BR112014005388B1 - METHOD CARRIED OUT BY A MOBILE DEVICE AND MOBILE DEVICE FOR SECURE ONLINE SUBSCRIPTION AND PROVISIONING FOR WI-FI HOTSPOTS - Google Patents

METHOD CARRIED OUT BY A MOBILE DEVICE AND MOBILE DEVICE FOR SECURE ONLINE SUBSCRIPTION AND PROVISIONING FOR WI-FI HOTSPOTS Download PDF

Info

Publication number
BR112014005388B1
BR112014005388B1 BR112014005388-0A BR112014005388A BR112014005388B1 BR 112014005388 B1 BR112014005388 B1 BR 112014005388B1 BR 112014005388 A BR112014005388 A BR 112014005388A BR 112014005388 B1 BR112014005388 B1 BR 112014005388B1
Authority
BR
Brazil
Prior art keywords
mobile device
server
signature
soap
subscription
Prior art date
Application number
BR112014005388-0A
Other languages
Portuguese (pt)
Other versions
BR112014005388A2 (en
Inventor
Vivek Gupta
Necati Canpolat
Original Assignee
Intel Corporation
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US12/882,266 external-priority patent/US9319880B2/en
Application filed by Intel Corporation filed Critical Intel Corporation
Priority claimed from PCT/US2011/051056 external-priority patent/WO2012036992A2/en
Publication of BR112014005388A2 publication Critical patent/BR112014005388A2/en
Publication of BR112014005388B1 publication Critical patent/BR112014005388B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0806Configuration setting for initial configuration or provisioning, e.g. plug-and-play
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Abstract

DISPOSITIVO MÓVEL E MÉTODO PARA ASSINATURA E PROVISIONAMENTO ON-LINE SEGUROS PARA HOTSPOTS WI-FI USANDO TÉCNICAS DE SOAP-XML. A presente invenção refere-se amodalidades de um dispositivo móvel e método de assinatura e provisionamento on-line seguros de credenciais para hotspots Wi-Fi usando técnicas SOAP-XML, que são normalmente descritas aqui. Técnicas para correção de assinatura usando técnicas SOAP-XML também são geralmente descritas aqui. Em algumas modalidades, o dispositivo móvel pode ser configurado para estabelecer uma sessão de segurança em camada de transporte (transport-layer security, TLS) com um servidor de assinatura, por meio de um Hotspot Wi-Fi, para receber um certificado do servidor de assinatura. Quando o certificado for validado, o dispositivo móvel poderá ser configurado para trocar mensagens de gerenciamento de dispositivo com o servidor de assinatura, para uma assinatura e provisionamento de credenciais de Wi-Fi, e receber um objeto de gerenciamento (MO) de assinatura contendo uma referência às credenciais provisionadas, para armazenamento em uma árvore de gerenciamento de dispositivo.MOBILE DEVICE AND METHOD FOR SECURE ONLINE SUBSCRIPTION AND PROVISIONING FOR WI-FI HOTSPOTS USING SOAP-XML TECHNIQUES. The present invention relates to modalities of a mobile device and method of secure online signing and provisioning of credentials for Wi-Fi hotspots using SOAP-XML techniques, which are commonly described herein. Techniques for signature correction using SOAP-XML techniques are also generally described here. In some embodiments, the mobile device can be configured to establish a transport-layer security (TLS) session with a signature server, via a Wi-Fi Hotspot, to receive a certificate from the security server. signature. Once the certificate is validated, the mobile device can be configured to exchange device management messages with the signing server for a Wi-Fi credential signing and provisioning, and receive a signing management object (MO) containing a reference to provisioned credentials, for storage in a device management tree.

Description

APLICATIVO RELACIONADORELATED APP

[0001] Esta pedido refere-se ao Pedido de Patente U.S. N.° Serial13/173.338, intitulada "DISPOSITIVO MÓVEL E MÉTODO PARA CONECTIVIDADE AUTOMÁTICA, DESCARGA DE DADOS E ROAMING ENTRE REDES," (Súmula de procuradoria N.° 884.J38US1 e Ref. de cliente. N° P37992) registrado em 30 de junho de 2011, que é aqui incorporada por referência na sua totalidade.[0001] This application refers to US Patent Application Serial13/173,338 entitled "MOBILE DEVICE AND METHOD FOR AUTOMATIC CONNECTIVITY, DATA DOWNLOAD AND ROAMING BETWEEN NETWORKS," (Attorney's Precedent No. 884.J38US1 and Ref. No. P37992) filed June 30, 2011, which is incorporated herein by reference in its entirety.

[0002] Esta pedido refere-se à Pedido de Patente U.S. N.° Serial 13/188.205, intitulada "ASSINATURA E PROVISIONAMENTO ONLINE SEGUROS PARA HOTSPOTS WI-FI USANDO UM PROTOCOLO DE GERENCIAMENTO DE DISPOSITIVO," (Súmula de procuradoria N.° 884.J39US1 e Ref de cliente. N° P37993) registrado em 21 de julho de 2011, que é aqui incorporada por referência na sua totalidade.[0002] This application refers to US Patent Application Serial No. 13/188,205 entitled "SECURE ONLINE SUBSCRIPTION AND PROVISION FOR WI-FI HOTSPOTS USING A DEVICE MANAGEMENT PROTOCOL," (Attorney's Docket No. 884.J39US1 and Customer Ref. No. P37993) filed July 21, 2011, which is incorporated herein by reference in its entirety.

CAMPO TÉCNICOTECHNICAL FIELD

[0003] As modalidades referem-se a redes confiáveis sem fio (Wi Fi). Algumas modalidades referem-se à assinatura e ao provisionamento on-line seguros de credenciais de serviço e conectividade. Algumas modalidades referem-se à assinatura e ao provisionamento on-line seguros usando técnicas XML (extensible- markup language) de Protocolo Simples de Acesso a Objetos (SOAP). Algumas modalidades referem-se às redes Hotspot 2.0 e à evolução do Hotspot 2.0.[0003] The modalities refer to reliable wireless networks (Wi Fi). Some modalities pertain to secure online subscription and provisioning of service and connectivity credentials. Some modalities refer to secure online signing and provisioning using extensible markup language (XML) techniques and Simple Object Access Protocol (SOAP). Some modalities refer to Hotspot 2.0 networks and the evolution of Hotspot 2.0.

ANTECEDENTESBACKGROUND

[0004] Um problema do estabelecimento de assinaturas com um provedor de serviços para acesso a redes Wi-Fi é que não se trata de um processo simples e amigável. Não há um processo padronizado para assinatura e provisionamento on-line seguros de credenciais seguros para dispositivos e redes com recursos de Wi-Fi. Geralmente os usuários precisam se defrontar com páginas web de diversos tipos, inserir informações e selecionar seus nomes de usuário e senhas em diversos locais.[0004] One problem with establishing subscriptions with a service provider for accessing Wi-Fi networks is that it is not a simple and user-friendly process. There is no standardized process for secure online signing and provisioning of secure credentials for Wi-Fi-enabled devices and networks. Users are often faced with web pages of various types, enter information, and select their usernames and passwords. in several locations.

[0005] Outro problema com o estabelecimento de assinaturas é a segurança. As redes abertas podem não oferecer a segurança suficiente, enquanto as redes seguras (como as dotadas de 802.1x) podem proibir o acesso a não registrados. Os mecanismos atuais de assinatura expõem os usuários a riscos de segurança inaceitáveis, tais como o roubo de informações pessoais e de cartões de crédito (por exemplo, por meio das brechas de segurança do tipo evil-twin e honeypot).[0005] Another problem with establishing signatures is security. Open networks may not provide sufficient security, while secure networks (such as those with 802.1x) may prohibit access to the unregistered. Current signature mechanisms expose users to unacceptable security risks, such as theft of personal information and credit cards (eg, through evil-twin and honeypot security holes).

[0006] Outro problema com a definição de assinaturas são os diversos tipos de credenciais que podem precisar de provisionamento. Alguns dispositivos ou redes podem exigir credenciais baseadas em redes, enquanto outros dispositivos ou redes podem usar as credenciais de nome de usuário/senha. Outros dispositivos ou redes podem usar credenciais do tipo SIM (Subscriber Information Module) (por exemplo, normalmente utilizados por algumas redes de celulares).[0006] Another issue with defining signatures is the various types of credentials that may need to be provisioned. Some devices or networks may require network-based credentials, while other devices or networks may use username/password credentials. Other devices or networks may use SIM (Subscriber Information Module) credentials (eg, commonly used by some cellular networks).

[0007] Dessa forma, tratam-se de necessidades normais de assinatura e provisionamento on-line de credenciais. Há também necessidades normais para a assinatura e o provisionamento on-line seguros de credenciais, utilizando sistemas de assinatura on-line que usam técnicas SOAP-XML como transporte. Há também necessidades normais para um processo padronizado de assinatura on-line, apropriado para fornecer diversos tipos de credenciais como nome de usuário e senha, credenciais do tipo SIM e credenciais baseadas em certificados. Há também necessidades normais para um processo padronizado de assinatura e provisionamento on-line adequado de credenciais para o uso com qualquer rede baseada em 802.11, incluindo redes abertas e seguras.[0007] As such, these are normal online credential signing and provisioning needs. There are also normal requirements for secure online signing and provisioning of credentials, using online signing systems that use SOAP-XML techniques as a transport. There are also normal requirements for a standardized online signing process, suitable for providing various types of credentials such as username and password, SIM-type credentials, and certificate-based credentials. There are also normal requirements for a standardized process for signing and properly online provisioning of credentials for use with any 802.11-based network, including open and secure networks.

BREVE DESCRIÇÃO DOS DESENHOSBRIEF DESCRIPTION OF THE DRAWINGS

[0008] A Fig. 1 ilustra um ambiente operacional de elementos de rede para a assinatura e o provisionamento on-line seguros de credenciais, de acordo com algumas modalidades;[0008] Fig. 1 illustrates an operational environment of network elements for the secure online signing and provisioning of credentials, according to some modalities;

[0009] A Fig. 2 é uma visão geral para assinatura e provisionamento on-line seguros de credenciais usando técnicas SOAP-XML de acordo com algumas modalidades;[0009] Fig. 2 is an overview for secure online signing and provisioning of credentials using SOAP-XML techniques according to some modalities;

[00010] As Figs. 3A e 3B ilustram mensagens trocadas para assinatura e provisionamento on-line seguros de credenciais baseadas em certificados usando técnicas SOAP-XML de acordo com algumas modalidades;[00010] Figs. 3A and 3B illustrate messages exchanged for secure online signing and provisioning of certificate-based credentials using SOAP-XML techniques in some embodiments;

[00011] A fig. 4 ilustram mensagens trocadas para assinatura e provisionamento on-line seguros de credenciais do tipo nome de usuário/senha usando técnicas SOAP-XML de acordo com algumas modalidades;[00011] Fig. 4 illustrate messages exchanged for secure online signing and provisioning of username/password credentials using SOAP-XML techniques in some embodiments;

[00012] A Fig. 5 ilustra mensagens trocadas para correção de assinaturas usando técnicas SOAP-XML de acordo com algumas modalidades;[00012] Fig. 5 illustrates messages exchanged for signature correction using SOAP-XML techniques according to some modalities;

[00013] A Fig. 6 ilustra uma árvore de objeto de gerenciamento de acordo com algumas modalidades; e[00013] Fig. 6 illustrates a management object tree according to some modalities; and

[00014] A Fig. 7 ilustra um dispositivo móvel de acordo com algumas modalidades.[00014] Fig. 7 illustrates a mobile device according to some embodiments.

DESCRIÇÃO DETALHADADETAILED DESCRIPTION

[00015] A descrição a seguir e os desenhos ilustram modalidades específicas suficientes para que os versados na técnica possam praticá-las. Outras modalidades podem empregar modificações estruturais, lógicas, elétricas, processuais ou de outra natureza. Algumas partes e características de algumas modalidades podem ser incluídas em outras modalidades ou substituir elementos de outras modalidades. As modalidades definidas nas reivindicações compreendem todos os equivalentes disponíveis dessas reivindicações.[00015] The following description and drawings illustrate specific modalities sufficient for those skilled in the art to practice them. Other modalities may employ structural, logical, electrical, procedural, or other modifications. Some parts and features of some modalities may be included in other modalities or replace elements of other modalities. The modalities defined in the claims comprise all available equivalents of those claims.

[00016] As modalidades da presente invenção fornecem para a assinatura e provisionamento on-line seguros de credenciais para serviço Wi-fi Hotspot, assim os usuários podem estabelecer uma assinatura com o provedor de serviços Wi-Fi e baixar credenciais componentes de política no dispositivo do cliente, de forma segura usando técnicas SOAP-XML. Isto permite aos operadores (por exemplo, provedores de serviço Wi-Fi) desenvolver um mecanismo de assinatura on-line com custo muito mais baixo, usando ferramentas padronizadas. As modalidades são aplicáveis para as redes Wi-fi e para as crescentes redes de Hotspot 2.0. As modalidades da presente invenção também fornecem remediação para assinatura quanto a credenciais de atualização para serviço de hotspot de Wi-fi usando técnicas SOAP-XML.[00016] Embodiments of the present invention provide for secure online signing and provisioning of credentials for Wi-Fi Hotspot service, so users can establish a subscription with the Wi-Fi service provider and download credentials policy components on the device. from the client, securely using SOAP-XML techniques. This allows operators (eg Wi-Fi service providers) to develop a much lower cost online subscription mechanism using standardized tools. The modalities are applicable for Wi-Fi networks and for the growing Hotspot 2.0 networks. Embodiments of the present invention also provide remediation for signing as to upgrade credentials for Wi-Fi hotspot service using SOAP-XML techniques.

[00017] A Fig. 1 ilustra um ambiente operacional de elementos de rede para assinatura e provisionamento on-line seguros de credenciais, de acordo com algumas modalidades. O dispositivo padrão 102 pode ser um dispositivo dotado de Wi-Fi configurado para associar-se a um Wi-fi Hotspot 104 e realizar as diversas operações descritas aqui para a assinatura e o provisionamento on-line seguros. O Wi-fi Hotspot 104 é capaz de fornecer acesso Internet por meio de uma rede local sem fio (WLAN) com um roteador conectado a um link com um provedor de serviços de Internet. O Wi-fi Hotspot 104 pode ser parte de uma rede Wi-Fi e pode ser combinado a uma rede 105, como a Internet, ou por meio de um gateway com diversos outros elementos de rede, incluindo uma autoridade de certificação 120, um servidor de assinatura 106, um portal de ativação 108, um servidor de registros de certificados 110, um registrador 122, entre outros. Em algumas modalidades, o servidor de assinatura 106 podem ser um servidor configurado para trocar mensagens de acordo com as técnicas SOAP-XML. O Wi-fi Hotspot 104 pode funcionar como um ponto de acesso (AP) Wi-Fi. O dispositivo móvel 102 pode incluir um elemento de processamento SOAP 125 configurado para implementar técnicas SOAP-XML e realizar várias operações aqui descritas. De forma similar, o servidor de assinaturas 106 pode incluir um elemento de processamento SOAP 135 configurado para implementar técnicas SOAP-XML, conforme descrito com mais detalhes abaixo.[00017] Fig. 1 illustrates an operational environment of network elements for secure online signing and provisioning of credentials, according to some modalities. The default device 102 can be a Wi-Fi enabled device configured to associate with a Wi-Fi Hotspot 104 and perform the various operations described here for secure online subscription and provisioning. The Wi-Fi Hotspot 104 is capable of providing Internet access over a wireless local area network (WLAN) with a router connected to a link with an Internet service provider. The Wi-Fi Hotspot 104 can be part of a Wi-Fi network and can be combined with a network 105, such as the Internet, or through a gateway with various other network elements, including a 120 certificate authority, a server signature 106, an activation portal 108, a certificate registry server 110, a registrar 122, among others. In some embodiments, the signature server 106 may be a server configured to exchange messages in accordance with SOAP-XML techniques. Wi-Fi Hotspot 104 may function as a Wi-Fi access point (AP). Mobile device 102 may include a SOAP processing element 125 configured to implement SOAP-XML techniques and perform various operations described herein. Similarly, the signature server 106 may include a SOAP processing element 135 configured to implement SOAP-XML techniques, as described in more detail below.

[00018] Em algumas modalidades, o Wi-fi Hotspot 104 pode incluir um controlador de acesso (AC) 124 para atuar como uma entidade de gerenciamento para o Wi-fi Hotspot 104. O controlador de acesso 124 pode gerenciar diversos pontos de acesso da rede Wi-Fi e pode funcionar como um gateway de uma rede de acesso WLAN, para fornecer acesso a outras redes, como a Internet. O controlador de acesso 124 pode realizar as diversas operações aqui descritas para permitir o acesso de dispositivos móveis a uma rede Wi-Fi.[00018] In some embodiments, the Wi-Fi Hotspot 104 may include an Access Controller (AC) 124 to act as a management entity for the Wi-Fi Hotspot 104. The Access Controller 124 may manage multiple access points of the Wi-Fi network and can act as a gateway to a WLAN access network to provide access to other networks such as the Internet. Access controller 124 can perform the various operations described herein to allow mobile devices access to a Wi-Fi network.

[00019] De acordo com as modalidades, o dispositivo móvel 102 pode ser configurado para a assinatura e o provisionamento on-line seguros de credenciais para hotspots Wi-Fi. Em algumas modalidades, o dispositivo móvel 102 pode ser configurado para a assinatura e provisionamento de on-line seguros para hotspots Wi-Fi usando técnicas SOAP-XML. Nessas modalidades, o dispositivo móvel 102 e o servidor de assinatura 106 podem trocar mensagens de solicitação e resposta configuradas de acordo com o Protocolo Simples de Acesso a Objetos (SOAP).[00019] Depending on the embodiments, the mobile device 102 may be configured for secure online signing and provisioning of credentials for Wi-Fi hotspots. In some embodiments, the mobile device 102 may be configured for the subscription and provisioning from secure online to Wi-Fi hotspots using SOAP-XML techniques. In these embodiments, the mobile device 102 and the subscription server 106 can exchange request and response messages configured in accordance with the Simple Object Access Protocol (SOAP).

[00020] Em algumas modalidades, o processo de assinatura e de provisionamento on-line seguros aqui descrito permite que os usuários estabeleçam uma assinatura com um provedor de serviços e baixe as credenciais e políticas da operadora para um dispositivo cliente, como um dispositivo móvel 102, de forma segura, usando técnicas SOAPXML como meio de transporte. Isso pode permitir que provedores de serviços de rede do tipo celular, que já estejam implementando técnicas SOAP-XML em suas redes básicas de back-end para usarem os mesmos servidores e os mesmos componentes instalados para estender esses recursos às redes Wi-Fi de serviços.[00020] In some embodiments, the secure online subscription and provisioning process described here allows users to establish a subscription with a service provider and download operator credentials and policies to a client device, such as a mobile device 102 , securely, using SOAPXML techniques as a means of transport. This can allow cellular-like network service providers who are already implementing SOAP-XML techniques in their core backend networks to use the same servers and the same components installed to extend these capabilities to the Wi-Fi service networks. .

[00021] Algumas modalidades oferecem um processo padronizado de assinatura e provisionamento on-line seguros de credenciais, inclusive as credenciais nome de usuário e senha, credenciais baseadas em certificados e credenciais do tipo SIM. O processo padronizado de assinatura e provisionamento on-line seguros de credenciais pode ser aplicável a praticamente a qualquer rede de base IEEE 802.11, tornando o processo aplicável tanto a redes abertas como seguras. Uma rede Wi-Fi segura, por exemplo, pode implementar segurança de acordo com um protocolo Robust Security Network (RSN). Tal rede pode ser considerada uma rede RSN (ou seja, uma rede segura que permite a criação de associações robustas de redes de segurança (RSNAs)).[00021] Some modalities provide a standardized process for secure online signing and provisioning of credentials, including username and password credentials, certificate-based credentials, and SIM-type credentials. The standardized process of secure online credential signing and provisioning can be applied to virtually any IEEE 802.11 backbone network, making the process applicable to both open and secure networks. A secure Wi-Fi network, for example, can implement security according to a Robust Security Network (RSN) protocol. Such a network can be considered an RSN network (that is, a secure network that allows the creation of robust security network associations (RSNAs)).

[00022] Portanto, os usuários não precisam mais enfrentar páginas web de diversos tipos, inserir suas informações e selecionar seus nomes de usuário e senhas em diferentes locais. Agora as redes Wi-Fi podem ser mais fáceis de usar e mais seguras. O uso de técnicas de SOAP-XML permite que as operações de redes Wi-Fi sejam facilmente integradas a redes do tipo celular atuais e futuras. Em algumas modalidades, a assinatura e o provisionamento on-line seguros de credenciais podem ser executados automaticamente, sem a interação do usuário.[00022] Therefore, users no longer have to face web pages of different types, enter their information and select their usernames and passwords in different places. Now Wi-Fi networks can be easier to use and more secure. The use of SOAP-XML techniques allows Wi-Fi network operations to be easily integrated into current and future cellular-type networks. In some embodiments, secure online signing and provisioning of credentials can be performed automatically, without user interaction.

[00023] De acordo com as modalidades, o dispositivo móvel 102 pode ser configurado para a assinatura e o provisionamento on-line seguros para redes Wi-fi Hotspot 2.0. Nessas modalidades, o dispositivo móvel 102 podem ser configurado para autenticar com um rede Wi-fi através do Wi-fi Hotspot 104 usando uma técnica de Protocolo Extensível de Autenticação (EAP). Como parte da autenticação, uma mensagem ACEITAÇÃO DE ACESSO DE RAIO é recebida pelo Wi-fi Hotspot 104 a partir do servidor AAA 126 para permitir que o dispositivo móvel 102 acesse a rede Wi-Fi e estabeleça uma conexão Wi-Fi com o dispositivo móvel 102. O dispositivo móvel 102 pode realizar um troca de SOAP inicial com o servidor de assinatura 106 por meio da conexão Wi-Fi estabelecida para solicitar o provisionamento de credenciais ou correção de assinatura, a troca de SOAP inicial incluindo o dispositivo móvel, autenticando o servidor de assinatura 106. O dispositivo móvel também pode trocar informações com o servidor de assinatura 106 para estabelecer uma assinatura com um provedor de serviço para acesso à rede Wi-Fi, para fornecer credenciais para a assinatura e para criar um objeto de gerenciamento de assinatura MO para as credenciais provisionadas. O dispositivo móvel também pode realizar uma troca de SOAP final com o servidor de assinatura 106 por meio da rede Wi-Fi para receber a assinatura MO.[00023] Depending on the embodiments, the mobile device 102 can be configured for secure online subscription and provisioning for Wi-Fi Hotspot 2.0 networks. In such embodiments, the mobile device 102 may be configured to authenticate with a Wi-Fi network via the Wi-Fi Hotspot 104 using an Extensible Authentication Protocol (EAP) technique. As part of the authentication, a RADIUS ACCESS ACCEPT message is received by the Wi-Fi Hotspot 104 from the AAA server 126 to allow the mobile device 102 to access the Wi-Fi network and establish a Wi-Fi connection with the mobile device. 102. The mobile device 102 may perform an initial SOAP exchange with the signature server 106 through the established Wi-Fi connection to request credential provisioning or signature correction, the initial SOAP exchange including the mobile device, authenticating the subscription server 106. The mobile device may also exchange information with the subscription server 106 to establish a subscription with a service provider to access the Wi-Fi network, to provide credentials for the subscription, and to create a subscription management object. MO for the provisioned credentials. The mobile device can also perform a final SOAP exchange with the signature server 106 over the Wi-Fi network to receive the MO signature.

[00024] Nessas modalidades, em resposta ao recebimento da mensagem de ACEITAÇÃO DE ACESSO DE RAIO, o Wi-fi Hotspot 104 é configurado para enviar uma mensagem de Sucesso de EAP para o dispositivo móvel 102 indicando uma autenticação com sucesso. Em algumas modalidades, a associação com o Wi-fi Hotspot 104, as trocas de SOAP inicial e final, assim como a autenticação do servidor de assinatura 106 podem ser realizadas sem entrada de usuário (ou seja, automaticamente). Em algumas modalidades, a troca de informações com o servidor de assinatura 106 para o estabelecimento de assinatura também pode ser realizada sem entrada do usuário, dependendo das informações necessárias. Em algumas modalidades, o método pode incluir prontamente o usuário para a entrada de usuário e fornecer a entrada de usuário para o servidor de assinatura 106.[00024] In these embodiments, in response to the receipt of the RADIUS ACCESS ACCEPT message, the Wi-Fi Hotspot 104 is configured to send an EAP Success message to the mobile device 102 indicating successful authentication. In some embodiments, association with the Wi-Fi Hotspot 104, initial and final SOAP exchanges, as well as authentication of the signature server 106 can be performed without user input (ie, automatically). In some embodiments, exchanging information with the signature server 106 for signature establishment may also be performed without user input, depending on the information required. In some embodiments, the method may readily add the user to the user input and provide the user input to the subscription server 106.

[00025] Em algumas modalidades, a troca de SOAP inicial pode incluir fornecimento de pelo menos algumas informações de capacidade do dispositivo móvel 102 e indicação de motivo para a solicitação (por exemplo, provisionamento de credenciais ou correção de uma assinatura). Quando o motivo para a solicitação é o provisionamento de credenciais, o servidor de assinatura 106 pode indicar o tipo de credencial que será provisionada.[00025] In some embodiments, the initial SOAP exchange may include providing at least some mobile device 102 capability information and indicating the reason for the request (eg provisioning of credentials or correction of a signature). When the reason for the request is credential provisioning, the subscription server 106 can indicate the type of credential that will be provisioned.

[00026] Em algumas modalidades, as trocas de SOAP inicial e final incluem mensagens configuradas de acordo com a técnica SOAP, usando um HTTPS (Protocolo de transferência de hipertexto seguro) como um protocolo de camada de pedido para transporte. As mensagens podem ser configuradas de acordo com uma mensagem no formato XML. O HTTPS pode incluir uma combinação de HTTP com protocolo SSL/TLS para oferecer comunicações criptografadas e seguras.[00026] In some embodiments, the initial and final SOAP exchanges include messages configured according to the SOAP technique, using an HTTPS (Secure Hypertext Transfer Protocol) as a request-layer protocol for transport. Messages can be configured according to a message in XML format. HTTPS can include a combination of HTTP and SSL/TLS protocol to provide encrypted and secure communications.

[00027] Em algumas modalidades, a mensagem de ACEITAÇÃO DE ACESSO DE RAIO pode incluir restrições de acesso impostas pelo Wi-fi Hotspot 104. As restrições de acesso para limitar o acesso do dispositivo móvel 102 à rede Wi-Fi para o provisionamento de credenciais ou correção de assinatura. O Wi-fi Hotspot 104 pode ser configurado para impor restrições de acesso, limitando o dispositivo móvel 102 para o desempenho das trocas de SOAP inicial e final e a troca de informações com o provedor de serviço para o provisionamento de credenciais e correção de assinatura.[00027] In some embodiments, the RADIUS ACCESS ACCEPT message may include access restrictions imposed by the Wi-Fi Hotspot 104. Access restrictions to limit mobile device 102's access to the Wi-Fi network for credential provisioning or signature correction. The Wi-Fi Hotspot 104 can be configured to enforce access restrictions, limiting the mobile device 102 to performing initial and final SOAP exchanges and exchanging information with the service provider for credential provisioning and signature correction.

[00028] Após receber a assinatura MO, o dispositivo móvel pode ser configurado para a desassociação com o Wi-fi Hotspot 104 após a troca de SOAP final, e reassociar com Wi-fi Hotspot 104 para restabelecer a conexão Wi-Fi. Ao reassociar, o dispositivo móvel 102 pode ser configurado para usar um técnica EAP e pode fornecer as credenciais provisionadas para um servidor AAA 126 por meio do restabelecimento da conexão Wi-Fi. Uma mensagem de ACEITAÇÃO DE ACESSO DE RAIO pode ser recebida no Wi-fi Hotspot 104 a partir do servidor AAA 126 para permitir que o dispositivo móvel 102 acesse a rede Wi-Fi de acordo com a assinatura do usuário. Em algumas modalidades, a desassociação e a reassociação podem ser realizadas sem a interação do usuário. O Wi-fi Hotspot 104 é configurado para implementar restrições indicadas na mensagem de ACEITAÇÃO DE ACESSO DE RAIO que estão associadas à assinatura do usuário.[00028] After receiving MO subscription, the mobile device can be configured to disassociate with Wi-Fi Hotspot 104 after final SOAP switch, and re-associate with Wi-Fi Hotspot 104 to re-establish Wi-Fi connection. , the mobile device 102 can be configured to use an EAP technique and can provide the provisioned credentials to an AAA server 126 by re-establishing the Wi-Fi connection. A RADIUS ACCESS ACCEPT message can be received on the Wi-Fi Hotspot 104 from the AAA server 126 to allow the mobile device 102 to access the Wi-Fi network according to the user's subscription. In some embodiments, disassociation and reassociation can be performed without user interaction. The Wi-Fi Hotspot 104 is configured to implement restrictions indicated in the RADIUS ACCESS ACCEPT message that are associated with the user's signature.

[00029] Em algumas modalidades, como parte da troca de SOAP inicial com o servidor de assinatura 106, o servidor de assinatura 106 pode ser configurado para determinar o tipo de credencial que será provisionada e indicar o tipo de credencial que será provisionada para o dispositivo móvel 102. O tipo de credencial a ser provisionada inclui uma ou credenciais baseadas em certificados, credenciais de nome de usuário/senha ou credenciais do tipo SIM (Subscriber Information Module). O provisionamento de credenciais pode incluir mensagens configuradas de troca de SOAP, conforme descrito com mais detalhes abaixo. O tipo de credencial a ser provisionada pode ser determinado pelo operador ou pelo provedor de serviço. As políticas da operadora podem ser usadas para determinar o tipo de credencial para provisão e uso para autenticação.[00029] In some embodiments, as part of the initial SOAP exchange with the signature server 106, the signature server 106 can be configured to determine the type of credential that will be provisioned and indicate the type of credential that will be provisioned for the device mobile 102. The type of credential to be provisioned includes either certificate-based credentials, username/password credentials, or SIM (Subscriber Information Module) type credentials. Credential provisioning can include configured SOAP exchange messages, as described in more detail below. The type of credential to be provisioned can be determined by the operator or service provider. Carrier policies can be used to determine the type of credential to provision and use for authentication.

[00030] Quando a mediação de assinatura é necessária (ou seja, existe um problema com a assinatura do usuário), o método inclui o dispositivo móvel que recebe uma mensagem de ação, indicando necessidade de correção após a associação com o Wi-fi Hotspot 104 e solicitação de autenticação subsequente. Durante a troca de SOAP inicial, o dispositivo móvel é configurado para solicitar correção de assinatura com um servidor de mediação de assinatura 506 e para trocar informações de acordo com uma técnica SOAP. Em algumas modalidades, o servidor de mediação de assinatura pode ser o mesmo do servidor de assinatura 106, embora isto não seja uma exigência.[00030] When subscription mediation is required (i.e. there is a problem with the user's subscription), the method includes the mobile device receiving an action message indicating need for correction after association with Wi-fi Hotspot 104 and subsequent authentication request. During the initial SOAP exchange, the mobile device is configured to request signature correction with a 506 signature mediation server and to exchange information according to a SOAP technique. In some embodiments, the signature mediation server may be the same as the signature server 106, although this is not a requirement.

[00031] De acordo com as modalidades, o dispositivo móvel 102 pode ser configurado com as informações do registrador, como o URL do registrador 122. O registrador 122 pode conter entradas de provedores de serviço, que podem incluir o nome de domínio totalmente qualificado (FQDN) do provedor de serviços, o nome amigável do provedor e a confiabilidade raiz de assinatura on-line do provedor. O registrador 122 pode fornecer o vínculo criptográfico entre o nome do domínio do provedor de serviços e outros dados. O registrador 122 pode ser usado pelo dispositivo móvel 102 para estabelecer uma relação de confiança entre o dispositivo móvel 102 e um servidor de assinatura on-line, como o servidor de assinatura 106. Quando o dispositivo móvel 102 iniciar a identificação on-line, poderá consultar o registrador 122 sobre os metadados do servidor de assinatura on-line e poderá verificar a autenticidade do provedor de serviços de assinatura on-line. O dispositivo móvel 102 pode também baixar as informações de registro antecipadamente e pode armazená- las localmente e usá-las quando iniciar o processo de assinatura e provisionamento aqui descrito. Se o dispositivo móvel 102 for um dispositivo móvel de modo duplo (por exemplo, ter o recurso de rede celular e a rede Wi-Fi), o dispositivo móvel 102 poderá também ser configurado para consultar o registrador 122 em tempo real, usando uma conexão de rede celular para obter as informações do servidor de assinatura on-line e verificar a autenticidade.[00031] Depending on the embodiments, mobile device 102 may be configured with registrar information, such as registrar URL 122. Registrar 122 may contain service provider entries, which may include the fully qualified domain name ( FQDN) of the service provider, the friendly name of the provider, and the provider's online subscription root trust. Registrar 122 may provide the cryptographic link between the service provider's domain name and other data. Registrar 122 may be used by mobile device 102 to establish a trust relationship between mobile device 102 and an online signature server, such as signature server 106. When mobile device 102 initiates online identification, it may consult registrar 122 for the online subscription server metadata and you can verify the authenticity of the online subscription service provider. Mobile device 102 may also download registration information in advance and may store it locally and use it when initiating the subscription and provisioning process described herein. If mobile device 102 is a dual-mode mobile device (e.g., has both cellular and Wi-Fi network capability), mobile device 102 can also be configured to query register 122 in real time using a cellular network to get the subscription server information online and verify authenticity.

[00032] De acordo com as modalidades, o dispositivo móvel 102 pode ser configurado para associar-se a um Wi-fi Hotspot 104 ou uma rede Wi-Fi, e estabelecer uma sessão de segurança de camada de transporte (TLS) com o servidor de assinatura 106 por meio do Wi-fi Hotspot 104, para receber um certificado digital do servidor de assinatura 106. De acordo com as modalidades, o dispositivo móvel 102 pode trocar informações por meio da conexão HTTP segura estabelecida, com o portal de ativação 108 para fornecer uma assinatura de acesso a rede Wi-Fi e criar um objeto de gerenciamento de assinatura (MO). O MO de assinatura pode conter uma referência ao tipo de credencial (por exemplo, nome de usuário/senha, do tipo SIM ou baseado em certificado) que foi fornecida para conectividade automática para certas redes Wi-Fi, inclusive redes Hotspot 2.0.[00032] According to the embodiments, the mobile device 102 can be configured to associate with a Wi-Fi Hotspot 104 or a Wi-Fi network, and establish a Transport Layer Security (TLS) session with the server signature 106 via the Wi-Fi Hotspot 104, to receive a digital certificate from the signature server 106. According to the embodiments, the mobile device 102 can exchange information via the established secure HTTP connection with the activation portal 108 to provide a Wi-Fi network access subscription and create a subscription management object (MO). The signing MO may contain a reference to the type of credential (eg, username/password, SIM-type, or certificate-based) that was provided for automatic connectivity to certain Wi-Fi networks, including Hotspot 2.0 networks.

[00033] No caso das credenciais nome de usuário/senha, o MO de assinatura pode conter um nome de usuário e a senha. No caso das credenciais do tipo SIM, o MO de assinatura pode conter pelo menos algumas informações básicas sobre as credenciais de tipo SIM. No caso das credenciais baseadas em certificado, o MO de assinatura pode conter informações para o acesso das credenciais baseadas em certificados. Estas modalidades são descritas mais detalhadamente abaixo.[00033] In the case of username/password credentials, the signing MO can contain a username and password. In the case of SIM-type credentials, the signing MO can contain at least some basic information about SIM-type credentials. In the case of certificate-based credentials, the signing MO can contain information for accessing certificate-based credentials. These modalities are described in more detail below.

[00034] Embora muitas modalidades estejam aqui descritas para assinatura e provisionamento on-line seguros e o fornecimento de redes Wi-fi Hotspot 2.0, a abrangência da invenção não se limita a esse respeito. Outras modalidades podem se aplicar a assinatura e provisionamento on-line seguros de outros tipos de rede, inclusive outras redes locais sem fio (WLANs) e redes do tipo celular.[00034] While many embodiments are described herein for secure online subscription and provisioning and provision of Wi-Fi Hotspot 2.0 networks, the scope of the invention is not limited in this regard. Other modalities may apply to secure online subscription and provisioning of other types of networks, including other wireless local area networks (WLANs) and cellular-type networks.

[00035] De acordo com algumas modalidades, a autoridade certificadora 120 pode ser uma Autoridade Certificadora (CA) Hotspot 2.0 (ou seja, a confiabilidade raiz) e pode ser configurada para emitir certificados, inclusive certificados Hotspot 2.0. O registrador 122 pode estar em que um registrador ou organização que é registrada como provedora de serviços de Hotspot 2.0. O registrador 122 pode conter um FQDN já registrado e/ou um nome amigável escolhido. O proprietário do FQDN pode ser identificado em um banco de dados "WHOIS" disponível publicamente. O nome amigável escolhido não deve ser semelhante ou confundido com nomes amigáveis já registrados. O registrador 122 pode invocar regras para registro, que podem permitir a rejeição de um nome amigável solicitado, se não for adequado. O registrador 122 pode manter o banco de dados de provedores de serviços registrados, junto com seus nomes amigáveis, e remover as entradas inválidas. Um certificado Hotspot 2.0 da autoridade certificadora 120 somente pode ser emitido para uma entidade registrada (ou seja, registrada no banco de dados do registrador). O certificado pode ter um tempo de vida que não exceda o tempo de validade de registro do FQDN. Em alguns casos, o registrador 122 também pode funcionar como uma autoridade certificadora.[00035] Under some embodiments, the certificate authority 120 can be a Hotspot 2.0 Certificate Authority (CA) (ie, the root trust) and can be configured to issue certificates, including Hotspot 2.0 certificates. Registrar 122 may be with a registrar or organization that is registered as a Hotspot 2.0 service provider. Register 122 may contain an already registered FQDN and/or a chosen friendly name. The FQDN owner can be identified in a publicly available "WHOIS" database. The friendly name chosen must not be similar or confused with friendly names already registered. Registrar 122 may invoke rules for registration, which may allow a requested friendly name to be rejected if it is not appropriate. Registrar 122 can maintain the database of registered service providers, along with their friendly names, and remove invalid entries. A Certificate Authority 120 Hotspot 2.0 certificate can only be issued to a registered entity (that is, registered in the registrar's database). The certificate can have a lifetime that does not exceed the registration validity time of the FQDN. In some cases, registrar 122 can also function as a certification authority.

[00036] De acordo com as modalidades, o dispositivo móvel 102 pode obter um ou mais certificados raiz Hotspot 2.0 da autoridade certificadora 120 e o certificado raiz pode identificar o FQDN do servidor, e indicar que pode ser utilizado para autenticação baseada em HTTPS para assinatura e provisionamento on-line seguros de credenciais. O provedor de serviços Hotspot 2.0 pode fornecer ao servidor de assinatura on-line 106, os certificados da autoridade certificadora 120, e pode fornecer as configurações corretas de políticas no servidor de assinatura on-line 106. Estas modalidades são discutidas mais detalhadamente a seguir.[00036] According to the embodiments, the mobile device 102 can obtain one or more Hotspot 2.0 root certificates from the certificate authority 120 and the root certificate can identify the FQDN of the server, and indicate that it can be used for HTTPS-based authentication for signing and secure online provisioning of credentials. The Hotspot 2.0 service provider can provide the online signing server 106 with certificates from the certificate authority 120, and can provide the correct policy settings on the online signing server 106. These modalities are discussed in more detail below.

[00037] A rede de um provedor de serviços também pode conter um servidor de autenticação, autorização e estatística (AAA) 126, que contém, entre outras coisas, um banco de dados de assinantes. O servidor AAA 126 pode comunicar-se com elementos da rede, tais como um servidor Dynamic Host Configuration Protocol (DHCP) 127 para alocação dinâmica de endereços IP, e um servidor de nomes de domínio (DNS) 128 para a tradução dos nomes de domínio, assim como realizar outras operações de rede.[00037] A service provider's network may also contain an authentication, authorization, and statistics (AAA) server 126, which contains, among other things, a database of subscribers. The AAA server 126 can communicate with network elements, such as a Dynamic Host Configuration Protocol (DHCP) server 127 for dynamic allocation of IP addresses, and a Domain Name Server (DNS) 128 for translating domain names. , as well as performing other network operations.

[00038] Em algumas modalidades, o Wi-fi Hotspot 104 pode ser um Hotspot 2.0 Wi-Fi funcionando de acordo com uma especificação de evolução do Hotspot 2.0, como a especificação de evolução do Hotspot 2.0 da Wi-Fi Alliance. O dispositivo móvel 102 pode ser um dispositivo dotado de Hotspot 2.0 e as informações de assinatura podem conter informações pré-provisionadas de assinaturas para a conexão automática a um Hotspot 2.0 Wi-Fi. Uma rede Wi-Fi pode ser uma rede sem fio contendo um Wi-fi Hotspot configurado para funcionar de acordo com um dos padrões IEEE 802.11 (e as emendas feitas ao mesmo) para WLANs.[00038] In some embodiments, the Wi-Fi Hotspot 104 may be a Wi-Fi Hotspot 2.0 operating in accordance with a Hotspot 2.0 evolution specification, such as the Wi-Fi Alliance's Hotspot 2.0 evolution specification. Mobile device 102 may be a Hotspot 2.0 device, and the subscription information may contain pre-provisioned subscription information for automatically connecting to a Wi-Fi Hotspot 2.0. A Wi-Fi network may be a wireless network containing a Wi-fi Hotspot configured to work according to one of the IEEE 802.11 standards (and amendments thereto) for WLANs.

[00039] Uma rede Wi-Fi pode usar uma técnica de acesso múltiplo com sensoriamento da portadora e prevenção de colisões (CSMA/CA) em que as comunicações de envio e recebimento usam os mesmos canais de frequência, de acordo com um processo de divisão de tempo multiplexado. Algumas redes Wi-Fi podem usar multiplexação de divisão ortogonal de frequência (OFDM). As redes de celulares, por outro lado, como as redes LTE (4G ) e as redes WiMAX, implementam uma técnica de acesso múltiplo por divisão ortogonal de frequência (orthogonal frequency division multiple access, OFDMA). As redes celulares de terceira geração (3G) podem usar uma técnica de acesso múltiplo por divisão de código (code-division multiple access, CDMA). Em algumas modalidades, o dispositivo móvel 102 pode ser um dispositivo dual-mode com circuito em camada física, configurado para a comunicação tanto com redes Wi-Fi como com redes celulares.[00039] A Wi-Fi network may use a carrier sensing multiple access collision avoidance (CSMA/CA) technique in which send and receive communications use the same frequency channels, according to a splitting process. of multiplexed time. Some Wi-Fi networks may use orthogonal frequency division multiplexing (OFDM). Cellular networks, on the other hand, such as LTE networks (4G ) and WiMAX networks, implement an orthogonal frequency division multiple access (OFDMA) technique. Third-generation (3G) cellular networks may use a code-division multiple access (CDMA) technique. In some embodiments, mobile device 102 may be a dual-mode device with physical layer circuitry configured to communicate with both Wi-Fi and cellular networks.

[00040] A Fig. 2 é uma visão geral para a assinatura e o provisionamento on-line seguros de credenciais usando SOAP-XML de acordo com algumas modalidades. Nessas modalidades, a autenticação do lado do servidor é usada para autenticar os componentes da rede. Depois disso, a rede Wi-Fi redireciona o dispositivo móvel 102 para o servidor de assinatura 106 para estabelecer a assinatura e criar credenciais ou para um servidor de correção de assinatura, para correção da assinatura.[00040] Fig. 2 is an overview for secure online signing and provisioning of credentials using SOAP-XML according to some modalities. In these modalities, server-side authentication is used to authenticate network components. Thereafter, the Wi-Fi network redirects the mobile device 102 to the signature server 106 to establish the signature and create credentials or to a signature correction server for signature correction.

[00041] Na operação 202, o dispositivo móvel 102 inicia o processo de provisionamento de credencial ao associar com a rede Wi-Fi usando um método EAP. Uma troca de EAP com sucesso leva a uma mensagem de ACEITAÇÃO DE ACESSO DE RAIO 203 entregue ao Wi-fi Hotspot 104. A mensagem de ACEITAÇÃO DE ACESSO DE RAIO 203 pode incluir ou indicar restrições de acesso para o Wi-fi Hotspot 104 impor em seu nome. O uso de restrições de acesso durante o processo de provisionamento de credencial pode ajudar a proteger a rede e impedir que um usuário obtenha acesso à internet. Em algumas modalidades, um protocolo de autenticação DE RAIO pode ser realizado como parte da operação 202. Em algumas modalidades, a mensagem de ACEITAÇÃO DE ACESSO DE RAIO 203 pode incluir instruções para fazer com que o Wi-fi Hotspot 104 limite o acesso do dispositivo móvel 102 a um grupo restrito de servidores.[00041] In operation 202, mobile device 102 starts the credential provisioning process by associating with the Wi-Fi network using an EAP method. A successful EAP exchange leads to a RADIUS ACCESS ACCEPT 203 message delivered to the Wi-Fi Hotspot 104. The RADIUS ACCESS ACCEPT 203 message may include or indicate access restrictions for the Wi-Fi Hotspot 104 to enforce on your name. Using access restrictions during the credential provisioning process can help secure the network and prevent a user from gaining access to the internet. In some embodiments, a RADIUS authentication protocol may be performed as part of the operation 202. In some embodiments, the RADIUS ACCESS ACCEPT message 203 may include instructions for causing the Wi-Fi Hotspot 104 to limit device access. mobile 102 to a restricted group of servers.

[00042] Na operação 206, uma troca de SOAP inicial é realizada pelo dispositivo móvel 102 para autenticar o servidor de assinatura 106, para fornecer pelo menos algumas informações de capacidade de dispositivo para o servidor de assinatura 106, e para informar ao servidor de assinatura 106 qual provisionamento de credenciais ou qual correção de assinatura é solicitado. Quando o dispositivo móvel 102 já tem credenciais, como é o caso para a correção de assinatura, o servidor de assinatura 106 pode autenticar automaticamente o dispositivo móvel. Mediante recebimento destas informações, o servidor de assinatura 106 pode determinar se a entrada do usuário é necessária ou se mensagens de troca somente de máquina são necessárias. Se a entrada de usuário for necessária, o servidor de assinatura 106 pode informar o dispositivo móvel 102 para abrir um navegador. Se mensagens "somente máquina" forem necessárias, a resposta do servidor de assinatura 106 pode conter uma indicação de que o fluxo de mensagem está completo ou que trocas de máquina adicional são necessárias. Nessas modalidades, as mensagens nesse fluxo podem carregar um tipo de conteúdo HTTP de "pedido/soap+xml". As mensagens podem ser entregues para a pedido de processamento de SOAP tanto no dispositivo móvel 102 (por exemplo, elemento de processamento de SOAP 125) e a pedido de processamento de SOAP no servidor de assinatura 106 (por exemplo, elemento de processamento de SOAP 135).[00042] In operation 206, an initial SOAP exchange is performed by the mobile device 102 to authenticate the signature server 106, to provide at least some device capability information to the signature server 106, and to inform the signature server 106 which credential provisioning or which signature fix is requested. When the mobile device 102 already has credentials, as is the case for signature correction, the signature server 106 can automatically authenticate the mobile device. Upon receipt of this information, the subscription server 106 can determine whether user input is required or whether machine-only exchange messages are required. If user input is required, subscription server 106 may tell mobile device 102 to open a browser. If "machine only" messages are required, the response from subscription server 106 may contain an indication that the message flow is complete or that additional machine exchanges are required. In these modalities, messages in this flow can carry an HTTP content type of "request/soap+xml". Messages can be delivered to both SOAP processing request at mobile device 102 (e.g. SOAP processing element 125) and SOAP processing request at subscription server 106 (e.g. SOAP processing element 135 ).

[00043] A operação 212 é realizada quando a entrada de usuário é necessária (por exemplo, para assinar para serviço ou para pagar uma fatura). Na operação 212, o dispositivo móvel 102 pode iniciar o navegador e o usuário pode receber solicitações para informações por meio de páginas da web. No fim da troca de usuário, o fluxo de mensagem pode ser concluído ou mensagens adicionais podem ser exigidas; em ambos os casos, o servidor de assinatura 106 pode informar ao dispositivo móvel 102 que a troca de mensagem está completa ou de forma alternativa identificar a próxima etapa do processo. Nessas modalidades, as mensagens neste fluxo carregam tipos de conteúdo HTTP usados para páginas da web. Isso inclui, mas não é limitado a, tipos de conteúdo de "texto/html ", pedido/xml" e "pedido/xhtml+xml".[00043] Operation 212 is performed when user input is required (for example, to sign up for service or to pay an invoice). In operation 212, mobile device 102 can launch the browser and the user can receive requests for information via web pages. At the end of the user switch, the message flow may complete or additional messages may be required; in either case, the subscription server 106 may inform the mobile device 102 that the message exchange is complete or alternatively identify the next step in the process. In these modalities, messages in this flow carry HTTP content types used for web pages. This includes, but is not limited to, "text/html", order/xml" and "order/xhtml+xml" content types.

[00044] Na operação 214, uma troca de SOAP final pode completar o processo de provisionamento de credencial. Essa troca de SOAP final pode incluir a comunicação máquina a máquina (ou seja, sem necessidade de entrada de usuário). Essa troca de SOAP final pode ser usada ao provisionar certificados. Nessas modalidades, as mensagens neste fluxo podem carregar um tipo de conteúdo HTTP de "pedido/soap+xml". Essas mensagens podem ser entregues para aplicações de processamento de SOAP do dispositivo móvel 102 e do servidor de assinatura 106.[00044] In operation 214, a final SOAP exchange can complete the credential provisioning process. This final SOAP exchange can include machine-to-machine communication (ie, no user input required). This final SOAP exchange can be used when provisioning certificates. In these modalities, messages in this flow can carry an HTTP content type of "request/soap+xml". These messages can be delivered to SOAP processing applications from mobile device 102 and subscription server 106.

[00045] Na operação 226, o dispositivo móvel 102 pode se desassociar da rede Wi-FI, já que as credenciais podem ter sido fornecidas. Na operação 338, o dispositivo móvel 102 pode associar e autenticar um tempo subsequente para a rede Wi-Fi. O Wi-fi Hotspot 104 pode transmitir mensagens EAP para e a partir do servidor AAA 126. No final de uma troca EAP com sucesso levando a uma mensagem de aceitação de acesso DE RAIO 230, o servidor AAA 126 pode fornecer quaisquer restrições de acesso para o Wi-fi Hotspot 104, se aplicável, de acordo com a assinatura do usuário. Quaisquer restrições de acesso que foram justificadas para o provisionamento de credencial ou correção de assinatura são removidas desse modo.[00045] In operation 226, mobile device 102 may disassociate itself from the Wi-FI network as credentials may have been provided. In operation 338, mobile device 102 may associate and authenticate a subsequent time to the Wi-Fi network. Wi-Fi Hotspot 104 may transmit EAP messages to and from AAA server 126. At the end of a successful EAP exchange leading to a RADIUS access acceptance message 230, the AAA server 126 may provide any access restrictions for the Wi-Fi Hotspot 104, if applicable, in accordance with the user's signature. Any access restrictions that were justified for credential provisioning or signature correction are removed in this way.

[00046] As Figs. 3A e 3B ilustram mensagens trocadas para assinatura e provisionamento on-line seguros de credenciais baseadas em certificado usando técnicas SOAP-XML de acordo com algumas modalidades. Na operação 302, o dispositivo móvel 102 pode associar-se a um Wi-fi Hotspot 104. Em algumas modalidades, o dispositivo móvel 102 pode inicialmente procurar redes dotadas de Hotspot 2.0 e pode também procurar por indicações no sinal de um hotspot de Wi-Fi para determinar se a rede Wi-Fi é segura (por exemplo, se a conta com RSN ou se é compatível com conectividade Hotspot 2.0). O dispositivo móvel 102 pode selecionar a rede mais adequada com base nas preferências do usuário. Se o dispositivo móvel 102 determinar que não dispõe de uma assinatura no provedor de serviços selecionado, poderá ser configurado para iniciar automaticamente a assinatura e o provisionamento on-line (ou seja, sem a intervenção do usuário) conforme discutido com mais detalhes abaixo.[00046] Figs. 3A and 3B illustrate messages exchanged for secure online signing and provisioning of certificate-based credentials using SOAP-XML techniques in accordance with some embodiments. In operation 302, mobile device 102 may associate with a Wi-Fi Hotspot 104. In some embodiments, mobile device 102 may initially search for networks equipped with Hotspot 2.0 and may also search for indications in the signal of a Wi-Fi hotspot. Fi to determine if the Wi-Fi network is secure (for example, if the account has RSN or if it supports Hotspot 2.0 connectivity). Mobile device 102 can select the most suitable network based on user preferences. If the mobile device 102 determines that it does not have a subscription to the selected service provider, it can be configured to automatically initiate subscription and provisioning online (ie, without user intervention) as discussed in more detail below.

[00047] Para as redes dotadas de RSN, o dispositivo móvel 102 pode ser configurado para acessar a rede com RSN sem credenciais. Nessas modalidades, o dispositivo móvel 102 pode ser configurado para enviar uma solicitação de acesso a servidor genérico (GAS) (como uma solicitação GAS baseada no IEEE 802.11u) para solicitar um identificador de acesso de rede (NAI) de assinatura on-line. O NAI de assinatura on-line pode ser recebido pela rede por meio de uma consulta de GAS. Após receber o NAI, o dispositivo móvel 102 pode usar o NAI em um processo de autenticação via protocolo extensível de autenticação (Extensible Authentication Protocol, EAP), para indicar à rede que pretende conectar-se ao serviço e criar credenciais para provisionamento. A rede pode ser configurada para permitir o acesso ao dispositivo móvel 102 para esse fim, sem exigir a autenticação do usuário. O dispositivo móvel 102 pode então realizar a autenticação no lado do servidor, conforme discutido com mais detalhes abaixo.[00047] For RSN-enabled networks, mobile device 102 can be configured to access the network with RSN without credentials. In such embodiments, mobile device 102 may be configured to send a generic server access request (GAS) (such as an IEEE 802.11u-based GAS request) to request an online signature network access identifier (NAI). The online signature NAI can be received over the network through a GAS query. After receiving the NAI, the mobile device 102 can use the NAI in an Extensible Authentication Protocol (EAP) authentication process to indicate to the network that it intends to connect to the service and create credentials for provisioning. The network can be configured to allow access to mobile device 102 for this purpose without requiring user authentication. Mobile device 102 can then perform server-side authentication, as discussed in more detail below.

[00048] Em algumas modalidades, a operação 200 pode incluir a execução de um handshake em quatro vias (Four-Way Handshake (4WHS)) para permitir que o dispositivo móvel 102 e o autenticador derivem as chaves da sessão a partir de uma chave mestra, gerada após o processo de autenticação EAP. O 4WHS pode estar de acordo com o IEEE 802.11i, embora isso não seja uma exigência. Na operação 302, o dispositivo móvel 102 pode ser configurado para estabelecer uma sessão TLS com um servidor de assinatura 106, por meio do Wi-fi Hotspot 104 para receber o certificado do servidor de assinatura 106. O certificado pode ser um certificado de hotspot 2.0 que pode ser emitido por uma autoridade certificadora de hotspot 2.0 (ou seja, a confiabilidade raiz) e pode ser referido como um certificado raiz.[00048] In some embodiments, operation 200 may include performing a four-way handshake (4WHS) to allow mobile device 102 and authenticator to derive session keys from a master key , generated after the EAP authentication process. 4WHS can comply with IEEE 802.11i, although this is not a requirement. In operation 302, the mobile device 102 may be configured to establish a TLS session with a signature server 106 via Wi-Fi Hotspot 104 to receive the certificate from the signature server 106. The certificate may be a hotspot 2.0 certificate which can be issued by a hotspot 2.0 certificate authority (ie the root trust) and can be referred to as a root certificate.

[00049] Em algumas modalidades, o dispositivo móvel 102 pode estabelecer a sessão TLS na operação 201 com o servidor de assinatura 106, de acordo com os procedimentos da RFC 2560 e pode realizar autenticação no lado do servidor por meio de HTTPS. Em algumas modalidades, após estabelecer a sessão TLS com o servidor de assinatura 106, o dispositivo móvel 102 pode verificar se o certificado do servidor de assinatura 106 foi assinado por uma confiabilidade raiz de Hotspot 2.0. Quando o dispositivo móvel 102 verificar ou for capaz de verificar se o certificado do servidor de assinatura 106 foi assinado pela confiabilidade raiz do Hotspot 2.0, o dispositivo móvel 102 poderá ser configurado para realizar a operação 306 para iniciar a definição de uma nova assinatura.[00049] In some embodiments, the mobile device 102 can establish the TLS session in operation 201 with the signature server 106, in accordance with the procedures of RFC 2560 and can perform server-side authentication via HTTPS. In some embodiments, after establishing the TLS session with the signing server 106, the mobile device 102 can verify that the certificate of the signing server 106 has been signed by a Hotspot 2.0 root trust. When the mobile device 102 verifies or is able to verify that the certificate of the signing server 106 has been signed by the Hotspot 2.0 root trust, the mobile device 102 can be configured to perform operation 306 to start defining a new signature.

[00050] As modalidades aqui reveladas são aplicáveis tanto a redes abertas como a redes do tipo 802.1x, já que uma sessão TLS é estabelecida para o provisionamento de credenciais. Assim, o mesmo processo descrito abaixo pode ser usado tanto para redes Wi-Fi abertas/inseguras como para redes Wi-Fi seguras (por exemplo, com segurança 802.1x).[00050] The modalities revealed here are applicable to both open networks and 802.1x-type networks, since a TLS session is established for the provisioning of credentials. Thus, the same process described below can be used for both open/insecure Wi-Fi networks and secure Wi-Fi networks (eg with 802.1x security).

[00051] Em algumas modalidades, para verificar se o certificado do servidor de assinatura 106 foi assinado por uma confiabilidade raiz de Hotspot 2.0, o dispositivo móvel 102 pode usar uma chave pública da confiabilidade raiz do Hotspot 2.0 para verificar o certificado. A chave pública pode ser obtida de um servidor de chaves ou de um elemento de armazenamento dentro do dispositivo móvel 102. Se o dispositivo móvel 102 não puder verificar se o certificado do servidor de assinatura foi assinado por uma confiabilidade raiz de Hotspot 2.0, ou se o certificado do servidor de assinatura não tiver sido assinado por uma confiabilidade raiz de Hotspot 2.0, o dispositivo móvel 102 poderá abortar o processo de assinatura e provisionamento on-line e liberar/encerrar a sessão TLS estabelecida.[00051] In some embodiments, to verify that the certificate of the signing server 106 was signed by a Hotspot 2.0 root trust, the mobile device 102 can use a Hotspot 2.0 root trust public key to verify the certificate. The public key can be obtained from a key server or a storage element within the mobile device 102. If the mobile device 102 cannot verify that the signing server's certificate was signed by a Hotspot 2.0 root trust, or if the signing server certificate has not been signed by a Hotspot 2.0 root trust, mobile device 102 may abort the online signing and provisioning process and release/terminate the established TLS session.

[00052] Na operação 306, o dispositivo móvel 102 pode enviar uma mensagem de dados post-device (ospPostDevData) de protocolo de assinatura on-line (osp) de acordo com uma técnica SOAP para o servidor de assinatura 106. A mensagem pode incluir um valor do motivo de solicitação (requestReason), assim como informações do dispositivo (DevInfo) e detalhes do dispositivo (DevDetail). Em algumas modalidades, as informações e detalhes do dispositivo pode ser OMA-DM DevInfo e OMA-DM DevDetail MOs, tais como os divulgados no N.° de série da pedido da patente: 13/188,205. O dispositivo móvel 102 pode definir o valor para o motivo da solicitação na mensagem para "registro de assinatura", indicando que o dispositivo móvel 102 deseja registrar credenciais.[00052] In operation 306, mobile device 102 may send an online signature protocol (osp) post-device data (ospPostDevData) message in accordance with a SOAP technique to signature server 106. The message may include a request reason value (requestReason), as well as device information (DevInfo) and device details (DevDetail). In some embodiments, the device information and details may be OMA-DM DevInfo and OMA-DM DevDetail MOs, such as those disclosed in Patent Application Serial No.: 13/188,205. The mobile device 102 may set the value for the request reason in the message to "signature registration", indicating that the mobile device 102 wishes to register credentials.

[00053] Para correção de assinatura, o dispositivo móvel 102 pode definir o valor para o motivo de solicitação na mensagem para "correção de assinatura", indicando que o dispositivo móvel 102 deseja executar uma correção de assinatura. Estas modalidades são discutidas mais detalhadamente a seguir (consulte a Fig. 5).[00053] For signature correction, mobile device 102 can set the value for request reason in the message to "signature correction", indicating that mobile device 102 wants to perform a signature correction. These modalities are discussed in more detail below (see Fig. 5).

[00054] Na operação 308, o servidor de assinatura 106 pode usar as informações fornecidas nos MOs de DevInfo e DevDetail para determinar os tipos de credenciais para provisão (isto é, credenciais de nome de usuário/senha ou credenciais baseadas em certificado). Nas modalidades descritas na FIG 3, as credenciais baseadas em certificado devem ser provisionadas. Na operação 308, o servidor de assinatura 106 pode transmitir uma mensagem ospPostDevDataResponse de acordo com uma técnica SOAP para o dispositivo móvel 102. Uma vez que o dispositivo móvel 102 solicitou o registro de assinatura, o servidor de assinatura 106 pode retornar um comando para o dispositivo móvel para iniciar um navegador para o URI fornecido na mensagem.[00054] In operation 308, the signing server 106 can use the information provided in the DevInfo and DevDetail MOs to determine the types of credentials to provision (ie, username/password credentials or certificate-based credentials). In the embodiments described in FIG 3, certificate-based credentials must be provisioned. In operation 308, the signature server 106 may transmit an ospPostDevDataResponse message according to a SOAP technique to the mobile device 102. Once the mobile device 102 has requested the signature record, the signature server 106 may return a command to the mobile device to launch a browser for the URI provided in the message.

[00055] Na operação 310, mediante recebimento do comando Execute:LaunchBrowsertoURI do servidor de assinatura 106, o dispositivo móvel 102 pode iniciar o navegador, estabelecer uma conexão de HTTP segura para o URI retornado na operação 308, e pode enviar uma solicitação HTTPS GET para o servidor on-line URI retornado na operação 308.[00055] In operation 310, upon receipt of the Execute:LaunchBrowsertoURI command from subscription server 106, mobile device 102 can launch the browser, establish a secure HTTP connection to the URI returned in operation 308, and can send an HTTPS GET request to the online server URI returned in operation 308.

[00056] Na operação 312, o dispositivo móvel 102 e o servidor de assinatura 106 podem trocar quaisquer informações de usuário necessárias solicitadas pelo provedor de serviços para a criação da assinatura. Essa troca pode envolver o fornecimento de informações sobre o usuário, seleção de planos de assinatura adequados, fornecimento de quaisquer informações de cartão de crédito ou informações de pagamento, e estabelecimento de política e outros parâmetros.[00056] In operation 312, mobile device 102 and subscription server 106 can exchange any necessary user information requested by the service provider for subscription creation. This exchange may involve providing user information, selecting suitable subscription plans, providing any credit card or payment information, and establishing policy and other parameters.

[00057] Após a troca de dados de registro da operação 312, a operação 314 é realizada, na qual o dispositivo móvel 102 pode recuperar do servidor de assinatura 106 um documento de instância XML ospUserInputResponse. Se não ocorrer nenhum erro, o ospUserInputResponse é um recipiente para o ospStatus e o comando de execução getCertificate. O navegador da web pode passar o documento de instância XML para a pedido de ajuda registrada localmente para processamento (por exemplo, um gerenciador de conexão). O documento de instância XML pode conter o URI do servidor de registro de certificado 110, assim como outros metadados necessários para o registro do certificado.[00057] After the operation 312 registration data is exchanged, the operation 314 is performed, in which the mobile device 102 can retrieve from the subscription server 106 an ospUserInputResponse XML instance document. If no errors occur, ospUserInputResponse is a container for ospStatus and the getCertificate run command. The web browser can pass the XML instance document to the locally registered help request for processing (eg a connection manager). The XML instance document can contain the URI of the certificate enrollment server 110, as well as other metadata required for certificate enrollment.

[00058] A operação 316 é executada quando as credenciais baseadas em certificado são provisionadas. O procedimento de registro de certificado da operação 316 pode ser executado de acordo com um protocolo de registro de certificados (por exemplo, o protocolo de gerenciamento de certificados (certificate-management protocol, CMP) ou o protocolo simples de registro de certificados (simple certificate enrollment protocol, SCEP) para fornecer ao dispositivo móvel 102 um certificado de assinatura para a autenticação no provedor de serviços. Em algumas modalidades, o processo de registro de certificado pode ser configurado para demorar menos de sessenta segundos sob condições normais. As condições normais podem incluir quando o Wi-fi Hotspot 102 e a rede principal do provedor de serviços não estiverem congestionadas e o servidor de registro de certificados 110 não estiver sobrecarregado. Ao fim de um procedimento bem-sucedido, o dispositivo móvel 102 terá recebido um certificado de assinatura, que será usado para a autenticação na rede Wi-Fi daquele provedor de serviços. Se for malsucedido, o dispositivo móvel 102 será notificado sobre a falha no registro do certificado.[00058] Operation 316 is performed when certificate-based credentials are provisioned. The 316 operation's certificate enrollment procedure can be performed according to a certificate-enrollment protocol (for example, the certificate-management protocol (CMP) or the simple certificate-enrollment protocol (CMP). enrollment protocol, SCEP) to provide the mobile device 102 with a signing certificate for authentication at the service provider. In some embodiments, the certificate enrollment process can be configured to take less than sixty seconds under normal conditions. Normal conditions may include when the Wi-Fi Hotspot 102 and the service provider's main network are not congested and the certificate enrollment server 110 is not overloaded. At the end of a successful procedure, the mobile device 102 will have received a signing certificate , which will be used to authenticate to that service provider's Wi-Fi network. If unsuccessful, mobile device 102 will be notified of the certificate enrollment failure.

[00059] O certificado de assinatura recebido na operação 316 poderá ser um certificado do tipo X.509, adequado para a autenticação baseada em EAP-TLS em uma rede. Em algumas modalidades, o certificado de assinatura poderá ser um certificado x.509v3 e poderá ser configurado de acordo com um padrão ITU-T para uma infraestrutura de chave pública (PKI) para assinatura única (SSO) e infraestrutura de gerenciamento de privilégios (Privilege Management Infrastructure, PMI).[00059] The signing certificate received in operation 316 may be an X.509 type certificate suitable for EAP-TLS based authentication on a network. In some embodiments, the signing certificate may be an x.509v3 certificate and may be configured according to an ITU-T standard for a public key infrastructure (PKI) for single sign-on (SSO) and privilege management infrastructure (Privilege). Management Infrastructure, PMI).

[00060] Na operação 318, o dispositivo móvel 102 pode iniciar e renegociar uma conexão TLS no servidor de assinatura 106 de acordo com os procedimentos do RFC 2560. Se o registro de certificado for bem-sucedido, o dispositivo móvel 102 poderá ser configurado para usar o certificado fornecido ao realizar a autenticação TLS. Se houver falha no registro de certificado (por exemplo, o dispositivo 102 não recebeu um certificado), o dispositivo móvel 102 poderá realizar uma autenticação somente no lado do servidor ao executar uma autenticação TLS. Se houver falha na autenticação TLS, o dispositivo móvel 102 poderá ser configurado para abortar o processamento de provisionamento de credencial.[00060] In operation 318, mobile device 102 can initiate and renegotiate a TLS connection at signature server 106 in accordance with the procedures of RFC 2560. If certificate enrollment is successful, mobile device 102 can be configured to use the certificate provided when performing TLS authentication. If certificate enrollment fails (for example, device 102 has not received a certificate), mobile device 102 can perform server-side authentication only when performing TLS authentication. If TLS authentication fails, mobile device 102 can be configured to abort credential provisioning processing.

[00061] Na operação 320, o dispositivo móvel pode enviar uma mensagem ospPostDevData de acordo com uma técnica SOAP para o servidor de assinatura 106. A mensagem pode conter MOs de detalhes e informações do dispositivo. O dispositivo móvel 102 poderá definir o valor do motivo de solicitação nesta mensagem para "Registro de certificado concluído" se o registro de certificado for bem-sucedido ou "Falha no registro de certificado" se houver falha no registro do certificado.[00061] In operation 320, the mobile device may send an ospPostDevData message according to a SOAP technique to the subscription server 106. The message may contain MOs of device details and information. Mobile device 102 can set the request reason value in this message to "Certificate enrollment complete" if certificate enrollment is successful or "Certificate enrollment failed" if certificate enrollment fails.

[00062] Na operação 322, quando o registro de certificado é bem-sucedido, o servidor de assinatura 106 envia uma mensagem ospPostDevDataResponse de acordo coma técnica SOAP para o dispositivo móvel 102. A mensagem pode incluir um comando MO adicional (addMO) e a assinatura MO. A assinatura MO pode incluir identificadores de certificado, ligando o certificado fornecido na assinatura, assim como dados de fornecimento auxiliar. Na mensagem ospPostDevDataResponse, um valor de status (isto é, ospStatus) poderá ser definido para "fornecimento completo" para indicar que o processo de assinatura e fornecimento de certificado foram concluídos.[00062] In operation 322, when the certificate registration is successful, the signing server 106 sends an ospPostDevDataResponse message according to the SOAP technique to the mobile device 102. The message may include an additional MO command (addMO) and the MO signature. The MO signature can include certificate identifiers, linking the certificate provided in the signature, as well as auxiliary provisioning data. In the ospPostDevDataResponse message, a status value (ie ospStatus) can be set to "delivery complete" to indicate that the certificate signing and provisioning process is complete.

[00063] Na operação 324, o dispositivo móvel 102 pode liberar a seção TLS estabelecida na operação 304. Na operação 326, o dispositivo móvel 102 pode se desassociar da rede Wi-Fi.[00063] In operation 324, mobile device 102 may release the TLS section established in operation 304. In operation 326, mobile device 102 may disassociate itself from the Wi-Fi network.

[00064] Na operação 328, a assinatura foi estabelecida com sucesso na operação 316, o dispositivo móvel 102 pode se associar novamente ao Wi-fi Hotspot 104 (isto é, com o mesmo identificador de definição de serviço (SSID) ou o mesmo HESSID) usando as novas credenciais obtidas (ou seja, as credenciais fornecidas na operação 322).[00064] In operation 328, subscription was successfully established, in operation 316, mobile device 102 can re-associate with Wi-Fi Hotspot 104 (i.e. with the same service definition identifier (SSID) or the same HESSID ) using the new credentials obtained (that is, the credentials provided in operation 322).

[00065] A Fig. 4 ilustra as mensagens trocadas para assinatura e provisionamento on-line seguros de credenciais de tipo de nome de usuário/senha usando SOAP-XNL de acordo com algumas modalidades.[00065] Fig. 4 illustrates the messages exchanged for secure online signing and provisioning of username/password type credentials using SOAP-XNL according to some embodiments.

[00066] As operações 402, 404, 406 e 408 são similares às operações 302, 304, 306 e 308, exceto que na operação 408, o servidor de assinatura 106 pode usar as informações fornecidas nos MOs DevInfo e DevDetail para determinar que as credenciais de nome de usuário/senhas devem ser fornecidas.[00066] Operations 402, 404, 406, and 408 are similar to operations 302, 304, 306, and 308, except that in operation 408, subscription server 106 can use the information provided in the DevInfo and DevDetail MOs to determine that the credentials username/passwords must be provided.

[00067] As operações 410 e 412 são similares às operações 310 e 312.[00067] Operations 410 and 412 are similar to operations 310 and 312.

[00068] Na operação 422, o dispositivo móvel 102 poderá recuperar do servido de assinatura 106 um documento de instância XML ospUserInputResponse e o servidor de assinatura 106 poderá enviar uma mensagem ospPostDevDataResponse de acordo com a técnica SOAP para o dispositivo móvel 102. A mensagem pode incluir um comando MO adicional (addMO) e a assinatura MO.[00068] In operation 422, the mobile device 102 may retrieve an ospUserInputResponse XML instance document from the subscription server 106 and the subscription server 106 may send an ospPostDevDataResponse message according to the SOAP technique to the mobile device 102. include an additional MO command (addMO) and the MO signature.

[00069] Na operação 424, o dispositivo móvel 102 pode liberar a seção TLS estabelecida na operação 404. Na operação 426, o dispositivo móvel 102 pode se desassociar da rede Wi-Fi.[00069] In operation 424, mobile device 102 may release the TLS section established in operation 404. In operation 426, mobile device 102 may disassociate itself from the Wi-Fi network.

[00070] Na operação 428, se a assinatura foi estabelecida com sucesso na operação na etapa 7, o dispositivo móvel 102 pode se associar novamente ao Wi-fi Hotspot 104 (isto é, com o mesmo identificador de definição de serviço (SSID) ou o mesmo HESSID) usando as novas credenciais obtidas (ou seja, as credenciais fornecidas na operação 422).[00070] In operation 428, if the subscription was successfully established in the operation in step 7, mobile device 102 can re-associate with Wi-Fi Hotspot 104 (i.e. with the same service definition identifier (SSID) or the same HESSID) using the new credentials obtained (that is, the credentials provided in the 422 operation).

[00071] A Fig. 5 ilustra mensagens trocadas para correção de assinaturas usando técnicas SOAP-XML de acordo com algumas modalidades. De tempo em tempo, a assinatura ou conta do usuário pode precisar de correção. O provedor de serviços pode determinar quando isso é necessário, mas os exemplos incluem expiração de senha e pagamento da conta em atraso. A necessidade de correção da assinatura pode ser armazenada em uma entrada de banco de dados de assinatura do assinante no Servidor AAA do provedor de serviços, como o servidor AAA 126. Após uma solicitação de autenticação do assinante em uma rede Wi-Fi, a necessidade de remediação pode ser sinalizada no dispositivo móvel 102. O dispositivo móvel 102 poderá então empenhar uma troca de mensagem de correção de assinatura com o servidor de correção de assinatura conforme informações abaixo.[00071] Fig. 5 illustrates messages exchanged for signature correction using SOAP-XML techniques according to some modalities. From time to time, the user's subscription or account may need correction. The service provider can determine when this is necessary, but examples include password expiration and late bill payment. The signature correction requirement can be stored in a subscriber signature database entry on the service provider's AAA Server, such as AAA server 126. After a subscriber authentication request on a Wi-Fi network, the need of remediation may be signaled on the mobile device 102. The mobile device 102 may then engage in a signature correction message exchange with the signature correction server as per the information below.

[00072] Na operação 502, o dispositivo móvel 102 associa-se ao Wi-fi Hotspot 104 e executa o processo de autenticação que inclui um método EAP, similar ao da operação 202 (Fig. 2). Quando o provedor de serviços determinado que a correção de assinatura é necessária, na operação 503 o servidor AAA 126 é configurado para enviar uma mensagem de ACEITAÇÃO DE ACESSO DE RAIO com redirecionamento de URL para o autenticador ao final da sequência de autenticação EAP. A mensagem de ACEITAÇÃO DE ACESSO DE RAIO poderá incluir restrições de acesso para limitar acesso ao dispositivo móvel 102 por motivos de mediação de assinatura. O redirecionamento de URL poderá indicar o URL do servidor de correção da assinatura 506.[00072] In the operation 502, the mobile device 102 associates with the Wi-Fi Hotspot 104 and executes the authentication process that includes an EAP method, similar to the operation 202 (Fig. 2). When the service provider determines that signature correction is required, in operation 503 the AAA server 126 is configured to send a RADIUS ACCEPT message with URL redirection to the authenticator at the end of the EAP authentication sequence. The RADIUS ACCESS ACCEPT message may include access restrictions to limit access to mobile device 102 for subscription mediation reasons. The URL redirect may point to the 506 signature patch server URL.

[00073] Na operação 513, o autenticador deverá fazer com que o Wi-fi Hotspot 104 (com o qual o dispositivo móvel foi autenticado) transmita ao dispositivo móvel 102 uma estrutura de ação que indica a necessidade de correção da assinatura. A estrutura de ação poderá ser específica de vendedor (VS). Em outras modalidades, o dispositivo móvel, 102 poderá usar técnicas (isto é, outras além das recebidas da estrutura de ação) para determinar se a conectividade limitada existe (por exemplo, devido a restrições de acesso) e para determinar se a correção de assinatura é necessária.[00073] In operation 513, the authenticator shall cause the Wi-Fi Hotspot 104 (with which the mobile device was authenticated) to transmit to the mobile device 102 an action structure that indicates the need for signature correction. The action structure may be vendor specific (VS). In other embodiments, the mobile device 102 may use techniques (i.e., other than those received from the action frame) to determine whether limited connectivity exists (e.g., due to access restrictions) and to determine whether signature correction is needed.

[00074] Na operação 518, o dispositivo móvel 102 pode estabelecer uma conexão TLS com o servidor de correção de assinatura 506 similar à operação 304 (Fig. 4). O dispositivo móvel 102 poderá ser configurado para verificar se o certificado do servidor de correção de assinatura 506 não foi revogado. Em algumas modalidades, o dispositivo móvel 102 poderá usar uma técnica de protocolo de status de certificados on-line (OCSP) dentro da conexão TLS para determinar o status do certificado. Se o certificado tiver sido revogado, o dispositivo móvel 102 poderá abortar o processo de correção de assinatura. Se o dispositivo móvel 102 não for capaz de iniciar uma conexão TLS para o servidor de correção de assinatura 506, este também será configurado para abortar o processo de correção de assinatura. O dispositivo móvel 102 poderá ser configurado para evitar tentativas de realizar correção de assinatura usando HTTP (isto é, sem a segurança do HTTPS).[00074] In operation 518, mobile device 102 can establish a TLS connection with signature correction server 506 similar to operation 304 (Fig. 4). The mobile device 102 can be configured to verify that the signature correction server certificate 506 has not been revoked. In some embodiments, mobile device 102 may use an online certificate status protocol (OCSP) technique within the TLS connection to determine the status of the certificate. If the certificate has been revoked, the mobile device 102 may abort the signature correction process. If the mobile device 102 is unable to initiate a TLS connection to the signature correction server 506, the latter will also be configured to abort the signature correction process. Mobile device 102 may be configured to prevent attempts to perform signature correction using HTTP (ie without the security of HTTPS).

[00075] Na operação 520, o dispositivo 102 poderá ser configurado para transmitir uma mensagem ospPostDevData de acordo com uma técnica SOAP para o servidor de correção de assinatura 506, similar a da operação 306. A mensagem pode ser configurada para incluir DevInfo do protocolo Alliance Device-Management (OMA-DM), DevDetail a MOs de assinatura, e o valor para motivo de solicitação deverá ser definido para "Correção de assinatura". O servidor de correção de assinatura 506 poderá solicitar autenticação HTTP usando o método de sintetização e o dispositivo móvel 102 poderá fornecer uma síntese de nome de usuário e senha para o servidor. Se houver falha na autenticação HTTP, a correção de assinatura poderá ser impossível e o dispositivo móvel 102 poderá ser configurado para abortar o processo e poderá informar o usuário adequadamente.[00075] In operation 520, the device 102 can be configured to transmit an ospPostDevData message according to a SOAP technique to the signature correction server 506, similar to the operation 306. The message can be configured to include DevInfo from the Alliance protocol Device-Management (OMA-DM), DevDetail to Subscription MOs, and the value for Request Reason must be set to "Subscription Fix". The signature correction server 506 may request HTTP authentication using the digest method and the mobile device 102 may provide a username and password digest to the server. If HTTP authentication fails, signature correction may be impossible and mobile device 102 may be configured to abort the process and may inform the user accordingly.

[00076] Na operação 522, o servidor de correção de assinatura 506 poderá transmitir uma mensagem ospPostDevDataResponse de acordo com uma técnica SOAP para o dispositivo móvel 102. A mensagem pode incluir dados XML para um ou mais nós internos da assinatura MO (descrito mais detalhadamente abaixo). O dispositivo móvel 102 poderá ser configurado para substituir um ou mais nós internos da assinatura MO com credenciais atualizadas recebidas na mensagem. O ospStatus na mensagem ospPostDevDataResponse poderá ser definida para "Correção concluída" para indicar que o processo de correção de assinatura foi concluído.[00076] In operation 522, the signature correction server 506 may transmit an ospPostDevDataResponse message according to a SOAP technique to the mobile device 102. The message may include XML data for one or more internal nodes of the MO signature (described in more detail below). Mobile device 102 may be configured to replace one or more internal nodes of the MO signature with updated credentials received in the message. The ospStatus in the ospPostDevDataResponse message can be set to "Repair Complete" to indicate that the signature remediation process is complete.

[00077] Na operação 524, o dispositivo móvel 102 poderá liberar a TLS que foi estabelecida na operação 508, e poderá dissociar-se da rede Wi-Fi na operação 526. Na operação 528, o dispositivo móvel 102 poderá então desassociar as credenciais que foram atualizadas durante o processo de correção de assinatura.[00077] In operation 524, mobile device 102 may release the TLS that was established in operation 508, and may dissociate itself from the Wi-Fi network in operation 526. In operation 528, mobile device 102 may then disassociate credentials that were updated during the signature correction process.

[00078] As modalidades aqui reveladas são aplicáveis para correção de máquina, assim como correção de usuário. A correção de máquina refere-se ao problema(s) com a assinatura que podem ser corrigidos sem nenhuma intervenção de usuário. A correção de usuário refere-se ao problema(s) com a assinatura que podem exigir intervenção de usuário para ser realizada.[00078] The modalities disclosed here are applicable for machine correction as well as user correction. Machine fix refers to issue(s) with the signature that can be fixed without any user intervention. User fix refers to issue(s) with the subscription that may require user intervention to perform.

[00079] A Fig. 6 ilustra uma árvore de objeto de gerenciamento, de acordo com algumas modalidades. A árvore de objeto de gerenciamento 600 pode ser armazenada no dispositivo móvel 102 e pode conter uma raiz de árvore 601, um MO de assinatura 602 para cada provedor de serviços (SP) assim como o FQDN 608 para cada provedor de serviços. A árvore de objeto de gerenciamento 600 também pode conter um MO de informação de dispositivo 606 (DevInfo) e um MO de detalhe de dispositivo 604 (DevDetails). A árvore de objeto de gerenciamento 600 também contém o MO de Wi- Fi 610 para objetos Wi-Fi específicos de dispositivos.[00079] Fig. 6 illustrates a management object tree, according to some modalities. Management object tree 600 may be stored on mobile device 102 and may contain a tree root 601, a subscription MO 602 for each service provider (SP) as well as the FQDN 608 for each service provider. The management object tree 600 can also contain a 606 Device Information MO (DevInfo) and a 604 Device Detail MO (DevDetails). The Management Object Tree 600 also contains the Wi-Fi MO 610 for device-specific Wi-Fi objects.

[00080] Em algumas modalidades, o MO de detalhe de dispositivo 604 pode conter informações de dispositivo, tais como modelo, informações do fornecedor, tipo de adaptador, configuração do adaptador, etc., e informações do usuário. O MO 604 de detalhes do dispositivo pode conter informações adicionais, tais como o URI de em que as informações adicionais específicas dos dispositivos podem ser obtidas, o tipo de dispositivo (por exemplo, placa de PC, USB, modem, cartão expresso, console de jogo, reprodutor de música, dispositivo de navegação), nome OEM, versão do firmware, versão do software, versão do hardware e se o dispositivo host é compatível com manipulação de objetos grandes. O MO de informações do dispositivo 606 pode conter um identificador exclusivo (por exemplo, o GUID) para dispositivo host, um identificador de fabricante, o modelo do dispositivo, o identificador de versão do cliente SOAP e a configuração de idioma do dispositivo host.[00080] In some embodiments, the Device Detail MO 604 may contain device information such as model, vendor information, adapter type, adapter configuration, etc., and user information. The Device Details MO 604 may contain additional information such as the URI from which additional device-specific information can be obtained, the type of device (e.g. PC card, USB, modem, express card, console game, music player, navigation device), OEM name, firmware version, software version, hardware version, and whether the host device supports large object handling. Device Information MO 606 can contain a unique identifier (eg GUID) for Hosting Device, a Manufacturer Identifier, Device Model, SOAP Client Version Identifier, and Hosting Device language setting.

