CN1759558A

CN1759558A - 利用公共验证服务器的无线局域网访问控制中的身份映射机制

Info

Publication number: CN1759558A
Application number: CNA2004800063895A
Authority: CN
Inventors: 张俊彪
Original assignee: Thomson Licensing SAS
Current assignee: Thomson Licensing SAS
Priority date: 2003-03-10
Filing date: 2004-03-04
Publication date: 2006-04-12
Also published as: KR20050116817A; JP2006524017A; EP1618697A2; WO2004081718A3; US20060264201A1; MXPA05009370A; WO2004081718A2

Abstract

一种用于改善WLAN(124)环境中的移动终端的安全性的方法，该方法包括：重定向浏览器请求，将会话标识(会话ID)嵌入在HTTP请求中，并在验证服务器(150)中使用这样的会话ID来匹配两个HTTP会话。接入点(130)处理来自移动终端的网页请求，以使得会话ID嵌入在全球资源定位符(URL)中。另外，在WLAN中保持这一会话ID与移动终端的MAC地址或IP地址之间的映射。当验证服务器向接入点通知验证结果时，该会话ID用于唯一地标识移动终端。所有这些操作对于移动终端(140)是透明的。

Description

利用公共验证服务器的无线局域网访问控制中的身份映射机制

本申请要求于2003年3月10日提交的美国临时专利申请第60/453,329号的权益，该临时专利申请通过引用结合于此。

技术领域

本发明提供一种装置和方法，其通过将会话标识嵌入在验证请求中，和在验证服务器中在安全性处理时使用标识来匹配两个会话而改善无线局域网(“WLAN”)的安全性和访问控制。

背景技术

本发明的环境是利用IEEE 802.1x体系结构的无线局域网或(WLAN)家族，所述IEEE 802.1x体系结构具有接入点(AP)，用于为移动设备提供对于例如硬连线的局域网等其它网络以及例如因特网等全球网的访问。WLAN技术的进步导致在休息处、咖啡馆、图书馆和类似的公共设施处的公共可访问热点(hotspot)。当前，公共WLAN向移动通信设备用户提供对例如公司内联网等专用数据网络或例如因特网、点对点通信、和实况无线电视广播等公用数据网络的访问。实现和操作公共WLAN的相对较低的花费，以及可用的高带宽(通常超过10兆位/秒)使得公共WLAN成为理想的访问机制，通过公共WLAN，移动无线通信设备用户可以与外部实体(如下面将要讨论)交换数据包，这样的开放配置会危及安全，除非存在足够多的用于标识和验证的部件。

当用户试图访问公共WLAN覆盖范围内的服务时，WLAN在准许网络访问之前首先验证和授权用户。在验证之后，公共WLAN向移动通信设备开通一条安全数据通道，以保护在WLAN和设备之间的数据传送的保密性。当前，许多WLAN设备的制造商对于使用的设备采用了IEEE802.1x标准。因此，这一标准是WLAN利用的主要的验证机制。不幸的是，IEEE 802.1x标准被设计为将专用LAN访问作为其使用模型。因此，IEEE 802.x标准不提供某些将会改善公共WLAN环境中的安全性的特征。

图1图解说明了通常在公共WLAN环境的验证中包含的三个实体之间的联系：移动终端(MT)，WLAN接入点(AP)，和验证服务器(AS)，其可以与特定的服务提供商或虚拟运营商相关联。信任关系如下所示：MT与AS有账务往来，因此它们相互共享信任关系，WLAN运营商和拥有AS的运营商(下文中称为“虚拟运营商”)有商业关系，因此AP和AS具有信任关系。验证过程的目的是通过利用两个已有的信任关系在MT和AP之间建立信任关系。

在基于网络浏览器的验证方法中，MT利用网络浏览器通过超文本传输协议安全套接协议(HTTPS)直接验证AS，并确保AP不能非法侵入或窃取机密的用户信息。当信道安全时，除非由AS明确地告知，否则AP不能确定验证的结果。但是，AS具有的唯一与MT有关的信息是其在HTTPS会话的另一端的网际协议或IP地址。当防火墙、网络访问转换(NAT)服务器或网络代理电子地位于MT和AS之间时，这样的信息不能被用来识别MT。

大多数现有的WLAN热点无线提供商使用基于网络浏览器的解决方案用于用户验证和访问控制，其为用户提供便利并且不需要在用户设备上下载任何软件。在这样的解决方案中，通过服务器经由HTTPS安全地验证用户，该服务器转而通知无线AP向用户授权访问。这样的验证服务器AS可以是WLAN运营商或任何第三方提供商所拥有，例如独立服务提供商(ISP)、预付卡提供商或蜂窝运营商(更多地称为虚拟运营商)。

在现有技术中，验证是通过经由安全通道在用户和验证服务器之间的通信来实现的。因而AP不转换在用户和验证服务器之间的通信。从而，必须建立AP和验证服务器AS之间被称为验证信息的单独通信，以使得AP接收验证信息。

在AP中的访问控制是基于MAC地址或IP地址的，并且因此，验证服务器AS在将验证结果返回给AP时可以将移动终端MT IP地址(HTTPS通道的源地址)用作标识符。如果不存在例如通过防火墙FW和本地服务器LS图示的、在AP和验证服务器之间的防火墙和网络地址转换，则上述方法顺利进行。通常和当存在虚拟运营商时，验证服务器位于无线访问网络区域之外，且因此在防火墙FW之外，并且通常用于验证的HTTPS连接实际上经历网络代理。验证服务器AS接收的源地址是网络代理的地址，其不能被用来识别移动终端MT用户设备并且因此不能被AP用来确保安全连接。

在当前的基于网络浏览器的验证解决方案中，WLAN和验证服务器AS是同一实体的一部分，因此上述问题可能不成为问题。但是，当虚拟运营商概念变得越来越广泛地用于热点WLAN访问时，标识验证会话而不单独地依靠源IP地址的问题变得更加紧迫，因为黑客进入计算机的潜在可能将会相应地上升。

发明内容

本发明提供一种用于改善WLAN环境中的移动终端的安全性和访问控制以便克服上述问题的方法。根据本发明的方法包括：将会话标识(会话ID)嵌入在HTTP请求中，并在验证服务器中使用这样的会话ID来匹配两个HTTP会话，从而唯一地识别与验证消息相关的移动终端。可以将访问请求重定向到WLAN中的服务器，该服务器提供会话识别，存储将会话识别映射至移动终端的映射数据，并生成具有嵌入在其中的会话ID的网页，该网页被发送至移动终端。

接入点处理来自移动终端的网络请求，以便将会话ID嵌入在全球资源定位符(URL)中。另外，接入点保持这一会话ID与MT的MAC地址之间的映射。当验证服务器通知接入点其已经接收到验证结果时，随后将会话ID用于唯一地识别移动终端。

在本发明的一个实施例中，用于控制对无线局域网(“WLAN”)的访问的方法包括步骤：从放置在WLAN的覆盖范围内的移动终端接收访问该WLAN的请求；将会话ID与和移动终端有关的标识符相关联，并且存储将会话ID映射至与移动终端有关的标识符的数据；将包括会话ID的验证请求发送至适当的验证服务器；从适当的验证服务器接收包括有与移动终端相关的会话ID的验证消息；响应于所存储的映射数据将接收到的验证消息与移动终端相关；和响应于接收到的验证消息控制移动终端对WLAN的访问。

标识符可以是移动终端的任何参数或特性，其可以被用来唯一地识别移动终端。与移动终端相关联的标识符可以包括与移动终端相关的MAC地址或与移动终端相关的IP地址。会话ID可以嵌入在由WLAN生成的网页中，例如嵌入在与提交按钮相关的全球资源定位符中，以开始与验证服务器的HTTPS会话。

附图说明

当结合附图阅读下面的详细描述时，能够最佳地理解本发明。附图的各个特征并未详尽地列举出。相反，为了清楚起见，各个特征可能任意地扩大或减小。附图中包含以下各图：

图1是用于实践按照本发明原理用于验证移动无线通信设备的方法的通信系统的方框图。

图2是本发明的方法的流程图。

具体实施方式

在将要讨论的附图中，电路和相关的方框和箭头表示根据本发明方法的功能，其可以被实现为电路和相关的用于传输电信号的连线或数据总线。或者，一个或多个相连的箭头可以表示软件程序之间的通信(例如，数据流)，特别是当本申请的方法或装置被实现为数字处理时。

根据图1，通常为了从未认证的实体(例如黑客)访问安全的数据库或其它需要高度安全性的源的目的，由140₁到140_n表示的一个或多个移动终端通过接入点130₁到130_n以及相关的计算机120与验证服务器150进行通信。

如图1中进一步图示的，IEEE 802.1x体系结构包含若干个部件和服务，它们相互作用以便向网络堆栈的较高层提供站移动透明性。IEEE 802.1x网络将诸如接入点130_1-n的AP站和移动终端140_1-n定义为连接到无线媒体并且包含IEEE 802.1x协议的功能性的部件，其是MAC(媒体访问控制)134_1-n和相应的PHY(物理层)(未示出)、以及至无线媒体的连接127。通常，IEEE 802.1x功能以无线调制解调器或网络访问或接口卡的硬件和软件来实现。本发明提出了一种用于实现通信流中的标识手段的方法，从而对于下行链路业务(即，从验证服务器到诸如便携式电脑的移动终端)与IEEE 802.1x WLAN MAC层相适合的接入点130_1-n可以参与一个或多个无线通信设备140_1-n、本地服务器120和包括验证服务器150的虚拟运营商的验证。

根据本发明原理，访问160允许每个移动终端140_1-n通过根据IEEE 802.1x协议验证移动终端自身及其通信流来安全地访问WLAN 124，该WLAN 124包括多个接入点和本地服务器120。通过参考图2可以最佳地理解访问160允许这样的安全访问的方式，图2描述了随时间在移动无线通信设备之间发生的相互作用的序列，所述移动无线通信设备即移动终端140_n、公共WLAN124、本地网络服务器120、和验证服务器150_n。当配置IEEE 802.x1协议时，图1的接入点130_n保留受控端口和不受控端口，通过所述端口，接入点与移动终端140_-n交换信息。由接入点130_n保留的受控端口用作诸如数据业务的非验证信息通过WLAN124和移动终端140_-n之间的接入点的入口通道。通常，接入点130_-n根据IEEE 802.1x协议保持各个受控端口关闭，直至移动无线通信设备的验证。接入点130_-n总是保持各个不受控端口打开，以允许移动终端140_-n与验证服务器150_n交换验证数据。

参见图2，根据本发明用于改善WLAN 124中的移动终端140_n的安全性的方法通常通过重定向210一个HTTP浏览器请求205、在HTTP请求205中嵌入会话ID 215、并在验证服务器150_n中使用这样的会话ID 215匹配两个HTTP会话来实现。

更具体地，本发明的方法通过在(URL)中嵌入会话ID 215来处理来自移动终端140_n经过WLAN124、接入点130_n的访问请求(来自移动终端140_n的网络请求205)。

参见图2，根据本发明用于改善WLAN环境124中的移动终端140_n的安全性的方法重定向220浏览器请求至本地网络服务器120的。本地服务器120获得与移动终端140_n相关的MAC地址138_n、生成会话ID 215、并存储与MAC地址138_n和会话ID 215相关的映射。WLAN 124保持会话ID 215与移动终端140_n的MAC地址138_n之间的映射。本地服务器120生成网页，其请求移动终端140_n的用户选择虚拟运营商，从而选择适当的验证服务器150_n、并将会话ID 215嵌入在网页237中以用于传输。本地服务器120还返回230具有嵌入在URL地址中的相关会话ID 215的MAC地址138_n。

移动终端通过嵌入与提交按钮有关的URL来响应，以开始与验证服务器150的HTTPS会话，从而WLAN 124通过HTTPS向验证服务器150_n发送具有嵌入在请求中的会话ID 215的验证请求240。之后，验证服务器150_n处理会话ID 215，并经由WLAN 124传送给接入点130_n，会话ID 215确认250验证成功。所述处理还包括步骤：通过接入点接收与会话ID 215相关的MAC地址及一个或多个改变至访问控制滤波器，从而允许具有将由移动终端140_n接收的MAC地址的所有通信。上述处理允许加密接入点130_n和移动终端140_n之间的通信，以确保更加安全的访问控制。

当接入点130_n和验证服务器150_n通过防火墙122或NAT服务器相分离时，验证服务器150_n不能直接与接入点130_1-n通信。这一问题能够通过使接入点130_n首先联系验证服务器150_n以建立通信环境来解决。当接入点130_n检测到移动终端140_1-n之一开始与验证服务器150_n的通信时，相关接入点130_n向验证服务器150_n发送关于相关会话ID 215的消息，用于指示验证服务器150_n向哪里返回对该会话的验证结果。

接入点130_n在与验证服务器150_n建立联系时具有若干可选项。例如，其可以利用HTTPS，并具有接入点130_n与验证服务器150_n利用现有的协议以便相互验证并保证它们之间的通信的附加的好处。这一方法中的一个缺点在于经由电信控制协议(TCP)执行HTTPS，从而要求TCP连接保持打开，直到移动终端140_n被验证。这可能将资源放入接入点130_n的队列。

例如，另一个可选方法是对于接入点130_n与验证服务器150_n之间的通信利用RADIUS协议，该协议是基于UDP的。这一方法的好处在于：在验证移动终端140_n时，不需要在接入点130_n与验证服务器150_n之间保持连接。这一方法不能在所有的防火墙122配置中工作，因为特定的防火墙仅允许HTTP、HTTPS、FTP和TELNET通过。

应当理解，所示出的本发明的形式仅仅是优选的实施例。在不背离如随后的权利要求所定义的本发明的精神和范围的情况下，可以对各部件的功能和结构进行各种变化；可以用等价器件替换图示和描述的那些器件；并且某些特征能够独立于其它特征而使用。

Claims

1.一种用于控制对无线局域网WLAN的访问的方法，包括步骤：

从放置在WLAN的覆盖范围内的移动终端接收访问该WLAN的请求；

将会话ID与和移动终端有关的标识符相关联，并且存储将会话ID映射至与移动终端有关的标识符的数据；

将包括会话ID的验证请求发送至适当的验证服务器；

从适当的验证服务器接收包括有与移动终端相关的会话ID的验证消息；

响应于所存储的映射数据将接收到的验证消息与移动终端相关；和

响应于接收到的验证消息控制移动终端对WLAN的访问。

2.如权利要求1所述的方法，其中所述将会话ID与和移动终端有关的标识符相关联的步骤包括：将会话ID与移动终端的MAC地址相关联，并存储将会话ID映射至移动终端的MAC地址的数据。

3.如权利要求1所述的方法，其中所述将会话ID与和移动终端有关的标识符相关联的步骤包括：将会话ID与和移动终端有关的IP地址相关联，并存储将会话ID映射至与移动终端有关的IP地址的数据。

4.如权利要求1所述的方法，还包括步骤：

将会话ID发送至移动终端；

从移动终端接收在其中嵌入有会话ID的验证请求；和

将接收的验证请求发送至适当的验证服务器。

5.如权利要求4所述的方法，其中第一个发送步骤包括：生成网页，其请求移动终端选择适当的验证服务器，将会话ID嵌入在该网页中，和将该网页发送至移动终端。

6.如权利要求5所述的方法，其中所述会话ID嵌入在与提交按钮相关的全球资源定位符(URL)中，用于开始一个HTTPS会话。

7.如权利要求6所述的方法，还包括步骤：当在移动终端和验证服务器之间开始HTTPS会话时，在WLAN和验证服务器之间建立通信环境，由此验证服务器将验证消息发送至WLAN。

8.一种用于控制对无线局域网WLAN的访问的方法，包括步骤：

在与WLAN相关的接入点中，从放置在WLAN的覆盖范围内的移动终端接收访问该WLAN的请求；

重定向所述请求至与WLAN相关的本地服务器，该本地服务器将会话ID与和移动终端有关的标识符相关联，并且存储将会话ID映射至与移动终端有关的标识符的数据；

将包括会话ID的验证请求发送至适当的验证服务器；

在本地服务器中，从适当的验证服务器接收包括有与移动终端相关的会话ID的验证消息；

在本地服务器中，响应于所存储的映射数据将接收到的验证消息与移动终端相关；和

响应于接收到的验证消息控制移动终端对WLAN的访问。

9.如权利要求8所述的方法，其中所述本地服务器将会话ID与移动终端的MAC地址相关联，并存储将会话ID映射至移动终端的MAC地址的数据。

10.如权利要求8所述的方法，其中所述本地服务器将会话ID与和移动终端有关的IP地址相关联，并存储将会话ID映射至与移动终端有关的IP地址的数据。

11.如权利要求8所述的方法，还包括步骤：

将会话ID发送至移动终端；

从移动终端接收在其中嵌入有会话ID的验证请求；和

将接收的验证请求发送至适当的验证服务器。

12.如权利要求11所述的方法，其中所述本地服务器生成网页，其请求移动终端选择适当的验证服务器，并将会话ID嵌入在发送至移动终端的该网页中。

13.一种无线局域网WLAN，包括：

接入点，用于通过无线通信信道与多个移动终端之一进行通信；

耦合至所述接入点的本地服务器；和

耦合至所述接入点和本地服务器的器件，用于将WLAN耦合至外部通信网络，所述外部通信网络耦合至多个验证服务器之一，其中响应于放置在WLAN的覆盖范围内的移动终端的访问请求，

本地服务器将会话ID与和请求移动终端有关的标识符相关联，并且

存储将会话ID映射至与请求移动终端有关的标识符的映射数据，

将包括会话ID的验证请求发送至适当的验证服务器，

将从适当的验证服务器接收到的验证消息与请求移动终端相关；和

响应于接收到的验证消息控制移动终端对WLAN的访问。

14.如权利要求13所述的WLAN，其中与请求移动终端相关的标识符对应于该请求移动终端的MAC地址。

15.如权利要求13所述的WIAN，其中与请求移动终端相关的标识符对应于与该请求移动终端相关的IP地址。

16.如权利要求13所述的WLAN，其中接入点将会话ID发送至移动终端，并从移动终端接收将被发送至验证服务器的、在其中嵌入有会话ID的验证请求。

17.如权利要求16所述的WLAN，其中本地服务器生成网页，其请求移动终端选择适当的验证服务器，并将会话ID嵌入在该网页中，并且所述接入点将该网页发送至移动终端。

18.如权利要求17所述的WIAN，其中本地服务器将所述会话ID嵌入在与提交按钮相关的全球资源定位符(URL)中，用于开始一个HTTPS会话。