[发明专利]用户数据的管理

说明书

技术领域

本发明涉及通信系统中的认证，并且更特别地，但不是排他性地，涉及用户安全数据的管理。

背景技术

通信系统可以看作是实现诸如用户设备和/或与通信系统相关联的其他节点之类的实体之间的通信会话的工具。通信可以包括例如语音、数据、多媒体等通信。连接到通信系统的用户设备可以例如配备双向电话呼叫或者多向会议呼叫或者配备数据连接。除了语音呼叫服务之外，还可以给用户提供各种其他服务，例如增强的内容服务，诸如多媒体服务或其他数据服务。用户设备可以传送数据到服务实体并且可以传送来自服务实体的数据，或者可以在两个或更多用户设备之间传送数据。

通信系统通常依据给定的标准或规范进行操作，该标准或规范设定允许与系统相关联的各种实体做什么以及应该如何实现。将用于连接的通信协议、参数、参考点和接口通常由标准或规范定义。

为用户设备提供无线通信的通信系统是已知的。这些系统统称为移动系统，尽管在某些系统中，移动性可能基本上被限制在很小的区域。移动系统的一个例子是公共陆地移动网络(PLMN)。另一个例子是至少部分基于通信卫星的使用的移动系统。移动通信还可以借助其他类型的系统来提供，诸如借助无线局域网(WLAN)或广域网(WAN)。

在无线系统中，接入点为用户设备提供对通信系统的接入。用户设备可以同时与两个或多个接入节点进行无线通信。用户设备和接入节点之间的无线接口上的通信可以基于恰当的通信协议。各种无线接入系统的例子包括CDMA(码分多址)、WCDMA(宽带CDMA)、TDMA(时分多址)、FDMA(频分多址)或者SDMA(空分多址)、电气和电子工程师协会(IEEE)802.11和其他开发以及它们的混合。

网络装置的操作通过适当的控制布置来控制，该控制布置通常包括多个各种控制实体。还可以提供一个或多个网关或中间服务器，以便将网络连接到其他网络或对于外部节点隐藏网络内部细节。例如，PLMN网络可以连接到其他移动或固定线路通信网络或者数据通信网络，诸如IP(网际协议)和/或其他分组数据网络。

用户或者用户设备在被允许接入或以其他方式使用各种应用和服务之前，可能需要对该用户或者用户设备进行认证。这可能是出于安全和保密原因的需要，但是也实现对服务使用的正确计费。例如，可能需要验证：用户是否是他/她所声称的那个用户，该用户是否有权使用某项服务，是否能够为该用户提供对敏感信息的访问等等。在认证中，可以基于各种标识符来识别用户。

已经存在或者提议了各种认证机制。一个非限制性的例子是由第三代合作伙伴计划(3GPP)提出的认证机制，称为“通用认证架构”(GAA)。GAA旨在用作针对移动用户设备的用户的各种应用和服务的认证过程，诸如用于蜂窝系统的移动站。GAA旨在基于保密用户标识，其存储在与用户设备和订户数据库相关提供的特定安全存储实体中。用户设备的安全存储实体可以由适当的安全功能来提供，例如由安全模块、标识模块或受信任的平台来提供。订户数据库可以由适当的网络实体来提供，例如归属地位置寄存器(HLR)或归属地订户服务器(HSS)。通常，每个用户的用户数据存储在用户配置文件中。安全用户标识存储实体和订户数据库实体已经由运营商控制，该运营商发布用户标识并且通常运行和拥有订户数据库。

然而，针对认证系统的诸如GAA之类的提议基于这样的订户数据库，其在运营商的直接控制下并且只能由运营商管理。还假设运营商具有其自己的特殊管理布置。例如用户安全设置的用户数据不能由其他方例如驻留在例如受信任的第三方网络中的服务应用或其他网络应用功能(NAF)来管理。

然而，在某些情况下可能期望由其他方进行管理。例如，管理非标准化运营商指定布置的订户数据库的负担可能变得相当大，并且运营商可能不准备负责管理或者甚至不具有负责管理的能力。这种情形可以通过参考还提供诸如称为自由联盟标识提供商服务之类的服务的应用功能来例证。允许受信任的第三方(例如合作伙伴运营商)使用例如GAA指定协议来更新运营商数据库中的用户安全数据的可能性可能会减轻运营商频繁管理活动的维护负担。因为服务和/或服务提供的数量和类型的不可预测性，运营商可能不总是在所有情况下都具有资源来管理订户数据库。

应该注意，该问题不限于无线系统，而是可能发生在其中用户可以通过用户设备访问服务和应用的任何通信环境中。

发明内容

本发明实施例致力于解决一个或多个上述问题。