CN105830414A - 使用凭证的安全的网络接入 - Google Patents
使用凭证的安全的网络接入 Download PDFInfo
- Publication number
- CN105830414A CN105830414A CN201480064804.6A CN201480064804A CN105830414A CN 105830414 A CN105830414 A CN 105830414A CN 201480064804 A CN201480064804 A CN 201480064804A CN 105830414 A CN105830414 A CN 105830414A
- Authority
- CN
- China
- Prior art keywords
- subscriber equipment
- mobile subscriber
- voucher
- access point
- party website
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 claims abstract description 43
- 238000013475 authorization Methods 0.000 claims abstract description 15
- 238000004891 communication Methods 0.000 claims abstract description 14
- 230000006855 networking Effects 0.000 claims description 12
- 230000004044 response Effects 0.000 claims description 7
- 238000005516 engineering process Methods 0.000 description 11
- 230000005540 biological transmission Effects 0.000 description 9
- 230000006870 function Effects 0.000 description 8
- 238000012546 transfer Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 3
- 239000004065 semiconductor Substances 0.000 description 3
- 238000000060 site-specific infrared dichroism spectroscopy Methods 0.000 description 3
- 239000008186 active pharmaceutical agent Substances 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 2
- 229920000547 conjugated polymer Polymers 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 239000002184 metal Substances 0.000 description 2
- 229910044991 metal oxide Inorganic materials 0.000 description 2
- 150000004706 metal oxides Chemical class 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000004088 simulation Methods 0.000 description 2
- 230000002123 temporal effect Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- OCKGFTQIICXDQW-ZEQRLZLVSA-N 5-[(1r)-1-hydroxy-2-[4-[(2r)-2-hydroxy-2-(4-methyl-1-oxo-3h-2-benzofuran-5-yl)ethyl]piperazin-1-yl]ethyl]-4-methyl-3h-2-benzofuran-1-one Chemical compound C1=C2C(=O)OCC2=C(C)C([C@@H](O)CN2CCN(CC2)C[C@H](O)C2=CC=C3C(=O)OCC3=C2C)=C1 OCKGFTQIICXDQW-ZEQRLZLVSA-N 0.000 description 1
- RZVAJINKPMORJF-UHFFFAOYSA-N Acetaminophen Chemical compound CC(=O)NC1=CC=C(O)C=C1 RZVAJINKPMORJF-UHFFFAOYSA-N 0.000 description 1
- XUIMIQQOPSSXEZ-UHFFFAOYSA-N Silicon Chemical compound [Si] XUIMIQQOPSSXEZ-UHFFFAOYSA-N 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 235000013361 beverage Nutrition 0.000 description 1
- 239000011230 binding agent Substances 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000011982 device technology Methods 0.000 description 1
- 230000005669 field effect Effects 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 239000003550 marker Substances 0.000 description 1
- 230000001537 neural effect Effects 0.000 description 1
- 229920000642 polymer Polymers 0.000 description 1
- 230000008929 regeneration Effects 0.000 description 1
- 238000011069 regeneration method Methods 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 229910052710 silicon Inorganic materials 0.000 description 1
- 239000010703 silicon Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/02—Services making use of location information
- H04W4/029—Location-based management or tracking services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/02—Services making use of location information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
示例实施方式包括用于建立安全的无线通信的系统和方法,包括经由接入点(AP)从移动用户设备(UE)接收接入所述网络的请求、将第三方凭证的网页注册选项发送至UE、接收使用所述第三方凭证的指示、将所述UE重定向至对应的第三方网站登录页面并且包括识别器、经由AP从所述UE接收授权,所述授权在将有效的第三方凭证提供至第三方网站之后已经从第三方网站被发送至所述UE、生成代理凭证、在数据库中将授权绑定至代理凭证、经由接入点将代理凭证发送至移动用户设备并且经由所述接入控制服务器和AP授权所述UE建立安全的连接。
Description
相关案件
本申请与2014年10月1日提交的美国临时专利申请US61/885,445相关并主张其优先权。
技术领域
本申请涉及安全无线通信的领域。
背景技术
当前的无线系统和方法不允许使用来自第三方源的凭证建立安全无线连接。
发明内容
本发明提供用于使用第三方凭证提供加密无线连接的方法、系统和装置。
本文中的某些示例实施方式包括用于建立安全无线通信的系统和方法,包括用于建立安全无线通信的系统,包括与接入点通信的凭证供应(provisioning)服务器、数据库、接入控制服务器和网络,凭证供应服务器配置成经由所述接入点从移动用户设备接收接入所述网络的请求、经由所述接入点将第三方凭证的网页注册(sign-in)选项发送至移动用户设备、经由所述接入点从所述移动用户设备接收使用所述第三方凭证的指示、经由所述网络将所述移动用户设备重定向至对应的第三方网站登录(login)页面,并且包括识别符、经由接入点从所述移动用户设备接收授权,所述授权在将有效的第三方凭证提供至第三方网站之后已经从第三方网站发送至移动用户设备、生成代理凭证、在所述数据库中将授权绑定至代理凭证、经由接入点将代理凭证发送至移动用户设备并经由所述接入控制服务器和接入点授权移动用户设备建立安全的连接。
