CN104170424B - 用于订阅共享的方法和装置 - Google Patents
用于订阅共享的方法和装置 Download PDFInfo
- Publication number
- CN104170424B CN104170424B CN201380013333.1A CN201380013333A CN104170424B CN 104170424 B CN104170424 B CN 104170424B CN 201380013333 A CN201380013333 A CN 201380013333A CN 104170424 B CN104170424 B CN 104170424B
- Authority
- CN
- China
- Prior art keywords
- mobile terminal
- certificate
- client certificate
- subscription
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/40—Security arrangements using identity modules
- H04W12/43—Security arrangements using identity modules using shared identity modules, e.g. SIM sharing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
- H04W8/20—Transfer of user or subscriber data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephone Function (AREA)
Abstract
提供一种用于使多个移动终端能够访问订阅服务的方法、装置和计算机程序产品。该方法还可以包括使客户端证书作为证书登记过程的结果被发放给第一移动终端。在一些示例实施方式中,客户端证书包括订阅标识符和指示客户端证书是否将与第二移动终端可共享的标志。该方法还可以包括使证书登记过程在如下实例中由第二移动终端与第一移动终端发起,在该实例中,第一移动终端拥有被配置为与另一移动终端共享的一个或者多个凭证。该方法还可以包括第二移动终端从第一移动终端接收以客户端证书这一形式的至少一个凭证。
Description
技术领域
本发明的一些实施方式主要地涉及通信技术,并且更具体地涉及无线环境中的共享的订阅。
背景技术
在Hotspot(热点)2.0中定义了用以允许操作支持无线通信功能的终端的用户购买和/或访问对无线网络的订阅,即使操作该移动终端的用户不具有与无线网络的在先关系或者没有对无线网络订阅。可以在购买订阅时向移动终端提供购买的订阅、包括凭证。无线网络可以支持多个凭证、比如但不限于用户名/口令和/或客户端证书。在其中凭证是用户名/口令的实例中,可以在属于相同用户的多个设备之中共享用户名/口令。然而,如果向移动终端发放的凭证包括客户端证书,则用于共享凭证的能力不适用。按照定义,客户端证书是基于专属于特定移动终端的私用/公共密钥而生成的、因此一般是不可传送的。
发明内容
因此,根据示例实施方式提供一种用于使第一移动终端的用户能够与其它移动终端共享客户端证书的方法、装置和计算机程序产品,该客户端证书提供对无线网络订阅服务的访问。可以通过扩展所定义的用于创建无线订阅的过程、比如Hotspot 2.0无线供应(provisioning)规范来共享客户端证书。根据一些示例实施方式,服务器初始地向第一移动终端发放客户端证书,该服务器提供对无线网络订阅服务的访问凭证。有利地,第二移动终端然后可以例如连接到第一移动终端以便获得第一移动终端所生成的客户端证书,该客户端证书也可以用来使用属于第一终端的订阅来获得网络访问。因此,在其中第二移动终端尝试使用第一移动终端生成的客户端证书来被服务器认证的实例中,服务器被配置为识别第一移动终端所发放的客户端证书、因此向第二移动终端授权访问无线网络订阅服务的权限。
在一个实施方式中,提供一种方法,该方法包括确定第一移动终端是否拥有被配置为与另一移动终端共享的一个或者多个凭证。在一些示例实施方式中,凭证包括服务器所发放的订阅标识符,并且凭证被配置为授予访问一个或者多个无线网络订阅服务的权限。这一实施例的该方法也可以包括使证书登记过程在其中第一移动终端拥有被配置为与另一移动终端共享的一个或者多个凭证的实例中利用第一终端来发起。这一实施例的该方法也可以包括从第一移动终端接收客户端证书。在一些示例实施方式中,客户端证书被第一移动终端签名并且包括订阅标识符。
在另一实施方式中,提供一种装置,该装置包括至少一个处理器和包括计算机程序代码的至少一个存储器,而至少一个存储器和计算机程序代码被配置为与至少一个处理器一起使该装置至少确定第一移动终端是否拥有被配置为与另一移动终端共享的一个或者多个凭证。在一些示例实施方式中,凭证包括服务器发放的订阅标识符并且被配置为授予访问一个或者多个无线网络订阅服务的权限。至少一个存储器和计算机程序代码也可以被配置为与至少一个处理器一起使该装置使证书登记过程在其中第一移动终端拥有被配置为与另一移动终端共享的一个或者多个凭证的实例中利用第一终端来发起。至少一个存储器和计算机程序代码也可以被配置为与至少一个处理器一起使该装置从第一移动终端接收客户端证书。在一些示例实施方式中,客户端证书由第一移动终端签名并且包括订阅标识符。
在又一实施方式中,可以提供一种计算机程序产品,该计算机程序产品包括具有在其中存储的计算机可读程序指令的至少一个非瞬态计算机可读存储介质,而计算机可读程序指令包括配置为确定第一移动终端是否拥有被配置为与另一移动终端共享的一个或者多个凭证的程序指令。在一些示例实施方式中,凭证包括服务器发放的订阅标识符并且被配置为授予访问一个或者多个无线网络订阅服务的权限。计算机可读程序指令也可以包括配置为使证书登记过程在其中第一移动终端拥有被配置为与另一移动终端共享的一个或者多个凭证的实例中利用第一终端来发起的程序指令。计算机可读程序指令也可以包括配置为从第一移动终端接收客户端证书的程序指令。在一些示例实施方式中,客户端证书由第一移动终端签名并且包括订阅标识符。
在更多另一实施方式中,提供一种设备,该设备包括用于确定第一移动终端是否拥有被配置为与另一移动终端共享的一个或者多个凭证的装置。在一些示例实施方式中,凭证包括服务器发放的订阅标识符,并且凭证被配置为授予访问一个或者多个无线网络订阅服务的权限。这一实施例的该装置也可以包括用于使证书登记过程在其中第一移动终端拥有被配置为与另一移动终端共享的一个或者多个凭证的实例中利用第一终端来发起的装置。这一实施例的该装置也可以包括用于从第一移动终端接收客户端证书的装置。在一些示例实施方式中,客户端证书由第一移动终端签名并且包括订阅标识符。
在一个实施方式中,提供一种方法,该方法包括从第二移动终端接收对于访问无线网络订阅服务的认证请求。这一实施例的该方法也可以包括确定认证请求是否包括具有订阅标识符的客户端证书,该订阅标识符属于属于先前已经被认证的第一移动终端。这一实施例的该方法也可以包括使第二移动终端基于第一移动终端发放的包含订阅标识符的客户端证书在无线网络订阅服务上被认证。
在另一实施方式中,提供一种装置,该装置包括至少一个处理器和包括计算机程序代码的至少一个存储器,而至少一个存储器和计算机程序代码被配置为与至少一个处理器一起使该装置至少从第二移动终端接收对于访问无线网络订阅服务的认证请求。至少一个存储器和计算机程序代码也可以被配置为与至少一个处理器一起使该装置确定认证请求是否包括具有订阅标识符的客户端证书,该订阅标识符属于先前已经被认证的第一移动终端。至少一个存储器和计算机程序代码也可以被配置为使第二移动终端基于第一移动终端发放的包含订阅标识符的客户端证书在无线网络订阅服务上被认证。
在又一实施方式中,可以提供一种计算机程序产品,该计算机程序产品包括具有在其中存储的计算机可读程序指令的至少一个非瞬态计算机可读存储介质,而计算机可读程序指令包括配置为从第二移动终端接收对于访问无线网络订阅服务的认证请求的程序指令。计算机可读程序指令也可以包括配置为确定认证请求是否包括具有订阅标识符的客户端证书的程序指令,该订阅标识符属于先前已经被认证的第一移动终端。计算机可读程序指令也可以包括配置为使第二移动终端基于第一移动终端发放的包含订阅标识符的客户端证书在无线网络订阅服务上被认证的程序指令。
在更多另一实施方式中,提供一种设备,该设备包括用于从第二移动站接收对于访问无线网络订阅服务的认证请求的装置。这一实施例的该设备也可以包括用于确定认证请求是否包括具有订阅标识符的客户端证书的装置,该订阅标识符属于先前已经被认证的第一移动终端。这一实施例的该设备也可以包括使第二移动终端基于第一移动终端发放的包含订阅标识符的客户端证书在无线网络订阅服务上被认证的装置。
附图说明
已经这样用一般措词描述本发明的示例实施方式,现在将参照附图,附图未必按比例绘制,并且在附图中:
图1是具有至少两个可以从本发明的一个实施方式受益的移动终端的系统的示意性表示;
图2是根据本发明的一个实施方式的终端可以体现的装置的框图;
图3图示根据本发明的一些示例实施方式的移动终端的框图;
图4是图示根据本发明的一个实施方式的第一移动终端和第二移动终端执行的操作的流程图;以及
图5是图示根据本发明的一个实施方式的服务器执行的操作的流程图。
具体实施方式
