的至少一个实例,除非另外明确地阐述。本文公开的任何方法的步骤不必须以公开的确切顺序来执行,除非明确地阐述。
【附图说明】
[0044]现在参照附图通过示例的方式描述本发明,其中:
[0045]图1是示出可以应用本文提出的实施例的环境的示意图;
[0046]图2A至图2C是示出可应用于图1中所示的环境的实施例的序列图;
[0047]图3A至图3E是示出在图1的网关中执行的用于下载可电子传送的订户身份模块的方法的流程图;
[0048]图4是示出图1的网关的一些组件的示意图;
[0049]图5是不出图1和图4的网关的功能t旲块的不意图;
[0050]图6示出包括计算机可读装置的计算机程序产品的一个示例。
【具体实施方式】
[0051]下面将参照附图更全面地描述本发明,其中,示出了本发明的特定实施例。然而,本发明可以实施为多种不同形式,而不应被解释为受限于在此阐述的实施例;相反,以示例的方式提供这些实施例,从而本公开将是全面和完整的,并且将本发明的范围全面地传达给本领域技术人员。贯穿描述,相似附图标记表示相似元件。
[0052]图1是示出可以应用本文提出的实施例的环境的示意图。多个客户端设备2经由网络7连接到网关(G/W) 1。每个客户端设备2间或与一组应用服务器3中的一个或多个通信。客户端设备2和网关1之间的连接可以是例如使用ZigBee、W1-Fi (IEEE 802.11)、蓝牙等的无线连接,或者是例如使用以太网、USB、串行或并行连接等的有线连接。网关1和客户端设备2可以配对以实现它们之间的安全连接。该配对可以使用带外配对机制,诸如扫描公钥条形码、同时按压网关和设备上的按钮、或者输入代码等。备选地,可以使用诸如在Gollakota、Shyamnath 等人的"Secure in-band wireless pairing." USENIX SecuritySym(2011)中提出的带内配对机制。
[0053]客户端设备2可以是诸如传感器设备和/或致动器设备的受约束设备,其具有低处理功率、对安全存储器的受限访问以及最少或者没有用户接口。此外,客户端设备2可选地集成在任意合适类型的主机设备(诸如车辆或家庭电子设备(例如媒体播放器、相机、电视等))中。
[0054]网关1进而连接到一个或多个应用服务器3以允许客户端设备2和应用服务器3之间的通信。应用服务器是任意合适类型的服务器,并且可以例如实施在3GPP TS33.220V12.0.0中定义的网络应用功能(NAF)。
[0055]为了能够执行认证或安全地通信,客户端设备2可以访问订阅令牌,诸如IS頂(互联网协议多媒体服务身份模块)或US頂(通用订户身份模块)。可以使用物理卡或者通过可以从网络下载的可电子传送的订户身份模块(诸如MQM(机器通信身份模块))来提供ISIM 或 USIMo
[0056]在3GPP TR 33.812V9.2.0中更详细地描述了使用MCHM来建立用户和终端的证书。
[0057]从广义上讲以前使用的解决方案在于在制造期间将初始证书安装在客户端设备中。这些证书映射到所选择的订阅,并且该映射被存储在客户端设备2可以连接到的注册运营商(R0) 14中的发现和注册功能(DRF)15中。在该连接期间,初始证书用于从存储的映射中发现哪个是新的选择归属运营商(SH0)10以及连接到哪里以下载新证书。从MCHM下载和供应功能(DPF)ll下载新证书。DPF 11可以由R0 14或SH0 10承载,但这里被示出为图1中的SH0 10的一部分。
[0058]网关1与应用服务器3、SH0 10和R0 14之间的连接可以通过基于有线、无线和/或使用移动通信网络的基于IP(互联网协议)的网络来发生。移动通信网络可以例如符合诸如LTE (长期演进)的3GPP(第三代合作伙伴计划)标准或利用W-CDMA(宽带码分多址)的UMTS、或诸如CDMA2000(码分多址2000)的其它标准的任意一个或组合。与网络7一起的网关1以及客户端设备2被统称为毛细管网络。网关1与应用服务器3、SH0 10和/或R0 14之间的连接还可以包括通过诸如互联网的广域网的连接,从而允许应用服务器3、SH0 10、R0 14与网关1之间的地理分离。
[0059]在一些情况下,应用服务器3可以要求客户端设备2的标识或认证或者要求加密与客户端设备2的通信。
