用于接入基于订阅的服务的注册和凭证转出制造技术

用户可以经由包括一个或者多个设备的系统来接入基于订阅的服务，该一个或者多个设备具有一个或者多个独立的域，其中每个域可以由一个或者多个不同的本地或者远程所有者拥有或者控制。每个域可以具有不同的所有者，以及提供基于订阅的服务的远程所有者可以获取可被称为远程所有者域的域的所有权。此外，用户可以获取可被称为用户域的域的所有权。为了用户接入基于订阅的服务，可能需要注册和凭证转出。示例性注册和凭证转出过程可以包括用户注册、从远程所有者获取凭证以及存储凭证。

【技术实现步骤摘要】
【国外来华专利技术】用于接入基于订阅的服务的注册和凭证转出相关申请的交叉引用 本申请基于并且要求享有2009年10月15日提交的美国临时专利申请No. 61/251, 920的权益，该申请的内容以引用的方式结合于此。
技术介绍
当今有很多情况，其中可以或不可以与其他设备或者实体通信的计算设备以这种方式来使用，即设备、或者该设备内的某部分或者计算环境由个人、组织或者一些其他实体“所拥有”。我们的意思是，通过“所拥有”，设备、或者该设备内的某部分或者计算环境可能已经用实体认证了，并且此后该实体可以对设备或者该设备的某些部分采取某些形式的控制。这种情况的一个示例是在无线移动通信工业中，其中无线设备(例如，移动电话)的用户可以订阅特定移动通信网络运营商的服务。在当今移动通信工业中，无线设备通常包括订户身份模块(SIM)或者通用集成电路卡(UICC)，其中用户可以用该无线设备订阅特定的网络运营商的服务。SIM/nee向无线设备提供安全执行和存储环境，由此来执行认证算法和存储凭证，该证书使设备能够向网络运营商认证与网络运营商的设备用户的订阅，并允许网络运营商具有对设备的某些形式的控制，即，所有权。不幸的是，这个SIM/nCC机制通常被局限于与单个网络运营商使用。因此，在当今很多计算上下文中的问题(如上述移动通信设备的情况)是计算设备经常被局限于由单个实体完全“拥有”。在很多情况下，所有权必须在用户购买设备的时候建立，其阻止了可能期望在以后建立所有权的商业模型。而且，这些限制阻止了设备在以下情况中的使用，其中可能期望设备的多个相互隔离的部分的多个所有权存在，或者所有权可以不时地被转移到其他实体。例如，在无线移动通信设备(例如移动电话)的情况下，用户通常需要在购买时订阅特定的移动网络运营商的服务，并且这种设备通常不允许在移动网络运营商在购买无线设备之后的一段时间才知道的应用中使用。此外，这种设备同时提供到多个运营商网络的接入通常是不可能的。更新或者改变移动网络和服务订阅可能很困难，以及通过空中(over-the-air)来实现所述更新或改变通常是不可能的。此外，特别是在无线移动通信设备的上下文中，虽然SM/nCC机制通常被认为是高度安全的，但是安全性没有被坚固地(strongly)与该安全性所存在的整个设备的安全特性联系起来。这限制了用于高级服务和应用的缩放(scaling)安全概念的应用，例如移动财务交易。特别地，这些缺点与自主(autonomous)设备相关，例如机器到机器(M2M)通信设备。因此，期望更动态的解决方案。
技术实现思路
公开了可以允许用户接入来自设备上的域的远程所有者的基于订阅的服务的系统和方法。用户可以经由包括具有一个或者多个独立的域的一个或者多个设备的系统来接入基于订阅的服务，其中每个域可以由一个或者多个不同的本地或者远程所有者所有或者控制。一个或者多个设备可以包括由至少一个平台所支持的一个或者多个域。每个平台可以向域提供低级计算、存储、或者通信资源。平台可以包括一些硬件、操作系统、一些低级固件或者软件(例如启动(boot)代码、BIOS、API、驱动器、中间件(middleware)、或者虚拟化软件)以及一些高级固件或软件(例如应用软件)以及用于这些资源的各自的配置数据。每个域可以包括在至少一个平台上执行的计算、存储、或者通信资源的配置，并且每个域可以被配置成执行用于域的所有者的功能，该所有者可以位于域的本地或者远程位置。每个域可以具有不同的所有者，并且每个所有者可以指定操作自己的域的策略，以及指定操作其他域和与域所在的平台有关的自己的域的策略。提供基于订阅的服务的远程所有者可以已经获得了可被称为远程所有者域的域的所有权。此外，用户可以已经获得了可被称为用户域的域的所有权。为了用户接入基于订阅的服务，可能需要注册和凭证转出。示例性注册和凭证转出过程可以包括用户注册、从远程所有者获取凭证以及存储凭证。 注册可以包括将用户注册到远程所有者作为基于订阅的服务的订阅用户，该基于订阅的服务由远程所有者通过远程所有者域提供。用户域可以代表用户通过向远程所有者域发送请求发起注册。远程所有者域可以请求将被用于向远程所有者识别所述用户为所述基于订阅的服务的订阅用户的标识符。该请求可以向第三方进行，以便于向用户销售基于订阅的服务。远程所有者域可以从第三方接收标识符，以及用户域可以从远程所有者接收注册请求已经被接收的确认。获得和存储凭证可以包括用户域向远程所有者域发送凭证转出请求。该请求可以包括识别用户和/或第三方的信息。远程所有者域可以向远程所有者发送凭证转出请求。远程所有者域可以从远程所有者接收凭证，并向用户域发送凭证已经被远程所有者域接收的确认。在此描述的系统、方法和手段的其他特征在下面的详细说明和附图中提供。附图说明 图I示出了可以在其中使用在此描述的方法和手段的示例性系统。图2不出了系统的一个实施方式,其中在此描述的方法和手段包含(embody)于用户设备(UE)中。图3和3A示出了用于获取域的所有权的示例性启动(boot up)和过程。图4和4A示出了获取域的所有权的过程的示例性呼叫流程图。图5和5A示出了使用完整证明获取域的所有权的过程的示例性呼叫流程图。图6示出了可信的硬件订阅模块的一个实施方式的示例性状态定义、转变和控制点定义。图7示出了远程所有者域可以达到的示例性状态，以及在动态管理环境中转变能够发生的条件。图8示出了实施注册和凭证转出过程的示例性呼叫流程。图9是可以在其中实施一个或者多个所公开的实施方式的示例性通信系统的系统图示。具体实施例方式I、示例多域系统图1-7可以涉及可以在其中实施所公开的系统、方法和手段的示例性实施方式。然而，虽然本专利技术可以结合示例性实施方式来说明，但是本专利技术并不局限于此，应当理解为其他实施方式也可以使用，或者可以对所描述的实施方式进行修改和增加以执行与本专利技术相同的功能，而不脱离本专利技术。可以在其中实施所公开的系统、方法和手段的示例性系统包括一个或者多个设备，其中每个设备可以包括由至少一个平台所支持的一个或者多个域。每个平台可以向域提供低级计算、存储、或者通信资源。平台可以包括一些硬件、操作系统、和其他低级固件或者软件(例如启动代码、BIOS和驱动器)以及用于这些资源的各自的配置数据。每个域可以包括在至少一个平台上执行的计算、存储、或者通信资源的配置，并且每个域可以被配置成执行用于域的所有者的功能，该所有者可以位于域的本地或者远程位置。每个域可以具有不同的所有者，并且每个所有者可以指定用于操作自己的域的策略，以及指定操作其它域 和与域所在的平台有关的自己的域的策略。每个域可以与其它域隔离，关于计算、存储、或者通信资源(从输入点来看)、或者域通过使用这些计算、存储、或者通信资源(从输出点来看)所提供的功能。每个域可以利用公共底层(underlying)平台的计算、存储、或者通信资源或者功能。一些域可以共享一些由公共平台提供的这种功能。平台资源和/或功能的这种共享可以以下列方式来完成，即每个域的公共资源或者功能的使用可以与另一个域的这种使用相互隔离。例如，这种隔离可以通过设备的平台来达到，其中该设备平台对其向每个域提供的资源施行(enforce)严格的接入控制，这样使得对域的资源的任何接本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】2009.10.15 US 61/251,9201.在包括一个或者多个设备的系统中的一种方法，其中每个设备包括由至少一个平台所支持的一个或者多个域，每个域包括在所述至少一个平台上执行的计算资源的配置，以及每个域被配置成执行用于所述域的所有者的功能，所述所有者能够位于所述域的本地或者远程位置，其中每个域能够具有不同的所有者，以及其中至少一个域由所述一个或者多个设备的用户所拥有，以及其中至少一个其它域由远程所有者所拥有，该方法包括 将所述用户注册到所述远程所有者作为将由所述远程所有者通过所述远程所有者域提供的基于订阅的服务的订阅用户； 从所述远程所有者获取使所述用户作为订阅用户使用所述基于订阅的服务的凭证；以及 将所述凭证存储在所述远程所有者域中。2.根据权利要求I所述的方法，其中将所述用户注册到所述远程所有者包括 由用户域代表所述用户发起注册请求； 由所述远程所有者域响应于所述注册请求、从便于向所述用户销售所述基于订阅的服务的第三方请求将被用于向所述远程所有者识别所述用户作为所述基于订阅的服务的订阅用户的标识符； 由所述远程所有者域从所述第三方接收所述标识符；以及 由所述用户域从所述远程所有者接收已经接收到所述注册请求的确认。3.根据权利要求2所述的方法，其中将所述用户注册到所述远程所有者还包括 由所述用户域发送以下至少之一与所述注册请求相关联的第一过程标识符，或者与所述用户相关的个人信息；以及 由所述用户域从所述第三方接收与所述注册请求相关联的第二过程标识符。4.根据权利要求2所述的方法，其中所述标识符是由所述远程所有者分配给所述第三方以用于注册所述基于订阅的服务的用户的一组标识符中的一个标识符。5.根据权利要求I所述的方法，其中从所述远程所有者获取凭证包括 由所述用户域向所述远程所有者域发送凭证转出请求，所述凭证转出请求包括向所述远程所有者域标识所述用户或所述第三方中的至少一者的信息，其中所述第三方便于向所述用户销售所述基于订阅的服务； 由所述远程所有者域向所述远程所有者转发所述凭证转出请求； 由所述远程所有者域从所述远程所有者接收所述凭证；以及 由所述用户域从所述远程所有者域接收所述凭证已经由所述远程所有者域接收的确认。6.根据权利要求5所述的方法，该方法还包括 由所述远程所有者域请求由所述一个或者多个域的组件进行的所述至少一个平台的半自王完整性验证；以及 由所述远程所有者域从所述至少一个平台接收完整性验证信息。7.根据权利要求6所述的方法，其中所述完整性验证信息允许所述远程所有者评估所述一个或者多个设备的至少一个的至少一个域的可信度。8.根据权利要求I所述的方法，该方法还包括将所述用户注册到用户域。9.根据权利要求8所述的方法，其中将所述用户注册到所述用户域包括所述用户域从所述用户接收向所述用户域标识所述用户的信息。10.根据权利要求I所述的方法，其中所述凭证使所述用户在每次所述用户使用所述基于订阅的服务时被认证。11.一种系统,该系统包括 一个或者多个设备，其中每个设备包括由至少一个平台所支持的一个或者多个域，每个域包括在所述至...

【专利技术属性】
技术研发人员：L·J·古乔内，I·查，
申请(专利权)人：交互数字专利控股公司，
类型：发明
国别省市：