专利名称:无线网络凭证提供的制作方法
技术领域:
本发明一般地涉及网络,并且更具体地涉及向无线请求者提供用于安全无线网络接入的凭证。
背景技术:
诸如防止不受欢迎的网络闯入者或黑客这样的安全问题在无线网络中愈发显著。虽然有线网络可以将其网络连接点固定在关闭的办公室中,但是在无线网络中传输介质对具有天线的任何人都是可用的。为了防止未经授权的网络接入,用于无线网络接入控制的多种机制已被开发。在该控制中,网络端口或节点充当两种角色之一认证者或请求者。请求者从认证者(通常为网络的接入点(AP))请求网络接入。认证者根据某一协议来实施认证。例如,802.11规范规定了两种用于对无线LAN客户进行认证的机制开放认证和共享密钥认证。
开放认证有点用词不当,因为它指的是这样一种默认状态,其中无线网络的接入点(AP)将准许其接收到的任何认证请求。开放认证期间所应用的唯一“认证”在于无线请求者提供其MAC地址。另外,请求认证的无线请求者必须具有网络服务集标识符(SSID)。因为SSID容易被无线闯入者嗅探到,所以开放认证为无线网络提供了非常小的安全性。
802.11规范所规定的另一种认证机制是共享密钥接入。在共享密钥接入的情况下,无线请求者在AP准许网络接入之前证明对共享秘密密钥的知晓。因为网络管理员或用户必须用秘密密钥来配置请求者,所以共享密钥接入的实现很麻烦。另外,由无线请求者到认证者/AP的秘密密钥的传输可能被“中间人”和其他复杂黑客技术泄密。
为了解决802.11规范中规定的认证机制中的这些弱点,更强大的认证框架被802.1x规范所定义。通常,在这些认证技术中需要无线请求者建立经授权的身份。无线请求者在已经建立其身份之后可随后被提供以接入网络所需的安全参数。虽然这些更复杂的认证技术提供了更好的网络安全性,但是由认证者/凭证提供者进行的凭证提供往往难于管理。为了避免用户和网络管理员的该负担,一些无线网络安全系统在凭证提供过程期间使用功率限制,该功率限制要求无线请求者位于提供者的受限范围之内。但是这些功率限制方法对于诸如无线打印机这样的相对重和不能移动的无线请求者而言不切实际。
因此,本领域存在对提供增强网络安全性且易于管理的改进的无线网络凭证提供过程的需要。
图1图示了根据本发明的一个实施例的包括被配置为从无线请求者接收凭证的接入点的无线网络。
图2是图示了根据本发明的一个实施例的在认证者与无线请求者之间实现的凭证提供方法的流程图。
图3是根据本发明的一个实施例的无线台站的框图。
本发明的实施例和其优点通过参照以下具体实施方式
来最好地理解。应该意识到相似的标号被用来识别附图中所示的相似的元件。
具体实施例方式
一种以简单且高度安全的方式使向无线请求者自动提供凭证的凭证提供系统被描述。该系统可针对如图1所示的示例性无线网络100来描述。网络100是基础设施网络,其中节点110之间的通信是通过接入点(AP)120来协调的。可以在网络100中实现诸如802.11协议这样的任何合适的无线联网协议。在网络100中,只有AP 120需要被配置用来实施这里所进一步描述的凭证提供方法。然而,将意识到本发明还可被实现在不包括AP的独立网络中。在独立网络中,每个节点都可以被配置用来实施所公开的凭证提供方法。从AP 120请求凭证的无线请求者130将也被用来实施这里所述的凭证提供方法。
由AP 120提供给无线请求者130的凭证允许无线请求者使用在网络100上强制实施的加密协议来与AP 120通信。在已被提供必要凭证之后,AP 120随后可以继续到用AP 120来先认证自己,以获得完全网络接入。在网络100上强制实施的合适加密协议的示例包括有线等价保密(WEP)、WiFi受保护接入预共享密钥(WPA-PSK),和WPA-Radius。AP 120可支持多个这样的加密方案。不管AP 120上实施的一个或多个具体加密如何,其经加密的操作在这里将被表示为“安全模式”。通常,对于要以安全模式与AP 120通信的无线请求者130,无线请求者将需要被提供以诸如安全密钥、密码或X.509证书这样的凭证。然而,如先前所讨论,凭证的提供通常给用户带来负担。例如,网络管理员在无线请求者可被提供以用于网络接入的凭证之前可能必须手动在无线请求者上输入密码。为了避免这种负担,AP 120和无线请求者130可被配置用来实施下列凭证提供方法。
为了易于使用,可通过在AP 120处简单按下按钮来启动凭证提供。按下按钮可能是硬件或软件实现的。在按下按钮之后,AP 120离开其安全模式操作并进入开放接入模式,使得其将响应任何无线请求者的关联请求。将意识到,在该开放接入模式期间,AP 120可继续以安全模式与已经获得网络接入的节点110进行操作,如果AP 120支持多个SSID下的操作的话。因此,即使无线请求者130在开放接入模式操作期间可与AP 120自由关联,无线请求者在其可获得安全网络接入之前仍必须被提供以网络安全参数。然而,在开放接入模式操作期间,AP 120将响应任何请求者进行的无线关联请求。例如,如果网络100是802.11网络,则无线请求者130在开放接入期间只需向AP 120提供已知SSID来变为相关联的。
因为AP 120在开放接入期间将响应任何关联请求,所以无线闯入者可以尝试被提供以凭证。为了防止未经授权的凭证提供,AP 120在开放接入期间强制实现等待时段。当接收到凭证提供请求时,AP 120开始等待时段并且可指示无线请求者130关于该等待时段的长度。因为按钮按下由于无线请求者130期望接入网络100而被执行的,所以可认为无线请求者130在这次按钮按下之后将关联并请求凭证。如果在AP 120强制实现的等待时段期间接收到任何额外的凭证请求(其可被表示作为网络接入请求),则确定存在闯入者,因为该闯入者不是发出启动等待时段的初始接入请求就是在该等待时段期间中做出了后续凭证请求。不管闯入者何时做出凭证请求,AP 120可随后终止开放接入模式,恢复安全模式操作,并向网络管理员或用户通知曾尝试的对网络凭证的未经授权的访问。然而,如果在等待时段期间没有接收到其他接入请求,可安全地认为从无线请求者130接收到的接入请求是为了提供凭证的经授权的请求。以这种方式,尽管使用了开放认证,但无线请求者130隐性地证明了其身份。
虽然无线请求者130已经隐性地证明了其身份,但是无线闯入者可以在等待时段到期之后介入并请求被提供以凭证。AP 120随后可能被该请求欺骗并以无线闯入者获得安全网络接入所需的凭证作为响应。为了防止这样的安全缺陷,AP 120响应于启动等待时段的网络接入请求而向无线请求者130提供唯一的密码。在无线请求者130第一次请求被提供以凭证时(在其开放认证之后),AP 120向请求者提供密码,并指示请求者等待等待时段到期。当等待时段到期时,无线请求者130除提供密码以外,还再次请求被提供以凭证。
注意到无线请求者130已经首先隐性地认证了其身份,因为它是在等待时段期间请求被提供以凭证的唯一请求者。它随后通过提供其在启动等待时段时从AP 120接收到的密码来显式地认证其身份。无线请求者130以这种方式认证其身份,使得其可以在无需来自用户或网络管理员的介入的情况下被提供以网络凭证。然而,无线闯入者可以对提供给无线请求者130的密码进行偷听,并随后尝试使用该密码来获得未经授权的凭证提供。
为了防止这种未经授权的接入,向无线请求者130提供密码和从无线请求者130提供密码都应该被加密。任何合适的加密方案都可被用于该加密。从而如果避免使用共享秘密加密方案的话,网络安全性得到了增强。以这种方式,无线请求者130无需用共享秘密来配置,从而减轻了用户和网络管理员的负担。
一种特别方便的加密方案是安全套接层(SSL)协议。因为SSL使用TCP/IP协议,所以无线请求者130将需要IP地址以及AP 120的IP地址,以建立用于凭证提供的SSL“隧道”。鉴于实现了动态主机配置协议(DHCP)的AP的流行,获得IP地址的一种特别方便的方法是使用DHCP消息。因此,在与AP 120进行开放关联之后,无线请求者130可通过广播DHCP发现帧来启动认证过程。AP 120可以DHCP提供帧(offerframe)作为响应,该DHCP提供帧将包含向无线请求者提供IP地址。无线请求者130可以DHCP请求帧作为响应,该DHCP请求帧对提供的IP地址进行选择。AP 120随后以DHCP ACK帧作为响应,从而确认由无线请求者进行的IP地址的选择。
