专利名称:许可访问网络的制作方法
技术领域:
本发明涉及许可访问网络。本发明尤其涉及通过在通信系统上对访问证书进行共享来许可访问网络。
背景技术:
设备能够经由网络的访问接入点来访问网络以及与网络进行通信。所述网络可以是局域网(LAN),诸如能够连接商行雇员的商行局域网。可替代地,所述网络可以是广域网(WAN),诸如因特网。访问接入点可以是无线访问接入点从而设备能够与访问接入点进行无线通信(例如使用WiFi连接,或者本领域已知的一些其他无线连接)。为了设备与访问接入点进行通信,可以要求设备使用用于经由访问接入点访问网、络的特定的一组访问证书。当设备为特定的访问接入点使用正确的一组访问证书时,该设备被许可经由访问接入点访问网络,并且在经由访问接入点在网络上的通信中将因而使用正确的协议。通过要求设备具有正确的访问证书,其能够保证只有特定的设备(即那些使用正确的访问证书的设备)能够经由访问接入点访问网络。用这种方式限制经由访问接入点访问网络是有用的,例如能够防止不期望的用户经由特定的访问接入点访问特定的网络。无线访问接入点在“空中下载”可以由其两个属性唯一识别(i)用户指定的服务集标识符(SSID),其为由用户设定的无线网络的名称,以及(ii)无线接口媒体访问控制(MAC)地址,其为由访问接入点制造商分配给该访问接入点的唯一的48位值。SSID和MAC地址作为访问接入点的标识符。用于经由访问接入点访问无线网络的访问证书可以包括在与访问接入点进行通信时使用的加密方法(诸如有线等效保密(WEP)、Wi-Fi保护访问(WPA)、或者Wi-Fi保护访问版本2(WPA2))和加密算法(诸如临时密钥完整性协议(TKIP)、或者高阶加密标准(AES))。访问证书还可以包括为了许可设备经由访问接入点访问网络而必须检验的网络密钥(或者“访问密钥”)。网络密钥的长度可以取决于所选择的加密方法。为了设备能够经由访问接入点而访问网络,访问证书必须对该设备为可用的。经由访问接入点访问网络所要求的访问证书可以对所使用的特定访问接入点是特定的。访问证书用于限制经由特定的访问接入点连接到网络的设备的数量。然而,为了许可一些设备经由特定的访问接入点连接到网络,那些设备应具有用于经由特定的访问接入点访问网络所要求的访问证书。
发明内容
在通信系统的第一节点处可能已知了用于经由访问接入点访问网络的访问证书。访问证书能够以安全的方式在通信系统中提供给第二节点,以使得仅当第二节点在与访问接入点通信的范围内时,访问证书能够被使用。为了实现这个,访问证书能够被加密然后在通信系统上被提供给第二节点。有利地,访问证书是使用访问接入点的至少一个标识符加密的,以使得需要访问接入点的至少一个标识符对加密的访问证书进行解密。对于对加密的访问证书进行解密的第二节点,第二节点通过与所述访问接入点通信来判定所述访问接入点的至少一个标识符,并且然后使用判定出的至少一个标识符对加密的访问证书进行解密。因此提供了一种在第二节点能够与访问接入点通信之前,隐藏访问证书的方法。根据本发明的第一方案,提供了一种许可经由访问接入点访问网络的方法,所述方法包括在通信系统的第一节点处,判定所述访问接入点的至少一个标识符;使用预定的加密函数和判定出的所述访问接入点的至少一个标识符以这样的方式对所述访问证书进行加密需要所述访问接入点的至少一个标识符以对加密的访问证书进行解密,所述访问证书用于经由所述访问接入点访问网络;在所述通信系统上将加密的所述访问证书提供给所述通信系统的第二节点;所述第二节点通过与所述访问接入点通信来判定所述访问接入点的至少一个标识符;所述第二节点使用判定出的所述访问接入点的至少一个标识符以使用与所述预定的加密函数相对应的预定的解密函数对加密的访问证书进行解密;以及所述第二节点使用解密的访问证书经由所述访问接入点访问网络。
在优选实施例中,使用预定的加密函数和判定出的所述访问接入点的至少一个标识符对所述访问证书进行加密的所述步骤包括使用预定的推导函数取得来自所述访问接入点的至少一个标识符的加密密钥;以及使用所述预定的加密函数中的加密密钥对所述访问证书进行加密,并且所述第二节点使用判定出的所述访问接入点的至少一个标识符对所述加密的访问证书进行解密的所述步骤包括使用预定的推导函数取得来自判定出的所述访问接入点的至少一个标识符的解密密钥;以及使用所述预定的解密函数中的解密密钥对所述加密的访问证书进行解密。优选地,第一推导函数和第二推导函数是不可逆函数。在优选实施例中,使用预定的加密函数和判定出的所述访问接入点的至少一个标识符对所述访问证书进行加密的所述步骤包括对校验数据以及所述访问证书一起加密,所述校验数据用于证实使用所述预定的解密函数对所述加密的访问证书进行解密的结果。优选地,所述方法进一步包括使用预定的推导函数取得来自判定出的所述访问接入点的至少一个标识符的所述校验数据,所述推导函数优选地是不可逆的。 所述访问接入点的至少一个标识符可以包括所述访问接入点的用户指定的服务集标识符和媒体访问控制地址。所述访问证书可以包括待用于经由所述访问接入点访问网络的Q)加密方法;(ii)加密算法;以及(iii)网络密钥中的至少一个。根据本发明的第二方案,提供了一种用于许可经由访问接入点访问网络的通信系统,所述通信系统包括第一节点,所述第一节点包括(i)用于判定所述访问接入点的至少一个标识符的判定器件;以及用于使用预定的加密函数和判定出的所述访问接入点的至少一个标识符以这样的方式对所述访问证书进行加密需要所述访问接入点的至少一个标识符以对加密的访问证书进行解密的加密器件,所述访问证书用于经由所述访问接入点访问网络;(ii)第二节点,所述第二节点包括用于通过与所述访问接入点通信判定所述访问接入点的至少一个标识符的判定器件;用于使用判定出的所述访问接入点的至少一个标识符以及与所述预定的加密函数相对应的预定的解密函数对加密的访问证书进行解密的解密器件;以及用于使用解密的访问证书经由所述访问接入点访问网络的访问器件;以及a i υ用于将所述加密的访问证书提供给所述第二节点的器件。根据本发明的第三方案,提供了一种将访问证书从通信系统的第一节点提供给第二节点的方法,所述访问证书用于经由访问接入点访问网络,所述方法包括在所述第一节点处,判定所述访问接入点的至少一个标识符;使用预定的加密函数和判定出的所述访问接入点的至少一个标识符以这样的方式对所述第一节点处的访问证书进行加密需要所述访问接入点的至少一个标识符以对加密的访问证书进行解密;以及在所述通信系统上将加密的所述访问证书从所述第一节点提供给所述第二节点,所述第二节点通过与所述访问接入点通信来判定所述访问接入点的至少一个标识符,从而如果所述第二节点能够判定所述访问接入点的至少一个标识符,则允许所述第二节点访问网络以及使用所述访问接入点的至少一个标识符对加密的访问证书进行解密。根据本发明的第四方案,提供了一种用于将访问证书提供给通信系统的接收器节点的通信系统的提供器节点,所述访问证书用于经由访问接入点访问网络,所述提供器节点包括用于判定所述访问接入点的至少一个标识符的判定器件;用于使用预定的加密函数和判定出的所述访问接入点的至少一个标识符以这样的方式对所述访问证书进行加密需要所述访问接入点的至少一个标识符以对加密的访问证书进行解密的加密器件;以及用于在所述通信系统上将加密的所述访问证书从所述提供器节点提供给所述接收器节点的提供器件,从而如果所述接收器节点能够判定所述访问接入点的至少一个标识符,则允许 所述接收器节点访问网络以及使用所述访问接入点的至少一个标识符对加密的访问证书进行解密。根据本发明的第五方案,提供了一种经由访问接入点访问网络的方法,所述方法包括在通信系统的第二节点处接收来自通信系统的第一节点的加密的访问证书,所述访问证书用于经由访问接入点访问网络,其中,所述加密的访问证书是使用预定的加密函数和判定出的所述访问接入点的至少一个标识符以这样的方式加密的需要所述访问接入点的至少一个标识符以对加密的访问证书进行解密;所述第二节点通过与所述访问接入点通信来判定所述访问接入点的至少一个标识符;所述第二节点使用判定出的所述访问接入点的至少一个标识符以使用与所述预定的加密函数相对应的预定的解密函数对加密的访问证书进行解密;以及所述第二节点使用解密的访问证书经由所述访问接入点访问网络。根据本发明的第六方案,提供了一种计算机程序产品,其包括用于由通信系统的第一节点处的计算机处理器件执行的计算机可读指令,用于将访问证书从所述通信系统的所述第一节点提供给第二节点,所述访问证书用于经由访问接入点访问网络,所述指令包括用于实施根据本发明的第三或者第五方案的方法的指令。根据本发明的第七方案,提供了一种用于经由访问接入点访问网络的通信系统的接收器节点,所述接收器节点包括用于接收来自所述通信系统的提供器节点的加密的访问证书的接收器件,所述访问证书用于经由访问接入点访问网络,其中,所述加密的访问证书是使用预定的加密函数和所述访问接入点的至少一个标识符以这样的方式加密的需要所述访问接入点的至少一个标识符以对加密的访问证书进行解密;用于通过与所述访问接入点通信来判定所述访问接入点的至少一个标识符的判定器件;用于使用判定出的所述访问接入点的至少一个标识符以及与所述预定的加密函数相对应的预定的解密函数对加密的访问证书进行解密的解密器件;以及用于使用解密的访问证书经由所述访问接入点访问网络的访问器件。因此,第二节点能够通过使用访问接入点的至少一个标识符仅判定访问证书(通过解密访问证书),并且第二节点仅当第二节点在与访问接入点通信的范围内时接收访问接入点的至少一个标识符。这限制了访问证书在整个通信系统中的重新分配。因此,提供了访问证书分配的更好的安全性。
为了更好地理解本发明并且示出其可以如何被实施,现在将通过示例的方式参照附图进行说明,其中图I示出根据优选实施例的通信系统和网络;图2是根据优选实施例的用户终端的示意图; 图3是许可访问网络的第一过程的流程图;图4是根据优选实施例的客户程序的用户接口的图示;以及图5是许可访问网络的第二过程的流程图。
具体实施例方式现在将仅以示例的方式描述本发明的优选实施例。图I示出了通信系统,其包括具有相关联的第一用户终端104的第一用户(“用户A”)102,以及具有相关联的第二用户终端112的第二用户(“用户B”)110。用户终端104和112能够在通信系统中通过网络106进行通信,因此允许用户102和110通过网络106彼此进行通信。在通信系统的优选实施例中是基于分组的P2P通信系统,但是也可以使用其他类型的通信系统,诸如非P2P、VoIP或者IM系统。网络106例如可以是因特网。用户终端104例如可以是移动电话、个人数字助理(“PDA”)、个人电脑(“PC”)(包括,例如ffindowsT\Mac OS 和Linux PC)、游戏设备或者其他能够连接到网络106的嵌入式设备。用户终端104被安排为从用户终端104的用户102处接收信息以及输出信息到用户终端104的用户102。本发明的优选实施例中,用户终端104包括诸如屏幕的显示装置,以及诸如键盘、鼠标、触摸屏、小键盘和/或控制杆的输入设备。用户终端104连接到网络106上。注意在可替代的实施例中,用户终端104能够经由图I中未示出的附加的中间网络连接到网络106上。例如,如果用户终端104是移动设备,则其能够经由蜂窝移动网络120 (例如GSM或者UMTS网络)连接到网络106上。用户终端104执行由与通信系统相关联的软件供应商所提供的通信客户程序108。通信客户程序108是在用户终端104中的局部处理器上执行的软件程序。为了用户终端104在通信系统中传输和接收数据,客户程序108在用户终端104处实施所要求的处理。如本领域中所已知的,客户程序108可以经认证以通过出示数字证书而在通信系统中进行通信(例如,证明用户A102是通信系统的真正签约用户——专利W02005/009019中有更加详细地描述)。用户终端112对应于用户终端104。用户终端112在局部处理器上执行对应于通信客户程序108的通信客户程序114。以与客户程序108实施为允许用户102在网络106上通信所要求的处理相同的方式,客户程序114实施为允许用户110在网络106上通信所要求的处理。为清晰起见,图I仅示出两个用户(102和110),但是如本领域所已知的,可以将更多的用户连接到通信系统上,并且可以通过使用在相应的用户终端上执行的相应通信客户程序来在通信系统中通信。通信系统包括在网络106上的服务器116,其中在服务器116上实现数据库118。图2图示出在其上执行客户程序108的用户终端104的详细视图。用户终端104包括中央处理单元(“CPU”)202,该CPU 202上连接有诸如屏幕的显示装置204、诸如键盘(或者小键盘)206的输入设备,以及诸如鼠标208的定点设备。显示装置204可以包括用于向CPU 202输入数据的触摸屏。输出音频设备210 (例如扬声器)和输入音频设备212 (例如麦克风)连接到CPU 202上。将显示装置204、键盘206、鼠标208、输出音频设备210和输入音频设备212集成到用户终端104中。在可替代的用户终端中,可以不将显示装置204、键盘206、鼠标208、输出音频设备210和输入音频设备212中的一个或者多个集成到用户终端104中,而是可以将其经由相应的接口连接到CPU 202上。这种接口的一个例子是USB接口。CPU 202连接到用于与网络106进行通信的诸如调制解调器的网络接口 224。可以如图2所示,将网络接口 224集成到用户终端104中。在可替代的用户终端中,不将网络接口 224集成到用户终端104中。用户终端104还包括如本领域所已知的用于存储数据的存储器226。图2还图示出在CPU 202上执行的操作系统(“OS”) 214。在OS 214的上部运行的是用于客户程序108的软件堆栈216。软件堆栈示出客户程序协议层21 8、客户程序引擎层220以及客户程序用户接口(“Π”)层222。各层负责特定的功能。因为各层通常与两个其他层通信,所以这些层被视为如图2所示布置在堆栈中。操作系统214管理计算机的硬件资源,并且处理经由网络接口 224而被传输至网络以及从网络传输来的数据。客户程序软件的客户程序协议层218与操作系统214通信,并且管理在通信系统上的连接。将要求更高级别处理的处理传递到客户程序引擎层220。客户程序引擎层220还与客户程序用户接口层222通信。客户程序引擎层220可以被安排为控制客户程序用户接口层222来经由客户程序的用户接口向用户102呈现信息并且经由用户接口从用户102接收信息。用户终端112以与如上所述的用户终端104相同的方式实现,其中用户终端112可以具有那些此处所描述的与用户终端104相关的对应元件。图I还示出具有访问接入点122的网络120。访问接入点122向网络120外部的设备提供对网络120的访问。网络120可以包括其他访问接入点(图I中未示出)。网络120是无线网络,但是在其他实施例中网络120可以不是无线网络。如图I中的虚线所示,用户终端104和112能够通过与访问接入点122进行无线通信来访问网络120。在访问接入点122与用户终端104和112之间的无线通信可以使用WiFi连接或者如本领域所已知的其他类型的无线连接,诸如蓝牙连接或者红外线连接。用户终端104能够使用网络接口224或者也能够使用用户终端104的其它网络接口(图2中未示出)连接到网络120上。网络120可以是局域网(LAN),诸如商行的企业内部互联网。可替代地,网络120可以是广域网(WAN),诸如因特网。应了解的是,网络120可以与如图I所示的网络106不同。可替代地,网络120可以与通信系统的网络106相同,例如网络106和网络120两者均为因特网。例如,访问接入点能够被设置为用于因特网连接的桥接器,并且在这种情况下网络120将是网络106。然而,在其他实施例中,访问接入点用作为客户程序建立LAN 120的路由器,并且路由器在LAN 120和因特网106之间进行分配路由。如果网络106和网络120是相同的,则在用户终端104和112与网络106之间所使用的连接类型可以与用户终端、104和112与网络120之间所使用的连接类型不同(尽管不一定是这种情况)。例如,在网络106和网络120两者均为因特网的情况下,用户终端104和112可以使用第一类型连接(例如经由移动电话网络,诸如经由3G连接)来连接到网络106,而用户终端104和112可以使用第二类型连接(例如经由WiFi连接)来连接到网络120的访问接入点122。第二类型连接(例如WiFi连接)可以比第一类型连接(例如经由移动电话网络)支持更快的数据传输和/或可以更便宜的使用,因此即使用户终端104和112已经连接到网络106,其也可能更愿意经由访问接入点122访问网络120。用户102可以与通信系统中的第一用户的朋友或者“联系人”的其他用户关联。在此处所描述的优选实施例中,用户A 102和用户B 110在通信系统中是彼此的联系人。可以在通信系统中存储关于通信系统中的各个用户的一些信息,诸如他们的名字和在通信系统中的用户名,以及其他更多的个人信息,诸如用户的业余爱好、他们的联系人详情、用户的照片等。这些信息可以作为通信系统中用户的个人资料来存储。各个用户的个人资料被存储在用户相应的用户终端处。此外,用户A 102和用户B 110两者的个人资料均可以被存储在通信系统的服务器116上的数据库118中。使用中央服务器116上的数据库118 大大地简化了企业级的共享,因为其允许备份待由企业共享的证书所集中更新的用户的信息。系统必须仅允许访问属于企业的用户的数据。在Skype通信系统的情况下,Skype管理者提供这样的系统。而使用服务器116中的数据库118来存储用户的专用个人资料可能是很有用的,在真正的对等(P2P)网络中,不要求中央数据库118用于根据此处所描述的系统进行证书共享。如上所述,用户A 102的个人资料可以分为两个部分来在通信系统中被不同地利用。用户A的个人资料的第一部分是公开的,这意味着在个人资料的第一部分中的信息对通信系统中的所有用户而言是可查看的。例如,个人资料的第一部分可以包括用户102的名字(“用户A”)以及在通信系统中的用户名(其可以在通信系统中是唯一的,由此能唯一地标识用户102)。因为为了在通信系统中唯一地标识用户102,要求用户名是唯一的,而在通信系统中可能有多于一个用户具有相同的名字(“用户A”),所以用户的用户名可以与用户的名字(“用户A”)不相同。用户A也能够与自己共享证书,例如当在第一设备上运行客户程序来输入网络证书时,用户A能够允许从用户A登录的其他设备处对证书进行访问。这假设专用个人资料的特征在实例之间是同步的,例如使用中央服务器。在用户A的个人资料的公开部分的公开信息将允许通信系统中的另一个用户(其还不是用户A的联系人)来在通信系统中搜索用户A。用户A的个人资料的第二部分是专用的,这意味着在个人资料的第二部分中的信息仅对用户102的经授权的联系人是可用的。例如,在个人资料的第二部分中的信息可能是用户想要与其联系人共享但不想与通信系统中的其他用户共享的信息。例如,个人资料的第二部分可以包括用户的联系人的详情、用户的业余爱好和用户的照片。可以由在用户终端112上执行的通信客户程序114取得个人资料中的信息。与有限数量的其他用户(例如仅与联系人)共享专用的个人资料详情的系统建立了允许发生受控制的信息共享的框架。能够用这种方式共享的一条信息是获得对网络的访问所需要的信息,诸如访问证书。例如,用户102能够将用于经由访问接入点122访问网络120的访问证书存储在数据库118中。用这种方式,第一用户102能够在通信系统中提供其个人资料的专用部分的访问证书。用户102的个人资料中的信息(包括访问证书)被存储在用户终端104的数据库中(例如在存储器226中),并且还可以被存储在服务器116的数据库118(或者“存储装置”)中。第二用户110的客户程序114能够从存储器226或者数据库118对访问证书进行访问。因为第二用户110是第一用户102的联系人,所以客户程序114被授权从在存储装置中的用户102的个人资料的专用部分对访问证书进行访问。可以仅在两个用户均在线时对证书进行访问,因此证书应是预先取出的并且本地存储在第二用户终端上来为以后的使用可用。如上所述,无线访问接入点122在“空中下载”可以由其两个属性唯一识别(i)用户指定的服务集标识符(SSID),其为网络的拥有者所设定的无线网络的名称,以及(ii)无线接口媒体访问控制(MAC)地址,其为由访问接入点122的制造商分配给访问接入点122的唯一的48位值。SSID和MAC地址作为访问接入点122的标识符。用于经由访问接入点访问无线网络的访问证书可以包括在与访问接入点122进行通信时使用的加密方法(诸如WEP、WPA或者WPA2)以及加密算法(诸如TKIP或者AES)。访问证书还可以包括为了许可用户终端经由访问接入点122访问网络120所必须检验的网、络密钥(或者“访问密钥”)。网络密钥的长度可以取决于所选择的加密方法。为了用户终端能够获取经由访问接入点122访问网络120,访问证书必须对该用户终端为可用的。经由访问接入点122访问网络120所要求的访问证书可以对所使用的特定访问接入点122是特定的。访问证书在通信系统中的客户程序之间共享,以便用户B能够经由访问接入点122访问网络120,但是用户B不知道访问证书。因此,用户B不能向通信系统中的其他用户提供访问证书。这如下面所描述的,通过客户程序108和114的操作来实现。参照图3,现在描述一种根据优选实施例来许可访问网络120的方法。用户A 102具有经由访问接入点122访问网络120所要求的访问证书。这可能是因为用户A 102是访问接入点122的拥有者或者是因为用户A 102受网络120的操作者所信任。用户A 102想要与用户B 110以安全的方式共享访问证书。在步骤S302中,第一用户102的客户程序108扫描在用户终端104的范围内的无线访问网络接入点。如果用户终端104当前能够与访问接入点进行通信,则该接入点是在用户终端104的“范围内”。在步骤S302中,客户程序108判定访问接入点122在用户终端104的范围内。客户程序108向用户102提供在步骤S302的扫描中其所发现的访问接入点的SSID和MAC地址。所述SSID识别网络120,同时所述MAC地址识别访问接入点122。在步骤S304中,用户102在用户终端104上的客户程序108的用户接口处输入关于无线网络120的数据。由用户102在步骤S304中输入的数据至少包括经由访问接入点122访问网络120所要求的一些访问证书。例如,用户104可以输入经由访问接入点122访问网络120所要求的网络密钥、加密方法和加密算法中的至少一个。跟随步骤S304,客户程序108具有经由访问接入点122访问网络120所要求的所有数据,包括相关的SSID、MAC地址和访问证书(加密方法、加密算法和网络密钥)。尽管在优选的实施例中,客户程序108通过判定SSID和MAC地址来扫描范围内的无线网络以协助用户102,但是在可替代的实施例中,用户102可以向客户程序108输入经由访问接入点122访问网络120所要求的所有数据,包括SSID和MAC地址,其可以由客户程序108在步骤S302中已经判定或者也可以不由客户程序108在步骤S302中判定。
访问证书具有与其关联的有效期。从这个意义上说,访问证书经过预定的时间周期后期满,从而在预定的时间周期后,访问证书不再用于提供对网络的访问。对于顾客用户而言,具有有效期不是必须的,而是可以默认为“永远”(其等于不具有有效期)。对于商行用户,具有有限的有效期,这使得对网络的访问被限制于那些在有效期内取得访问证书的用户。当一组访问证书的有效期期满时,可以使用新的一组具有后续有效期的访问证书。旧组和新组的访问证书的有效期可以是连续的,或者在所述有效期之间可以有时间间隔。另一个选择是旧组和新组的访问证书的有效期重叠。这将导致在给定的时间点当分配了新的访问密钥(即新的访问证书)而旧的访问密钥(即旧的访问证书)仍生效时,存在多组访问证书对访问接入点有效。在步骤S306中,访问接入点122的访问证书、SSID和MAC地址被存储在用户终端104处和/或在通信系统的服务器116的数据库118中。访问接入点122的访问证书、SSID和MAC地址被存储在通信系统中的用户102的个人资料的专用部分。用这种方式,只有在通信系统中作为用户102的联系人的那些用户的通信客户程序能够访问由用户102存储在用户终端104和/或数据库118中的访问证书、SSID和MAC地址。从通常意义上说,通信 系统的任何用户的客户程序都能够将关于无线网络的数据存储进用户的专用个人资料中。在步骤S308中,用户102指明通信系统的哪些用户被许可从其个人资料的专用部分访问所存储的访问证书。用这种方式,用户102识别其通信客户程序能够访问用户102的个人资料的专用部分中所存储的访问证书的用户。第一用户102可以指明所有其联系人的客户程序都能够从其个人资料的专用部分对访问证书进行访问。可替代地,用户102可以识别其联系人的子集,其中所述子集中的客户能够从用户102的个人资料的专用部分对访问证书进行访问。例如,如图4所示的客户程序108的用户接口 402可以在用户终端104的显示装置204上向用户102显示。用户接口 402允许用户102识别经授权的用户的列表。如图4所示,用户接口 402包括联系人404的列表和经授权的用户406的列表。用户102能够从经授权的用户406的列表中添加/删除联系人,例如,通过适当地激活如图4中所示的标签为“添加”、“删除”、“添加所有”以及“删除所有”的按钮。列表406中的经授权用户代表用户102的联系人的子集,其中其客户程序经授权对存储在通信系统中的用户102的个人资料的专用部分的访问证书进行访问。可以在通信系统中分配不同的“联系人组”,其为可以用共同的方式处理的联系人的不同子集。联系人组可以被分配为包括经授权的用户。这可以便于用户102设置和管理经授权的用户的列表。例如,商行的所有雇员可以包含于联系人组中,并且因此被分配为经授权访问用于访问与商行关联的网络的访问证书的用户。用户接口 402是用于允许用户102识别经授权的用户的列表的适合的用户接口的一个例子,但是可以使用对技术人员而言显而易见的合适的其他用户接口。在步骤S308之后,“授权用户”列表上的用户的客户程序能够访问存储在服务器116的数据库118上的用户102的个人资料的专用部分中的访问证书。在步骤S310中,当客户程序114具有网络连接性并且在线时,客户程序114访问通信系统并且取得其能够取得到的任何访问证书(例如,来自数据库11 8或者如果用户终端104也在线则来自用户终端104)。例如,客户程序取得存储在存储于通信系统中(例如数据库118上)的任意用户110的联系人的个人资料上的访问证书。更通常地,客户程序114能够取得其在通信系统中被许可访问的任何访问证书。因此,作为步骤S312的一部分,客户程序114取得在步骤S306期间存储在用户102的个人资料上的访问证书。因为在步骤S308中,用户102已经指明用户110的客户程序114被许可访问来自用户102的个人资料的访问证书,所以客户程序114能够取得那些访问证书。应当注意的是,客户程序114可以访问用户110的个人资料以及通信系统中的其他用户的个人资料以取得存储的访问证书。在步骤S312中,将在步骤S310中取得到的访问证书本地存储在用户终端112处。即使用户终端112不再连接至网络106,这也允许用户终端112处的客户程序114在随后的时间点上访问访问证书。在步骤S314中,在随后的某个时间,第二用户110的客户程序114校验用户终端112的范围内的可用的访问接入点。客户程序114可以响应于用户110经由客户程序114的用户接口指明用户110想要访问网络120而实施步骤S310的校验。可选地,当客户程序114被初始化时(例如起动或者从睡眠中唤醒),客户程序114将进行范围内的无线网络的扫描(即实施步骤S314的校验)。如果在步骤S314期间客户程序114发现在用户终端 112的范围内存在访问接入点,那么客户程序判定被发现的访问接入点的SSID和MAC地址。例如,可以将访问接入点122的SSID和MAC地址从访问接入点122无线地传输至用户终端112。然后客户程序114能够判定在步骤S312中本地存储在用户终端112处的任何访问证书是否能够用于经由在步骤S314中发现的任何访问接入点访问网络120。为了做到这点,客户程序114能够使用在步骤S314中发现的访问接入点的SSID和MAC地址,并且看这些标识符的任意一个是否与访问接入点的SSID和MAC地址相匹配,为此访问证书在步骤S312中已经被本地存储。如果发现匹配,那么客户程序114可以能够经由具有匹配标识符的访问接入点访问网络120。当发现匹配时,在步骤S316中,客户程序114能够使用取得到的访问证书经由访问接入点访问网络。如果对于特定的访问接入点发现了匹配,那么客户程序114可以经由匹配的访问接入点自动地连接至网络120 (例如,如果访问证书是从用户110自己的个人资料B中取得到的,那么客户程序114可以经由匹配的访问接入点自动地连接至网络)。这样,用户110不需要知道客户程序114所经受的处理,以便经由匹配的访问接入点连接至网络120。可选地,当发现匹配时,那么客户程序可以在经由匹配的访问接入点访问网络120之前要求来自用户110的指令(例如,如果匹配的访问证书不是从通信系统中用户110的个人资料中取得到的,那么客户程序114提示用户110判定用户110是否想要连接至匹配网络)。如果用户110指明他希望连接至匹配网络,那么客户程序114使用取得到的访问证书连接至匹配网络。作为示例,在步骤S314中,客户程序114判定访问接入点122在范围内,并且接收来自访问接入点122的访问接入点122的SSID和MAC地址。客户程序114取得在步骤S312中已经预先本地存储在用户终端112处的访问证书和相应的SSID和MAC地址。客户程序判定取得到的访问证书的SSID和MAC地址与在步骤S314中发现的访问接入点122的SSID和MAC地址相匹配。然后客户程序114将使用客户程序114的用户接口询问用户110是否想要使用从用户102的个人资料中取得到的访问证书而连接至网络120。如果用户110指明其想要使用从用户102的个人资料取得到的访问证书连接至网络120(例如,通过单击显示在用户终端112上的客户程序114的用户接口上的“是”按钮),那么客户程序114使用在步骤S306中存储的访问证书经由访问接入点122连接至网络120。这样,访问证书能够以受控的方式由用户102在通信系统上共享给通信系统的特定用户(例如,给用户102的联系人或者给用户102的联系人的子集),从而控制能够经由访问接入点122访问网络120的用户。这样,上文描述的方法允许使用通信系统中的用户102的专用个人资料将访问证书共享给通信系统中有限数量的其他用户。此外,共享的访问证书不会以用户110能够理解的方式显示给他(例如,访问证书不以明文形式示给用户110)。实现该点的一个方法是不将访问证书显示给用户110。实现该点的另一个方法是对访问证书进行加密,从而即使将访问证书显示给用户110,用户110也不能理解他们。这是为了使得用户Blio更难将用户102(用户A)共享的访问证书重新分配给用户102(用户A)不想与其共享访问证书的用户。也即是说,通过防止访问证书以意图让用户110理解的形式传达给用户110,用户110不能将访问证书传递给通信系统中的
用户102可能不希望为其提供访问证书的其他用户。这改善了用于共享访问证书的系统的安全性。如上文所述,访问证书和用户102的个人资料的其他专用的个人资料字段一起存储在用户终端104处(并且也可以存储在服务器116上的中央数据库118中以被用作备份和同步存储)。这允许用户102访问来自连接至通信系统的不同设备的存储的访问证书。这样,存储的访问证书在特定用户的示例(例如用户A 102)和不同的设备上同步。这允许用户A的所有设备通过管理在任何那些设备上的访问证书列表来访问他知道的所有无线网络。对于商行用户,能够在通信系统的服务器侧上设置结构件以管理访问接入点和相应的访问证书的涵盖公司的列表。这可以允许用于多个访问接入点的访问证书在一步中改变。商行(或者“企业”)可以使用‘企业网络’账户管理其所有用户的联系人列表,或者将共享的访问证书添加至以任何方式存储在所有联系人列表中的账户,例如IT支持台(support desk)。这样,能够将访问证书提供给与商行相关联的通信系统的所有用户,例如以允许用户访问与商行相关联的网络,例如商行的LAN。使用系统的任何用户均能够创建‘IT支持’账户,以及在这个账户上共享网络证书。然而,需要有特殊的系统可用于允许用户以受控的方式管理其他用户的联系人列表,以使得仅对被授权进行这种动作的用户起作用。例如,Skype通信系统具有能够这样使用的Skype管理器。总结以上,当用户A输入用于访问网络的访问证书时,这些访问证书本地存储在设备104上(虽然可以进行拷贝并且存储在服务器116上用于备份)。在一些实施例中,仅有存储的访问证书的子集可以与通信系统的其他用户共享,并且其他用户中的每个可以看到访问证书的不同的子集(如果客户程序108的UI允许这个更加复杂的管理结构)。一旦用户A指明哪些用户被允许接收存储的访问证书,指明的用户的其他客户程序将能够取得访问证书(其中为了这个的发生,其他客户程序必须在线)。然后其他用户的客户程序能够使用他们接收到的访问证书在接下来的某个时间点访问共享的网络。为了访问网络,因为当用户终端没有访问证书可用时,用于访问服务器116的网络将不能被访问,因此访问证书存储在(其他用户的)其他用户终端上。参照图3在上文中描述的在用户102和用户110之间(或者相同用户,例如用户102的不同设备之间)共享访问证书的方法没有指定可以被共享的证书的格式。该方法使用客户程序共享访问证书,而从不会以用户110能够理解的形式向他提供访问证书。这为用户102提供了安全性他在通信系统上共享的访问证书将不会被重新分配给除了被用户102识别为许可使用该访问证书的用户以外的用户。然而,在其他实施例中,访问证书可以这样的方式在通信系统上共享仅当访问证书为其提供访问的特定无线网络在用户终端的范围内时,访问证书可以是有用的,其中该用户终端执行接收访问证书的客户程序。通过对存储在通信系统中(例如数据库118上)的访问证书进行加密,提供了与访问证书相关的附加级别的安全性。这允许访问证书对于不能对加密的访问证书进行解密的第三方保密。然而,为了能够实现对网络120的访问,访问证书必须能够以未加密的形式可用。任何合理有用的加密算法都可以用于对访问证书进行加密,但是需要技巧的部分是使用什么样的加密密钥,以及如何使得加密密钥对于需要使用该访问证书访问网络120的用户(而不是不被许可取得访问证书的那些用户)可用。发明人已经意识到能够通过使用访问接入点122的属性(例如访问接入点的SSID和MAC地址)以获得用于对经由访问接入点122访问网络120的访问证书进行加密的加密密钥,实现在访问证书被实际使用之前隐藏访问证书的目的。也即是说,与访问接入点122 相关联的访问证书是以这样的方式加密的需要获知访问接入点122的一些属性以对访问证书进行解密。这样,仅能够判定访问接入点122的所需属性的那些客户程序(或者用户)能够对加密的访问证书进行解密。优选地,访问接入点的特性是通过其与访问接入点122本身通信所判定的特性。例如,该属性可以是访问接入点122的标识符,或者一些标识符,例如访问接入点122的SSID和MAC地址。客户程序能够通过与访问接入点122本身进行通信而判定访问接入点122的SSID和MAC地址,以使得如果客户程序在访问接入点122的范围内,那么客户程序将获知访问证书所应用的访问接入点122的SSID和MAC地址。参照图5,现在描述一种用于对经由访问接入点122访问网络120的访问证书进行加密的方法,以使得仅在访问接入点122的范围内的那些客户程序能够对加密的访问证书进行解密。客户程序108可以访问用于经由访问接入点122访问网络120所需的访问证书。这可能是因为用户102已经将访问证书输入到用户终端104中(诸如经由客户程序108的用户接口)以供客户程序108使用。可选地,客户程序108可以取得来自用户终端104上(或者通信系统上)的存储器的访问证书。在步骤S502中,第一客户程序108判定访问接入点122的SSID和MAC地址。为了判定访问接入点122的SSID和MAC地址,客户程序108可以接收来自无线连接的访问接入点122的SSID和MAC地址。可选地,访问接入点122的SSID和MAC地址可以存储在用户终端104处或者通信系统上的存储器中,以使得客户程序108能够取得来自适当存储器的访问接入点122的SSID和MAC地址。可选地,用户102可以将SSID和MAC地址输入到用户终端104上的客户程序108的用户接口中。应当理解的是,客户程序108可以多种不同方式中的一种方式判定访问接入点122的SSID和MAC地址,以使得在步骤S502之后,客户程序可以访问访问接入点122的SSID和MAC地址。在步骤S504中,从访问接入点122的SSID和MAC地址获得了加密密钥。例如,可以使用采用访问接入点122的SSID和MAC地址作为输入参数的单向散列函数生成加密密钥。例如,可以如现有技术中已知地将访问接入点122的SSID和MAC地址输入MD5摘要函数中,以使得ENCRYPT 10Ν_ΚΕΥ = MD5 (SSID II MAC)。由于散列函数是不可逆的,所以不知道访问接入点122的SSID和MAC地址就不能对访问证书进行解密(假设散列函数的大小足够大从而使得不能对整个密钥空间进行强力扫描)。如下文将更加详细描述的,加密密钥能够随后用于在分配之前对网络访问证书进行加密。当加密的访问证书随后被解密时,有用的是具有用于判定解密操作是否成功的一些简单的结构。因此,为了判定解密操作是否成功,解密的数据应当包括可以允许解密结果简单证实的部分。实现这个的一个可能的方法是在能够用于证实解密结果的明文数据(具有访问证书)中包括数据的常数或者校验和。也即是说,在对访问证书进行加密之前,在访问证书中可以包括某种校验数据,以使得通过判定是否已经正确地对校验数据进行解密而能够判定访问证书上的解密操作是否已经成功。在步骤S506中,获得了在加密之前包括在访问证书内的适当的校验数据。
如果校验数据仅简单地包含于访问证书的明文数据中,那么可能不利的是允许试图进行密钥空间的强有力扫描的第三方更加容易地证实解密结果。对于校验数据更加安全的选择是还获得来自用作加密密钥生成输入参数的访问接入点122的一个或者两个标识符。例如,校验数据可以是应用至访问接入点122的MAC地址和随机选择常数的信息摘要函数的结果,例如校验数据(CHECK)可以由此给出CHECK = MD5 (MAC || “Salt”)。在这个示例中,词语“Salt”被用作随机常数,但是在其他示例中,可以使用任何其他的常数。可能必要的是预定常数,以使得通信系统中的客户程序能够判定被用于生成校验数据的常数将是什么。在上文的示例中,访问接入点122的MAC地址被用于生成校验数据,但是在其他示例中,可以代替MAC地址(或者与其一起)使用访问接入点122的其他属性,例如访问接入点122的SSID。对于本领域技术人员明显的是,可以使用其他函数与信息摘要函数(MD5) —起判定加密密钥和校验数据,上文描述的仅仅是适当函数的一个示例。在步骤S508中,客户程序108使用在步骤S504中获得的加密密钥将访问证书和校验数据组在一起并且进行加密。本领域技术人员应当能够想到使用加密密钥对访问证书和校验数据进行加密的适当加密方法。然后能够将加密的访问证书和校验数据在通信系统上从客户程序108提供给客户程序114。第一客户程序108可以简单地在通信系统上将加密的访问证书和校验数据传输给第二客户程序114。可选地,加密的访问证书和校验数据随后能够如上文所述在通信系统上从第一客户程序108提供给第二客户程序114,由此第一客户程序108将用户终端104处(或者数据库118上)的加密的访问证书和校验数据存储在通信系统上的用户102的专用个人资料中。用户102授权第二用户110的客户程序114访问加密的访问证书和校验数据。然后客户程序114能够如上文所述取得来自用户终端104(或者数据库118)的加密的访问证书和校验数据。当第二用户终端112能够与访问接入点122进行通信时,然后在步骤S512中,客户程序114能够判定访问接入点122的SSID和MAC地址。这可以通过访问接入点在无线连接上将访问接入点122的SSID和MAC地址传输给客户程序114来实现。当访问接入点122在用户终端112的范围内时,客户程序114仅能够从访问接入点122在无线连接上接收访问接入点122的SSID和MAC地址,以使得客户程序114能够与访问接入点122进行通 目。在步骤S514中,客户程序114使用访问接入点122的SSID和MAC地址以获得用于对使用加密密钥而被加密的加密访问证书和校验数据进行解密的解密密钥(DECRYPTI0N_KEY)。使用与用于获得加密密钥相同的函数(例如信息摘要函数,MD5)来获得解密密钥。例如,解密密钥(DECRYPT10Ν_ΚΕΥ)可以这样给出DECRYPTION KEY = MD5 (SSID Il MAC)。在步骤S516中,解密密钥用于根据解密函数对加密的访问证书和校验数据进行解密,该解密函数与在步骤S508中用于对访问证书和校验数据进行加密的加密函数相对 应。在步骤S518中,客户程序114通过判定校验数据是否被有效地解密,来判定解密操作是否已经成功。例如,客户程序114可以判定校验数据应该是什么,例如通过实施与步骤S506中相同的推导(例如CHECK = MD5 (MAC Il “Salt”),然后将推导的结果与从步骤S516中的解密得到的解密的校验数据相比较。如果比较显示解密操作已经成功,那么如步骤S520所示,客户程序114能够使用解密的访问证书经由访问接入点122访问网络120。如上文所述,在步骤S518的正结果之后,客户程序114可以自动地连接至网络120。可选地,在步骤S520中访问网络120之前,客户程序114可以提示用户110(例如,经由客户程序114的用户接口)指示他是否想要访问网络120。然而,如果在步骤S518中判定出解密的检验数据不是有效的,那么在步骤S522中,判定解密的访问证书不能被有效地用于经由访问接入点122访问网络120。在这种情形中,客户程序114不可以试图使用解密的访问证书经由访问接入点122访问网络120。客户程序114可以尽可能多地取得来自通信系统(例如如上文所述,来自用户110的联系人的个人资料)的访问证书集。此外,在步骤S512中,客户程序114还可以判定其当前能进行通信的尽可能多的访问接入点的SSID和MAC地址。然后,通过实施用于访问证书集与接入点的各自配对的步骤S514至S522,客户程序114能够判定与当前可以进行通信的任何访问接入点相关的任何取得到的访问证书集是否有效。在发现能够有效地经由客户程序114目前能够与其通信的访问接入点中的一个访问网络的取得到的访问证书的一个集之后,客户程序114可以停止或者可以不停止判定访问证书集与访问接入点的其他配对是否有效。在这个意义上,为了使用访问证书,软件(即客户程序114)重复对于可用范围内的所有访问接入点的解密密钥生成方法。如果加密的证书用于范围内的网络中的一个,那么解密操作将显示对于那个特定的访问接入点的证书。简而言之,为了使客户程序108共享由访问接入点122的SSID和MAC地址识别的用于访问接入点122的访问证书,客户程序108将实施以下函数ENCRYPT 10N_KEY = MD5 (SSID Il MAC);CHECK = MD5 (MAC Il “Salt”);DATA = CHECK+METHOD+ALGORITHM+NWK_KEY ;SHARED_DATA = ENCRYPT (DATA, ENCRYPT 10N_KEY)。
这里,访问证书包括用于经由访问接入点122有效地访问网络120的网络密钥(NWK_KEY),以及当与访问接入点122通信时使用的加密方法(METHOD)和加密算法(ALGORITHM)。称为ENCRYPT的函数是适于使用加密密钥对数据进行加密的任何加密函数。SHARED_DATA可以包括加密或者未加密形式的其他特征,尤其是访问证书的失效时间。为了使用访问证书,客户程序114将对范围内的每个访问接入点实施以下函数DECRYPT 10N_KEY = MD5 (S SID II MAC)CHECK = MD5 (MAC Il “Salt”)
对客户程序114得到的访问证书的每个集实施以下函数
{
DATA = DECRYPT(SHARED—DATA,DECRYPTION—KEY) IfDATA(CHECK) = CHECK then {
METHOD = DATA(METHOD)
ALGORITHM = DATA(ALGORITHM)
NWKKEY = DATA(NWKKEY)
}
}称为DECRYPT的函数是适于使用解密密钥对数据进行解密的解密函数,因此DECRYPT函数与用于对访问证书和校验数据进行加密的ENCRYPT函数相对应。能够看出,如果加密数据中的校验数据被正确地解密(例如,当它被解密时,给出与函数MD5(MAC|| “Salt”)相同的结果),那么客户程序114采用来自用于在相关的访问接入点访问相关网络中使用的解密数据的解密加密方法(METHOD)、加密算法(ALGORITHM)和网络密钥(NWK_KEY)。也即是说,如果用户终端112的范围内的任何访问接入点产生了有效的网络访问证书,那么能够从具有那些访问证书的访问接入点访问网络。上文描述的方法可以在软件(例如在上文描述的客户程序中),或者硬件中实现。更通常地,上文描述的方法能够在计算机程序产品中实施,该计算机程序产品包括由通信系统的节点(例如,用户终端104或者用户终端112)处的计算机处理器件(例如CPU)执行的计算机可读指令。虽然参照优选实施例特别地示出和描述了本发明,但是本领域技术人员应当理解的是,可以做出形式和细节的各种变化而不偏离由下面的权利要求所限定的本发明的范围。
权利要求
1.一种许可经由访问接入点访问网络的方法,所述方法包括 在通信系统的第一节点处,判定所述访问接入点的至少一个标识符; 使用预定的加密函数和判定出的所述访问接入点的至少一个标识符以这样的方式对访问证书进行加密需要所述访问接入点的至少一个标识符以对加密的访问证书进行解密,所述访问证书用于经由所述访问接入点访问网络; 在所述通信系统上将加密的所述访问证书提供给所述通信系统的第二节点; 所述第二节点通过与所述访问接入点通信来判定所述访问接入点的至少一个标识符; 所述第二节点使用判定出的所述访问接入点的至少一个标识符以使用与所述预定的加密函数相对应的预定的解密函数对加密的访问证书进行解密;以及 所述第二节点使用解密的访问证书经由所述接入点访问网络。
2.根据权利要求I所述的方法,其中使用预定的加密函数和判定出的所述接入点的至少一个标识符对所述访问证书进行加密的所述步骤包括对校验数据以及所述访问证书一起加密,所述校验数据用于证实使用所述预定的解密函数对所述加密的访问证书进行解密的结果。
3.根据权利要求2所述的方法,进一步包括使用预定的推导函数取得来自判定出的所述访问接入点的至少一个标识符的所述校验数据。
4.根据权利要求I所述的方法,其中,(i)使用预定的加密函数和判定出的所述访问接入点的至少一个标识符对所述访问证书进行加密;以及(ii)在所述通信系统上将加密的所述访问证书提供给第二节点的一个步骤或者两个步骤是由所述第一节点实施的。
5.根据权利要求I所述的方法,其中所述第一节点包括第一用户的第一用户终端,所述第一用户终端配置为执行用于在所述通信系统上进行通信的第一通信客户程序,并且其中,所述第二节点包括第二用户的第二用户终端,所述第二用户终端配置为执行用于在所述通信系统上进行通信的第二通信客户程序,并且 其中,所述第二节点使用判定出的所述访问接入点的至少一个标识符对加密的访问证书进行解密;以及所述第二节点使用解密的访问证书经由所述访问接入点访问网络的步骤由所述第二通信客户程序实施,不需要以意图让所述第二用户理解的形式将所述解密的访问证书传输给所述第二用户。
6.根据权利要求5所述的方法,其中,所述第一用户和所述第二用户是所述通信系统中的联系人,并且其中,基于所述第二用户是所述第一用户的联系人,许可将所述加密的访问证书提供给所述第二节点。
7.根据权利要求I所述的方法,其中,所述访问接入点的至少一个标识符包括所述访问接入点的服务集标识符和媒体访问控制地址。
8.根据权利要求I所述的方法,其中,所述访问证书包括待用于经由所述访问接入点访问网络的 (i)加密方法; (ii)加密算法;以及 (iii)网络密钥 中的至少一个。
9.一种用于许可经由访问接入点访问网络的通信系统,所述通信系统包括 第一节点,所述第一节点包括 用于判定所述访问接入点的至少一个标识符的判定器件;以及用于使用预定的加密函数和判定出的所述访问接入点的至少一个标识符以这样的方式对所述访问证书进行加密需要所述访问接入点的至少一个标识符以对加密的访问证书进行解密的加密器件,所述访问证书用于经由所述访问接入点访问网络; 第二节点,所述第二节点包括 用于通过与所述访问接入点进行通信来判定所述访问接入点的至少一个标识符的判定器件; 用于使用判定出的所述访问接入点的至少一个标识符以及与所述预定的加密函数相对应的预定的解密函数对加密的访问证书进行解密的解密器件;以及用于使用解密的访问证书经由所述访问接入点访问网络的访问器件; 以及 用于将所述加密的访问证书提供给所述第二节点的器件。
10.根据权利要求9所述的通信系统,其中,所述第一节点包括第一用户的第一用户终端,所述第一用户终端配置为执行用于在所述通信系统上进行通信的第一通信客户程序,并且其中,所述第二节点包括第二用户的第二用户终端,所述第二用户终端配置为执行用于在所述通信系统上进行通信的第二通信客户程序。
11.一种将访问证书从通信系统的第一节点提供给第二节点的方法,所述访问证书用于经由访问接入点访问网络,所述方法包括 在所述第一节点处,判定所述访问接入点的至少一个标识符; 使用预定的加密函数和判定出的所述访问接入点的至少一个标识符以这样的方式对所述第一节点处的访问证书进行加密需要所述访问接入点的至少一个标识符以对加密的访问证书进行解密;以及 在所述通信系统上将加密的所述访问证书从所述第一节点提供给所述第二节点,从而如果所述第二节点能够判定所述访问接入点的至少一个标识符,则允许所述第二节点访问网络以及使用所述访问接入点的至少一个标识符对加密的访问证书进行解密。
12.根据权利要求11所述的方法,其中,使用预定的加密函数和判定出的所述访问接入点的至少一个标识符对所述访问证书进行加密的所述步骤包括 使用预定的推导函数取得来自所述访问接入点的至少一个标识符的加密密钥;以及 使用所述预定的加密函数中的加密密钥对所述访问证书进行加密。
13.根据权利要求11所述的方法,其中,其中使用预定的加密函数和判定出的所述访问接入点的至少一个标识符对所述访问证书进行加密的所述步骤包括对校验数据以及所述访问证书一起加密,所述校验数据用于证实使用所述预定的解密函数对所述加密的访问证书进行解密的结果。
14.根据权利要求13所述的方法,进一步包括使用预定的推导函数取得来自判定出的所述访问接入点的至少一个标识符的所述校验数据。
15.一种计算机程序产品,其包括用于由通信系统的第一节点处的计算机处理器件执行的计算机可读指令,用于将访问证书从所述通信系统的所述第一节点提供给第二节点,所述访问证书用于经由访问接入点访问网络,所述指令包括用于实施根据权利要求11所述的方法的指令。
16.一种用于将访问证书提供给通信系统的接收器节点的通信系统的提供器节点,所述访问证书用于经由访问接入点访问网络,所述提供器节点包括 用于判定所述访问接入点的至少一个标识符的判定器件; 用于使用预定的加密函数和判定出的所述访问接入点的至少一个标识符以这样的方式对所述访问证书进行加密需要所述访问接入点的至少一个标识符以对加密的访问证书进行解密的加密器件;以及 用于在所述通信系统上将加密的所述访问证书从所述提供器节点提供给所述接收器节点的提供器件,从而如果所述接收器节点能够判定所述访问接入点的至少一个标识符,则允许所述接收器节点访问网络以及使用所述访问接入点的至少一个标识符对加密的访 问证书进行解密。
17.—种经由访问接入点访问网络的方法,所述方法包括 在通信系统的第二节点处接收来自通信系统的第一节点的加密的访问证书,所述访问证书用于经由访问接入点访问网络,其中,所述加密的访问证书是使用预定的加密函数和判定出的所述访问接入点的至少一个标识符以这样的方式加密的需要所述访问接入点的至少一个标识符以对加密的访问证书进行解密; 所述第二节点通过与所述访问接入点通信来判定所述访问接入点的至少一个标识符; 所述第二节点使用判定出的所述访问接入点的至少一个标识符以使用与所述预定的加密函数相对应的预定的解密函数对加密的访问证书进行解密;以及 所述第二节点使用解密的访问证书经由所述访问接入点访问网络。
18.根据权利要求17所述的方法,其中,所述第二节点使用判定出的所述接入点的至少一个标识符对所述加密的访问证书进行解密的所述步骤包括 使用预定的推导函数取得来自判定出的所述访问接入点的至少一个标识符的解密密钥;以及 使用所述预定的解密函数中的解密密钥对所述加密的访问证书进行解密。
19.根据权利要求17所述的方法,其中,所述第二节点判定所述访问接入点的至少一个标识符的步骤包括所述第二节点接收来自所述访问接入点的所述访问接入点的至少一个标识符。
20.根据权利要求17所述的方法,其中,所述加密的访问证书包括从所述访问接入点的至少一个标识符取得的加密的校验数据,所述校验数据用于使用预定的解密函数对加密的访问证书解密的结果进行证实,所述方法进一步包括校验使用预定的解密函数对加密的访问证书进行解密的所述步骤的结果正确地对所述校验数据进行了解密。
21.根据权利要求17所述的方法,其中,所述第一节点包括第一用户的第一用户终端,所述第一用户终端配置为执行用于在所述通信系统上进行通信的第一通信客户程序,并且其中,所述第二节点包括第二用户的第二用户终端,所述第二用户终端配置为执行用于在所述通信系统上进行通信的第二通信客户程序。
22.根据权利要求21所述的方法,其中,所述第二节点使用判定出的所述访问接入点的至少一个标识符对加密的访问证书进行解密,以及所述第二节点使用解密的访问证书经由所述访问接入点访问网络的步骤由所述第二通信客户程序实施,不需要以意图让所述第二用户理解的形式将所述解密的访问证书传输给所述第二用户。
23.根据权利要求17所述的方法,其中,所述第二节点能够与所述网络的多个访问接入点通信,并且所述方法包括 所述第二节点判定所述多个访问接入点的每个的相应的至少一个标识符;以及所述第二节点试图使用所述多个访问接入点的每个的判定出的至少一个标识符对加密的访问证书进行解密。
24.根据权利要求17所述的方法,其中,所述第二节点设置有加密的访问证书的多个示例,并且所述方法包括所述第二节点试图使用判定出的所述访问接入点的至少一个标识符和预定的解密函数对加密的访问证书的每个示例进行解密。
25.一种计算机程序产品,其包括用于由通信系统的第二节点处的计算机处理器件执 行的计算机可读指令,用于经由访问接入点访问网络,所述指令包括用于实施根据权利要求17所述的方法的指令。
26.一种用于经由访问接入点访问网络的通信系统的接收器节点,所述接收器节点包括 用于接收来自所述通信系统的提供器节点的加密的访问证书的接收器件,所述访问证书用于经由访问接入点访问网络,其中,所述加密的访问证书是使用预定的加密函数和所述访问接入点的至少一个标识符以这样的方式加密的需要所述访问接入点的至少一个标识符以对加密的访问证书进行解密; 用于通过与所述访问接入点通信来判定所述访问接入点的至少一个标识符的判定器件; 用于使用判定出的所述访问接入点的至少一个标识符以及与所述预定的加密函数相对应的预定的解密函数对加密的访问证书进行解密的解密器件;以及用于使用解密的访问证书经由所述访问接入点访问网络的访问器件。
全文摘要
本发明公开用于许可经由访问接入点访问网络的方法和通信系统,其中该方法包括在通信系统的第一节点处,判定访问接入点的至少一个标识符。使用预定的加密函数和判定出的访问接入点的至少一个标识符以这样的方式对访问证书进行加密需要访问接入点的至少一个标识符以对加密的访问证书进行解密。访问证书用于经由访问接入点访问网络。在通信系统上将加密的访问证书提供给通信系统的第二节点,并且第二节点通过与访问接入点通信来判定访问接入点的至少一个标识符。第二节点使用判定出的访问接入点的至少一个标识符以使用与预定的加密函数相对应的预定的解密函数对加密的访问证书进行解密;以及第二节点使用解密的访问证书经由访问接入点访问网络。
文档编号H04L29/06GK102739642SQ201210112369
公开日2012年10月17日 申请日期2012年4月16日 优先权日2011年4月15日
发明者马迪斯·卡尔 申请人:斯凯普公司