CN1826766B

CN1826766B - 用于控制基于信用的(预付费)访问无线网络的方法和设备

Info

Publication number: CN1826766B
Application number: CN2004800210733A
Authority: CN
Inventors: 萨钦·萨蒂什·莫迪; 绍拉伯·马瑟; 查尔斯·传铭·王
Original assignee: Thomson Licensing SAS
Current assignee: InterDigital CE Patent Holdings SAS
Priority date: 2003-07-22
Filing date: 2004-07-21
Publication date: 2010-07-28
Anticipated expiration: 2024-07-21
Also published as: US20070008937A1; KR101127214B1; KR20060059966A; EP1647111B1; JP2006529062A; EP1647111A1; CN1826766A; JP4563385B2; BRPI0412772A; WO2005011205A1

Abstract

公开了一种根据基于信用的访问控制、用于不再从网络认证客户机设备的方法。该方法包括：根据认证协议，由网络中的接入点(AP)从客户机设备接收用户访问的用户请求，并且响应用户请求，由AP将访问请求发送到认证服务器。AP从针对客户机设备认证用户访问的认证服务器接收访问响应，其中访问响应包含具有数值的参数，所述数值指示了根据剩余用户信用可用于客户机设备继续访问网络的长度。然后，当参数值达到阈值时，AP将重新认证请求发送到认证服务器，以便在授权客户机设备进一步访问网络之前，重新利用网络来认证客户机设备。

Description

用于控制基于信用的(预付费)访问无线网络的方法和设备

本发明要求于2003年7月22日递交的美国临时申请No.60/489,307的权益，并在此通过参考一并包括其内容。

技术领域

本发明涉及无线网络中的访问和认证控制。更具体地，本发明涉及根据用户用于获取访问WLAN的信用到期，解除认证用户或使用户与公共或专用无线局域网(WLAN)无关。

背景技术

无线局域网(WLAN)通常表示一种电信网络，允许使用射频(RF)或光信号而不是通过有线或其它物理通信线路在计算机之间、或在计算机和其它通信系统之间进行数据通信。由于因特网服务和无线电信技术的快速发展，WLAN已经充分发展。因为组网和维持的便捷性，越来越多地使用WLAN，尤其是在有线或其它物理通信线路网络不可行的地方，例如建筑物到建筑物的网络、较大办公区或后勤中心的网络等。

电信服务提供商近来还通过将主要用于室内私人网络的WLAN技术应用到室外公共网络而引入了一种高速无线因特网服务，其中可以在所谓热点区域，由已经通过预定注册过程注册了其自身身份(ID)编码和密码的用户访问因特网服务。这种公共可访问的设施，例如休息区、咖啡馆、商场、飞机场和图书馆，允许移动通信设备计费地访问私人数据网络或公共数据网络，例如公司的内部网或因特网。当进入这种公共可访问的设施中，移动通信设备典型地在无线信道上与接入点建立通信链路来访问无线LAN，并且访问超出无线LAN的公共或私人网络。目前，无线LAN(WALN)环境中的用户认证涉及认证服务器的使用，例如远程认证拨号用户服务(RADIUS)服务器，其具有根据WLAN标准的802.1x可扩展认证协议(EAP)的访问控制软件。其它典型实施例包括有线和无线通信协议。在此，在认证过程之后用户可以获得访问。

在传统的公共WLAN服务系统中，当用户尝试访问网络时，执行认证过程，并且包括当用户尝试访问网络时，通过认证服务器重复执行的认证确认过程。根据IEEE 802.1x标准，只在用户从认证服务器获得授权使用AP的物理端口之后，用户才可以使用接入点(AP)的物理端口。

用于控制通过WLAN连接访问网络的方法是根据服务提供商的集中收费功能。这些提供商的客户通常根据订阅、按照月或天以及有或没有使用限制来为访问网络付费。在服务提供商的集中数据库中保留了客户账户。响应认证质询的网络部分(例如RADIUS服务器)保留了账户满足服务提供商对于预付或在某个时间周期内支付欠款的支付要求的客户的身份信息。即使是提供特殊访问的服务提供商，例如来自飞机场的单个日期访问(或计时的)，也依赖集中收费和结算系统和其认证数据库的批处理更新。

在如上所述的这种配置中，AP用作移动通信设备的用户和认证服务器之间的中间物或“中间人”。当在WLAN环境中用户与AP建立无线连接时，AP通过请求用户凭证信息来开始认证过程。然后，AP将用户凭证信息转发到用于验证和授权WLAN访问的认证服务器。认证服务器根据接收到的凭证将成功或失败消息返回给AP，并且根据该结果，AP授权或拒绝用户访问。

例如信用余额、认证信息等的用户账户信息被存储在例如RADIUS服务器的认证服务器可访问的数据库中。然而，这种基于信用的WLAN访问要求当用户的账户余额不足够以WLAN访问时，终止用户的访问。此时，当前的协议不允许例如RADIUS服务器的认证服务器将主动提供的消息发送到AP。

因此希望提供一种能够根据信用信息而解除认证先前认证的用户或使用户与WLAN的方法和系统无关。

发明内容

根据基于信用的访问控制而解除认证移动通信设备(也可以称为“客户机”)访问网络的方法包括：根据认证协议，由网络中的接入点(AP)从客户机设备接收用户访问的用户请求；响应用户请求，由AP将访问请求发送到认证服务器；由AP从针对客户机设备认证用户访问的认证服务器接收访问响应，访问响应包括具有数值的参数，所述数值指示根据剩余用户信用、可用于客户机设备访问网络的量；响应客户机设备对于网络的使用率以及所述参数，确定客户机设备剩余的可用访问量；响应可用剩余访问量达到阈值，AP将第一重新认证请求发送到客户机设备，以使客户机设备重新认证访问网络；响应第一重新认证请求，AP从客户机设备接收第一重新认证响应；以及在授权客户机设备进一步访问网络之前，AP将重新认证请求发送到认证服务器。具体地，网络可以是WALN，并且特别地，客户机设备可以是移动通信设备。

网络包括用于通过通信信道与多个客户机设备之一进行通信的接入点，接入点根据客户机设备的认证、经由根据认证协议的认证服务器提供对网络的访问。接入点还响应来自认证已经请求访问网络的客户机设备之一的认证服务器的访问响应，所述请求经由接入点被转发到认证服务器，访问响应包含具有数值的参数，所述数值指示了根据剩余用户信用、可用于客户机设备继续访问的长度，以便当与参数值相对应的时间周期到期时，使接入点启动重新认证过程，从而在授权客户机设备进一步访问网络之前，请求客户机设备的重新认证。具体地，网络可以是WLAN，并且具体地，客户机设备可以是移动通信设备。

附图说明

按照详细说明和附图，可以更好地理解本发明，图中：

图1是示出了实现本发明原理的典型架构的方框图。

图2A是示出了根据本发明实施例、用于认证/解除认证用户访问WLAN的、发生在无线LAN、认证服务器和图1系统的移动通信设备组件之间的通信的消息交换图；

图2B是根据在本发明中实现的原理、组成用于触发移动通信设备的重新认证的访问响应消息的一部分的典型会话超时参数分组格式。

图3是根据示出了在本发明中实现的原理、用于计算会话超时数据的测定方法的操作的典型流程图。

图4是示出了根据在本发明中实现的原理、用于计算会话超时数据的测定方法的操作的可选典型流程图。

具体实施方式

现在以一个或多个典型实施例的形式来说明本发明。图1是示出了本发明典型实施例的方框图。参考图1，典型实施例包括系统10，系统10具有其上驻留了访问控制软件或逻辑电路14的接入点12。在一个典型实施中，接入点12是WLAN(无线局域网)接入点并且访问控制软件14是802.1x可扩展认证协议(EAP)。根据在此提供的公开和教导，本领域的技术人员可以理解其它通信协议可以被用于实现本发明。当激活时，访问控制软件14提供多个功能，以使接入点12允许或不允许用户访问WLAN16。

当激活时，访问控制软件14从多个移动通信设备(18₁、18₂、…18_n)之一的用户接收访问请求，其中特定无线客户机或移动通信设备18₁尝试接触接入点12，以便建立对例如WLAN的通信网络16的访问。AP12将请求转发到配置用于根据例如账户余额、预付信用收费等的信用信息来认证用户的相应认证服务器20。注意，在无线网络16和认证服务器20之间可以存在附加的网络，包括例如有线、无线和卫星网络。与认证服务器相关的数据库24存储并保留基于用户的信用余额信息。在一种配置中，服务器20可以直接访问账户信息。可选地，服务器20可以在网络26(例如私人数据网络或PDN)上作为另一个记账/认证服务器28、29的代理进行操作，其中服务器28、29作为能够访问用户信用记录(例如根据发行机构或预付数据卡发行方、由信用卡控制的服务器)的最终认证服务器进行操作。当AP12从认证用户的认证服务器20接收到访问接收响应消息时，AP12使相关客户机设备18能够访问WLAN。

根据本发明的方案，认证服务器20包括用于测定操作员使用和/或用参数表示相应通信对话的控制服务器逻辑电路22。控制服务器逻辑电路22包括根据多个标准的使用参数和/或交易准则，标准包括例如(a)最大对话时间(例如，按照时间或货币单位)；(b)最大数据量(增加或减少)；(c)带宽(上行和/或下行)(例如按照字节或货币单位)；(d)弹出框、告警和宽限期；(e)按照日期的时间、星期的日期而变化的变化速率(例如在高峰期变化更大)；以及(f)将访问限制在日期的特定时间、星期的日期，或者例如根据用户信用信息来操作时间周期。在一种配置中，与发送到AP用于认证用户并且允许访问WLAN的访问响应消息相关的参数被用于触发来自AP的认证(或重新认证)请求，以便当参数值达到给定阈值时，根据信用信息重新认证移动通信设备的用户。在典型实施例中，具有分组格式和在RFC2865中说明的协议的RADIUS认证服务器的会话超时参数或属性210a(图2B)被用于实现该结果。更具体地，控制服务器逻辑电路22(图1)确定例如WLAN费率的各种使用成本，并且根据用户拥有的信用余额量、按照单位(例如日期、小时、分钟、秒等)计算特定用户的最大可用访问时间。设置在返回到AP的访问响应消息中的会话超时参数中包括该值的部分(可以包括整个值)。当AP接收到的访问响应消息中包含的会话超时周期值期满时，则AP的访问控制逻辑电路14触发要发送到用户的802.1X重新认证请求消息216，来启动重新认证，以便保持访问网络。

例如，如果用户拥有存储在服务器20可访问的记账数据库24中的$20的账户余额，并且无线LAN收费率是$2每小时，则用户可以保持附加到WLAN上的最大可能时间被计算为10小时。认证服务器控制逻辑电路22将会话超时参数设置为最大可用数10小时的一部分(例如作为1小时会话超时值)。根据RFC2865中说明的RADIUS协议，RADIUS服务器20将会话超时参数或属性210a作为访问接收消息210的一部分发送到AP。在一种配置中，该属性设置在终止对话或提示之前要提供给用户的服务的最大秒数。在遵守RFC2865协议的优选实施例中，会话超时属性210a与RADIUS请求的终止动作值一起发送访问接收消息，指定在重新认证之前提供的服务的最大秒数。在这种情况中，会话超时属性被用于载/入802.1X的重新认证定时器状态机中的reAuthPeriod常数。由认证服务器在访问接收(或访问质询)消息中将该常数发送到AP。图2B示出了根据RFC2865的会话超时参数或属性210a的格式。

于是，会话超时参数值210a被用于触发用户的重新认证请求，从而AP在每一个会话超时周期的末端或当会话超时参数值降到阈值以下时，将重新认证请求发送到移动通信设备18的用户，其中阈值可以是会话超时参数值的百分数。在正常的操作下，用户凭证被重新发送到服务器，用于确认，并且重复认证过程。

图2A示出了根据本发明的方案、在基于时间的重新认证场景中、用于根据信用信息控制访问的、在客户机/用户、AP和认证/记账服务器之间的消息的典型操作流程图。

参考图2A，作为移动通信设备18的客户机/用户和AP12之间的操作，客户机设备18的用户将EAP_START消息(201)发送到具有IEEE802.1x功能的AP，用于请求访问WLAN16。作为响应，AP将REQUEST_ID消息(202)发送到用户设备，并且用户设备利用用户身份(ID)编码作为RESPONSE_ID消息(204)回应给AP。在从用户设备接收到RESPONSE_ID消息之后，AP将RADIUS请求消息(206)发送到RADIUS认证/记账服务器20。认证/记账服务器进行操作，以便确认用户设备，包括确认用户密码和/或其它用户凭证(例如名称、客户机ID、端口ID等)，并且根据包括用户信用余额、WLAN收费或其它额外费用的可用信用信息来确定用户可用的访问时间/量。

然后，RADIUS认证/记账服务器(AS)20根据用户信用信息(根据上面的说明，是最大可用访问时间/量的一部分)来计算会话超时参数值，并且当认证时，将结果的访问接收消息210发送到AP，包括将会话超时参数值210发送到AP。

作为响应，AP将认证成功消息发送到用户设备，并且允许用户访问网络。在一种配置中，AP存储表示会话超时参数值的值。WLAN访问控制软件逻辑电路中的计数器确定会话超时参数值期满的时间(214)，并且当期满时，控制逻辑电路将请求在允许进一步访问网络之前用户设备重新认证自身的RE-AUTHENTICATION_REQUEST(216)发送到用户设备。

用户设备利用包括相关凭证信息的RE-AUTHENTICATION_RESPONSE消息(218)来响应AP，AP在重新认证请求(220)中将其转发到AS20。响应重新认证请求，AS20根据最大可用信用(222)确定整个对话时间/量周期是否期满。如果是，表示认证失败的访问拒绝响应消息224被返回给AP。AP将失败消息发送到用户设备(例如EAP_fail)并且使用户不再访问WLAN。否则，由服务器20重新认证用户，计算会话超时参数值并且设置(210a)在发送到AP的访问接收响应(210)中，并且授权用户设备继续访问WLAN。

在本发明的典型实施例中，认证/记账服务器20的控制服务器逻辑电路22包括与每一个被认证用户相关的计时器模块300(见图3)，用于确定用户访问可用的总时间量以及超时周期是否期满，如图2A的步骤222。结合图2A的消息交换图，图3示出了与计时器模块的操作相关的典型流程图。计时器模块包括与用户账户中剩余的信用余额相对应的信用计时器。认证/记账服务器20确定可用的WLAN访问时间信用，并且激活与最大可用信用余额相关的计时器或其它的这种计数器(步骤310)。在一个实施例中，在图2A的步骤208中计算的会话超时参数值210a(图2A)与信用计时器值相对应，或者是整个信用计时器值的一部分。根据时间和流量单位之一的流逝，更新信用计时器值(步骤320)。在如图2A的步骤220、RADIUS认证/记账服务器接收到重新认证请求(步骤325)的情况中，服务器检查信用计时器模块来确定计时器是否期满(步骤330)。如果是，服务器自动地将例如访问拒绝、解除认证消息(图2A的224)的认证失败消息(步骤340)发送到AP12。即，结果，终止用户访问WLAN。按照正常的方式处理由RADIUS认证/记账服务器在相关信用计时器模块期满之前接收到的给定用户的重新认证请求，简单地重新认证用户，从而使用户能够继续访问WLAN(步骤350)。

结合图4，说明了不需要认证服务器执行信用计时器的可选实施方式。当用户通过提供一些形式的凭证来尝试注册WLAN系统时，认证服务器20计算按照某个单位(例如时间单位、流量)的剩余用户信用余额(步骤410)。服务器20周期性地从AP接收记账消息(例如按照时间或流量的单位)(步骤420)。根据RFC2866发送这些消息和消息格式，包括从AP到服务器20(可以是记账服务器或作为记账服务器的代理)、用于针对提供给用户的服务、提供更新账户信息的记账请求消息/分组。当成功接收并且更新记账记录进行记录时，服务器20提供记账响应消息/分组给AP。服务器根据接收到的账户信息来更新(例如减少)信用单位，直到信用达到给定阈值(例如零或负余额)。每一次发生用户重新认证(步骤425)，服务器查找剩余信用单位余额并且当信用余额单位降到阈值以下时，将认证失败消息发送到AP(步骤430、440)。然后访问控制软件14命令接入点12终止(或与其无关)与客户机18的通信会话。否则，重新认证用户，计算会话超时参数，并且授权用户设备继续访问WLAN(步骤450)。

如上所述，本发明在根据时间单位对用户访问WLAN进行记账的系统中找到适当的应用，然而，也可以使用其它的记账单位，包括例如使用的带宽、流量或用户使用的其它资源量。对于基于量的账户用户，会话超时周期(参数值)可以根据通过AP的流量而逐个周期性地变化。在这种情况中，可以将会话超时周期定义为其中用户发送固流量(例如按照字节)的可变持续时间。每次可以将会话超时周期设置为超出给定字节量(例如1MB)的流量。在一种配置中，当用户发送1MB流量时AP12的访问逻辑电路14将发送重新认证请求并随后重新设置AP逻辑电路中的字节计数器。

应当理解，可以按照分布或集中的方式，使用软件、固件、硬件或这些实施方式的组合来实现上述的本发明。更具体地，可以在计算机可读记录介质上利用计算机可读的程序/编码来实现本发明。计算机可读的记录介质可以包括其中存储了计算机可读数据的各种介质设备。记录介质的范例包括ROM、RAM、CD-ROM、磁带、硬盘、软盘、闪存、光数据存储设备以及甚至载波，例如在因特网上发送。此外，记录介质可以分布在通过网络互连的计算机系统中，并且可以作为分布系统中的程序/编码来存储并实现本发明。根据在此的公开和教导，本领域的一般技术人员可以理解，可以使用其它方式和/或方法来实现本发明。

可以理解，在此所述的范例和实施例只是为了演示的目的，并且建议本领域的技术人员按照实施例进行各种修改和变化，并且这些修改和变化被包括在本申请的精神和范围内以及所附权利要求的范围内。为了完整性通过参考包括了在此引用的所有公开、专利和专利申请。

Claims

1.一种用于根据基于信用的网络访问控制来从网络解除认证客户机设备的方法，包括：

网络的接入点根据认证协议从所述客户机设备接收用户访问的用户请求；

所述接入点响应所述用户请求，向认证服务器发送访问请求；

所述接入点从所述认证服务器接收认证所述基于信用的网络访问的访问响应，所述访问响应包括具有信用值的参数，所述信用值指示根据剩余用户信用、可用于继续网络访问的长度；

所述接入点响应所述信用值达到阈值，向所述客户机设备发送第一重新认证请求，以便重新认证；

在所述客户机设备被授权进一步访问网络之前，所述接入点从所述客户机设备接收包括用户凭证的第一重新认证响应，并利用第二重新认证请求转发所述用户凭证到所述认证服务器。

2.根据权利要求1所述的方法，其中，所述参数包括与IEEE 802.1X认证协议相关的会话超时参数。

3.根据权利要求1所述的方法，还包括响应从所述接入点发送到所述认证服务器的第二重新认证请求，所述认证服务器向所述接入点发送第二重新认证响应，用于根据与所述客户机设备相关的所述信用参数值来重建所述网络访问。

4.根据权利要求3所述的方法，其中，所述第二重新认证响应基于所述信用值与所述阈值进行比较的结果，第二重新认证响应是以下之一：a)解除认证消息；以及b)重新认证消息。

5.根据权利要求1所述的方法，其中，包含在所述访问响应中的所述信用值是基于以下之一：a)时间使用率；以及b)流量使用率。

6.一种用于根据基于信用的网络访问控制来从网络解除认证客户机设备的方法，所述方法包括：

根据认证协议，由网络中的接入点从所述客户机设备接收用户访问的用户请求；

响应所述用户请求，所述接入点将访问请求发送到认证服务器；

所述认证服务器响应所述访问请求，根据剩余用户信用和与客户机设备相关的网络费用来计算会话超时参数值，所述会话超时参数值表示可以继续网络访问的长度；

所述认证服务器将所述会话超时参数值嵌入认证所述基于信用的网络访问的访问响应消息中，并将所述访问响应消息发送到所述接入点；

所述认证服务器激活具有表示与客户机设备相关的剩余用户信用余额的数值的信用计时器，所述信用计时器根据时间访问使用率而递减；

所述接入点接收所发送的访问响应消息，并授权相关客户机设备访问网络；

所述接入点确定会话超时参数值期满的时间；响应所述会话超时参数值期满，所述接入点将第一重新认证请求发送到所述客户机设备；

响应所述第一重新认证请求，所述接入点从所述客户机设备接收包括用户凭证的重新认证响应；

响应所述重新认证响应，接入点将第二重新认证请求发送到认证服务器；

所述认证服务器响应用于重新认证所述基于信用的网络访问的第二重新认证请求，比较与客户机设备相关的所述信用计时器值与预定阈值；以及

所述认证服务器根据所述比较，确定是否解除认证所述网络访问，以使其不再访问网络。

7.根据权利要求6所述的方法，还包括，当所述信用计时器值低于所述预定阈值时，所述认证服务器发送解除认证响应消息。

8.根据权利要求6所述的方法，还包括，当所述信用计时器值高于所述预定阈值时，所述认证服务器发送重新认证响应消息。

9.根据权利要求6所述的方法，其中，所述会话超时参数值与IEEE802.1X认证协议相关。

10.一种网络，包括：

接入点，用于通过通信信道与多个客户机设备之一进行通信，根据认证协议，所述接入点根据所述客户机设备的认证，经由认证服务器提供对所述网络的访问，

其中，所述接入点还响应来自已经请求访问所述网络的所述客户机设备的认证服务器的访问响应，通过所述接入点将访问网络的请求转发到认证服务器；

所述访问响应包含具有信用值的参数，所述参数指示了根据剩余用户信用的指示符、可用于客户机设备继续访问的长度，以便当与所述信用值相对应的时间周期期满时，通过在授权客户机设备进一步访问网络之前，请求客户机设备重新提供用户凭证以允许客户机设备的重新认证，使所述接入点启动对于所述客户机设备的重新认证过程。

11.根据权利要求10所述的网络，其中，所述认证服务器是RADIUS认证服务器，其中所述认证服务器包括用于存储剩余用户信用的指示符的存储器。

12.根据权利要求10所述的网络，其中，包含在所述访问响应中的所述信用值是基于以下之一：a)时间使用率；以及b)流量使用率。

13.根据权利要求10所述的网络，其中，所述认证服务器响应所述重新认证过程，检索剩余用户信用的所述指示符并且当剩余用户信用的所述指示符下降到阈值以下时，拒绝所述客户机设备的重新认证。

14.根据权利要求10所述的网络，其中，剩余用户信用的指示符包括表示所述用户账户的剩余信用余额的信用计时器，所述信用计时器根据客户机设备对网络的时间访问使用率而递减。

15.根据权利要求10所述的网络，其中，认证服务器周期性地按照以下单位更新所述用户账户的信用计时器：a)时间；以及b)流量。