TW201406118A - 使用單一登入系統之一次往返認證 - Google Patents
使用單一登入系統之一次往返認證 Download PDFInfo
- Publication number
- TW201406118A TW201406118A TW102109511A TW102109511A TW201406118A TW 201406118 A TW201406118 A TW 201406118A TW 102109511 A TW102109511 A TW 102109511A TW 102109511 A TW102109511 A TW 102109511A TW 201406118 A TW201406118 A TW 201406118A
- Authority
- TW
- Taiwan
- Prior art keywords
- network
- authentication
- eap
- server
- access point
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/73—Access point logical identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/08—Access point devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
這裏描述了用於使得能夠針對安全網路存取進行一次往返(ORT)無縫使用者/裝置認證的系統、方法和裝置實施方式。例如,可在使用者/裝置和網路上的網路實體(例如應用伺服器)之間使用預先建立的安全性關聯及/或證明,以執行最佳快速認證及/或在相同或另一網路上以按需且無縫的方式完成安全性層認證和安全隧道設置。
Description
相關申請案的交叉引用
本申請案要求享有於2012年5月2日申請的美國臨時申請案No. 61/641, 622的權益,其內容藉由引用結合於此。
本申請案要求享有於2012年5月2日申請的美國臨時申請案No. 61/641, 622的權益,其內容藉由引用結合於此。
一般來講,為了存取網路,網路存取實體或服務(比如,例如熱點網路存取點)需要使用者獲得並輸入證明。此外,典型地,會將使用者的證明(例如使用者名稱、密碼、秘鑰)供應在使用者尋求存取的網路上。例如,熱點網路可要求使用者提供敏感資料(比如信用卡號碼)來存取網路。這種使用者輸入會引入安全風險並給使用者帶來認證負擔。此外,到熱點存取點的連接通常是不安全的,而且對裝置提供用於認證的識別碼和證明的現有方法經常會使認證協定增加延遲,這將使使用者的體驗變差。此外,現有方法可能是效率低的,例如,它們需要產生並維持未被使用的秘鑰。
舉例來講,可擴展認證協定(EAP)框架對鏈路層的認證框架進行了詳細說明。裝置可使用完全EAP認證來經由存取點(AP)獲得網路存取。當裝置到達之前訪問過的AP時,可使用快速EAP方法來比完全EAP更為快速地認證裝置(如果該裝置具有從在該AP處進行的之前完全EAP認證中導出的有效秘鑰材料的話)。但快速EAP認證可包括若干EAP交換和往返,這將導致時間延遲。一些對EAP的擴展(比如EAP-重新認證協定(EAP-RP))也會呈現它們自己的低效率。
舉例來講,可擴展認證協定(EAP)框架對鏈路層的認證框架進行了詳細說明。裝置可使用完全EAP認證來經由存取點(AP)獲得網路存取。當裝置到達之前訪問過的AP時,可使用快速EAP方法來比完全EAP更為快速地認證裝置(如果該裝置具有從在該AP處進行的之前完全EAP認證中導出的有效秘鑰材料的話)。但快速EAP認證可包括若干EAP交換和往返,這將導致時間延遲。一些對EAP的擴展(比如EAP-重新認證協定(EAP-RP))也會呈現它們自己的低效率。
這裏描述了用於使得能夠針對安全網路存取進行一次往返(ORT)無縫使用者/裝置認證的系統、方法和裝置實施方式。例如,可在使用者/裝置和網路上的網路實體(例如應用伺服器)之間使用預先建立的安全性關聯及/或證明,以執行最佳快速認證以及在相同或另一網路上以按需且無縫的方式完成安全性層認證和安全隧道設置。
在一種示例實施方式中,使用者設備(UE)與第一網路上的單點登入(SSO)伺服器建立安全性關聯。例如,第一網路可以是蜂巢網路。經由第一網路,UE發現位於第二網路上的存取點的網路識別碼。例如,第二網路可以是WLAN網路,比如熱點網路。進一步,UE可能希望在未來的某個時間存取該第二網路。UE從SSO伺服器導出動態產生的證明,比如主對話秘鑰(MSK)。該動態產生的證明可被用來在第二網路上認證存取點。在示例實施方式中,UE使用動態產生的證明來執行最佳認證,以經由第二網路獲得到該存取點的安全存取。這樣,UE利用在第一網路上導出的證明來獲得了到不同網路的安全存取。該最佳認證可以根據例如可擴展認證協定(EAP)框架。
在一種示例實施方式中,使用者設備(UE)與第一網路上的單點登入(SSO)伺服器建立安全性關聯。例如,第一網路可以是蜂巢網路。經由第一網路,UE發現位於第二網路上的存取點的網路識別碼。例如,第二網路可以是WLAN網路,比如熱點網路。進一步,UE可能希望在未來的某個時間存取該第二網路。UE從SSO伺服器導出動態產生的證明,比如主對話秘鑰(MSK)。該動態產生的證明可被用來在第二網路上認證存取點。在示例實施方式中,UE使用動態產生的證明來執行最佳認證,以經由第二網路獲得到該存取點的安全存取。這樣,UE利用在第一網路上導出的證明來獲得了到不同網路的安全存取。該最佳認證可以根據例如可擴展認證協定(EAP)框架。
10、52、202、302、402、502、602、702、802、902...使用者設備(UE)
12...域
14、204、304、404、506、604、704、804、908...存取點(AP)
16、910...認證、授權、記賬(AAA)代理伺服器
18...認證伺服器(AS)
50...一般流程
54...本地網路節點
56...識別碼提供者(IdP)
100...通信系統
102、102a、102b、102c、102d...無線傳輸/接收單元(WTRU)
104...無線電存取網路(RAN)
106...核心網路
108...公共交換電話網路(PSTN)
110...網際網路
112...其他網路
114a、114b...基地台
116...空中介面
118...處理器
120...收發器
122...傳輸/接收元件
124...揚聲器/麥克風
126...鍵盤
128...顯示器/觸控板
130...不可移式記憶體
132...可移式記憶體
134...電源
136...全球定位系統(GPS)晶片組
138...其他週邊裝置
140a、140b、140c...節點B
142...移動性管理組件(MME)
144...媒體閘道(MGW)
146...行動交換中心(MSC)
200、300、400、500、600、800、900...單點登入(SSO)系統
206、606...網路伺服器
306...熱點AAA伺服器
308、912...行動網路操作者(MNO)AAA伺服器
310、410、514、710、914...本地位置暫存器(HLR)/本地用戶系統(HSS)
406...強制性網頁認證入口/NAF
408...引導伺服器功能(BSF)
504...熱點網路
508...AAA代理/用戶端
510...ID提供者
512...授權伺服器
706...AAA代理伺服器/依賴方(RP)伺服器
708、806...開放ID識別碼提供者(OP)伺服器
904...本地OP
906...連接管理器(CM)
1000...完全EAP UMTS認證和秘鑰協定(EAP-AKA)呼叫流程
1100...快速EAP-AKA呼叫流程
1200...EAP-RP呼叫流程
EAP...可擴展認證協定
EMSK...基本秘鑰
Ko...預先共享的秘鑰
ORTA...一次往返認證
rIK...重新認證完整性秘鑰
rMSK...重新認證主對話秘鑰
rRK...重新認證根秘鑰
Seq...序號
S1、X2...介面
UMTS...通用行動電信系統
從以實例的方式結合這裏所附的附圖給出的以下說明可以對本發明進行更加詳細的理解,其中:
第1A圖是描述了用於執行基於單點登入(SSO)的一次往返認證(ORTA)存取的示例實施方式的流程圖;
第1B圖是描述了用於執行基於SSO的ORTA存取的另一示例實施方式的流程圖,其中根據可擴展認證協定(EAP)來實施該ORTA;
第2圖是描述了使用SSO系統的ORTA的示例實施方式的流程圖,其中該ORTA根據可擴展認證協定(EAP)重新認證協定(EAP-RP)來實施;
第3圖是描述了根據一種示例實施方式的使用單服務組識別符(SSID)的基於應用層的認證的流程圖;
第4圖是根據一種示例實施方式以將SSO系統用於使用兩個SSID和通用引導架構(GBA)框架來建立安全網路連接的流程圖;
第5圖是根據一種示例實施方式將SSO系統用於使用兩個SSID和開放ID連接框架來建立安全網路連接的流程圖;
第6A圖描述了使用SSO系統的ORTA的示例實施方式,其中該ORTA是根據EAP-AKA來實施並使用EAP-回應訊息觸發的;
第6B圖描述了使用SSO系統的ORTA的示例實施方式,其中該ORTA是根據EAP-AKA來實施並使用EAPoL-開始訊息觸發的;
第6C圖描述了使用SSO系統的ORTA的另一示例實施方式,其中該ORTA是根據EAP-AKA來實施並使用EAP-回應訊息觸發的;
第6D圖描述了使用SSO系統的ORTA的另一示例實施方式,其中該ORTA是根據EAP-AKA來實施並使用EAPoL-開始訊息觸發的;
第7圖是描述了將開放ID訊息封裝在EAP內的示例實施方式的呼叫流程;
第8圖是描述了利用(leveraging)現存安全性關聯(SA)來產生秘鑰的示例實施方式的呼叫流程;
第9圖是根據一種示例實施方式將SSO系統用於使用一個SSID和開放ID連接框架來建立安全網路連接的流程圖,其中在本地執行開放ID功能;
第10圖是描述了EAP-AKA完全認證的示例的流程圖;
第11圖是描述了EAP-AKA快速重新認證的示例的流程圖;
第12圖是描述了EAP-RP認證的示例的流程圖;
第13圖描述了重新認證根秘鑰(rRK)的示例導出;
第14A圖是可在其中實施一個或多個揭露的實施方式的示例通信系統的系統圖;
第14B圖是可在第14A圖中描述的通信系統內使用的示例無線傳輸/接收單元(WTRU)的系統圖;以及
第14C圖是可在第14A圖中描述的通信系統內使用的示例無線電存取網路和示例核心網路的系統圖。
第1A圖是描述了用於執行基於單點登入(SSO)的一次往返認證(ORTA)存取的示例實施方式的流程圖;
第1B圖是描述了用於執行基於SSO的ORTA存取的另一示例實施方式的流程圖,其中根據可擴展認證協定(EAP)來實施該ORTA;
第2圖是描述了使用SSO系統的ORTA的示例實施方式的流程圖,其中該ORTA根據可擴展認證協定(EAP)重新認證協定(EAP-RP)來實施;
第3圖是描述了根據一種示例實施方式的使用單服務組識別符(SSID)的基於應用層的認證的流程圖;
第4圖是根據一種示例實施方式以將SSO系統用於使用兩個SSID和通用引導架構(GBA)框架來建立安全網路連接的流程圖;
第5圖是根據一種示例實施方式將SSO系統用於使用兩個SSID和開放ID連接框架來建立安全網路連接的流程圖;
第6A圖描述了使用SSO系統的ORTA的示例實施方式,其中該ORTA是根據EAP-AKA來實施並使用EAP-回應訊息觸發的;
第6B圖描述了使用SSO系統的ORTA的示例實施方式,其中該ORTA是根據EAP-AKA來實施並使用EAPoL-開始訊息觸發的;
第6C圖描述了使用SSO系統的ORTA的另一示例實施方式,其中該ORTA是根據EAP-AKA來實施並使用EAP-回應訊息觸發的;
第6D圖描述了使用SSO系統的ORTA的另一示例實施方式,其中該ORTA是根據EAP-AKA來實施並使用EAPoL-開始訊息觸發的;
第7圖是描述了將開放ID訊息封裝在EAP內的示例實施方式的呼叫流程;
第8圖是描述了利用(leveraging)現存安全性關聯(SA)來產生秘鑰的示例實施方式的呼叫流程;
第9圖是根據一種示例實施方式將SSO系統用於使用一個SSID和開放ID連接框架來建立安全網路連接的流程圖,其中在本地執行開放ID功能;
第10圖是描述了EAP-AKA完全認證的示例的流程圖;
第11圖是描述了EAP-AKA快速重新認證的示例的流程圖;
第12圖是描述了EAP-RP認證的示例的流程圖;
第13圖描述了重新認證根秘鑰(rRK)的示例導出;
第14A圖是可在其中實施一個或多個揭露的實施方式的示例通信系統的系統圖;
第14B圖是可在第14A圖中描述的通信系統內使用的示例無線傳輸/接收單元(WTRU)的系統圖;以及
第14C圖是可在第14A圖中描述的通信系統內使用的示例無線電存取網路和示例核心網路的系統圖。
下文中的具體描述用於描述示例性實施方式,其不是為了限制本發明的範圍、應用性或配置。在不偏離本發明的精神和範圍的情況下,可對其元件和步驟的功能和安排進行各種改變。
這裏對系統、方法和裝置實施方式進行了描述,用於使得能夠對安全網路存取進行一次往返(ORT)無縫使用者/裝置認證。在示例實施方式中,可在使用者/裝置和第一網路上的網路實體(例如應用伺服器)之間建立安全性關聯和證明,以供在第二網路中使用。在示例實施方式中,第一網路是蜂巢網路,而第二網路是WLAN網路,比如熱點網路。來自第一網路的安全性關聯和證明可被用來(leverage)執行最佳的快速認證以及在相同或不同網路上以按需的且無縫的方式完成安全性層認證和安全隧道設置。雖然這裏描述的實施方式通常是在開放ID協定的上下文中描述的,但是這些實施方式並不被限制於實施開放ID協定,並且可實施其他單點登入(SSO)協定及/或例如聯合識別碼協定。類似地,雖然開放ID實體通常在這裏被用作參考,但是實施方式並不限於開放ID實體,而且開放ID實體可被擴展到與開放ID實體執行相同或相似功能的其他實體。例如,如這裏所用的情況一樣,術語依賴方(RP)和用戶端可指服務提供者(SP),比如服務網站或網路存取點。術語開放ID識別碼提供者(OP)和授權伺服器可指網路識別碼提供者(IdP)或認證端點(AEP)。術語使用者設備(UE)可指任何合適的無線傳輸/接收單元(WTRU),如在這裏進一步所描述的。
這裏描述的實施方式可使用在使用者/使用者設備(UE)和第一網路實體之間預先建立的安全性關聯和證明以能夠對不同網路進行最佳快速可擴展認證協定(EAP)存取。在示例實施方式中,最佳EAP重新認證協定(EAP-RP)被用來基於預先建立的安全性關聯和動態產生的證明來存取網路或服務。可在使用者/UE和單點登入(SSO)系統(比如開放ID、開放ID連接、通用引導架構(GBA)等等)之間預先建立安全性關聯。最佳快速EAP和EAP-RP認證可使得能夠進行一次往返(ORT)相互認證和產生對話秘鑰。
在示例實施方式中,使用者/UE從第一網路實體請求並獲得發現資訊。這種資訊可包括例如存取點(AP)識別碼(例如MAC位址或SSID)、所支援的安全性協定(例如AP支援EAP-RP、EAP等)以及所支持的加密套件的類型(HMAC-SHA-256、HMAC-SHA-512等)。網路實體接收發現請求,並向使用者/IE發送網路發現資訊。例如,可在蜂巢網路上經由存取網路發現和選擇功能(ANDSF)來向UE發送網路發現資訊(例如使用開放行動聯盟(OMA)裝置管理(DM)協定等)。替代地,可經由層2協定(例如使用通用廣告服務(GAS)和存取網路詢問協定(ANQP)的802.11u)來向UE發送網路發現資訊。
在另一示例實施方式中,使用者/UE發現其可能希望在未來連接到的網路(例如AP)。使用者/IE經由例如第一網路實體獲得所發現的網路的識別碼。使用者/UE將所發現的識別碼傳遞到第一網路實體,該第一網路實體充當用於在UE和所發現的網路之間的認證的服務者(facilitator)。例如,使用者/IE可通知所發現的網路預計來自UE的連接請求,從而所發現的網路能夠期待來自使用者/UE的連接請求並能夠與使用者/UE建立安全性關聯。可在通信堆疊的各個層(比如應用層、層3和層2協定)上發送這樣的網路發現資訊。UE可例如在進行認證及/或關聯程序的同時以隱式或顯式的方式從所發現的網路請求和獲得網際協定(IP)位址配置。例如,UE可在EAP認證期間請求IP位址(例如隱式地或顯示地)。第一網路實體可接收位址配置請求、並向UE發送IP位址配置。例如,第一網路實體可基於來自UE的隱式或顯示請求以代表UE請求IP位址配置。根據示例實施方式,在蜂巢網路上經由ANDSF向UE發送IP位址配置。在另一示例實施方式中,例如,在EAP-成功或EAP-完成訊息中,經由認證、授權、記賬(AAA)伺服器向UE發送IP位址配置。在又一個示例實施方式中,經由層2協定(例如EAP通知訊息)向UE發送IP位址配置。
在這裏描述的示例實施方式中,臨時或永久ORT認證(ORTA)識別碼被創建並發送到使用者/UE,例如在使用者/UE和第一網路實體之間的安全性關聯建立階段期間。還可藉由UE及/或第一網路實體以例如使用共用加密方式來導出臨時或永久識別碼。在另一示例實施方式中,網路實體對從使用者/UE接收的臨時或永久ORTA識別碼進行驗證,並且網路實體將ORTA識別碼與使用者/UE和網路實體之間的已有的安全性關聯上下文相關聯。UE和網路實體可進行協商並選擇用於EAP認證的協定。例如,作為EAP協商的一部分,UE可使用可在EAP訊息內部攜帶的動態主機配置協定(DHCP)以同時請求IP位址配置。UE和網路可進行協商並選擇密碼套件,例如用於導出秘鑰以及用於確保UE和網路之間的通信的安全。
網際網路工程任務組(IETF)的可擴展認證協定(EAP)使用諸如請求方(supplicant)(例如用戶端)、認證方(例如存取點)和認證伺服器(例如AAA伺服器)之類的實體來說明在鏈路層處的認證框架。認證方在請求方和伺服器之間轉移EAP訊息。例如,訊息在無線側被EAPOL封裝、且在有線側被RADIUS(半徑)封裝。由於成功完全EAP認證,用戶端被允許進行網路存取,並且在無線電鏈路上發送的訊務被加密。藉由提供用戶端和網路之間的相互認證、認證證明的安全轉移和用於對話加密秘鑰的秘鑰材料的產生,EAP認證增強了WLAN安全性。
例如,當裝置到達新的認證方時,其可執行完全EAP認證。例如,如果裝置包括從之前的完全EAP認證導出的新鮮(fresh)的秘鑰材料,則裝置可執行快速EAP認證。執行常規快速EAP認證涉及用來完成EAP認證的多個EAP交換和往返,潛在地導致差的端使用者體驗。如此處所述,SSO系統可被使用以及預先建立的使用者/UE和網路安全性關聯和證明可被用來最佳化快速EAP和EAP-RP認證協定。
在這裏描述的各種實施方式中,根據可擴展的認證協定(EAP)實施認證。各種EAP實施提供完全認證或快速EAP認證、並產生對話秘鑰,以確保使用者設備(UE)和網路之間的通信。雖然這裏參照EAP UMTS認證和秘鑰協定(EAP-AKA)協定對ORT認證進行了描述,可將相同或相似的概念應用到其他認證協定,比如EAP傳輸層安全性(EAP-TLS)、EAP隧道化傳輸層安全性(EAP-TTLS)、EAP用戶身份模組(EAP-SIM)、EAP-AKA’等。
第10圖描述了示例性完全EAP-AKA呼叫流程1000。參考第10圖,EAP-AKA協定是提供相互認證並產生對話秘鑰的若干EAP變形中的一種。EAP-AKA認證協定使用UMTS認證和秘鑰協定(AKA)機制。EAP-AKA允許行動操作者針對UMTS和WLAN存取兩者都使用通用認證基礎結構。
第11圖描述了示例性快速EAP-AKA呼叫流程1100。參考第11圖,常規EAP-AKA完全認證從操作者的認證中心要求新鮮的認證向量、並涉及用來完成認證的多個操作和往返。EAP-AKA協定包括針對不使用AKA演算法且不需要來自操作者的認證中心的新向量的快速重新認證的選項。常規EAP-AKA快速重新認證是基於在之前的完全EAP-AKA認證期間導出的秘鑰。例如,在完全認證中使用的認證秘鑰(K_aut)和加密秘鑰(K_encr)可被用來保護快速EAP-AKA訊息和屬性,以及來自完全認證的原始主秘鑰可被用來產生新鮮主對話秘鑰。
快速重新認證交換可利用無符號16位元計數器,其可被包括在“AT_COUNTER”屬性中。例如,計數器可被用來限制在沒有完全認證的情況下的連續重新認證交換的數量。計數器可有助於秘鑰材料,且計數器可保護對等方和伺服器避免重放。計數器屬性可被加密。在EAP-AKA快速重新認證的示例實施中,伺服器將加密伺服器亂數(random nonce)包括在快速重新認證請求中。對等方的回應中的AT_MAC屬性是在NONCE_S上計算的,以便提供質詢/回應認證方案。NONCE_S還有助於新的主對話秘鑰。這樣,常規EAP-AKA快速重新認證涉及用來完成EAP認證的多個EAP交換和往返。多個交換和往返可增加延遲,這會影響使用者體驗。
第12圖描述了示例性EAP-RP呼叫流程1200。參考第12圖,常規EAP-RP將基本EAP擴展,以改進EAP認證。EAP-RP描述一組對EAP的擴展,以使得能夠對對等方進行重新認證,其中該對等方已經在先前的完全認證階段中與EAP伺服器建立了至少一部分EAP秘鑰材料。常規的擴展包括被稱為EAP-發起和EAP-完成的EAP編碼。
繼續參考第12圖,典型的EAP-RP呼叫流程1000包括對等方、認證方和EAP-RP伺服器(例如AAA伺服器)。EAP-RP假定對等方與AAA伺服器執行完全EAP認證以及兩個實體共用EMSK。對等方和AAA伺服器從EMSK導出名稱為rRK的秘鑰。從rRK導出名稱為重新認證完整性秘鑰(rIK)的新的秘鑰,以在重新認證期間提供持有證明和認證。
第13圖描述了重新認證根秘鑰(rRK)的示例導出1100。參考第13圖,常規EAP-RP定義了對重新認證根秘鑰(rRK)的導出,該rRK被用作EAP-RP認證的根秘鑰。rRK是從EMSK導出的,其作為完全EAP的一部分產生。使用rRK導出的重新認證完整性秘鑰(rIK)被用於持有證明,並從而用於對等方的認證。由UE和AAA伺服器產生的EAP-RP訊息使用rIK來保護完整性。在常規EAP-RP實施中,導出重新認證主對話秘鑰(rMSK),以在作為四向(4-way)交握協定的一部分導出的對話秘鑰的導出中使用。舉例來講,一般KDF被用來支援多種EAP協定,但秘鑰演算法通常基於HMAC-SHA。由於不同的EAP實施使用不同的秘鑰長度,所以秘鑰演算法可被用來產生64、128及/或256位元秘鑰。
