專利名稱:結(jié)合Web應(yīng)用和網(wǎng)頁(yè)的通用引導(dǎo)架構(gòu)使用的制作方法
結(jié)合Web應(yīng)用和網(wǎng)頁(yè)的通用引導(dǎo)架構(gòu)使用技術(shù)領(lǐng)域
本發(fā)明的示例性和非限制性實(shí)施例一般地涉及無(wú)線通信系統(tǒng)、方法、設(shè)備和計(jì)算機(jī)程序,更具體地說(shuō),涉及通用弓I導(dǎo)架構(gòu)及其增強(qiáng)。
背景技術(shù):
本節(jié)旨在提供權(quán)利要求書(shū)中陳述的本發(fā)明的背景或上下文。此處的描述可以包括能夠推行的概念,但不必包括之前已經(jīng)構(gòu)想、實(shí)現(xiàn)或描述的概念。因此,除非在此另行指出, 否則本節(jié)中描述的內(nèi)容對(duì)本申請(qǐng)的說(shuō)明書(shū)和權(quán)利要求書(shū)而言并非現(xiàn)有技術(shù),并且并不會(huì)因?yàn)榧{入本節(jié)而被視為現(xiàn)有技術(shù)。
以下可能在說(shuō)明書(shū)和/或附圖中找到的縮略詞被定義為如下
AKA認(rèn)證和密鑰協(xié)商
API應(yīng)用程序接口
AUTN認(rèn)證令牌
AV認(rèn)證向量
BSF引導(dǎo)服務(wù)器功能
B-TID引導(dǎo)事務(wù)標(biāo)識(shí)符
CA證書(shū)機(jī)構(gòu)
CK密鑰
CSS級(jí)聯(lián)樣式表
DNS域名服務(wù)器
FQDN完全限定域名
GBA通用引導(dǎo)架構(gòu)
GBA_U具有基于ncc的增強(qiáng)的GBA
GUSSGBA用戶安全設(shè)置
HLR歸屬位置寄存器
HSS歸屬訂戶系統(tǒng)
HTTP超文本傳輸協(xié)議
HTTPS安全超文本傳輸協(xié)議
IK完整性密鑰
IMPIIMS私有用戶身份
IMSIP多媒體子系統(tǒng)
IP互聯(lián)網(wǎng)協(xié)議
Ks_ext__NAF GBA_U中的導(dǎo)出密鑰
MBMS多媒體廣播多播服務(wù)
NAF網(wǎng)絡(luò)應(yīng)用功能
NAF_ID網(wǎng)絡(luò)應(yīng)用功能標(biāo)識(shí)符
RAND 隨機(jī)質(zhì)詢SLF 訂戶定位功能TLS 傳輸層安全TMPI 臨時(shí) MPIUE用戶設(shè)備UICC 通用集成電路卡URI 統(tǒng)一資源標(biāo)識(shí)符URL 統(tǒng)一資源定位器XRES 期望響應(yīng) 在此感興趣的一個(gè)規(guī)范是3GPP TS33. 220V9. 2. O (2009-12)技術(shù)規(guī)范3代伙伴計(jì)劃;技術(shù)規(guī)范組業(yè)務(wù)和系統(tǒng)方面;通用認(rèn)證架構(gòu)(GAA);通用引導(dǎo)架構(gòu)(第9版),下文為了方便將其稱為3GPP TS33. 220。此處的圖1再現(xiàn)3GPP TS33. 220的圖4.1 “分別涉及各自帶有Zh、Zh’參考點(diǎn)的HSS、HRL的簡(jiǎn)單引導(dǎo)網(wǎng)絡(luò)模型”,而此處的圖2再現(xiàn)3GPP TS33. 220的圖4. 3 “引導(dǎo)程序”。要指出的是,此程序存在各種變型,這些變型可在同一文檔中找到。此處還感興趣的是3GPP TS24. 109V9. O. O (2009-12)技術(shù)規(guī)范3代伙伴計(jì)劃;技術(shù)規(guī)范組核心網(wǎng)和終端;引導(dǎo)接口(Ub)和網(wǎng)絡(luò)應(yīng)用功能接口(Ua);協(xié)議細(xì)節(jié)(第9版)。圖1示出當(dāng)部署帶有Zn參考點(diǎn)的HSS時(shí),引導(dǎo)方法中涉及的實(shí)體的簡(jiǎn)單網(wǎng)絡(luò)模型,以及在這些實(shí)體之間使用的各種參考點(diǎn)(例如,接口 Ub、Ua、Zn、Zn’、Dz)。備選地,可以部署帶有Zh’接口的HLR。當(dāng)UE希望與網(wǎng)絡(luò)應(yīng)用服務(wù)器(NAF)交互,并且其知道需要引導(dǎo)程序時(shí),它首先如圖2所示執(zhí)行引導(dǎo)認(rèn)證,否則,UE僅在從NAF接收到需要引導(dǎo)啟動(dòng)的消息或引導(dǎo)協(xié)商指示時(shí),或者在UE中的密鑰壽命到期時(shí),才執(zhí)行引導(dǎo)認(rèn)證。當(dāng)通過(guò)Ub通信時(shí),UE始終在用戶代理請(qǐng)求頭字段中包括產(chǎn)品令牌“3gpp-gba-tmpi”。當(dāng)通過(guò)Ub通信時(shí),BSF始終在服務(wù)器響應(yīng)頭字段中包括產(chǎn)品令牌“3gpp-gba_tmpi ”。在圖2所示的基本引導(dǎo)程序中執(zhí)行下面的步驟。(I) UE將HTTP請(qǐng)求發(fā)往BSF。當(dāng)與在用的MPI關(guān)聯(lián)的TMPI在UE上可用時(shí),UE在“username”參數(shù)中包括此TMPI,否則UE包括MPI。(2)BSF通過(guò)“username”參數(shù)的結(jié)構(gòu)識(shí)別發(fā)送了 TMPI還是MPI。如果發(fā)送了TMPI,則BSF在其本地?cái)?shù)據(jù)庫(kù)中查找相應(yīng)的IMPI。如果BSF未找到對(duì)應(yīng)于所接收的TMPI的MPI,則將相應(yīng)的錯(cuò)誤消息返回到UE。UE然后刪除TMPI并使用MPI重試請(qǐng)求。BSF通過(guò)來(lái)自HSS的參考點(diǎn)Zh檢索完整的GBA用戶安全設(shè)置集以及一個(gè)認(rèn)證向量(AV,AV=RAND AUTN XRES CK IK)(其中| |指示串接)。對(duì)于HLR也存在類似的構(gòu)造。在未部署帶有Zh參考點(diǎn)的HSS的情況下,BSF通過(guò)來(lái)自帶有Zh ’參考點(diǎn)支持的HLR或HSS的參考點(diǎn)Zh’檢索認(rèn)證向量。Zh’參考點(diǎn)被定義為在BSF和HLR之間使用,并允許BSF取回所需的認(rèn)證信息(請(qǐng)參閱3GPP TS33. 220,條款4. 3. 6和條款4. 4. 12)。如果BSF實(shí)現(xiàn)時(shí)間戳選項(xiàng)并具有已在上一引導(dǎo)程序期間從HSS取回的訂戶的⑶SS的本地副本,而且該GUSS包括時(shí)間戳,則BSF可以在請(qǐng)求消息中包括GUSS時(shí)間戳。在接收到該時(shí)間戳?xí)r,如果HSS實(shí)現(xiàn)時(shí)間戳選項(xiàng),則HSS可以將其與HSS中存儲(chǔ)的GUSS的時(shí)間戳進(jìn)行比較。在這種情況下,當(dāng)且僅當(dāng)HSS完成比較并且時(shí)間戳相等時(shí),HSS才將“⑶SS TIMESTAMP EQUAL”指示發(fā)送到BSF。在其他任何情況下,HSS將⑶SS (如果可用)發(fā)送到 BSF0如果BSF收到“⑶SS TIMESTAMP EQUAL”指示,則其保留⑶SS的本地副本。在其他任何情況下,BSF刪除⑶SS的本地副本并存儲(chǔ)所接收的⑶SS (如果已發(fā)送)。
(3)BSF在401消息中將RAND和AUTN轉(zhuǎn)發(fā)到UE (沒(méi)有CK、IK和XRES)。這要求 UE認(rèn)證自身。