在某些示例实施方式中,所述凭证供应服务器进一步配置成经由所述网络请求从所述第三方网站接入用户信息的许可以及用所述移动用户设备的位置信息更新第三方网站的许可。
在一些实施方式中,所述凭证供应服务器进一步配置成经由所述网络在从所述移动用户设备接收授权之后从所述第三方网站请求所述用户信息并响应于所述请求接收并保存来自所述第三方网站的用户信息。
进一步地,在一些实施方式中,所述凭证供应服务器进一步配置成经由所述网络将所述移动用户设备的位置信息发送至第三方网站。并且,在一些实施方式中,接入控制服务器配置成在移动用户设备先前地接入所述网络之后经由所述接入点从移动用户设备接收代理凭证,所述代理凭证在成功登录到第三方网站之后已经被预先发送至移动用户设备、经由所述接入点从移动用户设备验证代理凭证、绑定接入令牌(token)与接收的代理凭证、经由所述网络将接入凭证发送到第三方网站进行验证、如果接入令牌有效则经由所述网络从社交网络网站接收更新的接入令牌以及授权移动用户设备经由接入点建立安全的连接。
在某些示例实施方式中,所述代理凭证是用户名和密码凭证、客户端证书(client-certificate)凭证和/或动态预共享密钥。在一些实施方式中,第三方凭证是社交网络凭证并且第三方网站是社交网络网站。在一些实施方式中,所述识别符为应用ID(App-ID)。并且,在一些实施方式中,所述授权为认证码。
在一些实施方式中,所述凭证供应服务器进一步配置成经由所述网络将来自移动用户设备的授权交换成来自第三方网站的接入令牌,并将接入令牌发送到接入控制服务器以在数据库中绑定到与移动用户设备对应的代理凭证。
并且,在一些实施方式中,可以使用OAuthv2(RFC-6749)协议接收授权并将所述授权交换成接入令牌。
示例实施方式还包括用于建立安全无线通信的系统和方法,包括经由与凭证供应服务器、接入点、数据库、和网络通信的接入控制服务器,经由接入点从移动用户设备接收代理凭证,所述代理凭证在成功登录到第三方网站之后已经从凭证供应服务器被预先发送至移动用户设备、经由所述接入点从移动用户设备验证代理凭证、取回绑定到接收的代理凭证的接入令牌、经由所述网络将接入令牌发送到第三方网站进行验证、如果接入令牌有效则经由所述网络从社交网络网站接收更新的接入令牌以及授权移动用户设备经由接入点建立安全的连接。
在一些示例实施方式中,响应于凭证供应服务器经由接入点从移动用户设备接收授权,所述授权在将有效的第三方凭证提供至第三方网站之后已经从第三方网站发送至移动用户设备、将来自移动用户设备的授权交换成来自第三方网站的接入令牌,而由凭证供应服务器生成所述代理凭证。
在一些实施方式中,接入控制服务器将接入令牌与接收的代理凭证绑定在一起、经由所述网络将接入令牌发送到第三方网站经行验证并且如果所述接入令牌有效则经由所述网络从社交网络网站接收更新的接入令牌。
根据下面的详细描述,结合附图,本发明的其他特征和优点将变得明了,所述附图通过举例的方式示意了本发明的实施方式的各种特征。
附图说明
为了更好地理解在本申请中描述的实施方式,结合下列附图将对下面的具体实施方式进行参考,在附图中相同的参考标记在前后附图中指代对应的部分。
图1是框图,示出了与本文描述的创造性方面一致的示例架构图。
图2A是消息传送图,示出了与本文描述的创造性方面一致的示例消息流。
图2B是另一消息传送图,示出了与本文描述的创造性方面一致的示例消息流。
图3是另一消息传送图,示出了与本文描述的创造性方面一致的在初始连接之后的示例消息流。
图4是与本文描述的创造性方面一致的示例流程图。
具体实施方式
现在将详细对实施方式进行参考,实施方式的示例示意于附图中。在下面的具体描述中,阐述了多处具体细节以便提供对本文呈现的主题的充分理解。但是,将对本领域普通技术人员显而易见的是,所述主题可以在没有这些具体细节的情况下被实践。另外,本文描述的特定实施方式通过举例的方式提供并且不应当用于将本发明的范围限制于这些特定实施方式。在其他实例中,没有详细描述周知的数据结构、时序协议、软件操作、程序和部件,以避免不必要地使得本发明的实施方式的各个方面模糊不清。
概述
本文公开的某些实施方式提供用于移动装置或用户设备(UE)使用某种类凭证建立至802.11接入点(AP)的安全空中链路连接的系统和方法。在某些实施方式中,这样的凭证可以是先前建立的用户第三方网站凭证。第三方网站凭证的示例可以是社交媒体或社交网络(SN)凭证。
当今UE很普及并且其用于通过导线和无线地接入网络例如互联网。如果不被加密,则无线连接将遭受探听、窃听和恶意攻击。并且,尽管在某些情况下(例如,使用HTTPS的在线银行业务,其基于SSL/TLS)可以建立安全的端对端的网络隧道,然而,这样的网络隧道仍然使得UE和AP之间的空中链路畅通无阻,没有加密保护。因此,不使用安全的端对端的网络隧道的流量遭受探听。使用在无线服务提供商和提供凭证的网站的运营商之间建立的协定,可以允许消费者利用预先存在的网站凭证来允许它们的UE登录到并建立与AP的经加密空中链路。
应当注意到,本文讨论的UE可以是配置成无线通信的任何数量的装置,例如但不限于智能电话、膝上型计算机、网本、超级本、平板电脑、手持计算机等。这些可以使用某些网络AP通过无线连接的方式连接至互联网。
另外,应当注意,某些标准例如IEEE802.11可以被用于UE和AP之间的无线电通信。这些提供互联网接入的AP可以具有“热点”功能,包括标准推进到称为热点2.0(HS2.0)的热点和Wi-Fi连接。热点2.0技术由Wi-Fi联盟开发并且允许至热点的UE自动并且安全的连接。尽管不限于HS2.0,然而本文公开的示例使用HS2.0示例以便将本公开置于上下文中。因此,尽管不限于HS2.0,然而本文公开的实施方式可以使用HS2.0技术被利用。
安全示例
当今UE被用于接入网络诸如互联网,在某些情形中经由无线连接接入所述网络。当无线连接使用Wi-Fi技术时,当利用WPA2企业级(WPA2-Enterprise)安全时UE安全和用户安全得以增强。WPA2企业级安全包括三种技术:802.1X(基于端口的网络接入控制)、802.11i(802.11空中链路加密)和EAP认证;当成功应用WPA2企业级安全时,UE和AP之间的空中链路被加密。这种加密提供了机密性保护、完整性保护、重发保护(replayprotection)和免受所谓的“中间人(man-in-the-middle)”攻击的保护。
WPA2企业级安全的一部分是相互认证,其中UE认证诸如认证、授权和计费(AAA)服务器之类的接入控制服务器的身份,从而确保其被连接至预期Wi-Fi网络并且所述网络认证UE的身份。这样的接入控制服务器处置用于接入网络资源的请求并能够经由例如RADIUS协议提供诸如认证、授权和计费之类的服务。可以使用由互联网工程任务组(IETF)标准化的EAP(可扩展认证协议,见RFC-3748)方法中的一种来实施相互认证,例如EAP-隧道传输层安全(EAP-TTLS)(见RFC-5281)。在成功的EAP交换完结时,AAA服务器向AP分发主会话密钥(MSK)并且UE本地地计算其自己的MSK,在成功时该MSK具有与被分发到AP的MSK相同的值。然后,所述MSK与802.11i加密协议一起被使用以生成成对临时密钥(PTK),用于加密UE和AP之间的单播传输并且用于传输群组临时密钥(GTK),用于加密从AP至UE的广播和多播传输。
独立于Wi-Fi技术,IETF已经开发了利用认证并且在万维网中普遍地被使用的其他协议。两个示例是超文本传输协议安全(HTTPS),其是通过传输层安全(TLS)的HTTP;见用于HTTP的RFC-2616和用于TLS的RFC-5246以及HTTP摘要(见RFC-2617)。在HTTPS中,TLS层可以配置为对于客户端匿名,意味着客户端使用服务器的X.509证书认证服务器但是服务器不认证客户端。通过使客户端将统一资源定位符(URL)编码的用户名/密码提供到服务器,可以在TLS隧道已经被成功建立之后执行客户端认证,通过HTTP传输,在加密的TLS隧道内部。HTTPS和HTTP摘要都支持相互认证。但是,这些技术中没有一种提供或生成能够与802.11i一起使用以使Wi-Fi空中链路安全的MSK。
许多网站具有大的用户数据库,所述用户数据库的用于已经被颁发用户名/密码凭证并且可以通过利用这些凭证用于其他目的例如用于无线网络接入而获益。
已经将用户名/密码凭证颁发给大量用户的网站的示例包括但不限于,仅举几个例子,诸如Facebook、Google、Google+、MySpace、LinkedIn、TripIt、Twitter、Yammer和Yahoo!等的SN网站。SN网站的用户可能想要使用其凭证用于Wi-Fi网络接入和/或用其当前位置更新其SN主页(即,“签到(check-in)”)。SN网站可能想要支持凭证的这些使用作为将其广告延伸到提供公共Wi-Fi网络接入的场地业主的手段。也存在已经颁发用户名/密码凭证的其他网站,其可能想要利用所述用户名/密码凭证以进行Wi-Fi网络接入,例如零售和酒店会员网站。
在某些实施方式中,用户认证一旦被成功完成,则AAA服务器可以在用户的社交媒体主页上发布更新和/或检索关于用户的信息。应当注意,在某些实施方式中,当用户授权了提供公共Wi-Fi网络接入的场地业主使用其社交网络网站凭证,则他们也授权社交网络网站API提供被用户视作可共享的某些个人信息。例如,AAA服务器可以更新用户的UE登录的场地名和位置,例如在123主街的特定咖啡店。并且,AAA服务器可以从示例SN网站API检索用户的好友列表、其最爱的食物以及其他个人信息。转而,AAA服务器可以将该信息传送到基于位置的服务引擎,所述服务引擎可以提供所述场地推广的某种类的顾客提升。这种信息用于无线服务提供商来说可能是有价值的,因为其可以允许热点运营商提供某种程度的个人化服务至用户。例如,所述场地可以给用户提供其最爱的饮料的优惠券或者也许可以在用户下次带来其在列表上的好友时提供免费饮料。
