从应用服务器接入服务的方法及移动装置与流程

相关申请的交叉引用

本申请要求享有于2010年12月30日提交的美国临时专利申请No.61/428,663的权益，其全部内容通过引用结合于此。

背景技术：

用户通常能够在漫游于网络之间时连续的使用服务。当用户从被当前网络服务的位置移动到被目标网络服务的位置时，可执行切换，例如在接入层执行。当执行切换时，用户可能需要被认证到正在服务用户将要移动进入的位置的目标网络。在接入层的认证可在每次切换中发生，并且用户装置可使用预先提供的证书来在接入层接入目标网络。

用户的通信装置可使用分层通信机制来进行通信。在许多情况中，不同的通信层每个都要求它们自己的安全性。切换可发生于分层网络中的一个节点与另一个节点之间。虽然存在用来实现这类切换的技术，但是通信可要求当前所使用的安全性关联或机制能够有所突破。

根据一个示例，接入层切换可当在接入层发生到另一网络的切换时通过使用附加安全性建立来引起当前使用的安全性机制中的突破。例如，附加安全性建立可在每次在接入层发生切换时包括另一个认证和/或安全性密钥协定的会话。随着接入层切换变得更加频繁，在每次发生接入层切换时建立附加安全性会话可引入延迟和/或不必要的空中通信和/或对网络认证基础结构的负担。这使得实现无缝切换变得困难起来。

技术实现要素：

本发明内容被提供来以简化的形式引入多个概念，这些概念在下面的具体实施方式中将被进一步描述。

这里描述了用于在移动装置处生成认证证书的系统、方法和设备实施方式，其中所述认证证书用于对移动装置进行认证以接入网络服务器处的服务。认证的持续性和一层处的相关联的证书可被用来建立另一层处的证书。如此处所述，可建立持续通信层证书，其与网络服务器共享。例如，持续通信层证书可以是在应用层生成的应用层证书或幸免于(survive)从一个网络到另一个网络的切换的在持续通信层处生成的其它证书。可经由第一网络上的持续通信层建立持续通信层证书。该持续通信层证书可被配置为对移动装置进行认证以使用第一网络从网络服务器接收服务。可发现第二网络上的网络通信实体，并且可基于持续通信层证书生成认证证书。认证证书可被用于经由不同于所述持续通信层的通信层与第二网络进行认证，以使得移动装置能够使用第二网络从网络服务器接收服务。

根据另一示例实施方式，可在应用服务器处获得认证证书，该认证证书用于在位于通信网络上的应用服务器处认证移动装置。例如，可获得从应用层证书导出的认证证书。可经由与应用服务器相关联的应用层获得所述认证证书。认证证书可被配置为认证移动通信装置，以用于接入来自应用服务器的服务。可将认证证书从应用层发送到另一通信层，以用于在其它通信层上认证移动装置。

根据示例实施方式，其它通信层可以是接入层。接入层可以是物理、数据链路、和/或网络层。当其它通信层是接入层时，认证证书可以是用于在接入层处的认证的接入层证书。

本发明内容被提供来以简化的形式引入概念的选择，这些概念在下面的具体实施方式中将被进一步描述。本发明内容并不意在标识所要求的主题的关键特征或必要特征，也不是为了限制所要求的主题的范围。此外，所要求的主题并不限制于解决本公开中任何部分提及的任何或全部缺点。

附图说明

更详细的理解可以从下述结合附图给出的示例的描述中得到，其中：

图1A是可在其中实施一个或多个公开的实施方式的示例通信系统的系统图；

图1B是可在图1A中示出的通信系统内使用的示例无线发射/接收单元(WTRU)的系统图；

图1C是可在图1A中示出的通信系统内使用的示例无线电接入网和示例核心网的系统图；

图2是示出了针对应用层会话的切换场景的流程图；

图3是示出了针对应用层会话的另一切换场景的流程图；

图4是示出了使用本地OpenID的协议实现的流程图；

图5是示出了使用本地OpenID和许可(grant)接入/授权的协议实现的流程图；

图6是示出了通用接入方法(UAM)-OpenID集成的流程图，其中认证、授权和计费(AAA)服务器充当依赖方(RP)；

图7是示出了UAM-OpenID集成的流程图，其中无线局域网(WLAN)网关(GW)充当RP；

图8是示出了可扩展认证协议(EAP)-OpenID集成的流程图，其中AAA服务器充当RP；

图9是示出了EAP-OpenID集成的另一流程图，其中AAA服务器充当RP；

图10是示出了EAP-OpenID集成和本地OpenID提供商(本地OP)的实施的流程图，其中AAA服务器充当RP；

图11是示出了EAP-OpenID集成的另一流程图，其中AAA服务器充当RP；

图12是示出了将AAA服务器实施为OP服务器的认证协议的流程图；

图13是示出了将OpenID消息集成到EAP协议消息中的流程图；

图14是示出了针对使用OpenID连接的服务的用户设备(UE)认证的流程图；以及

图15是示出了针对使用OpenID连接和本地OP的服务的UE的认证的流程图。

具体实施方式

这里描述了针对使用联合标识和单点登录(SSO)的各种实施(例如OpenID协议)，以使能无缝用户/装置认证并确保异质网络之间的安全移动性。这里描述的实施方式可利用一个网络上的证书来在另一个网络上执行认证。在一种示例实施方式中，在一个网络上的持续通信层处生成的持续通信层证书可被用来执行反向自举(bootstrap)以及以按需和无缝的方式在另一网络上完成安全层认证和/或安全隧道设置。根据示例实施方式，持续通信层证书可以是在应用层处生成的应用层证书或幸免于从一个网络到另一个网络的切换的在通信层处生成的另一证书。虽然这里的实施方式描述了在切换场景中使用应用层证书来在另一层(例如非持续通信层)处执行认证，可以理解的是，可使用任何其它幸免于网络间的切换的在持续通信层处建立的证书。

根据实施方式，描述了用于生成接入层认证证书以用于在切换(例如接入层切换)期间对移动装置进行认证的系统和方法。可生成认证证书，从而被移动装置接入的服务在切换期间无缝地继续进行，而不被打断。如此处所述，可在接入层处与第一网络实体建立安全通信。还可基于与第一网络实体的安全通信与应用服务器建立安全应用层通信。可使用安全通信接收服务。可发现第二网络实体。可针对与第二网络实体的认证生成认证证书(例如接入层证书)。可使用与应用层通信相关联的应用层信息生成认证证书。当服务在切换期间无缝地不被打断时，可生成认证证书。

根据示例实施方式，可使用例如单点登录(SSO)协议在从一个网络到另一个网络的切换期间执行认证，以使得无线通信装置能够接入来自应用服务器的服务。例如，切换可以从蜂窝通信网络(例如3GPP网络)到无线局域网(WLAN)(例如基于浏览器的WLAN或基于802.1x/EAP的WLAN)。SSO协议可以基于通用自举架构(GBA)。SSO协议还可实施OpenID。SSO协议可被用来实施密钥导出功能，例如反向自举，以用于生成用于在应用服务器处认证用户和/或装置的认证证书。应用服务器可包括认证、授权和计费(AAA)服务器，其充当OpenID提供商(OP)或依赖方(RP)。根据另一实施方式，应用服务器可包括无线局域网(WLAN)网关或WLAN接入点(AP)，其充当RP。WLAN AP可允许在UE与另一SSO实体之间进行SSO交换。

这里提供了对所使用的术语的描述。本地标识提供商(本地Idp)是针对客户端局域化实体和这一实体的功能的术语，该实体使得在本地(即在装置上或在装置附近)为用户/装置进行标识断定(assertion)。RP是OpenID协议中的依赖方或尝试验证用户/装置的标识且与标识提供商具有信任关系的其他应用服务提供商。OP是OpenID协议中的OpenID提供商或可代表应用服务提供商认证用户和/或装置的标识提供商。GW是网关，例如控制连接的实体之间的因特网业务的实体。BA是浏览代理。U是通用移动用户。UE是通用移动用户的移动装置。

本地移动SSO是用来共同指示方法的术语，由此单点登录(SSO)和/或传统上由基于网页的SSO服务器执行的相关标识管理功能的部分或全部可在所述装置上本地执行。本地移动SSO可由基于本地的实体和/或模块执行，其可以是通信装置自身的部分或全部。基于本地的实体/模块可以物理地和/或逻辑地位于(即本地位于)通信装置和/或其用户的附近(例如这种实体/模块被嵌入到装置中，或由本地接口或有线或近距离无线装置附着或连接到所述装置)。

本地OpenID是用来指示本地移动SSO的子集的术语，由此SSO或标识管理可以基于OpenID协议。OpenID标识提供商(OP或OpenID IdP)的部分或全部功能可由位于本地的实体/模块来执行。

本地OP是用来指示执行OpenID服务器的部分或全部功能的实体或模块的术语。本地OP可以是使用OpenID协议实施的本地IdP。虽然术语本地OP被实现于这里所描述的实施方式，但是应该理解的是，本地IdP可被用于不实施OpenID协议的类似实施方式中。OPloc也可用来表示本地OP。本地OP的功能之一可以是通过关于用户和/或装置的标识的断定来促进用户和/或无线通信装置的认证。这一断定可被从本地OP发送到装置(例如在装置的浏览器代理处)，该装置可将该断定转发到外部依赖方(RP)。当本地OP所提供的功能主要限于提供这种标识断定时，执行这种功能的本地实体可被称作本地断定提供商(LAP)。

本地OP可处理(例如创建、管理和/或发送)一个或多个断定消息。本地OP可使用这些消息来断定与用户和/或装置有关的一个或多个标识的验证状态。该断定可针对这类消息的一个或多个外部接收方来被做出。第三方实体(例如依赖方(RP))可以是这类断定消息的接收方之一。本地OP可对这类断定消息进行签名，例如通过使用加密密钥来进行。

本地OpenID方法可使用一个或多个加密密钥。一个这种密钥(可被称为根会话密钥并可被表示为Krp)可以是意图在RP与OP之间使用的以充当根会话密钥的会话密钥，其它密钥可从该根会话密钥中导出。另一个这种密钥(可被称为断定密钥并可被表示为Kasc)可以是签名密钥，其可被用来对用于用户认证的断定消息中的一者或多者进行签名。Kasc可从Krp导出。

本地OpenID还可使用被称为OpenID服务器功能(OPSF)的服务来实施，其作用可以是生成、共享、和/或分发将被本地OP以及可选地被依赖方(RP)使用的秘密(secret)。OPSF和本地OP可被外部RP视为单一实体。OPSF能够验证由本地OP发布的签名，并且对于RP来讲是可经由公共因特网或其它有线或无线通信而直接到达的。装置(例如经由其浏览器)可被重定向到本地OP，例如通过修改本地DNS(其解析(resolve)装置上的缓存)来实现，从而OPSF的地址可映射到本地OP。本地OpenID还可使用由OP-agg表示的服务，其作用可以是促进对代表RP的本地OP的发现。

上述术语和描述可在这里描述的实施方式中被参考。虽然这里的实施方式可以使用OpenID术语和/或OpenID协议的一部分来进行描述，但应该理解的是，这些实施方式不限于对OpenID协议或OpenID实体的使用。

根据示例实施方式，如此处进一步描述的，移动通信装置(例如智能手机)可使用分层通信来进行通信。移动通信装置可在接入层处例如与接入层网络建立通信。移动通信装置还可在应用层或接入层处例如分别与应用服务提供商和/或这种提供商的应用层网络或接入网络建立通信。在每一层，每个通信可具有其各自的安全性。这一层特定安全性可在每一层实施认证和/或安全性密钥协定。在较高层(例如应用层)的认证和/或安全性密钥协定可利用安全性密钥和/或其它安全性相关信息(例如在较低层的安全性关联上下文)来导出密钥或应用层的其它安全性相关参数。这种技术可被称为自举技术。

根据示例实施方式，当移动装置将其接入层通信从一个接入网切换到另一个接入网时，这一处理可被称为接入层切换。接入层切换可由于通信装置的移动而发生。接入层切换可发生于接入层网络中的接入层节点(例如基站)与另一这种节点(例如另一基站)之间。这两个接入层节点可位于相同网络中、在一个接入层网络与另一个接入层网络之间、或在不同的接入层网络中。期望接入层切换对于移动通信装置的用户是透明的。还期望接入层切换是不被打断的，从而执行连续、平滑的应用层通信操作。

应用层安全性证书可被用来帮助建立接入层安全性，例如在接入层情况期间。根据示例实施方式，委派(delegated)认证(其可实施OpenID)可在应用层处被执行，以在切换期间在后续网络的接入时辅助发现和/或附着。

根据实施方式，可使用自举。接入层安全性密钥可从在现有的应用层通信处可用的安全性材料中导出。例如，接入层安全性密钥可从使用委托形式的认证(例如GBA或OpenID)建立的安全性材料中导出。

根据另一实施方式，可使用反向自举。接入层安全性密钥可从在现有的应用层通信处可用的安全性材料中导出。例如，接入层安全性密钥可从使用委托形式的认证(例如OpenID)建立的安全性材料中导出。

本地断定提供商还可在执行如此所述的认证时被使用。例如，本地OP可被用作在应用层使用的OpenID协议的一部分。本地OP可在接入层层切换期间促进无缝认证和/或密钥协定。接入层认证和/或密钥协定以及接入层授权可在无缝切换期间被使能。

图1A-1C示出了可在这里描述的实施方式中实施的网络通信系统和/或装置的示例。图1A为可以在其中实施一个或多个所公开的实施方式的示例通信系统100的示意图。该通信系统100可以是将诸如语音、数据、视频、消息发送、广播等之类的内容提供给多个无线用户的多接入系统。该通信系统100可以通过系统资源(包括无线带宽)的共享使得多个无线用户能够访问这些内容。例如，该通信系统100可以使用一种或多种信道接入方法，例如码分多址(CDMA)、时分多址(TDMA)、频分多址(FDMA)、正交FDMA(OFDMA)、单载波FDMA(SC-FDMA)等等。

如图1A所示，通信系统100可以包括无线发射/接收单元(WTRU)102a、102b、102c、102d、无线电接入网(RAN)104、核心网106、公共交换电话网(PSTN)108、因特网110和其他网络112，但可以理解的是所公开的实施方式涵盖了任意数量的WTRU、基站、网络和/或网络元件。WTRU 102a、102b、102c、102d中的每一个可以是被配置成在无线环境中运行和/或通信的任何类型的装置。作为示例，WTRU 102a、102b、102c、102d可以被配置成传送和/或接收无线信号，并且可以包括用户设备(UE)、移动站、固定或移动订户单元、平板电脑、寻呼机、蜂窝电话、个人数字助理(PDA)、智能电话、膝上型计算机、上网本、个人计算机、无线传感器、消费电子产品等等。

通信系统100还可以包括基站114a和基站114b。基站114a、114b中的每一个可以是被配置成与WTRU 102a、102b、102c、102d中的至少一者无线对接，以便于接入一个或多个通信网络(例如，核心网106、因特网110和/或网络112)的任何类型的装置。例如，基站114a、114b可以是基站收发信站(BTS)、节点B、e节点B、家用节点B、家用e节点B、站点控制器、接入点(AP)、无线路由器等。尽管基站114a、114b每个均被描述为单个元件，但是可以理解的是基站114a、114b可以包括任何数量的互联基站和/或网络元件。

基站114a可以是RAN 104的一部分，该RAN 104还可以包括诸如基站控制器(BSC)、无线电网络控制器(RNC)、中继节点等之类的其他基站和/或网络元件(未示出)。基站114a和/或基站114b可以被配置成传送和/或接收特定地理区域内的无线信号，该特定地理区域可以被称作小区(未示出)。小区还可以被划分成小区扇区。例如与基站114a相关联的小区可以被划分成三个扇区。由此，在一种实施方式中，基站114a可以包括三个收发信机，即针对所述小区的每个扇区都有一个收发信机。在另一实施方式中，基站114a可以使用多输入多输出(MIMO)技术，并且由此可以针对小区的每个扇区使用多个收发信机。

基站114a、114b可以通过空中接口116与WTRU 102a、102b、102c、102d中的一者或多者通信，该空中接口116可以是任何合适的无线通信链路(例如，射频(RF)、微波、红外(IR)、紫外(UV)、可见光等)。空中接口116可以使用任何合适的无线电接入技术(RAT)来建立。

更具体地，如前所述，通信系统100可以是多接入系统，并且可以使用一种或多种信道接入方案，例如CDMA、TDMA、FDMA、OFDMA、SC-FDMA等。例如，在RAN 104中的基站114a和WTRU 102a、102b、102c可以实施诸如通用移动电信系统(UMTS)陆地无线电接入(UTRA)之类的无线电技术，其可以使用宽带CDMA(WCDMA)来建立空中接口116。WCDMA可以包括诸如高速分组接入(HSPA)和/或演进型HSPA(HSPA+)的通信协议。HSPA可以包括高速下行链路分组接入(HSDPA)和/或高速上行链路分组接入(HSUPA)。

在一种实施方式中，基站114a和WTRU 102a、102b、102c可以实施诸如演进型UMTS陆地无线电接入(E-UTRA)之类的无线电技术，其可以使用长期演进(LTE)和/或高级LTE(LTE-A)来建立空中接口116。

在其他实施方式中，基站114a和WTRU 102a、102b、102c可以实施诸如IEEE 802.16(即，全球微波互联接入(WiMAX))、CDMA2000、CDMA20001X、CDMA2000EV-DO、临时标准2000(IS-2000)、临时标准95(IS-95)、临时标准856(IS-856)、全球移动通信系统(GSM)、用于GSM演进的增强型数据速率(EDGE)、GSM EDGE(GERAN)等之类的无线电技术。

图1A中的基站114b可以是例如无线路由器、家用节点B、家用e节点B、毫微微小区基站或者接入点，并且可以使用任何合适的RAT，以用于促进在诸如商业场所、家庭、车辆、校园等之类的局部区域中的无线连接。在一种实施方式中，基站114b和WTRU 102c、102d可以实施诸如IEEE 802.11之类的无线电技术以建立无线局域网(WLAN)。在另一实施方式中，基站114b和WTRU 102c、102d可以实施诸如IEEE 802.15之类的无线电技术以建立无线个域网(WPAN)。在一个实施方式中，基站114b和WTRU 102c、102d可以使用基于蜂窝的RAT(例如，WCDMA、CDMA2000、GSM、LTE、LTE-A等)以建立微微小区和毫微微小区。如图1A所示，基站114b可以具有至因特网110的直接连接。由此，基站114b不必经由核心网106来接入因特网110。

RAN 104可以与核心网106通信，该核心网106可以是被配置成将语音、数据、应用和/或网际协议上的语音(VoIP)服务提供到WTRU 102a、102b、102c、102d中的一者或多者的任何类型的网络。例如，核心网106可以提供呼叫控制、账单服务、基于移动位置的服务、预付费呼叫、因特网连接、视频分发等，和/或执行高级安全性功能，例如用户认证。尽管图1A中未示出，需要理解的是RAN 104和/或核心网106可以直接或间接地与其他RAN进行通信，这些其他RAN使用与RAN 104相同的RAT或者不同的RAT。例如，除了连接到可以采用E-UTRA无线电技术的RAN 104之外，核心网106也可以与使用GSM无线电技术的其他RAN(未显示)通信。

核心网106也可以用作WTRU 102a、102b、102c、102d接入PSTN 108、因特网110和/或其他网络112的网关。PSTN 108可以包括提供普通老式电话服务(POTS)的电路交换电话网络。因特网110可以包括使用公共通信协议的全球互联计算机网络和设备系统，所述公共通信协议例如是传输控制协议(TCP)/网际协议(IP)因特网协议套件中的传输控制协议(TCP)、用户数据报协议(UDP)和网际协议(IP)。所述网络112可以包括由其他服务提供方拥有和/或运营的有线或无线通信网络。例如，网络112可以包括连接到一个或多个RAN的另一核心网，这些RAN可以使用与RAN 104相同的RAT或者不同的RAT。

通信系统100中的WTRU 102a、102b、102c、102d中的一些或者全部可以包括多模式能力，即WTRU 102a、102b、102c、102d可以包括用于通过不同的通信链路与不同的无线网络进行通信的多个收发信机。例如，图1A中显示的WTRU 102c可以被配置成与可使用基于蜂窝的无线电技术的基站114a进行通信，并且与可使用IEEE 802无线电技术的基站114b进行通信。

图1B是示例WTRU 102的系统图。如图1B所示，WTRU 102可以包括处理器118、收发信机120、发射/接收元件122、扬声器/麦克风124、键盘126、显示屏/触摸板128、不可移动存储器130、可移动存储器132、电源134、全球定位系统(GPS)芯片组136和其他外围设备138。需要理解的是，在与实施方式一致的同时，WTRU 102可以包括上述元件的任何子组合。

处理器118可以是通用处理器、专用处理器、常规处理器、数字信号处理器(DSP)、多个微处理器、与DSP核心相关联的一个或多个微处理器、控制器、微控制器、专用集成电路(ASIC)、现场可编程门阵列(FPGA)电路、任何其它类型的集成电路(IC)、状态机等。处理器118可以执行信号编码、数据处理、功率控制、输入/输出处理和/或使得WTRU 102能够在无线环境中运行的其他任何功能。处理器118可以耦合到收发信机120，该收发信机120可以耦合到发射/接收元件122。尽管图1B中将处理器118和收发信机120描述为独立的组件，但是可以理解的是处理器118和收发信机120可以被一起集成到电子封装或者芯片中。处理器118可执行应用层程序(例如浏览器)和/或无线电接入层(RAN)程序和/或通信。处理器118可执行安全性操作(例如认证)、安全性密钥协定、和/或加密操作(例如在接入层和/或应用层)。

发射/接收元件122可以被配置成通过空中接口116将信号传送到基站(例如，基站114a)，或者从基站(例如，基站114a)接收信号。例如，在一种实施方式中，发射/接收元件122可以是被配置成传送和/或接收RF信号的天线。在一个实施方式中，发射/接收元件122可以是被配置成传送和/或接收例如IR、UV或者可见光信号的发射器/检测器。在一个实施方式中，发射/接收元件122可以被配置成传送和接收RF信号和光信号两者。需要理解的是发射/接收元件122可以被配置成传送和/或接收无线信号的任意组合。

此外，尽管发射/接收元件122在图1B中被描述为单个元件，但是WTRU 102可以包括任何数量的发射/接收元件122。更特别地，WTRU 102可以使用MIMO技术。由此，在一种实施方式中，WTRU 102可以包括两个或更多个发射/接收元件122(例如，多个天线)以用于通过空中接口116传送和/或接收无线信号。

收发信机120可以被配置成对将由发射/接收元件122传送的信号进行调制，并且被配置成对由发射/接收元件122接收的信号进行解调。如上所述，WTRU 102可以具有多模式能力。由此，收发信机120可以包括多个收发信机以用于使得WTRU 102能够经由多个RAT进行通信，例如UTRA和IEEE 802.11。

WTRU 102的处理器118可以被耦合到扬声器/麦克风124、键盘126和/或显示屏/触摸板128(例如，液晶显示器(LCD)显示单元或者有机发光二极管(OLED)显示单元)，并且可以从上述装置接收用户输入数据。处理器118还可以向扬声器/麦克风124、键盘126和/或显示屏/触摸板128输出用户数据。此外，处理器118可以访问来自任何类型的合适的存储器中的信息，以及向任何类型的合适的存储器中存储数据，所述存储器例如可以是不可移动存储器130和/或可移动存储器132。不可移动存储器130可以包括随机存取存储器(RAM)、只读存储器(ROM)、硬盘和/或任何其他类型的存储器存储装置。可移动存储器132可以包括订户标识模块(SIM)卡、记忆棒、安全数字(SD)存储卡等。在其他实施方式中，处理器118可以访问来自物理上未位于WTRU 102上(例如位于服务器或者家用计算机(未示出)上)的存储器的信息，以及向上述存储器存储数据。

处理器118可以从电源134接收电力，并且可以被配置成分发和/或控制到WTRU 102中的其他组件的电力。电源134可以是任何适用于给WTRU 102供电的装置。例如，电源134可以包括一个或多个干电池(例如镍镉(NiCd)、镍锌(NiZn)、镍氢(NiMH)、锂离子(Li-ion)等)、太阳能电池、燃料电池等。

处理器118还可以耦合到GPS芯片组136，该GPS芯片组136可以被配置成提供关于WTRU 102的当前位置的位置信息(例如，经度和纬度)。作为来自GPS芯片组136的信息的补充或者替代，WTRU 102可以通过空中接口116从基站(例如，基站114a、114b)接收位置信息，和/或基于从两个或更多个相邻基站接收到的信号的定时(timing)来确定其位置。需要理解的是，在与实施方式一致的同时，WTRU 102可以通过任何合适的位置确定方法来获取位置信息。

处理器118还可以耦合到其他外围设备138，该外围设备138可以包括提供附加特征、功能和/或有线或无线连接的一个或多个软件和/或硬件模块。例如，外围设备138可以包括加速度计、电子指南针(e-compass)、卫星收发信机、数字相机(用于照片或者视频)、通用串行总线(USB)端口、震动装置、电视收发信机、免持耳机、蓝牙模块、调频(FM)无线电单元、数字音乐播放器、媒体播放器、视频游戏机模块、因特网浏览器等等。

图1C为根据实施方式的RAN 104及核心网106的系统图。如上所述，RAN 104可使用UTRA无线电技术通过空中接口116与WTRU 102a、102b、102c通信。RAN 104还可以与核心网106进行通信。如图1C所示，RAN 104可包括节点B 140a、140b、140c，节点B 140a、140b、140c每一者均可包括一个或多个用于通过空中接口116与WTRU 102a、102b、102c通信的收发信机。节点B 140a、140b、140c中的每一者均可与RAN 104中的特定小区(未示出)相关联。RAN 104还可以包括RNC 142a、142b。应当理解在保持与实施方式一致的同时，RAN 104可以包括任意数量的节点B和RNC。

如图1C所示，节点B 140a、140b可以与RNC 142a通信。此外，节点B 140c可以与RNC 142b通信。节点B 140a、140b、140c可以经由Iub接口与各自的RNC 142a、142b通信。RNC 142a、142b可以经由Iur接口彼此通信。RNC 142a、142b的每一个可以被配置成控制其连接的各自的节点B 140a、140b、140c。此外，RNC 142a、142b的每一个可以被配制成执行和/或支持其他功能，例如外环功率控制、负载控制、准许控制、分组调度、切换控制、宏分集、安全功能、数据加密等。

图1C中示出的核心网106可以包括媒体网关(MGW)144、移动交换中心(MSC)146、服务GPRS支持节点(SGSN)148和/或网关GPRS支持节点(GGSN)150。尽管前述每一个元件被描述为核心网106的一部分，但可以理解的是这些元件的任何一个可以由除核心网运营商之外的实体所拥有和/或操作。

RAN 104中的RNC 142a可以经由IuCS接口连接到核心网106中的MSC 146。MSC 146可以连接到MGW 144。MSC 146和MGW 144可以向WTRU 102a、102b、102c提供对例如PSTN 108的电路交换网络的接入，以促进WTRU 102a、102b、102c与传统路线通信装置之间的通信。

RAN 104中的RNC 142a还可以经由IuPS接口连接到核心网106中的SGSN 148。SGSN 148可以连接到GGSN 150。SGSN 148和GGSN 150可以向WTRU 102a、102b、102c提供对例如因特网110的分组交换网络的接入，以促进WTRU 102a、102b、102c与IP使能装置之间的通信。

如上所述，核心网106还可以连接到网络112，网络112可以包括其他服务提供方拥有和/或运营的其他有线或无线网络。

以上描述的通信系统和/或装置可用在如这里所述的经认证的切换场景中。经认证的切换可使得用户在用户在接入网之间和/或相同或不同的接入网中的接入点之间改变的同时能够连续使用服务和/或应用。可在例如接入层和/或应用层执行切换决定。这可以意味着在每次切换中可发生在每一层上的认证，和/或可以向用户装置预先提供用于目标网络/接入点的证书。这可能需要集中式基础结构和/或证书预先提供。独立委派认证实体可被用来在当漫游于多个形式的网络之间时促进无缝认证的过程中避免与移动网络运营商(MNO)建立多服务等级协定(SLA)或与MNO认证基础结构建立紧密耦合。联合标识管理方案(例如OpenID)和/或到因特网的接入可由这里所述的认证实施方式所支持。

图2中示出了装置使用预先提供的证书执行接入层切换的一个示例，其中装置215在两个接入网之间切换。图2是示出了针对应用层会话的切换场景的流程图。图2中所示的切换场景包括装置215，该装置215包括(或与之进行通信)能够在应用层上进行通信的应用214和能够在接入层上进行通信的接入层模块216。图2中示出的切换场景还可包括MNO A 217、热点B 218和应用服务器219。可以使得MNO A 217和/或热点B 218能够在他们的应用层功能中具有OpenID服务器功能性，其具有委派认证服务器的能力。委派形式的认证方法可以是例如OpenID。因此，MNO A 217可被表示为MNO OpenID提供商(OP)A 217(也就是说，该实体可以具有MNO A的接入层功能性以及OpenID服务器功能性)和/或热点B 218可被表示为热点OP B 218。装置215可经由接入层模块216与MNO A 217和/或热点B 218进行通信。装置215还可经由应用214与应用服务器219进行通信。

如图2所示，装置215可在蜂窝网络(例如从移动网络运营商(MNO)A 217)与毫微微或WLAN网络(例如热点B 218)之间切换。装置215可使用在装置应用和/或网络应用服务器219上自举的接入层证书220来创建应用层证书221，以在应用层进行认证。装置215随后可在热点B 218处附着到后续网络(例如WLAN网络)并使用在装置215与热点B 218之间预先提供的证书222执行认证。

如图2中所示的切换场景所示，在201，装置215可发现MNO A 217的接入网。装置215可分别在202和203处附着和/或认证到MNO A 217的接入网。例如，装置215可经由接入层模块216附着和/或认证到MNO A217的接入网。装置215可使用认证证书220认证到MNO A 217。认证证书220可以是在装置215与MNO A 217之间预先提供的证书。如果在203处的认证成功，则装置215和MNO A 217的接入网可在204处经由接入层模块216设置安全接入层通信。

装置215可以使用MNO A 217网络来尝试登陆到应用服务器219，以接入来自应用服务器219的服务。例如，装置215上的应用214可在205登陆到基于网络的应用服务器219。应用服务器219可充当依赖方(RP)，以及MNO A 217可充当OpenID标识提供商(OP)。例如，在206，应用服务器219可发现MNO A 217和/或请求MNO A 217对用户进行认证。可使用OpenID来执行所述请求和/或认证。在207，在装置的应用214与MNO A 217(充当OP)之间，可从接入层证书220自举(例如，生成或导出)应用层认证证书221，所述接入层证书220已经使能对装置的接入层模块216到MNO A 217的接入层的接入层认证。装置215和/或其应用214可被重定向到MNO A 217，并可在208处，使用从接入层证书220自举的应用层认证证书221在应用层处认证到MNO A 217。在207处，证书221的自举可作为在208处的认证的一部分来被执行，或被独立执行。MNO A 217可向应用服务器219(其充当依赖方(RP)(未示出))断定装置215的认证状态。在209，可在装置的应用214与基于网络的应用服务器219之间建立在应用层处的安全通信。

在210，装置的接入层模块216可发现热点B 218。热点B 218可以是WLAN上的节点且还可使得装置215能够接入应用服务器219上的服务。根据示例实施方式，当装置215进入热点B 218的服务区域的范围内时，装置215可发现热点B 218。装置215可尝试基于用户偏好、应用需求、热点状况和/或存储在装置215上的服务提供商策略附着到热点B 218。在211，装置215可经由接入层模块216在接入层附着到热点B 218。根据一个实施方式，在209处设置的应用层连接性可幸免于在随后发生于211处的接入层附着(到热点B 218)。

在212，装置215可使用证书222来经由接入层模块216认证到热点B 218。在212处使用的证书222与分别用于203和208处的认证的证书220或证书221没有任何关系。因此，在212处，到装置215的认证可使用预先提供的接入层证书222，该证书适于到随后的目标接入网(例如热点B 218)的认证。如果在212处的认证成功，则装置215和热点B 218可在213处在接入层建立安全通信。

如上所述，图2示出了用于使得装置215能够使用预先提供的证书222在随后的网络上执行切换和/或接入层认证的认证协议。这里还描述了用于利用持续证书(例如用于切换的接入层或应用层证书)来以按需且无缝的方式在其它层(例如接入层)完成认证和/或安全隧道设置的多种实施。

根据示例实施方式，可利用应用层证书来生成接入层证书(例如通过执行应用层证书的反向自举)，该接入层证书接着可被用于后续的接入层认证过程中。如图3所示，切换场景可实施应用层证书331的反向自举，以在随后的网络处执行认证。图3中示出的切换场景包括装置321，该装置321包括(或与之进行通信)应用320(能够在应用层上进行通信)和接入层模块322(能够在接入层上进行通信)。接入层模块322可包括装置321上的连接管理器(CM)和/或与装置321上的CM进行通信。图3中所示的切换场景还包括MNO A 323、热点B 324和应用服务器325。MNO A323可经由接入层326和/或应用层327与其它网络实体进行通信。MNO A 323可以充当OpenID提供商。热点B 324可经由接入层328和/或应用层329与其它网络实体进行通信。热点B 324可以充当依赖方(RP)。接入层模块322可与MNO A 323接入层326和/或热点B 324接入层328进行通信。应用320可与应用服务器325、MNO A 323应用层327和/或热点B 324应用层329进行通信。根据这里描述的一些实施方式，应用服务器325还可充当依赖方(RP)。

如图3所示，可生成或反向自举应用层证书，以生成用于与随后的接入网热点B 324进行认证(例如在切换场景中)的接入层认证证书333。反向自举可包括由MNO A 323代表目标接入层网络热点B 324进行的应用层认证，以生成将被用来生成随后的接入层认证证书333的材料。反向自举可取决于下列条件中的至少一者：1)源网络MNO A 323中的用户/装置321的标识，和/或2)用户/应用320关于应用服务器325或MNO A 323的应用层标识(例如OpenID标识)。

由MNO A 323进行的之前的成功应用层认证可被用来对到网络热点B 324的接入进行授权。还可向网络热点B 324提供附加认证信息，以在装置321的接入层认证中进行辅助。例如，当向网络热点B 324提供断定(例如“用户来自网络MNO A 323且被认证”)时，应用层认证可被用来对到网络热点B 324的接入进行授权。

根据一个实施方式，可按图3中示出的提供呼叫流程。在301-309，呼叫流程可使用应用层自举过程设置接入层安全性关联和应用层安全性关联，其可将接入层证书绑定到OpenID进程。例如，在301-304，可在装置321与MNO A 323之间建立接入层安全性关联。在301，接入层模块322可经由接入层326发现MNO A 323。接入层模块322可在302附着到MNO A 323且可在303执行认证。在303处的接入层认证可使用接入层证书330来被执行，该接入层证书330在装置321与MNO A 323之间进行共享。接入层证书330可以是预先提供的证书或通过如此所述对来自另一网络的应用层证书进行反向自举建立的证书。如果接入层认证在装置321与MNO A 323之间成功，则可在304处、在装置321与MNO A 323之间建立接入层326上的安全通信。

在305-309，可在装置321与应用服务器325之间建立应用层安全性关联。例如，在305，应用320可尝试登录到应用服务器325。在306，MNO A 323OP服务器可经由应用层327被应用服务器325发现，且应用服务器325可将用户/装置321重定向到MNO A 323以进行认证。在306，MNO A 323OP可认证用户/装置321和/或对用户/装置321到应用服务器325的认证进行断定。用户/装置321随后可被重定向到热点B 324。

在307，在应用320与MNO A 323之间，可从接入层证书330(其已使能在装置321与MNO A 323之间的接入层认证和/或来自MNO A 323的认证断定)自举(例如生成或导出)应用层证书331。应用320和应用服务器325可在308使用应用层证书331设置应用层安全性关联。在308处的应用层安全性关联可导致在应用320与应用服务器325之间共享应用层证书。在307处的证书331的自举可作为308处的应用层安全性关联的一部分被执行，或被独立执行。可在309处在装置的应用320与基于网络的应用服务器325之间建立在应用层的安全通信。

在310，装置321可发现热点B 324。例如，装置321上的本地组件(例如接入层模块322)可发现热点B 324和/或其标识信息(例如SSID或IP地址)。热点B的应用层329可以是可发现的，且可能已经经由例如公共因特网使用接入层328网络发现信息(例如其IP地址)被发现和/或到达。接入层模块322可包括连接管理器(CM)，其可在发现热点B 324和/或做出连接决定的过程中被实施。可经由接入层信令(例如信标信道)发现热点B 324和/或其标识信息。可基于MNO A 323、热点B 324与来自装置321的关于热点B 324的被发现的信息之间的关系来执行某些发现。基于来自热点B 324的被发现的信息(例如信号强度、位置等)，装置321上的接入层模块322可决定装置321应当切换到热点B 324来进行网络通信。接入层模块322可将该命令传递到装置的应用320。例如，CM可在311向装置的应用320发送应用层网络发现信息。

装置321可按照以下方式被配置：应用层与接入层之间的自举证书(例如使用密钥导出进程生成的)的转移是可行的。应用320可处理网络发现信息，以生成适于接入层网络的标识。根据一个实施方式，适于网络的接入层的标识可以是OpenID URL或用户/装置321的电子邮件地址登陆，其可被进一步处理/操纵(例如被哈希处理(hash)成唯一的用户/装置标识)成适于在接入层328上被热点B 324识别的格式。可选地，诸如现时(nonce)或序列计数值的信息元素可被混合到哈希处理中，和/或这些信息元素中的一些可被传递到热点B 324。装置的应用320可基于其在308建立的应用层标识和/或热点B 324的接入层发现信息来确定合适的接入层标识。接入层标识可被绑定到应用层标识并在312处被发送到接入层模块322以进行后续传输。

在313，装置321可使用适于接入层的标识附着到热点B 324的接入层328，且装置的接入层模块322可将适于该网络的接入层的接入层标识中继到热点B的接入层328。在314，装置321的接入层标识可随后被传递到热点B的应用层329，以通知应用层329，从而其可通过装置321的接入层标识符识别该装置321。热点B 324的应用层329可以从接入层328物理分离但逻辑关联。在315，装置321的应用320可向热点B的应用层329发送应用层标识信息(以及可选地发送接入层标识)。该应用层标识可被提供以登录至热点B 324。应用层标识可被绑定到装置321的接入层标识。

当经由应用层329传递应用层标识和接入层标识信息时，在316，应用层标识和/或所发现的热点B 324信息可被用来执行MNO A 323的基于OpenID的发现。在315，标识信息的发送可与呼叫流程313到314同时或不同时发生。应用层标识信息的示例可包括OpenID URL或电子邮件地址登录标识或断定。标识信息还可包括用户/装置321的补充信息。

热点B 324可合并和/或关联(例如在接入层)接收自其接入层328的接入层标识信息和接收自应用层329的绑定应用层标识和接入层标识信息两者。热点B 324可确定在313和315处接收的消息是否来自相同的用户/装置321。例如，在应用层329，热点B 324可将在315接收的应用层标识识别为被绑定到在314接收的接入层标识。在确认其在其接入层328和其应用层329上正在与相同用户/装置321对话之后，热点B 324可充当RP，同时MNO A 323充当OP。在316，热点B 324可执行MNO A 323的发现，且MNO A 323可被定向到用户/装置321以进行认证(例如通过运行OpenID协议)。装置应用320可与MNO A应用327进行认证(例如在OP处在应用层327)。在成功认证之后，装置321可被重定向回至热点B 324应用329。在317，热点B 324和装置321均可使用密钥导出功能从成功的应用层认证生成接入层证书333。例如，热点B 324的应用320和应用层329可在应用层执行反向自举过程，该过程可允许用户/装置321和/或热点B 324创建接入层证书333。这样，接入层证书333可以是在316处执行的应用层认证过程的副产品。这些接入层证书333可被发送到装置321的接入层模块322和/或热点B 324的接入层328。在呼叫流程318和319处，使用在应用层处生成的接入层证书333，装置321和热点B 324可执行认证，并为通信设置接入层安全关联。在认证之后，当用户/装置321随后尝试在接入层328与热点B 324进行认证时，接入层证书333可被存储和/或与用户/装置321进行关联。

根据一个实施方式，具有移动装置321的用户可连接到MNO A 323。用户可使用自举认证过程认证到服务提供商(例如视频服务提供商)。该认证可使用在装置321上预先提供的接入层证书330，其使用本领域的普通技术人员已知的任何各种技术，只要如图3的307处描述的那样对证书进行自举即可，这可将应用层标识唯一地关联到网络标识。MNO A 323可充当OpenID提供商。热点B 324可充当依赖方(RP)。根据示例实施方式，在接入服务(例如查看来自视频服务提供商的视频)的同时，用户可能移动到热点B的到达范围之内。网络热点B可以以较低的成本提供更高的带宽，和/或可以被附属于例如OpenID网络(或与MNO A 323或另一MNO相关联)。用户可在原则上被允许接入所附属的OpenID网络(或所关联的MNO A 323)。例如，用户可证明该用户与OpenID提供商(MNO A 323)相关联。

装置321可发现后续的网络热点B 324(例如通过监听信标和/或广播消息)，和/或弄清(ascertain)关于后续网络的信息。可通过连接管理器(CM)将信息从接入层模块322传递到应用320，应用320可使用该信息来在具有用户/装置321应用层标识的应用层329处联系热点B 324。装置321可在接入层322和328上向热点B 324发送标识信息。

当经由接入层328(但不是应用层329)传递标识信息时，用户/装置321标识信息可被传递到热点B 324上的应用(如在314处所述)。热点B 324可以以适于对MNO A 323进行基于OpenID的发现的方式来格式化所述信息。标识信息足以供热点B 324发现MNO A 323和/或尝试认证请求用户/装置321(在316)。热点B 324(其可充当例如依赖方)可运行OpenID协议，以便对将由MNO A 323认证的用户/装置进行重定向。MNO A 323(其可充当例如OpenID服务器)可运行OpenID协议，以认证用户/装置321。如果用户/装置321被成功认证，则热点B 324可在319处在装置321与网络之间建立安全连接。

热点B 324和用户/装置321可基于成功的基于OpenID的认证来创建共享证书。例如，用户/装置321和/或热点B 324可对后续的接入层证书333进行反向自举。可基于热点B 324与MNO A 323之间的关系来完成某些发现。可经由用户/装置321应用层标识和/或从装置321上的应用320发现的热点B 324信息来获得该信息。如果用户/装置321被MNO A 323认证，则可通过证书从热点B 324应用到其接入网的(反向)自举，在装置321与网络之间建立安全连接。

根据一种实施方式，为了热点B 324从应用层证书331反向自举接入层证书333，热点B 324可具有以下能力：其中其接入层功能和应用层功能被设计使得层间通信和数据操纵/处理成为可能，和/或其中在层间存在关系。反向自举对于用户而言可无缝地发生，而无需为后续的网络热点B 324在装置321中预先提供或安装证书332和/或人工干预。

这里描述的用于在后续网络的接入层执行认证的实施方式可能在用户级具有显著的特性。例如，用户可输入用户或装置标识符(例如OpenID标识符)来登录到服务，而且用户能够在服务继续无缝地不间断的同时接入之前已知的接入网络(例如热点B 324)。认证证书(例如接入层证书333)可能不会在后续网络处被预先提供，这是因为它们可以从已经运行的应用服务安全性或从应用层认证被反向自举。服务可以是固定有线的和/或固定无线的。服务甚至可以是在用户的家中的孤立的接入点(AP)，其可经由公共因特网和/或相似的接入方式被到达。

根据一种实施方式，如果在切换(例如接入层切换)后要重新建立应用层安全性，可使用将用于这种后续应用层认证的安全性证书绑定到在各个之前的实例建立的安全性证书(例如在切换接入层认证中使用的证书、在之前的应用层认证中使用的证书或甚至在切换前的接入层认证中使用的证书)的前向自举。

在这里描述的实施方式中，可使用独立标识提供商。例如，MNO A 323可能不是OpenID标识提供商和/或可由另一第三方来执行标识管理功能。第三方标识提供商可使用与MNO A 323预先建立的关系来充当OpenID提供商的角色，以及使用诸如OpenID/EAP-SIM或OpenID/GBA自举能力的协议来从MNO A 323提供的接入层证书330认证和自举应用层证书331。随后，可使用相同或相似的自举进程，以利用MNO A 323在装置321上提供的证书为热点B 324自举接入层证书333。

根据另一实施方式，可实施网络发起的切换。在网络发起的切换中，可由网络(例如接入网或应用服务器)来发起切换。在一个示例中，MNO A 323可以继续监控装置321，其可包括如下信息：装置的位置、测量信息、服务质量等。MNO A 323可知道装置321周围的局域环境。如果MNO A 323也是OpenID提供商，则MNO A 323可在应用层向用户/装置发送消息，以发起与热点B 324的切换，该消息具有用于使得装置321能够发现和发起切换的适当的参数。可按此处所描述的来执行无缝切换。在另一实施方式中，MNO A 323可以经由与装置321的接入层通信向装置321发送切换触发信息。

根据另一实施方式，MNO A323可向一个或多个附近的本地接入节点提出请求，以尝试在装置位于节点的范围内时与装置321附着和/或认证。其可能不是触发切换的MNO A 323。任何具有关于装置321的足够的信息的网络组件、装置的本地通信环境、和/或具有与用户/装置321进行通信的能力的实体能够触发切换。在这些情况中，网络组件可发现后续的接入网(例如热点B 324)和/或协商用于到用户/装置321的通信的安全性能力和无线电接入能力。网络组件可将该信息以及切换信息传递到用户/装置321。

根据另一实施方式，可执行应用辅助证书自举。在应用辅助证书自举中，装置321上的应用320可告知应用服务器325该应用服务器325可在应用320协助促进切换的情况下为后续接入网热点B 324自举一组证书。应用320可向应用服务器325发送与所发现的热点B 324有关的标识(例如IP地址)以及可选地发送其类似OpenID登录请求。应用服务器325可充当OpenID提供商，以协商热点B 324的安全性能力。应用服务器325可在接入层为热点B 324和装置321反向自举一组接入层证书333。装置321上的应用320和热点B 324可相互认证和/或如318处所述的那样建立安全信道。可基于应用服务器325与目标热点B 324之间的关系执行某些发现。可经由来自装置321上的应用320的所发现的信息获得该信息。

用于后续发现的网络认证的证书可以在两端点处被预处理，以使得随后能够更快的完成认证过程。这可基于网络掌握的关于装置所位于的局域或装置正在向其移动的局域的知识。如果在装置上被预先配置以便寻找切换机会，则装置可以某些周期性频率搜索备选(alternate)网络，并且，如果检测到则寻求切换。在网络侧的预处理可在多于一个备选接入节点处被执行或针对多于一个备选接入节点被执行。装置和/或网络可对用于其之前使用过的网络的证书进行缓存。装置和/或网络可随后将这些证书重新用于认证。当装置返回到其早些时候离开的节点时，证书的重新使用是有用的。证书的重新使用对于一个或多个节点的备选动态选择也是可用的(例如在本地动态变化的噪声信道或服务质量环境中)。

这里描述的实施方式可使用本地OpenID。例如，单机(standalone)本地OpenID可被实施。如此所述，协议流可利用本地OpenID并许可接入/授权。

图4是示出了使用单机本地OpenID的协议实现的流程图。如图4所述，该流程图可包括在本地IdP 432、应用433(例如浏览代理)、接入层模块434、MNO 435、热点436、和/或应用服务器437之间的通信。本地IdP 432可位于用户的无线通信装置上。应用433和/或接入层模块434可位于与本地IdP 432相同或不同的无线通信装置上。

图4中示出的协议使能无缝切换和/或后续接入层安全性关联的设置。协议可实施装置与装置的当前接入层网络之间的接入层安全性和/或之前在用户/装置与外部应用服务器(AS)437之间建立的应用安全性，例如通过使用例如客户端本地OpenID(即本地OpenID)。

如图4所示，可使用步骤401-419的组合在应用层将装置与应用服务器(AS)/RP 437进行认证，并且使用步骤419-431的组合在接入层将装置与后续网络(例如热点436)进行认证。在401，装置接入层模块434可附着到MNO 435。装置的接入层模块434和MNO 435可使用共享证书来进行认证。作为认证的结果，可在装置的接入层模块434和/或MNO 435上建立接入层密钥K。在402，可在装置上存储接入层密钥K。例如，接入层密钥K可被存储在装置上的可信环境上，例如订户标识模块(SIM)卡、通用集成电路卡(UICC)、可信平台模块(TPM)或其它可信环境。可将可信环境包括在装置上，或例如作为分离的模块或分离的装置/设备连接到装置。可信环境可包括本地IdP 432。根据示例实施方式，可信环境和本地IdP 432可以是相同实体。然而，可信环境还可包括例如应用433、接入层模块434和/或位于装置上的其它实体。

在403，MNO 435和装置接入层模块434两者都可以从接入层密钥K导出应用层密钥K_app(即K_app＝f(K)，其中f是对于MNO 435和装置的接入层模块434两者已知的某函数)。使应用层密钥K_app对于本地IdP 432是可用的。在404，在装置接入层模块434与MNO 435之间使用接入层密钥K建立接入层安全性关联。

在405，用户可以经由应用433登录到应用服务器(AS)437。用户可以使用例如OpenID提供商(OP)标识符(例如URL或电子邮件地址)来进行登录。AS 437可充当依赖方(RP)，并且从而可被称为AS/RP 437。在406，AS/RP 437可执行MNO 435的标识发现。在407，可设置MNO 435与AS/RP 437之间的关联，并且可生成关联句柄(handle)。在408，MNO 435可从应用密钥K_app和关联句柄导出会话密钥K_会话。在409，可使用关联安全性协议将K_会话传递到AS/RP 437，而且该K_会话可被用作后续的关联密钥。在410，AS/RP 437可存储会话密钥K_会话以及后续的关联信息。在411，应用433可被重定向到装置，以与本地IdP 432进行认证。重定向消息可包括会话现时和/或关联句柄。在412，应用433可通过卡接入层模块434请求连接到本地IdP 432。该请求可包括例如会话现时和/或关联句柄。在413，可执行到本地IdP 432的重定向。重定向还可包括会话现时和/或关联句柄。在414，本地IdP 432可使用应用层密钥K_app和关联句柄导出签名密钥K_会话。本地IdP 432可具有到装置上的应用层密钥K_app的接入。本地IdP 432可创建OpenID断定消息，并在415使用K_会话对其进行签名。在416，本地IdP 432可将所签名的OpenID断定消息通过卡接入重定向回至装置的接入层模块434。在417，装置的接入层模块434可透明地将所签名的OpenID断定重定向到装置的应用433。在418，装置的应用433可将所签名的OpenID断定消息与在步骤411中接收的现时一起重定向到外部AS/RP 437。在419，AS/RP 437可存储所接收的签名的断定消息。

一旦在应用层将装置与AS/RP 437进行认证，则装置可在接入层使用来自应用层认证的证书或密钥与后续网络(例如热点436)进行认证。如图4所示，在420，装置的接入层模块434可发现热点436。装置上的本地实体(例如连接管理器(CM))可决定装置应切换到所发现的热点436。在421，装置的接入层模块434可将热点436信息传递到装置的应用433。在422，装置的应用433可将OpenID标识符(例如URL或电子邮件地址)与上一次使用的应用服务器437标识一起传递到热点436的接入层，以用于后续发现。在423，装置的应用433可以警示AS/RP 437切换的发起。在423处切换的发起可使用所发现的热点436信息来被执行。装置的应用433可基于在418建立的其应用层标识和/或热点B 436的接入层发现信息来确定接入层合适的标识。接入层标识可被绑定到应用层标识并在422被发送到接入层模块434以用于后续传输。

如图4中的步骤424-429所示，AS/RP 437可促进装置的接入层认证。例如，AS/RP 437可将断定消息转发到接入层模块434。MNO 435可验证断定，从而确信接入层的标识。在424，装置的接入层模块434可向热点436发出登录请求。包括在该消息中的可以是OpenID标识符(例如URL或电子邮件地址)(如在422处所述)，和/或上一应用服务器使用的标识。在425，热点436可从AS/RP 437为装置及其用户请求认证信息。例如，热点436可为其已从装置的接入层434接收的OpenID标识符(例如URL或电子邮件地址)请求断定。在426，AS/RP 437可将经签名的断定消息(其由AS/RP 437在步骤418接收且对应于在步骤425接收的OpenID标识符)返回到热点436。在427，热点436可从MNO 435中的OpenID服务请求签名验证，以用于对应于OpenID标识符(例如URL或电子邮件地址)的经签名的断定消息。在428，MNO 435可验证签名(例如在OpenID服务器处)。MNO 435可具有来自步骤408的会话密钥K_会话。在429，MNO 435可向热点436提供(例如使用其OpenID服务器)签名验证消息。

如果认证成功，则热点436可在430向装置的接入层模块434发送认证成功应答。装置的接入层模块434和热点436可在431设置关联，以确保它们的公共信道的安全。对称的密钥结构的导出可确保通信安全。在图4中所示的协议的步骤431处，多种备选方法(对于本领域的普通技术人员已知)可被用于导出接入层密钥/证书。例如，可对签名验证应用层断定消息使用密钥导出功能。

如此所述，反向自举的实施可以是显式的或隐式的。例如，图4中示出的协议可隐式地实施反向自举。当接入层安全性关联被设想成是基于从应用层提供的断定而建立的(而不是显式地直接从应用层证书导出接入层密钥和/或证书)时可隐式地执行反向自举。当经由显式反向自举进程导出接入层密钥(例如直接从应用层证书导出)时可发生显式反向自举。

根据另一实施方式，协议可使能无缝切换(其还许可接入/授权)。例如，图5是示出了使能使用隐式反向自举的无缝切换(其还许可接入/授权)的协议的流程图。对图5中描述的协议的使用可使得热点536能够获得接入层切换以及针对到例如服务或用户的私有数据的接入的授权。

如图5所示，在501，装置的接入层模块534可例如在接入层附着到MNO 535。装置的接入层模块534和MNO 535可使用共享证书来执行相互认证。共享证书可以是例如接入层共享证书。作为认证的结果，可在装置的接入层模块534和MNO 535(例如在MNO的接入层)两者上建立接入层密钥K。在502，可在装置上存储接入层密钥K。例如，接入层密钥K可被存储在装置上的可信环境上。可信环境可被包括在装置上，或例如作为分离的模块或分离的装置/设备连接到装置。可信环境可具有本地IdP 532功能性。如图5所示，可信环境可以是和本地IdP 532相同的实体。

在503，MNO 535和/或装置接入层模块534可以从接入层密钥K导出应用层密钥K_app(即K_app＝f(K)，其中f是对于MNO 535和装置的接入层534两者已知的某函数)，其中可使K_app对于本地IdP 532是可用的。在504，可在装置接入层模块534与MNO 535之间使用K_app建立接入层关联。在505，用户可以经由应用533在应用层上登录到AS/RP 537。例如，用户可以使用OP标识符(例如URL或电子邮件地址)来进行登录。在506，AS/RP 537可执行MNO 535的发现。在507，可设置MNO 535与AS/RP 537之间的关联，并且可生成关联句柄。在508，MNO 535可从K_app和关联句柄导出K_会话。在509，可通过例如将原始关联安全性和K_会话用作后续关联密钥，将K_会话传递到AS/RP 537。在510，AS/RP 537可存储K_会话以及后续的关联信息。在511，应用533(例如BA)可被AS/RP 537重定向到装置，以与本地IdP 532进行认证。所述消息可包括现时和/或关联句柄。在512，应用533可通过接入层534请求连接到本地IdP 532。请求可包括例如现时和/或关联句柄。在513，执行到本地IdP 532的重定向。重定向消息也可包括现时和/或关联句柄。

在514，本地IdP 532可使用K_app和关联句柄导出签名密钥K_会话(例如用于对断定消息进行签名)。本地IdP 532可具有到K_app的接入。本地IdP 532可创建OpenID断定消息，并在515使用K_会话对该断定消息进行签名。在516，本地IdP 532(其充当本地产生的接入/授权令牌的提供商)可导出签名密钥K_令牌。签名密钥K_令牌随后可被用来对接入/授权令牌进行签名。导出这种K_令牌的一种方式可以是通过使用密钥生成功能(KGF)(其采用K_app和K_会话两者作为输入)。例如，K_令牌＝f(K_app,K_会话)。在517，本地IdP 532(其充当本地产生的接入/授权令牌的提供商)可创建接入/授权令牌，和/或使用K_令牌对其进行签名。在518，本地IdP 532可将所签名的断定(所签名的OpenID断定和所签名的接入/授权令牌两者)通过接入层534(例如卡接入)重定向回至装置的接入层。在519，装置的接入层534可(在透明的重定向中)将所签名的断定(OpenID断定和接入/授权令牌)重定向到装置的应用533。在520，装置的应用(例如BA)可将所签名的断定(OpenID断定和接入/授权令牌)与在步骤511中接收的现时一起重定向到外部应用AS/RP 537。AS/RP 537可存储所接收的签名的断定消息。

在521，装置可经由其接入层模块534发现热点536。装置上的连接管理器(CM)可决定装置应切换到所发现的热点536。在522，装置的接入层模块534可将后续热点信息传递到装置的应用533。在523，装置的应用533可将OpenID标识符与上一次使用的应用服务器标识一起传递到热点536接入层。在524，装置的应用533可警示AS/RP 537到所发现的热点536的切换的发起。这可通过装置的接入层模块534向例如热点536发送登录请求来实现。包括在该消息中的可以是OpenID标识符和/或接入令牌。应用533可具有来自步骤519的这一令牌。在525，热点536可发现MNO 535的OpenID/OAuth服务器。在526，热点536可请求MNO 535的OpenID/OAuth服务器使用OpenID标识符和/或经签名的接入令牌来认证用户/装置并授权接入。MNO 535的OpenID/OAuth服务器可在527计算签名密钥K_令牌。可采用与例如在步骤516中计算K_令牌的方式相同的方式计算签名密钥K_令牌。在528，MNO 535的OpenID/OAuth服务器可使用其已从步骤527中计算的K_令牌对所接收的接入令牌的签名进行验证。MNO 535的OpenID/OAuth服务器可在529向热点发送对接入令牌的肯定断定以及针对用户/装置的任何附加标识信息。在530，如果认证成功，则热点536可在接入层模块534向装置发送认证成功应答。在531，装置531的接入层模块534和热点536可相互设置安全性关联。密钥导出和/或安全通信可随其后进行。

如此所述，应用层证书可被用来在基于通用接入方法(UAM)的和/或基于可扩展认证协议(EAP)的公共热点中生成在后继接入层或IP层认证中使用的证书。

针对OpenID与基于UAM的公共热点的集成的实施选项可包括多种实施，其中不同的网络实体可充当依赖方(RP)或OpenID提供商(OP)。例如，热点认证、授权和计费(AAA)服务器可充当RP，热点无线局域网(WLAN)网关可充当RP，热点捕获门户可充当RP，热点接入点(AP)可充当RP(例如，对于小型热点(例如在咖啡厅中使用的热点))，和/或热点AAA服务器可充当OP。图6和7中示出了使用实施RP功能性的热点AAA服务器和WLAN网关的OpenID-UAM集成的示例实施方式。应该理解的是，其它实施方式可在实施上相似，但具有不同的部署模型。

根据示例实施方式，具有移动装置的用户可连接到充当OP服务器的MNO A。用户可使用在装置上预先提供的接入层证书通过自举认证过程认证到服务。自举认证过程可单独地将应用层标识关联到网络标识。举例来讲，可使用OpenID来执行认证，但也可使用任何其它相似的认证协议。当实施OpenID时，MNO A可充当OpenID提供商和/或热点B处的WLAN网关可充当依赖方。

在装置连接到MNO A之后，装置可发现另一网络(例如通过监听信标或广播消息)和/或在接入层弄清关于新发现的网络的信息。可将该信息通过连接管理器(CM)传递到装置上的应用。装置上的应用可使用关于所发现的网络的信息来利用用户/装置标识在应用层与热点B处的WLAN网关进行联系。对于充当RP的AAA服务器(如图6所示)和/或充当RP的WLAN网关(如图7所示)来讲，该标识信息足够用于发现MNO A并尝试认证请求用户/装置。协议可被MNO A(充当OpenID服务器)以及热点B处的WLAN网关或AAA服务器中的至少一者(充当依赖方)运行，以便认证用户/装置。一旦用户/装置已被成功认证，其可被允许接入热点B。例如，在图6中，一旦AAA服务器认证用户并向热点B处的WLAN网关发送成功认证的指示(例如接入接受消息)，则用户可被允许在热点B处接入。类似地，在图7中，一旦热点B处的WLAN网关认证用户/装置，则其可被允许在热点B处接入。对于用户而言该认证可无缝地发生和/或不需要为了与后续发现的网络(热点B)进行认证而在装置中预先提供或安装证书或不需要人工干预。

图6是示出了UAM-OpenID集成的流程图，其中AAA服务器617充当RP。如图6中所示，UE 614、AP 615、WLAN GW 616、AAA服务器/RP 617、和/或OP服务器618可执行通信，以使得UE 614能够认证到无线网络。UE614上的本地组件(例如CM)可基于其标识信息(例如“MNO-WiFi”SSID)发现热点AP 615。所示标识信息可经由接入层信令(例如信标信道)被发现。UE 614上的本地组件(例如CM)可决定UE 614应切换到热点且可将该命令传递到UE 614的应用层。UE 614上的本地组件可将应用层网络发现信息发送到UE 614上的应用(例如浏览器)。

如图6所示，在601，UE 614可与开放模式接入点(AP)615相关联。例如，UE 614可使用在接入层上获得的标识信息(例如“MNO-WiFi”SSID)执行这种关联和/或开放模式接入。在602，如果UE 614被配置为获得IP地址(例如使用DHCP)，则WLAN网关(GW)616可向UE 614分配私有IP地址。由于UE 614在WLAN GW 616中的状态可被设定为“未授权”，因此用户可能不能使用所述私有IP地址来接入因特网。

用户可打开UE 614上的网页浏览器应用，并且在603处，WLAN GW 616可从UE 614接收针对网页(例如用户主页)的请求。在604，WLAN GW 616可将UE 614上的浏览器重定向到提示用户登录证书的门户页(例如IP/URI)。用户可在登录页上输入其OpenID标识符(例如URL或电子邮件地址)。在605，WLAN GW 616可从UE 614接收登录证书，并且WLAN GW 616可使用所接收的登录证书来生成针对所配置的AAA服务器/RP 617的接入请求消息。在606，WLAN GW 616可向AAA服务器/RP 617发送接入请求消息。

在607，AAA服务器617(充当RP)可与OP服务器618执行发现和/或关联(例如使用OpenID协议)。在608，AAA服务器/RP 617可将UE 614重定向到OP服务器618。在609，UE 614可向OP服务器618认证(例如使用OpenID证书)。在610，OP服务器618可利用认证断定将UE 614重定向到AAA服务器/RP 617。在611，UE 614可呈现所述断定以及表明其已经被成功认证到AAA服务器/RP 617的指示。

在612，AAA服务器/RP可向WLAN GW 616发送成功认证的指示(例如接入接受消息)和/或用来在WLAN GW 616中将用户/UE 614状态改变成“授权”的指示。在613，WLAN GW 616可通过将用户的浏览器重定向到起始页以及使得用户能够通过WLAN网络接入因特网来向用户/UE 614指示成功认证。

通过将OpenID RP功能集成到AAA服务器617中，AAA服务器617可能不必为了认证而与HLR/HSS进行通信。此外，由于用户可以在不向WLAN GW/RP发送其证书的情况下被认证和/或接入WLAN GW/RP，因此用户认证可以是安全的。

图7是示出了UAM-OpenID集成的流程图，其中WLAN GW 714充当RP。如图7所示，UE 712、AP 713、WLAN GW/RP 714、和/或OP服务器715可执行通信，以使得UE 712能够认证到无线网络以便接入服务。UE 712上的本地组件(例如CM)可基于其标识信息(例如“MNO-WiFi”SSID)发现热点AP 713。AP 713可经由接入层信令(例如信标信道)被发现。UE 712上的本地组件(例如CM)可决定UE 712应切换到热点AP 713且可将该命令传递到UE 712的应用层。UE 712上的本地组件可将应用层网络发现信息发送到UE 712上的应用(例如浏览器)。

如图7所示，在701，UE 712可与开放模式接入点(AP)713相关联。例如，UE 712可执行这种关联(使用“MNO-WiFi”SSID)和/或开放模式接入。在702，如果UE 712被配置为使用DHCP获得IP地址，则WLAN GW/RP 714可向UE 712分配私有IP地址。用户可能不能使用所述IP地址接入因特网。在这一点，UE 712在WLAN GW/RP 714中的状态可被设定为“未授权”，因此其可能不能经由WLAN GW/RP 714接入服务。

用户可打开UE 712上的网页浏览器应用。在703处，WLAN GW/RP 714可从UE 712接收针对网页(例如用户主页)的请求。在704，WLAN GW/RP 714可将UE 712上的浏览器重定向到提示用户登录证书的门户页(例如IP/URI)。用户可在登录页上输入其OpenID标识符(例如URL或电子邮件地址)。

在705，WLAN GW/RP 714可从UE 712接收登录证书，并且WLAN GW/RP 714可使用所接收的登录证书来与OP服务器715执行发现和/或关联。在706，WLAN GW/RP 714(充当RP)可与OP服务器715执行发现和/或关联(例如使用OpenID协议)。在707，WLAN GW/RP 714可将UE 712重定向到OP服务器715。在708，UE 712可向OP服务器715进行认证(例如使用OpenID证书)。在709，OP服务器715可将UE 712重定向到WLAN GW/RP 714。在709处的重定向消息可包括认证断定信息。在710，UE 712可向WLAN GW/RP 714呈现所述断定信息和/或与OP服务器715成功认证的指示。基于所接收的断定信息和/或成功认证的指示，WLAN GW/RP 714可将用户状态改变成“授权”状态。WLAN GW/RP 714可通过将UE 712上的浏览器重定向到起始页来向用户/UE 712指示成功认证，并且用户能够通过WLAN网络接入因特网。在711，可使得用户712能够通过WLAN网络进行因特网接入。

通过将OpenID RP功能集成到热点WLAN GW 714中(如图7所示)，AAA服务器可能不必被用于认证。WLAN GW 714可能不使用RADIUS功能。与图6中示出的实施方式类似，由于用户可以在不向WLAN GW 714发送其证书的情况下被认证和/或接入所示热点，图7中的认证实施可包括安全认证。在图7中示出的实施中，由于简化的认证，WLAN服务/热点提供商可到达较大的客户群(customer base)。例如，可由一个热点来支持多个OP，以允许服务被提供给来自多个MNO的客户(例如充当OP服务器715)，与此同时从由MNO提供的认证基础结构中获益。

这里还描述了认证实施方式，该实施方式从应用层证书生成证书(例如使用反向自举)以用于基于EAP的公共热点中的后续接入层或IP层认证。在用户级处，用户可输入OpenID标识符来登录到服务，并且能够接入之前未知的接入网络(例如热点B)，与此同时服务继续保持无缝地不被间断。接入层或IP层证书可能不会在后续接入网处被预先提供，这是由于这些证书可以从已经在运行的应用服务安全性自举得出。

使用基于EAP的公共热点描述的认证实施方式可包括针对OpenID集成的实施选项。针对与802.1x/EAP公共热点的OpenID集成的实施选项可包括对充当RP的热点AAA服务器的使用、对充当OP的热点AAA服务器的使用、和/或使用EAP-OpenID。

图8是示出了EAP-OpenID集成的流程图，其中AAA服务器820充当RP。将RP功能集成到热点AAA服务中可使能对无缝认证和/或服务连续性(例如在3GPP与WLAN网络之间)的支持。可通过以下动作在将RP模块集成到AAA服务器820中的公共热点中无缝认证用户：利用在UE 818和/或OP服务器821上导出的密钥来完成EAP-SIM/AKA认证，使用活动连接(例如3GPP连接)来交换OpenID认证，和/或使得热点AP 819能够允许UE-OpenID交换。

如图8所示，可使用UE 818、AP 819、AAA/RP服务器820和/或OP服务器821之间的通信来认证UE 818和/或其用户。UE 818、AAA/RP服务器820、和/或OP服务器821每个可包括能够在应用层进行通信的应用。UE 818、AP 819、和/或AAA/RP服务器820每个可包括能够在IP层进行通信的IP层通信模块。UE 818和/或AAA/RP服务器820可被配置成使能在其应用与IP层通信模块之间的通信。OpenID标识提供商(OP)可以是MNO或与MNO相关联的应用服务提供商。OP服务器821可服务多个MNO，以允许广泛的客户群使用热点。AAA服务器820可被实施为RP，并可利用UE 818和/或OP服务器821上的密钥822(例如在应用层导出的)。根据示例实施方式，可利用应用层密钥822来完成EAP-SIM/AKA认证。

如图8所示，在801，UE 818可经由接入网通信(例如3GPP接入网通信)成功完成向OP服务器821的认证。UE 818和OP服务器821可在801建立共享密钥822。共享密钥822可以是例如在UE 818与OP服务器821之间在应用层处建立的应用层证书。在802，UE 818上的本地组件(例如连接管理器(CM))可基于其标识信息(例如“MNO-WiFi”SSID)来发现AP 819。可经由接入层信令(例如信标信道)来发现AP 819的标识信息。UE 818(例如正在实施CM)可决定其应切换到AP 819以接入服务。UE 818可以是AP 819网络的未授权客户端。

在803，AP 819(例如认证方)可发出EAP请求，以询问UE 818的标识。在804，UE 818可返回标识符，例如其永久标识(例如国际移动订户标识(IMSI))、伪标识、快速认证标识、或UE 818的其它类似标识符。附加认证信息(例如其范围)可与接入层标识符一起返回。所述范围可包括在执行认证中使用的附加信息，例如对于使用单点登录(SSO)认证(例如IMSI@sso.MNO.com)的提示。

在805，AP 819可向AAA/RP服务器820发送接入层标识符。接入层标识符以及AP 819与AAA/RP服务器820之间的其它通信可使用RADIUS接入请求、接入质询、和/或接入接受消息来被发送。AAA/RP服务器820可将接入层标识符发送到AAA/RP服务器820上的应用层。基于所述接入层标识符和/或运营商策略，AAA服务器820的RP功能可在806执行与OP服务器821的发现和/或关联。可使用OpenID协议来执行所述发现和/或关联。在806处的发现和/或关联期间，AAA/RP服务器820可向OP服务器821发送接入层标识符。例如，可在AAA/RP服务器820与OP服务器821之间在应用层处发送所述接入层标识符。OP服务器821可使用接入层标识符和/或应用层证书822来生成可被用来在AAA/RP服务器820处认证UE 818的密钥材料。例如，OP服务器821可使用接入层标识符来确定与UE 818相关联的应用层证书822。可使用密钥导出功能从应用层证书822导出密钥材料。根据示例实施方式，密钥材料可包括会话密钥，该会话密钥可被用于UE 818与AAA/RP服务器820之间的认证。在807，OP服务器821可将密钥材料发送到AAA/RP服务器820。

AAA/RP服务器820可使用从OP服务器821接收的密钥材料来向UE 818发送EAP-SIM/AKA质询。可发送所述EAP-SIM/AKA以使能重认证过程，而不必与HLR/HSS对接或通信。在808，AAA/RP服务器820可向AP 819发送接入质询。接入质询可包括与UE 818相关联的标识符和/或在807处接收的密钥材料。AP 819可在809经由无线电接入网将从AAA/RP服务器820接收的EAP消息(例如EAP-请求/质询)发送到UE 818。在接收所述EAP-请求/质询消息之后，UE 818可检查所述密钥材料，以确认所述消息以及在810使用应用层证书822生成EAP响应。例如，UE 818可将所述质询发送到位于UE 818上的可信环境(例如可信处理模块、UICC、SIM、智能卡等)，所述可信环境可使用密钥导出功能从应用层证书822导出密钥材料。所述密钥材料可与在OP服务器821处使用应用层证书生成的密钥材料相同。例如，所述密钥材料可包括可被用于UE 818与AAA/RP服务器820之间的认证的会话密钥。在810，所述密钥材料可被用来生成响应。所述响应可在UE 818的应用层处被生成，并可被传送到接入层，以用于到AP 819的传输。

在811，UE 818可使用例如重认证过程以EAP-响应消息的形式将所述响应返回到AP 819。所述响应可包括UE标识符和/或在UE 818处生成的密钥材料(例如会话密钥)。在812，AP 819可将EAP-响应/质询消息转发到AAA/RP服务器820，例如以接入请求消息的形式。在812处的接入请求可包括EAP ID和/或在811处来自UE 818的密钥材料。AAA/RP服务器820可确认所接收的消息和/或检查所接收的响应是否与在812处所期望的响应相匹配，以及如果检查成功，则AAA/RP服务器820可指示成功认证和/或UE 818可以使用WLAN网络接入服务。例如，在813，AAA/RP 820可向AP 819发送接入接受消息。接入接受消息可包括EAP成功指示符和/或密钥材料。AP 819可在814将EAP成功指示符转发到UE 818。在815，UE 818在AP 819的状态可变成被授权以供AP 819使用。由于UE 818被授权，则UE 818可在816使用DHCP获得IP地址。在817，UE 818可使用例如IP地址通过WLAN网络接入因特网。

使用图8中示出的呼叫流程或其中的一部分，热点AAA服务器820可能不必连接到MNO HLR/HSS以使用EAP协议来执行认证。例如，通过如此所述使用OpenID，AAA服务器820或其它RP实体可避免为了执行用户认证而与HLR/HSS或其它SS7实体进行通信。反而，AAA服务器820可与基于网际协议(IP)的HTTP(S)接口(例如用于OpenID的基于IP的HTTP(S)接口)通信。

图9是示出了EAP-OpenID集成的另一流程图，其中AAA服务器923充当RP。如图9中所示，可使用UE 921、AP 922、AAA/RP服务器923和/或OP服务器924之间的通信来认证UE 921和/或其用户，以在WLAN上进行通信。UE 921、AAA/RP服务器923、和/或OP服务器924每个可包括能够在应用层进行通信的应用。UE 921、AP 922、和/或AAA/RP服务器923每个可包括能够在IP层进行通信的IP层通信模块。UE 921和/或AAA/RP服务器923每个可被配置成使能其应用与IP层通信模块之间的通信。根据示例实施方式，AP 922可被配置成允许OpenID交换用于未授权UE 921，其中UE 921能够经由AP 922到达AAA/RP服务器923和/或OP服务器924并与之进行通信。

在图9中示出的实施方式中，可能不存在之前已经在UE 921与OP服务器924之间共享的新鲜密钥(如图8中所示)。因此，UE 921和/或OP服务器924可执行认证以及应用层标识密钥925的生成。AAA服务器923可充当RP，并可使用连接(例如3GPP连接)来执行OpenID认证。UE 921可以是能够同时与多个网络建立连接的装置(例如UE 921可以是能够同时经由3GPP网络和经由WLAN热点建立连接的多RAT装置)。如图9中所示，所建立的3GPP连接可被用来交换OpenID消息和完成EAP-SIM/AKA认证。虽然图9使用在活动3GPP连接中建立的证书来为WLAN上的通信执行认证，应该理解的是，也可以以与图9中所述类似的方式使用其它形式的无线连接来执行认证。

在901，UE 921可具有建立的活动3GPP连接而且其可通过该连接到达AAA/RP服务器923和/或OP服务器924。根据另一示例实施方式，AP 922可允许OpenID交换用于UE 921的认证，而不是使用在901建立的3GPP连接。在任一实施方式中，协议流可与图9中示出的相同或相似。继续图9中的协议流，在902，UE 921上的本地组件(例如CM)可发现AP 922、和/或其标识信息(例如“MNO-WiFi”SSID)。可经由接入层信令(例如信标信道)来发现AP 922。UE 921上的本地组件(例如CM)可决定UE 921应连接到AP 922。UE 921可以是在AP 922处的未授权客户端，且可能不具有网络上的接入。

在903，AP 922(例如认证方)可发出EAP请求，以询问UE 921的IP层标识。在904，UE 921可经由EAP响应返回其IP层标识。UE 921的IP层标识可包括其国际移动订户标识(IMSI)和/或附加认证信息。附加信息可包括UE 921的范围。所述范围可包括附加认证信息，例如对于使用SSO认证(例如IMSI@sso.MNO.com)的提示。在905，AP 922可向AAA/RP服务器923发送IP层标识(EAP ID)。IP层标识以及AP 922与AAA/RP服务器923之间的其它通信可使用RADIUS接入消息(例如RADIUS接入请求消息、RADIUS接入质询消息、和/或RADIUS接入接受消息)来被发送。

在906，AAA/RP服务器923可发现OP服务器924，并执行与OP服务器924的关联。例如，AAA服务器923的RP功能可使用OpenID协议来发现OP服务器924并执行与OP服务器924的关联。UE 921上的应用可在907向AAA/RP服务器924(其可充当依赖方(RP))发送登录请求。907处的具有OpenID的登录请求可在3GPP连接上被发送。UE 921上的应用可基于对发起来自UE 921上的本地实体(例如CM)的通信的指示来发送所述登录请求。通过在3GPP无线连接上与UE 921进行通信，在908，AAA/RP服务器923可将UE 921重定向到OP服务器924。

UE 921可在909处通过3GPP连接与OP服务器924进行认证(例如使用OpenID证书)。例如，UE可使用OpenID证书与OP进行认证。一旦向OP服务器924的认证成功完成，可在UE 921和/或OP服务器924上建立应用层证书925。OP服务器924可基于应用层证书925生成密钥材料。所述密钥材料可被用于UE 921与AAA/RP服务器923之间的认证。可使用密钥导出功能从应用层证书925导出密钥材料。根据示例实施方式，密钥材料可包括会话密钥，该会话密钥可用于使用AAA/RP服务器920的认证。

在910，OP服务器924可基于应用层证书925将密钥材料发送到AAA/RP服务器923。AAA/RP服务器923可在应用层接收密钥材料，并将该密钥材料传递到其IP层通信模块，以用于向AP 922进行传送。在911，AAA/RP服务器923可使用密钥材料来经由AP 922向UE 921发送EAP-SIM/AKA质询。所述质询可以基于重认证过程，其中AAA/RP服务器923可在不与HLR/HSS通信的情况下执行认证。在911的质询可包括EAP ID和/或在910处接收的密钥材料。AP 922可在911接收质询，并在912将从AAA/RP服务器923接收的EAP消息(EAP-请求/质询消息)发送到UE 921。

在在912处接收所述EAP-请求/质询消息之后，UE 921可在913使用应用层证书925生成响应。UE 921可检查从AAA/RP服务器接收的密钥材料并可将所述质询发送到可信环境(例如可信处理模块、UICC、SIM、智能卡等)，所述可信环境使用应用层证书925来生成响应。例如，UE 921上的可信环境可使用密钥导出功能从应用层证书925导出密钥材料。所述密钥材料可与在OP服务器924处使用应用层证书925生成的密钥材料相同。例如，所述密钥材料可包括可被用于UE 921与AAA/RP服务器923之间的认证的会话密钥。在913，所述密钥材料可被用来生成响应。所述响应可在UE 921的应用层处被生成，并被传送到接入层，以用于到AP 922的传输。

在914，UE 921可基于重认证过程在EAP-响应消息中将所述响应返回到AP 922。所述EAP-响应消息可包括IP层标识符和/或从应用层证书925生成的密钥材料。在915，AP 922可将EAP-响应/质询消息转发到AAA/RP服务器923。AAA/RP服务器923可通过检查EAP-响应/质询消息中的密钥材料来认证所述UE 921，以及如果检查成功，则AAA/RP服务器923可使得UE 921能够在WLAN网络上接入服务。例如，在916，AAA/RP服务器923可向AP 922发送接入接受消息，该接入接受消息包括EAP成功以及密钥材料。可在917将EAP成功消息转发到UE 921。在918，UE 921的状态可在AP 922上变成被授权。UE 921可在919处使用DHCP从AP 922获得IP地址，并可在920处通过WLAN网络接入因特网。

这里使用OpenID来创建UE 921与OP服务器924之间的共享证书(例如应用层证书925)。应用层证书925可被用于在AAA/RP服务器923处对用户/UE 921的认证。图9中示出的实施方式使得UE 921能够向OP服务器924认证并共享秘密925。一旦在UE 921与OP服务器924之间认证成功(例如使用OpenID-AKA)，则UE 921与OP服务器924之间的认证使得应用层证书925能够被生成。OP服务器924随后可使用应用层证书925来对在910处被发送到AAA/RP服务器923并随后由AAA/RP服务器923使用应用层证书925进行验证的断定进行签名。一旦在OP服务器924与UE 921之间生成密钥925(作为例如OpenID过程的一部分)，则可使用另一网络实体来向UE 921(例如向UE 921上的CM)递送EAP证书(例如密钥材料)。

再次，使用图9中示出的协议流或其中的一部分，热点AAA服务器923可不必连接到MNO HLR/HSS以使用EAP协议来执行认证。反而，AAA服务器923可与基于简单网际协议(IP)的HTTP(S)接口(例如用于OpenID的基于IP的HTTP(S)接口)通信。除了AP消息或未认证装置之外，热点AP 922可允许OpenID交换。

图10是示出了EAP-OpenID集成和本地OpenID提供商(本地OP)的实施的流程图，其中AAA服务器1022充当RP。如图10中所示，可使用UE 1018、AP 1021、AAA/RP服务器1022和/或OP服务器1023之间的通信来认证UE 1018和/或其用户。如图10中所示，UE 1018可包括本地OP 1019和浏览代理(BA)/连接管理器(CM)1020，所述本地OP 1019和浏览代理(BA)/连接管理器(CM)1020每个被配置为互相通信和/或与其它网络实体通信，以执行认证和获得对服务的接入。虽然BA/CM 1020在图10中被示为单个实体，BA和CM可以是UE 1018内执行独立功能的分离实体。可在安全环境(例如可信处理模块、UICC、SIM、智能卡等)内在UE 1018上安装本地OP 1019。本地OP 1019可充当UE 1018的OP服务器。本地OP 1019可包括长期秘密1024，可将该长期秘密1024与网络上的OP服务器1023共享。在成功的本地用户认证之后，本地OP 1019可创建标识断定和/或对其进行签名。

在1001，UE 1018可具有活动3GPP连接而且其可通过该连接(例如经由BA/CM 1020)到达AAA/RP 1022和/或OP服务器1023。虽然在图10中可在3GPP与WLAN连接之间建立认证和服务连续性，应该认识到，可将类似的通信用于其它网络之间的认证和服务连续性。在1002，BA/CM 1020可发现AP 1021(例如在接入网处)和/或其标识信息。此时，UE 1018可以是WLAN网络上的未授权客户端。AP 1021的标识信息可包括“MNO-WiFi”SSID。可经由接入层信令(例如信标信道)来发现AP 1023和/或其标识信息。BA/CM 1020可决定UE 1018应连接到AP 1021。在1003，AP 1021(例如认证方)可发出EAP请求，以询问UE 1018标识。在1004，UE 1018可返回其IP层标识。UE 1018IP层标识可包括国际移动订户标识(IMSI)和/或附加认证信息，例如其范围。所述范围可包括例如对于使用SSO认证(例如IMSI@sso.MNO.com)的提示。

在1005，AP 1021可向AAA/RP服务器1022发送EAP ID(例如IP层标识)。在1006，UE 1018上的BA/CM 1020可向AAA/RP 1022发送具有OpenID标识的HTTP GET请求。在1007，AAA服务器1022的RP功能可执行与OP服务器1023的发现和/或关联。作为结果，可创建关联密钥1024和/或关联句柄，并将它们在OP服务器1023与AAA/RP服务器1022之间共享。根据示例实施方式，OP服务器1023可接收与UE 1018相关联的接入层标识并在应用层向AAA/RP服务器1022发送关联密钥1024和/或关联句柄。AAA/RP服务器1022可从该关联密钥1024导出EAP密钥1025和/或质询。例如，可使用密钥导出功能或反向自举过程从关联密钥1024导出EAP密钥1025。AAA/RP服务器1022可在1008将UE 1018重定向到本地OP 1019，以进行认证。这一从AAA/RP 1022到本地OP 1019的重定向消息可包括关联句柄，但可能不包括关联密钥1024。

在1009，UE 1018和/或BA/CM 1020可在本地与本地OP 1019进行认证，和/或生成经签名的断定。UE 1018可从关联句柄导出本地断定密钥1024，并使用该断定密钥1024来对所述断定进行签名。到本地OP 1019的重定向请求可包括关联句柄，其中本地OP 1019可使用该关联句柄来导出与在OP服务器1023与AAA/RP服务器1022之间共享的密钥相同的签名密钥1024。一旦认证成功完成，则可由本地OP 1019创建经签名的断定消息。本地OP 1019还可导出与AAA/RP服务器1022在1007处生成的密钥相同的EAP密钥1025。在步骤1009的一种变形中，为了完成OpenID协议运行，本地OP 1019可在1009(b)使用经签名的断定消息将BA/CM 1020重定向到AAA/RP服务器1022，以进行验证。本地OP 1019和网络OP服务器1023可共享长期秘密1024，该长期秘密1024可被用来导出签名密钥1025。

AAA/RP服务器1022可基于所生成的EAP密钥1025生成EAP质询。EAP质询可以是EAP-SIM/AKA质询并可在不必与HLR/HSS通信的情况下被发送到UE 1018。例如，AP 1021可在1010从AAA/RP 1022接收接入质询并在1011向UE 1018上的BA/CM 1020发送EAP请求。所述接入质询和EAP请求可包括EAP标识和/或EAP质询。在接收EAP-请求/质询消息之后，UE 1018可使用EAP密钥1025确认所述消息和/或生成响应。例如，UE 1018可向UE 1018上的安全环境(例如可信处理模块、UICC、SIM、智能卡等)发送质询，所述安全环境可使用EAP密钥1025来生成EAP响应。

在1012，UE 1018可将EAP响应返回到AP 1021。所述EAP响应可包括EAP标识和/或从共享密钥1025生成的EAP密钥1025。在1013，AP 1021可将EAP-响应/质询消息转发到AAA/RP服务器1022。AAA/RP服务器可确认所述消息并基于所导出的EAP密钥1025将所接收的响应与所期望的响应进行比较。当在AAA/RP服务器1022处执行的认证检查成功时，AAA/RP 服务器1022可在1014处向AP 1021发送对成功认证的指示。例如，AAA/RP服务器1022可向AP 1021发送接入接受消息，该接入接受消息包括EAP成功以及密钥材料。可在1015将对成功认证的指示转发到UE 1018。在已经执行了成功认证之后，针对AP 1021上的通信，UE 1018的状态可变成被授权。UE 1018可在1016处获得IP地址(例如使用DHCP)，并可在1017处使用AP 1021通过WLAN接入因特网。

通过使用图10中示出的协议流或其中的一部分，热点AAA服务器1022可不必连接到MNO HLR/HSS以使用EAP协议来执行认证。此外，本地OP 1019的使用使得UE 1018能够为EAP进程执行本地密钥生成以及对用户的本地认证。

图11是示出了EAP-OpenID集成的另一流程图，其中AAA服务器1121充当RP。在从UE 1018请求服务之前，AAA/RP 1121可发起与已知的OP服务器的预取(pre-fetch)关联。如图11中所示，可使用UE 1117、AP 1120、AAA/RP服务器1121和/或OP服务器1122之间的通信来认证UE 1117和/或其用户，以接入所述服务。根据图11中示出的示例实施方式，UE 1117可使用本地OP 1118来执行本地认证以及执行从UE 1117上的OpenID签名密钥1123对EAP密钥1124的密钥生成。此外，图11中示出的实施方式可在UE 1117向AAA/RP服务器1121认证之前使用OpenID的标识符选择模式来设置AAA/RP服务器1121与OP服务器1122之间的关联。这可通过在OP服务器1122与AAA/RP服务器1121之间预先建立关联来使能避免OP发现。当UE(例如UE 1117)移动到接入网并使得网络切换能够对用户是无缝的时，这可导致减少完成SSO过程的时间。

根据示例实施方式，AAA/RP服务器1121可与已知OP服务器(例如OP服务器1122)发起多个关联。AAA/RP服务器1121可使用OpenID的标识符选择模式来发起这种关联(其中可使用提供商URL，而不是完整标识符URL，其可随后由本地OP 1118完成)。AAA/RP服务器1121可存储其从OP服务器获得的关联句柄和关联秘密。由AAA/RP服务器1121执行的发现和关联中的一者可包括在1101处与OP服务器1121的发现和关联。AAA/RP 1121可存储从OP服务器1122接收的关联句柄和/或关联秘密1123。

在1102，UE上的本地组件(例如BA/CM 1119)可基于其标识信息发现AP 1120。可经由例如接入层信令来标识AP 1120。此时，UE 1117可以是与AP 1120相关联的网络(例如WLAN)上的未授权客户端。BA/CM 1119可决定UE 1117应连接到AP 1120。在1103，AP 1120可请求UE 1117的IP层标识。在1104，UE 1117可将其IP层标识和/或附加认证信息返回到AP 1120。在1105，AP 1120可向AAA/RP服务器1121发送UE 1117的IP层标识符。

在1106，UE 1117上的BA/CM 1119可向AAA/RP 1121发送具有OpenID提供商URL、电子邮件地址或其它登录标识符(例如在标识符选择模式中)的请求。AAA/RP服务器1121可选择预先建立的关联句柄和关联密钥中的一者。例如，AAA/RP服务器1121可基于从UE 1117接收的登录标识符选择已经与OP服务器1122预先建立的关联句柄和关联密钥1123。AAA/RP服务器1121可从该关联密钥1123导出EAP密钥1124和/或EAP质询。例如，可使用密钥导出功能或反向自举过程从关联密钥1123导出EAP密钥1124。AAA/RP 1121可在1107将UE 1117重定向到本地OP 1118，以用于认证。由于部署了本地OP 1118，可将认证重定向到本地OP 1118。这一到本地OP 1118的重定向可包括关联句柄，但可能不包括关联秘密1123。

在1108，UE 1117和/或BA/CM 1119可在本地与本地OP 1118进行认证。到本地OP 1118的重定向请求可包括关联句柄，其中本地OP 1118可使用该关联句柄来导出与在OP服务器1122与AAA/RP 1121之间共享的密钥相同的关联密钥1123。本地OP 1118和网络OP服务器1122可共享长期秘密，该长期秘密可被用来导出签名密钥1123。一旦认证成功完成，则本地OP 1118可从同样在AAA/RP服务器1121处导出的签名密钥1123导出EAP密钥1124。可使用例如密钥导出功能来导出EAP密钥。本地OP 1118可使用EAP密钥1124来生成经签名的断定消息，以向AAA/RP服务器1121进行发送。

AAA/RP服务器1121可基于所生成的EAP密钥1124生成EAP质询，并可在不必与HLR/HSS通信的情况下将EAP质询发送到UE 1117。例如，在1109，可将接入质询从AAA/RP 1121发送到AP 1120。所述接入质询可包括EAP ID和/或质询。在1110，AP 1120可将从AAA/RP服务器1121接收的EAP消息(EAP-请求/质询)发送到BA/CM 1119。

在接收EAP-请求/质询消息之后，UE 1118可使用EAP密钥1124确认所述消息并生成响应。UE 1118可向可信环境(例如可信处理模块、UICC、SIM、智能卡等)发送EAP质询，所述可信环境可使用EAP密钥1124来生成EAP响应。在1111，UE 1117可将响应消息返回到AP 1120。所述响应消息可包括EAP ID和/或EAP响应。在1112，AP 1120将EAP-响应/质询消息转发到AAA/RP服务器1121。AAA/RP可使用所述EAP密钥1124执行认证。当在AAA/RP服务器1121处执行的认证检查成功时，AAA/RP服务器1121可在1113处发送对成功认证的指示。例如，AAA/RP服务器1121可向AP 1120发送指示成功认证的消息。例如，对成功认证的指示可包括EAP成功和密钥材料。可在1114将对成功认证的指示转发到UE 1117。在已经执行了成功认证之后，UE 1117状态可在AP 1120上变成被授权。UE 1117可在1115处获得IP地址以用于AP 1120上的通信(例如使用DHCP)，并可在1116处使用AP 1120接入因特网。

图12是示出了将AAA服务器1218实施为OP服务器的认证协议的流程图。可使用UE 1216、AP 1217、和AAA/OP服务器1218来实施图12中示出的流程图。AP 1217可以是热点或能够在WLAN网络上进行通信的其它节点。将OP服务器功能性集成到热点AAA服务中可使能对网络间(例如3GPP与WLAN网络之间)的无缝认证和/或服务连续性的支持。AAA/OP服务器1218可使用之前在UE 1216和/或AAA/OP服务器1218上生成的密钥1219来执行认证，以用于在WLAN网络上接入服务。根据示例实施方式，之前生成的密钥1219可以是应用层证书。虽然图12描述了针对3GPP与WLAN网络间的无缝认证和/或服务连续性的网络通信，但应该理解的是，类似的通信可被用于其它类型的无线网络之间的无缝认证和服务连续性。

如此处所示，用户可以在公共热点(例如AP 1217)与被集成到AAA服务器1218中的OP模块进行无缝认证。根据一种实施方式，可使用AAA/OP服务器1218来执行认证，以利用在UE 1216和/或AAA/OP服务器1218上导出的密钥1219来完成认证(例如EAP-SIM/AKA认证)。活动的3GPP连接可被用来交换认证消息(例如OpenID认证消息)，以用于在WLAN网络进行认证。

如图12中所示，在1201，UE 1216可通过3GPP接入网成功完成向AAA/OP服务器1218的认证。在3GPP接入网上的认证协议期间，可在UE1216和/或AAA/OP服务器1218上建立共享密钥1219。在1202，UE上的本地组件(例如CM)可基于其标识信息发现AP 1217。例如AP 1217的标识信息可以是“MNO-WiFi”SSID。可经由接入层信令(例如信标信道)来发现AP 1217。UE 1216的本地组件(例如CM)可决定UE 1216应切换到热点。

在1203，AP 1217(例如认证方)可发出EAP请求，以询问UE 1216的IP层标识。在1204，UE 1216可将其IP层标识和/或附加认证信息返回到AP 1217。例如，UE 1216可返回其国际移动订户标识(IMSI)。附加认证信息可包括范围。所示范围包括对于使用SSO认证(例如IMSI@sso.MNO.com)的提示。根据示例实施方式，UE 1216可提供附加信息，以在发现UE 1216认证能力的过程中进行辅助，例如通过对IMSI预先附加(pre-pending)比特(例如‘0’或‘1’)来分别提示服务器使用EAP-AKA或EAP-SIM过程。

在1205，AP 1217可向AAA/OP服务器1218发送EAP ID(例如接入层标识)。基于之前生成的与UE 1216共享的密钥1219，在1206，AAA服务器1218的OP功能可生成质询。例如，AAA/OP服务器1218可导出会话密钥，以在接入层的认证中使用。例如，可使用密钥导出功能或通用自举过程来导出会话密钥。AAA/OP服务器1218可使用重认证过程在EAP-SIM/AKA质询消息中向UE 1216发送质询。例如，AP 1217可在1207接收EAP消息，该EAP消息包括从共享密钥1219生成的会话密钥和/或来自AAA/OP服务器1218的EAP ID。在1208，AP 1217随后可将从AAA/OP服务器接收的EAP消息(EAP-请求/质询)转发到UE 1216。

在接收所述EAP-请求/质询消息之后，UE 1216可使用所述会话密钥执行认证。UE 1216可将所述质询发送到位于其上的安全环境(例如可信处理模块、UICC、SIM、智能卡等)，所述安全环境可使用与AAA/OP服务器1218的共享密钥1219在1209处生成EAP响应。例如，EAP响应消息可包括从共享密钥1219生成的响应。

在1210，UE 1216可基于重认证过程在到AP 1217的响应中将EAP消息返回到AP 1217。所述EAP消息可包括EAP ID和/或是使用共享密钥1219生成的响应。在1211，AP 1217可将EAP-响应/质询消息转发到AAA/OP服务器1218。AAA/OP服务器1218可确认所述消息和/或将在EAP-响应/质询消息中接收的响应与期望的响应进行比较。当在AAA/OP服务器1218处执行的检查成功时，AAA/OP服务器1218可经由AP 1217向UE 1216发送成功认证的指示。例如，在1212，AAA/OP服务器1218可向AP 1217发送接入接受消息，该接入接受消息包括EAP成功和/或密钥材料。在1213，EAP成功消息可被转发到UE 1216。一旦成功认证，UE 1216状态可在AP 1217上变成被授权。在1214，UE 1216可从AP 1217获得IP地址(例如使用DHCP)，并可在1215通过WLAN网络接入因特网。

如此所述，可在UE 1216与AAA/OP服务器1218之间生成共享证书1219。可在另一网络处的认证期间或之后建立所述共享证书。UE 1216可向AAA/OP服务器1218进行认证，该AAA/OP服务器1218可使用所述共享证书1219来对断定进行签名，该断定被发送到RP并随后由RP使用共享证书1219进行验证。一旦成功认证，UE 1216与AAA/OP 1218之间的认证可生成共享证书1219(例如使用OpenID-AKA)。一旦在AAA/OP 1218与UE 1216之间生成共享证书1219，另一实体可将所述EAP证书递送到UE 1216(例如在CM处)。

这里描述的实施方式可消除在热点AAA服务器上对复杂MAP/直径接口的实施，或与MNO HLR/HSS对接和通信以进行AV获取。此外，可使能3GPP与WLAN热点之间的无缝认证和服务连续性。如图12所示，可在热点AAA服务器1218中实施OP模型。作为将OP集成到热点AAA服务器的替换或补充，可将OP功能性实施到MNO AAA服务器中，并且热点AAA服务器可充当AAA代理，其将请求中继到MNO AAA服务器。

图13示出了用于将OpenID消息集成到EAP协议消息中的协议流的示例实施方式。该协议流或与之相似的协议流可被实施以例如使能图11和12所示的一些网络通信。

如图13所示，UE 1316、AP/RP 1317、和/或OP服务器1318可执行通信，以使能在网络处认证UE 1316。在1301，UE 1316可发现与AP/RP 1317相关联的接入网。此时，UE 1316对于网络上的通信可以是未授权的。在1302，AP/RP 1317可发送针对EAP ID(例如接入层标识)的请求。在1303，UE 1316可在EAP响应中向AP 1317发送OpenID标识符。在1304，通过使用OpenID标识符，AP 1317可与OP服务器1318执行OpenID协议的发现和/或关联步骤。为了执行发现和/或关联，AP 1317可根据EAP协议解开(unwrap)OpenID消息(例如OpenID标识符)并经由HTTP(S)与OP服务器1318通信。可选地，可以在OpenID协议中建立关联。

在关联之后，OP服务器1318可在1305生成质询，并且AP 1317可在1306从OP服务器1318接收OpenID质询。在1307，AP 1317可向UE 1316发送EAP请求(对应于OpenID协议中的OpenID重定向)。在本地OP的帮助下，UE 1316可在1308生成正确的响应并在1309向AP 1317发送具有经签名的OpenID断定的EAP响应。如果AP 1317与OP服务器1318建立关联，则AP 1317可自主地验证断定签名并因此认证和授权UE 1316。如果早些时候没有建立关联，则AP 1317可使用无状态模式来请求OP服务器1318进行签名验证，例如在1310处。如果在OP服务器1318处认证成功，则OP服务器1318可在1311向AP/RP 1317发送具有标识和认证断定的OpenID消息。AP/RP 1317可在1312向UE 1316指示成功认证，且UE可在1313经由AP/RP 1317针对服务被授权。在1314，UE 1316可从AP/RP 1317获得(经由DHCP请求)IP地址，并可在1315被使能通过WLAN网络进行因特网接入。

即使AP 1317和OP服务器1318已经建立了关联，也可由本地OP“强制”进行无状态模式。本地OP可设置断定消息中的字段“invalidate_handle(无效句柄)”，并创建新的关联句柄。AP 1317随后可回到OP服务器1318进行签名验证。OpenID的这一行为可被用来触发从AP 1317到OP服务器1318的反馈机制，即使本地OP已经就位并发出断定。如果关联被使用且不是无效的，则可能不会向OP服务器1318进行任何反馈。这里描述的实施方式可使能某些支付场景和/或隐私。

根据示例实施方式，针对服务的用户认证可通过为了EAP协议中的AV获取在AP与MNO的AAA服务器之间建立连接来被执行。通过实施OpenID，可在AP与MNO网络之间创建附加抽象层。OP可充当网络认证基础结构的代理，并在不向连接的AP给出到网络AV的直接接入的情况下，基于网络证书认证UE。由于OP充当认证点，因此AP中的逻辑可被降低，以验证OpenID断定。通过使用OpenID，不再需要在AP处处理AV。此外，OP可对不同的AP运营商的多个AP进行服务，这是由于AP不必具有到MNO基础结构的直接连接。OP还可充当事务(transaction)认证方(这可包括例如本地OP)。这可经由AP运营商的MNO后端允许记账和/或收益/红利支付。因而，多个MNO可使用相同的OP。多个AP提供商也可使用相同的OP。这可导致例如“星”架构。

这里的实施方式可使用密钥导出功能，例如通用自举过程。例如，可实施通用自举架构(GBA)。GBA的一个示例实施方式可被描述于3GPP技术规范(TS)33.220中。然而，GBA可被限制于基于UICC的证书。这里描述的实施方式可使用基于UICC的和/或非基于UICC的证书来实施。GBA还可被限于UE-BSF与UE-NAF之间的IP连接性，以执行自举和认证。这可导致GBA破坏无缝移动性协议，例如移动IP。移动IP可在IP层或在IP层之下使用认证，以执行切换，以及带来新的接口(例如WLAN接口)以及执行与本地代理(HA)的注册。在IP层处的移动IP注册与在应用层处的GBA自举之间的竞争条件可破坏移动性并可使MIP注册失败，并且作为结果，到WLAN网络的切换可能失败。

EAP-GBA集成选项可被用来解决3GPP与WLAN网络之间的移动性问题，例如针对基于GBA的双模式装置。可在现有的3GPP接口上执行GBA认证。GBA认证的结果(例如存储于装置中的Ks_NAF)可被用来在热点中完成EAP认证。可通过例如经由3GPP接口为GBA认证提供IP连接性以及使用GBA-EAP集成来与GBA解决移动性问题。

图14是示出了针对使用OpenID连接的服务的UE 1421认证的流程图。如图14所示，UE 1421可具有活动无线连接(例如3GPP连接)并可通过该连接到达AAA/RP服务器1425和/或OP服务器1426。在1401，UE 1421可执行到AAA/RP服务器1425的OpenID连接登录，该AAA/RP服务器1425可创建接入令牌。所述接入令牌可在1402处由BA1422保存(或由OS保存)。UE上的本地组件(例如CM 1423)可经由接入层信令(例如信标信道)发现AP 1424及其标识信息(例如“MNO-WiFi”SSID)。CM 1423可决定UE 1421应连接到AP 1424。在1403，CM可附着到AP 1424。在1404，AP 1424(例如认证方)可将UE 1421状态设置为未认证或未授权。

在1405，AP 1424可发出EAP请求，以询问UE 1421EAP/IP层标识。在1406，UE 1421可返回国际移动订户标识(IMSI)和/或其它认证信息。其它认证信息可包括其范围，该范围可包括对于使用SSO认证(例如IMSI@sso.MNO.com)的提示。在1407，AP 1424可向AAA/RP服务器1425发送从UE 1421接收的EAP ID(例如使用RADIUS接入请求)。

在1408，AAA/RP服务器1425可基于所接收的EAP ID(或通过使用所接收的EAP ID查找数据库)检测UE 1421能够使用基于OpenID连接的流。在1409，AAA/RP服务器1425可向AP 1424发送EAP-SIM/AKA质询，该质询指示应该在EAP协议中使用OpenID连接。AP 1424可将从AAA/RP服务器1425接收的EAP消息(EAP-请求/质询)发送到UE 1421(例如在CM 1423处)。

在接收所述EAP-请求/质询消息之后，UE 1421检查消息中的认证参数，并且可在1411从BA1422请求令牌(例如BA可以是OS或API)。在1412，可将接入令牌返回到CM 1423。在1413，CM 1423可在EAP消息中向AP 1424发送接入令牌。在1414，AP 1424可将EAP-响应/质询消息转发到AAA/RP服务器。在1415，AAA/RP服务器1425可验证令牌并随后使用该令牌和来自OP服务器1426的用户信息端点来从OP服务器1426获取用于认证的用户信息。

OP服务器1426可在释放用户信息之前确认所述令牌。在1417，AAA/RP服务器1425可接收用户信息。用户信息可包括用户名、地址、记账信息、和/或记账令牌。AAA/RP服务器1425可基于在1417接收的用户信息来执行认证检查。当所有检查成功时，AAA/RP服务器可将成功认证的指示发送到UE 1421。例如，在1418，AAA/RP服务器1425可向AP 1424发送接入接受消息，该接入接受消息包括EAP成功和密钥材料。在1419，可将EAP成功消息转发到UE 1421。在1420，UE 1421状态可变成被授权，以用于在AP 1424上的网络上的接入。UE 1421可获得IP地址(例如使用DHCP)，并可经由AP 1424接入因特网。

图15是示出了针对使用OpenID连接和本地OP的服务的UE 1520的认证的流程图。如图15所示，UE 1520上的本地组件(例如CM 1522)可发现AP 1524和/或其标识信息。AP 1524和/或其标识信息可包括“MNO-WiFi”SSID，其可经由接入层信令(例如信标信道)被发现。CM 1522可决定UE 1520应连接到AP 1524。

在1501，UE 1520可附着到AP 1524。在1502，AP 1524(例如认证方)可将UE 1520状态设置为对于通信未认证或未授权。在1503，AP 1524可发出EAP请求，以询问UE IP层/EAP标识。在1504，UE 1520可返回其IP层/EAP标识符。例如，UE 1520可返回国际移动订户标识(IMSI)和/或附加认证信息。附加认证信息可包括其范围，该范围可包括对于使用SSO认证(例如IMSI@sso.MNO.com)的提示。

在1505，AP 1524可向AAA/RP服务器1525发送EAP ID。可使用RADIUS消息(例如接入请求消息、接入质询和/或接入接受消息)来执行AP 1524与AAA/RP服务器1525之间的通信。在1506，AAA/RP服务器可基于所接收的EAP标识(或通过使用所接收的EAP标识查找数据库)检测UE 1520能够使用基于OpenID连接的流。在1507，AAA/RP服务器可向AP 1524发送EAP-SIM/AKA质询。该质询可以指示应该在EAP协议中使用OpenID连接。该指示对于AP 1524和/或EAP协议而言可以是透明的。作为指示的替代，AAA/RP服务器1525可创建OpenID连接请求对象(例如JSON)并可将指示符(URL)放到请求中。

在1508，AP 1524可将从AAA/RP服务器1525接收的EAP消息(EAP-请求/质询)发送到UE 1520(例如在CM 1522)。在接收所述EAP-请求/质询消息之后，UE 1520可检查认证参数，并且可在1509使用OpenID连接请求对象来发起与本地OP 1521的OpenID连接会话。在1510，本地OP 1521可创建接入令牌(例如在成功本地用户认证之后)。在1511，可将接入令牌返回到CM 1522。在1512，CM 1522可在EAP消息中向AP 1524发送所述接入令牌。AP 1524可将EAP-响应/质询消息转发到AAA/RP服务器1525。在1514，AAA/RP服务器1525可验证令牌并使用该令牌和来自OP服务器1526的用户信息端点来获取用于认证的用户数据。

在1515，OP服务器1526可在能够释放用于认证的用户信息之前确认所述令牌。在1516，AAA/RP服务器1525可接收用户信息。用户信息可包括用户名、地址、记账信息、和/或记账令牌。AAA/RP服务器1525可使用在1516接收的用户信息来执行用户认证，且当检查成功时，AAA/RP服务器1525可在1517将成功认证的指示发送到UE 1520。例如，AAA/RP服务器1525可向AP 1524发送接入接受消息，该接入接受消息可以包括EAP成功消息和/或密钥材料。在1518，可将EAP成功消息转发到UE 1520(例如到CM 1522)。在1519，UE 1520状态可在AP 1524上变成被授权。UE 1520可获得IP地址(例如使用DHCP)，并可经由AP 1524接入因特网。

虽然上面以特定组合的方式描述了特征和元素，但是本领域的普通技术人员能够理解的是，每个特征或元素都可被单独使用，或与其他特征和元素进行各种组合。此外，这里描述的方法可以在引入到计算机可读介质中并供计算机或处理器运行的计算机程序、软件或固件中实施。计算机可读介质的示例包括电信号(通过有线或无线连接传送)和计算机可读存储媒介。计算机可读存储媒介的示例包括但不限于只读存储器(ROM)、随机存取存储器(RAM)、寄存器、缓冲存储器、半导体存储设备、例如内部硬盘和可移动磁盘的磁介质、磁光介质和光介质(例如CD-ROM盘和数字多用途盘(DVD))。与软件相关联的处理器可被用于实施在WTRU、UE、终端、基站、RNC或任何主机中使用的射频收发信机。