專利名稱:許可訪問網(wǎng)絡(luò)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及許可訪問網(wǎng)絡(luò)����。本發(fā)明尤其涉及通過在通信系統(tǒng)上對訪問證書進(jìn)行共享來許可訪問網(wǎng)絡(luò)。
背景技術(shù):
設(shè)備能夠經(jīng)由網(wǎng)絡(luò)的訪問接入點(diǎn)來訪問網(wǎng)絡(luò)以及與網(wǎng)絡(luò)進(jìn)行通信���。網(wǎng)絡(luò)可以是局域網(wǎng)(LAN)�,諸如公司雇員能夠連接至其上的公司局域網(wǎng)��?��?商娲?����,網(wǎng)絡(luò)可以是廣域網(wǎng)����、(WAN),諸如因特網(wǎng)�����。訪問接入點(diǎn)可以是無線訪問接入點(diǎn)以便設(shè)備能夠與訪問接入點(diǎn)進(jìn)行無線通信(例如使用WiFi連接����,或者本領(lǐng)域已知的一些其他無線連接)。為了設(shè)備與訪問接入點(diǎn)進(jìn)行通信����,可以要求設(shè)備使用用于經(jīng)由訪問接入點(diǎn)訪問網(wǎng)絡(luò)的特定的ー組訪問證書。當(dāng)設(shè)備為特定的訪問接入點(diǎn)使用正確的ー組訪問證書時����,則該設(shè)備被許可經(jīng)由訪問接入點(diǎn)訪問網(wǎng)絡(luò),并且因而將在經(jīng)由訪問接入點(diǎn)在網(wǎng)絡(luò)上的通信中使用正確的協(xié)議���。通過要求設(shè)備具有正確的訪問證書���,其能夠保證只有特定的設(shè)備(即那些使用正確的訪問證書的設(shè)備)能夠經(jīng)由訪問接入點(diǎn)訪問網(wǎng)絡(luò)�。用這種方式限制經(jīng)由訪問接入點(diǎn)訪問網(wǎng)絡(luò)能夠?qū)绶乐共黄谕挠脩艚?jīng)由特定的訪問接入點(diǎn)訪問特定的網(wǎng)絡(luò)是有用的�。無線訪問接入點(diǎn)可以由其以下兩個屬性而被唯一識別為“空中下載(overtheair)”(I)用戶指定的服務(wù)區(qū)識別符(SSID),其為由用戶設(shè)定的無線網(wǎng)絡(luò)的名稱����,以及(2)無線接ロ媒體存取控制(MAC)地址���,其為由訪問接入點(diǎn)制造商分配給該訪問接入點(diǎn)的唯一的48位值��。SSID和MAC地址作為該訪問接入點(diǎn)的識別符��。用于經(jīng)由訪問接入點(diǎn)訪問無線網(wǎng)絡(luò)的訪問證書可以包括在與訪問接入點(diǎn)進(jìn)行通信時使用的加密方法(諸如有線等效加密(WEP)�����、Wi-Fi網(wǎng)絡(luò)安全存取(WPA)��、或者Wi-Fi保護(hù)訪問第2版(WPA2))和加密算法(諸如臨時密鑰完整性協(xié)議(TKIP)�、高級加密標(biāo)準(zhǔn)(AES))�����。訪問證書還可以包括為了許可設(shè)備經(jīng)由訪問接入點(diǎn)訪問網(wǎng)絡(luò)而必須檢驗(yàn)的網(wǎng)絡(luò)密鑰(或者“訪問密鑰”)。網(wǎng)絡(luò)密鑰的長度可以取決于所選擇的加密方法����。為了設(shè)備能夠經(jīng)由訪問接入點(diǎn)對網(wǎng)絡(luò)進(jìn)行訪問,訪問證書必須對該設(shè)備為可用的��。經(jīng)由訪問接入點(diǎn)訪問網(wǎng)絡(luò)所要求的訪問證書可以對所使用的特定的訪問接入點(diǎn)是特定的�。訪問證書用于限制經(jīng)由特定的訪問接入點(diǎn)連接到網(wǎng)絡(luò)的設(shè)備的數(shù)量。然而���,為了許可ー些設(shè)備經(jīng)由特定的訪問接入點(diǎn)連接到網(wǎng)絡(luò)��,那些設(shè)備應(yīng)具有用于經(jīng)由特定的訪問接入點(diǎn)訪問網(wǎng)絡(luò)所要求的訪問證書�。
發(fā)明內(nèi)容
在ー些通信系統(tǒng)中���,用戶與用戶終端關(guān)聯(lián)�����,并且用戶能夠通過在通信系統(tǒng)中在用戶終端之間傳輸和接收消息來與彼此進(jìn)行通信����。通信系統(tǒng)的ー個例子是本領(lǐng)域已知的對等(P2P)通信系統(tǒng),諸如Skype 通信系統(tǒng)�,其中,消息可以不經(jīng)由中央服務(wù)器發(fā)送而在用戶終端之間發(fā)送�。第一用戶可以與通信系統(tǒng)中的其他作為第一用戶的朋友或者“聯(lián)系人”的用戶關(guān)聯(lián)。這允許第一用戶方便地與其聯(lián)系人在通信系統(tǒng)中進(jìn)行通信����。可以將ー些關(guān)于通信系統(tǒng)中的各個用戶的信息�����,諸如他們的名字和在通信系統(tǒng)中的用戶名存儲在通信系統(tǒng)中�����。還可以將其他更多的個人信息����,諸如用戶的業(yè)余愛好�、他們的聯(lián)系人詳情、用戶的照片等存儲在通信系統(tǒng)中�。可以將這些信息組合在一起并且作為通信系統(tǒng)中用戶的“個人資料”��。在通信系統(tǒng)中可以將用戶的個人資料分為兩個部分來被不同地利用。第一部分可以是公共的����,意思是將在個人資料的第一部分中的信息做成對通信系統(tǒng)中的所有用戶而言可用以便查看。例如����,個人資料的第一部分可以包括用戶的名字和在通信系統(tǒng)中的用戶名,其將允許通信系統(tǒng)中的其他用戶在通信系統(tǒng)中搜索還不是聯(lián)系人的特定的人�����。用戶個人資料的第二部分可以是專用的�,意思是將在個人資料的第二部分中的信息做成僅對用戶的經(jīng)授權(quán)的聯(lián)系人可用。例如���,在個人資料的第二部分中的信息可以是用戶想要與其聯(lián)系人共享但不想與通信系統(tǒng)中不是其聯(lián)系人的用戶共享的信息�����。例如����,個人資料的第二部分可以包括用戶的聯(lián)系詳情����、用戶的業(yè)余愛好和用戶的照片��?����?梢杂稍谕ㄐ畔到y(tǒng)中的另ー用戶的
用戶終端上執(zhí)行的通信客戶程序來檢索個人資料中的信息�。在ー些通信系統(tǒng)中�����,專用的個人資料的詳情只能直接從另ー用戶終端取得�,并且這允許源終端能控制哪個聯(lián)系人被允許看到專用的個人資料的哪個屬性。發(fā)明人認(rèn)識到與通信系統(tǒng)中的有限數(shù)量的其他用戶(例如僅與聯(lián)系人)共享專用的個人資料的詳情的系統(tǒng)建立了使得信息共享受控的構(gòu)架����。能夠用這種方式共享的ー種信息是對網(wǎng)絡(luò)進(jìn)行訪問所需要的信息���,諸如訪問證書����。根據(jù)本發(fā)明的第一個方案�����,提供了ー種許可訪問網(wǎng)絡(luò)的方法,該許可通過在通信系統(tǒng)中在所述通信系統(tǒng)的相應(yīng)第一用戶和第二用戶的相應(yīng)第一用戶終端和第二用戶終端處執(zhí)行的第一通信客戶程序和第二通信客戶程序之間對訪問證書進(jìn)行共享來進(jìn)行�,所述訪問證書用于對網(wǎng)絡(luò)進(jìn)行訪問,所述方法包括所述第一通信客戶程序?qū)⑺鲈L問證書存儲在所述第一用戶終端的第一存儲裝置中或者所述通信系統(tǒng)的第一存儲裝置中�;所述第一用戶授權(quán)所述第二用戶對存儲在所述第一存儲裝置中的所述訪問證書進(jìn)行訪問;所述第二通信客戶程序基于所述第二用戶的對所述第一存儲裝置中的所述訪問證書進(jìn)行訪問的授權(quán)����,訪問所述第一存儲裝置并且取得所述訪問證書;所述第二通信客戶程序?qū)⑺〉玫脑L問證書存儲在所述第二用戶終端處的第二存儲裝置中��;以及所述第二通信客戶程序使用被存儲在所述第二存儲裝置中的所述訪問證書來對網(wǎng)絡(luò)進(jìn)行訪問�����,且不以所述第二用戶可理解的方式向所述第二用戶傳達(dá)所取得的訪問證書��。根據(jù)本發(fā)明的第二個方案���,提供了一種用于許可訪問網(wǎng)絡(luò)的通信系統(tǒng)����,所述通信系統(tǒng)包括用于在所述通信系統(tǒng)的所述第一用戶的所述第一用戶終端處執(zhí)行的第一通信客戶程序;用于在所述通信系統(tǒng)的所述第二用戶的所述第二用戶終端處執(zhí)行的第二通信客戶程序�����;第一存儲裝置�����,其用于存儲用于對網(wǎng)絡(luò)進(jìn)行訪問的訪問證書����;以及在所述第二用戶終端處的第二存儲裝置,其用于存儲所述訪問證書�����;其中�,所述第一通信客戶程序被配置為將所述訪問證書存儲在所述第一存儲裝置中,并且從所述第一用戶接收輸入以授權(quán)所述第ニ用戶對存儲在所述第一存儲裝置中的所述訪問證書進(jìn)行訪問�����;并且其中����,所述第二通信客戶程序被配置為基于所述第二用戶的對所述第一存儲裝置中的所述訪問證書進(jìn)行訪問的授權(quán),訪問所述第一存儲裝置并且取得所述訪問證書�;將所取得的訪問證書存儲在所述第二存儲裝置中,并且使用被存儲在所述第二存儲裝置中的所述訪問證書來對網(wǎng)絡(luò)進(jìn)行訪問�����,且不以所述第二用戶可理解的方式向所述第二用戶傳達(dá)所取得的訪問證書����。可以在所述第一用戶終端處或者所述通信系統(tǒng)的服務(wù)器上實(shí)現(xiàn)所述第一存儲裝置���。根據(jù)本發(fā)明的第三個方案��,提供了ー種使用在通信系統(tǒng)的用戶的用戶終端處執(zhí)行的通信客戶程序來訪問網(wǎng)絡(luò)的方法��,其中�����,由在所述通信系統(tǒng)的另一用戶的另一用戶終端處執(zhí)行的另一通信客戶程序?qū)⒂糜谠L問網(wǎng)絡(luò)的訪問證書存儲在該另ー用戶終端的第一存儲裝置中或者所述通信系統(tǒng)的第一存儲裝置中����,所述另ー用戶已經(jīng)授權(quán)所述用戶對存儲在所述第一存儲裝置中的所述訪問證書進(jìn)行訪問�����,所述方法包括所述通信客戶程序基于所述用戶的對所述第一存儲裝置中的所述訪問證書進(jìn)行訪問的授權(quán),訪問所述第一存儲裝置并且取得所述訪問證書�����;所述通信客戶程序?qū)⑺〉玫脑L問證書存儲在所述用戶終端處的第二存儲裝置中��;以及所述通信客戶程序使用被存儲在所述第二存儲裝置中的所述訪問證書來對網(wǎng)絡(luò)進(jìn)行訪問�����,且不以所述第二用戶可理解的方式向所述第二用戶傳達(dá)所取得的訪問證書���。 根據(jù)本發(fā)明的第四個方案����,提供了一種計(jì)算機(jī)程序產(chǎn)品�,包括由在通信系統(tǒng)用戶的用戶終端處的計(jì)算機(jī)處理裝置執(zhí)行的用于訪問網(wǎng)絡(luò)的計(jì)算機(jī)可讀指令,所述指令包括用于實(shí)現(xiàn)為實(shí)施根據(jù)本發(fā)明的第三個方案的所述方法的通信客戶程序的指令���。根據(jù)本發(fā)明的第五個方案����,提供了ー種用于訪問網(wǎng)絡(luò)的用戶終端�����,所述用戶終端包括用于執(zhí)行通信系統(tǒng)的用戶的通信客戶程序的裝置��,其中��,由在所述通信系統(tǒng)的另一用戶的另一用戶終端處執(zhí)行的另一通信客戶程序?qū)⒂糜谠L問網(wǎng)絡(luò)的訪問證書存儲在該另ー用戶終端的第一存儲裝置中或者所述通信系統(tǒng)的第一存儲裝置中���,所述另ー用戶已經(jīng)授權(quán)所述用戶對存儲在所述第一存儲裝置中的所述訪問證書進(jìn)行訪問����,所述用戶終端包括取還裝置�,其用于根據(jù)所述通信客戶程序的執(zhí)行,基于所述用戶對第一存儲裝置中的所述訪問證書進(jìn)行訪問的授權(quán)而訪問所述第一存儲裝置并且取得所述訪問證書���;第二存儲裝置�����,其用于存儲所述檢索到的訪問證書��;以及訪問裝置����,其用于根據(jù)所述通信客戶程序的執(zhí)行,使用存儲在所述第二存儲裝置中的所述訪問證書對所述網(wǎng)絡(luò)進(jìn)行訪問����,且不以所述第二用戶可理解的方式向所述第二用戶傳達(dá)所取得的訪問證書。根據(jù)本發(fā)明的第六個方案����,提供了ー種許可訪問網(wǎng)絡(luò)的方法,該許可通過將訪問證書存儲在通信系統(tǒng)中供在所述通信系統(tǒng)的相應(yīng)第一用戶終端和第二用戶終端處執(zhí)行的第一通信客戶程序和第二通信客戶程序的用戶使用來進(jìn)行�,所述訪問證書用于對網(wǎng)絡(luò)進(jìn)行訪問,所述方法包括所述第一通信客戶程序?qū)⑺鲈L問證書存儲在所述通信系統(tǒng)的第一存儲裝置中����,其中,所述用戶被授權(quán)對存儲在所述第一存儲裝置中的所述訪問證書進(jìn)行訪問����;所述第二通信客戶程序基于所述用戶的對所述第一存儲裝置中的所述訪問證書進(jìn)行訪問的授權(quán)而訪問所述第一存儲裝置并且取得所述訪問證書;所述第二通信客戶程序?qū)⑺〉玫脑L問證書存儲在所述第二用戶終端處的第二存儲裝置中�����;以及所述第二通信客戶程序使用被存儲在所述第二存儲裝置中的所述訪問證書來對網(wǎng)絡(luò)進(jìn)行訪問�����,且不以所述第二用戶可理解的方式向所述第二用戶傳達(dá)所取得的訪問證書。在優(yōu)選的實(shí)施例中����,所述第一用戶授權(quán)所述第二用戶的所述步驟包括所述第一用戶識別所述第二用戶���。優(yōu)選地���,只有被識別的用戶的通信客戶程序能夠取得存儲在存儲裝置中的訪問證書。所述存儲裝置優(yōu)選與由所述第一通信客戶程序所使用的其他數(shù)據(jù)一同實(shí)現(xiàn)在所述第一用戶終端本地上�。在所述第一用戶終端本地上存儲證書除去了對中央服務(wù)器的依賴,并且還可以允許由共享出證書的用戶自身使用這些證書��?�?商娲?,所述存儲裝置可以在所述通信系統(tǒng)中的服務(wù)器上實(shí)現(xiàn),但是在這種情況下��,只能在終端成功地將其自身與網(wǎng)絡(luò)的訪問接入點(diǎn)關(guān)聯(lián)后��,所述網(wǎng)絡(luò)上的服務(wù)器才是可訪問的����。所述第一用戶可以通過將所述第二用戶包括為所述通信系統(tǒng)的聯(lián)系人來識別所述第二用戶���。從這個意義上說,所述第一用戶可以在所述第一通信客戶程序的用戶界面中指明其在所述通信系統(tǒng)中的任何聯(lián)系人被授權(quán)對存儲在所述存儲裝置中的訪問證書進(jìn)行訪問�。可替代地��,所述第一用戶可以選擇其聯(lián)系人的子集���,并且在用戶界面中指明只有其在所述通信系統(tǒng)中的聯(lián)系人的子集被授權(quán)對存儲在所述存儲裝置中的訪問證書進(jìn)行訪問���。用這種方式,所述第一用戶可以將在所述通信系統(tǒng)中的能夠使用其存儲在所述存儲裝置中的訪問證書的用戶限制為其聯(lián)系人或者聯(lián)系人的子集��。所述第一通信客戶程序的用戶界面的使用為所述第一用戶提供了對用戶友好的方式來指明哪些用戶被許可訪問其存儲在所述存儲裝置中的訪問證書����。在優(yōu)選的實(shí)施例中,訪問證書在通信系統(tǒng)(例如P2P通信系統(tǒng))的用戶的客戶程序之間共享�,而保持所述訪問證書(以及所述訪問接入點(diǎn)的識別符)向被提供訪問證書的用戶(例如第二用戶)為隱藏的。因此��,優(yōu)選的實(shí)施例使得所述第二用戶獲取對被允許的 網(wǎng)絡(luò)的訪問(基于所述第一用戶已經(jīng)提供了訪問證書并且已經(jīng)授權(quán)所述第二用戶對所述訪問證書進(jìn)行訪問)變得容易,避免所述第二用戶在與網(wǎng)絡(luò)建立連接之前輸入冗長的秘密的網(wǎng)絡(luò)密鑰的需要�,而無須向第二用戶公開所述訪問證書。對于網(wǎng)絡(luò)的擁有者來說���,優(yōu)選的實(shí)施例通過以保持證書合理地對第三人保密的方式預(yù)先共享證書來允許向特定的用戶提供對網(wǎng)絡(luò)的訪問����。這是因?yàn)橹挥幸呀?jīng)被所述第一用戶授權(quán)的用戶的通信客戶程序能夠訪對用于訪問網(wǎng)絡(luò)的訪問證書�����。此外���,所述訪問證書不以所述第二用戶可理解的形式向所述第二用戶傳達(dá),并且因此所述第二用戶不會將所述訪問證書傳遞給所述通信系統(tǒng)中的其他用戶���。尤其地���,所述訪問證書不以所述第二用戶可以理解的方式向所述第二用戶傳達(dá),故所述第二用戶不知道所述訪問證書所應(yīng)用的媒體存取控制(MAC)地址和服務(wù)區(qū)識別符(SSID)��。一些實(shí)施例允許集中管理很大數(shù)量的用戶(例如企業(yè)網(wǎng)絡(luò)用戶)對訪問證書的訪問��,而不需要用戶自己輸入證書����,和/或不增加企業(yè)IT支持團(tuán)隊(duì)的負(fù)擔(dān)��。例如��,通過授權(quán)一個組(例如一個企業(yè))的用戶的通信客戶程序?qū)υL問證書進(jìn)行訪問��,其可以確保該組的用戶能夠使用所述訪問證書對網(wǎng)絡(luò)進(jìn)行訪問但是不向該組以外的其他用戶提供所述訪問證書���。一種實(shí)現(xiàn)這個的方法是為所述第一用戶(例如網(wǎng)絡(luò)管理者)在所述通信系統(tǒng)中對所述組的用戶建立聯(lián)系人列表,并且接著在所述通信系統(tǒng)中以只有在所述聯(lián)系人列表中的用戶的客戶程序能夠?qū)ζ溥M(jìn)行訪問的形式提供所述訪問證書(例如����,通過將所述訪問證書包括在個人資料的特定部分,所述特定部分只能由所述聯(lián)系人列表中所包括的用戶的客戶程序訪問)�����。
為了更好地理解本發(fā)明并且示出其可以如何被實(shí)施����,現(xiàn)在將通過示例的方式參照附圖,其中圖I示出根據(jù)優(yōu)選實(shí)施例的通信系統(tǒng)和網(wǎng)絡(luò)�����;
圖2是根據(jù)優(yōu)選實(shí)施例的用戶終端的示意圖;圖3是許可訪問網(wǎng)絡(luò)的第一過程的流程圖�����;圖4是根據(jù)優(yōu)選實(shí)施例的客戶程序的用戶界面的圖示���;以及圖5是許可訪問 網(wǎng)絡(luò)的第二過程的流程圖�。
具體實(shí)施例方式現(xiàn)在將僅以示例的方式描述本發(fā)明的優(yōu)選實(shí)施例����。圖I示出了包括具有所關(guān)聯(lián)的第一用戶終端104的第一用戶(“用戶A”)102����,以及具有所關(guān)聯(lián)的第二用戶終端112的第二用戶(“用戶B”)110。用戶終端104和112能夠在通信系統(tǒng)中通過網(wǎng)絡(luò)106通信����,因此允許用戶102和110通過網(wǎng)絡(luò)106彼此進(jìn)行通信。在通信系統(tǒng)的優(yōu)選實(shí)施例中是基于分組的P2P通信系統(tǒng)����,但是也可以使用其他類型的通信系統(tǒng),諸如非P2P,VoIP或者頂系統(tǒng)���。網(wǎng)絡(luò)106可以例如是因特網(wǎng)�。用戶終端104可以例如是移動手機(jī)�����、個人數(shù)字助理(“PDA”)�、個人電腦(“PC”)(包括,例如WindowsTM����、Mac OS 和Linux PCs)、游戲設(shè)備或者其他能夠連接到網(wǎng)絡(luò)106的嵌入式設(shè)備��。用戶終端104被安排為從用戶終端104的用戶102接收信息以及輸出信息給用戶終端104的用戶102�。本發(fā)明的優(yōu)選實(shí)施例中,用戶終端104包括諸如屏幕的顯示裝置和諸如鍵盤���、鼠標(biāo)����、觸摸屏��、小鍵盤和/或控制桿的輸入設(shè)備。用戶終端104連接到網(wǎng)絡(luò)106�����。注意在可替代的實(shí)施例中���,用戶終端104能夠經(jīng)由圖I中未示出的附加的中間網(wǎng)絡(luò)連接到網(wǎng)絡(luò)106����。例如���,如果用戶終端104是移動設(shè)備�����,則其能夠經(jīng)由蜂窩移動網(wǎng)絡(luò)120 (例如GSM或者UMTS網(wǎng)絡(luò))連接到網(wǎng)絡(luò)106��。用戶終端104執(zhí)行由與通信系統(tǒng)相關(guān)聯(lián)的軟件提供者提供的通信客戶程序108。通信客戶程序108是在用戶終端104中的本地處理器上執(zhí)行的軟件程序���。為了用戶終端104在通信系統(tǒng)中傳輸和接收數(shù)據(jù)�����,通信客戶程序108在用戶終端104處實(shí)施所要求的處理��。如本領(lǐng)域中所已知的�����,客戶程序108可以經(jīng)認(rèn)證以通過出示數(shù)字證書來在通信系統(tǒng)中通信(例如����,以證明用戶A102是通信系統(tǒng)的真正簽約用戶——專利W02005/009019中有更加詳細(xì)地描述)。用戶終端112對應(yīng)于用戶終端104��。用戶終端112在本地處理器上執(zhí)行對應(yīng)于通信客戶程序108的通信客戶程序114���。通信客戶程序114以與客戶程序108實(shí)施為允許用戶102在網(wǎng)絡(luò)106上通信所要求的處理相同的方式來實(shí)施為允許用戶110在網(wǎng)絡(luò)106上通信所要求的處理�。為清晰起見���,圖I僅示出兩個用戶(102和110)�����,但是如本領(lǐng)域所已知的�,可以將許多更多的用戶連接到通信系統(tǒng)����,并且可以通過使用在相應(yīng)的用戶終端上執(zhí)行的相應(yīng)的通信客戶程序來在通信系統(tǒng)中通信��。通信系統(tǒng)包括在網(wǎng)絡(luò)106上的服務(wù)器116����,其中在服務(wù)器116上實(shí)現(xiàn)數(shù)據(jù)庫118��。圖2圖示出其上執(zhí)行客戶程序108的用戶終端104的詳細(xì)視圖�。用戶終端104包括中央處理單元(“CPU”)202,諸如屏幕的顯示裝置204�、諸如鍵盤(或者小鍵盤)206的輸入設(shè)備以及諸如鼠標(biāo)208的指點(diǎn)設(shè)備連接到CPU202。顯示裝置204可以包括用于向CPU202輸入數(shù)據(jù)的觸摸屏�����。輸出音頻設(shè)備210 (例如揚(yáng)聲器)和輸入音頻設(shè)備212 (例如麥克風(fēng))連接到CPU 202��。將顯示裝置204�����、鍵盤206�、鼠標(biāo)208�、輸出音頻設(shè)備210和輸入音頻設(shè)備212集成入用戶終端104�����。在可替代的用戶終端中���,可以不將顯示裝置204、鍵盤206����、鼠標(biāo)208、輸出音頻設(shè)備210和輸入音頻設(shè)備212中的ー個或者多個集成入用戶終端104并且可以將其經(jīng)由相應(yīng)的接ロ連接到CPU 202��。這種接ロ的ー個例子是USB接ロ��。CPU 202連接到用干與網(wǎng)絡(luò)106進(jìn)行通信的諸如調(diào)制解調(diào)器的網(wǎng)絡(luò)接ロ 224��?����?梢匀鐖D2所示將網(wǎng)絡(luò)接ロ 224集成入用戶終端104���。在可替代的用戶終端中���,不將網(wǎng)絡(luò)接ロ 224集成入用戶終端104�。用戶終端104還包括如本領(lǐng)域所已知的用于存儲數(shù)據(jù)的存儲器226�。圖2還圖示出在CPU 202上執(zhí)行的操作系統(tǒng)(“OS”)214。在0S214的上部運(yùn)行的是用于客戶程序108的軟件堆棧216�����。軟件堆棧示出客戶程序協(xié)議層218�����、客戶程序引擎層220以及客戶程序用戶界面(“Π”)層222�。各層負(fù)責(zé)特定的功能。因?yàn)楦鲗油ǔEc兩個其他層通信��,這些層被視為如圖2所示布置在堆棧中����。操作系統(tǒng)214管理計(jì)算機(jī)的硬件資源并且處理經(jīng)由網(wǎng)絡(luò)接ロ 224被傳輸至網(wǎng)絡(luò)以及從網(wǎng)絡(luò)傳輸來的數(shù)據(jù)?����?蛻舫绦蜍浖目蛻舫绦騾f(xié)議層218與操作系統(tǒng)214通信并且管理在通信系統(tǒng)上的連接���。將要求更高級別處理的進(jìn)程傳遞到客戶程序引擎層220�?��?蛻舫绦蛞?20還與客戶程序用戶界面層222通信��?�?蛻舫绦蛞?20可以被安排為控制客戶程序用戶界面層222來經(jīng)由客戶程序的用 戶界面向用戶102呈現(xiàn)信息并且經(jīng)由用戶界面從用戶102接收信息����。用戶終端112以與如上所述的用戶終端104相同的方式實(shí)現(xiàn)��,其中用戶終端112可以具有那些此處所描述的與用戶終端104相關(guān)的對應(yīng)的元件�����。圖I還示出具有訪問接入點(diǎn)122的網(wǎng)絡(luò)120��。訪問接入點(diǎn)122向網(wǎng)絡(luò)120外部的設(shè)備提供至網(wǎng)絡(luò)120的訪問通道��。網(wǎng)絡(luò)120可以包括其他訪問接入點(diǎn)(圖I中未示出)�����。網(wǎng)絡(luò)120是無線網(wǎng)絡(luò),但是在其他實(shí)施例中網(wǎng)絡(luò)120可以不是無線網(wǎng)絡(luò)�。如圖I中的虛線所示,用戶終端104和112能夠通過與訪問接入點(diǎn)122進(jìn)行無線通信來訪問網(wǎng)絡(luò)120����。在訪問接入點(diǎn)122與用戶終端104和112之間的無線通信可以使用WiFi連接或者如本領(lǐng)域所已知的其他類型的無線連接,諸如藍(lán)牙連接或者紅外線連接��。用戶終端104能夠使用網(wǎng)絡(luò)接ロ 224或者也能夠使用用戶終端104的另ー個網(wǎng)絡(luò)接ロ(圖2中未示出)連接到網(wǎng)絡(luò)120�����。網(wǎng)絡(luò)120可以是局域網(wǎng)(LAN)�,諸如公司的內(nèi)聯(lián)網(wǎng)?�?商娲?����,網(wǎng)絡(luò)120可以是廣域網(wǎng)(WAN)�����,諸如因特網(wǎng)����。應(yīng)理解的是�,網(wǎng)絡(luò)120可以與如圖I所示的網(wǎng)絡(luò)106不同��?�?商娲?��,網(wǎng)絡(luò)120可以與通信系統(tǒng)的網(wǎng)絡(luò)106相同,例如網(wǎng)絡(luò)106和網(wǎng)絡(luò)120兩者均為因特網(wǎng)����。例如,訪問接入點(diǎn)能夠被設(shè)置為用于因特網(wǎng)連接的橋接器�,并且在這種情況下網(wǎng)絡(luò)120將成為網(wǎng)絡(luò)106。然而�����,在其他實(shí)施例中����,訪問接入點(diǎn)用作為客戶程序建立LAN 120的路由器,并且路由器在LAN 120和因特網(wǎng)106之間進(jìn)行分配路由��。如果網(wǎng)絡(luò)106和網(wǎng)絡(luò)120是相同的,則在用戶終端104和112與網(wǎng)絡(luò)106之間所使用的連接的類型可以與用戶終端104和112與網(wǎng)絡(luò)120之間所使用的連接的類型不同(盡管不一定是這種情況)�。例如,在網(wǎng)絡(luò)106和網(wǎng)絡(luò)120兩者均為因特網(wǎng)的情況下�����,用戶終端104和112可以使用第一連接類型來連接到網(wǎng)絡(luò)106(例如經(jīng)由移動電話網(wǎng)絡(luò),諸如經(jīng)由3G連接),而用戶終端104和112可以使用第二類型連接(例如經(jīng)由WiFi連接)來連接到網(wǎng)絡(luò)120的訪問接入點(diǎn)122���。第二類型連接(例如WiFi連接)可以比第一類型連接(例如經(jīng)由移動電話網(wǎng)絡(luò))支持更快的數(shù)據(jù)傳輸和/或可以更便宜的使用,因此即使用戶終端104和112已經(jīng)連接到網(wǎng)絡(luò)106,其也可能更愿意經(jīng)由訪問接入點(diǎn)122訪問網(wǎng)絡(luò)120�。用戶102可以與通信系統(tǒng)中的作為第一用戶的朋友或者“聯(lián)系人”的其他用戶關(guān)聯(lián)��。在此處所描述的優(yōu)選實(shí)施例中�,用戶A 102和用戶B 110在通信系統(tǒng)中是彼此的聯(lián)系人??梢栽谕ㄐ畔到y(tǒng)中存儲關(guān)于通信系統(tǒng)中的各個用戶的ー些信息,諸如他們的名字和在通信系統(tǒng)中的用戶名�,以及其他更多的個人信息,諸如用戶的業(yè)余愛好����、他們的聯(lián)系人詳情、用戶的照片等�����。這些信息可以作為通信系統(tǒng)中用戶的個人資料來存儲。各個用戶的個人資料被存儲在用戶的相應(yīng)的用戶終端處�����。此外���,用戶A 102和用戶B 110兩者的個人資料均可以被存儲在通信系統(tǒng)的服務(wù)器116上的數(shù)據(jù)庫118中����。使用中央服務(wù)器116上的數(shù)據(jù)庫118大大地簡化了企業(yè)級的共享����,因?yàn)槠湓试S備份用戶的信息來集中更新由企業(yè)共享的證書���。必須提供系統(tǒng)來僅允許訪問屬于企業(yè)的用戶的數(shù)據(jù)�。在Skype通信系統(tǒng)的情況下�����,Skype管理器提供這樣的系統(tǒng)���。而使用服務(wù)器116中的數(shù)據(jù)庫118來存儲用戶的專用個人資料可能是很有用的��,在真正的對等(P2P)網(wǎng)絡(luò)中����,不要求中央數(shù)據(jù)庫118用于根據(jù)此處所描述的系統(tǒng)進(jìn)行證書共享。如上所述�,用戶A 102的個人資料可以分為兩個部分來在通信系統(tǒng)中被不同地利用。用戶A的個人資料的第一部分是公共的��,意思是將在個人資料的第一部分中的信息做成對通信系統(tǒng)中的所有用戶可用以便查看��。例如�,個人資料的第一部分可以包括用戶102的名字(“用戶A”)和在通信系統(tǒng)中的用戶名(其可以在通信系統(tǒng)中是唯一的來由此唯一 地識別用戶102)。因?yàn)闉榱嗽谕ㄐ畔到y(tǒng)中唯一地識別用戶102�,要求用戶名是唯一的,而在通信系統(tǒng)中可能有多于ー個用戶具有相同的名字(“用戶A”)�,所以用戶的用戶名可以與用戶的名字(“用戶A”)不相同。用戶A也能夠與自己共享證書�����,例如當(dāng)在第一設(shè)備上運(yùn)行客戶程序來輸入網(wǎng)絡(luò)證書時��,用戶A能夠允許從用戶A登錄的其他設(shè)備處對證書進(jìn)行訪問��。這假設(shè)專用個人資料的屬性在實(shí)例之間是同步的,例如使用中央服務(wù)器����。在用戶A的個人資料的公共部分的公共信息將允許通信系統(tǒng)中的另ー個用戶(其還不是用戶A的聯(lián)系人)來在通信系統(tǒng)中搜索用戶A。用戶A的個人資料的第二部分是專用的����,意思是將在個人資料的第二部分中的信息做成僅對用戶102的經(jīng)授權(quán)的聯(lián)系人可用。例如���,在個人資料的第二部分中的信息可以是用戶想要與其聯(lián)系人但不想與通信系統(tǒng)中不是其聯(lián)系人的用戶共享的信息���。例如,個人資料的第二部分可以包括用戶的聯(lián)系詳情���、用戶的業(yè)余愛好和用戶的照片?�?梢杂稍谟脩艚K端112上執(zhí)行的通信客戶程序114取得個人資料中的信息����。與通信系統(tǒng)中的有限數(shù)量的其他用戶(例如僅與聯(lián)系人)共享專用的個人資料的詳情的系統(tǒng)建立了使得信息共享受控的構(gòu)架。能夠用這種方式共享的ー種信息是獲得對網(wǎng)絡(luò)的訪問所需要的信息��,諸如訪問證書。例如����,用戶102能夠?qū)⒂糜诮?jīng)由訪問接入點(diǎn)122訪問網(wǎng)絡(luò)120的訪問證書存儲在數(shù)據(jù)庫118中。用這種方式��,第一用戶102能夠在通信系統(tǒng)中其個人資料的專用部分提供訪問證書��。用戶102的個人資料中的信息(包括訪問證書)被存儲在用戶終端104的數(shù)據(jù)庫中(例如在存儲器226中)并且還可以被存儲在服務(wù)器116的數(shù)據(jù)庫118(或者“存儲裝置”)中����。第二用戶110的客戶程序114能夠從存儲器226或者數(shù)據(jù)庫118對訪問證書進(jìn)行訪問。因?yàn)榈诙脩?10是第一用戶102的聯(lián)系人���,所以客戶程序114被授權(quán)從在存儲裝置中的用戶102的個人資料的專用部分對訪問證書進(jìn)行訪問�����?����?梢詢H在兩個用戶均在線時對證書進(jìn)行訪問�,因此證書應(yīng)是預(yù)先取出的并且本地地存儲在第二用戶終端以便以后使用��。如上所述,無線訪問接入點(diǎn)122可以由其以下兩個屬性而被唯一識別為“空中下載”(1)用戶指定的服務(wù)區(qū)識別符(SSID)����,其為由網(wǎng)絡(luò)的擁有者設(shè)定的無線網(wǎng)絡(luò)120的名稱,以及(2)無線接ロ媒體存取控制(MAC)地址���,其為由訪問接入點(diǎn)122的制造商分配給訪問接入點(diǎn)122的唯一的48位值����。SSID和MAC地址作為訪問接入點(diǎn)122的識別符�。用于經(jīng)由訪問接入點(diǎn)訪問無線網(wǎng)絡(luò)的訪問證書可以包括在與訪問接入點(diǎn)122進(jìn)行通信時使用的加密方法(諸如WEP、WPA或者WPA2)以及加密算法(諸如TKIP或者AES)���。訪問證書還可以包括為了許可用戶終端經(jīng)由訪問接入點(diǎn)122訪問網(wǎng)絡(luò)120所必須檢驗(yàn)的網(wǎng)絡(luò)密鑰(或者“訪問密鑰”)�����。網(wǎng)絡(luò)密鑰的長度可以取決于所選擇的加密方法���。為了設(shè)備能夠經(jīng)由訪問接入點(diǎn)122對網(wǎng)絡(luò)120進(jìn)行訪問,訪問證書必須對該設(shè)備為可用的。經(jīng)由訪問接入點(diǎn)122訪問網(wǎng)絡(luò)120所要求的訪問證書可以對所使用的特定的訪問接入點(diǎn)是特定的�。訪問證書在通信系統(tǒng)中的客戶程序之間共享以便用戶B能夠經(jīng)由訪問接入點(diǎn)122訪問網(wǎng)絡(luò)120�����,但是用戶B不知道訪問證書。因此�����,用戶B不能向通信系統(tǒng)中的其他用戶提供訪問證書����。這如下面所描述的����,通過客戶程序108和114的操作來取得����。參照圖3��,現(xiàn)在描述ー種根據(jù)優(yōu)選的實(shí)施例來許可訪問網(wǎng)絡(luò)120的方法。用戶A 102具有經(jīng)由訪問接入點(diǎn)122訪問網(wǎng)絡(luò)120所要求的訪問證書����。這可以是因?yàn)橛脩鬉 102是訪問接入點(diǎn)122的擁有者或者因?yàn)橛脩鬉 102受網(wǎng)絡(luò)120的操作者所托��。用戶A 102想要與用戶B 110以安全的方式共享訪問證書���。在步驟S302中��,第一用戶102的客戶程序108掃描在用戶終端104的范圍內(nèi)的無線網(wǎng)絡(luò)訪問接入點(diǎn)��。如果用戶終端104當(dāng)前能夠與訪問接入點(diǎn)進(jìn)行通信,則該訪問接入點(diǎn)是在用戶終端104的“范圍內(nèi)”的����。在步驟S302中����,客戶程序108確定訪問接入點(diǎn)122在用戶終端I 04的范圍內(nèi)����??蛻舫绦?08向用戶102提供在步驟S302的掃描中其所發(fā)現(xiàn)的訪問接入點(diǎn)的SSID和MAC地址��。該SSID識別網(wǎng)絡(luò)120,而該MAC地址識別訪問接入點(diǎn)122。在步驟S304中�,用戶102在用戶終端104上的客戶程序108的用戶界面處輸入關(guān)于無線網(wǎng)絡(luò)120的數(shù)據(jù)。由用戶102在步驟S304中輸入的數(shù)據(jù)至少包括經(jīng)由訪問接入點(diǎn)122訪問網(wǎng)絡(luò)120所要求的一些訪問證書�����。例如����,用戶104可以輸入經(jīng)由訪問接入點(diǎn)122訪問網(wǎng)絡(luò)120所要求的網(wǎng)絡(luò)密鑰、加密方法和加密算法中的至少ー個����。隨著步驟S304,客戶程序108具有經(jīng)由訪問接入點(diǎn)122訪問網(wǎng)絡(luò)120所要求的所有數(shù)據(jù)����,包括相關(guān)的SSID、MAC地址和訪問證書(加密方法���、加密算法和網(wǎng)絡(luò)密鑰)���。盡管在優(yōu)選的實(shí)施例中,客戶程序108通過確定SSID和MAC地址來掃描范圍內(nèi)的無線網(wǎng)絡(luò)以協(xié)助用戶102�����,但是在可替代的實(shí)施例中��,用戶102可以向客戶程序108輸入經(jīng)由訪問接入點(diǎn)122訪問網(wǎng)絡(luò)120所要求的所有數(shù)據(jù),包括SSID和MAC地址���,其可以已由客戶程序108在步驟S302中確定或者也可以未由客戶程序108在步驟S302中確定����。訪問證書具有與其關(guān)聯(lián)的有效期�����。從這個意義上說�,訪問證書經(jīng)過預(yù)定的時間期間后期滿��,諸如跟隨預(yù)定的時間期間后����,訪問證書不再用于提供對網(wǎng)絡(luò)的訪問。對于消費(fèi)者用戶�����,具有有效期不是必需的���,并且可以默認(rèn)為“永遠(yuǎn)”(其等于不具有有效期)��。對于公司用戶�����,具有有限的有效期使得對網(wǎng)絡(luò)的訪問被限制于那些在有效期內(nèi)取得訪問證書的用戶�����。當(dāng)一組訪問證書的有效期期滿時�����,可以使用新的ー組具有后續(xù)的有效期的訪問證書��。舊組和新組的訪問證書可以是連續(xù)的��,或者在有效期之間可以有時間間隔�����。另ー個選擇是舊組和新組的訪問證書的有效期重疊���。這將導(dǎo)致在給定的時間點(diǎn)當(dāng)分配了新的訪問密鑰(即新的訪問證書)而舊的訪問密鑰(即舊的訪問證書)仍生效時�,有多組訪問證書對訪問接入點(diǎn)有效。
在步驟S306中��,訪問接入點(diǎn)122的訪問證書����、SSID和MAC地址被存儲在用戶終端104處和/或在通信系統(tǒng)的服務(wù)器116的數(shù)據(jù)庫118中。訪問接入點(diǎn)122的訪問證書���、SSID和MAC地址被存儲在通信系統(tǒng)中的用戶102的個人資料的專用部分�����。用這種方式�����,只有在通信系統(tǒng)中作為用戶102的聯(lián)系人的那些用戶的通信客戶程序能夠?qū)τ捎脩?02存儲在用戶終端104和/或數(shù)據(jù)庫118中的訪問證書、SSID和MAC地址進(jìn)行訪問�。從通常意義上說,通信系統(tǒng)的任何用戶的客戶程序能夠?qū)㈥P(guān)于無線網(wǎng)絡(luò)的數(shù)據(jù)存儲進(jìn)用戶的專用個人資料中����。在步驟S308中,用戶102指明通信系統(tǒng)的哪些用戶被許可從其個人資料的專用部分訪問所存儲的訪問證書�����。用這種方式,用戶102確定其通信客戶程序能夠?qū)τ脩?02的個人資料的專用部分中所存儲的訪問證書進(jìn)行訪問的用戶��。第一用戶102可以指明所有其聯(lián)系人的客戶程序能夠從用戶102的個人資料的專用部分對訪問證書進(jìn)行訪問�����?���?商娲兀脩?02可以確定其客戶程序能夠從用戶102的個人資料的專用部分對訪問證書進(jìn)行·訪問的聯(lián)系人的子集����。例如,如圖4所示的客戶程序108的用戶界面402可以在用戶終端104的顯示裝置204上向用戶102顯示�����。用戶界面402允許用戶102識別經(jīng)授權(quán)的用戶的列表�����。如圖4所示��,用戶界面402包括聯(lián)系人404的列表和經(jīng)授權(quán)的用戶406的列表。用戶102能夠從經(jīng)授權(quán)的用戶406的列表中添加/刪除聯(lián)系人���,例如���,通過適當(dāng)?shù)丶せ钊鐖D4中所示的標(biāo)簽為“添加”、“刪除”�����、“添加所有”以及“刪除所有”的按鈕�����。列表406中的經(jīng)授權(quán)的用戶代表用戶102的其客戶程序經(jīng)被授權(quán)對存儲在通信系統(tǒng)中的用戶102的個人資料的專用部分的訪問證書進(jìn)行訪問的聯(lián)系人的子集��?��?梢栽谕ㄐ畔到y(tǒng)中分配不同的“聯(lián)系人組”�,其為可以用共同的方式處理的聯(lián)系人的不同的子集�����。聯(lián)系人組可以被分配為包括經(jīng)授權(quán)的用戶�。這可以便于用戶102設(shè)置和管理經(jīng)授權(quán)的用戶的列表。例如�����,所有的公司的雇員可以被包括在聯(lián)系人組中����,并且因此被分配為經(jīng)授權(quán)訪問用于訪問與公司關(guān)聯(lián)的網(wǎng)絡(luò)的訪問證書的用戶。用戶界面402是合適的用于允許用戶102識別經(jīng)授權(quán)的用戶的列表的用戶界面的例子���,但是也可以使用其他對技術(shù)人員顯而易見的合適的用戶界面����。在步驟S308之后���,“授權(quán)用戶”列表上的用戶的客戶程序能夠訪問存儲在服務(wù)器116的數(shù)據(jù)庫118上的用戶102的個人資料的專用部分中的訪問證書����。在步驟S310中��,當(dāng)客戶程序114具有網(wǎng)絡(luò)連通性并且在線時�,客戶程序114訪問通信系統(tǒng)并且訪問其能夠取得的任何訪問證書(例如,來自數(shù)據(jù)庫11 8或者如果用戶終端104也在線則來自用戶終端104)����。例如�����,客戶程序取得存儲在存儲于通信系統(tǒng)中(例如數(shù)據(jù)庫118上)的任意用戶110的聯(lián)系人的個人資料上的訪問證書����。更通常地����,客戶程序114能夠取得其在通信系統(tǒng)中被許可訪問的任何訪問證書。因此����,作為步驟S312的一部分,客戶程序114取得在步驟S306期間存儲在用戶102的個人資料上的訪問證書�。因?yàn)樵诓襟ES308中,用戶102已經(jīng)指明用戶110的客戶程序114被許可訪問來自用戶102的個人資料訪問證書��,所以客戶程序114能夠取得那些訪問證書�。應(yīng)當(dāng)注意的是,客戶程序114可以訪問用戶110的個人資料以及通信系統(tǒng)中的其他用戶的個人資料以檢索被存儲的訪問證書�����。在步驟S312中����,將在步驟S310中取得的訪問證書存儲在用戶終端112本地。這使得即使用戶終端112不再連接至網(wǎng)絡(luò)106���,用戶終端112處的客戶程序114也能在隨后的時間點(diǎn)上對訪問證書進(jìn)行訪問��。在步驟S314中����,在隨后的某個時間���,第二用戶110的客戶程序114校驗(yàn)用戶終端112的范圍內(nèi)的可用的訪問接入點(diǎn)����?���?蛻舫绦?14可以響應(yīng)于用戶110經(jīng)由客戶程序114的用戶界面指明他想要訪問網(wǎng)絡(luò)120而實(shí)施步驟S310的校驗(yàn)?�?蛇x地���,當(dāng)客戶程序114被初始化時(例如啟動或者從休眠中喚醒)��,客戶程序114將進(jìn)行范圍內(nèi)的無線網(wǎng)絡(luò)的掃描(即實(shí)施步驟S314的校驗(yàn))���。如果在步驟S314期間用戶發(fā)現(xiàn)在用戶終端112的范圍內(nèi)存在訪問接入點(diǎn)���,那么客戶程序確定發(fā)現(xiàn)的訪問接入點(diǎn)的SSID和MAC地址。例如��,可以將訪問接入點(diǎn)122的SSID和MAC地址從訪問接入點(diǎn)122無線地傳輸至用戶終端112�。然后客戶程序114能夠確定在步驟S312中存儲在用戶終端112本地處的任何訪問證書是否能夠用于經(jīng)由在步驟S314中發(fā)現(xiàn)的任何訪問接入點(diǎn)訪問網(wǎng)絡(luò)120。為此���,客戶程序114能夠使用在步驟S314中發(fā)現(xiàn)的訪問接入點(diǎn)的SSID和MAC地址并且查看這些識別符的任意一個是否與訪問接入點(diǎn)的SSID和MAC地址相匹配����,用于該訪問接入點(diǎn)的訪問證書在步驟S312中已經(jīng)被存儲在本地����。如果發(fā)現(xiàn)了匹配,那么客戶程序114可以能夠經(jīng)由具有匹配識別符的訪問接入點(diǎn)訪問網(wǎng)絡(luò)120��。當(dāng)發(fā)現(xiàn)了匹配時,然后在步驟S316中���,客戶程序114能夠使用取得的訪問證書經(jīng)由訪問接入點(diǎn)訪問網(wǎng)絡(luò)�����。、如果對于特定的訪問接入點(diǎn)發(fā)現(xiàn)了匹配��,那么客戶程序114可以經(jīng)由匹配訪問接入點(diǎn)自動地連接至網(wǎng)絡(luò)120(例如�,如果訪問證書是從用戶110自己的個人資料B中取得的,那么客戶程序114可以經(jīng)由匹配訪問接入點(diǎn)自動地連接至網(wǎng)絡(luò))����。這樣,用戶110不需要知道客戶程序114用以經(jīng)由匹配訪問接入點(diǎn)連接至網(wǎng)絡(luò)120的進(jìn)程���?����?蛇x地�,當(dāng)發(fā)現(xiàn)了匹配時����,那么客戶程序可以在經(jīng)由匹配訪問接入點(diǎn)訪問網(wǎng)絡(luò)120之前要求來自用戶110的指令(例如�����,如果匹配訪問證書不是從通信系統(tǒng)中用戶110的個人資料中檢索到的����,那么客戶程序114提示用戶110確定用戶110是否想要連接至匹配網(wǎng)絡(luò))�����。如果用戶110指明他希望連接至匹配網(wǎng)絡(luò)����,那么客戶程序114使用取得的訪問證書連接至匹配網(wǎng)絡(luò)。作為示例����,在步驟S314中,客戶程序114確定訪問接入點(diǎn)122在范圍內(nèi)并且接收來自訪問接入點(diǎn)122的訪問接入點(diǎn)122的SSID和MAC地址�����?���?蛻舫绦?14取得在步驟S312中已經(jīng)預(yù)先存儲在用戶終端112本地處的訪問證書和相應(yīng)的SSID和MAC地址���。客戶程序確定取得的訪問證書的SSID和MAC地址與在步驟S314中發(fā)現(xiàn)的訪問接入點(diǎn)122的SSID和MAC地址相匹配�����。然后客戶程序114將使用客戶程序114的用戶界面詢問用戶110是否想要使用從用戶102的個人資料取得的訪問證書連接至網(wǎng)絡(luò)120�����。如果用戶110指明其想要使用從用戶102的個人資料取得的訪問證書連接至網(wǎng)絡(luò)120 (例如通過單擊顯示在用戶終端112上的客戶程序114的用戶界面上的“是”按鈕)�,那么客戶程序114使用在步驟S306中存儲的訪問證書經(jīng)由訪問接入點(diǎn)122連接至網(wǎng)絡(luò)120��。這樣����,訪問證書能夠以受控制的方式由用戶102在通信系統(tǒng)上共享給通信系統(tǒng)的特定用戶(例如給用戶102的聯(lián)系人或者給用戶102的聯(lián)系人的子集)從而控制哪些用戶能夠經(jīng)由訪問接入點(diǎn)122訪問網(wǎng)絡(luò)120。這樣���,上文描述的方法允許使用通信系統(tǒng)中的用戶102的專用個人資料將訪問證書共享給通信系統(tǒng)中有限數(shù)量的其他用戶�。此外�����,共享的訪問證書不會以對用戶110來說能夠理解的方式展示給他(例如訪問證書不以明文形式展示給用戶110)。實(shí)現(xiàn)這個的ー個方法是不將訪問證書顯示給用戶110��。實(shí)現(xiàn)這個的另ー個方法是對訪問證書進(jìn)行加密以使得即使他們被顯示給用戶110��,用戶Iio也不能理解他們���。這是為了使得用戶B 110更難將用戶102(用戶A)共享的訪問證書重新分配給用戶102(用戶A)不想與之共享訪問證書的用戶�����。也就是說����,通過防止訪問證書以意圖讓用戶110理解的形式傳達(dá)給用戶110��,使得用戶110不能將訪問證書傳遞給通信系統(tǒng)中的其他用戶給用戶102可能不希望給他提供訪問證書的人����。這改善了用于共享訪問證書的系統(tǒng)的安全性。如上文所述��,訪問證書和用戶102的個人資料的其他專用個人資料字段一起存儲在用戶終端104處(并且也可以存儲在服務(wù)器116上的中央數(shù)據(jù)庫118中以被用作備份和同步存儲)�����。這允許用戶102訪問來自連接至通信系統(tǒng)的不同設(shè)備的所存儲的訪問證書。這樣����,所存儲的訪問證書在特定用戶的示例(例如用戶A102)和不同的設(shè)備上同歩。這允許用戶A的所有設(shè)備通過管理在任何那些設(shè)備上的訪問證書列表訪問他知道的所有無線網(wǎng)絡(luò)���。 對于公司用戶�����,能夠在通信系統(tǒng)的服務(wù)器側(cè)上設(shè)置功能部件以管理訪問接入點(diǎn)和相應(yīng)的訪問證書的公司范圍的列表�����。這可以允許用于多個訪問接入點(diǎn)的訪問證書在ー步中改變。公司(或者“企業(yè)”)可以使用‘企業(yè)網(wǎng)絡(luò)’賬戶管理其所有用戶的聯(lián)系人列表�����,或者將共享的訪問證書添加至以任何方式存儲在所有聯(lián)系人列表中的賬戶�,例如IT支持臺。這樣��,能夠?qū)⒃L問證書提供給與公司相關(guān)聯(lián)的通信系統(tǒng)的所有用戶,例如以允許用戶訪問與公司相關(guān)聯(lián)的網(wǎng)絡(luò)��,例如公司的LAN��。使用系統(tǒng)的任何用戶能夠創(chuàng)建‘IT支持’賬戶��,以及在這個賬戶上共享網(wǎng)絡(luò)證書����。然而,需要有特殊的系統(tǒng)可用于允許用戶以受控制的方式管理其他用戶的聯(lián)系人列表���,以使得僅對被授權(quán)進(jìn)行這種動作的用戶起作用��。例如��,Skype通信系統(tǒng)具有能夠用于此的Skype管理器�。綜上所述���,當(dāng)用戶A輸入用于訪問網(wǎng)絡(luò)的訪問證書��,這些訪問證書存儲在設(shè)備104本地上(雖然可以進(jìn)行復(fù)制并且存儲在服務(wù)器116上用于備份)��。在一些實(shí)施例中�����,經(jīng)由存儲的訪問證書的子集可以與通信系統(tǒng)的其他用戶共享�����,并且其他用戶中的每個用戶可以看到訪問證書的不同的子集(如果客戶程序108的UI許可這個更加復(fù)雜的管理結(jié)構(gòu))��。一旦用戶A指明哪些用戶被允許接受存儲的訪問證書����,指明的用戶的其他客戶程序?qū)⒛軌蛉〉迷L問證書(其中為了這個的發(fā)生,其他客戶程序必須在線)�����。然后其他用戶的客戶程序能夠使用他們接收到的訪問證書在接下來的某個時間點(diǎn)訪問共享的網(wǎng)絡(luò)����。為了訪問網(wǎng)絡(luò)�,訪問證書存儲在(其他用戶的)其他用戶終端上,這是因?yàn)楫?dāng)用戶終端沒有訪問證書可用時�����,用于訪問服務(wù)器116的網(wǎng)絡(luò)將不能被訪問。參照圖3在上文中描述的在用戶102和用戶110之間(或者相同用戶��,例如用戶102的不同設(shè)備之間)共享訪問證書的方法沒有指定可以被共享的證書的格式����。該方法使用客戶程序共享證書而不會始終以用戶110能夠理解的形式向他提供訪問證書。這為用戶102提供了安全性他在通信系統(tǒng)上共享的訪問證書將不會被重新分配給除了被用戶102識別為許可使用該訪問證書的用戶以外的用戶����。然而,在其他實(shí)施例中����,訪問證書可以這樣的方式在通信系統(tǒng)上共享僅當(dāng)可用該訪問證書訪問的特定無線網(wǎng)絡(luò)在用戶終端的范圍內(nèi)時,訪問證書可以是有用的���,該用戶終端執(zhí)行接收訪問證書的客戶程序���。通過對存儲在通信系統(tǒng)中(例如數(shù)據(jù)庫118上)的訪問證書進(jìn)行加密提供了與訪問證書相關(guān)的附加級別的安全性。這允許訪問證書對于不能對加密的訪問證書進(jìn)行解密的第三方保密���。然而�,為了能夠?qū)崿F(xiàn)對網(wǎng)絡(luò)120的訪問��,訪問證書必須能夠以未加密的形式可用。任何合理有用的加密算法可以用于對訪問證書進(jìn)行加密�,但是需要技巧的部分是使用什么加密密鑰,以及如何使得加密密鑰對于需要使用該訪問證書訪問網(wǎng)絡(luò)120的用戶(而不是未被許可檢索訪問證書的那些用戶)可用����。發(fā)明人已經(jīng)意識到能夠通過使用訪問接入點(diǎn)122的屬性(例如訪問接入點(diǎn)的SSID和MAC地址)以獲得用于對用于經(jīng)由訪問接入點(diǎn)122訪問網(wǎng)絡(luò)120的訪問證書進(jìn)行加密的加密密鑰,實(shí)現(xiàn)在訪問證書被實(shí)際使用之前隱藏訪問證書的目的���。也就是說����,與訪問接入點(diǎn)122相關(guān)聯(lián)的訪問證書是以這樣的方式加密的需要獲知訪問接入點(diǎn)122的ー些屬性以對訪問證書進(jìn)行解密���。這樣��,只有那些能夠確定訪問接入點(diǎn)122的所需屬性的客戶(或者用戶)能夠?qū)用艿脑L問證書進(jìn)行解密���。優(yōu)選地,訪問接入點(diǎn)的屬性是通過其與訪問接入點(diǎn)122本身通信所確定的屬性�����。例如�����,該屬性可以是識別符�����,或者訪問接入點(diǎn)122的一些識別符�����,例如訪問接入點(diǎn)122的SSID和MAC地址�����??蛻舫绦蚰軌蛲ㄟ^與訪問接入點(diǎn)122本身通信來確定訪問接入點(diǎn)122的SSID和MAC地址,以使得如果客戶程序在訪問接入點(diǎn)122的范
圍內(nèi)����,那么客戶程序能獲知訪問證書所應(yīng)用的訪問接入點(diǎn)122的SSID和MAC地址。參照圖5���,現(xiàn)在描述ー種用于對經(jīng)由訪問接入點(diǎn)122訪問網(wǎng)絡(luò)120的訪問證書進(jìn)行加密的方法�,以使得僅在訪問接入點(diǎn)122的范圍內(nèi)的那些客戶程序能夠?qū)用艿脑L問證書進(jìn)行解密?��?蛻舫绦?08可以訪問用于經(jīng)由訪問接入點(diǎn)122訪問網(wǎng)絡(luò)120所需的訪問證書��。這可以是因?yàn)橛脩?02已經(jīng)將訪問證書輸入用戶終端104中(諸如經(jīng)由客戶程序108的用戶界面)以供客戶程序108使用�����?��?蛇x地,客戶程序108可以從用戶終端104上(或者通信系統(tǒng)上)的存儲器取得訪問證書���。在步驟S502中���,第一客戶程序108確定訪問接入點(diǎn)122的SSID和MAC地址。為了確定訪問接入點(diǎn)122的SSID和MAC地址�����,第一客戶程序108可以接收來自無線連接上的訪問接入點(diǎn)122的SSID和MAC地址�����。可選地���,訪問接入點(diǎn)122的SSID和MAC地址可以存儲在用戶終端104處的存儲器中或者通信系統(tǒng)上以使得客戶程序108能夠自適當(dāng)?shù)拇鎯ζ鞯脑L問接入點(diǎn)122取得SSID和MAC地址?����?蛇x地��,用戶102可以將SSID和MAC地址輸進(jìn)用戶終端104上的客戶程序108的用戶界面中�。應(yīng)當(dāng)理解的是,客戶程序108可以多種不同方式中的一種來確定訪問接入點(diǎn)122的SSID和MAC地址��,以使得在步驟S502之后�����,客戶程序可以訪問訪問接入點(diǎn)122的SSID和MAC地址����。在步驟S504中,從訪問接入點(diǎn)122的SSID和MAC地址獲得了加密密鑰�。例如,可以使用采用訪問接入點(diǎn)122的SSID和MAC地址作為輸入?yún)?shù)的單向散列函數(shù)生成加密密鑰�����。例如,可以如現(xiàn)有技術(shù)中已知地將訪問接入點(diǎn)122的SSID和MAC地址輸入MD5摘要函數(shù)中����,以使得ENCRYPT 10N_KEY = MD5 (SSID || MAC)。由于散列函數(shù)是不可逆的�,所以不知道訪問接入點(diǎn)122的SSID和MAC地址就不能對訪問證書進(jìn)行解密(假設(shè)散列函數(shù)的大小足夠大以進(jìn)行計(jì)算機(jī)不能實(shí)行的整個密鑰空間的強(qiáng)カ掃描)。如下文將更加詳細(xì)描述地�,然后加密密鑰能夠用于在分配之前對網(wǎng)絡(luò)訪問證書進(jìn)行加密。 當(dāng)加密的訪問證書隨后被解密時���,有用的是具有用于確定解密操作是否成功的一些簡單的結(jié)構(gòu)����。因此���,為了確定解密操作是否成功���,解密的數(shù)據(jù)應(yīng)當(dāng)包括可以允許解密結(jié)果
的簡單證實(shí)的部分。實(shí)現(xiàn)這個的ー個可能的方法是在能夠用于證實(shí)解密結(jié)果的明文數(shù)據(jù)(具有訪問證書)中包括數(shù)據(jù)的常數(shù)或者校驗(yàn)和���。也就是說�,在訪問證書的加密之前,某種校驗(yàn)數(shù)據(jù)可以與訪問證書一起被包括���,以使得通過確定是否已經(jīng)正確地對校驗(yàn)數(shù)據(jù)進(jìn)行解密��,能夠確定對訪問證書的解密操作是否已經(jīng)成功���。在步驟S506中����,獲得在加密之前待被與訪問證書一起被包括的適當(dāng)?shù)男r?yàn)數(shù)據(jù)。如果校驗(yàn)數(shù)據(jù)僅包括在訪問證書的明文數(shù)據(jù)中�����,那么可能不利的是允許試圖進(jìn)行密鑰空間的強(qiáng)有力的掃描的第三方更加容易地證實(shí)解密結(jié)果�。對于校驗(yàn)數(shù)據(jù)的更加安全的選擇是還獲得來自用作加密密鑰生成輸入?yún)?shù)的訪問接入點(diǎn)122的一個或者兩個識別符。例如�,校驗(yàn)數(shù)據(jù)可以是應(yīng)用至訪問接入點(diǎn)122的MAC地址和隨機(jī)選擇常數(shù)的信息摘要函數(shù)的結(jié)果,例如校驗(yàn)數(shù)據(jù)(CHECK)可以由此給出CHECK = MD5 (MAC 11 “Salt”)����。在這個示例中,詞語“Salt”被用作隨機(jī)常數(shù)��,但是在其他示例中,可以使用任何其他的常數(shù)�����?�?赡鼙匾氖浅?shù)是預(yù)定的以使得通信系統(tǒng)中的客戶程序能夠確定被用于生成校驗(yàn)數(shù)據(jù)的常數(shù)將是什么����。在上文的示例中,訪問接入點(diǎn)122的MAC地址被用于生成校 驗(yàn)數(shù)據(jù)����,但是在其他示例中,可以代替地(或者一起)使用訪問接入點(diǎn)122的其他屬性���,例如訪問接入點(diǎn)122的SSID�。對于本領(lǐng)域技術(shù)人員明顯的是��,其他函數(shù)可以與信息摘要函數(shù)(MD5) 一起用于確定加密密鑰和校驗(yàn)數(shù)據(jù)��,上文描述的僅僅是適當(dāng)函數(shù)的ー個示例�。在步驟S508中,客戶程序108使用在步驟S504中獲得的加密密鑰將訪問證書和校驗(yàn)數(shù)據(jù)組在一起并且加密�����。本領(lǐng)域技術(shù)人員應(yīng)當(dāng)清楚用于使用加密密鑰對訪問證書和校驗(yàn)數(shù)據(jù)進(jìn)行加密的適當(dāng)?shù)募用芊椒āH缓竽軌驅(qū)⒓用艿脑L問證書和校驗(yàn)數(shù)據(jù)在通信系統(tǒng)上從客戶程序108提供給客戶程序114���。第一客戶程序108可以簡單地在通信系統(tǒng)上將加密的訪問證書和校驗(yàn)數(shù)據(jù)傳輸給第二客戶程序114���。可選地��,加密的訪問證書和校驗(yàn)數(shù)據(jù)因此能夠如上文所述在通信系統(tǒng)上從第一客戶程序108提供給第二客戶程序114��,因此第一客戶程序108將用戶終端104處(或者數(shù)據(jù)庫118上)的加密的訪問證書和校驗(yàn)數(shù)據(jù)存儲在通信系統(tǒng)上的用戶102的專用個人資料中���。用戶102授權(quán)第二用戶110的客戶程序114訪問加密的訪問證書和校驗(yàn)數(shù)據(jù)。然后客戶程序114能夠如上文所述取得來自用戶終端104(或者數(shù)據(jù)庫118)的加密的訪問證書和校驗(yàn)數(shù)據(jù)�����。當(dāng)?shù)诙脩艚K端112能夠與訪問接入點(diǎn)122通信時����,然后在步驟S512中,客戶程序114能夠確定訪問接入點(diǎn)122的SSID和MAC地址�。這可以通過訪問接入點(diǎn)在無線連接上將訪問接入點(diǎn)122的SSID和MAC地址傳輸給客戶程序114來實(shí)現(xiàn)�。當(dāng)訪問接入點(diǎn)122在用戶終端112的范圍內(nèi)時���,客戶程序114僅能夠從訪問接入點(diǎn)122通過無線連接接收訪問接入點(diǎn)122的SSID和MAC地址����,以使得客戶程序114能夠與訪問接入點(diǎn)122通信����。在步驟S514中,客戶程序114使用訪問接入點(diǎn)122的SSID和MAC地址以獲得用于對被使用加密密鑰加密的加密訪問證書和校驗(yàn)數(shù)據(jù)進(jìn)行解密的解密密鑰(DECRYPTI0N_KEY)����。使用與用于獲得加密密鑰相同的函數(shù)(例如信息摘要函數(shù),MD5)獲得解密密鑰�。例如,解密密鑰(DECRYPT10Ν_ΚΕΥ)可以這樣給出DECRYPT 10N_KEY = MD5 (SSID || MAC)�����。在步驟S516中��,解密密鑰用于根據(jù)解密函數(shù)對加密的訪問證書和校驗(yàn)數(shù)據(jù)進(jìn)行解密�����,該解密函數(shù)與在步驟S508中用于對訪問證書和校驗(yàn)數(shù)據(jù)進(jìn)行加密的加密函數(shù)相對應(yīng)。
在步驟S518中���,客戶程序114通過確定校驗(yàn)數(shù)據(jù)是否被有效地解密�����,確定解密操作是否已經(jīng)成功��。例如���,客戶程序114可以確定校驗(yàn)數(shù)據(jù)應(yīng)該是什么,例如通過實(shí)施與步驟S506中相同的求導(dǎo)(例如CHECK = MD5 (MAC II “Salt”)����,并且然后將那種推導(dǎo)的結(jié)果與從步驟S516中的解密得到的解密的校驗(yàn)數(shù)據(jù)相比較���。如果比較顯示解密操作已經(jīng)成功��,那么如步驟S520所示���,客戶程序114能夠經(jīng)由訪問接入點(diǎn)122使用解密的訪問證書訪問網(wǎng)絡(luò)120。如上文所述����,在步驟S518的正結(jié)果之后�,客戶程序114可以自動地連接至網(wǎng)絡(luò)120���?���?蛇x地�����,在步驟S520中訪問網(wǎng)絡(luò)120之前����,客戶程序114可以提示用戶110 (例如經(jīng)由客戶程序114的用戶界面)指示他是否想要訪問網(wǎng)絡(luò)120。然而�����,如果在步驟S518中確定出解密的檢驗(yàn)數(shù)據(jù)不是有效的��,那么在步驟S522中���,確定為解密的訪問證書不能被有效地用于經(jīng)由訪問接入點(diǎn)122訪問網(wǎng)絡(luò)120�����。在這種情形中��,客戶程序114不可以試圖使用解密的訪問證書經(jīng)由訪問接入點(diǎn)122訪問網(wǎng)絡(luò)120�����?��?蛻舫绦?14可以盡可能多地取得來自通信系統(tǒng)(例如如上文所述����,來自用戶110的聯(lián)系人的個人資料)的訪問證書集�。此外,在步驟S512中�,客戶程序114還可以確定盡 可能多的目前通信的訪問接入點(diǎn)的SSID和MAC地址。然后����,客戶程序114能夠通過實(shí)施用于訪問證書集與訪問接入點(diǎn)的各自配對的步驟S514至S522��,確定與任何訪問接入點(diǎn)相關(guān)的任何取得的訪問證書集是否有效。在發(fā)現(xiàn)能夠有效地用于經(jīng)由客戶程序114目前能夠與其通信的訪問接入點(diǎn)中的ー個訪問網(wǎng)絡(luò)的所取得的訪問證書的一個集之后�����,客戶程序114可以�,或者可以不停止確定訪問證書集與訪問接入點(diǎn)的其他配對是否有效。在這個意義上���,為了使用訪問證書���,軟件(即客戶程序114)重復(fù)對于可用范圍內(nèi)的所有訪問接入點(diǎn)的解密密鑰生成方法。如果加密的證書是用于范圍內(nèi)的網(wǎng)絡(luò)中的ー個�����,那么解密操作將顯示對于那個特定的訪問接入點(diǎn)的證書����。簡而言之,為了使客戶程序108共享由訪問接入點(diǎn)122的SSID和MAC地址識別的�����,用于訪問接入點(diǎn)122的訪問證書�,客戶程序108將實(shí)施以下函數(shù)ENCRYPT 10N_KEY = MD5(SSID || MAC)����;CHECK = MD5 (MAC Il “Salt”)����;DATA = CHECK+METHOD+ALGORITHM+NWK_KEY ;SHARED_DATA = ENCRYPT (DATA, ENCRYPT 10N_KEY)��。這里��,訪問證書包括用于經(jīng)由訪問接入點(diǎn)122有效地訪問網(wǎng)絡(luò)120的網(wǎng)絡(luò)密鑰(NWK_KEY)��,以及當(dāng)與訪問接入點(diǎn)122通信時使用的加密方法(METHOD)和加密算法(ALGORITHM)�����。稱為ENCRYPT的函數(shù)是適于使用加密密鑰對數(shù)據(jù)進(jìn)行加密的任何加密函數(shù)�。SHARED_DATA可以包括加密或者未加密形式的其他屬性,尤其是訪問證書的實(shí)效時間���。為了使用訪問證書�����,客戶程序114將對范圍內(nèi)的每個訪問接入點(diǎn)實(shí)施以下函數(shù)DECRYPT 10N_KEY = MD5 (SSID || MAC)CHECK = MD5 (MAC Il “Salt”)對客戶程序114得到的每個訪問證書集實(shí)施以下函數(shù){
DATA = DECRYPT(SHARED_DATA, DECRYPTION—KEY)
如果 DATA(CHECK) = CHECK 那么{
METHOD = DATA(METHOD)
ALGORITHM = DATA(ALGORITHM)
NWKKEY = DATA(NWKKEY)
}
}
稱為DECRYPT的函數(shù)是適于使用解密密鑰對數(shù)據(jù)進(jìn)行解密的解密函數(shù),因此DECRYPT函數(shù)與用于對訪問證書和校驗(yàn)數(shù)據(jù)進(jìn)行加密的ENCRYPT函數(shù)相對應(yīng)。能夠看出���,如果加密數(shù)據(jù)中的校驗(yàn)數(shù)據(jù)被正確地解密(例如當(dāng)它被解密時�,它給出與函數(shù)MD5(MAC|| “Salt”)相同的結(jié)果)�����,那么客戶程序114獲得來自用于在使用相關(guān)的訪問接入點(diǎn)訪問相關(guān)網(wǎng)絡(luò)中使用的解密數(shù)據(jù)的解密的加密方法(METHOD)��、加密算法(ALGORITHM)和網(wǎng)絡(luò)密鑰(NWK_KEY)��。也就是說���,如果用戶終端112的范圍內(nèi)的任何訪問接入點(diǎn)產(chǎn)生了有效的網(wǎng)絡(luò)訪問證書����,那么能夠從具有那些訪問證書的訪問接入點(diǎn)訪問網(wǎng)絡(luò)����。上文描述的方法可以在軟件(例如在上文描述的客戶程序中),或者硬件中實(shí)現(xiàn)����。更通常地���,上文描述的方法能夠在計(jì)算機(jī)程序產(chǎn)品中實(shí)施,該計(jì)算機(jī)程序產(chǎn)品包括用于由通信系統(tǒng)的節(jié)點(diǎn)(例如用戶終端104或者用戶終端112)處的計(jì)算機(jī)處理器件(例如CPU)執(zhí)行的計(jì)算機(jī)可讀指令����。
雖然參照優(yōu)選實(shí)施例特別地示出和描述了本發(fā)明,但是本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解的是�����,可以做出形式和細(xì)節(jié)的各種變化而不偏離由下面的權(quán)利要求所限定的本發(fā)明的范圍�。
權(quán)利要求
1.一種許可訪問網(wǎng)絡(luò)的方法,其通過在通信系統(tǒng)中在所述通信系統(tǒng)的相應(yīng)第一用戶和第二用戶的相應(yīng)第一用戶終端和第二用戶終端處執(zhí)行的第一通信客戶程序和第二通信客戶程序之間對訪問證書進(jìn)行共享來進(jìn)行���,所述訪問證書用于對網(wǎng)絡(luò)進(jìn)行訪問�����,所述方法包括 所述第一通信客戶程序?qū)⑺鲈L問證書存儲在所述第一用戶終端的第一存儲裝置中或者所述通信系統(tǒng)的第一存儲裝置中��; 所述第一用戶授權(quán)所述第二用戶對存儲在所述第一存儲裝置中的所述訪問證書進(jìn)行訪問�; 所述第二通信客戶程序基于所述第二用戶的對所述第一存儲裝置中的所述訪問證書進(jìn)行訪問的授權(quán)�,訪問所述第一存儲裝置并且取得所述訪問證書; 所述第二通信客戶程序?qū)⑺〉玫脑L問證書存儲在所述第二用戶終端處的第二存儲裝置中����;以及 所述第二通信客戶程序使用被存儲在所述第二存儲裝置中的所述訪問證書來對網(wǎng)絡(luò)進(jìn)行訪問�����,且不以所述第二用戶可理解的方式向所述第二用戶傳達(dá)所取得的訪問證書。
2.根據(jù)權(quán)利要求I所述的方法��,其中���,所述第一用戶授權(quán)所述第二用戶的步驟包括所述第一用戶在所述第一通信客戶程序的用戶界面中選擇所述第二用戶��。
3.根據(jù)權(quán)利要求I所述的方法��,其中��,所述第一用戶授權(quán)所述第二用戶的步驟包括所述第一用戶在所述第一通信客戶程序的用戶界面中將所述第二用戶包括進(jìn)聯(lián)系人列表中����。
4.根據(jù)權(quán)利要求I所述的方法��,其中�,所述網(wǎng)絡(luò)是無線網(wǎng)絡(luò),并且所述方法進(jìn)一步包括 所述第一通信客戶程序?qū)⑴c所述訪問證書關(guān)聯(lián)的所述無線網(wǎng)絡(luò)的訪問接入點(diǎn)的至少一個識別符存儲在所述第一存儲裝置中�����; 所述第二通信客戶程序取得所述訪問接入點(diǎn)的所述至少一個識別符;以及 所述第二通信客戶程序使用所述至少一個識別符來識別所述訪問接入點(diǎn)�; 其中,所述第二通信客戶程序使用所取得的訪問證書而經(jīng)由所識別的訪問接入點(diǎn)對所述網(wǎng)絡(luò)進(jìn)行訪問��。
5.根據(jù)權(quán)利要求4所述的方法���,進(jìn)一步包括所述第一通信客戶程序搜索無線網(wǎng)絡(luò)并且向所述第一用戶提供所述無線網(wǎng)絡(luò)的所述訪問接入點(diǎn)的所述至少一個識別符�����。
6.根據(jù)權(quán)利要求4所述的方法��,其中����,所述至少一個識別符包括所述訪問接入點(diǎn)的服務(wù)區(qū)識別符和媒體存取控制地址���。
7.根據(jù)權(quán)利要求I所述的方法��,進(jìn)一步包括所述第一用戶向所述第一通信客戶程序輸入所述訪問證書�。
8.根據(jù)權(quán)利要求I所述的方法,其中�,所述訪問證書在預(yù)定的時間期間后期滿,以便在所述預(yù)定的時間期間后��,所述訪問證書不再提供對所述網(wǎng)絡(luò)的訪問��。
9.根據(jù)權(quán)利要求I所述的方法�����,進(jìn)一步包括 所述第二通信客戶程序搜索所述網(wǎng)絡(luò)��;以及 所述第二通信客戶程序通過訪問所述第一存儲裝置來判定所述第二通信客戶程序具有對所述網(wǎng)絡(luò)進(jìn)行訪問的許可�����。
10.根據(jù)權(quán)利要求9所述的方法�,其中���,所述第二通信客戶程序使用所取得的訪問證書對所述網(wǎng)絡(luò)進(jìn)行訪問的所述步驟是響應(yīng)于對所述第二通信客戶程序具有對所述網(wǎng)絡(luò)進(jìn)行訪問的許可的判定而自動實(shí)施的�����。
11.根據(jù)權(quán)利要求9所述的方法���,其中�����,所述第二通信客戶程序使用所取得的訪問證書對所述網(wǎng)絡(luò)進(jìn)行訪問的所述步驟是在對所述第二通信客戶程序具有對所述網(wǎng)絡(luò)進(jìn)行訪問的許可的判定后���,響應(yīng)于所述第二用戶指明對所述網(wǎng)絡(luò)進(jìn)行訪問的期望而實(shí)施的。
12.根據(jù)權(quán)利要求I所述的方法���,其中����,不向所述第二用戶顯示所取得的訪問證書�。
13.根據(jù)權(quán)利要求I所述的方法,其中����,所取得的訪問證書以不為所述第二用戶可理解的方式存儲在所述第二用戶終端處,所述第二用戶不知道所述網(wǎng)絡(luò)的訪問接入點(diǎn)的服務(wù)區(qū)識別符和媒體存取控制地址��。
14.根據(jù)權(quán)利要求I所述的方法��,其中���,所述第一用戶和所述第二用戶是所述通信系統(tǒng)的多個用戶中的兩個��,并且其中����,所述方法包括所述第一用戶授權(quán)多個用戶的子集對存儲在所述第一存儲裝置中的所述訪問證書進(jìn)行訪問。
15.根據(jù)權(quán)利要求14所述的方法�,其中,多個用戶的所有子集是所述通信系統(tǒng)中的所述第一用戶的聯(lián)系人�。
16.根據(jù)權(quán)利要求15所述的方法,其中����,所述第一用戶授權(quán)多個用戶的子集的所述步驟包括所述第一用戶在所述第一通信客戶程序的用戶界面中指明所述第一用戶的所有聯(lián)系人為經(jīng)授權(quán)的����。
17.根據(jù)權(quán)利要求15所述的方法,其中���,所述第一用戶授權(quán)多個用戶的子集的所述步驟包括所述第一用戶在所述第一通信客戶程序的用戶界面中指明所述第一用戶的聯(lián)系人的另一子集為經(jīng)授權(quán)的����。
18.根據(jù)權(quán)利要求I所述的方法���,其中��,在所述通信系統(tǒng)的服務(wù)器上實(shí)現(xiàn)所述第一存儲裝置��。
19.一種用于許可訪問網(wǎng)絡(luò)的通信系統(tǒng)��,所述通信系統(tǒng)包括 用于在所述通信系統(tǒng)的第一用戶的第一用戶終端處執(zhí)行的第一通信客戶程序��; 用于在所述通信系統(tǒng)的第二用戶的第二用戶終端處執(zhí)行的第二通信客戶程序���; 第一存儲裝置�����,其用于存儲用于對網(wǎng)絡(luò)進(jìn)行訪問的訪問證書����;以及 在所述第二用戶終端處的第二存儲裝置���,其用于存儲所述訪問證書����; 其中����,所述第一通信客戶程序被配置為將所述訪問證書存儲在所述第一存儲裝置中���,并且從所述第一用戶接收輸入以授權(quán)所述第二用戶對存儲在所述第一存儲裝置中的所述訪問證書進(jìn)行訪問;并且 其中�����,所述第二通信客戶程序被配置為基于所述第二用戶的對所述第一存儲裝置中的所述訪問證書進(jìn)行訪問的授權(quán)�,訪問所述第一存儲裝置并且取得所述訪問證書,將所取得的訪問證書存儲在所述第二存儲裝置中��,并且使用被存儲在所述第二存儲裝置中的所述訪問證書來對網(wǎng)絡(luò)進(jìn)行訪問����,且不以所述第二用戶可理解的方式向所述第二用戶傳達(dá)所取得的訪問證書。
20.根據(jù)權(quán)利要求19所述的通信系統(tǒng)�,其中�����,在所述第一用戶終端處或者所述通信系統(tǒng)的服務(wù)器上實(shí)現(xiàn)所述第一存儲裝置���。
21.一種訪問網(wǎng)絡(luò)的方法���,其使用在通信系統(tǒng)用戶的用戶終端處執(zhí)行的通信客戶程序來進(jìn)行�����,其中���,由在所述通信系統(tǒng)的另一用戶的另一用戶終端處執(zhí)行的另一通信客戶程序?qū)⒂糜谠L問網(wǎng)絡(luò)的訪問證書存儲在該另一用戶終端的第一存儲裝置中或者所述通信系統(tǒng)的第一存儲裝置中,所述另一用戶已經(jīng)授權(quán)所述用戶對存儲在所述第一存儲裝置中的所述訪問證書進(jìn)行訪問�����,所述方法包括 所述通信客戶程序基于所述用戶的對所述第一存儲裝置中的所述訪問證書進(jìn)行訪問的授權(quán)���,訪問所述第一存儲裝置并且取得所述訪問證書�����; 所述通信客戶程序?qū)⑺〉玫脑L問證書存儲在所述用戶終端處的第二存儲裝置中�;以及 所述通信客戶程序使用被存儲在所述第二存儲裝置中的所述訪問證書來對網(wǎng)絡(luò)進(jìn)行訪問���,不以所述第二用戶可理解的方式向所述第二用戶傳達(dá)所取得的訪問證書�����。
22.—種計(jì)算機(jī)程序產(chǎn)品�����,包括由在通信系統(tǒng)用戶的用戶終端處的計(jì)算機(jī)處理裝置執(zhí)行的用于訪問網(wǎng)絡(luò)的計(jì)算機(jī)可讀指令���,所述指令包括用于實(shí)現(xiàn)為實(shí)施根據(jù)權(quán)利要求21所 述的方法的通信客戶程序的指令��。
23.一種用于訪問網(wǎng)絡(luò)的用戶終端��,所述用戶終端包括用于執(zhí)行通信系統(tǒng)的用戶的通信客戶程序的裝置��,其中���,由在所述通信系統(tǒng)的另一用戶的另一用戶終端處執(zhí)行的另一通信客戶程序?qū)⒂糜谠L問網(wǎng)絡(luò)的訪問證書存儲在該另一用戶終端的第一存儲裝置中或者所述通信系統(tǒng)的第一存儲裝置中,所述另一用戶已經(jīng)授權(quán)所述用戶對存儲在所述第一存儲裝置中的所述訪問證書進(jìn)行訪問����,所述用戶終端包括 取還裝置,其用于根據(jù)所述通信客戶程序的執(zhí)行�,基于所述用戶對第一存儲裝置中的所述訪問證書進(jìn)行訪問的授權(quán)而訪問所述第一存儲裝置并且取得所述訪問證書�����; 第二存儲裝置,其用于存儲所取得的訪問證書����;以及 訪問裝置,其用于根據(jù)所述通信客戶程序的執(zhí)行���,使用存儲在所述第二存儲裝置中的所述訪問證書對所述網(wǎng)絡(luò)進(jìn)行訪問����,且不以所述第二用戶可理解的方式向所述第二用戶傳達(dá)所取得的訪問證書���。
24.一種許可訪問網(wǎng)絡(luò)的方法�,其通過將訪問證書存儲在通信系統(tǒng)中供在所述通信系統(tǒng)的相應(yīng)第一用戶終端和第二用戶終端處執(zhí)行的第一通信客戶程序和第二通信客戶程序的用戶使用來進(jìn)行��,所述訪問證書用于對網(wǎng)絡(luò)進(jìn)行訪問���,所述方法包括 所述第一通信客戶程序?qū)⑺鲈L問證書存儲在所述通信系統(tǒng)的第一存儲裝置中�����,其中�����,所述用戶被授權(quán)對存儲在所述第一存儲裝置中的所述訪問證書進(jìn)行訪問�; 所述第二通信客戶程序基于所述用戶的對所述第一存儲裝置中的所述訪問證書進(jìn)行訪問的授權(quán)而訪問所述第一存儲裝置并且取得所述訪問證書; 所述第二通信客戶程序?qū)⑺〉玫脑L問證書存儲在所述第二用戶終端處的第二存儲裝置中��;以及 所述第二通信客戶程序使用被存儲在所述第二存儲裝置中的所述訪問證書來對網(wǎng)絡(luò)進(jìn)行訪問�����,且不以所述第二用戶可理解的方式向所述第二用戶傳達(dá)所取得的訪問證書�����。
全文摘要
一種許可訪問網(wǎng)絡(luò)的方法和通信系統(tǒng)���,其通過在通信系統(tǒng)中在通信系統(tǒng)的第一和第二用戶的第一和第二用戶終端處執(zhí)行的第一和第二通信客戶程序之間對訪問證書進(jìn)行共享來實(shí)現(xiàn)���。訪問證書用于對網(wǎng)絡(luò)進(jìn)行訪問。所述方法包括第一通信客戶程序?qū)⒃L問證書存儲在第一用戶終端或通信系統(tǒng)的第一存儲裝置中�;并且第一用戶授權(quán)所述第二用戶對存儲在第一存儲裝置中的訪問證書進(jìn)行訪問;第二通信客戶程序基于第二用戶的訪問第一存儲裝置中的訪問證書的授權(quán)而訪問第一存儲裝置來取得訪問證書并存儲在第二用戶終端的第二存儲裝置中����;第二通信客戶程序使用第二存儲裝置中的訪問證書來對網(wǎng)絡(luò)進(jìn)行訪問,不以所述第二用戶可理解的方式向第二用戶傳達(dá)所取得的訪問證書。
文檔編號H04L29/06GK102739643SQ201210112409
公開日2012年10月17日 申請日期2012年4月16日 優(yōu)先權(quán)日2011年4月15日
發(fā)明者沙迪·馬哈斯?fàn)? 馬迪斯·卡爾 申請人:斯凱普公司