KR101644723B1 - Soap-xml 기술을 사용한 와이파이 핫스팟에 대한 안전한 온라인 사인업 및 프로비저닝을 위한 모바일 장치 및 방법 - Google Patents

Soap-xml 기술을 사용한 와이파이 핫스팟에 대한 안전한 온라인 사인업 및 프로비저닝을 위한 모바일 장치 및 방법 Download PDF

Info

Publication number
KR101644723B1
KR101644723B1 KR1020147009303A KR20147009303A KR101644723B1 KR 101644723 B1 KR101644723 B1 KR 101644723B1 KR 1020147009303 A KR1020147009303 A KR 1020147009303A KR 20147009303 A KR20147009303 A KR 20147009303A KR 101644723 B1 KR101644723 B1 KR 101644723B1
Authority
KR
South Korea
Prior art keywords
subscription
mobile device
soap
server
exchange
Prior art date
Application number
KR1020147009303A
Other languages
English (en)
Other versions
KR20140084026A (ko
Inventor
비벡 굽타
네카티 캔폴라트
Original Assignee
인텔 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인텔 코포레이션 filed Critical 인텔 코포레이션
Publication of KR20140084026A publication Critical patent/KR20140084026A/ko
Application granted granted Critical
Publication of KR101644723B1 publication Critical patent/KR101644723B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • H04L41/0246Exchanging or transporting network management information using the Internet; Embedding network management web servers in network elements; Web-services-based protocols
    • H04L41/0273Exchanging or transporting network management information using the Internet; Embedding network management web servers in network elements; Web-services-based protocols using web services for network management, e.g. simple object access protocol [SOAP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0806Configuration setting for initial configuration or provisioning, e.g. plug-and-play
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N19/00Methods or arrangements for coding, decoding, compressing or decompressing digital video signals
    • H04N19/42Methods or arrangements for coding, decoding, compressing or decompressing digital video signals characterised by implementation details or hardware specially adapted for video compression or decompression, e.g. dedicated software implementation
    • H04N19/423Methods or arrangements for coding, decoding, compressing or decompressing digital video signals characterised by implementation details or hardware specially adapted for video compression or decompression, e.g. dedicated software implementation characterised by memory arrangements
    • H04N19/426Methods or arrangements for coding, decoding, compressing or decompressing digital video signals characterised by implementation details or hardware specially adapted for video compression or decompression, e.g. dedicated software implementation characterised by memory arrangements using memory downsizing methods
    • H04N19/428Recompression, e.g. by spatial or temporal decimation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N19/00Methods or arrangements for coding, decoding, compressing or decompressing digital video signals
    • H04N19/42Methods or arrangements for coding, decoding, compressing or decompressing digital video signals characterised by implementation details or hardware specially adapted for video compression or decompression, e.g. dedicated software implementation
    • H04N19/43Hardware specially adapted for motion estimation or compensation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/35Protecting application or service provisioning, e.g. securing SIM application provisioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • H04W8/20Transfer of user or subscriber data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Abstract

SOAP-XML 기술을 사용한 와이파이 핫스팟에 대한 안전한 온라인 사인업 및 크리덴셜의 프로비저닝을 위한 모바일 장치 및 방법의 실시형태가 일반적으로 본 명세서에 기재된다. SOAP-XML 기술을 사용한 가입 개선을 위한 기술도 또한 일반적으로 본 명세서에 기재된다. 몇몇의 실시형태에 있어서, 모바일 장치는, 사인업 서버의 인증서를 수신하기 위해 와이파이 핫스팟을 거쳐서 사인업 서버와의 트랜스포트 계층 보안(TLS) 세션을 설정하도록 구성될 수 있다. 인증서가 검증되면, 모바일 장치는, 와이파이 가입을 위한 사인업 및 크리덴셜의 프로비저닝을 위해 사인업 장치 관리 메시지를 교환하고, 장치 관리 트리에 저장하기 위해 프로비저닝된 크리덴셜로의 참조를 포함하는 가입 관리 오브젝트(MO)를 검색하도록 구성될 수 있다.

Description

SOAP-XML 기술을 사용한 와이파이 핫스팟에 대한 안전한 온라인 사인업 및 프로비저닝을 위한 모바일 장치 및 방법{MOBILE DEVICE AND METHOD FOR SECURE ON-LINE SIGN-UP AND PROVISIONING FOR WI-FI HOTSPOTS USING SOAP-XML TECHNIQUES}
본 출원은, 그 전체가 참조로서 본 명세서에 포함된, 2011년 6월 30일 출원된 미국 특허 출원 번호 제 13/173,338호, "자동 접속, 데이터 오프로딩 및 네트워크 간 로밍을 위한 모바일 장치 및 방법"(대리인 정리 번호 884.J38US1 및 클라이언트 참조 번호 P37992)에 관련되어 있다.
본 출원은 또한, 그 전체가 참조로서 본 명세서에 포함된, 2011년 7월 21일에 출원된 미국 특허 출원 번호 제 13/188,205호, "장치 관리 프로토콜을 사용한 안전한 온라인 사인업 및 와이파이 핫스팟 프로비저닝"(대리인 정리 번호 884.J39US1 및 클라이언트 참조 번호 P37993)에 관련되어 있다.
실시형태는, 와이파이(Wi-Fi) 네트워크와 관련된다. 몇몇의 실시형태는, 안전한 온라인 사인업(secure on-line sign-up) 및 서비스와 접속을 위한 크리덴셜(credential)의 프로비저닝(provisioning)과 관련된다. 몇몇의 실시형태는, 심플 오브젝트 액세스 프로토콜(SOAP) 확장 가능 마크업 언어(XML) 기술을 사용한 안전한 온라인 사인업 및 프로비저닝과 관련된다. 몇몇의 실시형태는, 핫스팟 2.0 네트워크 및 핫스팟 2.0 에볼루션과 관련된다.
와이파이 네트워크 액세스를 위한 서비스 제공자와의 가입 설정에서의 하나의 문제는, 그것이 간단하지 않고 사용자 친화적인 처리가 아니라고 하는 것이다. 안전한 온라인 사인업과 와이파이 사용 가능 장치 및 네트워크를 위한 크리덴셜의 프로비저닝을 위한 표준화된 처리가 존재하지 않는다. 사용자는, 일반적으로, 서로 다른 장소에서 서로 다른 종류의 웹페이지에 직면하여 정보를 입력하고, 자신의 사용자명/패스워드를 선택해야 할 수가 있다.
가입 설정에서의 다른 문제는 보안이다. (802.1x 인에이블과 같은) 보안 네트워크(secure network)는 비등록자에 대한 액세스를 금지할 수 있지만, 개방(open) 네트워크는 충분한 보안을 제공할 수는 없다. 현재의 온라인 사인업의 메커니즘은, 신용 카드 및 개인 정보가 도난당하는 등의 용인할 수 없는 보안 위험에 사용자를 노출시킨다(예컨대, 잘 알려진 허니팟(honey-pot) 또는 트윈이블 시큐리티홀(twin-evil security hole)을 통해).
가입 설정에서의 또 다른 문제는 프로비저닝될 필요가 있을 수 있는 서로 다른 형태의 크리덴셜이다. 어떤 장치 또는 네트워크는 사용자명/패스워드 크리덴셜을 사용할 수 있지만, 어떤 다른 장치 또는 네트워크는 인증서 기반의 크리덴셜을 필요로 할 수 있다. 기타 장치 또는 네트워크는, (예컨대, 일반적으로 몇몇의 셀룰러 네트워크에서 사용되는) 가입자 정보 모듈(SIM) 형태의 크리덴셜을 사용할 수 있다.
따라서, 안전한 온라인 사인업 및 크리덴셜의 프로비저닝을 위한 일반적인 요구가 있다. 트랜스포트로서 SOAP-XML 기술을 사용하는 온라인 사인 시스템을 안전하게 사용하는 온라인 사인업 및 안전한 크리덴셜의 프로비저닝을 위한 일반적인 요구도 있다. 사용자명/패스워드 크리덴셜, SIM 형태의 크리덴셜, 인증서 기반의 크리덴셜 등의 서로 다른 형태의 크리덴셜을 프로비저닝하기에 적합한 안전한 온라인 사인업을 위한 표준화된 처리를 위한 일반적인 요구도 있다. 개방 네트워크 및 보안 네트워크의 양쪽을 포함하는 임의의 802.11 기반 네트워크에서 사용하기에 적합한 안전한 온라인 사인업 및 크리덴셜의 프로비저닝을 위한 표준화된 처리를 위한 일반적인 요구도 있다.
도 1은 몇몇의 실시형태에 따른 안전한 온라인 사인업 및 크리덴셜의 프로비저닝을 위한 네트워크 요소의 동작 환경을 나타낸다.
도 2는 몇몇의 실시형태에 따른 SOAP-XML 기술을 사용한 안전한 온라인 사인업 및 크리덴셜의 프로비저닝의 개요이다.
도 3(a) 및 도 3(b)는 몇몇의 실시형태에 따른 SOAP-XML 기술을 사용한 안전한 온라인 사인업 및 인증서 기반 크리덴셜의 프로비저닝을 위해 교환되는 메시지를 나타낸다.
도 4는 몇몇의 실시형태에 따른 SOAP-XML 기술을 사용한 안전한 온라인 사인업 및 사용자명/패스워드 형태의 크리덴셜의 프로비저닝을 위해 교환되는 메시지를 나타낸다.
도 5는 몇몇의 실시형태에 따른 SOAP-XML 기술을 사용한 가입 개선(subscription remediation)을 위해 교환되는 메시지를 나타낸다.
도 6은 몇몇의 실시형태에 따른 관리 오브젝트 트리를 나타낸다.
도 7은 몇몇의 실시형태에 따른 모바일 장치를 나타낸다.
이하의 설명 및 도면은, 구체적인 실시형태를, 당업자가 실시하는 것을 가능하게 하도록 충분히 나타낸다. 다른 실시형태는, 구조적, 논리적, 전기적, 처리, 및 다른 변경을 포함할 수 있다. 몇몇의 실시형태의 부분 및 특징은 다른 실시형태의 부분 및 특징에 포함되거나 그들에 치환될 수 있다. 청구항에 기재된 실시형태는 이들 청구항의 모든 이용 가능한 등가물을 포함한다.
본 발명의 실시형태는, 와이파이 핫스팟 서비스에 대한 안전한 온라인 사인업 및 크리덴셜의 프로비저닝을 제공하여, 사용자는 와이파이 서비스 제공자와 가입을 설정하고 SOAP-XML 기술을 사용한 안전한 방법으로 클라이언트 장치에 크리덴셜과 정책 요소를 다운로드할 수 있다. 이것은, 운영자(예컨대, 와이파이 서비스 제공자)가 표준화된 툴을 사용하여 매우 낮은 비용으로 온라인 사인업 메커니즘을 개발할 수 있게 한다. 실시형태는, 종래의 와이파이 네트워크 및 진화하는 핫스팟 2.0 네트워크의 양쪽에 적용될 수 있다. 본 발명의 실시형태는 또한 SOAP-XML 기술을 이용하여 와이파이 핫스팟 서비스에 대한 크리덴셜을 갱신하기 위한 가입 개선(subscription remediation)을 제공한다.
도 1은 몇몇의 실시형태에 따른 안전한 온라인 사인업 및 크리덴셜의 프로비저닝을 위한 네트워크 요소의 동작 환경을 나타낸다. 모바일 장치(102)는, 와이파이 핫스팟(104)에 연관되어, 안전한 온라인 사인업 및 프로비저닝을 위해 본 명세서에 기재된 다양한 동작을 실행하도록 구성된 와이파이 사용 가능 장치일 수 있다. 와이파이 핫스팟(104)은, 인터넷 서비스 제공자로의 링크에 접속된 라우터를 갖는 무선 로컬 에리어 네트워크(WLAN)를 통해 인터넷 액세스를 제공할 수 있다. 와이파이 핫스팟(104)은, 와이파이 네트워크의 일부일 수 있고, 인터넷 등의 네트워크(105)에, 또는 게이트웨이를 통해 특히 인증 기관(120), 가입 서버(106), 활성화 포털(108), 인증서 등록 서버(110), 레지스트라(122)를 포함하는 다른 다양한 네트워크 요소에 연결될 수 있다. 몇몇의 실시형태에서는, 가입 서버(106)는, SOAP-XML 기술에 따라 메시지를 교환하도록 구성된 서버일 수 있다. 와이파이 핫스팟(104)은, 와이파이 액세스 포인트(AP)로서 동작할 수 있다. 모바일 장치(102)는, SOAP-XML 기술을 구현하고 본 명세서에 기재된 다양한 동작을 실행하도록 구성된 SOAP 처리 요소(125)를 포함할 수 있다. 마찬가지로, 가입 서버(106)는, 이하에 보다 상세하게 기재되는 바와 같이 SOAP-XML 기술을 구현하도록 구성된 SOAP 처리 요소(135)를 포함할 수 있다.
몇몇의 실시형태에서는, 와이파이 핫스팟(104)은, 와이파이 핫스팟(104)의 관리 실체로서 기능하는 액세스 컨트롤러(AC)(124)를 포함할 수 있다. 액세스 컨트롤러(124)는, 와이파이 네트워크의 여러 액세스 포인트를 관리할 수 있고, 인터넷 등의 다른 네트워크로의 액세스를 제공하도록 WLAN 액세스 네트워크의 게이트웨이로서 동작할 수 있다. 액세스 컨트롤러(124)는, 모바일 장치가 와이파이 네트워크에 액세스할 수 있도록, 여기서 설명되는 다양한 동작을 실행할 수 있다.
실시형태에 따르면, 모바일 장치(102)는, 와이파이 핫스팟에 대한 안전한 온라인 사인업 및 크리덴셜의 프로비저닝을 위해 구성될 수 있다. 몇몇의 실시형태에서는, 모바일 장치(102)는, SOAP-XML 기술을 사용한 와이파이 핫스팟에 대한 안전한 온라인 사인업 및 프로비저닝을 위해 구성될 수 있다. 이들 실시형태에서는, 모바일 장치(102) 및 가입 서버(106)는, 심플 오브젝트 액세스 프로토콜(SOAP)에 따라 구성되는 요구 메시지와 응답 메시지를 교환할 수 있다.
몇몇의 실시형태에 있어서, 본 명세서에 기재된 안전한 온라인 사인업 및 프로비저닝 처리는, 사용자가 서비스 제공자와의 가입을 설정하고, 트랜스포트로서 SOAP-XML 기술을 사용한 안전한 방법으로 모바일 장치(102) 등의 클라이언트 장치상으로 크리덴셜 및 운영자 정책을 다운로드할 수 있도록 한다. 이것은, 백엔드 코어 네트워크에서 이미 SOAP-XML 기술을 구현하고 있을 수 있는 셀룰러형 네트워크 서비스 제공자가, 와이파이 네트워크를 서비스하기 위한 기능을 확장하기 위해, 동일한 서버 및 인스톨된 요소를 사용할 수 있게 해 준다.
몇몇의 실시형태는, 안전한 온라인 사인업 및 사용자명/패스워드 크리덴셜, 인증서 기반 크리덴셜, SIM 형태의 크리덴셜을 포함하는 크리덴셜의 프로비저닝을 위한 표준화된 처리를 제공한다. 안전한 온라인 사인업 및 크리덴셜 프로비저닝을 위한 표준화된 처리는, 해당 처리가 개방 네트워크 및 보안 네트워크의 양쪽에 적용 가능하게 하는 거의 모든 IEEE 802.11 기반 네트워크에 적용할 수 있다. 보안 와이파이 네트워크는, 예컨대, 로버스트 시큐리티 네트워크(RSN) 프로토콜에 따라 보안을 구현할 수 있다. 그와 같은 네트워크는, RSN 네트워크(즉, 로버스트 시큐리티 네트워크 어소시에이션(RSNAs)의 작성을 가능하게 하는 시큐리티 네트워크)로 여겨질 수 있다.
따라서, 사용자는 서로 다른 장소에서 서로 다른 형태의 웹페이지에 직면하여 정보를 입력하고, 자신의 사용자명/패스워드를 선택하는 것이 더 이상 필요하지 않을 수 있다. 와이파이 네트워크는, 현재, 보다 사용하기 쉽고 보다 안전하다. SOAP-XML 기술의 사용은, 와이파이 네트워크 운용이 현재 및 미래의 셀룰러형 네트워크와 쉽게 통합되는 것을 가능하게 한다. 몇몇의 실시형태에서는, 안전한 온라인 사인업 및 크리덴셜의 프로비저닝이 사용자와의 상호 작용 없이 자동적으로 행해질 수 있다.
실시형태에 따르면, 모바일 장치(102)는, 와이파이 핫스팟 2.0 네트워크에 대한 안전한 온라인 사인업 및 프로비저닝을 위해 구성될 수 있다. 이들 실시형태에서는, 모바일 장치(102)는, 확장 가능 인증 프로토콜(EAP) 기술을 사용하여, 와이파이 핫스팟(104)을 통해, 와이파이 네트워크와 인증하도록 구성될 수 있다. 인증의 일부로서, 모바일 장치(102)가 와이파이 네트워크에 액세스하고, 모바일 장치(102)와의 와이파이 접속을 설정할 수 있게 하는 RADIUS ACCESS-ACCEPT 메시지가, AAA 서버(126)로부터 와이파이 핫스팟(104)에 의해 수신된다. 모바일 장치(102)는, 크리덴셜의 프로비저닝 또는 가입 개선을 요구하기 위해, 설정된 와이파이 접속을 통해 가입 서버(106)와 초기 SOAP 교환을 행할 수 있는데, 초기 SOAP 교환은 모바일 장치가 가입 서버(106)를 인증하는 것을 포함한다. 모바일 장치는 또한, 와이파이 네트워크 액세스를 위한 서비스 제공자와의 가입을 설정하고, 가입에 대한 크리덴셜을 프로비저닝하고, 프로비저닝된 크리덴셜에 대하여 가입 관리 오브젝트 MO를 생성하기 위해, 가입 서버(106)와 정보를 교환할 수 있다. 모바일 장치는 또한, 가입 MO를 수신하기 위해, 와이파이 네트워크를 통해 가입 서버(106)와 최후 SOAP 교환을 행할 수 있다.
이들 실시형태에서는, RADIUS ACCESS-ACCEPT 메시지의 수신에 응답하여, 와이파이 핫스팟(104)은, 성공적 인증을 나타내는 EAP-Success 메시지를 모바일 장치(102)에 송신하도록 구성되어 있다. 몇몇의 실시형태에서는, 가입 서버(106)의 인증뿐 아니라 와이파이 핫스팟(104)과의 접속, 초기 및 최후 SOAP 교환이 사용자 입력 없이(즉, 자동적으로) 실행될 수 있다. 몇몇의 실시형태에서는, 가입 설정을 위한 가입 서버(106)와의 정보 교환도, 요구되는 정보에 따라서는 사용자 입력 없이 실행될 수 있다. 몇몇의 실시형태에 있어서, 방법은, 사용자에게 사용자 입력을 유도하는 것과, 가입 서버(106)에 사용자 입력을 제공하는 것을 포함할 수 있다.
몇몇의 실시형태에서는, 초기 SOAP 교환은, 모바일 장치(102)의 적어도 몇몇 장치 능력 정보를 제공하는 것과, 요구 이유(예컨대, 크리덴셜의 프로비저닝 또는 가입의 개선)를 나타내는 것을 포함할 수 있다. 요구 이유가 크리덴셜의 프로비저닝일 때에, 가입 서버(106)는, 프로비저닝될 크리덴셜의 종류를 나타낼 수 있다.