并且,存在用户为什么希望使用预先存在的SN账户凭证来登录网络的各种原因。所述用户可能想要其社交网络好友知道他们在哪儿。他们会发现他们的SN凭证使得他们获得在潜在的许多场地的Wi-Fi接入以接入互联网是有用的。此外,通过结合SN账户到无线服务提供商的登录,可能存在对于用户来说是符合资格的推广,如上面说明的那样。
许多SN网站支持被称为OAuth2.0(见IETFRFC-6749)的认证技术。本文描述的实施方式包括能够利用OAuth2.0授权协议和热点2.0版本2在线注册(场地内(in-venue)、点上(on-the-spot)的凭证供应)的系统和方法,从而以在公共无线接入网络中生成能够使用WPA2企业级的MSK的方式提供无线网络接入。这样,这些系统和方法提供至Wi-Fi热点的新设备入网(on-boarding),允许消费者或“携带自己的设备(BYOD)”至网络。
示例流
在示例情况中,用户(消费者)步入配备有用于为其消费者提供无线互联网接入的AP的热点位置。在某些实施方式中,示例AP配置成使用WPA2企业级安全。希望连接到互联网的用户被要求登录到无线服务提供商账户,其必须利用运营这些无线AP的个体无线服务提供商公司而建立。在这个示例中,初始,UE的连接管理器不具有可以被用于利用热点进行认证的凭证。所要求的是让每个用户利用它们选择要使用的个体无线服务提供商来建立登录凭证(例如,用户名和密码)。所述登录凭证可以在登录到由那个特定无线服务提供商所经营的任何AP时被使用。
然而,所述用户可以具有对于示例SN网站的用户名/密码凭证。另外,所述SN网站在该示例中支持OAuthv2。并且,本地热点中的AP配置成使用热点2.0版本2,其包括在线注册能力。本文的实施方式描述了用于使服务器以使用预先存在的SN凭证用于用户认证、接着生成MSK从而促成根据WPA2企业级协议的空中链路加密的方式使用OAuthv2连同热点2.0在线注册协议的系统和方法。应当注意,OAuthv2不生成MSK。上面提及的服务器是实施热点功能的服务器(或服务器群组或功能分布在多个服务器之间)。
在某些实施方式中,用户通过登录到SN网站并授权无线服务提供商使用他们的SN身份来建立其身份。一旦这样地被授权,在线注册(OSU)服务器就创建“代理凭证”,其然后绑定到用户的SN身份。对术语OSU服务器的使用不打算进行限制。在此可以使用任何数量的服务器,包括但不限于凭证供应服务器。OSU服务器提供本文所述的凭证供应功能就足够了。
还应当注意,本领域普通技术人员将了解,本文描述的构思能够同等地适用在另一凭证被用于创建代理凭证以促成对空中链路的加密的情形中。
热点2.0在线注册协议被用于建立并给移动装置供应所谓的“代理凭证”。代理凭证可以是用户名和密码凭证或X.509客户端证书凭证。尽管在本发明中称为“代理凭证”,但是其可以与WPA2企业级一起使用的用户名/密码或客户端证书凭证并无不同。照此,在EAP认证之后,UE和AP分别生成或获取MSK,其转而被用于加密空中链路上的通信。在热点的OSU服务器对UE供应代理凭证之后,其还将代理凭证供应到无线服务提供商的(热点运营商的)AAA服务器以用于将来使用。之后,UE可以使用利用热点2.0协议的代理凭证以自动并且安全地登录到由无线服务提供商运营的热点。
因此,当消费者回到热点时(在初始位置或另一位置),UE能够自动并且自主地根据热点2.0协议使用代理凭证以登录到热点。当热点的AAA服务器接收到UE的认证请求时,其与SN网站核对以确认用户的使用他/她的SN凭证的授权仍然生效,如果是这样,则认证UE并授权其用于Wi-Fi接入。
示例中的概述表示
现在详细转到图1,其描绘了用户经由UE110可以如何利用现有凭证登录到无线服务提供商并且从而建立安全空中链路的示例实施方式。在这个示例中,热点具有两个同时运营的WLAN——安全WPA2企业级WLAN和被用于在线注册的开放WLAN。另外,热点运营商已经与SN网站预先做出安排以使用SN的用户的凭证提供Wi-Fi接入。当做出了这种安排,热点运营商从SN网站获取“App-ID”,其可以识别所述热点运营商。在一些实施方式中,App-ID可以唯一到识别热点运营商。如将要被描述的,App-ID可以被用在热点的OSU服务器和SN网站之间的某些消息交换中。应当注意,不打算对术语App-ID的使用进行限制,因为其在各种实施方式中可以是任何数量的识别符。
首先,UE110来到接入点(AP)115的范围内并且使用热点2.0协议确定其不具有加入热点的适当安全凭证。这样,替代地,UE关联至用于在线注册的开放SSID。在步骤101中,UE经由门户(portal)126接收OSU网页127并经由UE110将其呈现给用户。OSU网页可以呈现让用户登录并使用无线服务提供商服务的各种选择,其中一种选择可以是经由所述用户的预先存在的SN凭证127,例如其用户名和密码。
接着,在所述示例中,在步骤102,如果用户点击在使用他们预先存在的SN凭证的选择上,则UE浏览器被门户重定向到合适的SN网站。在UE浏览器被重定向到SN网站之前,门户126将App-ID或无线服务提供商的识别符添加到重定向URL,其致使SN网站向用户显示无线服务提供商或其他客户信息,在这个示例中为接入用户的SN网页和/或信息的“GreenWi-Fi的”(示例的服务提供商)请求。用户被提供使用其先前建立的SN用户名和密码登录到SN网站的能力。
如果用户提供适当的凭证,则SN网站向UE发送认证码(AuthenticationCode)。应当注意,不打算对术语“认证码”的使用进行限制。可以使用各种授权中的任一个;授权码指示来自SN网站的授权就足够了。用户还可以给予授权以允许无线服务提供商,在这个示例中为“GreenWi-Fi的”身份管理器和AAA(此处一起为IDM)123,以接入来自在各种层次的特定SN网站的某些用户信息或执行某些行为。例如,某些层次可以允许所述系统接入来自用户的SN账户的个人信息,例如人口统计信息、好友信息、到访位置的历史等。某些示例可以允许所述系统接入用户的账号并将“签到”发布写到用户的SN网页。然后,继续示例实施方式的步骤103,UE110而后可以利用认证码或由SN网站提供的授权被SN网站132重定向到门户126。
然后,在某些示例实施方式中,在步骤104中,OSU服务器经由IDM123将请求直接发送到SN网站服务器130以将认证码交换成接入令牌。一些SN网站将认证码的生存时间(lifetime)限制到短时间间隔,例如两小时。因此,无线服务提供商具有多达两个小时以将认证码交换成接入令牌。在某些情况中,接入令牌在持续较长的时期保持有效,例如六十天。一旦接入令牌过期,则无线服务提供商需要获取新的认证码和接入令牌以便继续接入所述SN用户的凭证。无线服务提供商按照下述方式使用接入令牌。
一旦OSU服务器120具有接入令牌,其就创建至代理凭证的绑定并将绑定、接入令牌和代理凭证存储在其本地用户数据库中,所述数据库在这个示例中与IDM123通信。接着,在步骤105中,供应服务器(PS)125生成代理凭证,所述代理凭证被发送到UE110,以(在这个示例中)使用热点2.0版本2的方法对其供应。
在不使用接入令牌的示例实施方式中,OSU服务器或代理凭证服务器可以在数据库中绑定代理凭证和授权。
一旦被供应,UE能够切换到AP的经加密的无线局域网(WLAN)。为了切换(在初始位置或当用户之后回到相同位置或在可以使用代理凭证的另一位置时),UE自动并且自主地根据热点2.0协议使用代理凭证以登录到热点。当热点的AAA服务器接收UE的认证请求时,其将接入令牌发送到SN网站以确定用户的使用他/她的SN凭证的授权仍然有效。如果接入令牌被SN网站接受,则用户的授权仍然有效;如果是这样,AAA服务器认证UE的代理凭证,并且如果成功,则授权移动装置用于Wi-Fi接入。如果接入令牌没有被SN网站接受,则用户的授权已经过期或被撤销,因此AAA服务器拒绝UE的代理凭证认证请求并且不授权移动装置用于Wi-Fi接入。
本领域技术人员将了解,代理凭证可以替代地是动态、预共享密钥。当Wi-Fi安全被配置成使用WPA个人级或WPA2个人级(其利用预共享密钥来建立密码密钥)时可以由服务器颁发动态、预共享密钥。
UE没有被预先认证时的详细示例消息序列
为了帮助示意本文中的某些实施方式,在示例2A和2B中提供了详细的消息序列图。
图2A描绘了示例消息序列,详述了本文公开的方法和系统中使用的示例序列和步骤。图2B描绘了如上所述的在SN凭证已经被用于登录并且绑定已经发生之后的示例热点2.0步骤。再次使用了SN示例,但是SN不应被解读为进行限制而仅仅是示意性的。
图2A包括UE210、AP212以及示出为例如容纳在OSU220中的某些联网方面。这些包括被称为D刀片(D-blade)222的数据平面模块,其是通过OSU和集成数据库管理和AAA服务器(IDM)233转发数据包的数据转发引擎,数据库,在此为分布式数据库224,诸如运行Cassandra的服务器,供应服务器(PS)225,其使用热点2.0方法对UE供应安全凭证,以及门户226,其充当用户经由UE浏览器的界面。安全凭证可以是用户名/密码或X.509v3客户端证书。还示出证书CA228,其可以被用于按需要创建X.509v3客户端证书。还示出SN网站230。