[00081] A Fig. 7 ilustra um dispositivo móvel de acordo com algumas modalidades. O dispositivo móvel 700 pode ser adequado para uso como um dispositivo móvel 102 e pode ser configurado para realizar as diversas operações discutidas acima, para assinatura e provisionamento on-line seguros de credenciais, assim como correção de assinatura.[00081] Fig. 7 illustrates a mobile device according to some embodiments. Mobile device 700 may be suitable for use as a mobile device 102 and may be configured to perform the various operations discussed above for secure online signing and provisioning of credentials, as well as signature correction.

[00082] O dispositivo móvel 700 pode conter circuitos de camada física 702 configurados para comunicação sem fio com hotspots Wi-Fi, como o Wi-fi Hotspot 104 (Fig. 1), usando uma ou mais antenas 701. O dispositivo móvel 700 também pode conter circuito de processamento 704, que pode ser configurado para realizar as operações aqui descritas, junto com memória 706 para armazenar, entre outras coisas, as credenciais provisionadas e um MO de assinatura 602 (Fig. 6), além de outros elementos da árvore de objetos de gerenciamento 600 (Fig. 6). O circuito de processamento 704 poderá incluir um elemento de processamento de SOAP 125 para a realização de diversas técnicas de SOAP aqui descritas. O dispositivo móvel 700 pode também conter outros elementos funcionais, tais como um circuito de camada de controle de acesso de mídia (media access control, MAC), para controle de acesso à mídia e realização de outras operações.[00082] Mobile device 700 may contain physical layer circuits 702 configured for wireless communication with Wi-Fi hotspots, such as Wi-Fi Hotspot 104 (Fig. 1), using one or more antennas 701. Mobile device 700 also may contain processing circuit 704, which may be configured to perform the operations described herein, along with memory 706 to store, among other things, provisioned credentials and a signature MO 602 (Fig. 6), in addition to other tree elements of management objects 600 (Fig. 6). Processing circuit 704 may include a SOAP processing element 125 for performing various SOAP techniques described herein. Mobile device 700 may also contain other functional elements, such as a media access control (MAC) layer circuit, for controlling access to the media and performing other operations.

[00083] No caso de um dispositivo móvel single-mode, o circuito de camada física 702 pode ser configurado para comunicar-se com redes Wi-Fi. Em modalidades dual-mode, o circuito em camada física 702, pode ser configurado para comunicar-se tanto com redes de celular quanto com redes Wi-Fi. Nas modalidades dual-mode, o dispositivo móvel 700 pode conter um transceptor Wi-Fi e um ou mais transceptores de redes de celular. Nas modalidades dual-mode, o dispositivo móvel 700 pode também ser configurado para descarregar tráfego da rede de celular para as redes Wi-Fi disponíveis.[00083] In the case of a single-mode mobile device, the physical layer circuit 702 can be configured to communicate with Wi-Fi networks. In dual-mode modes, the physical layer circuit 702 can be configured to communicate It works with both cellular networks and Wi-Fi networks. In dual-mode modes, the mobile device 700 can contain a Wi-Fi transceiver and one or more cellular network transceivers. In dual-mode modes, the mobile device 700 can also be configured to offload traffic from the cellular network to available Wi-Fi networks.

[00084] Em algumas modalidades, o dispositivo móvel 700 pode ser um dispositivo de comunicação móvel, assim como um assistente digital pessoal (personal digital assistant, PDA), um laptop ou um computador portátil com capacidade de comunicação sem fio, um smartphone, um tablet com acesso à web, um telefone sem fio, fones de ouvido sem fio, um pager, um dispositivo de mensagem instantânea, uma câmera digital, um ponto de acesso, uma televisão, um dispositivo médico, um dispositivo de entretenimento ou outros dispositivos capazes de receber e/ou transmitir informações sem fio.[00084] In some embodiments, the mobile device 700 can be a mobile communication device, such as a personal digital assistant (PDA), a laptop or portable computer with wireless communication capability, a smartphone, a tablet with web access, a cordless phone, cordless headsets, a pager, an instant messaging device, a digital camera, an access point, a television, a medical device, an entertainment device, or other capable devices to receive and/or transmit information wirelessly.

[00085] As antenas 701 podem incluir uma ou mais antenas direcionais ou omnidirecionais, incluindo, por exemplo, antenas dipolo, antenas monopolo, antenas patch, antenas loop, antenas impressas (microstrip) ou outros tipos de antenas adequadas para a transmissão de sinais de RF. Em algumas modalidades, em vez de duas ou mais antenas, uma antena com múltiplas aberturas pode ser usada. Nestas modalidades, cada abertura pode ser considerada como uma antena separada. Em algumas modalidades de entrada múltipla/saída múltipla (multiple-input, multiple-output, MIMO), as antenas 701 podem ser separadas de forma eficaz para tirar proveito da diversidade espacial e das características de canais diferentes que podem resultar entre cada uma das antenas 701 e as antenas de uma estação transmissora.[00085] The 701 antennas may include one or more directional or omnidirectional antennas, including, for example, dipole antennas, monopole antennas, patch antennas, loop antennas, microstrip antennas, or other types of antennas suitable for transmitting radio signals. RF. In some embodiments, instead of two or more antennas, an antenna with multiple apertures may be used. In these embodiments, each aperture can be regarded as a separate antenna. In some multiple-input/multiple-output modes (multiple-input, multiple-output, MIMO), the 701 antennas can be effectively separated to take advantage of the spatial diversity and different channel characteristics that can result between each of the antennas. 701 and the antennas of a transmitting station.

[00086] Embora o dispositivo móvel 700 seja ilustrado como tendo vários elementos funcionais separados, um ou mais dos elementos funcionais podem ser combinados e podem ser implementados por combinações de elementos configurados por software, tais como elementos de processamento, incluindo processadores de sinais digitais (digital signal processors, DSPs) e/ou outros elementos de hardware. Por exemplo, alguns elementos podem compreender um ou mais microprocessadores, DSPs, circuitos integrados para aplicações específicas (ASIC, application specific integrated circuits), circuitos integrados de radiofrequência (RFIC, radio-frequency integrated circuit) e combinações de vários tipos de hardware e circuitos lógicos para realizar, no mínimo, as funções aqui descritas. Em algumas modalidades, os elementos funcionais do dispositivo móvel 700 podem fazer referência a um ou mais processos operando em um ou mais elementos de processamento.[00086] Although the mobile device 700 is illustrated as having several separate functional elements, one or more of the functional elements may be combined and may be implemented by software-configured combinations of elements, such as processing elements, including digital signal processors ( digital signal processors, DSPs) and/or other hardware elements. For example, some elements may comprise one or more microprocessors, DSPs, application specific integrated circuits (ASICs), radio-frequency integrated circuits (RFICs), and combinations of various types of hardware and circuits. to perform, at least, the functions described here. In some embodiments, the functional elements of mobile device 700 may refer to one or more processes operating on one or more processing elements.

[00087] As modalidades podem ser implementadas em um ou uma combinação de hardware, firmware e software. As modalidades podem também ser implementadas como instruções armazenadas em dispositivo de armazenamento legível por computador, que possa ser lida e executada por, pelo menos, um processador, para realizar as operações aqui descritas. Um dispositivo de armazenamento legível por computador pode conter algum mecanismo não transitório para armazenar informações em um formato legível por máquina (como um computador). Por exemplo, um dispositivo de armazenamento legível por computador pode ser uma memória apenas de leitura (read-only memory, ROM), uma memória de acesso aleatório (random-access memory, RAM), meios de armazenamento em disco magnético, meios de armazenamento óptico, dispositivos de memória flash e outros. Em algumas modalidades, podem-se configurar um ou mais processadores com instruções armazenadas em um dispositivo de armazenamento legível por computador, para implementar as diversas operações aqui descritas.[00087] The modalities can be implemented in one or a combination of hardware, firmware and software. The embodiments may also be implemented as instructions stored on a computer-readable storage device that can be read and executed by at least one processor to perform the operations described herein. A computer-readable storage device may contain some non-transient mechanism for storing information in a machine-readable format (such as a computer). For example, a computer-readable storage device may be read-only memory (ROM), random-access memory (RAM), magnetic disk storage media, storage media optical, flash memory devices and others. In some embodiments, one or more processors with instructions stored on a computer-readable storage device can be configured to implement the various operations described herein.

[00088] O Resumo é fornecido a seguir em cumprimento a 37 C.F.R. Seção 1.72(b), que requer um resumo que permita ao leitor verificar a natureza e o sentido da revelação técnica. Fica entendido que tal resumo não poderá ser utilizado para limitar ou interpretar o escopo ou o sentido das reivindicações. As reivindicações a seguir são aqui incorporadas à descrição detalhada, sendo que cada reivindicação corresponde a uma modalidade separada.[00088] The Summary is provided below in compliance with 37 C.F.R. Section 1.72(b), which requires a summary that allows the reader to verify the nature and meaning of the technical disclosure. It is understood that such summary may not be used to limit or interpret the scope or meaning of the claims. The following claims are hereby incorporated into the detailed description, with each claim corresponding to a separate embodiment.

Claims (17)

1. Método realizado por um dispositivo móvel (102) para assinatura e provisionamento on-line seguros para redes Wi-fi Hotspot (104) 2.0, caracterizado pelo fato de que compreende: associar com uma rede Wi-Fi por meio de um Wi-fi Hotspot (104) usando uma técnica de Protocolo Extensível de Autenticação (EAP), em que, como parte da associação, uma mensagem de ACEITAÇÃO DE ACESSO DE RAIO é recebida pelo Wi-fi Hotspot (104) a partir de um servidor AAA para permitir que o dispositivo móvel (102) tenha acesso à rede Wi-Fi e estabeleça uma conexão Wi-Fi com o dispositivo móvel (102); autenticar com uma rede de acesso (AN) por Wi-Fi através do Wi-fi Hotspot (104) usando o Protocolo Extensível de Autenticação (EAP); realizar uma troca inicial de Protocolo Simples de Acesso a Objetos (SOAP) com um servidor de assinatura por meio da conexão Wi-Fi estabelecida para solicitar o provisionamento de credenciais ou solicitar correção de assinatura, a troca de SOAP inicial incluindo o dispositivo móvel (102) autenticando o servidor de assinatura e para autenticar o servidor de assinatura e para proporcionar uma indicação de uma razão de solicitação; e realizar uma troca final de SOAP com o servidor de assinatura por meio da rede Wi-Fi, em que, quando o servidor de assinatura age como um servidor de assinatura on-line (OSU), o método inclui: trocar informações com o OSU para estabelecer uma assinatura com um provedor de serviços para acesso à rede Wi-Fi e para receber um objeto de gerenciamento de assinatura (MO) incluindo credenciais proporcionadas para a assinatura; desassociar do Wi-fi Hotspot (104) após a troca final de SOAP; e reassociar com o Wi-fi Hotspot (104) para restabelecer uma conexão Wi-Fi, a reassociação usando uma técnica EAP e incluindo: proporcionar as credenciais fornecidas para um servidor AAA através da conexão Wi-Fi reestabelecida.1. Method performed by a mobile device (102) for secure online subscription and provisioning for Wi-Fi Hotspot (104) 2.0 networks, characterized in that it comprises: associating with a Wi-Fi network through a Wi-Fi fi Hotspot (104) using an Extensible Authentication Protocol (EAP) technique, wherein, as part of the association, a RADIUS ACCESS ACCEPT message is received by the Wi-Fi Hotspot (104) from an AAA server to allowing the mobile device (102) to access the Wi-Fi network and establish a Wi-Fi connection with the mobile device (102); authenticate with an access network (AN) over Wi-Fi via the Wi-Fi Hotspot (104) using Extensible Authentication Protocol (EAP); perform an initial Simple Object Access Protocol (SOAP) exchange with a signature server over the established Wi-Fi connection to request credential provisioning or request signature correction, initial SOAP exchange including mobile device (102 ) authenticating the signature server and for authenticating the signature server and for providing an indication of a reason for the request; and perform a final SOAP exchange with the signature server over the Wi-Fi network, where when the signature server acts as an online signature server (OSU), the method includes: exchanging information with the OSU to establish a subscription with a service provider for accessing the Wi-Fi network and to receive a subscription management object (MO) including credentials provided for the subscription; disassociate from Wi-Fi Hotspot (104) after final SOAP switch; and re-associating with the Wi-Fi Hotspot (104) to re-establish a Wi-Fi connection, re-associating using an EAP technique and including: providing the provided credentials to an AAA server over the re-established Wi-Fi connection. 2. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que a troca de SOAP inicial ainda inclui: proporcionar informação de capacidade do dispositivo móvel (102), e em que a razão de solicitação compreende provisionamento de credenciais e correção de assinatura.2. Method according to claim 1, characterized in that the initial SOAP exchange also includes: providing mobile device capability information (102), and wherein the request reason comprises credential provisioning and signature correction . 3. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que as trocas de SOAP inicial e final compreendem mensagens configuradas de acordo com uma técnica SOAP, usando um HTTPS (protocolo de transferência de hipertexto seguro) como um protocolo de camada de aplicação para transporte, e em que as mensagens são configuradas de acordo com uma mensagem no formato XML (linguagem de marcação extensível).3. Method according to claim 1, characterized in that the initial and final SOAP exchanges comprise messages configured according to a SOAP technique, using HTTPS (Secure Hypertext Transfer Protocol) as a layer protocol. application for transport, and where messages are configured according to a message in XML format (extensible markup language). 4. Método, de acordo com a reivindicação 3, caracterizado pelo fato de que a troca inicial de SOAP compreende: transmitir, pelo dispositivo móvel (102), uma mensagem de dados post-office (osp) de protocolo de assinatura on-line (ospPostDevData) de acordo com a técnica SOAP para o servidor de assinatura, a mensagem incluindo informações do dispositivo (DevInfo) e detalhes do dispositivo (DevDetail); e receber uma mensagem ospPostDevDataResponse de acordo com a técnica SOAP do servidor de assinatura, a mensagem de resposta incluindo um comando Execute:LaunchBrowsertoURI, em que o dispositivo móvel (102) é configurado para iniciar um navegador, estabelecer uma conexão HTTPS segura com um servidor on-line URI recebido na mensagem de resposta e enviar uma solicitação HTTPS GET para o servidor on-line URI.4. Method according to claim 3, characterized in that the initial SOAP exchange comprises: transmitting, by the mobile device (102), a post-office data message (osp) of online signature protocol ( ospPostDevData) according to SOAP technique to the subscription server, the message including device information (DevInfo) and device details (DevDetail); and receive an ospPostDevDataResponse message according to the SOAP technique from the signature server, the response message including an Execute:LaunchBrowsertoURI command, where the mobile device (102) is configured to launch a browser, establish a secure HTTPS connection to a server online URI received in the response message and send an HTTPS GET request to the server online URI. 5. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que ainda compreende: receber, como parte da troca inicial de SOAP com o servidor de assinatura, uma indicação de um tipo de credencial a ser fornecido, em que o tipo de credencial a ser fornecido inclui um dentre credenciais baseadas em certificado, credenciais de nome de usuário/senha, ou credenciais de tipo de módulo de informação de assinante (SIM).5. Method according to claim 1, characterized in that it further comprises: receiving, as part of the initial SOAP exchange with the signature server, an indication of a type of credential to be provided, wherein the type of credential to be provided includes one of a certificate-based credentials, username/password credentials, or subscriber information module (SIM) type credentials. 6. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que, quando a mediação de assinatura é necessária, o método inclui receber uma mensagem de ação indicando uma necessidade de correção de assinatura após a associação com o WiFi Hotspot (104), e em que durante a troca inicial de SOAP, o método ainda inclui solicitar correção de assinatura com um servidor de mediação de assinatura e trocar informações de acordo com uma técnica SOAP.6. Method according to claim 1, characterized in that when subscription mediation is required, the method includes receiving an action message indicating a need for subscription correction after association with WiFi Hotspot (104) , and where during the initial SOAP exchange, the method still includes requesting signature correction with a signature mediation server and exchanging information according to a SOAP technique. 7. Dispositivo móvel (102) configurado para a assinatura e provisionamento on-line seguros de credenciais para redes Wi-fi Hotspot 2.0 (104), o dispositivo móvel (102) caracterizado pelo fato de que inclui: um ou mais processadores, o um ou mais processadores incluindo circuitos, os circuitos possuindo lógica configurada para: associar com uma rede Wi-Fi por meio de um Wi-fi Hotspot (104) usando uma técnica de Protocolo Extensível de Autenticação (EAP), em que, como parte da associação, uma mensagem de aceitação é recebida pelo Wi-fi Hotspot (104) a partir de um servidor AAA para permitir que o dispositivo móvel (102) acesse à rede Wi-Fi e estabeleça uma conexão Wi-Fi com o dispositivo móvel (102); autenticar com uma rede de acesso (AN) por Wi-Fi através do Wi-fi Hotspot (104) usando o Protocolo Extensível de Autenticação (EAP); realizar um troca inicial de Protocolo Simples de Acesso a Objetos (SOAP) com o servidor de assinatura por meio da conexão Wi-Fi estabelecida para solicitar o provisionamento de credenciais ou solicitar correção de assinatura, a troca de SOAP inicial incluindo o dispositivo móvel (102) autenticando o servidor de assinatura e para autenticar o servidor de assinatura e para proporcionar uma indicação de uma razão de solicitação; e realizar uma troca final de SOAP com o servidor de assinatura por meio da rede Wi-Fi, em que, quando o servidor de assinatura age como um servidor de assinatura on-line (OSU), a lógica é ainda para: trocar informações com o OSU para estabelecer uma assinatura com um provedor de serviços para acesso à rede Wi-Fi, para receber um objeto de gerenciamento de assinatura (MO) incluindo credenciais proporcionadas para a assinatura.7. Mobile device (102) configured for secure online signing and provisioning of credentials for Wi-Fi Hotspot 2.0 networks (104), the mobile device (102) characterized in that it includes: one or more processors, the one or more processors including circuits, circuits having logic configured to: associate with a Wi-Fi network via a Wi-Fi Hotspot (104) using an Extensible Authentication Protocol (EAP) technique, wherein, as part of the association , an acceptance message is received by the Wi-Fi Hotspot (104) from an AAA server to allow the mobile device (102) to access the Wi-Fi network and establish a Wi-Fi connection with the mobile device (102) ; authenticate with an access network (AN) over Wi-Fi via the Wi-Fi Hotspot (104) using Extensible Authentication Protocol (EAP); perform an initial Simple Object Access Protocol (SOAP) exchange with the signature server over the established Wi-Fi connection to request credential provisioning or request signature correction, the initial SOAP exchange including the mobile device (102 ) authenticating the signature server and for authenticating the signature server and for providing an indication of a reason for the request; and perform a final SOAP exchange with the signature server over the Wi-Fi network, where when the signature server acts as an online signature server (OSU), the logic is still to: exchange information with the OSU to establish a subscription with a service provider for accessing the Wi-Fi network, to receive a subscription management object (MO) including credentials provided for the subscription. 8. Dispositivo (102), de acordo com a reivindicação 7, caracterizado pelo fato de que como parte da troca inicial de SOAP, a lógica é ainda para: proporcionar informação de capacidade do dispositivo (102), em que a razão de solicitação compreende um dentre provisionamento de credenciais e correção de assinatura.8. Device (102), according to claim 7, characterized in that as part of the initial SOAP exchange, the logic is further to: provide device (102) capability information, wherein the request reason comprises one of credential provisioning and signature correction. 9. Dispositivo (102), de acordo com a reivindicação 7, caracterizado pelo fato de que as trocas de SOAP inicial e final compreendem mensagens configuradas de acordo com uma técnica SOAP, usando um HTTPS (protocolo de transferência de hipertexto seguro) como um protocolo de camada de aplicação para transporte, e em que as mensagens são configuradas de acordo com uma mensagem no formato XML (linguagem de marcação extensível).9. Device (102), according to claim 7, characterized in that the initial and final SOAP exchanges comprise messages configured according to a SOAP technique, using HTTPS (Secure Hypertext Transfer Protocol) as a protocol from application layer to transport, and where messages are configured according to a message in XML (extensible markup language) format. 10. Dispositivo (102), de acordo com a reivindicação 7, caracterizado pelo fato de que a lógica é ainda para: proporcionar uma informação de usuário de página web para receber entrada de usuário; trocar a entrada de usuário em uma troca de usuário com o servidor de assinatura; e receber uma notificação do servidor de assinatura sobre se a troca de usuário está completa.10. Device (102), according to claim 7, characterized in that the logic is further to: provide web page user information to receive user input; exchanging user input in a user exchange with the subscription server; and receive notification from the subscription server that the user switch is complete. 11. Dispositivo (102), de acordo com a reivindicação 8, caracterizado pelo fato de que quando a razão para a solicitação é de provisionamento de credenciais, a lógica é para receber, do servidor de assinatura, uma indicação de um tipo de credencial a ser fornecido pelo servidor.11. Device (102), according to claim 8, characterized in that when the reason for the request is provision of credentials, the logic is to receive, from the subscription server, an indication of a type of credential to be be provided by the server. 12. Dispositivo (102), de acordo com a reivindicação 8, caracterizado pelo fato de que quando a razão para a solicitação é de solicitar mediação de assinatura, a troca inicial de SOAP é para incluir o dispositivo que recebe uma indicação de uma autenticação do servidor de assinatura.12. Device (102) according to claim 8, characterized in that when the reason for the request is to request signature mediation, the initial SOAP exchange is to include the device receiving an indication of an authentication from the subscription server. 13. Dispositivo (102), de acordo com a reivindicação 7, caracterizado pelo fato de que o dispositivo ainda inclui: memória (706); e um ou mais transceptores.13. Device (102), according to claim 7, characterized in that the device also includes: memory (706); and one or more transceivers. 14. Dispositivo (102), de acordo com a reivindicação 13, caracterizado pelo fato de que o dispositivo (102) ainda inclui: uma ou mais antenas (701).14. Device (102), according to claim 13, characterized in that the device (102) also includes: one or more antennas (701). 15. Método realizado por um servidor de assinatura para proporcionar assinatura e provisionamento on-line seguros para redes Wi-fi Hotspot 2.0 (104) para um dispositivo móvel (102), o método caracterizado pelo fato de que compreende: enviar uma mensagem de aceitação para um Wi-fi Hotspot (104) a partir de um servidor AAA para permitir que um dispositivo móve (102)l acesse a rede Wi-Fi e estabeleça uma conexão Wi-Fi com o dispositivo móvel (102); realizar um troca inicial de Protocolo Simples de Acesso a Objetos (SOAP) com o dispositivo móvel (102) para fornecer credenciais ou realizar a correção de assinatura, a troca de SOAP inicial incluindo o dispositivo móvel (102) autenticando o servidor de assinatura; e realizar uma troca de SOAP final com o dispositivo móvel (102) por meio da rede Wi-Fi para permitir que o dispositivo móvel (102) receba um objeto de gerenciamento de assinatura (MO); e trocar informações com o dispositivo móvel (102) para estabelecer uma assinatura com um provedor de serviços para acesso à rede Wi-Fi, para fornecer credenciais para a assinatura e para criar o MO para as credenciais provisionadas.15. Method performed by a subscription server to provide secure online subscription and provisioning for Wi-Fi Hotspot 2.0 networks (104) to a mobile device (102), the method characterized in that it comprises: sending an acceptance message to a Wi-Fi Hotspot (104) from an AAA server to allow a mobile device (102)l to access the Wi-Fi network and establish a Wi-Fi connection with the mobile device (102); performing an initial Simple Object Access Protocol (SOAP) exchange with the mobile device (102) to provide credentials or perform signature correction, the initial SOAP exchange including the mobile device (102) authenticating the signature server; and performing a final SOAP exchange with the mobile device (102) over the Wi-Fi network to allow the mobile device (102) to receive a subscription management object (MO); and exchanging information with the mobile device (102) to establish a subscription with a service provider to access the Wi-Fi network, to provide credentials for the subscription, and to create the MO for the provisioned credentials. 16. Método, de acordo com a reivindicação 15, caracterizado pelo fato de que a mensagem de aceitação é uma mensagem de ACEITAÇÃO DE ACESSO DE RAIO, que inclui restrições de acesso a serem impostas pelo Wi-fi Hotspot (104), as restrições de acesso para limitar o acesso do dispositivo móvel (102) à rede Wi-Fi para o provisionamento de credenciais ou correção de assinatura, e em que a mensagem de aceitação é enviada em resposta ao dispositivo móvel (102) associado ao Wi-fi Hotspot usando uma técnica de Protocolo Extensível de Autenticação (EAP).16. Method according to claim 15, characterized in that the acceptance message is a RADIUS ACCESS ACCEPTANCE message, which includes access restrictions to be imposed by the Wi-fi Hotspot (104), the restrictions of access to limit mobile device (102) access to the Wi-Fi network for credential provisioning or signature correction, and wherein the acceptance message is sent in response to the mobile device (102) associated with the Wi-Fi Hotspot using an Extensible Authentication Protocol (EAP) technique. 17. Método, de acordo com a reivindicação 16, caracterizado pelo fato de que, como parte da troca inicial de SOAP com o servidor de assinatura, o método inclui: determinar um tipo de credencial a ser fornecido e indicar o tipo de credencial a ser fornecido para o dispositivo móvel (102), em que o tipo de credencial a ser provisionado inclui uma dentre credenciais baseadas em certificados, credenciais de nome de usuário/senha ou credenciais do tipo SIM.17. Method according to claim 16, characterized in that, as part of the initial SOAP exchange with the signature server, the method includes: determining a type of credential to be provided and indicating the type of credential to be provided to the mobile device (102), wherein the type of credential to be provisioned includes one of certificate-based credentials, username/password credentials, or SIM-type credentials.
BR112014005388-0A 2010-09-15 2011-09-09 METHOD CARRIED OUT BY A MOBILE DEVICE AND MOBILE DEVICE FOR SECURE ONLINE SUBSCRIPTION AND PROVISIONING FOR WI-FI HOTSPOTS BR112014005388B1 (en)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/882,266 US9319880B2 (en) 2010-09-15 2010-09-15 Reformatting data to decrease bandwidth between a video encoder and a buffer
US12/882,266 2010-09-15
PCT/US2011/051056 WO2012036992A2 (en) 2010-09-15 2011-09-09 Mobile device and method for secure on-line sign-up and provisioning for wi-fi hotspots using soap-xml techniques

Publications (2)

Publication Number Publication Date
BR112014005388A2 BR112014005388A2 (en) 2017-03-28
BR112014005388B1 true BR112014005388B1 (en) 2021-12-28

Family

ID=

Similar Documents

Publication Publication Date Title
US10341328B2 (en) Secure on-line sign-up and provisioning for Wi-Fi hotspots using a device-management protocol
US9628990B2 (en) Mobile device and method for secure on-line sign-up and provisioning for Wi-Fi hotspots using SOAP-XML techniques
US9258706B2 (en) Mobile device and method for secure on-line sign-up and provisioning for wi-fi hotspots using SOAP-XML techniques
US9992671B2 (en) On-line signup server for provisioning of certificate credentials to wireless devices
US11716621B2 (en) Apparatus and method for providing mobile edge computing services in wireless communication system
US9825937B2 (en) Certificate-based authentication
US11496894B2 (en) Method and apparatus for extensible authentication protocol
US11924192B2 (en) Systems and methods for secure automated network attachment
BR112014005388B1 (en) METHOD CARRIED OUT BY A MOBILE DEVICE AND MOBILE DEVICE FOR SECURE ONLINE SUBSCRIPTION AND PROVISIONING FOR WI-FI HOTSPOTS
KR101230209B1 (en) Common data model and method for secure online signup for hotspot networks