CN102571766A - 注册和网络接入控制 - Google Patents
注册和网络接入控制 Download PDFInfo
- Publication number
- CN102571766A CN102571766A CN2011104375440A CN201110437544A CN102571766A CN 102571766 A CN102571766 A CN 102571766A CN 2011104375440 A CN2011104375440 A CN 2011104375440A CN 201110437544 A CN201110437544 A CN 201110437544A CN 102571766 A CN102571766 A CN 102571766A
- Authority
- CN
- China
- Prior art keywords
- client device
- interface unit
- network interface
- network
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/563—Data redirection of data network streams
Abstract
在注册和网络接入控制的实施例中,最初未配置的网络接口设备能注册且配置为客户端设备到公共网络的接口。在另一实施例中,网络接口设备能利用可扩展的认证协议(EAP)从客户端设备接收接入安全网络的网络接入请求,且该请求被传送到认证服务以基于用户凭证来认证客户端设备的用户。在另一实施例中,网络接口设备能从客户端设备接收利用通用接入方法(UAM)接入公共网络中Web站点的网络接入请求,且基于用户凭证将该请求重导向至认证服务以认证客户端设备的用户。
Description
技术领域
本发明涉及在网络接口设备处的计算机实施的方法。
背景技术
随着移动设备,诸如便携式计算机和移动电话继续变得越来越流行且用户具有多个设备,日益趋向具有一个全局数字身份,其能在漫游和访客网络接入时使用以及用于网络单点登录(single sign-on)体验。通常,用户对于家庭网络接入具有不同的密码短语和密钥,并且对于访问者接入具有商务设置暂时访客账户,或者向访客接入提供开放的不安全网络。移动用户通常必须记住每个站点的多个口令和身份,诸如当商务或学术用户旅行到不同城市或院校时。热点(hotspot)提供商,诸如旅馆、咖啡馆和机场预订昂贵的包月服务以配置和维持网络,该网络向旅客、访客和消费者提供因特网接入。
网络接入服务器(NAS)传统地使用RADIUS服务器用于基于用户账户数据库或组织目录的认证和授权决定,且通常与单个安全域相关联且在单个安全域内管理。可通过在代理Radius服务器处使用基于领域(realm)的路由来实现跨域认证,但这限制了跨安全性信任域向用户提供单点登录。
发明内容
提供下文的本发明内容来介绍注册和网络接入控制的简化概念,其将在下文的具体实施方式中进一步描述。本发明内容不预期标识所要求保护的主题的必要特征,也不预期用于确定所要求保护的主题的范围。
描述了注册和网络接入控制的实施例。在有些实施例中,最初未配置的网络接口设备能向设备管理服务注册且被配置为客户端设备到公共网络的接口。在网络接口设备处从认证服务接收加密令牌,其认证从客户端设备接收的用户凭证(credential)。该网络接口设备将加密令牌传送到客户端设备,作为来自认证服务的消息的部分,诸如消息脚本,其发起客户端设备自动重导向至设备管理服务。然后从设备管理服务接收导向至客户端设备的设备管理信息请求,且该设备管理信息请求被传送到客户端设备。响应于设备管理信息请求从客户端设备接收网络接口设备的标识,且将网络接口设备的标识传送到设备管理服务。
然后从设备管理服务接收导向至客户端设备的加密管理数据,且加密管理数据被传送到客户端设备。然后网络接口设备从客户端设备接收加密令牌和加密管理数据。该网络接口设备向设备管理服务告知加密令牌、加密管理数据和网络接口设备的标识,设备管理服务注册网络接口设备且生成对应于网络接口设备的唯一设备标识符。然后网络接口设备从设备管理服务接收网络接口设备的唯一设备标识符且注册网络接口设备。
在注册和网络接入控制的其它实施例中,网络接口设备利用可扩展的认证协议(EAP)从客户端设备接收接入安全网络的网络接入请求。网络接口设备便于客户端设备与认证服务通信,且客户端设备将身份响应传送到认证服务,其中身份响应包括从客户端设备接收的用户名称或任何其它类型的身份。从客户端设备接收导向至认证服务的安全性令牌请求且将安全性令牌请求传送到认证服务。
在网络接口设备处接收包括对安全性令牌请求的响应和证明密钥的加密令牌,其从认证服务导向至客户端设备。从认证服务接收的加密令牌传送到客户端设备,客户端设备存储证明密钥。然后网络接口设备从客户端设备接收加密令牌和随机数,且将验证(validation)请求传送至网络授权服务,其中验证请求包括加密安全性令牌(其包含加密令牌和证明密钥)、随机数和网络接口设备的设备标识符。网络接口设备从网络授权服务接收验证,其中验证包括由网络授权服务生成的主会话密钥,且验证向网络接口设备指示允许客户端设备接入安全网络。客户端设备能从加密的安全性令牌响应(其从认证服务接收)导出主密钥(例如,客户端设备接收和存储的证明密钥),且客户端设备和网络接口设备于是能使用主密钥来传送数据。
在注册和网络接入控制的其它实施例中,网络接口设备从客户端设备接收利用通用接入方法(UAM)接入公共网络中的Web站点的网络接入请求。该网络接口设备利用到认证服务的重导向对客户端设备做出回复。从认证服务接收导向至客户端设备的凭证请求,且凭证请求传送至客户端设备。从客户端设备接收导向至认证服务的用户凭证且将用户凭证传送到认证服务。
从认证服务接收导向至客户端设备的加密令牌,且加密令牌被传送到客户端设备。加密令牌然后从客户端设备向回告知给网络接口设备。网络接口设备将验证请求传送到网络授权服务,且验证请求包括加密令牌和网络接口设备的设备标识符。网络接口设备然后从网络授权服务接收验证,且验证向网络接口设备指示允许客户端设备接入到公共网络。然后网络接口设备将重导向传送到客户端设备以接入最初请求的公共网络中的Web站点。
附图说明
将参考下面的附图来描述注册和网络接入控制的实施例。在所有附图中使用相同的附图标记来表示同样的特征和组件:
图1示出其中可实施注册和网络接入控制的实施例的实例系统。
图2示出根据一个或多个实施例的注册和网络接入控制的实例方法(一个或多个)。
图3为进一步示出根据一个或多个实施例参考图1和图2所述的设备与服务之间的数据通信的实例图。
图4示出其中可实施注册和网络接入控制的实施例的另一实例系统。
图5示出根据一个或多个实施例的注册和网络接入控制的实例方法(一个或多个)。
图6为进一步示出根据一个或多个实施例参考图4和图5所述的设备与服务之间的数据通信的实例图。
图7示出根据一个或多个实施例的注册和网络接入控制的实例方法(一个或多个)。
图8为进一步示出根据一个或多个实施例参考图4和图7所述的设备与服务之间的数据通信的实例图。
图9示出用于在普遍存在的环境中无缝用户体验的具有多个设备的实例系统。
图10示出能实施注册与网络接入控制的实施例的实例设备的各个组件。
具体实施方式
描述了注册和网络接入控制。在一些实施例中,简化了经由网络接口设备对公共网络的网络接入和/或对安全网络的网络接入,还向网络的所有者提供对于谁连接到它的控制。此外,公司网络能控制授权,但将认证委派给联机认证提供商。诸如旅馆、咖啡馆和机场的热点提供商能限制网络配置和管理开销。家庭用户能基于容易记住的身份(诸如电子邮件地址)向亲友提供访客接入且不必共用网络登录密码短语。使用基于云的认证提供商和授权提供商服务来准予到安全网络的网络接入。
虽然所描述的用于注册和网络接入控制的系统和方法的特征和概念能实施于任意多个不同环境、系统、设备和/或各种配置中,在下面的实例设备、系统和配置的情形下描述了注册和网络接入控制的实施例。
图1示出其中能实施注册和网络接入控制的各种实施例(例如用于设备注册)的实例系统100。实例系统100包括客户端设备102,其可被配置为任何类型的客户端设备104。各种客户端设备中的某些包括有线和/或无线设备,且也可被称作用户设备和/或便携式设备。实例系统100还包括网络接口设备106、网络接入控制服务108和认证服务110。
服务和设备中的任一个能经由通信网络112通信,通信网络112可实施为包括便于数据通信的有线和/或无线网络。通信网络可为公共网络,诸如因特网,或者可实施为安全、专用和/或企业网络。该通信网络也可使用任何类型的网络拓扑和/或通信协议来实施,且可表示或另外实施为两个或两个以上网络的组合。通信网络也可包括移动操作者网络,其由诸如通信服务提供商、手机提供商和/或因特网服务提供商这样的移动运营商进行管理。移动操作者能促进任何类型的无线设备或移动电话(例如,蜂窝、VoIP、Wi-Fi等)的移动数据和/或语音通信。
在各种实施例中,网络接入控制服务108包括设备管理服务114和/或网络授权服务116。这些服务中的每一个能实施为计算机可执行的指令,诸如软件应用,且由一个或多个处理器来执行以实施本文所述的各种实施例。网络接入控制服务也可利用任意多个不同的组件和不同组件的组合来实施,如参考图10所示的实例设备进一步所述的那样。此外,设备管理服务和/或网络授权服务可实施为与网络接入控制服务分离的独立服务(例如,在单独服务器上,通过第三方服务,或者在客户端设备上)。在实施方式中,设备管理服务114和/或网络授权服务116为对于认证服务110的信任服务。三种服务能实施为实例系统100中预先存在的信任服务。作为替代或作为补充,认证服务、网络授权服务和设备管理服务能实施为SOAP(简单对象访问协议)Web服务。
网络接口设备106为能实施于家庭或小商务机构中的网络接入点或网络接入服务器(NAS)的实例。在注册和网络接入控制的实施例中,在从电子器件商店购买时或由因特网服务提供商(ISP)提供时最初未配置的网络接口设备能向设备管理服务114注册在经注册的设备118的列表中。网络接口设备能使用安全因特网协议向设备管理服务注册。网络接口设备也能利用唯一设备标识符120(例如全局唯一标识符(GUID)、由认证服务110分配的证书(certificate)或任何其它类型的唯一标识符)在网络接入控制服务108处全局唯一地标识。随同网络接口设备的注册,网络接入控制服务108可包括用于网络接口设备的配置设置122,且配置设置能向网络接口设备公布。
在注册最初未配置的网络接口设备的实例中,用户可以购买用于家庭或商务机构使用的新Wi-Fi路由器。用户然后可以第一次发起诸如移动电话或便携式计算机的客户端设备到路由器的连接。在实施例中,仅传统物件(legacy)和浏览器客户端设备能用于最初注册且配置网络接口设备,从而排除了对于具体客户端软件的需要。最初未配置的路由器能将用户重导向至登录页面,其中输入用户凭证(例如,用户名称和口令)。用户然后被导向至设置页面且键入网络接口设备的标识,诸如设备上的标识号码或随设备提供的安全号码。用户也可提供设备名称和最初配置设置。当设置信息提交给网络接入控制服务108时,客户端设备然后能安全地连接到网络接口设备。
用户然后也可从客户端设备接入该设备管理服务114且准予其它指定的用户(诸如在电子邮件地址簿中的用户联系人)经由网络接口设备进行因特网接入。到用户家或商务机构的访问者能提供电子邮件登录凭证,且然后准予网络接入以通过Wi-Fi路由器进行连接。在实施例中,设备管理服务114也可以向客户端设备发起信息请求124且传送加密的管理数据126到客户端设备。参考图2和图3中的设备注册进一步描述来自设备管理服务的信息请求以及加密管理数据。
网络授权服务116为基于Web的授权服务或者.Net接入服务的实例,其可用于唯一地标识多个网络接口设备且维持网络接口设备中每一个的接入控制规则。网络授权服务也可维持对于该服务唯一标识的网络接口设备中每一个的接入控制列表。参考图4至图8中的客户端设备网络接入来进一步描述网络授权服务。
认证服务110为信任的第三方身份提供商、标识控制服务和/或安全性令牌服务的实例,其能在诸如HTTPS的安全Web协议上传送认证消息且查验用户凭证。在实施例中,实施认证服务以对凭证128进行认证且传送加密令牌130到客户端设备。参考图2和图3的设备注册且参考图4至图8中的客户端设备网络接入来进一步描述认证的凭证以及加密令牌。在实施例中,网络接入控制服务108、认证服务110、设备管理服务114和网络授权服务116在实例系统100中为信任的服务。信任的服务全都信任从其它服务接收的用于设备注册、用户认证和/或网络接入授权的通信。举例而言,认证服务110能对仅由设备管理服务114解密的信息加密,诸如从认证服务路由到客户端设备102的加密令牌130,其然后被重导向至设备管理服务。
各种客户端设备104中任一个可被配置为客户端设备102且可利用任意多个不同的组件和不同组件的组合来实施,如参考图10中所示的实例设备进一步描述的那样。客户端设备102能包括用户凭证132,诸如用户名称和口令,其与设备的用户相关联。客户端设备也可包括网络接口设备106的接口设备标识134,诸如标识号码、序列号、物理标识符、随设备提供的安全号和/或最初设置网络接口设备所提供的数字与口令组合。客户端设备也可接收并维持从设备管理服务114接收的、并用于注册网络接口设备106的加密数据136,这进一步参考图2和图3中的设备注册来描述。
