无线设备的安全在线注册和配置的制作方法

无线设备的安全在线注册和配置的制作方法
【专利说明】无线设备的安全在线注册和配置
[0001]相关申请
[0002]本申请请求保护在2012年12月27日递交的美国专利申请序列号N0.13/728, 606的优先权的利益，该申请通过引用的方式被全部并入本文中。
技术领域
[0003]本公开的实施例涉及无线通信。一些实施例涉及用于服务连接性的安全在线注册和证书的配置。一些实施例与热点2.0网络和热点2.0演进有关。
【背景技术】
[0004]注册并且连接至W1-Fi热点并非简单而用户友好的过程。用户可能不得不在不同的位置面对不同类型的网页、输入信息并选择他们的用户名/密码。目前，尚无为支持W1-Fi功能的设备和热点定义安全在线注册机制的标准化机制。此外，当不同类型的证书(用户名/密码、凭证、用户信息模块(SM)类型证书等等)被配置时，出现了额外的并发问题。
【附图说明】
[0005]图1示出了根据一些实施例的无线网络；
[0006]图2示出了根据一些实施例的在线注册和证书配置机制；
[0007]图3示出了根据一些实施例的订阅管理对象的证书部分；
[0008]图4示出了根据一些实施例的无线网络；
[0009]图5示出了根据一些实施例的在线注册和证书配置机制；
[0010]图6示出了根据一些实施例的在线注册和证书配置机制；
[0011]图7示出了根据一些实施例的在线注册和证书配置机制；
[0012]图8示出了根据一些实施例的在线注册和证书配置机制；
[0013]图9示出了根据一些实施例的在线注册和证书配置机制；
[0014]图10示出了根据一些实施例的系统框图。
【具体实施方式】
[0015]下面的详细描述和附图充分地说明了具体实施例以使本领域的技术人员能够实践它们。其他实施例可包含结构的、逻辑的、电气的处理及其他变化。一些实施例中的部分及其特征可被包括在其他实施例的部分及其特征中或代替其他实施例的部分及其特征。在权利要求中提到的实施例包含那些权利要求的所有可用的等同物。
[0016]图1示出了根据一些实施例的无线网络。根据一些实施例，网络为安全在线注册和证书的配置构成了可操作环境。在图1中，移动设备100(有时被称为用户装置(UE)、站点(STA)或无线设备)可以是被配置成关联W1-Fi热点102并执行与安全在线注册和配置相关联的各种功能的支持W1-Fi功能的设备。移动设备100可包括用以实现诸如，开放移动联盟设备管理(OMA-DM)协议、简单对象访问协议可扩展标记语言(SOAP-XML)协议或一些其他管理协议之类的设备管理协议的设备管理客户端(未被示出)。
[0017]W1-Fi热点102可以是W1-Fi网络的一部分，并且可被耦合至网络106，其中网络106可以是局部网络或路由器，或者可以是通过其可访问诸如互联网之类的其他网络116的网关，或者是二者的组合。W1-Fi热点102可作为W1-Fi接入点(AP)进行操作。
[0018]W1-Fi热点102可被耦合至各种网络元件，诸如，在线注册(OSU)服务器104，认证、授权和计费(AAA)服务器110，归属位置寄存器(HLR) 112和证书授权(CA) 114。在一些实施例中，OSU服务器104可实现OMA-DM协议。在其他实施例中，OSU服务器104可实现SOAP-XML协议或一些其他管理协议。在一些实施例中，OSU服务器104可用作其他服务器或设备(诸如，AAA服务器110、HLR 112和CA 114)的代理。
[0019]根据本文的实施例，移动设备100可被配置用于针对W1-Fi热点的在线注册和证书配置。如下面更加详细地描述的，这些可使用各种管理协议，诸如OMA-DM、SOAP-XML或一些其他协议。这可使在他们的后端核心网络中可能已经实施了这些协议中的一个或多个的蜂窝类型网络服务提供商能够使用相同的服务器和被安装的组件以将该功能扩展为用于服务W1-Fi网络。通过这种方式，W1-Fi网络可与相同的蜂窝网后端核心一起运行，这样以更加无缝和透明的方式实现了从蜂窝类型网络中卸载W1-Fi。蜂窝类型网络可能指的是任何 2G(例如，GSM、EDGE)或 3G (例如，3GPP、3GPP2)或 4G (例如，WiMAX、LTE)配置的网络。
[0020]在图1中，W1-Fi热点102和OSU服务器104能够组成强制门户108的一部分。强制门户能够阻止/拦截IP分组和将请求重新路由至指定的位置。出于安全目的，这能够提供例如，“带围墙的花园”。
[0021]图2示出了根据一些实施例的在线注册和证书配置机制。在图2的实施例中，热点202具有单个服务集标识符(SSID)，其中SSID可被诸如移动设备200之类的设备用来关联热点。此外，在图2中，热点202和OSU服务器204可以是强制门户的一部分(由虚线框206示出)ο
[0022]在图2中，如212和214所示，移动设备200使用热点202的单个SSID以认证和关联热点202。如所描述的，此过程使用带有服务器端认证和4次握手协议的匿名可扩展认证协议传输层安全(EAP-TLS)。移动设备200的证书是根据归属运营商的HLR验证的。作为初始关联过程的一部分，虚拟局域网(VLAN)标识符被传递至移动设备200以用于在线注册和证书配置。通过不同的路由策略，不同的VLAN配置能够被用于不同的移动设备。
[0023]在移动设备具有VLAN标识符之后，它能够将该VLAN标识符用于在线注册和配置过程的剩余部分。这种在线注册和配置过程中的典型步骤通过216、218、220、222和224被示出。
[0024]此过程通常从允许移动设备200与OSU服务器204建立联系的初始交换开始以启动该过程。在此初始交换216期间，OSU通常提供能够从其获取订阅率和其他类似的信息的统一资源标识符(URI)。初始交换216通常还包含用于使移动设备200通过从OSU服务器204获取的URI启动浏览器的命令。
[0025]交换218示出了移动设备200和OSU服务器204如服务提供商所指定的那样交换注册数据的过程。此信息能够组成订阅管理对象的证书部分的一部分。在此信息被确定后，如果证书将是用户名/密码类型的(与基于凭证或用户身份模块(SM)类型证书相反)，则来自信任根AAA服务器208的证书被获取并被存储在订阅管理对象中，并且任意TLS会话被发布。这能够例如，通过交换224被示出。
[0026]然而，如果在交换218之后，基于凭证的证书是所期望的，则凭证登记过程被发起。此过程在图2中通过交换220和交换222被示出。在交换220和222中，证书被CA 210获取并签名(验证)。这能够由例如，移动设备200通过使用互联网工程任务组(IETF)请求注解5967 (RFC 5967)样式的公钥加密标准#10 (PKCS#10)请求来实现。如此交换所指出的，当CA 210验证凭证时，OSU服务器204能够作为代理。当凭证已经由CA 210签名之后，OSU服务器204能够以RFC 5967样式的PKCS#7响应来应答。
[0027]当基于凭证的证书是所期望的时，最终交换与此前结合交换224所描述的略有不同。当基于凭证的证书是所期望的时，在交换220和交换222之后，从OSU服务器204中获取标识了由交换220和222所创建的证书的订阅管理对象。最后，任意TLS会话被发布。
[0028]一旦移动设备200具有订阅管理对象，则如226所示出的，该移动设备200与热点202分离。最后，如228所指出的，移动设备200通过使用它的SSID和在订阅管理对象中标识的证书来关联热点202。
[0029]图3示出了根据一些实施例的订阅管理对象的示例证书部分。为了简单起见，订阅管理对象的剩余部分未被示出，但是根据热点2.0规范和演进的热点2.0规范，订阅管理对象可以是每提供者订阅(PerProviderSubcript1n)管理对象。在下面的详细描述中，在所示出的树中的节点将被称为节点、元素、域和/或参数。所有均意图表明相同的含义，并非意图表明差异。
[0030]证书部分300包含创建数据302，其表示证书被创建或最近更新的日期。如果呈现了过期日期304，则其表示证书过期的日期。领域330说明了与证书相关联的领域。移动设备通过将该领域与在初始网络发现阶段期间返回到接入网络查询协议(ANQP)网络接入标识符(NAI)领域元素中的领域相比较来确定它是否应该能够成功地认证热点。支持IEEE802.1lu的移动设备将通过使用ANQP针对附加信息对支持IEEE 802.1lu的热点进行查询。这可包括对于被称为NAI领域列表的元素的请求。NAI领域列表包括与该领域相关联的用于接入的一个或多个(根据RFC-4282定义的)NAI领域和可选EAP方法和认证参数。
[0031]取决于所存储的证书的类型，证书部分300应包含用户名/密码参数306、数字凭证参数324或SIM参数332。
[0032]用户名/密码参数306包括各种参数，其中包括用户名308和密码310。机器管理的参数312指定密码是否是机器管理的。SoftTokenApp (软令牌应用)314指定应当被用于生成密码的应用。当此参数出现时，密码应具有空值。AbleToShare (可共享)316表明证书是否仅在订阅的机器上是可用的(即，非AbleToShare)或者对该用户的其他机器也是可用的(即，AbleToShare)。EAP方法318包括EAP方法320和内部EAP方法322，其中EAP