(4)UE檢查AUTN以檢驗(yàn)質(zhì)詢來(lái)自授權(quán)網(wǎng)絡(luò);UE還計(jì)算CK、IK和RES。這將導(dǎo)致 BSF和UE兩者中的會(huì)話密鑰IK和CK。
(5) UE將包含Digest AKA響應(yīng)(使用RES計(jì)算)的另一 HTTP發(fā)送到BSF。
(6) BSF通過(guò)檢驗(yàn)Digest AKA響應(yīng)而認(rèn)證UE。
(7) BSF通過(guò)串接CK和IK來(lái)生成密鑰材料Ks。還通過(guò)采取步驟(3)中的base64 編碼RAND值以及BSF服務(wù)器名稱來(lái)生成NAI格式的B-TID值,即
base64encode(RAND)iBSF_s erver s_doma i n_name。
如果請(qǐng)求在用戶代理請(qǐng)求頭字段中包括產(chǎn)品令牌“3gpp-gba-tmpi”,則BSF計(jì)算新的TMPI,并將它與MPI —起進(jìn)行存儲(chǔ),覆蓋先前與該MPI有關(guān)的TMPI (如果有)。
(8) BSF將包括B-TID的2000K消息發(fā)送到UE以指示認(rèn)證成功。此外,在2000K消息中,BSF提供密鑰Ks的壽命。在UE中通過(guò)串接CK和IK生成密鑰材料Ks。
(9)UE和BSF都在條款_4. 5. 3中指定的過(guò)程期間使用Ks導(dǎo)出密鑰材料Ks_NAF。 Ks_NAF用于保護(hù)參考點(diǎn)Ua。
為了實(shí)現(xiàn)基于UE和BSF中的NAF名稱的一致密鑰導(dǎo)出,必須滿足以下三個(gè)必要條件中的至少一個(gè)
(a) NAF僅在一個(gè)域名(FQDN)下的DNS中是已知的,即,不存在兩個(gè)不同的域名指向NAF的IP地址。這通過(guò)管理手段實(shí)現(xiàn)。
(b)NAF的每個(gè)DNS項(xiàng)指向不同的IP地址。NAF對(duì)所有這些IP地址做出響應(yīng)。每個(gè)IP通過(guò)NAF配置綁定到相應(yīng)的FQDN。NAF可從IP地址判定哪個(gè)FQDN用于密鑰導(dǎo)出。
(c) Ua使用將主機(jī)名(如UE使用的NAF的FQDN)傳輸?shù)絅AF (例如,具有強(qiáng)制Host 請(qǐng)求頭字段的HTTP/1.1)的協(xié)議。這需要NAF檢查主機(jī)名的有效性,在適當(dāng)時(shí)在所有與UE 的通信中使用此名稱,并且將此名稱傳輸?shù)紹SF以允許正確地導(dǎo)出Ks_NAF。
UE和BSF將密鑰Ks與關(guān)聯(lián)的B-TID—起存儲(chǔ)以備后用,直到Ks的壽命到期,或者直到密鑰Ks被更新,或者直到滿足刪除條件。
最新演進(jìn)的HTML5規(guī)范(HTML5 :用于HTML和XTMAL的詞匯表及關(guān)聯(lián)API,工作草案,http://www. w3. org/TR/html5/)有望增加Web應(yīng)用開(kāi)發(fā)。一個(gè)可能的結(jié)果將是增加 Web應(yīng)用在移動(dòng)設(shè)備中的使用。但已經(jīng)認(rèn)識(shí)到,對(duì)于Web應(yīng)用的未來(lái)開(kāi)發(fā)而言,使用采取例如3GPP TS33. 220中定義的常規(guī)形式的帶GBA的HTTP Digest可能不足以確保使用此類應(yīng)用的安全性。用戶可能具有同時(shí)從他們的瀏覽器向托管不同應(yīng)用的同一服務(wù)器開(kāi)放的不同安全關(guān)聯(lián)。當(dāng)前的GBA安全架構(gòu)不能解決為每個(gè)此類應(yīng)用提供單獨(dú)安全關(guān)聯(lián)的問(wèn)題。這可能導(dǎo)致主流服務(wù)提供商出現(xiàn)安全漏洞。發(fā)明內(nèi)容
根據(jù)本發(fā)明的各示例性實(shí)施例,克服了上述和其他問(wèn)題并且實(shí)現(xiàn)了其他優(yōu)點(diǎn)。根據(jù)本發(fā)明的示例性實(shí)施例的第一方面,一種方法包括在網(wǎng)絡(luò)應(yīng)用功能處接收源自用戶設(shè)備的有關(guān)通用引導(dǎo)架構(gòu)密鑰的請(qǐng)求,所接收的請(qǐng)求包括包含統(tǒng)一資源定位器的網(wǎng)絡(luò)應(yīng)用功能標(biāo)識(shí)符。所述網(wǎng)絡(luò)應(yīng)用功能具有完全限定域名。所述方法還包括導(dǎo)致至少部分地基于包含所述網(wǎng)絡(luò)應(yīng)用功能標(biāo)識(shí)符的一部分的所述統(tǒng)一資源定位器而針對(duì)所述用戶設(shè)備生成通用弓I導(dǎo)架構(gòu)密鑰。根據(jù)示例性實(shí)施例的另一方面,一種裝置包括處理器和包括計(jì)算機(jī)程序代碼的存儲(chǔ)器。所述存儲(chǔ)器和計(jì)算機(jī)程序代碼被配置為與所述處理器一起導(dǎo)致所述裝置至少執(zhí)行以下操作在網(wǎng)絡(luò)應(yīng)用功能處接收源自用戶設(shè)備的有關(guān)通用引導(dǎo)架構(gòu)密鑰的請(qǐng)求,所接收的請(qǐng)求包括包含統(tǒng)一資源定位器的網(wǎng)絡(luò)應(yīng)用功能標(biāo)識(shí)符,其中所述網(wǎng)絡(luò)應(yīng)用功能具有完全限定域名。所述裝置還被配置為導(dǎo)致至少部分地基于包含所述網(wǎng)絡(luò)應(yīng)用功能標(biāo)識(shí)符的一部分的所述統(tǒng)一資源定位器而針對(duì)所述用戶設(shè)備生成通用引導(dǎo)架構(gòu)密鑰。
當(dāng)結(jié)合附圖閱讀時(shí),通過(guò)下面的具體實(shí)施方式
,本發(fā)明的示例性實(shí)施例的上述和其他方面將變得更顯而易見(jiàn),這些附圖是 圖1再現(xiàn)3GPP TS33. 220的圖4. 1“涉及帶有Zh參考點(diǎn)的HSS的簡(jiǎn)單引導(dǎo)網(wǎng)絡(luò)模型”;圖2再現(xiàn)3GPP TS33. 220的圖4. 3 “引導(dǎo)程序”;圖3示出多服務(wù)提供者NAF的示例性架構(gòu);圖4示出來(lái)自網(wǎng)頁(yè)的GBA訪問(wèn)的示例性序列流;圖5示出來(lái)自Web應(yīng)用(小工具)的GBA訪問(wèn)的示例性序列流;圖6示出適合于實(shí)現(xiàn)本發(fā)明的示例性實(shí)施例的裝置的簡(jiǎn)化框圖;圖7是進(jìn)一步根據(jù)本發(fā)明的示例性實(shí)施例的示出方法的操作以及計(jì)算機(jī)程序指令的執(zhí)行結(jié)果的邏輯流程圖。
具體實(shí)施例方式要指出的是,JAVA和 JAVASCRIPT 是 Sun Microsoftsystems Incorporated 的注冊(cè)商標(biāo)。FACEB00K是Facebook, Inc.的服務(wù)標(biāo)記。本發(fā)明的示例性實(shí)施例的一個(gè)方面是增強(qiáng)GBA以便至少實(shí)現(xiàn)GBA與Web應(yīng)用一起的安全使用。相關(guān)地,示例性實(shí)施例實(shí)現(xiàn)對(duì)UE平臺(tái)的簡(jiǎn)單調(diào)用(例如,Javascript調(diào)用),此調(diào)用將返回帶有B-TID的NAF特定密鑰以及有關(guān)引導(dǎo)會(huì)話的其它相關(guān)信息。但是,此功能性對(duì)于GBA核心功能性具有隱含性,因?yàn)槟壳捌溆梅ū辉O(shè)計(jì)為與諸如MBMS、HTTP Digest和TLS之類的協(xié)議一起使用,其中每個(gè)協(xié)議由一個(gè)服務(wù)服務(wù)器提供。要指出的是,基本GBA在引入某些現(xiàn)代服務(wù)(例如,由某些社交網(wǎng)站表示的服務(wù))之前設(shè)計(jì),因此,未考慮服務(wù)器的特殊設(shè)置。以下描述介紹了這些隱含性并提供了在不影響現(xiàn)有協(xié)議的情況下解決它們的解
決方案。
如在此認(rèn)為的那樣,術(shù)語(yǔ)“Web應(yīng)用”同時(shí)表示W(wǎng)eb應(yīng)用本身和使用Javascript的網(wǎng)頁(yè)。Web應(yīng)用在移動(dòng)終端中執(zhí)行,但是也可從外部源請(qǐng)求其它信息。
存在至少兩個(gè)其中可以在Javascript內(nèi)使用GBA的上下文。
第一上下文是Web應(yīng)用,其中Web應(yīng)用通常安裝到移動(dòng)設(shè)備(例如,UE)。Web應(yīng)用的格式例如可以在W3C小工具規(guī)范(小工具封裝和配置,候選推薦,http://www.w3. org/ TR/widgets/)或 Nokia WRT 小工具規(guī)范(Web Runtime 小工具,Nokia 論壇,http://www. forum, nokia. com/Technology_Topics/ffeb_TechnoIogies/ffeb_Runtime/)中指定。
Web應(yīng)用例如可以使用HTML、Javascript和CSS向用戶呈現(xiàn)信息。
CSS(級(jí)聯(lián)樣式表)是HTML4的一項(xiàng)功能,其允許開(kāi)發(fā)者在一個(gè)位置中指定格式設(shè)置并傳播此格式設(shè)置。作為一個(gè)實(shí)例,在一個(gè)位置中,開(kāi)發(fā)者可以確定所有標(biāo)題的格式設(shè)置。
第二上下文是網(wǎng)頁(yè),其中網(wǎng)頁(yè)使用HTML、Javascript和CSS向用戶呈現(xiàn)信息。通常在Web瀏覽器中呈現(xiàn)網(wǎng)頁(yè)。
Web應(yīng)用(小工具)與網(wǎng)頁(yè)之間的一個(gè)主要差別是小工具一般安裝在設(shè)備上并在設(shè)備本地執(zhí)行。另一方面,網(wǎng)頁(yè)從Web服務(wù)器下載到設(shè)備,并且然后在設(shè)備上本地執(zhí)行。在前一種情況下,小工具一般在Web Runtime或類似的環(huán)境中執(zhí)行,而網(wǎng)頁(yè)在Web瀏覽器中執(zhí)行。
在Javascript內(nèi)使用GBA的示例性用例包括對(duì)訂戶進(jìn)行認(rèn)證以及使用Ks_(ext)_ NAF密鑰對(duì)數(shù)據(jù)進(jìn)行加密和解密。認(rèn)證用例可容易地與使用HTML FORM的現(xiàn)有認(rèn)證方案集成。此集成一般在網(wǎng)頁(yè)上以用戶名/密碼框的形式呈現(xiàn)給最終用戶。支持Javascript的 GB A可以通過(guò)用B-TID取代用戶名,用Ks_ (ext) _NAF密鑰取代密碼來(lái)取代此形式。密鑰可被直接使用或與服務(wù)器側(cè)質(zhì)詢一起使用來(lái)形成散列值。加密/解密用例可以使用Javascript 實(shí)現(xiàn),并且Javascript將從手機(jī)平臺(tái)獲取密鑰。備選地,密鑰可通過(guò)導(dǎo)出獲得并可以是Web 應(yīng)用特定的。
在Javascript中使用GBA的優(yōu)點(diǎn)是所提供的靈活性,因?yàn)榭梢匀菀椎匦薷氖褂?Ks_ (ext) _NAF 密鑰的 Javascript 代碼。
首先介紹Ua安全協(xié)議標(biāo)識(shí)符。從圖1中可看到,Ua是UE和NAF之間的參考點(diǎn)。
為了將某個(gè)協(xié)議級(jí)別中的GBA密鑰與其他協(xié)議進(jìn)行區(qū)分,需要針對(duì)Web編程指定 (至少一個(gè))新的Ua安全協(xié)議標(biāo)識(shí)符。當(dāng)Javascript例如在Web瀏覽器上運(yùn)行時(shí)使用該標(biāo)識(shí)符。Javascript然后能夠從UE (例如,手機(jī))平臺(tái)請(qǐng)求GBA密鑰。借助下面描述的未來(lái)增強(qiáng),可針對(duì)Web編程,更具體地說(shuō),針對(duì)Javascript實(shí)現(xiàn)各種密鑰和密鑰分離。這確保如果一個(gè)密鑰被破解,其它服務(wù)的所有安全關(guān)聯(lián)不會(huì)均受到威脅。
現(xiàn)在介紹粒度的概念。根據(jù)當(dāng)前GBA規(guī)范,NFA_ID僅在FQDN(=DNS名稱)級(jí)別中標(biāo)識(shí)NAF。這對(duì)于其中僅通過(guò)FQDN標(biāo)識(shí)服務(wù)器的TLS之類的協(xié)議是足夠的。但通過(guò)使用 WEB編程,服務(wù)器通??梢栽谕环?wù)器中提供多個(gè)服務(wù),并且這些服務(wù)通??捎膳c服務(wù)器運(yùn)營(yíng)商簽訂服務(wù)協(xié)議的第三方來(lái)提供。
目前使用的FQDN方法的一個(gè)非限制性定義是它是因特網(wǎng)上特定計(jì)算機(jī)(主機(jī)) 的完整域名。FQDN提供足夠的信息,以便其可以被轉(zhuǎn)換為物理IP地址。FQDN包括主機(jī)名和域名。例如,WWW. xyz. com是FQDN,其中[www]是主機(jī),[xyz]是域名,并且[.com]是頂級(jí)域(TLD)名。
例如,F(xiàn)acebook具有服務(wù)器apps. facebook. com,其中服務(wù)實(shí)際通過(guò)URL標(biāo)識(shí),并非僅通過(guò)FQDN標(biāo)識(shí)。因此,apps. facebook. com/servicel 和 apps. facebook. com/service2可以通過(guò)兩個(gè)不同的服務(wù)提供商運(yùn)營(yíng),盡管它們?cè)谕环?wù)器上運(yùn)行。此方案不適合GBA的當(dāng)前版本,因?yàn)樘囟ㄓ谶@兩個(gè)實(shí)例的NAF將導(dǎo)致生成完全相同的密鑰(多個(gè))。這將暗示兩個(gè)服務(wù)與用戶的安全關(guān)聯(lián)完全相同,并且可導(dǎo)致不希望出現(xiàn)的情況,即,servicel可從service2獲取用戶數(shù)據(jù)。要指出的是,如果其中一個(gè)服務(wù)例如是支付服務(wù),則情況尤其嚴(yán)重。此問(wèn)題的一個(gè)解決方案是在不違反現(xiàn)有使用的情況下擴(kuò)展NAF_ID構(gòu)造。將使用完整的URL,而不是在NAF_ID中僅使用FQDN。此方法在構(gòu)造NAF_ID時(shí)提供足夠的粒度并允許針對(duì)GBA中的不同服務(wù)具有不同密鑰。其中的邏輯是借助指示W(wǎng)eb應(yīng)用使用的Ua安全協(xié)議標(biāo)識(shí)符,NAF_ID構(gòu)造將變得不同。現(xiàn)在根據(jù)本發(fā)明示例性實(shí)施例的一個(gè)方面介紹BSF中的NAF_ID授權(quán)的概念。如果NAF_ID可以不只是包括FQDN和Ua協(xié)議標(biāo)識(shí)符,則會(huì)產(chǎn)生有關(guān)BSF如何檢查該NAF被授 權(quán)使用特定URL的問(wèn)題。在簡(jiǎn)單情況下,BSF可以使用帶有修改的現(xiàn)有方法即,BSF可以檢查URL的FQDN部分是否與特定NAF有權(quán)為其請(qǐng)求GBA密鑰的FQDN匹配。這樣便已足夠,因?yàn)樗邪ㄏ嗤現(xiàn)QDN的HTTP請(qǐng)求均路由到由單個(gè)服務(wù)器運(yùn)營(yíng)商(即,NAF)擁有的單個(gè)管理域。NAF運(yùn)營(yíng)商然后托管可屬于第三方的實(shí)際服務(wù)。這樣,BSF執(zhí)行粗粒度訪問(wèn)控制以驗(yàn)證特定NAF被授權(quán)處理URL。這基于在URL中存在的FQDN。NAF將執(zhí)行細(xì)粒度訪問(wèn)控制以驗(yàn)證其服務(wù)器上運(yùn)行的哪個(gè)應(yīng)用能夠存取特定密鑰。這基于URL的非FQDN部分?,F(xiàn)在介紹NAF中的NAF_ID授權(quán)的概念。參考圖3,其中示出UE10、NAF20和BSF30,并且還示出NAF20托管多個(gè)服務(wù)(由不同運(yùn)營(yíng)方運(yùn)營(yíng)的服務(wù)_1、服務(wù)_2、服務(wù)_n)的情況。在該實(shí)例中,運(yùn)行NAF20的單服務(wù)器平臺(tái)需要在服務(wù)請(qǐng)求GBA密鑰時(shí)實(shí)施訪問(wèn)控制。假設(shè)NAF20包括NAF功能22,并且假設(shè)UElO包括GBA功能12。在圖3中,假設(shè)NAF20服務(wù)器托管能夠運(yùn)行多個(gè)服務(wù)的平臺(tái),其中服務(wù)可由不同運(yùn)營(yíng)方運(yùn)營(yíng)。在這種情況下,有必要在每個(gè)服務(wù)之間實(shí)施密鑰差異化,否則UElO中的任何應(yīng)用(應(yīng)用_1、應(yīng)用_2、應(yīng)用_n)都能訪問(wèn)NAF20中的任何服務(wù)。換言之,在使用現(xiàn)有GBA架構(gòu)(其中NAF_ID僅包括NAF的FQDN)的情況下,如果Ua協(xié)議(用于服務(wù)的協(xié)議)相同,則訪問(wèn)每個(gè)服務(wù)的密鑰也相同。借助上述NAF_ID粒度的增強(qiáng),可以針對(duì)NAF20中托管的每個(gè)服務(wù)具有不同密鑰。但是,NAF運(yùn)營(yíng)商應(yīng)能夠限制對(duì)密鑰的訪問(wèn),使得只有授權(quán)服務(wù)才能訪問(wèn)它們的密鑰。此問(wèn)題的一種解決方案是在NAF20服務(wù)器中提供NAF功能22,每個(gè)服務(wù)通過(guò)此功能請(qǐng)求GBA密鑰。當(dāng)服務(wù)請(qǐng)求密鑰時(shí),它將提供所使用的NAF_ID (即,帶有Ua安全協(xié)議標(biāo)識(shí)符的URL),并且NAF功能22檢查對(duì)應(yīng)的服務(wù)被授權(quán)訪問(wèn)所請(qǐng)求的密鑰。在簡(jiǎn)單情況下,可對(duì)照服務(wù)的允許URL (多個(gè))進(jìn)行檢查來(lái)執(zhí)行此操作。如果授予訪問(wèn)權(quán)限,則NAF功能22將請(qǐng)求轉(zhuǎn)發(fā)到BSF30。BSF30然后如以上根據(jù)BSF中的NAF_ID授權(quán)的概念所述的那樣執(zhí)行授權(quán)檢查?,F(xiàn)在首先針對(duì)網(wǎng)頁(yè)情況介紹URL授權(quán),然后相對(duì)于Web應(yīng)用情況介紹URL授權(quán)。在網(wǎng)頁(yè)情況下,假設(shè)根據(jù)URL在服務(wù)器中訪問(wèn)服務(wù)。URL包含服務(wù)特定部分,此部分還可包括附加部分,例如參數(shù)。因此,URL的格式和內(nèi)容可以在每個(gè)發(fā)送到NAF20的HTTP請(qǐng)求中更改。因此,示例性實(shí)施例的一個(gè)方面是允許服務(wù)修改或“修剪(trim)”URL,使得它變得更通用,例如,在提交給NAF功能22進(jìn)行檢查之前,如果必要,可采取各種操作將URL 修改為服務(wù)器的根(例如,“http://apps. operator, com/”)以使密鑰變得通用。但是,優(yōu)選地不允許服務(wù)將URL與任意字符串進(jìn)行串接,因?yàn)檫@將使服務(wù)能夠獲取其未被授權(quán)獲取的密鑰。類似地,UElO將針對(duì)應(yīng)用實(shí)施相同的規(guī)則。
作為一個(gè)非限制性實(shí)例,假設(shè)網(wǎng)頁(yè)已從http://apps. operator, com/servicel/ init加載到瀏覽器。允許在該網(wǎng)頁(yè)上執(zhí)行的Javascript使用以下URL (由托管網(wǎng)頁(yè)的瀏覽器平臺(tái)實(shí)施)
-http://apps. operator, com/servicel/init
-http://apps. operator, com/servicel/
-http://apps. operator, com/servicel
-http: //apps. operator, com
但是,不允許Javascript使用以下URL
-http://apps. operator, com/service2
-http: //apps2. operator, com。
如果此類實(shí)施方案得到保證,則NAF20可以確定僅允許網(wǎng)頁(yè)訪問(wèn)已從可接受的 URL導(dǎo)出的GBA密鑰。這種方法的一個(gè)優(yōu)點(diǎn)是對(duì)UElO中GBA密鑰的授權(quán)可以是自動(dòng)的,因?yàn)榫W(wǎng)頁(yè)只能訪問(wèn)從下載網(wǎng)頁(yè)所用的URL導(dǎo)出的那些GBA密鑰。網(wǎng)頁(yè)只能通過(guò)從“最低有效部分”刪除URL的某些部分來(lái)使GBA密鑰變得更“通用”,但它不能訪問(wèn)屬于NAF20上運(yùn)行的其它服務(wù)的GBA密鑰。
類似地,NAF功能22實(shí)施URL修剪,并允許訪問(wèn)更通用的URL,同時(shí)不允許服務(wù)將 URL與某些任意字符串進(jìn)行串接。
當(dāng)此類URL用法在UElO和NAF20中都適當(dāng)?shù)貙?shí)施時(shí),可確保只有授權(quán)的服務(wù) (UE10中的網(wǎng)頁(yè)和NAF20中的服務(wù))才能訪問(wèn)GBA密鑰(而非其它某種(些)服務(wù))。
在Web應(yīng)用情況下,應(yīng)用安裝在設(shè)備上(例如,UElO上),因此沒(méi)有類似于網(wǎng)頁(yè)情況的默認(rèn)機(jī)制來(lái)處理URL授權(quán)(因?yàn)閼?yīng)用在UElO的本地運(yùn)行)。因此,需要一種執(zhí)行URL授權(quán)的機(jī)制。
Web應(yīng)用可以被數(shù)字簽名或其某些部分可以被數(shù)字簽名。在這種情況下,Web應(yīng)用的簽名者可以具有已經(jīng)過(guò)可信機(jī)構(gòu)或證書(shū)機(jī)構(gòu)(CA)或其它可信實(shí)體認(rèn)證的簽名密鑰,即, 簽名者具有來(lái)自CA的有效證書(shū),或者簽名密鑰附帶自簽名證書(shū)。根據(jù)本發(fā)明示例性實(shí)施例的一個(gè)方面,針對(duì)Web應(yīng)用建立了多個(gè)信任級(jí)別,例如,三個(gè)信任級(jí)別,并且取決于信任級(jí)別,Web應(yīng)用可以訪問(wèn)與URL關(guān)聯(lián)的一個(gè)或多個(gè)GBA密鑰。
信任級(jí)別2 =Web應(yīng)用被數(shù)字地簽名,并且簽名者具有來(lái)自CA的證書(shū)。此外,CA本身或簽名者已在UElO中被指定為“可信”。在這種情況下,Web應(yīng)用具有對(duì)GBA密鑰的完全訪問(wèn)權(quán)限,即,它可以在Web應(yīng)用上下文中請(qǐng)求任何GBA密鑰。也就是說(shuō),始終使用Web應(yīng)用Ua安全協(xié)議標(biāo)識(shí)符。此類Web應(yīng)用一般可由移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商或由設(shè)備供應(yīng)商提供。
信任級(jí)別1:Web應(yīng)用被數(shù)字地簽名,并且簽名者具有來(lái)自CA的證書(shū),或者簽名者具有自簽名證書(shū),簽名者和CA均未在UElO中被指定為“可信”,或者基于來(lái)自其它用戶的推薦,可能被視為值得信任。在這種情況下,UElO控制對(duì)GBA密鑰的訪問(wèn)。當(dāng)信任級(jí)別為I的 Web應(yīng)用訪問(wèn)GBA密鑰時(shí),UElO通過(guò)向URL標(biāo)識(shí)的服務(wù)器發(fā)出請(qǐng)求,然后檢查對(duì)應(yīng)的Web應(yīng)用是否有權(quán)獲取所述GBA密鑰來(lái)驗(yàn)證請(qǐng)求。如果授予訪問(wèn)權(quán)限,則為Web應(yīng)用提供GBA密鑰。此授權(quán)可以是一次性授權(quán),其中在Web應(yīng)用每次請(qǐng)求訪問(wèn)GBA密鑰時(shí),UElO都會(huì)向服務(wù)器驗(yàn)證請(qǐng)求,此授權(quán)也可以是一攬子授權(quán),其中自動(dòng)為任何后續(xù)GBA密鑰請(qǐng)求授權(quán)。此過(guò)程在下面進(jìn)一步詳細(xì)描述。此類Web應(yīng)用一般由還運(yùn)營(yíng)第三方NAF(S卩,正在被訪問(wèn)的服務(wù)器)并且與移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商簽署協(xié)議的第三方來(lái)提供。信任級(jí)別O :Web應(yīng)用未經(jīng)數(shù)字簽名。在這種情況下,Web應(yīng)用無(wú)法訪問(wèn)GBA密鑰。要指出的是,上述URL修剪還可以由Web應(yīng)用使用,因?yàn)樗鼈兛赡芰硗庑枰筛ㄓ玫腉BA密鑰。下面參考圖4和5描述兩個(gè)序列流。圖4示出網(wǎng)頁(yè)用例的序列流實(shí)例,而圖5示出Web應(yīng)用用例的序列流實(shí)例。
圖4示出描述移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商向Web服務(wù)器進(jìn)行基于GBA的認(rèn)證的程序的序列流實(shí)例。此序列流可以容易地取代基于HTML表單的現(xiàn)有用戶名/密碼認(rèn)證或與之共存,并且網(wǎng)頁(yè)上的Javascript可以檢測(cè)GBA是否可用。圖4的序列流假設(shè)UElO中存在Web瀏覽器14以及GBA功能12。圖4的(示例性)序列流如下1.最終用戶選擇轉(zhuǎn)到網(wǎng)頁(yè)。瀏覽器14向服務(wù)器(NAF)20的URL做出傳統(tǒng)的HTTPGET請(qǐng)求。2.服務(wù)器20返回2000K HTTP狀態(tài)消息。網(wǎng)頁(yè)包含能夠執(zhí)行GBA密鑰請(qǐng)求的Javascript ο3.網(wǎng)頁(yè)被構(gòu)造為包含向最終用戶呈現(xiàn)的按鈕,例如“以運(yùn)營(yíng)商登錄(Login withOperator)”。按鈕連接到Javascript (onClick),使得在按下按鈕時(shí)啟動(dòng)GBA認(rèn)證。當(dāng)最終用戶按下按鈕時(shí),執(zhí)行步驟4。4.網(wǎng)頁(yè)的Javascript使用getGBAKey (url)函數(shù)調(diào)用GBA功能12。這導(dǎo)致調(diào)用處理請(qǐng)求的GBA功能12。5.在接收到來(lái)自瀏覽器14的GBA密鑰請(qǐng)求時(shí),GBA功能12檢查網(wǎng)頁(yè)為GBA功能提供的URL是網(wǎng)頁(yè)自己的URL (在Javascript中document. location, href)的同一版本還是修剪后的版本。如果驗(yàn)證成功,則GBA功能12允許訪問(wèn)GBA密鑰并根據(jù)以下方式導(dǎo)出GBA 密鑰Ks_(ext)_NAF=KDF(Ks, “gba-me”, RAND, IMP I, NAF_Id),其中 NAF_Id 是與 Web 應(yīng)用上下文的新Ua安全協(xié)議標(biāo)識(shí)符串接的URL。6.將帶有B-TID的導(dǎo)出GBA密鑰返回到Web服務(wù)器(B卩,網(wǎng)頁(yè)的Javascript)。7.網(wǎng)頁(yè)的Javascript準(zhǔn)備Web瀏覽器14以向服務(wù)器20做出HTTP POST請(qǐng)求。GBA密鑰和B-TID將在HTTP有效負(fù)載中發(fā)送到服務(wù)器20。8. Web瀏覽器14使用HTTP有效負(fù)載中的GBA密鑰和B-TID做出HTTP POST請(qǐng)求。9.服務(wù)器(應(yīng)?)20從!111 請(qǐng)求提取8-1'10,并通過(guò)211接口從85 30取回1^_(ext)_NAF密鑰。在從BSF接收Ks_(eXt)_NAF密鑰之后,服務(wù)器20將收到的Ks_(ext)_NAF密鑰與從UElO接收的密鑰進(jìn)行比較。如果這兩個(gè)密鑰匹配,則服務(wù)器將會(huì)話標(biāo)記為已認(rèn)證。10.服務(wù)器20將指示認(rèn)證成功的HTTP響應(yīng)發(fā)送到Web瀏覽器14,同時(shí)設(shè)置HTTP會(huì)話cookie來(lái)處理已認(rèn)證的會(huì)話。
要指出的是,可以對(duì)上面參考圖4描述的示例性會(huì)話流做出若干修改。例如,在步驟3中,Javascript或Web代碼可以檢測(cè)Web瀏覽器14中是否具有可用GBA功能12。如果沒(méi)有此功能,則Javascript僅啟用傳統(tǒng)基于用戶名/密碼的認(rèn)證。如果Web瀏覽器14 中具有可用GBA功能12,則還顯示“以運(yùn)營(yíng)商登錄”按鈕(并可選地禁用常規(guī)用戶名/密碼登錄)。
進(jìn)一步作為實(shí)例,在步驟7中,Javascript可以基于GBA密鑰計(jì)算服務(wù)器特定的認(rèn)證響應(yīng)??赡芤言诓襟E2收到質(zhì)詢,并且當(dāng)從GBA功能12返回GBA密鑰時(shí),Javascript可以計(jì)算GBA密鑰和質(zhì)詢的散列。在步驟8,將認(rèn)證響應(yīng)而非GBA密鑰返回到服務(wù)器20??删哂匈|(zhì)詢記錄的服務(wù)器20然后在從BSF接收Ks_(ext)_NAF密鑰時(shí)計(jì)算同一散列。如果服務(wù)器20計(jì)算的散列與接收自Web瀏覽器14的認(rèn)證響應(yīng)匹配,則最終用戶被認(rèn)證。
再次要指出的是,上述序列流只是一個(gè)非限制性實(shí)例,因?yàn)榫W(wǎng)絡(luò)運(yùn)營(yíng)商可以使用基于Javascript的GBA API實(shí)施它們自己的(定制)登錄程序。
圖5示出描述UElO驗(yàn)證Web應(yīng)用對(duì)GBA密鑰的請(qǐng)求的程序的序列流實(shí)例。
該示例性序列流如下。
1.用戶啟動(dòng)Web應(yīng)用16 (例如,小工具)。
2. Web應(yīng)用開(kāi)始執(zhí)行。
步驟3-10與上面參考圖4描述的步驟類似。要指出的是,在步驟5,GBA功能處理 GBA請(qǐng)求,以便在步驟6,將GBA密鑰返回到Web應(yīng)用。
應(yīng)指出的是,如參考圖4描述的那樣,可以對(duì)上面參考圖5描述的示例性會(huì)話流做出若干修改。
應(yīng)該理解,上面的描述提供了新的GBA用例,例如,如何結(jié)合使用GBA與例如使用 HTML5、Javascript 和CSS的Web應(yīng)用和網(wǎng)頁(yè)。示例性實(shí)施例至少部分地提供新的Ua安全協(xié)議標(biāo)識(shí)符來(lái)標(biāo)識(shí)Web應(yīng)用用例,例如,HTML5、Javascript和CSS。示例性實(shí)施例還至少部分地提供NAF_ID格式擴(kuò)展以包括完整URL (與只有FQDN相對(duì))。
示例性實(shí)施例還至少部分地提供擴(kuò)展的NAF_ID格式。
下面是擴(kuò)展的NAF_ID格式的一個(gè)實(shí)例
[protocol] FQDN [port] [service],其中
[protocol]指定用戶協(xié)議,例如“http://”或“https://”。在此擴(kuò)展的NAF_ID格式中,[port]指定端口,前提是未使用默認(rèn)端口(例如“8080”)。要指出的是,在HTTP情況下,使用默認(rèn)端口 “80”將導(dǎo)致與其中默認(rèn)端口不在URL中的情況相比,生成不同的密鑰。 (例如,“http://example, com/”對(duì)“http://example, com/:80,,)。在此擴(kuò)展的 NAF_ID 格式中,[service]指定被訪問(wèn)的服務(wù),例如“/servicel/”。在此擴(kuò)展的NAF_ID格式中,Ua安全協(xié)議標(biāo)識(shí)符附加在URL末尾,然后創(chuàng)建Ks_(eXt/int)_NAF
[protocol]FQDN[port][service][UaSecProtID]。
示例性實(shí)施例還提供NAF_ID (URL授權(quán))以就哪些架構(gòu)實(shí)例有權(quán)訪問(wèn)哪些GBA密鑰實(shí)施訪問(wèn)控制。例如,BSF30中可包含URL檢查,其中NAF20的FQDN是URL的一部分。進(jìn)一步作為實(shí)例,NAF20中可包含URL檢查,其中NAF功能22可檢查特定服務(wù)是否被允許使用URL。進(jìn)一步作為實(shí)例,UElO中可包含URL檢查,其中UElO可以檢查特定網(wǎng)頁(yè)是否被允許使用URL。
示例性實(shí)施例還支持在UElO中和在NAF應(yīng)用22中使用URL修剪,以使得GBA密鑰能夠變得更通用。示例性實(shí)施例還在UElO和NAF20之間提供URL檢查,其中UElO可以向NAF20進(jìn)行查詢以了解是否允許特定簽名者訪問(wèn)URL。還應(yīng)理解,示例性實(shí)施例不限于與Web應(yīng)用和網(wǎng)頁(yè)結(jié)合使用的單個(gè)Ua安全協(xié)議標(biāo)識(shí)符。相反,示例性實(shí)施例還包括其中存在多個(gè)Ua安全協(xié)議標(biāo)識(shí)符的情況。因此,上面對(duì)Ua安全協(xié)議的引用應(yīng)被理解為包括一個(gè)以上用于Web應(yīng)用/網(wǎng)頁(yè)上下文的Ua安全協(xié)議標(biāo)識(shí)符的可能性。一般而言,選擇使用哪個(gè)Ua安全協(xié)議標(biāo)識(shí)符至少部分地取決于其中執(zhí)行Javascript的上下文。在網(wǎng)頁(yè)情況下(即,使用瀏覽器MD),首先考慮是否通過(guò)https(HTTP/TLS)下載網(wǎng)頁(yè),(其次考慮)是否通過(guò)http (HTTP,無(wú)TLS)下載網(wǎng)頁(yè)。在獨(dú)立Web應(yīng)用情況下(例如,在Web Runtime上執(zhí)行的小工具),需要額外考慮三個(gè)事項(xiàng)即,小工具是否 具有信任級(jí)別2 (簽名者證書(shū)可鏈接到可信CA),或者小工具是否具有信任級(jí)別I (自簽名,或者CA證書(shū)未標(biāo)記為可信),或者小工具是否具有信任級(jí)別O (未簽名)。 將允許上述考慮所涵蓋的全部各種情況獲取GBA密鑰,但是使用哪個(gè)Ua安全協(xié)議標(biāo)識(shí)符取決于上面的區(qū)分,因此,根據(jù)該非限制性實(shí)例,可在Web應(yīng)用/網(wǎng)頁(yè)域中使用五種Ua安全協(xié)議標(biāo)識(shí)符。在其它實(shí)施例中,所定義和使用的Ua安全協(xié)議標(biāo)識(shí)符可多于或少于五個(gè)。根據(jù)上面所述,顯而易見(jiàn),本發(fā)明的示例性實(shí)施例提供一種增強(qiáng)GBA操作的方法、裝置和計(jì)算機(jī)程序(多個(gè))。可以參考圖6,其中示出適合于實(shí)現(xiàn)上述本發(fā)明示例性實(shí)施例的裝置的簡(jiǎn)化框圖。一般而言,UElO可以包括至少一個(gè)數(shù)據(jù)處理器15A,該處理器與至少一個(gè)存儲(chǔ)軟件(SW)15C的存儲(chǔ)器15B相連,所述軟件被配置為執(zhí)行根據(jù)上述示例性實(shí)施例的各方面的方法和程序,其中包括圖3所示的GBA功能12的功能。存儲(chǔ)器15B還可存儲(chǔ)實(shí)現(xiàn)各種應(yīng)用(應(yīng)用_1、應(yīng)用_2、...、應(yīng)用_n)的軟件以及實(shí)現(xiàn)Web瀏覽器I 的軟件。對(duì)于UElO為無(wú)線設(shè)備的情況,還提供至少一個(gè)被配置為提供與網(wǎng)絡(luò)接入節(jié)點(diǎn)40 (例如,基站)的無(wú)線連接性的無(wú)線收發(fā)機(jī)(例如,射頻或光收發(fā)機(jī))。UElO通過(guò)網(wǎng)絡(luò)接入節(jié)點(diǎn)40和網(wǎng)絡(luò)42連接到NAF20和BSF30,后兩者又通過(guò)相同或不同的網(wǎng)絡(luò)相互連接在一起。NAF20可以包括至少一個(gè)數(shù)據(jù)處理器25A,該處理器與至少一個(gè)存儲(chǔ)軟件25C的存儲(chǔ)器25B相連,軟件25C被配置為執(zhí)行根據(jù)上述示例性實(shí)施例的各方面的方法和程序,其中包括圖3所示的NAF功能22的功能。還可以假設(shè)軟件25C—般滿足例如3GPP TS33. 220中描述的總體NAF功能的要求。存儲(chǔ)器25B
還可存儲(chǔ)實(shí)現(xiàn)各種服務(wù)(服務(wù)_1、服務(wù)_2.....服務(wù)_n)的軟件。BSF30可以包括至少一個(gè)
數(shù)據(jù)處理器35A,該處理器與至少一個(gè)存儲(chǔ)軟件35C的存儲(chǔ)器35B相連,軟件35C被配置為執(zhí)行根據(jù)上述示例性實(shí)施例的各方面的方法和程序,以及一般滿足例如3GPP TS33. 220中描述的總體BSF功能的要求。要指出的是,在某些實(shí)施例中,瀏覽器I 和GBA功能12可以位于不同的(單獨(dú)的)設(shè)備中。例如,示例性實(shí)施例還包括其中用戶通過(guò)個(gè)人計(jì)算機(jī)(PC)進(jìn)行瀏覽并通過(guò)藍(lán)牙或其它類型連接使用UEio中的GBA功能12的情況。圖7是進(jìn)一步根據(jù)本發(fā)明的示例性實(shí)施例的示出方法的操作以及計(jì)算機(jī)程序指令的執(zhí)行結(jié)果的邏輯流程圖。根據(jù)這些示例性實(shí)施例,一種方法在方塊7A執(zhí)行以下步驟 接收源自用戶設(shè)備的有關(guān)通用引導(dǎo)架構(gòu)密鑰的請(qǐng)求,所接收的請(qǐng)求包括包含統(tǒng)一資源定位器的網(wǎng)絡(luò)應(yīng)用功能標(biāo)識(shí)符,其中所述網(wǎng)絡(luò)應(yīng)用功能具有完全限定域名。在方框7B,執(zhí)行以下步驟導(dǎo)致至少部分地基于包含所述網(wǎng)絡(luò)應(yīng)用功能標(biāo)識(shí)符的一部分的所述統(tǒng)一資源定位器而針對(duì)所述用戶設(shè)備生成通用弓I導(dǎo)架構(gòu)密鑰。
圖7所示的各個(gè)方框可以被視為方法步驟,以及/或者視為通過(guò)執(zhí)行計(jì)算機(jī)程序代碼導(dǎo)致的操作,以及/或者視為被構(gòu)建成執(zhí)行關(guān)聯(lián)功能(多個(gè))的多個(gè)耦合的邏輯電路元件。
示例性實(shí)施例還包括一種裝置,其中網(wǎng)絡(luò)應(yīng)用功·能具有完全限定域名,并且其中所述裝置包括用于接收源自用戶設(shè)備的有關(guān)通用引導(dǎo)架構(gòu)密鑰的請(qǐng)求的部件,所接收的請(qǐng)求包括包含統(tǒng)一資源定位器的網(wǎng)絡(luò)應(yīng)用功能標(biāo)識(shí)符;以及用于導(dǎo)致至少部分地基于包含所述網(wǎng)絡(luò)應(yīng)用功能標(biāo)識(shí)符的一部分的所述統(tǒng)一資源定位器而針對(duì)所述用戶設(shè)備生成通用引導(dǎo)架構(gòu)密鑰的部件。
一般而言,各種示例性實(shí)施例可以在硬件或?qū)S秒娐贰④浖?、邏輯或它們的任何組合中實(shí)現(xiàn)。例如,某些方面可以在硬件中實(shí)現(xiàn),而其它方面可以在可由控制器、微處理器或其它計(jì)算設(shè)備執(zhí)行的固件或軟件中實(shí)現(xiàn),盡管本發(fā)明并不限于此。雖然本發(fā)明的示例性實(shí)施例的各方面可被示出和描述為框圖、流程圖或使用其它某些圖形表示,但是很容易理解, 作為非限制性實(shí)例,在此描述的這些方框、裝置、系統(tǒng)、技術(shù)或方法可以在硬件、軟件、固件、 專用電路或邏輯、通用硬件或控制器或其它計(jì)算設(shè)備,或者它們的某種組合中實(shí)現(xiàn)。
因此,應(yīng)該理解,本發(fā)明的示例性實(shí)施例的至少某些方面可以在諸如集成電路芯片和模塊之類的各種組件中實(shí)現(xiàn),并且本發(fā)明的示例性實(shí)施例可以在體現(xiàn)為集成電路的裝置中實(shí)現(xiàn)。一個(gè)或多個(gè)集成電路可以包括用于體現(xiàn)一個(gè)或多個(gè)數(shù)據(jù)處理器、一個(gè)或多個(gè)數(shù)字信號(hào)處理器、基帶電路和射頻電路中的至少一項(xiàng)或多項(xiàng)的電路(以及可能是固件),上述電路可被配置為根據(jù)本發(fā)明的示例性實(shí)施例執(zhí)行操作。
如在以上顯而易見(jiàn)的,可對(duì)本發(fā)明的上述示例性實(shí)施例做出各種修改和改變,當(dāng)結(jié)合附圖閱讀時(shí),通過(guò)上面的描述,其它修改對(duì)于相關(guān)領(lǐng)域的技術(shù)人員而言將變得顯而易見(jiàn)。但是,部分和全部修改仍落在本發(fā)明的非限制性和示例性實(shí)施例的范圍內(nèi)。
應(yīng)該理解,本發(fā)明的示例性實(shí)施例不限于與任何一種特定類型的無(wú)線通信系統(tǒng)結(jié)合使用,并且可以理解,這些實(shí)施例可以有利地在包括蜂窩和非蜂窩無(wú)線通信系統(tǒng)的各種不同的無(wú)線通信系統(tǒng)中使用。
要指出的是,術(shù)語(yǔ)“連接”、“耦合”或它們的任何變型表示一個(gè)或多個(gè)元件之間的直接或間接連接或耦合,并且可以包括“連接”或“耦合”在一起的兩個(gè)元件之間存在一個(gè)或多個(gè)中間元件。元件之間的耦合或連接可以是物理連接或耦合、邏輯連接或耦合或它們的組合。如在此采用的那樣,兩個(gè)元件可以被視為使用一個(gè)或多個(gè)線路、電纜和/或印刷電氣連接,以及使用電磁能“連接”或“耦合”在一起,作為若干非限制性和非窮舉的實(shí)例,所述電磁能包括具有射頻區(qū)域、微波區(qū)域和光(可見(jiàn)和不可見(jiàn))區(qū)域中的波長(zhǎng)的電磁能。
此外,可以在不對(duì)其它特征進(jìn)行相應(yīng)使用的情況下,有利地使用本發(fā)明的各種非限制性和示例性實(shí)施例的某些特征。因此,上面的描述應(yīng)被視為僅用于例示本發(fā)明的原理、 教導(dǎo)和示例性實(shí)施例,而非對(duì)本發(fā)明做出任何限制。
權(quán)利要求
1.一種方法,包括在網(wǎng)絡(luò)應(yīng)用功能處接收源自用戶設(shè)備的有關(guān)通用引導(dǎo)架構(gòu)密鑰的請(qǐng)求,所接收的請(qǐng)求包括包含統(tǒng)一資源定位器的網(wǎng)絡(luò)應(yīng)用功能標(biāo)識(shí)符,其中所述網(wǎng)絡(luò)應(yīng)用功能具有完全限定域名;以及導(dǎo)致至少部分地基于包含所述網(wǎng)絡(luò)應(yīng)用功能標(biāo)識(shí)符的一部分的所述統(tǒng)一資源定位器而針對(duì)所述用戶設(shè)備生成通用弓I導(dǎo)架構(gòu)密鑰。
2.根據(jù)權(quán)利要求1的方法,其中所述網(wǎng)絡(luò)應(yīng)用功能托管多個(gè)服務(wù),其中所述統(tǒng)一資源定位器接收自所述用戶設(shè)備并包含與所述多個(gè)服務(wù)之一關(guān)聯(lián)的服務(wù)特定部分。
3.根據(jù)權(quán)利要求2的方法,還包括在導(dǎo)致生成所述密鑰之前,可選地修剪所述統(tǒng)一資源定位器。
4.根據(jù)權(quán)利要求3的方法,其中所接收的請(qǐng)求包括修剪后的統(tǒng)一資源定位器。
5.根據(jù)權(quán)利要求3的方法,其中所接收的請(qǐng)求包括完整的或部分的統(tǒng)一資源定位器, 并且其中在所述網(wǎng)絡(luò)應(yīng)用功能中執(zhí)行修剪所述統(tǒng)一資源定位器。
6.根據(jù)上述任一權(quán)利要求的方法,其中響應(yīng)于所述用戶設(shè)備執(zhí)行網(wǎng)頁(yè)而發(fā)起所述請(qǐng)求。
7.根據(jù)權(quán)利要求1的方法,其中響應(yīng)于所述用戶設(shè)備執(zhí)行應(yīng)用而發(fā)起所述請(qǐng)求,并且其中所述統(tǒng)一資源定位器具有附加到其的后綴,所述后綴指示所述請(qǐng)求針對(duì)被允許獲取所述統(tǒng)一資源定位器的通用引導(dǎo)架構(gòu)密鑰的一系列已授權(quán)應(yīng)用。
8.根據(jù)權(quán)利要求7的方法,其中僅當(dāng)所述應(yīng)用的信任級(jí)別為以下情況時(shí)才發(fā)起所述請(qǐng)求所述應(yīng)用被數(shù)字地簽名,并且簽名者或者具有來(lái)自證書(shū)機(jī)構(gòu)的證書(shū),或者所述簽名者具有自簽名的證書(shū),并且其中所述簽名者或所述證書(shū)機(jī)構(gòu)均未在所述用戶設(shè)備中被指定為可 目。
9.根據(jù)權(quán)利要求7或權(quán)利要求8的方法,還包括可選地修剪所述統(tǒng)一資源定位器。
10.根據(jù)上述任一權(quán)利要求的方法,其中結(jié)合超文本傳輸協(xié)議消息接收所述請(qǐng)求。
11.根據(jù)上述任一權(quán)利要求的方法,其中通過(guò)在所述網(wǎng)絡(luò)應(yīng)用功能與所述用戶設(shè)備之間定義的接口接收所述請(qǐng)求,并且其中所述請(qǐng)求包括與所述用戶設(shè)備的Web應(yīng)用/網(wǎng)頁(yè)上下文關(guān)聯(lián)的多個(gè)接口安全協(xié)議標(biāo)識(shí)符之一。
12.根據(jù)上述任一權(quán)利要求的方法,作為至少一個(gè)數(shù)據(jù)處理器執(zhí)行計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)上存儲(chǔ)的計(jì)算機(jī)程序指令的結(jié)果而執(zhí)行。
13.一種裝置,包括處理器;以及包括計(jì)算機(jī)程序代碼的存儲(chǔ)器,其中所述存儲(chǔ)器和計(jì)算機(jī)程序代碼被配置為與所述處理器一起導(dǎo)致所述裝置至少執(zhí)行以下操作在網(wǎng)絡(luò)應(yīng)用功能處接收源自用戶設(shè)備的有關(guān)通用引導(dǎo)架構(gòu)密鑰的請(qǐng)求,所接收的請(qǐng)求包括包含統(tǒng)一資源定位器的網(wǎng)絡(luò)應(yīng)用功能標(biāo)識(shí)符,其中所述網(wǎng)絡(luò)應(yīng)用功能具有完全限定域名;以及導(dǎo)致至少部分地基于包含所述網(wǎng)絡(luò)應(yīng)用功能標(biāo)識(shí)符的一部分的所述統(tǒng)一資源定位器而針對(duì)所述用戶設(shè)備生成通用弓I導(dǎo)架構(gòu)密鑰。
14.根據(jù)權(quán)利要求13的裝置,其中所述網(wǎng)絡(luò)應(yīng)用功能托管多個(gè)服務(wù),其中所述統(tǒng)一資源定位器接收自所述用戶設(shè)備并包含與所述多個(gè)服務(wù)之一關(guān)聯(lián)的服務(wù)特定部分。
15.根據(jù)權(quán)利要求14的裝置,其中在導(dǎo)致生成所述密鑰之前,可選地修剪所述統(tǒng)一資源定位器。
16.根據(jù)權(quán)利要求15的裝置,其中所接收的請(qǐng)求包括修剪后的統(tǒng)一資源定位器。
17.根據(jù)權(quán)利要求15的裝置,其中所接收的請(qǐng)求包括完整的或部分的統(tǒng)一資源定位器,并且其中在所述網(wǎng)絡(luò)應(yīng)用功能中修剪所述統(tǒng)一資源定位器。
18.根據(jù)上述任一權(quán)利要求的裝置,其中響應(yīng)于所述用戶設(shè)備執(zhí)行網(wǎng)頁(yè)而發(fā)起所述請(qǐng)求。
19.根據(jù)權(quán)利要求13的裝置,其中響應(yīng)于所述用戶設(shè)備執(zhí)行應(yīng)用而發(fā)起所述請(qǐng)求,并且其中所述統(tǒng)一資源定位器具有附加到其的后綴,所述后綴指示所述請(qǐng)求針對(duì)被允許獲取所述統(tǒng)一資源定位器的通用引導(dǎo)架構(gòu)密鑰的一系列已授權(quán)應(yīng)用。
20.根據(jù)權(quán)利要求19的裝置,其中僅當(dāng)所述應(yīng)用的信任級(jí)別為以下情況時(shí)才發(fā)起所述請(qǐng)求所述應(yīng)用被數(shù)字地簽名,并且簽名者或者具有來(lái)自證書(shū)機(jī)構(gòu)的證書(shū),或者所述簽名者具有自簽名的證書(shū),并且其中所述簽名者或所述證書(shū)機(jī)構(gòu)均未在所述用戶設(shè)備中被指定為可信。
21.根據(jù)權(quán)利要求19或權(quán)利要求20的裝置,還包括可選地修剪所述統(tǒng)一資源定位器。
22.根據(jù)上述任一權(quán)利要求的裝置,其中結(jié)合超文本傳輸協(xié)議消息接收所述請(qǐng)求。
23.根據(jù)上述任一權(quán)利要求的裝置,其中Web瀏覽器和通用引導(dǎo)架構(gòu)功能均位于所述用戶設(shè)備中,或者其中所述通用引導(dǎo)架構(gòu)功能位于所述用戶設(shè)備中而所述Web瀏覽器位于與所述用戶設(shè)備在通信上耦合的另一設(shè)備中。
24.根據(jù)權(quán)利要求13-23中的任一權(quán)利要求的裝置,其中通過(guò)在所述網(wǎng)絡(luò)應(yīng)用功能與所述用戶設(shè)備之間定義的接口接收所述請(qǐng)求,并且其中所述請(qǐng)求包括與所述用戶設(shè)備的Web應(yīng)用/網(wǎng)頁(yè)上下文關(guān)聯(lián)的多個(gè)接口安全協(xié)議標(biāo)識(shí)符之一。
全文摘要
一種方法包括在網(wǎng)絡(luò)應(yīng)用功能處接收源自用戶設(shè)備的有關(guān)通用引導(dǎo)架構(gòu)密鑰的請(qǐng)求(1)。所接收的請(qǐng)求包括包含統(tǒng)一資源定位器的網(wǎng)絡(luò)應(yīng)用功能標(biāo)識(shí)符,其中所述網(wǎng)絡(luò)應(yīng)用功能具有完全限定域名。所述方法還包括導(dǎo)致至少部分地基于是所述網(wǎng)絡(luò)應(yīng)用功能標(biāo)識(shí)符的一部分的所述統(tǒng)一資源定位器而針對(duì)所述用戶設(shè)備生成通用引導(dǎo)架構(gòu)密鑰(5)。還描述了用于執(zhí)行所述方法的裝置和計(jì)算機(jī)程序。
文檔編號(hào)H04L29/06GK103004244SQ201180035134
公開(kāi)日2013年3月27日 申請(qǐng)日期2011年3月18日 優(yōu)先權(quán)日2010年5月18日
發(fā)明者S·奧爾特曼斯, P·萊蒂寧 申請(qǐng)人:諾基亞公司