相關(guān)申請的交叉引用
本申請要求享有于2010年12月30日提交的美國臨時專利申請No.61/428,663的權(quán)益,其全部內(nèi)容通過引用結(jié)合于此。
背景技術(shù):
用戶通常能夠在漫游于網(wǎng)絡(luò)之間時連續(xù)的使用服務(wù)。當用戶從被當前網(wǎng)絡(luò)服務(wù)的位置移動到被目標網(wǎng)絡(luò)服務(wù)的位置時,可執(zhí)行切換,例如在接入層執(zhí)行。當執(zhí)行切換時,用戶可能需要被認證到正在服務(wù)用戶將要移動進入的位置的目標網(wǎng)絡(luò)。在接入層的認證可在每次切換中發(fā)生,并且用戶裝置可使用預(yù)先提供的證書來在接入層接入目標網(wǎng)絡(luò)。
用戶的通信裝置可使用分層通信機制來進行通信。在許多情況中,不同的通信層每個都要求它們自己的安全性。切換可發(fā)生于分層網(wǎng)絡(luò)中的一個節(jié)點與另一個節(jié)點之間。雖然存在用來實現(xiàn)這類切換的技術(shù),但是通信可要求當前所使用的安全性關(guān)聯(lián)或機制能夠有所突破。
根據(jù)一個示例,接入層切換可當在接入層發(fā)生到另一網(wǎng)絡(luò)的切換時通過使用附加安全性建立來引起當前使用的安全性機制中的突破。例如,附加安全性建立可在每次在接入層發(fā)生切換時包括另一個認證和/或安全性密鑰協(xié)定的會話。隨著接入層切換變得更加頻繁,在每次發(fā)生接入層切換時建立附加安全性會話可引入延遲和/或不必要的空中通信和/或?qū)W(wǎng)絡(luò)認證基礎(chǔ)結(jié)構(gòu)的負擔。這使得實現(xiàn)無縫切換變得困難起來。
技術(shù)實現(xiàn)要素:
本發(fā)明內(nèi)容被提供來以簡化的形式引入多個概念,這些概念在下面的具體實施方式中將被進一步描述。
這里描述了用于在移動裝置處生成認證證書的系統(tǒng)、方法和設(shè)備實施方式,其中所述認證證書用于對移動裝置進行認證以接入網(wǎng)絡(luò)服務(wù)器處的服務(wù)。認證的持續(xù)性和一層處的相關(guān)聯(lián)的證書可被用來建立另一層處的證書。如此處所述,可建立持續(xù)通信層證書,其與網(wǎng)絡(luò)服務(wù)器共享。例如,持續(xù)通信層證書可以是在應(yīng)用層生成的應(yīng)用層證書或幸免于(survive)從一個網(wǎng)絡(luò)到另一個網(wǎng)絡(luò)的切換的在持續(xù)通信層處生成的其它證書??山?jīng)由第一網(wǎng)絡(luò)上的持續(xù)通信層建立持續(xù)通信層證書。該持續(xù)通信層證書可被配置為對移動裝置進行認證以使用第一網(wǎng)絡(luò)從網(wǎng)絡(luò)服務(wù)器接收服務(wù)。可發(fā)現(xiàn)第二網(wǎng)絡(luò)上的網(wǎng)絡(luò)通信實體,并且可基于持續(xù)通信層證書生成認證證書。認證證書可被用于經(jīng)由不同于所述持續(xù)通信層的通信層與第二網(wǎng)絡(luò)進行認證,以使得移動裝置能夠使用第二網(wǎng)絡(luò)從網(wǎng)絡(luò)服務(wù)器接收服務(wù)。
根據(jù)另一示例實施方式,可在應(yīng)用服務(wù)器處獲得認證證書,該認證證書用于在位于通信網(wǎng)絡(luò)上的應(yīng)用服務(wù)器處認證移動裝置。例如,可獲得從應(yīng)用層證書導(dǎo)出的認證證書。可經(jīng)由與應(yīng)用服務(wù)器相關(guān)聯(lián)的應(yīng)用層獲得所述認證證書。認證證書可被配置為認證移動通信裝置,以用于接入來自應(yīng)用服務(wù)器的服務(wù)。可將認證證書從應(yīng)用層發(fā)送到另一通信層,以用于在其它通信層上認證移動裝置。
根據(jù)示例實施方式,其它通信層可以是接入層。接入層可以是物理、數(shù)據(jù)鏈路、和/或網(wǎng)絡(luò)層。當其它通信層是接入層時,認證證書可以是用于在接入層處的認證的接入層證書。
本發(fā)明內(nèi)容被提供來以簡化的形式引入概念的選擇,這些概念在下面的具體實施方式中將被進一步描述。本發(fā)明內(nèi)容并不意在標識所要求的主題的關(guān)鍵特征或必要特征,也不是為了限制所要求的主題的范圍。此外,所要求的主題并不限制于解決本公開中任何部分提及的任何或全部缺點。
附圖說明
更詳細的理解可以從下述結(jié)合附圖給出的示例的描述中得到,其中:
圖1A是可在其中實施一個或多個公開的實施方式的示例通信系統(tǒng)的系統(tǒng)圖;
圖1B是可在圖1A中示出的通信系統(tǒng)內(nèi)使用的示例無線發(fā)射/接收單元(WTRU)的系統(tǒng)圖;
圖1C是可在圖1A中示出的通信系統(tǒng)內(nèi)使用的示例無線電接入網(wǎng)和示例核心網(wǎng)的系統(tǒng)圖;
圖2是示出了針對應(yīng)用層會話的切換場景的流程圖;
圖3是示出了針對應(yīng)用層會話的另一切換場景的流程圖;
圖4是示出了使用本地OpenID的協(xié)議實現(xiàn)的流程圖;
圖5是示出了使用本地OpenID和許可(grant)接入/授權(quán)的協(xié)議實現(xiàn)的流程圖;
圖6是示出了通用接入方法(UAM)-OpenID集成的流程圖,其中認證、授權(quán)和計費(AAA)服務(wù)器充當依賴方(RP);
圖7是示出了UAM-OpenID集成的流程圖,其中無線局域網(wǎng)(WLAN)網(wǎng)關(guān)(GW)充當RP;
圖8是示出了可擴展認證協(xié)議(EAP)-OpenID集成的流程圖,其中AAA服務(wù)器充當RP;
圖9是示出了EAP-OpenID集成的另一流程圖,其中AAA服務(wù)器充當RP;
圖10是示出了EAP-OpenID集成和本地OpenID提供商(本地OP)的實施的流程圖,其中AAA服務(wù)器充當RP;
圖11是示出了EAP-OpenID集成的另一流程圖,其中AAA服務(wù)器充當RP;
圖12是示出了將AAA服務(wù)器實施為OP服務(wù)器的認證協(xié)議的流程圖;
圖13是示出了將OpenID消息集成到EAP協(xié)議消息中的流程圖;
圖14是示出了針對使用OpenID連接的服務(wù)的用戶設(shè)備(UE)認證的流程圖;以及
圖15是示出了針對使用OpenID連接和本地OP的服務(wù)的UE的認證的流程圖。
具體實施方式
這里描述了針對使用聯(lián)合標識和單點登錄(SSO)的各種實施(例如OpenID協(xié)議),以使能無縫用戶/裝置認證并確保異質(zhì)網(wǎng)絡(luò)之間的安全移動性。這里描述的實施方式可利用一個網(wǎng)絡(luò)上的證書來在另一個網(wǎng)絡(luò)上執(zhí)行認證。在一種示例實施方式中,在一個網(wǎng)絡(luò)上的持續(xù)通信層處生成的持續(xù)通信層證書可被用來執(zhí)行反向自舉(bootstrap)以及以按需和無縫的方式在另一網(wǎng)絡(luò)上完成安全層認證和/或安全隧道設(shè)置。根據(jù)示例實施方式,持續(xù)通信層證書可以是在應(yīng)用層處生成的應(yīng)用層證書或幸免于從一個網(wǎng)絡(luò)到另一個網(wǎng)絡(luò)的切換的在通信層處生成的另一證書。雖然這里的實施方式描述了在切換場景中使用應(yīng)用層證書來在另一層(例如非持續(xù)通信層)處執(zhí)行認證,可以理解的是,可使用任何其它幸免于網(wǎng)絡(luò)間的切換的在持續(xù)通信層處建立的證書。
根據(jù)實施方式,描述了用于生成接入層認證證書以用于在切換(例如接入層切換)期間對移動裝置進行認證的系統(tǒng)和方法??缮烧J證證書,從而被移動裝置接入的服務(wù)在切換期間無縫地繼續(xù)進行,而不被打斷。如此處所述,可在接入層處與第一網(wǎng)絡(luò)實體建立安全通信。還可基于與第一網(wǎng)絡(luò)實體的安全通信與應(yīng)用服務(wù)器建立安全應(yīng)用層通信??墒褂冒踩ㄐ沤邮辗?wù)??砂l(fā)現(xiàn)第二網(wǎng)絡(luò)實體。可針對與第二網(wǎng)絡(luò)實體的認證生成認證證書(例如接入層證書)??墒褂门c應(yīng)用層通信相關(guān)聯(lián)的應(yīng)用層信息生成認證證書。當服務(wù)在切換期間無縫地不被打斷時,可生成認證證書。
根據(jù)示例實施方式,可使用例如單點登錄(SSO)協(xié)議在從一個網(wǎng)絡(luò)到另一個網(wǎng)絡(luò)的切換期間執(zhí)行認證,以使得無線通信裝置能夠接入來自應(yīng)用服務(wù)器的服務(wù)。例如,切換可以從蜂窩通信網(wǎng)絡(luò)(例如3GPP網(wǎng)絡(luò))到無線局域網(wǎng)(WLAN)(例如基于瀏覽器的WLAN或基于802.1x/EAP的WLAN)。SSO協(xié)議可以基于通用自舉架構(gòu)(GBA)。SSO協(xié)議還可實施OpenID。SSO協(xié)議可被用來實施密鑰導(dǎo)出功能,例如反向自舉,以用于生成用于在應(yīng)用服務(wù)器處認證用戶和/或裝置的認證證書。應(yīng)用服務(wù)器可包括認證、授權(quán)和計費(AAA)服務(wù)器,其充當OpenID提供商(OP)或依賴方(RP)。根據(jù)另一實施方式,應(yīng)用服務(wù)器可包括無線局域網(wǎng)(WLAN)網(wǎng)關(guān)或WLAN接入點(AP),其充當RP。WLAN AP可允許在UE與另一SSO實體之間進行SSO交換。
這里提供了對所使用的術(shù)語的描述。本地標識提供商(本地Idp)是針對客戶端局域化實體和這一實體的功能的術(shù)語,該實體使得在本地(即在裝置上或在裝置附近)為用戶/裝置進行標識斷定(assertion)。RP是OpenID協(xié)議中的依賴方或嘗試驗證用戶/裝置的標識且與標識提供商具有信任關(guān)系的其他應(yīng)用服務(wù)提供商。OP是OpenID協(xié)議中的OpenID提供商或可代表應(yīng)用服務(wù)提供商認證用戶和/或裝置的標識提供商。GW是網(wǎng)關(guān),例如控制連接的實體之間的因特網(wǎng)業(yè)務(wù)的實體。BA是瀏覽代理。U是通用移動用戶。UE是通用移動用戶的移動裝置。
本地移動SSO是用來共同指示方法的術(shù)語,由此單點登錄(SSO)和/或傳統(tǒng)上由基于網(wǎng)頁的SSO服務(wù)器執(zhí)行的相關(guān)標識管理功能的部分或全部可在所述裝置上本地執(zhí)行。本地移動SSO可由基于本地的實體和/或模塊執(zhí)行,其可以是通信裝置自身的部分或全部?;诒镜氐膶嶓w/模塊可以物理地和/或邏輯地位于(即本地位于)通信裝置和/或其用戶的附近(例如這種實體/模塊被嵌入到裝置中,或由本地接口或有線或近距離無線裝置附著或連接到所述裝置)。
本地OpenID是用來指示本地移動SSO的子集的術(shù)語,由此SSO或標識管理可以基于OpenID協(xié)議。OpenID標識提供商(OP或OpenID IdP)的部分或全部功能可由位于本地的實體/模塊來執(zhí)行。
本地OP是用來指示執(zhí)行OpenID服務(wù)器的部分或全部功能的實體或模塊的術(shù)語。本地OP可以是使用OpenID協(xié)議實施的本地IdP。雖然術(shù)語本地OP被實現(xiàn)于這里所描述的實施方式,但是應(yīng)該理解的是,本地IdP可被用于不實施OpenID協(xié)議的類似實施方式中。OPloc也可用來表示本地OP。本地OP的功能之一可以是通過關(guān)于用戶和/或裝置的標識的斷定來促進用戶和/或無線通信裝置的認證。這一斷定可被從本地OP發(fā)送到裝置(例如在裝置的瀏覽器代理處),該裝置可將該斷定轉(zhuǎn)發(fā)到外部依賴方(RP)。當本地OP所提供的功能主要限于提供這種標識斷定時,執(zhí)行這種功能的本地實體可被稱作本地斷定提供商(LAP)。
本地OP可處理(例如創(chuàng)建、管理和/或發(fā)送)一個或多個斷定消息。本地OP可使用這些消息來斷定與用戶和/或裝置有關(guān)的一個或多個標識的驗證狀態(tài)。該斷定可針對這類消息的一個或多個外部接收方來被做出。第三方實體(例如依賴方(RP))可以是這類斷定消息的接收方之一。本地OP可對這類斷定消息進行簽名,例如通過使用加密密鑰來進行。
本地OpenID方法可使用一個或多個加密密鑰。一個這種密鑰(可被稱為根會話密鑰并可被表示為Krp)可以是意圖在RP與OP之間使用的以充當根會話密鑰的會話密鑰,其它密鑰可從該根會話密鑰中導(dǎo)出。另一個這種密鑰(可被稱為斷定密鑰并可被表示為Kasc)可以是簽名密鑰,其可被用來對用于用戶認證的斷定消息中的一者或多者進行簽名。Kasc可從Krp導(dǎo)出。
本地OpenID還可使用被稱為OpenID服務(wù)器功能(OPSF)的服務(wù)來實施,其作用可以是生成、共享、和/或分發(fā)將被本地OP以及可選地被依賴方(RP)使用的秘密(secret)。OPSF和本地OP可被外部RP視為單一實體。OPSF能夠驗證由本地OP發(fā)布的簽名,并且對于RP來講是可經(jīng)由公共因特網(wǎng)或其它有線或無線通信而直接到達的。裝置(例如經(jīng)由其瀏覽器)可被重定向到本地OP,例如通過修改本地DNS(其解析(resolve)裝置上的緩存)來實現(xiàn),從而OPSF的地址可映射到本地OP。本地OpenID還可使用由OP-agg表示的服務(wù),其作用可以是促進對代表RP的本地OP的發(fā)現(xiàn)。
上述術(shù)語和描述可在這里描述的實施方式中被參考。雖然這里的實施方式可以使用OpenID術(shù)語和/或OpenID協(xié)議的一部分來進行描述,但應(yīng)該理解的是,這些實施方式不限于對OpenID協(xié)議或OpenID實體的使用。
根據(jù)示例實施方式,如此處進一步描述的,移動通信裝置(例如智能手機)可使用分層通信來進行通信。移動通信裝置可在接入層處例如與接入層網(wǎng)絡(luò)建立通信。移動通信裝置還可在應(yīng)用層或接入層處例如分別與應(yīng)用服務(wù)提供商和/或這種提供商的應(yīng)用層網(wǎng)絡(luò)或接入網(wǎng)絡(luò)建立通信。在每一層,每個通信可具有其各自的安全性。這一層特定安全性可在每一層實施認證和/或安全性密鑰協(xié)定。在較高層(例如應(yīng)用層)的認證和/或安全性密鑰協(xié)定可利用安全性密鑰和/或其它安全性相關(guān)信息(例如在較低層的安全性關(guān)聯(lián)上下文)來導(dǎo)出密鑰或應(yīng)用層的其它安全性相關(guān)參數(shù)。這種技術(shù)可被稱為自舉技術(shù)。
根據(jù)示例實施方式,當移動裝置將其接入層通信從一個接入網(wǎng)切換到另一個接入網(wǎng)時,這一處理可被稱為接入層切換。接入層切換可由于通信裝置的移動而發(fā)生。接入層切換可發(fā)生于接入層網(wǎng)絡(luò)中的接入層節(jié)點(例如基站)與另一這種節(jié)點(例如另一基站)之間。這兩個接入層節(jié)點可位于相同網(wǎng)絡(luò)中、在一個接入層網(wǎng)絡(luò)與另一個接入層網(wǎng)絡(luò)之間、或在不同的接入層網(wǎng)絡(luò)中。期望接入層切換對于移動通信裝置的用戶是透明的。還期望接入層切換是不被打斷的,從而執(zhí)行連續(xù)、平滑的應(yīng)用層通信操作。
應(yīng)用層安全性證書可被用來幫助建立接入層安全性,例如在接入層情況期間。根據(jù)示例實施方式,委派(delegated)認證(其可實施OpenID)可在應(yīng)用層處被執(zhí)行,以在切換期間在后續(xù)網(wǎng)絡(luò)的接入時輔助發(fā)現(xiàn)和/或附著。
根據(jù)實施方式,可使用自舉。接入層安全性密鑰可從在現(xiàn)有的應(yīng)用層通信處可用的安全性材料中導(dǎo)出。例如,接入層安全性密鑰可從使用委托形式的認證(例如GBA或OpenID)建立的安全性材料中導(dǎo)出。
根據(jù)另一實施方式,可使用反向自舉。接入層安全性密鑰可從在現(xiàn)有的應(yīng)用層通信處可用的安全性材料中導(dǎo)出。例如,接入層安全性密鑰可從使用委托形式的認證(例如OpenID)建立的安全性材料中導(dǎo)出。
本地斷定提供商還可在執(zhí)行如此所述的認證時被使用。例如,本地OP可被用作在應(yīng)用層使用的OpenID協(xié)議的一部分。本地OP可在接入層層切換期間促進無縫認證和/或密鑰協(xié)定。接入層認證和/或密鑰協(xié)定以及接入層授權(quán)可在無縫切換期間被使能。
圖1A-1C示出了可在這里描述的實施方式中實施的網(wǎng)絡(luò)通信系統(tǒng)和/或裝置的示例。圖1A為可以在其中實施一個或多個所公開的實施方式的示例通信系統(tǒng)100的示意圖。該通信系統(tǒng)100可以是將諸如語音、數(shù)據(jù)、視頻、消息發(fā)送、廣播等之類的內(nèi)容提供給多個無線用戶的多接入系統(tǒng)。該通信系統(tǒng)100可以通過系統(tǒng)資源(包括無線帶寬)的共享使得多個無線用戶能夠訪問這些內(nèi)容。例如,該通信系統(tǒng)100可以使用一種或多種信道接入方法,例如碼分多址(CDMA)、時分多址(TDMA)、頻分多址(FDMA)、正交FDMA(OFDMA)、單載波FDMA(SC-FDMA)等等。
如圖1A所示,通信系統(tǒng)100可以包括無線發(fā)射/接收單元(WTRU)102a、102b、102c、102d、無線電接入網(wǎng)(RAN)104、核心網(wǎng)106、公共交換電話網(wǎng)(PSTN)108、因特網(wǎng)110和其他網(wǎng)絡(luò)112,但可以理解的是所公開的實施方式涵蓋了任意數(shù)量的WTRU、基站、網(wǎng)絡(luò)和/或網(wǎng)絡(luò)元件。WTRU 102a、102b、102c、102d中的每一個可以是被配置成在無線環(huán)境中運行和/或通信的任何類型的裝置。作為示例,WTRU 102a、102b、102c、102d可以被配置成傳送和/或接收無線信號,并且可以包括用戶設(shè)備(UE)、移動站、固定或移動訂戶單元、平板電腦、尋呼機、蜂窩電話、個人數(shù)字助理(PDA)、智能電話、膝上型計算機、上網(wǎng)本、個人計算機、無線傳感器、消費電子產(chǎn)品等等。
通信系統(tǒng)100還可以包括基站114a和基站114b?;?14a、114b中的每一個可以是被配置成與WTRU 102a、102b、102c、102d中的至少一者無線對接,以便于接入一個或多個通信網(wǎng)絡(luò)(例如,核心網(wǎng)106、因特網(wǎng)110和/或網(wǎng)絡(luò)112)的任何類型的裝置。例如,基站114a、114b可以是基站收發(fā)信站(BTS)、節(jié)點B、e節(jié)點B、家用節(jié)點B、家用e節(jié)點B、站點控制器、接入點(AP)、無線路由器等。盡管基站114a、114b每個均被描述為單個元件,但是可以理解的是基站114a、114b可以包括任何數(shù)量的互聯(lián)基站和/或網(wǎng)絡(luò)元件。
基站114a可以是RAN 104的一部分,該RAN 104還可以包括諸如基站控制器(BSC)、無線電網(wǎng)絡(luò)控制器(RNC)、中繼節(jié)點等之類的其他基站和/或網(wǎng)絡(luò)元件(未示出)。基站114a和/或基站114b可以被配置成傳送和/或接收特定地理區(qū)域內(nèi)的無線信號,該特定地理區(qū)域可以被稱作小區(qū)(未示出)。小區(qū)還可以被劃分成小區(qū)扇區(qū)。例如與基站114a相關(guān)聯(lián)的小區(qū)可以被劃分成三個扇區(qū)。由此,在一種實施方式中,基站114a可以包括三個收發(fā)信機,即針對所述小區(qū)的每個扇區(qū)都有一個收發(fā)信機。在另一實施方式中,基站114a可以使用多輸入多輸出(MIMO)技術(shù),并且由此可以針對小區(qū)的每個扇區(qū)使用多個收發(fā)信機。
基站114a、114b可以通過空中接口116與WTRU 102a、102b、102c、102d中的一者或多者通信,該空中接口116可以是任何合適的無線通信鏈路(例如,射頻(RF)、微波、紅外(IR)、紫外(UV)、可見光等)。空中接口116可以使用任何合適的無線電接入技術(shù)(RAT)來建立。
更具體地,如前所述,通信系統(tǒng)100可以是多接入系統(tǒng),并且可以使用一種或多種信道接入方案,例如CDMA、TDMA、FDMA、OFDMA、SC-FDMA等。例如,在RAN 104中的基站114a和WTRU 102a、102b、102c可以實施諸如通用移動電信系統(tǒng)(UMTS)陸地無線電接入(UTRA)之類的無線電技術(shù),其可以使用寬帶CDMA(WCDMA)來建立空中接口116。WCDMA可以包括諸如高速分組接入(HSPA)和/或演進型HSPA(HSPA+)的通信協(xié)議。HSPA可以包括高速下行鏈路分組接入(HSDPA)和/或高速上行鏈路分組接入(HSUPA)。
在一種實施方式中,基站114a和WTRU 102a、102b、102c可以實施諸如演進型UMTS陸地無線電接入(E-UTRA)之類的無線電技術(shù),其可以使用長期演進(LTE)和/或高級LTE(LTE-A)來建立空中接口116。
在其他實施方式中,基站114a和WTRU 102a、102b、102c可以實施諸如IEEE 802.16(即,全球微波互聯(lián)接入(WiMAX))、CDMA2000、CDMA20001X、CDMA2000EV-DO、臨時標準2000(IS-2000)、臨時標準95(IS-95)、臨時標準856(IS-856)、全球移動通信系統(tǒng)(GSM)、用于GSM演進的增強型數(shù)據(jù)速率(EDGE)、GSM EDGE(GERAN)等之類的無線電技術(shù)。
圖1A中的基站114b可以是例如無線路由器、家用節(jié)點B、家用e節(jié)點B、毫微微小區(qū)基站或者接入點,并且可以使用任何合適的RAT,以用于促進在諸如商業(yè)場所、家庭、車輛、校園等之類的局部區(qū)域中的無線連接。在一種實施方式中,基站114b和WTRU 102c、102d可以實施諸如IEEE 802.11之類的無線電技術(shù)以建立無線局域網(wǎng)(WLAN)。在另一實施方式中,基站114b和WTRU 102c、102d可以實施諸如IEEE 802.15之類的無線電技術(shù)以建立無線個域網(wǎng)(WPAN)。在一個實施方式中,基站114b和WTRU 102c、102d可以使用基于蜂窩的RAT(例如,WCDMA、CDMA2000、GSM、LTE、LTE-A等)以建立微微小區(qū)和毫微微小區(qū)。如圖1A所示,基站114b可以具有至因特網(wǎng)110的直接連接。由此,基站114b不必經(jīng)由核心網(wǎng)106來接入因特網(wǎng)110。
RAN 104可以與核心網(wǎng)106通信,該核心網(wǎng)106可以是被配置成將語音、數(shù)據(jù)、應(yīng)用和/或網(wǎng)際協(xié)議上的語音(VoIP)服務(wù)提供到WTRU 102a、102b、102c、102d中的一者或多者的任何類型的網(wǎng)絡(luò)。例如,核心網(wǎng)106可以提供呼叫控制、賬單服務(wù)、基于移動位置的服務(wù)、預(yù)付費呼叫、因特網(wǎng)連接、視頻分發(fā)等,和/或執(zhí)行高級安全性功能,例如用戶認證。盡管圖1A中未示出,需要理解的是RAN 104和/或核心網(wǎng)106可以直接或間接地與其他RAN進行通信,這些其他RAN使用與RAN 104相同的RAT或者不同的RAT。例如,除了連接到可以采用E-UTRA無線電技術(shù)的RAN 104之外,核心網(wǎng)106也可以與使用GSM無線電技術(shù)的其他RAN(未顯示)通信。
核心網(wǎng)106也可以用作WTRU 102a、102b、102c、102d接入PSTN 108、因特網(wǎng)110和/或其他網(wǎng)絡(luò)112的網(wǎng)關(guān)。PSTN 108可以包括提供普通老式電話服務(wù)(POTS)的電路交換電話網(wǎng)絡(luò)。因特網(wǎng)110可以包括使用公共通信協(xié)議的全球互聯(lián)計算機網(wǎng)絡(luò)和設(shè)備系統(tǒng),所述公共通信協(xié)議例如是傳輸控制協(xié)議(TCP)/網(wǎng)際協(xié)議(IP)因特網(wǎng)協(xié)議套件中的傳輸控制協(xié)議(TCP)、用戶數(shù)據(jù)報協(xié)議(UDP)和網(wǎng)際協(xié)議(IP)。所述網(wǎng)絡(luò)112可以包括由其他服務(wù)提供方擁有和/或運營的有線或無線通信網(wǎng)絡(luò)。例如,網(wǎng)絡(luò)112可以包括連接到一個或多個RAN的另一核心網(wǎng),這些RAN可以使用與RAN 104相同的RAT或者不同的RAT。
通信系統(tǒng)100中的WTRU 102a、102b、102c、102d中的一些或者全部可以包括多模式能力,即WTRU 102a、102b、102c、102d可以包括用于通過不同的通信鏈路與不同的無線網(wǎng)絡(luò)進行通信的多個收發(fā)信機。例如,圖1A中顯示的WTRU 102c可以被配置成與可使用基于蜂窩的無線電技術(shù)的基站114a進行通信,并且與可使用IEEE 802無線電技術(shù)的基站114b進行通信。
圖1B是示例WTRU 102的系統(tǒng)圖。如圖1B所示,WTRU 102可以包括處理器118、收發(fā)信機120、發(fā)射/接收元件122、揚聲器/麥克風124、鍵盤126、顯示屏/觸摸板128、不可移動存儲器130、可移動存儲器132、電源134、全球定位系統(tǒng)(GPS)芯片組136和其他外圍設(shè)備138。需要理解的是,在與實施方式一致的同時,WTRU 102可以包括上述元件的任何子組合。
處理器118可以是通用處理器、專用處理器、常規(guī)處理器、數(shù)字信號處理器(DSP)、多個微處理器、與DSP核心相關(guān)聯(lián)的一個或多個微處理器、控制器、微控制器、專用集成電路(ASIC)、現(xiàn)場可編程門陣列(FPGA)電路、任何其它類型的集成電路(IC)、狀態(tài)機等。處理器118可以執(zhí)行信號編碼、數(shù)據(jù)處理、功率控制、輸入/輸出處理和/或使得WTRU 102能夠在無線環(huán)境中運行的其他任何功能。處理器118可以耦合到收發(fā)信機120,該收發(fā)信機120可以耦合到發(fā)射/接收元件122。盡管圖1B中將處理器118和收發(fā)信機120描述為獨立的組件,但是可以理解的是處理器118和收發(fā)信機120可以被一起集成到電子封裝或者芯片中。處理器118可執(zhí)行應(yīng)用層程序(例如瀏覽器)和/或無線電接入層(RAN)程序和/或通信。處理器118可執(zhí)行安全性操作(例如認證)、安全性密鑰協(xié)定、和/或加密操作(例如在接入層和/或應(yīng)用層)。
發(fā)射/接收元件122可以被配置成通過空中接口116將信號傳送到基站(例如,基站114a),或者從基站(例如,基站114a)接收信號。例如,在一種實施方式中,發(fā)射/接收元件122可以是被配置成傳送和/或接收RF信號的天線。在一個實施方式中,發(fā)射/接收元件122可以是被配置成傳送和/或接收例如IR、UV或者可見光信號的發(fā)射器/檢測器。在一個實施方式中,發(fā)射/接收元件122可以被配置成傳送和接收RF信號和光信號兩者。需要理解的是發(fā)射/接收元件122可以被配置成傳送和/或接收無線信號的任意組合。
此外,盡管發(fā)射/接收元件122在圖1B中被描述為單個元件,但是WTRU 102可以包括任何數(shù)量的發(fā)射/接收元件122。更特別地,WTRU 102可以使用MIMO技術(shù)。由此,在一種實施方式中,WTRU 102可以包括兩個或更多個發(fā)射/接收元件122(例如,多個天線)以用于通過空中接口116傳送和/或接收無線信號。
收發(fā)信機120可以被配置成對將由發(fā)射/接收元件122傳送的信號進行調(diào)制,并且被配置成對由發(fā)射/接收元件122接收的信號進行解調(diào)。如上所述,WTRU 102可以具有多模式能力。由此,收發(fā)信機120可以包括多個收發(fā)信機以用于使得WTRU 102能夠經(jīng)由多個RAT進行通信,例如UTRA和IEEE 802.11。
WTRU 102的處理器118可以被耦合到揚聲器/麥克風124、鍵盤126和/或顯示屏/觸摸板128(例如,液晶顯示器(LCD)顯示單元或者有機發(fā)光二極管(OLED)顯示單元),并且可以從上述裝置接收用戶輸入數(shù)據(jù)。處理器118還可以向揚聲器/麥克風124、鍵盤126和/或顯示屏/觸摸板128輸出用戶數(shù)據(jù)。此外,處理器118可以訪問來自任何類型的合適的存儲器中的信息,以及向任何類型的合適的存儲器中存儲數(shù)據(jù),所述存儲器例如可以是不可移動存儲器130和/或可移動存儲器132。不可移動存儲器130可以包括隨機存取存儲器(RAM)、只讀存儲器(ROM)、硬盤和/或任何其他類型的存儲器存儲裝置??梢苿哟鎯ζ?32可以包括訂戶標識模塊(SIM)卡、記憶棒、安全數(shù)字(SD)存儲卡等。在其他實施方式中,處理器118可以訪問來自物理上未位于WTRU 102上(例如位于服務(wù)器或者家用計算機(未示出)上)的存儲器的信息,以及向上述存儲器存儲數(shù)據(jù)。
處理器118可以從電源134接收電力,并且可以被配置成分發(fā)和/或控制到WTRU 102中的其他組件的電力。電源134可以是任何適用于給WTRU 102供電的裝置。例如,電源134可以包括一個或多個干電池(例如鎳鎘(NiCd)、鎳鋅(NiZn)、鎳氫(NiMH)、鋰離子(Li-ion)等)、太陽能電池、燃料電池等。
處理器118還可以耦合到GPS芯片組136,該GPS芯片組136可以被配置成提供關(guān)于WTRU 102的當前位置的位置信息(例如,經(jīng)度和緯度)。作為來自GPS芯片組136的信息的補充或者替代,WTRU 102可以通過空中接口116從基站(例如,基站114a、114b)接收位置信息,和/或基于從兩個或更多個相鄰基站接收到的信號的定時(timing)來確定其位置。需要理解的是,在與實施方式一致的同時,WTRU 102可以通過任何合適的位置確定方法來獲取位置信息。
處理器118還可以耦合到其他外圍設(shè)備138,該外圍設(shè)備138可以包括提供附加特征、功能和/或有線或無線連接的一個或多個軟件和/或硬件模塊。例如,外圍設(shè)備138可以包括加速度計、電子指南針(e-compass)、衛(wèi)星收發(fā)信機、數(shù)字相機(用于照片或者視頻)、通用串行總線(USB)端口、震動裝置、電視收發(fā)信機、免持耳機、藍牙模塊、調(diào)頻(FM)無線電單元、數(shù)字音樂播放器、媒體播放器、視頻游戲機模塊、因特網(wǎng)瀏覽器等等。
圖1C為根據(jù)實施方式的RAN 104及核心網(wǎng)106的系統(tǒng)圖。如上所述,RAN 104可使用UTRA無線電技術(shù)通過空中接口116與WTRU 102a、102b、102c通信。RAN 104還可以與核心網(wǎng)106進行通信。如圖1C所示,RAN 104可包括節(jié)點B 140a、140b、140c,節(jié)點B 140a、140b、140c每一者均可包括一個或多個用于通過空中接口116與WTRU 102a、102b、102c通信的收發(fā)信機。節(jié)點B 140a、140b、140c中的每一者均可與RAN 104中的特定小區(qū)(未示出)相關(guān)聯(lián)。RAN 104還可以包括RNC 142a、142b。應(yīng)當理解在保持與實施方式一致的同時,RAN 104可以包括任意數(shù)量的節(jié)點B和RNC。
如圖1C所示,節(jié)點B 140a、140b可以與RNC 142a通信。此外,節(jié)點B 140c可以與RNC 142b通信。節(jié)點B 140a、140b、140c可以經(jīng)由Iub接口與各自的RNC 142a、142b通信。RNC 142a、142b可以經(jīng)由Iur接口彼此通信。RNC 142a、142b的每一個可以被配置成控制其連接的各自的節(jié)點B 140a、140b、140c。此外,RNC 142a、142b的每一個可以被配制成執(zhí)行和/或支持其他功能,例如外環(huán)功率控制、負載控制、準許控制、分組調(diào)度、切換控制、宏分集、安全功能、數(shù)據(jù)加密等。
圖1C中示出的核心網(wǎng)106可以包括媒體網(wǎng)關(guān)(MGW)144、移動交換中心(MSC)146、服務(wù)GPRS支持節(jié)點(SGSN)148和/或網(wǎng)關(guān)GPRS支持節(jié)點(GGSN)150。盡管前述每一個元件被描述為核心網(wǎng)106的一部分,但可以理解的是這些元件的任何一個可以由除核心網(wǎng)運營商之外的實體所擁有和/或操作。
RAN 104中的RNC 142a可以經(jīng)由IuCS接口連接到核心網(wǎng)106中的MSC 146。MSC 146可以連接到MGW 144。MSC 146和MGW 144可以向WTRU 102a、102b、102c提供對例如PSTN 108的電路交換網(wǎng)絡(luò)的接入,以促進WTRU 102a、102b、102c與傳統(tǒng)路線通信裝置之間的通信。
RAN 104中的RNC 142a還可以經(jīng)由IuPS接口連接到核心網(wǎng)106中的SGSN 148。SGSN 148可以連接到GGSN 150。SGSN 148和GGSN 150可以向WTRU 102a、102b、102c提供對例如因特網(wǎng)110的分組交換網(wǎng)絡(luò)的接入,以促進WTRU 102a、102b、102c與IP使能裝置之間的通信。
如上所述,核心網(wǎng)106還可以連接到網(wǎng)絡(luò)112,網(wǎng)絡(luò)112可以包括其他服務(wù)提供方擁有和/或運營的其他有線或無線網(wǎng)絡(luò)。
以上描述的通信系統(tǒng)和/或裝置可用在如這里所述的經(jīng)認證的切換場景中。經(jīng)認證的切換可使得用戶在用戶在接入網(wǎng)之間和/或相同或不同的接入網(wǎng)中的接入點之間改變的同時能夠連續(xù)使用服務(wù)和/或應(yīng)用。可在例如接入層和/或應(yīng)用層執(zhí)行切換決定。這可以意味著在每次切換中可發(fā)生在每一層上的認證,和/或可以向用戶裝置預(yù)先提供用于目標網(wǎng)絡(luò)/接入點的證書。這可能需要集中式基礎(chǔ)結(jié)構(gòu)和/或證書預(yù)先提供。獨立委派認證實體可被用來在當漫游于多個形式的網(wǎng)絡(luò)之間時促進無縫認證的過程中避免與移動網(wǎng)絡(luò)運營商(MNO)建立多服務(wù)等級協(xié)定(SLA)或與MNO認證基礎(chǔ)結(jié)構(gòu)建立緊密耦合。聯(lián)合標識管理方案(例如OpenID)和/或到因特網(wǎng)的接入可由這里所述的認證實施方式所支持。
圖2中示出了裝置使用預(yù)先提供的證書執(zhí)行接入層切換的一個示例,其中裝置215在兩個接入網(wǎng)之間切換。圖2是示出了針對應(yīng)用層會話的切換場景的流程圖。圖2中所示的切換場景包括裝置215,該裝置215包括(或與之進行通信)能夠在應(yīng)用層上進行通信的應(yīng)用214和能夠在接入層上進行通信的接入層模塊216。圖2中示出的切換場景還可包括MNO A 217、熱點B 218和應(yīng)用服務(wù)器219??梢允沟肕NO A 217和/或熱點B 218能夠在他們的應(yīng)用層功能中具有OpenID服務(wù)器功能性,其具有委派認證服務(wù)器的能力。委派形式的認證方法可以是例如OpenID。因此,MNO A 217可被表示為MNO OpenID提供商(OP)A 217(也就是說,該實體可以具有MNO A的接入層功能性以及OpenID服務(wù)器功能性)和/或熱點B 218可被表示為熱點OP B 218。裝置215可經(jīng)由接入層模塊216與MNO A 217和/或熱點B 218進行通信。裝置215還可經(jīng)由應(yīng)用214與應(yīng)用服務(wù)器219進行通信。
如圖2所示,裝置215可在蜂窩網(wǎng)絡(luò)(例如從移動網(wǎng)絡(luò)運營商(MNO)A 217)與毫微微或WLAN網(wǎng)絡(luò)(例如熱點B 218)之間切換。裝置215可使用在裝置應(yīng)用和/或網(wǎng)絡(luò)應(yīng)用服務(wù)器219上自舉的接入層證書220來創(chuàng)建應(yīng)用層證書221,以在應(yīng)用層進行認證。裝置215隨后可在熱點B 218處附著到后續(xù)網(wǎng)絡(luò)(例如WLAN網(wǎng)絡(luò))并使用在裝置215與熱點B 218之間預(yù)先提供的證書222執(zhí)行認證。
如圖2中所示的切換場景所示,在201,裝置215可發(fā)現(xiàn)MNO A 217的接入網(wǎng)。裝置215可分別在202和203處附著和/或認證到MNO A 217的接入網(wǎng)。例如,裝置215可經(jīng)由接入層模塊216附著和/或認證到MNO A217的接入網(wǎng)。裝置215可使用認證證書220認證到MNO A 217。認證證書220可以是在裝置215與MNO A 217之間預(yù)先提供的證書。如果在203處的認證成功,則裝置215和MNO A 217的接入網(wǎng)可在204處經(jīng)由接入層模塊216設(shè)置安全接入層通信。
裝置215可以使用MNO A 217網(wǎng)絡(luò)來嘗試登陸到應(yīng)用服務(wù)器219,以接入來自應(yīng)用服務(wù)器219的服務(wù)。例如,裝置215上的應(yīng)用214可在205登陸到基于網(wǎng)絡(luò)的應(yīng)用服務(wù)器219。應(yīng)用服務(wù)器219可充當依賴方(RP),以及MNO A 217可充當OpenID標識提供商(OP)。例如,在206,應(yīng)用服務(wù)器219可發(fā)現(xiàn)MNO A 217和/或請求MNO A 217對用戶進行認證??墒褂肙penID來執(zhí)行所述請求和/或認證。在207,在裝置的應(yīng)用214與MNO A 217(充當OP)之間,可從接入層證書220自舉(例如,生成或?qū)С?應(yīng)用層認證證書221,所述接入層證書220已經(jīng)使能對裝置的接入層模塊216到MNO A 217的接入層的接入層認證。裝置215和/或其應(yīng)用214可被重定向到MNO A 217,并可在208處,使用從接入層證書220自舉的應(yīng)用層認證證書221在應(yīng)用層處認證到MNO A 217。在207處,證書221的自舉可作為在208處的認證的一部分來被執(zhí)行,或被獨立執(zhí)行。MNO A 217可向應(yīng)用服務(wù)器219(其充當依賴方(RP)(未示出))斷定裝置215的認證狀態(tài)。在209,可在裝置的應(yīng)用214與基于網(wǎng)絡(luò)的應(yīng)用服務(wù)器219之間建立在應(yīng)用層處的安全通信。
在210,裝置的接入層模塊216可發(fā)現(xiàn)熱點B 218。熱點B 218可以是WLAN上的節(jié)點且還可使得裝置215能夠接入應(yīng)用服務(wù)器219上的服務(wù)。根據(jù)示例實施方式,當裝置215進入熱點B 218的服務(wù)區(qū)域的范圍內(nèi)時,裝置215可發(fā)現(xiàn)熱點B 218。裝置215可嘗試基于用戶偏好、應(yīng)用需求、熱點狀況和/或存儲在裝置215上的服務(wù)提供商策略附著到熱點B 218。在211,裝置215可經(jīng)由接入層模塊216在接入層附著到熱點B 218。根據(jù)一個實施方式,在209處設(shè)置的應(yīng)用層連接性可幸免于在隨后發(fā)生于211處的接入層附著(到熱點B 218)。
在212,裝置215可使用證書222來經(jīng)由接入層模塊216認證到熱點B 218。在212處使用的證書222與分別用于203和208處的認證的證書220或證書221沒有任何關(guān)系。因此,在212處,到裝置215的認證可使用預(yù)先提供的接入層證書222,該證書適于到隨后的目標接入網(wǎng)(例如熱點B 218)的認證。如果在212處的認證成功,則裝置215和熱點B 218可在213處在接入層建立安全通信。
如上所述,圖2示出了用于使得裝置215能夠使用預(yù)先提供的證書222在隨后的網(wǎng)絡(luò)上執(zhí)行切換和/或接入層認證的認證協(xié)議。這里還描述了用于利用持續(xù)證書(例如用于切換的接入層或應(yīng)用層證書)來以按需且無縫的方式在其它層(例如接入層)完成認證和/或安全隧道設(shè)置的多種實施。
根據(jù)示例實施方式,可利用應(yīng)用層證書來生成接入層證書(例如通過執(zhí)行應(yīng)用層證書的反向自舉),該接入層證書接著可被用于后續(xù)的接入層認證過程中。如圖3所示,切換場景可實施應(yīng)用層證書331的反向自舉,以在隨后的網(wǎng)絡(luò)處執(zhí)行認證。圖3中示出的切換場景包括裝置321,該裝置321包括(或與之進行通信)應(yīng)用320(能夠在應(yīng)用層上進行通信)和接入層模塊322(能夠在接入層上進行通信)。接入層模塊322可包括裝置321上的連接管理器(CM)和/或與裝置321上的CM進行通信。圖3中所示的切換場景還包括MNO A 323、熱點B 324和應(yīng)用服務(wù)器325。MNO A323可經(jīng)由接入層326和/或應(yīng)用層327與其它網(wǎng)絡(luò)實體進行通信。MNO A 323可以充當OpenID提供商。熱點B 324可經(jīng)由接入層328和/或應(yīng)用層329與其它網(wǎng)絡(luò)實體進行通信。熱點B 324可以充當依賴方(RP)。接入層模塊322可與MNO A 323接入層326和/或熱點B 324接入層328進行通信。應(yīng)用320可與應(yīng)用服務(wù)器325、MNO A 323應(yīng)用層327和/或熱點B 324應(yīng)用層329進行通信。根據(jù)這里描述的一些實施方式,應(yīng)用服務(wù)器325還可充當依賴方(RP)。
如圖3所示,可生成或反向自舉應(yīng)用層證書,以生成用于與隨后的接入網(wǎng)熱點B 324進行認證(例如在切換場景中)的接入層認證證書333。反向自舉可包括由MNO A 323代表目標接入層網(wǎng)絡(luò)熱點B 324進行的應(yīng)用層認證,以生成將被用來生成隨后的接入層認證證書333的材料。反向自舉可取決于下列條件中的至少一者:1)源網(wǎng)絡(luò)MNO A 323中的用戶/裝置321的標識,和/或2)用戶/應(yīng)用320關(guān)于應(yīng)用服務(wù)器325或MNO A 323的應(yīng)用層標識(例如OpenID標識)。
由MNO A 323進行的之前的成功應(yīng)用層認證可被用來對到網(wǎng)絡(luò)熱點B 324的接入進行授權(quán)。還可向網(wǎng)絡(luò)熱點B 324提供附加認證信息,以在裝置321的接入層認證中進行輔助。例如,當向網(wǎng)絡(luò)熱點B 324提供斷定(例如“用戶來自網(wǎng)絡(luò)MNO A 323且被認證”)時,應(yīng)用層認證可被用來對到網(wǎng)絡(luò)熱點B 324的接入進行授權(quán)。
根據(jù)一個實施方式,可按圖3中示出的提供呼叫流程。在301-309,呼叫流程可使用應(yīng)用層自舉過程設(shè)置接入層安全性關(guān)聯(lián)和應(yīng)用層安全性關(guān)聯(lián),其可將接入層證書綁定到OpenID進程。例如,在301-304,可在裝置321與MNO A 323之間建立接入層安全性關(guān)聯(lián)。在301,接入層模塊322可經(jīng)由接入層326發(fā)現(xiàn)MNO A 323。接入層模塊322可在302附著到MNO A 323且可在303執(zhí)行認證。在303處的接入層認證可使用接入層證書330來被執(zhí)行,該接入層證書330在裝置321與MNO A 323之間進行共享。接入層證書330可以是預(yù)先提供的證書或通過如此所述對來自另一網(wǎng)絡(luò)的應(yīng)用層證書進行反向自舉建立的證書。如果接入層認證在裝置321與MNO A 323之間成功,則可在304處、在裝置321與MNO A 323之間建立接入層326上的安全通信。
在305-309,可在裝置321與應(yīng)用服務(wù)器325之間建立應(yīng)用層安全性關(guān)聯(lián)。例如,在305,應(yīng)用320可嘗試登錄到應(yīng)用服務(wù)器325。在306,MNO A 323OP服務(wù)器可經(jīng)由應(yīng)用層327被應(yīng)用服務(wù)器325發(fā)現(xiàn),且應(yīng)用服務(wù)器325可將用戶/裝置321重定向到MNO A 323以進行認證。在306,MNO A 323OP可認證用戶/裝置321和/或?qū)τ脩?裝置321到應(yīng)用服務(wù)器325的認證進行斷定。用戶/裝置321隨后可被重定向到熱點B 324。
在307,在應(yīng)用320與MNO A 323之間,可從接入層證書330(其已使能在裝置321與MNO A 323之間的接入層認證和/或來自MNO A 323的認證斷定)自舉(例如生成或?qū)С?應(yīng)用層證書331。應(yīng)用320和應(yīng)用服務(wù)器325可在308使用應(yīng)用層證書331設(shè)置應(yīng)用層安全性關(guān)聯(lián)。在308處的應(yīng)用層安全性關(guān)聯(lián)可導(dǎo)致在應(yīng)用320與應(yīng)用服務(wù)器325之間共享應(yīng)用層證書。在307處的證書331的自舉可作為308處的應(yīng)用層安全性關(guān)聯(lián)的一部分被執(zhí)行,或被獨立執(zhí)行。可在309處在裝置的應(yīng)用320與基于網(wǎng)絡(luò)的應(yīng)用服務(wù)器325之間建立在應(yīng)用層的安全通信。
在310,裝置321可發(fā)現(xiàn)熱點B 324。例如,裝置321上的本地組件(例如接入層模塊322)可發(fā)現(xiàn)熱點B 324和/或其標識信息(例如SSID或IP地址)。熱點B的應(yīng)用層329可以是可發(fā)現(xiàn)的,且可能已經(jīng)經(jīng)由例如公共因特網(wǎng)使用接入層328網(wǎng)絡(luò)發(fā)現(xiàn)信息(例如其IP地址)被發(fā)現(xiàn)和/或到達。接入層模塊322可包括連接管理器(CM),其可在發(fā)現(xiàn)熱點B 324和/或做出連接決定的過程中被實施??山?jīng)由接入層信令(例如信標信道)發(fā)現(xiàn)熱點B 324和/或其標識信息??苫贛NO A 323、熱點B 324與來自裝置321的關(guān)于熱點B 324的被發(fā)現(xiàn)的信息之間的關(guān)系來執(zhí)行某些發(fā)現(xiàn)?;趤碜詿狳cB 324的被發(fā)現(xiàn)的信息(例如信號強度、位置等),裝置321上的接入層模塊322可決定裝置321應(yīng)當切換到熱點B 324來進行網(wǎng)絡(luò)通信。接入層模塊322可將該命令傳遞到裝置的應(yīng)用320。例如,CM可在311向裝置的應(yīng)用320發(fā)送應(yīng)用層網(wǎng)絡(luò)發(fā)現(xiàn)信息。
裝置321可按照以下方式被配置:應(yīng)用層與接入層之間的自舉證書(例如使用密鑰導(dǎo)出進程生成的)的轉(zhuǎn)移是可行的。應(yīng)用320可處理網(wǎng)絡(luò)發(fā)現(xiàn)信息,以生成適于接入層網(wǎng)絡(luò)的標識。根據(jù)一個實施方式,適于網(wǎng)絡(luò)的接入層的標識可以是OpenID URL或用戶/裝置321的電子郵件地址登陸,其可被進一步處理/操縱(例如被哈希處理(hash)成唯一的用戶/裝置標識)成適于在接入層328上被熱點B 324識別的格式??蛇x地,諸如現(xiàn)時(nonce)或序列計數(shù)值的信息元素可被混合到哈希處理中,和/或這些信息元素中的一些可被傳遞到熱點B 324。裝置的應(yīng)用320可基于其在308建立的應(yīng)用層標識和/或熱點B 324的接入層發(fā)現(xiàn)信息來確定合適的接入層標識。接入層標識可被綁定到應(yīng)用層標識并在312處被發(fā)送到接入層模塊322以進行后續(xù)傳輸。
在313,裝置321可使用適于接入層的標識附著到熱點B 324的接入層328,且裝置的接入層模塊322可將適于該網(wǎng)絡(luò)的接入層的接入層標識中繼到熱點B的接入層328。在314,裝置321的接入層標識可隨后被傳遞到熱點B的應(yīng)用層329,以通知應(yīng)用層329,從而其可通過裝置321的接入層標識符識別該裝置321。熱點B 324的應(yīng)用層329可以從接入層328物理分離但邏輯關(guān)聯(lián)。在315,裝置321的應(yīng)用320可向熱點B的應(yīng)用層329發(fā)送應(yīng)用層標識信息(以及可選地發(fā)送接入層標識)。該應(yīng)用層標識可被提供以登錄至熱點B 324。應(yīng)用層標識可被綁定到裝置321的接入層標識。
當經(jīng)由應(yīng)用層329傳遞應(yīng)用層標識和接入層標識信息時,在316,應(yīng)用層標識和/或所發(fā)現(xiàn)的熱點B 324信息可被用來執(zhí)行MNO A 323的基于OpenID的發(fā)現(xiàn)。在315,標識信息的發(fā)送可與呼叫流程313到314同時或不同時發(fā)生。應(yīng)用層標識信息的示例可包括OpenID URL或電子郵件地址登錄標識或斷定。標識信息還可包括用戶/裝置321的補充信息。
熱點B 324可合并和/或關(guān)聯(lián)(例如在接入層)接收自其接入層328的接入層標識信息和接收自應(yīng)用層329的綁定應(yīng)用層標識和接入層標識信息兩者。熱點B 324可確定在313和315處接收的消息是否來自相同的用戶/裝置321。例如,在應(yīng)用層329,熱點B 324可將在315接收的應(yīng)用層標識識別為被綁定到在314接收的接入層標識。在確認其在其接入層328和其應(yīng)用層329上正在與相同用戶/裝置321對話之后,熱點B 324可充當RP,同時MNO A 323充當OP。在316,熱點B 324可執(zhí)行MNO A 323的發(fā)現(xiàn),且MNO A 323可被定向到用戶/裝置321以進行認證(例如通過運行OpenID協(xié)議)。裝置應(yīng)用320可與MNO A應(yīng)用327進行認證(例如在OP處在應(yīng)用層327)。在成功認證之后,裝置321可被重定向回至熱點B 324應(yīng)用329。在317,熱點B 324和裝置321均可使用密鑰導(dǎo)出功能從成功的應(yīng)用層認證生成接入層證書333。例如,熱點B 324的應(yīng)用320和應(yīng)用層329可在應(yīng)用層執(zhí)行反向自舉過程,該過程可允許用戶/裝置321和/或熱點B 324創(chuàng)建接入層證書333。這樣,接入層證書333可以是在316處執(zhí)行的應(yīng)用層認證過程的副產(chǎn)品。這些接入層證書333可被發(fā)送到裝置321的接入層模塊322和/或熱點B 324的接入層328。在呼叫流程318和319處,使用在應(yīng)用層處生成的接入層證書333,裝置321和熱點B 324可執(zhí)行認證,并為通信設(shè)置接入層安全關(guān)聯(lián)。在認證之后,當用戶/裝置321隨后嘗試在接入層328與熱點B 324進行認證時,接入層證書333可被存儲和/或與用戶/裝置321進行關(guān)聯(lián)。
根據(jù)一個實施方式,具有移動裝置321的用戶可連接到MNO A 323。用戶可使用自舉認證過程認證到服務(wù)提供商(例如視頻服務(wù)提供商)。該認證可使用在裝置321上預(yù)先提供的接入層證書330,其使用本領(lǐng)域的普通技術(shù)人員已知的任何各種技術(shù),只要如圖3的307處描述的那樣對證書進行自舉即可,這可將應(yīng)用層標識唯一地關(guān)聯(lián)到網(wǎng)絡(luò)標識。MNO A 323可充當OpenID提供商。熱點B 324可充當依賴方(RP)。根據(jù)示例實施方式,在接入服務(wù)(例如查看來自視頻服務(wù)提供商的視頻)的同時,用戶可能移動到熱點B的到達范圍之內(nèi)。網(wǎng)絡(luò)熱點B可以以較低的成本提供更高的帶寬,和/或可以被附屬于例如OpenID網(wǎng)絡(luò)(或與MNO A 323或另一MNO相關(guān)聯(lián))。用戶可在原則上被允許接入所附屬的OpenID網(wǎng)絡(luò)(或所關(guān)聯(lián)的MNO A 323)。例如,用戶可證明該用戶與OpenID提供商(MNO A 323)相關(guān)聯(lián)。
裝置321可發(fā)現(xiàn)后續(xù)的網(wǎng)絡(luò)熱點B 324(例如通過監(jiān)聽信標和/或廣播消息),和/或弄清(ascertain)關(guān)于后續(xù)網(wǎng)絡(luò)的信息??赏ㄟ^連接管理器(CM)將信息從接入層模塊322傳遞到應(yīng)用320,應(yīng)用320可使用該信息來在具有用戶/裝置321應(yīng)用層標識的應(yīng)用層329處聯(lián)系熱點B 324。裝置321可在接入層322和328上向熱點B 324發(fā)送標識信息。
當經(jīng)由接入層328(但不是應(yīng)用層329)傳遞標識信息時,用戶/裝置321標識信息可被傳遞到熱點B 324上的應(yīng)用(如在314處所述)。熱點B 324可以以適于對MNO A 323進行基于OpenID的發(fā)現(xiàn)的方式來格式化所述信息。標識信息足以供熱點B 324發(fā)現(xiàn)MNO A 323和/或嘗試認證請求用戶/裝置321(在316)。熱點B 324(其可充當例如依賴方)可運行OpenID協(xié)議,以便對將由MNO A 323認證的用戶/裝置進行重定向。MNO A 323(其可充當例如OpenID服務(wù)器)可運行OpenID協(xié)議,以認證用戶/裝置321。如果用戶/裝置321被成功認證,則熱點B 324可在319處在裝置321與網(wǎng)絡(luò)之間建立安全連接。
熱點B 324和用戶/裝置321可基于成功的基于OpenID的認證來創(chuàng)建共享證書。例如,用戶/裝置321和/或熱點B 324可對后續(xù)的接入層證書333進行反向自舉??苫跓狳cB 324與MNO A 323之間的關(guān)系來完成某些發(fā)現(xiàn)??山?jīng)由用戶/裝置321應(yīng)用層標識和/或從裝置321上的應(yīng)用320發(fā)現(xiàn)的熱點B 324信息來獲得該信息。如果用戶/裝置321被MNO A 323認證,則可通過證書從熱點B 324應(yīng)用到其接入網(wǎng)的(反向)自舉,在裝置321與網(wǎng)絡(luò)之間建立安全連接。
根據(jù)一種實施方式,為了熱點B 324從應(yīng)用層證書331反向自舉接入層證書333,熱點B 324可具有以下能力:其中其接入層功能和應(yīng)用層功能被設(shè)計使得層間通信和數(shù)據(jù)操縱/處理成為可能,和/或其中在層間存在關(guān)系。反向自舉對于用戶而言可無縫地發(fā)生,而無需為后續(xù)的網(wǎng)絡(luò)熱點B 324在裝置321中預(yù)先提供或安裝證書332和/或人工干預(yù)。
這里描述的用于在后續(xù)網(wǎng)絡(luò)的接入層執(zhí)行認證的實施方式可能在用戶級具有顯著的特性。例如,用戶可輸入用戶或裝置標識符(例如OpenID標識符)來登錄到服務(wù),而且用戶能夠在服務(wù)繼續(xù)無縫地不間斷的同時接入之前已知的接入網(wǎng)絡(luò)(例如熱點B 324)。認證證書(例如接入層證書333)可能不會在后續(xù)網(wǎng)絡(luò)處被預(yù)先提供,這是因為它們可以從已經(jīng)運行的應(yīng)用服務(wù)安全性或從應(yīng)用層認證被反向自舉。服務(wù)可以是固定有線的和/或固定無線的。服務(wù)甚至可以是在用戶的家中的孤立的接入點(AP),其可經(jīng)由公共因特網(wǎng)和/或相似的接入方式被到達。
根據(jù)一種實施方式,如果在切換(例如接入層切換)后要重新建立應(yīng)用層安全性,可使用將用于這種后續(xù)應(yīng)用層認證的安全性證書綁定到在各個之前的實例建立的安全性證書(例如在切換接入層認證中使用的證書、在之前的應(yīng)用層認證中使用的證書或甚至在切換前的接入層認證中使用的證書)的前向自舉。
在這里描述的實施方式中,可使用獨立標識提供商。例如,MNO A 323可能不是OpenID標識提供商和/或可由另一第三方來執(zhí)行標識管理功能。第三方標識提供商可使用與MNO A 323預(yù)先建立的關(guān)系來充當OpenID提供商的角色,以及使用諸如OpenID/EAP-SIM或OpenID/GBA自舉能力的協(xié)議來從MNO A 323提供的接入層證書330認證和自舉應(yīng)用層證書331。隨后,可使用相同或相似的自舉進程,以利用MNO A 323在裝置321上提供的證書為熱點B 324自舉接入層證書333。
根據(jù)另一實施方式,可實施網(wǎng)絡(luò)發(fā)起的切換。在網(wǎng)絡(luò)發(fā)起的切換中,可由網(wǎng)絡(luò)(例如接入網(wǎng)或應(yīng)用服務(wù)器)來發(fā)起切換。在一個示例中,MNO A 323可以繼續(xù)監(jiān)控裝置321,其可包括如下信息:裝置的位置、測量信息、服務(wù)質(zhì)量等。MNO A 323可知道裝置321周圍的局域環(huán)境。如果MNO A 323也是OpenID提供商,則MNO A 323可在應(yīng)用層向用戶/裝置發(fā)送消息,以發(fā)起與熱點B 324的切換,該消息具有用于使得裝置321能夠發(fā)現(xiàn)和發(fā)起切換的適當?shù)膮?shù)??砂创颂幩枋龅膩韴?zhí)行無縫切換。在另一實施方式中,MNO A 323可以經(jīng)由與裝置321的接入層通信向裝置321發(fā)送切換觸發(fā)信息。
根據(jù)另一實施方式,MNO A323可向一個或多個附近的本地接入節(jié)點提出請求,以嘗試在裝置位于節(jié)點的范圍內(nèi)時與裝置321附著和/或認證。其可能不是觸發(fā)切換的MNO A 323。任何具有關(guān)于裝置321的足夠的信息的網(wǎng)絡(luò)組件、裝置的本地通信環(huán)境、和/或具有與用戶/裝置321進行通信的能力的實體能夠觸發(fā)切換。在這些情況中,網(wǎng)絡(luò)組件可發(fā)現(xiàn)后續(xù)的接入網(wǎng)(例如熱點B 324)和/或協(xié)商用于到用戶/裝置321的通信的安全性能力和無線電接入能力。網(wǎng)絡(luò)組件可將該信息以及切換信息傳遞到用戶/裝置321。
根據(jù)另一實施方式,可執(zhí)行應(yīng)用輔助證書自舉。在應(yīng)用輔助證書自舉中,裝置321上的應(yīng)用320可告知應(yīng)用服務(wù)器325該應(yīng)用服務(wù)器325可在應(yīng)用320協(xié)助促進切換的情況下為后續(xù)接入網(wǎng)熱點B 324自舉一組證書。應(yīng)用320可向應(yīng)用服務(wù)器325發(fā)送與所發(fā)現(xiàn)的熱點B 324有關(guān)的標識(例如IP地址)以及可選地發(fā)送其類似OpenID登錄請求。應(yīng)用服務(wù)器325可充當OpenID提供商,以協(xié)商熱點B 324的安全性能力。應(yīng)用服務(wù)器325可在接入層為熱點B 324和裝置321反向自舉一組接入層證書333。裝置321上的應(yīng)用320和熱點B 324可相互認證和/或如318處所述的那樣建立安全信道??苫趹?yīng)用服務(wù)器325與目標熱點B 324之間的關(guān)系執(zhí)行某些發(fā)現(xiàn)??山?jīng)由來自裝置321上的應(yīng)用320的所發(fā)現(xiàn)的信息獲得該信息。
用于后續(xù)發(fā)現(xiàn)的網(wǎng)絡(luò)認證的證書可以在兩端點處被預(yù)處理,以使得隨后能夠更快的完成認證過程。這可基于網(wǎng)絡(luò)掌握的關(guān)于裝置所位于的局域或裝置正在向其移動的局域的知識。如果在裝置上被預(yù)先配置以便尋找切換機會,則裝置可以某些周期性頻率搜索備選(alternate)網(wǎng)絡(luò),并且,如果檢測到則尋求切換。在網(wǎng)絡(luò)側(cè)的預(yù)處理可在多于一個備選接入節(jié)點處被執(zhí)行或針對多于一個備選接入節(jié)點被執(zhí)行。裝置和/或網(wǎng)絡(luò)可對用于其之前使用過的網(wǎng)絡(luò)的證書進行緩存。裝置和/或網(wǎng)絡(luò)可隨后將這些證書重新用于認證。當裝置返回到其早些時候離開的節(jié)點時,證書的重新使用是有用的。證書的重新使用對于一個或多個節(jié)點的備選動態(tài)選擇也是可用的(例如在本地動態(tài)變化的噪聲信道或服務(wù)質(zhì)量環(huán)境中)。
這里描述的實施方式可使用本地OpenID。例如,單機(standalone)本地OpenID可被實施。如此所述,協(xié)議流可利用本地OpenID并許可接入/授權(quán)。
圖4是示出了使用單機本地OpenID的協(xié)議實現(xiàn)的流程圖。如圖4所述,該流程圖可包括在本地IdP 432、應(yīng)用433(例如瀏覽代理)、接入層模塊434、MNO 435、熱點436、和/或應(yīng)用服務(wù)器437之間的通信。本地IdP 432可位于用戶的無線通信裝置上。應(yīng)用433和/或接入層模塊434可位于與本地IdP 432相同或不同的無線通信裝置上。
圖4中示出的協(xié)議使能無縫切換和/或后續(xù)接入層安全性關(guān)聯(lián)的設(shè)置。協(xié)議可實施裝置與裝置的當前接入層網(wǎng)絡(luò)之間的接入層安全性和/或之前在用戶/裝置與外部應(yīng)用服務(wù)器(AS)437之間建立的應(yīng)用安全性,例如通過使用例如客戶端本地OpenID(即本地OpenID)。
如圖4所示,可使用步驟401-419的組合在應(yīng)用層將裝置與應(yīng)用服務(wù)器(AS)/RP 437進行認證,并且使用步驟419-431的組合在接入層將裝置與后續(xù)網(wǎng)絡(luò)(例如熱點436)進行認證。在401,裝置接入層模塊434可附著到MNO 435。裝置的接入層模塊434和MNO 435可使用共享證書來進行認證。作為認證的結(jié)果,可在裝置的接入層模塊434和/或MNO 435上建立接入層密鑰K。在402,可在裝置上存儲接入層密鑰K。例如,接入層密鑰K可被存儲在裝置上的可信環(huán)境上,例如訂戶標識模塊(SIM)卡、通用集成電路卡(UICC)、可信平臺模塊(TPM)或其它可信環(huán)境??蓪⒖尚怒h(huán)境包括在裝置上,或例如作為分離的模塊或分離的裝置/設(shè)備連接到裝置??尚怒h(huán)境可包括本地IdP 432。根據(jù)示例實施方式,可信環(huán)境和本地IdP 432可以是相同實體。然而,可信環(huán)境還可包括例如應(yīng)用433、接入層模塊434和/或位于裝置上的其它實體。
在403,MNO 435和裝置接入層模塊434兩者都可以從接入層密鑰K導(dǎo)出應(yīng)用層密鑰K_app(即K_app=f(K),其中f是對于MNO 435和裝置的接入層模塊434兩者已知的某函數(shù))。使應(yīng)用層密鑰K_app對于本地IdP 432是可用的。在404,在裝置接入層模塊434與MNO 435之間使用接入層密鑰K建立接入層安全性關(guān)聯(lián)。
在405,用戶可以經(jīng)由應(yīng)用433登錄到應(yīng)用服務(wù)器(AS)437。用戶可以使用例如OpenID提供商(OP)標識符(例如URL或電子郵件地址)來進行登錄。AS 437可充當依賴方(RP),并且從而可被稱為AS/RP 437。在406,AS/RP 437可執(zhí)行MNO 435的標識發(fā)現(xiàn)。在407,可設(shè)置MNO 435與AS/RP 437之間的關(guān)聯(lián),并且可生成關(guān)聯(lián)句柄(handle)。在408,MNO 435可從應(yīng)用密鑰K_app和關(guān)聯(lián)句柄導(dǎo)出會話密鑰K_會話。在409,可使用關(guān)聯(lián)安全性協(xié)議將K_會話傳遞到AS/RP 437,而且該K_會話可被用作后續(xù)的關(guān)聯(lián)密鑰。在410,AS/RP 437可存儲會話密鑰K_會話以及后續(xù)的關(guān)聯(lián)信息。在411,應(yīng)用433可被重定向到裝置,以與本地IdP 432進行認證。重定向消息可包括會話現(xiàn)時和/或關(guān)聯(lián)句柄。在412,應(yīng)用433可通過卡接入層模塊434請求連接到本地IdP 432。該請求可包括例如會話現(xiàn)時和/或關(guān)聯(lián)句柄。在413,可執(zhí)行到本地IdP 432的重定向。重定向還可包括會話現(xiàn)時和/或關(guān)聯(lián)句柄。在414,本地IdP 432可使用應(yīng)用層密鑰K_app和關(guān)聯(lián)句柄導(dǎo)出簽名密鑰K_會話。本地IdP 432可具有到裝置上的應(yīng)用層密鑰K_app的接入。本地IdP 432可創(chuàng)建OpenID斷定消息,并在415使用K_會話對其進行簽名。在416,本地IdP 432可將所簽名的OpenID斷定消息通過卡接入重定向回至裝置的接入層模塊434。在417,裝置的接入層模塊434可透明地將所簽名的OpenID斷定重定向到裝置的應(yīng)用433。在418,裝置的應(yīng)用433可將所簽名的OpenID斷定消息與在步驟411中接收的現(xiàn)時一起重定向到外部AS/RP 437。在419,AS/RP 437可存儲所接收的簽名的斷定消息。
一旦在應(yīng)用層將裝置與AS/RP 437進行認證,則裝置可在接入層使用來自應(yīng)用層認證的證書或密鑰與后續(xù)網(wǎng)絡(luò)(例如熱點436)進行認證。如圖4所示,在420,裝置的接入層模塊434可發(fā)現(xiàn)熱點436。裝置上的本地實體(例如連接管理器(CM))可決定裝置應(yīng)切換到所發(fā)現(xiàn)的熱點436。在421,裝置的接入層模塊434可將熱點436信息傳遞到裝置的應(yīng)用433。在422,裝置的應(yīng)用433可將OpenID標識符(例如URL或電子郵件地址)與上一次使用的應(yīng)用服務(wù)器437標識一起傳遞到熱點436的接入層,以用于后續(xù)發(fā)現(xiàn)。在423,裝置的應(yīng)用433可以警示AS/RP 437切換的發(fā)起。在423處切換的發(fā)起可使用所發(fā)現(xiàn)的熱點436信息來被執(zhí)行。裝置的應(yīng)用433可基于在418建立的其應(yīng)用層標識和/或熱點B 436的接入層發(fā)現(xiàn)信息來確定接入層合適的標識。接入層標識可被綁定到應(yīng)用層標識并在422被發(fā)送到接入層模塊434以用于后續(xù)傳輸。
如圖4中的步驟424-429所示,AS/RP 437可促進裝置的接入層認證。例如,AS/RP 437可將斷定消息轉(zhuǎn)發(fā)到接入層模塊434。MNO 435可驗證斷定,從而確信接入層的標識。在424,裝置的接入層模塊434可向熱點436發(fā)出登錄請求。包括在該消息中的可以是OpenID標識符(例如URL或電子郵件地址)(如在422處所述),和/或上一應(yīng)用服務(wù)器使用的標識。在425,熱點436可從AS/RP 437為裝置及其用戶請求認證信息。例如,熱點436可為其已從裝置的接入層434接收的OpenID標識符(例如URL或電子郵件地址)請求斷定。在426,AS/RP 437可將經(jīng)簽名的斷定消息(其由AS/RP 437在步驟418接收且對應(yīng)于在步驟425接收的OpenID標識符)返回到熱點436。在427,熱點436可從MNO 435中的OpenID服務(wù)請求簽名驗證,以用于對應(yīng)于OpenID標識符(例如URL或電子郵件地址)的經(jīng)簽名的斷定消息。在428,MNO 435可驗證簽名(例如在OpenID服務(wù)器處)。MNO 435可具有來自步驟408的會話密鑰K_會話。在429,MNO 435可向熱點436提供(例如使用其OpenID服務(wù)器)簽名驗證消息。
如果認證成功,則熱點436可在430向裝置的接入層模塊434發(fā)送認證成功應(yīng)答。裝置的接入層模塊434和熱點436可在431設(shè)置關(guān)聯(lián),以確保它們的公共信道的安全。對稱的密鑰結(jié)構(gòu)的導(dǎo)出可確保通信安全。在圖4中所示的協(xié)議的步驟431處,多種備選方法(對于本領(lǐng)域的普通技術(shù)人員已知)可被用于導(dǎo)出接入層密鑰/證書。例如,可對簽名驗證應(yīng)用層斷定消息使用密鑰導(dǎo)出功能。
如此所述,反向自舉的實施可以是顯式的或隱式的。例如,圖4中示出的協(xié)議可隱式地實施反向自舉。當接入層安全性關(guān)聯(lián)被設(shè)想成是基于從應(yīng)用層提供的斷定而建立的(而不是顯式地直接從應(yīng)用層證書導(dǎo)出接入層密鑰和/或證書)時可隱式地執(zhí)行反向自舉。當經(jīng)由顯式反向自舉進程導(dǎo)出接入層密鑰(例如直接從應(yīng)用層證書導(dǎo)出)時可發(fā)生顯式反向自舉。
根據(jù)另一實施方式,協(xié)議可使能無縫切換(其還許可接入/授權(quán))。例如,圖5是示出了使能使用隱式反向自舉的無縫切換(其還許可接入/授權(quán))的協(xié)議的流程圖。對圖5中描述的協(xié)議的使用可使得熱點536能夠獲得接入層切換以及針對到例如服務(wù)或用戶的私有數(shù)據(jù)的接入的授權(quán)。
如圖5所示,在501,裝置的接入層模塊534可例如在接入層附著到MNO 535。裝置的接入層模塊534和MNO 535可使用共享證書來執(zhí)行相互認證。共享證書可以是例如接入層共享證書。作為認證的結(jié)果,可在裝置的接入層模塊534和MNO 535(例如在MNO的接入層)兩者上建立接入層密鑰K。在502,可在裝置上存儲接入層密鑰K。例如,接入層密鑰K可被存儲在裝置上的可信環(huán)境上??尚怒h(huán)境可被包括在裝置上,或例如作為分離的模塊或分離的裝置/設(shè)備連接到裝置??尚怒h(huán)境可具有本地IdP 532功能性。如圖5所示,可信環(huán)境可以是和本地IdP 532相同的實體。
在503,MNO 535和/或裝置接入層模塊534可以從接入層密鑰K導(dǎo)出應(yīng)用層密鑰K_app(即K_app=f(K),其中f是對于MNO 535和裝置的接入層534兩者已知的某函數(shù)),其中可使K_app對于本地IdP 532是可用的。在504,可在裝置接入層模塊534與MNO 535之間使用K_app建立接入層關(guān)聯(lián)。在505,用戶可以經(jīng)由應(yīng)用533在應(yīng)用層上登錄到AS/RP 537。例如,用戶可以使用OP標識符(例如URL或電子郵件地址)來進行登錄。在506,AS/RP 537可執(zhí)行MNO 535的發(fā)現(xiàn)。在507,可設(shè)置MNO 535與AS/RP 537之間的關(guān)聯(lián),并且可生成關(guān)聯(lián)句柄。在508,MNO 535可從K_app和關(guān)聯(lián)句柄導(dǎo)出K_會話。在509,可通過例如將原始關(guān)聯(lián)安全性和K_會話用作后續(xù)關(guān)聯(lián)密鑰,將K_會話傳遞到AS/RP 537。在510,AS/RP 537可存儲K_會話以及后續(xù)的關(guān)聯(lián)信息。在511,應(yīng)用533(例如BA)可被AS/RP 537重定向到裝置,以與本地IdP 532進行認證。所述消息可包括現(xiàn)時和/或關(guān)聯(lián)句柄。在512,應(yīng)用533可通過接入層534請求連接到本地IdP 532。請求可包括例如現(xiàn)時和/或關(guān)聯(lián)句柄。在513,執(zhí)行到本地IdP 532的重定向。重定向消息也可包括現(xiàn)時和/或關(guān)聯(lián)句柄。
在514,本地IdP 532可使用K_app和關(guān)聯(lián)句柄導(dǎo)出簽名密鑰K_會話(例如用于對斷定消息進行簽名)。本地IdP 532可具有到K_app的接入。本地IdP 532可創(chuàng)建OpenID斷定消息,并在515使用K_會話對該斷定消息進行簽名。在516,本地IdP 532(其充當本地產(chǎn)生的接入/授權(quán)令牌的提供商)可導(dǎo)出簽名密鑰K_令牌。簽名密鑰K_令牌隨后可被用來對接入/授權(quán)令牌進行簽名。導(dǎo)出這種K_令牌的一種方式可以是通過使用密鑰生成功能(KGF)(其采用K_app和K_會話兩者作為輸入)。例如,K_令牌=f(K_app,K_會話)。在517,本地IdP 532(其充當本地產(chǎn)生的接入/授權(quán)令牌的提供商)可創(chuàng)建接入/授權(quán)令牌,和/或使用K_令牌對其進行簽名。在518,本地IdP 532可將所簽名的斷定(所簽名的OpenID斷定和所簽名的接入/授權(quán)令牌兩者)通過接入層534(例如卡接入)重定向回至裝置的接入層。在519,裝置的接入層534可(在透明的重定向中)將所簽名的斷定(OpenID斷定和接入/授權(quán)令牌)重定向到裝置的應(yīng)用533。在520,裝置的應(yīng)用(例如BA)可將所簽名的斷定(OpenID斷定和接入/授權(quán)令牌)與在步驟511中接收的現(xiàn)時一起重定向到外部應(yīng)用AS/RP 537。AS/RP 537可存儲所接收的簽名的斷定消息。
在521,裝置可經(jīng)由其接入層模塊534發(fā)現(xiàn)熱點536。裝置上的連接管理器(CM)可決定裝置應(yīng)切換到所發(fā)現(xiàn)的熱點536。在522,裝置的接入層模塊534可將后續(xù)熱點信息傳遞到裝置的應(yīng)用533。在523,裝置的應(yīng)用533可將OpenID標識符與上一次使用的應(yīng)用服務(wù)器標識一起傳遞到熱點536接入層。在524,裝置的應(yīng)用533可警示AS/RP 537到所發(fā)現(xiàn)的熱點536的切換的發(fā)起。這可通過裝置的接入層模塊534向例如熱點536發(fā)送登錄請求來實現(xiàn)。包括在該消息中的可以是OpenID標識符和/或接入令牌。應(yīng)用533可具有來自步驟519的這一令牌。在525,熱點536可發(fā)現(xiàn)MNO 535的OpenID/OAuth服務(wù)器。在526,熱點536可請求MNO 535的OpenID/OAuth服務(wù)器使用OpenID標識符和/或經(jīng)簽名的接入令牌來認證用戶/裝置并授權(quán)接入。MNO 535的OpenID/OAuth服務(wù)器可在527計算簽名密鑰K_令牌??刹捎门c例如在步驟516中計算K_令牌的方式相同的方式計算簽名密鑰K_令牌。在528,MNO 535的OpenID/OAuth服務(wù)器可使用其已從步驟527中計算的K_令牌對所接收的接入令牌的簽名進行驗證。MNO 535的OpenID/OAuth服務(wù)器可在529向熱點發(fā)送對接入令牌的肯定斷定以及針對用戶/裝置的任何附加標識信息。在530,如果認證成功,則熱點536可在接入層模塊534向裝置發(fā)送認證成功應(yīng)答。在531,裝置531的接入層模塊534和熱點536可相互設(shè)置安全性關(guān)聯(lián)。密鑰導(dǎo)出和/或安全通信可隨其后進行。
如此所述,應(yīng)用層證書可被用來在基于通用接入方法(UAM)的和/或基于可擴展認證協(xié)議(EAP)的公共熱點中生成在后繼接入層或IP層認證中使用的證書。
針對OpenID與基于UAM的公共熱點的集成的實施選項可包括多種實施,其中不同的網(wǎng)絡(luò)實體可充當依賴方(RP)或OpenID提供商(OP)。例如,熱點認證、授權(quán)和計費(AAA)服務(wù)器可充當RP,熱點無線局域網(wǎng)(WLAN)網(wǎng)關(guān)可充當RP,熱點捕獲門戶可充當RP,熱點接入點(AP)可充當RP(例如,對于小型熱點(例如在咖啡廳中使用的熱點)),和/或熱點AAA服務(wù)器可充當OP。圖6和7中示出了使用實施RP功能性的熱點AAA服務(wù)器和WLAN網(wǎng)關(guān)的OpenID-UAM集成的示例實施方式。應(yīng)該理解的是,其它實施方式可在實施上相似,但具有不同的部署模型。
根據(jù)示例實施方式,具有移動裝置的用戶可連接到充當OP服務(wù)器的MNO A。用戶可使用在裝置上預(yù)先提供的接入層證書通過自舉認證過程認證到服務(wù)。自舉認證過程可單獨地將應(yīng)用層標識關(guān)聯(lián)到網(wǎng)絡(luò)標識。舉例來講,可使用OpenID來執(zhí)行認證,但也可使用任何其它相似的認證協(xié)議。當實施OpenID時,MNO A可充當OpenID提供商和/或熱點B處的WLAN網(wǎng)關(guān)可充當依賴方。
在裝置連接到MNO A之后,裝置可發(fā)現(xiàn)另一網(wǎng)絡(luò)(例如通過監(jiān)聽信標或廣播消息)和/或在接入層弄清關(guān)于新發(fā)現(xiàn)的網(wǎng)絡(luò)的信息??蓪⒃撔畔⑼ㄟ^連接管理器(CM)傳遞到裝置上的應(yīng)用。裝置上的應(yīng)用可使用關(guān)于所發(fā)現(xiàn)的網(wǎng)絡(luò)的信息來利用用戶/裝置標識在應(yīng)用層與熱點B處的WLAN網(wǎng)關(guān)進行聯(lián)系。對于充當RP的AAA服務(wù)器(如圖6所示)和/或充當RP的WLAN網(wǎng)關(guān)(如圖7所示)來講,該標識信息足夠用于發(fā)現(xiàn)MNO A并嘗試認證請求用戶/裝置。協(xié)議可被MNO A(充當OpenID服務(wù)器)以及熱點B處的WLAN網(wǎng)關(guān)或AAA服務(wù)器中的至少一者(充當依賴方)運行,以便認證用戶/裝置。一旦用戶/裝置已被成功認證,其可被允許接入熱點B。例如,在圖6中,一旦AAA服務(wù)器認證用戶并向熱點B處的WLAN網(wǎng)關(guān)發(fā)送成功認證的指示(例如接入接受消息),則用戶可被允許在熱點B處接入。類似地,在圖7中,一旦熱點B處的WLAN網(wǎng)關(guān)認證用戶/裝置,則其可被允許在熱點B處接入。對于用戶而言該認證可無縫地發(fā)生和/或不需要為了與后續(xù)發(fā)現(xiàn)的網(wǎng)絡(luò)(熱點B)進行認證而在裝置中預(yù)先提供或安裝證書或不需要人工干預(yù)。
圖6是示出了UAM-OpenID集成的流程圖,其中AAA服務(wù)器617充當RP。如圖6中所示,UE 614、AP 615、WLAN GW 616、AAA服務(wù)器/RP 617、和/或OP服務(wù)器618可執(zhí)行通信,以使得UE 614能夠認證到無線網(wǎng)絡(luò)。UE614上的本地組件(例如CM)可基于其標識信息(例如“MNO-WiFi”SSID)發(fā)現(xiàn)熱點AP 615。所示標識信息可經(jīng)由接入層信令(例如信標信道)被發(fā)現(xiàn)。UE 614上的本地組件(例如CM)可決定UE 614應(yīng)切換到熱點且可將該命令傳遞到UE 614的應(yīng)用層。UE 614上的本地組件可將應(yīng)用層網(wǎng)絡(luò)發(fā)現(xiàn)信息發(fā)送到UE 614上的應(yīng)用(例如瀏覽器)。
如圖6所示,在601,UE 614可與開放模式接入點(AP)615相關(guān)聯(lián)。例如,UE 614可使用在接入層上獲得的標識信息(例如“MNO-WiFi”SSID)執(zhí)行這種關(guān)聯(lián)和/或開放模式接入。在602,如果UE 614被配置為獲得IP地址(例如使用DHCP),則WLAN網(wǎng)關(guān)(GW)616可向UE 614分配私有IP地址。由于UE 614在WLAN GW 616中的狀態(tài)可被設(shè)定為“未授權(quán)”,因此用戶可能不能使用所述私有IP地址來接入因特網(wǎng)。
用戶可打開UE 614上的網(wǎng)頁瀏覽器應(yīng)用,并且在603處,WLAN GW 616可從UE 614接收針對網(wǎng)頁(例如用戶主頁)的請求。在604,WLAN GW 616可將UE 614上的瀏覽器重定向到提示用戶登錄證書的門戶頁(例如IP/URI)。用戶可在登錄頁上輸入其OpenID標識符(例如URL或電子郵件地址)。在605,WLAN GW 616可從UE 614接收登錄證書,并且WLAN GW 616可使用所接收的登錄證書來生成針對所配置的AAA服務(wù)器/RP 617的接入請求消息。在606,WLAN GW 616可向AAA服務(wù)器/RP 617發(fā)送接入請求消息。
在607,AAA服務(wù)器617(充當RP)可與OP服務(wù)器618執(zhí)行發(fā)現(xiàn)和/或關(guān)聯(lián)(例如使用OpenID協(xié)議)。在608,AAA服務(wù)器/RP 617可將UE 614重定向到OP服務(wù)器618。在609,UE 614可向OP服務(wù)器618認證(例如使用OpenID證書)。在610,OP服務(wù)器618可利用認證斷定將UE 614重定向到AAA服務(wù)器/RP 617。在611,UE 614可呈現(xiàn)所述斷定以及表明其已經(jīng)被成功認證到AAA服務(wù)器/RP 617的指示。
在612,AAA服務(wù)器/RP可向WLAN GW 616發(fā)送成功認證的指示(例如接入接受消息)和/或用來在WLAN GW 616中將用戶/UE 614狀態(tài)改變成“授權(quán)”的指示。在613,WLAN GW 616可通過將用戶的瀏覽器重定向到起始頁以及使得用戶能夠通過WLAN網(wǎng)絡(luò)接入因特網(wǎng)來向用戶/UE 614指示成功認證。
通過將OpenID RP功能集成到AAA服務(wù)器617中,AAA服務(wù)器617可能不必為了認證而與HLR/HSS進行通信。此外,由于用戶可以在不向WLAN GW/RP發(fā)送其證書的情況下被認證和/或接入WLAN GW/RP,因此用戶認證可以是安全的。
圖7是示出了UAM-OpenID集成的流程圖,其中WLAN GW 714充當RP。如圖7所示,UE 712、AP 713、WLAN GW/RP 714、和/或OP服務(wù)器715可執(zhí)行通信,以使得UE 712能夠認證到無線網(wǎng)絡(luò)以便接入服務(wù)。UE 712上的本地組件(例如CM)可基于其標識信息(例如“MNO-WiFi”SSID)發(fā)現(xiàn)熱點AP 713。AP 713可經(jīng)由接入層信令(例如信標信道)被發(fā)現(xiàn)。UE 712上的本地組件(例如CM)可決定UE 712應(yīng)切換到熱點AP 713且可將該命令傳遞到UE 712的應(yīng)用層。UE 712上的本地組件可將應(yīng)用層網(wǎng)絡(luò)發(fā)現(xiàn)信息發(fā)送到UE 712上的應(yīng)用(例如瀏覽器)。
如圖7所示,在701,UE 712可與開放模式接入點(AP)713相關(guān)聯(lián)。例如,UE 712可執(zhí)行這種關(guān)聯(lián)(使用“MNO-WiFi”SSID)和/或開放模式接入。在702,如果UE 712被配置為使用DHCP獲得IP地址,則WLAN GW/RP 714可向UE 712分配私有IP地址。用戶可能不能使用所述IP地址接入因特網(wǎng)。在這一點,UE 712在WLAN GW/RP 714中的狀態(tài)可被設(shè)定為“未授權(quán)”,因此其可能不能經(jīng)由WLAN GW/RP 714接入服務(wù)。
用戶可打開UE 712上的網(wǎng)頁瀏覽器應(yīng)用。在703處,WLAN GW/RP 714可從UE 712接收針對網(wǎng)頁(例如用戶主頁)的請求。在704,WLAN GW/RP 714可將UE 712上的瀏覽器重定向到提示用戶登錄證書的門戶頁(例如IP/URI)。用戶可在登錄頁上輸入其OpenID標識符(例如URL或電子郵件地址)。
在705,WLAN GW/RP 714可從UE 712接收登錄證書,并且WLAN GW/RP 714可使用所接收的登錄證書來與OP服務(wù)器715執(zhí)行發(fā)現(xiàn)和/或關(guān)聯(lián)。在706,WLAN GW/RP 714(充當RP)可與OP服務(wù)器715執(zhí)行發(fā)現(xiàn)和/或關(guān)聯(lián)(例如使用OpenID協(xié)議)。在707,WLAN GW/RP 714可將UE 712重定向到OP服務(wù)器715。在708,UE 712可向OP服務(wù)器715進行認證(例如使用OpenID證書)。在709,OP服務(wù)器715可將UE 712重定向到WLAN GW/RP 714。在709處的重定向消息可包括認證斷定信息。在710,UE 712可向WLAN GW/RP 714呈現(xiàn)所述斷定信息和/或與OP服務(wù)器715成功認證的指示?;谒邮盏臄喽ㄐ畔⒑?或成功認證的指示,WLAN GW/RP 714可將用戶狀態(tài)改變成“授權(quán)”狀態(tài)。WLAN GW/RP 714可通過將UE 712上的瀏覽器重定向到起始頁來向用戶/UE 712指示成功認證,并且用戶能夠通過WLAN網(wǎng)絡(luò)接入因特網(wǎng)。在711,可使得用戶712能夠通過WLAN網(wǎng)絡(luò)進行因特網(wǎng)接入。
通過將OpenID RP功能集成到熱點WLAN GW 714中(如圖7所示),AAA服務(wù)器可能不必被用于認證。WLAN GW 714可能不使用RADIUS功能。與圖6中示出的實施方式類似,由于用戶可以在不向WLAN GW 714發(fā)送其證書的情況下被認證和/或接入所示熱點,圖7中的認證實施可包括安全認證。在圖7中示出的實施中,由于簡化的認證,WLAN服務(wù)/熱點提供商可到達較大的客戶群(customer base)。例如,可由一個熱點來支持多個OP,以允許服務(wù)被提供給來自多個MNO的客戶(例如充當OP服務(wù)器715),與此同時從由MNO提供的認證基礎(chǔ)結(jié)構(gòu)中獲益。
這里還描述了認證實施方式,該實施方式從應(yīng)用層證書生成證書(例如使用反向自舉)以用于基于EAP的公共熱點中的后續(xù)接入層或IP層認證。在用戶級處,用戶可輸入OpenID標識符來登錄到服務(wù),并且能夠接入之前未知的接入網(wǎng)絡(luò)(例如熱點B),與此同時服務(wù)繼續(xù)保持無縫地不被間斷。接入層或IP層證書可能不會在后續(xù)接入網(wǎng)處被預(yù)先提供,這是由于這些證書可以從已經(jīng)在運行的應(yīng)用服務(wù)安全性自舉得出。
使用基于EAP的公共熱點描述的認證實施方式可包括針對OpenID集成的實施選項。針對與802.1x/EAP公共熱點的OpenID集成的實施選項可包括對充當RP的熱點AAA服務(wù)器的使用、對充當OP的熱點AAA服務(wù)器的使用、和/或使用EAP-OpenID。
圖8是示出了EAP-OpenID集成的流程圖,其中AAA服務(wù)器820充當RP。將RP功能集成到熱點AAA服務(wù)中可使能對無縫認證和/或服務(wù)連續(xù)性(例如在3GPP與WLAN網(wǎng)絡(luò)之間)的支持??赏ㄟ^以下動作在將RP模塊集成到AAA服務(wù)器820中的公共熱點中無縫認證用戶:利用在UE 818和/或OP服務(wù)器821上導(dǎo)出的密鑰來完成EAP-SIM/AKA認證,使用活動連接(例如3GPP連接)來交換OpenID認證,和/或使得熱點AP 819能夠允許UE-OpenID交換。
如圖8所示,可使用UE 818、AP 819、AAA/RP服務(wù)器820和/或OP服務(wù)器821之間的通信來認證UE 818和/或其用戶。UE 818、AAA/RP服務(wù)器820、和/或OP服務(wù)器821每個可包括能夠在應(yīng)用層進行通信的應(yīng)用。UE 818、AP 819、和/或AAA/RP服務(wù)器820每個可包括能夠在IP層進行通信的IP層通信模塊。UE 818和/或AAA/RP服務(wù)器820可被配置成使能在其應(yīng)用與IP層通信模塊之間的通信。OpenID標識提供商(OP)可以是MNO或與MNO相關(guān)聯(lián)的應(yīng)用服務(wù)提供商。OP服務(wù)器821可服務(wù)多個MNO,以允許廣泛的客戶群使用熱點。AAA服務(wù)器820可被實施為RP,并可利用UE 818和/或OP服務(wù)器821上的密鑰822(例如在應(yīng)用層導(dǎo)出的)。根據(jù)示例實施方式,可利用應(yīng)用層密鑰822來完成EAP-SIM/AKA認證。
如圖8所示,在801,UE 818可經(jīng)由接入網(wǎng)通信(例如3GPP接入網(wǎng)通信)成功完成向OP服務(wù)器821的認證。UE 818和OP服務(wù)器821可在801建立共享密鑰822。共享密鑰822可以是例如在UE 818與OP服務(wù)器821之間在應(yīng)用層處建立的應(yīng)用層證書。在802,UE 818上的本地組件(例如連接管理器(CM))可基于其標識信息(例如“MNO-WiFi”SSID)來發(fā)現(xiàn)AP 819。可經(jīng)由接入層信令(例如信標信道)來發(fā)現(xiàn)AP 819的標識信息。UE 818(例如正在實施CM)可決定其應(yīng)切換到AP 819以接入服務(wù)。UE 818可以是AP 819網(wǎng)絡(luò)的未授權(quán)客戶端。
在803,AP 819(例如認證方)可發(fā)出EAP請求,以詢問UE 818的標識。在804,UE 818可返回標識符,例如其永久標識(例如國際移動訂戶標識(IMSI))、偽標識、快速認證標識、或UE 818的其它類似標識符。附加認證信息(例如其范圍)可與接入層標識符一起返回。所述范圍可包括在執(zhí)行認證中使用的附加信息,例如對于使用單點登錄(SSO)認證(例如IMSI@sso.MNO.com)的提示。
在805,AP 819可向AAA/RP服務(wù)器820發(fā)送接入層標識符。接入層標識符以及AP 819與AAA/RP服務(wù)器820之間的其它通信可使用RADIUS接入請求、接入質(zhì)詢、和/或接入接受消息來被發(fā)送。AAA/RP服務(wù)器820可將接入層標識符發(fā)送到AAA/RP服務(wù)器820上的應(yīng)用層?;谒鼋尤雽訕俗R符和/或運營商策略,AAA服務(wù)器820的RP功能可在806執(zhí)行與OP服務(wù)器821的發(fā)現(xiàn)和/或關(guān)聯(lián)。可使用OpenID協(xié)議來執(zhí)行所述發(fā)現(xiàn)和/或關(guān)聯(lián)。在806處的發(fā)現(xiàn)和/或關(guān)聯(lián)期間,AAA/RP服務(wù)器820可向OP服務(wù)器821發(fā)送接入層標識符。例如,可在AAA/RP服務(wù)器820與OP服務(wù)器821之間在應(yīng)用層處發(fā)送所述接入層標識符。OP服務(wù)器821可使用接入層標識符和/或應(yīng)用層證書822來生成可被用來在AAA/RP服務(wù)器820處認證UE 818的密鑰材料。例如,OP服務(wù)器821可使用接入層標識符來確定與UE 818相關(guān)聯(lián)的應(yīng)用層證書822??墒褂妹荑€導(dǎo)出功能從應(yīng)用層證書822導(dǎo)出密鑰材料。根據(jù)示例實施方式,密鑰材料可包括會話密鑰,該會話密鑰可被用于UE 818與AAA/RP服務(wù)器820之間的認證。在807,OP服務(wù)器821可將密鑰材料發(fā)送到AAA/RP服務(wù)器820。
AAA/RP服務(wù)器820可使用從OP服務(wù)器821接收的密鑰材料來向UE 818發(fā)送EAP-SIM/AKA質(zhì)詢。可發(fā)送所述EAP-SIM/AKA以使能重認證過程,而不必與HLR/HSS對接或通信。在808,AAA/RP服務(wù)器820可向AP 819發(fā)送接入質(zhì)詢。接入質(zhì)詢可包括與UE 818相關(guān)聯(lián)的標識符和/或在807處接收的密鑰材料。AP 819可在809經(jīng)由無線電接入網(wǎng)將從AAA/RP服務(wù)器820接收的EAP消息(例如EAP-請求/質(zhì)詢)發(fā)送到UE 818。在接收所述EAP-請求/質(zhì)詢消息之后,UE 818可檢查所述密鑰材料,以確認所述消息以及在810使用應(yīng)用層證書822生成EAP響應(yīng)。例如,UE 818可將所述質(zhì)詢發(fā)送到位于UE 818上的可信環(huán)境(例如可信處理模塊、UICC、SIM、智能卡等),所述可信環(huán)境可使用密鑰導(dǎo)出功能從應(yīng)用層證書822導(dǎo)出密鑰材料。所述密鑰材料可與在OP服務(wù)器821處使用應(yīng)用層證書生成的密鑰材料相同。例如,所述密鑰材料可包括可被用于UE 818與AAA/RP服務(wù)器820之間的認證的會話密鑰。在810,所述密鑰材料可被用來生成響應(yīng)。所述響應(yīng)可在UE 818的應(yīng)用層處被生成,并可被傳送到接入層,以用于到AP 819的傳輸。
在811,UE 818可使用例如重認證過程以EAP-響應(yīng)消息的形式將所述響應(yīng)返回到AP 819。所述響應(yīng)可包括UE標識符和/或在UE 818處生成的密鑰材料(例如會話密鑰)。在812,AP 819可將EAP-響應(yīng)/質(zhì)詢消息轉(zhuǎn)發(fā)到AAA/RP服務(wù)器820,例如以接入請求消息的形式。在812處的接入請求可包括EAP ID和/或在811處來自UE 818的密鑰材料。AAA/RP服務(wù)器820可確認所接收的消息和/或檢查所接收的響應(yīng)是否與在812處所期望的響應(yīng)相匹配,以及如果檢查成功,則AAA/RP服務(wù)器820可指示成功認證和/或UE 818可以使用WLAN網(wǎng)絡(luò)接入服務(wù)。例如,在813,AAA/RP 820可向AP 819發(fā)送接入接受消息。接入接受消息可包括EAP成功指示符和/或密鑰材料。AP 819可在814將EAP成功指示符轉(zhuǎn)發(fā)到UE 818。在815,UE 818在AP 819的狀態(tài)可變成被授權(quán)以供AP 819使用。由于UE 818被授權(quán),則UE 818可在816使用DHCP獲得IP地址。在817,UE 818可使用例如IP地址通過WLAN網(wǎng)絡(luò)接入因特網(wǎng)。
使用圖8中示出的呼叫流程或其中的一部分,熱點AAA服務(wù)器820可能不必連接到MNO HLR/HSS以使用EAP協(xié)議來執(zhí)行認證。例如,通過如此所述使用OpenID,AAA服務(wù)器820或其它RP實體可避免為了執(zhí)行用戶認證而與HLR/HSS或其它SS7實體進行通信。反而,AAA服務(wù)器820可與基于網(wǎng)際協(xié)議(IP)的HTTP(S)接口(例如用于OpenID的基于IP的HTTP(S)接口)通信。
圖9是示出了EAP-OpenID集成的另一流程圖,其中AAA服務(wù)器923充當RP。如圖9中所示,可使用UE 921、AP 922、AAA/RP服務(wù)器923和/或OP服務(wù)器924之間的通信來認證UE 921和/或其用戶,以在WLAN上進行通信。UE 921、AAA/RP服務(wù)器923、和/或OP服務(wù)器924每個可包括能夠在應(yīng)用層進行通信的應(yīng)用。UE 921、AP 922、和/或AAA/RP服務(wù)器923每個可包括能夠在IP層進行通信的IP層通信模塊。UE 921和/或AAA/RP服務(wù)器923每個可被配置成使能其應(yīng)用與IP層通信模塊之間的通信。根據(jù)示例實施方式,AP 922可被配置成允許OpenID交換用于未授權(quán)UE 921,其中UE 921能夠經(jīng)由AP 922到達AAA/RP服務(wù)器923和/或OP服務(wù)器924并與之進行通信。
在圖9中示出的實施方式中,可能不存在之前已經(jīng)在UE 921與OP服務(wù)器924之間共享的新鮮密鑰(如圖8中所示)。因此,UE 921和/或OP服務(wù)器924可執(zhí)行認證以及應(yīng)用層標識密鑰925的生成。AAA服務(wù)器923可充當RP,并可使用連接(例如3GPP連接)來執(zhí)行OpenID認證。UE 921可以是能夠同時與多個網(wǎng)絡(luò)建立連接的裝置(例如UE 921可以是能夠同時經(jīng)由3GPP網(wǎng)絡(luò)和經(jīng)由WLAN熱點建立連接的多RAT裝置)。如圖9中所示,所建立的3GPP連接可被用來交換OpenID消息和完成EAP-SIM/AKA認證。雖然圖9使用在活動3GPP連接中建立的證書來為WLAN上的通信執(zhí)行認證,應(yīng)該理解的是,也可以以與圖9中所述類似的方式使用其它形式的無線連接來執(zhí)行認證。
在901,UE 921可具有建立的活動3GPP連接而且其可通過該連接到達AAA/RP服務(wù)器923和/或OP服務(wù)器924。根據(jù)另一示例實施方式,AP 922可允許OpenID交換用于UE 921的認證,而不是使用在901建立的3GPP連接。在任一實施方式中,協(xié)議流可與圖9中示出的相同或相似。繼續(xù)圖9中的協(xié)議流,在902,UE 921上的本地組件(例如CM)可發(fā)現(xiàn)AP 922、和/或其標識信息(例如“MNO-WiFi”SSID)??山?jīng)由接入層信令(例如信標信道)來發(fā)現(xiàn)AP 922。UE 921上的本地組件(例如CM)可決定UE 921應(yīng)連接到AP 922。UE 921可以是在AP 922處的未授權(quán)客戶端,且可能不具有網(wǎng)絡(luò)上的接入。
在903,AP 922(例如認證方)可發(fā)出EAP請求,以詢問UE 921的IP層標識。在904,UE 921可經(jīng)由EAP響應(yīng)返回其IP層標識。UE 921的IP層標識可包括其國際移動訂戶標識(IMSI)和/或附加認證信息。附加信息可包括UE 921的范圍。所述范圍可包括附加認證信息,例如對于使用SSO認證(例如IMSI@sso.MNO.com)的提示。在905,AP 922可向AAA/RP服務(wù)器923發(fā)送IP層標識(EAP ID)。IP層標識以及AP 922與AAA/RP服務(wù)器923之間的其它通信可使用RADIUS接入消息(例如RADIUS接入請求消息、RADIUS接入質(zhì)詢消息、和/或RADIUS接入接受消息)來被發(fā)送。
在906,AAA/RP服務(wù)器923可發(fā)現(xiàn)OP服務(wù)器924,并執(zhí)行與OP服務(wù)器924的關(guān)聯(lián)。例如,AAA服務(wù)器923的RP功能可使用OpenID協(xié)議來發(fā)現(xiàn)OP服務(wù)器924并執(zhí)行與OP服務(wù)器924的關(guān)聯(lián)。UE 921上的應(yīng)用可在907向AAA/RP服務(wù)器924(其可充當依賴方(RP))發(fā)送登錄請求。907處的具有OpenID的登錄請求可在3GPP連接上被發(fā)送。UE 921上的應(yīng)用可基于對發(fā)起來自UE 921上的本地實體(例如CM)的通信的指示來發(fā)送所述登錄請求。通過在3GPP無線連接上與UE 921進行通信,在908,AAA/RP服務(wù)器923可將UE 921重定向到OP服務(wù)器924。
UE 921可在909處通過3GPP連接與OP服務(wù)器924進行認證(例如使用OpenID證書)。例如,UE可使用OpenID證書與OP進行認證。一旦向OP服務(wù)器924的認證成功完成,可在UE 921和/或OP服務(wù)器924上建立應(yīng)用層證書925。OP服務(wù)器924可基于應(yīng)用層證書925生成密鑰材料。所述密鑰材料可被用于UE 921與AAA/RP服務(wù)器923之間的認證。可使用密鑰導(dǎo)出功能從應(yīng)用層證書925導(dǎo)出密鑰材料。根據(jù)示例實施方式,密鑰材料可包括會話密鑰,該會話密鑰可用于使用AAA/RP服務(wù)器920的認證。
在910,OP服務(wù)器924可基于應(yīng)用層證書925將密鑰材料發(fā)送到AAA/RP服務(wù)器923。AAA/RP服務(wù)器923可在應(yīng)用層接收密鑰材料,并將該密鑰材料傳遞到其IP層通信模塊,以用于向AP 922進行傳送。在911,AAA/RP服務(wù)器923可使用密鑰材料來經(jīng)由AP 922向UE 921發(fā)送EAP-SIM/AKA質(zhì)詢。所述質(zhì)詢可以基于重認證過程,其中AAA/RP服務(wù)器923可在不與HLR/HSS通信的情況下執(zhí)行認證。在911的質(zhì)詢可包括EAP ID和/或在910處接收的密鑰材料。AP 922可在911接收質(zhì)詢,并在912將從AAA/RP服務(wù)器923接收的EAP消息(EAP-請求/質(zhì)詢消息)發(fā)送到UE 921。
在在912處接收所述EAP-請求/質(zhì)詢消息之后,UE 921可在913使用應(yīng)用層證書925生成響應(yīng)。UE 921可檢查從AAA/RP服務(wù)器接收的密鑰材料并可將所述質(zhì)詢發(fā)送到可信環(huán)境(例如可信處理模塊、UICC、SIM、智能卡等),所述可信環(huán)境使用應(yīng)用層證書925來生成響應(yīng)。例如,UE 921上的可信環(huán)境可使用密鑰導(dǎo)出功能從應(yīng)用層證書925導(dǎo)出密鑰材料。所述密鑰材料可與在OP服務(wù)器924處使用應(yīng)用層證書925生成的密鑰材料相同。例如,所述密鑰材料可包括可被用于UE 921與AAA/RP服務(wù)器923之間的認證的會話密鑰。在913,所述密鑰材料可被用來生成響應(yīng)。所述響應(yīng)可在UE 921的應(yīng)用層處被生成,并被傳送到接入層,以用于到AP 922的傳輸。
在914,UE 921可基于重認證過程在EAP-響應(yīng)消息中將所述響應(yīng)返回到AP 922。所述EAP-響應(yīng)消息可包括IP層標識符和/或從應(yīng)用層證書925生成的密鑰材料。在915,AP 922可將EAP-響應(yīng)/質(zhì)詢消息轉(zhuǎn)發(fā)到AAA/RP服務(wù)器923。AAA/RP服務(wù)器923可通過檢查EAP-響應(yīng)/質(zhì)詢消息中的密鑰材料來認證所述UE 921,以及如果檢查成功,則AAA/RP服務(wù)器923可使得UE 921能夠在WLAN網(wǎng)絡(luò)上接入服務(wù)。例如,在916,AAA/RP服務(wù)器923可向AP 922發(fā)送接入接受消息,該接入接受消息包括EAP成功以及密鑰材料??稍?17將EAP成功消息轉(zhuǎn)發(fā)到UE 921。在918,UE 921的狀態(tài)可在AP 922上變成被授權(quán)。UE 921可在919處使用DHCP從AP 922獲得IP地址,并可在920處通過WLAN網(wǎng)絡(luò)接入因特網(wǎng)。
這里使用OpenID來創(chuàng)建UE 921與OP服務(wù)器924之間的共享證書(例如應(yīng)用層證書925)。應(yīng)用層證書925可被用于在AAA/RP服務(wù)器923處對用戶/UE 921的認證。圖9中示出的實施方式使得UE 921能夠向OP服務(wù)器924認證并共享秘密925。一旦在UE 921與OP服務(wù)器924之間認證成功(例如使用OpenID-AKA),則UE 921與OP服務(wù)器924之間的認證使得應(yīng)用層證書925能夠被生成。OP服務(wù)器924隨后可使用應(yīng)用層證書925來對在910處被發(fā)送到AAA/RP服務(wù)器923并隨后由AAA/RP服務(wù)器923使用應(yīng)用層證書925進行驗證的斷定進行簽名。一旦在OP服務(wù)器924與UE 921之間生成密鑰925(作為例如OpenID過程的一部分),則可使用另一網(wǎng)絡(luò)實體來向UE 921(例如向UE 921上的CM)遞送EAP證書(例如密鑰材料)。
再次,使用圖9中示出的協(xié)議流或其中的一部分,熱點AAA服務(wù)器923可不必連接到MNO HLR/HSS以使用EAP協(xié)議來執(zhí)行認證。反而,AAA服務(wù)器923可與基于簡單網(wǎng)際協(xié)議(IP)的HTTP(S)接口(例如用于OpenID的基于IP的HTTP(S)接口)通信。除了AP消息或未認證裝置之外,熱點AP 922可允許OpenID交換。
圖10是示出了EAP-OpenID集成和本地OpenID提供商(本地OP)的實施的流程圖,其中AAA服務(wù)器1022充當RP。如圖10中所示,可使用UE 1018、AP 1021、AAA/RP服務(wù)器1022和/或OP服務(wù)器1023之間的通信來認證UE 1018和/或其用戶。如圖10中所示,UE 1018可包括本地OP 1019和瀏覽代理(BA)/連接管理器(CM)1020,所述本地OP 1019和瀏覽代理(BA)/連接管理器(CM)1020每個被配置為互相通信和/或與其它網(wǎng)絡(luò)實體通信,以執(zhí)行認證和獲得對服務(wù)的接入。雖然BA/CM 1020在圖10中被示為單個實體,BA和CM可以是UE 1018內(nèi)執(zhí)行獨立功能的分離實體??稍诎踩h(huán)境(例如可信處理模塊、UICC、SIM、智能卡等)內(nèi)在UE 1018上安裝本地OP 1019。本地OP 1019可充當UE 1018的OP服務(wù)器。本地OP 1019可包括長期秘密1024,可將該長期秘密1024與網(wǎng)絡(luò)上的OP服務(wù)器1023共享。在成功的本地用戶認證之后,本地OP 1019可創(chuàng)建標識斷定和/或?qū)ζ溥M行簽名。
在1001,UE 1018可具有活動3GPP連接而且其可通過該連接(例如經(jīng)由BA/CM 1020)到達AAA/RP 1022和/或OP服務(wù)器1023。雖然在圖10中可在3GPP與WLAN連接之間建立認證和服務(wù)連續(xù)性,應(yīng)該認識到,可將類似的通信用于其它網(wǎng)絡(luò)之間的認證和服務(wù)連續(xù)性。在1002,BA/CM 1020可發(fā)現(xiàn)AP 1021(例如在接入網(wǎng)處)和/或其標識信息。此時,UE 1018可以是WLAN網(wǎng)絡(luò)上的未授權(quán)客戶端。AP 1021的標識信息可包括“MNO-WiFi”SSID。可經(jīng)由接入層信令(例如信標信道)來發(fā)現(xiàn)AP 1023和/或其標識信息。BA/CM 1020可決定UE 1018應(yīng)連接到AP 1021。在1003,AP 1021(例如認證方)可發(fā)出EAP請求,以詢問UE 1018標識。在1004,UE 1018可返回其IP層標識。UE 1018IP層標識可包括國際移動訂戶標識(IMSI)和/或附加認證信息,例如其范圍。所述范圍可包括例如對于使用SSO認證(例如IMSI@sso.MNO.com)的提示。
在1005,AP 1021可向AAA/RP服務(wù)器1022發(fā)送EAP ID(例如IP層標識)。在1006,UE 1018上的BA/CM 1020可向AAA/RP 1022發(fā)送具有OpenID標識的HTTP GET請求。在1007,AAA服務(wù)器1022的RP功能可執(zhí)行與OP服務(wù)器1023的發(fā)現(xiàn)和/或關(guān)聯(lián)。作為結(jié)果,可創(chuàng)建關(guān)聯(lián)密鑰1024和/或關(guān)聯(lián)句柄,并將它們在OP服務(wù)器1023與AAA/RP服務(wù)器1022之間共享。根據(jù)示例實施方式,OP服務(wù)器1023可接收與UE 1018相關(guān)聯(lián)的接入層標識并在應(yīng)用層向AAA/RP服務(wù)器1022發(fā)送關(guān)聯(lián)密鑰1024和/或關(guān)聯(lián)句柄。AAA/RP服務(wù)器1022可從該關(guān)聯(lián)密鑰1024導(dǎo)出EAP密鑰1025和/或質(zhì)詢。例如,可使用密鑰導(dǎo)出功能或反向自舉過程從關(guān)聯(lián)密鑰1024導(dǎo)出EAP密鑰1025。AAA/RP服務(wù)器1022可在1008將UE 1018重定向到本地OP 1019,以進行認證。這一從AAA/RP 1022到本地OP 1019的重定向消息可包括關(guān)聯(lián)句柄,但可能不包括關(guān)聯(lián)密鑰1024。
在1009,UE 1018和/或BA/CM 1020可在本地與本地OP 1019進行認證,和/或生成經(jīng)簽名的斷定。UE 1018可從關(guān)聯(lián)句柄導(dǎo)出本地斷定密鑰1024,并使用該斷定密鑰1024來對所述斷定進行簽名。到本地OP 1019的重定向請求可包括關(guān)聯(lián)句柄,其中本地OP 1019可使用該關(guān)聯(lián)句柄來導(dǎo)出與在OP服務(wù)器1023與AAA/RP服務(wù)器1022之間共享的密鑰相同的簽名密鑰1024。一旦認證成功完成,則可由本地OP 1019創(chuàng)建經(jīng)簽名的斷定消息。本地OP 1019還可導(dǎo)出與AAA/RP服務(wù)器1022在1007處生成的密鑰相同的EAP密鑰1025。在步驟1009的一種變形中,為了完成OpenID協(xié)議運行,本地OP 1019可在1009(b)使用經(jīng)簽名的斷定消息將BA/CM 1020重定向到AAA/RP服務(wù)器1022,以進行驗證。本地OP 1019和網(wǎng)絡(luò)OP服務(wù)器1023可共享長期秘密1024,該長期秘密1024可被用來導(dǎo)出簽名密鑰1025。
AAA/RP服務(wù)器1022可基于所生成的EAP密鑰1025生成EAP質(zhì)詢。EAP質(zhì)詢可以是EAP-SIM/AKA質(zhì)詢并可在不必與HLR/HSS通信的情況下被發(fā)送到UE 1018。例如,AP 1021可在1010從AAA/RP 1022接收接入質(zhì)詢并在1011向UE 1018上的BA/CM 1020發(fā)送EAP請求。所述接入質(zhì)詢和EAP請求可包括EAP標識和/或EAP質(zhì)詢。在接收EAP-請求/質(zhì)詢消息之后,UE 1018可使用EAP密鑰1025確認所述消息和/或生成響應(yīng)。例如,UE 1018可向UE 1018上的安全環(huán)境(例如可信處理模塊、UICC、SIM、智能卡等)發(fā)送質(zhì)詢,所述安全環(huán)境可使用EAP密鑰1025來生成EAP響應(yīng)。
在1012,UE 1018可將EAP響應(yīng)返回到AP 1021。所述EAP響應(yīng)可包括EAP標識和/或從共享密鑰1025生成的EAP密鑰1025。在1013,AP 1021可將EAP-響應(yīng)/質(zhì)詢消息轉(zhuǎn)發(fā)到AAA/RP服務(wù)器1022。AAA/RP服務(wù)器可確認所述消息并基于所導(dǎo)出的EAP密鑰1025將所接收的響應(yīng)與所期望的響應(yīng)進行比較。當在AAA/RP服務(wù)器1022處執(zhí)行的認證檢查成功時,AAA/RP 服務(wù)器1022可在1014處向AP 1021發(fā)送對成功認證的指示。例如,AAA/RP服務(wù)器1022可向AP 1021發(fā)送接入接受消息,該接入接受消息包括EAP成功以及密鑰材料??稍?015將對成功認證的指示轉(zhuǎn)發(fā)到UE 1018。在已經(jīng)執(zhí)行了成功認證之后,針對AP 1021上的通信,UE 1018的狀態(tài)可變成被授權(quán)。UE 1018可在1016處獲得IP地址(例如使用DHCP),并可在1017處使用AP 1021通過WLAN接入因特網(wǎng)。
通過使用圖10中示出的協(xié)議流或其中的一部分,熱點AAA服務(wù)器1022可不必連接到MNO HLR/HSS以使用EAP協(xié)議來執(zhí)行認證。此外,本地OP 1019的使用使得UE 1018能夠為EAP進程執(zhí)行本地密鑰生成以及對用戶的本地認證。
圖11是示出了EAP-OpenID集成的另一流程圖,其中AAA服務(wù)器1121充當RP。在從UE 1018請求服務(wù)之前,AAA/RP 1121可發(fā)起與已知的OP服務(wù)器的預(yù)取(pre-fetch)關(guān)聯(lián)。如圖11中所示,可使用UE 1117、AP 1120、AAA/RP服務(wù)器1121和/或OP服務(wù)器1122之間的通信來認證UE 1117和/或其用戶,以接入所述服務(wù)。根據(jù)圖11中示出的示例實施方式,UE 1117可使用本地OP 1118來執(zhí)行本地認證以及執(zhí)行從UE 1117上的OpenID簽名密鑰1123對EAP密鑰1124的密鑰生成。此外,圖11中示出的實施方式可在UE 1117向AAA/RP服務(wù)器1121認證之前使用OpenID的標識符選擇模式來設(shè)置AAA/RP服務(wù)器1121與OP服務(wù)器1122之間的關(guān)聯(lián)。這可通過在OP服務(wù)器1122與AAA/RP服務(wù)器1121之間預(yù)先建立關(guān)聯(lián)來使能避免OP發(fā)現(xiàn)。當UE(例如UE 1117)移動到接入網(wǎng)并使得網(wǎng)絡(luò)切換能夠?qū)τ脩羰菬o縫的時,這可導(dǎo)致減少完成SSO過程的時間。
根據(jù)示例實施方式,AAA/RP服務(wù)器1121可與已知OP服務(wù)器(例如OP服務(wù)器1122)發(fā)起多個關(guān)聯(lián)。AAA/RP服務(wù)器1121可使用OpenID的標識符選擇模式來發(fā)起這種關(guān)聯(lián)(其中可使用提供商URL,而不是完整標識符URL,其可隨后由本地OP 1118完成)。AAA/RP服務(wù)器1121可存儲其從OP服務(wù)器獲得的關(guān)聯(lián)句柄和關(guān)聯(lián)秘密。由AAA/RP服務(wù)器1121執(zhí)行的發(fā)現(xiàn)和關(guān)聯(lián)中的一者可包括在1101處與OP服務(wù)器1121的發(fā)現(xiàn)和關(guān)聯(lián)。AAA/RP 1121可存儲從OP服務(wù)器1122接收的關(guān)聯(lián)句柄和/或關(guān)聯(lián)秘密1123。
在1102,UE上的本地組件(例如BA/CM 1119)可基于其標識信息發(fā)現(xiàn)AP 1120。可經(jīng)由例如接入層信令來標識AP 1120。此時,UE 1117可以是與AP 1120相關(guān)聯(lián)的網(wǎng)絡(luò)(例如WLAN)上的未授權(quán)客戶端。BA/CM 1119可決定UE 1117應(yīng)連接到AP 1120。在1103,AP 1120可請求UE 1117的IP層標識。在1104,UE 1117可將其IP層標識和/或附加認證信息返回到AP 1120。在1105,AP 1120可向AAA/RP服務(wù)器1121發(fā)送UE 1117的IP層標識符。
在1106,UE 1117上的BA/CM 1119可向AAA/RP 1121發(fā)送具有OpenID提供商URL、電子郵件地址或其它登錄標識符(例如在標識符選擇模式中)的請求。AAA/RP服務(wù)器1121可選擇預(yù)先建立的關(guān)聯(lián)句柄和關(guān)聯(lián)密鑰中的一者。例如,AAA/RP服務(wù)器1121可基于從UE 1117接收的登錄標識符選擇已經(jīng)與OP服務(wù)器1122預(yù)先建立的關(guān)聯(lián)句柄和關(guān)聯(lián)密鑰1123。AAA/RP服務(wù)器1121可從該關(guān)聯(lián)密鑰1123導(dǎo)出EAP密鑰1124和/或EAP質(zhì)詢。例如,可使用密鑰導(dǎo)出功能或反向自舉過程從關(guān)聯(lián)密鑰1123導(dǎo)出EAP密鑰1124。AAA/RP 1121可在1107將UE 1117重定向到本地OP 1118,以用于認證。由于部署了本地OP 1118,可將認證重定向到本地OP 1118。這一到本地OP 1118的重定向可包括關(guān)聯(lián)句柄,但可能不包括關(guān)聯(lián)秘密1123。
在1108,UE 1117和/或BA/CM 1119可在本地與本地OP 1118進行認證。到本地OP 1118的重定向請求可包括關(guān)聯(lián)句柄,其中本地OP 1118可使用該關(guān)聯(lián)句柄來導(dǎo)出與在OP服務(wù)器1122與AAA/RP 1121之間共享的密鑰相同的關(guān)聯(lián)密鑰1123。本地OP 1118和網(wǎng)絡(luò)OP服務(wù)器1122可共享長期秘密,該長期秘密可被用來導(dǎo)出簽名密鑰1123。一旦認證成功完成,則本地OP 1118可從同樣在AAA/RP服務(wù)器1121處導(dǎo)出的簽名密鑰1123導(dǎo)出EAP密鑰1124??墒褂美缑荑€導(dǎo)出功能來導(dǎo)出EAP密鑰。本地OP 1118可使用EAP密鑰1124來生成經(jīng)簽名的斷定消息,以向AAA/RP服務(wù)器1121進行發(fā)送。
AAA/RP服務(wù)器1121可基于所生成的EAP密鑰1124生成EAP質(zhì)詢,并可在不必與HLR/HSS通信的情況下將EAP質(zhì)詢發(fā)送到UE 1117。例如,在1109,可將接入質(zhì)詢從AAA/RP 1121發(fā)送到AP 1120。所述接入質(zhì)詢可包括EAP ID和/或質(zhì)詢。在1110,AP 1120可將從AAA/RP服務(wù)器1121接收的EAP消息(EAP-請求/質(zhì)詢)發(fā)送到BA/CM 1119。
在接收EAP-請求/質(zhì)詢消息之后,UE 1118可使用EAP密鑰1124確認所述消息并生成響應(yīng)。UE 1118可向可信環(huán)境(例如可信處理模塊、UICC、SIM、智能卡等)發(fā)送EAP質(zhì)詢,所述可信環(huán)境可使用EAP密鑰1124來生成EAP響應(yīng)。在1111,UE 1117可將響應(yīng)消息返回到AP 1120。所述響應(yīng)消息可包括EAP ID和/或EAP響應(yīng)。在1112,AP 1120將EAP-響應(yīng)/質(zhì)詢消息轉(zhuǎn)發(fā)到AAA/RP服務(wù)器1121。AAA/RP可使用所述EAP密鑰1124執(zhí)行認證。當在AAA/RP服務(wù)器1121處執(zhí)行的認證檢查成功時,AAA/RP服務(wù)器1121可在1113處發(fā)送對成功認證的指示。例如,AAA/RP服務(wù)器1121可向AP 1120發(fā)送指示成功認證的消息。例如,對成功認證的指示可包括EAP成功和密鑰材料??稍?114將對成功認證的指示轉(zhuǎn)發(fā)到UE 1117。在已經(jīng)執(zhí)行了成功認證之后,UE 1117狀態(tài)可在AP 1120上變成被授權(quán)。UE 1117可在1115處獲得IP地址以用于AP 1120上的通信(例如使用DHCP),并可在1116處使用AP 1120接入因特網(wǎng)。
圖12是示出了將AAA服務(wù)器1218實施為OP服務(wù)器的認證協(xié)議的流程圖??墒褂肬E 1216、AP 1217、和AAA/OP服務(wù)器1218來實施圖12中示出的流程圖。AP 1217可以是熱點或能夠在WLAN網(wǎng)絡(luò)上進行通信的其它節(jié)點。將OP服務(wù)器功能性集成到熱點AAA服務(wù)中可使能對網(wǎng)絡(luò)間(例如3GPP與WLAN網(wǎng)絡(luò)之間)的無縫認證和/或服務(wù)連續(xù)性的支持。AAA/OP服務(wù)器1218可使用之前在UE 1216和/或AAA/OP服務(wù)器1218上生成的密鑰1219來執(zhí)行認證,以用于在WLAN網(wǎng)絡(luò)上接入服務(wù)。根據(jù)示例實施方式,之前生成的密鑰1219可以是應(yīng)用層證書。雖然圖12描述了針對3GPP與WLAN網(wǎng)絡(luò)間的無縫認證和/或服務(wù)連續(xù)性的網(wǎng)絡(luò)通信,但應(yīng)該理解的是,類似的通信可被用于其它類型的無線網(wǎng)絡(luò)之間的無縫認證和服務(wù)連續(xù)性。
如此處所示,用戶可以在公共熱點(例如AP 1217)與被集成到AAA服務(wù)器1218中的OP模塊進行無縫認證。根據(jù)一種實施方式,可使用AAA/OP服務(wù)器1218來執(zhí)行認證,以利用在UE 1216和/或AAA/OP服務(wù)器1218上導(dǎo)出的密鑰1219來完成認證(例如EAP-SIM/AKA認證)?;顒拥?GPP連接可被用來交換認證消息(例如OpenID認證消息),以用于在WLAN網(wǎng)絡(luò)進行認證。
如圖12中所示,在1201,UE 1216可通過3GPP接入網(wǎng)成功完成向AAA/OP服務(wù)器1218的認證。在3GPP接入網(wǎng)上的認證協(xié)議期間,可在UE1216和/或AAA/OP服務(wù)器1218上建立共享密鑰1219。在1202,UE上的本地組件(例如CM)可基于其標識信息發(fā)現(xiàn)AP 1217。例如AP 1217的標識信息可以是“MNO-WiFi”SSID??山?jīng)由接入層信令(例如信標信道)來發(fā)現(xiàn)AP 1217。UE 1216的本地組件(例如CM)可決定UE 1216應(yīng)切換到熱點。
在1203,AP 1217(例如認證方)可發(fā)出EAP請求,以詢問UE 1216的IP層標識。在1204,UE 1216可將其IP層標識和/或附加認證信息返回到AP 1217。例如,UE 1216可返回其國際移動訂戶標識(IMSI)。附加認證信息可包括范圍。所示范圍包括對于使用SSO認證(例如IMSI@sso.MNO.com)的提示。根據(jù)示例實施方式,UE 1216可提供附加信息,以在發(fā)現(xiàn)UE 1216認證能力的過程中進行輔助,例如通過對IMSI預(yù)先附加(pre-pending)比特(例如‘0’或‘1’)來分別提示服務(wù)器使用EAP-AKA或EAP-SIM過程。
在1205,AP 1217可向AAA/OP服務(wù)器1218發(fā)送EAP ID(例如接入層標識)?;谥吧傻呐cUE 1216共享的密鑰1219,在1206,AAA服務(wù)器1218的OP功能可生成質(zhì)詢。例如,AAA/OP服務(wù)器1218可導(dǎo)出會話密鑰,以在接入層的認證中使用。例如,可使用密鑰導(dǎo)出功能或通用自舉過程來導(dǎo)出會話密鑰。AAA/OP服務(wù)器1218可使用重認證過程在EAP-SIM/AKA質(zhì)詢消息中向UE 1216發(fā)送質(zhì)詢。例如,AP 1217可在1207接收EAP消息,該EAP消息包括從共享密鑰1219生成的會話密鑰和/或來自AAA/OP服務(wù)器1218的EAP ID。在1208,AP 1217隨后可將從AAA/OP服務(wù)器接收的EAP消息(EAP-請求/質(zhì)詢)轉(zhuǎn)發(fā)到UE 1216。
在接收所述EAP-請求/質(zhì)詢消息之后,UE 1216可使用所述會話密鑰執(zhí)行認證。UE 1216可將所述質(zhì)詢發(fā)送到位于其上的安全環(huán)境(例如可信處理模塊、UICC、SIM、智能卡等),所述安全環(huán)境可使用與AAA/OP服務(wù)器1218的共享密鑰1219在1209處生成EAP響應(yīng)。例如,EAP響應(yīng)消息可包括從共享密鑰1219生成的響應(yīng)。
在1210,UE 1216可基于重認證過程在到AP 1217的響應(yīng)中將EAP消息返回到AP 1217。所述EAP消息可包括EAP ID和/或是使用共享密鑰1219生成的響應(yīng)。在1211,AP 1217可將EAP-響應(yīng)/質(zhì)詢消息轉(zhuǎn)發(fā)到AAA/OP服務(wù)器1218。AAA/OP服務(wù)器1218可確認所述消息和/或?qū)⒃贓AP-響應(yīng)/質(zhì)詢消息中接收的響應(yīng)與期望的響應(yīng)進行比較。當在AAA/OP服務(wù)器1218處執(zhí)行的檢查成功時,AAA/OP服務(wù)器1218可經(jīng)由AP 1217向UE 1216發(fā)送成功認證的指示。例如,在1212,AAA/OP服務(wù)器1218可向AP 1217發(fā)送接入接受消息,該接入接受消息包括EAP成功和/或密鑰材料。在1213,EAP成功消息可被轉(zhuǎn)發(fā)到UE 1216。一旦成功認證,UE 1216狀態(tài)可在AP 1217上變成被授權(quán)。在1214,UE 1216可從AP 1217獲得IP地址(例如使用DHCP),并可在1215通過WLAN網(wǎng)絡(luò)接入因特網(wǎng)。
如此所述,可在UE 1216與AAA/OP服務(wù)器1218之間生成共享證書1219。可在另一網(wǎng)絡(luò)處的認證期間或之后建立所述共享證書。UE 1216可向AAA/OP服務(wù)器1218進行認證,該AAA/OP服務(wù)器1218可使用所述共享證書1219來對斷定進行簽名,該斷定被發(fā)送到RP并隨后由RP使用共享證書1219進行驗證。一旦成功認證,UE 1216與AAA/OP 1218之間的認證可生成共享證書1219(例如使用OpenID-AKA)。一旦在AAA/OP 1218與UE 1216之間生成共享證書1219,另一實體可將所述EAP證書遞送到UE 1216(例如在CM處)。
這里描述的實施方式可消除在熱點AAA服務(wù)器上對復(fù)雜MAP/直徑接口的實施,或與MNO HLR/HSS對接和通信以進行AV獲取。此外,可使能3GPP與WLAN熱點之間的無縫認證和服務(wù)連續(xù)性。如圖12所示,可在熱點AAA服務(wù)器1218中實施OP模型。作為將OP集成到熱點AAA服務(wù)器的替換或補充,可將OP功能性實施到MNO AAA服務(wù)器中,并且熱點AAA服務(wù)器可充當AAA代理,其將請求中繼到MNO AAA服務(wù)器。
圖13示出了用于將OpenID消息集成到EAP協(xié)議消息中的協(xié)議流的示例實施方式。該協(xié)議流或與之相似的協(xié)議流可被實施以例如使能圖11和12所示的一些網(wǎng)絡(luò)通信。
如圖13所示,UE 1316、AP/RP 1317、和/或OP服務(wù)器1318可執(zhí)行通信,以使能在網(wǎng)絡(luò)處認證UE 1316。在1301,UE 1316可發(fā)現(xiàn)與AP/RP 1317相關(guān)聯(lián)的接入網(wǎng)。此時,UE 1316對于網(wǎng)絡(luò)上的通信可以是未授權(quán)的。在1302,AP/RP 1317可發(fā)送針對EAP ID(例如接入層標識)的請求。在1303,UE 1316可在EAP響應(yīng)中向AP 1317發(fā)送OpenID標識符。在1304,通過使用OpenID標識符,AP 1317可與OP服務(wù)器1318執(zhí)行OpenID協(xié)議的發(fā)現(xiàn)和/或關(guān)聯(lián)步驟。為了執(zhí)行發(fā)現(xiàn)和/或關(guān)聯(lián),AP 1317可根據(jù)EAP協(xié)議解開(unwrap)OpenID消息(例如OpenID標識符)并經(jīng)由HTTP(S)與OP服務(wù)器1318通信??蛇x地,可以在OpenID協(xié)議中建立關(guān)聯(lián)。
在關(guān)聯(lián)之后,OP服務(wù)器1318可在1305生成質(zhì)詢,并且AP 1317可在1306從OP服務(wù)器1318接收OpenID質(zhì)詢。在1307,AP 1317可向UE 1316發(fā)送EAP請求(對應(yīng)于OpenID協(xié)議中的OpenID重定向)。在本地OP的幫助下,UE 1316可在1308生成正確的響應(yīng)并在1309向AP 1317發(fā)送具有經(jīng)簽名的OpenID斷定的EAP響應(yīng)。如果AP 1317與OP服務(wù)器1318建立關(guān)聯(lián),則AP 1317可自主地驗證斷定簽名并因此認證和授權(quán)UE 1316。如果早些時候沒有建立關(guān)聯(lián),則AP 1317可使用無狀態(tài)模式來請求OP服務(wù)器1318進行簽名驗證,例如在1310處。如果在OP服務(wù)器1318處認證成功,則OP服務(wù)器1318可在1311向AP/RP 1317發(fā)送具有標識和認證斷定的OpenID消息。AP/RP 1317可在1312向UE 1316指示成功認證,且UE可在1313經(jīng)由AP/RP 1317針對服務(wù)被授權(quán)。在1314,UE 1316可從AP/RP 1317獲得(經(jīng)由DHCP請求)IP地址,并可在1315被使能通過WLAN網(wǎng)絡(luò)進行因特網(wǎng)接入。
即使AP 1317和OP服務(wù)器1318已經(jīng)建立了關(guān)聯(lián),也可由本地OP“強制”進行無狀態(tài)模式。本地OP可設(shè)置斷定消息中的字段“invalidate_handle(無效句柄)”,并創(chuàng)建新的關(guān)聯(lián)句柄。AP 1317隨后可回到OP服務(wù)器1318進行簽名驗證。OpenID的這一行為可被用來觸發(fā)從AP 1317到OP服務(wù)器1318的反饋機制,即使本地OP已經(jīng)就位并發(fā)出斷定。如果關(guān)聯(lián)被使用且不是無效的,則可能不會向OP服務(wù)器1318進行任何反饋。這里描述的實施方式可使能某些支付場景和/或隱私。
根據(jù)示例實施方式,針對服務(wù)的用戶認證可通過為了EAP協(xié)議中的AV獲取在AP與MNO的AAA服務(wù)器之間建立連接來被執(zhí)行。通過實施OpenID,可在AP與MNO網(wǎng)絡(luò)之間創(chuàng)建附加抽象層。OP可充當網(wǎng)絡(luò)認證基礎(chǔ)結(jié)構(gòu)的代理,并在不向連接的AP給出到網(wǎng)絡(luò)AV的直接接入的情況下,基于網(wǎng)絡(luò)證書認證UE。由于OP充當認證點,因此AP中的邏輯可被降低,以驗證OpenID斷定。通過使用OpenID,不再需要在AP處處理AV。此外,OP可對不同的AP運營商的多個AP進行服務(wù),這是由于AP不必具有到MNO基礎(chǔ)結(jié)構(gòu)的直接連接。OP還可充當事務(wù)(transaction)認證方(這可包括例如本地OP)。這可經(jīng)由AP運營商的MNO后端允許記賬和/或收益/紅利支付。因而,多個MNO可使用相同的OP。多個AP提供商也可使用相同的OP。這可導(dǎo)致例如“星”架構(gòu)。
這里的實施方式可使用密鑰導(dǎo)出功能,例如通用自舉過程。例如,可實施通用自舉架構(gòu)(GBA)。GBA的一個示例實施方式可被描述于3GPP技術(shù)規(guī)范(TS)33.220中。然而,GBA可被限制于基于UICC的證書。這里描述的實施方式可使用基于UICC的和/或非基于UICC的證書來實施。GBA還可被限于UE-BSF與UE-NAF之間的IP連接性,以執(zhí)行自舉和認證。這可導(dǎo)致GBA破壞無縫移動性協(xié)議,例如移動IP。移動IP可在IP層或在IP層之下使用認證,以執(zhí)行切換,以及帶來新的接口(例如WLAN接口)以及執(zhí)行與本地代理(HA)的注冊。在IP層處的移動IP注冊與在應(yīng)用層處的GBA自舉之間的競爭條件可破壞移動性并可使MIP注冊失敗,并且作為結(jié)果,到WLAN網(wǎng)絡(luò)的切換可能失敗。
EAP-GBA集成選項可被用來解決3GPP與WLAN網(wǎng)絡(luò)之間的移動性問題,例如針對基于GBA的雙模式裝置??稍诂F(xiàn)有的3GPP接口上執(zhí)行GBA認證。GBA認證的結(jié)果(例如存儲于裝置中的Ks_NAF)可被用來在熱點中完成EAP認證。可通過例如經(jīng)由3GPP接口為GBA認證提供IP連接性以及使用GBA-EAP集成來與GBA解決移動性問題。
圖14是示出了針對使用OpenID連接的服務(wù)的UE 1421認證的流程圖。如圖14所示,UE 1421可具有活動無線連接(例如3GPP連接)并可通過該連接到達AAA/RP服務(wù)器1425和/或OP服務(wù)器1426。在1401,UE 1421可執(zhí)行到AAA/RP服務(wù)器1425的OpenID連接登錄,該AAA/RP服務(wù)器1425可創(chuàng)建接入令牌。所述接入令牌可在1402處由BA1422保存(或由OS保存)。UE上的本地組件(例如CM 1423)可經(jīng)由接入層信令(例如信標信道)發(fā)現(xiàn)AP 1424及其標識信息(例如“MNO-WiFi”SSID)。CM 1423可決定UE 1421應(yīng)連接到AP 1424。在1403,CM可附著到AP 1424。在1404,AP 1424(例如認證方)可將UE 1421狀態(tài)設(shè)置為未認證或未授權(quán)。
在1405,AP 1424可發(fā)出EAP請求,以詢問UE 1421EAP/IP層標識。在1406,UE 1421可返回國際移動訂戶標識(IMSI)和/或其它認證信息。其它認證信息可包括其范圍,該范圍可包括對于使用SSO認證(例如IMSI@sso.MNO.com)的提示。在1407,AP 1424可向AAA/RP服務(wù)器1425發(fā)送從UE 1421接收的EAP ID(例如使用RADIUS接入請求)。
在1408,AAA/RP服務(wù)器1425可基于所接收的EAP ID(或通過使用所接收的EAP ID查找數(shù)據(jù)庫)檢測UE 1421能夠使用基于OpenID連接的流。在1409,AAA/RP服務(wù)器1425可向AP 1424發(fā)送EAP-SIM/AKA質(zhì)詢,該質(zhì)詢指示應(yīng)該在EAP協(xié)議中使用OpenID連接。AP 1424可將從AAA/RP服務(wù)器1425接收的EAP消息(EAP-請求/質(zhì)詢)發(fā)送到UE 1421(例如在CM 1423處)。
在接收所述EAP-請求/質(zhì)詢消息之后,UE 1421檢查消息中的認證參數(shù),并且可在1411從BA1422請求令牌(例如BA可以是OS或API)。在1412,可將接入令牌返回到CM 1423。在1413,CM 1423可在EAP消息中向AP 1424發(fā)送接入令牌。在1414,AP 1424可將EAP-響應(yīng)/質(zhì)詢消息轉(zhuǎn)發(fā)到AAA/RP服務(wù)器。在1415,AAA/RP服務(wù)器1425可驗證令牌并隨后使用該令牌和來自O(shè)P服務(wù)器1426的用戶信息端點來從OP服務(wù)器1426獲取用于認證的用戶信息。
OP服務(wù)器1426可在釋放用戶信息之前確認所述令牌。在1417,AAA/RP服務(wù)器1425可接收用戶信息。用戶信息可包括用戶名、地址、記賬信息、和/或記賬令牌。AAA/RP服務(wù)器1425可基于在1417接收的用戶信息來執(zhí)行認證檢查。當所有檢查成功時,AAA/RP服務(wù)器可將成功認證的指示發(fā)送到UE 1421。例如,在1418,AAA/RP服務(wù)器1425可向AP 1424發(fā)送接入接受消息,該接入接受消息包括EAP成功和密鑰材料。在1419,可將EAP成功消息轉(zhuǎn)發(fā)到UE 1421。在1420,UE 1421狀態(tài)可變成被授權(quán),以用于在AP 1424上的網(wǎng)絡(luò)上的接入。UE 1421可獲得IP地址(例如使用DHCP),并可經(jīng)由AP 1424接入因特網(wǎng)。
圖15是示出了針對使用OpenID連接和本地OP的服務(wù)的UE 1520的認證的流程圖。如圖15所示,UE 1520上的本地組件(例如CM 1522)可發(fā)現(xiàn)AP 1524和/或其標識信息。AP 1524和/或其標識信息可包括“MNO-WiFi”SSID,其可經(jīng)由接入層信令(例如信標信道)被發(fā)現(xiàn)。CM 1522可決定UE 1520應(yīng)連接到AP 1524。
在1501,UE 1520可附著到AP 1524。在1502,AP 1524(例如認證方)可將UE 1520狀態(tài)設(shè)置為對于通信未認證或未授權(quán)。在1503,AP 1524可發(fā)出EAP請求,以詢問UE IP層/EAP標識。在1504,UE 1520可返回其IP層/EAP標識符。例如,UE 1520可返回國際移動訂戶標識(IMSI)和/或附加認證信息。附加認證信息可包括其范圍,該范圍可包括對于使用SSO認證(例如IMSI@sso.MNO.com)的提示。
在1505,AP 1524可向AAA/RP服務(wù)器1525發(fā)送EAP ID??墒褂肦ADIUS消息(例如接入請求消息、接入質(zhì)詢和/或接入接受消息)來執(zhí)行AP 1524與AAA/RP服務(wù)器1525之間的通信。在1506,AAA/RP服務(wù)器可基于所接收的EAP標識(或通過使用所接收的EAP標識查找數(shù)據(jù)庫)檢測UE 1520能夠使用基于OpenID連接的流。在1507,AAA/RP服務(wù)器可向AP 1524發(fā)送EAP-SIM/AKA質(zhì)詢。該質(zhì)詢可以指示應(yīng)該在EAP協(xié)議中使用OpenID連接。該指示對于AP 1524和/或EAP協(xié)議而言可以是透明的。作為指示的替代,AAA/RP服務(wù)器1525可創(chuàng)建OpenID連接請求對象(例如JSON)并可將指示符(URL)放到請求中。
在1508,AP 1524可將從AAA/RP服務(wù)器1525接收的EAP消息(EAP-請求/質(zhì)詢)發(fā)送到UE 1520(例如在CM 1522)。在接收所述EAP-請求/質(zhì)詢消息之后,UE 1520可檢查認證參數(shù),并且可在1509使用OpenID連接請求對象來發(fā)起與本地OP 1521的OpenID連接會話。在1510,本地OP 1521可創(chuàng)建接入令牌(例如在成功本地用戶認證之后)。在1511,可將接入令牌返回到CM 1522。在1512,CM 1522可在EAP消息中向AP 1524發(fā)送所述接入令牌。AP 1524可將EAP-響應(yīng)/質(zhì)詢消息轉(zhuǎn)發(fā)到AAA/RP服務(wù)器1525。在1514,AAA/RP服務(wù)器1525可驗證令牌并使用該令牌和來自O(shè)P服務(wù)器1526的用戶信息端點來獲取用于認證的用戶數(shù)據(jù)。
在1515,OP服務(wù)器1526可在能夠釋放用于認證的用戶信息之前確認所述令牌。在1516,AAA/RP服務(wù)器1525可接收用戶信息。用戶信息可包括用戶名、地址、記賬信息、和/或記賬令牌。AAA/RP服務(wù)器1525可使用在1516接收的用戶信息來執(zhí)行用戶認證,且當檢查成功時,AAA/RP服務(wù)器1525可在1517將成功認證的指示發(fā)送到UE 1520。例如,AAA/RP服務(wù)器1525可向AP 1524發(fā)送接入接受消息,該接入接受消息可以包括EAP成功消息和/或密鑰材料。在1518,可將EAP成功消息轉(zhuǎn)發(fā)到UE 1520(例如到CM 1522)。在1519,UE 1520狀態(tài)可在AP 1524上變成被授權(quán)。UE 1520可獲得IP地址(例如使用DHCP),并可經(jīng)由AP 1524接入因特網(wǎng)。
雖然上面以特定組合的方式描述了特征和元素,但是本領(lǐng)域的普通技術(shù)人員能夠理解的是,每個特征或元素都可被單獨使用,或與其他特征和元素進行各種組合。此外,這里描述的方法可以在引入到計算機可讀介質(zhì)中并供計算機或處理器運行的計算機程序、軟件或固件中實施。計算機可讀介質(zhì)的示例包括電信號(通過有線或無線連接傳送)和計算機可讀存儲媒介。計算機可讀存儲媒介的示例包括但不限于只讀存儲器(ROM)、隨機存取存儲器(RAM)、寄存器、緩沖存儲器、半導(dǎo)體存儲設(shè)備、例如內(nèi)部硬盤和可移動磁盤的磁介質(zhì)、磁光介質(zhì)和光介質(zhì)(例如CD-ROM盤和數(shù)字多用途盤(DVD))。與軟件相關(guān)聯(lián)的處理器可被用于實施在WTRU、UE、終端、基站、RNC或任何主機中使用的射頻收發(fā)信機。