TW201514876A - 使用憑證之保全網路存取技術 - Google Patents
使用憑證之保全網路存取技術 Download PDFInfo
- Publication number
- TW201514876A TW201514876A TW103133967A TW103133967A TW201514876A TW 201514876 A TW201514876 A TW 201514876A TW 103133967 A TW103133967 A TW 103133967A TW 103133967 A TW103133967 A TW 103133967A TW 201514876 A TW201514876 A TW 201514876A
- Authority
- TW
- Taiwan
- Prior art keywords
- credential
- user device
- mobile user
- access
- network
- Prior art date
Links
- 238000013475 authorization Methods 0.000 claims abstract description 49
- 238000000034 method Methods 0.000 claims abstract description 49
- 238000004891 communication Methods 0.000 claims abstract description 18
- 230000006855 networking Effects 0.000 claims description 10
- 238000012795 verification Methods 0.000 claims description 6
- 230000004044 response Effects 0.000 claims description 5
- 238000004321 preservation Methods 0.000 claims description 2
- 238000000151 deposition Methods 0.000 claims 1
- 238000005516 engineering process Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 8
- 238000012546 transfer Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 239000004065 semiconductor Substances 0.000 description 3
- 238000000060 site-specific infrared dichroism spectroscopy Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 235000013361 beverage Nutrition 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 2
- 229920000547 conjugated polymer Polymers 0.000 description 2
- 229910052751 metal Inorganic materials 0.000 description 2
- 239000002184 metal Substances 0.000 description 2
- 229910044991 metal oxide Inorganic materials 0.000 description 2
- 150000004706 metal oxides Chemical class 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- KJTLSVCANCCWHF-UHFFFAOYSA-N Ruthenium Chemical compound [Ru] KJTLSVCANCCWHF-UHFFFAOYSA-N 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 238000011982 device technology Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000005669 field effect Effects 0.000 description 1
- 235000013305 food Nutrition 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 229920000642 polymer Polymers 0.000 description 1
- 238000004549 pulsed laser deposition Methods 0.000 description 1
- 230000010076 replication Effects 0.000 description 1
- 229910052707 ruthenium Inorganic materials 0.000 description 1
- 230000001568 sexual effect Effects 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/02—Services making use of location information
- H04W4/029—Location-based management or tracking services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/02—Services making use of location information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
示例性實施例包括用於建立保全無線通訊之系統及方法,該等系統及該等方法包括經由存取點(AP)自行動使用者設備(UE)接收存取網路之請求;將第三方憑證之網頁登錄選項發送至該UE;接收使用該第三方憑證之指示;將該UE重新導引至對應的第三方網站登及頁且包括識別符;經由AP自該UE接收授權,該授權在將有效的第三方憑證提供至該第三方網站之後已自該第三方網站發送至該UE;產生代理憑證;將該授權連結至資料庫中的該代理憑證;經由該存取點將該代理憑證發送至該行動使用者設備;以及經由該存取控制伺服器及該AP授權該UE以建立保全連接。
Description
本申請案係關於且主張2014年10月1日申請之美國臨時申請案US 61/885,445之優先權。
本申請案係關於保全無線通訊領域。
當前無線系統及方法不允許使用來自第三方源之憑證建立的保全無線連接。
本發明提供一種用於使用第三方憑證提供加密無線連接之方法、系統及裝置。
在此的某些示例性實施例包括用於建立保全無線通訊之系統及方法,其中包括一種用以建立保全無線通訊之系統,該系統包含:憑證供應伺服器,其與存取點、資料庫、存取控制伺服器及網路通訊,該憑證供應伺服器經組配來,經由該存取點自行動使用者設備接收存取該網路之請求;經由該存取點將第三方憑證之網頁登錄選項發
送至該行動使用者設備;經由該存取點自該行動使用者設備接收使用該第三方憑證之指示;經由該網路將該行動使用者設備重新導引至對應的第三方網站登入頁且包括識別符;經由該存取點自該行動使用者設備接收授權,該授權在將有效的第三方憑證提供至該第三方網站之後已自該第三方網站發送至該行動使用者設備;產生代理憑證;將該授權連結至該資料庫中的該代理憑證;經由該存取點將該代理憑證發送至該行動使用者設備;以及經由該存取控制伺服器及該存取點授權該行動使用者設備以建立保全連接。
在某些示例性實施例中,該憑證供應伺服器進一步經組配來經由該網路請求:存取來自該第三方網站之使用者資訊的許可;以及使用該行動使用者設備之位置資訊更新該第三方網站的許可。
在一些實施例中,該憑證供應伺服器進一步經組配來在自該行動使用者設備接收該授權之後,經由該網路請求來自該第三方網站之該使用者資訊;且回應於該請求,接收且保存來自該第三方網站之該使用者資訊。
此外,在一些實施例中,該憑證供應伺服器進一步經組配來經由該網路將該行動使用者設備之該位置資訊發送至該第三方網站。且在一些實施例中,存取控制伺服器經組配來在該行動使用者設備先前存取該網路之後,經由該存取點自該行動使用者設備接收該代理憑證,該代理憑證先前已在成功登入至該第三方網站中之後發送至該行
動使用者設備;經由該存取點驗證來自該行動使用者設備之該代理憑證;連結該存取符記與該所接收的代理憑證;經由該網路將該存取符記發送至該第三方網站以用於驗證;若該存取符記係有效的,則經由該網路自該社交網路網站接收更新的存取符記;且經由該存取點授權該行動使用者設備以建立保全連接。
在某些實施例中,該代理憑證為使用者名稱及通行碼憑證、客戶端證書憑證及/或動態預共享金鑰。在一些實施例中,該第三方憑證為社交網路憑證且該第三方網站為社交網路網站。在一些實施例中,識別符為App-ID。且在一些實施例中,授權為鑑別碼。
在一些實施例中,該憑證供應伺服器進一步經組配來經由該網路以來自該行動使用者裝置之該授權交換來自該第三方網站之存取符記,且將該存取符記發送至該存取控制伺服器,以在資料庫中連結至對應於該行動使用者設備的該代理憑證。
且在一些實施例中,OAuthv2(RFC-6749)協定可用來接收授權,且以該授權交換存取符記。
示例性實施例亦包括用於建立保全無線通訊之系統及方法,該等系統及方法包括:經由與憑證供應伺服器、存取點、資料庫及網路通訊的存取控制伺服器進行以下操作:經由該存取點自行動使用者設備接收代理憑證,該代理憑證先前已在成功登入至第三方網站之後自該憑證供應伺服器發送至該行動使用者設備;經由該存取點驗證
來自該行動使用者設備之該代理憑證;擷取連結至該所接收的代理憑證的存取符記;經由該網路將該存取符記發送至該第三方網站以用於驗證;若該存取符記係有效的,則經由該網路自該社交網路網站接收更新的存取符記;以及經由該存取點授權該行動使用者設備以建立保全連接。
在一些示例性實施例中,該代理憑證係由該憑證供應伺服器回應於該憑證供應伺服器進行以下操作而產生:經由該存取點自該行動使用者設備接收授權,該授權在將有效的第三方憑證提供至該第三方網站之後已自該第三方網站發送至該行動使用者設備;以及經由該網路以來自該行動使用者裝置之該授權交換來自該第三方網站之存取符記。
在一些實施例中,該存取控制伺服器:連結存取符記與該所接收的代理憑證;經由該網路將該存取符記發送至第三方網站以用於驗證;且若該存取符記係有效的,則經由該網路自該社交網路網站接收更新的存取符記。
本發明之其他特徵及優點將自以下結合附圖進行的詳細描述顯而易見,該等附圖藉由實例例示本發明之實施例的各種特徵。
101~105、410~480‧‧‧步驟
110、210、310‧‧‧UE
115‧‧‧存取點/AP
120、220、320‧‧‧OSU伺服器/OSU
123‧‧‧IDM
125、225‧‧‧供應伺服器/PS
126、226‧‧‧入口網站
127‧‧‧OSU網頁/預先存在的SN憑證
130‧‧‧SN網站伺服器
132‧‧‧SN網站
212、312‧‧‧AP
222‧‧‧D-刀鋒
223、323‧‧‧AAA伺服器/IDM
224、324‧‧‧資料庫
228‧‧‧書證CA/證書
230‧‧‧SN網站/SN
240‧‧‧根CA
250~274、278~299、350~358、362~370‧‧‧訊息
322‧‧‧D-刀鋒伺服器/D-刀鋒
330‧‧‧社交網路網站
為了較佳地理解本申請案中所述之實施例,應結合以下圖式參考以下詳細描述,在圖式中,相同元件符號在各圖中始終代表對應部分。
圖1為展示與在此所述之發明態樣一致的示例性
架構圖的方塊圖。
圖2A為展示與在此所述之發明態樣一致的示例性訊息流的通信報圖表。
圖2B為展示與在此所述之發明態樣一致的示例性訊息流的另一通信報圖表。
圖3為展示與在此所述之發明態樣一致的在初始連接之後的示例性訊息流的另一通信報圖表。
圖4為與在此所述之發明態樣一致的示例性流程圖。
現將詳細參考實施例,該等實施例之實例係例示於隨附圖式中。在以下詳述中,闡述許多特定細節以便提供對本文所呈現之標的之充分理解。但一般技術者將明白,可在沒有此等特定細節的情況下實踐標的。此外,本文所述之特定實施例藉助於實例提供且不應用來將本發明之範疇限制於此等特定實施例。在其他情況下,並未詳細描述熟知的資料結構、計時協定、軟體操作、程序及組件,以免不必要地模糊本發明之實施例的態樣。
在此所揭示之某些實施例提供用於行動裝置或使用者設備(UE)使用某種憑證來建立至802.11存取點(AP)的保全空中鏈路連接之系統及方法。在某些實施例中,此憑證可為先前建立的使用者第三方網站憑證。第三方網站
憑證之實例可為社交媒體或社交網路(SN)憑證。
UE當今為流行的且用來既經由有線又無線地存取諸如網際網路之網路。若無線連接未經加密,則會遭受偵聽、竊聽及惡意攻擊。且雖然可在某些情況(例如,使用HTTPS的網路銀行,該HTTPS基於SSL/TLS)下建立保全端對端隧道,但此類隧道仍以明文方式保留UE與AP之間的空中鏈路而無加密保護。因此,不使用保全端對端隧道之訊務會遭受偵聽。使用無線服務提供者與提供憑證之網站的營運者之間已建立的協議,可能允許消費者利用預先存在的網站憑證來允許消費者的UE登錄至AP中且與AP建立加密的空中鏈路。
應注意,在此所論述之UE可為經組配來無線地通訊的任何數目之裝置,例如但不限於智慧型電話、膝上型電腦、隨身型易網機、超極緻筆電(ultrabook)、平板電腦、平板手機、手持式電腦等等。此等裝置可使用一些網路AP經由無線連接連接至網際網路。
此外,應注意,諸如IEEE 802.11之某些標準可用於UE與AP之間的無線電通訊。提供網際網路存取之此等AP可具有「熱點」功能性,該「熱點」功能性包括對習稱為熱點2.0(HS2.0)的熱點及Wi-Fi連接的標準促進。熱點2.0技術由Wi-Fi聯盟開發且允許UE自動且保全連接至熱點。雖然不限於HS2.0,但在此所揭示之實例使用HS2.0實例,以便將本揭示內容置於情境中。因此,雖然不限於HS2.0,但可使用HS2.0技術來利用在此所揭示之實施例。
當今,UE用於在一些狀況下經由無線連接來存取諸如網際網路之網路。當無線連接使用Wi-Fi技術時,UE安全性及使用者安全性在使用WPA2-企業安全性時增強。WPA2-企業安全性包含三種技術:802.1X(基於埠之網路存取控制)、802.11i(802.11空中鏈路加密)及EAP鑑別;當成功應用WPA2-企業安全性時,UE與AP之間的空中鏈路經加密。此加密提供機密性保護、完整性保護、重播保護及免受所謂的「中間人」攻擊的保護。
WPA2-企業安全性之部分為相互鑑別,其中UE鑑別諸如鑑別、授權及帳務(AAA)伺服器之存取控制伺服器的身份,進而確保該UE連接至預期Wi-Fi網路且該網路鑑別UE之身份。此類存取控制伺服器處置存取網路資源之請求且可經由例如RADIUS協定來提供諸如鑑別、授權及帳務的服務。相互鑑別可使用由網際網路工程工作小組(IETF)標準化的EAP(可延伸鑑別協定,參見RFC-3748)方法之一(例如EAP隧道傳送層安全性(EAP-TTLS)(參見RFC-5281))來執行。在成功的EAP交換結束時,AAA伺服器將主會談金鑰(MSK)遞送至AP且UE局部計算其自身的MSK,當EAP交換成功時,該UE自身的MSK與遞送至AP的MSK具有相同值。MSK隨後結合802.11i加密協定使用來產生用來加密UE與AP之間的單播傳輸的成對瞬時金鑰(PTK),且安全地傳輸用來加密自AP至UE的廣播及多播傳輸的群組瞬時金鑰(GTK)。
獨立於Wi-Fi技術,IETF開發使用鑑別且通常用於全球資訊網的其他協定。兩個實例為超本文傳送協定保全(HTTPS),該HTTPS為藉由傳送層安全性(TLS)的HTTP;參見用於HTTP之RFC-2616及用於TLS之RFC-5246以及HTTP摘要(參見RFC-2617)。在HTTPS中,TLS層可經組配為對於客戶端匿名,意味著客戶端使用伺服器之X.509證書鑑別伺服器但該伺服器不鑑別客戶端。客戶端鑑別可在已藉由使客戶端提供全球資源定位器(URL)成功地建立TLS隧道(將使用者名稱/通行碼編碼至伺服器、經由HTTP、在加密TLS隧道內傳送)之後執行。HTTPS及HTTP摘要兩者支援相互鑑別。但此等技術均不提供或產生可結合802.11i用來保全Wi-Fi空中鏈路的MSK。
許多網站具有使用者已被發行使用者名稱/通行碼憑證的大使用者基底,且可受益於將該等憑證利用於其他目的,諸如利用於無線網路存取目的。
已將使用者名稱/通行碼憑證發行給大量使用者的網站之實例包括但不限於SN網站,諸如Facebook、Google、Google+、MySpace、LinkedIn、TripIt、Twitter、Yammer及Yahoo!,僅舉以上幾例。SN網站之使用者可希望將其憑證使用於Wi-Fi網路存取及/或以該等使用者之當前位置更新其SN首頁(亦即,「簽到」)。SN網站可希望支援憑證之此等用途,作為將該等SN網站之廣告延伸至提供公共Wi-Fi網路存取的場所擁有者的手段。存在已發行使用者名稱/通行碼憑證以及可希望將該等憑證利用於Wi-Fi網路存
取的其他網站,諸如零售或酒店忠誠度網站。
在某些實施例中,一旦已成功完成使用者鑑別,則AAA伺服器可將更新公告在使用者之社交媒體首頁上且/或擷取關於使用者之資訊。應注意,在某些實施例中,當使用者授權提供公共Wi-Fi的場所擁有者使用其社交網路網站憑證時,該等使用者亦授權社交網路網站API提供被使用者視為可共享的某些個人資訊。例如,AAA伺服器可更新使用者之UE登錄所在的場所名稱和位置,諸如123主街的特定咖啡商店。另外,AAA伺服器亦可自示例性SN網站API擷取使用者的朋友列表、其最愛的食物及其他個人資訊。AAA伺服器又可將此資訊傳遞至基於位置的服務引擎,該基於位置的服務引擎可提供場所推廣的某種消費者增強。此資訊對於無線服務提供者可為有價值的,因為該資訊可允許熱點營運者為使用者提供某種程度的個別化服務。例如,場所可為使用者提供其最愛的飲料的折扣點券,或可能可在使用者下次帶來列表上的朋友時提供免費飲料等等。
且存在使用者可能希望使用預先存存的SN帳戶憑證登錄至網路中的各種原因。該使用者可能希望其社交網路朋友知道使用者在何處。使用者可發現有用的是,其SN憑證為其在潛在地許多場所處獲得Wi-Fi存取,以存取網際網路。此外,藉由將SN帳戶捆綁至無線服務提供者登入,可存在該使用者符合條件的促銷,如以上所解釋。
許多SN網站支援稱為OAuth 2.0(參見IETF
RFC-6749)的鑑別技術。本文所述之實施例包括系統及方法,該等系統及方法可利用OAuth2授權協定及熱點2.0版本2線上註冊(在場所中,現場憑證供應)來以產生允許WPA2-企業使用於公共無線存取網路中的MSK的方式提供無線網路存取。因此,此等系統及方法提供隨行(on-boarding)Wi-Fi熱點,從而允許消費者或「自帶設備」(BYOD)進入網路。
在示例性情境中,使用者(消費者)步入熱點位置中,該熱點位置配備用來為其消費者提供無線網際網路存取的AP。在某些實施例中,示例性AP經組配來使用WPA2-企業安全性。希望連接至網際網路的使用者被要求登錄至無線服務提供者帳戶中,該無線服務提供者帳戶必須由操作該等無線AP的個別無線服務提供者公司建立。在此實例中,最初,UE之連接管理器不具備可用來對熱點進行鑑別的憑證。對於每一使用者所要求的是與使用者選擇使用的個別無線服務提供者建立登入憑證(例如,使用者名稱及通行碼)。登入憑證可在登錄至由該特定無線服務提供者操作的任何AP中時使用。
然而,使用者可具有用於示例性SN網站之使用者名稱/通行碼憑證。此外,在此實例中,SN網站支援Oauthv2。且,區域熱點中的AP經組配來使用熱點2.0版本2,該熱點2.0版本2包括線上註冊能力。實施例在此描述用於伺服器以如下方式結合熱點2.0線上註冊協定來使用Oauthv 2的系統及方法:將預先存在的SN憑證用於使用者
鑑別,接著產生MSK,進而根據WPA2-企業協定促進空中鏈路加密。應注意,Oauthv2不產生MSK。以上所提及的伺服器為實施熱點功能性之伺服器(或分散在多個伺服器中的伺服器群組或功能性)。
在某些實施例中,使用者藉由登錄至SN網站中且授權無線服務提供者使用使用者的SN身份來建立使用者之身份。一旦如此經授權,則線上註冊(OSU)伺服器創建「代理憑證」,該線上註冊伺服器隨後將該代理憑證連結至使用者之SN身份。OSU伺服器一詞的使用不欲為限制性的。在此可使用任何數目之伺服器,包括但不限於憑證供應伺服器。OSU伺服器提供如本文所述之憑證供應功能性為足夠的。
亦應注意,一般技術者將認識到,在另一憑證用來創建代理憑證以促進空中鏈路之加密的情況下,本文所述之概念可同等地適用。
熱點2.0線上註冊協定用來建立所謂的「代理憑證」且將該「代理憑證」供應至行動裝置。代理憑證可為使用者名稱及通行碼憑證或X.509客戶端證書憑證。雖然在本發明中稱為代理憑證,但其可相較於與WPA2-企業一起使用的任何使用者名稱/通行碼或客戶端證書憑證並無不同。如此,在EAP鑑別之後,UE及AP分別產生或獲得MSK,該MSK又用來加密空中鏈路上之通訊。在熱點之OSU伺服器將代理憑證供應至UE之後,該OSU伺服器亦將代理憑證供應至無線服務提供者之(熱點營運者之)AAA伺服器以供
未來使用。此後,UE可使用代理憑證與熱點2.0協定來自動且安全地登錄至由無線服務提供者操作的熱點。
因此,當消費者返回至熱點(在初始位置或另一位置處)時,UE可自動且自主地根據熱點2.0協定使用代理憑證來登入至熱點。當熱點之AAA伺服器接收UE之鑑別請求時,該AAA伺服器與SN網站核對以確認使用他/她的SN憑證的使用者之授權仍有效,且若有效,則鑑別UE且授權該UE進行Wi-Fi存取。
現詳細轉向圖1,圖1描繪使用者可如何經由UE 110使用現有憑證登錄至無線服務提供者中且進而建立保全空中鏈路的示例性實施例。在此實例中,熱點具有並行操作的兩個WLAN--保全WPA2-企業WLAN及用於線上註冊之開放式WLAN。此外,熱點營運者先前已與SN網站進行佈置,以提供使用SN之使用者憑證的Wi-Fi存取。當進行此佈置時,熱點營運者自SN網站獲得可識別該熱點營運者的「App-ID」。在一些實施例中,App-ID可唯一識別熱點營運者。如將描述,App-ID可用於熱點之OSU伺服器與SN網站之間的某些訊息交換中。應注意,App-ID一詞的使用不欲為限制性的,因為在各種實施例中其可為任何數目之識別符。
首先,UE 110進入存取點(AP)115之範圍內且使用熱點2.0協定判定該UE不具備用以加入熱點的適當的安全性憑證。因此替代地,UE與用於線上註冊之開放式SSID
相關聯。在步驟101中,UE經由入口網站126接收OSU網頁127,且經由UE 110將該網頁呈現給使用者。OSU網頁可為使用者呈現各種選擇來登錄至且使用無線服務提供者服務,該等選擇之一可經由該使用者之預先存在的SN憑證127(諸如其使用者名稱或通行碼)進行。
接著,在實例中,在步驟102中,若使用者點擊使用其預先存在的SN憑證的選擇,則UE瀏覽器由入口網站重新導引至適當的SN網站。在UE瀏覽器經重新導引至SN網站之前,入口網站126將無線服務提供者之App-ID或識別符添加至重新導引URL,該重新導引URL使SN網站向使用者顯示無線服務提供者或其他定製資訊,在此實例中為存取使用者之SN網頁及/或資訊的「Green Wi-Fi」(示範性服務提供者)之請求。使用者被提供使用其先前建立的SN使用者名稱及通行碼登錄至SN網站中的能力。
若使用者提供適當的憑證,則SN網站將鑑別碼發送至UE。應注意,鑑別碼一詞的使用不欲為限制性的。可使用各種授權中任一者;授權碼指示來自SN網站之授權係足夠的。使用者亦可給予授權以容許無線服務提供者(在此實例中為「GreenWi-Fi」的身份管理器及AAA(在此共同為IDM)123)以各種階層存取來自特定SN網站之某些使用者資訊或執行某些活動。例如,某些階層可允許系統存取來自使用者之SN帳戶的個人資訊,諸如人口資訊、朋友資訊、訪問位置之歷史等。某些實例可允許系統存取使用者之帳戶且將「簽到」告示寫至使用者之SN頁。隨後,繼續
示例性實施例之步驟103,UE 110可隨後使用SN網站提供的鑑別碼或授權由SN網站132重新導引至入口網站126。
隨後在某些示例性實施例中,在步驟104中,OSU伺服器經由IDM 123將請求直接發送至SN網站伺服器130,以交換用於存取符記之鑑別碼。一些SN網站將鑑別碼之生命期限制於短時間間隔,例如兩個小時。因此,無線服務提供者具有達兩個小時來交換用於存取符記之鑑別碼。在一些情況下,存取符記在較長時段內保持有效,例如六天。一旦存取符記過期,則新鑑別碼及存取符記需要由無線服務提供者獲得,以便繼續存取該SN使用者之憑證。無線服務提供者使用如以下所述之存取符記。
一旦OSU伺服器120具有存取符記,則該OSU伺服器創建至代理憑證之連結且將該連結、存取符記及代理憑證儲存於該OSU伺服器的區域使用者資料庫中,該區域使用者資料庫在該實例中與IDM 123通訊。在此實例中,接著,在步驟105中,供應伺服器(PS)125產生代理憑證以發送至UE 110,以便使用熱點2.0版本2之方法供應該代理憑證。
在不使用存取符記之示例性實施例中,OSU伺服器或代理憑證伺服器可將代理憑證與資料庫中的授權連結。
一旦被供應,UE即可切換至AP之加密的無線區域網路(WLAN)。為切換(在初始位置處或當使用者稍後返回至相同位置或可使用代理憑證的另一位置時),UE根據熱
點2.0協定自動且自主地使用代理憑證來登入至熱點。當熱點之AAA伺服器接收UE之鑑別請求時,該AAA伺服器將存取符記發送至SN網站以確認使用他/她的SN憑證的使用者之授權仍有效。若存取符記由SN網站接受,則使用者之授權仍有效;若如此,則AAA伺服器鑑別UE之代理憑證,且若成功,則授權行動裝置進行Wi-Fi存取。若存取符記未由SN網站接受,則使用者之授權已過期或被撤銷,因此AAA伺服器拒絕UE之代理憑證鑑別請求且不會授權行動裝置進行Wi-Fi存取。
熟習此項技術者將認識到,代理憑證可替代地為動態、預共享的金鑰。當Wi-Fi安全性經組配來使用WPA-個人或WPA2-個人(其使用預共享的金鑰建立密碼金鑰)時,動態、預共享的金鑰將由伺服器發行。
為幫助例示本文之某些實施例,在圖2A及圖2B中的實例中提供詳細訊息序列圖表。
圖2A描繪示例性訊息序列,其詳細說明用於在此所揭示之方法及系統中的示例性序列及步驟。圖2B描繪如上所述的在SN憑證用來登錄且連結已發生之後的示例性熱點2.0步驟。再次使用SN實例,但不應解釋為限制性的,僅為例示性的。
圖2A包括UE 210、AP 212及例如容納於OSU 220中所示的某些網路連結態樣。此等網路連結態樣包括:稱
為D-刀鋒222的資料平面模組,該資料平面模組為經由OSU轉送封包的資料轉送引擎,及整合型資料庫管理及AAA伺服器(IDM)223;資料庫,在此為諸如伺服器運行Cassandra的分散式資料庫224;供應伺服器(PS)225,該供應伺服器使用熱點2.0方法將安全性憑證提供至UE;以及入口網站226,該入口網站經由UE瀏覽器用作使用者之介面。安全性憑證可為使用者名稱/通行碼或X.509v3客戶端證書。亦展示證書CA 228,該證書CA可用來根據需要創建X.509v3客戶端證書。亦展示SN網站230。
應注意,在以上實例中,使用D-刀鋒,因為該D-刀鋒用作存取列表(ACL)執行器,以便僅允許OSU/SN相關的封包被路由傳遞至OSU模組及SN登入網站。不同示例性實施例可將此能力佈署於AP上而非D-刀鋒上。
請注意,以下段落中的示例性步驟結合OAuth2(RFC-5746)訊息例示熱點2.0訊息序列中的步驟,其中SN網站及場所營運者使用WPA2-企業創建保全Wi-Fi會談。
轉向圖2A中的通信報交換實例,其中UE 210尚無用來登錄至無線服務提供者熱點中之憑證,但具有SN登錄憑證,UE 210於250處對AP 212傳遞訊息。在此步驟處,UE使用熱點2.0方法判定該UE無法加入熱點處的WPA2-企業SSID,因為該UE不具有有效的安全性憑證且因此決定註冊以進行Wi-Fi存取。
接著,UE 210及AP 212交換訊息252,其中UE 210與AP 212上之註冊SSID相關聯。
隨後,交換訊息254,其中UE210經由D-刀鋒222建立與PS 225的傳送層安全性(TLS)連接。應注意,在某些實施例中,在此無需D-刀鋒222。
接著,自UE 210發送訊息256,以與根(Root)CA 240核實PS之伺服器證書或OSU伺服器證書尚未撤銷。此程序使用線上證書狀態協定(OCSP)經由D-刀鋒222驗證OSU證書。應注意,在某些實施例中,D-刀鋒222在此並非必要。
接著,由UE210經由D-刀鋒222將訊息(sppPostDevData請求(簡單物件存取協定,SOAP-XML))發送258至PS 225。應注意,在某些實施例中,D-刀鋒222在此並非必要。sppPostDevData請求為熱點2.0請求方法,該方法啟動憑證供應,諸如例如線上註冊。
隨後,自PS 225將SOAP-XML訊息(將瀏覽器發起至URL的命令,該URL為入口網站226之URL)發送260回UE210。
UE210隨後使用HTTPS經由D-刀鋒222與入口網站226交換用於入口網站註冊頁之訊息262。應注意,在某些實施例中,D-刀鋒222在此並非必要(該D-刀鋒用作存取控制列表(ACL)執行器,以便僅允許OSU/SN相關的封包被路由傳遞至OSU模組及SN登入網站。若不需要或由一些其他網路組件執行此等存取限制,則不使用D-刀鋒。)。一旦使用者之行動裝置呈現入口網站註冊頁,UE 210使用者即可「使用SN憑證存取GreenWi-Fi之熱點」。
訊息隨後經由D-刀鋒222獲交換264以重新導引
至SN 230,其中入口網站226添加識別符或App-ID、重新導引URI(返回至入口網站)。應注意,在某些實施例中訊息264可無需經由D-刀鋒222發送。
UE 210隨後經由D-刀鋒222與SN網站230交換訊息266,以交換SN登入對話且確認PS客戶端許可(如以上所述)。應注意,在某些實施例中訊息266可無需經由D-刀鋒222發送。
隨後,SN網站230可傳遞訊息以使用鑑別碼或授權重新導引268 UE 210。
UE 210隨後經由D-刀鋒222將具有鑑別碼或授權之確認訊息270發送至入口網站226。應注意,在某些實施例中訊息270可無需經由D-刀鋒222發送。
入口網站226將註冊請求發送至IDM(272)。
IDM與SN網站交換訊息274,藉此如前所述,IDM與來自SN之存取符記交換鑑別碼。IDM將存取符記保存於資料庫224中。此允許IDM在使用者返回且嘗試加入熱點時的未來日期查找存取符記。
存取符記及IDM 223可將針對使用SN之使用者憑證的請求之確認或故障通知的回應278發送至入口網站226。
最後280,入口網站226將最終「HTTP重新導引302」發送至UE 210。若將SN之使用者憑證使用於Wi-Fi存取的請求失敗(在訊息228中提供的通知),則入口網站226在此步驟中告知UE 310。此完成此實例中的SN授權部分。
接著描述以下步驟:供應代理憑證(具體而言,X.509v3客戶端證書)至使用者之UE且隨後連結SN憑證與系統正發行的代理憑證(新X.509v3客戶端證書憑證)。
接著,在此實例中,如圖2B中所示,進行熱點2.0交換以完成線上註冊程序。UE 210將使用者已完成將所有必要資訊供應至SN網站的SOAP-XML指示訊息282發送至PS 225。此可為啟動證書憑證登記的PS信號。登記為由熱點2.0用於將客戶端證書發行至行動裝置的名稱。
接著在訊息284的情況下,PS 225將證書登記請求(SOAP-XML)訊息發送至UE 210。
UE 210隨後經由D-刀鋒222與PS 225交換基於HTTPS的訊息286,以執行證書登記(EST,參見Enrollment over Secure Transport,IEFTRFC-7030)。應注意,在某些實施例中為交換訊息289,D-刀鋒222在此並非必要。隨後,PS 225與CA 228交換訊息288以產生供應至UE的客戶端證書。
在UE 210成功安裝證書之後,UE將成功指示以信號發送290至PS 225。
PS 225交換訊息292以自IDM 223獲取熱點2.0每一提供者訂閱管理物件(PPS MO)。PPS MO含有用於UE之連接管理器設定,從而識別服務提供者(例如GreenWi-Fi)之資訊及與證書相關的其他元資料。
PS 225隨後發送訊息294以為UE 210供應PPSMO。
UE 210隨後經由D-刀鋒222將成功安裝PPS MO(SOAP-XML)的訊息296發送至PS 225。應注意,在某些實施例中訊息296可無需經由D-刀鋒222發送。
PS 225將登記成功(SOAP-XML)的訊息298發送至UE210。
且UE 210經由D-刀鋒222將訊息299發送至PS 225,以指示釋放TLS(SOAP-XML)。此隨後允許AP與UE之間的加密通訊,因為UE具備適當證書及/或MSK。應注意,在某些實施例中訊息299可無需經由D-刀鋒222發送。
以上圖2A及圖2B中所示的實例為UE先前尚未使用SN憑證連接的情況下的實例。圖3描繪使用者310已訪問熱點且已經被供應客戶端證書的實例,該客戶端證書藉由所產生的存取符記來由OSU伺服器連結至使用者之SN憑證。
在實例(圖3)中,示例性UE 310進入具有AP 312的範圍內且希望與AP 312相關聯,該AP將訊息350發送至UE 310。UE之連接管理器可使用802.11u GAS/ANQP或另一同屬廣告服務/存取網路查詢協定來判定該UE是否具有來自Wi-Fi網路之漫遊夥伴或Wi-Fi熱點營運者自身中任一者的憑證。
接著,AP將其可例如經由來自先前實例的領域「Green-Wi-Fi」鑑別來自無線服務提供者之憑證的訊息352發送至UE。
隨後,UE 310與AP 312交換訊息354,以便與AP 312相關聯。
UE 310與AP 312交換訊息356,該AP又經由D-刀鋒伺服器322與IDM 323交換訊息358,以便啟動與無線服務提供者之AAA伺服器323的鑑別交換。在此步驟中,AAA伺服器開始鑑別UE之代理憑證(該代理憑證為X.509v3客戶端證書)。請注意,EAP-TLS為UE具備X.509v3客戶端證書時使用的方法。應注意,在某些實施例中訊息358可無需經由D-刀鋒222發送。
接著,當IDM 323中的AAA伺服器接收客戶端證書時,該IDM將訊息發送至資料庫324,該資料庫又發送回針對該使用者之關於示例性SN網站存取符記的訊息362。
隨後,IDM 323將具有存取符記之訊息364發送至示例性社交網路網站330 API。作為回覆,SN網站發送具有更新的存取符記之訊息366。
若更新成功,則使用者尚未撤銷使用示例性SN網站憑證的許可且ESP鑑別應進行。
接著,於IDM 323中的AAA伺服器與AP 312之間經由D-刀鋒322交換訊息368,該訊息關於經由RADIUS的EAP成功及存取-接受(成功)。應注意,在某些實施例中訊息368可無需經由D-刀鋒222發送。
隨後,AP 312及UE310交換關於802.11四向交握(4WHS)的訊息370,以建立第2層安全性協會(WPA2企業安全性)。請注意,若存取符記更新失敗,則使用者鑑別應失
敗且UE應自Wi-Fi網路取消鑑別(de-authenticated)(在此狀況下,將RADIUS存取拒絕訊息發送至AP)。
此隨後允許AP與UE之間的加密通訊。
圖4展示本文所述之某些實施例之示例性概述的流程圖。首先410,憑證供應伺服器首先自行動使用者設備接收存取網路之請求。隨後420,憑證供應伺服器將第三方憑證之網頁登錄選項發送至行動使用者設備。隨後430,憑證供應伺服器自行動使用者設備接收使用第三方憑證之指示。隨後440,憑證供應伺服器經由網路將行動使用者設備重新導引至對應的第三方網站登入頁且包括識別符。隨後450,憑證供應伺服器自行動使用者設備接收鑑別碼或授權,該鑑別碼或授權在將有效的第三方憑證提供至第三方網站之後已自第三方網站發送至行動使用者設備。隨後460,憑證供應伺服器產生代理憑證且將授權連結至資料庫中的代理憑證。隨後470,憑證供應伺服器經由存取點將代理憑證發送至行動使用者設備。最終480,憑證供應伺服器授權行動使用者設備建立保全連接。
應注意,在圖式中,某些功能性及組件部分經展示為分組成一個單元,亦即,線上註冊伺服器(OSU)120。但此僅為示範性及例示性的。例如,在圖1中,OSU 120展示為包括入口網站126、IDM 123或AAA伺服器、供應伺服器(PS)125。且在圖2中,OSU 220展示為包括D-刀鋒222、
IDM 223、資料庫224、PS 225、入口網站226及證書228。資料庫224可為諸如Cassandra資料庫之任何分散式資料庫,以便提供跨於OSU節點上之複製,進而促進針對載體部署之大量可擴縮性。但此等組件中任一者或全部無需單獨容納於一個組件(OSU 120及220等等)中。替代地,該等組件部分可以任何方式分組。但在此的此等示例性實施例中,某些組件部分被分組成一個產品外殼,亦即,OSU 120、220、320。
應注意,「熱點」一詞僅以示範性方式使用。在此的本揭示內容之發明態樣可與許多不同種類的無線通訊介面及標準一起使用。在全部本揭示內容中以示範性方式使用Wi-Fi標準。
如本文所揭示,與本發明一致的特徵可經由電腦硬體、軟體及/或韌體實施。例如,本文所揭示之系統及方法可以包括例如資料處理器之各種形式體現,該資料處理器諸如電腦,該電腦亦包括資料庫、數位電路、韌體、軟體、電腦網路、伺服器或其組合。此外,雖然所揭示之實行方案中之一些描述特定硬體組件,但與本文創新一致的系統及方法可使用硬體、軟體及/或韌體之任何組合來實施。此外,本文創新之上述特徵及其他態樣以及原理可在各種環境中實施。此類環境及相關應用可經特別構造以用於執行根據本發明的各種常式、過程及/或操作,或該等環境及相關應用可包括由代碼選擇性啟動或重新組配以提供必要功能性的通用電腦或計算平台。本文所揭示之過程並
非固有地關於任何特定電腦、網路、架構、環境或其他裝置,且可由硬體、軟體及/或韌體之適合組合實施。例如,各種通用機器可與根據本發明之教示撰寫的程式一起使用,或可更為便利的是,構造特定裝置或系統來執行所需方法及技術。
本文所述之方法及系統之態樣(諸如邏輯)可實施為程式設計為任何各種電路的功能性,該等各種電路包括可規劃邏輯裝置(「PLD」)(諸如現場可規劃閘陣列(「FPGA」))、可規劃陣列邏輯(「PAL」)裝置、電氣可規劃邏輯及記憶體裝置以及基於標準電池的裝置以及特定應用積體電路。用於實施態樣的一些其他可能性包括:記憶體裝置、具有記憶體(諸如EEPROM)之微控制器、嵌式微處理器、韌體、軟體等等。此外,態樣可體現於具有基於軟體的電路仿真的微處理器、離散邏輯(順序的及組合的)、定製裝置、乏晰(類神經)邏輯、量子裝置及以上裝置類型之任意混合。可以各種組件類型提供基本裝置技術,該等組件類型例如類似互補金屬氧化物半導體(「CMOS」)的金屬氧化物半導體場效應電晶體(「MOSFET」)技術、類似射極耦合邏輯(「ECL」)的雙極技術、聚合物技術(例如,矽共軛聚合物及金屬共軛聚合物金屬結構)、混合類比及數位等等。
亦應注意,本文所揭示之各種邏輯及/或功能在其行為、暫存器轉移、邏輯組件及/或其他特性方面可使用硬體、韌體之任何數目的組合來實現且/或實現為體現於各種機器可讀或電腦可讀媒體中的資料及/或指令。可體現此
類格式化資料及/或指令的電腦可讀媒體包括但不限於:各種形式的非依電性儲存媒體(例如,光學、磁性或半導體儲存媒體)及可用來經由無線、光學或有線信號傳輸媒體或其任何組合轉移此類格式化資料及/或指令的載波。由載波進行的此類格式化資料及/或指令之轉移的實例包括但不限於經由一或多個資料轉移協定(例如,HTTP、FTP、SMTP等等)進行的經由網際網路及/或其他電腦網路的轉移(上載、下載、電子郵件等等)。
除非上下文另外明確要求,否則在全部描述及申請專利範圍中,用詞「包含」及其類似詞將在包括性意義而非排他性或詳盡意義上予以解釋;亦即,在「包括但不限於」的意義上。使用單數或複數的用詞亦分別包括複數或單數。另外,用詞「本文」、「下文」、「以上」、「以下」及類似含義的用詞代表作為整體的本申請案且並非代表本申請案之任何特定部分。當用詞「或」使用於對兩個或兩個以上列表的參考時,該詞涵蓋該詞之以下所有解釋:列表中的任何項、列表中的所有項及列表中的項之任何組合。
雖然本文已具體描述本發明之某些呈現的較佳實行方案,但本發明所屬領域的熟習此項技術者將明白,可在不脫離本發明之精神及範疇的情況下進行對本文所示及所述的各種實行方案的變化及修改。因此,本發明意欲僅限制於適用的法規所要求的範圍。
已參考特定實施例來描述用於解釋目的之以上描述。然而,以上例示性論述不欲為詳盡的或將本發明限於所揭示之精確形式。鑒於以上教示,許多修改及變化係
可能的。選擇並描述該等實施例以便最好地解釋本發明之原理及其實踐應用,從而使其他熟習該項技術者最好地利用本發明及各種實施例,其具有可能適合於所涵蓋之特定用途的各種修改。
410~480‧‧‧步驟
Claims (33)
- 一種用於建立保全無線通訊之系統,該系統包含,一憑證供應伺服器,其與一存取點、一資料庫、一存取控制伺服器及一網路通訊,該憑證供應伺服器經組配來,經由該存取點自一行動使用者設備接收存取該網路之一請求;經由該存取點將一第三方憑證之一網頁登錄選項發送至該行動使用者設備;經由該存取點自該行動使用者設備接收使用該第三方憑證之一指示;經由該網路將該行動使用者設備重新導引至一對應的第三方網站登入頁,且包括一識別符;經由該存取點自該行動使用者設備接收一授權,該授權在將有效的第三方憑證提供至該第三方網站之後已自該第三方網站發送至該行動使用者設備;產生一代理憑證;將該授權連結至該資料庫中的該代理憑證;經由該存取點將該代理憑證發送至該行動使用者設備;以及經由該存取控制伺服器及該存取點授權該行動使用者設備以建立一保全連接。
- 如請求項1之系統,其中該憑證提應伺服器進一步經組配來,經由該網路請求,存取來自該第三方網站之使用者資訊的許可;以及使用該行動使用者設備之一位置資訊更新該第三方網站的許可。
- 如請求項2之系統,其中該憑證供應伺服器進一步經組配來,在自該行動使用者設備接收該授權之後,經由該網路請求來自該第三方網站之該使用者資訊;以及回應於該請求,接收且保存來自該第三方網站之該使用者資訊。
- 如請求項2之系統,其中該憑證供應伺服器進一步經組配來,經由該網路將該行動使用者設備之該位置資訊發送至該第三方網站。
- 如請求項1之系統,其中該憑證供應伺服器進一步經組配來,經由該網路以來自該行動使用者裝置之該授權交換來自該第三方網站之一存取符記;以及將該存取符記發送至該存取控制伺服器,以在該資料庫中連結至對應於該行動使用者設備的該代理憑證。
- 如請求項1之系統,其中該代理憑證為一使用者名稱及 通行碼憑證。
- 請求項1之系統,其中該代理憑證為一客戶端證書憑證。
- 如請求項1之系統,其中該代理憑證為一動態預共享金鑰。
- 如請求項1之系統,其中該第三方憑證為一社交網路憑證且該第三方網站為一社交網路網站。
- 如請求項1之系統,其中該識別符為一App-ID。
- 如請求項1之系統,其中該授權為一鑑別碼。
- 如請求項5之系統,其中該存取控制伺服器經組配來,在該行動使用者設備先前存取該網路之後,經由該存取點自該行動使用者設備接收該代理憑證,該代理憑證先前已在成功登入至該第三方網站中之後發送至該行動使用者設備;經由該存取點驗證來自該行動使用者設備之該代理憑證;擷取連結至該所接收的代理憑證的該存取符記;經由該網路將該存取符記發送至該第三方網站以用於驗證;若該存取符記係有效的,則經由該網路自該社交網路網站接收一更新的存取符記;以及經由該存取點授權該行動使用者設備以建立一保全連接。
- 如請求項12之系統,其中 經由OAuthv2(RFC-6749)協定接收一授權且以該授權交換一存取符記。
- 一種用於建立保全無線通訊之方法,該包含,經由與一存取點、一資料庫、一存取控制伺服器及一網路通訊的一憑證供應伺服器,經由該存取點自一行動使用者設備接收存取該網路之一請求;經由該存取點將一第三方憑證之一網頁登錄選項發送至該行動使用者設備;經由該存取點自該行動使用者設備接收使用該第三方憑證之一指示;經由該網路將該行動使用者設備重新導引至一對應的第三方網站登入頁,且包括一App-ID;經由該存取點自該行動使用者設備接收一授權,該授權在將有效的第三方憑證提供至該第三方網站之後已自該第三方網站發送至該行動使用者設備;產生一代理憑證;將該授權連結至該資料庫中的該代理憑證;經由該存取點將該代理憑證發送至該行動使用者設備;以及經由該存取控制伺服器及該存取點授權該行動使用者設備以建立一保全連接。
- 如請求項14之方法,其進一步包含,經由該憑證供應伺 服器,經由該網路請求,存取來自該第三方網站之使用者資訊的許可;以及使用用該行動使用者設備之一位置資訊更新該第三方網站的許可。
- 如請求項15之方法,其進一步包含,經由該憑證供應伺服器,在自該行動使用者設備接收該授權之後,經由該網路請求來自該第三方網站之該使用者資訊;以及回應於該請求,接收且保存來自該第三方網站之該使用者資訊。
- 如請求項15之方法,其進一步包含,經由該憑證供應伺服器,經由該網路將該行動使用者設備之該位置資訊發送至該第三方網站。
- 如請求項14之方法,其進一步包含,經由該憑證供應伺服器,經由該網路以來自該行動使用者裝置之該授權交換來自該第三方網站之一存取符記;以及將該存取符記發送至該存取控制伺服器,以在該資料庫中連結至對應於該行動使用者設備的該代理憑證。
- 如請求項14之方法,其中該代理憑證為一使用者名稱及通行碼憑證。
- 如請求項14之方法,其中該代理憑證為一客戶端證書憑證。
- 如請求項14之方法,其中該代理憑證為一動態預共享金鑰。
- 如請求項14之方法,其中該第三方憑證為一社交網路憑證且該第三方網站為一社交網路網站。
- 如請求項14之方法,其中經由OAuthv2(RFC-6749)協定接收一授權且以該授權交換一存取符記。
- 如請求項14之方法,其中該識別符為一App-ID。
- 如請求項14之方法,其中該授權為一鑑別碼。
- 如請求項18之方法,其進一步包含,經由該存取控制伺服器,在該行動使用者設備先前存取該網路之後,經由該存取點自該行動使用者設備接收該代理憑證,該代理憑證先前已在成功登入至該第三方網站中之後發送至該行動使用者設備;經由該存取點驗證來自該行動使用者設備之該代理憑證;擷取連結至該所接收的代理憑證的該存取符記;經由該網路將該存取符記發送至該第三方網站以用於驗證;若該存取符記係有效的,則經由該網路自該社 交網路網站接收一更新的存取符記;以及經由該存取點授權該行動使用者設備以建立一保全連接。
- 一種用以建立保全無線通訊之方法,該方法包含,經由與一憑證供應伺服器、一存取點、一資料庫及一網路通訊的一存取控制伺服器,經由該存取點自一行動使用者設備接收一代理憑證,該代理憑證先前已在成功登入至一第三方網站中之後自該憑證供應伺服器發送至該行動使用者設備;經由該存取點驗證來自該行動使用者設備之該代理憑證;以及經由該存取點授權該行動使用者設備以建立一保全連接。
- 如請求項27之方法,其中該代理憑證為一使用者名稱及通行碼憑證。
- 如請求項27之方法,其中該代理憑證為一客戶端證書憑證。
- 如請求項27之方法,其中該代理憑證為一動態預共享金鑰。
- 如請求項27之方法,其中該代理憑證係由該憑證供應伺服器回應於該憑證供應伺服器進行以下操作而產生,經由該存取點自該行動使用者設備接收一授權,該授權在將有效的第三方憑證提供至該第三方網站之後 已自該第三方網站發送至該行動使用者設備。
- 如請求項27之方法,其中該代理憑證係由該憑證供應伺服器回應於該憑證供應伺服器進行以下操作而產生,經由該網路以來自該行動使用者裝置之該授權交換來自該第三方網站之一存取符記。
- 如請求項27之方法,其進一步包含,經由該存取控制伺服器,連結一存取符記與該所接收的代理憑證;經由該網路將該存取符記發送至一第三方網站以用於驗證;以及若該存取符記係有效的,則經由該網路自該社交網路網站接收一更新的存取符記。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201361885445P | 2013-10-01 | 2013-10-01 | |
| US61/885,445 | 2013-10-01 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201514876A true TW201514876A (zh) | 2015-04-16 |
| TWI668645B TWI668645B (zh) | 2019-08-11 |
Family
ID=52779085
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW103133967A TWI668645B (zh) | 2013-10-01 | 2014-09-30 | 用以建立安全無線通訊之系統與方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10284545B2 (zh) |
| EP (2) | EP3637729A1 (zh) |
| CN (1) | CN105830414B (zh) |
| TW (1) | TWI668645B (zh) |
| WO (1) | WO2015050892A1 (zh) |
Families Citing this family (34)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8566596B2 (en) * | 2010-08-24 | 2013-10-22 | Cisco Technology, Inc. | Pre-association mechanism to provide detailed description of wireless services |
| US20150127636A1 (en) * | 2013-11-05 | 2015-05-07 | Guesterly Llc | Automated event attendee data collection and document generation apparatuses, methods and systems |
| US9800581B2 (en) * | 2014-03-14 | 2017-10-24 | Cable Television Laboratories, Inc. | Automated wireless device provisioning and authentication |
| US9942762B2 (en) * | 2014-03-28 | 2018-04-10 | Qualcomm Incorporated | Provisioning credentials in wireless communications |
| WO2015169552A1 (en) * | 2014-05-05 | 2015-11-12 | Telefonaktiebolaget L M Ericsson (Publ) | Protecting wlcp message exchange between twag and ue |