现在下文将参照附图更完全地描述本发明的一些实施方式,在附图中示出本发明的一些、但是并非所有实施方式。实际上,这些发明可以用许多不同形式来体现而不应被解释为限于这里阐述的实施方式;实际上,提供这些实施方式使得本公开内容将满足适用法律要求。相似标号全篇指代相似要素。
如在本申请中所用,术语“电路装置”指代所有以下各项:(a)仅硬件的电路实现方式(比如在仅模拟和/或数字电路装置中的实现方式)和(b)电路与软件(和/或固件)的组合,比如(如适用的那样):(i)处理器的组合或者(ii)处理器/软件(包括数字信号处理器)、软件和存储器的部分,这些部分一起工作以使装置、比如移动电话或者服务器执行各种功能;以及(c)电路、比如微处理器或者微处理器的部分,这些电路需要软件或者固件用于操作、即使该软件或者固件未在物理上存在。
“电路装置”的这一定义适用于这一术语在本申请中、包括在任何权利要求中的所有使用。作为又一示例,如在本申请中所用,术语“电路装置”也将覆盖仅一个处理器(或者多个处理器)或者处理器的部分及其附带软件和/或固件的实现方式。术语“电路装置”也将例如和如果适用于特定权利要求要素则覆盖用于移动电话的基带集成电路或者专用集成电路或者在服务器、蜂窝网络设备或者其它网络设备中的相似集成电路。
用于无线网络订阅共享的一些示例解决方案使具有客户端证书的移动终端能够作为接入点工作。因此,充当接入点的移动终端从无客户端证书的其它移动终端向无线网络订阅服务路由流量。然而,这样的解决方案仅在其中具有客户端证书的移动终端可用的实例和/或其它实例中实现在通信范围中对无线网络订阅服务的服务。
如这里描述的那样,本发明的一个示例实施方式的一种方法、装置和计算机程序产品可以被配置为结合Hotspot 2.0操作以实现多个移动终端共享无线网络订阅而无需移动终端作为接入点工作。本发明的一个示例实施方式的示例第二移动终端可以被配置为连接到第一移动终端以便确定第一移动终端是否可以访问无线网络订阅服务。无线网络订阅服务包括但不限于对在无线网络上操作的一个或者多个无线网络和/或订阅服务的一个或者多个订阅。在其中第一终端可以访问一个或者多个订阅的实例中,第二移动终端可以请求与一个或者多个订阅有关的访问凭证。第一移动终端承担证书机构的作用并且可以被配置为基于在服务器向第一移动终端发放的客户端证书中存在的订阅标识符、比如WiFiSubscriptionID生成用于第二移动终端的客户端证书。
虽然可以在多种不同系统中实施该方法、装置和计算机程序产品,但是在图1中示出这样的系统的一个示例,该系统包括能够经由网络实体14、比如无线路由器、基站、节点B、演进节点B(eNB)、WiFi站或者其它网络实体与网络18(例如核心网络)通信的通信设备(例如移动终端10和移动终端12)。而可以根据包括但不限于WiFi、无线局域网(WLAN)技术、比如电气和电子工程师协会(IEEE)802.11、802.16和/或相似网络技术的有线或者无线网络技术配置网络。网络实体14可以与服务器16通信。服务器16可以被配置为提供用于经由网络实体14访问网络18的访问凭证、比如用户名/口令或者客户端证书。
可以设想其它通信,但是在本发明中并不是必需其它通信,比如长期演进(LTE)或者LTE-高级(LTE-A),其它网络可以支持本发明的实施方式的方法、装置和计算机程序产品、包括根据宽带码分多址(W-CDMA)、CDMA2000、全球移动通信系统(GSM)、通用分组无线电服务(GPRS)和/或相似网络配置的网络。备选地或者附加地,网络18可以包括可以经由对应有线和/或无线接口相互通信的各种不同节点、设备或者功能的汇集。例如,网络可以包括各自可以服务于相应覆盖区域的包括网络实体14的一个或者多个小区。如这里描述的那样,网络18可以被配置为作为无线网络订阅服务操作。服务小区和邻居小区可以例如是一个或者多个蜂窝或者移动网络或者公用陆地移动网络(PLMN)的部分。其它设备、比如处理设备(例如个人计算机、服务器计算机等)又可以经由网络18耦合到移动终端10、移动终端12和/或其它通信设备。
通信设备、比如移动终端10和/或移动终端12(也称为用户设备(UE)、无线站(STA)、通信设备等)可以经由网络实体14与其它通信设备或者其它设备并且继而与网络18通信。在一些情况下,通信设备可以包括用于向服务小区发送信号和用于从服务小区接收信号的天线。
在一些示例实施方式中,移动终端10和/或移动终端12可以是移动通信设备、如比如移动电话、便携数字助理(PDA)、寻呼机、膝上型计算机或者在许多其它手持或者便携通信设备、计算设备、内容生成设备、内容消费设备或者其组合中的任何移动通信设备。这样,移动终端10和/或移动终端12可以包括可以单独或者与一个或者多个处理器组合定义处理电路装置的一个或者多个处理器。处理电路装置可以利用在存储器中存储的指令以使移动终端10和/或移动终端12以具体方式操作或者在指令被一个或者多个处理器执行时执行具体功能。移动终端10和/或移动终端12也可以包括用于实现与其它设备和/或网络18通信的通信电路装置和/或对应硬件/软件。
在一个实施方式中,移动终端10、移动终端12和/或网络实体14例如可以被体现为或者以别的方式包括如图2的框图通用地代表的装置20。尽管装置20可以例如被移动终端10、移动终端12或者网络实体14运用,但是应当注意以下描述的部件、设备或者单元可以不是必需的,因此一些部件、设备或者单元可以在某些实施方式中被省略。附加地,一些实施方式可以包括除了这里示出和描述的部件、设备或者单元之外的更多或者不同部件、设备或者单元。
如图2中所示,装置20可以包括可配置为根据这里描述的示例实施方式执行动作的处理电路装置22或者以别的方式与处理电路装置22通信。处理电路装置可以被配置为根据本发明的一个示例实施方式执行数据处理、应用执行和/或其它处理和管理服务。在一些实施方式中,可以体现该装置或者处理电路装置为芯片或者芯片组。换而言之,该装置或者处理电路装置可以包括一个或者多个物理封装(例如芯片),该一个或者多个物理封装包括在结构组件(例如基板)上的材料、部件和/或接线。结构组件可以提供用于在其上包括的部件电路装置的物理强度、尺寸节约和/或电互作用限制。该装置或者处理电路装置因此可以在一些情况下被配置为在单个芯片上或者作为单个“片上系统”实施本发明的一个实施方式。这样,在一些情况下,芯片或者芯片组可以构成用于执行一个或者多个操作的单元,该一个或者多个操作用于提供这里描述的功能。
在一些示例实施方式中,处理电路装置22可以包括处理器24和存储器28,处理器24和存储器28可以与通信接口26通信并且在一些情况下与用户接口30通信、或者以别的方式控制通信接口26并且在一些情况下控制用户接口30。这样,可以体现处理电路装置为(例如用硬件、软件或者硬件与软件的组合)配置为执行这里描述的操作的电路芯片(例如集成电路芯片)。然而,在移动终端10的情境中实现的一些实施方式中,可以体现处理电路装置为移动计算设备或者其它移动终端的一部分。
用户接口30(如果被实施的话)可以与处理电路装置22通信以接收在用户接口处的用户输入的指示和/或向用户提供可听、可视、机械或者其它输出。这样,用户接口可以例如包括键盘、鼠标、操纵杆、显示器、触屏、麦克风、扬声器和/或其它输入/输出机制。装置20无需总是包括用户接口。例如在体现该装置为网络实体14的实例中,该装置可以未包括用户接口。这样,在图2中用虚线示出用户接口。
通信接口26可以包括用于实现与其它设备和/或网络通信的一个或者多个接口机制。在一些情况下,通信接口可以是任何单元、比如在硬件或者硬件与软件的组合中体现的设备或者电路装置,该单元被配置为从/向比如在移动终端10、移动终端12和网络实体14之间与处理电路装置22通信的网络14和/或任何其它设备或者模块接收和/或发送数据。就这一点而言,通信接口可以例如包括用于实现与无线通信网络的通信的一个天线(或者多个天线)以及支持硬件和/或软件和/或用于支持经由线缆、数字订户线(DSL)、通用串行总线(USB)、以太网、设备到设备、点对点、蓝牙、无线通信或者其它方法的通信的通信调制解调器和/或其它硬件/软件。
在一个示例实施方式中,存储器28可以包括可以固定或者可移除的一个或者多个非瞬态存储器设备、如比如易失性和/或非易失性存储器。存储器可以被配置为存储用于使装置20能够根据本发明的示例实施方式执行各种功能的信息、数据、应用、指令等。例如存储器设备可以被配置为缓冲用于由处理器24处理的输入数据。附加地或者备选地,存储器可以被配置为存储用于由处理器执行的指令。作为更多另一备选,存储器可以包括可以存储多种文件、内容或者数据集的多个数据库之一。在存储器的内容之中,可以存储应用用于由处理器执行以便执行与每个相应应用关联的功能。在一些情况下,存储器可以经由用于在该装置的部件之间传递信息的总线与处理器通信。
可以用多种不同方式体现处理器24。例如,可以体现处理器为微处理器或者其它处理单元、协处理器、控制器或者各种其它计算或者处理设备、包括集成电路、如比如ASIC(专用集成电路)、FPGA(现场可编程门阵列)等中的一项或者多项。在一个示例实施方式中,处理器可以被配置为执行在存储器28中存储的或者以别的方式可由处理器存取的指令。这样,无论是通过硬件还是硬件与软件的组合来配置,处理器可以代表能够在被相应地配置之时根据本发明的实施方式执行操作的(例如在电路装置中——以处理电路装置22的形式——物理地体现的)实体。因此例如在体现处理器为ASIC、FPGA等时,处理器可以是用于进行这里描述的操作的具体地配置的硬件。备选地,作为另一示例,在体现处理器为软件指令的执行器时,指令可以具体地配置处理器以执行这里描述的操作。
