使用装置管理协议的WI‑FI热点的安全在线注册和供应制造方法及图纸

本文一般描述用于Wi‑Fi热点的安全在线注册和凭证的供应的移动装置和方法的实施例。在一些实施例中，该移动装置可以配置成，经由Wi‑Fi热点与注册服务器建立传输层安全性（TLS）会话以接收注册服务器的证书。当证书通过验证时，移动装置可以配置成与注册服务器交换装置管理消息来注册用于Wi‑Fi预订和供应凭证，以及检索预订管理对象（MO），该预订管理对象（MO）包含装置管理树中用于存储的至供应的凭证的引用。以安全方式将凭证传递/供应到移动装置。在一些实施例中，可以使用OMA‑DM协议。供应的凭证可以包括基于证书的凭证的情况下的证书、机器生成的凭证例如用户名/密码凭证或SIM类型凭证。

【技术实现步骤摘要】
【国外来华专利技术】使用装置管理协议的Wl-Fl热点的安全在线注册和供应相关申请 本专利申请要求2011年7月21日提交的美国专利申请序列号13/188，205的优先权，其通过引用全部并入于此。本专利申请与2011年6月30日提交的、标题为“mobile device and method forautomatic connectivity, DATA OFFLOADING and roaming between networks” 的美国专利申请序列号13/173，338相关。
实施例涉及无线保真(W1-Fi)网络。一些实施例涉及用于服务和连接性的安全在线注册和凭证的供应(provisioning)。一些实施例涉及使用如开放移动联盟装置管理(OMA-DM)协议的装置管理协议进行安全在线注册和供应。一些实施例涉及热点(Hotspot)2.0网络和热点2.0演进。
技术介绍
与W1-Fi网络接入的服务提供商进行预订建立的一个问题在于，这不是简单且用户友好的过程。没有标准化的过程用于使能W1-Fi的装置和网络进行安全在线注册和供应凭证。用户一般可能需要面对不同类型的Web页面、在不同的位置处输入信息并选择他们的用户名/密码。预订建立的另一个问题是安全性。开放网络无法提供所需的安全性，同时安全网络(如使能802.1x的那些网络)可能对未登录者禁止接入。目前的在线注册机制将用户暴露于很大的安全性风险，如致使他们的信用卡和个人信息被盗(例如，利用众所周知的蜜罐(honey-pot)、邪恶孪点(twin-evil)安全性漏洞)。预订建立的另一个问题是要供应的不同类型的凭证。一些装置或网络可能需要基于证书的凭证，而一些其他装置或网络可能只需用户名/密码凭证。其他装置或网络可能需要(例如，一般用于一些蜂窝网络的)订户信息模块(SM)类型的凭证。因此，普遍需要安全在线注册和凭证的供应。还普遍需要使用在线签名系统以安全的方式进行安全在线注册和凭证的供应，该在线签名系统使用装置管理协议作为传输。还普遍需要一种安全在线注册的标准化过程，其适合于供应不同类型的凭证，如用户名/密码凭证、SM类型凭证和基于证书的凭证。还普遍需要一种用于安全在线注册和供应凭证的标准化过程，其适合于在包括开放网络和安全网络的基于任何802.11的网络中使用的。【附图说明】图1说明根据一些实施例的用于进行安全在线注册和凭证的供应的网络元件的工作环境； 图2说明根据一些实施例的在用于安全在线注册和凭证的供应的一些网络元件之间交换的消息； 图3说明根据一些实施例的OMA-DM树；以及 图4说明根据一些实施例的移动装置。【具体实施方式】下文描述和附图充分地说明特定实施例，以使本领域技术人员可以实施它们。其他实施例可能引入结构方面、逻辑方面、电子方面、过程方面和其他方面的更改。一些实施例的部分和特征可能被包含在其他实施例的部分或特征中或替代其他实施例的部分或特征。权利要求中提出的实施例涵盖这些权利要求的所有可用等效物。图1说明根据一些实施例的用于安全在线注册和凭证的供应的网络元件的工作环境。移动装置102可以是使能W1-Fi的装置，其配置成与W1-Fi热点104关联并执行本文描述的用于安全在线注册和供应的各种操作。W1-Fi热点104可以利用连接到至因特网服务提供商的链路的路由器在无线局域网(WLAN)上提供因特网接入。W1-Fi热点104可以是W1-Fi网络的一部分，并且可以耦合到如互联网的网络105，或经由网关耦合到其他多种网络元件，其中尤其包括证书管理机构120、注册服务器106、激活入口 108、证书登记服务器110和登录器(registrar) 122。在一些实施例中，注册服务器106可以是配置成实现OMA-DM协议的OMA-DM服务器。W1-Fi热点104可以作为W1-Fi接入点(AP)来工作。移动装置102可以包括装置管理客户端125以便实现如OMA-DM的装置管理协议，并且执行本文描述的各种操作。在一些实施例中，W1-Fi热点104可以包括嵌入式接入控制器(EAC) 124以便用作W1-Fi热点104的管理实体。EAC 124可以管理W1-Fi网络的若干接入点，并且可以作为WLAN接入网的网关来工作以提供对如因特网的其他网络的接入。EAC 124可以执行本文描述的多种操作以允许移动装置接入W1-Fi网络。根据实施例，移动装置102可以配置成用于对于W1-Fi热点的安全在线注册和供应凭证。在一些实施例中，移动装置102可以配置成用于使用如OMA-DM协议的装置管理协议进行用于W1-Fi热点的安全在线注册和供应。在这些实施例中，移动装置102和注册服务器106可以交换根据OMA-DM协议配置的请求和响应消息。这些消息称为OMA-DM包I消息、OMA-DM包2消息、OMA-DM包3消息和OMA-DM包4消息。OMA-DM协议可以由OMA-DM工作组和数据同步(DS)工作组在OMA-DM规范中指定。在一些实施例中，本文描述的安全在线注册和供应过程使得用户能够以使用OMA-DM协议作为传输的安全方式，与服务提供商建立预订并将凭证和操作员策略下载到客户端装置，如移动装置102上。这可使可能已经在其后端核心网络中实现OMA-DM协议的蜂窝类型的网络服务提供商能使用相同的服务器以及所安装的组件来将该功能性延伸用于服务于W1-Fi网络。以此方式，W1-Fi网络可以与相同的蜂窝网络后端核心一起工作，从而能够以更无缝和透明的方式实现从蜂窝类型网络的W1-Fi负荷卸载。蜂窝类型的网络可以是指任何配置2G (例如，GSM、EDGE)或3G (3GPP、3GPP2)或4G (例如，WiMAX、LTE)的网络。一些实施例提供用于进行安全在线注册和供应凭证的标准化过程，这些凭证包括用户名/密码凭证、基于证书的凭证和SM类型凭证。用于安全在线注册和供应凭证的标准化过程可以在任何基于IEEE 802.11的网络中使用OMA-DM协议，从而使得该过程可应用于开放和安全网络两者。例如，安全W1-Fi网络可以根据鲁棒安全性网络(RSN)协议来实现安全性。此类网络可以视为RSN网络(即，允许创建鲁棒安全性网络关联(RSNA)的安全性网络))。相应地，用户不再需要面对不同类型的Web页面、在不同的位置处输入信息并选择他们的用户名/密码。W1-Fi网络现在可以更容易地使用且更为安全。使用OMA-DM协议使W1-Fi网络操作能够容易地与目前的和将来的蜂窝类型网络集成。在一些实施例中，可以自动地且无需用户介入地执行安全在线注册和凭证的供应。根据实施例，移动装置102可以配置有登录器信息，如登录器122的URL。登录器122可以包含服务提供商条目，这些服务提供商条目可以包括服务提供商的完全合格域名(FQDN)、服务提供商好记的名字和服务提供商的在线注册根信任。登录器122可以提供服务提供商域名与其他数据之间的加密绑定。移动装置102可以使用登录器122来建立移动装置102与在线注册服务器，如注册服务器106之间的信任关系。当移动装置102发起在线注册时，它可以查询登录器122获取在线注册服务器的元数据，并且可以验证在线注册服务提供商的真实性。移动装置102还可以预先下载登录信息，并且本文档来自技高网...

【技术保护点】
一种用于Wi‑Fi 热点 2.0网络的安全在线注册和供应的方法，所述方法包括：与Wi‑Fi热点关联，并经由所述Wi‑Fi热点与注册服务器建立传输层安全性（TLS）会话以接收所述注册服务器的证书；向所述注册服务器发送OMA‑DM（开放移动联盟装置管理）包1消息，所述OMA‑DM包1消息包含装置信息和设为预订创建的通用提示；响应包1消息，从所述注册服务器接收OMA‑DM包2消息，所述OMA‑DM包2消息包含用于由所述移动装置执行的启动浏览器至URL命令；由所述移动装置在接收到所述OMA‑DM包2消息时建立至所述OMA‑DM包2消息中标识的URL的安全超文本传输协议（HTTPS）连接，并通过至所标识的URL的安全HTTP连接发送HTTPS 取得请求，所述URL与激活入口关联；以及通过所建立的安全HTTP连接与所述激活入口交换信息以供应用于建立Wi‑Fi网络接入的预订和创建预订管理对象（MO）的凭证。

【技术特征摘要】
【国外来华专利技术】2011.07.21 US 13/1882051.一种用于W1-Fi热点2.0网络的安全在线注册和供应的方法，所述方法包括:与W1-Fi热点关联，并经由所述W1-Fi热点与注册服务器建立传输层安全性(TLS)会话以接收所述注册服务器的证书；向所述注册服务器发送OMA-DM (开放移动联盟装置管理)包1消息，所述OMA-DM包1消息包含装置信息和设为预订创建的通用提示；响应包1消息，从所述注册服务器接收OMA-DM包2消息，所述OMA-DM包2消息包含用于由所述移动装置执行的启动浏览器至URL命令；由所述移动装置在接收到所述OMA-DM包2消息时建立至所述OMA-DM包2消息中标识的URL的安全超文本传输协议(HTTPS)连接，并通过至所标识的URL的安全HTTP连接发送HTTPS取得请求，所述URL与激活入口关联；以及通过所建立的安全HTTP连接与所述激活入口交换信息以供应用于建立W1-Fi网络接入的预订和创建预订管理对象(MO)的凭证。2.如权利要求1所述的方法，其中当成功地供应所述预订的凭证时，所述方法包括所述移动装置:连同可从中检索预订MO的URL —起，从所述注册服务器接收已成功地供应预订的指示，所述URL作为HTTPS响应消息的一部分被接收；以及向所述注册服务器发送OMA-DM包3消息，所述OMA-DM包3消息包含设为指示所述移动装置是否在向所述服务提供商执行证书登记的通用提示；以及当未在执行证书登记时，从所述 注册服务器接收OMA-DM包4消息，所述OMA-DM包4消息包含ADD命令和位置，其中响应所述ADD命令，所述移动装置配置成将所述预订MO添加到所述移动装置的OMA-DM树上的所述位置。3.如权利要求2所述的方法，其中当正在执行证书登记时:将所述OMA-DM包3消息的通用提示设为证书登记，所述OMA-DM包4消息包含用于移动装置连接到所述证书登记服务器的证书登记的命令至URL，以及所述方法还包括:根据证书登记协议执行用于证书登记的所述命令至URL以向所述证书登记服务器执行证书登记来为所述移动装置供应预订证书以用于向所述服务提供商认证；如果所述证书登记成功，则向所述注册服务器发送OMA-DM包3消息，所述OMA-DM包3包含含有可从中检索所述预订MO的URL的通用提示；以及从所述注册服务器接收OMA-DM包4消息，所述OMA-DM包4消息包含ADD命令和位置，其中响应所述ADD命令，所述移动装置配置成将用于基于证书的凭证的所述预订MO添加到所述移动装置的OMA-DM树上的所述位置。4.如权利要求1所述的方法，其中在与所述注册服务器建立所述TLS会话之后，所述方法还包括验证所述注册服务器的证书已由热点2.0信任根签名，以及其中当所述移动装置验证所述注册服务器的所述证书由热点2.0信任根签名时，所述方法包括发送用于新预订建立的所述OMA-DM包1消息。5.如权利要求1所述的方法，其中所述OMA-DM包1消息包含装置信息管理对象(MO)和装置细节M0，以及其中设为预订创建的通用提示指示所述移动装置期望与服务提供商建立新预订。6.如权利要求5所述的方法，其中所述0MA-DM包2消息指示所述服务提供商要供应的凭证的类型，以及其中所述凭证的类型包括用户名/密码凭证、基于证书的凭证或SM类型凭证的其中之一。7.如权利要求1所述的方法，其中所述HTTPS取得请求配置成从所述激活入口检索URL以用于预订建立，以及其中所述激活入口与服务提供商关联。8.如权利要求2所述的方法，其中验证所述注册服务器的所述证书已由热点2.0根信任签名包括，所述移动装置使用热点2.0信任根的公共密钥来验证所述证书，以及其中当所述移动装置无法验证所述注册服务器的证书已由热点2.0信任根签名时，所述移动装置配置成中止所述在线注册和供应过程，并释放/结束所建立的TLS会话。9.如权利要求2所述的方法，其中所述移动装置根据RFC2560的过程与所述注册服务器建立所述TLS会话，并且使用HTTPS执行服务器侧认证。10.如权利要求2所述的方法，其中由所述注册服务器响应接收所述0MA-DM包1消息来生成包含所述启动浏览器至URL命令的所述0MA-DM包2消息。11.如权利要求2所述的方法，其中与所述激活入口交换信息以供应用于W1-Fi网络接入的预订包括，提供有关所述用户的信息、选择适合的预订计划、在需要时提供支付信息以及建立策略和其他适合的参数。12...

【专利技术属性】
技术研发人员：V古普塔，N肯波拉，
申请(专利权)人：英特尔公司，
类型：发明
国别省市：美国;US