专利名称:配置来提供无线网络中的安全访问的方法
技术领域:
本发明提供一种通过自动配置客户终端来访问通信网络的设备和方法,尤其是, WLAN系统通过客户网络浏览器和ActiveX控制或功能等效插件,自动配置无线用户设备上 的IEEE 802. lx客户机。然后,以这种方式配置的IEEE 802. lx客户机能够采用适当的验 证参数来用WLAN系统进行访问。
背景技术:
本发明的环境是利用IEEE 802. lx体系结构的无线局域网或(WLAN)家族,所述 IEEE 802. lx体系结构具有接入点(AP),用于为移动设备提供对于例如硬连线的局域网等 其它网络以及例如因特网等全球网的访问。WLAN技术的发展导致了在休息处、咖啡馆、图书 馆和类似的公共设施处的公共可访问无线通信(“热点”)。当前,公共WLAN向移动通信设 备用户提供对例如公司内联网等专用数据网络或例如因特网、点对点通信、和实况无线电 视广播等公用数据网络的访问。实现和操作公共WLAN的相对较低的花费,以及可用的高带 宽(通常超过10兆位/秒)使得公共WLAN成为理想的访问机制,通过公共WLAN,移动无线 通信设备用户可以与外部实体交换数据包。但是,如以下将要讨论的,这样的开放配置会危 及安全,除非存在足够多的用于标识和验证的部件。当用户试图访问公共WLAN覆盖范围内的服务时,WLAN在准许网络访问之前首先 验证和授权用户访问。在验证之后,公共WLAN向移动通信设备开通一条安全数据通道,以 保护在WLAN和设备之间的数据传送的保密性。当前,许多WLAN设备的制造商对使用的设 备采用了 IEEE802. lx协议。因此,用于WLAN的主要验证机制采用了这个协议,但是这将难 以对平均用户进行重新配置。IEEE 802. lx协议被设计为将专用LAN访问作为其使用模型。因此,IEEE802. lx 标准不会提供将会改善公共WLAN环境中的安全性的某些特征。例如,IEEE 802. lx客户机 一般通过诸如验证方法、验证服务器域名、用户名和口令等复杂而难以被用户理解的方式 要求复杂的配置。如果用户试图访问一个新的公共热点,则需要重新配置访问用户设备所 需要的一个或多个参数。在获得访问之外,802. lx客户机还要建立与新的公共热点之间的 帐户。这样,现有技术没有以透明和无缝的方式建立这样的帐户,从而使得热点访问麻烦而 不切实际。在目前基于网络浏览器的验证方法中,移动终端通过使用以超文本传输协议安全 套接协议(HTTPS)操作的网络浏览器来与本地或远程验证服务器进行通信,以便确定在移 动终端与验证服务器之间的通路上的任何人都不能非法侵入或窃取保密的用户信息。但
3是,验证服务器具有的唯一与移动终端相关的信息是其IP地址。对重新配置客户机的实际 解决方案要求其在802. lx协议建立的标准内操作。但是,发明者已经发现了一种通过过滤 业务来修改协议的限制内的行为的方法,从而允许用户对网络进行访问,而无需经历防止 进行进一步的自动重新配置来实现验证的阻碍。
发明内容
本发明的方法提供客户终端访问通信网络的自动配置。具体来说,根据本发明的 方法利用安全IEEE 802. 11无线访问所采用的协议IEEE802. lx来进行验证。而且,除了其 它项目以外,用于自然用户交互作用的带有ActiveX控制或插件的网络浏览器还可能包括 创建用户帐户、选择要使用的帐户、和接受访问项。作为用户对话的结果,根据用户选择自 动配置了 IEEE 802. lx客户参数,并且根据IEEE 802. lx协议允许安全验证。本发明提供了一种用于配置来提供无线网络中的安全访问的方法,包括以下步 骤过滤与对所述无线网络访问的访问请求相关的业务;经由包过滤器模块将所述访问请 求重定向到指定的网络服务器;从所述指定的网络服务器接收对于建立授权通信所需要的 供应商选择信息的请求;和发送所述对于建立所述授权通信所需要的供应商选择信息的请 求。此后,客户终端将建立授权通信所需要的信息提供给网络服务器。在通信期间, 网络服务器向客户终端表明对应于建立授权通信通常所需要的参数的信息,诸如传输 率、用户帐户要求、验证方法选择信息、新帐户创建程序、用户各项条件(user terms and conditions)。因此,客户终端用户以建立授权通信所需要的网络服务器访问率信息、网络 服务器用户帐户创建信息、用户访问验证方法选择信息、以及用户可接受的提供服务来进 行响应。所述方法进一步包括以下步骤网络服务器利用诸如ActiveX控制等的插件控制 来发送建立授权通信所需要的信息,从而响应客户终端。此后,客户终端重新配置其终端以 建立对网络的安全访问。
当结合附图阅读下面的详细描述时,能够最佳地理解本发明。附图的各个特征并 未详尽地列举出。相反,为了清楚起见,各个特征可能任意地扩大或减小。附图中包含以下 各图图1是用于实践按照本发明原理用于验证移动无线通信设备的方法的通信系统 的方框图。图2是用于在IEEE 802. lx协议下建立验证的发明方法的流程图。图3是用于执行本发明的设备的方框图。
具体实施例方式在将要讨论的附图中,电路和相关的方框和箭头表示根据本发明的处理的功能, 其可以被实现为电子电路和相关的用于传输电信号的连线或数据总线。或者,一个或多个 相连的箭头可以表示软件例程之间的通信(例如,数据流),特别是当本申请的方法或装置
4被实现为数字处理时。当一个操作包含IEEE 802. lx协议的终端的用户(“客户终端”或简单的“ IEEE 802. lx客户机”)试图在热点访问公共WLAN时,IEEE 802. lx客户终端将根据其当前的机 器配置开始验证处理。通常未将用户终端配置成在特定热点进行访问(例如,将其配置成 办公使用,或用户可能不具有允许对特定热点进行访问的帐户)。用户打开其浏览器,并且 试图访问网络。通过根据本发明的WLAN接入点的改进性能,将用户请求重定向到本地网络 服务器,也称为HTTP服务器。网络服务器相应地向终端发送建立对网络的访问所必须实现 的各种要求。如果用户实现所述要求,则网络服务器授权访问。一般的顺序就是网络服务器提供用户要用于验证和收费的包含服务供应商的列 表的问候页。选择供应商之一将激活用户终端上的ActiveX控制/插件。当终端指定了 请求参数时,用户将被服务供应商成功验证。通过使用这些参数,ActiveX控制/插件配置 IEEE 802. lx客户机,并且重新启动验证处理。由此成功验证用户,并且WLAN AP将访问权 完全对用户开放。如果用户没有任何允许验证的现有帐户,则问候页面还允许用户创建新 的帐户。一旦创建了帐户,则将ActiveX控制/插件激活,从而允许继续重新配置终端。根据图1,由140i到140n表示的一个或多个移动终端通过接入点(AP) 130:到130n、 可用作HTTP服务器120 (图2)的本地计算机120结合防火墙122以及诸如验证服务器150n 的一个或多个虚拟运营商15(Vn在无线介质124上进行通信。来自终端14(Vn的通信通常 要求访问安全数据库或其它资源,利用区分诸如黑客等的未授权实体而要求高级安全性的 因特网110以及相关的通信路径154和152。如图1中进一步图示的,WLAN体系结构包含若干个部件和服务,它们相互作用以 便提供对较高层的网络堆栈透明的站移动性。诸如接入点13(Vn的AP站和移动终端14(Vn 作为部件连接到无线介质并且通常包含IEEE802. lx协议的功能性,其是MAC(媒体访问控 制)134i_n和相应的PHY(物理层)(未示出),以及至无线介质的连接127。通常,通信功能 和协议以无线调制解调器或网络访问或接口卡的硬件和软件来实现。本发明提出了一种用 于实现通信流中的手段的方法,从而接入点130n改进WLAN环境中终端设备的验证,并且由 于该接入点130n可以参与一个或多个无线通信设备14(Vn、本地服务器120和诸如服务器 150的虚拟运营商的验证,所以能够保持在用于下行链路业务(即,从验证服务器到诸如手 提电脑等的移动终端)的IEEE802. lx WLAN MAC层的兼容性要求之内。根据本发明原理,访问160使每个移动终端14(Vn能够通过根据IEEE802. lx协议 或终端140n会选择的其它任择协议验证移动终端自身及其通信流来安全地访问WLAN 115。 通过参考图2可以最好地理解访问160允许这样的安全访问的方式,图2描述了在移动 无线通信设备之间发生的相互作用的顺序,所述移动无线通信设备即移动终端140n、公共 WLAN 115、和HTTP服务器120n。当被配置有IEEE 802. lx协议时,图1的接入点130n保留 受控端口和不受控端口,通过所述端口,接入点与移动终端140n交换信息。由接入点130n 保留的受控端口用作诸如数据业务的非验证信息通过WLAN124和移动终端140 之间的接 入点130n的入口通道。通常,接入点130_n根据IEEE802. lx协议保持各个受控端口关闭, 直到移动无线通信设备的验证为止。接入点130n总是保持各个不受控端口打开,以允许移 动终端140n与本地服务器150n交换验证数据。接入点包括IEEE 802. IX引擎325,所述802. IX引擎325是一种与执行本发明的步骤所需要的确定装置一起实施IEEE 802. IX协议的模块。WLAN115系统必须保留适当的 状态信息使系统正确运行。这样的状态信息会由接入点130n IEEE 802. lx引擎来提供,除 了其它的部件之外,所述状态信息还被包过滤功能块330和HTTP服务器120所使用。参见 图2,本发明的另一个实施例就是利用接入点130 来设定几个操作状态。在响应-身份EAP 包220之后,状态lx_progress 340表示移动终端140n是IEEE 802. lx客户机,并且正在进 行IEEE 802. lx验证处理。从一个或多个可用安全协议中进行选择的手段是本领域的技术 人员在WLAN环境中进行编程和设计时所公知的手段。因此,IEEE 802. IX引擎325响应客 户检测,并且将客户性能信息提供给系统的其它模块。此外,该引擎还执行RADIUS客户功 能,从而将EAP消息转换成RADUS消息,以径向访问请求(radius access reqeust) 230的 形式发送该消息,并且响应径向访问拒绝消息240。包过滤器模块330负责根据其它模块所 设定的标准来过滤包。由于如所举例所述并没有适当地配置客户机,所以EAP-响应-身份包220导致状 态lX_failure 350,应该将客户机重定向到本地HTTP服务器120以试图重新配置客户机。 更具体来说,图2示出了本发明的方法的实施例,其中接入点130 检测到移动终端140 不 是经过验证的IEEE 802. lx客户机,并且经过重定向的客户机335将处理移至IP包过滤 器模块330进行配置,并且通过网络请求重定向345将处理移至HTTP服务器120。选择性 地,移动终端140n可以发送直接网络访问请求355,由包过滤器模块330将该请求重定向到 HTTP服务器120。当HTTP服务器120接收到网络重定向请求345时,其通过向移动终端 140n显示诸如供应商列表网页等的信息360 (尤其是涉及基于浏览器的验证的信息)来进 行响应。在接入点130n检测到终端设备是IEEE802. lx客户机的情况下,其允许通过接入 点130n来进行正常的IEEE 802. lx协议通信交换,并且通过IP过滤器模块330和HTTP服 务器120的必要状态信息来设置适当的IP包过滤,从而在基于IEEE 802. lx的验证处理期 间和之后控制移动终端140n用户访问。本发明提供一种用于自动配置IEEE 802. lx客户终端以提供无线局域网115中 的安全访问的方法,包括以下步骤接入点130n过滤与来自要访问无线网络的客户终端的 HTTP请求相关的业务330,将HTTP重定向到指定的网络服务器120,以及将来自指定网络 服务器的请求发送到所述客户终端140n,请求建立授权通信所需要的信息360。此后,客户 终端140n提供如所选择的供应商的网络服务器信息365,从而建立授权通信。在通信期间, 网络服务器120向客户终端140 表明对应于建立授权通信通常所需要的参数的信息,诸如 传输率、用户帐户创建信息、验证方法选择信息、新帐户创建程序、可接受的访问用户各项 条件。因此,客户终端140n用户通过发送建立授权通信所需要的网络服务器120访问率信 息、网络服务器用户帐户创建信息、用户访问验证方法选择信息、以及可接受的用户访问各 项条件信息来进行响应。HTTP服务器120调用诸如ActiveX控制插件等的插件370来协助 终端140n进行重新配置375。参见图3,本发明还包括一种用于提供客户终端140 与WLAN 115之间的安全通信 会话的设备。客户终端140 通过装置445请求通过接入点130n接收器415对WLAN 115的 访问,所述接收器415通过装置418处理所述请求,并且将该请求发送到包过滤器420,该包 过滤器420通过发送装置424将客户机重定向到指定的网络服务器。网络服务器通过提供
6由用户用于输入其选择的装置448进行处理的供应商列表网页来响应客户终端140n,并且 通过发送装置470将访问信息发送给客户终端140n。网络服务器通过发送ActiveX控制进 行响应,从而利用一种响应从客户终端接收的信息而激活用于重新配置客户终端的软件模 块的装置465来配置客户终端140n,并且建立授权通信。此后,客户访问装置480允许经过 验证的访问通过WLAN 115。接入点130n提供一种用于验证经过重新配置的客户终端的装 置,并且使用与用户所选择的配置结构相关的适当参数,通过响应所述验证而允许对WLAN 的访问。用于提供客户终端14011与11^^115之间的安全通信会话的接入点130 包括用于 接收来自终端140n的访问请求418的装置、和用于将访问请求420、422重定向到本地网络 服务器的装置。响应访问请求,终端140n发送建立到WLAN 115的终端140n访问所需要的信息;将 网页选项提供给终端140n。客户终端通过装置448选择所需配置。响应从客户终端140n接收的信息,网络服务器发送配置,并且客户终端利用用于 激活的装置465和用于验证的装置425来处理所述配置,其中用于激活的装置465包括利 用与用户所选择的配置结构相关的适当参数来重新配置用于验证的客户终端140n的软件 模块,并且用于验证的装置425用于验证经过重新配置的客户终端140n,并且响应所述验证 而允许对WLAN 115进行访问。应当理解,所示出的本发明的形式仅仅是优选的实施例。在不背离如所附权利要 求定义的本发明的精神和范围的情况下,可以对各部件的功能和结构进行各种变化;可以 用等价器件替换图示和描述的那些器件;并且某些特征能够独立于其它特征而使用。
权利要求
一种用于配置来提供无线网络中的安全访问的方法,包括以下步骤过滤与对所述无线网络访问的访问请求相关的业务;经由包过滤器模块将所述访问请求重定向到指定的网络服务器;从所述指定的网络服务器接收对于建立授权通信所需要的供应商选择信息的请求;和发送所述对于建立所述授权通信所需要的供应商选择信息的请求。
2.如权利要求1所述的方法,其中所述无线网络是IEEE802. 11顺从性无线局域网。
3.如权利要求2所述的方法,进一步包括以下步骤 接收建立授权通信所需要的访问率信息;和发送所述建立授权通信所需要的访问率信息。
4.如权利要求2所述的方法,进一步包括以下步骤 接收建立授权通信所需要的访问用户帐户创建信息;并且 发送所述建立授权通信所需要的访问用户帐户创建信息。
5.如权利要求2所述的方法,进一步包括以下步骤接收建立授权通信所需要的访问验证方法选择信息;并且 发送所述建立授权通信所需要的访问验证方法选择信息。
6.如权利要求2所述的方法,进一步包括以下步骤 接收建立授权通信所需要的新帐户创建信息;并且 发送所述建立授权通信所需要的新帐户创建信息。
7.如权利要求2所述的方法,进一步包括以下步骤接收建立授权通信所需要的可接受的访问用户各项条件信息;并且 发送所述建立授权通信所需要的可接受的访问用户各项条件信息。
8.如权利要求1所述的方法,其中所述重定向步骤将请求访问的客户终端重定向到 HTTP服务器,并且所述HTTP服务器调用ActiveX控件。
9.如权利要求2所述的方法,其中所述重定向步骤将请求访问的客户终端重定向到 HTTP服务器,并且所述HTTP服务器调用插件。
全文摘要
提供了一种用于配置来提供无线网络中的安全访问的方法,包括以下步骤过滤与对所述无线网络访问的访问请求相关的业务;经由包过滤器模块将所述访问请求重定向到指定的网络服务器;从所述指定的网络服务器接收对于建立授权通信所需要的供应商选择信息的请求;和发送所述对于建立所述授权通信所需要的供应商选择信息的请求。
文档编号G06F7/00GK101902742SQ20101024339
公开日2010年12月1日 申请日期2004年3月12日 优先权日2003年3月14日
发明者张俊彪, 索拉布·马瑟, 萨钦·莫迪 申请人:汤姆森特许公司