 104可以在基本服務區域(BSA) 102中提供無線通信覆蓋。AP 104連同與所述 AP 104相關聯并且被配置為使用所述AP 104進行通信的STA106,可以被稱為基本服務集 (BSS)。應當注意的是,無線通信系統100可以沒有中央AP 104,而是可以充當STA 106之 間的對等網絡。因此,本文所描述的AP 104的功能可以可替代地由一個或多個STA 106來 執行。
[0047] 圖2示出了其中可以采用本公開內容的各個方面的無線通信系統的另一個例子。 圖2所示的無線通信系統包括能夠進行遠程憑證管理的設備202。能夠進行遠程憑證管理 的設備202可以包括智能電話、功能電話、車輛中包括的蜂窩設備、諸如溫度計或地震儀的 傳感器、相機、平板計算機、電子圖書(電子書)閱讀器、信用卡閱讀器或被配置用于無線通 信的其它設備。能夠進行遠程憑證管理的設備202可以是STA 106。然而,不是所有的STA 都可以是能夠進行遠程憑證管理的設備202。
[0048] 如上所描述的,能夠進行遠程憑證管理的設備202可以與接入點104通信。接入 點104可以被配置為提供到蜂窩網絡206的接入。蜂窩網絡206可以包括被配置為提供到 數據網絡的接入的一個或多個網關。
[0049] 蜂窩網絡206可以被配置為直接地或經由數據網絡與遠程憑證管理服務器210通 信。遠程憑證管理服務器210可以位于運營商的網絡上。例如,遠程憑證管理服務器210 可以包括在設置和設備管理系統中。在某些實施方式中,遠程憑證管理服務器210可以由 代表網絡運營商的機器對機器服務提供商來托管(hosted)。在某些實施方式中,遠程憑證 管理服務器210可以由代表網絡運營商的設備供應商來托管。
[0050] 遠程憑證管理服務器210可以被配置為管理能夠進行遠程憑證管理的設備。遠程 憑證管理服務器210可以被配置為管理對設備映射的訂閱。該映射可以用于訂閱憑證的設 置和/或計費用途。遠程憑證管理服務器210可以支持到外部服務提供商的接口,用于注 冊設備以及關聯計費計劃。
[0051] 服務提供商(例如,公用事業公司或電子書銷售商)也可是憑證提供商212。在某 些實施方式中,憑證提供商212可以不提供除了提供憑證之外的網絡服務。例如,憑證提供 商212可以從運營商大批地購買網絡服務并轉售這些服務。又如,如果用戶提供信息(例 如,進行調查、查看內容等),則憑證提供商212可以供應憑證。憑證提供商212可以位于服 務提供商網絡中或附著于服務提供商網絡。
[0052] 憑證提供商的一個例子是網絡運營商212a。憑證提供商的另一個例子是設備制造 商212b。憑證提供商212的再一個例子是機器對機器服務提供商212c。憑證提供商可以 通過提供設備標識符、針對設備類別的標識符、和/或用于認證能夠進行遠程憑證管理的 設備的證書來管理能夠進行遠程憑證管理的設備202。
[0053] 系統還可以包括網絡操作中心208。網絡操作中心208可以被配置為管理與訂閱 憑證相關聯的后臺功能。例如,如果憑證提供商212給予(subsidizing)能夠進行遠程憑 證管理的設備202接入,則網絡操作中心208可以監視來自設備的流量并確定由能夠進行 遠程憑證管理的設備202請求的服務是否在與憑證提供商相關聯的協商的服務等級內。網 絡操作中心208可以被配置為針對能夠進行遠程憑證管理的設備202應用策略和計費功能 以及服務質量。
[0054] 圖3示出了圖1的無線通信系統中可以采用的示例性憑證管理設備的功能框圖。 憑證管理設備302是可以被配置為實現本文描述的各種方法的設備的例子。例如,憑證管 理設備302可以包括能夠進行遠程憑證管理的設備202或遠程憑證管理服務器210。
[0055] 憑證管理設備302可以包括處理器單元304,所述處理器單元304控制憑證管理設 備302的操作。處理器單元304中的一個或多個可以統稱為中央處理單元(CPU)。可以包 括只讀存儲器(ROM)和隨機存取存儲器(RAM)二者的存儲器306向處理器單元304提供指 令和數據。存儲器306的一部分還可以包括非易失性隨機存取存儲器(NVRAM)。處理器單 元304可以被配置為基于存儲在存儲器306中的程序指令來執行邏輯和算術操作。可以執 行存儲器306中的指令以實現本文描述的方法。
[0056] 可以利用能夠執行計算或信息的其它操作的通用微處理器、微控制器、數字信號 處理器(DSP)、現場可編程門陣列(FPGA)、可編程邏輯設備(PLD)、控制器、狀態機、門邏輯 器件、分立硬件組件、專用硬件有限狀態機或任何其它適當實體的任意組合來實現處理器 單元304。在處理器單元304包括DSP的實施方式中,DSP可以被配置為產生用于傳輸的分 組(例如,數據分組)。在某些方面中,分組可以包括物理層數據單元(prou)。
[0057] 憑證管理設備302還可以包括用于存儲軟件的機器可讀介質。處理單元304可以 包括用于存儲軟件的一個或多個機器可讀介質。無論被稱為軟件、固件、中間件、微代碼、 硬件描述語言還是其它,軟件應當被廣意地解釋為意味著任何類型的指令。指令可以包括 代碼(例如,以源代碼格式、二進制代碼格式、可執行代碼格式、或任何其它適當代碼的格 式)。當指令由處理器單元304執行時,使得憑證管理設備302執行本文描述的各種功能。
