CN108781216B - 用于网络接入的方法和设备 - Google Patents
用于网络接入的方法和设备 Download PDFInfo
- Publication number
- CN108781216B CN108781216B CN201680083924.XA CN201680083924A CN108781216B CN 108781216 B CN108781216 B CN 108781216B CN 201680083924 A CN201680083924 A CN 201680083924A CN 108781216 B CN108781216 B CN 108781216B
- Authority
- CN
- China
- Prior art keywords
- fido
- authentication
- terminal device
- sim card
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephone Function (AREA)
Abstract
本公开的实施例提供一种在快速在线标识认证FIDO服务器处用于促进没有订户标识模块SIM卡的终端装置经由第二网络接入第一网络的方法。没有SIM卡的终端装置是FIDO使能的。所述方法包括:获得指示没有SIM卡的终端装置和用户订阅账户之间的关联的没有SIM卡的终端装置的关联信息和没有SIM卡的终端装置的认证信息;以及响应于从没有SIM卡的终端装置接收到向FIDO服务器注册的请求,促使至少基于关联信息和认证信息根据FIDO联盟规范的集合向FIDO服务器注册没有SIM卡的终端装置。所述请求至少包括没有SIM卡的终端装置的认证信息。所述方法还包括:响应于在认证、授权和记账AAA服务器处从没有SIM卡的终端装置接收到认证请求,将没有SIM卡的终端装置的注册信息提供给AAA服务器,以便促进AAA服务器至少基于注册信息来认证没有SIM卡的终端装置以经由第二网络接入第一网络。
Description
技术领域
本公开的非限制性且示范性实施例一般涉及通信领域,并且具体来说,涉及用于促进没有订户标识模块(SIM)卡的装置经由第二网络接入第一网络的方法、服务器和设备,并涉及没有SIM卡的所述装置。
背景技术
此节介绍了可促进更好地理解本公开的方面。因此,将在这个角度阅读此节的叙述,而不应将其理解为是关于什么在现有技术中有或什么在现有技术中没有的承认。
Wi-Fi是使得装置(例如,无线装置)能够使用无线电波无线地交换数据或连接到例如互联网的技术。Wi-Fi被视为是移动宽带异构网络的小型小区解决方案的关键候选。Wi-Fi主要由电气和电子工程师协会(IEEE)在802.11系列规范中规定,并且由例如Wi-Fi联盟(WFA)更新。当前,在世界各地都有关于如何集成Wi-Fi与第三代合作伙伴项目(3GPP)网络以及如何提供“载波Wi-Fi”解决方案的密集活动,其中以与任何3GPP无线电接入技术类似的方式,将Wi-Fi与3GPP演进型分组核心(EPC)集成,并且其中可通过网络来控制3GPP无线电接入技术(RAT)和Wi-Fi之间的接入选择和业务导引。像如3GPP、WFA、全球移动通信系统协会(GSMA)和无线宽带联盟(WBA)的标准化和鉴定组织正在制作关于载波集成式Wi-Fi的资料,并且网络装备制造商正在制造在不同级别上集成Wi-Fi的产品。
FIDO(快速在线标识认证)联盟是名义上在2012年7月形成的501(c)6非营利组织,其用于解决强认证装置中互操作性的缺乏以及用户面对的创建和记住多个用户名和密码的问题。FIDO联盟计划通过开发以下规范来改变认证的性质:所述规范定义了开放、可伸缩、可互操作的机制集合,其代替对密码的依赖来安全地认证在线服务的用户。安全性装置和浏览器插件的这个新标准将允许任何网站或云应用与用户针对在线安全性所具有的各种各样的现有和未来FIDO使能的进行接口。
FIDO联盟具有两个规范集合:通用认证框架(UAF)和通用第二因子(U2F)。
FIDO提供两种用户体验,即,无密码FIDO体验和第二因子FIDO体验,以便解决大范围的使用情形和部署场景。FIDO协议基于公共密钥加密技术,并且对网络钓鱼有强抵抗性。
UAF协议支持无密码FIDO体验。在这种体验中,用户通过选择诸如滑动手指、看摄像机、对麦克风说话、键入PIN等的本地认证机制来对在线服务注册他/她的装置。UAF协议允许服务选择向用户呈现哪些机制。一旦注册,用户便在他们需要向服务认证时简单地重复本地认证动作。当从该装置认证时,用户不再需要键入他们的密码。UAF还允许组合多个认证机制(诸如指纹加PIN)的体验。
U2F协议支持第二因子FIDO体验。这种体验允许在线服务通过对用户登录添加强第二因子来加强其现有密码基础设施的安全性。如之前那样,用户用用户名和密码登录。服务还可提示用户在它选择的任何时间呈现第二因子装置。强第二因子允许服务简化它的密码(例如,4个数字的PIN)而不会危害安全性。在注册和认证期间,用户通过简单地按压通用串行总线(USB)装置上的按钮或通过对近场通信(NFC)进行轻叩(tapping)来呈现第二因子。用户可跨支持利用(leveraging)web浏览器中的内置支持的协议的所有在线服务而使用他们的FIDO U2F装置。
图1示出说明FIDO架构的图。该图描绘了UAF协议中涉及的实体。在这些实体中,只有以下这三个实体直接创建和/或处理UAF协议消息:在依赖方的基础设施上运行的FIDO服务器;作为用户代理的一部分并在FIDO用户装置上运行的FIDO客户端;以及集成到FIDO用户装置中的FIDO认证器。FIDO服务器有权访问UAF认证器元数据,其描述了FIDO服务器将与之交互的所有认证器。
核心UAF协议由FIDO客户端和FIDO服务器之间的四个概念对话所组成:
注册:UAF允许依赖方向用户在依赖方的账户注册FIDO认证器。依赖方可规定支持各种FIDO认证器类型的策略。根据该策略,FIDO客户端将只注册现有认证器。
认证:UAF允许依赖方提示最终用户使用之前注册的FIDO认证器进行认证。可任凭依赖方在任何时间调用该认证。
事务确认:除了提供一般认证提示之外,UAF还提供对提示用户确认特定事务的支持。这种提示包括将额外信息传递给客户端以便使用客户端的事务确认显示器向最终用户显示的能力。该额外认证操作的目的是使得依赖方能够确保用户正在确认事务细节的指定集合(而不是向用户代理认证会话)。
解除注册:依赖方可触发账户相关的认证密钥资料的删除。
发明内容
本公开的各种实施例主要旨在提供用于促进没有SIM卡的装置接入核心网络的解决方案。当结合附图阅读时,根据特定实施例的以下描述,还将理解本公开的实施例的其它特征和优点。
在本公开的第一方面中,提供一种由FIDO服务器执行以便促进没有SIM卡的终端装置(即,无SIM装置)经由第二网络(例如Wi-Fi网络或任何其它无线电接入网络)来接入第一网络(例如3GPP核心网络)的方法。没有SIM卡的终端装置是FIDO使能的。该方法包括获得指示没有SIM卡的终端装置和用户订阅账户之间的关联的没有SIM卡的终端装置的关联信息、和没有SIM卡的终端装置的认证信息。该方法还包括:响应于从没有SIM卡的终端装置接收到向FIDO服务器注册的请求,促使至少基于关联信息和认证信息、根据FIDO联盟规范的集合向FIDO服务器注册没有SIM卡的终端装置。请求至少包括没有SIM卡的终端装置的认证信息。例如,FIDO联盟规范的集合包括FIDO联盟UAF规范的集合或FIDO联盟U2F规范的集合。该方法还包括:响应于在认证、授权和记账AAA服务器处从没有SIM卡的终端装置接收到认证请求,将没有SIM卡的终端装置的注册信息提供给AAA服务器,以便促进AAA服务器至少基于注册信息来认证没有SIM卡的终端装置以经由第二网络接入第一网络。
在实施例中,所述促使向FIDO服务器注册没有SIM卡的终端装置还可包括:用获得的关联信息和认证信息来验证没有SIM卡的终端装置的标识,以便触发向FIDO服务器注册;以及将从没有SIM卡的终端装置接收的公共密钥添加到关联信息中。在该实施例中,注册信息可至少包括没有SIM卡的终端装置的公共密钥和关联信息。
在进一步实施例中,所述促使向FIDO服务器注册没有SIM卡的终端装置还可包括规定没有SIM卡的终端装置的本地认证机制。本地认证机制可包括生物认证机制。
在另一个实施例中,用户订阅账户可对应于具有SIM卡的终端装置,即,SIM装置。关联信息可包括由SIM装置和没有SIM卡的终端装置所共享的用户标识。可在应用服务器处创建关联信息和认证信息。
在本公开的第二方面中,提供一种由AAA服务器执行以便促进没有SIM卡的终端装置经由第二网络(例如Wi-Fi网络或任何其它无线电接入网络)来接入第一网络(例如3GPP核心网络)的方法。没有SIM卡的终端装置是FIDO使能的。该方法包括:响应于从没有SIM卡的终端装置接收到认证请求,从FIDO服务器获得注册信息。注册信息至少包括指示没有SIM卡的终端装置和用户订阅账户之间的关联的没有SIM卡的终端装置的关联信息。该方法还包括:用注册信息验证没有SIM卡的终端装置的标识,以便触发通过AAA服务器认证没有SIM卡的终端装置;以及根据用FIDO认证数据来扩展的可扩展认证协议-传输层安全性EAP-TLS协议来认证没有SIM卡的终端装置以经由第二网络接入第一网络。
在实施例中,可将FIDO认证数据发送给没有SIM卡的终端装置。FIDO认证数据可至少包括FIDO质询(例如UAF质询或U2F质询)和用于指示没有SIM卡的终端装置的本地认证机制的FIDO认证策略(例如FIDO联盟UAF策略和FIDO联盟U2F策略)。具体来说,本地认证机制可包括生物认证机制。
在本公开的第三方面中,提供一种由应用服务器AS执行以便促进没有SIM卡的终端装置向FIDO服务器注册的方法。该方法包括创建没有SIM卡的终端装置与SIM装置的关联信息、指向FIDO服务器的路由信息、以及用于向FIDO服务器注册没有SIM卡的终端装置的认证信息。该方法还包括:向FIDO服务器告知关联信息和认证信息;以及向SIM装置至少告知路由信息和认证信息,认证信息被进一步提供给没有SIM卡的终端装置以便向FIDO服务器注册。
在本公开的第四方面中,提供一种由没有SIM卡的终端装置执行以便促进该终端装置经由第二网络接入第一网络的方法。没有SIM卡的终端装置是FIDO使能的。该方法包括:获得指向FIDO服务器的路由信息和用于向FIDO服务器注册的认证信息;以及经由至少包括认证信息的请求消息来请求向FIDO服务器注册。该方法还包括:至少基于认证信息、根据FIDO联盟规范的集合向FIDO服务器注册;以及发起通过AAA服务器的认证过程以便经由第二网络接入第一网络。
