分享鉴权证书的方法及其通信装置制造方法
【专利摘要】本发明提供一种分享鉴权证书的方法及其通信装置,其中一种分享鉴权证书的方法,用于无线通信系统,其中该无线通信系统包含第一通信装置、第二通信装置以及网络端,该分享鉴权证书的方法包含:由该第一通信装置传送临时鉴权证书与鉴权证书保管请求至该网络端;由该网络端传送第一保管信息至该第一通信装置;由该第二通信装置传送鉴权证书获取请求与第二保管信息至该网络端;以及根据该第二保管信息,决定是否传送该临时鉴权证书至该第二通信装置。本发明提供的分享鉴权证书的方法及其通信装置可使得通信装置无须重复实施认证程序,即可分享相同的鉴权证书并据以存取网络资源。
【专利说明】分享鉴权证书的方法及其通信装置
【技术领域】
[0001]本发明有关于一种用于无线通信系统的方法及其通信装置,并且特别有关于一种在无线通信系统中分享鉴权证书(credential)的方法及其通信装置。
【背景技术】
[0002]在现今社会中,智能手机、笔记本电脑及平板计算机等各式各样的电子装置已充斥于人们的日常生活里。用户可能会拥有多种具有网络功能的电子装置,并且用户也会希望能够同时让所有的电子装置都能取得网络资源。然而,用户可能仅具有单一能够连上网络的鉴权证书,例如移动装置的用户识别模块通用集成电路卡(Subscriber IdentityModule universal integrated circuit card, SIM UICC)0 在现有技术中,用户可通过上述鉴权证书,利用其中一个电子装置连上网络,并通过该电子装置分享网络资源至其余电子装置,以使其余电子装置能够通过连上网络的该电子装置取得网络资源。换言之,所有的电子装置共享同一带宽,从而造成效能下降。
【发明内容】
[0003]本发明提供一种分享鉴权证书的方法及其通信装置以解决上述问题。
[0004]本发明提供一种分享鉴权证书的方法,用于无线通信系统,其中该无线通信系统包含第一通信装置、第二通信装置以及网络端,该分享鉴权证书的方法包含:由该第一通信装置传送临时鉴权证书与鉴权证书保管请求至该网络端;由该网络端传送第一保管信息至该第一通信装置;由该第二通信装置传送鉴权证书获取请求与第二保管信息至该网络端;以及根据该第二保管信息,决定是否传送该临时鉴权证书至该第二通信装置。
[0005]本发明另提供一种分享鉴权证书的方法,用于无线通信系统的网络端,该分享鉴权证书的方法包含:自该无线通信系统的第一通信装置接收临时鉴权证书与鉴权证书保管请求;根据该鉴权证书保管请求,保留该临时鉴权证书;以及传送第一保管信息至该第一通信装置,以通知该第一通信装置该临时鉴权证书已被该网络端保留。
[0006]本发明另提供一种分享鉴权证书的方法,用于无线通信系统中的通信装置,该分享鉴权证书的方法包含:传送临时鉴权证书与鉴权证书保管请求至该无线通信系统中的网络端,以使该网络端保管该临时鉴权证书。
[0007]本发明另提供一种分享鉴权证书的方法,用于无线通信系统中的通信装置,该分享鉴权证书的方法包含:传送鉴权证书获取请求与第二保管信息至该无线通信系统的网络端;以及当该第二保管信息等同于对应临时鉴权证书的第一保管信息时,取得该临时鉴权证书。
[0008]本发明提供的分享鉴权证书的方法及其通信装置可使得通信装置无须重复实施认证程序,即可分享相同的鉴权证书并据以存取网络资源。
【专利附图】
【附图说明】[0009]图1是根据本发明实施例描述的无线通信系统示意图;
[0010]图2是根据本发明实施例描述的通信装置示意图;
[0011]图3是根据本发明实施例描述的在通信装置间分享鉴权证书的流程图;
[0012]图4是根据本发明另一实施例描述的在通信装置间分享鉴权证书的流程图;
[0013]图5是根据本发明实施例描述的分享鉴权证书的示意图;
[0014]图6是根据本发明实施例描述的网络端用于通信装置间分享鉴权证书流程图;
[0015]图7是根据本发明实施例描述的移动装置侧分享鉴权证书流程图;
[0016]图8是根据本发明实施例描述的另一移动装置侧分享鉴权证书流程图。
【具体实施方式】
[0017]在说明书及权利要求书当中使用了某些词汇来指称特定的元件。所属【技术领域】的技术人员应可理解,硬件制造商可能会用不同的名词来称呼同一个元件。本说明书及权利要求书并不以名称的差异作为区分元件的方式,而是以元件在功能上的差异作为区分的准贝U。在通篇说明书及权利要求项中所提及的“包含”为一开放式的用语,故应解释成“包含但不限定于”。此外,“耦接”一词在此包含任何直接及间接的电气连接手段。因此,若文中描述第一装置耦接于第二装置,则代表第一装置可直接电气连接于第二装置,或通过其它装置或连接手段间接地电气连接至第二装置。
[0018]接下来的描述是实现本发明的最佳实施例,其是为了描述本发明的发明原理,并非对本发明的限制。可以理解的是,本发明实施例可由软件、硬件、固件或其任意组合来实现。
[0019]请参考图1,图1是根据本发明实施例描述的无线通信系统示意图。无线通信系统10支持热点(hot spot) 2.0协议,其简单来说是由网络端以及多个用户设备(userequipment, UE)所组成。在图1中,使用网络端与用户设备说明无线通信系统10的架构。上述网络端可包含多个支持热点2.0协议的服务器以及多个接入点(access point, AP)。此外,上述用户装置可为如移动电话、笔记本电脑、平板计算机、电子书、便携式计算机系统等通信装置。在后续说明中,通信装置可使用UE作为代表。
[0020]请参考图2,图2是根据本发明实施例描述的通信装置示意图。通信装置20可为图1中的用户设备,其包含处理装置200、储存单元210以及通信接口单元220。处理装置200可为微处理器或特定应用集成电路(Application-Specific Integrated Circuit, ASIC)。储存单元210可为任一数据储存装置,处理装置200可通过储存单元210读取及执行其中存储的程序码。举例来说,储存单元210可为用户识别模块(Sub scriber Identity Module,SIM)、只读存储器(Read-Only Memory, ROM)、随机存取存储器(Random-Access Memory,RAM)、光驱(Q)-R0M/DVD-R0M)、磁带(magnetic tape)、硬盘(hard disk)及光数据存储器(optical data storage device)等,本发明不限于此。通信接口单元220可为无线收发器(transceiver),其根据处理装置200的处理结果,用来传送及接收信息(如信号或数据包)。
[0021]请参考图3,图3是根据本发明实施例描述的在通信装置间分享鉴权证书的流程图。流程30可用于无线通信系统10中。流程30包含以下步骤:
[0022]步骤300:开始。
[0023]步骤302:由第一通信装置传送认证请求(authentication request)与专属鉴权证书(dedicated credential)至网络端,以与网络端执行认证程序。
[0024]步骤304:在该认证程序完成后,由该第一通信装置取得临时鉴权证书(temporalcredential)。
[0025]步骤306:由该第一通信装置传送该临时鉴权证书与鉴权证书保管请求(credential custody request)至该网络端。
[0026]步骤308:由该网络端传送第一保管信息至该第一通信装置。
[0027]步骤310:由第二通信装置传送鉴权证书获取请求(credential acquiringrequest)与第二保管信息至该网络端。
[0028]步骤312:根据该第二保管信息,决定是否传送该临时鉴权证书至该第二通信装置。
[0029]步骤314:结束。
[0030]根据流程30,第一通信装置传送认证请求与专属鉴权证书至网络端,以与网络端执行认证程序。其中,专属鉴权证书可为移动装置的SM UICC,且本发明不限于此。在认证程序完成后,第一通信装置自网络端取得临时鉴权证书。当第一通信装置需要与其他通信装置分享此临时鉴权证书时,第一通信装置传送临时鉴权证书与鉴权证书保管请求至网络端。自第一通信装置接收到临时鉴权证书及鉴权证书保管请求后,网络端回传第一保管信息至第一通信装置,以通知第一通信装置临时鉴权证书已被网络端保管。
[0031]接下来,若第二通信装置欲取得由网络端所保管的临时鉴权证书,第二通信装置会传送鉴权证书获取请求与第二保管信息至网络端。网络端进而根据第二保管信息,决定是否传送临时鉴权证书至第二通信装置。若第二保管信息等同于(或匹配于)第一保管信息,网络端传送第一通信装置的临时鉴权证书至第二通信装置。第二通信装置从而可通过第一通信装置所取得的临时鉴权证书,开始存取网络资源。也就是说,第一通信装置与第二通信装置分享临时鉴权证书,以使第一通信装置与第二通信装置可同时连接网络并存取网络资源。
