专利名称:许可访问网络的制作方法
技术领域:
本发明涉及许可访问网络。本发明尤其涉及通过在通信系统上对访问证书进行共享来许可访问网络。
背景技术:
设备能够经由网络的访问接入点来访问网络以及与网络进行通信。网络可以是局域网(LAN),诸如公司雇员能够连接至其上的公司局域网。可替代地,网络可以是广域网、(WAN),诸如因特网。访问接入点可以是无线访问接入点以便设备能够与访问接入点进行无线通信(例如使用WiFi连接,或者本领域已知的一些其他无线连接)。为了设备与访问接入点进行通信,可以要求设备使用用于经由访问接入点访问网络的特定的ー组访问证书。当设备为特定的访问接入点使用正确的ー组访问证书时,则该设备被许可经由访问接入点访问网络,并且因而将在经由访问接入点在网络上的通信中使用正确的协议。通过要求设备具有正确的访问证书,其能够保证只有特定的设备(即那些使用正确的访问证书的设备)能够经由访问接入点访问网络。用这种方式限制经由访问接入点访问网络能够对例如防止不期望的用户经由特定的访问接入点访问特定的网络是有用的。无线访问接入点可以由其以下两个属性而被唯一识别为“空中下载(overtheair)”(I)用户指定的服务区识别符(SSID),其为由用户设定的无线网络的名称,以及(2)无线接ロ媒体存取控制(MAC)地址,其为由访问接入点制造商分配给该访问接入点的唯一的48位值。SSID和MAC地址作为该访问接入点的识别符。用于经由访问接入点访问无线网络的访问证书可以包括在与访问接入点进行通信时使用的加密方法(诸如有线等效加密(WEP)、Wi-Fi网络安全存取(WPA)、或者Wi-Fi保护访问第2版(WPA2))和加密算法(诸如临时密钥完整性协议(TKIP)、高级加密标准(AES))。访问证书还可以包括为了许可设备经由访问接入点访问网络而必须检验的网络密钥(或者“访问密钥”)。网络密钥的长度可以取决于所选择的加密方法。为了设备能够经由访问接入点对网络进行访问,访问证书必须对该设备为可用的。经由访问接入点访问网络所要求的访问证书可以对所使用的特定的访问接入点是特定的。访问证书用于限制经由特定的访问接入点连接到网络的设备的数量。然而,为了许可ー些设备经由特定的访问接入点连接到网络,那些设备应具有用于经由特定的访问接入点访问网络所要求的访问证书。
发明内容
在ー些通信系统中,用户与用户终端关联,并且用户能够通过在通信系统中在用户终端之间传输和接收消息来与彼此进行通信。通信系统的ー个例子是本领域已知的对等(P2P)通信系统,诸如Skype 通信系统,其中,消息可以不经由中央服务器发送而在用户终端之间发送。第一用户可以与通信系统中的其他作为第一用户的朋友或者“联系人”的用户关联。这允许第一用户方便地与其联系人在通信系统中进行通信。可以将ー些关于通信系统中的各个用户的信息,诸如他们的名字和在通信系统中的用户名存储在通信系统中。还可以将其他更多的个人信息,诸如用户的业余爱好、他们的联系人详情、用户的照片等存储在通信系统中。可以将这些信息组合在一起并且作为通信系统中用户的“个人资料”。在通信系统中可以将用户的个人资料分为两个部分来被不同地利用。第一部分可以是公共的,意思是将在个人资料的第一部分中的信息做成对通信系统中的所有用户而言可用以便查看。例如,个人资料的第一部分可以包括用户的名字和在通信系统中的用户名,其将允许通信系统中的其他用户在通信系统中搜索还不是联系人的特定的人。用户个人资料的第二部分可以是专用的,意思是将在个人资料的第二部分中的信息做成仅对用户的经授权的联系人可用。例如,在个人资料的第二部分中的信息可以是用户想要与其联系人共享但不想与通信系统中不是其联系人的用户共享的信息。例如,个人资料的第二部分可以包括用户的联系详情、用户的业余爱好和用户的照片。可以由在通信系统中的另ー用户的
用户终端上执行的通信客户程序来检索个人资料中的信息。在ー些通信系统中,专用的个人资料的详情只能直接从另ー用户终端取得,并且这允许源终端能控制哪个联系人被允许看到专用的个人资料的哪个属性。发明人认识到与通信系统中的有限数量的其他用户(例如仅与联系人)共享专用的个人资料的详情的系统建立了使得信息共享受控的构架。能够用这种方式共享的ー种信息是对网络进行访问所需要的信息,诸如访问证书。根据本发明的第一个方案,提供了ー种许可访问网络的方法,该许可通过在通信系统中在所述通信系统的相应第一用户和第二用户的相应第一用户终端和第二用户终端处执行的第一通信客户程序和第二通信客户程序之间对访问证书进行共享来进行,所述访问证书用于对网络进行访问,所述方法包括所述第一通信客户程序将所述访问证书存储在所述第一用户终端的第一存储装置中或者所述通信系统的第一存储装置中;所述第一用户授权所述第二用户对存储在所述第一存储装置中的所述访问证书进行访问;所述第二通信客户程序基于所述第二用户的对所述第一存储装置中的所述访问证书进行访问的授权,访问所述第一存储装置并且取得所述访问证书;所述第二通信客户程序将所取得的访问证书存储在所述第二用户终端处的第二存储装置中;以及所述第二通信客户程序使用被存储在所述第二存储装置中的所述访问证书来对网络进行访问,且不以所述第二用户可理解的方式向所述第二用户传达所取得的访问证书。根据本发明的第二个方案,提供了一种用于许可访问网络的通信系统,所述通信系统包括用于在所述通信系统的所述第一用户的所述第一用户终端处执行的第一通信客户程序;用于在所述通信系统的所述第二用户的所述第二用户终端处执行的第二通信客户程序;第一存储装置,其用于存储用于对网络进行访问的访问证书;以及在所述第二用户终端处的第二存储装置,其用于存储所述访问证书;其中,所述第一通信客户程序被配置为将所述访问证书存储在所述第一存储装置中,并且从所述第一用户接收输入以授权所述第ニ用户对存储在所述第一存储装置中的所述访问证书进行访问;并且其中,所述第二通信客户程序被配置为基于所述第二用户的对所述第一存储装置中的所述访问证书进行访问的授权,访问所述第一存储装置并且取得所述访问证书;将所取得的访问证书存储在所述第二存储装置中,并且使用被存储在所述第二存储装置中的所述访问证书来对网络进行访问,且不以所述第二用户可理解的方式向所述第二用户传达所取得的访问证书。可以在所述第一用户终端处或者所述通信系统的服务器上实现所述第一存储装置。根据本发明的第三个方案,提供了ー种使用在通信系统的用户的用户终端处执行的通信客户程序来访问网络的方法,其中,由在所述通信系统的另一用户的另一用户终端处执行的另一通信客户程序将用于访问网络的访问证书存储在该另ー用户终端的第一存储装置中或者所述通信系统的第一存储装置中,所述另ー用户已经授权所述用户对存储在所述第一存储装置中的所述访问证书进行访问,所述方法包括所述通信客户程序基于所述用户的对所述第一存储装置中的所述访问证书进行访问的授权,访问所述第一存储装置并且取得所述访问证书;所述通信客户程序将所取得的访问证书存储在所述用户终端处的第二存储装置中;以及所述通信客户程序使用被存储在所述第二存储装置中的所述访问证书来对网络进行访问,且不以所述第二用户可理解的方式向所述第二用户传达所取得的访问证书。 根据本发明的第四个方案,提供了一种计算机程序产品,包括由在通信系统用户的用户终端处的计算机处理装置执行的用于访问网络的计算机可读指令,所述指令包括用于实现为实施根据本发明的第三个方案的所述方法的通信客户程序的指令。根据本发明的第五个方案,提供了ー种用于访问网络的用户终端,所述用户終端包括用于执行通信系统的用户的通信客户程序的装置,其中,由在所述通信系统的另一用户的另一用户终端处执行的另一通信客户程序将用于访问网络的访问证书存储在该另ー用户终端的第一存储装置中或者所述通信系统的第一存储装置中,所述另ー用户已经授权所述用户对存储在所述第一存储装置中的所述访问证书进行访问,所述用户終端包括取还装置,其用于根据所述通信客户程序的执行,基于所述用户对第一存储装置中的所述访问证书进行访问的授权而访问所述第一存储装置并且取得所述访问证书;第二存储装置,其用于存储所述检索到的访问证书;以及访问装置,其用于根据所述通信客户程序的执行,使用存储在所述第二存储装置中的所述访问证书对所述网络进行访问,且不以所述第二用户可理解的方式向所述第二用户传达所取得的访问证书。根据本发明的第六个方案,提供了ー种许可访问网络的方法,该许可通过将访问证书存储在通信系统中供在所述通信系统的相应第一用户终端和第二用户终端处执行的第一通信客户程序和第二通信客户程序的用户使用来进行,所述访问证书用于对网络进行访问,所述方法包括所述第一通信客户程序将所述访问证书存储在所述通信系统的第一存储装置中,其中,所述用户被授权对存储在所述第一存储装置中的所述访问证书进行访问;所述第二通信客户程序基于所述用户的对所述第一存储装置中的所述访问证书进行访问的授权而访问所述第一存储装置并且取得所述访问证书;所述第二通信客户程序将所取得的访问证书存储在所述第二用户终端处的第二存储装置中;以及所述第二通信客户程序使用被存储在所述第二存储装置中的所述访问证书来对网络进行访问,且不以所述第二用户可理解的方式向所述第二用户传达所取得的访问证书。在优选的实施例中,所述第一用户授权所述第二用户的所述步骤包括所述第一用户识别所述第二用户。优选地,只有被识别的用户的通信客户程序能够取得存储在存储装置中的访问证书。所述存储装置优选与由所述第一通信客户程序所使用的其他数据一同实现在所述第一用户终端本地上。在所述第一用户终端本地上存储证书除去了对中央服务器的依赖,并且还可以允许由共享出证书的用户自身使用这些证书。可替代地,所述存储装置可以在所述通信系统中的服务器上实现,但是在这种情况下,只能在終端成功地将其自身与网络的访问接入点关联后,所述网络上的服务器才是可访问的。所述第一用户可以通过将所述第二用户包括为所述通信系统的联系人来识别所述第二用户。从这个意义上说,所述第一用户可以在所述第一通信客户程序的用户界面中指明其在所述通信系统中的任何联系人被授权对存储在所述存储装置中的访问证书进行访问。可替代地,所述第一用户可以选择其联系人的子集,并且在用户界面中指明只有其在所述通信系统中的联系人的子集被授权对存储在所述存储装置中的访问证书进行访问。用这种方式,所述第一用户可以将在所述通信系统中的能够使用其存储在所述存储装置中的访问证书的用户限制为其联系人或者联系人的子集。所述第一通信客户程序的用户界面的使用为所述第一用户提供了对用户友好的方式来指明哪些用户被许可访问其存储在所述存储装置中的访问证书。在优选的实施例中,访问证书在通信系统(例如P2P通信系统)的用户的客户程序之间共享,而保持所述访问证书(以及所述访问接入点的识别符)向被提供访问证书的用户(例如第二用户)为隐藏的。因此,优选的实施例使得所述第二用户获取对被允许的 网络的访问(基于所述第一用户已经提供了访问证书并且已经授权所述第二用户对所述访问证书进行访问)变得容易,避免所述第二用户在与网络建立连接之前输入冗长的秘密的网络密钥的需要,而无须向第二用户公开所述访问证书。对于网络的拥有者来说,优选的实施例通过以保持证书合理地对第三人保密的方式预先共享证书来允许向特定的用户提供对网络的访问。这是因为只有已经被所述第一用户授权的用户的通信客户程序能够访对用于访问网络的访问证书。此外,所述访问证书不以所述第二用户可理解的形式向所述第二用户传达,并且因此所述第二用户不会将所述访问证书传递给所述通信系统中的其他用户。尤其地,所述访问证书不以所述第二用户可以理解的方式向所述第二用户传达,故所述第二用户不知道所述访问证书所应用的媒体存取控制(MAC)地址和服务区识别符(SSID)。一些实施例允许集中管理很大数量的用户(例如企业网络用户)对访问证书的访问,而不需要用户自己输入证书,和/或不增加企业IT支持团队的负担。例如,通过授权一个组(例如一个企业)的用户的通信客户程序对访问证书进行访问,其可以确保该组的用户能够使用所述访问证书对网络进行访问但是不向该组以外的其他用户提供所述访问证书。一种实现这个的方法是为所述第一用户(例如网络管理者)在所述通信系统中对所述组的用户建立联系人列表,并且接着在所述通信系统中以只有在所述联系人列表中的用户的客户程序能够对其进行访问的形式提供所述访问证书(例如,通过将所述访问证书包括在个人资料的特定部分,所述特定部分只能由所述联系人列表中所包括的用户的客户程序访问)。
为了更好地理解本发明并且示出其可以如何被实施,现在将通过示例的方式參照附图,其中图I示出根据优选实施例的通信系统和网络;
图2是根据优选实施例的用户终端的示意图;图3是许可访问网络的第一过程的流程图;图4是根据优选实施例的客户程序的用户界面的图示;以及图5是许可访问 网络的第二过程的流程图。
具体实施例方式现在将仅以示例的方式描述本发明的优选实施例。图I示出了包括具有所关联的第一用户终端104的第一用户(“用户A”)102,以及具有所关联的第二用户终端112的第二用户(“用户B”)110。用户终端104和112能够在通信系统中通过网络106通信,因此允许用户102和110通过网络106彼此进行通信。在通信系统的优选实施例中是基于分组的P2P通信系统,但是也可以使用其他类型的通信系统,诸如非P2P,VoIP或者頂系统。网络106可以例如是因特网。用户终端104可以例如是移动手机、个人数字助理(“PDA”)、个人电脑(“PC”)(包括,例如WindowsTM、Mac OS 和Linux PCs)、游戏设备或者其他能够连接到网络106的嵌入式设备。用户终端104被安排为从用户终端104的用户102接收信息以及输出信息给用户終端104的用户102。本发明的优选实施例中,用户终端104包括诸如屏幕的显示装置和诸如键盘、鼠标、触摸屏、小键盘和/或控制杆的输入设备。用户终端104连接到网络106。注意在可替代的实施例中,用户终端104能够经由图I中未示出的附加的中间网络连接到网络106。例如,如果用户終端104是移动设备,则其能够经由蜂窝移动网络120 (例如GSM或者UMTS网络)连接到网络106。用户终端104执行由与通信系统相关联的软件提供者提供的通信客户程序108。通信客户程序108是在用户终端104中的本地处理器上执行的软件程序。为了用户终端104在通信系统中传输和接收数据,通信客户程序108在用户终端104处实施所要求的处理。如本领域中所已知的,客户程序108可以经认证以通过出示数字证书来在通信系统中通信(例如,以证明用户A102是通信系统的真正签约用户——专利W02005/009019中有更加详细地描述)。用户终端112对应于用户终端104。用户终端112在本地处理器上执行对应于通信客户程序108的通信客户程序114。通信客户程序114以与客户程序108实施为允许用户102在网络106上通信所要求的处理相同的方式来实施为允许用户110在网络106上通信所要求的处理。为清晰起见,图I仅示出两个用户(102和110),但是如本领域所已知的,可以将许多更多的用户连接到通信系统,并且可以通过使用在相应的用户终端上执行的相应的通信客户程序来在通信系统中通信。通信系统包括在网络106上的服务器116,其中在服务器116上实现数据库118。图2图示出其上执行客户程序108的用户终端104的详细视图。用户终端104包括中央处理单元(“CPU”)202,诸如屏幕的显示装置204、诸如键盘(或者小键盘)206的输入设备以及诸如鼠标208的指点设备连接到CPU202。显示装置204可以包括用于向CPU202输入数据的触摸屏。输出音频设备210 (例如扬声器)和输入音频设备212 (例如麦克风)连接到CPU 202。将显示装置204、键盘206、鼠标208、输出音频设备210和输入音频设备212集成入用户终端104。在可替代的用户终端中,可以不将显示装置204、键盘206、鼠标208、输出音频设备210和输入音频设备212中的ー个或者多个集成入用户终端104并且可以将其经由相应的接ロ连接到CPU 202。这种接ロ的ー个例子是USB接ロ。CPU 202连接到用干与网络106进行通信的诸如调制解调器的网络接ロ 224。可以如图2所示将网络接ロ 224集成入用户终端104。在可替代的用户终端中,不将网络接ロ 224集成入用户终端104。用户终端104还包括如本领域所已知的用于存储数据的存储器226。图2还图示出在CPU 202上执行的操作系统(“OS”)214。在0S214的上部运行的是用于客户程序108的软件堆栈216。软件堆栈示出客户程序协议层218、客户程序引擎层220以及客户程序用户界面(“Π”)层222。各层负责特定的功能。因为各层通常与两个其他层通信,这些层被视为如图2所示布置在堆栈中。操作系统214管理计算机的硬件资源并且处理经由网络接ロ 224被传输至网络以及从网络传输来的数据。客户程序软件的客户程序协议层218与操作系统214通信并且管理在通信系统上的连接。将要求更高级别处理的进程传递到客户程序引擎层220。客户程序引擎220还与客户程序用户界面层222通信。客户程序引擎220可以被安排为控制客户程序用户界面层222来经由客户程序的用 户界面向用户102呈现信息并且经由用户界面从用户102接收信息。用户终端112以与如上所述的用户终端104相同的方式实现,其中用户终端112可以具有那些此处所描述的与用户终端104相关的对应的元件。图I还示出具有访问接入点122的网络120。访问接入点122向网络120外部的设备提供至网络120的访问通道。网络120可以包括其他访问接入点(图I中未示出)。网络120是无线网络,但是在其他实施例中网络120可以不是无线网络。如图I中的虚线所示,用户终端104和112能够通过与访问接入点122进行无线通信来访问网络120。在访问接入点122与用户终端104和112之间的无线通信可以使用WiFi连接或者如本领域所已知的其他类型的无线连接,诸如蓝牙连接或者红外线连接。用户终端104能够使用网络接ロ 224或者也能够使用用户终端104的另ー个网络接ロ(图2中未示出)连接到网络120。网络120可以是局域网(LAN),诸如公司的内联网。可替代地,网络120可以是广域网(WAN),诸如因特网。应理解的是,网络120可以与如图I所示的网络106不同。可替代地,网络120可以与通信系统的网络106相同,例如网络106和网络120两者均为因特网。例如,访问接入点能够被设置为用于因特网连接的桥接器,并且在这种情况下网络120将成为网络106。然而,在其他实施例中,访问接入点用作为客户程序建立LAN 120的路由器,并且路由器在LAN 120和因特网106之间进行分配路由。如果网络106和网络120是相同的,则在用户终端104和112与网络106之间所使用的连接的类型可以与用户终端104和112与网络120之间所使用的连接的类型不同(尽管不一定是这种情况)。例如,在网络106和网络120两者均为因特网的情况下,用户终端104和112可以使用第一连接类型来连接到网络106(例如经由移动电话网络,诸如经由3G连接),而用户终端104和112可以使用第二类型连接(例如经由WiFi连接)来连接到网络120的访问接入点122。第二类型连接(例如WiFi连接)可以比第一类型连接(例如经由移动电话网络)支持更快的数据传输和/或可以更便宜的使用,因此即使用户终端104和112已经连接到网络106,其也可能更愿意经由访问接入点122访问网络120。用户102可以与通信系统中的作为第一用户的朋友或者“联系人”的其他用户关联。在此处所描述的优选实施例中,用户A 102和用户B 110在通信系统中是彼此的联系人。可以在通信系统中存储关于通信系统中的各个用户的ー些信息,诸如他们的名字和在通信系统中的用户名,以及其他更多的个人信息,诸如用户的业余爱好、他们的联系人详情、用户的照片等。这些信息可以作为通信系统中用户的个人资料来存储。各个用户的个人资料被存储在用户的相应的用户终端处。此外,用户A 102和用户B 110两者的个人资料均可以被存储在通信系统的服务器116上的数据库118中。使用中央服务器116上的数据库118大大地简化了企业级的共享,因为其允许备份用户的信息来集中更新由企业共享的证书。必须提供系统来仅允许访问属于企业的用户的数据。在Skype通信系统的情况下,Skype管理器提供这样的系统。而使用服务器116中的数据库118来存储用户的专用个人资料可能是很有用的,在真正的对等(P2P)网络中,不要求中央数据库118用于根据此处所描述的系统进行证书共享。如上所述,用户A 102的个人资料可以分为两个部分来在通信系统中被不同地利用。用户A的个人资料的第一部分是公共的,意思是将在个人资料的第一部分中的信息做成对通信系统中的所有用户可用以便查看。例如,个人资料的第一部分可以包括用户102的名字(“用户A”)和在通信系统中的用户名(其可以在通信系统中是唯一的来由此唯一 地识别用户102)。因为为了在通信系统中唯一地识别用户102,要求用户名是唯一的,而在通信系统中可能有多于ー个用户具有相同的名字(“用户A”),所以用户的用户名可以与用户的名字(“用户A”)不相同。用户A也能够与自己共享证书,例如当在第一设备上运行客户程序来输入网络证书时,用户A能够允许从用户A登录的其他设备处对证书进行访问。这假设专用个人资料的属性在实例之间是同步的,例如使用中央服务器。在用户A的个人资料的公共部分的公共信息将允许通信系统中的另ー个用户(其还不是用户A的联系人)来在通信系统中搜索用户A。用户A的个人资料的第二部分是专用的,意思是将在个人资料的第二部分中的信息做成仅对用户102的经授权的联系人可用。例如,在个人资料的第二部分中的信息可以是用户想要与其联系人但不想与通信系统中不是其联系人的用户共享的信息。例如,个人资料的第二部分可以包括用户的联系详情、用户的业余爱好和用户的照片。可以由在用户终端112上执行的通信客户程序114取得个人资料中的信息。与通信系统中的有限数量的其他用户(例如仅与联系人)共享专用的个人资料的详情的系统建立了使得信息共享受控的构架。能够用这种方式共享的ー种信息是获得对网络的访问所需要的信息,诸如访问证书。例如,用户102能够将用于经由访问接入点122访问网络120的访问证书存储在数据库118中。用这种方式,第一用户102能够在通信系统中其个人资料的专用部分提供访问证书。用户102的个人资料中的信息(包括访问证书)被存储在用户终端104的数据库中(例如在存储器226中)并且还可以被存储在服务器116的数据库118(或者“存储装置”)中。第二用户110的客户程序114能够从存储器226或者数据库118对访问证书进行访问。因为第二用户110是第一用户102的联系人,所以客户程序114被授权从在存储装置中的用户102的个人资料的专用部分对访问证书进行访问。可以仅在两个用户均在线时对证书进行访问,因此证书应是预先取出的并且本地地存储在第二用户终端以便以后使用。如上所述,无线访问接入点122可以由其以下两个属性而被唯一识别为“空中下载”(1)用户指定的服务区识别符(SSID),其为由网络的拥有者设定的无线网络120的名称,以及(2)无线接ロ媒体存取控制(MAC)地址,其为由访问接入点122的制造商分配给访问接入点122的唯一的48位值。SSID和MAC地址作为访问接入点122的识别符。用于经由访问接入点访问无线网络的访问证书可以包括在与访问接入点122进行通信时使用的加密方法(诸如WEP、WPA或者WPA2)以及加密算法(诸如TKIP或者AES)。访问证书还可以包括为了许可用户终端经由访问接入点122访问网络120所必须检验的网络密钥(或者“访问密钥”)。网络密钥的长度可以取决于所选择的加密方法。为了设备能够经由访问接入点122对网络120进行访问,访问证书必须对该设备为可用的。经由访问接入点122访问网络120所要求的访问证书可以对所使用的特定的访问接入点是特定的。访问证书在通信系统中的客户程序之间共享以便用户B能够经由访问接入点122访问网络120,但是用户B不知道访问证书。因此,用户B不能向通信系统中的其他用户提供访问证书。这如下面所描述的,通过客户程序108和114的操作来取得。參照图3,现在描述ー种根据优选的实施例来许可访问网络120的方法。用户A 102具有经由访问接入点122访问网络120所要求的访问证书。这可以是因为用户A 102是访问接入点122的拥有者或者因为用户A 102受网络120的操作者所托。用户A 102想要与用户B 110以安全的方式共享访问证书。在步骤S302中,第一用户102的客户程序108扫描在用户终端104的范围内的无线网络访问接入点。如果用户終端104当前能够与访问接入点进行通信,则该访问接入点是在用户终端104的“范围内”的。在步骤S302中,客户程序108确定访问接入点122在用户终端I 04的范围内。客户程序108向用户102提供在步骤S302的扫描中其所发现的访问接入点的SSID和MAC地址。该SSID识别网络120,而该MAC地址识别访问接入点122。在步骤S304中,用户102在用户终端104上的客户程序108的用户界面处输入关于无线网络120的数据。由用户102在步骤S304中输入的数据至少包括经由访问接入点122访问网络120所要求的一些访问证书。例如,用户104可以输入经由访问接入点122访问网络120所要求的网络密钥、加密方法和加密算法中的至少ー个。随着步骤S304,客户程序108具有经由访问接入点122访问网络120所要求的所有数据,包括相关的SSID、MAC地址和访问证书(加密方法、加密算法和网络密钥)。尽管在优选的实施例中,客户程序108通过确定SSID和MAC地址来扫描范围内的无线网络以协助用户102,但是在可替代的实施例中,用户102可以向客户程序108输入经由访问接入点122访问网络120所要求的所有数据,包括SSID和MAC地址,其可以已由客户程序108在步骤S302中确定或者也可以未由客户程序108在步骤S302中确定。访问证书具有与其关联的有效期。从这个意义上说,访问证书经过预定的时间期间后期满,诸如跟随预定的时间期间后,访问证书不再用于提供对网络的访问。对于消费者用户,具有有效期不是必需的,并且可以默认为“永远”(其等于不具有有效期)。对于公司用户,具有有限的有效期使得对网络的访问被限制于那些在有效期内取得访问证书的用户。当一组访问证书的有效期期满时,可以使用新的ー组具有后续的有效期的访问证书。旧组和新组的访问证书可以是连续的,或者在有效期之间可以有时间间隔。另ー个选择是旧组和新组的访问证书的有效期重叠。这将导致在给定的时间点当分配了新的访问密钥(即新的访问证书)而旧的访问密钥(即旧的访问证书)仍生效时,有多组访问证书对访问接入点有效。
在步骤S306中,访问接入点122的访问证书、SSID和MAC地址被存储在用户终端104处和/或在通信系统的服务器116的数据库118中。访问接入点122的访问证书、SSID和MAC地址被存储在通信系统中的用户102的个人资料的专用部分。用这种方式,只有在通信系统中作为用户102的联系人的那些用户的通信客户程序能够对由用户102存储在用户终端104和/或数据库118中的访问证书、SSID和MAC地址进行访问。从通常意义上说,通信系统的任何用户的客户程序能够将关于无线网络的数据存储进用户的专用个人资料中。在步骤S308中,用户102指明通信系统的哪些用户被许可从其个人资料的专用部分访问所存储的访问证书。用这种方式,用户102确定其通信客户程序能够对用户102的个人资料的专用部分中所存储的访问证书进行访问的用户。第一用户102可以指明所有其联系人的客户程序能够从用户102的个人资料的专用部分对访问证书进行访问。可替代地,用户102可以确定其客户程序能够从用户102的个人资料的专用部分对访问证书进行·访问的联系人的子集。例如,如图4所示的客户程序108的用户界面402可以在用户终端104的显示装置204上向用户102显示。用户界面402允许用户102识别经授权的用户的列表。如图4所示,用户界面402包括联系人404的列表和经授权的用户406的列表。用户102能够从经授权的用户406的列表中添加/删除联系人,例如,通过适当地激活如图4中所示的标签为“添加”、“删除”、“添加所有”以及“删除所有”的按钮。列表406中的经授权的用户代表用户102的其客户程序经被授权对存储在通信系统中的用户102的个人资料的专用部分的访问证书进行访问的联系人的子集。可以在通信系统中分配不同的“联系人组”,其为可以用共同的方式处理的联系人的不同的子集。联系人组可以被分配为包括经授权的用户。这可以便于用户102设置和管理经授权的用户的列表。例如,所有的公司的雇员可以被包括在联系人组中,并且因此被分配为经授权访问用于访问与公司关联的网络的访问证书的用户。用户界面402是合适的用于允许用户102识别经授权的用户的列表的用户界面的例子,但是也可以使用其他对技术人员显而易见的合适的用户界面。在步骤S308之后,“授权用户”列表上的用户的客户程序能够访问存储在服务器116的数据库118上的用户102的个人资料的专用部分中的访问证书。在步骤S310中,当客户程序114具有网络连通性并且在线时,客户程序114访问通信系统并且访问其能够取得的任何访问证书(例如,来自数据库11 8或者如果用户終端104也在线则来自用户终端104)。例如,客户程序取得存储在存储于通信系统中(例如数据库118上)的任意用户110的联系人的个人资料上的访问证书。更通常地,客户程序114能够取得其在通信系统中被许可访问的任何访问证书。因此,作为步骤S312的一部分,客户程序114取得在步骤S306期间存储在用户102的个人资料上的访问证书。因为在步骤S308中,用户102已经指明用户110的客户程序114被许可访问来自用户102的个人资料访问证书,所以客户程序114能够取得那些访问证书。应当注意的是,客户程序114可以访问用户110的个人资料以及通信系统中的其他用户的个人资料以检索被存储的访问证书。在步骤S312中,将在步骤S310中取得的访问证书存储在用户终端112本地。这使得即使用户终端112不再连接至网络106,用户终端112处的客户程序114也能在随后的时间点上对访问证书进行访问。在步骤S314中,在随后的某个时间,第二用户110的客户程序114校验用户终端112的范围内的可用的访问接入点。客户程序114可以响应于用户110经由客户程序114的用户界面指明他想要访问网络120而实施步骤S310的校验。可选地,当客户程序114被初始化时(例如启动或者从休眠中唤醒),客户程序114将进行范围内的无线网络的扫描(即实施步骤S314的校验)。如果在步骤S314期间用户发现在用户终端112的范围内存在访问接入点,那么客户程序确定发现的访问接入点的SSID和MAC地址。例如,可以将访问接入点122的SSID和MAC地址从访问接入点122无线地传输至用户终端112。然后客户程序114能够确定在步骤S312中存储在用户终端112本地处的任何访问证书是否能够用于经由在步骤S314中发现的任何访问接入点访问网络120。为此,客户程序114能够使用在步骤S314中发现的访问接入点的SSID和MAC地址并且查看这些识别符的任意一个是否与访问接入点的SSID和MAC地址相匹配,用于该访问接入点的访问证书在步骤S312中已经被存储在本地。如果发现了匹配,那么客户程序114可以能够经由具有匹配识别符的访问接入点访问网络120。当发现了匹配时,然后在步骤S316中,客户程序114能够使用取得的访问证书经由访问接入点访问网络。、如果对于特定的访问接入点发现了匹配,那么客户程序114可以经由匹配访问接入点自动地连接至网络120(例如,如果访问证书是从用户110自己的个人资料B中取得的,那么客户程序114可以经由匹配访问接入点自动地连接至网络)。这样,用户110不需要知道客户程序114用以经由匹配访问接入点连接至网络120的进程。可选地,当发现了匹配时,那么客户程序可以在经由匹配访问接入点访问网络120之前要求来自用户110的指令(例如,如果匹配访问证书不是从通信系统中用户110的个人资料中检索到的,那么客户程序114提示用户110确定用户110是否想要连接至匹配网络)。如果用户110指明他希望连接至匹配网络,那么客户程序114使用取得的访问证书连接至匹配网络。作为示例,在步骤S314中,客户程序114确定访问接入点122在范围内并且接收来自访问接入点122的访问接入点122的SSID和MAC地址。客户程序114取得在步骤S312中已经预先存储在用户终端112本地处的访问证书和相应的SSID和MAC地址。客户程序确定取得的访问证书的SSID和MAC地址与在步骤S314中发现的访问接入点122的SSID和MAC地址相匹配。然后客户程序114将使用客户程序114的用户界面询问用户110是否想要使用从用户102的个人资料取得的访问证书连接至网络120。如果用户110指明其想要使用从用户102的个人资料取得的访问证书连接至网络120 (例如通过单击显示在用户终端112上的客户程序114的用户界面上的“是”按钮),那么客户程序114使用在步骤S306中存储的访问证书经由访问接入点122连接至网络120。这样,访问证书能够以受控制的方式由用户102在通信系统上共享给通信系统的特定用户(例如给用户102的联系人或者给用户102的联系人的子集)从而控制哪些用户能够经由访问接入点122访问网络120。这样,上文描述的方法允许使用通信系统中的用户102的专用个人资料将访问证书共享给通信系统中有限数量的其他用户。此外,共享的访问证书不会以对用户110来说能够理解的方式展示给他(例如访问证书不以明文形式展示给用户110)。实现这个的ー个方法是不将访问证书显示给用户110。实现这个的另ー个方法是对访问证书进行加密以使得即使他们被显示给用户110,用户Iio也不能理解他们。这是为了使得用户B 110更难将用户102(用户A)共享的访问证书重新分配给用户102(用户A)不想与之共享访问证书的用户。也就是说,通过防止访问证书以意图让用户110理解的形式传达给用户110,使得用户110不能将访问证书传递给通信系统中的其他用户给用户102可能不希望给他提供访问证书的人。这改善了用于共享访问证书的系统的安全性。如上文所述,访问证书和用户102的个人资料的其他专用个人资料字段一起存储在用户终端104处(并且也可以存储在服务器116上的中央数据库118中以被用作备份和同步存储)。这允许用户102访问来自连接至通信系统的不同设备的所存储的访问证书。这样,所存储的访问证书在特定用户的示例(例如用户A102)和不同的设备上同歩。这允许用户A的所有设备通过管理在任何那些设备上的访问证书列表访问他知道的所有无线网络。 对于公司用户,能够在通信系统的服务器侧上设置功能部件以管理访问接入点和相应的访问证书的公司范围的列表。这可以允许用于多个访问接入点的访问证书在ー步中改变。公司(或者“企业”)可以使用‘企业网络’账户管理其所有用户的联系人列表,或者将共享的访问证书添加至以任何方式存储在所有联系人列表中的账户,例如IT支持台。这样,能够将访问证书提供给与公司相关联的通信系统的所有用户,例如以允许用户访问与公司相关联的网络,例如公司的LAN。使用系统的任何用户能够创建‘IT支持’账户,以及在这个账户上共享网络证书。然而,需要有特殊的系统可用于允许用户以受控制的方式管理其他用户的联系人列表,以使得仅对被授权进行这种动作的用户起作用。例如,Skype通信系统具有能够用于此的Skype管理器。综上所述,当用户A输入用于访问网络的访问证书,这些访问证书存储在设备104本地上(虽然可以进行复制并且存储在服务器116上用于备份)。在一些实施例中,经由存储的访问证书的子集可以与通信系统的其他用户共享,并且其他用户中的每个用户可以看到访问证书的不同的子集(如果客户程序108的UI许可这个更加复杂的管理结构)。一旦用户A指明哪些用户被允许接受存储的访问证书,指明的用户的其他客户程序将能够取得访问证书(其中为了这个的发生,其他客户程序必须在线)。然后其他用户的客户程序能够使用他们接收到的访问证书在接下来的某个时间点访问共享的网络。为了访问网络,访问证书存储在(其他用户的)其他用户终端上,这是因为当用户终端没有访问证书可用时,用于访问服务器116的网络将不能被访问。參照图3在上文中描述的在用户102和用户110之间(或者相同用户,例如用户102的不同设备之间)共享访问证书的方法没有指定可以被共享的证书的格式。该方法使用客户程序共享证书而不会始終以用户110能够理解的形式向他提供访问证书。这为用户102提供了安全性他在通信系统上共享的访问证书将不会被重新分配给除了被用户102识别为许可使用该访问证书的用户以外的用户。然而,在其他实施例中,访问证书可以这样的方式在通信系统上共享仅当可用该访问证书访问的特定无线网络在用户终端的范围内时,访问证书可以是有用的,该用户终端执行接收访问证书的客户程序。通过对存储在通信系统中(例如数据库118上)的访问证书进行加密提供了与访问证书相关的附加级别的安全性。这允许访问证书对于不能对加密的访问证书进行解密的第三方保密。然而,为了能够实现对网络120的访问,访问证书必须能够以未加密的形式可用。任何合理有用的加密算法可以用于对访问证书进行加密,但是需要技巧的部分是使用什么加密密钥,以及如何使得加密密钥对于需要使用该访问证书访问网络120的用户(而不是未被许可检索访问证书的那些用户)可用。发明人已经意识到能够通过使用访问接入点122的属性(例如访问接入点的SSID和MAC地址)以获得用于对用于经由访问接入点122访问网络120的访问证书进行加密的加密密钥,实现在访问证书被实际使用之前隐藏访问证书的目的。也就是说,与访问接入点122相关联的访问证书是以这样的方式加密的需要获知访问接入点122的ー些属性以对访问证书进行解密。这样,只有那些能够确定访问接入点122的所需属性的客户(或者用户)能够对加密的访问证书进行解密。优选地,访问接入点的属性是通过其与访问接入点122本身通信所确定的属性。例如,该属性可以是识别符,或者访问接入点122的一些识别符,例如访问接入点122的SSID和MAC地址。客户程序能够通过与访问接入点122本身通信来确定访问接入点122的SSID和MAC地址,以使得如果客户程序在访问接入点122的范
围内,那么客户程序能获知访问证书所应用的访问接入点122的SSID和MAC地址。參照图5,现在描述ー种用于对经由访问接入点122访问网络120的访问证书进行加密的方法,以使得仅在访问接入点122的范围内的那些客户程序能够对加密的访问证书进行解密。客户程序108可以访问用于经由访问接入点122访问网络120所需的访问证书。这可以是因为用户102已经将访问证书输入用户终端104中(诸如经由客户程序108的用户界面)以供客户程序108使用。可选地,客户程序108可以从用户终端104上(或者通信系统上)的存储器取得访问证书。在步骤S502中,第一客户程序108确定访问接入点122的SSID和MAC地址。为了确定访问接入点122的SSID和MAC地址,第一客户程序108可以接收来自无线连接上的访问接入点122的SSID和MAC地址。可选地,访问接入点122的SSID和MAC地址可以存储在用户终端104处的存储器中或者通信系统上以使得客户程序108能够自适当的存储器的访问接入点122取得SSID和MAC地址。可选地,用户102可以将SSID和MAC地址输进用户终端104上的客户程序108的用户界面中。应当理解的是,客户程序108可以多种不同方式中的一种来确定访问接入点122的SSID和MAC地址,以使得在步骤S502之后,客户程序可以访问访问接入点122的SSID和MAC地址。在步骤S504中,从访问接入点122的SSID和MAC地址获得了加密密钥。例如,可以使用采用访问接入点122的SSID和MAC地址作为输入參数的单向散列函数生成加密密钥。例如,可以如现有技术中已知地将访问接入点122的SSID和MAC地址输入MD5摘要函数中,以使得ENCRYPT 10N_KEY = MD5 (SSID || MAC)。由于散列函数是不可逆的,所以不知道访问接入点122的SSID和MAC地址就不能对访问证书进行解密(假设散列函数的大小足够大以进行计算机不能实行的整个密钥空间的强カ扫描)。如下文将更加详细描述地,然后加密密钥能够用于在分配之前对网络访问证书进行加密。 当加密的访问证书随后被解密时,有用的是具有用于确定解密操作是否成功的一些简单的结构。因此,为了确定解密操作是否成功,解密的数据应当包括可以允许解密结果
的简单证实的部分。实现这个的ー个可能的方法是在能够用于证实解密结果的明文数据(具有访问证书)中包括数据的常数或者校验和。也就是说,在访问证书的加密之前,某种校验数据可以与访问证书一起被包括,以使得通过确定是否已经正确地对校验数据进行解密,能够确定对访问证书的解密操作是否已经成功。在步骤S506中,获得在加密之前待被与访问证书一起被包括的适当的校验数据。如果校验数据仅包括在访问证书的明文数据中,那么可能不利的是允许试图进行密钥空间的强有力的扫描的第三方更加容易地证实解密结果。对于校验数据的更加安全的选择是还获得来自用作加密密钥生成输入參数的访问接入点122的一个或者两个识别符。例如,校验数据可以是应用至访问接入点122的MAC地址和随机选择常数的信息摘要函数的结果,例如校验数据(CHECK)可以由此给出CHECK = MD5 (MAC 11 “Salt”)。在这个示例中,词语“Salt”被用作随机常数,但是在其他示例中,可以使用任何其他的常数。可能必要的是常数是预定的以使得通信系统中的客户程序能够确定被用于生成校验数据的常数将是什么。在上文的示例中,访问接入点122的MAC地址被用于生成校 验数据,但是在其他示例中,可以代替地(或者一起)使用访问接入点122的其他属性,例如访问接入点122的SSID。对于本领域技术人员明显的是,其他函数可以与信息摘要函数(MD5) 一起用于确定加密密钥和校验数据,上文描述的仅仅是适当函数的ー个示例。在步骤S508中,客户程序108使用在步骤S504中获得的加密密钥将访问证书和校验数据组在一起并且加密。本领域技术人员应当清楚用于使用加密密钥对访问证书和校验数据进行加密的适当的加密方法。然后能够将加密的访问证书和校验数据在通信系统上从客户程序108提供给客户程序114。第一客户程序108可以简单地在通信系统上将加密的访问证书和校验数据传输给第二客户程序114。可选地,加密的访问证书和校验数据因此能够如上文所述在通信系统上从第一客户程序108提供给第二客户程序114,因此第一客户程序108将用户終端104处(或者数据库118上)的加密的访问证书和校验数据存储在通信系统上的用户102的专用个人资料中。用户102授权第二用户110的客户程序114访问加密的访问证书和校验数据。然后客户程序114能够如上文所述取得来自用户终端104(或者数据库118)的加密的访问证书和校验数据。当第二用户终端112能够与访问接入点122通信时,然后在步骤S512中,客户程序114能够确定访问接入点122的SSID和MAC地址。这可以通过访问接入点在无线连接上将访问接入点122的SSID和MAC地址传输给客户程序114来实现。当访问接入点122在用户终端112的范围内时,客户程序114仅能够从访问接入点122通过无线连接接收访问接入点122的SSID和MAC地址,以使得客户程序114能够与访问接入点122通信。在步骤S514中,客户程序114使用访问接入点122的SSID和MAC地址以获得用于对被使用加密密钥加密的加密访问证书和校验数据进行解密的解密密钥(DECRYPTI0N_KEY)。使用与用于获得加密密钥相同的函数(例如信息摘要函数,MD5)获得解密密钥。例如,解密密钥(DECRYPT10Ν_ΚΕΥ)可以这样给出DECRYPT 10N_KEY = MD5 (SSID || MAC)。在步骤S516中,解密密钥用于根据解密函数对加密的访问证书和校验数据进行解密,该解密函数与在步骤S508中用于对访问证书和校验数据进行加密的加密函数相对应。
在步骤S518中,客户程序114通过确定校验数据是否被有效地解密,确定解密操作是否已经成功。例如,客户程序114可以确定校验数据应该是什么,例如通过实施与步骤S506中相同的求导(例如CHECK = MD5 (MAC II “Salt”),并且然后将那种推导的结果与从步骤S516中的解密得到的解密的校验数据相比较。如果比较显示解密操作已经成功,那么如步骤S520所示,客户程序114能够经由访问接入点122使用解密的访问证书访问网络120。如上文所述,在步骤S518的正结果之后,客户程序114可以自动地连接至网络120。可选地,在步骤S520中访问网络120之前,客户程序114可以提示用户110 (例如经由客户程序114的用户界面)指示他是否想要访问网络120。然而,如果在步骤S518中确定出解密的检验数据不是有效的,那么在步骤S522中,确定为解密的访问证书不能被有效地用于经由访问接入点122访问网络120。在这种情形中,客户程序114不可以试图使用解密的访问证书经由访问接入点122访问网络120。客户程序114可以尽可能多地取得来自通信系统(例如如上文所述,来自用户110的联系人的个人资料)的访问证书集。此外,在步骤S512中,客户程序114还可以确定尽 可能多的目前通信的访问接入点的SSID和MAC地址。然后,客户程序114能够通过实施用于访问证书集与访问接入点的各自配对的步骤S514至S522,确定与任何访问接入点相关的任何取得的访问证书集是否有效。在发现能够有效地用于经由客户程序114目前能够与其通信的访问接入点中的ー个访问网络的所取得的访问证书的一个集之后,客户程序114可以,或者可以不停止确定访问证书集与访问接入点的其他配对是否有效。在这个意义上,为了使用访问证书,软件(即客户程序114)重复对于可用范围内的所有访问接入点的解密密钥生成方法。如果加密的证书是用于范围内的网络中的ー个,那么解密操作将显示对于那个特定的访问接入点的证书。简而言之,为了使客户程序108共享由访问接入点122的SSID和MAC地址识别的,用于访问接入点122的访问证书,客户程序108将实施以下函数ENCRYPT 10N_KEY = MD5(SSID || MAC);CHECK = MD5 (MAC Il “Salt”);DATA = CHECK+METHOD+ALGORITHM+NWK_KEY ;SHARED_DATA = ENCRYPT (DATA, ENCRYPT 10N_KEY)。这里,访问证书包括用于经由访问接入点122有效地访问网络120的网络密钥(NWK_KEY),以及当与访问接入点122通信时使用的加密方法(METHOD)和加密算法(ALGORITHM)。称为ENCRYPT的函数是适于使用加密密钥对数据进行加密的任何加密函数。SHARED_DATA可以包括加密或者未加密形式的其他属性,尤其是访问证书的实效时间。为了使用访问证书,客户程序114将对范围内的每个访问接入点实施以下函数DECRYPT 10N_KEY = MD5 (SSID || MAC)CHECK = MD5 (MAC Il “Salt”)对客户程序114得到的每个访问证书集实施以下函数{
DATA = DECRYPT(SHARED_DATA, DECRYPTION—KEY)
如果 DATA(CHECK) = CHECK 那么{
METHOD = DATA(METHOD)
ALGORITHM = DATA(ALGORITHM)
NWKKEY = DATA(NWKKEY)
}
}
称为DECRYPT的函数是适于使用解密密钥对数据进行解密的解密函数,因此DECRYPT函数与用于对访问证书和校验数据进行加密的ENCRYPT函数相对应。能够看出,如果加密数据中的校验数据被正确地解密(例如当它被解密时,它给出与函数MD5(MAC|| “Salt”)相同的結果),那么客户程序114获得来自用于在使用相关的访问接入点访问相关网络中使用的解密数据的解密的加密方法(METHOD)、加密算法(ALGORITHM)和网络密钥(NWK_KEY)。也就是说,如果用户终端112的范围内的任何访问接入点产生了有效的网络访问证书,那么能够从具有那些访问证书的访问接入点访问网络。上文描述的方法可以在软件(例如在上文描述的客户程序中),或者硬件中实现。更通常地,上文描述的方法能够在计算机程序产品中实施,该计算机程序产品包括用于由通信系统的节点(例如用户终端104或者用户终端112)处的计算机处理器件(例如CPU)执行的计算机可读指令。
虽然參照优选实施例特别地示出和描述了本发明,但是本领域技术人员应当理解的是,可以做出形式和细节的各种变化而不偏离由下面的权利要求所限定的本发明的范围。
权利要求
1.一种许可访问网络的方法,其通过在通信系统中在所述通信系统的相应第一用户和第二用户的相应第一用户终端和第二用户终端处执行的第一通信客户程序和第二通信客户程序之间对访问证书进行共享来进行,所述访问证书用于对网络进行访问,所述方法包括 所述第一通信客户程序将所述访问证书存储在所述第一用户终端的第一存储装置中或者所述通信系统的第一存储装置中; 所述第一用户授权所述第二用户对存储在所述第一存储装置中的所述访问证书进行访问; 所述第二通信客户程序基于所述第二用户的对所述第一存储装置中的所述访问证书进行访问的授权,访问所述第一存储装置并且取得所述访问证书; 所述第二通信客户程序将所取得的访问证书存储在所述第二用户终端处的第二存储装置中;以及 所述第二通信客户程序使用被存储在所述第二存储装置中的所述访问证书来对网络进行访问,且不以所述第二用户可理解的方式向所述第二用户传达所取得的访问证书。
2.根据权利要求I所述的方法,其中,所述第一用户授权所述第二用户的步骤包括所述第一用户在所述第一通信客户程序的用户界面中选择所述第二用户。
3.根据权利要求I所述的方法,其中,所述第一用户授权所述第二用户的步骤包括所述第一用户在所述第一通信客户程序的用户界面中将所述第二用户包括进联系人列表中。
4.根据权利要求I所述的方法,其中,所述网络是无线网络,并且所述方法进一步包括 所述第一通信客户程序将与所述访问证书关联的所述无线网络的访问接入点的至少一个识别符存储在所述第一存储装置中; 所述第二通信客户程序取得所述访问接入点的所述至少一个识别符;以及 所述第二通信客户程序使用所述至少一个识别符来识别所述访问接入点; 其中,所述第二通信客户程序使用所取得的访问证书而经由所识别的访问接入点对所述网络进行访问。
5.根据权利要求4所述的方法,进一步包括所述第一通信客户程序搜索无线网络并且向所述第一用户提供所述无线网络的所述访问接入点的所述至少一个识别符。
6.根据权利要求4所述的方法,其中,所述至少一个识别符包括所述访问接入点的服务区识别符和媒体存取控制地址。
7.根据权利要求I所述的方法,进一步包括所述第一用户向所述第一通信客户程序输入所述访问证书。
8.根据权利要求I所述的方法,其中,所述访问证书在预定的时间期间后期满,以便在所述预定的时间期间后,所述访问证书不再提供对所述网络的访问。
9.根据权利要求I所述的方法,进一步包括 所述第二通信客户程序搜索所述网络;以及 所述第二通信客户程序通过访问所述第一存储装置来判定所述第二通信客户程序具有对所述网络进行访问的许可。
10.根据权利要求9所述的方法,其中,所述第二通信客户程序使用所取得的访问证书对所述网络进行访问的所述步骤是响应于对所述第二通信客户程序具有对所述网络进行访问的许可的判定而自动实施的。
11.根据权利要求9所述的方法,其中,所述第二通信客户程序使用所取得的访问证书对所述网络进行访问的所述步骤是在对所述第二通信客户程序具有对所述网络进行访问的许可的判定后,响应于所述第二用户指明对所述网络进行访问的期望而实施的。
12.根据权利要求I所述的方法,其中,不向所述第二用户显示所取得的访问证书。
13.根据权利要求I所述的方法,其中,所取得的访问证书以不为所述第二用户可理解的方式存储在所述第二用户终端处,所述第二用户不知道所述网络的访问接入点的服务区识别符和媒体存取控制地址。
14.根据权利要求I所述的方法,其中,所述第一用户和所述第二用户是所述通信系统的多个用户中的两个,并且其中,所述方法包括所述第一用户授权多个用户的子集对存储在所述第一存储装置中的所述访问证书进行访问。
15.根据权利要求14所述的方法,其中,多个用户的所有子集是所述通信系统中的所述第一用户的联系人。
16.根据权利要求15所述的方法,其中,所述第一用户授权多个用户的子集的所述步骤包括所述第一用户在所述第一通信客户程序的用户界面中指明所述第一用户的所有联系人为经授权的。
17.根据权利要求15所述的方法,其中,所述第一用户授权多个用户的子集的所述步骤包括所述第一用户在所述第一通信客户程序的用户界面中指明所述第一用户的联系人的另一子集为经授权的。
18.根据权利要求I所述的方法,其中,在所述通信系统的服务器上实现所述第一存储装置。
19.一种用于许可访问网络的通信系统,所述通信系统包括 用于在所述通信系统的第一用户的第一用户终端处执行的第一通信客户程序; 用于在所述通信系统的第二用户的第二用户终端处执行的第二通信客户程序; 第一存储装置,其用于存储用于对网络进行访问的访问证书;以及 在所述第二用户终端处的第二存储装置,其用于存储所述访问证书; 其中,所述第一通信客户程序被配置为将所述访问证书存储在所述第一存储装置中,并且从所述第一用户接收输入以授权所述第二用户对存储在所述第一存储装置中的所述访问证书进行访问;并且 其中,所述第二通信客户程序被配置为基于所述第二用户的对所述第一存储装置中的所述访问证书进行访问的授权,访问所述第一存储装置并且取得所述访问证书,将所取得的访问证书存储在所述第二存储装置中,并且使用被存储在所述第二存储装置中的所述访问证书来对网络进行访问,且不以所述第二用户可理解的方式向所述第二用户传达所取得的访问证书。
20.根据权利要求19所述的通信系统,其中,在所述第一用户终端处或者所述通信系统的服务器上实现所述第一存储装置。
21.一种访问网络的方法,其使用在通信系统用户的用户终端处执行的通信客户程序来进行,其中,由在所述通信系统的另一用户的另一用户终端处执行的另一通信客户程序将用于访问网络的访问证书存储在该另一用户终端的第一存储装置中或者所述通信系统的第一存储装置中,所述另一用户已经授权所述用户对存储在所述第一存储装置中的所述访问证书进行访问,所述方法包括 所述通信客户程序基于所述用户的对所述第一存储装置中的所述访问证书进行访问的授权,访问所述第一存储装置并且取得所述访问证书; 所述通信客户程序将所取得的访问证书存储在所述用户终端处的第二存储装置中;以及 所述通信客户程序使用被存储在所述第二存储装置中的所述访问证书来对网络进行访问,不以所述第二用户可理解的方式向所述第二用户传达所取得的访问证书。
22.—种计算机程序产品,包括由在通信系统用户的用户终端处的计算机处理装置执行的用于访问网络的计算机可读指令,所述指令包括用于实现为实施根据权利要求21所 述的方法的通信客户程序的指令。
23.一种用于访问网络的用户终端,所述用户终端包括用于执行通信系统的用户的通信客户程序的装置,其中,由在所述通信系统的另一用户的另一用户终端处执行的另一通信客户程序将用于访问网络的访问证书存储在该另一用户终端的第一存储装置中或者所述通信系统的第一存储装置中,所述另一用户已经授权所述用户对存储在所述第一存储装置中的所述访问证书进行访问,所述用户终端包括 取还装置,其用于根据所述通信客户程序的执行,基于所述用户对第一存储装置中的所述访问证书进行访问的授权而访问所述第一存储装置并且取得所述访问证书; 第二存储装置,其用于存储所取得的访问证书;以及 访问装置,其用于根据所述通信客户程序的执行,使用存储在所述第二存储装置中的所述访问证书对所述网络进行访问,且不以所述第二用户可理解的方式向所述第二用户传达所取得的访问证书。
24.一种许可访问网络的方法,其通过将访问证书存储在通信系统中供在所述通信系统的相应第一用户终端和第二用户终端处执行的第一通信客户程序和第二通信客户程序的用户使用来进行,所述访问证书用于对网络进行访问,所述方法包括 所述第一通信客户程序将所述访问证书存储在所述通信系统的第一存储装置中,其中,所述用户被授权对存储在所述第一存储装置中的所述访问证书进行访问; 所述第二通信客户程序基于所述用户的对所述第一存储装置中的所述访问证书进行访问的授权而访问所述第一存储装置并且取得所述访问证书; 所述第二通信客户程序将所取得的访问证书存储在所述第二用户终端处的第二存储装置中;以及 所述第二通信客户程序使用被存储在所述第二存储装置中的所述访问证书来对网络进行访问,且不以所述第二用户可理解的方式向所述第二用户传达所取得的访问证书。
全文摘要
一种许可访问网络的方法和通信系统,其通过在通信系统中在通信系统的第一和第二用户的第一和第二用户终端处执行的第一和第二通信客户程序之间对访问证书进行共享来实现。访问证书用于对网络进行访问。所述方法包括第一通信客户程序将访问证书存储在第一用户终端或通信系统的第一存储装置中;并且第一用户授权所述第二用户对存储在第一存储装置中的访问证书进行访问;第二通信客户程序基于第二用户的访问第一存储装置中的访问证书的授权而访问第一存储装置来取得访问证书并存储在第二用户终端的第二存储装置中;第二通信客户程序使用第二存储装置中的访问证书来对网络进行访问,不以所述第二用户可理解的方式向第二用户传达所取得的访问证书。
文档编号H04L29/06GK102739643SQ201210112409
公开日2012年10月17日 申请日期2012年4月16日 优先权日2011年4月15日
发明者沙迪·马哈斯尔, 马迪斯·卡尔 申请人:斯凯普公司