本公開涉及用于控制對(duì)無(wú)線網(wǎng)絡(luò)的接入的技術(shù)。具體地，公開了用于限制對(duì)WLAN網(wǎng)絡(luò)的接入的技術(shù)。

本解決方案可被實(shí)施用于通過無(wú)線通信信道通信并且也具有短距離通信接口的移動(dòng)設(shè)備。具體地，本解決方案可應(yīng)用于移動(dòng)設(shè)備的用戶參與在第三方基礎(chǔ)設(shè)施的場(chǎng)景中。進(jìn)一步，本解決方案應(yīng)用于接入點(diǎn)（AP）的認(rèn)證器。

背景技術(shù)：

擴(kuò)展認(rèn)證協(xié)議（EAP）是認(rèn)證的框架，具有從其衍生而來的許多認(rèn)證標(biāo)準(zhǔn)。EAP協(xié)議公開在“擴(kuò)展認(rèn)證協(xié)議（EAP）”，RFC 3748中（作為通過因特網(wǎng)的免費(fèi)下載可得到）。

一些衍生的標(biāo)準(zhǔn)指的是，例如：

—RFC 4186“用于全球移動(dòng)通信（GSM）訂戶身份模塊（EAP-SIM）的擴(kuò)展認(rèn)證協(xié)議方法”中公開的 EAP-SIM。

—RFC 4187“用于第三代認(rèn)證和密鑰協(xié)商（EAP-AKA）的擴(kuò)展認(rèn)證協(xié)議方法”中公開的EAP-AKA。

—RFC 5448“用于第三代認(rèn)證和密鑰協(xié)商（EAP-AKA’）的改進(jìn)的擴(kuò)展認(rèn)證協(xié)議方法”中公開的EAP-AKA’。

這些標(biāo)準(zhǔn)使用移動(dòng)電話SIM或USIM卡上的證書來識(shí)別，認(rèn)證和在WLAN上獲取認(rèn)證。也就是說，最初意在用于移動(dòng)寬帶接入的信息被用于獲取對(duì)另一種類型網(wǎng)絡(luò)（WLAN）的接入。其他EAP標(biāo)準(zhǔn)使用來自其他源的類似密鑰/證書材料。

基于EAP認(rèn)證的機(jī)制通常使用后端AAA服務(wù)器來認(rèn)證用戶。例如，支持EAP-SIM，EAP-AKA或者EAP-AKA’的WLAN接入點(diǎn)（AP）使用移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商的AAA服務(wù)器來認(rèn)證WLAN用戶。在AAA服務(wù)器預(yù)備（provision）的每個(gè)用戶將被準(zhǔn)許對(duì)AP（其相對(duì)于該特定的AAA服務(wù)器進(jìn)行認(rèn)證）的接入。

存在許多基于EAP認(rèn)證的機(jī)制。它們中的一些使用證書/身份/密鑰信息的某一形式來相對(duì)于WLAN接入點(diǎn)進(jìn)行認(rèn)證，其中實(shí)際認(rèn)證通過在后端使用某種形式的AAA服務(wù)器而發(fā)生，并且AP充當(dāng)運(yùn)行必要的協(xié)議和協(xié)議轉(zhuǎn)換的中間實(shí)例。

EAP-SIM/AKA/AKA’是這些認(rèn)證協(xié)議中的一些，其使用SIM或USIM證書。移動(dòng)運(yùn)營(yíng)商對(duì)這些協(xié)議是特別感興趣的，因?yàn)樗鼈冊(cè)试S將移動(dòng)網(wǎng)絡(luò)認(rèn)證基礎(chǔ)設(shè)施用于WLAN認(rèn)證。反過來，這允許移動(dòng)運(yùn)營(yíng)商在不需要移動(dòng)訂戶配置WLAN密碼等的情況下向其移動(dòng)訂戶提供WLAN接入（“熱點(diǎn)”）。由于認(rèn)證是基于SIM或USIM證書的，網(wǎng)絡(luò)運(yùn)營(yíng)商然后有能力使用其計(jì)費(fèi)基礎(chǔ)設(shè)施來為提供的WLAN服務(wù)向用戶計(jì)費(fèi)。

然而，存在不同的場(chǎng)景，其中不是在該AAA服務(wù)器預(yù)備的每個(gè)用戶都應(yīng)當(dāng)被準(zhǔn)許對(duì)AP的接入。相反，提供僅通過第三方已經(jīng)得到了特定接入權(quán)限的特定用戶應(yīng)當(dāng)被準(zhǔn)許接入的基礎(chǔ)設(shè)施應(yīng)當(dāng)是可能的。

當(dāng)存在相對(duì)于一些后臺(tái)AAA服務(wù)器進(jìn)行認(rèn)證的認(rèn)證協(xié)議時(shí)限制對(duì)WLAN的接入會(huì)要求改變?cè)摵笈_(tái)服務(wù)器中的認(rèn)證。然而，如果該后臺(tái)服務(wù)器由不同于準(zhǔn)許特定接入的實(shí)體的實(shí)體控制，那么會(huì)要求后者能夠接入前者的關(guān)鍵任務(wù)基礎(chǔ)設(shè)施，這不是期望的。

存在短距離無(wú)線通信技術(shù)的若干集合。短距離通信的示例是藍(lán)牙和近場(chǎng)通信（NFC）。NFC和藍(lán)牙都是可以集成到移動(dòng)設(shè)備（例如，智能手機(jī)）中的短距離通信技術(shù)。不同操作系統(tǒng)支持NFC，像例如安卓系統(tǒng)。NFC通常要求4cm或小于4cm的距離來發(fā)起連接。NFC允許在NFC標(biāo)簽和端設(shè)備之間或者兩個(gè)端設(shè)備之間共享小的數(shù)據(jù)載荷。標(biāo)簽可以具有不同復(fù)雜度。簡(jiǎn)單標(biāo)簽僅提供讀和寫情景，有時(shí)具有一次可編程區(qū)域來使得卡只讀（一次寫入，多次讀取WORM）。更加復(fù)雜的標(biāo)簽提供更多操作，并且具有加密硬件以認(rèn)證對(duì)扇區(qū)的接入。最復(fù)雜的標(biāo)簽包含操作環(huán)境，允許與執(zhí)行在標(biāo)簽上的代碼的復(fù)雜交互。存儲(chǔ)在標(biāo)簽上的數(shù)據(jù)也能夠以各種格式寫入。例如對(duì)于安卓系統(tǒng)，許多安卓框架API基于稱為NDEF（NFC數(shù)據(jù)交換格式）的NFC論壇標(biāo)準(zhǔn)。

