融合WLAN－WWAN交互网络中的用户证书创始、分发和供应系统和方法

摘要

融合的WLAN－WWAN交互网络中的用户证书创始、分发和供应系统和方法。工作在无线局域网中的计算设备(108)向工作在无线蜂窝广域网中的移动设备发送公钥(206)。移动设备向无线蜂窝广域网中的蜂窝运营商执行引导过程(208)，以便根据公钥获取用户证书(210)。移动设备向计算设备发送用户证书(214)，以便将其安装在计算设备上。用户证书可用于进行数字签名、验证和加密(218)。用户证书在无线局域网和无线广域网中还用于当用户访问这两种网络的服务时对用户进行认证(213)、(218)。

说明书

发明领域

[0001]概括地说，本发明的实施例涉及WLAN-WWAN(无线局域网—无线广域网)交互的领域。具体地说，本发明的实施例涉及融合的WLAN-WWAN交互中的用户证书创始、分发和供应系统和方法。

技术背景

[0002]当前，有多种类型的无线网络可用于不同类型的环境。例如，有无线广域网(WWAN)和无线局域网(WLAN)。WWAN网络可用于蜂窝通信，例如、但不限于蜂窝电话和个人数字助理(PDA)。示例性的WWAN网络包括、但不限于移动网络，如全球移动通信系统(GSM)、第三代(3G)移动通信技术和码分多址(CDMA)。WLAN网络可用于计算机，例如、但不限于膝上型计算机、笔记本计算机、工作站等等。示例性的WLAN网络包括、但不限于802.11、802.16等等。

[0003]还有无线本地链路，例如，蓝牙和红外数据协会(IrDA)。这些无线本地链路使移动设备(也被称为移动终端)能跟诸如膝上型计算机、笔记本计算机、工作站等个人计算机(PC)进行通信。

[0004]例如，T-Mobile、AT&T Wireless、Verizon Wireless等无线运营商过去通过WWAN网络提供蜂窝类型的服务，现今，它们也开始提供WLAN类型的服务。通过提供WWAN和WLAN服务，这些运营商正在致力于实现所谓的融合网络运营，即，将WWAN-WLAN服务融合起来。在融合网络中，用户可能希望针对所提供的全部服务(如WWAN和WLAN服务)都使用相同的认证数据或相同的凭证。但是，现今的证书供应技术要么特定用于WWAN(例如，GSM03.48、WPKI(无线应用协议公钥基础设施))，要么特定用于WLAN(例如，PKI(公钥基础设施))。目前，还没有集成和无缝的方式能在组合和融合的WWAN-WLAN网络中生成和供应公共用户证书，从而使证书可用于WLAN和WWAN认证及访问。

[0005]因此，所需要的是一种能无缝地给用户供应证书的系统和方法，从而使用户能在组合和融合的交互网络中用单个凭证对自己进行认证以及访问各类网络上的服务。

附图说明

[0006]本申请文件中的附图是说明书的一部分，其用于阐释本发明的实施例，并与说明书一起用于解释本发明的原理和使本领域普通技术人员能够实施和使用本发明。在这些附图中，相同的附图标记一般表示相同的、功能相似的和/或结构相似的部件。第一次示出某个部件的附图用相应附图标记最左边的数字指明。

[0007]图1是根据本发明实施例在融合的WWAN-WLAN交互网络中进行用户证书创始、分发和供应的示例性系统的示意图。

[0008]图2是根据本发明实施例在融合的WWAN-WLAN交互网络中进行用户证书创始、分发和供应的示例性方法的动作流程图。

具体实施方式

[0009]虽然本发明是围绕着特定应用的说明性实施例进行描述的，但应当理解的是，本发明不限于此。通过阅读本申请提供的教导，本领域普通技术人员将能认识到处于本申请保护范围内和本发明实施例具有显著实用性的其它领域内的其它修改、应用和实施例。

[0010]在本发明的说明书中提及“一个实施例”、“某一实施例”或“另一实施例”意味着，针对该实施例描述的具体特征、结构或特性包括在本发明至少一个实施例中。因此，在贯穿全文的任何地方出现“在一个实施例中”和“在某一实施例中”并不一定指相同的实施例。

[0011]本发明的实施例针对的是融合的WWAN-WLAN交互网络中的用户证书创始、分发和供应系统和方法。这是通过下列方式实现的：把在个人计算设备上生成的公钥传送到移动设备，然后，让移动设备把公钥发送给蜂窝网络基础设施运营商，以用于证明。然后，将含有公钥的证书分发给移动设备和个人计算设备，这样，当通过移动设备或个人计算设备使用融合网络上的WWAN-WLAN服务时，就能对用户进行认证。应用还可以使用证书和密钥对，以进行数字签名、验证和加密。证书还能够用于相互认证。

[0012]因此，本发明的实施例使融合WWAN-WLAN交互网络中的计算设备能够在供应用户证书方面发挥重要作用。无缝的证书生成和供应方法将无线用户证书从WWAN之外进入WLAN网络之中的范围扩展到SIM(用户识别模块)、USIM(UMTS(通用移动电话系统)SIM)或RUIM(可移动用户识别模块)计算设备，以及，没有SIM、USIM或RUIM的计算设备。支持非蜂窝设备(如膝上型计算机、笔记本计算机和其它计算设备)对WLAN访问来说是很重要的，在WLAN访问中，计算设备是比蜂窝设备便利的平台(例如，存储器更大、屏幕更大)。

[0013]虽然本发明的实施例是围绕着如何在融合WWAN-WLAN交互网络中使用进行描述的，但是，本发明不限于融合WWAN-WLAN交互网络。本领域普通技术人员将会知晓，本发明的实施例同样也适用于那些在今天或将来可能会融合而形成交互网络的其它类型网络。

[0014]图1是根据本发明实施例在融合的WWAN-WLAN交互网络中进行用户证书创始、分发和供应的示例性系统100的示意图。系统100包括WWAN网络102和WLAN网络104。WWAN网络102和WLAN网络104都由单个服务提供商拥有和运营，例如，该服务提供商是能提供WWAN服务和WLAN服务的电信运营商。WWAN网络102包括具有WWAN访问/支持能力的移动终端106。WLAN网络104包括具有WLAN访问/支持能力的个人计算机108。WWAN网络102和WLAN网络104都能使移动终端106和个人计算机108分别访问互联网124或其它网络，如企业网。在本发明的实施例中，移动终端106和个人计算机108由同一用户操作。

[0015]虽然本发明的实施例是用一部移动终端和一台个人计算机来描述的，但本领域普通技术人员将会明白，有多个移动终端和/或多台个人计算机的用户可以将用户证书分发给各移动终端和/或个人计算机，从而对于用户所用的各设备使用单个用户证书。

[0016]图1还示出了电信运营商的后台基础设施114。后台基础设施114包括归属位置寄存器(HLR)116等。HLR116包括网络102和104的永久用户信息的主数据库。HLR116包含相关用户信息，如姓名、地址、帐户状态、偏好等。HLR116还包括基站控制器(BSC)118、归属用户服务器(HSS)120和公钥基础设施(PKI)门户122。

[0017]BSC118在移动服务交换中心(MSC)(未显示)和基站收发机(即，无线设备)(同样未显示)之间提供控制功能和物理链路。

[0018]HSS120将跟使用引导功能有关的新参数存储在用户简档中。引导是公知的过程，其用于安全地管理发往和来自远程无线设备的信息，例如、但不限于GSM03.48。在本发明的实施例中，引导可用来把信息(例如公钥)推送到后台基础设施114的HSS120，以便将其插入证书中。引导还可用来把证书发回移动终端106，之后再发回个人计算机108。如前所述，在用户有多个移动终端和/或多台个人计算机的实施例中，引导还可用来将用户证书分发给各移动终端，之后再分发给各台个人计算机。

[0019]PKI门户122包括多个证书。电信运营商114生成的所有证书都存在PKI门户122中。

[0020]个人计算机108包括密钥对生成器110和安全存储单元112等。个人计算机108可以是膝上型计算机、笔记本计算机和能够支持WLAN的任何其它计算设备。

[0021]密钥对生成器110使个人计算机108能够在供应用户证书方面发挥重要作用。密钥对生成器110提供了一种安全可靠的方式来生成密钥对。密钥对包括公钥和私钥。密钥对可使用硬件、软件或通过智能卡来生成。

[0022]例如，密钥对可用实现在个人计算机108上的可信平台模块(TPM)来生成。对于保证用户数据机密性的加密和数字签名密钥来说，TPM提供基于硬件的保护。TPM保护加密密钥和平台认证信息免受基于软件的攻击，这是用硬件来保证安全的。

[0023]如前所述，密钥对也可用软件生成，如微软公司制造的CAPI(密码学应用程序接口)。在其它实施例中，智能卡也可用来按公知方式生成密钥对。密钥对的公钥部分用于在融合网络中生成证书，后面还将对此进行讨论。

[0024]安全存储单元112为密钥对的私钥部分的存储提供了一种安全的手段。安全存储单元112还存储后台基础设施114生成的证书。

[0025]系统100还在移动终端104和个人计算机108之间提供有线或无线本地链路126，以用于在移动终端104和个人计算机108之间传递数据。本地链路126可包括多种无线技术，例如，蓝牙、IrDA或可用来使移动终端跟个人计算机进行通信的其它类型无线技术。本地链路126还可包括多种有线技术，例如，通用串行总线(USB)线缆、串行线缆、以太网线缆或可用来在移动终端和个人计算机之间进行通信的任何其它线缆

[0026]本发明的实施例使运营商和服务提供商能够在融合交互网络中向用户提供更易用、统一计费和使用的现有网络基础设施。通过提供单个证书来访问WWAN和WLAN服务，移动终端和个人计算机能获得统一的网络认证方法。此外，移动个人计算机，如膝上型计算机和笔记本计算机，可具有漫游能力，而这通常是无线电话才使用的。

[0027]为了访问各个网络(WWAN网络102或WLAN网络104)上的服务，用户必须能够将自己认证成网络的授权用户。图2是根据本发明实施例在融合的WWAN-WLAN交互网络中进行用户证书创始、分发和供应的示例性方法200的动作流程图。本发明不限于本申请结合动作流程图200所描述的实施例。对于本领域普通技术人员来说显而易见的是，在阅读本申请提供的教义之后，其它功能性的动作流程图亦落入本发明的保护范围之内。从个人计算机108、移动终端106和蜂窝网络后台基础设施114的角度出发描述该流程。该流程开始于202，此时，在个人计算机108上生成安全可靠的密钥对。如上所述，密钥对可通过硬件、软件或智能卡来生成。密钥对的私钥部分存储在安全存储单元112中。

[0028]在204中，用户(即，订户)或应用可启动用户证书生成和分发过程。在206中，密钥对中的公钥通过位置受限信道126从计算设备108传输到移动终端106。如上所述，位置受限信道126可以是有线或无线的位置受限信道126，只要能使移动终端106跟计算设备108通信即可。

[0029]在208中，移动终端106将公钥推送到后台基础设施114，从而向蜂窝运营商执行引导过程。用户必须授权引导操作。在一个实施例中，引导操作是让用户向移动终端106输入个人标识号(PIN)而得以授权的，个人标识号是从蜂窝运营商那里获得的。

[0030]在210中，引导过程使后台基础设施114能生成公钥对应的用户证书并将该用户证书分发给移动终端106。在212中，可将用户证书存储在移动终端106上。在一个实施例中，可通过SIM卡将用户证书安装在移动终端106上。由于用户证书存储在移动终端106上，所以，能进行WWAN认证和访问WWAN网络102提供的服务(在213中)。在一个实施例中，也可获取蜂窝运营商证书，并将其安装在SIM卡上。

[0031]在214中，用户证书(如果获得了蜂窝运营商证书，则还有蜂窝运营商证书)通过有线或无线信道126传输到计算设备108。在用户有多个移动终端106和/或多个计算设备108的实施例中，也可将用户证书分发给剩余的移动终端106和计算设备108。

[0032]在216中，将用户证书安装在计算设备108上。在一个实施例中，通过将用户证书存储在可信平台模块(即，安全存储单元112)中，从而可以安装用户证书。在另一个实施例中，可以通过基于软件的仓库来安装用户证书。在又一个实施例中，用户证书可以安装在用户的智能卡上。在下一个实施例中，用户证书可以安装在SIM上。如果还获得了蜂窝运营商证书，则也可以将其安装在计算设备、智能卡或SIM上。

[0033]在218中，应用可将证书和密钥对用于进行数字签名、验证和/或加密。在还获得并安装了蜂窝运营商证书的实施例中，应用还可以在验证数字签名时使用蜂窝运营商证书。蜂窝运营商证书还可以用于进行相互认证，这对于本领域普通技术人员来说是公知的。

[0034]在一个实施例中，用户使用该证书对文档、电子邮件等进行签名，以便验证电子邮件和其它类型的文档、加密电子邮件和其它类型的文档、开展电子商务等。安全可靠的密钥对还可用于进行安全的WLAN操作。

[0035]虽然前面围绕着如何生成和分发用户证书对本发明的实施例进行了描述，但是，本发明并不限于单个用户获取单个证书。在本发明的实施例中，也可以生成一个以上的用户证书并将其分发给单个用户。

[0036]本发明的实施例的特定方面可以用硬件、软件和其组合来实现，并且，可以实现在一个或多个计算机系统或其它处理系统中。事实上，在一个实施例中，这些方法可以用程序来实现，程序运行在可编程机器上，如移动或静态的计算机、个人数字助理(PDA)、机顶盒、蜂窝电话和寻呼机、以及其它电子设备，这些电子设备均包括处理器、处理器可读的存储介质(包括挥发性和非挥发性存储器和/或存储单元)、至少一个输入设备和一个或多个输出设备。程序代码作用于使用输入设备输入的数据，从而执行所述的功能和生成输出信息。输出信息可施加给一个或多个输出设备。本领域普通技术人员应当明白，本发明的实施例可用各种计算机系统配置来实现，其包括多处理器系统、微型计算机、大型机等等。本发明的实施例也可以实现在分布式计算环境中，在这种情况下，任务可由通过通信网络相连的远程处理设备来执行。

[0037]每个程序可用高级程序性或面向对象的编程语言来实现，从而跟处理系统进行通信。但是，根据需要，程序可用汇编或机器语言来实现。在任何情况下，可以编译或解释该语言。

[0038]程序指令可用于使编有指令的通用或专用处理系统执行本申请所述的方法。或者，这些方法也可以通过专用硬件部件或通过编程的计算机部件和定制的硬件部件的任何组合来实现，专用硬件部件包含用来执行这些方法的硬件逻辑。可将本申请描述的方法作为计算机程序产品提供，计算机程序产品可包括机器可读介质，其中存储有指令，可用于对处理系统或其它电子设备进行编程，以便执行这些方法。本申请中所用的术语“机器可读介质”或“机器可访问介质”应包括任何介质，只要能对机器执行的指令序列进行存储或编码并使机器执行本申请所述的任何一种方法即可。因此，术语“机器可读介质”或“机器可访问介质”应包括、但不限于：固态存储器、光磁盘和用于对数据信号进行编码的载波。此外，本领域中常用执行某一个动作或导致某一结果的一种形式或其它形式(例如，程序、过程、流程、应用、模块、逻辑等等)来描述软件。这些措辞仅仅是表述处理系统执行软件从而使处理器执行某一个动作或产生某一结果的速记方式。

[0039]虽然上面已经描述了本发明的多个实施例，但应当理解的是，这些只是以举例方式给出的，而没有任何限制性意味。本领域普通技术人员应当理解，可以在形式和细节方面做出各种变化，而不偏离本发明权利要求书定义的精神和保护范围。因此，本发明的广度和保护范围不应受到前述任何示例性实施例的限制，而应根据权利要求书及其等同物加以界定。