专利名称:用于wlan会话控制的方法和网络的制作方法
技术领域:
本发明涉及在基于WLAN的网络中提供会话控制的领域。更具体而言,本发明涉及一种用于在基于RADIUS的网络中进行会话控制的方法。本发明可能有利地被用于在预付费WLAN解决方案中及时提供用户信息。
背景技术:
无线LAN(WLAN),并且特别是基于IEEE 802.11标准的WLAN近几年已经受到极大的注意。WLAN被用于家庭和企业环境。WLAN已经同样变为可用于公共场所,即所谓的热点地区,例如咖啡店,机场等等的WLAN用户。为了投资这些热点,WLAN基础结构的所有人,诸如服务提供者必须控制对WLAN的接入,以便对顾客收取使用费。
热点典型地具有许多接入点(AP)和一个或者多个接入服务器,在这里被称为无线服务节点(WSN)和鉴权服务器(AS),正如在图1中所举例说明的。WSN的功能性还可以和每一个AP结合起来。AS不必位于热点的网络,但是能够被服务提供者定位在中心或者因特网的某处。
目前最常见的解决方案是由WSN来完成接入控制和计费数据的收集。这种解决方案已经在图2中用示意图进行了举例说明。当开始接入控制时AP仅仅是通过(pass-through)设备。用户利用UE(用户设备)和WSN之间的HTTP(超级文本传输协议)网接口登录到该系统。UE和WSN之间的HTTP业务典型地由SSL(安全套接层)进行密码保护。为了验证从UE接收的证书,WSN(无线服务节点)典型地具有与鉴权服务器(AS)通信的RADIUS客户。
在图4中,示出了用户首先连接到图2的热点接入点配置,并随后用完信用的示范性过程,由此授权借助于″网登录″(HTTP)变得更为方便。
这些步骤将在这里进行简短地描述。在步骤21-27,示出了站STA1鉴权其本身并且随后被接入点AP1以关联需要接受的众所周知的步骤。在步骤50,站的用户打开网浏览器,并且转发HTTP Get请求53。所请求的网地址(URL)不必指向网关节点WSN,因为WSN能够截取和重定向该请求。网关节点通过发出HTTP登录页面55进行响应。用户然后键入他的名字和口令57,并且转发这个信息到网关节点WSN。当接受时,网关提供HTTP会话窗口61,将启动计费消息发给鉴权服务器AS63,并且打开去往/来自站的业务65。
在某个后期阶段,用户可能用完信用。这能够以不同的方法进行检测。该网关例如能够周期性地向鉴权服务器进行报告,鉴权服务器用于检测账户为空53。作为选择,AS,或者其它的网络节点能够具有一个定时器,用于当会话将结束时进行检测。HTTP锁定消息67可能被发布到移动台。随后,鉴权服务器发出锁定请求69,于是网关节点锁定站71。
最近,一种用于在扩大的安全等级完成接入控制的新方法已经在IEEE802.11i标准化任务组下以及别处引入,其表示为IEEE802.1X。依据这种如图3所示的方法,在AP完成接入控制。为了这个目的,AP典型地具有与AS谈话的RADIUS客户。UE和AS利用可扩展的鉴权协议(EAP)进行通信。WSN可能还被用于提供各种服务,例如收集计费数据,强制执行用户分布图等等。
当UE移动时,它可以离开一个AP(″先前的″AP)的无线电覆盖区域,并且移动到另一个AP(″后续的″AP)的覆盖区域。在这种情况下,UE不得不进行从先前的AP到后续的AP的越区切换。IEEE802.11标准提供了一种为了进行这个越区切换的方法。特别地,支持802.11所定义的与后续的AP的关联,但是没有办法告诉先前的AP该UE已经移动到另一个AP。先前的AP不得不通过隐含的表示,例如基于超时来发现UE不再位于它的小区。
为了补救这个问题,已经根据802.11F识别了一种新的操作规程建议,其指定了AP之间的协议(IAPP)。这个协议的目的在于引入一种用于AP的标准化方法,用于当UE关联或者进行越区切换时进行通信。根据IAPP,″后续的″AP能够发送IAPP消息到″先前的″AP,并且让它知道UE现在与″后续的″AP相关联。″先前的″AP能因此从它的存储器中删除该UE。″先前的″AP在该点还根据802.11F将802.11分离消息发送到UE。此外,IAPP促进在AP之间的密码保护信息的传送。
在图5中,示范性的握手图(handshake diagram)举例说明了用户利用RADIUS和802.1X鉴权和802.11F接近并连接热点接入点并随后移动到热点网络内的另一个AP的过程,该网络被配置成图1中那样。
