JP2016503622A - 無線装置での安全なオンラインサインアップ及びプロビジョニング - Google Patents

無線装置での安全なオンラインサインアップ及びプロビジョニング Download PDF

Info

Publication number
JP2016503622A
JP2016503622A JP2015543034A JP2015543034A JP2016503622A JP 2016503622 A JP2016503622 A JP 2016503622A JP 2015543034 A JP2015543034 A JP 2015543034A JP 2015543034 A JP2015543034 A JP 2015543034A JP 2016503622 A JP2016503622 A JP 2016503622A
Authority
JP
Japan
Prior art keywords
ssid
authentication information
hotspot
mobile device
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015543034A
Other languages
English (en)
Other versions
JP6022706B2 (ja
JP2016503622A5 (ja
Inventor
ジー. グプタ,ヴィヴェック
ジー. グプタ,ヴィヴェック
カンポラト,ネカティ
Original Assignee
インテル コーポレイション
インテル コーポレイション
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by インテル コーポレイション, インテル コーポレイション filed Critical インテル コーポレイション
Publication of JP2016503622A publication Critical patent/JP2016503622A/ja
Publication of JP2016503622A5 publication Critical patent/JP2016503622A5/ja
Application granted granted Critical
Publication of JP6022706B2 publication Critical patent/JP6022706B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0847Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving identity based encryption [IBE] schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/73Access point logical identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/50Service provisioning or reconfiguring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

モバイルデバイス及びWi−Fiホットスポットに対する安全なオンラインサインアップ及び認証情報のプロビジョニングの方法の複数の実施例が一般的に本明細書に記載されている。いくつかの実施例において、プロビジョニングは、サービスセット識別子(SSID)を使用してホットスポットと結合し且つ仮想LAN(VLAN)識別子を取得するために生じる。VLAN識別子は、サインアップ及びプロビジョニング処理を完了するために使用される。いくつかの実施例において、ホットスポットは、プライマリSSID及び従属SSIDを提供してもよい。モバイルデバイスは、安全なオンラインサインアップ及びプロビジョニング処理を実行するために、従属SSIDを使用してホットスポットと結合する。サインアップ及びプロビジョニング処理を使用して認証情報が取得されると、デバイスは、プライマリSSID及び既に提供されている認証情報を使用してホットスポットと接続できる。提供された認証情報は、証明書、ユーザ名/パスワード、又はSIM型の認証情報を含んでもよい。

