交叉接入登录控制器的制作方法与工艺

本发明涉及交叉接入登录控制器，特别涉及用于管理对融合网络的接入的控制器。

背景技术：
现在典型的网络控制结构包括一些主要组件，这些主要组件协同工作，以保证服务供应。图1示出了基本的网络结构。如图1所示，用户设备连接到接入网络（8），接入网络（8）附接到接入网关（2），接入网关（2）管理用户对骨干（也称作核心）网络（7）的接入。由接入网关（2）管理连接进程，连接进程包括：由DHCP（动态主机配置协议）服务器（3）辅助的用户设备（1）的配置由AAA（授权、认证和计费）服务器（4）辅助的用户认证和授权DHCP和AAA服务器在它们的操作中可能会查询存储在订户属性存储库（6）中的用户详细信息。用户设备（即，客户端）参数通常用于创建能够实现明确的用户识别的证书。用户设备可以是移动电话装置、PDA、个人计算机或便携式计算机、或者能够并被配置为执行与其他装置的通信的任何其他电子装置。用户设备参数可以是例如电话号码、MAC地址、物理端口、虚拟个人网络ID等。在获得网络接入之前，用户必须在订户属性存储库中注册。注册相对于单一类型的连接，并且因而使得接入也相对于单一类型的连接。可通过客户关系管理（CRM）系统输入用户信息，并将其存储在专用数据库中（所谓的SPR-订户属性存储库）。当接入网关（2）在用户登录期间接收到客户端发送的接入请求时，从接入请求中取得用户的证书（也成为订户的证书），并与存储在SPR中的那些证书进行较。如果证书相同，则允许经由与证书对应的类型的连接接入网络。在一些网络中（特别是那些具有混杂接入的网络，例如Wi-Fi），用户门户（5）可用于交互式的输入接入证书。在其他情况下（固定连接，例如DSL或者蜂窝），可从连接的详细信息（端口、用户设备永久的、唯一的设置，例如，MAC地址）中取得用户证书，该连接的详细信息合并到接入侧设备（例如，DSL调制器、数字串行线路复用器等）的请求中。经由AAA（授权、认证和计费）服务器等的网络接入网关（2）（也称作接入控制器）（例如，GGSN（网关GPRS（通用分组无线服务）支持节点））密集地接入SPR，以管理用户的接入、会话和服务。AAA、SPR、DHCP&其他应用创建了封闭且受保护的环境（也可称作供应商的后台）。后台通常与适当的网络类型（蜂窝、DSL、Wi-Fi等）相关联。因此，在服务供应商管理多个不同接入类型的网络的情况下，每一个网络将由专用的后台环境来服务。因此，为了接入不同接入类型的若干核心网络，用户必须在多个后台SPR注册，其中每个后台SPR对应于不同的接入类型。现代的用户设备，例如，蜂窝电话、膝上型电脑等，具有若干网络适配器，并且能够支持不同类型的连接，例如，GPRS、Wi-Fi、Wi-Max等。在很多情况下，例如，在适当的位置受限制的连接、网络节点拥塞、高成本的业务等，用户可能希望利用可使用不同类型的连接的性能，并且通过在本区域中可用的可行的可选网络（也称作访问网络）来连接到网络，或者在该区域中可用的网络连接之间进行切换。网络连接之间的切换可以是，例如，在蜂窝到Wi-Fi、蜂窝到Wi-Max、Wi-Fi到蜂窝、Wi-Fi到Wi-Max等任意一个之间的切换。也可以在由不同供应商运行的同一类型的网络之间进行切换，即，Wi-Fi_1到Wi-Fi_2、或者蜂窝_1到蜂窝_2。提到的所有切换都依赖于装置属性及其在不同类型的网络连接中的支持。在下面的讨论中，术语“家庭网络”用于指用户注册的网络。术语“访问网络”用于指用户没有注册的网络。如前面所解释的，在获得网络接入之前，用户必须相对于一个或者多个类型的网络连接在合适的家庭网络的SPR（6）中进行注册。在用户试图经由访问网络接入到他没有注册的网络的情况下，访问网络控制引擎会向家庭网络控制器查询临时证书。该临时证书用于仅涉及单个会话的用户认证，并且一旦连接终止，就会在访问网络中销毁该临时证书。此后，同一个没有注册的用户所作出的任何接入到访问网络的未来尝试都要求该用户经过同样的使用临时证书的进程。如图2所示，-用户试图使用用户设备连接到访问网络（连接到他没有注册的网络）。在该例子中，访问网络是WiFi网络。-接入控制器2.2在本地SPR2.6.2中查找，如果在本地SPR2.6.2中没有发现用户的证书，例如，在查询中提供的电话号码、MAC地址、ID等，将会向家庭网络控制器2.1查询合适的证书。从用户网络接收的证书用在用户认证和授权中。例如，可向用户提示WEB页面，并请求用户输入用户ID和密码（与在家庭网络中的或者专用的一次ID和分配的用于在访问网络中登录的密码相同）。-完成认证进程之后，在访问网络中销毁用户的证书，以使在下一次网络控制器和用户将需要再次经过同样的进程，即，向家庭网络请求证书。

技术实现要素：
鉴于上述情况，为了通过访问网络连接到网络，用户必须经过重新发生、激发和容易出错的登录进程，其包括用户在登录到访问网络期间输入证书（例如，输入用户ID、密码和暗码）。为了支持该进程，必须在家庭和访问网络之间创建/取得和传送证书，这要求两者之间的安全可靠的通信信道。即使用户已经在过去连接到该访问网络，在每次连接该访问网络时也要执行该进程。用户能够在一个或者多个可选网络上执行无缝的透明登录，即，无需用户或者访问网络执行上述进程，就能直接登录到访问网络，这使得操作者能够改进用户体验，并将在传输和网络控制设施方面的费用减到最少，并且另一方面，使用户能够直接连接到每个可用的网络，而无需每次都进行认证。自动透明的登录创建了不同网络之间基于各种接入技术（例如，Wi-Fi、Wi-Max、蜂窝、DSL等）的更容易的连接的设施。它可作为用于最先进的网络状况（例如，服务卸载、网络拥塞管理等）的使能技术。服务过载是指这么一种状况：用户能够根据某些标准，例如，价格便宜、更好的服务质量、可靠等，切换到本区域可用的可选网络。例如，用户不得不通过Wi-Fi网络来获得视频服务，这是因为蜂窝视频传输太贵，并且不支持高质量的视频。拥塞管理是一种在特定位置或者装置中的网络过载的情况下的业务过载。例如，当蜂窝网络过载，用户可能会自动切换到本区域可用的Wi-Fi网络。拥塞管理的目的还在于为服务供应商提供一种鼓励用户使用较少扩展的网络设施的手段，以减少较为昂贵的网络上的负载，这样，可以延迟或者减少网络扩展。为了处理业务和商业的挑战（网络拥塞、昂贵的业务），操作者（即，服务供应商）可向用户提供在相同的地理位置支持的若干接入技术，并且使它们同时对用户可用。服务供应商可在他自己的每个地理区域支持各种技术，或者可重新使用其他服务供应商的网络。无论用户连接到哪个网络，操作者应当确保在处理典型的用户操作的流程中（例如，登录、认证和授权、服务控制等）用户的体验一致。例如，当例如使用蜂窝电话通过蜂窝网络连接到门户时，不需要任何的用户的认证和授权，这是因为连接基于蜂窝电话的唯一的MSISDN号。当使用同样的蜂窝电话通过Wi-Fi连接到因特网时，为了向用户提供同样的体验，操作者不得不克服用户识别的问题，这是因为MSISDN仅适用于装置上的移动接口，而对于Wi-Fi连接来说，只有MAC地址可用，MAC地址被认为是不够安全的创造物，并且不能提供任何对移动账户的关联。当通过Wi-Fi连接到因特网时，为了向用户提供同样的体验，在用户不具有MSISDN，而是MAC地址时，操作者不得不克服用户识别的问题。因此，需要一种用于用户自动注册并无缝登录到访问网络的系统方案和方法。本发明可应用于属于同样的或者不同服务供应商的、具有同样的接入类型的不同网络或者具有不同接入类型（例如，Wi-Fi、蜂窝、DSL、Wi-Max等）的不同网络。根据本发明的一个方面，提供了一种控制网络的接入的方法，所述方法包括：在数据存储库中存储与第二种类型的连接有关的第一识别详细信息，并将所述详细信息与各个基本证书相关联，所述基本证书与第一种类型的连接有关；以及如果在第二识别详细信息与所述第一识别详细信息之间发现相关性，则准许通过第二种类型的连接接入网络的请求，所述请求包括所述第二识别详细信息。根据某些实施方式，本发明还提供了一种控制网络的接入的系统，所述系统包括：与控制器相关联的数据存储库；所述数据存储库被配置为：存储与第二种类型的连接有关的第一识别详细信息，并将所述详细信息与各个基本证书相关联，所述基本证书与第一种类型的连接有关；以及响应于包括第二识别详细信息的请求，所述控制器被配置为：如果在所述第二识别详细信息与所述第一识别详细信息之间发现相关性，则准许通过第二种类型的连接接入网络。根据某些实施方式，本发明还提供了一种机器可读的程序存储装置，其有形地包含机器可执行的指令的程序以执行控制网络的接入的方法，所述方法包括：在数据存储库中存储与第二种类型的连接有关的第一识别详细信息，并将所述详细信息与各个基本证书相关联，所述基本证书与第一种类型的连接有关；以及如果在第二识别详细信息与所述第一识别详细信息之间发现相关性，则准许通过第二种类型的连接接入网络的请求，所述请求包括所述第二识别详细信息。附图说明为了理解本发明并且找出如何在实践中实现本发明，现在将通过仅作为非限制性实例参照附图描述实施方式，其中：图1示出了现有技术已知的、典型的网络控制结构；图2示出了现有技术已知的、为支持在访问网络中登录而在家庭网络和访问网络之间的通信；图3示出了所提出的现代融合网络结构，其关注在于发明的修改的AAA控制器（4）和扩展的订户存储库（6）。图4示出了能够将同一个用户的多个证书相关联的扩展的SPR的图解。图5示出了处理注册的用户的接入请求的基本算法。图6示出了用户在访问网络中首次注册的流程图。图7示出了利用暗码验证增强的在访问网络中首次注册的算法。图8示出了利用暗码验证增强的用户在访问网络中首次注册的流程图。图9示出了利用位置邻近验证增强的用户在访问网络中首次注册的算法。图10示出了利用位置邻近验证增强的用户在访问网络中首次注册的流程图。具体实施方式在提出的附图和说明中，相同的参考标记表示在不同的实施方式和配置中的相同部件。除非特别声明，否则如从下面的讨论中可显而易见的那样，应当理解，在贯穿本说明书的讨论中，使用的术语如“处理”、“控制”、“配置”、“接收”、“使得”、“进行”、“执行”、“确定”等包括将数据处理或者转换为其他数据的计算机的动作和/或处理，所述数据表示为物理量，例如，如电子电量，和/或所述数据表示物理对象。术语“计算机”应宽泛的解释为覆盖了具有数据处理功能的任何类型的电子装置，通过非限制性的例子，其包括个人计算机、服务器、计算系统、通信装置、处理器（例如，数字信号处理器（DSP）、微控制器、现场可编程门阵列（FPGA）、专用集成电路（ASIC）等）、任何其他电子计算装置、和或它们的组合。可由通过为了期望的目的而专门构造的计算机或者为了期望的目的而专门配置的通用计算机，利用存储在计算机可读存储介质中的计算机程序来执行根据本文教导的操作。如在本文中所使用的，短语“例如”、“如”、“举例来说”及其变形描述本发明的非限制性的实施方式。本说明书中所引用的“一个实现方式”、“一些实现方式”、“某些实现方式”、“其他实现方式”、“另一个实现方式”、“一个实施方式”、“实施方式”、“一些实施方式”、“另一个实施方式”、“其他实施方式”“某些实施方式”、“一个实例”、“一些实例”、“一种情况”、“一些情况”、“其他情况”或其变形表示：所描述的与实施方式有关的特定的特征、结构或者特性包括在本发明的至少一个实施方式中。因此，出现的短语“一个实施方式”、“实施方式”、“一些实施方式”、“另一个实施方式”、“某些实施方式”、“其他实施方式”、“一个实例”、“一些实例”、“一种情况”、“一些情况”、“其他情况”或其变形并不一定是指同样的实施方式。应当理解，为了清楚的目的而在每个实施方式的上下文中所描述的本发明的某些特征还可组合到一个实施方式中。相反，为了简要的目的而在一个实施方式的上下文中描述的本发明的各个特征也可分开描述，或者在合适的子组合中描述。在本发明的实施方式中，可执行比示出的步骤更少、更多和/或不同的步骤。在本发明的实施方式中，可以以不同的顺序执行附图中示出的一个或者多个步骤，和/或同时执行一组或者多组步骤。本发明的某些实施方式适用于参考图3所描述的计算机系统的结构。然而，本发明并不限于该特定的结构，可以以其他方式合并或者分割等价的和/或修改的功能，并且可以以软件、固件和硬件的任意合适的组合来实现该功能。本领域技术人员容易理解，本发明也适用于任何计算机系统以及实现虚拟的存储系统的任何存储结构。在本发明的不同实施方式中，可将其中的功能模块和/或部分放置在一个或者多个地理位置（包括高可用性的复制）；模块之间或者模块内部的操作性的连接可以直接（例如，通过总线）或者间接实现，包括远程连接。可通过以下方式来实现远程连接：有线、无线、电缆、互联网、内联网、电力、卫星或者其他网络，和/或使用任何合适的通信标准、系统和/或协议及其变形或者等价物（如，不受限制的例子为以太网、iSCSI、光纤通道等）。转到对本发明的详细说明，每种接入类型（蜂窝、Wi-Fi、DSL等）都提供不同的独特的技术参数（也称作用户证书），其用于用户认证。例如，MSISDN可用于识别蜂窝网络的用户，而MAC地址可在Wi-Fi网络中为用户ID服务。基本思想是将所有可能的用户证书（在接入网络中识别用户的详细信息）相关联，并在（一个或多个）证书存储库中，以通过不同的接入网络连接时能够自动地进行用户的识别、鉴权和认证的方式对它们进行管理。运行合并后的订户存储库能够将对具有用户识别的不同网络有效的各种证书相关联，这样用户识别就与接入网络的类型无关。也就是说，根据本发明的某些实施方式，一旦获取到第二种类型的网络接入请求，控制器可以将接入网络的用户和与基本证书相关的数据相关联。例如，使用户接入网络的该数据可以是用户的属性数据。证书数据库最初用于存储原始证书。在下面的讨论中，术语“原始证书”用于指与用户在服务供应商的注册相关的证书。通常由客户关系管理（CRM）软件生成该证书，或者由用户自己创建该证书并将其存储到家庭订户属性存储库中。只要用户在任何可选的网络上登录，可选的（访问）证书就会补充原始证书。当用户在可选的网络中通过验证之后，捕获用于接入访问网络的他的证书，并将其存储到订户存储库中，以在访问的认证和授权中进一步的再次使用该证书。将与特定网络相关的证书添加到证书存储库之后，用户将能够无缝地切换到适当的网络。可以增加基于初始网络连接和位置相关性技术的附加的验证机制，以确保可选证书的可靠的安全注册。根据本发明的某些实施方式，如图3所示，提供了对包括典型的网络元件和运营商后台子系统的现有网络设施的补充（例如，AAA流量控制器、订户存储库）。图3对图2进行了补充，其中强调了在现有技术的后台系统中实施的修改。它详细说明了用于无缝的透明登录的处理的主要的后台模块。下面详细说明模块的功能和协作。如图3所示，必须修改模块AAA流量控制器和订户属性存储库，以支持透明登录。这些修改不影响其他后台环境，这使修改的影响最小化。AAA流量控制器-高级认证授权流量控制器，其运行接入控制算法（下面再解释）。AAA流量控制器负责从网络接入请求中取得用户证书，并进一步地对认证控制流进行处理。AAA流量控制器与扩展的订户属性存储库进行通信，以查找并验证与适当的网络相匹配的用户的证书，同时处理来自不同接入网络的接入请求。AAA流量控制器嵌入可配置的引擎，该引擎调整与适当的网络类型的特性相对应的操作流程。例如，在Wi-Fi网络中取得用户ID（通过MAC地址识别用户）将导致查询DHCP服务器，而在蜂窝网络的情况下，在请求中提供ID（MSISDN），因此不需要查询另一个系统。扩展的订户存储库-保存用户属性的存储库包括用户的详细信息和证书。扩展的存储库应当实现以下模式：适合于特定网络的多个证书与单个用户身份相关。这样，当请求时，可提供同一个用户的与不同的网络相匹配的各种证书。订户存储库是集中式的服务，其可以运行在单个以及分布式DB上。在分布式DB的情况下，由中间件实现集中的界面。DHCP-动态主机配置服务器，其负责分配接入网络特定参数，例如，IP，并跟踪用户设备特定参数，例如，涉及接入请求和之后的认证程序的MAC地址等。DHCP服务器具有专用的数据库，其用于对IP地址和用户设备参数（例如，MAC地址、装置类型等）的关联进行跟踪。当独立运行时，DHCP服务器可基于请求向外部系统（例如，AAA流量控制器）提供与用户相关的特定参数有关的详细信息。用户门户-管理网页，其支持用户登录并与后台子系统（例如，接入服务器、SPR等）交互。该门户用于捕获用户在登陆期间输入的证书（在已知的系统中，在用户访问网络的每个连接中都会激活用户门户，然而根据发明的某些实施方式，只有在访问网络中首次注册时才会激活用户门户，之后他的证书存储在扩展的订户存储库中），可以不时地使用用户门户，以再次验证/更新用户的详细信息。用户通信器（图3-10）。服务器用于通过SMS（SMS控制器）、e-mail（邮件服务器）、MMS、语音等方式与用户进行通信。统一的位置管理器-网络信息存储库，其包括有关网络接入元件和它们的位置（例如，RAN天线、蜂窝电话、Wi-Fi热点等的地理位置）的信息。接入元件ID是接入请求的一部分，因此，它可用于查询位置管理器并建立用户的位置。根据本发明的某些实施方式，位置管理器可适用于在首次注册期间或者用户通过第二种类型的连接接入网络期间进行位置邻近检测。位置管理器检测相对于在其他网络所看到的位置来说，在一个网络中所看到的用户的位置，假设当用户出现在所有网络的同一位置或者非常相近的位置，则必须报告该用户。由于现有技术中的技术限制和合理偏差，相同位置之间的小的间隙是可以容忍的。在位置太远的情况下（距离阈值可在AAA控制器中配置），系统将会使认证进程无效。下面解释位置相关性进程。GGSN-网关GPRS支持节点。GGSN负责3G网络（图3.8）和外部分组交换网络（例如，如（图3.11）所示的IP网络）之间的交互。在某些情况下，GGSN负责IP地址的分配，并且作为连接的用户设备（UE）的默认路由器。它也可以处理认证和计费功能。注：基于连接的类型（其可以是Wi-Fi、DSL、Wi-Max、3G等中的任意一个），GGSN可被实现类似功能（网络接入控制）的任何装置所替代。IP网关-网络元件，其作为IP网络的入口，管理用户的接入、通过Wi-Fi接入分段的连接。除了用于Wi-Fi使能网络之外，IP网关与GGSN相同。注：基于连接的类型（其可以是Wi-Fi、DSL、Wi-Max、3G等中的任意一个），IP网关可被实现类似功能（网络接入控制）的任何装置所替代。如下所述，可能需要对若干子系统（例如，认证和授权流量控制器、订户属性存储库、位置数据库）进行修改，以适应高级流。AP-无线接入点（Wi-Fi、Wi-Max等）。使用Wi-Fi、蓝牙或者相关的标准允许无线通信装置连接到无线网络的装置。无线AP通常连接到路由器（IP网关），并且能够对网络上的无线装置（例如，计算机或者打印机）和有线装置之间的数据进行中继。操作者应该修改订户存储库，以支持同一个用户的多个证书。用户证书结构必须包括接入类型，以在来自不同接入网络的登录请求之间区别，还必须包括网络ID，以能够在同一类型的不同网络上进行无缝登录。图4提供了订户属性存储库的示意性的结构。一旦用户登录，网络接入控制器（图3.2）向AAA流量控制器查询用户认证和授权，同时提供用于用户匹配、认证和授权的网络特定参数，例如，MAC地址、IP、端口号、MSISDN等。AAA流量控制器将从接入查询中取得证书，以从SPR取得适当的接入类型的匹配证书进行进一步的验证。在证书可用并且匹配成功的情况下，用户将会连接到网络，并被提供有在用户的设定中所指定的适当的服务。如果没有证书与该网络类型相匹配，将会引导用户执行首次接入注册进程，在此期间，将会请求用户输入生成的暗码，该暗码通过可用的经过认证的连接来发送，以确保安全注册。互补验证加强技术（例如，位置相关性）可应用到每个合适的网络类型（如下面所解释的）。图4详细说明了扩展的订户属性存储库的图解，其中，用户与一个或者多个证书相关。可以看出，用户必须具有称作基础的原始证书，在向家庭网络的首次注册期间，提供该原始证书。在用户向附加网络注册期间，增加附加证书。这样，在向网络多次注册期间，AAA流量控制器将能够使用注册的基础和可选的证书来识别用户。图5是根据本发明的实施方式的示出使用示例性的Wi-Fi接入网络的操作的流程图。附图解释：1-用户开启他的装置（例如，智能手机）中的Wi-Fi适配器。这导致通过网络发送DHCP请求。2-DHCP服务器为用户装置分配IP地址（也称作为每个用户的MAC地址租借IP）并将其发送到用户设备。用户的MAC连同IP一起存储在DHCP数据库中，并且其他系统基于命令可取得所述MAC和IP。3-完成DHCP流程后，用户业务触发来自IP网关的请求，该请求被发送到AAA控制器，AAA控制器查询SPR，以确定适当的用户的证书（例如，MAC）是否已经注册。4-如果用户证书还没有注册，则将用户转到登录门户。5-门户对用户注册进行管理-接收认证的详细信息。6-AAA控制器检查该详细信息。7-将该详细信息输入到SPR中，以进一步的再次使用。8-在证书已经在数据库中注册的情况下，取得用户属性，以在装置中进一步的提供，并且用户连接到网络。假设用户具有存储在订户属性存储库中的基本证书，该基本证书可使用户能够通过蜂窝网络连接到网络。注：在此以及后面的蜂窝通信业务的Wi-Fi的卸载仅用作例子。如在图6中进一步详细解释的那样，在用户首次试图通过Wi-Fi连接到网络的情况下，AAA控制器检测到用户的尝试，并引导用户执行首次接入注册进程。相应的消息序列图涉及首次注册，注册之后便是通过可选的连接进行登录。为了确保安全，注册流程进程可伴随有来自用户的附加的认证过程。附加的认证过程例如可以是验证经由SMS提供给用户的密码、验证账单信息，例如，用户的付款手段，或者视作唯一地识别订户的其他手段。下面的流程解释由SMS辅助的安全注册。图7是示出同时辅助有（例如，SMS）安全注册的接入蜂窝网络的操作的例子的流程图。如图7所示，SMS辅助的注册利用了用户通过蜂窝网络连接的事实。所以要求用户通过门户输入通过SMS传送的附加的暗码。暗码是字符的唯一组合，其由服务器生成用于单次交易，因此，它不能再被其他用户重复使用。可通过其他各种类型的消息通信方式，例如，MMS、语音、e-mail通知等，将由SMS提供的密钥传送给用户。图8示出的图表中提供了涉及SMS辅助的安全注册的相应的消息序列图。位置相关性技术利用了以下事实：蜂窝和Wi-Fi连接都由同一个装置建立，而分别由不同的无线网络识别。在网络设施包括位置管理机构（能够检测用户位置的系统）的情况下，为了进一步的邻近相关，AAA控制器可在注册期间取得相同和相邻近两种位置（当用户连接到Wi-Fi和蜂窝网络时，可通过使用Wi-Fi网络技术和蜂窝网络技术来检测他的位置。用户可能会出现在不同但是接近的位置）。这是一种可以选择应用的附加的验证增强技术。CPE（用户设备）必须出现在同样的位置，才能通过安全检验。需要注意的是，连接的位置（例如，RAN单元和Wi-Fi接入点）可能变化，当对来自适当的位置服务器的位置信息进行比较时，如果识别出的连接的位置不同，操作者可以实施一种可配置的容许限度。图9是示出同时辅助有（例如，位置相关性）安全注册的接入蜂窝网络的操作的例子的流程图。位置相关性进程要求位置信息对用在注册算法中的所有的网络都可用。图9中的例子示出了这样的情况：由DHCP服务器保存Wi-Fi接入点位置，而注册的蜂窝电话的RAN单元位置由专用的位置服务器提供。基于建立的通话更新蜂窝电话的位置。Wi-Fi接入点&CPE相关性中的一个技术基于接入点的能力，使用唯一的接入点标签对中转服务进行标记，这样，以后会从该服务取得该标签，并将其用于在任何点来识别接入点。图10提供了涉及位置相关性辅助的注册的相应的消息序列图。可分别使用SMS和位置相关的进程，也可组合使用。根据本发明的某些实施方式，SPR可能会在每个时间间隔（每周）偶尔请求订户重新验证不同证书之间的相关性，以降低身份被盗窃的可能性。根据非限制性的例子，可通过标准管理老化计时器来对SPR中的证书应用该进程。应当理解，根据本公开的主题的系统可以是适当编程的计算机。同样地，本公开的主题设想了用于执行本公开的主题的方法的计算机可读的计算机程序。本公开的主题进一步地设想了用于执行本公开的主题的方法的记录了由机器执行的指令的程序的有形的机器可读存储器。本领域技术人员将容易理解，在不脱离本发明的范围的情况下，可对上文中的本发明的实施方式进行各种修改和改变，本发明的范围由权利要求书限定。