专利名称:机器对机器网关体系结构的制作方法
机器对机器网关体系结构相关申请的交叉引用本申请基于以下申请并要求享有以下申请的权益于2009年12月28日提交的美国临时申请61/290,482、于2010年I月8提交的美国临时申请61/293,599、于2010年3月5日提交的美国临时申请61/311,089,其全部内容通过引用而被视为在此加入。
背景技术:
机器对机器(M2M)体系结构可使用M2M网关,可将该网关描述为使用M2M功能来确保M2M设备交互工作,并交互连接至网络和应用域的设备。该M2M网关还可运行M2M应用,并可与M2M设备位于同处。现有的M2M网关体系结构具有缺点。
发明内容
公开了用于使位于网络域之外的网关向多个设备提供服务的系统、方法和手段·(instrumentality).网关还可向网络域的设备提供服务能力,这样可以使网络域不再需要提供此功能。该网关可用作管理实体。该网关可与网络域建立信任。例如,该网关可与网络域建立信任级,从而使网关与网络域进行交互。该网关可与多个设备中的每ー个建立连接。该网关可执行与每个设备有关的安全功能。该网关可以代表网络域执行安全功能。该网关可以在网络域不直接參与或最少地參与的情况下来执行安全功能。该网关可以在网络不知道特定设备的情况下执行安全功能。该网关可向网络域报告有关每个设备的设备信息。该网关可用作网络的代理。该网关可与网络域建立信任。例如,该网关可与网络域建立信任级,从而使网关与网络域进行交互。该网关可从网络域接收命令,执行与多个设备中每一个相关的安全功能。例如,该网关可从网络域接收单个命令,并响应于该命令,而对多个设备执行安全功能。网络可知道多个设备中每ー个的标识。该网关可为多个设备中的每ー个执行安全功能。该网关可将从多个设备中的每ー个所接收的与所执行的安全功能有关的信息进行聚合,并将聚合后的信息发送至网络域。网关可处理该聚合后的信息,并将该处理后的聚合信息发送至网络域。网关执行的安全功能可包括以下中的一者或多者使用或不使用启动证书将设备登记至网络域或对设备认证;对针对多个设备中的每ー个的证书进行提供和迁移;对多个设备中的每ー个提供安全策略;对多个设备中的每ー个执行认证;在多个设备中的每ー个中建立可信功能,其中,对多个设备中的姆ー个执行完整性校验(integrity validation);对多个设备中的每ー个提供设备管理,包括故障查找和故障修复;或对多个设备中的至少ー个建立以下至少ー者安全关联、通信信道或通信链路。
可从以下描述中获得更详细的理解,该描述是以结合附图的方式举例说明的,在附图中
图I表示无线通信系统示例;图2表示WTRU和节点B示例;图3表示M2M体系结构示例;图4表不情况3网关功能不例;图5表示情况3连接设备的启动(bootstrapping)和登记流示例;图6表示情况4连接设备的启动和登记流示例;图7表示分级连接性体系结构示例;图8表示用于情况3和4的设备完整性校验的呼叫流示例结构图;图9表示用于情况I的设备完整性和登记的呼叫流示例结构图;图10表不用于情况2的设备和网关完整性和登记的呼叫流不例结构图;图11表不用于情况3的设备和网关完整性和登记的呼叫流不例结构图;图12表不用于情况4的设备和网关完整性和登记的呼叫流不例结构图;图13表示分层验证的示例场景;图14表示M2M体系结构示例;图15表示M2M网络层的服务能力的体系结构示例;以及图16A和16B表示M2M网关和接ロ的体系结构示例;图17A是可实现所公开的ー个或多个实施方式的示例通信系统的系统结构图;图17B是可在图17A中所示的通信系统中所使用的示例无线发射/接收单元(WTRU)的系统结构图;图17C是可在图17A中所示的通信系统中所使用的示例无线电接入网和示例核心网的系统结构图。
具体实施例方式图I-图17可涉及用于实现所公开的系统、方法和手段的示例实施方式。但是,虽然结合示例实施方式对本发明进行了描述,但是,其不限于此,并应当理解,可使用其他实施方式,或对所述实施方式进行修改或増加,以执行与本发明相同的功能,而不偏离本发明。例如,可结合M2M实施方式来描述所公开的系统、方法和手段,但是,其实施方式并不限于此。此外,可结合无线实施来描述所公开的系统、方法和手段,但是,其实施方式并不限于此。例如,所公开的系统、方法和功能可用于有线连接。并且,附图中表示了呼叫流,该呼叫流仅用于作为示例。应当理解,还可使用其他实施方式。并且,可在合适的位置改变流的顺序。此外,如果不需要可省略流,而且还可增加额外的流。当在下文中提及时,术语“无线发射/接收单元(WTRU)”可包括,但不限于,用户设备(UE)、移动站、固定或移动用户単元、寻呼机、蜂窝电话、个人数字助理(PDA)、计算机或能够在无线环境中进行操作的任何其他类型的用户设备。当在下文中提及时,术语“基站”可包括,但不限于,节点B、站点控制器、接入点(AP)或能够在无线环境中进行操作的任何其他类型的接ロ设备。图I示出了无线通信系统100的典型示例,该系统包括多个WTRU 110、基站(例如节点B120)、控制无线电网络控制器(CRNC) 130、服务无线电网络控制器(SRNC) 140和核心网150。节点B 120和CRNC 130可统称为UTRAN。
如图I所示,WTRU 110可与节点B 120进行通信,节点B 120则与CRNC130和SRNC140进行通信。虽然在图I中仅示出了三个WTRU 110、一个节点B 120、ー个CRNC 130和一个SRNC 140,但是应当注意,在无线通信系统100中可包括任何的无线和有线设备的组合。图2是图I的无线通信系统100的示例WTRU 110和节点B 120的功能框图200。如图2所示,WTRU 110可与节点B 120进行通信,并可将两者配置为协助机器对机器(M2M)网关,该M2M网关使用M2M功能来确保M2M设备之间的交互工作以及M2M设备与网络和设备域的互连。除了典型WTRU中所具有的组件以外,WTRU 110可包括处理器115、接收机116、发射机117、存储器118和天线119。存储器118可储存软件,该软件包括操作系统、应用和其他功能模块。处理器115可単独或与软件一起执行方法,以协助机器对机器(M2M)网关,其中该M2M网关使用M2M功能来确保M2M设备之间的交互工作以及M2M设备与网络和设备域的互连。接收机116和发射机117可以与处理器115通信。天线119可以同时与接收机116和发射机117通信,以促进无线数据的发送和接收。除了典型基站中所具有的组件以外,节点B 120可包括处理器125、接收机126、发射机127和天线128。处理器125可被配置为与机器对机器(M2M)网关共同工作,其中该M2M网关使用M2M功能来确保M2M设备之间的交互工作以及M2M设备与网络和设备域的互连。接收机126和发射机127可以与处理器125通信。天线128可以同时与接收机126和发射机127通信,以促进无线数据的发送和接收。所公开的系统、方法和手段可使网络域之外的网关能够向多个设备提供服务。网关可向设备提供网络域的服务功能,这可减少否则需要由网络域所提供的功能。该网关可用作管理实体。该网关可与网络域建立信任。例如,该网关可与网络域建立信任级别,以使该网关与网络域进行交互。该网关可与多个设备中的每ー个建立连接。该网关可执行与每个设备有关的安全功能。该网关可代表网络域执行安全功能。该网关可在网络域不直接參与或最少程度地參与的情况下执行安全功能。该网关可以在网络不知道 特定设备的情况下执行安全功能。该网关可向网络域报告有关每个设备的设备信息。该网关可用作网络的代理。该网关可与网络域建立信任。例如,该网关可与网络域建立信任级别,以使网关与网络域进行交互。该网关可从网络域接收命令,执行与多个设备中的每ー个设备相关的安全功能。例如,该网关可从网络域接收单个命令,并响应于此而为多个设备执行安全功能。网络可知道多个设备中每ー个的标识。该网关可为多个设备中的每ー个执行安全功能。该网关可对来自多个设备中每ー个的、与所执行的安全功能有关的信息进行聚合,并将聚合后的信息发送至网络域。该网关可对聚合后的信息进行处理,并将处理后的聚合信息发送至网络域。该网关所执行的安全功能可包括以下中的一者或多者使用或不使用启动证书将设备登记至网络域或对设备认证;对针对多个设备中的每ー个的证书进行提供和迁移;对多个设备中的每ー个提供安全策略;对多个设备中的每ー个执行认证;在多个设备中的每ー个中建立可信功能,其中,对多个设备中的每ー个执行完整性校验;对多个设备中的每ー个提供设备管理,包括故障查找和故障修复;或对多个设备中的至少ー个建立以下至少ー者安全关联、通信信道或通信链路。图3表示可在所公开的系统、方法和手段中所使用的M2M体系结构的实施方式。该M2M网关320可被配置为针对经由M2M局域网324与其相连接的M2M设备(例如M2M设备328)用作聚合器。每个连接至该M2M网关320的M2M设备可包括M2M设备标识,并与M2M网络进行认证。在M2M设备域360中,具有M2M设备332,其使用M2M能力和网络域功能运行应用。M2M设备可直接连接至接入网310 (例如,M2M设备332),或通过M2M局域网324与M2M网关320相连接(例如,M2M设备328)。M2M局域网324可在M2M设备与M2M网关之间提供连接。ー些M2M局域网的例子包括个人局域网技术,例如IEEE 802. 15、Zigbee、蓝牙和其他类似技术。术语M2M局域网和M2M毛细网(capillary network)可交换使用。M2M网关320可以是使用M2M能力来确保M2M设备能够交互工作以及互连至网 络域350的设备,该网络域350还可称为网络和应用域350。该M2M网关320还可运行M2M应用。该M2M网关功能可与M2M设备位于同处。例如,M2M网关,例如M2M网关320,可实施本地智能,从而激活由收集和处理各种信息源(例如,来自传感器和上下文參数)所产生的自动处理。在网络域350中,具有M2M接入网310,其可使M2M设备域360与核心网308进行通信。基于现有接入网的M2M功能可能需要向M2M服务的传递提供增强。接入网的例子包括数字用户线技术(xDSL)、混合同轴光纤(HFC)、电カ线通信(PLC)、用于卫星、移动全球系统(GSM)演进型GSM增强型数据速率(EDGE)无线电接入网(GERAN)、通用移动电信系统(UMTS)陆地无线电接入网(UTRAN)、演进型UTRAN (eUTRAN)、无线局域网(W-LAN)和WiMAX。