몇몇의 실시형태에서는, 초기 및 최후 SOAP 교환은, 트랜스포트를 위한 응용 계층 프로토콜로서 안전한 하이퍼텍스트 전송 프로토콜(HTTPS)(secure Hypertext Transfer Protocol)을 사용하여 SOAP 기술에 따라 구성된 메시지를 포함한다. 메시지는, 확장 가능 마크업 언어(XML) 메시지 포맷에 따라 구성될 수 있다. HTTPS는, 안전하고 암호화된 통신을 제공하기 위해, HTTP와 SSL/TLS 프로토콜의 조합을 포함할 수 있다.
몇몇의 실시형태에서는, RADIUS ACCESS-ACCEPT 메시지는, 와이파이 핫스팟(104)에 의해 시행되어야 하는 액세스 제한을 포함할 수 있다. 액세스 제한은 크리덴셜의 프로비저닝 또는 가입 개선을 위한 모바일 장치(102)의 와이파이 네트워크로의 액세스를 제한한다. 와이파이 핫스팟(104)은, 크리덴셜의 프로비저닝 또는 가입 개선을 위해 초기 및 최후 SOAP 교환의 실행과 서비스 제공자와의 정보 교환으로 모바일 장치(102)를 제한하는 것에 의해 액세스 제한을 시행하도록 구성될 수 있다.
가입 MO를 수신한 후, 모바일 장치는, 최후 SOAP 교환 후 와이파이 핫스팟(104)과의 접속이 해제되고(diassociate), 와이파이 접속을 재설정하기 위해 와이파이 핫스팟(104)과 재접속(reassociate)되도록 구성될 수 있다. 재접속인 경우, 모바일 장치(102)는, EAP 기술을 사용하도록 구성될 수 있고, 재설정된 와이파이 접속을 통해 AAA 서버(126)에 프로비저닝된 크리덴셜을 제공할 수 있다. RADIUS ACCESS-ACCEPT 메시지는, 사용자의 가입에 따라 모바일 장치(102)의 와이파이 네트워크로의 액세스를 승인하기 위해 AAA 서버(126)로부터 와이파이 핫스팟(104)에서 수신될 수 있다. 몇몇의 실시형태에서는, 접속 해제 및 재접속은, 사용자와의 상호 작용 없이 실행될 수 있다. 와이파이 핫스팟(104)은, 사용자의 가입에 연관되어 있는 RADIUS ACCESS-ACCEPT 메시지에 나타난 액세스 제한을 실행하도록 구성된다.
몇몇의 실시형태에서는, 가입 서버(106)와의 초기 SOAP 교환의 일부로서, 가입 서버(106)는, 프로비저닝되는 크리덴셜의 형태를 결정하고, 프로비저닝되는 크리덴셜의 형태를 모바일 장치(102)에 나타내도록 구성될 수 있다. 프로비저닝되는 크리덴셜의 형태는, 하나 이상의 인증서 기반 크리덴셜, 사용자명/패스워드 크리덴셜, 또는 가입자 정보 모듈 SIM 형태의 크리덴셜을 포함한다. 크리덴셜의 프로비저닝은, 이하에서 보다 상세하게 기재되어 있는 바와 같이 SOAP 구성 메시지를 교환하는 것을 포함할 수 있다. 프로비저닝되는 크리덴셜의 형태는, 운영자나 서비스 제공자에 의해 결정될 수 있다. 운영자 정책은, 인증을 위해 프로비저닝하고 사용하는 크리덴셜의 형태를 결정하기 위해 사용될 수 있다.
가입 중재가 요구되는(즉, 사용자의 가입에 문제가 있는) 경우, 방법은, 모바일 장치가, 와이파이 핫스팟(104)과의 접속 이후 가입 개선에 대한 필요를 나타내는 액션 메시지 및 후속하는 인증 요구를 수신하는 것을 포함한다. 초기 SOAP 교환 동안, 모바일 장치는, 가입 중재 서버(506)에 가입 개선을 요구하고, SOAP 기술에 따라 정보를 교환하도록 구성된다. 이것은 필수적인 것은 아니지만, 몇몇의 실시형태에서는, 가입 중재 서버는, 가입 서버(106)와 동일한 서버일 수 있다.
실시형태에 따르면, 모바일 장치(102)는, 레지스트라(122)의 URL 등의 레지스트라 정보로 구성될 수 있다. 레지스트라(122)는, 서비스 제공자의 완전히 기술한 도메인명(FQDN), 서비스 제공자의 프렌들리명(friendly name), 서비스 제공자의 온라인 사인업 루트 트러스트(root trust)를 포함할 수 있는 서비스 제공자의 엔트리를 포함할 수 있다. 레지스트라(122)는, 서비스 제공자의 도메인명과 다른 데이터의 사이의 암호화 바인딩을 제공할 수 있다. 레지스트라(122)는, 모바일 장치(102)와 가입 서버(106) 등의 온라인 사인업 서버의 사이의 신뢰 관계를 설정하기 위해 모바일 장치(102)에 의해 사용될 수 있다. 모바일 장치(102)는 온라인 사인업을 개시하는 때, 온라인 사인업 서버의 메타데이터를 레지스트라(122)에게 문의할 수 있고, 온라인 사인업 서비스 제공자의 진정성을 검증할 수 있다. 모바일 장치(102)는 또한, 사전에 레지스트리 정보를 다운로드할 수 있고, 그것을 국소적으로 보존하여 여기에 기재된 안전한 온라인 사인업 및 프로비저닝 처리를 개시할 때 사용할 수 있다. 모바일 장치(102)는, 듀얼 모드 모바일 장치(예컨대, 셀룰러 네트워크 기능과 와이파이 네트워크 기능의 양쪽을 가짐)인 경우, 모바일 장치(102)는 또한, 온라인 사인업 서버 정보를 검색하고 진정성을 검증하기 위해 셀룰러 네트워크 접속을 이용하여 실시간으로 레지스트라(122)를 문의하도록 구성될 수 있다.
실시형태에 따르면, 모바일 장치(102)는, 와이파이 네트워크(104)의 와이파이 핫스팟과 접속되고, 가입 서버(106)와의 트랜스포트 계층 보안(TLS) 세션을 설정하여 와이파이 핫스팟(104)을 통해 가입 서버(106)의 디지털 인증서를 수신하도록 구성될 수 있다. 실시형태에 따르면, 모바일 장치(102)는, 와이파이 네트워크 액세스를 위한 가입을 프로비저닝하고 가입 관리 오브젝트(MO)를 생성하기 위해 활성화 포털(108)과의 설정된 보안(secure) HTTP 접속을 통해 정보를 교환할 수 있다. 가입 MO는, 핫스팟 2.0 네트워크를 포함하는 특정한 와이파이 네트워크로의 자동 접속을 위해 프로비저닝된 크리덴셜(예컨대, 사용자명/패스워드, SIM 형태 또는 인증서 기반)의 형태에 대한 참조를 포함할 수 있다.
사용자명/패스워드의 크리덴셜의 경우에는, 가입 MO는, 사용자명과 패스워드를 포함할 수 있다. SIM 형태의 크리덴셜의 경우에는, 가입 MO는, SIM 형태의 크리덴셜에 대한 적어도 몇몇의 기본적인 정보를 포함할 수 있다. 인증서 기반 크리덴셜의 경우에는, 가입 MO는, 인증서 기반 크리덴셜에 액세스하기 위한 정보를 포함할 수 있다. 이들 실시형태는, 이하에 보다 상세히 기재되어 있다.
와이파이 핫스팟 2.0 네트워크를 위한 안전한 온라인 사인업 및 프로비저닝에 대하여 본 명세서에 많은 실시형태가 기재되었지만, 본 발명의 범위는 이 실시형태로 한정되지 않는다. 다른 실시형태는, 다른 무선 로컬 에리어 네트워크(WLANs)와 셀룰러 형태의 네트워크를 포함하는 다른 형태의 네트워크를 위한 안전한 온라인 사인업 및 프로비저닝에 적용 가능하다.
몇몇의 실시형태에 따르면, 인증 기관(120)은, 핫스팟 2.0 인증 기관(CA)(즉, 루트 트러스트)일 수 있고, 핫스팟 2.0 인증서를 포함하는 인증서를 발행하도록 구성될 수 있다. 레지스트라(122)는 핫스팟 2.0 서비스 제공자로서 등록된 회사 또는 기구일 수 있다. 레지스트라(122)는, 이미 등록된 FQDN 및/또는 선택한 프렌들리명을 포함할 수 있다. FQDN의 소유자는, 공개적으로 이용 가능한 "WHOIS" 데이터베이스 내에서 식별될 수 있다. 선택한 프렌들리명이 이미 등록된 프렌들리명과 유사하거나 혼동되어서는 안 된다. 레지스트라(122)는, 적절하지 않은 경우에, 요구된 프렌들리명의 거절을 허용할 수 있는 등록 규칙을 기동할 수 있다. 레지스트라(122)는, 그 프렌들리명과 함께 등록된 서비스 제공자의 데이터베이스를 유지하고, 무효한 엔트리를 삭제할 수 있다. 인증 기관(120)으로부터의 핫스팟 2.0 인증서는, 등록된 실체(즉, 레지스트라 데이터베이스에 등록됨)에만 발행될 수 있다. 인증서는, FQDN 등록 수명을 넘지 않는 수명을 가질 수 있다. 몇몇 경우에 있어서, 레지스트라(122)는, 인증 기관으로서 기능할 수도 있다.
실시형태에 따르면, 모바일 장치(102)는, 인증 기관(120)으로부터 하나 이상의 핫스팟 2.0 루트(root) 인증서를 취득할 수 있고, 루트 인증서는, 서버의 FQDN을 식별할 수 있고, 온라인 사인업 및 크리덴셜의 프로비저닝을 위한 HTTPS 기반 인증에 사용 가능한 것을 나타낸다. 핫스팟 2.0 서비스 제공자는, 인증 기관(120)으로부터의 인증서를 온라인 가입 서버(106)에 프로비저닝할 수 있고, 온라인 가입 서버(106)에서의 적절한 정책 설정을 프로비저닝할 수 있다. 이들의 실시형태는, 이하에서 보다 상세히 논의된다.
서비스 제공자의 네트워크는 또한, 특히, 가입자 데이터베이스를 구비하는 인증, 인가, 계정(AAA; authentication, authorization and accounting) 서버(126)를 포함할 수 있다. AAA 서버(126)는, IP 어드레스의 동적 할당을 위한 동적 호스트 구성 프로토콜(DHCP) 서버(127) 및 도메인명 변환과 다른 네트워크 동작의 실행을 위한 도메인 네임 서버(DNS)(128) 등의 네트워크 요소와 통신할 수 있다.
몇몇의 실시형태에서는, 와이파이 핫스팟(104)은, 와이파이 연합(Alliance)의 핫스팟 2.0 에볼루션 사양 등의 핫스팟 2.0 에볼루션 사양에 따라 동작하는 와이파이 핫스팟 2.0일 수 있다. 모바일 장치(102)는, 핫스팟 2.0 사용 가능 장치일 수 있고, 가입 정보는, 와이파이 핫스팟 2.0으로의 자동 접속을 위한 사전 프로비저닝된 가입 정보를 포함할 수 있다. 와이파이 네트워크는, WLAN의 IEEE 802.11 규격(및 그 수정판)에 따라 동작하도록 구성된 와이파이 핫스팟을 포함하는 무선 네트워크일 수 있다.
와이파이 네트워크는, 업스트림 및 다운스트림 통신이 시분할 다중 처리에 따라 동일한 주파수 채널을 사용하는 충돌 방지 반송파 감지 다중 접속 기술(CSMA/CA)을 사용할 수 있다. 몇몇의 와이파이 네트워크는, 직교 주파수 분할 다중(OFDM)을 사용할 수 있다. 한편, 4세대(4G) LTE 네트워크 및 WiMAX 네트워크와 같은 셀룰러 네트워크는, 직교 주파수 분할 다중 접속(OFDMA) 기술을 구현한다. 3세대(3G) 셀룰러 네트워크는, 코드 분할 다중 접속(CDMA) 기술을 사용할 수 있다. 몇몇의 실시형태에서는, 모바일 장치(102)는, 와이파이 및 셀룰러 네트워크의 양쪽과 통신하도록 구성된 물리 계층 회로를 갖는 듀얼 모드 장치일 수 있다.
도 2는 몇몇의 실시형태에 따른 SOAP-XML을 사용한 안전한 온라인 사인업 및 크리덴셜의 프로비저닝의 개요이다. 이들 실시형태에서는, 서버측 인증은 네트워크 요소를 인증하기 위해 사용된다. 그 후 와이파이 네트워크는, 모바일 장치(102)를, 가입을 설정하고 크리덴셜을 생성하기 위해 가입 서버(106)에, 또는 가입 개선을 위한 가입 개선 서버에 리다이렉트(redirect)한다.
동작 202에 있어서, 모바일 장치(102)는, EAP 방식을 사용하여, 와이파이 네트워크와 접속시키는 것에 의해, 크리덴셜 프로비저닝 처리를 개시한다. 성공적 EAP 교환은, 와이파이 핫스팟(104)에 전달되는 RADIUS ACCESS-ACCEPT 메시지(203)로 끝나게 된다. RADIUS ACCESS-ACCEPT 메시지(203)는, 와이파이 핫스팟(104)이 대신하여 시행할 액세스 제한을 포함하거나 나타낼 수 있다. 크리덴셜 프로비저닝 처리 중에 액세스 제한을 사용하면, 네트워크를 보호하고, 사용자가 인터넷 액세스를 취득하는 것을 방지하는 데에 도움이 될 수 있다. 몇몇의 실시형태에서는, RADIUS 인증 프로토콜은, 동작 202의 일부로서 실행될 수 있다. 몇몇의 실시형태에서는, RADIUS ACCESS-ACCEPT 메시지(203)는, 와이파이 핫스팟(104)으로 하여금, 모바일 장치(102)의 액세스를 서버의 제한된 세트로 한정하게 하는 명령을 포함할 수 있다.
동작 206에 있어서, 초기 SOAP 교환은, 가입 서버(106)에 적어도 몇몇 장치 능력 정보를 제공하기 위해, 또한 가입 서버(106)에 크리덴셜의 프로비저닝이 요구되고 있는지 여부 또는 가입 개선이 요구되는지 여부를 통지하기 위해, 모바일 장치(102)가 가입 서버(106)를 인증하는 것에 의해 행해진다. 가입 개선의 경우와 같이, 모바일 장치(102)가 이미 크리덴셜을 갖는 경우, 가입 서버(106)는, 자동적으로 모바일 장치를 인증할 수 있다. 이 정보를 수신하면, 가입 서버(106)는, 사용자 입력이 필요한지 여부 또는 머신 전용(machine-only) 교환 메시지가 필요한지 여부를 판단할 수 있다. 사용자 입력이 필요한 경우는, 가입 서버(106)는, 브라우저를 기동하도록 모바일 장치(102)에 통지할 수 있다. 머신 전용 메시지가 필요한 경우, 가입 서버(106)로부터의 응답은, 메시지 흐름이 완료된 것 또는 추가의 머신 교환이 필요한 것을 나타내는 지시를 포함할 수 있다. 이들 실시형태에서는, 이 흐름 내의 메시지는, "application/soap+xml"의 HTTP 콘텐츠 타입을 운반할 수 있다. 메시지는, 양쪽의 모바일 장치(102)에 있어서의 SOAP 처리 어플리케이션(예컨대, SOAP 처리 요소(125)) 및 가입 서버(106)에 있어서의 SOAP 처리 어플리케이션(예컨대, SOAP 처리 요소(135))에 전달될 수 있다.
