CN103688565A - 使用装置管理协议的wi-fi热点的安全在线注册和供应 - Google Patents

Abstract

本文一般描述用于Wi-Fi热点的安全在线注册和凭证的供应的移动装置和方法的实施例。在一些实施例中，该移动装置可以配置成，经由Wi-Fi热点与注册服务器建立传输层安全性（TLS）会话以接收注册服务器的证书。当证书通过验证时，移动装置可以配置成与注册服务器交换装置管理消息来注册用于Wi-Fi预订和供应凭证，以及检索预订管理对象（MO），该预订管理对象（MO）包含装置管理树中用于存储的至供应的凭证的引用。以安全方式将凭证传递/供应到移动装置。在一些实施例中，可以使用OMA-DM协议。供应的凭证可以包括基于证书的凭证的情况下的证书、机器生成的凭证例如用户名/密码凭证或SIM类型凭证。

Description

使用装置管理协议的WI-FI热点的安全在线注册和供应

相关申请

本专利申请要求2011年7月21日提交的美国专利申请序列号13/188,205的优先权，其通过引用全部并入于此。

本专利申请与2011年6月30日提交的、标题为“mobile device and method for automatic connectivity, DATA OFFLOADING and roaming between networks”的美国专利申请序列号13/173,338相关。

技术领域

实施例涉及无线保真（Wi-Fi）网络。一些实施例涉及用于服务和连接性的安全在线注册和凭证的供应（provisioning）。一些实施例涉及使用如开放移动联盟装置管理（OMA-DM）协议的装置管理协议进行安全在线注册和供应。一些实施例涉及热点（Hotspot） 2.0网络和热点 2.0演进。 

背景技术

与Wi-Fi网络接入的服务提供商进行预订建立的一个问题在于，这不是简单且用户友好的过程。没有标准化的过程用于使能Wi-Fi的装置和网络进行安全在线注册和供应凭证。用户一般可能需要面对不同类型的Web页面、在不同的位置处输入信息并选择他们的用户名/密码。 

预订建立的另一个问题是安全性。开放网络无法提供所需的安全性，同时安全网络（如使能802.1x的那些网络）可能对未登录者禁止接入。目前的在线注册机制将用户暴露于很大的安全性风险，如致使他们的信用卡和个人信息被盗（例如，利用众所周知的蜜罐（honey-pot）、邪恶孪点（twin-evil）安全性漏洞）。

预订建立的另一个问题是要供应的不同类型的凭证。一些装置或网络可能需要基于证书的凭证，而一些其他装置或网络可能只需用户名/密码凭证。其他装置或网络可能需要（例如，一般用于一些蜂窝网络的）订户信息模块（SIM）类型的凭证。

因此，普遍需要安全在线注册和凭证的供应。还普遍需要使用在线签名系统以安全的方式进行安全在线注册和凭证的供应，该在线签名系统使用装置管理协议作为传输。还普遍需要一种安全在线注册的标准化过程，其适合于供应不同类型的凭证，如用户名/密码凭证、SIM类型凭证和基于证书的凭证。还普遍需要一种用于安全在线注册和供应凭证的标准化过程，其适合于在包括开放网络和安全网络的基于任何802.11的网络中使用的。 

附图说明

图1说明根据一些实施例的用于进行安全在线注册和凭证的供应的网络元件的工作环境；

图2说明根据一些实施例的在用于安全在线注册和凭证的供应的一些网络元件之间交换的消息；

图3说明根据一些实施例的OMA-DM树；以及

图4说明根据一些实施例的移动装置。 

具体实施方式

下文描述和附图充分地说明特定实施例，以使本领域技术人员可以实施它们。其他实施例可能引入结构方面、逻辑方面、电子方面、过程方面和其他方面的更改。一些实施例的部分和特征可能被包含在其他实施例的部分或特征中或替代其他实施例的部分或特征。权利要求中提出的实施例涵盖这些权利要求的所有可用等效物。 

图1说明根据一些实施例的用于安全在线注册和凭证的供应的网络元件的工作环境。移动装置102可以是使能Wi-Fi的装置，其配置成与Wi-Fi热点104关联并执行本文描述的用于安全在线注册和供应的各种操作。Wi-Fi热点104可以利用连接到至因特网服务提供商的链路的路由器在无线局域网（WLAN）上提供因特网接入。Wi-Fi热点104可以是Wi-Fi网络的一部分，并且可以耦合到如互联网的网络105，或经由网关耦合到其他多种网络元件，其中尤其包括证书管理机构120、注册服务器106、激活入口108、证书登记服务器110和登录器（registrar）122。在一些实施例中，注册服务器106可以是配置成实现OMA-DM协议的OMA-DM服务器。Wi-Fi热点104可以作为Wi-Fi接入点（AP）来工作。移动装置102可以包括装置管理客户端125以便实现如OMA-DM的装置管理协议，并且执行本文描述的各种操作。 

