專利名稱:支持多個(gè)虛擬操作員的公共無線局域網(wǎng)的會(huì)話密鑰管理的制作方法
技術(shù)領(lǐng)域:
本發(fā)明一般涉及網(wǎng)絡(luò)通信,具體涉及用于在支持第三方虛擬操作員的公共無線局域網(wǎng)(WLAN)環(huán)境中管理對(duì)會(huì)話密鑰的接入的機(jī)制。
背景技術(shù):
當(dāng)前的無線局域網(wǎng)(WLAN)認(rèn)證、授權(quán)和計(jì)費(fèi)(AAA)解決方案沒有對(duì)WLAN操作員提供保持與多個(gè)虛擬操作員的業(yè)務(wù)關(guān)系的足夠支持,具體上是相對(duì)于用于WLAN接入的會(huì)話密鑰的管理。不能正確地控制和管理會(huì)話密鑰會(huì)導(dǎo)致可能的安全和管理問題。
WLAN正在被越來越多地部署在諸如旅館、飛機(jī)場(chǎng)和快餐店的熱點(diǎn)中。一種健全的和有效的AAA(認(rèn)證、授權(quán)和計(jì)費(fèi))解決方案對(duì)于使能安全的公共無線LAN接入很重要。具體上,這樣的AAA解決方案應(yīng)當(dāng)能夠支持虛擬操作員概念,其中,諸如ISP、蜂窩操作員和預(yù)付卡提供者的第三方提供者向公共WLAN和無線用戶提供AAA服務(wù)。以這種方式,無線用戶不必每次他們?nèi)ゲ煌臒狳c(diǎn)時(shí)打開帳戶或通過信用卡支付;相反,他們可以使用現(xiàn)有的ISP帳戶、蜂窩帳戶或在任何地方購買的預(yù)付卡來獲得對(duì)于公共WLAN的接入。這可以大大地增加WLAN操作員以及第三方虛擬操作員的商業(yè)機(jī)會(huì)。但是,當(dāng)前的無線LAN接入方案全部被設(shè)計(jì)用于其中僅僅使用單個(gè)認(rèn)證服務(wù)器的本地配置中,諸如聯(lián)合環(huán)境。例如,IEEE 802.11標(biāo)準(zhǔn)組織選擇IEEE 802.1x來作為WLAN接入控制的解決方案,并且當(dāng)前的使用模式使用認(rèn)證服務(wù)器來控制會(huì)話密鑰分配。當(dāng)這對(duì)于聯(lián)合環(huán)境等足夠時(shí),在可以共存屬于不同的商業(yè)實(shí)體的多個(gè)認(rèn)證服務(wù)器的公共熱點(diǎn)中存在一定的問題。如果完全可能的話,對(duì)于這些認(rèn)證服務(wù)器很難協(xié)調(diào)接入點(diǎn)的密鑰分配。
現(xiàn)在說明當(dāng)前的密鑰分配。在一種情況下,在公共WLAN熱點(diǎn)中的移動(dòng)用戶與WLAN接入點(diǎn)沒有預(yù)先的信任關(guān)系。用戶意欲使用第三方服務(wù)提供者(例如因特網(wǎng)服務(wù)提供商(ISP))來作為信任橋接實(shí)體。服務(wù)提供商可以被稱為虛擬操作員。用戶與這個(gè)虛擬操作員保持一個(gè)帳戶,所述虛擬操作員與WLAN操作員具有業(yè)務(wù)關(guān)系。因?yàn)橛脩襞c虛擬操作員具有已經(jīng)建立的信任關(guān)系,因此她能夠以安全的方式向虛擬操作員認(rèn)證她本身。虛擬操作員然后安全地向用戶以及WLAN接入點(diǎn)發(fā)送會(huì)話密鑰(因?yàn)樘摂M操作員也與WLAN具有信任關(guān)系)。因?yàn)檫@個(gè)共享的會(huì)話密鑰,無線LAN于是知道用戶被授權(quán)來接入網(wǎng)絡(luò),因此準(zhǔn)許用戶接入。注意,在這個(gè)方案中,虛擬操作員分配會(huì)話密鑰,因?yàn)樗c用戶和WLAN都具有信任關(guān)系。
會(huì)話密鑰用于本地接入,應(yīng)當(dāng)對(duì)于WLAN接入點(diǎn)是本地的,例如被接入點(diǎn)分配和保持。當(dāng)存在多個(gè)虛擬操作員時(shí),上述的密鑰管理方案在至少兩個(gè)區(qū)域有問題。首先,對(duì)于虛擬操作員,經(jīng)常有的問題是對(duì)于術(shù)語不同實(shí)體的成千上萬的接入點(diǎn)分配和管理會(huì)話密鑰,即,對(duì)于不同類型的接入點(diǎn)提供不同的加密算法和密鑰長(zhǎng)度。其次,對(duì)于接入點(diǎn),可能難于保證多個(gè)虛擬操作員以一致的方式來分配會(huì)話密鑰,例如,必須保證兩個(gè)用戶不同時(shí)使用由兩個(gè)不同的虛擬操作員分配的相同密鑰。
主要困難是接入點(diǎn)不與無線用戶共享秘密,因此從接入點(diǎn)向用戶直接發(fā)送會(huì)話密鑰是不安全的。對(duì)于這個(gè)問題的解決方案是虛擬操作員在成功的用戶認(rèn)證后向接入點(diǎn)(AP)通知用戶的公共密鑰。AP然后使用用戶的公共密鑰來加密會(huì)話密鑰,然后向用戶發(fā)送結(jié)果。因?yàn)閮H僅那個(gè)特定的用戶能夠使用她的對(duì)應(yīng)私有密鑰來解密會(huì)話密鑰,因此可以在AP和無線用戶之間能安全地建立會(huì)話密鑰。但是,這個(gè)方案需要使用公共/私有密鑰,它們可能與在無線用戶和認(rèn)證服務(wù)器之間的實(shí)際的認(rèn)證方法不兼容。有可能用戶需要保存兩種不同類型的密鑰(用于解密會(huì)話密鑰的私有密鑰和用于使用認(rèn)證服務(wù)器認(rèn)證的密碼類型密鑰)。這不僅增加客戶機(jī)軟件的復(fù)雜性,而且增加了安全保存密鑰的困難。此外,這種方案不用正成為WLAN安全的標(biāo)準(zhǔn)IEEE 802.1x進(jìn)行工作。
因此,需要一種解決方案,其中密鑰被接入點(diǎn)本地分配和管理,并且,無線用戶能夠安全地獲得會(huì)話密鑰而沒有與接入點(diǎn)的預(yù)先信任關(guān)系。
發(fā)明內(nèi)容
本發(fā)明描述了一種有效的處理這個(gè)問題的機(jī)制。會(huì)話密鑰被WLAN本地分配和管理(因?yàn)檫@些密鑰用于本地接入控制),但是,它們可以安全地被分配到與它們對(duì)應(yīng)的虛擬操作員保持信任關(guān)系的無線用戶。
一種無線局域網(wǎng)的會(huì)話密鑰管理的方法,包括在接入點(diǎn)和虛擬操作員之間建立第一安全信道,并且從接入點(diǎn)向虛擬操作員建議會(huì)話密鑰。在虛擬操作員和用戶之間建立第二安全信道,并且由虛擬操作員發(fā)送會(huì)話密鑰,以使能在接入點(diǎn)和用戶之間的通信。
一種用于無線局域網(wǎng)的會(huì)話密鑰管理的系統(tǒng),包括接入點(diǎn),它在接入點(diǎn)和虛擬操作員之間建立第一安全信道。從接入點(diǎn)向虛擬操作員建議會(huì)話密鑰。虛擬操作員在用戶的認(rèn)證后,在虛擬操作員和用戶之間建立第二安全信道,虛擬操作員設(shè)置會(huì)話密鑰,以使能在接入點(diǎn)和用戶之間的通信。
根據(jù)現(xiàn)在參照附圖詳細(xì)說明的說明性實(shí)施例,本發(fā)明的優(yōu)點(diǎn)、特征和各種附加特點(diǎn)將會(huì)變得更加清楚,其中圖1是按照本發(fā)明的一個(gè)實(shí)施例的示例系統(tǒng);圖2是按照本發(fā)明的一個(gè)實(shí)施例的用于實(shí)現(xiàn)會(huì)話密鑰管理的方法的說明性步驟的流程圖;圖3是按照本發(fā)明的另一個(gè)實(shí)施例的、無線局域網(wǎng)的會(huì)話密鑰管理的另一種說明性方法的圖。
應(yīng)當(dāng)明白,附圖是為了圖解本發(fā)明的思想,而不必用于說明本發(fā)明的僅僅可能的配置。
具體實(shí)施例方式
本發(fā)明一般涉及網(wǎng)絡(luò)通信,具體涉及用于在支持第三方虛擬操作員的公共無線局域網(wǎng)(WLAN)環(huán)境中管理接入會(huì)話密鑰的機(jī)制。這樣的虛擬操作員可以包括因特網(wǎng)服務(wù)提供商(ISP)、蜂窩操作員或預(yù)付卡提供商。為了最大化收入來源,公共無線局域網(wǎng)(WLAN)可以與多個(gè)虛擬操作員保持業(yè)務(wù)關(guān)系。
應(yīng)當(dāng)明白,以WLAN系統(tǒng)來說明本發(fā)明,所述WLAN系統(tǒng)諸如符合IEEE802.11、Hiperlan 2和/或超寬帶標(biāo)準(zhǔn)的那些;但是,本發(fā)明范圍更寬,并且可以被應(yīng)用到用于其他通信系統(tǒng)的其他系統(tǒng)管理方案。另外,本發(fā)明可以被應(yīng)用到任何網(wǎng)絡(luò)系統(tǒng),包括電話、電纜、計(jì)算機(jī)(因特網(wǎng))、衛(wèi)星等。
現(xiàn)在具體詳細(xì)地參考附圖,其中在幾個(gè)視圖中類似的附圖標(biāo)記表示類似或相同的元件,首先參見圖1,公共無線局域網(wǎng)(WLAN)14包括WLAN熱點(diǎn)31的接入點(diǎn)30。WLAN 14可以使用例如IEEE 802.11和HIPERLAN2標(biāo)準(zhǔn)。WLAN 14可以包括在諸如因特網(wǎng)7的外部網(wǎng)絡(luò)之間的防火墻22。終端用戶或移動(dòng)單元40可以使用例如HTTPS通道或其他安全的信道64來通過因特網(wǎng)7從WLAN 14接入虛擬操作員62,如在此所述。
分散在蜂窩網(wǎng)絡(luò)的小區(qū)之間或之內(nèi)的是無線局域網(wǎng)14。按照本發(fā)明,從虛擬操作員62向用戶40發(fā)送會(huì)話密鑰60。虛擬操作員62可以包括因特網(wǎng)服務(wù)提供商(ISP),蜂窩操作員或預(yù)付卡提供商或其他實(shí)體,它們通過通信網(wǎng)絡(luò)提供服務(wù)。為了最大化收入來源,公共無線局域網(wǎng)(WLAN)可以與多個(gè)虛擬操作員保持業(yè)務(wù)關(guān)系。但是,在保持足夠的系統(tǒng)安全性的同時(shí),保持多個(gè)虛擬操作員很難。
因?yàn)樘摂M操作員62和用戶(MS 40)共享諸如安全信道的秘密或使用共享的信息段或代碼,因此可以通過在其間的安全信道64來發(fā)送密鑰60。但是,取代具有確定和保持會(huì)話密鑰60的虛擬操作員62,所述密鑰被WLAN接入點(diǎn)30選擇,然后向虛擬操作員提示。可以通過多種方法來選擇密鑰,包括例如隨機(jī)數(shù)量產(chǎn)生、從預(yù)存的多個(gè)密鑰選擇等。
參見圖2,用于實(shí)現(xiàn)本發(fā)明的實(shí)施例被說明性地描述如下。在方框102中,用戶(移動(dòng)終端(MT))在接入點(diǎn)(AP)30請(qǐng)求無線LAN接入,并且指定虛擬操作員(VO)62。在方框104,AP 30建立與虛擬操作員62的安全信道SC1。通過SC1在AP 30和虛擬操作員62之間進(jìn)行所有隨后的通信。在方框106,用戶與虛擬操作員62建立安全信道SC2,并且通過SC2用虛擬操作員認(rèn)證她自己。這可以包括將會(huì)話密鑰保存直到成功的用戶認(rèn)證。
在方框108,虛擬操作員在成功的用戶認(rèn)證后向AP 30通知結(jié)果,并且通過SC1向AP 30查詢會(huì)話密鑰60。如果會(huì)話密鑰被保存,則如果認(rèn)證不成功就去除它。在方框110,AP 30選擇會(huì)話密鑰60并且將其通過SC1向虛擬操作員62發(fā)送。在方框112,虛擬操作員通過SC2向用戶發(fā)送這個(gè)會(huì)話密鑰。在方框114,用戶和AP 30開始使用會(huì)話密鑰來用于在它們之間的后續(xù)通信(安全信道SC3)。
參見圖3,可以如圖所示進(jìn)一步將圖2所示的方法在速度和效率上進(jìn)行改善。取代在成功的認(rèn)證后使虛擬操作員詢問會(huì)話密鑰,AP 30就在建立SC1后提供建議的會(huì)話密鑰,并且在接入點(diǎn)30將此密鑰“保存”在存儲(chǔ)器24中。在成功的用戶認(rèn)證后,AP 30被虛擬操作員通知,并且對(duì)于SC3開始使用這個(gè)密鑰。在不成功的認(rèn)證的情況下(例如在用戶進(jìn)行一定數(shù)量的不成功嘗試后),也通知AP 30,并且從“保存”列表24中去除所述密鑰。這防止了拒絕服務(wù)的攻擊,其中攻擊者持續(xù)進(jìn)行不成功的認(rèn)證嘗試。如果AP沒被通知不成功的認(rèn)證,則所建議的密鑰將積累在AP的存儲(chǔ)器中。認(rèn)證步驟可以包括如下。
在步驟202,用戶在AP 30請(qǐng)求無線LAN接入,并且指定虛擬操作員62。在步驟204,AP 30與虛擬操作員62建立安全信道SC1。通過SC1在AP和虛擬操作員之間進(jìn)行所有隨后的通信。在步驟206,AP 30向虛擬操作員62發(fā)送所建議的會(huì)話密鑰,并且將這個(gè)密鑰“保存”。在步驟208,用戶與虛擬操作員62建立安全信道SC2,并且在方框209通過SC2用虛擬操作員62認(rèn)證她本身。在步驟210,虛擬操作員62向AP 30通知認(rèn)證結(jié)果,并且AP 30從所述“保存”列表去除所建議的密鑰。在方框212,在成功的認(rèn)證后,虛擬操作員62向用戶發(fā)送會(huì)話密鑰。在方框214,用戶和AP 30開始使用會(huì)話密鑰來用于在它們之間(安全信道SC3)的后續(xù)通信。
圖3的方法為什么更有效的原因是因?yàn)樗葓D2的方法節(jié)省了一個(gè)往返行程的通信時(shí)間,例如,虛擬操作員不必等待直到認(rèn)證結(jié)束,以向AP查詢會(huì)話密鑰,并且向用戶通知所述密鑰。雖然在步驟206中AP需要向虛擬操作員發(fā)送所建議的密鑰,但是這可以與步驟208并行進(jìn)行。因此,總的來說,避免了往返行程。在其他實(shí)施例中,可以伴隨步驟208順序地執(zhí)行步驟206。
應(yīng)當(dāng)明白,可以在移動(dòng)終端、接入點(diǎn)和/或蜂窩網(wǎng)絡(luò)中例如以各種形式的硬件、軟件、固件、專用處理器或其組合來實(shí)現(xiàn)本發(fā)明。最好,本發(fā)明實(shí)現(xiàn)為硬件和軟件的組合。而且,所述軟件最好實(shí)現(xiàn)為在程序存儲(chǔ)器上確實(shí)地包含的應(yīng)用程序。所述應(yīng)用程序可以被上載到包括任何適用的架構(gòu)的機(jī)器并且由其執(zhí)行。最好,在計(jì)算機(jī)平臺(tái)上實(shí)現(xiàn)所述機(jī)器,所述計(jì)算機(jī)平臺(tái)具有硬件,諸如一個(gè)或多個(gè)中央處理單元(CPU)、隨機(jī)存取存儲(chǔ)器(RAM)和輸入/輸出(I/O)接口。所述計(jì)算機(jī)平臺(tái)也包括操作系統(tǒng)和微指令代碼。在此所述的各種處理和功能可以或者是經(jīng)由操作系統(tǒng)執(zhí)行的微指令代碼的一部分或應(yīng)用程序的一部分(或其組合)。另外,各種其他的外圍器件可以連接到計(jì)算機(jī)平臺(tái),諸如附加的數(shù)據(jù)存儲(chǔ)器和打印設(shè)備。
還應(yīng)當(dāng)明白,因?yàn)楦綀D中所述的構(gòu)成系統(tǒng)部件和方法步驟的一些可以用軟件來實(shí)現(xiàn),因此在系統(tǒng)部件(或處理步驟)之間的實(shí)際連接可以根據(jù)本發(fā)明所編程的方式而不同。在此提供示教的情況下,在本領(lǐng)域的普通技術(shù)人員將能夠考慮本發(fā)明的這些和類似的實(shí)現(xiàn)方式或配置。
在已經(jīng)描述了支持多個(gè)虛擬操作員的公共無線局域網(wǎng)的會(huì)話密鑰管理的優(yōu)選實(shí)施例(它們意欲是說明性和非限定性的)的情況下,可以注意到,本領(lǐng)域的技術(shù)人員可以根據(jù)上述教程來進(jìn)行修改和改變。因此,應(yīng)當(dāng)明白,可以在由所附的權(quán)利要求概述的本發(fā)明的范圍和精神內(nèi)公開的本發(fā)明的特定實(shí)施例中進(jìn)行改變。在已經(jīng)以專利法所要求的詳細(xì)程度來描述了本發(fā)明的情況下,在所附的權(quán)利要求中給出了由專利證書要求保護(hù)和期望保護(hù)的內(nèi)容。
權(quán)利要求
1.一種用于管理會(huì)話密鑰的方法,所述會(huì)話密鑰用于使能在無線局域網(wǎng)(“WLAN”)的接入點(diǎn)和移動(dòng)終端之間的通信,所述方法包括步驟從移動(dòng)終端接收接入WLAN的請(qǐng)求;確定與接入請(qǐng)求相關(guān)聯(lián)的虛擬操作員;在接入點(diǎn)和虛擬操作員之間建立第一安全信道;經(jīng)由第一安全信道請(qǐng)求來自虛擬操作員的用戶認(rèn)證,其中,虛擬操作員經(jīng)由第二安全信道與移動(dòng)終端通信以認(rèn)證移動(dòng)終端;選擇會(huì)話密鑰,并且經(jīng)由第一安全信道向虛擬操作員發(fā)送會(huì)話密鑰,其中,虛擬操作員經(jīng)由第二安全信道向移動(dòng)終端發(fā)送會(huì)話密鑰;和使用會(huì)話密鑰與移動(dòng)終端通信。
2.按照權(quán)利要求1的方法,其中,與選擇和發(fā)送會(huì)話密鑰的步驟并行地執(zhí)行請(qǐng)求用戶認(rèn)證的步驟。
3.按照權(quán)利要求2的方法,其中,所述通信步驟包括在從虛擬操作員接收到用戶認(rèn)證成功的通知后,使用會(huì)話密鑰來與移動(dòng)終端通信。
3.按照權(quán)利要求2的方法,其中,選擇會(huì)話密鑰的步驟包括保存會(huì)話密鑰直到從虛擬操作員得到用戶認(rèn)證成功的通知,并且在得到通知時(shí),從保存中去除會(huì)話密鑰,并且向虛擬操作員發(fā)送會(huì)話密鑰。
4.按照權(quán)利要求3的方法,還包括步驟如果認(rèn)證成功,則從保存中去除會(huì)話密鑰。
5.按照權(quán)利要求1的方法,其中,僅僅接收到來自虛擬操作員的用戶認(rèn)證成功的通知后,執(zhí)行選擇會(huì)話密鑰和經(jīng)由第一安全信道向虛擬操作員發(fā)送會(huì)話密鑰的步驟。
6.按照權(quán)利要求1的方法,其中,虛擬操作員包括因特網(wǎng)服務(wù)提供商、蜂窩提供者和信用卡提供者之一。
7.一種用于管理會(huì)話密鑰的裝置,所述會(huì)話密鑰用于使能在無線局域網(wǎng)(“WLAN”)和移動(dòng)終端之間的通信,所述裝置包用于從移動(dòng)終端接收接入WLAN的請(qǐng)求的部件;用于確定與接入請(qǐng)求相關(guān)聯(lián)的虛擬操作員的部件;第一部件,用于經(jīng)由第一安全信道來與虛擬操作員通信,所述第一通信部件經(jīng)由第一安全信道從虛擬操作員請(qǐng)求用戶認(rèn)證,其中,虛擬操作員經(jīng)由第二安全信道與移動(dòng)終端通信以認(rèn)證移動(dòng)終端;用于選擇會(huì)話密鑰、并且經(jīng)由第一安全信道向虛擬操作員發(fā)送會(huì)話密鑰的、與第一通信部件耦合的部件,其中,虛擬操作員經(jīng)由第二安全信道向移動(dòng)終端發(fā)送會(huì)話密鑰;和第二部件,用于使用會(huì)話密鑰與移動(dòng)終端通信。
8.按照權(quán)利要求7的裝置,其中,第一通信部件與選擇部件選擇和發(fā)送會(huì)話密鑰并行地請(qǐng)求用戶認(rèn)證。
9.按照權(quán)利要求8的裝置,其中,第二通信部件在從虛擬操作員接收到用戶認(rèn)證成功的通知后,使用會(huì)話密鑰來與移動(dòng)終端通信。
10.按照權(quán)利要求9的裝置,其中,選擇部件保存會(huì)話密鑰直到從虛擬操作員得到用戶認(rèn)證成功的通知,并且在得到通知時(shí),從保存中去除會(huì)話密鑰,并且向虛擬操作員發(fā)送會(huì)話密鑰。
11.按照權(quán)利要求10的裝置,其中,如果認(rèn)證成功,則選擇部件從保存去除會(huì)話密鑰。
12.按照權(quán)利要求7的裝置,其中,僅僅接收到來自虛擬操作員的用戶認(rèn)證成功的通知后,執(zhí)行選擇會(huì)話密鑰和經(jīng)由第一安全信道向虛擬操作員發(fā)送會(huì)話密鑰的步驟。
13.按照權(quán)利要求7的裝置,其中,虛擬操作員包括因特網(wǎng)服務(wù)提供商、蜂窩提供者和信用卡提供者之一。
14.一種用于在無線局域網(wǎng)(WLAN)中控制移動(dòng)終端的方法,包括步驟發(fā)送接入WLAN的請(qǐng)求,所述請(qǐng)求包括用于識(shí)別相關(guān)聯(lián)的虛擬操作員的數(shù)據(jù);與虛擬操作員建立安全信道,用于執(zhí)行與接入請(qǐng)求相關(guān)聯(lián)的用戶認(rèn)證;在用戶認(rèn)證成功時(shí),經(jīng)由安全信道來接收會(huì)話密鑰,其中,虛擬操作員通過第二安全信道從WLAN接收會(huì)話密鑰;和使用會(huì)話密鑰來建立與WLAN的通信。
全文摘要
一種用于管理會(huì)話密鑰的方法和裝置,其用于使得移動(dòng)終端可以接入無線局域網(wǎng)(WLAN)。本發(fā)明提供了在接入點(diǎn)和虛擬操作員之間建立第一安全信道,并且從接入點(diǎn)向虛擬操作員建議會(huì)話密鑰。在虛擬操作員和用戶之間建立第二安全信道,并且在用戶認(rèn)證成功時(shí)經(jīng)由第二安全信道向用戶發(fā)送會(huì)話密鑰。移動(dòng)終端使用會(huì)話密鑰來接入WLAN。
文檔編號(hào)H04L29/06GK1685694SQ03823011
公開日2005年10月19日 申請(qǐng)日期2003年8月13日 優(yōu)先權(quán)日2002年8月14日
發(fā)明者張俊彪 申請(qǐng)人:湯姆森特許公司