还可具有传输网络,例如传输网络318,其可使得数据能够在网络域350内传输。基于现有传输网的M2M功能可能需要向M2M服务的传递提供增强。M2M核304由核心网308和服务功能所组成。M2M核心网308可提供IP连接、服务和网络控制功能、互连(与其他网络)、漫游(用于公共陆地移动网(PLMN))等。不同的核心网可提供不同的能力集合。基于现有核心网的M2M功能可能需要向M2M服务的传递提供增强。核心网的例子可包括第三代合作伙伴计划(3GPP)核心网(例如,通用分组无线电服务(GPRS)、演进型分组核心(EPC))、用于高级连网(networking)的ETSI电信和互联网融合服务和协议(TISPAN)核心网。在具有IP服务供应商网络的情况中,核心网提供有限的功能。服务能力306所提供的功能可由不同应用共享。服务能力306通过ー组开放的接ロ来提供功能。此外,服务能力306可使用核心网功能。可使用服务能力306来优化应用开发和配置,井向应用隐藏网络特性。服务能力306可以是M2M特定的,或通用的,例如向除了 M2M之外的应用提供支持。其例子包括数据存储和聚合、单播和多播消息传递等。该M2M应用302可包括运行服务逻辑并使用能够经由开放接ロ接入的服务功能的应用。网络管理功能316可包括用于管理接入网310、传输网318和核心网308所需的功能,包括相关的M2M能力,例如提供、监瞀、故障管理和其他功能。网络管理功能316中可包括M2M特定管理功能315,用于管理接入网310、传输网318和核心网308中的M2M能力。该M2M管理功能314可包括用于管理M2M应用302和服务能力306的功能,以及M2M设备和网关(例如,M2M网关320、M2M设备328和M2M设备332等)的功能。M2M设备和网关的管理可使用服务能力(例如设备管理服务能力)。该M2M管理功能314可包括用于M2M设备328或M2M网关320的故障查找和故障修复的功能。现在描述M2M体系结构和多个M2M设备的连接方法。M2M设备可以以多种方式与M2M网络进行连接。此处表示了四种示例情況。在第一种情况中(情况I ),M2M设备直接经由接入网连接至M2M系统。M2M设备向M2M系统进行登记和认证。在第二种情况中(情况2 ),M2M设备经由M2M网关局域网连接至M2M系统。该M2M网关经由接入网连接至M2M系统。该M2M设备经由M2M网关向M2M系统进行认证。该局域网可以是或者不是蜂窝网、WLAN、BT和其他系统。在第二种情况中,该M2M网关对M2M设备仅起隧道的作用。由M2M网络来对M2M设备执行例如登记、认证、授权、管理和提供的过程。现在描述另两种情况。在情况3中,网关,例如M2M网关320可用作管理实体。该M2M设备(例如M2M设备328 )可例如通过M2M局域网324连接至M2M网关320。该M2M网关320可连接至M2M网络域350,并与之建立信任,其中该连接可以是经由接入网310的。该M2M网关320可以通过独立于M2M网络域350的控制的方式,对与其相连接的M2M设备进 行管理,该管理可以通过例如重新使用局域网310所提供的现有的登记、认证、授权、管理和提供方法来执行。连接至这种网关的设备可以是或者不是可由M2M网络域350寻址的。该M2M局域网324可以是或者不是蜂窝网、WLAN、BT或其他此类网络。网关可对每个与其相连接的M2M设备执行安全功能。该网关可在M2M网络域350不直接參与或不知道特定设备,或者M2M网络域350尽少地參与的情况下,执行安全功能。该M2M网关320可针对所执行的安全功能向网络域报告有关每个设备的信息。在情况4中,网关,例如M2M网关320,可用作网络(例如网络域350)的代理。该M2M设备(例如M2M设备328)经由例如M2M局域网324连接至M2M网关320。连接至该网关的设备可以是或者不是可由M2M网络寻址的。该M2M网关320可连接至M2M网络域350,并与之建立信任,其中,该连接可以是经由接入网310的。该M2M网关320对于与其相连接的M2M设备(例如M2M设备328)来说,可用作M2M网络域350的代理。该M2M网关可从网络域接收命令,执行与每个与其相连接的M2M设备有关的安全功能。例如,该网关可从网络域接收单个命令,并作为响应,为多个设备执行安全功能。该网关可执行安全功能。该网关可执行诸如认证、授权、登记、设备管理和提供等过程,并还可代表M2M网络所执行应用。网关可对来自多个设备中每ー个的与所执行的安全功能有关的信息进行聚合,井向M2M网络域350发送聚合信息。该网关可对聚合信息进行处理,并将处理后的聚合信息发送至网络域。图4表示情况3的网关功能示例。该M2M网关410连接至M2M网络域350,为M2M局域网(例如毛细网)所连接的M2M设备430维护本地AAA服务器420。该AAA服务器420可促进本地登记、认证、授权、计费和设备完整性校验。对于情况3中所连接的设备,使用了用于登记、认证、授权和设备管理的M2M局域网协议和过程。该设备可以是或者不是可由M2M网络域350寻址的。该网关对于M2M网络表现为M2M设备,并执行登记和认证。图5表示用于情况3中所连接的设备或连接场景中的启动和登记流示例。图5表示M2M设备502、M2M网关504、接入网506 (例如与网络运营商相关联)、认证服务器508 (例如与网络运营商相关联)、安全能力510、AAA/GMAE 512和其他能力514。在522,M2M网关504通过接入网506获取网络。在524和528,可在M2M网关504与接入网506之间,以及接入网506与认证服务器508之间,进行接入认证。在526,可在M2M网关504与接入网506之间执行链路与网络会话建立。启动包括529和530处的流。可将启动限于在提供期间的执行。在529,可在M2M网关504与安全能力510之间执行启动请求。在530,可在M2M网关504与安全能力510之间执行M2M安全启动。在536,可在安全能力510与AAA/GMAE 512之间执行设备提供(例如,提供数据,例如M2M网络地址标识符(NAI)和根密钥,或其他设备或应用级的參数或数据)。在532,在M2M网关504与安全能力510之间进行M2M登记,其中包括认证和生成会话密钥。在538,可在安全能力510与AAA/GMAE 512之间进行M2M认证,该M2M认证可包括认证M2M设备、服务能力、服务能力组、或M2M设备的ー个或多个应用。在540,安全能力510可向其他能力514提供加密密钥。在534,可在M2M设备502与M2M网关504之间进行局域协议、登记、认证和提供。对于情况4所连接的设备,可使用局域网协议和过程来进行登记认证、授权和设备管理。该M2M网关中可具有连网功能,其可向M2M设备翻译M2M网络命令。该设备可以是或者不是可由M2M网络域寻址的。图6表示用于情况4所连接的设备的启动和登记 流示例。图6中所示的情况4的流包括图5的流。此外,在644,可在M2M网关504与M2M网络域的安全能力510之间进行设备登记/认证状态报告。仍然參考情况4的示例,M2M网关向网络进行登记和认证,以在网络中建立信任,从而用作网络的代理。在这种情况下,M2M网关可以执行M2M设备提供;执行M2M设备本地登记(包括本地区域认证)和标识管理;执行M2M认证(例如,对于ー个或多个M2M设备,M2M设备的一个或多个服务或M2M设备的ー个或多个应用)、授权和计费;执行M2M设备完整性校验;用作网络的代理,从而其可以向网络对其自身进行验证(verify);验证附属至M2M接入网的设备;管理安全和信任(包括M2M设备的认证和标识管理),包括管理和维护M2M设备的安全关联;和执行本地IP接入路由。可在多种应用中使用该M2M网关。例如,但不限于,其可用于演进型毫微微蜂窝、演进型家庭节点B或具有有线或无线回程的家庭节点B实现。其还可用作网络和/或用户的数字代理。网络可以不知道M2M设备;该网关可代表网络来管理和维护M2M设备连接。用作数字代理的M2M网关可具有听筒或其他移动终端形式的因素。其还可用于电子健康(eHealth)的情况中,其中将传感器和致动器(actuator)连接至该M2M网关。该传感器/致动器可以不向M2M网络域进行登记和认证。而是,这些M2M设备(传感器/致动器)可向M2M网关进行登记。在这些应用中,M2M网关可以是手持设备,例如PDA或移动电话或流量聚合器,例如接入点或路由器。所述连接可以使M2M网关能够为相连接的M2M设备的子集执行代理功能,并且,对于与其相连接的M2M设备,其可用作情况2的M2M网关。所述连接可使M2M网关针对M2M接入网和核心网用作情况I中所连接的M2M设备,而该M2M网关可独立地对连接至该M2M网关的M2M设备进行管理。所述连接可使M2M网关针对另ー M2M网关用作M2M设备,如图7所示,例如,M2M网关720可针对M2M网关710用作M2M设备。该M2M网关710可为由M2M局域网(又称为毛细网)所连接的M2M设备712维护本地AAA服务器715。该M2M网关720可为由M2M局域网(例如毛细网)所连接的M2M设备722维护本地AAA服务器725。完整性校验可包括本地化操作以及基于在本地执行的測量所进行的报告和远程操作,例如,可直接或间接地通过信令来进行校验。为了实现设备完整性检查和校验,该M2M设备可包括可信的操作环境。从该可信的操作环境中,该设备可检查其软件的完整性,并在安全启动过程装载和执行前,将其完整性相对于可信參考值进行验证。该可信參考值可由可信第三方或可信制造商颁发,并且是所验证的单元的测量值(例如是哈什值)。可本地地(例如,自主校验)或远程地(例如,半自主校验和完全远程校验)来执行该软件的完整性校验。如果远程地执行设备完整性校验,则该执行校验的实体可以是M2M网关或用作校验实体的M2M网关的指定实体或代理。如果校验目标是连接至M2M网关的M2M设备,和/或M2M网络上基于网络的校验实体或M2M网络的指定实体或代理,则校验目标可以是M2M设备或M2M网关,或两者的结合。在完全远程校验中,目标实体(需要校验完整性的实体)可向校验实体发送其完整性的測量,而不需要本地所执行的验证的证据或結果。而另一方面,在半自主校验中,目标实体可同时对其完整性进行测量,并对测量进行验证/评价,并可向校验实体发送与验证结果有关的证据或信息。如果在本地执行完整性校验进程,则可将可信參考值存储在安全存储器内,并将访问限制为授权访问。如果在远程校验实体(例如,用作校验实体的M2M网关,或M2M网络上的基于网络的校验实体)处进行验证,则网关或基于网络的校验实体可在校验过程中从可信第三方或可信制造商处获取这些可信參考值,或预先获取该可信參考值并将其在本地保存。还可由运营商或用户在M2M网关或M2M网络中的校验实体处提供这些可信參考值。 可由可信第三方或可信制造商通过无线、通过有线或在安全介质中(例如安全通用串行总线(USB)、安全智能卡、安全数字(SD)卡)来颁发该可信參考值,其中用户或运营商可在M2M网关(例如,对于半自主校验)或在M2M设备(例如,对于自主校验)中插入该安全介质。对于基于M2M网络的半自主校验,校验实体可直接从可信制造商或可信第三方获得该信息。需要对M2M局域网协议进行新的更新,以将完整性结果从设备发送至M2M网关中的验证实体。可通过更新协议区域,或通过在初始的随机接入消息中或在建立了连接之后以应答或非应答形式来发送报文来实现该更新,该报文包括完整性结果和度量。可使用以下方法示例中的一者或多者来进行自主或半自主的设备完整性校验。可向情况I的设备提供设备校验过程。在这种情况下,设备直接通过核心网连接至M2M网络。在支持自主校验的设备中,设备对接入网的初始接入可包括本地完整性检查和校验的結果。由于设备已经尝试在网络中登记,因此网络可假设设备完整性校验已经成功。如果设备完整性检查失败,则可在呼救信号中包含该失败实体或功能的列表,并且网络可采取必要的步骤来修复或恢复所述设备。对于半自主校验,在接入网或M2M网络,或两者中,可能需要验证实体。该验证实体可以是平台校验实体,并可与认证、授权和计费(AAA)服务器位于同处。可向该平台校验实体(PVE)发送本地完整性检查的結果,该PVE判断完整性校验是成功还是失败。对于成功的检查,该PVE可允许设备在接入网和/或M2M服务能力层或M2M网络中登记。对于失败的校验,该PVE可将设备重定向至修复服务器,以便下载更新或补丁。对于失败的校验,PVE可隔离该设备,并用信号通知OAM派出相关人员来维修该设备。可对情况2的设备和网关提供设备校验过程。在这种情况下,设备可经由M2M网关连接至M2M网络。该设备可由M2M网络寻址。该M2M网关在这种情况下用作隧道提供方。単独考虑网关和设备的完整性检查会很有帮助。首先,可以以此处所述的半自主或自主的方式来对验证网关的完整性,只是其中将设备换为网关。在对网关成功地进行了完整性检查之后,可允许设备连接至M2M网关。之后可以对设备进行完整性检查。可由接入网中的PVE通过M2M服务能力层或M2M网络来自主或半自主地执行该校验。对于半自主校验,M2M网关可执行安全网关的任务,其中,其可对M2M设备执行接入控制。在对M2M设备的设备完整性检查过程完成之前,其可阻止对PVE进行接入,并且,如果M2M设备的完整性检查失败,则其可通过对M2M设备进行隔离或将其接入限制在修复实体的范围内来执行接入控制并限制M2M设备的接入。可对情况3和情况4的设备和网关提供设备校验过程。设备可执行自主校验,其中,由网关或网络隐式地检查和校验设备完整性。设备可 执行半自主或完全远程校验,其中设备向验证实体发送完整性检查结果或信息或结果的概要(例如,对应于完整性检查失败组件的失败功能的列表)。在情况3的连接中,M2M设备的验证实体可以是M2M网关。该M2M网络(和/或接入网)可需要另ー实体(或另外的多个实体,如果需要M2M网络和接入网两者都进行(但单独进行)完整性校验的话)用作M2M网关完整性的验证实体。该M2M网络和/或接入网可以通过验证M2M网关的完整性而以间接地方式来“校验” M2M设备的完整性,其中在对网关完成了完整性验证之后,网关被认为是“可信”的,以执行其在验证M2M设备完整性中担当的角色。在情况4的连接中,可在M2M网关与M2M网络之间划分用于M2M设备完整性的验证实体的角色。用于M2M网关的完整性的验证实体的角色需要由M2M网络或接入网上的实体来担当。可由ー个或多个策略来定义是否和怎样(包括程度)在M2M网关与M2M网络(和/或接入网)之间划分(验证实体的)任务。如果使用采用树状结构(例如,树状验证)的划分校验,则策略可指示M2M网关对设备执行粗略的完整性校验,并将结果报告给M2M网络(和/或接入网)中的ー个或多个验证实体。该验证实体可查看并评估这些结果,井根据评估和其自身策略的结果,直接或间接地通过网关,执行精细的完整性验证。ー种该策略可来自M2M运营商,另ー种该策略可来自接入网运营商。其他利害关系方(stakeholder)也可调用并使用其自身的策略。如果设备完整性校验通过,则该设备可向网络进行登记和认证。对于情况3的连接,可在M2M局域网内在本地对设备进行登记和认证。对于情况4的链接,也可在M2M网关与M2M网络(和/或接入网)之间,划分执行这些任务的实体。在情况3和情况4的连接的情况中,根据所配置的策略,M2M网关可在M2M设备向该M2M网关登记之前,非同步地向M2M接入网和M2M核心网进行登记和认证。该M2M网关可延迟向M2M接入网和M2M核心网进行登记和认证,直到设备完成了认证之后。在从设备接受登记并开始向M2M核心网/ M2M接入网登记之前,M2M设备可进行其自身的完整性检查和校验过程,例如自主地或半自主地进行。情况3和4的设备完整性校验可包括图8中所示的流中的ー个或多个。图8示出了ー个或多个M2M设备802、M2M网关804 (其可包括本地AAA)、网络运营商806 (其可包括接入网)和M2M运营商808 (其可包括M2M核(GMAE / DAR))。在820,M2M网关804可自主地或半自主地执行其自身的完整性检查和校验。在824,M2M设备802可执行其完整性检查和校验,如果成功,则进入在828的网关获取、登记和认证。网关可在本地AAA服务器的协助下对M2M设备802进行认证。该网关可开始接受设备登记和认证请求,当I) 一旦其完成了自身的完整性检查和校验;或2)在其与M2M接入网和/或M2M核心网登记之后。在832,网关可向M2M接入网(例如,网络运营商806)和/或M2M核心网(M2M运营商808)进行登记和认证,该过程与M2M设备登记和认证是异步的且不可知的,或者,网关可延迟其登记和认证,直至M2M设备802在M2M网关804进行了登记和认证为止。在836,可在M2M网关804与M2M运营商808之间进行M2M登记和认证。如果ー个或多个连接至M2M网关804的设备的设备完整性检查失败,则可从M2M网关804向M2M核心网(M2M运营商808)发送失败设备的列表或失败功能(例如,在设备是传感器的情况下)的列表。根据所述失败(例如,全部失败或特定功能失败),可拒绝该完整性检查失败的设备进行网络接入,或对其接入进行限制(例如,在时间、类型或范围方面)。在一些情况下,例如人体局域网中,或其他无线传感器局域网中,如果认为任何一个或多个设备的完整性检查失败,并且如果所述毛细网和网关中存在该能力的话,则M2M网关804可尝试对剰余设备的功能或拓扑更新进行协调,这样其余设备的新拓扑或新功能可对完整性检查失败的设备的失败或所減少的功能进行补偿。如果网络需要对M2M局域网(例如,毛细网)中的设备进行高级的保证,则在检测到该M2M局域网中ー个或多个设备的完整性发生破坏(breach)或失败之后,M2M网关可通过其自身或与M2M网络域协同或在M2M网络域的监瞀下,将M2M局域 网中的所有设备或其子集进行隔离。对于情况4的连接,在840,可在M2M网关804与网络运营商806之间进行较精细的完整性验证。在844,可在M2M网关804与M2M设备802之间进行较精细的完整性验证。在848,可向网络运营商806报告844的結果。在852,可在M2M设备802与M2M网关804之间确定/报告设备运行时间的完整性失败和/或执行设备解除登记。在856,可在M2M网关804与M2M运营商808之间报告经过更新的功能和/或经过更新的设备列表。情况I的设备完整性和登记可包括图9中所示的流中的ー个或多个。图9表示了M2M设备902、网络运营商接入网904、网络运营商认证服务器906 (可用作平台校验实体)、安全能力908、AAA/GMAE 910和其他能力912。对于情况I的连接,M2M设备902可直接连接至M2M接入网、网络运营商接入网904。在920,M2M设备902可执行完整性检查。在922,M2M设备902可获取网络运营商接入网904。在924,可在网络运营商接入网904与网络运营商认证服务器906之间建立接入认证(其可包括完整性校验信息)。在928,可在M2M设备902与网络运营商接入网904之间建立接入认证(其可包括完整性校验信息)。通过使用安全启动进程,M2M设备902可启动,并执行自主校验,或涉及半自主校验中涉及的步骤。作为半自主校验的替换方式,还可执行远程校验过程。如果在M2M设备902处使用了自主校验,在则设备完整性检查和校验之后,设备可继续获取M2M接入网,并尝试向M2M接入网连接和登记。如果在M2M设备902处使用了半自主校验,则设备可执行本地设备完整性检查,随后,在网络获取之后,设备可向M2M网络运营商和/或M2M接入网平台校验实体发送本地设备完整性检查的结果,两种方式都可用。如图9的流程图所述,平台校验实体可与运营商的认证服务器(M2M运营商或接入网络运营商)位于同处,但是,平台校验实体可以是网络中的单独实体。设备完整性检查的结果可以是失败的组件、模块或功能的列表。平台校验实体可执行设备完整性校验,并继续进行设备认证。如果接入网或M2M运营商网络密钥还没有启动,则设备所使用的标识可以是可信平台标识符。如果存在所述密钥的话,则也可额外对该密钥进行使用或単独使用。如果认证成功,则在930,可继续进行链路和网络会话建立。如果M2M接入网认证成功,则在926,可使用该结果用于到M2M系统的单ー签名。这样,可在M2M系统标识和认证中使用该M2M接入网标识和认证結果。对M2M接入网的成功认证可表明对另ー M2M接入网、对M2M系统或对M2M核、或对M2M网络或其他服务提供商所提供的特定服务能力或应用的成功标识和认证。之后可进行启动和M2M登记。例如,在932,M2M设备902可向安全能力908发送M2M启动请求。在934,可在M2M设备902与安全能力908之间进行M2M安全启动。在936,可在安全能力908与AAA/GMAE 910之间进行设备提供(M2M NAI和根密钥)。在938,可在M2M设备902与安全能力908之间进行M2M登记,该M2M登记可包括认证和会话密钥。在940,可在安全能力908与AAA/GMAE 910之间进行M2M认证。在942,安全能力908可向其他能力912提供加密密钥。 情况2的设备和网关的完整性和登记可包括图10中所示的流中的ー个或多个。图10示出了 M2M设备1002、M2M网关1004、接入网1006 (例如,与网络运营商相关联)、认证服务器1008 (例如,与网络运营商相关联)、安全能力1010、AAA/GMAE 1012和其他能力1014。在1020,M2M设备1002可执行本地完整性检查。在1024,M2M网关1004可执行本地完整性检查。在1028,可在M2M网关1004与接入网1006之间共享完整性校验信息。在1032,M2M设备902可获取接入网1006。在1036,可在M2M设备1002与接入网1006之间建立接入认证(其可包括完整性校验信息)。在1040,可在接网1006与认证服务器1008之间建立接入认证(其可包括完整性校验信息)。在情况2的连接中,M2M设备可通过M2M网关连接至M2M系统。需要在M2M设备和/或M2M网关处执行完整性检查和校验。该M2M网关可执行自主校验或半自主校验。该校验可独立于在设备处进行的自主或半自主校验而进行。网关可使用安全启动进程,并执行本地完整性检查,并且,如果使用了自主校验,则可在本地对本地完整性检查的结果进行校验。如果使用了半自主校验,则网关可向运营商网络中的平台校验实体发送本地完整性检查的結果。该平台校验实体可与运营商的AAA服务器,例如AAA/GMAE 1012,位于同处。在成功地进行了完整性检查和校验之后,网关可启动至准备状态,在该状态中,其可用于向M2M设备提供服务。该M2M设备可使用安全启动进程,并执行本地完整性检查,如果使用自主校验,则在本地对本地完整性检查的结果进行校验。如果使用半自主校验,则其可通过搜索M2M网关,井向运营商网络中的平台校验实体发送结果来获取网络。该M2M网关可用作安全网关,并执行接入控制,向M2M设备提供对网络的接入,该网络可受限于设备的完整性校验过程。平台校验实体可执行设备完整性校验,并向设备和网关通知結果。如果结果成功,则在1048,可在M2M设备1002与接入网1006之间建立链路与网络会话,用于启动、向接入网和核心网进行登记和认证的过程。如果M2M接入网认证成功,则在1044,可将该结果用于到M2M系统的单ー签名。可在M2M系统标识和认证中使用该M2M接入网标识和认证结果。与M2M接入网1006的成功认证可表明在另ーM2M局域网中与M2M系统或M2M核,或由M2M网络或其他服务提供商所提供的ー个或多个服务能力或应用的成功标识和认证。之后,可进行启动和M2M登记。例如,在1052,M2M设备1002可向安全能力1010产生M2M启动请求。在1056,可在M2M设备1002与安全能力1010之间进行M2M安全启动。在1060,可在安全能力1010与AAA/GMAE 1012之间进行设备提供(M2M NAI和根密钥)。在1064,可在M2M设备1002与安全能力1010之间进行M2M登记,该M2M登记可包括认证和会话密钥。在1068,可在安全能力1010与AAA/GMAE 1012之间进行M2M认证。在1072,安全能力1010可向另一能力1014提供加密密钥。情况3的设备和网关完整性和登记可包括图11中所示的流中的ー个或多个。图11示出了 M2M设备1102、M2M网关1104、接入网1106 (例如,与网络运营商相关联)、认证服务器1108 (例如,与网络运营商相关联)、安全能力1110、AAA/GMAE 1112和其他能力1114。在1120,M2M设备1102可执行本地完整性检查。在1124,M2M网关1104可执行本地完整性检查。在1128,可在M2M网关1104和认证服务器1108之间进行接入认证,该接入认证可包括完整性校验信息。在1132,可在M2M设备1102与M2M网关1104之间进行毛细网登记和认证,包括设备完整性校验。在1136,M2M网关1104可获取接入网1106。在1140,可在M2M网关1104与接入网1106之间建立接入认证(可包括完整性校验信息)。在1144,可在接入网1106与认证服·务器1108之间建立接入认证(可包括完整性校验信息)。如果M2M接入网认证成功,则可在1148,将该结果用于向M2M系统的单ー签名。在情况3的连接中,M2M网关对于网络可用作M2M设备。如图11所示,可进行以下完整性检查和登记过程中的ー个或多个。网关可使用安全启动进程,并进行本地完整性检查,如果使用自主校验,则在本地对本地完整性检查的结果进行校验。如果使用了半自主校验,则网关可向运营商(接入网运营商或M2M网络运营商)网络中的平台校验实体发送本地的完整性检查的結果。平台校验实体可与运营商(接入网运营商或M2M网络运营商)的AAA服务器位于同处。在完整性检查和校验成功之后,网关可启动至准备状态,在该状态中,其可用于向M2M设备提供服务。注意,在这种情况下,M2M对于网络来说表现为M2M设备,其与网络按情况I的连接进行连接。对于可执行上述用于情况I的连接的过程,随后M2M网关1104可用作M2M设备。在M2M网关完成了其对M2M接入网和M2M服务能力的完整性检查和登记之后,该M2M网关对于想要与其连接的M2M设备是可用的。该M2M设备可使用安全启动进程,执行本地完整性检查,如果使用自主校验,则在本地执行对本地完整性检查的结果的验证。如果使用半自主校验,则M2M设备可通过搜索M2M网关,井向M2M网关发送结果来获取网络。该M2M网关可用作平台校验实体,并执行设备完整性校验过程,井向设备通知結果。如果结果成功,则在1152,可在M2M网关1104与接入网1106之间建立链路与网络会话,用于启动、向M2M网关进行登记和认证的过程。之后该M2M设备可执行启动、向接入网和/或核心网进行登记和认证的过程。例如,在1156,M2M网关1104可向安全能力1110做出M2M启动请求。在1160,可在M2M网关1104与安全能力1110之间进行M2M安全启动。在1164,可在安全能力1110与AAA/GMAE1112之间进行设备提供(M2M NAI和根密钥)。在1068,可在M2M网关1104与安全能力1110之间进行M2M登记,可包括认证和会话密钥。在1172,可在安全能力1110与AAA/GMAE 1112之间进行M2M认证。在1176,安全能力1110可向其他能力1114提供加密密钥。在情况3的连接中,连接至M2M网关的M2M设备可以对M2M系统不可见。可替换地,M2M设备或M2M设备的子集作为独立的M2M设备对于M2M系统是可见的。在这种情况下,M2M网关可用作网络代理,并执行认证,并对与之相连接的设备、设备子集用作平台完整性校验实体。情况4的设备和网关完整性和登记可包括图12中所示的流中的ー个或多个。图12示出了 M2M设备1210、M2M网关1204、接入网1206 (例如,与网络运营商相关联)、认证服务器1208 (例如,与网络运营商相关联)、安全能力1210、AAA/GMAE 1212和其他能力1214。在1220,M2M设备1202可执行本地完整性检查。在1224,M2M网关1204可执行本地完整性检查。在1228,可在M2M网关1204与认证服务器1208之间进行接入认证,其可包括完整性校验信息。在1232,可在M2M设备1202与M2M网关1204之间进行毛细网登记和认证,其可包括设备完整性校验。
在1236,M2M网关1204可获取接入网1206。在1240,可在M2M网关1204与接入网1206之间建立接入认证(其可包括完整性校验信息)。在1244,可在接入网1206与认证服务器1208之间进行接入认证(其可包括完整性校验信息)。如果M2M接入网认证成功,则可使用该结果在1248,向M2M进行单ー签名。在情况4的连接中,M2M网关对设备用作网络的代理。如图12所示,可进行以下完整性检查和登记过程中的一者或多者。网关可使用安全启动进程,并进行本地完整性检查,如果使用自主校验,则在本地对本地完整性检查的结果进行校验。如果使用半自主校验,则网关可将本地完整性检查的结果发送至运营商网络(例如,接入网运营商或M2M网络运营商)中的平台验证实体。该平台校验实体可与运营商(例如,接入网运营商或M2M网络运营商)的AAA服务器位于同处。在完整性检查和校验之后,网关可启动至准备状态,在该状态中,其可用于向M2M设备提供服务。在M2M网关完成了其完整性检查,并向M2M接入网登记后,其对于想要对其进行连接的M2M设备是可用的。该M2M设备可使用安全启动进程,并进行本地完整性检查,如果使用自主校验,则其可在本地对本地完整性检查的结果进行校验。如果使用半自主校验,则其可通过搜索M2M网关,并向M2M网关发送结果来获取网络。可由M2M网关和M2M接入网和M2M服务层能力的平台校验实体以分离的方式进行设备校验。进行校验的实例方法包括可以排他地方式在M2M网关处进行校验;可由接入网进行校验;可由位于校验实体中的M2M服务层能力来进行校验;或由以分离的方式来执行校验的粒度(granularity)的校验实体来进行校验。该M2M网关的平台校验实体可进行粗略的校验,之后由更高级的校验实体来进行更精细的校验,或反之亦然。可在M2M网关1204与认证服务器1208之间进行更精细的完整性验证。可在M2M设备1202与M2M网关1204之间使用局域网协议消息进行更精细的完整性验证。可结合树状校验来使用这种方法,其中以树状的形式来收集设备完整性检查的结果,该树状结构反映了设备体系结构。可将该树状构造为使得母节点的校验能够指示叶节点模块。可递归地应用这种方式,直到形成了根节点,并且对根节点度量的验证能够校验整个树,并进而校验代表软件模块的叶节点。可根据软件结构来组织子树。该M2M网关校验实体可通过检查一组子树的根来执行粗略粒度检查。该信息可馈送至接入运营商或M2M运营商的校验实体。网络中的校验实体可评价该結果,并根据所述评价,来决定需要进行更精细的校验。之后,其指示M2M网关中的验证实体获得更精细的完整性测试的結果。可在M2M网关1204与认证服务器1208之间交换报告結果。这样,M2M网关可以分层的方式用作平台校验实体,并表现为网络的代理,并执行设备完整性校验过程,并将结果通知设备。如果结果是成功,则在1252,设备可在M2M网关1204与接入网1206之间开始链路与网络会话建立的进程,以进行启动、向M2M网关1204登记和认证的过程。可替换地,设备可开始启动、向接入网和核心网登记和认证的过程。连接至M2M网关的M2M设备可对M2M系统不可见。可替换地,M2M设备或M2M设备子集可作为独立的M2M设备对M2M系统可见。在这种情况下,M2M网关用作网络代理,进行认证,并对与其相连接的设备或设备子集用作平台完整性校验实体。该M2M网络可以使用由M2M网关所促进的分层校验方法 来校验大量设备(例如,整个网络范围的设备)以及它们的网关的完整性。该M2M网关可首先从与其相连接的设备(例如,所有设备、设备组、设备子集等)收集各个设备的完整性证据(例如哈什)。该完整性证据可以是树状结构的,其中,各个树的根表示各个设备的设备完整性最高级的概要(digest),而其分支表示各个设备的功能或能力,而树的树叶可表示各个文件/组件,例如,但不限干,Sff ニ进制文件、配置文件或硬件组件完整性的各个指示符。通过启动M2M网关,或通过启动M2M服务器(其可为校验服务器、家庭节点B中的平台校验实体(PVE )或M2M中的平台校验授权(PVA)),该M2M网关可向M2M服务器发送有关以下的设备完整性的聚合信息I)其自身,网关功能,和2)关于与该M2M网关相连接的M2M设备(例如,所有设备、设备组、设备子集等)的的完整性的高级简要信息。在从M2M网关接收和评价了信息之后,该M2M服务器可请求关于之前已经对其完整性进行过报告的M2M网关或M2M设备的完整性的更详细的信息(例如,所有设备、设备组、设备子集等)。在接收到该请求之后,M2M网关可以例如I)向M2M服务器发送更详细的信息,该信息有关其自身或其之前所收集并存储的M2M设备的完整性,或者,2)收集这种更详细的信息,之后将所述信息发送至M2M服务器。可从树状或树型结构的数据获得该“更详细的信息”,其中,树根可表示整个子网的完整性的非常高级的概要,该子网包括M2M网关和与之相连接的M2M设备(例如,所有设备、设备组、设备子集等),低级节点和叶可表示关于设备(例如其功能)的较低层的更详细的信息。图13表示分层校验的示例场景。大三角形1310可表示树状或树类结构,其中该三角形的顶端表示完整性数据的非常高级的概要版本,其表示M2M网关1300所协调的整个子网的整体健康状況。较大的树可将一个或多个较小的三角形1315包括为其一部分,每个较小的三角形都表示关于设备1330中的ー个或多个的完整性信息,其中该设备1330包括由M2M网关1300所协调的子网。并且,M2M网关1300可根据类型、级别或其他描述符来对所连接的设备进行分组,并可能的向其完整性树提供组证书。这在图13中进行了表示,其中较小的三角形1370中具有证书。使用这种可信证书可促进多网络运营商(MNO)网络1320对所报告的完整性值具有更大的信任。上述场景还可用于,或包括端对端(P2P)方法,其中,M2M设备相互之间或在具有验证节点的簇(cluster)中(其中可存在专用的校验节点)、或在ad-hoc节点中(其中任何节点都可承担校验节点的角色)交换并证明树或树型完整性证明数据结构。网络和应用域中服务能力(SC)的服务能力可提供以下中的一者或多者密钥管理、认证和会话密钥管理或设备完整性验证。密钥管理可包括怎样在用于认证的设备中通过启动安全密钥(例如,预先共享的安全密钥、证书等)的方式来管理安全密钥。可将认证和会话密钥管理配置为执行以下中的一者或多者通过认证的服务层登记;在M2M设备/ M2M网关与SC之间的服务会话密钥管理;在提供服务之前的认证应用;向消息能力传递经过协商的会话密钥,从而执行(由消息能力)对与M2M设备和M2M网关所交換的数据进行加密/完整性保护;或者,如果应用需要隧道安全,建立来自M2M网关安全隧道会话(例如,在家庭网关和服务功能实体之间用于消息的隧道)。可将设备完整性验证配置为校验设备或网关的完整性。可将该M2M设备或M2M网关中的SC配置为执行以下中的一者或多者以启动用于认证的设备中的安全密钥(例如,预先共享的安全密钥或证书)的方式来管理安全密钥;如果应用需要的话,在建立会话之前进行认证;与会话安全相关的功能,例如信令消息的流量加密和完整性保护;(用于能够适用的设备/网关)对设备(或网关)的完整性进行测量、验证和/或报告;安全时间同步的支持过程;协商和使用可用的安全特定服务等级属性;支持故障恢复机制;或者,支持M2M设备对M2M核的接入控制。虽然上面以特定组合的方式描述了特征和元素,但是每个特征或元素都可在没有其他特征和元素的情况下单独使用,或与其他特征和元素进行各种组合或不进行组合。此处所述的方法或流程可在计算机程序、软件或结合至计算机可读存储介质中的固件中实现,以由通用目的计算机或处理器执行。计算机可读存储介质的例子包括只读存储器(ROM),随机存储存储器(RAM)、寄存器、缓存、半导体存储设备、例如内置磁盘和可移动磁盘的磁介质、磁光介质和光介质(例如⑶-ROM盘和数字多用途盘(DVD))。合适的处理器包括,例如,通用目的处理器、专门目的处理器、常规处理器、数字信号处理器(DSP)、多个微处理器、与DSP核相关联的ー个或多个微处理器、控制器、微控制器、特定用途集成电路(ASIC)、现场可编程门阵列(FPGA)电路、任何其他类型的集成电路(IC)和/或状态机。可使用与软件相关联的处理器来实现射频收发信机,以用于无线发射接收单元(WTRU )、用户设备(UE )、终端、基站、无线电网络控制器(RNC )或任何主机计算机。WTRU可与模块相结合使用,在硬件和/或软件中实现,例如照相机、视频照相模块、视频电话、扬声电话、振动设备、扬声器、麦克风、电视收发机、免提电话、键盘、蓝牙_模块、调频(FM)无线电単元、液晶显示(IXD)显示单元、有机发光二极管(OLED)显示单元、数字音乐播放器、媒体播放器、视频游戏机模块、互联网浏览器和或任何无线局域网(WLAN)或超宽带(UWB)模块。下面所公开的是可与上述所公开的主题相结合或作为这些主题的一部分的系统、方法和手段。图14表示M2M体系结构示例。该结构图包括在机器对机器(M2M)网络和M2M设备/网关实体上的M2M服务能力1430。图14包括M2M设备/ M2M网关1410、能力级别接ロ1460、M2M服务能力1430、M2M应用1420、资源接ロ 1490、核心网A 1440和核心网B 1450。该M2M设备/ M2M网关1410可包括M2M应用1412、M2M能力1414和通信模块1416。该M2M服务能力1430可包括能力C1、C2、C3、C4和C5,以及通用的M2M应用使能能力1470。图15表示M2M网络层的M2M服务能力的内部功能性体系结构示例。如图所示,图15可包括图14的组件。在图15中,M2M网络服务层可包括ー个或多个能力,包括通用消息传递(GM) 60 ;可达性(reachability)、寻址和设备应用储藏库(repository) (RADAR)30 ;网络和通信服务选择(NCSS) 20 ;M2M设备和M2M网关管理(MDGM) 10 ;历史化和数据保留(retention) (HDR) 70 ;通用M2M应用使能(GMAE) 1470 ;安全能力(SC) 50 ;或事务管理(TM) 40。在情况A的连接中,从服务能力的角度来看,M2M设备可直接连接至M2M接入网。这样,可认为此处所述的连接情况I和2是连接情况A的示例。如果存在M2M网关,其在连接至外围设备(M2M网络通过毛细网不知道该外围设备)的同时,还连接至M2M接入网,那么,该M2M网关可被认为是直接连接至M2M接入网的M2M设备,例如,实现了情况I的连接。在情况B的连接中,M2M网关可用作网络代理,其代表M2M网络和应用域,对与其相连接的M2M设备执行认证、授权、登记、设备管理和提供,并且还执行应用。在情况B的连接中,M2M网关可决定将M2M设备上的应用所产生的服务层请求在本地进行路由或将其路由至M2M网络和应用域。此处所述的连接情况3和4可以是连接情况B的示例。下面更详细地描述用于M2M网关的服务能力的新体系结构和特定功能。图16A和16B表示了 M2M网关及其接ロ的功能体系结构示例。图16A和16B包括网关M2M服务能力1610、网络M2M服务能力1650、M2M应用1612、M2M应用1652、能力级别接ロ 1615、能力级别接ロ 1655、M2M设备1630、毛细网1635和毛细网1675,以及此处所述的其他组件。所述服务能力可包括gGMAE 1620、gGM 26、gMDGM 21、gNCSS 22、gRADAR 23和gSC 24。这些能力中每ー个都可认为是M2M网关的能力,其分别对应于,并用作M2M核的能力 GMAE 1650, GM 65, MDGM 61, NCSS 62、RADAR63 和 SC 64 的代理。下面更详细地描述适用于被用作M2M网络的代理的M2M网关的这些M2M网关能力中的每ー个的高级功能。该gGMAE 1620是用作网络和应用域(NAD)的GMAE 1660的代理的M2M网关的能力,其可提供I)用于连接至网络代理M2M网关的M2M设备的应用,以及2)用于M2M网关自身的应用。该gGM 26是用作NAD的GM 65的代理的M2M网关能力,并可提供用来在以下ー个或多个对象之间传输消息的能力M2M设备、网络代理M2M网关、位于网络代理M2M网关内的代理服务能力、和gGMAE 1620所实现的M2M应用、和NAD的服务能力、和位于NAD内的M2M应用。该gMDGM 21是用作NAD的MDGM 61的代理的M2M网关能力,并可同时为与其相连接的M2M设备以及M2M网关自身的所有能力和接ロ提供管理功能,例如配置管理(CM)、性能管理(PM)和错误管理(FM)。该gNCSS 22是用作NAD的NCSS 62的代理的M2M网关能力,并可为与其相连接的M2M设备以及M2M网关自身提供通信和网络服务选择能力。该gRADAR 23是用作NAD的RADAR 63的代理的M2M网关能力。其功能包括以下描述。该gSC 24是用作NAD的SC 64的代理的M2M网关能力。除了在NAD中具有对应部分的能力以外,还可包括称作gMMC 25的M2M网关能力,其可用于管理服务和应用域中的各个M2M网关之间的M2M设备移动性。在上述图15中未示出功能gMMC 25,但是仍然可认为其位于网络代理网关中。网关服务能力可包括多个(例如三个)子能力,由“ DG”、“G”和“ GN”来表示,如图16A所示。对于功能“gX”,“gX_DG”可表示负责与连接至网关的M2M设备进行交互的子能力,“ gX_G”可表示负责网关的自主功能的子能力,其可作为“gX”功能的一部分,而“gX_GN”可表示负责与M2M服务核进行交互的子能力。除了这些能力以外,如图16A和16B所示,网络代理M2M网关的体系结构可包括上述能力之间的多个接ロ、以及从网络代理M2M网关向M2M设备或M2M网络及其各种功能的接ロ。在图16A和16B中表示了接ロ名称示例。以下中的一者或多者可用于网关通用M2M应用使能(gGMAE)能力。
该M2M应用可位于M2M设备、M2M网关或M2M网络和应用域之中。针对基于网络的GMAE 1660, gGMAE (例如gGMAE 1620)的功能可包括以下中的一
者或多者。该gGMAE可通过单个接ロ(例如图16A中所示的gla)来暴露(expose)在M2M核的服务能力中和在M2M网关的网络代理服务能力中实施的功能。其可隐藏网关服务能力拓扑,从而可将M2M应用为了使用M2M网关的不同网络代理服务能力而需要的信息限制为gGMAE能力的地址。其还可使M2M应用向网关服务能力进行登记。还可将该gGMAE配置为在允许M2M应用接入特定能力集合之前,先进行认证和授权。M2M应用有资格接入的能力集合可在M2M应用提供商与运行服务能力的提供商之间假设具有预先的协定。在这种情况下,可由同一个实体来运行该M2M应用和所述服务能力,这样可免于认证要求。还可在将接ロ gla上的特定请求路由至其他能力之前,检查其是否有效。如果该请求无效,则可向M2M应用报告错误。该gGMAE可进ー步被配置为在M2M应用与代理服务能力中的能力之间进行路由。可将该路由定义为,例如当进行负责均衡时,将特定请求发送至特定能力,或发送至该能力的实例的机制。其可在不同代理服务能力之间进行路由。并且,其可产生关于针对服务能力的使用的计费纪录。此外,可将M2M网关中的gGMAE能力配置为向M2M NAD中的GMAE能力报告对M2M设备进行登记、认证和授权的状态和/或結果。可由以下中的一者或多者来执行上述报告通过其自身的启动,例如周期性地使用计时器,该计时器可由设备在本地提供和/或通过外部定时同步来提供。响应于来自M2M网络的GMAE能力的命令(即,请求式)。通过其自身启动向NAD的GMAE发送请求,并之后从该NAD的GMAE接收响应。可将以下中的一者或多者用于可达性、寻址和设备应用储存库能力。可将M2M网关中的RADAR能力(例如gRADAR 23)配置为根据M2M网络和应用域的策略和/或应用来显示或隐藏潜在的毛细网拓扑、从M2M网络和应用域中的服务能力进行寻址和路由的能力。其还可通过中继M2M应用以及服务层消息和数据,来支持M2M网关之间的M2M设备移动性。可将M2M网关中的RADAR能力(例如gRADAR 23)进ー步配置为通过将M2M设备的M2M设备应用登记信息存储在设备应用储存库中,并保持该信息为最新的,来提供维护网关设备应用储存库(gDAR)的能力。此外,其还可具有向网络和应用域中的认证和授权实体提供查询接ロ的能力,从而使其检索M2M设备应用登记信息。此外,其还可具有一旦接收到请求便将该信息提供给位于网络和应用域中的实体的能力,例如,假设该发出请求的实体被认证和授权能够进行该查询。可将(NAD的)gRADAR 23和RADAR 63配置为提供以下中的一者或多者1)云状的基于网络的应用执行;2)可下载的,类似应用存储的应用储存库,或3)以与颁发DRM授权相似的方式,来登记和授权/激活对设备上所提供的应用的使用。可将以下中的一者或多者用于网络和通信服务选择(NCSS)能力。该NCSS能力,例如NCSS 62,可包括以下能力中的一者或多者。可将该NCSS能力配置为对M2M应用隐藏网络地址使用。当可通过多个网络经由多个订阅访问M2M设备或M2M网关时,其可提供网络选择。此外,当M2M设备或M2M网关具有多个网络地址时,其可提供通信服务选择。 此外,可将NCSS能力配置为为了网络和通信服务选择的目的,而考虑所请求的服务等级。并且,其可在通信失败后,例如使用第一个所选的网络或通信服务来提供替代的网络或通信服务选择。可将M2M网关中的NCSS能力,例如gNCSS 22,配置为对M2M应用和服务层隐藏接入网使用。当有多个接入网可用时,其可提供接入网选择。可将该gNCSS进ー步配置为为了网络和通信服务选择的目的,考虑所请求的服务等级。并且,其可在通信失败之后,例如使用第一个所选的网络或通信服务来提供替代的网络或通信服务选择。可将以下中的一者或多者应用于安全能力(SC)。可将网络和应用域的服务能力中的SC,例如SC 64,配置为提供以下中的一者或多者密钥管理、认证和会话密钥管理、或设备完整性校验。密钥管理可包括在用于认证的设备中使用安全密钥(例如,预先共享的安全密钥、证书等)的启动来管理安全密钥。其还可包括从应用获得提供信息,并按需要通知运营商网络。认证和会话密钥管理可包括通过认证执行服务层登记。其还可包括在M2M设备/M2M网关和SC之间进行服务会话密钥管理。其还可包括在提供服务之前,对应用进行认证。认证和会话密钥管理可进ー步包括与AAA服务器进行交互,从而获得执行M2M设备应用或M2M网关应用认证和会话密钥管理所需的认证数据。该SC可用作AAA术语中的“认证器”。其还可向消息能力发送经过协商的会话密钥,从而对与M2M设备和M2M网关所交換的数据进行(通过消息能力)加密和完整性保护。认证和会话密钥管理可进ー步包括如果应用需要隧道安全,(例如,家庭网关与服务能力实体之间的隧道发送消息),则可建立来自M2M网关和服务的安全隧道会话。设备完整性校验可涉及M2M网络针对支持设备完整性校验的M2M设备和网关来校验设备或网关的完整性。此外,M2M网络还可触发验证后的操作,例如接入控制。还可将M2M设备或M2M网关中的SC配置为通过启动用于认证的设备中的安全密钥(例如,预先共享的安全密钥、证书等)来管理安全密钥。其还可从应用获得提供信息,并按需要通知运营商网络。其可进ー步配置为(例如在应用需要吋)在建立会话前进行认证。可进ー步将M2M设备或M2M网关中的SC配置为执行与会话安全相关的能力,例如为信令消息进行流量加密和完整性保护。同吋,(对于可用的设备/网关),其可对设备或网关的完整性进行验证和/或报告。此外,其可(对于可用的设备/网关)支持安全定时同步过程。可进ー步将M2M设备或M2M网关中的SC配置为协商和使用可适用的安全特定服务等级属性。并且,受M2M运营商策略的限制,如果能够进行完整性验证的M2M设备在该过程中失败,则其可拒绝任何M2M设备对网络和应用域的访问。除上述能力以外,可将基于N AD的SC配置为启动MDGM能力,以更新M2M设备的固件或软件。此外,对于网络代理M2M网关的网关安全能力(gSC)来说,可将SC配置为管理安全密钥,以用于M2M设备或M2M应用。该SC可对M2M设备进行服务级别认证(作为NAD中SC的认证功能的代理),从而支持服务层和应用登记。该SC可基于单个M2M设备或设备组向NAD中的安全能力报告上述认证的結果。该SC可对NAD中的SC执行对自身的服务级别认证。如果应用需要隧道安全的话,该SC可从M2M网关(向M2M设备或M2M核)建立并连网(interwork)安全隧道会话。此外,SC可代表NAD的SC对M2M设备的完整性进行验证和校验。可进ー步将该SC配置为基于单个M2M设备或设备组,将所述验证和校验的结果报告给NAD中的安全能力。此外,SC可执行过程,以向NAD中的安全能力证明其自身的完整性。此外,SC可为M2M设备触发验证后的操作,例如接入控制和修复,其中包括启动gMDGM能力或MDGM (NAD中的),以更新M2M设备的固件或软件。可进ー步将该SC配置为执行以下功能中的一者或多者I)作为对M2MNAD能力所产生的命令的响应,2)作为在用于该操作的自主地从M2M网关所产生的请求之后,从M2M NAD所接收的命令的响应,或3)自主地对能力启动操作,从而之后gSC向M2M NAD的能力报告该操作的过程或結果。虽然上面以特定组合的方式描述了特征和元素,但是每个特征或元素都可在没有其他特征和元素的情况下单独使用,或与其他特征和元素进行各种组合或不进行组合。此处所述的方法或流程可在结合至计算机可读存储介质中的计算机程序、软件或固件中实现,以由通用目的计算机或处理器执行。计算机可读存储介质的例子包括只读存储器(ROM),随机存储存储器(RAM)、寄存器、缓存、半导体存储设备、例如内置磁盘和可移动磁盘的磁介质、磁光介质和光介质(例如⑶-ROM盘和数字多用途盘(DVD))。合适的处理器包括,例如,通用目的处理器、专门目的处理器、常规处理器、数字信号处理器(DSP)、多个微处理器、与DSP核相关联的ー个或多个微处理器、控制器、微控制器、特定用途集成电路(ASIC)、现场可编程门阵列(FPGA)电路、任何其他类型的集成电路(IC)和/或状态机。可使用与软件相关联的处理器来实现射频收发信机,以用于无线发射接收单元(WTRU )、用户设备(UE )、终端、基站、无线电网络控制器(RNC )或任何主机计算机。WTRU可与模块相结合使用,在硬件和/或软件中实现,例如照相机、视频照相模块、视频电话、扬声电话、振动设备、扬声器、麦克风、电视收发机、免提电话、键盘、蓝牙馨模块、调频(FM)无线电単元、液晶显示(IXD)显示单元、有机发光二极管(OLED)显示单元、数字音乐播放器、媒体播放器、视频游戏机模块、互联网浏览器和或任何无线局域网(WLAN)或超宽带(UWB)模块。
虽然上面以特定组合的方式描述了特征和元素,但是本领域技术人员应该理解至IJ,每个特征或元素都可在没有其他特征和元素的情况下单独使用,或与其他特征和元素进行各种组合或不进行组合。此处所述的方法可在结合至计算机可读介质中的计算机程序、软件或固件中实现,以由计算机或处理器执行。计算机可读介质包括电子信号(经由有线或无线连接传送)和计算机可读存储介质。计算机可读存储介质的例子包括,但不限于,只读存储器(ROM)、随机存储存储器(RAM)、寄存器、缓存、半导体存储设备、例如内置磁盘和可移动磁盘的磁介质、磁光介质和光介质(例如⑶-ROM盘和数字多用途盘(DVD))。可使用与软件相关的处理器来实现WTRU、UE、终端、基站、RNC或任何主机计算机中所使用的射频收发信机。图17A是能够实施ー种或多种公开实施方式的示例通信系统1700的示意图。通信系统1700可以是向多个无线用户提供诸如语音、数据、视频、消息、广播等内容的多路接入系统。通信系统1700可以使得多个无线用户能够通过对包括无线带宽在内的系统资源进行共享来接入此类内容。例如,通信系统1700可以使用一种或多种信道接入方法,诸如码分多址(CDMA )、时分多址(TDMA )、频分多址(FDMA )、正交FDMA (OFDMA )、单载波FDMA(SC-FDMA)等。如图17A所示,通信系统1700可以包括无线发射接收单元(WTRU) 1702a、1702b、1702し1702(1、无线电接入网络(狀め1704、核心网1706、公共交换电话网(PSTN) 1708、因特网1710、以及其它网络1712,但是应认识到公开的实施方式可以涉及任何数目的WTRU、基站、网络、和/或网络元件。WTRU 1702a、1702b、1702c、1702d中的每ー个可以是被配置为在无线环境中进行操作和/或通信的任何类型的设备。举例来说,WTRU1702a、1702b、1702c、1702d可以被配置为发射和/或接收无线电信号,并且可以包括用户设备(UE)、移动站、固定或移动订户単元、寻呼机、蜂窝电话、个人数字助理(PDA)、智能电话、膝上电脑、上网本、个人计算机、无线传感器、消费电子设备等等。通信系统1700还可以包括基站1714a和基站1714b。基站1714a、1714b中的每ー个可以是被配置为与WTRU 1702a、1702b、1702c、1702d中的至少ー者无线对接的任何类型的设备,以促进到诸如核心网1706、因特网1710、和/或网络1712的ー个或多个通信网络的接入。举例来说,基站1714a、1714b可以是基站收发站(BTS)、节点B、e节点B、家庭节点B、家庭e节点B、站点控制器、接入点(AP)、无线路由器等。虽然基站1714a、1714b每个都被描绘为单个元件,但应认识到基站1714a、1714b可以包括任何数目的互连基站和/或 网络元件。基站1714a可以是RAN 1704的一部分,其还可以包括其它基站和/或网络元件(未示出),诸如基站控制器(BSC)、无线电网络控制器(RNC)、中继节点等等。基站1714a和/或基站1714b可以被配置为在可被称为小区(未示出)的特定地理区域内发射和/或接收无线信号。所述小区还可以被划分成小区扇区。例如,与基站1714a相关联的小区可以被划分成三个扇区。因此,在一个实施方式中,基站1714a可以包括三个收发信机,即小区的每个扇区ー个。在另ー实施方式中,基站1714a可以使用多输入多输出(MMO)技术,因此,可以针对小区的每个扇区使用多个收发信机。
基站1714a、1714b 可以通过空中接 ロ 1716 与 WTRU 1702a、1702b、1702c、1702d 中的ー个或多个通信,所述空中接ロ 1716可以是任何适当的无线通信链路(例如射频(RF)、微波、红外线(IR)、紫外线(UV)、可见光等等)。可以使用任何适当的无线电接入技术(RAT)来建立空中接ロ 1716。更具体而言,如上所述,通信系统1700可以是多路接入系统且可以采用一种或多种信道接入方案,诸如CDMA、TDMA, FDMA, OFDMA, SC-FDMA等等。例如,RAN 1704中的基站1714a和WTRU 1702a、1702b、1702c可以实现诸如通用移动通信系统(UMTS)陆地无线电接A(UTRA)的无线电技术,其中该无线电技术可以使用宽带CDMA (WCDMA)来建立空中接ロ1716。WCDMA可以包括诸如高速分组接入(HSPA)和/或演进型HSPA (HSPA+)的通信协议。HSPA可以包括高速下行链路分组接入(HSDPA)和/或高速上行链路分组接入(HSUPA)。
在另ー实施方式中,基站1714a和WTRU 1702a、1702b、1702c可以实现诸如演进型UMTS陆地无线电接入(E-UTRA)的无线电技术,其中该无线电技术可以使用长期演进(LTE)和/或高级LTE (LTE-A)来建立空中接ロ 1716。在其它实施方式中,基站1714a和WTRU 1702a、1702b、1702c可以实现诸如IEEE802. 16 (即微波接入全球互通(WiMAX))、CDMA2000、CDMA20001X、CDMA2000EV-D0、临时标准2000 (IS-2000)、临时标准95 (IS-95)、临时标准856 (IS-856)、全球移动通信系统(GSM)、GSM演进增强型数据速率(EDGE)、GSM EDGE (GERAN)等的无线电技术。举例来讲,图17A中的基站1714b可以是无线路由器、家庭节点B、家庭e节点B、或接入点,并且可以利用任何适当RAT来促进诸如营业场所、家庭、车辆、校园等局部区域中的无线连接。在一个实施方式中,基站1714b和WTRU 1702c、1702d可以实现诸如IEEE802. 11的无线电技术以建立无线局域网(WLAN)。在另ー实施方式中,基站1714b和WTRU1702c、1702d可以实现诸如IEEE 802. 15的无线电技术以建立无线个域网(WPAN)。在另ー实施方式中,基站1714b和WTRU 1702c、1702d可以利用蜂窝式RAT(例如WCDMA、CDMA2000、GSM、LTE, LTE-A等)以建立微微小区或毫微微小区。如图17A所示,基站1714b可以具有到因特网1710的直接连接。因此,可以不要求基站1714b经由核心网络1706接入因特网1710。RAN 1704可以与核心网络1706通信,核心网络1706可以是被配置为向WTRU1702a、1702b、1702c、1702d中的ー个或多个提供语音、数据、应用程序、和/或网际协议语音(VoIP)服务的任何类型的网络。例如,核心网络1706可以提供呼叫控制、计费服务、基于移动定位的服务、预付费呼叫、因特网连接、视频分发等,和/或执行诸如用户认证等高级安全功能。虽然图17A未示出,但应认识到RAN 1704和/或核心网络1706可以与采用与RAN 1704相同的RAT或不同RAT的其它RAN进行直接或间接通信。例如,除连接到可以利用E-UTRA无线电技术的RAN 1704之外,核心网络1706还可以与采用GSM无线电技术的另一 RAN (未不出)通信。核心网络1706 还可以充当用于 WTRU 1702a、1702b、1702c、1702d 接入 PSTN 1708、因特网1710、和/或其它网络1712的网关。PSTN 1708可以包括提供简单老式电话服务(POTS)的电路交换电话网。因特网1710可以包括使用公共通信协议的互连计算机网络和设备的全局系统,所述公共通信协议诸如传输控制协议(TCP) /网际协议(IP)因特网协议组中的TCP、用户数据报协议(UDP)和IP。网络1712可以包括由其它服务提供商所有和/或操作的有线或无线通信网络。例如,网络1712可以包括连接到可以采用与RAN 1704相同的RAT或不同RAT的ー个或多个RAN的另ー核心网络。通信系统1700中的某些或全部WTRU 1702a、1702b、1702c、1702d可以包括多模式能力,即WTRU 1702a、1702b、1702c、1702d可以包括用于通过不同的无线链路与不同的无线网络通信的多个收发信机。例如,图17A所示的WTRU 1702c可以被配置为与采用蜂窝式无线电技术的基站1714a通信,且与可以采用IEEE 802无线电技术的基站1714b通信。图17B是示例性WTRU 1702的系统图。如图17B所示,WTRU 1702可以包括处理器1718、收发信机1720、发射/接收元件1722、扬声器/扩音器1724、小键盘1726、显示器/触摸屏1728、不可移除存储器1730、可移除存储器1732、电源1734、全球定位系统(GPS)芯片组1736、及其它外围设备1738。应认识到WTRU 1702可以在保持与实施方式一致的同时,包括前述元件的任何子组合。处理器1718可以是通用处理器、专用处理器、常规处理器、数字信号处理器 集成电路(ASIC)、现场可编程门阵列(FPGA)电路、任何其它类型的集成电路(1C)、状态机等等。处理器1718可以执行信号编码、数据处理、功率控制、输入/输出处理、和/或使得WTRU能够在无线环境中操作的任何其它功能。处理器1718可以是耦合到收发信机1720,收发信机1720可以耦合到发射/接收元件1722。虽然图17B将处理器1718和收发信机1720描绘为单独的元件,但应认识到处理器1718和收发信机1720可以被一起集成在电子组件或芯片中。发射/接收元件1722可以被配置为通过空中接ロ 1716向基站(例如基站1714)发射信号或从基站(例如基站1714)接收信号。例如,在一个实施方式中,发射/接收元件1722可以被配置为发射和/或接收RF信号的天线。在另ー实施方式中,发射/接收元件1722可以被配置为发射和/或接收例如IR、UV、或可见光信号的发射体/检测器。在另ー实施方式中,发射/接收元件1722可以被配置为发射和接收RF和光信号两者。应认识到发射/接收元件1722可以被配置为发射和/或接收无线信号的任何组合。另外,虽然发射/接收元件1722在图17B中被描绘为单个元件,但WTRU1702可以包括任何数目的发射/接收元件1722。更具体而言,WTRU 1702可以采用MMO技术。因此,在一个实施方式中,WTRU 1702可以包括用于通过空中接ロ 1716来发射和接收无线信号的两个或更多发射/接收元件1722 (例如多个天线)。收发信机1720可以被配置为调制将由发射/接收元件1722发射的信号并将由发射/接收元件1722接收到的信号解调。如上所述,WTRU 1702可以具有多模式能力。因此,例如,收发信机1720可以包括用于使得WTRU 1702能够经由诸如UTRA和IEEE 802. 11等多个RAT通信的多个收发信机。WTRU 1702的处理器1718可以耦合到扬声器/扩音器1724、小键盘1726、和/或显示器/触控板1728 (例如液晶显示器(IXD)显示单元或有机发光二极管(OLED)显示单元),并且可以从这些组件接收用户输入数据。处理器1718还可以向扬声器/扩音器1724、小键盘1726、和/或显示器/触控板1728输出用户数据。另外,处理器1718可以访问来自诸如不可移除存储器1730和/或可移除存储器1732等任何类型的适当存储器的信息并能够将数据存储在这些存储器中。不可移除存储器1730可以包括随机存取存储器(RAM)、只读存储器(ROM)、硬盘、或任何其它类型的存储器存储设备。可移除存储器1732可以包括订户身份模块(SIM)卡、记忆棒、安全数字(SD)存储卡等。在其它实施方式中,处理器1718可以访问来自在物理上位于WTRU 1702上(诸如在服务器或家用计算机(未示出))的存储器的信息并将数据存储在该存储器中。处理器1718可以从电源1734接收功率,并且可以被配置为向WTRU1702分配功率和/或控制功率。电源1734可以是用于对WTRU 1702供电的任何适当设备。例如,电源1734可以包括一个或多个干电池(例如镍镉(NiCd)、镍锌铁氧体(NiZn)、镍金属氢化物(NiMH)、锂离子(Li)等等)、太阳能电池、燃料电池等等。处理器1718还可以耦合到GPS芯片组1736,GPS芯片组1736可以被配置为提供关于WTRU 1702的当前位置的位置信息(例如,经度和纬度)。除来自GPS芯片组1736的信息之外或作为其替代,WTRU 1702可以通过空中接ロ 1716从基站(例如基站1714a、1714b)接收位置信息和/或基于从两个或更多附近基站接收到信号的时刻来确定其位置。应认识到WTRU 1702可以在保持与实施方式一致的同时,通过任何适当的位置确定方法来获取位 置信息。处理器1718还可以耦合到其它外围设备1738,外围设备1738可以包括提供附加特征、功能和/或有线或无线连接的软件和/或硬件模块。例如,外围设备1738可以包括加速计、电子指南针、卫星收发信机、数字式照相机(用于拍照或视频)、通用串行总线(USB)端ロ、振动设备、电视收发信机、免提耳麦、Bh.ぬOO丨h:A:模块、调频(FM)无线电単元、数字音乐播放器、媒体播放器、视频游戏机模块、因特网浏览器等等。图17C是根据一种实施方式的RAN 1704和核心网1706的系统结构图。如上所述,RAN 1704可使用UTRA无线电技术通过空中接ロ 1716来与WTRU 1702a、1702b、1702c进行通信。该RAN 1704还可与核心网1706进行通信。如图17C所示,RAN 1704可包括节点B 1740a、1740b、1740c,其中每个可包含一个或多个收发信机,用于通过空中接ロ 1716与WTRU1702a、1702b、1702c 进行通信。节点 B 1740a、1740b、1740c 中的每ー个可与 RAN 1704中的特定小区(未示出)相关联。该RAN 1704还可包括RNC1742a、1742b。应当理解,RAN1704可包括任何数量的节点B和RNC,并仍与实施方式保持一致。如图17C所示,节点B 1740a、1740b可与RNC 1742a进行通信。此外,节点B 1740c可与RNC 1742b进行通信。节点B 1740a、1740b、1740c可经由Iub接ロ与各个RNC 1742a、1742b进行通信。该RNC 1742a、1742b可通过Iur接ロ相互通信。RNC 1742a、1742b中每一个都可被配置为控制所连接的各个节点B 1740a、1740b、1740c。此外,可将RNC 1742a、1742b的每ー个配置为实现或支持其他功能,例如外环功率控制、负载控制、允许控制、分组调度、切换控制、宏分集、安全功能、数据加密等。图17C中所示的核心网1706可包括媒体网关(MGW) 1744、移动交换中心(MSC)1746、服务GPRS支持节点(SGSN) 1748和/或网关GPRS支持节点(GGSN) 1750。虽然将上述各个组件表示为核心网1706的一部分,但是应当理解,任何一个组件都可由核心网运营商以外的实体所拥有和/或操作。RAN 1704中的RNC 1742a可通过IuCS接ロ连接至核心网1706中的MSC 1746。可将 MSC 1746 连接至 MGW 1744。该 MSC 1746 和 MGW 1744 可向 WTRU 1702a、1702b、1702c 提供到电路交换网络(例如PSTN 1708)的接入,从而促进WTRU 1702a、1702b、1702c与传统陆地线通信设备之间的通信。还可将RAN 1704中的RNC 1742a通过IuPS接ロ连接至核心网1706中的SGSN1748。该 SGSN 1748 可连接至 GGSN 1750。该 SGSN 1748 和 GGSNl750 可向 WTRU 1702a、1702b、1702c提供到分组交换网络(例如互联网1710)的接入,从而促进WTRU 1702a、1702b、1702c与IP使能设备之间的通信。如上所述,还可将核心网1706连接至网络1712,其可包括由其他服务提供商所拥有和/或操作的有线或无线网络。虽然上面以特定组合的方式描述了特征和元素,但是本领域技术人员应该理解至IJ,每个特征或元素都可在没有其他特征和元素的情况下单独使用,或与其他特征和元素进行各种组合或不进行组合。此处所述的方法可在结合至计算机可读介质中的计算机程序、软件或固件中实现,以由计算机或处理器执行。计算机可读介质包括电子信号(经由有 线或无线连接传送)和计算机可读存储介质。计算机可读存储介质的例子包括,但不限于,只读存储器(ROM)、随机存储存储器(RAM)、寄存器、缓存、半导体存储设备、例如内置磁盘和可移动磁盘的磁介质、磁光介质和光介质(例如⑶-ROM盘和数字多用途盘(DVD))。可使用与软件相关的处理器来实现WTRU、UE、终端、基站、RNC或任何主机计算机中所使用的射频收发信机。
权利要求
1.一种在包含网络域的系统中将该网络域的特定功能卸载至位于该网络域之外的实体的方法,其中该网络域能够向与该网络域进行通信的多个设备提供一个或多个服务能力,该方法包括,由所述实体 与所述网络域建立信任; 与所述多个设备中的每一个设备建立连接; 为所述多个设备中的每一个设备执行安全功能;以及 将与所述多个设备中的每一个设备相关的信息报告给所述网络域。
2.根据权利要求I所述的方法,其中,所述信息被聚合自所述多个设备中的每一个设备。
3.根据权利要求I所述的方法,其中针对所述多个设备中的每一个设备来解析并执行经过聚合的安全功能。
4.根据权利要求I所述的方法,其中所述报告是响应于来自所述网络域的请求的。
5.根据权利要求4所述的方法,其中所述网络域不知道所述多个设备中的每一个设备的标识。
6.根据权利要求I所述的方法,其中周期性地执行所述报告。
7.根据权利要求I所述的方法,其中所述安全功能包括将所述多个设备中的每一个设备与所述网络域进行登记和认证。
8.根据权利要求7所述的方法,其中所述登记和认证包括使用启动证书。
9.根据权利要求I所述的方法,其中所述安全功能包括向所述多个设备中的每一个设备进行证书的提供和迁移。
10.根据权利要求I所述的方法,其中所述安全功能包括向所述多个设备中的每一个设备提供安全策略。
11.根据权利要求I所述的方法,其中所述安全功能包括在所述多个设备中的每一个设备中建立可信功能,其中为所述多个设备中的每一个设备执行完整性校验。
12.根据权利要求I所述的方法,其中所述安全功能包括为所述多个设备中的每一个设备提供设备管理。
13.根据权利要求12所述的方法,其中向所述网络域发送与所述多个设备中的至少一个设备相关联的严重失败警告。
14.根据权利要求I所述的方法,其中所述安全功能包括为所述多个设备中的至少一个设备建立以下中的至少一者安全关联、通信信道、或通信链路。
15.根据权利要求I所述的方法,该方法还包括 确定与所述多个设备中的一个或多个设备相关联的完整性破坏或失败;和 对所述多个设备中的所述一个或多个设备进行隔离。
16.根据权利要求I所述的方法,其中代表所述网络域来执行所述安全功能,而不需要网络域的参与。
17.一种在包含网络域的系统中将该网络域的特定功能卸载至位于该网络域之外的实体的方法,其中该网络域能够向与该网络域进行通信的多个设备提供一个或多个服务能力,该方法包括,由所述实体 与所述网络域建立信任;从所述网络域接收命令,以执行与所述多个设备中的每一个设备相关的安全功能; 为所述多个设备中的每一个设备执行所述安全功能; 对来自与所执行的安全功能相关的所述多个设备中的每一个设备的信息进行聚合;和 将经过聚合的信息发送至所述网络域。
18.根据权利要求17所述的方法,其中所述安全功能包括将所述多个设备中的每一个设备与所述网络域进行登记和认证。
19.根据权利要求18所述的方法,其中所述登记和认证包括使用启动证书。
20.根据权利要求17所述的方法,其中所述安全功能包括向所述多个设备中的每一个设备进行证书的提供和迁移。
21.根据权利要求17所述的方法,其中所述安全功能包括向所述多个设备中的每一个设备提供安全策略。
22.根据权利要求17所述的方法,其中所述安全功能包括在所述多个设备中的每一个设备中建立可信功能,其中为所述多个设备中的每一个设备进行完整性校验。
23.根据权利要求17所述的方法,其中所述安全功能包括为所述多个设备中的每一个设备提供设备管理。
24.根据权利要求23所述的方法,其中向所述网络域发送与所述多个设备中的至少一个设备相关联的严重失败警告。
25.根据权利要求17所述的方法,其中所述安全功能包括为所述多个设备中的至少一个设备建立以下中的至少一者安全关联、通信信道、或通信链路。
26.根据权利要求17所述的方法,该方法还包括对经过聚合的信息进行处理。
全文摘要
公开了用于使网络域之外的网关向多个设备提供服务的系统、方法和手段。举例来讲,该网关可用作管理实体或网络域的代理。作为管理实体,网关可执行与多个设备中的每一个相关的安全功能。网关可在网络域不参与,或不知道特定设备的情况下执行安全功能。作为网络的代理,网关可从网络域接收命令,执行与多个设备中的每一个相关的安全功能。网络可以获知多个设备中的每一个的标识。网关可为多个设备中的每一个执行安全功能,并在将相关信息发送至网络域之前对该信息进行聚合。
文档编号H04L12/24GK102687547SQ201080059882
公开日2012年9月19日 申请日期2010年12月28日 优先权日2009年12月28日
发明者A·施米特, A·莱切尔, I·查, L·凯斯, P·R·季塔布, S·B·帕塔尔, Y·C·沙阿 申请人:交互数字专利控股公司