專利名稱：用于wlan會話控制的方法和網(wǎng)絡的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及在基于WLAN的網(wǎng)絡中提供會話控制的領(lǐng)域。更具體而言，本發(fā)明涉及一種用于在基于RADIUS的網(wǎng)絡中進行會話控制的方法。本發(fā)明可能有利地被用于在預付費WLAN解決方案中及時提供用戶信息。
背景技術(shù)：
無線LAN(WLAN)，并且特別是基于IEEE 802.11標準的WLAN近幾年已經(jīng)受到極大的注意。WLAN被用于家庭和企業(yè)環(huán)境。WLAN已經(jīng)同樣變?yōu)榭捎糜诠矆鏊?，即所謂的熱點地區(qū)，例如咖啡店，機場等等的WLAN用戶。為了投資這些熱點，WLAN基礎(chǔ)結(jié)構(gòu)的所有人，諸如服務提供者必須控制對WLAN的接入，以便對顧客收取使用費。
熱點典型地具有許多接入點(AP)和一個或者多個接入服務器，在這里被稱為無線服務節(jié)點(WSN)和鑒權(quán)服務器(AS)，正如在圖1中所舉例說明的。WSN的功能性還可以和每一個AP結(jié)合起來。AS不必位于熱點的網(wǎng)絡，但是能夠被服務提供者定位在中心或者因特網(wǎng)的某處。
目前最常見的解決方案是由WSN來完成接入控制和計費數(shù)據(jù)的收集。這種解決方案已經(jīng)在圖2中用示意圖進行了舉例說明。當開始接入控制時AP僅僅是通過(pass-through)設(shè)備。用戶利用UE(用戶設(shè)備)和WSN之間的HTTP(超級文本傳輸協(xié)議)網(wǎng)接口登錄到該系統(tǒng)。UE和WSN之間的HTTP業(yè)務典型地由SSL(安全套接層)進行密碼保護。為了驗證從UE接收的證書，WSN(無線服務節(jié)點)典型地具有與鑒權(quán)服務器(AS)通信的RADIUS客戶。
在圖4中，示出了用戶首先連接到圖2的熱點接入點配置，并隨后用完信用的示范性過程，由此授權(quán)借助于″網(wǎng)登錄″(HTTP)變得更為方便。
這些步驟將在這里進行簡短地描述。在步驟21-27，示出了站STA1鑒權(quán)其本身并且隨后被接入點AP1以關(guān)聯(lián)需要接受的眾所周知的步驟。在步驟50，站的用戶打開網(wǎng)瀏覽器，并且轉(zhuǎn)發(fā)HTTP Get請求53。所請求的網(wǎng)地址(URL)不必指向網(wǎng)關(guān)節(jié)點WSN，因為WSN能夠截取和重定向該請求。網(wǎng)關(guān)節(jié)點通過發(fā)出HTTP登錄頁面55進行響應。用戶然后鍵入他的名字和口令57，并且轉(zhuǎn)發(fā)這個信息到網(wǎng)關(guān)節(jié)點WSN。當接受時，網(wǎng)關(guān)提供HTTP會話窗口61，將啟動計費消息發(fā)給鑒權(quán)服務器AS63，并且打開去往/來自站的業(yè)務65。
在某個后期階段，用戶可能用完信用。這能夠以不同的方法進行檢測。該網(wǎng)關(guān)例如能夠周期性地向鑒權(quán)服務器進行報告，鑒權(quán)服務器用于檢測賬戶為空53。作為選擇，AS，或者其它的網(wǎng)絡節(jié)點能夠具有一個定時器，用于當會話將結(jié)束時進行檢測。HTTP鎖定消息67可能被發(fā)布到移動臺。隨后，鑒權(quán)服務器發(fā)出鎖定請求69，于是網(wǎng)關(guān)節(jié)點鎖定站71。
最近，一種用于在擴大的安全等級完成接入控制的新方法已經(jīng)在IEEE802.11i標準化任務組下以及別處引入，其表示為IEEE802.1X。依據(jù)這種如圖3所示的方法，在AP完成接入控制。為了這個目的，AP典型地具有與AS談話的RADIUS客戶。UE和AS利用可擴展的鑒權(quán)協(xié)議(EAP)進行通信。WSN可能還被用于提供各種服務，例如收集計費數(shù)據(jù)，強制執(zhí)行用戶分布圖等等。
當UE移動時，它可以離開一個AP(″先前的″AP)的無線電覆蓋區(qū)域，并且移動到另一個AP(″后續(xù)的″AP)的覆蓋區(qū)域。在這種情況下，UE不得不進行從先前的AP到后續(xù)的AP的越區(qū)切換。IEEE802.11標準提供了一種為了進行這個越區(qū)切換的方法。特別地，支持802.11所定義的與后續(xù)的AP的關(guān)聯(lián)，但是沒有辦法告訴先前的AP該UE已經(jīng)移動到另一個AP。先前的AP不得不通過隱含的表示，例如基于超時來發(fā)現(xiàn)UE不再位于它的小區(qū)。
為了補救這個問題，已經(jīng)根據(jù)802.11F識別了一種新的操作規(guī)程建議，其指定了AP之間的協(xié)議(IAPP)。這個協(xié)議的目的在于引入一種用于AP的標準化方法，用于當UE關(guān)聯(lián)或者進行越區(qū)切換時進行通信。根據(jù)IAPP，″后續(xù)的″AP能夠發(fā)送IAPP消息到″先前的″AP，并且讓它知道UE現(xiàn)在與″后續(xù)的″AP相關(guān)聯(lián)。″先前的″AP能因此從它的存儲器中刪除該UE?！逑惹暗摹錋P在該點還根據(jù)802.11F將802.11分離消息發(fā)送到UE。此外，IAPP促進在AP之間的密碼保護信息的傳送。
在圖5中，示范性的握手圖(handshake diagram)舉例說明了用戶利用RADIUS和802.1X鑒權(quán)和802.11F接近并連接熱點接入點并隨后移動到熱點網(wǎng)絡內(nèi)的另一個AP的過程，該網(wǎng)絡被配置成圖1中那樣。
在站STA1到達AP1附近之后，在步驟21-27完成傳統(tǒng)的802.11鑒權(quán)和關(guān)聯(lián)步驟。隨后，在鑒權(quán)服務器AS之前啟動802.1X鑒權(quán)程序。AP發(fā)出請求ID29，并且站進行響應31。接入點AP1發(fā)送RADIUS接入請求331和有關(guān)用戶身份的信息到鑒權(quán)服務器AS。然后繼續(xù)EAP消息交換35，以完成鑒權(quán)。這個交換的細節(jié)取決于鑒權(quán)方法的使用。在這里，舉例來說，選擇EAP。如果鑒權(quán)成功，AS發(fā)送RADIUS接入接受37，并且AP將成功39發(fā)射到站，同時AP打開用于所述的站的業(yè)務40。網(wǎng)關(guān)節(jié)點WSN通過它啟動有關(guān)該站的業(yè)務的收費41。
如果該站移動到AP2的入口，在步驟43-46完成鑒權(quán)和再關(guān)聯(lián)的802.11傳統(tǒng)步驟。根據(jù)IAPP協(xié)議，AP2發(fā)出IAPP移動消息47到AP1，其以IAPP移動確認信息49進行響應，其可以在站STA1和鑒權(quán)服務器AS之間包括一個包含例如有關(guān)鑒權(quán)的證書在內(nèi)的上下文。最終，AP1可以根據(jù)802.11F發(fā)出分離消息51到AP1，現(xiàn)在通知其能夠取消有關(guān)STA1的信息。
一些AP供應商已經(jīng)實施了有關(guān)IAPP的(非標準化)功能如果層-2的幀出現(xiàn)在(先前的)具有作為源地址的UE的MAC地址的AP的有線網(wǎng)絡側(cè)，AP獲悉UE必須被關(guān)聯(lián)到其它的(后續(xù)的)AP。先前的AP能因此從它的存儲器刪除該UE，并且將分離消息發(fā)射到UE。
在很多情況下，可能希望結(jié)束正在進行的來自WSN或者其它的不是AP的節(jié)點的會話，例如如果用戶具有用完信用的預付費賬戶。另一個方案是用戶已經(jīng)空閑很長時間，例如如果他/她已經(jīng)離開無人管理的熱點的膝上計算機。在這種情況下，WSN可以想要迫使UE完成再鑒權(quán)。如果在WSN完成接入控制，例如如果使用網(wǎng)登錄，WSN能夠容易地結(jié)束有效的會話和/或迫使再鑒權(quán)。
如果系統(tǒng)正在運行802.1X，情況有所不同。在這種情況下，在AP完成接入控制，對于WSN，沒有用于告訴AP結(jié)束有效會話或者迫使再鑒權(quán)的標準化的方法。特別地，RADIUS沒有被WSN或者其他的實體用于例如結(jié)束會話或者啟動新的鑒權(quán)的啟動服務器消息。
WSN僅僅阻擋所有去往/來自用戶的業(yè)務的解決方案是沒有用的，因為用戶不能發(fā)現(xiàn)他/她為什么沒有接入因特網(wǎng)。在沒有WSN的方案中，甚至不可能阻擋來自所述的UE的業(yè)務。
一種可能的解決方案是WSN等待下一個再鑒權(quán)。隨后，AS可以拒絕再鑒權(quán)嘗試。此外，因為來自AP中的RADIUS客戶的RADIUS消息將經(jīng)過WSN，WSN能夠確定鑒權(quán)被拒絕。無論如何會話將結(jié)束。采用這種解決方案的缺點在于再鑒權(quán)之間的時間可能很長(默認的802.1X再鑒權(quán)時間間隔是一小時)。WSN將由此具有非常脆弱的會話控制。
另一種可能性是執(zhí)行AP和WSN之間的用于會話控制的專有協(xié)議。采用這種解決方案的缺點在于僅僅某一類型的AP能連同WSN一起被使用。
第三種可能性是使用DIAMETER作為鑒權(quán)協(xié)議來代替RADIUS，因為DIAMETER具有可用于結(jié)束會話的服務器啟動消息。然而，RADIUS是當今供應商的唯一優(yōu)選的解決方案，本發(fā)明的發(fā)明人知道沒有具有DIAMETER支持的AP。

發(fā)明內(nèi)容
本發(fā)明的第一個目的在于給出一種用于控制一個站以終止其接入到給定的AP的網(wǎng)絡。
通過在權(quán)利要求1中所闡述的主題，已經(jīng)達到這個目的。
進一步的目的在于給出一種接入控制節(jié)點，用于控制一個站以終止其接入到給定的AP。
通過在權(quán)利要求7中所闡述的主題，已經(jīng)達到這個目的。
更進一步的目的在于給出一種方法，用于控制一個站以終止其接入到給定的AP。
通過在權(quán)利要求9中所闡述的主題，已經(jīng)達到這個目的。
更進一步的優(yōu)點將出現(xiàn)在本發(fā)明的詳細說明中。


圖1示出一個熱點網(wǎng)絡，具有許多接入點(AP)和一個或者多個接入服務器，在這里被稱為WLAN服務節(jié)點(WSN)和接入服務器(AS)，圖2示出一個現(xiàn)有技術(shù)的網(wǎng)絡，其中由網(wǎng)關(guān)節(jié)點(WSN)完成接入控制和計費數(shù)據(jù)收集，圖3示出一種現(xiàn)有技術(shù)方法，表示為IEEE802.1X，用于在例如IEEE802.11i標準化任務組和Wi-Fi保護的接入下完成在擴大的安全等級的接入控制，圖4示出一種示范性的現(xiàn)有技術(shù)的過程，其中用戶首先連接到圖2的熱點接入點配置，隨后用完信用，由此授權(quán)借助于″網(wǎng)登錄″(HTTP)變得更為方便，圖5是一個示范性的現(xiàn)有技術(shù)的握手圖，舉例說明了用戶接近并連接熱點接入點并且隨后移動到熱點網(wǎng)絡內(nèi)的另一個AP的方法，該網(wǎng)絡利用RADIUS，802.1X鑒權(quán)和IAPP被配置成圖1中那樣，圖6是一個根據(jù)本發(fā)明的實施例的握手圖，具有類似圖1中示出的現(xiàn)有技術(shù)網(wǎng)絡的網(wǎng)絡拓撲結(jié)構(gòu)，圖7是一個根據(jù)本發(fā)明第二實施例的握手圖，圖8是一個根據(jù)本發(fā)明第三實施例的握手圖，圖9是一個根據(jù)本發(fā)明第四實施例的握手圖，以及圖10是一個關(guān)于本發(fā)明的有關(guān)拒絕服務攻擊的握手圖。
實施例的詳細說明根據(jù)本發(fā)明，WSN或者另一個非AP網(wǎng)絡節(jié)點使用IAPP協(xié)議和/或?qū)?2的幀來取消一個或者幾個AP中的會話。根據(jù)本發(fā)明，典型地可能將該終止與計費系統(tǒng)結(jié)合使用，借此由使用實體的給定帳戶的用盡引起接入終止。對于本發(fā)明，它是AP相對于現(xiàn)有技術(shù)支持如上所述的IAPP功能的先決條件。因此，本發(fā)明可能適當?shù)乇挥糜谝环N其中所述的AP，WSN和AS之間已經(jīng)達成協(xié)議的方案。一方當事人還可以擁有這些實體。
在圖6中，已經(jīng)示出了根據(jù)本發(fā)明的第一實施例。該網(wǎng)絡的體系結(jié)構(gòu)可能有利地類似于圖1中示出的現(xiàn)有技術(shù)的網(wǎng)絡，借此站STA被連接到相同網(wǎng)絡段的AP的AP1或者AP2，但是節(jié)點WSN未必起網(wǎng)關(guān)，即，組成到因特網(wǎng)的唯一的路線的作用。相反地，將在下面的說明中的闡明WSN節(jié)點的功能。
在步驟101，有關(guān)站STA的賬戶被用盡，AS發(fā)射鎖定請求103到WSN節(jié)點，以便通知WSN所述的用戶將停止接入到因特網(wǎng)。如果WSN具有用于AP1和AP2的網(wǎng)關(guān)位置，即它組成到因特網(wǎng)的唯一的路線，WSN節(jié)點可能阻擋有關(guān)STA1的業(yè)務。這個選擇已經(jīng)由鎖定動作105示出。
隨后，WSN發(fā)出IAPP移動通知到AP的AP1和/或AP2，正如由步驟107和111所指示的。如果WSN知道STA1被關(guān)聯(lián)到哪一個AP，可能足以發(fā)出IAPP移動通知到那個AP。人們注意到未必是AP的WSN正在通過發(fā)出最初僅僅打算用于AP的AP指定的消息來仿真AP。
AP1和AP2通過發(fā)出IAPP移動響應消息111和113進行響應，并且在那個點，AP的接入被取消用于所述的使用實體STA1。隨后，AP將分離消息115和117發(fā)送到站STA1，借此有可能用于在該站運行的應用，諸如瀏覽器，以積極地通知用戶該接入已經(jīng)被取消，正如由在步驟119中的鎖定指示所指示的。
因此，根據(jù)本發(fā)明，已經(jīng)提供了一種網(wǎng)絡，包括至少一個接入點AP1，AP2和一個接入控制節(jié)點WSN，AS，由此可能由接入控制節(jié)點AS識別站的身份。至少一個接入控制節(jié)點WSN發(fā)出至少一個IAPP消息，使得該站當前關(guān)聯(lián)的AP分離給定的站，由此終止用于給定的站的接入。
有利地，一種實體，諸如服務提供者可能約定與AP的給定的子集的協(xié)議。
根據(jù)該發(fā)明，已經(jīng)提供了一種終止用于WLAN站的接入的方法，包括步驟監(jiān)視給定的站是否正可以接入任何一個接入點的給定的子集，并且監(jiān)視有關(guān)給定的站的賬戶是否正與接入點的子集的給定的接入點關(guān)聯(lián)，如果檢測到有關(guān)給定的站的賬戶為零，發(fā)出IAPP消息，使得該給定的站相關(guān)聯(lián)的子集的接入點分離該給定的站。
根據(jù)本發(fā)明的第二實施例，設(shè)想了除了沒有提供分離的WSN節(jié)點之外的如圖1中的網(wǎng)絡拓撲結(jié)構(gòu)。這個實施例在圖7中被示出。在步驟101，檢測到STA1的帳戶為空，AS經(jīng)由因特網(wǎng)發(fā)出IAPP移動通知消息121和125到AP1和/或AP2。后面的AP注意到由于STA1的移動它們察覺到了什么，并且對于STA1，取消到因特網(wǎng)的接入。隨后，AP1和AP2通過發(fā)出IAPP移動響應消息123和127來響應AS。隨后，分離消息115和117根據(jù)802.11F可以從STA1最近所關(guān)聯(lián)的AP2被發(fā)出。由STA1接收分離消息117，由此能夠通知用戶，正如以上所解釋的。
在圖8中，已經(jīng)示出了本發(fā)明的第三實施例，其中示出了如圖1中舉例說明的網(wǎng)絡拓撲結(jié)構(gòu)。在這個實施例中，WSN或者非AP網(wǎng)絡節(jié)點向所有的AP，在適當情況相當于AP1和AP2，廣播IAPP ADD-通知幀129。對于AP，它表現(xiàn)為STA1已經(jīng)關(guān)聯(lián)到后續(xù)的AP(實際上是WSN)，并且STA1最近關(guān)聯(lián)的AP2將因此通過發(fā)出分離消息115和117來分離UE，后者正由STA1接收。
人們注意到因為IAPP消息在IP分組中被傳送，WSN不必保存在與AP相同的子網(wǎng)。WSN能夠發(fā)送定向子網(wǎng)的廣播到AP所感興趣的子網(wǎng)。這個實施例已經(jīng)在圖9進行了舉例說明。
WSN還可以(或者代之以)廣播層-2幀和作為源地址的UE的MAC地址到所有的AP。此將使得所有的AP相信UE已經(jīng)進行了到后續(xù)AP(在這種情況下，后續(xù)的AP是WSN)的越區(qū)切換，并且因此將分離UE。
因為一方不致力于提供用于所述的站的實際的接入，導致實現(xiàn)接入停止，人們能夠想到拒絕不可靠的AP的服務攻擊可能是一個問題。
然而，這未必是將參考圖10解釋的情況，其中在步驟80，不可靠的AP，APX設(shè)法登記為有效AP，如在802.11F中所描述的。如果根據(jù)RADIUS已知的特征，AP不能露出必需的證書，該請求將被拒絕，正如在步驟81所舉例說明的。
最初，當在步驟83，RADIUS允許的AP客戶在網(wǎng)絡上被加電時，它發(fā)出RADIUS登記接入請求85到WSN或者AS，并且后面的節(jié)點以包含用于加密圖解保護IAPP ADD消息的意圖的RADIUS登記接入接受作出響應。
站STA1可以隨后與AP相關(guān)聯(lián)，如在步驟89所示。
當在步驟91，93，95，IAPP消息諸如IAPP ADD通知被接收時，正由網(wǎng)絡的正當?shù)臅T發(fā)送的這些消息的真實性可以通過完成密碼操作而被容易地證明。如果IAPP消息沒有通過適當?shù)逆I被密碼保護，該操作將提供錯誤的結(jié)果并且正如在步驟93中所舉例說明的拒絕服務攻擊將失敗，反之，真實的RADIUS客戶的身份可以被確定，授與IAPP ADD通知消息95。
IEEE802.11F還提供用于在兩個AP之間密碼保護IAPP移動消息的方法。同樣，這些方法利用RADIUS服務器(例如WSN或者AS)來分配密鑰資料。
參考IEEE Standard 802.11-1999；Wireless LAN Medium AccessControl(MAC)and PhysicalLayer(PHY)SpecificationsIEEE Standard 802.1X-2001；Port-Based Network AccessControlIEEE Draft Recommended Practice 802.11FRFC 2865；RADIUSRFC 2284EAP
權(quán)利要求
1.一種包括至少一個接入點(AP1，AP2)和一個接入控制節(jié)點(WSN，AS)的網(wǎng)絡，該接入點使用用于AP之間的通信的IAPP協(xié)議，其中至少一個站(STA1)可以與接入點(AP1，AP2)相關(guān)聯(lián)，由此可以由接入控制節(jié)點(AS)識別該站的身份，其中至少一個接入控制節(jié)點(AS；WSN)發(fā)出至少一個IAPP消息，使得該站當前關(guān)聯(lián)的AP分離給定的站，并且由此終止用于給定的站的接入。
2.根據(jù)權(quán)利要求1所述的網(wǎng)絡，其中第一接入控制節(jié)點(AS/WSN)是連接到因特網(wǎng)的鑒權(quán)服務器。
3.根據(jù)權(quán)利要求2所述的網(wǎng)絡，其中提供了第二接入控制節(jié)點，該第二接入控制節(jié)點是網(wǎng)關(guān)節(jié)點(WSN)。
4.根據(jù)權(quán)利要求2所述的網(wǎng)絡，其中接入控制節(jié)點發(fā)出IAPP ADD通知消息。
5.根據(jù)權(quán)利要求2所述的網(wǎng)絡，其中接入控制節(jié)點發(fā)出IAPP移動通知消息。
6.根據(jù)權(quán)利要求3所述的網(wǎng)絡，其中接入控制節(jié)點發(fā)出鎖定請求(103)到網(wǎng)關(guān)節(jié)點。
7.一種連接到至少一群接入點的接入控制節(jié)點，接入點使用用于AP之間的通信的IAPP協(xié)議，并且提供到至少一個站(STA1)，站(STA1)的接入，由此可以由接入控制節(jié)點(AS)識別該站的身份，由此至少一個接入控制節(jié)點(AS；WSN)發(fā)出至少一個IAPP消息，使得該站當前關(guān)聯(lián)的AP分離給定的站，并且由此終止用于給定的站的接入。
8.根據(jù)權(quán)利要求7所述的接入控制節(jié)點，其中接入的終止是以有關(guān)給定的站的賬戶的用盡為條件的。
9.一種終止用于WLAN站的接入的方法，包括步驟監(jiān)視給定的站是否正可以接入任何一個接入點的給定的子集，并且監(jiān)視有關(guān)給定的站的賬戶是否正與接入點的子集的給定的接入點關(guān)聯(lián)，如果檢測有關(guān)給定的站的賬戶為零，發(fā)出IAPP消息，使得該給定的站相關(guān)聯(lián)的子集的接入點分離該給定的站。
全文摘要
提供了一種網(wǎng)絡，包括至少一個接入點(AP1，AP2)和一個接入控制節(jié)點(WSN，AS)，由此可能由接入控制節(jié)點AS識別該站的身份。至少一個接入控制節(jié)點WSN發(fā)出至少一個IAPP消息，使得該站當前關(guān)聯(lián)的AP分離給定的站，由此終止用于給定的站的接入。
文檔編號H04LGK1802817SQ200380110373
公開日2006年7月12日 申請日期2003年12月4日 優(yōu)先權(quán)日2003年7月3日
發(fā)明者S·羅默 申請人:艾利森電話股份有限公司