實施常規EAP-RP可要求修改現有的EAP實施,以支持EAP-RP擴展。例如,EAP-RP擴展可要求對UE、AP及/或AAA實體進行更新或代替。常規的EAP-RP實施是藉由AP發送EAP-發起/重新認證-開始訊息來觸發的。在這種實施中,AP可能不知道UE是否支持EAP-RP或UE最近是否經由另一AP執行過完全EAP認證。此外,如果UE和AP之間同時運行多個協定,則EAP-RP和其他EAP協定之間可能存在衝突。
常規EAP-RP假定用於重新認證秘鑰產生的基本秘鑰(例如EMSK 512位元)是從包括至少兩次往返的完全EAP認證中導出的,由此增加延遲。舉例來講,除非常規EAP-RP實施中存在重新認證,則不能被使用作為完全EAP的一部分產生的秘鑰(例如EMSK)。這樣,存在與產生和維持/確保未使用的秘鑰相關聯的負荷成本。
第1A圖根據示例實施方式描述了用於執行基於單點登入(SSO)的一次往返認證(ORTA)存取的一般流程50。一般流程50被分成3個階段:階段1、階段2和階段3。根據示出的實施方式,UE 52、本地網路節點54和識別碼提供者(IdP)56相連,從而它們在彼此之間是可發現的且能夠互相通信。例如,本地網路節點54可基於UE 52的識別碼來發現IdP 56。UE 52的識別碼可提供充分的資訊來使得能夠發現IdP 56、並且可由UE 52傳遞到本地網路節點54。替代地,IdP 56可基於由UE 52提供給它的資訊來發現本地網路節點54。UE 52可基於廣播資訊來獲得關於本地網路節點54的資訊,這可提供足夠的資訊以使得能夠由IdP 56發現本地網路節點54。根據示例實施方式,UE 52可與IdP 56進行通信,以使得UE 52能夠發現本地網路節點54並與之進行通信。本地網路節點54可實施存取點(AP)、AAA代理伺服器及/或依賴方(RP)的功能,這樣本地網路節點54還可被稱為AP 54、AAA代理伺服器54或RP 54,且不限於此。IdP 56可實施識別碼提供者(比如開放ID識別碼提供者(OP)、3GPP規定的引導伺服器功能(BSF)、AAA伺服器)的功能,從而IdP 56還可被稱為OP 56、BSF 56或AAA伺服器56,且不限於此。
參見第1A圖,在58(階段1),在通信堆疊的任意層上創建UE 52和IdP 56之間的持續安全性關聯。在較佳實施方式中,安全性關聯創建於應用層。根據所示的實施方式,階段1是在第一網路上實施的,比如蜂巢網路或WLAN。例如階段1實施UE 52和IdP 56之間的應用層認證。應用層認證可導致導出一個或多個秘鑰,比如加密秘鑰及/或完整性秘鑰,其可被用來創建主秘鑰(MK)。可根據各種協定(比如GBA、開放ID、開放ID連接等)或根據網路層認證(比如EAP)實施應用層認證。在60(階段2),認證發生於UE 52和IdP 56之間。這種認證可位於存取層、網路層或應用層。在階段2期間發現第二網路的識別碼,其不同於第一網路。例如,第二網路可以是WLAN網路或熱點網路。這一識別碼可包括本地網路節點54的識別碼。這樣,本地網路節點54可以是WLAN或熱點網路的一部分。在階段2產生秘鑰,比如主對話秘鑰(MSK)或EMSK,其特定於由第二網路使用的認證機制。秘鑰可被綁定到UE 52和第二網路。可使用各種訊息發送協定(比如在應用層的HTTP訊息或在網路層的EAP訊息)來實施階段2。階段2中的存取層認證可根據EAP、EAP-AKA/TLS等來實施。根據所示出的實施方式,階段2可經由第一網路來實施,該第一網路可以是蜂巢網路或WLAN,或者可經由第二網路來實施階段2。可根據所示出的實施方式在階段3期間使用秘鑰。
仍然參見第1A圖中示出的實施方式,在62(階段3),在本地網路節點54處與第二網路認證UE 52。這樣,UE 52經由本地網路節點54來建立到網際網路的安全存取。此外,所示出的UE 52已經利用了在UE 52和IdP 56之間導出的證明(其可能已經在第一網路(例如蜂巢網路)上執行),以獲得到第二網路(例如WLAN)的安全存取。如下文詳細描述,可根據與第二網路相容的各種協定(比如EAP、快速EAP、EAP-RP或EAP-ORTA)來實施階段3。
第1B圖描述了根據示例實施方式的用於執行基於SSO的一次往返認證(ORTA)存取的流程圖,其中實施了EAP。為了示例性目的,第1B圖被分成3個階段:階段1、階段2和階段3,其與第1A圖所示的三個階段一致。在示出的實施方式中,UE 10還可被稱作對等方10,並且域12包括存取點14和AAA代理伺服器16。AAA代理伺服器16可實施應用層功能、並從而可被稱作服務提供者(SP)16或依賴方(RP)16。類似地,所示出的實施方式包括認證伺服器(AS)18,其可由識別碼提供者(IdP)18(比如開放ID識別碼提供者(OP)18)實施、並從而可被稱為IdP 18。AS 18還可被稱作AAA伺服器18,且不限於此。
根據示出的實施方式,在20的階段1期間,UE 10使用其識別碼來與AS 18相互認證。例如,UE 10可使用其操作者提供的識別碼(例如ue_idatt.com)或由識別碼提供者提供的識別碼(例如ue_namegmail.com)來與AS 18相互認證。AS 18可被行動網路操作者(MNO)控制。這一認證可在HTTP上使用例如通用引導架構(GBA)協定、開放ID/EAP協定、開放ID連接/EAP協定等來實施。或者,可使用例如存取層協定(比如EAP)來執行認證。可在20處從相互認證導出秘鑰。例如,當在20處實施GBA時,可從加密秘鑰(CK)及/或完整性秘鑰(IK)導出主秘鑰(MK)。根據示出的實施方式,在存取到域12處的服務或網路存取之前,完成了在20處的相互認證。例如,可在預計對服務進行存取的情況下(比如,預計對域12處的熱點網路進行存取的情況下),完成在20處的相互認證。在20處產生的秘鑰的壽命可以改變(例如以天、小時等為單位的秘鑰壽命)。這些秘鑰可被綁定到AS 18以及UE 10的識別碼。在示例實施方式中,如果UE 10和AS 18之間存在有效的安全性關聯,則跳過階段1。
仍然參見第1B圖,在22處的階段2期間,UE 10基於網路指示或其他方式來發起最佳的EAP或開放ID認證。這種網路指示可取決於地理位置、當日時間等。根據所示出的實施方式,在22處,UE 10請求到由域(比如域12)控制的網路資源的存取。例如,請求可包括針對存取網路(比如熱點網路)的請求,或請求可包括針對存取各種其他網路資源(比如網站和應用)的請求。這種網路資源可由單一域(例如boingo.com、microsoft.com、verizon.com)控制。根據所示出的實施方式,藉由由例如AS 18發現用來使得能夠與域12進行通信的域12的識別碼,UE 10可發起階段2。識別碼可由UE 10來感測。識別碼可以是經由ANDSF協定及/或802.11u(例如GAS/ANQP)協定以使用指示來發現的網路識別碼。根據另一實施方式,網路識別碼可由UE 10經由來自WLAN信標(比如AP 14的SSID和BSSID,其使得域12能夠被唯一地且全球地發現)的通告來發現(例如,感測),且UE 10可隨後被稱為位址解析(resolution)方案伺服器,以識別域12的AAA代理伺服器/RP 16的IP地址。替代地,UE 10可將其識別碼傳送到AP 14及/或域12的AAA代理伺服器/RP 16,其中可從該識別碼發現AS 18。例如,AS 18可以已經向UE 10指派了識別碼“ue_namegoogle.com”來發現AS 18。“ue_name”隨後可使得AS 18唯一地識別UE 10。
根據示出的實施方式,在22處,AS 18和UE 10可計算MSK以及(可選地)EMSK、並可將MSK綁定到域12。這樣,根據示出的實施方式,MSK成為針對隨後將被產生以用於存取域12內的資源的秘鑰的域根秘鑰,並且還導出臨時識別碼(ORTA ID)。如此處所述,所導出的識別碼可被稱作一次往返認證(ORTA)識別碼(ID)。ORTA ID可被用於域12內的標識目的。例如,臨時識別碼(ORTA ID)可與域12具有相同的“領域(realm)”,從而UE 10的ORTA ID是ue域12.com(例如ueyahoo.com、ueverizon.com等)。根據示出的實施方式,為了存取新的域(UE 10與其不具有關聯或具有有效壽命的綁定的秘密MSK),重複階段2。在示例實施方式中,如果存在與域相關聯的有效MSK(甚至例如當資源屬於不同網路(例如實體的及/或邏輯的)時),則跳過階段2。有效MSK可指具有尚未期滿的壽命(從而是有效的)的MSK。
仍然參見第1圖中示出的示例,在24處的階段3期間,UE 10產生EAP訊息,其包括UE 10的ORTA ID。EAP訊息是在UE 10識別域12內所需的資源(例如存取熱點AP 14)之後產生的。EAP訊息可被rIK保護,其中rIK是使用MSK作為根秘鑰而產生的。例如,AAA代理伺服器16可使用ORTA ID來驗證存在本地儲存的相應MSK。這樣,AAA代理伺服器16使用MSK(域根秘鑰)來導出重新認證完整性秘鑰(rIK)。AAA代理伺服器16例如基於使用rIK導出的訊息認證編碼來驗證該訊息。在26處,AAA代理伺服器16導出重新認證主對話秘鑰(rMSK),該rMSK被發送到AP 14並被綁定到UE 10和AP 14。根據示出的實施方式,訊息是與EAP一致的並由rIK保護。如上所述,階段3在一次往返中完成並基於安全性關聯及/或在階段1及/或階段2期間導出的秘鑰。在示例實施方式中,使用相同域中的任何AP(其具有相關聯的有效MSK但不具有與該AP相關聯的有效rMSK)來重複階段3。在這一實施方式中,如果UE訪問相同的AP並具有有效的rMSK,則可避免階段3並且rMSK可被用於四向交握。有效MSK可指具有尚未期滿的壽命的MSK。類似地,有效rMSK指具有尚未期滿的壽命的rMSK。
第2圖描述了使用SSO系統200的ORTA EAP-RP認證的示例實施方式。SSO系統200包括UE 202、存取點(AP)204和網路伺服器206。網路伺服器206可實施開放ID協定,並從而可被稱為開放ID伺服器206。網路伺服器206還可被稱為(不限於此)SSO伺服器206、聯合識別碼伺服器206、存取網路發現和選擇功能(ANDSF)伺服器206或AAA伺服器206。根據第2圖中示出的實施方式,在208處,UE 202和網路伺服器206已經預先建立了安全性關聯且產生了新鮮的主秘鑰。在示例實施方式中,其中UE 202和網路伺服器206之間尚未建立安全性關聯,且UE 202和網路伺服器206之間的活動連接(比如活動3GPP連接)可被用來相互認證和在UE 202和網路伺服器206上產生主秘鑰。在208處,一次往返認證(ORTA)ORTA識別碼(ID)被創建並被安全地從網路伺服器206發送到UE 202。這種ORTA ID可被用來觸發ORTA EAP認證並可被網路伺服器206用來查找與UE 202的現存安全性關聯上下文。
在210處,可在UE 202和網路之間交換網路發現資訊。例如,UE 202可從ANDSF伺服器206請求無線區域網路(WLAN)資訊(例如拉取場景),或者ANDSF伺服器206可向UE 202推送WLAN資訊。可經由安全連接(比如安全3GPP連接)來推送WLAN資訊。UE 202接收的網路資訊可包括諸如以下的資料:可用AP、SSID、所支援的認證協定(例如支援EAP或EAP-RP)、加密套件、IP位址配置或促進連接設置的其他存取網路參數。在替代示例實施方式中,參見212,使用低層(比如藉由使用802.11u(例如使用GAS和存取網路詢問協定(ANQP)))來獲得網路發現資訊。根據所示出的實施方式,網路發現資訊包括支援EAP-RP協定的AP 204,從而AP 204不需要向UE 202發送EAP-發起/重新認證-開始訊息。
在214處,根據示出的實施方式,回應於網路發現資訊向UE 202通知AP 204支援EAP-RP,UE 202向AP 204發送EAP-發起訊息。該發起訊息包括ORTA識別碼,其可被安全地儲存在UE中。發起訊息還可包括用於重放保護的序號(SEQ)和可被使用的加密套件。可使用完整性秘鑰來保護發起訊息。在示例實施方式中,在214處,UE 202藉由在EAP訊息中包括請求(例如IP_CFG_REQ)來請求IP位址配置。在另一示例實施方式中,UE 202可藉由將DHCP請求封裝在EAP訊息內來請求IP位址配置。在又一個示例實施方式中,UE 202可使用EAP-通知訊息來請求和獲得IP位址配置。在216處,AP 204向網路伺服器206轉發EAP訊息(例如使用AAA請求)。在218處,網路伺服器206使用ORTA識別碼來查找與UE 202預先建立的安全性上下文。網路伺服器206可驗證序號並可驗證由UE 202所使用的加密套件是可接受的。網路伺服器206可使用rIK來驗證該訊息的完整性。例如,這一驗證提供由對等方202持有秘鑰的證明。如果驗證是成功的,則網路伺服器206產生並向AP 204發送對話秘鑰。可使用EAP-完成訊息發送對話秘鑰。
仍然參見第2圖,在示例實施方式中(其中UE 202在EAP-回應訊息中發送IP配置請求(例如IP_CFG_FEQ)),網路伺服器206可向UE 202發送IP配置。例如,可在EAP-完成訊息的IP_CFG_應答欄位中發送所要求的IP配置。網路伺服器206可使用各種配置協定(例如DHCP、所配置的本地位址池等)來向UE 202發送位址配置資訊。網路伺服器206可在EAP-完成訊息中發送頻道綁定資訊(CB-Info),以例如供UE 202驗證EAP訊息是經由有效AP接收的。有效AP可指尚未被攻擊(compromise)的AP。根據第2圖中示出的實施方式,在220處,AP 204將EAP-完成訊息轉發到UE 202。在222處,在UE 202和AP 204之間執行四向交握協定。可在224處執行IP位址配置。在示例實施方式中,在224跳過IP位址配置,這是因為可使用各種IP並行發生選項。在226處,UE 202(從而UE 202的使用者)具有經由AP 204和WLAN網路到網際網路的存取。
EAR-RP ORTA識別碼可與MNO的網路相關聯。在示例實施方式中,EAP-RP ORTA識別碼可不被聯繫到MNO的網路。例如,EAP-RP ORTA識別碼可以是被導出/發佈的臨時識別碼,且該臨時識別碼屬於熱點網路。屬於熱點網路的所導出的識別碼可包括各種形式,比如Base64(Rand x’或PrevAssociation#)hotspot.com。在示例中,PrevAssociation#表示來自之前的關聯的值。替代地,所導出的識別碼可屬於MNO網路且可包括各種形式,比如Base64(RAND x’或Seq#)mno.com或Base64(KDF(RAND, “臨時識別碼|長度”)mno.com。
第8圖描述了使用SSO系統800的ORTA EAP認證的示例實施方式,其中在SSO系統800中預先建立了安全性關聯。參見第8圖,SSO系統800包括UE 802、AP 804和開放ID識別碼提供者(OP)伺服器806。AP 804可充當開放ID依賴方(RP)804,從而AP 804可被稱為RP 804,且不限於此。在SSO系統800中,在808處,在蜂巢網路上預先建立UE 802和OP 806之間的安全性關聯。替代地,可在另一網路上預先建立安全性關聯。安全性關聯導致在UE 802和OP 806上產生主秘鑰。在安全性關聯建立之後的某個點,利用安全性關聯來使得能夠在WLAN網路上進行認證和安全鏈路設置。
例如,根據示出的實施方式,在810處,由UE 802發現存取網路(例如AP 804)。在812處,請求UE 802的識別碼的EAP請求訊息從AP 804被發送到UE 802。在814處,UE 802以其識別碼進行回應。在816處,AP 804基於UE 802的識別碼來執行對OP 806的發現、並執行與OP 806關聯。在818處,OP 806產生質詢、並向AP 804發送質詢。質詢可以是開放ID質詢。在820處,質詢被轉發到UE 802。在822處,UE 802產生對質詢的回應、並向AP 804發送對質詢的回應。可根據EAP來發送回應,且該回應可包括UE 802的識別碼。在824處,質詢回應被轉發到OP 806。在826處,如果OP 806基於質詢回應來驗證UE 802的識別碼,則OP 806向AP 804提供斷言(assertion)。在828處,AP 804向UE 802轉發EAP-成功訊息。在830,執行四向交握協定。在832處執行IP位址配置。在834處,UE 802(從而UE 802的使用者)具有經由AP 804和WLAN網路到網際網路的安全存取。
第3圖描述了示例SSO系統300,其實施基於通用應用層的認證,其中使用單一服務組識別符(SSID)來建立UE 302和AP 304之間的安全網路連接。第3圖中示出的基於應用層的認證可被稱為通用的,這是因為第3圖並不實施特定的協定,所示出的應用層認證的各種實施方式可實施各種協定,比如HTTP、開放ID、開放ID連接、GBA等。在示例實施方式中,AP 304的軟體被修改,使得其允許執行應用層認證。經由應用層協定產生的證明可被用來提供最佳安全熱點2.0(HS 2.0)存取。在第3圖中示出的實施方式中,不需要連接管理器(CM)來切斷連接以及重新連接。根據示出的實施方式,SSO系統300包括UE 302、AP 304、熱點AAA伺服器306、MNO AAA伺服器308和本地位置暫存器(HLR)/本地用戶系統(HSS)310。熱點AAA伺服器306包括應用功能(AF)模組。在實施開放ID/開放ID連接的示例實施方式中,AF模組可以是RP,或者在實施GBA的示例實施方式中,AF模組可以是網路應用功能(NAF)。MNO AAA伺服器308包括伺服器功能(SF)模組。在實施開放ID/開放ID連接協定的示例實施方式中,SF模組可以是OP,或者在實施GBA的示例實施方式中,SF模組可以是引導伺服器功能(BSF)。如此所述,可經由應用層認證來實施EAP,以產生對話秘鑰和證明,以及實施最佳EAP,以獲得HS 2.0網路存取。
仍然參見第3圖中示出的實施方式,在312處,UE 302發現熱點存取點(AP)304。所示出的熱點AP 304還可被稱作無線LAN控制器(WLC)304,且不限於此。例如,UE 302上的本地元件(例如CM)可發現熱點及其識別資訊(比如HS 2.0 SSID)。熱點AP 304允許應用層協定交換在認證之前經由存取層傳訊(比如信標頻道或802.11u GAS/ANQP協定擴展)通過防火牆防禦地區(walled garden)。根據示出的實施方式,CM決定UE 302應該連接到熱點網路。在314處,UE 302的CM將其應用層識別碼與HTTP獲得訊息一起發送到AAA伺服器306的應用功能(AF)。在316處,AF從該應用層識別碼發現AAA伺服器308的相應的MNO伺服器功能(SF),且在SF和AF之間完成關聯。在318處,UE 302的CM使用例如EAP-SIM來與MNO SF伺服器進行認證。根據示出的實施方式,使用HTTPS執行UE 和MNO SF之間的EAP-SIM交換。在320處,MNO SF經由例如MAP或直徑閘道以從HLR 310獲得用於EAP-SIM認證的認證向量(AV)。在成功的EAP-SIM認證結束時,在UE和MNO AAA伺服器308上創建並儲存對話秘鑰(MSK)。
根據示出的實施方式,在322處,UE 302向AP/WLC 304發送其EAP識別碼(EAP ID)(例如使用EOL-開始識別碼)。EAP ID的領域可包括對使用UE和網路之間的現有安全性上下文的提示(例如IMSIsso.MNO.org)。在324處,AP/WLC 304向AAA伺服器/AF 306發送RADIUS存取-請求訊息(例如包含EAP ID)。在326處,AAA伺服器/AF 306使用例如RADIUS存取-接受訊息以向AP/WLC 304發送EAP-成功以及其從MNO SF 308接收(在318處)的MSK。在328處,AP/WLC 304向UE 302轉發EAP成功訊息。基於在UE 302和AP/WLC 304之間共用的MSK,執行四向交握協定且在兩側都導出兩兩暫態秘鑰(PTK)和群組暫態秘鑰(GTK)。UE 302的狀態可在AP 304上變成“授權的”,且UE 302可使用DHCP來獲得IP位址配置。在替代實施方式中,UE 302的CM在312處具有私人位址,其用於開放ID認證。在這種實施方式中,網路將針對該位址的授權從“防火牆防禦地區”改變成“授權的存取”,且UE 302不需要進行DHCP程序。在330處,UE 302(從而UE 302的使用者)已經與AP 304建立了安全網路連接,且根據第3圖中的示例實施方式,具有到網際網路的安全HS 2.0存取。
第4圖示出了基於GBA協定建立安全網路連接的示例SSO系統400。可按照期望將GBA協定實施為提供相互認證以及產生對話秘鑰。例如,所示出的實施方式實施GBA-AKA協定,但實施方式並不如此受限。經由GBA-AKA認證產生的GBA證明被用來提供最佳的安全HS 2.0存取。
在第4圖中示出的實施方式中,在412處,UE 402與AP/WLC 404相關聯。例如,UE 402可首先使用“公共_WLAN”SSID和開放模式以存取與AP 404相關聯。如果UE 402被配置為例如使用DHCP獲得IP位址,則AP/WLC 404向UE 402分配私人IP地址。在示例實施方式中,UE 402不能使用所分配的IP位址來存取網際網路,且AP/WLC 404中的UE 402的狀態是“未授權的”。當UE 402的使用者打開其網頁瀏覽器應用時,強制性網頁認證入口/NAF 406可將瀏覽器重新定向到提示使用者進行登入證明的入口網站網頁。強制性網頁認證入口406可由AAA伺服器406來實施,AAA伺服器406可實施NAF,從而AAA伺服器406還可被稱為NAF 406或AAA伺服器/NAF 406,且不限於此。在414處,使用者/UE 402選擇GBA認證。在416處,NAF 406攔截HTTP訊息並使用HTTP 401未授權訊息來通知UE 402與BSF 408進行認證。AP/WLC 404 406開放埠443,以用於UE 402和BSF 408之間的通信。在步驟418、420、422、424、426和428期間,UE 402和BSF 408完成GBA協定。GBA協定的最終結果是UE 402和BSF 408之間的安全性關聯,其包括GBA秘鑰(Ks)、引導業務識別符(B-TID)和秘鑰壽命。
