专利名称:支持多个虚拟操作员的公共无线局域网的会话密钥管理的制作方法
技术领域:
本发明一般涉及网络通信,具体涉及用于在支持第三方虚拟操作员的公 共无线局域网(WLAN)环境中管理对会话密钥的接入的机制。
背景技术:
当前的无线局域网(WLAN)认证、授权和计费(AAA)解决方案没有 对WLAN操作员提供保持与多个虚拟操作员的业务关系的足够支持,具体上 是相对于用于WLAN接入的会话密钥的管理。不能正确地控制和管理会话密 钥会导致可能的安全和管理问题。
WLAN正在被越来越多地部署在诸如旅馆、飞机场和快餐店的热点中。 一种健全的和有效的AAA (认证、授权和计费)解决方案对于使能安全的公 共无线LAN接入很重要。具体上,这样的AAA解决方案应当能够支持虚拟 操作员概念,其中,诸如ISP、蜂窝操作员和预付卡提供者的第三方提供者向 公共WLAN和无线用户提供AAA服务。以这种方式,无线用户不必每次他 们去不同的热点时打开帐户或通过信用卡支付;相反,他们可以使用现有的 ISP帐户、蜂窝帐户或在任何地方购买的预付卡来获得对于公共WLAN的接 入。这可以大大地增加WLAN操作员以及第三方虚拟操作员的商业机会。但 是,当前的无线LAN接入方案全部被设计用于其中仅仅使用单个认证服务器 的本地配置中,诸如联合环境。例如,正EE 802.11标准组织选择正EE802.1x 来作为WLAN接入控制的解决方案,并且当前的使用模式使用认证服务器来 控制会话密钥分配。当这对于联合环境等足够时,在可以共存属于不同的商 业实体的多个认证服务器的公共热点中存在一定的问题。如果完全可能的话, 对于这些认证服务器很难协调接入点的密钥分配。现在说明当前的密钥分配。在一种情况下,在^^共WLAN热点中的移动 用户与WLAN接入点没有预先的信任关系。用户意欲使用第三方服务提供者 (例如西特网服务提供商(ISP))来作为信任桥接实体。服务提供商可以被 称为虚拟操作员。用户与这个虚拟操作员保持一个帐户,所述虚拟操作员与 WLAN操作员具有业务关系。因为用户与虚拟操作员具有已经建立的信任关 系,因此她能够以安全的方式向虚拟操作员认证她本身。虚拟操作员然后安 全地向用户以及WLAN接入点发送会话密钥(因为虚拟操作员也与WLAN 具有信任关系)。因为这个共享的会话密钥,无线LAN于是知道用户被授权 来接入网络,因此准许用户接入。注意,在这个方案中,虚拟操作员分配会 话密钥,因为它与用户和WLAN都具有信任关系。
会话密钥用于本地接入,应当对于WLAN接入点是本地的,例如^皮接入 点分配和保持。当存在多个虚拟操作员时,上述的密钥管理方案在至少两个 区域有问题。首先,对于虚拟操作员,经常有的问题是对于术语不同实体 的成千上万的接入点分配和管理会话密钥,即,对于不同类型的接入点提供 不同的加密算法和密钥长度。其次,对于接入点,可能难于保证多个虚拟操 作员以一致的方式来分配会话密钥,例如,必须保证两个用户不同时使用由
两个不同的虚拟梯:作员分配的相同密钥。
主要困难是接入点不与无线用户共享秘密,因此从接入点向用户直接发 送会话密钥是不安全的。对于这个问题的解决方案是虚拟操作员在成功的用 户认证后向接入点(AP)通知用户的公共密钥。AP然后使用用户的公共密 钥来加密会话密钥,然后向用户发送结果。因为仅仅那个特定的用户能够使 用她的对应私有密钥来解密会话密钥,因此可以在AP和无线用户之间能安 全地建立会话密钥。但是,这个方案需要使用公共/私有密钥,它们可能与在 无线用户和认证服务器之间的实际的认证方法不兼容。有可能用户需要保存 两种不同类型的密钥(用于解密会话密钥的私有密钥和用于使用认证服务器 认证的密码类型密钥)。这不仅增加客户机软件的复杂性,而且增加了安全保 存密钥的困难。此外,这种方案不用正成为WLAN安全的标准正EE 802.1x 进行工作。
因此,需要一种解决方案,其中密钥被接入点本地分配和管理,并且, 无线用户能够安全地获得会话密钥而没有与接入点的预先信任关系。
发明内容
本发明描述了 一种有效的处理这个问题的机制。会话密钥被WLAN本地 分配和管理(因为这些密钥用于本地接入控制),但是,它们可以安全地#:分 配到与它们对应的虚拟操作员保持信任关系的无线用户。
一种无线局域网的会话密钥管理的方法,包括在接入点和虚拟操作员 之间建立第一安全信道,并且从接入点向虚拟操作员建议会话密钥。在虚拟 操作员和用户之间建立第二安全信道,并且由虚拟操作员发送会话密钥,以
使能在接入点和用户之间的通信。
一种用于无线局域网的会话密钥管理的系统,包括接入点,它在接入点 和虚拟操作员之间建立第 一安全信道。从接入点向虚拟操作员建议会话密钥。 虚拟操作员在用户的认证后,在虚拟操作员和用户之间建立第二安全信道, 虚拟操作员设置会话密钥,以使能在接入点和用户之间的通信。
按照本发明的一个方面,提供一种移动终端,包括用于发送接入WLAN 的请求的部件;以及用于经由安全信道与服务提供商虚拟操作员进行通信以 认证所述移动终端的部件,其中所选的会话密钥经由所述安全信道被传送给 所述移动终端,以及,其中在接收到所选的会话密钥后,所述移动终端使用 所述会话密钥来进行通信。
根据现在参照附图详细说明的说明性实施例,本发明的优点、特征和各 种附加特点将会变得更加清楚,其中
图1是按照本发明的一个实施例的示例系统;
图2是按照本发明的一个实施例的用于实现会话密钥管理的方法的说明 性步骤的流程图3是按照本发明的另一个实施例的、无线局域网的会话密钥管理的另 一种说明性方法的图。
应当明白,附图是为了图解本发明的思想,而不必用于说明本发明的仅 仅可能的配置。
具体实施例方式
本发明一般涉及网络通信,具体涉及用于在支持第三方虚拟操作员的公共无线局域网(WLAN)环境中管理接入会话密钥的机制。这样的虚拟操作 员可以包括因特网服务提供商(ISP)、蜂窝操作员或预付卡提供商。为了最 大化收入来源,公共无线局域网(WLAN)可以与多个虚拟操作员保持业务 关系。
应当明白,以WLAN系统来说明本发明,所述WLAN系统诸如符合IEEE 802.11、 Hiperlan2和/或超宽带标准的那些;但是,本发明范围更宽,并且可 以被应用到用于其他通信系统的其他系统管理方案。另外,本发明可以被应 用到任何网络系统,包括电话、电缆、计算机(因特网)、卫星等。
现在具体详细地参考附图,其中在几个视图中类似的附图标记表示类似 或相同的元件,首先参见图1,公共无线局域网(WLAN) 14包括WLAN热 点31的4妻入点30。 WLAN 14可以^吏用例如IEEE 802.11和HIPERLAN2标 准。WLAN 14可以包括在诸如因特网7的外部网络之间的防火墙22。终端 用户或移动单元40可以 使用例如HTTPS通道或其他安全的信道64来通过因 特网7从WLAN 14接入虚拟操作员62,如在此所述。
分散在蜂窝网络的小区之间或之内的是无线局域网14。按照本发明,从 虚拟操作员62向用户40发送会话密钥60。虚拟操作员62可以包括因特网 服务提供商(ISP),蜂窝操作员或预付卡提供商或其他实体,它们通过通信 网络提供服务。为了最大化收入来源,公共无线局域网(WLAN)可以与多 个虚拟操作员保持业务关系。但是,在保持足够的系统安全性的同时,保持 多个虚拟操作员很难。
因为虚拟操作员62和用户(MS 40)共享诸如安全信道的秘密或使用共 享的信息段或代码,因此可以通过在其间的安全信道64来发送密钥60。但 是,取代具有确定和保持会话密钥60的虚拟操作员62,所述密钥被WLAN 接入点30选择,然后向虚拟操作员提示。可以通过多种方法来选择密钥,包 括例如随机数量产生、从预存的多个密钥选择等。
参见图2,用于实现本发明的实施例被说明性地描述如下。在方框102 中,用户(移动终端(MT))在接入点(AP) 30请求无线LAN接入,并且 指定虚拟操作员(VO)62。在方框104, AP30建立与虚拟操作员62的安全 信道SCi。通过SQ在AP30和虚拟操作员62之间进行所有随后的通信。在 方框106,用户与虚拟操作员62建立安全信道SC2,并且通过SC2用虚拟操 作员认证她自己。这可以包括将会话密钥保存直到成功的用户认证。在方框108,虚拟操作员在成功的用户认证后向AP 30通知结果,并且 通过Sd向AP 30查询会话密钥60。如果会话密钥被保存,则如果认证不成 功就去除它。在方框110, AP 30选4奪会话密钥60并且将其通过Sd向虚拟 操作员62发送。在方框112,虚拟操作员通过SC2向用户发送这个会话密钥。 在方框114,用户和AP 30开始使用会话密钥来用于在它们之间的后续通信 (安全信道SC3 )。
参见图3,可以如图所示进一步将图2所示的方法在速度和效率上进行 改善。取代在成功的认证后使虚拟操作员询问会话密钥,AP 30就在建立Sd 后提供建议的会话密钥,并且在接入点30将此密钥"保存"在存储器24中。 在成功的用户认证后,AP 30 ^皮虚拟操作员通知,并且对于SC3开始使用这个 密钥。在不成功的认证的情况下(例如在用户进行一定数量的不成功尝试后), 也通知AP30,并且从"保存"列表24中去除所述密钥。这防止了拒绝服务 的攻击,其中攻击者持续进行不成功的认证尝试。如果AP没被通知不成功 的认证,则所建议的密钥将积累在AP的存储器中。认证步骤可以包括如下。
在步骤202,用户在AP 30请求无线LAN接入,并且指定虚拟操作员62。 在步骤204, AP30与虚拟操作员62建立安全信道Sd。通过Sd在AP和虚 拟操作员之间进行所有随后的通信。在步骤206, AP 30向虚拟操作员62发 送所建议的会话密钥,并且将这个密钥"保存"。在步骤208,用户与虚拟操 作员62建立安全信道SC2,并且在方框209通过SC2用虚拟操作员62认证 她本身。在步骤210,虚拟操作员62向AP30通知认证结果,并且AP30从 所述"保存,,列表去除所建议的密钥。在方框212,在成功的认证后,虚拟 操作员62向用户发送会话密钥。在方框214,用户和AP30开始使用会话密 钥来用于在它们之间(安全信道SC3)的后续通信。
图3的方法为什么更有效的原因是因为它比图2的方法节省了一个往返 行程的通信时间,例如,虚拟操作员不必等待直到认证结束,以向AP查询会 话密钥,并且向用户通知所述密钥。虽然在步骤206中AP需要向虚拟操作 员发送所建议的密钥,但是这可以与步骤208并行进行。因此,总的来说, 避免了往返行程。在其他实施例中,可以伴随步骤208顺序地执行步骤206。
应当明白,可以在移动终端、接入点和/或蜂窝网络中例如以各种形式的 硬件、软件、固件、专用处理器或其组合来实现本发明。最好,本发明实现 为硬件和软件的组合。而且,所述软件最好实现为在程序存储器上确实地包含的应用程序。所述应用程序可以被上载到包括任何适用的架构的机器并且 由其执行。最好,在计算机平台上实现所述机器,所述计算机平台具有硬件,
诸如一个或多个中央处理单元(CPU)、随机存取存储器(RAM)和输入/输 出(1/0)接口。所述计算机平台也包括操作系统和微指令代码。在此所述的 各种处理和功能可以或者是经由操作系统执行的微指令代码的一部分或应用 程序的一部分(或其组合)。另外,各种其他的外围器件可以连接到计算机平 台,诸如附加的数据存储器和打印设备。
还应当明白,因为附图中所述的构成系统部件和方法步骤的一些可以用 软件来实现,因此在系统部件(或处理步骤)之间的实际连接可以根据本发 明所编程的方式而不同。在此提供示教的情况下,在本领域的普通技术人员 将能够考虑本发明的这些和类似的实现方式或配置。
在已经描述了支持多个虚拟操作员的公共无线局域网的会话密钥管理的 优选实施例(它们意欲是说明性和非限定性的)的情况下,可以注意到,本 领域的技术人员可以根据上述教程来进行修改和改变。因此,应当明白,可 以在由所附的权利要求概述的本发明的范围和精神内公开的本发明的特定实 施例中进行改变。在已经以专利法所要求的详细程度来描述了本发明的情况 下,在所附的权利要求中给出了由专利证书要求保护和期望保护的内容。
权利要求
1.一种移动终端,包括用于发送接入WLAN的请求的部件;以及用于经由安全信道与服务提供商虚拟操作员进行通信以认证所述移动终端的部件,其中所选的会话密钥经由所述安全信道被传送给所述移动终端,以及,其中在接收到所选的会话密钥后,所述移动终端使用所述会话密钥来进行通信。
2. 按照权利要求1的移动终端,其中当从所述服务提供商虚拟操作员接 收到用户认证成功的通知时,所述移动终端使用所述会话密钥来进行通信。
3. 按照权利要求1的移动终端,其中所述虚拟操作员包括Internet服务 提供商、蜂窝提供商和信用卡提供商中的一个。
全文摘要
一种用于管理会话密钥的方法和装置,其用于使得移动终端可以接入无线局域网(WLAN)。本发明提供了在接入点和虚拟操作员之间建立第一安全信道,并且从接入点向虚拟操作员建议会话密钥。在虚拟操作员和用户之间建立第二安全信道,并且在用户认证成功时经由第二安全信道向用户发送会话密钥。移动终端使用会话密钥来接入WLAN。按照本发明的一种移动终端,包括用于发送接入WLAN的请求的部件;以及用于经由安全信道与服务提供商虚拟操作员进行通信以认证所述移动终端的部件,其中所选的会话密钥经由所述安全信道被传送给所述移动终端,以及,其中在接收到所选的会话密钥后,所述移动终端使用所述会话密钥来进行通信。
文档编号H04M11/00GK101621798SQ200910158679
公开日2010年1月6日 申请日期2003年8月13日 优先权日2002年8月14日
发明者张俊彪 申请人:汤姆森特许公司