專利名稱:支持多個虛擬操作員的公共無線局域網的會話密鑰管理的制作方法
技術領域:
本發(fā)明一般涉及網絡通信,具體涉及用于在支持第三方虛擬操作員的公共無線局域網(WLAN)環(huán)境中管理對會話密鑰的接入的機制���。
背景技術:
當前的無線局域網(WLAN)認證�����、授權和計費(AAA)解決方案沒有對WLAN操作員提供保持與多個虛擬操作員的業(yè)務關系的足夠支持�����,具體上是相對于用于WLAN接入的會話密鑰的管理�。不能正確地控制和管理會話密鑰會導致可能的安全和管理問題�。
WLAN正在被越來越多地部署在諸如旅館、飛機場和快餐店的熱點中���。一種健全的和有效的AAA(認證�����、授權和計費)解決方案對于使能安全的公共無線LAN接入很重要����。具體上���,這樣的AAA解決方案應當能夠支持虛擬操作員概念�,其中�����,諸如ISP、蜂窩操作員和預付卡提供者的第三方提供者向公共WLAN和無線用戶提供AAA服務�。以這種方式,無線用戶不必每次他們去不同的熱點時打開帳戶或通過信用卡支付�����;相反��,他們可以使用現有的ISP帳戶�、蜂窩帳戶或在任何地方購買的預付卡來獲得對于公共WLAN的接入。這可以大大地增加WLAN操作員以及第三方虛擬操作員的商業(yè)機會����。但是,當前的無線LAN接入方案全部被設計用于其中僅僅使用單個認證服務器的本地配置中�,諸如聯合環(huán)境。例如��,IEEE 802.11標準組織選擇IEEE 802.1x來作為WLAN接入控制的解決方案���,并且當前的使用模式使用認證服務器來控制會話密鑰分配���。當這對于聯合環(huán)境等足夠時,在可以共存屬于不同的商業(yè)實體的多個認證服務器的公共熱點中存在一定的問題�����。如果完全可能的話,對于這些認證服務器很難協調接入點的密鑰分配����。
現在說明當前的密鑰分配。在一種情況下�����,在公共WLAN熱點中的移動用戶與WLAN接入點沒有預先的信任關系�。用戶意欲使用第三方服務提供者(例如因特網服務提供商(ISP))來作為信任橋接實體�����。服務提供商可以被稱為虛擬操作員���。用戶與這個虛擬操作員保持一個帳戶�����,所述虛擬操作員與WLAN操作員具有業(yè)務關系����。因為用戶與虛擬操作員具有已經建立的信任關系,因此她能夠以安全的方式向虛擬操作員認證她本身���。虛擬操作員然后安全地向用戶以及WLAN接入點發(fā)送會話密鑰(因為虛擬操作員也與WLAN具有信任關系)��。因為這個共享的會話密鑰�,無線LAN于是知道用戶被授權來接入網絡�����,因此準許用戶接入�����。注意���,在這個方案中��,虛擬操作員分配會話密鑰�����,因為它與用戶和WLAN都具有信任關系�。
會話密鑰用于本地接入��,應當對于WLAN接入點是本地的,例如被接入點分配和保持����。當存在多個虛擬操作員時,上述的密鑰管理方案在至少兩個區(qū)域有問題����。首先,對于虛擬操作員�����,經常有的問題是對于術語不同實體的成千上萬的接入點分配和管理會話密鑰�����,即���,對于不同類型的接入點提供不同的加密算法和密鑰長度。其次��,對于接入點����,可能難于保證多個虛擬操作員以一致的方式來分配會話密鑰�,例如��,必須保證兩個用戶不同時使用由兩個不同的虛擬操作員分配的相同密鑰���。
