用于在热点网络中未知设备的受限证书注册的制作方法

本申请要求在先提交的名称是“Restricted Certificate Enrollment for Unknown Devices in Hotspot Networks(用于在热点网络中未知设备的受限证书注册”的美国临时申请No.61/726,009(于2012年11月13日提交)的权益，其在此通过引用而被全部包含。

技术领域

本发明通常涉及网络无线通信领域。

背景技术：

本部分介绍有助于促进更好理解本发明的各方面内容。因此，本部分的陈述应当从此角度阅读，而不应当被理解为承认现有技术包括什么或现有技术不包括什么。

最近，在移动设备和移动应用上的进步已经造成了对移动网络上带宽和性能的重大需求。移动和WiFi网络技术和标准正向异构网络(HetNet)架构的方向演变。该演变被期望允许移动服务提供者将移动网络业务卸载到WiFi网络，并且还使这些移动服务提供者能够提供包括蜂窝和WiFi接入的综合服务计划。

技术实现要素：

本发明的一个实施例提供了一种例如操作在线注册服务器(OSU)的方法。该服务器从客户端设备(例如，移动网络接入设备或只使用WiFi的设备)接收网络接入证书签名请求。在证书签名请求包括与预定值相等的网络接入标准的情况下，服务器将证书请求转发到证书颁发机构。

本发明的另一个实施例提供了一种服务器，例如OSU服务器，其被配置为执行上述方法的实施例。该服务器包括处理器和与网络耦合的网络接口。非暂时性机器可读存储介质具有在其上编码的程序代码。程序代码由处理器执行以实现包括通过网络接口从移动网络接入设备接收证书注册请求的方法。该方法还包括：在证书注册请求包括与预定值相等的网络接入标准标识符的情况下，通过网络接口向证书颁发机构转发证书注册请求。

在本发明的一些实施例中，上述的方法包括在包括设备识别数据的消息已经先前从设备接收到的情况下，从移动网络接入设备或只使用WiFi的设备接收证书签名请求，以及将证书签名请求转发到证书颁发机构。在本发明的一些实施例中，预定值指定热点2.0(HS2.0)或更新的标准。在本发明的任何实施例中，预定值可以通过扩展密钥使用(EKU)密钥目的字段来传送。在一些实施例中，预定值包括字符串id-kp-HS2.0Auth。在本发明的不同实施例中，客户端设备可以包括例如移动电话、智能电话、移动计算设备、没有移动电话功能的移动计算设备、或者具有WiFi的个人计算机。

本发明的另一方面提供了一种例如操作证书授予服务器(例如证书机构(CA))的方法。该方法包括由证书授予服务器例如从移动网络接入设备接收用于网络接入的证书签名请求。在证书注册请求包括与预定值相等的网络接入标准的情况下，服务器向该设备提供签名的网络接入证书。

本发明的另一个实施例提供一种服务器，其被配置为执行上述方法的实施例。该服务器包括处理器和可操作地耦合到网络的网络接口。非暂时性机器可读取存储介质具有在其上编码的程序代码。程序代码由处理器执行以实现包括通过网络接口从移动网络接入设备或只使用WiFi的设备接收证书注册请求的方法。在证书注册请求包括与预定值相等的网络接入标准的情况下，签名的网络接入证书通过网络接口提供给该设备。

在本发明的不同实施例中，签名的接入证书包括识别移动网络接入设备的设备识别数据。在一些这样的实施例中，设备识别数据在签名的证书的主题字段中传送。在本发明的一些实施例中，网络接入标准指示指定HS2.0或更新的标准。在本发明的一些实施例中，网络接入标准指示在签名的证书的EKU_key_purpose字段中传送。在本发明的一些实施例中，签名的接入证书包括网络接入标准指示是关键的指示。在本发明的一些实施例中，设备识别数据包括IMEI、MEID、MAC地址或唯一的设备标识(ID)，例如序列号。

本发明的另一个方面提供了一种例如操作移动网络接入设备(例如移动电话或只使用WiFi的设备)的方法。该移动设备接收用于接入服务提供者网络的证书。该设备向服务提供者网络服务器发送证书签名请求，该签名请求包括网络接入标准指示。该移动设备接收签名的接入证书，其包括网络接入标准指示。

本发明的另一个实施例提供一种移动网络接入设备，例如移动电话或只使用WiFi的设备，其被配置为执行上述方法的实施例。该移动网络接入设备包括处理器和被配置为与无线网络通信的收发机。非暂时性机器可读存储介质具有在其上编码的程序代码。程序代码由处理器执行以实现包括通过收发机接收用于接入服务提供者网络的证书的方法。证书签名请求通过收发机发送到服务提供者网络服务器，该签名请求包括网络接入标准指示。签名的接入证书通过收发机接收，该证书包括网络接入标准指示。

该方法的不同实施例还包括由移动网络接入设备或只使用WiFi的设备向网络接入服务器提供设备识别数据，其中签名的接入证书包括设备识别数据。在一些这样的实施例中，设备识别数据在签名的证书的主题字段中传送。在本发明的一些实施例中，网络接入标准指示指定HS2.0或更新的标准。在本发明的一些实施例中，网络接入标准指示在签名的证书的EKU_key_purpose字段中传送。在本发明的不同实施例中，客户端设备可以包括移动电话、智能电话、移动计算设备、没有移动电话功能的移动计算设备、或具有WiFi的个人计算机。在本发明的一些实施例中，签名的接入证书包括网络接入标准指示是关键的指示。

本发明的另一个实施例提供了一种例如操作认证授权和计费(AAA)服务器的方法。该方法包括由服务器从客户端设备接收包括接入证书的网络接入请求。该服务器确定与证书相关联的目的指示，例如密钥目的。如果目的指示匹配预定目的指示，例如对于特定网络接入标准，则该服务器准许客户端设备接入网络服务。

本发明的另一个实施例提供了一种服务器，其被配置为执行上述方法的实施例。该服务器包括处理器和可操作地耦合到网络的网络接口。非暂时性机器可读存储介质具有在其上编码的程序代码。程序代码由处理器执行以实现包括通过网络接口从客户端设备接收包括证书的网络接入请求的方法。网络服务器确定与证书相关联的目的。在目的是预定目的的情况下，准许客户端设备接入网络服务。

在本发明的不同实施例中，预定目的包括接入热点网络。在一些这样的实施例中，热点网络符合HS2.0或更新的网络标准。在本发明的不同实施例中，该方法还包括在证书机构确定由客户端设备提供的证书被撤销的情况下，拒绝客户端设备接入网络。在本发明的不同实施例中，证书将目的包括在扩展密钥使用(EKU)密钥目的字段中。在本发明的不同实施例中，服务器是认证授权和计费(AAA)服务器。

附图说明

通过参考下面的详细描述并结合附图，可获得对本发明的更完整的理解，其中：

图1表示一个系统，例如包括服务提供者网络和网络接入热点的服务提供者架构，其包括根据在此公开的不同实施例配置的OSU、AAA和CA以及根据在此公开的不同实施例配置为通过热点来接入网络服务的移动网络接入设备，例如移动电话；

图2表示被配置为根据不同实施例操作的移动网络接入设备的示例性实施例，例如图1的接入设备；

图3表示被配置为根据不同实施例操作的网络服务器的示例性实施例，例如图1的OSU、AAA或CA服务器；

图4和图5呈现了根据不同实施例的说明例如客户端(例如图1的接入设备)、OSU服务器、AAA服务器和CA服务器之间的消息的通信的方法的实施例；

图6示意性地表示如在不同实施例中配置的PKCS消息字段，例如，如在图4和图5中的方法的一些实施例中使用的；

图7示意性地表示网络接入证书，其中证书字段如对于包括图4和图5的方法的不同实施例所描述的进行配置。

具体实施方式

本公开针对例如通过未知和/或未注册的移动网络接入设备经由移动热点服务提供者请求网络接入来进行在线证书注册的方法和系统。一种这样的热点服务提供者类型符合热点2.0标准和/或更新的修订版本，在此有时被简称为HS2.0。

对于改进的“下一代”移动热点网络架构的规范的持续发展保持着积极的努力。HS2.0被认为是4G移动LTE网络和WiFi网络的融合通向下一代异构网络(HetNet)架构的关键使能技术。当在此描述的实施例提到HS2.0时，应当理解本公开和权利要求的范围不限于HS2.0，可以包括例如用于类似目的的当前或以前的标准、对HS2.0标准的改进更新、或其它或以后开发的使用类似协议的标准。

HS2.0使移动网络接入设备(例如，诸如智能电话、或平板计算机、或其它移动计算机的移动设备)能够动态地从优先网络列表中搜索可用且合适的HS2.0网络，注册服务，以及被远程配置必要的接入凭证以接入HS2.0网络。为了使HS2.0网络接入安全并在移动期间能够无缝接入，设备可在初始WiFi接入期间被提供X.509证书以用于认证。

注册HS2.0接入的设备对于HS2.0网络运营者一般是预先未知的(例如，没有注册)。因此，这些设备可能需要在例如遇到网络接入点时在线进行注册以接入网络。这种未注册的设备进行在线注册以获取X.509认证证书的需要对HS2.0服务提供者造成了安全问题。由于设备对于HS2.0运营者是未知的，因此，在HS2.0运营者网络内或与HS2.0运营者网络连接的证书颁发机构(CA)一般不能够认证被请求的证书机构与为了证书而注册的设备之间的关联。这可能产生一种机制，通过该机制，恶意设备可冒充请求证书注册的请求设备，从而从CA接收到具有该实体无权得到的特权的证书。

在已知/预先注册或预先配置的设备的情况下提供保护以及用于管理员验证的离线注册的机制是已知的。但是，这样的方法一般不适用于未注册设备的在线证书注册的情况，这种在线证书注册适用于HS2.0WiFi接入使用情况。因此，需要用于防止在这种情况下未注册设备的在线证书注册的误用的方法和设备。

在此描述的实施例提供了被配置为克服传统的证书颁发的上述缺点的方法和/或设备。如下面更充分描述的，一些实施例通过提供由因特网工程任务组(IETF)发布的RFC5280所提供的keyPurposeID字段的值来在无线网络中提供未知设备的认证，该值识别注册设备进行的授权连接。一些实施例提供了一种机制，由此注册设备向在线注册服务器(OSU)提供唯一的标识符，例如，国际移动设备识别码(IMEI)号码、WiFi媒体接入控制(MAC)地址、移动设备识别码(MEID)号码或唯一的设备ID。在这样的实施例中，OSU可要求在随后的证书签名请求(CSR)中提供的身份匹配在注册期间提供的身份，从而防止另外的设备冒充已注册的设备。

首先考虑图1，示意了系统100，例如被配置为提供符合HS2.0标准以及在此描述的不同实施例的无线连接的通信网络。系统100在此也可非限制地称为网络100。如前面所述的，系统100的实施例不限于HS2.0标准。系统100包括网络105(例如服务提供者网络(SPN))和热点110(例如Wi-Fi接入网络(WAN))。网络(105)包括认证、授权和计费(AAA)服务器115、策略服务器120、签约补救服务器125和在线注册(OSU)服务器130。OSU服务器130与CA服务器135连接。服务器115、120、125、130通过未引用的数据路径连接到服务提供者核心服务提供者(SP)网络140，该网络再连接到因特网。

在不同的实施例中，OSU130遵循HS2.0标准以作为在线注册服务器工作。这样，OSU130为无线设备提供注册接入网络100的注册服务。本发明的实施例尤其提供了保护用于HS2.0接入的在线证书注册的过程的系统。

热点110包括HTTP服务器150和AAA服务器155。服务器150和155均连接到无线接入网络，其中，接入控制列表(ACL)在第一路由器160上应用。第一路由器160与第二路由器165连接，该第二路由器165又与例如无线接入节点中的射频(RF)收发机170连接。热点110通过SP网络140与第一路由器160之间的未引用的数据路径与网络105连接。用户175可通过移动网络接入设备180接入因特网145，其中移动网络接入设备180在此并在权利要求中有时被称为客户端设备180。术语“客户端设备”包括被所属领域的技术人员有时称为“用户设备”或UE的设备，例如移动电话手机。客户端设备180可以是或包括例如智能电话、个人数字助理(PDA)、上网本、笔记本电脑或平板计算机、膝上型电脑或类似设备，其被配置为通过RF收发机170而与热点110协商并维持无线数据连接。在不同的实施例中，客户端设备180能够与WiFi网络通信，并在某些实施例中也能够与蜂窝网络通信。在一些情况下，客户端设备180缺乏与蜂窝通信网络通信的能力，例如“只使用WiFi”。在此，“移动”设备是被配置为在没有机械辅助的情况下按惯例由人传输的设备。在该上下文中，机械辅助排除个人组织设备，诸如背包、书包、文件夹等。

图2表示被配置为根据不同实施例工作的装置200，例如客户端设备180。本领域的技术人员将认识到以下装置200的描述代表多个可能的实现方式。另外，虽然装置200的不同功能可为了方便而通过单个的功能框进行描述，但本领域的技术人员将认识到这样的功能可分布在装置200内的不同组件中，并且在一些情况下可通过共享组件来实现。

在所示的实施例中，装置200包括收发机210、处理器220和存储器230。收发机210被耦合到天线240，并用于经由天线240接收和/或发射RF信号。处理器220与收发机210和存储器230协同工作以调制并编码所传输的RF信号和/或解调并解码所接收的RF信号。收发机210、处理器220和存储器230除了本发明所公开的范围内的实施例以外可以是惯用的。存储器230可以是有形的非暂时性存储介质，例如RAM、ROM、闪存等等。存储器230包含被配置为实施下面描述的不同实施例(例如方法400和500)的步骤，例如指令。

图3表示被配置为根据不同实施例工作的装置300，其代表例如AAA服务器115、OSU服务器130和CA服务器135。本领域的技术人员将认识到以下装置300的描述还代表了许多可能的实施方式。另外，虽然装置300的不同功能可为了方便通过单个的功能框进行描述，但本领域的技术人员将认识到这样的功能可分布在装置300内的不同组件中，并且在一些情况下可通过共享组件来实现。

在所示的实施例中，装置300包括网络接口310、处理器320和存储器330。网络接口310用于通过网络340接收和/或发送数据，例如局域网或因特网。处理器320与网络接口310和存储器330协同工作以对用于传输到网络的数据进行格式化和/或从网络接收数据。网络接口310、处理器320和存储器330除了本发明所公开的范围内的实施例以外可以是惯用的。存储器330可以是有形的非暂时性存储介质，例如RAM、ROM、闪存、磁盘、光盘等等。存储器330包含被配置为实施下面描述的不同实施例(例如方法400和500)的步骤，例如指令。

图4表示例如用于认证客户端设备180以从网络105接收网络服务的方法400。方法400的一些方面可通过不同的标准描述，例如，由RSA安全公司(美国马萨诸塞州Bedford市)开发和/或推广的公共密钥加密标准(PKCS)或者IETF RFC5280，其在此通过引用而被全部包含。方法400描述了客户端410、OSU服务器130、AAA服务器与CA服务器135之间的交互。客户端410代表客户端设备180的各种实施例，例如智能电话、PDA、上网本、笔记本电脑或平板计算机、或膝上型计算机。方法400的不同步骤可通过装置200(例如客户端设备180)的实例和装置300(例如，OSU服务器130、AAA服务器115和CA服务器135)的多个实例来实现。

在步骤430中，客户端410发布证书请求到OSU服务器130，例如，通过发布HTTPS或HTTP GET请求到来自与热点110提供者相关联的列表元素的基础统一资源标识符(URI)。在步骤435，OSU服务器130将证书请求转发到CA服务器135。在步骤440，CA服务器135向OSU服务器130返回所请求的证书。该证书在此可被称为证书机构证书，或简称为CA证书，有时也称为根证书。

在步骤445，OSU服务器130将CA证书返回到客户端410。CA证书可以是例如X.509证书。在一个实施例中，OSU服务器130向CA证书提供采用“application/pkcs7-mime”格式的“退化”certs-only PKCS7消息。然后，在步骤450中，客户端410向OSU服务器130发送证书签名请求，该证书签名请求包括指定网络接入标准的预定参数值，网络接入标准例如是热点接入标准，诸如HS2.0，但并不限于该标准。标准可以经由PKCS10消息的EKU_key_purpose字段传送。在下面的讨论中，该值可以称为但并不限于“HS2.0”。在该上下文中，热点接入标准是说明用于建立和/或维持移动设备与WiFi网络架构之间的通信的协议的标准。在各种实施例中，由OSU服务器130发送的消息符合PKCS10标准。并非限制，EKU_key_purpose字段的值可被设置为“id-kp-HS2.0Auth”。

图6示意性地表示PKCS消息600(例如，PKCS10消息)的一部分。消息600包括多个参数字段。主题参数字段610提供稍后由CA 135使用以提供客户端证书的值。如由IETF RFC5280标准提供的EKU_key_purpose参数字段620提供规定客户端410的网络接入请求想要在适用的热点标准(例如HS2.0)内执行的机制。当然，字段620可包括传达标准的任何合适的值，其中客户端设备180与网络105之间的通信将要在该标准下执行。

返回到图4，在步骤455中，OSU服务器130向CA服务器135发送注册客户端证书的请求。该请求包括如由OSU服务器130接收到的主题参数字段610的值，例如EKU_key_purpose＝HS2.0。

在步骤460中，CA服务器135将注册了的证书返回到OSU服务器130。注册了的证书可以在此被称为客户端证书。

图7示意性地表示根据本发明的不同实施例配置的客户端证书700。客户端证书700包括主题参数705和EKU列表710。EKU列表710包括各种附加参数，包括keyPurposeID参数720和关键性参数730，上述的每一个参数将会在下面描述。

客户端证书700在KeyPurposeID参数720中包括先前通过PKCS消息600(图6)的参数字段620提供的值。KeyPurposeID参数720可以具有与在步骤450中指定的相同的值，例如id-kp-HS2.0Auth。可选地，客户端证书700包括“关键”指示。该指示通过客户端证书700的关键性参数730被设置为值“关键”来示意性地示出。该“关键”指示可用于表明相关联的EKU列表710的处理是证书处理实体(例如，OSU 130)强制的。

返回到图4，在步骤465中，OSU服务器130向客户端410提供客户端证书。在步骤470中，客户端410尝试通过向AAA服务器115呈现客户端证书来接入热点网络。客户端410可以使用例如EAP-TLS(可扩展认证协议-传输层安全)协议来建立网络接入。

在可选的步骤475中，AAA服务器115向CA服务器135发送消息以确定客户端证书是否已经被撤销。如果客户端证书还没有被撤销，则在步骤480中，CA服务器135进行响应以指示证书还没有被撤销。在步骤485中，AAA服务器115可以对客户端证书执行附加检查。例如，AAA服务器115可以验证签名的证书的指定目的(例如id-kp-HS2.0Auth)是预先定义的允许的目的。步骤485被示为在步骤475/480完成后发生，但是实施例并不限于这样的步骤顺序。

在步骤485中，AAA服务器115可以执行以下动作中的一个或多个。首先，AAA服务器115可以通过验证证书完整性来证实客户端证书。这可以例如通过首先创建证书内容的单向散列来完成。在一些实施例中，这可以使用在客户端证书中指示的散列算法来完成。在这种情况下，散列值可以临时存储在存储器中。接着，嵌入在客户端证书中的数字签名可以使用包括在证书中的公共密钥来解密。在CA服务器135发布客户端证书的其它实施例中，公共密钥可以从CA根证书中使用。如果散列值匹配，则AAA服务器115可以推断出客户端证书自从创建以来还没有被改变。AAA服务器115还可以检查OCSP(在线证书状态协议)以确定客户端证书是否仍然有效。AAA服务器115还可以在步骤485中确定EKU_key_purpose字段(例如KeyPurposeID参数720)被正确报告。如以上描述的，KeyPurposeID参数720的内容可以确定准许客户端设备180的接入。因此，为了继续先前的例子而非限制，当该值是“id-kp-HS2.0Auth”时，客户端设备180可被认证接入因特网145，但是可能不被准许其它活动的特权，例如而非限制，电子邮件和/或VPN。

最后，在步骤490中，如果客户端证书和指定目的是有效的，则AAA服务器115向客户端410传递指示网络接入被准许的消息。该消息可再次通过EAP-TLS协议传递。

图5表示实施例，例如方法500，其包括准许客户端410(例如客户端设备180)接入网络105的其它方面。在本实施例中，证书(例如X.509证书)的主题字段被识别客户端设备180的识别数据填写，例如IMEI号码、MEID号码、WiFi MAC地址或唯一的设备ID。除了下面的步骤以外，方法500的步骤与针对方法400描述的一样。

在步骤510中，客户端410通过消息向OSU服务器130提供识别数据，例如“deviceID”或“DeviceInfo”。消息可以例如通过HTTPS协议传送。OSU 130可以在数据库中记录识别数据。客户端设备180可以将识别参数作为主题名称包括在步骤450中发送到OSU130的证书请求中，其中CA服务器135将主题名称包括在步骤460中提供的客户端证书中。在可替换的实施例中，客户端设备180可以通过证书签名请求的SubjectAltName字段提供识别参数。在另一个可替换的实施例中，OSU 130可以通过使用任何支持的通信协议来从客户端设备180获取识别数据。在步骤520中，OSU 130可以验证在主题名称中指定的识别数据是否匹配由客户端设备180在步骤450的证书请求中提供的设备身份。在一些实施例中，OSU 130可以使用任何支持的协议来查询客户端设备180，并验证所指定的设备识别数据是否匹配由客户端设备180返回的设备识别数据。在任一情况下，该身份检查可以防止可能的恶意设备冒充客户端设备180。如果设备识别检查在步骤520中是有利的，则OSU服务器130可以将识别数据包括在步骤455的证书注册请求中。然后，CA服务器135可以将识别数据包括在步骤460中颁发的证书的主题参数705中，如客户端证书700(图7)所示例的。

一旦证书签名请求被验证为有效，则OSU 130可以按照HS2.0规范所规定的其它规则进行设备证书的认证的注册过程。此外，与CA服务器135基础架构联合工作的OSU 130可以确保“id-kp-HS2.0Auth”对象或其它服务类似目的的类似对象被包括在所颁发的X.509证书中所包括的EKU列表710中。

虽然本发明的多个实施例已经在附图中示意并在上述的具体实施方式中进行了描述，但是应当理解，本发明不限于上述公开的实施例，而是在不脱离如由所附的权利要求陈述并限定的本发明的情况下能够进行各种重新排列、修改和替换。