[0060]客户端设备2随后需要在诸如IS頂或US頂中具有3GPP证书(或同等证书)。客户端设备2随后可以使用3GPP证书(或同等证书)来获得用于向应用服务器3认证其自身的特定证书。客户端设备2随后被应用服务器3例如根据通用引导架构(参见3GPP TS33.220V12.0.0)认证。
[0061]图2A是示出可以应用于图1中所示的环境中的实施例的序列图。应注意,虽然DPF 11和SH0 10在这里被示出为分离,但是这些功能可以设置在同一设备内,如在以上图1中所示出的。
[0062]当客户端设备2附着到网络时,其将执行与服务于网络的网关1的附着和注册处理20。
[0063]网关1接着使用自己的3GPP证书来向DPF 11认证21其自身,在这之后,网关通过使用网关1自己的证书向DPF发送针对新的可电子传送的订户身份模块的请求22,以与所讨论的客户端设备2 (以及可选地还有网关1)相关联。
[0064]在该示例和下文的其它实施例中,提到了 IS頂,其可以是MCHM的一种类型。然而,可以使用任何合适类型的可电子传送的订户身份模块,例如包括US頂卡的另一类型的MCHM。US頂包含常规3GPP证书而IS頂通常旨在用于頂S (IP多媒体子系统)。在提交本专利申请时,指出针对一个设备每次仅一个US頂应用可以是激活的。但是,针对IS頂没有提出这样的约束。因此,为了使网关1能够针对多个客户端设备2存储和利用可电子传送的订户身份模块,可以在符合3GPP的当前规定的同时使用ISIM。然而,如果USIM的多个实例都被允许用于单个设备,则本文提出的实施例同样适用于使用USIM。因此,虽然在本文提出的实施例中提到ISIM,但是应该理解的是,ISIM可以替换为任何适合的可电子传送的订户身份模块。
[0065]作为针对新IS頂的请求22的响应,DPF 11向SH0 10发送消息23,以询问DPF 11是否被允许创建新ISHL如果SH0 10认为其是可以接受的,则SH0 10向DPF 11回复0K消息24。
[0066]在该阶段,DPF 11可以产生新ISIM 25并向SH0 10发送ISIM 26。此外,DPF 11向网关1发送0K消息27,向网关1指示该新IS頂已产生并可供下载。可选地,省略0K信息27并且网关1在新IS頂变得可用时就开始下载该新ISHL
[0067]网关1可以下载新IS頂28并将此IS頂与所讨论的客户端设备2相关联地存储。IS頂包含与客户端设备2相关联的证书。
[0068]这允许客户端设备2与任意服务(例如与应用服务器3)通信29。利用由网关1提供的is頂的证书,客户端设备2可以向支持基于S頂(订户身份模块)的认证的任何服务(诸如任何适当配置的web服务)识别并认证其自身。所有网络服务(如社交网络服务、金融服务等)可以被调整,使得可以通过实施NAF功能来使用SHU正书提供认证。该证书可以用于识别/认证和用于建立与应用服务器3的安全连接。事实上,在3GPP网络和互联网中的任何当前或未来服务是使用SIM证书的候选。
[0069]图2B是示出可以应用于图1所示的环境中的实施例的序列图。序列图与图2A中所示的类似,但是这里,SH0 10(而不是DPF 11)产生新ISHL
[0070]这里,网关向SH0 10发送针对新IS頂的请求22’。SH0随后产生新IS頂25’并向网关1回复0K消息27’。
[0071]在作为图2A和图2B的序列的组合的一个实施例(未示出)中,网关1向DPF 11进行认证21并且网关1向DPF请求新ISHL在这个阶段,DPF 11请求SH0 10产生新IS頂,SH0 10产生新S頂并用新IS頂向DPF 11进行响应。该序列的其余部分类似于图2A的序列。
[0072]该序列不再需要作为参照以上图2A描述的序列的一部分的DPF 11检查SH0 10是否可接受产生新ISHL
[0073]图2C是示出可以应用于图1所示的环境中的实施例的序列图。序列图与图2A中所示的类似,但是这里,序列的触发是客户端连接请求19。客户端设备2在图2C所示的序列之前就已经被注册,并且在这里向网关1发送客户端连接请求19。
[0074]客户端连接请求19消息可以包括需要客户端设备向应用服务器3执行识别、认证和/或安全通信的指示。备选地,客户端连接请求19被转发到应用服务器3,并随后触发用于下载IS頂的剩余序列,其中,从应用服务器3用指示需要基于3GPP的认证的消息进行响应。以这种方式,仅当需要新IS頂出现时才产生新ISHL
[0075]图3A至图3E是示出在图1的网关中执行的用于下载可电子传送的订户身份模块的方法的流程图。该方