支持多個虛擬操作員的公共無線區域網的會話密鑰管理的製作方法
2023-06-24 01:23:31 1
專利名稱:支持多個虛擬操作員的公共無線區域網的會話密鑰管理的製作方法
技術領域:
本發明一般涉及網絡通信,具體涉及用於在支持第三方虛擬操作員的公共無線區域網(WLAN)環境中管理對會話密鑰的接入的機制。
背景技術:
當前的無線區域網(WLAN)認證、授權和計費(AAA)解決方案沒有對WLAN操作員提供保持與多個虛擬操作員的業務關係的足夠支持,具體上是相對於用於WLAN接入的會話密鑰的管理。不能正確地控制和管理會話密鑰會導致可能的安全和管理問題。
WLAN正在被越來越多地部署在諸如旅館、飛機場和快餐店的熱點中。一種健全的和有效的AAA(認證、授權和計費)解決方案對於使能安全的公共無線LAN接入很重要。具體上,這樣的AAA解決方案應當能夠支持虛擬操作員概念,其中,諸如ISP、蜂窩操作員和預付卡提供者的第三方提供者向公共WLAN和無線用戶提供AAA服務。以這種方式,無線用戶不必每次他們去不同的熱點時打開帳戶或通過信用卡支付;相反,他們可以使用現有的ISP帳戶、蜂窩帳戶或在任何地方購買的預付卡來獲得對於公共WLAN的接入。這可以大大地增加WLAN操作員以及第三方虛擬操作員的商業機會。但是,當前的無線LAN接入方案全部被設計用於其中僅僅使用單個認證伺服器的本地配置中,諸如聯合環境。例如,IEEE 802.11標準組織選擇IEEE 802.1x來作為WLAN接入控制的解決方案,並且當前的使用模式使用認證伺服器來控制會話密鑰分配。當這對於聯合環境等足夠時,在可以共存屬於不同的商業實體的多個認證伺服器的公共熱點中存在一定的問題。如果完全可能的話,對於這些認證伺服器很難協調接入點的密鑰分配。
現在說明當前的密鑰分配。在一種情況下,在公共WLAN熱點中的移動用戶與WLAN接入點沒有預先的信任關係。用戶意欲使用第三方服務提供者(例如網際網路服務提供商(ISP))來作為信任橋接實體。服務提供商可以被稱為虛擬操作員。用戶與這個虛擬操作員保持一個帳戶,所述虛擬操作員與WLAN操作員具有業務關係。因為用戶與虛擬操作員具有已經建立的信任關係,因此她能夠以安全的方式向虛擬操作員認證她本身。虛擬操作員然後安全地向用戶以及WLAN接入點發送會話密鑰(因為虛擬操作員也與WLAN具有信任關係)。因為這個共享的會話密鑰,無線LAN於是知道用戶被授權來接入網絡,因此準許用戶接入。注意,在這個方案中,虛擬操作員分配會話密鑰,因為它與用戶和WLAN都具有信任關係。
會話密鑰用於本地接入,應當對於WLAN接入點是本地的,例如被接入點分配和保持。當存在多個虛擬操作員時,上述的密鑰管理方案在至少兩個區域有問題。首先,對於虛擬操作員,經常有的問題是對於術語不同實體的成千上萬的接入點分配和管理會話密鑰,即,對於不同類型的接入點提供不同的加密算法和密鑰長度。其次,對於接入點,可能難於保證多個虛擬操作員以一致的方式來分配會話密鑰,例如,必須保證兩個用戶不同時使用由兩個不同的虛擬操作員分配的相同密鑰。
主要困難是接入點不與無線用戶共享秘密,因此從接入點向用戶直接發送會話密鑰是不安全的。對於這個問題的解決方案是虛擬操作員在成功的用戶認證後向接入點(AP)通知用戶的公共密鑰。AP然後使用用戶的公共密鑰來加密會話密鑰,然後向用戶發送結果。因為僅僅那個特定的用戶能夠使用她的對應私有密鑰來解密會話密鑰,因此可以在AP和無線用戶之間能安全地建立會話密鑰。但是,這個方案需要使用公共/私有密鑰,它們可能與在無線用戶和認證伺服器之間的實際的認證方法不兼容。有可能用戶需要保存兩種不同類型的密鑰(用於解密會話密鑰的私有密鑰和用於使用認證伺服器認證的密碼類型密鑰)。這不僅增加客戶機軟體的複雜性,而且增加了安全保存密鑰的困難。此外,這種方案不用正成為WLAN安全的標準IEEE 802.1x進行工作。
因此,需要一種解決方案,其中密鑰被接入點本地分配和管理,並且,無線用戶能夠安全地獲得會話密鑰而沒有與接入點的預先信任關係。
發明內容
本發明描述了一種有效的處理這個問題的機制。會話密鑰被WLAN本地分配和管理(因為這些密鑰用於本地接入控制),但是,它們可以安全地被分配到與它們對應的虛擬操作員保持信任關係的無線用戶。
一種無線區域網的會話密鑰管理的方法,包括在接入點和虛擬操作員之間建立第一安全信道,並且從接入點向虛擬操作員建議會話密鑰。在虛擬操作員和用戶之間建立第二安全信道,並且由虛擬操作員發送會話密鑰,以使能在接入點和用戶之間的通信。
一種用於無線區域網的會話密鑰管理的系統,包括接入點,它在接入點和虛擬操作員之間建立第一安全信道。從接入點向虛擬操作員建議會話密鑰。虛擬操作員在用戶的認證後,在虛擬操作員和用戶之間建立第二安全信道,虛擬操作員設置會話密鑰,以使能在接入點和用戶之間的通信。
根據現在參照附圖詳細說明的說明性實施例,本發明的優點、特徵和各種附加特點將會變得更加清楚,其中圖1是按照本發明的一個實施例的示例系統;圖2是按照本發明的一個實施例的用於實現會話密鑰管理的方法的說明性步驟的流程圖;圖3是按照本發明的另一個實施例的、無線區域網的會話密鑰管理的另一種說明性方法的圖。
應當明白,附圖是為了圖解本發明的思想,而不必用於說明本發明的僅僅可能的配置。
具體實施例方式
本發明一般涉及網絡通信,具體涉及用於在支持第三方虛擬操作員的公共無線區域網(WLAN)環境中管理接入會話密鑰的機制。這樣的虛擬操作員可以包括網際網路服務提供商(ISP)、蜂窩操作員或預付卡提供商。為了最大化收入來源,公共無線區域網(WLAN)可以與多個虛擬操作員保持業務關係。
應當明白,以WLAN系統來說明本發明,所述WLAN系統諸如符合IEEE802.11、Hiperlan 2和/或超寬帶標準的那些;但是,本發明範圍更寬,並且可以被應用到用於其他通信系統的其他系統管理方案。另外,本發明可以被應用到任何網絡系統,包括電話、電纜、計算機(網際網路)、衛星等。
現在具體詳細地參考附圖,其中在幾個視圖中類似的附圖標記表示類似或相同的元件,首先參見圖1,公共無線區域網(WLAN)14包括WLAN熱點31的接入點30。WLAN 14可以使用例如IEEE 802.11和HIPERLAN2標準。WLAN 14可以包括在諸如網際網路7的外部網絡之間的防火牆22。終端用戶或移動單元40可以使用例如HTTPS通道或其他安全的信道64來通過網際網路7從WLAN 14接入虛擬操作員62,如在此所述。
分散在蜂窩網絡的小區之間或之內的是無線區域網14。按照本發明,從虛擬操作員62向用戶40發送會話密鑰60。虛擬操作員62可以包括網際網路服務提供商(ISP),蜂窩操作員或預付卡提供商或其他實體,它們通過通信網絡提供服務。為了最大化收入來源,公共無線區域網(WLAN)可以與多個虛擬操作員保持業務關係。但是,在保持足夠的系統安全性的同時,保持多個虛擬操作員很難。
因為虛擬操作員62和用戶(MS 40)共享諸如安全信道的秘密或使用共享的信息段或代碼,因此可以通過在其間的安全信道64來發送密鑰60。但是,取代具有確定和保持會話密鑰60的虛擬操作員62,所述密鑰被WLAN接入點30選擇,然後向虛擬操作員提示。可以通過多種方法來選擇密鑰,包括例如隨機數量產生、從預存的多個密鑰選擇等。
參見圖2,用於實現本發明的實施例被說明性地描述如下。在方框102中,用戶(移動終端(MT))在接入點(AP)30請求無線LAN接入,並且指定虛擬操作員(VO)62。在方框104,AP 30建立與虛擬操作員62的安全信道SC1。通過SC1在AP 30和虛擬操作員62之間進行所有隨後的通信。在方框106,用戶與虛擬操作員62建立安全信道SC2,並且通過SC2用虛擬操作員認證她自己。這可以包括將會話密鑰保存直到成功的用戶認證。
在方框108,虛擬操作員在成功的用戶認證後向AP 30通知結果,並且通過SC1向AP 30查詢會話密鑰60。如果會話密鑰被保存,則如果認證不成功就去除它。在方框110,AP 30選擇會話密鑰60並且將其通過SC1向虛擬操作員62發送。在方框112,虛擬操作員通過SC2向用戶發送這個會話密鑰。在方框114,用戶和AP 30開始使用會話密鑰來用於在它們之間的後續通信(安全信道SC3)。
參見圖3,可以如圖所示進一步將圖2所示的方法在速度和效率上進行改善。取代在成功的認證後使虛擬操作員詢問會話密鑰,AP 30就在建立SC1後提供建議的會話密鑰,並且在接入點30將此密鑰「保存」在存儲器24中。在成功的用戶認證後,AP 30被虛擬操作員通知,並且對於SC3開始使用這個密鑰。在不成功的認證的情況下(例如在用戶進行一定數量的不成功嘗試後),也通知AP 30,並且從「保存」列表24中去除所述密鑰。這防止了拒絕服務的攻擊,其中攻擊者持續進行不成功的認證嘗試。如果AP沒被通知不成功的認證,則所建議的密鑰將積累在AP的存儲器中。認證步驟可以包括如下。
在步驟202,用戶在AP 30請求無線LAN接入,並且指定虛擬操作員62。在步驟204,AP 30與虛擬操作員62建立安全信道SC1。通過SC1在AP和虛擬操作員之間進行所有隨後的通信。在步驟206,AP 30向虛擬操作員62發送所建議的會話密鑰,並且將這個密鑰「保存」。在步驟208,用戶與虛擬操作員62建立安全信道SC2,並且在方框209通過SC2用虛擬操作員62認證她本身。在步驟210,虛擬操作員62向AP 30通知認證結果,並且AP 30從所述「保存」列表去除所建議的密鑰。在方框212,在成功的認證後,虛擬操作員62向用戶發送會話密鑰。在方框214,用戶和AP 30開始使用會話密鑰來用於在它們之間(安全信道SC3)的後續通信。
圖3的方法為什麼更有效的原因是因為它比圖2的方法節省了一個往返行程的通信時間,例如,虛擬操作員不必等待直到認證結束,以向AP查詢會話密鑰,並且向用戶通知所述密鑰。雖然在步驟206中AP需要向虛擬操作員發送所建議的密鑰,但是這可以與步驟208並行進行。因此,總的來說,避免了往返行程。在其他實施例中,可以伴隨步驟208順序地執行步驟206。
應當明白,可以在移動終端、接入點和/或蜂窩網絡中例如以各種形式的硬體、軟體、固件、專用處理器或其組合來實現本發明。最好,本發明實現為硬體和軟體的組合。而且,所述軟體最好實現為在程序存儲器上確實地包含的應用程式。所述應用程式可以被上載到包括任何適用的架構的機器並且由其執行。最好,在計算機平臺上實現所述機器,所述計算機平臺具有硬體,諸如一個或多個中央處理單元(CPU)、隨機存取存儲器(RAM)和輸入/輸出(I/O)接口。所述計算機平臺也包括作業系統和微指令代碼。在此所述的各種處理和功能可以或者是經由作業系統執行的微指令代碼的一部分或應用程式的一部分(或其組合)。另外,各種其他的外圍器件可以連接到計算機平臺,諸如附加的數據存儲器和列印設備。
還應當明白,因為附圖中所述的構成系統部件和方法步驟的一些可以用軟體來實現,因此在系統部件(或處理步驟)之間的實際連接可以根據本發明所編程的方式而不同。在此提供示教的情況下,在本領域的普通技術人員將能夠考慮本發明的這些和類似的實現方式或配置。
在已經描述了支持多個虛擬操作員的公共無線區域網的會話密鑰管理的優選實施例(它們意欲是說明性和非限定性的)的情況下,可以注意到,本領域的技術人員可以根據上述教程來進行修改和改變。因此,應當明白,可以在由所附的權利要求概述的本發明的範圍和精神內公開的本發明的特定實施例中進行改變。在已經以專利法所要求的詳細程度來描述了本發明的情況下,在所附的權利要求中給出了由專利證書要求保護和期望保護的內容。
權利要求
1.一種用於管理會話密鑰的方法,所述會話密鑰用於使能在無線區域網(「WLAN」)的接入點和移動終端之間的通信,所述方法包括步驟從移動終端接收接入WLAN的請求;確定與接入請求相關聯的虛擬操作員;在接入點和虛擬操作員之間建立第一安全信道;經由第一安全信道請求來自虛擬操作員的用戶認證,其中,虛擬操作員經由第二安全信道與移動終端通信以認證移動終端;選擇會話密鑰,並且經由第一安全信道向虛擬操作員發送會話密鑰,其中,虛擬操作員經由第二安全信道向移動終端發送會話密鑰;和使用會話密鑰與移動終端通信。
2.按照權利要求1的方法,其中,與選擇和發送會話密鑰的步驟並行地執行請求用戶認證的步驟。
3.按照權利要求2的方法,其中,所述通信步驟包括在從虛擬操作員接收到用戶認證成功的通知後,使用會話密鑰來與移動終端通信。
3.按照權利要求2的方法,其中,選擇會話密鑰的步驟包括保存會話密鑰直到從虛擬操作員得到用戶認證成功的通知,並且在得到通知時,從保存中去除會話密鑰,並且向虛擬操作員發送會話密鑰。
4.按照權利要求3的方法,還包括步驟如果認證成功,則從保存中去除會話密鑰。
5.按照權利要求1的方法,其中,僅僅接收到來自虛擬操作員的用戶認證成功的通知後,執行選擇會話密鑰和經由第一安全信道向虛擬操作員發送會話密鑰的步驟。
6.按照權利要求1的方法,其中,虛擬操作員包括網際網路服務提供商、蜂窩提供者和信用卡提供者之一。
7.一種用於管理會話密鑰的裝置,所述會話密鑰用於使能在無線區域網(「WLAN」)和移動終端之間的通信,所述裝置包用於從移動終端接收接入WLAN的請求的部件;用於確定與接入請求相關聯的虛擬操作員的部件;第一部件,用於經由第一安全信道來與虛擬操作員通信,所述第一通信部件經由第一安全信道從虛擬操作員請求用戶認證,其中,虛擬操作員經由第二安全信道與移動終端通信以認證移動終端;用於選擇會話密鑰、並且經由第一安全信道向虛擬操作員發送會話密鑰的、與第一通信部件耦合的部件,其中,虛擬操作員經由第二安全信道向移動終端發送會話密鑰;和第二部件,用於使用會話密鑰與移動終端通信。
8.按照權利要求7的裝置,其中,第一通信部件與選擇部件選擇和發送會話密鑰並行地請求用戶認證。
9.按照權利要求8的裝置,其中,第二通信部件在從虛擬操作員接收到用戶認證成功的通知後,使用會話密鑰來與移動終端通信。
10.按照權利要求9的裝置,其中,選擇部件保存會話密鑰直到從虛擬操作員得到用戶認證成功的通知,並且在得到通知時,從保存中去除會話密鑰,並且向虛擬操作員發送會話密鑰。
11.按照權利要求10的裝置,其中,如果認證成功,則選擇部件從保存去除會話密鑰。
12.按照權利要求7的裝置,其中,僅僅接收到來自虛擬操作員的用戶認證成功的通知後,執行選擇會話密鑰和經由第一安全信道向虛擬操作員發送會話密鑰的步驟。
13.按照權利要求7的裝置,其中,虛擬操作員包括網際網路服務提供商、蜂窩提供者和信用卡提供者之一。
14.一種用於在無線區域網(WLAN)中控制移動終端的方法,包括步驟發送接入WLAN的請求,所述請求包括用於識別相關聯的虛擬操作員的數據;與虛擬操作員建立安全信道,用於執行與接入請求相關聯的用戶認證;在用戶認證成功時,經由安全信道來接收會話密鑰,其中,虛擬操作員通過第二安全信道從WLAN接收會話密鑰;和使用會話密鑰來建立與WLAN的通信。
全文摘要
一種用於管理會話密鑰的方法和裝置,其用於使得移動終端可以接入無線區域網(WLAN)。本發明提供了在接入點和虛擬操作員之間建立第一安全信道,並且從接入點向虛擬操作員建議會話密鑰。在虛擬操作員和用戶之間建立第二安全信道,並且在用戶認證成功時經由第二安全信道向用戶發送會話密鑰。移動終端使用會話密鑰來接入WLAN。
文檔編號H04L29/06GK1685694SQ03823011
公開日2005年10月19日 申請日期2003年8月13日 優先權日2002年8月14日
發明者張俊彪 申請人:湯姆森特許公司