利用銷售點裝置進行網絡接入認證的制作方法

本申請要求享有2014年8月19日提交的美國申請No.14/463276的優先權。

技術領域

本公開內容的實施例總體涉及通信系統領域，并且更具體而言，涉及配置通信裝置以用于通信網絡之內。

背景技術：

有時用戶可能希望將計算裝置連接到訪客網絡以獲得對因特網和其他網絡資源的接入。為了連接到訪客網絡，用戶可以參與認證過程以使得用戶的計算裝置通過訪客網絡的接入點(AP)獲得對可用的網絡資源的接入。一種認證過程包括用戶在用戶的計算裝置上輸入密碼。不過，用戶在計算裝置上輸入密碼通常很麻煩。此外，用戶能夠與他人共享密碼，使得密碼的安全性降低。

另一種認證過程包括將用戶計算裝置上的瀏覽器重定向到用于認證的強制網絡門戶。不過，該過程可能導致在認證過程之前已經加載到瀏覽器中的針對網頁的未定義的行為。為了避免未定義行為，用戶通常必須記得在認證過程期間刷新或重新啟動瀏覽器，以便在瀏覽器上加載強制網絡門戶。此外，可以通過分組嗅探器來利用強制網絡門戶。上述兩種認證過程都依賴于口令進行用戶認證。這些口令通常很弱，可能被敵對方猜測到。一旦知道了口令，敵對方就能夠建立用于模仿合法AP的流氓AP，給用戶帶來安全威脅。

技術實現要素：

公開了配置用戶裝置進行網絡接入，例如進行訪客網絡接入的各種實施例。在一個實施例中，第一裝置接收使用所述第一裝置的事務的指示。第一裝置響應于接收到所述事務的指示，向網絡的接入點傳送對網絡接入的請求。第一裝置然后從接入點接收第一密鑰。第一裝置向用戶裝置提供第一密鑰。用戶裝置是使用第一密鑰來獲得對網絡的網絡接入的。

在另一實施例中，網絡的第一裝置向網絡的接入點傳送對網絡接入的請求。該第一裝置從接入點接收第一密鑰。第一裝置處理與用戶裝置的支付事務，包括向用戶裝置提供第一密鑰，以及從用戶裝置接收第二密鑰。用戶裝置是使用第一密鑰來獲得對所述網絡的網絡接入的。第一裝置向接入點提供第二密鑰。

在一些實施例中，一種網絡接入的方法包括：在網絡的第一裝置處接收使用所述第一裝置的事務的指示；響應于接收到所述事務的指示，向所述網絡的接入點傳送對網絡接入的請求；從所述接入點接收第一密鑰；以及向用戶裝置提供第一密鑰，其中，所述用戶裝置是使用所述第一密鑰來獲得所述網絡接入的。

在一些實施例中，所述用戶裝置與所述接入點通信，以至少部分地基于所述第一密鑰來產生第二密鑰，并且所述用戶裝置進一步與所述接入點通信，以進一步基于所述第二密鑰來獲得對所述網絡的接入。

在一些實施例中，第一密鑰是非對稱密鑰，第二密鑰是對稱密鑰。

在一些實施例中，第二密鑰包括如下之一：成對主密鑰(PMK)、成對臨時密鑰(PTK)或預共享密鑰(PSK)。

在一些實施例中，所述第一密鑰是利用帶外(OOB)信道來提供給所述用戶裝置的。

在一些實施例中，該OOB信道包括由光信道、近場通信(NFC)信道、蜂窩信道和藍牙信道構成的組中的至少一個成員。

在一些實施例中，所述接入點產生包括所述第一密鑰和第二密鑰的第一密鑰對，其中第一密鑰為公共密鑰，第二密鑰為私有密鑰；所述用戶裝置產生包括第三密鑰和第四密鑰的第二密鑰對，其中第三密鑰為公共密鑰，第四密鑰為私有密鑰；并且所述用戶裝置與所述接入點通信，以基于所述第一密鑰對和所述第二密鑰對來獲得所述網絡接入。

在一些實施例中，該事務在用戶裝置和第一裝置之間。

在一些實施例中，在所述第一密鑰被提供給所述用戶裝置時，由所述接入點產生的所述第一密鑰的格式是被保持的。

在一些實施例中，所述接入點是響應于接收到對所述網絡接入的請求來產生所述第一密鑰的，并且第一密鑰為對稱密鑰。

在一些實施例中，所述用戶裝置進一步與所述接入點通信，以至少部分地基于所述第一密鑰來獲得所述網絡接入。

在一些實施例中，一種計算裝置包括：處理器；以及其中存儲有程序指令的存儲器，所述程序指令可以由所述處理器執行以使得所述計算裝置執行以下步驟：接收使用所述計算裝置的事務的指示；響應于接收到所述事務的指示，向所述網絡的接入點傳送對網絡接入的請求；從所述接入點接收第一密鑰；以及向用戶裝置提供第一密鑰，其中，所述用戶裝置是使用所述第一密鑰來獲得所述網絡接入的。

在一些實施例中，所述用戶裝置與所述接入點通信，以至少部分地基于所述第一密鑰來產生第二密鑰，并且所述用戶裝置進一步與所述接入點通信，以進一步基于所述第二密鑰來獲得對所述網絡的接入。

在一些實施例中，第一密鑰是非對稱密鑰，第二密鑰是對稱密鑰。

在一些實施例中，第二密鑰包括如下之一：成對主密鑰(PMK)、成對臨時密鑰(PTK)或預共享密鑰(PSK)。

在一些實施例中，所述第一密鑰是利用帶外(OOB)信道來提供給所述用戶裝置的。

在一些實施例中，所述接入點產生包括所述第一密鑰和第二密鑰的第一密鑰對，其中第一密鑰為公共密鑰，第二密鑰為私有密鑰；所述用戶裝置產生包括第三密鑰和第四密鑰的第二密鑰對，其中第三密鑰為公共密鑰，第四密鑰為私有密鑰；并且所述用戶裝置與所述接入點通信，以基于所述第一密鑰對和所述第二密鑰對來獲得所述網絡接入。

在一些實施例中，該事務在用戶裝置和第一裝置之間。

在一些實施例中，在所述第一密鑰被提供給所述用戶裝置時，由所述接入點產生的所述第一密鑰的格式是被保持的。

在一些實施例中，所述接入點是響應于接收到對所述網絡接入的請求來產生所述第一密鑰的，并且第一密鑰為對稱密鑰。

在一些實施例中，一種用于網絡接入的方法包括：由網絡的第一裝置向所述網絡的接入點傳送對網絡接入的請求；在所述第一裝置處從所述接入點接收第一密鑰；處理與用戶裝置的支付事務，其中處理支付事務包括向用戶裝置提供第一密鑰以及從用戶裝置接收第二密鑰，并且其中，用戶裝置是使用第一密鑰來獲得網絡接入的；以及向所述接入點提供所述第二密鑰。

在一些實施例中，所述用戶裝置與所述接入點通信，以至少部分地基于所述第一密鑰和所述第二密鑰產生第三密鑰，并且所述用戶裝置進一步與所述接入點通信，以進一步基于所述第三密鑰獲得所述網絡接入。

在一些實施例中，處理支付事務還包括從用戶裝置接收支付數據。

在一些實施例中，所述接入點是在處理所述支付事務之前產生所述第一密鑰的。

在一些實施例中，所述第一密鑰是利用帶外(OOB)信道來提供給所述用戶裝置的。

在一些實施例中，一種計算裝置包括：處理器；以及其中存儲有程序指令的存儲器，所述程序指令可以由所述處理器執行以使得所述計算裝置執行以下步驟：向網絡的接入點傳送對網絡接入的請求；從所述接入點接收第一密鑰；處理與用戶裝置的支付事務，其中，處理支付事務包括向用戶裝置提供第一密鑰以及從用戶裝置接收第二密鑰，并且其中，用戶裝置是使用第一密鑰來獲得網絡接入的；以及向所述接入點提供所述第二密鑰。

在一些實施例中，所述用戶裝置與所述接入點通信，以至少部分地基于所述第一密鑰和所述第二密鑰來產生第三密鑰，并且所述用戶裝置進一步與所述接入點通信，以進一步基于所述第三密鑰獲得所述網絡接入。

在一些實施例中，處理支付事務還包括從用戶裝置接收支付數據。

在一些實施例中，所述第一密鑰是利用帶外(OOB)信道來提供給所述用戶裝置的。

在一些實施例中，所述接入點是在處理所述支付事務之前產生所述第一密鑰的。

附圖說明

通過參考附圖，可以更好地理解這些實施例，并且眾多目標、特征和優點將對于本領域的技術人員顯而易見。

圖1是用于配置裝置進行網絡接入的示例性系統的示意圖。

圖2和3示出了用于說明示例性網絡接入認證過程的流程圖。

圖4為示出了網絡接入認證過程的操作的實施例的示意圖。

圖5為示出了網絡接入認證過程的操作的另一實施例的示意圖。

圖6為示出了網絡接入認證過程的操作的另一實施例的示意圖。

圖7是包括用于網絡通信的接口的電子裝置的示例性實施例的方框圖。

具體實施方式

下面的描述包括體現本公開內容的技術的示例性系統、方法、技術、指令序列和計算機程序產品。不過，要理解的是，可以無需這些具體細節來實踐描述的實施例。例如，盡管一些范例提到獲得對利用了802.11通信協議的無線局域網(WLAN)的網絡接入，但在其他實施例中，可以執行本文描述的網絡接入操作以獲得對實現了其他適當通信協議(例如，以太網、電力線通信(PLC)、長期演進(LET)、3G、4G等)的其他類型網絡的網絡接入。在其他實例中，未示出公知的指令實例、協議、結構和技術的細節，以免使描述模糊不清。

可以使用銷售點(POS)裝置促進接入點(AP)和用戶裝置(例如，智能電話)之間的網絡接入認證過程。可以使用POS裝置在AP和用戶裝置之間交換一個或多個密鑰。如下所述，可以在網絡接入認證過程期間使用這些密鑰以認證用戶裝置。在認證了用戶裝置時，可以向認證的用戶裝置提供網絡接入(例如，訪客網絡接入)。例如，可以經由無線網絡(例如，WLAN)或有線網絡(例如，以太網或電力線)提供網絡接入。

在一個實施例中，POS裝置能夠處理客戶和商家之間的事務，例如用于購買商品或服務。在接收到事務指示時，POS裝置能夠向AP請求網絡接入(例如，訪客網絡接入)。AP能夠產生AP密鑰對，并為POS裝置提供該AP密鑰對的公共密鑰。POS裝置能夠通過帶外(OOB)信道向用戶裝置提供接收到的公共密鑰。一旦用戶裝置接收到AP公共密鑰，用戶裝置和AP就能夠基于AP密鑰對來發起密鑰建立過程。可以使用密鑰建立過程來產生安全密鑰(例如，成對主密鑰(PMK))。安全密鑰可以用于在網絡安全過程期間認證用戶裝置。通過這種方式，可以在不使用麻煩且不安全的密碼，以及在不使用不可靠且不穩定的強制網絡門戶的情況下，認證用戶裝置以進行網絡接入。

在一個實施例中，客戶和商家(或服務提供商)之間的事務可以觸發用戶裝置的網絡接入認證。在另一實施例中，用戶裝置可以被配置用于在客戶和商家之間進行事務期間進行網絡接入。商家通常使用銷售點(POS)裝置處理事務。客戶通常具有用戶裝置，用戶裝置可以用于完成和POS裝置的事務。此外，實施例不限于訪客網絡接入。根據應用，可以向用戶裝置提供另一種類型的網絡接入，例如完整網絡接入、管理員網絡接入、臨時網絡接入、訂約人網絡接入等。下面進一步描述以上網絡接入認證過程的各個方面。

圖1是根據一些實施例的用于配置裝置進行網絡接入的系統100的示意圖。在圖1中所示的系統100中，用戶裝置102可以涉及與銷售點(POS)裝置104的客戶事務。用戶裝置102包括事務單元120、網絡通信單元122和認證單元126。POS裝置104包括網絡通信單元114和事務單元116。接入點(AP)106被配置為向用戶裝置102提供網絡接入(例如，訪客網絡接入)。AP 106包括認證單元130和網絡通信單元132。要指出的是，可以利用軟件和/或硬件來實現裝置102、104和/或106中的每個的一個或多個單元，例如，如下文參考圖7所述。例如，裝置(例如，裝置104)的處理器可以執行裝置的存儲器中存儲的指令以實現與一個或多個單元(例如，事務單元116)相關聯的功能。

用戶裝置102可以采取能夠通過通信網絡傳輸數據的任何技術上可行的電子裝置的形式。例如，用戶裝置102可以是可以由用戶轉移的移動裝置，例如智能電話、膝上計算機、上網本、平板計算機、智能手表等。POS裝置104可以是專用商務計算機，AP 106可以是專用AP。此外，可以利用諸如智能電話、膝上計算機、上網本、平板計算機、智能家電等電子裝置來實現POS裝置104和/或AP 106。

POS裝置104經由鏈路110通信地耦合到AP 106。POS裝置104的網絡通信單元114能夠通過經由鏈路110與AP 106的網絡通信單元132進行通信來促進網絡接入認證過程的一部分。例如，POS裝置104能夠與AP 106通信以請求網絡接入并使得AP 106的認證單元130產生密鑰。用戶裝置102能夠經由鏈路112來執行與AP 106的網絡接入認證過程的另一部分。例如，用戶裝置102能夠使用認證單元126經由鏈路112與認證單元130執行密鑰建立過程和/或網絡安全過程。可以利用無線網絡，例如IEEE 802.11、長期演進(LTE)、3G、4G等實現鏈路110和112。還可以利用有線聯網技術，例如以太網或電力線等實現鏈路110和112。

網絡通信單元114、122和132中的每個都可以包括實施IEEE802.11和/或協議的無線接口。在一些實施例中，網絡通信單元114、122和132還可以包括實施以太網協議和/或電力線通信(PLC)協議(例如，由標準描述的協議)的有線接口。在一些實施例中，網絡通信單元114、網絡通信單元132和網絡通信單元122可以包括一個或多個無線收發機、模擬前端(AFE)單元、天線、處理器、存儲器、其他邏輯單元和/或其他部件以實施通信協議和相關功能。

用戶裝置102可以使用事務單元120以經由帶外(OOB)信道108與POS裝置104的事務單元116通信。例如，如果系統100中的裝置實施IEEE802.11協議進行通信，則事務單元120能夠利用Bluetooth協議(即，Bluetooth信道)、近場通信協議(即，NFC信道)、紅外協議(即，紅外信道)等來經由OOB信道108與事務單元116通信。POS裝置104的事務單元116還可以使用光信道，例如，通過使用紙質收據或作為POS裝置104的顯示器上顯示的圖像，來經由OOB信道108向用戶裝置102的事務單元120提供信息(例如，密鑰)。事務單元116還可以例如通過在POS裝置104的顯示器上顯示QR代碼或條形碼等，來利用QR代碼或條形碼在紙質收據上印刷信息。事務單元116還可以利用蜂窩信道，例如，經由電子郵件、短消息服務(SMS)和/或多媒體消息服務(MMS)來經由OOB信道108向事務單元120提供信息。要指出的是，還可以使用不同的信道，例如，使用藍牙信道，來發送電子郵件。

POS裝置104能夠處理客戶和商家之間的客戶事務。客戶事務可以包括客戶利用POS裝置104從商家購買商品或服務。可以在利用或不利用用戶裝置102的情況下來執行客戶事務。在一些范例中，可以通過利用POS裝置104但不利用用戶裝置102，例如，通過客戶向POS裝置104人工提供支付，來執行客戶事務。在一些范例中，客戶事務還可以包括支付事務，例如，其中使用用戶裝置102經由OOB信道108為商品或服務付款。客戶事務可以包括在用戶裝置102和POS裝置104之間傳輸數據(例如，客戶的聯系方式和/或支付數據)和/或文件。

POS裝置104能夠接收對客戶事務的指示。該指示可以由用戶裝置102(例如，通過事務單元120)產生并被傳送給POS裝置104(例如，通過OOB信道108)。該指示可以被實現為消息、通知、控制分組等。在一些實施方式中，并非由用戶裝置102產生，對客戶事務的指示可以包括POS裝置104從信用卡或智能卡讀取器接收的支付數據。例如，接收的支付數據可以包括信用卡或智能卡信息。在另一個范例中，對客戶事務的指示可以在處理客戶事務時由POS裝置104的事務單元116在本地產生。例如，可以在事務單元116處理人工客戶事務(例如，從客戶接收支付)時，將POS裝置104的存儲器中預定位置中的標志設置成指示客戶事務。

除了處理客戶事務之外，POS裝置104還能夠發起網絡接入認證過程以向用戶裝置102提供網絡接入(例如，訪客網絡接入)。在一個實施例中，POS裝置104的事務單元116處理客戶和商家之間的客戶事務，例如用于購買商品或服務。在接收到對客戶事務的指示時，網絡通信單元114能夠為用戶裝置102向AP 106請求網絡接入。網絡通信單元114能夠經由網絡，例如，通過利用鏈路110向網絡通信單元132傳送網絡接入請求。

在接收到網絡接入請求之后，AP 106的認證單元130能夠產生包括AP公共密鑰和AP私有密鑰的AP密鑰對。AP 106能夠使用通信單元132，例如，通過利用鏈路110向網絡通信單元114提供AP公共密鑰。在一種實施方式中，AP密鑰對是短暫密鑰對，即，每次執行密鑰建立過程時都產生新的密鑰對。AP 106能夠在密鑰建立過程期間，例如，如下文參考圖4所述，使用AP私有密鑰。

事務單元116能夠通過OOB信道108向事務單元120提供AP公共密鑰。例如，事務單元116能夠在收據上(例如，通過利用QR代碼)印刷AP公共密鑰，通過發送電子郵件或短信(即，使用SMS或MMS)的方式向事務單元120提供AP公共密鑰。一旦用戶裝置102接收到AP公共密鑰，認證單元126和認證單元130就發起密鑰建立過程，如下文更詳細所述。

繼續以上的范例，認證單元126能夠產生包括裝置私有密鑰和裝置公共密鑰的裝置密鑰對。用戶裝置102能夠在密鑰建立過程期間，例如，如下文參考圖4所述，使用裝置私有密鑰。密鑰建立過程可以包括執行關聯請求，該關聯請求包括認證單元126經由鏈路112向認證單元130提供裝置公共密鑰。密鑰建立過程包括認證單元126和認證單元130產生安全密鑰，例如，成對的主密鑰(PMK)。

認證單元126和認證單元130然后基于密鑰建立過程發起網絡安全過程。認證單元126和認證單元130能夠使用安全密鑰來執行網絡安全過程，例如WPA2認證。一旦完成了網絡安全過程，就可以由AP 106經由鏈路112，或經由另一鏈路和/或另一AP向用戶裝置102提供網絡接入。

在網絡接入認證過程的另一實施例中，如下文參考圖6所述，在用戶裝置102和POS裝置104之間的客戶事務期間執行公共密鑰交換。可以在事務單元120和事務單元116之間通過OOB信道108進行客戶事務(例如，支付事務)。例如，支付事務可以包括客戶使用用戶裝置102使用通信協議，例如NFC協議或Bluetooth協議，經由OOB信道108向POS 108提供支付。在發起客戶事務之前，認證單元130能夠產生AP密鑰對，然后向POS裝置104提供AP密鑰對中的AP公共密鑰。此外，在發起客戶事務之前，認證單元126還可以產生包括裝置公共密鑰和裝置私有密鑰的裝置密鑰對。

作為客戶事務的一部分，事務單元116從事務單元120接收裝置公共密鑰，事務單元120從事務單元116接收AP公共密鑰。網絡通信單元114能夠向網絡通信單元132傳送裝置公共密鑰。一旦用戶裝置102接收到AP公共密鑰，并且AP 106接收到裝置公共密鑰，認證單元126和認證單元130就發起密鑰建立過程。類似于上述實施例，密鑰建立過程可以包括產生安全密鑰(例如，PMK)。認證單元126和認證單元130能夠使用安全密鑰來執行網絡安全過程。一旦完成了網絡安全過程，就可以由AP 106為用戶裝置102提供網絡接入。

在網絡接入認證過程的另一實施例中，利用了對安全密鑰(例如PMK)的直接交換，如下文參考圖5所述。POS裝置104的事務單元116處理客戶和商家之間的客戶事務。在接收到對客戶事務的指示時，POS裝置104向AP 106請求(例如，使用鏈路110)網絡接入。在接收到網絡接入請求時，認證單元130產生安全密鑰。認證單元130通過鏈路110向網絡通信單元114提供安全密鑰。事務單元116然后經由OOB信道108向事務單元120提供安全密鑰。例如，事務單元116能夠在收據上(例如，利用QR代碼)印刷安全密鑰，通過發送電子郵件或短信(即，使用SMS或MMS)的方式向事務單元120提供安全密鑰。認證單元126和認證單元130然后能夠使用安全密鑰，即，經由鏈路112發起網絡安全過程。參考以下附圖更詳細地描述本實施例和其他實施例的示例性操作。

圖2描繪了示出了根據一些實施例的網絡接入認證過程的流程圖200。參考圖1中描述的系統和部件來描述流程圖200(出于解釋的目的而非作為限制)。可以由系統100中的一個或多個部件，例如POS裝置104的網絡通信單元114和事務單元116，來執行示例性操作。

從方框202開始，POS裝置104接收對使用POS裝置104的客戶事務的指示。如上文參考圖1所述，可以將指示實現為消息、通知或控制分組。該指示可以包括與客戶事務相關聯的數據。

還如上文參考圖1所述，客戶事務可以是用于購買商品或服務的事務。在一種實施方式中，客戶能夠在不使用用戶裝置102的情況下人工向POS裝置104提供支付。例如，客戶能夠利用信用卡或智能卡向POS裝置104提供支付數據。在一個范例中，從信用卡或智能卡接收的支付數據可以是對客戶事務的指示。在另一個范例中，POS裝置104能夠在處理接收到的支付數據時產生對客戶事務的指示。

在另一實施方式中，客戶可以利用用戶裝置102，例如，通過選擇用戶裝置102的顯示器中的選項以發起與POS裝置104的電子支付事務來為購買的商品進行支付。事務單元116能夠通過OOB信道108或經由另一信道從用戶裝置102的事務單元120接收對客戶事務的指示。例如，事務單元116可以從事務單元120接收支付數據。

進行到方框204，響應于接收到對客戶事務的指示，POS裝置104向AP 106傳送對網絡接入的請求。例如，POS裝置104的網絡通信單元114能夠經由鏈路110向AP 106的網絡通信單元132傳送對網絡接入的請求。

在一個實施例中，如下文參考圖4所述，AP 106能夠在接收到對網絡接入的請求時產生AP密鑰對。在另一實施例中，如下文參考圖5所述，AP 106能夠在接收到對網絡接入的請求時產生安全密鑰。

進行到方框206，POS裝置104從AP 106接收密鑰。例如，網絡通信單元114經由鏈路110從網絡通信單元132接收密鑰。在圖4的實施例中，POS裝置104接收AP密鑰對中的AP公共秘鑰。在圖5的實施例中，POS裝置104接收安全密鑰。

進行到方框208，POS裝置104向用戶裝置102提供密鑰。用戶裝置102被配置為使用該密鑰獲得對網絡的網絡接入。可以在不改變密鑰的格式的情況下向用戶裝置102提供密鑰。POS裝置104從而在向用戶裝置102提供密鑰時保持了所接收密鑰(由AP 106產生)的一致性。

在圖4的實施例中，POS裝置104能夠向用戶裝置102提供AP公共密鑰。例如，事務單元116能夠通過OOB信道108向事務單元120提供AP公共密鑰。一旦用戶裝置102接收到AP公共密鑰，認證單元126和認證單元130就基于AP密鑰對(即，由AP 106產生的密鑰對)發起密鑰建立過程以及隨后的網絡安全過程。

在圖5的實施例中，POS裝置104可以向用戶裝置102提供安全密鑰。例如，事務單元116能夠經由OOB信道108向事務單元120提供安全密鑰。認證單元126和認證單元130能夠使用安全密鑰，例如，經由鏈路112發起網絡安全過程。

圖3描繪了示出了根據一些實施例的網絡接入認證過程的流程圖300。參考圖1中描述的系統和部件來描述流程圖300(出于解釋的目的而非作為限制)。可以由系統100中的一個或多個部件，例如POS裝置104的網絡通信單元114和事務單元116，來執行示例性操作。

從方框302開始，POS裝置104向AP 106傳送對網絡接入的請求。例如，網絡通信單元114能夠經由鏈路110向AP 106的網絡通信單元132傳送對網絡接入的請求。在一個實施例中，如下文參考圖6所述，AP 106能夠在接收到對網絡接入的請求時產生AP密鑰對。

進行到方框304，POS裝置104從AP 106接收AP密鑰對中的AP公共密鑰。例如，網絡通信單元114能夠經由鏈路110從網絡通信單元132接收AP公共密鑰。

進行到方框306，POS裝置104處理與用戶裝置102的支付事務。例如，用戶裝置102可以包括可用于從POS裝置104為商品付款的支付應用。客戶可以選擇支付應用中的電子支付，例如，選擇一種形式的支付。用戶裝置102上的支付應用然后能夠發起支付事務。例如，可以通過利用NFC協議或Bluetooth協議等，來經由OOB 108在事務單元120和事務單元116之間執行支付事務。

支付事務的處理包括POS裝置104向用戶裝置102提供AP公共密鑰，并從用戶裝置102接收裝置密鑰對中的裝置公共密鑰。例如，事務單元116能夠經由OOB信道108從事務單元120接收裝置公共密鑰，連同支付事務的支付數據。作為支付事務的一部分，事務單元116能夠經由OOB信道108向事務單元120傳送AP公共密鑰。

要指出的是，POS裝置104能夠在處理來自用戶裝置102的支付事務(方框306)之前，傳送對網絡接入的請求(方框302)并從AP 106接收AP公共密鑰。不過，在一個實施例中，POS裝置104能夠與處理來自用戶裝置102的支付事務(方框306)基本上同時地從AP 106接收AP公共密鑰(方框304)。

進行到方框308，POS裝置104能夠向AP 106提供裝置公共密鑰。例如，網絡通信單元114能夠向網絡通信單元132提供裝置公共密鑰。如下文參考圖6更詳細所述，一旦用戶裝置102接收到AP公共密鑰，認證單元126和認證單元130就基于AP密鑰對和裝置密鑰對，發起密鑰建立過程和網絡安全過程。

圖4為示出了根據一些實施例的，在網絡接入認證過程期間由用戶裝置102、POS裝置104和AP 106執行的操作的消息流圖。

POS裝置104經由402A或402B(如虛線所示)接收對使用POS裝置104的客戶事務的指示。在402A，POS裝置104能夠從用戶裝置102接收對客戶事務的指示。可以通過帶外(OOB)信道，例如OOB 108傳輸對客戶事務(例如，支付數據)的指示。

或者，在402B，POS裝置104能夠接收作為在沒有使用用戶裝置102的情況下所提供的支付數據的一部分的對客戶事務的指示。例如，客戶能夠在不使用用戶裝置102的情況下人工地向POS裝置104提供支付。對客戶事務的指示可以是接收的支付數據，例如信用卡或智能卡信息。POS裝置104還可以在接收或處理支付數據時在本地產生并存儲對客戶事務的指示(例如，標志)。

在404，在接收到對客戶事務的指示時，POS裝置104向AP 106傳送網絡接入請求。網絡通信單元114能夠經由網絡，例如通過使用鏈路110向網絡通信單元132傳送網絡接入請求。

在406，在接收到網絡接入請求時，AP 106產生AP密鑰對。AP密鑰對可以包括AP私有密鑰和AP公共密鑰。在一個實施例中，AP密鑰對是非對稱密鑰對。

在408，AP 106向POS裝置104傳送AP密鑰對中的公共密鑰。網絡通信單元132能夠經由網絡，例如通過使用鏈路110向網絡通信單元114傳送公共密鑰。

在410，POS裝置102向用戶裝置102傳送AP密鑰對中的公共密鑰。POS裝置104能夠經由OOB信道向用戶裝置102傳送公共密鑰。在一個實施例中，410的OOB信道可以與402中使用的OOB信道相同。在另一實施例中，410中使用的OOB信道與402中使用的OOB信道不同。

在412，用戶裝置102和AP 106發起密鑰建立過程。412的密鑰建立過程可以包括用戶裝置102向AP 106傳送關聯請求。412的密鑰建立過程還可以包括用戶裝置102向AP 106傳送裝置密鑰對中的裝置公共密鑰。在一些實施方式中，用戶裝置102能夠在發起412的密鑰建立過程之前或在412的密鑰建立過程期間產生裝置密鑰對，其包括裝置公共密鑰和裝置私有密鑰。例如，用戶裝置102能夠在402處傳送客戶事務時、在410處接收AP公共密鑰時、或在412處執行關聯請求等時，來產生裝置密鑰對。

在414A，用戶裝置102至少部分地基于接收到的AP公共密鑰產生安全密鑰。類似地，在414B，AP 106至少部分地基于接收到的裝置公共密鑰產生安全密鑰。在一個實施例中，由用戶裝置102和AP 106產生的安全密鑰是對稱密鑰。在一個實施例中，用戶裝置102和AP 106至少部分地基于412的關聯請求來同時地產生對稱密鑰。在一個實施例中，在414A和414B，用戶裝置102和AP 106產生單個安全密鑰，然后該單個安全密鑰被用戶裝置102和AP 106兩者存儲。

用戶裝置102和AP 106能夠至少部分地基于Diffie-Hellman(DH)、對等實體同時認證(SAE)、Wi-Fi保護設置(WPS)或任何其他技術上可行的用戶裝置102和AP 106之間的密鑰建立過程，來產生安全密鑰。安全密鑰接下來可以被直接使用，或利用密鑰推導算法來被導出，以便用于網絡安全過程中。可以利用依賴于對稱密鑰的認證協議，例如由Wi-Fi保護的接入((WPATM或WPA2TM)或由有線等同私密性(WEP)指定的4次握手認證，來實現網絡安全過程。可以將安全密鑰實現為成對主密鑰(PMK)、成對臨時密鑰(PTK)或預先共享密鑰(PSK)。

在416，用戶裝置102和AP 106執行網絡安全過程。網絡安全過程是利用安全密鑰、或其衍生物，例如PMK密鑰來執行的。例如，用戶裝置102和AP 106能夠利用安全密鑰，根據WPA或WPA2協議、WEP協議或其他網絡安全過程，來執行網絡安全過程。要指出的是，盡管一般將WEP和WPA/WPA2用于WLAN網絡，但使用其他網絡和/或網絡安全過程也是可預期的。

在418A，用戶裝置102利用安全密鑰來認證AP 106以進行網絡接入。例如，認證單元126基于416的網絡安全過程來認證AP 106。在418B，AP106利用安全密鑰來認證用戶裝置102以進行網絡接入。例如，認證單元130基于416的網絡安全過程來認證用戶裝置102。在根據418A和418B的相互認證過程獲得網絡接入之后，用戶能夠經由用戶裝置102上運行的瀏覽器或其他應用來訪問因特網或其他網絡資源。

要指出的是，在一些實施例中，傳送的是公共密鑰的散列而非公共密鑰自身。使用散列可以提供額外的密碼安全層。例如，在408，AP 106能夠向POS裝置104傳送AP密鑰對中的AP公共密鑰的散列。在410，POS裝置104能夠向用戶裝置102傳送AP公共密鑰的散列。然后，用戶裝置102能夠驗證在密鑰建立過程412之內接收的AP公共密鑰匹配接收的散列，并繼續進行412。

圖5是示出了根據一些實施例的，由用戶裝置102、POS裝置104和AP 106執行的操作的消息流圖。

POS裝置104經由502A或502B(如虛線所示)接收對使用POS裝置104的客戶事務的指示。在502A，POS裝置104能夠從用戶裝置102接收對客戶事務的指示。可以通過OOB信道來傳送對客戶事務(例如，支付數據)的指示。

或者，在502B，POS裝置104能夠接收作為在沒有使用用戶裝置102的情況下所提供的支付數據的一部分的對客戶事務的指示。例如，類似于上文參考402B所述的技術，POS裝置104能夠經由信用卡或智能卡從客戶接收支付。對客戶事務的指示可以是接收的支付數據，例如信用卡或智能卡信息。POS裝置104還可以在接收或處理支付數據時在本地產生并存儲對客戶事務的指示(例如，標志)。

在504，在接收到對客戶事務的指示時，POS裝置104向AP 106傳送網絡接入請求。網絡通信單元114能夠經由網絡，例如通過使用鏈路110向網絡通信單元132傳送網絡接入請求。

在506，在接收到網絡接入請求時，AP 106產生安全密鑰。要指出的是，與參考圖4和6所述的實施例相反，僅有AP 106產生安全密鑰，即，不使用密鑰建立過程和/或不實現基于用戶裝置102和AP 106之間交換的非對稱密鑰的認證協議。在一個實施例中，安全密鑰為對稱密鑰。可以將安全密鑰實現為成對主密鑰(PMK)、成對臨時密鑰(PTK)或預先共享密鑰(PSK)。

在508，AP 106向POS裝置104傳送安全密鑰。網絡通信單元132能夠通過使用鏈路110向網絡通信單元114傳送安全密鑰。

在510，POS裝置104向用戶裝置102傳送安全密鑰。POS裝置104能夠經由OOB信道向用戶裝置102傳送安全密鑰。在一個實施例中，410的OOB信道可以與502中使用的OOB信道相同。在另一實施例中，510的OOB信道與502中使用的OOB信道不同。

在512，用戶裝置102和AP 106執行網絡安全過程。網絡安全過程是利用安全密鑰、或使用密鑰推導算法獲得的安全密鑰的衍生物來執行的。例如，用戶裝置102和AP 106能夠利用安全密鑰，根據Wi-Fi保護接入(WPA)或WPA2協議、有線等同私密性(WEP)協議或其他網絡安全過程，來執行網絡安全過程。要指出的是，盡管一般將WEP和WPA/WPA2用于WLAN網絡，但使用其他網絡和相對應的網絡安全過程也是可預期的。

在514A，用戶裝置102利用安全密鑰來認證AP 106進行網絡接入。例如，認證單元126基于512的網絡安全過程來認證AP 106。在514B，AP106利用安全密鑰來認證用戶裝置102進行網絡接入。例如，認證單元130基于512的網絡安全過程來認證用戶裝置102。

圖6是示出了根據一些實施例的，由用戶裝置102、POS裝置104和AP 106執行的操作的消息流圖。

在602，POS裝置104向AP 106傳送網絡接入請求。網絡通信單元114能夠通過利用鏈路110向網絡通信單元132傳送網絡接入請求。

在604，在接收到網絡接入請求時，AP 106產生AP密鑰對。AP密鑰對可以包括AP私有密鑰和AP公共密鑰。在一個實施例中，AP密鑰對是非對稱密鑰對。

在606，AP 106向POS裝置104傳送AP密鑰對中的公共密鑰。網絡通信單元132能夠通過使用鏈路110向網絡通信單元114傳送公共密鑰。

在608，用戶裝置102和POS裝置104執行支付事務。支付事務608包括用戶裝置102在612向POS裝置104傳送支付數據。支付數據能夠指示從客戶的銀行向商家銀行傳輸的金錢，并且該支付數據可以包括針對認證該支付事務的其他信息。用戶裝置102能夠通過OOB信道108，例如通過利用NFC協議或Bluetooth協議等來傳送支付數據。例如，用戶裝置102可以包括可用于向POS裝置104提供支付的支付應用。該支付應用能夠與金融機構(例如，客戶的銀行)通信以向POS裝置104授權支付。然后，該支付應用能夠向POS裝置104提供支付授權。

608的支付事務還包括用戶裝置102在614向POS裝置104傳送裝置密鑰對中的裝置公共密鑰。用戶裝置102能夠在608處執行支付事務之前產生裝置密鑰對。用戶裝置102能夠保持裝置密鑰對中的裝置私有密鑰，即，不向其他裝置傳送裝置私有密鑰。支付事務608還包括POS裝置104向用戶裝置102傳送AP密鑰對中的AP公共密鑰。

在一個實施例中，在614，用戶裝置102能夠通過用戶裝置102用于傳送支付數據612的相同OOB信道來向POS裝置104傳送裝置公共密鑰。在一個實施例中，在616，POS裝置104能夠通過與在612處傳送支付數據和/或在614處傳送裝置公共密鑰相同的OOB信道，例如，通過利用NFC協議或Bluetooth協議等，來向用戶裝置102傳送AP公共密鑰。

在618，POS裝置104向AP 106傳送裝置公共密鑰。例如，網絡通信單元114經由鏈路110向網絡通信單元132傳送裝置公共密鑰。

在620，用戶裝置102和AP 106發起密鑰建立過程。620的密鑰建立過程可以包括用戶裝置102向AP 106傳送關聯請求。

在622A，用戶裝置102至少部分地基于接收的AP公共密鑰產生安全密鑰。類似地，在622B，AP 106至少部分地基于接收到的裝置公共密鑰產生安全密鑰。在一個實施例中，由用戶裝置102和由AP 106產生的安全密鑰是對稱密鑰。在一個實施例中，用戶裝置102和AP 106至少部分地基于620的密鑰建立過程的關聯請求來同時地產生對稱密鑰。在一個實施例中，在414A和414B，用戶裝置102和AP 106產生單個安全密鑰，然后該單個安全密鑰被用戶裝置102和AP 106兩者存儲。

類似于上文參考圖4的414A和414B所述的技術，分別在622A和622B處，用戶裝置102和AP 106能夠至少部分地基于Diffie-Hellman(DH)、對等實體同時認證(SAE)、Wi-Fi保護設置(WPS)或任何其他技術上可行的密鑰建立過程，來產生安全密鑰。可以將安全密鑰實現為成對主密鑰(PMK)、成對臨時密鑰(PTK)或預先共享密鑰(PSK)。

類似于上文參考圖4的416所述的技術，在624，用戶裝置102和AP 106能夠執行網絡安全過程。網絡安全過程是利用安全密鑰，例如PMK密鑰來執行的。例如，用戶裝置102和AP 106能夠利用安全密鑰，根據Wi-Fi保護接入(WPA)或WPA2協議、有線等同私密性(WEP)協議或其他網絡安全過程，來執行網絡安全過程。要指出的是，盡管一般將WEP和WPA/WPA2用于WLAN網絡，但使用其他網絡和相對應的網絡安全過程也是可預期的。

在626A，用戶裝置102利用安全密鑰來認證AP 106進行網絡接入。例如，認證單元126基于624的網絡安全過程來認證AP 106。在626B，AP106利用安全密鑰來認證用戶裝置102進行網絡接入。例如，認證單元130基于624的網絡安全過程來認證用戶裝置102。

類似于上文參考圖4描述的技術，可以傳送公共密鑰的散列而非公共密鑰自身。例如，在608，AP 106能夠向POS裝置104傳送AP密鑰對中的AP公共密鑰的散列。類似地，在618，POS裝置104能夠向AP 106傳送裝置密鑰對中的裝置公共密鑰的散列。

根據本公開內容將認識到，可以修改圖2和3和/或圖4-6的流程圖以便導出本公開內容的替代方面。而且，按照相繼的次序示出本公開內容的該方面中的一些操作。不過，某些操作可以按照與圖示不同的次序發生，某些操作可以同時被執行，某些操作可以與其他操作組合，以及可以在本公開內容的另一方面中缺少某些操作。

本領域的技術人員將會認識到，可以將本公開內容的方面實現為系統、方法或計算機程序產品。因此，本公開內容的方面可以采取完全硬件實施例、軟件實施例(包括固件、常駐軟件、微代碼等)或組合軟件和硬件方面的實施例的形式，在本文中可以將所有這些一般性地稱為“電路”、“模塊”、“單元”或“系統”。此外，本公開內容的方面可以采取其上包含有計算機可讀程序代碼的一個或多個計算機可讀介質中包含的計算機程序產品的形式。

可以利用一個或多個非暫態計算機可讀介質的任何組合。非暫態計算機可讀介質包括所有計算機可讀介質，唯一的例外是暫態傳播信號。非暫態計算機可讀介質可以是計算機可讀存儲介質。計算機可讀存儲介質可以是，例如，但不限于，電、磁、光、電磁、紅外或半導體系統、裝置或設備或者上述任何適當的組合。計算機可讀存儲介質的更具體范例(非窮舉列表)包括以下：具有一條或多條線的電連接、便攜式計算機軟盤、硬盤、隨機存取存儲器(RAM)、只讀存儲器(ROM)、可擦除可編程只讀存儲器(EPROM或閃速存儲器)、光纖、便攜式壓縮盤只讀存儲器(CD-ROM)、光存儲裝置、磁存儲裝置或以上各項的任何適當組合。在本文的語境中，計算機可讀存儲介質可以是能夠包含或存儲程序供或結合指令執行系統、設備或裝置使用的任何有形介質。

可以用一種或多種程序設計語言的任意組合編寫計算機可讀介質上包含的用于執行本公開內容的方面的操作的計算機程序代碼，包括面向對象的編程語言，例如Java、Smalltalk、C++等，以及常規的過程編程語言，例如“C”編程語言或類似編程語言。可以完全在用戶的計算機上、部分地在用戶的計算機上、作為獨立軟件包，部分地在用戶的計算機且部分地在遠程計算機上、或完全在遠程計算機或服務器上執行程序代碼。在后一種情形中，遠程計算機可以通過任何類型的網絡(包括局域網(LAN)或廣域網(WAN))連接到用戶的計算機，或者可以形成通往外部計算機(例如，通過因特網使用因特網服務提供商)的連接。

參考根據本公開內容的實施例的方法、裝置(系統)和計算機程序產品的流程圖和/或方框圖描述了本公開內容的方面。將要理解，可以通過計算機程序指令來實現流程圖和/或方框圖的每個方框以及流程圖和/或方框圖的方框組合。這些計算機程序指令可以被提供給通用計算機、專用計算機或其他可編程數據處理設備的處理器，以生產機器，使得指令在經由計算機或其他可編程數據處理設備的處理器執行時，生成用于實現流程圖和/或方框圖方框中指定的功能/動作的手段。

這些計算機程序指令也可以存儲于計算機可讀介質中，其能夠指示計算機、其他可編程數據處理設備或其他裝置以特定方式工作，使得計算機可讀介質中存儲的指令生產出一種制品，其包括用于實現流程圖和/或方框圖方框中指定的功能/動作的指令。

計算機程序指令也可以被加載到計算機、其他可編程數據處理設備或其他裝置上，以使得在計算機、其他可編程設備或其他裝置上執行一系列操作步驟，以產生計算機實現的過程，使得在計算機或其他可編程設備上執行的指令提供用于實現流程圖和/或方框圖方框中指定的功能/動作的過程。

圖7是電子裝置700的一個實施例的方框圖。電子裝置700能夠實現功能并執行用戶裝置、POS裝置或AP的在以上圖1-6中所述的操作，如下文將要進一步所述。該電子裝置包括處理器702(其可能包括多個處理器、多個內核、多個節點和/或實現多線程等)。電子裝置包括存儲器706。存儲器706可以是系統存儲器(例如，高速緩沖存儲器、SRAM、DRAM、零電容器RAM、雙晶體管RAM、eDRAM、EDO RAM、DDR RAM、EEPROM、NRAM、RRAM、SONOS、PRAM等中的一者或多者)或上文已經描述的機器可讀介質的可能實現中的任一者或多者。該電子裝置還包括總線710(例如，PCI、ISA、PCI-Express、NuBus等)以及包括無線網絡接口(例如，WLAN接口、接口、WiMAX接口、接口、無線USB接口等)和有線網絡接口(例如，PLC接口、以太網接口等)中的至少一者的網絡接口704。

在一些實施例中，網絡接口704可以包括網絡通信單元714。此外，網絡接口704可以可選地包括事務單元716和認證單元718(如虛線所示)。例如，如果電子裝置700是用戶裝置(例如，圖1的用戶裝置102)，則網絡接口704可以包括網絡通信單元714、事務單元716和認證單元718。在另一個范例中，如果電子裝置700是POS裝置(例如，圖1的POS裝置104)，則網絡接口704可以包括網絡通信單元714和事務單元716。在另一個范例中，如果電子裝置700是AP(例如，圖1的AP 106)，則網絡接口704可以包括網絡通信單元714和認證單元718。在一些實施例中，網絡接口704、處理器702和存儲器706可以實現上面在圖1-6中所描述的功能。例如，網絡接口704、處理器702和存儲器706可以實現網絡通信單元714、事務單元716和/或認證單元718的功能。

還要指出，這些功能中的任一者可以部分地(或完全地)用硬件來實現和/或在處理器單元702上實現。例如，可以利用專用集成電路、在處理器單元702中實現的邏輯單元、在外圍裝置或卡上的協處理器等，來實現該功能。此外，實現可以包括更少的部件或圖7中未示出的額外的部件(例如，視頻卡、音頻卡、額外網絡接口、外圍裝置等)。處理器單元702、存儲裝置和網絡接口704耦合到總線710。盡管被示為耦合到總線710，但存儲器單元706可以耦合到處理器單元702。

盡管參考各種實施方式和利用描述了各實施例，但將要理解，這些實施例是例示性的且本公開內容的范圍不限于它們。通常，本文描述的用于促進配置裝置進行網絡接入(例如，用于訪客網絡接入)的技術都可以利用與任何硬件系統相一致的設施來實現。很多變化、修改、添加和改善都是可能的。

可以為本文描述為單個實例的部件、操作或結構提供多種實例。最后，各種部件、操作和數據存儲器之間的邊界有些任意，在特定例示性配置的語境中說明了特定操作。功能的其他分配被想到并可以落入本公開內容的范圍之內。通常，作為示例性配置中的分立部件給出的結構和功能可以被實現為組合的結構或部件。類似地，作為單個部件給出的結構和功能可以被實現為分立的部件。這些和其他變化、修改、添加和改善可以落入本公開內容的范圍之內。