KR20150069001A - 핫스팟 네트워크들에서 미지의 디바이스들에 대한 제한된 인증서 등록 - Google Patents

핫스팟 네트워크들에서 미지의 디바이스들에 대한 제한된 인증서 등록 Download PDF

Info

Publication number
KR20150069001A
KR20150069001A KR1020157012468A KR20157012468A KR20150069001A KR 20150069001 A KR20150069001 A KR 20150069001A KR 1020157012468 A KR1020157012468 A KR 1020157012468A KR 20157012468 A KR20157012468 A KR 20157012468A KR 20150069001 A KR20150069001 A KR 20150069001A
Authority
KR
South Korea
Prior art keywords
certificate
network access
network
access
way
Prior art date
Application number
KR1020157012468A
Other languages
English (en)
Other versions
KR101701793B1 (ko
Inventor
산지브 쿠마르 싱
페레츠 페더
Original Assignee
알까뗄 루슨트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 알까뗄 루슨트 filed Critical 알까뗄 루슨트
Publication of KR20150069001A publication Critical patent/KR20150069001A/ko
Application granted granted Critical
Publication of KR101701793B1 publication Critical patent/KR101701793B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/082Access security using revocation of authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/084Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

네트워크 액세스 시스템, 예를 들어, 네트워크 핫스팟(110)은, 모바일 네트워크 액세스 디바이스(180), 예를 들어, 스마트 폰 또는 WiFi 전용 디바이스가 네트워크 서비스들에 대한 액세스를 획득하기 위해 네트워크 액세스 표준 지정 및/또는 디바이스 식별 데이터를 제공하도록 요구한다. 네트워크 액세스 표준 지정은 모바일 네트워크 액세스 디바이스(180)에 의해, PKCS10 인증서 서명 요청의 EKU 키 목적 필드를 통해 온라인 서명 서버(130), OSU에 제공될 수 있다. 디바이스 식별 데이터는 서명 요청의 대상 필드를 통해 OSU(130)에 제공될 수 있다. OSU(130)는, 모바일 네트워크 액세스 디바이스(180)가 서명된 네트워크 액세스 인증서를 요청하기 전에 모바일 네트워크 액세스 디바이스(180)에 의해 제공된 디바이스 식별 데이터와 상기 디바이스 식별 데이터가 동일할 것을 요구할 수 있다.

Description

핫스팟 네트워크들에서 미지의 디바이스들에 대한 제한된 인증서 등록{RESTRICTED CERTIFICATE ENROLLMENT FOR UNKNOWN DEVICES IN HOTSPOT NETWORKS}
본 출원은, 2012년 11월 13일에 출원되고 발명의 명칭이 "Restricted Certificate Enrollment for Unknown Devices in Hotspot Networks"인, 이전에 출원된 미국 가특허출원 제 61/726,009호의 우선권을 주장하며, 상기 가특허출원은 그 전체가 참조로 본원에 통합된다.
본 개시는 일반적으로, 네트워킹된 무선 통신 분야에 관한 것이다.
본 섹션은, 본 발명들의 더 양호한 이해를 용이하게 하는데 도움이 될 수 있는 양상들을 소개한다. 따라서, 본 섹션의 진술들을 이러한 관점에서 읽어야 하며, 이러한 진술이 종래 기술인 것 또는 종래 기술이 아닌 것에 대한 인정인 것으로 이해해서는 안된다.
모바일 디바이스들 및 모바일 애플리케이션들에서 최근의 진보들은 모바일 네트워크에 대한 상당한 대역폭 및 성능 요구들을 초래해 왔다. 모바일 및 WiFi 네트워크 기술 및 표준들은, 이종 네트워크(HetNet) 아키텍쳐 쪽으로 진화하고 있다. 이러한 진화는, 모바일 서비스 제공자들이 모바일 네트워크 트래픽을 WiFi 네트워크로 넘기도록 허용하고 또한 모바일 서비스 제공자들이 셀룰러 및 WiFi 액세스를 포함하는 포괄적인 서비스 계획들을 제공할 수 있게 하는 것이 예상된다.
일 실시예는, 예를 들어, 온라인 서명 서버(OSU; online signup server)를 동작시키는 방법을 제공한다. 서버는, 클라이언트 디바이스, 예를 들어, 모바일 네트워크 액세스 디바이스 또는 WiFi 전용 디바이스로부터 네트워크 액세스 인증서 서명 요청을 수신한다. 서버는, 인증서 서명 요청이 미리결정된 값과 동일한 네트워크 액세스 표준을 포함한다는 조건으로, 인증서 요청을 인증서 발행 기관에 포워딩한다.
다른 실시예는, 전술된 방법의 실시예들을 수행하도록 구성되는 서버, 예를 들어, OSU 서버를 제공한다. 서버는 프로세서, 및 네트워크에 커플링된 네트워크 인터페이스를 포함한다. 비일시적 머신 판독가능 저장 매체 상에 프로그램 코드가 인코딩된다. 프로그램 코드는, 모바일 네트워크 액세스 디바이스로부터 네트워크 인터페이스를 통해 인증서 등록 요청을 수신하는 단계를 포함하는 방법을 구현하기 위해 프로세서에 의해 실행된다. 방법은, 인증서 등록 요청이 미리결정된 값과 동일한 네트워크 액세스 표준 식별자를 포함한다는 조건으로, 인증서 등록 요청을 네트워크 인터페이스를 통해 인증서 발행 기관에 포워딩하는 단계를 더 포함한다.
몇몇 실시예들에서, 전술된 방법은, 인증서 서명 요청을 모바일 네트워크 액세스 디바이스 또는 WiFi 전용 디바이스로부터 수신하는 단계, 및 디바이스 식별 데이터를 포함하는 메시지가 디바이스로부터 이전에 수신되었다는 조건으로, 인증서 서명 요청을 인증서 발행 기관에 포워딩하는 단계를 포함한다. 몇몇 실시예들에서, 미리결정된 값은 핫스팟 2.0(HS2.0) 또는 그 후의 표준을 특정한다. 임의의 실시예에서, 미리결정된 값은 확장된 키 용도(EKU) 키 목적 필드를 통해 전달될 수 있다. 몇몇 실시예들에서, 미리결정된 값은 스트링 id-kp-HS2.0Auth를 포함한다. 다양한 실시예들에서, 클라이언트 디바이스는, 예를 들어, 모바일 폰, 스마트 폰, 모바일 컴퓨팅 디바이스, 모바일 폰 능력이 없는 모바일 컴퓨팅 디바이스, 또는 WiFi를 갖는 개인용 컴퓨터를 포함할 수 있다.
다른 양상은, 인증서 승인 서버, 예를 들어, 인증서 기관(CA)을, 예를 들어, 동작시키는 방법을 제공한다. 방법은, 인증서 승인 서버에 의해, 예를 들어, 모바일 네트워크 액세스 디바이스로부터 네트워크 액세스를 위한 인증서 서명 요청을 수신하는 단계를 포함한다. 서버는, 인증서 등록 요청이 미리결정된 값과 동일한 네트워크 액세스 표준을 포함한다는 조건으로, 서명된 네트워크 액세스 인증서를 디바이스에 제공한다.
다른 실시예는, 전술된 방법의 실시예들을 수행하도록 구성되는 서버를 제공한다. 서버는 프로세서, 및 네트워크에 동작가능하게 커플링되는 네트워크 인터페이스를 포함한다. 비일시적 머신 판독가능 저장 매체 상에 프로그램 코드가 인코딩된다. 프로그램 코드는, 모바일 네트워크 액세스 디바이스 또는 WiFi-전용 디바이스로부터 네트워크 인터페이스를 통해 인증서 등록 요청을 수신하는 단계를 포함하는 방법을 구현하기 위해 프로세서에 의해 실행된다. 서명된 네트워크 액세스 인증서는, 인증서 등록 요청이 미리결정된 값과 동일한 네트워크 액세스 표준을 포함한다는 조건으로, 네트워크 인터페이스를 통해 디바이스에 제공된다.
다양한 실시예들에서, 서명된 액세스 인증서는, 모바일 네트워크 액세스 디바이스를 식별하는 디바이스 식별 데이터를 포함한다. 몇몇 이러한 실시예들에서, 디바이스 식별 데이터는 서명된 인증서의 대상 필드에서 전달된다. 몇몇 실시예들에서, 네트워크 액세스 표준 지정은 HS2.0 또는 그 후의 표준을 특정한다. 몇몇 실시예들에서, 네트워크 액세스 표준 지정은 서명된 인증서의 EKU_key_purpose 필드에서 전달된다. 몇몇 실시예들에서, 서명된 액세스 인증서는, 네트워크 액세스 표준 지정이 위험하다는 지정을 포함한다. 몇몇 실시예들에서, 디바이스 식별 데이터는 IMEI, MEID, MAC 어드레스 또는 고유 디바이스 식별(ID), 예를 들어, 직렬 번호를 포함한다.
다른 양상은, 모바일 네트워크 액세스 디바이스, 예를 들어, 모바일 전화 또는 WiFi-전용 디바이스를, 예를 들어, 동작시키는 방법을 제공한다. 모바일 디바이스는 서비스 제공자 네트워크로의 액세스를 위한 인증서를 수신한다. 디바이스는, 인증서 서명 요청을 서비스 제공자 네트워크 서버에 전송하고, 서명 요청은 네트워크 액세스 표준 지정을 포함한다. 모바일 디바이스는, 네트워크 액세스 표준 지정을 포함하는 서명된 액세스 인증서를 수신한다.
다른 실시예는, 전술된 방법의 실시예들을 수행하도록 구성되는 모바일 네트워크 액세스 디바이스, 예를 들어, 모바일 전화 또는 WiFi-전용 디바이스를 제공한다. 모바일 네트워크 액세스 디바이스는 프로세서, 및 무선 네트워크와 통신하도록 구성되는 트랜시버를 포함한다. 비일시적 머신 판독가능 저장 매체 상에 프로그램 코드가 인코딩된다. 프로그램 코드는, 서비스 제공자 네트워크로의 액세스를 위한 인증서를 트랜시버를 통해 수신하는 단계를 포함하는 방법을 구현하기 위해 프로세서에 의해 실행된다. 인증서 서명 요청은 트랜시버를 통해 서비스 제공자 네트워크 서버에 전송되고, 서명 요청은 네트워크 액세스 표준 지정을 포함한다. 서명된 액세스 인증서는 트랜시버를 통해 수신되고, 인증서는 네트워크 액세스 표준 지정을 포함한다.
방법의 다양한 실시예들은, 모바일 네트워크 액세스 디바이스 또는 WiFi 전용 디바이스에 의해 디바이스 식별 데이터를 네트워크 액세스 서버에 제공하는 단계를 더 포함하고, 서명된 액세스 인증서는 디바이스 식별 데이터를 포함한다. 몇몇 이러한 실시예들에서, 디바이스 식별 데이터는 서명된 인증서의 대상 필드에서 전달된다. 몇몇 실시예들에서, 네트워크 액세스 표준 지정은 HS2.0 또는 그 후의 표준을 특정한다. 몇몇 실시예들에서, 네트워크 액세스 표준 지정은 서명된 인증서의 EKU_key_purpose 필드에서 전달된다. 다양한 실시예들에서, 클라이언트 디바이스는 모바일 폰, 스마트 폰, 모바일 컴퓨팅 디바이스, 모바일 폰 능력이 없는 모바일 컴퓨팅 디바이스, 또는 WiFi를 갖는 개인용 컴퓨터를 포함할 수 있다. 몇몇 실시예들에서, 서명된 액세스 인증서는, 네트워크 액세스 표준 지정이 위험하다는 지정을 포함한다.
다른 실시예는, 예를 들어, 인증, 인가 및 과금(AAA) 서버를 동작시키는 방법을 제공한다. 방법은, 서버에 의해 클라이언트 디바이스로부터 액세스 인증서를 포함하는 네트워크 액세스 요청을 수신하는 단계를 포함한다. 서버는, 인증서와 연관된 목적 지정, 예를 들어, 키 목적을 결정한다. 목적 지정이, 예를 들어, 특정 네트워크 액세스 표준에 대해, 미리결정된 목적 지정에 매칭하면, 서버는 클라이언트 디바이스에 의한 네트워크 서비스들로의 액세스를 승인한다.
다른 실시예는, 전술된 방법의 실시예들을 수행하도록 구성되는 서버를 제공한다. 서버는 프로세서, 및 네트워크에 동작가능하게 커플링되는 네트워크 인터페이스를 포함한다. 비일시적 머신 판독가능 저장 매체 상에 프로그램 코드가 인코딩된다. 프로그램 코드는, 인증서를 포함하는 네트워크 액세스 요청을 네트워크 인터페이스를 통해 클라이언트 디바이스로부터 수신하는 단계를 포함하는 방법을 구현하기 위해 프로세서에 의해 실행된다. 네트워크 서버는 인증서와 연관된 목적을 결정한다. 목적이 미리결정된 목적이라는 조건으로, 클라이언트 디바이스에 의한 네트워크 서비스들로의 액세스가 승인된다.
다양한 실시예들에서, 미리결정된 목적은 핫스팟 네트워크로의 액세스를 포함한다. 몇몇 이러한 실시예들에서, 핫스팟 네트워크는 HS2.0 또는 그 후의 네트워크 표준에 따른다. 다양한 실시예들에서, 방법은, 클라이언트 디바이스에 의해 제공된 인증서가 폐지되었다고 인증서 기관이 결정하는 조건으로, 클라이언트 디바이스에 대한 네트워크 액세스를 거부하는 단계를 더 포함한다. 다양한 실시예들에서, 인증서는 확장된 키 용도(EKU) 키 목적 필드 내의 목적을 포함한다. 다양한 실시예들에서, 서버는 인증, 인가 및 과금(AAA) 서버이다.
본 발명의 더 완전한 이해는, 첨부된 도면들과 함께 행해지는 다음의 상세한 설명을 참조하여 획득될 수 있다.
도 1은, 시스템, 예를 들어, 서비스 제공자 네트워크 및 네트워크 액세스 핫스팟을 포함하는 서비스 제공자 아키텍쳐를 예시하고, 네트워크 액세스 핫스팟은, 본 명세서에 개시된 다양한 실시예들에 따라 구성되는 OSU, AAA 및 CA, 및 본 명세서에 개시된 다양한 실시예들에 따른 핫스팟을 통해 네트워크 서비스들로의 액세스를 획득하도록 구성되는 모바일 네트워크 액세스 디바이스, 예를 들어, 모바일 폰을 포함한다.
도 2는, 다양한 실시예들에 따라 동작하도록 구성되는 모바일 네트워크 액세스 디바이스, 예를 들어, 도 1의 액세스 디바이스의 예시적인 실시예를 예시한다.
도 3은, 다양한 실시예들에 따라 동작하도록 구성되는 네트워크 서버, 예를 들어, 도 1의 OSU, AAA 또는 CA 서버들의 예시적인 실시예를 예시한다.
도 4 및 도 5는, 다양한 실시예들에 따라, 클라이언트, 예를 들어, 도 1의 액세스 디바이스와 OSU 서버, AAA 서버 및 CA 서버 사이에서, 예를 들어, 메시지들의 통신을 예시하는 방법의 실시예들을 제시한다.
도 6은, 예를 들어, 도 4 및 도 5의 방법들의 몇몇 실시예들에서 이용되는 바와 같이, 다양한 실시예들에서 구성되는 PKCS 메시지 필드들을 개략적으로 예시한다.
도 7은, 네트워크 액세스 인증서를 개략적으로 예시하고, 여기서 인증서 필드들은 도 4 및 도 5의 방법들을 포함하는 다양한 실시예들에 대해 설명되는 바와 같이 구성된다.
본 개시는, 예를 들어, 모바일 핫스팟 서비스 제공자를 통해 네트워크 액세스를 요청하는 미지의 및/또는 미등록된 모바일 네트워크 액세스 디바이스에 의한 온라인 인증서 등록을 위한 방법들 및 시스템들에 관한 것이다. 하나의 이러한 핫스팟 서비스 제공자 타입은, 본 명세서에서 때때로 간략하게 HS2.0으로 지칭되는 핫스팟 2.0 표준 및/또는 그 후의 개정들에 따른다.
개선된 "차세대" 모바일 핫스팟 네트워크 아키텍쳐에 대한 규격들의 계속된 개발은 능동적 노력을 유지한다. HS2.0은, 차세대 이종 네트워크("HetNet") 아키텍쳐에 이르는 4G 모바일 LTE 네트워크 및 WiFi 네트워크들의 수렴을 위한 키 인에이블링 기술로 고려된다. 본 명세서에서 설명된 다양한 실시예들은 HS2.0을 참조하지만, 본 개시 및 청구항들의 범주는 HS2.0으로 제한되지 않고, 예를 들어, 유사한 목적을 위한 현재 또는 이전의 표준들, HS2.0 표준에 대한 진화된 업데이트들, 또는 유사한 프로토콜들을 이용하는 다른 또는 추후 개발되는 표준들을 포함할 수 있는 것으로 이해된다.
HS2.0은, 모바일 네트워크 액세스 디바이스, 예를 들어, 스마트 폰 또는 태블릿 컴퓨터 또는 다른 모바일 컴퓨터와 같은 모바일 디바이스가, 우선순위화된 네트워크들의 리스트로부터 이용가능하고 적절한 HS2.0 네트워크를 동적으로 탐색하고, 서비스를 위해 등록하고, HS2.0 네트워크에 액세스하기 위해 필요한 액세스 자격을 갖도록 원격으로 구성되게 한다. HS2.0 네트워크 액세스를 안전하고, 이동하는 동안 끊김없이 액세스가능하게 하기 위해, 디바이스들에는 초기 WiFi 액세스 동안 인증을 위한 X.509 인증서가 제공될 수 있다.
HS2.0 액세스를 위해 등록하는 디바이스들은 통상적으로, HS2.0 네트워크 운영자에게 선험적으로 미지이다(예를 들어, 미등록이다). 따라서, 이러한 디바이스들은, 예를 들어, 네트워크 액세스 포인트에 직면하는 경우, 네트워크 온라인에 대한 액세스를 위해 등록할 필요가 있을 수 있다. X.509 인증 인증서에 대한 이러한 미등록된 디바이스들의 온라인 등록의 필요성은 HS2.0 서비스 제공자에 대해 보안 문제를 발생시킨다. 디바이스들은 HS2.0 운영자에게 알려지지 않기 때문에, HS2.0 운영자 네트워크 내의 또는 그에 접속된 인증서 발행 기관(CA)은 통상적으로, 인증서를 등록하는 디바이스와 그 요청된 인증서 기관의 연관을 인증할 수 없다. 이것은, 악의적인 디바이스가 인증서 등록을 위한 요청 엔티티로 가장하여, 그 엔티티가 부여받지 못한 특권을 갖는 인증서를 CA로부터 수신할 수 있는 메커니즘을 발생시킬 수 있다.
알려진/미리-등록된 또는 미리-제공받은 디바이스들의 경우, 및 관리자 검증에 의한 오프라인 등록의 경우, 보호장치를 제공하는 메커니즘들은 공지되어 있다. 그러나, 이러한 방법들은 일반적으로, HS2.0 WiFi 액세스 이용 케이스들에 대해 적용가능한 미등록된 디바이스들의 온라인 인증서 등록의 경우에 적용가능하지 않다. 따라서, 이러한 환경들 하에서 미등록된 디바이스들의 온라인 인증서 등록의 오용 방지를 위한 방법들 및 디바이스들이 요구된다.
본 명세서에서 설명되는 실시예들은, 종래의 인증서 발행의 전술된 결점들을 극복하기 위해 구성되는 방법들 및/또는 디바이스를 제공한다. 아래에서 더 완전히 설명되는 바와 같이, 몇몇 실시예들은, 인터넷 엔지니어링 태스크 포스(IETF)에 의해 공표된 RFC5280에 의해 제공되는 keyPurposeID 필드에 대한 값을 제공함으로써 무선 네트워크에서 미지의 디바이스의 인증을 제공하며, 이 값은, 등록 디바이스에 의한 인가된 접속을 식별한다. 몇몇 실시예들은, 등록 디바이스가 온라인 서명 서버(OSU)에 고유의 식별자, 예를 들어, 국제 모바일 장비 아이덴티티(IMEI) 번호, WiFi 매체 액세스 제어(MAC) 어드레스, 모바일 장비 식별자(MEID) 번호 또는 고유의 디바이스 ID를 제공하는 메커니즘을 제공한다. 이러한 실시예들에서, OSU는, 후속 인증서 서명 요청(CSR)에서 제공된 아이덴티티가 등록 동안 제공된 아이덴티티에 매칭하여, 다른 디바이스가 등록된 디바이스로서 가장하는 것을 방지하는 것을 요구할 수 있다.
먼저, 도 1을 참조하면, 예를 들어, HS2.0 표준 및 본 명세서에서 설명되는 다양한 실시예들에 따라 무선 접속을 제공하도록 구성되는 통신 네트워크와 같은 시스템(100)이 예시된다. 시스템(100)은 본 명세서에서 제한없이 동의어로서 네트워크(100)로 지칭될 수 있다. 이전에 기술된 바와 같이, 시스템(100)의 실시예들은 HS2.0 표준으로 제한되지 않는다. 시스템(100)은 네트워크(105), 예를 들어, 서비스 제공자 네트워크(SPN) 및 핫스팟(110), 예를 들어, Wi-Fi 액세스 네트워크(WAN)를 포함한다. 네트워크(105)는, 인증, 인가 및 과금(AAA) 서버(115), 정책 서버(120), 가입 교정 서버(125) 및 온라인 서명(OSU) 서버(130)를 포함한다. OSU 서버(130)는 CA 서버(135)에 접속된다. 서버들(115, 120, 125, 130)은 미참조 데이터 경로를 통해 서비스 제공자 코어 서비스 제공자(SP) 네트워크(140)에 접속되고, 그 다음, SP 네트워크(140)는 인터넷(145)에 접속된다.
다양한 실시예들에서, OSU(130)는 온라인 서명 서버로서의 동작을 위해 HS2.0 표준에 따른다. 따라서, OSU(130)는, 네트워크(100)로의 액세스에 대해 등록하기 위해 무선 디바이스들에 등록 서비스들을 제공한다. 본 발명의 실시예들은, 그 중에서도, HS2.0 액세스를 위한 온라인 인증서 등록의 프로세스를 보호하기 위한 시스템들을 제공한다.
핫스팟(110)은 HTTP 서버(150) 및 AAA 서버(155)를 포함한다. 서버들(150 및 155)은 각각 무선 액세스 네트워크에 접속되고, 여기서 액세스 제어 리스트(ACL)가 제 1 라우터(160)에서 적용된다. 제 1 라우터(160)는 제 2 라우터(165)에 접속되고, 그 다음, 제 2 라우터(165)는 예를 들어, 무선 액세스 노드에서 무선 주파수(RF) 트랜시버(170)에 접속된다. 핫스팟(110)은 SP 네트워크(140)와 제 1 라우터(160) 사이에서 미참조 데이터 경로를 통해 네트워크(105)에 접속된다. 사용자(175)는, 본 명세서에서 그리고 청구항들에서 때때로 클라이언트 디바이스(180)로 지칭되는 모바일 네트워크 액세스 디바이스(180)를 통해 인터넷(145)으로의 액세스를 획득할 수 있다. 용어 "클라이언트 디바이스"는, 모바일 폰 핸드셋들과 같이, 관련 분야의 당업자들에 의해 때때로 "사용자 장비" 또는 UE로 지칭되는 디바이스들을 포함한다. 클라이언트 디바이스(180)는, 예를 들어, 스마트 폰, 개인 휴대 정보 단말(PDA), 넷북, 노트북 또는 태블릿 컴퓨터, 랩탑 컴퓨터, 또는 RF 트랜시버(170)를 통해 핫스팟(110)과의 무선 데이터 접속을 협상 및 유지하도록 구성되는 유사한 디바이스일 수 있거나 이들을 포함할 수 있다. 다양한 실시예들에서, 클라이언트 디바이스(180)는 WiFi 네트워크와 통신할 수 있고, 몇몇 실시예들에서는 셀룰러 네트워크와 또한 통신할 수 있다. 몇몇 경우들에서, 클라이언트 디바이스(180)는 셀룰러 통신 네트워크와 통신하는 능력이 없는, 예를 들어, "WiFi 전용"이다. 본 명세서에서, "모바일" 디바이스는, 기계적인 보조없이 인간에 의해 통상적으로 이동되도록 구성되는 디바이스이다. 이러한 문맥에서, 기계적 보조는, 백팩들, 책가방들, 서류 가방들 등과 같은 개인용 조직 디바이스들을 배제한다.
도 2는, 다양한 실시예들에 따라 동작하도록 구성되는 장치(200), 예를 들어, 클라이언트 디바이스(180)를 예시한다. 당업자들은, 장치(200)의 하기 설명이 많은 가능한 구현들을 대표하는 것임을 인식할 것이다. 게다가, 장치(200)의 다양한 기능들이 편의를 위해 이산적 기능 블록들로 설명될 수 있지만, 당업자들은, 이러한 기능들이 장치(200) 내의 다양한 컴포넌트들 사이에 분산될 수 있고, 몇몇 경우들에서는 공유된 컴포넌트들에 의해 구현될 수 있음을 인식할 것이다.
예시적인 실시예에서, 장치(200)는 트랜시버(210), 프로세서(220) 및 메모리(230)를 포함한다. 트랜시버(210)는 안테나(240)에 커플링되고, 안테나(240)를 통해 RF 신호들을 수신 및/또는 송신하도록 동작한다. 프로세서(220)는, 송신된 RF 신호들을 변조 및 인코딩하고 그리고/또는 수신된 RF 신호들을 복조 및 디코딩하기 위해 트랜시버(210) 및 메모리(230)와 협력하여 동작한다. 트랜시버(210), 프로세서(220) 및 메모리(230)는 본 개시의 범주 내의 실시예들의 예외로, 종래의 것일 수 있다. 메모리(230)는 유형의(tangible) 비일시적 저장 매체, 예를 들어, RAM, ROM, 플래쉬 메모리 등일 수 있다. 메모리(230)는, 아래에서 설명되는 다양한 실시예들, 예를 들어, 방법들(400 및 500)을 구현하도록 구성되는 단계들, 예를 들어, 명령들을 포함한다.
도 3은, 다양한 실시예들에 따라 동작하도록 구성되는, 예를 들어, AAA 서버(115), OSU 서버(130) 및 CA 서버(135)를 대표하는 장치(300)를 예시한다. 당업자들은, 장치(300)의 하기 설명이 또한 많은 가능한 구현들을 대표함을 인식할 것이다. 게다가, 장치(300)의 다양한 기능들이 편의를 위해 이산적 기능 블록들로 설명될 수 있지만, 당업자들은, 이러한 기능들이 장치(300) 내의 다양한 컴포넌트들 사이에 분산될 수 있고, 몇몇 경우들에서는 공유된 컴포넌트들에 의해 구현될 수 있음을 인식할 것이다.
예시된 실시예에서, 장치(300)는 네트워크 인터페이스(310), 프로세서(320) 및 메모리(330)를 포함한다. 네트워크 인터페이스(310)는, 네트워크(340), 예를 들어, 로컬 영역 네트워크 또는 인터넷을 통해 데이터를 수신 및/또는 송신하도록 동작한다. 프로세서(320)는, 네트워크로의 송신을 위해 데이터를 포맷하고 그리고/또는 네트워크로부터 데이터를 수신하기 위해 네트워크 인터페이스(310) 및 메모리(330)와 협력하여 동작한다. 네트워크 인터페이스(310), 프로세서(320) 및 메모리(330)는 본 개시의 범주 내의 실시예들의 예외로, 종래의 것일 수 있다. 메모리(330)는 유형의 비일시적 저장 매체, 예를 들어, RAM, ROM, 플래쉬 메모리, 자기 디스크, 광학 디스크 등일 수 있다. 메모리(330)는, 아래에서 설명되는 다양한 실시예들, 예를 들어, 방법들(400 및 500)을 구현하도록 구성되는 단계들, 예를 들어, 명령들을 포함한다.
도 4는, 예를 들어, 네트워크(105)로부터 네트워크 서비스들을 수신하기 위해 클라이언트 디바이스(180)를 인증하기 위한 방법(400)을 예시한다. 방법(400)의 몇몇 양상들은, 다양한 표준들, 예를 들어, 미국 MA Bedford의 RSA Security, Inc 또는 IETF에 의해 개발 및/또는 배포된 공개 키 암호화 표준(PKCS), 예를 들어, RFC5280에 의해 설명될 수 있고, 이는, 그 전체가 참조로 본 명세서에 통합된다. 방법(400)은 클라이언트(410), OSU 서버(130), AAA 서버(115) 및 CA 서버(135) 사이의 상호작용을 설명한다. 클라이언트(410)는, 클라이언트 디바이스(180), 예를 들어, 스마트 폰, PDA, 넷북, 노트북 또는 태블릿 컴퓨터 또는 랩탑 컴퓨터의 다양한 실시예들을 대표한다. 방법(400)의 다양한 단계들은, 예를 들어, 장치(200)의 예(예를 들어, 클라이언트 디바이스(180)), 및 장치(300)의 다수의 예들(예를 들어, OSU 서버(130), AAA 서버(115) 및 CA 서버(135))에 의해 구현될 수 있다.
단계(430)에서, 클라이언트(410)는, 예를 들어, 핫스팟(110) 제공자와 연관된 리스트 엘리먼트로부터의 기본적인 URI(uniform resource identifier)에 대한 HTTPS 또는 HTTP GET 요청을 발행함으로써, OSU 서버(130)에 인증서 요청을 발행한다. 단계(435)에서, OSU 서버(130)는 인증서 요청을 CA 서버(135)에 포워딩한다. CA 서버(135)는 단계(440)에서, 요청된 인증서를 OSU 서버(130)에 리턴한다. 이러한 인증서는 본 명세서에서 인증서 기관 인증서 또는 더 간략하게 CA 인증서로서 지칭될 수 있고, 때때로 루트 인증서로서 지칭될 수 있다.
단계(445)에서, OSU 서버(130)는 CA 인증서를 클라이언트(410)에 리턴한다. CA 인증서는, 예를 들어, X.509 인증서일 수 있다. 일 실시예에서, OSU 서버(130)는 "application/pkcs7-mime" 포맷의 "퇴보" 서트(certs)-전용 PKCS7 메시지를 갖는 CA 인증서를 제공한다. 그 다음, 단계(450)에서 클라이언트(410)는, 네트워크 액세스 표준, 예시적으로, HS2.0과 같은 핫스팟 액세스 표준(그러나, 이러한 표준에 제한되는 것은 아님)을 지정하는 미리결정된 파라미터 값을 포함하는 인증서 서명 요청을 OSU 서버(130)에 전송한다. 표준은 PKCS10 메시지의 EKU_key_purpose 필드를 통해 전달될 수 있다. 이러한 값은 하기 논의에서, 제한없이 "HS2.0"으로 지칭될 수 있다. 이러한 문맥에서, 핫스팟 액세스 표준은, 모바일 디바이스와 WiFi 네트워크 아키텍쳐 사이의 통신의 설정 및/또는 유지보수를 위한 프로토콜들을 특정하는 표준이다. 다양한 실시예들에서, OSU 서버(130)에 의해 전송된 메시지는 PKCS10 표준에 따른다. 제한없이, EKU_key_purpose 필드의 값은 "id-kp-HS2.0Auth"로 설정될 수 있다.
도 6은, PKCS 메시지(600), 예를 들어, PKCS10 메시지의 일부를 개략적으로 예시한다. 메시지(600)는 몇몇 파라미터 필드들을 포함한다. 대상 파라미터 필드(610)는, 클라이언트 인증서를 제공하기 위해 CA(135)에 의한 추후의 이용을 위한 값을 제공한다. IETF RFC5280 표준에 의해 제공되는 EKU_key_purpose 파라미터 필드(620)는, 클라이언트(410)에 의한 네트워크 액세스 요청이 적용가능한 핫스팟 표준, 예를 들어, HS2.0 내에서 수행되도록 의도된다는 것을 특정하는 메커니즘을 제공한다. 물론, 필드(620)는, 클라이언트 디바이스(180)와 네트워크(105) 사이의 통신이 수행될 표준을 전달하는 임의의 적절한 값을 포함할 수 있다.
그 다음, 도 4로 되돌아가서, 단계(455)에서 OSU 서버(130)는, 클라이언트 인증서를 등록하기 위한 요청을 CA 서버(135)에 전송한다. 요청은, OSU 서버(130)에 의해 수신되는 대상 파라미터 필드(610)의 값, 예를 들어, EKU_key_purpose=HS2.0 을 포함한다.
단계(460)에서, CA 서버(135)는 등록된 인증서를 OSU 서버(130)에 리턴한다. 등록된 인증서는 본 명세서에서 클라이언트 인증서로서 지칭될 수 있다.
도 7은, 다양한 실시예들에 따라 구성되는 클라이언트 인증서(700)를 개략적으로 예시한다. 클라이언트 인증서(700)는 대상 파라미터(705) 및 EKU 리스트(710)를 포함한다. EKU 리스트(710)는, keyPurposeID 파라미터(720) 및 위험성 파라미터(730)를 포함하는 다양한 추가적인 파라미터들을 포함하고, 이들 각각은 아래에서 추가로 설명된다.
클라이언트 인증서(700)는, PKCS 메시지(600)(도 6)의 파라미터 필드(620)를 통해 이전에 제공된 값을 keyPurposeID 파라미터(720)에 포함시킨다. keyPurposeID 파라미터(720)는, 단계(450)에서 특정된 것과 동일한 값, 예를 들어, id-kp-H2.0Auth을 가질 수 있다. 선택적으로, 클라이언트 인증서(700)는 "위험" 지정을 포함한다. 이 지정은, 클라이언트 인증서(700)의 위험성 파라미터(730)가 값 "위험"으로 설정된 것으로 개략적으로 도시된다. "위험" 지정은, 연관된 EKU 리스트(710)의 프로세싱이 인증서 프로세싱 엔티티, 예를 들어 OSU(130)에 의해 강제적임을 나타내는데 이용될 수 있다.
도 4로 되돌아가서, 단계(465)에서, OSU 서버(130)는 클라이언트(410)에 클라이언트 인증서를 제공한다. 단계(470)에서, 클라이언트(410)는, AAA 서버(115)에 클라이언트 인증서를 제시함으로써 핫스팟 네트워크에 액세스하려 시도한다. 클라이언트(410)는, 네트워크 액세스를 설정하기 위해, 예를 들어, EAP-TLS(extensible authentication protocol-transport layer security) 프로토콜을 이용할 수 있다.
선택적인 단계(475)에서, AAA 서버(115)는, 클라이언트 인증서가 폐지되었는지를 결정하기 위한 메시지를 CA 서버(135)에 전송한다. 클라이언트 인증서가 폐지되지 않았으면, 단계(480)에서, CA 서버(135)는, 인증서가 폐지되지 않았음을 나타내도록 응답한다. 단계(485)에서, AAA 서버(115)는 클라이언트 인증서에 대한 추가적인 체크들을 수행할 수 있다. 예를 들어, AAA 서버(115)는, 서명된 인증서의 지정된 목적, 예를 들어, id-kp-H2.0Auth이 미리 정의된 허용된 목적인 것을 검증할 수 있다. 단계(485)는 단계들(475/480)의 완료 이후에 발생하는 것으로 도시되어 있지만, 실시예들은 단계들의 이러한 순서에 제한되지 않는다.
단계(485)에서, AAA 서버(115)는 하기 동작들 중 하나 이상을 수행할 수 있다. 먼저, AAA 서버(115)는 인증서 무결성을 검증함으로써 클라이언트 인증서를 인증할 수 있다. 이것은, 예를 들어, 먼저 인증서 컨텐츠의 일방향 해시(hash)를 생성함으로써 행해질 수 있다. 몇몇 실시예들에서, 이것은, 클라이언트 인증서에 표시된 해시 알고리즘을 이용하여 행해질 수 있다. 이러한 경우들에서, 해시 값은, 예를 들어, 메모리에 임시로 저장될 수 있다. 다음으로, 클라이언트 인증서에 내장된 디지털 서명이, 인증서에 포함된 공개 키를 이용하여 암호해독될 수 있다. CA 서버(135)가 클라이언트 인증서를 발행하는 다른 실시예들에서, 공개 키는 CA 루트 인증서로부터 이용될 수 있다. 해시 값들이 매칭하면, AAA 서버(115)는, 클라이언트 인증서가 생성된 이후 변경되지 않았다고 결론낼 수 있다. AAA 서버(115)는 또한, 클라이언트 인증서가 여전히 유효한지를 결정하기 위해 OCSP(Online Certificate Status Protocol)를 체크할 수 있다. AAA 서버(115)는 또한, 단계(485)에서, EKU_key_purpose 필드, 예를 들어, keyPurposeID 파라미터(720)가 적절히 리포팅된다고 결정할 수 있다. 이전에 설명된 바와 같이, keyPurposeID 파라미터(720)의 컨텐츠는, 클라이언트 디바이스(180)에 대해 승인된 액세스를 결정할 수 있다. 따라서, 이전의 예를 제한없이 계속하기 위해, 이 값이 "id-kp-HS2.0Auth"인 경우, 클라이언트 디바이스(180)는 인터넷(145)에 대한 액세스를 인증받을 수 있지만, 다른 활동들, 예를 들어, 이메일 및/또는 VPN(이에 제한되지 않음)에 대한 특권들을 승인받지는 못할 수 있다.
마지막으로, 단계(490)에서, 클라이언트 인증서 및 지정된 목적이 유효하면, AAA 서버(115)는, 네트워크 액세스가 승인된다고 나타내는 메시지를 클라이언트(410)에 전달한다. 이 메시지는 EAP-TLS 프로토콜을 통해 다시 전달될 수 있다.
도 5는, 예를 들어, 클라이언트(410)(예를 들어, 클라이언트 디바이스(180))에 의한 네트워크(105)로의 액세스를 승인하는 추가적인 양상들을 포함하는 방법(500) 실시예를 예시한다. 이 실시예에서, 인증서, 예를 들어, X.509 인증서의 대상 필드는, 클라이언트 디바이스(180)를 식별하는 식별 데이터, 예를 들어, IMEI 번호, MEID 번호, WiFi MAC 어드레스 또는 고유 디바이스 ID에 의해 파퓰레이트된다. 하기 단계들의 예외로, 방법(500)의 단계들은 방법(400)에 대해 설명된 것과 같을 수 있다.
단계(510)에서, 클라이언트(410)는, 식별 데이터, 예를 들어, "deviceID" 또는 "DeviceInfo"를 메시지를 통해 OSU 서버(130)에 제공한다. 메시지는, 예를 들어, HTTPS 프로토콜에 의해 전달될 수 있다. OSU(130)는 식별 데이터를 데이터베이스에 레코딩할 수 있다. 클라이언트 디바이스(180)는, 식별 파라미터를, 단계(450)에서 OSU(130)에 전송되는 인증서 요청에 대상 명칭으로서 포함시킬 수 있고, CA 서버(135)는 단계(460)에서 제공되는 클라이언트 인증서를 이용하여 대상 명칭을 포함할 것이다. 대안적인 실시예에서, 클라이언트 디바이스(180)는 인증서 서명 요청의 SubjectAltName 필드를 통해 식별 파라미터를 제공할 수 있다. 다른 대안적인 실시예에서, OSU(130)는, 임의의 지원되는 통신 프로토콜을 이용함으로써 클라이언트 디바이스(180)로부터 식별 데이터를 획득할 수 있다. 단계(520)에서, OSU(130)는, 대상 명칭에서 특정된 식별 데이터가, 단계(450)의 인증서 요청에서 클라이언트 디바이스(180)에 의해 제공된 디바이스 아이덴티티에 매칭하는 것을 검증할 수 있다. 몇몇 실시예들에서, OSU(130)는 임의의 지원되는 프로토콜을 이용하여 클라이언트 디바이스(180)에 문의할 수 있고, 특정된 디바이스 식별 데이터가 클라이언트 디바이스(180)에 의해 리턴된 디바이스 식별 데이터에 매칭하는 것을 검증할 수 있다. 어느 경우이든, 이러한 아이덴티티 체크는, 가능한 악의적인 디바이스가 클라이언트 디바이스(180)로서 가장하는 것을 방지할 수 있다. 단계(520)에서, 디바이스 식별 체크가 우호적이면, OSU 서버(130)는 단계(455)의 인증서 등록 요청에 식별 데이터를 포함시킬 수 있다. 그 다음, CA 서버(135)는, 클라이언트 인증서(700)(도 7)로 예시된 바와 같이, 단계(460)에서 발행되는 인증서의 대상 파라미터(705)에 식별 데이터를 포함시킬 수 있다.
인증서 서명 요청이 유효한 것으로 검증되면, OSU(130)는, HS2.0 규격에서 특정된 다른 규칙들에 따라 디바이스 인증서의 인증을 위한 등록 프로세스로 진행할 수 있다. 또한, CA 서버(135) 인프라구조와 함께 동작하는 OSU(130)는, 발행된 X.509 인증서에 포함된 EKU 리스트(710)에 'id-kp-HS2.0Auth' 오브젝트, 또는 유사한 목적을 서빙하는 다른 유사한 오브젝트가 포함되는 것을 보장할 수 있다.
본 발명의 다수의 실시예들이 첨부된 도면들에서 예시되고 상기 상세한 설명에서 설명되었지만, 본 발명은 개시된 실시예들에 제한되는 것이 아니라, 하기 청구항들에 의해 기술되고 정의되는 발명으로부터 벗어남이 없이 다수의 재배열들, 변형들 및 대체들이 가능함을 이해해야 한다.

Claims (18)

  1. 모바일 네트워크 액세스 디바이스로부터의 인증서 서명 요청을 서버에서 수신하는 단계와,
    상기 인증서 서명 요청이 미리결정된 값과 동일한 네트워크 액세스 표준을 포함한다는 조건으로, 상기 인증서 서명 요청을 인증서 발행 기관에 포워딩하는 단계를 포함하는
    방법.
  2. 제 1 항에 있어서,
    상기 모바일 네트워크 액세스 디바이스로부터의 인증서 서명 요청을 수신하고, 디바이스 식별 데이터를 포함하는 메시지가 상기 모바일 네트워크 액세스 디바이스로부터 이전에 수신되었다는 조건으로, 상기 인증서 서명 요청을 상기 인증서 발행 기관에 포워딩하는 단계를 더 포함하는
    방법.
  3. 제 1 항에 있어서,
    상기 미리결정된 값은 핫스팟 2.0(HS2.0) 또는 그 후의 표준을 특정하는
    방법.
  4. 제 1 항에 있어서,
    상기 미리결정된 값은 확장된 키 용도(EKU) 키 목적 필드를 통해 전달되는
    방법.
  5. 액세스 인증서를 포함하는 네트워크 액세스 요청을 클라이언트로부터 네트워크를 통해 네트워크 서버에 의해 수신하는 단계와,
    상기 네트워크 서버에 의해 상기 액세스 인증서와 연관된 키 목적을 결정하는 단계와,
    상기 키 목적이 미리결정된 키 목적이라는 조건으로, 상기 네트워크 서버에 의해, 상기 클라이언트에 네트워크 서비스에 대한 액세스를 승인하는 단계를 포함하는
    방법.
  6. 제 5 항에 있어서,
    상기 미리결정된 키 목적은 핫스팟 네트워크로의 액세스인
    방법.
  7. 제 6 항에 있어서,
    상기 핫스팟 네트워크는 핫스팟(HS2.0) 또는 그 후의 네트워크 표준에 따르는
    방법.
  8. 제 5 항에 있어서,
    상기 방법은, 상기 클라이언트에 의해 제공된 인증서가 폐지(revoked)되었다고 인증서 기관이 결정하는 조건으로, 상기 클라이언트에 대한 네트워크 액세스를 거부하는 단계를 더 포함하는
    방법.
  9. 제 5 항에 있어서,
    상기 액세스 인증서는 확장된 키 용도 필드에 상기 키 목적을 포함하는
    방법.
  10. 모바일 네트워크 액세스 디바이스로부터의 인증서 등록 요청(a certificate enrollment request)을 네트워크를 통해 인증서 기관 서버에서 수신하는 단계와,
    상기 인증서 등록 요청이 미리결정된 값과 동일한 네트워크 액세스 표준을 포함한다는 조건으로, 상기 인증서 기관 서버에 의해, 서명된 네트워크 액세스 인증서를 상기 모바일 네트워크 액세스 디바이스에 제공하는 단계를 포함하는
    방법.
  11. 제 10 항에 있어서,
    상기 서명된 네트워크 액세스 인증서는, 모바일 네트워크 액세스 디바이스를 식별하는 디바이스 식별 데이터를 포함하는
    방법.
  12. 제 10 항에 있어서,
    네트워크 액세스 표준 지정은 핫스팟 2.0(HS2.0) 또는 그 후의 표준을 특정하는
    방법.
  13. 제 10 항에 있어서,
    네트워크 액세스 표준 지정은, 상기 서명된 네트워크 액세스 인증서의 EKU_key_purpose 필드에서 전달되는
    방법.
  14. 모바일 네트워크 액세스 디바이스에 의해, 서비스 제공자 네트워크로의 액세스를 위한 인증서를 수신하는 단계와,
    상기 모바일 네트워크 액세스 디바이스에 의해, 인증서 서명 요청을 서비스 제공자 네트워크 서버에 전송하는 단계 ―상기 인증서 서명 요청은 네트워크 액세스 표준 지정을 포함함―와,
    상기 네트워크 액세스 표준 지정을 포함하는 서명된 액세스 인증서를 상기 모바일 네트워크 액세스 디바이스에서 수신하는 단계를 포함하는
    방법.
  15. 제 14 항에 있어서,
    상기 모바일 네트워크 액세스 디바이스에 의해, 디바이스 식별 데이터를 네트워크 액세스 서버에 제공하는 단계를 더 포함하고,
    상기 서명된 액세스 인증서는 상기 디바이스 식별 데이터를 포함하는
    방법.
  16. 제 15 항에 있어서,
    상기 디바이스 식별 데이터는 상기 서명된 액세스 인증서의 대상 필드(a subject field)에서 전달되는
    방법.
  17. 제 14 항에 있어서,
    상기 네트워크 액세스 표준 지정은 핫스팟 2.0(HS2.0) 또는 그 후의 표준을 특정하는
    방법.
  18. 제 14 항에 있어서,
    상기 네트워크 액세스 표준 지정은, 상기 서명된 액세스 인증서의 EKU_key_purpose 필드에서 전달되는
    방법.
KR1020157012468A 2012-11-13 2013-11-06 핫스팟 네트워크들에서 미지의 디바이스들에 대한 제한된 인증서 등록 KR101701793B1 (ko)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201261726009P 2012-11-13 2012-11-13
US61/726,009 2012-11-13
US13/930,682 2013-06-28
US13/930,682 US9232400B2 (en) 2012-11-13 2013-06-28 Restricted certificate enrollment for unknown devices in hotspot networks
PCT/US2013/068716 WO2014078147A1 (en) 2012-11-13 2013-11-06 Restricted certificate enrollment for unknown devices in hotspot networks

Publications (2)

Publication Number Publication Date
KR20150069001A true KR20150069001A (ko) 2015-06-22
KR101701793B1 KR101701793B1 (ko) 2017-02-02

Family

ID=50682189

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020157012468A KR101701793B1 (ko) 2012-11-13 2013-11-06 핫스팟 네트워크들에서 미지의 디바이스들에 대한 제한된 인증서 등록

Country Status (6)

Country Link
US (2) US9232400B2 (ko)
EP (1) EP2920939B1 (ko)
JP (2) JP6086987B2 (ko)
KR (1) KR101701793B1 (ko)
CN (2) CN104956638B (ko)
WO (1) WO2014078147A1 (ko)

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8914628B2 (en) * 2009-11-16 2014-12-16 At&T Intellectual Property I, L.P. Method and apparatus for providing radio communication with an object in a local environment
US9571482B2 (en) 2011-07-21 2017-02-14 Intel Corporation Secure on-line sign-up and provisioning for Wi-Fi hotspots using a device management protocol
CN103813330A (zh) * 2012-11-15 2014-05-21 中兴通讯股份有限公司 一种通信终端、***以及权限管理方法
US9307408B2 (en) * 2012-12-27 2016-04-05 Intel Corporation Secure on-line signup and provisioning of wireless devices
US9414216B1 (en) 2013-03-15 2016-08-09 Leidos, Inc. Method and system for multiple carrier resource allocation in LTE-advanced networks
US9800581B2 (en) * 2014-03-14 2017-10-24 Cable Television Laboratories, Inc. Automated wireless device provisioning and authentication
JP6168415B2 (ja) * 2014-05-27 2017-07-26 パナソニックIpマネジメント株式会社 端末認証システム、サーバ装置、及び端末認証方法
US9584492B2 (en) * 2014-06-23 2017-02-28 Vmware, Inc. Cryptographic proxy service
US10930101B2 (en) * 2014-08-27 2021-02-23 Ncr Corporation Self-service terminal (SST) safe and methods of operating a lock for the SST safe
US9825937B2 (en) 2014-09-23 2017-11-21 Qualcomm Incorporated Certificate-based authentication
US20160110833A1 (en) * 2014-10-16 2016-04-21 At&T Mobility Ii Llc Occupancy Indicator
US10104544B2 (en) * 2016-04-05 2018-10-16 Qualcomm Incorporated LTE-level security for neutral host LTE
US10142323B2 (en) * 2016-04-11 2018-11-27 Huawei Technologies Co., Ltd. Activation of mobile devices in enterprise mobile management
CN109076058B (zh) * 2016-05-27 2020-09-29 华为技术有限公司 一种移动网络的认证方法和装置
US11765154B2 (en) * 2016-07-26 2023-09-19 Verizon Patent And Licensing Inc. Securely provisioning a service to a customer equipment
US11165591B2 (en) * 2016-09-08 2021-11-02 Cable Television Laboratories, Inc. System and method for a dynamic-PKI for a social certificate authority
US10897709B2 (en) 2016-12-09 2021-01-19 Arris Enterprises Llc Wireless network authorization using a trusted authenticator
JP7208707B2 (ja) 2017-02-17 2023-01-19 キヤノン株式会社 情報処理装置及びその制御方法とプログラム
CN112425115B (zh) * 2018-04-26 2024-04-16 塞克罗斯股份有限公司 匿名***中的多因素访问控制方法
US11997205B2 (en) 2019-02-25 2024-05-28 Tbcasoft, Inc. Credential verification and issuance through credential service providers
KR102394001B1 (ko) 2019-04-29 2022-05-02 한국전기연구원 열전발전용 가스열교환기
WO2023154071A1 (en) * 2022-02-14 2023-08-17 Rakuten Mobile, Inc. Enhanced authentication procedure for o-ran network elements

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5386104A (en) * 1993-11-08 1995-01-31 Ncr Corporation System and method for detecting user fraud in automated teller machine transactions
WO2001022651A2 (en) * 1999-09-20 2001-03-29 Ethentica, Inc. Cryptographic server with provisions for interoperability between cryptographic systems
US20080016336A1 (en) * 2006-07-17 2008-01-17 Nokia Corporation Generic public key infrastructure architecture

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5982898A (en) * 1997-03-07 1999-11-09 At&T Corp. Certification process
US6327578B1 (en) * 1998-12-29 2001-12-04 International Business Machines Corporation Four-party credit/debit payment protocol
PL354839A1 (en) * 1999-05-21 2004-02-23 Ibm Method and apparatus for initializing secure communications among, and for exclusively pairing wireless devices
ITRM20020335A1 (it) * 2002-06-14 2003-12-15 Telecom Italia Mobile Spa Metodo di autoregistrazione e rilascio automatizzato di certificati digitali e relativa architettura di rete che lo implementa.
JP4628684B2 (ja) * 2004-02-16 2011-02-09 三菱電機株式会社 データ送受信装置及び電子証明書発行方法
US20060002556A1 (en) * 2004-06-30 2006-01-05 Microsoft Corporation Secure certificate enrollment of device over a cellular network
CN101123501A (zh) * 2006-08-08 2008-02-13 西安电子科技大学 一种wapi认证和密钥协商方法和***
CN101056177B (zh) * 2007-06-01 2011-06-29 清华大学 基于无线局域网安全标准wapi的无线网状网重认证方法
TWI426762B (zh) * 2008-08-04 2014-02-11 Ind Tech Res Inst 網路身分管理方法與系統
US8296563B2 (en) * 2008-10-22 2012-10-23 Research In Motion Limited Method of handling a certification request
US8327424B2 (en) * 2009-12-22 2012-12-04 Motorola Solutions, Inc. Method and apparatus for selecting a certificate authority
US9225525B2 (en) * 2010-02-26 2015-12-29 Red Hat, Inc. Identity management certificate operations
JP5934364B2 (ja) * 2011-09-09 2016-06-15 インテル コーポレイション Soap−xml技術を使用したwi−fiホットスポットのための安全なオンラインサインアップ及び提供のためのモバイルデバイス及び方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5386104A (en) * 1993-11-08 1995-01-31 Ncr Corporation System and method for detecting user fraud in automated teller machine transactions
WO2001022651A2 (en) * 1999-09-20 2001-03-29 Ethentica, Inc. Cryptographic server with provisions for interoperability between cryptographic systems
US20080016336A1 (en) * 2006-07-17 2008-01-17 Nokia Corporation Generic public key infrastructure architecture

Also Published As

Publication number Publication date
JP6086987B2 (ja) 2017-03-01
US20160134622A1 (en) 2016-05-12
US9660977B2 (en) 2017-05-23
CN104956638A (zh) 2015-09-30
EP2920939A1 (en) 2015-09-23
JP2017126987A (ja) 2017-07-20
CN108183803B (zh) 2021-04-16
EP2920939B1 (en) 2019-09-18
US20140134980A1 (en) 2014-05-15
CN108183803A (zh) 2018-06-19
US9232400B2 (en) 2016-01-05
CN104956638B (zh) 2018-04-17
KR101701793B1 (ko) 2017-02-02
JP2015537471A (ja) 2015-12-24
WO2014078147A1 (en) 2014-05-22

Similar Documents

Publication Publication Date Title
KR101701793B1 (ko) 핫스팟 네트워크들에서 미지의 디바이스들에 대한 제한된 인증서 등록
JP6612358B2 (ja) ネットワークアクセスデバイスをワイヤレスネットワークアクセスポイントにアクセスさせるための方法、ネットワークアクセスデバイス、アプリケーションサーバ、および不揮発性コンピュータ可読記憶媒体
CN108028758B (zh) 在通信***中下载简档的方法和装置
EP3562184B1 (en) Technique for managing profile in communication system
CN107534856B (zh) 用于在无线通信***中管理终端的简档的方法和装置
US20230070253A1 (en) Methods and systems for authenticating devices using 3gpp network access credentials for providing mec services
CN113796111A (zh) 在无线通信***中提供移动边缘计算服务的装置和方法
US20160301529A1 (en) Method and apparatus for managing a profile of a terminal in a wireless communication system
US20220217152A1 (en) Systems and methods for network access granting
EP2879421B1 (en) Terminal identity verification and service authentication method, system, and terminal
JP2017535989A (ja) 証明書ベースの認証
EP3286945B1 (en) Method and system for authentication of collaborative mobile devices
KR20140123883A (ko) 이동 통신에서 가입 사업자 변경 제한 정책을 지원하는 정책 적용 방법 및 장치
KR20120091635A (ko) 통신 시스템에서 인증 방법 및 장치
EP3143780B1 (en) Device authentication to capillary gateway
US20140259124A1 (en) Secure wireless network connection method
US20220210722A1 (en) Cellular network onboarding through wireless local area network
CN106465116B (zh) 无线网络的接入控制
WO2008079490A1 (en) Locking carrier access in a communication network
CN113973301B (zh) 用于专用网络接入的自主设备认证
CN112423299B (zh) 一种基于身份认证进行无线接入的方法及***
KR20140095050A (ko) 이동 통신 시스템에서 단일 사용자 승인을 지원하는 관리 방법 및 장치
KR20130062965A (ko) 무선 네트워크 접속 인증 방법 및 그 시스템

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20200103

Year of fee payment: 4