동작 212는 사용자 입력이 필요할 때에(예컨대, 서비스를 위한 사인업하거나 요금을 지불하기 위해) 실행된다. 동작 212에 있어서, 모바일 장치(102)는, 브라우저를 기동할 수 있고, 사용자는, 웹페이지를 통해 정보를 요구받을 수 있다. 사용자 교환의 종료시에, 메시지 흐름은 완료되거나 또는 추가의 메시지가 요구될 수 있고, 어떤 경우에도, 가입 서버(106)는, 모바일 장치(102)에 메시지 교환이 완료된 것을 통지할 수 있고, 이와 달리 처리의 다음의 단계를 식별할 수 있다. 이들 실시형태에서는, 이 흐름 내의 메시지는, 웹페이지에 사용되는 HTTP 콘텐츠 타입을 운반한다. 이것은, "text/html", "application/xml", "application/xhtml+xml" 콘텐츠 타입을 포함하지만, 이것에 한정되는 것이 아니다.
동작 214에 있어서, 최후 SOAP의 교환은, 크리덴셜 프로비저닝 처리를 완료할 수 있다. 이 최후 SOAP 교환은, 머신 간 통신을 포함할 수 있다(즉, 사용자 입력이 필요치 않다). 이 최후 SOAP 교환은 인증서를 프로비저닝하는 경우에 사용될 수 있다. 이들 실시형태에서는, 이 흐름 내의 메시지는, "application/soap+xml"의 HTTP 콘텐츠 타입을 운반한다. 이들 메시지는, 모바일 장치(102) 및 가입 서버(106)의 양쪽의 SOAP 처리 어플리케이션에 전달될 수 있다.
동작 226에 있어서, 크리덴셜이 프로비저닝되었을 수 있기 때문에, 모바일 장치(102)는, 와이파이 네트워크와의 접속을 해제할 수 있다. 동작 228에 있어서, 모바일 장치(102)는, 후속 시간에 와이파이 네트워크와 접속하고 인증할 수 있다. 와이파이 핫스팟(104)은, AAA 서버(126)와의 사이에서 EAP 메시지를 중계할 수 있다. Access-Accept RADIUS 메시지(230)로 끝나는 성공적 EAP 교환의 끝에서는, AAA 서버(126)는, 적용 가능한 경우에, 사용자의 가입에 따라, 임의의 액세스 제한을 와이파이 핫스팟(104)에 전달할 수 있다. 따라서 크리덴셜 프로비저닝 또는 가입 개선을 위해 예시된 임의의 액세스 제한은 제거된다.
도 3(a) 및 도 3(b)는 몇몇의 실시형태에 따른 SOAP-XML 기술을 사용한 안전한 온라인 사인업 및 인증서 기반 크리덴셜의 프로비저닝을 위해 교환되는 메시지를 나타낸다. 동작 302에 있어서, 모바일 장치(102)는, 와이파이 핫스팟(104)과 접속될 수 있다. 몇몇의 실시형태에서는, 모바일 장치(102)는, 초기에 핫스팟 2.0 사용 가능 네트워크를 스캔할 수 있고, 또한 와이파이 네트워크가 보안적인지(예컨대, RSN을 사용 가능한지 또한 핫스팟 2.0 접속을 지원하는지)를 판단하기 위해 와이파이 핫스팟의 비컨 내의 표시를 찾을 수 있다. 모바일 장치(102)는, 사용자의 선호도에 근거하여, 가장 적절한 네트워크를 선택할 수 있다. 선택된 서비스 제공자에 가입하고 있지 않다고 모바일 장치(102)가 판단한 경우, 이하에서 보다 상세히 설명하는 바와 같이, 자동적으로(즉, 사용자의 개입 없이) 온라인 사인업 및 프로비저닝에 관여하도록 구성되어 있다.
RSN 사용 가능(RSN enabled) 네트워크에서는, 모바일 장치(102)는, 크리덴셜 없이 RSN 사용 가능 네트워크에 액세스하도록 구성될 수 있다. 이들 실시형태에서는, 모바일 장치(102)는, 온라인 사인업 네트워크 접근 식별자(NAI)를 요구하기 위해 포괄적 서버 액세스(GAS) 요구(예컨대, IEEE 802.11u 기반 GAS 요구)를 송신하도록 구성될 수 있다. 온라인 사인업 NAI는, GAS 쿼리를 사용하여 네트워크로부터 수신될 수 있다. NAI를 수신한 후, 모바일 장치(102)는, 서비스를 위해 사인업하고 프로비저닝을 위한 크리덴셜을 작성하고자 하는 것을, 네트워크에 나타내기 위해, 확장 가능 인증 프로토콜(EAP) 인증 처리에서 NAI를 사용할 수 있다. 네트워크는, 사용자 인증을 요구하지 않고서, 이 목적을 위해 모바일 장치(102)로의 액세스를 허가하도록 구성될 수 있다. 그 후, 이하에서 보다 상세히 설명하는 바와 같이, 모바일 장치(102)는 서버측의 인증을 실행할 수 있다.
몇몇의 실시형태에 있어서, 동작 302는, 모바일 장치(102) 및 인증자가 EAP 인증 처리 후에 생성된 마스터 키로부터 세션 키를 도출할 수 있도록 하는 4way 핸드쉐이크(4WHS)를 행하는 것을 포함할 수 있다. 4WHS는 IEEE 802.11i에 따를 수 있지만, 이것은 필요조건이 아니다. 동작 302에 있어서, 모바일 장치(102)는, 가입 서버(106)의 인증서를 수신하기 위해 와이파이 핫스팟(104)을 통해 가입 서버(106)와의 TLS 세션을 설정하도록 구성될 수 있다. 인증서는, 핫스팟 2.0 인증 기관(즉, 루트 트러스트)에 의해 발행될 수 있고, 루트 인증서라고 불릴 수 있는 핫스팟 2.0 인증서일 수 있다.
몇몇의 실시형태에서는, 모바일 장치(102)는, RFC 2560의 절차에 따라 동작 304에서 가입 서버(106)와의 TLS 세션을 설정할 수 있고, HTTPS를 사용하여 서버측의 인증을 실행할 수 있다. 몇몇의 실시형태에서는, 가입 서버(106)와의 TLS 세션을 설정한 후, 모바일 장치(102)는, 가입 서버(106)의 인증서가 핫스팟 2.0 트러스트 루트에 의해 서명된 것을 검증할 수 있다. 모바일 장치(102)가, 가입 서버(106)의 인증서가 핫스팟 2.0 루트 트러스트에 의해 서명된 것을 검증하거나 또는 검증할 수 있는 경우에는, 모바일 장치(102)는, 새로운 가입 설정을 개시하기 위해 동작 306을 실행하도록 구성될 수 있다.
TLS 세션이 크리덴셜의 프로비저닝을 위해 설정되어 있기 때문에, 본 명세서에 개시된 실시형태는, 개방 네트워크뿐 아니라, 보안 802.1x 형태의 네트워크에도 적용 가능하다. 이 때문에, 이하의 기재와 동일한 처리가, 개방/비보안 와이파이 네트워크 및 보안 와이파이 네트워크(예컨대, 802.1x 보안을 갖는다)에 사용될 수 있다.
몇몇의 실시형태에서는, 가입 서버(106)의 인증서가 핫스팟 2.0 루트 트러스트에 의해 서명된 것을 검증하기 위해, 모바일 장치(102)는, 핫스팟 2.0 루트 트러스트의 공개 키를 사용하여 인증서를 검증할 수 있다. 공개 키는, 키 서버로부터, 또는 모바일 장치(102) 내의 기억 소자로부터 얻어질 수 있다. 모바일 장치(102)가 사인업 서버의 인증서가 핫스팟 2.0 루트 트러스트에 의해 서명된 것을 검증할 수 없는 경우, 또는 사인업 서버의 인증서가 핫스팟 2.0 루트 트러스트에 의해 서명되지 않은 경우, 모바일 장치(102)는 온라인 사인업 및 프로비저닝 처리를 중지하고, 설정된 TLS 세션을 해제(release)/종료한다.
동작 306에 있어서, 모바일 장치(102)는, SOAP 기술에 따라 온라인 사인업 프로토콜(osp) 포스트 장치 데이터(ospPostDevData) 메시지를 가입 서버(106)에 송신할 수 있다. 메시지는, 요구 이유(requestReason) 값 및 장치 정보(DevInfo)와 장치 상세(DevDetail)를 포함할 수 있다. 몇몇의 실시형태에서는, 장치 정보 및 장치 상세 정보는, 특허 출원 제 13/188,205호에 개시되어 있는 바와 같은 OMA-DM DevInfo 및 OMA-DM DevDetail MO일 수 있다. 모바일 장치(102)는, 메시지 내의 요구 이유의 값을, 모바일 장치(102)가 크리덴셜의 등록을 희망한다는 것을 나타내는 "가입 등록"으로 설정할 수 있다.
가입 개선의 경우, 모바일 장치(102)는, 메시지 내의 요구 이유의 값을, 모바일 장치(102)가 가입 개선을 희망한다는 것을 나타내는 "가입 개선"으로 설정할 수 있다. 이들 실시형태는 이하에서 보다 상세히 논의된다(도 5 참조).
동작 308에서, 가입 서버(106)는 프로비저닝할 크리덴셜의 형태(즉, 사용자/패스워드 크리덴셜 또는 인증서 기반 크리덴셜)를 결정하기 위해 DevInfo 및 DevDetail MO에서 제공되는 정보를 사용할 수 있다. 도 3에서 설명한 실시형태에서는, 인증서 기반 크리덴셜은, 프로비저닝될 것이다. 동작 308에서, 가입 서버(106)는, 모바일 장치(102)에 SOAP 기술에 따라 ospPostDevDataResponse 메시지를 송신할 수 있다. 모바일 장치(102)는 가입 등록을 요구했으므로, 가입 서버(106)는, 모바일 장치가 메시지 내에 공급된 URI로 브라우저를 기동시키도록 하는 커맨드를 리턴할 수 있다.
동작 310에서, 가입 서버(106)로부터 Execute:LaunchBrowsertoURI 커맨드를 수신하면, 모바일 장치(102)는, 브라우저를 기동하여, 동작 308에서 리턴된 URI로의 보안 HTTPS 접속을 설정하고, HTTPS GET 요구를 동작 308에서 리턴된 온라인 서버 URI에 송신할 수 있다.
동작 312에 있어서, 모바일 장치(102) 및 가입 서버(106)는, 가입 생성을 위해 서비스 제공자에 의해 요구된 임의의 필수 사용자 정보를 교환할 수 있다. 이 교환은, 사용자에 관한 정보를 제공하는 것, 적절한 가입 계획을 선택하는 것, 임의의 신용 카드 정보 또는 결제 정보를 제공하는 것, 정책 및 다른 파라미터를 설정하는 것을 포함할 수 있다.
동작 312에서의 등록 데이터의 교환 후, 모바일 장치(102)가 가입 서버(106)로부터 ospUserInputResponse XML 인스턴스 문서를 검색할 수 있는 동작 314가 행해진다. 에러가 발생하지 않은 경우는, ospUserInputResponse는 ospStatus 및 getCertificate exec 커맨드의 컨테이너이다. 웹브라우저는, XML 인스턴스 문서를 처리하기 위해 로컬 등록 헬퍼 어플리케이션(locally registered helper application)(예컨대, 접속 매니저)에 건넬 수 있다. XML 인스턴스 문서는, 인증서 등록 서버(110)의 URI 및 인증서 등록을 위해 필요한 다른 메타데이터를 포함할 수 있다.
인증서 기반 크리덴셜이 프로비저닝되는 경우에 동작 316이 실행된다. 동작 316의 인증서 등록 절차는, 서비스 제공자와의 인증을 위한 가입 인증서를 모바일 장치(102)에 프로비저닝하기 위해 인증서 등록 프로토콜(예컨대, 인증서 관리 프로토콜(CMP) 또는 단순 인증서 등록 프로토콜(SCEP))에 따라 실시될 수 있다. 몇몇의 실시형태에서는, 인증서 등록 처리는, 통상의 조건하에, 60초 미만이 소요되도록 구성될 수 있다. 통상의 조건은, 와이파이 핫스팟(102) 및 서비스 제공자 코어의 코어 네트워크가 혼잡하지 않고, 인증서 등록 서버(110)가 과부하가 되어 있지 않은 경우를 포함할 수 있다. 성공적 절차의 끝에, 모바일 장치(102)는, 그 서비스 제공자의 와이파이 네트워크와의 인증을 위해 사용되는 가입 인증서를 프로비저닝 받을 것이다. 성공하지 못한 경우는, 모바일 장치(102)는, 인증서 등록 실패를 통지받을 것이다.
동작 316에서 수신된 가입 인증서는, 네트워크와의 EAP-TLS 기반 인증에 사용하기에 적합한 X.509 형태의 인증서일 수 있다. 몇몇의 실시형태에서는, 가입 인증서는 X.509v3 인증서일 수 있고, 싱글 사인 온(SSO)을 위한 공개 키 인프라스트럭처(PKI) 및 권한 관리 인프라스트럭처(PMI)에 대한 ITU-T 규격에 따라 구성될 수 있다.
동작 318에서, 모바일 장치(102)는, RFC 2560의 절차에 따라, 가입 서버(106)로의 TLS 접속을 개시하고 재협상할 수 있다. 인증서 등록이 성공적이었던 경우, 모바일 장치(102)는, TLS 인증을 실행할 때에 프로비저닝된 인증서를 사용하도록 구성될 수 있다. 인증서 등록이 실패한 경우(예컨대, 모바일 장치(102)가 인증서를 수신하지 않은 경우)는, 모바일 장치(102)는, TLS 인증을 실행할 때에 서버측 인증만을 실행할 수 있다. TLS 인증이 실패하면, 모바일 장치(102)는, 크리덴셜 프로비저닝 처리를 중지하도록 구성될 수 있다.
동작 320에 있어서, 모바일 장치는, 가입 서버(106)에 SOAP 기술에 따라 ospPostDevData 메시지를 송신할 수 있다. 메시지는, 장치 상세 및 장치 정보 MO를 포함할 수 있다. 모바일 장치(102)는, 이 메시지 내의 요구 이유 값을, 인증서 등록이 성공한 경우 "인증서 등록 완료"로, 또는 인증서 등록이 실패한 경우 "인증서 등록 실패"로 설정할 수 있다.
동작 322에 있어서, 인증서 등록이 성공했을 때, 가입 서버(106)는, 모바일 장치(102)에 SOAP 기술에 따라 ospPostDevDataResponse 메시지를 송신한다. 이 메시지는, 추가 MO(addMO) 커맨드 및 가입 MO를 포함할 수 있다. 가입 MO는, 프로비저닝된 인증서를 가입 및 보조적인 프로비저닝 데이터에 바인딩하는 인증서 식별자를 포함할 수 있다. ospPostDevDataResponse 메시지에서는, 상태(즉, ospStatus) 값이, 가입 및 인증서 프로비저닝 처리가 완료된 것을 나타내기 위해, "프로비저닝 완료"로 설정될 수 있다.
동작 324에 있어서, 모바일 장치(102)는, 동작 304에서 설정된 TLS 세션을 해제할 수 있다. 동작 326에 있어서, 모바일 장치(102)는 와이파이 네트워크와의 접속을 해제할 수 있다.
동작 328에 있어서, 동작 316에서 가입이 성공적으로 설정된 경우, 모바일 장치(102)는, 새롭게 얻어진 크리덴셜(즉, 동작 322에서 프로비저닝된 크리덴셜)을 사용하여 와이파이 핫스팟(104)(즉, 동일한 서비스 세트 식별자(SSID) 또는 동일한 HESSID)과 다시 접속될 수 있다.
도 4는 몇몇의 실시형태에 따른 SOAP-XML을 사용한 안전한 온라인 사인업 및 사용자명/패스워드 형태의 크리덴셜의 프로비저닝을 위해 교환되는 메시지를 나타낸다.
동작 402, 404, 406, 408은, 동작 408에서, 가입 서버(106)가, 사용자/패스워드 크리덴셜이 프로비저닝될 것임을 판단하기 위해 DevInfo 및 DevDetail MO에 제공된 정보를 사용할 수 있는 것을 제외하고, 동작 302, 304, 306, 308과 유사하다.
동작 410 및 412는 동작 310 및 312와 유사하다.
동작 422에 있어서, 모바일 장치(102)는, 가입 서버(106)로부터 ospUserInputResponse XML 인스턴스 문서를 검색할 수 있고, 가입 서버(106)는, 모바일 장치(102)에 SOAP 기술에 따라 ospPostDevDataResponse 메시지를 송신할 수 있다. 이 메시지는, 추가 MO(addMO) 커맨드 및 가입 MO를 포함할 수 있다.
동작 424에 있어서, 모바일 장치(102)는, 동작 404에서 설정된 TLS 세션을 해제할 수 있다. 동작 426에 있어서, 모바일 장치(102)는 와이파이 네트워크와의 접속을 해제할 수 있다.
동작 428에 있어서, 단계-7에서 가입이 성공적으로 설정된 경우, 모바일 장치(102)는, 새롭게 얻어진 크리덴셜(즉, 동작 422에서 프로비저닝된 크리덴셜)을 사용하여 와이파이 핫스팟(104)(즉, 동일한 서비스 세트 식별자(SSID) 또는 동일한 HESSID)과 다시 접속될 수 있다.
도 5는 몇몇의 실시형태에 따른 SOAP-XML을 사용한 가입 개선을 위해 교환되는 메시지를 나타낸다. 가끔, 사용자의 가입 또는 계정이 개선을 필요로 할 수 있다. 서비스 제공자는 이것이 필요할 때를 결정할 수 있지만, 일례는 패스워드 만료 및 계정의 체납을 포함한다. 가입 개선의 필요성은, AAA 서버(126)와 같은 서비스 제공자의 AAA 서버 내의 가입자의 가입 데이터베이스 엔트리에 저장될 수 있다. 와이파이 네트워크의 가입자로부터의 인증 요구에 이어서, 개선의 필요성이, 모바일 장치(102)에 시그널링될 수 있다. 그 후, 모바일 장치(102)는, 이하에 설명하는 바와 같이, 가입 개선 서버와의 가입 개선 메시지 교환에 관여할 수 있다.
동작 502에 있어서, 모바일 장치(102)는, 와이파이 핫스팟(104)과 접속되고, 동작 202(도 2)와 동일한 EAP 방법을 포함하는 인증 처리를 행한다. 서비스 제공자가 가입 개선이 필요하다고 판단한 경우, 동작 503에서, AAA 서버(126)는, EAP 인증 시퀀스의 끝에서 URL 리다이렉트를 갖는 RADIUS ACCESS-ACCEPT 메시지를 인증자(authenticator)로 송신하도록 구성되어 있다. RADIUS ACCESS-ACCEPT 메시지는, 가입 개선의 목적을 위해 모바일 장치(102)로의 액세스를 제한하는 액세스 제한을 포함할 수 있다. URL 리다이렉트는 가입 개선 서버(506)의 URL을 나타낼 수 있다.
동작 513에 있어서, 인증자는, (모바일 장치가 인증된) 와이파이 핫스팟(104)으로 하여금, 가입 개선의 필요성을 나타내는 액션 프레임을 모바일 장치(102)에 송신하게 할 것이다. 액션 프레임은, 벤더 고유의(VS) 액션 프레임일 수 있다. 다른 실시형태에서는, 모바일 장치(102)는, (예컨대, 액세스 제한으로 인해) 제한된 접속성이 존재하는지를 결정하기 위해, 또한 가입 개선이 필요한지를 결정하기 위해, (즉, 액션 프레임의 수신 이외의) 기술을 사용할 수 있다.
동작 518에 있어서, 모바일 장치(102)는, 동작 304(도 4)와 유사하게 가입 개선 서버(506)와의 TLS 접속을 설정할 수 있다. 모바일 장치(102)는, 가입 개선 서버(506)의 인증서가 폐지(revoke)되지 않은 것을 검증하도록 구성될 수 있다. 몇몇의 실시형태에서는, 모바일 장치(102)는, 인증서의 상태를 결정하기 위해 TLS 접속 내에서 온라인 인증서 상태 프로토콜(OCSP) 기술을 사용할 수 있다. 인증서가 폐지된 경우는, 모바일 장치(102)는, 가입 개선 처리를 중지할 수 있다. 모바일 장치(102)가 가입 개선 서버(506)로의 TLS 접속을 개시할 수 없는 경우, 가입 개선 처리를 중지하도록 구성될 수도 있다. 모바일 장치(102)는, HTTP를 사용하여(즉, HTTPS의 보안 없이) 가입 개선을 실행하는 시도를 방지하도록 구성될 수 있다.
동작 520에 있어서, 모바일 장치(102)는, 동작 306과 유사하게, 가입 개선 서버(506)에 SOAP 기술에 따라 ospPostDevData 메시지를 송신하도록 구성될 수 있다. 메시지는, 오픈 모바일 연합 장치 관리(OMA-DM) 프로토콜 DevInfo, DevDetail, 가입 MO를 포함하도록 구성될 수 있고, requestReason의 값은, "가입 개선"으로 설정될 수 있다. 가입 개선 서버(506)는, 다이제스트 방법을 사용하여 HTTP 인증을 요구할 수 있고, 모바일 장치(102)는, 사용자명 및 패스워드 다이제스트를 서버에 제공할 수 있다. HTTP 인증이 성공적이지 않은 경우, 가입 개선은 가능하지 않을 수 있고, 모바일 장치(102)는, 처리를 중지하도록 구성될 수 있고, 그것에 따라 사용자에 통지할 수 있다.
동작 522에 있어서, 가입 개선 서버(506)는, 모바일 장치(102)에 SOAP 기술에 따라 ospPostDevDataResponse 메시지를 송신할 수 있다. 메시지는, 가입 MO의 하나 이상의 내부 노드를 위한 XML 데이터를 포함할 수 있다(이하에서 보다 상세히 설명한다). 모바일 장치(102)는, 가입 MO의 하나 이상의 내부 노드를 메시지 내에서 수신된 갱신된 크리덴셜로 치환하도록 구성될 수 있다. ospPostDevDataResponse 메시지 내의 ospStatus는, 가입 개선 처리가 완료된 것을 나타내기 위해 "개선 완료"로 설정될 수 있다.
동작 524에 있어서, 모바일 장치(102)는, 동작 518에서 설정된 TLS를 해제할 수 있고, 동작 526에서 와이파이 네트워크와의 접속을 해제할 수 있다. 동작 528에 있어서, 모바일 장치(102)는, 가입 개선 처리 중에 갱신된 크리덴셜을 사용하여 접속할 수 있다.
본 명세서에 개시된 실시형태는, 머신 개선 및 사용자 개선에 적용 가능하다. 머신 개선은, 가입의 문제(들)가 사용자의 개입 없이 개선될 수 있는 것을 가리킨다. 사용자 개선은, 개선을 위해 사용자의 개입을 필요로 할 수 있는 가입의 문제(들)를 가리킨다.
도 6은 몇몇의 실시형태에 따른 관리 오브젝트 트리를 나타낸다. 관리 오브젝트 트리(600)는, 모바일 장치(102)에 기억될 수 있고, 트리 루트(601), 각 서비스 제공자(SP)를 위한 가입 MO(602) 및 각 서비스 제공자를 위한 FQDN(608)을 포함할 수 있다. 관리 오브젝트 트리(600)는, 장치 정보 MO(606)(DevInfo) 및 장치 상세 MO(604)(DevDetails)를 포함할 수 있다. 관리 오브젝트 트리(600)는, 또한 장치 고유의 와이파이 오브젝트를 위한 와이파이 MO(610)를 포함할 수 있다.
몇몇의 실시형태에서는, 장치 상세 MO(604)는, 모델, 벤더 정보, 어댑터의 형태, 어댑터 구성 등과 같은 장치 정보 및 사용자 정보를 포함할 수 있다. 장치 상세 MO(604)는, 장치에 고유한 추가 정보를 얻을 수 있는 URI, 장치 형태(예컨대, PC 카드, USB, 모뎀, 익스프레스 카드, 게임기, 음악 플레이어, 내비게이션 장치), OEM명, 펌웨어 버전, 소프트웨어 버전, 하드웨어 버전 및 호스트 장치가 라지 오브젝트의 처리를 지원하는지 여부와 같은 추가 정보를 포함할 수 있다. 단말 정보 MO(606)는, 호스트 장치에 대한 고유 식별자(예컨대, GUID), 제조자 식별자, 장치 모델, SOAP 클라이언트 버전 식별자, 및 호스트 장치의 언어 설정을 포함할 수 있다.
도 7은 몇몇의 실시형태에 따른 모바일 장치를 나타낸다. 모바일 장치(700)는, 모바일 장치(102)로서 사용하기에 적합할 수 있고, 안전한 온라인 사인업 및 크리덴셜의 프로비저닝, 및 가입 개선을 위해 상술한 다양한 동작을 행하도록 구성될 수 있다.
모바일 장치(700)는, 하나 이상의 안테나(701)를 이용하여 와이파이 핫스팟(104)(도 1)과 같은 와이파이 핫스팟과 무선 통신하도록 구성되는 물리 계층 회로(702)를 포함할 수 있다. 모바일 장치(700)는 또한, 특히, 프로비저닝된 크리덴셜, 가입 MO(602)(도 6) 및 관리 오브젝트 트리(600)(도 6)의 다른 요소를 기억하는 메모리(706)와 함께 본 명세서에 기재된 동작을 실행하도록 구성될 수 있는 처리 회로(704)를 포함할 수 있다. 처리 회로(704)는, 본 명세서에 기재된 다양한 SOAP 기술를 실행하기 위한 SOAP 처리 요소(125)를 포함할 수 있다. 모바일 장치(700)는 또한, 다른 동작을 실행하기 위한 매체 접근 제어를 위한 매체 접근 제어(MAC) 계층 회로와 같은 다른 기능 요소를 포함할 수 있다.
싱글 모드 모바일 장치의 경우, 물리 계층 회로(702)는, 와이파이 네트워크와 통신하도록 구성될 수 있다. 듀얼 모드의 실시형태에서는, 물리 계층 회로(702)는, 셀룰러 네트워크와 와이파이 네트워크의 양쪽과 통신하도록 구성될 수 있다. 듀얼 모드의 실시형태에서는, 모바일 장치(700)는, 와이파이 트랜스시버 및 하나 이상의 셀룰러 네트워크 트랜스시버의 양쪽을 포함할 수 있다. 듀얼 모드의 실시형태에서는, 모바일 장치(700)는, 셀룰러 네트워크로부터 이용 가능한 와이파이 네트워크로의 트래픽을 오프로드(offload)하도록 구성될 수 있다.
몇몇의 실시형태에서는, 모바일 장치(700)는, 개인용 디지털 보조 장치(PDA), 무선 통신 능력을 구비한 랩톱 또는 포터블 컴퓨터, 웹태블릿, 무선 전화, 스마트폰, 무선 헤드셋, 무선 호출기, 인스턴트 메시징 장치, 디지털 카메라, 액세스 포인트, 텔레비전, 의료 또는 건강 기기, 오락 기기, 또는 무선으로 정보를 수신 및/또는 송신할 수 있는 다른 장치와 같은 휴대형 무선 통신 장치일 수 있다.
안테나(701)는, 예컨대, 다이폴 안테나, 모노폴 안테나, 패치 안테나, 루프 안테나, 마이크로스트립 안테나, 또는 RF 신호의 송신에 적합한 다른 형태의 안테나를 포함하는 하나 이상의 지향성 또는 전방향 안테나를 포함할 수 있다. 몇몇의 실시형태에서는, 2개 이상의 안테나 대신에, 다수의 개구를 갖는 단일 안테나가 사용될 수 있다. 이들 실시형태에서는, 각 개구는 별개의 안테나로 생각될 수 있다. 몇몇의 다중 입출력(MIMO)의 실시형태에서는, 안테나(701)는, 각각의 안테나(701) 및 송신국의 안테나 사이에서 발생할 수 있는 공간 다이버시티 및 서로 다른 채널 특성을 이용하기 위해 효과적으로 분리될 수 있다.
모바일 장치(700)는, 여러 별개의 기능 요소를 갖는 것으로서 도시되지만, 기능 요소의 하나 이상은, 결합될 수 있고, 디지털 신호 처리기(DSP) 및/또는 다른 하드웨어 요소를 포함하는 처리 요소와 같은 소프트웨어 구성 요소의 조합에 의해 구현될 수 있다. 예컨대, 몇몇의 요소는, 하나 이상의 마이크로프로세서, DSP, 특정 용도용 집적 회로(ASIC), 무선 주파수 집적 회로(RFIC) 및 적어도 본 명세서에 기재된 기능을 실행하기 위한 다양한 하드웨어 및 논리 회로의 조합을 포함할 수 있다. 몇몇의 실시형태에서는, 모바일 장치(700)의 기능 요소는, 하나 이상의 처리 요소에서 동작하는 하나 이상의 처리를 가리킬 수 있다.
실시형태는, 하드웨어, 펌웨어 및 소프트웨어의 하나 이상의 조합으로 구현될 수 있다. 실시형태는 또한, 본 명세서에 기재된 동작을 실행하기 위해 적어도 하나의 프로세서에 의해 판독 및 실행될 수 있는 컴퓨터 판독 가능한 기억 장치에 기억된 명령으로서 구현될 수 있다. 컴퓨터 판독 가능한 기억 장치는, 머신(예컨대, 컴퓨터)에 의해 판독 가능한 형식으로 정보를 저장하기 위한 임의의 비일시적(non-transitory) 메커니즘을 포함할 수 있다. 예컨대, 컴퓨터 판독 가능한 기억 장치는, 리드 온리 메모리(ROM), 랜덤 액세스 메모리(RAM), 자기 디스크 기억 매체, 광 기억 매체, 플래시메모리 장치, 및 다른 기억 장치 및 매체를 포함할 수 있다. 몇몇의 실시형태에서는, 하나 이상의 프로세서는, 본 명세서에 기재되는 다양한 동작을 구현하기 위한 컴퓨터 판독 가능한 기억 장치에 기억된 명령으로 구성될 수 있다.
요약서는, 독자가 기술적 개시의 성질 및 요점을 확인하는 것을 가능하게 하는 요약을 요구하는 37 C.F.R. 섹션 1.72(b)에 부합되도록 제공된다. 그것은, 청구항의 범위 또는 의미를 한정 또는 해석하는 데에 사용되지 않는다는 이해하에 제출된다. 이하의 특허청구범위는, 각 청구항이 별개의 실시형태로서 독립적인 것으로 상세한 설명에 포함된다.

Claims (23)

  1. 와이파이 핫스팟 2.0 네트워크에 대한 안전한(secure) 온라인 사인업 및 프로비저닝을 위한, 모바일 장치에 의해 실행되는 방법으로서,
    확장 가능 인증 프로토콜(Extensible Authentication Protocol; EAP)을 사용하여 와이파이 핫스팟을 통해 와이파이 액세스 네트워크(Wi-Fi access network; AN)를 인증하는 단계와,
    가입 서버를 인증하고 요구 이유(request reason)의 표시를 제공하기 위해, 상기 가입 서버와 초기 심플 오브젝트 액세스 프로토콜(Simple Object Access Protocol; SOAP) 교환을 수행하는 단계와,
    상기 와이파이 액세스 네트워크를 통해 상기 가입 서버와 최후 SOAP 교환을 수행하는 단계를 포함하되,
    상기 가입 서버가 온라인 사인업 서버(OSU)로서 동작할 때, 상기 방법은,
    상기 OSU 와 정보를 교환하여, 와이파이 네트워크 액세스를 위한 서비스 제공자와의 가입을 설정하고 상기 가입을 위한 프로비저닝된 크리덴셜(provisioned credentials)을 포함하는 가입 관리 오브젝트(MO)를 수신하는 단계와,
    상기 최후 SOAP 교환 이후 상기 와이파이 핫스팟과의 접속을 해제하는 단계와,
    와이파이 접속을 재설정하기 위해 상기 와이파이 핫스팟과 재접속 - 상기 재접속은 EAP 기술을 사용함 - 하는 단계와,
    상기 재설정된 와이파이 접속을 통해 AAA 서버로 상기 프로비저닝된 크리덴셜을 제공하는 단계를 포함하는
    방법.
  2. 제 1 항에 있어서,
    상기 초기 SOAP 교환은,
    상기 모바일 장치의 장치 능력 정보를 제공하는 것을 더 포함하고,
    상기 요구 이유는 크리덴셜 프로비저닝(credential provisioning) 및 가입 개선(subscription remediation)을 포함하는
    방법.
  3. 제 1 항에 있어서,
    상기 초기 SOAP 교환 및 상기 최후 SOAP 교환은, 트랜스포트를 위한 응용 계층 프로토콜로서 보안 하이퍼텍스트 전송 프로토콜(HTTPS)을 사용하여 SOAP 기술에 따라 구성된 메시지를 포함하고,
    상기 메시지는, 확장 가능 마크업 언어(XML) 메시지 포맷에 따라 구성되는
    방법.
  4. 제 3 항에 있어서,
    상기 초기 SOAP 교환을 수행하는 단계는,
    상기 모바일 장치에 의해, 상기 SOAP 기술에 따라 온라인 사인업의 프로토콜(OSP) 포스트 장치 데이터(ospPostDevData) 메시지를 상기 가입 서버에 송신하는 단계 - 상기 메시지는 장치 정보(DevInfo) 및 장치 상세(DevDetail)를 포함함 - 와,
    상기 가입 서버로부터 상기 SOAP 기술에 따라 ospPostDevDataResponse 응답 메시지를 수신하는 단계 - 상기 응답 메시지는, Excute:LaunchBrowsertoURI 커맨드를 포함하고, 상기 모바일 장치는, 브라우저를 기동하여, 상기 응답 메시지로 수신된 온라인 서버 URI로의 보안 HTTPS 접속을 설정하고, 온라인 서버 URI에 HTTPS GET 요구를 송신하도록 구성됨 - 를 포함하는
    방법.
  5. 삭제
  6. 제 1 항에 있어서,
    상기 가입 서버와의 상기 초기 SOAP 교환의 일부로서, 프로비저닝될 크리덴셜의 형태의 표시를 수신하는 단계를 더 포함하고,
    프로비저닝될 크리덴셜의 형태는, 인증서 기반 크리덴셜(certificate-based credentials), 사용자명/패스워드 크리덴셜, 또는 가입자 정보 모듈(SIM) 형태의 크리덴셜 중 하나를 포함하는
    방법.
  7. 제 1 항에 있어서,
    가입 개선이 필요할 때, 상기 방법은, 상기 와이파이 핫스팟과의 접속 후, 가입 개선의 필요성을 나타내는 액션 메시지를 수신하는 단계를 포함하고,
    상기 초기 SOAP 교환 동안, 상기 방법은, 가입 중재 서버와의 가입 개선을 요구하는 단계와, SOAP 기술에 따라 정보를 교환하는 단계를 더 포함하는
    방법.
  8. 회로를 포함하는 하나 이상의 프로세서를 포함하는 장치로서,
    상기 회로는 로직을 가지며,
    상기 로직은,
    확장 가능 인증 프로토콜(EAP)을 사용하여 와이파이 핫스팟을 통해 와이파이 액세스 네트워크(AN)를 인증하고,
    가입 서버를 인증하고 요구 이유의 표시를 제공하기 위해, 상기 가입 서버와 초기 심플 오브젝트 액세스 프로토콜(SOAP) 교환을 수행하고,
    상기 와이파이 액세스 네트워크를 통해 상기 가입 서버와 최후 SOAP 교환을 수행하되,
    상기 가입 서버가 온라인 사인업 서버(OSU)로서 동작할 때, 상기 로직은 또한,
    상기 OSU와 정보를 교환하여, 와이파이 네트워크 액세스를 위한 서비스 제공자와의 가입을 설정하고 상기 가입을 위한 프로비저닝된 크리덴셜(provisioned credentials)을 포함하는 가입 관리 오브젝트(MO)를 수신하는
    장치.
  9. 제 8 항에 있어서,
    상기 초기 SOAP 교환의 일부로서,
    상기 로직은 또한,
    상기 장치의 장치 능력 정보를 제공하고,
    상기 요구 이유는 크리덴셜 프로비저닝 및 가입 개선 중 하나를 포함하는
    장치.
  10. 제 8 항에 있어서,
    상기 초기 SOAP 교환 및 상기 최후 SOAP 교환은, 트랜스포트를 위한 응용 계층 프로토콜로서 보안 하이퍼텍스트 전송 프로토콜(HTTPS)을 사용하여 SOAP 기술에 따라 구성된 메시지를 포함하고,
    상기 메시지는, 확장 가능 마크업 언어(XML) 메시지 포맷에 따라 구성되는
    장치.
  11. 와이파이 핫스팟 2.0 네트워크에 대한 안전한 온라인 사인업 및 프로비저닝을 모바일 장치에 제공하기 위해 가입 서버에 의해 실행되는 방법으로서,
    와이파이 네트워크로의 모바일 장치의 액세스를 허가하고, 상기 모바일 장치와의 와이파이 접속을 설정하기 위해, AAA 서버로부터 와이파이 핫스팟에 대한 수락 메시지를 송신하는 단계와,
    크리덴셜을 프로비저닝하기 위해 또는 가입 개선을 행하기 위해, 상기 모바일 장치와 초기 심플 오브젝트 액세스 프로토콜(SOAP) 교환을 행하는 단계 - 상기 초기 SOAP 교환은, 상기 모바일 장치가 상기 가입 서버를 인증하는 것을 포함함 - 와,
    상기 모바일 장치가 가입 관리 오브젝트(MO)를 수신할 수 있도록 상기 와이파이 네트워크를 거쳐서 상기 모바일 장치와 최후 SOAP 교환을 행하는 단계와,
    상기 모바일 장치와 정보를 교환하여, 와이파이 네트워크 액세스를 위한 서비스 제공자와의 가입을 설정하고, 상기 가입을 위한 크리덴셜을 프로비저닝하고, 상기 프로비저닝된 크리덴셜을 위한 상기 가입 MO를 생성하는 단계를 포함하는
    방법.
  12. 삭제
  13. 제 11 항에 있어서,
    상기 수락 메시지는, 상기 와이파이 핫스팟에 의해 실행되는 액세스 제한을 포함하는 RADIUS ACCESS-ACCEPT 메시지이고, 상기 액세스 제한은, 크리덴셜의 프로비저닝 또는 가입 개선을 위해 상기 모바일 장치의 상기 와이파이 네트워크로의 액세스를 제한하고,
    상기 수락 메시지는, 상기 모바일 장치가 확장 가능 인증 프로토콜(EAP) 기술을 사용하여 상기 와이파이 핫스팟과 접속하는 것에 응답하여 송신되는
    방법.
  14. 제 13 항에 있어서,
    상기 가입 서버와의 상기 초기 SOAP 교환의 일부로서,
    상기 방법은,
    프로비저닝될 크리덴셜의 형태를 결정하고, 프로비저닝될 상기 크리덴셜의 형태를 상기 모바일 장치에 표시하는 단계를 포함하고,
    프로비저닝될 상기 크리덴셜의 형태는, 인증서 기반 크리덴셜, 사용자명/패스워드 크리덴셜, 또는 가입자 정보 모듈(SIM) 형태의 크리덴셜 중 하나를 포함하는
    방법.

