CN103081520B - 网络接入 - Google Patents
网络接入 Download PDFInfo
- Publication number
- CN103081520B CN103081520B CN201180041990.8A CN201180041990A CN103081520B CN 103081520 B CN103081520 B CN 103081520B CN 201180041990 A CN201180041990 A CN 201180041990A CN 103081520 B CN103081520 B CN 103081520B
- Authority
- CN
- China
- Prior art keywords
- application
- server
- wlan
- certificate
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000003780 insertion Methods 0.000 title claims abstract description 15
- 230000037431 insertion Effects 0.000 title claims abstract description 15
- 238000013475 authorization Methods 0.000 claims abstract description 57
- 238000000034 method Methods 0.000 claims abstract description 57
- 238000004891 communication Methods 0.000 claims description 8
- 230000004044 response Effects 0.000 claims description 8
- 230000008569 process Effects 0.000 description 7
- 230000000712 assembly Effects 0.000 description 6
- 238000000429 assembly Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 5
- 230000015654 memory Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 239000004020 conductor Substances 0.000 description 2
- 230000008878 coupling Effects 0.000 description 2
- 238000010168 coupling process Methods 0.000 description 2
- 238000005859 coupling reaction Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000002372 labelling Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000005039 memory span Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
提供了一种用于网络接入的方法。该方法包括:当认证和授权服务器确定由用户设备(UE)向所述认证和授权服务器提供的证书允许UE安全接入无线局域网(WLAN)时,建立UE和WLAN之间的安全链路;以及该方法还包括:当认证和授权服务器使用相同证书确定允许UE安全接入应用访问服务器时,建立UE和应用访问服务器之间经由WLAN的安全链路。
Description
相关申请的交叉引用
本申请要求2010年8月31日递交的美国专利申请No.12/872,944的标题为“网络接入”的优先权。上述专利申请的内容通过引用方式明确地并入这里的详细描述中。
背景技术
如这里所使用的,术语“用户设备”、“UE”、“设备”、“电子设备”等可以指代移动设备,例如电话、智能电话、个人数字助理、手持或膝上型计算机以及以及具有无线通信能力的类似设备。这种设备可以包括:相关可移除存储器模块,例如但不限于包括订户身份模块(SIM)应用、通用通用订户身份模块(USIM)应用或可移除用户身份模块(R-UIM)应用的通用集成电路卡(UICC)。UE可能能够与一个或更多个不同类型的网络(例如无线局域网(WLAN)、安全公司WLAN、虚拟私有网络(VPN)、WLAN热点和/或家庭网络)无线地相连。此外,UE可以与各种类型的服务器(例如网络接入服务器、认证服务器和/或其他类型的服务器)相连。为了获取对因特网相关应用(例如电子邮件)的访问,UE也可以与应用访问服务器相连。
附图说明
为了更加完全地理解本公开,现结合附图和详细描述参考以下简要说明,其中类似的附图标记表示类似的部分。
图1示出了根据本公开的实施例的网络拓扑。
图2示出了根据本公开的实施例的用于网络接入的消息序列图。
图3示出了根据本公开的实施例的用于网络接入的方法。
图4示出了适用于实现本公开的若干实施例的处理器和相关组件。
具体实施方式
开始应当理解,虽然下文提供了本公开的一个或多个实施例的示意性实现,可以使用当前已知的或存在的任意多个技术实现所公开的系统和/或方法。本公开决不限于下述的示意性实施例、附图和技术(包括这里阐述和描述的示例性设计和实现),但可以在所附权利要求的范围连同等同物的其全部范围内作出修改。
为了获得对由服务器控制的应用的访问,UE也可以与应用访问服务器直接通信。然而,存在以下情况:UE的用户希望经由安全协作网络、安全家庭网络或一些其他安全私有网络,与应用访问服务器通信。在这种情况下,可能需要给UE供应至少两组不同的安全证书。需要一组证书用于对应用访问服务器的安全访问,并且需要另一组用于对UE通过其与应用访问服务器通信的私有网络的安全访问。在UE通过另一私有网络与一个私有网络通信(例如当UE通过基于家庭的VPN与公司WLAN相连)的情况下,可能需要三组安全证书。例如,可能需要一组用于接入VPN,可能需要一组用于接入公司WLAN,并且可能需要一组用于接入应用访问服务器。
更具体地,针对WLAN基础设施连接,可能需要向UE供应一组证书和可扩展认证协议(EAP)方法,用来与公司WLAN网络认证,用于网络接入。针对VPN接入,为了与VPN认证,可能需要向UE供应用于因特网密钥交换(IKE)协议上的一组证书。VPN网络接入和WLAN网络接入可能影响认证和授权服务器用于网络认证,并可能影响应用访问服务器用于应用访问服务器认证。即,为了访问企业服务,可能需要“激活”UE以建立用于应用访问服务器连接的一组证书,该组证书配备WLAN网络证书并配备VPN接入证书。用于网络接入的这些要素的配置和供应可以显著地增加用于与应用访问服务器的连接的布设和支持的开销。
这里公开的实施例提供用于允许使用单组证书的系统和方法,用于获取对应用访问服务器和对一个或多个无线网络的接入。更具体地,UE用于获得对应用访问服务器的接入的证书也允许UE接入私有WLAN和/或VPN。因此,仅需要单组证书,用来接入WLAN、VPN和应用访问服务器。
图1示出了可以实现这些实施例的网络系统。第一UE110a可以经由IEEE802.1X协议与私有WLAN120通信。WLAN120可以是允许UE110a安全接入的公司WLAN、企业WLAN或一些其他WLAN,并将在下文中称为公司WLAN120。第二UE110b可以经由IKE协议,通过VPN、WiFi热点、WLAN热点、家庭网络或类似私有网络130,与公司WLAN120通信。任意这种私有网络这里将称为VPN130。UE110可以通过一个或更多个无线接入点115与公司WLAN120和/或VPN130相连。在一些情况下,防火墙可能出现在VPN130和公司WLAN120之间。
UE110a经由公司WLAN120与WLAN控制器140或类似组件相连,UE110b经由VPN130和公司WLAN120与VPN集线器150或类似组件相连。WLAN控制器140也可以包括WLAN接入点或被包括在WLAN接入点中。WLAN控制器140和VPN集线器150可以单独地或共同地称为网络接入服务器155。
WLAN控制器140和VPN集线器150可以经由协议(例如远程认证拨入用户服务(RADIUS)或类似协议)与认证和授权服务器160通信。认证和授权服务器160可以是能够控制接入一个或更多个网络的认证、授权和记账(AAA)服务器或类似服务器。尽管示出WLAN控制器140和VPN集线器150与单个认证和授权服务器160相连,WLAN控制器140和VPN集线器150均可以与不同认证和授权服务器相连。认证和授权服务器160可以与应用访问服务器170通信,应用访问服务器170是可以控制访问因特网相关应用(例如电子邮件应用或web浏览器)的组件。例如,应用访问服务器170可以是黑莓企业服务器(BES)或类似组件。
在针对UE110a经由公司WLAN120获得对应用访问服务器170的无线接入的传统时间序列中,UE110a向认证和授权服务器160提供第一组证书。如果认证和授权服务器160授权UE110a,则在UE110a和公司WLAN120之间建立安全链路。然后,UE110a可以经由公司WLAN120向应用访问服务器170提供不同组的证书。在应用访问服务器170认证并授权UE110a时,在UE110a和应用访问服务器170之间建立安全链路。
在第二UE110b的情况下,可能需要附加步骤。为了建立UE110b和VPN130之间的安全链路,UE110b可以向VPN130提供第一组证书。在此安全链路建立之后,为了建立UE110b和WLAN120之间的安全链路,UE110b可以然后向认证和授权服务器160提供第二组证书。为了建立UE110b和应用访问服务器170之间的安全链路,UE110b可以然后向应用访问服务器170提供第三组证书。因此,在现有过程下,UE110可能需要至少两组并可能三组不同证书,以获得经由公司WLAN120对应用访问服务器170的无线接入。
在一个实施例中,UE110用于获得对应用访问服务器170的接入的证书也允许UE110接入公司WLAN120和/或VPN130。可以通过定义认证方法实现单个证书接入,该认证方法允许认证和授权服务器160以及应用访问服务器170之间的路由协议也可用于接入WLAN120和/或VPN130。可以定义EAP方法用于此目的,并且可以称为EAP路由协议或EAP-RP180。EAP-RP180可用作用于现有认证通道(例如PEAP、EAP-FAST或EAP-TLS)的内部认证方法。EAP-RP180可以使用IEEE802.1X和RADIUS用于接入公司WLAN120,并可以使用IKE和RADIUS用于接入VPN130。针对公司WLAN接入,EAP-RP180可以允许UE110和认证和授权服务器160上的EAP对等端(peer)产生加密工具(keyingmaterial)(例如主会话密钥(MSK)和扩展MSK(EMSK))。
在UE110如何可以以此方式获得对应用访问服务器170、公司WLAN120和VPN130的接入的示例中,应用访问服务器170首先使用EAP-RP180建立到认证和授权服务器160的链接。认证和授权服务器160上的EAP对等端然后与应用访问服务器170交互以进行认证。认证和授权服务器160然后使用RADIUS与网络接入服务器155(即,与WLAN控制器140和/或VPN集线器150)通信。然后,UE110可以使用EAP-RP180在IEEE802.1X上以认证公司WLAN网络接入,或在IKE上以认证VPN接入。如果IKEv2用于VPN接入,UE110也可以使用附加EAP方法进行认证。
图2示出了EAP-RP180用于网络接入的消息序列图的实施例。在此情况下,公司WLAN120是UE110获得安全接入的仅有的私有网络,但是如果UE110通过VPN130获得对公司WLAN120的安全接入,可以遵循类似的过程。UE110可以与WLAN接入点通信,该WLAN接入点通信可以是图1的接入点115a、图1的WLAN控制器140或这些组件的一些组合,并且该WLAN接入点通信将在下文中称为接入点115。
首先,UE110与接入点115关联,并启动EAP会话。更具体地,在事件210,在UE110和接入点115之间遵循网络发现过程。在事件212,UE110向接入点115发送802.11认证/关联消息。在事件214,UE110然后向接入点115发送EAPol-开始消息。在事件216,接入点115响应EAP-请求ID消息。在事件218,UE110向接入点115发送包括UE110的用户的用户ID的EAP-响应消息。在事件220,接入点115向认证和授权服务器160发送RADIUS(EAP请求)消息。在事件222,认证和授权服务器160向接入点115响应RADIUS(EAP响应)消息。
如果EAP-RP180用作通道内的内部EAP方法,那么UE110最初与认证和授权服务器160上的EAP对等端建立外部EAP通道,如事件224所示。在事件226和228,UE110启动在EAP上经由认证和授权服务器160与应用访问服务器170的认证。然后,在事件230,UE110和认证和授权服务器160使用EAP-RP180相互认证。在此过程期间,认证和授权服务器160使用EAP-RP180与应用访问服务器170交互,以执行认证。应用访问服务器170可以要么直接地要么间接地参与到认证过程中。UE110和认证和授权服务器160上的EAP对等端产生EMSK(在因特网工程任务组(IETF)评论请求(RFC)3748中规定)。在事件232中成功认证之后,在事件234,认证和授权服务器160向接入点115返回认证的结果、MSK和EMSK。在事件236,UE110和接入点115然后遵循典型WLAN过程用于建立会话密钥。
换句话说,当UE110尝试经由公司WLAN120获得对应用访问服务器170的接入时,向认证和授权服务器160发送针对UE110的一组证书。认证和授权服务器160然后与应用访问服务器170通信,以确定是否授权UE110接入公司WLAN120。在认证时,在UE110和公司WLAN120之间建立安全链路。UE110然后经由公司WLAN120向应用访问服务器170发送相同组的证书。如果应用访问服务器170认证UE110接入应用访问服务器170,经由公司WLAN120在UE110a和应用访问服务器170之间建立安全链路。
图3示出了用于网络接入的方法300的实施例。在方框310中,UE向认证和授权服务器发送证书。在方框320中,认证和授权服务器与应用访问服务器核实:证书是有效用于对WLAN的接入的。在方框330中,如果证书是有效的,认证和授权服务器建立UE和WLAN之间的安全链路。在方框340中,将相同的证书经由WLAN向应用访问服务器发送。在方框350中,应用访问服务器认证UE用于对应用访问服务器的接入。在方框360中,在UE和应用访问服务器之间建立安全链路。
上述UE、服务器和其他组件可以包括能够执行与上述动作相关的指令的处理组件。图4示出了包括适合于实现这里公开的一个或多个实施例的处理组件1310的系统1300的示例。除了处理器1310(称为中央处理单元或CPU)以外,系统1300可以包括网络连接设备1320、随机存取存储器(RAM)1330、只读存储器(ROM)1340、辅助存储器1350和输入/输出(I/O)设备1360。这些组件可以经由总线1370相互通信。在一些情况下,这些组件中的一些可以不出现或可以相互或与未示出的其他组件以各种组合的方式合并。这些组件可以位于单个物理实体中或位于多于一个的物理实体中。处理器1310进行的这里描述的任何动作可以由处理器1310单独地进行或由处理器1310与在图中示出的或未示出的一个或更多个组件(例如数字信号处理器(DSP)1380)结合进行。虽然DSP1380是作为分离的组件示出,但DSP1380可以并入处理器1310中。
处理器1310执行可以从网络连接设备1320、RAM1330、ROM1340或辅助存储器1350(可以包括各种基于磁盘的系统(例如硬盘、软盘或光盘))访问的指令、代码、计算机程序或脚本。虽然仅示出了一个CPU1310,可以出现多个处理器。因此,虽然所讨论的指令由处理器执行,指令可以同时地、顺序地或以其他方式由一个或多个处理器执行。处理器1310可以由一个或多个CPU芯片实现。
网络连接设备1020可以由以下形式实现:调制解调器、调制解调器组、以太网设备、通用串行总线(USB)接口设备、串口、令牌环设备、光纤分布式数据接口(FDDI)设备、无线局域网(WLAN)设备、无线电收发机设备(例如码分多址接入(CDMA)设备)、全球移动通信系统(GSM)无线电收发机设备、全球微波接入互操作性(WiMAX)设备、数字订户线路(xDSL)设备、有线数据服务接口规范(DOCSIS)调制解调器和/或用于与网络连接的其他周知的设备。这些网络连接设备1320可以使处理器1310能够与因特网或一个或多个电信网络或其他网络通信,处理器可以从这些网络接收信息或向这些网络输出信息。
网络连接设备1320也可以包括能够以电磁波(例如射频信号或微波频率信号)形式无线地发送和/或接收数据的一个或更多个收发机组件1325。备选地,数据可以在电导体内或在电导体表面上、在同轴电缆中、在波导中、在光介质(例如光纤)中或在其他介质中传播。收发机组件1325可以包括分离的接收和发送单元或单个收发机。由收发机组件1325发送或接收的信息可以包括处理器1310已经处理的数据或处理器1310要执行的指令。这种信息可以以例如计算机数据基带信号或嵌入载波中的信号的形式,从网络接收或向网络输出。可以根据处理或产生数据或发送或接收数据所期望的不同顺序将数据排序。基带信号、载波中嵌入的信号或当前使用的或此后开发的其他类型的信号可以称为传输介质,并可以根据本领域技术人员周知的若干方法产生。
RAM1330可以用于存储易失性数据并可能用于存储由处理器1310执行的指令。ROM1340是典型地具有比辅助存储器1350的存储容量更小的存储器容量的非易失性存储器设备。ROM1340可以用于存储在指令的执行期间读取的指令和数据。典型地,访问RAM1330和ROM1340比访问辅助存储器1350更快。辅助存储器1350典型地由一个或多个磁盘驱动器或磁带驱动器组成,并且如果RAM1330没有足够大到能够保存所有工作数据,辅助存储器1350可以用于数据的非易失性存储或用作溢出数据存储设备。当选择程序用于执行时,辅助存储器1350可以用于存储装载到RAM1330中的程序。
I/O设备1360可以包括液晶显示器(LCD)、触摸屏显示器、键盘、辅助键盘、交换机、刻度盘、鼠标、轨迹球、语音识别器、读卡器、纸带读取器、打印机、视频监视器或其他周知的输入/输出设备。此外,可以将收发机1325考虑作I/O设备1360的组件,而不是网络连接设备1320的组件,或除网络连接设备1320的组件之外的组件。
在本实施例中,提供了用于网络接入的方法。该方法包括:当认证和授权服务器确定由UE向认证和授权服务器提供的证书允许UE安全接入WLAN时,建立UE和WLAN之间的安全链路。该方法还包括:当认证和授权服务器使用相同证书确定允许UE安全接入应用访问服务器时,经由WLAN建立UE和应用访问服务器之间的安全链路。
在另一实施例中,提供了UE。UE包括处理器,配置该处理器使得UE向认证和授权服务器提供证书,其中当认证和授权服务器确定证书允许UE安全接入WLAN时,在UE和WLAN之间建立安全链路。还配置该处理器使得UE向应用访问服务器发送相同证书,其中,当应用访问服务器基于该证书确定允许UE安全接入应用访问服务器时,经由WLAN在UE和应用访问服务器之间建立安全链路。
在另一实施例中,提供了应用访问服务器。应用访问服务器包括处理器,配置该处理器使得:当应用访问服务器确定UE提供的证书允许UE安全接入WLAN时,应用访问服务器促进UE和WLAN之间的安全链路的建立。还配置该处理器使得:当应用访问服务器确定相同证书允许UE安全接入应用访问服务器时,应用访问服务器促进UE和应用访问服务器之间经由WLAN的安全链路的建立。
尽管已经在本公开中提供了各种实施例,但应当理解:在不背离本公开的精神或范围的前提下,可以以很多其他的特定形式实现所公开的系统和方法。可以将本示例考虑为示意性的而不是限制性的,并且其意图不限于这里所给出的细节。例如,可以在另一系统中合并或集成各种元件或组件,或可以省略或不实现特定的特征。
此外,在不背离本公开的范围的前提下,在各种实施例中描述和阐述为离散或分离的技术、系统、子系统和方法可以与其他系统、模块、技术或方法合并或集成。示出为或讨论为耦合的或直接耦合的或相互通信的其他项目可以是间接耦合的,或通过一些接口、设备或中间组件,电地、机械地或以其他形式通信。本领域技术人员可确定改变、代替和变更的其他示例,并且在不背离这里公开的精神和范围的前提下,可以作出改变、代替和变更的其他示例。
Claims (22)
1.一种用于网络接入的方法,包括:
应用访问服务器使用可扩展认证协议EAP在所述应用访问服务器以及认证和授权服务器之间预先配置链路;
在应用访问服务器处,经由所述链路从认证和授权服务器接收用户设备UE提供的用于建立面向无线局域网WLAN的安全接入的证书;
响应于应用访问服务器确定所述证书允许所述UE安全接入无线局域网WLAN,建立所述UE和所述WLAN之间的安全链路,其中,确定所述证书允许所述UE安全接入所述WLAN包括:所述认证和授权服务器与所述应用访问服务器通信,以确定所述证书是有效的;
在应用访问服务器处,从所述UE接收与被提供用于建立所述WLAN安全链路的证书相同的证书;以及
响应于利用所述相同的证书确定允许所述UE安全接入所述应用访问服务器,经由所述WLAN在所述UE和所述应用访问服务器之间建立安全应用接入链路。
2.根据权利要求1所述的方法,其中,所述应用访问服务器是黑莓应用访问服务器。
3.根据权利要求1所述的方法,其中,认证方法被定义为允许所述应用访问服务器和所述认证和授权服务器之间的路由协议用于网络接入。
4.根据权利要求3所述的方法,其中,所述认证方法是可扩展认证协议EAP方法。
5.根据权利要求4所述的方法,其中,使用所述认证方法作为针对现有认证通道的内部认证方法。
6.根据权利要求5所述的方法,其中,在使用所述认证方法作为针对所述现有认证通道的所述内部认证方法之前,所述UE与所述认证和授权服务器上的EAP对等端建立外部EAP通道。
7.根据权利要求4所述的方法,其中,所述路由协议允许所述UE和所述认证和授权服务器上的EAP对等端产生加密工具。
8.一种用户设备UE,包括:
处理器,配置所述处理器使得所述UE经由使用可扩展认证协议EAP在应用访问服务器以及认证和授权服务器之间预先配置的链路,向所述应用访问服务器提供证书,其中,响应于确定所述证书允许所述UE安全接入无线局域网WLAN,在所述UE和所述WLAN之间建立安全链路,以及
还配置所述处理器使得所述UE向应用访问服务器发送与被提供用于建立所述WLAN安全链路的证书相同的证书,其中,响应于所述应用访问服务器基于所述相同的证书确定允许所述UE安全接入所述应用访问服务器,经由所述WLAN在所述UE和所述应用访问服务器之间建立安全应用接入链路,其中,确定被提供给认证和授权服务器的所述证书允许所述UE安全接入所述WLAN包括:在所述认证和授权服务器与所述应用访问服务器之间通信,以确定所述证书是有效的。
9.根据权利要求8所述的UE,其中,所述应用访问服务器是黑莓应用访问服务器。
10.根据权利要求8所述的UE,其中,所述UE使用认证方法,所述认证方法允许所述UE使用所述应用访问服务器和所述认证和授权服务器之间的路由协议用于网络接入。
11.根据权利要求10所述的UE,其中,所述认证方法是可扩展认证协议EAP方法。
12.根据权利要求11所述的UE,其中,所述UE使用所述认证方法作为针对现有认证通道的内部认证方法。
13.根据权利要求12所述的UE,其中,在使用所述认证方法作为针对所述现有认证通道的所述内部认证方法之前,所述UE与所述认证和授权服务器上的EAP对等端建立外部EAP通道。
14.根据权利要求11所述的UE,其中,所述路由协议允许所述UE和所述认证和授权服务器上的EAP对等端产生加密工具。
15.一种应用访问服务器,包括:
处理器,配置所述处理器使得应用访问服务器:
使用可扩展认证协议EAP在所述应用访问服务器以及认证和授权服务器之间预先配置链路;
经由所述链路从认证和授权服务器接收用户设备UE提供的用于建立面向无线局域网WLAN的安全接入的证书;
响应于所述应用访问服务器确定证书允许所述UE安全接入无线局域网WLAN,促进所述UE和所述WLAN之间的安全链路的建立,其中,确定所述证书允许所述UE安全接入所述WLAN包括:在所述认证和授权服务器与所述应用访问服务器之间通信,以确定所述证书是有效的;
从所述UE接收与被提供用于建立所述WLAN安全链路的证书相同的证书;以及
响应于确定所述相同的证书允许所述UE安全接入所述应用访问服务器,促进所述UE和所述应用访问服务器之间经由所述WLAN的安全应用接入链路的建立。
16.根据权利要求15所述的应用访问服务器,其中,当所述应用访问服务器向所述认证和授权服务器核实所述证书是有效的时,在所述UE和所述WLAN之间建立所述安全链接,在所述UE已经向所述认证和授权服务器提供所述证书之后,所述认证和授权服务器已经向所述应用访问服务器提供所述证书。
17.根据权利要求15所述的应用访问服务器,其中,所述应用访问服务器是黑莓应用访问服务器。
18.根据权利要求16所述的应用访问服务器,其中,认证方法被定义为允许所述应用访问服务器和所述认证和授权服务器之间的路由协议用于网络接入。
19.根据权利要求18所述的应用访问服务器,其中,所述认证方法是可扩展认证协议EAP方法。
20.根据权利要求19所述的应用访问服务器,其中,能够使用所述认证方法作为针对现有认证通道的内部认证方法。
21.根据权利要求20所述的应用访问服务器,其中,在使用所述认证方法作为针对所述现有认证通道的所述内部认证方法之前,与所述认证和授权服务器上的EAP对等端建立外部EAP通道。
22.根据权利要求19所述的应用访问服务器,其中,所述路由协议允许所述UE和所述认证和授权服务器上的EAP对等端产生加密工具。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/872,944 US8607316B2 (en) | 2010-08-31 | 2010-08-31 | Simplified authentication via application access server |
| US12/872,944 | 2010-08-31 | ||
| PCT/CA2011/050516 WO2012027840A1 (en) | 2010-08-31 | 2011-08-25 | Network access |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103081520A CN103081520A (zh) | 2013-05-01 |
| CN103081520B true CN103081520B (zh) | 2016-06-08 |
Family
ID=45698959
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201180041990.8A Active CN103081520B (zh) | 2010-08-31 | 2011-08-25 | 网络接入 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8607316B2 (zh) |
| EP (1) | EP2612514B1 (zh) |
| CN (1) | CN103081520B (zh) |
| CA (1) | CA2809730C (zh) |
| TW (1) | TWI528842B (zh) |
| WO (1) | WO2012027840A1 (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050180095A1 (en) | 1996-11-29 | 2005-08-18 | Ellis Frampton E. | Global network computers |
| CN103052054B (zh) * | 2012-12-18 | 2016-03-30 | 华为技术有限公司 | 一种确定用户接入无线局域网权限的方法、设备和系统 |
| US9143481B2 (en) * | 2013-06-06 | 2015-09-22 | Apple Inc. | Systems and methods for application-specific access to virtual private networks |
| US9628282B2 (en) * | 2014-10-10 | 2017-04-18 | Verizon Patent And Licensing Inc. | Universal anonymous cross-site authentication |
| CN104955126A (zh) * | 2015-06-26 | 2015-09-30 | 小米科技有限责任公司 | 运营商网络的接入方法和装置 |
| US11017064B2 (en) | 2019-05-14 | 2021-05-25 | Bank Of America Corporation | Authentication using interprogram communication |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1813457A (zh) * | 2003-06-26 | 2006-08-02 | 艾利森电话股份有限公司 | 通过一个不信任接入网络的单点登陆验证的设备和方法 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7590684B2 (en) * | 2001-07-06 | 2009-09-15 | Check Point Software Technologies, Inc. | System providing methodology for access control with cooperative enforcement |
| US8077681B2 (en) * | 2002-10-08 | 2011-12-13 | Nokia Corporation | Method and system for establishing a connection via an access network |
| WO2005064882A2 (en) | 2003-12-29 | 2005-07-14 | Telefonaktiebolaget Lm Ericsson (Publ) | Apparatuses and method for single sign-on access to a service network through an access network |
| US7194763B2 (en) * | 2004-08-02 | 2007-03-20 | Cisco Technology, Inc. | Method and apparatus for determining authentication capabilities |
| TWI293844B (en) * | 2005-01-11 | 2008-02-21 | Ind Tech Res Inst | A system and method for performing application layer service authentication and providing secure access to an application server |
| US7631347B2 (en) | 2005-04-04 | 2009-12-08 | Cisco Technology, Inc. | System and method for multi-session establishment involving disjoint authentication and authorization servers |
| US8307411B2 (en) | 2007-02-09 | 2012-11-06 | Microsoft Corporation | Generic framework for EAP |
| US8381268B2 (en) * | 2007-05-11 | 2013-02-19 | Cisco Technology, Inc. | Network authorization status notification |
| US20090328147A1 (en) * | 2008-06-27 | 2009-12-31 | Microsoft Corporation | Eap based capability negotiation and facilitation for tunneling eap methods |
| US8078175B2 (en) * | 2010-03-15 | 2011-12-13 | Motorola Mobility, Inc. | Method for facilitating a handover of a communication device, communication device, application server for facilitating a handover of a communication device, and communication system arrangement |
-
2010
- 2010-08-31 US US12/872,944 patent/US8607316B2/en active Active
-
2011
- 2011-08-25 CA CA2809730A patent/CA2809730C/en active Active
- 2011-08-25 CN CN201180041990.8A patent/CN103081520B/zh active Active
- 2011-08-25 EP EP11820963.4A patent/EP2612514B1/en active Active
- 2011-08-25 WO PCT/CA2011/050516 patent/WO2012027840A1/en active Application Filing
- 2011-08-31 TW TW100131329A patent/TWI528842B/zh active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1813457A (zh) * | 2003-06-26 | 2006-08-02 | 艾利森电话股份有限公司 | 通过一个不信任接入网络的单点登陆验证的设备和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2612514A1 (en) | 2013-07-10 |
| US8607316B2 (en) | 2013-12-10 |
| CA2809730C (en) | 2016-07-19 |
| WO2012027840A1 (en) | 2012-03-08 |
| TWI528842B (zh) | 2016-04-01 |
| CN103081520A (zh) | 2013-05-01 |
| EP2612514B1 (en) | 2018-05-09 |
| US20120054844A1 (en) | 2012-03-01 |
| EP2612514A4 (en) | 2017-01-25 |
| TW201218791A (en) | 2012-05-01 |
| CA2809730A1 (en) | 2012-03-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107079007B (zh) | 用于基于证书的认证的方法、装置和计算机可读介质 | |
| CN103081520B (zh) | 网络接入 | |
| US8190127B2 (en) | Methods, apparatuses and software for authentication of devices temporarily provided with a SIM to store a challenge-response | |
| CN107404485B (zh) | 一种自验证云连接方法及其系统 | |
| US10904753B2 (en) | Systems and methods for authentication | |
| US9154950B2 (en) | Network access method, apparatus and system | |
| CN101702717B (zh) | 一种Portal认证的方法、系统及设备 | |
| CN105282868B (zh) | 用于临时加入WiFi网络的系统和方法 | |
| JP2017535096A (ja) | 認証証明のセキュアプロビジョニング | |
| US20070098176A1 (en) | Wireless LAN security system and method | |
| US20180270662A1 (en) | Method and apparatus for passpoint eap session tracking | |
| KR20080093431A (ko) | 무선 네트워크의 클라이언트의 인증 방법 | |
| WO2012141803A1 (en) | Systems and methods for implementing ad hoc wireless networking | |
| CN108347729A (zh) | 网络切片内鉴权方法、切片鉴权代理实体及会话管理实体 | |
| CN102547701A (zh) | 认证方法、无线接入点和认证服务器 | |
| CN101662768A (zh) | 基于个人手持电话系统的用户标识模块的认证方法和设备 | |
| US20160234688A1 (en) | System and Method for Wireless Handheld Device Security in a Data Center Environment | |
| EP1927254B1 (en) | Method and a device to suspend the access to a service | |
| CN101902507B (zh) | 一种地址分配方法、装置和系统 | |
| US20140359731A1 (en) | Establishing communications sessions over multiple network protocols using a stored key | |
| US10009290B2 (en) | Method and broadband device for modem dial-up | |
| US20240031811A1 (en) | Techniques for enabling communication between a plurality of disparate networks and devices utiilzing various connection technologies | |
| KR102557051B1 (ko) | 사물 인터넷 개방형 플랫폼에서의 디바이스 인증 방법 및 장치 | |
| EP1587250A1 (en) | VPN accelerator card for secure roaming | |
| US20050235353A1 (en) | VPN accelerator card |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: Voight, Ontario, Canada Applicant after: BlackBerry Ltd. Address before: Voight, Ontario, Canada Applicant before: Research In Motion Ltd. |
|
| COR | Change of bibliographic data | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240523 Address after: Ai Erlandubailin Patentee after: Maliki Innovation Co.,Ltd. Country or region after: Ireland Address before: Voight, Ontario, Canada Patentee before: BlackBerry Ltd. Country or region before: Canada |