在此实例系统100中,客户端设备104能实施为电视客户端设备138、计算机设备140、游戏系统142、家电设备、电子设备和/或任何其它类型设备中的任一个或组合。各种客户端设备也可包括无线设备,其被实施为接收和/或传送无线数据,无线设备移动电话144(例如,蜂窝、VoIP、WiFi等)、便携式计算机设备146、媒体播放器设备148和/或任何其它无线设备中的任一个或组合。客户端系统可包括相应客户端设备和显示设备150,其一起使得电子邮件消息显示。显示设备能实施为任何类型的电视、高分辨率电视(HDTV)、LCD或类似显示系统。
参考图2、图5、图7描述根据注册和网络接入控制中一个或多个实施例的实例方法200、500和700。一般而言,本文所述的功能、方法、过程、组件和模块中任一个可使用软件、固件、硬件(例如,固定逻辑电路)、手动处理或其任何组合来实施。软件实施方式表示当由计算机处理器执行时执行指定任务的程序代码。实例方法可在计算机可执行指令的一般情形下描述,其可包括软件、应用、例程、程序、对象、组件、数据结构、过程、模块、功能等等。程序代码能存储于对于计算机处理器为本地和/或远程的一个或多个计算机可读存储设备中。方法也可由多个计算机设备在分布式计算环境中实践。另外,本文所述的特点独立于平台且可实施于具有多种处理器的计算平台上。
图2示出注册和网络接入控制的实例方法(一个或多个)200,且参考最初未配置且向设备管理服务注册的网络接口设备来描述。描述方法方块的次序不预期被认为是限制,且任意多个描述的方法方块能以任何次序组合以实施一种方法或替代方法。
在方块202,发起向设备管理服务注册网络接口设备以最初配置网络接口设备为客户端设备到公共网络的接口。举例而言,网络接口设备106(图1)从客户端设备102接收连接到公共网络的请求,诸如因特网主页的请求。在一实施例中,最初未配置的网络接口设备限制客户端设备通过网络接口设备接入到公共网络直到配置且向设备管理服务114注册了网络接口设备为止。
发起网络接口设备的注册包括从客户端设备接收连接到公共网络的请求;利用URL重导向将自客户端设备的请求重导向至认证服务110;从认证服务接收导向至客户端设备的凭证请求,凭证请求通过网络接口设备传递或直接传送到客户端设备;以及从客户端设备接收导向至认证服务的用户凭证132,用户凭证通过网络接口设备传递或直接传送到认证服务。用户凭证可以包括用于由认证服务进行认证的用户名称和口令组合,且用户凭证可在设备管理服务处与网络接口设备的唯一设备标识符120相关联。
在方块204,从认证从客户端设备接收的用户凭证的认证服务接收导向至客户端设备的加密令牌;且在方块206,将加密令牌传递到客户端设备,其然后重导向至设备管理服务。举例而言,网络接口设备106从认证从客户端设备接收的用户凭证132的认证服务110接收加密令牌130。该网络接口设备然后传递加密令牌到客户端设备,作为来自认证服务的消息的部分,诸如消息脚本,其发起客户端设备自动重导向至设备管理服务114。
在方块208,从设备管理服务接收导向至客户端设备的设备管理信息请求,且将该设备管理信息请求传送到客户端设备。举例而言,网络接口设备106接收设备管理信息请求124,其从设备管理服务114导向至客户端设备102,且设备管理信息请求通过网络接口设备传递或者直接传送到客户端设备。
在方块210,响应于设备管理信息请求从客户端设备接收网络接口设备的标识,且网络接口设备的标识传送到设备管理服务。举例而言,网络接口设备106从客户端设备102接收接口设备标识134且接口设备标识通过网络接口设备传递或者直接传送到设备管理服务114。接口设备标识能包括对应于网络接口设备的设备标识符或安全性标识符,诸如网络接口设备的物理标识符或序列号。接口设备标识也可包括从客户端设备经由网络接口设备传送到设备管理服务的网络接口设备的配置设置。
在方块212,从设备管理服务接收导向至客户端设备的加密管理数据,且将加密管理数据传送到客户端设备。举例而言,网络接口设备106从设备管理服务114接收加密管理数据126且将加密管理数据通过网络接口设备传递或者直接地传送到客户端设备。在某些实施方式中,加密管理数据可被称作加密的blob(二进制大对象)或不透明的blob(其被加密且对于网络接口设备是不透明的)。加密管理数据由设备管理服务生成且随后当网络接口设备向后向设备管理服务告知加密的管理数据时由设备管理服务用于认证网络接口设备。
在方块214,从客户端设备接收加密令牌和加密管理数据。举例而言,网络接口设备106从客户端设备102接收加密数据136,其中加密数据136包括从认证服务110接收的加密令牌130且包括从设备管理服务114接收的加密管理数据126。
在方块216,向设备管理服务告知加密令牌、加密管理数据和网络接口设备的标识符,设备管理服务注册网络接口设备且生成对应于网络接口设备的唯一设备标识符。举例而言,网络接口设备106向设备管理服务114告知加密数据136(例如,加密令牌130和加密管理数据126)和接口设备标识,设备管理服务114注册网络接口设备且生成对应于网络接口设备的唯一设备标识符120。
在方块218,从设备管理服务接收网络接口设备的唯一设备标识符。举例而言,然后网络接口设备106从设备管理服务114接收唯一设备标识符120。网络接口设备的所有者和/或用户现映射到对应于网络接口设备的唯一设备标识符。
图3为进一步示出在参考图1和图2所述的各种设备与服务之间的数据通信的实例图300。实例图包括客户端设备102、网络接口设备106、认证服务110和设备管理服务114以及在设备与服务之间用于设备注册的数据通信序列。
在302,客户端设备向网络接口设备传送对于因特网主页的请求。在304,网络接口设备利用URL重导向将来自客户端设备的请求重导向至认证服务。在306,客户端设备将重导向请求作为HTTP GET(HTTP获取)传送到认证服务。在308,认证服务传送导向至客户端设备的凭证请求。凭证请求可通过网络接口设备传递或者经由替代通信链路直接传送到客户端设备。在310,客户端设备将用户凭证作为HTTPS POST(HTTP 更新)传送到认证服务,且用户凭证通过网络接口设备传递或者经由替代通信链路直接传送到认证服务。在312,认证服务对用户凭证进行认证且将加密令牌作为HTTP Response传送到客户端设备。该网络接口设备将加密令牌传递到客户设备,作为来自认证服务的消息的一部分,诸如消息脚本,其发起客户端设备自动重导向至设备管理服务。
在314,重导向加密令牌作为HTTP Get传送到设备管理服务。在316,设备管理服务传送信息请求形式到客户端设备,且信息请求形式通过网络接口设备传递或者经由替代通信链路直接传送到客户端设备。在318,客户端设备将网络接口设备的标识(也被称作NAS)(即,NAS物理ID)和网络接口设备的配置设置作为HTTPS Post传送到设备管理服务。NAS物理ID和配置设置可通过网络接口设备传送或者经由替代通信链路直接传送到设备管理服务。在320,设备管理服务将加密blob作为HTTP Response(HTTP响应)传送给客户端设备,且加密blob能通过网络接口设备传递。加密blob也可通常被称作不透明的blob,其被加密且因此对于网络接口设备是不透明的。
在322,客户端设备将加密blob与加密令牌一起作为HTTP Post重导向至网络接口设备。在324,网络接口设备将加密令牌、加密blob和NAS物理ID作为HTTPS Post传送到设备管理服务。在326,设备管理服务注册网络接口设备,生成对应于网络接口设备的唯一设备标识符且将唯一设备标识符与可选的设备设置一起传送到网络接口设备。网络接口设备的所有者和/或用户现映射到对应于网络接口设备的唯一设备标识符。
图4示出其中能实施注册和网络接入控制的各种实施例的另一实例系统400,诸如用于客户端设备网络接入。实例系统400包括客户端设备102、网络接入控制服务108和认证服务110,如参考图1所述的那样。服务和设备中任一个能经由通信网络112传送,其也参考图1展开描述。此外,设备管理服务114和/或网络授权服务116能配置为对于认证服务110的信任的服务,如参考图1所述的那样。
在第一网络接入情形下,客户端设备102可为便携式计算机,其被配置成具有客户端软件,客户端软件利用可扩展的认证协议(EAP)方法用于网络接入。举例而言,来自第一公司的雇员可能正访问第二公司,打开Wi-Fi配置的便携式计算机,且利用无缝认证自动地连接到第二公司的访客网络。第二公司的访客网络能利用联机身份提供商,其使用雇员的凭证来联合属于第一公司的服务器且认证该雇员。如果第二公司具有允许第一公司的雇员进行网络接入的限定的接入控制策略,那么雇员的便携式计算机连接到第二公司的访客网络。参考图5和图6来描述EAP配置的客户端设备的网络接入。
在第二网络接入情形下,客户端设备102可为移动电话或者仅配置有浏览器的受限制的设备,且请求网络接入,例如经由实施强制网络门户解决方案(也被称作通用接入方法(UAM))的热点提供商。客户端设备可为允许的HTTP通信,其重导向至认证服务以认证客户端设备。举例而言,小商务机构业主能经由向联机提供商注册的无线网络接口设备向客户提供因特网接入。于是商务机构业主能接入网络接口设备的接入控制页且准予(或拒绝)与商务机构客户相关联的具体电子邮件地址的网络接入。参考图7和图8来描述客户端设备经由UAM的网络接入。
实例系统400还包括网络接口设备402,其包括认证器服务器404,认证器服务器404可实施为可扩展的认证协议(EAP)认证器。此外,网络接口设备可实施为RADIUS服务器或者与RADIUS服务器(未图示)一起实施。在公司或较大商务机构环境下,网络接口设备(也被称作网络接入服务器(NAS))可被配置成具有现有RADIUS服务器,且认证器服务器(EAP认证器)可如上文参考图1至图3所述那样注册。在企业情形下,认证器服务器和Radius服务器能位于单独的服务器设备上。
网络接口设备402为客户端设备到安全网络406(诸如私营商务机构、公司和/或企业网络)的接口。在认证之前,网络接口设备限制客户端设备接入到安全网络,且提供到认证服务110的接入以请求安全性令牌。在网络接口设备处的认证器服务器404能经由通信网络112在HTTPS信道上与认证服务110和网络授权服务116通信。网络接口设备还包括设备标识符408,其向网络接入控制服务108和/或网络授权服务116标识网络接口设备。
如参考图1所述的那样,网络接入控制服务108包括设备管理服务114和/或网络授权服务116。网络接口设备402也能利用唯一设备标识符120(诸如全局唯一标识符(GUID)、由认证服务110分配的证书或任何其它类型的唯一标识符)在网络接入控制服务108处全局地唯一标识。
网络授权服务116为基于Web的授权服务或.Net接入服务的实例,其可用于唯一地标识多个网络接口设备且维持网络接口设备中每一个的接入控制规则。网络授权服务管理接入控制列表410,其包括网络接口设备402的身份规则。在实施例中,网络授权服务也可从认证服务110接收证明密钥412且生成主会话密钥414。参考图5至图8中的客户端设备网络接入进一步描述网络授权服务以及证明密钥以及主会话密钥。
认证服务110为信任的第三方身份提供商、标识控制服务和/或安全性令牌服务的实例,其能在诸如HTTPS的安全Web协议上传送认证消息且查验用户凭证。在实施例中,实施认证服务以认证凭证128,且认证可包括来自认证服务的安全性令牌采集,诸如对客户端设备的安全性令牌响应416。认证服务可向客户端设备发布已签名的安全性令牌,且也可发布证明密钥418,诸如所有权证明令牌(POP),其在客户端设备处用于展示已签名的安全性令牌的授权用途。然后身份宣称能用于查找特定网络接口设备的接入控制列表410。参考图2中的设备注册且参考图5至图8中的客户端设备网络接入进一步描述安全性令牌响应和证明密钥。
客户端设备102能包括与设备的用户相关联的用户凭证132,诸如用户名称和口令。客户端设备也可接收并维持从认证服务110接收的加密数据420,诸如安全性令牌响应416和证明密钥418,如参考图5至图8的客户端设备网络接入进一步所述的那样。
图5示出注册和网络接入控制的实例方法(一个或多个)500且参考包括认证器服务器的网络接口设备来描述。描述方法方块的次序不预期被认为是限制,且任意多个描述的方法方块能以任何次序组合以实施方法或替代方法。
在方块502,从客户端设备接收接入安全网络的网络接入请求。举例而言,网络接口设备402从客户端设备102接收接入安全网络406的网络接入请求。在方块504,从客户端设备请求用户凭证且在方块506,从客户端设备接收用户凭证。举例而言,在网络接口设备402处的认证器服务器404从客户端设备请求用户凭证132且然后网络接口设备从客户端设备接收用户凭证,例如用于由认证服务110认证的用户名称和口令组合。在实施例中,由网络接口设备实施的认证器服务器404为可扩展的认证协议(EAP)认证器且客户端设备被配置用于EAP通信。
在方块508,回复作为认证服务的代理被传送到客户端设备以发起客户端设备对认证服务的认证。举例而言,网络接口设备402处的认证器服务器404回复客户端设备102且身份响应传送到认证服务110,认证服务110然后与客户端设备通信。来自网络接口设备的回复能发起客户端设备与认证服务之间的各种EAP会话通信。举例而言,最初服务器问候(greeting)证书(也被称作服务器打招呼(你好,hello)证书)从认证服务导向至客户端设备以设置安全隧道进行通信。网络接口设备能将最初证书传送给客户端设备,或者最初证书能经由替代通信链路传送。然后网络接口设备接收密钥交换和更改密文规格消息,其从客户端设备导向至认证服务,且网络接口设备将密钥交换和更改密文规格消息传送到认证服务。从认证服务接收导向至客户端设备的更改密文规格消息且更改密文规格消息经由网络接口设备传送到客户端设备。在客户端设备从认证服务接收更改密文规格消息之后,在客户端设备与认证服务之间建立安全信道。对认证服务与客户端设备之间的所有随后的通信进行加密,且网络接口设备继续传递加密通信,而不访问分组交换的内容。这还在下文中参考图6中所示的数据通信描述为传输层安全性(TLS)握手。
在方块510,从客户端设备接收导向至认证服务的安全性令牌请求,且安全性令牌请求传送到认证服务。举例而言,网络接口设备402代表客户端设备的用户从客户端设备102接收安全性令牌请求且安全性令牌请求被传送到认证服务110。
在方块512,接收加密令牌,其包括对于安全性令牌请求和证明密钥的响应,加密令牌从认证服务导向至客户端设备,客户端设备存储证明密钥。举例而言,网络接口设备402从认证服务110接收导向至客户端设备102的加密令牌,其中加密令牌包括安全性令牌响应416和证明密钥418。客户端设备102将证明密钥418与安全性令牌响应416一起存储为加密数据420。客户端设备能将安全密钥用作网络授权服务的“拥有证明”,其表明该客户端设备为加密令牌的合法所有者。在实施例中,证明密钥为在客户端设备与网络授权服务之间共享的秘密,且客户端设备能使用证明密钥来导出主会话密钥,而不将其传输到网络认证服务或反之亦然。
在方块514,从客户端设备接收加密令牌和随机数。举例而言,网络接口设备402从客户端设备102接收随机数(也被称作现时(Nonce),使用一次)和回来的加密令牌(即,在方块512,由客户端设备从认证服务110接收的加密令牌)。
在方块516,验证请求被传送到网络授权服务,验证请求包括加密的安全性令牌、随机数和网络接口设备的设备标识符。举例而言,然后网络接口设备402将验证请求传送到网络接入控制服务108处的网络授权服务116且验证请求包括加密的安全性令牌(其包含加密令牌和证明密钥),从客户端设备接收的随机数和包括于通过网络接口设备的验证请求中的网络接口设备的设备标识符408。网络接口设备传送其自己的设备标识符使得网络授权服务能标识哪个设备正在发送加密令牌。
在方块518,从网络授权服务接收验证,验证包括由网络授权服务生成的主会话密钥且验证指示网络接口设备允许客户端设备接入到安全网络。举例而言,网络接口设备402从网络授权服务116接收验证,其对加密令牌进行验证和解密,以及执行接入控制列表410的接入检查以查验客户端设备的用户或者认证的身份能接入到网络接口设备。网络授权服务116然后使用证明密钥412、随机数和派生函数(derivation function)在加密信道上将主会话密钥414递送到EAP的网络接口设备。网络接口设备从网络授权服务接收主会话密钥,其向网络接口设备指示允许客户端设备接入到安全网络406。
在方块520,将准予接入的消息传送到客户端设备,其发起客户端设备以利用证明密钥和随机数来生成主会话密钥的副本。举例而言,网络接口设备402将准予接入的消息传送给客户端设备102,其然后利用证明密钥和随机数生成主会话密钥的它自己的副本。客户端设备102和网络接口设备402这二者然后能从主会话密钥独立地导出瞬时会话密钥且使用其来加密在不安全信道上的未来通信。
图6为进一步示出在参考图4和图5所述的各种设备与服务之间的数据通信的实例图600。实例图包括客户端设备102、网络接口设备402、认证服务110和网络授权服务116以及在设备与服务之间利用EAP进行客户端设备网络接入的数据通信序列。
在602,客户端设备将EAP开始消息传送到网络接口设备,例如呈网络接入请求的形式。在604,网络接口设备传送EAP ReqID(请求ID)消息以从客户端设备请求用户身份。在606,客户端设备传送EAP RespID(响应ID)消息以提供用户名称给网络接口设备且在608,认证开始消息传送回到客户端设备。在610,客户端设备传送认证响应(也被称作客户打招呼(你好,hello)消息)给认证服务。
在实施例中,网络接口设备从客户端设备接收EAP RespID消息,将认证开始消息向后传送到客户端设备,其然后将认证响应传送到认证服务。网络接口设备也接收从认证服务回来的响应且将响应转换成EAP消息,EAP消息传送回到客户端设备。在实施方式中,客户端设备和网络接口设备可预先配置为与指定网络授权服务通信。举例而言,客户端设备102和网络接口设备402可预先配置为与网络授权服务116通信。
在612,认证服务传送导向至客户端设备的最初问候证书(例如,服务器打招呼消息以及服务器证书)且服务器证书用于设置安全隧道用于通信。服务器证书能通过网络接口设备传递到客户端设备,或者经由替代通信链路传送到客户端设备。在614,客户端设备传送导向至认证服务的密钥交换和更改密文规格消息,且消息通过网络接口设备传递或经由替代通信链路传送到认证服务。在616,认证服务传送导向至客户端设备的更改密文规格消息,且更改密文规格消息通过网络接口设备或经由替代通信链路传送到客户端设备。现设置安全通道且利用自密钥交换消息导出的密钥加密,且密钥用于对所有消息进行加密。
上面在610-616中所述的数据通信能实施为传输层安全性(TLS)握手以在客户端设备与认证服务之间建立安全通信信道以便用于通信安全性。举例而言,来自客户端设备的ClientHello消息开始协商,且消息可包括版本协商、随机数交换和其它会话消息。认证服务利用ServerHello(服务器打招呼)消息做出响应,且消息确认协议版本和其它会话信息。认证服务也传送证书消息和ServerHelloDone(服务器打招呼完成)消息以指示完成了握手协商。客户端设备利用ClientKeyExchange(客户端密钥交换)消息和ChangeCipherSpec(更改密文规格)记录做出响应以向认证服务指示来自客户端设备的所有随后通信将被认证,且被加密(如果确立了加密参数)。客户端设备也传送加密的完成消息。认证服务也传送ChangeCipherSpec到客户端设备,和认证和加密的完成消息。然后完成TLS握手且能在客户端设备与认证服务之间实现应用协议。
在618,客户端设备传送导向至认证服务的安全性令牌请求且安全性令牌请求通过网络接口设备传送或者经由替代通信链路传送到认证服务。在620,认证服务以加密令牌对客户端设备做出回复,加密令牌包括对安全性令牌请求和证明密钥(其由客户端设备存储)的响应。加密令牌通过网络接口设备传送或者经由替代通信链路传送到客户端设备。
在622,客户端设备传送加密令牌和随机数(例如,现时)到网络接口设备。在624,网络接口设备将验证请求传送到网络授权服务,且验证请求包括加密的安全性令牌(其包含加密令牌和证明密钥这两者)、随机数和网络接口设备的标识。在626,网络授权服务验证了加密令牌且传送主会话密钥到网络接口设备,其中验证向网络接口设备指示允许客户端设备接入安全网络。在628,网络接口设备传送EAP成功消息给客户端设备,且准予客户端设备的网络接入。
图7示出注册和网络接入控制的实例方法(一个或多个)700且参考网络接口设备和利用通用接入方法(UAM)的客户端设备的网络接入来进行描述。描述方法方块的次序不预期被认为是限制,且任意多个描述的方法方块能以任何次序组合以实施方法或替代方法。
在方块702,从客户端设备接收接入到公共网络中的Web站点的网络接入请求。举例而言,网络接口设备402从客户端设备102接收接入到公共网络112中的Web站点的网络接入请求。在强制网络门户实施方式中,客户端设备经由网络接口设备连接到网络,且在网络接口设备上的DHCP服务器应用防火墙规则来在发布网络地址之后限制网络接入。当客户端设备请求接入到因特网上的Web站点时,防火墙阻挡该请求。
在方块704,回复作为到认证服务的重导向而传送到客户端设备。举例而言,网络接口设备402利用URL将来自客户端设备的请求重导向至认证服务110,且代表客户端设备的用户从认证服务请求安全性令牌。在方块706,从认证服务接收导向至客户端设备的凭证请求,且凭证请求被传送至客户端设备。举例而言,网络接口设备402从认证服务110接收导向至客户端设备102的凭证请求。网络接口设备将凭证请求传送到客户端设备,或者凭证请求经由替代通信链路传送到客户端设备。
在方块708,从客户端设备接收导向至认证服务的用户凭证且将用户凭证传送到认证服务。举例而言,网络接口设备402从客户端设备接收导向至认证服务110的用户凭证132,且将用户凭证传送到认证服务。所述用户凭证可包括用于由认证服务进行认证的用户名称和口令组合。用户凭证也与在网络授权服务116处维护的接入控制列表410中的网络接口设备402的唯一设备标识符120相关联。
在方块710,从认证服务接收导向至客户端设备的加密令牌,且将加密令牌传送到客户端设备,客户端设备然后向后向网络接口设备告知加密令牌。举例而言,网络接口设备402从基于用户凭证132认证客户端设备的用户的认证服务110接收导向至客户端设备102的加密令牌。加密令牌被传送到客户端设备,然后客户端设备向后向网络接口设备告知加密令牌。在一实施方式中,认证服务110响应地发布宣称令牌(对于网络授权服务116加密的该宣称令牌),且脚本将客户端浏览器自动地重导向以向网络接口设备上的强制网络门户后台进程告知加密令牌。该告知可在未加密信道上进行,然而令牌已针对依赖的实体加密。
在方块712,验证请求被传送到网络授权服务,验证请求包括加密的令牌和网络接口设备的设备标识符。举例而言,网络接口设备402将验证请求传送到网络授权服务116,且验证请求包括设备标识符408和加密令牌(例如,在方块710从认证服务110接收且由客户端设备告知。
在方块714,从网络授权服务接收验证,验证指示网络接口设备允许客户端设备接入到公共网络。举例而言,网络接口设备402从网络授权服务116接收验证决定,且验证向网络接口设备授权客户端设备,且指示客户端设备102能接入到公共网络。网络授权服务对加密的令牌进行解密且对接入控制列表410执行接入检查以确定网络接口设备是否要在网络上授权,且是否向网络接口设备授权客户端设备。举例而言,热点提供商不必对于访问者创建暂时的用户名称和口令,访问者可以替代地对网络接口设备直接认证。
在方块716,重导向传送到客户端设备以接入公共网络中的Web站点。举例而言,网络接口设备402将重导向传送到客户端设备102以接入最初请求的公共网络中的Web站点。现向网络接口设备认证客户端设备而无需临时凭证。
图8为进一步示出了在参考图4和图7所述的各种设备与服务之间的数据通信的实例图800。实例图包括客户端设备102、网络接口设备402、认证服务110和网络授权服务116以及用于客户端设备网络接入(利用通用接入方法(UAM))的设备与服务之间的数据通信序列。
在802,客户端设备将网络接入请求传送到网络接口设备,网络接入请求例如呈Web请求的形式。在804,网络接口设备利用URL将来自客户端设备的请求重导向至认证服务。在806,客户端设备将重导向请求作为HTTP Get传送到认证服务。在808,认证服务传送导向至客户端设备的凭证请求,且将凭证请求通过网络接口设备传递。在810,客户端设备将用户凭证作为HTTPS Post传送到认证服务,且用户凭证通过网络接口设备传递。
在812,认证服务认证用户凭证且将加密的令牌作为HTTP Response传送给客户端设备,且加密的令牌作为向后向网络接口设备告知的重导向消息通过网络接口设备传送到客户端设备。在814,客户端设备将重导向的加密令牌作为HTTP Post传送至网络接口设备。
在816,网络接口设备将验证请求传送到网络授权服务,且验证请求包括加密的令牌和网络接口设备的标识(例如,设备ID)。在818,网络授权服务利用验证对网络接口设备做出回复,验证指示允许客户端设备接入到公共网络。在820,网络接口设备将重导向传送到客户端设备以接入最初请求的公共网络中的Web站点。
图9示出包括如参考图1所述的客户端设备102和网络接口设备106(且可包括如参考图4所述的网络接口设备402)的实例系统900。实例系统900实现在使用任何类型的计算机、电视和/或移动设备时无缝用户体验的普遍存在的环境。在利用应用,播放视频游戏,观看视频,聆听音乐等时当从一个设备过渡到下一设备时,服务和应用在共同用户体验的所有环境中基本上类似地运行。
在实例系统900中,多个设备能通过中央计算设备互连,中央计算设备可对于多个设备而言是本地的或者可位于离多个设备的远处。在一实施例中,中央计算设备可为通过网络、因特网或其它数据通信链路连接到多个设备的一个或多个服务器计算机云。在实施例中,此互连架构使得跨多个设备的功能向多个设备的用户提供共同且无缝的体验。设备中的每一个可具有不同的物理要求和能力,且中央计算设备使用平台来实现递送既适合于特定设备又与所有设备共有的体验。在一实施例中,创建一类目标设备且对于一般类别的设备定制用户体验。一类设备可由设备的物理特征、使用类型或其它共同特性限定。
在各种实施方式中,客户端设备102可以多种不同配置来实现,例如计算机902、移动设备904和电视906用途。这些配置中每一个包括可具有通常不同构造和能力的设备,且客户端设备可根据不同设备类别中的一个或多个类别来配置。举例而言,客户端设备可实施为任何类型的个人计算机、台式计算机、多屏幕计算机、膝上型计算机、平板、笔记本等。
客户端设备102也可实施为任何类型的移动设备,诸如移动电话、便携式音乐播放器、便携式游戏设备、平板计算机、多屏幕计算机等。客户端设备也可实施为任何类型的电视设备,其具有或连接到非正式观看环境中通常更大的屏幕。这些设备包括电视、机顶盒、游戏控制台等。本文所述的技术能由客户端设备的这些各种配置来支持且并不限于本文所述的注册和网络接入控制的具体实例。
云908包括和/或代表用于网络接入服务912的平台910。平台提取诸如服务器设备的硬件和/或云软件资源的基本功能。网络接入服务可包括能在距客户端设备远的服务器上执行计算机处理时利用的应用和/或数据。举例而言,网络接入服务可包括网络接入控制服务108、认证服务110、设备管理服务114和/或网络授权服务116,如参考图1至图8中任一个所述的那样。网络接入服务912可提供为在因特网上和/或通过诸如蜂窝或WiFi网络的用户网络的服务。
图10示出实例设备1000的各种组件,实例设备1000能实施为参考先前图1至图9所述的设备中的任一个或由这些设备实施的服务中的任一个。在实施例中,该设备可实施为固定或移动设备的任一个或组合,呈消耗装置、计算机、服务器、网络接口、便携装置、用户、通信、电话、导航、电视、用具、游戏、媒体播放和/或电子设备中的任何形式。该设备还可与操作该设备的用户(即,人)和/或实体相关联,使得设备描述包括用户、软件、固件、硬件和/或设备组合的逻辑设备。
该设备1000包括通信设备1002,其有允许设备数据1004,诸如接收的数据,正被接收的数据,安排用于广播的数据,数据的数据分组等进行有线和/或无线通信。该设备数据或其它设备内容能包括设备的配置设置、存储于设备上的媒体内容和/或与设备的用户相关联的信息。存储于设备上的媒体内容可包括任何类型的音频、视频和/或图像数据。该设备包括一个或多个数据输入端1006,经由数据输入端1006,能接收任何类型的数据、媒体内容和/或输入,诸如用户可选择的输入、消息、通信、音乐、电视内容、记录的视频内容和从任何内容和/或数据源接收的任何其它类型的音频、视频和/或图像数据。
该设备1000还包括通信接口1008,诸如串行、并行、网络或无线接口中的任一个或多个。通信接口提供在设备与通信网络之间的连接和/或通信链路,经由该连接和/或通信链路,其它电子、计算和通信设备与该设备传送数据。
该设备1000包括一个或多个处理器1010(例如,微处理器、控制器等中的任一个),其处理各种计算机可执行的指令以控制该设备的操作。作为替代或作为补充,该设备可利用软件、硬件、固件或固定逻辑电路中的任一个或组合来实施,其结合在1012处一般地标识的处理和控制电路来实施。尽管未图示,该设备可包括在设备内耦合各组件的系统总线或数据转移系统。系统总线可包括不同总线结构中的任一个或组合,诸如存储器总线或存储器控制器、外围总线、通用串行总线和/或利用多种总线架构中任一个的处理器或本地总线。
该设备1000还包括实现数据存储的一个或多个存储器设备(例如,计算机可读存储介质)1014,诸如随机存取存储器(RAM)、非易失性存储器(例如,只读存储器(ROM)、闪存等)和盘存储设备。盘存储设备可实施为任何类型的磁性或光学存储设备,诸如硬盘驱动、可记录和/或可写入的盘等等。该设备也可包括大容量存储介质设备。
计算机可读介质可以是由计算设备存取的任何一个或多个可用介质。举例而言且并无限制意义,计算机可读介质可包括存储介质和通信介质。存储介质包括以任何方法或技术实现的用于存储信息(例如计算机可读指令、数据结构、程序模块或其它数据)的易失性和非易失性、可移动和不可移动的介质。存储介质包括(但不限于)RAM、ROM、EEPROM、闪存或其它存储技术;CD-ROM、数字多用盘(DVD)或其它光学存储设备;磁盒、磁带、磁盘存储设备或其它磁性存储设备;或可用于存储信息且能由计算机存取的任何其它介质。
通信介质典型地将计算机可读指令、数据结构、程序模块或其它数据体现为调制的数据信号(例如载波或其它传输机制)。通信介质还包括任何信息递送介质。术语调制的数据信号表示具有其特征集合中一个或多个特征或者改变使得编码信号中的信息的信号。举例而言,且并无限制意义,通信介质包括有线介质,诸如有线网络或直接线连接,和无线介质,诸如声学、RF、红外线和其它无线介质。
存储设备1014提供数据存储机构来存储设备数据1004,其它类型的信息和/或数据和各种设备应用1016。举例而言,操作系统1018能利用存储设备保持为软件应用且在处理器上执行。该设备应用也可包括设备管理器,诸如任何形式的控制应用、软件应用、信号处理和控制模块,源自特定设备的代码,用于特定设备的硬件抽象层等。
在此实例中,设备应用1016包括设备管理服务1020和网络授权服务1022,例如当设备1000实现为网络接入控制服务时。设备管理服务和网络授权服务被图示为软件模块和/或计算机应用。作为替代或作为补充,设备管理服务和/或网络授权服务能实施为硬件、软件、固件、固定逻辑或其任何组合。
设备1000还包括音频和/或视频处理系统1024,其生成用于音频系统1026的音频数据和/或生成用于显示系统1028的显示数据。音频系统和/或显示系统可包括处理、显示和/或另外呈现音频、视频、显示和/或图像数据的任何设备。显示数据和音频信号能经由RF(射频)链路、S-视频链路、复合视频链路、组件视频链路、DVI(数字视频接口)、模拟音频连接或其它类似通信链路而传送到音频设备和/或到显示设备。在实施方式中,音频系统和/或显示系统为设备的外部组件。或者,音频系统和/或显示系统为实例设备的集成组件。
尽管已经以特定于特征和/或方法的语言描述了注册和网络接入控制的实施例,但所附权利要求的主题不必限于所述具体特征或方法。而是,具体特征和方法被公开为注册和网络接入控制的实例实施方式。
Claims (11)
1.一种在网络接口设备(106)处的计算机实施的方法(200),该方法包括:
发起(202)所述网络接口设备(106)向设备管理服务(114)的注册以最初将所述网络接口设备配置为客户端设备(102)到公共网络(112)的接口;
从认证服务(110)接收(204)导向至客户端设备的加密令牌(130),认证服务(110)认证从所述客户端设备接收的用户凭证(132);
传递(206)所述加密令牌到所述客户端设备,所述加密令牌被重导向至所述设备管理服务;
从所述设备管理服务接收(208)导向至所述客户端设备的设备管理信息请求(124),所述设备管理信息请求被传送到所述客户端设备;
响应于所述设备管理信息请求从所述客户端设备接收(210)所述网络接口设备的标识(134),将所述网络接口设备的标识传送到所述设备管理服务;
从所述设备管理服务接收(212)导向至所述客户端设备的加密管理数据(126),将所述加密管理数据传送到所述客户端设备;
从所述客户端设备接收(214)所述加密令牌和所述加密管理数据;
向所述设备管理服务告知(216)所述加密令牌、所述加密管理数据和所述网络接口设备的标识,所述设备管理服务注册所述网络接口设备且生成对应于所述网络接口设备的唯一设备标识符(120);以及
从所述设备管理服务接收(218)所述网络接口设备的唯一设备标识符。
2.根据权利要求1所述的计算机实施的方法,其中,所述发起网络接口设备的注册还包括:
从所述客户端设备接收连接到所述公共网络的请求;
将来自所述客户端设备的请求重导向至所述认证服务;
从所述认证服务接收导向至所述客户端设备的凭证请求,所述凭证请求被传送至所述客户端设备;以及
从所述客户端设备接收导向至所述认证服务的用户凭证,所述用户凭证被传送至所述认证服务。
3.根据权利要求1所述的计算机实施的方法,还包括:限制所述客户端设备通过所述网络接口设备对公共网络的接入直到配置并向所述设备管理服务注册了所述网络接口设备为止。
4.根据权利要求1所述的计算机实施的方法,其中,所述用户凭证包括用于由所述认证服务进行认证的用户名称和口令组合。
5.根据权利要求1所述的计算机实施的方法,其中,所述用户凭证与所述设备管理服务处的所述网络接口设备的唯一设备标识符相关联。
6.根据权利要求1所述的计算机实施的方法,其中,所述加密的管理数据由所述设备管理服务生成,且随后当所述网络接口设备向后向设备管理服务告知所述加密的管理数据时,由所述设备管理服务使用以认证所述网络接口设备。
7.根据权利要求1所述的计算机实施的方法,其中,所述网络接口设备的标识包括对应于所述网络接口设备的设备标识符或安全性标识符中的至少一个,所述标识经由所述网络接口设备从所述客户端设备传送到所述设备管理服务。
8.根据权利要求1所述的计算机实施的方法,其中,所述网络接口设备的所述标识包括所述网络接口设备的配置设置,所述配置设置经由所述网络接口设备从所述客户端设备传送到所述设备管理服务。
9.一种在包括认证器服务器(404)的网络接口设备(402)处的计算机实施的方法(500),所述方法包括:
从客户端设备(102)接收(502)接入安全网络(406)的网络接入请求,
以身份请求回复(508)以身份(132)响应的所述客户端设备,且发起所述客户端设备对认证服务(110)的认证;
从所述客户端设备接收(510)导向至所述认证服务的安全性令牌请求,所述安全性令牌请求被传送到所述认证服务;
接收(512)加密令牌,所述加密令牌包括对安全性令牌请求的响应(416)和证明密钥(418),所述加密的令牌从所述认证服务导向至存储所述证明密钥的客户端设备;
从所述客户端设备接收(514)加密令牌和随机数;
将验证请求传送(516)到所述网络授权服务,所述验证请求包括从所述客户端设备接收的加密安全性令牌、所述随机数和包括于所述网络接口设备的验证请求中的网络接口设备的设备标识符(408);以及
从所述网络授权服务接收(518)验证,所述验证包括由所述网络授权服务生成的主会话密钥(414)且所述验证指示所述网络接口设备允许所述客户端设备接入到安全网络。
10.根据权利要求9所述的计算机实施的方法,还包括:将准予接入消息传送到所述客户端设备,其发起所述客户端设备利用所述安全密钥和所述随机数来生成主会话密钥的副本。
11.一种计算机可读介质,具有存储于其上的指令,该指令当被计算机执行时使该计算机执行权利要求1-10中任一项所述的方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/978158 | 2010-12-23 | ||
| US12/978,158 US8713589B2 (en) | 2010-12-23 | 2010-12-23 | Registration and network access control |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102571766A true CN102571766A (zh) | 2012-07-11 |
| CN102571766B CN102571766B (zh) | 2015-07-08 |
Family
ID=46318695
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110437544.0A Active CN102571766B (zh) | 2010-12-23 | 2011-12-23 | 注册和网络接入控制 |
Country Status (2)
| Country | Link |
|---|---|
| US (3) | US8713589B2 (zh) |
| CN (1) | CN102571766B (zh) |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102833256A (zh) * | 2012-09-03 | 2012-12-19 | 广州杰赛科技股份有限公司 | 注册集群控制服务器、节点控制服务器的方法及云系统 |
| CN103795560A (zh) * | 2012-11-01 | 2014-05-14 | 云永科技股份有限公司 | 连网装置标识符的管理方法和连网装置 |
| WO2014139158A1 (en) * | 2013-03-15 | 2014-09-18 | Intel Corporation | Method and apparatus to authenticate a personal device to access an enterprise network |
| WO2015101125A1 (zh) * | 2014-01-03 | 2015-07-09 | 华为技术有限公司 | 网络接入控制方法和设备 |
| CN107111591A (zh) * | 2014-10-30 | 2017-08-29 | 电子湾有限公司 | 在设备之间传送认证的会话和状态 |
| CN108140098A (zh) * | 2015-10-23 | 2018-06-08 | 甲骨文国际公司 | 建立容器之间的信任 |
| CN108243188A (zh) * | 2017-12-29 | 2018-07-03 | 中链科技有限公司 | 一种接口访问、接口调用和接口验证处理方法及装置 |
| CN108781216A (zh) * | 2016-01-25 | 2018-11-09 | 瑞典爱立信有限公司 | 用于网络接入的方法和设备 |
| CN109792676A (zh) * | 2016-08-03 | 2019-05-21 | 诺基亚通信公司 | 本地运营商的服务提供 |
| CN110048848A (zh) * | 2013-06-15 | 2019-07-23 | 微软技术许可有限责任公司 | 通过被动客户端发送会话令牌的方法、系统和存储介质 |
| CN110050474A (zh) * | 2016-12-30 | 2019-07-23 | 英特尔公司 | 用于物联网网络中的复合对象的子对象的类型命名和区块链 |
| CN111034240A (zh) * | 2017-05-23 | 2020-04-17 | 全球里驰科技公司 | 网络通信的以及与其相关的改进 |
| CN111050319A (zh) * | 2013-09-21 | 2020-04-21 | 极进网络公司 | 强制门户系统、方法和设备 |
| CN111295653A (zh) * | 2017-09-07 | 2020-06-16 | 法国电力公司 | 改进安全网络中设备的注册 |
| CN111492358A (zh) * | 2017-12-22 | 2020-08-04 | 英国电讯有限公司 | 设备认证 |
| CN112468356A (zh) * | 2019-09-09 | 2021-03-09 | 北京奇虎科技有限公司 | 路由器接口测试方法、装置、电子设备和存储介质 |
| CN112655235A (zh) * | 2018-09-13 | 2021-04-13 | 高通股份有限公司 | 在新无线电(nr)中的可扩展认证协议(eap)实施 |
| CN113455033A (zh) * | 2019-02-21 | 2021-09-28 | 黑莓有限公司 | 用于配设设备特定的wlan凭证的方法和系统 |
| CN111295653B (zh) * | 2017-09-07 | 2024-05-14 | 法国电力公司 | 改进安全网络中设备的注册 |
Families Citing this family (99)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9269010B2 (en) | 2008-07-14 | 2016-02-23 | Jumio Inc. | Mobile phone payment system using integrated camera credit card reader |
| US8713589B2 (en) | 2010-12-23 | 2014-04-29 | Microsoft Corporation | Registration and network access control |
| US9264435B2 (en) * | 2011-02-15 | 2016-02-16 | Boingo Wireless, Inc. | Apparatus and methods for access solutions to wireless and wired networks |
| JP6022539B2 (ja) * | 2011-04-15 | 2016-11-09 | サムスン エレクトロニクス カンパニー リミテッド | マシンツーマシンサービス提供方法及び装置 |
| US8806593B1 (en) * | 2011-05-19 | 2014-08-12 | Zscaler, Inc. | Guest account management using cloud based security services |
| JP2012244477A (ja) * | 2011-05-20 | 2012-12-10 | Sony Corp | 通信制御装置、通信制御方法、プログラムおよび通信システム |
| KR101748732B1 (ko) * | 2011-06-27 | 2017-06-19 | 삼성전자주식회사 | 임시 키를 이용한 전자 장치의 컨텐츠 공유 방법 및 이를 적용한 전자 장치 |
| US8955078B2 (en) | 2011-06-30 | 2015-02-10 | Cable Television Laboratories, Inc. | Zero sign-on authentication |
| US9275204B1 (en) * | 2011-09-28 | 2016-03-01 | Marvell International Ltd. | Enhanced network access-control credentials |
| US9374356B2 (en) * | 2011-09-29 | 2016-06-21 | Oracle International Corporation | Mobile oauth service |
| US9094208B2 (en) * | 2011-12-13 | 2015-07-28 | Sharp Laboratories Of America, Inc. | User identity management and authentication in network environments |
| US10552697B2 (en) * | 2012-02-03 | 2020-02-04 | Jumio Corporation | Systems, devices, and methods for identifying user data |
| US9009258B2 (en) * | 2012-03-06 | 2015-04-14 | Google Inc. | Providing content to a user across multiple devices |
| US8990913B2 (en) * | 2012-04-17 | 2015-03-24 | At&T Mobility Ii Llc | Peer applications trust center |
| CN102638797B (zh) * | 2012-04-24 | 2016-08-03 | 华为技术有限公司 | 接入无线网络的方法、终端、接入网节点和鉴权服务器 |
| US9258279B1 (en) | 2012-04-27 | 2016-02-09 | Google Inc. | Bookmarking content for users associated with multiple devices |
| US8966043B2 (en) | 2012-04-27 | 2015-02-24 | Google Inc. | Frequency capping of content across multiple devices |
| US8688984B2 (en) * | 2012-04-27 | 2014-04-01 | Google Inc. | Providing content to a user across multiple devices |
| US8978158B2 (en) | 2012-04-27 | 2015-03-10 | Google Inc. | Privacy management across multiple devices |
| US9881301B2 (en) | 2012-04-27 | 2018-01-30 | Google Llc | Conversion tracking of a user across multiple devices |
| US9514446B1 (en) | 2012-04-27 | 2016-12-06 | Google Inc. | Remarketing content to a user associated with multiple devices |
| US9130837B2 (en) * | 2012-05-22 | 2015-09-08 | Cisco Technology, Inc. | System and method for enabling unconfigured devices to join an autonomic network in a secure manner |
| US10257161B2 (en) | 2012-05-22 | 2019-04-09 | Cisco Technology, Inc. | Using neighbor discovery to create trust information for other applications |
| CN102833593B (zh) * | 2012-07-17 | 2015-12-16 | 晨星软件研发(深圳)有限公司 | 一种智能电视应用的授权方法、系统及智能电视 |
| US9104838B2 (en) * | 2012-11-14 | 2015-08-11 | Google Inc. | Client token storage for cross-site request forgery protection |
| JP5485356B1 (ja) * | 2012-12-05 | 2014-05-07 | シャープ株式会社 | 情報処理装置、情報処理装置の制御方法、および制御プログラム。 |
| KR102069876B1 (ko) * | 2012-12-21 | 2020-01-23 | 삼성전자주식회사 | 전자 기기, 개인 클라우드 기기, 개인 클라우드 시스템 및 이들의 개인 클라우드 기기 등록 방법 |
| CN103078932B (zh) * | 2012-12-31 | 2016-01-27 | 中国移动通信集团江苏有限公司 | 一种实现通用单点登录的方法、装置和系统 |
| CN103929798A (zh) * | 2013-01-14 | 2014-07-16 | 中兴通讯股份有限公司 | 无线通讯热点创建和连接方法、热点创建端及热点连接端 |
| US9781192B2 (en) * | 2013-01-25 | 2017-10-03 | Qualcomm Incorporated | Device management service |
| US9007631B2 (en) * | 2013-02-04 | 2015-04-14 | Ricoh Company, Ltd. | System, apparatus and method for managing heterogeneous group of devices |
| US9535681B2 (en) | 2013-03-15 | 2017-01-03 | Qualcomm Incorporated | Validating availability of firmware updates for client devices |
| US9332081B2 (en) * | 2013-08-30 | 2016-05-03 | Google Inc. | Anonymous cross-device linking using temporal identifiers |
| EP3047626B1 (en) | 2013-09-20 | 2017-10-25 | Oracle International Corporation | Multiple resource servers with single, flexible, pluggable oauth server and oauth-protected restful oauth consent management service, and mobile application single sign on oauth service |
| US9241355B2 (en) * | 2013-09-30 | 2016-01-19 | Sonos, Inc. | Media system access via cellular network |
| US10382305B2 (en) | 2013-11-15 | 2019-08-13 | Microsoft Technology Licensing, Llc | Applying sequenced instructions to connect through captive portals |
| US9369342B2 (en) | 2013-11-15 | 2016-06-14 | Microsoft Technology Licensing, Llc | Configuring captive portals with a cloud service |
| US9554323B2 (en) | 2013-11-15 | 2017-01-24 | Microsoft Technology Licensing, Llc | Generating sequenced instructions for connecting through captive portals |
| US9426156B2 (en) * | 2013-11-19 | 2016-08-23 | Care Innovations, Llc | System and method for facilitating federated user provisioning through a cloud-based system |
| US9420007B1 (en) | 2013-12-04 | 2016-08-16 | Amazon Technologies, Inc. | Access control using impersonization |
| CN104702405B (zh) * | 2013-12-04 | 2018-10-02 | 中国电信股份有限公司 | 一种应用分级认证的方法和系统 |
| US20150180869A1 (en) * | 2013-12-23 | 2015-06-25 | Samsung Electronics Company, Ltd. | Cloud-based scalable authentication for electronic devices |
| US9451032B2 (en) * | 2014-04-10 | 2016-09-20 | Palo Alto Research Center Incorporated | System and method for simple service discovery in content-centric networks |
| WO2015165250A1 (zh) * | 2014-04-30 | 2015-11-05 | 华为技术有限公司 | 一种终端接入通信网络的方法、装置及通信系统 |
| WO2015174968A1 (en) * | 2014-05-13 | 2015-11-19 | Hewlett-Packard Development Company, L.P. | Network access control at controller |
| US20160021097A1 (en) * | 2014-07-18 | 2016-01-21 | Avaya Inc. | Facilitating network authentication |
| US10460098B1 (en) | 2014-08-20 | 2019-10-29 | Google Llc | Linking devices using encrypted account identifiers |
| US10205718B1 (en) * | 2014-09-16 | 2019-02-12 | Intuit Inc. | Authentication transfer across electronic devices |
| US10445505B2 (en) | 2014-09-22 | 2019-10-15 | Mcafee, Llc | Process vulnerability assessment |
| US9436819B2 (en) | 2014-09-23 | 2016-09-06 | Intel Corporation | Securely pairing computing devices |
| US10050955B2 (en) * | 2014-10-24 | 2018-08-14 | Netflix, Inc. | Efficient start-up for secured connections and related services |
| US11533297B2 (en) | 2014-10-24 | 2022-12-20 | Netflix, Inc. | Secure communication channel with token renewal mechanism |
| US11399019B2 (en) | 2014-10-24 | 2022-07-26 | Netflix, Inc. | Failure recovery mechanism to re-establish secured communications |
| CN104581725B (zh) * | 2014-11-28 | 2018-11-16 | 广东工业大学 | 一种Wi-Fi接入动态认证系统及其认证方法 |
| US9538441B2 (en) | 2014-12-18 | 2017-01-03 | At&T Mobility Ii Llc | System and method for offload of wireless network |
| WO2016125019A1 (en) | 2015-02-03 | 2016-08-11 | Jumio Inc. | Systems and methods for imaging identification information |
| CN104683219B (zh) * | 2015-02-13 | 2018-01-19 | 腾讯科技(深圳)有限公司 | 信息交互方法及装置 |
| US10218510B2 (en) | 2015-06-01 | 2019-02-26 | Branch Banking And Trust Company | Network-based device authentication system |
| CN105141573B (zh) * | 2015-06-11 | 2018-12-04 | 杭州安恒信息技术有限公司 | 一种基于web访问合规性审计的安全防护方法和系统 |
| US9756450B1 (en) | 2015-08-26 | 2017-09-05 | Quantenna Communications, Inc. | Automated setup of a station on a wireless home network |
| US10171439B2 (en) | 2015-09-24 | 2019-01-01 | International Business Machines Corporation | Owner based device authentication and authorization for network access |
| US9800580B2 (en) | 2015-11-16 | 2017-10-24 | Mastercard International Incorporated | Systems and methods for authenticating an online user using a secure authorization server |
| US10348687B2 (en) * | 2015-12-18 | 2019-07-09 | Worcester Polytechnic Institute | Method and apparatus for using software defined networking and network function virtualization to secure residential networks |
| US9935962B2 (en) * | 2016-01-19 | 2018-04-03 | Qualcomm Incorporated | Method and system for onboarding wireless-enabled products in a network |
| US10341320B2 (en) * | 2016-01-19 | 2019-07-02 | Aerohive Networks, Inc. | BYOD credential management |
| US10341862B2 (en) * | 2016-02-05 | 2019-07-02 | Verizon Patent And Licensing Inc. | Authenticating mobile devices |
| US10219151B2 (en) | 2016-03-17 | 2019-02-26 | Aerohive Networks, Inc. | Chromebook credential management |
| US10367643B2 (en) | 2016-03-28 | 2019-07-30 | Symantec Corporation | Systems and methods for managing encryption keys for single-sign-on applications |
| ES2880959T3 (es) * | 2016-04-06 | 2021-11-26 | Fluidra S A | Operación de dispositivos proteicos de instalación de agua |
| US11197331B2 (en) * | 2016-06-10 | 2021-12-07 | Apple Inc. | Zero-round-trip-time connectivity over the wider area network |
| US11005836B2 (en) | 2016-06-14 | 2021-05-11 | Extreme Networks, Inc. | Seamless wireless device onboarding |
| US10475272B2 (en) | 2016-09-09 | 2019-11-12 | Tyco Integrated Security, LLC | Architecture for access management |
| CN108400961B (zh) * | 2017-02-08 | 2022-05-31 | 上海格尔安全科技有限公司 | 一种会话失效后用户刷新浏览器强制系统重新认证的方法 |
| US10341864B2 (en) | 2017-03-03 | 2019-07-02 | Verizon Patent And Licensing Inc. | Network-based device registration for content distribution platforms |
| CN107508819B (zh) * | 2017-09-05 | 2020-06-05 | 广东思派康电子科技有限公司 | 加密方法和加密装置 |
| US11496902B2 (en) | 2017-09-29 | 2022-11-08 | Plume Design, Inc. | Access to Wi-Fi networks via two-step and two-party control |
| US11689925B2 (en) * | 2017-09-29 | 2023-06-27 | Plume Design, Inc. | Controlled guest access to Wi-Fi networks |
| US10813169B2 (en) | 2018-03-22 | 2020-10-20 | GoTenna, Inc. | Mesh network deployment kit |
| US11303627B2 (en) | 2018-05-31 | 2022-04-12 | Oracle International Corporation | Single Sign-On enabled OAuth token |
| US11627132B2 (en) * | 2018-06-13 | 2023-04-11 | International Business Machines Corporation | Key-based cross domain registration and authorization |
| US10999074B2 (en) * | 2018-07-31 | 2021-05-04 | Apple Inc. | Dual-token authentication for electronic devices |
| US11757853B2 (en) * | 2018-08-30 | 2023-09-12 | Telefonaktiebolaget Lm Ericsson (Publ) | Method for restricting access to a management interface using standard management protocols and software |
| US11558366B2 (en) * | 2018-10-26 | 2023-01-17 | Cisco Technology, Inc. | Access to secured networks for known entities |
| US10925105B2 (en) | 2018-12-12 | 2021-02-16 | Bank Of America Corporation | Hybrid system local area network |
| US11657298B2 (en) | 2019-04-19 | 2023-05-23 | T-Mobile Usa, Inc. | Card engine for producing dynamically configured content |
| US11112881B2 (en) | 2019-05-10 | 2021-09-07 | Microsoft Technology Licensing, Llc. | Systems and methods for identifying user-operated features of input interfaces obfuscating user navigation |
| US11209979B2 (en) | 2019-05-10 | 2021-12-28 | Microsoft Technology Licensing, Llc | Systems and methods for input interfaces promoting obfuscation of user navigation and selections |
| US20200356263A1 (en) | 2019-05-10 | 2020-11-12 | Microsoft Technology Licensing, Llc | Systems and methods for obscuring touch inputs to interfaces promoting obfuscation of user selections |
| US11086514B2 (en) | 2019-05-10 | 2021-08-10 | Microsoft Technology Licensing, Llc | Systems and methods for obfuscating user navigation and selections directed by free-form input |
| US11526273B2 (en) | 2019-05-10 | 2022-12-13 | Microsoft Technology Licensing, Llc | Systems and methods of selection acknowledgement for interfaces promoting obfuscation of user operations |
| US11301056B2 (en) | 2019-05-10 | 2022-04-12 | Microsoft Technology Licensing, Llc | Systems and methods for obfuscating user selections |
| ES2827048A1 (es) * | 2019-11-19 | 2021-05-19 | Inetum Espana S A | Sistema de portal cautivo independiente del fabricante |
| US11675773B2 (en) | 2020-01-22 | 2023-06-13 | T-Mobile Usa, Inc. | Content management |
| US11483155B2 (en) * | 2020-01-22 | 2022-10-25 | T-Mobile Usa, Inc. | Access control using proof-of-possession token |
| US11481196B2 (en) | 2020-01-22 | 2022-10-25 | T-Mobile Usa, Inc. | User interface for accessing and modifying development area content |
| US11811739B2 (en) * | 2021-01-06 | 2023-11-07 | T-Mobile Usa, Inc. | Web encryption for web messages and application programming interfaces |
| US20220399996A1 (en) * | 2021-06-15 | 2022-12-15 | Rakuten Mobile, Inc. | Device access authorization via connected user equipment |
| CN114422167B (zh) * | 2021-12-02 | 2024-04-09 | 深信服科技股份有限公司 | 一种网络准入控制方法、装置、电子设备及存储介质 |
| US20230254301A1 (en) * | 2022-02-07 | 2023-08-10 | Elasticsearch B.V. | Auto-Configuration of Security Features in Distributed System with Minimal User Interaction |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050044377A1 (en) * | 2003-08-18 | 2005-02-24 | Yen-Hui Huang | Method of authenticating user access to network stations |
| CN1805341A (zh) * | 2006-01-11 | 2006-07-19 | 西安电子科技大学 | 跨安全域的网络认证和密钥分配方法 |
| US20070044143A1 (en) * | 2005-08-22 | 2007-02-22 | Microsoft Corporation | Distributed single sign-on service |
| US20090164778A1 (en) * | 2007-12-20 | 2009-06-25 | Kapil Chaudhry | Method and apparatus for communicating between a requestor and a user receiving device using a user device locating module |
| US20090217048A1 (en) * | 2005-12-23 | 2009-08-27 | Bce Inc. | Wireless device authentication between different networks |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6918113B2 (en) * | 2000-11-06 | 2005-07-12 | Endeavors Technology, Inc. | Client installation and execution system for streamed applications |
| US7292999B2 (en) * | 2001-03-15 | 2007-11-06 | American Express Travel Related Services Company, Inc. | Online card present transaction |
| DE10223248A1 (de) * | 2002-05-22 | 2003-12-04 | Siemens Ag | Verfahren zum Registrieren eines Kommunikationsendgeräts |
| US7366906B2 (en) * | 2003-03-19 | 2008-04-29 | Ricoh Company, Ltd. | Digital certificate management system, digital certificate management apparatus, digital certificate management method, program and computer readable information recording medium |
| US7992198B2 (en) * | 2007-04-13 | 2011-08-02 | Microsoft Corporation | Unified authentication for web method platforms |
| US8533852B2 (en) * | 2007-12-19 | 2013-09-10 | The Directv Group, Inc. | Method and system for securely communicating between a primary service provider and a partner service provider |
| US9143493B2 (en) * | 2007-12-20 | 2015-09-22 | The Directv Group, Inc. | Method and apparatus for communicating between a user device and a gateway device to form a system to allow a partner service to be provided to the user device |
| US8789149B2 (en) * | 2007-12-20 | 2014-07-22 | The Directv Group, Inc. | Method and apparatus for communicating between a user device and a user device locating module to allow a partner service to be provided to a user device |
| US8433916B2 (en) | 2008-09-30 | 2013-04-30 | Microsoft Corporation | Active hip |
| US8281379B2 (en) | 2008-11-13 | 2012-10-02 | Vasco Data Security, Inc. | Method and system for providing a federated authentication service with gradual expiration of credentials |
| US9614924B2 (en) | 2008-12-22 | 2017-04-04 | Ctera Networks Ltd. | Storage device and method thereof for integrating network attached storage with cloud storage services |
| US20100185871A1 (en) * | 2009-01-15 | 2010-07-22 | Authentiverse, Inc. | System and method to provide secure access to personal information |
| US8078870B2 (en) * | 2009-05-14 | 2011-12-13 | Microsoft Corporation | HTTP-based authentication |
| US8713589B2 (en) | 2010-12-23 | 2014-04-29 | Microsoft Corporation | Registration and network access control |
| US20140304808A1 (en) * | 2013-04-05 | 2014-10-09 | Phantom Technologies, Inc. | Device-Specific Authentication Credentials |
-
2010
- 2010-12-23 US US12/978,158 patent/US8713589B2/en active Active
-
2011
- 2011-12-23 CN CN201110437544.0A patent/CN102571766B/zh active Active
-
2014
- 2014-04-25 US US14/262,527 patent/US9112861B2/en active Active
-
2015
- 2015-07-17 US US14/802,362 patent/US9432359B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050044377A1 (en) * | 2003-08-18 | 2005-02-24 | Yen-Hui Huang | Method of authenticating user access to network stations |
| US20070044143A1 (en) * | 2005-08-22 | 2007-02-22 | Microsoft Corporation | Distributed single sign-on service |
| US20090217048A1 (en) * | 2005-12-23 | 2009-08-27 | Bce Inc. | Wireless device authentication between different networks |
| CN1805341A (zh) * | 2006-01-11 | 2006-07-19 | 西安电子科技大学 | 跨安全域的网络认证和密钥分配方法 |
| US20090164778A1 (en) * | 2007-12-20 | 2009-06-25 | Kapil Chaudhry | Method and apparatus for communicating between a requestor and a user receiving device using a user device locating module |
Cited By (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102833256A (zh) * | 2012-09-03 | 2012-12-19 | 广州杰赛科技股份有限公司 | 注册集群控制服务器、节点控制服务器的方法及云系统 |
| CN103795560A (zh) * | 2012-11-01 | 2014-05-14 | 云永科技股份有限公司 | 连网装置标识符的管理方法和连网装置 |
| WO2014139158A1 (en) * | 2013-03-15 | 2014-09-18 | Intel Corporation | Method and apparatus to authenticate a personal device to access an enterprise network |
| US9119072B2 (en) | 2013-03-15 | 2015-08-25 | Intel Corporation | Method and apparatus to authenticate a personal device to access an enterprise network |
| CN110048848A (zh) * | 2013-06-15 | 2019-07-23 | 微软技术许可有限责任公司 | 通过被动客户端发送会话令牌的方法、系统和存储介质 |
| CN111050319B (zh) * | 2013-09-21 | 2024-03-01 | 极进网络公司 | 强制门户系统、方法和设备 |
| CN111050319A (zh) * | 2013-09-21 | 2020-04-21 | 极进网络公司 | 强制门户系统、方法和设备 |
| WO2015101125A1 (zh) * | 2014-01-03 | 2015-07-09 | 华为技术有限公司 | 网络接入控制方法和设备 |
| CN107111591A (zh) * | 2014-10-30 | 2017-08-29 | 电子湾有限公司 | 在设备之间传送认证的会话和状态 |
| CN107111591B (zh) * | 2014-10-30 | 2021-04-20 | 电子湾有限公司 | 在设备之间传送认证的会话和状态 |
| US10783565B2 (en) | 2014-10-30 | 2020-09-22 | Ebay Inc. | Method, manufacture, and system of transferring authenticated sessions and states between electronic devices |
| CN108140098A (zh) * | 2015-10-23 | 2018-06-08 | 甲骨文国际公司 | 建立容器之间的信任 |
| CN108781216B (zh) * | 2016-01-25 | 2021-03-16 | 瑞典爱立信有限公司 | 用于网络接入的方法和设备 |
| CN108781216A (zh) * | 2016-01-25 | 2018-11-09 | 瑞典爱立信有限公司 | 用于网络接入的方法和设备 |
| CN109792676A (zh) * | 2016-08-03 | 2019-05-21 | 诺基亚通信公司 | 本地运营商的服务提供 |
| CN109792676B (zh) * | 2016-08-03 | 2023-12-26 | 诺基亚通信公司 | 用于服务提供的装置 |
| CN110050474A (zh) * | 2016-12-30 | 2019-07-23 | 英特尔公司 | 用于物联网网络中的复合对象的子对象的类型命名和区块链 |
| CN111034240A (zh) * | 2017-05-23 | 2020-04-17 | 全球里驰科技公司 | 网络通信的以及与其相关的改进 |
| CN111034240B (zh) * | 2017-05-23 | 2023-09-01 | 全球里驰科技公司 | 网络通信的以及与其相关的改进 |
| CN111295653B (zh) * | 2017-09-07 | 2024-05-14 | 法国电力公司 | 改进安全网络中设备的注册 |
| CN111295653A (zh) * | 2017-09-07 | 2020-06-16 | 法国电力公司 | 改进安全网络中设备的注册 |
| US11812262B2 (en) | 2017-12-22 | 2023-11-07 | British Telecommunications Public Limited Company | Device authentication |
| CN111492358A (zh) * | 2017-12-22 | 2020-08-04 | 英国电讯有限公司 | 设备认证 |
| CN108243188A (zh) * | 2017-12-29 | 2018-07-03 | 中链科技有限公司 | 一种接口访问、接口调用和接口验证处理方法及装置 |
| CN112655235A (zh) * | 2018-09-13 | 2021-04-13 | 高通股份有限公司 | 在新无线电(nr)中的可扩展认证协议(eap)实施 |
| CN113455033A (zh) * | 2019-02-21 | 2021-09-28 | 黑莓有限公司 | 用于配设设备特定的wlan凭证的方法和系统 |
| CN113455033B (zh) * | 2019-02-21 | 2024-05-03 | 玛利基创新有限公司 | 用于配设设备特定的wlan凭证的方法和系统 |
| CN112468356B (zh) * | 2019-09-09 | 2023-11-03 | 北京奇虎科技有限公司 | 路由器接口测试方法、装置、电子设备和存储介质 |
| CN112468356A (zh) * | 2019-09-09 | 2021-03-09 | 北京奇虎科技有限公司 | 路由器接口测试方法、装置、电子设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20120167185A1 (en) | 2012-06-28 |
| CN102571766B (zh) | 2015-07-08 |
| US9432359B2 (en) | 2016-08-30 |
| US20150326560A1 (en) | 2015-11-12 |
| US9112861B2 (en) | 2015-08-18 |
| US20140237250A1 (en) | 2014-08-21 |
| US8713589B2 (en) | 2014-04-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102571766B (zh) | 注册和网络接入控制 | |
| US8739260B1 (en) | Systems and methods for authentication via mobile communication device | |
| EP2632108B1 (en) | Method and system for secure communication | |
| US8532620B2 (en) | Trusted mobile device based security | |
| US8868909B2 (en) | Method for authenticating a communication channel between a client and a server | |
| CN101227468B (zh) | 用于认证用户到网络的方法、设备和系统 | |
| US20130104214A1 (en) | Token based two factor authentication and virtual private networking system for network management and security and online third party multiple network management method | |
| US8918641B2 (en) | Dynamic platform reconfiguration by multi-tenant service providers | |
| US11736304B2 (en) | Secure authentication of remote equipment | |
| KR20070097736A (ko) | 지역 도메인 관리 모듈을 가진 장치를 이용하여 도메인을지역적으로 관리하는 장치 및 방법 | |
| CN101171782A (zh) | 对等认证和授权 | |
| CN102893575B (zh) | 借助于ipsec和ike第1版认证的一次性密码 | |
| US20120311331A1 (en) | Logon verification apparatus, system and method for performing logon verification | |
| US20110162053A1 (en) | Service assisted secret provisioning | |
| Sabadello et al. | Introduction to did auth | |
| Togan et al. | A smart-phone based privacy-preserving security framework for IoT devices | |
| US20180255045A1 (en) | Mobile device enabled desktop tethered and tetherless authentication | |
| JP2009043037A (ja) | ユーザ認証方法、ユーザ認証装置、プログラム及び記録媒体 | |
| JP4499575B2 (ja) | ネットワークセキュリティ方法およびネットワークセキュリティシステム | |
| KR100993333B1 (ko) | 인터넷 접속 도구를 고려한 사용자 인증 방법 및 시스템 | |
| Tysowski | OAuth standard for user authorization of cloud services | |
| JP6495157B2 (ja) | 通信システム、及び通信方法 | |
| Wiederkehr | Approaches for simplified hotspot logins with Wi-Fi devices |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: MICROSOFT TECHNOLOGY LICENSING LLC Free format text: FORMER OWNER: MICROSOFT CORP. Effective date: 20150611 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20150611 Address after: Washington State Applicant after: Micro soft technique license Co., Ltd Address before: Washington State Applicant before: Microsoft Corp. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |