用于将密钥绑定到名称空间的的方法和装置的制作方法

专利名称：用于将密钥绑定到名称空间的的方法和装置的制作方法
技术领域：
一般地，本发明的示例性和非限制性实施例涉及无线通信系统、方法、设备和计算机程序，并且更具体地，涉及证明诸如网络应用的资源被授权代表或被认为是诸如网络域的另一个资源来行动的协议和安全过程。
背景技术：
本部分意在为权利要求书中所陈述的本发明提供背景或上下文。这里的描述可能包括这样的概念它们可能曾被探索，但是并不必然是先前已被设想、实施或描述过的概念。因此，除非这里另外说明，本部分中所描述的内容不构成本申请的说明书和权利要求的现有技术，并且不承认通过包含在本部分中而成为现有技术。将说明书和/或附图中可能会发现的下列缩写定义如下AKA (authentication and key agreement)认证和密钥协商API (application program interface)应用程序接口AUTN (authenticatio n token)认证令牌AV (authentication vector)认证向量BSF (bootstrapping server function)自举服务器功能B-TID (boostrapping transaction identifier)自举事务处理标识符CA (certification authority)证书授权机构CK (cipher key)加密密钥DNS (domain name server)域名服务器FQDN (fully qualified domain name)完全合格域名GBA (generic bootstrapping architecture)通用自举架构GBA_U (GBA with UlCC-based enhancements)基于 UICC 增强的 GBAGUSS (GBA user security settings) GBA 用户安全设置HLR (home location register)归属位置寄存器HSS (home subscriber system)归属订户系统HTTP (hypertext transfer protocol)超文本传输协议HTTPS (hypertext transfer protocol secure)安全超文本传输协议IK (integrity key)完整性密钥IMPI (IMS private user identity) IMS 私有用户身份IMS (IP multimedia subsystem) IP 多媒体子系统IP (internet protocol)互联网协议Ks—ext—NAF (derived key in GBA—U) GBA—U 中的导出密钥NAF (network application function)网络应用功能NAF—ID (network application function identifier)网络应用功能标识符RAND (random challenge)随机挑战
TLS (transport layer security)传输层安全TMPI (temporary IMPI)临时 IMPIUE (user equipment)用户设备UICC (universal integrated circuit card)通用集成电路卡URI (uniform resource identifier)统一资源标识符URL (uniform resource locator)统一资源定位符XRES (expected response)期望的响应此处感兴趣的一个规范是3GPP TS33. 220V9. 2. O (2009-12)技术规范第三代合作伙伴计划；技术规范组业务和系统方面；通用认证架构(GAA);通用自举架构(版本9)，为便于描述，下面称为“3GPP TS33. 220”。这里的图1复制了 3GPP TS33. 220的图4. l，“Simplenetwork model for bootstrapping involving HSS with Zh reference point (用于涉及具有Zh参考点的HSS的自举的简单网络模型)”，而这里的图2复制了 3GPP TS33. 220的图 4. 3, “The bootstrapping procedure (自举过程)”。图1示出了在部署具有Zn参考点的HSS时，自举方案中涉及的实体的简单网络模型以及它们之间使用的各种参考点(例如，接口 Ub、Ua、Zn、Dz)。当UE想要与NAF相互作用时，并且其知道需要自举过程时，其首先执行如图2所示的自举认证，否则，仅当其已从NAF接收到自举启动所需要的消息或者自举协商指示时，或者当UE中的密钥的生命期期满时，UE执行自举认证。

当在Ub上进行通信时，UE总是在用户代理请求报头字段中包括产品令牌“3gpp-gba-tmpi”。当在Ub上进行通信时，BSF总是在服务器响应报头字段中包括产品令牌 “3gpp-gba_tmpi ”。在图2所示的基本自举过程中执行下面的步骤。(I)UE向BSF发送HTTP请求。当UE上有与使用中的頂PI相关联的TMPI可用时，UE在“用户名”参数中包括所述TMPI，否则UE包括MPI。(2)BSF从“用户名”参数的结构识别是发送了 TMPI还是MPI。如果发送了 TMPI，则BSF在其本地数据库中查找对应的IMPI。如果BSF没有找到对应于所接收的TMPI的MPI，则其向UE返回适当的出错消息。然后UE删除该TMPI，并且使用该MPI重新尝试该请求。BSF从HSS获取参考点Zh上的一个认证向量(AV，AV=RAND| AUTN XRES CK IK)和GBA用户安全设置的完全集(其中“ I I ”表示连接(concatenation))。在没有部署具有Zh参考点的HSS的情况下，BSF从HLR或具有Zh’参考点的HSS获取参考点Zh’上的认证向量。Zh’参考点被定义为在BSF和HLR之间使用，并且允许BSF取回所需要的认证信息(参见3GPP TS33. 220，条款4. 3. 6和条款4. 4. 12)。如果BSF实现时间戳选项，并且具有在先前的自举过程中已从HSS取回的订户的本地拷贝，并且这样的GUSS包括时间戳，那么BSF可以在请求消息中包括该GUSS时间戳。一旦接收到该时间戳，如果HSS实现该时间戳选项，则HSS可以将其与HSS中所存储的GUSS的时间戳进行比较。在这种情况下，当且仅当HSS已完成比较，并且时间戳相等时，HSS才发送“⑶SS时间戳相等(⑶SS TIMESTAMP EQUAL)”指示给BSF。在任何其它情况下，HSS向BSF发送⑶SS (如果有的话)。如果BSF接收到“⑶SS时间戳相等”指示，则其保持⑶SS的本地拷贝。在任何其它情况下，BSF删除⑶SS的本地拷贝，并且存储所接收的⑶SS (如果发送了的话)。(3) BSF在401消息(没有CK、IK和XRES)中将RAND和AUTN转发给UE。这将要求UE对其自身进行认证。(4)UE检查AUTN以验证该挑战来自被授权的网络；UE还计算CK、IK和RES。这将得到BSF和UE两者的会话密钥IK和CK。(5)UE向BSF发送包含(使用RES计算得到的)数字AKA响应的另一个HTTP请求。(6) BSF通过验证数字AKA响应来对UE进行认证。(7)BSF通过连接CK和IK来产生密钥材料(key material)Ks。还通过使用来自步骤(3)的base64(64基)编码的RAND值和BSF服务器名称，按照NAI的格式来产生B-TID值，即base64encode (RAND) iBSF_servers_domain_name0如果该请求在用户代理请求-报头字段中包括产品令牌“3gpp-gba-tmpi”，那么BSF计算新的TMPI，将其与MPI存储在一起，如果有与这一 MPI相关的先前的TMPI，则覆盖该先前的TMPI。(8)BSF向UE发送包括B-TID的2000K消息，以指示认证成功。另外，在2000K消息中，BSF提供密钥Ks的生命期。在UE中通过连接CK和IK来产生密钥材料Ks。(9)UE和BSF都在条款4. 5. 3中规定的过程期间使用Ks来导出密钥材料Ks_NAF。Ks_NAF用于确保参考点Ua的安全。

为了使得能够在UE和BSF中基于NAF名称来实现一致的密钥导出，必须满足下述三个先决条件(prerequisite)中的至少一个(a) NAF在仅一个域名(FQDN)下的DNS中是已知的，即没有两个不同的域名指向该NAF的IP地址。这是通过行政手段实现的。(b)NAF的每个DNS条目指向不同的IP地址。NAF对所有这些IP地址作出响应。每个IP地址通过NAF配置绑定到对应的FQDN。NAF可以根据IP地址确定使用哪个FQDN进行密钥导出。(C)Ua使用将主机名称(UE所使用的NAF的FQDN)传递给NAF的协议(例如，具有强制主机请求报头字段的HTTP/1.1)。这要求NAF检查主机名称的有效性，并且在合适的情况下在与UE的所有通信中使用该名称，并且将所述名称传递给BSF以使得能够正确地导出Ks_NAF。UE和BSF存储密钥Ks和相关联的B-TID以便进一步使用，直到Ks的生命期期满，或者直到密钥Ks被更新为止，或者直到满足删除条件为止。所存在的问题涉及这样的事实按当前的标准，已签名的网络应用(控件)不可能证明其被允许代表名称空间或者被认为是特定名称空间的映射。因此，这样的控件通常具有对已由被认证的应用供应商签名的控件所需的本地系统资源更加受限的访问权，

发明内容
根据本发明的示例性实施例，克服了上述和其它问题，并且实现了其它优点。根据本发明的示例性实施例的一个方面，一种方法包括将设备上安装的应用识别为特定域的经授权的应用，使用私钥对所述应用进行签名；使用与该私钥形成密钥对的公钥来导出签名者身份；将该特定域映射到另一个域；向该另一个域发出获得被授权代表该特定域来行动的签名者身份的列表的请求；确定该应用的签名者是否在该列表中；以及如果在该列表中，则授权该应用以与在该特定域中被准许的相同特权来行动。另外，根据本发明的示例性实施例的一个方面，一种装置，包括处理器和包括计算机程序代码的存储器。该存储器和计算机程序代码被配置为，利用所述处理器使得该装置至少进行将设备上安装的应用识别为特定域的经授权的应用，使用私钥对所述应用进行签名；使用与该私钥形成密钥对的公钥来导出签名者身份；将该特定域映射到另一个域；向该另一个域发出获得被授权代表该特定域来行动的签名者身份的列表的请求；确定该应用的签名者是否在该列表中；以及如果在该列表中，则授权该应用以与在该特定域中被准许的相同特权来行动。


当结合附图阅读时，本发明的示例性实施例的上述和其它方面在下面的详细描述中被描述得更加清楚，其中图1 复制了 XPP TS33. 22O 的图 4.1,“Simple network model for bootstrappinginvolving HSS with Zh reference point (用于涉及具有Zh参考点的HSS的自举的简单网络模型)”；图2 复制了 3GPP TS33. 220 的图 4. 3, “The bootstrapping procedure (自举过程)，，;图3示出了多服务 提供商NAF的架构的实例；图4示例了适用于实现本发明的示例性实施例的装置的简化框图；图5描述了来自网络应用(控件)的用于GBA访问的示例性序列流程；图6和图7分别是示例了进一步根据本发明的示例性实施例的方法的操作和计算机程序代码的执行结果的逻辑流程图。
具体实施例方式需要注意的是，“JAVA”和“JAVASCRIPT”是太阳微系统公司(Sun MicrosystemsIncorporated)的注册商标。“GOOGLE (谷歌)”和“ANDROID (安卓)”是谷歌(Google)公司的注册商标。“FACEB00K (脸谱)”是Facebook公司申请的服务商标。“名称空间”可以被认为是为该名称空间中包含的项目提供上下文的抽象容器。如在这里所使用的，“控件”是指需要将其自身绑定到名称空间的应用。本发明的示例性实施例涉及所有类型的应用，包括但不限于网络应用和控件。网络应用(控件)与网页之间的一个主要区别在于，控件通常安装在设备上，并且在设备上本地地执行。另一方面，从网络服务器将网页下载到设备，并且然后在设备上本地地执行。在前一种情况下，控件通常在网络运行时或类似环境中执行，并且在后一种情况下，则在网络浏览器中执行控件。根据本发明的示例性实施例，提供了一种为控件提供“起源(origin)”的技术。在控件获得被验证的起源之后，正常的浏览器原则可以开始起作用，并且可以使用现有的规范。从谷歌安卓(Google Android)得知,在移动设备内部沙箱(sandbox)系统基于自己产生的密钥(但是没有执行URL绑定)的情况下，可以有自签名的名称空间/身份。从谷歌地图(Google Maps)得知，API将API_key (API_密钥)绑定到自己产生的应用证书，但是在这种情况下，是由谷歌地图服务器来执行“网站来路(ReferreiTIP API_key之间的检查。ClaimID提供最终用户可以通过证明用户具有对互联网上的网页的访问权来“要求(claim)”该网页。这是由Claimid服务器实现的，Claimid服务器指示最终用户将特定标识符添加到该用户的网页中，并且然后该服务器检查是否存在该标识符。用于控件的W3C数字签名定义了如何对控件进行签名。在HTML5中使用W3C交叉起源(cross-origin)资源共享来授权网页产生对其它域名/URL的Javascript调用。然而,这种技术不适用于控件。图6是示例了根据本发明的示例性实施例的方法的操作和计算机程序指令的执行结果的逻辑流程图。根据这些示例性实施例，一种方法，在框6A，在设备(例如UE10)上安装已签名的控件。利用私钥A (或公钥密码系统)对控件进行签名。在框6B，控件将其自己识别为特定域、名称空间或URI B的经授权的应用。在框6C，设备导出与私钥A形成密钥对的公钥的散列，并将其存储为“签名者身份A”。可替换地，设备可以直接使用密钥，或者其可以使用公钥证书的散列，或者其可以直接使用公钥证书。

在框6D，设备例如通过使用确定性函数map O (映射O )将URI B映射到URL B’，并向URL B’发出请求，以便取回被授权代表B来行动的“签名者身份”列表。如这里所使用的，确定性函数意味着每次以指定组的输入值调用该函数时，该函数返回相同的结果。例如，如果URI B 是“com. bar. foo. applicationl”,该映射可以返回 “https://foo. bar. com/auth. 1st”,或者如果 URI B 是“www. foo. bar. com#applicationl ”，另一个映射可以返回“https://foo. bar. com/auth. 1st”。从示例性实施例的观点来看，映射的具体细节是不重要的，只要映射至少展现下述属性即可1)该映射是公知的；2)该映射是确定性的；以及3)该映射产生可以用于取回身份列表的URL。一个附加的可选属性是该map O促进人们从URI B确定URL B’的域部分。在框6E，设备检查从B’取回的列表中是否有“签名者身份A”。如果有，则该应用被授权以与B相同的特权来行动，否则该应用不被授权以与B相同的特权行动。以这种方式，已签名的控件能够要求名称空间、域或URL的所有权，并且因此示例性实施例的所述方面提供将控件映射到域的技术。对于示例性实施例的操作而言，控件是自签名的还是由被鉴定的代码签名密钥来签名的是不相关的。因此，虽然仅仅为了简化的目的，将接下来产生的描述指代自签名的情况，但是应当记住的是，控件还可以由被鉴定的代码签名密钥来签名。需要注意的是，可以使用W3C交叉起源资源共享规范，使得“起源”报头可包含该控件的“签名者身份”，并且服务器发回对具体的控件所允许的访问权限。就控件身份(签名者身份)被发送给服务器而言这是不同的，并且服务器以ACK或NACK来回复该请求。
示例性实施例的这一方面假定产生足够长的密钥对，使得其在没有中央名称/ID机构的情况下，是统计上全局唯一的。因此，可以假定自签名证书以某种高概率是唯一的(对于所需要的目的而言是充分唯一的)。作为第一个例子，在密钥产生步骤中，假定一些第三方产生密钥对(对于每个第三方而言，这可以执行一次)。在开发步骤中，由用私钥对控件进行签名的第三方开发自签名的控件。第三方包括控件安装包中的自签名证书。自签名证书包含对应的公钥，并且利用私钥对自签名证书进行签名。控件还识别其自身为域或URL的经授权的应用。这一信息可以嵌入在控件安装包中，或者其可以是自签名证书的一部分(例如，可分辨名称(distinguished name)的通用名称)，或者其可以是在运行时期间动态请求的。在分发步骤中，第三方或者独立地控制域/URL，或者与控制在先前的步骤中识别的域/URL的另一方具有协定。然后，直接使用在先前步骤中识别的公钥，或用合适的散列函数将该公钥散列，以形成标识符。将该标识符添加到所讨论的域/URL的预定义的资源中。在域的例子(any. domain, com)中，这可以从URL:http://any. domain, com/auth. 1st 获取，或者可替换地在 URL (http://any. domain, com/servicel/startwiththis. html)中获取，或者这可以从URL http://any. domain, com/servicel/auth. 1st 获取。在任何情况下，当实体获得这些资源中的一项时，“auth. 1st”将包含所有经授权的标识符。在安装步骤中，并且当最终用户安装自签名控件时，其将首先检查控件的所述签名是否正确，以及检查该自签名控件是否正确。然后，其按与在分发步骤中所进行的相同的方式来构造标识符，并且使该控件与所构造的标识符相关联。其还检查控件是否要求控件安装包中的资源，并且如果要求，其通过从对应的域和URL资源(auth. 1st)取回标识符列表来验证该要求，并且检查资源中是否存在该标识符。如果有，则对该要求予以授权。如果没有，则对该要求不予 以授权。注意的是，也可以在运行时期间验证所述要求。在运行时步骤中，并且当最终用户使用控件时，设备基于早先获得的要求向控件准许使用权限。设备还可以通过再一次取回资源auth. 1st来重新验证现有的要求。这种技术可以用于撤销控件的权限。在控件于运行时期间动态地要求资源的情况下，设备还可以验证动态要求。需要注意的是，设备可以检查控件在安装之后没有被修改，或者控件仅被该控件要求的资源修改过。例如，只有控件开发者才可以修改控件，并且另一方尝试对控件进行的任何修改应当被阻止。关于资源要求的生命周期，设备有责任执行关于如何管理资源要求的生命周期的策略。作为一个例子，可以在每当控件启动时验证所有的资源要求，或者每次使用资源时进行验证，或者周期性地(例如每24小时)进行验证，或者可以由“期满(Expires)”HTTP报头启动期满功能来进行验证，以上作为几个非限制性的例子。因此，服务器可以动态地控制生命期。资源列表可以额外地提供对控件更精细粒度的访问控制。例如，资源列表可以指示对资源(例如网络位置、联系人)的读取访问、写入访问、和/或执行访问。此外，作为例子，资源列表可以指示测量(例如位置、温度)的有限精确度。一般而言,应用可以是任何被签名或者可唯一地识别的应用。
作为另一个例子，上述自签名控件可以被授权使用特定NAF_ID (=URL)来产生GBA密钥。现在简要讨论NAF中NAF_ID授权的概念。参考图3，其中示出了 UE10、NAF20和BSF30，并且其示例了 NAF20作为由不同参与方操作的多个服务(服务1、服务2、……服务η)的主机的情形。在这个例子中，NAF20正在运行当业务请求GBA密钥时需要实施访问控制的单个服务器平台。假定NAF20包括NAF功能22，并且假定UElO包括GBA功能12。现在关于网络应用情况来讨论URL授权。在网络应用的情况下，应用被安装在设备上(例如UElO上)，并且因此没有与网页情形类似的用于处理URL授权的缺省机制(因为应用在UElO上本地运行)。因此，需要一种机制来执行URL授权。如上面所指出的，网页应用可以被数字签名。在这种情况下，网络应用的签名者可以具有已被证书授权机构(CA)认证的签名密钥，即该签名者具有来自CA的有效证书，或者该签名密钥伴随有自签名证书。对于网络应用，可以建立多个信任级别，例如三个信任级别，并且取决于信任级别，网络应用可以具有一个或多个与URL相关联的GBA密钥的访问权。信任级别2 :网络应用被数字签名，并且签名者具有来自CA的证书。另外，要么是CA自身要么是签名者在UElO中被标明为“可信任的”。在这种情况下，网络应用具有对GBA密钥的完全访问，即其可以请 求网络应用上下文中的任何GBA密钥。也就是说，总是使用网络应用Ua安全协议标识符。这种类型的网络应用典型地可以是由移动网络运行商或由设备供应商提供的。信任级别1:网络应用被数字签名，并且要么签名者具有来自CA的证书，要么签名者具有自签名证书，并且签名者和CA在UElO中都没有被标明为“可信任的”。在这种情况下，UElO控制对GBA密钥的访问。当具有信任级别I的网络应用访问GBA密钥时，UElO通过向由URL所识别的服务器发出请求来验证该请求，然后检查对应的网络应用是否被授权获得所关注的GBA密钥。如果被准许访问，则将GBA密钥给予网络应用。这可以是一次性授予，其中每次网络应用请求访问GBA密钥时，UElO都连同服务器来验证该请求；或者其也可以是总括准许(blanket grant),其中任何后续的GBA密钥请求被自动准许。下面将进一步详细描述这一过程。这种类型的网络应用典型地可以是由第三方提供的，该第三方还操作与移动网络运营商有协议的第三方NAF (即正被访问的服务器)。信任级别O :网络应用没有被数字签名。在这种情况下，网络应用不被给予对GBA密钥的访问。要注意的是，也可以由网络应用使用上面描述的URL整理(trimming)，这是因为网络应用可能额外地需要产生更通用(generic)的GBA密钥。图5示出了描述UElO验证对GBA密钥的网络应用请求的过程的序列流示例。该示例性序列流如下。1.网络应用16(例如控件)执行Javascript，并且到达需要从平台服务器获得GBA密钥的点。网络应用16向平台服务发出请求，指出其需要GBA密钥的URL。假定平台应用包括GBA功能12。2. GBA功能12接收对基于网络应用的GBA密钥的请求。GBA功能12首先检查该网络应用是否被允许获得对特定GBA密钥的访问。在这个例子中，GBA功能12发现网络应用与上述信任级别2相关联，并且需要来自服务器20的授权。3. GBA功能12发出对该网络应用所提供的URL的HTTP GET请求。GBA功能12在该URL上附上后缀gba”以向服务器20指示这是对允许获得用于这一特定URL的GBA密钥的经授权的网络应用列表的请求。4.服务器(NAF) 20接收对授权网络应用列表的请求。服务器20处理该请求，并且从例如与该服务器20相关联的策略数据库(DB)24获得经授权的网络应用列表。该经授权的网络应用列表包含例如公钥的散列。5.服务器(NAF)20向UElO的GBA功能12返回公钥散列的列表(经授权的网络应用列表)。6. GBA功能12对照网络应用签名者的公钥来检查公钥散列的列表。如果在经授权的网络应用列表中发现签名者的公钥散列，那么GBA功能12允许访问GBA密钥，并且按如下方式导出密钥Ks_ (ext)_NAF=KDF (Ks，〃gba_me〃，RAND，MPI，NAF_Id)，其中 NAF_Id是与用于该网络应用上下文的新Ua安全协议标识符连接的URL。7.将所导出的GBA密钥和B-TID返回给网络应用16。网络应用16实际如何与服务器(NAF) 20 一起使用GBA密钥是因网络应用而异的，并且可以采用大量不同的形式。应当注意的是，可以对上面参考图5描述的示例性会话流做出许多修改。例如，在步骤3中，GBA功能12可以向服务器(NAF)20发送签名者的公钥的散列，并且服务器20自身可以检查签名者是否被授权获得对GBA密钥的访问。然后在步骤5中服务器根据检查结果返回例如“真”或“假”指示。此外，作为示例，在步 骤6中，如果被准许对GBA密钥的访问，则GBA功能12可以在UElO中标明签名者为“可信任的”。下一次相同的网络应用16发出对相同URL的GBA密钥的请求时，GBA功能12则可以立即导出并返回GBA密钥，从而跳过对步骤3_5的执行。一个被实现的技术效果是在设备上对应用进行动态授权的能力。另一个技术效果是不需要证书撤销。基于前述内容，应当清楚的是，本发明的示例性实施例提供了一种增强GBA的操作的方法、装置和计算机程序。图7是示例了进一步根据本发明的示例性实施例的方法的操作以及计算机程序指令的执行结果的逻辑流程图。根据这些示例性实施例，在框7A，一种方法执行将设备上安装的应用识别为特定域的经授权的应用，使用私钥对应用进行签名的步骤。在框7B，有使用与私钥形成密钥对的公钥导出签名者身份的步骤。在框7C，有将该特定域映射到另一个域的步骤。在框7D，有向该另一个域发出获得被授权代表该特定域来行动的签名者身份列表的请求的步骤。在方框7E，有确定该应用的签名者是否在该列表中的步骤；并且如果在，则授权该应用以与在该特定域中被准许的相同特权来行动。图6和7中示出的各个框可以被视为方法步骤、和/或视为由计算机程序代码的操作而导致的操作、和/或多个被构建以执行相关功能的耦接逻辑电路元件。进一步就这一点而言，可以进一步参考图4，其中示例了适用于实现上面描述的发明的示例性实施例的装置的简化框图。一般而言，UElO可以包括至少一个数据处理器15A，数据处理器15A与至少一个存储器15B相连接，存储器15B存储软件(SW)15C，软件15C被配置为执行根据上述示例性实施例的方面的方法和过程。在一些实施例中，SW15C可以包括图3所示GBA功能12的功能性。存储器15B还可以存储实现各种网络应用(app_l，app_2,…，app_n (应用1、应用2、……、应用η))的SW，并且可能还有实现网络浏览器15D的Sff0对于UElO是无线设备的情况，还提供至少一个被配置为提供与网络访问节点40 (例如基站)的无线连通性的无线收发器(例如射频或光收发器)。UElO经由网络访问节点40和网络42连接到NAF20和BSF30，继而它们通过相同或不同的网络彼此相连。NAF20可以包括至少一个数据处理器25Α，数据处理器25Α与至少一个存储器25Β相连接，存储器25Β存储SW25C，SW25C被配置为执行根据上述示例性实施例的方面的方法和过程，包括图3所示NAF功能22的功能性。还可以假定SW25C总体上满足在例如3GPP TS33. 220中描述的全部NAF功能性的要求。存储器25Β还可以存储实现各种服务(service_l, service_2,…，service_n(服务1、服务2、……、服务η))的SW。BSF30可以包括至少一个数据处理器35Α，数据处理器35Α与至少一个存储器35Β相连接，存储器35Β存储SW3C，SW3C被配置为执行根据上述示例性实施例的方面的方法和过程，并且总体上满足在例如3GPP TS33. 220中描述的全部BSF功能性的要求。总之，各示例性实施例可以以硬件或专用电路、软件、逻辑或它们的任何组合来实施。例如，一些方面可以以硬件来实施，而另一些方面则可以以可由控制器、微处理器或其它计算设备执行的固件或软件来实施，尽管本发明不限于此。尽管本发明的示例性实施例的各个方面可以作为方框图、流程图或使用其它图示表达来图解和描述，但是应当理解，这里描述的这些方框、装置、系统、技术或方法，作为不作限制的例子，可以以硬件、软件、固件、专用电路或逻辑、通用硬件或控制器或其它计算设备、或它们的某种组合来实施。

这些示例性实施例的进一步的方面是一种装置，该装置包括用于将设备上安装的应用识别为特定域的经授权的应用的部件，使用私钥对所述应用进行签名。该装置还包括用于使用与私钥形成密钥对的公钥导出签名者身份的部件，用于将该特定域映射到另一个域的部件，以及用于向该另一个域发出获得被授权代表该特定域来行动的签名者身份列表的请求的部件。该装置还包括用于确定该应用的签名者是否在该列表中的部件；并且如果在，则授权该应用以与在该特定域中被准许的相同特权来行动。应当理解，本发明的示例性实施例的至少一些方面可以以诸如集成电路芯片和模块的各种组件来实践，并且本发明的示例性实施例可以以具体实现为集成电路的装置来实现。该集成电路或电路可以包括用于具体实现可配置以根据本发明的示例性实施例进行操作的数据处理器、数字信号处理器、基带电路和射频电路中的至少一个或多个的电路(以及可能的固件)。如上面已清楚地说明，可以对本发明的前述示例性实施例做出各种修改和适应性改变，并且对于本领域技术人员而言，通过结合附图阅读前面的描述，其它修改和适应性改变将变得明显。然而，任何以及所有修改仍将落在本发明的不作限制的示例性实施例的范围中。应当理解，本发明的示例性实施例不限于与任何一种特定类型的无线通信系统一起使用，并且它们可以被用于在包括蜂窝和非蜂窝无线通信系统的多个不同的无线通信系统中处于优势。应当注意，术语“连接”、“耦接”或其任何变体的意思是指两个或更多个元素之间的任何连接或耦接方式，无论直接还是间接，并且可以包含在被“连接”或“耦接”在一起的两个元素之间一个或多个中间元素的存在。元素间的耦接或连接可以是物理上的、逻辑上的、或者它们的组合。如在这里所使用的，作为几个非限制性且非穷举性的例子，两个元素可以通过使用一个或多个导线、线缆和/或印刷电连接，以及通过使用电磁能量，例如具有射频范围、微波范围以及光波(可见及不可见)范围内的波长的电磁能量，而被认为“连接”或“稱接”在一起。此外，本发明的各个非限制性示例性实施例的一些特征可以用于在没有对其它特征的相应使用的情况下处于优势。如此，上面的描述应当被视为仅仅是对本发明的原理、讲述内容以及示例性实施 例的说明，而不是对其进行限制。
权利要求
1.一种方法，包括 将设备上安装的应用识别为特定域的经授权的应用，使用私钥来对所述应用进行签名； 使用与所述私钥形成密钥对的公钥来导出签名者身份； 将所述特定域映射到另一个域； 向所述另一个域产生请求，以获得被授权代表所述特定域来行动的签名者身份的列表; 确定所述应用的签名者是否在所述列表中；以及 如果在所述列表中，则授权所述应用按与在所述特定域中被准许的相同特权来行动。
2.根据权利要求1的方法，其中所述应用是自签名的，或者是由证书授权机构签名的中的一个。
3.根据权利要求1的方法，其中在所述应用产生对资源的要求时产生所述请求。
4.根据权利要求1的方法，其中在每次所述应用启动时、或者在每次使用资源时、或者周期性地产生所述请求。
5.根据权利要求1的方法，其中明确地指定所述授权的生存期。
6.根据权利要求3的方法，其中将所述资源指定为被发送给网络应用功能的统一资源 定位符的一部分，其中统一资源定位符识别所述网络应用功能。
7.根据权利要求1的方法，其中映射包括使用确定性函数。
8.根据权利要求1的方法，其中导出签名者身份包括以下内容中的一项使用公钥的散列；或者直接使用公钥；或者使用公钥证书的散列；或者直接使用公钥证书。
9.根据权利要求1的方法，其中所述应用的安装包包括自签名证书，所述自签名证书包括公钥，其中利用与所述公钥形成密钥对的私钥来对所述自签名证书进行签名。
10.根据权利要求1的方法，其中所述应用被授权使用特定网络应用功能标识符，以生成通用自举架构密钥，所述特定网络应用功能标识符实现为特定统一资源定位符。
11.根据权利要求1的方法，其中响应于生成通用自举架构密钥的请求，从通用自举架构服务器向网络应用功能服务器发送所述公钥的散列，其中所述网络应用功能服务器确定所述应用的签名者是否被授权获得对所述通用自举架构密钥的访问，并且其中所述网络应用功能服务器向通用自举架构服务器返回取决于所述确定的结果的指示。
12.根据权利要求11的方法，还包括如果对所述通用自举架构密钥的访问被授权，则所述通用自举架构服务器标明所述应用的签名者为可信任的，使得当随后的请求发生时，通用自举架构服务器能够在不需要首先向网络应用功能服务器发送所述公钥的散列的情况下，导出并返回通用自举架构密钥。
13.根据权利要求1的方法，其中通过向服务器发送所述签名者身份，并且从服务器接收所述签名者身份是经授权的签名者身份或不是经授权的签名者身份的指示，来执行产生请求和确定。
14.根据权利要求1-13中任何一项的方法，作为由至少一个数据处理器对存储在计算机可读存储介质上的计算机程序指令的执行的结果来实现。
15.一种装置,包括 处理器；以及存储器，包括计算机程序代码，其中所述存储器和计算机程序代码被配置为利用所述处理器促使该装置至少进行 将设备上安装的应用识别为特定域的经授权的应用，使用私钥来对所述应用进行签名； 使用与所述私钥形成密钥对的公钥来导出签名者身份； 将所述特定域映射到另一个域； 向所述另一个域产生请求，以获得被授权代表所述特定域来行动的签名者身份的列表; 确定所述应用的签名者是否在所述列表中；以及 如果在所述列表中，则授权所述应用按与在所述特定域中被准许的相同特权来行动。
16.根据权利要求15的装置，其中所述应用是自签名的，或者是由证书授权机构签名的中的一个。
17.根据权利要求15的装置，其中在所述应用产生对资源的要求时产生所述请求。
18.根据权利要求15的装置，其中在每次所述应用启动时、或者在每次使用资源时、或者 周期性地产生所述请求。
19.根据权利要求15的装置，其中明确地指定所述授权的生存期。
20.根据权利要求17的装置，其中将所述资源指定为被发送给网络应用功能的统一资源定位符的一部分，其中统一资源定位符识别所述网络应用功能。
21.根据权利要求15的装置，其中该装置通过使用确定性函数来将所述特定域映射到所述另一个域。
22.根据权利要求15的装置，其中该装置导出签名者身份包括以下内容中的一项使用公钥的散列；或者直接使用公钥；或者使用公钥证书的散列；或者直接使用公钥证书。
23.根据权利要求15的装置，其中所述应用的安装包包括自签名证书，所述自签名证 书包括公钥，其中利用与所述公钥形成密钥对的私钥来对所述自签名证书进行签名。
24.根据权利要求15的装置，其中所述应用被授权使用特定网络应用功能标识符，以生成通用自举架构密钥，所述特定网络应用功能标识符实现为特定统一资源定位符。
25.根据权利要求15的装置，其中响应于生成通用自举架构密钥的请求，从通用自举架构服务器向网络应用功能服务器发送所述公钥的散列，其中所述网络应用功能服务器确定所述应用的签名者是否被授权获得对所述通用自举架构密钥的访问，并且其中所述网络应用功能服务器向所述通用自举架构服务器返回取决于所述确定的结果的指示。
26.根据权利要求25的装置，还包括如果对所述通用自举架构密钥的访问被授权，则所述通用自举架构服务器标明所述应用的签名者为可信任的，使得当随后的请求发生时，通用自举架构服务器能够在不需要首先向网络应用功能服务器发送所述公钥的散列的情况下，导出并返回通用自举架构密钥。
27.根据权利要求15的装置，其中通过向服务器发送所述签名者身份，并且从服务器接收所述签名者身份是经授权的签名者身份或不是经授权签名者身份的指示，来执行产生请求和确定的操作。
全文摘要
一种方法，包括将设备上安装的应用识别为特定域的经授权的应用，使用私钥对所述应用进行签名(7A)；使用与该私钥形成密钥对的公钥导出签名者身份(7B)；使用确定性函数映射将该特定域映射到另一个域(7C)；向该另一个域发出获得被授权代表该特定域来行动的签名者身份的列表的请求(7D)；确定该应用的签名者是否在该列表中，并且如果在该列表中，则授权该应用按照与在该特定域中被准许的相同特权来行动(7E)。还公开了用于执行该方法的装置和计算机程序。
文档编号H04L29/12GK103069742SQ201180035136
公开日2013年4月24日 申请日期2011年4月13日 优先权日2010年5月18日
发明者P·J·莱蒂宁, N·阿索坎, A·帕尔塔宁 申请人:诺基亚公司