专利名称:使用重定向控制对网络的接入的制作方法
技术领域:
本发明提供了一种设备和方法,用于通过网络浏览器重定向改进诸如无线局域网(“WLAN”)的网络上的安全和接入控制。
背景技术:
与本发明的相关的内容是使用具有接入点(AP)的IEEE 802.1x架构的无线局域网(WLAN)家族,所述接入点将到诸如硬有线局域网和全球网(如因特网)的其他网络的接入提供给移动通讯设备(也被称为“客户端”或“客户端设备”)。WLAN技术的发展使得在休息站、咖啡馆、机场、图书馆以及类似公共设施处已经有了可以公共接入的热点(hot spot)。现在,公共WLAN提供给移动通讯设备(客户端)用户到诸如公司内部网的专用数据网络,或者诸如因特网、对等通讯和实况无线TV广播的公共数据网络的接入。实施和操作公共WLAN的相对低的成本以及可使用的高带宽(通常超过10兆比特/秒)使得公共WLAN成为一种理想的接入机制,移动无线通讯设备用户通过公共WLAN可以与外部实体交换数据分组。
当移动用户漫游到热点网络,该热点网络和用户的服务提供商网络必须执行漫游协议以对用户进行验证并且准予用户接入。更具体地说,当用户试图接入公共WLAN覆盖区域内的服务时,在将准予网络接入之前,WLAN首先对用户进行验证和授权。在验证之后,公共WLAN开通到移动通讯设备的安全数据信道以保护WLAN和该设备之间所传送的数据的私密性。现在,许多WLAN设备的制造商已经在所配置的设备上采用了IEEE 802.1x标准。因此,这种标准是WLAN所使用的比较流行的验证机制。但是,IEEE 802.1x标准是以专用LAN接入作为其使用模型进行设计的。因此,IEEE 802.1x标准不提供可以改进公共WLAN环境中的安全性的某些特点。
图1示出了在公共WLAN环境中的验证过程中通常涉及到的三个实体之间的关系用户终端或者移动终端/移动通讯设备/客户端设备(MT)140、具有至少一个接入点(AP)的WLAN 124、和可能关联于特定服务提供商或虚拟运营商(virtual operator)的验证服.务器(AS)150。信任关系如下MT在AS上拥有帐户因而它们共享信任关系142;WLAN运营商和拥有该AS的运营商(之后称为“虚拟运营商”)具有业务关系,因此AP或WLAN与AS具有信任关系126。验证过程的目的是通过利用两个现有信任关系而在MT和AP之间建立信任关系。
在基于网络浏览器的验证方法中,MT使用网络浏览器通过超文本传输协议安全套接字(Hyper Text Transfer Protocol Secured Sockets,HTTPS)协议与AS直接进行验证,并且确保AP(和在MT与AS之间的路径上的任何人/设备)不能侵犯或者偷取秘密的用户信息。虽然信道是安全的,可是除非由AS明确地通知否则AP不能确定验证的结果。但是,AS具有的、与MT有关的唯一信息是因特网协议或者在HTTPS会话的另一端的IP地址。当在AS和MT之间以电子方式设置有防火墙、网络地址转换(NAT)服务器、或者网络代理(这通常是具有虚拟运营商配置的情况)时,对于AS来说,启动会话以将验证的验证结果通知给AP或者识别MT是非常困难甚至是不可能的。
大多数现今的WLAN无线热点提供商使用基于网络浏览器的解决方案用于用户验证和接入控制,该解决方案对于用户是方便的并且不需要在用户设备上下载任何软件。在这种解决方案中,由服务器通过HTTPS对用户进行安全验证,该服务器随后通知无线AP以将接入准予给该用户。可以由WLAN运营商或诸如独立服务提供商(Independent Service Provider,ISP)、预付费卡提供商或者蜂窝电话(cellular)运营商的任何第三方提供商(之后被更广泛地称为虚拟运营商)拥有这种验证服务器AS。
在现有技术中,通过安全隧道,通过用户和验证服务器之间的通讯来实现验证。因为这种AP不转换(translate)用户和验证服务器之间的通讯。所以必须建立所谓在AP和验证服务器AS之间的授权信息的独立通讯,从而将验证信息通知给AP。
在AP中的接入控制基于移动通讯设备/客户端设备的地址,其中该地址可以是物理地址(PHY)、MAC地址或者IP地址,因此,当验证服务器AS将验证结果返回到AP时该验证服务器AS可以使用移动终端MT IP地址(HTTPS隧道的源地址)作为识别符。如果在AP和验证服务器AS之间不存在防火墙或者NAT(诸如所示的防火墙FW和本地服务器LS),则这种方法可以成功。但是在通常的情况下并且当存在虚拟运营商时(例如当涉及漫游时),验证服务器位于无线接入网络域之外,因此也就位于防火墙FW之外,并且实际上用于验证的HTTPS连接通常通过网络代理,如图2所示。从而该验证服务器AS接收的源地址可能是网络代理的地址,其不能被用于识别移动终端MT用户设备,并且因此不能被AP在确保安全连接中进行使用。
Junbiao Zhang,Saurabh Mathur,Kumar Ramaswamy于2003年4月28日提交的序号No.10/424,442的美国专利申请,,,“TECHNICQUE FOR SECUREWIRELESS LANACCESS”(内部文件参考编号PU030050),描述了在热点内基于网络浏览器的安全WLAN接入解决方案的普通技术。
Junbiao Zhang提交的序号No.60/453,329的美国临时专利申请,“Anidentity mapping mechanism in WLAN access control with public authenticationserves”(内部文件参考编号PU030071),涉及与本发明相同的问题,并且使用在热点网络和由该热点网络所启动的服务提供商网络之间的独立的安全通讯会话。因此需要保持两个独立的安全会话。
人们所需要的是一种机制,其利用网络浏览器相互作用而不需要在热点网络和服务提供商网络之间的明确的独立通讯会话,来改进在诸如无线局域网(“WLAN”)的网络上的安全和接入控制。
发明内容
一种用于控制到网络的接入的方法,该网络包括移动终端和用于向/从移动终端中继网络通讯的接入点,以及用于响应于来自移动终端的请求而执行验证处理的验证服务器。所述方法包括在接入点处接收来自移动终端的要接入网络的请求,将唯一数据与该移动终端的标识符关联,并且存储该关联的映射。将唯一数据发送到移动终端以使用在通过验证服务器对移动终端进行的验证中。在验证服务器处,使用唯一数据来执行对移动终端进行验证的步骤,并且一旦验证完成,使用重定向头部,将包括数字标记的验证消息和与唯一数据对应的验证参数的成功代码重定向到移动终端。接入点从移动终端接收数字标记的检索的重定向的URL和验证参数,并且将验证参数与映射的关联数据进行相关以确定到网络的接入。
根据另一个方面,用于控制到网络的接入的系统包括移动终端;被耦合到本地服务器、用于中继到/来自客户端的网络通讯的接入点;和用于响应于来自客户端的请求而执行验证处理的验证服务器。本地服务器响应于来自客户端的、要求接入网络的重定向的请求,将唯一数据与移动终端的标识符进行关联,存储关联的映射,并且发送唯一数据给客户端以使用在通过验证服务器对客户端进行的验证中。一旦使用唯一数据对客户端进行了验证,验证服务器进行操作以提供包括数字标记的验证消息和与唯一数据对应的验证参数的、用于接入的重定向头部给客户端,AP从客户端接收数字标记的检索的重定向的URL和验证参数,并且将验证参数与映射的关联数据进行相关以根据相关结果来确定到网络的接入。
当结合附图进行阅读时,通过下面详细说明可以更好地理解本发明。没有无遗漏地指出附图的所有各种特征。相反地,为了清楚可以任意地扩展或者减少各种特征。在附图中包括的有下面示意图图1示出了用于实施对移动无线通讯设备进行验证的本原理的方法的通讯系统的框图;图2示出了其中验证服务器在防火墙之后的通讯系统的框图;和图3示出了描述本发明的操作的消息交换图。
具体实施例方式
在要被讨论的附图中,电路和相关的块和箭头表示根据本发明的方法的功能,可以将其实现为电路和传输电信号的、相关的导线或者数据总线。或者,特别当将本发明的设备或者本方法作为数字过程实现时,一个或多个关联的箭头可以表示软件例程之间的通讯(例如,数据流)。
根据图2,由MT 140表示的一个或多个移动终端通过WLAN接入点AP和关联的计算机120(例如,本地服务器)进行通讯以获得到网络和到诸如连接到网络的数据库的关联外围设备的接入。至少存在一个接入点。AP和本地服务器可以被放置一起和/或单个单元可以执行AP和本地服务器两者的功能。MT与用于确保到网络的接入和验证的验证服务器150通讯。应该理解虽然相对于诸如WLAN的无线网络在这里进行描述,但是还可以将体现本发明的原理应用于有线或者无线的任何接入网络。
如在图2中进一步示出的,IEEE 802.1x架构包括互相作用以将站(station)移动性透明地提供给网络堆栈的更高层的几个组件和服务。IEEE802.1x网络定义了诸如接入点130的AP站和一个或多个移动终端140作为连接到无线介质并且具有IEEE 802.1x协议功能(即MAC(介质访问控制)和对应的PHY(物理层)(未示出))的组件,IEEE 802.1x网络还定义了到无线介质的连接127。通常,将IEEE 802.1x的功能实现在无线调制解调器或者网络接入或接口卡的硬件和软件中。本发明提出一种方法,用于在通讯流中实施识别手段,从而与IEEE 802.1x WLAN MAC层兼容的、用于下行链路通讯量(即从验证服务器到诸如膝上计算机的移动终端)的接入点130可以参与通过本地服务器120和包括验证服务器150的虚拟运营商对一个或多个无线移动通讯设备/客户端设备140进行验证。
现在参照图3,通常通过借助消息220将HTTP浏览器请求205重定向210到本地服务器120来实现根据本发明的、用于改进WLAN 124中的移动终端140的安全性的方法。本发明的方法包括在HTTP请求205内、在到移动终端的用户输入请求中嵌入会话ID 215和随机数,对移动终端进行验证并且将数字签名信息与会话ID和随机数包括在用于从WLAN检索数据的重定向请求内,从而AP根据所存储的映射数据对从MT接收的数字签名信息和本地产生的数字签名执行匹配,以确定到WLAN的接入。
更具体地说,本发明的方法通过将会话ID 215和与移动终端的标识符关联的随机数嵌入到诸如统一资源定位符(URL)的网络地址位置中,来通过WLAN 124、接入点130处理来自移动终端140的接入请求(来自移动终端140的网络请求205)。
从{客户端、AP}获得客户端/MT的地址138,然后本地服务器产生可包括会话ID和随机数的唯一数据215。通过其中建立唯一数据和MT/客户端的标识符之间的关联映射的本地服务器将唯一数据转发到AP。MT/客户端标识符是客户端/MT地址并且可以是MT/客户端的物理地址(PHY)、MAC地址或者IP地址。将关联映射存储在AP中。
然后本地服务器产生网页235并且将所产生的、包括嵌入的信息和用于MT/客户端选择AS的请求的网页发送/转发到MT/客户端。该嵌入的信息可以包括唯一数据。
当接收到该网页,MT/客户端将包括会话ID的验证用户输入消息发送到AS(对应于240)。AS通过把从MT/客户端的请求验证信息的验证输入页发送给MT/客户端来进行响应(对应于245)。MT/客户端通过将其凭证提供给AS 250来对验证输入请求进行响应。一旦AS对MT/客户端进行了验证,包括重定向头部的验证消息255就被发送到MT/客户端。该验证消息可以还包括嵌入的数字签名、验证参数和至少部分的唯一数据。
MT/客户端通过检索和转发包括嵌入的数字签名、验证参数和会话ID的重定向URL到AP来对验证消息进行响应(对应于265)。该AP使用来自检索的重定向的URL的嵌入信息以及关联的映射来创建本地数字签名(对应于270),然后在本地产生的数字签名和由AS所产生的数字签名之间执行比较。如果在两个数字签名之间存在匹配则准予网络接入(对应于275)。如果在两个数字签名之间不存在匹配则拒绝网络接入。
根据本发明的一个方面,参照图3(结合图1和2的系统),根据本发明、用于提高WLAN环境124(例如,公共热点)中的移动终端140的安全性的方法将移动用户的浏览器请求205重定向(对应于210)到WLAN 124的本地网络服务器120。本地服务器120接收重定向的浏览器请求220并且获得诸如与移动终端140关联的MAC地址138“a”的识别符(a),并且与随机数“r”一起产生唯一会话ID(SID)215。注意,在这里所使用的术语随机数包括任何随机数、伪随机数或以某种方式产生的其他的这种数字,从而至少提供最小程度的随机性。已知存在有产生这种数的许多机制,为了简洁在这里省略了其详细说明。
WLAN 124保存移动终端140的会话ID 215、MAC地址138“a”和随机数“r”之间的映射,并且将与会话ID 215、MAC地址138“a”和随机数“r”关联的映射M存储在存储器中(例如,查询表、高速缓存器、RAM、平面文件(flat file)等)。地址充当客户端的识别符并且可以是物理地址(PHY)、MAC地址或者IP地址。在一种情况中,本地服务器120产生网页235,其请求移动终端140的用户来选择虚拟运营商并且将会话ID 215和随机数“r”嵌入到用于发送的网页235中。这可以通过例如将会话id和随机数“r”嵌入到与用于启动同验证服务器150的HTTPS会话的提交按钮关联的URL地址中来实现。
在将网页发送到MT之后(对应于235),用户做出对验证服务器的适当选择,并且通过HTTPS发送具有包括在该请求中嵌入的会话ID(SID)215和随机数“r”的用户输入的验证请求到所选择的验证服务器150(对应于240)。更具体地说,移动终端通过嵌入与用于同验证服务器150开始HTTPS会话的提交按钮关联的URL来进行响应,从而MT通过HTTPS发送具有在该请求中嵌入的会话ID 215的验证请求给验证服务器150(对应于240)。
作为响应,验证服务器150处理该请求并且将请求验证信息的验证输入页245发送给MT。然后用户输入某些验证参数或者凭证250(例如,用户姓名和通行字)并且通过HTTPS将它们提交给验证服务器150。
然后验证服务器从MT接收验证凭证250并且根据所接收的信息以及同MT的信任关系对用户进行验证。然后验证服务器产生包括与MT接入有关的关联信息(例如,验证信息)的成功代码255。提供该信息作为用于接入网络或者WLAN的参数列表“p”。然后将与随机数“r”和会话id 215在一起的参数列表“p”进行组合(例如,连接、并置或者其他合并)并且由AS进行数字签名。例如可以通过使用验证服务器的专用密钥或者使用验证服务器和WLAN之间的散列表或共享密钥来实现这种数字签名。将来自AS的所产生的数字签名表示为“g”。
然后AS将HTTP重定向头部260返回给MT以将用户浏览器重定向到AP WLAN上的URL。将参数列表“p”、会话id SID和数字签名“g”嵌入到来自AS的URL中并且发送到MT。在一种配置中,重定向头部可以是实际的HTTP头部。在另一种配置中,重定向头部可以是在返回的HTML页中的“HTTP-EQUIV”指示。
响应于HTTP重定向,用户浏览器MT试图检索重定向的URL 265同时MT发送参数列表“p”、SID 215、和数字签名“g”到WLAN 124。响应于从MT接收的信息(重定向的URL)265,WLAN就使用来自所存储的映射数据的SID从所存储的映射数据中检索随机数“r”和识别符“a”。更具体地说,本地服务器120接收在来自MT的重定向的URL请求中发送的SID,并且一同使用所接收的SID与映射的存储的数据M,所述数据M也包括用于确定对应随机数“r”的SID和地址或者移动通讯设备识别符“a”。然后WLAN依照与AS在产生数字签名“g”中所使用的方法相同的方法将从MT接收的参数列表“p”与从存储的映射数据中检索的随机数“r”和SID合并,以产生其自身的数字签名“g′”(270)。然后WLAN将数字签名“g”与“g′”进行比较。只有确定“g”和“g′”相同才接受参数列表“p”并且允许到WLAN的接入(275)。然后相对于MT地址识别符“a”可以进行诸如改变通讯业务过虑规则的各种操作。上述的接入控制机制使能移动终端的验证和网络接入而不必保持两个(或者多个)独立的安全通讯会话。
应该理解所示出的本发明的这种形式仅仅是优选实施方式。例如,虽然所描述的实施方式参考于WLAN接入系统,但是上述系统和方法可以应用于无论有线还是无线的任何接入网络。而且,应该理解本主题发明可以驻留在限制关联处理器的操作的程序存储介质中、以及可以驻留在由处理器的协同操作对通讯网络内的消息所执行的本方法的步骤中。这些过程能够以具有更加或者较不积极或被动的元件的各种形式存在。例如,它们可以作为包括源代码或者目标代码、可执行代码或者其他格式中的程序指令的软件程序存在。上述的任何一个都能够以压缩或者不压缩的形式实现在包括存储设备和信号的计算机可读介质中。计算机可读存储设备的例子包括传统计算机系统RAM(随机存取存储器)、ROM(只读存储器)、EPROM(可擦除、可编程ROM)、EEPROM(电可擦除、可编程ROM)、闪速存储器、和磁盘或磁带或者光盘。不论是否使用载波进行调制,计算机可读信号的例子是计算机系统作为主机而存储或者运行的计算机程序可以被配置来进行访问的信号,包括通过因特网或其他网络下载的信号。上述信号的例子包括在CD ROM上的或者经由因特网下载的程序的分发。
通常对于计算机网络也是同样的。以由数字处理器实施的设备和处理过程的形式,将关联的编程介质和计算机程序代码载入到处理器并且由其执行,或者可以由另外编程的处理器进行参考,从而限制处理器和/或与该处理器配合的其他外围元件的操作。由于这样的编程,该处理器或者计算机变为实施本发明的方法的设备及其实施方式。当被实施在通用处理器上时,计算机程序代码段配置处理器以创建特定的逻辑电路。在程序承载介质的特性中的这种变化、在将计算和控制和开关元件进行可操作连接的不同配置中的这种变化都在本发明的范围之内。
可以对部件的功能和排列进行各种其他变化;可以用等效装置代替那些被示出和说明的装置;并且只要不偏离在所附权利要求书中所定义的本发明的精神和范围,还可以将某些特征独立于其他特征进行使用。
权利要求
1.一种用于控制到网络的接入的方法,所述方法包括通过所述网络的接入点(AP)接收由客户端发送的要求接入所述网络的请求;通过所述AP将所述接入请求重定向到本地服务器;将唯一数据与所述客户端的识别符进行关联并且将所述关联的映射存储在所述AP中;通过所述本地服务器产生请求所述客户端选择验证服务器(AS)的、并且包括所述唯一数据的网页,而且将所述产生的网页转发到所述客户端;将验证请求发送到所述选择的验证服务器;以及从所述选择的验证服务器接收对所述验证请求的响应。
2.根据权利要求1所述的方法,其中所述网络是无线局域网(WLAN)。
3.根据权利要求1所述的方法,其中关联唯一数据的操作还包括转发来自所述本地服务器的所述客户端的所述识别符;和由所述本地服务器产生用于所述客户端的所述唯一数据。
4.根据权利要求1所述的方法,还包括由所述客户端检索具有嵌入数据的重定向的URL并且将所述重定向的URL转发到所述AP,其中所述嵌入数据包括第一数字签名、验证参数和所述唯一数据;由所述AP使用所述验证参数、所述唯一数据和所述识别符来创建第二数字签名;由所述AP将所述第一数字签名和所述第二数字签名进行比较;所述AP确定在所述第一数字签名和所述第二数字签名之间是否存在匹配;和由所述AP根据所述匹配确定执行准予网络接入和拒绝网络接入之一。
5.根据权利要求1所述的方法,其中所述唯一数据包括会话ID和随机数。
6.根据权利要求1所述的方法,其中所述识别符是所述客户端的地址。
7.根据权利要求1所述的方法,其中验证的操作还包括由所述AS处理所述验证请求,其中所述验证请求包括在所述验证请求中嵌入的会话ID;由所述AS通过将验证输入页转发到所述客户端来响应于所述验证请求,所述验证输入页包括用于验证信息的请求;和由所述AS从所述客户端接收验证凭证,其中对转发到所述客户端的所述验证请求的所述响应包括重定向头部和成功代码和与所述客户端接入到所述网络有关的关联信息。
8.根据权利要求7所述的方法,其中转发操作还包括由所述AS产生包括第一数字签名和验证参数的所述关联信息和所述成功代码。
9.根据权利要求5所述的方法,其中所述随机数是随机数和伪随机数之一。
10.根据权利要求1所述的方法,其中所述识别符是所述客户端的物理(PHY)地址、所述客户端的MAC地址和所述客户端的IP地址之一。
11.根据权利要求1所述的方法,其中将所述AP和所述本地服务器放置在一起。
12.根据权利要求1所述的方法,其中使用所述AS的专用密钥和所述AS和所述本地服务器之间的共享密钥之一来产生所述第一和所述第二数字签名。
13.根据权利要求4所述的方法,其中在所述AP处本地产生所述第二数字签名。
14.一种用于控制到网络的接入的系统,包括用于接收的装置,其通过所述网络的接入点(AP)接收由客户端发送的、要求接入所述网络的请求;用于重定向的装置,其通过所述AP将所述接入请求重定向到本地服务器;用于将唯一数据与所述客户端的识别符关联并且将所述关联的映射存储在所述AP中的装置;用于通过所述本地服务器产生网页并且将所述所产生的网页转发到所述客户端的装置,该网页请求所述客户端选择验证服务器(AS)并且包括所述唯一数据;用于将验证请求发送到所述选择的验证服务器的装置;和用于从所述选择的验证服务器接收对所述验证请求的响应的装置。
15.根据权利要求14所述的系统,其中所述网络是无线局域网(WLAN)而且其中将所述AP和所述本地服务器共同放置。
16.根据权利要求14所述的系统,其中用于关联唯一数据的装置还包括用于将来自所述本地服务器的所述客户端的所述识别符进行转发的装置;和用于通过所述本地服务器为所述客户端产生所述唯一数据的装置。
17.根据权利要求14所述的系统,还包括用于检索的装置,其通过所述客户端检索具有嵌入数据的重定向的URL并且将所述重定向的URL转发到所述AP,其中所述嵌入数据包括第一数字签名、验证参数和所述唯一数据;用于创建的装置,其通过所述AP使用所述验证参数、所述唯一数据和所述识别符创建第二数字签名;用于比较的装置,其通过所述AP将所述第一数字签名与所述第二数字签名进行比较;用于确定的装置,其通过所述AP确定在所述第一数字签名和所述第二数字签名之间是否存在匹配;和用于执行的装置,其通过所述AP根据所述匹配确定执行准予网络接入和拒绝网络接入之一。
18.根据权利要求14所述的系统,其中所述唯一数据包括会话ID和随机数。
19.根据权利要求14所述的系统,其中所述识别符是所述客户端的物理(PHY)地址、所述客户端的MAC地址和所述客户端的IP地址之一。
20.根据权利要求14所述的系统,其中用于验证的装置还包括用于处理的装置,其通过所述AS处理所述验证请求,其中所述验证请求包括在所述验证请求中嵌入的会话ID;用于通过所述AS将验证输入页转发给所述客户端而对所述验证请求进行响应的装置,所述验证输入页包括用于验证信息的请求;和用于接收的装置,其通过所述AS从所述客户端接收验证凭证,其中对转发给所述客户端的所述验证请求的所述响应包括重定向头部和成功代码和与所述客户端对所述网络的接入有关的关联信息。
21.根据权利要求20所述的系统,其中用于转发的装置还包括通过所述AS产生所述成功代码和包括第一数字签名和验证参数的所述关联信息。
22.根据权利要求18所述的系统,其中所述随机数是随机数和伪随机数之一。
23.根据权利要求14所述的系统,其中使用所述AS的专用密钥和所述AS和所述本地服务器之间的共享密钥之一来产生所述第一和所述第二数字签名。
24.根据权利要求17所述的系统,其中在所述AP处本地产生所述第二数字签名。
25.一种用于控制到网络的接入的系统,包括客户端;接入点(AP),其连接到本地服务器(LS)以将到和来自客户端的网络通讯进行中继;和验证服务器,用于响应于来自客户端的请求执行验证处理;其中AP响应于来自客户端要求接入网络的重定向请求而将唯一数据与客户端的识别符进行关联并且存储该关联的映射;LS发送唯一数据给客户端以在通过验证服务器对客户端进行验证中使用;一旦使用唯一数据对客户端进行了验证,验证服务器进行操作将用于接入的、包括数字签名的验证消息和与唯一数据对应的验证参数的重定向头部提供给客户端,AP从客户端接收数字签名的检索的重定向的URL和验证参数,并且AP还将验证参数与映射的关联数据进行相关以根据相关的结果确定到网络的接入。
26.根据权利要求25所述的系统,其中所述网络是包括接入点和本地服务器的无线局域网(WLAN)。
27.根据权利要求25所述的系统,其中所述本地服务器产生请求客户端选择验证服务器的网页,并且将唯一数据嵌入到用于发送给客户端的网页中。
28.根据权利要求25所述的系统,其中所述客户端的识别符是物理地址、MAC地址和IP地址之一,并且其中所述唯一数据包括会话ID和随机数。
29.根据权利要求28所述的系统,其中由所述本地服务器产生所述会话ID和随机数。
30.根据权利要求28所述的系统,其中所述验证服务器从客户端接收用户凭证信息并且将使用所述唯一数据的、包括验证参数的数字签名的验证消息通过HTTPS经由到客户端的所述重定向头部提供给客户端。
31.根据权利要求30所述的系统,其中所述AP响应于接收包括来自客户端的验证参数和至少部分唯一数据的、从客户端重定向而来的、数字签名的验证消息,使用所接收的部分唯一数据和存储的映射数据以及验证参数来产生本地数字签名,并且将本地数字签名与数字签名的验证消息进行比较以确定用户的网络接入。
32.根据权利要求25所述的系统,其中所述重定向头部还包括用于将客户端的浏览器重定向到网络上的URL并且将所述数字签名的验证消息、验证参数和部分唯一数据嵌入在URL中的装置。
33.根据权利要求26所述的系统,其中将所述AP和所述LS共同放置。
34.一种用于控制到网络的接入的方法,所述网络包括客户端和用于中继到和来自客户端的网络通讯的接入点,以及用于响应于来自客户端的请求而执行验证过程的验证服务器,所述方法包括在接入点(AP)处,接收来自客户端的要求接入网络的请求;将唯一数据与客户端的识别符进行关联并且将该关联的映射进行存储;并且将唯一数据提供给客户端以在通过验证服务器对客户端进行验证中使用;在验证服务器处,使用唯一数据对客户端进行验证,并且使用重定向头部将成功代码转发给客户端,并且包括数字签名的验证消息和与唯一数据对应的验证参数;和接入点根据重定向头部从客户端接收数字签名的验证消息和验证参数,并且将验证参数与映射的关联数据进行相关以确定到网络的接入。
35.根据权利要求34所述的系统,其中所述网络是无线局域网(WLAN)。
36.一种用于控制到网络的接入的方法,该方法包括通过与网络关联的接入点(AP)从客户端接收要求接入网络的请求;所述接入点将所述请求重定向到与网络关联的本地服务器,AP将会话ID和随机数与关联于客户端的识别符进行关联,并且存储将会话ID映射到关联于客户端的识别符和随机数的数据;通过所述LS将包括验证服务器选择请求、会话ID和随机数的验证输入请求提供给客户端;通过所述AP响应于来自所选择的验证服务器的重定向头部而接收来自客户端的重定向的请求,该请求包括数字签名的验证消息、验证参数列表、和所述会话ID,所述数字签名的验证消息是使用所述随机数、所述会话ID和所述验证参数列表由关联于客户端的所述选择的验证服务器而产生的;以及使用所存储的映射数据将所接收的数字签名的验证消息与用于接入的重定向的请求进行相关,以控制客户端到网络的接入。
37.根据权利要求36所述的方法,其中所述网络是无线局域网(WLAN)。
38.根据权利要求36所述的方法,其中所述验证输入请求是网页。
39.根据权利要求36所述的方法,其中所述数字签名的验证消息包括重定向头部。
40.根据权利要求36所述的方法,其中重定向的请求是检索的重定向的URL。
41.根据权利要求36所述的方法,其中将所述AP和所述LS共同放置。
全文摘要
一种利用网络浏览器的相互作用而不需要热点网络和服务提供商网络之间的明确独立的通讯会话来提高诸如无线局域网(“WLAN”)的网络上的安全和接入控制的机制。该方法包括从放置在WLAN的覆盖范围内的移动终端(MT)/客户端接收要求接入WLAN的请求。网络的接入点(AP)将会话ID和随机数与关联于MT的识别符进行关联并且存储将会话ID映射到MT的识别符和随机数的数据。本地服务器发送网页形式的、包括会话ID和随机数的验证请求到MT。AP从MT接收数字签名的验证消息、包含用户凭证信息的参数列表、会话ID、和关于MT的随机数,使用会话ID和与参数列表在一起的随机数将所述验证消息进行数字签名。AP使用所存储的映射数据将会话ID和从MT接收来的参数列表进行关联,产生本地数字签名用于同所接收的数字签名的验证消息进行比较以控制MT到WLAN的接入。
文档编号H04L29/06GK1830190SQ200480021392
公开日2006年9月6日 申请日期2004年7月29日 优先权日2003年7月29日
发明者张俊彪 申请人:汤姆森特许公司