在一些实施例中，Wi-Fi热点104可以包括嵌入式接入控制器（EAC）124以便用作Wi-Fi热点104的管理实体。EAC 124可以管理Wi-Fi网络的若干接入点，并且可以作为WLAN接入网的网关来工作以提供对如因特网的其他网络的接入。EAC 124可以执行本文描述的多种操作以允许移动装置接入 Wi-Fi网络。 

根据实施例，移动装置102可以配置成用于对于Wi-Fi热点的安全在线注册和供应凭证。在一些实施例中，移动装置102可以配置成用于使用如OMA-DM协议的装置管理协议进行用于Wi-Fi热点的安全在线注册和供应。在这些实施例中，移动装置102和注册服务器106可以交换根据OMA-DM协议配置的请求和响应消息。这些消息称为OMA-DM包1消息、OMA-DM包2消息、OMA-DM包3消息和OMA-DM包4消息。OMA-DM协议可以由OMA-DM工作组和数据同步（DS）工作组在OMA-DM规范中指定。 

在一些实施例中，本文描述的安全在线注册和供应过程使得用户能够以使用OMA-DM协议作为传输的安全方式，与服务提供商建立预订并将凭证和操作员策略下载到客户端装置，如移动装置102上。这可使可能已经在其后端核心网络中实现OMA-DM协议的蜂窝类型的网络服务提供商能使用相同的服务器以及所安装的组件来将该功能性延伸用于服务于Wi-Fi网络。以此方式，Wi-Fi网络可以与相同的蜂窝网络后端核心一起工作，从而能够以更无缝和透明的方式实现从蜂窝类型网络的Wi-Fi负荷卸载。蜂窝类型的网络可以是指任何配置2G（例如，GSM、EDGE）或3G（3GPP、3GPP2）或4G（例如，WiMAX、LTE）的网络。

一些实施例提供用于进行安全在线注册和供应凭证的标准化过程，这些凭证包括用户名/密码凭证、基于证书的凭证和SIM类型凭证。用于安全在线注册和供应凭证的标准化过程可以在任何基于IEEE 802.11的网络中使用OMA-DM协议，从而使得该过程可应用于开放和安全网络两者。例如，安全Wi-Fi网络可以根据鲁棒安全性网络（RSN）协议来实现安全性。此类网络可以视为RSN网络（即，允许创建鲁棒安全性网络关联（RSNA）的安全性网络））。

相应地，用户不再需要面对不同类型的Web页面、在不同的位置处输入信息并选择他们的用户名/密码。Wi-Fi网络现在可以更容易地使用且更为安全。使用OMA-DM协议使Wi-Fi网络操作能够容易地与目前的和将来的蜂窝类型网络集成。在一些实施例中，可以自动地且无需用户介入地执行安全在线注册和凭证的供应。 

根据实施例，移动装置102可以配置有登录器信息，如登录器122的URL。登录器122可以包含服务提供商条目，这些服务提供商条目可以包括服务提供商的完全合格域名（FQDN）、服务提供商好记的名字和服务提供商的在线注册根信任。登录器122可以提供服务提供商域名与其他数据之间的加密绑定。移动装置102可以使用登录器122来建立移动装置102与在线注册服务器，如注册服务器106之间的信任关系。当移动装置102发起在线注册时，它可以查询登录器122获取在线注册服务器的元数据，并且可以验证在线注册服务提供商的真实性。移动装置102还可以预先下载登录信息，并且可以将其存储在本地并在移动装置102发起本文描述的安全在线注册和供应过程时使用它。如果移动装置102是双模式移动装置（具有蜂窝网络能力和Wi-Fi网络能力两者），则移动装置102还可以配置成使用蜂窝网络连接实时地查询登录器122以检索在线注册服务器信息并验证真实性。

根据实施例，移动装置102可以配置成与Wi-Fi网络的Wi-Fi热点104关联，并经由Wi-Fi热点104与注册服务器106建立传输层安全性（TLS）会话以便接收注册服务器106的数字证书。移动装置102还可以配置成向注册服务器106发送客户端发起的OMA-DM包1消息。OMA-DM包1消息可以包含装置信息和设为预订创建的通用提示。响应包1消息，可以从注册服务器106接收OMA-DM包2消息，该消息包含用于由移动装置102执行的启动浏览器至URL（统一资源定位器）命令。 

在接收到OMA-DM包2消息时，可以由移动装置102通过执行启动浏览器至URL命令并通过到所标识的URL的安全HTTP连接发送HTTPS 取得（HTTPS GET）请求来建立至OMA-DM包2消息中标识的URL的安全超文本传输协议（HTTPS）连接。可以将URL与激活入口108关联。移动装置102可以通过建立的安全HTTP连接与激活入口108交换信息以供应用于Wi-Fi网络接入的预订并创建预订管理对象（MO）。预订MO可以包括对证书的类型（例如，用户名/密码、SIM类型或基于证书）的引用，这些证书是针对某些Wi-Fi网络（包括热点 2.0网络）的自动连接性而供应的。

在用户名/密码凭证的情况中，预订MO可以包括用户名和密码。在SIM类型凭证的情况中，预订MO可以包括有关SIM类型凭证的至少一些基本信息。在基于证书的凭证的情况中，预订MO可以包括用于访问基于证书的凭证的信息。下文更详细地描述这些实施例。 

虽然多个实施例在本文中是针对用于Wi-Fi 热点 2.0网络的安全在线注册和供应描述的，但是，本发明的范围不限于此方面。其他实施例可应用于其他类型的网络，包括其他无线局域网（WLAN）和蜂窝类型网络的安全在线注册和供应。

根据一些实施例，证书管理机构120可以是热点 2.0证书管理机构（CA）（即，根信任），并且可以配置成发出证书，包括热点 2.0证书。登录器122可以是可将公司或组织登录（registered）为热点 2.0服务提供商的地方。登录器122可以包括已经登录的FQDN和/或选定的好记的名字。可以在公众可用的“WHOIS”数据库中标识FQDN拥有者。选定的好记的名字应该与已经登录的好记的名字不相似或不相混淆。登录器122可以调用可以在不适合的情况下使所请求的好记的名字被拒绝的登录的规则。登录器122可以维护已登录服务提供商连同其好记的名字的数据库以及移除无效项。可以将来自证书管理机构120的热点 2.0证书仅发出给已登录实体（即已向登录器数据库登录）。该证书可以具有不超过FQDN登录有效期的有效期。在一些情况中，登录器122还可以用作证书管理机构。

根据实施例，移动装置102可以从证书管理机构120获取一个或多个热点 2.0根证书（一个或多个），并且该根证书可以标识服务器的FQDN并指示它可用于对于在线注册和凭证的供应进行基于HTTPS的认证。热点 2.0服务提供商可为在线注册服务器106供应来自证书管理机构120的证书，并且可对在线注册服务器106供应适合的策略设置。下文更详细地论述这些实施例。

服务提供商的网络还可以包括认证、授权和结算帐目（AAA）服务器126，AAA服务器126尤其包括订户数据库。AAA服务器126可以与诸如用于IP地址的动态分配的动态主机配置协议（DHCP）服务器127和用于域名转换的域名服务器（DNS）128的网络元件通信，以及执行其他联网操作。 

在一些实施例中，Wi-Fi热点104可以是根据热点 2.0演进规范，如Wi-Fi联盟的热点 2.0演进规范工作的Wi-Fi 热点 2.0。移动装置102可以是使能热点 2.0的装置，以及预订信息可以包括用于自动连接到Wi-Fi 热点 2.0的预先供应的预订信息。Wi-Fi网络可以是无线网络，包括配置成根据用于WLAN的IEEE 802.11标准（及其修改）的其中之一工作的Wi-Fi热点。 

Wi-Fi网络可以使用具有冲突规避的载波感测多址技术（CSMA/CA），其中上行和下行通信根据时分复用过程使用相同的频率信道。一些Wi-Fi网络可以使用正交频分复用（OFDM）。另一方面，蜂窝网络（如4G LTE网络和WiMAX网络）实现正交频分多址（OFDMA）技术。3G蜂窝网络可以使用码分多址（CDMA）技术。在一些实施例中，移动装置102可以是具有配置成用于与Wi-Fi和蜂窝网络两者通信的物理层电路的双模装置。 

图2说明根据一些实施例的作为用于进行安全在线注册和凭证的供应的过程的一部分在一些网络元件之间交换的消息。该过程的一些操作可以由移动装置102的装置管理客户端125（图1）来执行，而其他操作可以由Wi-Fi热点104（图1）的嵌入式接入控制器126（图1）、注册服务器106和证书登记服务器110来执行。 

在操作200中，移动装置102可以与Wi-Fi热点104关联。在一些实施例中，移动装置102可以最初扫描使能热点 2.0的网络，并且还可以查找Wi-Fi热点的信标中的指示以确定该Wi-Fi网络是否是安全的（例如，使能RSN）以及确定它是否支持热点 2.0连接性。移动装置102可以基于用户偏好来选择最适合的网络。如果移动装置102确定它没有向所选的服务提供商的预订，则它可以配置成自动地参与在线注册和供应（即，无需用户介入），如下文更详细地论述。 

对于使能RSN的网络，移动装置102可以配置成无需凭证接入使能RSN的网络。在这些实施例中，移动装置102可以配置成发送通用服务器接入（GAS）请求（如基于IEEE 802.11u的GAS请求）以请求在线注册网络接入标识符（NAI）。可以使用GAS查询从网络接收在线注册NAI。在接收到NAI之后，移动装置102可以在可扩充认证协议（EAP）认证过程中使用NAI来向网络指示它要注册以用于服务并创建用于供应的凭证。网络可以配置成允许对移动装置102的接入而为此目的无需用户认证。移动装置102然后可以在操作201中执行服务器侧认证，如下文更详细地论述的。

在一些实施例中，操作200可以包括执行四通握手（4WHS）以允许移动装置102和认证器根据EAP认证过程之后生成的主密钥导出会话密钥。4WHS可以根据IEEE 802.11i，但是这是不是要求。 

在操作201中，移动装置102可以配置成经由Wi-Fi热点104与注册服务器106建立TLS会话以接收注册服务器106的证书。证书可以是可由热点 2.0证书管理机构（即，根信任）发出的热点 2.0证书，并且可以称为根证书。

在一些实施例中，移动装置102可以在操作201中根据RFC 2560的过程与注册服务器106建立TLS会话，并且可以使用HTTPS执行服务器侧认证。在一些实施例中，在与注册服务器106建立TLS会话之后，移动装置102可以验证注册服务器106的该证书由热点 2.0信任根签名。当移动装置102验证或能够验证注册服务器106的该证书由热点 2.0根信任签名时，移动装置102可以配置成执行操作202以发起新预订建立。

本文公开的实施例可应用于开放网络连同安全802.1x类型的网络两者，这是因为建立TLS会话来用于凭证供应。由此，下文描述的相同过程可以用于开放/不安全的Wi-Fi网络和安全Wi-Fi网络（例如，具有802.1x安全性）两者。

在一些实施例中，为了验证注册服务器106的证书由热点 2.0根信任签名，移动装置102可以使用热点 2.0根信任的公共密钥来验证证书。公共密钥可以从密钥服务器获取或从移动装置102内的存储元件获取。当移动装置102无法验证注册服务器的证书由热点 2.0根信任签名时，或当注册服务器的证书并非由热点 2.0根信任签名时，移动装置102可以中止在线注册和供应过程，并释放/结束所建立的TLS会话。 

在操作202中，移动装置102可以向注册服务器106发送OMA-DM包1消息（即，客户端发起的消息）。OMA-DM包1消息可以包含装置信息和设为预订创建的通用提示。此OMA-DM包1消息的通用提示可以指示移动装置102的用户期望与服务提供商建立新预订。包1消息可以通过实现TLS会话的无线链路103（图1）来发送。

在操作203中，响应包1消息，移动装置102可以从注册服务器106接收OMA-DM包2消息，该OMA-DM包2消息包含用于由移动装置102执行的启动浏览器至URL命令。在这些实施例中，操作203中接收的OMA-DM包2消息是响应操作202中发送的包1消息接收到的响应消息。操作202中发送的OMA-DM包1消息是请求消息。使用OMA-DM协议可以提供这些响应和请求消息。 

在一些实施例中，注册服务器106可以在操作203中接收的OMA-DM包2消息中指示要供应的凭证的类型（例如，用户名/密码凭证、SIM类型凭证或基于证书的凭证）。例如，一些服务提供商可能需要基于证书的凭证，而其他服务提供商可能只需用户名/密码凭证。当要供应用户名/密码凭证时，可以由注册服务器106生成用户名和密码并在此后作为接收的预订MO的一部分将其返回。另一方面，当要供应基于证书的凭证时，在操作208中返回由证书登记服务器发出的预订证书，并在操作211中接收预订MO。下文更详细地描述这些实施例。

在一些实施例中，操作203中接收且包含启动浏览器至URL命令的OMA-DM包2消息可以由注册服务器106响应接收到在操作202中移动装置102发送的OMA-DM包1消息生成。OMA-DM包2消息可以在操作203中通过实现建立的TLS会话的无线链路103来接收。

在操作204中，在接收到OMA-DM包2消息时，移动装置102可以通过执行启动浏览器至URL命令建立至OMA-DM包2消息中标识的URL的HTTPS连接，并且可以通过到所标识的URL的HTTP连接发送HTTPS 取得请求。可以将URL与激活入口108（图1）关联。HTTPS 取得请求可以配置成从激活入口108检索用于预订建立的URL。可以将激活入口108与特定服务提供商关联。

在操作205中，移动装置102可以通过建立的HTTPS连接与激活入口108交换信息以供应用于Wi-Fi网络接入的预订的凭证，并创建预订MO。在一些实施例中，操作205中的交换信息包括提供有关用户的信息（例如，用户标识信息）、选择适合的预订/费率计划、如果需要提供支付信息（例如，信用卡或其他支付信息）以及建立策略和其他适合的参数。

当成功地供应预订凭证时，移动装置102可以在操作206中连同可以从中检索到预订MO的URL一起，从注册服务器106接收到预订凭证已供应成功的指示。URL可以作为HTTPS响应消息的一部分来接收。当预订凭证未供应成功时，可以执行操作213。

在操作207中，移动装置102可以向注册服务器106发送OMA-DM包3消息以检索证书登记服务器的URL。OMA-DM包3消息可以包含根据是否在执行向服务提供商的证书登记来配置的通用提示。OMA-DM包3消息的通用提示可以指示移动装置102的用户未在执行向服务提供商的证书登记（例如，可以将通用提示设到OMA-DM注册服务器）。如果新预订的建立中有错误，则可以执行操作213。 

当未在执行证书登记时，移动装置可以在操作208中从注册服务器106接收OMA-DM包4消息。当未执行证书登记时，OMA-DM包4消息可以包括ADD命令并指示在移动装置102的OMA-DM树上的位置。响应ADD命令，移动装置102可以配置成将预订MO添加到在移动装置102的OMA-DM树上的位置。

图3说明根据一些实施例的OMA-DM树。OMA-DM树300可以存储在移动装置102中，并且可以包含树根301、每个服务提供商（SP）的预订MO 302以及每个服务提供商的FQDN 308。OMA-DM树300还可以包含装置信息MO 306（DEVINFO）和装置细节MO 304（DEVDETAILS）。操作202中发送的OMA-DM包1消息包含装置信息MO 306和装置细节MO 304。OMA-DM树300还可以包含装置特定的Wi-Fi对象的Wi-Fi MO 310。 

在一些实施例中，装置细节MO 304可以包括如型号、厂商信息、适配器类型、适配器配置等的装置信息以及用户信息。装置细节MO 304可以包括附加信息，如可从中获取对装置特定的附加信息的URI、装置类型（例如，PC卡、USB、调制解调器、快速卡（express card）、游戏装置、音乐播放器、导航装置）、OEM名称、固件版本、软件版本、硬件版本和主机装置是否支持OMA-DM大对象处理。装置信息MO 306可以包括主机装置的唯一标识符（例如，GUID）、制造商标识符、装置型号、OMA-DM客户端版本标识符和主机装置的语言设置。

根据实施例，为了支持激活和供应过程，热点 2.0使用OMA-DM客户端作为激活和供应过程中的构建块。移动装置102的装置管理客户端125可以配置成支持标准OMA-DM自举，这可使装置管理客户端125能够在Wi-Fi网络中接收装置管理帐户更新以及开始与Wi-Fi网络中的OMA-DM服务器的对话。装置管理客户端125可以配置成下载移动装置102的固件更新。装置管理客户端125可以负责使用装置管理树XML的移动装置102之间的OMA-DM树交换。装置管理客户端125还可以配置有凭证/策略供应固件，且配置成执行客户端与OMA DM服务器（例如，注册服务器106）之间的装置配置更新，以及用于收集诊断服务器的装置诊断信息。 

再次参考图2，当未在执行证书登记时以及在将预订MO 302（包括用户名/密码凭证）添加到移动装置102的OMA-DM树300之后，移动装置102可以在操作214中释放先前建立的TLS会话，并且可以在操作215中取消与Wi-Fi热点104的关联。预订MO 302现在可用于由移动装置102使用以便在操作216中自动地连接可以由服务提供商来操作的Wi-Fi网络以及漫游伙伴操作的Wi-Fi网络并与其关联。在一些实施例中，移动装置102可以配置成使用相同的SSID/HESID来通过新获取的凭证关联到Wi-Fi网络（即，建立新L2/L3连接）。

当正在执行证书登记时，可以将操作207中发送的OMA-DM包3消息的通用提示设为“证书登记”。在这些实施例中，移动装置102的用户希望向服务提供商执行证书登记。作为响应在操作208中接收的OMA-DM包4消息可以包含证书登记的命令至URL（例如，执行：证书登记到URL），以使移动装置102连接到证书登记服务器110（图1）以便进行证书登记。 

响应接收到操作208中接收到的OMA-DM包4消息，移动装置102可以配置成执行证书登记的命令至URL以在操作209中向该URL指示的证书登记服务器110执行证书登记。证书登记过程可以根据证书登记协议（例如，证书管理协议（CMP）或简单证书登记协议（SCEP））执行来为移动装置102供应预订证书以用于向服务提供商认证。 

在一些实施例中，证书登记过程可以配置成在典型条件下耗费小于60秒的时间。典型条件可以包括当服务提供商的Wi-Fi热点和核心网络未拥塞，且证书登记服务器110未过载。在成功过程结束时，移动装置102将已被供应用于向该服务提供商的网络认证的预订证书。当不成功时，移动装置将被通知证书登记失败。 

操作209中接收的预订证书可以是适于用于向网络进行基于EAP-TLS的认证的X.509类型证书。在一些实施例中，预订证书可以是x.509v3证书，并且可以根据用于单点登陆（SSO）和特权管理基础设施（PMI）的公共密钥基础设施（PKI）的ITU-T标准来进行配置。 

在操作210中，如果证书登记成功，则移动装置102可以向注册服务器106发送OMA-DM包3消息。OMA-DM包3可以包括含有可从中检索预订MO的在操作206中接收的URL的通用提示。

在操作211中，移动装置102可以从注册服务器106接收包括ADD命令和位置的OMA-DM包4消息。OMA-DM包4消息可以是响应移动装置102在操作210中发送的OMA-DM包3消息接收的响应消息。响应ADD命令，移动装置102可以将预订MO 302添加到移动装置102的OMA-DM树300上指示的位置。 

当供应用户名/密码凭证时，注册服务器106生成的用户名和密码作为操作211中接收的预订MO的一部分返回。当供应基于证书的凭证时，在操作209中返回证书登记服务器110发出的证书，并在操作211中接收预订MO。 

在操作212中，移动装置102可以发送指示操作211的状态的OMA-DM包3消息。此消息可以确认移动装置102能够将预订MO 302添加到其OMA-DM树300。在一些实施例中，预订MO 302可以包括至服务提供商所需的凭证类型的引用。

在操作213中，移动装置102可以接收指示操作212的状态的OMA-DM包4消息。以此方式，能够使服务提供商知悉该移动装置已成功地添加预订MO 302以及已经供应凭证。

在操作214中，移动装置可以释放操作201中建立的已建立的TLS会话，并且可以在操作215中与Wi-Fi网络取消关联。在操作216中，移动装置可以使用预订MO 302与Wi-Fi网络关联并向其认证。 

在一些实施例中，操作200-216可以无需用户介入来执行，并且可以自动地执行。在一些实施例中，所有操作200–216（除了可能操作205的部分外）可以无需用户介入来执行，并且可以自动地执行。

图4图示根据一些实施例的移动装置。移动装置400可以适于作为移动装置102来使用，并且可以配置成执行上文论述的用于安全在线注册和凭证的供应的多种操作。 

移动装置400可以包括物理层电路402，物理层电路402配置成用于使用一个或多个天线401与Wi-Fi热点（如Wi-Fi热点104（图1）进行无线通信。移动装置400还可以包括处理电路404，处理电路404可以配置成用于连同存储器406一起执行本文描述的操作，存储器406尤其用于存储供应的凭证和预订MO 302（图3）以及OMA-DM树300（图3）的其他元件。处理电路404可以配置成实现装置管理客户端125（图1）以用于执行装置管理协议，如OMA-DM协议，并且执行本文描述的多种操作，包括负责实现OMA-DM客户端的操作。移动装置400还可以包括其他功能元件，如用于执行其他操作的媒体访问控制的媒体访问控制（MAC）层电路。 

在单模移动装置的情况中，物理层电路402可以配置成用于与Wi-Fi网络通信。在双模实施例中，物理层电路402可以配置成用于与蜂窝网络和Wi-Fi网络通信。在双模实施例中，移动装置400可以包括Wi-Fi收发器和一个或多个蜂窝网络收发器。在双模实施例中，移动装置400还可以配置成将业务从蜂窝网络卸载到可用的Wi-Fi网络。

在一些实施例中，移动装置102可以是便携式无线通信装置，如个人数字助理（PDA）、具有无线通信能力的膝上型或便携式计算机、Web平板电脑、无线电话、智能电话、无线耳机、传呼机、即时通讯装置、数字相机、接入点、电视、医疗或保健装置、娱乐装置或可以无线方式接收和/或传送信息的其他装置。 

天线401可以包括一个或多个定向或全向天线，包括例如，双极天线、单极天线、贴片天线、回路天线、微带天线或适于RF信号传输的其他类型的天线。在一些实施例中，取代两个或更多个天线，还可以使用具有多个孔径的单个天线。在这些实施例中，每个孔径可以视为单独的天线。在一些多输入多输出（MIMO）实施例中，天线301可以被有效地分开以利用在每个天线401与发射站的天线之间可产生的空间分集和不同信道特征。 

虽然移动装置400图示为具有若干单独的功能元件，但是这些功能元件的其中一个或多个功能元件可以被组合，并且可以通过软件配置的元件（如包括数字信号处理器（DSP）的处理元件）和/或其他硬件元件的组合来实现。例如，一些元件可以包括一个或多个微处理器、DSP、专用集成电路（ASIC）、射频集成电路（RFIC）和用于执行本文描述的至少一个功能的多种硬件与逻辑电路的组合。在一些实施例中，系统100的功能元件可以是指一个或多个处理元件上运行的一个或多个过程。 

实施例可以通过硬件、固件和软件的其中之一或它们的组合来实现。实施例还可以作为计算机可读存储装置上存储的指令来实现，这些指令可以被至少一个处理器读取并执行以执行本文描述的操作。计算机可读存储装置可以包括用于以机器（例如，计算机）可读形式存储信息的任何非暂时性机构。例如，计算机可读存储装置可以包括只读存储器（ROM）、随机存取存储器（RAM）、磁盘存储介质、光存储介质、闪速存储器装置和其他存储装置和介质。在一些实施例中，可以利用计算机可读存储装置上存储的指令来配置一个或多个处理器以实现本文描述的多种操作。

说明书摘要是遵照37 C.F.R.第1.72(b)节提出的，其要求将使读者能够确知技术公开的本质和要点的说明书摘要。它基于下列理解提出，它将不用于限定或解释权利要求的范围或含义。因此，所附权利要求并入到具体实施方式中，其中每个权利要求独立作为单独的实施例。 

Claims (21)

1.一种用于Wi-Fi 热点 2.0网络的安全在线注册和供应的方法，所述方法包括：

与Wi-Fi热点关联，并经由所述Wi-Fi热点与注册服务器建立传输层安全性（TLS）会话以接收所述注册服务器的证书；

向所述注册服务器发送OMA-DM（开放移动联盟装置管理）包1消息，所述OMA-DM包1消息包含装置信息和设为预订创建的通用提示；

响应包1消息，从所述注册服务器接收OMA-DM包2消息，所述OMA-DM包2消息包含用于由所述移动装置执行的启动浏览器至URL命令；

由所述移动装置在接收到所述OMA-DM包2消息时建立至所述OMA-DM包2消息中标识的URL的安全超文本传输协议（HTTPS）连接，并通过至所标识的URL的安全HTTP连接发送HTTPS 取得请求，所述URL与激活入口关联；以及

通过所建立的安全HTTP连接与所述激活入口交换信息以供应用于建立Wi-Fi网络接入的预订和创建预订管理对象（MO）的凭证。

2.如权利要求1所述的方法，其中当成功地供应所述预订的凭证时，所述方法包括所述移动装置：

连同可从中检索预订MO的URL一起，从所述注册服务器接收已成功地供应预订的指示，所述URL作为HTTPS响应消息的一部分被接收；以及

向所述注册服务器发送OMA-DM包3消息，所述OMA-DM包3消息包含设为指示所述移动装置是否在向所述服务提供商执行证书登记的通用提示；以及

当未在执行证书登记时，从所述注册服务器接收OMA-DM包4消息，所述OMA-DM包4消息包含ADD命令和位置，

其中响应所述ADD命令，所述移动装置配置成将所述预订MO添加到所述移动装置的OMA-DM树上的所述位置。

3.如权利要求2所述的方法，其中当正在执行证书登记时：

将所述OMA-DM包3消息的通用提示设为证书登记，

所述OMA-DM包4消息包含用于移动装置连接到所述证书登记服务器的证书登记的命令至URL，以及

所述方法还包括：

根据证书登记协议执行用于证书登记的所述命令至URL以向所述证书登记服务器执行证书登记来为所述移动装置供应预订证书以用于向所述服务提供商认证；

如果所述证书登记成功，则向所述注册服务器发送OMA-DM包3消息，所述OMA-DM包3包含含有可从中检索所述预订MO的URL的通用提示；以及

从所述注册服务器接收OMA-DM包4消息，所述OMA-DM包4消息包含ADD命令和位置，

其中响应所述ADD命令，所述移动装置配置成将用于基于证书的凭证的所述预订MO添加到所述移动装置的OMA-DM树上的所述位置。

4.如权利要求1所述的方法，其中在与所述注册服务器建立所述TLS会话之后，所述方法还包括验证所述注册服务器的证书已由热点 2.0信任根签名，以及

其中当所述移动装置验证所述注册服务器的所述证书由热点 2.0信任根签名时，所述方法包括发送用于新预订建立的所述OMA-DM包1消息。

5.如权利要求1所述的方法，其中所述OMA-DM包1消息包含装置信息管理对象（MO）和装置细节MO，以及

其中设为预订创建的通用提示指示所述移动装置期望与服务提供商建立新预订。

6.如权利要求5所述的方法，其中所述OMA-DM包2消息指示所述服务提供商要供应的凭证的类型，以及

其中所述凭证的类型包括用户名/密码凭证、基于证书的凭证或SIM类型凭证的其中之一。

7.如权利要求1所述的方法，其中所述HTTPS 取得请求配置成从所述激活入口检索URL以用于预订建立，以及

其中所述激活入口与服务提供商关联。

8.如权利要求2所述的方法，其中验证所述注册服务器的所述证书已由热点 2.0根信任签名包括，所述移动装置使用热点 2.0信任根的公共密钥来验证所述证书，以及

其中当所述移动装置无法验证所述注册服务器的证书已由热点 2.0信任根签名时，所述移动装置配置成中止所述在线注册和供应过程，并释放/结束所建立的TLS会话。

9.如权利要求2所述的方法，其中所述移动装置根据RFC 2560的过程与所述注册服务器建立所述TLS会话，并且使用HTTPS执行服务器侧认证。

10.如权利要求2所述的方法，其中由所述注册服务器响应接收所述OMA-DM包1消息来生成包含所述启动浏览器至URL命令的所述OMA-DM包2消息。

11.如权利要求2所述的方法，其中与所述激活入口交换信息以供应用于Wi-Fi网络接入的预订包括，提供有关所述用户的信息、选择适合的预订计划、在需要时提供支付信息以及建立策略和其他适合的参数。

12.如权利要求2所述的方法，其中安全在线注册和凭证的供应的操作自动地执行而无需用户介入。

13.一种配置成用于Wi-Fi 热点 2.0网络的安全在线注册和凭证的供应的移动装置，所述移动装置配置成：

经由Wi-Fi热点与注册服务器建立传输层安全性（TLS）会话以接收所述注册服务器的证书；以及

验证所述注册服务器的所述证书已由热点 2.0信任根签名；

当所述证书已验证时，所述移动装置还配置成：

与所述注册服务器交换装置管理消息来注册以用于Wi-Fi预订和凭证的供应；以及

检索预订管理对象（MO），所述预订管理对象（MO）包含至用于所述移动装置的装置管理树中的检索和存储的供应的凭证的引用。

14.如权利要求13所述的移动装置，其中所述装置管理消息是开放移动联盟装置管理（OMA-DM）消息。

15.如权利要求14所述的移动装置，其中所述移动装置还配置成： 

与所述Wi-Fi热点关联以经由所述Wi-Fi热点与所述注册服务器建立所述TLS会话以接收所述注册服务器的所述证书；

向所述注册服务器发送开放移动联盟装置管理（OMA-DM）包1消息，所述OMA-DM包1消息包括装置信息和设为预订创建的通用提示；以及

响应接收包1消息，从所述注册服务器接收OMA-DM包2消息，所述OMA-DM包2消息包含用于由所述移动装置执行的启动浏览器至URL命令，所述注册服务器指示服务提供商是使用基于证书的凭证、用户名/密码凭证还是SIM类型凭证。

16.如权利要求15所述的移动装置，其中所述移动装置还配置成： 

由所述移动装置在接收到所述OMA-DM包2消息时建立至所述OMA-DM包2消息中标识的URL的安全超文本传输协议（HTTPS）连接，并通过至所标识的URL的所述安全HTTP连接发送HTTPS 取得请求，所述URL与激活入口关联；以及

通过所建立的安全HTTP连接与所述激活入口交换信息以供应Wi-Fi网络接入的预订和创建所述预订MO。

17.如权利要求16所述的移动装置，其中当要供应基于证书的凭证时，所述移动装置还配置成启动证书登记协议以用于所述基于证书的凭证的供应。

18. 一种用于操作用于对移动装置进行安全在线注册和凭证的供应以用于Wi-Fi热点连接性的注册服务器的方法，所述方法包括：

通过传输层安全性（TLS）会话从所述移动装置接收OMA-DM（开放移动联盟装置管理）包1消息，所述OMA-DM包1消息包括装置信息和设为预订创建的通用提示；

响应包1消息，向所述移动装置发送OMA-DM包2消息，所述OMA-DM包2消息包含用于由所述移动装置执行的启动浏览器至URL命令；

与所述移动装置建立安全超文本传输协议（HTTPS）连接，并通过到所标识的URL的安全HTTP连接接收HTTPS 取得请求，所述URL与激活入口关联；以及

通过所建立的安全HTTP连接交换信息以供应用于建立Wi-Fi网络接入的预订和创建预订管理对象（MO）的凭证。

19.如权利要求18所述的方法，其中当成功地供应所述预订的凭证时，所述方法包括：

连同可从中检索预订MO的URL一起，从所述注册服务器发送已成功地供应预订的指示，所述URL作为HTTPS响应消息的一部分被接收；以及

从所述移动装置接收OMA-DM包3消息，所述OMA-DM包3消息包含设为指示所述移动装置是否正在向所述服务提供商执行证书登记的通用提示；

从所述注册服务器向所述移动装置发送OMA-DM包4消息，其中当未在执行证书登记时，所述OMA-DM包4消息包含ADD命令和位置，以及

其中响应所述ADD命令，所述移动装置配置成将所述预订MO添加到所述移动装置的OMA-DM树上的所述位置。

20.如权利要求19所述的方法，其中当正在执行证书登记时：

将所述OMA-DM包3消息的通用提示设为证书登记，

所述OMA-DM包4消息包含用于移动装置连接到证书登记服务器的证书登记的命令至URL，以及

所述移动装置配置成，根据证书登记协议执行用于证书登记的命令至URL以向所述证书登记服务器执行证书登记来为所述移动装置供应预订证书以用于向所述服务提供商认证。

21.如权利要求20所述的方法，其还包括： 

如果所述证书登记成功，则从所述移动装置接收OMA-DM包3消息，所述OMA-DM包3包含含有可从中检索所述预订MO的URL的通用提示；以及

向所述移动装置发送OMA-DM包4消息，所述OMA-DM包4消息包含ADD命令和位置，

其中响应所述ADD命令，所述移动装置配置成将用于基于证书的凭证的所述预订MO添加到所述移动装置的OMA-DM树上的所述位置。

Images