在实施例中,认证过程可包括:接收至少包括FIDO质询和FIDO认证策略的FIDO认证数据;验证FIDO质询;根据FIDO认证策略执行本地认证;计算用在向FIDO服务器注册期间在终端装置处创建的私有密钥来签名的认证结果;以及在没有客户端证书且没有在向FIDO服务器注册期间在终端装置处创建的公共密钥的情况下将认证结果发送给AAA服务器。
在本公开的第五方面中,提供一种在FIDO服务器处实施或作为其至少一部分来实施以便促进没有SIM卡的终端装置经由第二网络接入第一网络的设备。没有SIM卡的终端装置是FIDO使能的。该设备包括信息获得单元、注册单元和信息提供单元。信息获得单元配置成获得指示没有SIM卡的终端装置和用户订阅账户之间的关联的没有SIM卡的终端装置的关联信息、和没有SIM卡的终端装置的认证信息。注册单元配置成响应于从没有SIM卡的终端装置接收到向FIDO服务器注册的请求,促使至少基于关联信息和认证信息、根据FIDO联盟规范的集合向FIDO服务器注册没有SIM卡的终端装置。请求至少包括没有SIM卡的终端装置的认证信息。例如,FIDO联盟规范的集合可包括FIDO联盟UAF规范的集合或FIDO联盟U2F规范的集合。信息提供单元配置成响应于在AAA服务器处从没有SIM卡的终端装置接收到认证请求而将没有SIM卡的终端装置的注册信息提供给AAA服务器,以便促进AAA服务器基于注册信息来认证没有SIM卡的终端装置以经由第二网络接入第一网络。
在本公开的第六方面中,提供一种在AAA服务器处实施或作为其至少一部分来实施以便促进没有SIM卡的终端装置经由第二网络(例如Wi-Fi网络或任何其它无线电接入网络)来接入第一网络(例如3GPP核心网络)的方法。没有SIM卡的终端装置是FIDO使能的。该设备包括信息获得单元、验证单元和认证单元。信息获得单元配置成响应于从没有SIM卡的终端装置接收到认证请求而从FIDO服务器获得注册信息。注册信息至少包括指示没有SIM卡的终端装置和用户订阅账户之间的关联的没有SIM卡的终端装置的关联信息。验证单元配置成用获得的注册信息来验证没有SIM卡的终端装置的标识,以便触发通过AAA服务器认证没有SIM卡的终端装置。认证单元配置成根据用FIDO认证数据来扩展的EAP-TLS协议来认证没有SIM卡的终端装置以经由第二网络接入第一网络。
在本公开的第七方面中,提供一种在应用服务器AS处实施或作为其至少一部分来实施以便促进向FIDO服务器注册没有SIM卡的终端装置的设备。没有SIM卡的终端装置是FIDO使能的。该设备包括创建单元和告知单元。创建单元配置成创建没有SIM卡的终端装置与SIM装置的关联信息、并配置成创建指向FIDO服务器的路由信息和用于向FIDO服务器注册没有SIM卡的终端装置的认证信息。告知单元配置成向FIDO服务器告知关联信息和认证信息、并向SIM装置告知路由信息和认证信息,认证信息被进一步提供给没有SIM卡的终端装置以便向FIDO服务器注册。
在本公开的第八方面中,提供一种在没有SIM卡的终端装置处实施或作为其至少一部分来实施以便促进没有SIM卡的终端装置经由第二网络(例如Wi-Fi网络或任何其它无线电接入网络)来接入第一网络(例如3GPP核心网络)的方法。终端装置是FIDO使能的。该设备包括信息获得单元、注册请求单元、注册单元和认证单元。信息获得单元配置成获得指向FIDO服务器的路由信息和用于向FIDO服务器注册的认证信息。注册请求单元配置成经由至少包括认证信息的请求消息来请求向FIDO服务器注册。注册单元配置成至少基于认证信息、根据FIDO联盟规范的集合向FIDO服务器注册。认证单元配置成发起通过AAA服务器的认证过程以经由第二网络接入第一网络。
在本公开的第九方面中,提供一种用于促进没有SIM卡的终端装置经由第二网络接入第一网络的FIDO服务器。没有SIM卡的终端装置是FIDO使能的。FIDO服务器包括处理器和存储器。存储器包含可由处理器执行的指令,由此FIDO服务器可操作以执行根据本公开的第一方面的方法。
在本公开的第十方面中,提供一种用于促进没有SIM卡的终端装置经由第二网络接入第一网络的AAA服务器。没有SIM卡的终端装置是FIDO使能的。AAA服务器包括处理器和存储器。存储器包含可由处理器执行的指令,由此AAA服务器可操作以执行根据本公开的第二方面的方法。
在本公开的第十一方面中,提供一种用于促进没有SIM卡的终端装置向FIDO服务器注册的应用服务器AS。AS包括处理器和存储器。存储器包含可由处理器执行的指令,由此AS可操作以执行根据本公开的第三方面的方法。
在本公开的第十二方面中,提供一种没有SIM卡并且是FIDO使能的终端装置。该终端装置包括处理器和存储器。存储器包含可由处理器执行的指令,由此终端装置可操作以执行根据本公开的第四方面的方法。
应领会,第一、第二、第三和第四方面的各种实施例可分别等同适用于本公开的第五、第六、第七和第八方面。
本公开的实施例基于许多优点,其示例的非穷举性列表如下:
一些实施例的优点是,它们提供使最终用户能够使用FIDO经由Wi-Fi接入而登录到运营商的网络而无需记住用户名/密码的解决方案。
一些实施例的优点是,网络运营商可通过对不具有SIM卡的终端装置的开放Wi-Fi接入而产生更多收入。
一些实施例的优点是,由FIDO规范使能的生物认证增加最终用户体验;并且帮助网络运营商捕获最终用户的兴趣,发展新的业务机会,并产生更多收入。
一些实施例的优点是,通过FIDO规范引入终端装置处的本地认证机制,由此增加网络运营商和最终用户定制其自己的服务的灵活性。
附图说明
作为示例,根据参考附图的以下具体实施方式,本公开的各种实施例的以上和其它方面、特征和益处将变得更完全显而易见,在附图中:
图1示出说明FIDO架构的图;
图2示出可在其中实现本公开的实施例的通信系统的实施例;
图3A和图3B示出根据本公开的实施例的、无SIM装置向FIDO服务器注册的信令流程图;
图4示出根据本公开的实施例的、无SIM装置请求来自AAA服务器的认证以便接入核心网络的信令流程图;
图5A示出根据本公开的一些实施例的、由FIDO服务器执行的方法的流程图;
图5B示出根据本公开的实施例的图5A的框520的详细操作;
图6示出根据本公开的一些实施例的、由AAA服务器执行的方法的流程图;
图7示出根据本公开的一些实施例的、由应用服务器执行的方法的流程图;
图8示出根据本公开的一些实施例的、由没有SIM卡的终端装置执行的方法的流程图;
图9示出根据本公开的一些实施例的、在FIDO服务器处的设备的示意性框图;
图10示出根据本公开的一些实施例的、在AAA服务器处的设备的示意性框图;
图11示出根据本公开的一些实施例的、在应用服务器处的设备的示意性框图;
图12示出根据本公开的一些实施例的、在没有SIM卡的终端装置处的设备的示意性框图;以及
图13示出根据本公开的各种实施例的设备的示意性框图。
各种附图中的相似参考标号和符号指示相似元素。
具体实施方式
下文中,将参考说明性实施例来描述本公开的原理和精神。应理解,给出所有这些实施例只是为了本领域技术人员更好地理解并进一步实践本公开,而不是为了限制本公开的范畴。例如,作为一个实施例的一部分而示出或描述的特征可与另一个实施例一起使用以得到更进一步的实施例。为了清楚,不是实际实现的所有特征都在本说明书中被描述。
说明书中对“一个实施例”、“实施例”、“另一个实施例”等的引用指示,所描述的实施例可包括特定特征、结构或特性,但每一个实施例不一定都包括该特定特征、结构或特性。此外,当结合实施例来描述特定特征、结构或特性时,主张的是,不管是否明确描述,结合其它实施例而影响此类特征、结构或特性在本领域技术人员的知识范围内。
应理解,尽管本文中可使用术语“第一”和“第二”等来描述各种元件,但是这些元件不受这些术语限制。这些术语只用于区分一个元件和另一个元件。例如,在不脱离示例实施例的范畴的情况下,第一元件可被称为第二元件,并且类似地,第二元件可被称为第一元件。如本文中所使用的,术语“和/或”包括相关联的所列项中一个或多个项的任意和所有组合。
本文中所使用的术语只是为了描述特定实施例的目的,而不是意图限制所述实施例。如本文中所使用的,除非上下文以其它方式清楚地指示,否则意图单数形式“一(a、an)”和“所述”也包括复数形式。还将理解,术语“包括(comprises、comprising)”、“具有(has、having)”和/或“包含(includes、including)”在本文中使用时规定存在所述特征、元件和/或组件等,但是不排除存在或添加一个或多个其它特征、元件、组件、和/或其组合。
在以下描述和随附权利要求中,除非另外定义,否则本文中所使用的所有技术和科学术语具有与本公开所属领域的技术人员通常理解的含义相同的含义。例如,本文中所使用的术语“终端装置”可以指具有无线通信能力的任何终端或UE,包括但不限于移动电话、蜂窝电话、智能电话或个人数字助理(PDA)、便携式计算机、膝上型计算机、平板计算机、和诸如此类。在本文档中,具有SIM卡的终端装置将被称为SIM装置,例如智能电话,而没有SIM卡的终端装置将被称为无SIM装置,例如平板或膝上型计算机。
网络集成式Wi-Fi的一些现有解决方案提供用于无缝接入Wi-Fi和EPC并用于通过基于SIM的认证方法(例如,EAP-SIM、EAP-认证和密钥协商(EAP-AKA)或EAP-AKA’)向与用于3GPP的网络实体相同的网络实体认证Wi-Fi使用的方式。EAP是支持多种认证方法的认证框架。EAP还可适用于其中IP层连接性不可用的场景。EAP-AKA’是EAP-AKA的变型。
最近,已提议一些解决方案以便使无SIM装置经由Wi-Fi接入来接入3GPP网络并通过基于证书的认证(如PCT申请No. PCT/CN2015/076667中所公开的)或通过基于用户名/密码的认证来认证无SIM装置的标识。
在使无SIM装置经由不可信的Wi-Fi网络接入3GPP EPC网络的现有解决方案中,网络认证基于由运营商的专有CA服务器在装置登记到EPC网络中的时间发出的装置证书。这在大量终端装置正向网络注册时以及当它们附连到EPC网络时在网络中造成潜在的性能瓶颈,AAA服务器经由OCSP针对CA服务器确认证书撤销列表(CRL)。
在使无SIM装置经由可信的Wi-Fi网络接入3GPP EPC网络的现有解决方案中,它基于开放服务集标识符(SSID)解决方案为最终用户提供基于门户网站的“用户名/密码”登录接口。由于必须正确记住用户名和密码,所以用户体验可能被降低。此外,出于安全性原因,密码还是受时间限制的。它逐渐地被视为是提升运营商的Wi-Fi业务的障碍。
为解决以上缺点中的至少一部分缺点,本公开的各种实施例提议了用于促进无SIM装置基于如背景技术中所描述的FIDO来接入核心网络的高效解决方案。
图2示出可在其中实现本公开的实施例的通信系统200的实施例。图2中节点之间的实线示出数据平面,而图2中节点之间的虚线示出控制平面。