在站STA1到达AP1附近之后,在步骤21-27完成传统的802.11鉴权和关联步骤。随后,在鉴权服务器AS之前启动802.1X鉴权程序。AP发出请求ID29,并且站进行响应31。接入点AP1发送RADIUS接入请求331和有关用户身份的信息到鉴权服务器AS。然后继续EAP消息交换35,以完成鉴权。这个交换的细节取决于鉴权方法的使用。在这里,举例来说,选择EAP。如果鉴权成功,AS发送RADIUS接入接受37,并且AP将成功39发射到站,同时AP打开用于所述的站的业务40。网关节点WSN通过它启动有关该站的业务的收费41。
如果该站移动到AP2的入口,在步骤43-46完成鉴权和再关联的802.11传统步骤。根据IAPP协议,AP2发出IAPP移动消息47到AP1,其以IAPP移动确认信息49进行响应,其可以在站STA1和鉴权服务器AS之间包括一个包含例如有关鉴权的证书在内的上下文。最终,AP1可以根据802.11F发出分离消息51到AP1,现在通知其能够取消有关STA1的信息。
一些AP供应商已经实施了有关IAPP的(非标准化)功能如果层-2的帧出现在(先前的)具有作为源地址的UE的MAC地址的AP的有线网络侧,AP获悉UE必须被关联到其它的(后续的)AP。先前的AP能因此从它的存储器删除该UE,并且将分离消息发射到UE。
在很多情况下,可能希望结束正在进行的来自WSN或者其它的不是AP的节点的会话,例如如果用户具有用完信用的预付费账户。另一个方案是用户已经空闲很长时间,例如如果他/她已经离开无人管理的热点的膝上计算机。在这种情况下,WSN可以想要迫使UE完成再鉴权。如果在WSN完成接入控制,例如如果使用网登录,WSN能够容易地结束有效的会话和/或迫使再鉴权。
如果系统正在运行802.1X,情况有所不同。在这种情况下,在AP完成接入控制,对于WSN,没有用于告诉AP结束有效会话或者迫使再鉴权的标准化的方法。特别地,RADIUS没有被WSN或者其他的实体用于例如结束会话或者启动新的鉴权的启动服务器消息。
WSN仅仅阻挡所有去往/来自用户的业务的解决方案是没有用的,因为用户不能发现他/她为什么没有接入因特网。在没有WSN的方案中,甚至不可能阻挡来自所述的UE的业务。
一种可能的解决方案是WSN等待下一个再鉴权。随后,AS可以拒绝再鉴权尝试。此外,因为来自AP中的RADIUS客户的RADIUS消息将经过WSN,WSN能够确定鉴权被拒绝。无论如何会话将结束。采用这种解决方案的缺点在于再鉴权之间的时间可能很长(默认的802.1X再鉴权时间间隔是一小时)。WSN将由此具有非常脆弱的会话控制。
另一种可能性是执行AP和WSN之间的用于会话控制的专有协议。采用这种解决方案的缺点在于仅仅某一类型的AP能连同WSN一起被使用。
第三种可能性是使用DIAMETER作为鉴权协议来代替RADIUS,因为DIAMETER具有可用于结束会话的服务器启动消息。然而,RADIUS是当今供应商的唯一优选的解决方案,本发明的发明人知道没有具有DIAMETER支持的AP。
发明内容
本发明的第一个目的在于给出一种用于控制一个站以终止其接入到给定的AP的网络。
通过在权利要求1中所阐述的主题,已经达到这个目的。
进一步的目的在于给出一种接入控制节点,用于控制一个站以终止其接入到给定的AP。
通过在权利要求7中所阐述的主题,已经达到这个目的。
更进一步的目的在于给出一种方法,用于控制一个站以终止其接入到给定的AP。
通过在权利要求9中所阐述的主题,已经达到这个目的。
更进一步的优点将出现在本发明的详细说明中。
图1示出一个热点网络,具有许多接入点(AP)和一个或者多个接入服务器,在这里被称为WLAN服务节点(WSN)和接入服务器(AS),图2示出一个现有技术的网络,其中由网关节点(WSN)完成接入控制和计费数据收集,图3示出一种现有技术方法,表示为IEEE802.1X,用于在例如IEEE802.11i标准化任务组和Wi-Fi保护的接入下完成在扩大的安全等级的接入控制,图4示出一种示范性的现有技术的过程,其中用户首先连接到图2的热点接入点配置,随后用完信用,由此授权借助于″网登录″(HTTP)变得更为方便,图5是一个示范性的现有技术的握手图,举例说明了用户接近并连接热点接入点并且随后移动到热点网络内的另一个AP的方法,该网络利用RADIUS,802.1X鉴权和IAPP被配置成图1中那样,图6是一个根据本发明的实施例的握手图,具有类似图1中示出的现有技术网络的网络拓扑结构,图7是一个根据本发明第二实施例的握手图,图8是一个根据本发明第三实施例的握手图,图9是一个根据本发明第四实施例的握手图,以及图10是一个关于本发明的有关拒绝服务攻击的握手图。
实施例的详细说明根据本发明,WSN或者另一个非AP网络节点使用IAPP协议和/或层-2的帧来取消一个或者几个AP中的会话。根据本发明,典型地可能将该终止与计费系统结合使用,借此由使用实体的给定帐户的用尽引起接入终止。对于本发明,它是AP相对于现有技术支持如上所述的IAPP功能的先决条件。因此,本发明可能适当地被用于一种其中所述的AP,WSN和AS之间已经达成协议的方案。一方当事人还可以拥有这些实体。
在图6中,已经示出了根据本发明的第一实施例。该网络的体系结构可能有利地类似于图1中示出的现有技术的网络,借此站STA被连接到相同网络段的AP的AP1或者AP2,但是节点WSN未必起网关,即,组成到因特网的唯一的路线的作用。相反地,将在下面的说明中的阐明WSN节点的功能。
在步骤101,有关站STA的账户被用尽,AS发射锁定请求103到WSN节点,以便通知WSN所述的用户将停止接入到因特网。如果WSN具有用于AP1和AP2的网关位置,即它组成到因特网的唯一的路线,WSN节点可能阻挡有关STA1的业务。这个选择已经由锁定动作105示出。
随后,WSN发出IAPP移动通知到AP的AP1和/或AP2,正如由步骤107和111所指示的。如果WSN知道STA1被关联到哪一个AP,可能足以发出IAPP移动通知到那个AP。人们注意到未必是AP的WSN正在通过发出最初仅仅打算用于AP的AP指定的消息来仿真AP。
AP1和AP2通过发出IAPP移动响应消息111和113进行响应,并且在那个点,AP的接入被取消用于所述的使用实体STA1。随后,AP将分离消息115和117发送到站STA1,借此有可能用于在该站运行的应用,诸如浏览器,以积极地通知用户该接入已经被取消,正如由在步骤119中的锁定指示所指示的。
因此,根据本发明,已经提供了一种网络,包括至少一个接入点AP1,AP2和一个接入控制节点WSN,AS,由此可能由接入控制节点AS识别站的身份。至少一个接入控制节点WSN发出至少一个IAPP消息,使得该站当前关联的AP分离给定的站,由此终止用于给定的站的接入。
有利地,一种实体,诸如服务提供者可能约定与AP的给定的子集的协议。
根据该发明,已经提供了一种终止用于WLAN站的接入的方法,包括步骤监视给定的站是否正可以接入任何一个接入点的给定的子集,并且监视有关给定的站的账户是否正与接入点的子集的给定的接入点关联,如果检测到有关给定的站的账户为零,发出IAPP消息,使得该给定的站相关联的子集的接入点分离该给定的站。
根据本发明的第二实施例,设想了除了没有提供分离的WSN节点之外的如图1中的网络拓扑结构。这个实施例在图7中被示出。在步骤101,检测到STA1的帐户为空,AS经由因特网发出IAPP移动通知消息121和125到AP1和/或AP2。后面的AP注意到由于STA1的移动它们察觉到了什么,并且对于STA1,取消到因特网的接入。随后,AP1和AP2通过发出IAPP移动响应消息123和127来响应AS。随后,分离消息115和117根据802.11F可以从STA1最近所关联的AP2被发出。由STA1接收分离消息117,由此能够通知用户,正如以上所解释的。
在图8中,已经示出了本发明的第三实施例,其中示出了如图1中举例说明的网络拓扑结构。在这个实施例中,WSN或者非AP网络节点向所有的AP,在适当情况相当于AP1和AP2,广播IAPP ADD-通知帧129。对于AP,它表现为STA1已经关联到后续的AP(实际上是WSN),并且STA1最近关联的AP2将因此通过发出分离消息115和117来分离UE,后者正由STA1接收。
人们注意到因为IAPP消息在IP分组中被传送,WSN不必保存在与AP相同的子网。WSN能够发送定向子网的广播到AP所感兴趣的子网。这个实施例已经在图9进行了举例说明。
WSN还可以(或者代之以)广播层-2帧和作为源地址的UE的MAC地址到所有的AP。此将使得所有的AP相信UE已经进行了到后续AP(在这种情况下,后续的AP是WSN)的越区切换,并且因此将分离UE。
因为一方不致力于提供用于所述的站的实际的接入,导致实现接入停止,人们能够想到拒绝不可靠的AP的服务攻击可能是一个问题。
然而,这未必是将参考图10解释的情况,其中在步骤80,不可靠的AP,APX设法登记为有效AP,如在802.11F中所描述的。如果根据RADIUS已知的特征,AP不能露出必需的证书,该请求将被拒绝,正如在步骤81所举例说明的。
最初,当在步骤83,RADIUS允许的AP客户在网络上被加电时,它发出RADIUS登记接入请求85到WSN或者AS,并且后面的节点以包含用于加密图解保护IAPP ADD消息的意图的RADIUS登记接入接受作出响应。
站STA1可以随后与AP相关联,如在步骤89所示。
当在步骤91,93,95,IAPP消息诸如IAPP ADD通知被接收时,正由网络的正当的会员发送的这些消息的真实性可以通过完成密码操作而被容易地证明。如果IAPP消息没有通过适当的键被密码保护,该操作将提供错误的结果并且正如在步骤93中所举例说明的拒绝服务攻击将失败,反之,真实的RADIUS客户的身份可以被确定,授与IAPP ADD通知消息95。
IEEE802.11F还提供用于在两个AP之间密码保护IAPP移动消息的方法。同样,这些方法利用RADIUS服务器(例如WSN或者AS)来分配密钥资料。
参考IEEE Standard 802.11-1999;Wireless LAN Medium AccessControl(MAC)and PhysicalLayer(PHY)SpecificationsIEEE Standard 802.1X-2001;Port-Based Network AccessControlIEEE Draft Recommended Practice 802.11FRFC 2865;RADIUSRFC 2284EAP
权利要求
1.一种包括至少一个接入点(AP1,AP2)和一个接入控制节点(WSN,AS)的网络,该接入点使用用于AP之间的通信的IAPP协议,其中至少一个站(STA1)可以与接入点(AP1,AP2)相关联,由此可以由接入控制节点(AS)识别该站的身份,其中至少一个接入控制节点(AS;WSN)发出至少一个IAPP消息,使得该站当前关联的AP分离给定的站,并且由此终止用于给定的站的接入。
2.根据权利要求1所述的网络,其中第一接入控制节点(AS/WSN)是连接到因特网的鉴权服务器。
3.根据权利要求2所述的网络,其中提供了第二接入控制节点,该第二接入控制节点是网关节点(WSN)。
4.根据权利要求2所述的网络,其中接入控制节点发出IAPP ADD通知消息。
5.根据权利要求2所述的网络,其中接入控制节点发出IAPP移动通知消息。
6.根据权利要求3所述的网络,其中接入控制节点发出锁定请求(103)到网关节点。
7.一种连接到至少一群接入点的接入控制节点,接入点使用用于AP之间的通信的IAPP协议,并且提供到至少一个站(STA1),站(STA1)的接入,由此可以由接入控制节点(AS)识别该站的身份,由此至少一个接入控制节点(AS;WSN)发出至少一个IAPP消息,使得该站当前关联的AP分离给定的站,并且由此终止用于给定的站的接入。
8.根据权利要求7所述的接入控制节点,其中接入的终止是以有关给定的站的账户的用尽为条件的。
9.一种终止用于WLAN站的接入的方法,包括步骤监视给定的站是否正可以接入任何一个接入点的给定的子集,并且监视有关给定的站的账户是否正与接入点的子集的给定的接入点关联,如果检测有关给定的站的账户为零,发出IAPP消息,使得该给定的站相关联的子集的接入点分离该给定的站。
全文摘要
提供了一种网络,包括至少一个接入点(AP1,AP2)和一个接入控制节点(WSN,AS),由此可能由接入控制节点AS识别该站的身份。至少一个接入控制节点WSN发出至少一个IAPP消息,使得该站当前关联的AP分离给定的站,由此终止用于给定的站的接入。
文档编号H04LGK1802817SQ200380110373
公开日2006年7月12日 申请日期2003年12月4日 优先权日2003年7月3日
发明者S·罗默 申请人:艾利森电话股份有限公司