用于激活用户的方法、用于认证用户的方法、用于控制用户通信业务的方法、用于控制WIFI 3G通信业务偏离网络上的用户接入的方法以及3G通信业务偏离系统

摘要

本发明涉及独立于移动电话运营商的网络（比如GSM网络）的通信业务偏离系统，并且涉及用于激活和认证用户、控制Wi-Fi3G通信业务偏离网络上的通信业务和用户接入的方法的使用。所提出的Wi-Fi偏离网络独立于移动电话网络运营商，并且实现同时向各个运营商的用户提供数据通信业务偏离服务器。所述系统具有其自身的数据库，其中保持关于用户的信息，从而将不需要向运营商的数据库进行咨询。所提出的系统还使得运营商A的用户能够通过使用经由运营商A的IMSI（国际移动订户身份）进行的认证从运营商B购买Wi-Fi数据计划，从而不再需要订购SIMCARD。此外还使得用户能够在漫游中（也就是当处于其号码的当地区域之外时）接入。

说明书

技术领域

本发明涉及独立和多运营商3G通信业务偏离（traffic deviation）系统，涉及激活、认证以及控制所述系统中的用户接入的方法，并且涉及控制所述系统中的通信业务的方法。

人们提出独立于移动电话网络运营商来实施Wi-Fi网络，其可以同时向各个运营商的用户提供偏离数据通信业务的服务。所述系统具有其自身的数据库，其中保持关于用户的信息，从而应当不需要向运营商的数据库进行咨询，因此使得所述系统独立。

此外，所述系统使得运营商A的用户能够通过使用运营商A的IMSI（国际移动订户身份）认证来购买运营商B的Wi-Fi数据计划，因此消除对替换SIMCARD（SIM卡）的需要。所述系统还使得用户能够在漫游中（也就是当处于其号码的当地区域之外时）接入。

背景技术

在世界范围内，对于因特网的移动接入逐年显著增加。在一些国家中，移动接入的数目已经大大超出固定接入因特网的数目。在最近3年中，一些国家中的移动接入的数目的年增长超出100%。移动接入的这一普及主要随着3G蜂窝网络的植入连同智能电话和平板电脑的发展和增加的供应而发生，从而引起更加易达到的价格。

这一加速增长的效应已经可以在较大的城市中心观察到，其中3G技术和已安装网络的基础设施两者不再能够承受新用户的需求。在蜂窝网络上，由于若干因素，蜂窝数目的增加不总是可能和/或可行的。运营商使用的频谱的限制是向用户供应更多和更好的数据服务的限制因素中的一个。此外，蜂窝移动网络的下一代技术（即4G）尚未被实施，并且这些网络的频率和划分还没有被定义。

Wi-Fi技术的使用成为针对当前的移动电话的拥塞问题的短期内可行的主要解决方案。许多方面对这一技术选项有贡献，比如：在大多数智能电话和平板电脑上存在Wi-Fi接口；Wi-Fi技术的世界范围的标准化；数以百计的装备制造商的存在；热点的实施成本降低；各件AP（接入点）装备的紧凑；技术所实现的高传送速率；以及与IP（因特网协议）系统的全面集成。

Wi-Fi网络也被称作WLAN（无线局域网），使用由IEEE（电气和电子工程师协会）定义的802.11系列标准（例如802.11a、802.11b、802.11g和802..n）。但是最初存在具有操作在2.4GHz、5.3GHz和5.8GHz上的所有四种协议802.11a/b/g/n的电话。关于Wi-Fi技术所实现的高传送速率例示的，802.11a和802.11n协议具有超出100Mb/s的传送能力。

出于前面阐述的原因，使用Wi-Fi技术来缓解移动网络已成为若干篇文章的研究主题。例如文献WO 2005/008964 A1和文献US 2007/0268855 A1提出了将WLAN网络集成到GSM 3G系统。以复杂方式进行网络之间的这一集成，并且需要WLAN与GSM网络之间的直接集成以用于用户识别和认证，这是因为在GSM网络之外不存在用于认证用户的独立机制。

在文献US 2010/01154044 A1中公开了借助于处在运营商内的代理服务器通过Wi-Fi和3G网络的同时操作而实现的集成。但是对于通信业务可能达到数十千兆比特每秒（Gb/s）的大型操作呈现出一些限制。与操作系统的这些集成具有如下目的：通过HLR（归属定位符寄存器）重复利用接入和认证控制系统，这是因为只有这些系统具有记录在每一台设备的SIMCARD上的与IMSI（国际移动订户身份）有关的认证密钥Ki。这一集成模式把缓解系统限制到仅仅一家运营商。这样的限制在文献US 2011/0222523、US 2007/0268855 A1和文献WO 2006/055986 A2中也发生。

本发明描述了其中不需要接入HLR的一种系统。所述系统具有被安全地创建和传送到每一个UME（用户移动装备）的其自身的密钥，而不需要像前面提到的文献的系统中那样利用Ki密钥。换句话说，所提出的系统提供用于对完全处于3G网络的控制和系统之外的用户进行认证的过程而不咨询运营商的数据库。此外，所提出的系统对由Wi-Fi网络经由SMS发送回去的认证密钥进行确认，这表示抵抗任何类型的篡改的安全性系统，这是因为虚假用户不可能经由SMS接收到关于所述密钥的信息。作为比较，文献US 2011/0222523 A1提出仅仅通知存在接入点并且发起去到Wi-Fi网络的迁移的寻呼系统，而没有任何安全性机制。

文献US 2010/0135491 A1提出一种通过在接入到Wi-Fi网络时识别由用户手动输入的用户和密码的识别方法。在本发明所提出的系统中，用户对认证过程没有干扰，从而提供接入控制的安全性的显著提高。整个认证过程是基于IMSI和MSISDN（移动订户综合服务数字网络号码）号码，其由用户移动装备（UME）捕获。MSISDN号码实际上是用户的蜂窝号码。应当提到的是，虽然MSISDN通常不被记录在SIMCARD上，但是所提出的系统呈现了一种以安全的方式识别出所述MSISDN以及与对应的IMSI的预期关联的方法。因此，通过以对于用户安全且透明的方式经由SMS（短消息服务）交换所传送的密钥，所提出的系统自动建立其自身的数据库以用于控制和认证用户。如果必要的话，可以多次实施这一经由SMS的认证过程，以便重新验证用户的真实性。由于不存在与运营商的系统的直接交互，因此所提出的系统通过MCC（移动国家代码）和MNC（移动网络代码）识别用户的运营商，因此实现由不同运营商的用户接入。这一统计量非常重要，并且为所提出的系统提供了相对于现有技术中的已有的通信业务偏离系统的巨大不同。

对于通信业务偏离过程的控制是针对优化所偏离的总的通信业务的一项重要因素。在文献US 2011/0222523中提出的方法例如需要3G与Wi-Fi网络共存，这是因为关于去到Wi-Fi网络的通信业务偏离的控制、决定和信息是通过3G网络传送的。同样的情况也在文献US 2004/0235455 A1中发生。这样的传送可能会由于3G网络的堵塞而经历延迟，从而阻止对于偏离网络的快速接入。在本发明中，偏离决定过程由UME控制，从而阻止确定区域内的3G网络上的控制通信业务增加，并且提高接入Wi-Fi网络的速度和效率。

发明内容

本发明涉及用于激活、认证、控制通信业务以及控制Wi-Fi 3G通信业务偏离网络上的用户接入的方法。所述激活方法要求在用户装备（UME）上安装控制程序，并且包括在用户装备（UME）、认证服务器和系统本身的数据库之间的信息（比如IMSI、MSISDN和UPK）交换阶段。最后，UME接收关于激活状态的应答。

所述用户认证方法开始于从UME向DHCP服务器请求接入到Wi-Fi偏离网络，DHCP服务器发送IP号码。随后，UME向认证服务器发送包含IMSI号码、MAC地址和IP号码的TCP分组。认证服务器检查UME是否先前被认证，检验IMSI号码的格式是否有效，识别出用户的运营商，并且把UME标识数据以及用于评估的公共和私有密钥存储在数据库处。在数据库处检验最近的UME认证的有效性之后，认证服务器经由SMS向UME发送RAND随机接入代码，UME拦截所述消息从而使得该消息将不会对用户出现。RAND代码通过UPK被加密，并且与ISMI号码一起经由Wi-Fi网络被发送回到认证服务器。一旦UME已被验证，认证服务器就把IMSI存储在数据库上或者更新UME的认证有效期。随后，向通信业务控制服务器发送释放对偏离网络的接入的消息，并且向UME发送认证确认消息。

所述动态通信业务控制方法（其中随着偏离Wi-Fi上的每一次UME登记更新通信业务控制规则）包括以下步骤：向用户释放接入，控制通信业务，控制堵塞，阻断UDP/TCP端口，控制同时接入，以及提供防火墙。

利用所述用户接入控制方法，人们检验UME的Wi-Fi接收器是否开启以及是否存在与之连接的任何Wi-Fi网络。随后，如果UME没有连接到任何Wi-Fi网络或者当UME连接到运营商的偏离网络的不同Wi-Fi网络时，人们利用运营商的偏离网络的SSID寻求Wi-Fi接入点，并且把所找到的接入点连接到UME。或者如果UME已经连接到运营商的偏离网络，则人们利用运营商的偏离网络的SSID寻求另一个Wi-Fi接入点，并且人们把偏离网络的所找到的Wi-Fi接入点的信号水平与连接到UME的网络的信号水平进行比较，从而选择与具有更好信号水平的Wi-Fi接入点连接。此后，人们检验所连接的Wi-Fi接口处的数据连接的存在，并且对UME进行认证。最后，在UME上显示“开启”或“关闭”消息。

此外，提出一种3G通信业务偏离系统，其包括：至少一件用户装备，通过至少一个VLAN转接器连接的至少一个Wi-Fi接入点，DHCP服务器，通信业务控制服务器，路由器，认证服务器，事件记录数据库，以及其本身的数据库。

附图说明

下面给出附图的简要描述：

-图1是Wi-Fi 3g通信业务偏离系统的实施例；

-图2示出了在所述系统中的用户激活过程中所涉及的各个组件之间的消息流；

-图3示出了在所述系统中的用户认证过程中所涉及的各个组件之间的消息流；

-图4是Wi-Fi偏离网络上的用户认证过程的流程图；

-图5是在偏离网络上检验用户的生命期（TVU）的过程的流程图；以及

-图6是Wi-Fi偏离网络上的用户接入控制的流程图。

具体实施方式

后面基于在附图中表示的实施例的示例来描述本发明。

人们提出了实施独立于移动电话运营商的网络（比如GMS网络）的通信业务偏离系统，以及使用用于激活和用户认证并且用于控制Wi-Fi 3G通信业务偏离网络上的通信业务和用户接入的方法。因此，人们提出了针对如前所述的现有技术中存在的问题的解决方案。

从图1人们可以观察到所提出的3G通信业务偏离系统的实施例。所述系统由以下组件构成：用于用户移动接入的装备（UME）1；去到无线网络的接入点（AP）2；DHCP（动态主机配置协议）服务器3；通信业务控制服务器4；路由器5；用户认证服务器6；用户数据库7；以及事件记录数据库（LOG）8。随后人们发现关于这些组件当中的每一项及其主要特性以及它们之间的交互关系的描述。

用户装备（UME）1可以是蜂窝设备、平板电脑或者实现移动接入的任何设备，并且应当与802.11a、802.11b、802.11g或802.11n协议兼容。只有这样用户才能接入所提出的通信业务偏离网络，这是因为所述通信业务偏离网络使用Wi-Fi技术。在该装备1中，按照对于用户透明的方式安装无线接入控制程序，以便实施认证以及释放对于网络的接入。

接入点（AP/PA）2（即实现接入到无线Wi-Fi网络的一件基本无线电装备）应当与802.11a、802.11b、802.11g或802.11n协议兼容，并且在由每一个地区（国家）的控制机构授权的频率上操作。PA/AP 2应当具有操作在“透明点”模式下的能力，使得将在用户装备1与负责此类任务的各件装备（分别是服务器、DHCP 3、通信业务控制服务器4和用户认证服务器6）之间实施IP分配过程以及频带控制和用户认证。

DHCP 3服务器控制为每一个用户分配IP号码。IP号码由运营商根据一个列表释放，所述列表是根据系统位置处的IP的可用性而供应的。整个IP分配过程遵循DHCP协议。

通信业务控制服务器4实施传送速率控制以及对Wi-Fi网络接入的释放两者。对Wi-Fi网络的总的用户释放包括第一步骤：在防火墙上登记IP号码和MAC（介质接入控制）MAC，以便释放用户装备1与因特网之间的不受限制的通信业务。随后，在第二步骤中，使用HTB（分层令牌桶）过滤器来限制将要释放给用户的最大速率。最后，在第三步骤中，人们使用SFQ（随机公平队列）过程以阻止网络上的拥塞。

所述系统的路由器5定义用户的内部和通信业务输出路由。取决于运营商的IP号码的可用性，所述路由器可以操作在用于分配无效IP的NAT（网络地址翻译）模式上。

用户认证服务器6根据由运营商预先定义的规则控制向用户释放通信业务。这样的服务器6接收由用户装备1设定的信息，并且随后在拥有该信息（IMSI、MAC地址以及由DHCP服务器供应的IP）的情况下咨询用户数据库7，以便验证对于用户标识信息的认证。

用户数据库7应当包含关于用户的技术和商务信息，从而使得用户认证服务器6可以决定是否要向外部网络（因特网）复活通信业务，从而定义接入速度以及可供用户使用的总的频带。

事件记录数据库8记录释放、终止和阻断向所述系统的接入的所有操作。其还对包含由不易于使用外部网络的用户进行的接入尝试的数据库进行处理。该数据库是用于销售数据计划的重要商务工具。

图2示出了在所述系统中激活用户的过程。人们观察到在所述过程中所涉及的各个组件之间的消息流。为了使得该过程发生，应当在UME 1上安装控制程序。所述程序可以由运营商预先安装在UME 1上，或者可以由从因特网下载所述程序的用户自己安装。一旦安装了所述程序，就发起在所提出的通信业务偏离系统中激活用户的过程。用于这一激活的第一步骤是通过SMS消息从UME 1向认证服务器6发送（S21）IMSI和MSISDN号码。在认证服务器6接收到所述SMS消息之后，捕获MSISDN蜂窝号码并且将其与IMSI相关联。随后将所述IMSI/MSISDN对记录（S22）在用户数据库7中，所述用户数据库7为该用户单独生成（S22）一对密钥（公共和私有密钥）。随后经由SMS按照全部或部分方式将用户公共密钥（UPK）传送（S24）给用户。UME 1拦截包含UPK的SMS消息，从而使得该消息将不会对用户出现。这一过程确保系统将识别出用户并且通过使用3G系统的安全性通过被用于验证包含在SIMCARD上的Ki密钥的算法来安全地传送UPK。

在接收到来自用户的公共密钥（UPK）之后，UME 1通过因特网向认证服务器6发送（S25）IMSI/UPK对。此时，对于用户的验证在认证服务器6上发生，并且这一验证被存储（S26）在数据库7中。随后，同样通过因特网，UME 1关于激活状态咨询（S27）服务器6。如果IMSI/UPK对是有效的，则认证服务器6确认（S28）用户激活。如可以看到的，直到此时为止没有必要接入偏离网络，这是因为所有通信都通过3G网络（经由SMS或通过因特网）发生。UPK密钥还被用于对用户进行周期性重新验证，以用于偏离网络上的认证。

在图3和4中呈现了在Wi-Fi偏离网络上认证用户的过程。图3呈现了参与这一认证过程的各实体之间的各个通信。图4示出了所述过程的流程图。

一旦用户移动装备（UME）1通过了系统中的激活过程，其保持处于持续检验Wi-Fi接入点2的存在，从而识别出对应的SSID（服务集标识）。当识别出属于偏离网络的SSID时，UME 1分析所接收到的信号水平。如果涉及偏离网络的信号水平高于为了保证连接质量而预先确定的最低数值，则用户移动装备1连接（S31）到接入点2，从而建立到所述系统的连接的第一阶段。随后，UME 1向DHCP服务器请求（S32、S41）接入到偏离网络，并且从该处接收（S33）PI号码以开始用户认证过程。应当提到的是，对于连接到Wi-Fi接入点2的决定是独立于运营商按照对于用户透明的方式来实施的。因此，在所提出的偏离系统中，没有通过蜂窝网络来自Wi-Fi接入点2的信息传送。针对用户接入到Wi-Fi网络的所有信息都被自动传送，而不需要接入到3G网络。这一过程具有很大的价值，这是因为与在现有技术中发现的通信业务偏离系统不同，所述过程即使在没有3G网络覆盖的情况下也确保接入Wi-Fi网络的速度和效率。

一旦发起认证过程，UME 1向认证服务器6发送（S34）包含以下信息的TCP（传输控制协议）分组：IMSI号码，MAC地址，以及IP号码。认证服务器6基于该信息检验（S42）用户的最近接入。为此目的，先前认证的用户数据库7到达。如果用户不处在数据库7中，则这是新的连接，并且系统仅在被称作用户的有用时间（ULT）的时间段期间在其已连接用户的数据库7中将该用户保持活跃。如果该用户先前已被认证并且因此存在于已连接用户的数据库7中，则认证服务器6识别该用户并且更新（S43）他的TVU。图4中的流程图图示了这些步骤。要指出的是，在TVU期间，用户可以改变Wi-Fi接入点2，同时仍然保持相同的IP号码，这实现WLAN蜂窝之间的切换。

在所述最近的接入检验步骤之后，认证服务器6在其自身的数据库7中实施认证步骤（S44）。为此目的，其对IMSI号码格式、IP号码以及MAC地址进行先前检验。如果所述格式有效，则认证服务器6首先通过识别包含在IMSI号码中的MCC（移动国家代码）操作和MNC（移动网络代码）而识别用户的运营商。在拥有这一信息的情况下，连同在系统中激活用户时由UME 1传送的MSISDN并且利用用于用户验证的密钥（公共和私有密钥），所述系统对其自身的数据库7进行馈送以用于用户认证。所提出的系统的该数据库7不再需要接入运营商的HLR（归属位置寄存器）和VLR（访客位置寄存器）数据库，并且关于现有技术的偏离网络的解决方案是不同的过程。系统的数据库7可以被用于直接向用户销售服务。换句话说，用户可以使用相同的芯片（SIMCARD）和相同的蜂窝设备利用一家电话运营商进行语音和/或数据订购，并且与此同时利用另一家运营商获取Wi-Fi数据计划。

如可以看到的，所提出的系统用不着与3G网络的任何集成，从而以完全独立的方式操作。此外，所述系统使不同运营商的用户能够使用相同的接入点，共享Wi-Fi网络的基础设施并且不需要对其进行复制。所述系统还使运营商A的用户能够使用通过运营商A的IMSI进行的认证从运营商B获取Wi-Fi数据计划，因此不需要替换SIMCARD。此外，利用包含在数据库7中的信息，可以提供去到其他运营商的漫游服务。

随后，人们在与由MNC定义的运营商有关的用户的数据库7中关于用户标识的存在做出咨询（S35），用户标识由其IMSI号码标识。所述咨询的结果取决于针对由所讨论的用户或运营商对所述系统的利用的商务因素。数据库7向认证服务器6返回（S36）MSISDN电话号码，以验证或不验证所述系统中的认证。如果所述检验是否定的，则认证服务器6直接向用户的移动装备1结束拒绝接入消息，所述消息在所述移动装备处被显示。有可能在UME 1上显示要约购买运营商的数据计划的消息。如果所述检验是肯定的，则根据由运营商建立的释放规则（比如，例如如果用户具有数据计划、如果其在用户数据库7中是活跃的并且其接入速度也是活跃的），则系统发起用户确认步骤以阻止对齐任何类型的篡改。

在其自身的数据库7中检验了用户的最近接入和验证之后，所述系统可以周期性地实施其他检验以便阻止该用户伪造对所述系统的接入请求来伪装成另一用户。为此目的，所述系统使用电话网络发送SMS消息以便对该用户进行确认，正如后面所描述的那样。一旦在数据库7中实施了验证，认证服务器6检验（S47）数据库7中最近认证的有效性。如果用户不处在数据库7中，或者如果其登记超出有效期，则认证服务器6（经由3G）向该用户的移动装备1的号码发送（S37a、S48）包含随机接入代码RAND的SMS。还有可能的情况是，应当通过Wi-Fi网络向没有3G覆盖的位置发送（S37b）RAND代码。随后，UME 1拦截该SMS消息，从而使得该消息将不会对用户出现。之后，将经由Wi-Fi向认证服务器6发送（S38）RAND号码和ISMI，RAND号码通过在系统中评估用户时创建的UPK在UME 1上被加密。由Wi-Fi网络返回的对于这一已加密代码的确认表示抵抗对其任何类型的篡改的强安全性系统，这是因为虚假用户不可能经由SMS接收到RAND代码。随后，服务器6对RAND号码进行加密，并且将其与先前通过SMS发送的号码进行比较（S49）。如果两个号码相同，则认证服务器6更新其有效期。在这些步骤之后，认证服务器6向通信业务控制服务器4发送（S310、S410）释放接入的消息。在UME 1被连接时，其向与之连接的认证服务器6周期性地传送ISMI、IP、MAC、SSID信息，以及由UME 1检测到的SSID连同对应的信号水平的列表。基于关于SSID的信息，认证服务器6具有关于有多少用户连接到每一个Wi-Fi接入点2的信息。随后对UME 1从一个PA/AP改变到另一个AP 2的必要性实施检验（S410）。为了阻止过多用户在所确定的AP 2处引起拥塞，认证服务器6可以向UME 1发送（S412）命令以便改变到处于附近并且具有令人满意的信号的另一个AP 2。在用以确定是否发生UME 1的切换的这些步骤之后，认证服务器6向UME 1发送（S311、S413）确认或认证更新消息。如果用户仍然处在该预先建立的用户的真实性的有效期内，则服务器6将只有在这样的有效期接近到期的情况下才发送（S37a、S48）新的SMS以用于检验前面描述的用户的真实性。随后，发起如下步骤：在通信业务控制服务器4中对于用户的移动装备1释放对因特网的接入。重要的是指出这一检验用户的真实性的过程是循环的。

不应当把针对最近连接的用户生命期（TVU）与用户的认证有效性相混淆。TVU检验用户是否刚刚连接并且仍然在DHCP服务器中具有其IP号码，而真实性有效期（其例如可以是1个月）检验数据的正确性和用户的真实性。

所述系统的通信业务控制服务器4的目的是释放接入、控制通信业务、控制抗拥塞、阻断UDP/TCP端口、控制同时接入的数目以及实施防火墙。通过IMSI号码与涉及用户的每个IP/MAC对相关联，所述系统使用HTB（分层令牌桶）过滤器来限制将要释放给用户的最大速率，使用STQ（随机公平队列）过程来阻止网络中的拥塞，并且使用ARPTABLES方案通过用户的对应的MAC和IP地址来控制和释放用户。接入速度限制是根据由每一个用户签订合同的接入计划的策略而建立的。但是所述系统是动态的，并且随着UME 1每一次在Wi-Fi网络上登记而更新通信业务控制规则。通信业务控制服务器4还提供至少一个防火墙，具有如下规则：通过需要利用大量通信业务的应用以及对于同时接入的数目的控制来阻止网络的饱和。从而在接入外部网络因特网时为用户提供安全性和稳定性。

在用户释放过程中，在对用户进行验证之后，认证服务器6首先向通信业务控制服务器4发出接入释放命令（其根据用户的MAC地址/IP号码而被引导），从而释放用户通过相应的接入点2在所确定的频带限制下在因特网上进行巡览。最后，认证服务器6通过Wi-Fi网络向UME 1发送（S311、S413）带有接入释放确认的消息。该消息在UME 1的屏幕上被显示给用户。

图5示出了偏离网络上的用户生命期检验过程的流程图。在用户的移动装备1被连接时，其向与之连接的认证服务器6周期性地传送ISMI、IP、MAC、SSID信息以及存在的具有其对应信号的SSID列表。在对EUM1到另一个AP 2的切换进行检验和决定之后，认证服务器6随后更新系统中的用户生命期（ULT）。在此基础上，认证服务器6周期性地实施独立例程S51，其中间隔被定义成对于超出ULT的与所述ISMI号码相关联的每一个连接终止接入许可。活跃用户的数据库7中的超出ULT的所有登记开始所述阻断过程S52，其中认证服务器6向通信业务控制服务器4发送消息以便去激活涉及与每一个ISM号码相关联的MAC地址/IP号码的释放规则及其对应的分配频带。

对于所述系统中的每一项用户认证，在事件记录数据库8中创建包含以下数据的登记：用户的移动装备1的IMSI、IP、MAC地址，所释放的最大传送速率，释放的日期和时间，此外还有所承载的输入和输出字节的数目（在通信业务控制服务器4的HTB过滤器中获得）。

在用户使用所述系统结束时，当对释放给用户的移动装备1的IP的阻断发生时，所述系统向用户的运营商传送记录在数据库8中的数据。在拥有这一信息的情况下，运营商可以计算用户在其系统中传递的数据量，并且因此做出对应的屏蔽。

图6呈现了用于控制用户对Wi-Fi偏离网络的接入的过程的流程图。如前所述，在UME 1中安装了控制程序之后，开始在偏离系统中激活用户的处理。随后，UME 1继续实施对于该系统的运行至关重要的若干任务。

从初始状态S60，UME 1检验（S61）其Wi-Fi接收器是否开启。如果其关闭，则所述服务返回到初始状态S60，并且等待新的检验。否则，UME 1检验（S62）是否存在已经连接到所述装备的任何Wi-Fi网络。这一步骤S62极为重要，使得UME 1将不会与之前已经由用户连接的Wi-Fi网络断开。重要的是强调，UME 1可以关于在用户已知的特定网络与运营商的偏离网络之间的连接的优先级而被配置。如果没有Wi-Fi网络连接到所述装备，则利用在系统（运营商的偏离网络）中预先定义的SSID发起搜索某一Wi-Fi网络的扫描步骤S63。如果没有找到运营的Wi-Fi网络，则所述服务返回初始状态S60并且等待新的检验S61。如果找到偏离网络，则人们将该网络与UME 1相关联（S67），从而替换任何其他之前所关联的网络。如果在步骤S62中人们检测到UME 1连接到Wi-Fi网络，则（通过其SSID）检验（S65）该网络是否为运营商的网络。如果不是，则开始先前定义的用于搜索Wi-Fi网络的步骤S63。如果UME 1所连接的网络是运营商的偏离网络，则UME 1在该Wi-Fi网络上发起另一项扫描S66，以搜索具有所述偏离网络的SSID的网络，并且在找到这样的网络时它将其信号水平与当前相关联的网络的信号水平进行比较。当所找到的网络的信号水平高于当前网络的信号水平时，则人们选择改变网络并且发生新网络与UME 1的关联S67。在关联S67之后，或者如果检验步骤S66没有找到具有比当前网络更好信号的任何网络，则UME 1实施对于数据连接的存在的检验步骤，也就是说，人们通过Wi-Fi接口检验TCP-IP网络的存在以及在该接口中是否存在数据通信业务。如果不存在，则所述服务返回到初始状态S60并且等待新的检验S61。如果这样的网络存在，则在Wi-Fi偏离网络中的用户的连接时段期间，UME 1周期性地发送（S69）其所连接的IMSI、IP、PAC、SSID，以及由UME 1检测到的SSID连同其对应的信号水平的列表。在必要时，认证服务器基于这一信息可以向UME 1发送（611）用于改变Wi-Fi接入点2（切换）的命令。在切换的情况下，服务S60的另一个生命周期开始。如果没有AP 2的改变，则UME 1检验（S610）是否已经存在对偏离网络的认证。如果是的话，则在UME 1的屏幕上显示（S610a、S610b）“已连接”或“未连接”消息，并且所述服务返回到初始步骤S60。

已描述了实施例的优选示例，但是人们应当理解，本发明的范围涵盖其他可能的变型，并且仅由包括对应的等同物的所附权利要求书的内容限制。