技術(shù)實(shí)現(xiàn)要素：

存在對(duì)于用于限制對(duì)無(wú)線通信網(wǎng)絡(luò)的接入的技術(shù)的需求。存在對(duì)于基礎(chǔ)設(shè)施的需求，基于該基礎(chǔ)設(shè)施準(zhǔn)許用戶或客戶對(duì)WLAN的特別接入權(quán)限是可能的（如果他們被特別或者專門授權(quán)用于接入）。具體地，存在在用戶已經(jīng)租賃具有內(nèi)置WLAN熱點(diǎn)的汽車或者用戶是具有WLAN熱點(diǎn)的咖啡店的客戶時(shí)限制從用戶移動(dòng)設(shè)備對(duì)AP的接入的需求。由租車公司或者咖啡店店主操作或代表操作的第三方的服務(wù)器應(yīng)當(dāng)控制到WLAN的接入。限制WLAN接入需要以簡(jiǎn)單的方式進(jìn)行，對(duì)于每個(gè)（汽車或服務(wù)）預(yù)定情形不要求增加網(wǎng)絡(luò)運(yùn)營(yíng)商側(cè)的任何工作。并且所述限制不應(yīng)從應(yīng)當(dāng)被準(zhǔn)許該特別接入的用戶要求的太多的額外工作。

本發(fā)明體現(xiàn)在獨(dú)立權(quán)利要求中。有利的實(shí)施例在從屬權(quán)利要求中描述。

所述需求通過中間節(jié)點(diǎn)來滿足，所述中間節(jié)點(diǎn)用于限制請(qǐng)求對(duì)無(wú)線網(wǎng)絡(luò)的接入的移動(dòng)設(shè)備對(duì)無(wú)線網(wǎng)絡(luò)的接入，其中中間節(jié)點(diǎn)適合于通過第一通信信道并且通過第二通信信道進(jìn)行交互，所述第一通信信道是無(wú)線通信信道，所述第二通信信道是用于與移動(dòng)設(shè)備交互的短距離通信信道。所述中間節(jié)點(diǎn)進(jìn)一步包括用于通過第一通信信道接收移動(dòng)設(shè)備的標(biāo)識(shí)集合的第一單元。第一單元可以是車載WLAN AP。所述中間節(jié)點(diǎn)進(jìn)一步包括適合用于通過第二通信信道接收第二、不同參考消息的第二單元，以及所述中間節(jié)點(diǎn)包括到密鑰服務(wù)器的第三接口，其中所述中間節(jié)點(diǎn)適合于從密鑰服務(wù)器接收運(yùn)營(yíng)商密鑰。此外，所述中間節(jié)點(diǎn)包括處理器，所述處理器適合于將接收的運(yùn)營(yíng)商密鑰應(yīng)用到接收的參考消息以生成驗(yàn)證結(jié)果。最后，所述中間節(jié)點(diǎn)包括比較器，所述比較器適合于將驗(yàn)證結(jié)果與接收的標(biāo)識(shí)集合進(jìn)行比較，并且如果一致：充當(dāng)WLAN接入點(diǎn)的第一單元適合于使用標(biāo)識(shí)集合繼續(xù)用于接入無(wú)線網(wǎng)絡(luò)的認(rèn)證過程。

此外，所述需求通過一種方法來滿足，所述方法用于操作中間節(jié)點(diǎn)用于限制請(qǐng)求對(duì)無(wú)線網(wǎng)絡(luò)的接入的移動(dòng)設(shè)備對(duì)無(wú)線網(wǎng)絡(luò)的接入，其中所述中間節(jié)點(diǎn)通過第一通信信道和另一個(gè)第二通信信道與移動(dòng)設(shè)備交換數(shù)據(jù)并通過接口與密鑰服務(wù)器交換數(shù)據(jù)，所述第一通信信道是無(wú)線網(wǎng)絡(luò)。所述方法包括數(shù)個(gè)步驟。在第一步中從密鑰服務(wù)器接收運(yùn)營(yíng)商密鑰。在進(jìn)一步步驟中通過第二通信信道從移動(dòng)設(shè)備接收參考消息。在進(jìn)一步步驟中將接收的運(yùn)營(yíng)商密鑰應(yīng)用到接收的參考消息以生成驗(yàn)證結(jié)果。在進(jìn)一步步驟中通過第一通信信道從移動(dòng)設(shè)備接收標(biāo)識(shí)集合。在另一個(gè)步驟中將驗(yàn)證結(jié)果與接收的標(biāo)識(shí)集合進(jìn)行比較。如果一致，所述中間節(jié)點(diǎn)使用用于請(qǐng)求移動(dòng)設(shè)備的無(wú)線網(wǎng)絡(luò)接入標(biāo)識(shí)集合繼續(xù)認(rèn)證過程。

進(jìn)一步，所述需求通過用于接入無(wú)線網(wǎng)絡(luò)的移動(dòng)設(shè)備來滿足，所述無(wú)線網(wǎng)絡(luò)具有用于提供移動(dòng)設(shè)備的用戶的標(biāo)識(shí)集合的第一通信信道和用于移動(dòng)通信的第二通信信道。所述移動(dòng)設(shè)備包括內(nèi)部存儲(chǔ)，所述內(nèi)部存儲(chǔ)用于存儲(chǔ)移動(dòng)設(shè)備的用戶的標(biāo)識(shí)集合。所述移動(dòng)設(shè)備進(jìn)一步包括消息生成器，其適合用于從密鑰服務(wù)器接收用戶密鑰，并基于將接收的用戶密鑰應(yīng)用到標(biāo)識(shí)集合生成參考消息，并且其適合用于通過第二通信信道向中間節(jié)點(diǎn)發(fā)送參考消息。

進(jìn)一步，所述需求通過一種方法來滿足，所述方法用于操作用于接入具有第一通信信道和第二通信信道的無(wú)線網(wǎng)絡(luò)的移動(dòng)設(shè)備，所述第一通信信道是用于提供移動(dòng)設(shè)備的用戶的標(biāo)識(shí)集合的無(wú)線通信信道，所述第二通信信道用于短距離通信。所述方法包括數(shù)個(gè)步驟。在第一步中從密鑰服務(wù)器接收用戶密鑰。在進(jìn)一步步驟中接收移動(dòng)設(shè)備的用戶的標(biāo)識(shí)集合。在另一個(gè)步驟中通過將接收的用戶密鑰應(yīng)用到標(biāo)識(shí)集合來生成參考消息。在另一個(gè)步驟中通過第二通信信道將參考消息發(fā)送到中間節(jié)點(diǎn)。在進(jìn)一步步驟中通過第一通信信道將標(biāo)識(shí)集合發(fā)送到中間節(jié)點(diǎn)。

此外，所述需求通過接入系統(tǒng)來滿足，所述接入系統(tǒng)用于限制請(qǐng)求對(duì)無(wú)線網(wǎng)絡(luò)的接入的移動(dòng)設(shè)備對(duì)無(wú)線網(wǎng)絡(luò)的接入。所述接入系統(tǒng)包括請(qǐng)求對(duì)無(wú)線網(wǎng)絡(luò)的接入的移動(dòng)設(shè)備。所述移動(dòng)設(shè)備如上面提到的進(jìn)行配置。進(jìn)一步，所述接入系統(tǒng)包括中間節(jié)點(diǎn)。所述中間節(jié)點(diǎn)如上面提到的進(jìn)行配置。此外，所述接入系統(tǒng)包括密鑰服務(wù)器。所述密鑰服務(wù)器包括一個(gè)密鑰對(duì)生成模塊，其用于生成密鑰對(duì)的，并用于將用戶密鑰發(fā)送到移動(dòng)設(shè)備和將運(yùn)營(yíng)商密鑰發(fā)送到中間節(jié)點(diǎn)，所述密鑰對(duì)包括用戶密鑰和一一對(duì)應(yīng)關(guān)聯(lián)的運(yùn)營(yíng)商密鑰。