Description

本出願は、2012年12月27日に出願された米国特許出願第13/728、606号の優先権の権利を主張し、参照することによりその全体が本明細書に組み込まれる。
複数の実施例は、無線通信に関係する。いくつかの実施例は、オンラインサインアップ(online sign−up)及びサービス接続性のための各種認証情報(credentials)の提供に関連する。いくつかの実施例は、ホットスポット2.0ネットワーク及びホットスポット2.0の進化に関連する。
Wi−Fiホットスポットへの申し込み及び接続は、簡単且つユーザフレンドリーな処理ではない。ユーザは、異なる複数の種別の複数のウェブページに直面し、異なる複数の場所で情報を入力し且つそのユーザ名/パスワードを選択する必要があるかもしれない。現在、Wi−Fi対応装置及びホットスポットに対する安全なオンラインサインアップを規定する標準化された機構は存在しない。さらに、異なる複数の認証情報(ユーザ名/パスワード、証明書、加入者情報モジュール種別認証情報(subscriber information module (SIM) type credentials)等)が提供される場合、追加的な複雑化が発生する。
いくつかの実施例に従う、無線ネットワークを示す図である。 いくつかの実施例に従う、オンラインの申し込み及び認証情報の提供のメカニズムを示す図である。 いくつかの実施例に従う、加入管理オブジェクトの認証情報部分を示す図である。 いくつかの実施例に従う、無線ネットワークを示す図である。 いくつかの実施例に従う、オンラインの申し込み及び認証情報の提供のメカニズムを示す図である。 いくつかの実施例に従う、オンラインの申し込み及び認証情報の提供のメカニズムを示す図である。 いくつかの実施例に従う、オンラインの申し込み及び認証情報の提供のメカニズムを示す図である。 いくつかの実施例に従う、オンラインの申し込み及び認証情報の提供のメカニズムを示す図である。 いくつかの実施例に従う、オンラインの申し込み及び認証情報の提供のメカニズムを示す図である。 いくつかの実施例に従う、システムブロック図を示す図である。
以下の説明及び図面は、特定の複数の実施例を十分に説明し、これにより当業者はそれらを実施することが可能となる。他の複数の実施例は、構造的、論理的、電気的、プロセス、及びその他の複数の変更を具体化し得る。いくつかの実施例の複数の部分及び複数の特徴は、他の複数の実施例のそれらに含まれるか、又は置き換えられてもよい。複数の請求項に記載の複数の実施例は、これらの請求項の全ての利用可能な均等物を包含する。
図1は、いくつかの実施例に従う、無線ネットワークを示す。当該ネットワークは、いくつかの実施例に従う、安全なオンラインサインアップ(online signup)及び認証情報の提供についての動作環境を形成する。図1において、モバイルデバイス100(ユーザ装置(User Equipment、UE)、ステーション(Station、STA)、又は無線装置とも呼ばれる)は、Wi−Fiホットスポット102と結合されるように構成され且つ安全なオンラインサインアップ及びプロビジョニングと関連付けられた各種機能を実行するように構成されるWi−Fi対応装置であってもよい。モバイルデバイス100は、オープンモバイルアライアンスのデバイスマネジメントプロトコル(Open Mobile Alliance Device Management (OMA−DM) protocol)、シンプルオブジェクトアクセスプロトコル拡張マークアップ言語(SOAP−XML)プロトコル又はいくつかの他のプロトコル等の、デバイスマネジメントプロトコルを実行するデバイスマネジメントクライアント(図示せず)を含んでもよい。
Wi−Fiホットスポット102は、Wi−Fiネットワークの一部であってもよく、且つネットワーク106と結合されてもよく、当該ネットワーク106は、ローカルネットワーク又はルータであってもよく、或いはそれを介してインターネット等、他の複数のネットワーク116にアクセス可能なゲートウェイ、又はそれらの組合せであってもよい。Wi−Fiホットスポット102は、Wi−Fiアクセスポイント(AP)として動作してもよい。
Wi−Fiホットスポット102は、オンラインサインアップ(OSU)サーバ104、認証、許可及び課金(AAA)サーバ110、ホームロケーションレジスタ(HLR)112、及び認証局(CA)114等の、各種ネットワークエレメントと結合されてもよい。いくつかの実施例において、OSUサーバ104は、OMA−DMプロトコルを実行してもよい。他の複数の実施例において、OSUサーバ104は、SOAP−XMLプロトコル又は他のいくつかのマネジメントプロトコルを実行してもよい。いくつかの実施例において、OSUサーバ104は、他の複数のサーバ又は装置(AAAサーバ110、HLR112及びCA114等)に対するプロキシとして機能してもよい。
本明細書における複数の実施例に従い、モバイルデバイス100は、Wi−Fiホットスポットに対するオンラインサインアップ及び認証情報の提供のために構成されてもよい。以下においてより完全に説明するように、これらは、OMA−DM、SOAP−XML、又は他のプロトコル等の、各種管理プロトコルを使用してもよい。これは、そのバックエンドのコアネットワークにおいて、これらの1つ以上のプロトコルを既に実行しているかもしれないセルラタイプのネットワークサービスプロバイダが、Wi−Fiネットワークにサービス提供する機能を拡張するために、同じ複数のサーバ及びインストールされた複数の構成要素を使用することを可能としてもよい。このようにして、Wi−Fiネットワークは、同じセルラネットワークバックエンドコアと共に動作して、セルラ型のネットワークからのよりシームレス且つ透過的な方法での、Wi−Fiオフローディングを可能としてもよい。セルラタイプのネットワークは、2G(例えば、GSM(登録商標)、EDGE)構成のネットワーク又は3G(例えば、3GPP、3GPP2)構成のネットワーク又は4G(例えば、WiMAX、LTE)構成のネットワークのいずれのことであってもよい。
図1において、Wi−Fiホットスポット102及びOSUサーバ104は、キャプティブポータル108の一部を形成してもよい。キャプティブポータルは、IPパケットをブロック/遮断し、且つ要求を指定された場所に再ルーティングすることができる。これは、例えば、セキュリティ目的のための「ウォールドガーデン」(walled garden)を提供してもよい。
図2は、いくつかの実施例に従う、オンラインサインアップ及び認証情報提供のメカニズムを示す。図2の実施例において、ホットスポット202は、ホットスポットとの結合のために、モバイルデバイス200等の複数のデバイスにより使用可能な単一のサービスセット識別子(SSID)を有する。また、図2において、ホットスポット202及びOSUサーバ204は、キャプティブポータルの一部(破線のボックス206により示される)であってもよい。
図2において、モバイルデバイス200は、212及び214により示されるように、認証及びホットスポット202との結合を行うために、ホットスポット202の単一のSSIDを使用する。この処理は、図示されるように、サーバ側の認証を伴う匿名拡張認証プロトコルトランスポートレイヤセキュリティ(EAP−TLS)及び4ウェイハンドシェイクプロトコルを使用する。モバイルデバイス200の認証情報は、ホームオペレータのHLRに対して検証される。初期の関連付けの一部として、仮想ローカルエリアネットワーク(VLAN)識別子が、モバイルデバイス200に渡され、オンラインサインアップ及び認証情報の提供に使用されることになる。異なる複数のVLAN構成が異なる複数のルーティングポリシーを持つ異なる複数のモバイルデバイスに対して使用され得る。
モバイルデバイス200がVLAN識別子を有した後、オンラインサインアップ及びプロビジョニング処理の残りに対して当該VLAN識別子を使用することができる。そのようなオンラインサインアップ及びプロビジョニング処理の典型的な複数のステップが216、218、229、222、及び224により示される。
処理は、典型的には、処理を開始するために、モバイルデバイス200がOSUサーバ204に接触することを可能とする、初期のやりとりで開始される。この初期のやり取り216の間、OSUは、典型的には、ユニバーサルリソース識別子(URI)を提供し、加入料金及び他のそのような情報が取得され得る。また、初期のやり取り216は、典型的には、モバイルデバイス200がOSUサーバ204から取得したURIによりブラウザを起動するためのコマンドを含む。
やり取り218は、モバイルデバイス200とOSUサーバ204がサービスプロバイダによって指定された登録データを交換する処理を示す。この情報は、加入管理オブジェクト(subscription management object)の認証情報部分の一部を形成してもよい。この情報が決定された後、認証情報がユーザ名/パスワード型(加入者識別モジュール(SIM)型の認証情報に基づく認証情報に反して)であった場合、トラストルートAAAサーバ208からの認証情報が取得され且つ加入管理オブジェクトの中に記憶され、そしていずれかのTLSセッションが解放される。これは、例えば、やり取り224により示されてもよい。
しかしながら、やり取り218の後において、証明書ベースの認証情報が望まれる場合には、認証情報登録処理が起動される。この処理は、図2においてやり取り220及びやり取り222により示される。やり取り220及び222において、認証情報が取得され、且つCA210により署名される(検証される)。これは、例えば、モバイルデバイス200がインターネットエンジニアリングタスクフォース(IETF)のRequest For Comment 5967(RFC5967)スタイルの公開鍵暗号規格#10(PKCS#10)リクエストを使用することにより達成され得る。このやり取りにより示されるように、OSUサーバ204は、CA210により検証された認証情報を有する場合、プロキシとして動作することができる。証明書がCA210により署名された後、OSUサーバ204は、RFC5967スタイルのPKCS#7レスポンスにより応答することができる。
証明書ベースの認証情報が望まれる場合、最終的なやり取りは、やり取り224に関連して前に説明されたものとは少し異なる。証明書ベースの認証情報が望まれる場合、やり取り220及びやり取り222の後、やり取り220及び222により生成された認証情報を識別する加入管理オブジェクトがOSUサーバ204から取得される。最後に、いずれかのTLSセッションが解放される。
モバイルデバイス200が加入管理オブジェクトを取得すると、226により示されるように、それはホットスポット202から切り離される。最後に、モバイルデバイス200は、228に示されるように、そのSSID及び加入管理オブジェクトにおいて識別された認証情報を使用してホットスポット202と結合される。
図3は、いくつかの実施例に従う、加入管理オブジェクトの認証情報部分の例を示す。簡単にするため、加入管理オブジェクトの残りの部分は示されていないが、当該加入管理オブジェクトは、ホットスポット2.0仕様及び進化したホットスポット2.0仕様に従う、プロバイダ毎の加入管理オブジェクト(PerProviderSubscription Management Object)であってもよい。以下の説明において、示されたツリーの中の複数のノードは、複数のノード、複数の要素、複数のフィールド、及び/又は複数のパラメータと呼ばれる。全て、同じ意味を伝えることを意図しており、そして相違は意図されていない。
認証情報部分300は、認証情報が生成されたか、又は最後に更新された日を表す作成日302を含む。有効期限304は、存在する場合、認証情報が失効する日を表す。領域(realm)330は、認証情報と関連付けられた領域を指定する。モバイルデバイスは、この領域に対する初期のネットワーク検出フェーズの間に、Access Network Query Protocol(ANQP)ネットワークアクセス識別子(NAI)領域要素において返された複数の領域を比較することにより、正常にホットスポットを認証することができるかどうかを決定する。IEEE802.11uに対応しているモバイルデバイスは、ANQPを使用して、IEEE802.11uに対応しているホットスポットに、問い合わせを行う。これは、NAI領域リストと呼ばれる要素の要求を含んでもよい。NAI領域リストは、1つ以上のNAI領域(RFC−4282に従って定められる)及びオプションのEAP方法及び当該領域と関連付けられたアクセスするための認証パラメータを含む。
認証情報部分300は、記憶される認証情報の種別に応じて、ユーザ名/パスワードパラメータ306、デジタル証明書パラメータ324又はSIMパラメータ332を含むべきである。
ユーザ名/パスワードパラメータ306は、ユーザ名308及びパスワード310を含む様々なパラメータを含む。機械管理するパラメータ(machine managed parameter)312は、パスワードがマシン管理されているかどうかを指定する。SoftTokenApp314は、パスワードを生成するために使用すべきアプリケーションを指定する。このパラメータが存在する場合、パスワードはゼロ値を有する必要がある。AbleToShare316は、認証情報が加入したマシンにおいてのみ使用可能であるか(すなわち、AbleToShareではない)、又はユーザの他の複数のマシンにより使用可能であるか(すなわち、AbleToShareである)を示す。EAP方法318は、EAP方法を示すEAP方法320及び使用される場合、トンネリングされたEAP方法を示す内部EAP方法322を含む。
デジタル証明書パラメータ324は、デジタル証明書の種別(例えば、802.1ar又はx509v3)を示すデジタル証明書種別326、及び加入のための証明書の認証情報のSHA256fingerprintを提供するcertSHA256 fingerprint 328を含む。このパラメータは、証明書の認証情報の中の発行者識別名を指定する。証明書のシリアル番号と共に、それは、証明書を一意的に識別する。
SIMパラメータ332は、IMSI(International Mobile device Subscriber Identity(IMSI))番号334及びSIMベースの認証(例えば、EAP−SIM、EAP認証及び鍵共有(EAP−AKA)等)に使用されるEAP方法を指定するEAP方法336を含む。