| WO2016183613A1 (en) * | 2015-05-18 | 2016-11-24 | Genius Wifi Holdings International Pty Ltd | Wifi user authentication |
| US9866545B2 (en) | 2015-06-02 | 2018-01-09 | ALTR Solutions, Inc. | Credential-free user login to remotely executed applications |
| US10038695B2 (en) | 2015-06-02 | 2018-07-31 | ALTR Solutions, Inc. | Remotely deauthenticating a user from a web-based application using a centralized login server |
| CN106375265A (zh) * | 2015-07-22 | 2017-02-01 | 中兴通讯股份有限公司 | 家庭网关及其通信管理方法、通信系统 |
| US10412160B2 (en) | 2015-08-05 | 2019-09-10 | Facebook, Inc. | Controlling a device cloud |
| US10348798B2 (en) | 2015-08-05 | 2019-07-09 | Facebook, Inc. | Rules engine for connected devices |
| US10541958B2 (en) | 2015-08-05 | 2020-01-21 | Facebook, Inc. | Controlling a device cloud |
| US10567479B2 (en) | 2015-08-05 | 2020-02-18 | Facebook, Inc. | Managing a device cloud |
| US10425392B2 (en) | 2015-08-05 | 2019-09-24 | Facebook, Inc. | Managing a device cloud |
| CN106921636B (zh) | 2015-12-28 | 2020-05-08 | 华为技术有限公司 | 身份认证方法及装置 |
| US10104544B2 (en) * | 2016-04-05 | 2018-10-16 | Qualcomm Incorporated | LTE-level security for neutral host LTE |
| CN106304073A (zh) * | 2016-08-30 | 2017-01-04 | 福建富士通信息软件有限公司 | 一种WIFI Portal的认证管理方法及系统 |
| CN106453309B (zh) * | 2016-10-11 | 2020-04-17 | 北京天融信网络安全技术有限公司 | 一种安全审计的方法和pc终端 |
| US10498724B2 (en) * | 2016-12-22 | 2019-12-03 | Fujitsu Limited | Digital community system |
| WO2018120150A1 (zh) * | 2016-12-30 | 2018-07-05 | 华为技术有限公司 | 网络功能实体之间的连接方法及装置 |
| US10880332B2 (en) * | 2017-04-24 | 2020-12-29 | Unisys Corporation | Enterprise security management tool |
| US11038875B2 (en) | 2017-09-20 | 2021-06-15 | Mx Technologies, Inc. | Data aggregation using a limited-use code |
| EP3729310B1 (en) * | 2017-12-22 | 2022-08-24 | British Telecommunications public limited company | Device authentication |
| US10813169B2 (en) | 2018-03-22 | 2020-10-20 | GoTenna, Inc. | Mesh network deployment kit |
| US10944757B2 (en) | 2018-09-19 | 2021-03-09 | Cisco Technology, Inc. | Granting wireless network access based on application authentication credentials of client devices |
| US11616784B2 (en) | 2019-07-11 | 2023-03-28 | Kyndryl, Inc. | Personal-public service set identifiers connection implemented by a WAP |
| CN110719169A (zh) * | 2019-11-07 | 2020-01-21 | 北京小米移动软件有限公司 | 传输路由器安全信息的方法及装置 |
| CN111064708B (zh) * | 2019-11-25 | 2022-05-17 | 北京秒针人工智能科技有限公司 | 授权认证方法、装置及电子设备 |
| US11234132B1 (en) * | 2020-07-23 | 2022-01-25 | Hewlett Packard Enterprise Development Lp | Autonomous device authentication for private network access |
| CN112511569B (zh) * | 2021-02-07 | 2021-05-11 | 杭州筋斗腾云科技有限公司 | 网络资源访问请求的处理方法、系统及计算机设备 |
| US11204971B1 (en) * | 2021-07-08 | 2021-12-21 | metacluster lt, UAB | Token-based authentication for a proxy web scraping service |
| CN114513785B (zh) * | 2022-02-22 | 2023-10-20 | 新华三技术有限公司 | 一种终端认证方法及装置 |
| CN115996126B (zh) * | 2022-12-02 | 2023-11-03 | 北京深盾科技股份有限公司 | 信息交互方法、应用设备、辅助平台及电子设备 |
| CN117692255B (zh) * | 2024-02-02 | 2024-04-30 | 北京首信科技股份有限公司 | 动态扩展aaa服务的方法、装置及电子设备 |
Family Cites Families (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070113269A1 (en) * | 2003-07-29 | 2007-05-17 | Junbiao Zhang | Controlling access to a network using redirection |
| US20080217129A1 (en) * | 2007-03-06 | 2008-09-11 | Whelan Patrick J | Airport Seat |
| US8738897B2 (en) * | 2007-04-25 | 2014-05-27 | Apple Inc. | Single sign-on functionality for secure communications over insecure networks |
| JP4941616B2 (ja) * | 2009-03-24 | 2012-05-30 | 千住金属工業株式会社 | 部分噴流はんだ付け装置及び部分噴流はんだ付け方法 |
| EP2454897A1 (en) * | 2009-07-17 | 2012-05-23 | Boldstreet Inc. | Hotspot network access system and method |
| US8630901B2 (en) * | 2009-10-09 | 2014-01-14 | Pravala Inc. | Using a first network to control access to a second network |
| US9264435B2 (en) * | 2011-02-15 | 2016-02-16 | Boingo Wireless, Inc. | Apparatus and methods for access solutions to wireless and wired networks |
| EP2681266B1 (en) | 2011-03-02 | 2016-11-02 | Huntsman International LLC | Flame retardant composition for thermoplastic polyurethane polymers |
| CA2832754C (en) * | 2011-04-15 | 2019-08-27 | Shift4 Corporation | Method and system for enabling merchants to share tokens |
| KR101243713B1 (ko) * | 2011-07-08 | 2013-03-13 | 이광민 | 무선랜 접속 장치 및 그 동작 방법 |
| US8495714B2 (en) * | 2011-07-20 | 2013-07-23 | Bridgewater Systems Corp. | Systems and methods for authenticating users accessing unsecured wifi access points |
| US9571482B2 (en) * | 2011-07-21 | 2017-02-14 | Intel Corporation | Secure on-line sign-up and provisioning for Wi-Fi hotspots using a device management protocol |
| US8844013B2 (en) * | 2011-10-04 | 2014-09-23 | Salesforce.Com, Inc. | Providing third party authentication in an on-demand service environment |
| US8667579B2 (en) * | 2011-11-29 | 2014-03-04 | Genband Us Llc | Methods, systems, and computer readable media for bridging user authentication, authorization, and access between web-based and telecom domains |
| US9479488B2 (en) * | 2012-01-26 | 2016-10-25 | Facebook, Inc. | Network access based on social-networking information |
| US8756668B2 (en) * | 2012-02-09 | 2014-06-17 | Ruckus Wireless, Inc. | Dynamic PSK for hotspots |
| US9526022B2 (en) * | 2012-08-03 | 2016-12-20 | Intel Corporation | Establishing operating system and application-based routing policies in multi-mode user equipment |
| US20140245411A1 (en) * | 2013-02-22 | 2014-08-28 | Nokia Corporation | Method and apparatus for providing account-less access via an account connector platform |
| FR3015168A1 (fr) * | 2013-12-12 | 2015-06-19 | Orange | Procede d'authentification par jeton |
| US9794266B2 (en) * | 2014-09-05 | 2017-10-17 | Qualcomm Incorporated | Using multiple credentials for access and traffic differentiation |
-
2014
- 2014-09-30 WO PCT/US2014/058409 patent/WO2015050892A1/en active Application Filing
- 2014-09-30 EP EP19213499.7A patent/EP3637729A1/en active Pending
- 2014-09-30 CN CN201480064804.6A patent/CN105830414B/zh active Active
- 2014-09-30 TW TW103133967A patent/TWI668645B/zh not_active IP Right Cessation
- 2014-09-30 EP EP14850219.8A patent/EP3053322B1/en active Active
-
2016
- 2016-04-01 US US15/089,247 patent/US10284545B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| TWI668645B (zh) | 2019-08-11 |
| EP3053322A4 (en) | 2017-04-05 |
| CN105830414B (zh) | 2019-07-12 |
| WO2015050892A1 (en) | 2015-04-09 |
| CN105830414A (zh) | 2016-08-03 |
| EP3053322A1 (en) | 2016-08-10 |
| US20160219038A1 (en) | 2016-07-28 |
| US10284545B2 (en) | 2019-05-07 |
| EP3637729A1 (en) | 2020-04-15 |
| EP3053322B1 (en) | 2019-12-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10284545B2 (en) | Secure network access using credentials | |
| US10638321B2 (en) | Wireless network connection method and apparatus, and storage medium | |
| CN104956638B (zh) | 用于在热点网络中未知设备的受限证书注册 | |
| CN101371550B (zh) | 自动安全地向移动通信终端的用户供给在线服务的服务访问凭证的方法和系统 | |
| JP2017535989A (ja) | 証明書ベースの認証 | |
| JP7470671B2 (ja) | コアネットワークへの非3gpp装置アクセス | |
| EP3844929B1 (en) | Non-3gpp device access to core network | |
| US9485654B2 (en) | Method and apparatus for supporting single sign-on in a mobile communication system | |
| Mahshid et al. | An efficient and secure authentication for inter-roaming in wireless heterogeneous network | |
| CN103428694A (zh) | 一种分离终端单点登录组合鉴权方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4A | Annulment or lapse of patent due to non-payment of fees |