本申请要求享有于2016年3月15日提交的、申请号为62/308,584的、题为“通过通信网络中继数据的系统和方法”的,以及于2017年3月13日提交的、申请号为15/457,938的、题为“通过通信网络中继数据的系统和方法”的美国专利的优先权,其全部内容通过引用并入本文。
本发明涉及通信网络领域,尤其涉及用于通过通信网络进行通信的用户设备(userequipment,ue)的系统和方法。在实现方式中,本发明更具体地涉及用于ue通过通信网络中继数据的系统和方法。
背景技术
在第三代和第四代(thirdandfourthgeneration,3g/4g)通信网络(例如,高速分组接入(highspeedpacketaccess,hspa)和长期演进(longtermevolution,lte)网络)中,每个ue具有其自己的凭证或凭证集,其由网络实体用于识别和授权要连接到网络的ue。如果ue未在网络上注册,例如特定运营商的无线网络,那么其不能通过该网络发送或接收信息。在一些情况下,没有网络凭证的ue仍然可以被授权用于到紧急服务的未认证访问,为了简单起见,这种类型的访问将被称为紧急访问,并且其它形式的访问将被简称为访问。因此,为了给ue提供网络上的连接,该ue必须具有允许其通信模块(例如,调制解调器和收发器)的注册以在该网络上操作的识别模块。
这种布置的功能限制是每个ue必须在网络上注册以通过网络接收信息。当第一ue没有为网络注册,或者因其它情况无法访问该网络,并且具有要使用该因其它情况无法访问的网络进行通信的业务时,其可以连接到注册用于访问所讨论的网络的第二ue。然后,第二ue可以充当第一ue的网关。通过第二ue的所有数据业务将作为与第二ue相关联的数据业务被网络识别并收费。通常,第一和第二ue之间的连接利用与网络连接不同的无线电接入技术(例如,连接到长期演进(lte)网络的ue可以充当wifi接入点以向其他ue提供网络接入)。可以设想,在一些下一代无线电接入网络(例如,所谓的第五代(fifthgeneration,5g)网络)中,ue可以能够充当其它ue的中继,并且,如果第一ue或第一ue访问的服务已同意承担该成本,中继ue可能不会承担与第一ue相关联的费用。
这种布置将连接到网络限制为拥有两个ue或彼此紧密相关的情况,使得网关ue的用户愿意为与第一ue相关联的数据承担责任,并支付所产生的费用。还需要网关ue的用户采取明确的动作(例如,激活wi-fi热点功能)。
需要一种用于能够通过网络进行更灵活通信的系统和方法。在一些实现方式中,需要一种能够通过网络中继数据的系统和方法。
传统通信网络的问题是提供对可能需要帮助以连接到网络的连接设备的访问。传统的解决方案是启用授权的中继ue。该方法的难点在于,当授权中继ue超出连接设备的范围或者其它不能代表连接设备提供连接的情况时,连接设备失去其对网络的访问。
提供该背景信息是为了揭示申请人认为可能与本发明相关的信息。无需承认也不应解释为任何前述信息构成了本发明的现有技术。
技术实现要素:
在一种实现方式中,提供了一种用于提供备选中继连接以提供对连接设备的网络访问的系统和方法。
在一种实现方式中,提供了一种用于与网络交换数据的未授权用户设备(ue)。所述未授权的ue可操作用于:接收包括认证凭证的订阅确认;接收与所述认证凭证相关联的数据;并使用所述接收到的授权凭证与所述网络交换所述接收的数据。
在一些实现方式中,所述未授权的ue可以进一步可操作以从授权的ue接收授权凭证,以及从连接设备接收数据。在一些实现方式中,所述未授权的ue可以进一步可操作以从网络上可用的应用服务器接收所述授权凭证,并从连接设备接收数据。所述授权凭证可以与所述连接设备相关联,并且所述网络可操作以将由所述授权凭证下的所述未授权ue交换的数据的责任和收费分配给所述连接设备。在一些实现方式中,未授权的ue可以进一步可操作以向所述网络上可用的应用服务器发送订阅请求,并从所述应用服务器接收订阅确认。
在一种实现方式中,提供了一种用于与网络交换数据的方法。所述网络的应用服务器可以接收寻求未授权的ue授权的订阅请求,所述订阅请求包括未授权的ue标识符;发送确认包括认证凭证的未授权ue的授权的订阅确认;以及,基于所述认证凭证从所述未授权的ue接收数据。
在所述方法的一些实现方式中,可以从当前被授权与所述网络交换数据的授权ue接收所述订阅请求。在所述方法的一些实现方式中,从所述未授权的ue接收订阅请求,并且在所述应用服务器发送所述订阅确认之前,所述方法还可以包括:发送包括所述未授权ue的标识符的验证请求;并且,接收验证所述验证请求的确认。在所述方法的一些实现方式中,所述验证请求被发送到授权的ue、连接设备和第二应用服务器中的至少一个。在一些实现方式中,在所述应用服务器发送订阅确认之前,所述应用还可以:将所述未授权的ue标识符发送给第二网络上的第二应用服务器;并且,从所述第二应用服务器接收对所述未授权ue的认证。在一些实现方式中,所述数据交换可以代表在所述网络上授权的连接设备。
在一种实现方式中,提供了一种用于将未授权的ue连接到网络以交换数据的方法。所述方法可以包括所述未授权的ue:向所述网络上的应用服务器发送为未授权ue寻求授权的订阅请求,所述订阅请求包括未授权的ue的标识符;接收确认包括认证凭证的未授权ue的授权的订阅确认;并且,基于所述认证凭证与所述网络交换数据。
在一些实现方式中,在发送订阅请求之前,所述方法还包括所述未授权ue:接收为连接设备交换数据的订阅请求;并且,将所述订阅请求发送到所述网络以用于连接设备。
在一种实现方式中,提供了一种用于将未授权的ue连接到网络以交换数据的方法,包括授权ue:向所述网络上的应用服务器发送寻求对未授权的ue的授权的订阅请求,所述订阅请求包括未授权的ue标识符;接收确认包括认证凭证的所述未授权ue的授权的订阅确认;并且,将所述认证凭证发送到所述未授权的ue。
在一些实现方式中,在接收到所述订阅确认之后,所述方法还包括授权ue:向包括所述未授权ue标识符的连接设备发送切换通知,所述切换通知使得所述连接设备能够通过所述未授权ue访问所述网络。
在一种实现方式中,提供了一种应用服务器。所述应用服务器在网络上可用并且可操作以用于:接收寻求未授权ue的授权的订阅请求,所述订阅请求包括未授权的ue标识符;发送确认包括认证凭证的未授权ue的授权的订阅确认;以及,基于所述认证凭证从所述未授权的ue接收数据。
在一些实现方式中,从当前被授权与所述网络交换数据的授权ue接收所述订阅请求。在一些实现方式中,从所述未授权的ue接收所述订阅请求,并且其中,所述应用服务器还可操作用于:发送包括所述未授权ue标识符的验证请求;并且,接收验证所述验证请求的确认。在一些实现方式中,所述验证请求被发送到授权ue、连接设备和第二应用服务器中的至少一个。在一些实现方式中,在所述应用服务器发送所述订阅确认之前,所述应用服务器可操作用于:将所述未授权ue标识符发送到第二网络上的第二应用服务器;以及,从所述第二应用服务器接收所述未授权ue的认证。在一些实现方式中,所述数据交换代表在所述网络上授权的连接设备。
附图说明
通过以下结合附图的详细描述,本发明的其它特征和优点将变得显而易见,其中:
图1示出了通过一个或多个网络中继数据的系统的实现方式。
图2a和2b示出了用于提交用于中继数据的订阅请求的系统的实现方式。
图3a和3b示出了用于提交用于中继数据的订阅请求的系统的实现方式。
图4示出了用于提交用于中继数据的订阅请求的系统的实现方式。
图5是示出计算系统的实施例的框图。
应注意,在所有附图中,相同的特征由相同的附图标记标识。
具体实现方式
本申请涉及用于提供到网络的替代连接的系统和方法。特别地,本申请涉及用于将数据中继到网络的系统和方法。
在一些提出的网络中,例如包括所提出的5g网络的下一代网络,在处理连接的ue的身份以及为非连接的ue提供新的连接模式方面可能存在额外的灵活性。在以下描述和附图中,由用户设备(ue)表示的例如智能电话的无线使能移动通信设备形式的ue仅用于说明目的。应理解并预期本申请提供适用于一系列电子设备的系统和方法,所述电子设备包括ue、自动机器和连接到移动网络的其它设备。术语“ue”用于简化,但应理解为还指代连接到无线网络、在3gpp标准中定义的用户设备(ue)、固定无线终端以及其它利用无线网络连接的这种设备的电子设备。术语“连接设备”在本文中用于描述需要ue的辅助来获得对网络的访问的计算设备。该连接设备可以是ue,或者可以是依靠ue来访问网络的非连接的电子设备,例如物联网(internetofthings,iot)设备(也称为机器对机器设备或机器类型通信(machinetypecommunication,mtc)设备)。
在一些实现方式中,本申请提供了一种机制,使得ue能够通过中继ue将数据发送到网络来共享其网络授权以获得对其授权网络的访问,或者授予网络授权给另一个否则将无法在网络上授权的ue。
在一个实施例中,该系统和方法涉及一种用于将授权凭证从授权ue传递到另一个未授权ue的方法。授权凭证可以直接从授权的ue发送到未授权的ue,或者可以从网络上可用的应用服务器发送到未授权的ue。未授权的ue可以使用授权凭证来获得对网络的访问和通信。“未授权”ue被称为未授权的,因为不接收授权凭证的情况下其不能访问网络。授权凭证的使用可以允许未授权的ue访问对其访问权限有限制或设限的网络。在没有授权凭证的情况下,未授权的ue将无法连接到网络。术语“未授权”用于指示ue未被授权在没有特定网络上的授权凭证的情况下执行指定的通信,并且不表示ue否则无法代表其自身与网络通信。未授权的ue可以是该网络的订户,或者是其它网络的订户,以便代表其自身进行通信。还应注意,如果两个ue被授权访问相同网络,但是第一ue正在使用第二ue的授权凭证,出于以下讨论的目的,第一ue将被称为未授权。
在一些实现方式中,未授权的ue可以被设置为以自动方式开始充当中继,以在没有用户输入的情况下向连接设备提供支持。在这些实现方式中,未授权的ue可以从授权的ue请求授权凭证。在接收到授权凭证时,未授权的ue可以连接到网络并且用作连接设备的中继。未授权的ue可以被设置为验证请求、接收授权凭证,以及使用授权凭证进行中继通信,而不需要来自未授权ue的用户的授权输入。可以使用短程通信协议来进行请求ue与未授权ue或连接设备之间的协商。
在一些实现方式中,可以通过无线网络进行现有授权ue与未授权ue之间的协商。在一些实现方式中,该协商是响应于连接设备发送的对授权和未授权ue中的一个的请求而进行的。具有到服务提供商的连接的未授权ue可以授权使用其对连接设备的网络访问,并且基于所接收的与授权的ue或连接设备相关联的授权凭证来提供该连接。
在一种实现方式中,未授权的ue最初未在网络上被授权。在该实现方式中,将授权凭证从授权的ue或网络传递到未授权的ue使未授权的ue能够在授权的ue的授权下注册到网络。在使用与授权ue相关联的凭证附加和注册之后,未授权的ue可以直接与网络通信。该实现方式允许未授权的ue立刻与网络通信,尽管其没有自己的网络授权凭证。
在替代实现方式中,如上所述,未授权的ue可以是订户并且能够与网络或第二网络通信。在该备选实现方式中,将授权凭证传递给未授权的ue类似地允许未授权的ue承担授权的ue的授权,并且此后基于授权的ue的授权凭证直接与网络通信。
在一种实现方式中,未授权的ue可以使用授权凭证将从第一授权ue或第三方ue接收的数据中继到网络。
在一种实现方式中,未授权的ue可以使用授权凭证将其自己的数据传送到网络。对授权凭证下传输的数据的责任和收费可以保留给授予授权凭证的ue。
在一种实现方式中,未授权的ue可以操作以基于其自己的订阅信息或基于所接收的授权凭证来选择性地直接与网络或第二网络通信。例如,可以基于正在传送的数据的特性来进行选择性通信。在一种实现方式中,可以进行选择性通信,使得使用其自己的订阅来传送与未授权的ue相关联的数据,并且使用所接收的授权凭证来传送与授权的ue或第三方ue相关联的数据。因此,未授权的ue可用于选择授权凭证以与预定义的数据类型一起使用,用于将该数据类型传送到接收方网络。
在进一步的替代实现方式中,未授权的ue可以是第二网络上的订户,但不是第一网络上的订户。在该进一步的替代实现方式中,网络状况可能使得期望将来自第一网络的通信业务卸载到第二网络上。为了卸载通信,可以将授权凭证传递给未授权的ue以授予其授权以代表另一ue在第二网络上中继先前在第一网络上交换的指定通信。因此,未授权的ue可以被授权代表授权的ue与第二网络交换通信,该授权的ue可以是第一网络的订户,但不是第二网络的订户。
在一种实现方式中,可以提供一种系统,其可操作以检测授权的ue的位置并将授权凭证的有效性限制到有限的地理区域或地区。在一些实施例中,有限地理区域可以基于与检测到的位置的关系,例如距检测到的位置的距离。在一些实施例中,可以使用地理坐标、地理地标等来指定有限地理区域。在一种实现方式中,网络可以用于检测授权ue的位置并基于与关于第三连接设备的有限地理区域一致的位置启动订阅启动,该第三连接设备需要帮助以获得与第一网络的连接。
在一种实现方式中,提供了一种用于与网络交换数据的系统。该系统可以包括被授权与网络交换数据的授权的ue和未被授权与网络交换数据的未授权的ue。未授权的ue可操作以接收授权凭证,并使用所接收的授权凭证与网络交换数据。未授权的ue可以从授权的ue或网络接收授权凭证
在一些实现方式中,授权的ue可以是正在寻求对网络的访问的连接设备,并且将授权凭证授权到未授权的ue以使未授权的ue能够代表连接设备充当中继。在一些实现方式中,授权的ue可以是代表另一个连接设备提供对网络的访问的中继ue。
在系统的实现方式中,授权凭证与授权的ue相关联,并且网络可操作以将授权凭证下由未授权的ue交换的数据的责任和收费分配给授权的ue。
在一种实现方式中,除了授权的ue和未授权的ue之外,该系统可以包括可操作以生成用于与网络交换的数据的连接设备。在该实现方式中,未授权的ue还可操作用于从连接设备接收数据并使用授权凭证代表ue将数据中继到网络。在一些实现方式中,授权凭证可以与连接设备相关联,并且网络可操作以将由授权凭证下的未授权的ue交换的数据的责任和收费分配给连接设备。
参照图1,描绘了用于在一个或多个网络上中继数据的系统的简化示例性表示。在图1中,示出了两个移动网络(mno-a和mno-b),网络a10和网络b15;还示出了在网络a10和网络b15中的每一个上提供服务的示例性应用服务器(mno-a应用服务器12和mno-b应用服务器16)。应用服务器12、16是位于网络运营商的网络内部或外部的服务器,并且可操作用于支持本文描述的系统和方法。可选地,如图所示,应用服务器12、16可以彼此直接连接以提供跨网络通信。在一些实现方式中,应用服务器12、16可以包括网络a10或网络b15的enb的一部分。在一些实现方式中,应用服务器12、16可以连接到提供访问连接到网络a10和网络b15的ue的一个或多个enb。在其它实施例中,应用服务器可以驻留在网络a和网络b之外,例如,应用服务器可以在因特网中。
在图1的示例中,由ue-a表示的授权的ue20在网络a10上被授权。在该示例中,由ue-b表示的未授权ue25订阅网络b15,但是通常不在网络a10上授权。在网络a10上授权至少一个连接设备30,但是不具有与网络a10的直接连接。在一些实现方式中,缺乏连接可以是选项或设计,而不是永久条件。在该示例中,未授权的ue25已经接收授权凭证,其授权未授权ue25在网络a10上代表连接设备30传送数据。在其它实现方式中,未授权的ue25可以接收授权凭证,其在网络a10上授权未授权的ue代表其自身传送数据。在两种情况下,与网络a10的通信都在单独的授权标识下,而不是在未授权的ue25的标识下。在一些实现方式中,授权凭证可以是时间受限的、位置受限的、服务受限的或以其它方式约束的。
在一种实现方式中,应用服务器10、12可以用于在必要时交换身份确认信息以确认授权ue20、未授权ue25和/或连接设备30的身份。在该实现方式中,例如,网络a10可能不知道未授权ue25的身份,但是可以通过与网络b15交换相应的身份确认信息来验证身份。
在一种实现方式中,未授权的ue25可以是网络a10上的订户,但是接收授权凭证以便为其代表的连接设备30传输的数据分配责任和收费。因此,对于希望在特定网络上传送的指定数据,或者对于将其自身表示为网络上的特定身份,第二ue25是“未授权的”。例如,授权的授权凭证可以允许未授权的ue25以以下任何目的采用虚拟身份:
●代表自己访问网络;
●代表另一个连接设备30在其作为订户的网络10上中继数据;
●代表连接设备30在其缺乏授权的网络上中继数据;以及,
●从一个网络a10卸载数据并代表网络a10或网络b15将数据中继到另一个网络b15。
在该示例中,为了允许连接设备30连接到网络a10上的服务的目的而授予该授权凭证。因此,当未授权的ue25的收发器和调制解调器用于与网络时a10连接时,该连接被识别为代表连接设备30被授权的连接,并且该连接的责任和收费保持与连接设备30相关联。
在图1的示例中,连接设备30被示为示例性“物联网”(iot)设备,以说明连接设备30可能不具有到网络a10的直接连接。相反,连接设备30依赖于ue,例如授权ue20,并且如果需要,未授权ue25提供对网络a10的访问。在一种实现方式中,连接设备30可以是为其它ue提供连接的网关ue。在一种实现方式中,连接设备30可以具有连接到网络a10的能力,但是可以主要(或替代地)使用例如授权的ue25之类的中继ue以便减少传输能量需求,以简化管理网络a10和/或其它相关目的。
作为示例,图1的实施例的功能使用可以是,连接设备30主要使用在网络a10上授权的授权ue25以将连接设备的通信中继到网络a10上可用的服务。连接设备30的授权和收费可以不同于通常由授权的ue20传送的授权、收费和其它业务。
例如,连接设备30可以是公用事业仪表或汽车,其通过网络a10连接到专用服务以接收和发送有限数据集。连接设备30可以依赖于到本地网关或用户的智能电话的近距离通信作为授权的ue20,以在必要时提供到网络a10的连接,而不是为连接设备30提供完整的收发器和调制解调器,或者当连接设备30在网络a10的范围之外时提供连接。在授权的ue20不能提供连接的情况下,授权的ue20或连接设备30的授权凭证可以被传送到未授权的ue25,以在传送的授权下实现到网络a10的连接。授权的ue20可能无法提供连接,例如,在其电力不足,超出连接设备30的范围或者其它不能提供服务的情况下。在任何这些情况下,可以由未授权的ue25向连接设备30提供到网络a10的连接,而不管未授权的ue25是否是网络a10上的订户,以确保该连接的授权和收费仍然是连接设备30的责任。
如上所述,在授权的ue20和未授权的ue25之间可以发生类似的交换,以允许授权的ue20通过充当中继的未授权的ue25与网络a10通信。在这种情况下,功能是相同的,除了上述连接设备30的操作也由授权的ue20的影响。
作为初始步骤,必须在相关方之间传达和建立与网络a10建立新的授权连接的要求。根据实现方式,发起方可以是网络a10、授权ue20、未授权ue25或连接设备30中的任何一个。在建立新连接的要求已经建立之后,未授权的ue25必须经过授权并收到授权凭证。在两个主要实施例中,授权的ue20或未授权的ue25可以向网络a10提交订阅请求,作为建立新授权连接的启动步骤。
图2a是示出用于授权的ue20(表示为ue-a)代表未授权的第二ue25(表示为ue-b)向应用服务器12提交订阅请求以便将连接设备30(例如iotue/网关)的数据处理从授权的ue20传送到未授权的ue25的系统和方法的实施例的信令图。
在该实施例中,授权的ue20代表未授权的ue25发起通信。在步骤210中,通过将订阅请求发送到网络a10上可用的应用服务器12,授权的ue20可以以请求的形式提交订阅请求,以授权代表未授权的ue25寻求授权凭证。响应于接收到订阅请求,在步骤215中,应用服务器12可以利用包括授权凭证的订阅确认来回复授权的ue20。订阅确认可以包括由授权的ue20或者散列、证书、签名或原始消息的其它加密处理的版本来发送的原始消息,以允许授权的ue20认证该确认。在一些实现方式中,订阅确认可以包括未授权的ue25在订阅时使用的安全信息。优选地,在认证订阅确认之后,在步骤220中,授权ue20将进一步向应用服务器12发送确认接收到订阅确认的确认。订阅请求、确认和确认交换可以包括授权ue20和应用服务器12之间的加密通信。
在步骤225中,授权的ue20将向未授权的ue25发送通知,指示发送到应用服务器12的订阅请求已被验证。在一些实现方式中,在步骤225中发送的通知还可以包括在订阅应用服务器12时由未授权ue25使用的安全信息。
在一种实现方式中,在步骤210中发送的订阅请求可以包括标识符和认证信息。标识符可以包括,例如,电话号码、国际移动站设备标识(internationalmobilestationequipmentidentity,imei)、国际移动用户标识(internationalmobilesubscriberidentity,imsi)、媒体访问控制地址(mediaaccesscontroladdress,mac)或未授权的ue25的其它标识信息中的一些或全部。验证信息可以包括,例如,未授权的ue25用于与网络a10验证和/或认证其自身的密钥、凭证、证书、散列、密码或其它安全信息中的一些或全部。
在一种实现方式中,订阅请求还可以包括以下可选组件中的任何一个:
●连接设备30的标识符,使用该授权凭证将数据发送到未授权的ue25以与网络a10交换;
●授权持续时间,在该授权凭证下定义未授权ue25的连接时间;
●服务id,用于标识受授权凭证约束的网络a10上的服务;以及
●与定义授权凭证范围和受授权凭证约束的各方相关的其它信息。
为了使未授权的ue25然后通过网络a10进行通信,如果其不是网络a10的订户,则其本身必须在网络a10上被授权以用于由授权凭证进行定义的目的。在一些情况下,未授权的ue25可以订阅网络a10以用于其自身的连接和数据传输,并且不需要进一步的授权来代表其自身获得连接。在这些情况下,授权凭证仅需要授权未授权的ue25代表连接设备30传送数据。在一些实现方式中,未授权的ue25可以在代表连接设备30交换数据之前等待接收在步骤225中发送的通知。
在其它情况下,未授权的ue25或者未订阅网络a10,或者可能需要授权以便代表连接设备30将通信中继到网络a10。在这些情况下,未授权的ue25等待接收由授权ue20在步骤225中发送的通知,该通知可以包括指示未授权ue25已被授权为通信方并且已经在网络a10上订阅的订阅确认。订阅确认可以作为确认的一部分到达,或者可以作为单独的消息发送。例如,在一些实现方式中,订阅确认可以是从授权的ue20发送到未授权的ue25的sms(shortmessageservice,短消息服务)消息。sms消息可以包括可以由移动网络a10在识别和认证未授权的ue25的过程中使用的认证信息,例如密码。作为替代示例,可以在授权的ue20和未授权的ue25之间建立直接的ue到ue通信信道以交换订阅确认。
在一种实现方式中,订阅确认可以包括基于作为订阅请求的一部分提交的认证信息的信息。在第二实现方式中,认证信息可能先前已在授权的ue20与未授权的ue25之间进行交换。在两种情况下,授权的ue20将订阅已经确认传达给未授权的ue25,并且通常包括安全信息以使未授权的ue25能够使用应用服务器12标识自己。
在任一种情况下,在接收到通知之后,在步骤230中,未授权的ue25向应用服务器12发送订阅,该订阅形成用于获得到网络a10的连接的授权请求。该订阅至少包括标识符和ue认证信息,例如包括在订阅请求中的认证信息,或者与认证信息有关的加密信息,其可以由应用服务器12基于从授权的ue20接收的订阅请求来认证未授权的ue25。ue认证信息还可以包括授权的ue20识别信息,例如证书或其它识别加密信息,其可以由应用服务器12用来确认该订阅与该订阅请求有关。订阅还可以包括向未授权的ue25发送数据的ue的标识符和/或服务id,和/或与定义授权范围和受限于授权的各方相关的其它信息。
响应于接收到订阅,应用服务器12可以验证授权请求,包括通过使用从授权的ue20接收的认证信息处理接收的ue认证信息。在验证授权请求之后,在步骤235中,应用服务器12可以以授权凭证的形式向未授权的ue25发送订阅确认。在一些实现方式中,应用服务器12还可以为未授权的ue25定义用于其在授权下的通信的安全简档。在上述系统和方法的一些实现方式中,可以限制授权凭证以在有限的地理范围和/或持续时间内操作。
根据实现方式,在步骤237中,应用服务器12还可以向在网络a12上操作的归属订户服务(homesubscriberservice,hss)发送通知,为了由订阅请求定义的有限目的,在网络a12上认证未授权的ue25。在一些实现方式中,应用服务器12提供hss。在这些实现方式中,对hss的通知包括应用服务器12的内部过程。
现在,未授权的ue25可以使用所接收的授权凭证代表连接设备30与网络a10通信,尽管未授权的ue25本身可能未被“授权”用于通信或服务。例如,未授权ue25可以将从连接设备30接收的数据发送到订阅网络a10中的节点。
服务访问和收费可以应用于在所接收的授权凭证下交换的到与所接收的授权相关联的授权身份的通信。因此,可以针对在所接收的授权下交换的数据特定地应用安全性和计费。与所接收的授权凭证相关联的授权身份通常可以是与未授权的ue25的身份分开的身份。如上所述,与所接收的授权相关联的授权身份可以例如与授权的ue20或连接设备30相关联。
作为示例,授权的ue20或连接设备30可以订阅网络a10。授权凭证的转移可以在订阅请求中定义的条款下有效地将订阅的覆盖范围扩展到未授权的ue25。
在一种实现方式中,该方法还可以包括步骤240,应用服务器12向授权的ue20发送切换通知。在接收到切换通知时,在步骤245中,在一些实现方式中,授权的ue20可以向连接设备30发送切换通知。
参见图2b,在一些实现方式中,未授权的ue25可以在步骤247中将切换通知发送到连接设备30。在这些实现方式中,ue25可以包括允许连接设备30确认ue25被授权和订阅承载服务的连接设备授权凭证。在图2b的实施例中。在图2b中,授权的ue20不向连接设备30发送切换。在步骤250中,连接设备30可以使用未授权的ue25作为中继来与网络10交换数据以将从连接设备30接收的数据发送到订阅的网络a10中的节点。
参见图3a,在一种实现方式中,未授权的ue25可以直接向应用服务器12提交订阅请求以获得授权。该订阅请求包括授权的ue标识符,以及与未授权的ue25有关的认证信息。可选地,订阅请求可以包括共享密钥、要支持的ue/设备的列表和/或服务标识符。在步骤310中,未授权的ue25向应用服务器12发送订阅请求。响应于在步骤315中接收到订阅请求,应用服务器12可以向未授权的ue25发送包括授权凭证的订阅确认。
在一种实现方式中,订阅请求可能要求在未授权的ue25和应用服务器12之间交换与订阅请求有关的订阅信息。订阅信息包括授权ue的认证凭证,例如授权的ue20或者连接设备30,以使应用服务器12能够确认未授权的ue25被授权进行订阅请求。订阅信息可以由未授权的ue25直接提供,或者可以由应用服务器12获得。
在一种实现方式中,应用服务器12可以从例如授权的ue20之类的授权通信方获得订阅信息。在一种实现方式中,应用服务器12可以通过向未授权的ue25发送验证请求以转发到授权的ue20来寻求确认。由未授权的ue25或授权的ue20将对验证请求的确认返回到应用服务器12。在一种实现方式中,如图3a所示,应用服务器12可以在步骤325中通过向授权的ue20发送验证请求来寻求确认。在步骤330中,授权的ue20可以向应用服务器12发送认证验证请求的确认。在一种实现方式中,验证和确认可以包括未授权的ue标识符以及认证信息。可选地,验证和确认可以包括共享密钥、要支持的ue/设备的列表和/或连接条件。
在一种可选实现方式中,网络a10上的应用服务器12可以通过将标识符从订阅请求转发到第二网络上的第二应用服务器(例如,网络b15上的mno-b应用服务器16)来采用服务器认证,并且请求来自mno-b应用服务器16的未授权的ue25的认证。在该实现方式中,未授权的ue25可以由另一个服务器或网络进行身份验证,该服务器或网络提供了未授权的ue25订阅的服务。mno-b应用服务器16返回的认证可以包括状态信息,例如:未授权的ue25向连接设备30提供中继服务的能力和可靠性、信用状况和法律状态的确认。在未授权ue25已经是第一网络(网络a10)上的订户的情况下,应用服务器12可以通过访问网络a10上可用的有效性服务来直接验证未授权的ue25的有效性。在这些实现方式中,第二服务器可能在网络a10上可用。
在一种实现方式中,订阅信息的交换可以包括从应用服务器12向未授权的ue25请求与订阅请求有关的信息。未授权的ue25可以将所请求的相关信息返回给应用服务器12。在一些实现方式中,这种订阅信息的交换可以包括例如以认证过程的形式的对其进行挑战和响应,以确认提出请求的连接设备30的身份。挑战和响应可以包括从应用服务器12到未授权的ue25的证书信息的交换、基于从连接设备30或授权的ue20接收的认证信息来认证的证书信息。经认证的证书信息可以返回到应用服务器12,以提供未授权的ue25代表授权的ue20或连接设备30的确认。在一种实现方式中,认证可以包括未授权的ue25基于证书信息,从授权ue20或连接设备30请求确认信息,以及从授权ue20或连接设备30接收确认信息,以进一步处理未授权的ue25,和/或转发到应用服务器12。
在步骤330中接收到由授权的ue发送的确认之后,应用服务器12如上面参考图2a所述向未授权的ue25发送通知。应用服务器12还可以在步骤335中通知hss未授权的ue25已被授权用于由订阅请求定义的有限目的。在一些实现方式中,应用服务器12提供hss。在这些实现方式中,对hss的通知包括应用服务器12的内部过程。
在一种实现方式中,该方法还可以包括步骤340,授权ue20向连接设备30发送切换通知。在接收到切换通知之后,在步骤350中,连接设备30可以使用未授权的ue25作为中继继续交换数据以将从连接设备30接收的数据发送到订阅网络a10中的节点。
参见图3b,在一些实现方式中,未授权的ue25可以在步骤347中将切换通知发送到连接设备30。在这些实现方式中,ue25可以包括连接设备授权凭证,其允许连接设备30确认ue25被授权和订阅以承载服务。在图3b的实施例中,授权的ue20不向连接设备30发送切换。在步骤350中,连接设备30可以使用未授权的ue25作为中继来与网络10交换数据,以将从连接设备30接收的数据发送到订阅网络a10中的节点。
在一个实施例中,未授权的ue25可以请求从授权的ue20访问网络a10以发起订阅请求。在一种实现方式中,未授权的ue25可以代表其自己请求访问。在一种替代实现方式中,未授权的ue25可以代表连接设备30请求访问。在任一情况下,未授权的ue25向授权的ue20发送订阅请求。
授权的ue20可以在两个备选订阅实现方式中响应订阅请求。
在第一订阅实现方式中,授权的ue20可以将订阅请求作为授权通信方直接提交给网络a10上的应用服务器12如上所述以及参照图2a和2b所示。在该实现方式中,未授权的ue25向授权的ue20发送的订阅请求可以包括未授权的ue25和/或连接设备30的标识信息。
响应于接收到包括识别信息的订阅请求,授权的ue20可以处理订阅请求,例如,对未授权的ue25的用户进行认证,或者在授权的ue20处接收用户输入以获得用于订阅的用户授权。或者,授权的ue20可以参考白名单、黑名单、证书列表或其它认证参考来确定标识信息是否与被授权连接到网络a10的ue相对应。
然后,授权的ue20可以将处理后的订阅请求传送到应用服务器12,以将未授权的ue25作为授权通信方提交和注册,如上面参考图2a和2b所示。在该实现方式中,发送到应用服务器12的经处理的订阅请求包括未授权的ue25的足够的识别信息,以便网络a10在未授权的ue25直接联系时将未授权的ue25识别为授权的通信方。识别信息可以包括,例如,与未授权的ue25或连接设备30相关联的证书。
在第二订阅实现方式中,授权的ue20可以向未授权的ue25返回订阅授权。在该实现方式中,未授权的ue25然后可以按照参考图3a和3b描述的信令步骤将订阅授权或处理的订阅授权转发给应用服务器12。
参见图4,在一个实施例中,可以在没有授权的ue20的帮助的情况下进行授权。在该实施例中,在步骤410中,未授权的ue25向应用服务器12发送订阅请求。在步骤415中,应用服务器12向未授权的ue25发送订阅确认。可选地,未授权的ue25和应用服务器12可以在步骤420和425中交换进一步的确认和通知消息以完成订阅并交换任何所需的认证信息。还可选地,应用服务器12可以在步骤427中向hss发送通知。在一些实现方式中,应用服务器12提供hss。在这些实现方式中,对hss的通知包括应用服务器12的内部过程。
在步骤430中,应用服务器12直接向连接设备30发送通知,向连接设备30通知到未授权的ue25的切换。该通知包括未授权的ue标识符。在步骤450中,连接设备30使用未授权的ue25与网络10交换数据,以将从连接设备30接收的数据发送到订阅网络a10中的节点。
本领域技术人员应当理解,在以上讨论中,第一ue被授权连接到移动网络并向已被称为未授权ue的第二ue提供认证。存在预期的情况,其中第二ue被授权以其自己的凭证访问网络,而是使用第一ue的授权凭证来允许对与订阅请求相关的服务和数据交换向第一ue或第三方ue的数据使用计费。
在一些实施例中,应当理解的是,可以允许从另一ue接收用于访问的授权凭证的ue将该访问转移到第三ue。一些运营商可以限制(或甚至禁止)访问权限的转移,并且通常被限制为不超过原始授权的ue授权的权利集合的条件。授权委托可以由第一ue限制或由网络限制以提供授权。在一些情况下,从第二ue到第三ue的转移可能受到更多限制条件的约束。在其它情况下,可以限制授予访问权限的次数。
图5是可用于实现本文公开的设备和方法的计算系统600的框图。这里描述的授权ue20、未授权ue25、连接设备30、应用服务器12和enb可以各自包括适于执行本文描述的方法的计算系统600。
特定设备可以利用所示的所有组件或仅利用组件的子集,并且集成级别可以随设备而变化。此外,设备可以包含组件的多个实例,例如多个处理单元、处理器、存储器、发送器、接收器等。计算系统600包括处理器602。处理器602,其可以包括任何类型的电子数据处理器,可以包括一个或多个核或处理元件。计算系统600还可以包括总线620、存储器608、视频适配器610、i/o接口612(以虚线示出),并且可选地还可以包括大容量存储设备604。计算系统600还可以包括用于将计算系统600连接到通信网络622的一个或多个网络接口606。在一种实现方式中,网络接口606包括可操作以与无线电接入网络交换通信的无线电接入网络接口。
存储器608可以包括任何类型的非暂时性系统存储器,例如静态随机存取存储器(staticrandomaccessmemory,sram)、动态随机存取存储器(dynamicrandomaccessmemory,dram)、同步dram(synchronousdram,sdram)、只读存储器(read-onlymemory,rom)或其组合。在一个实施例中,存储器608可以包括用于启动的rom,以及用于在执行程序时使用的程序和数据存储的dram。该存储器用于存储非暂时性计算机可执行代码,以供处理单元执行以执行本文所述的方法。总线620可以是任何类型的若干总线架构中的一个或多个,包括存储器总线或存储器控制器、外围总线或视频总线。
大容量存储设备604可以包括任何类型的非暂时性存储设备,其被配置为存储数据、程序和其它信息,并且使得数据、程序和其它信息可以通过总线620进行访问。大容量存储设备604可以包括例如,固态驱动器、硬盘驱动器、磁盘驱动器或光盘驱动器中的一个或多个。
视频适配器610和i/o接口612提供可选接口以将外部输入和输出设备耦合到处理单元602。输入和输出设备的示例包括耦合到视频适配器610和i/o设备616的显示器618,例如耦合到i/o接口612的触摸屏。其它设备可以耦台到处理单元602,并且可以使用额外的或更少的接口。例如,例如通用串行总线(universalserialbus,usb)(未示出)的串行接口可用于为外部设备提供接口。或者,计算系统600可以依赖于网络接口606来连接到网络622上可用的可用大容量存储设备、视频适配器610和i/o接口612。
在一个实施例中,提供了一种用于将未授权的ue连接到网络以交换数据的方法。该方法可以包括未授权的ue:向网络上的应用服务器发送寻求为未授权的ue授权的订阅请求,该订阅请求包括未授权的ue标识符;接收确认包括认证凭证的未授权ue的授权的订阅确认;并且,基于该认证凭证与网络交换数据。
在一种实现方式中,在发送订阅请求之前,该方法还包括:未授权的ue:代表连接设备接收进行数据交换的订阅请求;并且,将该订阅请求发送到网络以用于连接设备。
在一个实施例中,提供了一种用于将未授权的ue连接到网络以交换数据的方法,包括授权的ue:向网络上的应用服务器发送寻求为未授权的ue授权的订阅请求,该订阅请求包括未授权的ue标识符;接收确认包括认证凭证的未授权的ue的授权的订阅确认;并且,将该认证凭证发送到未授权的ue。
在一种实现方式中,在接收到订阅确认之后,该方法还包括:授权ue:向包括未授权的ue标识符的连接设备发送切换通知,该切换通知使得连接设备能够通过未授权的ue访问网络。
除非另外定义,否则本文使用的所有技术和科学术语具有与本发明所属领域的普通技术人员通常理解的含义相同的含义。
尽管已经参考本发明的具体特征和实施例描述了本发明,但显然可以在不脱离本发明的情况下对其进行各种修改和组合。因此,说明书和附图应简单地视为由所附权利要求限定的本发明的说明,并且预期涵盖落入本发明范围内的任何和所有修改、变化、组合或等同物。