CN1784851B - 用于控制终端设备到无线局域网的接入的方法及接入点 - Google Patents

用于控制终端设备到无线局域网的接入的方法及接入点 Download PDF

Info

Publication number
CN1784851B
CN1784851B CN2004800118826A CN200480011882A CN1784851B CN 1784851 B CN1784851 B CN 1784851B CN 2004800118826 A CN2004800118826 A CN 2004800118826A CN 200480011882 A CN200480011882 A CN 200480011882A CN 1784851 B CN1784851 B CN 1784851B
Authority
CN
China
Prior art keywords
ieee
access point
terminal equipment
agreement
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN2004800118826A
Other languages
English (en)
Other versions
CN1784851A (zh
Inventor
张俊彪
索拉布·马瑟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Thomson Licensing SAS
Original Assignee
Thomson Licensing SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=33029891&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=CN1784851(B) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Thomson Licensing SAS filed Critical Thomson Licensing SAS
Publication of CN1784851A publication Critical patent/CN1784851A/zh
Application granted granted Critical
Publication of CN1784851B publication Critical patent/CN1784851B/zh
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/04Protocols specially adapted for terminals or networks with limited capabilities; specially adapted for terminal portability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • H04L67/303Terminal profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/563Data redirection of data network streams
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/08Protocols for interworking; Protocol conversion
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/18Multiprotocol handlers, e.g. single devices capable of handling multiple protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/08Access restriction or access information delivery, e.g. discovery data delivery
    • H04W48/14Access restriction or access information delivery, e.g. discovery data delivery using user query or user detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices
    • H04W88/10Access point devices adapted for operation in multiple networks, e.g. multi-mode access points

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Small-Scale Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种装置和方法,用于提高在具有接入点的WLAN环境中的终端设备的接入控制,该接入点通过该接入点发送数据包给设备而确定所述设备是否使用IEEE 802.1x协议,从而如果该设备使用IEEE 802.1x协议则该设备适当的响应,否则所述接入点确定所述终端设备不使用IEEE 802.1x协议,并且选择与终端设备兼容的认证机制。如果所述设备是不符合IEEE802.1x的客户,则配置IP数据包过滤以将用户HTTP请求重定向到本地服务器,并且当HTTP请求由此被重定向时,HTTP服务器将特定地与基于浏览器的认证相关的信息呈现给所述终端设备。

Description

用于控制终端设备到无线局域网的接入的方法及接入点
相关申请的交叉参考 
本申请要求于2004年3月4日提交的美国临时专利申请No.60/454,558的权益,在此通过参考合并其整个内容。 
技术领域
本发明提供一种控制用户终端到通讯网络的接入的装置和方法,更具体地说,提供一种通过对每个移动终端适应其具体的能力并且相应地选择最佳的可获得的认证机制,来控制移动终端到WLAN的接入的装置和方法。 
背景技术
本发明的所针对的情况是无线局域网或(WLAN)家族,其使用具有接入点的IEEE 802.1x架构,该接入点提供接入给移动设备并且提供接入到诸如硬有线局域网和全球网(如因特网)的其他网络。在WLAN技术中的进步已经使得在休息站、咖啡馆、图书馆和类似的公共设施处(“热点”)可以公共地接入。现在,公共WLAN提供到诸如公司内部网的专用数据网络、或诸如因特网的公共数据网络、对等通讯和实时无线TV广播的接入给移动通讯设备用户。实施和操作公共WLAN的相对较低的费用,以及可获得的高带宽(通常超过10兆比特/秒)使得公共WLAN成为理想的接入机制,移动无线通讯设备用户通过它可以与外部实体交换数据包,但是如同将在下面讨论的,这样的公开使用可能损害安全性,除非存在用于识别和认证的适当装置。 
当用户操作结合了IEEE 802.1x协议的终端(“客户终端”或简称为“IEEE802.1x客户”)以试图在热点接入公共WLAN时,IEEE 802.1x客户终端会根据其当前的机器配置来开始认证过程。在认证之后,公共WLAN打开至移动通讯设备的安全数据信道,以保护在WLAN和该设备之间通过的数据的私密性。现在,许多WLAN设备的制造商都已经采用IEEE 802.1x协议用于扩展(deploy)的设备。但是,使用WLAN的其他设备可以使用诸如由有线电子私密性(WEP)提供的其他协议。可以注意到,WLAN的主流认证机制使用 IEEE 802.1x协议。但是,IEEE 802.1x协议是用专用LAN接入作为其使用模型而被设计的。因此,IEEE 802.1x协议不提供在公共WLAN环境中需要的某些方便特征。当前的主流标准的另一个问题是其需要IEEE 802.1x协议客户软件的安装和配置。此外,IEEE 802.1x协议不具有用于与用户交互的成熟机制。接入点只能经由扩展认证协议(EAP)通知而将简单的消息发送给客户。对于企业设置来说这可能是足够的,但是在热点中,接入点可能在允许用户接入之前要求用户接受最终用户许可。在一些情况中,接入点需要将有关服务收费通知给用户。一种解决方案是为接入点提供经由网络浏览器界面同用户进行交换的能力。 
大多数现存的WLAN热点无线提供商使用基于网络浏览器的解决方案用于用户认证和接入控制,以为用户提供不需要将任何软件下载到用户设备上的方便。如图1所示,在公共WLAN环境中的认证中通常使用的基本实体之间的关系是移动终端(MT)、WLAN接入点(AP)、本地服务器和认证服务器(AS)。在基于网络的解决方案中,通过AS的HTTPS来安全地认证用户,其随后通知AP以将接入授权给MT。WLAN运行商可以拥有这样的授权服务器,或者是任何第三方提供商,如独立服务提供商(ISP)、预付卡提供商或蜂窝通讯运行商,更广义地称为虚拟运行商。因此公共WLAN热点应该适应于如此不同的客户和运行商能力,基于此,WLAN应该具有能力来选择不同的认证机制。现有技术没有提供这样的能力的足够解决方式,但是在这里说明的本发明提供了新颖的解决方案。 
发明内容
所需要的是一种装置和方法,用于提高用户终端接入到通讯网络的控制、或安全性,特别是移动终端接入到无线局域网的控制。 
本发明提供了一种方法,用于通过确定与终端设备关联的认证协议的类型并且自动地路由认证请求到合适的认证服务器,来控制终端设备的接入。具体地说,本发明在这里提供了一种方法,用于通过确定终端设备是否使用IEEE 802.1x协议来控制在WLAN环境中的终端设备的接入,该方法包括步骤:接入点传送识别请求给移动终端,并且除非移动终端使用IEEE 802.1x协议来确认识别请求,否则接入点确定移动终端不使用IEEE 802.1x,从而选择与移动终端兼容的认证机制。 
如果终端设备不符合IEEE 802.1x,则接入点在接入点中起始一种状态以指示该终端是非IEEE 802.1x协议的,并且配置IP数据包过滤器和将用户HTTP请求重定向到本地服务器。本发明的过程还从本地服务器到终端设备发送特定与基于浏览器的认证相关的信息。如果设备使用符合IEEE 802.1x的协议,则接入点转换到指示移动终端符合IEEE802.1x的状态,之后使用IEEE 8021.x协议来处理所有进一步的通讯。在认证过程失败的情况下,本发明的一个实施例在接入点中启动失败条件。 
用于提高在WLAN环境中的终端设备的安全性的本发明的一个实施例利用接入点来确定设备是否使用了IEEE 802.1x协议,通过使得接入点向终端设备发送Request-Identity EAP数据包,从而如果设备使用IEEE 802.1x协议,则设备用Response-Identity EAP数据包进行响应,否则接入点确定移动终端协议不使用IEEE 802.1x协议(例如基于超时)并且选择与移动终端兼容的认证机制。 
用于提高在WLAN环境中的终端设备的安全性的本发明还包括一种装置,该装置包括:接入点,其与WLAN环境中的终端设备进行通讯并且利用一组件来确定该终端设备是否使用IEEE 802.1x协议,如果该终端不使用所述协议,则接入点使用与该终端设备兼容的认证组件,否则接入点使用IEEE802.1x协议。用于确定的接入点组件包括将Request-Identity EAP数据包发送给终端设备,并且如果该移动终端使用IEEE 802.1x协议,则接入点接收Response-Identity EAP数据包。该接入点还包括一组件,用于配置IP数据包过滤,从而如果终端设备不使用所述协议,则将设备HTTP请求重定向到本地服务器。 
在所述装置的另外的实施例中,接入点包括用于发送IEEE 802.1x协议交换的组件,和另外的组件,用于建立通过IP过滤器模块的IP数据包过滤和用于HTTP服务器的状态信息,从而如果接入点检测终端设备是IEEE802.1x客户,则在基于IEEE 802.1x的认证过程期间和之后来控制终端设备接入。 
附图说明
当结合附图进行阅读,本发明可以从下面详细说明中得到最好的理解。附图的各种特征并没有完全指示出来。相反地,为了清楚可以任意地扩展或 减少各种特征。在附图中包括的有下面各图: 
图1示出了通讯系统的框图,该系统用于实施提高在WLAN环境中的终端设备的安全性的本发明的方法; 
图2示出了本发明的认证过程的方法的流程图; 
图3示出了显示认证失败的本发明的方法的流程图;和 
图4示出了用于实施本发明的装置的框图。 
具体实施方式
在将被讨论的图中,电路以及相关联的模块和箭头表示根据本发明的处理过程的功能,其可以被实现为电路和相关联的、传输电信号的导线或数据总线。或者,一个或多个相关联的箭头可表示在软件例程之间的通讯(例如,数据流),特别是当将本发明的装置或方法以数字处理过程来实现时。 
根据图1,由1401到140n表示的一个或多个移动终端通过接入点(AP)1301到130n与本地计算机120进行通讯,本地计算机120与防火墙122和诸如认证服务器150n的一个或多个虚拟运行商1501-n相关联。从终端1401-n来的通讯通常需要访问安全保护的数据库(data base)或其他资源,并且需要使用因特网110和相关联的通讯路径154和152,该通讯路径154和152需要对可能是黑客的非授权实体有较高程度的安全性。 
如在图1中进一步示出的,WLAN架构包括进行互动以将站移动性透明地提供给网络栈中的较高层的几个组件和服务。诸如接入点1301-n的AP站和移动终端1401-n作为组件连接到无线介质,并且通常包括IEEE 802.1x协议的功能,其为MAC(介质访问控制)1341-n和对应的PHY(物理层)(未示出),和到无线介质的连接127。在无线调制解调器或网络接入或接口卡的软件和硬件中实现协议和通讯功能。本发明提出了一种方式,用于实现在通讯流中的一种组件,从而接入点130n提高在WLAN环境115中的终端设备的安全性,而不论该设备是否使用IEEE 802.1x协议,并且保持在用于下行链路业务(例如,从认证服务器150到诸如膝上计算机的移动终端140n)的IEEE 802.1xWLAN MAC层的兼容性要求内,因为每一个都可能参加一个或多个无线移动设备1401-n、本地服务器120和诸如认证服务器150的虚拟运行者的认证。 
根据本发明的原则,通过根据IEEE 802.1x协议或具体终端1401-n可能选择的其他可选协议来认证移动终端1401-n以及其通讯流,接入160允许每个移 动终端1401-n安全地接入WLAN 115。通过参照图2可以最好地理解接入160允许这种安全接入的方式,图2示出了在移动无线通讯设备之间,比如移动终端140n、公共WLAN 115、认证服务器150n之间,发生的互动过程。当用IEEE 802.1x协议进行配置时,图1的接入点130n保持受控端口和非受控端口,接入点通过其与移动终端140n交换信息。由接入点130n保持的受控端口用作诸如数据业务的非认证信息的进入通路,以通过在WLAN 115和移动终端140n之间的接入点。通常,接入点130n根据IEEE 802.1x协议保持各个受控端口关闭直到移动无线通讯设备的认证为止。接入点130n总保持各个非受控端口打开以允许移动终端140n与本地服务器或虚拟服务器150n交换认证数据。 
参照图2,本发明的另外的实施例是使用接入点130n来创建几个操作状态。在EAP Response-Identity数据包220之后,状态1x progress 340指示移动终端140n是IEEE 802.1x客户并且IEEE 802.1x认证过程正在进行。这就意味着从在WLAN环境的编程和工程领域的技术人员熟知的一个或多个可获得的安全协议中进行选择。因此IEEE 802.1X引擎325负责客户检测并且提供客户性能信息给系统的其他模块。此外,其还实现RADIUS客户功能以将EAP消息转换为RADIUS消息,以半径接入请求230的形式发送这种消息并且响应于半径接入拒绝消息240。数据包过滤器模块330负责根据由其他模块设置的条件来过滤数据包。由接入点来使用该方法以在其接收EAP请求识别响应数据包之前,根据预先建立的计时器的超时来确定该终端不符合IEEE802.1x协议。 
更具体地说,图3示出了本发明的方法的实施例,其中接入点130n检测移动终端140n不是被认证的IEEE 802.1x客户,并且重定向客户335从而通过IP数据包过滤器模块330经由网络请求重定向345配置到HTTP服务器120的重定向。或者,移动终端140n可以发送直接网络接入请求355,其被数据包过滤器模块330重定向到HTTP服务器120。HTTP服务器120用特定地与基于浏览器的认证相关的信息350进行响应。 
在接入点130n检测到终端设备是IEEE 802.1x客户的情况下,在根据IEEE 802.1x的认证过程期间和之后,接入点130n允许通过接入点130n进行正常的IEEE 802.1x协议通讯交换,并且建立通过IP过滤器模块330的合适的IP数据包过滤和HTTP服务器120的状态信息,以控制移动终端140n用户 接入。 
如上所述,WLAN 115系统必须为系统正常工作保持合适的状态信息。将由接入点130n的802.1x引擎提供这样的状态信息,其由在其他部件中的数据包过滤功能330和HTTP服务器120来使用。参照图3,本发明的另外实施例是利用接入点130n的802.1x引擎来创建几个操作状态。在Response-Identity EAP数据包220之后,状态1x_progress 340指示移动终端140n是IEEE 802.1x客户并且IEEE 802.1x认证过程正在进行。在Response-Identity EAP数据包220之后,1x_failure 350会指示因为一个或多个原因,802.1x认证过程失败,这与这里的本发明无关。在Response-IdentityEAP数据包220之后,状态non_1x 360会指示移动终端140n是非IEEE 802.1x客户。因为这样的客户,所以在较高层进行所有的接入控制,不需要进一步的状态分类。 
接入点包括802.1X引擎325,其是实施了IEEE 802.1X协议、带有执行本发明的步骤所必须的确定组件的模块。这样的组件从一个或多个可获得的、对于在WLAN环境中的编程和工程领域中的技术人员熟知的安全协议中进行选择。因此802.1X引擎325负责客户检测并且提供客户性能信息给系统的其他模块。此外,其还实现RADIUS客户功能以将EAP消息转换为RADIUS消息。数据包过滤器模块330负责根据其他模块设置的条件来过滤数据包。 
参照图4,示出了用于提高在WLAN 115环境中的终端设备140n的安全性的本发明的装置。接入点130n保持与终端设备140n的通讯,并且利用组件415来确定终端设备140n是否使用IEEE 802.1x协议,并且如果终端140n不使用所述协议,则接入点130n使用与终端设备140n兼容的认证组件420,否则接入点使用利用IEEE 802.1x协议的组件425。接入点130n进行确定的方式包括发送Request-Identity EAP数据包到终端设备140n,并且如果移动终端140n使用IEEE 802.1x协议,则接入点130n接收Response-Identity EAP数据包。接入点130n还包括组件430以配置IP数据包过滤,从而在终端设备140n不使用所述协议的情况下经过组件435将设备HTTP请求重定向到本地服务器。在使用IEEE 802.1x协议的情况下,则组件425使用组件440来确保通讯不被重定向。 
在本发明的装置的其他实施例中,接入点包括用于发送IEEE 802.1x协 议交换的组件,和另外的组件,用于在如果接入点检测到终端设备是IEEE802.1x客户的情况下,在基于IEEE 802.1x的认证过程期间或之后,建立通过IP过滤器模块的IP数据包过滤和HTTP服务器的状态信息以控制终端设备接入。 
应该理解所示的本发明的形式仅仅是优选实施例。可以对功能和部件的布置进行各种变化,对那些被示出和说明的组件可以用等效的组件进行替换,并且特定特征还可以独立于其他特征而被使用,只要不偏离在所附权利要求中所定义的本发明的精神和范围。 

Claims (20)

1.一种用于控制移动终端到无线局域网(WLAN)的接入的方法,该方法包括下列步骤:
从移动终端接收接入WLAN的请求;
将识别请求消息发送给移动终端;
如果移动终端使用IEEE 802.1x协议,则从移动终端接收对识别请求消息的响应;
响应于对识别请求消息的响应而确定移动终端是否符合IEEE 802.1x;
如果移动终端符合IEEE 802.1x,则选择使用IEEE 802.1x的认证机制;
响应于移动终端不符合IEEE 802.1x的确定选择与移动终端兼容的认证机制,以允许移动终端接入WLAN;以及
如果移动终端不符合IEEE 802.1x,则重定向认证请求到HTTP服务器以利用基于浏览器的认证。
2.根据权利要求1所述的方法,还包括步骤,如果所述移动终端符合IEEE 802.1x,则发送认证请求给认证服务器并且接收使用IEEE 802.1x协议的认证响应,而且响应于该认证响应来控制移动终端接入到WLAN。
3.根据权利要求1所述的方法,还包括配置数据包过滤模块以将所述认证请求重定向到所述HTTP服务器的步骤。
4.根据权利要求3所述的方法,还包括在WLAN中保持状态信息以由所述数据包过滤模块和HTTP服务器使用的步骤。
5.根据权利要求4所述的方法,其中所述状态信息包括指示正在进行的认证过程的第一状态、指示认证失败的第二状态、指示认证成功的第三状态、和指示非IEEE 802.1x移动终端的第四状态中的一种状态。
6.一种在无线局域网中与终端设备通讯的接入点,包括:
用于确定终端设备是否使用IEEE 802.1x协议的组件;
如果终端设备使用所述IEEE 802.1x协议,则在接入点中使用所述IEEE802.1x协议的组件;以及
如果终端设备使用不同于所述IEEE 802.1x协议的协议,则使用与终端设备兼容的认证组件的组件;
其中,所述用于确定的组件包括发送响应-识别扩展认证协议Request-Identity EAP数据包给终端设备,并且如果移动终端使用所述IEEE802.1x协议,则所述接入点接收Response-Identity EAP数据包。
7.根据权利要求6所述的接入点,还包括如果所述终端设备不使用所述协议则配置IP数据包过滤以重定向设备HTTP请求到本地服务器的组件。
8.根据权利要求6所述的接入点,还包括:用于发送IEEE 802.1x协议交换的组件;和另外的组件,用于在接入点检测到终端设备是IEEE 802.1x客户的情况下在基于IEEE 802.1x的认证过程期间和之后,建立通过IP过滤器模块的IP数据包过滤和用于HTTP服务器的状态信息以控制终端设备的接入。
9.一种通过确定终端设备是否使用IEEE 802.1x协议来控制在无线局域网中的终端设备的接入的方法,包括步骤:
接入点发送识别请求给移动终端,并且如果终端设备使用IEEE 802.1x协议,则确认识别请求,否则接入点确定终端设备不符合IEEE 802.1x并且选择与终端设备兼容的认证机制;
其中,当所述接入点在超时值之后没接收到扩展认证协议EAP识别响应数据包时,所述接入点确定所述终端不符合IEEE 802.1x。
10.根据权利要求9所述的方法,还包括步骤,其中接入点检测所述终端设备如果不符合IEEE 802.1x,则配置IP数据包过滤器并且重定向用户HTTP请求到本地服务器。
11.根据权利要求10所述的方法,还包括下述步骤,其中所述本地服务器将特定地与基于浏览器的认证相关的信息发送给所述终端设备。
12.根据权利要求11所述的方法,还包括所述接入点转变为一种状态的步骤,其中如果所述终端设备使用IEEE 802.1x协议,则该状态指示所述终端设备符合IEEE 802.1x,并且之后使用IEEE 802.1x协议处理所有的通讯。
13.根据权利要求11所述的方法,还包括下述步骤,其中如果认证过程失败则所述接入点转变为与基于浏览器的认证对应的状态。
14.根据权利要求9所述的方法,还包括下述步骤,其中如果所述终端设备不符合IEEE 802.1x,则所述接入点转变到与基于浏览器的认证对应的状态。
15.一种方法,用于通过确定终端装置是否使用IEEE 802.1x协议而控制在WLAN中的终端设备的接入,该方法包括步骤:通过接入点发送识别请求到终端设备,并且如果所述终端设备使用IEEE 802.1x协议,则确认识别请求,否则该接入点确定所述终端设备不符合IEEE 802.1x,选择与终端设备兼容的认证机制,在所述接入点中检测如果所述终端设备不符合IEEE802.1x,则配置IP数据包过滤器并且重定向用户HTTP请求到本地服务器。
16.根据权利要求15所述的方法,还包括下述步骤,其中如果在预设的时间之后接入点没有收到扩展认证协议EAP识别响应数据包,则确定该终端不符合IEEE 802.1x。
17.根据权利要求15所述的方法,还包括下述步骤,其中将特定地与基于浏览器的认证相关的信息从所述本地服务器发送给所述终端设备。
18.根据权利要求15所述的方法,还包括转变为所述接入点中的状态的步骤,其中如果所述终端设备使用IEEE 802.1x协议,则该状态指示所述终端设备符合IEEE 802.1x并且之后使用IEEE 802.1x协议处理所有的通讯。
19.根据权利要求18所述的方法,还包括下述步骤,其中如果认证过程失败,则转变为与基于浏览器的认证对应的所述接入点中的状态。
20.根据权利要求15所述的方法,还包括下述步骤,其中如果所述终端设备不符合IEEE 802.1x,则转变到与基于浏览器的认证对应的所述接入点中的状态。
CN2004800118826A 2003-03-14 2004-03-12 用于控制终端设备到无线局域网的接入的方法及接入点 Expired - Fee Related CN1784851B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US45455803P 2003-03-14 2003-03-14
US60/454,558 2003-03-14
PCT/US2004/007805 WO2004084464A2 (en) 2003-03-14 2004-03-12 A flexible wlan access point architecture capable of accommodating different user devices

Publications (2)

Publication Number Publication Date
CN1784851A CN1784851A (zh) 2006-06-07
CN1784851B true CN1784851B (zh) 2013-02-20

Family

ID=33029891

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2004800118826A Expired - Fee Related CN1784851B (zh) 2003-03-14 2004-03-12 用于控制终端设备到无线局域网的接入的方法及接入点

Country Status (8)

Country Link
US (1) US8272037B2 (zh)
EP (1) EP1606904B1 (zh)
JP (1) JP5008395B2 (zh)
KR (1) KR101145606B1 (zh)
CN (1) CN1784851B (zh)
MX (1) MXPA05009877A (zh)
MY (1) MY151845A (zh)
WO (1) WO2004084464A2 (zh)

Families Citing this family (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101013519B1 (ko) 2003-04-15 2011-02-10 톰슨 라이센싱 게스트 유저와 로컬 유저 모두에게 무선 네트워크 액세스를 제공하기 위한 방법 및 무선 lan 시스템
US20060171305A1 (en) * 2005-02-03 2006-08-03 Autocell Laboratories, Inc. Access point channel forecasting for seamless station association transition
CN1835436B (zh) * 2005-03-14 2010-04-14 华为技术有限公司 一种通用鉴权网络及一种实现鉴权的方法
DE202006005222U1 (de) 2005-04-01 2006-10-26 InterDigital Communications Corporation, Wilmington Vorrichtung zur Bestimmung eines Beteiligungsgrads von Maschenpunkten
CN100571134C (zh) 2005-04-30 2009-12-16 华为技术有限公司 在ip多媒体子系统中认证用户终端的方法
US8085662B2 (en) 2008-05-14 2011-12-27 Hewlett-Packard Company Open network connections
US8126145B1 (en) 2005-05-04 2012-02-28 Marvell International Ltd. Enhanced association for access points
CN100461942C (zh) * 2005-05-27 2009-02-11 华为技术有限公司 Ip多媒体子系统接入域安全机制的选择方法
EP1891771A1 (fr) * 2005-06-16 2008-02-27 France Télécom Procede de traduction d'un protocole d'authentification
JP4925610B2 (ja) * 2005-06-16 2012-05-09 ヒューレット−パッカード デベロップメント カンパニー エル.ピー. 通信システムおよびその方法
US20070180499A1 (en) * 2006-01-31 2007-08-02 Van Bemmel Jeroen Authenticating clients to wireless access networks
KR100819942B1 (ko) * 2006-04-17 2008-04-10 주식회사 에어큐브 유무선 네트워크의 검역 및 정책기반 접속제어 방법
US20080077592A1 (en) * 2006-09-27 2008-03-27 Shane Brodie method and apparatus for device authentication
CN1997026B (zh) * 2006-12-29 2011-05-04 北京工业大学 一种基于802.1x协议的扩展安全认证方法
JP4308860B2 (ja) * 2007-02-20 2009-08-05 株式会社エヌ・ティ・ティ・ドコモ 移動通信端末及びウェブサイト閲覧方法
KR100906389B1 (ko) * 2007-05-10 2009-07-07 에스케이 텔레콤주식회사 802.1x 인증기반 통합로그 분석 기능을 제공하는통합로그분석시스템, 통합로그 서버, 및 방법
US8204528B2 (en) * 2008-04-24 2012-06-19 Research In Motion Limited Apparatus, and associated method, for facilitating access to a home, or other public network
CN101621801B (zh) 2009-08-11 2012-11-28 华为终端有限公司 无线局域网的认证方法、系统及服务器、终端
US8671187B1 (en) 2010-07-27 2014-03-11 Aerohive Networks, Inc. Client-independent network supervision application
EP2792175B1 (en) * 2011-12-16 2016-09-14 Telefonaktiebolaget LM Ericsson (publ) A method and a network node for connecting a user device to a wireless local area network
US9690676B2 (en) 2013-03-15 2017-06-27 Aerohive Networks, Inc. Assigning network device subnets to perform network activities using network device information
US9948626B2 (en) * 2013-03-15 2018-04-17 Aerohive Networks, Inc. Split authentication network systems and methods
US9152782B2 (en) 2013-12-13 2015-10-06 Aerohive Networks, Inc. Systems and methods for user-based network onboarding
CN104469770B (zh) * 2014-11-27 2018-03-20 中国联合网络通信集团有限公司 面向第三方应用的wlan认证方法、平台和系统
CN104602229B (zh) * 2015-02-04 2018-02-06 重庆邮电大学 一种针对wlan与5g融合组网应用场景的高效初始接入认证方法
US11064459B2 (en) * 2017-06-30 2021-07-13 Maxlinear, Inc. Method for informing a user about communication capability mismatch in a home network, client devices and access points for a home network
KR102040174B1 (ko) * 2018-03-05 2019-11-05 주식회사 수산아이앤티 Hsts를 이용해서 클라이언트를 식별하는 방법
CN108900586B (zh) * 2018-06-15 2021-04-09 广东美的制冷设备有限公司 家电、wifi模块及其与终端之间的通信方法和可读存储介质
US12026534B2 (en) * 2021-07-27 2024-07-02 Synchrony Bank Methods and system for providing customized acquisition protocols

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000261461A (ja) * 1999-03-11 2000-09-22 Seiko Epson Corp マルチプロトコル対応通信制御方法及びマルチプロトコル対応通信システム並びにマルチプロトコル対応通信制御処理プログラムを記録した記録媒体
WO2000076249A1 (en) * 1999-06-08 2000-12-14 Telefonaktiebolaget Lm Ericsson (Publ) Mobile internet access
CN1298620A (zh) * 1998-02-27 2001-06-06 艾利森电话股份有限公司 Atm移动终端以及无线atm无线通信网的atm接入节点之间保密通信的鉴权方法及鉴权设备
WO2002100062A2 (en) * 2001-06-07 2002-12-12 Nokia Corporation Security in area networks

Family Cites Families (63)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0474932A1 (en) * 1990-09-13 1992-03-18 Hewlett-Packard Company Network fault analyzer
JPH05292147A (ja) * 1992-04-10 1993-11-05 Toshiba Corp 通信制御プロセッサ
JPH07235950A (ja) * 1994-02-24 1995-09-05 Japan Radio Co Ltd デジタル通信ネットワーク接続方法及び接続装置
US6038400A (en) * 1995-09-27 2000-03-14 Linear Technology Corporation Self-configuring interface circuitry, including circuitry for identifying a protocol used to send signals to the interface circuitry, and circuitry for receiving the signals using the identified protocol
US5784566A (en) * 1996-01-11 1998-07-21 Oracle Corporation System and method for negotiating security services and algorithms for communication across a computer network
JPH10276196A (ja) * 1997-03-28 1998-10-13 Ando Electric Co Ltd 通信監視装置
JP3507661B2 (ja) 1997-06-25 2004-03-15 株式会社東芝 通信装置
JPH11313371A (ja) * 1998-04-28 1999-11-09 Toshiba Corp 移動データ通信システムとその基地局装置及び移動端末装置
FI105978B (fi) * 1998-05-12 2000-10-31 Nokia Mobile Phones Ltd Menetelmä langattoman päätelaitteen kytkemiseksi tiedonsiirtoverkkoon ja langaton päätelaite
US6510236B1 (en) * 1998-12-11 2003-01-21 International Business Machines Corporation Authentication framework for managing authentication requests from multiple authentication devices
JP2001086563A (ja) * 1999-09-17 2001-03-30 Matsushita Electric Ind Co Ltd 無線通信システム
US6600726B1 (en) * 1999-09-29 2003-07-29 Mobilian Corporation Multiple wireless communication protocol methods and apparatuses
JP3570310B2 (ja) * 1999-10-05 2004-09-29 日本電気株式会社 無線lanシステムにおける認証方法と認証装置
US6571221B1 (en) * 1999-11-03 2003-05-27 Wayport, Inc. Network communication service with an improved subscriber model using digital certificates
WO2001060621A1 (fr) * 2000-02-18 2001-08-23 Fujitsu Limited Tete d'impression a jet d'encre et procede de fabrication correspondant
US7185360B1 (en) 2000-08-01 2007-02-27 Hereuare Communications, Inc. System for distributed network authentication and access control
CA2425079A1 (en) * 2000-10-06 2002-04-11 Cognio, Inc. Systems and methods for interference mitigation among multiple wlan protocols
US7035932B1 (en) * 2000-10-27 2006-04-25 Eric Morgan Dowling Federated multiprotocol communication
US6400696B1 (en) * 2000-11-07 2002-06-04 Space Systems/Loral, Inc. Bent-pipe satellite system which couples a lan to a gateway and uses a dynamic assignment/multiple access protocol
US7120129B2 (en) * 2001-03-13 2006-10-10 Microsoft Corporation System and method for achieving zero-configuration wireless computing and computing device incorporating same
US6611231B2 (en) * 2001-04-27 2003-08-26 Vivato, Inc. Wireless packet switched communication systems and networks using adaptively steered antenna arrays
US7350076B1 (en) * 2001-05-16 2008-03-25 3Com Corporation Scheme for device and user authentication with key distribution in a wireless network
US7483411B2 (en) * 2001-06-04 2009-01-27 Nec Corporation Apparatus for public access mobility LAN and method of operation thereof
US7085808B2 (en) 2001-06-07 2006-08-01 Nokia Corporation Method for distinguishing clients in a communication system, a communication system; and a communication device
US20030008662A1 (en) * 2001-07-09 2003-01-09 Stern Edith H. Systems and methods wherein a mobile user device operates in accordance with a location policy and user device information
WO2003010669A1 (en) * 2001-07-24 2003-02-06 Barry Porozni Wireless access system, method, signal, and computer program product
US20030054846A1 (en) * 2001-09-14 2003-03-20 Cvsht Apparatus and methods for selectively establishing wireless communications
JP2003110576A (ja) * 2001-09-26 2003-04-11 Toshiba Corp 無線ネットワークシステム、無線ネットワークの管理方法、及び、コンピュータで実行可能な無線ネットワークの管理プログラム
US6965816B2 (en) * 2001-10-01 2005-11-15 Kline & Walker, Llc PFN/TRAC system FAA upgrades for accountable remote and robotics control to stop the unauthorized use of aircraft and to improve equipment management and public safety in transportation
US7215965B2 (en) * 2001-11-01 2007-05-08 Airbiquity Inc. Facility and method for wireless transmission of location data in a voice channel of a digital wireless telecommunications network
US7483984B1 (en) * 2001-12-19 2009-01-27 Boingo Wireless, Inc. Method and apparatus for accessing networks by a mobile device
JP3870081B2 (ja) * 2001-12-19 2007-01-17 キヤノン株式会社 通信システム及びサーバ装置、ならびに制御方法及びそれを実施するためのコンピュータプログラム、該コンピュータプログラムを格納する記憶媒体
US7342876B2 (en) * 2001-12-20 2008-03-11 Sri International Interference mitigation and adaptive routing in wireless ad-hoc packet-switched networks
US7200112B2 (en) * 2002-01-02 2007-04-03 Winphoria Networks, Inc. Method, system, and apparatus for a mobile station to sense and select a wireless local area network (WLAN) or a wide area mobile wireless network (WWAN)
US7325246B1 (en) * 2002-01-07 2008-01-29 Cisco Technology, Inc. Enhanced trust relationship in an IEEE 802.1x network
DE60209858T2 (de) * 2002-01-18 2006-08-17 Nokia Corp. Verfahren und Einrichtung zur Zugriffskontrolle eines mobilen Endgerätes in einem Kommunikationsnetzwerk
JP2005539409A (ja) * 2002-03-01 2005-12-22 エンテラシス ネットワークス インコーポレイテッド 位置認識データネットワーク
CN1659898B (zh) * 2002-04-08 2010-05-12 空气磁体公司 确定在无线局域网中站点的状态
US7110783B2 (en) * 2002-04-17 2006-09-19 Microsoft Corporation Power efficient channel scheduling in a wireless network
US20030202494A1 (en) * 2002-04-26 2003-10-30 Drews Paul C. Establishing an ad hoc network
US7277404B2 (en) * 2002-05-20 2007-10-02 Airdefense, Inc. System and method for sensing wireless LAN activity
US6965674B2 (en) * 2002-05-21 2005-11-15 Wavelink Corporation System and method for providing WLAN security through synchronized update and rotation of WEP keys
US7193993B2 (en) * 2002-05-23 2007-03-20 Intel Corporation Integrated medium access control device and physical layer device
US7116970B2 (en) * 2002-05-31 2006-10-03 Lucent Technologies Inc. Selection of networks between WLAN and 2G/3G networks based on user and provider preferences
US20040203872A1 (en) * 2002-09-04 2004-10-14 Bajikar Sundeep M. Wireless network location estimation
US7164663B2 (en) * 2002-09-17 2007-01-16 Broadcom Corporation Method and system for providing an intelligent switch in a hybrid wired/wireless local area network
US7499401B2 (en) * 2002-10-21 2009-03-03 Alcatel-Lucent Usa Inc. Integrated web cache
US7350077B2 (en) * 2002-11-26 2008-03-25 Cisco Technology, Inc. 802.11 using a compressed reassociation exchange to facilitate fast handoff
US7526800B2 (en) * 2003-02-28 2009-04-28 Novell, Inc. Administration of protection of data accessible by a mobile device
US7353533B2 (en) * 2002-12-18 2008-04-01 Novell, Inc. Administration of protection of data accessible by a mobile device
US7633909B1 (en) * 2002-12-20 2009-12-15 Sprint Spectrum L.P. Method and system for providing multiple connections from a common wireless access point
US7215660B2 (en) * 2003-02-14 2007-05-08 Rearden Llc Single transceiver architecture for a wireless network
JP4476996B2 (ja) * 2003-02-27 2010-06-09 トムソン ライセンシング Wlanタイトカップリング解決法
US8170032B2 (en) * 2003-03-10 2012-05-01 Deutsche Telekom Ag Method and arrangement for externally controlling and managing at least one WLAN subscriber who is assigned to a local radio network
US20050177515A1 (en) * 2004-02-06 2005-08-11 Tatara Systems, Inc. Wi-Fi service delivery platform for retail service providers
US7423989B2 (en) * 2004-02-13 2008-09-09 Broadcom Corporation Preamble formats for MIMO wireless communications
US8010994B2 (en) * 2005-05-16 2011-08-30 Alcatel Lucent Apparatus, and associated method, for providing communication access to a communication device at a network access port
US7768981B1 (en) * 2005-06-14 2010-08-03 Marvell International Ltd. Bluetooth coexistence timing synchronization
US8104072B2 (en) * 2006-10-26 2012-01-24 Cisco Technology, Inc. Apparatus and methods for authenticating voice and data devices on the same port
JP4308860B2 (ja) * 2007-02-20 2009-08-05 株式会社エヌ・ティ・ティ・ドコモ 移動通信端末及びウェブサイト閲覧方法
US8103278B2 (en) * 2008-04-01 2012-01-24 Mediatek Inc. Method and system for managing idle mode of a mobile node with multiple interfaces
US8830866B2 (en) * 2009-09-30 2014-09-09 Apple Inc. Methods and apparatus for solicited activation for protected wireless networking
US8655345B2 (en) * 2011-01-08 2014-02-18 Steven K. Gold Proximity-enabled remote control

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1298620A (zh) * 1998-02-27 2001-06-06 艾利森电话股份有限公司 Atm移动终端以及无线atm无线通信网的atm接入节点之间保密通信的鉴权方法及鉴权设备
JP2000261461A (ja) * 1999-03-11 2000-09-22 Seiko Epson Corp マルチプロトコル対応通信制御方法及びマルチプロトコル対応通信システム並びにマルチプロトコル対応通信制御処理プログラムを記録した記録媒体
WO2000076249A1 (en) * 1999-06-08 2000-12-14 Telefonaktiebolaget Lm Ericsson (Publ) Mobile internet access
WO2002100062A2 (en) * 2001-06-07 2002-12-12 Nokia Corporation Security in area networks

Also Published As

Publication number Publication date
KR20050116144A (ko) 2005-12-09
MY151845A (en) 2014-07-14
JP5008395B2 (ja) 2012-08-22
US20060179475A1 (en) 2006-08-10
MXPA05009877A (es) 2006-02-28
WO2004084464A3 (en) 2005-01-13
JP2006520962A (ja) 2006-09-14
WO2004084464A2 (en) 2004-09-30
EP1606904A4 (en) 2010-12-29
EP1606904B1 (en) 2018-11-28
CN1784851A (zh) 2006-06-07
KR101145606B1 (ko) 2012-05-15
EP1606904A2 (en) 2005-12-21
US8272037B2 (en) 2012-09-18

Similar Documents

Publication Publication Date Title
CN1784851B (zh) 用于控制终端设备到无线局域网的接入的方法及接入点
CN1781099B (zh) 在公共热点中的客户终端的自动配置
US7142851B2 (en) Technique for secure wireless LAN access
AU2005236981B2 (en) Improved subscriber authentication for unlicensed mobile access signaling
US7480933B2 (en) Method and apparatus for ensuring address information of a wireless terminal device in communications network
CN1759558A (zh) 利用公共验证服务器的无线局域网访问控制中的身份映射机制
US8811272B2 (en) Method and network for WLAN session control
CN100428667C (zh) 一种采用公开密钥密码算法数字签名模式的强鉴别方法
CN100490375C (zh) 一种基于对称密码算法的强鉴别方法
JP2005167580A (ja) 無線lanシステムにおけるアクセス制御方法と装置
KR101046450B1 (ko) 무선랜에서의 웹인증 도입 시스템 및 그 방법

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20130220

Termination date: 20210312

CF01 Termination of patent right due to non-payment of annual fee