IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > CHINA IWNCOMM CO., LTD.

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 西安西▲電▼捷通▲無▼綫▲網▼絡通信股▲分▼有限公司の特許一覧

特表2025-503603ネットワークにアクセスする方法および装置
<>
  • 特表-ネットワークにアクセスする方法および装置 図1
  • 特表-ネットワークにアクセスする方法および装置 図2
  • 特表-ネットワークにアクセスする方法および装置 図3a
  • 特表-ネットワークにアクセスする方法および装置 図3b
  • 特表-ネットワークにアクセスする方法および装置 図3c
  • 特表-ネットワークにアクセスする方法および装置 図4
  • 特表-ネットワークにアクセスする方法および装置 図5
  • 特表-ネットワークにアクセスする方法および装置 図6
  • 特表-ネットワークにアクセスする方法および装置 図7
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2025-02-04
(54)【発明の名称】ネットワークにアクセスする方法および装置
(51)【国際特許分類】
   H04W 12/047 20210101AFI20250128BHJP
   H04W 12/069 20210101ALI20250128BHJP
   H04W 12/73 20210101ALI20250128BHJP
   H04W 84/12 20090101ALI20250128BHJP
【FI】
H04W12/047
H04W12/069
H04W12/73
H04W84/12
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2024540834
(86)(22)【出願日】2022-11-02
(85)【翻訳文提出日】2024-08-01
(86)【国際出願番号】 CN2022129230
(87)【国際公開番号】W WO2023130821
(87)【国際公開日】2023-07-13
(31)【優先権主張番号】202210014566.4
(32)【優先日】2022-01-05
(33)【優先権主張国・地域又は機関】CN
(81)【指定国・地域】
(71)【出願人】
【識別番号】505164405
【氏名又は名称】西安西▲電▼捷通▲無▼綫▲網▼絡通信股▲分▼有限公司
【氏名又は名称原語表記】CHINA IWNCOMM CO., LTD.
(74)【代理人】
【識別番号】100206335
【弁理士】
【氏名又は名称】太田 和宏
(72)【発明者】
【氏名】ティエン ユーツン
(72)【発明者】
【氏名】シャオ ロン
(72)【発明者】
【氏名】チャン グオチアン
(72)【発明者】
【氏名】ヤン シャン
【テーマコード(参考)】
5K067
【Fターム(参考)】
5K067AA21
5K067BB21
5K067DD17
5K067EE02
5K067EE10
5K067EE16
5K067HH21
(57)【要約】
ネットワークにアクセスする方法および装置は、通信技術の分野に属する。前記方法は、端末が、選択されたターゲットネットワークに基づき、ターゲットネットワークに関連付けられた補助ネットワークを決定するステップS201と、補助ネットワークに接続し、補助ネットワークからターゲットネットワークへのアクセスのためのデジタル証明書を取得するステップS202と、デジタル証明書をインストールするステップS203と、デジタル証明書を使用してターゲットネットワークにアクセスするステップS204とを含む。前記方法は、補助ネットワークに基づき、ターゲットネットワークにアクセスするためのデジタル証明書を取得し、ネットワーク操作手順が簡素化され、使いやすさが向上される。
【選択図】図2
【特許請求の範囲】
【請求項1】
ネットワークにアクセスする方法であって、
端末が、選択されたターゲットネットワークに基づき、前記ターゲットネットワークに関連付けられた補助ネットワークを決定するステップと、
前記補助ネットワークに接続し、前記補助ネットワークから前記ターゲットネットワークにアクセスするために使用されるデジタル証明書を取得するステップと、
前記デジタル証明書をインストールするステップと、
前記デジタル証明書を使用して前記ターゲットネットワークにアクセスするステップと、を含むことを特徴とする、ネットワークにアクセスする方法。
【請求項2】
前記端末が、選択されたターゲットネットワークに基づき、前記ターゲットネットワークに関連付けられた補助ネットワークを決定するステップは、
前記端末が、選択された第1のサービスセット識別子SSIDに基づき、前記第1のSSIDに関連付けられた第2のSSIDを取得するステップを含み、
前記第1のSSIDは前記ターゲットネットワークのSSIDであり、前記第2のSSIDは、前記補助ネットワークのSSIDであることを特徴とする、請求項1に記載のネットワークにアクセスする方法。
【請求項3】
前記端末が、選択された第1のSSIDにしたがい、前記第1のSSIDに関連付けられた第2のSSIDを取得するステップは、
事前に設定されたネットワーク名導出ルールに基づき、選択された前記第1のSSIDにしたがい、前記第1のSSIDに関連付けられた前記第2のSSIDを導出するステップを含み、
前記ネットワーク名導出ルールは、前記端末とアクセス装置とによって事前に合意されることを特徴とする、請求項2に記載のネットワークにアクセスする方法。
【請求項4】
前記端末が、選択された第1のSSIDにしたがい、前記第1のSSIDに関連付けられた第2のSSIDを取得するステップは、
前記端末が、アクティブスキャンまたはパッシブスキャンを通じて、アクセス装置から前記第1のSSIDに関連付けられた第2のSSIDを取得するステップを含むことを特徴とする、請求項2に記載のネットワークにアクセスする方法。
【請求項5】
前記補助ネットワークからデジタル証明書を取得するステップは、
前記補助ネットワークに接続されている証明書サーバーのドメイン名を取得するステップと、
前記証明書サーバーのドメイン名にしたがい、前記証明書サーバーのアドレスを取得するステップと、
前記証明書サーバーのアドレスにしたがい、前記証明書サーバーから前記デジタル証明書をダウンロードするステップと、を含むことを特徴とする、請求項1に記載のネットワークにアクセスする方法。
【請求項6】
前記補助ネットワークは、インターネットから分離されることを特徴とする、請求項1から請求項5のいずれか一項に記載のネットワークにアクセスする方法。
【請求項7】
