由通信对象实施获取对网络的访问权限的制作方法

本发明涉及一般电信领域。

本发明更具体地涉及管理通信对象对通信网络的访问权限的领域。

背景技术：

“通信”或“已连接”对象是本文中使用的术语，用于指定具有经由通信网络与另一对象，或与通信终端，或实际上与通信网络的计算机设备交换信息的能力的对象。因此，移动终端和手表构成了已连接对象的示例，所述手表适于经由例如因特网的扩展通信网络向移动终端发送信息。

为了将通信对象连接到通信网络，需要使用对特定于通信对象的通信网络的签约(subscription)，或者本身具有对通信网络的签约的接入网关。作为示例，这样的接入网关可以是允许访问通信网络运营商的服务的家庭网关，或者它可以是被配置成接入网关的移动电话。

第一种解决方案具有以下优点：使通信对象能够将自身连接到通信网络的、与通信对象的连接装置兼容的所有接入点，并以对于其用户独立且透明的方式来实现。然而，它具有价格昂贵的缺点，因为它假定取得了与用于连接到通信网络的通信对象一样多的签约。

第二种解决方案是较便宜的，因为无论待连接的对象数量如何，其只需要对通信网络使用一个签约。然而，第二种解决方案不令人满意，因为为了将通信对象连接到通信网络，它需要将通信对象与给定的接入网关进行优先匹配。因此，只有通信对象在接入网关附近时，通信对象可以访问通信网络。如果这种情况不成立，则在能够与通信网络连接之前，通信对象将需要再一次与位于其附近的另一个接入网关匹配。

因此，将通信对象连接到通信网络是价格昂贵或难以执行的操作。

发明目的和内容

本发明特别用于减少这些缺点，在第一方面，提出了一种管理通信对象的权限的方法，该方法由通信网络的权限管理平台执行。权限管理方法包括：

接收来自通信对象的信令消息的步骤；

向位于通信对象附近的至少一个设备发送列表的步骤，所述列表包括位于设备附近的通信对象的至少一个标识符；

从设备接收包括列表中的通信对象的标识符的消息的步骤，所述设备具有访问通信网络的权限，该权限与所述设备的用户相关联并且被称为“初始”权限；

向设备发送描述消息的步骤，所述描述消息包含可分配给所选对象的权限的列表，该可分配权限是基于初始权限定义的；

从所述设备接收请求建立权限的请求消息的步骤，所述消息包括从可分配权限的列表中选择的属于所述对象的权限(被称为“委托”权限)的描述；

创建与委托权限相关联的通信配置文件的步骤；和

将配置文件发送到对象以对其进行配置的步骤。

相应地，本发明还提供了一种用于管理通信对象的权限的权限管理平台，该平台与通信网络相关联。所述平台包括：

接收来自通信对象的信令消息的模块；

向位于通信对象附近的至少一个设备发送列表的模块，所述列表包括位于设备附近的通信对象的至少一个标识符；

从设备接收包括列表中的通信对象的标识符的消息的模块，所述设备具有访问通信网络的权限，该权限与所述设备的用户相关联并且被称为“初始”权限；

向设备发送描述消息的模块，所述描述消息包含可分配给所选对象的权限的列表，所述可分配权限是基于初始权限定义的；

从所述设备接收请求建立权限的请求消息的模块，所述消息包括从可分配权限的列表中选择的属于所述对象的权限(被称为“委托”权限)的描述；

创建与委托权限相关联的通信配置文件的模块；和

将配置文件发送到对象以对其进行配置的模块。

根据本发明，在连续接收来自通信对象的信令消息和来自配置请求设备的建立权限的请求时，权限管理平台创建并生成特定于通信对象的访问权限。

分配给通信对象的被称为“委托”权限的访问权限的显著之处在于：为了访问通信网络，它们是从与用户已经取得的与网络运营商的签约相关联的初始访问权限中获取的。作为示例，初始权限经由通信网络对应于不受限制的因特网、数据和语音签约。初始权限还指定用户可以授予委托权限的多个通信对象。

由于初始和委托权限与单个签约相关联，因此本发明使得用户能够取得与通信网络的单个签约，所述单个签约能够使用户连接一组通信对象。不需要有不同的签约来授权不同的通信对象与通信网络连接。

有利地，通过使用配置请求设备，用户能够定义用户试图分配给通信对象的委托权限的范围。当通信网络具有多个接入网络(例如蜂窝接入网络和wifi接入网络)时，具有可用于与蜂窝网络和wifi网络通信的手段的通信对象的用户能够因此选择允许通信对象仅访问这两个接入网络中的一者，或者相反地访问它们两者，这取决于用户分配给对象的委托权限。

在本发明的特定实施方式中，仅在平台从接收信令消息开始计算的预定时间间隔内接收到建立权限的请求时才执行创建和发送配置文件的步骤。

指定预定时间间隔考虑通过通信网络发送消息的意外延迟，并且使得在延迟大于预定时间间隔的情况下自动地放弃配置当前委托权限成为可能。

在第二方面，本发明还提供了一种请求配置通信对象的方法。所述方法由具有访问通信网络的权限的通信设备执行，所述权限与所述设备的用户相关联且被称为“初始”权限。所述方法包括：

从网络的权限管理平台接收通信对象的至少一个标识符的列表的步骤；

从列表中选择通信对象并向平台发送所选对象的标识符的步骤；

接收包含可分配给所选对象的权限的列表的消息的步骤，所述可分配权限是由所述平台基于初始权限定义的；以及

向所述平台发送用于建立特定于所述对象的权限的请求的步骤，所述权限从可分配权限的列表中选择且被称为“委托”权限。

相应地，本发明还提供了一种用于请求配置通信对象的配置请求设备，所述设备具有访问通信网络的权限，该权限与所述设备的用户相关联并且被称为“初始”权限。所述设备包括：

从网络的权限管理平台接收通信对象的至少一个标识符的列表的模块；

从列表中选择通信对象并向平台发送所选对象的标识符的模块；

接收包含可分配给所选对象的权限的列表的消息的模块，所述可分配权限是由所述平台基于初始权限定义的；以及

向所述平台发送用于建立特定于所述对象的权限的请求的模块，所述权限从可分配权限的列表中选择且被称为“委托”权限。

本发明还提供一种包括配置请求设备的通信终端。

当用户试图通过本发明的通信终端上的应用将委托权限分配给通信对象时，用户查看将在通信终端附近找到的通信对象的列表。应该了解，该通信对象的列表可以包含不属于用户的通信对象。为了解决这种模糊，在展示通信对象的列表时，用户选择用户试图分配访问权限的对象，并且终端将所选对象的标识符发送到管理平台。

在本发明的特定实施方式中，所选择的对象是从至少一个通信对象的集合中选择的，所述至少一个通信对象已经向设备发送了指示其先前已向平台发送了信令消息的信息消息。

换句话说，在经由通信网络的接入点向权限管理平台发送信令消息之后，通信对象还向位于其直接环境中的通信终端发出信号指示其存在。该第二信令可以例如经由通信信道发生，所述通信信道是利用蓝牙类型或近场通信(nfc)类型的短距离数据和通信标准建立的。

有利地，通过将展示给用户的通信对象的列表限制为那些同时位于通信终端的短距离处和通信网络的接入点附近的通信对象来改善用户体验。

在第三方面，本发明还提供了一种获取通信对象访问通信网络的权限的方法，所述通信对象最初具有限于与网络的权限管理平台交换数据的权限，所述方法由所述通信对象执行。所述方法包括：

向平台发送信令消息的步骤；以及

接收特定于所述网络的通信配置文件的步骤，所述配置文件在网络中与特定于对象的权限(被称为“委托”权限)相关联，所述委托权限是基于与对象的用户相关联的网络访问权限(被称为“初始”权限)来定义的；

所述委托权限适于使所述通信对象能够访问通信网络。

相应地，本发明还提供了一种初始具有限于与通信网络的权限管理平台交换数据的权限的通信对象。通讯对象包括：

向所述平台发送信令消息的模块；以及

接收特定于所述网络的通信配置文件的模块，其中所述配置文件在网络中与特定于对象，被称为“委托”权限的权限相关联，所述委托权限是基于与对象的用户相关联的且被称为“初始”权限的通信设备(2)的网络访问权限来定义的；

所述委托权限适于使所述通信对象能够访问通信网络。

所述网络通过向通信对象提供委托的访问权限来配置通信对象，使其能够经由与其通信手段兼容的接入点来访问通信网络，这些接入点还适于接收来自通信对象的接入网络的请求，并将这种请求转达到网络，该网络负责对这些对象执行网络认证。

有利地，通信对象访问网络，而不需要任何先前与接入网关匹配，并且不需要通信对象自身具有对通信网络的签约。

在本发明的特定实施方式中，通信配置文件经由建立在权限管理平台与通信对象的安全元件之间的安全信道被接收。

作为示例，安全元件是在其制造商创建通信对象期间被预配置的嵌入式sim(esim)。特别地，安全元件存储与通信对象的制造商相关联的信息，例如，公钥证书、与其相关联的私钥、以及用于通信对象的唯一标识符。

安全通信信道的使用使得将通信配置文件发送到通信对象的安全元件成为可能，即使在此阶段，通信对象仅具有访问网络的有限制权限。

此外，通过安全信道的传输可以确保在通信对象的安全元件和权限管理平台之间交换的信息是机密的。

作为示例，安全信道可以基于使用与保存在安全元件中的、对象的制造商的证书相关联的rsa类型私钥来建立。

在本发明的特定实施方式中，权限获取方法包括在接收步骤之前，向至少一个通信设备发送信息消息的步骤，该消息指示通信对象先前已经发送了信令消息。

如上所述，并且有利地，接收该信息消息的通信终端能够将它们展示给其用户的通信对象的列表限制为那些仅同时位于通信终端的短距离处和通信网络的接入点附近的对象。

在特定实施方式中，权限获取方法、配置请求方法以及权限管理方法的各个步骤由计算机程序指令确定。

因此，本发明还提供了一种数据介质上的计算机程序，所述程序适于在通信对象中执行，所述程序包括适于执行如上所述的权限获取方法的步骤的指令。

因此，本发明还提供了一种数据介质上的计算机程序，所述程序适于在通信终端中执行，所述程序包括适于执行如上所述的请求配置通信对象的方法的步骤的指令。

因此，本发明还提供了一种数据介质上的计算机程序，所述程序适于在权限管理网关中或更一般地在计算机中执行，所述程序包括适于执行如上所述的权限管理方法的步骤的指令。

这些程序可以使用任何编程语言，并且以源代码、目标代码或源代码和目标代码之间的中间代码形式，例如以部分编译的形式或以任何其它期望的形式存在。

本发明还提供了包括如上所述的计算机程序的指令的计算机可读数据介质。

数据介质可以是能够存储程序的任何实体或设备。例如，介质可以包括存储装置，例如只读存储器(rom)、随机存取存储器(ram)、可编程只读存储器(eprom)、电编程只读存储器(eeprom)或光盘(cd)rom，或实际上是磁记录装置，例如软盘或硬盘。

此外，数据介质可以是例如适于经由电缆或光缆、通过无线电或其他方式传送的电信号或光信号的传输介质。本发明的程序可以特别地从互联网类型的网络下载。

可选地，数据介质可以是其中并入有程序的集成电路，该电路适于执行或用于执行所讨论的方法。

在第四方面，本发明还提供一种权限管理系统，包括：

本发明的至少一个通信对象；

本发明的权限管理平台；和

本发明的至少一个配置请求设备。

附图说明

本发明的特征和优点从参考附图的详细描述中看出，其中：

图1示出了本发明的实施例中的权限管理系统的第一示例；

图2示出了本发明的通信对象的硬件架构的示例；

图3示出了本发明的配置请求设备的硬件架构的示例；

图4示出了本发明的权限管理平台的硬件架构的示例；

图5示出了本发明的特定实施方式中的权限获取方法、配置请求方法和管理方法的主要步骤；以及

图6示出了本发明的实施例中的权限管理系统的第二示例。

具体实施方式

图1在其环境中示出了根据本发明的访问权限管理系统100的特定实施例。

根据本发明，访问权限管理系统100依赖于三部分架构，使得用户u能够借助于构成配置请求设备的通信终端2以及访问权限管理平台3将访问权限分配到通信对象1，所分配的权限与用户u的签约例如与网络运营商取得的签约相关联。所述签约使用户能够访问通信网络4的服务。

系统100包括：

通信对象1；

用户u的通信终端2；和

权限管理平台3。

通信或已连接的对象是适于经由通信网络与另一对象，或与通信终端，或者实际上与通信网络的计算机设备交换信息的对象。因此，移动终端、适于经由例如因特网的扩展通信网络向移动终端发送信息的手表以及适于与远程移动终端通信以便在房屋中发出烟雾存在的信号的烟雾探测器皆构成已连接对象的示例。在目前描述的示例中，通信对象1是适于测量佩戴它的用户的物理特性(例如，用户的心率)的手表，并且适于将测量结果发送到远程计算机设备(图1中未示出)，所述远程计算机设备适于在给定时间段内处理测量结果。

通信网络4具有至少一个到扩展通信网络，例如因特网的接入网络。接入网络可以是移动网络，例如，通用移动电信系统(umts)，或者它可以是固定网络，例如，可以是有线或无线的以太网，例如使用wifi接入网络等。

通信对象1是根据本发明的通信对象。其硬件架构如图2用图解法所示。因此，通信对象1特别包括处理器1a、rom1b、ram1c、非易失性存储器1d、用于通过通信网络4通信的通信模块1e和安全元件1f。

根据本发明的权限获取方法，通信对象1由用户u授予委托权限。委托权限包括适于使通信对象能够访问由通信网络4提供的一些或全部服务的通信配置文件。委托权限来源于在用户已经与网络运营商取得签约的条件下与用户u相关联的初始权限，以便访问通信网络4。例如，签约者u可以具有给予用户对移动网络的无限制的数据和语音访问的签约。假设所述签约还对用户u具有权限连接一些给定数量的通信对象做出规定。因此，基于这些初始权限，生成用于通信对象1的委托权限，使得通信对象1能够以数据模式持续预定的时间访问网络，以下载有限数量的数据等。委托给通信对象的权限由用户u授予，并且它们从用户的初始访问权限中获取。可以理解的是，委托权限，更准确地说，由用户u向用户的通信对象之一授予的访问网络的特性，保持在初始权限的范围内。例如，通信对象可以进行通信的持续时间及其可以下载和发送的数据量等于或小于当用户u取得签约时所同意的值。

安全元件1f存储与通信对象1的制造商相关联的信息，例如，公钥证书、与其相关联的私钥、以及通信对象1的唯一标识符idu。作为示例，该信息用于启用通信对象1的第一认证和用于与通信网络4的权限管理平台3建立安全通信信道。通信对象1的制造商在其制造期间交付并安装证书和私钥。证书用于识别对象及其制造商。在向通信对象分配委托权限的同时，网络运营商可以选择仅对由某些制造商制造的通信对象授予权限。以常规方式，私钥用于认证通信对象1。安全元件1f还被布置成存储通信配置文件，所述通信配置文件包括能够使通信对象1访问通信网络4的数据。通信配置文件由通信网络4传送并且包括用于访问网络的数据。以常规方式，配置文件包括认证密钥ki和使得网络能够识别用户u的国际移动用户标识(internationalmobilesubscriberidentity，imsi)号码类型的标识符。安全元件1f还被布置为从网络接收并存储访问网络时使用的加密算法。

安全元件1f可以例如是嵌入式用户标识(esim)类型。

在一个变型中，安全元件1f是安全的环境。

通信对象1的rom1b构成可由处理器1a读取的数据介质，该处理器1a存储根据本发明的计算机程序，包括用于执行根据本发明的权限获取方法的步骤的指令，权限获取方法的步骤将在下面参照图5在特定实施方式中进行描述。

通过相同的方式，计算机程序定义了通信对象1的功能模块，例如用于向权限管理平台4发送信令消息的模块1b1和用于接收特定于网络4的通信配置文件的模块1b2，该配置文件在网络中与特定于对象1的权限(称为“委托”权限)相关联。参照图5所示的权限获取方法的步骤更详细地描述这些模块的功能。

下面参考图3描述构成实施例中的配置请求设备的示例的通信终端2的架构。

通信终端2包括处理器2a、rom2b、ram2c、非易失性存储器2d和通信模块2e。

通信终端2的rom2b构成了可由处理器2a读取且存储根据本发明的计算机程序的数据介质，所述计算机程序包括用于执行根据本发明的配置请求方法的步骤的指令，该方法的步骤将在下面参照图5在特定实施方式中进行描述。

作为示例，所述程序在通信终端的可信执行环境(trustedexecutionenvironment，tee)类型的安全环境中执行。

以同样的方式，计算机程序定义通信终端2的功能(软件)模块，例如特别是用于与权限管理平台3通信的模块2b1和用于从通信对象的列表中选择通信对象的模块2b2。以下参照图5所示的配置请求方法的步骤更详细地描述它们的功能。

没有限制与通信终端2的性质相关联，作为示例并且如图1所示，通信终端2可以是智能手机，使得用户u能够根据先前与网络4的运营商取得的签约来访问通信网络4。

所述签约将用户u与如上所述的初始权限相关联，指定用户可访问的通信网络4的服务或访问网络的特性。在当前描述的示例中，初始权限经由通信网络4对应于不受限制的互联网、数据和语音签约，这些初始权限还允许将委托权限分配给最多两个已连接对象。

与用户u的签约相关联的权限由权限管理平台3管理。

权限管理平台3参照图4进行说明。

平台3包括处理器3a、闪存的存储器3b或电擦除可编程只读存储器(eeprom)类型、ram3c、非易失性存储器3d和通信模块3e。平台3可以依赖于蜂窝电话网络的归属位置寄存器(homelocationregister，hlr)。

权限管理平台3的存储器3b构成可由处理器3a读取的数据介质，该处理器3a存储根据本发明的计算机程序，包括用于执行根据本发明的权限管理方法的步骤的指令，所述管理方法的步骤将在下面参照图5在特定实施方式中进行描述。

以同样的方式，计算机定义了权限管理平台3的功能(软件)模块，例如特别是用于与通信对象1进行通信的模块3b1、用于与通信终端进行通信的模块3b2、以及创建通信配置文件的模块3b3。以下参照图5所示的管理方法的步骤更详细地描述它们的功能。

参照图5，以下将对由通信对象1执行的权限获取方法的步骤、由构成配置请求设备的通信终端2执行的配置请求方法的步骤、以及在本发明的第一实施方式中由权限管理平台3执行的管理方法的步骤进行说明。

在对应于参考图1说明的系统的当前描述的第一示例中，通信网络4包括第一接入网络和第二接入网络，所述第一接入网络是经由例如基站或演进型基站(enodeb)等接入节点7可访问的蜂窝网络，并且所述第二接入网络是无线网络，允许进入经由接入网关8可访问的扩展通信网络。

通信对象1是已连接手表，具有适于连接到通信网络4的无线接入网络的通信模块1e。

通信终端2是智能终端，其使得用户u能够通过该用户的签约，经由蜂窝接入网络的接入节点7连接到通信网络4。

为了经由接入节点7访问通信网络4，用户已经接收到插入在终端2中的sim卡，所述sim卡使得通信网络4能够认证用户u并且识别分配给终端2的接入权限。

用户u具有与用户的签约相关联的初始访问权限，所述签约定义了当访问通信网络4时可用于用户的资源。例如，签约者u可以取得授权访问语音和数据网络以及访问无限制的因特网的签约。在此示例中，初始权限使得委托权限能够被分配给两个已连接对象。初始权限存储在位于通信网络4(例如位于权限管理平台3)中的权限数据库(图1中未示出)中。

在初始化时，通信对象1仅具有被限制成与权限管理平台3交换数据的访问权限。有限制的访问使得通信对象1能够访问网络，但是不能够将数据传送到其他对象或终端。通信对象1的有限制的访问是为了保持其与网络的连接性，直到已经对其分配委托权限为止。这种有限制的访问总是提供给拥有由网络运营商认可的制造商制造的个性化安全元件的所有对象。

在初始步骤e5中，用户u启动对通信对象1的委托权限的分配，例如，通过选择可从通信对象1的人/机接口访问的配置选项。

响应于用户u的动作，通信对象1在步骤e10期间用来向通信网络4的权限管理平台3发送信令消息m1。

信令消息m1特别包括通信对象1的唯一标识符idu，该唯一标识符idu存储在通信对象1的安全元件1f中。如上所述，安全元件1f通过在内部记录标识符idu，连同由对象的制造商或由第三方可信授权机构签名的证书以及与证书相关联的私钥来进行个性化制造。

在目前描述的示例中，借助于连接对象1的通信模块1e通过根据wifi协议与家庭网关8建立的通信信道发送消息m1。

在一个变型中，通过蓝牙或近场通信(nfc)类型的通信信道发送消息m1。

在接下来的步骤e15中，通信对象1向位于其附近的所有通信终端发送包含其标识符idu的信息消息info。该信息消息info指示通信对象1先前已经向平台3发送了信令消息m1。信息消息info用于建议用户应仅向已发送此消息的对象分配委托权限。

家庭网关8被配置成接收来自通信对象1的信令消息，并将这些信令消息传送到权限管理平台3。因此，消息m1由家庭网关8接收并在步骤e20期间重新发送到通信网络4的权限管理平台3。

在接下来的步骤e30中，权限管理平台3对通信对象1进行认证，并与通信对象1的安全元件1f建立安全通信信道。认证依赖于本文中未详细描述的已知方法，利用存储在已连接对象1的安全元件1f中的私钥和证书进行。

权限管理平台3还(在步骤e40)用于识别位于通信对象1附近的通信终端。为此，权限管理平台3根据网关8的ip地址确定网关8的地理位置。已连接对象1实际上位于网关8的附近。此外，权限管理平台3对处于距离网关8的位置小于预定值的位置处的通信终端进行地理定位，其中根据所使用的地理定位技术的精度选择该预定值。

在一个变型中，权限管理平台3可以基于通信终端发送到平台3的位置信息来对通信终端进行地理定位。

权限管理平台3在步骤e50中用于制定通信对象的标识符的列表，在接收到信令消息m1之前的预定时间长度内所述通信对象已经请求分配访问网络4的权限。应该了解，该列表至少包含通信对象1的标识符idu。

然后，权限管理平台3(在步骤e60)将识别消息m2发往在步骤e40中识别的终端，该消息m2包括在步骤e50期间制定的标识符的列表。

在接下来的步骤中，用户u(在步骤e65中)使用连接到通信网络4的通信终端2来查看从平台3接收到的位于终端2附近的通信对象的列表。

在一个变型中，用户u在终端2处查看通信对象，那些通信对象属于从平台3接收的列表并且在步骤e15期间已经向终端2发送了信息消息info以指示它们之前也已经向平台发送了信令消息3。因此，信息消息info可限制向用户展示的列表中的通信对象的数量。可以理解，在密集地理区域中，该功能可以用于避免用户收到太多对象列表。

在步骤e65中，用户u还在终端2所展示的通信对象的列表中选择通信对象1。通过进行该选择，用户确认用户正在试图将委托权限分配给通信对象1。

此后(在步骤e70)，终端2向的平台3发送消息m3，消息m3中包含由用户u选择的通信对象1的标识符idu。

权限管理平台3在接收到消息m3时识别(在步骤e75中)终端2的用户u，并且基于分配给用户u的初始权限来确定(在步骤e80中)能够分配给通信对象1的权限crd1。

在接下来的步骤e90中，权限管理平台3向的终端2发送消息m4，消息m4包含可分配给通信对象1的权限的列表。这种可分配权限的列表由用户的初始权限生成，并且包括访问网络的权限，该权限可被委托给通信对象1。可分配权限被识别以保持在初始权限的范围内。

用户u(在步骤e95中)在通信终端2上查看可分配给通信对象1的权限的列表，并且在步骤e100期间，定义用户试图分配给通信对象的委托权限crd2。在当前描述的示例中，用户u试图向通信对象1分配权限以访问通信网络4的第二接入网络，即无线接入网络。

然后，在步骤e110期间，终端2生成用于建立委托权限的请求消息m5,请求消息m5包含所选择的通信对象1的标识符idu以及由用户选择的委托权限crd2，具体为经由其第二接入网络访问通信网络的权限。

然后，在步骤e120中，终端2向管理平台3发送请求建立委托权限的消息m5。

然后，在步骤e130中，权限管理平台3验证在预定的时间间隔t内是否已经接收到来自通信终端2的请求建立权限的消息m5和来自通信对象1的信令消息m1。时间间隔t用于考虑到用户u能够在终端2上进行选择所需的时间以及在通过通信网络发送消息时所涉及的通常延迟，并且在该时间段长于可设定时间间隔t的情况下，它自动放弃配置当前委托权限。

在接下来的步骤e140中，权限管理平台3为已连接对象1创建通信配置文件prof，并将授予已连接对象1的权限存储在权限数据库中。通信配置文件prof特别包括认证密钥ki1和用于使通信对象1能够访问通信网络4的标识符imsi1。激活配置文件prof包括在与hlr相关联的数据库中添加信息，特别是包括与通信对象1相关联的认证密钥ki1和号码imsi1。

然后，在接下来的步骤e150中，权限管理平台3将为通信对象1创建的通信配置文件prof发往对象1的安全元件1f。配置文件prof通过建立在已连接手表1的安全元件1f与管理平台3之间的安全通信信道进行传输。

在保存(在步骤e160)从权限管理平台3接收到的通信配置文件prof时，通信对象1可以使用属于它的这些权限访问通信网络4。

因此，借助于权限获取方法，通信对象1能够经由与其委托权限相兼容的任何接入点和其通信模块1e访问网络4，其他接入点适于接收来自通信对象1的访问网络的请求并且将这些请求转发到负责与通信对象1进行网络认证的网络。

在上述示例中，已连接对象1因此可以经由网关8或经由与用户u的网关8不同的第二网关(图1中未示出)接入网络。作为示例，第二网关可以是由通信网络4的运营商管理的公共接入点。

在一个变型中，第二网关是网络4的一些其他用户的家庭网关，该家庭网关已经被配置成接收来自根据本发明的任何通信对象的访问网络的请求，并将这些请求转发到网络。

因此，第二个网关包含一个远程访问服务器(remoteaccessserver，ras)功能。ras功能允许已获取委托访问权限的对象通过第二网关连接到因特网，并遵循以下过程。通信对象1发送包含其imsi1的连接请求，并且第二网关向hlr通知来自对象的请求。hlr通过将数据集发送到第二网关来进行响应，使得网关能够对对象进行认证，并对通过对象和第二网关之间的无线电部分交换的数据进行加密。此数据特别地来自以下步骤：{(rand1，xresp1，kc1，...)；(rand2，xresp2，kc2，...)；(rand3，xresp3，kc3，...)；(rand4，xresp4，kc4，...)；...(randn，xrespn，kcn，...)}，其中数据kci包括用于在通信对象1和第二网关之间的无线电链路上使用的数据加密密钥。第二网关向通信对象1发送质询“rand1”。所述对象计算响应resp1(取决于rand1和ki1)并将其发往第二网关。然后，所述网关将resp1与xresp1(hlr指定的预期响应1)进行比较。如果两个响应相同，则对象已验证，并且第二网关为其提供连接到因特网的参数：ip地址、dns地址、默认网关地址等。第二网关以固定时间间隔通过向通信对象1发送一个新的randi来重新认证通信对象1。

之后，根据用户u的请求，权限管理平台3向终端2发送与用户u的签约相关联的通信对象的列表。

因此，用户能够在终端2上查看与用户的签约相关联的所有对象。

在一个实施方式中，由于对象已经被销售给第三方，或者由于对象已被盗或丢失等原因，用户u可以撤销先前授予给通信对象的委托权限。

用户u可以从通信终端2上的菜单中选择通信对象1。通信终端2向权限管理平台3发送关于通信对象1的去关联消息。

在接收到该去关联消息时，权限管理平台3停用通信对象1的通信配置文件。停用配置文件包括：在委托权限已创建时，从网络的认证中心删除与通信对象1相关联的数据，所述数据包含认证密钥ki1的数据和号码imsi1。从这一刻开始，通信对象1不能再接入通信网络4。

权限管理平台3还可以在接收到去关联消息时，向通信对象1的安全元件1f发送有关权限的停用消息。

参考图6，接下来描述本发明的第二实施例。

为了简化的原因，在该图中给出了与图1所示的第一实施例相同的元件的相同的参考符号。

在该第二实施例中，权限管理平台200包括：

通信对象1’；

用户u的通信终端2；和

权限管理平台3。

在该实施例中，通信对象1'还具有用于接入3g/4g蜂窝网络的调制解调器，使其能够经由接入节点接入通信网络4。作为示例，通信对象1'是触摸平板电脑，并且其通信模块适合于连接到wifi接入网络以及连接到蜂窝网络。

在目前描述的实施例中，用户u还具有对应于因特网的初始权限和对通信网络4的移动签约，这些初始权限还使得委托权限能够被分配给最多两个已连接对象。

根据本发明，用户u从触摸板1'发起向通信网络4发送信令消息m1'。

信令消息m1'可以经由蜂窝接入网络或经由wifi接入网络同样很好地传递。作为示例，通信对象1'选择提供更大带宽的接入网络。当信令消息经由wifi网络传递时，由家庭网关8接收该消息，所述家庭网关8被配置成接收来自通信对象的信令请求并传送到权限管理平台3。当信令消息m1'经由蜂窝网络传递时，消息由接入节点7接收，接入节点7将其转发到权限管理平台3。无论哪种方式，在这个阶段，通信对象1'访问网络是受限的。

权限管理平台3在接收到信令消息m1'时对通信对象1'进行认证，并与通信对象1'的安全元件1f建立安全的通信信道。

如上述步骤e40所述，权限管理平台3识别位于通信对象1'附近的通信终端。当标称接入点是接入节点7时，平台3可以使用任何已知的方法来确定通信对象1'的位置。例如，可以使用三角测量方法。如上述步骤e50所述，权限管理平台3制定了已请求分配委托授权的通信对象的标识符的列表。然后，权限管理平台3(在步骤e60中)将识别消息m2'发送到所识别的终端，该消息包括在步骤e50中制定的标识符列表。

用户u在通信终端2上查看位于附近的通信对象的列表，并选择用户试图授予委托权限的通信对象1'(步骤e65)。

然后，终端2将消息m3'发送(步骤e70)到平台3，该消息包含用户u选择的通信对象1的标识符idu'。

在接收到消息m3'时，权限管理平台3识别(步骤e75)终端2的用户u，并且基于分配给用户u的初始权限来确定(步骤e80)哪些权限crd1'可以分配到通信对象1。

在接下来的步骤e90中，权限管理平台3向终端2发送消息m4'，该消息包含可被分配给通信对象1'的权限的列表。

用户u(步骤e95)在通信终端2上查看可分配给通信对象1’的权限的列表，并且在步骤e100中，定义用户试图分配给通信对象1’的委托权限crd2’。在目前描述的实施例中，用户u试图向通信对象1'分配访问通信网络4的蜂窝接入网络的权限。

然后，在步骤e110期间，终端2生成请求建立委托权限crd2'的消息m5'，消息m5'包含所选通信对象1的标识符idu'以及由用户选择的委托权限crd2'，具体为经由蜂窝接入网络接入通信网络的权限。

之后，在步骤e120中，终端2将消息m5'发往管理平台3，请求建立委托授权。

然后，权限管理平台3在步骤e130用于验证在预定时间间隔t内是否接收到来自通信终端2的请求建立权限的消息m5'和来自通信对象1的信令消息m5'。时间间隔t用于顾及通过通信网络4发送消息出现的意外延迟，并且当该时间段长于可设置的时间间隔t时，使得正在进行的委托权限的配置被自动放弃。

在接下来的步骤e140中，权限管理平台3为已连接对象1'创建通信配置文件，并将分配给已连接对象1'的权限登记在权限数据库中。

然后，在随后的步骤e140中，权利管理平台3将为通信对象1'创建的通信配置文件发往(在步骤e150中)对象1'的安全元件1f'。委托权限crd2'的这种传输发生在通信对象1'的安全元件1f'和管理平台3之间建立的安全通信信道。

在保存(在步骤e160中)从权限管理平台3接收的通信配置文件之后，通信对象1'可以通过使用属于其的这些权限经由到达通信网络4的蜂窝接入点来访问通信网络4。