相關(guān)申請(qǐng)的交叉引用

本申請(qǐng)要求享有于2010年12月30日提交的美國(guó)臨時(shí)專(zhuān)利申請(qǐng)No.61/428,663的權(quán)益，其全部?jī)?nèi)容通過(guò)引用結(jié)合于此。

背景技術(shù)：

用戶通常能夠在漫游于網(wǎng)絡(luò)之間時(shí)連續(xù)的使用服務(wù)。當(dāng)用戶從被當(dāng)前網(wǎng)絡(luò)服務(wù)的位置移動(dòng)到被目標(biāo)網(wǎng)絡(luò)服務(wù)的位置時(shí)，可執(zhí)行切換，例如在接入層執(zhí)行。當(dāng)執(zhí)行切換時(shí)，用戶可能需要被認(rèn)證到正在服務(wù)用戶將要移動(dòng)進(jìn)入的位置的目標(biāo)網(wǎng)絡(luò)。在接入層的認(rèn)證可在每次切換中發(fā)生，并且用戶裝置可使用預(yù)先提供的證書(shū)來(lái)在接入層接入目標(biāo)網(wǎng)絡(luò)。

用戶的通信裝置可使用分層通信機(jī)制來(lái)進(jìn)行通信。在許多情況中，不同的通信層每個(gè)都要求它們自己的安全性。切換可發(fā)生于分層網(wǎng)絡(luò)中的一個(gè)節(jié)點(diǎn)與另一個(gè)節(jié)點(diǎn)之間。雖然存在用來(lái)實(shí)現(xiàn)這類(lèi)切換的技術(shù)，但是通信可要求當(dāng)前所使用的安全性關(guān)聯(lián)或機(jī)制能夠有所突破。

根據(jù)一個(gè)示例，接入層切換可當(dāng)在接入層發(fā)生到另一網(wǎng)絡(luò)的切換時(shí)通過(guò)使用附加安全性建立來(lái)引起當(dāng)前使用的安全性機(jī)制中的突破。例如，附加安全性建立可在每次在接入層發(fā)生切換時(shí)包括另一個(gè)認(rèn)證和/或安全性密鑰協(xié)定的會(huì)話。隨著接入層切換變得更加頻繁，在每次發(fā)生接入層切換時(shí)建立附加安全性會(huì)話可引入延遲和/或不必要的空中通信和/或?qū)W(wǎng)絡(luò)認(rèn)證基礎(chǔ)結(jié)構(gòu)的負(fù)擔(dān)。這使得實(shí)現(xiàn)無(wú)縫切換變得困難起來(lái)。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明內(nèi)容被提供來(lái)以簡(jiǎn)化的形式引入多個(gè)概念，這些概念在下面的具體實(shí)施方式中將被進(jìn)一步描述。

這里描述了用于在移動(dòng)裝置處生成認(rèn)證證書(shū)的系統(tǒng)、方法和設(shè)備實(shí)施方式，其中所述認(rèn)證證書(shū)用于對(duì)移動(dòng)裝置進(jìn)行認(rèn)證以接入網(wǎng)絡(luò)服務(wù)器處的服務(wù)。認(rèn)證的持續(xù)性和一層處的相關(guān)聯(lián)的證書(shū)可被用來(lái)建立另一層處的證書(shū)。如此處所述，可建立持續(xù)通信層證書(shū)，其與網(wǎng)絡(luò)服務(wù)器共享。例如，持續(xù)通信層證書(shū)可以是在應(yīng)用層生成的應(yīng)用層證書(shū)或幸免于(survive)從一個(gè)網(wǎng)絡(luò)到另一個(gè)網(wǎng)絡(luò)的切換的在持續(xù)通信層處生成的其它證書(shū)?？山?jīng)由第一網(wǎng)絡(luò)上的持續(xù)通信層建立持續(xù)通信層證書(shū)。該持續(xù)通信層證書(shū)可被配置為對(duì)移動(dòng)裝置進(jìn)行認(rèn)證以使用第一網(wǎng)絡(luò)從網(wǎng)絡(luò)服務(wù)器接收服務(wù)?？砂l(fā)現(xiàn)第二網(wǎng)絡(luò)上的網(wǎng)絡(luò)通信實(shí)體，并且可基于持續(xù)通信層證書(shū)生成認(rèn)證證書(shū)。認(rèn)證證書(shū)可被用于經(jīng)由不同于所述持續(xù)通信層的通信層與第二網(wǎng)絡(luò)進(jìn)行認(rèn)證，以使得移動(dòng)裝置能夠使用第二網(wǎng)絡(luò)從網(wǎng)絡(luò)服務(wù)器接收服務(wù)。

根據(jù)另一示例實(shí)施方式，可在應(yīng)用服務(wù)器處獲得認(rèn)證證書(shū)，該認(rèn)證證書(shū)用于在位于通信網(wǎng)絡(luò)上的應(yīng)用服務(wù)器處認(rèn)證移動(dòng)裝置。例如，可獲得從應(yīng)用層證書(shū)導(dǎo)出的認(rèn)證證書(shū)?？山?jīng)由與應(yīng)用服務(wù)器相關(guān)聯(lián)的應(yīng)用層獲得所述認(rèn)證證書(shū)。認(rèn)證證書(shū)可被配置為認(rèn)證移動(dòng)通信裝置，以用于接入來(lái)自應(yīng)用服務(wù)器的服務(wù)。可將認(rèn)證證書(shū)從應(yīng)用層發(fā)送到另一通信層，以用于在其它通信層上認(rèn)證移動(dòng)裝置。

根據(jù)示例實(shí)施方式，其它通信層可以是接入層。接入層可以是物理、數(shù)據(jù)鏈路、和/或網(wǎng)絡(luò)層。當(dāng)其它通信層是接入層時(shí)，認(rèn)證證書(shū)可以是用于在接入層處的認(rèn)證的接入層證書(shū)。

本發(fā)明內(nèi)容被提供來(lái)以簡(jiǎn)化的形式引入概念的選擇，這些概念在下面的具體實(shí)施方式中將被進(jìn)一步描述。本發(fā)明內(nèi)容并不意在標(biāo)識(shí)所要求的主題的關(guān)鍵特征或必要特征，也不是為了限制所要求的主題的范圍。此外，所要求的主題并不限制于解決本公開(kāi)中任何部分提及的任何或全部缺點(diǎn)。

附圖說(shuō)明

更詳細(xì)的理解可以從下述結(jié)合附圖給出的示例的描述中得到，其中：

圖1A是可在其中實(shí)施一個(gè)或多個(gè)公開(kāi)的實(shí)施方式的示例通信系統(tǒng)的系統(tǒng)圖；

圖1B是可在圖1A中示出的通信系統(tǒng)內(nèi)使用的示例無(wú)線發(fā)射/接收單元(WTRU)的系統(tǒng)圖；

圖1C是可在圖1A中示出的通信系統(tǒng)內(nèi)使用的示例無(wú)線電接入網(wǎng)和示例核心網(wǎng)的系統(tǒng)圖；

圖2是示出了針對(duì)應(yīng)用層會(huì)話的切換場(chǎng)景的流程圖；

圖3是示出了針對(duì)應(yīng)用層會(huì)話的另一切換場(chǎng)景的流程圖；

圖4是示出了使用本地OpenID的協(xié)議實(shí)現(xiàn)的流程圖；

圖5是示出了使用本地OpenID和許可(grant)接入/授權(quán)的協(xié)議實(shí)現(xiàn)的流程圖；

圖6是示出了通用接入方法(UAM)-OpenID集成的流程圖，其中認(rèn)證、授權(quán)和計(jì)費(fèi)(AAA)服務(wù)器充當(dāng)依賴方(RP)；

圖7是示出了UAM-OpenID集成的流程圖，其中無(wú)線局域網(wǎng)(WLAN)網(wǎng)關(guān)(GW)充當(dāng)RP；

圖8是示出了可擴(kuò)展認(rèn)證協(xié)議(EAP)-OpenID集成的流程圖，其中AAA服務(wù)器充當(dāng)RP；

圖9是示出了EAP-OpenID集成的另一流程圖，其中AAA服務(wù)器充當(dāng)RP；

圖10是示出了EAP-OpenID集成和本地OpenID提供商(本地OP)的實(shí)施的流程圖，其中AAA服務(wù)器充當(dāng)RP；

圖11是示出了EAP-OpenID集成的另一流程圖，其中AAA服務(wù)器充當(dāng)RP；

圖12是示出了將AAA服務(wù)器實(shí)施為OP服務(wù)器的認(rèn)證協(xié)議的流程圖；

圖13是示出了將OpenID消息集成到EAP協(xié)議消息中的流程圖；

圖14是示出了針對(duì)使用OpenID連接的服務(wù)的用戶設(shè)備(UE)認(rèn)證的流程圖；以及

圖15是示出了針對(duì)使用OpenID連接和本地OP的服務(wù)的UE的認(rèn)證的流程圖。

具體實(shí)施方式

這里描述了針對(duì)使用聯(lián)合標(biāo)識(shí)和單點(diǎn)登錄(SSO)的各種實(shí)施(例如OpenID協(xié)議)，以使能無(wú)縫用戶/裝置認(rèn)證并確保異質(zhì)網(wǎng)絡(luò)之間的安全移動(dòng)性。這里描述的實(shí)施方式可利用一個(gè)網(wǎng)絡(luò)上的證書(shū)來(lái)在另一個(gè)網(wǎng)絡(luò)上執(zhí)行認(rèn)證。在一種示例實(shí)施方式中，在一個(gè)網(wǎng)絡(luò)上的持續(xù)通信層處生成的持續(xù)通信層證書(shū)可被用來(lái)執(zhí)行反向自舉(bootstrap)以及以按需和無(wú)縫的方式在另一網(wǎng)絡(luò)上完成安全層認(rèn)證和/或安全隧道設(shè)置。根據(jù)示例實(shí)施方式，持續(xù)通信層證書(shū)可以是在應(yīng)用層處生成的應(yīng)用層證書(shū)或幸免于從一個(gè)網(wǎng)絡(luò)到另一個(gè)網(wǎng)絡(luò)的切換的在通信層處生成的另一證書(shū)。雖然這里的實(shí)施方式描述了在切換場(chǎng)景中使用應(yīng)用層證書(shū)來(lái)在另一層(例如非持續(xù)通信層)處執(zhí)行認(rèn)證，可以理解的是，可使用任何其它幸免于網(wǎng)絡(luò)間的切換的在持續(xù)通信層處建立的證書(shū)。

根據(jù)實(shí)施方式，描述了用于生成接入層認(rèn)證證書(shū)以用于在切換(例如接入層切換)期間對(duì)移動(dòng)裝置進(jìn)行認(rèn)證的系統(tǒng)和方法?？缮烧J(rèn)證證書(shū)，從而被移動(dòng)裝置接入的服務(wù)在切換期間無(wú)縫地繼續(xù)進(jìn)行，而不被打斷。如此處所述，可在接入層處與第一網(wǎng)絡(luò)實(shí)體建立安全通信。還可基于與第一網(wǎng)絡(luò)實(shí)體的安全通信與應(yīng)用服務(wù)器建立安全應(yīng)用層通信?？墒褂冒踩ㄐ沤邮辗?wù)?？砂l(fā)現(xiàn)第二網(wǎng)絡(luò)實(shí)體。可針對(duì)與第二網(wǎng)絡(luò)實(shí)體的認(rèn)證生成認(rèn)證證書(shū)(例如接入層證書(shū))?？墒褂门c應(yīng)用層通信相關(guān)聯(lián)的應(yīng)用層信息生成認(rèn)證證書(shū)。當(dāng)服務(wù)在切換期間無(wú)縫地不被打斷時(shí)，可生成認(rèn)證證書(shū)。

根據(jù)示例實(shí)施方式，可使用例如單點(diǎn)登錄(SSO)協(xié)議在從一個(gè)網(wǎng)絡(luò)到另一個(gè)網(wǎng)絡(luò)的切換期間執(zhí)行認(rèn)證，以使得無(wú)線通信裝置能夠接入來(lái)自應(yīng)用服務(wù)器的服務(wù)。例如，切換可以從蜂窩通信網(wǎng)絡(luò)(例如3GPP網(wǎng)絡(luò))到無(wú)線局域網(wǎng)(WLAN)(例如基于瀏覽器的WLAN或基于802.1x/EAP的WLAN)。SSO協(xié)議可以基于通用自舉架構(gòu)(GBA)。SSO協(xié)議還可實(shí)施OpenID。SSO協(xié)議可被用來(lái)實(shí)施密鑰導(dǎo)出功能，例如反向自舉，以用于生成用于在應(yīng)用服務(wù)器處認(rèn)證用戶和/或裝置的認(rèn)證證書(shū)。應(yīng)用服務(wù)器可包括認(rèn)證、授權(quán)和計(jì)費(fèi)(AAA)服務(wù)器，其充當(dāng)OpenID提供商(OP)或依賴方(RP)。根據(jù)另一實(shí)施方式，應(yīng)用服務(wù)器可包括無(wú)線局域網(wǎng)(WLAN)網(wǎng)關(guān)或WLAN接入點(diǎn)(AP)，其充當(dāng)RP。WLAN AP可允許在UE與另一SSO實(shí)體之間進(jìn)行SSO交換。

這里提供了對(duì)所使用的術(shù)語(yǔ)的描述。本地標(biāo)識(shí)提供商(本地Idp)是針對(duì)客戶端局域化實(shí)體和這一實(shí)體的功能的術(shù)語(yǔ)，該實(shí)體使得在本地(即在裝置上或在裝置附近)為用戶/裝置進(jìn)行標(biāo)識(shí)斷定(assertion)。RP是OpenID協(xié)議中的依賴方或嘗試驗(yàn)證用戶/裝置的標(biāo)識(shí)且與標(biāo)識(shí)提供商具有信任關(guān)系的其他應(yīng)用服務(wù)提供商。OP是OpenID協(xié)議中的OpenID提供商或可代表應(yīng)用服務(wù)提供商認(rèn)證用戶和/或裝置的標(biāo)識(shí)提供商。GW是網(wǎng)關(guān)，例如控制連接的實(shí)體之間的因特網(wǎng)業(yè)務(wù)的實(shí)體。BA是瀏覽代理。U是通用移動(dòng)用戶。UE是通用移動(dòng)用戶的移動(dòng)裝置。

本地移動(dòng)SSO是用來(lái)共同指示方法的術(shù)語(yǔ)，由此單點(diǎn)登錄(SSO)和/或傳統(tǒng)上由基于網(wǎng)頁(yè)的SSO服務(wù)器執(zhí)行的相關(guān)標(biāo)識(shí)管理功能的部分或全部可在所述裝置上本地執(zhí)行。本地移動(dòng)SSO可由基于本地的實(shí)體和/或模塊執(zhí)行，其可以是通信裝置自身的部分或全部。基于本地的實(shí)體/模塊可以物理地和/或邏輯地位于(即本地位于)通信裝置和/或其用戶的附近(例如這種實(shí)體/模塊被嵌入到裝置中，或由本地接口或有線或近距離無(wú)線裝置附著或連接到所述裝置)。

本地OpenID是用來(lái)指示本地移動(dòng)SSO的子集的術(shù)語(yǔ)，由此SSO或標(biāo)識(shí)管理可以基于OpenID協(xié)議。OpenID標(biāo)識(shí)提供商(OP或OpenID IdP)的部分或全部功能可由位于本地的實(shí)體/模塊來(lái)執(zhí)行。

本地OP是用來(lái)指示執(zhí)行OpenID服務(wù)器的部分或全部功能的實(shí)體或模塊的術(shù)語(yǔ)。本地OP可以是使用OpenID協(xié)議實(shí)施的本地IdP。雖然術(shù)語(yǔ)本地OP被實(shí)現(xiàn)于這里所描述的實(shí)施方式，但是應(yīng)該理解的是，本地IdP可被用于不實(shí)施OpenID協(xié)議的類(lèi)似實(shí)施方式中。OPloc也可用來(lái)表示本地OP。本地OP的功能之一可以是通過(guò)關(guān)于用戶和/或裝置的標(biāo)識(shí)的斷定來(lái)促進(jìn)用戶和/或無(wú)線通信裝置的認(rèn)證。這一斷定可被從本地OP發(fā)送到裝置(例如在裝置的瀏覽器代理處)，該裝置可將該斷定轉(zhuǎn)發(fā)到外部依賴方(RP)。當(dāng)本地OP所提供的功能主要限于提供這種標(biāo)識(shí)斷定時(shí)，執(zhí)行這種功能的本地實(shí)體可被稱(chēng)作本地?cái)喽ㄌ峁┥?LAP)。

本地OP可處理(例如創(chuàng)建、管理和/或發(fā)送)一個(gè)或多個(gè)斷定消息。本地OP可使用這些消息來(lái)斷定與用戶和/或裝置有關(guān)的一個(gè)或多個(gè)標(biāo)識(shí)的驗(yàn)證狀態(tài)。該斷定可針對(duì)這類(lèi)消息的一個(gè)或多個(gè)外部接收方來(lái)被做出。第三方實(shí)體(例如依賴方(RP))可以是這類(lèi)斷定消息的接收方之一。本地OP可對(duì)這類(lèi)斷定消息進(jìn)行簽名，例如通過(guò)使用加密密鑰來(lái)進(jìn)行。

本地OpenID方法可使用一個(gè)或多個(gè)加密密鑰。一個(gè)這種密鑰(可被稱(chēng)為根會(huì)話密鑰并可被表示為Krp)可以是意圖在RP與OP之間使用的以充當(dāng)根會(huì)話密鑰的會(huì)話密鑰，其它密鑰可從該根會(huì)話密鑰中導(dǎo)出。另一個(gè)這種密鑰(可被稱(chēng)為斷定密鑰并可被表示為Kasc)可以是簽名密鑰，其可被用來(lái)對(duì)用于用戶認(rèn)證的斷定消息中的一者或多者進(jìn)行簽名。Kasc可從Krp導(dǎo)出。

本地OpenID還可使用被稱(chēng)為OpenID服務(wù)器功能(OPSF)的服務(wù)來(lái)實(shí)施，其作用可以是生成、共享、和/或分發(fā)將被本地OP以及可選地被依賴方(RP)使用的秘密(secret)。OPSF和本地OP可被外部RP視為單一實(shí)體。OPSF能夠驗(yàn)證由本地OP發(fā)布的簽名，并且對(duì)于RP來(lái)講是可經(jīng)由公共因特網(wǎng)或其它有線或無(wú)線通信而直接到達(dá)的。裝置(例如經(jīng)由其瀏覽器)可被重定向到本地OP，例如通過(guò)修改本地DNS(其解析(resolve)裝置上的緩存)來(lái)實(shí)現(xiàn)，從而OPSF的地址可映射到本地OP。本地OpenID還可使用由OP-agg表示的服務(wù)，其作用可以是促進(jìn)對(duì)代表RP的本地OP的發(fā)現(xiàn)。

上述術(shù)語(yǔ)和描述可在這里描述的實(shí)施方式中被參考。雖然這里的實(shí)施方式可以使用OpenID術(shù)語(yǔ)和/或OpenID協(xié)議的一部分來(lái)進(jìn)行描述，但應(yīng)該理解的是，這些實(shí)施方式不限于對(duì)OpenID協(xié)議或OpenID實(shí)體的使用。

根據(jù)示例實(shí)施方式，如此處進(jìn)一步描述的，移動(dòng)通信裝置(例如智能手機(jī))可使用分層通信來(lái)進(jìn)行通信。移動(dòng)通信裝置可在接入層處例如與接入層網(wǎng)絡(luò)建立通信。移動(dòng)通信裝置還可在應(yīng)用層或接入層處例如分別與應(yīng)用服務(wù)提供商和/或這種提供商的應(yīng)用層網(wǎng)絡(luò)或接入網(wǎng)絡(luò)建立通信。在每一層，每個(gè)通信可具有其各自的安全性。這一層特定安全性可在每一層實(shí)施認(rèn)證和/或安全性密鑰協(xié)定。在較高層(例如應(yīng)用層)的認(rèn)證和/或安全性密鑰協(xié)定可利用安全性密鑰和/或其它安全性相關(guān)信息(例如在較低層的安全性關(guān)聯(lián)上下文)來(lái)導(dǎo)出密鑰或應(yīng)用層的其它安全性相關(guān)參數(shù)。這種技術(shù)可被稱(chēng)為自舉技術(shù)。

根據(jù)示例實(shí)施方式，當(dāng)移動(dòng)裝置將其接入層通信從一個(gè)接入網(wǎng)切換到另一個(gè)接入網(wǎng)時(shí)，這一處理可被稱(chēng)為接入層切換。接入層切換可由于通信裝置的移動(dòng)而發(fā)生。接入層切換可發(fā)生于接入層網(wǎng)絡(luò)中的接入層節(jié)點(diǎn)(例如基站)與另一這種節(jié)點(diǎn)(例如另一基站)之間。這兩個(gè)接入層節(jié)點(diǎn)可位于相同網(wǎng)絡(luò)中、在一個(gè)接入層網(wǎng)絡(luò)與另一個(gè)接入層網(wǎng)絡(luò)之間、或在不同的接入層網(wǎng)絡(luò)中。期望接入層切換對(duì)于移動(dòng)通信裝置的用戶是透明的。還期望接入層切換是不被打斷的，從而執(zhí)行連續(xù)、平滑的應(yīng)用層通信操作。

應(yīng)用層安全性證書(shū)可被用來(lái)幫助建立接入層安全性，例如在接入層情況期間。根據(jù)示例實(shí)施方式，委派(delegated)認(rèn)證(其可實(shí)施OpenID)可在應(yīng)用層處被執(zhí)行，以在切換期間在后續(xù)網(wǎng)絡(luò)的接入時(shí)輔助發(fā)現(xiàn)和/或附著。

根據(jù)實(shí)施方式，可使用自舉。接入層安全性密鑰可從在現(xiàn)有的應(yīng)用層通信處可用的安全性材料中導(dǎo)出。例如，接入層安全性密鑰可從使用委托形式的認(rèn)證(例如GBA或OpenID)建立的安全性材料中導(dǎo)出。

根據(jù)另一實(shí)施方式，可使用反向自舉。接入層安全性密鑰可從在現(xiàn)有的應(yīng)用層通信處可用的安全性材料中導(dǎo)出。例如，接入層安全性密鑰可從使用委托形式的認(rèn)證(例如OpenID)建立的安全性材料中導(dǎo)出。

本地?cái)喽ㄌ峁┥踢€可在執(zhí)行如此所述的認(rèn)證時(shí)被使用。例如，本地OP可被用作在應(yīng)用層使用的OpenID協(xié)議的一部分。本地OP可在接入層層切換期間促進(jìn)無(wú)縫認(rèn)證和/或密鑰協(xié)定。接入層認(rèn)證和/或密鑰協(xié)定以及接入層授權(quán)可在無(wú)縫切換期間被使能。

圖1A-1C示出了可在這里描述的實(shí)施方式中實(shí)施的網(wǎng)絡(luò)通信系統(tǒng)和/或裝置的示例。圖1A為可以在其中實(shí)施一個(gè)或多個(gè)所公開(kāi)的實(shí)施方式的示例通信系統(tǒng)100的示意圖。該通信系統(tǒng)100可以是將諸如語(yǔ)音、數(shù)據(jù)、視頻、消息發(fā)送、廣播等之類(lèi)的內(nèi)容提供給多個(gè)無(wú)線用戶的多接入系統(tǒng)。該通信系統(tǒng)100可以通過(guò)系統(tǒng)資源(包括無(wú)線帶寬)的共享使得多個(gè)無(wú)線用戶能夠訪問(wèn)這些內(nèi)容。例如，該通信系統(tǒng)100可以使用一種或多種信道接入方法，例如碼分多址(CDMA)、時(shí)分多址(TDMA)、頻分多址(FDMA)、正交FDMA(OFDMA)、單載波FDMA(SC-FDMA)等等。

如圖1A所示，通信系統(tǒng)100可以包括無(wú)線發(fā)射/接收單元(WTRU)102a、102b、102c、102d、無(wú)線電接入網(wǎng)(RAN)104、核心網(wǎng)106、公共交換電話網(wǎng)(PSTN)108、因特網(wǎng)110和其他網(wǎng)絡(luò)112，但可以理解的是所公開(kāi)的實(shí)施方式涵蓋了任意數(shù)量的WTRU、基站、網(wǎng)絡(luò)和/或網(wǎng)絡(luò)元件。WTRU 102a、102b、102c、102d中的每一個(gè)可以是被配置成在無(wú)線環(huán)境中運(yùn)行和/或通信的任何類(lèi)型的裝置。作為示例，WTRU 102a、102b、102c、102d可以被配置成傳送和/或接收無(wú)線信號(hào)，并且可以包括用戶設(shè)備(UE)、移動(dòng)站、固定或移動(dòng)訂戶單元、平板電腦、尋呼機(jī)、蜂窩電話、個(gè)人數(shù)字助理(PDA)、智能電話、膝上型計(jì)算機(jī)、上網(wǎng)本、個(gè)人計(jì)算機(jī)、無(wú)線傳感器、消費(fèi)電子產(chǎn)品等等。

通信系統(tǒng)100還可以包括基站114a和基站114b。基站114a、114b中的每一個(gè)可以是被配置成與WTRU 102a、102b、102c、102d中的至少一者無(wú)線對(duì)接，以便于接入一個(gè)或多個(gè)通信網(wǎng)絡(luò)(例如，核心網(wǎng)106、因特網(wǎng)110和/或網(wǎng)絡(luò)112)的任何類(lèi)型的裝置。例如，基站114a、114b可以是基站收發(fā)信站(BTS)、節(jié)點(diǎn)B、e節(jié)點(diǎn)B、家用節(jié)點(diǎn)B、家用e節(jié)點(diǎn)B、站點(diǎn)控制器、接入點(diǎn)(AP)、無(wú)線路由器等。盡管基站114a、114b每個(gè)均被描述為單個(gè)元件，但是可以理解的是基站114a、114b可以包括任何數(shù)量的互聯(lián)基站和/或網(wǎng)絡(luò)元件。

基站114a可以是RAN 104的一部分，該RAN 104還可以包括諸如基站控制器(BSC)、無(wú)線電網(wǎng)絡(luò)控制器(RNC)、中繼節(jié)點(diǎn)等之類(lèi)的其他基站和/或網(wǎng)絡(luò)元件(未示出)?；?14a和/或基站114b可以被配置成傳送和/或接收特定地理區(qū)域內(nèi)的無(wú)線信號(hào)，該特定地理區(qū)域可以被稱(chēng)作小區(qū)(未示出)。小區(qū)還可以被劃分成小區(qū)扇區(qū)。例如與基站114a相關(guān)聯(lián)的小區(qū)可以被劃分成三個(gè)扇區(qū)。由此，在一種實(shí)施方式中，基站114a可以包括三個(gè)收發(fā)信機(jī)，即針對(duì)所述小區(qū)的每個(gè)扇區(qū)都有一個(gè)收發(fā)信機(jī)。在另一實(shí)施方式中，基站114a可以使用多輸入多輸出(MIMO)技術(shù)，并且由此可以針對(duì)小區(qū)的每個(gè)扇區(qū)使用多個(gè)收發(fā)信機(jī)。

基站114a、114b可以通過(guò)空中接口116與WTRU 102a、102b、102c、102d中的一者或多者通信，該空中接口116可以是任何合適的無(wú)線通信鏈路(例如，射頻(RF)、微波、紅外(IR)、紫外(UV)、可見(jiàn)光等)?？罩薪涌?16可以使用任何合適的無(wú)線電接入技術(shù)(RAT)來(lái)建立。

更具體地，如前所述，通信系統(tǒng)100可以是多接入系統(tǒng)，并且可以使用一種或多種信道接入方案，例如CDMA、TDMA、FDMA、OFDMA、SC-FDMA等。例如，在RAN 104中的基站114a和WTRU 102a、102b、102c可以實(shí)施諸如通用移動(dòng)電信系統(tǒng)(UMTS)陸地?zé)o線電接入(UTRA)之類(lèi)的無(wú)線電技術(shù)，其可以使用寬帶CDMA(WCDMA)來(lái)建立空中接口116。WCDMA可以包括諸如高速分組接入(HSPA)和/或演進(jìn)型HSPA(HSPA+)的通信協(xié)議。HSPA可以包括高速下行鏈路分組接入(HSDPA)和/或高速上行鏈路分組接入(HSUPA)。

在一種實(shí)施方式中，基站114a和WTRU 102a、102b、102c可以實(shí)施諸如演進(jìn)型UMTS陸地?zé)o線電接入(E-UTRA)之類(lèi)的無(wú)線電技術(shù)，其可以使用長(zhǎng)期演進(jìn)(LTE)和/或高級(jí)LTE(LTE-A)來(lái)建立空中接口116。

在其他實(shí)施方式中，基站114a和WTRU 102a、102b、102c可以實(shí)施諸如IEEE 802.16(即，全球微波互聯(lián)接入(WiMAX))、CDMA2000、CDMA20001X、CDMA2000EV-DO、臨時(shí)標(biāo)準(zhǔn)2000(IS-2000)、臨時(shí)標(biāo)準(zhǔn)95(IS-95)、臨時(shí)標(biāo)準(zhǔn)856(IS-856)、全球移動(dòng)通信系統(tǒng)(GSM)、用于GSM演進(jìn)的增強(qiáng)型數(shù)據(jù)速率(EDGE)、GSM EDGE(GERAN)等之類(lèi)的無(wú)線電技術(shù)。

圖1A中的基站114b可以是例如無(wú)線路由器、家用節(jié)點(diǎn)B、家用e節(jié)點(diǎn)B、毫微微小區(qū)基站或者接入點(diǎn)，并且可以使用任何合適的RAT，以用于促進(jìn)在諸如商業(yè)場(chǎng)所、家庭、車(chē)輛、校園等之類(lèi)的局部區(qū)域中的無(wú)線連接。在一種實(shí)施方式中，基站114b和WTRU 102c、102d可以實(shí)施諸如IEEE 802.11之類(lèi)的無(wú)線電技術(shù)以建立無(wú)線局域網(wǎng)(WLAN)。在另一實(shí)施方式中，基站114b和WTRU 102c、102d可以實(shí)施諸如IEEE 802.15之類(lèi)的無(wú)線電技術(shù)以建立無(wú)線個(gè)域網(wǎng)(WPAN)。在一個(gè)實(shí)施方式中，基站114b和WTRU 102c、102d可以使用基于蜂窩的RAT(例如，WCDMA、CDMA2000、GSM、LTE、LTE-A等)以建立微微小區(qū)和毫微微小區(qū)。如圖1A所示，基站114b可以具有至因特網(wǎng)110的直接連接。由此，基站114b不必經(jīng)由核心網(wǎng)106來(lái)接入因特網(wǎng)110。

RAN 104可以與核心網(wǎng)106通信，該核心網(wǎng)106可以是被配置成將語(yǔ)音、數(shù)據(jù)、應(yīng)用和/或網(wǎng)際協(xié)議上的語(yǔ)音(VoIP)服務(wù)提供到WTRU 102a、102b、102c、102d中的一者或多者的任何類(lèi)型的網(wǎng)絡(luò)。例如，核心網(wǎng)106可以提供呼叫控制、賬單服務(wù)、基于移動(dòng)位置的服務(wù)、預(yù)付費(fèi)呼叫、因特網(wǎng)連接、視頻分發(fā)等，和/或執(zhí)行高級(jí)安全性功能，例如用戶認(rèn)證。盡管圖1A中未示出，需要理解的是RAN 104和/或核心網(wǎng)106可以直接或間接地與其他RAN進(jìn)行通信，這些其他RAN使用與RAN 104相同的RAT或者不同的RAT。例如，除了連接到可以采用E-UTRA無(wú)線電技術(shù)的RAN 104之外，核心網(wǎng)106也可以與使用GSM無(wú)線電技術(shù)的其他RAN(未顯示)通信。

核心網(wǎng)106也可以用作WTRU 102a、102b、102c、102d接入PSTN 108、因特網(wǎng)110和/或其他網(wǎng)絡(luò)112的網(wǎng)關(guān)。PSTN 108可以包括提供普通老式電話服務(wù)(POTS)的電路交換電話網(wǎng)絡(luò)。因特網(wǎng)110可以包括使用公共通信協(xié)議的全球互聯(lián)計(jì)算機(jī)網(wǎng)絡(luò)和設(shè)備系統(tǒng)，所述公共通信協(xié)議例如是傳輸控制協(xié)議(TCP)/網(wǎng)際協(xié)議(IP)因特網(wǎng)協(xié)議套件中的傳輸控制協(xié)議(TCP)、用戶數(shù)據(jù)報(bào)協(xié)議(UDP)和網(wǎng)際協(xié)議(IP)。所述網(wǎng)絡(luò)112可以包括由其他服務(wù)提供方擁有和/或運(yùn)營(yíng)的有線或無(wú)線通信網(wǎng)絡(luò)。例如，網(wǎng)絡(luò)112可以包括連接到一個(gè)或多個(gè)RAN的另一核心網(wǎng)，這些RAN可以使用與RAN 104相同的RAT或者不同的RAT。

通信系統(tǒng)100中的WTRU 102a、102b、102c、102d中的一些或者全部可以包括多模式能力，即WTRU 102a、102b、102c、102d可以包括用于通過(guò)不同的通信鏈路與不同的無(wú)線網(wǎng)絡(luò)進(jìn)行通信的多個(gè)收發(fā)信機(jī)。例如，圖1A中顯示的WTRU 102c可以被配置成與可使用基于蜂窩的無(wú)線電技術(shù)的基站114a進(jìn)行通信，并且與可使用IEEE 802無(wú)線電技術(shù)的基站114b進(jìn)行通信。

圖1B是示例WTRU 102的系統(tǒng)圖。如圖1B所示，WTRU 102可以包括處理器118、收發(fā)信機(jī)120、發(fā)射/接收元件122、揚(yáng)聲器/麥克風(fēng)124、鍵盤(pán)126、顯示屏/觸摸板128、不可移動(dòng)存儲(chǔ)器130、可移動(dòng)存儲(chǔ)器132、電源134、全球定位系統(tǒng)(GPS)芯片組136和其他外圍設(shè)備138。需要理解的是，在與實(shí)施方式一致的同時(shí)，WTRU 102可以包括上述元件的任何子組合。

處理器118可以是通用處理器、專(zhuān)用處理器、常規(guī)處理器、數(shù)字信號(hào)處理器(DSP)、多個(gè)微處理器、與DSP核心相關(guān)聯(lián)的一個(gè)或多個(gè)微處理器、控制器、微控制器、專(zhuān)用集成電路(ASIC)、現(xiàn)場(chǎng)可編程門(mén)陣列(FPGA)電路、任何其它類(lèi)型的集成電路(IC)、狀態(tài)機(jī)等。處理器118可以執(zhí)行信號(hào)編碼、數(shù)據(jù)處理、功率控制、輸入/輸出處理和/或使得WTRU 102能夠在無(wú)線環(huán)境中運(yùn)行的其他任何功能。處理器118可以耦合到收發(fā)信機(jī)120，該收發(fā)信機(jī)120可以耦合到發(fā)射/接收元件122。盡管圖1B中將處理器118和收發(fā)信機(jī)120描述為獨(dú)立的組件，但是可以理解的是處理器118和收發(fā)信機(jī)120可以被一起集成到電子封裝或者芯片中。處理器118可執(zhí)行應(yīng)用層程序(例如瀏覽器)和/或無(wú)線電接入層(RAN)程序和/或通信。處理器118可執(zhí)行安全性操作(例如認(rèn)證)、安全性密鑰協(xié)定、和/或加密操作(例如在接入層和/或應(yīng)用層)。

發(fā)射/接收元件122可以被配置成通過(guò)空中接口116將信號(hào)傳送到基站(例如，基站114a)，或者從基站(例如，基站114a)接收信號(hào)。例如，在一種實(shí)施方式中，發(fā)射/接收元件122可以是被配置成傳送和/或接收RF信號(hào)的天線。在一個(gè)實(shí)施方式中，發(fā)射/接收元件122可以是被配置成傳送和/或接收例如IR、UV或者可見(jiàn)光信號(hào)的發(fā)射器/檢測(cè)器。在一個(gè)實(shí)施方式中，發(fā)射/接收元件122可以被配置成傳送和接收RF信號(hào)和光信號(hào)兩者。需要理解的是發(fā)射/接收元件122可以被配置成傳送和/或接收無(wú)線信號(hào)的任意組合。

此外，盡管發(fā)射/接收元件122在圖1B中被描述為單個(gè)元件，但是WTRU 102可以包括任何數(shù)量的發(fā)射/接收元件122。更特別地，WTRU 102可以使用MIMO技術(shù)。由此，在一種實(shí)施方式中，WTRU 102可以包括兩個(gè)或更多個(gè)發(fā)射/接收元件122(例如，多個(gè)天線)以用于通過(guò)空中接口116傳送和/或接收無(wú)線信號(hào)。

收發(fā)信機(jī)120可以被配置成對(duì)將由發(fā)射/接收元件122傳送的信號(hào)進(jìn)行調(diào)制，并且被配置成對(duì)由發(fā)射/接收元件122接收的信號(hào)進(jìn)行解調(diào)。如上所述，WTRU 102可以具有多模式能力。由此，收發(fā)信機(jī)120可以包括多個(gè)收發(fā)信機(jī)以用于使得WTRU 102能夠經(jīng)由多個(gè)RAT進(jìn)行通信，例如UTRA和IEEE 802.11。

WTRU 102的處理器118可以被耦合到揚(yáng)聲器/麥克風(fēng)124、鍵盤(pán)126和/或顯示屏/觸摸板128(例如，液晶顯示器(LCD)顯示單元或者有機(jī)發(fā)光二極管(OLED)顯示單元)，并且可以從上述裝置接收用戶輸入數(shù)據(jù)。處理器118還可以向揚(yáng)聲器/麥克風(fēng)124、鍵盤(pán)126和/或顯示屏/觸摸板128輸出用戶數(shù)據(jù)。此外，處理器118可以訪問(wèn)來(lái)自任何類(lèi)型的合適的存儲(chǔ)器中的信息，以及向任何類(lèi)型的合適的存儲(chǔ)器中存儲(chǔ)數(shù)據(jù)，所述存儲(chǔ)器例如可以是不可移動(dòng)存儲(chǔ)器130和/或可移動(dòng)存儲(chǔ)器132。不可移動(dòng)存儲(chǔ)器130可以包括隨機(jī)存取存儲(chǔ)器(RAM)、只讀存儲(chǔ)器(ROM)、硬盤(pán)和/或任何其他類(lèi)型的存儲(chǔ)器存儲(chǔ)裝置?？梢苿?dòng)存儲(chǔ)器132可以包括訂戶標(biāo)識(shí)模塊(SIM)卡、記憶棒、安全數(shù)字(SD)存儲(chǔ)卡等。在其他實(shí)施方式中，處理器118可以訪問(wèn)來(lái)自物理上未位于WTRU 102上(例如位于服務(wù)器或者家用計(jì)算機(jī)(未示出)上)的存儲(chǔ)器的信息，以及向上述存儲(chǔ)器存儲(chǔ)數(shù)據(jù)。

處理器118可以從電源134接收電力，并且可以被配置成分發(fā)和/或控制到WTRU 102中的其他組件的電力。電源134可以是任何適用于給WTRU 102供電的裝置。例如，電源134可以包括一個(gè)或多個(gè)干電池(例如鎳鎘(NiCd)、鎳鋅(NiZn)、鎳氫(NiMH)、鋰離子(Li-ion)等)、太陽(yáng)能電池、燃料電池等。

處理器118還可以耦合到GPS芯片組136，該GPS芯片組136可以被配置成提供關(guān)于WTRU 102的當(dāng)前位置的位置信息(例如，經(jīng)度和緯度)。作為來(lái)自GPS芯片組136的信息的補(bǔ)充或者替代，WTRU 102可以通過(guò)空中接口116從基站(例如，基站114a、114b)接收位置信息，和/或基于從兩個(gè)或更多個(gè)相鄰基站接收到的信號(hào)的定時(shí)(timing)來(lái)確定其位置。需要理解的是，在與實(shí)施方式一致的同時(shí)，WTRU 102可以通過(guò)任何合適的位置確定方法來(lái)獲取位置信息。

處理器118還可以耦合到其他外圍設(shè)備138，該外圍設(shè)備138可以包括提供附加特征、功能和/或有線或無(wú)線連接的一個(gè)或多個(gè)軟件和/或硬件模塊。例如，外圍設(shè)備138可以包括加速度計(jì)、電子指南針(e-compass)、衛(wèi)星收發(fā)信機(jī)、數(shù)字相機(jī)(用于照片或者視頻)、通用串行總線(USB)端口、震動(dòng)裝置、電視收發(fā)信機(jī)、免持耳機(jī)、藍(lán)牙模塊、調(diào)頻(FM)無(wú)線電單元、數(shù)字音樂(lè)播放器、媒體播放器、視頻游戲機(jī)模塊、因特網(wǎng)瀏覽器等等。

圖1C為根據(jù)實(shí)施方式的RAN 104及核心網(wǎng)106的系統(tǒng)圖。如上所述，RAN 104可使用UTRA無(wú)線電技術(shù)通過(guò)空中接口116與WTRU 102a、102b、102c通信。RAN 104還可以與核心網(wǎng)106進(jìn)行通信。如圖1C所示，RAN 104可包括節(jié)點(diǎn)B 140a、140b、140c，節(jié)點(diǎn)B 140a、140b、140c每一者均可包括一個(gè)或多個(gè)用于通過(guò)空中接口116與WTRU 102a、102b、102c通信的收發(fā)信機(jī)。節(jié)點(diǎn)B 140a、140b、140c中的每一者均可與RAN 104中的特定小區(qū)(未示出)相關(guān)聯(lián)。RAN 104還可以包括RNC 142a、142b。應(yīng)當(dāng)理解在保持與實(shí)施方式一致的同時(shí)，RAN 104可以包括任意數(shù)量的節(jié)點(diǎn)B和RNC。

如圖1C所示，節(jié)點(diǎn)B 140a、140b可以與RNC 142a通信。此外，節(jié)點(diǎn)B 140c可以與RNC 142b通信。節(jié)點(diǎn)B 140a、140b、140c可以經(jīng)由Iub接口與各自的RNC 142a、142b通信。RNC 142a、142b可以經(jīng)由Iur接口彼此通信。RNC 142a、142b的每一個(gè)可以被配置成控制其連接的各自的節(jié)點(diǎn)B 140a、140b、140c。此外，RNC 142a、142b的每一個(gè)可以被配制成執(zhí)行和/或支持其他功能，例如外環(huán)功率控制、負(fù)載控制、準(zhǔn)許控制、分組調(diào)度、切換控制、宏分集、安全功能、數(shù)據(jù)加密等。

圖1C中示出的核心網(wǎng)106可以包括媒體網(wǎng)關(guān)(MGW)144、移動(dòng)交換中心(MSC)146、服務(wù)GPRS支持節(jié)點(diǎn)(SGSN)148和/或網(wǎng)關(guān)GPRS支持節(jié)點(diǎn)(GGSN)150。盡管前述每一個(gè)元件被描述為核心網(wǎng)106的一部分，但可以理解的是這些元件的任何一個(gè)可以由除核心網(wǎng)運(yùn)營(yíng)商之外的實(shí)體所擁有和/或操作。

RAN 104中的RNC 142a可以經(jīng)由IuCS接口連接到核心網(wǎng)106中的MSC 146。MSC 146可以連接到MGW 144。MSC 146和MGW 144可以向WTRU 102a、102b、102c提供對(duì)例如PSTN 108的電路交換網(wǎng)絡(luò)的接入，以促進(jìn)WTRU 102a、102b、102c與傳統(tǒng)路線通信裝置之間的通信。

RAN 104中的RNC 142a還可以經(jīng)由IuPS接口連接到核心網(wǎng)106中的SGSN 148。SGSN 148可以連接到GGSN 150。SGSN 148和GGSN 150可以向WTRU 102a、102b、102c提供對(duì)例如因特網(wǎng)110的分組交換網(wǎng)絡(luò)的接入，以促進(jìn)WTRU 102a、102b、102c與IP使能裝置之間的通信。

如上所述，核心網(wǎng)106還可以連接到網(wǎng)絡(luò)112，網(wǎng)絡(luò)112可以包括其他服務(wù)提供方擁有和/或運(yùn)營(yíng)的其他有線或無(wú)線網(wǎng)絡(luò)。

以上描述的通信系統(tǒng)和/或裝置可用在如這里所述的經(jīng)認(rèn)證的切換場(chǎng)景中。經(jīng)認(rèn)證的切換可使得用戶在用戶在接入網(wǎng)之間和/或相同或不同的接入網(wǎng)中的接入點(diǎn)之間改變的同時(shí)能夠連續(xù)使用服務(wù)和/或應(yīng)用。可在例如接入層和/或應(yīng)用層執(zhí)行切換決定。這可以意味著在每次切換中可發(fā)生在每一層上的認(rèn)證，和/或可以向用戶裝置預(yù)先提供用于目標(biāo)網(wǎng)絡(luò)/接入點(diǎn)的證書(shū)。這可能需要集中式基礎(chǔ)結(jié)構(gòu)和/或證書(shū)預(yù)先提供。獨(dú)立委派認(rèn)證實(shí)體可被用來(lái)在當(dāng)漫游于多個(gè)形式的網(wǎng)絡(luò)之間時(shí)促進(jìn)無(wú)縫認(rèn)證的過(guò)程中避免與移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商(MNO)建立多服務(wù)等級(jí)協(xié)定(SLA)或與MNO認(rèn)證基礎(chǔ)結(jié)構(gòu)建立緊密耦合。聯(lián)合標(biāo)識(shí)管理方案(例如OpenID)和/或到因特網(wǎng)的接入可由這里所述的認(rèn)證實(shí)施方式所支持。

圖2中示出了裝置使用預(yù)先提供的證書(shū)執(zhí)行接入層切換的一個(gè)示例，其中裝置215在兩個(gè)接入網(wǎng)之間切換。圖2是示出了針對(duì)應(yīng)用層會(huì)話的切換場(chǎng)景的流程圖。圖2中所示的切換場(chǎng)景包括裝置215，該裝置215包括(或與之進(jìn)行通信)能夠在應(yīng)用層上進(jìn)行通信的應(yīng)用214和能夠在接入層上進(jìn)行通信的接入層模塊216。圖2中示出的切換場(chǎng)景還可包括MNO A 217、熱點(diǎn)B 218和應(yīng)用服務(wù)器219。可以使得MNO A 217和/或熱點(diǎn)B 218能夠在他們的應(yīng)用層功能中具有OpenID服務(wù)器功能性，其具有委派認(rèn)證服務(wù)器的能力。委派形式的認(rèn)證方法可以是例如OpenID。因此，MNO A 217可被表示為MNO OpenID提供商(OP)A 217(也就是說(shuō)，該實(shí)體可以具有MNO A的接入層功能性以及OpenID服務(wù)器功能性)和/或熱點(diǎn)B 218可被表示為熱點(diǎn)OP B 218。裝置215可經(jīng)由接入層模塊216與MNO A 217和/或熱點(diǎn)B 218進(jìn)行通信。裝置215還可經(jīng)由應(yīng)用214與應(yīng)用服務(wù)器219進(jìn)行通信。

如圖2所示，裝置215可在蜂窩網(wǎng)絡(luò)(例如從移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商(MNO)A 217)與毫微微或WLAN網(wǎng)絡(luò)(例如熱點(diǎn)B 218)之間切換。裝置215可使用在裝置應(yīng)用和/或網(wǎng)絡(luò)應(yīng)用服務(wù)器219上自舉的接入層證書(shū)220來(lái)創(chuàng)建應(yīng)用層證書(shū)221，以在應(yīng)用層進(jìn)行認(rèn)證。裝置215隨后可在熱點(diǎn)B 218處附著到后續(xù)網(wǎng)絡(luò)(例如WLAN網(wǎng)絡(luò))并使用在裝置215與熱點(diǎn)B 218之間預(yù)先提供的證書(shū)222執(zhí)行認(rèn)證。

如圖2中所示的切換場(chǎng)景所示，在201，裝置215可發(fā)現(xiàn)MNO A 217的接入網(wǎng)。裝置215可分別在202和203處附著和/或認(rèn)證到MNO A 217的接入網(wǎng)。例如，裝置215可經(jīng)由接入層模塊216附著和/或認(rèn)證到MNO A217的接入網(wǎng)。裝置215可使用認(rèn)證證書(shū)220認(rèn)證到MNO A 217。認(rèn)證證書(shū)220可以是在裝置215與MNO A 217之間預(yù)先提供的證書(shū)。如果在203處的認(rèn)證成功，則裝置215和MNO A 217的接入網(wǎng)可在204處經(jīng)由接入層模塊216設(shè)置安全接入層通信。

裝置215可以使用MNO A 217網(wǎng)絡(luò)來(lái)嘗試登陸到應(yīng)用服務(wù)器219，以接入來(lái)自應(yīng)用服務(wù)器219的服務(wù)。例如，裝置215上的應(yīng)用214可在205登陸到基于網(wǎng)絡(luò)的應(yīng)用服務(wù)器219。應(yīng)用服務(wù)器219可充當(dāng)依賴方(RP)，以及MNO A 217可充當(dāng)OpenID標(biāo)識(shí)提供商(OP)。例如，在206，應(yīng)用服務(wù)器219可發(fā)現(xiàn)MNO A 217和/或請(qǐng)求MNO A 217對(duì)用戶進(jìn)行認(rèn)證?？墒褂肙penID來(lái)執(zhí)行所述請(qǐng)求和/或認(rèn)證。在207，在裝置的應(yīng)用214與MNO A 217(充當(dāng)OP)之間，可從接入層證書(shū)220自舉(例如，生成或?qū)С?應(yīng)用層認(rèn)證證書(shū)221，所述接入層證書(shū)220已經(jīng)使能對(duì)裝置的接入層模塊216到MNO A 217的接入層的接入層認(rèn)證。裝置215和/或其應(yīng)用214可被重定向到MNO A 217，并可在208處，使用從接入層證書(shū)220自舉的應(yīng)用層認(rèn)證證書(shū)221在應(yīng)用層處認(rèn)證到MNO A 217。在207處，證書(shū)221的自舉可作為在208處的認(rèn)證的一部分來(lái)被執(zhí)行，或被獨(dú)立執(zhí)行。MNO A 217可向應(yīng)用服務(wù)器219(其充當(dāng)依賴方(RP)(未示出))斷定裝置215的認(rèn)證狀態(tài)。在209，可在裝置的應(yīng)用214與基于網(wǎng)絡(luò)的應(yīng)用服務(wù)器219之間建立在應(yīng)用層處的安全通信。

在210，裝置的接入層模塊216可發(fā)現(xiàn)熱點(diǎn)B 218。熱點(diǎn)B 218可以是WLAN上的節(jié)點(diǎn)且還可使得裝置215能夠接入應(yīng)用服務(wù)器219上的服務(wù)。根據(jù)示例實(shí)施方式，當(dāng)裝置215進(jìn)入熱點(diǎn)B 218的服務(wù)區(qū)域的范圍內(nèi)時(shí)，裝置215可發(fā)現(xiàn)熱點(diǎn)B 218。裝置215可嘗試基于用戶偏好、應(yīng)用需求、熱點(diǎn)狀況和/或存儲(chǔ)在裝置215上的服務(wù)提供商策略附著到熱點(diǎn)B 218。在211，裝置215可經(jīng)由接入層模塊216在接入層附著到熱點(diǎn)B 218。根據(jù)一個(gè)實(shí)施方式，在209處設(shè)置的應(yīng)用層連接性可幸免于在隨后發(fā)生于211處的接入層附著(到熱點(diǎn)B 218)。

在212，裝置215可使用證書(shū)222來(lái)經(jīng)由接入層模塊216認(rèn)證到熱點(diǎn)B 218。在212處使用的證書(shū)222與分別用于203和208處的認(rèn)證的證書(shū)220或證書(shū)221沒(méi)有任何關(guān)系。因此，在212處，到裝置215的認(rèn)證可使用預(yù)先提供的接入層證書(shū)222，該證書(shū)適于到隨后的目標(biāo)接入網(wǎng)(例如熱點(diǎn)B 218)的認(rèn)證。如果在212處的認(rèn)證成功，則裝置215和熱點(diǎn)B 218可在213處在接入層建立安全通信。

如上所述，圖2示出了用于使得裝置215能夠使用預(yù)先提供的證書(shū)222在隨后的網(wǎng)絡(luò)上執(zhí)行切換和/或接入層認(rèn)證的認(rèn)證協(xié)議。這里還描述了用于利用持續(xù)證書(shū)(例如用于切換的接入層或應(yīng)用層證書(shū))來(lái)以按需且無(wú)縫的方式在其它層(例如接入層)完成認(rèn)證和/或安全隧道設(shè)置的多種實(shí)施。

根據(jù)示例實(shí)施方式，可利用應(yīng)用層證書(shū)來(lái)生成接入層證書(shū)(例如通過(guò)執(zhí)行應(yīng)用層證書(shū)的反向自舉)，該接入層證書(shū)接著可被用于后續(xù)的接入層認(rèn)證過(guò)程中。如圖3所示，切換場(chǎng)景可實(shí)施應(yīng)用層證書(shū)331的反向自舉，以在隨后的網(wǎng)絡(luò)處執(zhí)行認(rèn)證。圖3中示出的切換場(chǎng)景包括裝置321，該裝置321包括(或與之進(jìn)行通信)應(yīng)用320(能夠在應(yīng)用層上進(jìn)行通信)和接入層模塊322(能夠在接入層上進(jìn)行通信)。接入層模塊322可包括裝置321上的連接管理器(CM)和/或與裝置321上的CM進(jìn)行通信。圖3中所示的切換場(chǎng)景還包括MNO A 323、熱點(diǎn)B 324和應(yīng)用服務(wù)器325。MNO A323可經(jīng)由接入層326和/或應(yīng)用層327與其它網(wǎng)絡(luò)實(shí)體進(jìn)行通信。MNO A 323可以充當(dāng)OpenID提供商。熱點(diǎn)B 324可經(jīng)由接入層328和/或應(yīng)用層329與其它網(wǎng)絡(luò)實(shí)體進(jìn)行通信。熱點(diǎn)B 324可以充當(dāng)依賴方(RP)。接入層模塊322可與MNO A 323接入層326和/或熱點(diǎn)B 324接入層328進(jìn)行通信。應(yīng)用320可與應(yīng)用服務(wù)器325、MNO A 323應(yīng)用層327和/或熱點(diǎn)B 324應(yīng)用層329進(jìn)行通信。根據(jù)這里描述的一些實(shí)施方式，應(yīng)用服務(wù)器325還可充當(dāng)依賴方(RP)。

如圖3所示，可生成或反向自舉應(yīng)用層證書(shū)，以生成用于與隨后的接入網(wǎng)熱點(diǎn)B 324進(jìn)行認(rèn)證(例如在切換場(chǎng)景中)的接入層認(rèn)證證書(shū)333。反向自舉可包括由MNO A 323代表目標(biāo)接入層網(wǎng)絡(luò)熱點(diǎn)B 324進(jìn)行的應(yīng)用層認(rèn)證，以生成將被用來(lái)生成隨后的接入層認(rèn)證證書(shū)333的材料。反向自舉可取決于下列條件中的至少一者：1)源網(wǎng)絡(luò)MNO A 323中的用戶/裝置321的標(biāo)識(shí)，和/或2)用戶/應(yīng)用320關(guān)于應(yīng)用服務(wù)器325或MNO A 323的應(yīng)用層標(biāo)識(shí)(例如OpenID標(biāo)識(shí))。

由MNO A 323進(jìn)行的之前的成功應(yīng)用層認(rèn)證可被用來(lái)對(duì)到網(wǎng)絡(luò)熱點(diǎn)B 324的接入進(jìn)行授權(quán)。還可向網(wǎng)絡(luò)熱點(diǎn)B 324提供附加認(rèn)證信息，以在裝置321的接入層認(rèn)證中進(jìn)行輔助。例如，當(dāng)向網(wǎng)絡(luò)熱點(diǎn)B 324提供斷定(例如“用戶來(lái)自網(wǎng)絡(luò)MNO A 323且被認(rèn)證”)時(shí)，應(yīng)用層認(rèn)證可被用來(lái)對(duì)到網(wǎng)絡(luò)熱點(diǎn)B 324的接入進(jìn)行授權(quán)。

根據(jù)一個(gè)實(shí)施方式，可按圖3中示出的提供呼叫流程。在301-309，呼叫流程可使用應(yīng)用層自舉過(guò)程設(shè)置接入層安全性關(guān)聯(lián)和應(yīng)用層安全性關(guān)聯(lián)，其可將接入層證書(shū)綁定到OpenID進(jìn)程。例如，在301-304，可在裝置321與MNO A 323之間建立接入層安全性關(guān)聯(lián)。在301，接入層模塊322可經(jīng)由接入層326發(fā)現(xiàn)MNO A 323。接入層模塊322可在302附著到MNO A 323且可在303執(zhí)行認(rèn)證。在303處的接入層認(rèn)證可使用接入層證書(shū)330來(lái)被執(zhí)行，該接入層證書(shū)330在裝置321與MNO A 323之間進(jìn)行共享。接入層證書(shū)330可以是預(yù)先提供的證書(shū)或通過(guò)如此所述對(duì)來(lái)自另一網(wǎng)絡(luò)的應(yīng)用層證書(shū)進(jìn)行反向自舉建立的證書(shū)。如果接入層認(rèn)證在裝置321與MNO A 323之間成功，則可在304處、在裝置321與MNO A 323之間建立接入層326上的安全通信。

在305-309，可在裝置321與應(yīng)用服務(wù)器325之間建立應(yīng)用層安全性關(guān)聯(lián)。例如，在305，應(yīng)用320可嘗試登錄到應(yīng)用服務(wù)器325。在306，MNO A 323OP服務(wù)器可經(jīng)由應(yīng)用層327被應(yīng)用服務(wù)器325發(fā)現(xiàn)，且應(yīng)用服務(wù)器325可將用戶/裝置321重定向到MNO A 323以進(jìn)行認(rèn)證。在306，MNO A 323OP可認(rèn)證用戶/裝置321和/或?qū)τ脩?裝置321到應(yīng)用服務(wù)器325的認(rèn)證進(jìn)行斷定。用戶/裝置321隨后可被重定向到熱點(diǎn)B 324。

在307，在應(yīng)用320與MNO A 323之間，可從接入層證書(shū)330(其已使能在裝置321與MNO A 323之間的接入層認(rèn)證和/或來(lái)自MNO A 323的認(rèn)證斷定)自舉(例如生成或?qū)С?應(yīng)用層證書(shū)331。應(yīng)用320和應(yīng)用服務(wù)器325可在308使用應(yīng)用層證書(shū)331設(shè)置應(yīng)用層安全性關(guān)聯(lián)。在308處的應(yīng)用層安全性關(guān)聯(lián)可導(dǎo)致在應(yīng)用320與應(yīng)用服務(wù)器325之間共享應(yīng)用層證書(shū)。在307處的證書(shū)331的自舉可作為308處的應(yīng)用層安全性關(guān)聯(lián)的一部分被執(zhí)行，或被獨(dú)立執(zhí)行?？稍?09處在裝置的應(yīng)用320與基于網(wǎng)絡(luò)的應(yīng)用服務(wù)器325之間建立在應(yīng)用層的安全通信。

在310，裝置321可發(fā)現(xiàn)熱點(diǎn)B 324。例如，裝置321上的本地組件(例如接入層模塊322)可發(fā)現(xiàn)熱點(diǎn)B 324和/或其標(biāo)識(shí)信息(例如SSID或IP地址)。熱點(diǎn)B的應(yīng)用層329可以是可發(fā)現(xiàn)的，且可能已經(jīng)經(jīng)由例如公共因特網(wǎng)使用接入層328網(wǎng)絡(luò)發(fā)現(xiàn)信息(例如其IP地址)被發(fā)現(xiàn)和/或到達(dá)。接入層模塊322可包括連接管理器(CM)，其可在發(fā)現(xiàn)熱點(diǎn)B 324和/或做出連接決定的過(guò)程中被實(shí)施?？山?jīng)由接入層信令(例如信標(biāo)信道)發(fā)現(xiàn)熱點(diǎn)B 324和/或其標(biāo)識(shí)信息?？苫贛NO A 323、熱點(diǎn)B 324與來(lái)自裝置321的關(guān)于熱點(diǎn)B 324的被發(fā)現(xiàn)的信息之間的關(guān)系來(lái)執(zhí)行某些發(fā)現(xiàn)?；趤?lái)自熱點(diǎn)B 324的被發(fā)現(xiàn)的信息(例如信號(hào)強(qiáng)度、位置等)，裝置321上的接入層模塊322可決定裝置321應(yīng)當(dāng)切換到熱點(diǎn)B 324來(lái)進(jìn)行網(wǎng)絡(luò)通信。接入層模塊322可將該命令傳遞到裝置的應(yīng)用320。例如，CM可在311向裝置的應(yīng)用320發(fā)送應(yīng)用層網(wǎng)絡(luò)發(fā)現(xiàn)信息。

裝置321可按照以下方式被配置：應(yīng)用層與接入層之間的自舉證書(shū)(例如使用密鑰導(dǎo)出進(jìn)程生成的)的轉(zhuǎn)移是可行的。應(yīng)用320可處理網(wǎng)絡(luò)發(fā)現(xiàn)信息，以生成適于接入層網(wǎng)絡(luò)的標(biāo)識(shí)。根據(jù)一個(gè)實(shí)施方式，適于網(wǎng)絡(luò)的接入層的標(biāo)識(shí)可以是OpenID URL或用戶/裝置321的電子郵件地址登陸，其可被進(jìn)一步處理/操縱(例如被哈希處理(hash)成唯一的用戶/裝置標(biāo)識(shí))成適于在接入層328上被熱點(diǎn)B 324識(shí)別的格式?？蛇x地，諸如現(xiàn)時(shí)(nonce)或序列計(jì)數(shù)值的信息元素可被混合到哈希處理中，和/或這些信息元素中的一些可被傳遞到熱點(diǎn)B 324。裝置的應(yīng)用320可基于其在308建立的應(yīng)用層標(biāo)識(shí)和/或熱點(diǎn)B 324的接入層發(fā)現(xiàn)信息來(lái)確定合適的接入層標(biāo)識(shí)。接入層標(biāo)識(shí)可被綁定到應(yīng)用層標(biāo)識(shí)并在312處被發(fā)送到接入層模塊322以進(jìn)行后續(xù)傳輸。

在313，裝置321可使用適于接入層的標(biāo)識(shí)附著到熱點(diǎn)B 324的接入層328，且裝置的接入層模塊322可將適于該網(wǎng)絡(luò)的接入層的接入層標(biāo)識(shí)中繼到熱點(diǎn)B的接入層328。在314，裝置321的接入層標(biāo)識(shí)可隨后被傳遞到熱點(diǎn)B的應(yīng)用層329，以通知應(yīng)用層329，從而其可通過(guò)裝置321的接入層標(biāo)識(shí)符識(shí)別該裝置321。熱點(diǎn)B 324的應(yīng)用層329可以從接入層328物理分離但邏輯關(guān)聯(lián)。在315，裝置321的應(yīng)用320可向熱點(diǎn)B的應(yīng)用層329發(fā)送應(yīng)用層標(biāo)識(shí)信息(以及可選地發(fā)送接入層標(biāo)識(shí))。該應(yīng)用層標(biāo)識(shí)可被提供以登錄至熱點(diǎn)B 324。應(yīng)用層標(biāo)識(shí)可被綁定到裝置321的接入層標(biāo)識(shí)。

當(dāng)經(jīng)由應(yīng)用層329傳遞應(yīng)用層標(biāo)識(shí)和接入層標(biāo)識(shí)信息時(shí)，在316，應(yīng)用層標(biāo)識(shí)和/或所發(fā)現(xiàn)的熱點(diǎn)B 324信息可被用來(lái)執(zhí)行MNO A 323的基于OpenID的發(fā)現(xiàn)。在315，標(biāo)識(shí)信息的發(fā)送可與呼叫流程313到314同時(shí)或不同時(shí)發(fā)生。應(yīng)用層標(biāo)識(shí)信息的示例可包括OpenID URL或電子郵件地址登錄標(biāo)識(shí)或斷定。標(biāo)識(shí)信息還可包括用戶/裝置321的補(bǔ)充信息。

熱點(diǎn)B 324可合并和/或關(guān)聯(lián)(例如在接入層)接收自其接入層328的接入層標(biāo)識(shí)信息和接收自應(yīng)用層329的綁定應(yīng)用層標(biāo)識(shí)和接入層標(biāo)識(shí)信息兩者。熱點(diǎn)B 324可確定在313和315處接收的消息是否來(lái)自相同的用戶/裝置321。例如，在應(yīng)用層329，熱點(diǎn)B 324可將在315接收的應(yīng)用層標(biāo)識(shí)識(shí)別為被綁定到在314接收的接入層標(biāo)識(shí)。在確認(rèn)其在其接入層328和其應(yīng)用層329上正在與相同用戶/裝置321對(duì)話之后，熱點(diǎn)B 324可充當(dāng)RP，同時(shí)MNO A 323充當(dāng)OP。在316，熱點(diǎn)B 324可執(zhí)行MNO A 323的發(fā)現(xiàn)，且MNO A 323可被定向到用戶/裝置321以進(jìn)行認(rèn)證(例如通過(guò)運(yùn)行OpenID協(xié)議)。裝置應(yīng)用320可與MNO A應(yīng)用327進(jìn)行認(rèn)證(例如在OP處在應(yīng)用層327)。在成功認(rèn)證之后，裝置321可被重定向回至熱點(diǎn)B 324應(yīng)用329。在317，熱點(diǎn)B 324和裝置321均可使用密鑰導(dǎo)出功能從成功的應(yīng)用層認(rèn)證生成接入層證書(shū)333。例如，熱點(diǎn)B 324的應(yīng)用320和應(yīng)用層329可在應(yīng)用層執(zhí)行反向自舉過(guò)程，該過(guò)程可允許用戶/裝置321和/或熱點(diǎn)B 324創(chuàng)建接入層證書(shū)333。這樣，接入層證書(shū)333可以是在316處執(zhí)行的應(yīng)用層認(rèn)證過(guò)程的副產(chǎn)品。這些接入層證書(shū)333可被發(fā)送到裝置321的接入層模塊322和/或熱點(diǎn)B 324的接入層328。在呼叫流程318和319處，使用在應(yīng)用層處生成的接入層證書(shū)333，裝置321和熱點(diǎn)B 324可執(zhí)行認(rèn)證，并為通信設(shè)置接入層安全關(guān)聯(lián)。在認(rèn)證之后，當(dāng)用戶/裝置321隨后嘗試在接入層328與熱點(diǎn)B 324進(jìn)行認(rèn)證時(shí)，接入層證書(shū)333可被存儲(chǔ)和/或與用戶/裝置321進(jìn)行關(guān)聯(lián)。

根據(jù)一個(gè)實(shí)施方式，具有移動(dòng)裝置321的用戶可連接到MNO A 323。用戶可使用自舉認(rèn)證過(guò)程認(rèn)證到服務(wù)提供商(例如視頻服務(wù)提供商)。該認(rèn)證可使用在裝置321上預(yù)先提供的接入層證書(shū)330，其使用本領(lǐng)域的普通技術(shù)人員已知的任何各種技術(shù)，只要如圖3的307處描述的那樣對(duì)證書(shū)進(jìn)行自舉即可，這可將應(yīng)用層標(biāo)識(shí)唯一地關(guān)聯(lián)到網(wǎng)絡(luò)標(biāo)識(shí)。MNO A 323可充當(dāng)OpenID提供商。熱點(diǎn)B 324可充當(dāng)依賴方(RP)。根據(jù)示例實(shí)施方式，在接入服務(wù)(例如查看來(lái)自視頻服務(wù)提供商的視頻)的同時(shí)，用戶可能移動(dòng)到熱點(diǎn)B的到達(dá)范圍之內(nèi)。網(wǎng)絡(luò)熱點(diǎn)B可以以較低的成本提供更高的帶寬，和/或可以被附屬于例如OpenID網(wǎng)絡(luò)(或與MNO A 323或另一MNO相關(guān)聯(lián))。用戶可在原則上被允許接入所附屬的OpenID網(wǎng)絡(luò)(或所關(guān)聯(lián)的MNO A 323)。例如，用戶可證明該用戶與OpenID提供商(MNO A 323)相關(guān)聯(lián)。

裝置321可發(fā)現(xiàn)后續(xù)的網(wǎng)絡(luò)熱點(diǎn)B 324(例如通過(guò)監(jiān)聽(tīng)信標(biāo)和/或廣播消息)，和/或弄清(ascertain)關(guān)于后續(xù)網(wǎng)絡(luò)的信息?？赏ㄟ^(guò)連接管理器(CM)將信息從接入層模塊322傳遞到應(yīng)用320，應(yīng)用320可使用該信息來(lái)在具有用戶/裝置321應(yīng)用層標(biāo)識(shí)的應(yīng)用層329處聯(lián)系熱點(diǎn)B 324。裝置321可在接入層322和328上向熱點(diǎn)B 324發(fā)送標(biāo)識(shí)信息。

當(dāng)經(jīng)由接入層328(但不是應(yīng)用層329)傳遞標(biāo)識(shí)信息時(shí)，用戶/裝置321標(biāo)識(shí)信息可被傳遞到熱點(diǎn)B 324上的應(yīng)用(如在314處所述)。熱點(diǎn)B 324可以以適于對(duì)MNO A 323進(jìn)行基于OpenID的發(fā)現(xiàn)的方式來(lái)格式化所述信息。標(biāo)識(shí)信息足以供熱點(diǎn)B 324發(fā)現(xiàn)MNO A 323和/或嘗試認(rèn)證請(qǐng)求用戶/裝置321(在316)。熱點(diǎn)B 324(其可充當(dāng)例如依賴方)可運(yùn)行OpenID協(xié)議，以便對(duì)將由MNO A 323認(rèn)證的用戶/裝置進(jìn)行重定向。MNO A 323(其可充當(dāng)例如OpenID服務(wù)器)可運(yùn)行OpenID協(xié)議，以認(rèn)證用戶/裝置321。如果用戶/裝置321被成功認(rèn)證，則熱點(diǎn)B 324可在319處在裝置321與網(wǎng)絡(luò)之間建立安全連接。

熱點(diǎn)B 324和用戶/裝置321可基于成功的基于OpenID的認(rèn)證來(lái)創(chuàng)建共享證書(shū)。例如，用戶/裝置321和/或熱點(diǎn)B 324可對(duì)后續(xù)的接入層證書(shū)333進(jìn)行反向自舉?？苫跓狳c(diǎn)B 324與MNO A 323之間的關(guān)系來(lái)完成某些發(fā)現(xiàn)?？山?jīng)由用戶/裝置321應(yīng)用層標(biāo)識(shí)和/或從裝置321上的應(yīng)用320發(fā)現(xiàn)的熱點(diǎn)B 324信息來(lái)獲得該信息。如果用戶/裝置321被MNO A 323認(rèn)證，則可通過(guò)證書(shū)從熱點(diǎn)B 324應(yīng)用到其接入網(wǎng)的(反向)自舉，在裝置321與網(wǎng)絡(luò)之間建立安全連接。

根據(jù)一種實(shí)施方式，為了熱點(diǎn)B 324從應(yīng)用層證書(shū)331反向自舉接入層證書(shū)333，熱點(diǎn)B 324可具有以下能力：其中其接入層功能和應(yīng)用層功能被設(shè)計(jì)使得層間通信和數(shù)據(jù)操縱/處理成為可能，和/或其中在層間存在關(guān)系。反向自舉對(duì)于用戶而言可無(wú)縫地發(fā)生，而無(wú)需為后續(xù)的網(wǎng)絡(luò)熱點(diǎn)B 324在裝置321中預(yù)先提供或安裝證書(shū)332和/或人工干預(yù)。

這里描述的用于在后續(xù)網(wǎng)絡(luò)的接入層執(zhí)行認(rèn)證的實(shí)施方式可能在用戶級(jí)具有顯著的特性。例如，用戶可輸入用戶或裝置標(biāo)識(shí)符(例如OpenID標(biāo)識(shí)符)來(lái)登錄到服務(wù)，而且用戶能夠在服務(wù)繼續(xù)無(wú)縫地不間斷的同時(shí)接入之前已知的接入網(wǎng)絡(luò)(例如熱點(diǎn)B 324)。認(rèn)證證書(shū)(例如接入層證書(shū)333)可能不會(huì)在后續(xù)網(wǎng)絡(luò)處被預(yù)先提供，這是因?yàn)樗鼈兛梢詮囊呀?jīng)運(yùn)行的應(yīng)用服務(wù)安全性或從應(yīng)用層認(rèn)證被反向自舉。服務(wù)可以是固定有線的和/或固定無(wú)線的。服務(wù)甚至可以是在用戶的家中的孤立的接入點(diǎn)(AP)，其可經(jīng)由公共因特網(wǎng)和/或相似的接入方式被到達(dá)。

根據(jù)一種實(shí)施方式，如果在切換(例如接入層切換)后要重新建立應(yīng)用層安全性，可使用將用于這種后續(xù)應(yīng)用層認(rèn)證的安全性證書(shū)綁定到在各個(gè)之前的實(shí)例建立的安全性證書(shū)(例如在切換接入層認(rèn)證中使用的證書(shū)、在之前的應(yīng)用層認(rèn)證中使用的證書(shū)或甚至在切換前的接入層認(rèn)證中使用的證書(shū))的前向自舉。

在這里描述的實(shí)施方式中，可使用獨(dú)立標(biāo)識(shí)提供商。例如，MNO A 323可能不是OpenID標(biāo)識(shí)提供商和/或可由另一第三方來(lái)執(zhí)行標(biāo)識(shí)管理功能。第三方標(biāo)識(shí)提供商可使用與MNO A 323預(yù)先建立的關(guān)系來(lái)充當(dāng)OpenID提供商的角色，以及使用諸如OpenID/EAP-SIM或OpenID/GBA自舉能力的協(xié)議來(lái)從MNO A 323提供的接入層證書(shū)330認(rèn)證和自舉應(yīng)用層證書(shū)331。隨后，可使用相同或相似的自舉進(jìn)程，以利用MNO A 323在裝置321上提供的證書(shū)為熱點(diǎn)B 324自舉接入層證書(shū)333。

根據(jù)另一實(shí)施方式，可實(shí)施網(wǎng)絡(luò)發(fā)起的切換。在網(wǎng)絡(luò)發(fā)起的切換中，可由網(wǎng)絡(luò)(例如接入網(wǎng)或應(yīng)用服務(wù)器)來(lái)發(fā)起切換。在一個(gè)示例中，MNO A 323可以繼續(xù)監(jiān)控裝置321，其可包括如下信息：裝置的位置、測(cè)量信息、服務(wù)質(zhì)量等。MNO A 323可知道裝置321周?chē)木钟颦h(huán)境。如果MNO A 323也是OpenID提供商，則MNO A 323可在應(yīng)用層向用戶/裝置發(fā)送消息，以發(fā)起與熱點(diǎn)B 324的切換，該消息具有用于使得裝置321能夠發(fā)現(xiàn)和發(fā)起切換的適當(dāng)?shù)膮?shù)。可按此處所描述的來(lái)執(zhí)行無(wú)縫切換。在另一實(shí)施方式中，MNO A 323可以經(jīng)由與裝置321的接入層通信向裝置321發(fā)送切換觸發(fā)信息。

根據(jù)另一實(shí)施方式，MNO A323可向一個(gè)或多個(gè)附近的本地接入節(jié)點(diǎn)提出請(qǐng)求，以嘗試在裝置位于節(jié)點(diǎn)的范圍內(nèi)時(shí)與裝置321附著和/或認(rèn)證。其可能不是觸發(fā)切換的MNO A 323。任何具有關(guān)于裝置321的足夠的信息的網(wǎng)絡(luò)組件、裝置的本地通信環(huán)境、和/或具有與用戶/裝置321進(jìn)行通信的能力的實(shí)體能夠觸發(fā)切換。在這些情況中，網(wǎng)絡(luò)組件可發(fā)現(xiàn)后續(xù)的接入網(wǎng)(例如熱點(diǎn)B 324)和/或協(xié)商用于到用戶/裝置321的通信的安全性能力和無(wú)線電接入能力。網(wǎng)絡(luò)組件可將該信息以及切換信息傳遞到用戶/裝置321。

根據(jù)另一實(shí)施方式，可執(zhí)行應(yīng)用輔助證書(shū)自舉。在應(yīng)用輔助證書(shū)自舉中，裝置321上的應(yīng)用320可告知應(yīng)用服務(wù)器325該應(yīng)用服務(wù)器325可在應(yīng)用320協(xié)助促進(jìn)切換的情況下為后續(xù)接入網(wǎng)熱點(diǎn)B 324自舉一組證書(shū)。應(yīng)用320可向應(yīng)用服務(wù)器325發(fā)送與所發(fā)現(xiàn)的熱點(diǎn)B 324有關(guān)的標(biāo)識(shí)(例如IP地址)以及可選地發(fā)送其類(lèi)似OpenID登錄請(qǐng)求。應(yīng)用服務(wù)器325可充當(dāng)OpenID提供商，以協(xié)商熱點(diǎn)B 324的安全性能力。應(yīng)用服務(wù)器325可在接入層為熱點(diǎn)B 324和裝置321反向自舉一組接入層證書(shū)333。裝置321上的應(yīng)用320和熱點(diǎn)B 324可相互認(rèn)證和/或如318處所述的那樣建立安全信道。可基于應(yīng)用服務(wù)器325與目標(biāo)熱點(diǎn)B 324之間的關(guān)系執(zhí)行某些發(fā)現(xiàn)。可經(jīng)由來(lái)自裝置321上的應(yīng)用320的所發(fā)現(xiàn)的信息獲得該信息。

用于后續(xù)發(fā)現(xiàn)的網(wǎng)絡(luò)認(rèn)證的證書(shū)可以在兩端點(diǎn)處被預(yù)處理，以使得隨后能夠更快的完成認(rèn)證過(guò)程。這可基于網(wǎng)絡(luò)掌握的關(guān)于裝置所位于的局域或裝置正在向其移動(dòng)的局域的知識(shí)。如果在裝置上被預(yù)先配置以便尋找切換機(jī)會(huì)，則裝置可以某些周期性頻率搜索備選(alternate)網(wǎng)絡(luò)，并且，如果檢測(cè)到則尋求切換。在網(wǎng)絡(luò)側(cè)的預(yù)處理可在多于一個(gè)備選接入節(jié)點(diǎn)處被執(zhí)行或針對(duì)多于一個(gè)備選接入節(jié)點(diǎn)被執(zhí)行。裝置和/或網(wǎng)絡(luò)可對(duì)用于其之前使用過(guò)的網(wǎng)絡(luò)的證書(shū)進(jìn)行緩存。裝置和/或網(wǎng)絡(luò)可隨后將這些證書(shū)重新用于認(rèn)證。當(dāng)裝置返回到其早些時(shí)候離開(kāi)的節(jié)點(diǎn)時(shí)，證書(shū)的重新使用是有用的。證書(shū)的重新使用對(duì)于一個(gè)或多個(gè)節(jié)點(diǎn)的備選動(dòng)態(tài)選擇也是可用的(例如在本地動(dòng)態(tài)變化的噪聲信道或服務(wù)質(zhì)量環(huán)境中)。

這里描述的實(shí)施方式可使用本地OpenID。例如，單機(jī)(standalone)本地OpenID可被實(shí)施。如此所述，協(xié)議流可利用本地OpenID并許可接入/授權(quán)。

圖4是示出了使用單機(jī)本地OpenID的協(xié)議實(shí)現(xiàn)的流程圖。如圖4所述，該流程圖可包括在本地IdP 432、應(yīng)用433(例如瀏覽代理)、接入層模塊434、MNO 435、熱點(diǎn)436、和/或應(yīng)用服務(wù)器437之間的通信。本地IdP 432可位于用戶的無(wú)線通信裝置上。應(yīng)用433和/或接入層模塊434可位于與本地IdP 432相同或不同的無(wú)線通信裝置上。

圖4中示出的協(xié)議使能無(wú)縫切換和/或后續(xù)接入層安全性關(guān)聯(lián)的設(shè)置。協(xié)議可實(shí)施裝置與裝置的當(dāng)前接入層網(wǎng)絡(luò)之間的接入層安全性和/或之前在用戶/裝置與外部應(yīng)用服務(wù)器(AS)437之間建立的應(yīng)用安全性，例如通過(guò)使用例如客戶端本地OpenID(即本地OpenID)。

如圖4所示，可使用步驟401-419的組合在應(yīng)用層將裝置與應(yīng)用服務(wù)器(AS)/RP 437進(jìn)行認(rèn)證，并且使用步驟419-431的組合在接入層將裝置與后續(xù)網(wǎng)絡(luò)(例如熱點(diǎn)436)進(jìn)行認(rèn)證。在401，裝置接入層模塊434可附著到MNO 435。裝置的接入層模塊434和MNO 435可使用共享證書(shū)來(lái)進(jìn)行認(rèn)證。作為認(rèn)證的結(jié)果，可在裝置的接入層模塊434和/或MNO 435上建立接入層密鑰K。在402，可在裝置上存儲(chǔ)接入層密鑰K。例如，接入層密鑰K可被存儲(chǔ)在裝置上的可信環(huán)境上，例如訂戶標(biāo)識(shí)模塊(SIM)卡、通用集成電路卡(UICC)、可信平臺(tái)模塊(TPM)或其它可信環(huán)境?？蓪⒖尚怒h(huán)境包括在裝置上，或例如作為分離的模塊或分離的裝置/設(shè)備連接到裝置?？尚怒h(huán)境可包括本地IdP 432。根據(jù)示例實(shí)施方式，可信環(huán)境和本地IdP 432可以是相同實(shí)體。然而，可信環(huán)境還可包括例如應(yīng)用433、接入層模塊434和/或位于裝置上的其它實(shí)體。

在403，MNO 435和裝置接入層模塊434兩者都可以從接入層密鑰K導(dǎo)出應(yīng)用層密鑰K_app(即K_app＝f(K)，其中f是對(duì)于MNO 435和裝置的接入層模塊434兩者已知的某函數(shù))。使應(yīng)用層密鑰K_app對(duì)于本地IdP 432是可用的。在404，在裝置接入層模塊434與MNO 435之間使用接入層密鑰K建立接入層安全性關(guān)聯(lián)。

在405，用戶可以經(jīng)由應(yīng)用433登錄到應(yīng)用服務(wù)器(AS)437。用戶可以使用例如OpenID提供商(OP)標(biāo)識(shí)符(例如URL或電子郵件地址)來(lái)進(jìn)行登錄。AS 437可充當(dāng)依賴方(RP)，并且從而可被稱(chēng)為AS/RP 437。在406，AS/RP 437可執(zhí)行MNO 435的標(biāo)識(shí)發(fā)現(xiàn)。在407，可設(shè)置MNO 435與AS/RP 437之間的關(guān)聯(lián)，并且可生成關(guān)聯(lián)句柄(handle)。在408，MNO 435可從應(yīng)用密鑰K_app和關(guān)聯(lián)句柄導(dǎo)出會(huì)話密鑰K_會(huì)話。在409，可使用關(guān)聯(lián)安全性協(xié)議將K_會(huì)話傳遞到AS/RP 437，而且該K_會(huì)話可被用作后續(xù)的關(guān)聯(lián)密鑰。在410，AS/RP 437可存儲(chǔ)會(huì)話密鑰K_會(huì)話以及后續(xù)的關(guān)聯(lián)信息。在411，應(yīng)用433可被重定向到裝置，以與本地IdP 432進(jìn)行認(rèn)證。重定向消息可包括會(huì)話現(xiàn)時(shí)和/或關(guān)聯(lián)句柄。在412，應(yīng)用433可通過(guò)卡接入層模塊434請(qǐng)求連接到本地IdP 432。該請(qǐng)求可包括例如會(huì)話現(xiàn)時(shí)和/或關(guān)聯(lián)句柄。在413，可執(zhí)行到本地IdP 432的重定向。重定向還可包括會(huì)話現(xiàn)時(shí)和/或關(guān)聯(lián)句柄。在414，本地IdP 432可使用應(yīng)用層密鑰K_app和關(guān)聯(lián)句柄導(dǎo)出簽名密鑰K_會(huì)話。本地IdP 432可具有到裝置上的應(yīng)用層密鑰K_app的接入。本地IdP 432可創(chuàng)建OpenID斷定消息，并在415使用K_會(huì)話對(duì)其進(jìn)行簽名。在416，本地IdP 432可將所簽名的OpenID斷定消息通過(guò)卡接入重定向回至裝置的接入層模塊434。在417，裝置的接入層模塊434可透明地將所簽名的OpenID斷定重定向到裝置的應(yīng)用433。在418，裝置的應(yīng)用433可將所簽名的OpenID斷定消息與在步驟411中接收的現(xiàn)時(shí)一起重定向到外部AS/RP 437。在419，AS/RP 437可存儲(chǔ)所接收的簽名的斷定消息。

一旦在應(yīng)用層將裝置與AS/RP 437進(jìn)行認(rèn)證，則裝置可在接入層使用來(lái)自應(yīng)用層認(rèn)證的證書(shū)或密鑰與后續(xù)網(wǎng)絡(luò)(例如熱點(diǎn)436)進(jìn)行認(rèn)證。如圖4所示，在420，裝置的接入層模塊434可發(fā)現(xiàn)熱點(diǎn)436。裝置上的本地實(shí)體(例如連接管理器(CM))可決定裝置應(yīng)切換到所發(fā)現(xiàn)的熱點(diǎn)436。在421，裝置的接入層模塊434可將熱點(diǎn)436信息傳遞到裝置的應(yīng)用433。在422，裝置的應(yīng)用433可將OpenID標(biāo)識(shí)符(例如URL或電子郵件地址)與上一次使用的應(yīng)用服務(wù)器437標(biāo)識(shí)一起傳遞到熱點(diǎn)436的接入層，以用于后續(xù)發(fā)現(xiàn)。在423，裝置的應(yīng)用433可以警示AS/RP 437切換的發(fā)起。在423處切換的發(fā)起可使用所發(fā)現(xiàn)的熱點(diǎn)436信息來(lái)被執(zhí)行。裝置的應(yīng)用433可基于在418建立的其應(yīng)用層標(biāo)識(shí)和/或熱點(diǎn)B 436的接入層發(fā)現(xiàn)信息來(lái)確定接入層合適的標(biāo)識(shí)。接入層標(biāo)識(shí)可被綁定到應(yīng)用層標(biāo)識(shí)并在422被發(fā)送到接入層模塊434以用于后續(xù)傳輸。

如圖4中的步驟424-429所示，AS/RP 437可促進(jìn)裝置的接入層認(rèn)證。例如，AS/RP 437可將斷定消息轉(zhuǎn)發(fā)到接入層模塊434。MNO 435可驗(yàn)證斷定，從而確信接入層的標(biāo)識(shí)。在424，裝置的接入層模塊434可向熱點(diǎn)436發(fā)出登錄請(qǐng)求。包括在該消息中的可以是OpenID標(biāo)識(shí)符(例如URL或電子郵件地址)(如在422處所述)，和/或上一應(yīng)用服務(wù)器使用的標(biāo)識(shí)。在425，熱點(diǎn)436可從AS/RP 437為裝置及其用戶請(qǐng)求認(rèn)證信息。例如，熱點(diǎn)436可為其已從裝置的接入層434接收的OpenID標(biāo)識(shí)符(例如URL或電子郵件地址)請(qǐng)求斷定。在426，AS/RP 437可將經(jīng)簽名的斷定消息(其由AS/RP 437在步驟418接收且對(duì)應(yīng)于在步驟425接收的OpenID標(biāo)識(shí)符)返回到熱點(diǎn)436。在427，熱點(diǎn)436可從MNO 435中的OpenID服務(wù)請(qǐng)求簽名驗(yàn)證，以用于對(duì)應(yīng)于OpenID標(biāo)識(shí)符(例如URL或電子郵件地址)的經(jīng)簽名的斷定消息。在428，MNO 435可驗(yàn)證簽名(例如在OpenID服務(wù)器處)。MNO 435可具有來(lái)自步驟408的會(huì)話密鑰K_會(huì)話。在429，MNO 435可向熱點(diǎn)436提供(例如使用其OpenID服務(wù)器)簽名驗(yàn)證消息。

如果認(rèn)證成功，則熱點(diǎn)436可在430向裝置的接入層模塊434發(fā)送認(rèn)證成功應(yīng)答。裝置的接入層模塊434和熱點(diǎn)436可在431設(shè)置關(guān)聯(lián)，以確保它們的公共信道的安全。對(duì)稱(chēng)的密鑰結(jié)構(gòu)的導(dǎo)出可確保通信安全。在圖4中所示的協(xié)議的步驟431處，多種備選方法(對(duì)于本領(lǐng)域的普通技術(shù)人員已知)可被用于導(dǎo)出接入層密鑰/證書(shū)。例如，可對(duì)簽名驗(yàn)證應(yīng)用層斷定消息使用密鑰導(dǎo)出功能。

如此所述，反向自舉的實(shí)施可以是顯式的或隱式的。例如，圖4中示出的協(xié)議可隱式地實(shí)施反向自舉。當(dāng)接入層安全性關(guān)聯(lián)被設(shè)想成是基于從應(yīng)用層提供的斷定而建立的(而不是顯式地直接從應(yīng)用層證書(shū)導(dǎo)出接入層密鑰和/或證書(shū))時(shí)可隱式地執(zhí)行反向自舉。當(dāng)經(jīng)由顯式反向自舉進(jìn)程導(dǎo)出接入層密鑰(例如直接從應(yīng)用層證書(shū)導(dǎo)出)時(shí)可發(fā)生顯式反向自舉。

根據(jù)另一實(shí)施方式，協(xié)議可使能無(wú)縫切換(其還許可接入/授權(quán))。例如，圖5是示出了使能使用隱式反向自舉的無(wú)縫切換(其還許可接入/授權(quán))的協(xié)議的流程圖。對(duì)圖5中描述的協(xié)議的使用可使得熱點(diǎn)536能夠獲得接入層切換以及針對(duì)到例如服務(wù)或用戶的私有數(shù)據(jù)的接入的授權(quán)。

如圖5所示，在501，裝置的接入層模塊534可例如在接入層附著到MNO 535。裝置的接入層模塊534和MNO 535可使用共享證書(shū)來(lái)執(zhí)行相互認(rèn)證。共享證書(shū)可以是例如接入層共享證書(shū)。作為認(rèn)證的結(jié)果，可在裝置的接入層模塊534和MNO 535(例如在MNO的接入層)兩者上建立接入層密鑰K。在502，可在裝置上存儲(chǔ)接入層密鑰K。例如，接入層密鑰K可被存儲(chǔ)在裝置上的可信環(huán)境上?？尚怒h(huán)境可被包括在裝置上，或例如作為分離的模塊或分離的裝置/設(shè)備連接到裝置?？尚怒h(huán)境可具有本地IdP 532功能性。如圖5所示，可信環(huán)境可以是和本地IdP 532相同的實(shí)體。

在503，MNO 535和/或裝置接入層模塊534可以從接入層密鑰K導(dǎo)出應(yīng)用層密鑰K_app(即K_app＝f(K)，其中f是對(duì)于MNO 535和裝置的接入層534兩者已知的某函數(shù))，其中可使K_app對(duì)于本地IdP 532是可用的。在504，可在裝置接入層模塊534與MNO 535之間使用K_app建立接入層關(guān)聯(lián)。在505，用戶可以經(jīng)由應(yīng)用533在應(yīng)用層上登錄到AS/RP 537。例如，用戶可以使用OP標(biāo)識(shí)符(例如URL或電子郵件地址)來(lái)進(jìn)行登錄。在506，AS/RP 537可執(zhí)行MNO 535的發(fā)現(xiàn)。在507，可設(shè)置MNO 535與AS/RP 537之間的關(guān)聯(lián)，并且可生成關(guān)聯(lián)句柄。在508，MNO 535可從K_app和關(guān)聯(lián)句柄導(dǎo)出K_會(huì)話。在509，可通過(guò)例如將原始關(guān)聯(lián)安全性和K_會(huì)話用作后續(xù)關(guān)聯(lián)密鑰，將K_會(huì)話傳遞到AS/RP 537。在510，AS/RP 537可存儲(chǔ)K_會(huì)話以及后續(xù)的關(guān)聯(lián)信息。在511，應(yīng)用533(例如BA)可被AS/RP 537重定向到裝置，以與本地IdP 532進(jìn)行認(rèn)證。所述消息可包括現(xiàn)時(shí)和/或關(guān)聯(lián)句柄。在512，應(yīng)用533可通過(guò)接入層534請(qǐng)求連接到本地IdP 532。請(qǐng)求可包括例如現(xiàn)時(shí)和/或關(guān)聯(lián)句柄。在513，執(zhí)行到本地IdP 532的重定向。重定向消息也可包括現(xiàn)時(shí)和/或關(guān)聯(lián)句柄。

在514，本地IdP 532可使用K_app和關(guān)聯(lián)句柄導(dǎo)出簽名密鑰K_會(huì)話(例如用于對(duì)斷定消息進(jìn)行簽名)。本地IdP 532可具有到K_app的接入。本地IdP 532可創(chuàng)建OpenID斷定消息，并在515使用K_會(huì)話對(duì)該斷定消息進(jìn)行簽名。在516，本地IdP 532(其充當(dāng)本地產(chǎn)生的接入/授權(quán)令牌的提供商)可導(dǎo)出簽名密鑰K_令牌。簽名密鑰K_令牌隨后可被用來(lái)對(duì)接入/授權(quán)令牌進(jìn)行簽名。導(dǎo)出這種K_令牌的一種方式可以是通過(guò)使用密鑰生成功能(KGF)(其采用K_app和K_會(huì)話兩者作為輸入)。例如，K_令牌＝f(K_app,K_會(huì)話)。在517，本地IdP 532(其充當(dāng)本地產(chǎn)生的接入/授權(quán)令牌的提供商)可創(chuàng)建接入/授權(quán)令牌，和/或使用K_令牌對(duì)其進(jìn)行簽名。在518，本地IdP 532可將所簽名的斷定(所簽名的OpenID斷定和所簽名的接入/授權(quán)令牌兩者)通過(guò)接入層534(例如卡接入)重定向回至裝置的接入層。在519，裝置的接入層534可(在透明的重定向中)將所簽名的斷定(OpenID斷定和接入/授權(quán)令牌)重定向到裝置的應(yīng)用533。在520，裝置的應(yīng)用(例如BA)可將所簽名的斷定(OpenID斷定和接入/授權(quán)令牌)與在步驟511中接收的現(xiàn)時(shí)一起重定向到外部應(yīng)用AS/RP 537。AS/RP 537可存儲(chǔ)所接收的簽名的斷定消息。

在521，裝置可經(jīng)由其接入層模塊534發(fā)現(xiàn)熱點(diǎn)536。裝置上的連接管理器(CM)可決定裝置應(yīng)切換到所發(fā)現(xiàn)的熱點(diǎn)536。在522，裝置的接入層模塊534可將后續(xù)熱點(diǎn)信息傳遞到裝置的應(yīng)用533。在523，裝置的應(yīng)用533可將OpenID標(biāo)識(shí)符與上一次使用的應(yīng)用服務(wù)器標(biāo)識(shí)一起傳遞到熱點(diǎn)536接入層。在524，裝置的應(yīng)用533可警示AS/RP 537到所發(fā)現(xiàn)的熱點(diǎn)536的切換的發(fā)起。這可通過(guò)裝置的接入層模塊534向例如熱點(diǎn)536發(fā)送登錄請(qǐng)求來(lái)實(shí)現(xiàn)。包括在該消息中的可以是OpenID標(biāo)識(shí)符和/或接入令牌。應(yīng)用533可具有來(lái)自步驟519的這一令牌。在525，熱點(diǎn)536可發(fā)現(xiàn)MNO 535的OpenID/OAuth服務(wù)器。在526，熱點(diǎn)536可請(qǐng)求MNO 535的OpenID/OAuth服務(wù)器使用OpenID標(biāo)識(shí)符和/或經(jīng)簽名的接入令牌來(lái)認(rèn)證用戶/裝置并授權(quán)接入。MNO 535的OpenID/OAuth服務(wù)器可在527計(jì)算簽名密鑰K_令牌。可采用與例如在步驟516中計(jì)算K_令牌的方式相同的方式計(jì)算簽名密鑰K_令牌。在528，MNO 535的OpenID/OAuth服務(wù)器可使用其已從步驟527中計(jì)算的K_令牌對(duì)所接收的接入令牌的簽名進(jìn)行驗(yàn)證。MNO 535的OpenID/OAuth服務(wù)器可在529向熱點(diǎn)發(fā)送對(duì)接入令牌的肯定斷定以及針對(duì)用戶/裝置的任何附加標(biāo)識(shí)信息。在530，如果認(rèn)證成功，則熱點(diǎn)536可在接入層模塊534向裝置發(fā)送認(rèn)證成功應(yīng)答。在531，裝置531的接入層模塊534和熱點(diǎn)536可相互設(shè)置安全性關(guān)聯(lián)。密鑰導(dǎo)出和/或安全通信可隨其后進(jìn)行。

如此所述，應(yīng)用層證書(shū)可被用來(lái)在基于通用接入方法(UAM)的和/或基于可擴(kuò)展認(rèn)證協(xié)議(EAP)的公共熱點(diǎn)中生成在后繼接入層或IP層認(rèn)證中使用的證書(shū)。

針對(duì)OpenID與基于UAM的公共熱點(diǎn)的集成的實(shí)施選項(xiàng)可包括多種實(shí)施，其中不同的網(wǎng)絡(luò)實(shí)體可充當(dāng)依賴方(RP)或OpenID提供商(OP)。例如，熱點(diǎn)認(rèn)證、授權(quán)和計(jì)費(fèi)(AAA)服務(wù)器可充當(dāng)RP，熱點(diǎn)無(wú)線局域網(wǎng)(WLAN)網(wǎng)關(guān)可充當(dāng)RP，熱點(diǎn)捕獲門(mén)戶可充當(dāng)RP，熱點(diǎn)接入點(diǎn)(AP)可充當(dāng)RP(例如，對(duì)于小型熱點(diǎn)(例如在咖啡廳中使用的熱點(diǎn)))，和/或熱點(diǎn)AAA服務(wù)器可充當(dāng)OP。圖6和7中示出了使用實(shí)施RP功能性的熱點(diǎn)AAA服務(wù)器和WLAN網(wǎng)關(guān)的OpenID-UAM集成的示例實(shí)施方式。應(yīng)該理解的是，其它實(shí)施方式可在實(shí)施上相似，但具有不同的部署模型。

根據(jù)示例實(shí)施方式，具有移動(dòng)裝置的用戶可連接到充當(dāng)OP服務(wù)器的MNO A。用戶可使用在裝置上預(yù)先提供的接入層證書(shū)通過(guò)自舉認(rèn)證過(guò)程認(rèn)證到服務(wù)。自舉認(rèn)證過(guò)程可單獨(dú)地將應(yīng)用層標(biāo)識(shí)關(guān)聯(lián)到網(wǎng)絡(luò)標(biāo)識(shí)。舉例來(lái)講，可使用OpenID來(lái)執(zhí)行認(rèn)證，但也可使用任何其它相似的認(rèn)證協(xié)議。當(dāng)實(shí)施OpenID時(shí)，MNO A可充當(dāng)OpenID提供商和/或熱點(diǎn)B處的WLAN網(wǎng)關(guān)可充當(dāng)依賴方。

在裝置連接到MNO A之后，裝置可發(fā)現(xiàn)另一網(wǎng)絡(luò)(例如通過(guò)監(jiān)聽(tīng)信標(biāo)或廣播消息)和/或在接入層弄清關(guān)于新發(fā)現(xiàn)的網(wǎng)絡(luò)的信息?？蓪⒃撔畔⑼ㄟ^(guò)連接管理器(CM)傳遞到裝置上的應(yīng)用。裝置上的應(yīng)用可使用關(guān)于所發(fā)現(xiàn)的網(wǎng)絡(luò)的信息來(lái)利用用戶/裝置標(biāo)識(shí)在應(yīng)用層與熱點(diǎn)B處的WLAN網(wǎng)關(guān)進(jìn)行聯(lián)系。對(duì)于充當(dāng)RP的AAA服務(wù)器(如圖6所示)和/或充當(dāng)RP的WLAN網(wǎng)關(guān)(如圖7所示)來(lái)講，該標(biāo)識(shí)信息足夠用于發(fā)現(xiàn)MNO A并嘗試認(rèn)證請(qǐng)求用戶/裝置。協(xié)議可被MNO A(充當(dāng)OpenID服務(wù)器)以及熱點(diǎn)B處的WLAN網(wǎng)關(guān)或AAA服務(wù)器中的至少一者(充當(dāng)依賴方)運(yùn)行，以便認(rèn)證用戶/裝置。一旦用戶/裝置已被成功認(rèn)證，其可被允許接入熱點(diǎn)B。例如，在圖6中，一旦AAA服務(wù)器認(rèn)證用戶并向熱點(diǎn)B處的WLAN網(wǎng)關(guān)發(fā)送成功認(rèn)證的指示(例如接入接受消息)，則用戶可被允許在熱點(diǎn)B處接入。類(lèi)似地，在圖7中，一旦熱點(diǎn)B處的WLAN網(wǎng)關(guān)認(rèn)證用戶/裝置，則其可被允許在熱點(diǎn)B處接入。對(duì)于用戶而言該認(rèn)證可無(wú)縫地發(fā)生和/或不需要為了與后續(xù)發(fā)現(xiàn)的網(wǎng)絡(luò)(熱點(diǎn)B)進(jìn)行認(rèn)證而在裝置中預(yù)先提供或安裝證書(shū)或不需要人工干預(yù)。

圖6是示出了UAM-OpenID集成的流程圖，其中AAA服務(wù)器617充當(dāng)RP。如圖6中所示，UE 614、AP 615、WLAN GW 616、AAA服務(wù)器/RP 617、和/或OP服務(wù)器618可執(zhí)行通信，以使得UE 614能夠認(rèn)證到無(wú)線網(wǎng)絡(luò)。UE614上的本地組件(例如CM)可基于其標(biāo)識(shí)信息(例如“MNO-WiFi”SSID)發(fā)現(xiàn)熱點(diǎn)AP 615。所示標(biāo)識(shí)信息可經(jīng)由接入層信令(例如信標(biāo)信道)被發(fā)現(xiàn)。UE 614上的本地組件(例如CM)可決定UE 614應(yīng)切換到熱點(diǎn)且可將該命令傳遞到UE 614的應(yīng)用層。UE 614上的本地組件可將應(yīng)用層網(wǎng)絡(luò)發(fā)現(xiàn)信息發(fā)送到UE 614上的應(yīng)用(例如瀏覽器)。

如圖6所示，在601，UE 614可與開(kāi)放模式接入點(diǎn)(AP)615相關(guān)聯(lián)。例如，UE 614可使用在接入層上獲得的標(biāo)識(shí)信息(例如“MNO-WiFi”SSID)執(zhí)行這種關(guān)聯(lián)和/或開(kāi)放模式接入。在602，如果UE 614被配置為獲得IP地址(例如使用DHCP)，則WLAN網(wǎng)關(guān)(GW)616可向UE 614分配私有IP地址。由于UE 614在WLAN GW 616中的狀態(tài)可被設(shè)定為“未授權(quán)”，因此用戶可能不能使用所述私有IP地址來(lái)接入因特網(wǎng)。

用戶可打開(kāi)UE 614上的網(wǎng)頁(yè)瀏覽器應(yīng)用，并且在603處，WLAN GW 616可從UE 614接收針對(duì)網(wǎng)頁(yè)(例如用戶主頁(yè))的請(qǐng)求。在604，WLAN GW 616可將UE 614上的瀏覽器重定向到提示用戶登錄證書(shū)的門(mén)戶頁(yè)(例如IP/URI)。用戶可在登錄頁(yè)上輸入其OpenID標(biāo)識(shí)符(例如URL或電子郵件地址)。在605，WLAN GW 616可從UE 614接收登錄證書(shū)，并且WLAN GW 616可使用所接收的登錄證書(shū)來(lái)生成針對(duì)所配置的AAA服務(wù)器/RP 617的接入請(qǐng)求消息。在606，WLAN GW 616可向AAA服務(wù)器/RP 617發(fā)送接入請(qǐng)求消息。

在607，AAA服務(wù)器617(充當(dāng)RP)可與OP服務(wù)器618執(zhí)行發(fā)現(xiàn)和/或關(guān)聯(lián)(例如使用OpenID協(xié)議)。在608，AAA服務(wù)器/RP 617可將UE 614重定向到OP服務(wù)器618。在609，UE 614可向OP服務(wù)器618認(rèn)證(例如使用OpenID證書(shū))。在610，OP服務(wù)器618可利用認(rèn)證斷定將UE 614重定向到AAA服務(wù)器/RP 617。在611，UE 614可呈現(xiàn)所述斷定以及表明其已經(jīng)被成功認(rèn)證到AAA服務(wù)器/RP 617的指示。

在612，AAA服務(wù)器/RP可向WLAN GW 616發(fā)送成功認(rèn)證的指示(例如接入接受消息)和/或用來(lái)在WLAN GW 616中將用戶/UE 614狀態(tài)改變成“授權(quán)”的指示。在613，WLAN GW 616可通過(guò)將用戶的瀏覽器重定向到起始頁(yè)以及使得用戶能夠通過(guò)WLAN網(wǎng)絡(luò)接入因特網(wǎng)來(lái)向用戶/UE 614指示成功認(rèn)證。

通過(guò)將OpenID RP功能集成到AAA服務(wù)器617中，AAA服務(wù)器617可能不必為了認(rèn)證而與HLR/HSS進(jìn)行通信。此外，由于用戶可以在不向WLAN GW/RP發(fā)送其證書(shū)的情況下被認(rèn)證和/或接入WLAN GW/RP，因此用戶認(rèn)證可以是安全的。

圖7是示出了UAM-OpenID集成的流程圖，其中WLAN GW 714充當(dāng)RP。如圖7所示，UE 712、AP 713、WLAN GW/RP 714、和/或OP服務(wù)器715可執(zhí)行通信，以使得UE 712能夠認(rèn)證到無(wú)線網(wǎng)絡(luò)以便接入服務(wù)。UE 712上的本地組件(例如CM)可基于其標(biāo)識(shí)信息(例如“MNO-WiFi”SSID)發(fā)現(xiàn)熱點(diǎn)AP 713。AP 713可經(jīng)由接入層信令(例如信標(biāo)信道)被發(fā)現(xiàn)。UE 712上的本地組件(例如CM)可決定UE 712應(yīng)切換到熱點(diǎn)AP 713且可將該命令傳遞到UE 712的應(yīng)用層。UE 712上的本地組件可將應(yīng)用層網(wǎng)絡(luò)發(fā)現(xiàn)信息發(fā)送到UE 712上的應(yīng)用(例如瀏覽器)。

如圖7所示，在701，UE 712可與開(kāi)放模式接入點(diǎn)(AP)713相關(guān)聯(lián)。例如，UE 712可執(zhí)行這種關(guān)聯(lián)(使用“MNO-WiFi”SSID)和/或開(kāi)放模式接入。在702，如果UE 712被配置為使用DHCP獲得IP地址，則WLAN GW/RP 714可向UE 712分配私有IP地址。用戶可能不能使用所述IP地址接入因特網(wǎng)。在這一點(diǎn)，UE 712在WLAN GW/RP 714中的狀態(tài)可被設(shè)定為“未授權(quán)”，因此其可能不能經(jīng)由WLAN GW/RP 714接入服務(wù)。

用戶可打開(kāi)UE 712上的網(wǎng)頁(yè)瀏覽器應(yīng)用。在703處，WLAN GW/RP 714可從UE 712接收針對(duì)網(wǎng)頁(yè)(例如用戶主頁(yè))的請(qǐng)求。在704，WLAN GW/RP 714可將UE 712上的瀏覽器重定向到提示用戶登錄證書(shū)的門(mén)戶頁(yè)(例如IP/URI)。用戶可在登錄頁(yè)上輸入其OpenID標(biāo)識(shí)符(例如URL或電子郵件地址)。

在705，WLAN GW/RP 714可從UE 712接收登錄證書(shū)，并且WLAN GW/RP 714可使用所接收的登錄證書(shū)來(lái)與OP服務(wù)器715執(zhí)行發(fā)現(xiàn)和/或關(guān)聯(lián)。在706，WLAN GW/RP 714(充當(dāng)RP)可與OP服務(wù)器715執(zhí)行發(fā)現(xiàn)和/或關(guān)聯(lián)(例如使用OpenID協(xié)議)。在707，WLAN GW/RP 714可將UE 712重定向到OP服務(wù)器715。在708，UE 712可向OP服務(wù)器715進(jìn)行認(rèn)證(例如使用OpenID證書(shū))。在709，OP服務(wù)器715可將UE 712重定向到WLAN GW/RP 714。在709處的重定向消息可包括認(rèn)證斷定信息。在710，UE 712可向WLAN GW/RP 714呈現(xiàn)所述斷定信息和/或與OP服務(wù)器715成功認(rèn)證的指示?；谒邮盏臄喽ㄐ畔⒑?或成功認(rèn)證的指示，WLAN GW/RP 714可將用戶狀態(tài)改變成“授權(quán)”狀態(tài)。WLAN GW/RP 714可通過(guò)將UE 712上的瀏覽器重定向到起始頁(yè)來(lái)向用戶/UE 712指示成功認(rèn)證，并且用戶能夠通過(guò)WLAN網(wǎng)絡(luò)接入因特網(wǎng)。在711，可使得用戶712能夠通過(guò)WLAN網(wǎng)絡(luò)進(jìn)行因特網(wǎng)接入。

通過(guò)將OpenID RP功能集成到熱點(diǎn)WLAN GW 714中(如圖7所示)，AAA服務(wù)器可能不必被用于認(rèn)證。WLAN GW 714可能不使用RADIUS功能。與圖6中示出的實(shí)施方式類(lèi)似，由于用戶可以在不向WLAN GW 714發(fā)送其證書(shū)的情況下被認(rèn)證和/或接入所示熱點(diǎn)，圖7中的認(rèn)證實(shí)施可包括安全認(rèn)證。在圖7中示出的實(shí)施中，由于簡(jiǎn)化的認(rèn)證，WLAN服務(wù)/熱點(diǎn)提供商可到達(dá)較大的客戶群(customer base)。例如，可由一個(gè)熱點(diǎn)來(lái)支持多個(gè)OP，以允許服務(wù)被提供給來(lái)自多個(gè)MNO的客戶(例如充當(dāng)OP服務(wù)器715)，與此同時(shí)從由MNO提供的認(rèn)證基礎(chǔ)結(jié)構(gòu)中獲益。

這里還描述了認(rèn)證實(shí)施方式，該實(shí)施方式從應(yīng)用層證書(shū)生成證書(shū)(例如使用反向自舉)以用于基于EAP的公共熱點(diǎn)中的后續(xù)接入層或IP層認(rèn)證。在用戶級(jí)處，用戶可輸入OpenID標(biāo)識(shí)符來(lái)登錄到服務(wù)，并且能夠接入之前未知的接入網(wǎng)絡(luò)(例如熱點(diǎn)B)，與此同時(shí)服務(wù)繼續(xù)保持無(wú)縫地不被間斷。接入層或IP層證書(shū)可能不會(huì)在后續(xù)接入網(wǎng)處被預(yù)先提供，這是由于這些證書(shū)可以從已經(jīng)在運(yùn)行的應(yīng)用服務(wù)安全性自舉得出。

使用基于EAP的公共熱點(diǎn)描述的認(rèn)證實(shí)施方式可包括針對(duì)OpenID集成的實(shí)施選項(xiàng)。針對(duì)與802.1x/EAP公共熱點(diǎn)的OpenID集成的實(shí)施選項(xiàng)可包括對(duì)充當(dāng)RP的熱點(diǎn)AAA服務(wù)器的使用、對(duì)充當(dāng)OP的熱點(diǎn)AAA服務(wù)器的使用、和/或使用EAP-OpenID。

圖8是示出了EAP-OpenID集成的流程圖，其中AAA服務(wù)器820充當(dāng)RP。將RP功能集成到熱點(diǎn)AAA服務(wù)中可使能對(duì)無(wú)縫認(rèn)證和/或服務(wù)連續(xù)性(例如在3GPP與WLAN網(wǎng)絡(luò)之間)的支持?？赏ㄟ^(guò)以下動(dòng)作在將RP模塊集成到AAA服務(wù)器820中的公共熱點(diǎn)中無(wú)縫認(rèn)證用戶：利用在UE 818和/或OP服務(wù)器821上導(dǎo)出的密鑰來(lái)完成EAP-SIM/AKA認(rèn)證，使用活動(dòng)連接(例如3GPP連接)來(lái)交換OpenID認(rèn)證，和/或使得熱點(diǎn)AP 819能夠允許UE-OpenID交換。

如圖8所示，可使用UE 818、AP 819、AAA/RP服務(wù)器820和/或OP服務(wù)器821之間的通信來(lái)認(rèn)證UE 818和/或其用戶。UE 818、AAA/RP服務(wù)器820、和/或OP服務(wù)器821每個(gè)可包括能夠在應(yīng)用層進(jìn)行通信的應(yīng)用。UE 818、AP 819、和/或AAA/RP服務(wù)器820每個(gè)可包括能夠在IP層進(jìn)行通信的IP層通信模塊。UE 818和/或AAA/RP服務(wù)器820可被配置成使能在其應(yīng)用與IP層通信模塊之間的通信。OpenID標(biāo)識(shí)提供商(OP)可以是MNO或與MNO相關(guān)聯(lián)的應(yīng)用服務(wù)提供商。OP服務(wù)器821可服務(wù)多個(gè)MNO，以允許廣泛的客戶群使用熱點(diǎn)。AAA服務(wù)器820可被實(shí)施為RP，并可利用UE 818和/或OP服務(wù)器821上的密鑰822(例如在應(yīng)用層導(dǎo)出的)。根據(jù)示例實(shí)施方式，可利用應(yīng)用層密鑰822來(lái)完成EAP-SIM/AKA認(rèn)證。

如圖8所示，在801，UE 818可經(jīng)由接入網(wǎng)通信(例如3GPP接入網(wǎng)通信)成功完成向OP服務(wù)器821的認(rèn)證。UE 818和OP服務(wù)器821可在801建立共享密鑰822。共享密鑰822可以是例如在UE 818與OP服務(wù)器821之間在應(yīng)用層處建立的應(yīng)用層證書(shū)。在802，UE 818上的本地組件(例如連接管理器(CM))可基于其標(biāo)識(shí)信息(例如“MNO-WiFi”SSID)來(lái)發(fā)現(xiàn)AP 819?？山?jīng)由接入層信令(例如信標(biāo)信道)來(lái)發(fā)現(xiàn)AP 819的標(biāo)識(shí)信息。UE 818(例如正在實(shí)施CM)可決定其應(yīng)切換到AP 819以接入服務(wù)。UE 818可以是AP 819網(wǎng)絡(luò)的未授權(quán)客戶端。

在803，AP 819(例如認(rèn)證方)可發(fā)出EAP請(qǐng)求，以詢問(wèn)UE 818的標(biāo)識(shí)。在804，UE 818可返回標(biāo)識(shí)符，例如其永久標(biāo)識(shí)(例如國(guó)際移動(dòng)訂戶標(biāo)識(shí)(IMSI))、偽標(biāo)識(shí)、快速認(rèn)證標(biāo)識(shí)、或UE 818的其它類(lèi)似標(biāo)識(shí)符。附加認(rèn)證信息(例如其范圍)可與接入層標(biāo)識(shí)符一起返回。所述范圍可包括在執(zhí)行認(rèn)證中使用的附加信息，例如對(duì)于使用單點(diǎn)登錄(SSO)認(rèn)證(例如IMSI@sso.MNO.com)的提示。

在805，AP 819可向AAA/RP服務(wù)器820發(fā)送接入層標(biāo)識(shí)符。接入層標(biāo)識(shí)符以及AP 819與AAA/RP服務(wù)器820之間的其它通信可使用RADIUS接入請(qǐng)求、接入質(zhì)詢、和/或接入接受消息來(lái)被發(fā)送。AAA/RP服務(wù)器820可將接入層標(biāo)識(shí)符發(fā)送到AAA/RP服務(wù)器820上的應(yīng)用層?；谒鼋尤雽訕?biāo)識(shí)符和/或運(yùn)營(yíng)商策略，AAA服務(wù)器820的RP功能可在806執(zhí)行與OP服務(wù)器821的發(fā)現(xiàn)和/或關(guān)聯(lián)。可使用OpenID協(xié)議來(lái)執(zhí)行所述發(fā)現(xiàn)和/或關(guān)聯(lián)。在806處的發(fā)現(xiàn)和/或關(guān)聯(lián)期間，AAA/RP服務(wù)器820可向OP服務(wù)器821發(fā)送接入層標(biāo)識(shí)符。例如，可在AAA/RP服務(wù)器820與OP服務(wù)器821之間在應(yīng)用層處發(fā)送所述接入層標(biāo)識(shí)符。OP服務(wù)器821可使用接入層標(biāo)識(shí)符和/或應(yīng)用層證書(shū)822來(lái)生成可被用來(lái)在AAA/RP服務(wù)器820處認(rèn)證UE 818的密鑰材料。例如，OP服務(wù)器821可使用接入層標(biāo)識(shí)符來(lái)確定與UE 818相關(guān)聯(lián)的應(yīng)用層證書(shū)822?？墒褂妹荑€導(dǎo)出功能從應(yīng)用層證書(shū)822導(dǎo)出密鑰材料。根據(jù)示例實(shí)施方式，密鑰材料可包括會(huì)話密鑰，該會(huì)話密鑰可被用于UE 818與AAA/RP服務(wù)器820之間的認(rèn)證。在807，OP服務(wù)器821可將密鑰材料發(fā)送到AAA/RP服務(wù)器820。

AAA/RP服務(wù)器820可使用從OP服務(wù)器821接收的密鑰材料來(lái)向UE 818發(fā)送EAP-SIM/AKA質(zhì)詢?？砂l(fā)送所述EAP-SIM/AKA以使能重認(rèn)證過(guò)程，而不必與HLR/HSS對(duì)接或通信。在808，AAA/RP服務(wù)器820可向AP 819發(fā)送接入質(zhì)詢。接入質(zhì)詢可包括與UE 818相關(guān)聯(lián)的標(biāo)識(shí)符和/或在807處接收的密鑰材料。AP 819可在809經(jīng)由無(wú)線電接入網(wǎng)將從AAA/RP服務(wù)器820接收的EAP消息(例如EAP-請(qǐng)求/質(zhì)詢)發(fā)送到UE 818。在接收所述EAP-請(qǐng)求/質(zhì)詢消息之后，UE 818可檢查所述密鑰材料，以確認(rèn)所述消息以及在810使用應(yīng)用層證書(shū)822生成EAP響應(yīng)。例如，UE 818可將所述質(zhì)詢發(fā)送到位于UE 818上的可信環(huán)境(例如可信處理模塊、UICC、SIM、智能卡等)，所述可信環(huán)境可使用密鑰導(dǎo)出功能從應(yīng)用層證書(shū)822導(dǎo)出密鑰材料。所述密鑰材料可與在OP服務(wù)器821處使用應(yīng)用層證書(shū)生成的密鑰材料相同。例如，所述密鑰材料可包括可被用于UE 818與AAA/RP服務(wù)器820之間的認(rèn)證的會(huì)話密鑰。在810，所述密鑰材料可被用來(lái)生成響應(yīng)。所述響應(yīng)可在UE 818的應(yīng)用層處被生成，并可被傳送到接入層，以用于到AP 819的傳輸。

在811，UE 818可使用例如重認(rèn)證過(guò)程以EAP-響應(yīng)消息的形式將所述響應(yīng)返回到AP 819。所述響應(yīng)可包括UE標(biāo)識(shí)符和/或在UE 818處生成的密鑰材料(例如會(huì)話密鑰)。在812，AP 819可將EAP-響應(yīng)/質(zhì)詢消息轉(zhuǎn)發(fā)到AAA/RP服務(wù)器820，例如以接入請(qǐng)求消息的形式。在812處的接入請(qǐng)求可包括EAP ID和/或在811處來(lái)自UE 818的密鑰材料。AAA/RP服務(wù)器820可確認(rèn)所接收的消息和/或檢查所接收的響應(yīng)是否與在812處所期望的響應(yīng)相匹配，以及如果檢查成功，則AAA/RP服務(wù)器820可指示成功認(rèn)證和/或UE 818可以使用WLAN網(wǎng)絡(luò)接入服務(wù)。例如，在813，AAA/RP 820可向AP 819發(fā)送接入接受消息。接入接受消息可包括EAP成功指示符和/或密鑰材料。AP 819可在814將EAP成功指示符轉(zhuǎn)發(fā)到UE 818。在815，UE 818在AP 819的狀態(tài)可變成被授權(quán)以供AP 819使用。由于UE 818被授權(quán)，則UE 818可在816使用DHCP獲得IP地址。在817，UE 818可使用例如IP地址通過(guò)WLAN網(wǎng)絡(luò)接入因特網(wǎng)。

使用圖8中示出的呼叫流程或其中的一部分，熱點(diǎn)AAA服務(wù)器820可能不必連接到MNO HLR/HSS以使用EAP協(xié)議來(lái)執(zhí)行認(rèn)證。例如，通過(guò)如此所述使用OpenID，AAA服務(wù)器820或其它RP實(shí)體可避免為了執(zhí)行用戶認(rèn)證而與HLR/HSS或其它SS7實(shí)體進(jìn)行通信。反而，AAA服務(wù)器820可與基于網(wǎng)際協(xié)議(IP)的HTTP(S)接口(例如用于OpenID的基于IP的HTTP(S)接口)通信。

圖9是示出了EAP-OpenID集成的另一流程圖，其中AAA服務(wù)器923充當(dāng)RP。如圖9中所示，可使用UE 921、AP 922、AAA/RP服務(wù)器923和/或OP服務(wù)器924之間的通信來(lái)認(rèn)證UE 921和/或其用戶，以在WLAN上進(jìn)行通信。UE 921、AAA/RP服務(wù)器923、和/或OP服務(wù)器924每個(gè)可包括能夠在應(yīng)用層進(jìn)行通信的應(yīng)用。UE 921、AP 922、和/或AAA/RP服務(wù)器923每個(gè)可包括能夠在IP層進(jìn)行通信的IP層通信模塊。UE 921和/或AAA/RP服務(wù)器923每個(gè)可被配置成使能其應(yīng)用與IP層通信模塊之間的通信。根據(jù)示例實(shí)施方式，AP 922可被配置成允許OpenID交換用于未授權(quán)UE 921，其中UE 921能夠經(jīng)由AP 922到達(dá)AAA/RP服務(wù)器923和/或OP服務(wù)器924并與之進(jìn)行通信。

在圖9中示出的實(shí)施方式中，可能不存在之前已經(jīng)在UE 921與OP服務(wù)器924之間共享的新鮮密鑰(如圖8中所示)。因此，UE 921和/或OP服務(wù)器924可執(zhí)行認(rèn)證以及應(yīng)用層標(biāo)識(shí)密鑰925的生成。AAA服務(wù)器923可充當(dāng)RP，并可使用連接(例如3GPP連接)來(lái)執(zhí)行OpenID認(rèn)證。UE 921可以是能夠同時(shí)與多個(gè)網(wǎng)絡(luò)建立連接的裝置(例如UE 921可以是能夠同時(shí)經(jīng)由3GPP網(wǎng)絡(luò)和經(jīng)由WLAN熱點(diǎn)建立連接的多RAT裝置)。如圖9中所示，所建立的3GPP連接可被用來(lái)交換OpenID消息和完成EAP-SIM/AKA認(rèn)證。雖然圖9使用在活動(dòng)3GPP連接中建立的證書(shū)來(lái)為WLAN上的通信執(zhí)行認(rèn)證，應(yīng)該理解的是，也可以以與圖9中所述類(lèi)似的方式使用其它形式的無(wú)線連接來(lái)執(zhí)行認(rèn)證。

在901，UE 921可具有建立的活動(dòng)3GPP連接而且其可通過(guò)該連接到達(dá)AAA/RP服務(wù)器923和/或OP服務(wù)器924。根據(jù)另一示例實(shí)施方式，AP 922可允許OpenID交換用于UE 921的認(rèn)證，而不是使用在901建立的3GPP連接。在任一實(shí)施方式中，協(xié)議流可與圖9中示出的相同或相似。繼續(xù)圖9中的協(xié)議流，在902，UE 921上的本地組件(例如CM)可發(fā)現(xiàn)AP 922、和/或其標(biāo)識(shí)信息(例如“MNO-WiFi”SSID)?？山?jīng)由接入層信令(例如信標(biāo)信道)來(lái)發(fā)現(xiàn)AP 922。UE 921上的本地組件(例如CM)可決定UE 921應(yīng)連接到AP 922。UE 921可以是在AP 922處的未授權(quán)客戶端，且可能不具有網(wǎng)絡(luò)上的接入。

在903，AP 922(例如認(rèn)證方)可發(fā)出EAP請(qǐng)求，以詢問(wèn)UE 921的IP層標(biāo)識(shí)。在904，UE 921可經(jīng)由EAP響應(yīng)返回其IP層標(biāo)識(shí)。UE 921的IP層標(biāo)識(shí)可包括其國(guó)際移動(dòng)訂戶標(biāo)識(shí)(IMSI)和/或附加認(rèn)證信息。附加信息可包括UE 921的范圍。所述范圍可包括附加認(rèn)證信息，例如對(duì)于使用SSO認(rèn)證(例如IMSI@sso.MNO.com)的提示。在905，AP 922可向AAA/RP服務(wù)器923發(fā)送IP層標(biāo)識(shí)(EAP ID)。IP層標(biāo)識(shí)以及AP 922與AAA/RP服務(wù)器923之間的其它通信可使用RADIUS接入消息(例如RADIUS接入請(qǐng)求消息、RADIUS接入質(zhì)詢消息、和/或RADIUS接入接受消息)來(lái)被發(fā)送。

在906，AAA/RP服務(wù)器923可發(fā)現(xiàn)OP服務(wù)器924，并執(zhí)行與OP服務(wù)器924的關(guān)聯(lián)。例如，AAA服務(wù)器923的RP功能可使用OpenID協(xié)議來(lái)發(fā)現(xiàn)OP服務(wù)器924并執(zhí)行與OP服務(wù)器924的關(guān)聯(lián)。UE 921上的應(yīng)用可在907向AAA/RP服務(wù)器924(其可充當(dāng)依賴方(RP))發(fā)送登錄請(qǐng)求。907處的具有OpenID的登錄請(qǐng)求可在3GPP連接上被發(fā)送。UE 921上的應(yīng)用可基于對(duì)發(fā)起來(lái)自UE 921上的本地實(shí)體(例如CM)的通信的指示來(lái)發(fā)送所述登錄請(qǐng)求。通過(guò)在3GPP無(wú)線連接上與UE 921進(jìn)行通信，在908，AAA/RP服務(wù)器923可將UE 921重定向到OP服務(wù)器924。

UE 921可在909處通過(guò)3GPP連接與OP服務(wù)器924進(jìn)行認(rèn)證(例如使用OpenID證書(shū))。例如，UE可使用OpenID證書(shū)與OP進(jìn)行認(rèn)證。一旦向OP服務(wù)器924的認(rèn)證成功完成，可在UE 921和/或OP服務(wù)器924上建立應(yīng)用層證書(shū)925。OP服務(wù)器924可基于應(yīng)用層證書(shū)925生成密鑰材料。所述密鑰材料可被用于UE 921與AAA/RP服務(wù)器923之間的認(rèn)證?？墒褂妹荑€導(dǎo)出功能從應(yīng)用層證書(shū)925導(dǎo)出密鑰材料。根據(jù)示例實(shí)施方式，密鑰材料可包括會(huì)話密鑰，該會(huì)話密鑰可用于使用AAA/RP服務(wù)器920的認(rèn)證。

在910，OP服務(wù)器924可基于應(yīng)用層證書(shū)925將密鑰材料發(fā)送到AAA/RP服務(wù)器923。AAA/RP服務(wù)器923可在應(yīng)用層接收密鑰材料，并將該密鑰材料傳遞到其IP層通信模塊，以用于向AP 922進(jìn)行傳送。在911，AAA/RP服務(wù)器923可使用密鑰材料來(lái)經(jīng)由AP 922向UE 921發(fā)送EAP-SIM/AKA質(zhì)詢。所述質(zhì)詢可以基于重認(rèn)證過(guò)程，其中AAA/RP服務(wù)器923可在不與HLR/HSS通信的情況下執(zhí)行認(rèn)證。在911的質(zhì)詢可包括EAP ID和/或在910處接收的密鑰材料。AP 922可在911接收質(zhì)詢，并在912將從AAA/RP服務(wù)器923接收的EAP消息(EAP-請(qǐng)求/質(zhì)詢消息)發(fā)送到UE 921。

在在912處接收所述EAP-請(qǐng)求/質(zhì)詢消息之后，UE 921可在913使用應(yīng)用層證書(shū)925生成響應(yīng)。UE 921可檢查從AAA/RP服務(wù)器接收的密鑰材料并可將所述質(zhì)詢發(fā)送到可信環(huán)境(例如可信處理模塊、UICC、SIM、智能卡等)，所述可信環(huán)境使用應(yīng)用層證書(shū)925來(lái)生成響應(yīng)。例如，UE 921上的可信環(huán)境可使用密鑰導(dǎo)出功能從應(yīng)用層證書(shū)925導(dǎo)出密鑰材料。所述密鑰材料可與在OP服務(wù)器924處使用應(yīng)用層證書(shū)925生成的密鑰材料相同。例如，所述密鑰材料可包括可被用于UE 921與AAA/RP服務(wù)器923之間的認(rèn)證的會(huì)話密鑰。在913，所述密鑰材料可被用來(lái)生成響應(yīng)。所述響應(yīng)可在UE 921的應(yīng)用層處被生成，并被傳送到接入層，以用于到AP 922的傳輸。

在914，UE 921可基于重認(rèn)證過(guò)程在EAP-響應(yīng)消息中將所述響應(yīng)返回到AP 922。所述EAP-響應(yīng)消息可包括IP層標(biāo)識(shí)符和/或從應(yīng)用層證書(shū)925生成的密鑰材料。在915，AP 922可將EAP-響應(yīng)/質(zhì)詢消息轉(zhuǎn)發(fā)到AAA/RP服務(wù)器923。AAA/RP服務(wù)器923可通過(guò)檢查EAP-響應(yīng)/質(zhì)詢消息中的密鑰材料來(lái)認(rèn)證所述UE 921，以及如果檢查成功，則AAA/RP服務(wù)器923可使得UE 921能夠在WLAN網(wǎng)絡(luò)上接入服務(wù)。例如，在916，AAA/RP服務(wù)器923可向AP 922發(fā)送接入接受消息，該接入接受消息包括EAP成功以及密鑰材料?？稍?17將EAP成功消息轉(zhuǎn)發(fā)到UE 921。在918，UE 921的狀態(tài)可在AP 922上變成被授權(quán)。UE 921可在919處使用DHCP從AP 922獲得IP地址，并可在920處通過(guò)WLAN網(wǎng)絡(luò)接入因特網(wǎng)。

這里使用OpenID來(lái)創(chuàng)建UE 921與OP服務(wù)器924之間的共享證書(shū)(例如應(yīng)用層證書(shū)925)。應(yīng)用層證書(shū)925可被用于在AAA/RP服務(wù)器923處對(duì)用戶/UE 921的認(rèn)證。圖9中示出的實(shí)施方式使得UE 921能夠向OP服務(wù)器924認(rèn)證并共享秘密925。一旦在UE 921與OP服務(wù)器924之間認(rèn)證成功(例如使用OpenID-AKA)，則UE 921與OP服務(wù)器924之間的認(rèn)證使得應(yīng)用層證書(shū)925能夠被生成。OP服務(wù)器924隨后可使用應(yīng)用層證書(shū)925來(lái)對(duì)在910處被發(fā)送到AAA/RP服務(wù)器923并隨后由AAA/RP服務(wù)器923使用應(yīng)用層證書(shū)925進(jìn)行驗(yàn)證的斷定進(jìn)行簽名。一旦在OP服務(wù)器924與UE 921之間生成密鑰925(作為例如OpenID過(guò)程的一部分)，則可使用另一網(wǎng)絡(luò)實(shí)體來(lái)向UE 921(例如向UE 921上的CM)遞送EAP證書(shū)(例如密鑰材料)。

再次，使用圖9中示出的協(xié)議流或其中的一部分，熱點(diǎn)AAA服務(wù)器923可不必連接到MNO HLR/HSS以使用EAP協(xié)議來(lái)執(zhí)行認(rèn)證。反而，AAA服務(wù)器923可與基于簡(jiǎn)單網(wǎng)際協(xié)議(IP)的HTTP(S)接口(例如用于OpenID的基于IP的HTTP(S)接口)通信。除了AP消息或未認(rèn)證裝置之外，熱點(diǎn)AP 922可允許OpenID交換。

圖10是示出了EAP-OpenID集成和本地OpenID提供商(本地OP)的實(shí)施的流程圖，其中AAA服務(wù)器1022充當(dāng)RP。如圖10中所示，可使用UE 1018、AP 1021、AAA/RP服務(wù)器1022和/或OP服務(wù)器1023之間的通信來(lái)認(rèn)證UE 1018和/或其用戶。如圖10中所示，UE 1018可包括本地OP 1019和瀏覽代理(BA)/連接管理器(CM)1020，所述本地OP 1019和瀏覽代理(BA)/連接管理器(CM)1020每個(gè)被配置為互相通信和/或與其它網(wǎng)絡(luò)實(shí)體通信，以執(zhí)行認(rèn)證和獲得對(duì)服務(wù)的接入。雖然BA/CM 1020在圖10中被示為單個(gè)實(shí)體，BA和CM可以是UE 1018內(nèi)執(zhí)行獨(dú)立功能的分離實(shí)體?？稍诎踩h(huán)境(例如可信處理模塊、UICC、SIM、智能卡等)內(nèi)在UE 1018上安裝本地OP 1019。本地OP 1019可充當(dāng)UE 1018的OP服務(wù)器。本地OP 1019可包括長(zhǎng)期秘密1024，可將該長(zhǎng)期秘密1024與網(wǎng)絡(luò)上的OP服務(wù)器1023共享。在成功的本地用戶認(rèn)證之后，本地OP 1019可創(chuàng)建標(biāo)識(shí)斷定和/或?qū)ζ溥M(jìn)行簽名。

在1001，UE 1018可具有活動(dòng)3GPP連接而且其可通過(guò)該連接(例如經(jīng)由BA/CM 1020)到達(dá)AAA/RP 1022和/或OP服務(wù)器1023。雖然在圖10中可在3GPP與WLAN連接之間建立認(rèn)證和服務(wù)連續(xù)性，應(yīng)該認(rèn)識(shí)到，可將類(lèi)似的通信用于其它網(wǎng)絡(luò)之間的認(rèn)證和服務(wù)連續(xù)性。在1002，BA/CM 1020可發(fā)現(xiàn)AP 1021(例如在接入網(wǎng)處)和/或其標(biāo)識(shí)信息。此時(shí)，UE 1018可以是WLAN網(wǎng)絡(luò)上的未授權(quán)客戶端。AP 1021的標(biāo)識(shí)信息可包括“MNO-WiFi”SSID?？山?jīng)由接入層信令(例如信標(biāo)信道)來(lái)發(fā)現(xiàn)AP 1023和/或其標(biāo)識(shí)信息。BA/CM 1020可決定UE 1018應(yīng)連接到AP 1021。在1003，AP 1021(例如認(rèn)證方)可發(fā)出EAP請(qǐng)求，以詢問(wèn)UE 1018標(biāo)識(shí)。在1004，UE 1018可返回其IP層標(biāo)識(shí)。UE 1018IP層標(biāo)識(shí)可包括國(guó)際移動(dòng)訂戶標(biāo)識(shí)(IMSI)和/或附加認(rèn)證信息，例如其范圍。所述范圍可包括例如對(duì)于使用SSO認(rèn)證(例如IMSI@sso.MNO.com)的提示。

在1005，AP 1021可向AAA/RP服務(wù)器1022發(fā)送EAP ID(例如IP層標(biāo)識(shí))。在1006，UE 1018上的BA/CM 1020可向AAA/RP 1022發(fā)送具有OpenID標(biāo)識(shí)的HTTP GET請(qǐng)求。在1007，AAA服務(wù)器1022的RP功能可執(zhí)行與OP服務(wù)器1023的發(fā)現(xiàn)和/或關(guān)聯(lián)。作為結(jié)果，可創(chuàng)建關(guān)聯(lián)密鑰1024和/或關(guān)聯(lián)句柄，并將它們?cè)贠P服務(wù)器1023與AAA/RP服務(wù)器1022之間共享。根據(jù)示例實(shí)施方式，OP服務(wù)器1023可接收與UE 1018相關(guān)聯(lián)的接入層標(biāo)識(shí)并在應(yīng)用層向AAA/RP服務(wù)器1022發(fā)送關(guān)聯(lián)密鑰1024和/或關(guān)聯(lián)句柄。AAA/RP服務(wù)器1022可從該關(guān)聯(lián)密鑰1024導(dǎo)出EAP密鑰1025和/或質(zhì)詢。例如，可使用密鑰導(dǎo)出功能或反向自舉過(guò)程從關(guān)聯(lián)密鑰1024導(dǎo)出EAP密鑰1025。AAA/RP服務(wù)器1022可在1008將UE 1018重定向到本地OP 1019，以進(jìn)行認(rèn)證。這一從AAA/RP 1022到本地OP 1019的重定向消息可包括關(guān)聯(lián)句柄，但可能不包括關(guān)聯(lián)密鑰1024。

在1009，UE 1018和/或BA/CM 1020可在本地與本地OP 1019進(jìn)行認(rèn)證，和/或生成經(jīng)簽名的斷定。UE 1018可從關(guān)聯(lián)句柄導(dǎo)出本地?cái)喽荑€1024，并使用該斷定密鑰1024來(lái)對(duì)所述斷定進(jìn)行簽名。到本地OP 1019的重定向請(qǐng)求可包括關(guān)聯(lián)句柄，其中本地OP 1019可使用該關(guān)聯(lián)句柄來(lái)導(dǎo)出與在OP服務(wù)器1023與AAA/RP服務(wù)器1022之間共享的密鑰相同的簽名密鑰1024。一旦認(rèn)證成功完成，則可由本地OP 1019創(chuàng)建經(jīng)簽名的斷定消息。本地OP 1019還可導(dǎo)出與AAA/RP服務(wù)器1022在1007處生成的密鑰相同的EAP密鑰1025。在步驟1009的一種變形中，為了完成OpenID協(xié)議運(yùn)行，本地OP 1019可在1009(b)使用經(jīng)簽名的斷定消息將BA/CM 1020重定向到AAA/RP服務(wù)器1022，以進(jìn)行驗(yàn)證。本地OP 1019和網(wǎng)絡(luò)OP服務(wù)器1023可共享長(zhǎng)期秘密1024，該長(zhǎng)期秘密1024可被用來(lái)導(dǎo)出簽名密鑰1025。

AAA/RP服務(wù)器1022可基于所生成的EAP密鑰1025生成EAP質(zhì)詢。EAP質(zhì)詢可以是EAP-SIM/AKA質(zhì)詢并可在不必與HLR/HSS通信的情況下被發(fā)送到UE 1018。例如，AP 1021可在1010從AAA/RP 1022接收接入質(zhì)詢并在1011向UE 1018上的BA/CM 1020發(fā)送EAP請(qǐng)求。所述接入質(zhì)詢和EAP請(qǐng)求可包括EAP標(biāo)識(shí)和/或EAP質(zhì)詢。在接收EAP-請(qǐng)求/質(zhì)詢消息之后，UE 1018可使用EAP密鑰1025確認(rèn)所述消息和/或生成響應(yīng)。例如，UE 1018可向UE 1018上的安全環(huán)境(例如可信處理模塊、UICC、SIM、智能卡等)發(fā)送質(zhì)詢，所述安全環(huán)境可使用EAP密鑰1025來(lái)生成EAP響應(yīng)。

在1012，UE 1018可將EAP響應(yīng)返回到AP 1021。所述EAP響應(yīng)可包括EAP標(biāo)識(shí)和/或從共享密鑰1025生成的EAP密鑰1025。在1013，AP 1021可將EAP-響應(yīng)/質(zhì)詢消息轉(zhuǎn)發(fā)到AAA/RP服務(wù)器1022。AAA/RP服務(wù)器可確認(rèn)所述消息并基于所導(dǎo)出的EAP密鑰1025將所接收的響應(yīng)與所期望的響應(yīng)進(jìn)行比較。當(dāng)在AAA/RP服務(wù)器1022處執(zhí)行的認(rèn)證檢查成功時(shí)，AAA/RP 服務(wù)器1022可在1014處向AP 1021發(fā)送對(duì)成功認(rèn)證的指示。例如，AAA/RP服務(wù)器1022可向AP 1021發(fā)送接入接受消息，該接入接受消息包括EAP成功以及密鑰材料?？稍?015將對(duì)成功認(rèn)證的指示轉(zhuǎn)發(fā)到UE 1018。在已經(jīng)執(zhí)行了成功認(rèn)證之后，針對(duì)AP 1021上的通信，UE 1018的狀態(tài)可變成被授權(quán)。UE 1018可在1016處獲得IP地址(例如使用DHCP)，并可在1017處使用AP 1021通過(guò)WLAN接入因特網(wǎng)。

通過(guò)使用圖10中示出的協(xié)議流或其中的一部分，熱點(diǎn)AAA服務(wù)器1022可不必連接到MNO HLR/HSS以使用EAP協(xié)議來(lái)執(zhí)行認(rèn)證。此外，本地OP 1019的使用使得UE 1018能夠?yàn)镋AP進(jìn)程執(zhí)行本地密鑰生成以及對(duì)用戶的本地認(rèn)證。

圖11是示出了EAP-OpenID集成的另一流程圖，其中AAA服務(wù)器1121充當(dāng)RP。在從UE 1018請(qǐng)求服務(wù)之前，AAA/RP 1121可發(fā)起與已知的OP服務(wù)器的預(yù)取(pre-fetch)關(guān)聯(lián)。如圖11中所示，可使用UE 1117、AP 1120、AAA/RP服務(wù)器1121和/或OP服務(wù)器1122之間的通信來(lái)認(rèn)證UE 1117和/或其用戶，以接入所述服務(wù)。根據(jù)圖11中示出的示例實(shí)施方式，UE 1117可使用本地OP 1118來(lái)執(zhí)行本地認(rèn)證以及執(zhí)行從UE 1117上的OpenID簽名密鑰1123對(duì)EAP密鑰1124的密鑰生成。此外，圖11中示出的實(shí)施方式可在UE 1117向AAA/RP服務(wù)器1121認(rèn)證之前使用OpenID的標(biāo)識(shí)符選擇模式來(lái)設(shè)置AAA/RP服務(wù)器1121與OP服務(wù)器1122之間的關(guān)聯(lián)。這可通過(guò)在OP服務(wù)器1122與AAA/RP服務(wù)器1121之間預(yù)先建立關(guān)聯(lián)來(lái)使能避免OP發(fā)現(xiàn)。當(dāng)UE(例如UE 1117)移動(dòng)到接入網(wǎng)并使得網(wǎng)絡(luò)切換能夠?qū)τ脩羰菬o(wú)縫的時(shí)，這可導(dǎo)致減少完成SSO過(guò)程的時(shí)間。

根據(jù)示例實(shí)施方式，AAA/RP服務(wù)器1121可與已知OP服務(wù)器(例如OP服務(wù)器1122)發(fā)起多個(gè)關(guān)聯(lián)。AAA/RP服務(wù)器1121可使用OpenID的標(biāo)識(shí)符選擇模式來(lái)發(fā)起這種關(guān)聯(lián)(其中可使用提供商URL，而不是完整標(biāo)識(shí)符URL，其可隨后由本地OP 1118完成)。AAA/RP服務(wù)器1121可存儲(chǔ)其從OP服務(wù)器獲得的關(guān)聯(lián)句柄和關(guān)聯(lián)秘密。由AAA/RP服務(wù)器1121執(zhí)行的發(fā)現(xiàn)和關(guān)聯(lián)中的一者可包括在1101處與OP服務(wù)器1121的發(fā)現(xiàn)和關(guān)聯(lián)。AAA/RP 1121可存儲(chǔ)從OP服務(wù)器1122接收的關(guān)聯(lián)句柄和/或關(guān)聯(lián)秘密1123。

在1102，UE上的本地組件(例如BA/CM 1119)可基于其標(biāo)識(shí)信息發(fā)現(xiàn)AP 1120?？山?jīng)由例如接入層信令來(lái)標(biāo)識(shí)AP 1120。此時(shí)，UE 1117可以是與AP 1120相關(guān)聯(lián)的網(wǎng)絡(luò)(例如WLAN)上的未授權(quán)客戶端。BA/CM 1119可決定UE 1117應(yīng)連接到AP 1120。在1103，AP 1120可請(qǐng)求UE 1117的IP層標(biāo)識(shí)。在1104，UE 1117可將其IP層標(biāo)識(shí)和/或附加認(rèn)證信息返回到AP 1120。在1105，AP 1120可向AAA/RP服務(wù)器1121發(fā)送UE 1117的IP層標(biāo)識(shí)符。

在1106，UE 1117上的BA/CM 1119可向AAA/RP 1121發(fā)送具有OpenID提供商URL、電子郵件地址或其它登錄標(biāo)識(shí)符(例如在標(biāo)識(shí)符選擇模式中)的請(qǐng)求。AAA/RP服務(wù)器1121可選擇預(yù)先建立的關(guān)聯(lián)句柄和關(guān)聯(lián)密鑰中的一者。例如，AAA/RP服務(wù)器1121可基于從UE 1117接收的登錄標(biāo)識(shí)符選擇已經(jīng)與OP服務(wù)器1122預(yù)先建立的關(guān)聯(lián)句柄和關(guān)聯(lián)密鑰1123。AAA/RP服務(wù)器1121可從該關(guān)聯(lián)密鑰1123導(dǎo)出EAP密鑰1124和/或EAP質(zhì)詢。例如，可使用密鑰導(dǎo)出功能或反向自舉過(guò)程從關(guān)聯(lián)密鑰1123導(dǎo)出EAP密鑰1124。AAA/RP 1121可在1107將UE 1117重定向到本地OP 1118，以用于認(rèn)證。由于部署了本地OP 1118，可將認(rèn)證重定向到本地OP 1118。這一到本地OP 1118的重定向可包括關(guān)聯(lián)句柄，但可能不包括關(guān)聯(lián)秘密1123。

在1108，UE 1117和/或BA/CM 1119可在本地與本地OP 1118進(jìn)行認(rèn)證。到本地OP 1118的重定向請(qǐng)求可包括關(guān)聯(lián)句柄，其中本地OP 1118可使用該關(guān)聯(lián)句柄來(lái)導(dǎo)出與在OP服務(wù)器1122與AAA/RP 1121之間共享的密鑰相同的關(guān)聯(lián)密鑰1123。本地OP 1118和網(wǎng)絡(luò)OP服務(wù)器1122可共享長(zhǎng)期秘密，該長(zhǎng)期秘密可被用來(lái)導(dǎo)出簽名密鑰1123。一旦認(rèn)證成功完成，則本地OP 1118可從同樣在AAA/RP服務(wù)器1121處導(dǎo)出的簽名密鑰1123導(dǎo)出EAP密鑰1124?？墒褂美缑荑€導(dǎo)出功能來(lái)導(dǎo)出EAP密鑰。本地OP 1118可使用EAP密鑰1124來(lái)生成經(jīng)簽名的斷定消息，以向AAA/RP服務(wù)器1121進(jìn)行發(fā)送。

AAA/RP服務(wù)器1121可基于所生成的EAP密鑰1124生成EAP質(zhì)詢，并可在不必與HLR/HSS通信的情況下將EAP質(zhì)詢發(fā)送到UE 1117。例如，在1109，可將接入質(zhì)詢從AAA/RP 1121發(fā)送到AP 1120。所述接入質(zhì)詢可包括EAP ID和/或質(zhì)詢。在1110，AP 1120可將從AAA/RP服務(wù)器1121接收的EAP消息(EAP-請(qǐng)求/質(zhì)詢)發(fā)送到BA/CM 1119。

在接收EAP-請(qǐng)求/質(zhì)詢消息之后，UE 1118可使用EAP密鑰1124確認(rèn)所述消息并生成響應(yīng)。UE 1118可向可信環(huán)境(例如可信處理模塊、UICC、SIM、智能卡等)發(fā)送EAP質(zhì)詢，所述可信環(huán)境可使用EAP密鑰1124來(lái)生成EAP響應(yīng)。在1111，UE 1117可將響應(yīng)消息返回到AP 1120。所述響應(yīng)消息可包括EAP ID和/或EAP響應(yīng)。在1112，AP 1120將EAP-響應(yīng)/質(zhì)詢消息轉(zhuǎn)發(fā)到AAA/RP服務(wù)器1121。AAA/RP可使用所述EAP密鑰1124執(zhí)行認(rèn)證。當(dāng)在AAA/RP服務(wù)器1121處執(zhí)行的認(rèn)證檢查成功時(shí)，AAA/RP服務(wù)器1121可在1113處發(fā)送對(duì)成功認(rèn)證的指示。例如，AAA/RP服務(wù)器1121可向AP 1120發(fā)送指示成功認(rèn)證的消息。例如，對(duì)成功認(rèn)證的指示可包括EAP成功和密鑰材料?？稍?114將對(duì)成功認(rèn)證的指示轉(zhuǎn)發(fā)到UE 1117。在已經(jīng)執(zhí)行了成功認(rèn)證之后，UE 1117狀態(tài)可在AP 1120上變成被授權(quán)。UE 1117可在1115處獲得IP地址以用于AP 1120上的通信(例如使用DHCP)，并可在1116處使用AP 1120接入因特網(wǎng)。

圖12是示出了將AAA服務(wù)器1218實(shí)施為OP服務(wù)器的認(rèn)證協(xié)議的流程圖?？墒褂肬E 1216、AP 1217、和AAA/OP服務(wù)器1218來(lái)實(shí)施圖12中示出的流程圖。AP 1217可以是熱點(diǎn)或能夠在WLAN網(wǎng)絡(luò)上進(jìn)行通信的其它節(jié)點(diǎn)。將OP服務(wù)器功能性集成到熱點(diǎn)AAA服務(wù)中可使能對(duì)網(wǎng)絡(luò)間(例如3GPP與WLAN網(wǎng)絡(luò)之間)的無(wú)縫認(rèn)證和/或服務(wù)連續(xù)性的支持。AAA/OP服務(wù)器1218可使用之前在UE 1216和/或AAA/OP服務(wù)器1218上生成的密鑰1219來(lái)執(zhí)行認(rèn)證，以用于在WLAN網(wǎng)絡(luò)上接入服務(wù)。根據(jù)示例實(shí)施方式，之前生成的密鑰1219可以是應(yīng)用層證書(shū)。雖然圖12描述了針對(duì)3GPP與WLAN網(wǎng)絡(luò)間的無(wú)縫認(rèn)證和/或服務(wù)連續(xù)性的網(wǎng)絡(luò)通信，但應(yīng)該理解的是，類(lèi)似的通信可被用于其它類(lèi)型的無(wú)線網(wǎng)絡(luò)之間的無(wú)縫認(rèn)證和服務(wù)連續(xù)性。

如此處所示，用戶可以在公共熱點(diǎn)(例如AP 1217)與被集成到AAA服務(wù)器1218中的OP模塊進(jìn)行無(wú)縫認(rèn)證。根據(jù)一種實(shí)施方式，可使用AAA/OP服務(wù)器1218來(lái)執(zhí)行認(rèn)證，以利用在UE 1216和/或AAA/OP服務(wù)器1218上導(dǎo)出的密鑰1219來(lái)完成認(rèn)證(例如EAP-SIM/AKA認(rèn)證)?；顒?dòng)的3GPP連接可被用來(lái)交換認(rèn)證消息(例如OpenID認(rèn)證消息)，以用于在WLAN網(wǎng)絡(luò)進(jìn)行認(rèn)證。

如圖12中所示，在1201，UE 1216可通過(guò)3GPP接入網(wǎng)成功完成向AAA/OP服務(wù)器1218的認(rèn)證。在3GPP接入網(wǎng)上的認(rèn)證協(xié)議期間，可在UE1216和/或AAA/OP服務(wù)器1218上建立共享密鑰1219。在1202，UE上的本地組件(例如CM)可基于其標(biāo)識(shí)信息發(fā)現(xiàn)AP 1217。例如AP 1217的標(biāo)識(shí)信息可以是“MNO-WiFi”SSID?？山?jīng)由接入層信令(例如信標(biāo)信道)來(lái)發(fā)現(xiàn)AP 1217。UE 1216的本地組件(例如CM)可決定UE 1216應(yīng)切換到熱點(diǎn)。

在1203，AP 1217(例如認(rèn)證方)可發(fā)出EAP請(qǐng)求，以詢問(wèn)UE 1216的IP層標(biāo)識(shí)。在1204，UE 1216可將其IP層標(biāo)識(shí)和/或附加認(rèn)證信息返回到AP 1217。例如，UE 1216可返回其國(guó)際移動(dòng)訂戶標(biāo)識(shí)(IMSI)。附加認(rèn)證信息可包括范圍。所示范圍包括對(duì)于使用SSO認(rèn)證(例如IMSI@sso.MNO.com)的提示。根據(jù)示例實(shí)施方式，UE 1216可提供附加信息，以在發(fā)現(xiàn)UE 1216認(rèn)證能力的過(guò)程中進(jìn)行輔助，例如通過(guò)對(duì)IMSI預(yù)先附加(pre-pending)比特(例如‘0’或‘1’)來(lái)分別提示服務(wù)器使用EAP-AKA或EAP-SIM過(guò)程。

在1205，AP 1217可向AAA/OP服務(wù)器1218發(fā)送EAP ID(例如接入層標(biāo)識(shí))?；谥吧傻呐cUE 1216共享的密鑰1219，在1206，AAA服務(wù)器1218的OP功能可生成質(zhì)詢。例如，AAA/OP服務(wù)器1218可導(dǎo)出會(huì)話密鑰，以在接入層的認(rèn)證中使用。例如，可使用密鑰導(dǎo)出功能或通用自舉過(guò)程來(lái)導(dǎo)出會(huì)話密鑰。AAA/OP服務(wù)器1218可使用重認(rèn)證過(guò)程在EAP-SIM/AKA質(zhì)詢消息中向UE 1216發(fā)送質(zhì)詢。例如，AP 1217可在1207接收EAP消息，該EAP消息包括從共享密鑰1219生成的會(huì)話密鑰和/或來(lái)自AAA/OP服務(wù)器1218的EAP ID。在1208，AP 1217隨后可將從AAA/OP服務(wù)器接收的EAP消息(EAP-請(qǐng)求/質(zhì)詢)轉(zhuǎn)發(fā)到UE 1216。

在接收所述EAP-請(qǐng)求/質(zhì)詢消息之后，UE 1216可使用所述會(huì)話密鑰執(zhí)行認(rèn)證。UE 1216可將所述質(zhì)詢發(fā)送到位于其上的安全環(huán)境(例如可信處理模塊、UICC、SIM、智能卡等)，所述安全環(huán)境可使用與AAA/OP服務(wù)器1218的共享密鑰1219在1209處生成EAP響應(yīng)。例如，EAP響應(yīng)消息可包括從共享密鑰1219生成的響應(yīng)。

在1210，UE 1216可基于重認(rèn)證過(guò)程在到AP 1217的響應(yīng)中將EAP消息返回到AP 1217。所述EAP消息可包括EAP ID和/或是使用共享密鑰1219生成的響應(yīng)。在1211，AP 1217可將EAP-響應(yīng)/質(zhì)詢消息轉(zhuǎn)發(fā)到AAA/OP服務(wù)器1218。AAA/OP服務(wù)器1218可確認(rèn)所述消息和/或?qū)⒃贓AP-響應(yīng)/質(zhì)詢消息中接收的響應(yīng)與期望的響應(yīng)進(jìn)行比較。當(dāng)在AAA/OP服務(wù)器1218處執(zhí)行的檢查成功時(shí)，AAA/OP服務(wù)器1218可經(jīng)由AP 1217向UE 1216發(fā)送成功認(rèn)證的指示。例如，在1212，AAA/OP服務(wù)器1218可向AP 1217發(fā)送接入接受消息，該接入接受消息包括EAP成功和/或密鑰材料。在1213，EAP成功消息可被轉(zhuǎn)發(fā)到UE 1216。一旦成功認(rèn)證，UE 1216狀態(tài)可在AP 1217上變成被授權(quán)。在1214，UE 1216可從AP 1217獲得IP地址(例如使用DHCP)，并可在1215通過(guò)WLAN網(wǎng)絡(luò)接入因特網(wǎng)。

如此所述，可在UE 1216與AAA/OP服務(wù)器1218之間生成共享證書(shū)1219?？稍诹硪痪W(wǎng)絡(luò)處的認(rèn)證期間或之后建立所述共享證書(shū)。UE 1216可向AAA/OP服務(wù)器1218進(jìn)行認(rèn)證，該AAA/OP服務(wù)器1218可使用所述共享證書(shū)1219來(lái)對(duì)斷定進(jìn)行簽名，該斷定被發(fā)送到RP并隨后由RP使用共享證書(shū)1219進(jìn)行驗(yàn)證。一旦成功認(rèn)證，UE 1216與AAA/OP 1218之間的認(rèn)證可生成共享證書(shū)1219(例如使用OpenID-AKA)。一旦在AAA/OP 1218與UE 1216之間生成共享證書(shū)1219，另一實(shí)體可將所述EAP證書(shū)遞送到UE 1216(例如在CM處)。

這里描述的實(shí)施方式可消除在熱點(diǎn)AAA服務(wù)器上對(duì)復(fù)雜MAP/直徑接口的實(shí)施，或與MNO HLR/HSS對(duì)接和通信以進(jìn)行AV獲取。此外，可使能3GPP與WLAN熱點(diǎn)之間的無(wú)縫認(rèn)證和服務(wù)連續(xù)性。如圖12所示，可在熱點(diǎn)AAA服務(wù)器1218中實(shí)施OP模型。作為將OP集成到熱點(diǎn)AAA服務(wù)器的替換或補(bǔ)充，可將OP功能性實(shí)施到MNO AAA服務(wù)器中，并且熱點(diǎn)AAA服務(wù)器可充當(dāng)AAA代理，其將請(qǐng)求中繼到MNO AAA服務(wù)器。

圖13示出了用于將OpenID消息集成到EAP協(xié)議消息中的協(xié)議流的示例實(shí)施方式。該協(xié)議流或與之相似的協(xié)議流可被實(shí)施以例如使能圖11和12所示的一些網(wǎng)絡(luò)通信。

如圖13所示，UE 1316、AP/RP 1317、和/或OP服務(wù)器1318可執(zhí)行通信，以使能在網(wǎng)絡(luò)處認(rèn)證UE 1316。在1301，UE 1316可發(fā)現(xiàn)與AP/RP 1317相關(guān)聯(lián)的接入網(wǎng)。此時(shí)，UE 1316對(duì)于網(wǎng)絡(luò)上的通信可以是未授權(quán)的。在1302，AP/RP 1317可發(fā)送針對(duì)EAP ID(例如接入層標(biāo)識(shí))的請(qǐng)求。在1303，UE 1316可在EAP響應(yīng)中向AP 1317發(fā)送OpenID標(biāo)識(shí)符。在1304，通過(guò)使用OpenID標(biāo)識(shí)符，AP 1317可與OP服務(wù)器1318執(zhí)行OpenID協(xié)議的發(fā)現(xiàn)和/或關(guān)聯(lián)步驟。為了執(zhí)行發(fā)現(xiàn)和/或關(guān)聯(lián)，AP 1317可根據(jù)EAP協(xié)議解開(kāi)(unwrap)OpenID消息(例如OpenID標(biāo)識(shí)符)并經(jīng)由HTTP(S)與OP服務(wù)器1318通信?？蛇x地，可以在OpenID協(xié)議中建立關(guān)聯(lián)。

在關(guān)聯(lián)之后，OP服務(wù)器1318可在1305生成質(zhì)詢，并且AP 1317可在1306從OP服務(wù)器1318接收OpenID質(zhì)詢。在1307，AP 1317可向UE 1316發(fā)送EAP請(qǐng)求(對(duì)應(yīng)于OpenID協(xié)議中的OpenID重定向)。在本地OP的幫助下，UE 1316可在1308生成正確的響應(yīng)并在1309向AP 1317發(fā)送具有經(jīng)簽名的OpenID斷定的EAP響應(yīng)。如果AP 1317與OP服務(wù)器1318建立關(guān)聯(lián)，則AP 1317可自主地驗(yàn)證斷定簽名并因此認(rèn)證和授權(quán)UE 1316。如果早些時(shí)候沒(méi)有建立關(guān)聯(lián)，則AP 1317可使用無(wú)狀態(tài)模式來(lái)請(qǐng)求OP服務(wù)器1318進(jìn)行簽名驗(yàn)證，例如在1310處。如果在OP服務(wù)器1318處認(rèn)證成功，則OP服務(wù)器1318可在1311向AP/RP 1317發(fā)送具有標(biāo)識(shí)和認(rèn)證斷定的OpenID消息。AP/RP 1317可在1312向UE 1316指示成功認(rèn)證，且UE可在1313經(jīng)由AP/RP 1317針對(duì)服務(wù)被授權(quán)。在1314，UE 1316可從AP/RP 1317獲得(經(jīng)由DHCP請(qǐng)求)IP地址，并可在1315被使能通過(guò)WLAN網(wǎng)絡(luò)進(jìn)行因特網(wǎng)接入。

即使AP 1317和OP服務(wù)器1318已經(jīng)建立了關(guān)聯(lián)，也可由本地OP“強(qiáng)制”進(jìn)行無(wú)狀態(tài)模式。本地OP可設(shè)置斷定消息中的字段“invalidate_handle(無(wú)效句柄)”，并創(chuàng)建新的關(guān)聯(lián)句柄。AP 1317隨后可回到OP服務(wù)器1318進(jìn)行簽名驗(yàn)證。OpenID的這一行為可被用來(lái)觸發(fā)從AP 1317到OP服務(wù)器1318的反饋機(jī)制，即使本地OP已經(jīng)就位并發(fā)出斷定。如果關(guān)聯(lián)被使用且不是無(wú)效的，則可能不會(huì)向OP服務(wù)器1318進(jìn)行任何反饋。這里描述的實(shí)施方式可使能某些支付場(chǎng)景和/或隱私。

根據(jù)示例實(shí)施方式，針對(duì)服務(wù)的用戶認(rèn)證可通過(guò)為了EAP協(xié)議中的AV獲取在AP與MNO的AAA服務(wù)器之間建立連接來(lái)被執(zhí)行。通過(guò)實(shí)施OpenID，可在AP與MNO網(wǎng)絡(luò)之間創(chuàng)建附加抽象層。OP可充當(dāng)網(wǎng)絡(luò)認(rèn)證基礎(chǔ)結(jié)構(gòu)的代理，并在不向連接的AP給出到網(wǎng)絡(luò)AV的直接接入的情況下，基于網(wǎng)絡(luò)證書(shū)認(rèn)證UE。由于OP充當(dāng)認(rèn)證點(diǎn)，因此AP中的邏輯可被降低，以驗(yàn)證OpenID斷定。通過(guò)使用OpenID，不再需要在AP處處理AV。此外，OP可對(duì)不同的AP運(yùn)營(yíng)商的多個(gè)AP進(jìn)行服務(wù)，這是由于AP不必具有到MNO基礎(chǔ)結(jié)構(gòu)的直接連接。OP還可充當(dāng)事務(wù)(transaction)認(rèn)證方(這可包括例如本地OP)。這可經(jīng)由AP運(yùn)營(yíng)商的MNO后端允許記賬和/或收益/紅利支付。因而，多個(gè)MNO可使用相同的OP。多個(gè)AP提供商也可使用相同的OP。這可導(dǎo)致例如“星”架構(gòu)。

這里的實(shí)施方式可使用密鑰導(dǎo)出功能，例如通用自舉過(guò)程。例如，可實(shí)施通用自舉架構(gòu)(GBA)。GBA的一個(gè)示例實(shí)施方式可被描述于3GPP技術(shù)規(guī)范(TS)33.220中。然而，GBA可被限制于基于UICC的證書(shū)。這里描述的實(shí)施方式可使用基于UICC的和/或非基于UICC的證書(shū)來(lái)實(shí)施。GBA還可被限于UE-BSF與UE-NAF之間的IP連接性，以執(zhí)行自舉和認(rèn)證。這可導(dǎo)致GBA破壞無(wú)縫移動(dòng)性協(xié)議，例如移動(dòng)IP。移動(dòng)IP可在IP層或在IP層之下使用認(rèn)證，以執(zhí)行切換，以及帶來(lái)新的接口(例如WLAN接口)以及執(zhí)行與本地代理(HA)的注冊(cè)。在IP層處的移動(dòng)IP注冊(cè)與在應(yīng)用層處的GBA自舉之間的競(jìng)爭(zhēng)條件可破壞移動(dòng)性并可使MIP注冊(cè)失敗，并且作為結(jié)果，到WLAN網(wǎng)絡(luò)的切換可能失敗。

EAP-GBA集成選項(xiàng)可被用來(lái)解決3GPP與WLAN網(wǎng)絡(luò)之間的移動(dòng)性問(wèn)題，例如針對(duì)基于GBA的雙模式裝置?？稍诂F(xiàn)有的3GPP接口上執(zhí)行GBA認(rèn)證。GBA認(rèn)證的結(jié)果(例如存儲(chǔ)于裝置中的Ks_NAF)可被用來(lái)在熱點(diǎn)中完成EAP認(rèn)證。可通過(guò)例如經(jīng)由3GPP接口為GBA認(rèn)證提供IP連接性以及使用GBA-EAP集成來(lái)與GBA解決移動(dòng)性問(wèn)題。

圖14是示出了針對(duì)使用OpenID連接的服務(wù)的UE 1421認(rèn)證的流程圖。如圖14所示，UE 1421可具有活動(dòng)無(wú)線連接(例如3GPP連接)并可通過(guò)該連接到達(dá)AAA/RP服務(wù)器1425和/或OP服務(wù)器1426。在1401，UE 1421可執(zhí)行到AAA/RP服務(wù)器1425的OpenID連接登錄，該AAA/RP服務(wù)器1425可創(chuàng)建接入令牌。所述接入令牌可在1402處由BA1422保存(或由OS保存)。UE上的本地組件(例如CM 1423)可經(jīng)由接入層信令(例如信標(biāo)信道)發(fā)現(xiàn)AP 1424及其標(biāo)識(shí)信息(例如“MNO-WiFi”SSID)。CM 1423可決定UE 1421應(yīng)連接到AP 1424。在1403，CM可附著到AP 1424。在1404，AP 1424(例如認(rèn)證方)可將UE 1421狀態(tài)設(shè)置為未認(rèn)證或未授權(quán)。

在1405，AP 1424可發(fā)出EAP請(qǐng)求，以詢問(wèn)UE 1421EAP/IP層標(biāo)識(shí)。在1406，UE 1421可返回國(guó)際移動(dòng)訂戶標(biāo)識(shí)(IMSI)和/或其它認(rèn)證信息。其它認(rèn)證信息可包括其范圍，該范圍可包括對(duì)于使用SSO認(rèn)證(例如IMSI@sso.MNO.com)的提示。在1407，AP 1424可向AAA/RP服務(wù)器1425發(fā)送從UE 1421接收的EAP ID(例如使用RADIUS接入請(qǐng)求)。

在1408，AAA/RP服務(wù)器1425可基于所接收的EAP ID(或通過(guò)使用所接收的EAP ID查找數(shù)據(jù)庫(kù))檢測(cè)UE 1421能夠使用基于OpenID連接的流。在1409，AAA/RP服務(wù)器1425可向AP 1424發(fā)送EAP-SIM/AKA質(zhì)詢，該質(zhì)詢指示應(yīng)該在EAP協(xié)議中使用OpenID連接。AP 1424可將從AAA/RP服務(wù)器1425接收的EAP消息(EAP-請(qǐng)求/質(zhì)詢)發(fā)送到UE 1421(例如在CM 1423處)。

在接收所述EAP-請(qǐng)求/質(zhì)詢消息之后，UE 1421檢查消息中的認(rèn)證參數(shù)，并且可在1411從BA1422請(qǐng)求令牌(例如BA可以是OS或API)。在1412，可將接入令牌返回到CM 1423。在1413，CM 1423可在EAP消息中向AP 1424發(fā)送接入令牌。在1414，AP 1424可將EAP-響應(yīng)/質(zhì)詢消息轉(zhuǎn)發(fā)到AAA/RP服務(wù)器。在1415，AAA/RP服務(wù)器1425可驗(yàn)證令牌并隨后使用該令牌和來(lái)自O(shè)P服務(wù)器1426的用戶信息端點(diǎn)來(lái)從OP服務(wù)器1426獲取用于認(rèn)證的用戶信息。

OP服務(wù)器1426可在釋放用戶信息之前確認(rèn)所述令牌。在1417，AAA/RP服務(wù)器1425可接收用戶信息。用戶信息可包括用戶名、地址、記賬信息、和/或記賬令牌。AAA/RP服務(wù)器1425可基于在1417接收的用戶信息來(lái)執(zhí)行認(rèn)證檢查。當(dāng)所有檢查成功時(shí)，AAA/RP服務(wù)器可將成功認(rèn)證的指示發(fā)送到UE 1421。例如，在1418，AAA/RP服務(wù)器1425可向AP 1424發(fā)送接入接受消息，該接入接受消息包括EAP成功和密鑰材料。在1419，可將EAP成功消息轉(zhuǎn)發(fā)到UE 1421。在1420，UE 1421狀態(tài)可變成被授權(quán)，以用于在AP 1424上的網(wǎng)絡(luò)上的接入。UE 1421可獲得IP地址(例如使用DHCP)，并可經(jīng)由AP 1424接入因特網(wǎng)。

圖15是示出了針對(duì)使用OpenID連接和本地OP的服務(wù)的UE 1520的認(rèn)證的流程圖。如圖15所示，UE 1520上的本地組件(例如CM 1522)可發(fā)現(xiàn)AP 1524和/或其標(biāo)識(shí)信息。AP 1524和/或其標(biāo)識(shí)信息可包括“MNO-WiFi”SSID，其可經(jīng)由接入層信令(例如信標(biāo)信道)被發(fā)現(xiàn)。CM 1522可決定UE 1520應(yīng)連接到AP 1524。

在1501，UE 1520可附著到AP 1524。在1502，AP 1524(例如認(rèn)證方)可將UE 1520狀態(tài)設(shè)置為對(duì)于通信未認(rèn)證或未授權(quán)。在1503，AP 1524可發(fā)出EAP請(qǐng)求，以詢問(wèn)UE IP層/EAP標(biāo)識(shí)。在1504，UE 1520可返回其IP層/EAP標(biāo)識(shí)符。例如，UE 1520可返回國(guó)際移動(dòng)訂戶標(biāo)識(shí)(IMSI)和/或附加認(rèn)證信息。附加認(rèn)證信息可包括其范圍，該范圍可包括對(duì)于使用SSO認(rèn)證(例如IMSI@sso.MNO.com)的提示。

在1505，AP 1524可向AAA/RP服務(wù)器1525發(fā)送EAP ID。可使用RADIUS消息(例如接入請(qǐng)求消息、接入質(zhì)詢和/或接入接受消息)來(lái)執(zhí)行AP 1524與AAA/RP服務(wù)器1525之間的通信。在1506，AAA/RP服務(wù)器可基于所接收的EAP標(biāo)識(shí)(或通過(guò)使用所接收的EAP標(biāo)識(shí)查找數(shù)據(jù)庫(kù))檢測(cè)UE 1520能夠使用基于OpenID連接的流。在1507，AAA/RP服務(wù)器可向AP 1524發(fā)送EAP-SIM/AKA質(zhì)詢。該質(zhì)詢可以指示應(yīng)該在EAP協(xié)議中使用OpenID連接。該指示對(duì)于AP 1524和/或EAP協(xié)議而言可以是透明的。作為指示的替代，AAA/RP服務(wù)器1525可創(chuàng)建OpenID連接請(qǐng)求對(duì)象(例如JSON)并可將指示符(URL)放到請(qǐng)求中。

在1508，AP 1524可將從AAA/RP服務(wù)器1525接收的EAP消息(EAP-請(qǐng)求/質(zhì)詢)發(fā)送到UE 1520(例如在CM 1522)。在接收所述EAP-請(qǐng)求/質(zhì)詢消息之后，UE 1520可檢查認(rèn)證參數(shù)，并且可在1509使用OpenID連接請(qǐng)求對(duì)象來(lái)發(fā)起與本地OP 1521的OpenID連接會(huì)話。在1510，本地OP 1521可創(chuàng)建接入令牌(例如在成功本地用戶認(rèn)證之后)。在1511，可將接入令牌返回到CM 1522。在1512，CM 1522可在EAP消息中向AP 1524發(fā)送所述接入令牌。AP 1524可將EAP-響應(yīng)/質(zhì)詢消息轉(zhuǎn)發(fā)到AAA/RP服務(wù)器1525。在1514，AAA/RP服務(wù)器1525可驗(yàn)證令牌并使用該令牌和來(lái)自O(shè)P服務(wù)器1526的用戶信息端點(diǎn)來(lái)獲取用于認(rèn)證的用戶數(shù)據(jù)。

在1515，OP服務(wù)器1526可在能夠釋放用于認(rèn)證的用戶信息之前確認(rèn)所述令牌。在1516，AAA/RP服務(wù)器1525可接收用戶信息。用戶信息可包括用戶名、地址、記賬信息、和/或記賬令牌。AAA/RP服務(wù)器1525可使用在1516接收的用戶信息來(lái)執(zhí)行用戶認(rèn)證，且當(dāng)檢查成功時(shí)，AAA/RP服務(wù)器1525可在1517將成功認(rèn)證的指示發(fā)送到UE 1520。例如，AAA/RP服務(wù)器1525可向AP 1524發(fā)送接入接受消息，該接入接受消息可以包括EAP成功消息和/或密鑰材料。在1518，可將EAP成功消息轉(zhuǎn)發(fā)到UE 1520(例如到CM 1522)。在1519，UE 1520狀態(tài)可在AP 1524上變成被授權(quán)。UE 1520可獲得IP地址(例如使用DHCP)，并可經(jīng)由AP 1524接入因特網(wǎng)。

雖然上面以特定組合的方式描述了特征和元素，但是本領(lǐng)域的普通技術(shù)人員能夠理解的是，每個(gè)特征或元素都可被單獨(dú)使用，或與其他特征和元素進(jìn)行各種組合。此外，這里描述的方法可以在引入到計(jì)算機(jī)可讀介質(zhì)中并供計(jì)算機(jī)或處理器運(yùn)行的計(jì)算機(jī)程序、軟件或固件中實(shí)施。計(jì)算機(jī)可讀介質(zhì)的示例包括電信號(hào)(通過(guò)有線或無(wú)線連接傳送)和計(jì)算機(jī)可讀存儲(chǔ)媒介。計(jì)算機(jī)可讀存儲(chǔ)媒介的示例包括但不限于只讀存儲(chǔ)器(ROM)、隨機(jī)存取存儲(chǔ)器(RAM)、寄存器、緩沖存儲(chǔ)器、半導(dǎo)體存儲(chǔ)設(shè)備、例如內(nèi)部硬盤(pán)和可移動(dòng)磁盤(pán)的磁介質(zhì)、磁光介質(zhì)和光介質(zhì)(例如CD-ROM盤(pán)和數(shù)字多用途盤(pán)(DVD))。與軟件相關(guān)聯(lián)的處理器可被用于實(shí)施在WTRU、UE、終端、基站、RNC或任何主機(jī)中使用的射頻收發(fā)信機(jī)。