应当注意,在上面的示例中,使用了D刀片,因为其充当接入列表(ACL)执行器,以允许仅OSU/SN相关的包被路由至OSU模块和SN登录网站。不同的示例实施方式可以将这样的能力部署在AP上而不是在D刀片上。
注意,在下面段落中的示例步骤是对这样的步骤进行示意——所述步骤是在SN网站和场地运营商使用WPA2企业级创建安全Wi-Fi会话时热点2.0消息序列连同OAuth2(RFC-5746)消息中的步骤。
转到图2A中的消息传送交换示例,在其中UE210没有已经具有被用于登录到无线服务提供商热点的凭证,但是在凭证中确实具有SN登录,UE210在250向AP212传输消息。在这个步骤,UE使用热点2.0方法确定其不能加入在热点处的WPA2企业级SSID,原因是其不具有有效的安全凭证并且因此决定注册以用于Wi-Fi接入。
接着,UE210和AP212在UE210关联到AP212上的注册SSID时交换消息252。
然后,在UE210经由D刀片222建立与PS225的传输层安全(TLS)连接时,进行消息交换254。应当注意,在某些实施方式中,在此处不需要D刀片222。
接着,从UE210发送消息256以与根CA(RootCA)240验证PS的服务器证书或OSU服务器证书没有被撤销。这个程序使用在线证书状态协议(OCSP)来经由D刀片222使OSU证书生效。应当注意,在某些实施方式中在此处D刀片不是必要的。
接着,发送消息258,由UE210经由D刀片222至PS225的sppPostDevData请求(简单对象访问协议SOAP-XML)。应当注意,在某些实施方式中在此处D刀片222不是必要的。sppPostDevData请求是发起凭证供应(例如,在线注册)的热点2.0请求方法。
然后,发送SOAP-XML消息260,从PS225回到UE210,启动到URL的浏览器的命令,所述URL是门户226的URL。
UE210然后经由D刀片222使用HTTPS与用于门户注册页的门户226交换消息262。应当注意,在某些实施方式中在此处D刀片222不是必要的(D刀片被用作接入控制列表(ACL)执行器,以允许仅OSU/SN相关的包被路由至OSU模块和SN登录网站。如果这些接入限制不被需要或者由一些其他网络部件执行,则不使用D刀片)。一旦用户的移动装置呈现门户注册网页,UE210用户可以“使用SN凭证接入GreenWi-Fi的热点”。
消息然后被交换264,以重定向到SN230,其中门户226经由D刀片222添加识别符或App-DI、重定向_URI(redirect_URI(回到门户))。应当注意,在某些实施方式中消息264可以不需要经由D刀片222被发送。
UE210然后与SN网站230交换消息266,以经由D刀片222交换SN登录对话并确认PS客户端许可(如上所述)。应当注意,在某些实施方式中消息266可以不需要经由D刀片222被发送。
然后,SN网站230可以传输消息以利用认证码或授权重定向268UE210。
UE210然后经由D刀片222利用认证码或授权将确认消息270发送到门户226。应当注意,在某些实施方式中消息270可以不需要经由D刀片222被发送。
门户226将注册请求发送到IDM272。
IDM与SN网站交换消息274,从而如先前所述地,其将认证码与来自SN的接入令牌交换。IDM将令牌保存在数据库224中。这允许在未来的一天在用户回来并尝试加入热点时IDM查找接入令牌。
接入令牌和IDM223可以将对于使用SN的用户凭证的请求的确认或失败通知278的响应发送到门户226。
最终280,门户226发送最终的“HTTP重定向302”到UE210。如果使用SN的用户的凭证用于Wi-Fi接入的请求失败(通知提供在消息228中),则门户226在这个步骤中通知UE310。这完成了这个示例中授权的SN部分。
接着描述对用户的UE供应代理凭证具体地是X.509v3客户端证书并且然后绑定SN凭证与所述系统颁发的代理凭证(新的X.509v3客户端证书凭证)的步骤。
接着,在这个示例中,如图2B所示,进行热点2.0交换以完成在线注册程序。UE210发送SOAP-XML指示信息282,所述信息282指示用户已经完成将所有对于SN网站所有必要的信息供应到PS225。这可以是PS的信号以发起证书凭证登记(enrollment)。登记是由热点2.0使用的用于向移动装置颁发客户端证书的名字。
接着,利用消息284,PS225将证书登记请求(SOAP-XML)消息发送到UE210。
UE210然后经由D刀片222交换基于HTTPS的消息286至PS225以执行证书登记(EST,见,通过安全传输的登记,IEFTRFC-7030)。应当注意,在某些实施方式中要交换消息289,在此处不需要D刀片222。然后,PS225与CA228交换消息以生成客户端证书,其被供应至UE。
在UE210成功安装证书之后,UE向PS225发出成功指示290的信号。
PS225交换消息292以从IDM223获得热点2.0按照提供商订阅管理对象(PerProviderSubscriptionManagementObject,PPSMO)。PPSMO包含用于UE的连接管理器设置、用于服务提供商的识别信息(例如,GreenWi-Fi)以及与凭证有关的其他元数据。
PS225然后发送消息294以将PPSMO供应给UE210。
UE210然后经由D刀片222将PPSMO成功安装的消息296发送到PS225,(SOAP-XML)。应当注意,在某些实施方式中消息296可以不需要经由D刀片222被发送。
PS225发送注册成功的消息298至UE210,(SOAP-XML)。
并且,UE210经由D刀片222发送消息299至PS225,以指示释放TLS(SOAP-XML)。这然后允许AP和UE之间经加密的通信,因为适当的证书和/或MSK被供应给UE。应当注意,在某些实施方式中消息299可以不需要经由D刀片222被发送。
在预先认证之后的消息传输示例
上面示出的图2A和2B中的示例是在UE先前并没有使用SN凭证被连接时的示例。图3描绘了其中用户310已经到访热点并且客户端证书已经由生成的接入令牌被供应给用户310的示例,所述客户端证书由OSU服务器绑定到其SN凭证。
在所述示例中,图3,示例UE310来到AP312的范围中并希望与AP312关联,所述AP将消息350发送到UE310。所述UE的连接管理器可以使用802.11uGAS/ANQP,或另一通用广告服务/接入网络查询协议,以确定其是否具有来自Wi-Fi网络的漫游合作商或Wi-Fi热点运营商自身任一者的凭证。
接着,AP发送其能够认证来自无线服务提供商的凭证的消息352到UE,例如经由根据先前示例的场所“Green-Wi-Fi”。
然后,UE310与AP312交换消息354以关联到AP312。
UE310与AP312交换消息356,AP312转而经由D刀片服务器322与IDM323交换消息358,以发起与无线服务提供商的AAA服务器323的EAP-TLS认证交换。在这个步骤中,AAA服务器开始认证UE的代理凭证(其为X.509v3客户端证书)。注意,EAP-TLS是当UE具有X.509v3客户端证书时使用的方法。应当注意,在某些实施方式中消息358可以不需要经由D刀片222被发送。
接着,当IDM323中的AAA服务器接收客户端证书时,其将消息发送到数据库324,所述数据库324转而将关于用于所述用户的示例SN网站接入令牌的消息362发回。
然后,IDM323将带有接入令牌的消息364发送到示例社交网络网站330API。转而,所述SN网站发送带有更新的接入令牌的消息336。
如果更新成功,则用户没有吊销使用示例SN网站凭证的许可并且EAP认证应当继续。
接着,经由D刀片322在IDM323中的AAA服务器和AP312之间进行消息交换368,关于EAP成功和经由RADIUS的接入接受(成功)。应当注意,在某些实施方式中消息368可以不需要经由D刀片222被发送。
然后,AP312和UE310交换关于802.11四路握手(4WHS)的消息370,以建立层2安全关联(WPA2企业级安全)。注意:如果接入令牌更新失败,则用户认证应当失败并且UE应当从Wi-Fi网络解除认证(在这种情形中,RADIUS接入拒绝消息被发送到AP)。
这之后允许在AP和UE之间经加密的通信。
示例总结
图4示出了利用本文描述的某些实施方式的示例总结的流程图。首先,410凭证供应服务器首先从移动用户设备接收接入网络的请求。之后420,凭证供应服务器向移动用户设备发送第三方凭证的网页注册选项。然后430凭证供应服务器从移动用户设备接收使用所述第三方凭证的指示。然后440凭证供应服务器经由网络将移动用户设备重定向到对应的第三方网站登录网页并且包括识别符。然后450凭证供应服务器从移动用户设备接收认证码或授权,所述接收认证码或授权在将有效的第三方凭证提供到第三方网站之后已经从第三方网站发送到移动用户设备。然后460凭证供应服务器生成代理凭证并在数据库中将授权绑定到代理凭证。然后470凭证供应服务器经由接入点将代理凭证发送到移动用户设备。最后480凭证供应服务器授权移动用户设备建立安全的连接。
具有单个外壳的示例实施方式
应当注意,在附图中,某些功能和部件部分被示出为分组成一个单元,在线注册服务器(OSU)120。但是这仅是示例性和示意性的。例如,在图1中,OSU120示出为包括门户126、IDM123或AAA服务器、供应服务器(PS)125。并且在图2中,OSU220示出为包括D刀片222、IDM223、数据库224、PS225、门户226和证书228。数据库224可以是任何的分布式数据库,例如Cassandra数据库,以便提供遍及OSU节点的复制,从而促成运营者部署的大规模可缩放性。但是,任一或者所有这些部件不需要单个地容纳到一个部件中,OSU120和220等。代替地,所述部件部分可以以任何方式分组。但是在本文的这些示例实施方式中,某些部件部分被分组成一个产品外壳,OSU120、220、320。
结论
应当注意,术语“热点”仅以示例性的方式使用。本文公开的创造性方面可以与许多不同种类的无线通信接口和标准一起使用。贯穿本文,Wi-Fi标准是以示例性方式使用的。
如本文所公开的,与本发明一致的特征可以经由计算机硬件、软件和/或固件来实施。例如,本文公开的系统和方法可以以各种形式具体实施,举例来说数据处理器,例如还包括数据库、数字电子电路、固件、软件、计算机网络、服务器或成它们的组合的计算机。另外,尽管公开的实现方式中的一些描述了具体的硬件部件,但是与本文的创新一致的系统和方法可以借助硬件、软件和/或固件的任何组合来实施。此外,本文创新中上面指出的特征和其他方面和原理可以在各种环境中实施。这样的环境和相关应用可以被专门地构建以执行根据本发明的各种例程、过程和/或操作而特别地构建或者它们可以包括通用计算机或计算平台,其选择性地被代码激活或重配置以提供必要的功能。本文描述的过程并非固有地与任何特定计算机、网络、架构、环境或其他装置相关,并且可以以硬件、软件和/或固件的合适组合来实施。例如,各种通用机器可以与根据本发明的教导编写的程序一起使用或者其可以更方便地构建专用装置或系统以执行需要的方法和技术。
本文公开的方法和系统的各个方面例如逻辑可以实施为编程到各种不同的电路的任一种中的功能,该电路包括可编程逻辑器件(“PLD”),比如现场可编程门阵列(“FPGA”),可编程阵列逻辑(“PAL”)器件,电可编程逻辑和存储器器件和标准的基于单元(cell)的器件以及专用集成电路。用于实施各个方面的一些其他可能包括:存储器装置、具有存储器(例如,EEPROM)的微控制器、内嵌的微处理器、固件、软件等。此外,各个方面可以具体实施在微处理器中,所述微处理器具有基于软件的电路仿真、离散逻辑(时序和组合)、定制器件、模糊(神经)逻辑、量子器件和任意上述器件类型的混合。底层器件技术可以以各种不同的器件类型提供,例如金属氧化物半导体场效应管(“MOSFET”)技术,比如互补金属氧化物半导体(“CMOS”)、双极技术,比如发射极耦合逻辑(“ECL”)、聚合物技术(例如,硅共轭聚合物和金属共轭聚合物金属结构)、混合模拟和数字等。
还应当注意,本文公开的各种逻辑和/或功能就其行为、寄存器传输、逻辑部件和/或其他特性方面可以使用硬件、固件和/或具体实施在各种机器可读或计算机可读介质中的数据和/或指令而使能。在其中这样的格式化数据和/或指令可以被具体实施的计算机可读介质包括但不限于呈各种形式(例如,光、磁或半导体存储介质)的非易失性存储介质以及可以被用于通过无线、光学或有线信号传输介质或其组合传输这样的格式化数据和/或指令的载波。由载波传输的这样的格式化数据和/或指令的示例包括但不限于通过互联网和/或经由一个或多个数据传输协议(例如,HTTP、FTP、SMTP等)的其他计算机网络的传输(上传、下载、电子邮件等)。
除非上下文清楚地要求并不是这样,否则在整个说明书和权利要求中,字词“包括”、“包含”等应当被解读为包容性的意义而不是排他或者穷尽性的意义;也就是说,在“包括但不限于”的意义上被解读。使用单数或复数的字词也分别包括复数和单数。另外,字词“本文”、“下文”、“以上”、“以下”以及类似的导入字词指作为整体的本申请而不是本申请的任何特定部分。但字词“或”被用于参考两个或更多个项目的列表时,所述字词涵盖该字词的下列所有解释:列表中项目的任意一者、列表中所有的项目以及列表中项目的任意组合。
尽管本文已经具体描述了本发明的某些呈现的优选的实现方式,然而对于本领域技术人员显而易见的是,在不背离本发明的精神和范围的情况下可以对本文示出并描述的各种实现方式作出变化和修改。因此,希望将本发明仅限制到法律的使用规则所要求的范围。
用于说明目的的前述描述已经参考具体实施方式进行了描述。然而,上面的示意性讨论不打算是穷尽性的或将本发明限制到公开的精确形式。鉴于上面的教导,许多修改和变化是可能的。选择并描述所述实施方式以便最佳地说明本发明的原理和其现实应用,从而使得本领域其他技术人员能够最佳地利用本发明和具有适于所预期的特定应用的各种修改的各种实施方式。
Claims (33)
1.一种用于建立安全的无线通信的系统,包括:
与接入点、数据库、接入控制服务器和网络通信的凭证供应服务器,所述凭证供应服务器配置成:
经由所述接入点从移动用户设备接收接入所述网络的请求;
经由所述接入点向所述移动用户设备发送第三方凭证的网页注册选项;
经由所述接入点从所述移动用户设备接收使用所述第三方凭证的指示;
经由所述网络将所述移动用户设备重定向到对应的第三方网站登录页面,并包括识别符;
经由所述接入点从所述移动用户设备接收授权,所述授权在将有效的第三方凭证提供到所述第三方网站之后已经从所述第三方网站被发送到所述移动用户设备;
生成代理凭证;
在所述数据库中将所述授权绑定到所述代理凭证;
经由所述接入点将所述代理凭证发送到所述移动用户设备;以及经由所述接入控制服务器和所述接入点授权所述移动用户设备建立安全的连接。
2.根据权利要求1所述的系统,其中,所述凭证供应服务器还配置成:
经由所述网络,请求,
从所述第三方网站接入用户信息的许可;以及
利用所述移动用户设备的位置信息更新所述第三方网站的许可。
3.根据权利要求2所述的系统,其中,所述凭证供应服务器还配置成:
在从所述移动用户设备接收所述授权后,经由所述网络从所述第三方网站请求所述用户信息;以及
响应于所述请求接收并保存来自所述第三方网站的所述用户信息。
4.根据权利要求2所述的系统,其中,所述凭证供应服务器还配置成:
经由所述网络将所述移动用户设备的所述位置信息发送到所述第三方网站。
5.根据权利要求1所述的系统,其中,所述凭证供应服务器还配置成:
经由所述网络将来自所述移动用户设备的所述授权交换成来自所述第三方网站的接入令牌;以及
向所述接入控制服务器发送所述接入令牌以在所述数据库中绑定到与所述移动用户设备对应的所述代理凭证。
6.根据权利要求1所述的系统,其中,所述代理凭证是用户名和密码凭证。
7.根据权利要求1所述的系统,其中,所述代理凭证是客户端证书凭证。
8.根据权利要求1所述的系统,其中,所述代理凭证是动态预共享密钥。
9.根据权利要求1所述的系统,其中,所述第三方凭证是社交网络凭证并且所述第三方网站是社交网络网站。
10.根据权利要求1所述的系统,其中,所述识别符是App-ID。
11.根据权利要求1所述的系统,其中,所述授权是认证码。
12.根据权利要求5所述的系统,其中,所述接入控制服务器配置成:
在所述移动用户设备预先接入所述网络之后,
经由所述接入点从所述移动用户设备接收所述代理凭证,所述代理凭证在成功登录到所述第三方网站之后已经被预先发送到所述移动用户设备;
经由所述接入点验证来自所述移动用户设备的所述代理凭证;
检索绑定到接收的代理凭证的所述接入令牌;
经由所述网络将所述接入令牌发送到所述第三方网站进行验证;
如果所述接入令牌有效则经由所述网络从社交网络网站接收更新的接入令牌;以及
经由所述接入点授权所述移动用户设备建立安全的连接。
13.根据权利要求12所述的系统,其中,
接收授权以及将所述授权交换成接入令牌是经由OAuthv2(RFC-6749)协议。
14.一种用于建立安全的无线通信的方法,包括:
经由与接入点、数据库、接入控制服务器和网络通信的凭证供应服务器,
经由所述接入点从移动用户设备接收接入所述网络的请求;
经由所述接入点向所述移动用户设备发送第三方凭证的网页注册选项;
经由所述接入点从所述移动用户设备接收使用所述第三方凭证的指示;
经由所述网络将所述移动用户设备重定向到对应的第三方网站登录页面,并包括App-ID;
经由所述接入点从所述移动用户设备接收授权,所述授权在将有效的第三方凭证提供到所述第三方网站之后已经从所述第三方网站被发送到所述移动用户设备;
生成代理凭证;
在所述数据库中将所述授权绑定到所述代理凭证;
经由所述接入点将所述代理凭证发送到所述移动用户设备;以及
经由所述接入控制服务器和所述接入点授权所述移动用户设备建立安全的连接。
15.根据权利要求14所述的方法,还包括,经由所述凭证供应服务器,通过所述网络,请求,
从所述第三方网站接入用户信息的许可;以及
利用所述移动用户设备的位置信息更新所述第三方网站的许可。
16.根据权利要求15所述的方法,还包括,经由所述凭证供应服务器,
在从所述移动用户设备接收所述授权后,经由所述网络从所述第三方网站请求所述用户信息;以及
响应于所述请求接收并保存来自所述第三方网站的所述用户信息。
17.根据权利要求15所述的方法,还包括,经由所述凭证供应服务器,
经由所述网络将所述移动用户设备的所述位置信息发送到所述第三方网站。
18.根据权利要求14所述的方法,还包括,经由所述凭证供应服务器,
经由所述网络将来自所述移动用户设备的所述授权交换成来自所述第三方网站的接入令牌;以及
向所述接入控制服务器发送所述接入令牌以在所述数据库中绑定到与所述移动用户设备对应的所述代理凭证。
19.根据权利要求14所述的方法,其中,所述代理凭证是用户名和密码凭证。
20.根据权利要求14所述的方法,其中,所述代理凭证是客户端证书凭证。
21.根据权利要求14所述的方法,其中,所述代理凭证是动态预共享密钥。
22.根据权利要求14所述的方法,其中,所述第三方凭证是社交网络凭证并且所述第三方网站是社交网络网站。
23.根据权利要求14所述的方法,其中,
接收授权码以及将所述授权交换成接入令牌是经由OAuthv2(RFC-6749)协议。
24.根据权利要求14所述的方法,其中,所述识别符是App-ID。
25.根据权利要求14所述的方法,其中,所述授权是认证码。
26.根据权利要求18所述的方法,还包括,经由所述接入控制服务器,
在所述移动用户设备预先接入所述网络之后,
经由所述接入点从所述移动用户设备接收所述代理凭证,所述代理凭证在成功登录到所述第三方网站之后已经被预先发送到所述移动用户设备;
经由所述接入点验证来自所述移动用户设备的所述代理凭证;
检索绑定到接收的代理凭证的所述接入令牌;
经由所述网络将所述接入令牌发送到所述第三方网站进行验证;
如果所述接入令牌有效则经由所述网络从社交网络网站接收更新的接入令牌;以及
经由所述接入点授权所述移动用户设备建立安全的连接。
27.一种用于建立安全的无线通信的方法,包括:
经由与凭证供应服务器、接入点、数据库和网络通信的接入控制服务器,
经由所述接入点从移动用户设备接收代理凭证,所述代理凭证在成功登录到第三方网站之后已经被预先从所述凭证供应服务器发送到所述移动用户设备;
经由所述接入点验证来自所述移动用户设备的所述代理凭证;以及
经由所述接入点授权所述移动用户设备建立安全的连接。
28.根据权利要求27所述的方法,其中,所述代理凭证是用户名和密码凭证。
29.根据权利要求27所述的方法,其中,所述代理凭证是客户端证书凭证。
30.根据权利要求27所述的方法,其中,所述代理凭证是动态预共享密钥。
31.根据权利要求27所述的方法,其中,所述代理凭证由所述凭证供应服务器响应于下述而生成,
所述凭证供应服务器经由所述接入点从所述移动用户设备接收授权,所述授权在将有效的第三方凭证提供到所述第三方网站之后已经从所述第三方网站被发送到所述移动用户设备。
32.根据权利要求27所述的方法,其中,所述代理凭证由所述凭证供应服务器响应于下述而生成,
所述凭证供应服务器经由所述网络将来自所述移动用户设备的所述授权交换成来自所述第三方网站的接入令牌。
33.根据权利要求27所述的方法,进一步包括,经由所述接入控制服务器,
将接入令牌与接收的代理凭证绑定;
经由所述网络将所述接入令牌发送到第三方网站进行验证;以及
如果所述接入令牌有效则经由所述网络从社交网络网站接收更新的接入令牌。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201361885445P | 2013-10-01 | 2013-10-01 | |
| US61/885,445 | 2013-10-01 | ||
| PCT/US2014/058409 WO2015050892A1 (en) | 2013-10-01 | 2014-09-30 | Secure network access using credentials |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105830414A true CN105830414A (zh) | 2016-08-03 |
| CN105830414B CN105830414B (zh) | 2019-07-12 |
Family
ID=52779085
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480064804.6A Active CN105830414B (zh) | 2013-10-01 | 2014-09-30 | 使用凭证的安全的网络接入 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10284545B2 (zh) |
| EP (2) | EP3637729A1 (zh) |
| CN (1) | CN105830414B (zh) |
| TW (1) | TWI668645B (zh) |
| WO (1) | WO2015050892A1 (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106453309A (zh) * | 2016-10-11 | 2017-02-22 | 北京天融信网络安全技术有限公司 | 一种安全审计的方法和pc终端 |
| CN108230083A (zh) * | 2016-12-22 | 2018-06-29 | 富士通株式会社 | 信息处理方法、非暂态计算机可读介质以及信息处理设备 |
| CN111064708A (zh) * | 2019-11-25 | 2020-04-24 | 精硕科技(北京)股份有限公司 | 授权认证配置方法、授权认证方法、装置及电子设备 |
| CN111492358A (zh) * | 2017-12-22 | 2020-08-04 | 英国电讯有限公司 | 设备认证 |
| WO2021005534A1 (en) * | 2019-07-11 | 2021-01-14 | International Business Machines Corporation | Personal-public service set identifiers |
| CN113973301A (zh) * | 2020-07-23 | 2022-01-25 | 慧与发展有限责任合伙企业 | 用于专用网络接入的自主设备认证 |
| CN114513785A (zh) * | 2022-02-22 | 2022-05-17 | 新华三技术有限公司 | 一种终端认证方法及装置 |
| CN115996126A (zh) * | 2022-12-02 | 2023-04-21 | 北京深盾科技股份有限公司 | 信息交互方法、应用设备、辅助平台及电子设备 |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8566596B2 (en) * | 2010-08-24 | 2013-10-22 | Cisco Technology, Inc. | Pre-association mechanism to provide detailed description of wireless services |
| US20150127636A1 (en) * | 2013-11-05 | 2015-05-07 | Guesterly Llc | Automated event attendee data collection and document generation apparatuses, methods and systems |
| US9800581B2 (en) * | 2014-03-14 | 2017-10-24 | Cable Television Laboratories, Inc. | Automated wireless device provisioning and authentication |
| US9942762B2 (en) * | 2014-03-28 | 2018-04-10 | Qualcomm Incorporated | Provisioning credentials in wireless communications |
| WO2015169552A1 (en) * | 2014-05-05 | 2015-11-12 | Telefonaktiebolaget L M Ericsson (Publ) | Protecting wlcp message exchange between twag and ue |
| WO2016183613A1 (en) * | 2015-05-18 | 2016-11-24 | Genius Wifi Holdings International Pty Ltd | Wifi user authentication |
| US10038695B2 (en) | 2015-06-02 | 2018-07-31 | ALTR Solutions, Inc. | Remotely deauthenticating a user from a web-based application using a centralized login server |
| US9866545B2 (en) | 2015-06-02 | 2018-01-09 | ALTR Solutions, Inc. | Credential-free user login to remotely executed applications |
| CN106375265A (zh) * | 2015-07-22 | 2017-02-01 | 中兴通讯股份有限公司 | 家庭网关及其通信管理方法、通信系统 |
| US10412160B2 (en) | 2015-08-05 | 2019-09-10 | Facebook, Inc. | Controlling a device cloud |
| US10541958B2 (en) | 2015-08-05 | 2020-01-21 | Facebook, Inc. | Controlling a device cloud |
| US10567479B2 (en) | 2015-08-05 | 2020-02-18 | Facebook, Inc. | Managing a device cloud |