主要困難是接入點不與無線用戶共享秘密�,因此從接入點向用戶直接發(fā)送會話密鑰是不安全的���。對于這個問題的解決方案是虛擬操作員在成功的用戶認證后向接入點(AP)通知用戶的公共密鑰�����。AP然后使用用戶的公共密鑰來加密會話密鑰�,然后向用戶發(fā)送結果����。因為僅僅那個特定的用戶能夠使用她的對應私有密鑰來解密會話密鑰,因此可以在AP和無線用戶之間能安全地建立會話密鑰����。但是,這個方案需要使用公共/私有密鑰��,它們可能與在無線用戶和認證服務器之間的實際的認證方法不兼容���。有可能用戶需要保存兩種不同類型的密鑰(用于解密會話密鑰的私有密鑰和用于使用認證服務器認證的密碼類型密鑰)�����。這不僅增加客戶機軟件的復雜性��,而且增加了安全保存密鑰的困難���。此外�,這種方案不用正成為WLAN安全的標準IEEE 802.1x進行工作����。
因此,需要一種解決方案���,其中密鑰被接入點本地分配和管理�����,并且,無線用戶能夠安全地獲得會話密鑰而沒有與接入點的預先信任關系�����。
發(fā)明內容
本發(fā)明描述了一種有效的處理這個問題的機制。會話密鑰被WLAN本地分配和管理(因為這些密鑰用于本地接入控制)����,但是,它們可以安全地被分配到與它們對應的虛擬操作員保持信任關系的無線用戶���。
一種無線局域網的會話密鑰管理的方法�����,包括在接入點和虛擬操作員之間建立第一安全信道��,并且從接入點向虛擬操作員建議會話密鑰�����。在虛擬操作員和用戶之間建立第二安全信道���,并且由虛擬操作員發(fā)送會話密鑰,以使能在接入點和用戶之間的通信�����。
一種用于無線局域網的會話密鑰管理的系統(tǒng),包括接入點�����,它在接入點和虛擬操作員之間建立第一安全信道�。從接入點向虛擬操作員建議會話密鑰。虛擬操作員在用戶的認證后�,在虛擬操作員和用戶之間建立第二安全信道,虛擬操作員設置會話密鑰�����,以使能在接入點和用戶之間的通信����。
根據現在參照附圖詳細說明的說明性實施例,本發(fā)明的優(yōu)點����、特征和各種附加特點將會變得更加清楚,其中圖1是按照本發(fā)明的一個實施例的示例系統(tǒng)�;圖2是按照本發(fā)明的一個實施例的用于實現會話密鑰管理的方法的說明性步驟的流程圖;圖3是按照本發(fā)明的另一個實施例的����、無線局域網的會話密鑰管理的另一種說明性方法的圖����。
應當明白����,附圖是為了圖解本發(fā)明的思想�,而不必用于說明本發(fā)明的僅僅可能的配置。
具體實施例方式
本發(fā)明一般涉及網絡通信�����,具體涉及用于在支持第三方虛擬操作員的公共無線局域網(WLAN)環(huán)境中管理接入會話密鑰的機制���。這樣的虛擬操作員可以包括因特網服務提供商(ISP)�、蜂窩操作員或預付卡提供商�����。為了最大化收入來源����,公共無線局域網(WLAN)可以與多個虛擬操作員保持業(yè)務關系。
應當明白�,以WLAN系統(tǒng)來說明本發(fā)明,所述WLAN系統(tǒng)諸如符合IEEE802.11、Hiperlan 2和/或超寬帶標準的那些����;但是,本發(fā)明范圍更寬����,并且可以被應用到用于其他通信系統(tǒng)的其他系統(tǒng)管理方案。另外�����,本發(fā)明可以被應用到任何網絡系統(tǒng)�,包括電話、電纜�����、計算機(因特網)��、衛(wèi)星等���。
現在具體詳細地參考附圖�����,其中在幾個視圖中類似的附圖標記表示類似或相同的元件��,首先參見圖1�,公共無線局域網(WLAN)14包括WLAN熱點31的接入點30�。WLAN 14可以使用例如IEEE 802.11和HIPERLAN2標準。WLAN 14可以包括在諸如因特網7的外部網絡之間的防火墻22�。終端用戶或移動單元40可以使用例如HTTPS通道或其他安全的信道64來通過因特網7從WLAN 14接入虛擬操作員62,如在此所述�。
分散在蜂窩網絡的小區(qū)之間或之內的是無線局域網14。按照本發(fā)明�,從虛擬操作員62向用戶40發(fā)送會話密鑰60。虛擬操作員62可以包括因特網服務提供商(ISP)���,蜂窩操作員或預付卡提供商或其他實體����,它們通過通信網絡提供服務�。為了最大化收入來源,公共無線局域網(WLAN)可以與多個虛擬操作員保持業(yè)務關系��。但是���,在保持足夠的系統(tǒng)安全性的同時��,保持多個虛擬操作員很難�。
因為虛擬操作員62和用戶(MS 40)共享諸如安全信道的秘密或使用共享的信息段或代碼,因此可以通過在其間的安全信道64來發(fā)送密鑰60���。但是�,取代具有確定和保持會話密鑰60的虛擬操作員62����,所述密鑰被WLAN接入點30選擇,然后向虛擬操作員提示����。可以通過多種方法來選擇密鑰��,包括例如隨機數量產生����、從預存的多個密鑰選擇等。
參見圖2��,用于實現本發(fā)明的實施例被說明性地描述如下�����。在方框102中,用戶(移動終端(MT))在接入點(AP)30請求無線LAN接入�,并且指定虛擬操作員(VO)62。在方框104�����,AP 30建立與虛擬操作員62的安全信道SC1��。通過SC1在AP 30和虛擬操作員62之間進行所有隨后的通信��。在方框106����,用戶與虛擬操作員62建立安全信道SC2����,并且通過SC2用虛擬操作員認證她自己。這可以包括將會話密鑰保存直到成功的用戶認證�����。
在方框108��,虛擬操作員在成功的用戶認證后向AP 30通知結果�����,并且通過SC1向AP 30查詢會話密鑰60。如果會話密鑰被保存����,則如果認證不成功就去除它。在方框110�����,AP 30選擇會話密鑰60并且將其通過SC1向虛擬操作員62發(fā)送����。在方框112,虛擬操作員通過SC2向用戶發(fā)送這個會話密鑰���。在方框114�����,用戶和AP 30開始使用會話密鑰來用于在它們之間的后續(xù)通信(安全信道SC3)�。
參見圖3�,可以如圖所示進一步將圖2所示的方法在速度和效率上進行改善。取代在成功的認證后使虛擬操作員詢問會話密鑰���,AP 30就在建立SC1后提供建議的會話密鑰�,并且在接入點30將此密鑰“保存”在存儲器24中。在成功的用戶認證后����,AP 30被虛擬操作員通知,并且對于SC3開始使用這個密鑰�。在不成功的認證的情況下(例如在用戶進行一定數量的不成功嘗試后),也通知AP 30���,并且從“保存”列表24中去除所述密鑰。這防止了拒絕服務的攻擊��,其中攻擊者持續(xù)進行不成功的認證嘗試����。如果AP沒被通知不成功的認證,則所建議的密鑰將積累在AP的存儲器中���。認證步驟可以包括如下��。
在步驟202�����,用戶在AP 30請求無線LAN接入���,并且指定虛擬操作員62����。在步驟204�����,AP 30與虛擬操作員62建立安全信道SC1��。通過SC1在AP和虛擬操作員之間進行所有隨后的通信����。在步驟206,AP 30向虛擬操作員62發(fā)送所建議的會話密鑰�����,并且將這個密鑰“保存”����。在步驟208,用戶與虛擬操作員62建立安全信道SC2,并且在方框209通過SC2用虛擬操作員62認證她本身����。在步驟210,虛擬操作員62向AP 30通知認證結果����,并且AP 30從所述“保存”列表去除所建議的密鑰。在方框212����,在成功的認證后,虛擬操作員62向用戶發(fā)送會話密鑰���。在方框214��,用戶和AP 30開始使用會話密鑰來用于在它們之間(安全信道SC3)的后續(xù)通信。
圖3的方法為什么更有效的原因是因為它比圖2的方法節(jié)省了一個往返行程的通信時間���,例如����,虛擬操作員不必等待直到認證結束�,以向AP查詢會話密鑰,并且向用戶通知所述密鑰。雖然在步驟206中AP需要向虛擬操作員發(fā)送所建議的密鑰���,但是這可以與步驟208并行進行��。因此�,總的來說����,避免了往返行程。在其他實施例中��,可以伴隨步驟208順序地執(zhí)行步驟206����。
應當明白,可以在移動終端����、接入點和/或蜂窩網絡中例如以各種形式的硬件、軟件����、固件、專用處理器或其組合來實現本發(fā)明�����。最好,本發(fā)明實現為硬件和軟件的組合�。而且,所述軟件最好實現為在程序存儲器上確實地包含的應用程序����。所述應用程序可以被上載到包括任何適用的架構的機器并且由其執(zhí)行。最好��,在計算機平臺上實現所述機器�,所述計算機平臺具有硬件,諸如一個或多個中央處理單元(CPU)�����、隨機存取存儲器(RAM)和輸入/輸出(I/O)接口�。所述計算機平臺也包括操作系統(tǒng)和微指令代碼。在此所述的各種處理和功能可以或者是經由操作系統(tǒng)執(zhí)行的微指令代碼的一部分或應用程序的一部分(或其組合)����。另外��,各種其他的外圍器件可以連接到計算機平臺���,諸如附加的數據存儲器和打印設備�����。
還應當明白��,因為附圖中所述的構成系統(tǒng)部件和方法步驟的一些可以用軟件來實現�,因此在系統(tǒng)部件(或處理步驟)之間的實際連接可以根據本發(fā)明所編程的方式而不同。在此提供示教的情況下��,在本領域的普通技術人員將能夠考慮本發(fā)明的這些和類似的實現方式或配置�����。
在已經描述了支持多個虛擬操作員的公共無線局域網的會話密鑰管理的優(yōu)選實施例(它們意欲是說明性和非限定性的)的情況下���,可以注意到�,本領域的技術人員可以根據上述教程來進行修改和改變����。因此,應當明白���,可以在由所附的權利要求概述的本發(fā)明的范圍和精神內公開的本發(fā)明的特定實施例中進行改變����。在已經以專利法所要求的詳細程度來描述了本發(fā)明的情況下,在所附的權利要求中給出了由專利證書要求保護和期望保護的內容����。
權利要求
1.一種用于管理會話密鑰的方法,所述會話密鑰用于使能在無線局域網(“WLAN”)的接入點和移動終端之間的通信��,所述方法包括步驟從移動終端接收接入WLAN的請求�;確定與接入請求相關聯的虛擬操作員;在接入點和虛擬操作員之間建立第一安全信道����;經由第一安全信道請求來自虛擬操作員的用戶認證,其中����,虛擬操作員經由第二安全信道與移動終端通信以認證移動終端;選擇會話密鑰��,并且經由第一安全信道向虛擬操作員發(fā)送會話密鑰����,其中,虛擬操作員經由第二安全信道向移動終端發(fā)送會話密鑰����;和使用會話密鑰與移動終端通信。
2.按照權利要求1的方法��,其中�����,與選擇和發(fā)送會話密鑰的步驟并行地執(zhí)行請求用戶認證的步驟���。
3.按照權利要求2的方法���,其中,所述通信步驟包括在從虛擬操作員接收到用戶認證成功的通知后��,使用會話密鑰來與移動終端通信�。
3.按照權利要求2的方法,其中����,選擇會話密鑰的步驟包括保存會話密鑰直到從虛擬操作員得到用戶認證成功的通知,并且在得到通知時�,從保存中去除會話密鑰,并且向虛擬操作員發(fā)送會話密鑰�����。
4.按照權利要求3的方法,還包括步驟如果認證成功�����,則從保存中去除會話密鑰����。
5.按照權利要求1的方法,其中�,僅僅接收到來自虛擬操作員的用戶認證成功的通知后,執(zhí)行選擇會話密鑰和經由第一安全信道向虛擬操作員發(fā)送會話密鑰的步驟��。
6.按照權利要求1的方法����,其中,虛擬操作員包括因特網服務提供商����、蜂窩提供者和信用卡提供者之一。
7.一種用于管理會話密鑰的裝置���,所述會話密鑰用于使能在無線局域網(“WLAN”)和移動終端之間的通信�,所述裝置包用于從移動終端接收接入WLAN的請求的部件;用于確定與接入請求相關聯的虛擬操作員的部件�;第一部件,用于經由第一安全信道來與虛擬操作員通信�,所述第一通信部件經由第一安全信道從虛擬操作員請求用戶認證�����,其中�����,虛擬操作員經由第二安全信道與移動終端通信以認證移動終端��;用于選擇會話密鑰��、并且經由第一安全信道向虛擬操作員發(fā)送會話密鑰的����、與第一通信部件耦合的部件,其中�,虛擬操作員經由第二安全信道向移動終端發(fā)送會話密鑰;和第二部件���,用于使用會話密鑰與移動終端通信�。
8.按照權利要求7的裝置,其中��,第一通信部件與選擇部件選擇和發(fā)送會話密鑰并行地請求用戶認證�。
9.按照權利要求8的裝置,其中�,第二通信部件在從虛擬操作員接收到用戶認證成功的通知后,使用會話密鑰來與移動終端通信����。
10.按照權利要求9的裝置,其中�����,選擇部件保存會話密鑰直到從虛擬操作員得到用戶認證成功的通知����,并且在得到通知時,從保存中去除會話密鑰����,并且向虛擬操作員發(fā)送會話密鑰。
11.按照權利要求10的裝置��,其中,如果認證成功�����,則選擇部件從保存去除會話密鑰����。
12.按照權利要求7的裝置,其中�����,僅僅接收到來自虛擬操作員的用戶認證成功的通知后��,執(zhí)行選擇會話密鑰和經由第一安全信道向虛擬操作員發(fā)送會話密鑰的步驟��。
13.按照權利要求7的裝置��,其中�����,虛擬操作員包括因特網服務提供商�、蜂窩提供者和信用卡提供者之一�。
14.一種用于在無線局域網(WLAN)中控制移動終端的方法,包括步驟發(fā)送接入WLAN的請求,所述請求包括用于識別相關聯的虛擬操作員的數據�����;與虛擬操作員建立安全信道��,用于執(zhí)行與接入請求相關聯的用戶認證�;在用戶認證成功時,經由安全信道來接收會話密鑰��,其中�����,虛擬操作員通過第二安全信道從WLAN接收會話密鑰��;和使用會話密鑰來建立與WLAN的通信�。
全文摘要
一種用于管理會話密鑰的方法和裝置,其用于使得移動終端可以接入無線局域網(WLAN)�����。本發(fā)明提供了在接入點和虛擬操作員之間建立第一安全信道����,并且從接入點向虛擬操作員建議會話密鑰����。在虛擬操作員和用戶之間建立第二安全信道���,并且在用戶認證成功時經由第二安全信道向用戶發(fā)送會話密鑰�����。移動終端使用會話密鑰來接入WLAN��。
文檔編號H04L29/06GK1685694SQ03823011
公開日2005年10月19日 申請日期2003年8月13日 優(yōu)先權日2002年8月14日
發(fā)明者張俊彪 申請人:湯姆森特許公司