无线请求者130可随后对DHCP ACK消息进行处理,以取回AP 120的IP地址。在这时,无线请求者130和AP 120可以在初始的凭证提供请求时使用SSL来向无线请求者130提供密码。在等待时段到期之后,无线请求者130和AP 120可结合另一个凭证提供请求再次使用SSL来将密码提供回AP 120。AP 120可随后使用SSL来向无线请求者130提供以必要的凭证,使得无线请求者130获得安全模式的网络接入。无线请求者130可随后开始与AP 120进行安全模式通信并从而与其他节点110联网。
经加密消息被这样用来向无线请求者130和从无线请求者130提供用于无线请求者的身份的认证的密码并且用来向无线请求者130提供凭证,使得无线请求者130可获得网络接入。如刚才所述,SSL对使用这些消息而言是便于使用的加密技术,但是也可以使用其他加密方案。该加密与安全模式操作期间在网络100上实施的加密截然不同。如果AP 120在安全模式下支持多种加密协议,则AP 120可允许无线请求者130选择用于其希望工作在其中的加密协议的合适凭证。随后按照这里所述的凭证提供技术的实施例来提供相应的凭证。
图2图示了示例性凭证提供方法的流程图。该方法以对位于无线请求者所期望接入的网络中的认证者/凭证提供者的按钮按下200开始。如果网络是基础设施网络100,则提供者可能是AP 120。可替代的,如果网络是不包括AP 120的独立网络,则凭证提供者将是网络上的任意节点。下列讨论将不失一般性地假定凭证提供者是的AP。按钮按下200可以是硬件或软件实现的,并且只是表明凭证提供过程应该用无线请求者来启动。凭证提供者/AP此时将离开安全模式操作并允许开放接入。在步骤201处,无线请求者在开放认证下与AP关联,并且请求被提供以用于安全网络接入的凭证。在步骤205处,当从无线请求者接收到凭证提供请求时,AP指示无线请求者等待整个等待时段并且还提供密码。如果等待时段到期并且在AP处未接收到另外的凭证提供请求,则方法继续到步骤210。然而,如果在等待时段未到期时接收到另外的凭证提供请求,则可以认为存在无线闯入者。因此,方法将在步骤215处中止,并且AP将恢复安全模式操作。另外,可以向网络管理员通知曾尝试未经授权的凭证提供。
在步骤210处,无线请求者再次将请求凭证提供的经加密消息发送到AP,并且还提供密码。将意识到无需提供密码本身,因为无线请求者仅需要证明知晓该对密码。在步骤220处,在已经这样认证了其身份之后,随后可以使用经加密消息来向无线请求者提供凭证。如先前所讨论,除其他加密技术之外,SSL协议可被用于步骤205和210。如果使用SSL协议,则无线请求者将需要IP地址以及AP的IP地址。DHCP是用来向无线请求者提供这些地址的方便方法。在步骤225处,在无线请求者已经被提供以必要凭证之后,其可在网络上以安全模式操作操作进行认证。将认识到,该方法假设在步骤201中发出请求凭证提供的请求。如果在足够长的等待时段之后凭证提供请求未曾被提供,则如步骤215所述,AP将中止凭证提供过程并恢复安全模式操作。
现在参照图3,该示了用于实现这里所述的凭证提供技术的普通无线台站300的框图。无线台站300表示根据本发明实施例的AP 120或无线请求者130。无线台站300包括天线301、具有基带和RF电路的无线收发器302、接口电路304、处理器306和存储器308。收发器302向处理器306中的协议堆栈310提供MAC帧并接受来自处理器306中的协议堆栈310的MAC帧。存储器308可包括诸如DRAM这样的易失性存储器和诸如SRAM这样的非易失性存储器。协议堆栈310包括包含802.11PHY层312和802.11MAC层314的网络层。处理器306被配置用来实施针对图2所讨论的凭证提供方法。
本领域的普通技术人员将意识到这里所述的凭证提供方法易于使用。该方法不依赖于用来支持下述网络上的安全模式操作的加密,无线请求者将被提供以用于接入该网络的凭证。实际上,网络可支持几种类型的加密,使得无线请求者可选择对其安全模式操作最合适的形式。在这样一个实施例中,步骤220可包括AP将网络上可用的加密方案传输给无线请求者。AP可随后可选择其期望的方案,据此AP可随后提供合适的经加密的凭证。例如,凭证可包括x.509证书、在WPA或者类似安全协议情形中的共享密码,或者诸如WEP密钥这样的安全参数。
因为无线请求者在开放认证下进行关联,所以凭证提供被变得自动执行。尽管使用了开放认证,但是本质上无线请求者的身份是通过使用等待时段认证的。该身份随后通过提供密码而被显式地确认。在确定了经授权的身份之后,无线请求者随后可以被提供以用于其以安全模式操作接入网络所需的凭证。因为该提供使用经加密消息来无线并且自动地发生,所以安全凭证的提供不会增加网络管理员的负担。
虽然已经针对具体实施例来描述了本发明,但是该描述只是本发明的应用的示例而不应被看作是限制。例如,以更大的用户卷入为代价,可以使启动凭证提供过程的按钮按下变得更精巧。另外,AP可以配备以图形用户界面或其他类型的接口,这些接口允许管理员显式地确认或拒绝已经通过这里所述的凭证提供方法的无线请求者。因此,本发明的范围在所附权利要求书中被阐明。
权利要求
1.一种被配置为使用安全模式操作来与网络节点进行通信的无线网络接入点(AP),包括无线收发器;以及处理器,其被配置为使用所述无线收发器来向无线请求者提供凭证,所述处理器被配置为通过离开所述安全模式操作来响应表明所述无线请求者期望凭证提供的指示,所述处理器还被配置为通过使用第一经加密消息向所述无线请求者提供密码来对来自所述无线请求者的凭证提供请求作出响应,所述处理器还被配置为如果等待时段到期时所述处理器只接收到一个凭证提供请求则使用第二经加密消息来向所述无线请求者提供至少一个凭证。
2.根据权利要求1所述的无线网络AP,其中,所述安全模式操作包括Wifi受保护接入(WPA)操作。。
3.根据权利要求1所述的无线网络AP,其中,所述安全模式操作包括有线等价保密(WEP)操作。
4.根据权利要求1所述的无线网络AP,其中,所述处理器还被配置为在接收到凭证提供请求时启动所述等待时段。
5.根据权利要求4所述的无线网络AP,其中,所述处理器还被配置为使用所述第一经加密消息来向所述无线请求者传达所述等待时段的启动。
6.根据权利要求4所述的无线网络AP,其中,所述处理器还被配置为在离开安全模式操作时允许开放认证。
7.根据权利要求1所述的无线网络AP,其中,所述用于所述经加密消息的加密是安全套接层(SSL)加密。
8.根据权利要求7所述的无线网络AP,其中,所述AP是动态主机配置协议(DHCP)服务器,所述处理器还被配置为使用DHCP来向所述无线请求者提供IP地址,以支持所述SSL加密。
9.根据权利要求1所述的无线网络AP,其中,所述处理器还被配置为通过恢复所述安全模式操作来对所述等待时段尚未到期时的第二凭证提供请求作出响应。
10.根据权利要求1所述的无线网络AP,其中,所述处理器还被配置为通过通知网络管理员曾尝试未经授权的凭证提供来对所述等待时段尚未到期时的第二凭证提供请求作出响应。
11.一种无线请求者,包括无线收发器;以及处理器,其被配置为使用所述无线收发器来从网络凭证提供者请求凭证,所述处理器还被配置为通过使用开放认证与所述网络凭证提供者相关联来请求凭证提供,所述处理器还被配置为响应于所述请求来接收经加密的密码,所述处理器还被配置为使用还证明知晓所述密码的经加密消息来重新请求凭证提供。
12.根据权利要求11所述的无线请求者,其中,所述处理器还被配置为从所述凭证提供者接收至少一个凭证,所述至少一个凭证使得所述无线请求者能够获得安全网络接入。
13.根据权利要求11所述的无线请求者,其中,所述加密是安全套接层(SSL)加密。
14.根据权利要求12所述的无线请求者,其中,所述处理器还被配置为通过向所述凭证提供者发出DHCP发现帧来对所述凭证提供者的开放认证作出响应,通过用DHCP请求帧响应来自所述凭证提供者的DHCP提供帧来选择其IP地址,并使用来自所述凭证提供者的DHCP ACK帧来确定所述凭证提供者的IP地址。
15.根据权利要求12所述的无线请求者,其中,所述至少一个凭证是Wifi受保护接入(WPA)的安全参数。
16.一种被配置为使用安全模式操作来与网络节点进行通信的无线网络接入点(AP),包括无线收发器;以及用于使用所述无线收发器来向无线请求者提供至少一个凭证的装置,所述装置被配置为通过离开所述安全模式操作来对表明所述无线请求者期望凭证提供的指示作出响应,所述装置还被配置为通过使用第一经加密消息向无线请求者提供密码来对来自所述无线请求者的凭证提供请求作出响应,所述装置还被配置为如果在等待时段到期时所述AP只接收到一个凭证提供请求则使用第二经加密消息来向所述无线请求者提供所述至少一个凭证。
17.一种从无线网络接入点(AP)向无线请求者提供凭证使得所述无线请求者可以安全模式操作接入网络的方法,包括在所述AP处接收表明所述无线请求者期望凭证提供的指示;响应于该指示,在AP处离开安全模式操作并且允许开放认证;在开放认证下从所述无线请求者接收凭证提供请求;启动等待时段;响应于所述凭证提供请求,向所述无线请求者提供使用加密的密码;如果在所述AP只接收到一个凭证提供请求的情况下所述等待时段到期,则所述方法包括以下附加动作在开放认证下从所述无线请求者接收附加的凭证提供请求,所述无线请求者的附加请求证明知晓所述使用加密的密码;以及响应于所述证明,使用所述加密向所述无线请求者提供至少一个凭证,其中所述至少一个凭证使得所述无线请求者能够获得安全网络接入。
18.根据权利要求17所述的方法,其中,所述加密是SSL加密。
19.根据权利要求17所述的方法,还包括使用DHCP帧向所述无线请求者提供IP地址。
20.根据权利要求21所述的方法,还包括使用DHCP帧向所述无线请求者提供所述AP的IP地址。
21.一种请求从无线网络接入点(AP)向无线请求者提供凭证使得所述无线请求者可以安全模式操作来接入网络的方法,包括在开放认证下请求来自所述AP的凭证提供;响应于所述凭证提供请求,在所述无线请求者处接收使用第一经加密消息的密码,所述第一经加密消息还提供了等待时段;在所述等待时段到期之后,使用还证明知晓所述密码的第二经加密消息来重新请求凭证提供,以及响应于所述证明,在所述无线请求者处使用第三经加密消息来接收至少一个凭证,其中所述至少一个凭证使得所述无线请求者能够获得安全网络接入。
22.根据权利要求21所述的方法,其中所述第一、第二和第三经加密消息是SSL加密消息。
23.根据权利要求21所述的方法,还包括使用DHCP帧向所述无线请求者提供IP地址。
24.根据权利要求21所述的方法,还包括使用DHCP帧向所述无线请求者提供所述AP的IP地址
25.一种无线请求者,包括无线收发器;以及用于在开放认证下使用所述无线收发器来请求凭证提供的装置,所述装置被配置为接收经加密的密码,所述装置还被配置为使用还证明知晓所述密码的经加密的请求来重新请求凭证提供。
全文摘要
本发明提供了一种安全且易于管理的凭证提供技术。诸如网络AP这样的凭证提供者被配置为离开安全模式操作并允许与无线请求者进行开放认证。在开放认证被建立之后,所述无线请求者请求凭证提供。作为响应,所述凭证提供者向所述请求者提供经加密的密码。为了防止未经授权的接入,所述请求者再次请求凭证提供并且还证明知晓该经加密的密码。只有在等待时段到期并且所述凭证提供者只接收到一个凭证提供请求时,至少一个凭证才被提供给无线请求者。
文档编号G06F17/30GK101061656SQ200580034461
公开日2007年10月24日 申请日期2005年12月28日 优先权日2005年1月21日
发明者马克·恩赖特 申请人:思科技术公司