备选地或者附加地,移动终端10和/或移动终端12可以被体现为或者以别的方式包括如图3的框图通用地代表的装置10。然而应当理解图示并且下文描述的移动终端10和/或移动终端12仅举例说明可以实施各种实施方式和/或从各种实施方式受益的一个类型的计算设备、因此不应被解读为限制公开内容的范围。尽管出于示例的目的而图示并且下文将描述电子设备的若干实施方式,但是其它类型的电子设备、比如移动电话、移动计算机、便携式数字助理(PDA)、寻呼机、膝上型计算机、台式计算机、游戏设备、电视和其它类型的电子系统可以运用本发明的各种实施方式。
如图所示,移动终端10和/或移动终端12可以包括与发送器114和接收器116通信的一个天线112(或者多个天线112)。移动终端10和/或移动终端12也可以包括配置为分别向发送器提供信号和从接收器接收信号的处理器120。可以例如体现处理器120为各种单元,这些单元包括电路装置、具有附带数字信号处理器的一个或者多个微处理器、无附带数字信号处理器的一个或者多个处理器、一个或者多个协同处理器、一个或者多个多核处理器、一个或者多个控制器、处理电路装置、一个或者多个计算机、包括集成电路、如比如ASIC或者FPGA的各种其它处理单元或者其某个组合。因而,虽然在图3中图示为单个处理器,但是在一些实施方式中,处理器120可以包括多个处理器。处理器120发送和接收的这些信号可以包括根据适用蜂窝系统的空中接口标准和/或任何数目的不同有线或者无线联网技术的信令信息,这些联网技术包括、但不限于Wi-Fi、无线局部接入网(WLAN)技术、比如BluetoothTM(BT)、超宽带(UWB)、电气和电子工程师协会(IEEE)802.11、802.16等。附加地,这些信号可以包括话音数据、用户生成的数据、用户请求的数据和/或相似信号。就这一点而言,移动终端可以能够用一个或者多个空中接口标准、通信协议、调制类型、接入类型等操作。更具体而言,移动终端可以能够根据各种第一代(1G)、第二代(2G)、2.5G、第三代(3G)通信协议、第四代(4G)通信协议、网际协议多媒体子系统(IMS)通信协议(例如会话发起协议(SIP))等操作。例如移动终端可以能够根据2G无线通信协议IS-136(时分多址(TDMA))、全球移动通信系统(GSM)、IS-95(码分多址(CDMA))等操作。也例如移动终端可以能够根据通用分组无线电服务(GPRS)、增强型数据GSM环境(EDGE)等这些2.5G无线通信协议操作。另外例如移动终端可以能够根据3G无线通信协议、比如通用移动电信系统(UMTS)、码分多址2000(CDMA2000)、宽带码分多址(WCDMA)、时分-同步码分多址(TD-SCDMA)等操作。移动终端可以附加地能够根据4G无线通信协议、比如长期演进(LTE)或者演进通用地面无线电接入网络(E-UTRAN)等操作。附加地,例如移动终端可以能够根据第4代(4G)无线通信协议、比如LTE-高级等以及将来可以开发的相似无线通信协议操作。
一些窄带高级移动电话系统(NAMPS)以及全接入通信系统(TACS)移动终端也可以如双模或者更高模式电话(例如数字/模拟或者TDMA/CDMA/模拟电话)应当的那样从本发明的实施方式受益。附加地,移动终端10和/或移动终端12可以能够根据Wi-Fi或者全球微波接入互操作性(WiMAX)协议操作。
应理解,处理器120可以包括用于实施移动终端10和/或移动终端12的音频/视频和逻辑功能的电路装置。例如,处理器120可以包括数字信号处理器设备、微处理器设备、模数转换器、数模转换器等。可以在这些设备之间根据它们的相应能力分配移动终端的控制和信号处理功能。处理器可以附加地包括内部语音编码器(VC)120a、内部数据调制解调器(DM)210b等。另外,处理器可以包括用于操作可以在存储器中存储的一个或者多个软件程序的功能。例如处理器120可以能够操作连通程序、比如web浏览器。连通程序可以允许移动终端10和/或移动终端12根据协议、比如无线应用协议(WAP)、超文本传送协议(HTTP)等发送和接收web内容、比如基于位置的内容。移动终端10和/或移动终端12可以能够使用传输控制协议/网际协议(TCP/IP)以跨越因特网或者其它网络发送和接收web内容。
移动终端10和/或移动终端12也可以包括可以操作地耦合到处理器120的用户接口,该用户接口例如包括耳机或者扬声器124、振铃器122、麦克风126、显示器128、用户输入接口等。就这一点而言,处理器120可以包括用户接口电路装置,该用户接口电路装置被配置为控制用户接口的一个或者多个单元、如比如扬声器124、振铃器122、麦克风126、显示器128等的至少一些功能。处理器120和/或包括处理器120的用户接口电路装置可以被配置为通过在处理器120可存取的存储器(例如易失性存储器140、非易失性存储器142等)上存储的计算机程序指令(例如软件和/或固件)控制用户接口的一个或者多个单元的一个或者多个功能。移动终端可以包括用于向与移动终端有关的各种电路、例如用于提供机械振动作为可检测输出的电路供电的电池。用户输入接口可以包括允许移动终端接收数据的设备、比如键区130、触摸显示器、操纵杆和/或其它输入设备。在包括键区的实施方式中,键区可以包括数字键(0-9)和有关键(#、*)和/或用于操作移动终端的其它键。
如图3中所示,移动终端10和/或移动终端12也可以包括用于共享和/或获得数据的一个或者多个装置。例如,移动终端可以包括近程射频(RF)收发器和/或询问器164,从而可以根据RF技术与电子设备共享和/或从电子设备获得数据。移动终端可以包括其它近程收发器、如比如红外线(IR)收发器166、使用BluetoothTM(BT)特别兴趣组开发的BluetoothTM品牌无线技术来操作的BluetoothTM收发器168、无线通用串行总线(USB)收发器170等。BluetoothTM收发器168可以能够根据低功率/能量或者超低功率/功能BluetoothTM技术(例如WibreeTM)无线电标准操作。就这一点而言,移动终端10和/或移动终端12并且具体为近程收发器可以能够向在移动终端的近邻内、如比如在10米内的电子设备发送数据和/或从这些电子设备接收数据。移动终端可以能够根据各种无线联网技术发送和/或接收来自电子设备的数据,这些无线联网技术包括6LoWpan、Wi-Fi、Wi-Fi低功率、WLAN技术、比如IEEE 802.11技术、IEEE 802.15技术、IEEE 802.16技术等。
移动终端10和/或移动终端12可以包括可以存储与移动用户有关的信元的存储器、比如可去除或者非可去除用户标识模块(SIM)138、软SIM 138、固定SIM 138、可去除或者非可去除通用用户标识模块(USIM)138、软USIM 138、固定USIM 138、可去除用户标识模块(R-UIM)等。除了SIM之外,移动终端还可以包括其它可去除和/或固定存储器。移动终端10和/或移动终端12可以包括易失性存储器140和/或非易失性存储器142。例如易失性存储器140可以包括随机存取存储器(RAM)、片上或者片外高速缓存存储器等,该RAM包括动态和/或静态RAM。可以嵌入和/或可去除的非易失性存储器142可以例如包括只读存储器、闪存、磁存储设备(例如硬盘、软盘驱动、磁带等)、光盘驱动和/或介质、非易失性随机存取存储器(NVRAM)等。如同易失性存储器140,非易失性存储器142可以包括用于暂时存储数据的高速缓存区域。存储器可以存储移动终端可以用于执行移动终端的功能的一个或者多个软件程序、指令、一条或者多条信息、数据等。例如,存储器可以包括能够唯一识别移动终端10和/或移动终端12的标识符、比如国际移动设备标识(IMEI)代码。
图4和5是图示根据本发明的一些示例实施方式的方法、装置和计算机程序产品、比如图2的装置20执行的操作的流程图。将理解,流程图的每个块和在流程图中的块组合可以由各种单元、比如与包括一个或者多个计算机程序指令的软件的执行关联的硬件、固件、处理器、电路装置和/或其它设备实施。例如以上描述的过程中的一个或者多个过程可以由计算机程序指令体现。就这一点而言,体现以上描述的过程的计算机程序指令可以由体现本发明的一个实施方式的装置的存储器设备28存储并且由在该装置中的处理器24执行。如将认识的那样,任何这样的计算机程序指令可以向计算机或者其它可编程装置(例如硬件)上加载以产生机器,从而所得计算机或者其它可编程装置提供在流程图的块中指定的功能的实现方式。也可以在非瞬态计算机可读存储装置存储器中存储这些计算机程序指令,该非瞬态计算机可读存储装置存储器可以指引计算机或者其它可编程装置以特定方式工作,从而在计算机可读存储装置存储器中存储的指令产生制造品,对该制造品的执行实施在流程图的块中指定的功能。也可以向计算机或者其它可编程装置上加载计算机程序指令以使一系列操作在计算机或者其它可编程装置上被执行以产生计算机实施的过程,从而在计算机或者其它可编程装置上执行的指令提供用于实施在流程图的块中指定的功能的操作。这样,图4和5的操作在被执行时将计算机或者处理电路装置转换成配置为实现本发明的一个示例实施方式的特定机器。因而,图4和5的操作定义用于配置计算机或者处理电路装置22、例如处理器以实现一个示例实施方式的算法。在一些情况下,可以向通用计算机提供处理器的实例,该处理器执行图4和5的算法以将通用计算机变换成配置为实现一个示例实施方式的特定机器。
因而,流程图的块支持用于执行指定的功能的装置的组合和用于执行指定的功能的操作的组合。也将理解流程图的一个或者多个块以及在流程图中的块组合可以由执行指定的功能的基于专用硬件的计算机系统实施或者由专用硬件与计算机指令的组合实施。