根據示出的實施方式,在430處,UE 402使用Ks來導出與B-TID相關聯的Ks_NAF。在432處,UE 402將B-TID與UE 402的識別碼一起發送到NAF 406。在434處,NAF 406使用B-TID來與BSF 408進行聯繫,以獲取Ks_NAF。在436處,一旦驗證B-TID,BSF 408導出與B-TID相關聯的Ks_NAF。在438處,BSF 408向NAF/AAA伺服器406發送Ks_NAF。例如,NAF 406可接收Ks_NAF並導出MSK,且隨後將該MSK在內部作為MSK傳送到其AAA伺服器406。在440處,AAA伺服器/NAF 406向UE 402發送HTTP 200 OK訊息。根據示出的實施方式,在442處,UE 402與“開放”SSID解除關聯,並關聯到安全的SSID,比如安全HS 2.0 SSID。在444處,UE 402可執行最佳EAP。例如,UE 402可使用EOL-開始識別碼以向AP/WLC 404發送其識別碼(EAP ID)。EAP ID的領域可包括對使用UE 402和網路之間的現有安全性上下文的提示。AP 404可向AAA伺服器406發送包含EAP ID的RADIUS存取-請求訊息。AAA伺服器 406可使用例如RADIUS存取-接受訊息以向AP/WLC 404發送EAP-成功以及之前接收的MSK。AP/WLC 404可向UE 402轉發EAP成功訊息。基於在UE 402和AP/WLC 404之間共用的MSK,執行四向交握協定且在兩側都導出PTK和GTK秘鑰。UE 402狀態可在AP 402上變成“授權的”。UE 402使用例如DHCP來獲得IP位址配置,且UE 402可經由HS 2.0安全地連接到網際網路。
第5圖描述了基於開放ID協定(比如開放ID連接(OIDC))建立安全網路連接的示例SSO系統500。OIDC提供用於供使用者授權OP以向RP/使用者端洩露指定的使用者設定檔資訊的機制。在第5圖中所示的實施方式(其中尋求WLAN存取)中,MSK/PSK被洩露給RP/用戶端508,其也可被稱作AAA代理508或強制性網頁認證入口508,且不限於此。MSK/PMK可作為UE 502的認證的一部分來導出。OIDC定義識別碼(ID)和存取訊標,其可被RP/用戶端508用來獲得使用者屬性及/或設定檔資訊及/或對話秘鑰,比如MSK/PMK。
根據示出的實施方式,將兩個SSID與OIDC聯合使用,以用於UE 502被認證以存取到熱點網路504。熱點網路504包括AP/WLC 506和用戶端/AAA代理508。第5圖中引用的“公共WiFi”SSID是開放的且非安全的,而HS 2.0是安全的。根據示出的實施方式,經由開放公共WLAN來發起認證。在初始認證之後,作為認證的一部分導出的識別碼和加密材料被UE在安全HS 2.0 SSID上使用,以完成認證和授權。
繼續參考第5圖,在516處,UE 502與AP/WLC 506的開放SSID相關聯。在518處,UE 502使用DHCP來獲得私人網際網路協定位址。在520處,UE 502的使用者嘗試連接到網際網路。在520和522處,強制性網頁認證入口508攔截HTTP獲得訊息並將HTTP訊息重新定向回顯示強制性網頁認證入口資訊的UE 502。在524處,UE將在522處接收的訊息用作對要求認證的提示。UE提供其SSO識別碼,比如MNO提供的SSO識別碼(比如在“領域”部分中使用操作者id的電子郵件位址)。在526處,強制性網頁認證入口508作用為開放ID連接用戶端,並從而強制性網頁認證入口可被稱作用戶端508。用戶端508開始與授權伺服器512的關聯/發現,該授權伺服器512充當操作者網路中的AAA伺服器,從而可被稱為AAA伺服器512。當實施開放ID連接協定時,授權伺服器512還可充當使用者資訊端點,從而授權伺服器512可被稱為使用者資訊(UserInfo)端點512。在526處的發現/關聯結束時,在用戶端508和授權伺服器512之間創建安全連接。
在528和530處,用戶端508經由UE 502來執行到授權伺服器512的HTTP重新定向。根據示出的實施方式,在532處,UE 502和授權伺服器512執行EAP-SIM相互認證。在認證結束時產生的所得秘鑰是主對話秘鑰(MSK),其在UE 502和授權伺服器512處產生。在538和540處,根據開放ID連接協定,授權伺服器512經由UE 502來執行到用戶端508的HTTP重新定向。該重新定向包括ID訊標。在542處,用戶端508使用ID訊標來經由在用戶端508和授權伺服器512之間建立的HTTPS連接來請求存取訊標。在544處,舉例來講,在ID訊標被呈現給授權伺服器512且被授權伺服器512驗證之後,授權伺服器512可將存取訊標提供給用戶端508。在546處,將存取訊標發送到UserInfo端點512,以獲得例如MSK/PMK。在548處,UserInfo端點512驗證存取訊標並向儲存秘鑰的用戶端508發送該MSK/PMK。例如,一旦向UE 502通知成功認證(例如在從授權伺服器512接收到HTTP重新定向訊息時),則UE 502在550處與安全HS 2.0 SSID相關聯。
根據第5圖中示出的實施方式,在522處,UE 502開始EAP認證並發送其早些時候在示出的呼叫流程中使用的SSO識別碼。在554處,一旦接收到EAP-開始訊息,則AP 506使用半徑存取訊息將其轉發到AAA代理/用戶端508。在556處,AAA代理/用戶端508確認成功認證以及MSK/PMK的存在,並將EAP-成功訊息與MSK/PMK一起轉發到AP 506。AP 506可儲存該MSK/PMK。在558處,AP 506向UE 502發送EAP-成功訊息。一旦UE 502接收到EAP-成功訊息,則其根據示出的實施方式在560處發起四向交握。在四向交握之後,在562處,UE 502獲得公共IP地址。在564處,UE 502使用HS 2.0來存取網際網路,且在UE 502和熱點網路504之間建立安全網路。
第9圖示出了實施本地OP功能以基於開放ID連接來建立安全網路連接的示例SSO系統900。SSO系統900包括UE 902,該UE 902包括本地開放ID識別碼提供者(OP)和連接管理器(CM)906。本地OP 904位於UE 902上,且本地OP可執行開放ID協定的各種功能。這樣,本地OP 904還可被稱為本地斷言功能(LAF)904。SSO系統900還包括AP 908、AAA代理伺服器910和MNO AAA伺服器912。AAA代理伺服器910還可充當強制性網頁認證入口或依賴方(RP),從而AAA代理伺服器910還可被稱為強制性網頁認證入口910或RP 910,且不限於此。類似地,MNO AAA伺服器912可充當OP伺服器,從而可被稱作開放ID伺服器功能(OPSF)912,且不限於此。SSO系統900還包括本地位置暫存器(HLR)/本地用戶系統(HSS)914。
參見第9圖中示出的實施方式,在916處,UE 902上的本地元件(例如CM 906)發現AP 908(例如HS 2.0 AP)並連接到AP 908。在918處,UE 902將其國際行動用戶識別碼(IMSI)與其領域一起返回到AP 908。該領域可包括對使用SSO認證(例如IMSIsso.MNO.org)的提示。在920處,根據示出的實施方式,AP 908使用RADIUS存取請求將UE 902的識別碼(其是使用EAP訊息從UE 902接收的)轉發到AAA代理伺服器910。在922處,AAA代理伺服器910偵測到UE 902能夠使用基於開放ID連接(OIDC)的流。這一偵測可基於AAA代理伺服器910所接收的指示符。替代地,AAA代理伺服器可藉由在資料庫中查找UE 902的所接收的IMSI來偵測到UE能夠進行OIDC。在924處,RP 910執行對OPSF 912的發現並與OPSF 912相關聯。作為關聯的一部分,OPSF 912基於由OPSF 912所產生的處理(handle)來創建共用秘密。該共用秘密可採取形式S=f(K0, H),其中K0是本地OP 904和OPSF 912之間的共用秘密。在926處,OPSF/AAA伺服器912可從HLR/HSS 914可選地獲取與UE 902相關聯的AUTN。在924處,OPSF 912將共用秘密S、處理H以及(可選地)AUTN發送到AAA代理伺服器910。在928處,AAA代理伺服器910向AP 908發送EAP-SIM/AKA質詢,以指明可在EAP協定中使用開放ID連接。可將處理H和AUTN發送到AP 908。舉例來講,AAA代理伺服器910可創建開放ID連接請求物件(例如JSON)並將針對它的指示符(例如URL)放入請求中,而不是進行指示。在930處,AP 908將從AAA代理伺服器910接收的EAP訊息(EAP-請求/質詢)轉發到CM 906,並從而轉發到UE 902。在932處,在接收EAP-請求/質詢訊息之後,UE 902檢查認證參數並使用開放ID連接請求物件來發起與本地OP 904 的開放ID連接對話。
根據示出的實施方式,在934處,舉例來講,在成功的本地使用者認證之後,本地OP 904創建存取訊標。本地OP 904還可以可選地創建ID訊標。可藉由使用處理H及/或AUTN來創建存取訊標。類似地,可使用處理H及/或AUTN來創建ID訊標。在936處,存取訊標被返回到CM 906。在938處,CM 906在EAP訊息中將存取訊標發送到AP 908。此外,在938處,CM 906可以可選地在EAP訊息中將ID訊標發送到AP 908。在940處,AP 908將EAP-回應/質詢訊息轉發到AAA代理伺服器910。在942處,AAA代理伺服器910驗證存取訊標、並使用訊標與來自OP 912的使用者資訊端點來獲取資料。此外,在942處,AAA代理伺服器910可以可選地驗證ID訊標。根據示出的實施方式,OP 912在其釋放使用者資訊之前確認存取訊標。OP 912可以可選地確認ID訊標。根據示例實施方式,使用者資訊包括主對話秘鑰(MSK)。在946處,AAA代理伺服器910從AAA伺服器912接收MSK。在948處,舉例來講,當檢查成功時,AAA代理伺服器910向AP 908發送存取接受訊息。存取接受訊息可包括EAP成功訊息和秘鑰材料,例如MSK。在950處,由AP 908將EAP成功訊息轉發到UE 902。在952處,在UE和AP 908(其可以是HS 2.0 AP)之間建立安全連接。
第6A圖描述了使用SSO系統600的EAP-AKA認證的示例實施方式。在示出的實施方式中,使用EAP-回應訊息來觸發ORT認證。SSO系統600包括UE 602、存取點(AP)604和網路伺服器606。網路伺服器606可實施開放ID協定,並從而可被稱為開放ID伺服器606。網路伺服器606還可被稱為(不限於此)SSO伺服器606、聯合識別碼伺服器606、存取網路發現和選擇功能(ANDSF)伺服器606或AAA伺服器606。根據第6A圖中示出的實施方式,在608處,UE 602和網路伺服器606已經預先建立了安全性關聯且產生了新鮮的主秘鑰。在示例實施方式中,其中UE 602和網路伺服器606之間尚未建立安全性關聯,UE 602和網路伺服器606之間的活動連接(比如活動蜂巢連接)可被用來相互認證和在UE 602和網路伺服器606上產生主秘鑰。在608處,一次往返認證(ORTA)ORTA識別碼(ID)被創建並被安全地從網路伺服器606發送到UE 602。這種ORTA ID可被用來觸發ORTA EAP認證並可被網路伺服器606用來發現現存的與UE 602的安全性關聯上下文。
在610處,可在UE 602和網路之間交換網路發現資訊。例如,UE 602可從ANDSF伺服器606請求無線區域網路(WLAN)資訊(例如拉取場景),或者ANDSF伺服器606可向UE 602推送WLAN資訊。可經由安全連接(比如安全蜂巢連接)來推送WLAN資訊。UE 602接收的網路資訊可包括諸如以下的資料:可用AP、SSID、所支援的認證協定(例如支援EAP-AKA和EAP-ORT)、加密套件、IP位址配置或其他存取網路參數。在替代示例實施方式中,參見612處,使用低層(比如藉由使用802.11u(例如使用GAS和存取網路詢問協定(ANQP)))獲得網路發現資訊。根據所示出的實施方式,網路發現資訊包括關於AP 604網路支援EAP-ORTA的指示。
在614處,根據示出的實施方式,回應於網路發現資訊向UE 602通知AP 604支援EAP-AKA和EAP-ORT,UE 602向AP 604發送EAP-回應/AKA-重新認證訊息。該訊息包括ORTA識別碼,其可被安全地儲存在UE中。該訊息還可包括用於重放保護的序號(SEQ)和可被使用的加密套件。可使用完整性秘鑰來保護發起訊息。在示例實施方式中,在614處,UE 602藉由在EAP訊息中包括請求(例如IP_CFG_REQ)來請求IP位址配置。在另一示例實施方式中,UE 602可藉由將DHCP請求封裝在EAP訊息內來請求IP位址配置。在又一個示例實施方式中,UE 602可使用EAP-通知訊息來請求和獲得IP位址配置。在616處,AP 604向網路伺服器606轉發EAP訊息(例如使用AAA請求)。在618處,網路伺服器606使用ORTA識別碼來查找與UE 602預先建立的安全性上下文。網路伺服器606可驗證序號並可驗證由UE 602所使用的加密套件是可接受的。網路伺服器606可使用完整性秘鑰驗證該訊息的完整性。例如,這一驗證提供由對等方602持有秘鑰的證明。如果驗證是成功的,則網路伺服器606產生並向AP 604發送對話秘鑰。可使用EAP-成功訊息來發送對話秘鑰。
仍然參見第6A圖,在示例實施方式中(其中UE 602在EAP-回應訊息中發送IP配置請求(例如IP_CFG_FEQ)),網路伺服器606可向UE 602發送IP配置。例如,可在EAP-成功訊息的IP_CFG_應答欄位中發送所要求的IP配置。網路伺服器606可使用各種配置協定(例如DHCP、所配置的本地位址池等)來向UE 602發送位址配置資訊。網路伺服器606可在EAP-成功訊息中發送頻道綁定資訊(CB-Info),例如供UE 602驗證EAP訊息是經由有效AP接收的。有效AP可指尚未被攻擊的AP。根據第6A圖中示出的實施方式,在620處,AP 604將EAP-完成訊息轉發到UE 602。在622處,執行四向交握協定。可在624處執行IP位址配置。在示例實施方式中,在624處跳過IP位址配置,這是因為可使用各種IP並行發生選項。在626處,UE 602(從而UE 602的使用者)具有經由AP 604和WLAN網路到網際網路的存取。
第6B圖描述了示例實施方式,其中,在628處,可以使用EAPoL-開始訊息來觸發EAP-AKA ORTA。第6B圖中對呼叫流程步驟和實體的描述中與第6A圖相同的部分參照第6A圖進行描述。在第6B圖中示出的實施方式中,UE 602使用EAPoL-開始訊息(而不是第6A圖中示出的EAP回應訊息)來觸發ORT認證。
第6C圖描述了另一示例實施方式,其中, EAP-AKA ORTA是使用EAP-回應訊息來觸發的。根據示出的實施方式,步驟630、632和634中的EAP訊息是未被完整性保護的。例如,由於EAP認證後跟有四向交握協定,所以EAP訊息保護可被放鬆。四向交握協定可被用來防止可在交握協定之前發生的安全性破壞(breach)。
參見第6C圖,第6C圖中對呼叫流程步驟和實體的描述中與第6A圖相同的部分參照第6A圖進行描述。在630處,基於網路發現資訊,UE 602獲知AP 604支援EAP-AKA和EAP-ORT、並且向AP 604發送EAP-回應/AKA-重新認證訊息。EAP訊息包括ORTA識別碼、並且可包括IP配置請求(IP_CFG_REQ)。根據示出的實施方式,EAP訊息依賴於四向交握協定(參見622)來提供安全性保護。在632處,AP 604使用AAA請求向網路伺服器606轉發EAP訊息。在634處,網路伺服器606使用ORTA識別碼來查找與UE 602預先建立的安全性上下文。網路伺服器606產生並向AP 604發送對話秘鑰。可使用EAP-成功訊息來發送對話秘鑰。仍然參見第6C圖,在634處,在示例實施方式中(其中UE 602在EAP-回應訊息中發送IP配置請求(例如IP_CFG_FEQ)),網路伺服器606可向UE 602發送IP配置。例如,可在EAP-成功訊息的IP_CFG_應答欄位中發送所要求的IP配置。網路伺服器606可使用各種配置協定(例如DHCP、所配置的本地位址池等)來向UE 602發送位址配置資訊。
第6D圖描述了示例實施方式,其中,在636處,可以使用EAPoL-開始訊息來觸發EAP-AKA ORTA。第6D圖中對呼叫流程步驟和實體的描述中與第6A圖相同的部分參照第6A圖進行描述。根據第6D圖中示出的實施方式,在636處,UE 602使用EAPoL-開始訊息(而不是第6C圖中示出的EAP回應訊息)來觸發ORT認證。
根據示例實施方式,第7圖描述了用來封裝開放ID訊息(以使得能夠在熱點網路內遍曆(traversal)開放ID訊息)的EAP協定。在EAP內傳輸開放ID訊息可取代在熱點網路內具有強制性網頁認證入口功能。參見第7圖,在712處,UE 702與AP/WLC 704的HS 2.0 SSID相關聯。在714處,UE 702向AP/WLC 704發送EAP-請求訊息,其包括UE 開放ID識別符或IMSI。在716處,AP 704將EAP-請求訊息封裝在半徑訊息內、並將其轉發到AAA代理伺服器/RP伺服器 706。RP 706基於開放ID識別符或IMSI來執行發現過程,以發現OP伺服器708(其可以是MNO AAA伺服器的一部分,從而OP 708還可被稱作AAA伺服器708,且不限於此)的路由地址。在720處,在發現了OP伺服器708之後,關聯請求被轉發到OP伺服器708。在722處,可將開放ID識別符映射到IMSI,或者可從關聯請求中擷取IMSI。
繼續參考第7圖中示出的實施方式,在724處,基於IMSI,AAA伺服器708從HLR/HSS 710獲取認證向量(AV)(例如RAND、XRES、AUTN、CK和IK)。在726處,一旦接收AV,OP 708創建關聯處理(H)。根據示出的實施方式,關聯處理H=randInt||RAND||AUTN。 OP 708使用處理H來創建關聯秘密(S)。在728處,OP伺服器708使用關聯回應訊息以經由後端頻道向RP 706發送處理H和關聯秘密S。在730處,AAA代理伺服器708將開放ID重新定向訊息和處理H一起封裝在半徑/EAP訊息之內、並將其轉發到AP/WLC 704。在732處,AP 704從半徑訊息內擷取EAP訊息、並將EAP訊息(包括開放ID(OID)重新定向訊息)轉發到UE 702。在734處,UE 702基於AKA演算法並使用來自關聯處理H的RAND來產生RES。UE 702可產生MSK並將其儲存留作後用。在736處,UE 702將EAP-回應訊息(包括開放ID訊息)與RES一起發送。在738處,AP 704將所接收的EAP訊息封裝在半徑存取請求訊息內並將其轉發到AAA代理706。在740處,AAA代理706處理該半徑/EAP訊息、擷取RES、並經由後端頻道向OP 708轉發RES。在742處,OP 708接收RES,並將所接收的RES與所期望的RES進行比較。在744處,OP伺服器708創建經過簽名的斷言,該斷言可使用秘密S來簽名。AAA伺服器708所導出的MSK可被包括作為OP所簽名的資訊的主體的一部分。在746處,OP 708經由後端頻道以向RP 706發送簽名的斷言和MSK。RP 706檢查該斷言並使用關聯秘密S對其進行驗證,以及RP 706擷取MSK。在750處,MSK被封裝在EAP-成功訊息內、並被包在半徑存取-回應封包附近、且被發送到AP 704。在752處,AP 704擷取MSK並對其進行儲存、以及將EAP-成功訊息轉發到UE 702。在702處,UE 702和AP 704使用MSK建立安全網路連接。這樣,UE 702具有到例如熱點網路、或另一WLAN網路的安全頻道。
根據示出的實施方式,可經由RP 706和OP 708之間的預先建立的HTTPS連接的安全性來保護MSK。在替代示例實施方式中,OP與MNO AAA伺服器分離。例如,MNO可能不想實施OP功能,或者第三方可向熱點網路和MNO兩者提供OP服務,以在聯合商業模型中將它們聚集。
第14A圖為可以在其中實施一個或多個所揭露的實施方式的示例通信系統100的示意圖。該通信系統100可以是將諸如語音、資料、視訊、訊息發送、廣播等之類的內容提供給多個無線使用者的多重存取系統。該通信系統100可以經由系統資源(包括無線頻寬)的共用使多個無線使用者能夠存取這些內容。例如,該通信系統100可以使用一種或多種頻道存取方法,例如分碼多重存取(CDMA)、分時多重存取(TDMA)、分頻多重存取(FDMA)、正交FDMA(OFDMA)、單載波FDMA(SC-FDMA)等等。
如第14A圖所示,通信系統100可以包括無線傳輸/接收單元(WTRU)102a、102b、102c、102d、無線電存取網路(RAN)104、核心網路106、公共交換電話網路(PSTN)108、網際網路110和其他網路112,但可以理解的是所揭露的實施方式可以涵蓋任意數量的WTRU、基地台、網路及/或網路元件。WTRU 102a、102b、102c、102d中的每一個可以是被配置以在無線環境中操作及/或通信的任何類型的裝置。作為示例,WTRU 102a、102b、102c、102d可以被配置以傳送及/或接收無線信號、並且可以包括使用者設備(UE)、行動站、固定或行動用戶單元、呼叫器、蜂巢電話、個人數位助理(PDA)、智慧型電話、可攜式電腦、隨身型易網機、個人電腦、無線感測器、消費電子產品等等。
通信系統100還可以包括基地台114a和基地台114b。基地台114a、114b中的每一個可以是被配置以與WTRU 102a、102b、102c、102d中的至少一者無線介接,以便於存取一個或多個通信網路(例如,核心網路106、網際網路110及/或網路112)的任何類型的裝置。例如,基地台114a、114b可以是基地台收發站(BTS)、節點B、e節點B、家用節點B、家用e節點B、站點控制器、存取點(AP)、無線路由器等。儘管基地台114a、114b每個均被描述為單一元件,但是可以理解的是基地台114a、114b可以包括任何數量的互連基地台及/或網路元件。
基地台114a可以是RAN 104的一部分,該RAN 104還可以包括諸如基地台控制器(BSC)、無線電網路控制器(RNC)、中繼節點之類的其他基地台及/或網路元件(未示出)。基地台114a及/或基地台114b可以被配置以傳送及/或接收特定地理區域內的無線信號,該特定地理區域可以被稱作胞元(未示出)。胞元還可以被劃分成胞元扇區。例如與基地台114a相關聯的胞元可以被劃分成三個扇區。由此,在一種實施方式中,基地台114a可以包括三個收發器,即針對該胞元的每個扇區都有一個收發器。在另一實施方式中,基地台114a可以使用多輸入多輸出(MIMO)技術,並且由此可以使用針對胞元的每個扇區的多個收發器。
基地台114a、114b可以經由空中介面116以與WTRU 102a、102b、102c、102d中的一者或多者進行通信,該空中介面116可以是任何合適的無線通信鏈路(例如,射頻(RF)、微波、紅外(IR)、紫外(UV)、可見光等)。空中介面116可以使用任何合適的無線電存取技術(RAT)來建立。
更具體地,如前所述,通信系統100可以是多重存取系統、並且可以使用一種或多種頻道存取方案,例如CDMA、TDMA、FDMA、OFDMA、SC-FDMA等。例如,在RAN 104中的基地台114a和WTRU 102a、102b、102c可以實施諸如通用行動電信系統(UMTS)陸地無線電存取(UTRA)之類的無線電技術,其可以使用寬頻CDMA(WCDMA)來建立空中介面116。WCDMA可以包括諸如高速封包存取(HSPA)及/或演進型HSPA(HSPA+)的通信協定。HSPA可以包括高速下鏈封包存取(HSDPA)及/或高速上鏈封包存取(HSUPA)。
在另一實施方式中,基地台114a和WTRU 102a、102b、102c可以實施諸如演進型UMTS陸地無線電存取(E-UTRA)之類的無線電技術,其可以使用長期演進(LTE)及/或高級LTE(LTE-A)來建立空中介面116。
在其他實施方式中,基地台114a和WTRU 102a、102b、102c可以實施諸如IEEE 802.16(即,全球互通微波存取(WiMAX))、CDMA2000、CDMA2000 1X、CDMA2000 EV-DO、臨時標準2000(IS-2000)、臨時標準95(IS-95)、臨時標準856(IS-856)、全球行動通信系統(GSM)、增強型資料速率GSM演進(EDGE)、GSM EDGE(GERAN)之類的無線電技術。
第14A圖中的基地台114b可以是例如無線路由器、家用節點B、家用e節點B、毫微微胞元基地台或者存取點、並且可以使用任何合適的RAT,以用於促進在諸如商業區、家庭、車輛、校園之類的局部區域的無線連接。在一種實施方式中,基地台114b和WTRU 102c、102d可以實施諸如IEEE 802.11之類的無線電技術以建立無線區域網路(WLAN)。在另一實施方式中,基地台114b和WTRU 102c、102d可以實施諸如IEEE 802.15之類的無線電技術以建立無線個人區域網路(WPAN)。在又一實施方式中,基地台114b和WTRU 102c、102d可以使用基於蜂巢的RAT(例如,WCDMA、CDMA2000、GSM、LTE、LTE-A等)以建立微微(picocell)胞元和毫微微胞元(femtocell)。如第14A圖所示,基地台114b可以具有至網際網路110的直接連接。由此,基地台114b不必經由核心網路106來存取網際網路110。
RAN 104可以與核心網路106通信,該核心網路106可以是被配置以將語音、資料、應用及/或經由網際協定的語音(VoIP)服務提供到WTRU 102a、102b、102c、102d中的一者或多者的任何類型的網路。例如,核心網路106可以提供呼叫控制、帳單服務、基於移動位置的服務、預付費呼叫、網際網路互連、視訊分配等、及/或執行高階安全性功能,例如使用者驗證。儘管第14A圖中未示出,需要理解的是RAN 104及/或核心網路106可以直接或間接地與其他RAN進行通信,這些其他RAN使用與RAN 104相同的RAT或者不同的RAT。例如,除了連接到可以採用E-UTRA無線電技術的RAN 104,核心網路106也可以與使用GSM無線電技術的其他RAN(未顯示)通信。
核心網路106也可以充當WTRU 102a、102b、102c、102d存取PSTN 108、網際網路110及/或其他網路112的閘道。PSTN 108可以包括提供普通老式電話服務(POTS)的電路交換電話網路。網際網路110可以包括使用公共通信協定的互連電腦網路及裝置的全球系統,該公共通信協定例如是傳輸控制協定(TCP)/網際協定(IP)網際網路協定套件中的傳輸控制協定(TCP)、使用者資料報協定(UDP)和網際協定(IP)。該網路112可以包括由其他服務提供方擁有及/或操作的無線或有線通信網路。例如,網路112可以包括連接到一個或多個RAN的另一核心網路,這些RAN可以使用與RAN 104相同的RAT或者不同的RAT。
通信系統100中的WTRU 102a、102b、102c、102d中的一些或者全部可以包括多模式能力,即WTRU 102a、102b、102c、102d可以包括用於經由不同的通信鏈路以與不同的無線網路進行通信的多個收發器。例如,第14A圖中顯示的WTRU 102c可以被配置以與可使用基於蜂巢的無線電技術的基地台114a進行通信、並且與可使用IEEE 802無線電技術的基地台114b進行通信。
第14B圖是示例WTRU 102的系統圖。如第14B圖所示,WTRU 102可以包括處理器118、收發器120、傳輸/接收元件122、揚聲器/麥克風124、鍵盤126、顯示器/觸控板128、不可移式記憶體130、可移式記憶體132、電源134、全球定位系統(GPS)晶片組136和其他週邊裝置138。需要理解的是,在與實施方式一致的同時,WTRU 102可以包括上述元件的任何子集合。
處理器118可以是通用處理器、專用處理器、常規處理器、數位信號處理器(DSP)、多個微處理器、與DSP核心相關聯的一或多個微處理器、控制器、微控制器、專用積體電路(ASIC)、現場可編程閘陣列(FPGA)電路、任何其他類型的積體電路(IC)、狀態機等。處理器118可以執行信號編碼、資料處理、功率控制、輸入/輸出處理及/或使得WTRU 102能夠在無線環境中操作的其他任何功能。處理器118可以耦合到收發器120,該收發器120可以耦合到傳輸/接收元件122。儘管第14B圖中將處理器118和收發器120描述為獨立的元件,但是可以理解的是處理器118和收發器120可以被一起集成到電子封裝或者晶片中。處理器118可執行應用層程式(例如瀏覽器)及/或無線電存取層(RAN)程式及/或通信。處理器118可在諸如存取層及/或應用層處執行安全性操作,比如認證、安全性秘鑰協定、及/或加密操作。
在示例實施方式中,WTRU 102包括處理器118和耦合到處理器的記憶體。記憶體包括可執行指令,當處理器執行該可執行指令時會使得處理器實現與一次往返認證相關聯的操作。
傳輸/接收元件122可以被配置為經由空中介面116以將信號發送到基地台(例如,基地台114a)、或者從基地台(例如,基地台114a)接收信號。例如,在一種實施方式中,傳輸/接收元件122可以是被配置以傳送及/或接收RF信號的天線。在另一實施方式中,傳輸/接收元件122可以是被配置以發送及/或接收例如IR、UV或者可見光信號的傳輸器/偵測器。在又一實施方式中,傳輸/接收元件122可以被配置以傳送和接收RF信號和光信號兩者。需要理解的是傳輸/接收元件122可以被配置以傳送及/或接收無線信號的任意組合。
此外,儘管傳輸/接收元件122在第14B圖中被描述為單一元件,但是WTRU 102可以包括任何數量的傳輸/接收元件122。更特別地,WTRU 102可以使用MIMO技術。由此,在一種實施方式中,WTRU 102可以包括兩個或更多個傳輸/接收元件122(例如,多個天線)以用於經由空中介面116來傳輸和接收無線信號。
收發器120可以被配置為對將由傳輸/接收元件122發送的信號進行調變、並且被配置為對由傳輸/接收元件122接收的信號進行解調。如上所述,WTRU 102可以具有多模式能力。由此,收發器120可以包括多個收發器以用於使WTRU 102能夠經由多個RAT進行通信,例如UTRA和IEEE 802.11。
WTRU 102的處理器118可以被耦合到揚聲器/麥克風124、鍵盤126及/或顯示器/觸控板128(例如,液晶顯示器(LCD)顯示單元或者有機發光二極體(OLED)顯示單元)、並且可以從上述裝置接收使用者輸入資料。處理器118還可以向揚聲器/麥克風124、鍵盤126及/或顯示器/觸控板128輸出使用者資料。此外,處理器118可以存取來自任何類型的合適的記憶體中的資訊、以及向任何類型的合適的記憶體中儲存資料,該記憶體例如可以是不可移式記憶體130及/或可移式記憶體132。不可移式記憶體130可以包括隨機存取記憶體(RAM)、唯讀記憶體(ROM)、硬碟或者任何其他類型的記憶體儲存裝置。可移式記憶體132可以包括用戶身份模組(SIM)卡、記憶條、安全數位(SD)記憶卡等。在其他實施方式中,處理器118可以存取來自實體上未位於WTRU 102上(例如位於伺服器或者家用電腦(未示出)上)的記憶體的資訊、以及向上述記憶體中儲存資料。
處理器118可以從電源134接收電能、並且可以被配置以將該電能分配給WTRU 102中的其他元件及/或對至WTRU 102中的其他元件的電能進行控制。電源134可以是任何適用於為WTRU 102供電的裝置。例如,電源134可以包括一個或多個乾電池(鎳鎘(NiCd)、鎳鋅(NiZn)、鎳氫(NiMH)、鋰離子(Li-ion)等)、太陽能電池、燃料電池等。
處理器118還可以耦合到GPS晶片組136,該GPS晶片組136可以被配置以提供關於WTRU 102的目前位置的位置資訊(例如,經度和緯度)。作為來自GPS晶片組136的資訊的補充或者替代,WTRU 102可以經由空中介面116以從基地台(例如,基地台114a、114b)接收位置資訊、及/或基於從兩個或更多個相鄰基地台接收到的信號的時序(timing)來確定其位置。需要理解的是,在與實施方式一致的同時,WTRU可以用任何合適的位置確定方法來獲取位置資訊。
處理器118還可以耦合到其他週邊裝置138,該週邊裝置138可以包括提供附加特徵、功能及/或無線或有線連接的一個或多個軟體及/或硬體模組。例如,週邊裝置138可以包括加速度計、電子指南針(e-compass)、衛星收發器、數位相機(用於照片或者視訊)、通用串列匯流排(USB)埠、震動裝置、電視收發器、免持耳機、藍芽模組、調頻(FM)無線電單元、數位音樂播放器、媒體播放器、視訊遊戲機模組、網際網路瀏覽器等等。
第14C圖為根據實施方式的RAN 104及核心網路106的系統圖。如上所述,RAN 104可使用UTRA無線電技術以經由空中介面116來與WTRU 102a、102b和102c進行通信。RAN 104還可以與核心網路106進行通信。如第14C圖所示,RAN 104可包括節點B 140a、140b、140c,節點B 140a、140b、140c每一者均可包括一個或多個用於經由空中介面116以與WTRU 102a、102b、102c進行通信的收發器。節點B 140a、140b、140c中的每一者均可與RAN 104中的特定胞元(未示出)相關聯。RAN 104還可以包括RNC 142a、142b。應當理解在保持與實施方式一致的情況下,RAN 104可以包括任意數量的節點B和RNC。
如第14C圖所示,節點B 140a、140b可以與RNC 142a通信。此外,節點B 140c可以與RNC 142b通信。節點B 140a、140b、140c可以經由Iub介面以與各自的RNC 142a、142b通信。RNC 142a、142b可以經由Iur介面彼此通信。RNC 142a、142b的每一個可以被配置以控制其連接的各自的節點B 140a、140b、140c。此外,RNC 142a、142b的每一個可以被配置以執行或支持其他功能,例如外環功率控制、負載控制、准許控制、封包排程、切換控制、巨集分集、安全功能、資料加密等。
第14C圖中示出的核心網路106可以包括媒體閘道(MGW)144、行動交換中心(MSC)146、服務GPRS支援節點(SGSN)148及/或閘道GPRS支持節點(GGSN)150。儘管前述每一個元件被描述為核心網路106的一部分,但可以理解的是這些元件的任何一個可以由除核心網路操作方之外的實體所擁有及/或操作。
RAN 104中的RNC 142a可以經由IuCS介面連接到核心網路106中的MSC 146。MSC 146可以連接到MGW 144。MSC 146和MGW 144可以給WTRU 102a、102b、102c提供對例如PSTN 108的電路交換網路的存取,以促進WTRU 102a、102b、102c與傳統路線通信裝置之間的通信。
RAN 104中的RNC 142a還可以經由IuPS介面連接到核心網路106中的SGSN 148。SGSN 148可以連接到GGSN 150。SGSN 148和GGSN 150可以給WTRU 102a、102b、102c提供對例如網際網路110的封包交換網路的存取,以促進WTRU 102a、102b、102c與IP使能裝置之間的通信。
如上所述,核心網路106還可以連接到網路112,網路112可以包括其他服務提供方擁有及/或操作的其他有線或無線網路。
雖然上面以特定組合的方式描述了特徵和元素,但是每個特徵或元素都可在沒有其他特徵和元素的情況下單獨使用,或與其他特徵和元素進行各種組合。此外,此處所述的實施方式被提供用於示例性的目的。例如,儘管在這裏使用開放ID及/或SSO認證實體和功能描述了實施方式,但可以使用其他認證和功能實施類似的實施方式。此外,此處所述的實施方式可在結合至電腦可讀儲存媒體中的電腦程式、軟體或韌體中實現,以由電腦或處理器執行。電腦可讀媒體的示例包括電子信號(經由有線或無線連接傳送)和電腦可讀儲存媒體。電腦可讀儲存媒體的例子包括但不限於唯讀記憶體(ROM)、隨機存取記憶體(RAM)、暫存器、快取記憶體、半導體儲存裝置、例如內置硬碟和可移式磁片的磁性媒體、磁光媒體和光學媒體(例如CD-ROM盤和數位多功能光碟(DVD))。與軟體相關聯的處理器可被用於實施在WTRU、UE、終端、基地台、RNC或任何主機中使用的射頻收發器。
這裏對系統、方法和裝置實施方式進行了描述,用於使得能夠對安全網路存取進行一次往返(ORT)無縫使用者/裝置認證。在示例實施方式中,可在使用者/裝置和第一網路上的網路實體(例如應用伺服器)之間建立安全性關聯和證明,以供在第二網路中使用。在示例實施方式中,第一網路是蜂巢網路,而第二網路是WLAN網路,比如熱點網路。來自第一網路的安全性關聯和證明可被用來(leverage)執行最佳的快速認證以及在相同或不同網路上以按需的且無縫的方式完成安全性層認證和安全隧道設置。雖然這裏描述的實施方式通常是在開放ID協定的上下文中描述的,但是這些實施方式並不被限制於實施開放ID協定,並且可實施其他單點登入(SSO)協定及/或例如聯合識別碼協定。類似地,雖然開放ID實體通常在這裏被用作參考,但是實施方式並不限於開放ID實體,而且開放ID實體可被擴展到與開放ID實體執行相同或相似功能的其他實體。例如,如這裏所用的情況一樣,術語依賴方(RP)和用戶端可指服務提供者(SP),比如服務網站或網路存取點。術語開放ID識別碼提供者(OP)和授權伺服器可指網路識別碼提供者(IdP)或認證端點(AEP)。術語使用者設備(UE)可指任何合適的無線傳輸/接收單元(WTRU),如在這裏進一步所描述的。
這裏描述的實施方式可使用在使用者/使用者設備(UE)和第一網路實體之間預先建立的安全性關聯和證明以能夠對不同網路進行最佳快速可擴展認證協定(EAP)存取。在示例實施方式中,最佳EAP重新認證協定(EAP-RP)被用來基於預先建立的安全性關聯和動態產生的證明來存取網路或服務。可在使用者/UE和單點登入(SSO)系統(比如開放ID、開放ID連接、通用引導架構(GBA)等等)之間預先建立安全性關聯。最佳快速EAP和EAP-RP認證可使得能夠進行一次往返(ORT)相互認證和產生對話秘鑰。
在示例實施方式中,使用者/UE從第一網路實體請求並獲得發現資訊。這種資訊可包括例如存取點(AP)識別碼(例如MAC位址或SSID)、所支援的安全性協定(例如AP支援EAP-RP、EAP等)以及所支持的加密套件的類型(HMAC-SHA-256、HMAC-SHA-512等)。網路實體接收發現請求,並向使用者/IE發送網路發現資訊。例如,可在蜂巢網路上經由存取網路發現和選擇功能(ANDSF)來向UE發送網路發現資訊(例如使用開放行動聯盟(OMA)裝置管理(DM)協定等)。替代地,可經由層2協定(例如使用通用廣告服務(GAS)和存取網路詢問協定(ANQP)的802.11u)來向UE發送網路發現資訊。
在另一示例實施方式中,使用者/UE發現其可能希望在未來連接到的網路(例如AP)。使用者/IE經由例如第一網路實體獲得所發現的網路的識別碼。使用者/UE將所發現的識別碼傳遞到第一網路實體,該第一網路實體充當用於在UE和所發現的網路之間的認證的服務者(facilitator)。例如,使用者/IE可通知所發現的網路預計來自UE的連接請求,從而所發現的網路能夠期待來自使用者/UE的連接請求並能夠與使用者/UE建立安全性關聯。可在通信堆疊的各個層(比如應用層、層3和層2協定)上發送這樣的網路發現資訊。UE可例如在進行認證及/或關聯程序的同時以隱式或顯式的方式從所發現的網路請求和獲得網際協定(IP)位址配置。例如,UE可在EAP認證期間請求IP位址(例如隱式地或顯示地)。第一網路實體可接收位址配置請求、並向UE發送IP位址配置。例如,第一網路實體可基於來自UE的隱式或顯示請求以代表UE請求IP位址配置。根據示例實施方式,在蜂巢網路上經由ANDSF向UE發送IP位址配置。在另一示例實施方式中,例如,在EAP-成功或EAP-完成訊息中,經由認證、授權、記賬(AAA)伺服器向UE發送IP位址配置。在又一個示例實施方式中,經由層2協定(例如EAP通知訊息)向UE發送IP位址配置。
在這裏描述的示例實施方式中,臨時或永久ORT認證(ORTA)識別碼被創建並發送到使用者/UE,例如在使用者/UE和第一網路實體之間的安全性關聯建立階段期間。還可藉由UE及/或第一網路實體以例如使用共用加密方式來導出臨時或永久識別碼。在另一示例實施方式中,網路實體對從使用者/UE接收的臨時或永久ORTA識別碼進行驗證,並且網路實體將ORTA識別碼與使用者/UE和網路實體之間的已有的安全性關聯上下文相關聯。UE和網路實體可進行協商並選擇用於EAP認證的協定。例如,作為EAP協商的一部分,UE可使用可在EAP訊息內部攜帶的動態主機配置協定(DHCP)以同時請求IP位址配置。UE和網路可進行協商並選擇密碼套件,例如用於導出秘鑰以及用於確保UE和網路之間的通信的安全。
網際網路工程任務組(IETF)的可擴展認證協定(EAP)使用諸如請求方(supplicant)(例如用戶端)、認證方(例如存取點)和認證伺服器(例如AAA伺服器)之類的實體來說明在鏈路層處的認證框架。認證方在請求方和伺服器之間轉移EAP訊息。例如,訊息在無線側被EAPOL封裝、且在有線側被RADIUS(半徑)封裝。由於成功完全EAP認證,用戶端被允許進行網路存取,並且在無線電鏈路上發送的訊務被加密。藉由提供用戶端和網路之間的相互認證、認證證明的安全轉移和用於對話加密秘鑰的秘鑰材料的產生,EAP認證增強了WLAN安全性。
例如,當裝置到達新的認證方時,其可執行完全EAP認證。例如,如果裝置包括從之前的完全EAP認證導出的新鮮(fresh)的秘鑰材料,則裝置可執行快速EAP認證。執行常規快速EAP認證涉及用來完成EAP認證的多個EAP交換和往返,潛在地導致差的端使用者體驗。如此處所述,SSO系統可被使用以及預先建立的使用者/UE和網路安全性關聯和證明可被用來最佳化快速EAP和EAP-RP認證協定。
在這裏描述的各種實施方式中,根據可擴展的認證協定(EAP)實施認證。各種EAP實施提供完全認證或快速EAP認證、並產生對話秘鑰,以確保使用者設備(UE)和網路之間的通信。雖然這裏參照EAP UMTS認證和秘鑰協定(EAP-AKA)協定對ORT認證進行了描述,可將相同或相似的概念應用到其他認證協定,比如EAP傳輸層安全性(EAP-TLS)、EAP隧道化傳輸層安全性(EAP-TTLS)、EAP用戶身份模組(EAP-SIM)、EAP-AKA’等。
第10圖描述了示例性完全EAP-AKA呼叫流程1000。參考第10圖,EAP-AKA協定是提供相互認證並產生對話秘鑰的若干EAP變形中的一種。EAP-AKA認證協定使用UMTS認證和秘鑰協定(AKA)機制。EAP-AKA允許行動操作者針對UMTS和WLAN存取兩者都使用通用認證基礎結構。
第11圖描述了示例性快速EAP-AKA呼叫流程1100。參考第11圖,常規EAP-AKA完全認證從操作者的認證中心要求新鮮的認證向量、並涉及用來完成認證的多個操作和往返。EAP-AKA協定包括針對不使用AKA演算法且不需要來自操作者的認證中心的新向量的快速重新認證的選項。常規EAP-AKA快速重新認證是基於在之前的完全EAP-AKA認證期間導出的秘鑰。例如,在完全認證中使用的認證秘鑰(K_aut)和加密秘鑰(K_encr)可被用來保護快速EAP-AKA訊息和屬性,以及來自完全認證的原始主秘鑰可被用來產生新鮮主對話秘鑰。
快速重新認證交換可利用無符號16位元計數器,其可被包括在“AT_COUNTER”屬性中。例如,計數器可被用來限制在沒有完全認證的情況下的連續重新認證交換的數量。計數器可有助於秘鑰材料,且計數器可保護對等方和伺服器避免重放。計數器屬性可被加密。在EAP-AKA快速重新認證的示例實施中,伺服器將加密伺服器亂數(random nonce)包括在快速重新認證請求中。對等方的回應中的AT_MAC屬性是在NONCE_S上計算的,以便提供質詢/回應認證方案。NONCE_S還有助於新的主對話秘鑰。這樣,常規EAP-AKA快速重新認證涉及用來完成EAP認證的多個EAP交換和往返。多個交換和往返可增加延遲,這會影響使用者體驗。
第12圖描述了示例性EAP-RP呼叫流程1200。參考第12圖,常規EAP-RP將基本EAP擴展,以改進EAP認證。EAP-RP描述一組對EAP的擴展,以使得能夠對對等方進行重新認證,其中該對等方已經在先前的完全認證階段中與EAP伺服器建立了至少一部分EAP秘鑰材料。常規的擴展包括被稱為EAP-發起和EAP-完成的EAP編碼。
繼續參考第12圖,典型的EAP-RP呼叫流程1000包括對等方、認證方和EAP-RP伺服器(例如AAA伺服器)。EAP-RP假定對等方與AAA伺服器執行完全EAP認證以及兩個實體共用EMSK。對等方和AAA伺服器從EMSK導出名稱為rRK的秘鑰。從rRK導出名稱為重新認證完整性秘鑰(rIK)的新的秘鑰,以在重新認證期間提供持有證明和認證。
第13圖描述了重新認證根秘鑰(rRK)的示例導出1100。參考第13圖,常規EAP-RP定義了對重新認證根秘鑰(rRK)的導出,該rRK被用作EAP-RP認證的根秘鑰。rRK是從EMSK導出的,其作為完全EAP的一部分產生。使用rRK導出的重新認證完整性秘鑰(rIK)被用於持有證明,並從而用於對等方的認證。由UE和AAA伺服器產生的EAP-RP訊息使用rIK來保護完整性。在常規EAP-RP實施中,導出重新認證主對話秘鑰(rMSK),以在作為四向(4-way)交握協定的一部分導出的對話秘鑰的導出中使用。舉例來講,一般KDF被用來支援多種EAP協定,但秘鑰演算法通常基於HMAC-SHA。由於不同的EAP實施使用不同的秘鑰長度,所以秘鑰演算法可被用來產生64、128及/或256位元秘鑰。
實施常規EAP-RP可要求修改現有的EAP實施,以支持EAP-RP擴展。例如,EAP-RP擴展可要求對UE、AP及/或AAA實體進行更新或代替。常規的EAP-RP實施是藉由AP發送EAP-發起/重新認證-開始訊息來觸發的。在這種實施中,AP可能不知道UE是否支持EAP-RP或UE最近是否經由另一AP執行過完全EAP認證。此外,如果UE和AP之間同時運行多個協定,則EAP-RP和其他EAP協定之間可能存在衝突。
常規EAP-RP假定用於重新認證秘鑰產生的基本秘鑰(例如EMSK 512位元)是從包括至少兩次往返的完全EAP認證中導出的,由此增加延遲。舉例來講,除非常規EAP-RP實施中存在重新認證,則不能被使用作為完全EAP的一部分產生的秘鑰(例如EMSK)。這樣,存在與產生和維持/確保未使用的秘鑰相關聯的負荷成本。
第1A圖根據示例實施方式描述了用於執行基於單點登入(SSO)的一次往返認證(ORTA)存取的一般流程50。一般流程50被分成3個階段:階段1、階段2和階段3。根據示出的實施方式,UE 52、本地網路節點54和識別碼提供者(IdP)56相連,從而它們在彼此之間是可發現的且能夠互相通信。例如,本地網路節點54可基於UE 52的識別碼來發現IdP 56。UE 52的識別碼可提供充分的資訊來使得能夠發現IdP 56、並且可由UE 52傳遞到本地網路節點54。替代地,IdP 56可基於由UE 52提供給它的資訊來發現本地網路節點54。UE 52可基於廣播資訊來獲得關於本地網路節點54的資訊,這可提供足夠的資訊以使得能夠由IdP 56發現本地網路節點54。根據示例實施方式,UE 52可與IdP 56進行通信,以使得UE 52能夠發現本地網路節點54並與之進行通信。本地網路節點54可實施存取點(AP)、AAA代理伺服器及/或依賴方(RP)的功能,這樣本地網路節點54還可被稱為AP 54、AAA代理伺服器54或RP 54,且不限於此。IdP 56可實施識別碼提供者(比如開放ID識別碼提供者(OP)、3GPP規定的引導伺服器功能(BSF)、AAA伺服器)的功能,從而IdP 56還可被稱為OP 56、BSF 56或AAA伺服器56,且不限於此。
參見第1A圖,在58(階段1),在通信堆疊的任意層上創建UE 52和IdP 56之間的持續安全性關聯。在較佳實施方式中,安全性關聯創建於應用層。根據所示的實施方式,階段1是在第一網路上實施的,比如蜂巢網路或WLAN。例如階段1實施UE 52和IdP 56之間的應用層認證。應用層認證可導致導出一個或多個秘鑰,比如加密秘鑰及/或完整性秘鑰,其可被用來創建主秘鑰(MK)。可根據各種協定(比如GBA、開放ID、開放ID連接等)或根據網路層認證(比如EAP)實施應用層認證。在60(階段2),認證發生於UE 52和IdP 56之間。這種認證可位於存取層、網路層或應用層。在階段2期間發現第二網路的識別碼,其不同於第一網路。例如,第二網路可以是WLAN網路或熱點網路。這一識別碼可包括本地網路節點54的識別碼。這樣,本地網路節點54可以是WLAN或熱點網路的一部分。在階段2產生秘鑰,比如主對話秘鑰(MSK)或EMSK,其特定於由第二網路使用的認證機制。秘鑰可被綁定到UE 52和第二網路。可使用各種訊息發送協定(比如在應用層的HTTP訊息或在網路層的EAP訊息)來實施階段2。階段2中的存取層認證可根據EAP、EAP-AKA/TLS等來實施。根據所示出的實施方式,階段2可經由第一網路來實施,該第一網路可以是蜂巢網路或WLAN,或者可經由第二網路來實施階段2。可根據所示出的實施方式在階段3期間使用秘鑰。
仍然參見第1A圖中示出的實施方式,在62(階段3),在本地網路節點54處與第二網路認證UE 52。這樣,UE 52經由本地網路節點54來建立到網際網路的安全存取。此外,所示出的UE 52已經利用了在UE 52和IdP 56之間導出的證明(其可能已經在第一網路(例如蜂巢網路)上執行),以獲得到第二網路(例如WLAN)的安全存取。如下文詳細描述,可根據與第二網路相容的各種協定(比如EAP、快速EAP、EAP-RP或EAP-ORTA)來實施階段3。
第1B圖描述了根據示例實施方式的用於執行基於SSO的一次往返認證(ORTA)存取的流程圖,其中實施了EAP。為了示例性目的,第1B圖被分成3個階段:階段1、階段2和階段3,其與第1A圖所示的三個階段一致。在示出的實施方式中,UE 10還可被稱作對等方10,並且域12包括存取點14和AAA代理伺服器16。AAA代理伺服器16可實施應用層功能、並從而可被稱作服務提供者(SP)16或依賴方(RP)16。類似地,所示出的實施方式包括認證伺服器(AS)18,其可由識別碼提供者(IdP)18(比如開放ID識別碼提供者(OP)18)實施、並從而可被稱為IdP 18。AS 18還可被稱作AAA伺服器18,且不限於此。
根據示出的實施方式,在20的階段1期間,UE 10使用其識別碼來與AS 18相互認證。例如,UE 10可使用其操作者提供的識別碼(例如ue_idatt.com)或由識別碼提供者提供的識別碼(例如ue_namegmail.com)來與AS 18相互認證。AS 18可被行動網路操作者(MNO)控制。這一認證可在HTTP上使用例如通用引導架構(GBA)協定、開放ID/EAP協定、開放ID連接/EAP協定等來實施。或者,可使用例如存取層協定(比如EAP)來執行認證。可在20處從相互認證導出秘鑰。例如,當在20處實施GBA時,可從加密秘鑰(CK)及/或完整性秘鑰(IK)導出主秘鑰(MK)。根據示出的實施方式,在存取到域12處的服務或網路存取之前,完成了在20處的相互認證。例如,可在預計對服務進行存取的情況下(比如,預計對域12處的熱點網路進行存取的情況下),完成在20處的相互認證。在20處產生的秘鑰的壽命可以改變(例如以天、小時等為單位的秘鑰壽命)。這些秘鑰可被綁定到AS 18以及UE 10的識別碼。在示例實施方式中,如果UE 10和AS 18之間存在有效的安全性關聯,則跳過階段1。
仍然參見第1B圖,在22處的階段2期間,UE 10基於網路指示或其他方式來發起最佳的EAP或開放ID認證。這種網路指示可取決於地理位置、當日時間等。根據所示出的實施方式,在22處,UE 10請求到由域(比如域12)控制的網路資源的存取。例如,請求可包括針對存取網路(比如熱點網路)的請求,或請求可包括針對存取各種其他網路資源(比如網站和應用)的請求。這種網路資源可由單一域(例如boingo.com、microsoft.com、verizon.com)控制。根據所示出的實施方式,藉由由例如AS 18發現用來使得能夠與域12進行通信的域12的識別碼,UE 10可發起階段2。識別碼可由UE 10來感測。識別碼可以是經由ANDSF協定及/或802.11u(例如GAS/ANQP)協定以使用指示來發現的網路識別碼。根據另一實施方式,網路識別碼可由UE 10經由來自WLAN信標(比如AP 14的SSID和BSSID,其使得域12能夠被唯一地且全球地發現)的通告來發現(例如,感測),且UE 10可隨後被稱為位址解析(resolution)方案伺服器,以識別域12的AAA代理伺服器/RP 16的IP地址。替代地,UE 10可將其識別碼傳送到AP 14及/或域12的AAA代理伺服器/RP 16,其中可從該識別碼發現AS 18。例如,AS 18可以已經向UE 10指派了識別碼“ue_namegoogle.com”來發現AS 18。“ue_name”隨後可使得AS 18唯一地識別UE 10。
根據示出的實施方式,在22處,AS 18和UE 10可計算MSK以及(可選地)EMSK、並可將MSK綁定到域12。這樣,根據示出的實施方式,MSK成為針對隨後將被產生以用於存取域12內的資源的秘鑰的域根秘鑰,並且還導出臨時識別碼(ORTA ID)。如此處所述,所導出的識別碼可被稱作一次往返認證(ORTA)識別碼(ID)。ORTA ID可被用於域12內的標識目的。例如,臨時識別碼(ORTA ID)可與域12具有相同的“領域(realm)”,從而UE 10的ORTA ID是ue域12.com(例如ueyahoo.com、ueverizon.com等)。根據示出的實施方式,為了存取新的域(UE 10與其不具有關聯或具有有效壽命的綁定的秘密MSK),重複階段2。在示例實施方式中,如果存在與域相關聯的有效MSK(甚至例如當資源屬於不同網路(例如實體的及/或邏輯的)時),則跳過階段2。有效MSK可指具有尚未期滿的壽命(從而是有效的)的MSK。
仍然參見第1圖中示出的示例,在24處的階段3期間,UE 10產生EAP訊息,其包括UE 10的ORTA ID。EAP訊息是在UE 10識別域12內所需的資源(例如存取熱點AP 14)之後產生的。EAP訊息可被rIK保護,其中rIK是使用MSK作為根秘鑰而產生的。例如,AAA代理伺服器16可使用ORTA ID來驗證存在本地儲存的相應MSK。這樣,AAA代理伺服器16使用MSK(域根秘鑰)來導出重新認證完整性秘鑰(rIK)。AAA代理伺服器16例如基於使用rIK導出的訊息認證編碼來驗證該訊息。在26處,AAA代理伺服器16導出重新認證主對話秘鑰(rMSK),該rMSK被發送到AP 14並被綁定到UE 10和AP 14。根據示出的實施方式,訊息是與EAP一致的並由rIK保護。如上所述,階段3在一次往返中完成並基於安全性關聯及/或在階段1及/或階段2期間導出的秘鑰。在示例實施方式中,使用相同域中的任何AP(其具有相關聯的有效MSK但不具有與該AP相關聯的有效rMSK)來重複階段3。在這一實施方式中,如果UE訪問相同的AP並具有有效的rMSK,則可避免階段3並且rMSK可被用於四向交握。有效MSK可指具有尚未期滿的壽命的MSK。類似地,有效rMSK指具有尚未期滿的壽命的rMSK。
第2圖描述了使用SSO系統200的ORTA EAP-RP認證的示例實施方式。SSO系統200包括UE 202、存取點(AP)204和網路伺服器206。網路伺服器206可實施開放ID協定,並從而可被稱為開放ID伺服器206。網路伺服器206還可被稱為(不限於此)SSO伺服器206、聯合識別碼伺服器206、存取網路發現和選擇功能(ANDSF)伺服器206或AAA伺服器206。根據第2圖中示出的實施方式,在208處,UE 202和網路伺服器206已經預先建立了安全性關聯且產生了新鮮的主秘鑰。在示例實施方式中,其中UE 202和網路伺服器206之間尚未建立安全性關聯,且UE 202和網路伺服器206之間的活動連接(比如活動3GPP連接)可被用來相互認證和在UE 202和網路伺服器206上產生主秘鑰。在208處,一次往返認證(ORTA)ORTA識別碼(ID)被創建並被安全地從網路伺服器206發送到UE 202。這種ORTA ID可被用來觸發ORTA EAP認證並可被網路伺服器206用來查找與UE 202的現存安全性關聯上下文。
在210處,可在UE 202和網路之間交換網路發現資訊。例如,UE 202可從ANDSF伺服器206請求無線區域網路(WLAN)資訊(例如拉取場景),或者ANDSF伺服器206可向UE 202推送WLAN資訊。可經由安全連接(比如安全3GPP連接)來推送WLAN資訊。UE 202接收的網路資訊可包括諸如以下的資料:可用AP、SSID、所支援的認證協定(例如支援EAP或EAP-RP)、加密套件、IP位址配置或促進連接設置的其他存取網路參數。在替代示例實施方式中,參見212,使用低層(比如藉由使用802.11u(例如使用GAS和存取網路詢問協定(ANQP)))來獲得網路發現資訊。根據所示出的實施方式,網路發現資訊包括支援EAP-RP協定的AP 204,從而AP 204不需要向UE 202發送EAP-發起/重新認證-開始訊息。
在214處,根據示出的實施方式,回應於網路發現資訊向UE 202通知AP 204支援EAP-RP,UE 202向AP 204發送EAP-發起訊息。該發起訊息包括ORTA識別碼,其可被安全地儲存在UE中。發起訊息還可包括用於重放保護的序號(SEQ)和可被使用的加密套件。可使用完整性秘鑰來保護發起訊息。在示例實施方式中,在214處,UE 202藉由在EAP訊息中包括請求(例如IP_CFG_REQ)來請求IP位址配置。在另一示例實施方式中,UE 202可藉由將DHCP請求封裝在EAP訊息內來請求IP位址配置。在又一個示例實施方式中,UE 202可使用EAP-通知訊息來請求和獲得IP位址配置。在216處,AP 204向網路伺服器206轉發EAP訊息(例如使用AAA請求)。在218處,網路伺服器206使用ORTA識別碼來查找與UE 202預先建立的安全性上下文。網路伺服器206可驗證序號並可驗證由UE 202所使用的加密套件是可接受的。網路伺服器206可使用rIK來驗證該訊息的完整性。例如,這一驗證提供由對等方202持有秘鑰的證明。如果驗證是成功的,則網路伺服器206產生並向AP 204發送對話秘鑰。可使用EAP-完成訊息發送對話秘鑰。
仍然參見第2圖,在示例實施方式中(其中UE 202在EAP-回應訊息中發送IP配置請求(例如IP_CFG_FEQ)),網路伺服器206可向UE 202發送IP配置。例如,可在EAP-完成訊息的IP_CFG_應答欄位中發送所要求的IP配置。網路伺服器206可使用各種配置協定(例如DHCP、所配置的本地位址池等)來向UE 202發送位址配置資訊。網路伺服器206可在EAP-完成訊息中發送頻道綁定資訊(CB-Info),以例如供UE 202驗證EAP訊息是經由有效AP接收的。有效AP可指尚未被攻擊(compromise)的AP。根據第2圖中示出的實施方式,在220處,AP 204將EAP-完成訊息轉發到UE 202。在222處,在UE 202和AP 204之間執行四向交握協定。可在224處執行IP位址配置。在示例實施方式中,在224跳過IP位址配置,這是因為可使用各種IP並行發生選項。在226處,UE 202(從而UE 202的使用者)具有經由AP 204和WLAN網路到網際網路的存取。
EAR-RP ORTA識別碼可與MNO的網路相關聯。在示例實施方式中,EAP-RP ORTA識別碼可不被聯繫到MNO的網路。例如,EAP-RP ORTA識別碼可以是被導出/發佈的臨時識別碼,且該臨時識別碼屬於熱點網路。屬於熱點網路的所導出的識別碼可包括各種形式,比如Base64(Rand x’或PrevAssociation#)hotspot.com。在示例中,PrevAssociation#表示來自之前的關聯的值。替代地,所導出的識別碼可屬於MNO網路且可包括各種形式,比如Base64(RAND x’或Seq#)mno.com或Base64(KDF(RAND, “臨時識別碼|長度”)mno.com。
第8圖描述了使用SSO系統800的ORTA EAP認證的示例實施方式,其中在SSO系統800中預先建立了安全性關聯。參見第8圖,SSO系統800包括UE 802、AP 804和開放ID識別碼提供者(OP)伺服器806。AP 804可充當開放ID依賴方(RP)804,從而AP 804可被稱為RP 804,且不限於此。在SSO系統800中,在808處,在蜂巢網路上預先建立UE 802和OP 806之間的安全性關聯。替代地,可在另一網路上預先建立安全性關聯。安全性關聯導致在UE 802和OP 806上產生主秘鑰。在安全性關聯建立之後的某個點,利用安全性關聯來使得能夠在WLAN網路上進行認證和安全鏈路設置。
例如,根據示出的實施方式,在810處,由UE 802發現存取網路(例如AP 804)。在812處,請求UE 802的識別碼的EAP請求訊息從AP 804被發送到UE 802。在814處,UE 802以其識別碼進行回應。在816處,AP 804基於UE 802的識別碼來執行對OP 806的發現、並執行與OP 806關聯。在818處,OP 806產生質詢、並向AP 804發送質詢。質詢可以是開放ID質詢。在820處,質詢被轉發到UE 802。在822處,UE 802產生對質詢的回應、並向AP 804發送對質詢的回應。可根據EAP來發送回應,且該回應可包括UE 802的識別碼。在824處,質詢回應被轉發到OP 806。在826處,如果OP 806基於質詢回應來驗證UE 802的識別碼,則OP 806向AP 804提供斷言(assertion)。在828處,AP 804向UE 802轉發EAP-成功訊息。在830,執行四向交握協定。在832處執行IP位址配置。在834處,UE 802(從而UE 802的使用者)具有經由AP 804和WLAN網路到網際網路的安全存取。
第3圖描述了示例SSO系統300,其實施基於通用應用層的認證,其中使用單一服務組識別符(SSID)來建立UE 302和AP 304之間的安全網路連接。第3圖中示出的基於應用層的認證可被稱為通用的,這是因為第3圖並不實施特定的協定,所示出的應用層認證的各種實施方式可實施各種協定,比如HTTP、開放ID、開放ID連接、GBA等。在示例實施方式中,AP 304的軟體被修改,使得其允許執行應用層認證。經由應用層協定產生的證明可被用來提供最佳安全熱點2.0(HS 2.0)存取。在第3圖中示出的實施方式中,不需要連接管理器(CM)來切斷連接以及重新連接。根據示出的實施方式,SSO系統300包括UE 302、AP 304、熱點AAA伺服器306、MNO AAA伺服器308和本地位置暫存器(HLR)/本地用戶系統(HSS)310。熱點AAA伺服器306包括應用功能(AF)模組。在實施開放ID/開放ID連接的示例實施方式中,AF模組可以是RP,或者在實施GBA的示例實施方式中,AF模組可以是網路應用功能(NAF)。MNO AAA伺服器308包括伺服器功能(SF)模組。在實施開放ID/開放ID連接協定的示例實施方式中,SF模組可以是OP,或者在實施GBA的示例實施方式中,SF模組可以是引導伺服器功能(BSF)。如此所述,可經由應用層認證來實施EAP,以產生對話秘鑰和證明,以及實施最佳EAP,以獲得HS 2.0網路存取。
仍然參見第3圖中示出的實施方式,在312處,UE 302發現熱點存取點(AP)304。所示出的熱點AP 304還可被稱作無線LAN控制器(WLC)304,且不限於此。例如,UE 302上的本地元件(例如CM)可發現熱點及其識別資訊(比如HS 2.0 SSID)。熱點AP 304允許應用層協定交換在認證之前經由存取層傳訊(比如信標頻道或802.11u GAS/ANQP協定擴展)通過防火牆防禦地區(walled garden)。根據示出的實施方式,CM決定UE 302應該連接到熱點網路。在314處,UE 302的CM將其應用層識別碼與HTTP獲得訊息一起發送到AAA伺服器306的應用功能(AF)。在316處,AF從該應用層識別碼發現AAA伺服器308的相應的MNO伺服器功能(SF),且在SF和AF之間完成關聯。在318處,UE 302的CM使用例如EAP-SIM來與MNO SF伺服器進行認證。根據示出的實施方式,使用HTTPS執行UE 和MNO SF之間的EAP-SIM交換。在320處,MNO SF經由例如MAP或直徑閘道以從HLR 310獲得用於EAP-SIM認證的認證向量(AV)。在成功的EAP-SIM認證結束時,在UE和MNO AAA伺服器308上創建並儲存對話秘鑰(MSK)。
根據示出的實施方式,在322處,UE 302向AP/WLC 304發送其EAP識別碼(EAP ID)(例如使用EOL-開始識別碼)。EAP ID的領域可包括對使用UE和網路之間的現有安全性上下文的提示(例如IMSIsso.MNO.org)。在324處,AP/WLC 304向AAA伺服器/AF 306發送RADIUS存取-請求訊息(例如包含EAP ID)。在326處,AAA伺服器/AF 306使用例如RADIUS存取-接受訊息以向AP/WLC 304發送EAP-成功以及其從MNO SF 308接收(在318處)的MSK。在328處,AP/WLC 304向UE 302轉發EAP成功訊息。基於在UE 302和AP/WLC 304之間共用的MSK,執行四向交握協定且在兩側都導出兩兩暫態秘鑰(PTK)和群組暫態秘鑰(GTK)。UE 302的狀態可在AP 304上變成“授權的”,且UE 302可使用DHCP來獲得IP位址配置。在替代實施方式中,UE 302的CM在312處具有私人位址,其用於開放ID認證。在這種實施方式中,網路將針對該位址的授權從“防火牆防禦地區”改變成“授權的存取”,且UE 302不需要進行DHCP程序。在330處,UE 302(從而UE 302的使用者)已經與AP 304建立了安全網路連接,且根據第3圖中的示例實施方式,具有到網際網路的安全HS 2.0存取。
第4圖示出了基於GBA協定建立安全網路連接的示例SSO系統400。可按照期望將GBA協定實施為提供相互認證以及產生對話秘鑰。例如,所示出的實施方式實施GBA-AKA協定,但實施方式並不如此受限。經由GBA-AKA認證產生的GBA證明被用來提供最佳的安全HS 2.0存取。
在第4圖中示出的實施方式中,在412處,UE 402與AP/WLC 404相關聯。例如,UE 402可首先使用“公共_WLAN”SSID和開放模式以存取與AP 404相關聯。如果UE 402被配置為例如使用DHCP獲得IP位址,則AP/WLC 404向UE 402分配私人IP地址。在示例實施方式中,UE 402不能使用所分配的IP位址來存取網際網路,且AP/WLC 404中的UE 402的狀態是“未授權的”。當UE 402的使用者打開其網頁瀏覽器應用時,強制性網頁認證入口/NAF 406可將瀏覽器重新定向到提示使用者進行登入證明的入口網站網頁。強制性網頁認證入口406可由AAA伺服器406來實施,AAA伺服器406可實施NAF,從而AAA伺服器406還可被稱為NAF 406或AAA伺服器/NAF 406,且不限於此。在414處,使用者/UE 402選擇GBA認證。在416處,NAF 406攔截HTTP訊息並使用HTTP 401未授權訊息來通知UE 402與BSF 408進行認證。AP/WLC 404 406開放埠443,以用於UE 402和BSF 408之間的通信。在步驟418、420、422、424、426和428期間,UE 402和BSF 408完成GBA協定。GBA協定的最終結果是UE 402和BSF 408之間的安全性關聯,其包括GBA秘鑰(Ks)、引導業務識別符(B-TID)和秘鑰壽命。
根據示出的實施方式,在430處,UE 402使用Ks來導出與B-TID相關聯的Ks_NAF。在432處,UE 402將B-TID與UE 402的識別碼一起發送到NAF 406。在434處,NAF 406使用B-TID來與BSF 408進行聯繫,以獲取Ks_NAF。在436處,一旦驗證B-TID,BSF 408導出與B-TID相關聯的Ks_NAF。在438處,BSF 408向NAF/AAA伺服器406發送Ks_NAF。例如,NAF 406可接收Ks_NAF並導出MSK,且隨後將該MSK在內部作為MSK傳送到其AAA伺服器406。在440處,AAA伺服器/NAF 406向UE 402發送HTTP 200 OK訊息。根據示出的實施方式,在442處,UE 402與“開放”SSID解除關聯,並關聯到安全的SSID,比如安全HS 2.0 SSID。在444處,UE 402可執行最佳EAP。例如,UE 402可使用EOL-開始識別碼以向AP/WLC 404發送其識別碼(EAP ID)。EAP ID的領域可包括對使用UE 402和網路之間的現有安全性上下文的提示。AP 404可向AAA伺服器406發送包含EAP ID的RADIUS存取-請求訊息。AAA伺服器 406可使用例如RADIUS存取-接受訊息以向AP/WLC 404發送EAP-成功以及之前接收的MSK。AP/WLC 404可向UE 402轉發EAP成功訊息。基於在UE 402和AP/WLC 404之間共用的MSK,執行四向交握協定且在兩側都導出PTK和GTK秘鑰。UE 402狀態可在AP 402上變成“授權的”。UE 402使用例如DHCP來獲得IP位址配置,且UE 402可經由HS 2.0安全地連接到網際網路。
第5圖描述了基於開放ID協定(比如開放ID連接(OIDC))建立安全網路連接的示例SSO系統500。OIDC提供用於供使用者授權OP以向RP/使用者端洩露指定的使用者設定檔資訊的機制。在第5圖中所示的實施方式(其中尋求WLAN存取)中,MSK/PSK被洩露給RP/用戶端508,其也可被稱作AAA代理508或強制性網頁認證入口508,且不限於此。MSK/PMK可作為UE 502的認證的一部分來導出。OIDC定義識別碼(ID)和存取訊標,其可被RP/用戶端508用來獲得使用者屬性及/或設定檔資訊及/或對話秘鑰,比如MSK/PMK。
根據示出的實施方式,將兩個SSID與OIDC聯合使用,以用於UE 502被認證以存取到熱點網路504。熱點網路504包括AP/WLC 506和用戶端/AAA代理508。第5圖中引用的“公共WiFi”SSID是開放的且非安全的,而HS 2.0是安全的。根據示出的實施方式,經由開放公共WLAN來發起認證。在初始認證之後,作為認證的一部分導出的識別碼和加密材料被UE在安全HS 2.0 SSID上使用,以完成認證和授權。
繼續參考第5圖,在516處,UE 502與AP/WLC 506的開放SSID相關聯。在518處,UE 502使用DHCP來獲得私人網際網路協定位址。在520處,UE 502的使用者嘗試連接到網際網路。在520和522處,強制性網頁認證入口508攔截HTTP獲得訊息並將HTTP訊息重新定向回顯示強制性網頁認證入口資訊的UE 502。在524處,UE將在522處接收的訊息用作對要求認證的提示。UE提供其SSO識別碼,比如MNO提供的SSO識別碼(比如在“領域”部分中使用操作者id的電子郵件位址)。在526處,強制性網頁認證入口508作用為開放ID連接用戶端,並從而強制性網頁認證入口可被稱作用戶端508。用戶端508開始與授權伺服器512的關聯/發現,該授權伺服器512充當操作者網路中的AAA伺服器,從而可被稱為AAA伺服器512。當實施開放ID連接協定時,授權伺服器512還可充當使用者資訊端點,從而授權伺服器512可被稱為使用者資訊(UserInfo)端點512。在526處的發現/關聯結束時,在用戶端508和授權伺服器512之間創建安全連接。
在528和530處,用戶端508經由UE 502來執行到授權伺服器512的HTTP重新定向。根據示出的實施方式,在532處,UE 502和授權伺服器512執行EAP-SIM相互認證。在認證結束時產生的所得秘鑰是主對話秘鑰(MSK),其在UE 502和授權伺服器512處產生。在538和540處,根據開放ID連接協定,授權伺服器512經由UE 502來執行到用戶端508的HTTP重新定向。該重新定向包括ID訊標。在542處,用戶端508使用ID訊標來經由在用戶端508和授權伺服器512之間建立的HTTPS連接來請求存取訊標。在544處,舉例來講,在ID訊標被呈現給授權伺服器512且被授權伺服器512驗證之後,授權伺服器512可將存取訊標提供給用戶端508。在546處,將存取訊標發送到UserInfo端點512,以獲得例如MSK/PMK。在548處,UserInfo端點512驗證存取訊標並向儲存秘鑰的用戶端508發送該MSK/PMK。例如,一旦向UE 502通知成功認證(例如在從授權伺服器512接收到HTTP重新定向訊息時),則UE 502在550處與安全HS 2.0 SSID相關聯。
根據第5圖中示出的實施方式,在522處,UE 502開始EAP認證並發送其早些時候在示出的呼叫流程中使用的SSO識別碼。在554處,一旦接收到EAP-開始訊息,則AP 506使用半徑存取訊息將其轉發到AAA代理/用戶端508。在556處,AAA代理/用戶端508確認成功認證以及MSK/PMK的存在,並將EAP-成功訊息與MSK/PMK一起轉發到AP 506。AP 506可儲存該MSK/PMK。在558處,AP 506向UE 502發送EAP-成功訊息。一旦UE 502接收到EAP-成功訊息,則其根據示出的實施方式在560處發起四向交握。在四向交握之後,在562處,UE 502獲得公共IP地址。在564處,UE 502使用HS 2.0來存取網際網路,且在UE 502和熱點網路504之間建立安全網路。
第9圖示出了實施本地OP功能以基於開放ID連接來建立安全網路連接的示例SSO系統900。SSO系統900包括UE 902,該UE 902包括本地開放ID識別碼提供者(OP)和連接管理器(CM)906。本地OP 904位於UE 902上,且本地OP可執行開放ID協定的各種功能。這樣,本地OP 904還可被稱為本地斷言功能(LAF)904。SSO系統900還包括AP 908、AAA代理伺服器910和MNO AAA伺服器912。AAA代理伺服器910還可充當強制性網頁認證入口或依賴方(RP),從而AAA代理伺服器910還可被稱為強制性網頁認證入口910或RP 910,且不限於此。類似地,MNO AAA伺服器912可充當OP伺服器,從而可被稱作開放ID伺服器功能(OPSF)912,且不限於此。SSO系統900還包括本地位置暫存器(HLR)/本地用戶系統(HSS)914。
參見第9圖中示出的實施方式,在916處,UE 902上的本地元件(例如CM 906)發現AP 908(例如HS 2.0 AP)並連接到AP 908。在918處,UE 902將其國際行動用戶識別碼(IMSI)與其領域一起返回到AP 908。該領域可包括對使用SSO認證(例如IMSIsso.MNO.org)的提示。在920處,根據示出的實施方式,AP 908使用RADIUS存取請求將UE 902的識別碼(其是使用EAP訊息從UE 902接收的)轉發到AAA代理伺服器910。在922處,AAA代理伺服器910偵測到UE 902能夠使用基於開放ID連接(OIDC)的流。這一偵測可基於AAA代理伺服器910所接收的指示符。替代地,AAA代理伺服器可藉由在資料庫中查找UE 902的所接收的IMSI來偵測到UE能夠進行OIDC。在924處,RP 910執行對OPSF 912的發現並與OPSF 912相關聯。作為關聯的一部分,OPSF 912基於由OPSF 912所產生的處理(handle)來創建共用秘密。該共用秘密可採取形式S=f(K0, H),其中K0是本地OP 904和OPSF 912之間的共用秘密。在926處,OPSF/AAA伺服器912可從HLR/HSS 914可選地獲取與UE 902相關聯的AUTN。在924處,OPSF 912將共用秘密S、處理H以及(可選地)AUTN發送到AAA代理伺服器910。在928處,AAA代理伺服器910向AP 908發送EAP-SIM/AKA質詢,以指明可在EAP協定中使用開放ID連接。可將處理H和AUTN發送到AP 908。舉例來講,AAA代理伺服器910可創建開放ID連接請求物件(例如JSON)並將針對它的指示符(例如URL)放入請求中,而不是進行指示。在930處,AP 908將從AAA代理伺服器910接收的EAP訊息(EAP-請求/質詢)轉發到CM 906,並從而轉發到UE 902。在932處,在接收EAP-請求/質詢訊息之後,UE 902檢查認證參數並使用開放ID連接請求物件來發起與本地OP 904 的開放ID連接對話。
根據示出的實施方式,在934處,舉例來講,在成功的本地使用者認證之後,本地OP 904創建存取訊標。本地OP 904還可以可選地創建ID訊標。可藉由使用處理H及/或AUTN來創建存取訊標。類似地,可使用處理H及/或AUTN來創建ID訊標。在936處,存取訊標被返回到CM 906。在938處,CM 906在EAP訊息中將存取訊標發送到AP 908。此外,在938處,CM 906可以可選地在EAP訊息中將ID訊標發送到AP 908。在940處,AP 908將EAP-回應/質詢訊息轉發到AAA代理伺服器910。在942處,AAA代理伺服器910驗證存取訊標、並使用訊標與來自OP 912的使用者資訊端點來獲取資料。此外,在942處,AAA代理伺服器910可以可選地驗證ID訊標。根據示出的實施方式,OP 912在其釋放使用者資訊之前確認存取訊標。OP 912可以可選地確認ID訊標。根據示例實施方式,使用者資訊包括主對話秘鑰(MSK)。在946處,AAA代理伺服器910從AAA伺服器912接收MSK。在948處,舉例來講,當檢查成功時,AAA代理伺服器910向AP 908發送存取接受訊息。存取接受訊息可包括EAP成功訊息和秘鑰材料,例如MSK。在950處,由AP 908將EAP成功訊息轉發到UE 902。在952處,在UE和AP 908(其可以是HS 2.0 AP)之間建立安全連接。
第6A圖描述了使用SSO系統600的EAP-AKA認證的示例實施方式。在示出的實施方式中,使用EAP-回應訊息來觸發ORT認證。SSO系統600包括UE 602、存取點(AP)604和網路伺服器606。網路伺服器606可實施開放ID協定,並從而可被稱為開放ID伺服器606。網路伺服器606還可被稱為(不限於此)SSO伺服器606、聯合識別碼伺服器606、存取網路發現和選擇功能(ANDSF)伺服器606或AAA伺服器606。根據第6A圖中示出的實施方式,在608處,UE 602和網路伺服器606已經預先建立了安全性關聯且產生了新鮮的主秘鑰。在示例實施方式中,其中UE 602和網路伺服器606之間尚未建立安全性關聯,UE 602和網路伺服器606之間的活動連接(比如活動蜂巢連接)可被用來相互認證和在UE 602和網路伺服器606上產生主秘鑰。在608處,一次往返認證(ORTA)ORTA識別碼(ID)被創建並被安全地從網路伺服器606發送到UE 602。這種ORTA ID可被用來觸發ORTA EAP認證並可被網路伺服器606用來發現現存的與UE 602的安全性關聯上下文。
在610處,可在UE 602和網路之間交換網路發現資訊。例如,UE 602可從ANDSF伺服器606請求無線區域網路(WLAN)資訊(例如拉取場景),或者ANDSF伺服器606可向UE 602推送WLAN資訊。可經由安全連接(比如安全蜂巢連接)來推送WLAN資訊。UE 602接收的網路資訊可包括諸如以下的資料:可用AP、SSID、所支援的認證協定(例如支援EAP-AKA和EAP-ORT)、加密套件、IP位址配置或其他存取網路參數。在替代示例實施方式中,參見612處,使用低層(比如藉由使用802.11u(例如使用GAS和存取網路詢問協定(ANQP)))獲得網路發現資訊。根據所示出的實施方式,網路發現資訊包括關於AP 604網路支援EAP-ORTA的指示。
在614處,根據示出的實施方式,回應於網路發現資訊向UE 602通知AP 604支援EAP-AKA和EAP-ORT,UE 602向AP 604發送EAP-回應/AKA-重新認證訊息。該訊息包括ORTA識別碼,其可被安全地儲存在UE中。該訊息還可包括用於重放保護的序號(SEQ)和可被使用的加密套件。可使用完整性秘鑰來保護發起訊息。在示例實施方式中,在614處,UE 602藉由在EAP訊息中包括請求(例如IP_CFG_REQ)來請求IP位址配置。在另一示例實施方式中,UE 602可藉由將DHCP請求封裝在EAP訊息內來請求IP位址配置。在又一個示例實施方式中,UE 602可使用EAP-通知訊息來請求和獲得IP位址配置。在616處,AP 604向網路伺服器606轉發EAP訊息(例如使用AAA請求)。在618處,網路伺服器606使用ORTA識別碼來查找與UE 602預先建立的安全性上下文。網路伺服器606可驗證序號並可驗證由UE 602所使用的加密套件是可接受的。網路伺服器606可使用完整性秘鑰驗證該訊息的完整性。例如,這一驗證提供由對等方602持有秘鑰的證明。如果驗證是成功的,則網路伺服器606產生並向AP 604發送對話秘鑰。可使用EAP-成功訊息來發送對話秘鑰。
仍然參見第6A圖,在示例實施方式中(其中UE 602在EAP-回應訊息中發送IP配置請求(例如IP_CFG_FEQ)),網路伺服器606可向UE 602發送IP配置。例如,可在EAP-成功訊息的IP_CFG_應答欄位中發送所要求的IP配置。網路伺服器606可使用各種配置協定(例如DHCP、所配置的本地位址池等)來向UE 602發送位址配置資訊。網路伺服器606可在EAP-成功訊息中發送頻道綁定資訊(CB-Info),例如供UE 602驗證EAP訊息是經由有效AP接收的。有效AP可指尚未被攻擊的AP。根據第6A圖中示出的實施方式,在620處,AP 604將EAP-完成訊息轉發到UE 602。在622處,執行四向交握協定。可在624處執行IP位址配置。在示例實施方式中,在624處跳過IP位址配置,這是因為可使用各種IP並行發生選項。在626處,UE 602(從而UE 602的使用者)具有經由AP 604和WLAN網路到網際網路的存取。
第6B圖描述了示例實施方式,其中,在628處,可以使用EAPoL-開始訊息來觸發EAP-AKA ORTA。第6B圖中對呼叫流程步驟和實體的描述中與第6A圖相同的部分參照第6A圖進行描述。在第6B圖中示出的實施方式中,UE 602使用EAPoL-開始訊息(而不是第6A圖中示出的EAP回應訊息)來觸發ORT認證。
第6C圖描述了另一示例實施方式,其中, EAP-AKA ORTA是使用EAP-回應訊息來觸發的。根據示出的實施方式,步驟630、632和634中的EAP訊息是未被完整性保護的。例如,由於EAP認證後跟有四向交握協定,所以EAP訊息保護可被放鬆。四向交握協定可被用來防止可在交握協定之前發生的安全性破壞(breach)。
參見第6C圖,第6C圖中對呼叫流程步驟和實體的描述中與第6A圖相同的部分參照第6A圖進行描述。在630處,基於網路發現資訊,UE 602獲知AP 604支援EAP-AKA和EAP-ORT、並且向AP 604發送EAP-回應/AKA-重新認證訊息。EAP訊息包括ORTA識別碼、並且可包括IP配置請求(IP_CFG_REQ)。根據示出的實施方式,EAP訊息依賴於四向交握協定(參見622)來提供安全性保護。在632處,AP 604使用AAA請求向網路伺服器606轉發EAP訊息。在634處,網路伺服器606使用ORTA識別碼來查找與UE 602預先建立的安全性上下文。網路伺服器606產生並向AP 604發送對話秘鑰。可使用EAP-成功訊息來發送對話秘鑰。仍然參見第6C圖,在634處,在示例實施方式中(其中UE 602在EAP-回應訊息中發送IP配置請求(例如IP_CFG_FEQ)),網路伺服器606可向UE 602發送IP配置。例如,可在EAP-成功訊息的IP_CFG_應答欄位中發送所要求的IP配置。網路伺服器606可使用各種配置協定(例如DHCP、所配置的本地位址池等)來向UE 602發送位址配置資訊。
第6D圖描述了示例實施方式,其中,在636處,可以使用EAPoL-開始訊息來觸發EAP-AKA ORTA。第6D圖中對呼叫流程步驟和實體的描述中與第6A圖相同的部分參照第6A圖進行描述。根據第6D圖中示出的實施方式,在636處,UE 602使用EAPoL-開始訊息(而不是第6C圖中示出的EAP回應訊息)來觸發ORT認證。
根據示例實施方式,第7圖描述了用來封裝開放ID訊息(以使得能夠在熱點網路內遍曆(traversal)開放ID訊息)的EAP協定。在EAP內傳輸開放ID訊息可取代在熱點網路內具有強制性網頁認證入口功能。參見第7圖,在712處,UE 702與AP/WLC 704的HS 2.0 SSID相關聯。在714處,UE 702向AP/WLC 704發送EAP-請求訊息,其包括UE 開放ID識別符或IMSI。在716處,AP 704將EAP-請求訊息封裝在半徑訊息內、並將其轉發到AAA代理伺服器/RP伺服器 706。RP 706基於開放ID識別符或IMSI來執行發現過程,以發現OP伺服器708(其可以是MNO AAA伺服器的一部分,從而OP 708還可被稱作AAA伺服器708,且不限於此)的路由地址。在720處,在發現了OP伺服器708之後,關聯請求被轉發到OP伺服器708。在722處,可將開放ID識別符映射到IMSI,或者可從關聯請求中擷取IMSI。
繼續參考第7圖中示出的實施方式,在724處,基於IMSI,AAA伺服器708從HLR/HSS 710獲取認證向量(AV)(例如RAND、XRES、AUTN、CK和IK)。在726處,一旦接收AV,OP 708創建關聯處理(H)。根據示出的實施方式,關聯處理H=randInt||RAND||AUTN。 OP 708使用處理H來創建關聯秘密(S)。在728處,OP伺服器708使用關聯回應訊息以經由後端頻道向RP 706發送處理H和關聯秘密S。在730處,AAA代理伺服器708將開放ID重新定向訊息和處理H一起封裝在半徑/EAP訊息之內、並將其轉發到AP/WLC 704。在732處,AP 704從半徑訊息內擷取EAP訊息、並將EAP訊息(包括開放ID(OID)重新定向訊息)轉發到UE 702。在734處,UE 702基於AKA演算法並使用來自關聯處理H的RAND來產生RES。UE 702可產生MSK並將其儲存留作後用。在736處,UE 702將EAP-回應訊息(包括開放ID訊息)與RES一起發送。在738處,AP 704將所接收的EAP訊息封裝在半徑存取請求訊息內並將其轉發到AAA代理706。在740處,AAA代理706處理該半徑/EAP訊息、擷取RES、並經由後端頻道向OP 708轉發RES。在742處,OP 708接收RES,並將所接收的RES與所期望的RES進行比較。在744處,OP伺服器708創建經過簽名的斷言,該斷言可使用秘密S來簽名。AAA伺服器708所導出的MSK可被包括作為OP所簽名的資訊的主體的一部分。在746處,OP 708經由後端頻道以向RP 706發送簽名的斷言和MSK。RP 706檢查該斷言並使用關聯秘密S對其進行驗證,以及RP 706擷取MSK。在750處,MSK被封裝在EAP-成功訊息內、並被包在半徑存取-回應封包附近、且被發送到AP 704。在752處,AP 704擷取MSK並對其進行儲存、以及將EAP-成功訊息轉發到UE 702。在702處,UE 702和AP 704使用MSK建立安全網路連接。這樣,UE 702具有到例如熱點網路、或另一WLAN網路的安全頻道。
根據示出的實施方式,可經由RP 706和OP 708之間的預先建立的HTTPS連接的安全性來保護MSK。在替代示例實施方式中,OP與MNO AAA伺服器分離。例如,MNO可能不想實施OP功能,或者第三方可向熱點網路和MNO兩者提供OP服務,以在聯合商業模型中將它們聚集。
第14A圖為可以在其中實施一個或多個所揭露的實施方式的示例通信系統100的示意圖。該通信系統100可以是將諸如語音、資料、視訊、訊息發送、廣播等之類的內容提供給多個無線使用者的多重存取系統。該通信系統100可以經由系統資源(包括無線頻寬)的共用使多個無線使用者能夠存取這些內容。例如,該通信系統100可以使用一種或多種頻道存取方法,例如分碼多重存取(CDMA)、分時多重存取(TDMA)、分頻多重存取(FDMA)、正交FDMA(OFDMA)、單載波FDMA(SC-FDMA)等等。
如第14A圖所示,通信系統100可以包括無線傳輸/接收單元(WTRU)102a、102b、102c、102d、無線電存取網路(RAN)104、核心網路106、公共交換電話網路(PSTN)108、網際網路110和其他網路112,但可以理解的是所揭露的實施方式可以涵蓋任意數量的WTRU、基地台、網路及/或網路元件。WTRU 102a、102b、102c、102d中的每一個可以是被配置以在無線環境中操作及/或通信的任何類型的裝置。作為示例,WTRU 102a、102b、102c、102d可以被配置以傳送及/或接收無線信號、並且可以包括使用者設備(UE)、行動站、固定或行動用戶單元、呼叫器、蜂巢電話、個人數位助理(PDA)、智慧型電話、可攜式電腦、隨身型易網機、個人電腦、無線感測器、消費電子產品等等。
通信系統100還可以包括基地台114a和基地台114b。基地台114a、114b中的每一個可以是被配置以與WTRU 102a、102b、102c、102d中的至少一者無線介接,以便於存取一個或多個通信網路(例如,核心網路106、網際網路110及/或網路112)的任何類型的裝置。例如,基地台114a、114b可以是基地台收發站(BTS)、節點B、e節點B、家用節點B、家用e節點B、站點控制器、存取點(AP)、無線路由器等。儘管基地台114a、114b每個均被描述為單一元件,但是可以理解的是基地台114a、114b可以包括任何數量的互連基地台及/或網路元件。
基地台114a可以是RAN 104的一部分,該RAN 104還可以包括諸如基地台控制器(BSC)、無線電網路控制器(RNC)、中繼節點之類的其他基地台及/或網路元件(未示出)。基地台114a及/或基地台114b可以被配置以傳送及/或接收特定地理區域內的無線信號,該特定地理區域可以被稱作胞元(未示出)。胞元還可以被劃分成胞元扇區。例如與基地台114a相關聯的胞元可以被劃分成三個扇區。由此,在一種實施方式中,基地台114a可以包括三個收發器,即針對該胞元的每個扇區都有一個收發器。在另一實施方式中,基地台114a可以使用多輸入多輸出(MIMO)技術,並且由此可以使用針對胞元的每個扇區的多個收發器。
基地台114a、114b可以經由空中介面116以與WTRU 102a、102b、102c、102d中的一者或多者進行通信,該空中介面116可以是任何合適的無線通信鏈路(例如,射頻(RF)、微波、紅外(IR)、紫外(UV)、可見光等)。空中介面116可以使用任何合適的無線電存取技術(RAT)來建立。
