CN103583060A - 用于接入私有网络的系统和方法 - Google Patents
用于接入私有网络的系统和方法 Download PDFInfo
- Publication number
- CN103583060A CN103583060A CN201280027329.6A CN201280027329A CN103583060A CN 103583060 A CN103583060 A CN 103583060A CN 201280027329 A CN201280027329 A CN 201280027329A CN 103583060 A CN103583060 A CN 103583060A
- Authority
- CN
- China
- Prior art keywords
- mobile device
- response
- inquiry
- certificate server
- private network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
提供了一种用于使用移动设备来认证对私有网络的接入的系统和方法。移动设备可以用于从认证服务器接收质询,所述质询是根据接入私有网络的请求而产生的;获得私有值;使用所述私有值、所述质询和私有密钥来产生对所述质询的响应;以及将所述响应发送到所述认证服务器。认证服务器可以用于产生质询;将所述质询发送到移动设备;从所述移动设备接收响应,所述响应是由所述移动设备使用私有值、所述质询和私有密钥而产生的;验证所述响应;以及向VPN网关确认对所述响应的验证,以准许计算设备接入私有网络。
Description
本申请要求于2011年6月3日提交的美国临时专利申请No.61/493,272的优先权,该美国临时专利申请的内容通过引用的方式并入本文。
技术领域
下文涉及用于接入私有网络的系统和方法。
背景技术
双因素认证方案是指利用正在被认证的实体拥有的某物(“你有的某物”)以及该实体已知的某物(“你知道的某物”)的密码认证方案。例如,用户可以拥有安全设备或个人设备上的客户端应用,并且知道诸如个人标识号(PIN)等的私有值或个人值。安全设备可以包括例如显示滚动值的令牌或其他物理组件。还可以由例如在智能电话上运行的客户端应用显示滚动值。RSA安全公司提供的
系统是采用双因素认证方案的商用系统的示例。双因素认证方案被特别广泛地用于使用户能够远程接入私有网络,例如,由企业容纳的虚拟专用网(VPN),包括但不限于:基于互联网协议安全(IPSec)和传输层安全(TLS)的VPN。为了被认证,用户输入PIN和由令牌显示的当前值。除了必须拥有令牌和PIN二者以外,通常还需要两个步骤来输入必要值。此外,滚动值通常在相对短的预定时间量以后被刷新,因此,可用于输入令牌显示的当前值的时间量受到限制,并且可能容易输入错误或者变得不同步。
典型的双因素认证方案需要例如企业中的认证服务器,并且希望接入VPN的每一个用户携带令牌并且被给予或者以其他方式选择密码、PIN或其他私有值。当用户在他/她的计算机上启动VPN客户端时,与VPN网关建立安全信道,该VPN网关授权或拒绝接入VPN。然后,用户在计算机上被质询,以除了输入其PIN以外,还输入令牌当前正在显示的值(即,两个因素)。然后,用户输入的两个因素被发送到认证服务器以进行验证。一旦被验证,VPN网关就在用户的计算机与VPN之间建立安全连接。
为了验证用户,认证服务器维护与该用户相关联的PIN以及令牌显示的滚动值的状态。这不仅需要存储敏感数据,即,PIN,而且还需要准确地维护被注册以接入VPN的每一个用户的滚动值。除了潜在的存储负担以外,认证服务器处的令牌的状态可能变得与安全设备显示的令牌的状态不同步,在该情况下,可能需要重新同步。
附图说明
现在将参照附图仅通过举例说明的方式描述实施例,在附图中:
图1是用于使用可以通过公共网络接入的移动设备来接入私有网络的通信系统的示意图。
图2是用于使用不能通过公共网络接入的移动设备来接入私有网络的通信系统的示意图。
图3是示出了移动设备的示例性配置的框图。
图4是示出了具有VPN客户端的计算设备的示例性配置的框图。
图5是示出了认证服务器的示例性配置的框图。
图6是用于获得PIN的示例性用户界面(UI)的屏幕截图。
图7是示出了可以根据图1中所示的通信系统执行以认证对私有网络的接入的计算机可执行操作的示例性集合的流程图。
图8是示出了可以根据图2中所示的通信系统执行以认证对私有网络的接入的计算机可执行操作的示例性集合的流程图。
图9是使用可以通过公共网络接入的移动设备来接入私有网络的通信系统的示意图,该移动设备包括密码模块和VPN客户端。
图10是示出了包括密码模块和VPN客户端二者的移动设备的示例性配置的框图。
图11是示出了可以根据图10中所示的通信系统执行以认证对私有网络的接入的计算机可执行操作的示例性集合的流程图。
图12是示出了将数据项从主机系统推送到移动设备的环境的系统示意图,该环境中的路由器或者该主机系统包括注册器。
图13是移动设备的示例性配置的框图。
具体实施方式
已经认识到,除了必须存储PIN并且维护被注册以接入私有网络的每一个用户的滚动值以外,在诸如上文所描述的双因素认证方案等的双因素认证方案中使用的认证服务器还可能容易受到安全攻击。能够获得对认证服务器的接入的对手不仅可以接入由认证服务器存储的个人信息和/或私有信息,而且可以直接或者通过获得用于产生滚动值的种子来接入滚动值。换言之,如果认证服务器被危害,则双因素认证方案的安全性可能减少或失去。
为了解决与传统的双因素认证方案有关的潜在安全问题,诸如智能电话或平板计算机等的移动通信设备可以用于在从(例如,移动通信设备本身或者诸如个人计算机(PC)、膝上型计算机、平板计算机等的另一计算设备上的)私有网络客户端接收到请求以后,通过发起质询/响应协议并且使质询发送到移动通信设备来接入私有网络。然后,可以由移动通信设备使用质询、由移动设备提供的至少一个私有值、以及从输入获得的PIN来产生对质询的响应。例如,可以使用私有密钥和PIN来对质询进行签名。可以认识到,可以使用多种质询/响应协议,包括:单边认证协议,其中,仅对移动设备进行认证,以及双向认证协议,其中,对移动设备和认证服务器二者进行认证。
将认识到,为了使说明简化和清楚,在认为适当的情况下,可以在附图中重复附图标记以指示相应或类似的元素。此外,阐述了大量具体细节,以提供对本文描述的示例的全面理解。然而,本领域普通技术人员将理解的是,可以在没有这些具体细节的情况下实现本文描述的示例。在其他实例中,未详细描述公知的方法、过程和组件,以便不会使本文所描述的示例模糊。此外,本描述不应被认为限制本文所描述的示例的范围。
为了清楚起见,在下面的讨论中,出于简洁的目的,通常可以将移动通信设备称为“移动设备”。可应用的移动设备的示例可以包括、但不限于:蜂窝电话、智能电话、无线组织器、寻呼机、个人数字助理、计算机、膝上型计算机、手持或其他无线通信设备、具有无线能力的上网本计算机、便携式游戏设备、平板计算机、或者具有处理和通信能力的任何其他便携式电子设备。
图1示出了诸如PC、膝上型计算机、平板电脑等的计算设备4用于通过在诸如互联网等的公共网络8上接入的VPN网关6远程接入诸如企业网络等的私有网络2的示例。在该示例中,移动设备10用于通过被认证服务器12质询来认证VPN接入。公共密钥基础设施(PKI)14中的组件(在该示例中,PKI14中的证书权威机构(CA)16)向移动设备10预配置私有/公共密钥对(a,A)。可以认识到,密钥对可以是长期的,并且可以被周期地改变。CA16还对认证服务器12预配置以具有与被注册以接入私有网络2的每一个移动设备10相关联的公共密钥A的拷贝。移动设备10包括或者以能够其他方式接入密码(crypto)模块18,密码模块18可以包括被配置为执行诸如数字签名产生、数字签名验证、数据加密、数据解密等的密码操作的软件、硬件或其组合。计算设备4包括VPN客户端20,VPN客户端20用于通过在公共网络8上与VPN网关6进行通信以在其之间建立安全信道,来发起对私有网络2的接入。
可以认识到,PKI14、认证服务器12和VPN客户端6中的任意一个或多个可以是包括私有网络2的企业系统的组件。类似地,虽然PKI14、认证服务器12、和VPN客户端6在图1中被单独地示出,但是该配置仅用于说明的目的。例如,认证服务器12可以是PKI14的组件,认证服务器12和VPN6可以由相同的服务器或计算基础设施容纳等等。还可以认识到,图1中所示的公共网络8可以表示任意类型的网络,包括:无线网络8”(还参见图9)或者有线网络8’(还参见图2)。还可以根据各个协议并且利用各个接口(例如,广域网(WAN)、局域网(LAN)、个域网(PAN)、直接有线或无线链路)来提供对公共网络8的接入。
图1示出了用于使用移动设备10认证对私有网络的接入的方法的示例。在阶段1,在移动设备10上预配置私有/公共密钥对(a,A)。在图1中可以看出,这可以例如根据密码密钥传输协议通过公共网络8完成,或者可以例如在制造时由企业中的信息技术(IT)管理者直接在带外执行(即,用虚线示出的阶段1’)。在阶段2,向认证服务器12提供在阶段1中预配置的移动设备10的私有/公共密钥对(a,A)中的公共密钥A。可以认识到,存在可以用于向认证服务器12提供公共密钥的多种方法。例如,可以提供由CA16发布的数字证书。可以认识到,CA16可以是企业PKI(例如,PKI14)的一部分,或者是在外部产生的。备选地,可以在用户首次请求接入私有网络2时向认证服务器12提供认证的公共密钥。还可以认识到,因为认证服务器12仅存储移动设备10的公共密钥,因此即使认证服务器12被危害,也只有公共信息被泄露。此外,为了从VPN和私有网络2移除用户,可以简单地从认证服务器12移除该用户的公共密钥Ai。通过这种方式,已经删除的用户此后不能被验证,这是因为认证服务器12不再具有该公共密钥。
在图1中所示的阶段3,计算设备4利用VPN客户端20通过在诸如互联网等的公共网络8上与VPN网关6进行通信以(例如,使用Diffie-Hellman密钥交换协议)建立安全信道,来请求接入私有网络2。在接收到该请求以后,VPN网关6在阶段4通过与认证服务器12进行通信来发起对相关联的用户的认证。认证服务器12发起质询/响应协议,并且在阶段5将密码质询发送到与在阶段3中进行请求的用户相关联的移动设备10。如上文所讨论的,可以使用各种质询/响应协议。在该示例中,质询可以是由认证服务器12产生的随机数或者不易受到重放攻击的某一其他消息。在其他示例中,可以执行相互认证,其中,移动设备10和认证服务器12均贡献随机数和时间戳。例如,可以使用支持基于公共密钥的相互认证的安全套接字层(SSL)协议。
为了对从认证服务器12接收的质询进行响应,在该示例中,移动设备10上的密码模块18例如通过在显示器上提示用户并且经由UI接受PIN30的输入来从用户获得PIN30。可以认识到,PIN30可以与当移动设备10被“锁定”时用于接入移动设备10的值相同,或者可以是不同的值。密码模块18使用输入的PIN30和存储在移动设备10上的安全位置的诸如私有密钥a等的私有值来对质询进行签名,并且在阶段6返回响应,该响应包括签名的质询。可以认识到,多种密码方案可以用于对质询进行签名,并且验证响应中包含的签名。例如,诸如椭圆曲线数字签名算法(ECDSA)、椭圆曲线Pintsov-Vanstone(ECPV)或椭圆曲线Diffie-Hellman(ECDH)签名机制等的椭圆曲线密码(ECC)方案可以用于以相对小的签名大小提供高安全性。签名可以包括额外信息(例如,诸如时间戳等的交易特有的值),以防止重放攻击。认证服务器12接收响应,并且验证质询上的签名。如果可以验证签名,则认证服务器12在阶段7向VPN网关6确认验证。然后,VPN网关6在阶段8允许接入私有网络2。
可以注意到,图1中所示的阶段示出的数据流简化了用户体验,这是因为用户只需要输入PIN30,即,用户不需要如在前面的双因素方法中一样输入在令牌上显示的额外滚动值。取而代之地,密码模块18使用仅对移动设备10可用的值(例如,存储在移动设备10上的私有密钥a)来提供另一认证因素。换言之,通过使认证服务器12向移动设备10发送质询,移动设备10通过输入PIN30实现对正在阶段3中请求的连接的简单确认。还可以注意到,因为用户变得越来越依赖于移动设备10,因此当需要这种认证时,移动设备10更可能与用户在一起。这避免了携带额外令牌或者其他安全设备的需要,并且使用户能够检测是否正在进行攻击(例如,是否在用户当前未尝试接入私有网络2时接收到认证质询)。
为了使类似的双因素认证能够在移动设备10在覆盖范围之外或者以其他方式不能接入公共网络8时继续进行,可以使用诸如图2中所示的配置等的配置。在图2中所示的示例中,假设先前已经在阶段1预配置了私有/公共密钥对(a,A),并且在阶段2向认证服务器12提供了公共密钥。与图1中所示的示例类似,在阶段3从计算设备4上的VPN客户端20发出的请求发起VPN网关6在阶段4对相关联的用户的认证。不是经由无线网络8”向移动设备10发送质询,而是在阶段5向VPN网关6发送质询,以通过VPN客户端20路由到移动设备上的密码模块18。可以认识到,移动设备10与计算设备4之间的短距离无线或直接有线连接(例如,USB、蓝牙、近场通信(NFC)等)可以触发VPN客户端20请求VPN网关6获得质询而不是使质询通过无线网络8”发送到移动设备10。通过这种方式,认证服务器12确实需要尝试通过无线网络8”传送质询,仅为了确定移动设备处于覆盖范围以外。从VPN客户端20向VPN网关6发送的消息中的标志、值或比特可以用于指示要通过VPN客户端20与VPN网关6之间的安全信道来路由质询和响应。
在接收到质询以后,移动设备10上的密码模块18在阶段6例如以与上文所描述的方式类似的方式对质询进行签名并产生响应,并且通过向计算设备4上的VPN客户端20发送响应以使VPN客户端20能够通过与VPN网关6建立的安全信道发送响应,来向认证服务器12返回响应。VPN网关6将响应路由到认证服务器12,以使认证服务器12能够使用与用户相关联的公共密钥Ai验证质询上的签名。然后,认证服务器12可以在阶段7向VPN网关6返回关于已经验证了签名的确认(或者指示已经拒绝签名的消息)。假设签名已经被成功地验证,VPN网关6在阶段8允许接入私有网络2。
图3中示出了移动设备10的示例性配置。密码模块18包括或以其他方式能够接入存储器22的至少一部分。该示例中的存储器22存储公共密钥A,并且具有用于存储私有密钥a的安全区域23。因此,密码模块18可以接入私有密钥a和公共密钥A以使用这些密钥执行密码操作。该示例中的移动设备10包括显示模块28,显示模块28通过例如UI使密码模块18能够请求输入PIN30。可以认识到,可以用各种其他方式来执行PIN请求。例如,移动设备10可以使用诸如特定的提示音、音调、或闪光等的指示请求输入PIN30的非视觉通知。移动设备10还包括一个或多个输入/输出(I/O)模块32(为了便于说明,在图3中示出了一个I/O模块32)。图3中所示的I/O模块32可以表示诸如键盘、快捷键、数据端口、存储器槽等的任何输入机制。图3中所示的示例性配置中的移动设备10还包括通信子系统24,通信子系统24用于接入公共网络8并且因此用于通过公共网络8例如无线地发送和接收数据。移动设备10还可以包括短距离通信模块26,短距离通信模块26使移动设备10能够与另一设备建立短距离连接。例如,短距离通信模块26可以用于建立和利用蓝牙连接。可以认识到,短距离有线连接(例如,USB连接)也可以由短距离通信模块26表示。因此,I/O模块32或短距离通信模块26可以一般地表示移动设备10上能够实现与移动设备10的直接有线或短距离无线连接的任何模块。
在图3中可以看出,可以根据通过通信子系统24(例如,在空中,如图1中所示)进行的通信来执行或者可以通过例如与移动设备10的I/O模块32的直接连接来执行在阶段1中获得私有/公共密钥对(a,A)。类似地,可以使用通信子系统24(例如,在空中,如图1中所示)来实施或者可以使用与计算设备4的短距离或直接通信链路(例如,如图2中所示)来实施在阶段5中接收质询和在阶段6中提供响应。
图4中示出了具有VPN客户端20的计算设备4的示例性配置。在该示例中,计算设备4包括通信子系统34,通信子系统34用于接入公共网络8以使VPN客户端20能够在阶段3中请求接入私有网络2。通信子系统34还可以用于在阶段5中接收质询并且在阶段6中发送响应,例如,如图2中所示的示例中所示。计算设备4还可以包括短距离通信模块36,短距离通信模块36用于将在阶段5中接收的质询路由到移动设备10,并且用于将在阶段6中从移动设备10接收的响应路由到VPN网关6。在图4中可以看出,VPN客户端20还可以通过I/O模块40(例如,直接有线连接)来路由阶段5和6中的质询和响应。计算设备38还可以包括显示器38,显示器38例如用于使用户能够通过UI接入私有网络2。
在图5中示出了认证服务器12的示例性配置。该示例中的认证服务器12包括密码模块42,密码模块42被配置为或以其他方式用于通过(例如,使用随机数产生器(RNG)43)产生质询并且使用与请求接入私有网络2的用户相关联的公共密钥执行签名验证操作来至少参与质询/响应协议。认证服务器12还包括公共密钥存储设备44,公共密钥存储设备44用于存储与被注册以使用VPN客户端20接入私有网络2的每一个用户相关联的公共密钥Ai。认证服务器12还包括通信子系统46,通信子系统46用于与移动设备10(例如,在空中,如图1中所示)或VPN网关6(例如,如图2中所示)进行通信以发送质询并且接收响应。通信子系统46还可以用于在阶段4从VPN网关6接收认证发起请求,并且在阶段7向VPN网关6返回对验证的确认或对响应的拒绝。可以认识到,为了便于说明,在图5中示出了单一通信子系统46,可以使用多于一个子系统。例如,无线收发机可以用于向移动设备10发送质询,并且从移动设备10接收响应,而使用不同收发机的以太网或其他有线连接可以用于与VPN网关6进行通信。
在图6中示出了由移动设备10的显示器48显示的VPN认证UI50的屏幕截图的示例。显示认证UI50以请求在输入框52中输入PIN30。可以认识到,图6中所示的UI50可以在接收到质询以后自动地显示,或者可以使用诸如消息中的链接等的另一机制来启动。例如,可以使用电子邮件、短消息服务(SMS)消息、对等(P2P)消息(例如,基于PIN的消息)或者任何其他形式的通信来发送质询,当选择消息中的链接或选项时,显示在图6中所示的UI50。
现在转向图7,示出了可以根据图1中的通信系统执行以认证对私有网络的接入的计算机可执行操作的集合的示例。在60,计算设备4的VPN客户端20请求接入私有网络2。VPN网关6接收请求,并且除了与VPN客户端20建立安全信道以外,还在62发起对与请求相关联的用户的认证。在检测到发起认证的请求以后,认证服务器12通过在64产生质询(例如,通过产生随机数)来发起质询/响应协议。然后,认证服务器12在空中将质询发送到移动设备10,并且移动设备10在68接收质询。例如,如上文所讨论的,消息或其他数据分组可以用于将质询传送到移动设备10。
当在68接收到质询以后,移动设备10在70例如通过经由认证UI50请求输入PIN30来从用户获得PIN30。然后,密码模块18可以在72使用质询、私有密钥a和在70获得的PIN30产生响应。例如,响应可以包括质询的签名,其中,使用私有密钥a和PIN30来对质询进行签名,并且质询可以包括诸如时间戳等的额外信息。还可以是这样的情况,即,PIN30仅用于使移动设备10能够接入密码模块,而不是使其作为签名的消息的一部分。在该示例中要签名的消息M可以包括质询、时间戳并且可能包括PIN30。例如,通过使用ECDSA签名方案,密码模块18进行以下操作:产生随机整数k;计算R=kG=(x,y),其中,G是产生点;计算r=x(mod n);以及计算s=k-1{h(M)+ra}(mod n),其中,h是散列函数。要向质询提供的或者作为质询提供的签名包括两个分量(r,s)。
然后,在74将响应发送到认证服务器12。认证服务器12在76接收响应,并且由认证服务器12上的密码模块42在78验证响应。例如,可以使用验证方案来验证质询上的签名,该验证方案与由移动设备10上的密码模块18所使用的签名方案互补(例如,ECDSA验证方案)。如果可以在78验证响应,则认证服务器12然后可以在80向VPN网关6确认验证。当在82接收到该确认以后,VPN网关6在84允许使用移动设备10认证的用户接入私有网络2。然后,VPN客户端20可以在86接入私有网络2,并且该接入可以持续直到在88和90处会话结束为止。
图8提供了可以根据图2中所示的通信系统执行以认证对私有网络2的接入的计算机可执行操作的集合的示例。在92,计算设备4的VPN客户端20请求接入私有网络2。VPN网关6接收请求,并且除了与VPN客户端20建立安全信道以外,还在94发起对与请求相关联的用户的认证。在检测到发起认证的请求以后,认证服务器12通过在96产生质询(例如,通过产生随机数)来发起质询/响应协议。然后,认证服务器12在98将质询发送到VPN网关6,以使VPN网关6在100将质询发送到计算设备4上的VPN客户端20。计算设备4在102经由与移动设备10建立的连接将质询发送到移动设备10上的密码模块18,并且移动设备10在104接收质询。
当在104接收到质询以后,移动设备10在106例如通过经由认证UI50请求输入PIN30来从用户获得PIN30,如上文所讨论的。然后,密码模块18可以在108使用质询、私有密钥a和在106获得的PIN30产生响应。例如,响应可以包括质询上的签名,其中,使用私有密钥a和PIN30来对质询进行签名,并且质询可以包括诸如时间戳等的额外信息。然后,在110将响应发送到计算设备4上的VPN客户端20,以使VPN客户端20在112将响应发送到VPN网关6。然后,VPN网关6在114将响应发送到认证服务器12。由认证服务器12在116接收响应,并且由认证服务器12上的密码模块42在118验证响应。例如,可以使用验证方案来验证质询上的签名,该验证方案与由移动设备10上的密码模块18所使用的签名方案互补。如果可以在118验证响应,则认证服务器12然后可以在120向VPN网关6确认验证。在124接收到该确认以后,VPN网关6在126允许使用移动设备10认证的用户对私有网络2的接入。然后,VPN客户端20可以在128接入私有网络2,并且该接入可以持续直到在130和132处会话结束为止。
图9中示出了移动计算设备10’用于认证用户并使用VPN客户端20接入私有网络2的另一个示例。可以认识到,图9中所示的示例特别适合于也用于提供对私有网络2的远程接入的具有无线能力的设备,例如,平板计算机。在图9中可以看出,移动计算设备10’包括密码模块18和VPN客户端20,并且在所示的示例性场景中,移动计算设备10’可以通过公共无线网络8”进行通信。如上文所讨论的,可以在阶段1通过无线网络8”预配置私有/公共密钥对(a,A)。与上文所讨论的方式类似,可以例如使用CA16将公共密钥提供给认证服务器12。移动计算设备10’上的VPN客户端20在阶段3通过与VPN网关6建立安全信道来请求通过无线网络8”接入私有网络2。然后,以与上文关于图1所讨论的方式类似的方式继续进行阶段4、5、6、7和8,其中,与具有发出接入私有网络2的请求的VPN客户端20的设备相同的设备交换质询和响应。
在图10中示出了具有密码模块18和VPN客户端20二者的移动计算设备10’的配置的示例。在图10中所示的示例中,示出了通信子系统24,通信子系统24用于通过无线网络8”与VPN网关6、认证服务器12、以及CA16进行通信。然而,可以认识到,可以使用多于一个通信子系统24。与图3中所示的示例类似,密码模块18包括或者以其他方式能够接入存储器22的至少一部分。该示例中的存储器22存储公共密钥A,并且具有用于存储私有密钥a的安全区域23。因此,密码模块18可以接入私有密钥a和公共密钥A,以使用这些密钥执行密码操作。该示例中的移动计算设备10’包括显示模块28,显示模块28使密码模块18能够通过例如由VPN客户端20提供给显示模块28的PIN UI54来请求输入PIN30。移动计算设备10’还包括一个或多个I/O模块32(为了便于说明,在图10中示出了一个I/O模块32)。与图3中所示的配置类似,图10中所示的I/O模块32可以表示诸如键盘、快捷键、数据端口、存储器槽等的任何输入机制。在一些示例中,I/O模块32还可以用于在移动设备10上预配置私有/公共密钥对。
图11提供了可以根据图10中的通信系统执行以认证对私有网络的接入的计算机可执行操作的集合的示例。可以认识到,图11中所示的操作与图7中所示的操作相同,因此不需要被重复。然而,可以注意到,在该示例中,密码模块18和VPN客户端20执行的操作是由相同的移动计算设备10’来执行的,如图11中所示。
在另一示例中,移动设备10可以在被配置为持续地从(例如,企业中或者私有环境220中的)主机系统250向移动设备10路由所有形式的推送信息的系统中使用。现在将参照图12来描述该系统的一个示例。
图12是示出了经由无线路由器200将用户数据项(例如,消息A或C)从公司企业计算机系统(主机系统)250重定向至用户的移动设备10的示例性系统示意图。无线路由器200提供无线连接功能,这是因为它用于抽象大多数无线网络8”的复杂性,并且还实现支持将数据推送到移动设备10所需的特征。虽然未示出,但是多个移动设备可以接入来自主机系统250的数据。在该示例中,图12中的消息A表示从例如主机系统250中的台式计算机(未示出)向企业网络(例如,LAN)中的任意数量的服务器计算机发送的内部消息,其中,企业网络通常可以包括数据库服务器、日历服务器、电子邮件服务器、语音邮件服务器等。
在图12中可以看出,除了VPN网关6、CA16和认证服务器16以外,私有或企业环境220还可以包括主机系统250。可以认识到,可以在主机系统250使用的企业范围的PKI14或其他现有的PKI14中包括CA16。
图12中的消息C表示来自未直接连接到主机系统250的发送方(例如,用户的移动设备10、某一其他用户的移动设备(未示出)或连接到公共网络或私有网络224(例如,互联网)的任何用户)的外部消息。消息C可以是电子邮件、语音邮件、即时消息(IM)、日历信息、数据库更新、网页更新,或者甚至可以表示从用户的移动设备10到主机系统250的命令消息。除了典型的通信链路以外,主机系统250还可以包括与公司企业计算机网络系统相关联的硬件和软件、一个或多个无线移动性代理、TCP/IP连接、数据存储设备的集合(例如,针对电子邮件的数据存储设备可以是诸如Microsoft
服务器或Lotus
服务器等的现成的邮件服务器),其均在公司防火墙之内或后面。
移动设备10可以被配置为根据正在使用的每一个无线网络8”的需要,经由无线链路在无线网络8”中进行通信。作为图12中所示的无线路由器200的操作的示例性示例,考虑在外层封包B中被重新封装并且从主机系统250中的应用服务提供商(ASP)发送到移动设备10的数据项A(现在,封装的数据项A被称作“数据项(A)”)。在ASP内是与无线移动性代理类似的计算机程序,在ASP的环境中从数据存储设备向移动设备10发送请求的数据项的任何计算机上运行。通过网络224并且通过无线路由器的保护无线路由器200的防火墙(未示出)路由以移动台为目的地的数据项(A)。
虽然上文将主机系统250描述为在公司企业网络环境中使用,但是这仅仅是当数据到达主机系统250时向手持无线设备提供基于推送的消息的一种类型的主机服务的示例,其中,手持无线设备能够在移动设备处实时地向用户通知并且优选地呈现数据。
通过提供无线路由器200(有时称作“中继”),对于主机系统250和无线网络8”存在多个主要的优点。主机系统250通常可以运行主机服务,主机服务被认为是在一个或多个计算机系统上运行的任何计算机程序。可以认为主机服务在主机系统250上运行,并且一个主机系统250可以支持任意数量的主机服务。主机服务可能或者可能不知晓信息正信道传输到移动设备10这样的事实。例如,电子邮件或消息程序可能正在接收和处理电子邮件,而相关联的程序(例如,电子邮件无线移动性代理)也正在监控用户的电子邮箱并且将相同的电子邮件转发或推送到无线设备10。与客户关系管理软件类似,主机服务还可以被修改为准备好并且经由无线路由器200与移动设备10交换信息。在第三示例中,可能存在对一系列主机服务的公共接入。例如,移动性代理可以提供与多个数据库的无线接入协议(WAP)连接。
在数据消息收发环境中,无线路由器200可以抽象移动设备10和无线网络8”,向标准的基于web的服务器系统提供推送服务,并且允许主机系统250中的主机服务在很多国家到达移动设备10。
当与无线路由器200建立通信链路时,本文所示的主机系统250具有很多方法。对于数据通信领域的技术人员而言,主机系统250可以使用诸如TCP/IP、X.25、帧中继、ISDN、ATM或很多其他协议等的连接协议来建立点对点的连接。在该连接上,存在可用于封装和发送数据的多个隧道方法,这些方法中的一些包括:HTTP/HTML、HTTP/XML、HTTP/专有、FTP、SMTP或某一其他专有数据交换协议。可以采用无线路由器200来执行推送的这种类型的主机系统250可以包括:现场服务应用、电子邮件服务、IM服务、股票报价服务、银行服务、股票交易服务、现场销售应用、广告消息等。可以由无线路由器200来执行该无线网络8”抽象,其中,无线路由器200执行该路由和推送功能。主机正在交换的这种类型的用户选择数据项可以包括:电子邮件消息、即时消息、日历事件、会议通知、地址条目、日志条目、个人提醒、闹铃、警报、股票报价、新闻简报、银行账户交易、现场服务更新、股票交易、心脏监控信息、自动售货机库存水平、抄表数据、GPS数据等,但是备选地,可以包括发送到主机系统250或者主机系统250通过使用智能代理获取的其他类型的消息,例如,在主机系统250发起对数据库或网站或公告栏的搜索以后接收的数据。
无线路由器200可以提供一系列服务,以使创建基于推送的主机服务成为可能。这些网络可以包括:(1)码分多址(CDMA)网络、(2)移动特别小组或全球移动通信系统(GSM)和通用分组无线电服务(GPRS)、以及(3)现有的和即将到来的第三代(3G)和第四代(4G)网络,例如,增强数据速率GSM演进(EDGE)、通用移动电信系统(UMTS)和高速下行链路分组接入(HSDPA)、长期演进(LTE)、Wi-Max等。以数据为中心的网络的一些较早的示例包括、但不限于:(1)Mobitex无线电网络(“Mobitex”)、以及(2)DataTAC无线电网络(“DataTAC”)。
为了有效地向主机系统250提供推送服务,无线路由器200可以实现定义的功能的集合。可以认识到,技术人员可以选择无线路由器200的很多不同的硬件配置,然而,相同或类似特征集合中的很多特征将可能存在于不同的配置中。
现在参照图13,在图13中示出了移动设备10的配置的示例的框图。移动设备10包括多个组件,例如,控制移动设备10的总体操作的主处理器20。通过通信子系统24来执行包括数据通信和语音通信的通信功能。通信子系统24从无线网络8”接收消息并且向无线网络8”发送消息。在移动设备10的该示例中,通信子系统24是根据全球移动通信系统(GSM)和通用分组无线电服务(GPRS)标准来配置的。GSM/GPRS无线网络在全世界使用,并且预期这些标准最终将被诸如EDGE、UMTS和HSDPA、LTE、Wi-Max等的3G和4G网络取代。仍在定义新的标准,但是认为这些标准将具有与本文所描述的网络性能的相似性,并且本领域技术人员还将理解的是,预期本文所描述的示例使用将来开发的任何其他适合的标准。将通信子系统24与无线网络8”连接的无线链路表示根据针对GSM/GPRS通信规定的已定义协议操作的一个或多个不同的射频(RF)信道。使用更新的网络协议,这些信道能够支持电路交换语音通信和分组交换数据通信。
主处理器20还与诸如随机存取存储器(RAM)306、闪存存储器308、显示器28、辅助输入/输出(I/O)子系统32、数据端口314、键盘316、扬声器318、麦克风320、GPS接收机321、短距离通信模块26和其他子系统324等的额外子系统进行交互。
图13中还示出了密码模块18和存储器22,存储器22存储公共密钥A并且具有用于存储私有密钥a的安全位置。
移动设备10的子系统中的一些子系统执行与通信有关的功能,而其他子系统可以提供“驻留”或设备上的功能。举例说明,显示器28和键盘316可以用于与通信有关的功能,例如,输入文本消息以通过无线网络进行传输,以及设备驻留功能,例如,计算器或任务列表。
移动设备10可以在已经完成所需的网络注册或激活过程以后通过无线网络8”发送和接收通信信号。网络接入与移动设备10的订户或用户相关联。为了标识订户,移动设备10可以使用订户模块。这些订户模块的示例包括:针对GSM网络开发的订户标识模块(SIM)、针对CDMA网络开发的可拆卸用户标识模块(RUIM)、以及针对诸如UMTS等的3G网络开发的通用订户标识模块(USIM)。在所示的示例中,SIM/RUIM/USIM326要被插入到SIM/RUIM/USIM接口328中以与网络进行通信。SIM/RUIM/USIM组件326是一种类型的传统“智能卡”,该“智能卡”尤其可以用于标识移动设备10的订户并且个性化移动设备10。在没有组件326的情况下,移动设备10可能不能完全操作用于与无线网络8”进行通信。通过将SIM/RUIM/USIM326插入SIM/RUIM/USIM接口328中,订户可以接入所有预定的服务。服务可以包括:web浏览和消息收发,例如,电子邮件、语音邮件、SMS和MMS。更高级的服务可以包括:销售点、现场服务、和销售能力自动化。SIM/RUIM/USIM326包括处理器和用于存储信息的存储器。一旦SIM/RUIM/USIM326被插入到SIM/RUIM/USIM接口328中,SIM/RUIM/USIM326就被耦合到主处理器20。为了标识订户,SIM/RUIM/USIM326可以包括一些用户参数,例如,国际移动订户标识(IMSI)。使用SIM/RUIM/USIM326的优点在于,订户不必被任何单一物理移动设备所绑定。SIM/RUIM/USIM326也可以存储移动设备的额外订户信息,包括:记事本(或日历)信息以及最近的呼叫信息。备选地,用户标识信息还可以被编程到闪存存储器308中。
移动设备10通常是电池供电的设备,并且包括用于容纳一个或多个电池330(通常可再充电的)的电池接口332。在至少一些示例中,电池330可以是具有嵌入的微处理器的智能电池。电池接口332被耦合到调节器(未示出),调节器辅助电池330向移动设备10提供电源V+。虽然当前的技术利用电池,但是诸如微型燃料电池等的将来技术可以向移动设备10提供电源。
移动设备10还包括下面更详细描述的操作系统334和软件组件336至346。由主处理器20执行的操作系统334和软件组件336至346通常被存储在永久性存储设备中,该永久性存储设备例如是闪存存储器308,备选地,可以是只读存储器(ROM)或类似的存储元件(未示出)。本领域技术人员将认识到,操作系统334的各个部分、诸如专用设备应用等的软件组件336至346或者其一部分可以临时加载到易失性存储设备(例如,RAM306)中。还可以包括其他软件组件。
通常在移动设备10的制造期间在移动设备10上安装控制基本设备操作的软件应用336的子集,包括数据和语音通信应用。其他软件应用包括消息应用338,消息应用338可以是允许移动设备10的用户发送和接收电子消息的任何适当的软件程序。本领域技术人员已知的是,针对消息应用338存在多种备选方式。已经被用户发送或接收的消息通常被存储在移动设备10的闪存存储器308或者移动设备10中的某一其他适当的存储元件中。在至少一些示例中,可以在远端从移动设备10将发送和接收的消息中的一些存储在例如与移动设备10进行通信的相关联的主机系统的数据存储设备中。
软件应用还可以包括设备状态模块340、个人信息管理器(PIM)342、以及其他适当的模块(未示出)。设备状态模块340提供持久性,即,设备状态模块340确保重要的设备数据被存储在诸如闪存存储器308等的持久性存储器中,使得当移动设备10被关闭或断电时数据不会丢失。
PIM342包括用于组织和管理用户感兴趣的数据项的功能,数据项例如但不限于:电子邮件、联系人、日历事件、语音邮件、约会、以及任务项。PIM应用具有经由无线网络8”发送和接收数据项的能力。经由无线网络8”将PIM数据项与主计算机系统存储和/或与主计算机系统关联的移动设备订户的相应数据项无缝地集成、同步、和更新。对于这些项,该功能在移动设备10上创建镜像的主计算机。这在主计算机系统是移动设备订户的办公室计算机系统时可能特别有用。
移动设备10还可以包括连接模块344和IT策略模块346。连接模块344执行移动设备10需要以与无线基础设施和移动设备10被授权接合的任何主机系统(例如,企业系统)进行通信的通信协议。
连接模块344包括API集合,该API集合可以与移动设备10集成在一起以允许移动设备10使用与企业系统相关联的任意数量的服务。连接模块344允许移动设备10与主机系统(未示出)建立端到端的安全、认证的通信通道。连接模块344提供对其的接入的应用的子集可以用于将IT策略命令从主机系统传递到移动设备10。可以以无线或有线的方式完成这一点。然后,可以将这些指令传递到IT策略模块346以修改设备10的配置。备选地,在一些情况下,也可以通过有线连接来完成IT策略更新。
IT策略模块346接收对IT策略进行编码的IT策略数据。然后,IT策略模块346确保IT策略数据被移动设备10认证。然后,可以将IT策略数据以其固有的形式存储在闪存存储器306中。在存储IT策略数据以后,可以由IT策略模块346将全局通知发送到驻留在移动设备10上的所有应用。然后,IT策略可以应用于的应用通过读取IT策略数据以查找可应用的IT策略规则来进行响应。
还可以将其他类型的软件应用或组件339安装在移动设备10上。这些软件应用339可以是预先安装的应用(即,不同于消息应用26’)或在制造移动设备10以后添加的第三方应用。第三方应用的示例包括游戏、计算器、工具等。
可以通过无线网络8”、辅助I/O子系统32、数据端口314、短距离通信子系统322、或者任何其他适当的设备子系统324中的至少一个将额外的应用339加载到移动设备10上。应用安装的这种灵活性增加了移动设备10的功能,并且可以提供增强的设备上的功能、与通信有关的功能、或者这二者。例如,安全通信应用可以使得能够使用移动设备10来执行电子商务功能和其它此类金融交易。
数据端口314使订户能够通过外部设备或软件应用设置偏好,并且通过以不同于无线通信网络的方式向移动设备10提供信息或软件下载来扩展移动设备10的能力。备选的下载路径可以例如用于通过直接并从而可靠且可信的连接将加密密钥加载到移动设备10上,来提供安全的设备通信。
数据端口314可以是实现移动设备10与另一计算设备之间的数据通信的任何适当的端口。数据端口314可以是串行端口或并行端口。在一些实例中,数据端口314可以是包括用于数据传输的数据线和可以提供充电电流以给移动设备10的电池330充电的电源线的USB端口。
短距离通信模块26在不使用无线网络8”的情况下提供移动设备10与不同系统或设备之间的通信。例如,子系统26可以包括用于短距离通信的红外线设备和相关联的电路和组件。短距离通信标准的示例包括由红外线数据协会(IrDA)开发的标准、蓝牙和由IEEE开发802.11标准族。
在使用中,诸如文本消息、电子邮件消息或网页下载等的接收信号可以由通信子系统24处理并且被输入到主处理器20。然后,主处理器20可以处理接收信号以输出到显示器28或者备选地,输出到辅助I/O子系统32。订户还可以例如使用键盘316结合显示器28和可能的辅助I/O子系统32编写诸如电子邮件消息等的数据项。辅助I/O子系统32可以包括诸如以下各项的设备:触摸屏、鼠标、跟踪球、红外线指纹检测器、或者具有动态按钮按压能力的滚轮。键盘316是字母数字键盘和/或电话型的小键盘。然而,也可以使用其他类型的键盘,例如,作为图像呈现在触摸屏上的虚拟或“软”键盘。编写的项可以通过通信子系统24在通信网络8”上进行传输。
对于语音通信,该示例中的移动设备10的总体操作基本类似,区别在于接收信号将输出到扬声器318,以及用于发射的信号由麦克风320产生。还可以在移动设备10上实现备选的语音或音频I/O子系统,例如,语音消息记录子系统。虽然语音或音频信号输出主要通过扬声器318来完成,但是还可以使用显示器28来提供诸如呼叫方的身份、语音呼叫的持续时间、或者其他与语音呼叫相关的信息等的额外信息。
将认识到,本文举例说明的执行指令的任何模块或组件可以包括或者以其他方式能够访问计算机可读介质,计算机可读介质例如是存储介质、计算机存储介质、或者数据存储设备(可拆卸的或者不可拆卸的),如磁盘、光盘、或者磁带。计算机存储介质可以包括以用于存储信息的任何方法或者技术实现的易失性的或非易失性的、可拆卸的和不可拆卸的介质,所述信息例如是计算机可读指令、数据结构、程序模块或其他数据。计算机存储介质的示例包括RAM、ROM、EEPROM、闪存存储器、或者其他存储技术、CD-ROM、数字多功能光盘(DVD)或者其他光存储设备、磁带盒、磁带、磁盘存储设备、或者其他磁性存储设备,或者可以用于存储期望的信息并且能被应用、模块或者这二者访问的任何其他介质。任何这种计算机存储介质可以是移动设备10的一部分、私有网络2的任何组件或者与私有网络2相关的任何组件等,或者可访问或可连接的任何组件。本文描述的任何应用或模块可以使用可以由这种计算机可读介质存储或以其他方式保存的计算机可读/可执行指令来实现。
将认识到,本文所使用的示例和相应的示意图仅用于说明的目的。可以在不偏离本文表达的原理的情况下使用不同的配置和术语。例如,可以在不偏离这些原理的情况下添加、删除、修改或使用不同的连接布置组件和模块。
因此,提供了一种操作移动设备的方法,所述方法包括:从认证服务器接收质询,所述质询是根据接入私有网络的请求而产生的;获得私有值;使用所述私有值、所述质询和私有密钥来产生对所述质询的响应;以及向所述认证服务器发送所述响应。
还可以提供一种计算机可读介质和一种移动设备,被配置为执行上述方法。
还提供了一种操作认证服务器的方法,所述方法包括:产生质询;向移动设备发送所述质询;从所述移动设备接收响应,所述响应是由所述移动设备使用私有值、所述质询和私有密钥产生的;验证所述响应;以及向虚拟专用网网关确认对所述响应的验证,以准许计算设备接入私有网络。
还可以提供一种计算机可读介质和一种移动设备,被配置为执行上述方法。
本文描述的流程图和示意图中的步骤或操作仅为了示例的目的。在不偏离本发明的精神的情况下,这些步骤或操作还可以有很多变形。例如,可以以不同的顺序执行步骤,或者可以添加、删除或修改步骤。
虽然已经参照某些特定示例描述了上面的原理,但是本领域技术人员将清楚在所附权利要求中概述的这些原理的多个修改。
Claims (14)
1.一种操作移动设备的方法,所述方法包括:
从认证服务器接收质询,所述质询是根据接入私有网络的请求而产生的;
获得私有值;
使用所述私有值、所述质询和私有密钥来产生对所述质询的响应;以及
向所述认证服务器发送所述响应。
2.根据权利要求1所述的方法,其中,所述私有值是个人标识号。
3.根据权利要求1所述的方法,其中,所述质询是直接从所述认证服务器接收的,并且所述响应是通过公共网络直接发送到所述认证服务器的。
4.根据权利要求1所述的方法,其中,所述质询是经由虚拟专用网网关从所述认证服务器接收的,并且所述响应是经由所述虚拟专用网网关发送到所述认证服务器的。
5.根据权利要求1所述的方法,其中,所述响应包括使用所述质询、所述私有密钥和所述个人标识号产生的签名。
6.一种计算机可读存储介质,包括用于操作移动设备的计算机可执行指令,所述计算机可执行指令包括用于执行根据权利要求1至5中任一项所述的方法的指令。
7.一种移动设备,包括处理器、存储器以及显示器,所述存储器包括用于使所述处理器执行根据权利要求1至5中任一项所述的方法的计算机可执行指令。
8.一种操作认证服务器的方法,所述方法包括:
产生质询;
向移动设备发送所述质询;
从所述移动设备接收响应,所述响应是由所述移动设备使用私有值、所述质询和私有密钥产生的;
验证所述响应;以及
向虚拟专用网网关确认对所述响应的验证,以准许计算设备接入私有网络。
9.根据权利要求8所述的方法,其中,所述私有值是个人标识号。
10.根据权利要求8所述的方法,其中,所述质询是直接发送到所述移动设备的,并且所述响应是通过公共网络直接从所述移动设备接收的。
11.根据权利要求8所述的方法,其中,所述质询是经由所述虚拟专用网网关发送到所述移动设备的,并且所述响应是经由所述虚拟专用网网关从所述移动设备接收的。
12.根据权利要求8所述的方法,其中,所述响应包括使用所述质询、所述私有密钥和所述个人标识号产生的签名。
13.一种计算机可读存储介质,包括用于操作移动设备的计算机可执行指令,所述计算机可执行指令包括用于执行根据权利要求8至12中任一项所述的方法的指令。
14.一种服务器设备,包括处理器以及存储器,所述存储器包括用于使所述处理器执行根据权利要求8至12中任一项所述的方法的计算机可执行指令。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201161493272P | 2011-06-03 | 2011-06-03 | |
| US61/493,272 | 2011-06-03 | ||
| PCT/CA2012/050373 WO2012162843A1 (en) | 2011-06-03 | 2012-06-01 | System and method for accessing private networks |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103583060A true CN103583060A (zh) | 2014-02-12 |
Family
ID=47258251
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280027329.6A Pending CN103583060A (zh) | 2011-06-03 | 2012-06-01 | 用于接入私有网络的系统和方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9118667B2 (zh) |
| EP (1) | EP2716094A4 (zh) |
| CN (1) | CN103583060A (zh) |
| CA (1) | CA2836194C (zh) |
| WO (1) | WO2012162843A1 (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106464498A (zh) * | 2014-06-06 | 2017-02-22 | 欧贝特科技 | 由第二电子实体认证第一电子实体的方法以及实施这种方法的电子实体 |
| CN108028829A (zh) * | 2015-07-02 | 2018-05-11 | 瑞典爱立信有限公司 | 用于获得对网络的初始接入的方法以及相关的无线设备和网络节点 |
| CN108259467A (zh) * | 2017-12-13 | 2018-07-06 | 晖保智能科技(上海)有限公司 | 一种区块链通信系统的加密认证方法 |
| CN108632041A (zh) * | 2017-03-21 | 2018-10-09 | 汤姆逊许可公司 | 用于转发连接的设备和方法 |
| CN112913204A (zh) * | 2018-09-14 | 2021-06-04 | 品谱股份有限公司 | 对包括电子锁的物联网设备的认证 |
Families Citing this family (67)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8171137B1 (en) | 2011-05-09 | 2012-05-01 | Google Inc. | Transferring application state across devices |
| US8224894B1 (en) | 2011-05-09 | 2012-07-17 | Google Inc. | Zero-click sharing of application context across devices |
| US8346672B1 (en) | 2012-04-10 | 2013-01-01 | Accells Technologies (2009), Ltd. | System and method for secure transaction process via mobile device |
| JP6100244B2 (ja) | 2011-05-17 | 2017-03-22 | ピング アイデンティティ コーポレーション | 安全なトランザクションを実行するシステム及び方法 |
| US10277630B2 (en) * | 2011-06-03 | 2019-04-30 | The Boeing Company | MobileNet |
| US8943561B2 (en) * | 2011-08-17 | 2015-01-27 | Textpower, Inc. | Text message authentication system |
| WO2013030832A1 (en) | 2011-08-31 | 2013-03-07 | Accells Technologies (2009) Ltd. | System and method for secure transaction process via mobile device |
| US8819428B2 (en) * | 2011-10-21 | 2014-08-26 | Ebay Inc. | Point of sale (POS) personal identification number (PIN) security |
| US9692732B2 (en) * | 2011-11-29 | 2017-06-27 | Amazon Technologies, Inc. | Network connection automation |
| US9059853B1 (en) * | 2012-02-22 | 2015-06-16 | Rockwell Collins, Inc. | System and method for preventing a computing device from obtaining unauthorized access to a secure network or trusted computing environment |
| US9184800B2 (en) | 2012-07-16 | 2015-11-10 | Google Inc. | Automated sharing of application data over a near field communication link |
| US20150149775A1 (en) * | 2012-09-02 | 2015-05-28 | POWA Technologies (Hong Kong) Limited | Method and System of Secure Email |
| US9071928B2 (en) * | 2012-09-11 | 2015-06-30 | Cellco Partnership | Trusted mode location service for mobile device access to private network based applications |
| US20140208406A1 (en) * | 2013-01-23 | 2014-07-24 | N-Dimension Solutions Inc. | Two-factor authentication |
| CN105378774A (zh) * | 2013-03-12 | 2016-03-02 | 英特托拉斯技术公司 | 安全交易系统和方法 |
| US9526120B2 (en) | 2013-03-15 | 2016-12-20 | Google Inc. | Techniques for context-based application invocation for short-range wireless communication interactions |
| US9887983B2 (en) | 2013-10-29 | 2018-02-06 | Nok Nok Labs, Inc. | Apparatus and method for implementing composite authenticators |
| US9396320B2 (en) | 2013-03-22 | 2016-07-19 | Nok Nok Labs, Inc. | System and method for non-intrusive, privacy-preserving authentication |
| US10270748B2 (en) | 2013-03-22 | 2019-04-23 | Nok Nok Labs, Inc. | Advanced authentication techniques and applications |
| US9961077B2 (en) | 2013-05-30 | 2018-05-01 | Nok Nok Labs, Inc. | System and method for biometric authentication with device attestation |
| US9225714B2 (en) | 2013-06-04 | 2015-12-29 | Gxm Consulting Llc | Spatial and temporal verification of users and/or user devices |
| US10439988B2 (en) | 2013-08-21 | 2019-10-08 | Vmware, Inc. | On premises, remotely managed, host computers for virtual desktops |
| CN103475473B (zh) * | 2013-08-26 | 2016-10-05 | 数安时代科技股份有限公司 | 数字签名方法和设备、数字签名中密码运算方法和服务器 |
| JP6201835B2 (ja) * | 2014-03-14 | 2017-09-27 | ソニー株式会社 | 情報処理装置、情報処理方法及びコンピュータプログラム |
| US9264900B2 (en) * | 2014-03-18 | 2016-02-16 | Huawei Technologies Co., Ltd. | Fast authentication for inter-domain handovers |
| JP2015192377A (ja) * | 2014-03-28 | 2015-11-02 | 富士通株式会社 | 鍵送信方法、鍵送信システム、及び鍵送信プログラム |
| SG11201608543RA (en) * | 2014-04-14 | 2016-11-29 | Mastercard International Inc | Systems, apparatus and methods for improved authentication |
| US9413533B1 (en) | 2014-05-02 | 2016-08-09 | Nok Nok Labs, Inc. | System and method for authorizing a new authenticator |
| US9577999B1 (en) | 2014-05-02 | 2017-02-21 | Nok Nok Labs, Inc. | Enhanced security for registration of authentication devices |
| US9654469B1 (en) | 2014-05-02 | 2017-05-16 | Nok Nok Labs, Inc. | Web-based user authentication techniques and applications |
| US9537868B2 (en) * | 2014-07-29 | 2017-01-03 | Time Warner Cable Enterprises Llc | Communication management and policy-based data routing |
| US9875347B2 (en) | 2014-07-31 | 2018-01-23 | Nok Nok Labs, Inc. | System and method for performing authentication using data analytics |
| US9455979B2 (en) | 2014-07-31 | 2016-09-27 | Nok Nok Labs, Inc. | System and method for establishing trust using secure transmission protocols |
| US10148630B2 (en) | 2014-07-31 | 2018-12-04 | Nok Nok Labs, Inc. | System and method for implementing a hosted authentication service |
| US9749131B2 (en) | 2014-07-31 | 2017-08-29 | Nok Nok Labs, Inc. | System and method for implementing a one-time-password using asymmetric cryptography |
| US9736154B2 (en) | 2014-09-16 | 2017-08-15 | Nok Nok Labs, Inc. | System and method for integrating an authentication service within a network architecture |
| US9998287B2 (en) * | 2015-03-06 | 2018-06-12 | Comcast Cable Communications, Llc | Secure authentication of remote equipment |
| SG10201909244RA (en) | 2015-04-06 | 2019-11-28 | Bitmark Inc | System and method for decentralized title recordation and authentication |
| US9781105B2 (en) * | 2015-05-04 | 2017-10-03 | Ping Identity Corporation | Fallback identity authentication techniques |
| CN105049481B (zh) * | 2015-06-01 | 2018-06-12 | 江苏云道信息技术有限公司 | 一种支持多异构系统智能交互的方法 |
| WO2017004466A1 (en) | 2015-06-30 | 2017-01-05 | Visa International Service Association | Confidential authentication and provisioning |
| GB2541162A (en) * | 2015-07-13 | 2017-02-15 | Vodafone Ip Licensing Ltd | Machine to machine virtual private network |
| US11263351B2 (en) | 2015-11-13 | 2022-03-01 | Telefonaktiebolaget L M Ericsson (Publ) | Verification of service access in a communications system |
| US10148759B2 (en) * | 2016-04-04 | 2018-12-04 | Gogo Llc | Presence-based network authentication |
| US10142323B2 (en) * | 2016-04-11 | 2018-11-27 | Huawei Technologies Co., Ltd. | Activation of mobile devices in enterprise mobile management |
| US10412070B2 (en) * | 2016-06-21 | 2019-09-10 | Noa, Inc. | Method and apparatus of implementing a VPN tunnel |
| WO2018010146A1 (zh) * | 2016-07-14 | 2018-01-18 | 华为技术有限公司 | 一种虚拟网络计算认证中应答的方法、装置、系统和代理服务器 |
| US10637853B2 (en) | 2016-08-05 | 2020-04-28 | Nok Nok Labs, Inc. | Authentication techniques including speech and/or lip movement analysis |
| US10769635B2 (en) | 2016-08-05 | 2020-09-08 | Nok Nok Labs, Inc. | Authentication techniques including speech and/or lip movement analysis |
| US10237070B2 (en) | 2016-12-31 | 2019-03-19 | Nok Nok Labs, Inc. | System and method for sharing keys across authenticators |
| US10091195B2 (en) | 2016-12-31 | 2018-10-02 | Nok Nok Labs, Inc. | System and method for bootstrapping a user binding |
| US9992029B1 (en) * | 2017-04-05 | 2018-06-05 | Stripe, Inc. | Systems and methods for providing authentication to a plurality of devices |
| MY202387A (en) * | 2017-05-30 | 2024-04-25 | Belgian Mobile Id Sa/Nv | Mobile device authentication using different channels |
| CN107483419B (zh) * | 2017-07-28 | 2020-06-09 | 深圳市优克联新技术有限公司 | 服务器认证接入终端的方法、装置、系统、服务器及计算机可读存储介质 |
| FR3070516B1 (fr) * | 2017-08-22 | 2019-09-13 | Evidian | Procede d'authentification d'un utilisateur aupres d'un serveur d'authentification |
| EP3695635B1 (en) * | 2017-10-13 | 2023-10-11 | Visa International Service Association | Mitigating risk for hands-free interactions |
| US11868995B2 (en) | 2017-11-27 | 2024-01-09 | Nok Nok Labs, Inc. | Extending a secure key storage for transaction confirmation and cryptocurrency |
| US11831409B2 (en) | 2018-01-12 | 2023-11-28 | Nok Nok Labs, Inc. | System and method for binding verifiable claims |
| US11032326B2 (en) * | 2018-06-19 | 2021-06-08 | Verizon Patent And Licensing Inc. | Systems and methods for accessing a private network |
| US10728230B2 (en) * | 2018-07-05 | 2020-07-28 | Dell Products L.P. | Proximity-based authorization for encryption and decryption services |
| US11304170B2 (en) * | 2018-08-13 | 2022-04-12 | Samsung Electronics Co., Ltd | Apparatus and method for registration on network in wireless communication system |
| TWI706281B (zh) * | 2019-02-19 | 2020-10-01 | 華東科技股份有限公司 | 裝置驗證方法 |
| US12041039B2 (en) | 2019-02-28 | 2024-07-16 | Nok Nok Labs, Inc. | System and method for endorsing a new authenticator |
| US11792024B2 (en) | 2019-03-29 | 2023-10-17 | Nok Nok Labs, Inc. | System and method for efficient challenge-response authentication |
| US11392684B2 (en) * | 2020-07-09 | 2022-07-19 | Bank Of America Corporation | Authentication of user activities based on establishing communication links between network devices |
| US11165748B1 (en) * | 2020-10-13 | 2021-11-02 | Cisco Technology, Inc. | Network security from host and network impersonation |
| US12126613B2 (en) | 2021-09-17 | 2024-10-22 | Nok Nok Labs, Inc. | System and method for pre-registration of FIDO authenticators |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002019593A2 (en) * | 2000-08-30 | 2002-03-07 | Telefonaktiebolaget Lm Ericsson (Publ) | End-user authentication independent of network service provider |
| CN1700638A (zh) * | 2004-05-18 | 2005-11-23 | 江苏省电力公司 | 借助安全认证网关的企业网安全接入方法 |
| US20090158048A1 (en) * | 2007-12-14 | 2009-06-18 | Electronics And Telecommunications Research Institute | Method, client and system for reversed access to management server using one-time password |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5668876A (en) * | 1994-06-24 | 1997-09-16 | Telefonaktiebolaget Lm Ericsson | User authentication method and apparatus |
| US6065120A (en) | 1997-12-09 | 2000-05-16 | Phone.Com, Inc. | Method and system for self-provisioning a rendezvous to ensure secure access to information in a database from multiple devices |
| US6983381B2 (en) * | 2001-01-17 | 2006-01-03 | Arcot Systems, Inc. | Methods for pre-authentication of users using one-time passwords |
| US7373515B2 (en) * | 2001-10-09 | 2008-05-13 | Wireless Key Identification Systems, Inc. | Multi-factor authentication system |
| US6880079B2 (en) * | 2002-04-25 | 2005-04-12 | Vasco Data Security, Inc. | Methods and systems for secure transmission of information using a mobile device |
| US7444508B2 (en) | 2003-06-30 | 2008-10-28 | Nokia Corporation | Method of implementing secure access |
| US7448080B2 (en) | 2003-06-30 | 2008-11-04 | Nokia, Inc. | Method for implementing secure corporate communication |
| US20070186099A1 (en) | 2004-03-04 | 2007-08-09 | Sweet Spot Solutions, Inc. | Token based two factor authentication and virtual private networking system for network management and security and online third party multiple network management method |
| EP1806934A1 (en) | 2006-01-05 | 2007-07-11 | Research In Motion Limited | Methods and apparatus for increasing security and control of voice communication sessions using digital certificates |
| AT504581B1 (de) | 2006-12-01 | 2009-03-15 | Efkon Mobility Gmbh | Verfahren und system zum auslesen von daten aus einem speicher eines fernen geräts durch einen server |
| US9166799B2 (en) * | 2007-12-31 | 2015-10-20 | Airvana Lp | IMS security for femtocells |
| SG166028A1 (en) | 2009-05-04 | 2010-11-29 | Privylink Private Ltd | Methods of robust multi-factor authentication and authorization and systems thereof |
-
2012
- 2012-06-01 EP EP12793701.9A patent/EP2716094A4/en not_active Ceased
- 2012-06-01 US US13/487,055 patent/US9118667B2/en active Active
- 2012-06-01 CA CA2836194A patent/CA2836194C/en active Active
- 2012-06-01 CN CN201280027329.6A patent/CN103583060A/zh active Pending
- 2012-06-01 WO PCT/CA2012/050373 patent/WO2012162843A1/en unknown
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002019593A2 (en) * | 2000-08-30 | 2002-03-07 | Telefonaktiebolaget Lm Ericsson (Publ) | End-user authentication independent of network service provider |
| CN1700638A (zh) * | 2004-05-18 | 2005-11-23 | 江苏省电力公司 | 借助安全认证网关的企业网安全接入方法 |
| US20090158048A1 (en) * | 2007-12-14 | 2009-06-18 | Electronics And Telecommunications Research Institute | Method, client and system for reversed access to management server using one-time password |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106464498A (zh) * | 2014-06-06 | 2017-02-22 | 欧贝特科技 | 由第二电子实体认证第一电子实体的方法以及实施这种方法的电子实体 |
| CN106464498B (zh) * | 2014-06-06 | 2020-02-21 | 欧贝特科技 | 由第二电子实体认证第一电子实体的方法以及电子实体 |
| CN108028829A (zh) * | 2015-07-02 | 2018-05-11 | 瑞典爱立信有限公司 | 用于获得对网络的初始接入的方法以及相关的无线设备和网络节点 |
| US11290879B2 (en) | 2015-07-02 | 2022-03-29 | Telefonaktiebolaget Lm Ericsson (Publ) | Method for obtaining initial access to a network, and related wireless devices and network nodes |
| CN108632041A (zh) * | 2017-03-21 | 2018-10-09 | 汤姆逊许可公司 | 用于转发连接的设备和方法 |
| CN108259467A (zh) * | 2017-12-13 | 2018-07-06 | 晖保智能科技(上海)有限公司 | 一种区块链通信系统的加密认证方法 |
| CN112913204A (zh) * | 2018-09-14 | 2021-06-04 | 品谱股份有限公司 | 对包括电子锁的物联网设备的认证 |
Also Published As
| Publication number | Publication date |
|---|---|
| CA2836194A1 (en) | 2012-12-06 |
| US20130046976A1 (en) | 2013-02-21 |
| EP2716094A1 (en) | 2014-04-09 |
| WO2012162843A1 (en) | 2012-12-06 |
| EP2716094A4 (en) | 2014-12-03 |
| US9118667B2 (en) | 2015-08-25 |
| CA2836194C (en) | 2017-07-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103583060A (zh) | 用于接入私有网络的系统和方法 | |
| US8904179B2 (en) | System and method for exchanging key generation parameters for secure communications | |
| US7809953B2 (en) | System and method of secure authentication information distribution | |
| KR102646565B1 (ko) | 전자 토큰 프로세싱 | |
| CA2835349C (en) | System and method for identity management for mobile devices | |
| US11910194B2 (en) | Secondary device authentication proxied from authenticated primary device | |
| US9154955B1 (en) | Authenticated delivery of premium communication services to trusted devices over an untrusted network | |
| CN101400060B (zh) | 用于提供安全数据备份的方法和设备 | |
| US9344896B2 (en) | Method and system for delivering a command to a mobile device | |
| US20070027886A1 (en) | Publishing data in an information community | |
| KR20060135630A (ko) | 데이터 처리 시스템의 사용자 인증 방법 및 장치 | |
| CN100588282C (zh) | 验证向量生成装置、生成方法、用户验证模块、移动通信系统 | |
| US11102199B2 (en) | Methods and systems for blocking malware attacks | |
| US20130167209A1 (en) | System and method for accessing a software application | |
| CN101309143A (zh) | 一种移动终端间互访共享数据的方法及系统 | |
| KR20140095148A (ko) | 소셜 네트워크 서비스를 기반으로 한 금융 거래 처리 방법 및 단말 | |
| Chowdhury et al. | Distributed identity for secure service interaction | |
| CN101098234A (zh) | 发送安全消息的方法和系统 | |
| Emmanuel et al. | Mobile Banking in Developing Countries: Secure Framework for Delivery of SMS-banking Services | |
| US12093943B2 (en) | Methods, module and blockchain for distributed public keystore | |
| JP7390518B1 (ja) | 管理装置および管理方法 | |
| CA2710075C (en) | System and method for exchanging key generation parameters for secure communications | |
| Minar et al. | A Secured Bluetooth Based Social Network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140212 |
|
| RJ01 | Rejection of invention patent application after publication |