CN108353259B - 对匿名化网络服务利用进行计费记录鉴别的方法和装置 - Google Patents
对匿名化网络服务利用进行计费记录鉴别的方法和装置 Download PDFInfo
- Publication number
- CN108353259B CN108353259B CN201580084833.3A CN201580084833A CN108353259B CN 108353259 B CN108353259 B CN 108353259B CN 201580084833 A CN201580084833 A CN 201580084833A CN 108353259 B CN108353259 B CN 108353259B
- Authority
- CN
- China
- Prior art keywords
- network node
- charging
- key material
- service
- specific key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M15/00—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
- H04M15/41—Billing record details, i.e. parameters, identifiers, structure of call data record [CDR]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M15/00—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
- H04M15/04—Recording calls, or communications in printed, perforated or other permanent form
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M15/00—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
- H04M15/04—Recording calls, or communications in printed, perforated or other permanent form
- H04M15/06—Recording class or number of calling, i.e. A-party or called party, i.e. B-party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M15/00—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
- H04M15/48—Secure or trusted billing, e.g. trusted elements or encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M15/00—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
- H04M15/83—Notification aspects
- H04M15/85—Notification aspects characterised by the type of condition triggering a notification
- H04M15/857—Cumulative charges
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M17/00—Prepayment of wireline communication systems, wireless communication systems or telephone systems
- H04M17/10—Account details or usage
- H04M17/103—Account details or usage using SIMs (USIMs) or calling cards
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/24—Accounting or billing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
对匿名化网络服务利用进行计费记录鉴别的方法和装置。用户装置(10)确定服务特定的密钥材料和计费特定的密钥材料。用户装置(10)确定计费记录,其指示由订户的网络服务的使用以及基于计费特定的密钥材料将计费记录与第一鉴别信息关联。用户装置(10)生成至少一个消息,其包含计费记录和所关联的第一鉴别信息。用户装置(10)基于服务特定的密钥材料将至少一个消息与第二鉴别信息关联。用户装置(10)将所述至少一个消息发送到第一网络节点(150),其不能够将计费特定的密钥材料或服务特定的密钥材料与订户的订户身份相联系。第一网络节点(150)从用户装置(10)接收至少一个消息和所关联的第二鉴别信息并且基于服务特定的密钥材料和第二鉴别信息鉴别所述至少一个消息。响应于鉴别所述至少一个消息,第一网络节点将计费记录和所关联的第一鉴别信息转发到第二网络节点(120)。第二网络节点(120)能够将计费特定的密钥材料与订户的订户身份相联系。第二网络节点(120)从第一网络节点(150)接收计费记录和所关联的第一鉴别信息并且基于计费特定的密钥材料和第一鉴别信息鉴别计费记录。响应于鉴别计费记录,第二网络节点(120)对网络服务的计费进行控制。
Description
技术领域
本发明涉及用于对网络服务的利用进行控制的方法以及对应的装置。
背景技术
在通信网络中,已知的是提供用于鉴别订户的机制。在如由3GPP(第三代合作伙伴计划)规定的移动通信网络中,例如已知的是将此类机制基于将用户设备(UE)(例如移动电话)与SIM(订户身份模块)关联。SIM通常含有身份和安全信息,其对应于存储在移动通信网络中(例如在HSS(归属订户服务器)或者类似的订户数据库中)的身份和安全信息。此类身份和安全信息通常仅对由订户预订的运营商操作的网络节点可访问。对于其它网络节点,为了安全和隐私原因,对身份和安全信息的访问通常被限制。因此,这些机制主要针对鉴别订户预订的运营商的通信网络内的订户。
另外,已知的是将此类机制用于鉴别通信网络内的订户,也用于相对于其它服务(例如不在通信网络的运营商的控制下的第三方服务)的鉴别。对应的技术的示例是如3GPPTS 33.220 V12.3.0 (2014-06)中规定的通用引导体系(GBA)。
GBA技术提供引导服务器功能(BSF),其通常由移动通信网络的运营商控制。BSF连接到运营商的HSS并且能够由向移动通信网络的订户提供网络服务的第三方(具体是由第三方操作的网络应用功能(NAF))接入。BSF使HSS免于由第三方的直接接入。NAF相对于来自订户的UE的消息来鉴别订户的UE。通常,由运行在UE上的某一应用生成这些消息以允许到所提供的网络服务的接入,并且NAF鉴别对于应用的这些消息。因此,NAF可充当应用的看门者,通常仅允许能够被鉴别的那些消息通过,即对其能够验证的是它们源自订户的UE。这些消息通常基于超文本传输协议(HTTP)和相关的网络技术,但是也能够使用其它协议或消息类型。
在通常的GBA鉴别规程中,当UE首先尝试通过发送HTTP请求经由NAF接入网络服务时,NAF通过拒绝该请求对UE指示需要GBA鉴别。然后UE可进行执行关于BSF的GBA引导鉴别规程。关于BSF的引导鉴别规程涉及的是首先UE和BSF首先在它们自己之间建立相互鉴别。在UE侧上,相互鉴别使用存储在SIM中的身份和安全信息。在BSF侧上,相互鉴别使用BSF从HSS中获得的身份和安全信息。通过在UE(可能在SIM的帮助下)和BSF两者中执行加密算法来执行相互鉴别。基于加密算法,UE和BSF也对通用加密密钥材料(称作Ks)达成一致。从该通用密钥材料,UE和BSF得出进一步加密密钥材料(称作Ks_NAF)。然后在UE再次尝试经由NAF接入网络服务时,Ks_NAF密钥材料由UE和NAF用于消息鉴别。UE通过基于Ks_NAF密钥材料将消息与鉴别信息关联来确认它的真实性,例如通过添加经由加密算法从Ks_NAF密钥材料中得出的鉴别信息以及之前接收的响应于对接入网络服务的失败尝试的鉴别挑战。
依据接收消息,NAF联系BSF以从BSF获得Ks_NAF密钥材料。与Ks_NAF密钥材料一起,BSF也可选地给NAF提供IP多媒体私有身份(IMPI)。基于Ks_NAF密钥材料以及通过执行如在鉴别消息时由UE执行的对应的算法,NAF能够鉴别消息,即验证来自UE的消息的真实性。
在GBA鉴别规程中,可能的是相对于NAF和操作NAF的第三方保持UE的匿名。在该情况中,提供网络服务的NAF和第三方将知道的是订户被鉴别,但是没有关于订户的身份的信息。这允许以匿名化的方式提供网络服务,而仍然保证订户实际被授权使用网络服务。为了达成匿名,可采用这样的方式执行引导鉴别规程:以上提及的BSF给NAF提供IMPI的选项不被使用。另外,UE不应该在向NAF传送的消息中显示订户身份。这例如涉及的是UE不使用它的真实身份发送“X-3GPP-Intended-Identity”HTTP报头。它应避免发送那个报头或者假定不相关的别名。当然,UE也应避免发送作为应用协议的部分的任何其它种类的识别信息,例如能够被追溯到订户身份的用户名。
然而,在以如以上概述的匿名化的方式提供网络服务时,对于网络服务的供应商对于网络服务的使用对订户计费不存在简明的方式:因为服务供应不能识别订户,服务供应商不能够对用户精确计费。虽然BSF知道订户的身份,而它不知道订户的网络服务的使用。BSF仅知道对于订户执行了GBA鉴别规程。然而,即使给第三方服务供应商提供该信息,其对于计费可能是不充分的,因为它不指示订户实际使用的网络服务或网络服务在什么程度上被使用,例如在持续时间、数据量或者服务级别方面。
因此,对于允许有效率地执行以匿名化的方式提供的网络服务的计费的技术存在需要。
发明内容
根据本发明的实施例,提供了一种对网络服务的利用进行控制的方法。根据所述方法,用户装置给订户提供到网络服务的接入。进一步地,用户装置确定服务特定的密钥材料。进一步地,用户装置确定计费特定的密钥材料。用户装置确定计费记录,其指示由订户的网络服务的使用。用户装置基于计费特定的密钥材料将计费记录与第一鉴别信息关联。进一步地,用户装置生成至少一个消息,其包括计费记录和所关联的第一鉴别信息。用户装置基于服务特定的密钥材料将所述至少一个消息与第二鉴别信息关联。进一步地,用户装置将所述至少一个消息和所关联的第二鉴别信息发送到网络节点,其不能够将计费特定的密钥材料和服务特定的密钥材料中的任何个与订户的订户身份相联系。
根据本发明的另外实施例,提供了一种对网络服务的利用进行控制的方法。根据所述方法,网络节点通过连接到网络节点的用户装置提供到网络服务的接入。进一步地,网络节点从用户装置接收至少一个消息以及与所述至少一个消息关联的第一鉴别信息。第一鉴别信息基于服务特定的密钥材料。所述至少一个消息包括计费记录和与计费记录关联的第二鉴别信息。计费记录指示由订户的网络服务的使用。第二鉴别信息基于计费特定的密钥材料。网络节点不能够将计费特定的密钥材料和服务特定的密钥材料中的任何个与订户的订户身份相联系。基于服务特定的密钥材料和第一鉴别信息,网络节点鉴别所述至少一个消息。响应于鉴别所述至少一个消息,网络节点将计费记录和所关联的第二鉴别信息转发到另外的网络节点,其能够将计费特定的密钥材料与订户的订户身份相联系。
根据本发明的另外实施例,提供了一种对网络服务的利用进行控制的方法。根据所述方法,网络节点确定与订户有关的计费特定的密钥材料。进一步地,网络节点从另外的网络节点接收计费记录和与计费记录关联的鉴别信息。计费记录指示由订户的网络服务的使用。鉴别信息基于计费特定的密钥材料。另外的网络节点不能够将计费特定的密钥材料与订户的订户身份相联系。基于计费特定的密钥材料和鉴别信息,网络节点鉴别计费记录。响应于鉴别计费记录,网络节点对网络服务的计费进行控制。
根据本发明的另外实施例,提供了一种用户装置。用户装置配置成给订户提供到网络服务的接入。进一步地,用户装置配置成确定服务特定的密钥材料。进一步地,用户装置配置成确定计费特定的密钥材料。进一步地,用户装置配置成确定计费记录,其指示由订户的网络服务的使用。进一步地,用户装置配置成基于计费特定的密钥材料,将计费记录与第一鉴别信息关联。进一步地,用户装置配置成生成至少一个消息,其包括计费记录和所关联的第一鉴别信息。进一步地,用户装置配置成基于服务特定的密钥材料,将所述至少一个消息与第二鉴别信息关联。进一步地,用户装置配置成将所述至少一个消息和所关联的第二鉴别信息发送到网络节点,其不能够将计费特定的密钥材料和服务特定的密钥材料中的任何个与订户的订户身份相联系。
根据本发明的另外实施例,提供了一种网络节点。网络节点配置成通过连接到网络节点的用户装置提供到网络服务的接入。进一步地,网络节点配置成从用户装置接收至少一个消息和与所述至少一个消息关联的第一鉴别信息。第一鉴别信息基于服务特定的密钥材料。至少一个消息包括计费记录和与计费记录关联的第二鉴别信息。计费记录指示由订户的网络服务的使用。第二鉴别信息基于计费特定的密钥材料。网络节点不能够将计费特定的密钥材料和服务特定的密钥材料中的任何个与订户的订户身份相联系。进一步地,网络节点配置成基于服务特定的密钥材料和第一鉴别信息,鉴别所述至少一个消息。进一步地,网络节点配置成,响应于鉴别所述至少一个消息,将计费记录和所关联的第二鉴别信息转发到另外的网络节点,其能够将计费特定的密钥材料与订户的订户身份相联系。
根据本发明的另外实施例,提供了一种网络节点。网络节点配置成确定与订户有关的计费特定的密钥材料。进一步地,网络节点配置成从另外的网络节点接收计费记录和与计费记录关联的鉴别信息。计费记录指示由订户的网络服务的使用。鉴别信息基于计费特定的密钥材料。另外的网络节点不能够将计费特定的密钥材料与订户的订户身份相联系。进一步地,网络节点配置成基于计费特定的密钥材料和鉴别信息,鉴别计费记录。进一步地,网络节点配置成,响应于鉴别计费记录,对网络服务的计费进行控制。
根据发明的另外实施例,提供了一种***。***包括用户装置、第一网络节点和第二网络节点。用户装置配置成给订户提供到网络服务的接入。进一步地,用户装置配置成确定服务特定的密钥材料。进一步地,用户装置配置成确定计费特定的密钥材料。进一步地,用户装置配置成确定计费记录,其指示由订户的网络服务的使用。进一步地,用户装置配置成基于计费特定的密钥材料,将计费记录与第一鉴别信息关联。进一步地,用户装置配置成生成至少一个消息,其包括计费记录和所关联的第一鉴别信息。进一步地,用户装置配置成基于服务特定的密钥材料,将所述至少一个消息与第二鉴别信息关联。进一步地,用户装置配置成将所述至少一个消息和所关联的第二鉴别信息发送到第一网络节点。第一网络节点不能够将计费特定的密钥材料和服务特定的密钥材料中的任何个与订户的订户身份相联系。第一网络节点配置成从用户装置接收所述至少一个消息和所关联的第二鉴别信息。进一步地,第一网络节点配置成基于服务特定的密钥材料和第二鉴别信息,鉴别所述至少一个消息。进一步地,第一网络节点配置成,响应于鉴别所述至少一个消息,将计费记录和所关联的第一鉴别信息转发到第二网络节点。第二网络节点能够将计费特定的密钥材料与订户的订户身份相联系。第二网络节点配置成从第一网络节点接收计费记录和所关联的第一鉴别信息。进一步地,第二网络节点配置成基于计费特定的密钥材料和第二鉴别信息,鉴别计费记录。进一步地,第二网络节点配置成,响应于鉴别计费记录,对网络服务的计费进行控制。
根据本发明的另外实施例,提供了一种例如以非暂态存储介质的形式的计算机程序或计算机程序产品,其包括要由用户装置的至少一个处理器执行的程序代码。程序代码的执行促使用户装置给订户提供到网络服务的接入。进一步地,程序代码的执行促使用户装置确定服务特定的密钥材料。进一步地,程序代码的执行促使用户装置确定计费特定的密钥材料。进一步地,程序代码的执行促使用户装置确定计费记录,其指示由订户的网络服务的使用。进一步地,程序代码的执行促使用户装置基于计费特定的密钥材料,将计费记录与第一鉴别信息关联。进一步地,程序代码的执行促使用户装置生成至少一个消息,其包括计费记录和所关联的第一鉴别信息。进一步地,程序代码的执行促使用户装置基于服务特定的密钥材料,将所述至少一个消息与第二鉴别信息关联。进一步地,程序代码的执行促使用户装置将所述至少一个消息和所关联的第二鉴别信息发送到网络节点,其不能够将计费特定的密钥材料和服务特定的密钥材料中的任何个与订户的订户身份相联系。
根据本发明的另外实施例,提供了一种例如以非暂态存储介质的形式的计算机程序或计算机程序产品,其包括要由网络节点的至少一个处理器执行的程序代码。程序代码的执行促使网络节点通过连接到网络节点的用户装置提供到网络服务的接入。进一步地,程序代码的执行促使网络节点从用户装置接收至少一个消息和与所述至少一个消息关联的第一鉴别信息。所述至少一个消息包括计费记录和与计费记录关联的第二鉴别信息。计费记录指示由订户的网络服务的使用。第二鉴别信息基于计费特定的密钥材料。网络节点不能够将计费特定的密钥材料和服务特定的密钥材料中的任何个与订户的订户身份相联系。进一步地,程序代码的执行促使网络节点基于服务特定的密钥材料和第一鉴别信息,鉴别所述至少一个消息。进一步地,程序代码的执行促使网络节点,响应于鉴别所述至少一个消息,将计费记录和所关联的第二鉴别信息转发到另外的网络节点,其能够将计费特定的密钥材料与订户的订户身份相联系。
根据本发明的另外实施例,提供了一种例如以非暂态存储介质的形式的计算机程序或计算机程序产品,其包括要由网络节点的至少一个处理器执行的程序代码。程序代码的执行促使网络节点确定与订户有关的计费特定的密钥材料。进一步地,程序代码的执行促使网络节点从另外的网络节点接收计费记录和与计费记录关联的鉴别信息。计费记录指示由订户的网络服务的使用。鉴别信息基于计费特定的密钥材料。另外的网络节点不能够将计费特定的密钥材料与订户的订户身份相联系。进一步地,程序代码的执行促使网络节点基于计费特定的密钥材料和鉴别信息,鉴别计费记录。进一步地,程序代码的执行促使网络节点,响应于鉴别计费记录,对网络服务的计费进行控制。
此类实施例和另外实施例的细节将从实施例的以下具体的描述中显而易见。
附图说明
图1示意地示出根据本发明的实施例的通信网络环境。
图2示出根据本发明的实施例的用于示出规程的信令图。
图3示出根据本发明的实施例的用于示出计费特定的密钥材料的得出的功能流程。
图4示出根据本发明的实施例的用于示出基于计费特定的密钥材料的获得的功能流程。
图5示出根据本发明的实施例的用于示出由UE的计费记录的处理的功能流程。
图6示出根据本发明的实施例的用于示出由NAF的消息的处理的功能流程。
图7示出根据本发明的实施例的用于示出由计费记录接收器(CRR)的计费记录的处理的功能流程。
图8示出根据本发明的实施例的用于示出方法的流程图,其可由用户装置实现。
图9示出根据本发明的实施例的用于示出用户装置的功能性的框图。
图10示出根据本发明的实施例的用于示出进一步方法的流程图,其可由网络节点实现。
图11示出根据本发明的实施例的用于示出网络节点的功能性的框图。
图12示出根据本发明的实施例的用于示出进一步方法的流程图,其可由另外的网络节点实现。
图13示出根据本发明的实施例的用于示出另外的网络节点的功能性的框图。
图14示意地示出根据本发明的实施例的用户装置的结构。
图15示意地示出根据本发明的实施例的网络节点的结构。
图16示意地示出根据本发明的实施例的另外的网络节点的结构。
具体实施方式
在下文中,将更详细地并参考附图解释根据本发明的示范性实施例的概念。所示出的实施例涉及通信网络中的网络服务的利用的控制。在如下面进一步示出的示例中,将假定的是通信网络是如3GPP规定的移动通信网络,以及移动通信网络的订户通过UE(例如移动电话或者与移动通信网络有连接性的其它种类的计算机装置)来接入网络服务。然而,要理解的是所示出的概念也可应用在其它种类的通信网络中和/或与其它种类的用户装置有关。
在所示出的概念中,假定的是UE连接到的网络节点控制到网络服务的接入。例如,该网络节点可从UE接收携带网络服务的用户业务的消息,或者将携带网络服务的用户业务的消息发送到UE。网络节点可将从UE接收的消息转发到另一网络节点,例如到执行应用(网络服务通过其被提供)的应用服务器。可由UE执行对应的应用。类似地,网络节点可将携带网络服务的用户业务的消息从应用服务器转发到UE。假定网络节点能够鉴别从UE中接收的消息,即能够验证消息的真实性。这可带有批准由订户的网络服务的使用的目的被完成。假定鉴别是以匿名化的方式被完成。那就是说,假定的是网络节点不能够从鉴别规程中使用的信息中推断订户身份,例如UE的IMPI。例如,这可通过拒绝网络节点对订户身份的访问来达成和/或通过以这样的方式执行鉴别规程来达成:对于能够从其中得出订户身份的信息的订户身份不被提供给网络节点。
为了能够实现计费网络服务,使用计费记录的鉴别。对于鉴别计费记录,使用与鉴别到网络节点的消息不同的其它密钥材料。特定地,尽管对于鉴别到网络节点的消息使用服务特定的密钥材料,但是对于鉴别计费记录使用计费特定的密钥材料。因此,在UE确定网络服务的使用时,它确定对应的计费记录并且基于计费特定的密钥材料,将计费记录与鉴别信息关联。UE然后将计费记录和所关联的鉴别信息包含进到网络节点的消息中。计费记录和鉴别信息可被包含进相同的消息中。例如,鉴别信息能够被包含在消息的头部段中,而计费记录能够被包含在消息的有效载荷段中。另外,鉴别信息和计费记录两者能够被包含在消息的有效载荷段中。在一些情形中,还可能的是,将计费记录和所关联的鉴别信息包含进不同的消息中。能够然后例如通过使用计费记录的哈希函数作为用于生成鉴别信息的基础,建立鉴别信息与计费记录的关联。UE然后基于服务特定的密钥材料将至少一个消息与另外的鉴别信息关联。依据接收消息,网络节点能够基于与其关联的鉴别信息和服务特定的密钥材料来鉴别消息。然而,因为网络节点不知道订户身份,所以它不能够将所述至少一个消息、与所述至少一个消息关联的鉴别信息、服务特定的密钥材料、计费记录、与计费记录关联的鉴别信息或者计费特定的密钥材料与订户身份相联系。如果所述至少一个消息被鉴别,则网络节点将计费记录和与其关联的鉴别信息转发到另外的网络节点,其能够将计费记录(特定地,用于鉴别计费记录的计费特定的密钥材料)与订户身份相联系。该另外的网络节点将在下文中也称作计费记录接收器(CRR)。另外的网络节点然后可对网络服务的计费进行控制,例如通过与移动通信网络的计费***交互。例如,另外的网络节点可将与订户身份关联的订户要被计费的指示发送到计费***。要被计费的量可取决于计费记录中包含的信息。进一步地,另外的网络节点也可给网络节点提供关于计费的批准的信息。例如,如果与计费***的交互显示该订户计费未被批准(例如由于订户缺乏配额),则另外的网络节点可对网络节点指示计费未被批准。网络节点然后可通过拒绝到网络服务的接入和/或通过发送指示网络服务的使用或计费未被批准的响应到UE来做出反应。
因此,在所示出的概念中,使用不同的密钥材料的鉴别的两阶段被使用。因为网络节点在鉴别规程中不需要使用计费特定的密钥材料,所以能够避免给网络节点提供从其中能够得出订户身份的信息的需要。
可例如基于如3GPP TS 33.220 V12.3.0 (2014-06)中规定的GBA技术来实现如以上概述的概念。在图1中示出了对应的情形的示例。特定地,图1示出GBA基础架构,其包含BSF 110和NAF 150。如示出的,BSF 110是移动通信网络100的基础架构的部分,然而NAF150不是移动通信网络100的部分。例如,NAF 150可通过因特网连接到移动通信网络100。在所示出的示例中,NAF 150连接到应用服务器(AS)160,其运行提供网络服务的应用。此外,图1示出连接到移动通信网络100的UE 10以及移动通信网络100的另外的基础架构,具体是CRR 120、计费***130和HSS 140。CRR 120可作为BSF 110的扩展、作为计费***130的扩展或者作为分离的元件被实现。根据由3GPP TS 33.220规定的GBA技术,称作Ua的接口将UE10连接到NAF 150,以及称作Ub的接口将UE 10连接到BSF 110。进一步地,称作Zn的接口将BSF 110连接到NAF 150,以及称作Zh的接口将BSF 110连接到HSS 140。
在图1的情形中,NAF 150对应于以上提及的网络节点,并且CRR 120对应于以上提及的另外的网络节点或CRR。进一步地,以上提及的网络节点服务特定的密钥材料可对应于如GBA技术中使用的Ks_NAF密钥材料。
在图1的情形中,在GBA引导鉴别规程中,通过与BSF 110的交互,例如基于从通用Ks密钥材料中得出Ks_NAF密钥材料,UE 10和NAF 150可获得服务特定的密钥材料,即Ks_NAF密钥材料。在用于得出Ks_NAF密钥材料的算法中,Ks_NAF密钥材料应用到的网络服务的身份可用作参数,其意味着Ks_NAF密钥材料是服务特定的并且Ks_NAF密钥材料不能够再使用于另一网络服务。以具体Ks_NAF密钥材料成功地验证的鉴别不仅验证订户是被鉴别的,还验证对于具体网络服务的鉴别。如3GPP TS 33.220中描述的,Ks_NAF密钥材料通常具有失效日期,本质上指示基于那个密钥材料的鉴别应被认为是有效的直到什么时候。依据Ks_NAF密钥材料失效,NAF 150拒绝到网络服务的接入并且UE 10不得不重复GBA引导鉴别规程以获得新的有效Ks_NAF密钥材料。Ks_NAF密钥材料通过引导事物标识符(B-TID)识别。B-TID是由BSF 110对于Ks_NAF密钥材料的每个集合生成的临时标识符。只要Ks_NAF密钥材料是有效的,它就是有效的。如果引导新的Ks_NAF密钥材料,则由BSF 110指派新的B-TID。
UE 10和CRR 120可从Ks_NAF密钥材料、订户身份(具体是IMPI)以及可选地其它参数中得出计费特定的密钥材料。然而,也可利用得出计费特定的密钥材料的其它方式。在下文中,计费特定的密钥材料也将称作Ks_X密钥材料。对于得出Ks_X密钥材料,可应用各种现有的算法,例如类似算法或者如GBA技术中使用的密钥得出功能(KDF)以从通用Ks密钥材料中得出Ks_NAF密钥材料。然而,也能够使用其它加密算法。UE 10然后使用Ks_X密钥材料来确定鉴别信息用于计费记录的鉴别,所述计费记录指示由AS 160(通过NAF 150)提供的网络服务的使用。计费记录可提供以下确认:订户愿意承受对于网络服务的计费。依据请求,例如由NAF 150或者主动地,例如响应于本地检测触发事件(诸如网络服务的使用的开始或结束),UE 10可确定计费记录和对于计费记录的鉴别信息。通过将计费记录与鉴别信息关联,UE 10确认网络服务的使用。
计费记录被假定是数据的集合,其能够具有各种格式和内容。在一些情况中,在计费记录中没有特定的内容需要被提供。例如,在一些情况中仅空计费记录的存在能够足够执行计费。例如,此类空计费记录可触发某个预定义的量的计费。在其它情况中,计费记录可包含更详细的信息,例如关于服务使用的信息,像持续时间、开始和结束时间、数据量、服务级别、服务名称、货币值、使用持续时间或诸如此类。在一些情形中,此类空计费记录也可对应于仅基于计费特定的密钥材料(例如数字签名或者摘要响应)鉴别信息,。该鉴别信息然后能够由CRR 120解释为计费记录。在一些情况中,计费记录也可包含B-TID。在一些情形中,可采用这样的方式选择计费记录的内容:简化内容到计费数据(如移动通信网络100中利用的)的映射/转换。在如由3GPP规定的移动通信网络的情况中,计费记录的内容能够例如适配于顺应或允许到符合如3GPP TS 32.200 V5.9.0(2005-09)和3GPP TS 32.240V12.6.0 (2014-12)规定的计费架构的计费数据(例如,如3GPP TS 32.299 V13.2.0(2015-09)中描述的计费数据)的简单转换。
可采用各种方式实现计费记录的确定。例如,能够按常规时间间隔、仅一次或者服务使用期间的固定量的次数、在网络服务的使用的结束、在网络服务的使用的开始或诸如此类来创建计费记录。能够由UE 10创建计费记录。备选地,能够首先由NAF 150或者应用服务器160创建计费记录,并且然后发送到UE 10以被修改或只鉴别。进一步地,能够由NAF150或者应用将创建计费记录的请求发送到UE 10。进一步地,UE 10能够从NAF 150或者应用服务器160请求要创建计费记录,其然后被发送到UE 10以用于鉴别以及可选地修改。在一些情形中,每次在UE 10已成功执行GBA引导鉴别之后,即每次它已获得用于接入网络服务的新Ks_NAF密钥材料时,它可创建、鉴别以及发送计费记录。
如果UE 10从另一实体接收计费记录,则UE 10也可检查计费记录的内容是否与UE10记录的计费数据匹配。例如服务使用的持续时间和/或由UE 10测量的数据量与计费记录的内容是否一致。
在Ks_X密钥材料的得出中包含IMPI(或者任何其它身份信息)保证只有带有IMPI(或其它识别信息)的知识的那些实体能够得出相同的Ks_X密钥材料。在所示出的情形中,这些元件是UE 10、BSF 110和CRR 120,但不是NAF 150、应用服务器160或者由第三方控制的任何其它实体。因此,通过使用从Ks_NAF密钥材料和IMPI得出的Ks_X密钥材料,能够保证的是只有带有对Ks_NAF密钥材料和IMPI的访问的实体能够达成计费记录的成功的鉴别。在图1的情形中,这些实体是BSF 110、CRR 120(其是在移动通信网络的运营商的控制下的节点)以及UE 10。尽管NAF 150知道Ks_NAF密钥材料,它不知道IMPI。
UE 10然后经由Ua接口将计费记录和所关联的鉴别信息发送到NAF 150。为了该目的,UE 10将计费记录包含进给NAF 150的消息中,该消息基于Ks_NAF密钥材料与鉴别信息关联。该消息不仅包含计费记录和关联的鉴别信息,还包含用于提供Ks_NAF密钥材料的GBA引导鉴别规程中由BSF 110指派的B-TID。再一次,这可主动地或按请求完成。
依据从UE 10接收消息,NAF 150鉴别消息,其基于Ks_NAF密钥材料和与消息关联的鉴别信息完成。如果消息被鉴别,则NAF 150继续消息的处理。否则,能够丢弃消息并且还拒绝或中断网络服务的供应。在当前情况中,由NAF 150的消息的处理包含(但不限于)提取计费记录和关联的鉴别信息并且将计费记录和关联的鉴别信息转发到CRR 120。为了该目的,NAF 150可包含将计费记录和关联的鉴别信息进给CRR 120消息中。在所示出的示例中,假定的是该消息不仅包含计费记录和关联的鉴别信息,还包含用于提供Ks_NAF密钥材料的GBA引导鉴别规程中由BSF 110指派的B-TID。NAF 150也可对于一致性检查计费记录。例如,如果NAF 150将计费记录发送到UE 10以用于鉴别,则NAF 150可检查计费记录是否未变更,或者是否仅进行了容许的修改。进一步地,如果由UE 10创建计费记录,则NAF 150可检查计费记录的内容与如由NAF 150测量的计费数据(例如测量的数据量、服务使用的持续时间或诸如此类)是否一致。
注意在一些情形中,也能够将多个消息用于将计费记录以及它的关联的鉴别信息传递到NAF 150。例如,一个消息能够包含计费记录以及另外的消息能够包含与计费记录关联的鉴别信息。计费记录和鉴别信息的关联然后能够例如通过如下被建立:通过使用计费记录的哈希函数作为用于确定鉴别信息的输入被建立。
依据从NAF 150接收消息,CRR 120使用Ks_X密钥材料以及与计费记录关联的鉴别信息来鉴别计费记录,即验证计费记录的真实性是否由UE 10恰当地确认。
如果CRR 120能够鉴别计费记录,则它例如通过将计费事件指示发送到计费***来对订户触发对应量的计费。因为CRR 120从通过与BSF 110的交互获得Ks_X密钥材料的过程中知道订户身份(例如IMPI),它能够例如通过与计费记录和对应的IMPI一起传送的B-TID将计费记录与订户相联系。进一步地,CRR 120可主动或按请求对NAF 150(以并且因此也间接地对应用服务器160或网络服务的服务供应商)确认计费记录能够被鉴别和/或网络服务的计费对于订户被批准。CRR 120可数字签署或以别的方式确认该确认的真实性。NAF150、应用服务器160或由服务供应商控制的某一其它实体可保持在向CRR 120发送的计费记录中包含的信息的所接收的确认的记录,例如以具有移动通信网络的运营商欠服务供应商的钱的证明。例如,NAF 150或由服务供应商控制的某一其它实体可将此类信息存储在数据库中用于计费目的。NAF 150也可将从CRR 120接收的确认用于对网络服务的供应进行控制。例如,如果肯定确认了对于计费的批准的计费记录的鉴别,则NAF 150可例如通过将应用级别消息从UE 10转发到应用服务器160和/或通过将应用级别消息从应用服务器160转发到UE 10来继续供应网络服务。进一步地,如果指示了鉴别计费记录的失败和/或网络服务的计费未批准,则NAF 150可例如通过阻止来自UE 10或应用服务器160的应用级别消息和/或通过将失败指示发送到UE 10来停止供应网络服务。
如解释的,NAF 150或由第三方控制的任何其它实体将不能够获得计费记录的鉴别所需的Ks_X密钥材料。这进而意味着CRR 120能够确信与计费记录关联的鉴别信息源自UE 10。NAF 150进而能够确信它从正确的订户接收了计费记录,因为计费记录在基于Ks_NAF密钥材料的恰当鉴别的消息中被接收。
如以上提及的,CRR 120能够被提供为对BSF 110的扩展,其可允许简化造成的体系,因为在NAF 150和CRR 120之间没有分离的接口需要被建立。而是,在这样的情况中能够增强Zn接口以支持NAF 150和CRR 120之间的通信,如下面进一步详述的。例如,能够增强如在Zn接口上支持的现有的消息以也携带计费记录。进一步地,能够通过再使用如对于Zn接口规定的现有的机制来以有效率的方式保护NAF 150和CRR 120之间的通信。进一步地,对于来自BSF 110的B-TID的Ks_NAF密钥材料的获得能够与计费记录的传送以及计费记录的传送的响应组合。在提供CRR作为分离元件时,专用接口可被提供用于支持NAF 150和CRR120之间以及还有BSF 110和CRR 120之间的通信。
图2示出基于如以上描述的概念的规程的示例。图2的规程涉及UE 10、BSF 110、CRR 120、HSS 140和NAF 150。图2的规程可例如在订户通过UE 10和NAF 150开始使用网络服务时被执行。
图2的规程中,UE 10初始将请求201发送到NAF 150。请求201可例如具有发起网络服务的会话的目的。在所示出的情形中,NAF 150以指示服务的使用未被批准并且需要GBA引导鉴别的响应202来响应于对它的请求。
UE 10然后通过将请求203发送到BSF 110来发起GBA引导鉴别。请求203包含订户的订户身份,具体是IMPI。依据接收请求203,BSF 110与HSS 140交互以便获得GBA引导鉴别规程中需要的订户和安全信息。在所示出的示例中,该交互涉及BSF 110将请求204发送到HSS 140并且从HSS 140接收回答205。请求204可例如对应于指示IMPI的多媒体鉴别请求,并且回答205可例如对应于如3GPP TS 33.220中提及的多媒体鉴别回答。
BSF 110然后将响应206发送到UE 10,指示请求203未被批准并且需要关于BSF110摘要鉴别。如例如3GPP TS 33.220中描述的,响应206可包含带有如RFC2617(1999年六月)中规定的参数的WWW-鉴别报头,例如带有如RFC 3310(2002年十二月)中描述的扩展。响应206可具体包含例如使用鉴别和密钥协定(AKA)一次密码生成机制的摘要挑战。基于存储在UE 10中的安全信息(例如,如通过UE 10的SIM提供的)以及摘要挑战中接收的数据,UE10演算摘要响应。它进一步从由SIM提供的数据以及摘要挑战中接收的数据演算Ks密钥材料。
UE 10将摘要响应包含进给BSF 110的另外的请求207中。在这种情况中,BSF 110能够基于包含在请求207中的信息鉴别UE 10并且将同意的响应208发送到UE 10。响应208包含用于该GBA引导鉴别的B-TID以及通常也包含该GBA引导规程中得出的密钥材料的生命期。使用Ks材料,UE 10然后能够得出Ks_NAF密钥材料以及将它用于鉴别对NAF 150的下一请求209。此时,UE 10也能够得出要用于鉴别由UE 10生成的计费记录的Ks_X密钥材料。
请求209包含从BSF 110接收的B-TID。如示出的,请求209可进一步包含指定到应用服务器160(未在图2中示出)的应用级别消息(MSG)。
依据接收请求209,NAF 150使用是B-TID以从BSF 110中获得Ks_NAF密钥材料。为了该目的,NAF 150将指示B-TID的请求210发送到BSF 110,其以指示Ks_NAF密钥材料的回答211来响应。为了保证匿名性,以这样的方式配置BSF 110:回答211不包含UE 10的IMPI或能够从其中得出订户身份的任何其他信息。使用该Ks_NAF密钥材料,NAF 150然后能够鉴别请求209。在所示出的示例中,假定的是NAF 150验证了请求209由UE 10恰当地鉴别,以及NAF 150然后通过将同意的响应212发送到UE 10继续进行。响应212也可包含来自应用服务器160的应用级别响应,例如包含由请求209中传递的应用级别消息请求的信息。
随后,订户可通过UE 10利用网络服务。在所示出的示例中,在某时,UE 10可生成或以别的方式确定计费记录(CR)。如以上解释的,UE 10,通过基于Ks_X密钥材料将它与鉴别信息关联确认计费记录的真实性,并且将计费记录和关联的鉴别信息包含进给NAF 150的另外的请求213中。UE 10通过基于Ks_X密钥材料将请求213与鉴别信息一起传送(例如基于Ks_X密钥材料的的摘要响应)来确认请求213的真实性。如示出的,请求213也包含基于Ks_X密钥材料与关联的B-TID。
依据接收请求213,NAF 150通过查找对于所接收的B-TID的Ks_NAF来鉴别请求213,并且然后使用基于Ks_X密钥材料检查与请求213关联的鉴别信息。在所示出的示例中,假定的是请求213由NAF 150成功鉴别,并且NAF 150因此通过从请求213中提取计费记录和关联的鉴别信息继续进行,并且将计费记录和关联的鉴别信息包含进给CRR 120的请求214中。
依据接收请求214,CRR 120使用基于Ks_X密钥材料的和与计费记录关联的鉴别信息鉴别随着请求214接收的计费记录。在所示出的示例中,假定的是CRR 120成功鉴别计费记录,CRR 120因此通过控制对应于由计费记录指示的信息的网络服务的计费来继续进行。例如,这可涉及向计费***130(未在图2中示出)发送计费事件指示。进一步地,CRR 120将同意的响应215发送到NAF 150。响应215可例如对NAF 150确认计费记录被成功鉴别。进一步地,响应215可对NAF 150确认对于网络服务的计费被批准。CRR 120可数字地签署或以别的方式确认响应215的真实性,例如使用从证书批准中获得的证明。响应于此类确认,NAF150可保持对计费记录和其中包含的信息的记录。如进一步示出的,NAF 150也可将同意的响应216发送到UE 10。响应216可例如对UE 10指示网络服务的计费被批准。作为响应,UE10可通过允许订户通过UE 10接入网络服务来继续。
在图2的规程中,UE 10和BSF 110之间、UE 10和NAF 150之际、BSF 110和NAF 150之间以及NAF 150和CRR 120之间传送的请求和响应可以是HTTP消息。例如,请求可对应于HTTP GET或HTTP POST消息,并且同意的响应可对应于HTTP OK消息。非同意的响应202和206可例如对应于HTTP错误消息,例如带有错误代码“401”。
图3示出功能流程,用于示意地示出用于Ks_X密钥材料的得出的规程300。规程300可由UE 10和CRR 120执行。
如示出的,规程300涉及Ks_NAF密钥材料310、IMPI 320和选择地其它KDF参数300被提供为对KDF 340的输入参数。如以上提及的,KDF 340可基于与用于从通用Ks密钥材料(如3GPP TS 33.220中规定的)得出Ks_NAF密钥材料310的KDF相同的或类似的加密算法。该KDF的使用具有的优点是它已经需要被实现以执行GBA鉴别,其意味着能够通过再使用已经存在的KDF以有效率的方式实现Ks_X密钥材料的得出。然而,也能够利用其它种类的KDF。可选地用作对KDF 340的输入的其它KDF参数330可例如包含于要被计费的网络服务关联的服务标识符。作为输出,KDF 340提供Ks_X密钥材料350。
要理解的是也能够利用得出Ks_X密钥材料350的其他方式。例如,它能够从Ks密钥材料或者从Ks密钥材料、Ks_NAF密钥材料或Ki密钥材料(其通常存储在UE 10的SIM上)中直接或间接得出的任何其它密钥材料中得出。
图4示出功能流程,用于示意地示出用于通过与BSF 110的交互获得Ks_X密钥材料的规程400。在UE 10已执行关于BSF 110的GBA引导鉴别规程之后,规程400可由CRR 120执行,并且在该GBA引导鉴别期间,BSF 110已将B-TID指派到通过该GBA引导鉴别获得的Ks_NAF密钥材料。
如示出的,在规程400中B-TID 410被提供给BSF 110。例如,CRR 120可将包含B-TID 410的消息420发送到BSF 110。基于B-TID 410,BSF 110识别对应的IMPI和Ks_NAF密钥材料。BSF 110可然后将包含识别的IMPI和Ks_NAF密钥材料的消息430发送到CRR 120。使用该信息作为输入,CRR 120然后可执行Ks_X得出规程300并且获得Ks_X密钥材料350作为输出。
在规程400的变形中,BSF 110能够实现Ks_X得出规程300并且将所获得的Ks_X密钥材料350发送到CRR 120。
图5示出功能流程,用于示意地示出用于通过UE 10处理计费记录510的规程。如示出的,如以上解释的Ks_NAF密钥材料310、Ks_X密钥材料350(如使用Ks_X得出规程300得出的)、B-TID 410和计费记录510用作规程的输入。
如由框520示出的,计费记录510基于Ks_X材料与鉴别信息(AI1)关联。各种机制可用于将计费记录510与鉴别信息关联。例如,计费记录510能够是使用Ks_X密钥材料作为签署密钥用于生成签名来加密签署的。与计费记录关联的鉴别信息然后可对应于签名。进一步地,计费记录510能够是使用Ks_X作为加密密钥至少部分被加密的。在那种情况中,成功的鉴别可对应于接收者处的成功的解密。对于执行加密,能够使用各种算法。例如,能够使用AES(高级加密标准)加密算法,其可以是有利的,因为它们在GBA技术中也用于其它目的。与计费记录关联的鉴别信息然后可对应于由加密生成的冗余信息。另一可能性将是要利用基于Ks_X密钥材料的摘要鉴别机制。与计费记录关联的鉴别信息然后可对应于摘要响应。
作为框520的输出,获得了与第一鉴别信息关联的计费记录,如通过框530指示的。在块540,生成包含计费记录510、所关联的鉴别信息和B-TID 410的消息。计费记录和所关联的鉴别信息能够被包含在消息的有效载荷段中。使用如3GPP TS 33.220中规定的GBA鉴别规程,消息基于Ks_NAF密钥材料310与鉴别信息(AI2)关联。与消息关联的鉴别信息可被包含在消息的报头段中。如通过框550示出的,UE 10然后经由Ua接口将消息和关联的鉴别信息发送到NAF 150,如通过消息560示出的。可采用与应用级别消息相同的方式发送消息560,然而用计费记录510和所关联的鉴别信息形成消息560的有效载荷。在一些情况中,计费记录和/或关联的鉴别信息也可与其它信息一起被发送到NAF 150,例如作为应用级别消息的部分、前置于、附属于或者***在应用级别消息中。
图6示出功能流程,用于示意地示出用于通过NAF 150的消息处理的规程。
如示出的,UE 10经由Ua接口将与鉴别信息关联的消息610传送到NAF 150。消息610可例如对应于图5的消息560。如通过框620示出的,NAF 150接收消息610和所关联的鉴别信息(AI2)。根据GBA鉴别规程,消息610包含由NAF 150提取的B-TID 630。进一步地,NAF150鉴别消息610。这在如通过GBA引导鉴别规程从BSF 110中获得的所关联的鉴别信息和Ks_NAF密钥材料的基础上被执行。如以上解释的,B-TID 630可由NAF 150用于从BSF 110中获得Ks_NAF密钥材料。可根据如3GPP TS 33.220中规定的GBA鉴别规程鉴别消息610。
如通过框640示出的,如果NAF 150不鉴别消息610,则消息610被丢弃,如通过框645示出的。否则,如果消息610被鉴别,则NAF 150进行检查消息610是否包含计费记录,如通过框650示出的。如果消息610不包含计费记录,则根据消息的内容处理消息610。例如,如果消息610包含到应用服务器160的应用级别消息,则NAF 150可将应用级别消息转发到应用服务器160。
如果消息610包含计费记录660,则NAF通过从消息610中提取计费记录660和关联的鉴别信息(AI1)来继续进行。如通过计费记录注册框670示出的,NAF 150然后可与B-TID630一起记录计费记录或来自其中的信息。如果计费记录660含有B-TID,并且如果计费记录660或者包含B-TID的计费记录660的部分没有被加密,则NAF 150也可验证来自UE 10的B-TID是否匹配在其下UE 10被NAF 150所知道的当前的B-TID或者以前被它所知道的B-TID。另外,对于计费记录660的任何非加密的部分,NAF 150能够验证所包含的内容数据是否匹配某准则。例如,如果NAF 150起初创建了计费记录660,并且然后将它发送到UE 10以用于鉴别,则NAF 150可检查由UE 10的计费记录的更改以及也检查是否容许这样的修改。
如通过框680示出的,NAF 150将消息690发送到CRR 120,消息690包含计费记录660和所关联的鉴别信息。如果计费记录含有B-TID,则NAF 150可将来自计费记录的B-TID包含到消息690中。如果计费记录不含有关于网络服务的使用的时间和持续时间,则NAF150可假定计费记录660属于网络服务的当前使用并且将当前使用的B-TID 630添加到消息690。如果计费记录含有关于网络服务的使用的时间的信息,则NAF 150可将B-TID或者甚至多个B-TID(其在使用的那个时间对于UE 10是有效的)添加到消息690。对于实现后者的功能性,NAF 150可建立映射到当前B-TID 630的B-TID的历史跟踪记录。在B-TID失效前,可通过让UE 10有规律地发送计费记录来避免B-TID的此类跟踪。
图7示出功能流程,用于示意地示出用于由CRR 120的消息处理的的规程。如示出的,NAF 150将包含计费记录和关联的鉴别信息的消息710传送到CRR 120。消息710可例如对应于图6的消息690。如通过框720示出的,CRR 120接收消息710和关联的鉴别信息(AI1)。
CRR 120然后从消息710中提取B-TID 730(或者在一些情况中,甚至多个B-TID)。CRR 120可缓存得出的每B-TID的Ks_X密钥材料,以便避免重复获得相同的Ks_X密钥材料。因此,如通过框740示出的,基于B-TID 730,CRR 120可首先检查它是否具有对于B-TID 730可用的现有的Ks_X密钥材料。如果这不是这种情况,则CRR 120执行如图4中示出的基于B-TID的Ks_X检索规程400以获得Ks_X密钥材料350。否则,CRR 120使用现有的Ks_X密钥材料,如通过框750示出的。
使用所关联的鉴别信息和对应于B-TID 730的Ks_X密钥材料,CRR 120然后鉴别消息710中接收的计费记录。鉴别计费记录的规程取决于所利用的鉴别机制。例如,如果鉴别信息基于关于Ks_X密钥材料签署计费记录,则鉴别计费记录的规程可涉及基于如在CRR120可用的Ks_X密钥材料来验证签名的有效性。进一步地,如果鉴别机制基于使用Ks_X密钥材料作为加密密钥来加密计费记录的至少部分,则鉴别计费记录的规程可涉及使用Ks_X密钥材料作为解密密钥来解密计费记录的加密的部分。进一步地,如果鉴别机制基于摘要鉴别,则鉴别计费记录的规程可涉及将Ks_X密钥材料用于检查对摘要挑战的响应。
如果由CRR 120的计费记录的鉴别的验证失败,则CRR 120丢弃计费记录,如通过框770指示的。CRR 120可然后将对应的否定应答发送到NAF 150。
如果CRR 120能够成功地鉴别计费记录,则它基于计费记录来对网络服务的计费进行控制。例如,CRR 120可将计费时间指示790发送到计费***130并且也给计费***130提供来自计费记录的信息,如框780示出的。为了该目的,CRR 120可通过使用消息710中指示的B-TID 730(或一些B-TID)识别订户。具体地,CRR 120可通过与BSF 110的交互确定与B-TID关联的IMPI,并且使用IMPI验证订户。如果消息710包含一个或更多历史B-TID,则CRR120可将历史B-TID中的一个或更多用于确定IMPI和识别订户。为了实现后者的功能性,CRR120可建立B-TID的历史跟踪记录。
响应于成功鉴别计费记录,CRR 120也可对NAF 150肯定应答鉴别的成功鉴别。响应于与计费***130的交互,CRR 120可备选地或附加地对NAF 150也肯定应答对于网络服务的计费的批准。在一些情况中,CRR 120与计费***130的交互也可显示对于网络服务的计费对于订户未被批准,例如因为订户超出配额。CRR 120然后可对NAF 150指示对于由订户的网络服务的使用的计费未被批准。
当对NAF 150肯定地或否定地指示计费的成功鉴别和/或批准时,CRR 120可对NAF150数字地签署或者以别的方式确认对应的消息的真实性。为了该目的,CRR 120可使用来自证书权威(CA)的证书,符合用于对于合法绑定签名证书提供的法律和规则。备选地,所涉及的各方(即服务供应商和移动通信网络的运营商)可就其它签名或鉴别规程达成一致。通过数字签署的确认NAF 150,并且因此服务供应商自动地接收对于网络服务的由运营商执行的计费的证据。该信息然后可用于演算由运营商对服务供应商欠的货币或者其它补偿。
为了对于对网络服务的计费进行控制,与计费***130的交互的各种方法是可能的。此类交互的细节也取决于移动通信***及其计费体系的实现。计费***130可基于标准化的或者专有的接口。能够在3GPP TS 32.200和3GPP TS 32.240中发现能够在CRR 120和计费***130之间使用的标准化的接口的示例。
例如,CRR 120能够装备有或者可以接入3GPP TS 32.240中规定的计费触发功能(CTF)。可以这样的方式配置CTF:计费记录的成功鉴别是用于CTF的触发事件。当被触发时,CTF可使用计费记录数据,并且取决于计费记录的内容、网络服务、CTF的配置和计费需要,可使用Rf或Ro接口给计费***130提供计费数据。例如,CTF可经由Rf接口联系计费数据功能(CDF)或者经由Ro接口联系线上计费功能(OCF)。根据3GPP TS 32.240,CDF可与CTF集成,CTF进而可集成在CRR中,或者它可以是分离的元件。类似的考虑关于OCF及其组件应用。为了简化CTF的操作,可有利的是以这样的方式设置计费记录的内容:能够在CTF的接口(例如Rf或Ro接口)上简单地使用它。例如,3GPP TS 32.299定义数据格式,其能够在对于这些接口规定的Diameter协议中使用,并且类似的数据格式也能够使用在计费记录中。
因此,为了实现以上描述的概念,可进一步用包含以下中的一个或更多的功能性增强支持GBA技术的UE:用于从Ks_NAF和它的IMPI中得出Ks_X密钥材料的功能性、用于创建指示UE当前在使用网络服务的计费记录的功能性、用于基于Ks_X密钥材料将计费记录与鉴别信息关联的功能性以及用于经由Ua接口将由GBA鉴别保护的消息中的计费记录和关联的鉴别信息发送到NAF的功能性。
进一步地,为实现以上描述的概念,可进一步用包含以下中的一个或更多的功能性来增强GBA技术的NAF:用于经由Ua接口接收带有计费记录和关联的鉴别信息的消息的功能性、用于从应用级别消息中分离此类消息的功能性、用于使用Ks_NAF密钥材料执行此类消息的GBA鉴别的功能性、用于从所接收的消息中提取计费记录和关联的鉴别信息的功能性、用于将计费记录和关联的鉴别信息发送到CRR的功能性、用于生成要发送到CRR的消息(其包含计费记录、所关联的鉴别信息和与计费记录一起接收的B-TID)的功能性、用于从CRR接收响应(例如肯定地或否定地应答对于网络服务的计费的批准或计费记录的鉴别)的功能性、用于保持计费记录或发送到CRR的其他信息的记录的功能性,以及用于保持从CRR接收的响应(例如肯定地或否定地应答对于网络服务的计费的批准或计费记录的鉴别)的记录的功能性。
进一步地,为了实现以上描述的概念,充当CRR的网络节点可被提供有包含以下中的一个或更多的功能性:用于从GBA技术的NAF接收包含计费记录和关联的鉴别信息的消息的功能性、用于从此类消息中提取计费记录和关联的鉴别信息的功能性、用于从此类消息中提取B-TID的功能性、用于对于对应的Ks_NAF密钥材料和IMPI使用B-TID查询GBA技术的BSF的功能性、用于从Ks_NAF密钥材料和IMPI得出Ks_X密钥材料的功能性、用于使用Ks_X密钥材料鉴别计费记录的功能性、用于与移动通信网络的计费***交互(例如通过按由计费***要求的创建和发送消息以及处理响应,具体是计费事件指示)的功能性、用于生成向NAF响应消息(例如肯定地或否定地应答计费记录的鉴别)的功能性以及用于确认此类响应消息(例如用从证书权威中获得的证书)的真实性的功能性。
图8示出流程图,用于示出控制通信网络的网络服务的利用的方法。图8的方法可被利用于实现用户装置(例如在移动通信网络的UE中,诸如UE 10)中的以上示出的概念。用户装置可例如对应于移动电话或具有蜂窝无线电网络连接性的计算机。如果使用了用户装置的基于处理器的实现,可通过用户装置的一个或更多处理器执行方法的步骤。在此类情况中,用户装置可进一步包括用于存储程序代码的存储器,所述程序代码在由处理器执行时,促使用户装置执行方法的步骤。
在步骤810,用户装置给订户提供到网络服务的接入。可由服务供应商(其与订户预订的通信网络的运营商不相同)提供网络服务。服务提供因此通常对由通信网络的运营商维护的订户数据不具有或具有受限的接入。特定地,对订户的订户身份的访问可不被订户所期望,即订户可想要以匿名化的方式使用网络服务,而不对服务供应商或者由服务供应商控制的网络节点显示订户身份(例如IMPI)。
在步骤820,用户装置确定服务特定的密钥材料。此类服务特定的密钥材料的示例是以上提及的Ks_NAF密钥材料。在步骤830,用户装置确定计费特定的密钥材料。此类计费特定的密钥材料的示例是以上提及的Ks_X密钥材料。
用户装置可从订户身份得出计费特定的密钥材料。在一些情形中,用户装置可从订户身份和服务特定的密钥材料中得出计费特定的密钥材料。在一些情形中,用户装置可从另一网络节点接收通用密钥材料并且从所接收的通用密钥材料得出计费特定的密钥材料和服务特定的密钥材料。此类其它网络节点可对应于GBA技术的BSF,并且通用密钥材料可对应于GBA技术中使用的Ks密钥材料。该其它网络节点可以能够将计费特定的密钥材料和服务特定的密钥材料与订户身份相联系。
在步骤840,用户装置确定指示由订户的网络服务的使用的计费记录,诸如计费记录510。为了该目的,计费记录可起初由用户装置创建。进一步地,计费记录可起初已由一些其它实体创建并且发送到用户装置,并且用户装置可通过处理从其它实体接收的计费记录(例如通过修改计费记录或只鉴别计费记录)确定计费记录。
在步骤850,用户装置基于计费特定的密钥材料将计费记录与第一鉴别信息关联。为了该目的,用户装置可添加鉴别信息到计费记录。然而,将鉴别信息与计费记录关联的其它方式也是可能的,例如使用计费记录的哈希函数作为输入以用于确定第一鉴别信息。用户装置可基于涉及签署关于计费特定的密钥材料的计费记录的鉴别机制来鉴别计费记录。在该情况中,第一鉴别信息可对应于从计费特定的密钥材料确定的数字签名。进一步地,用户装置可基于涉及关于计费特定的密钥材料的计费记录的至少部分的加密的鉴别机制来鉴别计费记录。在该情况中,第一鉴别信息可对应于由计费记录的加密生成的冗余信息。进一步地,用户装置可基于鉴别机制(其基于摘要鉴别)使用用于计算摘要挑战和对摘要挑战的响应的计费特定的密钥材料来鉴别计费记录。
在步骤860,用户装置生成包含计费记录和所关联的第一鉴别信息的至少一个消息。更特定地,可生成包含计费记录和所关联的第一鉴别信息两者的消息。进一步地,可生成包含计费记录的第一消息,以及可生成包含鉴别信息的第二消息。此类消息的每个消息也可包含其它信息,诸如与网络服务关联的应用级别消息。
在步骤870,用户装置基于服务特定的密钥材料将消息与第二鉴别信息关联。为了该目的,用户装置可将第二鉴别信息添加到在步骤870生成的消息。再一次,可使用各种种类的鉴别机制。在一些情形中,如果通信网络是如由3GPP规定的移动通信网络,则可按如3GPP TS 33.220中规格的GBA鉴别执行消息的鉴别。在这种情况中,第二鉴别信息可对应于摘要响应。与鉴别信息关联的此类消息的示例是请求213、消息560和消息610。
消息也可包含与计费特定的密钥材料和服务特定的密钥材料关联的标识符。例如,当使用GBA鉴别时,该标识符可对应于B-TID。
在步骤880,用户装置将所述消息和所关联的第二鉴别信息发送到网络节点。该网络节点可由网络服务的服务供应商控制或者和可参与将网络服务提供给用户装置,例如通过将网络服务的用户业务转发到用户装置和/或转发来自用户装置的网络服务的用户业务。因此,用户装置可将网络服务的用户平面业务发送到网络节点和/或从网络节点接收网络服务的用户平面业务。网络节点可例如对应于如3GPP TS 33.220中规定的GBA技术的NAF。
为了维护订户的匿名性,网络节点不能够将计费特定的密钥材料和服务特定的密钥材料中的任何和与订户的订户身份相联系。例如,这可通过拒绝网络节点对订户身份的访问和避免订户自己将订户身份显示给网络节点来达成。
在可选的步骤890,用户装置可从网络节点接收对在步骤880发送的消息的响应。响应可指示由订户的网络服务的使用被批准。备选地,响应可指示由订户的网络服务的使用未被批准。此类响应的示例是图2的响应216。
图9示出框图,用于示出根据图8的方法操作的用户装置900的功能性。如示出的,用户装置900可被提供有模块910,其配置成给订户提供到网络服务的接入,诸如结合步骤810解释的。进一步地,用户装置900可被提供有模块920,其配置成确定服务特定的密钥材料,诸如结合步骤820解释的。进一步地,用户装置900可被提供有模块930,其配置成确定计费特定的密钥材料,诸如结合步骤830解释的。进一步地,用户装置900可被提供有模块930,其配置成确定计费特定的密钥材料,诸如结合步骤830解释的。进一步地,用户装置900可被提供有模块940,其配置成确定指示由订户的网络服务的使用的计费记录,诸如结合步骤840解释的。进一步地,用户装置900可被提供有模块950,其配置成基于计费特定的密钥材料将计费记录与第一鉴别信息关联,诸如结合步骤850解释的。进一步地,用户装置900可被提供有模块960,其配置成生成包含计费记录和所关联的第一鉴别信息的至少一个消息,诸如结合步骤860解释的。进一步地,用户装置900可被提供有模块970,其配置成基于服务特定的密钥材料将至少一个消息与第二鉴别信息关联,诸如结合步骤870解释的。进一步地,用户装置900可配有模块980,其配置成将至少一个消息和所关联的第二鉴别信息发送到网络节点,诸如结合步骤880解释的。进一步地,用户装置900可以可选地被提供有模块990,其配置成从网络节点接收对至少一个消息的响应,诸如结合步骤890解释的。
注意的是,用户装置900也可包含用于实现如以上描述的其它功能性的另外的模块,诸如用于支持网络服务的使用的功能性、用于对于服务特定的密钥材料得出计费特定的密钥材料的功能性。
图10示出流程图,用于示出控制通信网络中的网络服务的利用的另外方法。图10的方法可用于实现网络节点中(例如在支持给用户装置的网络服务的供应的节点中)的以上示出的概念。可由网络服务的服务供应商来控制网络节点。网络节点可例如对应于GBA技术的NAF,诸如NAF 150。如果使用了网络节点的基于处理器的实现,则可通过网络节点的一个或更多处理器执行方法的步骤。在此类情况中,网络节点可进一步包括用于存储程序代码的存储器,所述程序代码在由处理器执行时,促使网络节点执行方法的步骤。
在步骤1010,网络节点通过连接到网络节点的用户装置提供到网络服务的接入。用户装置可例如对应于移动通信网络的UE(诸如UE 10,例如移动电话)或具有蜂窝无线电网络连接性的计算机。网络节点可通过传送网络服务的用户业务(例如通过转发网和/或来于用户装置的网络服务的用户业务)来给用户装置提供网络服务。
在步骤1020,网络节点从用户装置接收至少一个消息和与消息关联的第一鉴别信息。此类消息的示例在以上提及的消息213、560和610中。第一鉴别信息基于服务特定的密钥材料。至少一个消息包含计费记录和与计费记录关联的第二鉴别信息。计费记录指示由订户的网络服务的使用。此类计费记录的示例是以上提及的计费记录510。与计费记录关联的第二鉴别信息基于计费特定的密钥材料。
可从订户身份得出计费特定的密钥材料。具体地,可从订户身份和服务特定的密钥材料得出计费特定的密钥材料。此类计费特定的密钥材料的示例是以上提及的Ks_X密钥材料。此类服务特定的密钥材料的示例是以上提及的Ks_NAF密钥材料。
网络节点可从另一网络节点接收服务特定的密钥材料。在一些情形中,在步骤1020接收的消息可包含标识符并且网络节点可基于标识符来接收服务特定的密钥材料。例如,如果由基于Ks_NAF密钥材料的GBA鉴别保护消息,则对应于NAF的网络节点可基于消息中包含的B-TID从BSF(诸如BSF 110)获得Ks_NAF密钥材料。
为了维护订户的匿名性,网络节点不能够将计费特定的密钥材料和服务特定的密钥材料中的任何个与订户的订户身份相联系。例如,这可通过拒绝网络节点到订户身份的访问以及避免订户自己将订户身份显示给网络节点来达成。
在步骤1030,网络节点鉴别在步骤1020接收的消息。这可基于服务特定的密钥材料和与消息关联的第一鉴别完成。为了该目的,网络节点可检查包含的第一鉴别信息并且将它与从服务特定的密钥材料上本地地得出的信息相比。验证规程的细节可取决于所利用的鉴别机制。在一些情形中,如果使用了GBA鉴别,则可通过基于Ks_NAF密钥材料演算摘要响应来执行鉴别。
如通过步骤1040和分支“是”示出的,响应于鉴别消息,网络节点进行步骤1050并且将计费记录和所关联的第二鉴别信息转发到另外的网络节点,其能够将计费特定的密钥材料与订户的订户身份相联系。此类的另外的网络节点的示例是以上提及的CRR,具体是CRR 120。
如通过步骤1040和分支“否”示出的,响应于不鉴别消息,网络节点可进行步骤1045并且丢弃消息。
在一些情形中,网络节点也可执行一个或更多进一步的检查,例如所接收的计费记录是否正确地被格式化或者以别的方式一致,例如它是否与由网络节点测量的计费数据一致。在一些情况中,网络节点可已创建了计费记录并且将它发送到用户装置以用于鉴别和/或修改。网络节点然后可检查是否存在步骤1020接收的计费记录的修改以及是否容许此类修改。如果发现了不一致性或未容许的改变,则能够丢弃计费记录。
如通过可选的步骤1060示出的,网络节点也可从另外的网络节点接收响应。可签署响应或者可以别的方式由另外的网络节点确认它的真实性。响应可肯定地或否定地指示是否由另外的网络节点鉴别计费记录。备选地或此外,响应可肯定地或否定地指示网络服务的计费对于订户是否被批准。此类响应的示例是以上提及的响应215。基于响应,网络节点可记录计费记录或包含在计费记录中的信息。进一步地,响应也可用于控制由网络节点的网络服务的供应。例如,响应于网络服务的计费未被批准,网络节点可通过用户装置拒绝到网络服务的接入。
如通过可选的步骤1070示出的,网络节点也可将对步骤1020接收的消息的响应发送到用户装置。响应可指示由订户的网络服务的使用被批准。备选地,响应可指示网络服务由订户的使用未被批准。处理响应的示例是图2的响应216。取决于如在步骤1060从另外的网络节点接收的响应,可由网络节点确定响应的内容。
图11示出框图,用于示出根据图10的方法操作的网络节点1100的功能性。如示出的,网络节点1100可被提供有模块1110,配置成提供到网络服务的接入,诸如结合步骤1010解释的。进一步地,网络节点1100可被提供有模块1120,其配置成从用户装置接收至少一个消息和关联的第一鉴别信息,包含计费记录和关联的第二鉴别信息,诸如结合步骤1020解释的。进一步地,网络节点1100可被提供有模块1130,其配置成基于所关联的第一鉴别信息和服务特定的密钥材料鉴别所接收的消息,诸如结合步骤1030解释的。进一步地,网络节点1100可被提供有模块1140,其配置成响应于鉴别所接收的消息,将计费记录和关联的第二鉴别信息转发到另外的网络节点,诸如结合步骤1050解释的。进一步地,网络节点1100可以可选地被提供有模块1150,其配置成将对所接收的消息的响应发送到用户装置,诸如结合步骤1070解释的。
注意的是,网络节点1100也可包含用于实现以上描述的其它功能性的另外的模块,诸如用于获得服务特定的密钥材料的功能性或者取决于是否能够由另外的网络节点成功验证计费记录的鉴别来对网络服务的供应进行控制的功能性。
图12示出流程图,用于示出控制通信网络中的网络服务的利用的另外方法。图12的方法可用于实现网络节点中(例如在对网络服务的计费进行控制的节点中)的以上示出的概念。可由通信网络的运营商控制网络节点。网络节点可例如对应于以上提及的CRR,具体是CRR 120。如果使用了网络节点的基于处理器的实现,则可通过网络节点的一个或更多处理器执行方法的步骤。在这样的情况中,网络节点可进一步包括用于存储程序代码的存储器,所述程序代码在由处理器执行时,促使网络节点执行方法的步骤。
在步骤1210,网络节点确定与订户的订户身份有关的计费特定的密钥材料。网络节点因此能够将计费特定的密钥材料与订户的订户身份(与例如IMPI)相联系。
网络节点可从订户身份得出计费特定的密钥材料。具体地,网络节点可从订户身份和服务特定的密钥材料得出计费特定的密钥材料,诸如以上提及的Ks_NAF密钥材料。此类计费特定的密钥材料的示例是以上提及的Ks_X密钥材料。在一些情况中,网络节点也可从另一网络节点接收计费特定的密钥材料或者用于得出计费特定的密钥材料(诸如服务特定的密钥材料)的密钥材料。例如,如果通信网络支持GBA技术,则网络节点可从BSF(诸如BSF 110)获得Ks_NAF密钥材料,并且将所获得的Ks_NAF密钥材料用于得出计费特定的密钥材料,具体是Ks_X密钥材料。
在步骤1220,网络节点从另外的网络节点接收计费记录和与计费记录关联的鉴别信息。为了维护订户的匿名性,另外的网络节点不能够将计费特定的密钥材料与订户的订户身份相联系。例如,这可通过拒绝网络节点到订户身份的接入以及避免订户自己将订户身份显示给网络节点达成来。可由网络服务的服务供应商控制另外的网络节点。另外的网络节点可例如对应于GBA技术的NAF,诸如NAF 150。
计费记录指示由订户的网络服务的使用。此类计费记录的示例是以上提及的计费记录510。与计费记录关联的鉴别信息基于计费特定的密钥材料。
网络节点可与标识符一起接收计费记录。网络节点然后可将标识符用于将用于鉴别计费记录的计费特定的密钥材料与订户身份(例如IMPI)相联系。例如,标识符可标识如与订户身份一起用于得出计费特定的密钥材料的服务特定的密钥材料。在服务特定的密钥材料对应于如GBA鉴别中使用的Ks_NAF密钥材料时,标识符可对应于与Ks_NAF密钥材料关联的B-TID。在一些情况中,与计费记录一起接收的标识符也可由网络节点用于获得用于得出计费特定的密钥材的服务特定的密钥材料。
在步骤1230,网络节点鉴别计费记录。这基于计费特定的密钥材料和与所接收的计费记录关联的鉴别信息完成。为了该目的,网络节点可将与计费记录关联的鉴别信息与从计费特定的密钥材料本地地得出的信息相比较。验证规程的细节可取决于所利用的鉴别机制。例如,如果使用了基于将计费特定的密钥材料用于确定签名来签署计费记录的鉴别机制,则鉴别可涉及基于计费特定的密钥材料来检查计费记录的签名。进一步地,如果使用了基于使用计费特定的密钥材料作为加密密钥来加密计费记录的至少部分的鉴别机制,则鉴别可涉及使用计费特定的密钥材料作为解密密钥来解密计费记录的所加密的部分。成功的解密然后可解释为成功的鉴别。进一步地,如果使用了基于摘要鉴别的鉴别机制,则鉴别可涉及基于计费特定的密钥材料来演算对摘要挑战的响应。
如通过步骤1240和分支“是”示出的,响应于鉴别计费记录,网络节点进行步骤1250并且对网络服务的计费进行控制。这可涉及与通信网络的计费***的交互。例如,网络节点可生成计费事件指示(如通过可选的步骤1260指示的)和/或将来自计费记录的信息提供到计费***。网络节点也可与计费***检查网络服务的计费对于订户是否被批准。
如通过步骤1240和分支“否”示出的,响应于不鉴别计费记录,网络节点可进行步骤1245并且丢弃计费记录。
如通过可选的步骤1270示出的,网络节点也可发送对另外的网络节的响应。可签署响应,或者由网络节点以别的方式可确认响应的真实性。响应可肯定地或否定地指示计费记录是否被网络节点鉴别。备选地或此外,响应可肯定地或否定地指示网络服务的计费对于订户是否被批准。处理响应的示例是以上提及的响应215。
图13示出框图,用于示出根据图12的方法操作的网络节点1300的功能性。如示出的,网络节点1300可被提供有模块1310,其配置成确定计费特定的密钥材料,诸如结合步骤1210解释的。进一步地,网络节点1300可被提供有模块1320,其配置成从另外的网络节点接收计费记录和关联的鉴别信息,诸如结合步骤1220解释的。进一步地,网络节点1300可被提供有模块1330,配置成基于计费特定的密钥材料和与计费记录关联的鉴别信息来鉴别所接收的计费记录。进一步地,网络节点1300可被提供有模块1340,其配置成响应于鉴别所接收的计费记录而对网络服务的计费进行控制,诸如结合步骤1250解释的。进一步地,网络节点1300可以可选地被提供有模块1350,其配置成将计费事件指示和/或包含在计费记录中的信息发送到通信网络的计费***,诸如结合步骤1260解释的。进一步地,网络节点1300可以可选地被提供有模块1360,配置成发送对另外的网络节点的响应,诸如结合步骤1270解释的。
注意的是,网络节点1300也可包含用于实现如以上描述的其它功能性的另外的模块,诸如用于获得计费特定的密钥材料的功能性或者用于与通信网络的计费***交互的功能性。
要理解的是,也可在,图8、10和12的方法可被组合于包含根据图8的方法操作的用户装置、根据图10的方法操作的第一网络节点以及根据图12的方法操作的第二网络节点的***中。在此类***中,用户装置能够给订户提供到网络服务的接入、确定计费特定的密钥材料、确定服务特定的密钥材料、确定指示由订户的网络服务的使用的计费记录、基于计费特定的密钥材料将计费记录与第一鉴别信息关联、生成包含计费记录和所关联的第一鉴别信息的至少一个消息、基于服务特定的密钥材料将所述至少一个消息与第二鉴别信息关联以及将所述至少一个消息和所关联的第二鉴别信息发送到第一网络节点。第一网络节点能够从用户装置接收所述至少一个消息和所关联的第二鉴别信息、基于服务特定的密钥材料和第二鉴别信息鉴别至少一个消息以及响应于鉴别所述至少一个消息,将计费记录和所关联的第一鉴别信息转发到第二网络节点。第二网络节点能够从第一网络节点接收计费记录和所关联的第一鉴别信息、基于计费特定的密钥材料和第一鉴别信息鉴别计费记录以及响应于鉴别计费记录,对网络服务的计费进行控制。***的第一网络节点因此将对应于图8和10的方法的网络节点以及图12的方法的另外的网络节点。类似地,***的第二网络节点因此将对应于图10的方法的另外的网络节点以及图12的方法的网络节点。***中使用的第一鉴别信息将对应于图8的方法中使用的第一鉴别信息、图10的方法中使用的第二鉴别信息以及图12的方法中使用的鉴别信息。***中使用的第二鉴别信息将对应于图8的方法中使用的第二鉴别信息以及图10的方法中使用的第一鉴别信息。
图14示出可用于实现用户装置1400中的以上概念的示范性结构。例如,用户装置1400可对应于移动通信网络的UE,诸如UE 10。
如示出的,用户装置1400可包含用于接入通信网络的接入接口1410。如果用户装置1400对应于移动通信网络的UE,则接入接口1410可对应于无线电接口。然而,也能够利用其它接入技术并且接入接口1410可相应地被配置。为了支持与GBA技术的NAF交互,接入接口1410也可实现GBA技术的Ua接口。
进一步地,用户装置1400可包含耦合到接入接口1410的一个或更多处理器1450以及耦合到处理器1450的存储器1460。存储器1460可包含只读存储器(ROM)(例如闪存ROM)、随机存取存储器(RAM)(例如动态RAM(DRAM)或静态RAM(SRAM))、海量存储装置(例如硬盘或固态硬盘)或者诸如此类。存储器1460包含要由处理器1450执行以便实现用户装置的以上描述的功能性的适合地配置的程序代码。具体地,存储器1460可包含用于促使用户装置1400执行如以上描述的过程(例如对应于图8的方法步骤)的各种程序代码模块。
如示出的,存储器1460可包含用于实现给订户提供到网络服务的接入的以上描述的功能性(例如,如结合图8的步骤810解释的)的网络服务接入模块1470。进一步地,存储器1460可包含用于实现生成、处理、发送和接收消息的以上描述的功能性(诸如结合图8的步骤860、880和890解释的)的消息接发模块1480。消息接发模块1480的功能性也可包含用于确定或生成计费记录的功能性,诸如结合图8的步骤840解释的。进一步地,存储器1460可包含用于实现与计费记录或消息的鉴别有关的以上描述的功能性(诸如结合图8的步骤850、870解释的)的鉴别模块1490。
要理解的是,如图14中示出的结构仅是示意的并且用户装置1400实际可包含另外的组件(为了清晰起见,其未被示出),例如另外的接口或处理器。同样地,要理解的是存储器1460可包含另外的类型的程序代码模块(其未被示出),例如用于实现移动通信网络的UE的已知功能性的程序代码模块。根据一些实施例,计算机程序也可被提供用于实现用户装置1400的功能性,例如以物理介质的形式存储程序代码和/或要存储在存储器1460中的其它数据或通过使程序代码可用于下载或通过流传送。
图15示出示范性结构,其可用于实现网络节点1500中的以上概念。例如,网络节点1500可对应于GBA技术的NAF,诸如NAF 150。
如示出的,网络节点1500可包含用于连接到一个或更多用户装置(诸如UE 10)的客户接口1510。进一步地,网络节点1500可包含用于连接到提供网络服务的应用服务器(诸如应用服务器160)的服务器接口1520。如果网络节点1500对应于NAF,则客户接口1510可对应于Ua接口。
进一步地,网络节点1500可包含耦合到接口1510、1520的一个或更多处理器1550以及耦合到处理器1550的存储器1560。存储器1560可包含ROM(例如闪存ROM)、RAM(例如DRAM或SRAM)、海量存储装置(例如硬盘或固态硬盘)或者诸如此类。存储器1560包含要由处理器1550执行以便实现网络节点的以上描述的功能性的适合地配置的程序代码。具体地,存储器1560可包含用于促使网络节点1500执行如以上描述的过程(例如对应于图10的方法步骤)的各种程序代码模块。
如示出的,存储器1560可包含用于实现提供到网络服务的接入的以上描述的功能性(例如,如结合图10的步骤1010解释的)的网络服务供应模块1570。这可还包含与网络服务关联的消息的处理、接收和发送,诸如结合图10的步骤1020、1045和1070解释的。进一步地,存储器1560可包含用于实现与消息的鉴别的有关的以上描述的功能性(诸如结合图10的步骤1030解释的)的鉴别模块1580。进一步地,存储器1560可包含用于实现转发计费记录、记录此类计费记录或来自其中的信息或者接收和处理关于此类转发的计费记录的应答的以上描述的功能性(诸如结合图10的步骤1050、1060和1070解释的)计费管理模块1590。
要理解的是,如图15中示出的结构仅是示意的并且网络节点1500实际可包含另外的组件(为了清晰起见,其未被示出),例如另外的接口或处理器。同样地,要理解的是,存储器1560可包含另外的类型的程序代码模块(其未被示出),例如用于实现NAF或类似的网络节点的已知功能性的程序代码模块。根据一些实施例,计算机程序也可被提供用于实现网络节点1500的功能性,例如以物理介质的形式存储程序代码和/或要存储在存储器1560中的其它数据或通过使程序代码可用于下载或通过流传送。
图16示出示范性结构,其可用于实现网络节点1600中的以上概念。例如,网络节点1600可对应于CRR,诸如CRR 120。
如示出的,网络节点1600可包含用于连接到参与提供网络服务的网络节点(例如GBA技术的NAF,诸如NAF 150)的外部计费接口1610。进一步地,网络节点1600可包含用于连接到通信网络的计费***(诸如计费***130)的内部计费接口1620。内部计费接口1520可例如基于以上提及的Rf或Ro接口。
进一步地,网络节点1600可包含耦合到接口1610、1620的一个或更多处理器1650和耦合到处理器1650的存储器1660。存储器1660可包含ROM(例如闪存ROM)、RAM(例如DRAM或SRAM)、海量存储装置(例如硬盘或固态硬盘)或者诸如此类。存储器1660包含要由处理器1650执行以便实现网络节点的以上描述的功能性的适合地配置的程序代码。具体地,存储器1660可包含用于促使网络节点1600执行如以上描述的过程(例如对应于图12的方法步骤)的各种程序代码模块。
如示出的,存储器1660包含用于实现消息的处理、接收和发送的以上描述的功能性(诸如结合图12的步骤1220、1260和1270解释的)的消息接发模块1670。进一步地,存储器1660可包含用于实现涉及计费记录的鉴别的以上描述的功能性(诸如结合图12的步骤1230解释的)的鉴别模块1680。进一步地,存储器1660可包含用于实现处理计费记录、取决于接收的计费记录而控制计费、与计费***交互或者发送关于计费记录的鉴别的应答的以上描述的功能性(诸如结合图12的步骤1245、1250、1260和1270解释的)的计费管理模块1690。
要理解的是,图16中示出的结构仅是示意的并且网络节点1600实际可包含另外的组件(为了清晰起见,其未被示出),例如处理器的另外的接口。同样地,要理解的是,存储器1660可包含另外的类型的程序代码模块(其未被示出),例如用于实现计费有关的节点的已知功能性(诸如CTF或CDF)的程序代码模块。根据一些实施例,计算机程序也可被提供用于实现网络节点的功能性,例如以物理介质的形式存储程序代码和/或要存储在存储器1660中的其它数据或通过使程序代码可用于下载或通过流传送。
如能够看到的,以上描述的概念可用于有效率地计费以匿名化的方式提供的网络服务。更特定地,所示出的概念可用于提供机制,通过该机制,网络服务的服务供应商能够利用移动通信网络的计费机制来对于所提供的网络服务计费,而仍然相对于NAF 150、应用服务器160以及因此服务供应商维护订户的隐私。该机制可采用允许现有的GBA功能(例如用于提供或得出密钥材料的功能)的再使用的方式被实现。
以匿名的方式提供GBA鉴别的网络服务并且仍然对于服务计费是可能的。移动通信网络的基础架构机制可用于向订户执行计费和开账单,并且移动通信网络的运营商可将该可能性作为服务提供给网络服务的服务供应商。同时,计费记录的操纵能够通过基于计费特定的密钥材料的鉴别被防止。
通过在转发计费记录中涉及NAF,使NAF知道UE正提供计费数据的事实。该信息可由NAF用于例如决定是否应由NAF继续网络服务的供应。如果计费记录没有被加密而是仅被鉴别,则NAF还能够验证包含在计费记录中的计费数据的正确性。进一步地,通过将在计费规程中涉及NAF,NAF能够保持对于移动通信网络的运营商产生的计费的总量的记录,并且因此给服务供应商提供信息,所述信息能够用作用于确定要由运营商支付的报酬的基础。
要理解的是以上解释的示例和实施例仅是说明性的并且易受影响于各种修改。例如,所示出的概念可结合各种网络技术被应用,而没有对移动通信网络或如3GPP规定的移动通信网络的限制。进一步地,所示出的概念可结合各种种类的鉴别机制和网络服务被应用。此外,要理解的是,以上概念可通过使用要由现有的设备的一个或更多处理器执行的对应地设计的软件、或者通过使用专用的设备硬件被实现。
Claims (61)
1.一种对网络服务的利用进行控制的方法,所述方法包括:
用户装置(10;1400)给订户提供到网络服务的接入;
所述用户装置(10;1400)确定服务特定的密钥材料;
所述用户装置(10;1400)确定计费特定的密钥材料;
所述用户装置(10;1400)确定计费记录(510),所述计费记录指示由所述订户的所述网络服务的使用;
所述用户装置(10;1400)基于所述计费特定的密钥材料,将所述计费记录(510)与第一鉴别信息关联;
所述用户装置(10;1400)生成至少一个消息(213;560;610),所述至少一个消息包括所述计费记录(510;660)和所关联的第一鉴别信息;
所述用户装置(10;1400)基于所述服务特定的密钥材料,将所述至少一个消息与第二鉴别信息关联;以及
所述用户装置(10;1400)将所述至少一个消息(213;560;610)和所关联的第二鉴别信息发送到网络节点(150;1500),所述网络节点不能够将所述服务特定的密钥材料和所述计费特定的密钥材料中的任何个与所述订户的订户身份相联系。
2.根据权利要求1所述的方法,包括:
所述用户装置(10;1400)从所述订户身份得出所述计费特定的密钥材料。
3.根据权利要求2所述的方法,包括:
所述用户装置(10;1400)从所述订户身份和所述服务特定的密钥材料中得出所述计费特定的密钥材料。
4.根据权利要求1-3中的任一项所述的方法,包括:
所述用户装置(10;1400)从所述网络节点(150;1500)接收响应(216),所述响应(216)指示由所述订户的所述网络服务的使用被批准。
5.根据权利要求1-3中的任一项所述的方法,包括:
所述用户装置(10;1400)通过与另一网络节点(110)的交互来确定通用密钥材料;以及
所述用户装置(10;1400)从所述通用密钥材料得出所述计费特定的密钥材料和/或所述服务特定的密钥材料。
6.根据权利要求5所述的方法,
其中所述另一网络节点(110)是通用引导体系的引导服务器功能。
7.根据权利要求1-3中的任一项所述的方法,
其中所述至少一个消息(213;560;610)包含与所述计费特定的密钥材料和所述服务特定的密钥材料关联的标识符。
8.根据权利要求1-3中的任一项所述的方法,包括:
所述用户装置(10;1400)将所述网络服务的用户平面业务发送到所述网络节点(150;1500);以及
所述用户装置(10;1400)从所述网络节点(150;1500)接收所述网络服务的用户平面业务。
9.根据权利要求1-3中的任一项所述的方法,
其中所述网络节点(150;1500)对应于通用引导体系的网络应用功能。
10.根据权利要求1-3中的任一项所述的方法,包括:
所述网络节点(150;1500)从所述用户装置(10;1400)接收所述至少一个消息(213;560;610)和所关联的第二鉴别信息;
基于所述服务特定的密钥材料和所述第二鉴别信息,所述网络节点(150;1500)鉴别所述至少一个消息(213;560;610);以及
响应于鉴别所述至少一个消息(213;560;610),所述网络节点(150;1500)将所述计费记录(510)和所关联的第一鉴别信息转发到另外的网络节点(120;1300;1600),所述另外的网络节点能够将所述计费特定的密钥材料与所述订户身份相联系。
11.根据权利要求1-3中的任一项所述的方法,包括:
所述另外的网络节点(120;1300;1600)从所述网络节点(150;1500)接收所述计费记录(510;660)和所关联的第一鉴别信息;
基于所述计费特定的密钥材料和所述第一鉴别信息,所述另外的网络节点(120;1300;1600)鉴别所述计费记录(510);以及
响应于鉴别所述计费记录(510),所述另外的网络节点(120;1300;1600)对所述网络服务的计费进行控制。
12.一种对网络服务的利用进行控制的方法,所述方法包括:
网络节点(150;1500)通过连接到所述网络节点(150;1500)的用户装置(10;1400)提供到网络服务的接入;
所述网络节点(150;1500)从所述用户装置(10;1400)接收至少一个消息(213;560;610)和与所述至少一个消息(213;560;610)关联的第一鉴别信息,所述第一鉴别信息基于服务特定的密钥材料,所述至少一个消息(213;560;610)包括计费记录(510)和与所述计费记录关联的第二鉴别信息,所述计费记录(510)指示由订户的所述网络服务的使用,所述第二鉴别信息基于计费特定的密钥材料,并且所述网络节点(150;1500)不能够将所述服务特定的密钥材料和所述计费特定的密钥材料中的任何个与所述订户的订户身份相联系;
基于所述服务特定的密钥材料和所述第一鉴别信息,所述网络节点(150;1500)鉴别所述至少一个消息(213;560;610);以及
响应于鉴别所述至少一个消息(213;560;610),所述网络节点(150;1500)将所述计费记录(510)和所关联的第二鉴别信息转发到另外的网络节点(120;1300;1600),所述另外的网络节点能够将所述计费特定的密钥材料与所述订户的订户身份相联系。
13.根据权利要求12所述的方法,
其中所述计费特定的密钥材料从所述订户身份被得出。
14.根据权利要求13所述的方法,
其中所述计费特定的密钥材料从所述订户身份和所述服务特定的密钥材料被得出。
15.根据权利要求12到14中的任一项所述的方法,包括:
所述网络节点(150;1500)从另一网络节点(110)接收所述服务特定的密钥材料。
16.根据权利要求15所述的方法,
其中所述另一网络节点(110)是通用引导体系的引导服务器功能。
17.根据权利要求15所述的方法,
其中所述至少一个消息(213;560;610)包含标识符并且所述网络节点(150;1500)基于所述标识符而接收所述服务特定的密钥材料。
18.根据权利要求12到14中的任一项所述的方法,包括:
所述网络节点(150;1500)从所述另外的网络节点(120;1300;1600)接收响应(215),所述响应(215)指示所述计费记录(510;660)是否被所述另外的网络节点(120;1300;1600)鉴别。
19.根据权利要求12到14中的任一项所述的方法,包括:
所述网络节点(150;1500)从所述另外的网络节点(120;1300;1600)接收响应(215),所述响应(215)指示所述网络服务的计费对于所述订户是否被批准。
20.根据权利要求19所述的方法,包括:
响应于所述网络服务的所述计费未被批准,所述网络节点(150;1500)拒绝通过所述用户装置(10;1400)到所述网络服务的所述接入。
21.根据权利要求12到14中的任一项所述的方法,包括:
所述网络节点(150;1500)传送所述网络服务的用户平面业务。
22.根据权利要求12到14中的任一项所述的方法,
其中所述网络节点(150;1500)对应于通用引导体系的网络应用功能。
23.一种对网络服务的利用进行控制的方法,所述方法包括:
网络节点(120;1300;1600),确定与订户的订户身份有关的计费特定的密钥材料;
所述网络节点(120;1300;1600)从另外的网络节点(150;1500)接收计费记录(510)和与所述计费记录关联的鉴别信息,所述计费记录(510)指示由所述订户的网络服务的使用并且基于所述计费特定的密钥材料,并且所述另外的网络节点(150;1500)不能够将所述计费特定的密钥材料与所述订户的所述订户身份相联系;
基于所述计费特定的密钥材料和所关联的鉴别信息,所述网络节点(120;1300;1600)鉴别所述计费记录(510);以及
响应于鉴别所述计费记录(510),所述网络节点(120;1300;1600)对所述网络服务的计费进行控制。
24.根据权利要求23所述的方法,包括:
所述网络节点(120;1300;1600)从所述订户身份得出所述计费特定的密钥材料。
25.根据权利要求23所述的方法,包括:
所述网络节点(120;1300;1600)从另一网络节点(110)接收服务特定的密钥材料;以及
所述网络节点(120;1300;1600)从所述订户身份和所述服务特定的密钥材料得出所述计费特定的密钥材料。
26.根据权利要求25所述的方法,
其中所述另一网络节点(110)是通用引导体系的引导服务器功能。
27.根据权利要求25或26所述的方法,
其中所述网络节点(120;1300;1600)接收消息(690;710)中的所述计费记录(510;660),所述消息(690;710)进一步包含标识符并且所述网络节点(120;1300;1600)基于所述标识符接收所述服务特定的密钥材料。
28.根据权利要求23到26中的任一项所述的方法,包括:
所述网络节点(120;1300;1600)将响应(215)发送到所述另外的网络节点(150;1500),所述响应(215)指示所述计费记录(510;660)是否被所述网络节点(120;1300;1600)鉴别。
29.根据权利要求23到26中的任一项所述的方法,包括:
所述网络节点(120;1300;1600)将响应(215)发送到所述另外的网络节点(150;1500),所述响应(215)指示所述网络服务的计费对于所述订户是否被批准。
30.根据权利要求23到26中的任一项所述的方法,
其中所述另外的网络节点(150;1500)对应于通用引导体系的网络应用功能。
31.一种用户装置(10;1400),所述用户装置(10;1400)被配置成:
-给订户提供到网络服务的接入;
-确定服务特定的密钥材料;
-确定计费特定的密钥材料;
-确定计费记录(510),其指示由所述订户的所述网络服务的使用;
-基于所述计费特定的密钥材料,将所述计费记录(510)与第一鉴别信息关联;
-生成至少一个消息,其包括所述计费记录(510;660)和所关联的第一鉴别信息;
-基于所述服务特定的密钥材料,将所述至少一个消息与第二鉴别信息关联;以及
-将所述至少一个消息(213;560;610)和所关联的第二鉴别信息发送到网络节点(150;1500),所述网络节点不能够将所述计费特定的密钥材料和所述服务特定的密钥材料中的任何个与所述订户的订户身份相联系。
32.根据权利要求31所述的用户装置(10;1400),
其中所述用户装置(10;1400)配置成从所述订户身份得出所述计费特定的密钥材料。
33.根据权利要求32所述的用户装置(10;1400),
其中所述用户装置(10;1400)配置成从所述订户身份和所述服务特定的密钥材料得出所述计费特定的密钥材料。
34.根据权利要求31到33中的任一项所述的用户装置(10;1400),
其中所述用户装置(10;1400)配置成从所述网络节点(150;1500)接收响应(216),所述响应(216)指示由所述订户的所述网络服务的使用被批准。
35.根据权利要求31到33中的任一项所述的用户装置(10;1400),
其中所述用户装置(10;1400)配置成:
-通过与另一网络节点(110)的交互确定通用密钥材料;以及
-从所述通用密钥材料得出所述计费特定的密钥材料和/或所述服务特定的密钥材料。
36.根据权利要求35所述的用户装置(10;1400),
其中所述另一网络节点(110)是通用引导体系的引导服务器功能。
37.根据权利要求31到33中的任一项所述的用户装置(10;1400),
其中所述至少一个消息(213;560;610)包含与所述计费特定的密钥材料和所述服务特定的密钥材料关联的标识符。
38.根据权利要求31到33中的任一项所述的用户装置(10;1400),
其中所述用户装置(10;1400)配置成:
-将所述网络服务的用户平面业务发送到所述网络节点(150;1000;1500);以及
-从所述网络节点(150;1500)接收所述网络服务的用户平面业务。
39.一种网络节点(150;1500),所述网络节点(150;1500)被配置成:
-通过连接到所述网络节点(150;1500)的用户装置(10;1400)提供到网络服务的接入;
-从所述用户装置(10;1400)接收至少一个消息(213;560;610)和与所述至少一个消息(213;560;610)关联的第一鉴别信息,所述第一鉴别信息基于服务特定的密钥材料,所述至少一个消息(213;560;610)包括计费记录(510)和与所述计费记录(510)关联的第二鉴别信息,所述计费记录(510)指示由订户的所述网络服务的使用,所述第二鉴别信息基于计费特定的密钥材料,并且所述网络节点(150;1500)不能够将所述计费特定的密钥材料和所述服务特定的密钥材料中的任何个与所述订户的订户身份相联系;
-基于所述服务特定的密钥材料和所述第一鉴别信息,鉴别所述至少一个消息(213;560;610);以及
-响应于鉴别所述至少一个消息(213;560;610),将所述计费记录(510;660)和所关联的第二鉴别信息转发到另外的网络节点(120;1300;1600),所述另外的网络节点能够将所述计费特定的密钥材料与所述订户的所述订户身份相联系。
40.根据权利要求39所述的网络节点(150;1500),
其中从所述订户身份得出所述计费特定的密钥材料。
41.根据权利要求40所述的网络节点(150;1500),
其中从所述订户身份和所述服务特定的密钥材料得出所述计费特定的密钥材料。
42.根据权利要求39到41中的任一项所述的网络节点(150;1500),
其中所述网络节点(150;1500)配置成从另一网络节点(110)接收所述服务特定的密钥材料。
43.根据权利要求42所述的网络节点(150;1500),
其中所述其它网络节点(110)是通用引导体系的引导服务器功能。
44.根据权利要求42所述的网络节点(150;1500),
其中所述至少一个消息(213;560;610)包含标识符以及所述网络节点(150;1500)配置成基于所述标识符接收所述服务特定的密钥材料。
45.根据权利要求39到41中的任一项所述的网络节点(150;1500),
其中网络节点(150;1500)配置成从所述另外的网络节点(120;1300;1600)接收响应(215),所述响应(215)指示所述计费记录(510;660)是否被所述另外的网络节点(120;1300;1600)鉴别。
46.根据权利要求39到41中的任一项所述的网络节点(150;1500),
其中所述网络节点(150;1500)配置成从所述另外的网络节点(120;1300;1600)接收响应(215),所述响应(215)指示所述网络服务的计费对于所述订户是否被批准。
47.根据权利要求46所述的网络节点(150;1500),
其中所述网络节点(150;1500)配置成响应于所述网络服务的所述计费未被批准,拒绝通过所述用户装置(10;1400)到所述网络服务的所述接入。
48.根据权利要求39到41中的任一项所述的网络节点(150;1500),
其中所述网络节点(150;1500)配置成传送所述网络服务的用户平面业务。
49.根据权利要求39到41中的任一项所述的网络节点(150;1500),
其中所述网络节点(150;1500)对应于通用引导体系的网络应用功能。
50.一种网络节点(120;1300;1600),所述网络节点(120;1300;1600)被配置成:
-确定与订户的订户身份有关的计费特定的密钥材料;
-从另外的网络节点(150;1500)接收计费记录(510)和与所述计费记录(510)关联的鉴别信息,所述计费记录(510)指示由所述订户的网络服务的使用,所述鉴别信息基于所述计费特定的密钥材料,并且所述另外的网络节点(150;1500)不能够将所述计费特定的密钥材料与所述订户的所述订户身份相联系;
-基于所述计费特定的密钥材料和所关联的鉴别信息,鉴别所述计费记录(510;660);以及
-响应于鉴别所述计费记录(510),对所述网络服务的计费进行控制。
51.根据权利要求50所述的网络节点(120;1300;1600),
其中所述网络节点(120;1300;1600)配置成从所述订户身份得出所述计费特定的密钥材料。
52.根据权利要求51所述的网络节点(120;1300;1600),
其中所述网络节点(120;1300;1600)配置成:
-从另一网络节点(110)接收服务特定的密钥材料;以及
-从所述订户身份和所述服务特定的密钥材料得出所述计费特定的密钥材料。
53.根据权利要求52所述的网络节点(120;1300;1600),
其中所述其它网络节点(110)是通用引导体系的引导服务器功能。
54.根据权利要求52所述的网络节点(120;1300;1600),
其中所述网络节点(120;1300;1600)配置成:
-接收消息(690;710)中的所述计费记录(510),所述消息(690;710)进一步包含标识符;以及
-基于所述标识符接收所述服务特定的密钥材料。
55.根据权利要求50到53中的任一项所述的网络节点(120;1300;1600),
其中所述网络节点(120;1300;1600)配置成将响应(215)发送到所述另外的网络节点(150;1500),所述响应(215)指示所述计费记录(510;660)是否被所述网络节点(120;1300;1600)鉴别。
56.根据权利要求50到53中的任一项所述的网络节点(120;1300;1600),
其中所述网络节点(120;1300;1600)配置成将响应(215)发送到所述另外的网络节点(150;1500),所述响应(215)指示所述网络服务的计费对于所述订户是否被批准。
57.根据权利要求50到53中的任一项所述的网络节点(120;1300;1600),
其中所述另外的网络节点(150;1500)对应于通用引导体系的网络应用功能。
58.一种通信***,所述通信***包括:
用户装置(10;1400)、第一网络节点(150;1500)和第二网络节点(120;1300;1600),
所述用户装置(10;1400)被配置成:
-给订户提供到网络服务的接入;
-确定服务特定的密钥材料;
-确定计费特定的密钥材料;
-确定计费记录(510),其指示所述网络服务由所述订户的使用;
-基于所述计费特定的密钥材料,将所述计费记录(510)与第一鉴别信息关联;
-生成至少一个消息(213;560;610),其包括所述计费记录(510)和所关联的第一鉴别信息;
-基于所述服务特定的密钥材料,将所述至少一个消息(213;560;610)与第二鉴别信息关联;以及
-将所述至少一个消息(213;560;610)和所关联的第二鉴别信息发送到所述第一网络节点(150;1500),
所述第一网络节点(150;1500)不能够将所述服务特定的密钥材料和所述计费特定的密钥材料中的任何个与所述订户的订户身份相联系,并且配置成:
-从所述用户装置(10;1400)接收所述至少一个消息(213;560;610)和所关联的第二鉴别信息;
-基于所述服务特定的密钥材料和所述第二鉴别信息,鉴别所述至少一个消息(213;560;610);以及
-响应于鉴别所述至少一个消息(213;560;610),将所述计费记录(510;660)和所关联的第一鉴别信息转发到所述第二网络节点(120;1300;1600),
所述第二网络节点(120;1300;1600)能够将所述计费特定的密钥材料与所述订户的所述订户身份相联系,并且配置成:
-从所述第一网络节点(150)接收所述计费记录(510)和所关联的第一鉴别信息;
-基于所述计费特定的密钥材料和所述第一鉴别信息,鉴别所述计费记录(510);以及
-响应于鉴别所述计费记录(510),对所述网络服务的计费进行控制。
59.一种计算机可读介质,其上存储有要由用户装置(10;1400)的至少一个处理器(1450)执行的程序代码,其中所述程序代码的执行促使所述用户装置(10;1400)执行根据权利要求1到9中的任一项的方法的所述步骤。
60.一种计算机可读介质,其上存储有要由网络节点(150;1500)的至少一个处理器(1550)执行的程序代码,其中所述程序代码的执行促使所述网络节点(150;1500)执行根据权利要求12到22中的任一项的方法的所述步骤。
61.一种计算机可读介质,其上存储有要由网络节点(120;1300;1600)的至少一个处理器(1650)执行的程序代码,其中所述程序代码的执行促使所述网络节点(120;1300;1600)执行根据权利要求23到30中的任一项的方法的所述步骤。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/EP2015/077461 WO2017088908A1 (en) | 2015-11-24 | 2015-11-24 | Charging record authentication for anonymized network service utilization |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108353259A CN108353259A (zh) | 2018-07-31 |
| CN108353259B true CN108353259B (zh) | 2021-02-02 |
Family
ID=54697578
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580084833.3A Active CN108353259B (zh) | 2015-11-24 | 2015-11-24 | 对匿名化网络服务利用进行计费记录鉴别的方法和装置 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US10194033B2 (zh) |
| EP (1) | EP3381208B1 (zh) |
| KR (1) | KR102391218B1 (zh) |
| CN (1) | CN108353259B (zh) |
| PL (1) | PL3381208T3 (zh) |
| WO (1) | WO2017088908A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019027476A1 (en) * | 2017-08-04 | 2019-02-07 | Nokia Solutions And Networks Oy | INCREASED DIAMETER PROTOCOL |
| US20240195921A1 (en) * | 2021-03-30 | 2024-06-13 | Telefonaktiebolaget Lm Ericsson (Publ) | User Notifications Handling in a Communications Network |
| KR20240043985A (ko) | 2022-09-28 | 2024-04-04 | 한국화학연구원 | 전처리 단계를 수반하는 5-할로메틸푸르푸랄 제조방법 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103781026A (zh) * | 2012-10-19 | 2014-05-07 | ***通信集团公司 | 通用认证机制的认证方法 |
| CN103843377A (zh) * | 2011-09-29 | 2014-06-04 | 交互数字专利控股公司 | 用于实现接入与受访网络集成的应用的方法和设备 |
| WO2015036771A1 (en) * | 2013-09-13 | 2015-03-19 | Vodafone Ip Licensing Limited | Communicating with a machine to machine device |
| CN104756458A (zh) * | 2012-10-29 | 2015-07-01 | 瑞典爱立信有限公司 | 用于保护通信网络中的连接的方法和设备 |
| CN104854835A (zh) * | 2013-01-17 | 2015-08-19 | 英特尔Ip公司 | Dash感知网络应用功能(d-naf) |
| CN104954391A (zh) * | 2004-04-30 | 2015-09-30 | 诺基亚公司 | 用于验证实体的第一标识和第二标识的设备和方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9226151B2 (en) * | 2006-04-04 | 2015-12-29 | Jasper Wireless, Inc. | System and method for enabling a wireless device with customer-specific services |
| WO2006124841A2 (en) | 2005-05-17 | 2006-11-23 | Telcordia Technologies, Inc. | Secure virtual point of service for 3g wireless networks |
| US8613058B2 (en) * | 2007-05-31 | 2013-12-17 | At&T Intellectual Property I, L.P. | Systems, methods and computer program products for providing additional authentication beyond user equipment authentication in an IMS network |
| WO2009129856A1 (en) | 2008-04-24 | 2009-10-29 | Nokia Siemens Networks Oy | Mechanism for controling charging in case of charging client relocation |
-
2015
- 2015-11-24 EP EP15798443.6A patent/EP3381208B1/en active Active
- 2015-11-24 WO PCT/EP2015/077461 patent/WO2017088908A1/en active Application Filing
- 2015-11-24 CN CN201580084833.3A patent/CN108353259B/zh active Active
- 2015-11-24 US US15/774,023 patent/US10194033B2/en active Active
- 2015-11-24 KR KR1020187015316A patent/KR102391218B1/ko active IP Right Grant
- 2015-11-24 PL PL15798443T patent/PL3381208T3/pl unknown
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104954391A (zh) * | 2004-04-30 | 2015-09-30 | 诺基亚公司 | 用于验证实体的第一标识和第二标识的设备和方法 |
| CN103843377A (zh) * | 2011-09-29 | 2014-06-04 | 交互数字专利控股公司 | 用于实现接入与受访网络集成的应用的方法和设备 |
| CN103781026A (zh) * | 2012-10-19 | 2014-05-07 | ***通信集团公司 | 通用认证机制的认证方法 |
| CN104756458A (zh) * | 2012-10-29 | 2015-07-01 | 瑞典爱立信有限公司 | 用于保护通信网络中的连接的方法和设备 |
| CN104854835A (zh) * | 2013-01-17 | 2015-08-19 | 英特尔Ip公司 | Dash感知网络应用功能(d-naf) |
| WO2015036771A1 (en) * | 2013-09-13 | 2015-03-19 | Vodafone Ip Licensing Limited | Communicating with a machine to machine device |
Non-Patent Citations (4)
| Title |
|---|
| ARIB, ATIS, CCSA, ETSI, TTA, TTC.Generic Authentication Architecture (GAA) * |
| ARIB, ATIS, CCSA, ETSI, TTA, TTC.Telecommunication management * |
| Charging management;Charging architecture and principles.《3GPP TS 32.240 V12.6.0 (2014-12)》.2014, * |
| Generic Bootstrapping Architecture (GBA).《3GPP TS 33.220 V12.3.0 (2014-06)》.2014, * |
Also Published As
| Publication number | Publication date |
|---|---|
| KR102391218B1 (ko) | 2022-04-26 |
| US20180324307A1 (en) | 2018-11-08 |
| PL3381208T3 (pl) | 2020-07-27 |
| EP3381208A1 (en) | 2018-10-03 |
| US10194033B2 (en) | 2019-01-29 |
| EP3381208B1 (en) | 2020-02-26 |
| CN108353259A (zh) | 2018-07-31 |
| KR20180086427A (ko) | 2018-07-31 |
| WO2017088908A1 (en) | 2017-06-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111835752B (zh) | 基于设备身份标识的轻量级认证方法及网关 | |
| RU2527730C2 (ru) | Управление ключами безопасности в основанных на ims услугах широковещания и многоадресного вещания мультимедиа (mbms) | |
| US7269730B2 (en) | Method and apparatus for providing peer authentication for an internet key exchange | |
| US7246236B2 (en) | Method and apparatus for providing peer authentication for a transport layer session | |
| EP2255507B1 (en) | A system and method for securely issuing subscription credentials to communication devices | |
| US10348721B2 (en) | User authentication | |
| KR101158956B1 (ko) | 통신 시스템에 증명서를 배분하는 방법 | |
| US9641324B2 (en) | Method and device for authenticating request message | |
| US8875236B2 (en) | Security in communication networks | |
| EP2767029B1 (en) | Secure communication | |
| JP2016514913A (ja) | セッション鍵を確立する方法および装置 | |
| US11652648B2 (en) | Authentication between a telematic control unit and a core server system | |
| AU2015416630A1 (en) | Methods and arrangements for authenticating a communication device | |
| CN108353259B (zh) | 对匿名化网络服务利用进行计费记录鉴别的方法和装置 | |
| CN104243452A (zh) | 一种云计算访问控制方法及*** | |
| CN110138558B (zh) | 会话密钥的传输方法、设备及计算机可读存储介质 | |
| WO2007018476A1 (en) | Hybrid cryptographic approach to mobile messaging | |
| WO2010128348A1 (en) | System and method of using a gaa/gba architecture as digital signature enabler | |
| CN213938340U (zh) | 5g应用接入认证网络架构 | |
| Bala et al. | Separate session key generation approach for network and application flows in LoRaWAN | |
| CN110225011B (zh) | 用户节点的认证方法、设备及计算机可读存储介质 | |
| US12028324B1 (en) | Systems and methods for advanced chained authentications and authorizations | |
| KR20140095050A (ko) | 이동 통신 시스템에서 단일 사용자 승인을 지원하는 관리 방법 및 장치 | |
| US20240097903A1 (en) | Ipcon mcdata session establishment method | |
| CN115314278B (zh) | 可信网络连接身份认证方法、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |