CN101371550A - 自动安全地向移动通信终端的用户供给在线服务的服务访问凭证的方法和系统 - Google Patents
自动安全地向移动通信终端的用户供给在线服务的服务访问凭证的方法和系统 Download PDFInfo
- Publication number
- CN101371550A CN101371550A CN200580052513.6A CN200580052513A CN101371550A CN 101371550 A CN101371550 A CN 101371550A CN 200580052513 A CN200580052513 A CN 200580052513A CN 101371550 A CN101371550 A CN 101371550A
- Authority
- CN
- China
- Prior art keywords
- network
- service
- access request
- network access
- request person
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 70
- 238000010295 mobile communication Methods 0.000 title description 8
- 238000004891 communication Methods 0.000 claims abstract description 73
- 238000010200 validation analysis Methods 0.000 claims description 5
- 230000004044 response Effects 0.000 description 19
- 230000007246 mechanism Effects 0.000 description 18
- 230000005540 biological transmission Effects 0.000 description 9
- 238000004422 calculation algorithm Methods 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 6
- 238000012795 verification Methods 0.000 description 6
- 230000008859 change Effects 0.000 description 4
- 238000011068 loading method Methods 0.000 description 4
- 230000003068 static effect Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 3
- 230000002950 deficient Effects 0.000 description 3
- 238000009826 distribution Methods 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 101150012579 ADSL gene Proteins 0.000 description 1
- 102100020775 Adenylosuccinate lyase Human genes 0.000 description 1
- 108700040193 Adenylosuccinate lyases Proteins 0.000 description 1
- 206010020751 Hypersensitivity Diseases 0.000 description 1
- XQVWYOYUZDUNRW-UHFFFAOYSA-N N-Phenyl-1-naphthylamine Chemical compound C=1C=CC2=CC=CC=C2C=1NC1=CC=CC=C1 XQVWYOYUZDUNRW-UHFFFAOYSA-N 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000003466 anti-cipated effect Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 230000008034 disappearance Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 230000009610 hypersensitivity Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000004899 motility Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000007634 remodeling Methods 0.000 description 1
- 239000000523 sample Substances 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
- 238000003892 spreading Methods 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
在包括至少一个适合于验证网络访问请求者(125),以便有条件地准许网络访问请求者(125)对通信网络的访问的验证实体(140)的通信网络(100)中,一种自动向网络访问请求者提供用于访问可通过通信网络访问的在线服务提供者(135)提供的在线服务的服务访问凭证的方法,其中所述验证基于公钥密码术,所述方法包括:在验证网络访问请求者期间,使验证实体向在线服务提供者请求服务访问凭证的生成;在在线服务提供者处,生成服务访问凭证,采用网络访问请求者的公共加密密钥加密服务访问凭证,并把加密的服务访问凭证提供给验证实体;使验证实体向网络访问请求者提供加密的服务访问凭证。
Description
技术领域
本发明一般涉及电信领域,具体地说涉及移动数据通信网络,更具体地说,涉及无线数据通信网络,比如遵守标准IEEE(电气和电子工程师协会)802.11的那些无线数据通信网络。更具体地说,本发明涉及自动安全地向移动通信终端的用户供给在线服务访问凭证的方法和相关系统。
背景技术
近年来,无线局域网(无线LAN或WLAN)得到广泛的普及;其原因可追溯到无线连接的安装和使用的简易性,硬件设备(在移动用户终端-比如便携式个人计算机、膝上型计算机、PDA和智能电话机等,以及网络接入点两方面)成本的降低,与有线数据通信网络可比的最大位速率方面的良好性能,以及不同于移动电话网络,对未经授权的无线电频带的使用等方面的优点。
许多WLAN部署遵守通常称为“Wi-Fi”(“Wireless Fidelity”的缩写)的IEEE 802.11标准。可在因特网上从URL:http://standards.ieee.org/getieee802/802.11.html(在本专利申请的申请日)下载的IEEE802.11标准规定能够在未经授权的工业、科学和医疗(ISM)无线电频带(2.4GHz和5GHz)工作的设备的媒体访问控制(MAC)层和物理(PHY)层。
无线通信技术主要用于访问公共分组交换数据网络(比如因特网),或者专用分组交换数据网络(比如增值服务-VAS-网络)。这样,允许移动用户访问由服务提供者提供的众多在线服务和应用。例如,比如电子邮件、电子商务、电子银行之类的数据服务和应用已经或者正在变为可通过诸如PDA、膝上型计算机、智能电话机之类的移动装置访问。
但是要面对和解决复杂的安全性问题,而不能使之成为无线技术的进一步普及和成功的障碍。
事实上,由于WLAN使用无线电作为通信媒体,因此WLAN天生不如传统的有线LAN安全。在无线网络中,难以控制网络的准确扩展范围:传送的数据是利用无线电波通过空中广播的。由于无线电波穿过天花板、地板和墙壁,因此传送的数据可能到达非预定接收者。在不建立严格的安全措施的情况下,建立WLAN等同于在各处安置以太网端口。例如,就公司的专用WLAN来说,无线电信号能够容易地越过公司地点的边界,借助适当的天线,攻击者能够被动监视(用行话来说,“嗅探”)网络通信,而不需要物理地或逻辑地访问该网络。
如同其它网络一样,WLAN的安全性集中在访问控制和保密性。WLAN安全性的传统实现包括使用静态有线等效加密(WEP)密钥和可选的媒体访问控制(MAC)验证。这种组合提供一定程度的访问控制和保密性,不过已发现在IEEE 802.11验证和数据保密方案中存在弱点。具体地说,WEP存在严重的缺陷,该缺陷使攻击者仅仅通过监听一定量的Wi-Fi数据通信,就能够发现WEP密钥。此外,WEP密钥供应不是动态的,即,该密钥在打算访问无线网络的每个用户终端上手动配置,并且用一般明码保存,只有在少数情况下才保存在智能卡的固件中。这些WEP弱点,连同管理和控制消息的验证的缺失一起,使Wi-Fi网络非常不安全。
为了提高无线网络安全性,IEEE 802.11标准化组定义了称为IEEE 802.11i,商业上称为Wi-Fi保护访问(WPA)的对原始IEEE802.11标准的修订,该修订建立新的Wi-Fi网络安全标准。本领域已知,就验证和密钥分发来说,IEEE 802.11i标准依赖于在另一个称为IEEE 802.1X的独立标准(关于局域网和城域网-基于端口的网络交换的IEEE标准)中建立的基于端口的网络访问控制机制。应用于WLAN的该标准适合于在客户(所谓的“恳求者”)和验证服务器之间实现强力的相互验证。另外,IEEE 802.1X能够提供动态的每一用户,每一会话的密钥,该密钥可用于保护数据链路层,消除了使用静态WEP密钥时固有的管理负担和安全问题。
在普通的移动终端访问无线网络之前,进行IEEE 802.1X验证程序。网络运营者核实移动终端身份,并根据该检查,准许移动终端对网络的访问。
一旦移动终端接入WLAN,其用户可例如在因特网上冲浪,并到达提供在线服务的在线服务提供者的web站点。为了享受在线服务,无线网络运营者为准许对无线网络的访问而进行的验证通常并不足够:除此之外,移动终端的用户需要向他/她打算享受在线服务的服务提供者进行验证;换句话说,在准许用户访问他们提供的服务之前,服务提供者要求用户进行验证,而不论无线网络运营者是否已验证所述用户。一般来说,向在线服务提供者进行验证所需的验证机制和凭证(下面称为服务访问凭证)不同于、并且独立于用于向网络运营者进行验证的验证机制和凭证。
一方面,验证机制,尤其是用户的移动终端用于网络访问的网络访问凭证与用于向在线应用服务提供者进行验证的服务访问凭证的无关性满足安全要求:如果不是这样,那么如果攻击者危害移动通信终端,得到用于进行网络访问的凭证,那么也能够发起对在线服务提供者的攻击,例如危及用户电子邮件存档文件的安全。另外,使用与访问网络的访问凭证不同的服务访问凭证是灵活的凭证提供机制所必需的。
另一方面,这会对网络运营者和在线服务提供者造成必须以安全且有效的方式向他们的客户提供凭证的问题;另外,这是一种日常体验,用户应管理数目不断增多的不同访问凭证(用户名、口令),以及这所涉及的所有风险(丢失或被盗的口令,冒名等)。
本领域中已知一些提供服务访问凭证的解决方案。
例如,在可从URL WWW.3gpp.org下载(在本专利申请的申请日)的3GPP技术规范(TS)33.220,33.221,33.222中定义的3GPPGBA(一般引导架构)中,定义了基于3G UMTS移动网络验证协议的应用密钥生成的框架。GBA基于带有保存保密密钥K的UICC(SIM)的移动终端,NAF(网络应用功能)应用服务器,即,Web服务器或者一般数据服务服务器(NAF和移动终端不共有向服务器验证终端的任何保密密钥),和位于移动运营者网络的BSF(引导服务器功能)服务器,BSF服务器知道保存在移动终端UICC中的保密密钥K,能够通过以对保密密钥K的认识为基础的验证机制验证移动终端。在移动终端验证之后,BSF服务器把移动终端共有的,该移动终端能够用于访问NAF服务器的保密密钥传给NAF服务器。
IETF(因特网工程任务组)可扩展应用协议(EAP)密钥管理(在本申请的申请日,可从URL http://tools.ietf.org/wg/eap/draft-ietf-eap-keying/draft-ietf-eap-keying-07.txt下载其草案)提供由称为“方法”的EAP验证算法产生的加密材料的生成、传送和使用的框架。如该草案中所述,作为EAP验证处理的一部分,得到扩展主会话密钥(EMSK),EMSK只为验证服务器和IEEE 802.1X框架的恳求者所知。在草案“EAP key management extensions”(在本申请的申请日,可从URLhttp://www.drizzle.com/~aboba/EAP/draft-aboba-eap-keying-extns-00.txt下载)中,定义了对EAP密钥管理框架的扩展,以便能够在新应用中使用EAP。在该草案中,专用主会话密钥(AMSK)被定义成从EMSK得到的密钥,这些密钥由恳求者和验证服务器共有。
US6611194描述一种在终端中插入服务密钥的方法,和实现所述方法的装置。服务密钥被插入终端中,并被用于实现从服务中心接收的加密服务数据的解密。当服务中心从终端收到服务密钥传输请求时,服务中心向托管中心请求并获得编码密钥。服务密钥传输请求包括终端身份号。服务中心把该请求转发给托管中心,托管中心返回与对应于特定终端的解码密钥相关的编码密钥。服务中心用编码密钥对服务密钥加密,并把服务密钥传给终端。在所述终端中,利用终端制造商输入终端的解码密钥对服务密钥解密。服务数据可相应地被解密,供终端用户使用。终端制造商把终端身份号传给委托中心,所述终端身份号使委托中心能够向终端分配解码密钥。终端制造商在终端中设置的解码密钥由委托中心传给终端制造商。可为来自服务中心的每个不同服务提供专用服务密钥。
US2004/0240671公开一种电信网络站中的加密密钥的远程装载方法,该方法使得能够安全地远程在无线终端的SIM中装载一个或多个应用的加密密钥。密钥的装载是通过借助SMS传给无线终端的消息来实现的。为了保证传输的安全性,借助操作人员使SIM卡个性化时产生并记录在SIM卡中的所谓“输送”或“传输密钥”,加密所述消息。密钥装载或改变或者由用户,或者由应用的服务提供者,比如金融交易的银行发起。装载步骤之前是由检测SIM中是否不存在密钥,或者是否需要更新所述密钥构成的步骤。在交易密钥的装载由应用密钥服务器发起的情况下,它检测交易密钥并不存在于来自无线终端的交易消息中,或者不再适合于进行交易的事实。被分析的消息是来自SIM的加密证书或者请求。所述分析由应用密钥服务器,或者由与应用密钥服务器连接的服务器,比如相关应用的服务器,或者相关应用的服务提供者的服务器进行。US2004/0240671提出一种对由相同应用程序可能被不同服务提供者共用,使用该应用程序的每个服务提供者要求不同的交易密钥的事实所引起的附加技术问题的解决方案。该发明使得能够选择与待执行的交易所涉及的服务提供者对应的密钥:从而使得对于同一个应用程序,能够从几个可能的密钥中选择在指定时刻对应于某一服务提供者的那些密钥。短消息包含与交易应用对应的服务提供者的身份,以便选择与交易相关的正确密钥。
发明内容
申请人注意到迄今为止,本领域中关于向在线服务提供者供给用于验证移动终端的用户的应用密钥而提出的解决方案都不十分令人满意。
例如,就3GPP GBA而论,应用保密密钥为无线网络运营者所知,这是非常不安全的(并且通常在线服务提供者是不能接受的),因为网络运营者可对在线服务提供者发起MITM攻击。事实上,向NAF传送保密应用密钥的正是驻留在网络运营商中的引导服务器功能。
就IETF EAP加密框架性提议和EAP密钥管理扩展来说,申请人注意到尽管提出了利用AMSK的几种AAA(“验证、授权和记帐”)应用(例如,密钥请求,它可用于向第三方应用服务器传递验证密钥),不过目前的EAP对等体和服务器实现并不支持AMSK的生成,现有的AAA规范(比如RFC3579或DIAMEAP)也不支持AMSK的传输。从而,AMSK的使用要求对EAP密钥管理框架的扩展,以及新的AAA应用的定义。另外,关于3GPP GBA作出的那些类似考虑同样适用:AMSK是作为验证过程的一部分得到的,为恳求者所知,并为无线网络接入提供者的验证服务器所知。如果该密钥被用于访问第三方在线应用服务器,那么网络运营者能够容易地进行MITM攻击。
就US6611194的方法而论,申请人注意到为了请求应用密钥,每个客户机必须与网络连接;从而,为接入网络而进行的(客户机-运营者)验证并不与为访问应用服务而进行的验证(客户机-服务提供者)相关。相反申请人认为知道客户机与哪个网络相连对在线服务提供者是有益的,例如,对通过已知提供高安全性的网络连接的客户机可启用一些高敏感性的功能,当客户机通过安全性低的网络被连接时禁用这样的功能。另外,服务密钥不是OTM(一次性口令),这意味服务密钥可被能够获得它的攻击者重复使用。另外,该方法严格与制造时(离线)的安全凭证的供给相关。
就US2004/0240671来说,申请人注意到该方法只适用于装有SIM卡的无线终端,并使用SMS作为通信信道。用于对在线服务提供者应用密钥解密的保密密钥或者为无线网络运营者所知,从而无线网络运营者能够进行MITM攻击,或者它必须由每个服务提供者离线供给。
此外,申请人注意到具有向通信终端供给服务访问凭证的安全机制的问题并不局限于其中接入网络是无线通信网络的环境,相反还涉及其中接入网络不一定是无线网络的其它移动性情况。例如,不具有无线能力的通信终端(例如,膝上型计算机或IP电话机)可被移动到不同的接入网络(所述不同的接入网络可能由不同的网络运营者所有,具有无线或有线的不同网络技术),从而实现也称为游动性的某种形式的有限移动性。例如,组织的雇员在工作时可使用与他/她的组织提供的有线网络连接的膝上型计算机,并通过这种连通取回他/她的应用服务(即,电子政务)。在自由时间,该雇员可在家里使用与他/她自己的住宅ADSL网关连接的相同个人计算机来取回相同的应用服务。
鉴于上面概述的背景技术的状态,申请人解决了如何生成在线服务访问凭证,以及如何安全地向通信网络的用户分发在线服务访问凭证,以使用户能够利用所述凭证访问和享受在线服务,从而简化最终用户的凭证管理的问题。
具体地说,申请人解决了如何按照并不依赖于用于访问通信网络的机制,具体地说用于访问通信网络的凭证的方式,单独地自动产生和向移动通信终端供给当访问一个或多个在线服务提供者时,移动通信终端要使用的服务访问凭证,例如一个或多个保密密钥的问题。
申请人发现通过向通信终端的用户供给向在线服务提供者进行验证的所需服务访问凭证,作为使终端能够访问网络的验证过程的一部分,能够解决该问题,而不要求使用不同的供给方法,一种方法用于通信网络运营者,一种方法用于服务提供者。
按照本发明的第一方面,提供一种按照附加权利要求1所述的方法,用于自动向网络访问请求者提供服务访问凭证,所述服务访问凭证用于访问可通过通信网络访问的在线服务提供者提供的在线服务,所述方法包括:
-在网络访问请求者的验证期间,使负责有条件地准许网络访问请求者访问网络的验证实体(例如,验证服务器)向在线服务提供者请求所述服务访问凭证的生成;
-在在线服务提供者处,生成服务访问凭证,采用网络访问请求者的公共加密密钥加密服务访问凭证,并把加密的服务访问凭证提供给验证实体;
-使验证实体向网络访问请求者提供加密的服务访问凭证。
由于本发明,最终用户不再需要在存在前述相关安全问题的情况下,管理用于不同应用的不同登录,因为这些凭证是在终端上自动生成的,从而简化了最终用户的体验。
作为用户的通信终端相对于网络的验证过程的一部分得到的向在线服务提供者出立证据的服务访问凭证不为网络运营者所知,这保证在线服务提供者免于无线网络运营者发起的或者通过无线网络运营者的MITM(中间人)攻击。
在本发明的一个优选实施例中,服务访问凭证不仅是基于每个用户得到的,而且是基于每个会话得到的(即,它们只在该会话内有效,当用户无线终端与通信网络断开时到期);这向用户和服务提供者提供一种比“静态”解决方案更安全的OTP机制。
按照本发明的第二方面,提供一种按照权利要求22所述的系统,用于自动向适合于在通信网络中使用的通信终端供给服务访问凭证,所述服务访问凭证用于访问可通过通信网络访问的在线服务提供者提供的在线服务。
按照本发明的第三方面,提供一种按照附加权利要求26所述的验证实体,所述验证实体适合于用在通信网络中,用于验证网络访问请求者,以便有条件地准许网络访问请求者对通信网络的访问,并且适合于在所述验证网络访问请求者过程中,向可通过通信网络访问并提供在线服务的在线服务提供者请求供访问之用的所述服务访问凭证的生成,以及作为所述验证的一部分,使网络访问请求者被供给加密的服务访问凭证。
按照本发明的第四方面,提供一种按照权利要求27所述的可通过通信网络访问并提供在线服务的在线服务提供者,所述在线服务提供者适合于:
-接收验证实体的服务访问凭证请求,所述验证实体适合于根据公钥密码术验证网络访问请求者,以便有条件地准许网络访问请求者对通信网络的访问;
-生成服务访问凭证;
-通过采用网络访问请求者的公共加密密钥,加密服务访问凭证;和
-把加密的服务访问凭证提供给验证实体。
按照本发明的第五方面,提供一种按照附加权利要求28所述的供在通信网络中使用的通信终端,所述通信终端适合于:
-基于公钥密码术,在验证程序期间与验证实体交互,以便被准许对通信网络的访问;
-在与验证实体的验证程序期间,从验证实体接收用于访问可通过网络访问的在线服务提供者提供的在线服务的加密服务访问凭证,所述加密的服务访问凭证是利用通信终端的公共加密密钥加密的;和
-利用专用解密密钥对接收的加密服务访问凭证解密。
附图说明
参考附图,根据仅仅作为非限制性例子提供的本发明的一些实施例的下述详细说明,本发明的特征和优点将变得显而易见,其中:
图1示意地表示其中有利地使用按照本发明的服务访问凭证供给方法的情况;
图2利用各个参与者交换的信号,示意地表示按照本发明的第一实施例的服务访问凭证供给方法;
图3利用各个参与者交换的信号,示意地表示按照本发明的第二实施例的服务访问凭证供给方法;
图4利用各个参与者交换的信号,示意地表示按照本发明的第三实施例的服务访问凭证供给方法。
具体实施方式
参考附图,图1中示意地表示了其中有利地使用按照本发明的自动服务访问凭证供给方法的数据通信网络的一部分。
具体地说,数据通信网络(由100总体标识)包括接入网络105,接入网络105可以是有线网络,例如遵守标准IEEE 802.3的LAN,或者无线网络,尤其是WLAN或Wi-Fi LAN(即,遵守标准IEEE802.11的无线网络),接入网络105与基础设施化的有线LAN 110连接,LAN 110再与分组数据网(PDN)115,例如MAN(城域网)或WAN(广域网),或者更大型的公共网络(比如因特网)或专用网络(比如企业内部网)连接。
下面,将举例参考接入网络105是无线网络的情况。无线网络105包含多个接入点(AP),比如图中的AP 120。通过AP 120,无线移动通信终端(也称为无线终端),比如图中的无线终端125的用户通过使用无线电数据通信链路130a,能够与无线网络105连接。要指出的是在接入网络105是有线网络的情况下,通信终端125不必具有无线通信能力,通过有线链路130b,例如,借助以太网(IEEE 802.3)链路连接实现与接入网络105的连接。
无线网络105与有线LAN 110连接,并且可以访问有线LAN110,以致与无线网络105连接的无线终端能够访问有线LAN 110。具体地说,无线网络105通过AP 120与有线LAN 110相联系。
通过无线网络105,无线终端能够访问PDN 115,例如,他们能够在因特网上冲浪,浏览网站,或者与公司的内部网连接。具体地说,无线终端能够访问由一个或多个在线服务提供者,比如图中所示的应用服务器135提供的在线服务;例如,应用服务器135可提供在线金融服务、电子商务服务、电子邮件服务、Voice Over IP(VoIP)服务等等。特别地,假定无线终端125的用户为了访问应用服务器135,以享受所提供的在线服务,用户需要预先在应用服务器135进行验证。
图中还表示了称为验证服务器(AS)的网络设备140,网络设备140起预定向AP,比如AP 120提供验证服务,以便在准许无线终端(网络访问请求者)接入有线LAN 110之前,验证所述无线终端的验证实体的作用。
具体地说,在本发明的一个优选实施例中,假定无线网络105实现与IEEE 802.11i标准相应的WPA规范。具体地说,实现基于IEEE 802.1X的基于端口的网络访问控制。
本领域中已知,IEEE 802.11i标准具有下述主要特征:
·它使用IEEE 802.1X进行验证和密钥分发;
·它使用加密消息验证码(MAC)(也称为Michael)进行分组级完整性保护;
·它使用临时密钥完整性协议(TKIP)进行数据加密;已知TKIP供现有WEP设备的临时部署和改型之用,由克服WEP的密钥推导和分组完整性缺陷的需求推动;它保留了WEP帧格式以及RC4算法的使用;
·它使用CCMP-高级加密标准(AES)进行数据加密(TKIP只是一种中间解决方案;IEEE 802.11i任务组已考虑把AES算法用于数据保密性和完整性,作为RC4算法的替代);
·它也可把预共享密钥(PSK)用于验证,而不使用验证服务器(一个特别适合于家庭环境的特征)。
即使IEEE 802.1X是独立的标准,它也是IEEE 802.11i标准的核心要素,提供基于端口的网络访问控制机制。IEEE 802.1X依赖于可扩展验证协议(EAP-在本专利申请的申请日,可在URLwww.ietf.org/rfc/rfc3748.txt下载的请求评议3748中规定),一种定义通用验证协议,以允许各种各样的验证机制(称为“EAP型验证机制”)的IETF标准。此外,IEEE 802.11X标准包括嵌入验证方法中的用于基于每个客户和每个会话动态推导密钥的程序。
无任何完全性要求(为本领域中本身已知的概念),IEEE 802.1X标准框架的“参与者”是“恳求者”(supplicant)、“验证者”(或者网络端口)和“验证服务器”。
恳求者是位于点到点LAN链路段的一端的,试图由与该链路的另一端连接的验证者验证的实体。恳求者希望使用通过验证者上的端口提供的服务(MAC连通性)。恳求者通过验证者向中央验证服务器出立证据,中央验证服务器指导验证者在验证成功之后如何提供服务。在图1的例证情况中,恳求者的角色由无线终端,比如无线终端125扮演。
验证者是简化与LAN链路段的另一端连接的实体(恳求者)的验证的实体;在图1的情况中,验证者的角色由普通AP,比如AP 120扮演。验证者按照通过(pass-through)模式在无线终端和验证服务器之间工作,实现逻辑门控制机制。验证者具有接入网络的两个端口:“无控”端口和“受控”端口。无控端口始终对验证消息开放,而受控端口只有在验证程序结束时,并且只有验证程序成功时才打开。在验证程序结束时,验证者从验证服务器接收每个客户和每个会话的编码密钥,用于随后与恳求者的数据无线电通信。
验证服务器(图1中的AS 140)提供验证恳求者的验证服务。例如,验证服务器可以是RADIUS(远程验证拨号用户服务)服务器,Kerberos服务器,Diameter服务器等,并且可以是专用设备(如图1中描述的例证情况一样),或者它可被集成(“共置”)在验证者中(即,集成在AP 120中)。
EAP支持的,并且能够有利地用在按照本发明的所述实施例的自动服务访问凭证供给方法中的EAP型例子是:
-可扩展验证协议-传输层安全(EAP-TLS-在RFC 2716中规定):它是一种基于TLS握手的IETF协议,把数字证书既用于恳求者验证,又用于验证服务器验证;本领域中已知,数字证书可被看作日常生活中为“身份证”的东西的电子副本;数字证书建立当通过PDN进行电子交易时的用户凭证;数字证书由认证机构颁发,通常包含诸如用户名、序列号、有效期、证书持有人的公钥的副本(用于加密消息和数字签名),和使接收者能够核实证书真实的发证机构的数字签名。
-受保护的可扩展验证协议(EAP-PEAP-在本专利申请的申请日,可从http://www.ietf.org/internet-drafts/draft-josefsson-pppext-eap-tls-eap-11.txt下载):它以TLS握手为基础,对验证服务器验证使用数字证书,对恳求者验证使用任何EAP型验证机制。
-EAP-隧道化传输层安全(EAP-TTLS-在本申请的申请日,可在URL http://www.ietf.org/internet-drafts/draft-funk-eap-ttls-v0-00.txt和http://www.itef.org/internet-drafts/draft-funk-eap-ttls-v1-00.txt下载):它是基于TLS握手的IETF草案协议,对验证服务器验证使用数字证书,对恳求者使用任意验证方法。
通常,环绕“质询-响应”通信范例建立EAP。出于验证目的而交换的消息的类型有四种:EAP Request消息,EAP Response消息,EAP Success消息和EAP Failure消息。具体地说,指示质询的EAPRequest消息被发给恳求者,恳求者利用EAP Response消息答复。其它两种消息(EAP Success消息和EAP Failure消息)把成功/不成功的验证程序结果通知恳求者。
为了接入无线网络105,扮演恳求者角色的普通无线终端,比如无线终端125首先必须与扮演验证者角色的AP,比如AP 120联系。例如,如果是无线终端首次试图接入无线网络(可能是在与网络断开之后的第一次),那么无线终端必须通过AP在验证服务器进行遵守IEEE 802.11i标准的完整验证程序。
例如,无线终端(恳求者)向AP(验证者)发送IEEE 802.11 ProbeRequest消息。AP通过向无线终端发送包括安全参数在内的IEEE802.11 Probe Response消息作出答复,并创建与无线终端的物理链路。随后,无线终端向AP发送IEEE 802.11 Open SystemAuthentication Request消息,AP用IEEE 802.11 Open SystemAuthentication Response消息答复无线终端。移动终端随后向AP发送IEEE 802.11 Association Request消息,AP通过回送IEEE 802.11Association Response消息作出答复,指示操作已成功完成。该程序使无线用户终端可以与AP相联系。到目前为至,通信量通过AP的无控端口,受控端口仍然被封锁,因为无线终端还未被验证。
在成功地发生联系之后,执行验证程序;图2中,示意地描述了在验证程序中,各个参与者交换的消息,在图1的例证情况中,所述参与者是无线终端125,AP 120和验证者140。
无线终端125通过向AP 120发送IEEE 802.1X EAPOL Start消息,启动验证程序,AP 120通过向无线终端125回送请求无线终端提供其身份的IEEE 802.1X EAP Request/Identity消息205,作出答复;响应该请求,无线终端125通过向AP 120发送IEEE 802.1X EAPResponse/Identity消息210,提供其身份,封装在按照预定的通信协议,比如RADIUS协议的格式化的消息215(具体地说,RADIUS AccessRequest消息)中的IEEE 802.1X EAP Response/Identity消息210由AP 120转发给验证服务器140。验证服务器140随后根据协商的EAP验证方法(EAP型),通过AP对无线用户终端125进行验证程序,下面仅仅作为一个例子,把EAP验证方法假定为EAP-TLS。
高度概括地(验证程序本身为本领域的技术人员已知,是标准化的),响应从AP 120收到的消息215,验证服务器140向AP 120发送嵌有EAP-Req uest,EAP-TLS消息的RADIUS Access Challenge消息220,所述RADIUS Access Challenge消息220在AP120被接收,并作为IEEE 802.1X/EAP-Request(EAP-TLS)消息225被转发给无线终端125。无线终端125通过向AP 120发送IEEE802.1X/EAP-Response(TLS ClientHello)消息230作为答复,AP 120接收IEEE 802.1X/EAP-Response(TLS ClientHello)消息230,并将其嵌入RADIUS Access Request/EAP-Response(TLS ClientHello)消息235中转发给验证服务器140。从无线终端125传给验证服务器140的TLS ClientHello消息传递在会话期间,客户机希望依据其通信的TLS协议的版本,依据客户机的优先选择(喜爱的选择优先)排序的客户机产生的随机值,会话标识符,以及终端125支持的加密算法的组合(所谓的“密码组”)被用于在无线终端125和验证服务器140之间创建安全信道,通过该安全信道,安全地进行验证程序。
验证服务器140随后向AP 120发送RADIUS AccessChallenge/EAP-Request消息240,AP120把RADIUS AccessChallenge/EAP-Request消息240作为IEEE802.1X/EAP-Request(TLS ServerHello‖TLS Certificate‖TLSserver_key_exchange‖TLS certificate_req‖TLS server_hello_done)消息245转发给无线终端125。TLS ServerHello消息部分传递从TLSClientHello消息部分(在消息230内)中无线终端125建议的那些TLS协议中选择的,验证服务器140支持的TLS协议的版本。它还传递由验证服务器140从在TLS ClientHello消息部分中提议的列表中选择的服务器产生的随机值、会话标识符和密码组。在TLS Certificate消息部分中,验证服务器140插入其数字证书,以便由无线终端125验证。TLS server_key_exchange消息部分传送可用于允许恳求者(客户机)传送预先掌握的秘密(prremaster secret)的加密信息:无线终端125能够借助其完成密钥交换(其结果是预先掌握的秘密)的对预先掌握的秘密加密的RSA公钥或者Diffie-Hellman公钥。TLS certificate_req消息部分由验证服务器用于向无线终端请求证书,以便验证无线终端125。TLS server_hello_done消息部分由验证服务器140发送,以指示用于密钥交换的消息的结束,以致无线终端125能够继续进行它的密钥交换阶段。
无线终端125通过向AP120发送IEEE802.1X/EAP-Response(TLS certificate‖TLS client_key_exchange‖TLS certificate_verify‖TLS change_cipher_suite‖TLSfinished)消息250作出答复,AP120将其嵌RADIUS AccessRequest/EAP-Response消息255中转发给验证服务器140。TLScertificate消息部分传递无线终端125的数字证书。借助TLSclient_key_exchange消息部分,或者通过直接传输RSA加密秘密,或者通过传输允许每一方(验证服务器140和无线终端125)对相同的预先掌握的秘密达成协议的Diffie-Hellman参数,预先掌握的秘密被设置。TLS certificate_verify消息部分被用于提供无线终端125证书的明确核实。change cipher spec消息部分由无线终端125发送,以通知验证服务器140后续记录将在新协商的CipherSpec和密钥的保护之下。最后,TLS finished消息部分被用于核实密钥交换和验证过程已成功。这是利用协商的算法、密钥和秘密保护的第一条消息。收到finished消息的验证服务器140核实内容是正确的。
验证服务器140通过向AP 120发送RADIUS AccessChallenge/EAP-Request消息260作出答复,AP 120将其作为IEEE802.1X/EAP-Request(TLS change_cipher_suite‖TLS finished)消息265转发给无线终端125。发送TLS change_cipher_suite消息部分,以通知无线终端125随后记录将在新协商的CipherSpec和密钥的保护之下。最后,TLS finished消息部分是验证服务器140发送的利用协商的算法、密钥和秘密保护的第一条消息。收到finished消息的验证服务器140核实内容是正确的。
无线终端125随后向AP 120发送IEEE 802.1X EAP Response消息267,AP把该消息嵌入RADIUS Access Request 270中转发给验证服务器140。
在上面简要列举的消息交换中,从消息230到消息265的消息构成TLS握手。
就肯定的验证结果来说,验证服务器140按照惯例把嵌入RADIUS Accept消息293中的EAP Success消息发给AP 120,AP 120把RADIUS Accept消息293转发给无线用户终端125(IEEE 802.1XEAP Success消息294),否则验证服务器发送EAP Failure消息(未示出)。
如前所述,在验证程序中,验证消息通信量通过AP 120的无控端口,受控端口保持封锁状态;在验证成功之后,AP 120的受控端口解除封锁,数据通信通过所述受控端口。
在验证程序中,无线终端125和验证服务器140各自在其一方产生一对共享秘密,即主会话密钥(MSK)和扩展主会话密钥(EMSK)。验证服务器140只把MSK(消息,一般为64字节数字码)发给AP(验证者)120。由验证服务器140传给验证者120的MSK被称为“AAA-Key”(这里,三个A代表验证(Authentication)、授权(Authorization)和记帐(Accounting))。具体地说,用RADIUS Accept消息293把AAA-Key传给验证者120。
验证者120使用接收的AAA-Key,或其一部分(一般前32个字节,形成所谓的成对主密钥-PMK)产生加密密钥,作为与无线终端125的四向(four-way)握手程序的结果,所述加密密钥之后将用于对无线终端125和AP 120之间无线电链路上的通信加密。
在验证程序期间,验证服务器140和无线终端125在他们各自一方并从EMSK(即,未被传给验证者120的密钥)开始,获得称为专用主会话密钥(AMSK)的另一密钥。例如,类似于MSK,AMSK可以是64字节的数字码。
迄今为止描述的步骤指的是至少在无线终端125首次连接无线网络105时,无线终端125必须执行的完整验证程序。
一旦无线终端125已被验证,那么准许它接入无线网络105;具体地说,用户能够访问PDN 115,例如,他/她能够在因特网上冲浪和/或访问他/她所工作的公司的企业内部网,以获得应用服务器135提供的在线服务,例如在线金融服务、电子商务服务、电子邮件服务。
但是,如前所述,在对应用服务器135的访问并不自由的假设下,通常情况下,无线终端125需要预先向应用服务器135进行验证;为此,无线终端125的用户需要对访问服务提供者和获得在线服务来说必需的适当在线服务访问凭证。
按照本发明的一个实施例,作为充当恳求者的无线终端125执行的用于进行验证和被批准接入无线网络105的验证过程的一部分,用于在应用服务器135进行验证和访问应用服务器135提供的在线服务的服务访问凭证被提供给无线终端125。
具体地说,按照本发明的一个实施例,提供一种方法,借助该方法,作为基于EAP,具体地说EAP型EAP-TLS的无线网络验证程序的一部分,无线终端125的用户在应用服务器135进行验证和访问在线服务所必需的服务访问凭证被自动、安全地提供给无线终端125。
如图2中所述,在恳求者125和验证服务器140按照标准程序相互验证之后,如果验证服务器140确定恳求者(在消息270中)提供的身份是正确的,那么验证服务器140向应用服务器135发送消息M0275:
M0=[AMSK,Supplicant_IDa]
消息M0 275包含作为IEEE 802.1X验证过程协商的AMSK,和恳求者公共数字证书,或者只是其适合于使应用服务器135单意地识别正确的公共数字证书的标识符(表示成Supplicant_IDa)。具体地说,只有当是无线终端125首次试图连接应用服务器135时,验证服务器140才发送完整的公共数字证书:这种情况下,验证服务器135保存接收的公共数字证书供未来使用;如果不是无线终端125首次试图连接应用服务器135,从而其公共数字证书已被保存在应用服务器,那么验证服务器140可能仅仅发送适合于使应用服务器能够单意地识别正确的公共数字证书的证书标识符(Supplicant_IDa)(即,恳求者数字证书的散列(hash))。
可选的是,适合于识别无线终端125的用户希望访问的,并且恳求者125为其请求有效的服务访问凭证的在线服务(例如,对Web门户的Web访问,SIP代理注册等)的在线服务标识符可被包括在消息M0 275中,以便明确地识别所需的服务。
可取的是,通过安全信道,例如利用IPSec或者HTTP进行验证服务器140和应用服务器135之间的通信。
应用服务器135保存接收的AMSK和恳求者125的公共证书,并为恳求者125产生对当前会话有效的,并且如果指定的话,对给定的在线服务有效的一次性口令(OTP)。具体地说,以AMSK和应用服务器选择的随机种子SeedSupplicant,Session的单向函数(例如,散列函数)的形式计算OTP:
OTPSupplicant,Session=f(AMSK,SeedSupplicant,Session)
在图1中,示意地表示了应用服务器135中的产生将被提供给无线终端125的用户的服务访问凭证的函数(附图标记190)。例如由随机数发生器(未示出)产生的随机种子191被送给服务访问凭证发生器模块192,服务访问凭证发生器模块192利用随机种子191和图示化为175的AMSK,产生凭证,在本例中即OTP 185。
要指出的是对于OTP的生成,应用服务器135还可依赖于外部密钥管理单元,具体地说,图1中用虚线框表示的公钥加密(PKI)单元150;这种情况下,当消息M0 275到达时,应用服务器135向PKI单元150发送恳求者公共数字证书,或者只发送其标识符,如果不是无线用户终端125首次要求服务访问凭证的话(这种情况下,数字证书已保存在PKI单元150);可选的是,在线服务标识符同样被包括在发给PKI单元的消息280中。PKI单元150产生对该恳求者有效,并且对当前会话有效的随机种子SeedSupplicant,Session,并将其发给应用服务器135(消息285)。
应用服务器135利用保存在由验证服务器140发送的恳求者的公共证书(公共数字证书数据库194)中(或者保存在应用服务器135)的恳求者的公钥170,加密为当前会话产生的给恳求者125的随机种子191(图1中的加密模块193),并通过安全信道把加密的种子发给验证服务器140;具体地说,加密种子被包括在消息M1 290中,除此之外,消息M1 290还包含恳求者的标识符Supplicant_IDb(例如,在恳求者公共证书中指示的区别名称-DN,或者可能是包括在消息M0中的相同标识符Supplicant_IDa):
M1=[ESupplicant_PK(SeedSupplicant,Session),Supplicant_IDb]
可选的是,如果被指定的话,在线服务的标识符也可被包括在消息M1290中。
当从应用服务器135收到消息M1290时,验证服务器140首先核实它具有关于恳求者125(由包括在消息M1中的恳求者标识符识别),以及关于给定在线服务(如果指定的话)的待决请求;验证服务器140随后把加密种子ESupplicant_PK(SeedSupplicant,Session)插入封装在RADIUS Access-Challenge消息M2 291中发送给AP 120的EAPRequest/Notification分组中,其中。
M2=RADIUS Access-Challenge/EAP-
Request/Notification[ESupplicant_PK(SeedSupplicant,Session)]
AP 120通过IEEE 802.1X EAP Request/Notification消息292,把接收的加密种子ESupplicant_PK(SeedSupplicant,Session)转发给恳求者125。
最后,如IEEE 802.1X标准中所述,当验证服务器140(通过AP120)向无线用户终端125发送IEEE 802.1X EAP Success消息294时,验证程序结束。
恳求者125具有适合于从消息292获得服务访问凭证的功能。例如,如图1中示意所示,专用软件或固件155被安装在无线终端125上,并在无线终端125上运行,所述专用软件或固件155适合于利用恳求者的私钥165接收加密种子ESupplicant_PK(SeedSupplicant,Session)(模块160),以获得种子SeedSupplicant,Session;在已知AMSK(图示化成175)的情况下,位于恳求者125的服务访问凭证提取器模块180利用相同的函数计算用于访问在线服务的OTP:
OTPSupplicant,Session=f(AMSK,SeedSupplicant,Session)
OTP构成服务访问凭证185。
遵循IEEE 802.1X验证程序特有的四向握手,恳求者125访问无线网络105,并通过AP 120访问有线LAN 110和应用服务器135。当作为无线网络验证过程的一部分被提供给服务时,恳求者125能够利用提供的服务访问凭证,即OTP,直接访问在线服务。
具体地说,这些服务访问凭证只对当前会话有效,可能对指定的服务,以及特定的恳求者125有效。
从而,可认识到作为无线网络验证程序的一部分,向应用服务器135请求服务访问凭证的是验证服务器140,不过从应用服务器接收的服务访问凭证只为它和恳求者125所知,不为验证服务器和AP所知。这达到极佳的安全度,因为避免了无线网络运营者知晓用于访问应用服务器的服务访问凭证。同时,只有恳求者在被验证服务器验证并被批准访问无线网络之后,才能够自动向恳求者提供在线服务。
上面说明的自动服务访问凭证供给方案例如可应用于Voiceover IP(VoIP)服务的情况,在该特定情况中,无线终端125是Wi-Fi电话机,验证服务器140是SIP(会话起始协议)注册器(registar)。
这种情况下,为了访问VoIP服务,Wi-Fi电话机125需要向SIP注册器135注册。图3中图示了交换的消息接发。
类似于前面说明的例子,当Wi-Fi电话机125与无线网络105(的AP 120)联系时,开始IEEE 802.1X EAP-TLS验证程序。Wi-Fi电话机、AP和验证服务器交换的消息205-270与图2中描述的消息205-270相同。验证服务器核实恳求者提供的身份,如果正确的话,那么验证服务器向SIP注册器135发送消息(M0)375,消息(M0)375包含作为IEEE 802.1X验证过程的一部分协商的AMSK,和恳求者公共证书(如果是恳求者首次试图连接SIP注册器)或者恳求者URI(统一资源标识符,通常用于识别SIP用户的标识符)(如果SIP注册器已保存在先前会话中接收的恳求者的公共证书);具体地说,在图3中考虑后一情况,恳求者由URI Wi-Fiphone@example.org识别,消息375为:
M0=[Wi-Fiphone@example.org,AMSK]
SIP注册器135保存AMSK和恳求者的标识符(或者恳求者的公共证书),并为当前会话产生给Wi-Fi电话机的OTP(OTPSupplicant,Session);具体地说,以AMSK和随机种子SeedSupplicant,Session的单向函数(例如,散列函数)的形式产生OTP:
OTPSupplicant,Session=f(AMSK,SeedSupplicant,Session)
SIP注册器135利用保存在恳求者公共证书中的恳求者公钥为当前会话加密恳求者125的种子OTPSupplicant,Session,并通过安全信道用消息M1 380把加密种子ESupplicant_PK(SeedSupplicant,Session)回送给验证服务器140,除了加密的种子之外,消息M1 380还包含恳求者标识符:
M1=[ESupplicant_PK(SeedSupplicant,Session),Wi-Fiphone@example.org]
当收到消息380时,验证服务器首先核实存在由包括在消息中的恳求者标识符识别的恳求者的待决请求,随后它把加密种子ESupplicant_PK(SeedSupplicant,Session)插入EAP Request/Notification分组中,并将其封装在RADIUS Access-Challenge消息M2 385中发送给AP120:
M2=RADIUS Access-Challenge/EAP-
Request/Notification[ESupplicant_PK(SeedSupplicant,Session)]
AP 120通过IEEE 802.1X EAP Request/Notification消息390把接收的加密种子ESupplicant_PK(SeedSupplicant,Session)转发给Wi-Fi电话机125。
最后,如标准中所述,当验证服务器140(通过AP 120)向无线用户终端125发送IEEE 802.1X EAP Success消息294时,验证程序结束。
Wi-Fi电话机125对加密种子SeedSupplicant,Session解密,在知道AMSK的情况下,利用和SIP注册器135相同的函数计算用于SIP服务的OTP:
OTPSupplicant,Session=f(AMSK,SeedSupplicant,Session)
按照四向握手,Wi-Fi电话机125能够接入无线网络105,并且通过AP 120能够访问PDN 115和SIP注册器135。
在图3中描述的例子中,按照RFC3261(“SIP:会话起始协议”)使用了SIP分类(digest)验证的情况。Wi-Fi电话机125向SIP注册器135发送SIP Register消息395。当收到该消息时,SIP注册器135产生否定响应(SIP/2.0 401 Unauthorized消息396),并把分类质询包括在响应消息396中。
当Wi-Fi电话机125收到包含分类质询的SIP注册器响应消息396时,它以分类质询和作为网络验证的部分而获得的OTPOTPSupplicant,Session的函数的形式计算恰当的分类响应,并向SIP注册器135发送包括计算的分类凭证的消息397。SIP注册器135核实分类响应,并处理请求;如果核实是成功的,那么SIP注册器135向Wi-Fi电话机125发送200 OK消息398,Wi-Fi电话机125从而能够访问VoIP服务。
上面描述的自动服务访问凭证供给方案的另一例证应用可以是具有Web门户135的Wi-Fi接口的膝上型计算机125通过无线网络105的访问。图4中图示了交换的消息。
当Wi-Fi膝上型计算机125与无线网络105(的AP 120)联系时,如前所述开始IEEE 802.1X EAP-TLS验证。消息和前面两种情况中的一样。验证服务器140核实恳求者125提供的身份,如果正确的话,它向Web门户135发送消息(M0)475,所述消息(M0)475包含作为IEEE 802.1X验证过程的一部分协商的AMSK,和恳求者公共证书(如果是恳求者首次尝试连接Web门户135)或者恳求者标识符,比如用户名(如果Web门户已保存在先前的会话中接收的恳求者公共证书);在图4的例子中,考虑后一情况,恳求者由标识符Wi-Fipc@example.org识别:
M0=[Wi-Fipc@example.org,AMSK]
Web门户135保存恳求者标识符和AMSK,随后它可要求(消息480)本地域密钥管理器PKI 150产生关于当前会话的指定恳求者标识符的随机种子SeedSupplicant,Session;一旦收到种子SeedSupplicant,Session(消息485),Web门户135以AMSK和随机种子SeedSupplicant,Session的单向函数(例如,散列函数)的形式,计算关于当前会话给Wi-Fi膝上型计算机125的OTP:
OTPSupplicant,Session=f(AMSK,SeedSupplicant,Session)
Web门户135利用保存在恳求者公共证书中的恳求者公钥对关于当前会话给恳求者125的OTP OTPSupplicant,Session加密,并通过安全信道(消息M1490)把加密的OTP ESupplicant_PK(SeedSupplicant,Session)回送给验证服务器140。消息M1包含加密的ESupplicant_PK(SeedSupplicant,Session)和恳求者标识符:
M1=[ESupplicant_PK(SeedSupplicant,Session),Wi-Fipc@example.org]
验证服务器140首先核实它具有关于指定恳求者标识符的待决请求,随后它把加密的OTP ESupplicant_PK(SeedSupplicant,Session)插入EAP-Request/Notification分组中,并将其封装在RADIUSAccess-Challenge消息M2 491中发送给AP 120。
M2=RADIUS Access-Challenge/EAP-
Request/Notification[ESupplicant_PK(SeedSupplicant,Session)]
随后,AP 120通过EAP-Request/Notification消息492把加密的OTP ESupplicant_PK(SeedSupplicant,Session)转发给Wi-Fi膝上型计算机125。
最后,如标准中所述,当验证服务器140(通过AP120)向无线用户终端125发送IEEE 802.1X EAP Success消息294时,验证程序结束。
Wi-Fi膝上型计算机125对加密种子SeedSupplicant,Session解密,在知道AMSK的情况下,利用和Web门户135相同的函数计算用于访问Web门户的OTP:
OTPSupplicant,Session=f(AMSK,SeedSupplicant,Session)
按照四向握手,Wi-Fi膝上型计算机125能够接入无线网络105,并且通过AP 120能够访问PDN 115和Web门户135。在作为无线网络验证过程的一部分被提供给服务的情况下,恳求者125能够利用提供的服务访问凭证直接访问服务。在本例中,按照RFC2617(“HTTPAuthentication:Basic and Digest Access Authentication”)使用HTTP分类验证的情况。Wi-Fi膝上型计算机125向Web门户135发送HTTPGET消息495。Web门户产生否定的响应(HTTP 401 Unauthorized消息496),并把分类质询包括在响应496中。
当Wi-Fi膝上型计算机125收到响应消息496(包含分类质询)时,它以分类质询和作为网络验证的一部分而获得的OTPOTPSupplicant,Session的函数的形式,计算恰当的分类响应,并向Web门户135发送包括计算的分类凭证的消息497。Web门户135核实分类响应,并处理请求;如果核实是成功的,那么它向Wi-Fi膝上型计算机125发送200 OK消息498,Wi-Fi膝上型计算机125随后能够访问Web服务。
由于上面参考三种可能的实际实现描述的按照本发明的方法,最终用户不再需要在存在前述相关安全问题的情况下管理关于不同应用的不同登录,因为这些凭证是在终端上自动产生的,简化了最终用户体验。
作为无线网络验证过程的一部分得到的向在线服务提供者进行验证的服务访问凭证不为无线网络运营者所知,这保证在线服务提供者免于无线网络运营者发起的或者通过无线网络运营者的攻击。
特别地,服务会话凭证不仅可基于每个用户得到,而且可以基于每个会话得到(即,它们只在该会话内有效,当用户无线终端从无线网络断开时到期);这向用户和服务提供者提供一种比“静态”解决方案更安全的OTP机制。
本发明的方法能够向在线服务提供者保证在应用层强制执行选择访问策略的可能性,从而只允许与预先确定的无线网络运营者连接的用户访问其服务。
借助于对验证服务器,服务提供者,无线终端的软件的恰当软件更新,能够相当容易地实现本发明。但是,软件实现并不意图作为对本发明的限制,本发明也可完全用硬件来实现,或者被实现成软件和硬件的组合。
尽管利用一些实施例公开和说明了本发明,不过对本领域的技术人员来说,对所描述的实施例的几种修改,以及本发明的其它实施例显然都是可能的,而不脱离附加权利要求中限定的本发明的范围。
例如,尽管在上面说明的例子中,假定把EAP型EAP-TLS用于恳求者125的验证,不过也可使用其它方法,比如EAP-TTLS和PEAP;在这两种备选的EAP方法中,和在EAP-TLS中一样,数字证书被用于恳求者验证。更一般地,可以采用并不意味数字证书的使用的恳求者验证方法,例如基于不对称(公钥,私钥)加密机制的方法,只要服务提供者,即应用服务器能够单意并且明确地确定给定的公钥属于某一用户;例如,应用服务器可保存容许的公钥的列表,每个公钥与一个授权用户关联。不过,数字证书的使用具有证书本身由认证机构保证的优点。
另外,尽管上面假定服务会话凭证,即,应用服务器产生的口令是每次一般用户访问无线网络时新产生的一次性口令(即,基于会话的口令),不过这仅仅只是意图作为一种有利的而不是限制性的实施例,因为口令也可不因会话而异。
再次要指出的是尽管作为例子参考无线接入网络,尤其是IEEE802.11 WLAN进行了说明,不过本发明也适用于不同的情况。例如,本发明适用于有线接入网络(例如,IEEE 802.3 LAN,也称为以太网),其中IEEE 802.1x标准和EAP被用于节点的验证。更一般地,本发明可被扩展到网络节点的验证机制基于类EAP,比如IEEE 802.16(也称为Wi-Max)网络的环境,一般而言,可扩展到利用IETFPANA(Protocol for carrying Authentication for Network Access)协议(在本申请的申请日,可从网站http://www.ietf.org/html.charters/pana-charter.html下载)的接入网络;事实上,PANA是允许移动通信终端向利用基于EAP类型的IP协议的接入网络进行验证,而与链路层特定机制无关的协议。
Claims (28)
1.在包括至少一个适合于验证网络访问请求者(125)、以便有条件地准许网络访问请求者(125)对通信网络的访问的验证实体(140)的通信网络(100)中,一种自动向网络访问请求者提供用于访问由可通过通信网络访问的在线服务提供者(135)提供的在线服务的服务访问凭证的方法,其中所述验证基于公钥密码术,所述方法包括:
-在所述验证网络访问请求者期间,使验证实体向在线服务提供者请求所述服务访问凭证的生成;
-在在线服务提供者处,生成服务访问凭证,通过利用网络访问请求者的公共加密密钥加密服务访问凭证,并把加密的服务访问凭证提供给验证实体;
-使验证实体向网络访问请求者提供加密的服务访问凭证。
2.按照权利要求1所述的方法,其中所述使验证实体向在线服务提供者请求所述服务访问凭证的生成包括:使验证实体向在线服务提供者提供在所述验证期间由验证实体和网络访问请求者协商的验证密钥(AMSK),和网络访问请求者的公共加密密钥或网络访问请求者的标识符中至少之一,所述标识符适合于使在线服务提供者能够确定网络访问请求者的公共加密密钥。
3.按照权利要求2所述的方法,其中在线服务提供者管理容许的公共加密密钥的列表,并且适合于确定收到的公共加密密钥是否在容许的列表中。
4.按照权利要求1所述的方法,其中所述验证基于公共数字证书。
5.按照权利要求4所述的方法,其中所述使验证实体向在线服务提供者请求所述服务访问凭证的生成包括:使验证实体向在线服务提供者提供在所述验证期间由验证实体和网络访问请求者协商的验证密钥(AMSK),和网络访问请求者的公共数字证书或网络访问请求者的标识符中至少之一,所述标识符适合于使在线服务提供者能够确定网络访问请求者的公共数字证书。
6.按照权利要求5所述的方法,其中验证实体只向在线服务提供者提供一次公共数字证书,在线服务提供者适合于保存收到的公共数字证书。
7.按照权利要求2或4所述的方法,其中所述加密服务访问凭证包括利用网络访问请求者的公共加密密钥加密口令,所述公共加密密钥是在所述公共数字证书中指定的。
8.按照前述任意权利要求所述的方法,其中所述使验证实体向在线服务提供者请求所述服务访问凭证的生成包括:使验证实体向在线服务提供者提供网络访问请求者想要访问的在线服务的标识符。
9.按照权利要求2或5所述的方法,其中所述生成服务访问凭证包括根据所述验证密钥和随机值生成口令。
10.按照权利要求9所述的方法,其中所述口令是作为所述验证密钥和所述随机值的单向函数生成的。
11.按照权利要求9或10所述的方法,其中所述口令是依据在线服务提供者的请求,由公钥基础结构(150)生成的。
12.按照权利要求9或10所述的方法,其中所述向验证实体提供加密的服务访问凭证包括向验证实体提供加密的随机值。
13.按照权利要求12所述的方法,其中所述向验证实体提供加密的服务访问凭证包括连同加密的口令一起,向验证实体提供网络访问请求者的标识符。
14.按照权利要求12或13所述的方法,其中所述使验证实体向网络访问请求者提供加密的服务访问凭证包括使网络访问请求者被供给加密的随机值。
15.按照权利要求14所述的方法,还包括:
使网络访问请求者利用网络访问请求者的专用解密密钥,对接收的加密随机值解密。
16.按照权利要求15所述的方法,还包括:
使网络访问请求者通过利用验证密钥对解密的随机值应用单向函数,确定用于访问在线服务的服务访问凭证。
17.按照前述任意权利要求所述的方法,其中在线服务包括VoIP服务。
18.按照权利要求1-16任意之一所述的方法,其中在线服务包括对Web门户的访问。
19.按照权利要求19所述的方法,其中通信网络还包括适合于使网络访问请求者连接通信网络的至少一个接入点(120)。
20.按照前述任意权利要求所述的方法,其中所述通信网络包括无线网络,所述网络访问请求者包括无线通信终端。
21.按照权利要求19所述的方法,其中无线网络包括IEEE802.11无线网络。
22.一种自动向适合于在通信网络中使用的通信终端供给服务访问凭证的系统,所述服务访问凭证用于访问由可通过通信网络访问的在线服务提供者提供的在线服务,包括:
至少一个验证实体(140),所述验证实体(140)适合于验证网络访问请求者(125),以便有条件地准许网络访问请求者(125)访问通信网络,其中所述验证基于公共密钥密码术,和
至少一个可通过通信网络访问并提供在线服务的在线服务提供者(135);
其中验证实体适合于在所述验证网络访问请求者期间,向在线服务提供者请求供访问之用的所述服务访问凭证的生成;
在线服务提供者适合于生成服务访问凭证,以通过利用网络访问请求者的公共加密密钥加密服务访问凭证,和把加密的服务访问凭证提供给验证实体;和
验证实体适合于使网络访问请求者被供给服务访问凭证,作为所述验证网络访问请求者的一部分。
23.按照权利要求22所述的系统,其中通信网络还包括适合于使网络访问请求者能够与通信网络连接的至少一个接入点(120)。
24.按照权利要求22或23所述的系统,其中所述通信网络包括无线网络,所述网络访问请求者包括无线通信终端。
25.按照权利要求24所述的系统,其中无线网络包括IEEE802.11无线网络。
26.一种适合于在通信网络中用于验证网络访问请求者、以便有条件地准许网络访问请求者访问通信网络的验证实体,所述验证实体适合于:
在所述验证网络访问请求者期间,向可通过通信网络访问并提供在线服务的在线服务提供者请求供访问之用的所述服务访问凭证的生成;和
使网络访问请求者被供给加密的服务访问凭证,作为所述验证网络访问请求者的一部分。
27.一种可通过通信网络访问并提供在线服务的在线服务提供者(135),适合于:
接收验证实体(140)的服务访问凭证请求,所述验证实体适合于根据公钥密码术验证网络访问请求者(125),以便有条件地准许网络访问请求者对通信网络的访问;
生成服务访问凭证;
通过利用网络访问请求者的公共加密密钥,加密服务访问凭证;和
把加密的服务访问凭证提供给验证实体。
28.一种供在通信网络中使用的通信终端,所述通信终端适合于:
基于公钥密码术,在验证程序期间与验证实体(140)交互,以便有条件地被准许对通信网络的访问;
在与验证实体的验证程序期间,从验证实体接收用于访问由可通过网络访问的在线服务提供者提供的在线服务的加密服务访问凭证,所述加密的服务访问凭证是利用通信终端的公共加密密钥加密的;和
利用专用解密密钥对接收的加密服务访问凭证解密。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/EP2005/012766 WO2007062672A1 (en) | 2005-11-30 | 2005-11-30 | Method and system for automated and secure provisioning of service access credentials for on-line services to users of mobile communication terminals |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101371550A true CN101371550A (zh) | 2009-02-18 |
| CN101371550B CN101371550B (zh) | 2012-01-25 |
Family
ID=36691689
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200580052513.6A Expired - Fee Related CN101371550B (zh) | 2005-11-30 | 2005-11-30 | 自动安全地向移动通信终端的用户供给在线服务的服务访问凭证的方法和系统 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9015473B2 (zh) |
| EP (1) | EP1955511B1 (zh) |
| CN (1) | CN101371550B (zh) |
| BR (1) | BRPI0520722B1 (zh) |
| WO (1) | WO2007062672A1 (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101783806A (zh) * | 2010-03-15 | 2010-07-21 | 杭州华三通信技术有限公司 | 一种Portal证书认证方法及其装置 |
| CN105025005A (zh) * | 2014-04-25 | 2015-11-04 | 钮勒有限公司 | 提供网络证书 |
| CN106465113A (zh) * | 2014-08-28 | 2017-02-22 | 谷歌公司 | 特定场所的Wi‑Fi连接通知 |
| WO2017028593A1 (zh) * | 2015-08-19 | 2017-02-23 | 腾讯科技(深圳)有限公司 | 网络接入设备接入无线网络接入点的方法、网络接入设备、应用程序服务器和非易失性计算机可读存储介质 |
| CN107004051A (zh) * | 2014-10-01 | 2017-08-01 | 沃迪公司 | 个体信息的安全访问 |
| CN113015159A (zh) * | 2019-12-03 | 2021-06-22 | 中国移动通信有限公司研究院 | 初始安全配置方法、安全模块及终端 |
| CN114244542A (zh) * | 2020-09-08 | 2022-03-25 | 四零四科技股份有限公司 | 凭证管理系统及凭证管理方法 |
Families Citing this family (61)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7546373B2 (en) * | 2003-11-14 | 2009-06-09 | Microsoft Corporation | Secure dynamic credential distribution over a network |
| US7356539B2 (en) | 2005-04-04 | 2008-04-08 | Research In Motion Limited | Policy proxy |
| JP5013728B2 (ja) * | 2006-03-20 | 2012-08-29 | キヤノン株式会社 | システム及びその処理方法、並びに通信装置及び処理方法 |
| US8353048B1 (en) * | 2006-07-31 | 2013-01-08 | Sprint Communications Company L.P. | Application digital rights management (DRM) and portability using a mobile device for authentication |
| US9521210B2 (en) * | 2006-10-06 | 2016-12-13 | At&T Intellectual Property I, L.P. | Methods and apparatus to install voice over internet protocol (VoIP) devices |
| US20080123852A1 (en) * | 2006-11-28 | 2008-05-29 | Jianping Jiang | Method and system for managing a wireless network |
| US8037511B1 (en) | 2007-07-20 | 2011-10-11 | Sprint Communications Company L.P. | Utilizing a mobile device to operate an electronic locking mechanism |
| US8151328B1 (en) * | 2007-07-20 | 2012-04-03 | Sprint Communications Company L.P. | Accessing secure network areas by utilizing mobile-device authentication |
| EP3522580B1 (en) | 2007-10-16 | 2021-01-20 | Nokia Technologies Oy | Credential provisioning |
| US9203620B1 (en) * | 2008-01-28 | 2015-12-01 | Emc Corporation | System, method and apparatus for secure use of cryptographic credentials in mobile devices |
| US20090193247A1 (en) * | 2008-01-29 | 2009-07-30 | Kiester W Scott | Proprietary protocol tunneling over eap |
| JP5283925B2 (ja) | 2008-02-22 | 2013-09-04 | キヤノン株式会社 | 通信装置、通信装置の通信方法、プログラム、記憶媒体 |
| US8752165B2 (en) * | 2008-05-29 | 2014-06-10 | Apple Inc. | Provisioning secrets in an unsecured environment |
| US9356925B2 (en) * | 2008-10-31 | 2016-05-31 | GM Global Technology Operations LLC | Apparatus and method for providing location based security for communication with a remote device |
| US8990569B2 (en) * | 2008-12-03 | 2015-03-24 | Verizon Patent And Licensing Inc. | Secure communication session setup |
| US8161100B1 (en) * | 2008-12-22 | 2012-04-17 | Amazon Technologies, Inc. | Self-service provisioning for multi-channel applications |
| US20100166182A1 (en) * | 2008-12-31 | 2010-07-01 | Verizon Data Services, Llc | Method and system for securing voice over internet protocol transmissions |
| US8462942B2 (en) * | 2008-12-31 | 2013-06-11 | Verizon Patent And Licensing Inc. | Method and system for securing packetized voice transmissions |
| US9729529B2 (en) | 2008-12-31 | 2017-08-08 | Google Technology Holdings LLC | Device and method for providing bootstrapped application authentication |
| US8898749B2 (en) * | 2009-04-09 | 2014-11-25 | Intel Corporation | Method and system for generating one-time passwords |
| US9077544B2 (en) * | 2009-09-15 | 2015-07-07 | Welch Allyn, Inc. | Automatic provisioning of authentication credentials |
| US8683194B2 (en) | 2009-09-30 | 2014-03-25 | Orange | Method and devices for secure communications in a telecommunications network |
| FR2950767A1 (fr) * | 2009-09-30 | 2011-04-01 | France Telecom | Procede de communications securisees dans un reseau de telecommunications |
| US8280351B1 (en) * | 2010-02-04 | 2012-10-02 | Cellco Partnership | Automatic device authentication and account identification without user input when application is started on mobile station |
| US9813233B2 (en) * | 2010-04-13 | 2017-11-07 | Cornell University | Private overlay for information networks |
| US20110255465A1 (en) * | 2010-04-16 | 2011-10-20 | Chang Hong Shan | Wimax voip service architecture |
| EP2383955B1 (en) | 2010-04-29 | 2019-10-30 | BlackBerry Limited | Assignment and distribution of access credentials to mobile communication devices |
| AU2011245059A1 (en) * | 2010-04-30 | 2012-11-08 | Kl Data Security Pty Ltd | Method and system for enabling computer access |
| US10015286B1 (en) * | 2010-06-23 | 2018-07-03 | F5 Networks, Inc. | System and method for proxying HTTP single sign on across network domains |
| US8646047B2 (en) | 2010-09-13 | 2014-02-04 | Nokia Corporation | Method and apparatus for authenticating access by a service |
| EP2622885B1 (en) | 2010-09-29 | 2020-06-03 | Nokia Technologies Oy | Methods and apparatuses for access credential provisioning |
| US8855300B2 (en) * | 2010-09-30 | 2014-10-07 | Google Inc. | Image-based key exchange |
| US8555067B2 (en) | 2010-10-28 | 2013-10-08 | Apple Inc. | Methods and apparatus for delivering electronic identification components over a wireless network |
| US20120130905A1 (en) * | 2010-11-09 | 2012-05-24 | The Regents Of The University Of California | Transaction verification on rfid enabled payment and transaction instruments |
| US8683053B2 (en) * | 2010-12-28 | 2014-03-25 | Sonus Networks, Inc. | Methods and apparatus for establishing secure communications between client computing devices that use transport and security protocols |
| MY159749A (en) * | 2011-03-23 | 2017-01-31 | Interdigital Patent Holdings Inc | Systems and methods for securing network communications |
| US9052861B1 (en) | 2011-03-27 | 2015-06-09 | Hewlett-Packard Development Company, L.P. | Secure connections between a proxy server and a base station device |
| CN103444215B (zh) | 2011-04-01 | 2017-10-27 | 瑞典爱立信有限公司 | 用于避免网络攻击的危害的方法和装置 |
| US8966588B1 (en) | 2011-06-04 | 2015-02-24 | Hewlett-Packard Development Company, L.P. | Systems and methods of establishing a secure connection between a remote platform and a base station device |
| US8634771B2 (en) | 2011-06-15 | 2014-01-21 | Microsoft Corporation | Simple peer-to-peer network formation |
| US10044713B2 (en) | 2011-08-19 | 2018-08-07 | Interdigital Patent Holdings, Inc. | OpenID/local openID security |
| US9246882B2 (en) | 2011-08-30 | 2016-01-26 | Nokia Technologies Oy | Method and apparatus for providing a structured and partially regenerable identifier |
| US8255687B1 (en) | 2011-09-15 | 2012-08-28 | Google Inc. | Enabling users to select between secure service providers using a key escrow service |
| EP2868131A4 (en) * | 2012-06-29 | 2016-03-02 | Nokia Technologies Oy | METHOD AND DEVICE FOR ACCESS PARAMETER DISTRIBUTION |
| US9088891B2 (en) | 2012-08-13 | 2015-07-21 | Wells Fargo Bank, N.A. | Wireless multi-factor authentication with captive portals |
| US8977856B2 (en) * | 2012-08-31 | 2015-03-10 | Blackberry Limited | Methods and apparatus for use in sharing credentials amongst a plurality of mobile communication devices |
| KR101296402B1 (ko) * | 2012-11-19 | 2013-08-14 | 주식회사 엔에스에이치씨 | 암호화된 시드를 이용한 모바일 오티피 장치의 등록 방법 |
| CN105339977A (zh) * | 2013-01-21 | 2016-02-17 | 赫美特里克斯有限公司 | 安全实时健康记录交换 |
| US10127378B2 (en) * | 2014-10-01 | 2018-11-13 | Kalman Csaba Toth | Systems and methods for registering and acquiring E-credentials using proof-of-existence and digital seals |
| US10756906B2 (en) | 2013-10-01 | 2020-08-25 | Kalman Csaba Toth | Architecture and methods for self-sovereign digital identity |
| US20150156207A1 (en) * | 2013-12-02 | 2015-06-04 | Institute For Information Industry | Network service system and network service utilizing method thereof |
| EP3180934B1 (en) * | 2014-08-15 | 2018-10-31 | Telefonaktiebolaget LM Ericsson (publ) | Methods and nodes for mapping subscription to service user identity |
| US9735968B2 (en) * | 2014-10-20 | 2017-08-15 | Microsoft Technology Licensing, Llc | Trust service for a client device |
| GB2538773A (en) * | 2015-05-28 | 2016-11-30 | Vodafone Ip Licensing Ltd | Device key security |
| EP3342117A1 (en) * | 2015-08-28 | 2018-07-04 | Telefonaktiebolaget LM Ericsson (publ) | Systems and methods for routing traffic originating from a communication device |
| US11032707B2 (en) * | 2016-05-06 | 2021-06-08 | Intel IP Corporation | Service authorization and credential provisioning for V2X communications |
| CN108234533B (zh) | 2016-12-12 | 2021-10-15 | 阿里巴巴集团控股有限公司 | 用户操作处理方法及相关设备 |
| CN111066374B (zh) * | 2017-07-18 | 2023-08-15 | 惠普发展公司,有限责任合伙企业 | 用于设备管理的系统和方法 |
| US10972455B2 (en) * | 2018-04-24 | 2021-04-06 | International Business Machines Corporation | Secure authentication in TLS sessions |
| US11386722B2 (en) | 2019-07-13 | 2022-07-12 | Toyota Motor North America, Inc. | Remote access of transports |
| US11014534B2 (en) | 2019-07-13 | 2021-05-25 | Toyota Motor North America, Inc. | Remote access of transports |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO1998039875A2 (de) | 1997-03-04 | 1998-09-11 | Mannesmann Ag | Verfahren zur einbringung eines diensteschlüssels in ein endgerät und vorrichtungen zur durchführung des verfahrens |
| WO2000062507A1 (en) | 1999-04-09 | 2000-10-19 | General Instrument Corporation | Key management between a cable telephony adapter and associated signaling controller |
| US7340600B1 (en) * | 2000-01-14 | 2008-03-04 | Hewlett-Packard Development Company, L.P. | Authorization infrastructure based on public key cryptography |
| EP1133132B1 (en) * | 2000-03-10 | 2007-07-25 | Alcatel Lucent | Method to perfom end-to-end authentication, and related customer premises network termination and access network server |
| FR2826212B1 (fr) | 2001-06-15 | 2004-11-19 | Gemplus Card Int | Procede de chargement a distance d'une cle de cryptage dans un poste d'un reseau de telecommunication |
| DE60131534T2 (de) * | 2001-09-04 | 2008-10-23 | Telefonaktiebolaget Lm Ericsson (Publ) | Umfassender Authentifizierungsmechanismus |
| US7398550B2 (en) * | 2003-06-18 | 2008-07-08 | Microsoft Corporation | Enhanced shared secret provisioning protocol |
-
2005
- 2005-11-30 CN CN200580052513.6A patent/CN101371550B/zh not_active Expired - Fee Related
- 2005-11-30 BR BRPI0520722A patent/BRPI0520722B1/pt not_active IP Right Cessation
- 2005-11-30 EP EP05822751.3A patent/EP1955511B1/en not_active Not-in-force
- 2005-11-30 WO PCT/EP2005/012766 patent/WO2007062672A1/en active Application Filing
- 2005-11-30 US US12/085,768 patent/US9015473B2/en not_active Expired - Fee Related
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101783806A (zh) * | 2010-03-15 | 2010-07-21 | 杭州华三通信技术有限公司 | 一种Portal证书认证方法及其装置 |
| CN105025005A (zh) * | 2014-04-25 | 2015-11-04 | 钮勒有限公司 | 提供网络证书 |
| CN105025005B (zh) * | 2014-04-25 | 2019-04-19 | 华为技术有限公司 | 提供网络证书的方法和设备 |
| CN106465113A (zh) * | 2014-08-28 | 2017-02-22 | 谷歌公司 | 特定场所的Wi‑Fi连接通知 |
| CN106465113B (zh) * | 2014-08-28 | 2020-04-10 | 谷歌有限责任公司 | 特定场所的Wi-Fi连接通知 |
| CN107004051A (zh) * | 2014-10-01 | 2017-08-01 | 沃迪公司 | 个体信息的安全访问 |
| WO2017028593A1 (zh) * | 2015-08-19 | 2017-02-23 | 腾讯科技(深圳)有限公司 | 网络接入设备接入无线网络接入点的方法、网络接入设备、应用程序服务器和非易失性计算机可读存储介质 |
| US10667131B2 (en) | 2015-08-19 | 2020-05-26 | Tencent Technology (Shenzhen) Company Limited | Method for connecting network access device to wireless network access point, network access device, and application server |
| CN113015159A (zh) * | 2019-12-03 | 2021-06-22 | 中国移动通信有限公司研究院 | 初始安全配置方法、安全模块及终端 |
| CN114244542A (zh) * | 2020-09-08 | 2022-03-25 | 四零四科技股份有限公司 | 凭证管理系统及凭证管理方法 |
| CN114244542B (zh) * | 2020-09-08 | 2024-03-29 | 四零四科技股份有限公司 | 凭证管理系统及凭证管理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101371550B (zh) | 2012-01-25 |
| EP1955511B1 (en) | 2015-02-25 |
| US9015473B2 (en) | 2015-04-21 |
| US20090158032A1 (en) | 2009-06-18 |
| WO2007062672A1 (en) | 2007-06-07 |
| BRPI0520722B1 (pt) | 2018-12-26 |
| BRPI0520722A2 (pt) | 2009-06-13 |
| EP1955511A1 (en) | 2008-08-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101371550B (zh) | 自动安全地向移动通信终端的用户供给在线服务的服务访问凭证的方法和系统 | |
| EP1997292B1 (en) | Establishing communications | |
| KR101009330B1 (ko) | 모바일 네트워크를 기반으로 하는 엔드 투 엔드 통신에서의 인증을 위한 방법, 시스템 및 인증 센터 | |
| US8738898B2 (en) | Provision of secure communications connection using third party authentication | |
| JP4777729B2 (ja) | 設定情報配布装置、方法、プログラム及び媒体 | |
| US7707412B2 (en) | Linked authentication protocols | |
| AU2008213766B2 (en) | Method and system for registering and verifying the identity of wireless networks and devices | |
| US8555344B1 (en) | Methods and systems for fallback modes of operation within wireless computer networks | |
| RU2008146960A (ru) | Способ и система предоставления защищенной связи с использованием сотовой сети для множества устройств специализированной связи | |
| US20080137859A1 (en) | Public key passing | |
| JP7470671B2 (ja) | コアネットワークへの非3gpp装置アクセス | |
| CN112640387B (zh) | 用于无线连接的非si设备、si设备、方法和计算机可读介质和/或微处理器可执行介质 | |
| US20070263577A1 (en) | Method for Enrolling a User Terminal in a Wireless Local Area Network | |
| Matos et al. | Secure hotspot authentication through a near field communication side-channel | |
| Hall | Detection of rogue devices in wireless networks | |
| Eronen et al. | An Extension for EAP-Only Authentication in IKEv2 | |
| RU2779029C1 (ru) | Доступ не отвечающего спецификациям 3gpp устройства к базовой сети | |
| Cheng et al. | Security Analysis of LWAPP | |
| Pagliusi | Internet Authentication for Remote Access | |
| Lee et al. | Performance of an efficient performing authentication to obtain access to public wireless LAN with a cache table | |
| Networking | Project IEEE 802.16 Broadband Wireless Access Working Group< http://ieee802. org/16> Title Enhancement of 802.16 e to Support EAP-based Authentication/Key Distribution Rev. 3 | |
| Networking | Project IEEE 802.16 Broadband Wireless Access Working Group< http://ieee802. org/16> Title Enhancement of 802.16 e to Support EAP-based Authentication/Key Distribution Rev. 4 | |
| Pala | How to Bootstrap Trust among Devices in Wireless Environments via EAP-STLS | |
| Riaz | Wireless Authentication for secured and Efficient Communication | |
| Eronen et al. | RFC 5998: An Extension for EAP-Only Authentication in IKEv2 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120125 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |