CN1659909A - 无缝公共无线局域网用户认证 - Google Patents

Abstract

一个公共无线LAN(11)允许在设备认证之前通过部分打开接入点(181)内的被控端口从移动无线通信设备(121)接收非认证信息流，例如接入信息请求。无线LAN将在AP接收的来自移动无线通信设备的这样的非认证信息流转发到局域网服务器(21)。局域网服务器提供应答给移动无线通信设备，使设备确定是否请求接入。设备通过在AP接收的接入请求寻求接入。作为响应，AP将接入请求通过AP内的未被控端口转发到认证设备的接入服务器(26)。当设备认证成功时，AP完全打开其被控端口以允许通过该端口与移动通信设备交换信息流。

Description

无缝公共无线局域网用户认证

引用的相关申请

本申请是一个非临时申请，根据35 U.S.C.§119要求2002年5月13日提交的、标题为“无缝公共无线局域网用户认证”，申请序号为No.60/376,029的临时专利申请的优先权，该申请通过引用并入本文以作参考。

技术领域

本申请涉及用于认证公共无线局域网(LAN)内的移动无线通信设备的技术。

背景技术

无线LAN技术领域内的发展已经导致在休息处、咖啡馆、图书馆和类似公共场所出现公共接入无线LAN(例如，“热点”)。最近，公共无线LAN使移动无线通信设备用户能够接入专用数据网络，例如，公司内部互联网，或诸如因特网这样的公共数据网。实现和维护公共无线LAN的相对较低的成本以及可用的高带宽(常常超过10兆比特/秒)使得公共无线LAN成为这样的理想访问机制，即，用户能够通过公共无线LAN与外部实体交换分组数据。

当用户旅行进入一个公共无线LAN覆盖地区时，在准予网络接入之前公共无线LAN首先认证并授权该用户。在认证之后，公共无线LAN接入点(AP)向该移动无线通信设备开放一个安全数据信道以保护与该设备交换的数据的保密性。最近，很多无线LAN设备的制造商将IEEE 802.1x协议用于所配置的设备。因此，用于无线LAN的主要的认证机制都使用该标准。不幸的是，IEEE 802.1x协议是一个安全认证程序，但是该机制不允许设定网站浏览器内的有线定价保密(Wired Equivalent Privacy)(WEP)加密密钥。因此，在认证之后经无线LAN发送的数据是无保护的。

这样，需要一种允许根据IEEE 802.1x协议进行认证的公共无线LAN环境内使用的认证处理，这样保护交换数据保密性，同时提供定制的交互作用机制。

发明内容

简要地，根据本发明原理的一个优选实施例，提供一种用于认证公共无线LAN内的移动无线通信设备的用户的方法。在从移动无线通信设备接收非认证信息请求时，启动该方法，其中非认证信息可包括诸如接入花费这样的接入信息。响应这样的信息请求，公共无线LAN内的被控部分被部分开放以便使得非认证信息(例如，接入)请求经LAN传送到答复该请求信息的第一服务器。假定移动无线通信设备的用户发现第一服务器的回复所规定的接入期限(term)是可接受的，该用户向具有认证凭证的认证服务器发出接入请求。响应该接入请求，认证服务器认证该用户并通知公共无线LAN允许使用无线LAN业务。当成功认证时，公共无线LAN完全开放被控部分以允许与移动无线通信设备通过该被控部分进行数据交换。

附图说明

图1示出用于实施认证移动无线通信设备的用户的基本原理的方法的通信***的方框示意图；和

图2示出与认证图1的通信***中的移动无线通信设备的用户有关的事件的顺序的时序图。

具体实施方式

图1示出包括接入配置11的通信网络10的方框示意图，接入配置11使至少一个移动通信设备、最好多个移动通信设备(例如，移动通信设备12₁，和12₂)安全地接入一个外部数据源14，该外部数据源14采取诸如公共数据网络(例如，因特网)或专用数据网(例如，公司内部互联网)这样的网络15内的服务器的形式。在一个优选实施例，移动通信设备12₁包括一个膝上型计算机，该膝上型计算机包括无线调制解调器或无线网络接入卡，而移动通信设备12₂包括个人数据助理。接入配置11还可以服务于其他类型的移动通信设备(未示出)。

图1的接入配置11包括至少一个，最好多个接入点(AP)，例如AP可以是18₁-18₄，通过这些接入点移动无线通信设备12₁和12₂可以接入公共无线局域网(LAN)20。尽管被分别示出，接入点18₁-18₄组成公共无线LAN 20的一部分。在示出的实施例，诸如AP 18₁这样的每一个AP包括一个用于与每个移动无线通信设备内的无线电收发机(未示出)交换射频信号的无线收发机(未示出)。为此，AP 18₁-18₄的每一个都采用至少一个公知无线数据交换协议，例如IEEE 802.1x协议。

接入配置11还包括一个存储非认证信息的采用局域网服务器形式的服务器21。这样的非认证信息可以包括接入信息，例如包括用户花费的接入期限和条件。局域网服务器21使设备用户在不需要建立与公共无线LAN的实际通信对话的情况下就可以获得这样的非认证信息并由此进行认证。尽管被分开示出，局域网服务器21可以驻留在公共无线LAN 20内。

网卡22提供公共无线LAN 20和分组数据网络(PDN)24之间的通信路径，分组数据网络(PDN)24提供到网络15的链接。这样PDN 24就允许每个移动通信设备和数据源14之间的通信。PDN 24还将网卡22链接到认证服务器26。实际上，认证服务器26采取数据库的形式，该数据库包括关于对寻求接入无线LAN 20的***能够进行认证的信息。不是作为一个分开的独立实体而存在，认证服务器26可以驻留在公共无线LAN 20内。进一步，PDN 24提供公共无线LAN 20和计费机构(未示出)之间的链接以方便计费设备用户接入公共无线LAN。如同认证服务器24一样，计费机构的功能可以驻留在公共无线LAN 20内。

在实际建立与公共无线LAN 20的实际认证通信会话的之前，设备用户可能希望获得确定的非认证信息，例如，接入期限和条件、以及花费。在此之前，在不建立认证的通信会话的情况下，设备用户不能从其接入点(AP)采用IEEE 802.1x协议的公共无线LAN获得非认证信息。本发明的接入配置11通过在实际建立认证通信会话之前建立与公共无线LAN 20的受限连接以获得包括接入信息的非认证信息来克服该缺点。

图2示出在移动无线通信设备(例如设备12₁、公共无线LAN 20、局域网服务器21、和认证服务器26)之间在时间上发生的以实现希望的安全接入同时在未认证情况下允许特定信息接收的交互作用的顺序。参照图2，在实际建立认证通信会话之前，移动无线通信设备12₁的用户可以通过在步骤102首先运行HTTP信息请求来获得非认证信息。信息请求最初在AP中的一个，例如图1的AP 18₁被接收。当配置IEEE 802.1x协议时，图1的AP 18₁维护一个被控端口和一个未被控端口，通过这些端口AP可以与移动无线通信设备12₁交换信息。由AP 18₁维护的被控端口用作非认证信息的入口通道以使公共无线LAN 20和移动无线通信设备12₁之间的AP通过。一般地，AP 18₁根据IEEE 802.1x协议保持其被控端口关闭直到移动无线通信设备认证为止。AP 18₁一直保持未被控端口打开以允许移动无线通信设备12₁与认证服务器(例如，服务器26)交换认证数据。

在没有根据本发明原理的认证的情况下，为允许移动无线通信设备12₁获得非认证信息，尤其是接入信息，在接收非认证信息请求之后，公共无线LAN 20使每个AP，例如图1的AP 18₁，部分打开其被控接入端口。在步骤104，部分打开AP 18₁中的被控端口使得通过被控端口接收这样的公共无线LAN 20内的非认证信息请求。在接收到信息请求时，在步骤106公共无线LAN 20将该请求改发到局域网服务器21。在步骤106，不管在步骤102初始产生的信息请求中指定的目的地如何，公共无线LAN 20总是将请求发送到图1的网络服务器21。在步骤108，网络服务器21通过将请求信息(例如，接入期限和条件以及认证服务器26的域名)提供给请求移动无线通信设备12₁来响应该信息请求。假定设备用户发现期限和条件是可接受的(或用户谈判得到可接受的期限和条件)，在步骤110移动无线通信设备12₁将接受消息发送给AP 18₁。接受消息通过其名字或URL来识别认证服务器26。如果与网络服务器21通信的接入期限和条件与该设备内存储的预定接入标准匹配，移动无线通信设备12₁将自动发送该接受消息。在不匹配的情况下，用户可能需要启动接受消息的发送。

在接收到接受消息时，在步骤112，AP 18₁请求移动无线通信设备12₁识别其本身。假定移动无线通信设备12₁使用本领域公知的扩展认证协议(EAP)，AP 18₁将通过EAP身份请求来寻求设备识别信息。在步骤114，响应该EAP身份请求，移动无线通信设备12₁将EAP身份响应发送给AP 18₁，在步骤116，在认证服务器26经公共无线通信LAN 20转发并接收该身份响应。

作为识别设备过程的一部分，公共无线LAN 20一般检查设备用户是否与服务无线LAN 20的计费机构有关系。如果用户有关系，则用户不用再做任何事情，因为计费机构将负责接入收费。在用户与计费机构没有关系的情况下，用户需要建立这种关系。在用户同意下，无线LAN 20可以寻求动态建立这种关系。

在接收到EAP身份响应时，在步骤118，AP 18₁通过未被控端口将EAP身份响应发送到认证服务器26。在步骤120认证服务器26通过将EAP认证请求发送给AP 18₁来回复EAP身份响应，在步骤122，EAP认证请求经AP 18₁被顺序发送到移动无线通信设备12₁。在步骤124，移动无线通信设备12₁回复经AP 18₁的未被控端口接收的EAP认证响应。顺序地，在步骤126，AP18₁将EAP认证响应转发给认证服务器26。

当移动无线通信设备12₁成功认证时，在步骤128，认证服务器26产生EAP认证成功消息作为AP 18₁的收据。按顺序，在步骤130，AP 18₁设定认证密钥，一般是有线定价保密(WEP)加密密钥，以用于传输到移动无线通信设备12₁。最后，AP 18₁完全打开其被控端口以允许通过该被控端口进行与移动无线通信设备的信息流交换。

上面描述了一种用于认证公共无线LAN内的移动无线通信设备的技术，在实际建立与公共无线LAN的通信会话之前，该公共无线LAN提供设备用户接收非认证信息的机会。

Claims (14)

1.一种用于认证公共无线局域网(LAN)内的移动无线通信设备的方法，包括步骤：

接收非认证信息请求；

部分打开被控端口，通过该被控端口信息请求被发送到第一服务器，第一服务器通过将应答提供给移动无线通信设备进行响应；

接收一个接入请求；

通过未被控端口认证移动无线通信设备；和

完全打开被控端口以允许通过该被控端口进行与移动无线通信设备的信息流交换。

2.如权利要求1所述的方法，其中非认证信息请求被发送到第一服务器，与请求中指定的目的地无关。

3.如权利要求所述的方法，其中认证步骤包括步骤：

响应对移动无线通信设备的应答从移动无线通信设备接收接受信息；

将用户识别请求发送到移动无线通信设备；

响应用户识别请求从移动无线通信设备接收用户识别响应；和

将用户识别响应转发到认证服务器。

4.如权利要求3所述的方法，其中发送用户识别请求的步骤包括发送扩展认证协议(EAP)请求的步骤。

5.如权利要求4所述的方法，其中接收用户识别响应的步骤包括接收EAP识别响应的步骤。

6.如权利要求1所述的方法，进一步包括在认证之后设定认证密钥的步骤。

7.如权利要求6所述的方法，其中设定认证密钥的步骤包括设定有线定价保密(WEP)加密密钥的步骤。

8.一种用于认证移动无线通信设备的通信网络，包括：

第一服务器，用于存储非认证信息；

第二服务器，用于认证移动无线通信设备；

至少一个接入点(AP)，具有(a)被控端口，经该被控端口AP部分打开以响应从移动无线通信设备接收的非认证信息请求并将该信息请求转发给通过移动无线通信设备发送接收的应答的第一服务器，和具有(b)非被控端口，经该非被控端口AP将从移动无线通信设备接收的认证信息流发送给与移动无线通信设备交换认证信息流的第二服务器；

公共无线局域网(LAN)，耦合到一个AP和所述的第一以及第二服务器。

9.如权利要求8所述的***，其中AP使用符合IEEE 802.1x的通信协议。

10.如权利要求8所述的***，其中存储在第一服务器的信息包括接入花费。

11.如权利要求8所述的***，其中第二服务器根据扩展认证协议(EAP)认证移动无线通信设备。

12.如权利要求8所述的***，其中在一个AP接收的认证信息流包括认证服务器的识别信息。

13.一种接入点(AP)，包括：

(a)被控端口，经该被控端口AP部分打开以响应从移动无线通信设备接收的非认证信息请求并将该信息请求转发给通过移动无线通信设备发送接收应答的第一服务器；和

(b)非被控端口，经该非被控端口AP将从移动无线通信设备接收的认证信息流发送给与移动无线通信设备交换认证信息流的第二服务器。

14.如权利要求13所述的接入点，其中AP使用符合IEEE 802.1x的通信协议。

Images