TWI528842B

TWI528842B - 網路存取

Info

Publication number: TWI528842B
Application number: TW100131329A
Authority: TW
Inventors: 麥可彼得蒙特瑪羅; 克里斯多夫萊里班德爾; 凱文約翰歐爾頓
Original assignee: 黑莓有限公司
Priority date: 2010-08-31
Filing date: 2011-08-31
Publication date: 2016-04-01
Also published as: TW201218791A; CA2809730A1; US8607316B2; CN103081520B; EP2612514A4; CA2809730C; CN103081520A; EP2612514A1; US20120054844A1; WO2012027840A1; EP2612514B1

Description

網路存取

如本文中所使用，術語「使用者設備」、「UE」、「裝置」、「電子裝置」及類似物可意指行動設備，諸如電話、智慧型電話、個人數位助理、掌上型電腦或膝上型電腦及具有無線電信能力之類似裝置。此類裝置可包含一相關聯之可抽換式記憶體模組，諸如(但不限於)包含一用戶識別模組(SIM)應用程式、一通用用戶識別模組(USIM)應用程式或一可抽換式使用者識別模組(R-UIM)應用程式之通用積體電路卡(UICC)。一UE可能夠無線連接至一或多個不同類型的網路，諸如一無線區域網路(WLAN)、一安全公司WLAN、一虛擬私人網路(VPN)、一WLAN熱點及/或一家庭網路。另外，一UE可連接至各種類型的伺服器，諸如網路存取伺服器、鑑認伺服器及/或其他類型的伺服器。一UE亦可連接至一應用程式存取伺服器，以便取得對網際網路相關應用程式(諸如電子郵件)之存取。

為了更徹底地瞭解本揭示內容，現結合隨附圖式及詳細描述參考以下簡要描述，其中相似地數字表示相似零件。

開始應瞭解，儘管下文提供本揭示內容之一或多個實施例之圖解闡釋性實施方案，然可使用任意數目個技術(無論當前已知的或現有的)實施所揭示的系統及/或方法。本揭示內容絕不應限於下文圖解闡釋之圖解闡釋性實施方案、圖式及技術(包含本文中圖解闡釋及描述之例示性設計及實施方案)，但可在隨附申請專利範圍之範疇及其等效物之整個範疇內作出修改。

一UE可能夠與一應用程式存取伺服器直接通信，以便取得對藉由該伺服器控制之應用程式之存取。然而，可存在其中UE之使用者希望經由一安全公司網路、一安全家庭網路或一些其他安全私人網路與一應用程式存取伺服器通信之情況。在此等情況中，可能需要對該UE供應至少兩個不同安全憑證集合。憑證之一集合將為對應用程式存取伺服器之安全存取所需，且另一集合將為對私人網路(UE透過該私人網路與該應用程式存取伺服器通信)之安全存取所需。在其中該UE透過一私人網路與另一私人網路通信之一情境中，例如當該UE透過一基於家庭之VPN連接至一公司WLAN時，可需要三個安全憑證集合。例如，一集合可為對VPN之存取所需，一集合可為對公司WLAN之存取所需且一集合可為對應用程式存取伺服器之存取所需。

更特定言之，針對WLAN基礎建設連接能力，可需要對UE供應一憑證集合及一可延伸鑑認協定(EAP)方法以與公司WLAN網路鑑認以進行網路存取。針對VPN存取，可需要對UE供應待在網際網路密鑰交換(IKE)協定上使用之一憑證集合，以便與VPN鑑認。VPN網路存取及WLAN網路存取兩者皆可將一鑑認及授權伺服器用於網路鑑認且可將應用程式存取伺服器用於應用程式存取伺服器鑑認。即，為了存取企業服務，可需要：「啟動」一UE以針對應用程式存取伺服器連接能力而建立一憑證集合；對該UE供應WLAN網路憑證；及對該UE供應VPN存取憑證。用於網路存取之此等元件之組態及供應可顯著增加對一應用程式存取伺服器之連接能力之部署及支援成本。

本文中揭示的實施例提供允許一單一憑證集合用於取得對一應用程式存取伺服器以及一或多個無線網路之存取之系統及方法。更特定言之，一UE用以取得對一應用程式存取伺服器之存取之憑證亦允許該UE存取一私人WLAN及/或一VPN。因此，對WLAN、VPN及應用程式存取伺服器之存取僅需一單一憑證集合。

圖1圖解闡釋其中可實施此等實施例之一網路系統。一第一UE 110a可經由一IEEE 802.1X協定與一私人WLAN 120通信。該WLAN 120可為一公司WLAN、一企業WLAN或可允許UE 110a安全存取之一些其他WLAN且在下文中將稱為公司WLAN 120。一第二UE 110b可透過一VPN、一WiFi熱點、一WLAN熱點、一家庭網路或一類似私人網路130經由IKE協定與該公司WLAN 120通信。在本文中，任何此等私人網路將稱為VPN 130。UE 110可透過一或多個無線存取點115連接至公司WLAN 120及/或VPN 130。在一些情況中，VPN 130與公司WLAN 120之間可存在一防火牆。

UE 110a經由公司WLAN 120連接至一WLAN控制器140或一類似組件，且UE 110b經由VPN 130及公司WLAN 120連接至一VPN集中器150或一類似組件。該WLAN控制器140亦可為一WLAN存取點、包含一WLAN存取點或包含於一WLAN存取點中。可將該WLAN控制器140及該VPN集中器150個別地稱為或統稱為一網路存取伺服器155。

該WLAN控制器140及該VPN集中器150可經由諸如遠端鑑認撥入使用者服務(RADIUS)之一協定或一類似協定而與一鑑認及授權伺服器160通信。該鑑認及授權伺服器160可為鑑認授權及帳務(AAA)伺服器或可控制對一或多個網路之存取之一類似伺服器。雖然該WLAN控制器140及該VPN集中器150經展示為連接至一單一鑑認及授權伺服器160，但該WLAN控制器140及該VPN集中器150之各者可連接至一不同鑑認及授權伺服器。網路存取伺服器160可與一應用程式存取伺服器170通信，該應用程式存取伺服器170係可控制對網際網路相關應用程式(諸如電子郵件應用程式或網頁瀏覽器)之存取之一組件。例如，該應用程式存取伺服器170可為一黑莓企業伺服器(BES)或一類似組件。

在第一UE 110a經由公司WLAN 120取得對應用程式存取伺服器170之無線存取之事件之一傳統序列中，UE 110a將一第一憑證集合提供至鑑認及授權伺服器160。若該鑑認及授權伺服器160授權該UE 110a，則在該UE 110a與該公司WLAN 120之間建立一安全鏈路。接著，該UE 110a可經由該公司WLAN 120將一不同憑證集合提供至該應用程式存取伺服器170。在該應用程式存取伺服器170鑑認及授權該UE 110a之後，在該UE 110a與該應用程式存取伺服器170之間建立一安全鏈路。

在第二UE 110b之情況中，可需要一額外步驟。UE 110b可將一第一憑證集合提供至VPN 130，以便在該UE 110b與該VPN 130之間建立一安全鏈路。在建立此安全鏈路之後，接著，該UE 110b可將一第二憑證集合提供至鑑認及授權伺服器160，以便在該UE 110b與WLAN 120之間建立一安全鏈路。接著，該UE 110b可將一第三憑證集合提供至應用程式存取伺服器170，以便在該UE 110b與該應用程式存取伺服器170之間建立一安全鏈路。因此，在現有程序下，一UE 110可需要至少兩個且可能三個不同憑證集合以經由公司WLAN 120取得對應用程式存取伺服器170之無線存取。

在一實施例中，一UE 110用以取得對應用程式存取伺服器170之存取之憑證亦允許UE 110存取公司WLAN 120及/或VPN 130。此單一憑證存取可藉由定義允許鑑認及授權伺服器160與應用程式存取伺服器170之間之選路協定亦用於對WLAN 120及/或VPN 130之存取之一鑑認方法而達成。一EAP方法可針對此目的而定義且可稱為EAP路由器協定或EAP-RP 180。EAP-RP 180可用作為現有鑑認隧道(PEAP、EAP-FAST或EAP-TLS)之一內部鑑認方法。EAP-RP 180可使用IEEE 802.1X及RADIUS存取公司WLAN 120且可使用IKE及RADIUS存取VPN 130。針對公司WLAN存取，EAP-RP 180可允許UE 110上之EAP同級者以及鑑認及授權伺服器160上之EAP同級者產生建鑰材料，諸如主控工作階段密鑰(master session key；MSK)及一延伸MSK(EMSK)。

在UE 110如何可以此方式取得對應用程式存取伺服器170、公司WLAN 120及VPN 130之存取之一實例中，首先，該應用程式存取伺服器170使用EAP-RP 180建立至鑑認及授權伺服器160之一鏈路。接著，該鑑認及授權伺服器160上之EAP同級者針對鑑認而與該應用程式存取伺服器170互動。接著，該鑑認及授權伺服器160使用RADIUS以與網路存取伺服器155通信(即，與WLAN控制器140及/或VPN集中器150通信)。接著，一UE 110可在IEEE 802.1X上使用EAP-RP 180以鑑認公司WLAN網路存取或在IKE上使用EAP-RP 180以鑑認VPN存取。若將IKEv2用於VPN存取，則該UE 110亦可將一額外EAP方法用於鑑認。

圖2圖解闡釋其中將EAP-RP 180用於網路存取之一訊息序列圖之一實施例。在此情況中，公司WLAN 120係UE 110取得安全存取之唯一私人網路，但若UE 110透過VPN 130取得對公司WLAN 120之存取，則可遵循類似程序。UE 110可與一WLAN存取點(其可為圖1之存取點115a、圖1之WLAN控制器140或該等組件之一些組合且其在下文中將稱為存取點115)通信。

最初，UE 110與存取點115相關聯並且啟始一EAP工作階段。更特定言之，在事件210，在UE 110與存取點115之間遵循一網路發現程序。在事件212，UE 110將一802.11 Auth/Association訊息發送至存取點115。在事件214，接著，UE 110將一EAPol-Start訊息發送至該存取點115。在事件216，該存取點115以一EAP-RequestID訊息作出回應。在事件218，UE 110將含有UE 110之使用者的使用者ID之一EAP-Response訊息發送至該存取點115。在事件220，該存取點115將一RADIUS(EAP請求)訊息發送至鑑認及授權伺服器160。在事件222，該鑑認及授權伺服器160以一RADIUS(EAP回應)訊息回應於該存取點115。

若EAP-RP 180係用作為一隧道內部之一內部EAP方法，則如事件224處所示，UE 110最初與鑑認及授權伺服器160上之EAP同級者建立一外部EAP隧道。在事件226及228，UE 110經由鑑認及授權伺服器160在EAP上啟始與應用程式存取伺服器170之一鑑認。在事件230，接著，UE 110及鑑認及授權伺服器160使用EAP-RP 180相互鑑認。在該程序期間，鑑認及授權伺服器160與應用程式存取伺服器170互動以使用EAP-RP 180執行鑑認。在鑑認程序中可直接或間接涉及該應用程式存取伺服器170。UE 110及該鑑認及授權伺服器160上之EAP同級者產生一EMSK(其係在網際網路工程工作小組(IETF)意見請求(RFC)3748中加以指定)。在事件232處成功鑑認之後，在事件234，該鑑認及授權伺服器160將鑑認結果、MSK及EMSK傳遞回至存取點115。在事件236，接著，UE 110及存取點115遵循典型WLAN程序以建立工作階段密鑰。

換言之，當UE 110嘗試經由公司WLAN 120取得對應用程式存取伺服器170之存取時，UE 110之一憑證集合係發送至鑑認及授權伺服器160。接著，該鑑認及授權伺服器160與該應用程式存取伺服器170通信以判定UE 110是否經授權以存取公司WLAN 120。在鑑認之後，在UE 110與公司WLAN 120之間建立一安全鏈路。接著，UE 110經由該公司WLAN 120將相同憑證集合發送至該應用程式存取伺服器170。若該應用程式存取伺服器170鑑認UE 110對該應用程式存取伺服器170之存取，則經由公司WLAN 120在UE 110與該應用程式存取伺服器170建立一安全鏈路。

圖3圖解闡釋用於網際網路存取之一方法300之一實施例。在方塊310，一UE將憑證發送至一鑑認及授權伺服器。在方塊320，該鑑認及授權伺服器使用一應用程式存取伺服器驗證：對於對一WLAN之存取而言，該等憑證係有效的。在方塊330，若該等憑證係有效的，該鑑認及授權伺服器在該UE與該WLAN之間建立一安全鏈路。在方塊340，經由該WLAN將相同憑證發送至該應用程式存取伺服器。在方塊350，該應用程式存取伺服器鑑認該UE對該應用程式存取伺服器之存取。在方塊360，在該UE與該應用程式存取伺服器之間建立一安全鏈路。

上述之UE、伺服器及其他組件可包含能夠執行與上述動作相關之指令之一處理組件。圖4圖解闡釋包含適用於實施本文中揭示的一或多個實施例之一處理組件1310之一系統1300之一實例。除了處理器1310(其可稱為一中央處理器單元或CPU)之外，系統1300可包含網路連接能力裝置1320、隨機存取記憶體(RAM)1330、唯讀記憶體(ROM)1340、輔助儲存器1350及輸入/輸出(I/O)裝置1360。此等組件可經由一匯流排1370彼此通信。在一些情況中，可不存在一些此等組件或可將一些此等組件以各種組合彼此組合或與未展示之其他組件組合。此等組件可定位於一單一實體中或一個以上實體中。在本文中描述為由處理器1310所採取之任何動作可單獨藉由處理器1310採取或藉由處理器1310連同圖式中展示或未展示的一或多個組件(諸如一數位信號處理器(DSP)1380)一起採取。儘管DSP 1380係展示為一分離組件，然DSP 1380可併入至處理器1310中。

處理器1310執行其可自網路連接能力裝置1320、RAM 1330、ROM 1340或輔助儲存器1350(輔助儲存器1350可包含各種基於磁碟系統，諸如硬碟、軟碟或光碟)存取之指令、程式碼、電腦程式或指令碼。雖然僅展示一個CPU 1310，但是可存在多個處理器。因此，雖然可將指令論述為藉由一個處理器執行，但亦可藉由一或多個處理器同時、連續或以其他方式執行該等指令。可將處理器1310實施為一或多個CPU晶片。

網路連接能力裝置1320可呈以下形式：數據機、數據機組、乙太網路裝置、通用串列匯流排(USB)介面裝置、串列介面、符記環裝置、光纖分散式資料介面(FDDI)裝置、無線區域網路(WLAN)裝置、無線電收發器裝置(諸如分碼多重存取(CDMA)裝置、全球行動通信系統(GSM)無線電收發器裝置、微波存取全球互通(WiMAX)裝置、數位用戶線(xDSL)裝置)、電纜數據服務介面規範(DOCSIS)數據機及/或用於連接至網路之其他熟知裝置。此等網路連接能力裝置1320可使處理器1310與網際網路或一或多個電信網路或處理器1310可自其接收資訊或處理器1310可對其輸出資訊之其他網路進行通信。

網路連接能力裝置1320亦可包含能夠以電磁波(諸如射頻信號或微波頻率信號)形式無線地傳輸及/或接收資料之一或多個收發器組件1325。或者，可在導體的表面中或表面上、同軸電纜中、波導中、光學媒體(諸如光纖)中或其他媒體中傳播資料。該收發器組件1325可包含分離接收及傳輸單元或一單一收發器。藉由該收發器組件1325傳輸或接收的資訊可包含已藉由處理器1310處理之資料或待藉由處理器1310執行之指令。此資訊可以(例如)一電腦資料基頻帶信號或體現於一載波中之信號之形式自一網路接收或輸出至一網路。可根據如可期望用於處理或產生資料或傳輸或接收資料之不同序列對資料進行排序。基頻帶信號、體現於載波中之信號或當前所使用或今後開發之其他類型的信號可稱為傳輸媒體且可根據熟習此項技術者所熟知的若干方法而產生。

RAM 1330可用以儲存揮發性資料且或許可用以儲存藉由處理器1310執行之指令。ROM 1340係一非揮發性記憶體裝置，其通常具有小於輔助儲存器1350之記憶體容量之一記憶體容量。ROM 1340可用以儲存指令及或許儲存在指令執行期間所讀取的資料。存取RAM 1330及ROM 1340兩者通常比存取輔助儲存器1350快。輔助儲存器1350通常包括一或多個磁碟驅動器或磁帶驅動器且可用於資料之非揮發性儲存或用作為溢出資料儲存裝置(若RAM 1330未足夠大以保存所有工作資料)。當選擇執行載入至RAM 1330中之程式時，輔助儲存器1350可用以儲存此等程式。

I/O裝置1360可包含液晶顯示器(LCD)、觸控螢幕顯示器、鍵盤、小鍵盤、切換器、標度盤、滑鼠、軌跡球、語音辨識器、讀卡器、紙帶讀取器、印表機、視訊監視器或其他熟知輸入/輸出裝置。同樣，可將收發器1325視為I/O裝置1360之一組件而非網路連接能力裝置1320之一組件，或除了將收發器1325視為網路連接能力裝置1320之一組件外，亦可將收發器1325視為I/O裝置1360之一組件。

在一實施例中，提供一種網路存取方法。該方法包含：當一鑑認及授權伺服器判定藉由一UE提供至該鑑認及授權伺服器之憑證允許該UE安全存取一WLAN時，在該UE與該WLAN之間建立一安全鏈路。該方法進一步包含：當一應用程式存取伺服器使用相同憑證判定允許該UE安全存取該應用程式存取伺服器時，經由該WLAN在該UE與該應用程式存取伺服器之間建立一安全鏈路。

在另一實施例中，提供一種UE。該UE包含經組態使得該UE將憑證提供至一鑑認及授權伺服器之一處理器，其中當該鑑認及授權伺服器判定該等憑證允許該UE安全存取一WLAN時，在該UE與該WLAN之間建立一安全鏈路。該處理器進一步經組態使得該UE將相同憑證發送至一應用程式存取伺服器，其中當該應用程式存取伺服器基於該等憑證而判定允許該UE安全存取該應用程式存取伺服器時，經由該WLAN在該UE與該應用程式存取伺服器之間建立一安全鏈路。

在另一實施例中，提供一種應用程式存取伺服器。該應用程式存取伺服器包含一處理器，該處理器經組態使得當該應用程式存取伺服器判定藉由一UE提供之憑證允許該UE安全存取一WLAN時，該應用程式存取伺服器促進該UE與該WLAN之間建立一安全鏈路。該處理器進一步經組態使得當該應用程式存取伺服器判定相同憑證允許該UE安全存取該應用程式存取伺服器時，該應用程式存取伺服器促進經由該WLAN在該UE與該應用程式存取伺服器之間建立一安全鏈路。

雖然本揭示內容中已提供若干實施例，但應瞭解，在不偏離本揭示內容之精神及範疇的情況下，可以許多其他特定形式體現所揭示的系統及方法。應將本揭示內容之實例視為繪示性且非限制性，且不應將本發明限制於本文中所給定的細節。例如，各種元件或組件可組合於或整合於另一系統或可省略或不實施特定特徵。

同樣，在不偏離本揭示內容之範疇的情況下，在各種實施例中被描述或繪示為離散或單獨之技術、系統、子系統及方法可與其他系統、模組、技術或方法組合或整合。展示或論述為彼此耦合或直接耦合或通信之其他物品可透過一些介面、裝置或中間組件以電、機械或其他方式間接耦合或通信。熟習此項技術者可發現改變、置換及變更之其他實例且在不偏離本文中所揭示的精神及範疇之情況下，可實行該等實例。

110．．．使用者設備(UE)

110a．．．第一使用者設備(UE)

110b．．．第二使用者設備(UE)

115．．．存取點(AP)

115a．．．存取點(AP)

115b．．．存取點(AP)

120．．．公司無線區域網路(WLAN)

130．．．虛擬私人網路(VPN)

140．．．無線區域網路(WLAN)控制器

150．．．虛擬私人網路(VPN)集中器

155．．．網路存取伺服器

160．．．鑑認及授權伺服器

170．．．應用程式存取伺服器

180．．．可延伸鑑認協定-路由器協定(EAP-RP)

1300．．．系統

1310．．．處理組件/處理器

1320．．．網路連接能力裝置

1325．．．收發器組件

1330．．．隨機存取記憶體(RAM)

1340．．．唯讀記憶體(ROM)

1350．．．輔助儲存器

1360．．．輸入/輸出(I/O)裝置

1370．．．匯流排

1380．．．數位信號處理器(DSP)

圖1圖解闡釋根據本揭示內容之一實施例之一網路拓樸。

圖2係根據本揭示內容之一實施例之用於網路存取之一訊息序列圖。

圖3圖解闡釋根據本揭示內容之一實施例之一網路存取方法。

圖4圖解闡釋適用於實施本揭示內容之若干實施例之一處理器及相關組件。