[0058] 憑證管理設備302可以包括發射機310和/或接收機312以分別允許憑證管理設 備302和遠程位置之間的數據的發送和接收。發射機310和接收機312可以組合為收發機 314。天線316可以附著到殼體308并與收發機314電耦合。憑證管理設備302還可以包 括(未示出)多個發射機、多個接收機、多個收發機、和/或多個天線。
[0059] 發射機310可以被配置為無線地發送分組和/或信號。例如,如上所討論的,發射 機310可以被配置為發送由處理器單元304產生的不同類型的分組。可以使得所述分組對 發射機310可用。例如,處理器單元304可以將分組存儲在存儲器306中,并且發射機301 可以被配置為檢索所述分組。一旦發射機檢索到分組,則發射機301經由天線316來發送 所述分組。
[0060] 憑證管理設備302上的天線316可以檢測無線地發送的分組/信號。接收機312 可以被配置為處理所檢測的分組/信號,并使它們對處理器單元304可用。例如,接收機 312可以將分組儲存在存儲器306中,并且處理器單元304可以被配置為檢索所述分組。
[0061] 憑證管理設備302還可以包括信號檢測器318,所述信號檢測器318可以用于檢測 并量化由收發機314接收到的信號的電平。信號檢測器318可以檢測諸如總能量、每子載 波每符號的能量、功率譜密度的信號以及其它信號。憑證管理設備302還可以包括用于處 理信號的數字信號處理器(DSP) 320。DSP 320可以被配置為產生用于發送的分組。在某些 方面中,分組可以包括物理層數據單元(prou)。
[0062] 憑證管理設備302在一些方面中還可以包括用戶接口 322。用戶接口 322可以包 括鍵盤、話筒、揚聲器、和/或顯示器。用戶接口 322可以包括向憑證管理設備302的用戶 傳達信息和/或接收來自所述用戶的輸入的任意元件或組件。憑證管理設備302還可以包 括環繞著包括在憑證管理設備302中的一個或多個組件的殼體308。
[0063] 憑證管理設備302還可以包括遠程憑證管理器324。當憑證管理設備302被實現 為能夠進行憑證管理的設備202 (例如,STA)時,遠程憑證管理器324可以包括被配置為進 行以下操作的一個或多個電路:產生包括引導(bootstrap)信息的設置附著請求以獲取訂 閱憑證、接收并響應質詢請求、以及管理所提供的訂閱憑證,如以下所進一步詳細描述的。 當憑證管理設備302被實現為遠程憑證管理服務器210時,遠程憑證管理器324可以包括 被配置為執行以下操作的一個或多個電路:處理包括引導信息的設置附著請求、執行設備 認證質詢消息、以及識別和提供訂閱憑證,如以下所進一步詳細描述的。
[0064] 憑證管理設備302的各種組件可以由總線系統326耦合在一起。總線系統326可 以包括(例如)數據總線,以及除了數據總線外的功率總線、控制信號總線以及狀態信號總 線。本領域技術人員將會理解,可以使用一些其它機制來將憑證管理設備302的組件耦合 在一起或接受彼此的輸入或向彼此提供輸入。
[0065] 盡管圖3中示出了數個分開的組件,但是本領域技術人員將會意識到,所述組件 中的一個或多個可以組合實現或共同實現。例如,處理器單元304不僅可以用于實現以上 描述的關于處理器單元304的功能,還可以用于實現以上描述的關于信號檢測器318的功 能。此外,圖3中所示的組件的中每一個可以使用多個分開的元件來實現。
[0066] 圖4示出了針對遠程憑證管理的過程的例子的過程流程圖。圖4中所示的過程可 以由包括在如圖1或圖2中所示的無線網絡中的一個或多個元件來實現。在方框402處, 可以提供引導信息。所述引導信息可能通常指的是由模塊/設備供應商所提供的信息。所 述信息可以安裝在模塊/設備中用于接入無線網絡。所述引導信息可以基于網絡運營商要 求。例如,一個網絡運營商可以基于國際移動設備標識符(MEI)和與IMEI相關聯的證書 或私鑰/公鑰對來進行引導,而另一個網絡運營商可以基于MEI、與MEI相關聯的證書或 私鑰/公鑰對、以及服務提供商標識符來進行引導。在某些實施方式中,移動設備標識符 (MEID)可以用于識別設備。因此,模塊/設備可以包括引導信息的若干片段,其可以用于或 可以不用于基于網絡運營商來提供憑證。
[0067] 在某些實施方式中,引導信息可以包括國際移動設備標識符、移動設備標識符、和 /或國際移動設備標識符證書。引導信息要素在制造時可以被安全地配置。例如,所述要素 可以儲存在設備的靜態存儲器和/或安全存儲器位置。在某些實施方式中,希望由運營商 信任的證書授權機構來發布國際移動設備標識符。引導信息可以儲存在設備的存儲器中。 引導信息可以儲存在諸如可以與設備耦合的智能卡的可移動存儲器中。
[0068] 在方框404處,可以對設備上電。在決定方框406處,做出關于有效的訂閱是否可 用于設備的決定。例如,蜂窩訂閱憑證可以包括在智能卡上或設備的存儲器中。
[0069] 如果設備包括有效的訂閱憑證,則在方框408處,這些憑證可以用于使用由網絡 運營商或管理所述無線網絡的標準所規定的附著程序來附著到網絡。然而,如果決定方框 406處的確定沒有識別出針對設備的有效訂閱,則在方框408處,所述設備可以被配置為使 用設置附著請求來附著到網絡。在一些實施方式中,附著請求可以包括附著類型字段。在 這些實施方式中,附著類型可以被識別為設置或設置服務。網絡可以被配置為允許該設備 針對獲取訂閱憑證的有限目的而附著。所述網絡確定該附著是針對該有限目的的一種方式 可以使通過使用附著類型字段。
[0070] 在方框410處,基于所述設置服務請求,所述網絡可以識別針對設備的訂閱信息。 作為識別訂閱信息的一部分,網絡可以基于包括在設置服務請求中的引導信息來執行認 證。在一些實施方式中,認證可以包括進一步的發消息(例如,質詢請求/響應)以獲取用 于認證的信息。
[0071] 在一些實施方式中,網絡可以省略針對設置附著請求的認證與密鑰協商(AKA)認 證。在這種實施方式中,可以從IMEI認證中導出諸如心^的非接入層安全上下文。在一些 實施方式中,可以使用公知的憑證集合來執行AKA認證。所述公知的AKA憑證與來自頂EI 認證的憑證一起,用作"客座(guest) "憑證,以在設置過程期間允許與設備的AKA保證安全 的通信。所述公知的AKA憑證可以由多個設備預定和共享。公知的憑證可以是臨時IMSL、 臨時移動訂戶識別碼(TMSI)、全球唯一臨時標識符(GUTI),或類似的標識符。可以出于對 可能不具有有效訂閱的設備進行設置的目的,來使用該標識符。
[0072] 如果基于引導信息的認證成功了,則網絡可以認為所述設備是由運營商認證的供 應商和/或經證實的供應商來提供的。在一些實施方式中,該設備可以被稱為用于設置目 的的"可信任的"設備。在識別該設備中,在方框410處識別對應的訂閱。作為識別的一部 分,遠程憑證管理服務器210可以安全地獲取針對所述設備的訂閱信息。
[0073] 在決定方框412處,執行關于是否為所述設備識別出訂閱信息的決定。該決定可 以基于認證的結果。該決定可以基于不具有活動訂閱的被認證的設備。例如,設備可以具 有與服務提供商的按月訂閱。在月底,所述訂閱可以結束。這樣,所述設備需要更新它的訂 閱以獲取到服務的接入。
[0074] 如果為設備識別了訂閱,則在方框414處,可以向設備提供所識別的訂閱憑證。還 可以將該憑證提供給網絡的一個或多個元件,例如提供給被配置為執行3GPP認證的網絡 實體。所述網絡實體可以包括歸屬訂戶服務器(HSS)或認證、與服務提供商網絡耦合的授 權和訪問(AAA)服務器。
[0075] 在方框416處,設備可以從網絡分離。由于設備之前以僅設置的模式附著,所以可 用于設備的網絡資源可以被限制為僅設置憑證服務。網絡可以包括IP過濾器以限制(例 如)數據流量。在方框418處,設備可以使用所提供的憑證來附著到網絡。
[0076] 返回到決定方框412處,如果沒有為設備識別出有效的訂閱,則可以在方框500處 執行額外的非訂戶處理。下面將參照圖5來進一步詳細描述所述額外的非訂戶處理。
[0077] 圖5示出了針對遠程憑證管理期間的非訂戶處理的過程例子的過程流程圖。可以 針對被認證的設備來執行非訂戶處理過程。在這種情形下,設備可以被識別并與一個或多 個憑證提供商212相關聯。然而,所述設備沒有針對任一供應商的活動的有效憑證。所述 過程可以在方框502處開始,在此處,識別潛在的憑證提供商。使用引導信息的一個或多個 要素來查詢遠程憑證管理服務器,以識別潛在的憑證提供商212。
[0078] 在決定方框504處,做出關于任何憑證提供商212是否可用于經識別的設備的確 定。如果針對所述設備,沒有發現憑證提供商212,則所述過程繼續到方框518。在方框518 處,可以向設備提供錯誤消息,所述錯誤消息用于指示沒有可用于設置訂閱信息的憑證提 供商212。所述流程可以在方框520處以設備從網絡分離而結束。可以由所述網絡和/或 所述設備來執行所述分離。
[0079] 返回到決定方框504處,如果針對設備,識別了一個或多個憑證提供商212,則所 述過程繼續到方框506,在此處,獲得供應商訂閱要約。供應商訂戶要約通常可以指的是用 于從供應商獲得訂閱憑證的條件和/或條款。例如,所述要約可以包括為訂閱憑證提供支 付信息。所述要約可以包括為訂閱憑證請求關鍵值。所述關鍵值可以在帶外(例如在購買 收據上)來提供。
[0080] 在方框508處,可以向設備發送訂閱要約。所述發送使得接口例如經由網絡瀏覽 器來顯示該要約信息。在方框510處,可以接收對該訂閱要約的響應。在決定方框512處, 做出關于是否已經接受了該要約的確定。該接受確定可以包括向憑證提供商提供訂閱要約 的響應以用于驗證、確認和/或進一步的處理。如果接受了該要約,則可以向設備提供所述 憑證。該過程可以例如像圖4的方框416處那樣繼續。
[0081] 如果沒有接受該要約,則在決定方框516處,做出關于是否已經為設備識別了任 何額外的憑證提供商212的確定。如果沒有識別額外的憑證提供商212,則該過程繼續到如 上所述的方框518處。如果識別了額外的憑證提供商212,則過程進行到如上所述的方框 506 處。
[0082] 圖6示出了可能包括在示例性遠程憑證管理系統中的一種呼叫流程圖。圖6中 所示的呼叫流程圖包括一些實體,所述實體可能包括在以遠程憑證管理為特征的無線通 信系統中。圖6中所示的實體包括能夠進行RCM的設備202、接入網104(例如,UTRAN或 E-UTRAN)、認證器604、IP接入網關608、HSS/AAA 610、策略和計費規則功能612以及RCM 服務器210。
[0083] 所述呼叫流程可以以從RCM服務器210或設備供應商向HSS/AAA 610發送消息 650開始。所述消息650可以識別與憑證提供商相關聯的經授權的設備簡檔。該經授權的 設備簡檔可以包括引導信息(例如,信任的公鑰或CA證書),所述引導信息與能夠進行RCM 的設備或能夠進行RCM的設備的類別相關聯。例如,消息650可以識別與憑證提供商相關 聯的設備的類別。如某些特定的例子,消息650可以識別屬于公用事業公司的智能電表、與 服務提供商相關聯的智能電話或由電子書經銷商提供的電子圖書閱讀器。該識別可以根據 設備標識符、設備標識符的部分(例如,標識符的范圍)、設備類別標識符等。標識符信息可 以在制造期間或遞送到消費者之前,存儲在能夠進行RCM的設備202中。可以使用安全的 存儲器元件將信息存儲在能夠進行RCM的設備202中。
[0084] 在稍后的時間點處,能夠進行RCM的設備202可以向接入網104發送消息652。消 息652可以是對設置服務的附著請求。該附著請求可以與類型相關聯。消息652可以包括 與設置服務相關聯的類型的附著請求。舉一個例子,該附著請求可以包括信息要素,所述信 息要素包括用于指示該附著請求是與設置服務相關聯的類型的值。消息652可以包括設備 供應商信息,例如,唯一的設備標識符、設備類別標識符等。唯一設備標識符的一個例子是 國際移動設備標識符(MEI)。唯一設備標識符的另一個例子是移動設備標識符(MEID)。包 括在消息652中的信息可以包括在由消息650提供的信息中。
[0085] 接入網104可以允許能夠進行RCM的設備202在網絡上。例如,接入網104可以 確定消息652是設置類型附著請求。這可以使得接入網104先占(preempt)訂閱認證程序 并允許能夠進行RCM的設備的網絡接入。該服務提供商將能夠進行RCM的設備202的接入 限制于某些網絡服務和/或位置。例如,服務提供商僅允許設備接入遠程憑證管理服務器 210。在一些實施方式中,相比于針對非設置附著請求的服務的質量,設備供應商可以為設 置附著請求分配某一質量的服務。例如,相比于非設置附著請求(例如,來自具有之前設置 的憑證的設備),服務提供商可以為設置附著請求分配較低質量的服務(例如,優先級)。
[0086] 一旦允許了在網絡上,則可以經由認證消息654來執行設備認證。應當注意的是, 認證消息654是要認證設備,而不是認證訂閱,這是因為設備還沒有設置具有服務信息。認 證消息654可以包括向認證器604發送MEI以及與能夠進行RCM的設備202相關聯的MEI 證書信息。在一些實施方式中,認證器604可以是服務通用無線分組業務支持節點(SGSN) 或移動性管理實體(MME)。在某些cdma2000網絡實施方式中,認證器可以是分組數據服務 節點(PDSN)或HRH)服務網關(HSGW)。如果經授權的供應商特定設備認證信息還不可用 (例如與能夠進行RCM的設備202相關聯),則證書頒發機構(CA)證書和簡檔可以由認證 器604通過與HSS/AAA610的消息來獲得或者從服務提供商網絡的另一實體來獲得。
[0087] 如果認證失敗,則呼叫流程結束。然而,如圖6中所示,認證是成功的。可以發送 認證器604與IP接入網關606之間的消息658。IP接入網關606的例子包括網關通用支 持節點、網關通用分組無線服務服務節點或分組數據網絡網關。
[0088] 消息658可以為能夠進行RCM的設備202產生IP會話,以接入RCM服務器210來 獲取訂閱憑證。在一些實施方式中,IP會話可以由IP接入網關和策略計費規則功能412 之間的消息(未示出)來授權。該授權可以至少部分地基于針對所述設備的頂EI/MEID授 權。在一些實施方式中,IP接入網關606可以包括設備特定的受限IP過濾器,以限制能夠 進行RCM的設備202的網絡接入。IP過濾器可以每個設備、每個設備類別、每個設置附著地 來建立,或在IP網關處針對所有請求設置服務的設備被配置為相同的。
[0089] 能夠進行RCM的設備202現在可以與RCM服務器210通信。消息660可以在能夠 進行RCM的設備202與RCM服務器210之間發送,來為能夠進行RCM的設備202提供訂閱憑 證。在一些實施方式中,能夠進行RCM的設備202可以與有效的憑證相關聯。如果RCM服 務器210能夠識別該憑證,則可以在不具有與能夠進行RCM的設備202的額外的消息的情 況下來實現所述設置。然而,如上所描述的,在非訂戶的情形下,可以將訂閱要約呈現給能 夠進行RCM的設備202。消息660可以包括要約信息、要約響應信息等。應當注意的是,能 夠進行RCM的設備202與RCM服務器210之間的通信是相互認證的、基于IP的和安全的。
[0090] 消息660可以使得成功設置針對能夠進行RCM的設備202的憑證。在這種情形下, 遠程憑證管理數據還可以利用HSS/AAA610來更新,所述HSS/AAA610用于指示針對能夠進 行RCM的設備202的有效訂閱憑證。所述更新可以經由消息662而發生。
[0091] 可發送消息664以完成額外的設備管理和/或激活。例如,可以向能夠進行RCM 的設備202提供訂閱,但是所述設備需要額外的信息來接入具體的網絡。該信息可以經由 消息664發送到能夠進行RCM的設備202。
[0092] 能夠進行RCM的設備202現在可能具有有效的訂閱憑證和接入網絡所需的任何額 外的管理或激活信息。可以在能夠進行RCM的設備202和接入網104之間發送消息666以 分離能夠進行RCM的設備202。盡管沒有示出,但是所述分離還可以使得關閉由消息658創 建的IP會話。可以發送消息668來使用經設置的訂閱憑證將能夠進行RCM的設備202附 著到網絡。
[0093] 因此,如所示出的,最初不具有有效訂閱憑證的、能夠進行RCM的設備202可以使 用蜂窩連接性通過提供存儲在所述能夠進行RCM的設備202上的設備供應商認證信息來提 供訂閱憑證。
[0094] 圖7示出了經由服務提供商網絡來獲取設置信息的方法的例子的過程流程圖。該 過程可以全部或部分由本文描述的設備(例如上面的圖3以及下面的圖8所示的設備)來 執行。在一些實施方式中,該過程可以在諸如能夠進行遠程憑證管理的設備的STA中實現。
[0095] 所述過程在方框702處開始,在此處,可以經由服務提供商網絡來發送針對設置 服務的附著請求。該附著請求可以包括諸如上所討論的引導信息的設備供應商信息。在一 些實施方式中,可以接收認證設備的質詢請求。在這些實施方式中,可以發送至少部分地基 于設備供應商信息(例如,憑證)的質詢響應。在方框704處,在認證了設備供應商信息時, 可以從服務提供商網絡接收設置信息。所發送和/或所接收的信號可以類似于圖6的呼叫 流程中所示的那些信號。
[0096] 圖8示出了針對無線網絡通信裝置的功能框圖。本領域技術人員將會理解,無線 網絡通信裝置可以比圖8所示的簡化的無線網絡通信裝置具有更多的組件。所示的無線網 絡通信裝置800僅包括那些對于描述權利要求的保護范圍內的實施方式的一些顯著特征 有用的組件。無線網絡通信裝置800可以包括附著管理器802和憑證管理器804。
[0097] 在一些實施方式中,附著管理器802可以被配置為經由服務提供商網絡來發送對 設置服務的附著請求。該附著請求可以包括具有針對無線網絡通信裝置800的唯一標識符 的設備供應商信息。附著管理器802可以包括可編程芯片、處理器、存儲器、天線和發射機 中的一個或多個。在一些實施方式中,用于發送對設置服務的附著請求的單元可以包括附 著管理器802。
[0098] 在一些實施方式中,訂閱管理器804可以被配置為接收來自服務提供商網絡的訂 閱信息。訂閱管理器804可以包括接收機、天線、信號處理器以及存儲器中的一個或多個。 在一些實施方式中,用于接收設置服務的單元可以包括訂閱管理器804。
[0099] 圖9示出了經由服務提供商網絡向設備提供設置信息的示例性方法的過程流程 圖。該過程可以全部或部分由本文描述的設備(例如上面的圖3以及下面的圖10所示的 設備)來執行。在一些實施方式中,該過程可以在遠程憑證管理器服務器中實現。
[0100] 所述過程在方框902處開始,在此處,經由服務提供商網絡從設備接收對設置信 息的附著請求。該附著請求可以包括如上所討論的設備供應商信息。在方框904處,至少 部分地基于設備供應商信息來認證該設備。在方框906處,在確定該設備被認證時,發送與 訂閱相關聯的設置信息。
[0101] 圖10示出了另一個無線網絡通信裝置例子的功能框圖。本領域技術人員將會理 解,無線網絡通信裝置可以比圖10所示的簡化的無線網絡通信裝置1000具有更多的組件。 所示的無線網絡通信裝置1000僅包括那些對于描述權利要求的保護范圍內的實施方式的 一些顯著特征有用的組件。無線網絡通信裝置1000可以包括附著管理器1002、認證器1004 以及憑證管理器1006。
[0102] 在一些實施方式中,附著管理器1002可以被配置為經由服務提供商網絡從設備 接收針對設置服務的附著請求,所述附著請求包括具有針對所述設備的唯一標識符的設備 供應商信息。附著管理器1002可以包括接收機、天線、可編程芯片、處理器、存儲器和網絡 接口中的一個或多個。在一些實施方式中,用于接收附著請求的單元可以包括附著管理器 1002。
[0103] 在一些實施方式中,認證器1004可以被配置為至少部分地基于設備供應商信息 來認證設備。認證器1004可以包括數據網絡接口、比較器、證書處理器、處理器和存儲器中 的一個或多個。在一些實施方式中,用于認證設備的單元可以包括認證器1004。
[0104] 在一些實施方式中,憑證管理器1006可以被配置為在認證了設備時,使得發送與 訂閱相關聯的設置信息。憑證管理器1006可以包括發射機、天線、存儲器、處理器、信號產 生器以及憑證庫(credential store)中的一個或多個。在一些實施方式中,用于發送設置 信息的單元可以包括憑證管理器1006。
[0105] 如本文中所使用的,術語"確定"包括各種各樣的動作。例如,"確定"可以包括計 算、運算、處理、導出、調查、查找(例如,在表格、數據庫或另一個數據結構中進行查找)、斷 定(ascertain)等。另外,"確定"可以包括接收(例如,接收信息)、存取(例如,對存儲器 中的數據進行存取)等。另外,"確定"可以包括解決、挑選、選擇、建立等。此外,如本文中 所使用的,"信道寬度"在某些方面可以包含帶寬或者還可以被稱為帶寬。
[0106] 如本文中所使用的關于項目列表的"至少一個"的短語指的是那些項目的任意組 合(包括單個成員)。舉例而言,a、b或c的"至少一個"旨在涵蓋:a、b、c、a-b、a-c、b-c 以及a_b_c。
[0107] 以上所描述的方法的各種操作可以由能夠執行所述操作的任何適當單元(例如, 各種硬件和/或軟件組件、電路和/或模塊)來執行。通常,在附圖中示出的任何操作可以 由能夠執行所述操作的相應功能單元來執行。
[0108] 可以使用被設計為執行本文所描述的功能的通用處理器、數字信號處理器(DSP)、 專用集成電路(ASIC)、現場可編程門陣列信號(FPGA)或其它可編程邏輯器件(PLD)、分立 門或晶體管邏輯器件、分立硬件組件、或者其任何組合,來實現或執行結合本公開內容來描 述的各種說明性的邏輯塊、模塊和電路。通用處理器可以是微處理器,或者,所述處理器可 以是任何市售處理器、控制器、微控制器或狀態機。處理器還可以實現為計算設備的組合, 例如,DSP和微處理器的組合、多個微處理器、一個或多個微處理器與DSP內核的結合,或者 任何其它此種結構。
[0109] 在一個或多個方面中,可以用硬件、軟件、固件或其任意組合來實現所描述的功 能。如果以軟件來實現,則可以將這些功能作為計算機可讀介質上的一個或多個指令或代 碼來存儲或者通過其進行傳輸。計算機可讀介質包括計算機存儲介質和通信介質兩者,所 述通信介質包括促進從一個地方向另一個地方傳送計算機程序的任何介質。存儲介質可以 是計算機能夠存取的任何可用介質。通過示例的方式而不是通過限制的方式,這種計算機 可讀介質可以包括RAM、R0M、EEPR0M、CD-R0M或其它光盤存儲器、磁盤存儲器或其它磁存儲 設備、或者能夠用于攜帶或存儲具有指令或數據結構形式的期望的程序代碼并能夠由計算 機存取的任何其它介質。另外,任何連接可以適當地稱為計算機可讀介質。例如,如果軟件 是使用同軸電纜、光纖光纜、雙絞線、數字用戶線(DSL)、或者諸如紅外線(IR)、無線和微波 之類的無線技術從網站、服務器或其它遠程源傳輸的,則所述同軸電纜、光纖光纜、雙絞線、 DSL或者諸如紅外線、無線和微波之類的無線技術包括在所述介質的定義中。如本申請所使 用的,磁盤和光盤包括壓縮光盤(CD)、激光光盤、光盤、數字通用光盤(DVD)、軟盤和藍光光 盤,其中磁盤通常磁性地復制數據,而光盤則用激光來光學地復制數據。因此,在一些方面 中,計算機可讀介質可以包括非臨時性計算機可讀介質(例如,有形介質)。另外,在某些方 面中,計算機可讀介質可以包括臨時性計算機可讀介質(例如,信號)。上述的組合也應當 包括在計算機可讀介質的保護范圍之內。
[0110] 本文中所公開的方法包括用于實現所描述的方法的一個或多個步驟或動作。可以 在不背離權利要求的保護范圍的情況下,將方法步驟和/或動作互換。換句話說,除非規定 了步驟或動作的特定順序,否則在不背離權利要求的保護范圍的情況下,可以修改特定步 驟和/或動作的特定順序和/或使用。
[0111] 可以用硬件、軟件、固件或其任意組合來實現所描述的功能。如果以軟件來實現, 則可以將所述功能作為計算機可讀介質上的一個或多個指令進行存儲。存儲介質可以是計 算機能夠存取的任何可用介質。通過示例的方式而非限制的方式,這種計算機可讀介質可 以包括RAM、ROM、EEPROM、CD-ROM或其它光盤存儲器、磁盤存儲器或其它磁存儲設備、或者 能夠用于攜帶或存儲具有指令或數據結構形式的期望的程序代碼并能夠由計算機存取的 任何其它介質。如本文中所使用的,如本申請所使用的,磁盤和光盤包括壓縮光盤(CD)、激 光光盤、光盤、數字通用光盤(DVD)、軟盤和藍光光盤?,其中磁盤通常磁性地復制數據,而 光盤則用激光來光學地復制數據。
[0112] 因此,某些方面可以包括用于執行本文呈現的操作的計算機程序產品。例如,這種 計算機程序產品可以包括具有存儲(和/或編碼)于其上的指令的計算機可讀介質,所述 指令由一個或多個處理器可執行,以執行本文描述的操作。對于某些方面,計算機程序產品 可以包括封裝材料。
[0113] 還可以通過傳輸介質來發送軟件或指令。例如,如果軟件是使用同軸電纜、光纖光 纜、雙絞線、數字用戶線(DSL)或者諸如紅外線、無線和微波之類的無線技術從網站、服務 器或其它遠程源發送的,則所述同軸電纜、光纖光纜、雙絞線、DSL、或者諸如紅外線、無線和 微波之類的無線技術包括在傳輸介質的定義中。
[0114] 此外,應當明白的是,用于執行本文所描述的方法和技術的模塊和/或其它適當 的單元,可以由用戶終端和/或基站在適用時進行下載和/或以其它方式來獲得。例如,可 以將這種設備耦合到服務器,以促進傳輸用于執行本文中所描述的方法的單元。可替代地, 可以經由存儲單元(例如,RAM、ROM、物理存儲介質(例如,壓縮光盤(CD)或軟盤)等)來 提供本文所描述的各種方法,從而在將存儲單元耦合到或者提供給所述設備時,用戶終端 和/或基站可以獲得所述各種方法。另外,可以使用用于向設備提供本文中所描述的方法 和技術的任何其它合適的技術。
[0115] 將要理解的是,權利要求不限于上面示出的精確的結構和組件。可以在不脫離權 利要求的保護范圍的情況下對以上所描述的方法和裝置的布置、操作和細節做出各種修 改、變化和變型。
[0116] 盡管上文涉及本公開內容的多個方面,但是可以在不背離本公開內容基本保護范 圍的情況下,來設計本公開內容的其它方面和另外的方面,并且本公開內容的保護范圍是 由接下來的權利要求所確定的。
【權利要求】
1. 一種經由服務提供商網絡為設備獲取設置信息的方法,所述方法包括: 經由所述服務提供商網絡來發送對設置服務的附著請求,所述附著請求包括具有針對 所述設備的唯一標識符的設備供應商信息;以及 在認證了所述設備供應商信息時,接收來自所述服務提供商網絡的設置信息。
2. 根據權利要求1所述的方法,其中,所述附著請求包括設置類型。
3. 根據權利要求2所述的方法,其中,針對所述附著請求的所述設置類型包括在所述 附著請求的信息要素中。
4. 根據權利要求1所述的方法,還包括: 接收質詢請求以認證所述設備供應商信息;以及 至少部分地基于設備供應商信息來發送質詢響應。
5. 根據權利要求1所述的方法,還包括: 接收對訂閱認證的請求;以及 至少部分地基于由多個設備共享的預定憑證,來發送質詢響應。
6. 根據權利要求1所述的方法,還包括: 獲取會話密鑰,所述會話密鑰至少部分地基于所述設備供應商信息;以及 至少部分地基于所述會話密鑰,來保證所述設備與所述服務提供商網絡之間的通信的 安全。
7. 根據權利要求1所述的方法,還包括: 在接收到所述設置信息時,從所述服務提供商網絡分離;以及 至少部分地基于所接收的設置信息,來獲取服務。
8. 根據權利要求1所述的方法,其中,所述設備供應商信息還包括與所述設備的供應 商相關聯的加密證書。
9. 根據權利要求1所述的方法,其中,針對所述設備的所述唯一標識符包括國際移動 設備標識符和移動設備標識符中的至少一個。
10. 根據權利要求1所述的方法,其中,所述服務提供商網絡包括蜂窩網絡。
11. 一種用于經由服務提供商網絡來獲取設置信息的裝置,所述裝置包括: 附著管理器,其被配置為經由所述服務提供商網絡來發送對設置服務的附著請求,所 述附著請求包括具有針對所述裝置的唯一標識符的設備供應商信息;以及 憑證管理器,其被配置為在認證了所述設備供應商信息時,接收來自所述服務提供商 網絡的設置信息。
12. 根據權利要求11所述的裝置,其中,所述附著請求包括設置類型。
13. 根據權利要求12所述的裝置,其中,針對所述附著請求的所述設置類型包括在所 述附著請求的信息要素中。
14. 根據權利要求11所述的裝置,還包括: 質詢請求接收機,其被配置為接收質詢請求以認證所述設備供應商信息;以及 質詢響應發射機,其被配置為至少部分地基于設備供應商信息來發送質詢響應。
15. 根據權利要求11所述的裝置,還包括: 質詢請求接收機,其被配置為接收質詢請求以認證針對所述裝置的訂閱;以及 質詢響應發射機,其被配置為至少部分地基于由多個設備共享的預定憑證,來發送質 詢響應。
16. 根據權利要求11所述的裝置,還包括: 會話密鑰管理器,其被配置為至少部分地基于所述設備供應商信息來獲取會話密鑰; 以及 安全通信模塊,其被配置為至少部分地基于所述會話密鑰來安全地與所述服務提供商 網絡通信。
17. 根據權利要求11所述的裝置,其中,所述附著處理器還被配置為: 在接收到所述設置信息時,從所述服務提供商網絡分離;以及 至少部分地基于所接收的設置信息,來獲取服務。
18. 根據權利要求11所述的裝置,其中,所述設備供應商信息還包括與所述裝置的供 應商相關聯的加密證書。
19. 根據權利要求11所述的裝置,其中,針對所述裝置的唯一標識符包括國際移動設 備標識符和移動設備標識符中的至少一個。
20. 根據權利要求11所述的裝置,其中,所述服務提供商網絡是蜂窩網絡。
21. -種用于經由服務提供商網絡來獲取設置信息的裝置,所述裝置包括: 用于經由所述服務提供商網絡來發送對設置服務的附著請求的單元,所述附著請求包 括具有針對所述設備的唯一標識符的設備供應商信息;以及 用于在認證了所述設備供應商信息時,接收來自所述服務提供商網絡的設置信息的單 J Li 〇
22. -種計算機可讀存儲介質,其包括由裝置的處理器可執行的指令,所述指令使得所 述裝置進行以下操作: 經由服務提供商網絡來發送對設置服務的附著請求,所述附著請求包括具有針對所述 裝置的唯一標識符的設備供應商信息;以及 在認證了所述設備供應商信息時,接收來自所述服務提供商網絡的設置信息。
23. -種經由服務提供商網絡來向設備提供設置信息的方法,所述方法包括: 經由所述服務提供商網絡來接收來自所述設備的對設置服務的附著請求,所述附著請 求包括具有針對所述設備的唯一標識符的設備供應商信息; 至少部分地基于所述設備供應商信息來認證所述設備;以及 在確定所述設備被認證時,發送與訂閱相關聯的設置信息。
24. 根據權利要求23所述的方法,其中,所述附著請求包括設置類型。
25. 根據權利要求24所述的方法,其中,針對所述附著請求的所述設置類型包括在所 述附著請求的信息要素中。
26. 根據權利要求23所述的方法,還包括: 發送質詢請求以認證所述設備; 接收質詢響應;以及 至少部分地基于設備供應商信息,來確定所述質詢響應是否與訂閱相關聯。
27. 根據權利要求23所述的方法,還包括: 發送質詢請求以認證針對所述設備的訂閱; 接收質詢響應;以及 確定所述質詢響應是否與由多個設備共享的預定憑證相關聯。
28. 根據權利要求23所述的方法,還包括: 產生會話密鑰,所述會話密鑰至少部分地基于設備供應商信息;以及 至少部分地基于所述會話密鑰,來保證所述設備與所述服務提供商網絡之間的通信的 安全。
29. 根據權利要求23所述的方法,其中,所述設備供應商信息還包括與所述設備的供 應商相關聯的加密證書。
30. 根據權利要求23所述的方法,其中,針對所述設備的所述唯一標識符包括針對所 述設備的國際移動設備標識符和針對所述設備的移動設備標識符中的至少一個。
31. 根據權利要求23所述的方法,其中,所述服務提供商網絡是蜂窩網絡。
32. 根據權利要求23所述的方法,還包括,在確定所述設備未被認證時,執行以下操 作: 獲取來自憑證提供商的訂閱要約; 向所述設備發送所述訂閱要約; 接收用于指示對所述訂閱要約的接受的消息;以及 基于所接受的訂閱要約,來發送設置信息。
33. 根據權利要求23所述的方法,還包括:在發送了所述設置信息時,將所述設備從所 述服務提供商網絡分離。
34. -種經由服務提供商網絡為設備提供設置信息的裝置,所述裝置包括: 附著管理器,其被配置為經由所述服務提供商網絡來接收來自所述設備的對設置服務 的附著請求,所述附著請求包括具有針對所述設備的唯一標識符的設備供應商信息; 認證器,其被配置為至少部分地基于所述設備供應商信息來認證所述設備;以及 憑證管理器,其被配置為使得在確定所述設備被認證時,發送與訂閱相關聯的設置信 息。
35. 根據權利要求34所述的裝置,其中,所述附著請求包括設置類型。
36. 根據權利要求35所述的裝置,其中,針對所述附著請求的設置類型包括在所述附 著請求的信息要素中。
37. 根據權利要求34所述的裝置,還包括: 質詢請求電路,其被配置為使得發送質詢請求以認證所述設備;以及 質詢響應電路,其被配置為接收質詢響應, 其中,所述認證器還被配置為至少部分地基于設備供應商信息,來確定所述質詢響應 是否與訂閱相關聯。
38. 根據權利要求34所述的裝置,還包括: 質詢請求電路,其被配置為使得發送質詢請求以認證針對所述設備的訂閱;以及 質詢響應電路,其被配置為接收質詢響應, 其中,所述認證器還被配置為至少部分地基于由多個設備共享的預定憑證來確定所述 質詢響應是否與訂閱相關聯。
39. 根據權利要求34所述的裝置,還包括: 會話密鑰產生器,其被配置為至少部分地基于所述設備供應商信息來產生會話密鑰; 以及 安全通信模塊,其被配置為至少部分地基于所述會話密鑰來保證所述服務提供商網絡 與所述設備之間的通信的安全。
40. 根據權利要求34所述的裝置,其中,所述設備供應商信息還包括與所述設備的供 應商相關聯的加密證書。
41. 根據權利要求34所述的裝置,其中,針對所述設備的所述唯一標識符包括針對所 述設備的國際移動設備標識符和針對所述設備的移動設備標識符中的至少一個。
42. 根據權利要求34所述的裝置,其中,所述服務提供商網絡是蜂窩網絡。
43. 根據權利要求34所述的裝置,還包括訂閱要約電路,其被配置為在確定所述設備 未被認證時,執行以下操作: 獲取來自憑證提供商的訂閱要約; 向所述設備發送所述訂閱要約; 接收用于指示對所述訂閱要約的接受的消息;以及 基于所接受的訂閱要約,來發送設置信息。
44. 根據權利要求34所述的裝置,其中,所述附著管理器還被配置為在發送了所述設 置信息時,將所述設備從所述服務提供商網絡分離。
45. -種經由服務提供商網絡來向設備提供設置信息的裝置,所述裝置包括: 用于經由所述服務提供商網絡來接收來自所述設備的對設置服務的附著請求的單元, 所述附著請求包括具有針對所述設備的唯一標識符的設備供應商信息; 用于至少部分地基于所述設備供應商信息來認證所述設備的單元;以及 用于在確定所述設備被認證時,發送與訂閱相關聯的設置信息的單元。
46. -種計算機可讀存儲介質,其包括由裝置的處理器可執行的指令,所述指令使得所 述裝置進行以下操作: 經由所述服務提供商網絡來接收來自設備的對設置服務的附著請求,所述附著請求包 括具有針對所述設備的唯一標識符的設備供應商信息; 至少部分地基于設備供應商信息來認證所述設備;以及 在確定所述設備被認證時,發送與訂閱相關聯的設置信息。
【文檔編號】H04W12/06GK104303484SQ201380024843
【公開日】2015年1月21日 申請日期:2013年5月13日 優先權日:2012年5月14日
【發明者】A·帕拉尼恭德爾 申請人:高通股份有限公司