[0032]请参考图4,图4是根据本发明另一实施例描述的在通信装置间分享鉴权证书的流程图。流程40可用于无线通信系统10中。流程40可包含以下步骤:
[0033]步骤400:开始。
[0034]步骤402:由第一通信装置传送认证请求与专属鉴权证书至网络端的接入点(access point, AP),以与网络端执行认证程序。
[0035]步骤404:在认证授权记账(authentication authorization accounting,MA)月艮务器接受该认证请求后,在第一通信装置与在线注册(on-line sign-up, OSU)服务器间建立安全传输层协议(transport layer security, TLS)会话。
[0036]步骤406:由该第一通信装置传送用于在线注册程序的个人信息至该在线注册服务器,以完成该认证程序并取得临时鉴权证书。
[0037]步骤408:由该第一通信装置传送该临时鉴权证书与鉴权证书保管请求至该在线注册服务器。
[0038]步骤410:由该在线注册服务器传送第一保管信息至该第一通信装置。
[0039]步骤412:在第二通信装置与该在线注册服务器间建立安全传输层协议会话。
[0040]步骤414:由该第二通信装置传送鉴权证书获取请求与第二保管信息。[0041]步骤416:根据该第二保管信息,决定是否传送该临时鉴权证书至该第二通信装置。
[0042]步骤418:结束。
[0043]关于流程40的详细运作过程,举例说明如下。请参考图5,图5是根据本发明实施例描述的分享鉴权证书的示意图。当用户拥有通信装置UEl及UE2且用户欲使通信装置UEl及UE2同时连接网络时,用户首先操作通信装置UEl (例如移动电话)传送通信装置UEl的专属鉴权证书CRE_D与认证请求AR至网络端的AP,以执行认证程序(步骤402)。其中,专属鉴权证书CRE_D可为通信装置UEl的用户识别模块通用集成电路卡,且本发明不限于此。在网络端的认证授权记账服务器检验专属鉴权证书CRE_D并接受认证请求AR后,认证授权记账服务器传送接受信息至AP,且通信装置UEl与在线注册服务器建立安全传输层协议会话(步骤404)。接下来,通信装置UEl传送个人信息PI与鉴权证书保管请求CCR至在线注册服务器。在此实施例中,个人信息PI可包含用户名称、密码及用户的其他信息,且不限于此。在线注册服务器根据个人信息PI,完成认证程序的在线登入程序,从而完成认证程序。然后,在线注册服务器为通信装置UEl配置临时鉴权证书CRE_T。需注意的是,在线注册服务器会根据鉴权证书保管请求CCR,保管临时鉴权证书CRE_T的备份,并传送保管信息CIl至通信装置UEl (步骤406?410)。举例来说,保管信息CIl可为保管密码(例如12345678)。在取得临时鉴权证书CRE_T后,通信装置UEl断开安全传输层协议会话,并通过临时鉴权证书CRE_T与AP连接网络。
[0044]接下来,由于通信装置UE2没有用来连接网络的鉴权证书,当通信装置UE2尝试通过AP连接网络时,通信装置UE2会被限制于连接至在线注册服务器,并与在线注册服务器建立安全传输层协议会话(步骤412)。在此安全传输层协议会话中,通信装置UE2传送鉴权证书获取请求CAR至在线注册服务器,且在线注册服务器自通信装置UE2取得保管信息Cl2。在此实施例中,在线注册服务器可通过使通信装置UE2开启网络浏览器并连接至全球资源定位器(Universal Resource Locator, URL)并且通信装置UE2通过网络浏览器传送保管信息CI2至在线注册服务器来获取保管信息CI2。(步骤414)。值得注意的是,通信装置UE2未传送个人信息(如用户名称、密码及用于认证程序的其他信息)。若在线注册服务器判断保管信息CI2等同于(或匹配于)在线注册服务器传送至通信装置UEl的保管信息CIl (即用户输入由通信装置UEl所取得的保管信息CIl作为保管信息CI2),则在线注册服务器传送临时鉴权证书CRE_T至通信装置UE2,通信装置UE2从而可通过AP与临时鉴权证书CRE_T连接至网络(步骤416)。如此一来,通信装置UE2无须执行认证程序,即可获得临时鉴权证书CRE_T,从而获得较好用户体验。尤其是,若用户拥有其他需要连接至网络端的装置,用户可通过实施如同通信装置UE2的步骤(即步骤412?416),为其他装置取得临时鉴权证书CRE_T。
[0045]以上叙述中网络端的运作过程可归纳为流程60,如图6所示,图6是根据本发明实施例描述的网络端用于通信装置间分享鉴权证书流程图。流程60可用于无线通信系统10中的网络端,且包含以下步骤:
[0046]步骤600:开始。
[0047]步骤602:自无线通信系统的第一通信装置接收临时鉴权证书与鉴权证书保管请求。[0048]步骤604:根据该鉴权证书保管请求,保留该临时鉴权证书。
[0049]步骤606:传送第一保管信息至该第一通信装置,以通知该第一通信装置该临时鉴权证书以被该网络端所保管。
[0050]步骤608:自该无线通信系统的第二通信装置接收鉴权证书获取请求与第二保管信息。
[0051]步骤610:根据该第二保管信息,决定是否传送该临时鉴权证书至该第二通信装置。
[0052]步骤612:结束。
[0053]关于流程60的详细运作过程可参照上述,为求简洁,在此不赘述。根据流程60,网络端可保管由第一通信装置所传送的临时鉴权证书。且当第二通信装置传送的第二保管信息等同于(或匹配于)传送至第一通信装置的第一保管信息时,网络端传送临时鉴权证书至第二通信装置。
[0054]以上叙述中第一通信装置的运作可归纳为流程70,如图7所示,图7是根据本发明实施例描述的移动装置侧分享鉴权证书流程图。流程70可用于无线通信系统10中的通信装置(即用户设备),且包含以下步骤:
[0055]步骤700:开始。
[0056]步骤702:传送认证请求与专属鉴权证书至无线通信系统的网络端,以执行认证程序。
[0057]步骤704:在该认证程序完成后,自该网络端取得临时鉴权证书。
[0058]步骤706:传送该临时鉴权证书与鉴权证书保管请求至该网络端,以使该网络端保管该临时鉴权证书。
[0059]步骤708:结束。
[0060]关于流程70的详细运作过程可参照前述,为求简洁,在此不赘述。根据流程70,通信装置可通过传送临时鉴权证书与鉴权证书保管请求至网络端,使网络端保管临时鉴权证书。
[0061]以上叙述中第二通信装置的运作可归纳为流程80,如图8所示,图8是根据本发明实施例描述的另一移动装置侧分享鉴权证书流程图。流程80可用于无线通信系统10中的通信装置(即用户设备),且包含以下步骤:
[0062]步骤800:开始。
[0063]步骤802:传送鉴权证书获取请求与第二保管信息至无线通信系统的网络端。
[0064]步骤804:当该第二保管信息等同于对应临时鉴权证书的第一保管信息时,从该网络端接收该临时鉴权证书。
[0065]步骤806:结束。
[0066]关于流程80的详细运作过程可参照前述,为求简洁,在此不赘述。根据流程80,通信装置可传送鉴权证书获取请求与第二保管信息至网络端,以请求临时鉴权证书。若第二保管信息等同于(或匹配于)对应临时鉴权证书的第一保管信息时,通信装置可自网络端取得该临时鉴权证书。也就是说,通信装置不需要执行认证程序及在线注册程序,即可获得临时鉴权证书。
[0067]需注意的是,上述实施例是在无线通信系统的通信装置间分享通过完成认证程序(包含在线注册程序)所取得的鉴权证书。无线通信系统中不同的通信装置可利用相同的鉴权证书,同时存取网络资源。据此,当用户欲将多个通信装置连接网络时,用户不需要多次执行认证程序,从而提供便利的用户体验且改善无线通信系统的效能。根据不同应用及设计理念,本领域技术人员可对本发明实施合适的调整及修改。举例来说,若第一通信装置可直接利用专属鉴权证书来存取网络资源,第一通信装置可与第二通信装置分享专属鉴权证书,而不是分享由网络端所取得的临时鉴权证书。换言之,若第一通信装置的专属鉴权证书可直接被用来取得网络资源,流程30中的步骤302及304以及流程40中的步骤402?406可被省略。第一通信装置转而传送专属鉴权证书及鉴权证书保管请求至网络端,以使网络端保管专属鉴权证书,并与第二通信装置分享专属鉴权证书。
[0068]图5所示的实施例仅用于介绍流程30及40,本领域技术人员可依本发明的精神加以结合、修饰或变化以上所述的实施例,本发明不限于此。前述所有流程的步骤(包含建议步骤)可通过装置实现,装置可为硬件、韧体(为硬件装置与计算机指令与数据的结合,且计算机指令与数据属于硬件装置上的只读软件)或电子系统。硬件可为模拟微电脑电路、数字微电脑电路、混合式微电脑电路、微电脑芯片或娃芯片。电子系统可为片上系统(system onchip, S0C)、系统级封装(system in package, SiP)、嵌入式计算机(computer on module,COM)及通信装置20。
[0069]综上所述,上述实施例提供在支持热点2.0协议的无线通信系统中分享鉴权证书的方法。据此,不同的通信装置无须重复实施认证程序,即可分享相同的鉴权证书并据以存取网络资源。
[0070]像“第一”、“第二”、“第三”等在说明书或权利要求书中修饰元件的序词并不意味着自身具有任何优先权、优先级或者一个元件的等级高于另一个元件或者方法执行的时间顺序,而仅仅作为标号用于区分一个具有确切名称的元件与具有相同名称(除了修饰序词)的另一兀件。
[0071]在不脱离本发明精神或本质特征的情况下,可以其他特定形式实施本发明。描述示例被认为说明的所有方面并且无限制。因此,本发明的范围由权利要求书指示,而非前面描述。所有在权利要求等同的方法与范围中的变化皆属于本发明的涵盖范围。
【权利要求】
1.一种分享鉴权证书的方法,用于无线通信系统,其中该无线通信系统包含第一通信装置、第二通信装置以及网络端,该分享鉴权证书的方法包含: 由该第一通信装置传送临时鉴权证书与鉴权证书保管请求至该网络端; 由该网络端传送第一保管信息至该第一通信装置; 由该第二通信装置传送鉴权证书获取请求与第二保管信息至该网络端;以及 根据该第二保管信息,决定是否传送该临时鉴权证书至该第二通信装置。
2.如权利要求1所述的分享鉴权证书的方法,其特征在于,根据该第二保管信息,决定是否传送该临时鉴权证书至该第二通信装置的步骤包含: 当该第二保管信息等同于该第一保管信息时,传送该临时鉴权证书至该第二通信装置。
3.如权利要求1所述的分享鉴权证书的方法,其特征在于,另包含: 由该第一通信装置传送认证请求与专属鉴权证书至该网络端,以执行认证程序;以及 在该认证程序完成后,由该第一通信装置取得该临时鉴权证书。
4.如权利要求1所述的分享鉴权证书的方法,其特征在于,在该认证程序完成后,由该第一通信装置取得该临时鉴权证书的步骤包含: 建立该网络端与该第一通信装置间的会话; 由该第一通信装置传送个人信息至该网络端,以完成该认证程序的在线注册程序;以及 由该第一通信装置取得该临时鉴权证书。
5.一种分享鉴权证书的方法,用于无线通信系统的网络端,该分享鉴权证书的方法包含: 自该无线通信系统的第一通信装置接收临时鉴权证书与鉴权证书保管请求; 根据该鉴权证书保管请求,保留该临时鉴权证书;以及 传送第一保管信息至该第一通信装置,以通知该第一通信装置该临时鉴权证书已被该网络端保留。
6.如权利要求5所述的分享鉴权证书的方法,其特征在于,另包含: 自该无线通信系统的第二通信装置接收鉴权证书获取请求与第二保管信息;以及 根据该第二保管信息,决定是否传送该临时鉴权证书至该第二通信装置。
7.如权利要求6所述的分享鉴权证书的方法,其特征在于,根据该第二保管信息,决定是否传送该临时鉴权证书至该第二通信装置的步骤包含: 当该第二保管信息等同于该第一保管信息时,传送该临时鉴权证书至该第二通信装置。
8.一种分享鉴权证书的方法,用于无线通信系统中的通信装置,该分享鉴权证书的方法包含: 传送临时鉴权证书与鉴权证书保管请求至该无线通信系统中的网络端,以使该网络端保管该临时鉴权证书。
9.如权利要求8所述的分享鉴权证书的方法,其特征在于,另包含: 传送认证请求与专属鉴权证书至该网络端,以执行认证程序;以及 在完成该认证程序后,由该网络端取得该临时鉴权证书。
10.如权利要求9所述的分享鉴权证书的方法,其特征在于,在完成该认证程序后,由该网络端取得该临时认证的步骤包含: 与该网络端建立会话; 传送个人信息至该网络端,以完成该认证程序的在线注册程序;以及 取得该临时鉴权证书。
11.一种分享鉴权证书的方法,用于无线通信系统中的通信装置,该分享鉴权证书的方法包含: 传送鉴权证书获取请求与第二保管信息至该无线通信系统的网络端;以及 当该第二保管 信息等同于对应临时鉴权证书的第一保管信息时,取得该临时鉴权证书。
【文档编号】H04L29/08GK103973768SQ201410043472
【公开日】2014年8月6日 申请日期:2014年1月29日 优先权日:2013年2月5日
【发明者】温元锦, 苏世昌, 黄舜雍, 易志熹, 苏伟鸿 申请人:联发科技股份有限公司