| US10348798B2 (en) | 2015-08-05 | 2019-07-09 | Facebook, Inc. | Rules engine for connected devices |
| US10425392B2 (en) * | 2015-08-05 | 2019-09-24 | Facebook, Inc. | Managing a device cloud |
| CN106921636B (zh) * | 2015-12-28 | 2020-05-08 | 华为技术有限公司 | 身份认证方法及装置 |
| US10104544B2 (en) * | 2016-04-05 | 2018-10-16 | Qualcomm Incorporated | LTE-level security for neutral host LTE |
| CN106304073A (zh) * | 2016-08-30 | 2017-01-04 | 福建富士通信息软件有限公司 | 一种WIFI Portal的认证管理方法及系统 |
| WO2018120150A1 (zh) * | 2016-12-30 | 2018-07-05 | 华为技术有限公司 | 网络功能实体之间的连接方法及装置 |
| US10880332B2 (en) * | 2017-04-24 | 2020-12-29 | Unisys Corporation | Enterprise security management tool |
| US11038875B2 (en) | 2017-09-20 | 2021-06-15 | Mx Technologies, Inc. | Data aggregation using a limited-use code |
| US10813169B2 (en) | 2018-03-22 | 2020-10-20 | GoTenna, Inc. | Mesh network deployment kit |
| US10944757B2 (en) | 2018-09-19 | 2021-03-09 | Cisco Technology, Inc. | Granting wireless network access based on application authentication credentials of client devices |
| CN110719169A (zh) * | 2019-11-07 | 2020-01-21 | 北京小米移动软件有限公司 | 传输路由器安全信息的方法及装置 |
| CN112511569B (zh) * | 2021-02-07 | 2021-05-11 | 杭州筋斗腾云科技有限公司 | 网络资源访问请求的处理方法、系统及计算机设备 |
| US11204971B1 (en) * | 2021-07-08 | 2021-12-21 | metacluster lt, UAB | Token-based authentication for a proxy web scraping service |
| CN117692255B (zh) * | 2024-02-02 | 2024-04-30 | 北京首信科技股份有限公司 | 动态扩展aaa服务的方法、装置及电子设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080217129A1 (en) * | 2007-03-06 | 2008-09-11 | Whelan Patrick J | Airport Seat |
| US20120006886A1 (en) * | 2009-03-24 | 2012-01-12 | Senju Metal Industry Co., Ltd. | Localized jet soldering device and partial jet soldering method |
| US20120192258A1 (en) * | 2009-07-17 | 2012-07-26 | Boldstreet Inc. | Hotspot network access system and method |
| US20120210011A1 (en) * | 2011-02-15 | 2012-08-16 | Cloud 9 Wireless, Inc. | Apparatus and methods for access solutions to wireless and wired networks |
| WO2012142370A3 (en) * | 2011-04-15 | 2012-12-06 | Shift4 Corporation | Method and system for enabling merchants to share tokens |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| BRPI0412724A (pt) | 2003-07-29 | 2006-09-26 | Thomson Licensing | controle do acesso a uma rede utilizando redirecionamento |
| US8738897B2 (en) * | 2007-04-25 | 2014-05-27 | Apple Inc. | Single sign-on functionality for secure communications over insecure networks |
| US8630901B2 (en) * | 2009-10-09 | 2014-01-14 | Pravala Inc. | Using a first network to control access to a second network |
| PL2681266T3 (pl) | 2011-03-02 | 2017-05-31 | Huntsman International Llc | Kompozycja obniżająca palność do termoplastycznych polimerów poliuretanowych |
| KR101243713B1 (ko) * | 2011-07-08 | 2013-03-13 | 이광민 | 무선랜 접속 장치 및 그 동작 방법 |
| US8495714B2 (en) * | 2011-07-20 | 2013-07-23 | Bridgewater Systems Corp. | Systems and methods for authenticating users accessing unsecured wifi access points |
| US9571482B2 (en) * | 2011-07-21 | 2017-02-14 | Intel Corporation | Secure on-line sign-up and provisioning for Wi-Fi hotspots using a device management protocol |
| US8844013B2 (en) * | 2011-10-04 | 2014-09-23 | Salesforce.Com, Inc. | Providing third party authentication in an on-demand service environment |
| US8667579B2 (en) * | 2011-11-29 | 2014-03-04 | Genband Us Llc | Methods, systems, and computer readable media for bridging user authentication, authorization, and access between web-based and telecom domains |
| US9479488B2 (en) * | 2012-01-26 | 2016-10-25 | Facebook, Inc. | Network access based on social-networking information |
| US8756668B2 (en) * | 2012-02-09 | 2014-06-17 | Ruckus Wireless, Inc. | Dynamic PSK for hotspots |
| US9526022B2 (en) * | 2012-08-03 | 2016-12-20 | Intel Corporation | Establishing operating system and application-based routing policies in multi-mode user equipment |
| US20140245411A1 (en) * | 2013-02-22 | 2014-08-28 | Nokia Corporation | Method and apparatus for providing account-less access via an account connector platform |
| FR3015168A1 (fr) * | 2013-12-12 | 2015-06-19 | Orange | Procede d'authentification par jeton |
| US9794266B2 (en) * | 2014-09-05 | 2017-10-17 | Qualcomm Incorporated | Using multiple credentials for access and traffic differentiation |
-
2014
- 2014-09-30 CN CN201480064804.6A patent/CN105830414B/zh active Active
- 2014-09-30 EP EP19213499.7A patent/EP3637729A1/en active Pending
- 2014-09-30 EP EP14850219.8A patent/EP3053322B1/en active Active
- 2014-09-30 WO PCT/US2014/058409 patent/WO2015050892A1/en active Application Filing
- 2014-09-30 TW TW103133967A patent/TWI668645B/zh not_active IP Right Cessation
-
2016
- 2016-04-01 US US15/089,247 patent/US10284545B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080217129A1 (en) * | 2007-03-06 | 2008-09-11 | Whelan Patrick J | Airport Seat |
| US20120006886A1 (en) * | 2009-03-24 | 2012-01-12 | Senju Metal Industry Co., Ltd. | Localized jet soldering device and partial jet soldering method |
| US20120192258A1 (en) * | 2009-07-17 | 2012-07-26 | Boldstreet Inc. | Hotspot network access system and method |
| US20120210011A1 (en) * | 2011-02-15 | 2012-08-16 | Cloud 9 Wireless, Inc. | Apparatus and methods for access solutions to wireless and wired networks |
| WO2012142370A3 (en) * | 2011-04-15 | 2012-12-06 | Shift4 Corporation | Method and system for enabling merchants to share tokens |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106453309A (zh) * | 2016-10-11 | 2017-02-22 | 北京天融信网络安全技术有限公司 | 一种安全审计的方法和pc终端 |
| CN108230083A (zh) * | 2016-12-22 | 2018-06-29 | 富士通株式会社 | 信息处理方法、非暂态计算机可读介质以及信息处理设备 |
| CN108230083B (zh) * | 2016-12-22 | 2022-02-22 | 富士通株式会社 | 信息处理方法、非暂态计算机可读介质以及信息处理设备 |
| CN111492358B (zh) * | 2017-12-22 | 2023-06-16 | 英国电讯有限公司 | 设备认证 |
| CN111492358A (zh) * | 2017-12-22 | 2020-08-04 | 英国电讯有限公司 | 设备认证 |
| GB2599044B (en) * | 2019-07-11 | 2022-12-21 | Kyndryl Inc | Personal-public service set identifiers |
| WO2021005534A1 (en) * | 2019-07-11 | 2021-01-14 | International Business Machines Corporation | Personal-public service set identifiers |
| US11616784B2 (en) | 2019-07-11 | 2023-03-28 | Kyndryl, Inc. | Personal-public service set identifiers connection implemented by a WAP |
| GB2599044A (en) * | 2019-07-11 | 2022-03-23 | Ibm | Personal-public service set identifiers |
| CN111064708B (zh) * | 2019-11-25 | 2022-05-17 | 北京秒针人工智能科技有限公司 | 授权认证方法、装置及电子设备 |
| CN111064708A (zh) * | 2019-11-25 | 2020-04-24 | 精硕科技(北京)股份有限公司 | 授权认证配置方法、授权认证方法、装置及电子设备 |
| CN113973301A (zh) * | 2020-07-23 | 2022-01-25 | 慧与发展有限责任合伙企业 | 用于专用网络接入的自主设备认证 |
| CN114513785A (zh) * | 2022-02-22 | 2022-05-17 | 新华三技术有限公司 | 一种终端认证方法及装置 |
| CN114513785B (zh) * | 2022-02-22 | 2023-10-20 | 新华三技术有限公司 | 一种终端认证方法及装置 |
| CN115996126A (zh) * | 2022-12-02 | 2023-04-21 | 北京深盾科技股份有限公司 | 信息交互方法、应用设备、辅助平台及电子设备 |
| CN115996126B (zh) * | 2022-12-02 | 2023-11-03 | 北京深盾科技股份有限公司 | 信息交互方法、应用设备、辅助平台及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2015050892A1 (en) | 2015-04-09 |
| TW201514876A (zh) | 2015-04-16 |
| EP3053322A4 (en) | 2017-04-05 |
| EP3053322A1 (en) | 2016-08-10 |
| US10284545B2 (en) | 2019-05-07 |
| US20160219038A1 (en) | 2016-07-28 |
| CN105830414B (zh) | 2019-07-12 |
| TWI668645B (zh) | 2019-08-11 |
| EP3637729A1 (en) | 2020-04-15 |
| EP3053322B1 (en) | 2019-12-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105830414B (zh) | 使用凭证的安全的网络接入 | |
| CN104956638B (zh) | 用于在热点网络中未知设备的受限证书注册 | |
| CN101032142B (zh) | 通过接入网单一登录访问服务网络的装置和方法 | |
| CN101018178B (zh) | 通信系统的互通功能 | |
| KR20070032805A (ko) | 복수의 네트워크를 액세스하기 위한 싱글-사인-온을실현하도록 사용자 인증 및 승인을 관리하는 시스템 및방법 | |
| US20060059344A1 (en) | Service authentication | |
| KR20180095873A (ko) | 무선 네트워크 접속 방법 및 장치, 및 저장 매체 | |
| JP7470671B2 (ja) | コアネットワークへの非3gpp装置アクセス | |
| JP7337912B2 (ja) | コアネットワークへの非3gppデバイスアクセス | |
| CN108886688A (zh) | 用于中立主机lte的lte层级安全性 | |
| WO2008030525A2 (en) | Systems and methods for providing network credentials | |
| KR102118556B1 (ko) | 프라이빗 블록체인 기반 개인정보 관리 서비스 제공 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20190610 Address after: Georgia, USA Applicant after: Aris Enterprise Co., Ltd. Address before: American California Applicant before: Airespider Networks Inc. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |