专利名称::无线局域网的访问管理的制作方法
技术领域:
:本发明通常涉及计算机和计算机网络。更具体地说,本发明提供用于管理例如无线局域网(WLAN)的无线网络的系统和方法。
背景技术:
:设置家庭无线网络(例如无线局域网(WLAN))对于大多数计算机用户来说可能是非常难的过程,因此造成高效使用WLAN的重大障碍。用户碰到的难处之一是确定如何使WLAN最安全。典型地已经利用单个预共享密钥(PSK)来保护无线网络。然而,如果用户想要拒绝对于先前被授K^WLAN上使用的设备的将来访问,则单个预共享秘密密钥的使用要求用户重新配置整个网络。虽然最新的无线LAN标准802.11i(也称为"WPA2")支持使用多个PSK,但某些接入点(AP)不支持使用多个PSK。多个PSK的可用性使得能够对安全性关联进行可选择地撤销,这样使撤销访客是可能的。802.11i从PSK向前进行了规定,但它没有规定如何创建PSK。此外,802.11i没有规定如何对PSK分组,或当不再需要PSK时如何移除它。其它802.11X协议规定了在网络上如何使用在设备和认证服务器之间的单独协议来创建PMK(成对主密钥,除了PMK仅对于单个会话有效之外,PMK与PSK相似)。然而,与802.11i—样,802.11X也没有规定如何对PMK分组(在会话结束处隐式地进行移除)。用于解决网络设置问题的现有提议试图采用就近性。例如,一种已知方法通过^f吏用物理上安全的"带外"(OOB)信道而采用物理就近性。OOB可以基于NFC(近场通信)、红外线、便携式USB存储棒或基于物理就近性的任意其它通信技术。OOB被用于将网络标识符(例如SSID)和共享密钥从一个设备传递给另一设备。因为所传递的密钥被直接用作PSK,所以无需其它协议。为了将新设备添加到网络,所需的用户交互仅为以"令牌"接触所述新设备。令牌可以是简单的专用设备,或它可以是另一设备的一部分,例如已经在网络中的WLAN客户机的一部分。图l示出当"引入器"被用于准许新设备i^网络中时的这种方法。注意,引入器可以是AP自身。虽然该方法提供了直观的用户界面,并允许从一个设备到另一设备的委托访问,但访客访问仍然很麻烦。因为所有设备都使用相同PSK,所以移除访客访问的唯一方式是从网络移除所有设备,并且于是再次逐一添加所允许的i殳备。另一已知方法采用使用带内配置的时间就近性。Broadcom的用于安全简易设置(SecureEasySetup,SES)的提议落入该分类。在SES中,通过以下方式来执行网络设置首先使AP进入配置模式,其后例如通过按下相应设备上的按钮来将该新设备放入其配置模式。一旦处于配置模式,设备就使用某些协议来定位彼此,以协商PSK。图2示出"带内"方案的示例。通过使用WLAN配对方法来进行采用带内方法的新设备和AP的配对。带内方案出现很多问题,包括与非预期设备意外配对的可能性以及中间人攻击的威胁(因为初始密钥协商协议没有被认证)。此外,如在OOB的情况下那样,访客访问很麻烦,并且访问权限的设备对设备委托是不可能的。OOB和带内方法具有优点和缺点。OOB方法更直观和安全,但因为需要额外硬件,所以不合理的是,期望所有设备将具有合适的可用带外信道。带内方法不允许访问的委托,并且安全性较低,但比较4更宜,并且更有可能开始出现在商用AP和客户机设备中。两种方法都不支持容易的访客访问管理。因此,提供允许更容易和更高效的无线网络设置和管理以克服上述限制和缺点的方法和系统在本领域中具有先进之处。
发明内容下面陈述简要的
发明内容,以提供本发明的一些方面的基本理解。
发明内容并非是本发明的详尽综述。并非为了标识本发明的关键或重要元素或描绘本发明的范围。以下内容仅仅以简化的形式来陈述本发明的构思作为对以下提供的更详细的描述的开篇。为了克服上述现有技术的限制,并克服通过阅读和理解本说明书将理解的其它限制,本发明提出方法和系统,以用于管理对无线局域网的访问。无线接入点(AP)或其它访问控制器可以使用统一方法,所述统一方法采用带外信道或其它第一通信信道来将认证密钥和网络地址传输给访客设备,所述统一方法采用带内信道或其它第二通信信道来建立与访客i殳备的通信,还提供在所有设备上的带内设置的支持。在可能的情况下使用带外的能力增加了安全性和可用性并提供了从一个设备到另一设备的委托访问的可能性。所述统一方法从而还向WLAN提供对访客访问的简易管理。根据本发明第一方面,一种方法可以管理由移动终端对无线接入点(AP)或其它访问控制器的访问,其中,AP使用带外通信信道和带内通信信道。与所述移动终端对应的认证密钥(AK)被建立,其后经由所述带外信道被发送给所述移动终端。所述AP经由所述带内信道从所述移动终端接收密钥协商请求,当所述移动终端被授权访问所述AP时,基于所接收的密钥协商请求来建立与所述移动终端对应的访问密钥。刚一成功完成前面的步骤,所述AP就授权所述移动终端通过所述AP进行通信。所述AK用于f人证所述密钥协商。根据本发明另一方面,一种替换方法管理由移动终端对无线接入点(AP)或其它访问控制器的访问,其中AP使用带外通信信道和带内通信信道。AP的地址被发送给主设备。生成与所述移动终端对应的访客i人证密钥(AK),并且将相应信息从所述主设备发送给所述移动终端。所述移动终端发送第二AK给所述AP,所述AP将所述访客AK与所述第二AK相比较。当所述第二AK与所述访客AK匹配时,所述AP准予所述移动终端访问。根据本发明另一方面,新的移动终端可以适用于与所述网络通信。所述移动终端可以包括处理器,其用于控制所述移动终端的整体操作;第一收发器,其用于在带内的第一通信信道上发送和接收与无线接入点(AP)或其它访问控制器的通信;以及接收器,其用于在带外的第二通信信道上接收与无线接入点(AP)的通信。所述移动终端还可以包括存储器,其存储计算机可执行指令,当由所述处理器执行时,所述计算机可执行指令使所述移动终端执行用于访问无线局域网的方法。所述方法可以执行以下步骤经由所述第二通信信道接收无线AP的地址和访客认证密钥(AK),并经由所述第一通信信道将所述访客AK发送给所述AP,以建立与所述AP的通信。本领域技术人员应理解,上面仅仅是对以下更详细描述的主题内容的介绍。可以通过结合附图参照以下描述来获得本发明及其特定优点的完整理解,在附图中,相似的标号表示相似的特征,其中图1示出现有技术带外方法;图2示出现有技术带内方法;图3示出根据本发明一个或多个示例性方面的可以使用的网络架构;图4示出根据本发明一个或多个示例性方面的统一带外/带内方法;图5示出根据本发明一个或多个示例性方面的可以使用的网络架构;以及图6示出根据SES协议的方法。胁实施方式在以下各个示例性实施例的描述中参考附图,附图形成实施例的一部分,并且在附图中通过图解来示出可以实践本发明的各个示例性实施例。应理解,可以使用其它实施例,并且在不脱离本发明的范围的情况下可以进行结构上和功能上的修改。可以在以下示例性情形中使用本发明的一个或多个方面。参照图3,在本发明的一个实施例中,用户购买了新的高速无线LAN接入点301(或其它访问控制器),并且将该设备带入他或她的家里。用户期望容易地将家中的其它无线设备303、305、307,309或311连接到新的接入点301,从而使得这些设备也可以使用无线网络302。无线设备在此通常指的是移动终端,并且可以包括具有无线通信能力的任意设备,例如移动电话、智能电话、家电、膝上计算机、台式计算机、个人数字助理、音频/视频设备、电视、机顶盒、个人录#4^、个人数码录音机、数码相机、数码摄^4/L、个人存储器设备、家庭自动化和/或控制设备、传感器、车辆等及其任意组合,但不限于此。在插入接入点301之后,用户通过简单按下移动电话309和新接入点301上的按钮(未示出)来将他或她的启用了WLAN的移动电话309连接到新接入点301。于是,AP301可以被放置在架子上或其它合适的位置处,例如孩童所能接触到的范围之外或其它损害或危害源之外的地方。为了将其它无线家庭设备中的一个(例如家庭立体声系统307)连接到网络302,用户可以要么将这些设备与移动电话309"接触",要么(对于至少一些设备)按下设备307和AP301两者上的配置按钮,以使它们加入网络302。稍后,如果用户的邻居过来,则用户可能愿意炫耀她所构建的先进网络302,并允许邻居j吏用她自己的电话311来将某些音乐以流传输到家庭立体声系统307。可以通过例如将邻居的电话311与用户的电话309"接触"来完成该操作。当邻居已经看够了并且返回到她的房屋时,用户按下接入点301上的按钮(未示出),以结束对邻居准予的临时访问者许可,这样,邻居不能再控制用户家中的设备。可选地,用户可以^使用她的电话309来结束临时访问者许可。上面的情形是为了描述本发明的各个方面的而示出的,但无论如何并非是进行限制。如在此所使用的那样,"接触"指的是在两个设备之间基于就近性的交互,其中,将设置和/或安全性信息从一个设备传递或准予给另一设备。在一个示例中,"接触"指的是物理地移动设备以接近于彼此,从而以便可以建立OOB信道(NFC、短距离无线通信、红外线、蓝牙、UWB、WiFi、RFID、USB存储棒等),并且可以在OOB信道上交换所需数据。根据本发明一方面,可以使用既采用了OOB方法又采用了带内方法的统一方法,从而不但允许在所有设备上对带内方法的支持,而且还允许在可能的情况下使用带外的能力以增加安全性和可用性,以及从一个设备向另一设备的委托访问的可能。统一方法从而还提供了对WLAN的访客访问的容易管理。图4示出本发明的示例性实施例以及实现这种统一的一种可能方式。在步骤401,接入点410和导入器设备412创建并共享原始认证密钥(OAK)。AP410和i殳备412可选地可以是相同i殳备的部分。在步骤403,导入器设备412经由带外信道将AK(其中,AK=f(OAK,AK-ID),在此进一步描述)以及可应用网络参数(例如AP的地址、SSID)提供给新i殳备414。通过使用AK,在步骤405,新设备414和接入点410使用密钥协商协议来创建用于所述新设备的密钥。最后,在步骤407,新设备414和AP410例如使用802.11i来执行链路层密钥协商过程。如图4所示,可以从带内密钥协商协议导出PSK。然而,如果带外信道可用,则可以将OOB信道用于将AP410的地址和认证密钥(AK)传递给新设备414,新设备414触发带内密钥协商(即用户无需按下任意按钮)。"带外,,信道不限于NFC,而可以是将AK(和网络参数,可行的话)传递给新设备的任意装置。带外信道可以包括由用户^v的个人识别号(PIN)。AP410可以具有两种类型的"接收模式"。在第一"认证"接收模式,AP410接受对认证的密钥协商的请求。根据默认,AK可以用于认证所述密钥协商。AP通过按下AP410上的拾組,可以使AP410ii^第二"非认证"模式,用于短期。在该模式下的行为可以相似于在如上所述的Broadcom方法中的行为。密钥协商的认证防止了意外配对和"中间人"类型攻击的可能性。此外,可以有多个认证密钥(例如,拥有者AK、家庭AK、访客AK等)。例如,AP可以具有三个"令牌",每一令牌包含不同的认证密钥。AP410可以基于如何认证来对安全性关联进行分类。在此情况下,"移除所有访客,,操作(例如长按按钮)使得AP410移除使用访客认证密钥或无认证密钥所进行的所有安全性关联。然而,通过该操作可能不移除使用其它认证密钥所进行的任意安全性关联。这样允许有效和直观的访客访问管理。每一设备可以具有专用PSK,从而能够有选择地撤销安全性关联。PSK的使用期4艮长,并且从协议的运行以及所使用的AK的值被导出。在该示例中,可以用所使用的拥有者AK的名称在AP标记和存储PSK,因此允许得知哪一家庭成员发布对哪一访客的访问。可以用相似于上述OOB方案的用户交互来完成委托。"网络^"中可以包括多种形式的"AP地址"。例如,如果包括了AP的DNS名称,则AP可以用于对家庭的远程访问。因为可以用无源令牌的形式来交付初始AK和网络M,所以AP无需具有带外接口。然而,如果AP具有带外接口,则AP可以用一些受限方式(例如在购买之后或完全重置之后进行一次)使用该接口来发射初始AK密钥(拥有者AK)和网络参数。AP可以使用带外接口从外部(例如在购买之后或完全重置之后进行一次)接收初始AK密钥和网络参数。下表1总结了根据本发明的示例用于生成和交付可以使用的AK和网络参数的不同可能性。表li人证密钥生成和交^f寸参数生成交付机制AP生成AK和网络参数分离地交付(例如无源NFC令牌、打印在包装上的PIN码)。不需要经由带外信il^射,用于完全重置或购买之后的有限时间。需要经由带内信ii^射,用于完全重置或购买之后的有限时间。(较低安全性,但可以用于避免额外硬件成本。)不需要AP从外部i殳备(例如电话)接收AK和网络参数经由带外信道接收,用于完全重置或购买之后的有限时间。需要经由带内信道接收,用于完全重置或购买之后的有限时间。(较低安全性,但可以用于避免额外硬件成本。)不需要如上所述,带外信道不限于NFC。OOB信道的其它示例包括SMS(短消息服务)、MMS(多媒体消息传送服务)、或相似的电信消息传送服务。通过使用SMS,用户可以从地址簿挑选联系方,选择准予什么类型的访问,其后将带有AP地址和AK的SMS发送到该联系方。于是,接收SMS的设备可以执行图4所示的步骤405和步骤407。这种组合的方法保留的两种方法的优点,并4吏得能够容易的访客访问管理。撤销在最筒单的情况下,仅有一个AK,该AK可以用于委托拥有者访问。可以使用未认证的配对来容许访客,如在上述基本Broadcom方法中那样。差别在于,当拥有者想要移RH^客访问时,无需重新创建整个网络。更确切地,仅移除在没有任何认证而创建的PSK。当使用访客AK准予访客访问时,于是当要撤销这个访客访问时,AP将把访客在他或她进行访问期间所使用的PSK移除或标记为无效。如上所述,可以通过按下接入点或其它访问控制器上的按钮达到预定量的时间来发起或实现该动作,这将撤销所有访客对网络的访问。在不脱离本发明的情况下,更精细的粒度的方法也是有可能的,但W终端用户可用性的观点来看,这样的一个按钮的方法具有特定优点和吸引力。或者,可以通过4吏用用户/导入器设备412,例如通过将对撤销的请求发送给AP或通过浏览认证用户/用户设备的表,来发起或实现移除PSK或将其标记为无效。甚至在撤销之后,访客将仍然持有有效AK,因此有可能使用认证的SES请求来获得新PSK。为了防止这种情况,优选地作为重置访客访问过程的一部分而改变访客所使用的AK。因此,连同移除访客PSK—起,AP优选地确定用于接受认证的SES请求的新AK。此外,在该类型的AK重置之后,使现有拥有者设备能够再次准予访客的访问。通常,通过AK-f(OAK,AK-ID)来确定AK,其中,AK-ID可以是任意参数或多个参数的子函数。允许拥有者设备准予访客的访问的三种方式包括例如时间戳、序列号和下栽的过程,以下进一步讨论。AK-ID可以表示任意单个参数或基于某些预定函数的任意参数结合。可以被合并到AK-ID的计算中的其它参数包括例如分类类型、MAC地址和用户设备名称或ID。本领域技术人员应理解,其它参数也可以或可选地以任意組合净皮寸吏用。AK-ID可以^皮看作数据结构或计算结果,其可以用某预定方式对各个信息编码。因此,可以从导入设备和AP之间共享的OAK,以及存储对于新设备唯一的附加信息的一个或多个其它变量,还有由导入i殳备提供给所述新设备的AP地址,来导出AK。可以作为密钥协商协议的一部分,由所迷新设M递所述一个或多个其它变量,从而以便AP可以导出相同AK。于是,由于AK自身没有被传递,所以AK可以被用于认证密钥协商协议。下面描述其它示例性方法。时间戳在该方法中,所使用的访客AK是时间的函数。每一群组(例如家庭、访客等)具有"原始AK"(OAK)。在委托期间没有给出OAK。反之,可以从OAK导出过渡AK,例如AK=f(OAK,time),其中,OAK是上述OAK,time可以是任意基于时间的值,例如自1970年1月1日起的毫秒(标准Unix)。AP和委托拥有者设备/主i殳备两者都可以使用该函数来计算相同AK,访客设备接收AK并将其连同包括"time"的AK标识符提供给AP。仅当使用了接入点所认可的AK时,接入点才可以接受认证的SES请求。因此,导出的AK将具有受限的生存期,例如一天。这说明访客仅具有一天用以提出认证的SES请求。在这之后,接入点将不再接受这个AK。该方法的潜在缺点在于,AP和委托设备(可以是由用户设置设备时间的i殳备)之间的时钟同步中的差异可能导致不一致性。序列号该方法涉及使用序列号而不是时间戳,以避免上面提到的时钟同步问题。OAK如前,并且AK-f(OAK,序列号)。AP维持可接受的序列号的滑动窗口。无论何时AP接收到新的序列号,AP就更新该窗口。因为序列号具有短生存期,所以旧有的没有使用的序列号将自动过期。结果是,AK仅可以械J吏用较短的时间段。下载在该方法中,当访客访问将被重置时,AP生成新的访客AK,并且各个拥有者设备于是使用带内或带外方法从AP获得新访客AK。在此情形中,拥有者i殳知道拥有者AK,以允许它们对新访客AK解封装。该方法的缺点在于,需要对终端用户(或设备)的一部分作用,以获得新AK。可以用任意合适的网络环境来实践本发明,并且本发明不限于任意具体的网络架构。图5表示另一示例网络操作环境,可以在其中实践本发明的一个或多个示例性方面。接入点501合并WLAN接入点以及到WLAN服务器和其它网络(例如互联网503)的访问,第一网络505可以包括WLAN网络或NFC,例如RFID。主设备507可以包括移动通信设备或远程控制设备,其具有对第一网络505或第二网络509的访问。第二网络509可以包括带外信道,例如NFC或RFID。第二网络509可以可选地包括WLAN,短距离无线(例如蓝牙)、无线电信(SMS、MMS)、IrDA等。新设备511可以包括移动通信设备、远程控制设备、外设设备、消费电子设备、或具有对第二网络509和第三网络513的访问的其它设备。第三网络513可以包括带内信道(例如WLAN网络)或带外信道(例如NFC或RFID)。在图5的架构中,其中,多个i殳备中的一个(例如移动电话)具有显示器,当用户"接触,,家电(例如立体声系统)时,移动电话可以在电话显示器上显示从电器发送的所述电器的图片。用户可以通过按压拾組来改变仅用于显示器中示出的电器的网络参数,因此用户较好理解将与哪些电器配对。在WLAN的情况下,所述配对是在设备和接入点之间的(而不是在多个i殳备之间),但该构思不限于WLAN的情况。在此情况下,可以在AP的显示器上显示AP的图像,或可选地,可以在设备的显示器上显示AP的图像。可以在步骤403中或在步骤403之前发送图片。可以经由NFC或任意其它通信网络来交付图片。该功能需要大量存储器空间,并且,可以将"接触,,变为"持有",这表示接触花费了较长的时间。对于显示图片可选地,移动电话可以优选地以更多描述来显示设备名称,相似于蓝牙i史备,例如"Philips电视机"、"法国电信WLAN接入点"、"SonyHiFi立体声,,、"Nokia6600"、"Sam的PDA"等。然而,某些设备可以具有相同的伪唯一名称,因此,连接可能到达/来自并非所期望设备的另一设备。典型地,将立即检测到错误,但仅在已经出现至少一个传输之后,并且数据^d送到错误的设备,而预期接收机没有接收到任何东西。当期望在两个蜂窝电话之间的无线连接时,可以从蜂窝网络获得另一方身份的证明。一个蜂窝电话或移动终端可以呼叫另一蜂窝电话或移动终端(而另一端不应答该呼叫一一表示没有充值),以验证设备。也就是i兌,为了呼叫另一设备,主叫者需要知道被叫方的号码。此外,被叫方能够(例如基于蜂窝ID)验证其被呼叫的时刻。因此,设备身份的证明显然对于外部方是不可见的。在本发明的一个实施例中,可以如下执行将身份提供给(未应答的)呼叫待认证的设备(设备A)在无线连接(例如蓝牙或WLAN)上将其电话号码发送给期望认证自身的设备(设备B)。设备B中的认证应用等待一段预定或随才几选择的时间,并经由无线电信网络拨打设备A。当设备A检测到呼叫时,其立即经由无线连接(例如蓝牙或WLAN)将该呼叫通知给设备B。设备B中的认证应用现在可以判断(在某些预定时间段期间)来自A的响应对于其所进行的呼叫是否来得足够快,从而使B批准A的身份(即其所发送的电话号码)。替换地或另外地,设备A的身份(来自设备B的地址簿的电话号码和名称、或刚发送的电话号码)可以在i更备B的显示器上被显示给进行连接的用户,并且被询问应该向该连接准予什么许可。即使网络不发送设备A的电话号码(例如,如果电话号码是保密的,或用户在不发送号码的网络中漫游),该技术也起作用。相互认证可以是基于设备A的电话号码的(如果网络提供电话号码),或是基于来自相反方向的另一呼叫的。例如,在图4的步骤403中,该方法可以是有用的。本发明的替换实施例,可以如下执行将身份提供给(未应答的)呼叫待认证的设备(设备A)在无线连接上将其电话号码发送给期望认证自身的设备(设备B),即设备A呼叫设备B。设备B中的认证应用将设备A的电话号码存储在访问数据库中,等待一段预定或随机选择的时间,并经由无线电信网络拨打设备A。当设备A检测到呼叫时,其立即经由无线连接(例如蓝牙或WLAN)将该呼叫通知给设备B,其中包括设备B的电话号码和其本身的电话号码。A的电话号码可以可选地用于计算用于保护无线连接的密钥。设备B中的认证应用现在可以检查设备A的电话号码是否在访问数据库中,来自A的响应对于(在某些预定时间段期间)所进行的呼叫是否来得足够快,从而使B批准A的身份(即其所发送的电话号码)。例如,在图4的步骤403中,该方法是有用的。进一步地,在本发明的一个实施例中,当设备A经由蓝牙连接将呼叫通知给设备B时,该信息现在可以包括3殳备B的电话号码、设备A的电话号码以及蓝牙标识信息。A的电话号码可以可选地用于计算用于保护无线连接的密钥。设备B中的认证应用可以检查设备A的电话号码和蓝牙标识信息是否在访问数据库中,来自A的响应对于(在某些预定时间段期间)所进行的呼叫是否来得足够快,从而使B批准A的身份(即其所发送的电话号码)。还可以通过检查访问数据库中的配对A(电话号码、蓝牙标识信息)来进行认证。例如,在图4的步骤403中,该方法可以是有用的。上面刚刚描述的方法可以用于例如以下示例情况1)WLAN接入点设备(设备B)和新设备(设备A)具有无线电信能力。这种无线电信接入^L用于共享例如在图4的步骤403中的在i殳备之间建立WLAN访问所需的信息。在此情况下,i殳备可以在共享所需信息之后自动地初始化WLAN访问设置。可选地,可以由用户手动发起WLAN访问的设置。2)经理马丁先生坐下来会见他的客户,并意识到他没有将他的产品的最新演示文稿存储在他的智能电话中。他将SMS消息发送给他的秘书并让她经由ad-hocWLAN将其发送到他的电话。他的秘书启动她手机上的ad-hoc应用,她的手机通过将她的电话号码发送到马丁的电话来发起ad-hoc连接,因此发起该连接。马丁接受来自他的秘书的连接(基于呼叫#^往的号码一_或期望被发往的号码来示出,这取决于安全级别设置)。当连接完成时,可以将文件发送到马丁的智能电话。3)当设备A期望进行对设备B的连接时,其创建对设备B的连接,并且这两个i殳备在该连接上交换它们的电话号码。电话/设备上的UI示出主叫设备的用户名称(如果该名称在电话的电话簿中),或至少示出电话号码。UI于是询问用户是否可以建立和认证该连接。在认证阶段期间,这些设备进行对另一设备的电话呼叫,因此以该呼叫证明所述设备就是其宣称的那个设备。上述方法可以用于彼此物理上不可见的设备之间,它们位于无线连接性的到达范围之内就足够了。连接建立过程对用户是简单的,尤其是如果可以从电话簿浏览响应方的电话号码(从用户的观点来看,进行连接与进行呼叫一样容易)。根据本发明一方面,网络访问可以基于设备的AK和MAC地址。为了允许对新设备的网络访问,委托设备可以在带外将AK给予新设备,但是委托设备不能与AP通信,在新设备和AP之间也不存在特别的密钥协商协议。当新设备联系AP时,AP和新i殳备从设备的AK和MAC地址独立地导出新PSK。例如,PSK-f(AK,MAC地址),其中,f是合适的密钥导出函数。为了撤销来自设备的网络访问,拥有者可以使用AP的管理接口来将目标设备标记为"搨:销"。其后,该设备的PSK被移除,AP可以将设备的MAC地址添加到被撤销设备的列表。MAC地址在所述列表上的设备将不能够建立与AP的PSK,即,它将不能够进行上述步骤(1),除非已经将访问重新准予该设备。该方法的一个优点在于,新设备和AP可以独立导出PSK,而不需要新的密钥协商协议消息。知道AK和设备的MAC地址就足够了。然而,该方法的缺点在于,AP必须保持跟踪被撤销的MAC地址。此外,因为可以伪造MAC地址,所以该方法安全性低于使用密钥协商协议从AK导出PSK。最后,允许先前撤销的设备返回到网络需要委托器与AP交互,以从被撤销设备的列表移除其MAC地址,从而需要了解附加协议。根据本发明另一方面,可以使用认证设备数据库(见表2)。AP可以包^i人证设备数据库,例如表,用于存储(1)作为WLAN网络的一部分的每一设备的MAC地址;以及(2)密钥、PSK,其是AP与设备所共享的《MAC地址,PSIQ。当设备联系AP时,AP从该表中搜索联系设备的MAC地址,如果找到MAC地址,则在与该设备的通信中使用关联的PSK。如果没有找到MAC地址,则AP可以例如拒绝与i殳备的通信,将预定消息发送给设备,或使用为未认证的设备而定义的某些其它过程。认证设备数据库可以进一步包括设备群组(DG)记录{MAC地址,PSK,DG}。DG字段可以包括例如至少Type和AK:例如DG={Type,AK}。Type可以将设备标识为例如"未^人证,,,在此情况下,AK字段可以为空。作为另一示例,Type值可以是"访客,,,在此情况下,AK可以是为访客预留的值。作为第三示例,Type值可以是"家庭,,,在此情况下,AK将是为家庭设备(例如消费电子设备或家用电器)预留的值。其它Type值可以包括"传感器",其描述连接到AP的不同传感器。不同类型的具体数量并不受限。例如当设备加入网络时,基于该设备所知道的AK的值来初始化该设备的DG记录。此外,数据库可以具有描述谁已经给出访问权限的列。此外,设备群组可以包括用于原始AK(OAK)的列。表2示出可以被包括在认证设备数据库中的信息的示例。可以取决于系统的需要(例如与数据库条目关联的期满日期,用于自动取消用户权限,否则,当从数据库撤销用户时,或当期满时间被取消或改变时,可能出现撤销)来可选地使用其它Type值。认证设备数据库的示例如下表2所示。表2:认证设备数据库<table>tableseeoriginaldocumentpage25</column></row><table>如上所述,当设备联系AP时,AP将从认证设备数据库搜索联系设备的MAC地址,如果找到MAC地址,则在与该设备的通信中使用关联的PSK。DG记录的存在允许AP管理不同群组的设备。例如,在没有DG字段的情况下,撤销访客i殳备的网络访问要求拥有者知道该设备的MAC地址或PSK。如果不知道这些信息,则他必须找出它们(例如通过检查他的所有家庭i殳备的MAC地址),或他必须改变他的所有i殳备的PSK值,即,他必须扫描或重新分配密钥给整个网络,以撤销访客设备。与之形成对比的是,考虑当DG记录出现在AP表中时的相同操作。当拥有者命令AP撤销对所有访客设备的访问时,AP点简单地移除DG"Type"字段等于"访客"的所有记录。此外,可以使用关于谁已经给出访问权限的信息来进行智能化判断。在另一示例中,主设备可以通过无线方式来访问和管理认证设备数据库。可选地,可以由WLAN家庭网络中的个人计算机访问认证设备数据库。通过从列表移除用户或者取消或改变用户设备的期满日期/时间,可能发生用户的撤销。或者,所W还可以包括用于用户设备的期满日期。这样确保了自动取消用户权限。或者,用户可以使用"设备名称"字段来标识应该取消访问的设备。根据本发明一方面,使用带外信道传递的信息可以包括导出的PSK、随才几通过词(passphrase)、或一个或多个〈AKtype、AKversion、AKvalue>对。"AKtype"可以是固定大小的整数,可选地具有某些预留的值(例如0=访问者,l-拥有者)。AKversion是数字,并且其内决于对于撤销所使用的方案。如果使用序列号作为撤销的基础,则AKversion可以包含<ownerID+sequeiiceNumberOwiierUsedWhenIssiiiiigAK>。如果使用基于时间的方法,则AKversion可以包含<ownerID|timestampofwhentheAKwasissued>。如果访客的撤销导致在AP创建新的访客AK,并且拥有者需要下载这个新AK,则不存在该字段所需要的信息。如上所述,Broadcom已经提出了SES。可以才艮据本发明的一个或多个方面来修改Broadcom提议,其中,密钥协商协议优选地支持可选的认证。认证优选地4吏用AK,并且优选地改变协议消息以标识AK类型。(如果后者不可能,则可以支持仅两个群组已认证=拥有者,未认证=访客。)当存储了所得到的PSK时,还存储AK类型。可以使用两种类型的重置,一种是移除所有访客安全性关联(例如长按按钮),而第二种是完全重置系统。此外,AP可以长久处于其可以接受对PSK的已认证请求的模式下,即,不需要为了达到该模式而按下按钮。:i口上,斤述以及侈ij:ft口在www.broadcom.com/press/release.phpid=659800的安全容易设置(SES),是用于配置Broadcom所提议的安全WLAN连接的简单协议。SES协议假定客户机设备和接入点(AP)两者都具有按钮(所述按钮可以是软件按钮或硬件按钮或开关,例如on/off开关。)为了将新客户机设备添加到WLAN网络,用户首先按下AP上的按钮,其后按下客户机设备上的按钮。按下这两个按钮的结果是,客户MAP接收WPA("WiFi受保护的访问")密钥以及SSID("服务集标识符,,)。本发明的各个方面进一步改进了上述系统和方法。例如,以下将描述,本发明的各个方面使网络访问更安全,并且在单独的用户家庭外部的情况下用户可访问。作为更具体的示例,可以提供合适的系统和方法,以允许访问者,例如在宾馆、々反馆等,安全、临时和容易地访问网络系统。当使得用户能够访问网络时,在任意给定时间宾馆、饭馆和其它公共访问场所可能不希望移除所有访问者帐户(相反地,网络访客或访问者可以在很多不同时间进入和离开网络)。相应地,根据本发明的至少一些示例,如下更详细地描述,可以将期满信息添加到认证密钥ID和/或可以经由认证密钥的计算来提供期满信息。在一些示例中,如果期满信息=0,则其可以用于自动指示AK没有期满。在可以将客户机添加到WLAN网络之前,AP需要生成WPA密钥和SSID。WPA密钥是基于802.11i的根据WiFi联盟的规范。它是用来作为暂时测量直到802.11i就绪的。WPA-2用来作为802.11i。802.11i是用于无线LAN的安全性的官方mEE标准。在根据本发明至少一些示例的系统和方法中,WPA密钥是在WLAN客户机和接入点之间的预共享密钥(在此也称为"PSK")。SSID是用于WLAN网络的唯一标识符。接入点(AP)广播SSID。在本发明的至少一些示例中,可以通过按下在AP上设置的按钮达到一段持续的时间(例如五秒),来将客户机添加到WLAN网络。在AP生成WPA密钥和SSID的同时,它将闪烁LED光,或向用户给出某些指示。如果AP具有已有的配对,则将在该处理期间移除它们。一旦生成了新网络,用户就可以通过按下AP和客户机设备上的单个按钮来将新设备添加到网络。图6示出使用SES协议将新客户机添加到网络的协议。在步骤601,在AP610上按下按钮导致AP进入接收模式达到一段时间,例如两分钟。也就是说,AP在可用于建立与客户机设备的安全隧道通信的状态下等待所述时间。在步骤602,按下在客户机设备611上的^&发起由客户机进行的搜索,以对处于接收模式的AP(例如AP610)定位。在客户机611已经找到AP610之后,在步骤603,客户机611建立与AP610的安全隧道。如果AP已经创建了与另一客户机的安全隧道,则将不开始确保隧道建立,而是以告警或出错消息来应答。在步骤604,客户机611接收用于继续安全隧道建立的协议消息。所述协议消息可以包括WPA密钥和SSID。图6的SES协议是对用户友好和有些安全的。然而,它仍然具有一些缺点,包括有可能客户机与非预期AP配对,有可能AP与非预期客户机配对,有可能中间人攻击,并且所有配对都是永久的。不可能将临时访问给予例如访问者。这些弱点中的一些假设存在另一可能的恶意AP或客户机并处于接收才莫式(在以下的描述中,这些情况^L^示为"AP—OTHER"和"CLIENT—OTHER")。在下面的描述中,用户想要与她的客户机配对的AP祐束示为"AP—OK",她的客户机^L^示为"CLIENT_OK"。因此,可以根据本发明一个或多个方面对SES协议进行各种改进。可以用各种方式来防止客户机与非预期AP配对。首先,如果客户机找到多于一个的AP,则客户机可以中断配对过程,并警告用户。其次,接入点可以被装配有预定名称(例如"老虎"和"狮子,,),这些名称是^目对较大的名称池中提取的,并且这些名称可以被打印在AP的顶部。如果客户机找到多于一个的AP,则于是可以要求用户从名称列表中选择正确的AP。该特征可以有助于减少事故。如果存在多于一个的具有相同名称的AP,则客户机可以被配置为中断配对过程。如果在从按下AP—OK设备上的按钮从而使得AP—OK设备不再处于接收模式之后的预定量时间(例如两分钟)之后,用户按下客户机设备上的按钮,则客户机还可能与非预期AP配对。例如,如果AP在其处于接收模式时给出一些指示(例如闪烁灯光),并且在已经成功建立配对时给出不同类别的指示(例如恒定光,达到五秒),则可以防止这种情况。据此,用户可以在按下客户机上的按钮之后检验AP上的指示已经从接收模式改变为成功配对模式。此外,在按下客户机按钮之前,客户机用户可以看到AP是否处于接收模式。如果成功配对模式没有出现,但客户机已经与AP—OTHER配对,则可以手动地从客户机撤销不正确的配对。也可以防止AP与非预期客户机配对。例如,如果CLIENT—OTHER的用户按下他/她的客户机设备上的按钮比CLIENT—OK设备的用户按下他/她的按钮要快,则AP可能与CLIENT—OTHER配对。在此情况下,可以将告警消息发送给CLIENT—OK。可以用各种不同方式来检测和处理这种情况。例如,如果在CLIENT和AP之间存在配对协议,并且AP继续监听客户机请求达到一段时间甚至在笫一客户机成功完成配对之后,例如直到AP配对时间间隔(例如在该示例系统和方法中是2分钟)耗尽,则可以检测该情况。如果CLIENT_OTHER首先配对,则当CLIENT_OK尝试与AP—OK配对时,AP—OK将把告警消息返回给CLIENT—OK,指示配对不再可能以及原因(例如另一设备已经配对)。刚一接收到告警消息,CLIENT—OK就可以适用于向用户显示消息以报告某些事情,例如"AP拒绝承认你的设备,因为另一设备在你之前已经到达那里。压住AP上的取消键达到3秒,以将其它设备踢出你的AP网络",或基于系统设计的其它适当的消息。当CLIENT—OTHER在CLIENT—OK之前到达时,AP可能不认可CLIENT—OK,和/或AP可能不没有认识到错误用户(CLIENT—OTHER)已经被配对(AP可能无法识别这些情况)。为此,AP可能不被配置为独自自动地采取任何行动,而是AP将告警消息至少发送给尝试稍后配对的客户机。如果CLIENT—OK接收到该告警消息,则CLIENT_OK的用户可以执行以下描述的REMOVE—LAST_OPERATION,和/或采取其它适当的行动。如果CLIENTJ)THER接收到该告警,则根据定义,它的用户不能对该告警采取行动,因为该用户可能不会具有对AP进行REMOVE—LAST—OPERATION功能的物理访问(例如未认证的客户机用户净皮假定为不会具有对AP的物理访问)。可以在任意期望的时间,例如用户如上所述在CLIENT—OK接收到告警消息时,执行与AP关联的REMOVE—LAST_OPERATION功能。执行该操作擦除、终止或否则消除与CLIENT一OTHER建立的非预期配对,并且可选地,再次使AP可用于与CLIENT—OK配对。例如,可以通过以下方式来激活REMOVE—LAST_OPERATION功能按下相同的SES长于或短于正常配对中的时间,或如果期望,则可以i殳置另一按钮用于该操作。可以通过允许用户比较所商定的成对WPA密钥的散列,来防止中间人攻击。例如,如果客户机和AP都具有单个LED,则设备可以将AP的公钥的散列以LED—次呈现一个比特(例如,比特1可以被呈现为绿光,比特0可以被呈现为无光),以因此确保客户机已经与AP一OK配对。如果两个设备都具有小型显示器,则可以将散列每次一个字节地表示为十六进制字符。如果两个i殳备都具有音频输出,则可以将散列表示为声音序列(使用不同频率或不同幅度来表示1和0)。AP可以广播其散列输出能力的列表,客户机被假定为从所述列表中选择一个散列。这个比较过程是可选的。如果用户在正常SES协议之后没有任何操作,则可以不执行散列比较。然而,如果用户想要比较散列,则她可以在正常SES协议之后执行COMPAREHASHES—OPERATION。如果用户不使用COMPARE—HASHES—OPERATION,则可以提供和实现与原SES相同的安全性级别。然而,COMPARE—HASHES—OPERATION允许关注安全性的用户实现较高级别的安全性以防主动的中间人。一旦用户已经执行了COMPARE—HASHESOPERATION,两个设备就都显示散列的第一部分。如果散列部分不同,则中间人攻击已经出现,可以提示用户或另外让用户知道,以对AP执行REMOVE—LAST—OPERATION,如果散列部分相同,则用户可以不进4亍操作,并且该配对将净皮接受。可选地,用户可以对两个设备都选择NEXT_PART—OPERATION,作为该操作的结果,两个设备都示出散列的下一部分,用户可以再次选择要么移除该配对,要么通过不进行操作来接受该配对,要么移动到下一散列部分。使用音频示出来比较散列可能是一种可期望的对用户友好的方法,这是因为人耳可以更容易地在密钥不一致或相位不协调的声音序列之间进行区分。用户继续这种散列比较过程越多,中间人攻击的成功概率就越小。比较一个比特将成功攻击的概率减少了50%。比较两个比特将这种概率减少了75%,以此类推。配对协议可以是基于例如MANA("ManualAuthenticationforWirelessDevices"("无线i殳备的手动i人证"),Gehrmann等人,CryptobytesSpring2004)的,这样甚至以相对短的检查值来允许防备中间人攻击的高安全性级别。根据本发明的一方面,SES协议可以被修改为提供临时访问。基本SES协议仅允许用户将设备长久地添加到无线网络。然而,还允许例如对于用户、宾馆访客等的临时访问将是一种改进。当访客到达时,用户可以例如通过以下操作来给予她对网络的临时访问对AP执行ADD—VISITOR—OPERATION而不是按下常规SES按钮。该动作启动了正常SES协议执行,访客被要求在预定量时间(例如两分钟)之内按下她的设备上的按钮。如果SES协商是成功的,则AP将把这个客户机记忆为访客。临时访问的方式的示例可以由上述的内容来提供。可以用不同方式来撤销临时访问。当用户想要从网络撤销所有访客时,她可以对AP执行REMOVEVISITOR—OPERATION.作为该操作的结果,AP将把新WPA密钥发送给属于网络的所有其它设备,访客将不接收这个新密钥。可以如上所述实现少于全部的访客的移除。根据本发明一方面,可以将不同操作映射到由用户执行的实际行动。本领域技术人员应理解,这些仅仅是示例,也可以或可选地使用其它映射。在不脱离本发明范围的情况下,可以使用将用户行动映射到AP或客户机设备功能的任意方式。值得注意的是,以下描述的各个按钮(例如"SES"和"访问者,,按钮)可以被直接定位在AP和/或可选地(例如通过无线连接、远程控制器等)被耦合到所述AP的另一控制设备上,以用于例如AP位于远程或难以到达的位置的情况。下表3示出设备操作到各个用户行动的可能映射的示例。表3:从操作到行动的映射<table>tableseeoriginaldocumentpage32</column></row><table>钟基本SES协议是有吸引力的,因为它对用户友好并且相对安全。然而,它仍然具有缺点。本发明的各方面提供对基本SES协议的各种扩展,使该协议更安全和有用,而不牺牲SES的可用性的优点。应注意,从用户的观点来说,这些扩展并没有使得常规SES协议复杂化。用户可以用简单的REMOVE—LAST—OPERATION来消除意外的非预期配对,但并非强制用户如此操作。防止主动的中间人攻击相当复杂,在很多情形中,主动的中间人攻击是不现实的。然而,在安全性严格的情况下,先进的用户可以使用上述散列比较方法来改进常规SES协议的安全性。ADDVISITOR—OPERATION和REMOVEVISITORS一OPERATION向SES协议提供了有用的扩展。在没有这些扩展的情况下,一旦用户离开网络,用户就不能添加访问者设备和/或她就必须重新配置整个网络。本发明的一个或多个方面可以实施为由一个或多个计算机或其它设备来执行的计算机可执行指令,例如一个或多个程序模块。通常,程序模块包括程序、对象,组件、数据结构等,当在计算机或其它设备中由处理器执行所述程序、对象,组件、数据结构等时,其执行特定任务或实现特定抽象数据类型。计算机可执行指令可以被存储在计算机可读记录介质中,例如硬盘、光盘、可拆卸存储介质、固态存储器、RAM等。本领域技术人员应理解,在各个实施例中,可以根据需要而组合或^L程序模块的功能。此外,可以用固件或硬件等同物(例如集成电路、现场可编程门阵列(FPGA)等)来完全或部分地实施所述功能。本发明包括在此显式地或概括地公开的任意新颖特征或这些特征的组合。虽然已经关于包括执行本发明的优选模式的特定示例描述了本发明,但本领域技术人员应理解,存在对上述系统和技术的多种改变和变化。因此,本发明的精神和范围应如所附权利要求中所阐述的被广泛地解释。权利要求1.一种用于管理由终端设备对无线网络的访问的方法,包括步骤a)所述终端设备经由第一通信信道从所述无线网络的可信设备接收第一密钥;b)经由第二通信信道在所述终端设备和所述无线网络之间执行密钥协商协议,以确定与所述终端设备对应的并使用第一密钥所认证的第二密钥;c)通过使用所述第二密钥由所述无线网络认证所述终端设备;以及d)刚一成功完成步骤c),就授权所述终端使用所述第二通信信道访问所述无线网络。2.如权利要求l所述的方法,其中,步骤a)包括基于第三密钥以及至少一个其它变量的函数来生成第一密钥。3.如权利要求2所述的方法,其中,所述至少一个其它变量包括以下变量之一时间戳、序列号、设备名称、设备类型、设备种类、设备地址以及设备条目生存期。4.如权利要求2所述的方法,其中,所述第一密钥包括认证密钥AK,所述第二密钥包括预共享密钥PSK,所述第三密钥包括原始iL证密钥OAK。5.如权利要求2所述的方法,其中,步骤b)包括作为所述密钥协商协议的一部分,传递所述至少一个其它变量。6.如权利要求2所述的方法,进一步包括在所述可信设备和所述无线网络之间经由密钥协商协议确定所述第三密钥。7.如权利要求6所述的方法,进一步包括所述可信设备确定所述第三密钥,并将所述第三密钥发送给所述无线网络。8.如权利要求6所述的方法,进一步包括所述无线网络确定所述第三密钥,并将所述第三密钥发送给所述可信设备。9.如权利要求6所述的方法,进一步包括第三方确定所述第三密钥,并将用于通信的所述第三密钥发送给所述无线网络和可信设备。10.如权利要求1所述的方法,进一步包括e)将与所述终端设备对应的条目存储在所述无线网络的访问数据库中。11.如4又利要求10所述的方法,其中,所述条目包括从所述终端设备所接收的信息。12.如权利要求10所述的方法,其中,步骤c)包括向所述访问数据库询问与所述终端设备对应的条目,以确定所述终端设备的认证和访问权限。13.如权利要求10所述的方法,进一步包括f)基于存储在所述访问数据库中的条目的信息来撤销所述终端;殳备对所述无线网络的访问。14.如权利要求1所述的方法,其中,所述第一通信信道包括近场通信NFC信道。15.如权利要求1所述的方法,其中,所述第一通信信道包括电信消息传送服务。16.如权利要求1所述的方法,其中,所述第二通信信道包括无线局域网WLAN。17.如权利要求1所述的方法,其中,所述无线网络包括无线局域网WLAN。18.如权利要求1所述的方法,进一步包括提供访问控制器,在步骤d),所述终端设备通过所述访问控制器访问所述无线网络。19.如权利要求10所述的方法,进一步包括提供访问控制器,在步骤d),所述终端设备通过所述访问控制器访问所述无线网络,以及将所述访问数据库存储在所述访问控制器中。20.如权利要求1所述的方法,其中,在步骤a)所述可信设备包括无线通信设备。21.如权利要求18所述的方法,其中,所述可信设备包括所述访问控制器。22.如权利要求13所述的方法,其中,步骤f)包括撤销所述终端设备对所述无线网络的访问,而不撤销第二终端设备对所述无线网络的访问。23.如权利要求13所述的方法,其中,步骤f)包括撤销匹配于一个或多个指定准则的所有访问数据库条目。24.如权利要求23所述的方法,其中,所述一个或多个指定准则包括预定设备群组类型。25.如权利要求24所述的方法,其中,所述预定设备群组类型标识对于所述无线网络的与访客设备对应的设备群组。26.如权利要求23所述的方法,其中,所述一个或多个指定准则包括设备名称。27.—种系统,包括第一设备,受无线网络信任,所述第一设备存储可执行指令,以用于经由第一通信信道将第一密钥发送给第二设备;所述第二设备,不受所述无线网络信任,所述第二设备存储可执行指令以用于经由第二通信信道执行与所述无线网络的访问控制器的密钥协商协议,从而确定与所述第二设备对应的第二密钥,其中,所述密钥协商协议使用所述第一密钥来认证所述第二密钥;访问控制器,存储可执行指令以用于使用所述第二密钥来认证所述第二设备,并且刚一成功认证就授权所述第二设备访问所述无线网络。28.如权利要求27所述的系统,其中,所述第一密钥作为第三密钥以及至少一个其它变量的函数被生成。29.如权利要求28所述的系统,其中,所述至少一个其它变量包括以下变量之一时间戳、序列号、设备名称、设备类型、设备种类、设备地址以及设备条目生存期。30.如权利要求28所述的系统,其中,所述第一密钥包括认证密钥AK,所述第二密钥包括预共享密钥PSK,所述第三密钥包括原始i人证密钥OAK。31.如权利要求28所述的系统,其中,作为所述密钥协商协议的一部分,所述至少一个其它变量被传递。32.如权利要求28所述的系统,其中,所述第一设备和所述访问控制器经由密钥协商协议来确定所述第三密钥。33.如权利要求32所述的系统,其中,所述第一设备确定所述第三密钥,并将所述第三密钥发送给所述访问控制器。34.如权利要求32所述的系统,其中,所述访问控制器确定所述第三密钥,并将所述第三密钥发送给所述第一设备。35.如权利要求27所述的系统,其中,所述访问控制器进一步存储可执行指令,以将与所述第二设备对应的条目存储在所述无线网络的访问数据库中。36.如权利要求35所述的系统,其中,所述条目包括从所述第二设备接收的信息。37.如权利要求35所述的系统,其中,所述访问控制器存储可执行指令,以向所述访问数据库询问与所述第二设备对应的条目,以4更确定所述第二设备的认证和访问权限。38.如权利要求35所述的系统,其中,所述访问控制器存储可执行指令,以基于存储在所述访问数据库中的条目的信息来撤销所述第二设备对所述无线网络的访问。39.如权利要求27所述的系统,其中,所述第一通信信道包括近场通信NFC信道。40.如权利要求27所述的系统,其中,所述第一通信信道包括电信消息传送服务。41.如权利要求27所述的系统,其中,所述第二通信信道包括无线局域网WLAN。42.如权利要求27所述的系统,其中,所述无线网络包括无线局域网WLAN。43.如权利要求27所述的系统,其中,所述第一设备包括无线通信设备。44.如斥又利要求27所述的系统,其中,所述第一i殳备包括访问控制器。45.如权利要求38所述的系统,其中,所述访问控制器撤销所述第二设备对所述无线网络的访问,而不撤销第三设备对所述无线网络的访问。46.如权利要求38所述的系统,其中,所述访问控制器撤销匹配于一个或多个指定准则的所有访问数据库条目。47.如权利要求46所述的系统,其中,所述一个或多个指定准则包括预定设备群组类型。48.如权利要求47所述的系统,其中,所述预定设备群组类型标识对于所述无线网络的与访客设备对应的设备群组。49.如权利要求46所述的系统,其中,所述一个或多个指定准则包括设备名称。50.—种用于管理由终端设备对无线网络的访问的方法,其中,所述无线网络包括带内通信信道,所述方法包括步骤a)经由所述带内通信信道在所述终端和所述无线网络之间执行密钥协商协议,以确定与所述终端设备对应的并被认证的第一密钥,其中所述认证是通过比较与所述第一密钥对应的校验和的至少一部分来进行的;b)通过使用所述第一密钥由所述无线网络来认证所述终端设备;以及c)刚一成功完成步骤b)就授权所述终端访问所述无线网络。51.如权利要求50所述的方法,其中,步骤a)包括在所述终端设备和所述无线网络中同时显示所述校验和的连续部分。52.如权利要求50所述的方法,进一步包括基于存储在访问数据库中的与所述终端对应的信息,撤销所述终端设备对所述无线网络的访问。53.如权利要求52所述的方法,其中,所述撤销步骤包括移除这样的终端的访问权限,即根据单个用户动作所述终端的条目是在访问控制器数据库中最新近的。54.如权利要求53所述的方法,其中,所述撤销步骤通过在所述无线网络的访问控制器处接收用户输入来发起。55.如权利要求54所述的方法,其中,所述用户输入包括在访问控制器上检测用户已经以预定方式按下预定按钮。56.—种或多种计算机可读介质,存储用于执行权利要求50的方法的计算机可执行指令。57.—种用于管理由终端设备对无线网络的访问的方法,包括步骤a)所述终端设备经由第一通信信道从所述无线网络的可信设备接收第一密钥;b)将对密钥协商协议的请求发送给所述无线网络;c)执行所述密钥协商协议,以确定与所述无线网络对应的并使用所述第一密钥认证的第二密钥;e)发送对加入所述无线网络的请求,其中,所述请求包括基于所述第二密钥的认证信息;以及f)接收对所述加入请求的确i^。58.—种或多种计算机可读介质,存储用于执行权利要求57的方法的计算才几可执行指令。59.—种移动终端,包括存储器,存储用于执行访问无线网络的方法的计算机可执行指令,所述方法包括步骤a)所述终端设备经由第一通信信道从所述无线网络的可信设备接收第一密钥;d)将对密钥协商协议的请求发送给所述无线网络;e)执行所述密钥协商协议,以确定与所述无线网络对应的并使用所述第一密钥认证的第二密钥;g)发送对加入所述无线网络的请求,其中,所述请求包括基于所述第二密钥的认证信息;以及h)接收对所述加入请求的确认。60.—种用于由访问控制器管理对无线网络的访问的方法,包括步骤a)经由第一通信信道将第一认证密钥发送给终端设备;b)从所述终端设备接收对密钥协商协议的请求;c)执行所述密钥协商协议,以确定与所述终端设备对应的并使用所述第一密钥认证的第二密钥;d)接收来自所述终端设备的用以加入所述无线网络的请求;e)使用所述第二密钥认证所述请求;以及f)刚一成功完成步骤e)就授权所述终端使用第二通信信道访问所述无线网络。61.—种或多种计算机可读介质,存储用于执行权利要求60的方法的计算机可执行指令。62.—种访问控制i殳备,包括存储器,存储计算机可执行指令,所述指令用于执行由所述访问控制器管理对无线网络的访问的方法,所述方法包括步骤a)经由第一通信信道将第一认证密钥发送给终端设备;b)接收来自所述终端设备的对密钥协商协议的请求;C)执行所述密钥协商协议,以确定与所述终端设备对应的并使用所述第一密钥认证的第二密钥;d)接收来自所述终端设备的用以加入所述无线网络的请求;e)使用所述第二密钥认证所述请求;以及f)刚一成功完成步骤e)就授权所述终端使用第二通信信道访问所述无线网络。63.—种用于可信设备以管理由不可信终端设备对无线网络的访问的方法,包括以下步骤a)与具有访问控制器的无线网络共享第一密钥;b)选择至少一个变量的值;c)基于第一密钥和至少一个变量的函数生成第二密钥;以及d)经由第一通信信道将所述第二密钥发送给所述不可信设备。64.—种或多种计算机可读介质,存储用于执行权利要求63的方法的计算机可执行指令。65.—种移动终端,包括存储器,存储计算机可执行指令,所述指令用于执行管理由不可信设备对无线网络的访问的方法,所述方法包括以下步骤a)与具有访问控制器的无线网络共享第一密钥;b)选择至少一个变量的值;c)基于所述第一密钥和至少一个变量的函数生成第二密钥;以及d)经由第一通信信道将所述第二密钥发送给所述不可信设备。66.—种用于由访问控制器管理对无线网络的访问的方法,包括以下步骤a)与可信设备共享第一密钥;b)从不可信终端设备接收对密钥协商协议的请求;C)执行所述密钥协商协议,以确定与所述终端设备对应的第二密钥,所述密钥协商协议包括i.从所述终端设备接收一个或多个变量,H.基于所述第一密钥和所述一个或多个变量的函数生成所述第二密钥,以及iii.使用所述第一密钥来认证所确定的第二密钥;d)接收来自所述终端设备的为加入所述无线网络的请求;e)使用所述第二密钥认证步骤d)的所述请求;f)刚一成功完成步骤e)就授权所述终端设备访问所述无线网络。67.—种或多种计算机可读介质,存储用于执行权利要求66的方法的计算机可执行指令。68.—种访问控制i殳备,包括存储器,存储计算机可执行指令,所述指令用于执行管理对无线网络的访问的方法,所述方法包括以下步骤a)与可信设备共享第一密钥;b)从不可信终端设备接收对密钥协商协议的请求;c)执行所述密钥协商协议,以确定与所述终端设备对应的第二密钥,所述密钥协商协议包括i.从所述终端设备接收一个或多个变量,ii.基于所述第一密钥和所述一个或多个变量的函数生成第二密钥,以及iii.使用所述第一密钥来认证所确定的第二密钥;d)接收来自所述终端设备的用以加入所述无线网络的请求;e)使用所述第二密钥认证步骤d)的所述请求;f)刚一成功完成步骤e)就授权所述终端设备访问所迷无线网络。全文摘要提供用于管理对无线局域网的访问的方法和系统。无线接入点(AP)可以使用统一方法,所述统一方法采用带外信道来将认证密钥和网络地址信息传递给访客设备,并采用带内信道来建立与所述访客设备的通信,还提供对所有设备上的带内设置的支持。在有可能的情况下使用带外信道的能力增加了安全性和可用性,并提供从一个设备向另一设备委托访问的可能性。从而,所述统一方法还提供了对WLAN的访客访问的容易管理。文档编号H04L9/32GK101167305SQ200680014710公开日2008年4月23日申请日期2006年3月30日优先权日2005年4月4日发明者J·塔卡拉,J-E·埃克伯格,K·T·科斯蒂埃宁,N·阿索坎,P·金泽伯格,S·摩洛尼,S·索维奥申请人:诺基亚公司