方法320表明EAP方法,而内部EAP方法322表明隧道式EAP方法(如果使用)。
[0033]数字凭证参数324包括数字凭证类型326和certSHA256指纹328,其中数字凭证类型326表明数字凭证的类型(例如,802.1ar或x509v3),certSHA256指纹328提供了用于订阅的凭证证书的SHA-256指纹。此参数指定了凭证证书中的发行者可识别名。结合凭证序列号,此参数唯一标识凭证。
[0034]SIM参数332包括国际移动设备用户识别(MSI)码334和EAP方法336,其指定了被用于基于SM的认证的EAP方法(例如,ΕΑΡ-SIM, EAP认证和密钥协商(EAP-AKA)等等)O
[0035]图4示出了根据一些实施例的无线网络。根据一些实施例,网络为安全在线注册和证书的配置构成了可操作环境。在图4中,移动设备400 (有时也被称为UE或无线设备)可以是被配置成关联W1-Fi热点402并且执行与安全在线注册和配置相关联的各种功能的支持W1-Fi功能的设备。移动设备400可包括设备管理客户端(未被示出)以实现诸如OMA-DM协议、SOAP-XML协议或一些其他管理协议之类的设备管理协议。
[0036]W1-Fi热点402可以是W1-Fi网络的一部分并且可被耦合至网络408,其中网络408可以是局部网络或路由器、通过其可以访问诸如互联网之类的其他网络(未被示出)的网关或二者的组合。W1-Fi热点402可作为W1-Fi AP操作。
[0037]在图4所示的实施例中,热点402具有主SSID和基本服务集标识符(BSSID)404以及从属SSID和BSSID 406,它们共享同一物理网络。在此实施例中,主SSID由已经具有证书的设备使用,并且从属SSID由需要注册服务和配置证书的设备使用。主SSID和从属SSID以及BSSID可通过所定义的方式互相关联或者可以从彼此之中导出。例如,词组或其他标识符能够被添加到主SSID (或BSSID)以确定从属SSID (或BSSID)。在一个具体的实施例中,从属SSID通过向主SSID添加词组“HS-从属”被导出。因此,“Starbucks”的SSID将产生“HS-从属-Starbucks”。其他词组和/或标识符也可被使用或者一些其他功能或机制能够被用于从主SSID中导出从属SSID。
[0038]希望对这种热点进行注册和证书配置的设备需要发现或标识从属SSID(以及从属BSSID)以便于适当地关联热点402并开始注册和配置过程。这能够通过各种方式来实现。在最简单的示例中,从属SSID就像主SSID—样被广播(或被包括作为探测响应的一部分)。当此过程发生时,所显示的SSID列表能够由诸如移动设备400之类的移动设备进行过滤以仅示出主SSID而不示出从属SSID。或者,如果从属SSID通过已知的或可预测的方式从主SSID中被导出,则该设备能够通过了解主SSID (其被广播在信标帧中或响应于探测请求被发送)从主SSID中计算或确定从属SSID。作为选择或作为附加地,从属SSID能够被包括在W1-Fi联盟(WFA)供应商特定的信息元素中。在又一示例中,主SSID和主BSSID可以是被作为信标帧的一部分或响应于探测请求被发送的主配置文件的一部分,并且从属SSID和从属BSSID可以是未被发送的从属配置文件的一部分。从属配置文件可作为OSU提供商列表的一部分被包括在其中。在又一示例中,多个BSSID元素能够被包括在信标帧中,或作为对探测请求的响应。这些不同的示例和实施例能够通过各种方式进行结合以获得另外的实施例。取决于具体的实施例,主SSID和从属SSID可能具有相同的或不同的无线覆盖范围。
[0039]W1-Fi热点402可被耦合至各种网络元件,诸如OSU服务器410、AAA服务器412、HLR 414和CA 416。在一些实施例中,OSU服务器410可实现OMA-DM协议。在其他实施例中,OSU服务器410可实现SOAP-XML协议或一些其他管理协议。在一些实施例中,OSU服务器410可作为其他服务器或设备(诸如,AAA服务器412、HLR 414和CA 416)的代理。
[0040]根据本文的实施例,移动设备400可被配置用于针对W1-Fi热点的在线注册和证书配置。如下面更加全面地描述的,这些过程可使用各种管理协议,诸如OMA-DM、SOAP-XML或一些其他协议。这可使在他们的后端核心网络中可能已经实施了这些协议中的一个或多个的蜂窝类型网络服务提供商能够使用相同的服务器和所安装的组件以将该功能扩展为用于服务W1-Fi网络。通过这种方式,W1-Fi网络可与相同的蜂窝网络后端核心一起运行,从而使W1-Fi能够通过更加无缝和透明的方式从蜂窝类型网络中卸载。蜂窝类型网络可能指的是任何2G(例如,GSM、EDGE)或3G (例如,3GPP、3GPP2)或4G (例如,WiMAX、LTE)配置的网络。
[0041]图5示出了根据一些实施例的在线注册和证书配置机制。在图5的实施例中,热点502具有主SSID 530和从属SSID 528。热点502还可具有主BSSID和从属BSSID (二者均未被示出)。如上面所描述的,它们能够以某种方式相关联或可导出。移动设备将使用从属SSID 528用于在线注册和证书配置,并且如果移动设备已经具有证书(或已经配置了证书),则移动设备将使用主SSID 530用于正常连接以使用热点服务。
[0042]注册和配置过程在交换510和交换512处开始,其中移动设备使用从属SSID来认证和关联热点502。此过程可使用带有服务器端认证的匿名ΕΑΡ-TLS。如交换512所指出的,通过AAA服务器506,移动设备500的证书根据归属运营商的HLR进行验证。
[0043]交换514允许移动设备500联系OSU服务器504以开始注册和配置过程。在此初始交换514期间,OSU服务器504提供能够从其获取订阅率和其他类似的信息的URI。初始交换514通常还包含用于使移动设备500通过从OSU服务器504获取的URI启动浏览器的命令。
[0044]交换516示出了移动设备500和OSU服务器504如服务提供商所指定的那样交换注册数据的过程。此信息能够组成订阅管理对象的一部分。在此信息被确定后,如果证书将是用户名/密码类型的(与基于凭证或SIM类型证书相反),则来自信任根AAA服务器506的证书被获取并被存储在订阅管理对象中,并且任意TLS会话被发布。这能够例如,通过交换522被示出。
[0045]然而,如果在交换516之后,基于凭证的证书是所期望的,则凭证登记过程被发起。此过程通过交换518和交换538被示出。在交换518和538中,通过CA 508获取并注册(验证)凭证。这能够由例如,移动设备500通过使用IETF RFC 5967样式的PKCS#10请求来实现。如此交换所指出的,当CA 508验证凭证时,OSU服务器504能够作为代理。在凭证已经由CA 508验证之后,OSU服务器504能够通过RFC 5967样式的PKCS#7响应来应技口 ο
[0046]当基于凭证的证书是所期望的时,最终交换与之前结合交换522所描述的略有不同。当基于凭证的证书是所期望的时,在交换518和交换538之后,标识了由交换518和538所创建的证书的订阅管理对象从OSU服务器504中被获取。最后,任意TLS会话被发布。
[0047]一旦移动设备500具有订阅管理对象,则如524所示出的,它即与热点502分离。最后,如526所指出的,移动设备500通过使用它的主SSID530和在订阅管理对象中标识的证书来关联热点502。
[0048]图6示出了根据一些实施例的在线注册和证书配置机制。在此实施例中,配置是使用根据OMA-DM协议配置的OMA-DM管理消息针对用户名/密码类型证书进行的。这些消息被称为OMA-DM封包I消息、OMA-DM封包2消息、OMA-DM封包3消息和OMA-DM封包4消息。OMA-DM协议可由OMA-DM规范中的OMA-DM工作小组和数据同步(DM)工作小组来指定。
[0049]在线注册和配置从移动设备600通过使用从属SSID 638关联热点602 (未被示出)开始。在关联热点602之后,在交换606中移动设备600发起对OSU服务器604的TLS连接,并且通过使用安全超文本传输协议(HTTPS)执行服务器端认证。
[0050]在交换608中,移动设备600向OSU服务器604发送DM封包I,其中DM封包I包含DevInfo和DevDetail管理对象,并且通用警报(Generic Alert)指出联系OSU服务器704的原因。通用警报中的原因元素被设置成“Subscript1nCreat1n(订阅创建)”,表明移动设备600的用户想要建立对此服务提供商的新的订阅。DevDetail管理对象包含通用移动设备信息,并且DevInfo管理对象包含用于OMA-DM或SOAP-XML服务器的信息。对这些管理对象的详细说明可以在OMA移动设备管理树说明,版本1.2中找到。
[0051]在交换610中,OSU服务器604可使用在DevInfo和DevDetail管理对象中提供的信息以确定用以配置的证书的类型(例如,用户名/密码或凭证)。在此示例中,OSU服务器604将配置用户名/密码类型证书。OSU服务器604通过用以在移动设备600上针对所包括的URI启动浏览器的命令Execute:LaunchBrowsertoURI向客户端返回DM封包2。
[0052]在接收Execute:LaunchBrowsertoURI命令之后,移动设备启动浏览器,建立到交换610中返回的URI的安全HTTPS连