在一些实施方式中,可以修改或者进一步扩充以上操作中的某些操作,如下所述。另外,在一些实施方式中,也可以包括附加的可选操作(在图4中用虚线示出这些附加操作的一些示例)。应当认识以下修改、可选添加或者扩充中的每个修改、可选添加或者扩充可以单独或者在与在这里描述的特征之中的任何其它特征的组合中与以上描述的操作包括在一起。
现在参照图4,一个示例实施方式的一种方法、装置和计算机程序产品的操作被配置为使客户端证书由第一移动终端向第二移动终端发放。从和/或基于服务器向第一移动终端发放的客户端证书推导第二移动终端所使用的客户端证书,该服务器基于无线订阅提供规范来提供访问凭证。在一些示例实现方式中,无线订阅提供规范、比如Hotspot 2.0规范可以使向特定用户注册的一个或者多个移动终端能够即使在其中无线网络订阅服务需要客户端证书的实例中仍然基于这里描述的系统和方法访问相同的提供的订阅。
在一些示例实现方式中,第一移动终端、比如移动终端10可以发起订阅购买过程、如比如在Hotspot 2.0中指定的订阅购买过程。如果作为订阅购买的结果而向终端提供的证书是客户端证书,则可能要求第一移动终端在订阅创建过程期间的客户端证书创建中登记。客户端证书创建包括在终端生成公用/私有密钥对并且向服务器发送公共密钥。在一些示例实现方式中,服务器可以在生成的客户端证书中包括订阅标识符、比如WiFiSubscriptionID并且也可以包括可以显式地声明服务器是否支持订阅共享的标志。在一些示例实现方式中,WiFiSubscriptionID可以是随机值或者由服务器16、网络实体14、网络18等预定义的值、被配置为由服务器生成并且被指派给无线网络订阅服务的特定用户。备选地或者附加地,也可以向Hotspot2.0定义的WiFi订阅管理的对象结构添加WiFiSubscriptionID。服务器16然后被配置为生成由服务器16生成的私有密钥签名的客户端证书并且向第一移动终端、比如移动终端10发送客户端证书。
一旦第一移动终端、比如移动终端10接收到客户端证书,第一移动终端然后则可以使用该客户端证书以向服务器16认证它本身。然而在这一阶段,仅第一移动终端被配置为在服务器上认证它本身,但是第二移动终端、比如移动终端12未被配置为使用相同客户端证书来访问网络18,因为向第一移动终端发放的客户端证书包含第一移动终端的公共密钥。第一移动终端的客户端证书与第一移动终端的私有密钥有关、因此不能被传送到第二移动终端。
然而根据一些示例实现方式,第一移动终端可以能够向第二移动终端发放客户端证书,从而第二移动终端可以根据向第一终端发放的客户端证书是否包括WiFiSubscriptionID并且在其中有指示是否允许共享订阅的标志的实例中该标志是否被设置成真来经由网络实体14被认证到网络18上。在一些示例实现方式中并且为了实现证书的发放,第二移动终端、比如移动终端12可以引起与第一移动终端的连接。该连接可以是任何点对点连接、比如但不限于Bluetooth、WiFi Direct(WiFi直接连接)、USB线缆或者其它连接。一旦连接到第一移动终端,如在操作320中所示,由移动终端12体现的装置20可以包括用于确定第一移动终端是否拥有允许与另一移动终端共享凭证的一个或者多个凭证的装置,比如处理电路装置22、处理器24等,其中凭证被配置为授予对一个或者多个无线网络订阅服务的访问权限。
在一些示例实现方式中,由移动终端12体现的装置20可以包括用于使消息在其中第一移动终端拥有允许与另一移动终端共享凭证的一个或者多个凭证的实例中被发送到第一移动终端的装置,比如处理电路装置22、处理器24、通信接口26等。在一些示例实现方式中,如在操作340中所示,由移动终端12体现的装置20可以包括用于通过发送初始消息来使认证登记过程利用第一终端被发起的装置,比如处理电路装置22、处理器24、通信接口26等,该初始消息可以例如包括在URI字段中有预定义统一资源定位符(URI)、比如“localhost”的超文本传送协议(HTTP)GET消息。备选地或者附加地,URI可以包括第一移动终端网际协议(IP)地址。消息、比如GET消息可以向第一移动终端指示第二移动终端正在请求发放被配置为授权对无线网络订阅服务的访问权限的客户端证书。在一些示例实施方式中,第一移动终端作为证书机构或者作为用于第二终端的服务器工作。如这里描述的那样,证书登记过程是第一移动终端为第二移动终端生成客户端证书的过程。
在一些示例实施方式中,由移动终端12体现的装置20可以包括用于生成公用/私有密钥对的装置,比如处理电路装置22、处理器24等。如在操作380中所示,装置20可以包括用于使公共密钥基于生成的公用/私有密钥对被发送到第一移动终端的装置,比如处理电路装置22、处理器24、通信接口26等。
如在操作360中所示,装置20可以包括用于从第一移动终端接收客户端证书的装置,比如处理电路装置22、处理器24、通信接口26等,其中客户端证书由第一移动终端签名并且包括订阅标识符,比如WiFiSubscriptionID。在一些示例实现方式中,订阅标识符存在于第一移动终端在订阅创建阶段从服务器接收的客户端证书中。在一些示例实施方式中,第一移动终端被配置为通过为第二移动终端生成客户端证书并且用它自己的私有密钥对它进行签名来为第二移动终端实现对无线网络订阅服务的访问。第一移动终端、比如移动终端10创建的客户端证书也可以包括WiFiSubscriptionID。
现在参照图5,一种方法、装置和计算机程序产品的操作被配置为基于第一移动终端所发放的客户端证书在无线网络订阅服务上认证第二移动终端。在一些示例实现方式中,第二移动终端可以使如参照图4描述的由第一移动终端生成的客户端证书在用于访问无线网络订阅服务的尝试中被发送到服务器。如在操作420中所示,装置20、比如服务器16可以包括用于从第二移动终端接收对于订阅服务的认证请求的装置,比如处理电路装置22、处理器24、通信接口26等。
如在操作440中所示,装置20、比如服务器16可以包括用于确定认证请求是否包括具有订阅标识符、比如WiFiSubscriptionID的客户端证书的装置,比如处理电路装置22、处理器24、通信接口26等,该订阅标识符属于先前已经被认证的第一移动终端。在一些示例实施方式中,服务器16可以被配置为信任担当用于该特定WiFiSubscriptionID的证书机构的角色的第一移动终端。如在操作460中所示,装置20、比如服务器16可以包括用于通过确认第一移动终端的公共密钥来使第一移动终端的订阅标识符被认证的装置,比如处理电路装置22、处理器24等。在一些示例实现方式中,第二移动终端提供的客户端证书可以包含用第一移动终端的私有密钥签名的第二移动终端的公共密钥。由于服务器16已经被配置为对于特定无线订阅信任第一移动终端,所以例如见图4,服务器16被配置为比如通过处理电路装置22、处理器24等验证第一移动终端的公共密钥。在一些示例实施方式中,如果在第二移动终端客户端证书中的WiFiSubscriptionID与用来发放用于第一移动终端的WiFiSubscriptionID相同,则信任该公共密钥。
如在操作480中所示,装置20可以包括用于使第二移动终端基于第一终端所发放的客户端证书和订阅标识符在无线网络订阅服务上被认证的装置,比如处理电路装置22、处理器24、通信接口26等。在一些示例实施方式中,第二移动终端被视为第一移动终端的子设备并且能够访问通过WiFiSubscriptionID识别的无线网络订阅服务。例如,从服务器向第二移动终端发送的质询(challenge)可以由第二移动终端的私有密钥签名,并且服务器还可以被配置为验证如第一移动终端的私有密钥签名的第二移动终端的公共密钥是否属于用来对质询签名的私有密钥。
在一些示例实现方式中,第二移动终端客户端证书的废除可以在第一移动终端与第二移动终端之间的新同步过程期间出现或者通过服务器废除向第一移动终端发放的客户端证书(例如这从第一移动终端隐含地取消信任和从第一移动终端向其发放客户端证书的所有设备隐含地取消信任)而出现。如果存在关于订阅的任何时间限制或者数据限制,则如果第一和/或第二移动终端被认证以使用订阅,则将针对订阅施加该时间限制或者数据限制。
受益于在前文描述和关联附图中呈现的教导,在这里阐述的本发明涉及的领域中的技术人员将想到这些发明的许多修改和其它实施方式。因此将理解本发明将不限于公开的具体实施方式并且修改和其它实施方式旨在于包含于所附权利要求的范围内。另外,虽然前文描述和关联附图在装置和/或功能的某些示例组合的背景中描述示例实施方式,但是应当认识备选实施方式可以提供装置和/或功能的不同组合而未脱离所附权利要求的范围。就这一点而言,例如,如可以在所附权利要求中的一些所附权利要求中阐述的那样也设想与上文明确描述的装置和/或功能组合不同的装置和/或功能组合。虽然这里运用具体术语,但是仅在通用和描述意义上而并非出于限制的目的来使用它们。
Claims (60)
1.一种用于无线通信的方法,包括:
确定第一移动终端是否拥有被配置为可向第二移动终端发放的一个或多个第一凭证,其中所述一个或多个第一凭证中的至少一个包括由服务器发放的订阅标识符,并且所述至少一个或多个第一凭证中的所述至少一个被配置为授权对一个或多个无线网络订阅服务的访问;
由处理器使证书登记过程在所述第一移动终端拥有所述一个或多个第一凭证的实例中由所述第一移动终端发起,其中所述证书登记过程导致公共密钥被发送到所述第一移动终端并且导致第一客户端证书向所述第一移动终端发放,所述第一客户端证书包括订阅标识符和指示所述第一客户端证书是否能够与所述第二移动终端共享的标志;
接收至少一个第二凭证,所述至少一个第二凭证与所述第一凭证不同并且具有由所述第一移动终端生成的第二客户端证书的形式,所述第二客户端证书由所述第一移动终端的私有密钥签名、包括所述第二移动终端的公共密钥并且具有所述订阅标识符;以及