前記補助ネットワークからデジタル証明書を取得するステップは、
前記補助ネットワークのタイプが事前共有キー・タイプである場合、パスワード・ダイアログ・ボックスをポップアップするステップと、
前記パスワード・ダイアログ・ボックスに入力されたパスワードを取得するステップと、
前記パスワードの検証に成功した場合、前記補助ネットワークから前記デジタル証明書を取得するステップと、を含むことを特徴とする、請求項1から請求項5のいずれか一項に記載のネットワークにアクセスする方法。
【請求項8】
前記補助ネットワークからデジタル証明書を取得した後、
証明書命名ダイアログ・ボックスをポップアップするステップと、
前記証明書命名ダイアログ・ボックスに入力された前記デジタル証明書に設定された証明書の別名を取得するステップと、
前記証明書の別名に従って前記デジタル証明書を命名するステップと、
命名された前記デジタル証明書を記憶するステップと、をさらに含むことを特徴とする、請求項1から請求項5のいずれか一項に記載のネットワークにアクセスする方法。
【請求項9】
前記補助ネットワークからデジタル証明書を取得した後、デフォルト名に従って前記デジタル証明書を命名するステップをさらに含む、ことを特徴とする、請求項1から請求項5のいずれか一項に記載のネットワークにアクセスする方法。
【請求項10】
前記デジタル証明書は、ユーザー証明書、発行者証明書およびユーザー秘密鍵のうちの少なくとも1つを含む、ことを特徴とする、請求項1から請求項5のいずれか一項に記載のネットワークにアクセスする方法。
【請求項11】
端末であって、
ネットワークアクセス管理モジュールと、デジタル証明書管理モジュールと、デジタル証明書記憶モジュールと、ネットワーク接続モジュールとを含み、
前記ネットワークアクセス管理モジュールは、選択されたターゲットネットワークに従い、前記ターゲットネットワークに関連付けられた補助ネットワークを決定し、前記ネットワーク接続モジュールを呼び出して前記補助ネットワークに接続し、前記補助ネットワークからデジタル証明書を取得し、前記デジタル証明書管理モジュールを呼び出して前記デジタル証明書をインストールし、前記ネットワーク接続モジュールを呼び出して、前記デジタル証明書を使用して前記ターゲットネットワークにアクセスするように構成され、
前記デジタル証明書管理モジュールは、前記ネットワークアクセス管理モジュールの呼び出す要求に従い、前記デジタル証明書をインストールし、前記デジタル証明書は、前記ターゲットネットワークにアクセスするために使用されるように構成され、
前記デジタル証明書記憶モジュールは、前記デジタル証明書を記憶するように構成され、
前記ネットワーク接続モジュールは、前記ネットワークアクセス管理モジュールの呼び出す要求に従い、前記補助ネットワークに接続し、前記デジタル証明書を使用して前記ターゲットネットワークにアクセスするように構成される、ことを特徴とする、端末。
【請求項12】
通信装置であって、
プロセッサおよびメモリを含み、
前記メモリは、コンピュータ命令を記憶するように構成され、
前記プロセッサは、前記コンピュータ命令を読み取り、請求項1から請求項10のいずれか一項に記載の方法を実行するように構成されることを特徴とする、通信装置。
【請求項13】
コンピュータ可読記憶媒体であって、
前記コンピュータ可読記憶媒体には、コンピュータ実行可能命令が記憶されており、前記コンピュータ実行可能命令は、請求項1から請求項10のいずれか一項に記載の方法をコンピュータに実行させるために使用されることを特徴とする、コンピュータ可読記憶媒体。
【請求項14】
コンピュータプログラム製品であって、
コンピュータによって呼び出されたときに、請求項1から請求項10のいずれか一項に記載の方法をコンピュータに実行させることを特徴とする、コンピュータプログラム製品。
【発明の詳細な説明】
【技術分野】
【0001】
[関連出願の相互参照]
本出願は、2022年01月05日に中国特許局に提出し、出願番号が202210014566.4であり、発明名称が「ネットワークにアクセスする方法および装置」との中国特許出願を基礎とする優先権を主張し、その開示の総てをここに取り込む。
【0002】
[技術分野]
本発明は、通信技術の分野に関し、特に、ネットワークにアクセスする方法およびネットワークアクセス装置に関する。
【背景技術】
【0003】
無線LAN認証およびプライバシー・インフラストラクチャ(Wireless LAN Authentication and Privacy Infrastructure,WAPI)は、無線LANのセキュア・アクセス・テクノロジである。ユーザーが端末を制御してWAPI証明書タイプのネットワークに接続する場合、通常、ネットワーク接続プロセス中のID認証のためにユーザー証明書と発行者証明書を端末にインストールする必要がある。無線LAN(Wireless Local Area Network,WLAN)のWAPI証明書ネットワークを例に挙げると、ユーザーはまず端末を制御して証明書サーバーに接続し、ユーザー証明書と発行者証明書をダウンロードしてインストールする。端末がWAPI証明書ネットワークに接続する必要がある場合は、インストールされたデジタル証明書に基づいたネットワーク設定と接続は、操作手順が煩雑である。Wi-Fi証明書ネットワークにも同じ問題がある。煩雑なユーザー操作は、より安全な証明書ネットワークの普及を妨げている。
【0004】
デジタル証明書に基づいてネットワークアクセス操作をいかに簡素化するかが、現在解決すべき技術課題となっている。
【発明の概要】
【発明が解決しようとする課題】
【0005】
本発明の実施形態は、デジタル証明書に基づいてネットワークアクセス操作を簡素化するための、ネットワークにアクセスする方法および装置を提供する。
【課題を解決するための手段】
【0006】
第1の態様では、本発明の実施形態は、ネットワークにアクセスする方法を提供し、前記方法は、端末が、選択されたターゲットネットワークに基づき、前記ターゲットネットワークに関連付けられた補助ネットワークを決定するステップと、前記補助ネットワークに接続し、前記補助ネットワークからデジタル証明書を取得するステップと、前記デジタル証明書をインストールするステップと、前記デジタル証明書を使用して前記ターゲットネットワークにアクセスするステップとを含み、前記デジタル証明書は、前記ターゲットネットワークにアクセスすることに使用される。
【0007】
任意選択で、前記端末が、選択されたターゲットネットワークに基づき、前記ターゲットネットワークに関連付けられた補助ネットワークを決定するステップは、前記端末は、選択された第1のサービスセット識別子(SSID)にしたがい、前記第1のSSIDに関連付けられた第2のSSIDを取得するステップを含み、前記第1のSSIDは前記ターゲットネットワークのSSIDであり、前記第2のSSIDは、前記補助ネットワークのSSIDである。
【0008】
任意選択で、前記端末が、選択された第1のSSIDにしたがい、前記第1のSSIDに関連付けられた第2のSSIDを取得するステップは、事前に設定されたネットワーク名導出ルールに基づき、選択された前記第1のSSIDにしたがい、前記第1のSSIDに関連付けられた前記第2のSSIDを導出するステップを含み、ここで、前記ネットワーク名導出ルールは、前記端末とアクセス装置とによって事前に合意される。
【0009】
任意選択で、前記端末が、選択された第1のSSIDにしたがい、前記第1のSSIDに関連付けられた第2のSSIDを取得するステップは、前記端末は、アクティブスキャンまたはパッシブスキャンを通じて、アクセス装置から前記第1のSSIDに関連付けられた第2のSSIDを取得するステップを含む。
【0010】
任意選択で、前記補助ネットワークからデジタル証明書を取得するステップは、前記補助ネットワークに接続されている証明書サーバーのドメイン名を取得するステップと、前記証明書サーバーのドメイン名にしたがい、前記証明書サーバーのアドレスを取得するステップと、前記証明書サーバーのアドレスにしたがい、前記証明書サーバーから前記デジタル証明書をダウンロードするステップとを含む。
【0011】
任意選択で、前記補助ネットワークは、インターネットから分離される。
【0012】
任意選択で、前記補助ネットワークからデジタル証明書を取得するステップは、前記補助ネットワークのタイプが事前共有キー・タイプである場合、パスワード・ダイアログ・ボックスをポップアップするステップと、前記パスワード・ダイアログ・ボックスに入力されたパスワードを取得するステップと、前記パスワードの検証に成功した場合、前記補助ネットワークから前記デジタル証明書を取得するステップとを含む。
【0013】
任意選択で、前記補助ネットワークからデジタル証明書を取得した後、上記方法はさらに、証明書命名ダイアログ・ボックスをポップアップするステップと、前記証明書命名ダイアログ・ボックスに入力された前記デジタル証明書に設定された証明書の別名を取得するステップと、前記証明書の別名に従い、前記デジタル証明書を命名し、命名された前記デジタル証明書を記憶するするステップとを含む。
【0014】
任意選択で、前記補助ネットワークからデジタル証明書を取得した後、上記方法はさらに、デフォルト名に従って前記デジタル証明書を命名するステップと、を含む。
【0015】
任意選択で、前記デジタル証明書は、ユーザー証明書、発行者証明書およびユーザー秘密鍵のうちの少なくとも1つを含む。
【0016】
第2の態様は、本発明の実施形態は、ネットワークアクセス管理モジュール、デジタル証明書管理モジュール、デジタル証明書記憶モジュールおよびネットワーク接続モジュールを含む端末を提供し、
前記ネットワークアクセス管理モジュールは、選択されたターゲットネットワークに従い、前記ターゲットネットワークに関連付けられた補助ネットワークを決定し、前記ネットワーク接続モジュールを呼び出して前記補助ネットワークに接続し、前記補助ネットワークからデジタル証明書を取得し、前記デジタル証明書管理モジュールを呼び出して前記デジタル証明書をインストールし、および、前記ネットワーク接続モジュールを呼び出して、前記デジタル証明書を使用して前記ターゲットネットワークにアクセスするように構成され、
前記デジタル証明書管理モジュールは、前記ネットワークアクセス管理モジュールの呼び出す要求に従い、前記デジタル証明書をインストールし、前記デジタル証明書は、前記ターゲットネットワークにアクセスするために使用されるように構成され、
前記デジタル証明書記憶モジュールは、前記デジタル証明書を記憶するように構成され、
前記ネットワーク接続モジュールは、前記ネットワークアクセス管理モジュールの呼び出す要求に従い、前記補助ネットワークに接続し、および、前記デジタル証明書を使用して前記ターゲットネットワークにアクセスするように構成される。
【0017】
第3の態様では、プロセッサおよびメモリを含む通信装置が提供され、
前記メモリは、コンピュータ命令を記憶するように構成され、前記プロセッサは、前記コンピュータ命令を読み取り、第1の態様のいずれか1つに記載された方法を実行するために使用される。
【0018】
第4の態様は、コンピュータ可読記憶媒体を提供し、前記コンピュータ可読記憶媒体には、コンピュータ実行可能命令が記憶されており、前記コンピュータ実行可能命令は、コンピュータに第1の態様のいずれか1つによる方法を実行させるために使用される。
【0019】
第5の態様は、コンピュータプログラム製品を提供し、前記コンピュータプログラム製品がコンピュータによって呼び出されたときに、前記コンピュータに第1の態様のいずれか1つによる方法を実行させるために使用される。
【発明の効果】
【0020】
本発明の実施形態では、端末は、選択されたターゲットネットワークに基づき、ターゲットネットワークに関連付けられた補助ネットワークを決定し、補助ネットワークダウンロード并に基づいて前記ターゲットネットワークにアクセスするためのデジタル証明書をインストールし、それにより、そのデジタル証明書を使用してターゲットネットワークにアクセスし、ユーザーが端末を操作して証明書サーバーから証明書をダウンロードする必要はなく、端末がターゲットネットワークに関連付けられた補助ネットワークからデジタル証明書を自動的に取得してインストールし、上記デジタル証明書に基づいてターゲットネットワークにアクセスする。これにより、デジタル証明書に基づいてネットワークアクセス操作を簡素化し、使いやすさを向上させる。
【図面の簡単な説明】
【0021】
図1】本発明の実施形態によって提供される応用シナリオの概略図である。
図2】本発明の実施形態によって提供されるネットワークにアクセスする方法のフローチャートである。
図3a】本発明の実施形態によって提供されるネットワーク・リストユーザー・インターフェースの概略図である。
図3b】本発明の実施形態によって提供されるパスワード・ダイアログ・ボックスインターフェースの概略図である。
図3c】本発明の実施形態によって提供される別のパスワード・ダイアログ・ボックスインターフェースの概略図である。
図4】本発明の実施形態によって提供されるデジタル証明書命名インターフェースの概略図である。
図5】本発明の実施形態によって提供される端末の概略構造図である。
図6】本発明の実施形態によって提供される応用シナリオの概略図である。
図7】本発明の実施形態によって提供される通信装置の概略構造図である。
【発明を実施するための形態】
【0022】
本発明の目的、技術的解決策および利点をより明確にするために、添付の図面を参照して本発明をさらに詳細に以下に説明する。説明した実施形態は、本発明の実施形態の一部に過ぎず、そのすべてではない。本発明の実施形態に基づいて、当業者が創造的な努力なしに得た他のすべての実施形態は、本発明の保護の範囲内に入る。
【0023】
以下において、「第1」、「第2」という用語は、説明を区別する目的でのみ使用され、相対的な重要性を暗示または示唆するもの、または示された技術的特徴の数を暗黙的に指定するものとして理解されるものではない。その結果、「第1」、「第2」で定義される特徴は、明示的または暗黙的に1つまたは複数のそのような特徴を含み得、本発明の実施形態の説明において、特に明記しない限り、「少なくとも1つ」は、1つ以上を意味する。
【0024】
以下、本発明の実施の形態について、図面を参照しながら詳細に説明する。
【0025】
図1は、本発明の実施形態によって提供される応用シナリオの概略図である。図に示すように、このシナリオには、端末10、アクセス装置11、証明書サーバー12、補助ネットワーク13、およびターゲットネットワーク14が含まれる。端末10は無線または有線によりアクセス装置11に接続され、アクセス装置11は補助ネットワーク13を介して証明書サーバー12に接続される。端末の数は複数であってもよいが、図1では1つの端末のみを例として示す。
【0026】
端末10は、移動局(Mobile Station、略してMS)、端末装置(Terminal Equipment)などの様々な形態のユーザー装置であってもよい。端末の例としては、携帯電話(mobile phone)、タブレット、ラップトップ、モバイル・インターネット・デバイス(mobile internet device,MID)、ウェアラブル・デバイス、自動運転(self-driving)の無線端末、スマート・グリッド(smart grid)内の無線端末、スマート・ホーム(smart home)の無線端末などがある。
【0027】
アクセス装置11は、主にネットワークアクセスを提供するために使用され、具体的には、アクセスルータ、企業用ルータ、家庭用ルータ、無線アクセスポイントなどのネットワークアクセス機能を有する装置とすることができる。アクセス装置11は、補助ネットワーク13と結合され、アクセス装置11により、端末10が補助ネットワーク13とデータのやり取りを行うことができる。
【0028】
証明書サーバー12は、企業レベルのサーバー、パブリックネットワークサーバーなどであってもよく、ユーザーがデジタル証明書を取得するためのデジタル証明書サービスを提供するために使用される。例えば、証明書サーバー12は、デジタル証明書発行局のサーバーであり、デジタル証明書申請サービスを公共ユーザーに提供することができる。別の例として、証明書サーバー12は、企業レベルのサーバーであり、企業LAN内のユーザーにデジタル証明書申請サービスを提供することができる。したがって、申請されるデジタル証明書は企業の内部デジタル証明書であり、企業の内部ネットワークユーザーのIDに対応できる。
【0029】
いくつかの応用シナリオでは、補助ネットワーク13は企業の内部ネットワークであってもよく、ターゲットネットワーク14はインターネットなどの外部ネットワークであってもよい。証明書サーバー12は企業の内部ネットワークに設定されることができる。端末は補助ネットワーク13を介して証明書サーバー12にアクセスし、ターゲットネットワーク14へのアクセスに使用するデジタル証明書を証明書サーバー12から取得することができる。
【0030】
本発明の実施形態では、アクセス装置を例として挙げ、ターゲットネットワークのサービスセット識別子(Service Set Identifier,SSID)と補助ネットワークのSSIDをアクセス装置102に事前設定することができる。ここで、SSIDは通常、無線アクセスポイントによってブロードキャストされ、端末はシステムの内蔵スキャン機能を通じて現在のエリアのSSIDを取得できる。任意選択で、ターゲットネットワークと補助ネットワークをWAPIにすることもできる。説明の便宜上、本発明では、ターゲットネットワークのSSIDを第1のSSIDと呼び、補助ネットワークのSSIDを第2のSSIDと呼ぶ。補助ネットワークは証明書サーバーに接続されている。つまり、証明書サーバーは補助ネットワークを通じてアクセスできる。第2のSSIDはアクセス装置によって非表示SSIDとして設定されており、前記第2のSSIDは端末のユーザー・インターフェースのネットワーク・リストには表示されない。つまり、ユーザーにとって、補助ネットワークは非表示ネットワークであり、ユーザーには認識されない。
【0031】
企業ネットワークなどの一部の実施形態では、ネットワークアクセスにデジタル証明書を使用する必要があるすべての端末にデジタル証明書ダウンロードサービスを提供するように、証明書サーバーを1つだけ設定できる。この場合、これらのアクセス装置に設定された第2のSSIDに対応するネットワークは、端末が証明書サーバーにアクセスできるようにするために、当該証明書サーバーに接続される。
【0032】
任意選択で、本発明の実施形態では、ネットワーク名導出ルールを端末上で事前に設定することができる。任意選択で、ネットワーク名導出ルールは、端末とアクセス装置によって事前に合意することができる。ネットワーク名導出ルールは、第1のSSIDに従って第2のSSIDを導出することに使用される。具体的に、第2のSSIDを取得する。具体的には、端末はスキャンによって前記第1のSSIDを取得し、前記ネットワーク名導出ルールおよび前記第1のSSIDに従って第2のSSIDを導出する。
【0033】
たとえば、ネットワーク名の導出ルールは「第2のSSID=第1のSSID + @wapi-psk」のようになる。たとえば、第1のSSID名が「WAPIEnterprise」の場合、上記のネットワーク名導出ルールに従って、第2のSSID名は「WAPIEnterprise+@ wapi-psk」と推定できる。ネットワーク名導出ルールは、他のネットワーク名導出ルールであってもよいが、本発明ではこれに限定されない。
【0034】
さらに、本発明の実施形態は、端末が前記第1のSSIDに関連付けられた第2のSSIDを取得する方法も提供し、当該方法は、前記端末は、アクティブスキャンまたはパッシブスキャンを通じて、アクセス装置から前記第1のSSIDに関連付けられた第2のSSIDを取得することを含む。ここで、端末がアクティブスキャンを通じて、アクセス装置から前記第1のSSIDに関連付けられた第2のSSIDを取得するプロセスには、以下が含まれる。
【0035】
端末はプローブ要求フレームを送信して周囲の無線ネットワークをスキャンする。周囲のアクセス装置がプローブ要求フレームを受信すると、プローブ応答フレームで応答する。前記プローブ応答フレームには、前記アクセス装置によって提供された第1のSSIDとその関連付けられた第2のSSIDが含まれている。ここで、第1のSSIDは前記プローブ応答フレームのSSID情報要素に記憶され、第2のSSIDは前記プローブ応答フレームの特定の情報要素に記憶される。通常、プローブ応答フレームのSSID情報要素に記憶されるSSIDだけは、端末により端末ユーザー・インターフェースのネットワーク・リストに表示されるが、本実施形態における第2のSSIDはSSID情報要素に記憶されていないため、端末が前記プローブ応答フレームの特定の情報要素から取得された第2のSSIDは、フレームの特定の情報要素端末のユーザー・インターフェースのネットワーク・リストに端末によって表示されない。
【0036】
端末がパッシブスキャンを通じてアクセス装置から第1のSSIDに関連付けられた第2のSSIDを取得するプロセスには、次のものが含まれる。
【0037】
端末は、アクセス装置によって定期的に送信されるビーコンフレームをリッスンすることによって、周囲の無線ネットワーク情報を取得する。前記ビーコンフレームには、アクセス装置によって提供される第1のSSIDとそれに関連付けられた第2のSSIDが含まれる。ここで、前記第1のSSIDは、前記ビーコンフレームのSSID情報要素に記憶され、前記第2のSSIDは前記ビーコンフレームの特定の情報要素に記憶される。通常、端末ユーザーのネットワーク・リストには、ビーコンフレームのSSID情報要素に記憶されたSSIDのみが端末によって表示される。本実施形態における第2のSSIDはSSID情報要素に記憶されていないため、前記ビーコンフレームの特定の情報要素において端末によって取得された第2のSSIDは、端末のユーザー・インターフェースのネットワーク・リストにおいて端末によって表示されない。
【0038】
図2は、本発明の一実施形態によって提供されるネットワークにアクセスする方法のフローチャートである。この方法は、端末(図1の端末10など)によって実行することができる。このフローチャートにより、端末は、デジタル証明書をダウンロードするための補助ネットワークにアクセスし、補助ネットワークに基づいてダウンロードされたデジタル証明書を介してターゲットネットワークに接続する動作を行うことができる。図に示すように、当該フローチャートには主に次のステップが含まれる。
【0039】
S201:端末は、選択されたターゲットネットワークに基づき、ターゲットネットワークに関連付けられた補助ネットワークを決定する。
【0040】
このステップでは、端末は、接続可能なネットワーク識別情報(SSIDなど)を含むアクセス装置によって送信された信号を受信し、端末は、受信した信号に含まれるネットワーク識別情報をユーザー・インターフェースのネットワーク・リストに表示し、ユーザーがネットワークアクセスのためにネットワークの1つを選択できるようにする。ユーザーが前記ネットワーク・リスト内のターゲットネットワークを選択すると、端末は、前記ターゲットネットワークに関連付けられた補助ネットワークを取得し、補助ネットワークを介してターゲットネットワークにアクセスするためのデジタル証明書を取得する。
【0041】
例として、端末は、アクセス装置から送信された信号に含まれる第1のSSIDを取得し、第1のSSIDをネットワーク・リストに表示させる。ユーザーが上記ネットワーク・リスト内の第1のSSIDを選定した後、端末が、当該端末にターゲットネットワークへのアクセスに使用するデジタル証明書がインストールされていないと判断するか、または、インストールされたデジタル証明書がすでに失効された(有効期限切れなど)と判断すると、第1のSSIDに関連付けられた第2のSSIDを取得し、第2のSSIDが補助ネットワークに接続されることにより、ターゲットネットワークへのアクセスに使用するデジタル証明書を取得する。
【0042】
例えば、図3aは本発明の実施形態によって提供される端末ユーザー・インターフェースの概略図である。図に示すように、前記ユーザー・インターフェースには、端末によってスキャンされたWAPIネットワーク名またはSSID(図に示すように、WAPIEnterprise、WT_WAPIRT、グローバルWAPIの最も安全なメカニズムはWAPI、WAPIEnterprise-double-teset、gxdw)を含むネットワーク・リストが表示される。ユーザーが前記リスト内の「WAPIEnterprise」(つまり、本発明の実施形態における第1のSSID)をクリックすると、ユーザーが対応するWLANまたは無線アクセスポイントにアクセスし、当該WLANまたは無線アクセスポイントを介してインターネットにアクセスすることを希望していることを示す。
【0043】
任意選択で、端末は、事前設定されたネットワーク名導出ルールに基づいて、ユーザーによって選択された第1のSSIDに基づいて、第1のSSIDに関連付けられた第2のSSIDを導出することができる。ネットワーク名の導出ルールの説明は、前の部分にある。
【0044】
S202:端末は、ターゲットネットワークに関連付けられた補助ネットワークに接続し、前記補助ネットワークからデジタル証明書を取得する。ここで、デジタル証明書は、上記ターゲットネットワークにアクセスするために使用される。
【0045】
任意選択で、補助ネットワークのタイプが事前共有キー・タイプの場合、ユーザーが第1のSSIDをクリックすると、端末はパスワード・ダイアログ・ボックスをポップアップし、ユーザーが前記補助ネットワークに接続するためのパスワードを入力できるようにする。端末がこのパスワードを使用する場合補助ネットワークへの接続に成功すると、端末は証明書サーバーにアクセスし、ターゲットネットワークへのアクセスに使用するデジタル証明書を証明書サーバーからダウンロードすることができる。
【0046】
例として、図3bおよび図3cはそれぞれ、本発明の実施形態によって提供されるパスワード・ダイアログ・ボックスインターフェースの概略図であり、図3bおよび図3cに示すように、ポップアップされたパスワード・ダイアログ・ボックスには、ユーザーが選択した第1のSSIDまたはターゲットネットワーク名(図のWAPIEnterpriseのように)が表示される。端末はユーザーが前記パスワード・ダイアログ・ボックスに入力したパスワードに応答し、そのパスワードを使用して補助ネットワークに正常に接続すると、端末は証明書サーバーにアクセスすることができる。
【0047】
任意選択で、前記パスワードを取得するにはさまざまな方法がある。たとえば、企業応用シナリオでは、パスワードは電子メールまたはグループメッセージングを通じて企業の従業員に伝達できる。別の例として、友人宅では、口頭でパスワードを伝えることができる。別の例として、公共の場所では、端末を介してテキスト・メッセージを受信し、パスワードを含むテキスト・メッセージをユーザー・インターフェースに表示すことができる。この用途は本発明に限定されるものではない。
【0048】
任意選択で、補助ネットワークのタイプがオープンタイプの場合、パスワードを入力するステップを省略できる。たとえば、端末は、ユーザーがSSIDまたはネットワークをクリックすることに応答して、ターゲットネットワークのSSIDまたはネットワーク名に関連付けられた補助ネットワークのSSIDまたはネットワーク名を取得する。補助ネットワークのSSIDまたはネットワーク名に基づいて、補助ネットワークに接続されている証明書サーバーに直接接続する。
【0049】
任意選択で、端末は、補助ネットワークを介して前記補助ネットワークに接続されている証明書サーバーのドメイン名を取得し、証明書サーバーのドメイン名に基づいて対応するIPアドレスを取得し、前記IPアドレスに基づいて前記証明書サーバーからデジタル証明書をダウンロードできる。
【0050】
任意選択で、端末が取得したデジタル証明書には、ーザー証明書、発行者証明書およびユーザー秘密鍵のうちの少なくとも1つが含まれる。
【0051】
S203:端末はデジタル証明書を取得した後、端末に前記デジタル証明書をインストールする。
【0052】
このステップでは、端末がターゲットネットワークへのアクセスに使用されるデジタル証明書を取得した後、そのデジタル証明書を端末のローカルにインストールする。
【0053】
いくつかの実施形態では、デジタル証明書名は2つの部分を含み、第1の部分はデジタル証明書のタイプ情報であり、第2の部分はデジタル証明書の別名である。任意選択で、デジタル証明書のタイプ情報はシステムによってデフォルトで設定され、変更が許可されない。デジタル証明書の別名は、ユーザーが入力することも、システムによって設定することもできる。デジタル証明書のデフォルト別名が空の文字列に設定され、ユーザーがデジタル証明書に名前を付ける必要があることを示している場合、ユーザーがデジタル証明書の別名を入力するためにデジタル証明書命名インターフェースが表示される。デジタル証明書の別名がデフォルトでシステムによって設定されている場合、デフォルトで設定されているデジタル証明書の別名を変更することも許可される。デジタル証明書の別名もデフォルトでシステムによって設定でき、ユーザーによる変更は許可されない。
【0054】
例として、ユーザー証明書の命名規則は「WAPI_USRCERT_」+デジタル証明書の別名である。別の例として、発行者証明書の命名規則は「WAPI_CACERT_」+デジタル証明書の別名である。別の例として、ユーザーの秘密キーの命名規則は「WAPI_USRPKEY_」+デジタル証明書の別名である。
【0055】
ユーザー証明書はバックグラウンドで自動的にWAPI_USRCERT_NAME1と命名され図4は、本発明の実施形態によって提供されるデジタル証明書命名インターフェースの概略図を例示的に示す。図に示すように、端末が証明書サーバーからデジタル証明書をダウンロードした後、証明書の命名ダイアログ・ボックスをポップアップする。ユーザーが入力したデジタル証明書の別名NAME1に従って、バックグラウンドでユーザー証明書は自動的にWAPI_USRCERT_NAME1という名前が付けられ、発行者証明書はWAPI_CACERT_NAME1という名前が付けられ、ユーザーの秘密鍵はWAPI_USRPKEY_NAME1という名前が付けられる。
【0056】
いくつかの実施形態では、このデジタル証明書の別名のセットが空でない文字列に設定されている場合(ユーザーはデジタル証明書の別名を入力または変更することができない)、システムは「このデジタル証明書のデフォルト別名のセット」を「デジタル証明書の別名」として、デジタル証明書に名前を付ける。つまり、システムは命名規則に従って当該セットのデジタル証明書の命名操作を自動的に完了でき、ユーザー・インターフェースには「証明書命名ダイアログ・ボックスのポップアップが表示されなくなり、インターフェースの操作手順が簡素化される。
【0057】
S204:端末は、前記デジタル証明書を使用して、選択されたターゲットネットワークにアクセスする。
【0058】
本実施形態では、補助ネットワークに基づいて端末がダウンロードしてインストールするデジタル証明書がターゲットネットワークにアクセスするための資格情報であるため、端末は前記デジタル証明書を使用してターゲットネットワークにアクセスすることができる。
【0059】
本発明の実施形態では、端末は、選択されたターゲットネットワークに基づき、ターゲットネットワークに関連付けられた補助ネットワークを決定し、補助ネットワークに基づいて前記ターゲットネットワークにアクセスするためのデジタル証明書をインストールし、それにより、前記デジタル証明書使用して前記ターゲットネットワークにアクセスには、端末が証明書サーバーから証明書をダウンロードする代わりに、ターゲットネットワークに関連付けられた補助ネットワークからデジタル証明書を取得して自動インストールし、そのデジタル証明書に基づいてターゲットネットワークにアクセスすることで、デジタル証明書に基づいてネットワークアクセス操作を簡素化し、使いやすさを向上させる。すなわち、ユーザーにとって、本発明の実施形態は、証明書を使用するときに、無線ローカルエリアネットワーク(例えば、WiFiのパスワード保護ネットワークまたはパスワードなしネットワーク)にアクセスする現在のユーザーの最も慣れている操作方法と一致する操作を行うことを可能にする。これに基づいて、ユーザーのインターネット・アクセス・プロセスの安全性が高まる(証明書ネットワークの方がWiFiのパスワード保護ネットワークやパスワードなしのネットワークよりも安全であるため)。
【0060】
同じ技術的思想に基づいて、本発明の実施形態は、本発明の実施形態における上記の方法フローを実施することができる端末も提供する。
【0061】
図5は、本発明の一実施形態によって提供される端末の概略図である。図に示すように、端末は、ネットワークアクセス管理モジュール501、デジタル証明書管理モジュール502、デジタル証明書記憶モジュール503、ネットワーク接続モジュール504を備える。
【0062】
前記ネットワークアクセス管理モジュール501は、補助ネットワークへのアクセス、証明書サーバーからのデジタル証明書のダウンロード、デジタル証明書のインストール、ターゲットネットワークへのアクセスなどのステップの自動操作を管理するために使用される。例として、前記ネットワークアクセス管理モジュール501は、選択されたターゲットネットワークに従い、前記ターゲットネットワークに関連付けられた補助ネットワークを決定し、前記ネットワーク接続モジュール504を呼び出して前記補助ネットワークに接続し、前記補助ネットワークからデジタル証明書を取得し、デジタル証明書管理モジュール502を呼び出して前記デジタル証明書をインストールし、前記ネットワーク接続モジュール504を呼び出して前記デジタル証明書を使用して前記ターゲットネットワークにアクセスするために使用される。
【0063】
前記デジタル証明書管理モジュール502は、主にデジタル証明書管理の関連機能を実装するために使用される。例として、デジタル証明書管理モジュール502は、ネットワークアクセス管理モジュール501の呼び出す要求に従い、前記デジタル証明書をインストールし、前記デジタル証明書は、前記ターゲットネットワークにアクセスするために使用される。
【0064】
前記デジタル証明書記憶モジュール503は、前記デジタル証明書を記憶するように構成される。
【0065】
前記ネットワーク接続モジュール504は、ネットワークアクセス管理モジュール501の呼び出す要求に従い、前記補助ネットワークに接続するか、または前記デジタル証明書を使用して前記ターゲットネットワークにアクセスする。
【0066】
上記の図5に示した端末に基づいて、図6に応用シナリオの概略図を例示する。この応用シナリオでは、ターゲットネットワークはWAPI証明書ネットワークであり、前記WAPI証明書ネットワークにアクセスするときにデジタル証明書が必要である。
【0067】
ネットワークアクセス管理モジュール501は、無線アクセスポイント601から送信された信号に含まれるSSIDにしたがい、接続可能なネットワークをネットワーク・リストに列挙し、ネットワーク・リストにおけるユーザーによって選択されたWAPIEnterprise(例として、WAPI証明書ネットワーク名としてWAPIEnterpriseを取り上げる)に応答し、WAPIEnterpriseに関連付けられた補助ネットワーク名WAPIEnterprise+@wapi-pskを取得し(特定の取得方法については、上記の実施形態を参照)、ユーザーがパスワードを入力するために、パスワード・ダイアログ・ボックスをポップアップする。ネットワークアクセス管理モジュール501は、補助ネットワーク名(WAPIEnterprise +@wapi-psk)、ネットワークセキュリティタイプ(WAPI事前共有キー・タイプ)、パスワードなどのパラメータを、ネットワーク接続モジュール504に送信し、補助ネットワークに接続するように接続モジュール504を呼び出す。
【0068】
ネットワークアクセス管理モジュール501は、ネットワーク接続モジュール504が補助ネットワークに接続されていることを検出すると、前記補助ネットワークに接続されている証明書サーバーのドメイン名を取得し、証明書サーバーのドメイン名を通じて対応するIPアドレスを取得し、前記IPアドレスとデフォルトポート番号にしたがい、証明書サーバーに接続し、証明書サーバー602からデジタル証明書をダウンロードし、ダウンロードしたユーザー証明書からユーザー証明書データとユーザー秘密鍵データを取得し、ダウンロードした発行者証明書から発行者証明書データを取得する。
【0069】
ネットワークアクセス管理モジュール501は、デジタル証明書管理モジュール502の「WAPI証明書のインストール」インターフェースを呼び出し、前記インターフェースのインターフェースパラメータ(ユーザー証明書データ、発行者証明書データ、ユーザー秘密鍵データ、およびこのセットのデフォルト別名)を提供する。デジタル証明書管理モジュール502は、「WAPI証明書のインストール」要求を受信し、当該インターフェースパラメータを読み取った後、デジタル証明書データの一致を検証する。一致しない場合、インストールは失敗する。一致する場合、証明書命名ダイアログがポップアップされ、ユーザーがデジタル証明書の別名を入力するためのボックスが表示される。ユーザーがデジタル証明書の別名を入力した後、デジタル証明書管理モジュール502は、事前に設定された命名規則に従って、証明書別名を使用してユーザー証明書、発行者証明書、ユーザー秘密鍵を命名し、デジタル証明書記憶モジュール503を呼び出して、デジタル証明書を記憶する。デジタル証明書記憶モジュール503は、デジタル証明書管理モジュール502によって事前に設定された命名規則に従って当該セットのデジタル証明書データを記憶する。
【0070】
ネットワークアクセス管理モジュール501は、デジタル証明書が正常にインストールされたことを検出すると、以下のように、WAPI証明書ネットワークを構成して接続するステップを開始する。
【0071】
ネットワークアクセス管理モジュール501は、ターゲットWAPI証明書ネットワーク名(WAPIEnterpriseなど)、ネットワークセキュリティタイプ(WAPI証明書タイプなど)、デジタル証明書選択モード(自動選択モードなど)、選択された証明書名(空の文字列など)などのネットワークパラメータをネットワーク接続モジュール504に送信し、ネットワーク接続モジュール504を呼び出してネットワークを接続する。ネットワーク接続モジュール504はデジタル証明書記憶モジュール503を呼び出してすべてのデジタル証明書を取得する。ネットワーク接続モジュール504は、無線アクセスポイント601と関連つける。関連つけが成功した後、ネットワーク接続モジュール504と無線アクセスポイント601は、WAPI証明書タイプのプロトコルプロセスを実行し、無線アクセスポイント601によって送信された第1のプロトコルパケット(認証アクティベーションパケット)を受信すると、当該パケット内の「ローカルASU ID」フィールドを取得する(注: ASU は認証サービス ユニット/認証サーバーを表す)。その後、デジタル証明書の各セットのデータを走査して証明書の「発行者 ID」フィールドを取得する。「発行者 ID」フィールドが認証アクティベーションパケットの「ローカル ASU ID」フィールドと一致するデジタル証明書のセットを確認し、一致するデジタル証明書を使用し、その後のプロトコル・インタラクションを実行し、プロトコルプロセスが完了した後にWAPI証明書ネットワークにアクセスする。ネットワーク接続モジュール504がWAPIネットワークにアクセスしたことをネットワークアクセス管理モジュール501が検出すると、WAPIEnterpriseが接続されていることがユーザー・インターフェースに表示される。
【0072】
同じ技術概念にしたがい、本発明の実施形態は、本発明の上記の実施形態で提供される方法フローを実装できる通信装置も提供する。図7は、本発明の一実施形態により提供される通信装置の概略構造図を示す。図に示すように、当該通信装置は、プロセッサ701、メモリ702、およびバスインターフェース703を含むことができる。
【0073】
前記プロセッサ701は、バスアーキテクチャおよび一般的な処理の管理を担当し、前記メモリ702は、動作を実行するときにプロセッサ701によって使用されるデータを記憶することができる。
【0074】
前記バスアーキテクチャは、任意の数の相互接続されたバスおよびブリッジを含むことができ、具体的には、前記プロセッサ701によって表される1つまたは複数のプロセッサおよびメモリ702によって表されるメモリのさまざまな回路によって互いにリンクされる。バスアーキテクチャは、周辺機器、電圧レギュレータ、電力管理回路などの他の様々な回路をリンクすることもできるが、これらはすべて当技術分野でよく知られているため、本明細書ではこれ以上説明しない。バスインターフェースはインターフェースを提供する。プロセッサ701は、バスアーキテクチャおよび一般的な処理の管理を担当し、メモリ702は、プロセッサ701は、動作を実行するときにプロセッサ701によって使用されるデータを記憶することができる。
【0075】
本発明に係る実施例により開示されたフローチャートは、プロセッサ701に適用することができるか、または、プロセッサ701により実現される。実現の間、周波数ドメインにおける拡散伝送流れにおける各々ステップは、プロセッサ701内のハードウェアの論理集積回路またはソフトウェア形式の指令により完成されることができる。プロセッサ701は、汎用プロセッサ、デジタル信号プロセッサ、専用集積回路、フィールドプログラマブル・ゲートアレイまたはたのプログラマブルロジック・デバイス、ディスクリート・ゲートまたはトランジスタロジック・デバイス、ディスクリート・ハードウェアコンポネントであることができ、本発明に係る実施例により開示した各々方法、ステップ及びロジックブロック図を実現・執行することができる。汎用プロセッサはマイクロプロセッサまたはいずれのノーマルプロセッサなどであることができる。本発明に係る実施例に開示された方法のステップを参照すれば、ハードウェアプロセッサにより直接に執行して完成するか、または、プロセッサ内のハードウェア及びソフトウェアモジュールの組み合わせにより執行されて完成することができる。ソフトウェアモジュールは、ランダムメモリ、フラッシュメモリ、リードオンリーメモリ,プログラマブルリードオンリーメモリまたは電気的消去可能プログラマブルメモリ、レジスタなど本分野のよく知られる記憶媒体に格納されることができる。当該記憶媒体はメモリ702に位置し、プロセッサ701はメモリ702に格納される情報を読み出して、そのハードウェアと協働して情報処理フローのステップを完成する。
【0076】
具体的には、プロセッサ701は、メモリ702内のコンピュータ命令を読み取り、本発明の実施形態におけるネットワークにアクセスする方法を実行するために使用される。
【0077】
本発明の実施形態によって提供される上述の通信装置は、上述の方法の実施形態によって実現されるすべての方法ステップを実現することができ、同じ技術的効果を達成できることに留意されたい。ここでは、本実施形態における方法の実施形態と同じ部分および有益な効果についてはこれ以上説明しない。
【0078】
本発明の実施形態は、コンピュータに上記実施形態のネットワークにアクセスする方法を実行させるために使用されるコンピュータ実行可能命令を記憶するコンピュータ可読記憶媒体も提供する。
【0079】
本発明の実施形態は、コンピュータによって呼び出されたときに、前記コンピュータに上記実施形態のネットワークにアクセスする方法を実行させるコンピュータプログラム製品も提供する。
【0080】
当業者は、本発明の実施形態が方法、システム、またはコンピュータプログラム製品として提供され得ることを理解するであろう。したがって、本発明は、完全にハードウェアの実施形態、完全にソフトウェアの実施形態、またはソフトウェアとハードウェアの側面を組み合わせた実施形態の形態をとることができる。さらに、本発明は、コンピュータ使用可能なプログラムを有する1つまたは複数のコンピュータ使用可能な記憶媒体(ディスク記憶装置、CD-ROM、光記憶装置などを含むが、これらに限定されない)上で具体化されるコンピュータプログラム製品の形態をとってもよい。
【0081】
以上は本発明の実施形態の方法、装置(システム)、およびコンピュータプログラム製品のフローチャート図および/またはブロック図によって、本発明を記述した。理解すべきことは、コンピュータプログラム指令によって、フロー図および/またはブロック図における各フローおよび/またはブロックと、フロー図および/またはブロック図におけるフローおよび/またはブロックの結合を実現できる。プロセッサはこれらのコンピュータプログラム指令を、汎用コンピュータ、専用コンピュータ、組込み式処理装置、或いは他のプログラム可能なデータ処理装置設備の処理装置器に提供でき、コンピュータ或いは他のプログラム可能なデータ処理装置のプロセッサは、これらのコンピュータプログラム指令を実行し、フロー図における一つ或いは複数のフローおよび/またはブロック図における一つ或いは複数のブロックに指定する機能を実現する。
これらのコンピュータプログラム指令は、又、コンピュータ或いは他のプログラム可能なデータ処理装置を特定方式で動作させるコンピュータ読取記憶装置に記憶できる。これによって、指令を含む装置は当該コンピュータ読取記憶装置内の指令を実行でき、フロー図における一つ或いは複数のフローおよび/またはブロック図における一つ或いは複数のブロックに指定する機能を実現する。
【0082】
これらコンピュータプログラム指令はさらに、コンピュータ或いは他のプログラム可能なデータ処理装置設備に実装もできる。コンピュータプログラム指令が実装されたコンピュータ或いは他のプログラム可能設備は、一連の操作ステップを実行することによって、関連の処理を実現し、コンピュータ或いは他のプログラム可能な設備において実行される指令によって、フロー図における一つ或いは複数のフローおよび/またはブロック図における一つ或いは複数のブロックに指定する機能を実現する。
無論、当業者によって、上述した実施形態に記述された技術的な解決手段を改造し、或いはその中の一部の技術要素を置換することもできる。そのような、改造と置換は本発明の各実施形態の技術の範囲から逸脱するとは見なされない。そのような改造と置換は、すべて本発明の請求の範囲に属する。
図1
図2
図3a
図3b
図3c
図4
図5
図6
図7
【国際調査報告】
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.