進(jìn)一步，設(shè)備節(jié)點(diǎn)適合于執(zhí)行如聯(lián)系將在對(duì)應(yīng)節(jié)點(diǎn)中執(zhí)行的對(duì)應(yīng)方法請(qǐng)求保護(hù)的所有步驟。

附圖說明

在下文中，將進(jìn)一步參考附圖中示出的示范實(shí)施例來描述本發(fā)明，其中：

圖1示意性示出根據(jù)實(shí)施例的在其他實(shí)體上下文中的中間節(jié)點(diǎn)的基礎(chǔ)設(shè)施；

圖2是根據(jù)實(shí)施例的中間節(jié)點(diǎn)中的方法的流程圖；

圖3是根據(jù)實(shí)施例的移動(dòng)設(shè)備中的方法的流程圖；

圖4示意性示出中間節(jié)點(diǎn)的實(shí)施例；

圖5示出根據(jù)實(shí)施例的相應(yīng)節(jié)點(diǎn)之間的序列圖和功能關(guān)聯(lián)；以及

圖6示出根據(jù)實(shí)施例的相應(yīng)節(jié)點(diǎn)之間的另一個(gè)序列圖和功能關(guān)聯(lián)。

具體實(shí)施方式

在下面的描述中，為了闡述和非限制性的目的，闡述了特定的細(xì)節(jié)，例如特定網(wǎng)絡(luò)環(huán)境和通信標(biāo)準(zhǔn)等，以便提供本發(fā)明的透徹理解。將對(duì)于本領(lǐng)域技術(shù)人員來說顯而易見的是本發(fā)明可以在背離這些特定細(xì)節(jié)的其他實(shí)施例中實(shí)施。例如，本領(lǐng)域技術(shù)人員將意識(shí)到本發(fā)明可以通過任何短距離通信網(wǎng)絡(luò)實(shí)施，像例如近場(chǎng)通信（NFC）或藍(lán)牙。作為另一個(gè)示例，本發(fā)明也可以在具有相應(yīng)的接口的任何移動(dòng)設(shè)備中實(shí)現(xiàn)，像智能手機(jī)，移動(dòng)手機(jī)，移動(dòng)計(jì)算機(jī)系統(tǒng)或者個(gè)人數(shù)字助理。

總的來說，提議提供一種用于基于從密鑰服務(wù)器預(yù)得到的認(rèn)證來限制移動(dòng)設(shè)備的無(wú)線網(wǎng)絡(luò)接入的技術(shù)，所述密鑰服務(wù)器由第三方提供和操作。密鑰服務(wù)器不同于網(wǎng)絡(luò)運(yùn)營(yíng)商或者網(wǎng)絡(luò)運(yùn)營(yíng)商的服務(wù)器。具體地，為接入點(diǎn)（AP）的認(rèn)證器功能提供額外功能性，因此也稱為擴(kuò)展認(rèn)證器。額外功能性指的是交叉檢驗(yàn)標(biāo)識(shí)集合形式的移動(dòng)設(shè)備用戶的身份與驗(yàn)證結(jié)果，所述驗(yàn)證結(jié)果充當(dāng)參考標(biāo)識(shí)集合并且是基于參考消息的。所述標(biāo)識(shí)集合和參考消息通過不同通信信道提供。標(biāo)識(shí)集合可以根據(jù)標(biāo)準(zhǔn)EAP-SIM，EAP-AKA，EAP-AKA’和/或其他任何合適的認(rèn)證過程傳輸和處理。提議的解決方案基于通過第一通信信道的標(biāo)識(shí)集合的傳輸，例如移動(dòng)設(shè)備的IMSI，和使用由密鑰服務(wù)器生成的用戶密鑰以參考消息的形式（包括已處理形式的標(biāo)識(shí)集合）的通過獨(dú)立附加（或第二）通信信道（例如NFC）的參考消息的安全傳輸。

移動(dòng)設(shè)備對(duì)WLAN網(wǎng)絡(luò)接入的許可或不許可基于要求要由設(shè)備滿足所述要求，這由第三方服務(wù)器定義。具體地，無(wú)線網(wǎng)絡(luò)接入的許可或不許可基于包括用戶密鑰和運(yùn)營(yíng)商密鑰的密鑰對(duì)。

在下文中給出了本申請(qǐng)中使用的術(shù)語(yǔ)的定義。

中間節(jié)點(diǎn)可以是一個(gè)中繼實(shí)例，用于用戶電話到WLAN的特定認(rèn)證的數(shù)據(jù)交換的路由器或者交換機(jī)，其基于第三方服務(wù)器和AAA服務(wù)器的認(rèn)證。根據(jù)第一實(shí)施例，中間節(jié)點(diǎn)是車載單元。根據(jù)第二個(gè)實(shí)施例，中間節(jié)點(diǎn)是用于無(wú)線網(wǎng)絡(luò)接入的中間硬件單元，安裝在咖啡店或者商店中。中間節(jié)點(diǎn)可以包括作為不同軟件和/或硬件模塊的第一和第二單元，第三接口，處理器和比較器。根據(jù)實(shí)施例，前面提到的模塊可以組合成一個(gè)單個(gè)或者至少兩個(gè)單獨(dú)的模塊。然而，優(yōu)選地，處理器和比較器要實(shí)現(xiàn)為單獨(dú)的實(shí)例。備選地，比較器和第一單元組合成公共單元。

通常，這些模塊的分離或組合必須解釋為功能性的?？梢詫⒉煌δ芙M合到一個(gè)模塊和/或?qū)⑻囟üδ芊指畹蕉嘤谝粋€(gè)模塊上。因此，中間節(jié)點(diǎn)可以實(shí)現(xiàn)為硬件節(jié)點(diǎn)，但也可以實(shí)現(xiàn)為包含不同硬件單元的虛擬節(jié)點(diǎn)。當(dāng)部署與中間節(jié)點(diǎn)分離的單元或部分時(shí)，剩余中間節(jié)點(diǎn)仍然可稱為車載單元。

第一單元可以是用于接收標(biāo)識(shí)集合的接口，并且具體指無(wú)線接口。

第二單元可以是接口，具體指短距離接口，像特別是NFC或藍(lán)牙。第二單元適合用于從移動(dòng)設(shè)備接收參考消息。第二單元可以集成到處理器，和/或前面提到的中間節(jié)點(diǎn)的其他模塊中。

處理器可以部署為中間節(jié)點(diǎn)中的獨(dú)立單元。處理器可以被看認(rèn)為是驗(yàn)證器，其適合于驗(yàn)證處理器是否能夠解密參考消息。如果是，根據(jù)用戶實(shí)際上具有有效的在線票的實(shí)施例，處理器生成驗(yàn)證結(jié)果，指示發(fā)布到相應(yīng)用戶的第三方生成的用戶密鑰與第三方生成的運(yùn)營(yíng)商密鑰匹配，并且因此確認(rèn)用戶密鑰是有效的。

比較器可以部署為單元或者可以被解釋在傳感器或擴(kuò)展驗(yàn)證器中。其可以提供為中間節(jié)點(diǎn)中的獨(dú)立單元或者可以是第一單元的一部分。處理器和比較器兩者可以都是或者可以都不是中間節(jié)點(diǎn)的一部分。根據(jù)實(shí)施例，中間節(jié)點(diǎn)的所有單元都位于汽車中。

中間節(jié)點(diǎn)的處理器、比較器和/或其他單元可以實(shí)現(xiàn)為嵌入式系統(tǒng)。嵌入式系統(tǒng)是硬件和軟件模塊的組合，包括微處理器或受限于計(jì)算功率和/或存儲(chǔ)器大小的其他數(shù)字計(jì)算電路，因?yàn)槠淝度耄ɡ?，?nèi)建）到另一產(chǎn)品中。嵌入式系統(tǒng)預(yù)期在無(wú)人干預(yù)的情況下起作用。嵌入式系統(tǒng)的示例是存儲(chǔ)在只讀存儲(chǔ)器（ROM）中的微計(jì)算機(jī)和軟件，只讀存儲(chǔ)器在打開時(shí)開始運(yùn)行存儲(chǔ)的程序并且直到其關(guān)閉才停止。

移動(dòng)網(wǎng)絡(luò)可以是移動(dòng)寬帶網(wǎng)絡(luò)，3G，4G或其他網(wǎng)絡(luò)技術(shù)。移動(dòng)網(wǎng)絡(luò)可提供通過接入點(diǎn)到更廣因特網(wǎng)的連接（但僅在用戶被準(zhǔn)許到WLAN的接入之后）。這賦予用戶在本地覆蓋區(qū)域中到處移動(dòng)并仍然連接到因特網(wǎng)的能力。WLAN可以基于IEEE 802.11標(biāo)準(zhǔn)。

移動(dòng)設(shè)備可以是智能電話，移動(dòng)電話或具有至少兩個(gè)獨(dú)立接口的其他移動(dòng)計(jì)算設(shè)備，具體地包括無(wú)線接口和短距離接口。當(dāng)請(qǐng)求到無(wú)線網(wǎng)絡(luò)的特殊接入的權(quán)利時(shí)，智能電話應(yīng)當(dāng)位于第二單元以便能夠通過短距離接口交換數(shù)據(jù)。本申請(qǐng)中呈現(xiàn)的解決方案涉及多個(gè)移動(dòng)設(shè)備。因此，并行提供多個(gè)移動(dòng)設(shè)備的特殊無(wú)線網(wǎng)絡(luò)接入是可能的。為了清楚的目的，在權(quán)利要求中僅明確提到了多個(gè)移動(dòng)設(shè)備中的一個(gè)。

消息生成器是模塊，其可以在軟件和/或硬件中實(shí)現(xiàn)。其向移動(dòng)設(shè)備提供額外功能性用于獲得特殊網(wǎng)絡(luò)接入。

第一通信信道是無(wú)線通信信道，其可以用于傳輸根據(jù)EAP協(xié)議或其他任何合適協(xié)議中的一個(gè)的數(shù)據(jù)的傳輸。根據(jù)實(shí)施例，第一通信信道是想要接入的WLAN的信令信道。

第二通信信道是短距離通信信道，其可以是NFC或者藍(lán)牙連接。第二通信信道通過中間節(jié)點(diǎn)或其模塊連接到移動(dòng)設(shè)備。根據(jù)實(shí)施例，第二通信信道可僅用于一個(gè)方向（從設(shè)備到中間節(jié)點(diǎn)）。根據(jù)另一個(gè)實(shí)施例，后一個(gè)信道用于雙向數(shù)據(jù)交換。

標(biāo)識(shí)集合包括用戶的IMSI和/或來自用戶的SIM卡，USIM卡或任何其他類型的智能電話中的身份確認(rèn)或身份提供單元的其他證書或識(shí)別符，例如MSISDN。標(biāo)識(shí)集合與移動(dòng)設(shè)備或其用戶唯一地關(guān)聯(lián)。標(biāo)識(shí)集合存儲(chǔ)在設(shè)備的內(nèi)部存儲(chǔ)中。內(nèi)部存儲(chǔ)可以與用戶SIM卡，USIM卡或任何其他類型的身份確認(rèn)或身份提供單元組合或者由其提供，或者其可以是設(shè)備中的獨(dú)立內(nèi)部存儲(chǔ)。

參考消息與標(biāo)識(shí)集合關(guān)聯(lián)并且可與經(jīng)處理形式的標(biāo)識(shí)集合相關(guān)。標(biāo)識(shí)集合和參考消息兩者都是數(shù)字?jǐn)?shù)據(jù)集合并且用于到無(wú)線網(wǎng)絡(luò)的用戶接入權(quán)利的交叉檢驗(yàn)。

第三方可以是任何服務(wù)功能性，向用戶提供服務(wù)。第三方負(fù)責(zé)定義到無(wú)線網(wǎng)絡(luò)的特殊接入權(quán)限。密鑰服務(wù)器由第三方操作或者代表第三方操作。第三方，例如可以是汽車租賃基礎(chǔ)設(shè)施或者咖啡店主。應(yīng)當(dāng)理解的是其他實(shí)施例涉及其他任何基礎(chǔ)設(shè)施情形，像例如公共交通提供商或商店提供商，他們?cè)谄淇蛻魸M足要求時(shí)希望準(zhǔn)許其客戶特殊網(wǎng)絡(luò)接入權(quán)利。所述要求由第三方定義。

密鑰服務(wù)器可以是任何服務(wù)器或者服務(wù)器基礎(chǔ)設(shè)施。密鑰服務(wù)器可包括前端和后端系統(tǒng)。密鑰服務(wù)器和中間節(jié)點(diǎn)例如根據(jù)http協(xié)議，通過包括電子郵件，sms和其他的消息通信。它們可以和中間節(jié)點(diǎn)和AAA服務(wù)器一樣在相同的移動(dòng)網(wǎng)絡(luò)上通信。備選地，密鑰服務(wù)器和中間節(jié)點(diǎn)之間的連接網(wǎng)絡(luò)是獨(dú)立或者不同網(wǎng)絡(luò)。具有其密鑰服務(wù)器的第三方與網(wǎng)絡(luò)運(yùn)營(yíng)商協(xié)作，但與網(wǎng)絡(luò)運(yùn)營(yíng)商的AAA服務(wù)器相獨(dú)立地操作密鑰服務(wù)器。密鑰服務(wù)器和移動(dòng)設(shè)備通過無(wú)線網(wǎng)絡(luò)，或者也通過前面提到的其他任何類型的合適通信系統(tǒng)交互。用戶密鑰，例如可以在通過通信網(wǎng)絡(luò)傳輸數(shù)據(jù)集的情況下得到，或者用戶需要人工向移動(dòng)設(shè)備輸入密鑰碼。

運(yùn)營(yíng)商密鑰和用戶密鑰由密鑰服務(wù)器或者由第三方，例如汽車租賃公司提供或操作的模塊生成。根據(jù)第一實(shí)施例，密鑰是加密密鑰對(duì)。密鑰對(duì)可以根據(jù)對(duì)稱或非對(duì)稱密鑰生成算法來生成。根據(jù)進(jìn)一步的實(shí)施例，密鑰對(duì)可以指的是數(shù)字憑證碼和唯一關(guān)聯(lián)的參考憑證碼。因此，用戶密鑰可以是用于預(yù)訂操作密鑰服務(wù)器的服務(wù)提供商的服務(wù)（例如汽車租賃，公共交通票）的在線票。

圖1描繪了根據(jù)本發(fā)明實(shí)施例的提供的基礎(chǔ)設(shè)施的構(gòu)架。

移動(dòng)設(shè)備200，至少具有兩個(gè)不同接口，用于WLAN通信的第一通信信道1和用于短距離通信，像NFC的第二通信信道2。移動(dòng)設(shè)備200與中間節(jié)點(diǎn)100交互，在第一實(shí)施例中中間節(jié)點(diǎn)可以部署為汽車租賃車隊(duì)的汽車中的OBU。對(duì)于無(wú)線網(wǎng)絡(luò)認(rèn)證，可以使用不同的過程，像基于EAP的認(rèn)證，例如EAP-SIM/AKA/AKA’認(rèn)證協(xié)議（使用SIM或者USIM證書），其作為標(biāo)識(shí)集合200i存儲(chǔ)在移動(dòng)設(shè)備200上。標(biāo)識(shí)集合200i用于相對(duì)于WLAN接入點(diǎn)進(jìn)行認(rèn)證，所述WLAN接入點(diǎn)可以實(shí)現(xiàn)為第一單元101，其中通過使用后端節(jié)點(diǎn)中的AAA服務(wù)器400運(yùn)行認(rèn)證過程。因此，中間節(jié)點(diǎn)100充當(dāng)中間實(shí)例，運(yùn)行協(xié)議和轉(zhuǎn)換。標(biāo)識(shí)集合200i使用合適的EAP消息在第一通信信道1上發(fā)送。在圖1中移動(dòng)網(wǎng)絡(luò)通過附圖標(biāo)記1000表示。將要準(zhǔn)許接入的WLAN網(wǎng)絡(luò)（也稱為無(wú)線網(wǎng)絡(luò)）標(biāo)記為1001。到移動(dòng)網(wǎng)絡(luò)的接口4用于中間節(jié)點(diǎn)100或其第一單元101和移動(dòng)網(wǎng)絡(luò)1000中的AAA服務(wù)器400之間的通信。

密鑰服務(wù)器300由第三方操作或代表第三方操作。第三方負(fù)責(zé)定義到無(wú)線網(wǎng)絡(luò)1001的特殊接入權(quán)利。

如上面提到的，根據(jù)第一實(shí)施例，第三方可以是汽車租賃公司。為將要租賃的汽車提供車載單元（OBU）。OBU可以部署為中間節(jié)點(diǎn)100（帶有其單元）。處理器105包括第二單元102或者與第二單元102交互，第二單元102部署為NFC接口。處理器105適合于與第三接口103通信以用于接收運(yùn)營(yíng)商密鑰99。在實(shí)施例中，運(yùn)營(yíng)商密鑰99可以是運(yùn)營(yíng)商密鑰（也稱為：汽車密鑰）。處理器105與比較器106對(duì)接。比較器106又與第一單元101連接。汽車租賃公司的客戶通過其移動(dòng)電話200進(jìn)行交互。如果客戶已經(jīng)租賃汽車并使用汽車，他可以被準(zhǔn)許特殊WLAN接入權(quán)利。

根據(jù)第二個(gè)實(shí)施例，第三方可以是具有WLAN接入點(diǎn)（AP）的咖啡店或者商店。WLAN AP可部署為中間節(jié)點(diǎn)100的一部分?？Х鹊昊蛏痰晏峁┪挥谄?，商店或商場(chǎng)中的中間節(jié)點(diǎn)100或代表移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商操作該節(jié)點(diǎn)。如果客戶在店中購(gòu)買商品或者滿足其他接入要求（例如，通過要求服務(wù)，兌換積分或者憑證等）其就被準(zhǔn)許特殊WLAN接入權(quán)利。用戶/客戶一旦或在最初位于汽車或商店等附近時(shí)就能夠使用該特殊WLAN接入權(quán)利，尤其是在適用NFC通信的短距離通信距離中。

在用戶期望從其移動(dòng)電話200的WLAN網(wǎng)絡(luò)接入的情況下，他在購(gòu)買商品、租賃汽車或滿足其他要求時(shí)等待接收用戶密鑰88。用戶密鑰88由密鑰服務(wù)器發(fā)布作為密鑰對(duì)的一部分，所述密鑰對(duì)包括用戶密鑰88和運(yùn)營(yíng)商密鑰99。密鑰對(duì)的另一部分，運(yùn)營(yíng)商密鑰99，發(fā)送到第三接口103，第三接口103是中間節(jié)點(diǎn)100的一部分。

在移動(dòng)設(shè)備200上提供消息生成器201。消息生成器201適合用于從密鑰服務(wù)器300接收用戶密鑰88，具體地從密鑰服務(wù)器300的在線預(yù)訂系統(tǒng)前端301。

密鑰服務(wù)器300的后端管理系統(tǒng)302適合于將運(yùn)營(yíng)商密鑰99作為生成的密鑰對(duì)的一部分發(fā)送到第三接口103或者一般地發(fā)送到中間節(jié)點(diǎn)100。

當(dāng)用戶隨后或者實(shí)際從其移動(dòng)電話200請(qǐng)求WLAN網(wǎng)絡(luò)接入時(shí)，他要位于租賃汽車內(nèi)或者商店內(nèi)。移動(dòng)設(shè)備200上的消息生成器201進(jìn)一步適合于基于將先前接收的用戶密鑰88應(yīng)用到標(biāo)識(shí)集合200i來生成參考消息22，并適合用于將參考消息22發(fā)送到中間節(jié)點(diǎn)100，具體是通過第二通信信道2（例如NFC信道）發(fā)送到中間節(jié)點(diǎn)100（如圖1中所示）的第二單元102。

接收的參考消息22通過第二單元102提供到處理器105。進(jìn)一步，從或者通過第三接口103向處理器105提供接收的運(yùn)營(yíng)商密鑰99。在被提供了這兩個(gè)數(shù)據(jù)集合之后，處理器105適合于將接收的運(yùn)營(yíng)商密鑰99應(yīng)用到接收的參考消息22以生成驗(yàn)證結(jié)果33。驗(yàn)證結(jié)果33用作交叉檢驗(yàn)的參考標(biāo)識(shí)集合。將驗(yàn)證結(jié)果33提供給比較器106。由于移動(dòng)設(shè)備200的一部分想要獲取WLAN接入，其通過第一通信信道傳輸標(biāo)識(shí)集合200i。

第一通信信道1通常是想要接入的WLAN 1001的一部分。

在中間節(jié)點(diǎn)100中，通過第一通信信道1和無(wú)線網(wǎng)絡(luò)1001接收標(biāo)識(shí)集合200i。之前，通過不同無(wú)線第二通信信道2（例如NFC）接收參考消息22并且之前通過第三接口103接收了運(yùn)營(yíng)商密鑰99，并且生成驗(yàn)證結(jié)果33并提供給比較器。

比較器106適合于將驗(yàn)證結(jié)果33與接收的標(biāo)識(shí)集合200i比較，所述標(biāo)識(shí)集合200i已經(jīng)由第一單元101接收并解碼，并且也已經(jīng)提供給比較器106。如果（接收的標(biāo)識(shí)集合200i與接收的驗(yàn)證結(jié)果33）一致，比較器106調(diào)整WLAN接入點(diǎn)以繼續(xù)使用標(biāo)識(shí)集合200i進(jìn)行用于接入無(wú)線網(wǎng)絡(luò)1001的認(rèn)證過程。在圖1中，這通過在比較器106開始并指向第一單元101的箭頭表示。WLAN 1001的認(rèn)證過程（涉及經(jīng)由上行接口4的移動(dòng)網(wǎng)絡(luò)1000中的AAA服務(wù)器）根據(jù)適用的EAP標(biāo)準(zhǔn)之一或任意其他適用協(xié)議來執(zhí)行。

如果標(biāo)識(shí)集合200i和驗(yàn)證結(jié)果33不匹配或者存在其他錯(cuò)誤，則不會(huì)執(zhí)行認(rèn)證過程并且也不會(huì)準(zhǔn)許對(duì)WLAN 1001的接入。

如圖4中示出的實(shí)施例中所描繪的，第一單元101可包括比較器106。第二單元102可以是處理器105的一部分并且可以部署為NFC接口，其適合于通過第二通信信道2（短距離）接收參考消息22。第三接口103也可以是處理器105的一部分。處理器105和第一單元101通過合適的接口（包括軟件和通信接口）對(duì)接。處理器105適合于將接收的運(yùn)營(yíng)商密鑰99應(yīng)用到接收的參考消息22以便生成驗(yàn)證結(jié)果33。比較器106適合于運(yùn)行額外的交叉檢驗(yàn)。具體地，比較器106適合于將從處理器105接收的驗(yàn)證結(jié)果33與接收的標(biāo)識(shí)集合200i進(jìn)行比較。如果一致：比較器106適合于觸發(fā)第一單元101以使用標(biāo)識(shí)集合200i、驗(yàn)證結(jié)果33、或二者的組合或適合用于建立身份的其他任何信息來繼續(xù)用于接入無(wú)線網(wǎng)絡(luò)1001的認(rèn)證過程。

在下文中，本發(fā)明的實(shí)施例相對(duì)于圖2來呈現(xiàn)，圖2示出在中間節(jié)點(diǎn)100將要執(zhí)行的步驟的流程圖。

在步驟S21中，從密鑰服務(wù)器300接收運(yùn)營(yíng)商密鑰99。

在步驟S22中，通過第二通信信道2接收來自移動(dòng)設(shè)備200的參考消息22。

在步驟S23中，將接收的運(yùn)營(yíng)商密鑰99應(yīng)用于接收的參考消息22以生成驗(yàn)證結(jié)果33。驗(yàn)證結(jié)果33用作交叉檢驗(yàn)的參考標(biāo)識(shí)集合。

在步驟S24中，通過第一通信信道1接收來自移動(dòng)設(shè)備200的標(biāo)識(shí)集合200i。

在步驟S25中，將驗(yàn)證結(jié)果33與接收的標(biāo)識(shí)集合200i進(jìn)行比較。

僅在一致的情況下，準(zhǔn)許無(wú)線接入并且在步驟S26中使用標(biāo)識(shí)集合200i（用于請(qǐng)求移動(dòng)設(shè)備20）執(zhí)行（標(biāo)準(zhǔn)）認(rèn)證過程。否則（在不匹配的情況下）拒絕接入。

然而，必須注意的是，所述方法步驟的序列是可以改變的。因此，在其他實(shí)施例中在步驟S22之后執(zhí)行步驟S21也是可能的。

根據(jù)實(shí)施例，可以將信號(hào)提供給移動(dòng)設(shè)備200和/或密鑰服務(wù)器300。所述信號(hào)表示特殊網(wǎng)絡(luò)接入或者拒絕狀態(tài)。如果在步驟S25中特殊接入已經(jīng)被評(píng)估為可以準(zhǔn)許的，S26中可通過第一通信信道1和/或第二通信信道2向設(shè)備200傳送GRANT信號(hào)28（參見圖1）。進(jìn)一步，GRANT信號(hào)28可以傳送到密鑰服務(wù)器300和/或其他單元。進(jìn)一步，在移動(dòng)設(shè)備200的用戶接口上提供GRANT和/或DENIED信號(hào)28、29以便通知用戶專用的無(wú)線網(wǎng)絡(luò)認(rèn)證過程的狀態(tài)。

此外，如果拒絕了網(wǎng)絡(luò)接入，通過第一通信信道1和/或第二通信信道2向設(shè)備200傳送DENIED信號(hào)29（參見圖1）。進(jìn)一步，DENIED信號(hào)29可以傳送到密鑰服務(wù)器300和/或其他單元。

在下文中，本發(fā)明的實(shí)施例相對(duì)于圖3來呈現(xiàn)，圖3示出在移動(dòng)設(shè)備200將要執(zhí)行的步驟的流程圖。

在步驟S31中，優(yōu)選地，通過無(wú)線接口從密鑰服務(wù)器300接收用戶密鑰88，包括通過電子郵件、sms、傳真和/或其他通信協(xié)議發(fā)送的消息。

在步驟S32中，具體地，向消息生成器201提供移動(dòng)設(shè)備200的標(biāo)識(shí)集合200i。

在步驟S33中，通過將接收的用戶密鑰88應(yīng)用到標(biāo)識(shí)集合200i來生成參考消息22。

在步驟S34中，通過第二通信信道2（例如NFC）向中間節(jié)點(diǎn)100或者第二單元102發(fā)送參考消息22。

在步驟S35中，通過第一通信信道1向中間節(jié)點(diǎn)100，具體地向第一單元101，發(fā)送標(biāo)識(shí)集合200i。

通常，步驟S35在步驟S34之后執(zhí)行，因?yàn)閷?duì)于部署為WLAN AP的第一單元101，接收信號(hào)時(shí)僅能等待短時(shí)間段（因?yàn)橄鄳?yīng)的（EAP）協(xié)議中的超時(shí)(timeout)）。然而，必須注意的是，所述方法步驟的順序是可以改變的。因此，在其他實(shí)施例中也可能在步驟S35之后執(zhí)行步驟S34。進(jìn)一步，可能先運(yùn)行步驟S35，例如在要在移動(dòng)設(shè)備200上執(zhí)行的方法步驟開始時(shí)。

如上面所提到的，第一實(shí)施例涉及向在（將要租賃的）汽車上提供的無(wú)線網(wǎng)絡(luò)提供特殊網(wǎng)絡(luò)接入。如下所述相對(duì)于圖5說明汽車租賃網(wǎng)絡(luò)接入和系統(tǒng)的操作。

圖5涉及在汽車租賃情形中的動(dòng)作、步驟和/或事件的一種可能順序。然而，其他順序或?qū)嵤├彩强赡艿?。圖5中的“汽車用戶”表示想要租車或者預(yù)定另一服務(wù)的某人。智能電話200是汽車用戶的智能電話，用于在線預(yù)定/租賃汽車。預(yù)定系統(tǒng)301是用于租車的在線預(yù)定系統(tǒng)前端，由汽車租賃公司提供，或代表汽車租賃公司提供。汽車管理單元501是用于管理租賃汽車車隊(duì)的后端管理系統(tǒng)，由汽車租賃公司提供，或代表汽車租賃公司操作。汽車管理單元501可以部署為管理系統(tǒng)后端302。

提供OBU 502作為汽車上的車載單元。OBU 502可以部署為中間節(jié)點(diǎn)100。

當(dāng)用戶在線或通過任何通信信道（電話、傳真等）租車，他或她可接收到“在線票”。在線票可以是密鑰碼或者是作為加密密鑰對(duì)88、89一半的用戶密鑰88。

所述密鑰對(duì)的另一個(gè)密鑰，運(yùn)營(yíng)商密鑰99（在圖5中稱為“汽車密鑰”或“密鑰C”）由租賃汽車汽車管理單元501在請(qǐng)求時(shí)或恰當(dāng)時(shí)發(fā)送給車載OBU的第三接口103，所述OBU可以部署為用戶應(yīng)當(dāng)獲得的汽車的中間節(jié)點(diǎn)100，其包含前述單元。

在下文中，提供了本發(fā)明的實(shí)施例。

隨后，當(dāng)用戶進(jìn)入汽車，他通過他的智能電話200在指定點(diǎn)短暫地“接觸”汽車。這實(shí)際上是NFC通信，稱為第二通信信道2，其中智能手機(jī)充當(dāng)一類RFID標(biāo)簽。

通過智能電話200向汽車發(fā)送的數(shù)據(jù)如下建立：

—智能電話200讀取用戶的標(biāo)識(shí)集合200i，例如IMSI或來自智能電話200中用戶的SIM卡的其他證書/標(biāo)識(shí)符，例如MSISDN。

—智能電話200使用用戶密鑰88加密用戶的證書/標(biāo)識(shí)集合200i，之前從汽車租賃公司的在線預(yù)定系統(tǒng)前端301已經(jīng)接收了所述用戶密鑰88。

—智能電話200通過第二通信信道2將加密信息作為參考消息22發(fā)送到汽車。

汽車如下處理所述數(shù)據(jù)：

—汽車使用運(yùn)營(yíng)商密鑰99來解密通過第二通信信道2接收的數(shù)據(jù)，具體是參考消息22。這可以由處理器105執(zhí)行。

—成功的解密指示用戶實(shí)際上具有有效的在線票。

—解密信息，驗(yàn)證結(jié)果33，例如IMSI或者M(jìn)SISDN，現(xiàn)在轉(zhuǎn)發(fā)到比較器106。

車載WLAN接入點(diǎn)現(xiàn)在如下行為操作：

—比較器106，在已經(jīng)接收到驗(yàn)證結(jié)果33之后，發(fā)起（或重新配置）WLAN接入點(diǎn)以開始或者繼續(xù)提供WLAN 1001，所述WLAN接入點(diǎn)可以部署為第一單元101。

—取決于上行移動(dòng)網(wǎng)絡(luò)1000基礎(chǔ)設(shè)施，使用標(biāo)準(zhǔn)化的EAP類型認(rèn)證，像EAP-SIM/AKA/AKA’，或者由網(wǎng)絡(luò)運(yùn)營(yíng)商決定的其他認(rèn)證機(jī)制來建立WLAN 1001認(rèn)證過程。

用戶的智能電話200現(xiàn)在能夠通過嘗試標(biāo)準(zhǔn)化認(rèn)證來嘗試連接到WLAN 1001。不需要用戶電話的WLAN棧中的任何變化。

當(dāng)在比較器106幫助下第一單元101執(zhí)行WLAN認(rèn)證的初始步驟—建立WLAN用戶的身份—執(zhí)行下面的過程，其偏離，例如常規(guī)EAP-SIM/AKA/AKA’身份建立：

—第一單元101將數(shù)據(jù)傳送到比較器106以將其與驗(yàn)證結(jié)果33進(jìn)行交叉檢驗(yàn)，而不是僅使用作為EAP-SIM/AKA/AKA’身份建立的一部分接收的標(biāo)識(shí)集合200i，所述驗(yàn)證結(jié)果33基于通過第二通信信道2接收的參考消息22由處理器105生成。

—只有標(biāo)識(shí)集合200i和充當(dāng)參考標(biāo)識(shí)集合的參考消息22相同，比較器106和第一單元101才繼續(xù)執(zhí)行常規(guī)身份建立，涉及運(yùn)營(yíng)商的基礎(chǔ)設(shè)施和從那里開始認(rèn)證。

—如果標(biāo)識(shí)集合200i和參考消息22不匹配，比較器106調(diào)整第一單元101以忽略或拒絕該特定的WLAN 用戶200—客戶/用戶不能獲得到WLAN的專用接入。在這種情況下向移動(dòng)電話200和/或密鑰服務(wù)器300發(fā)送DENIED信號(hào)29作為接入已經(jīng)被拒絕的通知。

在下文中，相對(duì)于圖6呈現(xiàn)本發(fā)明的實(shí)施例，圖6示出相應(yīng)單元的操作和數(shù)據(jù)交換的序列圖。圖6提供了汽車用戶如何使用租賃汽車中的車內(nèi)接入點(diǎn)獲取到WLAN 1001接入的示例。在這個(gè)示例中，使用IMSI提供標(biāo)識(shí)集合200i（使用EAP-AKA身份建立作為EAP-AKA認(rèn)證的一部分）。

在密鑰服務(wù)器300執(zhí)行下列步驟。首先，生成用戶密鑰88和對(duì)應(yīng)運(yùn)營(yíng)商密鑰99。然后通過任何類型的通信信道（例如移動(dòng)網(wǎng)絡(luò)連接）將用戶密鑰88發(fā)送到移動(dòng)設(shè)備200。然后，將運(yùn)營(yíng)商密鑰99發(fā)送到第三接口103。最后兩個(gè)步驟的順序可以改變。發(fā)送運(yùn)營(yíng)商密鑰可以在第三接口103或中間節(jié)點(diǎn)100請(qǐng)求時(shí)或在任何恰當(dāng)時(shí)間發(fā)生。

根據(jù)實(shí)施例，在移動(dòng)設(shè)備200和密鑰服務(wù)器300之間可以執(zhí)行額外的通信。例如，從設(shè)備200向密鑰服務(wù)器300發(fā)送請(qǐng)求以便指示用戶想要獲得WLAN接入。進(jìn)一步，驗(yàn)證標(biāo)簽可以從密鑰服務(wù)器300發(fā)送到移動(dòng)設(shè)備200。驗(yàn)證標(biāo)簽指示由密鑰服務(wù)器300發(fā)布的第三方特定要求和/或其他評(píng)價(jià)（用戶是否支付了其移動(dòng)電話賬單等）。

根據(jù)進(jìn)一步的實(shí)施例，如果已經(jīng)準(zhǔn)許到無(wú)線網(wǎng)絡(luò)的接入在設(shè)備200和/或在密鑰服務(wù)器300提供GRANT信號(hào)28。

根據(jù)進(jìn)一步的實(shí)施例，如果由中間節(jié)點(diǎn)100或其比較器106拒絕了接入在設(shè)備200和/或在密鑰服務(wù)器300提供DENIED信號(hào)29。

根據(jù)實(shí)施例，術(shù)語(yǔ)“應(yīng)用”接收的用戶密鑰88到標(biāo)識(shí)集合200i以便生成參考消息22通過使用用戶密鑰88加密標(biāo)識(shí)集合200i來執(zhí)行。這樣的優(yōu)點(diǎn)在于安全相關(guān)的標(biāo)識(shí)數(shù)據(jù)，例如IMSI，不會(huì)通過NFC在簡(jiǎn)單文本中傳送，而僅以安全和保護(hù)（即加密）方式傳送。

根據(jù)另一個(gè)實(shí)施例，術(shù)語(yǔ)“應(yīng)用”要被理解為“組合”。標(biāo)識(shí)集合200i與接收的用戶密鑰88組合或連接。用戶密鑰88可以是具有元信息（時(shí)間戳等）的在線票。運(yùn)營(yíng)商密鑰99與用戶密鑰88關(guān)聯(lián)。根據(jù)本發(fā)明的進(jìn)一步的方面，運(yùn)營(yíng)商密鑰99等于用戶密鑰88。運(yùn)營(yíng)商密鑰99和用戶密鑰88無(wú)需是密鑰對(duì)。如上面所提到的，運(yùn)營(yíng)商密鑰99可以與數(shù)字憑證碼相關(guān)（即等于運(yùn)營(yíng)商密鑰）。

本發(fā)明具有多個(gè)優(yōu)點(diǎn)。根據(jù)本文呈現(xiàn)的解決方案提供中間節(jié)點(diǎn)和第一單元，使公司或WLAN熱點(diǎn)所有人能夠根據(jù)其自己的要求和配置限制其客戶的WLAN網(wǎng)絡(luò)接入。因此，通過用于交叉檢驗(yàn)功能性的比較器106提供了提供特殊網(wǎng)絡(luò)接入的機(jī)制。移動(dòng)設(shè)備200的用戶可以從第三方（即汽車租賃、咖啡店）得到使用該AP的特殊權(quán)利，所述第三方不同于網(wǎng)絡(luò)運(yùn)營(yíng)商。

所述解決方案提供用于提前通過輔助信道，具體是通過第二通信信道2向汽車接入點(diǎn)或用作接口的第二單元102安全傳輸經(jīng)處理形式的用戶的標(biāo)識(shí)數(shù)據(jù)（例如，IMSI或MSISDN）的可能性，所述用戶標(biāo)識(shí)數(shù)據(jù)是處于參考消息22的形式。

本發(fā)明提供用于通過“在線票”保護(hù)和加密標(biāo)識(shí)集合200i的機(jī)制，其可以實(shí)現(xiàn)為用戶密鑰88。

提供有驗(yàn)證用戶擁有有效特殊無(wú)線網(wǎng)絡(luò)接入和/或在線票的有效機(jī)制。這種驗(yàn)證通過經(jīng)由第二通信信道2接收的標(biāo)識(shí)集合200i的成功解密來指示。

所述解決方案執(zhí)行額外的交叉檢驗(yàn)。也就是，使用該驗(yàn)證結(jié)果33作為參考標(biāo)識(shí)集合來交叉檢驗(yàn)作為WLAN身份建立一部分接收的標(biāo)識(shí)集合200i，使得僅持有有效在線票的用戶能夠接入WLAN。

網(wǎng)絡(luò)運(yùn)營(yíng)商不需要在其核心網(wǎng)絡(luò)中的任何特定配置以支持這些特殊接入點(diǎn)。

第三方（汽車租賃公司）能夠獨(dú)立于網(wǎng)絡(luò)運(yùn)營(yíng)商來出售在線票。即汽車租賃公司在線票基礎(chǔ)設(shè)施和網(wǎng)絡(luò)運(yùn)營(yíng)商的基礎(chǔ)設(shè)施不是連接的并且不需要為任何汽車預(yù)定交換任何數(shù)據(jù)。

用戶的標(biāo)識(shí)集合不需要給予到第三方（汽車租賃公司）。用戶的標(biāo)識(shí)集合仍然保留在用戶的智能電話200中并且僅安全地（加密）傳送到中間節(jié)點(diǎn)100的第二單元102。本發(fā)明沒有降低安全性。提前通過NFC向中間節(jié)點(diǎn)100的比較器106提供未加密的標(biāo)識(shí)集合不會(huì)降低安全性。第一單元101通過常規(guī)身份建立（通過第一通信信道）至少能夠看見一次相同的明文標(biāo)識(shí)集合。這是為什么實(shí)際上能夠比較身份信息。

網(wǎng)絡(luò)運(yùn)營(yíng)商不被強(qiáng)制每次都重新配置其AAA服務(wù)器400，此類特殊接入由第三方（提供服務(wù)，像汽車租賃、咖啡店、公共交通票等）準(zhǔn)許。WLAN基礎(chǔ)設(shè)施和AP通過其主要機(jī)制來相對(duì)于AAA服務(wù)器400進(jìn)行認(rèn)證并可能地執(zhí)行計(jì)費(fèi)過程，因?yàn)橥ㄟ^網(wǎng)絡(luò)運(yùn)營(yíng)商的建立可能被被使用和再次使用。

關(guān)于安全和保密方面，租賃汽車公司不應(yīng)當(dāng)具有對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)商的認(rèn)證基礎(chǔ)設(shè)施的接入。即，租賃汽車公司不能改變運(yùn)營(yíng)商的AAA服務(wù)器400中的權(quán)利。相反，如果僅使用EAP-SIM/AKA/AKA’這會(huì)是必要的。并且對(duì)于每個(gè)租車情況這都會(huì)發(fā)生。因此，這是本發(fā)明的主要優(yōu)點(diǎn)。

雖然與本發(fā)明的優(yōu)先實(shí)施例相關(guān)已經(jīng)描述了示例發(fā)明，要理解的是本描述僅是為了說明的目的。相應(yīng)地，預(yù)計(jì)的是本發(fā)明僅由這里所附權(quán)利要求的范圍限定。

附圖標(biāo)記

1 第一通信信道

2 第二通信信道，NFC信道

4 到移動(dòng)網(wǎng)絡(luò)的接口

88 用戶密鑰

99 運(yùn)營(yíng)商密鑰或汽車密鑰

400 AAA服務(wù)器

1000 移動(dòng)網(wǎng)絡(luò)

1001 無(wú)線網(wǎng)絡(luò)，WLAN

22 參考消息

200 移動(dòng)設(shè)備

200i 標(biāo)識(shí)集合，具體指IMSI

203 用于存儲(chǔ)標(biāo)識(shí)集合的移動(dòng)設(shè)備的內(nèi)部存儲(chǔ)

201 用于生成參考消息的消息生成器

33 驗(yàn)證結(jié)果

100 中間節(jié)點(diǎn)

101 第一單元，具體指車內(nèi)WLAN AP

102 第二單元

103 第三接口

105 處理器

106 比較器

300 （第三方的）密鑰服務(wù)器

301 在線預(yù)定系統(tǒng)前端

302 管理系統(tǒng)后端

501 汽車管理單元

502 車載單元（OBU）

602車載單元（OBU）

603 OBU接入點(diǎn)