專利名稱:利用公共驗證服務器的無線局域網(wǎng)訪問控制中的身份映射機制的制作方法
技術領域:
本發(fā)明提供一種裝置和方法,其通過將會話標識嵌入在驗證請求中,和在驗證服務器中在安全性處理時使用標識來匹配兩個會話而改善無線局域網(wǎng)(“WLAN”)的安全性和訪問控制。
背景技術:
本發(fā)明的環(huán)境是利用IEEE 802.1x體系結構的無線局域網(wǎng)或(WLAN)家族,所述IEEE 802.1x體系結構具有接入點(AP),用于為移動設備提供對于例如硬連線的局域網(wǎng)等其它網(wǎng)絡以及例如因特網(wǎng)等全球網(wǎng)的訪問。WLAN技術的進步導致在休息處、咖啡館、圖書館和類似的公共設施處的公共可訪問熱點(hotspot)。當前,公共WLAN向移動通信設備用戶提供對例如公司內聯(lián)網(wǎng)等專用數(shù)據(jù)網(wǎng)絡或例如因特網(wǎng)、點對點通信、和實況無線電視廣播等公用數(shù)據(jù)網(wǎng)絡的訪問。實現(xiàn)和操作公共WLAN的相對較低的花費,以及可用的高帶寬(通常超過10兆位/秒)使得公共WLAN成為理想的訪問機制,通過公共WLAN,移動無線通信設備用戶可以與外部實體(如下面將要討論)交換數(shù)據(jù)包,這樣的開放配置會危及安全,除非存在足夠多的用于標識和驗證的部件。
當用戶試圖訪問公共WLAN覆蓋范圍內的服務時,WLAN在準許網(wǎng)絡訪問之前首先驗證和授權用戶。在驗證之后,公共WLAN向移動通信設備開通一條安全數(shù)據(jù)通道,以保護在WLAN和設備之間的數(shù)據(jù)傳送的保密性。當前,許多WLAN設備的制造商對于使用的設備采用了IEEE802.1x標準。因此,這一標準是WLAN利用的主要的驗證機制。不幸的是,IEEE 802.1x標準被設計為將專用LAN訪問作為其使用模型。因此,IEEE 802.x標準不提供某些將會改善公共WLAN環(huán)境中的安全性的特征。
圖1圖解說明了通常在公共WLAN環(huán)境的驗證中包含的三個實體之間的聯(lián)系移動終端(MT),WLAN接入點(AP),和驗證服務器(AS),其可以與特定的服務提供商或虛擬運營商相關聯(lián)。信任關系如下所示MT與AS有賬務往來,因此它們相互共享信任關系,WLAN運營商和擁有AS的運營商(下文中稱為“虛擬運營商”)有商業(yè)關系,因此AP和AS具有信任關系。驗證過程的目的是通過利用兩個已有的信任關系在MT和AP之間建立信任關系。
在基于網(wǎng)絡瀏覽器的驗證方法中,MT利用網(wǎng)絡瀏覽器通過超文本傳輸協(xié)議安全套接協(xié)議(HTTPS)直接驗證AS,并確保AP不能非法侵入或竊取機密的用戶信息。當信道安全時,除非由AS明確地告知,否則AP不能確定驗證的結果。但是,AS具有的唯一與MT有關的信息是其在HTTPS會話的另一端的網(wǎng)際協(xié)議或IP地址。當防火墻、網(wǎng)絡訪問轉換(NAT)服務器或網(wǎng)絡代理電子地位于MT和AS之間時,這樣的信息不能被用來識別MT。
大多數(shù)現(xiàn)有的WLAN熱點無線提供商使用基于網(wǎng)絡瀏覽器的解決方案用于用戶驗證和訪問控制,其為用戶提供便利并且不需要在用戶設備上下載任何軟件。在這樣的解決方案中,通過服務器經(jīng)由HTTPS安全地驗證用戶,該服務器轉而通知無線AP向用戶授權訪問。這樣的驗證服務器AS可以是WLAN運營商或任何第三方提供商所擁有,例如獨立服務提供商(ISP)、預付卡提供商或蜂窩運營商(更多地稱為虛擬運營商)。
在現(xiàn)有技術中,驗證是通過經(jīng)由安全通道在用戶和驗證服務器之間的通信來實現(xiàn)的。因而AP不轉換在用戶和驗證服務器之間的通信。從而,必須建立AP和驗證服務器AS之間被稱為驗證信息的單獨通信,以使得AP接收驗證信息。
在AP中的訪問控制是基于MAC地址或IP地址的,并且因此,驗證服務器AS在將驗證結果返回給AP時可以將移動終端MT IP地址(HTTPS通道的源地址)用作標識符。如果不存在例如通過防火墻FW和本地服務器LS圖示的、在AP和驗證服務器之間的防火墻和網(wǎng)絡地址轉換,則上述方法順利進行。通常和當存在虛擬運營商時,驗證服務器位于無線訪問網(wǎng)絡區(qū)域之外,且因此在防火墻FW之外,并且通常用于驗證的HTTPS連接實際上經(jīng)歷網(wǎng)絡代理。驗證服務器AS接收的源地址是網(wǎng)絡代理的地址,其不能被用來識別移動終端MT用戶設備并且因此不能被AP用來確保安全連接。
在當前的基于網(wǎng)絡瀏覽器的驗證解決方案中,WLAN和驗證服務器AS是同一實體的一部分,因此上述問題可能不成為問題。但是,當虛擬運營商概念變得越來越廣泛地用于熱點WLAN訪問時,標識驗證會話而不單獨地依靠源IP地址的問題變得更加緊迫,因為黑客進入計算機的潛在可能將會相應地上升。
發(fā)明內容
本發(fā)明提供一種用于改善WLAN環(huán)境中的移動終端的安全性和訪問控制以便克服上述問題的方法。根據(jù)本發(fā)明的方法包括將會話標識(會話ID)嵌入在HTTP請求中,并在驗證服務器中使用這樣的會話ID來匹配兩個HTTP會話,從而唯一地識別與驗證消息相關的移動終端??梢詫⒃L問請求重定向到WLAN中的服務器,該服務器提供會話識別,存儲將會話識別映射至移動終端的映射數(shù)據(jù),并生成具有嵌入在其中的會話ID的網(wǎng)頁,該網(wǎng)頁被發(fā)送至移動終端。
接入點處理來自移動終端的網(wǎng)絡請求,以便將會話ID嵌入在全球資源定位符(URL)中。另外,接入點保持這一會話ID與MT的MAC地址之間的映射。當驗證服務器通知接入點其已經(jīng)接收到驗證結果時,隨后將會話ID用于唯一地識別移動終端。
在本發(fā)明的一個實施例中,用于控制對無線局域網(wǎng)(“WLAN”)的訪問的方法包括步驟從放置在WLAN的覆蓋范圍內的移動終端接收訪問該WLAN的請求;將會話ID與和移動終端有關的標識符相關聯(lián),并且存儲將會話ID映射至與移動終端有關的標識符的數(shù)據(jù);將包括會話ID的驗證請求發(fā)送至適當?shù)尿炞C服務器;從適當?shù)尿炞C服務器接收包括有與移動終端相關的會話ID的驗證消息;響應于所存儲的映射數(shù)據(jù)將接收到的驗證消息與移動終端相關;和響應于接收到的驗證消息控制移動終端對WLAN的訪問。
標識符可以是移動終端的任何參數(shù)或特性,其可以被用來唯一地識別移動終端。與移動終端相關聯(lián)的標識符可以包括與移動終端相關的MAC地址或與移動終端相關的IP地址。會話ID可以嵌入在由WLAN生成的網(wǎng)頁中,例如嵌入在與提交按鈕相關的全球資源定位符中,以開始與驗證服務器的HTTPS會話。
當結合附圖閱讀下面的詳細描述時,能夠最佳地理解本發(fā)明。附圖的各個特征并未詳盡地列舉出。相反,為了清楚起見,各個特征可能任意地擴大或減小。附圖中包含以下各圖圖1是用于實踐按照本發(fā)明原理用于驗證移動無線通信設備的方法的通信系統(tǒng)的方框圖。
圖2是本發(fā)明的方法的流程圖。
具體實施例方式
在將要討論的附圖中,電路和相關的方框和箭頭表示根據(jù)本發(fā)明方法的功能,其可以被實現(xiàn)為電路和相關的用于傳輸電信號的連線或數(shù)據(jù)總線?;蛘?,一個或多個相連的箭頭可以表示軟件程序之間的通信(例如,數(shù)據(jù)流),特別是當本申請的方法或裝置被實現(xiàn)為數(shù)字處理時。
根據(jù)圖1,通常為了從未認證的實體(例如黑客)訪問安全的數(shù)據(jù)庫或其它需要高度安全性的源的目的,由1401到140n表示的一個或多個移動終端通過接入點1301到130n以及相關的計算機120與驗證服務器150進行通信。
如圖1中進一步圖示的,IEEE 802.1x體系結構包含若干個部件和服務,它們相互作用以便向網(wǎng)絡堆棧的較高層提供站移動透明性。IEEE 802.1x網(wǎng)絡將諸如接入點1301-n的AP站和移動終端1401-n定義為連接到無線媒體并且包含IEEE 802.1x協(xié)議的功能性的部件,其是MAC(媒體訪問控制)1341-n和相應的PHY(物理層)(未示出)、以及至無線媒體的連接127。通常,IEEE 802.1x功能以無線調制解調器或網(wǎng)絡訪問或接口卡的硬件和軟件來實現(xiàn)。本發(fā)明提出了一種用于實現(xiàn)通信流中的標識手段的方法,從而對于下行鏈路業(yè)務(即,從驗證服務器到諸如便攜式電腦的移動終端)與IEEE 802.1x WLAN MAC層相適合的接入點1301-n可以參與一個或多個無線通信設備1401-n、本地服務器120和包括驗證服務器150的虛擬運營商的驗證。
根據(jù)本發(fā)明原理,訪問160允許每個移動終端1401-n通過根據(jù)IEEE 802.1x協(xié)議驗證移動終端自身及其通信流來安全地訪問WLAN 124,該WLAN 124包括多個接入點和本地服務器120。通過參考圖2可以最佳地理解訪問160允許這樣的安全訪問的方式,圖2描述了隨時間在移動無線通信設備之間發(fā)生的相互作用的序列,所述移動無線通信設備即移動終端140n、公共WLAN124、本地網(wǎng)絡服務器120、和驗證服務器150n。當配置IEEE 802.x1協(xié)議時,圖1的接入點130n保留受控端口和不受控端口,通過所述端口,接入點與移動終端140-n交換信息。由接入點130n保留的受控端口用作諸如數(shù)據(jù)業(yè)務的非驗證信息通過WLAN124和移動終端140-n之間的接入點的入口通道。通常,接入點130-n根據(jù)IEEE 802.1x協(xié)議保持各個受控端口關閉,直至移動無線通信設備的驗證。接入點130-n總是保持各個不受控端口打開,以允許移動終端140-n與驗證服務器150n交換驗證數(shù)據(jù)。
參見圖2,根據(jù)本發(fā)明用于改善WLAN 124中的移動終端140n的安全性的方法通常通過重定向210一個HTTP瀏覽器請求205、在HTTP請求205中嵌入會話ID 215、并在驗證服務器150n中使用這樣的會話ID 215匹配兩個HTTP會話來實現(xiàn)。
更具體地,本發(fā)明的方法通過在(URL)中嵌入會話ID 215來處理來自移動終端140n經(jīng)過WLAN124、接入點130n的訪問請求(來自移動終端140n的網(wǎng)絡請求205)。
參見圖2,根據(jù)本發(fā)明用于改善WLAN環(huán)境124中的移動終端140n的安全性的方法重定向220瀏覽器請求至本地網(wǎng)絡服務器120的。本地服務器120獲得與移動終端140n相關的MAC地址138n、生成會話ID 215、并存儲與MAC地址138n和會話ID 215相關的映射。WLAN 124保持會話ID 215與移動終端140n的MAC地址138n之間的映射。本地服務器120生成網(wǎng)頁,其請求移動終端140n的用戶選擇虛擬運營商,從而選擇適當?shù)尿炞C服務器150n、并將會話ID 215嵌入在網(wǎng)頁237中以用于傳輸。本地服務器120還返回230具有嵌入在URL地址中的相關會話ID 215的MAC地址138n。
移動終端通過嵌入與提交按鈕有關的URL來響應,以開始與驗證服務器150的HTTPS會話,從而WLAN 124通過HTTPS向驗證服務器150n發(fā)送具有嵌入在請求中的會話ID 215的驗證請求240。之后,驗證服務器150n處理會話ID 215,并經(jīng)由WLAN 124傳送給接入點130n,會話ID 215確認250驗證成功。所述處理還包括步驟通過接入點接收與會話ID 215相關的MAC地址及一個或多個改變至訪問控制濾波器,從而允許具有將由移動終端140n接收的MAC地址的所有通信。上述處理允許加密接入點130n和移動終端140n之間的通信,以確保更加安全的訪問控制。
當接入點130n和驗證服務器150n通過防火墻122或NAT服務器相分離時,驗證服務器150n不能直接與接入點1301-n通信。這一問題能夠通過使接入點130n首先聯(lián)系驗證服務器150n以建立通信環(huán)境來解決。當接入點130n檢測到移動終端1401-n之一開始與驗證服務器150n的通信時,相關接入點130n向驗證服務器150n發(fā)送關于相關會話ID 215的消息,用于指示驗證服務器150n向哪里返回對該會話的驗證結果。
接入點130n在與驗證服務器150n建立聯(lián)系時具有若干可選項。例如,其可以利用HTTPS,并具有接入點130n與驗證服務器150n利用現(xiàn)有的協(xié)議以便相互驗證并保證它們之間的通信的附加的好處。這一方法中的一個缺點在于經(jīng)由電信控制協(xié)議(TCP)執(zhí)行HTTPS,從而要求TCP連接保持打開,直到移動終端140n被驗證。這可能將資源放入接入點130n的隊列。
例如,另一個可選方法是對于接入點130n與驗證服務器150n之間的通信利用RADIUS協(xié)議,該協(xié)議是基于UDP的。這一方法的好處在于在驗證移動終端140n時,不需要在接入點130n與驗證服務器150n之間保持連接。這一方法不能在所有的防火墻122配置中工作,因為特定的防火墻僅允許HTTP、HTTPS、FTP和TELNET通過。
應當理解,所示出的本發(fā)明的形式僅僅是優(yōu)選的實施例。在不背離如隨后的權利要求所定義的本發(fā)明的精神和范圍的情況下,可以對各部件的功能和結構進行各種變化;可以用等價器件替換圖示和描述的那些器件;并且某些特征能夠獨立于其它特征而使用。
權利要求
1.一種用于控制對無線局域網(wǎng)WLAN的訪問的方法,包括步驟從放置在WLAN的覆蓋范圍內的移動終端接收訪問該WLAN的請求;將會話ID與和移動終端有關的標識符相關聯(lián),并且存儲將會話ID映射至與移動終端有關的標識符的數(shù)據(jù);將包括會話ID的驗證請求發(fā)送至適當?shù)尿炞C服務器;從適當?shù)尿炞C服務器接收包括有與移動終端相關的會話ID的驗證消息;響應于所存儲的映射數(shù)據(jù)將接收到的驗證消息與移動終端相關;和響應于接收到的驗證消息控制移動終端對WLAN的訪問。
2.如權利要求1所述的方法,其中所述將會話ID與和移動終端有關的標識符相關聯(lián)的步驟包括將會話ID與移動終端的MAC地址相關聯(lián),并存儲將會話ID映射至移動終端的MAC地址的數(shù)據(jù)。
3.如權利要求1所述的方法,其中所述將會話ID與和移動終端有關的標識符相關聯(lián)的步驟包括將會話ID與和移動終端有關的IP地址相關聯(lián),并存儲將會話ID映射至與移動終端有關的IP地址的數(shù)據(jù)。
4.如權利要求1所述的方法,還包括步驟將會話ID發(fā)送至移動終端;從移動終端接收在其中嵌入有會話ID的驗證請求;和將接收的驗證請求發(fā)送至適當?shù)尿炞C服務器。
5.如權利要求4所述的方法,其中第一個發(fā)送步驟包括生成網(wǎng)頁,其請求移動終端選擇適當?shù)尿炞C服務器,將會話ID嵌入在該網(wǎng)頁中,和將該網(wǎng)頁發(fā)送至移動終端。
6.如權利要求5所述的方法,其中所述會話ID嵌入在與提交按鈕相關的全球資源定位符(URL)中,用于開始一個HTTPS會話。
7.如權利要求6所述的方法,還包括步驟當在移動終端和驗證服務器之間開始HTTPS會話時,在WLAN和驗證服務器之間建立通信環(huán)境,由此驗證服務器將驗證消息發(fā)送至WLAN。
8.一種用于控制對無線局域網(wǎng)WLAN的訪問的方法,包括步驟在與WLAN相關的接入點中,從放置在WLAN的覆蓋范圍內的移動終端接收訪問該WLAN的請求;重定向所述請求至與WLAN相關的本地服務器,該本地服務器將會話ID與和移動終端有關的標識符相關聯(lián),并且存儲將會話ID映射至與移動終端有關的標識符的數(shù)據(jù);將包括會話ID的驗證請求發(fā)送至適當?shù)尿炞C服務器;在本地服務器中,從適當?shù)尿炞C服務器接收包括有與移動終端相關的會話ID的驗證消息;在本地服務器中,響應于所存儲的映射數(shù)據(jù)將接收到的驗證消息與移動終端相關;和響應于接收到的驗證消息控制移動終端對WLAN的訪問。
9.如權利要求8所述的方法,其中所述本地服務器將會話ID與移動終端的MAC地址相關聯(lián),并存儲將會話ID映射至移動終端的MAC地址的數(shù)據(jù)。
10.如權利要求8所述的方法,其中所述本地服務器將會話ID與和移動終端有關的IP地址相關聯(lián),并存儲將會話ID映射至與移動終端有關的IP地址的數(shù)據(jù)。
11.如權利要求8所述的方法,還包括步驟將會話ID發(fā)送至移動終端;從移動終端接收在其中嵌入有會話ID的驗證請求;和將接收的驗證請求發(fā)送至適當?shù)尿炞C服務器。
12.如權利要求11所述的方法,其中所述本地服務器生成網(wǎng)頁,其請求移動終端選擇適當?shù)尿炞C服務器,并將會話ID嵌入在發(fā)送至移動終端的該網(wǎng)頁中。
13.一種無線局域網(wǎng)WLAN,包括接入點,用于通過無線通信信道與多個移動終端之一進行通信;耦合至所述接入點的本地服務器;和耦合至所述接入點和本地服務器的器件,用于將WLAN耦合至外部通信網(wǎng)絡,所述外部通信網(wǎng)絡耦合至多個驗證服務器之一,其中響應于放置在WLAN的覆蓋范圍內的移動終端的訪問請求,本地服務器將會話ID與和請求移動終端有關的標識符相關聯(lián),并且存儲將會話ID映射至與請求移動終端有關的標識符的映射數(shù)據(jù),將包括會話ID的驗證請求發(fā)送至適當?shù)尿炞C服務器,將從適當?shù)尿炞C服務器接收到的驗證消息與請求移動終端相關;和響應于接收到的驗證消息控制移動終端對WLAN的訪問。
14.如權利要求13所述的WLAN,其中與請求移動終端相關的標識符對應于該請求移動終端的MAC地址。
15.如權利要求13所述的WIAN,其中與請求移動終端相關的標識符對應于與該請求移動終端相關的IP地址。
16.如權利要求13所述的WLAN,其中接入點將會話ID發(fā)送至移動終端,并從移動終端接收將被發(fā)送至驗證服務器的、在其中嵌入有會話ID的驗證請求。
17.如權利要求16所述的WLAN,其中本地服務器生成網(wǎng)頁,其請求移動終端選擇適當?shù)尿炞C服務器,并將會話ID嵌入在該網(wǎng)頁中,并且所述接入點將該網(wǎng)頁發(fā)送至移動終端。
18.如權利要求17所述的WIAN,其中本地服務器將所述會話ID嵌入在與提交按鈕相關的全球資源定位符(URL)中,用于開始一個HTTPS會話。
全文摘要
一種用于改善WLAN(124)環(huán)境中的移動終端的安全性的方法,該方法包括重定向瀏覽器請求,將會話標識(會話ID)嵌入在HTTP請求中,并在驗證服務器(150)中使用這樣的會話ID來匹配兩個HTTP會話。接入點(130)處理來自移動終端的網(wǎng)頁請求,以使得會話ID嵌入在全球資源定位符(URL)中。另外,在WLAN中保持這一會話ID與移動終端的MAC地址或IP地址之間的映射。當驗證服務器向接入點通知驗證結果時,該會話ID用于唯一地標識移動終端。所有這些操作對于移動終端(140)是透明的。
文檔編號H04L29/06GK1759558SQ200480006389
公開日2006年4月12日 申請日期2004年3月4日 優(yōu)先權日2003年3月10日
發(fā)明者張俊彪 申請人:湯姆森特許公司