[发明专利]许可访问网络

说明书

技术领域

本发明涉及许可访问网络。本发明尤其涉及通过在通信系统上对访问证书进行共享来许可访问网络。

背景技术

设备能够经由网络的访问接入点来访问网络以及与网络进行通信。所述网络可以是局域网(LAN)，诸如能够连接商行雇员的商行局域网。可替代地，所述网络可以是广域网(WAN)，诸如因特网。访问接入点可以是无线访问接入点从而设备能够与访问接入点进行无线通信(例如使用WiFi连接，或者本领域已知的一些其他无线连接)。

为了设备与访问接入点进行通信，可以要求设备使用用于经由访问接入点访问网络的特定的一组访问证书。当设备为特定的访问接入点使用正确的一组访问证书时，该设备被许可经由访问接入点访问网络，并且在经由访问接入点在网络上的通信中将因而使用正确的协议。通过要求设备具有正确的访问证书，其能够保证只有特定的设备(即那些使用正确的访问证书的设备)能够经由访问接入点访问网络。用这种方式限制经由访问接入点访问网络是有用的，例如能够防止不期望的用户经由特定的访问接入点访问特定的网络。

无线访问接入点在“空中下载”可以由其两个属性唯一识别：(i)用户指定的服务集标识符(SSID)，其为由用户设定的无线网络的名称，以及(ii)无线接口媒体访问控制(MAC)地址，其为由访问接入点制造商分配给该访问接入点的唯一的48位值。SSID和MAC地址作为访问接入点的标识符。

用于经由访问接入点访问无线网络的访问证书可以包括在与访问接入点进行通信时使用的加密方法(诸如有线等效保密(WEP)、Wi-Fi保护访问(WPA)、或者Wi-Fi保护访问版本2(WPA2))和加密算法(诸如临时密钥完整性协议(TKIP)、或者高阶加密标准(AES))。访问证书还可以包括为了许可设备经由访问接入点访问网络而必须检验的网络密钥(或者“访问密钥”)。网络密钥的长度可以取决于所选择的加密方法。为了设备能够经由访问接入点而访问网络，访问证书必须对该设备为可用的。经由访问接入点访问网络所要求的访问证书可以对所使用的特定访问接入点是特定的。

访问证书用于限制经由特定的访问接入点连接到网络的设备的数量。然而，为了许可一些设备经由特定的访问接入点连接到网络，那些设备应具有用于经由特定的访问接入点访问网络所要求的访问证书。

发明内容

在通信系统的第一节点处可能已知了用于经由访问接入点访问网络的访问证书。访问证书能够以安全的方式在通信系统中提供给第二节点，以使得仅当第二节点在与访问接入点通信的范围内时，访问证书能够被使用。为了实现这个，访问证书能够被加密然后在通信系统上被提供给第二节点。有利地，访问证书是使用访问接入点的至少一个标识符加密的，以使得需要访问接入点的至少一个标识符对加密的访问证书进行解密。对于对加密的访问证书进行解密的第二节点，第二节点通过与所述访问接入点通信来判定所述访问接入点的至少一个标识符，并且然后使用判定出的至少一个标识符对加密的访问证书进行解密。因此提供了一种在第二节点能够与访问接入点通信之前，隐藏访问证书的方法。

根据本发明的第一方案，提供了一种许可经由访问接入点访问网络的方法，所述方法包括：在通信系统的第一节点处，判定所述访问接入点的至少一个标识符；使用预定的加密函数和判定出的所述访问接入点的至少一个标识符以这样的方式对所述访问证书进行加密：需要所述访问接入点的至少一个标识符以对加密的访问证书进行解密，所述访问证书用于经由所述访问接入点访问网络；在所述通信系统上将加密的所述访问证书提供给所述通信系统的第二节点；所述第二节点通过与所述访问接入点通信来判定所述访问接入点的至少一个标识符；所述第二节点使用判定出的所述访问接入点的至少一个标识符以使用与所述预定的加密函数相对应的预定的解密函数对加密的访问证书进行解密；以及所述第二节点使用解密的访问证书经由所述访问接入点访问网络。

在优选实施例中，使用预定的加密函数和判定出的所述访问接入点的至少一个标识符对所述访问证书进行加密的所述步骤包括：使用预定的推导函数取得来自所述访问接入点的至少一个标识符的加密密钥；以及使用所述预定的加密函数中的加密密钥对所述访问证书进行加密，并且所述第二节点使用判定出的所述访问接入点的至少一个标识符对所述加密的访问证书进行解密的所述步骤包括：使用预定的推导函数取得来自判定出的所述访问接入点的至少一个标识符的解密密钥；以及使用所述预定的解密函数中的解密密钥对所述加密的访问证书进行解密。优选地，第一推导函数和第二推导函数是不可逆函数。