図4は、いくつかの実施例に従う無線ネットワークを示す。ネットワークは、いくつかの実施例に従う安全なオンラインサインアップ及び認証情報の提供のための動作環境を形成する。図4において、モバイルデバイス400(場合によっては、UE又は無線装置とも呼ばれる)は、Wi−Fiホットスポット402と結合されるように構成され、且つ安全なオンラインサインアップ及びプロビジョニングに関連する様々な機能を実行するように構成されるWi−Fi対応装置であってもよい。モバイルデバイス400は、OMA−DMプロトコル、SOAP−XMLプロトコル、又はその他のマネジメントプロトコル等の、デバイス管理プロトコルを実行するためのデバイスマネジメントクライアント(図示せず)を含んでもよい。
Wi−Fiホットスポット402は、Wi−Fiネットワークの一部であってもよく、且つネットワーク408と結合されてもよく、当該ネットワーク408は、ローカルネットワーク又はルータであってもよく、それを介してインターネット等、他の複数のネットワークにアクセス可能なゲートウェイ、又はそれらの組合せであってもよい。Wi−Fiホットスポット402は、Wi−FiのAPとして動作してもよい。
図4に示される実施例において、ホットスポット402は、プライマリSSID及び基本サービスセット識別子(Basic Service Set Identifier、BSSID)404及び従属(dependent)SSID及びBSSID406を有しており、同じ物理ネットワークを共有する。この実施例において、プライマリSSIDは、既に認証情報を有している装置により使用され、且つ従属SSIDは、サービス及び認証情報の提供についてサインアップする必要のある装置により使用される。プライマリSSID及びBSSID、及び従属SSID及びBSSIDは、定められた方法で関連してもよく、或いは一方から他方が導出されてもよい。例えば、従属SSID(又はBSSID)を決定するために、フレーズ又は他の識別子をプライマリSSID(又はBSSID)に追加してもよい。一つの特定の実施例において、従属SSIDは、フレーズ「HS−Dependent」をプライマリSSIDに追加することにより導出される。従って、「Starbucks」というSSIDは、「HS−Dependent−Starbucks」という従属SSIDをもたらすであろう。また、プライマリSSIDから従属SSIDを導出するために、他のフレーズ及び/又は識別子が使用されてもよく、或いは他の機能又は機構を使用することができる。
ホットスポット402と適切に結合し、且つ当該サインアップ及びプロビジョニング処理を開始するために、そのようなホットスポットでサインアップ及び認証情報の提供を希望する装置は、従属SSID(及び従属BSSID)を検出又は識別する必要がある。これは、様々な方法で達成することができる。最も簡単な例において、プライマリSSIDと同じように、従属SSIDがブロードキャストされる(又はプローブレスポンスの一部分として含まれる)。これが起こった場合、複数のプライマリSSIDだけを示し且つ複数の従属SSIDを示さないようにするために、表示された複数のSSIDのリストが、モバイルデバイス400等の、モバイルデバイスによりフィルタされてもよい。代替的に、従属SSIDが既知の方法又は予測可能な方法で、プライマリSSIDから導出される場合、当該デバイスは、プライマリSSIDを知ることにより(これはビーコンフレームの中でブロードキャストされるか、又はプローブリクエストに対するレスポンスの中で送信される)、当該プライマリSSIDから従属SSIDを計算又は決定することができる。代替的に、又は追加的に、従属SSIDは、Wi−Fiアライアンス(Wi−Fi Alliance、WFA)のベンダー固有の情報要素に含められてもよい。さらに他の例において、プライマリSSID及びプライマリBSSIDは、ビーコンフレームの一部として、又はプローブリクエストに応答して送信されるプライマリプロファイルの一部であってもよく、且つ従属SSID及び従属BSSIDは、送信されない従属プロファイルの一部であってもよい。従属プロファイルは、OSUプロバイダリストの一部として含まれてもよい。さらに他の例において、複数のBSSID要素がビーコンフレームの中又はプローブリクエストに対する応答の中に含まれてもよい。これらの様々な例及び実施例は、さらに他の複数の実施例を得るために、様々な方法で組み合わされてもよい。正確な実施例に応じて、プライマリSSID及び従属SSIDは、同一の無線カバレッジエリアを有してもよく、又は異なる無線カバレッジエリアを有してもよい。
Wi−Fiホットスポット402は、OSUサーバ410、AAAサーバ412、HLR414、及びCA416等の、様々なネットワーク要素と結合されてもよい。いくつかの実施例において、OSUサーバ410は、OMA−DMプロトコルを実行してもよい。他の複数の実施例において、OSUサーバ410は、SOAP−XMLプロトコル又は他の管理プロトコルを実行してもよい。いくつかの実施例において、OSUサーバ410は、他の複数のサーバ又は複数の装置(AAAサーバ412、HLR414、及びCA416等)に対するプロキシとして機能してもよい。
本明細書の複数の実施例によると、モバイルデバイス400は、Wi−Fiホットスポットに対するオンラインサインアップ及び認証情報の提供のために構成されてもよい。以下においてより十分に説明するように、これらは、OMA−DM、SOAP−XML、又はいくつかの他のプロトコル等の、様々なマネジメントプロトコルを使用してもよい。このことは、そのバックエンドコアネットワークにおいてこれらのプロトコルのうちの1つ以上を既に実装しているかもしれないセルラ型のネットワークサービスプロバイダが、Wi−Fiネットワークにサービスを提供するための機能を拡張するために、同じサーバ及びインストールされた構成要素を使用することを可能としてもよい。このように、Wi−Fiネットワークは、同じセルラネットワークバックエンドコアと共に動作してもよく、これにより、よりシームレス且つ透過的な方法で、セルラ型ネットワークからのWi−Fiオフローディングを実現する。セルラ型ネットワークとは、2G(例えば、GSM(登録商標)、EDGE)構成のネットワーク、3G(例えば、3GPP、3GPP2)構成のネットワーク、又は4G(例えば、WiMAX、LTE)構成のネットワークのいずれのことであってもよい。
図5は、いくつかの実施例に従う、オンラインサインアップ及び認証情報提供のメカニズムを示す。図5の実施例において、ホットスポット502はプライマリSSID530及び従属SSID528を有する。また、ホットスポット502は、プライマリBSSID及び従属BSSIDを有する(そのどちらも示されていない)。上述のように、これらは、何等かの形で関連するか、又は導出されてもよい。モバイルデバイスは、オンラインサインアップ及び認証情報プロビジョニングについて従属SSID528を使用し、そして当該モバイルデバイスが既に認証情報を有している場合には、ホットスポットサービスを使用するための通常の接続についてプライマリSSID530を使用する。
サインアップ及びプロビジョニング処理は、やり取り510及びやり取り512で開始され、ここで、モバイルデバイスは、認証及びホットスポット502との結合のために、従属SSIDを使用する。この処理は、サーバ側の認証を伴う匿名EAP−TLSを使用してもよい。やり取り512により示されるように、モバイルデバイス500の認証情報は、AAAサーバ506を介してホームオペレータのHLRに対して検証される。
やり取り514は、モバイルデバイス500がサインアップ及びプロビジョニングプロセスを開始するために、OSUサーバ504とコンタクトすることを可能としてもよい。この初期のやり取り514の間、OSUサーバ504は、加入料金や他のそのような情報が取得され得るURIを提供する。また、初期のやり取り514は、典型的には、モバイルデバイス500が、OSUサーバ504から取得したURIでブラウザを起動するためのコマンドを含む。
やり取り516は、モバイルデバイス500とOSUサーバ504がサービスプロバイダによって指定された登録データを交換する処理を示す。この情報は、加入管理オブジェクト(subscription management object)の一部を形成してもよい。この情報が決定された後、認証情報がユーザ名/パスワード型(SIM型の認証情報に基づく認証情報に反して)であった場合、トラストルートAAAサーバ506からの認証情報が取得され且つ加入管理オブジェクトの中に記憶され、そしていずれかのTLSセッションが解放される。これは、例えば、やり取り522により示されてもよい。
しかしながら、やり取り516の後において、証明書ベースの認証情報が望まれる場合には、認証情報登録処理が起動される。この処理は、やり取り518及びやり取り538により示される。やり取り518及び538において、認証情報が取得され、且つCA508により署名される(検証される)。これは、例えば、モバイルデバイス500がIETFのRFC5967スタイルのPKCS#10リクエストを使用することにより達成され得る。このやり取りにより示されるように、OSUサーバ504は、CA508により検証された認証情報を有する場合、プロキシとして動作することができる。証明書がCA508により署名された後、OSUサーバ504は、RFC5967スタイルのPKCS#7レスポンスにより応答することができる。
証明書ベースの認証情報が望まれる場合、最終的なやり取りは、やり取り522に関連して前に説明されたものとは少し異なる。証明書ベースの認証情報が望まれる場合、やり取り518及びやり取り538の後、やり取り518及び538により生成された認証情報を識別する加入管理オブジェクトがOSUサーバ504から取得される。最後に、いずれかのTLSセッションが解放される。
モバイルデバイス500が加入管理オブジェクトを取得すると、524により示されるように、それはホットスポット502から切り離される。最後に、モバイルデバイス500は、526に示されるように、そのSSID530及び加入管理オブジェクトにおいて識別された認証情報を使用してホットスポット502と結合される。
図6は、いくつかの実施形態に従う、オンラインサインアップ及び認証情報プロビジョニングのメカニズムを示す。この実施例において、プロビジョニングは、OMA−DMプロトコルに従って構成されたOMA−DM管理メッセージを使用したユーザ名/パスワード型の認証情報に対するものである。これらのメッセージは、OMA−DMパッケージ1メッセージ、OMA−DMパッケージ2メッセージ、OMA−DMパッケージ3メッセージ、及びOMA−DMパッケージ4メッセージと呼ばれる。OMA−DMプロトコルは、OMA−DM仕様書において、OMA−DM Working Group及びData Synchronization (DS) Working Groupにより、規定されているかもしれない。
オンラインサインアップ及びプロビジョニングは、従属SSID638を使用して、モバイルデバイス600がホットスポット602と結合すること(図示ぜず)により開始される。ホットスポット602と結合した後、モバイルデバイス600は、やり取り606において、OSUサーバ604に対するTLS接続を開始し、そして安全なハイパーテキスト転送プロトコル(HTTPS)を使用してサーバ側認証を実行する。
やり取り608において、モバイルデバイス600は、DevInfo及びDevDetail管理オブジェクト及びOSUサーバ604に接触する理由を示す一般的な警告(Generic Alert)を含むDMパッケージ1をOSUサーバ604に送信する。一般的な警告の中の理由要素は、モバイルデバイス600のユーザがサービスプロバイダに対して新しい加入を設定したいことを示す、「SubscriptionCreation」に設定される。DevDetail管理オブジェクトは、一般的なモバイルデバイス情報を含み、そしてDevInfo管理オブジェクトは、OMA−DM又はSOAP−XMLサーバに対する情報を含む。これらの管理オブジェクトの説明は、OMAモバイルデバイス管理ツリー説明書(OMA Mobile Device Management Tree Description)、バージョン1.2において見出すことができる。
やり取り610において、OSUサーバ604は、提供する認証情報の種別(例えば、ユーザ名/パスワード又は証明書)を決定するために、DevInfo及びDevDetail管理オブジェクトの中で提供される情報を使用してもよい。この例において、OSUサーバ604は、ユーザ名/パスワード型の認証情報を提供する。OSUサーバ604は、含まれているURIに向けてモバイルデバイス600でブラウザを起動するために、Execute:LaunchBrowsertoURIコマンドと共に、DMパッケージ2をクライアントに返す。
Execute:LaunchBrowsertoURIコマンドを受信すると、モバイルデバイスは、ブラウザを起動し、やり取り610の中で返されたURIに対する安全なHTTPS接続を設定し、そしてやり取り610の中で返されたOSUサーバURIに対してHTTP GETレスポンスを送信する。これは、図6において、やり取り612により示される。本開示の目的に対して、ブラウザという用語は、モバイルデバイスのユーザインターフェースでウェブページを描画することの可能なブラウザ機能のことを参照するために使用される。これは、スタンドアロンアプリケーションを意味するものではない。例えば、実装は、接続マネージャの中のブラウザ機能を含み得る。
やり取り614において、モバイルデバイス600及びOSUサーバ604は、サービスプロバイダにより指定される通りに、登録データをやり取りする。特定の状況において、ユーザは、現在使用されているものとは異なるモバイルデバイスを使用して提供された加入を有するかもしれず、又は元のモバイルデバイスのオペレーティングシステムが元の状態に戻されている(re−imaged)かもしれず、又はユーザは、以前にサービスプロバイダのアカウントを設定している(例えば、そのウェブサイトを介して)。このような状況において、加入が確立されているが、モバイルデバイスは、ユーザ名/パスワードの認証情報を所有していない。このステップのメッセージフローは、このシナリオを考慮してもよく、そして以前に確立された加入と結び付けられた認証情報の提供されたモバイルデバイスを、ユーザが持つことを可能としてもよい。