基于所述私有密钥和所述订阅标识符的验证来利用所述第二客户端证书访问所述一个或多个无线网络订阅服务。
2.根据权利要求1所述的方法,其中所述第一移动终端被配置为发起与所述服务器的订阅购买过程,使得所述第一移动终端在证书创建过程中登记。
3.根据权利要求1所述的方法,其中所述证书创建过程还包括从所述服务器接收客户端证书,并且其中所述订阅标识符是WiFiSubscriptionID。
4.根据权利要求1所述的方法,还包括:
使得消息被发送到所述第一移动终端,其中所述消息是超文本传送协议get消息,所述超文本传送协议get消息包括预定义的统一资源标识符。
5.根据权利要求1至4中的任一权利要求所述的方法,其中所述第二客户端证书能够实现访问对属于所述第一移动终端的所述一个或多个无线网络订阅服务的订阅。
6.一种用于无线通信的装置,包括:
至少一个处理器;以及
包括计算机程序代码的至少一个存储器,所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起使得所述装置至少:
确定第一移动终端是否拥有被配置为可向第二移动终端发放的一个或多个第一凭证,其中所述一个或多个第一凭证中的至少一个包括由服务器发放的订阅标识符,并且所述至少一个或多个第一凭证中的所述至少一个被配置为授权对一个或多个无线网络订阅服务的访问;
由处理器使证书登记过程在所述第一移动终端拥有所述一个或多个第一凭证的实例中由所述第一移动终端发起,其中所述证书登记过程导致公共密钥被发送到所述第一移动终端并且导致第一客户端证书向所述第一移动终端发放,所述第一客户端证书包括订阅标识符和指示所述第一客户端证书是否能够与所述第二移动终端共享的标志;
接收至少一个第二凭证,所述至少一个第二凭证与所述第一凭证不同并且具有由所述第一移动终端生成的第二客户端证书的形式,所述第二客户端证书由所述第一移动终端的私有密钥签名、包括所述第二移动终端的公共密钥并且具有所述订阅标识符;以及
基于所述私有密钥和所述订阅标识符的验证来利用所述第二客户端证书访问所述一个或多个无线网络订阅服务。
7.根据权利要求6所述的装置,其中所述第一移动终端被配置为发起与所述服务器的订阅购买过程,使得所述第一移动终端在证书创建过程中登记。
8.根据权利要求6所述的装置,其中所述证书创建过程还包括从所述服务器接收客户端证书,并且其中所述订阅标识符是WiFiSubscriptionID。
9.根据权利要求6所述的装置,其中包括所述计算机程序代码的所述至少一个存储器还被配置为与所述至少一个处理器一起使得所述装置使消息被发送到所述第一移动终端,其中所述消息是超文本传送协议get消息,所述超文本传送协议get消息包括预定义的统一资源标识符。
10.根据权利要求6至9中的任一权利要求所述的装置,其中所述第二客户端证书能够实现访问对属于所述第一移动终端的所述一个或多个无线网络订阅服务的订阅。
11.一种计算机可读介质,所述计算机可读介质具有存储于其上的指令,当所述指令在装置上被执行时,所述指令使得所述装置:
确定第一移动终端是否拥有被配置为可向第二移动终端发放的一个或多个第一凭证,其中所述一个或多个第一凭证中的至少一个包括由服务器发放的订阅标识符,并且所述至少一个或多个第一凭证中的所述至少一个被配置为授权对一个或多个无线网络订阅服务的访问;
由处理器使证书登记过程在所述第一移动终端拥有所述一个或多个第一凭证的实例中由所述第一移动终端发起,其中所述证书登记过程导致公共密钥被发送到所述第一移动终端并且导致第一客户端证书向所述第一移动终端发放,所述第一客户端证书包括订阅标识符和指示所述第一客户端证书是否能够与所述第二移动终端共享的标志;
接收至少一个第二凭证,所述至少一个第二凭证与所述第一凭证不同并且具有由所述第一移动终端生成的第二客户端证书的形式,所述第二客户端证书由所述第一移动终端的私有密钥签名、包括所述第二移动终端的公共密钥并且具有所述订阅标识符;以及
基于所述私有密钥和所述订阅标识符的验证来利用所述第二客户端证书访问所述一个或多个无线网络订阅服务。
12.根据权利要求11所述的计算机可读介质,其中所述第一移动终端被配置为发起与所述服务器的订阅购买过程,使得所述第一移动终端在证书创建过程中登记。
13.根据权利要求11所述的计算机可读介质,其中所述证书创建过程还包括从所述服务器接收客户端证书,并且其中所述订阅标识符是WiFiSubscriptionID。
14.根据权利要求11所述的计算机可读介质,其中当在装置上执行时,所述指令还使得所述装置使消息被发送到所述第一移动终端,其中所述消息是超文本传送协议get消息,所述超文本传送协议get消息包括预定义的统一资源标识符。
15.根据权利要求11至14中的任一权利要求所述的计算机可读介质,其中所述第二客户端证书能够实现访问对属于所述第一移动终端的所述一个或多个无线网络订阅服务的订阅。
16.一种用于无线通信的设备,包括:
用于确定第一移动终端是否拥有被配置为可向第二移动终端发放的一个或多个第一凭证的装置,其中所述一个或多个第一凭证中的至少一个包括由服务器发放的订阅标识符,并且所述至少一个或多个第一凭证中的所述至少一个被配置为授权对一个或多个无线网络订阅服务的访问;
用于由处理器使证书登记过程在所述第一移动终端拥有所述一个或多个第一凭证的实例中由所述第一移动终端发起的装置,其中所述证书登记过程导致公共密钥被发送到所述第一移动终端并且导致第一客户端证书向所述第一移动终端发放,所述第一客户端证书包括订阅标识符和指示所述第一客户端证书是否能够与所述第二移动终端共享的标志;
用于接收至少一个第二凭证的装置,所述至少一个第二凭证与所述第一凭证不同并且具有由所述第一移动终端生成的第二客户端证书的形式,所述第二客户端证书由所述第一移动终端的私有密钥签名、包括所述第二移动终端的公共密钥并且具有所述订阅标识符;以及
用于基于所述私有密钥和所述订阅标识符的验证来利用所述第二客户端证书访问所述一个或多个无线网络订阅服务的装置。
17.根据权利要求16所述的设备,其中所述第一移动终端被配置为发起与所述服务器的订阅购买过程,使得所述第一移动终端在证书创建过程中登记。
18.根据权利要求16所述的设备,其中所述证书创建过程还包括从所述服务器接收客户端证书,并且其中所述订阅标识符是WiFiSubscriptionID。
19.根据权利要求16所述的设备,还包括:
用于使得消息被发送到所述第一移动终端的装置,其中所述消息是超文本传送协议get消息,所述超文本传送协议get消息包括预定义的统一资源标识符。
20.根据权利要求16至19中的任一权利要求所述的设备,其中所述第二客户端证书能够实现访问对属于所述第一移动终端的所述一个或多个无线网络订阅服务的订阅。
21.一种用于无线通信的方法,包括:
从第一移动终端接收证书登记过程请求;
作为由所述第一移动终端发起的证书登记过程的结果,由处理器使第一客户端证书被发放给所述第一移动终端,其中所述第一客户端证书包括订阅标识符和指示所述客户端证书是否能够与至少第二移动终端共享以及被发放给至少所述第二移动终端的标志;
从所述第二移动终端接收对无线网络订阅服务的访问的认证请求,其中所述认证请求包括所述第二移动终端的第二客户端证书,所述第二客户端证书由所述第一移动终端的私有密钥签名并且具有所述订阅标识符,所述第二客户端证书与所述第一个客户端证书不同;以及
使所述第二移动终端基于所述私有密钥和所述订阅标识符的验证来利用所述第二客户端证书被认证。
22.根据权利要求21所述的方法,还包括:
确定所述第二客户端证书是否具有先前发放的、属于所述第一移动终端的所述订阅标识符并且包括指示所述客户端证书可向所述第二移动终端发放的标志;以及
通过确认所述第二客户端证书中的所述第一移动终端的公共密钥来使得所述第一移动终端的订阅标识符被认证。
23.根据权利要求21所述的方法,其中所述第一移动终端被配置为作为证书机构而操作,其中所述第二移动终端基于所述第一移动终端所发放的凭证而被认证。
24.根据权利要求21所述的方法,还包括在其中所述客户端证书中的订阅标识符与向所述第一移动终端发放的客户端证书中的所述订阅标识符相同的实例中认证第二移动终端,其中所述订阅标识符是Hotspot 2.0WiFiSubscriptionID。
25.根据权利要求21所述的方法,还包括:
使得质询被发送到所述第二移动终端,其中所述质询由所述第二移动终端的私有密钥签名。
26.根据权利要求25所述的方法,还包括:
确定由所述第一移动终端的私有密钥签名的所述第二移动终端的公共密钥是否基于所述质询被验证。
27.根据权利要求21所述的方法,还包括:
使得所述第一移动终端的所述客户端证书被废除,从而向所述第二移动终端发放的所述客户端证书被废除。
28.根据权利要求21所述的方法,还包括:
基于所述第一移动终端和所述第二移动终端的数据使用来确定所述第一移动终端的数据使用。
29.根据权利要求21所述的方法,其中所述认证请求是Hotspot2.0认证请求。
30.根据权利要求21至29中的任一权利要求所述的方法,其中所述第二移动终端基于所述第一移动终端的订阅而在所述无线网络订阅服务上被认证。
31.一种用于无线通信的装置,包括:
至少一个处理器;以及
包括计算机程序代码的至少一个存储器,所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起使得所述装置至少:
从第一移动终端接收证书登记过程请求;
作为由所述第一移动终端发起的证书登记过程的结果,由处理器使第一客户端证书被发放给所述第一移动终端,其中所述第一客户端证书包括订阅标识符和指示所述客户端证书是否能够与至少第二移动终端共享以及被发放给至少所述第二移动终端的标志;
从所述第二移动终端接收对无线网络订阅服务的访问的认证请求,其中所述认证请求包括所述第二移动终端的第二客户端证书,所述第二客户端证书由所述第一移动终端的私有密钥签名并且具有所述订阅标识符,所述第二客户端证书与所述第一个客户端证书不同;以及
使所述第二移动终端基于所述私有密钥和所述订阅标识符的验证来利用所述第二客户端证书被认证。
32.根据权利要求31所述的装置,其中包括所述计算机程序代码的所述至少一个存储器还被配置为与所述至少一个处理器一起使得所述装置:
确定所述第二客户端证书是否具有先前发放的、属于所述第一移动终端的所述订阅标识符并且包括指示所述客户端证书可向所述第二移动终端发放的标志;以及
通过确认所述第二客户端证书中的所述第一移动终端的公共密钥来使得所述第一移动终端的订阅标识符被认证。
33.根据权利要求31所述的装置,其中所述第一移动终端被配置为作为证书机构而操作,其中所述第二移动终端基于所述第一移动终端所发放的凭证而被认证。
34.根据权利要求31所述的装置,还包括在其中所述客户端证书中的订阅标识符与向所述第一移动终端发放的客户端证书中的所述订阅标识符相同的实例中认证第二移动终端,其中所述订阅标识符是Hotspot 2.0WiFiSubscriptionID。
35.根据权利要求31所述的装置,其中包括所述计算机程序代码的所述至少一个存储器还被配置为与所述至少一个处理器一起使得所述装置:
使得质询被发送到所述第二移动终端,其中所述质询由所述第二移动终端的私有密钥签名。
36.根据权利要求35所述的装置,其中包括所述计算机程序代码的所述至少一个存储器还被配置为与所述至少一个处理器一起使得所述装置:
确定由所述第一移动终端的私有密钥签名的所述第二移动终端的公共密钥是否基于所述质询被验证。
37.根据权利要求31所述的装置,其中包括所述计算机程序代码的所述至少一个存储器还被配置为与所述至少一个处理器一起使得所述装置:
使得所述第一移动终端的所述客户端证书被废除,从而向所述第二移动终端发放的所述客户端证书被废除。
38.根据权利要求31所述的装置,其中包括所述计算机程序代码的所述至少一个存储器还被配置为与所述至少一个处理器一起使得所述装置:
基于所述第一移动终端和所述第二移动终端的数据使用来确定所述第一移动终端的数据使用。
39.根据权利要求31所述的装置,其中所述认证请求是Hotspot2.0认证请求。
40.根据权利要求31至39中的任一权利要求所述的装置,其中所述第二移动终端基于所述第一移动终端的订阅而在所述无线网络订阅服务上被认证。
41.一种计算机可读介质,所述计算机可读介质具有存储于其上的指令,当所述指令在装置上被执行时,所述指令使得所述装置:
从第一移动终端接收证书登记过程请求;
作为由所述第一移动终端发起的证书登记过程的结果,由处理器使第一客户端证书被发放给所述第一移动终端,其中所述第一客户端证书包括订阅标识符和指示所述客户端证书是否能够与至少第二移动终端共享以及被发放给至少所述第二移动终端的标志;
从所述第二移动终端接收对无线网络订阅服务的访问的认证请求,其中所述认证请求包括所述第二移动终端的第二客户端证书,所述第二客户端证书由所述第一移动终端的私有密钥签名并且具有所述订阅标识符,所述第二客户端证书与所述第一个客户端证书不同;以及
使所述第二移动终端基于所述私有密钥和所述订阅标识符的验证来利用所述第二客户端证书被认证。
42.根据权利要求41所述的计算机可读介质,其中当所述指令在装置上被执行时,所述指令进一步使得所述装置:
确定所述第二客户端证书是否具有先前发放的、属于所述第一移动终端的所述订阅标识符并且包括指示所述客户端证书可向所述第二移动终端发放的标志;以及
通过确认所述第二客户端证书中的所述第一移动终端的公共密钥来使得所述第一移动终端的订阅标识符被认证。
43.根据权利要求41所述的计算机可读介质,其中所述第一移动终端被配置为作为证书机构而操作,其中所述第二移动终端基于所述第一移动终端所发放的凭证而被认证。
44.根据权利要求41所述的计算机可读介质,其中当所述指令在装置上被执行时,所述指令进一步使得所述装置在其中所述客户端证书中的订阅标识符与向所述第一移动终端发放的客户端证书中的所述订阅标识符相同的实例中认证第二移动终端,其中所述订阅标识符是Hotspot 2.0WiFiSubscriptionID。
45.根据权利要求41所述的计算机可读介质,其中当所述指令在装置上被执行时,所述指令进一步使得所述装置:
使得质询被发送到所述第二移动终端,其中所述质询由所述第二移动终端的私有密钥签名。
46.根据权利要求45所述的计算机可读介质,其中当所述指令在装置上被执行时,所述指令进一步使得所述装置:
确定由所述第一移动终端的私有密钥签名的所述第二移动终端的公共密钥是否基于所述质询被验证。
47.根据权利要求41所述的计算机可读介质,其中当所述指令在装置上被执行时,所述指令进一步使得所述装置:
使得所述第一移动终端的所述客户端证书被废除,从而向所述第二移动终端发放的所述客户端证书被废除。
48.根据权利要求41所述的计算机可读介质,其中当所述指令在装置上被执行时,所述指令进一步使得所述装置:
基于所述第一移动终端和所述第二移动终端的数据使用来确定所述第一移动终端的数据使用。
49.根据权利要求41所述的计算机可读介质,其中所述认证请求是Hotspot 2.0认证请求。
50.根据权利要求41至49中的任一权利要求所述的计算机可读介质,其中所述第二移动终端基于所述第一移动终端的订阅而在所述无线网络订阅服务上被认证。
51.一种用于无线通信的设备,包括:
用于从第一移动终端接收证书登记过程请求的装置;
用于作为由所述第一移动终端发起的证书登记过程的结果,由处理器使第一客户端证书被发放给所述第一移动终端的装置,其中所述第一客户端证书包括订阅标识符和指示所述客户端证书是否能够与至少第二移动终端共享以及被发放给至少所述第二移动终端的标志;
用于从所述第二移动终端接收对无线网络订阅服务的访问的认证请求的装置,其中所述认证请求包括所述第二移动终端的第二客户端证书,所述第二客户端证书由所述第一移动终端的私有密钥签名并且具有所述订阅标识符,所述第二客户端证书与所述第一个客户端证书不同;以及
用于使所述第二移动终端基于所述私有密钥和所述订阅标识符的验证来利用所述第二客户端证书被认证的装置。
52.根据权利要求51所述的设备,还包括:
用于确定所述第二客户端证书是否具有先前发放的、属于所述第一移动终端的所述订阅标识符并且包括指示所述客户端证书可向所述第二移动终端发放的标志的装置;以及
用于通过确认所述第二客户端证书中的所述第一移动终端的公共密钥来使得所述第一移动终端的订阅标识符被认证的装置。
53.根据权利要求51所述的设备,其中所述第一移动终端被配置为作为证书机构而操作,其中所述第二移动终端基于所述第一移动终端所发放的凭证而被认证。
54.根据权利要求51所述的设备,还包括:
用于在其中所述客户端证书中的订阅标识符与向所述第一移动终端发放的客户端证书中的所述订阅标识符相同的实例中认证第二移动终端的装置,其中所述订阅标识符是Hotspot 2.0WiFiSubscriptionID。
55.根据权利要求51所述的设备,还包括:
用于使得质询被发送到所述第二移动终端的装置,其中所述质询由所述第二移动终端的私有密钥签名。
56.根据权利要求55所述的设备,还包括:
用于确定由所述第一移动终端的私有密钥签名的所述第二移动终端的公共密钥是否基于所述质询被验证的装置。
57.根据权利要求51所述的设备,还包括:
用于使得所述第一移动终端的所述客户端证书被废除、从而向所述第二移动终端发放的所述客户端证书被废除的装置。
58.根据权利要求51所述的设备,还包括:
用于基于所述第一移动终端和所述第二移动终端的数据使用来确定所述第一移动终端的数据使用的装置。
59.根据权利要求51所述的设备,其中所述认证请求是Hotspot 2.0认证请求。
60.根据权利要求51至59中的任一权利要求所述的设备,其中所述第二移动终端基于所述第一移动终端的订阅而在所述无线网络订阅服务上被认证。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/423,653 US9338159B2 (en) | 2012-03-19 | 2012-03-19 | Method and apparatus for sharing wireless network subscription services |
| US13/423,653 | 2012-03-19 | ||
| PCT/FI2013/050210 WO2013140025A1 (en) | 2012-03-19 | 2013-02-26 | Method and apparatus for subscription sharing |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104170424A CN104170424A (zh) | 2014-11-26 |
| CN104170424B true CN104170424B (zh) | 2018-03-27 |
Family
ID=49158959
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380013333.1A Expired - Fee Related CN104170424B (zh) | 2012-03-19 | 2013-02-26 | 用于订阅共享的方法和装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9338159B2 (zh) |
| EP (1) | EP2829096A4 (zh) |
| CN (1) | CN104170424B (zh) |
| WO (1) | WO2013140025A1 (zh) |
| ZA (1) | ZA201407459B (zh) |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104301890B (zh) * | 2013-07-19 | 2018-04-24 | 富泰华工业(深圳)有限公司 | 无线上网流量共享控制方法及系统 |
| WO2015051844A1 (en) * | 2013-10-10 | 2015-04-16 | Nokia Solutions And Networks Oy | Enabling cellular access |
| US20160242032A1 (en) * | 2013-10-24 | 2016-08-18 | Koninklijke Kpn N.V. | Controlled Credentials Provisioning Between User Devices |
| CN105723788A (zh) * | 2013-11-08 | 2016-06-29 | Lg电子株式会社 | 用于在m2m通信系统中进行订阅和通知的方法及其设备 |
| KR102164801B1 (ko) * | 2014-03-21 | 2020-10-13 | 삼성전자주식회사 | 액세스 포인트 연결 시스템, 방법 및 장치 |
| US9531578B2 (en) * | 2014-05-06 | 2016-12-27 | Comcast Cable Communications, Llc | Connecting devices to networks |
| US9883384B2 (en) * | 2014-07-16 | 2018-01-30 | Qualcomm Incorporated | UE-based network subscription management |
| US9848284B2 (en) * | 2014-09-24 | 2017-12-19 | Stmicroelectronics, Inc. | Portable mobile subscription |
| US9609458B2 (en) * | 2014-09-25 | 2017-03-28 | Intel IP Corporation | Mobile radio communication devices, servers, methods for controlling a mobile radio communication device, and methods for controlling a server |
| US10282538B2 (en) * | 2014-12-27 | 2019-05-07 | Intel Corporation | Technologies for providing hardware subscription models using pre-boot update mechanism |
| US9979732B2 (en) * | 2015-01-15 | 2018-05-22 | Microsoft Technology Licensing, Llc | Contextually aware sharing recommendations |
| US9882726B2 (en) * | 2015-05-22 | 2018-01-30 | Motorola Solutions, Inc. | Method and apparatus for initial certificate enrollment in a wireless communication system |
| CN107924437A (zh) * | 2015-06-17 | 2018-04-17 | 瑞典爱立信有限公司 | 用于使得能够实现凭证的安全供应的方法以及相关无线装置和服务器 |
| US20170048924A1 (en) * | 2015-08-10 | 2017-02-16 | Qualcomm Incorporated | Multiple broadband subscription sharing |
| CN105049531A (zh) * | 2015-08-24 | 2015-11-11 | 湖南快乐阳光互动娱乐传媒有限公司 | 一种消息推送系统及方法 |
| US10616808B2 (en) * | 2016-07-19 | 2020-04-07 | Qualcomm Incorporated | Exchanging network server registration credentials over a D2D network |
| US11963007B2 (en) * | 2018-05-17 | 2024-04-16 | Nokia Technologies Oy | Facilitating residential wireless roaming via VPN connectivity over public service provider networks |
| CN109857572B (zh) * | 2018-12-29 | 2022-03-01 | 阿波罗智能技术(北京)有限公司 | 实现远程调用的方法、装置、设备及计算机可读存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101483866A (zh) * | 2009-02-11 | 2009-07-15 | 中兴通讯股份有限公司 | Wapi终端证书的管理方法、装置及系统 |
| CN101568116A (zh) * | 2009-05-19 | 2009-10-28 | 中兴通讯股份有限公司 | 一种证书状态信息的获取方法及证书状态管理系统 |
| WO2010104764A1 (en) * | 2009-03-09 | 2010-09-16 | Apple Inc. | Push notification service |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6301658B1 (en) * | 1998-09-09 | 2001-10-09 | Secure Computing Corporation | Method and system for authenticating digital certificates issued by an authentication hierarchy |
| IES20001002A2 (en) * | 1999-12-13 | 2001-07-11 | Markport Ltd | A service management access node |
| US20020099822A1 (en) * | 2001-01-25 | 2002-07-25 | Rubin Aviel D. | Method and apparatus for on demand certificate revocation updates |
| US7366905B2 (en) | 2002-02-28 | 2008-04-29 | Nokia Corporation | Method and system for user generated keys and certificates |
| GB2385955A (en) * | 2002-02-28 | 2003-09-03 | Ibm | Key certification using certificate chains |
| US7430606B1 (en) | 2003-10-17 | 2008-09-30 | Arraycomm, Llc | Reducing certificate revocation lists at access points in a wireless access network |
| US7321970B2 (en) * | 2003-12-30 | 2008-01-22 | Nokia Siemens Networks Oy | Method and system for authentication using infrastructureless certificates |
| US9282455B2 (en) | 2004-10-01 | 2016-03-08 | Intel Corporation | System and method for user certificate initiation, distribution, and provisioning in converged WLAN-WWAN interworking networks |
| US20060143134A1 (en) * | 2004-12-25 | 2006-06-29 | Nicol So | Method and apparatus for sharing a digital access license |
| US8543814B2 (en) * | 2005-01-12 | 2013-09-24 | Rpx Corporation | Method and apparatus for using generic authentication architecture procedures in personal computers |
| US7650137B2 (en) * | 2005-12-23 | 2010-01-19 | Apple Inc. | Account information display for portable communication device |
| TW200929974A (en) * | 2007-11-19 | 2009-07-01 | Ibm | System and method for performing electronic transactions |
| ATE519316T1 (de) | 2008-02-29 | 2011-08-15 | Research In Motion Ltd | Verfahren und vorrichtung zur verwendung beim aktivieren einer mobilen kommunikationsvorrichtung mit einem digitalen zertifikat |
| US8327143B2 (en) * | 2008-08-04 | 2012-12-04 | Broadcom Corporation | Techniques to provide access point authentication for wireless network |
| US8621203B2 (en) * | 2009-06-22 | 2013-12-31 | Nokia Corporation | Method and apparatus for authenticating a mobile device |
| US20120239936A1 (en) | 2009-12-18 | 2012-09-20 | Nokia Corporation | Credential transfer |
| AP3977A (en) * | 2010-09-16 | 2017-01-04 | Nokia Corp | Dynamic account creation with secured hotspot network |
| WO2013066348A1 (en) * | 2011-11-04 | 2013-05-10 | Intel Corporation | Common data model and method for secure online signup for hotspot networks |
-
2012
- 2012-03-19 US US13/423,653 patent/US9338159B2/en not_active Expired - Fee Related
-
2013
- 2013-02-26 WO PCT/FI2013/050210 patent/WO2013140025A1/en active Application Filing
- 2013-02-26 CN CN201380013333.1A patent/CN104170424B/zh not_active Expired - Fee Related
- 2013-02-26 EP EP13764977.8A patent/EP2829096A4/en not_active Withdrawn
-
2014
- 2014-10-15 ZA ZA2014/07459A patent/ZA201407459B/en unknown
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101483866A (zh) * | 2009-02-11 | 2009-07-15 | 中兴通讯股份有限公司 | Wapi终端证书的管理方法、装置及系统 |
| WO2010104764A1 (en) * | 2009-03-09 | 2010-09-16 | Apple Inc. | Push notification service |
| CN101568116A (zh) * | 2009-05-19 | 2009-10-28 | 中兴通讯股份有限公司 | 一种证书状态信息的获取方法及证书状态管理系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2829096A4 (en) | 2015-11-25 |
| US20130247161A1 (en) | 2013-09-19 |
| ZA201407459B (en) | 2017-08-30 |
| US9338159B2 (en) | 2016-05-10 |
| WO2013140025A1 (en) | 2013-09-26 |
| EP2829096A1 (en) | 2015-01-28 |
| CN104170424A (zh) | 2014-11-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104170424B (zh) | 用于订阅共享的方法和装置 | |
| EP3391704B1 (en) | Provisioning a device in a network | |
| CN110881184B (zh) | 通信方法和装置 | |
| CN107852407A (zh) | 用于集成小型小区和Wi‑Fi网络的统一认证 | |
| CN110268729A (zh) | 向物联网(iot)设备供应设备和/或线路共享能力 | |
| CN102137401B (zh) | 无线局域网集中式802.1x认证方法及装置和系统 | |
| US20140051391A1 (en) | Wireless roaming and authentication | |
| CN105432102A (zh) | 用于机器对机器通信的网络辅助引导自举 | |
| MX2012000268A (es) | Metodos y aparatos para registrar con redes externas en entornos de redes inalambricas. | |
| WO2020029729A1 (zh) | 一种通信方法和装置 | |
| JP2017537576A (ja) | モバイル仮想ネットワークにおけるモバイル認証 | |
| US20220060893A1 (en) | Delivering standalone non-public network (snpn) credentials from an enterprise authentication server to a user equipment over extensible authentication protocol (eap) | |
| US20130114463A1 (en) | System and Method for Domain Name Resolution for Fast Link Setup | |
| EP2893763A1 (en) | Management of multiple devices registered to a user | |
| CN106028333A (zh) | 用于热点连接的在线注册预配置技术 | |
| CN108183803A (zh) | 用于在热点网络中未知设备的受限证书注册 | |
| CN104871511A (zh) | 通过标签加注进行设备认证 | |
| CN104767715A (zh) | 网络接入控制方法和设备 | |
| EP2700189B1 (en) | Identity-based decryption | |
| US20210112411A1 (en) | Multi-factor authentication in private mobile networks | |
| WO2021227866A1 (zh) | 网络认证方法及装置、系统 | |
| CN106797539A (zh) | 建立和配置动态订阅 | |
| WO2013189389A2 (zh) | 一种无线局域网共享认证的方法、系统及设备 | |
| WO2016023262A1 (zh) | 资源共享方法和资源共享系统 | |
| CN103765831A (zh) | 用于向异构服务终端提供服务的装置和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20160112 Address after: Espoo, Finland Applicant after: Technology Co., Ltd. of Nokia Address before: Espoo, Finland Applicant before: Nokia Oyj |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20180327 Termination date: 20200226 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |