Профиль средств обеспечения безопасности смарт-карт в домашнем абонентском сервере

Изобретение относится к беспроводной связи. Технический результат - обеспечение безопасности пользовательского оборудования. Способ информирования о доступных средствах обеспечения безопасности в пользовательском оборудовании, включающий: определение в функции сетевого приложения предпочтительного упорядоченного списка желаемых для использования средств обеспечения безопасности пользовательского оборудования; отправку упомянутого предпочтительного упорядоченного списка в базу данных настроек безопасности пользователя посредством функции сервера начальной загрузки, причем база данных включает базу данных настроек безопасности пользователя общей архитектуры начальной загрузки, при этом упомянутый предпочтительный упорядоченный список отправляют в сообщении запроса о средствах обеспечения безопасности, отправляемом с использованием сообщения протокола Diameter в виде пар атрибут-значение, и упомянутый запрос о средствах обеспечения безопасности включает element name="securityFeaturesRequest" type="xsd:string" minOccurs="0"; и прием функцией сетевого приложения, посредством функции сервера начальной загрузки, ответа о средствах обеспечения безопасности, включающего ключ безопасности, извлеченный из информации, хранящейся в базе данных, и соответствующий желаемому средству обеспечения безопасности, имеющемуся в списке, что обеспечивает информирование функции сетевого приложения о доступности по меньшей мере желаемых средств обеспечения безопасности в пользовательском оборудовании. 3 н. и 17 з.п. ф-лы, 6 ил.

 

ПЕРЕКРЕСТНЫЕ ССЫЛКИ НА РОДСТВЕННЫЕ ЗАЯВКИ

[0001] Приоритет заявляется в соответствии с предварительной заявкой на патент США №61/284,045, зарегистрированной 11 декабря 2009 года, описание которой включено в данное описание посредством ссылки в полном объеме.

ОБЛАСТЬ ТЕХНИКИ

[0002] Изобретение, в соответствии с иллюстративными и не ограничивающими вариантами его осуществления, относится в общем к системам беспроводной связи, способам, устройствам и компьютерным программам и, в частности, к общим архитектурам начальной загрузки и функциям безопасности.

ПРЕДПОСЫЛКИ СОЗДАНИЯ ИЗОБРЕТЕНИЯ

[0003] Данный раздел предназначен для описания предпосылок или контекста создания изобретения, которое излагается в формуле изобретения. Описанное здесь может включать принципы, которых можно было придерживаться, но которые не обязательно были до этого представлены, реализованы или описаны. Поэтому, если иное не оговорено, описанное в данном разделе не является известным уровнем техники по отношению к описанию и формуле изобретения данной заявки и не может рассматриваться как известный уровень техники вследствие включения в данный раздел.

[0004] Следующие аббревиатуры, которые могут встречаться в подробном описании и/или на представленных фигурах чертежей, определяются следующим образом:

ААА аутентификация, авторизация и учет (authentication authorization accounting)

АКА соглашение по аутентификации и ключу (authentication and key agreement)

AUTN признак аутентификации (authentication token)

AV вектор аутентификации (authentication vector)

AVP пара атрибут-значение в сообщениях протокола DIAMETER (attribute-value-pair)

BSF функция сервера начальной загрузки (bootstrapping server function)

СК секретный ключ (confidential key) GAA общая архитектура аутентификации (generic authentication architecture)

GBA общая архитектура начальной загрузки (generic bootstrapping architecture)

GPL общий уровень активной доставки (доставки без запроса) (generic push layer)

GSID идентификатор службы GAA (GAA service identifier)

GUSS настройки безопасности пользователя GBA (GBA user security settings)

HLR опорный регистр местонахождения (home location register)

HSS домашний абонентский сервер (home subscriber server)

IK ключ целостности (integrity key)

IMS подсистема передачи мультимедиа по Интернет-протоколу (IP) (IP multimedia subsystem)

LDAP облегченный протокол доступа к каталогам (lightweight directory access protocol)

NAF функция сетевого приложения (служба) (network application function)

NDS безопасность сетевого домена (network domain security)

RAND случайный выбор (random challenge)

SLF функция указателя абонента (subscriber locator function)

TLS безопасность транспортного уровня (transport layer security)

UE пользовательский терминал (user terminal) со смарт-картой

UICC универсальная интегрированная смарт-карта (universal integrated circuit card)

USS настройки безопасности пользователя (user security settings)

Ua интерфейс UE-NAF для приложений GAA

Ub интерфейс UE-BSF для начальной загрузки

XRES ожидаемый ответ в процессе аутентификации (expected response)

Zh интерфейс BSF-HSS для процедуры начальной загрузки

Zh' интерфейс BSF-HLR для процедуры начальной загрузки

Zn интерфейс BSF-NAF для приложений GAA

Zpn интерфейс NAF-BSF для приложений GAA

[0005] Могут быть сделаны ссылки на две следующие публикации:

3GPP TS 29.109 V9.0.0 (2009-09) Техническая спецификация консорциума сетей третьего поколения; техническая спецификация группы центральной сети и терминалов; общая архитектура аутентификации (GAA); интерфейсы Zh и Zn, основанные на протоколе Diameter; 3 этап (выпуск 9) (Technical Specification 3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals; Generic Authentication Architecture (GAA); Zh and Zn Interfaces based on the Diameter protocol; Stage 3 (Release 9)); и

3GPP TS 33.224 V9.0.0 (2009-09) Техническая спецификация консорциума сетей третьего поколения; техническая спецификация группы сервисов и системных аспектов; общая архитектура аутентификации (GAA); уровень активной доставки общей архитектуры начальной загрузки (GBA) (выпуск 9) (Technical Specification 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Generic Authentication Architecture (GAA); Generic Bootstrapping Architecture (GBA) Push Layer (Release 9)).

[0006] В мобильных устройствах использование GBA позволяет производить аутентификацию пользователя или абонента. Использование GBA предполагает то, что у пользователя имеется подлинная запись в HLR или HSS. В качестве примера аутентификации пользователя можно привести разделяемый секрет, хранящийся в случае мобильных сетей в смарт-карте в мобильном устройстве и в HLR/HSS. В различных сетевых архитектурах, например в фиксированных сетях, разделяемый секрет может храниться в доверенном модуле (например, доверенном чипе в ПК) и в сети сервера ААА. GBA аутентифицирует пользователя посредством сетевого компонента, опрашивающего смарт-карту и затем проверяющего, что ответ на опрос аналогичен предсказанному HLR/HSS, при помощи протокола АКА. Функция BSF устанавливает дополнительный мандат (так называемый Ks). Из этого мандата она извлекает специальные ключи провайдера услуг, разделяемые между аутентифицирующим модулем и провайдером услуг. В процессе данной операции секрет, хранящийся в смарт-карте, используется для аутентификации в сети. Затем BSF извлекает главный секрет и специальные ключи служб из него. Терминал извлекает те же самые ключи. Таким образом, каждая служба имеет различные ключи (если компрометируется один ключ, то затрагивается только одна служба). Специальный разделяемый секрет службы ограничивается по времени и действует в конкретном домене службы (называемом Ks_(ext/int)_NAF). SLF - это функция, информирующая BSF о том, в каком сервере HSS следует искать данные абонента, для случая, когда сетевой оператор имеет несколько HSS.

[0007] Одна проблема, которая существует на настоящий момент в GBA, относится к ситуации, которая возникает, когда служба (NAF) хочет установить ассоциацию безопасности с аутентифицирующим модулем в UE, в частности смарт-картой. Для того чтобы это произошло, функции NAF необходимо знать о том, что средства обеспечения безопасности поддерживаются для установления ассоциации безопасности. На данный момент служба, обеспечивающая функцию NAF, не обладает средствами для получения такой информации от терминала или сети. Можно отметить, что NAF может располагаться вне сети оператора и в этом случае, как следствие, она не будет иметь прямой интерфейс к HSS.

СУЩНОСТЬ ИЗОБРЕТЕНИЯ

[0008] В иллюстративном аспекте изобретения предлагается способ, включающий определение, в функции сетевого приложения, списка желаемых для использования средств обеспечения безопасности пользовательского оборудования, которые упорядочиваются в соответствии с предпочтением функции сетевого приложения, отправку списка в базу данных настроек безопасности пользователя посредством функции сервера начальной загрузки и прием функцией сетевого приложения, посредством функции сервера начальной загрузки, ответа о средствах обеспечения безопасности, включающего ключ безопасности, извлеченный из информации, хранящейся в базе данных, и соответствующий желаемому средству обеспечения безопасности, имеющемуся в списке, что обеспечивает информирование функции сетевого приложения о доступности по меньшей мере одного из желаемых средств обеспечения безопасности в пользовательском оборудовании.

[0009] В другом иллюстративном аспекте изобретения предлагается машиночитаемый носитель, содержащий инструкции компьютерной программы, исполняемые по меньшей мере одним процессором для выполнения операций, включающих определение в функции сетевого приложения списка желаемых для использования средств обеспечения безопасности пользовательского оборудования, которые упорядочиваются в соответствии с предпочтением функцией сетевого приложения, отправку списка в базу данных настроек безопасности пользователя посредством функции сервера начальной загрузки и прием функцией сетевого приложения посредством функции сервера начальной загрузки ответа о средствах обеспечения безопасности, включающего ключ безопасности, извлеченный из информации, хранящейся в базе данных, и соответствующий желаемому средству обеспечения безопасности, имеющемуся в списке, что обеспечивает информирование функции сетевого приложения о доступности по меньшей мере одного из желаемых средств обеспечения безопасности в пользовательском оборудовании.

[0010] В еще одном иллюстративном аспекте изобретения предлагается устройство, включающее по меньшей мере один процессор и по меньшей мере одно запоминающее устройство, содержащее код компьютерной программы, где по меньшей мере одно запоминающее устройство и код компьютерной программы конфигурированы так, чтобы при помощи по меньшей мере одного процессора побуждать устройство по меньшей мере определять в функции сетевого приложения список желаемых для использования средств обеспечения безопасности пользовательского оборудования, которые упорядочиваются в соответствии с предпочтением функцией сетевого приложения, отправлять список в базу данных настроек безопасности пользователя посредством функции сервера начальной загрузки и в функции сетевого приложения принимать посредством функции сервера начальной загрузки ответ о средствах обеспечения безопасности, включающий ключ безопасности, извлеченный из информации, хранящейся в базе данных, и соответствующий желаемому средству обеспечения безопасности, имеющемуся в списке, что обеспечивает информирование функции сетевого приложения о доступности по меньшей мере одного из желаемых средств обеспечения безопасности в пользовательском оборудовании.

КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ

[0011] Вышесказанное и другие аспекты вариантов осуществления данного изобретения станут более очевидными после прочтения подробного описания совместно с прилагаемыми фигурами чертежей, где:

[0012] Фиг.1 является структурной схемой архитектуры активной доставки GBA.

[0013] Фиг.2 является структурной схемой архитектуры GBA.

[0014] Фиг.3 является структурной схемой другого варианта осуществления архитектуры GBA.

[0015] Фигуры 4А и 4В являются упрощенными структурными схемами соответственно UE и BSF/HSS/NAF, показанных на фиг.1-3.

[0016] Фиг.5 является схемой потока сигналов/сообщений в соответствии с иллюстративными вариантами осуществления данного изобретения.

[0017] Фиг.6 является логической блок-схемой, которая иллюстрирует работу способа и результат исполнения инструкций компьютерной программы, размещенной в машиночитаемой памяти, в соответствии с иллюстративными вариантами осуществления данного изобретения.

ПОДРОБНОЕ ОПИСАНИЕ

[0018] Иллюстративные варианты осуществления данного изобретения предлагают улучшения для HSS, BSF и NAF.

[0019] Фиг.1 показывает структурную схему архитектуры активной доставки GBA. Показаны BSF 10, SLF 12, HSS 14, NAF 16 и UE 18. Эти блоки соединяются между собой посредством упомянутых выше интерфейсов. Фиг.2 показывает структурную схему архитектуры GBA. В дополнение к блокам, показанным на фиг.1, показана база данных (DB - database) GUSS, как часть HSS 14. Фиг.3 является другим вариантом осуществления архитектуры GBA, где GUSS DB 20 является внешней по отношению к сети и соединяется с BSF 10 посредством некоторого подходящего интерфейса 21.

[0020] Фиг.4А показывает упрощенную структурную схему варианта осуществления UE 18. С целью описания иллюстративных вариантов осуществления данного изобретения можно положить, что UE 18 включает контроллер, такой как по меньшей мере один компьютер или процессор данных (DP - data processor) 18A, машиночитаемый носитель данных, включающий по меньшей мере одну память (MEM) 18B, которая хранит программу из компьютерных инструкций (PROG) 18C, и по меньшей мере один подходящий приемопередатчик, такой как радиочастотный (RF - radio frequency) приемопередатчик 18D, для двусторонней связи с BSF 10 и NAF 16 посредством одного и более промежуточных узлов, таких как одна и более базовых станций, конвертирующих узлов или прокси-узлов (не показаны). Предполагается, что UE 18 включает смарт-карту или доверенный модуль 18Е для управления секретным мандатом, включающий память и другую функциональность. Как правило, данная функция может быть встроена в карту, такую как переносимая карта, или в безопасный (доверенный) чип или модуль (не обязательно в карту). Смарт-карта или безопасный модуль 18Е могут включать или могут быть включены или могут быть объединены с модулем идентификации абонента (SIM - subscriber identity module).

[0021] Смарт-карта или доверенный модуль 18Е может также упоминаться как UICC. Как известно, UICC - это смарт-карта, используемая в мобильных терминалах в сетях GSM и UMTS, но она может быть также реализована в ином форм-факторе, например на доверенном аппаратном чипе. UICC гарантирует безопасность взаимодействия между пользовательским устройством (мобильным телефоном, ПК, смарт-картой) и сетью. В сети GSM смарт-картой является SIM-карта. UICC может включать приложение SIM, в сети UMTS - приложение USIM, а в сетях IMS -приложение ISIM. UICC может включать параллельно несколько приложений, делая возможным с помощью одной карты обеспечивать доступ как к сетям GSM, так и UMTS, и к другому приложению (например, мобильному банкингу, поддержке мобильного телевидения и т.д.). В сети CDMA UICC содержит приложение CSIM в дополнение к приложениям 3GPP USIM и SIM.

[0022] Фиг.4В показывает упрощенную структурную схему варианта осуществления устройства, которое может быть использовано для реализации одного или всех объектов из BSF 10, HSS 14 и NAF 16. В основном эти компоненты могут рассматриваться как компьютерная система, имеющая, например в случае BSF 10, контроллер, такой как по меньшей мере один компьютер или процессор данных (DP) 10A, машиночитаемый носитель данных, включающий по меньшей мере одну память (MEM) 10B, которая хранит программу из компьютерных инструкций (PROG) 10C, и по меньшей мере один подходящий приемопередатчик для двусторонней связи при помощи определенных интерфейсов (Zh, Zn, Zpn, Ub, Dz) с другими компонентами архитектуры GBA. Имеются дополнительные интерфейсы для случая использования прокси или HLR. Но эти дополнительные интерфейсы не показаны на фиг.4В.

[0023] Ранее в 3GPP было достигнуто соглашение о том, что информация относительно того, поддерживается ли смарт-картой 18Е UE установка ассоциации безопасности, должна храниться в HSS GUSS 20. Это было зафиксировано в документе 3GPP TS 33.224: "Возможности GPL_U должны храниться в GUSS в HSS". Однако механизм, обмен сообщениями и обработка данных не были определены в отношении того, как предложенная функциональность будет воплощена, реализована и использована.

[0024] Использование примеров осуществления изобретения позволяет использовать смарт-карту или, в более общем варианте, средство обеспечения безопасности или функцию конкретного приложения провайдера услуг, так, что у провайдера услуг имеется возможность указывать, какое средство 18Е смарт-карты (например, какое средство обеспечения безопасности или функцию конкретного приложения) необходимо использовать, а также определить запасной («второй лучший») вариант средства.

[0025] В соответствии с иллюстративными вариантами осуществления изобретения, сообщения, которыми обмениваются провайдер услуг и узел генерации ключа (BSF 10), а также BSF 10 и HSS 14, расширены. Также расширено хранилище информации безопасности пользователя в HSS 14, и HSS 14 обрабатывает дополнительную информацию. От BSF 10 ожидается обработка сигналов, получаемых от HSS 14.

[0026] Конечным результатом является то, что служба узнает, какое средство может быть использовано для связи с UE 18, и, таким образом, она способна установить желаемую ассоциацию безопасности.

[0027] Данный факт является существенным преимуществом, когда, например, NAF 16 желает установить безопасную сессию со смарт-картой 18 с использованием GPL, что рассматривается в иллюстративных вариантах осуществления данного изобретения, являющихся предметом особого интереса. Одна из причин выполнения такого действия может заключаться, например, в подготовке к работе.

[0028] Иллюстративные варианты осуществления данного изобретения предлагают расширение GUSS 20 и связанных компонентов GBA.

[0029] Теперь обратимся к блок-схеме потока сигналов/сообщений, изображенной на фиг.5.

[0030] (1) Предположим, что NAF 16 хочет использовать конкретное средство обеспечения безопасности (или средство приложения), такое как GPLJJ. NAF 16 может «понизить уровень» в случае, если это средство недоступно или ограничивает использование службы (например, устанавливается более низкий порог значения скорости загрузки данных вследствие уменьшения уровня безопасности). Подобная возможность использования другого запасного средства может быть полезной для уменьшения нагрузки на сигнализацию, если первое желаемое средство недоступно. В данном примере предположим, что первое желаемое средство - GPLJJ, второе желаемое средство - GPL с GBAJJ и третье желаемое средство - GPL с GBA, которые разделены символом «;» для обеспечения возможности определения начала следующего «слова» принимающим узлом. Элемент может появляться несколько раз для нескольких средств. Например, NAF 16 желает использовать несколько средств обеспечения безопасности и предоставляет список по приоритету каждого из них (например, {средство1; средство2;…; средствоn}).

[0031] Таким образом, одним иллюстративным аспектом изобретения является возможность определять желаемое средство обеспечения безопасности с возможностью предоставлять список по приоритетам желаемых средств обеспечения безопасности.

[0032] (2) NAF 16 сообщает BSF 10 о том, что NAF 16 желает использовать конкретное средство обеспечения безопасности (например, GLPJJ). Это может быть реализовано посредством добавления поля к существующим сообщениям Zn/Zn'. Интерфейс Zn определен для протоколов Diameter и Web Service на основании 3GPP TS 29.109. Zn' является интерфейсом для случая, когда имеется прокси между BSF 10 и NAF 16. BSF 10 отправляет этот запрос в HSS 14 через эталонную точку Zn. Это может быть реализовано посредством добавления поля к сообщению запроса Zn. Для случая, когда используется HLR, BSF 10 может отправлять запрос в локальную базу данных, хранящую GUSS 20, используя для этого интерфейс Zn'. В данном случае запрос не является стандартным и может быть выполнен с использованием запроса LDAP.

[0033] В иллюстративном аспекте изобретения запрос от NAF может являться информацией активной доставки GBA (GPI-GBA-Push-lnfo) для конкретных данных ключа, соответствующих идентификатору подлинности пользователя. Кроме этого запрос может использовать протокольные интерфейсы Zpn и Zpn', например так, как определено в 3GPP TS 33.223. Протокол ZPN используется между NAF и BSF, и запрос может включать, например, идентификатор подлинности пользователя, NAF-идентификатор и/или GSID. Кроме того, поле для элемента запроса о средствах обеспечения безопасности (Security Feature Request) может быть строкой "element name="securityfeaturerequest" type="xsd:string" min0ccurs="0". NAF может запрашивать о доступности средств обеспечения безопасности с использованием элемента или параметра запроса о средствах обеспечения безопасности. Элемент может содержать список средств обеспечения безопасности, разделенных символом точки с запятой, которые возможно упорядочивать в зависимости от предпочтений. В соответствии с вариантами осуществления, NAF может запрашивать информацию о доступности средств обеспечения безопасности с использованием запроса о средствах обеспечения безопасности в виде AVP. Кроме того, AVP может включать вектор аутентификации 3GPP AV=[RAND, AUTN, XRES, CD, IK]. Запрос о средствах обеспечения безопасности в виде AVP может иметь тип октетовой строки (OctetString). AVP может содержать одно или несколько средств обеспечения безопасности, запрашиваемых NAF.

[0034] Если BSF и NAF размещаются в сети одного оператора, то эталонная точка Zpn, основанная на протоколе DIAMETER, может быть защищена при помощи NDS/IP. Если же BSF и NAF располагаются в сетях различных операторов, то эталонная точка Zpn', основанная на протоколе DIAMETER и располагающаяся между Zn-прокси и BSF, может быть защищена при помощи TLS.

[0035] Таким образом, другим иллюстративным аспектом изобретения является возможность улучшения интерфейсов Zn/Zn', Zpn/Zpn' и Zh при помощи индикации (индикаций) средств обеспечения безопасности.

[0036] (3) В GUSS 20 может быть добавлено новое средство (не в поле BSF, так как оно будет удалено). Одним из возможных вариантов места для поля, содержащего новый добавляемый элемент, является поле complexType в ussType, например, можно добавить "средства-UICC" или, более обобщенно, поле, поддерживающее "Security-Features" ("Средства Безопасности"). Если сервер HSS 14 получает от BSF 10 список расставленных по приоритету NAF средств, то далее он заполняет поддерживаемые поля Securities-Features предоставленным(-и) средством(-ами). При необходимости поле может также установить поле выбора ключа UICC таким образом, что BSF 10 извлекает корректный специальный ключ приложения, например Ks_int_NAF.a

[0037] В иллюстративном аспекте изобретения, если BSF поддерживает использование средств обеспечения безопасности и NAF запросила средство обеспечения безопасности у BSF, BSF может извлечь элемент средств обеспечения безопасности из элемента bsfInfo, находящегося в GUSS подписчика, и добавить в ответе к элементу ответа о средствах обеспечения безопасности (Security Feature Response) те средства обеспечения безопасности, которые являются общими для запроса о средствах обеспечения безопасности, принятого от NAF, и извлеченной из элемента bsfInfo информации. Значение необязательного элемента "securityFeatures" в элементе "bsfInfo" указывает список средств обеспечения безопасности конкретного пользователя, которые поддерживает пользовательское оборудование. Если элемент средства обеспечения безопасности отсутствует, то средства обеспечения безопасности не определены, а если имеется список из нескольких значений, то они разделяются символом ";".

[0038] Общие средства обеспечения безопасности могут быть добавлены в элемент ответа о средствах обеспечения безопасности в том порядке, в котором они перечислены в элементе bsfInfo. Если элемент средств обеспечения безопасности не определен в GUSS или не существует общего средства обеспечения безопасности, то BSF в ответ добавит пустую строку в элемент ответа о средствах обеспечения безопасности.

AVP ответа о средствах обеспечения безопасности может иметь тип OctetString. AVP содержит одно или несколько средств обеспечения безопасности, определенных HSS. Эта информация может быть предоставлена для BSF при помощи элемента средств обеспечения безопасности, такого как "bsfElement" GUSS, и средств обеспечения безопасности, принятых в запросе. Кроме того, поле для элемента ответа о средствах обеспечения безопасности может быть, например, такой строкой "element name="securityfeatureresponse" type="xsd:string" min0ccurs="0"".

[0039] Другим иллюстративным аспектом изобретения является по меньшей мере возможность обработки списка желаемых средств в HSS 14 и BSF 10.

[0040] В этом отношении необходимо отметить, что BSF 10 может извлекать только один ключ, несмотря на то, что извлечение BSF 10 более чем одного ключа находится в рамках этих иллюстративных вариантов осуществления (например, BSF 10 может извлекать ключ для каждого средства, которое появляется в приоритетном списке, если это средство поддерживается).

[0041] (4) Далее NAF 16 получает извлеченный(-е) из BSF 10 ключ(-и), зависящий от службы, и дополнительно получает информацию о том, какой уровень безопасности, возможный для осуществления связи, был получен NAF 16, и какое(-ие) средство(-а) смарт-карты 18Е NAF 16 может использовать. BSF 10 получает GUSS и отправляет NAF 16 часть GUSS, например USS. Эти USS будут содержать информацию о средстве обеспечения безопасности, запрашиваемом NAF 16.

[0042] Другим иллюстративным аспектом изобретения является включение дополнительной информации, которая может передаваться посредством полей, которые существуют в любом из интерфейсов Zn/Zn', Zpn/Zpn' и Zh, и обработка этой информации в BSF 10 и NAF 16.

[0043] Иллюстративные варианты осуществления также включают случай, где HLR используется вместо HSS 14, и где GUSS 20 хранится в некоторой проприетарной базе данных (например, как на фиг.3), таким образом, что BSF 10 просто совершает вызов внешней GUSS.

[0044] Иллюстративные варианты осуществления также включают случай, где представляющие интерес средства обеспечения безопасности не являются частью смарт-карты 18Е. Например, средства обеспечения безопасности могут быть частью защищенного чипа (например, приложения оплаты, хранящегося на защищенном чипе).

[0045] На основании вышеописанного должно быть очевидным, что иллюстративные варианты осуществления данного изобретения предлагают способ, устройство и компьютерную(-ые) программу(-ы) для улучшения работы архитектуры GBA таким образом, чтобы преодолеть недостаток заданного профиля смарт-карты GBA, присущий существующей GBA, или, в общем случае, недостаток профиля средства обеспечения безопасности и, таким образом, избежать необходимости определять и поддерживать новый терминальный интерфейс смарт-карты (профиль средств обеспечения безопасности) с целью выполнения тех же задач.

[0046] Фиг.6 является логической блок-схемой, которая иллюстрирует работу способа и результат исполнения инструкций компьютерной программы в соответствии с иллюстративными вариантами осуществления данного изобретения. В соответствии с этими иллюстративными вариантами осуществления способ выполняет в блоке 6А шаг определения, в функции сетевого приложения, списка желаемых для использования средств обеспечения безопасности пользовательского оборудования, которые упорядочиваются в соответствии с предпочтением функции сетевого приложения. В блоке 6В список отправляется в базу данных настроек безопасности пользователя посредством функции сервера начальной загрузки. В блоке 6С функция сетевого приложения получает через функцию сервера начальной загрузки ответ о средствах обеспечения безопасности? включающий ключ безопасности, извлеченный из информации, хранящейся в базе данных, и соответствующий желаемому средству обеспечения безопасности, имеющемуся в списке, что обеспечивает информирование функции сетевого приложения о доступности по меньшей мере одного из желаемых средств обеспечения безопасности в пользовательском оборудовании.

[0047] Способ, описанный в предыдущем абзаце, где ответ о средстве обеспечения безопасности включает указание на средства обеспечения безопасности, являющиеся общими со списком, и где общие средства обеспечения безопасности упорядочиваются в соответствии с тем, как они извлекаются из информации, хранящейся в базе данных.

[0048] Способ, описанный в предыдущих абзацах, где ключ соответствует наиболее предпочтительному средству обеспечения безопасности, если оно доступно, иначе ключ соответствует менее предпочтительному средству обеспечения безопасности.

[0049] Способ, описанный в предыдущих абзацах, где список отправляют в базу данных настроек безопасности пользователя через домашний абонентский сервер.

[0050] Способ, показанный на фиг.6, где база данных является внешней по отношению к системе, которая содержит функцию сетевого приложения и функцию сервера начальной загрузки.

[0051] Способ, описанный в предыдущих абзацах, где база данных включает поле для хранения поддерживаемых средств обеспечения безопасности.

[0052] Способ, описанный в предыдущих абзацах, где список содержит единственную запись или содержит две и более записей.

[0053] Способ, описанный в предыдущих абзацах, где список отправляют в сообщении запроса о средствах обеспечения безопасности.

[0054] Способ, описанный в предыдущем абзаце, где сообщение запроса о средствах обеспечения безопасности отправляют с использованием сообщения протокола Diameter в виде пар атрибут-значение.

[0055] Различные блоки, показанные на фиг.6, могут рассматриваться как шаги способа и/или как операции, которые стали результатом работы кода компьютерной программы, и/или как множество связанных элементов логической цепи, собранных с целью выполнения связанной функции (функций).

[0056] Иллюстративные варианты осуществления охватывают также устройство, которое включает процессор и память, содержащую код компьютерной программы, где память и код компьютерной программы конфигурированы так, чтобы при помощи процессора побуждать устройство по меньшей мере выполнять определение, в функции сетевого приложения, списка желаемых для использования средств обеспечения безопасности пользовательского оборудования, которые упорядочиваются в соответствии с предпочтением функции сетевого приложения, отправку списка в базу данных настроек безопасности пользователя посредством функции сервера начальной загрузки и прием функцией сетевого приложения, посредством функции сервера начальной загрузки, ответа о средствах обеспечения безопасности, включающего ключ безопасности, извлеченный из информации, хранящейся в базе данных, и соответствующий желаемому средству обеспечения безопасности, имеющемуся в списке, что обеспечивает информирование функции сетевого приложения о доступности по меньшей мере одного из желаемых средств обеспечения безопасности в пользовательском оборудовании.

[0057] Вообще, при помощи аппаратного обеспечения или специализированных схем, программного обеспечения, логики или их комбинации могут быть реализованы различные иллюстративные варианты осуществления. Например, некоторые аспекты могут быть реализованы в аппаратной части, тогда как другие аспекты могут быть реализованы во встроенной программе ("прошивке") или программном обеспечении, которые могут исполняться контроллером, микропроцессором или другим компьютерным устройством, хотя изобретение этим не ограничено. Несмотря на то, что различные аспекты иллюстративных вариантов осуществления данного изобретения могли быть проиллюстрированы и описаны в виде структурных схем, блок-схем алгоритмов или с использованием других графических представлений, необходимо понимать, что блоки, устройства, системы, технологии и способы, которые здесь описаны, могут быть реализованы, в качестве неограничивающих примеров, с помощью аппаратного обеспечения, программного обеспечения, встроенной программы, специализированных схем или логики, программного обеспечения или контроллера общего назначения или других компьютерных устройств? или каких-либо их комбинаций.

[0058] Таким образом, необходимо понимать, что по меньшей мере некоторые аспекты иллюстративных вариантов осуществления изобретения могут быть реализованы на практике с помощью различных компонентов, таких как чипы интегральных микросхем и модулей, и иллюстративные варианты осуществления данного изобретения могут быть реализованы с помощью устройства, которое представляет собой интегральную микросхему. Интегральная микросхема, или микросхема, может включать схему (наряду с возможной встроенной программой) для реализации по меньшей мере одного или более процессора данных, процессора или процессоров цифровой обработки сигналов, схемы основной полосы частот или радиочастотной схемы, которые могут конфигурироваться таким образом, чтобы осуществлять работу в соответствии с иллюстративными вариантами осуществления данного изобретения.

[0059] Различные модификации и адаптации вышеописанных иллюстративных вариантов осуществления данного изобретения могут стать очевидными для специалистов в данной области техники после прочтения представленного описания совместно с чертежами. Однако любые и все модификации остаются в рамках неограничивающих и иллюстративных вариантов осуществления данного изобретения.

[0060] Например, несмотря на то, что иллюстративные варианты осуществления были описаны выше в контексте архитектуры GBA, необходимо понимать, что варианты осуществления данного изобретения не ограничены использованием только в этом конкретном типе системы, и они могут быть использованы с получением преимуществ в других системах.

[0061] Необходимо отметить, что термины "соединен", "связан" или различные их варианты означают любое соединение или связь, прямое или непрямое, между двумя и более элементами и могут включать наличие одного или более промежуточных элементов между двумя элементами, которые "соединены" или "связаны". Связь или соединения между элементами могут быть физическими, логическими или их комбинациями.

Здесь два элемента могут рассматриваться как "соединенные" или "связанные" вместе при использовании одного или более проводов, кабелей и/или печатных электрических соединений, а также посредством использования электромагнитной энергии, такой как электромагнитная энергия, имеющая длину волны в радиочастотном спектре, ультракоротковолновом спектре и в оптическом спектре (как в видимом, так и в невидимом), в качестве нескольких неограничивающих и неисчерпывающих примеров.

[0062] Кроме того, различные обозначения, используемые для описываемых функций (например, NAF, HSS, BSF и т.д.), интерфейсов протоколов (например, Zn, Zn', Zh, Zpn, Zpn' и т.д.), функций службы (например, GPL_U, GBAJJ и т.д.) и элементов (например, ussType complexType) не являются ограничивающими в каком-либо отношении, так как эти различные функции, интерфейсы, функции службы, элементы и т.д. могут обозначаться любым подходящим названием.

[0063] Кроме того, некоторые признаки различных неограничивающих и иллюстративных вариантов осуществления данного изобретения могут использоваться с получением преимуществ без соответствующего использования других признаков этих вариантов. По существу, представленное выше описание должно рассматриваться только как иллюстрирующее принципы, основы и варианты осуществления данного изобретения, а предназначено для его ограничения.

1. Способ информирования о доступных средствах обеспечения безопасности в пользовательском оборудовании, включающий:
определение в функции сетевого приложения предпочтительного упорядоченного списка желаемых для использования средств обеспечения безопасности пользовательского оборудования;
отправку упомянутого предпочтительного упорядоченного списка в базу данных настроек безопасности пользователя посредством функции сервера начальной загрузки, причем база данных включает базу данных настроек безопасности пользователя общей архитектуры начальной загрузки, при этом упомянутый предпочтительный упорядоченный список отправляют в сообщении запроса о средствах обеспечения безопасности, отправляемом с использованием сообщения протокола Diameter в виде пар атрибут-значение, и упомянутый запрос о средствах обеспечения безопасности включает element name="securityFeaturesRequest" type="xsd:string" minOccurs="0"; и
прием функцией сетевого приложения, посредством функции сервера начальной загрузки, ответа о средствах обеспечения безопасности, включающего ключ безопасности, извлеченный из информации, хранящейся в базе данных, и соответствующий желаемому средству обеспечения безопасности, имеющемуся в списке, что обеспечивает информирование функции сетевого приложения о доступности по меньшей мере желаемых средств обеспечения безопасности в пользовательском оборудовании.

2. Способ по п.1, в котором ответ о средствах обеспечения безопасности включает указание на средства обеспечения безопасности, общие со списком, и общие средства обеспечения безопасности упорядочивают в соответствии с тем, как их извлекают из информации, хранящейся в базе данных.

3. Способ по п.1, в котором предпочтительный упорядоченный список отправляют в базу данных настроек безопасности пользователя через домашний абонентский сервер.

4. Способ по п.1, в котором база данных является внешней по отношению к системе, которая содержит функцию сетевого приложения и функцию сервера начальной загрузки.

5. Способ по п.1, в котором база данных включает поле для хранения поддерживаемых средств обеспечения безопасности.

6. Способ по п.1, в котором сообщение запроса о средствах обеспечения безопасности имеет тип октетовой строки (OctetString).

7. Способ по п.1, в котором сообщение протокола Diameter в виде пар атрибут-значение содержит желаемые средства обеспечения безопасности пользовательского оборудования.

8. Способ по п.1, в котором сообщение запроса о средствах обеспечения безопасности включает желаемые средства обеспечения безопасности пользовательского оборудования, разделенные символом точки с запятой, в порядке их предпочтения.

9. Машиночитаемый носитель данных, содержащий инструкции компьютерной программы, исполняемые по меньшей мере одним процессором для выполнения операций, включающих:
определение в функции сетевого приложения предпочтительного упорядоченного списка желаемых для использования средств обеспечения безопасности пользовательского оборудования;
отправку упомянутого предпочтительного упорядоченного списка в базу данных настроек безопасности пользователя посредством функции сервера начальной загрузки, причем база данных включает базу данных настроек безопасности пользователя общей архитектуры начальной загрузки, при этом упомянутый предпочтительный упорядоченный список отправляют в сообщении запроса о средствах обеспечения безопасности, отправляемом с использованием сообщения протокола Diameter в виде пар атрибут-значение, и упомянутый запрос о средствах обеспечения безопасности включает element name="securityFeaturesRequest" type="xsd:string" minOccurs="0"; и
прием функцией сетевого приложения, посредством функции сервера начальной загрузки, ответа о средствах обеспечения безопасности, включающего ключ безопасности, извлеченный из информации, хранящейся в базе данных, и соответствующий желаемому средству обеспечения безопасности, имеющемуся в списке, что обеспечивает информирование функции сетевого приложения о доступности по меньшей мере желаемых средств обеспечения безопасности в пользовательском оборудовании.

10. Машиночитаемый носитель данных по п. 9, где ответ о средствах обеспечения безопасности включает указание на средства обеспечения безопасности, общие со списком, и где общие средства обеспечения безопасности упорядочивают в соответствии с тем, как их извлекают из информации, хранящейся в базе данных.

11. Машиночитаемый носитель данных по п. 9, где список отправляется на базу данных настроек безопасности пользователя через домашний абонентский сервер.

12. Машиночитаемый носитель данных по п. 9, где база данных является внешней по отношению к системе, которая содержит функцию сетевого приложения и функцию сервера начальной загрузки.

13. Устройство для информирования о доступных средствах обеспечения безопасности в пользовательском оборудовании, включающее:
по меньшей мере один процессор и
по меньшей мере одно устройство памяти, содержащее код компьютерной программы, при этом по меньшей мере одно устройство памяти и код компьютерной программы конфигурированы так, чтобы с помощью упомянутого по меньшей мере одного процессора побуждать устройство выполнять по меньшей мере:
определение в функции сетевого приложения предпочтительного упорядоченного списка желаемых для использования средств обеспечения безопасности пользовательского оборудования;
отправку упомянутого предпочтительного упорядоченного списка в базу данных настроек безопасности пользователя посредством функции сервера начальной загрузки, причем база данных включает базу данных настроек безопасности пользователя общей архитектуры начальной загрузки, при этом упомянутый предпочтительный упорядоченный список отправляют в сообщении запроса о средствах обеспечения безопасности, отправляемом с использованием сообщения протокола Diameter в виде пар атрибут-значение, и упомянутый запрос о средствах обеспечения безопасности включает element name="securityFeaturesRequest" type="xsd:string" minOccurs="0"; и
прием функцией сетевого приложения, посредством функции сервера начальной загрузки, ответа о средствах обеспечения безопасности, включающего ключ безопасности, извлеченный из информации, хранящейся в базе данных, и соответствующий желаемому средству обеспечения безопасности, имеющемуся в списке, что обеспечивает информирование функции сетевого приложения о доступности по меньшей мере желаемых средств обеспечения безопасности в пользовательском оборудовании.

14. Устройство по п. 13, в котором ответ о средствах обеспечения безопасности включает указание на средства обеспечения безопасности, общие со списком, и общие средства обеспечения безопасности упорядочивают в соответствии с тем, как их извлекают из информации, хранящейся в базе данных.

15. Устройство по п. 13, в котором список отправляется в базу данных настроек безопасности пользователя через домашний абонентский сервер.

16. Устройство по п. 13, в котором база данных является внешней по отношению к системе, которая содержит функцию сетевого приложения и функцию сервера начальной загрузки.

17. Устройство по п. 13, в котором база данных включает поле для хранения поддерживаемых средств обеспечения безопасности.

18. Устройство по п. 13, в котором сообщение запроса о средствах обеспечения безопасности имеет тип октетовой строки (OctetString).

19. Устройство по п. 13, в котором сообщение протокола Diameter в виде пар атрибут-значение содержит желаемые средства обеспечения безопасности пользовательского оборудования.

20. Устройство по п. 13, в котором сообщение запроса о средствах обеспечения безопасности включает желаемые средства обеспечения безопасности пользовательского оборудования, разделенные символом точки с запятой, в порядке их предпочтения.



 

Похожие патенты:

Изобретение относится к мобильной связи. Технический результат заключается в обеспечении распределения нагрузки в системе мобильной связи с ретранслятором.

Изобретение относится к области связи и, в частности, к технологиям для отправки информации многоадресной/широковещательной одночастотной сети (MBSFN). Техническим результатом является уменьшение объема служебной информации и повышение пропускной способности сети.

Изобретение относится к беспроводной связи и, более конкретно, к скремблированию информации для передачи по каналу, в зависимости от временного идентификатора радиосети (RNTI), относящегося к типу передачи в системе беспроводной связи.

Изобретение относится к системам связи с множеством компонентов сеанса связи, например, голосовой #1, видео #2 (видео лицом к лицу пользователей) и видео #3 (демонстрационным видео) компонентой.

Изобретение относится к области терминалов беспроводной связи и пользовательских интерфейсов для управления ими. Техническим результатом является обеспечение возможности одновременно задействовать несколько прикладных стэков, чтобы отображать несколько экранов.

Изобретение относится к вычислительной технике. Технический результат заключается в сокращении ложного обнаружения сообщений канала управления в системе беспроводной связи.

Изобретение относится к способу и устройству для обеспечения доступа к услуге мобильной станцией. Технический результат заключается в обеспечении доступа различных типов услуг передачи данных мобильной связи без изменения конфигурации имени точки доступа мобильной станцией.

Изобретение относится к управлению возможностью соединения, в частности к агрегированию услуг приложений с помощью встроенного управления связностью. Техническими результатами являются обеспечение возможности обработки связности в качестве характеристики услуги или приложения, а не в качестве характеристики устройства, для предоставления гибкости доступа пользователю, а также обеспечение эффективной модуляризации бизнеса обслуживания и бизнеса предоставления связности.

Изобретение относится к способу работы сети. Технический результат заключается в повышении безопасности.

Изобретение относится к области связи. Технический результат заключается в ограничении количества нисходящих несущих, на которых мобильная станция UE детектирует канал PDCCH.

Изобретение относится к комплексной системе аудита и мониторинга информационной безопасности локальной вычислительной сети предприятия. Технический результат заключается в повышении точности обнаружения несанкционированного доступа к информации предприятия за счет введения дополнительных модулей аудита.

Изобретение относится к вычислительной технике. Технический результат заключается в защите информационных и вычислительных ресурсов грид-систем от несанкционированного доступа.

Изобретение относится к области оптимизации антивирусной проверки. Техническим результатом является увеличение скорости антивирусной проверки.

Изобретение относится к средствам обнаружения подложной информации. Технический результат заключается в уменьшении количества запросов, поступающих с компьютерного устройства на удаленный сервер.

Изобретение относится к области систем обнаружения вредоносного программного обеспечения. Техническим результатом является создание сценариев модели поведения на основании правил рейтинга опасности.

Изобретение относится к вычислительной технике. Технический результат заключается в повышении защищенности сайта.

Изобретение относится к средствам обнаружения вредоносного программного обеспечения Технический результат заключается в повышении безопасности мобильных устройств.

Изобретение относится к способу интеграции с автоматизированной системой управления данными об изделии (АСУДИ). Техническим результатом является предотвращение возможности для пользователя вносить изменения в формируемые в автоматизированной системе и размещаемые в АСУДИ электронные документы.

Изобретение относится к системам контроля и ограничения действий, совершаемых пользователем на персональном компьютере. Техническим результатом является повышение эффективности контроля за доступом к сетевым ресурсам.

Изобретение относится к вычислительной технике. Технический результат заключается в расширение функциональных возможностей контроля доступа к ресурсам, за счет использования субъекта доступа «Исходный пользователь, Эффективный пользователь, Процесс».

Изобретение относится к способу и системе для аутентификации воспринимающего устройства и пользователя. Техническим результатом является повышение надежности аутентификации воспринимающего устройства и пользователя, удостоверяющей, что данные, происходящие из устройства, происходят от конкретного устройства и от конкретного пользователя. Способ аутентификации воспринимающего устройства и пользователя содержит получение ID устройства для воспринимающего устройства, выполнение биометрического измерения пользователя, получение вспомогательных данных для пользователя и генерирование ключа из биометрического измерения и вспомогательных данных. Затем генерируется сообщение, содержащее ключ или компонент, выведенный из ключа, которое передается к удаленной службе, и в службе затем выполняется этап аутентификации устройства и пользователя с помощью сообщения. 2 н. и 12 з.п. ф-лы, 11 ил.

Изобретение относится к беспроводной связи. Технический результат - обеспечение безопасности пользовательского оборудования. Способ информирования о доступных средствах обеспечения безопасности в пользовательском оборудовании, включающий: определение в функции сетевого приложения предпочтительного упорядоченного списка желаемых для использования средств обеспечения безопасности пользовательского оборудования; отправку упомянутого предпочтительного упорядоченного списка в базу данных настроек безопасности пользователя посредством функции сервера начальной загрузки, причем база данных включает базу данных настроек безопасности пользователя общей архитектуры начальной загрузки, при этом упомянутый предпочтительный упорядоченный список отправляют в сообщении запроса о средствах обеспечения безопасности, отправляемом с использованием сообщения протокола Diameter в виде пар атрибут-значение, и упомянутый запрос о средствах обеспечения безопасности включает element namesecurityFeaturesRequest typexsd:string minOccurs0; и прием функцией сетевого приложения, посредством функции сервера начальной загрузки, ответа о средствах обеспечения безопасности, включающего ключ безопасности, извлеченный из информации, хранящейся в базе данных, и соответствующий желаемому средству обеспечения безопасности, имеющемуся в списке, что обеспечивает информирование функции сетевого приложения о доступности по меньшей мере желаемых средств обеспечения безопасности в пользовательском оборудовании. 3 н. и 17 з.п. ф-лы, 6 ил.

Наверх