無線設備的安全在線注冊和配置的制作方法
【專利說明】無線設備的安全在線注冊和配置
[0001]相關申請
[0002]本申請請求保護在2012年12月27日遞交的美國專利申請序列號N0.13/728, 606的優(yōu)先權的利益�,該申請通過引用的方式被全部并入本文中。
技術領域
[0003]本公開的實施例涉及無線通信���。一些實施例涉及用于服務連接性的安全在線注冊和證書的配置�����。一些實施例與熱點2.0網(wǎng)絡和熱點2.0演進有關��。
【背景技術】
[0004]注冊并且連接至W1-Fi熱點并非簡單而用戶友好的過程�。用戶可能不得不在不同的位置面對不同類型的網(wǎng)頁���、輸入信息并選擇他們的用戶名/密碼����。目前,尚無為支持W1-Fi功能的設備和熱點定義安全在線注冊機制的標準化機制����。此外,當不同類型的證書(用戶名/密碼����、憑證、用戶信息模塊(SM)類型證書等等)被配置時���,出現(xiàn)了額外的并發(fā)問題�。
【附圖說明】
[0005]圖1示出了根據(jù)一些實施例的無線網(wǎng)絡��;
[0006]圖2示出了根據(jù)一些實施例的在線注冊和證書配置機制���;
[0007]圖3示出了根據(jù)一些實施例的訂閱管理對象的證書部分����;
[0008]圖4示出了根據(jù)一些實施例的無線網(wǎng)絡���;
[0009]圖5示出了根據(jù)一些實施例的在線注冊和證書配置機制����;
[0010]圖6示出了根據(jù)一些實施例的在線注冊和證書配置機制;
[0011]圖7示出了根據(jù)一些實施例的在線注冊和證書配置機制����;
[0012]圖8示出了根據(jù)一些實施例的在線注冊和證書配置機制�����;
[0013]圖9示出了根據(jù)一些實施例的在線注冊和證書配置機制����;
[0014]圖10示出了根據(jù)一些實施例的系統(tǒng)框圖。
【具體實施方式】
[0015]下面的詳細描述和附圖充分地說明了具體實施例以使本領域的技術人員能夠實踐它們�����。其他實施例可包含結構的���、邏輯的��、電氣的處理及其他變化����。一些實施例中的部分及其特征可被包括在其他實施例的部分及其特征中或代替其他實施例的部分及其特征。在權利要求中提到的實施例包含那些權利要求的所有可用的等同物�。
[0016]圖1示出了根據(jù)一些實施例的無線網(wǎng)絡。根據(jù)一些實施例���,網(wǎng)絡為安全在線注冊和證書的配置構成了可操作環(huán)境�����。在圖1中�����,移動設備100(有時被稱為用戶裝置(UE)��、站點(STA)或無線設備)可以是被配置成關聯(lián)W1-Fi熱點102并執(zhí)行與安全在線注冊和配置相關聯(lián)的各種功能的支持W1-Fi功能的設備����。移動設備100可包括用以實現(xiàn)諸如���,開放移動聯(lián)盟設備管理(OMA-DM)協(xié)議�、簡單對象訪問協(xié)議可擴展標記語言(SOAP-XML)協(xié)議或一些其他管理協(xié)議之類的設備管理協(xié)議的設備管理客戶端(未被示出)��。
[0017]W1-Fi熱點102可以是W1-Fi網(wǎng)絡的一部分,并且可被耦合至網(wǎng)絡106����,其中網(wǎng)絡106可以是局部網(wǎng)絡或路由器,或者可以是通過其可訪問諸如互聯(lián)網(wǎng)之類的其他網(wǎng)絡116的網(wǎng)關�����,或者是二者的組合����。W1-Fi熱點102可作為W1-Fi接入點(AP)進行操作���。
[0018]W1-Fi熱點102可被耦合至各種網(wǎng)絡元件��,諸如���,在線注冊(OSU)服務器104,認證�����、授權和計費(AAA)服務器110��,歸屬位置寄存器(HLR) 112和證書授權(CA) 114。在一些實施例中�,OSU服務器104可實現(xiàn)OMA-DM協(xié)議。在其他實施例中�����,OSU服務器104可實現(xiàn)SOAP-XML協(xié)議或一些其他管理協(xié)議��。在一些實施例中���,OSU服務器104可用作其他服務器或設備(諸如�����,AAA服務器110��、HLR 112和CA 114)的代理���。
[0019]根據(jù)本文的實施例,移動設備100可被配置用于針對W1-Fi熱點的在線注冊和證書配置���。如下面更加詳細地描述的��,這些可使用各種管理協(xié)議��,諸如OMA-DM�、SOAP-XML或一些其他協(xié)議。這可使在他們的后端核心網(wǎng)絡中可能已經(jīng)實施了這些協(xié)議中的一個或多個的蜂窩類型網(wǎng)絡服務提供商能夠使用相同的服務器和被安裝的組件以將該功能擴展為用于服務W1-Fi網(wǎng)絡���。通過這種方式���,W1-Fi網(wǎng)絡可與相同的蜂窩網(wǎng)后端核心一起運行,這樣以更加無縫和透明的方式實現(xiàn)了從蜂窩類型網(wǎng)絡中卸載W1-Fi�����。蜂窩類型網(wǎng)絡可能指的是任何 2G(例如��,GSM�、EDGE)或 3G (例如�,3GPP、3GPP2)或 4G (例如��,WiMAX���、LTE)配置的網(wǎng)絡��。
[0020]在圖1中�,W1-Fi熱點102和OSU服務器104能夠組成強制門戶108的一部分。強制門戶能夠阻止/攔截IP分組和將請求重新路由至指定的位置����。出于安全目的,這能夠提供例如����,“帶圍墻的花園”。
[0021]圖2示出了根據(jù)一些實施例的在線注冊和證書配置機制����。在圖2的實施例中,熱點202具有單個服務集標識符(SSID)���,其中SSID可被諸如移動設備200之類的設備用來關聯(lián)熱點�。此外���,在圖2中�����,熱點202和OSU服務器204可以是強制門戶的一部分(由虛線框206示出)ο
[0022]在圖2中�,如212和214所示��,移動設備200使用熱點202的單個SSID以認證和關聯(lián)熱點202。如所描述的���,此過程使用帶有服務器端認證和4次握手協(xié)議的匿名可擴展認證協(xié)議傳輸層安全(EAP-TLS)�。移動設備200的證書是根據(jù)歸屬運營商的HLR驗證的���。作為初始關聯(lián)過程的一部分���,虛擬局域網(wǎng)(VLAN)標識符被傳遞至移動設備200以用于在線注冊和證書配置。通過不同的路由策略��,不同的VLAN配置能夠被用于不同的移動設備�����。
[0023]在移動設備具有VLAN標識符之后�,它能夠將該VLAN標識符用于在線注冊和配置過程的剩余部分�����。這種在線注冊和配置過程中的典型步驟通過216��、218��、220、222和224被示出��。
[0024]此過程通常從允許移動設備200與OSU服務器204建立聯(lián)系的初始交換開始以啟動該過程����。在此初始交換216期間,OSU通常提供能夠從其獲取訂閱率和其他類似的信息的統(tǒng)一資源標識符(URI)��。初始交換216通常還包含用于使移動設備200通過從OSU服務器204獲取的URI啟動瀏覽器的命令����。
[0025]交換218示出了移動設備200和OSU服務器204如服務提供商所指定的那樣交換注冊數(shù)據(jù)的過程。此信息能夠組成訂閱管理對象的證書部分的一部分���。在此信息被確定后�����,如果證書將是用戶名/密碼類型的(與基于憑證或用戶身份模塊(SM)類型證書相反)����,則來自信任根AAA服務器208的證書被獲取并被存儲在訂閱管理對象中����,并且任意TLS會話被發(fā)布����。這能夠例如�,通過交換224被示出。
[0026]然而�,如果在交換218之后,基于憑證的證書是所期望的�����,則憑證登記過程被發(fā)起����。此過程在圖2中通過交換220和交換222被示出。在交換220和222中��,證書被CA 210獲取并簽名(驗證)���。這能夠由例如�,移動設備200通過使用互聯(lián)網(wǎng)工程任務組(IETF)請求注解5967 (RFC 5967)樣式的公鑰加密標準#10 (PKCS#10)請求來實現(xiàn)����。如此交換所指出的�,當CA 210驗證憑證時�����,OSU服務器204能夠作為代理���。當憑證已經(jīng)由CA 210簽名之后,OSU服務器204能夠以RFC 5967樣式的PKCS#7響應來應答����。
[0027]當基于憑證的證書是所期望的時,最終交換與此前結合交換224所描述的略有不同�����。當基于憑證的證書是所期望的時���,在交換220和交換222之后����,從OSU服務器204中獲取標識了由交換220和222所創(chuàng)建的證書的訂閱管理對象�。最后,任意TLS會話被發(fā)布�����。
[0028]一旦移動設備200具有訂閱管理對象,則如226所示出的���,該移動設備200與熱點202分離�����。最后�,如228所指出的���,移動設備200通過使用它的SSID和在訂閱管理對象中標識的證書來關聯(lián)熱點202�。
[0029]圖3示出了根據(jù)一些實施例的訂閱管理對象的示例證書部分�。為了簡單起見,訂閱管理對象的剩余部分未被示出�����,但是根據(jù)熱點2.0規(guī)范和演進的熱點2.0規(guī)范���,訂閱管理對象可以是每提供者訂閱(PerProviderSubcript1n)管理對象�����。在下面的詳細描述中����,在所示出的樹中的節(jié)點將被稱為節(jié)點���、元素�����、域和/或參數(shù)�。所有均意圖表明相同的含義�����,并非意圖表明差異���。
[0030]證書部分300包含創(chuàng)建數(shù)據(jù)302���,其表示證書被創(chuàng)建或最近更新的日期。如果呈現(xiàn)了過期日期304���,則其表示證書過期的日期��。領域330說明了與證書相關聯(lián)的領域�����。移動設備通過將該領域與在初始網(wǎng)絡發(fā)現(xiàn)階段期間返回到接入網(wǎng)絡查詢協(xié)議(ANQP)網(wǎng)絡接入標識符(NAI)領域元素中的領域相比較來確定它是否應該能夠成功地認證熱點�。支持IEEE802.1lu的移動設備將通過使用ANQP針對附加信息對支持IEEE 802.1lu的熱點進行查詢。這可包括對于被稱為NAI領域列表的元素的請求�����。NAI領域列表包括與該領域相關聯(lián)的用于接入的一個或多個(根據(jù)RFC-4282定義的)NAI領域和可選EAP方法和認證參數(shù)����。
[0031]取決于所存儲的證書的類型,證書部分300應包含用戶名/密碼參數(shù)306����、數(shù)字憑證參數(shù)324或SIM參數(shù)332。
[0032]用戶名/密碼參數(shù)306包括各種參數(shù)����,其中包括用戶名308和密碼310。機器管理的參數(shù)312指定密碼是否是機器管理的�。SoftTokenApp (軟令牌應用)314指定應當被用于生成密碼的應用。當此參數(shù)出現(xiàn)時���,密碼應具有空值���。AbleToShare (可共享)316表明證書是否僅在訂閱的機器上是可用的(即���,非AbleToShare)或者對該用戶的其他機器也是可用的(即�,AbleToShare)。EAP方法318包括EAP方法320和內(nèi)部EAP方法322��,其中EAP