用于在无线通信系统中传输和接收认证信息的方法和设备的制造方法
【专利摘要】本发明包括:在无线通信系统中由第一设备将包括用于使用服务的应用的标识符(ID)和密码的服务认证请求消息传输到认证服务器;以及当从认证服务器接收到包括认证码的服务认证响应消息时,将认证码传输到连接到第一设备的第二设备,其中,认证码用于由第二设备获取访问令牌,并且访问令牌用于访问提供服务的服务提供服务器。
【专利说明】
用于在无线通信系统中传输和接收认证信息的方法和设备
技术领域
[0001] 本发明涉及用于在无线通信系统中传输和接收认证信息的方法和设备。
【背景技术】
[0002] 基于开放授权协议(Open Authorization Protocol,0Auth)的认证方案是指通过 使用开放应用编程器接口(API)开发的标准认证方案。基于OAuth的认证方案可用于在各种 应用中认证用户。当使用基于OAuth的认证方案时,用户具有这样的便利一一用户甚至在没 有对相关应用执行单独认证的情况下也可以使用共享相关认证结果的应用。
[0003] 同时,在基于OAuth的认证方案中,认证设备成为对象并且直接处理针对认证和授 权的请求。针对认证和授权的请求基于相关应用的用户的标识符(ID)和密码,例如 "http://{ipaddress:port)/api/login-request?id = test&pwd = 12345",来执行。
[0004] 因此,在之前,为了进行认证以使用应用,认证设备需要请求用户输入ID和密码, 从而出现这样一个问题一一不包括输入/输出界面的设备不能执行认证过程。另外,尽管执 行了认证过程,但是密码被存储在网络cookie等中,从而出现容易暴露密码的问题。
【发明内容】
[0005] 技术问题
[0006] 本发明提出用于在无线通信系统中传输和接收认证信息的方法和设备。
[0007] 本发明提出甚至使得由不包括输入/输出界面并且不能直接执行认证请求或需要 通过另一设备等来执行认证操作的设备也能够执行认证操作的方法和设备。
[0008] 本发明提出通过周期性地更新令牌来增强安全性的方法和设备。
[0009] 技术方案
[0010] 根据本发明的一个方面,提出了一种用于在无线通信系统中由第一设备传输认证 信息的方法。所述方法包括:将包括用于使用服务的应用的标识符(ID)和密码的服务认证 请求消息传输到认证服务器;以及当从认证服务器接收到包括认证码的服务认证响应消息 时,将认证码传输到连接到第一设备的第二设备,其中认证码用于由第二设备获取访问令 牌,并且访问令牌用于访问提供服务的服务提供服务器。
[0011] 根据本发明的另一个方面,提出了一种用于在无线通信系统中由第二设备接收认 证信息的方法。所述方法包括:通过无线通信执行连接到第一设备的连接操作;以及当第二 设备连接到第一设备时,从第一设备接收认证码,其中认证码用于由第二设备获取访问令 牌,并且访问令牌用于访问提供服务的服务提供服务器。
[0012] 根据本发明的又一个方面,提出了一种无线通信系统的第一设备。所述第一设备 包括:将包括用于使用服务的应用的标识符(ID)和密码的服务认证请求消息传输到认证服 务器的传输单元;从认证服务器接收包括认证码的服务认证响应消息的接收单元;以及在 接收到服务认证响应消息时控制传输单元将认证码传输到连接到第一设备的第二设备的 控制单元,其中认证码用于由第二设备获取访问令牌,并且访问令牌用于访问提供服务的 服务提供服务器。
[0013] 根据本发明的又一个方面,提出了一种无线通信系统的第二设备。所述第二设备 包括:通过无线通信执行连接到第一设备的连接操作的控制单元;以及在第二设备连接到 第一设备时从第一设备接收到认证码的接收单元,其中认证码用于由第二设备获取访问令 牌,并且访问令牌用于访问提供服务的服务提供服务器。
[0014] 有益效果
[0015] 本发明在如下方面是有益的:甚至不包括输入/输出界面的设备都可以容易地配 置网络并可以执行对令牌的认证和周期性更新。另外,本发明提供了可执行登记过程并且 可通过使用移动终端接收到用于认证的信息这样的便利,并且本发明在如下方面是有益 的:本发明可被用于个人云设备等,并且可提供家庭控制和各种内容消费功能。
【附图说明】
[0016] 图1是图示用于使用服务的一般认证过程的信号流程图;
[0017] 图2是图示在其中执行一般认证过程的无线通信系统的视图;
[0018] 图3是图示根据本发明的实施例的用于使用服务的认证过程的信号流程图;
[0019] 图4是图示根据本发明的实施例的在无线通信系统中执行的网络配置过程的视 图;
[0020] 图5是图示根据本发明的实施例的在无线通信系统中通过使用Wi-Fi通信执行的 网络配置过程的视图;
[0021] 图6是图示根据本发明的实施例的在无线通信系统中通过使用蓝牙通信执行的网 络配置过程的视图;
[0022] 图7是图示根据本发明的实施例的用于在电子设备与移动终端之间传输和接收设 备信息的过程的详细视图;
[0023] 图8是图示根据本发明的实施例的用于在移动终端与电子设备之间传输和接收基 于会话密钥的接入点(AP)信息的过程的信号流程图;
[0024] 图9是图示根据本发明的实施例的在无线通信系统中执行的服务开通 (provisioning)过程的信号流程图;
[0025] 图10是在程序上图示根据本发明的实施例的在无线通信系统中执行的服务开通 过程的信号流程图;
[0026] 图11是图示根据本发明的实施例的用于获取刷新令牌和访问令牌的过程的视图;
[0027] 图12是图示根据本发明的实施例的用于由电子设备更新访问令牌的过程的流程 图;
[0028] 图13是图示根据本发明的实施例的用于由电子设备基于登录的结果更新访问令 牌的过程的流程图;以及
[0029] 图14A和14B是图示根据本发明的实施例的移动终端的用户界面的屏幕的示例的 视图。
【具体实施方式】
[0030] 下文中,将参考附图详细描述本发明的操作原理。在下面描述本发明时,当确定对 结合于本文的相关已知配置或功能的详细描述将不必要地使本发明的主题模糊不清时,将 省略对这些配置或功能的详细描述。下面将描述的术语是考虑到本发明中的功能而定义的 术语,并且根据用户、用户的意图或习惯可为不同。因此,应当基于贯穿说明书中的内容来 作出术语的定义。
[0031]本发明提供用于在无线通信系统中传输和接收认证信息的方法和设备。在描述本 发明的实施例之前,将描述用于使用服务的一般认证过程。
[0032]图1是图示用于使用服务的一般认证过程的信号流程图。
[0033]如图1中图示的,由包括用户使用的应用(下文中称为"App")的移动终端120、认证 App的用户是否是适当用户的认证服务器130和提供与App相关的服务的服务提供服务器 140来执行用于使用服务的一般认证过程。
[0034] 参考图1,当用户执行App时,在步骤100中,移动终端120将用于根据App使用服务 的访问令牌的请求发送到认证服务器130。然后,在步骤102中,认证服务器130请求移动终 端120登录到App,以便确定针对访问令牌的请求是否是适于使用服务的用户的请求。
[0035] 移动终端120从用户接收诸如ID、密码等的登录信息作为输入,并且登录到相关 App。然后,在步骤104中,移动终端120将指示登录是否已经被成功执行的登录结果传输到 认证服务器130。
[0036] 在步骤106中,认证服务器130基于登录的结果将认证码传输到移动终端120。认证 码用于获取访问令牌。因此,在步骤108中,为了接收访问令牌,移动终端120将接收到的认 证码传输到认证服务器130。此处,移动终端120可在其屏幕上显示从认证服务器130接收的 认证码,并且可从用户接收认证码作为输入并且可将接收到的认证码传输到认证服务器 130〇
[0037]认证服务器130从移动终端120接收认证码,并且在步骤110中,在接收的认证码与 在步骤106中传输的认证码相同时向移动终端120传输访问令牌。然后,在步骤112中,移动 终端120通过使用访问令牌将针对服务的请求发送到服务提供服务器140。在所述App是基 于网络的App时,请求服务的操作可包括调用API的操作等。
[0038]同时,如图1中图示的用于使用服务的一般认证过程需要从用户接收登录信息、认 证码等作为输入,从而认证过程不能由不包括输入/输出界面的设备执行。另外,即使在处 理开放API时,一般认证过程也需要从用户接收密码等作为输入,并且由于相关密码被存储 在网络cookie等中而具有安全性不佳的问题。
[0039]另外,甚至在通过使用网络地址转换器(NAT)穿越解决方案(NTS)等来提供远程访 问服务时,一般认证过程也要求令牌重认证过程并且在如下方面是有问题的:一般认证过 程不得不基于用户的输入来执行。将参考图2详细描述这些问题。
[0040] 图2是图示在其中执行一般认证过程的无线通信系统的视图。
[0041] 参考图2,无线通信系统包括例如包括在家庭网络200中的多个设备(例如,空调 202、冰箱204、洗衣机206、真空吸尘器208等)、服务提供服务器(例如,NTS服务器)210、认证 服务器220以及移动终端230,移动终端230被包括在与包括所述多个设备的群组相同的群 组中并且位于家庭网络200外部。此处,所述多个设备和移动终端230可以由相同用户控制, 从而所述多个设备和移动终端230被包括在具有相同用户的账户信息(例如,"aOsec. com") 的相同群组中。
[0042] 所述多个设备和移动终端230中的至少一个通过使用访问令牌来向NTS服务器210 发送针对登录的请求。然后,NTS服务器210检查在所述多个设备和移动终端230中的至少一 个中的每一个已经请求登录时已经被使用过的访问令牌是否有效。具体地,NTS服务器210 向认证服务器220传输访问令牌,然后从认证服务器220接收确定相关的访问令牌是否是认 证过的访问令牌的结果。
[0043]在相关的访问令牌是认证过的访问令牌时,NTS服务器210向所述多个设备和移动 终端230中的至少一个设备传输指示登录已经被批准的消息。然后,NTS服务器210向移动终 端230传输关于设备(例如,成功执行登录的至少一个设备)的信息,移动终端230能够与该 设备进行通信。此处,关于移动终端230能够与其通信的设备的信息可包括与相关设备相关 的群组ID、对等点(peer) ID、互联网协议(IP)地址等。
[0044] 例如,当空调202成功执行登录时,NTS服务器210向移动终端230传输关于空调202 的信息。作为示例,关于空调202的信息可以如示于下面的表1中那样,并且对等点ID可基于 空调202的媒体访问控制(MAC)地址(例如,"00-00-00-01 -02-03")来生成。
[0045]表 1
[0047] 冰箱204、洗衣机206和真空吸尘器208中的每一个可具有类似于表1中示出的空调 202的信息的形式的信息,并且可以在登录期间向NTS服务器210传输相关信息。
[0048] 移动设备230可具有如下面表2中所示的信息。此处,移动设备230的对等点ID可基 于国际移动设备标识(MEI)(例如,"33332222211111Γ )来生成。
[0049]表 2
[0051 ] 在移动终端230已经从NTS服务器210接收到关于空调202的信息时,移动终端230 可将关于空调202的信息添加到在下面表3中示出的对等点管理信息。然后,移动终端230可 与包括在对等点管理信息中的设备通信。与下面的表3不同,关于移动终端230的信息可从 移动终端230所使用的对等点管理信息中省略。
[0052]表 3
[0054]在上述的一般无线通信系统中,所述多个设备和移动终端230通过使用访问令牌 来相互通信。访问令牌具有供使用的确定的时段,并且需要在其供使用的时段期满时被更 新。
[0055] 然而,在图1中图示的一般认证过程中,对如下问题未予以考虑:例如当访问令牌 的供使用的时段期满时如何执行重认证过程以及不包括输入/输出界面的设备在用户不进 行输入的情况下如何获取并更新访问令牌。
[0056] 因此,本发明的实施例鉴于上述的问题提出使得甚至是不包括输入/输出界面的 设备都能够接收认证并周期性地更新在认证过程中使用的访问令牌的方法和设备。
[0057] 下文中,将详细描述本发明的实施例。
[0058] 图3是图示根据本发明的实施例的用于使用服务的认证过程的信号流程图。
[0059] 如图3中所图示的,根据本发明的实施例的用于使用服务的认证过程可以由包括 用户使用的App的移动终端560、认证App的用户是否是适当用户的认证服务器570和提供与 App相关的服务的服务提供服务器580、能够连接到移动终端560的电子设备或网关550等来 执行。
[0060] 图3中的步骤300到312类似于图1中的步骤100到112,从而将省略对其的详细描 述。当执行图3中的步骤300到312时,移动终端560可获取用于使用服务的认证码。因此,当 在步骤314中网关/电子设备550将针对认证码的请求发送到移动终端560时,在步骤316中, 移动终端560可将认证码传输到网关/电子设备550。
[0061] 为了使用服务,要求访问令牌,并且访问令牌可以基于认证码来获取。因此,在步 骤318中,网关/电子设备550通过使用认证码将针对令牌的请求发送到认证服务器570。然 后,在步骤320中,认证服务器570将刷新令牌和访问令牌传输到网关/电子设备550。
[0062]作为示例,在步骤318中的令牌请求消息如在下面的表4中所示。
[0063]表 4
[0065]在表4中,"grant_type"根据设置值而指示不同的含义,并且"grant_type = authorization_code&"表示以认证码交换访问码。另外,在表4中,"code"表示认证码, "service_type"表示服务类型,"cl ient_id"表示用于识别客户端的客户端ID并且 "client_secret"表示客户端密码。
[0066]在步骤320中的刷新令牌和访问令牌可以通过作为示例在下面的表5中示出的消 息来分发。
[0069] 在表5中,"access_token"表示访问令牌,并且"refresh_token"表示刷新令牌。另 外,"token_type" 表不令牌的类型,"userid" 表不用户ID,并且 "access_token_expires_ in"和"refresh_token_expires_in"分别表示访问令牌和刷新令牌的使用超期的时段。
[0070] 作为能够用于获取新访问令牌的令牌的刷新令牌可以与所述新访问令牌一起发 出,并且可以用于请求对访问令牌的更新。例如,当访问令牌的供使用的时段超期并且需要 更新访问令牌时,可使用刷新令牌而不是访问令牌以便请求对访问令牌的更新。因此,刷新 令牌的供使用的时段一般被设置为比访问令牌的时段长(例如,刷新令牌:90天,而访问令 牌:30天)。
[0071] 鉴于上述问题,在步骤322中,网关/电子设备550通过使用刷新令牌来请求认证服 务器570提供新访问令牌。此时,可将在下面的表6中示出的信息传输到认证服务器870。 [0072]表 6
[0074] 在表6中,"grant_type = refresh_token&"表示以刷新令牌交换新访问码(即,针 对根据对刷新令牌的传输来提供新访问码的请求)。
[0075]然后,在步骤324中,认证服务器570生成新访问令牌并将新生成的访问令牌传输 到网关/电子设备550。此时,可以将新刷新令牌和新访问令牌一起传输到网关/电子设备 550,如在下面的表7中所示。
[0076]表 7
[0078]当将在上面示出的表5与上面示出的表7进行比较时,可注意到访问令牌和刷新令 牌被更新。
[0079]在步骤326中,网关/电子设备550通过使用新访问令牌将针对服务的请求发送到 服务提供服务器580。然后,网关/电子设备550周期性地执行在步骤322和324中描述的访问 令牌更新过程。
[0080] 如在图3中图示的,在本发明的实施例中,移动终端560的认证信息(例如,认证码) 可在移动终端560与网关/电子设备550之间共享,进而甚至是不包括输入/输出界面的设备 都可执行认证过程并可使用服务。另外,访问令牌更新过程被周期性地执行,从而可实现保 证安全性的对服务的使用。
[0081] 同时,根据本发明实施例的认证方法主要包括三个过程。这三个过程包括:用于在 移动终端与网关/电子设备(下文中简单地称为"电子设备")之间进行连接的网络配置过 程,在其中移动终端登记电子设备并给电子设备提供使得电子设备能够登录到认证服务器 和服务提供服务器的信息的过程以及使得访问令牌能够被周期性更新的过程。
[0082] 下文中,将详细描述三个单独的过程。
[0083] (1)网络配置过程
[0084]为了使移动终端与电子设备共享认证信息等,移动终端和电子设备需要相互连 接。为此,可执行下列网络配置过程。
[0085]图4是图示根据本发明的实施例的在无线通信系统中执行的网络配置过程的视 图。
[0086] 参考图4,无线通信系统包括AP 400、移动终端410、App服务服务器420和电子设备 430。在步骤440中,移动终端410连接到(接入)AP 400。然后,移动终端410通过近场通信 (NFC)等从电子设备430获取关于电子设备430的信息(诸如MAC地址等的设备信息、App统一 资源定位符(URL)信息等)。
[0087]然后,在步骤442中,移动终端410基于包括在获取的信息中的App URL信息从App 服务服务器420下载App,并安装下载的App。此处,App可为用于网络配置的App,其使得移动 终端410能够与电子设备430进行通信。下文中,将把所述App称为"易装(easy-setup)App"。
[0088] 在步骤444中,移动终端410通过使用易装App执行连接到电子设备430的操作,并 将关于AP 400的信息传输到电子设备430。然后,在步骤446中,电子设备430基于接收到的 关于AP 400的信息执行连接到AP 400的操作。当电子设备430连接到AP 400时,电子设备 430可通过Wi-Fi通信与移动终端410进行通信。
[0089] 同时,根据本发明实施例的网络配置过程可更特定地基于Wi-Fi通信和蓝牙通信 来执行,并且将参考图5和图6分别描述这些配置。
[0090] 图5是图示根据本发明的实施例的在无线通信系统中通过使用Wi-Fi通信执行的 网络配置过程的视图。
[0091] 参考图5,在步骤530中,电子设备520根据用户的输入等执行AP模式。AP模式是被 设置为使电子设备520执行连接到AP 500的操作的模式。
[0092]同时,在步骤532中,移动终端执行易装App,并生成AP 500的密码。例如,密码可通 过使用基于服务集标识符(SSID)(例如,SPC+序列号="SPC80C578LS4P")和AP 500的MAC地 址的散列(Hash)函数(Hash(SSIDIIMAC) = "ccbdabl5b346d33ec838a361998cc41a962fc66 (SHA-1)")来生成。
[0093]在步骤534中,移动终端510执行连接到电子设备530的操作,并将AP信息(即,AP 500的SSID和密码等)传输到电子设备520。然后,在步骤536中,电子设备520可基于接收到 的关于AP 500的信息连接到AP 500并可执行Wi-Fi通信。
[0094] 同时,当移动终端510在步骤538中连接到AP 500时,移动终端510和电子设备520 可基于Wi-Fi通信相互通信。因此,在步骤540中,电子设备520通过使用Wi-Fi通信将关于电 子设备520的设备信息传输到移动终端510。关于电子设备520的信息可包括电子设备520的 群组ID、对等点ID、IP地址等。
[0095] 图6是图示根据本发明的实施例的在无线通信系统中通过使用蓝牙通信执行的网 络配置过程的视图。
[0096] 参考图6,当移动终端650在步骤630中通过蓝牙通信发现电子设备620时,在步骤 632中,移动终端650从电子设备620接收蓝牙MAC地址。然后,在步骤634中,移动终端650将 配对请求传输到电子设备620。当在步骤634中移动终端650从电子设备620接收到指示配对 请求的接受的确认消息时,在步骤636中,移动终端650建立将用于连接到电子设备620的信 道。
[0097]当完成了信道建立时,在步骤638中,移动终端650将针对连接的请求发送到电子 设备620。然后,当移动终端650从电子设备620接收到指示连接请求的接受的连接响应时, 在步骤642中,移动终端650将关于AP 600的信息传输到电子设备620。
[0098]然后,在步骤644中,电子设备620可基于接收到的信息连接到AP 600并可执行WiFi 通信。接下来 ,当移动终端 650 连接到 AP 600 并且被电子设备 620 检测到时,在步骤 648 中, 电子设备620将关于电子设备620的设备信息传输到移动终端650。关于电子设备620的信息 可包括电子设备620的群组ID、对等点ID、IP地址等。
[0099]图7是图示根据本发明的实施例的用于在电子设备与移动终端之间传输和接收设 备信息的过程的详细视图。
[0100] 参考图7,在步骤700中,移动终端760将账户信息(例如,"abc@sec.com")传输到电 子设备750。电子设备750接收所述账户信息,并且在步骤702中,在接收到的账户信息与预 存储的账户信息一致时将配置准备请求消息传输到移动终端760。
[0101] 在步骤704中,移动终端760将针对密码的请求发送到电子设备750。然后,电子设 备750将密码传输给移动终端760。移动终端760检查从电子设备750接收的密码是否与预存 储的密码相同,并且在步骤708中将检查的结果传输到电子设备850。
[0102] 当检查的结果表明所述密码与预存储的密码相同时,在步骤710中,电子设备750 将会话密钥传输到移动终端760。接下来,在步骤712中,移动终端760将AP信息传输到电子 设备750。然后,电子设备750基于AP信息执行连接到AP的操作。当到AP的连接已经完成时, 在步骤714中,电子设备750将通知电子设备750连接到AP的消息传输到移动终端760。
[0103] 根据电子设备750到AP的连接,移动终端760可通过Wi-Fi与电子设备750通信。因 此,在步骤716中,移动终端760通过Wi-Fi通信将针对关于电子设备750的信息的请求发送 到电子设备750。在步骤718中,电子设备750根据所述请求将关于电子设备750的信息传输 给移动终端760。然后,移动终端760基于接收到的信息将电子设备750登记在用于登记和管 理设备信息的单独的服务器(下文中称为"设备信息管理服务器")中。
[0104] 同时,在步骤722中,移动终端760将关于NTS服务器的信息和关于访问令牌的信息 传输到电子设备750。此处,NTS服务器是服务提供服务器,并且指示用于提供使得移动终端 760能够通过无线通信控制登记的电子设备的服务的服务器。下文中,尽管描述了服务提供 服务器是NTS服务器的情况作为示例,但是根据本发明的实施例,服务提供服务器不限于 NTS服务器,而是可为另外的服务器。
[0105] 在步骤724中,电子设备750基于关于NTS服务器的信息登录到NTS服务器。接下来, 当电子设备750成功登录到NTS服务器并且连接到NTS服务器时,在步骤726中,电子设备750 将通知电子设备750连接到NTS服务器的NTS服务器连接通知消息传输到移动终端760。然 后,移动终端760将用于获取访问令牌的认证码传输到电子设备750。
[0106] 在步骤730中,电子设备750通过使用认证码将针对刷新令牌和访问令牌的请求发 送到认证服务器740。然后,在步骤732中,认证服务器740基于所述认证码是否与预设认证 码相同来将刷新令牌和访问令牌传输到电子设备750。
[0107] 在步骤734中,电子设备750检查访问令牌的有效性(validation),并且在步骤736 中将检查有效性的结果传输到移动终端760。具体地,电子设备750检查访问令牌的供使用 的时段是否已经超期。当刷新令牌的供使用的时段超期时,需要更新访问令牌。因此,作为 检查有效性的结果,为了使得移动终端760能够在适当的时间点更新访问令牌,电子设备 750将关于是否有必要更新访问令牌的信息传输到移动终端760。
[0108] 同时,在步骤710和712中描述的传输和接收基于会话密钥的AP信息的操作如在图 8中所图示的。
[0109] 图8是图示根据本发明的实施例的用于在移动终端与电子设备之间传输和接收基 于会话密钥的AP信息的过程的信号流程图。
[0110] 参考图8,在步骤800中,电子设备750基于通过使用App密码生成的随机值来生成 会话密钥,并且在步骤802中,将生成的会话密钥传输到移动终端760。移动终端760可包括: 用于执行与电子设备750的无线通信的无线单元(未图示)、控制移动终端760内的所有配置 单元并处理移动终端760的总体操作的控制单元770、App 780等。
[0111]当无线单元接收到会话密钥时,在步骤804中,App 780将接收到的会话密钥分发 到控制单元770。然后,在步骤806中,控制单元770基于所述会话密钥来加密AP信息(例如, SSID、密码等),并且在步骤808中将加密的AP信息传输到App 780。然后,在步骤810中,App 780通过无线单元将加密的AP信息传输到电子设备750。
[0112] 在步骤812中,电子设备750基于在步骤800中生成的会话密钥来解密加密的AP信 息并获取AP信息。
[0113] (2)用于NTS登录和令牌配置的过程
[0114] 当上述网络配置过程已经完成时,可执行服务开通过程,所述服务开通过程使得 移动终端能够控制安置相关电子设备的室内位置或室外位置中的电子设备。服务开通过程 包括这样的过程:在其中移动终端将关于电子设备的信息登记在设备信息管理服务器中、 传输使得电子设备能够登录到认证服务器和NTS服务器等的信息。
[0115] 下文中,将参考图9描述服务开通过程。
[0116] 图9是图示根据本发明的实施例的在无线通信系统中执行的服务开通过程的信号 流程图。
[0117] 参考图9,在步骤900中,移动终端930通过使用账户信息登录到认证服务器940。此 处,认证服务器940可为管理用户的账户等的账户服务器等。
[0118] 移动终端930通过Wi-Fi通信执行设备搜索过程。此时,移动终端930通过使用通用 即插即用(UPnP)发现方法等来执行设备搜索过程。当移动终端930通过设备搜索过程发现 电子设备950时,在步骤902中,移动终端930从电子设备950接收关于电子设备950的信息。 关于电子设备950的信息可包括诸如电子设备950的IP地址、MAC地址等的信息。
[0119]电子设备950的信息可根据移动终端930的请求来接收或可通过设备登记过程等 来接收。例如,电子设备950通过Wi-Fi直连会话将包括电子设备950的信息的设备登记请求 消息传输到移动终端930。
[0120] 然后,移动终端930存储电子设备950的信息并且将指示电子设备950登记在移动 终端930中的设备登记响应消息传输到电子设备950。此处,电子设备950的信息可临时存储 在移动终端930中,直到相关信息被登记在设备信息管理服务器970中。
[0121]移动终端930执行用于获取用于使用服务的访问令牌等的服务认证过程。
[0122] 具体地,在步骤904中,移动终端930将App ID和App密码传输到认证服务器940以 便获得使用服务的准许。当所述App ID和App密码分别与预设的App ID和预设的App密码相 同时,认证服务器940将访问令牌、令牌密码、用户ID及移动终端930的设备ID和认证码作为 用于使用服务的信息传输到移动终端930。在步骤906中,移动终端930从认证服务器940接 收访问令牌、令牌密码、用户ID及移动终端930的设备ID和认证码。然后,移动终端930基于 所接收的信息和已经在步骤902中接收的电子设备950的信息来确定移动终端930是否要将 电子设备950登记在设备信息管理服务器970中。
[0123] 当电子设备950未登记在设备信息管理服务器970中时,在步骤908中,移动终端 950将电子设备950上传到设备信息管理服务器970并且将电子设备950登记在设备信息管 理服务器970中。此处,可将用户ID、电子设备950的设备ID、指示电子设备950的类型的设备 类型ID、指示电子设备950的型号的设备型号ID、电子设备950的MAC地址(或頂EI)、与电子 设备950有关的移动终端930能够使用的服务信息以及关于用于根据服务信息使用服务的 服务令牌的信息登记在设备信息管理服务器970中。因此,可将电子设备950登记在设备信 息管理服务器970中。可在步骤902中获取登记在设备信息管理服务器970中的电子设备950 的信息。
[0124] 当电子设备950被登记在设备信息管理服务器970中时,在步骤910中,设备信息管 理服务器970将电子设备950的对等点ID传输到NTS服务器960。已经传输到NTS服务器960的 电子设备950的对等点ID可用作用于在电子设备950随后登录到NTS服务器960时执行认证 的信息。
[0125] 在步骤912中,设备信息管理服务器970生成用于访问NTS服务器960的对等点ID连 同关于电子设备950可访问的NTS服务器960的信息(用于访问NTS服务器960的域信息、IP地 址、端口号等),并将生成的对等点ID和生成的关于NTS服务器960的信息传输到移动终端 930。传输到移动终端930的与NTS服务器960相关的信息可根据移动终端930的请求进行传 输。例如,当设备信息管理服务器970从移动终端930接收到用于获取关于诸如NTS服务器 960的服务服务器的信息的服务服务器信息请求消息时,设备信息管理服务器970可将包括 关于NTS服务器960的信息(NTS服务器960的IP地址、端口号等)的服务服务器信息请求消息 传输到移动终端930。可在已经完成步骤906并且开始步骤908之前传输关于NTS服务器960 的信息,而不是在步骤912中将其传输到移动终端930。
[0126] 移动终端930从设备信息管理服务器970接收相关信息,并且在步骤914中,将认证 服务器信息、NTS服务器信息、对等点ID及关于访问令牌和认证码的信息传输到电子设备 950。电子设备950从移动终端930接收认证服务器信息、NTS服务器信息、对等点ID及关于访 问令牌和认证码的信息,并使用接收的多条信息作为用于访问NTS服务器960的信息和用于 周期性更新访问令牌的信息。在步骤916中,电子设备950通过使用用户ID(群组ID)、对等点 ID、服务端口、服务器域、服务器端口、超时信息和访问令牌来登录到NTS服务器960。
[0127] 当登录被批准时,在步骤918中,电子设备950通过使用认证码将针对访问令牌的 请求发送到认证服务器940。例如,电子设备950将包括认证码的访问令牌请求消息传输到 认证服务器940。当所述认证码与预设的认证码相同时,认证服务器940将刷新令牌和访问 令牌传输到电子设备950。
[0128] 当访问令牌的供使用的时段超期时,在步骤922中,电子设备950通过使用刷新令 牌将针对更新访问令牌的请求发送到认证服务器940。然后,认证服务器940生成要替代先 前使用的访问令牌被使用的新访问令牌,并将新生成的访问令牌传输到电子设备950。然 后,电子设备950使用新访问令牌作为用于登录到NTS服务器960的访问令牌。
[0129] 当上述过程已经被全部完成时,移动终端930最后设置用于协议条款、电子设备 950的初始化等的附加信息,然后完成整个服务开通过程。
[0130] 已经参考图9描述的在无线通信系统中执行的服务开通过程更加详细地图示于图 10中。
[0131] 图10是在程序上图示出根据本发明的实施例的在无线通信系统中执行的服务开 通过程的信号流程图。
[0132] 参考图10,在步骤1000中,移动终端930通过使用用户的账号(用户的ID和密码)登 录到认证服务器940。例如,当执行使得移动终端930的用户能够通过使用移动终端930(控 制器设备)来控制电子设备950的智能家庭App时,可将与智能家庭App关联的用户的ID和密 码传输到认证服务器940。
[0133] 当移动终端930从认证服务器940接收到指示登录成功的消息时,在步骤1002中, 网关执行设备发现操作。设备发现操作指示发现要进行自动登记的设备(智能家庭网关等) 的操作。当设备不存在于局域网内时,移动终端930识别出设备不存在,并且通过使用方法 (例如用于将设备显示在屏幕上的方法)向用户通知设备不存在以便能够手动登记设备。
[0134] 在步骤1004中,移动终端930的用户可在智能家庭App内选择设备登记菜单,并且 在步骤1006中,可选择电子设备950的配对开始菜单。可在电子设备950中选择配对开始菜 单以便准备进行电子设备950与移动终端930的直接配对。配对开始菜单和设备登记菜单可 通过物理按钮、软件按钮、远程控制的按钮等来选择。当用户选择配对开始菜单时,在电子 设备950中执行使得电子设备950能够通过Wi-Fi通信直接连接到移动终端930的Wi-Fi直连 模式。
[0135] 在步骤1008中,移动终端930获取用于与电子设备950Wi_Fi直连连接的信息。例 如,移动终端930通过读取附着到电子设备950的QR码、或通过标记NFC或通过使用红外光 (IR)来获取用于与电子设备950Wi-Fi直连连接的信息。此处,用于与电子设备950Wi-Fi直 连连接的信息可为密码、个人识别号(PIN)码、SSID等。同时,在其中移动终端930获取用于 Wi-Fi直连连接的信息的方法的示例除了用于读取QR码的方法、用于标记NFC的方法和用于 使用IR的方法之外还可包括各种方法。
[0136] 在步骤1010中,移动终端930和电子设备950执行Wi-Fi点对点(P2P)连接。具体地, 移动终端930通过使用用于Wi-Fi直连连接的信息建立与电子设备950的Wi-Fi直连会话。然 后,在步骤1012中,移动终端930基于Wi-Fi直连会话将AP接入信息传输到电子设备950 AP 接入信息可包括AP990的SSID、认证方法(例如,有线等效保密(WEP)、Wi-Fi保护访问(WPA)、 WPA等)和关于认证密钥的信息。
[0137] 当电子设备950接收到AP接入信息时,在步骤1014中,电子设备950将指示接收到 AP接入信息的确认(ACK)消息传输到移动终端930。然后,在步骤1016中,电子设备950通过 使用AP接入信息自动开始连接到AP 990的操作。然后,在步骤1018中,电子设备950接收由 AP 990分派的IP地址。
[0138] 在步骤1020中,电子设备950通过Wi-Fi直连会话将设备登记请求消息传输到移动 终端930。设备登记请求消息可包括电子设备950的信息(电子设备950的IP地址等)。在步骤 1022中,移动终端930存储电子设备950的信息,并且在步骤1024中,将设备登记响应消息传 输到电子设备950。此处,电子设备950的信息被临时存储在移动终端930中,直到电子设备 950的信息被登记在作为服务服务器的NTS服务器960中。
[0139] 在步骤1026中,电子设备950和移动终端930通过断开Wi-Fi P2P连接来取消Wi-Fi 直连会话。然后,在步骤1028中,移动终端930执行用于从认证服务器940接收访问令牌的服 务认证过程。访问令牌可用于将电子设备950登记在NTS服务器960中。
[0140] 在步骤1030中,移动终端930将用于获取关于诸如NTS服务器960的服务服务器的 信息的服务服务器信息请求消息传输到设备信息管理服务器970。然后,在步骤1032中,设 备信息管理服务器970将包括关于NTS服务器960的信息(NTS服务器960的IP地址、端口号 等)的服务服务器信息响应消息传输到移动终端930。
[0141] 在步骤1034中,移动终端930将包括电子设备950的信息的设备登记请求消息传输 到设备信息管理服务器970。然后,在步骤1036中,设备信息管理服务器970基于电子设备 950的信息登记电子设备950,并且在步骤1038中,将指示电子设备950的登记的设备登记响 应消息传输到移动终端930。
[0142] 在步骤1040中,移动终端930将服务登记请求消息传输到电子设备950,所述服务 登记请求消息包括:关于NTS服务器960、设备信息管理服务器970、认证服务器940等的信 息;以及诸如对等点ID、认证码等的信息。在步骤1042中,电子设备950通过使用包括在服务 登记请求消息中的信息对NTS服务器960执行登记(登录)过程。然后,当完成了所述登记过 程时,在步骤1044中,电子设备950将服务登记响应消息传输到移动终端930。
[0143] (3)用于获取和更新令牌的过程
[0144] 图11是图示根据本发明的实施例的用于获取刷新令牌和访问令牌的过程的视图。
[0145] 在图9中图示的无线通信系统中,移动终端930包括用户界面1150、控制单元1152 和存储器1154。用户界面1150从用户接收输入或者将要提供的特定信息显示给用户。用户 界面1150可为图形用户界面(GUI)等,例如内容查看器。
[0146] 另外,存储器1154存储与移动终端930的操作相关的多条信息。具体地,存储器 1154存储用于使用服务的信息,例如认证码(App ID和App密码)、关于电子设备950的信息 等。
[0147] 控制单元1152不仅控制用户界面1150和存储器1154,而且控制移动终端930的总 体操作。具体地,控制单元1152执行根据本发明的实施例的移动终端的操作,并且作为示 例,如在步骤1100中描述的,从存储器1154提取认证码,并且在步骤1102中将认证码传输到 电子设备950。
[0148] 电子设备950包括控制单元1156、存储器1158、令牌管理单元1160、令牌数据库 (DB)1162等。控制单元1156执行电子设备950的总体操作,并且控制存储器1158、令牌管理 单元1160和令牌DB 1162。
[0149] 存储器1158存储与电子设备950的操作相关的多条信息。具体地,存储器1158存储 认证码、用于登录到NTS服务器960的信息等。
[0150]令牌管理单元1160管理访问令牌和刷新令牌的供使用的时段,并执行获取和更新 访问令牌和刷新令牌的操作。例如,在步骤1104中,令牌管理单元1160请求认证服务器940 基于存储在存储器1158中的认证码提供访问码。然后,在步骤1106中,认证服务器940将刷 新令牌和访问令牌传输到电子设备950。
[0151]然后,刷新令牌和访问令牌被分发到令牌管理单元1160,并且在步骤1108中,令牌 管理单元1160通过将接收的刷新令牌和访问令牌存储在令牌DB 1162中来更新令牌DB 1162〇
[0152] 同时,在图10中,令牌管理单元1160和控制单元1156被图示为彼此区分开,并且令 牌DB 1162和存储器1158被图示为彼此区分开。然而,令牌管理单元1160和控制单元1156可 集成到一个物理配置单元中,并且令牌DB1162和存储器1158也可集成到一个物理配置单元 中。另外,电子设备950可以各种形式进行配置,例如以可由控制单元1156执行令牌管理单 元1160的操作的形式、以令牌DB 1162可被包括在存储器1158中的形式等。
[0153] 图12是图示根据本发明的实施例的用于由电子设备更新访问令牌的过程的流程 图。
[0154] 参考图12,如在步骤1200中描述的,电子设备950可接收新访问令牌,从而关于新 更新时间点的信息可由电子设备950的令牌管理单元1160接收到。新更新时间点表示当新 访问令牌的供使用的时段超期时的时间点。
[0155] 新更新时间点可被即刻传输到令牌管理单元1160并可被使用。然而,可出现在新 更新时间点被分发到令牌管理单元1160以前要求一时段的情况。在此情况下,当令牌管理 单元1160接收到新更新时间点时,令牌管理单元1160执行下列确定是否能够使用新更新时 间点的操作。
[0156]在步骤1202中,令牌管理单元1160确定新更新时间点是否在当前时间点之前。当 新更新时间点在当前时间点之前时,在步骤1212中,令牌管理单元1160忽略新更新时间点。 相反,当新更新时间点不在当前时间点之前时,令牌管理单元1160进行到步骤1204,并且确 定新更新时间点是否在当前设置的旧更新时间点之前。
[0157]当新更新时间点不在旧更新时间点之前时,在步骤1212中,令牌管理单元1160忽 略新更新时间点。相反,当新更新时间点在旧更新时间点之前时,在步骤1208中,令牌管理 单元1160确定旧更新时间点是否在当前时间点之前。
[0158]当旧更新时间点不在当前时间点之前时,令牌管理单元1160进行到步骤1212,并 且忽略新更新时间点。相反,当旧更新时间点在当前时间点之前时,在步骤1208中,令牌管 理单元1160确定旧更新时间点是否已经超期。
[0159] 当旧更新时间点还未超期时,令牌管理单元1160进行到步骤1212,并忽略新更新 时间点。相反,当旧更新时间点已经超期时,在步骤1210中,令牌管理单元1160将令牌要被 更新时的时间点更新到新更新时间点,并将更新的时间点存储在令牌DB 1162中。
[0160] 图13是图示根据本发明的实施例的用于由电子设备基于登录的结果更新访问令 牌的过程的流程图。
[0161] 在步骤1300中,电子设备950登录到NTS服务器960。具体地,电子设备950将登录到 NTS服务器960所要求的信息(群组ID、对等点ID、服务端口、服务器域、服务器端口、超时、访 问令牌等)传输到NTS服务器960。
[0162] 然后,电子设备950确定是否已经从NTS服务器960接收到认证错误码。当已经从 NTS服务器960接收到认证错误码时,电子设备950进行到步骤1310。当认证错误码是指示在 认证码中存在错误的码时,电子设备950检查访问令牌的有效性。具体地,电子设备950检查 访问令牌的供使用的时段是否已经超期。
[0163] 在步骤1312中,电子设备950基于检查的结果更新访问令牌。用于更新访问令牌的 方法可与参考图11描述的方法类似地执行。当电子设备950从认证服务器940接收到更新的 访问令牌时,在步骤1314中,电子设备950根据更新的访问令牌更新要更新访问令牌时的时 间点。然后,在步骤1316中,电子设备950存储更新的访问令牌和关于更新的时间点的信息。 [0 164]同时,当在步骤1302中未接收到认证错误码时,在步骤1304中,电子设备950确定 是否已经发生与电子设备950相关的设备错误。当未发生设备错误时,在步骤1306中,电子 设备950确定是否已经发生与NTS服务器960相关的错误。当未发生与NTS服务器960相关的 错误时,在步骤1308中,电子设备950完成登录。
[0165] 图14A和14B是图示根据本发明的实施例的移动终端的用户界面的屏幕的示例的 视图。
[0166] 图14A和14B图示了当移动终端930使用用于控制家庭电子设备的App时显示在用 户界面1150上的屏幕的示例。
[0167] 参考图14A,在步骤1400中,移动终端930显示使得用户能够添加家庭电子设备的 菜单。当用户选择用于添加家庭电子设备的菜单时,在步骤1402中,移动终端930显示使得 用户能够选择是否要对关于如何与家庭电子设备进行通信的指南进行扫描的菜单。
[0168] 当用户选择扫描菜单时,在步骤1404中,移动终端930执行设备扫描操作,并将执 行设备扫描操作的结果显示在屏幕上。然后,当在步骤1406中用户选择扫描到的设备中的 一个时,移动终端930开始连接到选择的设备的准备操作。
[0169] 在图14B中的步骤1408(该步骤1408紧随图13A中的步骤1406)中,移动终端930显 示使得用户能够输入配置信息(AP的密码等)的菜单。用户输入配置信息,并且在步骤1410 中,当输入的配置信息与预存储的配置信息一致时,移动终端930显示使得能够将关于AP的 信息传输到相关设备的菜单。
[0170]接下来,在移动终端930根据用户的选择将关于AP的信息传输到相关设备之后,在 步骤1412中,移动终端930通过Wi-Fi通信执行到相关设备的连接,并且显示执行连接的结 果。然后,在步骤1414中,移动终端930连接到相关设备并且显示使得用户能够使用能够控 制家庭电子设备的服务的菜单。
[0171]尽管已经在本发明的详细描述中描述了实施例,但是在不脱离本发明的范围的情 况下可以各种形式修改本发明。因此,本发明的范围不应当限定为被限制于实施例,而是应 当由随附的权利要求及其等价物来限定。
【主权项】
1. 一种用于在无线通信系统中由第一设备传输认证信息的方法,所述方法包括: 将包括用于使用服务的应用的标识符(ID)和密码的服务认证请求消息传输到认证服 务器;以及 当从认证服务器接收到包括认证码的服务认证响应消息时,将认证码传输到连接到第 一设备的第二设备, 其中,认证码用于由第二设备获取访问令牌,并且访问令牌用于访问提供服务的服务 提供服务器。2. 根据权利要求1所述的方法,其中,认证码在被包括在服务登记请求消息中的状态下 被传输到第二设备,并且服务登记请求消息进一步包括关于服务提供服务器的信息、关于 被用于周期性地更新访问令牌的认证服务器的信息以及用于访问服务提供服务器的分派 给第二设备的对等点ID。3. 根据权利要求2所述的方法,其中,关于服务提供服务器的信息通过将作出针对提供 关于服务提供服务器的信息的请求的服务器信息请求消息传输到管理服务器并通过从管 理服务器接收包括关于服务提供服务器的信息的服务器信息响应消息来获取。4. 根据权利要求2所述的方法,其中,关于服务提供服务器的信息包括用于访问服务提 供服务器的互联网协议(IP)地址和端口信息。5. 根据权利要求2所述的方法,其中,在关于第二设备的信息被登记在管理服务器之后 传输服务登记请求消息,并且第二设备的对等点ID由管理服务器进行分派并被传输到第一 设备和服务提供服务器。6. 根据权利要求1所述的方法,其中,第一设备和第二设备通过连接操作相互连接,其 中,连接操作包括第一设备通过短程通信将用于无线通信的网络接入信息传输到第二设备 并接入网络以及在第一设备从第二设备接收到指示第二设备连接到网络的消息时连接到 第二设备的操作。7. 根据权利要求6所述的方法,其中,网络接入信息被基于从第二设备接收到的会话密 钥加密并传输,其中,会话密钥与基于在执行连接操作时使用的密码生成的随机值对应。8. -种用于在无线通信系统中由第二设备接收认证信息的方法,所述方法包括: 通过无线通信执行连接到第一设备的连接操作;以及 当第二设备连接到第一设备时,从第一设备接收认证码, 其中,认证码用于由第二设备获取访问令牌,并且访问令牌用于访问提供服务的服务 提供服务器。9. 根据权利要求8所述的方法,其中,认证码在被包括在服务登记请求消息中的状态下 被传输到第二设备,并且服务登记请求消息进一步包括关于服务提供服务器的信息、关于 被用于周期性地更新访问令牌的认证服务器的信息以及用于访问服务提供服务器的分派 给第二设备的对等点ID。10. 根据权利要求9所述的方法,其中,关于服务提供服务器的信息通过将作出针对提 供关于服务提供服务器的信息的请求的服务器信息请求消息传输到管理服务器并通过从 管理服务器接收包括关于服务提供服务器的信息的服务器信息响应消息来获取。11. 根据权利要求9所述的方法,其中,关于服务提供服务器的信息包括用于访问服务 提供服务器的互联网协议(IP)地址和端口信息。12. 根据权利要求9所述的方法,其中,在关于第二设备的信息被登记在管理服务器之 后传输服务登记请求消息,并且第二设备的对等点ID由管理服务器进行分派并被传输到第 一设备和服务提供服务器。13. 根据权利要求8所述的方法,其中,连接操作的执行包括: 通过短程通信从第一设备接收用于无线通信的网络接入信息; 通过使用接收的网络接入信息来接入网络;以及 将指示第二设备连接到网络的消息传输到第一设备,并通过网络执行连接到第一设备 的操作。14. 根据权利要求13所述的方法,其中,对网络接入信息的接收包括: 基于在执行连接操作时使用的密码生成随机值; 将生成的随机值作为会话密钥传输到第一设备; 从第一设备接收加密的网络接入信息;以及 通过使用会话密钥解密加密的网络接入信息。15. -种无线通信系统的第一设备,其根据权利要求1到7中的任一者进行操作。16. -种无线通信系统的第二设备,其根据权利要求8到14中的任一者进行操作。
【文档编号】H04L9/32GK106031085SQ201580009359
【公开日】2016年10月12日
【申请日】2015年2月16日
【发明人】具本铉, 吴受炳
【申请人】三星电子株式会社