やり取り616に示されるように、加入プロビジョニング処理の終わりにおいて、OSUサーバ604は、sppUserInputResponse XMLインスタンス文書を返す。エラーが発生しない場合、sppUserInputResponseは、sppStatus及びPerProviderSubscription管理オブジェクトのURIのコンテナである。sppUserInputResponse XMLインスタンス文書は、そのHTTPコンテンツタイプが「application/vnd.wfa.cm+xml」に設定されて、返される。
加入の作成の状態が成功であった場合、モバイルデバイス600は、前のコマンドの実行の状態を含むDMパッケージ3をOSUサーバ604に送信する。新しい加入の設定に誤りがあった場合、モバイルデバイスは、OMA DMトランザクションの終了を示すDMパッケージ4を受信する(図示せず)ことになる。
やり取り620に示されるように、OSUサーバ604は、PerProviderSubscription管理オブジェクト及びコマンドADDを含み、モバイルデバイス600のOMA−DM管理ツリーに追加されるPerProviderSubscription管理オブジェクトの場所を指定するDMパッケージ4をモバイルデバイス600に送信する。やり取り622において、モバイルデバイス600は、以前の動作の状態を示すDMパッケージ3を送信する。これに応答して、624に示されるように、OSUサーバ604は、OMA DMトランザクションの終了を示すDMパッケージ4を送信する。
OMA−DMトランザクションの終了後、626に示されるように、モバイルデバイス600は、AAAサーバのトラストルートをPerProviderSubscription管理オブジェクトの中で指定されるURLから取得する。モバイルデバイスは、URLの中で識別されるホストからAAAサーバ証明書を取得するために(やり取り628)、URLに対するHTTPS GETリクエストをOSUサーバ604に送信する。当該OSUサーバ604は、必要な場合、HTTPプロキシサービスを提供してもよい。
やり取り630において、モバイルデバイス600は、606において設定されたTLSセッションを解放する。次に、モバイルデバイス600は、632に示されるように、Wi−Fiアクセスネットワークから分離される。
やり取り618において、加入が正常に設定された場合、634に示されるように、モバイルデバイス600は、プライマリSSID640を使用して、新しい認証情報と関連付けられてもよい。
図7は、いくつかの実施形態に従う、オンラインサインアップ及び認証情報プロビジョニングのメカニズムを示す。この実施例において、プロビジョニングは、OMA−DMプロトコルに従って構成されたOMA−DM管理メッセージを使用した証明書型の認証情報に対するものである。これらのメッセージは、OMA−DMパッケージ1メッセージ、OMA−DMパッケージ2メッセージ、OMA−DMパッケージ3メッセージ、及びOMA−DMパッケージ4メッセージと呼ばれる。
オンラインサインアップ及びプロビジョニングは、従属SSID742を使用して、モバイルデバイス700がホットスポット702と結合すること(図示ぜず)により開始される。ホットスポット702と結合した後、モバイルデバイス700は、やり取り708において、OSUサーバ704に対するTLS接続を開始し、そして安全なHTTPSを使用してサーバ側認証を実行する。
やり取り720において、モバイルデバイス700は、DevInfo及びDevDetail管理オブジェクト及びOSUサーバ704に接触する理由を示す一般的な警告(Generic Alert)を含むDMパッケージ1をOSUサーバ704に送信する。一般的な警告の中の理由要素は、モバイルデバイス700のユーザがサービスプロバイダに対して新しい加入を設定したいことを示す、「SubscriptionCreation」に設定される。DevDetail管理オブジェクトは、一般的なモバイルデバイス情報を含み、そしてDevInfo管理オブジェクトは、OMA−DM又はSOAP−XMLサーバに対する情報を含む。これらの管理オブジェクトの説明は、OMAモバイルデバイス管理ツリー説明書(OMA Mobile Device Management Tree Description)、バージョン1.2において見出すことができる。
やり取り712において、OSUサーバ704は、提供する認証情報の種別(例えば、ユーザ名/パスワード又は証明書)を決定するために、DevInfo及びDevDetail管理オブジェクトの中で提供される情報を使用してもよい。この例において、OSUサーバ704は、証明書型の認証情報を提供する。OSUサーバ704は、含まれているURIに向けてモバイルデバイス700でブラウザを起動するために、Execute:LaunchBrowsertoURIコマンドと共に、DMパッケージ2をクライアントに返す。
Execute:LaunchBrowsertoURIコマンドを受信すると、モバイルデバイス700は、ブラウザを起動し、やり取り712の中で返されたURIに対する安全なHTTPS接続を設定し、そしてやり取り712の中で返されたOSUサーバURIに対してHTTP GETレスポンスを送信する。これは、図7において、やり取り714により示される。
やり取り716において、モバイルデバイス700及びOSUサーバ704は、サービスプロバイダにより指定される通りに、登録データをやり取りする。特定の状況において、ユーザは、現在使用されているものとは異なるモバイルデバイスを使用して提供された加入を有するかもしれず、元のモバイルデバイスのオペレーティングシステムが元の状態に戻されている(re−imaged)かもしれず、又はユーザは、以前にサービスプロバイダのアカウントを設定している(例えば、そのウェブサイトを介して)。このような状況において、加入が確立されているが、モバイルデバイスは、認証情報を所有していない。このステップのメッセージフローは、このシナリオを考慮してもよく、そして以前に確立された加入と結び付けられた認証情報の提供されたモバイルデバイスを、ユーザが持つことを可能としてもよい。
やり取り718において、OSUサーバ704は、加入作成処理の状態を返す。加入作成処理の状態が正常であった場合、やり取り720により示されるように、モバイルデバイス700は、実行されたコマンドの状態を正常としたDMパッケージ3を送信する。やり取り718において、サーバがエラーを示した場合、モバイルデバイス700は、やり取り720において、サーバにエラーを返す。
やり取り722において、OSUサーバ704は、Execute:CertificateEnrollToURIコマンドと共に、DMパッケージ4をモバイルデバイス700に送信する。このDMパッケージは、データフィールドの中のgetCertificate XMLインスタンス文書を含む。モバイルデバイス700は、724及び726の証明書の登録を実行する。AAAサーバのトラストルートは、証明書の登録処理中に、モバイルデバイス700に提供される。
やり取り728において示されるように、証明書の登録の実行が正常に行われた場合、モバイルデバイス700は、DMパッケージ3をOSUサーバ704に送信する。証明書の登録の実行においてエラーがあった場合、モバイルデバイスは、やり取り736に移動する。
やり取り730において、OSUサーバ704は、PerProviderSubscription管理オブジェクト及びコマンドADDを含み、モバイルデバイスのOMA−DM管理ツリーに追加されるPerProviderSubscription管理オブジェクトの場所を指定するDMパッケージ4をモバイルデバイス700に送信する。やり取り732において、モバイルデバイス700は、実行されたコマンドの状態と共にDMパッケージ3を送信する。やり取り734において、OSUサーバ704は、OMA DMトランザクションの終了を示すDMパッケージ4を送信し、そして、736に示されるように、モバイルデバイス700は、やりとり708において設定されたTLSセッションを解放する。
738に示されるように、モバイルデバイス700は、ネットワークから分離される。やり取り740において、モバイルデバイス700は、次に、プライマリSSID744を使用してやり取り724及び726において取得された認証情報を使用して、ホットスポット702と結合することができる。
図8は、いくつかの実施形態に従う、オンラインサインアップ及び認証情報プロビジョニングのメカニズムを示す。この実施例において、プロビジョニングは、SOAP−XML管理メッセージを使用したユーザ名/パスワード型の認証情報に対するものである。
オンラインサインアップ及びプロビジョニングは、従属SSID828を使用して、モバイルデバイス800がホットスポット802と結合すること(図示ぜず)により開始される。ホットスポット802と結合した後、モバイルデバイス800は、やり取り806において、OSUサーバ804に対するTLS接続を開始し、そして安全なHTTPSを使用してサーバ側認証を実行する。
やり取り808において、モバイルデバイス800は、DevInfo及びDevDetail管理オブジェクトを含むsppPostDevDataをサーバに送信する。requestReasonの値は、モバイル装置800が認証情報に対して登録されることを希望することを示す「加入登録(Subscription registration)」に設定される。OSUサーバ804は、供給する認証情報の種別(例えば、ユーザ名/パスワード又は証明書)を決定するために、DevInfo及びDevDetail管理オブジェクトの中で提供された情報を使用してもよい。
やり取り810において、OSUサーバ804はsppPostDev Data Response SOAP方法をモバイルデバイス800に送信する。応答方法の内容は、モバイルデバイス800にオンラインサインアップ処理の次のステップを通知する。モバイルデバイス800が加入の登録のために信号を送っているので、OSUサーバ804は、モバイルデバイスがメッセージの中で供給されたURIに対してブラウザを起動するためのコマンドを返す。エラーが発生しなかった場合、sppStatusは「OK」に設定される。また、sppStatus値「OK」は、認証情報プロビジョニング処理が完了していないことも示す。
やり取り812において、モバイルデバイス800は、sppPostDevDataResponseの中で提供されたURIに、HTTPS GETレスポンスを送信する。
やり取り814において、モバイルデバイス800及びOSUサーバ804は、サービスプロバイダにより要求される通りに、登録データをやり取りする。特定の状況において、ユーザは、現在使用されているものとは異なるモバイルデバイスを使用して提供された加入を有するかもしれず、又は元のモバイルデバイスのオペレーティングシステムが元の状態に戻されている(re−imaged)かもしれず、又はユーザは、以前にサービスプロバイダのアカウントを設定している(例えば、そのウェブサイトを介して)。このような状況において、加入が確立されているが、モバイルデバイスは、ユーザ名/パスワードの認証情報を所有していない。このステップのメッセージフローは、このシナリオを考慮してもよく、そして以前に確立された加入と結び付けられた認証情報の提供されたモバイルデバイスを、ユーザが持つことを可能としてもよい。
やり取り816に示されるように、登録データのやり取りの終わりにおいて、モバイルデバイス800は、sppUserInputResponse XMLインスタンス文書をOSUサーバから取得してもよい。このXMLインスタンス文書は、816で示されるような別々のやり取りではなく、登録データの入力の終了時にモバイルデバイス800に配信されるウェブページに含まれる隠された文書であってもよい。エラーが発生しない場合、sppUserInputResponseは、sppStatus、addMOコマンド、及びPerProviderSubscription管理オブジェクトに対するコンテナである。sppUserInputResponse XMLインスタンス文書は、そのHTTPコンテンツタイプが「application/vnd.wfa.cm+xml」に設定されて、返されてもよい。モバイルデバイス800のウェブブラウザは、このXMLインスタンス文書を、処理のために、ローカルに登録されたヘルパーアプリケーション(例えば接続マネージャ)に渡してもよい。PerProviderSubscription管理オブジェクトは、ユーザ名及びパスワード及び補助的なプロビジョニングデータを含む。「プロビジョニング完了(Provisioning complete)」に設定されたsppStatusの受信は、ユーザ名及びパスワードのプロビジョニングが完了したことをモバイルデバイス800に示す。
やり取り818において、モバイルデバイス800は、AAAサーバのトラストルートをPerProviderSubscription管理オブジェクトの中で指定されるURLから取得するために、HTTPSを使用する。モバイルデバイスは、URLの中で識別されるホストからAAAサーバ証明書を取得するために、URLに対するHTTPS GETリクエストをOSUサーバに送信する。当該OSUサーバは、必要な場合、HTTPプロキシサービスを提供してもよい。やり取り818は、やり取り820(HTTPSレスポンス)により、確認される。
822において、モバイルデバイス800は、やり取り806において設定したTLSセッションを解放する。824により示されるように、モバイルデバイス800は、ホットスポット802から切り離されてもよく、そして次に、826により示されるように、新しく設定された認証情報及びプライマリSSID830を使用してホットスポット802と結合されてもよい。
図9は、いくつかの実施形態に従う、オンラインサインアップ及び認証情報プロビジョニングのメカニズムを示す。この実施例において、プロビジョニングは、SOAP−XML管理メッセージを使用した証明書型の認証情報に対するものである。
オンラインサインアップ及びプロビジョニングは、従属SSID934を使用して、モバイルデバイス900がホットスポット902と結合すること(図示ぜず)により開始される。ホットスポット902と結合した後、モバイルデバイス900は、やり取り908において、OSUサーバ904に対するTLS接続を開始し、そして安全なHTTPSを使用してサーバ側認証を実行する。
やり取り901において、モバイルデバイス900は、DevInfo及びDevDetail管理オブジェクトを含むsppPostDevDataをサーバに送信する。requestReasonの値は、「加入登録(Subscription registration)」に設定され、モバイル装置900が認証情報に対して登録されることを希望することを示す。OSUサーバ904は、供給する認証情報の種別(例えば、ユーザ名/パスワード又は証明書)を決定するために、DevInfo及びDevDetail管理オブジェクトの中で提供された情報を使用してもよい。
やり取り912において、OSUサーバ904はsppPostDev Data Response SOAP方法をモバイルデバイス900に送信する。応答方法の内容は、モバイルデバイス900にオンラインサインアップ処理の次のステップを通知する。モバイルデバイス900は、加入の登録のために信号を送っているため、OSUサーバ904は、モバイルデバイスがメッセージの中で供給されたURIに対してブラウザを起動するためのコマンドを返す。エラーが発生しなかった場合、sppStatusは「OK」に設定される。また、sppStatus値「OK」は、認証情報プロビジョニング処理が完了していないことも示す。
やり取り914において、モバイルデバイス900は、sppPostDevDataResponseの中で提供されたURIに、HTTPS GETレスポンスを送信する。
やり取り916において、モバイルデバイス900及びOSUサーバ904は、サービスプロバイダにより要求される通りに、登録データをやり取りする。特定の状況において、ユーザは、現在使用されているものとは異なるモバイルデバイスを使用して提供された加入を有するかもしれず、又は元のモバイルデバイスのオペレーティングシステムが元の状態に戻されている(re−imaged)かもしれず、又はユーザは、以前にサービスプロバイダのアカウントを設定している(例えば、そのウェブサイトを介して)。このような状況において、加入が確立されているが、モバイルデバイスは、ユーザ名/パスワードの認証情報を所有していない。このステップのメッセージフローは、このシナリオを考慮してもよく、そして以前に確立された加入と結び付けられた認証情報の提供されたモバイルデバイスを、ユーザが持つことを可能としてもよい。
やり取り918に示されるように、登録データのやり取りの終わりにおいて、モバイルデバイス900は、sppUserInputResponse XMLインスタンス文書をOSUサーバ904から取得してもよい。このXMLインスタンス文書は、やり取り918の部分として返されるのではなく、登録データの入力の終了時にモバイルデバイスに配信されるウェブページに含まれる隠された文書であってもよい。
エラーが発生しない場合、sppUserInputResponseは、sppStatus及びgetCertificate execコマンドに対するコンテナである。sppUserInputResponse XMLインスタンス文書は、そのHTTPコンテンツタイプが「application/vnd.wfa.cm+xml」に設定されて、返されてもよい。ウェブブラウザは、このXMLインスタンス文書を、処理のために、ローカルに登録されたヘルパーアプリケーション(例えば接続マネージャ)に渡してもよい。XMLインスタンス文書は、証明書登録サーバのURI及び登録に必要な他のメタデータを含む。
やり取り920及び922において、モバイルデバイス900は、証明書の登録を実行する。証明書の登録処理は、典型的な条件の下では、短時間であるべきである。典型的な条件とは、Wi−Fiホットスポット及びサービスプロバイダのコアネットワークが混雑しておらず、かつOSUサーバ904及びCA906が過負荷ではない場合を意味すると定義される。正常な処理の終了時において、モバイルデバイス900には、サービスプロバイダがモバイルデバイス900を認証するために使用することができる証明書が提供されている。失敗した場合、モバイルデバイス900には、証明書の登録が通知されてもよい。証明書応答に予想より長く時間がかかる場合、モバイルデバイス900は、時間切れにより打ち切り、かつ証明書の登録が失敗したことを宣言してもよい。モバイルデバイス900がOSUサーバ904から「保留中(Pending)」応答を受信した場合、モバイルデバイス900は、所定のリトライ回数まで、証明書の要求のリトライを継続してもよい。OSUサーバ904がこれらのリトライに応答しない場合、モバイルデバイス900は、時間切れにより打ち切ってもよい。
なお、AAAサーバのトラストルートは、証明書の登録処理中に、モバイルデバイス900に提供される。サーバ証明書を使用するEAP方法に対して、AAAサーバ証明書の検証が必要とされる。
やり取り924において、モバイルデバイス900は、OMA−DM DevInfo及びDevDetail管理オブジェクトを含むsppPostDevData SOAP methodをOSUサーバ904に送信する。モバイルデバイス900は、証明書の登録が成功した場合に、requestReasonの値を「証明書の登録完了(Certificate enrollment completed)」に設定してもよく、或いは証明書の登録が失敗した場合に、requestReasonの値を「証明書の登録失敗(Certificate enrollment failed)」に設定してもよい。
やり取り926において、証明書の登録が成功した場合、OSUサーバ904は、addMOコマンド及びPerProviderSubscription管理オブジェクトを含む、sppPostDevDataResponse SOAP methodをモバイルデバイス900に送信する。PerProviderSubscription管理オブジェクトは、提供された証明書を加入及び補助的な提供データと結び付ける証明書識別子を含む。sppPostDevDataResponse SOAP methodにおいて、加入及び証明書の提供処理が完了したことを示すために、sppStatusは、「プロビジョニング完了(Provisioning complete)」に設定される。
証明書の登録が失敗した場合、OSUサーバ904は、以下のうちの一つで応答してもよい。OSUサーバ904は、マシン管理のユーザ名/パスワード認証情報のプロビジョニングに切り替えてもよい。この場合、このやり取りの中で返されるsppPostDevDataRespond SOAP methodは、addMOコマンド及び提供されたマシン管理のユーザ名/パスワード認証情報を含むPerProviderSubscription管理オブジェクトを含んでもよい。sppStatusは、「プロビジョニング完了(provisioning complete)」に設定されてもよい。
代替的に、OSUサーバ904は、ユーザ選択のユーザ名/パスワード認証情報のプロビジョニングに切り替えてもよい。この場合、このステップにおいて返されるsppPostDevDataResponse SOAP methodは、提供されたURIに対してブラウザを起動するためのexecコマンドを含んでもよい。sppStatusは「OK」に設定される。メッセージフローは、図8のやり取り814に記載されるように継続してもよい。
さらに他の例において、OSUサーバ904は、認証情報提供処理を中止してもよい。この場合、このステップの中で返されるsppPostDevDataResponse SOAP methodは、「エラー発生(Error occurred)」に設定されたsppStatusを含む可能性があり、かつ「現時点で認証情報を提供することはできない(Credentials cannot be provided at this time)」に設定されたerrorCodeを含むsppError要素が返されてもよい。
やり取り928において、やり取り908において設定されたTLSセッションが解放される。932により示されるように、モバイルデバイス900は、ホットスポット902から切り離されてもよく(やり取り930に示される)、そして、932に示されるように、新しく設定された認証情報及びプライマリSSID936を使用してホットスポット902と結合されてもよい。
図10は、いくつかの実施例に従う、システムブロック図を示す。図10は、モバイルデバイス1000のブロック図を示す。デバイス1000は、プロセッサ1004、メモリ1006、送受信部1008(少なくとも1つのアンテナ1010を含む)、命令1012、命令1014、及び場合によっては他の複数の構成要素(図示せず)を含んでもよい。ブロック図の観点からは類似しているが、異なる複数の装置の動作の構成及び詳細は、的確な装置及び役割に応じて、同様であってもよく、或いは実質的に異なっていてもよい、ということが当業者には明らかであろう。
プロセッサ1004は、1つ以上の中央処理装置(CPU)、グラフィックス処理ユニット(GPU)、加速処理ユニット(APU)、又はこれらの各種組合せを含む。プロセッサ1004は、デバイス1000に対する処理及び制御機能を提供する。
メモリ1006は、装置1000に対する複数の命令及びデータを記憶するように構成される1つ以上のメモリユニットを含む。送受信部1008は、適切なステーション又はレスポンダ(responder)について、MIMO通信に対応するためのマルチ入力マルチ出力(MIMO)アンテナを含む1つ以上の送受信機により構成される。送受信部1008は、特に、1つ以上のネットワークにおいて、他の複数の装置からの、及び他の複数の装置への、送信信号を受信し、かつ送信信号を送信する。
命令1012、1014は、コンピュータ装置(又はマシン)で実行される1つ以上の命令のセット又はソフトウェアであって、そのようなコンピュータ装置(又はマシン)に本明細書で検討されるいずれかの方法を実行させる、1つ以上の命令のセット又はソフトウェア、を含む。命令1012、1014(コンピュータ又はマシンで実行可能な命令とも呼ばれる)は、デバイス1000によりそれらが実行されている間、完全に又は少なくとも部分的に、プロセッサ1004及び/又はメモリ1006の中に存在する。命令1012及び1014は分離されて示されているが、これらは同じ全体の一部であり得る。また、プロセッサ1004及びメモリ1006は、機械可読媒体を含む。
図10において、処理及び制御機能は、関連する命令1012、1014と共に、プロセッサ1004により与えられるものとして示されている。しかしながら、これらは、特定の処理を実行するために一時的にソフトウェア又はファームウェアにより構成されるプログラマブルロジック又は回路(例えば、汎用プロセッサ又は他のプログラマブルプロセッサに包含されるような)を含む処理回路の単なる例に過ぎない。様々な実施例において、処理回路は、専用の回路又は特定の処理を実行するために恒久的に構成された(例えば、専用プロセッサ、特定用途向け集積回路(ASIC)、又はアレイ内の)ロジックを含んでもよい。処理回路を専用且つ恒久的に構成された回路の中で機械的に実施する、又は一時的に構成された回路(例えば、ソフトウェアにより構成される)の中で機械的に実施するという決定は、例えば、コスト、時間、エネルギー使用量、パッケージサイズ、又は他の考慮事項により行われてもよい、ということが理解されるであろう。
従って、用語「処理回路」は、特定の方法で動作するために、又は明細書に記載された特定の処理を実行するために、物理的に構成されている、恒久的に構成されている(例えば、ハードウェア)、又は一時的に構成されている(例えば、プログラムされた)エンティティである、有体物を包含すると理解されるべきである。
本要約は、読者が技術的開示の性質及び要旨を確認することを可能にする要約を要求する37C.F.R.セクション1.72(b)に準拠するように設けられている。これは、複数の特許請求項の範囲又は意味を限定又は解釈するためには使用しないという理解と共に提出されている。以下の複数の特許請求項は、この結果、詳細な説明に組み込まれ、各特許請求項は、別々の実施例としてそれ自身で自立している。
「コンピュータ可読媒体」、「機械可読媒体」等の用語は、1つ以上の命令のセットを記憶する単一の媒体又は複数の媒体(例えば、集中型又は分散型のデータベース、及び/又は関連する複数のキャッシュ及び複数のサーバ等)を含むと解釈されるべきである。また、この用語は、機械による実行のため、及び本開示の1つ以上の方法のいずれかを機械に実行させる、複数の命令のセットを記憶、符号化、又は保持することのできる任意の媒体を含むと解釈されなければならない。「コンピュータ可読媒体」、「機械可読媒体」という用語は、従って、「コンピュータ可読媒体」、「機械可読媒体」等(固体メモリ、光及び磁気媒体、又は他の有形の装置及び単体を含むが、信号それ自体、搬送波及び他の無形の情報源を除く有形の情報源)、及び「コンピュータ通信媒体」、「機械通信媒体」等(信号それ自体、搬送波信号等を含む無形の情報源)の双方を含むと解釈されなければならない。
明確化を目的として、上記の説明は、異なる複数の機能ユニット又は複数のプロセッサを参照していくつかの実施例を説明している、ということが理解されるであろう。しかしながら、本明細書の複数の実施例を損ねることなく、複数の機能ユニット、複数のプロセッサ、又は複数のドメインの間の機能の適切な任意の分散を使用することができる、ということが明らかであろう。例えば、別々の複数のプロセッサ又はコントローラにより実行されると示される機能は、同じプロセッサ又はコントローラにより実行されてもよい。従って、特定の複数の機能ユニットに対する言及は、厳密な論理的又は物理的構造又は構成を示すというよりも、単に説明された機能を提供するための適切な手段に対する言及であると見なされるべきである。
本開示は、いくつかの実施例に関連して説明されてきたが、本明細書に記載される特定の形態に限定することを意図するものではない。説明された複数の実施例の様々な特徴を組み合わせてもよいということを、当業者は認識するであろう。また、当業者は、本開示の範囲から逸脱することなく、様々な変形及び変更を行うことができる、ということが理解されるであろう。

Claims (20)

  1. Wi−Fiホットスポット2.0ネットワークについての安全なオンラインサインアップ及び認証情報のプロビジョニングのために構成されるステーション(STA)であって、前記STAは:
    プライマリサービスセット識別子(SSID)及び従属SSIDを提供するWi−Fiホットスポットを識別し;
    前記従属SSIDを使用して前記Wi−Fiホットスポットと結合し;
    前記Wi−Fiホットスポットを介して、オンラインサインアップ(OSU)サーバとトランスポートレイヤセキュリティ(TLS)セッションを設定し;
    Wi−Fiの加入に対するサインアップのため及び認証情報の提供のために前記OSUサーバとプロビジョニングメッセージを交換し;
    認証情報部分を含む加入管理オブジェクトを取得し;
    前記Wi−Fiホットスポットから分離し;且つ
    前記プライマリSSID及び前記加入管理オブジェクトの前記認証情報部分の中の情報を使用して前記Wi−Fiホットスポットと結合するように構成される、
    STA。
  2. 前記プロビジョニングメッセージは、オープン・モバイル・アライアンス・デバイス・マネジメント(OMA−DM)メッセージを含む、
    請求項1に記載のSTA。
  3. 前記プロビジョニングメッセージは、シンプル・オブジェクト・アクセス・プロトコル拡張マークアップ言語(SOAP−XML)メッセージを含む、
    請求項1に記載のSTA。
  4. 前記STAは、証明書ベースの認証情報のプロビジョニングのための証明書登録プロトコルを起動するように構成され;且つ
    前記証明書ベースの認証情報のプロビジョニングの後、前記加入管理オブジェクトの前記認証情報部分は、証明書を識別する情報を含む、
    請求項1に記載のSTA。
  5. 前記Wi−Fiホットスポットが、プライマリ基本サービスセット識別子(BSSID)及び従属BSSIDを提供する場合であり;且つ
    前記STAは、認証情報の提供のために前記従属BSSIDを使用するように構成される、
    請求項1に記載のSTA。
  6. 前記従属SSIDは、前記プライマリSSIDから導出される、
    請求項1に記載のSTA。
  7. 前記従属SSIDはベンダー固有の情報要素に含まれる、
    請求項1に記載のSTA。
  8. 前記プライマリSSID及びプライマリBSSIDは送信されるプロファイルの一部であり;且つ
    前記従属SSID及び従属BSSIDは送信されないプロファイルの一部である、
    請求項5に記載のSTA。
  9. Wi−Fiホットスポット2.0ネットワークについての安全なオンラインサインアップ及び認証情報のプロビジョニングのために構成されるステーション(STA)であって、前記STAは:
    プライマリSSID及びプライマリBSSIDを含むプライマリプロファイル及び従属SSID及び従属BSSIDを含む従属プロファイルを有するWi−Fiホットスポットを識別し;
    前記従属プロファイルの中の前記従属SSIDを使用して前記Wi−Fiホットスポットと結合し、且つオンラインサインアップ(OSU)サーバに対する安全な接続を設定し;
    Wi−Fiの加入に対するサインアップのため及び認証情報部分を有する加入管理オブジェクトを作成するのに必要な情報を識別するために前記OSUサーバとマネジメントメッセージを交換し;
    前記加入管理オブジェクトを取得し;
    前記Wi−Fiホットスポットから分離し;且つ
    前記プライマリプロファイルの中の前記プライマリSSID及び前記加入管理オブジェクトの前記認証情報部分の中の情報を使用して前記Wi−Fiホットスポットと結合するように構成される、
    STA。
  10. 前記従属プロファイルは、OSUプロバイダリストの中にフィールドとして含まれる、送信されないプロファイルであり;且つ
    前記STAは、前記OSUプロバイダリストを取得するように構成される、
    請求項9に記載のSTA。
  11. 前記従属プロファイルは、Wi−Fiアライアンス(WFA)のベンダー固有の情報要素の一部であり;且つ
    前記STAは、前記従属SSIDを取得するために、前記ベンダー固有の情報要素を復号化するように構成される、
    請求項9に記載のSTA。
  12. 前記STAは、前記プライマリSSIDをユーザに表示し、且つ前記プライマリSSIDが表示される場合、前記従属SSIDを隠すように構成される、
    請求項9に記載のSTA。
  13. Wi−Fiホットスポット2.0ネットワークについての安全なオンラインサインアップ及びプロビジョニングの方法であって、
    モバイルデバイスにより、プライマリサービスセット識別子(SSID)及び従属SSIDを実装するWi−Fiホットスポットを識別ステップ;
    前記モバイルデバイスにより、前記従属SSIDを使用して前記Wi−Fiホットスポットと結合し、且つ前記Wi−Fiホットスポットを介して、オンラインサインアップ(OSU)サーバに対する接続を設定するステップ;
    前記OSUサーバから、ポータルと関連付けられたユニフォームリソース識別子(URI)及び前記モバイルデバイスにより実行するためのLaunch−Browser−to−URIコマンドを含むメッセージを受信するステップ;
    前記メッセージを受信した際に前記モバイルデバイスにより、前記URIに対する安全なハイパーテキスト転送プロトコル(HTTPS)接続を設定し、且つ前記HTTPS接続によりHTTP GETリクエストを前記URIに送信するステップ;
    認証情報部分を含む加入管理オブジェクトの生成のために、前記ポータルとの前記HTTPS接続により情報を交換するステップ;
    前記モバイルデバイスにより、前記認証情報部分を含む前記加入管理オブジェクトを受信するステップ;
    前記Wi−Fiホットスポットから分離するステップ;及び
    前記モバイルデバイスにより、前記プライマリSSID及び前記加入管理オブジェクトの前記認証情報部分の中の情報を使用して前記Wi−Fiホットスポットと結合するステップ、
    を備える、方法。
  14. 前記OSUサーバから、証明書登録サーバのURIを含む拡張マークアップ言語(XML)インスタンス文書を受信するステップ;
    前記URIを使用して前記証明書登録サーバに対する接続を設定し、且つ証明書型の認証情報の提供のために前記証明書登録サーバと情報を交換するステップ;
    をさらに備える、請求項13に記載の方法。
  15. 前記OSUサーバから、認証、許可及び課金(AAA)サーバのトラストルートを取得するためのURIを含む拡張マークアップ言語(XML)インスタンス文書を受信するステップ;
    前記モバイルデバイスにより、前記URIにおいて前記AAAサーバのトラストルートを取得するステップ;
    をさらに備える、請求項13に記載の方法。
  16. 前記従属SSIDは前記プライマリSSIDから導出される、
    請求項13に記載の方法。
  17. アンテナを含む送受信回路であって、メッセージを送受信する、送受信回路;
    メモリ;
    前記メモリ及び前記送受信回路と結合されるプロセッサ;及び
    前記メモリに記憶される命令;を備える無線ステーションであって、前記命令は、実行された場合、前記プロセッサに:
    前記送受信回路を使用して、プライマリサービスセット識別子(SSID)及び従属SSIDを有するWi−Fiホットスポットを検出させ;
    前記送受信回路を使用して、前記Wi−Fiホットスポットと前記従属SSIDを使用して結合させ;
    前記送受信回路を使用して、オンラインサインアップ(OSU)サーバに対する安全な接続であって、モバイルプロビジョニングプロトコルを開始するために、前記OSUサーバを前記システムに対して認証する、接続、を開始させ;
    前記送受信回路を使用して、加入サインアッププロトコルの一部として前記OSUサーバとメッセージを交換させ;
    前記送受信回路を使用して、前記モバイルプロビジョニングプロトコルを終了するため及び認証情報部分を有する加入管理オブジェクトを取得するために前記OSUサーバとメッセージを交換させ;
    前記送受信回路を使用して、前記Wi−Fiホットスポットから分離させ;
    前記送受信回路を使用して、前記Wi−Fiホットスポットと、前記プライマリSSID及び前記加入管理オブジェクトの前記認証情報部分の中の情報を使用して、結合させる、
    無線ステーション。
  18. 前記モバイルプロビジョニングプロトコルは、オープン・モバイル・アライアンス・デバイス・マネジメント(OMA−DM)メッセージを使用する、
    請求項17に記載の無線ステーション。
  19. 前記モバイルプロビジョニングプロトコルは、シンプル・オブジェクト・アクセス・プロトコル拡張マークアップ言語(SOAP−XML)メッセージを使用する、
    請求項17に記載の無線ステーション。
  20. 前記モバイルプロビジョニングプロトコルを終了することは、前記システムに証明書ベースの認証情報を提供するための証明書登録プロトコルを起動させる、
    請求項17に記載の無線ステーション。
JP2015543034A 2012-12-27 2013-06-05 無線装置での安全なオンラインサインアップ及びプロビジョニング Active JP6022706B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US13/728,606 US9307408B2 (en) 2012-12-27 2012-12-27 Secure on-line signup and provisioning of wireless devices
US13/728,606 2012-12-27
PCT/US2013/044238 WO2014105114A1 (en) 2012-12-27 2013-06-05 Secure on-line signup and provisioning of wireless devices

Publications (3)

Publication Number Publication Date
JP2016503622A true JP2016503622A (ja) 2016-02-04
JP2016503622A5 JP2016503622A5 (ja) 2016-05-12
JP6022706B2 JP6022706B2 (ja) 2016-11-09

Family

ID=51017126

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015543034A Active JP6022706B2 (ja) 2012-12-27 2013-06-05 無線装置での安全なオンラインサインアップ及びプロビジョニング

Country Status (5)

Country Link
US (3) US9307408B2 (ja)
EP (1) EP2939490B1 (ja)
JP (1) JP6022706B2 (ja)
CN (2) CN104798430B (ja)
WO (1) WO2014105114A1 (ja)

Families Citing this family (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8590023B2 (en) 2011-06-30 2013-11-19 Intel Corporation Mobile device and method for automatic connectivity, data offloading and roaming between networks
US9571482B2 (en) 2011-07-21 2017-02-14 Intel Corporation Secure on-line sign-up and provisioning for Wi-Fi hotspots using a device management protocol
US9307408B2 (en) 2012-12-27 2016-04-05 Intel Corporation Secure on-line signup and provisioning of wireless devices
US9398526B2 (en) 2013-01-11 2016-07-19 Intel Corporation Techniques for establishing communications with a local wireless network
WO2014123576A1 (en) 2013-02-05 2014-08-14 Necati Canpolat Online signup provisioning techniques for hotspot connections
US20150223059A1 (en) * 2013-03-01 2015-08-06 Intel Corporation Techniques for establishing access to a local wireless network
US20140295762A1 (en) * 2013-04-02 2014-10-02 Samsung Electronics Co., Ltd. Method for connecting short-range communication in electronic device and the electronic device
US9838950B2 (en) * 2013-05-14 2017-12-05 Futurewei Technologies, Inc. System and method of ANQP querying using a common ANQP group version
WO2015038126A1 (en) * 2013-09-12 2015-03-19 Intel Corporation Techniques for device power management in a local wireless network
US9455878B2 (en) * 2014-02-17 2016-09-27 Haier Us Appliance Solutions, Inc. Systems and methods for enhanced network identification
US9800581B2 (en) * 2014-03-14 2017-10-24 Cable Television Laboratories, Inc. Automated wireless device provisioning and authentication
US9456389B2 (en) * 2014-10-14 2016-09-27 Fortinet, Inc. Dynamic generation of per-station realm lists for hot spot connections
US10623502B2 (en) * 2015-02-04 2020-04-14 Blackberry Limited Link indication referring to content for presenting at a mobile device
US10104544B2 (en) * 2016-04-05 2018-10-16 Qualcomm Incorporated LTE-level security for neutral host LTE
GB2552788B (en) * 2016-08-05 2019-11-27 Eseye Ltd Loading security information
WO2018057426A1 (en) * 2016-09-20 2018-03-29 Intel IP Corporation Methods and devices for captive portal provisioning
GB2554953B (en) * 2016-10-17 2021-01-27 Global Reach Tech Inc Improvements in and relating to network communications
EP3635988B1 (en) * 2017-05-23 2022-02-23 Global Reach Technology, Inc. Improvements in and relating to network communications
CN107360077A (zh) * 2017-06-14 2017-11-17 上海斐讯数据通信技术有限公司 Vlanid分配方法和vlan实现方法、云控制器及无线接入点
US20190014095A1 (en) * 2017-07-06 2019-01-10 At&T Intellectual Property I, L.P. Facilitating provisioning of an out-of-band pseudonym over a secure communication channel
US20190182645A1 (en) * 2017-12-08 2019-06-13 Qualcomm Incorporated Provisioning mechanism to trigger a subscription download at a user equipment
EP3729310B1 (en) * 2017-12-22 2022-08-24 British Telecommunications public limited company Device authentication
US20190394239A1 (en) * 2018-06-20 2019-12-26 GM Global Technology Operations LLC Application based policy management used with a client and a service provider
CN109525575A (zh) * 2018-11-08 2019-03-26 北京首信科技股份有限公司 上网管控的方法和系统
US11309666B2 (en) * 2019-04-16 2022-04-19 Centurylink Intellectual Property Llc Method and system for implementing media adaptation device functionality
US11616784B2 (en) 2019-07-11 2023-03-28 Kyndryl, Inc. Personal-public service set identifiers connection implemented by a WAP
US11265690B2 (en) 2019-09-13 2022-03-01 Sling Media L.L.C. Ecosystem-based wireless network setup
CN111465005A (zh) * 2020-03-30 2020-07-28 维沃移动通信有限公司 一种热点分享方法及电子设备
CN112202799B (zh) * 2020-10-10 2022-05-10 杭州盈高科技有限公司 一种实现用户和/或终端与ssid绑定的认证系统及方法
WO2022082561A1 (en) * 2020-10-22 2022-04-28 Arris Enterprises Llc Method and system for parental control of broadband devices
WO2023229648A1 (en) * 2022-05-25 2023-11-30 Google Llc Methods and systems for in-band sign-up to a wireless network

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004084465A2 (en) * 2003-03-14 2004-09-30 Thomson Licensing S.A. Automatic configuration of client terminal in public hot spot
WO2012036992A2 (en) * 2010-09-15 2012-03-22 Intel Corporation Mobile device and method for secure on-line sign-up and provisioning for wi-fi hotspots using soap-xml techniques

