操作网络的方法与流程

本发明涉及操作电信网络，尤其是无线局域网(wlan)的方法、以及系统及用于该系统的组件。

背景技术：

1、无线接入点(wap)可以促进广域网(例如固定接入宽带网)与无线通信设备(本文也称为“用户设备”，ue)之间的数据连接。

2、wap提供在具有低发射功率的射频频谱上工作的无线局域网(wlan)，通常提供几米的范围。例如，wlan可用于使用ieeertm 802.11标准族(通常称为wi-firtm)中的任一个。ue可用于连接到由wap提供的wlan。

3、ue为了连接到wlan，该ue必须首先识别提供wlan的wap，以及识别wlan本身。在识别了wlan和wap之后，ue可用通常(并且如通常所推荐的)首先需要被认证以连接到wlan；这通常通过用户向wap提供与该wlan相关联的接入凭证(例如密码)来执行。

4、随着wap、wlan和ue的数量越来越多，管理对wlan的安全接入对于ue的用户来说可能是繁重的任务，需要人工识别wlan并输入接入凭证。

5、为了帮助减少这种负担，已经提出了用于自动得出用于wlan的接入凭证，然后使用这种得出的接入凭证来连接到wlan的方法；这些这样的方法可以被称为“零触摸连接”处理，因为每次ue连接到新的wlan时无需用户输入。

6、为了促进“零接触连接”，可以在用于wlan的广播网络标识(例如服务集标识(ssid))内对接入凭证进行编码，并且ue可以对网络标识进行解码，以得出接入凭证。然后，ue尝试连接到与该接入凭证相关联的wlan。

7、然而，正在开发更加繁杂的方法来损害wlan的安全操作。由于ue可能无法验证“零接触连接”系统的真实性，因此通过冒用针对“零接触连接”配置的网络标识可能导致ue尝试(以及重新尝试)连接到恶意wlan或连接到合法wlan，但使用不正确的接入凭证；在这两种情况下，ue会被防止建立到合法wlan的连接(例如，作为误导到恶意wlan或被合法wlan列入黑名单的结果)。此外，这种形式的攻击可能导致合法wlan因接入请求而过载，从而不利地影响wlan的操作。效果可以类似于拒绝服务攻击(对ue和/或wlan)。

8、本发明的目的是至少减轻上述问题中的一些问题。

技术实现思路

1、根据本发明第一个方面，提供了一种操作电信网络的方法，所述电信网络包括：用户设备ue；第一无线局域网wlan，所述第一wlan可通过第一网络标识来识别；隐藏wlan；以及目标wlan；并且所述方法包括以下步骤：将所述隐藏wlan配置成具有根据所述第一网络标识密码学地得出的隐藏网络标识；由所述ue：从所述第一wlan取得所述第一网络标识；密码学地处理所取得的第一网络标识，从而得出所述隐藏网络标识；使用所得出的隐藏网络标识来搜索wlan；以及仅在发现所述隐藏wlan之后请求到所述目标wlan的连接或经由所述目标wlan的连接。

2、如本文所使用的，关于“wlan”和/或“网络标识”的措辞“隐藏”优选地意味着对于ue是不可发现的，并且优选地不是公开广播的。优选地，取得第一网络标识是由ue搜索(或探测)wlan并随后检测到第一wlan来执行的。可选地，ue被配置成偏向于、被强迫、优先化、并且更优选地最优先化尝试/尝试连接到目标wlan。可选地，第一wlan、隐藏wlan和/或目标wlan是不安全的(公共的或未加密的)，因此可能不需要用于ue连接到wlan的接入凭证。可选地，第一wlan、隐藏wlan和/或目标wlan是安全的(私有的或加密的)，因此需要用于ue连接到wlan的接入凭证。优选地，响应于ue识别第一网络标识中的预定义字符串，执行密码学地处理第一网络标识。

3、优选地，密码学地处理第一网络标识仅对第一网络标识的一部分执行，所述部分可由ue通过第一网络标识中的预定义字符串来识别。可选地，目标wlan也是隐藏的(其中目标wlan和第一wlan是不同的)。优选地，ue同时在第一wlan、隐藏wlan和/或目标wlan的范围内。如在本文所使用的，“密码学地得出”和/或“密码学地处理”优选地意味着作为执行密码学函数的结果而生成，该加密函数又可以包括加密、解密、编码、解码、散列和/或盐化。

4、优选地，所述方法还包括以下步骤：响应于所述隐藏wlan对所述ue保持隐藏，防止所述ue请求与所述目标wlan的连接。优选地，所述防止持续地执行，使得目标wlan可以被阻塞或列入黑名单。优选地，在ue执行搜索达预定时间段并且在该时间段内未能使用所得出的隐藏网络标识来识别wlan之后，确定隐藏wlan对ue保持隐藏。

5、优选地，所述方法还包括以下步骤：将所述目标wlan配置成仅可通过使用接入凭证由所述ue接入；提供所述第一网络标识，以包括对所述接入凭证执行的加密函数的输出；由所述ue响应于取得所述第一网络标识来对所述第一网络标识进行解码，从而输出所述接入凭证；以及其中，请求到所述目标wlan的连接是使用所输出的接入凭证来执行的。优选地，为ue提供对应于加密函数的解密函数，从而允许ue输出接入凭证。可选地，基于接入凭证生成第一网络标识。可选地，基于第一网络标识生成接入凭证。优选地，接入凭证包括：用户名、密码、和/或令牌。优选地，加密函数由以下执行：生成第一wlan的无线接入点(wap)；或者为相对于wap远程的并且wap可访问的服务器。可选地，对第一网络标识的解码仅对第一网络标识的部分执行，所述部分可由ue通过第一网络标识中的预定义字符串来识别。

6、优选地，所述目标wlan连接到广域网，并且其中，请求经由所述目标wlan的连接被执行，以将所述ue连接到所述广域网。优选地，所述方法还包括以下步骤：将所述广域网配置成仅可通过使用接入凭证由所述ue经由所述目标wlan接入；提供所述第一网络标识，以包括对所述接入凭证执行的加密函数的输出；由所述ue响应于取得所述第一网络标识来对所述第一网络标识进行解码，从而输出所述接入凭证；以及其中，请求经由所述目标wlan到所述广域网的连接是使用所述接入凭证来执行的。优选地，广域网仅可由ue通过强制门户(captive portal)来接入。

7、优选地，所述目标wlan可通过目标网络标识来识别，并且其中，提供所述第一网络标识，以包括所述目标网络标识；并且其中，所述目标网络标识由所述ue根据所取得的第一网络标识得出并由所述ue使用来请求到所述目标wlan的所述连接。另选地，ue可以预加载有目标网络标识，并且ue还可以被配置成默认地尝试连接到目标wlan。优选地，“网络标识”(例如，“第一”、“隐藏”和/或“目标”)是服务集标识(ssid)。

8、优选地，提供所述第一网络标识，以还包括对所述目标网络标识执行的密码学函数的输出；以及其中，所述目标网络标识是由所述ue对所述第一网络标识执行所述密码学函数得出的。优选地，为了生成第一网络标识，密码学函数由wap或相对于wap远程的并且wap可访问的服务器执行。可选地，第一网络标识(仅)由密码学函数和/或加密函数的输出。可选地，目标wlan和第一wlan是相同的。可选地，目标wlan和隐藏wlan是相同的。

9、优选地，该方法还包括以下步骤：取得与无线接入点wap关联的网络设备标识，所述wap提供第一wlan；还提供第一网络标识以包括对网络设备标识执行的所述加密函数或(另外的)加密函数的输出。优选地，网络设备标识是wap的基本服务集标识(bssid)。可选地，第一wlan由第一无线接入点(wap)提供，隐藏wlan由第二wap提供，并且目标wlan由第三wap提供。可选地，第一wap与第二wap和/或第三wap相同。另选地，第二wap可以与第三wap相同。

10、优选地，所述方法还包括在建立了所述ue与所述目标wlan之间的连接之后改变所述网络设备标识的步骤。优选地，网络设备标识在连接终止时被改变。另选地，网络设备标识可以在ue与目标wlan之间的每次通信之后被改变。

11、根据本发明的另一方面，提供了一种操作用户设备ue的方法，所述ue形成电信网络的一部分，所述电信网络包括：第一无线局域网wlan，所述第一wlan可通过第一网络标识来识别；隐藏wlan，所述隐藏wlan具有根据所述第一网络标识密码学地得出的隐藏网络标识；以及目标wlan；并且该方法包括以下步骤：从所述第一wlan取得所述第一网络标识；密码学地处理所取得的第一网络标识，从而得出所述隐藏网络标识；使用所得出的隐藏网络标识来搜索wlan；以及仅在发现所述隐藏wlan之后请求到所述目标wlan的连接或经由所述目标wlan的连接。

12、根据本发明的另一个方面，提供了一种操作一组无线接入点wap的方法，所述一组wap形成电信网络的一部分，所述电信网络包括可用于连接到所述一组wap中的wap的用户设备ue，所述方法包括以下步骤：提供第一wlan，所述第一wlan可通过第一网络标识来识别；以及提供具有隐藏网络标识的隐藏wlan，所述隐藏网络标识是根据所述第一网络标识密码学地得出的；以及响应于所述ue识别出所述隐藏wlan，提供目标wlan，所述ue可用于连接到所述目标wlan或经由所述目标wlan连接。可选地，该组包括单个wap。可选地，只有在确认ue已经向wap集，特别是向提供目标wlan的wap标识出了隐藏wlan之后，ue才可用于连接到目标wlan。

13、根据本发明的又一个方面，提供了一种计算机可读载体介质，所述计算机可读载体介质包括计算机程序，当所述计算机程序由计算机执行时，所述计算机程序使所述计算机执行上述方法中的任一方法的步骤。

14、根据本发明的再一个方面，提供了一种被配置成接入电信网络的用户设备ue，所述电信网络包括：第一无线局域网wlan，所述wlan可通过第一网络标识来识别；隐藏wlan，所述隐藏wlan具有根据所述第一网络标识密码学地得出的隐藏网络标识；以及目标wlan；并且所述ue包括：处理器，所述处理器被配置成使所述ue：从所述第一wlan取得所述第一网络标识；密码学地处理所取得的第一网络标识，从而得出所述隐藏网络标识；使用所得出的隐藏网络标识来搜索wlan；以及控制器，所述控制器被配置成仅在发现所述隐藏wlan之后使所述ue请求到所述目标wlan的连接或经由所述目标wlan的连接。

15、根据本发明的另一方面，提供了一组无线接入点(wap)，所述一组wap形成电信网络的一部分，所述电信网络包括可用于连接到所述一组wap中的wap的用户设备(ue)，所述一组wap包括：第一控制器，所述第一控制器被配置成提供第一wlan，所述第一wlan可通过第一网络标识来识别；第二控制器，所述第二控制器被配置成提供具有隐藏网络标识的隐藏wlan，所述隐藏网络标识是根据所述第一网络标识密码学地得出的；以及第三控制器，所述第三控制器被配置成响应于所述ue识别出所述隐藏wlan而提供目标wlan，所述ue可用于连接到所述目标wlan或经由所述目标wlan连接。

16、根据本发明的又一方面，提供了一种电信系统，包括：如上所述的用户设备(ue)；以及如上所述的一组无线接入点(wap)。

17、本发明包括本文描述和/或例示的任何新颖方面。本发明还扩展到基本上如本文所描述的和/或如参照附图所例示的方法和/或装置。本发明还被提供作为用于执行本文描述的任何方法和/或用于实现本文描述的任何装置特征的计算机程序和/或计算机程序产品，以及计算机可读介质，该计算机可读介质上存储有用于执行本文描述的任何方法和/或用于实现本文描述的任何装置特征的程序。被描述为以硬件实现的特征另选地以软件实现，反之亦然。

18、本发明还提供了一种发送信号的方法，以及一种具有操作系统的计算机产品，该操作系统支持用于执行本文描述的任何方法和/或用于实现本文描述的任何装置特征的计算机程序。

19、也可以提供任何装置特征作为方法的相应步骤，反之亦然。如本文所使用的，装置加功能特征可以另选地按照其相应的结构来表示，例如作为适当编程的处理器。

20、本发明的一个方面中的任何特征可以以任何适当的组合应用于本发明的其它方面。一个方面中的任何、一些和/或所有特征可以以任何适当的组合应用于任何其他方面中的任何、一些和/或所有特征。在本发明的任何方面中描述和定义的各种特征的特定组合可以独立地实现和/或提供和/或使用。

21、如全文所使用的，措辞“或”可以按照排他性和/或包含性意义来解释，除非另外指明。

22、本发明扩展到一种操作电信网络的方法、一种操作用户设备的方法、一种操作一组无线接入点的方法、用户设备、一组无线接入点，并且扩展到如本文描述和/或基本上如参考附图所例示的电信系统。现在参照附图仅通过举例的方式描述本发明，其中：

23、图1是示例性电信网络的示意图；以及

24、图2示出了用于操作电信网络的处理。