更具體地,如前所述,通信系統100可以是多重存取系統、並且可以使用一種或多種頻道存取方案,例如CDMA、TDMA、FDMA、OFDMA、SC-FDMA等。例如,在RAN 104中的基地台114a和WTRU 102a、102b、102c可以實施諸如通用行動電信系統(UMTS)陸地無線電存取(UTRA)之類的無線電技術,其可以使用寬頻CDMA(WCDMA)來建立空中介面116。WCDMA可以包括諸如高速封包存取(HSPA)及/或演進型HSPA(HSPA+)的通信協定。HSPA可以包括高速下鏈封包存取(HSDPA)及/或高速上鏈封包存取(HSUPA)。
在另一實施方式中,基地台114a和WTRU 102a、102b、102c可以實施諸如演進型UMTS陸地無線電存取(E-UTRA)之類的無線電技術,其可以使用長期演進(LTE)及/或高級LTE(LTE-A)來建立空中介面116。
在其他實施方式中,基地台114a和WTRU 102a、102b、102c可以實施諸如IEEE 802.16(即,全球互通微波存取(WiMAX))、CDMA2000、CDMA2000 1X、CDMA2000 EV-DO、臨時標準2000(IS-2000)、臨時標準95(IS-95)、臨時標準856(IS-856)、全球行動通信系統(GSM)、增強型資料速率GSM演進(EDGE)、GSM EDGE(GERAN)之類的無線電技術。
第14A圖中的基地台114b可以是例如無線路由器、家用節點B、家用e節點B、毫微微胞元基地台或者存取點、並且可以使用任何合適的RAT,以用於促進在諸如商業區、家庭、車輛、校園之類的局部區域的無線連接。在一種實施方式中,基地台114b和WTRU 102c、102d可以實施諸如IEEE 802.11之類的無線電技術以建立無線區域網路(WLAN)。在另一實施方式中,基地台114b和WTRU 102c、102d可以實施諸如IEEE 802.15之類的無線電技術以建立無線個人區域網路(WPAN)。在又一實施方式中,基地台114b和WTRU 102c、102d可以使用基於蜂巢的RAT(例如,WCDMA、CDMA2000、GSM、LTE、LTE-A等)以建立微微(picocell)胞元和毫微微胞元(femtocell)。如第14A圖所示,基地台114b可以具有至網際網路110的直接連接。由此,基地台114b不必經由核心網路106來存取網際網路110。
RAN 104可以與核心網路106通信,該核心網路106可以是被配置以將語音、資料、應用及/或經由網際協定的語音(VoIP)服務提供到WTRU 102a、102b、102c、102d中的一者或多者的任何類型的網路。例如,核心網路106可以提供呼叫控制、帳單服務、基於移動位置的服務、預付費呼叫、網際網路互連、視訊分配等、及/或執行高階安全性功能,例如使用者驗證。儘管第14A圖中未示出,需要理解的是RAN 104及/或核心網路106可以直接或間接地與其他RAN進行通信,這些其他RAN使用與RAN 104相同的RAT或者不同的RAT。例如,除了連接到可以採用E-UTRA無線電技術的RAN 104,核心網路106也可以與使用GSM無線電技術的其他RAN(未顯示)通信。
核心網路106也可以充當WTRU 102a、102b、102c、102d存取PSTN 108、網際網路110及/或其他網路112的閘道。PSTN 108可以包括提供普通老式電話服務(POTS)的電路交換電話網路。網際網路110可以包括使用公共通信協定的互連電腦網路及裝置的全球系統,該公共通信協定例如是傳輸控制協定(TCP)/網際協定(IP)網際網路協定套件中的傳輸控制協定(TCP)、使用者資料報協定(UDP)和網際協定(IP)。該網路112可以包括由其他服務提供方擁有及/或操作的無線或有線通信網路。例如,網路112可以包括連接到一個或多個RAN的另一核心網路,這些RAN可以使用與RAN 104相同的RAT或者不同的RAT。
通信系統100中的WTRU 102a、102b、102c、102d中的一些或者全部可以包括多模式能力,即WTRU 102a、102b、102c、102d可以包括用於經由不同的通信鏈路以與不同的無線網路進行通信的多個收發器。例如,第14A圖中顯示的WTRU 102c可以被配置以與可使用基於蜂巢的無線電技術的基地台114a進行通信、並且與可使用IEEE 802無線電技術的基地台114b進行通信。
第14B圖是示例WTRU 102的系統圖。如第14B圖所示,WTRU 102可以包括處理器118、收發器120、傳輸/接收元件122、揚聲器/麥克風124、鍵盤126、顯示器/觸控板128、不可移式記憶體130、可移式記憶體132、電源134、全球定位系統(GPS)晶片組136和其他週邊裝置138。需要理解的是,在與實施方式一致的同時,WTRU 102可以包括上述元件的任何子集合。
處理器118可以是通用處理器、專用處理器、常規處理器、數位信號處理器(DSP)、多個微處理器、與DSP核心相關聯的一或多個微處理器、控制器、微控制器、專用積體電路(ASIC)、現場可編程閘陣列(FPGA)電路、任何其他類型的積體電路(IC)、狀態機等。處理器118可以執行信號編碼、資料處理、功率控制、輸入/輸出處理及/或使得WTRU 102能夠在無線環境中操作的其他任何功能。處理器118可以耦合到收發器120,該收發器120可以耦合到傳輸/接收元件122。儘管第14B圖中將處理器118和收發器120描述為獨立的元件,但是可以理解的是處理器118和收發器120可以被一起集成到電子封裝或者晶片中。處理器118可執行應用層程式(例如瀏覽器)及/或無線電存取層(RAN)程式及/或通信。處理器118可在諸如存取層及/或應用層處執行安全性操作,比如認證、安全性秘鑰協定、及/或加密操作。
在示例實施方式中,WTRU 102包括處理器118和耦合到處理器的記憶體。記憶體包括可執行指令,當處理器執行該可執行指令時會使得處理器實現與一次往返認證相關聯的操作。
傳輸/接收元件122可以被配置為經由空中介面116以將信號發送到基地台(例如,基地台114a)、或者從基地台(例如,基地台114a)接收信號。例如,在一種實施方式中,傳輸/接收元件122可以是被配置以傳送及/或接收RF信號的天線。在另一實施方式中,傳輸/接收元件122可以是被配置以發送及/或接收例如IR、UV或者可見光信號的傳輸器/偵測器。在又一實施方式中,傳輸/接收元件122可以被配置以傳送和接收RF信號和光信號兩者。需要理解的是傳輸/接收元件122可以被配置以傳送及/或接收無線信號的任意組合。
此外,儘管傳輸/接收元件122在第14B圖中被描述為單一元件,但是WTRU 102可以包括任何數量的傳輸/接收元件122。更特別地,WTRU 102可以使用MIMO技術。由此,在一種實施方式中,WTRU 102可以包括兩個或更多個傳輸/接收元件122(例如,多個天線)以用於經由空中介面116來傳輸和接收無線信號。
收發器120可以被配置為對將由傳輸/接收元件122發送的信號進行調變、並且被配置為對由傳輸/接收元件122接收的信號進行解調。如上所述,WTRU 102可以具有多模式能力。由此,收發器120可以包括多個收發器以用於使WTRU 102能夠經由多個RAT進行通信,例如UTRA和IEEE 802.11。
WTRU 102的處理器118可以被耦合到揚聲器/麥克風124、鍵盤126及/或顯示器/觸控板128(例如,液晶顯示器(LCD)顯示單元或者有機發光二極體(OLED)顯示單元)、並且可以從上述裝置接收使用者輸入資料。處理器118還可以向揚聲器/麥克風124、鍵盤126及/或顯示器/觸控板128輸出使用者資料。此外,處理器118可以存取來自任何類型的合適的記憶體中的資訊、以及向任何類型的合適的記憶體中儲存資料,該記憶體例如可以是不可移式記憶體130及/或可移式記憶體132。不可移式記憶體130可以包括隨機存取記憶體(RAM)、唯讀記憶體(ROM)、硬碟或者任何其他類型的記憶體儲存裝置。可移式記憶體132可以包括用戶身份模組(SIM)卡、記憶條、安全數位(SD)記憶卡等。在其他實施方式中,處理器118可以存取來自實體上未位於WTRU 102上(例如位於伺服器或者家用電腦(未示出)上)的記憶體的資訊、以及向上述記憶體中儲存資料。
處理器118可以從電源134接收電能、並且可以被配置以將該電能分配給WTRU 102中的其他元件及/或對至WTRU 102中的其他元件的電能進行控制。電源134可以是任何適用於為WTRU 102供電的裝置。例如,電源134可以包括一個或多個乾電池(鎳鎘(NiCd)、鎳鋅(NiZn)、鎳氫(NiMH)、鋰離子(Li-ion)等)、太陽能電池、燃料電池等。
處理器118還可以耦合到GPS晶片組136,該GPS晶片組136可以被配置以提供關於WTRU 102的目前位置的位置資訊(例如,經度和緯度)。作為來自GPS晶片組136的資訊的補充或者替代,WTRU 102可以經由空中介面116以從基地台(例如,基地台114a、114b)接收位置資訊、及/或基於從兩個或更多個相鄰基地台接收到的信號的時序(timing)來確定其位置。需要理解的是,在與實施方式一致的同時,WTRU可以用任何合適的位置確定方法來獲取位置資訊。
處理器118還可以耦合到其他週邊裝置138,該週邊裝置138可以包括提供附加特徵、功能及/或無線或有線連接的一個或多個軟體及/或硬體模組。例如,週邊裝置138可以包括加速度計、電子指南針(e-compass)、衛星收發器、數位相機(用於照片或者視訊)、通用串列匯流排(USB)埠、震動裝置、電視收發器、免持耳機、藍芽模組、調頻(FM)無線電單元、數位音樂播放器、媒體播放器、視訊遊戲機模組、網際網路瀏覽器等等。
第14C圖為根據實施方式的RAN 104及核心網路106的系統圖。如上所述,RAN 104可使用UTRA無線電技術以經由空中介面116來與WTRU 102a、102b和102c進行通信。RAN 104還可以與核心網路106進行通信。如第14C圖所示,RAN 104可包括節點B 140a、140b、140c,節點B 140a、140b、140c每一者均可包括一個或多個用於經由空中介面116以與WTRU 102a、102b、102c進行通信的收發器。節點B 140a、140b、140c中的每一者均可與RAN 104中的特定胞元(未示出)相關聯。RAN 104還可以包括RNC 142a、142b。應當理解在保持與實施方式一致的情況下,RAN 104可以包括任意數量的節點B和RNC。
如第14C圖所示,節點B 140a、140b可以與RNC 142a通信。此外,節點B 140c可以與RNC 142b通信。節點B 140a、140b、140c可以經由Iub介面以與各自的RNC 142a、142b通信。RNC 142a、142b可以經由Iur介面彼此通信。RNC 142a、142b的每一個可以被配置以控制其連接的各自的節點B 140a、140b、140c。此外,RNC 142a、142b的每一個可以被配置以執行或支持其他功能,例如外環功率控制、負載控制、准許控制、封包排程、切換控制、巨集分集、安全功能、資料加密等。
第14C圖中示出的核心網路106可以包括媒體閘道(MGW)144、行動交換中心(MSC)146、服務GPRS支援節點(SGSN)148及/或閘道GPRS支持節點(GGSN)150。儘管前述每一個元件被描述為核心網路106的一部分,但可以理解的是這些元件的任何一個可以由除核心網路操作方之外的實體所擁有及/或操作。
RAN 104中的RNC 142a可以經由IuCS介面連接到核心網路106中的MSC 146。MSC 146可以連接到MGW 144。MSC 146和MGW 144可以給WTRU 102a、102b、102c提供對例如PSTN 108的電路交換網路的存取,以促進WTRU 102a、102b、102c與傳統路線通信裝置之間的通信。
RAN 104中的RNC 142a還可以經由IuPS介面連接到核心網路106中的SGSN 148。SGSN 148可以連接到GGSN 150。SGSN 148和GGSN 150可以給WTRU 102a、102b、102c提供對例如網際網路110的封包交換網路的存取,以促進WTRU 102a、102b、102c與IP使能裝置之間的通信。
如上所述,核心網路106還可以連接到網路112,網路112可以包括其他服務提供方擁有及/或操作的其他有線或無線網路。
雖然上面以特定組合的方式描述了特徵和元素,但是每個特徵或元素都可在沒有其他特徵和元素的情況下單獨使用,或與其他特徵和元素進行各種組合。此外,此處所述的實施方式被提供用於示例性的目的。例如,儘管在這裏使用開放ID及/或SSO認證實體和功能描述了實施方式,但可以使用其他認證和功能實施類似的實施方式。此外,此處所述的實施方式可在結合至電腦可讀儲存媒體中的電腦程式、軟體或韌體中實現,以由電腦或處理器執行。電腦可讀媒體的示例包括電子信號(經由有線或無線連接傳送)和電腦可讀儲存媒體。電腦可讀儲存媒體的例子包括但不限於唯讀記憶體(ROM)、隨機存取記憶體(RAM)、暫存器、快取記憶體、半導體儲存裝置、例如內置硬碟和可移式磁片的磁性媒體、磁光媒體和光學媒體(例如CD-ROM盤和數位多功能光碟(DVD))。與軟體相關聯的處理器可被用於實施在WTRU、UE、終端、基地台、RNC或任何主機中使用的射頻收發器。
50...一般流程
52...使用者設備(UE)
54...本地網路節點
56...識別碼提供者(IdP)
Claims (1)
1.一種在使用者設備(UE)處執行的方法,該方法包括:
與一第一網路上的一單點登入(SSO)伺服器建立一安全性關聯;
發現一第二網路上的一存取點的一網路識別碼;
用該SSO伺服器導出複數個動態產生的證明,以在存取該第二網路上的該存取點中使用;以及
使用該複數個動態產生的證明來執行一最佳認證,以獲得經由該第二網路對該存取點的安全存取。
2.如申請專利範圍第1項所述的方法,其中該第一網路是一蜂巢網路,且該第二網路是一熱點網路或一WLAN網路。
3.如申請專利範圍第1項所述的方法,其中該網路識別碼是經由該第一網路發現的。
4.如申請專利範圍第1項所述的方法,其中經由該第一網路或經由與該SSO伺服器的一直接連接以用該SSO伺服器導出該證明。
5.如申請專利範圍第1項所述的方法,其中根據一最佳的可擴展認證協定(EAP)框架來執行該最佳認證。
6.如申請專利範圍第1項所述的方法,其中該複數個動態產生的證明包括一主對話秘鑰(MSK)。
7.如申請專利範圍第1項所述的方法,其中該SSO伺服器是一開放ID識別碼提供者,且該存取點是一依賴方,且其中該開放ID識別碼提供者和該依賴方在彼此之間轉移一個或多個存取訊標。
8.如申請專利範圍第1項所述的方法,其中當該UE位於該存取點的通信範圍內時,執行該最佳認證。
9.如申請專利範圍第1項所述的方法,其中該第一網路被行動網路操作者(MNO)控制,且該SSO伺服器被該MNO控制。
10.如申請專利範圍第1項所述的方法,該方法更包括:
根據一通用引導架構(GBA)協定,與一引導伺服器功能(BSF)進行認證;以及
基於與該BSF的該認證,與該存取點的一開放模式服務組識別符(SSID)解除關聯並與該存取點的一安全SSID進行關聯。
11.如申請專利範圍第1項所述的方法,該方法更包括:
根據一開放ID協定以與一開放ID識別碼提供者(OP)進行認證;以及
基於與該OP的該認證,與該存取點的一開放模式服務組識別符(SSID)解除關聯並與該存取點的一安全SSID進行關聯。
12.一種無線傳輸/接收單元(WTRU),該WTRU包括:
一記憶體,包括複數個可執行的指令;以及
一處理器,與該記憶體通信,該複數個指令當被該處理器執行時,使得該處理器實現以下操作:
與一第一網路上的一單點登入(SSO)伺服器建立一安全性關聯;
發現一第二網路上的一存取點的一網路識別碼;
用該SSO伺服器導出複數個動態產生的證明,以在存取該第二網路上的該存取點中使用;以及
使用該複數個動態產生的證明來執行一最佳認證,以獲得經由該第二網路對該存取點的安全存取。
13.如申請專利範圍第12項所述的WTRU,其中該第一網路是一蜂巢網路,且該第二網路是一熱點網路或一WLAN網路。
14.如申請專利範圍第12項所述的WTRU,其中該網路識別碼是經由該第一網路發現的。
15.如申請專利範圍第12項所述的WTRU,其中該證明是經由該第一網路或經由與該SSO伺服器的一直接連接從該SSO伺服器導出。
16.如申請專利範圍第12項所述的WTRU,其中根據一最佳的可擴展認證協定(EAP)框架來執行該最佳認證。
17.如申請專利範圍第12項所述的WTRU,其中該複數個動態產生的證明包括一主對話秘鑰(MSK)。
18.如申請專利範圍第12項所述的WTRU,其中該SSO伺服器是一開放ID識別碼提供者,且該存取點是一依賴方,且其中該開放ID識別碼提供者和該依賴方在彼此之間轉移一個或多個存取訊標。
19.如申請專利範圍第12項所述的WTRU,其中該最佳認證是在該UE位於該存取點的一通信範圍內時執行。
20.如申請專利範圍第12項所述的WTRU,其中該第一網路被一行動網路操作者(MNO)控制,且該SSO伺服器被該MNO控制。
21.如申請專利範圍第12項所述的WTRU,其中該處理器更被配置為執行該複數個指令以執行以下操作:
根據一通用引導架構(GBA)協定,與一引導伺服器功能(BSF)進行認證;以及
基於與該BSF的該認證,與該存取點的一開放模式服務組識別符(SSID)解除關聯並與該存取點的一安全SSID進行關聯。
22.如申請專利範圍第12項所述的WTRU,其中該處理器更被配置為執行該複數個指令以執行以下操作:
根據一開放ID協定以與一開放ID識別碼提供者(OP)進行認證;以及
基於與該OP的該認證,與該存取點的一開放模式服務組識別符(SSID)解除關聯並與該存取點的一安全SSID進行關聯。
23.一種或多種電腦可讀儲存媒體,在其上聯合儲存了複數個指令,其中該指令在被一電腦系統的一個或多個處理器執行時使得該電腦系統至少:
與一第一網路上的一單點登入(SSO)伺服器建立一安全性關聯;
發現一第二網路上的一存取點的一網路識別碼;
用該SSO伺服器導出複數個動態產生的證明,以在存取該第二網路上的該存取點中使用;以及
使用該複數個動態產生的證明來執行一最佳認證,以獲得經由該第二網路對該存取點的安全存取。
與一第一網路上的一單點登入(SSO)伺服器建立一安全性關聯;
發現一第二網路上的一存取點的一網路識別碼;
用該SSO伺服器導出複數個動態產生的證明,以在存取該第二網路上的該存取點中使用;以及
使用該複數個動態產生的證明來執行一最佳認證,以獲得經由該第二網路對該存取點的安全存取。
2.如申請專利範圍第1項所述的方法,其中該第一網路是一蜂巢網路,且該第二網路是一熱點網路或一WLAN網路。
3.如申請專利範圍第1項所述的方法,其中該網路識別碼是經由該第一網路發現的。
4.如申請專利範圍第1項所述的方法,其中經由該第一網路或經由與該SSO伺服器的一直接連接以用該SSO伺服器導出該證明。
5.如申請專利範圍第1項所述的方法,其中根據一最佳的可擴展認證協定(EAP)框架來執行該最佳認證。
6.如申請專利範圍第1項所述的方法,其中該複數個動態產生的證明包括一主對話秘鑰(MSK)。
7.如申請專利範圍第1項所述的方法,其中該SSO伺服器是一開放ID識別碼提供者,且該存取點是一依賴方,且其中該開放ID識別碼提供者和該依賴方在彼此之間轉移一個或多個存取訊標。
8.如申請專利範圍第1項所述的方法,其中當該UE位於該存取點的通信範圍內時,執行該最佳認證。
9.如申請專利範圍第1項所述的方法,其中該第一網路被行動網路操作者(MNO)控制,且該SSO伺服器被該MNO控制。
10.如申請專利範圍第1項所述的方法,該方法更包括:
根據一通用引導架構(GBA)協定,與一引導伺服器功能(BSF)進行認證;以及
基於與該BSF的該認證,與該存取點的一開放模式服務組識別符(SSID)解除關聯並與該存取點的一安全SSID進行關聯。
11.如申請專利範圍第1項所述的方法,該方法更包括:
根據一開放ID協定以與一開放ID識別碼提供者(OP)進行認證;以及
基於與該OP的該認證,與該存取點的一開放模式服務組識別符(SSID)解除關聯並與該存取點的一安全SSID進行關聯。
12.一種無線傳輸/接收單元(WTRU),該WTRU包括:
一記憶體,包括複數個可執行的指令;以及
一處理器,與該記憶體通信,該複數個指令當被該處理器執行時,使得該處理器實現以下操作:
與一第一網路上的一單點登入(SSO)伺服器建立一安全性關聯;
發現一第二網路上的一存取點的一網路識別碼;
用該SSO伺服器導出複數個動態產生的證明,以在存取該第二網路上的該存取點中使用;以及
使用該複數個動態產生的證明來執行一最佳認證,以獲得經由該第二網路對該存取點的安全存取。
13.如申請專利範圍第12項所述的WTRU,其中該第一網路是一蜂巢網路,且該第二網路是一熱點網路或一WLAN網路。
14.如申請專利範圍第12項所述的WTRU,其中該網路識別碼是經由該第一網路發現的。
15.如申請專利範圍第12項所述的WTRU,其中該證明是經由該第一網路或經由與該SSO伺服器的一直接連接從該SSO伺服器導出。
16.如申請專利範圍第12項所述的WTRU,其中根據一最佳的可擴展認證協定(EAP)框架來執行該最佳認證。
17.如申請專利範圍第12項所述的WTRU,其中該複數個動態產生的證明包括一主對話秘鑰(MSK)。
18.如申請專利範圍第12項所述的WTRU,其中該SSO伺服器是一開放ID識別碼提供者,且該存取點是一依賴方,且其中該開放ID識別碼提供者和該依賴方在彼此之間轉移一個或多個存取訊標。
19.如申請專利範圍第12項所述的WTRU,其中該最佳認證是在該UE位於該存取點的一通信範圍內時執行。
20.如申請專利範圍第12項所述的WTRU,其中該第一網路被一行動網路操作者(MNO)控制,且該SSO伺服器被該MNO控制。
21.如申請專利範圍第12項所述的WTRU,其中該處理器更被配置為執行該複數個指令以執行以下操作:
根據一通用引導架構(GBA)協定,與一引導伺服器功能(BSF)進行認證;以及
基於與該BSF的該認證,與該存取點的一開放模式服務組識別符(SSID)解除關聯並與該存取點的一安全SSID進行關聯。
22.如申請專利範圍第12項所述的WTRU,其中該處理器更被配置為執行該複數個指令以執行以下操作:
根據一開放ID協定以與一開放ID識別碼提供者(OP)進行認證;以及
基於與該OP的該認證,與該存取點的一開放模式服務組識別符(SSID)解除關聯並與該存取點的一安全SSID進行關聯。
23.一種或多種電腦可讀儲存媒體,在其上聯合儲存了複數個指令,其中該指令在被一電腦系統的一個或多個處理器執行時使得該電腦系統至少:
與一第一網路上的一單點登入(SSO)伺服器建立一安全性關聯;
發現一第二網路上的一存取點的一網路識別碼;
用該SSO伺服器導出複數個動態產生的證明,以在存取該第二網路上的該存取點中使用;以及
使用該複數個動態產生的證明來執行一最佳認證,以獲得經由該第二網路對該存取點的安全存取。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201261641622P | 2012-05-02 | 2012-05-02 |
Publications (1)
Publication Number | Publication Date |
---|---|
TW201406118A true TW201406118A (zh) | 2014-02-01 |
Family
ID=48048220
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW102109511A TW201406118A (zh) | 2012-05-02 | 2013-03-18 | 使用單一登入系統之一次往返認證 |
Country Status (3)
Country | Link |
---|---|
US (1) | US20130298209A1 (zh) |
TW (1) | TW201406118A (zh) |
WO (1) | WO2013165605A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110890982A (zh) * | 2019-11-22 | 2020-03-17 | 青岛海尔科技有限公司 | 一种用于配网的方法和接入设备、物联设备 |
Families Citing this family (42)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8787567B2 (en) * | 2011-02-22 | 2014-07-22 | Raytheon Company | System and method for decrypting files |
US9571482B2 (en) | 2011-07-21 | 2017-02-14 | Intel Corporation | Secure on-line sign-up and provisioning for Wi-Fi hotspots using a device management protocol |
US10433161B2 (en) * | 2012-01-30 | 2019-10-01 | Telefonaktiebolaget Lm Ericsson (Publ) | Call handover between cellular communication system nodes that support different security contexts |
JP5464232B2 (ja) * | 2012-05-23 | 2014-04-09 | 沖電気工業株式会社 | セキュア通信システム及び通信装置 |
US9161219B2 (en) * | 2012-06-22 | 2015-10-13 | Guest Tek Interactive Entertainment Ltd. | Authorizing secured wireless access at hotspot having open wireless network and secure wireless network |
FR2992811A1 (fr) * | 2012-07-02 | 2014-01-03 | France Telecom | Mise en place d'une association de securite lors de l'attachement d'un terminal a un reseau d'acces |
US9237448B2 (en) | 2012-08-15 | 2016-01-12 | Interdigital Patent Holdings, Inc. | Enhancements to enable fast security setup |
US9307408B2 (en) | 2012-12-27 | 2016-04-05 | Intel Corporation | Secure on-line signup and provisioning of wireless devices |
US9167427B2 (en) * | 2013-03-15 | 2015-10-20 | Alcatel Lucent | Method of providing user equipment with access to a network and a network configured to provide access to the user equipment |
WO2014209190A1 (en) * | 2013-06-28 | 2014-12-31 | Telefonaktiebolaget L M Ericsson (Publ) | Encrypting and storing data |
US10104121B2 (en) * | 2013-07-03 | 2018-10-16 | Fortinet, Inc. | Application layer-based single sign on |
CN104348686B (zh) * | 2013-08-06 | 2018-06-05 | 华为终端有限公司 | 一种终端设备与网关设备间的互联方法和装置 |
US9369342B2 (en) * | 2013-11-15 | 2016-06-14 | Microsoft Technology Licensing, Llc | Configuring captive portals with a cloud service |
US10382305B2 (en) | 2013-11-15 | 2019-08-13 | Microsoft Technology Licensing, Llc | Applying sequenced instructions to connect through captive portals |
US9554323B2 (en) | 2013-11-15 | 2017-01-24 | Microsoft Technology Licensing, Llc | Generating sequenced instructions for connecting through captive portals |
US9832674B2 (en) | 2014-02-18 | 2017-11-28 | Benu Networks, Inc. | Cloud controller for self-optimized networks |
US9407654B2 (en) * | 2014-03-20 | 2016-08-02 | Microsoft Technology Licensing, Llc | Providing multi-level password and phishing protection |
US9681412B2 (en) | 2014-04-23 | 2017-06-13 | At&T Intellectual Property I, L.P. | Method and device for providing a mobile device with service continuity over multiple access networks |
JP6123035B1 (ja) * | 2014-05-05 | 2017-04-26 | テレフオンアクチーボラゲット エルエム エリクソン(パブル) | Twagとueとの間でのwlcpメッセージ交換の保護 |
JP6429559B2 (ja) * | 2014-09-26 | 2018-11-28 | キヤノン株式会社 | 通信装置、通信システム、情報処理方法及びプログラム |
US10057766B2 (en) * | 2014-10-21 | 2018-08-21 | Qualcomm Incorporated | Methods and systems for authentication interoperability |
JP6508688B2 (ja) * | 2014-10-31 | 2019-05-08 | コンヴィーダ ワイヤレス, エルエルシー | エンドツーエンドサービス層認証 |
US20160134610A1 (en) * | 2014-11-11 | 2016-05-12 | Qualcomm Incorporated | Privacy during re-authentication of a wireless station with an authentication server |
US9621536B2 (en) * | 2014-11-12 | 2017-04-11 | Lenovo (Singapore) Pte. Ltd. | Anticipatory single sign-on (SSO) for proxied web applications |
KR102033465B1 (ko) | 2015-02-27 | 2019-10-17 | 텔레호낙티에볼라게트 엘엠 에릭슨(피유비엘) | 통신 디바이스와 네트워크 디바이스 사이의 통신에서의 보안 설비 |
US9717003B2 (en) | 2015-03-06 | 2017-07-25 | Qualcomm Incorporated | Sponsored connectivity to cellular networks using existing credentials |
EP3272094B1 (en) | 2015-03-16 | 2021-06-23 | Convida Wireless, LLC | End-to-end authentication at the service layer using public keying mechanisms |
WO2016196958A1 (en) | 2015-06-05 | 2016-12-08 | Convida Wireless, Llc | Unified authentication for integrated small cell and wi-fi networks |
US10091649B2 (en) * | 2015-07-12 | 2018-10-02 | Qualcomm Incorporated | Network architecture and security with encrypted client device contexts |
US10601832B1 (en) * | 2016-03-30 | 2020-03-24 | Amazon Technologies, Inc. | Proxy captive portal traffic for input-limited devices |
SG10201605752PA (en) | 2016-07-13 | 2018-02-27 | Huawei Int Pte Ltd | A unified authentication work for heterogeneous network |
CN108235317B (zh) * | 2016-12-21 | 2019-06-21 | 电信科学技术研究院有限公司 | 一种接入控制的方法及设备 |
US20180234839A1 (en) | 2017-02-13 | 2018-08-16 | Futurewei Technologies, Inc. | System and Method for User Equipment Identification and Communications |
US10389529B2 (en) * | 2017-06-27 | 2019-08-20 | Uniken, Inc. | Entropy-based authentication of mobile financial transaction |
CN111615837B (zh) * | 2017-07-21 | 2023-10-13 | 华为国际有限公司 | 数据传输方法、相关设备以及系统 |
CN109067729B (zh) * | 2018-07-26 | 2021-12-24 | 新华三技术有限公司 | 一种认证方法及装置 |
US10791464B2 (en) * | 2018-09-10 | 2020-09-29 | Athonet S.R.L. | Method for establishing a secure connection |
US10820201B1 (en) * | 2019-05-17 | 2020-10-27 | Cisco Technology, Inc. | Providing secure access for automatically on-boarded subscribers in Wi-Fi networks |
US11706255B2 (en) * | 2019-07-29 | 2023-07-18 | Cable Television Laboratories, Inc. | Systems and methods for obtaining permanent MAC addresses |
US12010508B2 (en) * | 2020-04-22 | 2024-06-11 | Qualcomm Incorporated | Peer-to-peer link security setup for relay connection to mobile network |
WO2023284990A1 (en) * | 2021-07-12 | 2023-01-19 | Telefonaktiebolaget Lm Ericsson (Publ) | First core network node, second node and third node, communications system and methods performed, thereby for handling performance of an action by a device |
US20230403138A1 (en) * | 2022-06-13 | 2023-12-14 | Cyberark Software Ltd. | Agentless single sign-on techniques |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060274695A1 (en) * | 2005-06-03 | 2006-12-07 | Nokia Corporation | System and method for effectuating a connection to a network |
US20070042754A1 (en) * | 2005-07-29 | 2007-02-22 | Bajikar Sundeep M | Security parameter provisioning in an open platform using 3G security infrastructure |
US20090046644A1 (en) * | 2007-08-17 | 2009-02-19 | Qualcomm Incorporated | Service set manager for ad hoc mobile service provider |
US20090073943A1 (en) * | 2007-08-17 | 2009-03-19 | Qualcomm Incorporated | Heterogeneous wireless ad hoc network |
EP2106093A1 (en) * | 2008-03-28 | 2009-09-30 | British Telecommunications Public Limited Company | Devolved authentication |
EP2359561B1 (en) * | 2008-09-12 | 2018-07-18 | Nokia Solutions and Networks Oy | Method, apparatuses and computer program product for obtaining user credentials for an application from an identity management system |
US8402527B2 (en) * | 2010-06-17 | 2013-03-19 | Vmware, Inc. | Identity broker configured to authenticate users to host services |
-
2013
- 2013-03-15 WO PCT/US2013/032073 patent/WO2013165605A1/en active Application Filing
- 2013-03-15 US US13/834,643 patent/US20130298209A1/en not_active Abandoned
- 2013-03-18 TW TW102109511A patent/TW201406118A/zh unknown
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110890982A (zh) * | 2019-11-22 | 2020-03-17 | 青岛海尔科技有限公司 | 一种用于配网的方法和接入设备、物联设备 |
CN110890982B (zh) * | 2019-11-22 | 2023-07-04 | 青岛海尔科技有限公司 | 一种用于配网的方法和接入设备、物联设备 |
Also Published As
Publication number | Publication date |
---|---|
US20130298209A1 (en) | 2013-11-07 |
WO2013165605A1 (en) | 2013-11-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TW201406118A (zh) | 使用單一登入系統之一次往返認證 | |
US11212676B2 (en) | User identity privacy protection in public wireless local access network, WLAN, access | |
JP6093810B2 (ja) | 通信ハンドオフのシナリオのための認証およびセキュアチャネルの設定 | |
KR101675094B1 (ko) | 인증서 검증 및 채널 바인딩 | |
US9743280B2 (en) | Enhancements to enable fast security setup | |
JP6293800B2 (ja) | リンク設定および認証を実行するシステムおよび方法 | |
JP6189953B2 (ja) | 無線ユニットのユーザを認証するための方法およびシステム | |
KR101287309B1 (ko) | 홈 노드-b 장치 및 보안 프로토콜 | |
KR20190016540A (ko) | 모바일 무선 네트워크 시스템에서의 액세스 인증 방법 및 시스템 | |
US20160065362A1 (en) | Securing peer-to-peer and group communications | |
US20230014894A1 (en) | Quantum resistant secure key distribution in various protocols and technologies | |
CN103460738A (zh) | 用于使网络通信安全的系统和方法 | |
KR20230124621A (ko) | 비-3gpp 서비스 액세스를 위한 ue 인증 방법 및 시스템 | |
US11316670B2 (en) | Secure communications using network access identity | |
WO2013151752A1 (en) | On-demand identity and credential sign-up | |
Targali et al. | Seamless authentication and mobility across heterogeneous networks using federated identity systems | |
Prasad et al. | A secure certificate based authentication to reduce overhead for heterogeneous wireless network | |
Sithirasenan et al. | EAP-CRA for WiMAX, WLAN and 4G LTE Interoperability | |
Ntantogian et al. | An enhanced EAP-SIM authentication scheme for securing WLAN | |
Ntantogian et al. | A security protocol for mutual authentication and mobile VPN deployment in B3G networks | |
Targali et al. | Seamless authentication across heterogeneous networks using Generic Bootstrapping systems | |
Shidhani et al. | Access security in heterogeneous wireless networks |