利用授权令牌对网络装置的管理的制作方法
【专利说明】利用授权令牌对网络装置的管理
[0001]对相关申请案的交叉参考
[0002]本申请案主张2012年12月6日申请的题目为“利用授权令牌对网络装置的管理”的先前临时专利申请案第61/734,315号的优先权,所述申请案被以引用的方式并入本文中。
技术领域
[0003]本发明大体上涉及利用授权令牌对网络装置的管理。
【背景技术】
[0004]当前,通用集成电路卡(UICC)由特定移动网络运营商(MNO)拥有、管理和分配,且可从网络装置(例如,蜂窝电话)去除。例如,如果网络装置拥有者想要改变对不同MNO的订购式服务,那么网络装置拥有者需要去除UICC,且放置于来自新服务提供商(例如,另一ΜΝ0)的新nCC中。这是消耗成本和时间的过程。另外,在许多机器对机器(M2M)使用情况下(例如,汽车中的智能仪表或无线调制解调器),改变ncc同样需要大量工作且成本非常尚O
[0005]嵌入的通用集成电路卡(eUICC)当前正被考虑用于在网络装置(例如,蜂窝电话、平板计算机、M2M装置等)中使用,这可减少成本且消除对去除和替代来自网络装置的nCC的需求。然而,用于在网络装置中使用的嵌入的UlCC(eUICC)呈现出许多与所有权管理、订购管理以及安全问题有关的难题。作为特定实例,需要提出防止未经授权的实体加载、启用、停用和/或删除服务和简档的技术以及允许授权实体启用服务和管理简档的技术。这对于用户控制的网络装置(例如,蜂窝电话)以及用户通常不物理地与其交互的M2M装置两者有关。
【发明内容】
[0006]本发明的方面可涉及一种用于利用授权令牌对网络装置的管理的设备、系统和方法。在一个实施例中,可使用授权凭证来验证从服务提供商接收的授权令牌以确定服务提供商是否经授权来借助网络装置执行所请求的操作。另外,可施行授权令牌中所含有的操作特权。
【附图说明】
[0007]图1为可实践与利用授权令牌对网络装置的管理有关的本发明的实施例的系统的框图。
[0008]图2为说明由网络装置实施以利用授权令牌的过程的流程图。
[0009]图3为特定展示利用授权令牌的网络装置的框图。
【具体实施方式】
[0010]词语“实例”或“示范性”在本文中用以意味着“充当实例、例子或图解”。本文中描述为“示范性”或描述为“实例”的任何方面或实施例未必应被解释为比其它方面或实施例优选或有利。
[0011]参看图1,图1为可实践本发明的实施例的系统100的框图。如将描述,本发明的实施例涉及网络装置102,其包含接口 103、处理器104和可储存授权凭证110和授权令牌114的存储器105。在一个实施例中,至少处理器104和存储器105可配置于嵌入的通用集成电路卡(enCC)115中。然而,eUICC 115可包含由HCC定期利用的组件中的一些或全部。
[0012]如稍后更详细地描述,处理器104可执行包含以下的功能:使用授权凭证110产生授权令牌114 ;命令授权令牌114通过链路经由网络接口(I/F) 103到装置管理部门118或到服务提供商134、130(如果由装置管理部门118授权)的传输;使用授权凭证110验证从服务提供商134、130接收回的授权令牌114以确定服务提供商134、130是否经授权以借助网络装置102执行所请求的操作;和施行授权令牌114中所含有的操作特权。虽然提及一个授权凭证和一个授权令牌,但应了解,可利用多个授权凭证和授权令牌。并且,装置管理部门118通常指网络装置102的拥有者或具有批准另一实体管理eUICC 115或网络装置102上的数据或服务的权限的实体。
[0013]另外,应了解,网络装置102可为具有处理器104和存储器105以实施先前描述的功能性和下文将描述的功能性的任一类型的合适网络装置(例如,膝上型计算机、移动装置、非移动装置、智能电话、蜂窝电话、平板计算机、个人数字助理(PDA)、机器对机器(M2M)装置、个人计算机、服务器计算机等)。
[0014]并且,网络装置102可包含用户接口 120,其可为任一合适类型的输入机构,例如,键盘、小键盘、触摸屏、语音辨识、麦克风等。另外,I/F 103可为合适的无线接口,且可包含合适的收发器组件(例如,无线发射器和接收器)以通过无线链路发送和接收数据,或可为用于由合适的电缆、电线等(例如,有线链路)连接的合适有线接口。因此,下文将描述的术语链路可为无线或有线链路。另外,网络装置102可包含显示装置112,例如,借助网络装置实施的常用显示装置。
[0015]在一个实施例中,为了解决与针对嵌入的通用集成电路卡(enCC)的拥有者授权和安全有关的问题,网络装置102的授权令牌114可用以授权实体(例如,服务提供商134、130)提供针对网络装置102的服务,和借助网络装置指定其操作特权,如下文将详细地描述。
[0016]作为实例,如图1中所示,网络装置102可经由各种链路与服务提供商134、130通信。作为实例,服务提供商可为移动网络运营商(MNO) 134。另外,如将描述,授权凭证110可经选择且编程到eUICC 115的存储器105内,且授权令牌114也可存储在存储器105中。应了解,授权凭证110可为二进制字符串、口令、秘密密钥、公开密钥或其组合中的至少一者。
[0017]简要地转向图2,图2为说明产生和验证授权令牌114的过程200的流程图。明确地说,在块202,处理器104可产生可基于授权凭证110的授权令牌114。接下来,在块204,处理器104可命令授权令牌114到装置管理部门118或到服务提供商134、130 (如果由装置管理部门118授权)的传输。另外,在块206,基于从服务提供商134、130接收的授权令牌114,处理器104可使用授权凭证110验证来自服务提供商的授权令牌114以确定服务提供商是否经授权以借助网络装置102执行所请求的操作。另外,在块208,处理器104可施行在授权令牌中所含有的操作特权。
[0018]另外,处理器104可进一步执行指定授权令牌114中所含有和传输的与服务提供商134、130可允许的服务相关联的操作特权的功能。例如,这些操作特权可包含加载、删除、启用或停用服务提供商134、130的一组数据或服务。
[0019]另外参看图3,授权凭证110通常经创建且存储在eUICC 115中,使得仅装置管理部门118可对其存取。替代地,可将授权凭证306的副本给予装置管理部门118,使得装置管理部门118可在不存取网络装置102的情况下使用授权凭证306。作为特定实例,enCC115的制造商307可创建授权凭证306且将其存储在eUICC 115或网络装置102中,如展示为授权凭证110。然而,也可将授权凭证306提供到可保留副本的装置管理部门118。再次,将装置管理部门118视为eUICC 115和/或网络装置102的“拥有者”。
[0020]利用此方法,如果装置管理部门118想要授权通常与订购管理器119、132相关联的实体(例如,服务提供商134、130)管理订购和简档、能够存取网络装置102的eUICC 115和管理对eUICC 115的操作,那么装置管理部门118可产生授权令牌114用于由服务提供商134、130使用。替代地,装置管理部门118可授权网络装置102产生授权令牌114且将其传输到服务提供商134、130,同时订购来自服务提供商134、130的服务。稍后,服务提供商134、130可将授权令牌114传输到其相关联的订购管理器119、132。当订购管理器119、132正尝试存取网络装置102或eUICC 115以管理eUICC 115或网络装置102上的服务时,其将对eUICC 115呈现授权令牌114以证明其由装置管理部门118授权。eUICC 115将使用授权凭证110验证授权令牌114及确认订购管理器119、132由装置管理部门118授权。在授权令牌114内部,装置管理部门118可指定用于服务提供商134、130的操作特权117。
[0021]明确地说,作为实例,可用装置管理部门的授权凭证306来创建授权令牌114,使得仅装置管理部门118可创建此授权令牌114。当装置管理部门118需要授权服务提供商134、130存取如10: 115时(例如,在装置管理部门118想要订购由服务提供商134、130提供的新服务时),网络装置102经由I/F 103传输授权令牌114到服务提供商134、130。应了解,装置管理部门118或网络装置102可传输授权令牌114。相反地,当经授权的服务提供商134、130试图存取网络装置102的eUICC 115时,服务提供商134、130将授权令牌114传输到网络装置102的eUICC 115,且eUICC可