Family Cites Families (73)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8594690B2 (en) 2000-02-05 2013-11-26 Telefonaktiebolaget L M Ericsson (Publ) Subcell measurement procedures in a distributed antenna system
US7562393B2 (en) * 2002-10-21 2009-07-14 Alcatel-Lucent Usa Inc. Mobility access gateway
CN1720757B (zh) 2002-11-04 2011-07-06 捷讯研究有限公司 用于分组数据服务发现的方法和装置
US8331907B2 (en) 2003-02-18 2012-12-11 Roamware, Inc. Integrating GSM and WiFi service in mobile communication devices
US20040210468A1 (en) 2003-04-18 2004-10-21 Ralf Rubel System and method for providing a territory management tool
JP3886934B2 (ja) 2003-06-09 2007-02-28 株式会社東芝 無線通信装置、通信制御プログラム及び通信制御方法
US7565529B2 (en) 2004-03-04 2009-07-21 Directpointe, Inc. Secure authentication and network management system for wireless LAN applications
US7469139B2 (en) 2004-05-24 2008-12-23 Computer Associates Think, Inc. Wireless manager and method for configuring and securing wireless access to a network
EP1615381A1 (en) * 2004-07-07 2006-01-11 Thomson Multimedia Broadband Belgium Device and process for wireless local area network association
US7343411B2 (en) 2004-08-18 2008-03-11 Broadcom Corporation Method and system for secure management and communication utilizing configuration network setup in a WLAN
US7673325B2 (en) 2005-02-01 2010-03-02 Microsoft Corporation Configuration of WiFi network parameters
US8677125B2 (en) 2005-03-31 2014-03-18 Alcatel Lucent Authenticating a user of a communication device to a wireless network to which the user is not associated with
US7551577B2 (en) 2005-04-01 2009-06-23 Cisco Technology, Inc Access point provisioning and mapping in dual mode devices
US7561545B2 (en) 2005-06-08 2009-07-14 Research In Motion Limited Scanning groups of profiles of wireless local area networks
US7593730B2 (en) 2005-06-17 2009-09-22 Qualcomm Incorporated System selection and acquisition for WWAN and WLAN systems
US7583684B2 (en) * 2005-08-24 2009-09-01 The Boeing Corporation Automatic commandable SSID switching
US7734290B2 (en) 2005-10-03 2010-06-08 Kyocera Wireless Corp. Method for managing acquisition lists for wireless local area networks
US20070223432A1 (en) 2006-03-21 2007-09-27 Badarinath Sharma K Wi-Fi network connection management using location specific information
WO2007146710A2 (en) 2006-06-08 2007-12-21 Hewlett-Packard Development Company, L.P. Device management in a network
US7792756B2 (en) * 2006-06-27 2010-09-07 Microsoft Corporation Subscription management in a media sharing service
US8194589B2 (en) 2006-09-06 2012-06-05 Devicescape Software, Inc. Systems and methods for wireless network selection based on attributes stored in a network database
EP2084930B1 (en) 2006-11-21 2013-10-23 BlackBerry Limited Saving a connection profile when unable to connect to a wireless local area network
US8340057B2 (en) 2006-12-22 2012-12-25 Canon Kabushiki Kaisha Automated wireless access to peripheral devices
CN101262670B (zh) 2007-03-09 2012-01-25 鸿富锦精密工业(深圳)有限公司 移动装置、通信系统及连线建立方法
US8412102B2 (en) 2007-03-14 2013-04-02 At&T Intellectual Property I, L.P. Method, apparatus and storage medium for provisioning WLAN parameters via a cordless phone protocol
JP2009005011A (ja) 2007-06-20 2009-01-08 Panasonic Corp 無線通信端末
US7840687B2 (en) 2007-07-11 2010-11-23 Intel Corporation Generic bootstrapping protocol (GBP)
EP2056558A1 (en) 2007-10-31 2009-05-06 Panasonic Corporation Server discovery in a neighbour network of an IP node
JP4971120B2 (ja) 2007-12-06 2012-07-11 日本電信電話株式会社 無線通信システム及び無線通信方法
US8619988B2 (en) 2008-01-31 2013-12-31 Alcatel Lucent Method and apparatus for virtual Wi-Fi service with authentication and accounting control
EP2241138A1 (en) 2008-02-04 2010-10-20 BRITISH TELECOMMUNICATIONS public limited company Method and system for automatic connection to a network
US20090260070A1 (en) 2008-04-15 2009-10-15 Elevate Technologies Pty Ltd. Systems and Methods for Secure Sign-Up Procedures for Application Servers in Wired and Wireless Environments
US8400990B1 (en) 2008-04-28 2013-03-19 Dennis Volpano Global service set identifiers
US8327143B2 (en) 2008-08-04 2012-12-04 Broadcom Corporation Techniques to provide access point authentication for wireless network
JP5210767B2 (ja) 2008-09-04 2013-06-12 株式会社日立製作所 無線通信機能を有する電子機器
KR101572885B1 (ko) 2008-10-30 2015-11-30 엘지전자 주식회사 무선 통신 시스템에서 핸드오버 방법 및 기지국 정보 전송 방법
US20100124881A1 (en) 2008-11-17 2010-05-20 Vivekananda Uppunda Database Based Connectivity For Secure SSID
JP5581597B2 (ja) 2009-02-05 2014-09-03 独立行政法人情報通信研究機構 携帯式通信中継装置
JPWO2010098035A1 (ja) 2009-02-24 2012-08-30 パナソニック株式会社 端末装置、ホーム基地局およびホーム基地局交換装置
EP2417789B1 (en) 2009-04-07 2014-07-30 Togewa Holding AG Method and system for authenticating a network node in a uam-based wlan network
US20100272080A1 (en) 2009-04-24 2010-10-28 Eetay Natan Techniques for generating proof of WiMAX activation and safely handling a disconnect during a WiMAX provisioning session
CN101883355B (zh) 2009-05-06 2015-06-03 中兴通讯股份有限公司 终端参数的配置方法和系统、终端管理装置
DE102009003066A1 (de) * 2009-05-13 2010-11-18 Robert Bosch Gmbh Kolbenmaschine, insbesondere Flüssigkeitskolbenmaschine
US9055606B2 (en) 2009-05-15 2015-06-09 Novatel Wireless, Inc. Systems and methods for automatic connection with a wireless network
US8750178B2 (en) 2009-06-01 2014-06-10 Qualcomm Incorporated Connection manager for a wireless communication device
KR101554743B1 (ko) 2009-06-18 2015-09-22 삼성전자주식회사 기기간에 무선랜 자동 연결을 위한 방법 및 이를 위한 기기
US8116757B2 (en) 2009-07-29 2012-02-14 Intel Corporation Virtual network service provider for mobile virtual network operator activation
US8588413B1 (en) 2009-10-20 2013-11-19 Cellco Partnership Enabling seamless access to a Wi-Fi network
US8649335B2 (en) 2009-12-01 2014-02-11 At&T Intellectual Property I, L.P. Service models for roaming mobile device
US8411604B2 (en) 2009-12-21 2013-04-02 Research In Motion Limited Methods and apparatus for use in facilitating access to aggregator services for mobile communication devices via wireless communication networks
JP5418394B2 (ja) 2010-04-28 2014-02-19 ブラザー工業株式会社 無線通信装置
US8615236B2 (en) 2010-06-04 2013-12-24 Palm, Inc. System and method for dynamically managing connections using feature prioritization
US9319880B2 (en) * 2010-09-15 2016-04-19 Intel Corporation Reformatting data to decrease bandwidth between a video encoder and a buffer
HUE046534T2 (hu) * 2010-09-16 2020-03-30 Nokia Technologies Oy Dinamikus folyószámla létrehozás egy biztonságos internet-hozzáférési pontos hálózatnál
US8798580B2 (en) 2010-09-21 2014-08-05 Cellco Partnership Method and system for activating services on a wireless terminal
US8352643B2 (en) 2010-09-30 2013-01-08 Immersion Corporation Haptically enhanced interactivity with interactive content
US9020467B2 (en) 2010-11-19 2015-04-28 Aicent, Inc. Method of and system for extending the WISPr authentication procedure
US20120203824A1 (en) 2011-02-07 2012-08-09 Nokia Corporation Method and apparatus for on-demand client-initiated provisioning
CN103370955B (zh) * 2011-02-14 2017-03-08 诺基亚技术有限公司 无缝wi‑fi订购修复
US20120258709A1 (en) 2011-04-08 2012-10-11 Qualcomm Incorporated World mode scanning control
US20120284785A1 (en) 2011-05-05 2012-11-08 Motorola Mobility, Inc. Method for facilitating access to a first access nework of a wireless communication system, wireless communication device, and wireless communication system
US8590023B2 (en) 2011-06-30 2013-11-19 Intel Corporation Mobile device and method for automatic connectivity, data offloading and roaming between networks
US9571482B2 (en) 2011-07-21 2017-02-14 Intel Corporation Secure on-line sign-up and provisioning for Wi-Fi hotspots using a device management protocol
WO2013040250A1 (en) * 2011-09-13 2013-03-21 Aicent, Inc. Method of and system for data access over dual data channels with dynamic sim credential
US8750180B2 (en) 2011-09-16 2014-06-10 Blackberry Limited Discovering network information available via wireless networks
US9565558B2 (en) * 2011-10-21 2017-02-07 At&T Intellectual Property I, L.P. Securing communications of a wireless access point and a mobile device
US20130232561A1 (en) 2011-11-04 2013-09-05 Intel Corporation Common data model and method for secure online signup for hotspot networks
WO2013165605A1 (en) * 2012-05-02 2013-11-07 Interdigital Patent Holdings, Inc. One round trip authentication using single sign-on systems
US8913559B2 (en) 2012-07-10 2014-12-16 Futurewei Technologies, Inc. System and method for online sign up provider selection
US9979710B2 (en) * 2012-07-26 2018-05-22 Stmicroelectronics, Inc. Single SSID and dual-SSID enhancements
US9232400B2 (en) * 2012-11-13 2016-01-05 Alcatel Lucent Restricted certificate enrollment for unknown devices in hotspot networks
US9307408B2 (en) 2012-12-27 2016-04-05 Intel Corporation Secure on-line signup and provisioning of wireless devices
WO2014123576A1 (en) 2013-02-05 2014-08-14 Necati Canpolat Online signup provisioning techniques for hotspot connections

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004084465A2 (en) * 2003-03-14 2004-09-30 Thomson Licensing S.A. Automatic configuration of client terminal in public hot spot
JP2006523412A (ja) * 2003-03-14 2006-10-12 トムソン ライセンシング 公共のホット・スポットにおけるクライアント端末の自動設定
WO2012036992A2 (en) * 2010-09-15 2012-03-22 Intel Corporation Mobile device and method for secure on-line sign-up and provisioning for wi-fi hotspots using soap-xml techniques
JP2014526726A (ja) * 2011-09-09 2014-10-06 インテル コーポレイション Soap−xml技術を使用したwi−fiホットスポットのための安全なオンラインサインアップ及び提供のためのモバイルデバイス及び方法

Also Published As

Publication number Publication date
CN104798430A (zh) 2015-07-22
CN105635165A (zh) 2016-06-01
US20140185597A1 (en) 2014-07-03
WO2014105114A1 (en) 2014-07-03
US9992671B2 (en) 2018-06-05
US9635555B2 (en) 2017-04-25
JP6022706B2 (ja) 2016-11-09
EP2939490B1 (en) 2020-09-30
CN104798430B (zh) 2018-09-21
US20170230823A1 (en) 2017-08-10
EP2939490A4 (en) 2016-07-20
EP2939490A1 (en) 2015-11-04
CN105635165B (zh) 2019-07-02
US9307408B2 (en) 2016-04-05
US20150110096A1 (en) 2015-04-23

Similar Documents

Publication Publication Date Title
JP6022706B2 (ja) 無線装置での安全なオンラインサインアップ及びプロビジョニング
US10341328B2 (en) Secure on-line sign-up and provisioning for Wi-Fi hotspots using a device-management protocol
KR101644723B1 (ko) Soap-xml 기술을 사용한 와이파이 핫스팟에 대한 안전한 온라인 사인업 및 프로비저닝을 위한 모바일 장치 및 방법
KR102304147B1 (ko) 통합된 스몰 셀 및 wi-fi 네트워크를 위한 통합 인증
US9825937B2 (en) Certificate-based authentication
US9258706B2 (en) Mobile device and method for secure on-line sign-up and provisioning for wi-fi hotspots using SOAP-XML techniques
CN106105134B (zh) 用于改进端到端数据保护的方法和装置
JP2022502922A (ja) 3gppプライベートlan
JP6775683B2 (ja) 次世代システムの認証
US11496894B2 (en) Method and apparatus for extensible authentication protocol
WO2017132906A1 (zh) 获取、发送用户设备标识的方法及设备
KR20230146982A (ko) 무선 통신 시스템에서 단말 인증 방법 및 장치
KR101230209B1 (ko) 핫스팟 네트워크들을 위한 공통 데이터 모델 및 안전한 온라인 서명을 위한 방법
BR112014005388B1 (pt) Método realizado por um dispositivo móvel e dispositivo móvel para assinatura e provisionamento on-line seguros para hotspots wi-fi

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160314

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20160314

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20160411

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160419

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160906

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20161005

R150 Certificate of patent or registration of utility model

Ref document number: 6022706

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250