本公開涉及用于控制對無線網(wǎng)絡(luò)的接入的技術(shù)。具體地，公開了用于限制對WLAN網(wǎng)絡(luò)的接入的技術(shù)。

本解決方案可被實施用于通過無線通信信道通信并且也具有短距離通信接口的移動設(shè)備。具體地，本解決方案可應(yīng)用于移動設(shè)備的用戶參與在第三方基礎(chǔ)設(shè)施的場景中。進(jìn)一步，本解決方案應(yīng)用于接入點（AP）的認(rèn)證器。

背景技術(shù)：

擴展認(rèn)證協(xié)議（EAP）是認(rèn)證的框架，具有從其衍生而來的許多認(rèn)證標(biāo)準(zhǔn)。EAP協(xié)議公開在“擴展認(rèn)證協(xié)議（EAP）”，RFC 3748中（作為通過因特網(wǎng)的免費下載可得到）。

一些衍生的標(biāo)準(zhǔn)指的是，例如：

—RFC 4186“用于全球移動通信（GSM）訂戶身份模塊（EAP-SIM）的擴展認(rèn)證協(xié)議方法”中公開的 EAP-SIM。

—RFC 4187“用于第三代認(rèn)證和密鑰協(xié)商（EAP-AKA）的擴展認(rèn)證協(xié)議方法”中公開的EAP-AKA。

—RFC 5448“用于第三代認(rèn)證和密鑰協(xié)商（EAP-AKA’）的改進(jìn)的擴展認(rèn)證協(xié)議方法”中公開的EAP-AKA’。

這些標(biāo)準(zhǔn)使用移動電話SIM或USIM卡上的證書來識別，認(rèn)證和在WLAN上獲取認(rèn)證。也就是說，最初意在用于移動寬帶接入的信息被用于獲取對另一種類型網(wǎng)絡(luò)（WLAN）的接入。其他EAP標(biāo)準(zhǔn)使用來自其他源的類似密鑰/證書材料。

基于EAP認(rèn)證的機制通常使用后端AAA服務(wù)器來認(rèn)證用戶。例如，支持EAP-SIM，EAP-AKA或者EAP-AKA’的WLAN接入點（AP）使用移動網(wǎng)絡(luò)運營商的AAA服務(wù)器來認(rèn)證WLAN用戶。在AAA服務(wù)器預(yù)備（provision）的每個用戶將被準(zhǔn)許對AP（其相對于該特定的AAA服務(wù)器進(jìn)行認(rèn)證）的接入。

存在許多基于EAP認(rèn)證的機制。它們中的一些使用證書/身份/密鑰信息的某一形式來相對于WLAN接入點進(jìn)行認(rèn)證，其中實際認(rèn)證通過在后端使用某種形式的AAA服務(wù)器而發(fā)生，并且AP充當(dāng)運行必要的協(xié)議和協(xié)議轉(zhuǎn)換的中間實例。

EAP-SIM/AKA/AKA’是這些認(rèn)證協(xié)議中的一些，其使用SIM或USIM證書。移動運營商對這些協(xié)議是特別感興趣的，因為它們允許將移動網(wǎng)絡(luò)認(rèn)證基礎(chǔ)設(shè)施用于WLAN認(rèn)證。反過來，這允許移動運營商在不需要移動訂戶配置WLAN密碼等的情況下向其移動訂戶提供WLAN接入（“熱點”）。由于認(rèn)證是基于SIM或USIM證書的，網(wǎng)絡(luò)運營商然后有能力使用其計費基礎(chǔ)設(shè)施來為提供的WLAN服務(wù)向用戶計費。

然而，存在不同的場景，其中不是在該AAA服務(wù)器預(yù)備的每個用戶都應(yīng)當(dāng)被準(zhǔn)許對AP的接入。相反，提供僅通過第三方已經(jīng)得到了特定接入權(quán)限的特定用戶應(yīng)當(dāng)被準(zhǔn)許接入的基礎(chǔ)設(shè)施應(yīng)當(dāng)是可能的。

當(dāng)存在相對于一些后臺AAA服務(wù)器進(jìn)行認(rèn)證的認(rèn)證協(xié)議時限制對WLAN的接入會要求改變該后臺服務(wù)器中的認(rèn)證。然而，如果該后臺服務(wù)器由不同于準(zhǔn)許特定接入的實體的實體控制，那么會要求后者能夠接入前者的關(guān)鍵任務(wù)基礎(chǔ)設(shè)施，這不是期望的。

存在短距離無線通信技術(shù)的若干集合。短距離通信的示例是藍(lán)牙和近場通信（NFC）。NFC和藍(lán)牙都是可以集成到移動設(shè)備（例如，智能手機）中的短距離通信技術(shù)。不同操作系統(tǒng)支持NFC，像例如安卓系統(tǒng)。NFC通常要求4cm或小于4cm的距離來發(fā)起連接。NFC允許在NFC標(biāo)簽和端設(shè)備之間或者兩個端設(shè)備之間共享小的數(shù)據(jù)載荷。標(biāo)簽可以具有不同復(fù)雜度。簡單標(biāo)簽僅提供讀和寫情景，有時具有一次可編程區(qū)域來使得卡只讀（一次寫入，多次讀取WORM）。更加復(fù)雜的標(biāo)簽提供更多操作，并且具有加密硬件以認(rèn)證對扇區(qū)的接入。最復(fù)雜的標(biāo)簽包含操作環(huán)境，允許與執(zhí)行在標(biāo)簽上的代碼的復(fù)雜交互。存儲在標(biāo)簽上的數(shù)據(jù)也能夠以各種格式寫入。例如對于安卓系統(tǒng)，許多安卓框架API基于稱為NDEF（NFC數(shù)據(jù)交換格式）的NFC論壇標(biāo)準(zhǔn)。

技術(shù)實現(xiàn)要素：

存在對于用于限制對無線通信網(wǎng)絡(luò)的接入的技術(shù)的需求。存在對于基礎(chǔ)設(shè)施的需求，基于該基礎(chǔ)設(shè)施準(zhǔn)許用戶或客戶對WLAN的特別接入權(quán)限是可能的（如果他們被特別或者專門授權(quán)用于接入）。具體地，存在在用戶已經(jīng)租賃具有內(nèi)置WLAN熱點的汽車或者用戶是具有WLAN熱點的咖啡店的客戶時限制從用戶移動設(shè)備對AP的接入的需求。由租車公司或者咖啡店店主操作或代表操作的第三方的服務(wù)器應(yīng)當(dāng)控制到WLAN的接入。限制WLAN接入需要以簡單的方式進(jìn)行，對于每個（汽車或服務(wù)）預(yù)定情形不要求增加網(wǎng)絡(luò)運營商側(cè)的任何工作。并且所述限制不應(yīng)從應(yīng)當(dāng)被準(zhǔn)許該特別接入的用戶要求的太多的額外工作。

本發(fā)明體現(xiàn)在獨立權(quán)利要求中。有利的實施例在從屬權(quán)利要求中描述。

所述需求通過中間節(jié)點來滿足，所述中間節(jié)點用于限制請求對無線網(wǎng)絡(luò)的接入的移動設(shè)備對無線網(wǎng)絡(luò)的接入，其中中間節(jié)點適合于通過第一通信信道并且通過第二通信信道進(jìn)行交互，所述第一通信信道是無線通信信道，所述第二通信信道是用于與移動設(shè)備交互的短距離通信信道。所述中間節(jié)點進(jìn)一步包括用于通過第一通信信道接收移動設(shè)備的標(biāo)識集合的第一單元。第一單元可以是車載WLAN AP。所述中間節(jié)點進(jìn)一步包括適合用于通過第二通信信道接收第二、不同參考消息的第二單元，以及所述中間節(jié)點包括到密鑰服務(wù)器的第三接口，其中所述中間節(jié)點適合于從密鑰服務(wù)器接收運營商密鑰。此外，所述中間節(jié)點包括處理器，所述處理器適合于將接收的運營商密鑰應(yīng)用到接收的參考消息以生成驗證結(jié)果。最后，所述中間節(jié)點包括比較器，所述比較器適合于將驗證結(jié)果與接收的標(biāo)識集合進(jìn)行比較，并且如果一致：充當(dāng)WLAN接入點的第一單元適合于使用標(biāo)識集合繼續(xù)用于接入無線網(wǎng)絡(luò)的認(rèn)證過程。

此外，所述需求通過一種方法來滿足，所述方法用于操作中間節(jié)點用于限制請求對無線網(wǎng)絡(luò)的接入的移動設(shè)備對無線網(wǎng)絡(luò)的接入，其中所述中間節(jié)點通過第一通信信道和另一個第二通信信道與移動設(shè)備交換數(shù)據(jù)并通過接口與密鑰服務(wù)器交換數(shù)據(jù)，所述第一通信信道是無線網(wǎng)絡(luò)。所述方法包括數(shù)個步驟。在第一步中從密鑰服務(wù)器接收運營商密鑰。在進(jìn)一步步驟中通過第二通信信道從移動設(shè)備接收參考消息。在進(jìn)一步步驟中將接收的運營商密鑰應(yīng)用到接收的參考消息以生成驗證結(jié)果。在進(jìn)一步步驟中通過第一通信信道從移動設(shè)備接收標(biāo)識集合。在另一個步驟中將驗證結(jié)果與接收的標(biāo)識集合進(jìn)行比較。如果一致，所述中間節(jié)點使用用于請求移動設(shè)備的無線網(wǎng)絡(luò)接入標(biāo)識集合繼續(xù)認(rèn)證過程。

進(jìn)一步，所述需求通過用于接入無線網(wǎng)絡(luò)的移動設(shè)備來滿足，所述無線網(wǎng)絡(luò)具有用于提供移動設(shè)備的用戶的標(biāo)識集合的第一通信信道和用于移動通信的第二通信信道。所述移動設(shè)備包括內(nèi)部存儲，所述內(nèi)部存儲用于存儲移動設(shè)備的用戶的標(biāo)識集合。所述移動設(shè)備進(jìn)一步包括消息生成器，其適合用于從密鑰服務(wù)器接收用戶密鑰，并基于將接收的用戶密鑰應(yīng)用到標(biāo)識集合生成參考消息，并且其適合用于通過第二通信信道向中間節(jié)點發(fā)送參考消息。

進(jìn)一步，所述需求通過一種方法來滿足，所述方法用于操作用于接入具有第一通信信道和第二通信信道的無線網(wǎng)絡(luò)的移動設(shè)備，所述第一通信信道是用于提供移動設(shè)備的用戶的標(biāo)識集合的無線通信信道，所述第二通信信道用于短距離通信。所述方法包括數(shù)個步驟。在第一步中從密鑰服務(wù)器接收用戶密鑰。在進(jìn)一步步驟中接收移動設(shè)備的用戶的標(biāo)識集合。在另一個步驟中通過將接收的用戶密鑰應(yīng)用到標(biāo)識集合來生成參考消息。在另一個步驟中通過第二通信信道將參考消息發(fā)送到中間節(jié)點。在進(jìn)一步步驟中通過第一通信信道將標(biāo)識集合發(fā)送到中間節(jié)點。

此外，所述需求通過接入系統(tǒng)來滿足，所述接入系統(tǒng)用于限制請求對無線網(wǎng)絡(luò)的接入的移動設(shè)備對無線網(wǎng)絡(luò)的接入。所述接入系統(tǒng)包括請求對無線網(wǎng)絡(luò)的接入的移動設(shè)備。所述移動設(shè)備如上面提到的進(jìn)行配置。進(jìn)一步，所述接入系統(tǒng)包括中間節(jié)點。所述中間節(jié)點如上面提到的進(jìn)行配置。此外，所述接入系統(tǒng)包括密鑰服務(wù)器。所述密鑰服務(wù)器包括一個密鑰對生成模塊，其用于生成密鑰對的，并用于將用戶密鑰發(fā)送到移動設(shè)備和將運營商密鑰發(fā)送到中間節(jié)點，所述密鑰對包括用戶密鑰和一一對應(yīng)關(guān)聯(lián)的運營商密鑰。

進(jìn)一步，設(shè)備節(jié)點適合于執(zhí)行如聯(lián)系將在對應(yīng)節(jié)點中執(zhí)行的對應(yīng)方法請求保護的所有步驟。

附圖說明

在下文中，將進(jìn)一步參考附圖中示出的示范實施例來描述本發(fā)明，其中：

圖1示意性示出根據(jù)實施例的在其他實體上下文中的中間節(jié)點的基礎(chǔ)設(shè)施；

圖2是根據(jù)實施例的中間節(jié)點中的方法的流程圖；

圖3是根據(jù)實施例的移動設(shè)備中的方法的流程圖；

圖4示意性示出中間節(jié)點的實施例；

圖5示出根據(jù)實施例的相應(yīng)節(jié)點之間的序列圖和功能關(guān)聯(lián)；以及

圖6示出根據(jù)實施例的相應(yīng)節(jié)點之間的另一個序列圖和功能關(guān)聯(lián)。

具體實施方式

在下面的描述中，為了闡述和非限制性的目的，闡述了特定的細(xì)節(jié)，例如特定網(wǎng)絡(luò)環(huán)境和通信標(biāo)準(zhǔn)等，以便提供本發(fā)明的透徹理解。將對于本領(lǐng)域技術(shù)人員來說顯而易見的是本發(fā)明可以在背離這些特定細(xì)節(jié)的其他實施例中實施。例如，本領(lǐng)域技術(shù)人員將意識到本發(fā)明可以通過任何短距離通信網(wǎng)絡(luò)實施，像例如近場通信（NFC）或藍(lán)牙。作為另一個示例，本發(fā)明也可以在具有相應(yīng)的接口的任何移動設(shè)備中實現(xiàn)，像智能手機，移動手機，移動計算機系統(tǒng)或者個人數(shù)字助理。

總的來說，提議提供一種用于基于從密鑰服務(wù)器預(yù)得到的認(rèn)證來限制移動設(shè)備的無線網(wǎng)絡(luò)接入的技術(shù)，所述密鑰服務(wù)器由第三方提供和操作。密鑰服務(wù)器不同于網(wǎng)絡(luò)運營商或者網(wǎng)絡(luò)運營商的服務(wù)器。具體地，為接入點（AP）的認(rèn)證器功能提供額外功能性，因此也稱為擴展認(rèn)證器。額外功能性指的是交叉檢驗標(biāo)識集合形式的移動設(shè)備用戶的身份與驗證結(jié)果，所述驗證結(jié)果充當(dāng)參考標(biāo)識集合并且是基于參考消息的。所述標(biāo)識集合和參考消息通過不同通信信道提供。標(biāo)識集合可以根據(jù)標(biāo)準(zhǔn)EAP-SIM，EAP-AKA，EAP-AKA’和/或其他任何合適的認(rèn)證過程傳輸和處理。提議的解決方案基于通過第一通信信道的標(biāo)識集合的傳輸，例如移動設(shè)備的IMSI，和使用由密鑰服務(wù)器生成的用戶密鑰以參考消息的形式（包括已處理形式的標(biāo)識集合）的通過獨立附加（或第二）通信信道（例如NFC）的參考消息的安全傳輸。

移動設(shè)備對WLAN網(wǎng)絡(luò)接入的許可或不許可基于要求要由設(shè)備滿足所述要求，這由第三方服務(wù)器定義。具體地，無線網(wǎng)絡(luò)接入的許可或不許可基于包括用戶密鑰和運營商密鑰的密鑰對。

在下文中給出了本申請中使用的術(shù)語的定義。

中間節(jié)點可以是一個中繼實例，用于用戶電話到WLAN的特定認(rèn)證的數(shù)據(jù)交換的路由器或者交換機，其基于第三方服務(wù)器和AAA服務(wù)器的認(rèn)證。根據(jù)第一實施例，中間節(jié)點是車載單元。根據(jù)第二個實施例，中間節(jié)點是用于無線網(wǎng)絡(luò)接入的中間硬件單元，安裝在咖啡店或者商店中。中間節(jié)點可以包括作為不同軟件和/或硬件模塊的第一和第二單元，第三接口，處理器和比較器。根據(jù)實施例，前面提到的模塊可以組合成一個單個或者至少兩個單獨的模塊。然而，優(yōu)選地，處理器和比較器要實現(xiàn)為單獨的實例。備選地，比較器和第一單元組合成公共單元。

通常，這些模塊的分離或組合必須解釋為功能性的?？梢詫⒉煌δ芙M合到一個模塊和/或?qū)⑻囟üδ芊指畹蕉嘤谝粋€模塊上。因此，中間節(jié)點可以實現(xiàn)為硬件節(jié)點，但也可以實現(xiàn)為包含不同硬件單元的虛擬節(jié)點。當(dāng)部署與中間節(jié)點分離的單元或部分時，剩余中間節(jié)點仍然可稱為車載單元。

第一單元可以是用于接收標(biāo)識集合的接口，并且具體指無線接口。

第二單元可以是接口，具體指短距離接口，像特別是NFC或藍(lán)牙。第二單元適合用于從移動設(shè)備接收參考消息。第二單元可以集成到處理器，和/或前面提到的中間節(jié)點的其他模塊中。

處理器可以部署為中間節(jié)點中的獨立單元。處理器可以被看認(rèn)為是驗證器，其適合于驗證處理器是否能夠解密參考消息。如果是，根據(jù)用戶實際上具有有效的在線票的實施例，處理器生成驗證結(jié)果，指示發(fā)布到相應(yīng)用戶的第三方生成的用戶密鑰與第三方生成的運營商密鑰匹配，并且因此確認(rèn)用戶密鑰是有效的。

比較器可以部署為單元或者可以被解釋在傳感器或擴展驗證器中。其可以提供為中間節(jié)點中的獨立單元或者可以是第一單元的一部分。處理器和比較器兩者可以都是或者可以都不是中間節(jié)點的一部分。根據(jù)實施例，中間節(jié)點的所有單元都位于汽車中。

中間節(jié)點的處理器、比較器和/或其他單元可以實現(xiàn)為嵌入式系統(tǒng)。嵌入式系統(tǒng)是硬件和軟件模塊的組合，包括微處理器或受限于計算功率和/或存儲器大小的其他數(shù)字計算電路，因為其嵌入（例如，內(nèi)建）到另一產(chǎn)品中。嵌入式系統(tǒng)預(yù)期在無人干預(yù)的情況下起作用。嵌入式系統(tǒng)的示例是存儲在只讀存儲器（ROM）中的微計算機和軟件，只讀存儲器在打開時開始運行存儲的程序并且直到其關(guān)閉才停止。

移動網(wǎng)絡(luò)可以是移動寬帶網(wǎng)絡(luò)，3G，4G或其他網(wǎng)絡(luò)技術(shù)。移動網(wǎng)絡(luò)可提供通過接入點到更廣因特網(wǎng)的連接（但僅在用戶被準(zhǔn)許到WLAN的接入之后）。這賦予用戶在本地覆蓋區(qū)域中到處移動并仍然連接到因特網(wǎng)的能力。WLAN可以基于IEEE 802.11標(biāo)準(zhǔn)。

移動設(shè)備可以是智能電話，移動電話或具有至少兩個獨立接口的其他移動計算設(shè)備，具體地包括無線接口和短距離接口。當(dāng)請求到無線網(wǎng)絡(luò)的特殊接入的權(quán)利時，智能電話應(yīng)當(dāng)位于第二單元以便能夠通過短距離接口交換數(shù)據(jù)。本申請中呈現(xiàn)的解決方案涉及多個移動設(shè)備。因此，并行提供多個移動設(shè)備的特殊無線網(wǎng)絡(luò)接入是可能的。為了清楚的目的，在權(quán)利要求中僅明確提到了多個移動設(shè)備中的一個。

消息生成器是模塊，其可以在軟件和/或硬件中實現(xiàn)。其向移動設(shè)備提供額外功能性用于獲得特殊網(wǎng)絡(luò)接入。

第一通信信道是無線通信信道，其可以用于傳輸根據(jù)EAP協(xié)議或其他任何合適協(xié)議中的一個的數(shù)據(jù)的傳輸。根據(jù)實施例，第一通信信道是想要接入的WLAN的信令信道。

第二通信信道是短距離通信信道，其可以是NFC或者藍(lán)牙連接。第二通信信道通過中間節(jié)點或其模塊連接到移動設(shè)備。根據(jù)實施例，第二通信信道可僅用于一個方向（從設(shè)備到中間節(jié)點）。根據(jù)另一個實施例，后一個信道用于雙向數(shù)據(jù)交換。

標(biāo)識集合包括用戶的IMSI和/或來自用戶的SIM卡，USIM卡或任何其他類型的智能電話中的身份確認(rèn)或身份提供單元的其他證書或識別符，例如MSISDN。標(biāo)識集合與移動設(shè)備或其用戶唯一地關(guān)聯(lián)。標(biāo)識集合存儲在設(shè)備的內(nèi)部存儲中。內(nèi)部存儲可以與用戶SIM卡，USIM卡或任何其他類型的身份確認(rèn)或身份提供單元組合或者由其提供，或者其可以是設(shè)備中的獨立內(nèi)部存儲。

參考消息與標(biāo)識集合關(guān)聯(lián)并且可與經(jīng)處理形式的標(biāo)識集合相關(guān)。標(biāo)識集合和參考消息兩者都是數(shù)字?jǐn)?shù)據(jù)集合并且用于到無線網(wǎng)絡(luò)的用戶接入權(quán)利的交叉檢驗。

第三方可以是任何服務(wù)功能性，向用戶提供服務(wù)。第三方負(fù)責(zé)定義到無線網(wǎng)絡(luò)的特殊接入權(quán)限。密鑰服務(wù)器由第三方操作或者代表第三方操作。第三方，例如可以是汽車租賃基礎(chǔ)設(shè)施或者咖啡店主。應(yīng)當(dāng)理解的是其他實施例涉及其他任何基礎(chǔ)設(shè)施情形，像例如公共交通提供商或商店提供商，他們在其客戶滿足要求時希望準(zhǔn)許其客戶特殊網(wǎng)絡(luò)接入權(quán)利。所述要求由第三方定義。

密鑰服務(wù)器可以是任何服務(wù)器或者服務(wù)器基礎(chǔ)設(shè)施。密鑰服務(wù)器可包括前端和后端系統(tǒng)。密鑰服務(wù)器和中間節(jié)點例如根據(jù)http協(xié)議，通過包括電子郵件，sms和其他的消息通信。它們可以和中間節(jié)點和AAA服務(wù)器一樣在相同的移動網(wǎng)絡(luò)上通信。備選地，密鑰服務(wù)器和中間節(jié)點之間的連接網(wǎng)絡(luò)是獨立或者不同網(wǎng)絡(luò)。具有其密鑰服務(wù)器的第三方與網(wǎng)絡(luò)運營商協(xié)作，但與網(wǎng)絡(luò)運營商的AAA服務(wù)器相獨立地操作密鑰服務(wù)器。密鑰服務(wù)器和移動設(shè)備通過無線網(wǎng)絡(luò)，或者也通過前面提到的其他任何類型的合適通信系統(tǒng)交互。用戶密鑰，例如可以在通過通信網(wǎng)絡(luò)傳輸數(shù)據(jù)集的情況下得到，或者用戶需要人工向移動設(shè)備輸入密鑰碼。

運營商密鑰和用戶密鑰由密鑰服務(wù)器或者由第三方，例如汽車租賃公司提供或操作的模塊生成。根據(jù)第一實施例，密鑰是加密密鑰對。密鑰對可以根據(jù)對稱或非對稱密鑰生成算法來生成。根據(jù)進(jìn)一步的實施例，密鑰對可以指的是數(shù)字憑證碼和唯一關(guān)聯(lián)的參考憑證碼。因此，用戶密鑰可以是用于預(yù)訂操作密鑰服務(wù)器的服務(wù)提供商的服務(wù)（例如汽車租賃，公共交通票）的在線票。

圖1描繪了根據(jù)本發(fā)明實施例的提供的基礎(chǔ)設(shè)施的構(gòu)架。

移動設(shè)備200，至少具有兩個不同接口，用于WLAN通信的第一通信信道1和用于短距離通信，像NFC的第二通信信道2。移動設(shè)備200與中間節(jié)點100交互，在第一實施例中中間節(jié)點可以部署為汽車租賃車隊的汽車中的OBU。對于無線網(wǎng)絡(luò)認(rèn)證，可以使用不同的過程，像基于EAP的認(rèn)證，例如EAP-SIM/AKA/AKA’認(rèn)證協(xié)議（使用SIM或者USIM證書），其作為標(biāo)識集合200i存儲在移動設(shè)備200上。標(biāo)識集合200i用于相對于WLAN接入點進(jìn)行認(rèn)證，所述WLAN接入點可以實現(xiàn)為第一單元101，其中通過使用后端節(jié)點中的AAA服務(wù)器400運行認(rèn)證過程。因此，中間節(jié)點100充當(dāng)中間實例，運行協(xié)議和轉(zhuǎn)換。標(biāo)識集合200i使用合適的EAP消息在第一通信信道1上發(fā)送。在圖1中移動網(wǎng)絡(luò)通過附圖標(biāo)記1000表示。將要準(zhǔn)許接入的WLAN網(wǎng)絡(luò)（也稱為無線網(wǎng)絡(luò)）標(biāo)記為1001。到移動網(wǎng)絡(luò)的接口4用于中間節(jié)點100或其第一單元101和移動網(wǎng)絡(luò)1000中的AAA服務(wù)器400之間的通信。

密鑰服務(wù)器300由第三方操作或代表第三方操作。第三方負(fù)責(zé)定義到無線網(wǎng)絡(luò)1001的特殊接入權(quán)利。

如上面提到的，根據(jù)第一實施例，第三方可以是汽車租賃公司。為將要租賃的汽車提供車載單元（OBU）。OBU可以部署為中間節(jié)點100（帶有其單元）。處理器105包括第二單元102或者與第二單元102交互，第二單元102部署為NFC接口。處理器105適合于與第三接口103通信以用于接收運營商密鑰99。在實施例中，運營商密鑰99可以是運營商密鑰（也稱為：汽車密鑰）。處理器105與比較器106對接。比較器106又與第一單元101連接。汽車租賃公司的客戶通過其移動電話200進(jìn)行交互。如果客戶已經(jīng)租賃汽車并使用汽車，他可以被準(zhǔn)許特殊WLAN接入權(quán)利。

根據(jù)第二個實施例，第三方可以是具有WLAN接入點（AP）的咖啡店或者商店。WLAN AP可部署為中間節(jié)點100的一部分?？Х鹊昊蛏痰晏峁┪挥谄?，商店或商場中的中間節(jié)點100或代表移動網(wǎng)絡(luò)運營商操作該節(jié)點。如果客戶在店中購買商品或者滿足其他接入要求（例如，通過要求服務(wù)，兌換積分或者憑證等）其就被準(zhǔn)許特殊WLAN接入權(quán)利。用戶/客戶一旦或在最初位于汽車或商店等附近時就能夠使用該特殊WLAN接入權(quán)利，尤其是在適用NFC通信的短距離通信距離中。

在用戶期望從其移動電話200的WLAN網(wǎng)絡(luò)接入的情況下，他在購買商品、租賃汽車或滿足其他要求時等待接收用戶密鑰88。用戶密鑰88由密鑰服務(wù)器發(fā)布作為密鑰對的一部分，所述密鑰對包括用戶密鑰88和運營商密鑰99。密鑰對的另一部分，運營商密鑰99，發(fā)送到第三接口103，第三接口103是中間節(jié)點100的一部分。

在移動設(shè)備200上提供消息生成器201。消息生成器201適合用于從密鑰服務(wù)器300接收用戶密鑰88，具體地從密鑰服務(wù)器300的在線預(yù)訂系統(tǒng)前端301。

密鑰服務(wù)器300的后端管理系統(tǒng)302適合于將運營商密鑰99作為生成的密鑰對的一部分發(fā)送到第三接口103或者一般地發(fā)送到中間節(jié)點100。

當(dāng)用戶隨后或者實際從其移動電話200請求WLAN網(wǎng)絡(luò)接入時，他要位于租賃汽車內(nèi)或者商店內(nèi)。移動設(shè)備200上的消息生成器201進(jìn)一步適合于基于將先前接收的用戶密鑰88應(yīng)用到標(biāo)識集合200i來生成參考消息22，并適合用于將參考消息22發(fā)送到中間節(jié)點100，具體是通過第二通信信道2（例如NFC信道）發(fā)送到中間節(jié)點100（如圖1中所示）的第二單元102。

接收的參考消息22通過第二單元102提供到處理器105。進(jìn)一步，從或者通過第三接口103向處理器105提供接收的運營商密鑰99。在被提供了這兩個數(shù)據(jù)集合之后，處理器105適合于將接收的運營商密鑰99應(yīng)用到接收的參考消息22以生成驗證結(jié)果33。驗證結(jié)果33用作交叉檢驗的參考標(biāo)識集合。將驗證結(jié)果33提供給比較器106。由于移動設(shè)備200的一部分想要獲取WLAN接入，其通過第一通信信道傳輸標(biāo)識集合200i。

第一通信信道1通常是想要接入的WLAN 1001的一部分。

在中間節(jié)點100中，通過第一通信信道1和無線網(wǎng)絡(luò)1001接收標(biāo)識集合200i。之前，通過不同無線第二通信信道2（例如NFC）接收參考消息22并且之前通過第三接口103接收了運營商密鑰99，并且生成驗證結(jié)果33并提供給比較器。

比較器106適合于將驗證結(jié)果33與接收的標(biāo)識集合200i比較，所述標(biāo)識集合200i已經(jīng)由第一單元101接收并解碼，并且也已經(jīng)提供給比較器106。如果（接收的標(biāo)識集合200i與接收的驗證結(jié)果33）一致，比較器106調(diào)整WLAN接入點以繼續(xù)使用標(biāo)識集合200i進(jìn)行用于接入無線網(wǎng)絡(luò)1001的認(rèn)證過程。在圖1中，這通過在比較器106開始并指向第一單元101的箭頭表示。WLAN 1001的認(rèn)證過程（涉及經(jīng)由上行接口4的移動網(wǎng)絡(luò)1000中的AAA服務(wù)器）根據(jù)適用的EAP標(biāo)準(zhǔn)之一或任意其他適用協(xié)議來執(zhí)行。

如果標(biāo)識集合200i和驗證結(jié)果33不匹配或者存在其他錯誤，則不會執(zhí)行認(rèn)證過程并且也不會準(zhǔn)許對WLAN 1001的接入。

如圖4中示出的實施例中所描繪的，第一單元101可包括比較器106。第二單元102可以是處理器105的一部分并且可以部署為NFC接口，其適合于通過第二通信信道2（短距離）接收參考消息22。第三接口103也可以是處理器105的一部分。處理器105和第一單元101通過合適的接口（包括軟件和通信接口）對接。處理器105適合于將接收的運營商密鑰99應(yīng)用到接收的參考消息22以便生成驗證結(jié)果33。比較器106適合于運行額外的交叉檢驗。具體地，比較器106適合于將從處理器105接收的驗證結(jié)果33與接收的標(biāo)識集合200i進(jìn)行比較。如果一致：比較器106適合于觸發(fā)第一單元101以使用標(biāo)識集合200i、驗證結(jié)果33、或二者的組合或適合用于建立身份的其他任何信息來繼續(xù)用于接入無線網(wǎng)絡(luò)1001的認(rèn)證過程。

在下文中，本發(fā)明的實施例相對于圖2來呈現(xiàn)，圖2示出在中間節(jié)點100將要執(zhí)行的步驟的流程圖。

在步驟S21中，從密鑰服務(wù)器300接收運營商密鑰99。

在步驟S22中，通過第二通信信道2接收來自移動設(shè)備200的參考消息22。

在步驟S23中，將接收的運營商密鑰99應(yīng)用于接收的參考消息22以生成驗證結(jié)果33。驗證結(jié)果33用作交叉檢驗的參考標(biāo)識集合。

在步驟S24中，通過第一通信信道1接收來自移動設(shè)備200的標(biāo)識集合200i。

在步驟S25中，將驗證結(jié)果33與接收的標(biāo)識集合200i進(jìn)行比較。

僅在一致的情況下，準(zhǔn)許無線接入并且在步驟S26中使用標(biāo)識集合200i（用于請求移動設(shè)備20）執(zhí)行（標(biāo)準(zhǔn)）認(rèn)證過程。否則（在不匹配的情況下）拒絕接入。

然而，必須注意的是，所述方法步驟的序列是可以改變的。因此，在其他實施例中在步驟S22之后執(zhí)行步驟S21也是可能的。

根據(jù)實施例，可以將信號提供給移動設(shè)備200和/或密鑰服務(wù)器300。所述信號表示特殊網(wǎng)絡(luò)接入或者拒絕狀態(tài)。如果在步驟S25中特殊接入已經(jīng)被評估為可以準(zhǔn)許的，S26中可通過第一通信信道1和/或第二通信信道2向設(shè)備200傳送GRANT信號28（參見圖1）。進(jìn)一步，GRANT信號28可以傳送到密鑰服務(wù)器300和/或其他單元。進(jìn)一步，在移動設(shè)備200的用戶接口上提供GRANT和/或DENIED信號28、29以便通知用戶專用的無線網(wǎng)絡(luò)認(rèn)證過程的狀態(tài)。

此外，如果拒絕了網(wǎng)絡(luò)接入，通過第一通信信道1和/或第二通信信道2向設(shè)備200傳送DENIED信號29（參見圖1）。進(jìn)一步，DENIED信號29可以傳送到密鑰服務(wù)器300和/或其他單元。

在下文中，本發(fā)明的實施例相對于圖3來呈現(xiàn)，圖3示出在移動設(shè)備200將要執(zhí)行的步驟的流程圖。

在步驟S31中，優(yōu)選地，通過無線接口從密鑰服務(wù)器300接收用戶密鑰88，包括通過電子郵件、sms、傳真和/或其他通信協(xié)議發(fā)送的消息。

在步驟S32中，具體地，向消息生成器201提供移動設(shè)備200的標(biāo)識集合200i。

在步驟S33中，通過將接收的用戶密鑰88應(yīng)用到標(biāo)識集合200i來生成參考消息22。

在步驟S34中，通過第二通信信道2（例如NFC）向中間節(jié)點100或者第二單元102發(fā)送參考消息22。

在步驟S35中，通過第一通信信道1向中間節(jié)點100，具體地向第一單元101，發(fā)送標(biāo)識集合200i。

通常，步驟S35在步驟S34之后執(zhí)行，因為對于部署為WLAN AP的第一單元101，接收信號時僅能等待短時間段（因為相應(yīng)的（EAP）協(xié)議中的超時(timeout)）。然而，必須注意的是，所述方法步驟的順序是可以改變的。因此，在其他實施例中也可能在步驟S35之后執(zhí)行步驟S34。進(jìn)一步，可能先運行步驟S35，例如在要在移動設(shè)備200上執(zhí)行的方法步驟開始時。

如上面所提到的，第一實施例涉及向在（將要租賃的）汽車上提供的無線網(wǎng)絡(luò)提供特殊網(wǎng)絡(luò)接入。如下所述相對于圖5說明汽車租賃網(wǎng)絡(luò)接入和系統(tǒng)的操作。

圖5涉及在汽車租賃情形中的動作、步驟和/或事件的一種可能順序。然而，其他順序或?qū)嵤├彩强赡艿摹D5中的“汽車用戶”表示想要租車或者預(yù)定另一服務(wù)的某人。智能電話200是汽車用戶的智能電話，用于在線預(yù)定/租賃汽車。預(yù)定系統(tǒng)301是用于租車的在線預(yù)定系統(tǒng)前端，由汽車租賃公司提供，或代表汽車租賃公司提供。汽車管理單元501是用于管理租賃汽車車隊的后端管理系統(tǒng)，由汽車租賃公司提供，或代表汽車租賃公司操作。汽車管理單元501可以部署為管理系統(tǒng)后端302。

提供OBU 502作為汽車上的車載單元。OBU 502可以部署為中間節(jié)點100。

當(dāng)用戶在線或通過任何通信信道（電話、傳真等）租車，他或她可接收到“在線票”。在線票可以是密鑰碼或者是作為加密密鑰對88、89一半的用戶密鑰88。

所述密鑰對的另一個密鑰，運營商密鑰99（在圖5中稱為“汽車密鑰”或“密鑰C”）由租賃汽車汽車管理單元501在請求時或恰當(dāng)時發(fā)送給車載OBU的第三接口103，所述OBU可以部署為用戶應(yīng)當(dāng)獲得的汽車的中間節(jié)點100，其包含前述單元。

在下文中，提供了本發(fā)明的實施例。

隨后，當(dāng)用戶進(jìn)入汽車，他通過他的智能電話200在指定點短暫地“接觸”汽車。這實際上是NFC通信，稱為第二通信信道2，其中智能手機充當(dāng)一類RFID標(biāo)簽。

通過智能電話200向汽車發(fā)送的數(shù)據(jù)如下建立：

—智能電話200讀取用戶的標(biāo)識集合200i，例如IMSI或來自智能電話200中用戶的SIM卡的其他證書/標(biāo)識符，例如MSISDN。

—智能電話200使用用戶密鑰88加密用戶的證書/標(biāo)識集合200i，之前從汽車租賃公司的在線預(yù)定系統(tǒng)前端301已經(jīng)接收了所述用戶密鑰88。

—智能電話200通過第二通信信道2將加密信息作為參考消息22發(fā)送到汽車。

汽車如下處理所述數(shù)據(jù)：

—汽車使用運營商密鑰99來解密通過第二通信信道2接收的數(shù)據(jù)，具體是參考消息22。這可以由處理器105執(zhí)行。

—成功的解密指示用戶實際上具有有效的在線票。

—解密信息，驗證結(jié)果33，例如IMSI或者M(jìn)SISDN，現(xiàn)在轉(zhuǎn)發(fā)到比較器106。

車載WLAN接入點現(xiàn)在如下行為操作：

—比較器106，在已經(jīng)接收到驗證結(jié)果33之后，發(fā)起（或重新配置）WLAN接入點以開始或者繼續(xù)提供WLAN 1001，所述WLAN接入點可以部署為第一單元101。

—取決于上行移動網(wǎng)絡(luò)1000基礎(chǔ)設(shè)施，使用標(biāo)準(zhǔn)化的EAP類型認(rèn)證，像EAP-SIM/AKA/AKA’，或者由網(wǎng)絡(luò)運營商決定的其他認(rèn)證機制來建立WLAN 1001認(rèn)證過程。

用戶的智能電話200現(xiàn)在能夠通過嘗試標(biāo)準(zhǔn)化認(rèn)證來嘗試連接到WLAN 1001。不需要用戶電話的WLAN棧中的任何變化。

當(dāng)在比較器106幫助下第一單元101執(zhí)行WLAN認(rèn)證的初始步驟—建立WLAN用戶的身份—執(zhí)行下面的過程，其偏離，例如常規(guī)EAP-SIM/AKA/AKA’身份建立：

—第一單元101將數(shù)據(jù)傳送到比較器106以將其與驗證結(jié)果33進(jìn)行交叉檢驗，而不是僅使用作為EAP-SIM/AKA/AKA’身份建立的一部分接收的標(biāo)識集合200i，所述驗證結(jié)果33基于通過第二通信信道2接收的參考消息22由處理器105生成。

—只有標(biāo)識集合200i和充當(dāng)參考標(biāo)識集合的參考消息22相同，比較器106和第一單元101才繼續(xù)執(zhí)行常規(guī)身份建立，涉及運營商的基礎(chǔ)設(shè)施和從那里開始認(rèn)證。

—如果標(biāo)識集合200i和參考消息22不匹配，比較器106調(diào)整第一單元101以忽略或拒絕該特定的WLAN 用戶200—客戶/用戶不能獲得到WLAN的專用接入。在這種情況下向移動電話200和/或密鑰服務(wù)器300發(fā)送DENIED信號29作為接入已經(jīng)被拒絕的通知。

在下文中，相對于圖6呈現(xiàn)本發(fā)明的實施例，圖6示出相應(yīng)單元的操作和數(shù)據(jù)交換的序列圖。圖6提供了汽車用戶如何使用租賃汽車中的車內(nèi)接入點獲取到WLAN 1001接入的示例。在這個示例中，使用IMSI提供標(biāo)識集合200i（使用EAP-AKA身份建立作為EAP-AKA認(rèn)證的一部分）。

在密鑰服務(wù)器300執(zhí)行下列步驟。首先，生成用戶密鑰88和對應(yīng)運營商密鑰99。然后通過任何類型的通信信道（例如移動網(wǎng)絡(luò)連接）將用戶密鑰88發(fā)送到移動設(shè)備200。然后，將運營商密鑰99發(fā)送到第三接口103。最后兩個步驟的順序可以改變。發(fā)送運營商密鑰可以在第三接口103或中間節(jié)點100請求時或在任何恰當(dāng)時間發(fā)生。

根據(jù)實施例，在移動設(shè)備200和密鑰服務(wù)器300之間可以執(zhí)行額外的通信。例如，從設(shè)備200向密鑰服務(wù)器300發(fā)送請求以便指示用戶想要獲得WLAN接入。進(jìn)一步，驗證標(biāo)簽可以從密鑰服務(wù)器300發(fā)送到移動設(shè)備200。驗證標(biāo)簽指示由密鑰服務(wù)器300發(fā)布的第三方特定要求和/或其他評價（用戶是否支付了其移動電話賬單等）。

根據(jù)進(jìn)一步的實施例，如果已經(jīng)準(zhǔn)許到無線網(wǎng)絡(luò)的接入在設(shè)備200和/或在密鑰服務(wù)器300提供GRANT信號28。

根據(jù)進(jìn)一步的實施例，如果由中間節(jié)點100或其比較器106拒絕了接入在設(shè)備200和/或在密鑰服務(wù)器300提供DENIED信號29。

根據(jù)實施例，術(shù)語“應(yīng)用”接收的用戶密鑰88到標(biāo)識集合200i以便生成參考消息22通過使用用戶密鑰88加密標(biāo)識集合200i來執(zhí)行。這樣的優(yōu)點在于安全相關(guān)的標(biāo)識數(shù)據(jù)，例如IMSI，不會通過NFC在簡單文本中傳送，而僅以安全和保護（即加密）方式傳送。

根據(jù)另一個實施例，術(shù)語“應(yīng)用”要被理解為“組合”。標(biāo)識集合200i與接收的用戶密鑰88組合或連接。用戶密鑰88可以是具有元信息（時間戳等）的在線票。運營商密鑰99與用戶密鑰88關(guān)聯(lián)。根據(jù)本發(fā)明的進(jìn)一步的方面，運營商密鑰99等于用戶密鑰88。運營商密鑰99和用戶密鑰88無需是密鑰對。如上面所提到的，運營商密鑰99可以與數(shù)字憑證碼相關(guān)（即等于運營商密鑰）。

本發(fā)明具有多個優(yōu)點。根據(jù)本文呈現(xiàn)的解決方案提供中間節(jié)點和第一單元，使公司或WLAN熱點所有人能夠根據(jù)其自己的要求和配置限制其客戶的WLAN網(wǎng)絡(luò)接入。因此，通過用于交叉檢驗功能性的比較器106提供了提供特殊網(wǎng)絡(luò)接入的機制。移動設(shè)備200的用戶可以從第三方（即汽車租賃、咖啡店）得到使用該AP的特殊權(quán)利，所述第三方不同于網(wǎng)絡(luò)運營商。

所述解決方案提供用于提前通過輔助信道，具體是通過第二通信信道2向汽車接入點或用作接口的第二單元102安全傳輸經(jīng)處理形式的用戶的標(biāo)識數(shù)據(jù)（例如，IMSI或MSISDN）的可能性，所述用戶標(biāo)識數(shù)據(jù)是處于參考消息22的形式。

本發(fā)明提供用于通過“在線票”保護和加密標(biāo)識集合200i的機制，其可以實現(xiàn)為用戶密鑰88。

提供有驗證用戶擁有有效特殊無線網(wǎng)絡(luò)接入和/或在線票的有效機制。這種驗證通過經(jīng)由第二通信信道2接收的標(biāo)識集合200i的成功解密來指示。

所述解決方案執(zhí)行額外的交叉檢驗。也就是，使用該驗證結(jié)果33作為參考標(biāo)識集合來交叉檢驗作為WLAN身份建立一部分接收的標(biāo)識集合200i，使得僅持有有效在線票的用戶能夠接入WLAN。

網(wǎng)絡(luò)運營商不需要在其核心網(wǎng)絡(luò)中的任何特定配置以支持這些特殊接入點。

第三方（汽車租賃公司）能夠獨立于網(wǎng)絡(luò)運營商來出售在線票。即汽車租賃公司在線票基礎(chǔ)設(shè)施和網(wǎng)絡(luò)運營商的基礎(chǔ)設(shè)施不是連接的并且不需要為任何汽車預(yù)定交換任何數(shù)據(jù)。

用戶的標(biāo)識集合不需要給予到第三方（汽車租賃公司）。用戶的標(biāo)識集合仍然保留在用戶的智能電話200中并且僅安全地（加密）傳送到中間節(jié)點100的第二單元102。本發(fā)明沒有降低安全性。提前通過NFC向中間節(jié)點100的比較器106提供未加密的標(biāo)識集合不會降低安全性。第一單元101通過常規(guī)身份建立（通過第一通信信道）至少能夠看見一次相同的明文標(biāo)識集合。這是為什么實際上能夠比較身份信息。

網(wǎng)絡(luò)運營商不被強制每次都重新配置其AAA服務(wù)器400，此類特殊接入由第三方（提供服務(wù)，像汽車租賃、咖啡店、公共交通票等）準(zhǔn)許。WLAN基礎(chǔ)設(shè)施和AP通過其主要機制來相對于AAA服務(wù)器400進(jìn)行認(rèn)證并可能地執(zhí)行計費過程，因為通過網(wǎng)絡(luò)運營商的建立可能被被使用和再次使用。

關(guān)于安全和保密方面，租賃汽車公司不應(yīng)當(dāng)具有對網(wǎng)絡(luò)運營商的認(rèn)證基礎(chǔ)設(shè)施的接入。即，租賃汽車公司不能改變運營商的AAA服務(wù)器400中的權(quán)利。相反，如果僅使用EAP-SIM/AKA/AKA’這會是必要的。并且對于每個租車情況這都會發(fā)生。因此，這是本發(fā)明的主要優(yōu)點。

雖然與本發(fā)明的優(yōu)先實施例相關(guān)已經(jīng)描述了示例發(fā)明，要理解的是本描述僅是為了說明的目的。相應(yīng)地，預(yù)計的是本發(fā)明僅由這里所附權(quán)利要求的范圍限定。

附圖標(biāo)記

1 第一通信信道

2 第二通信信道，NFC信道

4 到移動網(wǎng)絡(luò)的接口

88 用戶密鑰

99 運營商密鑰或汽車密鑰

400 AAA服務(wù)器

1000 移動網(wǎng)絡(luò)

1001 無線網(wǎng)絡(luò)，WLAN

22 參考消息

200 移動設(shè)備

200i 標(biāo)識集合，具體指IMSI

203 用于存儲標(biāo)識集合的移動設(shè)備的內(nèi)部存儲

201 用于生成參考消息的消息生成器

33 驗證結(jié)果

100 中間節(jié)點

101 第一單元，具體指車內(nèi)WLAN AP

102 第二單元

103 第三接口

105 處理器

106 比較器

300 （第三方的）密鑰服務(wù)器

301 在線預(yù)定系統(tǒng)前端

302 管理系統(tǒng)后端

501 汽車管理單元

502 車載單元（OBU）

602車載單元（OBU）

603 OBU接入點