在图2中,可通过诸如演进型通用陆地无线电接入网络(E-UTRAN)104中的eNB 123的无线电接入网络(RAN)节点来为SIM装置102提供服务。将理解,可存在与SIM装置102通信的多于一个的eNB 123。SIM装置102可经由LTE-Uu接口而被连接到E-UTRAN 104。
通信系统200还包括由图2中的WLAN 107表示的Wi-Fi网络。WLAN 107包括由Wi-FiAP 113表示的无线接入点(AP)、由AC 115表示的接入控制器(AC)、由Wi-Fi GW 110表示的无线网关(GW)以及演进型分组数据网关(ePDG)125。具体来说,AC 115可处置Wi-Fi网络107中的接入控制、使用监测和策略实施。
ePDG 125可被连接到在图2中用PGW 133例示的分组网关。可使用例如 S2b GTP接口将ePDG 125连接到PGW 133,其中GTP是GPRS隧穿协议的缩写。还可使用例如S2a GTP接口将Wi-Fi GW 110连接到PGW 133。PGW 133可被视为是对于服务网络130的网关,服务网络130可以是例如互联网。PGW 133和服务网络130之间的接口可以是SGi接口。
可使用例如802.1x EAPoL(EAP-TLS/TTLS)将无SIM装置111和112连接到Wi-Fi AP113。EAPoL是可扩展认证协议的缩写。TLS是传输层安全性的缩写,并且TTLS是隧穿式传输层安全性的缩写。TLS协议在互联网上提供通信安全性。该协议允许客户端/服务器应用以被设计成防止窃听、篡改或消息伪造的方式进行通信。Wi-Fi AP 113可经由无线接入点的控制和供应协议(CAPWAP)接口而被连接到AC 115。可使用例如基于RADIUS协议的接口将Wi-Fi GW 110连接到Wi-Fi AP 113。RADIUS是远程认证拨号用户服务的缩写。
PGW 133可经由例如S5/S8接口而被连接到服务网关(SGW)108。可使用例如S1-U接口将SGW 108连接到RAN网络104。
通信系统200还包括移动性管理实体(MME)106。可使用例如S1-MME接口将MME 106连接到RAN网络104。MME 106可被连接到在图2中用归属订户服务器(HSS)105例示的订户数据库。MME 106和HSS 105之间的连接可被称为S6a接口。
HSS 105可经由例如SWx接口而被连接到AAA服务器103。AAA服务器133可经由例如Diameter或RADIUS接口而被连接到ePDG 125。
在图2中,还示出在AAA服务器103旁边的FIDO服务器101。应理解,FIDO服务器101和AAA服务器103可作为单个实体或作为经由安全链路而彼此连接的两个独立实体来实施。为了清楚地描绘这两个服务器的相应功能,在图2中将它们示为是相同框中的两个独立实体。
AAA服务器103和/或FIDO服务器101可经由例如超文本传输协议(HTTP)接口而被连接到应用服务器(AS)120。AS 120可经由例如轻量级目录访问协议(LDAP)接口而被连接到HSS 105。
SGW 108、PGW 133、MME 106、HSS 105、AAA服务器103、FIDO服务器101以及可能的还有AS 120可被视为被包含在如图2中所示的通信系统的核心网络中。备选地,AS 120可被视为被包含在核心网络中或被视为被包含在服务网络130中。
应领会,图2的通信系统中节点之间的链路可以是任何适合的种类,包括有线或无线链路。如由本领域技术人员所理解的,取决于层的类型和级别(例如,如由开放系统互连(OSI)模型所指示的),所述链路可使用任何适合的协议。
现在将参考图3A、图3B和图4中描绘的示例信令流程来描述根据本公开的一些实施例的、用于促进无SIM装置经由Wi-Fi接入来接入核心网络的解决方案。以下描述将基于如图2中所示的通信系统200的实施例,但是通信系统200的任何其它适合的实施例也可适用。
图3A和图3B示出根据本公开的实施例的、用于无SIM装置(例如,图2的无SIM装置112)向FIDO服务器(例如,FIDO服务器101)注册的信令流程图,其中图3A示出用于获得注册相关信息的注册的第一部分,并且图3B示出用于使用所接收的注册相关信息向FIDO服务器注册的注册的第二部分。请注意,无SIM装置是FIDO使能的。本文中所使用的“FIDO使能”装置意味着该装置可根据FIDO规范进行操作。
流程从图3A开始。假设,SIM装置(例如,图2的SIM装置102)已按3GPP协议而附连到3GPP EPC网络。
步骤301
SIM装置102登录应用服务器(例如,图2的AS 120),并发起用于向网络注册无SIM装置112的请求。同时,SIM装置102可向AS 120指示无SIM装置112是FIDO使能的。
步骤302
一旦从SIM装置102接收到请求,AS 120便认证SIM装置,并为无SIM装置112创建FIDO注册上下文数据。例如,AS 120创建指示SIM装置102和无SIM装置112之间的关联的关联信息,例如由SIM装置和无SIM装置所共享的用户标识(ID)。另外,AS 120创建指向FIDO服务器101的路由信息和无SIM装置112的认证信息。FIDO注册上下文数据可包括关联信息、路由信息和认证信息。作为示例,路由信息可以是指向FIDO服务器的重定向统一资源定位符(URL),而认证信息可以是注册令牌。该信息将被用于无SIM装置112的稍后FIDO注册。
步骤303
AS 120将包括关联信息(例如,用户ID)和认证信息(例如,注册令牌)的FIDO注册上下文数据的至少一部分转发给FIDO服务器101。
步骤304
作为对SIM装置102的注册请求的响应,AS 120将包括关联信息(例如,用户ID)、认证信息(例如,注册令牌)和路由信息(例如,重定向URL)的FIDO注册上下文数据的至少一部分发送给SIM装置102。
从SIM-装置102的角度看,它从AS 120接收FIDO注册上下文数据。
步骤305
SIM装置102经由例如专有云服务或条码扫描等的安全方式将所接收的FIDO注册上下文数据推送给无SIM装置112。
由步骤301-305组成的以上过程示出用于通过将无SIM装置与SIM装置相关联而获得无SIM装置向FIDO服务器注册所需的信息的特定方法。但是,它不限于将无SIM装置关联到SIM装置。无SIM装置可更一般地与已经在网络中注册过的用户订阅账户相关联。在这种情况下,用户订阅账户可例如与可收费和/或可跟踪的SIM装置或陆上线路装置相关联。作为示例,可由网络运营商来创建(例如由运营商的工作人员手动创建)无SIM装置与用户订阅账户之间的关联和无SIM装置的认证信息。
现在,信令流程进行至图3A。
步骤306
无SIM装置112可根据所接收的路由信息(例如根据重定向URL)向FIDO服务器101发送注册请求。注册请求可包括从AS 120接收的认证信息,例如注册令牌。
步骤307
FIDO服务器101验证从无SIM装置112接收的认证信息,并接着根据FIDO联盟规范的集合来触发FIDO注册过程。FIDO联盟规范的集合可包括FIDO联盟UAF规范的集合或FIDO联盟U2F规范的集合。
在FIDO注册过程期间,FIDO服务器101可通过向无SIM装置112指示例如UAF或U2F策略的FIDO策略来规定无SIM装置112的本地认证机制。本地认证机制可包括但不限于:生物认证机制,例如指纹认证、人脸认证、眼睛虹膜认证、语音识别、和诸如此类;或经由第二因子装置或经由安全性PIN和诸如此类的认证机制;或其任意组合。
无SIM装置112可检查由FIDO策略所规定的本地认证机制,并相应地行动,例如标记用户的指纹、扫描用户的眼睛虹膜等。一旦进行了这些动作(如生物记录),无SIM装置112便可创建其秘密密钥对(包括私有密钥和公共密钥),并接着将公共密钥发送给FIDO服务器101。
步骤308
FIDO服务器101可存储从无SIM装置112接收的公共密钥,并将它添加到无SIM装置112与SIM装置102的关联信息中,例如将公共密钥与由无SIM装置112和SIM装置102共享的用户ID相关联。
步骤309
FIDO服务器101可通知AS 120关于无SIM装置112向FIDO服务器101注册。
步骤310
一旦从FIDO服务器101接收到通知,AS 120便可检查来自SIM装置102的之前注册的上下文信息,并接着为无SIM装置112创建用户简档,例如虚拟国际移动用户标识号码(vIMSI)。
步骤311
AS 120可将为无SIM装置112创建的用户简档提供给HSS 105。
步骤312
AS 120可通知FIDO服务器101关于用户简档创建的结果。
步骤313
作为对无SIM装置112的注册请求的响应,FIDO服务器101可向无SIM装置112通知FIDO注册结果。
请注意,以上步骤309-313可遵循基于现有FIDO规范的注册过程而实现,因此这里将不再详述。尽管按如所示的某一顺序来描述以上步骤,但应领会,一些步骤可按与描述的顺序不同的顺序来执行。例如,步骤303和304可并行或按相反的顺序执行。
到现在为止,无SIM装置112已经由Wi-Fi网络107向FIDO服务器101注册。在下文中,无SIM装置112可请求经由Wi-Fi网络107接入核心网络。
图4示出根据本公开的实施例的、用于无SIM装置(例如,图2的无SIM装置112)请求来自AAA服务器(例如,图2的AAA服务器103)的认证以接入核心网络的信令流程图。
假设,无SIM装置112已经选择运营商SSID并自动加入Wi-Fi AP 113,并且无SIM装置112正在经由诸如运营商Wi-Fi接入的可信非3GPP接入而附连到3GPP EPC网络中。
无SIM装置112可将请求消息传送给AAA服务器103。请求消息可以是对于通过Wi-Fi网络107接入核心网络的认证的请求。例如,Diameter-EAP-Request消息可充当认证请求。然后,触发以下过程。
步骤401
无SIM装置112可将EAP-Response消息传送给AAA服务器103,如图4中的EAP-Response/Identity所指示。在EAP-Response到达AAA服务器103之前,可经由Wi-Fi AP113、AC 115、Wi-Fi GW 110和ePDG 125中的至少一个来传送EAP-Response。EAP-Response消息可包括与无SIM装置112相关联的标识,例如用户ID。
步骤402
AAA服务器103从FIDO服务器103获得无SIM装置112的注册相关信息。例如,注册相关信息可至少包括指示无SIM装置112与SIM装置102的关联的无SIM装置112的关联信息,例如用户ID。然后,AAA服务器103可例如通过检查由无SIM装置112提供的用户ID是否与从FIDO服务器101获得的用户ID完全相同来用获得的关联信息验证无SIM装置112的标识。一旦无SIM装置112被验证,便触发FIDO认证过程。
步骤403
AAA服务器103可将EAP-Request消息传送给无SIM装置112,如图4中的EAP-Request/TLS’/Start所指示。本文中所使用的TLS’是指通过FIDO认证数据所扩展的EAP-TLS认证过程。“Start”是指与认证器(即,AAA服务器103)的TLA对话。在EAP-Request到达无SIM装置112之前,可经由Wi-Fi AP 113、AC 115、Wi-Fi GW 110和ePDG 125中的至少一个来传送EAP-Request。
步骤404
无SIM装置112可将EAP-Response消息传送给AAA服务器103,如图4中的EAP-Response/TLS’/Client_hello所指示。TLS’/Client_hello是在最终装置与认证器(即,AAA服务器103)之间传送的握手消息。在EAP-Response消息到达AAA服务器103之前,可经由Wi-Fi AP 113、AC 115、Wi-Fi GW 110和ePDG 125中的至少一个来传送EAP-Response消息。步骤404中的EAP-Response消息可以是对在步骤403中发送的请求的响应。
步骤405
AAA服务器103可将EAP-Request消息传送给无SIM装置112,如图4中的EAP-Request/TLS’/Server_hello/(Certificate, UAF Challenge, UAF policy,…)所指示。TLS’/Server_hello是握手消息。包含在括号中的内容是指包含在EAP-Request消息中的可能信息。在EAP-Request消息到达无SIM装置112之前,可经由Wi-Fi AP 113、AC 115、Wi-FiGW 110和ePDG 125中的至少一个来传送EAP-Request消息。EAP-Request消息可至少包括FIDO认证数据。FIDO认证数据可包括:FIDO质询,例如UAF质询或U2F质询;以及FIDO认证策略,即UAF策略或U2F策略。FIDO认证策略可规定无SIM装置112的本地认证机制。EAP-Request消息还可包括服务器证书。
步骤406
无SIM装置112可基于如正常EAP TLS过程那样在EAP-Request消息中接收的数据来认证服务器。
另外,无SIM装置112验证接收的FIDO质询,根据接收的FIDO认证策略来选择本地认证机制,并然后执行规定的本地认证机制,并计算认证结果,例如用在向FIDO服务器101注册期间在无SIM装置112处创建的私有密钥签名的FIDO‘SignedData’。
本地认证机制可包括但不限于:生物认证机制,例如指纹认证、人脸认证、眼睛虹膜认证、语音识别、和诸如此类;或经由第二因子装置或经由安全性PIN和诸如此类的认证机制;或其任意组合。
步骤407
无SIM装置112可将EAP-Response消息传送给AAA服务器103,如图4中的EAP-Response/TLS’/(UAF_SignedData, Client_key_exchange, Change_cipher_spec, …,TLS finished)所指示,以便将认证结果发送给AAA服务器103。括号中包含的内容是指包含在EAP-Response消息中的可能信息。例如,该可能信息可包括认证结果(即,SignedData)、包含在Client_key_exchange中的预主密钥(pre-master key)、由Change_cipher_spec对密码规范的指示等,但是没有客户端证书和公共密钥,因为在注册过程期间已经在服务器侧注册了公共密钥。“TLS finished”指示握手完成。在EAP-Response消息到达AAA服务器103之前,可经由Wi-Fi AP 113、AC 115、Wi-Fi GW 110和ePDG 125中的至少一个来传送EAP-Response消息。EAP-Response消息可被视为是对在步骤404中发送的请求的响应。
步骤408
AAA服务器103可验证从无SIM装置112接收的TLS数据,并如正常EAP/TLS过程那样演算主会话密钥(MSK)。另外,AAA服务器103可使用之前由无SIM装置112注册的公共密钥来验证从无SIM装置112接收的‘SignedData’。可选地,AAA服务器103可依据3GPP规范从HSS105获取用户简档数据。
步骤409
AAA服务器103完成无SIM装置112的认证,并然后将安全性数据、用户简档等发送给无SIM装置112。
随后,依据3GPP规范设立GPRS隧穿协议(GTP)隧道或卸载隧道。
在以上示例中,假设,无SIM装置正经由例如运营商Wi-Fi接入的可信非3GPP接入而附连到3GPP EPC网络中。还可行的是,无SIM装置正经由诸如公共Wi-Fi接入的不可信非3GPP接入而附连到核心网络中。在这种情况下,无SIM装置可通过ePDG来设立IPsec隧道,其接着向AAA服务器触发认证过程,如以上示例中所概述的。
到现在为止,对无SIM装置进行了认证以便接入核心网络。
在下文中,将参考图5-8来描述由相应网络元件(诸如如图2中所示的FIDO服务器、AAA服务器、应用服务器和无SIM装置)所执行以便促进无SIM装置经由第二网络(例如Wi-Fi网络)接入第一网络(例如3GPP核心网络)的若干种方法。
图5A示出根据本公开的一些实施例由FIDO服务器(例如,图2的FIDO服务器101)执行以便促进没有SIM卡的终端装置(例如,图2的无SIM装置112)经由第二网络(例如图2的Wi-Fi网络107)接入第一网络(例如3GPP核心网络)的方法500的流程图。没有SIM卡的终端装置是FIDO使能的。下文中,将使用术语“没有SIM卡的终端装置”来更一般地表示如上文所论述的无SIM装置;将使用术语“第一网络”来更一般地表示如上文所论述的3GPP核心网络;将使用术语“第二网络”来更一般地表示如上文所论述的Wi-Fi网络或任何其它无线电接入网络(包括3GPP或非3GPP接入网络)。
如所示的,方法500在框510开始,其中FIDO服务器获得指示没有SIM卡的终端装置和用户订阅账户之间的关联的没有SIM卡的终端装置的关联信息、以及没有SIM卡的终端装置的认证信息。
在实施例中,FIDO服务器可通过如参考图3A描述的过程从应用服务器获得关联信息和认证信息。具体来说,用户订阅账户可对应于具有SIM卡的终端装置,即SIM装置。关联信息可包括由SIM装置和没有SIM卡的终端装置共享的用户标识。可在应用服务器处创建关联信息和认证信息。
在另一个实施例中,FIDO服务器可经由例如手动关联的其它关联方式从像如操作支持系统(OSS)的其它网络元件获得关联和认证信息。
在框520,响应于从没有SIM卡的终端装置接收到向FIDO服务器注册的请求,FIDO服务器促使至少基于获得的关联信息和认证信息、根据FIDO联盟规范的集合向FIDO服务器注册没有SIM卡的终端装置。请求至少包括没有SIM卡的终端装置的认证信息。作为示例,FIDO联盟规范的集合可包括FIDO UAF规范的集合或FIDO U2F规范的集合。
在框530,响应于在AAA服务器处从没有SIM卡的终端装置接收到认证请求,FIDO服务器将没有SIM卡的终端装置的注册信息提供给AAA服务器,以便促进AAA服务器至少基于注册信息来认证没有SIM卡的终端装置以经由第二网络接入第一网络。
图5B示出根据本公开的实施例的图5A的框520中的详细操作。
如所示的,为了向FIDO服务器注册没有SIM卡的终端装置,在框521,FIDO服务器可通过获得的关联信息和认证信息来验证没有SIM卡的终端装置的标识,以便触发终端装置向FIDO服务器注册。
可选地,在框522,FIDO服务器可规定没有SIM卡的终端装置的本地认证机制。如上所提及的,本地认证机制可包括但不限于:生物认证机制,例如指纹认证、人脸认证、眼睛虹膜认证、语音识别、和诸如此类;或经由第二因子装置或经由安全性PIN和诸如此类的认证机制;或其任意组合。
在框523,FIDO服务器可将从没有SIM卡的终端装置所接收的公共密钥添加到关联信息中。
在该实施例中,提供给AAA服务器的注册信息可至少包括没有SIM卡的终端装置的公共密钥和关联信息。
图6示出根据本公开的一些实施例的、在AAA服务器(例如,图2的AAA服务器103)处执行以便促进没有SIM卡的终端装置(例如,图2的无SIM装置112)经由第二网络(例如图2的Wi-Fi网络107)接入第一网络(例如3GPP核心网络)的方法600的流程图。同样,没有SIM卡的终端装置是FIDO使能的。应领会,第二网络不限于Wi-Fi网络,并且还可包括任何其它无线电接入网络。
如所示的,方法600在框610开始,其中响应于从没有SIM卡的终端装置接收到认证请求,AAA服务器从FIDO服务器获得注册信息。注册信息至少包括指示没有SIM卡的终端装置和用户订阅账户之间的关联的没有SIM卡的终端装置的关联信息。
在实施例中,用户订阅账户可对应于具有SIM卡的终端装置,即SIM装置。关联信息可包括由SIM装置和没有SIM卡的终端装置所共享的用户标识。可在应用服务器处创建关联信息和认证信息。
在框620,AAA服务器通过注册信息来验证没有SIM卡的终端装置的标识,以便触发认证没有SIM卡的终端装置。
在框630,AAA服务器根据通过FIDO认证数据所扩展的EAP-TLS协议来认证没有SIM卡的终端装置以经由第二网络接入第一网络。具体来说,AAA服务器可将FIDO认证数据发送给没有SIM卡的终端装置。FIDO认证数据可至少包括FIDO质询和FIDO认证策略。作为示例,FIDO认证策略包括用于指示没有SIM卡的终端装置的本地认证机制的FIDO联盟UAF策略或FIDO联盟U2F策略。同样地,FIDO质询可包括UAF质询或U2F质询。
如上所提及的,本地认证机制可包括但不限于:生物认证机制,例如指纹认证、人脸认证、眼睛虹膜认证、语音识别、和诸如此类;或经由第二因子装置或经由安全性PIN和诸如此类的认证机制;或其任意组合。
图7示出根据本公开的一些实施例的、由应用服务器(例如,图2的AS 120)执行以便促进没有SIM卡的终端装置(例如,无SIM装置112)向FIDO服务器(例如,图2的FIDO服务器101)注册的方法700的流程图。
如所示的,在框710,AS创建没有SIM卡的终端装置与SIM装置的关联信息。关联信息可指示没有SIM卡的终端装置和SIM装置之间的关联。AS还创建用于向FIDO服务器注册没有SIM卡的终端装置的认证信息(例如,注册令牌)。AS进一步创建指向FIDO服务器的路由信息,例如到FIDO服务器的重定向URL。
在框720,AS向FIDO服务器告知关联信息和认证信息。
在框730,AS向SIM装置告知至少路由信息和认证信息,认证信息进一步被提供给没有SIM卡的终端装置以便向FIDO服务器注册。
请注意,框720和730中的以上操作可并行或以相反顺序来执行。
图8示出根据本公开的一些实施例的、由没有SIM卡的终端装置(例如,图2的无SIM装置112)执行以经由第二网络(例如图2的Wi-Fi网络107)接入第一网络(例如3GPP核心网络)的方法800的流程图。没有SIM卡的终端装置是FIDO使能的。应领会,第二网络不限于Wi-Fi网络,并且还可包括任何其它无线电接入网络。
如所示的,在框810,没有SIM卡的终端装置例如从应用服务器获得指向FIDO服务器的路由信息(例如,重定向URL)和用于向FIDO服务器注册的认证信息(例如,注册令牌)。
在框820,没有SIM卡的终端装置经由至少包括获得的认证信息的请求消息来请求向FIDO服务器注册。
在框830,没有SIM卡的终端装置至少基于认证信息、根据FIDO联盟规范的集合向FIDO服务器注册。FIDO联盟规范的集合可包括FIDO联盟UAF规范的集合和FIDO联盟U2F规范的集合。
在框840,没有SIM卡的终端装置发起通过AAA服务器的认证过程以经由第二网络接入第一网络。具体来说,认证过程可包括以下操作:接收至少包括FIDO质询(例如,FUDOUAF质询或FIDO U2F质询)和FIDO认证策略(例如,FIDO联盟UAF策略或FIDO联盟U2F策略)的FIDO认证数据;验证FIDO质询;根据FIDO认证策略来执行本地认证;计算用在向FIDO服务器注册期间在终端装置处创建的私有密钥所签名的认证结果;以及接着在没有客户端证书和在向FIDO服务器注册期间在终端装置处创建的公共密钥的情况下将认证结果发送给AAA服务器。
图9示出根据本公开的一些实施例的、用于促进没有SIM卡的终端装置经由第二网络(例如Wi-Fi网络)接入第一网络(例如3GPP核心网络)的设备900的示意性框图。设备900可在FIDO服务器处实施或作为其至少一部分实施。没有SIM卡的终端装置是FIDO使能的。应领会,第二网络不限于Wi-Fi网络,并且还可包括任何其它无线电接入网络。如所示的,设备900包括信息获得单元910、注册单元920和信息提供单元930。
具体来说,信息获得单元910配置成获得指示没有SIM卡的终端装置和用户订阅账户之间的关联的没有SIM卡的终端装置的关联信息和没有SIM卡的终端装置的认证信息。
在实施例中,用户订阅账户可对应于SIM装置。关联信息可包括由SIM装置和没有SIM卡的终端装置所共享的用户标识。可在应用服务器处创建关联信息和认证信息。
注册单元920配置成响应于从没有SIM卡的终端装置接收到向FIDO服务器注册的请求而促使至少基于关联信息和认证信息根据FIDO联盟规范的集合向FIDO服务器注册没有SIM卡的终端装置。请求至少包括没有SIM卡的终端装置的认证信息。例如,FIDO联盟规范的集合可包括FIDO联盟UAF规范的集合或FIDO联盟U2F规范的集合。
信息提供单元930配置成响应于在AAA服务器处从没有SIM卡的终端装置接收到认证请求而将没有SIM卡的终端装置的注册信息提供给AAA服务器,以便促进AAA服务器基于注册信息来认证没有SIM卡的终端装置以经由第二网络接入第一网络。
在实施例中,注册单元920还可配置成:通过获得的关联信息和认证信息来验证没有SIM卡的终端装置的标识,以便触发向FIDO服务器注册;以及将从没有SIM卡的终端装置接收的公共密钥添加到关联信息中。
在该实施例中,注册信息可至少包括没有SIM卡的终端装置的公共密钥和关联信息。可选地,注册单元还可配置成规定没有SIM卡的终端装置的本地认证机制。如上所提及的,本地认证机制可包括但不限于:生物认证机制,例如指纹认证、人脸认证、眼睛虹膜认证、语音识别、和诸如此类;或经由第二因子装置或经由安全性PIN和诸如此类的认证机制;或其任意组合。
以上单元910-930可配置成实现如参考图2、图3A、图3B、图4和图5所描述的对应操作或步骤,并且因此为简洁起见本文不再详述。
图10示出根据本公开的一些实施例的、用于促进没有SIM卡的终端装置经由第二网络(例如Wi-Fi网络)接入第一网络(例如3GPP核心网络)的设备1000的示意性框图。设备1000可在FIDO服务器处实施或作为其至少一部分实施。没有SIM卡的终端装置是FIDO使能的。应领会,第二网络不限于Wi-Fi网络,并且还可包括任何其它无线电接入网络。
如所示的,设备1000包括信息获得单元1010、验证单元1020和认证单元1030。
具体来说,信息获得单元1010配置成响应于从没有SIM卡的终端装置接收到认证请求而从FIDO服务器获得注册信息。注册信息至少包括指示没有SIM卡的终端装置和用户订阅账户之间的关联的没有SIM卡的终端装置的关联信息。在实施例中,用户订阅账户可对应于SIM装置。关联信息可包括由SIM装置和没有SIM卡的终端装置所共享的用户标识。可在应用服务器处创建关联信息和认证信息。
验证单元1020配置成通过获得的注册信息来验证没有SIM卡的终端装置的标识,以便触发由AAA服务器认证没有SIM卡的终端装置。
认证单元1030配置成根据通过FIDO认证数据所扩展的EAP-TLS协议来认证没有SIM卡的终端装置以经由第二网络接入第一网络。
在实施例中,认证单元1030还可配置成将FIDO认证数据发送给没有SIM卡的终端装置。在此实施例中,FIDO认证数据可至少包括FIDO质询和FIDO认证策略。例如,FIDO认证策略可包括用于指示没有SIM卡的终端装置的本地认证机制的FIDO联盟UAF策略和FIDO联盟U2F策略。FIDO质询可包括UAF质询或U2F质询。如上所提及的,本地认证机制可包括但不限于:生物认证机制,例如指纹认证、人脸认证、眼睛虹膜认证、语音识别、和诸如此类;或经由第二因子装置或经由安全性PIN和诸如此类的认证机制;或其任意组合。
以上单元1010-1030可配置成实现参考图2、图3A、图3B、图4和图6所描述的对应操作或步骤,并且因此为简洁起见在本文不再详述。
图11示出根据本公开的一些实施例的、用于促进没有SIM卡的终端装置向FIDO服务器注册的设备1100的示意性框图。设备1100可在应用服务器AS处实施或作为其至少一部分实施。没有SIM卡的终端装置是FIDO使能的。
如所示的,设备1100包括创建单元1110和告知单元1120。
具体来说,创建单元1110配置成创建没有SIM卡的终端装置与SIM装置的关联信息,并配置成创建指向FIDO服务器的路由信息和用于向FIDO服务器注册的没有SIM卡的终端装置的认证信息。
告知单元1120配置成向FIDO服务器告知关联信息和认证信息,并配置成向SIM装置告知路由信息和认证信息,认证信息被进一步提供给没有SIM卡的终端装置以便向FIDO服务器注册。
以上单元1110-1120可配置成实现参考图2、图3A、图3B、图4和图7所描述的对应操作或步骤,并且因此为简洁起见在本文不再详述。
图12示出根据本公开的一些实施例的、用于促进没有SIM卡的终端装置经由第二网络(例如Wi-Fi网络)接入第一网络(例如3GPP核心网络)的设备1200的示意性框图。设备1200可在FIDO使能的没有SIM卡的终端装置处实施或作为其至少一部分实施。应领会,第二网络不限于Wi-Fi网络,并且还可包括任何其它无线电接入网络。
如所示的,设备1200包括信息获得单元1210、注册请求单元1220、注册单元1230和认证单元1240。
具体来说,信息获得单元1210配置成获得指向FIDO服务器的路由信息和用于向FIDO服务器注册的认证信息。
注册请求单元1220配置成经由至少包括认证信息的请求消息请求向FIDO服务器注册。
注册单元1230配置成至少基于认证信息根据FIDO联盟规范的集合向FIDO服务器注册。例如,FIDO联盟规范的集合可包括FIDO联盟UAF规范的集合或FIDO联盟U2F规范的集合。
认证单元1240配置成发起通过AAA服务器的认证过程以经由第二网络接入第一网络。
在实施例中,认证单元1240还可配置成:接收至少包括FIDO质询(例如,UAF质询或U2F质询)和FIDO认证策略(例如,UAF策略或U2F策略)的FIDO认证数据;验证FIDO质询;根据FIDO认证策略来执行本地认证;计算用在向FIDO服务器注册期间在终端装置处创建的私有密钥所签名的认证结果;以及在当向FIDO服务器注册期间在终端装置处创建的公共密钥的情况下将认证结果发送给AAA服务器。
以上单元1210-1240可配置成实现参考图2、图3A、图3B、图4和图8所描述的对应操作或步骤,并且因此为简洁起见在本文不再详述。
图13示出根据本公开的实施例的、用于促进没有SIM卡的终端装置经由第二网络(例如Wi-Fi网络)接入第一网络(例如3GPP核心网络)的设备1300的示意性框图。在实施例中,设备1300可作为FIDO服务器来实施。在不同实施例中,设备1300可作为AAA服务器来实施。在另一个不同实施例中,设备1300可作为应用服务器来实施。在另一个不同实施例中,设备1300可作为没有SIM卡的终端装置来实施。
设备1300包括至少一个处理器1310(诸如数据处理器(DP))和耦合到处理器1310的至少一个存储器(MEM)1320。设备1300还可包括耦合到处理器1310以便与其它设备建立通信的传送器TX和接收器RX 1330。MEM 1320存储程序(PROG)1340。至少一个处理器1310和至少一个MEM 1320的组合可形成适配于实现本公开的一些实施例的处理部件1350。
在设备1300作为FIDO服务器来实施的实施例中,PROG 1340可包括这样的指令,所述指令在关联处理器1310上执行时使得设备1300能够根据本公开的一些实施例进行操作,以例如执行如参考图5A和图5B所描述的方法500。备选地,处理部件1350可适配于实现如参考图5A和图5B所描述的本公开的一些实施例。
在设备1300作为AAA服务器来实施的实施例中,PROG 1340可包括这样的指令,所述指令在关联处理器1310上执行时使得设备1300能够根据本公开的一些实施例进行操作,以例如执行如参考图6所描述的方法600。备选地,处理部件1350可适配于实现如参考图6所描述的本公开的一些实施例。
在设备1300作为应用服务器来实施的实施例中,PROG 1340可包括这样的指令,所述指令在关联处理器1310上执行时使得设备1300能够根据本公开的一些实施例进行操作,以例如执行如参考图6所描述的方法600。备选地,处理部件1350可适配于实现如参考图6所描述的本公开的一些实施例。
在设备1300作为没有SIM卡的终端装置来实施的实施例中,PROG 1340可包括这样的指令,所述指令在关联处理器1310上执行时使得设备1300能够根据本公开的一些实施例进行操作,以例如执行如参考图9所描述的方法600。备选地,处理部件1350可适配于实现如参考图9所描述的本公开的一些实施例。
MEM 1320可以是适合于本地技术环境的任何类型,并且可使用任何适合的数据存储技术来实现,作为非限制性示例,其是诸如基于半导体的存储器装置、磁存储器装置和系统、光存储器装置和系统、固定存储器和可移除存储器。
处理器1310可以是适合于本地技术环境的任何类型,并且作为非限制性示例,可包括以下项中的一项或多项:通用计算机、专用计算机、微处理器、数字信号处理器DSP、和基于多核处理器架构的处理器。
另外,本公开还可提供包含如上所提及的计算机程序的载体,其中所述载体是以下项之一:电子信号、光信号、无线电信号、或计算机可读存储介质。计算机可读存储介质可以是例如光紧致盘或电子存储器装置,像如RAM(随机存取存储器)、ROM(只读存储器)、闪速存储器、磁带、CD-ROM、DVD、蓝光盘、和诸如此类。
本文中描述的技术可通过各种部件来实现,使得实现通过实施例所描述的对应设备的一个或多个功能的设备不仅包括现有技术部件,而且还包括用于实现通过该实施例所描述的对应设备的所述一个或多个功能的部件,并且它可包括每个独立功能的独立部件、或可配置成执行两个或更多功能的部件。例如,作为本公开的实施例所描述的功能模块/单元可以采用硬件(一个或多个设备)、固件(一个或多个设备)、软件(一个或多个模块)、或其组合来实现。对于固件或软件,可通过执行本文中所描述的功能的模块(例如,过程、功能等)来进行实现。
在上文已参考方法和设备的框图和流程图图示描述了本文中的示范性实施例。将理解,框图和流程图图示中的每个框、以及框图和流程图图示中的框的组合可分别通过包括计算机程序指令的各种部件来实现。这些计算机程序指令可被加载到通用计算机、专用计算机或其它可编程数据处理设备上以生产机器,使得在计算机或其它可编程数据处理设备上执行的指令创建用于实现在所述一个或多个流程图框中指定的功能的部件。
尽管本说明书包含许多特定实现细节,但是不应将它们直译为是对任何实现或可要求权利的内容的范畴的限制,而应直译为是对特定实现的特定实施例所特有的特征的描述。在本说明书中在独立实施例的上下文中描述的某些特征也可在单个实施例中以组合的方式来实现。反之,在单个实施例的上下文中描述的各种特征也可在多个实施例中单独地或以任何适合的子组合方式来实现。此外,尽管上文可将特征描述为以特定组合的方式起作用并且甚至最初便如此要求,但是在一些情况下,来自要求权利的组合的一个或多个特征可从所述组合切离,并且要求权利的组合可涉及子组合或子组合的变化。
对于本领域技术人员将显然的是,随着技术发展,本发明概念可以采用各种方式来实现。给出以上描述的实施例是为了描述而不是限制本公开,并且要理解,在不偏离如本领域技术人员容易理解的本公开的精神和范畴的情况下,可以诉诸于修改和改变。此类修改和改变被视为在本公开和随附权利要求的范畴内。本公开的保护范畴由随附权利要求所定义。
Claims (33)
1.一种在快速在线标识认证FIDO服务器处用于促进没有订户标识模块SIM卡的终端装置经由第二网络接入第一网络的方法(500),没有所述SIM卡的所述终端装置是FIDO使能的,所述方法(500)包括:
获得(510)指示没有所述SIM卡的所述终端装置和用户订阅账户之间的关联的、没有所述SIM卡的所述终端装置的关联信息、和没有所述SIM卡的所述终端装置的认证信息;
响应于从没有所述SIM卡的所述终端装置接收到向所述FIDO服务器注册的请求,促使(520)至少基于所述关联信息和所述认证信息、根据FIDO联盟规范的集合向所述FIDO服务器注册没有所述SIM卡的所述终端装置,所述请求至少包括没有所述SIM卡的所述终端装置的所述认证信息;以及
响应于在认证、授权和记账AAA服务器处从没有所述SIM卡的所述终端装置接收到认证请求,将没有所述SIM卡的所述终端装置的注册信息提供(530)给所述AAA服务器,以便促进所述AAA服务器至少基于所述注册信息来认证没有所述SIM卡的所述终端装置以经由所述第二网络接入所述第一网络。
2.根据权利要求1所述的方法(500),其中
FIDO联盟规范的所述集合包括以下之一:FIDO联盟通用认证框架UAF规范的集合、和FIDO联盟通用第二因子U2F规范的集合。
3.根据权利要求1或2所述的方法(500),其中
促使(520)向所述FIDO服务器注册没有所述SIM卡的所述终端装置还包括:
通过所获得的关联信息和所述认证信息来验证(521)没有所述SIM卡的所述终端装置的标识,以便触发向所述FIDO服务器的所述注册;以及
将从没有所述SIM卡的所述终端装置接收的公共密钥添加(523)到所述关联信息中,
其中所述注册信息至少包括没有所述SIM卡的所述终端装置的所述公共密钥和所述关联信息。
4.根据权利要求3所述的方法(500),其中促使(520)向所述FIDO服务器注册没有所述SIM卡的所述终端装置还包括:
规定(522)没有所述SIM卡的所述终端装置的本地认证机制,其中
所述本地认证机制包括生物认证机制。
5.根据权利要求1或2所述的方法(500),其中
所述用户订阅账户对应于SIM装置;
所述关联信息包括由所述SIM装置和没有所述SIM卡的所述终端装置所共享的用户标识;以及
在应用服务器处创建所述关联信息和所述认证信息。
6.一种在认证、授权和记账AAA服务器处用于促进没有订户标识模块SIM卡的终端装置经由第二网络接入第一网络的方法(600),没有所述SIM卡的所述终端装置是快速在线标识认证FIDO使能的,所述方法(600)包括:
响应于从没有所述SIM卡的所述终端装置接收到认证请求,从FIDO服务器获得(610)注册信息,所述注册信息至少包括指示没有所述SIM卡的所述终端装置和用户订阅账户之间的关联的、没有所述SIM卡的所述终端装置的关联信息;
通过所述注册信息来验证(620)没有所述SIM卡的所述终端装置的标识,以便触发由所述AAA服务器来认证没有所述SIM卡的所述终端装置;以及
根据通过FIDO认证数据所扩展的可扩展认证协议-传输层安全性EAP-TLS协议来认证(630)没有所述SIM卡的所述终端装置以经由所述第二网络接入所述第一网络。
7.根据权利要求6所述的方法(600),其中根据通过所述FIDO认证数据所扩展的所述EAP-TLS协议来认证(630)没有所述SIM卡的所述终端装置还包括:
将所述FIDO认证数据发送给没有所述SIM卡的所述终端装置;以及
所述FIDO认证数据至少包括FIDO质询和FIDO认证策略。
8.根据权利要求7所述的方法(600),其中
所述FIDO认证策略包括用于指示没有所述SIM卡的所述终端装置的本地认证机制的FIDO联盟通用认证框架UAF策略和FIDO联盟通用第二因子U2F策略之一;以及
所述FIDO质询包括UAF质询和U2F质询之一。
9.根据权利要求8所述的方法(600),其中
所述本地认证机制包括生物认证机制。
10.根据权利要求6-9中任一项所述的方法(600),其中
所述用户订阅账户对应于SIM装置;
所述关联信息包括由所述SIM装置和没有所述SIM卡的所述终端装置所共享的用户标识;以及
在应用服务器处创建所述关联信息和认证信息。
11.一种在应用服务器AS处用于促进没有订户标识模块SIM卡的终端装置向快速在线标识认证FIDO服务器注册的方法(700),所述方法(700)包括:
创建(710)没有所述SIM卡的所述终端装置与SIM装置的关联信息、用于向所述FIDO服务器注册没有所述SIM卡的所述终端装置的认证信息、和指向所述FIDO服务器的路由信息;
向所述FIDO服务器告知(720)所述关联信息和所述认证信息;以及
向所述SIM装置告知(730)至少所述路由信息和所述认证信息,所述认证信息被进一步提供给没有所述SIM卡的所述终端装置以便向所述FIDO服务器注册。
12.一种在没有订户标识模块SIM卡的终端装置处用于促进所述终端装置经由第二网络接入第一网络的方法(800),没有所述SIM卡的所述终端装置是快速在线标识认证FIDO使能的,所述方法(800)包括:
获得(810)指向FIDO服务器的路由信息和用于向所述FIDO服务器注册的认证信息;
经由至少包括所述认证信息的请求消息来请求(820)向所述FIDO服务器注册;
至少基于所述认证信息根据FIDO联盟规范的集合向所述FIDO服务器注册(830);以及
发起(840)通过认证、授权和记账AAA服务器的认证过程以经由所述第二网络接入所述第一网络。
13.根据权利要求12所述的方法(800),其中
FIDO联盟规范的所述集合包括以下之一:FIDO联盟通用认证框架UAF规范的集合、和FIDO联盟通用第二因子U2F规范的集合。
14.根据权利要求12或13所述的方法(800),其中所述认证过程包括:
接收至少包括FIDO质询和FIDO认证策略的FIDO认证数据;
验证所述FIDO质询;
根据所述FIDO认证策略来执行本地认证;
计算用在向所述FIDO服务器注册期间在所述终端装置处创建的私有密钥所签名的认证结果;以及
在没有在向所述FIDO服务器注册期间在所述终端装置处创建的公共密钥的情况下,将所述认证结果发送给所述AAA服务器。
15.一种在快速在线标识认证FIDO服务器处用于促进没有订户标识模块SIM卡的终端装置经由第二网络接入第一网络的设备(900),没有所述SIM卡的所述终端装置是FIDO使能的,所述设备(900)包括:
信息获得单元(910),所述信息获得单元(910)配置成获得指示没有所述SIM卡的所述终端装置和用户订阅账户之间的关联的、没有所述SIM卡的所述终端装置的关联信息、和没有所述SIM卡的所述终端装置的认证信息;
注册单元(920),所述注册单元(920)配置成响应于从没有所述SIM卡的所述终端装置接收到向所述FIDO服务器注册的请求,促使至少基于所述关联信息和所述认证信息、根据FIDO联盟规范的集合向所述FIDO服务器注册没有所述SIM卡的所述终端装置,所述请求至少包括没有所述SIM卡的所述终端装置的所述认证信息;以及
信息提供单元(930),所述信息提供单元(930)配置成响应于在认证、授权和记账AAA服务器处从没有所述SIM卡的所述终端装置接收到认证请求,将没有所述SIM卡的所述终端装置的注册信息提供给所述AAA服务器,以便促进所述AAA服务器基于所述注册信息来认证没有所述SIM卡的所述终端装置以经由所述第二网络接入所述第一网络。
16.根据权利要求15所述的设备(900),其中
FIDO联盟规范的所述集合包括以下之一:FIDO联盟通用认证框架UAF规范的集合、和FIDO联盟通用第二因子U2F规范的集合。
17.根据权利要求15或16所述的设备(900),其中
所述注册单元(920)还配置成:
通过所获得的关联信息和所述认证信息来验证没有所述SIM卡的所述终端装置的标识,以便触发向所述FIDO服务器的所述注册;以及
将从没有所述SIM卡的所述终端装置接收的公共密钥添加到所述关联信息中,
其中所述注册信息至少包括没有所述SIM卡的所述终端装置的所述公共密钥和所述关联信息。
18.根据权利要求17所述的设备,其中所述注册单元(920)还配置成:
规定没有所述SIM卡的所述终端装置的本地认证机制,
其中所述本地认证机制包括生物认证机制。
19.根据权利要求17所述的设备(900),其中
所述用户订阅账户对应于SIM装置;
所述关联信息包括由所述SIM装置和没有所述SIM卡的所述终端装置所共享的用户标识;以及
在应用服务器处创建所述关联信息和所述认证信息。
20.一种在认证、授权和记账AAA服务器处用于促进没有订户标识模块SIM卡的终端装置经由第二网络接入第一网络的设备(1000),没有所述SIM卡的所述终端装置是快速在线标识认证FIDO使能的,所述设备(1000)包括:
信息获得单元(1010),所述信息获得单元(1010)配置成响应于从没有所述SIM卡的所述终端装置接收到认证请求,从FIDO服务器获得注册信息,所述注册信息至少包括指示没有所述SIM卡的所述终端装置和用户订阅账户之间的关联的、没有所述SIM卡的所述终端装置的关联信息;
验证单元(1020),所述验证单元(1020)配置成通过所述注册信息来验证没有所述SIM卡的所述终端装置的标识,以便触发由所述AAA服务器来认证没有所述SIM卡的所述终端装置;以及
认证单元(1030),所述认证单元(1030)配置成根据通过FIDO认证数据所扩展的可扩展认证协议-传输层安全性EAP-TLS协议来认证没有所述SIM卡的所述终端装置以经由所述第二网络接入所述第一网络。
21.根据权利要求20所述的设备(1000),其中所述认证单元(1030)还配置成:
将所述FIDO认证数据发送给没有所述SIM卡的所述终端装置;以及
所述FIDO认证数据至少包括FIDO质询和FIDO认证策略。
22.根据权利要求21所述的设备(1000),其中
所述FIDO认证策略包括用于指示没有所述SIM卡的所述终端装置的本地认证机制的FIDO联盟通用认证框架UAF策略和FIDO联盟通用第二因子U2F策略之一;以及
所述FIDO质询包括UAF质询和U2F质询之一。
23.根据权利要求22所述的设备(1000),其中
所述本地认证机制包括生物认证机制。
24.根据权利要求20-23中任一项所述的设备(1000),其中
所述用户订阅账户对应于SIM装置;
所述关联信息包括由所述SIM装置和没有所述SIM卡的所述终端装置所共享的用户标识;以及
在应用服务器处创建所述关联信息和认证信息。
25.一种在应用服务器AS处用于促进没有订户标识模块SIM卡的终端装置向快速在线标识认证FIDO服务器注册的设备(1100),所述设备(1100)包括:
创建单元(1110),所述创建单元(1110)配置成创建没有所述SIM卡的所述终端装置与SIM装置的关联信息,并配置成创建指向所述FIDO服务器的路由信息和用于向所述FIDO服务器注册没有所述SIM卡的所述终端装置的认证信息;
告知单元(1120),所述告知单元(1120)配置成向所述FIDO服务器告知所述关联信息和所述认证信息,并配置成向所述SIM装置告知所述路由信息和所述认证信息,所述认证信息被进一步提供给没有所述SIM卡的所述终端装置以便向所述FIDO服务器注册。
26.一种在没有订户标识模块SIM卡的终端装置处用于促进所述终端装置经由第二网络接入第一网络的设备(1200),没有所述SIM卡的所述终端装置是快速在线标识认证FIDO使能的,所述设备(1200)包括:
信息获得单元(1210),所述信息获得单元(1210)配置成获得指向FIDO服务器的路由信息和用于向所述FIDO服务器注册的认证信息;
注册请求单元(1220),所述注册请求单元(1220)配置成经由至少包括所述认证信息的请求消息来请求向所述FIDO服务器注册;
注册单元(1230),所述注册单元(1230)配置成至少基于所述认证信息根据FIDO联盟规范的集合向所述FIDO服务器注册;以及
认证单元(1240),所述认证单元(1240)配置成发起通过认证、授权和记账AAA服务器的认证过程以经由所述第二网络接入所述第一网络。
27.根据权利要求26所述的设备(1200),其中
FIDO联盟规范的所述集合包括以下之一:FIDO联盟通用认证框架UAF规范的集合、和FIDO联盟通用第二因子U2F规范的集合。
28.根据权利要求26或27所述的设备(1200),其中所述认证单元(1240)还配置成:
接收至少包括FIDO质询和FIDO认证策略的FIDO认证数据;
验证所述FIDO质询;
根据所述FIDO认证策略来执行本地认证;
计算用在向所述FIDO服务器注册期间在所述终端装置处创建的私有密钥所签名的认证结果;以及
在没有客户端证书的情况下并在没有在向所述FIDO服务器注册期间在所述终端装置处创建的公共密钥的情况下,将所述认证结果发送给所述AAA服务器。
29.一种用于促进没有订户标识模块SIM卡的终端装置经由第二网络接入第一网络的快速在线标识认证FIDO服务器(101),没有所述SIM卡的所述终端装置是FIDO使能的,所述FIDO服务器(101)包括处理器和存储器,所述存储器包含可由所述处理器执行的指令,由此所述FIDO服务器(101)可操作以执行权利要求1-5中任一项所述的方法。
30.一种用于促进没有订户标识模块SIM卡的终端装置经由第二网络接入第一网络的认证、授权和记账AAA服务器(103),没有所述SIM卡的所述终端装置是快速在线标识认证FIDO使能的,所述AAA服务器(103)包括处理器和存储器,所述存储器包含可由所述处理器执行的指令,由此所述AAA服务器(103)可操作以执行权利要求6-10中任一项所述的方法。
31.一种用于促进没有订户标识模块SIM卡的终端装置向快速在线标识认证FIDO服务器注册的应用服务器AS(120),所述AS(120)包括处理器和存储器,所述存储器包含可由所述处理器执行的指令,由此所述AS(120)可操作以执行权利要求11所述的方法。
32.一种没有订户标识模块SIM卡并且是快速在线标识认证FIDO使能的终端装置(112),所述终端装置(112)包括处理器和存储器,所述存储器包含可由所述处理器执行的指令,由此所述终端装置(112)可操作以执行权利要求12-14中任一项所述的方法。
33.一种计算机可读存储介质,所述计算机可读存储介质上存储有包括指令的计算机程序,所述指令当在至少一个处理器上执行时促使所述至少一个处理器实行分别根据权利要求1-5中任一项、权利要求6-10、11中任一项、或权利要求12-14中任一项所述的方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNPCT/CN2016/072016 | 2016-01-25 | ||
| CN2016072016 | 2016-01-25 | ||
| PCT/CN2016/100826 WO2017128756A1 (en) | 2016-01-25 | 2016-09-29 | Method and apparatus for network access |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108781216A CN108781216A (zh) | 2018-11-09 |
| CN108781216B true CN108781216B (zh) | 2021-03-16 |
Family
ID=59397316
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680083924.XA Active CN108781216B (zh) | 2016-01-25 | 2016-09-29 | 用于网络接入的方法和设备 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10856135B2 (zh) |
| EP (1) | EP3408988B1 (zh) |
| CN (1) | CN108781216B (zh) |
| WO (1) | WO2017128756A1 (zh) |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11177958B2 (en) | 2016-09-13 | 2021-11-16 | Silverfort Ltd. | Protection of authentication tokens |
| US20180167383A1 (en) * | 2016-12-12 | 2018-06-14 | Qualcomm Incorporated | Integration of password-less authentication systems with legacy identity federation |
| DE102017000768A1 (de) * | 2017-01-27 | 2018-08-02 | Giesecke+Devrient Mobile Security Gmbh | Verfahren zum Durchführen einer Zweifaktorauthentifizierung |
| EP4236206B1 (en) | 2017-06-19 | 2024-05-29 | Silverfort Ltd. | Actively monitoring encrypted traffic by inspecting logs |
| CN109548008B (zh) * | 2017-08-15 | 2021-09-14 | 华为技术有限公司 | 网络侧对远端用户设备的识别和控制方法以及设备 |
| US10469490B2 (en) * | 2017-10-19 | 2019-11-05 | Mastercard International Incorporated | Methods and systems for providing FIDO authentication services |
| CN110889698B (zh) * | 2018-09-07 | 2023-07-07 | 深圳市文鼎创数据科技有限公司 | 一种命令处理方法、电子设备及存储介质 |
| CN109829276B (zh) * | 2018-12-17 | 2023-05-09 | 航天信息股份有限公司 | 一种基于fido协议身份认证的电子发票统一管理方法及系统 |
| US11218467B2 (en) * | 2019-01-16 | 2022-01-04 | Servicenow, Inc. | System and method for authentication as a service |
| US11190511B2 (en) | 2019-01-29 | 2021-11-30 | Salesforce.Com, Inc. | Generating authentication information independent of user input |
