專利名稱:許可訪問網(wǎng)絡(luò)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及許可訪問網(wǎng)絡(luò)�。本發(fā)明尤其涉及通過在通信系統(tǒng)上對訪問證書進(jìn)行共享來許可訪問網(wǎng)絡(luò)。
背景技術(shù):
設(shè)備能夠經(jīng)由網(wǎng)絡(luò)的訪問接入點(diǎn)來訪問網(wǎng)絡(luò)以及與網(wǎng)絡(luò)進(jìn)行通信�。所述網(wǎng)絡(luò)可以是局域網(wǎng)(LAN),諸如能夠連接商行雇員的商行局域網(wǎng)�����?���?商娲兀鼍W(wǎng)絡(luò)可以是廣域網(wǎng)(WAN)�����,諸如因特網(wǎng)�����。訪問接入點(diǎn)可以是無線訪問接入點(diǎn)從而設(shè)備能夠與訪問接入點(diǎn)進(jìn)行無線通信(例如使用WiFi連接�,或者本領(lǐng)域已知的一些其他無線連接)。為了設(shè)備與訪問接入點(diǎn)進(jìn)行通信����,可以要求設(shè)備使用用于經(jīng)由訪問接入點(diǎn)訪問網(wǎng)、絡(luò)的特定的一組訪問證書����。當(dāng)設(shè)備為特定的訪問接入點(diǎn)使用正確的一組訪問證書時(shí),該設(shè)備被許可經(jīng)由訪問接入點(diǎn)訪問網(wǎng)絡(luò)�,并且在經(jīng)由訪問接入點(diǎn)在網(wǎng)絡(luò)上的通信中將因而使用正確的協(xié)議。通過要求設(shè)備具有正確的訪問證書��,其能夠保證只有特定的設(shè)備(即那些使用正確的訪問證書的設(shè)備)能夠經(jīng)由訪問接入點(diǎn)訪問網(wǎng)絡(luò)����。用這種方式限制經(jīng)由訪問接入點(diǎn)訪問網(wǎng)絡(luò)是有用的�,例如能夠防止不期望的用戶經(jīng)由特定的訪問接入點(diǎn)訪問特定的網(wǎng)絡(luò)�����。無線訪問接入點(diǎn)在“空中下載”可以由其兩個(gè)屬性唯一識(shí)別(i)用戶指定的服務(wù)集標(biāo)識(shí)符(SSID)��,其為由用戶設(shè)定的無線網(wǎng)絡(luò)的名稱��,以及(ii)無線接口媒體訪問控制(MAC)地址��,其為由訪問接入點(diǎn)制造商分配給該訪問接入點(diǎn)的唯一的48位值���。SSID和MAC地址作為訪問接入點(diǎn)的標(biāo)識(shí)符�。用于經(jīng)由訪問接入點(diǎn)訪問無線網(wǎng)絡(luò)的訪問證書可以包括在與訪問接入點(diǎn)進(jìn)行通信時(shí)使用的加密方法(諸如有線等效保密(WEP)�、Wi-Fi保護(hù)訪問(WPA)、或者Wi-Fi保護(hù)訪問版本2(WPA2))和加密算法(諸如臨時(shí)密鑰完整性協(xié)議(TKIP)���、或者高階加密標(biāo)準(zhǔn)(AES))���。訪問證書還可以包括為了許可設(shè)備經(jīng)由訪問接入點(diǎn)訪問網(wǎng)絡(luò)而必須檢驗(yàn)的網(wǎng)絡(luò)密鑰(或者“訪問密鑰”)。網(wǎng)絡(luò)密鑰的長度可以取決于所選擇的加密方法��。為了設(shè)備能夠經(jīng)由訪問接入點(diǎn)而訪問網(wǎng)絡(luò),訪問證書必須對該設(shè)備為可用的��。經(jīng)由訪問接入點(diǎn)訪問網(wǎng)絡(luò)所要求的訪問證書可以對所使用的特定訪問接入點(diǎn)是特定的���。訪問證書用于限制經(jīng)由特定的訪問接入點(diǎn)連接到網(wǎng)絡(luò)的設(shè)備的數(shù)量。然而����,為了許可一些設(shè)備經(jīng)由特定的訪問接入點(diǎn)連接到網(wǎng)絡(luò),那些設(shè)備應(yīng)具有用于經(jīng)由特定的訪問接入點(diǎn)訪問網(wǎng)絡(luò)所要求的訪問證書�����。
發(fā)明內(nèi)容
在通信系統(tǒng)的第一節(jié)點(diǎn)處可能已知了用于經(jīng)由訪問接入點(diǎn)訪問網(wǎng)絡(luò)的訪問證書��。訪問證書能夠以安全的方式在通信系統(tǒng)中提供給第二節(jié)點(diǎn)�,以使得僅當(dāng)?shù)诙?jié)點(diǎn)在與訪問接入點(diǎn)通信的范圍內(nèi)時(shí),訪問證書能夠被使用�。為了實(shí)現(xiàn)這個(gè),訪問證書能夠被加密然后在通信系統(tǒng)上被提供給第二節(jié)點(diǎn)���。有利地�,訪問證書是使用訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符加密的�����,以使得需要訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符對加密的訪問證書進(jìn)行解密。對于對加密的訪問證書進(jìn)行解密的第二節(jié)點(diǎn)�����,第二節(jié)點(diǎn)通過與所述訪問接入點(diǎn)通信來判定所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符���,并且然后使用判定出的至少一個(gè)標(biāo)識(shí)符對加密的訪問證書進(jìn)行解密�。因此提供了一種在第二節(jié)點(diǎn)能夠與訪問接入點(diǎn)通信之前�����,隱藏訪問證書的方法�����。根據(jù)本發(fā)明的第一方案�,提供了一種許可經(jīng)由訪問接入點(diǎn)訪問網(wǎng)絡(luò)的方法,所述方法包括在通信系統(tǒng)的第一節(jié)點(diǎn)處���,判定所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符��;使用預(yù)定的加密函數(shù)和判定出的所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符以這樣的方式對所述訪問證書進(jìn)行加密需要所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符以對加密的訪問證書進(jìn)行解密�����,所述訪問證書用于經(jīng)由所述訪問接入點(diǎn)訪問網(wǎng)絡(luò)�����;在所述通信系統(tǒng)上將加密的所述訪問證書提供給所述通信系統(tǒng)的第二節(jié)點(diǎn)��;所述第二節(jié)點(diǎn)通過與所述訪問接入點(diǎn)通信來判定所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符����;所述第二節(jié)點(diǎn)使用判定出的所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符以使用與所述預(yù)定的加密函數(shù)相對應(yīng)的預(yù)定的解密函數(shù)對加密的訪問證書進(jìn)行解密����;以及所述第二節(jié)點(diǎn)使用解密的訪問證書經(jīng)由所述訪問接入點(diǎn)訪問網(wǎng)絡(luò)。
在優(yōu)選實(shí)施例中����,使用預(yù)定的加密函數(shù)和判定出的所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符對所述訪問證書進(jìn)行加密的所述步驟包括使用預(yù)定的推導(dǎo)函數(shù)取得來自所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符的加密密鑰;以及使用所述預(yù)定的加密函數(shù)中的加密密鑰對所述訪問證書進(jìn)行加密��,并且所述第二節(jié)點(diǎn)使用判定出的所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符對所述加密的訪問證書進(jìn)行解密的所述步驟包括使用預(yù)定的推導(dǎo)函數(shù)取得來自判定出的所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符的解密密鑰���;以及使用所述預(yù)定的解密函數(shù)中的解密密鑰對所述加密的訪問證書進(jìn)行解密����。優(yōu)選地,第一推導(dǎo)函數(shù)和第二推導(dǎo)函數(shù)是不可逆函數(shù)����。在優(yōu)選實(shí)施例中,使用預(yù)定的加密函數(shù)和判定出的所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符對所述訪問證書進(jìn)行加密的所述步驟包括對校驗(yàn)數(shù)據(jù)以及所述訪問證書一起加密�����,所述校驗(yàn)數(shù)據(jù)用于證實(shí)使用所述預(yù)定的解密函數(shù)對所述加密的訪問證書進(jìn)行解密的結(jié)果��。優(yōu)選地���,所述方法進(jìn)一步包括使用預(yù)定的推導(dǎo)函數(shù)取得來自判定出的所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符的所述校驗(yàn)數(shù)據(jù)���,所述推導(dǎo)函數(shù)優(yōu)選地是不可逆的。 所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符可以包括所述訪問接入點(diǎn)的用戶指定的服務(wù)集標(biāo)識(shí)符和媒體訪問控制地址���。所述訪問證書可以包括待用于經(jīng)由所述訪問接入點(diǎn)訪問網(wǎng)絡(luò)的Q)加密方法�����;(ii)加密算法�;以及(iii)網(wǎng)絡(luò)密鑰中的至少一個(gè)。根據(jù)本發(fā)明的第二方案�,提供了一種用于許可經(jīng)由訪問接入點(diǎn)訪問網(wǎng)絡(luò)的通信系統(tǒng),所述通信系統(tǒng)包括第一節(jié)點(diǎn)��,所述第一節(jié)點(diǎn)包括(i)用于判定所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符的判定器件�;以及用于使用預(yù)定的加密函數(shù)和判定出的所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符以這樣的方式對所述訪問證書進(jìn)行加密需要所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符以對加密的訪問證書進(jìn)行解密的加密器件,所述訪問證書用于經(jīng)由所述訪問接入點(diǎn)訪問網(wǎng)絡(luò)�����;(ii)第二節(jié)點(diǎn)��,所述第二節(jié)點(diǎn)包括用于通過與所述訪問接入點(diǎn)通信判定所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符的判定器件����;用于使用判定出的所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符以及與所述預(yù)定的加密函數(shù)相對應(yīng)的預(yù)定的解密函數(shù)對加密的訪問證書進(jìn)行解密的解密器件�;以及用于使用解密的訪問證書經(jīng)由所述訪問接入點(diǎn)訪問網(wǎng)絡(luò)的訪問器件;以及a i υ用于將所述加密的訪問證書提供給所述第二節(jié)點(diǎn)的器件��。根據(jù)本發(fā)明的第三方案�����,提供了一種將訪問證書從通信系統(tǒng)的第一節(jié)點(diǎn)提供給第二節(jié)點(diǎn)的方法���,所述訪問證書用于經(jīng)由訪問接入點(diǎn)訪問網(wǎng)絡(luò)�,所述方法包括在所述第一節(jié)點(diǎn)處,判定所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符�����;使用預(yù)定的加密函數(shù)和判定出的所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符以這樣的方式對所述第一節(jié)點(diǎn)處的訪問證書進(jìn)行加密需要所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符以對加密的訪問證書進(jìn)行解密���;以及在所述通信系統(tǒng)上將加密的所述訪問證書從所述第一節(jié)點(diǎn)提供給所述第二節(jié)點(diǎn)�����,所述第二節(jié)點(diǎn)通過與所述訪問接入點(diǎn)通信來判定所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符��,從而如果所述第二節(jié)點(diǎn)能夠判定所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符�����,則允許所述第二節(jié)點(diǎn)訪問網(wǎng)絡(luò)以及使用所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符對加密的訪問證書進(jìn)行解密��。根據(jù)本發(fā)明的第四方案���,提供了一種用于將訪問證書提供給通信系統(tǒng)的接收器節(jié)點(diǎn)的通信系統(tǒng)的提供器節(jié)點(diǎn),所述訪問證書用于經(jīng)由訪問接入點(diǎn)訪問網(wǎng)絡(luò)��,所述提供器節(jié)點(diǎn)包括用于判定所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符的判定器件;用于使用預(yù)定的加密函數(shù)和判定出的所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符以這樣的方式對所述訪問證書進(jìn)行加密需要所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符以對加密的訪問證書進(jìn)行解密的加密器件�;以及用于在所述通信系統(tǒng)上將加密的所述訪問證書從所述提供器節(jié)點(diǎn)提供給所述接收器節(jié)點(diǎn)的提供器件,從而如果所述接收器節(jié)點(diǎn)能夠判定所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符��,則允許 所述接收器節(jié)點(diǎn)訪問網(wǎng)絡(luò)以及使用所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符對加密的訪問證書進(jìn)行解密����。根據(jù)本發(fā)明的第五方案,提供了一種經(jīng)由訪問接入點(diǎn)訪問網(wǎng)絡(luò)的方法����,所述方法包括在通信系統(tǒng)的第二節(jié)點(diǎn)處接收來自通信系統(tǒng)的第一節(jié)點(diǎn)的加密的訪問證書,所述訪問證書用于經(jīng)由訪問接入點(diǎn)訪問網(wǎng)絡(luò)���,其中,所述加密的訪問證書是使用預(yù)定的加密函數(shù)和判定出的所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符以這樣的方式加密的需要所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符以對加密的訪問證書進(jìn)行解密�����;所述第二節(jié)點(diǎn)通過與所述訪問接入點(diǎn)通信來判定所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符�����;所述第二節(jié)點(diǎn)使用判定出的所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符以使用與所述預(yù)定的加密函數(shù)相對應(yīng)的預(yù)定的解密函數(shù)對加密的訪問證書進(jìn)行解密��;以及所述第二節(jié)點(diǎn)使用解密的訪問證書經(jīng)由所述訪問接入點(diǎn)訪問網(wǎng)絡(luò)。根據(jù)本發(fā)明的第六方案���,提供了一種計(jì)算機(jī)程序產(chǎn)品��,其包括用于由通信系統(tǒng)的第一節(jié)點(diǎn)處的計(jì)算機(jī)處理器件執(zhí)行的計(jì)算機(jī)可讀指令��,用于將訪問證書從所述通信系統(tǒng)的所述第一節(jié)點(diǎn)提供給第二節(jié)點(diǎn)�,所述訪問證書用于經(jīng)由訪問接入點(diǎn)訪問網(wǎng)絡(luò)��,所述指令包括用于實(shí)施根據(jù)本發(fā)明的第三或者第五方案的方法的指令�����。根據(jù)本發(fā)明的第七方案�,提供了一種用于經(jīng)由訪問接入點(diǎn)訪問網(wǎng)絡(luò)的通信系統(tǒng)的接收器節(jié)點(diǎn),所述接收器節(jié)點(diǎn)包括用于接收來自所述通信系統(tǒng)的提供器節(jié)點(diǎn)的加密的訪問證書的接收器件�����,所述訪問證書用于經(jīng)由訪問接入點(diǎn)訪問網(wǎng)絡(luò)����,其中,所述加密的訪問證書是使用預(yù)定的加密函數(shù)和所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符以這樣的方式加密的需要所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符以對加密的訪問證書進(jìn)行解密;用于通過與所述訪問接入點(diǎn)通信來判定所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符的判定器件�;用于使用判定出的所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符以及與所述預(yù)定的加密函數(shù)相對應(yīng)的預(yù)定的解密函數(shù)對加密的訪問證書進(jìn)行解密的解密器件;以及用于使用解密的訪問證書經(jīng)由所述訪問接入點(diǎn)訪問網(wǎng)絡(luò)的訪問器件��。因此�����,第二節(jié)點(diǎn)能夠通過使用訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符僅判定訪問證書(通過解密訪問證書)�����,并且第二節(jié)點(diǎn)僅當(dāng)?shù)诙?jié)點(diǎn)在與訪問接入點(diǎn)通信的范圍內(nèi)時(shí)接收訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符。這限制了訪問證書在整個(gè)通信系統(tǒng)中的重新分配��。因此����,提供了訪問證書分配的更好的安全性�。
為了更好地理解本發(fā)明并且示出其可以如何被實(shí)施�����,現(xiàn)在將通過示例的方式參照附圖進(jìn)行說明�����,其中圖I示出根據(jù)優(yōu)選實(shí)施例的通信系統(tǒng)和網(wǎng)絡(luò)���;圖2是根據(jù)優(yōu)選實(shí)施例的用戶終端的示意圖���; 圖3是許可訪問網(wǎng)絡(luò)的第一過程的流程圖��;圖4是根據(jù)優(yōu)選實(shí)施例的客戶程序的用戶接口的圖示�����;以及圖5是許可訪問網(wǎng)絡(luò)的第二過程的流程圖。
具體實(shí)施例方式現(xiàn)在將僅以示例的方式描述本發(fā)明的優(yōu)選實(shí)施例��。圖I示出了通信系統(tǒng)���,其包括具有相關(guān)聯(lián)的第一用戶終端104的第一用戶(“用戶A”)102,以及具有相關(guān)聯(lián)的第二用戶終端112的第二用戶(“用戶B”)110�。用戶終端104和112能夠在通信系統(tǒng)中通過網(wǎng)絡(luò)106進(jìn)行通信,因此允許用戶102和110通過網(wǎng)絡(luò)106彼此進(jìn)行通信����。在通信系統(tǒng)的優(yōu)選實(shí)施例中是基于分組的P2P通信系統(tǒng)���,但是也可以使用其他類型的通信系統(tǒng),諸如非P2P��、VoIP或者IM系統(tǒng)�����。網(wǎng)絡(luò)106例如可以是因特網(wǎng)�。用戶終端104例如可以是移動(dòng)電話����、個(gè)人數(shù)字助理(“PDA”)、個(gè)人電腦(“PC”)(包括����,例如ffindowsT\Mac OS 和Linux PC)、游戲設(shè)備或者其他能夠連接到網(wǎng)絡(luò)106的嵌入式設(shè)備���。用戶終端104被安排為從用戶終端104的用戶102處接收信息以及輸出信息到用戶終端104的用戶102�。本發(fā)明的優(yōu)選實(shí)施例中���,用戶終端104包括諸如屏幕的顯示裝置��,以及諸如鍵盤����、鼠標(biāo)、觸摸屏��、小鍵盤和/或控制桿的輸入設(shè)備�。用戶終端104連接到網(wǎng)絡(luò)106上。注意在可替代的實(shí)施例中���,用戶終端104能夠經(jīng)由圖I中未示出的附加的中間網(wǎng)絡(luò)連接到網(wǎng)絡(luò)106上��。例如����,如果用戶終端104是移動(dòng)設(shè)備�,則其能夠經(jīng)由蜂窩移動(dòng)網(wǎng)絡(luò)120 (例如GSM或者UMTS網(wǎng)絡(luò))連接到網(wǎng)絡(luò)106上。用戶終端104執(zhí)行由與通信系統(tǒng)相關(guān)聯(lián)的軟件供應(yīng)商所提供的通信客戶程序108�����。通信客戶程序108是在用戶終端104中的局部處理器上執(zhí)行的軟件程序��。為了用戶終端104在通信系統(tǒng)中傳輸和接收數(shù)據(jù),客戶程序108在用戶終端104處實(shí)施所要求的處理�。如本領(lǐng)域中所已知的,客戶程序108可以經(jīng)認(rèn)證以通過出示數(shù)字證書而在通信系統(tǒng)中進(jìn)行通信(例如���,證明用戶A102是通信系統(tǒng)的真正簽約用戶——專利W02005/009019中有更加詳細(xì)地描述)�。用戶終端112對應(yīng)于用戶終端104�。用戶終端112在局部處理器上執(zhí)行對應(yīng)于通信客戶程序108的通信客戶程序114。以與客戶程序108實(shí)施為允許用戶102在網(wǎng)絡(luò)106上通信所要求的處理相同的方式����,客戶程序114實(shí)施為允許用戶110在網(wǎng)絡(luò)106上通信所要求的處理。為清晰起見���,圖I僅示出兩個(gè)用戶(102和110),但是如本領(lǐng)域所已知的��,可以將更多的用戶連接到通信系統(tǒng)上����,并且可以通過使用在相應(yīng)的用戶終端上執(zhí)行的相應(yīng)通信客戶程序來在通信系統(tǒng)中通信。通信系統(tǒng)包括在網(wǎng)絡(luò)106上的服務(wù)器116�,其中在服務(wù)器116上實(shí)現(xiàn)數(shù)據(jù)庫118。圖2圖示出在其上執(zhí)行客戶程序108的用戶終端104的詳細(xì)視圖��。用戶終端104包括中央處理單元(“CPU”)202,該CPU 202上連接有諸如屏幕的顯示裝置204�、諸如鍵盤(或者小鍵盤)206的輸入設(shè)備,以及諸如鼠標(biāo)208的定點(diǎn)設(shè)備�。顯示裝置204可以包括用于向CPU 202輸入數(shù)據(jù)的觸摸屏。輸出音頻設(shè)備210 (例如揚(yáng)聲器)和輸入音頻設(shè)備212 (例如麥克風(fēng))連接到CPU 202上�����。將顯示裝置204��、鍵盤206����、鼠標(biāo)208、輸出音頻設(shè)備210和輸入音頻設(shè)備212集成到用戶終端104中���。在可替代的用戶終端中�,可以不將顯示裝置204��、鍵盤206��、鼠標(biāo)208����、輸出音頻設(shè)備210和輸入音頻設(shè)備212中的一個(gè)或者多個(gè)集成到用戶終端104中�,而是可以將其經(jīng)由相應(yīng)的接口連接到CPU 202上�����。這種接口的一個(gè)例子是USB接口�。CPU 202連接到用于與網(wǎng)絡(luò)106進(jìn)行通信的諸如調(diào)制解調(diào)器的網(wǎng)絡(luò)接口 224?����?梢匀鐖D2所示����,將網(wǎng)絡(luò)接口 224集成到用戶終端104中。在可替代的用戶終端中��,不將網(wǎng)絡(luò)接口 224集成到用戶終端104中�。用戶終端104還包括如本領(lǐng)域所已知的用于存儲(chǔ)數(shù)據(jù)的存儲(chǔ)器226��。圖2還圖示出在CPU 202上執(zhí)行的操作系統(tǒng)(“OS”) 214�。在OS 214的上部運(yùn)行的是用于客戶程序108的軟件堆棧216。軟件堆棧示出客戶程序協(xié)議層21 8�、客戶程序引擎層220以及客戶程序用戶接口(“Π”)層222。各層負(fù)責(zé)特定的功能���。因?yàn)楦鲗油ǔEc兩個(gè)其他層通信�����,所以這些層被視為如圖2所示布置在堆棧中��。操作系統(tǒng)214管理計(jì)算機(jī)的硬件資源�,并且處理經(jīng)由網(wǎng)絡(luò)接口 224而被傳輸至網(wǎng)絡(luò)以及從網(wǎng)絡(luò)傳輸來的數(shù)據(jù)??蛻舫绦蜍浖目蛻舫绦騾f(xié)議層218與操作系統(tǒng)214通信,并且管理在通信系統(tǒng)上的連接�����。將要求更高級(jí)別處理的處理傳遞到客戶程序引擎層220��?��?蛻舫绦蛞鎸?20還與客戶程序用戶接口層222通信��??蛻舫绦蛞鎸?20可以被安排為控制客戶程序用戶接口層222來經(jīng)由客戶程序的用戶接口向用戶102呈現(xiàn)信息并且經(jīng)由用戶接口從用戶102接收信息�。用戶終端112以與如上所述的用戶終端104相同的方式實(shí)現(xiàn),其中用戶終端112可以具有那些此處所描述的與用戶終端104相關(guān)的對應(yīng)元件����。圖I還示出具有訪問接入點(diǎn)122的網(wǎng)絡(luò)120���。訪問接入點(diǎn)122向網(wǎng)絡(luò)120外部的設(shè)備提供對網(wǎng)絡(luò)120的訪問��。網(wǎng)絡(luò)120可以包括其他訪問接入點(diǎn)(圖I中未示出)�����。網(wǎng)絡(luò)120是無線網(wǎng)絡(luò),但是在其他實(shí)施例中網(wǎng)絡(luò)120可以不是無線網(wǎng)絡(luò)����。如圖I中的虛線所示,用戶終端104和112能夠通過與訪問接入點(diǎn)122進(jìn)行無線通信來訪問網(wǎng)絡(luò)120��。在訪問接入點(diǎn)122與用戶終端104和112之間的無線通信可以使用WiFi連接或者如本領(lǐng)域所已知的其他類型的無線連接�����,諸如藍(lán)牙連接或者紅外線連接��。用戶終端104能夠使用網(wǎng)絡(luò)接口224或者也能夠使用用戶終端104的其它網(wǎng)絡(luò)接口(圖2中未示出)連接到網(wǎng)絡(luò)120上���。網(wǎng)絡(luò)120可以是局域網(wǎng)(LAN)�����,諸如商行的企業(yè)內(nèi)部互聯(lián)網(wǎng)�����?����?商娲?,網(wǎng)絡(luò)120可以是廣域網(wǎng)(WAN)�,諸如因特網(wǎng)。應(yīng)了解的是�����,網(wǎng)絡(luò)120可以與如圖I所示的網(wǎng)絡(luò)106不同���??商娲?��,網(wǎng)絡(luò)120可以與通信系統(tǒng)的網(wǎng)絡(luò)106相同�����,例如網(wǎng)絡(luò)106和網(wǎng)絡(luò)120兩者均為因特網(wǎng)�����。例如�,訪問接入點(diǎn)能夠被設(shè)置為用于因特網(wǎng)連接的橋接器,并且在這種情況下網(wǎng)絡(luò)120將是網(wǎng)絡(luò)106���。然而���,在其他實(shí)施例中,訪問接入點(diǎn)用作為客戶程序建立LAN 120的路由器�����,并且路由器在LAN 120和因特網(wǎng)106之間進(jìn)行分配路由�����。如果網(wǎng)絡(luò)106和網(wǎng)絡(luò)120是相同的���,則在用戶終端104和112與網(wǎng)絡(luò)106之間所使用的連接類型可以與用戶終端�、104和112與網(wǎng)絡(luò)120之間所使用的連接類型不同(盡管不一定是這種情況)�����。例如���,在網(wǎng)絡(luò)106和網(wǎng)絡(luò)120兩者均為因特網(wǎng)的情況下����,用戶終端104和112可以使用第一類型連接(例如經(jīng)由移動(dòng)電話網(wǎng)絡(luò)����,諸如經(jīng)由3G連接)來連接到網(wǎng)絡(luò)106,而用戶終端104和112可以使用第二類型連接(例如經(jīng)由WiFi連接)來連接到網(wǎng)絡(luò)120的訪問接入點(diǎn)122����。第二類型連接(例如WiFi連接)可以比第一類型連接(例如經(jīng)由移動(dòng)電話網(wǎng)絡(luò))支持更快的數(shù)據(jù)傳輸和/或可以更便宜的使用,因此即使用戶終端104和112已經(jīng)連接到網(wǎng)絡(luò)106��,其也可能更愿意經(jīng)由訪問接入點(diǎn)122訪問網(wǎng)絡(luò)120�。用戶102可以與通信系統(tǒng)中的第一用戶的朋友或者“聯(lián)系人”的其他用戶關(guān)聯(lián)。在此處所描述的優(yōu)選實(shí)施例中���,用戶A 102和用戶B 110在通信系統(tǒng)中是彼此的聯(lián)系人�����?���?梢栽谕ㄐ畔到y(tǒng)中存儲(chǔ)關(guān)于通信系統(tǒng)中的各個(gè)用戶的一些信息,諸如他們的名字和在通信系統(tǒng)中的用戶名��,以及其他更多的個(gè)人信息����,諸如用戶的業(yè)余愛好、他們的聯(lián)系人詳情�����、用戶的照片等�。這些信息可以作為通信系統(tǒng)中用戶的個(gè)人資料來存儲(chǔ)。各個(gè)用戶的個(gè)人資料被存儲(chǔ)在用戶相應(yīng)的用戶終端處�����。此外���,用戶A 102和用戶B 110兩者的個(gè)人資料均可以被存儲(chǔ)在通信系統(tǒng)的服務(wù)器116上的數(shù)據(jù)庫118中��。使用中央服務(wù)器116上的數(shù)據(jù)庫118 大大地簡化了企業(yè)級(jí)的共享�����,因?yàn)槠湓试S備份待由企業(yè)共享的證書所集中更新的用戶的信息�����。系統(tǒng)必須僅允許訪問屬于企業(yè)的用戶的數(shù)據(jù)��。在Skype通信系統(tǒng)的情況下���,Skype管理者提供這樣的系統(tǒng)。而使用服務(wù)器116中的數(shù)據(jù)庫118來存儲(chǔ)用戶的專用個(gè)人資料可能是很有用的��,在真正的對等(P2P)網(wǎng)絡(luò)中����,不要求中央數(shù)據(jù)庫118用于根據(jù)此處所描述的系統(tǒng)進(jìn)行證書共享。如上所述���,用戶A 102的個(gè)人資料可以分為兩個(gè)部分來在通信系統(tǒng)中被不同地利用���。用戶A的個(gè)人資料的第一部分是公開的���,這意味著在個(gè)人資料的第一部分中的信息對通信系統(tǒng)中的所有用戶而言是可查看的。例如�,個(gè)人資料的第一部分可以包括用戶102的名字(“用戶A”)以及在通信系統(tǒng)中的用戶名(其可以在通信系統(tǒng)中是唯一的,由此能唯一地標(biāo)識(shí)用戶102)����。因?yàn)闉榱嗽谕ㄐ畔到y(tǒng)中唯一地標(biāo)識(shí)用戶102,要求用戶名是唯一的����,而在通信系統(tǒng)中可能有多于一個(gè)用戶具有相同的名字(“用戶A”),所以用戶的用戶名可以與用戶的名字(“用戶A”)不相同����。用戶A也能夠與自己共享證書,例如當(dāng)在第一設(shè)備上運(yùn)行客戶程序來輸入網(wǎng)絡(luò)證書時(shí)���,用戶A能夠允許從用戶A登錄的其他設(shè)備處對證書進(jìn)行訪問�。這假設(shè)專用個(gè)人資料的特征在實(shí)例之間是同步的�����,例如使用中央服務(wù)器。在用戶A的個(gè)人資料的公開部分的公開信息將允許通信系統(tǒng)中的另一個(gè)用戶(其還不是用戶A的聯(lián)系人)來在通信系統(tǒng)中搜索用戶A���。用戶A的個(gè)人資料的第二部分是專用的����,這意味著在個(gè)人資料的第二部分中的信息僅對用戶102的經(jīng)授權(quán)的聯(lián)系人是可用的���。例如,在個(gè)人資料的第二部分中的信息可能是用戶想要與其聯(lián)系人共享但不想與通信系統(tǒng)中的其他用戶共享的信息����。例如,個(gè)人資料的第二部分可以包括用戶的聯(lián)系人的詳情�����、用戶的業(yè)余愛好和用戶的照片�����?�?梢杂稍谟脩艚K端112上執(zhí)行的通信客戶程序114取得個(gè)人資料中的信息��。與有限數(shù)量的其他用戶(例如僅與聯(lián)系人)共享專用的個(gè)人資料詳情的系統(tǒng)建立了允許發(fā)生受控制的信息共享的框架。能夠用這種方式共享的一條信息是獲得對網(wǎng)絡(luò)的訪問所需要的信息�����,諸如訪問證書����。例如,用戶102能夠?qū)⒂糜诮?jīng)由訪問接入點(diǎn)122訪問網(wǎng)絡(luò)120的訪問證書存儲(chǔ)在數(shù)據(jù)庫118中����。用這種方式,第一用戶102能夠在通信系統(tǒng)中提供其個(gè)人資料的專用部分的訪問證書��。用戶102的個(gè)人資料中的信息(包括訪問證書)被存儲(chǔ)在用戶終端104的數(shù)據(jù)庫中(例如在存儲(chǔ)器226中)����,并且還可以被存儲(chǔ)在服務(wù)器116的數(shù)據(jù)庫118(或者“存儲(chǔ)裝置”)中。第二用戶110的客戶程序114能夠從存儲(chǔ)器226或者數(shù)據(jù)庫118對訪問證書進(jìn)行訪問��。因?yàn)榈诙脩?10是第一用戶102的聯(lián)系人���,所以客戶程序114被授權(quán)從在存儲(chǔ)裝置中的用戶102的個(gè)人資料的專用部分對訪問證書進(jìn)行訪問�?��?梢詢H在兩個(gè)用戶均在線時(shí)對證書進(jìn)行訪問��,因此證書應(yīng)是預(yù)先取出的并且本地存儲(chǔ)在第二用戶終端上來為以后的使用可用�����。如上所述����,無線訪問接入點(diǎn)122在“空中下載”可以由其兩個(gè)屬性唯一識(shí)別(i)用戶指定的服務(wù)集標(biāo)識(shí)符(SSID),其為網(wǎng)絡(luò)的擁有者所設(shè)定的無線網(wǎng)絡(luò)的名稱����,以及(ii)無線接口媒體訪問控制(MAC)地址�����,其為由訪問接入點(diǎn)122的制造商分配給訪問接入點(diǎn)122的唯一的48位值��。SSID和MAC地址作為訪問接入點(diǎn)122的標(biāo)識(shí)符���。用于經(jīng)由訪問接入點(diǎn)訪問無線網(wǎng)絡(luò)的訪問證書可以包括在與訪問接入點(diǎn)122進(jìn)行通信時(shí)使用的加密方法(諸如WEP��、WPA或者WPA2)以及加密算法(諸如TKIP或者AES)���。訪問證書還可以包括為了許可用戶終端經(jīng)由訪問接入點(diǎn)122訪問網(wǎng)絡(luò)120所必須檢驗(yàn)的網(wǎng)�����、絡(luò)密鑰(或者“訪問密鑰”)�����。網(wǎng)絡(luò)密鑰的長度可以取決于所選擇的加密方法���。為了用戶終端能夠獲取經(jīng)由訪問接入點(diǎn)122訪問網(wǎng)絡(luò)120,訪問證書必須對該用戶終端為可用的���。經(jīng)由訪問接入點(diǎn)122訪問網(wǎng)絡(luò)120所要求的訪問證書可以對所使用的特定訪問接入點(diǎn)122是特定的���。訪問證書在通信系統(tǒng)中的客戶程序之間共享,以便用戶B能夠經(jīng)由訪問接入點(diǎn)122訪問網(wǎng)絡(luò)120���,但是用戶B不知道訪問證書�����。因此�����,用戶B不能向通信系統(tǒng)中的其他用戶提供訪問證書��。這如下面所描述的�����,通過客戶程序108和114的操作來實(shí)現(xiàn)��。參照圖3�����,現(xiàn)在描述一種根據(jù)優(yōu)選實(shí)施例來許可訪問網(wǎng)絡(luò)120的方法�����。用戶A 102具有經(jīng)由訪問接入點(diǎn)122訪問網(wǎng)絡(luò)120所要求的訪問證書�����。這可能是因?yàn)橛脩鬉 102是訪問接入點(diǎn)122的擁有者或者是因?yàn)橛脩鬉 102受網(wǎng)絡(luò)120的操作者所信任���。用戶A 102想要與用戶B 110以安全的方式共享訪問證書�。在步驟S302中���,第一用戶102的客戶程序108掃描在用戶終端104的范圍內(nèi)的無線訪問網(wǎng)絡(luò)接入點(diǎn)����。如果用戶終端104當(dāng)前能夠與訪問接入點(diǎn)進(jìn)行通信����,則該接入點(diǎn)是在用戶終端104的“范圍內(nèi)”。在步驟S302中����,客戶程序108判定訪問接入點(diǎn)122在用戶終端104的范圍內(nèi)?����?蛻舫绦?08向用戶102提供在步驟S302的掃描中其所發(fā)現(xiàn)的訪問接入點(diǎn)的SSID和MAC地址�。所述SSID識(shí)別網(wǎng)絡(luò)120,同時(shí)所述MAC地址識(shí)別訪問接入點(diǎn)122�。在步驟S304中,用戶102在用戶終端104上的客戶程序108的用戶接口處輸入關(guān)于無線網(wǎng)絡(luò)120的數(shù)據(jù)�。由用戶102在步驟S304中輸入的數(shù)據(jù)至少包括經(jīng)由訪問接入點(diǎn)122訪問網(wǎng)絡(luò)120所要求的一些訪問證書。例如,用戶104可以輸入經(jīng)由訪問接入點(diǎn)122訪問網(wǎng)絡(luò)120所要求的網(wǎng)絡(luò)密鑰�、加密方法和加密算法中的至少一個(gè)。跟隨步驟S304�����,客戶程序108具有經(jīng)由訪問接入點(diǎn)122訪問網(wǎng)絡(luò)120所要求的所有數(shù)據(jù)���,包括相關(guān)的SSID��、MAC地址和訪問證書(加密方法��、加密算法和網(wǎng)絡(luò)密鑰)�����。盡管在優(yōu)選的實(shí)施例中����,客戶程序108通過判定SSID和MAC地址來掃描范圍內(nèi)的無線網(wǎng)絡(luò)以協(xié)助用戶102�����,但是在可替代的實(shí)施例中�,用戶102可以向客戶程序108輸入經(jīng)由訪問接入點(diǎn)122訪問網(wǎng)絡(luò)120所要求的所有數(shù)據(jù),包括SSID和MAC地址�,其可以由客戶程序108在步驟S302中已經(jīng)判定或者也可以不由客戶程序108在步驟S302中判定。
訪問證書具有與其關(guān)聯(lián)的有效期�����。從這個(gè)意義上說�,訪問證書經(jīng)過預(yù)定的時(shí)間周期后期滿,從而在預(yù)定的時(shí)間周期后�����,訪問證書不再用于提供對網(wǎng)絡(luò)的訪問���。對于顧客用戶而言�����,具有有效期不是必須的��,而是可以默認(rèn)為“永遠(yuǎn)”(其等于不具有有效期)���。對于商行用戶,具有有限的有效期���,這使得對網(wǎng)絡(luò)的訪問被限制于那些在有效期內(nèi)取得訪問證書的用戶��。當(dāng)一組訪問證書的有效期期滿時(shí)���,可以使用新的一組具有后續(xù)有效期的訪問證書����。舊組和新組的訪問證書的有效期可以是連續(xù)的�����,或者在所述有效期之間可以有時(shí)間間隔��。另一個(gè)選擇是舊組和新組的訪問證書的有效期重疊���。這將導(dǎo)致在給定的時(shí)間點(diǎn)當(dāng)分配了新的訪問密鑰(即新的訪問證書)而舊的訪問密鑰(即舊的訪問證書)仍生效時(shí)����,存在多組訪問證書對訪問接入點(diǎn)有效�����。在步驟S306中��,訪問接入點(diǎn)122的訪問證書、SSID和MAC地址被存儲(chǔ)在用戶終端104處和/或在通信系統(tǒng)的服務(wù)器116的數(shù)據(jù)庫118中����。訪問接入點(diǎn)122的訪問證書����、SSID和MAC地址被存儲(chǔ)在通信系統(tǒng)中的用戶102的個(gè)人資料的專用部分。用這種方式�����,只有在通信系統(tǒng)中作為用戶102的聯(lián)系人的那些用戶的通信客戶程序能夠訪問由用戶102存儲(chǔ)在用戶終端104和/或數(shù)據(jù)庫118中的訪問證書��、SSID和MAC地址��。從通常意義上說���,通信 系統(tǒng)的任何用戶的客戶程序都能夠?qū)㈥P(guān)于無線網(wǎng)絡(luò)的數(shù)據(jù)存儲(chǔ)進(jìn)用戶的專用個(gè)人資料中�����。在步驟S308中���,用戶102指明通信系統(tǒng)的哪些用戶被許可從其個(gè)人資料的專用部分訪問所存儲(chǔ)的訪問證書�����。用這種方式���,用戶102識(shí)別其通信客戶程序能夠訪問用戶102的個(gè)人資料的專用部分中所存儲(chǔ)的訪問證書的用戶。第一用戶102可以指明所有其聯(lián)系人的客戶程序都能夠從其個(gè)人資料的專用部分對訪問證書進(jìn)行訪問����。可替代地�,用戶102可以識(shí)別其聯(lián)系人的子集,其中所述子集中的客戶能夠從用戶102的個(gè)人資料的專用部分對訪問證書進(jìn)行訪問��。例如���,如圖4所示的客戶程序108的用戶接口 402可以在用戶終端104的顯示裝置204上向用戶102顯示�。用戶接口 402允許用戶102識(shí)別經(jīng)授權(quán)的用戶的列表�����。如圖4所示����,用戶接口 402包括聯(lián)系人404的列表和經(jīng)授權(quán)的用戶406的列表�。用戶102能夠從經(jīng)授權(quán)的用戶406的列表中添加/刪除聯(lián)系人�,例如,通過適當(dāng)?shù)丶せ钊鐖D4中所示的標(biāo)簽為“添加”���、“刪除”、“添加所有”以及“刪除所有”的按鈕��。列表406中的經(jīng)授權(quán)用戶代表用戶102的聯(lián)系人的子集���,其中其客戶程序經(jīng)授權(quán)對存儲(chǔ)在通信系統(tǒng)中的用戶102的個(gè)人資料的專用部分的訪問證書進(jìn)行訪問��?�?梢栽谕ㄐ畔到y(tǒng)中分配不同的“聯(lián)系人組”�,其為可以用共同的方式處理的聯(lián)系人的不同子集�����。聯(lián)系人組可以被分配為包括經(jīng)授權(quán)的用戶�。這可以便于用戶102設(shè)置和管理經(jīng)授權(quán)的用戶的列表。例如����,商行的所有雇員可以包含于聯(lián)系人組中����,并且因此被分配為經(jīng)授權(quán)訪問用于訪問與商行關(guān)聯(lián)的網(wǎng)絡(luò)的訪問證書的用戶��。用戶接口 402是用于允許用戶102識(shí)別經(jīng)授權(quán)的用戶的列表的適合的用戶接口的一個(gè)例子���,但是可以使用對技術(shù)人員而言顯而易見的合適的其他用戶接口�����。在步驟S308之后��,“授權(quán)用戶”列表上的用戶的客戶程序能夠訪問存儲(chǔ)在服務(wù)器116的數(shù)據(jù)庫118上的用戶102的個(gè)人資料的專用部分中的訪問證書����。在步驟S310中�����,當(dāng)客戶程序114具有網(wǎng)絡(luò)連接性并且在線時(shí)����,客戶程序114訪問通信系統(tǒng)并且取得其能夠取得到的任何訪問證書(例如,來自數(shù)據(jù)庫11 8或者如果用戶終端104也在線則來自用戶終端104)。例如����,客戶程序取得存儲(chǔ)在存儲(chǔ)于通信系統(tǒng)中(例如數(shù)據(jù)庫118上)的任意用戶110的聯(lián)系人的個(gè)人資料上的訪問證書。更通常地�,客戶程序114能夠取得其在通信系統(tǒng)中被許可訪問的任何訪問證書。因此��,作為步驟S312的一部分��,客戶程序114取得在步驟S306期間存儲(chǔ)在用戶102的個(gè)人資料上的訪問證書��。因?yàn)樵诓襟ES308中�,用戶102已經(jīng)指明用戶110的客戶程序114被許可訪問來自用戶102的個(gè)人資料的訪問證書�����,所以客戶程序114能夠取得那些訪問證書����。應(yīng)當(dāng)注意的是,客戶程序114可以訪問用戶110的個(gè)人資料以及通信系統(tǒng)中的其他用戶的個(gè)人資料以取得存儲(chǔ)的訪問證書����。在步驟S312中,將在步驟S310中取得到的訪問證書本地存儲(chǔ)在用戶終端112處�����。即使用戶終端112不再連接至網(wǎng)絡(luò)106,這也允許用戶終端112處的客戶程序114在隨后的時(shí)間點(diǎn)上訪問訪問證書�。在步驟S314中,在隨后的某個(gè)時(shí)間����,第二用戶110的客戶程序114校驗(yàn)用戶終端112的范圍內(nèi)的可用的訪問接入點(diǎn)?�?蛻舫绦?14可以響應(yīng)于用戶110經(jīng)由客戶程序114的用戶接口指明用戶110想要訪問網(wǎng)絡(luò)120而實(shí)施步驟S310的校驗(yàn)����。可選地����,當(dāng)客戶程序114被初始化時(shí)(例如起動(dòng)或者從睡眠中喚醒),客戶程序114將進(jìn)行范圍內(nèi)的無線網(wǎng)絡(luò)的掃描(即實(shí)施步驟S314的校驗(yàn))����。如果在步驟S314期間客戶程序114發(fā)現(xiàn)在用戶終端 112的范圍內(nèi)存在訪問接入點(diǎn),那么客戶程序判定被發(fā)現(xiàn)的訪問接入點(diǎn)的SSID和MAC地址�。例如,可以將訪問接入點(diǎn)122的SSID和MAC地址從訪問接入點(diǎn)122無線地傳輸至用戶終端112。然后客戶程序114能夠判定在步驟S312中本地存儲(chǔ)在用戶終端112處的任何訪問證書是否能夠用于經(jīng)由在步驟S314中發(fā)現(xiàn)的任何訪問接入點(diǎn)訪問網(wǎng)絡(luò)120��。為了做到這點(diǎn)���,客戶程序114能夠使用在步驟S314中發(fā)現(xiàn)的訪問接入點(diǎn)的SSID和MAC地址��,并且看這些標(biāo)識(shí)符的任意一個(gè)是否與訪問接入點(diǎn)的SSID和MAC地址相匹配����,為此訪問證書在步驟S312中已經(jīng)被本地存儲(chǔ)�。如果發(fā)現(xiàn)匹配,那么客戶程序114可以能夠經(jīng)由具有匹配標(biāo)識(shí)符的訪問接入點(diǎn)訪問網(wǎng)絡(luò)120�����。當(dāng)發(fā)現(xiàn)匹配時(shí)�����,在步驟S316中��,客戶程序114能夠使用取得到的訪問證書經(jīng)由訪問接入點(diǎn)訪問網(wǎng)絡(luò)�。如果對于特定的訪問接入點(diǎn)發(fā)現(xiàn)了匹配����,那么客戶程序114可以經(jīng)由匹配的訪問接入點(diǎn)自動(dòng)地連接至網(wǎng)絡(luò)120 (例如���,如果訪問證書是從用戶110自己的個(gè)人資料B中取得到的,那么客戶程序114可以經(jīng)由匹配的訪問接入點(diǎn)自動(dòng)地連接至網(wǎng)絡(luò))��。這樣����,用戶110不需要知道客戶程序114所經(jīng)受的處理,以便經(jīng)由匹配的訪問接入點(diǎn)連接至網(wǎng)絡(luò)120�����?���?蛇x地,當(dāng)發(fā)現(xiàn)匹配時(shí)��,那么客戶程序可以在經(jīng)由匹配的訪問接入點(diǎn)訪問網(wǎng)絡(luò)120之前要求來自用戶110的指令(例如����,如果匹配的訪問證書不是從通信系統(tǒng)中用戶110的個(gè)人資料中取得到的,那么客戶程序114提示用戶110判定用戶110是否想要連接至匹配網(wǎng)絡(luò))�����。如果用戶110指明他希望連接至匹配網(wǎng)絡(luò),那么客戶程序114使用取得到的訪問證書連接至匹配網(wǎng)絡(luò)����。作為示例,在步驟S314中�,客戶程序114判定訪問接入點(diǎn)122在范圍內(nèi),并且接收來自訪問接入點(diǎn)122的訪問接入點(diǎn)122的SSID和MAC地址���??蛻舫绦?14取得在步驟S312中已經(jīng)預(yù)先本地存儲(chǔ)在用戶終端112處的訪問證書和相應(yīng)的SSID和MAC地址���??蛻舫绦蚺卸ㄈ〉玫降脑L問證書的SSID和MAC地址與在步驟S314中發(fā)現(xiàn)的訪問接入點(diǎn)122的SSID和MAC地址相匹配�。然后客戶程序114將使用客戶程序114的用戶接口詢問用戶110是否想要使用從用戶102的個(gè)人資料中取得到的訪問證書而連接至網(wǎng)絡(luò)120。如果用戶110指明其想要使用從用戶102的個(gè)人資料取得到的訪問證書連接至網(wǎng)絡(luò)120(例如�,通過單擊顯示在用戶終端112上的客戶程序114的用戶接口上的“是”按鈕)�,那么客戶程序114使用在步驟S306中存儲(chǔ)的訪問證書經(jīng)由訪問接入點(diǎn)122連接至網(wǎng)絡(luò)120。這樣��,訪問證書能夠以受控的方式由用戶102在通信系統(tǒng)上共享給通信系統(tǒng)的特定用戶(例如���,給用戶102的聯(lián)系人或者給用戶102的聯(lián)系人的子集)�,從而控制能夠經(jīng)由訪問接入點(diǎn)122訪問網(wǎng)絡(luò)120的用戶。這樣�����,上文描述的方法允許使用通信系統(tǒng)中的用戶102的專用個(gè)人資料將訪問證書共享給通信系統(tǒng)中有限數(shù)量的其他用戶�。此外,共享的訪問證書不會(huì)以用戶110能夠理解的方式顯示給他(例如,訪問證書不以明文形式示給用戶110)��。實(shí)現(xiàn)該點(diǎn)的一個(gè)方法是不將訪問證書顯示給用戶110����。實(shí)現(xiàn)該點(diǎn)的另一個(gè)方法是對訪問證書進(jìn)行加密,從而即使將訪問證書顯示給用戶110�����,用戶110也不能理解他們����。這是為了使得用戶Blio更難將用戶102(用戶A)共享的訪問證書重新分配給用戶102(用戶A)不想與其共享訪問證書的用戶。也即是說�,通過防止訪問證書以意圖讓用戶110理解的形式傳達(dá)給用戶110,用戶110不能將訪問證書傳遞給通信系統(tǒng)中的
用戶102可能不希望為其提供訪問證書的其他用戶��。這改善了用于共享訪問證書的系統(tǒng)的安全性。如上文所述���,訪問證書和用戶102的個(gè)人資料的其他專用的個(gè)人資料字段一起存儲(chǔ)在用戶終端104處(并且也可以存儲(chǔ)在服務(wù)器116上的中央數(shù)據(jù)庫118中以被用作備份和同步存儲(chǔ))��。這允許用戶102訪問來自連接至通信系統(tǒng)的不同設(shè)備的存儲(chǔ)的訪問證書�����。這樣���,存儲(chǔ)的訪問證書在特定用戶的示例(例如用戶A 102)和不同的設(shè)備上同步。這允許用戶A的所有設(shè)備通過管理在任何那些設(shè)備上的訪問證書列表來訪問他知道的所有無線網(wǎng)絡(luò)�����。對于商行用戶����,能夠在通信系統(tǒng)的服務(wù)器側(cè)上設(shè)置結(jié)構(gòu)件以管理訪問接入點(diǎn)和相應(yīng)的訪問證書的涵蓋公司的列表。這可以允許用于多個(gè)訪問接入點(diǎn)的訪問證書在一步中改變�。商行(或者“企業(yè)”)可以使用‘企業(yè)網(wǎng)絡(luò)’賬戶管理其所有用戶的聯(lián)系人列表,或者將共享的訪問證書添加至以任何方式存儲(chǔ)在所有聯(lián)系人列表中的賬戶����,例如IT支持臺(tái)(support desk)。這樣�,能夠?qū)⒃L問證書提供給與商行相關(guān)聯(lián)的通信系統(tǒng)的所有用戶,例如以允許用戶訪問與商行相關(guān)聯(lián)的網(wǎng)絡(luò)�,例如商行的LAN。使用系統(tǒng)的任何用戶均能夠創(chuàng)建‘IT支持’賬戶���,以及在這個(gè)賬戶上共享網(wǎng)絡(luò)證書�。然而����,需要有特殊的系統(tǒng)可用于允許用戶以受控的方式管理其他用戶的聯(lián)系人列表,以使得僅對被授權(quán)進(jìn)行這種動(dòng)作的用戶起作用���。例如���,Skype通信系統(tǒng)具有能夠這樣使用的Skype管理器?��?偨Y(jié)以上����,當(dāng)用戶A輸入用于訪問網(wǎng)絡(luò)的訪問證書時(shí)����,這些訪問證書本地存儲(chǔ)在設(shè)備104上(雖然可以進(jìn)行拷貝并且存儲(chǔ)在服務(wù)器116上用于備份)��。在一些實(shí)施例中����,僅有存儲(chǔ)的訪問證書的子集可以與通信系統(tǒng)的其他用戶共享���,并且其他用戶中的每個(gè)可以看到訪問證書的不同的子集(如果客戶程序108的UI允許這個(gè)更加復(fù)雜的管理結(jié)構(gòu))�。一旦用戶A指明哪些用戶被允許接收存儲(chǔ)的訪問證書��,指明的用戶的其他客戶程序?qū)⒛軌蛉〉迷L問證書(其中為了這個(gè)的發(fā)生��,其他客戶程序必須在線)��。然后其他用戶的客戶程序能夠使用他們接收到的訪問證書在接下來的某個(gè)時(shí)間點(diǎn)訪問共享的網(wǎng)絡(luò)���。為了訪問網(wǎng)絡(luò)����,因?yàn)楫?dāng)用戶終端沒有訪問證書可用時(shí)�����,用于訪問服務(wù)器116的網(wǎng)絡(luò)將不能被訪問,因此訪問證書存儲(chǔ)在(其他用戶的)其他用戶終端上�。參照圖3在上文中描述的在用戶102和用戶110之間(或者相同用戶����,例如用戶102的不同設(shè)備之間)共享訪問證書的方法沒有指定可以被共享的證書的格式。該方法使用客戶程序共享訪問證書�����,而從不會(huì)以用戶110能夠理解的形式向他提供訪問證書���。這為用戶102提供了安全性他在通信系統(tǒng)上共享的訪問證書將不會(huì)被重新分配給除了被用戶102識(shí)別為許可使用該訪問證書的用戶以外的用戶���。然而,在其他實(shí)施例中�,訪問證書可以這樣的方式在通信系統(tǒng)上共享僅當(dāng)訪問證書為其提供訪問的特定無線網(wǎng)絡(luò)在用戶終端的范圍內(nèi)時(shí),訪問證書可以是有用的�����,其中該用戶終端執(zhí)行接收訪問證書的客戶程序�。通過對存儲(chǔ)在通信系統(tǒng)中(例如數(shù)據(jù)庫118上)的訪問證書進(jìn)行加密,提供了與訪問證書相關(guān)的附加級(jí)別的安全性。這允許訪問證書對于不能對加密的訪問證書進(jìn)行解密的第三方保密�。然而,為了能夠?qū)崿F(xiàn)對網(wǎng)絡(luò)120的訪問�����,訪問證書必須能夠以未加密的形式可用���。任何合理有用的加密算法都可以用于對訪問證書進(jìn)行加密��,但是需要技巧的部分是使用什么樣的加密密鑰��,以及如何使得加密密鑰對于需要使用該訪問證書訪問網(wǎng)絡(luò)120的用戶(而不是不被許可取得訪問證書的那些用戶)可用�����。發(fā)明人已經(jīng)意識(shí)到能夠通過使用訪問接入點(diǎn)122的屬性(例如訪問接入點(diǎn)的SSID和MAC地址)以獲得用于對經(jīng)由訪問接入點(diǎn)122訪問網(wǎng)絡(luò)120的訪問證書進(jìn)行加密的加密密鑰��,實(shí)現(xiàn)在訪問證書被實(shí)際使用之前隱藏訪問證書的目的�����。也即是說��,與訪問接入點(diǎn)122 相關(guān)聯(lián)的訪問證書是以這樣的方式加密的需要獲知訪問接入點(diǎn)122的一些屬性以對訪問證書進(jìn)行解密�����。這樣���,僅能夠判定訪問接入點(diǎn)122的所需屬性的那些客戶程序(或者用戶)能夠?qū)用艿脑L問證書進(jìn)行解密����。優(yōu)選地�,訪問接入點(diǎn)的特性是通過其與訪問接入點(diǎn)122本身通信所判定的特性����。例如,該屬性可以是訪問接入點(diǎn)122的標(biāo)識(shí)符����,或者一些標(biāo)識(shí)符,例如訪問接入點(diǎn)122的SSID和MAC地址����。客戶程序能夠通過與訪問接入點(diǎn)122本身進(jìn)行通信而判定訪問接入點(diǎn)122的SSID和MAC地址��,以使得如果客戶程序在訪問接入點(diǎn)122的范圍內(nèi)��,那么客戶程序?qū)@知訪問證書所應(yīng)用的訪問接入點(diǎn)122的SSID和MAC地址。參照圖5��,現(xiàn)在描述一種用于對經(jīng)由訪問接入點(diǎn)122訪問網(wǎng)絡(luò)120的訪問證書進(jìn)行加密的方法�����,以使得僅在訪問接入點(diǎn)122的范圍內(nèi)的那些客戶程序能夠?qū)用艿脑L問證書進(jìn)行解密���?��?蛻舫绦?08可以訪問用于經(jīng)由訪問接入點(diǎn)122訪問網(wǎng)絡(luò)120所需的訪問證書。這可能是因?yàn)橛脩?02已經(jīng)將訪問證書輸入到用戶終端104中(諸如經(jīng)由客戶程序108的用戶接口)以供客戶程序108使用��?���?蛇x地,客戶程序108可以取得來自用戶終端104上(或者通信系統(tǒng)上)的存儲(chǔ)器的訪問證書��。在步驟S502中��,第一客戶程序108判定訪問接入點(diǎn)122的SSID和MAC地址��。為了判定訪問接入點(diǎn)122的SSID和MAC地址����,客戶程序108可以接收來自無線連接的訪問接入點(diǎn)122的SSID和MAC地址�??蛇x地,訪問接入點(diǎn)122的SSID和MAC地址可以存儲(chǔ)在用戶終端104處或者通信系統(tǒng)上的存儲(chǔ)器中�����,以使得客戶程序108能夠取得來自適當(dāng)存儲(chǔ)器的訪問接入點(diǎn)122的SSID和MAC地址��?��?蛇x地,用戶102可以將SSID和MAC地址輸入到用戶終端104上的客戶程序108的用戶接口中��。應(yīng)當(dāng)理解的是��,客戶程序108可以多種不同方式中的一種方式判定訪問接入點(diǎn)122的SSID和MAC地址�,以使得在步驟S502之后,客戶程序可以訪問訪問接入點(diǎn)122的SSID和MAC地址�。在步驟S504中,從訪問接入點(diǎn)122的SSID和MAC地址獲得了加密密鑰����。例如�,可以使用采用訪問接入點(diǎn)122的SSID和MAC地址作為輸入?yún)?shù)的單向散列函數(shù)生成加密密鑰�����。例如�����,可以如現(xiàn)有技術(shù)中已知地將訪問接入點(diǎn)122的SSID和MAC地址輸入MD5摘要函數(shù)中�,以使得ENCRYPT 10Ν_ΚΕΥ = MD5 (SSID II MAC)。由于散列函數(shù)是不可逆的���,所以不知道訪問接入點(diǎn)122的SSID和MAC地址就不能對訪問證書進(jìn)行解密(假設(shè)散列函數(shù)的大小足夠大從而使得不能對整個(gè)密鑰空間進(jìn)行強(qiáng)力掃描)���。如下文將更加詳細(xì)描述的,加密密鑰能夠隨后用于在分配之前對網(wǎng)絡(luò)訪問證書進(jìn)行加密��。當(dāng)加密的訪問證書隨后被解密時(shí)�����,有用的是具有用于判定解密操作是否成功的一些簡單的結(jié)構(gòu)�����。因此,為了判定解密操作是否成功�����,解密的數(shù)據(jù)應(yīng)當(dāng)包括可以允許解密結(jié)果簡單證實(shí)的部分����。實(shí)現(xiàn)這個(gè)的一個(gè)可能的方法是在能夠用于證實(shí)解密結(jié)果的明文數(shù)據(jù)(具有訪問證書)中包括數(shù)據(jù)的常數(shù)或者校驗(yàn)和。也即是說�����,在對訪問證書進(jìn)行加密之前��,在訪問證書中可以包括某種校驗(yàn)數(shù)據(jù)���,以使得通過判定是否已經(jīng)正確地對校驗(yàn)數(shù)據(jù)進(jìn)行解密而能夠判定訪問證書上的解密操作是否已經(jīng)成功。在步驟S506中����,獲得了在加密之前包括在訪問證書內(nèi)的適當(dāng)?shù)男r?yàn)數(shù)據(jù)。
如果校驗(yàn)數(shù)據(jù)僅簡單地包含于訪問證書的明文數(shù)據(jù)中��,那么可能不利的是允許試圖進(jìn)行密鑰空間的強(qiáng)有力掃描的第三方更加容易地證實(shí)解密結(jié)果����。對于校驗(yàn)數(shù)據(jù)更加安全的選擇是還獲得來自用作加密密鑰生成輸入?yún)?shù)的訪問接入點(diǎn)122的一個(gè)或者兩個(gè)標(biāo)識(shí)符��。例如�,校驗(yàn)數(shù)據(jù)可以是應(yīng)用至訪問接入點(diǎn)122的MAC地址和隨機(jī)選擇常數(shù)的信息摘要函數(shù)的結(jié)果��,例如校驗(yàn)數(shù)據(jù)(CHECK)可以由此給出CHECK = MD5 (MAC || “Salt”)�。在這個(gè)示例中,詞語“Salt”被用作隨機(jī)常數(shù)����,但是在其他示例中,可以使用任何其他的常數(shù)����。可能必要的是預(yù)定常數(shù)�,以使得通信系統(tǒng)中的客戶程序能夠判定被用于生成校驗(yàn)數(shù)據(jù)的常數(shù)將是什么。在上文的示例中�����,訪問接入點(diǎn)122的MAC地址被用于生成校驗(yàn)數(shù)據(jù)�����,但是在其他示例中,可以代替MAC地址(或者與其一起)使用訪問接入點(diǎn)122的其他屬性��,例如訪問接入點(diǎn)122的SSID����。對于本領(lǐng)域技術(shù)人員明顯的是,可以使用其他函數(shù)與信息摘要函數(shù)(MD5) —起判定加密密鑰和校驗(yàn)數(shù)據(jù)�����,上文描述的僅僅是適當(dāng)函數(shù)的一個(gè)示例���。在步驟S508中��,客戶程序108使用在步驟S504中獲得的加密密鑰將訪問證書和校驗(yàn)數(shù)據(jù)組在一起并且進(jìn)行加密�。本領(lǐng)域技術(shù)人員應(yīng)當(dāng)能夠想到使用加密密鑰對訪問證書和校驗(yàn)數(shù)據(jù)進(jìn)行加密的適當(dāng)加密方法�。然后能夠?qū)⒓用艿脑L問證書和校驗(yàn)數(shù)據(jù)在通信系統(tǒng)上從客戶程序108提供給客戶程序114。第一客戶程序108可以簡單地在通信系統(tǒng)上將加密的訪問證書和校驗(yàn)數(shù)據(jù)傳輸給第二客戶程序114����?��?蛇x地��,加密的訪問證書和校驗(yàn)數(shù)據(jù)隨后能夠如上文所述在通信系統(tǒng)上從第一客戶程序108提供給第二客戶程序114����,由此第一客戶程序108將用戶終端104處(或者數(shù)據(jù)庫118上)的加密的訪問證書和校驗(yàn)數(shù)據(jù)存儲(chǔ)在通信系統(tǒng)上的用戶102的專用個(gè)人資料中。用戶102授權(quán)第二用戶110的客戶程序114訪問加密的訪問證書和校驗(yàn)數(shù)據(jù)�����。然后客戶程序114能夠如上文所述取得來自用戶終端104(或者數(shù)據(jù)庫118)的加密的訪問證書和校驗(yàn)數(shù)據(jù)���。當(dāng)?shù)诙脩艚K端112能夠與訪問接入點(diǎn)122進(jìn)行通信時(shí)�,然后在步驟S512中��,客戶程序114能夠判定訪問接入點(diǎn)122的SSID和MAC地址��。這可以通過訪問接入點(diǎn)在無線連接上將訪問接入點(diǎn)122的SSID和MAC地址傳輸給客戶程序114來實(shí)現(xiàn)��。當(dāng)訪問接入點(diǎn)122在用戶終端112的范圍內(nèi)時(shí)���,客戶程序114僅能夠從訪問接入點(diǎn)122在無線連接上接收訪問接入點(diǎn)122的SSID和MAC地址�����,以使得客戶程序114能夠與訪問接入點(diǎn)122進(jìn)行通 目�。在步驟S514中,客戶程序114使用訪問接入點(diǎn)122的SSID和MAC地址以獲得用于對使用加密密鑰而被加密的加密訪問證書和校驗(yàn)數(shù)據(jù)進(jìn)行解密的解密密鑰(DECRYPTI0N_KEY)�����。使用與用于獲得加密密鑰相同的函數(shù)(例如信息摘要函數(shù)�,MD5)來獲得解密密鑰。例如�����,解密密鑰(DECRYPT10Ν_ΚΕΥ)可以這樣給出DECRYPTION KEY = MD5 (SSID Il MAC)��。在步驟S516中�����,解密密鑰用于根據(jù)解密函數(shù)對加密的訪問證書和校驗(yàn)數(shù)據(jù)進(jìn)行解密�����,該解密函數(shù)與在步驟S508中用于對訪問證書和校驗(yàn)數(shù)據(jù)進(jìn)行加密的加密函數(shù)相對 應(yīng)���。在步驟S518中����,客戶程序114通過判定校驗(yàn)數(shù)據(jù)是否被有效地解密����,來判定解密操作是否已經(jīng)成功。例如��,客戶程序114可以判定校驗(yàn)數(shù)據(jù)應(yīng)該是什么�����,例如通過實(shí)施與步驟S506中相同的推導(dǎo)(例如CHECK = MD5 (MAC Il “Salt”)���,然后將推導(dǎo)的結(jié)果與從步驟S516中的解密得到的解密的校驗(yàn)數(shù)據(jù)相比較�。如果比較顯示解密操作已經(jīng)成功�����,那么如步驟S520所示����,客戶程序114能夠使用解密的訪問證書經(jīng)由訪問接入點(diǎn)122訪問網(wǎng)絡(luò)120。如上文所述�,在步驟S518的正結(jié)果之后,客戶程序114可以自動(dòng)地連接至網(wǎng)絡(luò)120?��?蛇x地�,在步驟S520中訪問網(wǎng)絡(luò)120之前��,客戶程序114可以提示用戶110(例如����,經(jīng)由客戶程序114的用戶接口)指示他是否想要訪問網(wǎng)絡(luò)120。然而���,如果在步驟S518中判定出解密的檢驗(yàn)數(shù)據(jù)不是有效的���,那么在步驟S522中,判定解密的訪問證書不能被有效地用于經(jīng)由訪問接入點(diǎn)122訪問網(wǎng)絡(luò)120��。在這種情形中�����,客戶程序114不可以試圖使用解密的訪問證書經(jīng)由訪問接入點(diǎn)122訪問網(wǎng)絡(luò)120���?��?蛻舫绦?14可以盡可能多地取得來自通信系統(tǒng)(例如如上文所述�����,來自用戶110的聯(lián)系人的個(gè)人資料)的訪問證書集。此外����,在步驟S512中,客戶程序114還可以判定其當(dāng)前能進(jìn)行通信的盡可能多的訪問接入點(diǎn)的SSID和MAC地址���。然后���,通過實(shí)施用于訪問證書集與接入點(diǎn)的各自配對的步驟S514至S522,客戶程序114能夠判定與當(dāng)前可以進(jìn)行通信的任何訪問接入點(diǎn)相關(guān)的任何取得到的訪問證書集是否有效�����。在發(fā)現(xiàn)能夠有效地經(jīng)由客戶程序114目前能夠與其通信的訪問接入點(diǎn)中的一個(gè)訪問網(wǎng)絡(luò)的取得到的訪問證書的一個(gè)集之后��,客戶程序114可以停止或者可以不停止判定訪問證書集與訪問接入點(diǎn)的其他配對是否有效�����。在這個(gè)意義上,為了使用訪問證書�,軟件(即客戶程序114)重復(fù)對于可用范圍內(nèi)的所有訪問接入點(diǎn)的解密密鑰生成方法。如果加密的證書用于范圍內(nèi)的網(wǎng)絡(luò)中的一個(gè)���,那么解密操作將顯示對于那個(gè)特定的訪問接入點(diǎn)的證書���。簡而言之,為了使客戶程序108共享由訪問接入點(diǎn)122的SSID和MAC地址識(shí)別的用于訪問接入點(diǎn)122的訪問證書����,客戶程序108將實(shí)施以下函數(shù)ENCRYPT 10N_KEY = MD5 (SSID Il MAC);CHECK = MD5 (MAC Il “Salt”)���;DATA = CHECK+METHOD+ALGORITHM+NWK_KEY �����;SHARED_DATA = ENCRYPT (DATA, ENCRYPT 10N_KEY)�。
這里�,訪問證書包括用于經(jīng)由訪問接入點(diǎn)122有效地訪問網(wǎng)絡(luò)120的網(wǎng)絡(luò)密鑰(NWK_KEY),以及當(dāng)與訪問接入點(diǎn)122通信時(shí)使用的加密方法(METHOD)和加密算法(ALGORITHM)����。稱為ENCRYPT的函數(shù)是適于使用加密密鑰對數(shù)據(jù)進(jìn)行加密的任何加密函數(shù)����。SHARED_DATA可以包括加密或者未加密形式的其他特征��,尤其是訪問證書的失效時(shí)間����。為了使用訪問證書,客戶程序114將對范圍內(nèi)的每個(gè)訪問接入點(diǎn)實(shí)施以下函數(shù)DECRYPT 10N_KEY = MD5 (S SID II MAC)CHECK = MD5 (MAC Il “Salt”)
對客戶程序114得到的訪問證書的每個(gè)集實(shí)施以下函數(shù)
{
DATA = DECRYPT(SHARED—DATA,DECRYPTION—KEY) IfDATA(CHECK) = CHECK then {
METHOD = DATA(METHOD)
ALGORITHM = DATA(ALGORITHM)
NWKKEY = DATA(NWKKEY)
}
}稱為DECRYPT的函數(shù)是適于使用解密密鑰對數(shù)據(jù)進(jìn)行解密的解密函數(shù)�����,因此DECRYPT函數(shù)與用于對訪問證書和校驗(yàn)數(shù)據(jù)進(jìn)行加密的ENCRYPT函數(shù)相對應(yīng)��。能夠看出����,如果加密數(shù)據(jù)中的校驗(yàn)數(shù)據(jù)被正確地解密(例如�����,當(dāng)它被解密時(shí)���,給出與函數(shù)MD5(MAC|| “Salt”)相同的結(jié)果)���,那么客戶程序114采用來自用于在相關(guān)的訪問接入點(diǎn)訪問相關(guān)網(wǎng)絡(luò)中使用的解密數(shù)據(jù)的解密加密方法(METHOD)����、加密算法(ALGORITHM)和網(wǎng)絡(luò)密鑰(NWK_KEY)����。也即是說,如果用戶終端112的范圍內(nèi)的任何訪問接入點(diǎn)產(chǎn)生了有效的網(wǎng)絡(luò)訪問證書����,那么能夠從具有那些訪問證書的訪問接入點(diǎn)訪問網(wǎng)絡(luò)。上文描述的方法可以在軟件(例如在上文描述的客戶程序中)���,或者硬件中實(shí)現(xiàn)����。更通常地���,上文描述的方法能夠在計(jì)算機(jī)程序產(chǎn)品中實(shí)施��,該計(jì)算機(jī)程序產(chǎn)品包括由通信系統(tǒng)的節(jié)點(diǎn)(例如�,用戶終端104或者用戶終端112)處的計(jì)算機(jī)處理器件(例如CPU)執(zhí)行的計(jì)算機(jī)可讀指令�。雖然參照優(yōu)選實(shí)施例特別地示出和描述了本發(fā)明��,但是本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解的是���,可以做出形式和細(xì)節(jié)的各種變化而不偏離由下面的權(quán)利要求所限定的本發(fā)明的范圍。
權(quán)利要求
1.一種許可經(jīng)由訪問接入點(diǎn)訪問網(wǎng)絡(luò)的方法��,所述方法包括 在通信系統(tǒng)的第一節(jié)點(diǎn)處�,判定所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符; 使用預(yù)定的加密函數(shù)和判定出的所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符以這樣的方式對訪問證書進(jìn)行加密需要所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符以對加密的訪問證書進(jìn)行解密��,所述訪問證書用于經(jīng)由所述訪問接入點(diǎn)訪問網(wǎng)絡(luò)�; 在所述通信系統(tǒng)上將加密的所述訪問證書提供給所述通信系統(tǒng)的第二節(jié)點(diǎn); 所述第二節(jié)點(diǎn)通過與所述訪問接入點(diǎn)通信來判定所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符; 所述第二節(jié)點(diǎn)使用判定出的所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符以使用與所述預(yù)定的加密函數(shù)相對應(yīng)的預(yù)定的解密函數(shù)對加密的訪問證書進(jìn)行解密����;以及 所述第二節(jié)點(diǎn)使用解密的訪問證書經(jīng)由所述接入點(diǎn)訪問網(wǎng)絡(luò)���。
2.根據(jù)權(quán)利要求I所述的方法��,其中使用預(yù)定的加密函數(shù)和判定出的所述接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符對所述訪問證書進(jìn)行加密的所述步驟包括對校驗(yàn)數(shù)據(jù)以及所述訪問證書一起加密����,所述校驗(yàn)數(shù)據(jù)用于證實(shí)使用所述預(yù)定的解密函數(shù)對所述加密的訪問證書進(jìn)行解密的結(jié)果��。
3.根據(jù)權(quán)利要求2所述的方法,進(jìn)一步包括使用預(yù)定的推導(dǎo)函數(shù)取得來自判定出的所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符的所述校驗(yàn)數(shù)據(jù)����。
4.根據(jù)權(quán)利要求I所述的方法,其中�,(i)使用預(yù)定的加密函數(shù)和判定出的所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符對所述訪問證書進(jìn)行加密;以及(ii)在所述通信系統(tǒng)上將加密的所述訪問證書提供給第二節(jié)點(diǎn)的一個(gè)步驟或者兩個(gè)步驟是由所述第一節(jié)點(diǎn)實(shí)施的��。
5.根據(jù)權(quán)利要求I所述的方法����,其中所述第一節(jié)點(diǎn)包括第一用戶的第一用戶終端,所述第一用戶終端配置為執(zhí)行用于在所述通信系統(tǒng)上進(jìn)行通信的第一通信客戶程序����,并且其中,所述第二節(jié)點(diǎn)包括第二用戶的第二用戶終端����,所述第二用戶終端配置為執(zhí)行用于在所述通信系統(tǒng)上進(jìn)行通信的第二通信客戶程序,并且 其中��,所述第二節(jié)點(diǎn)使用判定出的所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符對加密的訪問證書進(jìn)行解密�����;以及所述第二節(jié)點(diǎn)使用解密的訪問證書經(jīng)由所述訪問接入點(diǎn)訪問網(wǎng)絡(luò)的步驟由所述第二通信客戶程序?qū)嵤恍枰砸鈭D讓所述第二用戶理解的形式將所述解密的訪問證書傳輸給所述第二用戶����。
6.根據(jù)權(quán)利要求5所述的方法,其中����,所述第一用戶和所述第二用戶是所述通信系統(tǒng)中的聯(lián)系人,并且其中���,基于所述第二用戶是所述第一用戶的聯(lián)系人����,許可將所述加密的訪問證書提供給所述第二節(jié)點(diǎn)�����。
7.根據(jù)權(quán)利要求I所述的方法���,其中,所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符包括所述訪問接入點(diǎn)的服務(wù)集標(biāo)識(shí)符和媒體訪問控制地址���。
8.根據(jù)權(quán)利要求I所述的方法����,其中,所述訪問證書包括待用于經(jīng)由所述訪問接入點(diǎn)訪問網(wǎng)絡(luò)的 (i)加密方法��; (ii)加密算法���;以及 (iii)網(wǎng)絡(luò)密鑰 中的至少一個(gè)���。
9.一種用于許可經(jīng)由訪問接入點(diǎn)訪問網(wǎng)絡(luò)的通信系統(tǒng),所述通信系統(tǒng)包括 第一節(jié)點(diǎn)���,所述第一節(jié)點(diǎn)包括 用于判定所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符的判定器件����;以及用于使用預(yù)定的加密函數(shù)和判定出的所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符以這樣的方式對所述訪問證書進(jìn)行加密需要所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符以對加密的訪問證書進(jìn)行解密的加密器件�����,所述訪問證書用于經(jīng)由所述訪問接入點(diǎn)訪問網(wǎng)絡(luò)��; 第二節(jié)點(diǎn)���,所述第二節(jié)點(diǎn)包括 用于通過與所述訪問接入點(diǎn)進(jìn)行通信來判定所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符的判定器件�����; 用于使用判定出的所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符以及與所述預(yù)定的加密函數(shù)相對應(yīng)的預(yù)定的解密函數(shù)對加密的訪問證書進(jìn)行解密的解密器件�����;以及用于使用解密的訪問證書經(jīng)由所述訪問接入點(diǎn)訪問網(wǎng)絡(luò)的訪問器件�; 以及 用于將所述加密的訪問證書提供給所述第二節(jié)點(diǎn)的器件。
10.根據(jù)權(quán)利要求9所述的通信系統(tǒng)�����,其中�,所述第一節(jié)點(diǎn)包括第一用戶的第一用戶終端,所述第一用戶終端配置為執(zhí)行用于在所述通信系統(tǒng)上進(jìn)行通信的第一通信客戶程序��,并且其中����,所述第二節(jié)點(diǎn)包括第二用戶的第二用戶終端,所述第二用戶終端配置為執(zhí)行用于在所述通信系統(tǒng)上進(jìn)行通信的第二通信客戶程序�。
11.一種將訪問證書從通信系統(tǒng)的第一節(jié)點(diǎn)提供給第二節(jié)點(diǎn)的方法���,所述訪問證書用于經(jīng)由訪問接入點(diǎn)訪問網(wǎng)絡(luò)�,所述方法包括 在所述第一節(jié)點(diǎn)處,判定所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符���; 使用預(yù)定的加密函數(shù)和判定出的所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符以這樣的方式對所述第一節(jié)點(diǎn)處的訪問證書進(jìn)行加密需要所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符以對加密的訪問證書進(jìn)行解密����;以及 在所述通信系統(tǒng)上將加密的所述訪問證書從所述第一節(jié)點(diǎn)提供給所述第二節(jié)點(diǎn)���,從而如果所述第二節(jié)點(diǎn)能夠判定所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符��,則允許所述第二節(jié)點(diǎn)訪問網(wǎng)絡(luò)以及使用所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符對加密的訪問證書進(jìn)行解密���。
12.根據(jù)權(quán)利要求11所述的方法,其中�����,使用預(yù)定的加密函數(shù)和判定出的所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符對所述訪問證書進(jìn)行加密的所述步驟包括 使用預(yù)定的推導(dǎo)函數(shù)取得來自所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符的加密密鑰��;以及 使用所述預(yù)定的加密函數(shù)中的加密密鑰對所述訪問證書進(jìn)行加密�����。
13.根據(jù)權(quán)利要求11所述的方法,其中���,其中使用預(yù)定的加密函數(shù)和判定出的所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符對所述訪問證書進(jìn)行加密的所述步驟包括對校驗(yàn)數(shù)據(jù)以及所述訪問證書一起加密���,所述校驗(yàn)數(shù)據(jù)用于證實(shí)使用所述預(yù)定的解密函數(shù)對所述加密的訪問證書進(jìn)行解密的結(jié)果。
14.根據(jù)權(quán)利要求13所述的方法����,進(jìn)一步包括使用預(yù)定的推導(dǎo)函數(shù)取得來自判定出的所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符的所述校驗(yàn)數(shù)據(jù)。
15.一種計(jì)算機(jī)程序產(chǎn)品��,其包括用于由通信系統(tǒng)的第一節(jié)點(diǎn)處的計(jì)算機(jī)處理器件執(zhí)行的計(jì)算機(jī)可讀指令��,用于將訪問證書從所述通信系統(tǒng)的所述第一節(jié)點(diǎn)提供給第二節(jié)點(diǎn),所述訪問證書用于經(jīng)由訪問接入點(diǎn)訪問網(wǎng)絡(luò)��,所述指令包括用于實(shí)施根據(jù)權(quán)利要求11所述的方法的指令。
16.一種用于將訪問證書提供給通信系統(tǒng)的接收器節(jié)點(diǎn)的通信系統(tǒng)的提供器節(jié)點(diǎn),所述訪問證書用于經(jīng)由訪問接入點(diǎn)訪問網(wǎng)絡(luò)�,所述提供器節(jié)點(diǎn)包括 用于判定所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符的判定器件; 用于使用預(yù)定的加密函數(shù)和判定出的所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符以這樣的方式對所述訪問證書進(jìn)行加密需要所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符以對加密的訪問證書進(jìn)行解密的加密器件���;以及 用于在所述通信系統(tǒng)上將加密的所述訪問證書從所述提供器節(jié)點(diǎn)提供給所述接收器節(jié)點(diǎn)的提供器件����,從而如果所述接收器節(jié)點(diǎn)能夠判定所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符��,則允許所述接收器節(jié)點(diǎn)訪問網(wǎng)絡(luò)以及使用所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符對加密的訪 問證書進(jìn)行解密�����。
17.—種經(jīng)由訪問接入點(diǎn)訪問網(wǎng)絡(luò)的方法�,所述方法包括 在通信系統(tǒng)的第二節(jié)點(diǎn)處接收來自通信系統(tǒng)的第一節(jié)點(diǎn)的加密的訪問證書,所述訪問證書用于經(jīng)由訪問接入點(diǎn)訪問網(wǎng)絡(luò)�����,其中����,所述加密的訪問證書是使用預(yù)定的加密函數(shù)和判定出的所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符以這樣的方式加密的需要所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符以對加密的訪問證書進(jìn)行解密���; 所述第二節(jié)點(diǎn)通過與所述訪問接入點(diǎn)通信來判定所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符; 所述第二節(jié)點(diǎn)使用判定出的所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符以使用與所述預(yù)定的加密函數(shù)相對應(yīng)的預(yù)定的解密函數(shù)對加密的訪問證書進(jìn)行解密�����;以及 所述第二節(jié)點(diǎn)使用解密的訪問證書經(jīng)由所述訪問接入點(diǎn)訪問網(wǎng)絡(luò)����。
18.根據(jù)權(quán)利要求17所述的方法,其中����,所述第二節(jié)點(diǎn)使用判定出的所述接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符對所述加密的訪問證書進(jìn)行解密的所述步驟包括 使用預(yù)定的推導(dǎo)函數(shù)取得來自判定出的所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符的解密密鑰;以及 使用所述預(yù)定的解密函數(shù)中的解密密鑰對所述加密的訪問證書進(jìn)行解密�����。
19.根據(jù)權(quán)利要求17所述的方法,其中�,所述第二節(jié)點(diǎn)判定所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符的步驟包括所述第二節(jié)點(diǎn)接收來自所述訪問接入點(diǎn)的所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符���。
20.根據(jù)權(quán)利要求17所述的方法���,其中����,所述加密的訪問證書包括從所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符取得的加密的校驗(yàn)數(shù)據(jù),所述校驗(yàn)數(shù)據(jù)用于使用預(yù)定的解密函數(shù)對加密的訪問證書解密的結(jié)果進(jìn)行證實(shí)�,所述方法進(jìn)一步包括校驗(yàn)使用預(yù)定的解密函數(shù)對加密的訪問證書進(jìn)行解密的所述步驟的結(jié)果正確地對所述校驗(yàn)數(shù)據(jù)進(jìn)行了解密。
21.根據(jù)權(quán)利要求17所述的方法���,其中����,所述第一節(jié)點(diǎn)包括第一用戶的第一用戶終端���,所述第一用戶終端配置為執(zhí)行用于在所述通信系統(tǒng)上進(jìn)行通信的第一通信客戶程序�����,并且其中���,所述第二節(jié)點(diǎn)包括第二用戶的第二用戶終端����,所述第二用戶終端配置為執(zhí)行用于在所述通信系統(tǒng)上進(jìn)行通信的第二通信客戶程序�。
22.根據(jù)權(quán)利要求21所述的方法,其中�����,所述第二節(jié)點(diǎn)使用判定出的所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符對加密的訪問證書進(jìn)行解密��,以及所述第二節(jié)點(diǎn)使用解密的訪問證書經(jīng)由所述訪問接入點(diǎn)訪問網(wǎng)絡(luò)的步驟由所述第二通信客戶程序?qū)嵤?,不需要以意圖讓所述第二用戶理解的形式將所述解密的訪問證書傳輸給所述第二用戶�。
23.根據(jù)權(quán)利要求17所述的方法����,其中,所述第二節(jié)點(diǎn)能夠與所述網(wǎng)絡(luò)的多個(gè)訪問接入點(diǎn)通信,并且所述方法包括 所述第二節(jié)點(diǎn)判定所述多個(gè)訪問接入點(diǎn)的每個(gè)的相應(yīng)的至少一個(gè)標(biāo)識(shí)符�����;以及所述第二節(jié)點(diǎn)試圖使用所述多個(gè)訪問接入點(diǎn)的每個(gè)的判定出的至少一個(gè)標(biāo)識(shí)符對加密的訪問證書進(jìn)行解密。
24.根據(jù)權(quán)利要求17所述的方法��,其中�����,所述第二節(jié)點(diǎn)設(shè)置有加密的訪問證書的多個(gè)示例,并且所述方法包括所述第二節(jié)點(diǎn)試圖使用判定出的所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符和預(yù)定的解密函數(shù)對加密的訪問證書的每個(gè)示例進(jìn)行解密�����。
25.一種計(jì)算機(jī)程序產(chǎn)品����,其包括用于由通信系統(tǒng)的第二節(jié)點(diǎn)處的計(jì)算機(jī)處理器件執(zhí) 行的計(jì)算機(jī)可讀指令�,用于經(jīng)由訪問接入點(diǎn)訪問網(wǎng)絡(luò),所述指令包括用于實(shí)施根據(jù)權(quán)利要求17所述的方法的指令。
26.一種用于經(jīng)由訪問接入點(diǎn)訪問網(wǎng)絡(luò)的通信系統(tǒng)的接收器節(jié)點(diǎn)���,所述接收器節(jié)點(diǎn)包括 用于接收來自所述通信系統(tǒng)的提供器節(jié)點(diǎn)的加密的訪問證書的接收器件�,所述訪問證書用于經(jīng)由訪問接入點(diǎn)訪問網(wǎng)絡(luò),其中����,所述加密的訪問證書是使用預(yù)定的加密函數(shù)和所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符以這樣的方式加密的需要所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符以對加密的訪問證書進(jìn)行解密; 用于通過與所述訪問接入點(diǎn)通信來判定所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符的判定器件; 用于使用判定出的所述訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符以及與所述預(yù)定的加密函數(shù)相對應(yīng)的預(yù)定的解密函數(shù)對加密的訪問證書進(jìn)行解密的解密器件�;以及用于使用解密的訪問證書經(jīng)由所述訪問接入點(diǎn)訪問網(wǎng)絡(luò)的訪問器件��。
全文摘要
本發(fā)明公開用于許可經(jīng)由訪問接入點(diǎn)訪問網(wǎng)絡(luò)的方法和通信系統(tǒng),其中該方法包括在通信系統(tǒng)的第一節(jié)點(diǎn)處�����,判定訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符����。使用預(yù)定的加密函數(shù)和判定出的訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符以這樣的方式對訪問證書進(jìn)行加密需要訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符以對加密的訪問證書進(jìn)行解密�����。訪問證書用于經(jīng)由訪問接入點(diǎn)訪問網(wǎng)絡(luò)�。在通信系統(tǒng)上將加密的訪問證書提供給通信系統(tǒng)的第二節(jié)點(diǎn)�����,并且第二節(jié)點(diǎn)通過與訪問接入點(diǎn)通信來判定訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符���。第二節(jié)點(diǎn)使用判定出的訪問接入點(diǎn)的至少一個(gè)標(biāo)識(shí)符以使用與預(yù)定的加密函數(shù)相對應(yīng)的預(yù)定的解密函數(shù)對加密的訪問證書進(jìn)行解密����;以及第二節(jié)點(diǎn)使用解密的訪問證書經(jīng)由訪問接入點(diǎn)訪問網(wǎng)絡(luò)�����。
文檔編號(hào)H04L29/06GK102739642SQ201210112369
公開日2012年10月17日 申請日期2012年4月16日 優(yōu)先權(quán)日2011年4月15日
發(fā)明者馬迪斯·卡爾 申請人:斯凱普公司