專利名稱:用于在基于uam的wlan網(wǎng)絡(luò)中對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行認(rèn)證的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
這里提出的發(fā)明涉及用于在無線局域網(wǎng)(WLAN)或其它分組數(shù)據(jù)網(wǎng)絡(luò)中對(duì)移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行認(rèn)證的方法和系統(tǒng)��。經(jīng)由無線網(wǎng)絡(luò)接口(NIC)���,移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)在接入點(diǎn)(AP)處請(qǐng)求對(duì)WLAN的接入,其中�����,在封閉的第一網(wǎng)絡(luò)區(qū)域(圍墻花園(Wal 1 ed Garden))內(nèi)���,在借助于移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)的認(rèn)證之前���,建立高達(dá)層3協(xié)議層(L3)的所有網(wǎng)絡(luò)協(xié)議層。在作為強(qiáng)制網(wǎng)絡(luò)門戶的網(wǎng)絡(luò)服務(wù)器與移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)之間����,使用通用接入方法(UAM)在層3協(xié)議層中傳送包含移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)的認(rèn)證數(shù)據(jù)的消息。如果授權(quán)是成功的���,則網(wǎng)絡(luò)接入服務(wù)器(NAS)使得移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)能夠接入第二網(wǎng)絡(luò)區(qū)域�����。最特別地����,本發(fā)明涉及用于包括具有授權(quán)和授權(quán)數(shù)據(jù)的SIM卡(訂戶身份模塊)作為例如基于授權(quán)的IMSI (國際移動(dòng)訂戶身份)和軟件證書(例如SSL證書)的移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)的方法。
背景技術(shù):
現(xiàn)在���,無線因特網(wǎng)服務(wù)提供商(WISP)在向客戶提供固定或移動(dòng)無線服務(wù)中扮演重要角色��。使用Wi-Fi或其它無線方法�,WISP在諸如機(jī)場(chǎng)����、旅店��、飯館�、購物中心等公共場(chǎng)所中提供因特網(wǎng)接入。Wi-Fi是用于基于IEEE (電氣和電子工程師協(xié)會(huì))802. 11標(biāo)準(zhǔn)的產(chǎn)品的Wi-Fi聯(lián)盟的證明商標(biāo)��。為了實(shí)現(xiàn)公共無線因特網(wǎng)服務(wù)�����,WISP可以使用例如基于EAP認(rèn)證(IETF RFC 3748)的移動(dòng)WiMAX (微波接入全球互通)、基于IEEE 802. Ix標(biāo)準(zhǔn)的WLAN或基于WISPr和用IEEE 802. 11標(biāo)準(zhǔn)的UAM (通用接入方法)的WLAN來向全世界的客戶傳送因特網(wǎng)接入���。UAM是一種允許訂戶接入WLAN網(wǎng)絡(luò)(作為例如Wi-Fi網(wǎng)絡(luò))的方法����,由此����,僅使用因特網(wǎng)瀏覽器。因特網(wǎng)瀏覽器用登錄頁面打開����,在登錄頁面中,用戶必須在被許可接入網(wǎng)絡(luò)之前填寫其證書(通常是用戶名和口令)����。除客戶的認(rèn)證和授權(quán)之外,WISP還提供例如用于數(shù)字內(nèi)容的網(wǎng)絡(luò)支付服務(wù)����。此類網(wǎng)絡(luò)支付服務(wù)能夠向因特網(wǎng)服務(wù)提供商(ISP)、電話公司或信用卡帳戶開帳單����。WISP還常常支持微支付以在月末對(duì)帳戶充值����。在現(xiàn)有技術(shù)中��,對(duì)公共WLAN的接入認(rèn)證和授權(quán)主要是基于所述UAM和WISPr�����,兩者都是基于HTTP的并因此要求移動(dòng)設(shè)備獲得對(duì)基礎(chǔ)設(shè)施的IP接入(參見圖2)���。UAM和WISPr 僅僅被提供用于用戶名/ 口令認(rèn)證��,而不用于基于SIM或證書的認(rèn)證���。因此,當(dāng)實(shí)現(xiàn)基于當(dāng)今的UAM和WISPr的實(shí)際漫游時(shí)存在嚴(yán)重的障礙���,例如���,如果運(yùn)營商想要漫游的話���,其不得不使用用戶名/ 口令����,這對(duì)于用來用智能卡工作的某種類型的運(yùn)營商(例如GSM)而言是非常不方便的。另一方面����,移動(dòng)WiMAX是基于EAP認(rèn)證、一般支持用戶名/ 口令的IETF(因特網(wǎng)工程任務(wù)組)限定標(biāo)準(zhǔn)��、SIM (訂戶身份模塊)或智能卡和基于證書的認(rèn)證的(參見圖1)�����。 現(xiàn)在����,通過使用IEEE 802. Ix標(biāo)準(zhǔn),在WLAN上可以實(shí)現(xiàn)基于EAP的認(rèn)證����。然而,802. Ix與 UAM和WISPr接入是不兼容的�。想要以對(duì)其網(wǎng)絡(luò)的較少接入(即用由信用卡進(jìn)行支付的即時(shí)接入)出售訂閱的運(yùn)營商需要UAM方法。想要支持EAP和UAM兩者的運(yùn)營商因此必須具有雙基礎(chǔ)設(shè)施,其廣播例如兩個(gè)SSID (服務(wù)集標(biāo)識(shí)符)����,并且是相當(dāng)成本密集的投資。如所述�����,可以將IEEE 802. Ix用于無線LAN內(nèi)的用戶的認(rèn)證�����。802. Ix是來自電氣和電子工程師標(biāo)準(zhǔn)協(xié)會(huì)機(jī)構(gòu)的開放源IEEE協(xié)議����。IEEE 802. Ix認(rèn)證允許對(duì)諸如例如以太網(wǎng)、令牌環(huán)和/ 或802. 11無線LAN的IEEE 802的認(rèn)證接入����。802. 11協(xié)議為無線LAN、即為無線局域網(wǎng)生成2. 4 GHz波段中的1 Mbps���、2 Mbps或11 Mbps傳輸�����,由此����,使用���!7HSS (跳頻擴(kuò)展頻譜)或者DSSS (直接序列擴(kuò)展頻譜)���。對(duì)于認(rèn)證而言,802. Ix支持認(rèn)證EAP (可擴(kuò)展認(rèn)證協(xié)議)和 EAP-TLS (無線傳輸層安全��,RFC 2716 (PPP EAP TLS認(rèn)證協(xié)議))��。作為一般認(rèn)證方案��,EAP 向被訪問網(wǎng)絡(luò)隱藏歸屬網(wǎng)絡(luò)運(yùn)營商正在使用的證書類型�����。EAP的實(shí)施方式包括ΕΑΡ-SIM(用于全球移動(dòng)通信系統(tǒng)(GSM)訂戶身份模塊(SIM)�����,RFC 4186的ΕΑΡ)��、EAP-AKA (用于UMTS認(rèn)證和密鑰協(xié)議、RFC 4187的可擴(kuò)展認(rèn)證協(xié)議方法)����、EAP-TLS、EAP-TTLS (ΕΑΡ隧道傳輸層安全)�。802. 11還支持RADIUS。雖然RADIUS支持在802. Ix中是可選的��,但可以預(yù)期大多數(shù) 802. Ix認(rèn)證器將支持RADIUS�����。IEEE 802. Ix協(xié)議是所謂的基于端口的認(rèn)證協(xié)議�。其可以在其中能夠指定端口(即單元的接口)的每個(gè)環(huán)境中使用。用基于802. Ix的認(rèn)證�����,可以區(qū)別三個(gè)單元用戶(請(qǐng)求者/客戶端)的單元���、認(rèn)證器和認(rèn)證服務(wù)器���。對(duì)請(qǐng)求者進(jìn)行認(rèn)證是認(rèn)證器的作用。認(rèn)證器和請(qǐng)求者例如經(jīng)由點(diǎn)到點(diǎn)LAN段或802. 11無線LAN相連����。認(rèn)證器和請(qǐng)求者具有限定端口���,即所謂的端口接入入口(PAE),其定義物理或虛擬802. Ix端口���。認(rèn)證服務(wù)器生成認(rèn)證器所需的認(rèn)證服務(wù)。這樣��,其檢驗(yàn)由請(qǐng)求者提供的關(guān)于采取的身份的權(quán)限數(shù)據(jù)���。對(duì)接入無線網(wǎng)絡(luò)的UAM認(rèn)證是基于“圍墻花園”的概念���,如圖2所示。圍墻花園是“顛倒的”內(nèi)部網(wǎng)�,其防止在圍墻花園內(nèi)連接的設(shè)備在被認(rèn)證之前接入因特網(wǎng)。不同于 802. lx���,這種技術(shù)允許設(shè)備在被認(rèn)證之前到達(dá)所有聯(lián)網(wǎng)層��,包括層3 (即IP層)并針對(duì)會(huì)話被收費(fèi)�。這種技術(shù)的利害關(guān)系是圍墻花園中的網(wǎng)絡(luò)服務(wù)器能夠用來執(zhí)行不同類型的認(rèn)證����, 包括經(jīng)由瀏覽器的認(rèn)證和用信用卡進(jìn)行的支付(用802. Ix是不可能的)����。UAM認(rèn)證由于在不需要訂閱的情況下直接在熱點(diǎn)處支付的此可能性而非常受歡迎��。WISPr (無線因特網(wǎng)服務(wù)提供商漫游)是用于客戶端軟件的基于網(wǎng)絡(luò)的登錄標(biāo)準(zhǔn) (UAM)0 WISPr 1. 0是在2003年2月由Wi-Fi聯(lián)盟發(fā)行的��。WLAN推薦的附件D描述了個(gè)人計(jì)算機(jī)(PC)或移動(dòng)電話上的客戶端軟件之間的通過HTTP協(xié)議的XML�,以允許朝向Wi-Fi熱點(diǎn)的用戶名/ 口令認(rèn)證。協(xié)議由XML元件(類似于簡(jiǎn)單對(duì)象接入?yún)f(xié)議(SOAP))的交換構(gòu)成����, 其中,客戶端(即移動(dòng)設(shè)備上的軟件)與網(wǎng)絡(luò)服務(wù)器(WLAN-A)交換信息以打開WLAN會(huì)話并稍后終止WLAN會(huì)話����。XML (可擴(kuò)展標(biāo)記語言)是由W3C聯(lián)盟指定的對(duì)數(shù)據(jù)進(jìn)行結(jié)構(gòu)化的格式和語法。SOAP是通過XML工作的遠(yuǎn)程程序調(diào)用協(xié)議�,也是由W3C聯(lián)盟(萬維網(wǎng)聯(lián)盟)指定的。圖2和5示出根據(jù)WISft·規(guī)范附件D的現(xiàn)有技術(shù)����。圖5中的客戶端包括客戶端軟件。 網(wǎng)關(guān)是被訪問WLAN網(wǎng)絡(luò)上的WISft·服務(wù)器23 (圖2)�。AAA是歸屬網(wǎng)絡(luò)運(yùn)營商處的認(rèn)證服務(wù)器22�。WISft·定義客戶端10與網(wǎng)關(guān)23之間的支腿(leg)(參見圖5)�。網(wǎng)關(guān)23與AAA 22之間的支腿是Radius或Diameter。在現(xiàn)有技術(shù)中���,認(rèn)證服務(wù)器通常是基于IETF (因特網(wǎng)工程任務(wù)組)的RADIUS (遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù))����。RADIUS認(rèn)證協(xié)議和計(jì)費(fèi)系統(tǒng)的使用在諸如例如路由器���、調(diào)制解調(diào)器服務(wù)器、交換機(jī)的網(wǎng)絡(luò)單元中是普遍的����,并且被大多數(shù)因特網(wǎng)服務(wù)提供商(ISP)使用。如果用戶撥入ISP中��,則他/她必須正常地輸入用戶名和口令���。 Radius服務(wù)器檢驗(yàn)此信息并授權(quán)用戶接入ISP系統(tǒng)�。特別地�����,RADIUS的廣泛使用的原因在于網(wǎng)絡(luò)單元通常不能應(yīng)付每個(gè)具有不同認(rèn)證數(shù)據(jù)的大量網(wǎng)絡(luò)用戶,因?yàn)檫@將超過例如單獨(dú)網(wǎng)絡(luò)單元的存儲(chǔ)容量���。RADIUS允許許多網(wǎng)絡(luò)用戶的中央行政(用戶的添加�����、刪除等)�����。因此�, 這是ISP (因特網(wǎng)服務(wù)提供商)對(duì)其服務(wù)的必需前提��,因?yàn)槠溆脩魯?shù)目常?�?傆?jì)達(dá)幾千至幾萬個(gè)��。RADIUS還生成針對(duì)黑客的某種永久性保護(hù)���。由RADIUS基于TACACS+ (終端訪問控制器訪問控制系統(tǒng)+)和LDAP (輕量級(jí)目錄訪問協(xié)議)進(jìn)行的遠(yuǎn)程認(rèn)證針對(duì)黑客是相對(duì)安全的�����。相比之下�����,許多其它遠(yuǎn)程認(rèn)證協(xié)議僅具有針對(duì)黑客攻擊的臨時(shí)或不充分的保護(hù)或根本沒有保護(hù)��。另一優(yōu)點(diǎn)是RADIUS目前是用于遠(yuǎn)程認(rèn)證的事實(shí)標(biāo)準(zhǔn)����,RADIUS還受到幾乎所有系統(tǒng)的支持,對(duì)于其它協(xié)議而言情況不是如此���。在現(xiàn)有技術(shù)中�����,WISPr規(guī)范定義了用來提交用戶證書、對(duì)認(rèn)證結(jié)果的輪詢等的XML 方案����。應(yīng)注意的是由通過無線技術(shù)中的新需求,由缺點(diǎn)引發(fā)的是���,無線寬帶聯(lián)盟正在著眼于進(jìn)一步開發(fā)WISPr標(biāo)準(zhǔn)��。目前��,WISPr附件D是WLAN電信行業(yè)中的事實(shí)標(biāo)準(zhǔn)���。據(jù)估計(jì)���,超過 90%的商業(yè)熱點(diǎn)網(wǎng)絡(luò)將WISPr附件D實(shí)現(xiàn)為接入方法。與WISPr相結(jié)合��,必須提到IPASS��。 IPASS是將遠(yuǎn)程和移動(dòng)設(shè)備的管理和連接統(tǒng)一的商業(yè)公司��。IPASS已經(jīng)是WISPr規(guī)范的關(guān)鍵貢獻(xiàn)者��。IPASS很長時(shí)間以來具有被稱為GIS(通用接口規(guī)范)的其自己的專有方案�。WISPr 或多或少地是GIS的模仿者?��?蓴U(kuò)展認(rèn)證協(xié)議(EAP) (RFC 3748)是由IETF (因特網(wǎng)工程任務(wù)組)開發(fā)的�,以產(chǎn)生支持不同類型的證書(用戶名/ 口令���、證書�����、SIM卡等)的通用認(rèn)證協(xié)議�����。發(fā)明EAP是為了在不必?fù)?dān)心并每當(dāng)使用新的認(rèn)證時(shí)更新基礎(chǔ)設(shè)施的情況下允許被訪問網(wǎng)絡(luò)上的認(rèn)證的一般支持����。可擴(kuò)展認(rèn)證協(xié)議(EAP)實(shí)際上是PPP (點(diǎn)到點(diǎn)協(xié)議)的擴(kuò)展����,并且是由IETF的請(qǐng)求注解(RFC) 2284 PPP可擴(kuò)展認(rèn)證協(xié)議(ΕΑΡ)定義的。經(jīng)由ΡΡΡ���,可以將計(jì)算機(jī)連接到例如ISP的服務(wù)器����。PPP在OSI模型的數(shù)據(jù)鏈路層中工作�����,并將計(jì)算機(jī)的IP分組載送到形成到因特網(wǎng)的接口的ISP的服務(wù)器�。與較舊的SLIP協(xié)議(串行線網(wǎng)際協(xié)議)相比,PPP更穩(wěn)定地運(yùn)行且具有糾錯(cuò)機(jī)構(gòu)���。如所述���,可擴(kuò)展認(rèn)證協(xié)議EAP是非常一般的水平上的協(xié)議,其支持多樣化的認(rèn)證方法���,諸如��,例如令牌卡���、麻省理工學(xué)院(MIT)的Kerberos、取消口令��、證書���、 公鑰認(rèn)證和智能卡或所謂的集成電路卡(ICC)����。IEEE 802. Ix定義必須集成到LAN幀中的諸如EAP的規(guī)范����。用無線網(wǎng)絡(luò)中的經(jīng)由EAP的通信�����,經(jīng)由無線通信�����、即用于遠(yuǎn)程訪問客戶端或請(qǐng)求者的連接集線器到WLAN的用戶請(qǐng)求接入無線LAN����。AP然后從請(qǐng)求者請(qǐng)求用戶的標(biāo)識(shí)����,并將該標(biāo)識(shí)傳送到基于例如RADIUS的上述認(rèn)證服務(wù)器。認(rèn)證服務(wù)器允許接入點(diǎn)重新檢查用戶的標(biāo)識(shí)����。AP從請(qǐng)求者收集此認(rèn)證數(shù)據(jù)并將其傳送到認(rèn)證服務(wù)器,認(rèn)證服務(wù)器終止該認(rèn)證方法�����。EAP是用于WiMAX認(rèn)證的所選方法��。第三代合作伙伴計(jì)劃(3GPP)也采用此標(biāo)準(zhǔn)進(jìn)行GSM (全球移動(dòng)通信系統(tǒng))到IP (網(wǎng)際協(xié)議)技術(shù)的會(huì)聚��。EAP被封裝在所述“傳輸” 協(xié)議中:PPP (點(diǎn)到點(diǎn)協(xié)議�����、IETF RFC),Radius (RFC 2869)和 Diameter�,其為用于 AAA (認(rèn)證、授權(quán)和計(jì)費(fèi))的計(jì)算機(jī)聯(lián)網(wǎng)協(xié)議��。IEEE 802. 11標(biāo)準(zhǔn)(WLAN)的安全型式(稱為802. Ix) 使用EAP作為認(rèn)證機(jī)制�。然而,非常少的WLAN熱點(diǎn)網(wǎng)絡(luò)已部署了 802. lx�����,因?yàn)檫@種方法固有地防止用戶經(jīng)由信用卡來購買因特網(wǎng)接入(即���,不可能通過802. Ix來提供UAM接入)���。諸如Swisscom的現(xiàn)有技術(shù)中的幾個(gè)運(yùn)營商已經(jīng)部署了雙基礎(chǔ)設(shè)施,其提供通過802. 11的UAM 和通過802. Ix的EAP兩者���。這是通過廣播兩個(gè)信號(hào)并具有雙基礎(chǔ)設(shè)施實(shí)現(xiàn)的�。然而�,此選擇是昂貴的����,并且目前具有通過802. 11的UAM的許多運(yùn)營商由于成本而不愿意升級(jí)到雙基礎(chǔ)設(shè)施�����。EAP最初被設(shè)計(jì)為在具有設(shè)備與NAS之間的IP單跳的限制的情況下通過PPP (點(diǎn)到點(diǎn)協(xié)議)運(yùn)行����。為了克服此限制,指定了 L2TP (RFC 266URFC 3931)��。L2TP通過IP網(wǎng)絡(luò)來模擬鏈路段�,通過IP多跳提供PPP層。L2TP (層二(2)隧道協(xié)議)是使得因特網(wǎng)服務(wù)提供商(ISP)能夠操作虛擬專用網(wǎng)絡(luò)(VPN)的PPP協(xié)議的擴(kuò)展��。L2TP將以下兩個(gè)其它隧道協(xié)議的特征合并來自微軟公司的PPTP (點(diǎn)到點(diǎn)隧道協(xié)議)和來自Cisco系統(tǒng)的L2F(層二轉(zhuǎn)送)�����。類似于PPTP����,L2TP要求ISP的路由器支持該協(xié)議。L2TP能夠用作WISft·上的EAP的替換����。然而�����,這將要求設(shè)備實(shí)現(xiàn)L2TP且NAS (網(wǎng)絡(luò)接入服務(wù)器)實(shí)現(xiàn)L2TP。然后將用隧道傳輸設(shè)備與NAS之間的所有業(yè)務(wù)�����,增加開銷��?��?蛻舳塑浖蚇AS中的軟件變化對(duì)于所提出的發(fā)明而言將是非常顯著的��。NAS是外部通信網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間的接入網(wǎng)關(guān)���,也稱為“圍墻花園”。在用戶請(qǐng)求對(duì)網(wǎng)絡(luò)的接入時(shí)�����,因特網(wǎng)服務(wù)提供商(ISP)使用NAS來在用戶已被接入服務(wù)器授權(quán)之后提供對(duì)因特網(wǎng)的接入�����。諸如Comfone AG*krvice Factory AB的其它公司已經(jīng)在2004年開發(fā)了允許通過WISft·使能熱點(diǎn)的兩階段EAP型的認(rèn)證的解決方案(參見圖6)。在圖6中舉例說明此技術(shù)解決方案的兩階段方案���,第一階段包括EAP認(rèn)證過程����。從此階段出來�����,生成一次性用戶名 / 口令�,并且客戶端軟件然后繼續(xù)進(jìn)行正常的WISft·登錄以打開WLAN會(huì)話。圖6舉例說明此類WISPr EAP認(rèn)證�。這種方法具有不同的缺點(diǎn)首先,需要WISP網(wǎng)絡(luò)處的特殊配置以允許在標(biāo)準(zhǔn)階段2認(rèn)證之前的階段1認(rèn)證����。其次,需要客戶端軟件實(shí)現(xiàn)特有階段1協(xié)議�。第三,該兩階段方法在認(rèn)證中引入附加延遲���。隨著移動(dòng)WiMAX的到來�,需要技術(shù)間漫游,使得WiMAX訂戶可以用相同的證書在 WLAN熱點(diǎn)上漫游�。雖然如果證書是用戶名和口令,這在目前是可能的�,但如果證書是SIM或證件,則不存在容易的會(huì)聚�����。開發(fā)的WISPr ΕΑΡ-SIM方法(通過EAP協(xié)議的SIM認(rèn)證�����。IETF RFC 4186)遭受上述復(fù)雜性和缺點(diǎn)。
發(fā)明內(nèi)容
本發(fā)明的目的是提出一種用于在WLAN中漫游的移動(dòng)節(jié)點(diǎn)的新方法。特別地��,應(yīng)使得對(duì)于WiMAX訂戶或者說使用EAP進(jìn)行認(rèn)證的訂戶而言可以用相同的證書在WLAN熱點(diǎn)上漫游���。如果證書是SIM或證件����,這也應(yīng)是可能的��。應(yīng)使得對(duì)于用戶而言可以在沒有任何困難的情況下在不同的熱點(diǎn)和標(biāo)準(zhǔn)之間移動(dòng)(漫游),而不必為各種WLAN服務(wù)提供商處的注冊(cè)��、 開帳單�����、服務(wù)授權(quán)等煩惱���。并且�����,在Wi-Fi熱點(diǎn)中���,本發(fā)明應(yīng)向WLAN中的用戶和服務(wù)提供商保證用于開帳單、服務(wù)授權(quán)和安全的所需部件�����。根據(jù)本發(fā)明���,通過獨(dú)立權(quán)利要求的元素來實(shí)現(xiàn)這些目的��。而且���,另外的優(yōu)選實(shí)施例是從從屬權(quán)利要求和該說明書得出的����。通過本發(fā)明來實(shí)現(xiàn)這些目的�����,特別地在于���,為了在無線局域網(wǎng)(WLAN)中對(duì)移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行認(rèn)證����,移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)經(jīng)由無線網(wǎng)絡(luò)接口在接入點(diǎn)處請(qǐng)求對(duì)WLAN的接入����,其中���, 在封閉的第一網(wǎng)絡(luò)區(qū)域(圍墻花園)內(nèi)�����,在認(rèn)證之前����,借助于移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn),建立高達(dá)層3協(xié)議層(L3)的所有網(wǎng)絡(luò)協(xié)議層���,其中�����,在作為強(qiáng)制網(wǎng)絡(luò)門戶的網(wǎng)絡(luò)服務(wù)器與移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)之間�,使用通用接入方法(UAM)在層3協(xié)議層中傳送包含移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)的認(rèn)證數(shù)據(jù)的消息����, 并且如果認(rèn)證是成功的,則網(wǎng)絡(luò)接入服務(wù)器(NAS)使得能夠?qū)崿F(xiàn)移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)對(duì)第二網(wǎng)絡(luò)區(qū)域的接入����,其中,在網(wǎng)絡(luò)服務(wù)器和/或網(wǎng)絡(luò)接入服務(wù)器(NAS)上生成基于可擴(kuò)展認(rèn)證協(xié)議(EAP)的認(rèn)證器�,認(rèn)證器與包括EPA對(duì)端的移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)之間的層3協(xié)議層借助于包含編碼的EAP消息的被定義的位序列雙向地延伸,其中��,在由移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行的接入請(qǐng)求的情況下����,網(wǎng)絡(luò)服務(wù)器通過將用于層3協(xié)議層的EAP消息請(qǐng)求編碼并在層3協(xié)議層中借助于被定義的位序列來傳送編碼消息請(qǐng)求而向移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)傳送認(rèn)證刺激(authentication stimulus)��,其中����,移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)將來自被定義的位序列的EAP消息請(qǐng)求解碼并借助于被定義的位序列在層3協(xié)議層中向認(rèn)證器傳送編碼的EAP響應(yīng)消息���,EAP響應(yīng)消息包括用于移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)的認(rèn)證數(shù)據(jù)��,并且其中�,網(wǎng)絡(luò)服務(wù)器將來自位序列的EAP響應(yīng)消息解碼���,借助于認(rèn)證查詢將其傳送到AAA服務(wù)器��,并且基于AAA服務(wù)器進(jìn)行的認(rèn)證響應(yīng)�����,借助于網(wǎng)絡(luò)接入服務(wù)器(NAS)使得第二網(wǎng)絡(luò)區(qū)域能夠供移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)使用。包括EAP認(rèn)證器的網(wǎng)絡(luò)服務(wù)器與包括EAP服務(wù)器的AAA服務(wù)器之間的認(rèn)證查詢可以例如由RADIUS或DIAMETER協(xié)議層來實(shí)現(xiàn)�。認(rèn)證數(shù)據(jù)可以例如包括SIM卡的身份(ID)參考和/或口令和/或散列值和/或IMSI。 可以例如在層2協(xié)議層(L2)中產(chǎn)生媒體接入����,而例如可以基于802. 11 WLAN網(wǎng)絡(luò)來產(chǎn)生對(duì)物理層1 (Li)的接入�?��?梢曰赪ISPr結(jié)構(gòu)來實(shí)現(xiàn)層3協(xié)議層���。所述變型除了其它的以外還具有以下優(yōu)點(diǎn)可以將WISPr協(xié)議層擴(kuò)展至允許特別地在不要求網(wǎng)絡(luò)運(yùn)營商的基礎(chǔ)設(shè)施的主要升級(jí)的情況下傳送EAP認(rèn)證。其提出用于移動(dòng)WiMAX訂戶漫游到WLAN網(wǎng)絡(luò)上的一種技術(shù)解決方案���,因?yàn)榭梢栽赪i-Fi上使用相同的EAP認(rèn)證�。本發(fā)明還具有的優(yōu)點(diǎn)是�,不需要WISP網(wǎng)絡(luò)的特殊配置以允許標(biāo)準(zhǔn)階段2認(rèn)證之前的階段1認(rèn)證,并且不需要客戶端軟件實(shí)現(xiàn)專有階段1協(xié)議��,并且沒有如從現(xiàn)有技術(shù)的具有首先的EAP認(rèn)證和然后的正常WISPr 登錄的兩階段方案已知的由兩階段方法引入的認(rèn)證中的附加延遲�。另外,用通過802. 11的 UAM和通過802. Ix的EAP�,不需要到雙基礎(chǔ)設(shè)施的昂貴升級(jí)。此外����,本發(fā)明具有以下優(yōu)點(diǎn) 隨著越來越多的移動(dòng)WiMAX的使用,能夠提供技術(shù)間漫游�����,使得WiMAX訂戶可以用相同的證書在Wi-Fi熱點(diǎn)上漫游。現(xiàn)今�,這只有在證書是用戶名和口令的情況下是可能的,并且如果證書是SIM或證件����,則不存在容易的會(huì)聚。開發(fā)的WISPr ΕΑΡ-SIM方法遭受上述復(fù)雜性和缺點(diǎn)���?���?梢灶A(yù)見在今后幾年中����,過去幾年的WLAN使能熱點(diǎn)和熱點(diǎn)運(yùn)營商的數(shù)目的激增將持續(xù)。智能客戶端提供將使得用戶容易在這些熱點(diǎn)處接入因特網(wǎng)的一般用戶體驗(yàn)�。在下一代認(rèn)證方法和諸如802. Ix的協(xié)議上存在要封閉的巨大缺口以在熱點(diǎn)處提供改善的認(rèn)證。需要一種允許作為智能客戶端的移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)向部署在熱點(diǎn)處的許多不同接入網(wǎng)關(guān)可靠地認(rèn)證的方法和協(xié)議���。這種方法必須能夠與現(xiàn)今在熱點(diǎn)處使用的現(xiàn)有基于瀏覽器的認(rèn)證方法相結(jié)合地工作。本發(fā)明提供一種容易由ISP來實(shí)現(xiàn)的可行解決方案�����。提出的解決方案滿足對(duì)當(dāng)前客戶端接入網(wǎng)關(guān)整合的所有這些需要。在實(shí)施例變型中�,由無線因特網(wǎng)服務(wù)提供商漫游激活(WISPr)來實(shí)現(xiàn)基于UAM的 WLAN,并且基于網(wǎng)絡(luò)服務(wù)器與移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)之間的WISPr消息在層3協(xié)議層中傳送包含移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)的認(rèn)證數(shù)據(jù)的消息。所述變型除了別的以外還具有不遭受所述WISPr EAP-SIM 方法的復(fù)雜性和缺點(diǎn)的優(yōu)點(diǎn)�����。此外����,本發(fā)明具有以下優(yōu)點(diǎn)隨著越來越多的移動(dòng)WiMAX的使用,能夠提供技術(shù)間漫游��,使得WiMAX訂戶可以用相同的證書在WLAN熱點(diǎn)上漫游�。在另一實(shí)施例變型中,借助于編碼模塊向和從定義XML字符集雙向地轉(zhuǎn)換二進(jìn)制 EAP消息���,并將所述二進(jìn)制EAP消息插入L3協(xié)議層中�����,和/或借助于編碼模塊從L3協(xié)議層提取出來����?����?梢岳缁贗EFT Base64編碼借助于編碼模塊來完成轉(zhuǎn)換。所述變型除了別的以外還具有提供用于層3協(xié)議層中的EAP消息的編碼和解碼的容易基礎(chǔ)的優(yōu)點(diǎn)���。進(jìn)行編碼/解碼的主要原因之一可以例如是層3協(xié)議層可以包括在能夠傳送什么“字符”方面的限制�。例如�����,Base64編碼轉(zhuǎn)換A. . Z和0. . 9的字符流中的二進(jìn)制形式��。所有那些字符在XML 中“被允許”�,并且可以在層3協(xié)議層中插入和提取EAP消息。
在另一實(shí)施例變型中����,借助于預(yù)留數(shù)據(jù)塊作為例如XML標(biāo)簽沿著從認(rèn)證器到移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)的方向擴(kuò)展WISPr XML協(xié)議方案,該預(yù)留數(shù)據(jù)塊包含編碼的EAP消息���。沿著從移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)到認(rèn)證器的方向���,在層3協(xié)議層中傳送的被定義的位序列可以例如借助于附加 EAP消息包含HTTP POST消息和/或HTTP GET消息和/或在已在HTTP請(qǐng)求中傳送的XML 塊中傳送EAP消息。所述變型具有與已經(jīng)介紹的實(shí)施例變型相同的優(yōu)點(diǎn)。在實(shí)施例變型中����,網(wǎng)絡(luò)服務(wù)器如果被移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)觸發(fā)到新的URL上��,則生成擴(kuò)展響應(yīng)����,WISft· XML數(shù)據(jù)塊被XML編碼的EAP消息擴(kuò)展??梢岳缃柚诎琀TTP Get消息的被定義的位序列由移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)來觸發(fā)網(wǎng)絡(luò)服務(wù)器。所述變型具有與已經(jīng)介紹的實(shí)施例變型相同的優(yōu)點(diǎn)�����。在另一實(shí)施例變型中��,充當(dāng)EAP對(duì)端的移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)生成EAP響應(yīng)消息�����,將其編碼以便傳送到認(rèn)證器��,并將其作為WISPr XML數(shù)據(jù)塊的登錄URL的參數(shù)添加在被定義的位序列中���。例如還可以實(shí)現(xiàn)WISPr����,因?yàn)橐苿?dòng)節(jié)點(diǎn)到網(wǎng)絡(luò)服務(wù)器的方向不使用XML。然后可以在 URL的查詢參數(shù)(HTTP GET)中或作為形式參數(shù)(HTTP POST)來傳送信息�。用于在L3協(xié)議層中傳送編碼的EAP消息的網(wǎng)絡(luò)服務(wù)區(qū)可以例如借助于編碼模塊將其從被定義的位序列解碼,并將其作為RADIUS請(qǐng)求消息中的EAP消息傳送到AAA服務(wù)器��。接收到RADIUS請(qǐng)求消息的AAA服務(wù)器可以例如生成接入接受RADIUS消息或接入拒絕RADIUS消息或接入詢問 RADIUS并將其作為RADIUS響應(yīng)消息傳送到網(wǎng)絡(luò)服務(wù)器�����?���?梢岳缃柚诰W(wǎng)絡(luò)服務(wù)器從AAA 服務(wù)器的RADIUS響應(yīng)消息提取AAA服務(wù)器的EAP消息,并借助于編碼模塊在用于層3協(xié)議層中的被定義的位序列的XML響應(yīng)中將所述AAA服務(wù)器的EAP消息編碼并傳送到移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)���。所述變型具有與已經(jīng)介紹的實(shí)施例變型相同的優(yōu)點(diǎn)��。在另一實(shí)施例變型中�����,在每次新的接入時(shí)改變WISft·登錄URL�,下一個(gè)登錄URL是由網(wǎng)絡(luò)服務(wù)器借助于包含HTTP響應(yīng)消息的EAP請(qǐng)求消息確定的。所述變型除了別的以外還具有能夠以快速且容易實(shí)現(xiàn)的方式來增強(qiáng)提供商安全的優(yōu)點(diǎn)���。這里應(yīng)強(qiáng)調(diào)的是除根據(jù)本發(fā)明的方法之外���,本發(fā)明還涉及用于執(zhí)行此方法的系統(tǒng)����。
下面將參考示例來描述本發(fā)明的實(shí)施例變型。用以下附圖來舉例說明實(shí)施例的示例
圖1示出示意性地舉例說明基于802. Ix的網(wǎng)絡(luò)的方框圖����,其中EAP作為用于WiMAX認(rèn)證的所選方法。IEEE 802. 11標(biāo)準(zhǔn)的安全型式(稱為802. Ix)使用EAP作為認(rèn)證機(jī)制���。參考數(shù)字10是移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)�����,參考數(shù)字20是不同接入點(diǎn)(AP)���,參考數(shù)字21是接入服務(wù)器(AS) 或網(wǎng)絡(luò)接入服務(wù)器(NAS)且參考數(shù)字22是AAA服務(wù)器。由于在認(rèn)證之前不存在高達(dá)層3 協(xié)議層的可能性��,所以在認(rèn)證之前不存在用于移動(dòng)節(jié)點(diǎn)10的IP網(wǎng)絡(luò)接入。目前�,非常少的 WLAN熱點(diǎn)網(wǎng)絡(luò)已部署了 802. lx,因?yàn)檫@種方法固有地防止用戶經(jīng)由信用卡來購買因特網(wǎng)接入(即���,不可能通過802. Ix來提供UAM接入)����。圖2示出同樣示意性地舉例說明基于802. 11的接入無線網(wǎng)絡(luò)的UAM認(rèn)證的方框圖����。在“圍墻花園”的概念中,圍墻花園是防止連接在圍墻花園內(nèi)的設(shè)備在被認(rèn)證之前接入因特網(wǎng)的“顛倒的”內(nèi)部網(wǎng)�。參考數(shù)字20是接入點(diǎn)(AP),參考數(shù)字10是移動(dòng)IP節(jié)點(diǎn)�����,參考數(shù)字23是作為強(qiáng)制網(wǎng)絡(luò)門戶的網(wǎng)絡(luò)服務(wù)器�����,參考數(shù)字24是NAS (網(wǎng)絡(luò)接入服務(wù)器)����,參考數(shù)字25是DHCP服務(wù)器且參考數(shù)字22是AAA服務(wù)器�。參考數(shù)字30是作為全球骨干網(wǎng)絡(luò)的已知因特網(wǎng)�。不同于802. lx,這種技術(shù)允許設(shè)備在被認(rèn)證之前到達(dá)所有聯(lián)網(wǎng)層�����,包括層3 (即 IP層)并針對(duì)會(huì)話被收費(fèi)���。這種技術(shù)的利害關(guān)系是圍墻花園中的網(wǎng)絡(luò)服務(wù)器23能夠用來執(zhí)行不同類型的認(rèn)證,包括經(jīng)由瀏覽器的認(rèn)證和用信用卡進(jìn)行的支付(用802. Ix是不可能的)�����。UAM認(rèn)證由于在不需要訂閱的情況下直接在熱點(diǎn)處支付的此可能性而非常受歡迎���。圖3示出示意性地舉例說明如提出的本發(fā)明的方框圖�����。如圖1所示�,提出的架構(gòu)滿足對(duì)EAP架構(gòu)的要求���。EAP認(rèn)證器42位于網(wǎng)絡(luò)服務(wù)器23和NAS 24上���。請(qǐng)注意��,網(wǎng)絡(luò)服務(wù)器23和NAS 24在大多數(shù)情況下將是兩個(gè)不同的網(wǎng)絡(luò)�。然而����,出于描述本發(fā)明的目的,那兩個(gè)系統(tǒng)23/24提供一個(gè)集成單元�。參考數(shù)字22再次是AAA服務(wù)器且參考數(shù)字43是EAP 服務(wù)器。此外����,10是移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)或移動(dòng)IP節(jié)點(diǎn)且41是EAP對(duì)端。移動(dòng)IP節(jié)點(diǎn)10和接入點(diǎn)20經(jīng)由由網(wǎng)絡(luò)接口卡101/201進(jìn)行的無線連接被連接�����。然而���,請(qǐng)注意���,網(wǎng)絡(luò)節(jié)點(diǎn)10與系統(tǒng)之間的連接不需要是無線的。本發(fā)明還為例如以太網(wǎng)工作�。來自IPASS的GIS也用漫游的有線接入進(jìn)行工作����。圖4示出示意性地舉例說明如提出的本發(fā)明的方框圖�。WISPr協(xié)議被增補(bǔ)至包括編碼的EAP消息。EAP認(rèn)證器42位于網(wǎng)絡(luò)服務(wù)器23/NAS 24上�����。網(wǎng)絡(luò)服務(wù)器23/NAS 24充當(dāng)沿WISPr客戶端方向的WISPr服務(wù)器(即移動(dòng)節(jié)點(diǎn)/設(shè)備10)且沿AAA服務(wù)器22的方向作為RADIUS客戶端�。AAA服務(wù)器22充當(dāng)?shù)絉ADIUS客戶端的RADIUS服務(wù)器。然而�����,應(yīng)注意的是可以將AAA服務(wù)器22實(shí)現(xiàn)為具有NAS 24的一個(gè)網(wǎng)絡(luò)實(shí)體��。AAA服務(wù)器22包括EAP 服務(wù)器43且移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)10包括EAP對(duì)端41����。圖5示出示意性地舉例說明WISPr大綱的方框圖��,作為用于客戶端(參考圖2)的基于網(wǎng)絡(luò)的登錄標(biāo)準(zhǔn)方法(UAM)����。該操作大綱最初是由WLAN聯(lián)盟在2003年2月發(fā)行的�����。 WISPr規(guī)范定義了用來提交用戶證書�、對(duì)認(rèn)證結(jié)果進(jìn)行輪詢等的XML方案��。雖然在Wi-Fi聯(lián)盟網(wǎng)站上不再可公開地獲得�����,但此WISPr附件D是Wi-Fi電信行業(yè)中的事實(shí)標(biāo)準(zhǔn)���。據(jù)估計(jì)�, 超過90%的商用熱點(diǎn)網(wǎng)絡(luò)將WISPr附件D實(shí)現(xiàn)為接入方法����。客戶端(圖2中的參考數(shù)字10) 包括客戶端軟件��。網(wǎng)關(guān)是被訪問WLAN網(wǎng)絡(luò)上的WISPr服務(wù)器23����。AAA是歸屬網(wǎng)絡(luò)運(yùn)營商處的認(rèn)證服務(wù)器22。WISPr定義客戶端10與網(wǎng)關(guān)23/24之間的支腿。網(wǎng)關(guān)與AAA之間的支腿是 Radius 或 Diameter�。圖6示出示意性地舉例說明由Comfone AG和Service Factory AB在2004年開發(fā)的兩階段WISPr EAP認(rèn)證的方框圖。此技術(shù)解決方案允許通過WISPr使能熱點(diǎn)進(jìn)行EAP 類型的認(rèn)證��。這種解決方案是兩階段方案��,具有其中進(jìn)行EAP認(rèn)證的第一階段�����。從此階段出來���,生成一次性用戶名/ 口令����,并且客戶端然后繼續(xù)進(jìn)行正常的WISPr登錄以打開WLAN 會(huì)話����。上文已描述了該技術(shù)的缺點(diǎn)��。
具體實(shí)施例方式圖3和4舉例說明能夠用來實(shí)現(xiàn)本發(fā)明的架構(gòu)����。圖3示出示意性地舉例說明用于在無線局域網(wǎng)(WLAN)31中對(duì)移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)10進(jìn)行認(rèn)證的方法和系統(tǒng)的方框圖。移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)10包括無線網(wǎng)絡(luò)接口 101���,例如無線網(wǎng)絡(luò)接口卡(NIC)����。然而,請(qǐng)注意�,網(wǎng)絡(luò)節(jié)點(diǎn)10與系統(tǒng)之間的連接不需要是無線的。本發(fā)明還為例如以太網(wǎng)工作�����。來自IPASS的GIS也用漫游的有線接入進(jìn)行工作�����。為了進(jìn)行認(rèn)證�����,移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)10經(jīng)由無線網(wǎng)絡(luò)接口 101/201在接入點(diǎn)20處請(qǐng)求對(duì)WLAN 31的接入����。重要的是請(qǐng)注意,本發(fā)明還可以適用于WiMAX���。雖然現(xiàn)在WiMAX認(rèn)證僅僅基于EAP����,但可以想象在未來,WiMAX可以使用“圍墻花園”方法�����。在封閉的第一網(wǎng)絡(luò)區(qū)域(也稱為“圍墻花園”)內(nèi)����,在認(rèn)證之前,借助于移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)10來建立高達(dá)層3協(xié)議層(L3)的所有網(wǎng)絡(luò)協(xié)議層��。使用通用接入方法(UAM)在被實(shí)現(xiàn)為用于對(duì)移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)10進(jìn)行認(rèn)證的強(qiáng)制網(wǎng)絡(luò)門戶的網(wǎng)絡(luò)服務(wù)器23與層3協(xié)議層中的移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)10之間傳送包含移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)10的認(rèn)證數(shù)據(jù)的消息����。在本申請(qǐng)中應(yīng)將UAM—般地理解為例如基于802. 11的用于WLAN的接入方法。作為方法的UAM可以允許訂戶接入WLAN�,尤其是Wi-Fi 網(wǎng)絡(luò),由此����,僅使用因特網(wǎng)瀏覽器����。因特網(wǎng)瀏覽器例如用登錄頁面打開��,在登錄頁面中�����,用戶必須在被許可接入網(wǎng)絡(luò)之前填寫其證書(通常是用戶名和口令)�。還可以將UAM理解為HTTP (超文本傳輸協(xié)議)或多個(gè)HTTP (安全HTTP (S-HTTP)協(xié)議層上的接入信息交換方法����。網(wǎng)頁頁面的所有標(biāo)準(zhǔn)傳輸(HTTP/多個(gè)HTTP上的HTML)以及能夠在HTTP上運(yùn)行的其它方法(例如HTTP/多個(gè)HTTP上的XML/S0AP)落在此種類中。就此而論��,將HTTP理解為無狀態(tài)底層協(xié)議��,其能夠定義如何對(duì)消息進(jìn)行格式化和傳送�����,響應(yīng)于各種命令應(yīng)采取什么動(dòng)作�,例如網(wǎng)絡(luò)服務(wù)器和瀏覽器。所述多個(gè)HTTP協(xié)議被理解為對(duì)HTTP的擴(kuò)展�,其允許在網(wǎng)絡(luò)中的HTTP 層上安全地傳送數(shù)據(jù)。例如用多個(gè)HTTP���,可以通過使用例如SSL (安全套接層)協(xié)議來創(chuàng)建客戶端與服務(wù)器之間的安全連接����,通過該連接,能夠安全地發(fā)送任何量的數(shù)據(jù)�。因此,使用多個(gè)HTTP���,能夠安全地傳送單獨(dú)消息�����。如果授權(quán)是成功的����,則網(wǎng)絡(luò)接入服務(wù)器(NAS) 24使得能夠?qū)崿F(xiàn)移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)10到第二網(wǎng)絡(luò)區(qū)域30的接入����。第二網(wǎng)絡(luò)區(qū)域30可以是例如全球骨干網(wǎng)絡(luò)因特網(wǎng)、內(nèi)部網(wǎng)或由網(wǎng)絡(luò)接入服務(wù)器M控制的任何其它第二網(wǎng)絡(luò)區(qū)域�����。
圖3中的參考數(shù)字10涉及移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)或移動(dòng)IP節(jié)點(diǎn)�����,其在其布置上具有包括硬件和軟件部件的所需基礎(chǔ)設(shè)施以實(shí)現(xiàn)根據(jù)本發(fā)明的所述方法和/或系統(tǒng)��。除了別的之夕卜�����,還應(yīng)將移動(dòng)節(jié)點(diǎn)10理解為是供在各種網(wǎng)絡(luò)位置處和/或各種網(wǎng)絡(luò)中使用的所有可能的所謂的客戶端設(shè)備(CPE)�����。這些包括例如所有具有IP能力的設(shè)備�,諸如,例如PDA����、移動(dòng)無線電電話和膝上型計(jì)算機(jī)。移動(dòng)CPE或節(jié)點(diǎn)10可以具有也能夠支持多個(gè)不同網(wǎng)絡(luò)標(biāo)準(zhǔn)的一個(gè)或多個(gè)不同物理網(wǎng)絡(luò)接口 101����。因此,參考數(shù)字101/201是適當(dāng)?shù)木W(wǎng)絡(luò)接口卡(NIC)���。 移動(dòng)節(jié)點(diǎn)的物理網(wǎng)絡(luò)接口可以包括例如到WLAN (無線局域網(wǎng))�、藍(lán)牙、GSM (全球移動(dòng)通信系統(tǒng))�����、GPRS (通用分組無線電服務(wù))�����、USSD (非結(jié)構(gòu)化補(bǔ)充數(shù)據(jù)服務(wù))��、UMTS (通用移動(dòng)電信系統(tǒng))和/或以太網(wǎng)或另一有線LAN (局域網(wǎng))等的接口���。參考數(shù)字50是基于IEEE 802.11����, 但是可以包括不同的異構(gòu)網(wǎng)絡(luò)�����,諸如����,例如,例如用于安裝在上蓋區(qū)域中的藍(lán)牙網(wǎng)絡(luò)��、具有 GSM和/或UMTS的移動(dòng)無線電網(wǎng)絡(luò)等、例如基于IEEE無線802. Ix的無線LAN��,而且還有有線LAN�����,即本地固定網(wǎng)絡(luò)���,特別地還有PSTN (公共交換電話網(wǎng))等。原則上��,可以說根據(jù)本發(fā)明的方法和/或系統(tǒng)未被束縛于特定的網(wǎng)絡(luò)標(biāo)準(zhǔn)����,只要存在根據(jù)本發(fā)明的特征,而可以用基于圍墻花園32技術(shù)結(jié)構(gòu)的任何LAN來實(shí)現(xiàn)���。移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)10的接口 101不僅可以是諸如直接被例如以太網(wǎng)或令牌環(huán)的網(wǎng)絡(luò)協(xié)議使用的分組交換接口�����,而且還可以是可以與諸如 PPP (點(diǎn)到點(diǎn)協(xié)議���,參見IETF RFC),SLIP (串行線因特網(wǎng)協(xié)議)或GPRS (通用分組無線電服務(wù))的協(xié)議一起使用的電路交換接口���,即例如不具有諸如MAC或DLC地址的網(wǎng)絡(luò)地址的那些接口。如之前部分地所述的�����,通信可以例如借助于特殊的短消息(例如SMS (短消息服務(wù))���、 EMS (增強(qiáng)型消息服務(wù)))通過LAN���、通過例如USSD (非結(jié)構(gòu)化補(bǔ)充服務(wù)數(shù)據(jù))或其它技術(shù)(比如MExE (移動(dòng)執(zhí)行環(huán)境)、GPRS (通用分組無線電服務(wù))���、WAP (無線應(yīng)用協(xié)議)或UMTS (通用移動(dòng)電信系統(tǒng)))或者通過IEEE無線802. Ix或經(jīng)由另一用戶信息通道來進(jìn)行����。移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)10是移動(dòng)IP節(jié)點(diǎn)���,其可以包括移動(dòng)IP模塊和/或IPsec模塊����。移動(dòng)IP的主要任務(wù)由在IP網(wǎng)絡(luò)中對(duì)IP節(jié)點(diǎn)10或IP節(jié)點(diǎn)10的用戶進(jìn)行認(rèn)證和相應(yīng)地重新路由具有移動(dòng)節(jié)點(diǎn)10作為目的地地址的IP分組構(gòu)成。對(duì)于其它移動(dòng)IP規(guī)范而言�����,還參見例如IETF(因特網(wǎng)工程任務(wù)組)RFC 2002�,IEEE Comm. Vol. 35 No. 5 1997等。移動(dòng)IP尤其支持IPv6和 IPv4���?��?梢詢?yōu)選地將移動(dòng)IP能力與IPsec (IP安全協(xié)議)模塊的安全機(jī)制組合以保證公共因特網(wǎng)中的安全的移動(dòng)數(shù)據(jù)管理�。IPsec (IP安全協(xié)議)在利用IPsec的網(wǎng)絡(luò)集線器之間逐個(gè)分組或逐個(gè)套接字地生成認(rèn)證/機(jī)密性機(jī)制。IPsec的靈活性之一尤其在于其能夠被逐個(gè)分組地以及針對(duì)單獨(dú)套接字進(jìn)行配置�。IPsec支持IPvx,尤其是IPv6和IPv4�����。對(duì)于詳細(xì)的IPsec規(guī)范�����,參考例如Pete Loshin =IP安全架構(gòu)�����;Morgan Kaufmann出版社;11/1999 或 A Technical Guide to IPsec James S 等人����;CRC Press,LLC ;12/2000 等���。雖然在本實(shí)施例示例中在描述IP層上的安全協(xié)議的使用時(shí)使用IPsec作為示例��,但根據(jù)本發(fā)明����,可以設(shè)想所有其它可能的安全協(xié)議或安全機(jī)制或者甚至省略安全協(xié)議�。在網(wǎng)絡(luò)服務(wù)器23和/或網(wǎng)絡(luò)接入服務(wù)器24上生成基于可擴(kuò)展認(rèn)證協(xié)議(EAP,在 IETF處定義���,參見IETF RFC 4648)的認(rèn)證器42����。接入點(diǎn)20可以包括適當(dāng)?shù)慕尤朦c(diǎn)端口接入實(shí)體(PAE) 202和/或未授權(quán)端口 203����。應(yīng)注意的是在基于802. Ix的系統(tǒng)實(shí)現(xiàn)中,在接入點(diǎn)20上進(jìn)行端口控制,其中��,在基于WISPr上的EAP的系統(tǒng)實(shí)現(xiàn)中����,在NAS 24上進(jìn)行端口控制。在認(rèn)證器42與移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)10之間借助于包含編碼的EAP消息的被定義的位序列雙向地?cái)U(kuò)展層3協(xié)議層����,其包括EAP對(duì)端41和客戶端端口接入入口(PAE) 103?�?梢岳缭趯?協(xié)議層(L2)中生成對(duì)網(wǎng)絡(luò)的媒體介入��,并且可以例如基于802. 11 WLAN網(wǎng)絡(luò)31 來生成對(duì)物理層1 (Li)的接入�����?��?梢詫?協(xié)議層生成為WISPr協(xié)議層。在移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)10進(jìn)行的接入請(qǐng)求的情況下�,網(wǎng)絡(luò)服務(wù)器23通過借助于編碼模塊231將用于層3協(xié)議層的EAP消息請(qǐng)求編碼并借助于被定義的位序列在層3協(xié)議層中傳送編碼的消息請(qǐng)求來向移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)10傳送認(rèn)證刺激。移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)20借助于編碼模塊104從被定義的位序列將EAP消息請(qǐng)求解碼并借助于被定義的位序列在層3協(xié)議層中向認(rèn)證器42傳送編碼的EAP 響應(yīng)消息�����。EAP響應(yīng)消息包括移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)10的認(rèn)證數(shù)據(jù)。認(rèn)證數(shù)據(jù)可以例如包括SIM卡 102的身份(ID)參考和/或口令和/或散列值和/或IMSI����。網(wǎng)絡(luò)服務(wù)器23借助于編碼模塊231從位序列將EAP響應(yīng)消息解碼,并借助于認(rèn)證查詢將其傳送到包括EAP服務(wù)器43的 AAA服務(wù)器22�����?��?梢岳缬蒖ADIUS或DIAMETER協(xié)議層來實(shí)現(xiàn)網(wǎng)絡(luò)服務(wù)器23與AAA服務(wù)器24之間的認(rèn)證查詢�����?���;贏AA服務(wù)器22的認(rèn)證響應(yīng)���,網(wǎng)絡(luò)接入服務(wù)器24使得第二網(wǎng)絡(luò)區(qū)域30能夠供移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)10使用�?����?梢詫⒒赨AM的WLAN 31實(shí)現(xiàn)為無線因特網(wǎng)服務(wù)提供商漫游網(wǎng)絡(luò)(WISPr),其中�����,基于網(wǎng)絡(luò)服務(wù)器23與移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)10之間的WISPr消息在層3協(xié)議層中傳送包含移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)10的認(rèn)證數(shù)據(jù)的消息�����。借助于編碼模塊104/231�����,向和從定義的XML字符集雙向地轉(zhuǎn)換二進(jìn)制EAP消息�,并將所述二進(jìn)制EAP消息插入L3協(xié)議層中和/或借助于編碼模塊104/231將所述二進(jìn)制EAP消息從L3協(xié)議層提取出來?�?梢岳缁贗EFT Base64編碼(參見IETF RFC 4648)借助于編碼模塊104/231來完成該轉(zhuǎn)換�。沿著從認(rèn)證器42到包括EAP對(duì)端41的移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)的方向�����,可以例如借助于預(yù)留數(shù)據(jù)塊來擴(kuò)展WISPr XML協(xié)議方案�����,該預(yù)留數(shù)據(jù)塊包含編碼的EAP消息。同樣地��,沿著從移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)10的對(duì)端41到認(rèn)證器42的方向���,在層3協(xié)議層中傳送的被定義的位序列可以例如借助于附加EAP消息來包含HTTP POST消息和/或HTTP GET消息�����。還可以實(shí)現(xiàn)WISPr��,因?yàn)橐苿?dòng)節(jié)點(diǎn)10至網(wǎng)絡(luò)服務(wù)器23的方向不使用XML�����。在URL的查詢參數(shù)(HTTP GET)中或作為形式參數(shù)(HTTP POST)來傳送信息�。網(wǎng)絡(luò)服務(wù)器23如果被移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)10觸發(fā)到新URL上�����,則可以例如生成擴(kuò)展響應(yīng)���,WISft· XML數(shù)據(jù)塊被XML編碼的EAP消息擴(kuò)展��?��?梢杂梢苿?dòng)網(wǎng)絡(luò)節(jié)點(diǎn)10借助于包含 HTTP Get消息的被定義的位序列來觸發(fā)網(wǎng)絡(luò)服務(wù)器23��。包括EAP對(duì)端41的移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn) 10可以例如生成EAP響應(yīng)消息����,并借助于編碼模塊104將其編碼以便傳送到認(rèn)證器42��,并將其作為WISPr XML數(shù)據(jù)塊的登錄URL的參數(shù)添加在被定義的位序列中�����。網(wǎng)絡(luò)服務(wù)器23可以例如借助于編碼模塊231從被定義的位序列將來自L3協(xié)議層中的傳輸?shù)腅AP消息解碼�, 并將其作為RADIUS請(qǐng)求消息中的EAP消息傳送到AAA服務(wù)器22。接收到RADIUS請(qǐng)求消息的AAA服務(wù)器22可以例如生成接入接受RADIUS消息或接入拒絕RADIUS消息并將其作為 RADIUS響應(yīng)消息傳送到網(wǎng)絡(luò)服務(wù)器23�。可以例如借助于網(wǎng)絡(luò)服務(wù)器23從AAA服務(wù)器22 的RADIUS響應(yīng)消息提取AAA服務(wù)器22的EAP消息�����,并且可以例如借助于編碼模塊231在用于層3協(xié)議層中的被定義的位序列的XML響應(yīng)中對(duì)所述EAP消息進(jìn)行編碼并將所述EAP 消息傳送到移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)10�����。作為附加實(shí)施例變型��,可以在每次新的接入時(shí)改變WISft·登錄URL���,下一個(gè)登錄URL是由網(wǎng)絡(luò)服務(wù)器23借助于包含HTTP響應(yīng)消息的EAP請(qǐng)求消息確定的���。在本文中,作為特殊實(shí)施例變型���,客戶端或移動(dòng)節(jié)點(diǎn)10還可以例如接收兩個(gè)或者甚至多個(gè)登錄URL�����,其中����,它們中的一個(gè)用于正常用戶名/ 口令���。如圖3所示����,提出的架構(gòu)實(shí)現(xiàn)滿足EAP架構(gòu)�����。EAP認(rèn)證器42位于網(wǎng)絡(luò)服務(wù)器23和 NAS對(duì)上。重要的是請(qǐng)注意網(wǎng)絡(luò)服務(wù)器23和NAS M在大多數(shù)情況下將是兩個(gè)不同的網(wǎng)絡(luò)��。 然而�����,出于描述本發(fā)明的目的���,那兩個(gè)系統(tǒng)提供一個(gè)集成單元�����。作為本發(fā)明的一部分����,WISft· 協(xié)議被增補(bǔ)至包括EAP消息(參見圖4)���。EAP認(rèn)證器42位于網(wǎng)絡(luò)服務(wù)器23/NAS M上�。網(wǎng)絡(luò)服務(wù)器23/NAS 24充當(dāng)沿WISft·客戶端(即移動(dòng)節(jié)點(diǎn)/設(shè)備10)方向的WISft·服務(wù)器且沿 AAA服務(wù)器22的方向作為RADIUS客戶端����。AAA服務(wù)器22充當(dāng)?shù)絉ADIUS客戶端的RADIUS 服務(wù)器����。AAA服務(wù)器22包括EAP服務(wù)器43且移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)10包括EAP對(duì)端41��。所述被定義的位序列是作為附加字段產(chǎn)生的以沿著兩個(gè)方向載送編碼的EAP消息����?�?梢苑謩e由移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)10和網(wǎng)絡(luò)服務(wù)器23的適當(dāng)編碼模塊104/231來完成編碼和解碼�。EAP分組的可能編碼是IETF Base64編碼。編碼是必需的���,因?yàn)镋AP是二進(jìn)制格式且XML具有有限字符集�。用Base64編碼����,可以在考慮XML的字符集的同時(shí)傳送EAP分組的字節(jié)。還對(duì)WISPr 協(xié)議進(jìn)行增補(bǔ)����。在認(rèn)證器42至對(duì)端41的方向上,由被定義的位序列將WISPr XML方案擴(kuò)展至包括包含編碼的EAP消息的新字段(例如<eap>……</eap>)。在對(duì)端41至認(rèn)證器 42的方向上����,以完成HTTP POST時(shí)的形式來通知作為被定義的位序列的附加變量(例如EAP =……)。在執(zhí)行HTTP GET而不是HTTP POST的情況下��,還可以將此參數(shù)添加到URL查詢參數(shù)列表�����。然而�,給定EAP消息的長度,這可能引起問題�。WISft·現(xiàn)在被指定為使用POST。WISPr服務(wù)器23在被任意URL上的HTTP Get觸發(fā)時(shí)將在其返回到移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn) 10的WISPr XML塊中包括已編碼EAP請(qǐng)求消息����。充當(dāng)EAP對(duì)端41的移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)10產(chǎn)生EAP響應(yīng),其被針對(duì)傳輸編碼并作為在WISPr XML塊中傳遞的登錄URL中的參數(shù)被傳送回來�。接收到EAP編碼消息的WISft·服務(wù)器23將對(duì)分組進(jìn)行解碼(即將其變換回二進(jìn)制)并將其作為Radius請(qǐng)求中的EAP消息朝著AAA服務(wù)器22發(fā)送。現(xiàn)在�,WISft·服務(wù)器提取用戶名/ 口令并將其在Radius請(qǐng)求的適當(dāng)屬性中發(fā)送(例如用戶名和用戶口令Radius屬性)。AAA服務(wù)器22可以發(fā)送回隨后被編碼并在HTTP響應(yīng)中被傳送回到對(duì)端的接入詢問����。 后者然后使用登錄URL上的HTTP請(qǐng)求將EAP響應(yīng)發(fā)送回到EAP認(rèn)證器42���。可以發(fā)生詢問 /請(qǐng)求的更多迭代���。最后���,AAA服務(wù)器22返回接入接受��、接入拒絕Radius消息�����。此Radius 消息可以包含EAP消息��。如果存在此類EAP消息��,則WISft·服務(wù)器23將其從Radius消息提取���,將其編碼以可通過XML傳送��,并將其放入被發(fā)送回到移動(dòng)設(shè)備10上的客戶端軟件的 XML響應(yīng)中�。在WISft·規(guī)范中定義的輪詢?cè)诖薊AP擴(kuò)展的情況下用以與在當(dāng)前WISPr 1. 0的情況下相同的方式工作����。WISft·登錄URL在每次迭代時(shí)可以是不同的���。由WISft·服務(wù)器23在包含EAP請(qǐng)求的HTTP響應(yīng)中指示下一個(gè)登錄URL。雖然相當(dāng)簡(jiǎn)單����,但這種方法開辟了通過基于XML的UAM的EAP認(rèn)證方法的可能性(對(duì)SIM 102、證書認(rèn)證的支持)���。在已支持WISPr 的客戶端軟件中實(shí)現(xiàn)此類擴(kuò)展是相當(dāng)直接的�����。其還要求對(duì)熱點(diǎn)運(yùn)營商的基礎(chǔ)設(shè)施的最少變化并能夠充當(dāng)其基礎(chǔ)設(shè)施到雙802. 11和802. Ix的昂貴升級(jí)的替代��。用本發(fā)明�����,WISP變成用于EAP消息的另一傳送協(xié)議����。與WiMAX的會(huì)聚則變得直接���,因?yàn)槿缓笏蠩AP認(rèn)證方案得到支持��。雖然WISft·是本發(fā)明的主要目標(biāo)���,但本發(fā)明能夠應(yīng)用于任何基于UAM的登錄方法�。EAP被設(shè)計(jì)為在鏈路層(層2)上運(yùn)行����。所有鏈路層具有最大MTU (最大傳輸單元) 尺寸。MTU提供網(wǎng)絡(luò)能夠傳送的以字節(jié)為單位測(cè)量的最大物理分組尺寸��。大于MTU的任何消息在被發(fā)送之前被劃分成較小分組�����。通常�,每個(gè)網(wǎng)絡(luò)具有能夠由網(wǎng)絡(luò)管理員來設(shè)置的不同MTU���。移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)10可以設(shè)置MTU��。這定義從你的計(jì)算機(jī)發(fā)送到網(wǎng)絡(luò)上的分組的最大尺寸����。理想地,可以將MTU設(shè)置為與節(jié)點(diǎn)和消息的最終目的地之間的所有網(wǎng)絡(luò)的最小MTU相同��。否則����,如果消息大于中間MTU中的一個(gè),則其將被破碎(分段)�,這減慢了傳輸速度。某些EAP方法��,例如EAP-TLS���,能夠產(chǎn)生相當(dāng)大的消息����??梢栽趥鬏斨皩⒋祟愊⒎侄危?yàn)殒溌穼硬荒苓M(jìn)行分段和重組��。對(duì)端41和EAP服務(wù)器22負(fù)責(zé)傳輸之前的分段和接收時(shí)的重組�。在本發(fā)明中,分段可以在對(duì)端41和EAP服務(wù)器22處保持����,或者分段和重組可以在NAS 24處發(fā)生��。在后一種情況下���,EAP對(duì)端將完整的EAP消息發(fā)送到網(wǎng)絡(luò)服務(wù)器23,無論消息的尺寸如何(HTTP提供對(duì)非常大的消息的支持)�。NAS M然后基于其對(duì)MTU尺寸的了解(配置值或自動(dòng)檢測(cè))將消息分段。NAS M運(yùn)行處理分段和重新傳送的那部分EAP有限狀態(tài)機(jī)�����。 當(dāng)AAA服務(wù)器22發(fā)送EAP消息的片段時(shí)��,NAS 24確認(rèn)那些片段并重構(gòu)經(jīng)由HTTP相應(yīng)傳送到設(shè)備的整個(gè)消息����。由于分段是EAP方法相關(guān)的,所以為了執(zhí)行分段和重組����,NAS M必須是EAP方法知道的����。可以在WISft·的初始改向消息中或在任何后續(xù)消息中傳送由網(wǎng)絡(luò)服務(wù)器23和NAS 24朝著對(duì)端41發(fā)起的EAP身份請(qǐng)求�����。前一選擇是優(yōu)選的,因?yàn)槠涫雇ㄐ艃?yōu)化并能夠用作熱點(diǎn)支持EAPoWISft 認(rèn)證的指示符����。EAP結(jié)構(gòu)指定認(rèn)證器(即NAS 24)觸發(fā)對(duì)身份的請(qǐng)求。 作為實(shí)施例變型�����,移動(dòng)節(jié)點(diǎn)可以例如發(fā)送用于EAP的觸發(fā)器����。此觸發(fā)器已包含其身份。作為NAS對(duì)再次詢問移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)10的身份的替代(按照EAP RFC)��,認(rèn)證器可以直接請(qǐng)求詢問(其可以例如基本上使用由移動(dòng)節(jié)點(diǎn)在原始請(qǐng)求中提供的身份)��。在一個(gè)實(shí)施例變型中�����, 熱點(diǎn)可以返回單獨(dú)的URL以用于WISProEAP認(rèn)證����。另一實(shí)施方式可以使用正常WISft·登錄
15URL參數(shù)來指示對(duì)端41必須將EAP響應(yīng)張貼在哪里���。包括用于WISPr的所述XML的所提出的發(fā)明解決方案在現(xiàn)有技術(shù)中未以任一方式已知。注意到網(wǎng)絡(luò)服務(wù)器23借助于認(rèn)證請(qǐng)求從位序列將EAP響應(yīng)消息解碼并將其傳送到AAA服務(wù)器222也是重要的���,其中��,由于認(rèn)證請(qǐng)求可以例如包括幾輪的RADIUS詢問/請(qǐng)求�����,直至AAA服務(wù)器22接受或拒絕該認(rèn)證����?����;贏AA服務(wù)器22的認(rèn)證響應(yīng)�,使得能夠借助于網(wǎng)絡(luò)接入服務(wù)器24接入第二網(wǎng)絡(luò)區(qū)域30以供移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)10使用。參考數(shù)字列表
10 移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)
101網(wǎng)絡(luò)接口(NIC)/無線網(wǎng)絡(luò)接口
102SIM 卡
103客戶端端口接入實(shí)體(PAE)
104編碼模塊
20接入點(diǎn)
201無線網(wǎng)絡(luò)接口(NIC)
202接入點(diǎn)端口接入實(shí)體(PAE)
203未授權(quán)端口
21接入服務(wù)器
22AAA服務(wù)器
23網(wǎng)絡(luò)服務(wù)器 231 編碼模塊
24網(wǎng)絡(luò)接入服務(wù)器(NAS)
25DHCP服務(wù)器
30因特網(wǎng)或第二網(wǎng)絡(luò)區(qū)域
31無線局域網(wǎng)
32圍墻花園或第一網(wǎng)絡(luò)區(qū)域
41EAP對(duì)端
42EAP認(rèn)證器
43EAP服務(wù)器
50經(jīng)由WLAN (例如無線802. 11)的無線連接
51具有EAP擴(kuò)展的WISPr
52具有EAP消息的RADIUS Ll 層1協(xié)議層/物理層 L2 層2協(xié)議層/MAC層
L3 層2協(xié)議層/TCP/IP層
權(quán)利要求
1.一種用于在無線局域網(wǎng)(WLAN 31)中對(duì)移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)進(jìn)行認(rèn)證的方法�����,其中��, 經(jīng)由網(wǎng)絡(luò)接口(101/201)���,移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)請(qǐng)求在接入點(diǎn)(20)處接入WLAN (31)��,其中����, 在封閉的第一網(wǎng)絡(luò)區(qū)域(圍墻花園(32)內(nèi)����,在認(rèn)證之前,借助于移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)���,建立高達(dá)層3協(xié)議層(L3)的所有網(wǎng)絡(luò)協(xié)議層�����,并且其中�����,在作為強(qiáng)制網(wǎng)絡(luò)門戶的網(wǎng)絡(luò)服務(wù)器(23) 與移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)之間���,使用通用接入方法(UAM)在層3協(xié)議層中傳送包含移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)的認(rèn)證數(shù)據(jù)的消息�����,并且如果授權(quán)和/或授權(quán)是成功的�,則網(wǎng)絡(luò)接入服務(wù)器(24)使得能夠?qū)崿F(xiàn)移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)到第二網(wǎng)絡(luò)區(qū)域(30)的接入���,其特征在于在網(wǎng)絡(luò)服務(wù)器(23)和/或網(wǎng)絡(luò)接入服務(wù)器(24)上生成基于可擴(kuò)展認(rèn)證協(xié)議(EAP) 的認(rèn)證器(42)�,認(rèn)證器(42)與包括EAP對(duì)端(41)的移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)之間的層3協(xié)議層借助于包含已編碼EAP消息的被定義的位序列被雙向地?cái)U(kuò)展�,在于在由移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)進(jìn)行的接入請(qǐng)求的情況下,網(wǎng)絡(luò)服務(wù)器(23)通過將用于層3協(xié)議層的EAP消息請(qǐng)求編碼并借助于被定義的位序列將其在層3協(xié)議層中傳送來向移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)傳送認(rèn)證刺激���,在于移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(20)將來自被定義的位序列的EAP消息請(qǐng)求解碼�����,并借助于被定義的位序列在層3協(xié)議層中向認(rèn)證器傳送已編碼EAP響應(yīng)消息����,EAP響應(yīng)消息包括移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)的認(rèn)證數(shù)據(jù)��,在于網(wǎng)絡(luò)服務(wù)器(23)從位序列將EAP響應(yīng)消息解碼��,借助于認(rèn)證請(qǐng)求或多個(gè)認(rèn)證詢問 /請(qǐng)求將其傳送到包括EAP服務(wù)器(43 )的AAA服務(wù)器(22 ),并且基于由AAA服務(wù)器(22 )進(jìn)行的認(rèn)證響應(yīng)���,借助于網(wǎng)絡(luò)接入服務(wù)器(24)使得能夠接入第二網(wǎng)絡(luò)區(qū)域(30)以供移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)使用。
2.根據(jù)權(quán)利要求1所述的對(duì)移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)進(jìn)行認(rèn)證的方法�,其特征在于由RADIUS 或DIAMETER協(xié)議層來實(shí)現(xiàn)網(wǎng)絡(luò)服務(wù)器(23)與AAA服務(wù)器(24)之間的認(rèn)證查詢。
3.根據(jù)權(quán)利要求1或2中的一項(xiàng)所述的對(duì)移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)進(jìn)行認(rèn)證的方法��,其特征在于由無線因特網(wǎng)服務(wù)提供商漫游激活(WISPr)來實(shí)現(xiàn)基于UAM的WLAN (31)���,并且基于網(wǎng)絡(luò)服務(wù)器(23)與移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)之間的WISPr消息在層3協(xié)議層中傳送包含移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)的認(rèn)證數(shù)據(jù)的消息��。
4.根據(jù)權(quán)利要求1至3中的一項(xiàng)所述的對(duì)移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)進(jìn)行認(rèn)證的方法�,其特征在于所述認(rèn)證數(shù)據(jù)包括SIM 20卡(102)的身份(ID)參考和/或口令和/或散列值和/或 IMSI��。
5.根據(jù)權(quán)利要求1至4中的一項(xiàng)所述的對(duì)移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)進(jìn)行認(rèn)證的方法�����,其特征在于在層2協(xié)議層(L2)中產(chǎn)生媒體接入�����,并基于802. 11 WLAN網(wǎng)絡(luò)(31)產(chǎn)生對(duì)物理層1 (Li)的接入�。
6.根據(jù)權(quán)利要求1至5中的一項(xiàng)所述的對(duì)移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)進(jìn)行認(rèn)證的方法�,其特征在于基于WISPr結(jié)構(gòu)來實(shí)現(xiàn)層3協(xié)議層��。
7.根據(jù)權(quán)利要求1至6中的一項(xiàng)所述的對(duì)移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)進(jìn)行認(rèn)證的方法���,其特征在于借助于編碼模塊(104/231)����,向和從定義的XML字符集雙向地轉(zhuǎn)換二進(jìn)制EAP消息���,并將所述二進(jìn)制EAP消息插入L3協(xié)議層中����,和/或借助于編碼模塊(104/231)從L3協(xié)議層將二進(jìn)制EAP消息提取出來��。
8.根據(jù)權(quán)利要求7所述的對(duì)移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)進(jìn)行認(rèn)證的方法��,其特征在于基于IEFTBase64編碼借助于編碼模塊(104/231)來完成該轉(zhuǎn)換���。
9.根據(jù)權(quán)利要求1至8中的一項(xiàng)所述的對(duì)移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)進(jìn)行認(rèn)證的方法��,其特征在于在從認(rèn)證器(42)至包括對(duì)端(41)的移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)的方向上���,借助于預(yù)留數(shù)據(jù)塊對(duì)WISPr XML協(xié)議方案進(jìn)行擴(kuò)展���,所述預(yù)留數(shù)據(jù)塊包含編碼的EAP消息。
10.根據(jù)權(quán)利要求1至9中的一項(xiàng)所述的對(duì)移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)進(jìn)行認(rèn)證的方法�����,其特征在于在從移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)的對(duì)端(41)至認(rèn)證器(42)的方向上����,在層3協(xié)議層中傳送的被定義的位序列借助于附加EAP消息而包含HTTP POST消息和/或HTTP GET消息和/ 或在被在HTTP請(qǐng)求中傳送的XML塊中來傳送EAP消息����。
11.根據(jù)權(quán)利要求1至10中的一項(xiàng)所述的對(duì)移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)進(jìn)行認(rèn)證的方法,其特征在于網(wǎng)絡(luò)服務(wù)器(23)如果被移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)觸發(fā)到新的URL上則生成擴(kuò)展響應(yīng)�����, WISPr XML數(shù)據(jù)塊被XML編碼的EAP消息擴(kuò)展�。
12.根據(jù)權(quán)利要求11所述的對(duì)移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)進(jìn)行認(rèn)證的方法,其特征在于由移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)借助于包含HTTP Get消息的被定義的位序列來觸發(fā)網(wǎng)絡(luò)服務(wù)器(23)�。
13.根據(jù)權(quán)利要求9至12中的一項(xiàng)所述的對(duì)移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)進(jìn)行認(rèn)證的方法,其特征在于包括EAP對(duì)端(41)的移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)生成EAP響應(yīng)消息���,借助于編碼模塊(104) 將所述EAP響應(yīng)消息編碼以便傳送到認(rèn)證器(42)��,并將所述EAP響應(yīng)消息作為WISPr XML 數(shù)據(jù)塊的登錄URL的參數(shù)添加在被定義的位序列中���。
14.根據(jù)權(quán)利要求1至13中的一項(xiàng)所述的對(duì)移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)進(jìn)行認(rèn)證的方法��,其特征在于從L3協(xié)議層中的已編碼EAP消息的傳輸����,網(wǎng)絡(luò)服務(wù)器(23)借助于編碼模塊(231) 將其從被定義的位序列解碼����,并將其作為RADIUS請(qǐng)求消息中的EAP消息傳送到AAA服務(wù)器 (22)。
15.根據(jù)權(quán)利要求14所述的對(duì)移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)進(jìn)行認(rèn)證的方法����,其特征在于接收 RADIUS請(qǐng)求消息的AAA服務(wù)器(22)生成接入接受RADIUS消息或接入拒絕RADIUS消息或接入詢問RADIUS消息并將其作為RADIUS響應(yīng)消息傳送到網(wǎng)絡(luò)服務(wù)器(23)。
16.根據(jù)權(quán)利要求14或15中的一項(xiàng)所述的對(duì)移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)進(jìn)行認(rèn)證的方法��,其特征在于借助于網(wǎng)絡(luò)服務(wù)器(23)從AAA服務(wù)器(22)的RADIUS響應(yīng)消息提取AAA服務(wù)器 (22)的EAP消息��,并借助于編碼模塊(231)將所述EAP消息在用于層3協(xié)議層中的被定義的位序列的XML響應(yīng)中編碼并將其傳送到移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)�����。
17.根據(jù)權(quán)利要求14至16中的一項(xiàng)所述的對(duì)移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)進(jìn)行認(rèn)證的方法�,其特征在于在每次新的接入時(shí)改變WISft·登錄URL�����,下一個(gè)登錄URL是由網(wǎng)絡(luò)服務(wù)器(23)借助于包含HTTP響應(yīng)消息的EAP請(qǐng)求消息確定的���。
18.根據(jù)權(quán)利要求14至17中的一項(xiàng)所述的對(duì)移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)進(jìn)行認(rèn)證的方法,其特征在于移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)接收兩個(gè)或多個(gè)登錄URL��,其中����,它們中的一個(gè)用于正常用戶名/ 口令認(rèn)證�。
19.一種用于在無線局域網(wǎng)(WLAN 31)中對(duì)移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)進(jìn)行認(rèn)證的系統(tǒng),其中���, 為了接入WLAN (31)�,移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)包括無線網(wǎng)絡(luò)接口(101)����,其中,該系統(tǒng)包括封閉的第一網(wǎng)絡(luò)區(qū)域(圍墻花園32)�,其中,在認(rèn)證之前�����,借助于移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10),高達(dá)層3協(xié)議層(L3)的所有層被使能以便進(jìn)行建立��,并且其中��,封閉的第一網(wǎng)絡(luò)區(qū)域(31)包括被實(shí)現(xiàn)為用于對(duì)移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)進(jìn)行認(rèn)證的強(qiáng)制網(wǎng)絡(luò)門戶的網(wǎng)絡(luò)服務(wù)器(23)�����,其具有用于基于通用接入方法(UAM)在層3協(xié)議層中向移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)傳送包含移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)的認(rèn)證數(shù)據(jù)的消息的裝置�,并且其中,封閉的第一網(wǎng)絡(luò)區(qū)域包括網(wǎng)絡(luò)接入服務(wù)器(24)���,其用于在授權(quán)成功的情況下生成用于移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)對(duì)第二網(wǎng)絡(luò)區(qū)域(30)的接入和激活���,其特征在于網(wǎng)絡(luò)服務(wù)器(23)和/或網(wǎng)絡(luò)接入服務(wù)器(24)包括基于可擴(kuò)展認(rèn)證協(xié)議(EAP)的認(rèn)證器(42),而認(rèn)證器(42)與移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)之間的層3協(xié)議層被包含已編碼EAP消息的附加被定義的位序列雙向地?cái)U(kuò)展����,在于在L3協(xié)議層中,在由移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)進(jìn)行接入請(qǐng)求的情況下�����,在認(rèn)證之前,層 3協(xié)議層中的被定義的位序列包括已編碼EAP請(qǐng)求消息作為借助于網(wǎng)絡(luò)服務(wù)器(23)的編碼模塊(231)編碼的認(rèn)證刺激���,在于移動(dòng)節(jié)點(diǎn)(10)包括編碼模塊(104)以從被定義的位序列將已編碼EAP請(qǐng)求消息解碼并將包括認(rèn)證數(shù)據(jù)的EAP響應(yīng)消息編碼以由移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)在層3協(xié)議層中的被定義的位序列中傳送到認(rèn)證器(42 )�����,在于網(wǎng)絡(luò)服務(wù)器(23)的編碼模塊(231)包括從位序列將傳送的EAP消息響應(yīng)解碼并借助于認(rèn)證查詢將其傳送到AAA服務(wù)器(22)的裝置���,而網(wǎng)絡(luò)服務(wù)器(23)包括基于接收到的 AAA服務(wù)器(22)的認(rèn)證響應(yīng)來激活網(wǎng)絡(luò)接入服務(wù)器(24)、使得能夠?qū)崿F(xiàn)移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10) 對(duì)第二網(wǎng)絡(luò)區(qū)域(30)的接入的裝置��。
20.根據(jù)權(quán)利要求19所述的用于在基于UAM的WLAN網(wǎng)絡(luò)(31)中對(duì)移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10) 進(jìn)行認(rèn)證的系統(tǒng)���,其特征在于基于UAM的WLAN網(wǎng)絡(luò)(31)是WISft·激活的網(wǎng)絡(luò)。
21.根據(jù)權(quán)利要求19或20中的一項(xiàng)所述的用于在基于UAM的WLAN網(wǎng)絡(luò)(31)中對(duì)移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)進(jìn)行認(rèn)證的系統(tǒng)���,其特征在于在網(wǎng)絡(luò)服務(wù)器(23)和移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)之間由編碼模塊(104/231)進(jìn)行的層3協(xié)議層中的EAP消息編碼包括二進(jìn)制EAP消息的XML 編碼��。
全文摘要
本發(fā)明涉及用于在無線局域網(wǎng)WLAN(31)中對(duì)移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)進(jìn)行認(rèn)證的方法和系統(tǒng)���,其中,移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)在接入點(diǎn)(20)處請(qǐng)求對(duì)WLAN(31)的接入��。在封閉的第一網(wǎng)絡(luò)區(qū)域圍墻花園(32)內(nèi),在認(rèn)證之前��,建立高達(dá)層3協(xié)議層L3的所有網(wǎng)絡(luò)協(xié)議層���。在作為強(qiáng)制網(wǎng)絡(luò)門戶的網(wǎng)絡(luò)服務(wù)器(23)上生成基于可擴(kuò)展認(rèn)證協(xié)議EAP的認(rèn)證器(42)���,并借助于被定義的位序列來雙向地?cái)U(kuò)展認(rèn)證器(42)與包括EAP對(duì)端(41)的移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)之間的層3協(xié)議層。在接入請(qǐng)求的情況下����,網(wǎng)絡(luò)服務(wù)器(23)通過將EAP消息請(qǐng)求編碼并借助于被定義的位序列在層3協(xié)議層中將其發(fā)送來向移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)傳送認(rèn)證刺激。移動(dòng)節(jié)點(diǎn)(20)將EAP消息請(qǐng)求解碼并借助于被定義的位序列在層3協(xié)議層中向認(rèn)證器傳送已編碼EAP響應(yīng)消息�,該EAP響應(yīng)消息包括移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)的認(rèn)證數(shù)據(jù)。網(wǎng)絡(luò)服務(wù)器(23)從位序列將EAP響應(yīng)消息解碼���,并借助于認(rèn)證查詢將其傳送到包括EAP服務(wù)器(43)的AAA服務(wù)器(22)��?;贏AA服務(wù)器(22)的認(rèn)證響應(yīng)����,借助于網(wǎng)絡(luò)接入服務(wù)器(24)使得能夠?qū)崿F(xiàn)對(duì)第二網(wǎng)絡(luò)區(qū)域(30)的接入以供移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(10)使用。
文檔編號(hào)H04L29/06GK102461230SQ200980159730
公開日2012年5月16日 申請(qǐng)日期2009年4月7日 優(yōu)先權(quán)日2009年4月7日
發(fā)明者弗雷萊喬克斯 L. 申請(qǐng)人:托吉瓦控股股份公司