| CN111339522A (zh) * | 2019-05-15 | 2020-06-26 | 深圳市文鼎创数据科技有限公司 | 线上快速身份验证方法、线上快速身份验证装置及读卡器 |
| CN112069493A (zh) * | 2019-06-10 | 2020-12-11 | 联阳半导体股份有限公司 | 认证系统及认证方法 |
| CN112073178B (zh) * | 2019-06-10 | 2024-04-05 | 联阳半导体股份有限公司 | 认证系统及认证方法 |
| CN112437427B (zh) * | 2019-08-26 | 2023-03-31 | 中国移动通信有限公司研究院 | 写卡方法、装置、设备及计算机可读存储介质 |
| CN111163467B (zh) * | 2019-12-30 | 2022-04-08 | 全链通有限公司 | 5g用户终端接入5g网络的方法、用户终端设备及介质 |
| CN112333214B (zh) * | 2021-01-06 | 2021-03-30 | 北京邮电大学 | 一种用于物联网设备管理的安全用户认证方法及系统 |
| US11991174B2 (en) * | 2021-04-15 | 2024-05-21 | Gotrustid Inc. | Authentication system with an automatic authentication mechanism and automatic authentication method |
| CN115460579A (zh) * | 2021-06-09 | 2022-12-09 | 维沃移动通信有限公司 | 密钥材料的处理方法、获取方法、信息传输方法及设备 |
| CN115460580A (zh) * | 2021-06-09 | 2022-12-09 | 维沃移动通信有限公司 | 密钥材料的发送方法、获取方法、信息传输方法及设备 |
| CN115460586A (zh) * | 2021-06-09 | 2022-12-09 | 维沃移动通信有限公司 | 信息处理方法、密钥材料的获取方法及设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102571766A (zh) * | 2010-12-23 | 2012-07-11 | 微软公司 | 注册和网络接入控制 |
| WO2014176539A1 (en) * | 2013-04-26 | 2014-10-30 | Interdigital Patent Holdings, Inc. | Multi-factor authentication to achieve required authentication assurance level |
| CN104683306A (zh) * | 2013-12-03 | 2015-06-03 | 中国人民公安大学 | 一种安全可控的互联网实名认证机制 |
| WO2015158263A1 (en) * | 2014-04-15 | 2015-10-22 | Telefonaktiebolaget L M Ericsson (Publ) | Method and nodes for integrating networks |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8583781B2 (en) * | 2009-01-28 | 2013-11-12 | Headwater Partners I Llc | Simplified service network architecture |
| EP2741459A1 (en) * | 2012-12-04 | 2014-06-11 | Alcatel Lucent | Method and device for allowing a user equipment without sim card to take advantage of a mobile data subscription of its user to access a wireless network |
| CN103905400B (zh) | 2012-12-27 | 2017-06-23 | 中国移动通信集团公司 | 一种业务认证方法、装置及系统 |
| WO2014126518A1 (en) | 2013-02-13 | 2014-08-21 | Telefonaktiebolaget L M Ericsson (Publ) | Method and network node for obtaining a permanent identity of an authenticating wireless device |
| US20150180869A1 (en) * | 2013-12-23 | 2015-06-25 | Samsung Electronics Company, Ltd. | Cloud-based scalable authentication for electronic devices |
| CN105162785B (zh) * | 2015-09-07 | 2019-01-04 | 飞天诚信科技股份有限公司 | 一种基于认证设备进行注册的方法和设备 |
-
2016
- 2016-09-29 US US16/070,872 patent/US10856135B2/en active Active
- 2016-09-29 CN CN201680083924.XA patent/CN108781216B/zh active Active
- 2016-09-29 WO PCT/CN2016/100826 patent/WO2017128756A1/en active Application Filing
- 2016-09-29 EP EP16887630.8A patent/EP3408988B1/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102571766A (zh) * | 2010-12-23 | 2012-07-11 | 微软公司 | 注册和网络接入控制 |
| WO2014176539A1 (en) * | 2013-04-26 | 2014-10-30 | Interdigital Patent Holdings, Inc. | Multi-factor authentication to achieve required authentication assurance level |
| CN104683306A (zh) * | 2013-12-03 | 2015-06-03 | 中国人民公安大学 | 一种安全可控的互联网实名认证机制 |
| WO2015158263A1 (en) * | 2014-04-15 | 2015-10-22 | Telefonaktiebolaget L M Ericsson (Publ) | Method and nodes for integrating networks |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2017128756A1 (en) | 2017-08-03 |
| US20190036924A1 (en) | 2019-01-31 |
| EP3408988B1 (en) | 2020-06-17 |
| US10856135B2 (en) | 2020-12-01 |
| EP3408988A1 (en) | 2018-12-05 |
| EP3408988A4 (en) | 2019-05-22 |
| CN108781216A (zh) | 2018-11-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108781216B (zh) | 用于网络接入的方法和设备 | |
| US11272365B2 (en) | Network authentication method, and related device and system | |
| KR101858929B1 (ko) | 기존의 크리덴셜들을 이용한 셀룰러 네트워크들에 대한 후원된 접속 | |
| CN106105134B (zh) | 用于改进端到端数据保护的方法和装置 | |
| KR101961301B1 (ko) | 통합된 스몰 셀 및 wi-fi 네트워크를 위한 통합 인증 | |
| US9648019B2 (en) | Wi-Fi integration for non-SIM devices | |
| US9614831B2 (en) | Authentication and secure channel setup for communication handoff scenarios | |
| US9825937B2 (en) | Certificate-based authentication | |
| US11082838B2 (en) | Extensible authentication protocol with mobile device identification | |
| US8875265B2 (en) | Systems and methods for remote credentials management | |
| EP3750342B1 (en) | Mobile identity for single sign-on (sso) in enterprise networks | |
| US20170257819A1 (en) | Provisioning a device in a network | |
| US9325566B2 (en) | Seamless Wi-Fi subscription remediation | |
| KR20230124621A (ko) | 비-3gpp 서비스 액세스를 위한 ue 인증 방법 및 시스템 | |
| WO2019122495A1 (en) | Authentication for wireless communications system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |