异构自组织移动宽带网络的安全保护的制作方法

专利名称：异构自组织移动宽带网络的安全保护的制作方法
技术领域：
本文公开整体涉及电信，并且更具体地涉及自组织移动宽带网络中的切换。
背景技术：
广泛部署了无线电信系统，以向消费者提供各种服务，例如，电话、数据、视频、音 频、消息发送、广播等等。这些系统随着市场力量将无线通信驱使到新的高度而继续发展。 现如今，无线网络向区域范围、国家范围或甚至世界范围内的移动用户提供宽带互联网接 入。这种网络有时候被称为无线广域网(WWAN)。 WWAN运营商通常向它们的用户提供无线 接入计划，例如，每月固定费率的订制计划。 从全部移动设备接入WWAN可能是不可行的。 一些移动设备可能不具有WWAN无线 电台。其它具有WWAN无线电台的移动设备可能不具有有效的订制计划。自组织网络允许移 动设备使用诸如WLAN、蓝牙、UWB之类的协议或其它协议来动态地在无线接口上进行连接。 本领域中需要一种允许不具备WWAN接入的移动设备的用户能够动态地订制由具备WWAN能 力的移动设备的用户所提供的无线接入服务的方法，其中使用属于这两个用户的移动设备 之间的无线自组织联网来进行该订制。

发明内容
在本文公开的一个方案中，一种服务器包括处理系统，其被配置为维持与自组织 服务提供方和移动客户端的加密控制会话，同时允许所述移动客户端支持经由所述自组织 服务提供方的加密数据隧道。 在本文公开的另一个方案中，一种服务器包括用于允许移动客户端支持经由自 组织服务提供方的加密数据隧道的模块；以及用于在允许所述移动客户端支持经由所述自 组织服务提供方的所述加密数据隧道的同时，维持与自组织服务提供方和移动客户端的加 密控制会话模块。 在本文公开的另一个方案中，一种用于从服务器提供对网络的安全保护的方法包 括允许移动客户端支持经由自组织服务提供方的加密数据隧道；并且在允许所述移动客 户端支持经由所述自组织服务提供方的所述加密数据隧道的同时，维持与所述自组织服务 提供方和所述移动客户端的加密控制会话。 在本文公开的另一个方案中，一种机器可读介质包括可由服务器中的处理系统来 执行指令。该指令包括用于允许移动客户端支持经由自组织服务提供方的加密数据隧道 的代码；以及用于在允许所述移动客户端支持经由所述自组织服务提供方的所述加密数据
7隧道的同时，维持与所述自组织服务提供方和所述移动客户端的加密控制会话的代码。
要理解，本文公开的其它方案将从以下详细说明中变得对本领域普通技术人员显而易见，其中通过举例的方式显示并且描述了自组织移动宽带网络的各种方案。正如我们将要认识到的，可以用其它不同的配置来实现本文公开的这些方案，并且可以在多个其它方案中修改它的诸多细节。因此，附图和详细说明应被视为是示例性的而不是限制性的。


图1是示出了电信系统的实例的概念性方框图。 图2是示出了用于服务器的硬件配置的实例的概念性方框图。 图3是示出了用于服务器中的处理系统的硬件配置的实例的概念性方框图。 图4A是示出了用于支持与自组织服务提供方的连接的服务器的功能的实例的流程图。 图4B是示出了用于支持移动客户端的服务器的功能的实例的流程图。 图5是自组织服务提供方的功能的实例的概念方框图。
具体实施例方式
以下结合附图所述的详细描述意图作为自组织移动宽带网络的各种方案的描述而不是意图表示权利要求所涵盖的仅几个方案。详细描述中为了提供对于这些方案的透彻理解的目的而包括了具体的细节。但是，本领域普通技术人员没有这些具体细节也显然能够实施自组织移动宽带网络的各个方案。在一些实例中，公知的结构和组件被显示成方框图的形式，以免模糊本文整个公开中给出的各种概念。 图1是示出了电信系统的实例的概念性方框图。电信系统100被示为具有多个WWAN，其用于向移动用户提供到网络102的宽带接入。网络102可以是基于分组的网络，例如互联网，或一些其它合适的网络。为了表述清楚起见，两个WWAN 104被显示为具有到互联网102的回程连接。可以用散布在整个地理区域内的多个位置固定的基站(未显示)来实现每个WWAN 104。通常可以将该地理区域再分割成称为小区的更小的区域。每个基站可被配置为对它各自小区中的全部移动用户进行服务。可以使用基站控制器(未显示)来管理并且协调WWAN 104中的基站并且支持到互联网102的回程连接。 每个WWAN 104可以使用许多不同的无线接入协议中的一个来支持与移动用户的无线电通信。举例而言，其中一个WWAN 104可以支持演进数据最优化(EV-DO)，同时另一WWAN 104可以支持超移动宽带(UMB) 。 EV-DO和UMB是第三代合作伙伴计划2 (3GPP2)所发布的空中接口标准，其作为CDMA2000标准族的一部分并且应用诸如码分多址(CDMA)之类的多址技术来向移动用户提供宽带互联网接入。可替换地，其中一个WWAN104可以支持长期演进(LTE)，它是3GPP2之中的计划，其主要基于宽带CDMA(W-CDMA)空中接口来改善通用移动电信系统(UMTS)移动电话标准。其中一个WWAN 104还可以支持WiMAX论坛所开发的WiMAX标准。WWAN针对任意具体电信系统所应用的实际的无线接入协议将取决于具体的应用和施加在系统上的总体设计约束。本公开通篇所给出的各种技术等效适用于异构或同构WWAN的任意组合，而不管所使用的无线接入协议是什么。 每个WWAN 104具有多个移动用户。每个用户可以具有移动节点106，其能够直接
8通过WWAN 104接入互联网102。在图1中所示的电信系统中，这些移动节点106使用EV-D0、UMB或LTE无线接入协议来接入WWAN104 ;但是在实际的实现中，这些移动节点106可以被配置为支持任意无线接入协议。 这些移动节点106中的一个或多个可以被配置为基于与用于接入WWAN 104的无
线接入协议相同或不同的无线接入协议来在其附近创建自组织网络。举例而言，移动节点106可以支持与WWAN的UMB无线接入协议，同时为不能直接接入WWAN的移动节点108提供IEEE 802. 11接入点。IEEE 802. 11表示IEEE 802. 11协会为短距离通信(例如，数十米到数百米)所开发的一组无线局域接入网(WLAN)标准。虽然IEEE 802. 11是公共WLAN无线接入协议，但也可以使用其它合适的协议。 可用于为另一个移动节点108提供接入点的移动节点106将在本文被称为"自组织服务提供方"。可以使用自组织服务提供方106的接入点的移动节点108将在本文被称为"移动客户端"。移动节点，无论是自组织服务提供方106还是移动客户端108，可以是膝上型电脑、移动电话、个人数字助理(PDA)、移动数字音频播放器、移动游戏机、数码相机、数字摄像机、移动音频设备、移动视频设备、移动多媒体设备或能够支持至少一个无线接入协议的任意其它设备。 自组织服务提供方106可以将它的无线宽带互联网接入服务延伸到移动客户端108，否则移动客户端108将不具有互联网接入。服务器110可被用作为"交换机(exchange)"，以允许移动客户端108从自组织服务提供方106购买未使用的带宽，以便例如通过WWAN 104接入互联网102。在电信系统100的一个配置中，服务器IIO基于使用来对移动客户端108收费。对于移动互联网服务的临时用户，这可以是对每月固定费率的无线接入计划的有吸引力的替代。可以用一种使得交换机趋于永远有效的方式，将从使用收费所生成的收入分配给电信系统100中的各种实体。举例而言，可以将一部分收入分配给自组织服务提供方，从而提供利益剌激来使得移动用户变成自组织服务提供方。可以将另一部分收入分配给WWAN运营商以向他们补偿否则将不被使用的带宽。可以将另一部分收入分配给移动节点的制造商。 自组织服务提供方106、服务器IIO和一个或多个移动客户端108可以建立一个网络，该网络是自组织异构无线网络。举例而言，异构无线网络可以包括至少两种类型的无线网络(例如，WWAN和WLAN)。举例而言，自组织网络可以是这样一种网络，该网络的具体配置可以随时间或者随着一个网络到下一个网络的形成而改变。网络配置不是在建立网络之前预先计划好的。自组织网络的配置的实例可以包括关于网络中将有那些成员的配置(例如，网络中将包括哪个自组织服务提供方、哪个服务器和/或哪个移动客户端)、关于自组织服务提供方和移动客户端的地理位置的配置和关于何时建立网络以及网络要建立多长时间的配置。 图2示出了服务器的硬件实现的实例图。服务器110可以是集中式服务器或分布式服务器。集中式服务器可以是专用服务器或集成到诸如桌面或膝上型电脑或主机的另一个关于网络的实体或其它合适的实体。分布式服务器可以分布在多个服务器和/或诸如膝上型或桌面电脑或主机的一个或多个其它关于网络的实体或一些其它合适的实体之间。在至少一个配置中，服务器可以全部或部分地集成到一个或多个自组织服务提供方中。
服务器110被显示为具有网络接口 202，网络接口 202可支持到互联网102的有线
9的和/或无线的连接。网络接口 202可用于通过提供根据到传输介质的接口所需要的物理和电气规范而发送原始数据比特的模块，来实现物理层。网络接口 202还可被配置为通过管理到传输层的接入来实现数据链路层的下部部分。 服务器110还被显示为具有处理系统204，处理系统204提供各种功能，包括自组织服务提供方和移动客户端的登记和验证、自组织服务提供方和移动客户端的控制会话管理、自组织服务提供方之间的切换支持、用于移动客户端的数据隧道传输以及到移动客户端的各种服务。处理系统204被显示为与网络接口 202分开，但是，如本领域的熟练技术人员将很容易理解地，网络接口 202或者它的任意部分可以集成到处理系统204中。
图3是示出了服务器中的处理系统的硬件实现的实例。在该实例中，处理系统204可以实现为具有总线架构，由总线302来整体表示该总线架构。总线302包括任意数量的互联总线和桥，这取决于处理系统204的具体规范和总的设计约束。总线将包括处理器304和机器可读介质306在内的各种电路链接在一起。总线302还可以链接诸如定时资源、外围设备、稳压器、功率管理电路等等的各种其它电路，这也是本领域公知的，并且因此不再进一步描述。网络适配器308提供了在网络接口 202(见图2)与总线302之间的接口。
处理器304负责管理总线和普通处理，包括存储在机器可读介质306上的软件的执行。可以用一个或多个通用和/专用处理器来实现处理器304。实例包括微处理器、微控制器、DSP处理器和其它可以执行软件的电路。应该将软件广义地理解为意味着指令、数据或它们的任意组合，无论其被称为软件、固件、中间件、微代码、硬件描述语音还是其它。机器可读介质可以包括，例如，RAM(随机存取存储器)、闪存、ROM(只读存储器)、PROM(可编程只读存储器)、EPROM(可擦写可编程只读存储器)、EEPROM(电可擦写可编程只读存储器)、寄存器、磁盘、光盘、硬盘驱动或任意其它合适的存储介质或者它们的任意组合。
图3所示的硬件实现中，机器可读介质306被显示为是独立于处理器304的处理系统204的一部分。但是本领域普通技术人员将容易理解，机器可读介质306或者它的任意部分可以在处理系统204之外。举例而言，机器可读介质306可以包括传输线、用数据来调制的载波波形和/或独立于服务器的计算机产品，处理器304可以通过网络接口 308来访问它们。可替换地或另外，机器可读介质306或它的任意部分可以集成到处理器304中，例如，与高速缓冲存储器和/或通用寄存器文件集成。 处理系统204可被配置为具有一个或多个微处理器和外部存储器的通用处理系统，该微处理器提供处理器功能，该外部存储器提供机器可读介质306的至少一部分，它们通过外部总线架构与其它支持电路链接在一起。可替换地，可以用具有处理器304、网络接口 308、支持电路(未显示)和集成到单个芯片中的机器可读介质306的至少一部分的ASIC(专用集成电路)，或者用FPGA(现场可编程门阵列)、PLD(可编程逻辑器件)、控制器、状态机、门控逻辑、离散硬件组件或任意其它合适的电路或可以执行整个本公开所述的各种功能的电路的任意组合，来实现该处理器系统204。本领域普通技术人员将认识到如果根据具体应用和施加在总系统上的总设计约束来最好地实现处理系统204的所述功能。
机器可读介质306被显示为具有多个软件模块。每个模块包括指令集，当该指令集被处理器304执行时导致处理系统204执行以下所述的各种功能。软件模块包括协议栈模块309、安全模块310、服务提供方控制会话管理模块312、移动客户端控制会话管理模块314、隧道传输/路由模块316、切换模块318和服务模块320。每个软件模块可以位于单个存储设备中或者分布在多个存储设备之间。举例而言，当发生触发事件时(例如，移动节点决定变成自组织服务提供方)，可以将软件模块从硬件驱动器加载到RAM中。在软件模块的执行期间，处理器304可以将其中一些指令加载到高速缓冲存储器中以提高存取速度。然后可以将一个或多个高速缓冲存储器线加载到通用寄存器文件中以便由处理器304执行。当以下提及软件模块的功能时，要理解，该功能是通过处理器304执行来自该软件模块的指令实现的。 协议栈模块309可用于实现用于服务器的协议架构或者它的任意部分。在目前所述的实现中，协议栈模块309负责实现运行在由网络接口 202(见图2)所实现的数据链路层之上的若干协议层。举例而言，协议栈模块309可用于通过提供流控制、确认和差错恢复来实现数据链路层的上部部分。协议栈模块309还可用于通过管理源到目的地的分组数据传递来实现网络层，以及通过在终端用户之间提供数据的透明传递来实现传输层。虽然被描述为处理系统的一部分，但是，协议栈模块309或它的任意部分可通过网络适配器202来实现。 安全模块310可用于登记。自组织服务提供方或移动客户端的登记可以是静态的(非移动的)或动态的(移动的)。可以向移动客户端或自组织服务提供方提供服务器证书。该证书包括服务器的公共密钥，该公共密钥是用外部认证机构的私有密钥所签密的。移动客户端和自组织服务提供方配备有该认证机构的公共密钥，并且因此能够核实该认证机构的签名，然后使用该公共密钥来私密地与服务器通信。移动客户端和自组织服务提供方可以向服务器登记，以建立具有支付信息的用户名和口令。类似地，自组织服务提供方可以通过用服务器建立用户名和口令来登记。由安全模块310建立用户名和口令，并且可以将其存储在验证数据库322中。 在登记之后，当自组织服务提供方希望向其它移动客户端提供无线接入点时，安全模块310可以验证该自组织服务提供方。在一个实例中，自组织服务提供方从服务器请求证书，该证书由安全模块310转发。在接收到该证书之后，并且在检查了服务器证书之后，自组织服务提供方提出用服务器的公共密钥加密的会话密钥(KSP,S)。其由服务器进行接收并且提供给安全模块310，以便用会话密钥KSP, s来加密全部后续消息。自组织服务提供方提供用会话密钥KSP,S加密的它的用户名和口令。安全模块310基于验证数据库322中存储的信息来验证自组织服务提供方。 安全模块310还可用于验证已向服务器登记的移动客户端。验证将通常需要在移动客户端与自组织服务提供方之间的自组织无线链路上的连接，但是在一些情况中可以在移动客户端与服务器之间直接执行。使用自组织服务提供方与服务器之间的现有连接来建立在移动客户端与服务器之间的连接。在该实例中，移动客户端是请求方，自组织服务提供方是验证方，并且服务器是验证服务器。移动客户端请求来自服务器的证书。自组织服务提供方向服务器转发该请求，从安全模块310接收证书并且向移动客户端转发该证书。移动客户端接收到该证书。在证实了服务器证书之后，移动客户端提出用服务器的公共密钥加密的会话密钥(Ke,s)。其由服务器进行接收并且提供给安全模块310，从而服务器与移动客户端之间的全部后续消息可以用会话密钥Kc,s来加密。移动客户端向服务器提供用会话密钥K^加密的它的用户名和口令。安全模块310基于验证数据库322中存储的信息来验证移动客户端。在验证完成之后，安全模块310向自组织服务提供方和移动客户端通知该移动客户端现在被验证了并且可以接收服务。 在验证了自组织服务提供方之后，控制会话管理模块312使用密钥KSP,S，在自组织服务提供方与服务器之间建立并维持安全会话X^s。类似地，在验证了移动客户端之后，控制会话管理模块314使用密钥Ke,s建立并且维持移动客户端与服务器之间的安全会话Xc,s。可以在移动客户端处生成密钥KSP, e，并且在会话Xe, s上将其发送到服务器的控制会话管理模块314。然后可以经由控制会话管理模块312，在会话XSP, s上将密钥KSP, c提供给自组织服务提供方。这允许使用密钥IW,e来在自组织服务提供方和移动客户端之间建立并维持安全会话^p"。在可替换的配置中，可以由服务器中的安全模块310或自组织服务提供方生成密钥Ksp,c。 在应用层交换目前所述的会话密钥KSP,S、KC,S和KSP,C。可以暴露IP报头和关于消息类型的信息。为了防止对流经在移动客户端与自组织服务提供方之间的自组织无线链路的信息的任何可见性，可以执行在该无线链路上的传输的安全防护。移动客户端和自组织服务提供方可以协商用于该无线链路的数据链路加密密钥WKSP, c。该密钥可以在移动客户端、自组织服务提供方或服务器中的安全模块310中生成。在移动客户端和自组织服务提供方协商同意使用该数据链路加密密钥之后，可以使用该密钥来传送它们之间的全部传输。 可以在安全会话Xc,s上在移动客户端与服务器中的控制会话管理模块314之间交换消息，以建立加密VPN隧道来通过服务器向互联网传输数据。在电信系统的至少一个配置中，通过服务器中的隧道/路由模块316来对从移动客户端发往互联网上的任意位置的全部数据进行隧道传输。这么做是为了确保自组织服务提供方看不到与移动客户端相关联的数据，并且因此确保移动客户端的私密性。该隧道传输还通过确保全部与移动客户端相关联的数据都流经隧道/路由模块316，将该移动客户端的业务处理的责任留给服务器和移动客户端，并且自组织服务提供方仅作为允许与移动客户端相关联的数据到达服务器的传送器，来向自组织服务提供方提供安全性。用短虚线描绘了隧道/路由模块316，以强调它可以位于服务器中或电信系统的任意其他地方。 在移动客户端108与服务器中的隧道/路由模块316之间建立了隧道之后，可以使用服务模块320来向移动客户端提供各种服务。举例而言，服务模块320可以支持到移动客户端108的音频或视频服务。服务模块320还可以支持到移动客户端108的广告服务。服务模块320的其它功能可以包括移动客户端数据的去往和来自互联网的路由以及为移动客户端提供去往和来自互联网的网络地址转换。 切换模块可以提供对移动客户端从一个自组织服务提供方到另一个自组织服务提供方的基于任意因素的切换。这些因素可以包括，例如，移动客户端所需要的服务质量(QoS)、移动客户端需要的会话的持续时间和自组织服务提供方处的负载、链路条件和能量水平(例如，电池使用期限)。 现在将给出一个实例，在该实例中，将连接到通过式"服务自组织服务提供方"(SP1)的移动客户端切换到"目标自组织服务提供方"(SP2)。最初，存在分别使用会话密钥KSP1, s、 Kc, s和KSP1, c的3个安全会话XSP1, s、 Xc, s和XSP1, c。当目标自组织服务提供方SP2变得可用时，可以通过控制会话管理模块312，使用在目标自组织服务提供方SP2与安全模块310之间协商的会话密钥KSP2,S建立安全会话XSP2,S。在安全会话XSP2,S上可以由移动客户端或者服务自组织服务提供方SP1或者切换模块318发起切换请求。安全模块310可以向 目标自组织服务提供方SP2提供用于指示该移动客户端已被验证的信息。在安全会话Xc,s 上，安全模块310可以向移动客户端通知已经由目标自组织服务提供方SP2验证了该移动 客户端。可以由移动客户端、目标自组织服务提供方SP2或服务器中的安全模块310生成 会话密钥KSP2,e，以建立和维持安全会话XSP2,e。移动客户端与服务自组织服务提供方SP1断 开关联并且与目标自组织服务提供方SP2关联。可以将会话密钥KSP2, e用于移动客户端与 目标自组织服务提供方SP2之间的安全会话XSP2,C，目标自组织服务提供方SP2现在已变成 服务自组织服务提供方。可以通过服务器在用于两个服务提供方的切换模块318的辅助之 下在这两个服务提供方之间交换信息(例如，与移动客户端相关联的残余分组)。可以建立 会话密钥KSP1,SP2，以用于这两个服务提供方之间的消息的安全交换。可替换地，如果这两个 服务提供方可以在本地无线链路上彼此接通，则该消息交换就可以发生在这两个服务提供 方之间的直接无线链路上。可以在无线格型网络拓扑中使用在这两个服务提供方之间的多 跳无线路径(如果这种路径可用的话)。同样的信息(例如，控制流信息)可以在切换模块 318的辅助之下通过服务器传送，同时其它信息(例如，数据流信息)可以通过这两个服务 提供方之间的直接无线链路/路径传送。 现在将参考图4A和4B描述服务器中的处理系统的功能。图4A是示出了服务器 所实现的用于支持自组织服务提供方的过程的实例的流程图。图4B是示出了服务器所实 现的用于支持移动客户端的过程的实例的流程图。 参考图4A，在方框402A中，服务器可以允许自组织服务提供方进行登记，以使其 能够为移动客户端提供到无线宽带网络的接入点。当自组织服务提供方实际上希望提供接 入点时，服务器可以根据在登记过程期间获得的信息，在方框404A中验证自组织服务提供 方。该验证过程可以包括在服务器和自组织服务提供方之间的会话密钥K^s的生成。在验 证之后，服务器在方框406A中使用会话密钥KSP,S建立并且管理与自组织服务提供方之间的 安全控制会话。服务器持续管理安全控制会话，直到连接终止为止，如在方框412A中所示。 在连接终止之后，服务器在方框414A中关闭与自组织服务提供方之间的控制会话。由于自 组织服务提供方仍然保留被登记，所以它稍后可以通过调用方框404A中的服务器的验证 过程，来再次作为接入点。 转到图4B，在方框402B中服务器可以允许移动客户端进行登记，以便使其能够从 自组织服务提供方接收用于到网络的无线宽带接入的服务。当移动客户端实际上希望连接 到自组织服务提供方时，在方框404B中服务器可以根据在登记期间获得的信息验证移动 客户端。该验证过程可以包括服务器与移动客户端之间的会话密钥K^的创建。在被验证 之后，服务器使用会话密钥K"来建立并管理与移动客户端之间的安全控制会话。在方框 408B中服务器还建立并维持加密数据隧道，以便通过服务器向网络传输数据。在建立了隧 道之后，在方框410B中服务器可以向移动客户端提供各种服务。如果在步骤412B中需要移 动客户端切换到另一个自组织服务提供方，服务器可以在方框414B中支持该切换并且在 切换期间和之后在步骤410B中继续向移动客户端提供服务。服务器可以提供这些服务直 到连接终止为止，如方框416B中所示。在连接终止之后，在方框418B服务器关闭与移动客 户端的控制会话和隧道。由于移动客户端保持被登记，所以它稍后可以通过调用方框404B 中的服务器的验证过程，来连接到自组织服务提供方。
13
图5是示出了自组织服务提供方的功能的实例的概念性方框图。自组织服务提供 方106有能力桥接基于同构或异构无线接入协议的无线链路。这可以用WWAN网络接口 502 和WLAN网络适配器504来实现，其中WWAN网络适配器502支持用于到互联网102的WWAN 的无线接入协议，WLAN网络适配器504为移动客户端108提供无线接入点。举例而言，WWAN 网络适配器502可以包括收发机功能，该功能支持通过WWAN的互联网接入的EV-DO， WLAN 网络适配器504可以包括收发机功能，该功能提供用于移动客户端108的802. 11接入点。 网络适配器502和网络适配器504中的每一个可被配置为通过解调无线信号和执行其他射 频(RF)前端处理来实现物理层。网络适配器502和网络适配器504中的每一个还可被配 置为通过管理物理层上的数据传递来实现链路层，以及通过管理源到目的地的分组传送来 实现网络层。 自组织服务提供方106被显示为具有过滤互联与会话监测模块506。模块506为 来自移动客户端108的内容提供过滤处理，从而自组织无线链路到WWAN网络适配器502之 间的互联仅提供给已被服务器验证并且许可使用WWAN网络的移动客户端108。模块506还 维持服务器与已验证的移动客户端108之间的隧道连接。 自组织服务提供方106还包括服务提供方应用508，其(1)允许模块506向移动 客户端108提供自组织服务，并且(2)支持到自组织服务提供方106的移动用户或用户的 WWAN或互联网接入。通过用户接口 512来支持后一种功能，用户接口 512通过模块506， 在服务提供方应用508的控制之下与WWAN网络适配器502通信。用户接口 512可以包括 键区、显示器、扬声器、麦克风、操纵杆和/或允许移动用户或用户接入WWAN 104或互联网 102(见图1)的用户接口设备的任意其它组合。 如以上所讨论的，服务提供方应用508允许模块506向移动客户端108提供自组 织服务。服务提供方应用508维持与服务器的控制会话，以便与服务器交换定制消息。另 外，服务提供方应用508还维持与每个移动客户端108的单独的控制会话，以便在服务提供 方应用508与该移动客户端108之间交换定制消息。服务提供方应用508向过滤互联与会 话监测模块506提供关于被验证并且被许可的客户端的信息。过滤互联与会话监测模块 506仅允许用于已验证并且被许可的移动客户端108的内容流。过滤互联与会话监测模块 506还可选地监测关于与移动客户端108有关的内容流的信息，例如，从移动客户端往外发 出的和向移动客户端发送的内容的数量，以及关于WWAN和WLAN网络资源利用和无线信道 上的可用带宽的信息。过滤互联与会话监测模块506可以另外并且可选地向服务提供方应 用508提供该信息。服务提供方应用508可以可选地处理该信息并且采取合适的行动，例 如确定是否继续维持与移动客户端108和与服务器的连接，或者是否继续提供服务。应该 注意到，结合模块506和508所述的各个功能可以在任意给定平台中用相互协作来在自组 织服务提供方106处提供这些功能的一组或多组模块中实现。 当自组织服务提供方106决定提供这些服务时，服务提供方应用508向服务器发 送请求以获得批准。服务提供方应用508请求由服务器进行的验证以及来自服务的对于向 一个或多个移动客户端108提供服务的批准。服务器可以验证自组织服务提供方106，并且 然后确定它是否同意自组织服务提供方的请求。如前所述，如果相同地理区域内的自组织 服务提供方的数量过大或者如果WWAN运营商在自组织服务提供方106上施加了某些约束， 那么可以拒绝该请求。
在验证了自组织服务提供方106之后，服务提供方应用508可以通告自组织WLAN 服务组标识符(SSID)。感兴趣的移动客户端108可以将与该SSID相关联以便接入自组织 服务提供方106。服务提供方应用508然后可以用服务器验证移动客户端108，然后配置过 滤互联与会话监测模块506以便将移动客户端108连接到服务器。在移动客户端108的验 证期间，服务提供方应用508可以使用不安全的无线链路。 在验证了移动客户端108之后，服务提供方应用508可以可选地选择将移动客户 端108移动到具有安全链路的新SSID。在该情况中，服务提供方应用508可以根据对于与 移动客户端108的现有会话所需要支持的负载来分配在每个SSID中花费的时间。
在允许移动客户端108接入网络之前，服务提供方应用508还能够确定其是否可 以支持移动客户端108。资源智能可以用于估计电池电量的耗尽以及由于接受移动客户端 108而会造成的其它处理资源的耗尽并且可以有助于确定服务提供方应用508是否应该考 虑支持新的移动客户端108或接受该移动客户端108从另一个自组织服务提供方进行切 换。 服务提供方应用508可以准许移动客户端108并且向它们提供特定的QoS保证， 例如，在会话期间预期的平均带宽。可以监测在一个时间窗上向每个移动客户端108提供 的平均吞吐量。服务提供方应用508可以监测流过它的全部流的吞吐量，以确保移动客户 端108的资源利用低于特定门限，并且确保其满足它在会话的建立期间同意向移动客户端 108提供的QoS要求。 服务提供方应用508还可以通过经由过滤互联与会话监测模块506路由内容而并 不能够破译该内容，来向无线接入点提供特定的安全等级。类似地，服务提供方应用508可 被配置为确保在用户接口 510与WWAN 104之间经由模块506来路由的内容不会被移动客 户端108破译。服务提供方应用508可以使用任意合适的加密技术来实现该功能。
服务提供方应用508还可以维持用于移动客户端108接入网络的一个时间段。该 时间段可以是在会话发起期间在自组织服务提供方508与移动客户端108之间协商一致 的。如果服务提供方应用508确定其在协商一致的时间段内不能向移动客户端108提供对 网络的接入，那么它可以向服务器和移动客户端108通知它的无效性。这可能是由于能量 约束(例如，电池电量不足)或其它未预见的事件而发生。服务器然后可以考虑将客户端 切换到另一个自组织服务提供方，只要在移动客户端108的附近存在这种自组织服务提供 方。服务提供方应用508可以支持移动客户端108的该切换。 服务提供方应用508还可以贡献处理资源来维持与由其它自组织服务提供方所 服务的移动客户端108之间的无线链路或受限的会话。这可以有助于移动客户端108到自 组织服务提供方106的切换。 服务提供方应用508可以通过用户接口 512，整体管理移动客户端108并且具体管 理会话。可替换地，服务提供方应用508可以用专门服务于移动客户端108的处理资源来 支持无缝操作模式。这样，采用对移动用户透明的方式来管理移动客户端108。当移动用户 不想管理移动客户端108但想要继续通过与移动客户端108共享带宽来产生收入时，就希 望采用该无缝操作模式。 现在转到移动客户端，移动客户端108可以使用会话来向服务器110登记。在登记 之后，移动客户端108可以搜索可利用的自组织服务提供方106。当移动客户端108检测到一个或多个自组织服务提供方106的存在时，它可以基于参数，诸如自组织服务提供方106 可以支持的可用带宽、自组织服务提供方106的QoS度量和所通告服务的价格，来发起与自 组织服务提供方106的会话。如前所述，在会话建立期间可以在移动客户端108与自组织 服务提供方106之间建立链路加密密钥。在移动客户端108与服务器110之间可以建立会 话，从而可以对两者之间的所有业务进行加密。传输层端口可以保持开放并且不加密，以为 自组织服务提供方106处的网络地址转换功能提供能见性。 可以用各种方式来执行移动客户端108的切换。在一个配置中，移动客户端108可 以维持与多个自组织服务提供方106的受限的会话，同时使用一个自组织服务提供方106 来接入互联网。如前所述，该方法可以有助于切换过程。在可替换的配置中，移动客户端 108可以仅在有必要的时候考虑切换。在该配置中，移动客户端108可以维持在其附近的各 个自组织服务提供方106的有效列表以便用于切换。当当前自组织服务提供方106需要停 止它的服务时，移动客户端108可以从该有效列表中选择一个自组织服务提供方106来进 行切换。当切换不可行时，移动客户端108可能需要通过不同的自组织服务提供方106来 重新连接，以接入互联网。移动客户端与服务器之间的通道的持久性可以允许移动客户端 从一个服务提供方软切换到另一个服务提供方。 如果移动客户端108的带宽要求大于可用自组织服务提供方106的能力，那么移 动客户端108可以同时接入多个自组织服务提供方106。具有多个收发机的移动客户端108 可以潜在地同时接入多个自组织服务提供方106，对每个自组织服务提供方106使用不同 的收发机。如果可以使用相同的无线接入协议来接入多个自组织服务提供方106，那么可以 使用不同的信道。如果移动客户端108仅具有一个可用的收发机，那么它可以分配其接入 每个自组织服务提供方106所花费的时间。 本领域普通技术人员将认识到，可以将本文所述的各种示例性的方框、模块、元
件、组件、方法和算法实现为电子硬件、计算机软件或两者的组合。为了说明硬件和软件的
可互换性，根据各种示例性的方框、模块、元件、组件、方法和算法的功能来整体描述它们。
至于该功能到底是被实现为硬件还是软件取决于具体应用和施加在总系统上的设计约束。
对于每个具体的应用，本领域普通技术人员可以用变通的方式来实现所述的功能。 应该理解，所公开的过程中步骤的具体次序或层次只是示例性方法的一个例子。
应该理解，根据设计偏好，可重新排列过程中步骤的具体次序或层次。附带的方法权利要
求给出了按照示例性次序的各种步骤的要素，但并不意味着限制于所给出的具体次序或层次。 提供了前述描述，以使得本领域普通技术人员能够实施本文所述的各种方案。对 这些方案的各种修改将对本领域普通技术人员显而易见，并且本文所定义的总原则可以应 用其它方案。因此，权利要求不是意图局限于本文所示的方案，而是与语言权利要求的总范 围一致，其中，所提及的单数的元件不是意图意味着"一个并且仅有一个"而是意味着"一个 或多个"，除非如此具体说明。若非具体说明，否则术语"一些"是指一个或多个。男性代词 (例如他的)包括女性和中性(例如，她的或它的)反之亦然。本领域普通技术人员已知或 以后将要知道的与整个本公开内容所述的各种方案的元素等效的全部构造和功能等效物 被作为参考明确并入本文并且意图被权利要求所涵盖。并且，不管权利要求中是否明确地 叙述了本文的公开内容，本文的公开内容都不意图奉献公众。不能用35U.S.C. §112的第六章的条款来解释权利要求中的元素，除非该元素是用短语"用于……的模块"来明确地叙 述的，或者在方法权利要求的情况下该元素是使用短语"用于……的步骤"来叙述的。
权利要求
一种服务器，包括处理系统，其被配置为在允许移动客户端支持经由自组织服务提供方的加密数据隧道的同时，维持与所述自组织服务提供方和所述移动客户端的加密控制会话。
2. 如权利要求l所述的服务器，其中，所述处理系统还被配置为允许所述移动客户端 支持经由所述自组织服务提供方到所述服务器的所述加密数据隧道。
3. 如权利要求l所述的服务器，其中，所述处理系统还被配置为对于与所述自组织服 务提供方的所述加密控制会话使用第一会话密钥并且对于与所述移动客户端的所述加密 控制会话使用第二会话密钥，其中，所述第一会话密钥与所述第二会话密钥不同。
4. 如权利要求3所述的服务器，其中，所述处理系统还被配置为从所述自组织服务提 供方接收用所述服务器的公共密钥进行加密的所述第一会话密钥，并且从所述移动客户端 接收用所述服务器的所述公共密钥进行加密的所述第二会话密钥。
5. 如权利要求l所述的服务器，其中，所述处理系统还被配置为验证所述自组织服务 提供方以建立与所述自组织服务提供方的所述加密控制会话。
6. 如权利要求l所述的服务器，其中，所述处理系统还被配置为验证所述移动客户端 以建立与所述移动客户端的所述加密控制会话。
7. 如权利要求6所述的服务器，其中，所述处理系统还被配置为经由所述自组织服务 提供方来验证所述移动客户端。
8. 如权利要求7所述的服务器，其中，所述处理系统还被配置为向所述自组织服务提 供方和所述移动客户端通知所述移动客户端已被验证。
9. 如权利要求l所述的服务器，其中，所述处理系统还被配置为辅助建立在所述自组 织服务提供方与所述移动客户端之间的加密控制会话。
10. 如权利要求9所述的服务器，其中，所述处理系统还被配置为通过从所述自组织 服务提供方和所述移动客户端的其中一个接收会话密钥并且将所述会话密钥提供给所述 自组织服务提供方和所述移动客户端中的另一个，来辅助建立在所述自组织服务提供方与 所述移动客户端之间的所述加密控制会话。
11. 如权利要求9所述的服务器，其中，所述处理系统还被配置为通过生成会话密钥 并且向所述自组织服务提供方和所述移动客户端提供所述会话密钥，来辅助建立在所述自 组织服务提供方与所述移动客户端之间的所述加密控制会话。
12. 如权利要求l所述的服务器，其中，所述处理系统还被配置为辅助建立在所述自 组织服务提供方与所述移动客户端之间的加密无线链路。
13. 如权利要求12所述的服务器，其中，所述处理系统还被配置为通过生成无线链路 加密密钥并且向所述自组织服务提供方和所述移动客户端提供所述无线链路加密密钥，来 辅助建立在所述自组织服务提供方与所述移动客户端之间的所述加密无线链路。
14. 如权利要求1所述的服务器，其中，所述处理系统还被配置为支持所述移动客户 端从所述自组织服务提供方到另一个自组织服务提供方的切换。
15. 如权利要求14所述的服务器，其中，所述处理系统还被配置为通过建立与所述另 一个自组织服务提供方的加密控制会话来支持所述切换.
16. 如权利要求14所述的服务器，其中，所述处理系统还被配置为用所述另一个自组 织服务提供方验证所述移动客户端。
17. 如权利要求16所述的服务器，其中，所述处理系统还被配置为向所述移动客户端 通知已经用所述另 一个自组织服务提供方验证了所述移动客户端。
18. 如权利要求14所述的服务器，其中，所述处理系统还被配置为通过辅助建立在所 述另一个自组织服务提供方与所述移动客户端之间的加密控制会话来支持所述切换。
19. 如权利要求18所述的服务器，其中，所述处理系统还被配置为通过生成会话密钥 并且向所述另一个自组织服务提供方和所述移动客户端提供所述会话密钥，来辅助建立在 所述另一个自组织服务提供方与所述移动客户端之间的所述加密控制会话。
20. —种服务器，包括用于允许移动客户端支持经由自组织服务提供方的加密数据隧道的模块；以及 用于在允许所述移动客户端支持经由所述自组织服务提供方的所述加密数据隧道的 同时，维持与所述自组织服务提供方和所述移动客户端的加密控制会话的模块。
21. 如权利要求20所述的服务器，其中，所述用于允许移动客户端支持加密数据隧道 的模块被配置为允许所述移动客户端支持经由所述自组织服务提供方到所述服务器的所 述加密数据隧道。
22. 如权利要求20所述的服务器，其中，所述用于维持与自组织服务提供方和移动客户端的加密控制会话的模块包括用于对于与所述自组织服务提供方的所述加密控制会话 使用第一会话密钥的模块以及用于对于与所述移动客户端的所述加密控制会话使用第二 会话密钥的模块，其中，所述第一会话密钥与所述第二会话密钥不同。
23. 如权利要求22所述的服务器，还包括用于从所述自组织服务提供方接收用所述 服务器的公共密钥进行加密的所述第一会话密钥的模块，以及用于从所述移动客户端接收 用所述服务器的所述公共密钥进行加密的所述第二会话密钥的模块。
24. 如权利要求20所述的服务器，还包括用于验证所述自组织服务提供方以建立与 所述自组织服务提供方的所述加密控制会话的模块。
25. 如权利要求20所述的服务器，还包括用于验证所述移动客户端以建立与所述移 动客户端的所述加密控制会话的模块。
26. 如权利要求25所述的服务器，其中，所述用于验证所述移动客户端的模块被配置为经由所述自组织服务提供方来验证所述移动客户端。
27. 如权利要求26所述的服务器，还包括用于向所述自组织服务提供方和所述移动 客户端通知所述移动客户端已被验证的模块。
28. 如权利要求20所述的服务器，还包括用于辅助建立在所述自组织服务提供方与 所述移动客户端之间的加密控制会话的模块。
29. 如权利要求28所述的服务器，其中，所述用于辅助建立在所述自组织服务提供方 与所述移动客户端之间的加密控制会话的模块包括用于从所述自组织服务提供方和所述 移动客户端的其中一个接收会话密钥的模块以及用于将所述会话密钥提供给所述自组织 服务提供方和所述移动客户端中的另 一个的模块。
30. 如权利要求28所述的服务器，其中，所述用于辅助建立在所述自组织服务提供方与所述移动客户端之间的加密控制会话的模块包括用于生成会话密钥的模块以及用于向所述自组织服务提供方和所述移动客户端提供所述会话密钥的模块。
31. 如权利要求20所述的服务器，还包括用于辅助建立在所述自组织服务提供方与所述移动客户端之间的加密无线链路的模块。
32. 如权利要求31所述的服务器，其中，所述用于辅助建立在所述自组织服务提供方 与所述移动客户端之间的加密无线链路的模块包括用于生成无线链路加密密钥的模块以 及用于向所述自组织服务提供方和所述移动客户端提供所述无线链路加密密钥的模块。
33. 如权利要求20所述的服务器，还包括用于支持所述移动客户端从所述自组织服 务提供方到另一个自组织服务提供方的切换的模块。
34. 如权利要求33所述的服务器，其中，所述用于支持切换的模块被配置为通过建立 与所述另一个自组织服务提供方的加密控制会话来支持所述切换。
35. 如权利要求33所述的服务器，还包括用于用所述另一个自组织服务提供方验证 所述移动客户端的模块。
36. 如权利要求35所述的服务器，还包括用于向所述移动客户端通知已经用所述另 一个自组织服务提供方验证了所述移动客户端的模块。
37. 如权利要求33所述的服务器，其中，所述用于支持切换的模块被配置为通过辅助 建立在所述另一个自组织服务提供方与所述移动客户端之间的加密控制会话来支持所述 切换。
38. 如权利要求37所述的服务器，其中，所述用于支持切换的模块还被配置为通过生 成会话密钥并且向所述另一个自组织服务提供方和所述移动客户端提供所述会话密钥，来 辅助建立在所述另一个自组织服务提供方与所述移动客户端之间的所述加密控制会话。
39. —种用于从服务器向网络提供安全保护的方法，包括 允许移动客户端支持经由自组织服务提供方的加密数据隧道；并且 在允许所述移动客户端支持经由所述自组织服务提供方的所述加密数据隧道的同时，维持与自组织服务提供方和移动客户端的加密控制会话。
40. 如权利要求39所述的方法，其中，允许所述移动客户端支持经由所述自组织服务 提供方到所述服务器的所述加密数据隧道。
41. 如权利要求39所述的方法，其中，通过对于与所述自组织服务提供方的所述加密 控制会话使用第一会话密钥并且对于与所述移动客户端的所述加密控制会话使用第二会 话密钥，来维持与所述自组织服务提供方和所述移动客户端的所述加密控制会话，其中，所 述第一会话密钥与所述第二会话密钥不同。
42. 如权利要求41所述的方法，还包括从所述自组织服务提供方接收用所述服务器 的公共密钥进行加密的所述第一会话密钥，并且从所述移动客户端接收用所述服务器的所 述公共密钥进行加密的所述第二会话密钥。
43. 如权利要求39所述的方法，还包括验证所述自组织服务提供方以建立与所述自 组织服务提供方的所述加密控制会话。
44. 如权利要求39所述的方法，还包括验证所述移动客户端以建立与所述移动客户 端的所述加密控制会话。
45. 如权利要求44所述的方法，其中，经由所述自组织服务提供方来验证所述移动客 户端。
46. 如权利要求45所述的方法，还包括向所述自组织服务提供方和所述移动客户端 通知所述移动客户端已被验证。
47. 如权利要求39所述的方法，还包括辅助建立在所述自组织服务提供方与所述移 动客户端之间的加密控制会话。
48. 如权利要求47所述的方法，其中，通过从所述自组织服务提供方和所述移动客户 端的其中一个接收会话密钥并且将所述会话密钥提供给所述自组织服务提供方和所述移 动客户端中的另一个，来辅助建立在所述自组织服务提供方与所述移动客户端之间的所述 加密控制会话。
49. 如权利要求47所述的方法，其中，通过生成会话密钥并且向所述自组织服务提供 方和所述移动客户端提供所述会话密钥，来辅助建立在所述自组织服务提供方与所述移动 客户端之间的所述加密控制会话。
50. 如权利要求39所述的方法，还包括辅助建立在所述自组织服务提供方与所述移 动客户端之间的加密无线链路。
51. 如权利要求50所述的方法，其中，通过生成无线链路加密密钥并且向所述自组织 服务提供方和所述移动客户端提供所述无线链路加密密钥，来辅助建立在所述自组织服务 提供方与所述移动客户端之间的所述加密无线链路。
52. 如权利要求39所述的方法，还包括支持所述移动客户端从所述自组织服务提供方到另一个自组织服务提供方的切换。
53. 如权利要求52所述的方法，其中，通过建立与所述另一个自组织服务提供方的加 密控制会话来支持所述切换.
54. 如权利要求52所述的方法，还包括用所述另一个自组织服务提供方验证所述移 动客户端。
55. 如权利要求54所述的方法，还包括向所述移动客户端通知已经用所述另一个自 组织服务提供方验证了所述移动客户端。
56. 如权利要求52所述的方法，其中，通过辅助建立在所述另一个自组织服务提供方 与所述移动客户端之间的加密控制会话来支持所述切换。
57. 如权利要求56所述的方法，其中，通过生成会话密钥并且向所述另一个自组织服 务提供方和所述移动客户端提供所述会话密钥，来辅助建立在所述另一个自组织服务提供 方与所述移动客户端之间的所述加密控制会话，从而支持所述切换。
58. —种包括可由服务器中的处理系统执行的指令的机器可读介质，所述指令包括 用于允许移动客户端支持经由自组织服务提供方的加密数据隧道的代码；以及 用于在允许所述移动客户端支持经由所述自组织服务通过方的所述加密数据隧道的同时，维持与自组织服务提供方和移动客户端的加密控制会话的代码。
59. 如权利要求58所述的机器可读介质，其中，所述用于允许所述移动客户端支持加 密数据隧道的代码被配置为允许所述移动客户端支持经由所述自组织服务提供方到所述 服务器的所述加密数据隧道。
60. 如权利要求58所述的机器可读介质，其中，所述用于维持与自组织服务提供方和 移动客户端的加密控制会话的代码包括用于对于与所述自组织服务提供方的所述加密控 制会话使用第一会话密钥的代码，以及用于对于与所述移动客户端的所述加密控制会话使 用第二会话密钥的代码，其中，所述第一会话密钥与所述第二会话密钥不同。
61. 如权利要求60所述的机器可读介质，其中，所述指令还包括用于从所述自组织服务提供方接收用所述服务器的公共密钥进行加密的所述第一会话密钥的代码，以及用于从 所述移动客户端接收用所述服务器的所述公共密钥进行加密的所述第二会话密钥的代码。
62. 如权利要求20所述的机器可读介质，其中，所述指令还包括用于验证所述自组织 服务提供方以建立与所述自组织服务提供方的所述加密控制会话的代码。
63. 如权利要求58所述的机器可读介质，其中，所述指令还包括用于验证所述移动客 户端以建立与所述移动客户端的所述加密控制会话的代码。
64. 如权利要求63所述的机器可读介质，其中，所述用于验证所述移动客户端的代码 被配置为经由所述自组织服务提供方来验证所述移动客户端。
65. 如权利要求64所述的机器可读介质，其中，所述指令还包括用于向所述自组织服 务提供方和所述移动客户端通知所述移动客户端已被验证的代码。
66. 如权利要求58所述的机器可读介质，其中，所述指令还包括用于辅助建立在所述 自组织服务提供方与所述移动客户端之间的加密控制会话的代码。
67. 如权利要求66所述的机器可读介质，其中，所述用于辅助建立在所述自组织服务 提供方与所述移动客户端之间的加密控制会话的代码包括用于从所述自组织服务提供方 和所述移动客户端的其中一个接收会话密钥的代码，以及用于将所述会话密钥提供给所述 自组织服务提供方和所述移动客户端中的另一个的代码。
68. 如权利要求66所述的机器可读介质，其中，所述用于辅助建立在所述自组织服务提供方与所述移动客户端之间的加密控制会话的代码包括用于生成会话密钥的代码，以及用于向所述自组织服务提供方和所述移动客户端提供所述会话密钥的代码。
69. 如权利要求58所述的机器可读介质，其中，所述指令还包括用于辅助建立在所述 自组织服务提供方与所述移动客户端之间的加密无线链路的代码。
70. 如权利要求69所述的机器可读介质，其中，所述用于辅助建立在所述自组织服务提供方与所述移动客户端之间的加密无线链路的代码包括用于生成无线链路加密密钥的代码，以及用于向所述自组织服务提供方和所述移动客户端提供所述无线链路加密密钥的 代码。
71. 如权利要求58所述的机器可读介质，其中，所述指令还包括用于支持所述移动客户端从所述自组织服务提供方到另一个自组织服务提供方的切换的代码。
72. 如权利要求71所述的机器可读介质，其中，所述用于支持切换的代码被配置为通过建立与所述另一个自组织服务提供方的加密控制会话来支持所述切换.
73. 如权利要求71所述的机器可读介质，其中，所述指令还包括用于用所述另一个自组织服务提供方验证所述移动客户端的代码。
74. 如权利要求73所述的机器可读介质，其中，所述指令还包括用于向所述移动客户 端通知已经用所述另一个自组织服务提供方验证了所述移动客户端的代码。
75. 如权利要求71所述的机器可读介质，其中，所述用于支持切换的代码被配置为通 过辅助建立在所述另一个自组织服务提供方与所述移动客户端之间的加密控制会话来支 持所述切换。
76. 如权利要求75所述的机器可读介质，其中，所述用于支持切换的代码还被配置为通 过生成会话密钥并且向所述另一个自组织服务提供方和所述移动客户端提供所述会话密钥， 来辅助建立在所述另一个自组织服务提供方与所述移动客户端之间的所述加密控制会话。
全文摘要
一种服务器为异构自组织移动宽带网络提供安全保护。该服务器被配置为维持与自组织服务提供方和移动客户端的加密控制会话，同时允许该移动客户端支持经由该自组织服务提供方的加密数据隧道。
文档编号H04W12/06GK101779481SQ200880102987
公开日2010年7月14日 申请日期2008年8月15日 优先权日2007年8月17日
发明者D·克里希纳斯瓦米 申请人:高通股份有限公司