  15. 제 8 항에 있어서,
    상기 로직은 또한,
    사용자 입력을 수신하기 위해 웹페이지 사용자 프롬프트를 제공하고,
    상기 가입 서버와의 사용자 교환 시 상기 사용자 입력을 상기 가입 서버와 교환하고,
    상기 사용자 교환이 완료되었는지 여부에 대해 상기 가입 서버로부터 통지를 수신하는
    장치.
  16. 제 9 항에 있어서,
    상기 요구 이유는 크리덴셜의 프로비저닝이고,
    상기 로직은,
    상기 가입 서버에 의해 프로비저닝될 크리덴셜의 형태의 표시를 상기 가입 서버로부터 수신하는
    장치.
  17. 제 9 항에 있어서,
    상기 요구 이유가 가입 개선을 요구하는 것일 때, 상기 초기 SOAP 교환은 상기 장치가 상기 가입 서버로부터 인증의 표시를 수신하는 것을 포함하는 것인
    장치.
  18. 삭제
  19. 제 8 항에 있어서,
    상기 장치는,
    메모리와,
    하나 이상의 트랜시버를 더 포함하는
    장치.
  20. 제 19 항에 있어서,
    상기 장치는,
    하나 이상의 안테나를 더 포함하는
    장치.
  21. 명령어를 저장하는 비일시적 머신 판독가능한 매체로서,
    상기 명령어는 하나 이상의 프로세서에 의해 실행 시, 장치로 하여금,
    확장 가능 인증 프로토콜(EAP) 기술을 사용하여 와이파이 핫스팟을 통해 와이파이 네트워크와 접속하고,
    가입 서버를 인증하고 요구 이유의 표시를 제공하기 위해, 상기 가입 서버와 초기 심플 오브젝트 액세스 프로토콜(SOAP) 교환을 수행하고,
    상기 와이파이 네트워크를 통해 상기 가입 서버와 최후 SOAP 교환을 수행하게 하도록 구성하며,
    상기 가입 서버가 온라인 사인업 서버(OSU)로서 동작할 때, 상기 명령어는 또한 상기 장치로 하여금,
    상기 OSU와 정보를 교환하여, 와이파이 네트워크 액세스를 위한 서비스 제공자와의 가입을 설정하고 상기 가입을 위한 프로비저닝된 크리덴셜(provisioned credentials)을 포함하는 가입 관리 오브젝트(MO)를 수신하고,
    상기 최후 SOAP 교환 이후 상기 와이파이 핫스팟과의 접속을 해제하고,
    와이파이 접속을 재설정하기 위해 상기 와이파이 핫스팟과 재접속 - 상기 재접속은 EAP 기술을 사용함 - 하고,
    상기 재설정된 와이파이 접속을 통해 AAA 서버로 상기 프로비저닝된 크리덴셜을 제공하도록 구성하는
    비일시적 머신 판독가능한 매체.
  22. 제 21 항에 있어서,
    상기 명령어는 또한 상기 장치로 하여금,
    상기 장치의 장치 능력 정보를 제공하도록 구성하고,
    상기 요구 이유는 크리덴셜의 프로비저닝 또는 가입의 개선 중 하나를 포함하는
    비일시적 머신 판독가능한 매체.
  23. 제 21 항에 있어서,
    상기 초기 SOAP 교환 및 상기 최후 SOAP 교환은, 트랜스포트를 위한 응용 계층 프로토콜로서 보안 하이퍼텍스트 전송 프로토콜(HTTPS)을 사용하여 SOAP 기술에 따라 구성된 메시지를 포함하고,
    상기 메시지는, 확장 가능 마크업 언어(XML) 메시지 포맷에 따라 구성되는
    비일시적 머신 판독가능한 매체.
KR1020147009303A 2011-09-09 2011-09-09 Soap-xml 기술을 사용한 와이파이 핫스팟에 대한 안전한 온라인 사인업 및 프로비저닝을 위한 모바일 장치 및 방법 KR101644723B1 (ko)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/US2011/051056 WO2012036992A2 (en) 2010-09-15 2011-09-09 Mobile device and method for secure on-line sign-up and provisioning for wi-fi hotspots using soap-xml techniques

Publications (2)

Publication Number Publication Date
KR20140084026A KR20140084026A (ko) 2014-07-04
KR101644723B1 true KR101644723B1 (ko) 2016-08-01

Family

ID=50488950

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020147009303A KR101644723B1 (ko) 2011-09-09 2011-09-09 Soap-xml 기술을 사용한 와이파이 핫스팟에 대한 안전한 온라인 사인업 및 프로비저닝을 위한 모바일 장치 및 방법

Country Status (6)

Country Link
US (1) US9628990B2 (ko)
EP (1) EP2754260A4 (ko)
JP (1) JP5934364B2 (ko)
KR (1) KR101644723B1 (ko)
CN (1) CN103907310A (ko)
WO (1) WO2012036992A2 (ko)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9319880B2 (en) 2010-09-15 2016-04-19 Intel Corporation Reformatting data to decrease bandwidth between a video encoder and a buffer
WO2012110694A1 (en) 2011-02-14 2012-08-23 Nokia Corporation Seamless wi-fi subscription remediation
US8590023B2 (en) 2011-06-30 2013-11-19 Intel Corporation Mobile device and method for automatic connectivity, data offloading and roaming between networks
US9571482B2 (en) 2011-07-21 2017-02-14 Intel Corporation Secure on-line sign-up and provisioning for Wi-Fi hotspots using a device management protocol
EP2754260A4 (en) 2011-09-09 2015-05-06 Intel Corp MOBILE DEVICE AND METHOD FOR SECURE ONLINE REGISTRATION AND SUPPLY OF WIRELESS ACCESS POINTS USING SOAP-XML TYPE TECHNIQUES
US9907014B2 (en) * 2012-07-03 2018-02-27 Futurewei Technologies, Inc. System and method for subscription and policy provisioning
US9232400B2 (en) * 2012-11-13 2016-01-05 Alcatel Lucent Restricted certificate enrollment for unknown devices in hotspot networks
US9307408B2 (en) * 2012-12-27 2016-04-05 Intel Corporation Secure on-line signup and provisioning of wireless devices
WO2014123576A1 (en) * 2013-02-05 2014-08-14 Necati Canpolat Online signup provisioning techniques for hotspot connections
US20150223059A1 (en) * 2013-03-01 2015-08-06 Intel Corporation Techniques for establishing access to a local wireless network
US9992704B2 (en) * 2013-04-12 2018-06-05 Provenance Asset Group Llc Radio access network based traffic steering to non-cellular access
CN104954315B (zh) * 2014-03-24 2018-03-06 北京奇虎科技有限公司 提升安全套接层访问安全性的方法及装置
CN106465239B (zh) 2014-05-07 2019-12-10 Lg电子株式会社 在无线通信系统中由nan设备接收信号的方法和装置
GB2526619A (en) * 2014-05-30 2015-12-02 Vodafone Ip Licensing Ltd Service provisioning
EP3278589B1 (en) * 2015-03-31 2021-02-03 ARRIS Enterprises LLC Ehn venue-specific application provisioning
US10104544B2 (en) 2016-04-05 2018-10-16 Qualcomm Incorporated LTE-level security for neutral host LTE
AU2018274707B2 (en) * 2017-05-23 2023-05-25 Global Reach Technology, Inc. Improvements in and relating to network communications
US10949526B2 (en) * 2018-01-25 2021-03-16 Salesforce.Com, Inc. User device authentication
WO2023095086A1 (en) * 2021-11-29 2023-06-01 Jio Platforms Limited A system and method for creating automated internet account(s)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080127320A1 (en) 2004-10-26 2008-05-29 Paolo De Lutiis Method and System For Transparently Authenticating a Mobile User to Access Web Services
US20110154454A1 (en) * 2009-04-07 2011-06-23 Togewa Holding Ag Method and system for authenticating a network node in a uam-based wlan network

Family Cites Families (41)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003152718A (ja) * 2001-11-19 2003-05-23 Ntt Docomo Inc 携帯端末装置、情報管理システム、情報管理方法、管理プログラム及び管理プログラムを記録した記録媒体
US7221935B2 (en) 2002-02-28 2007-05-22 Telefonaktiebolaget Lm Ericsson (Publ) System, method and apparatus for federated single sign-on services
CN1628449B (zh) * 2002-06-20 2010-06-16 诺基亚公司 传送计费信息的方法、系统和设备
WO2004084465A2 (en) * 2003-03-14 2004-09-30 Thomson Licensing S.A. Automatic configuration of client terminal in public hot spot
JP4018584B2 (ja) * 2003-04-01 2007-12-05 キヤノン株式会社 無線接続装置の認証方法及び無線接続装置
JP4313171B2 (ja) * 2003-12-09 2009-08-12 株式会社日立製作所 認証制御装置および認証制御方法
EP1615381A1 (en) 2004-07-07 2006-01-11 Thomson Multimedia Broadband Belgium Device and process for wireless local area network association
US8571011B2 (en) * 2004-08-13 2013-10-29 Verizon Business Global Llc Method and system for providing voice over IP managed services utilizing a centralized data store
US7735091B2 (en) 2004-08-23 2010-06-08 At&T Intellectual Property I, L.P. Methods, systems and computer program products for providing application services to a user
US7826833B2 (en) 2005-02-17 2010-11-02 Madhavan P G Channel assay for thin client device wireless provisioning
JP2006277534A (ja) * 2005-03-30 2006-10-12 Nec Corp 代理検証システム及び方法並びにその携帯端末
US8041376B2 (en) * 2005-07-15 2011-10-18 Research In Motion Limited Methods and apparatus for providing PTT data buffering support indications from mobile devices and PTT data buffering control by wireless networks
US20070180499A1 (en) * 2006-01-31 2007-08-02 Van Bemmel Jeroen Authenticating clients to wireless access networks
US8767686B2 (en) * 2006-07-25 2014-07-01 Boingo Wireless, Inc. Method and apparatus for monitoring wireless network access
IES20070550A2 (en) 2006-08-03 2008-04-30 Accuris Technologies Ltd A roaming gateway
JP2008042862A (ja) * 2006-08-07 2008-02-21 Triconf:Kk 無線lan通信システム及びその方法並びにプログラム
US8453234B2 (en) 2006-09-20 2013-05-28 Clearwire Ip Holdings Llc Centralized security management system
JP4536051B2 (ja) * 2006-10-11 2010-09-01 Necインフロンティア株式会社 無線lan端末を認証する認証システム、認証方法、認証サーバ、無線lan端末、及びプログラム
JP4860593B2 (ja) * 2007-11-21 2012-01-25 日本電信電話株式会社 サービス提供システムおよびサービス提供方法
WO2009113801A2 (ko) 2008-03-14 2009-09-17 삼성전자 주식회사 무선 애드혹 네트워크 설정 방법 및 장치
US8213904B2 (en) * 2008-05-06 2012-07-03 Motorola Mobility, Inc. Method and apparatus for provisioning an electronic communication device via a mobile internet protocol registration
CN101626363B (zh) * 2008-07-07 2013-03-27 华为技术有限公司 聚合业务装置、系统、聚合业务创建及使用方法
CN101335586B (zh) * 2008-08-04 2011-01-19 中兴通讯股份有限公司 在多媒体播放设备上播放手机电视业务的方法及手机终端
CN101686147B (zh) * 2008-09-26 2012-12-19 华为终端有限公司 一种终端设备升级方法及实现该方法的终端设备
CN101477754A (zh) * 2008-12-29 2009-07-08 华中师范大学 一种无线课堂系统
JP5331592B2 (ja) * 2009-06-25 2013-10-30 株式会社日立製作所 端末装置の認証方法、端末装置の認証システム、端末装置、および、サービス提供者装置
JP2011028522A (ja) * 2009-07-24 2011-02-10 Softbank Mobile Corp ホスト装置、認証方法、並びに、コンテンツ処理方法及びそのシステム
CN101702708A (zh) * 2009-10-30 2010-05-05 华南理工大学 一种应用于数字家庭的媒体服务器管理方法
US20110265151A1 (en) 2010-04-22 2011-10-27 John Furlan Method of adding a client device or service to a wireless network
CN101917279B (zh) * 2010-08-09 2013-08-14 广州客多软件科技有限公司 广播信息发送系统和使用该系统发送广播信息的方法
CN101938692B (zh) * 2010-08-16 2013-06-26 中国电信股份有限公司 位置信息管理方法、平台及系统
US9319880B2 (en) 2010-09-15 2016-04-19 Intel Corporation Reformatting data to decrease bandwidth between a video encoder and a buffer
WO2012110694A1 (en) * 2011-02-14 2012-08-23 Nokia Corporation Seamless wi-fi subscription remediation
US8935654B2 (en) 2011-04-21 2015-01-13 Accenture Global Services Limited Analysis system for test artifact generation
US8590023B2 (en) 2011-06-30 2013-11-19 Intel Corporation Mobile device and method for automatic connectivity, data offloading and roaming between networks
EP2754260A4 (en) 2011-09-09 2015-05-06 Intel Corp MOBILE DEVICE AND METHOD FOR SECURE ONLINE REGISTRATION AND SUPPLY OF WIRELESS ACCESS POINTS USING SOAP-XML TYPE TECHNIQUES
US8594628B1 (en) 2011-09-28 2013-11-26 Juniper Networks, Inc. Credential generation for automatic authentication on wireless access network
US8863297B2 (en) 2012-01-06 2014-10-14 Mobile Iron, Inc. Secure virtual file management system
US8811363B2 (en) 2012-09-11 2014-08-19 Wavemax Corp. Next generation network services for 3G/4G mobile data offload in a network of shared protected/locked Wi-Fi access points
WO2014123576A1 (en) 2013-02-05 2014-08-14 Necati Canpolat Online signup provisioning techniques for hotspot connections
US9363736B2 (en) * 2013-12-16 2016-06-07 Qualcomm Incorporated Methods and apparatus for provisioning of credentials in network deployments

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080127320A1 (en) 2004-10-26 2008-05-29 Paolo De Lutiis Method and System For Transparently Authenticating a Mobile User to Access Web Services
US20110154454A1 (en) * 2009-04-07 2011-06-23 Togewa Holding Ag Method and system for authenticating a network node in a uam-based wlan network

Also Published As

Publication number Publication date
WO2012036992A2 (en) 2012-03-22
US20160157098A1 (en) 2016-06-02
WO2012036992A8 (en) 2014-04-24
US9628990B2 (en) 2017-04-18
EP2754260A4 (en) 2015-05-06
JP2014526726A (ja) 2014-10-06
CN103907310A (zh) 2014-07-02
EP2754260A2 (en) 2014-07-16
WO2012036992A3 (en) 2012-05-10
KR20140084026A (ko) 2014-07-04
JP5934364B2 (ja) 2016-06-15

Similar Documents

Publication Publication Date Title
KR101644723B1 (ko) Soap-xml 기술을 사용한 와이파이 핫스팟에 대한 안전한 온라인 사인업 및 프로비저닝을 위한 모바일 장치 및 방법
US10341328B2 (en) Secure on-line sign-up and provisioning for Wi-Fi hotspots using a device-management protocol
US9258706B2 (en) Mobile device and method for secure on-line sign-up and provisioning for wi-fi hotspots using SOAP-XML techniques
US9992671B2 (en) On-line signup server for provisioning of certificate credentials to wireless devices
US9825937B2 (en) Certificate-based authentication
CN113796111A (zh) 在无线通信系统中提供移动边缘计算服务的装置和方法
CN108183803B (zh) 热点网络中受限证书注册相关的设备
US20110035592A1 (en) Authentication method selection using a home enhanced node b profile
EP3335394B1 (en) Method and apparatus for extensible authentication protocol
KR101230209B1 (ko) 핫스팟 네트워크들을 위한 공통 데이터 모델 및 안전한 온라인 서명을 위한 방법
BR112014005388B1 (pt) Método realizado por um dispositivo móvel e dispositivo móvel para assinatura e provisionamento on-line seguros para hotspots wi-fi

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant