提供对无线局域网的安全接入的方法、移动设备和接入点的制作方法
【专利摘要】描述了一种用于提供对无线局域网的安全接入的方法、移动设备和接入点。所述方法包括:配置接入点来丢弃除了呈现HTTP/HTTPS协议的分组之外的分组;所述接入点经由web浏览器从移动设备截获HTTP接入请求;所述接入点在不向认证服务器提供证书的情况下生成安全密钥,并且将所述安全密钥安全地发送到web服务器;所述接入点经由所述web浏览器将所述安全密钥安全地重定向到所述移动设备;和所述接入点设置所述产生的安全密钥。
【专利说明】提供对无线局域网的安全接入的方法、移动设备和接入点
[0001]本申请是申请日为2005年4月22日、申请号为200580049552.0、发明名称为“安全的匿名无线局域网(WLAN)接入机制”的发明专利申请的分案申请。
【技术领域】
[0002]本发明涉及用于允许移动通信设备去安全地接入无线局域网(WLAN)的机制/技术。
【背景技术】
[0003]随着无线网络的激增,许多的行业采用它们以便利其移动工作。由于与有线网络相比,无线网络更加容易被非法使用和窃听,因此公司要求授权的用户向网络提供某种形式的凭证以便获得接入。该凭证可以是以下的一个或多个:
[0004]?用户名/ 口令组合;
[0005].类似安全ID的硬件令牌(token);
[0006].类似指纹的生物测定标识。
[0007]该无线网络维护合法、经授权的用户的数据库(DB),并且根据这个数据库检查用户的凭证。换句话说,用户必须能够证明其身份,以便获得对网络安全接入。但是,存在另一类的用户。这些是接入商业机构的、公司的访客(商业伙伴、客户等等)。这样的用户在DB中没有帐户。典型地,这些访客被给予临时的凭证,在他们的接入期间他们可以使用该凭证。这导致若干管理问题:
[0008]?需要在数据库中维护访客帐户。
[0009].如果使用硬件令牌,在离开时访客有可能忘记将其返还。在这种情况下,该令牌必须被撤销。
【发明内容】
[0010]作为一个可供选择的办法,企业可以提供(在逻辑或者物理上)单独的无线网络,专门地供访客使用。典型地,这个网络与公司网络隔离,并且任何人无需提供凭证给该网络就可以接入它。换句话说,该网络对其用户提供匿名接入。在下文中,这个网络被称作“访客网络”或者“访客WLAN”。即使没有进行用户验证,该无线链路也必须被保护以防止窃听。在没有无线链路安全的情况下,所有访客网络流量都是不加密地发送的。
[0011]在访客网络/WLAN中,接入点(AP)是该访客网络的入口点。此外,该访客网络/WLAN具有与本发明有关的以下的部件:
[0012].web 服务器
[0013].分组过滤器和重定向器
[0014].可选择的移动代码(ActiveX/插件)
[0015]web服务器、分组过滤器和重定向器可以与AP位于在同一地点。
[0016]在本发明中,不进行用户验证。在正常浏览器交互之后开始该登录过程,而不需要任何用户凭证。其次,启动保护无线链路的该登录步骤是由对HTTPS网页的接入产生的。通过使用HTTPS,用户可以确保该网络/WLAN属于他/她正在接入的站点(用户可以验证颁布给该站点的数字证书)。最后,该安全密钥被设置在客户机器(移动通信设备)和AP两者上。因此,该无线链路是安全的。
[0017]描述了一种用于对无线局域网提供安全、匿名接入的方法和系统,包括:配置接入点以丢弃除了呈现HTTP和HTTPS协议的分组之外的分组,由接入点经由web浏览器从移动设备截取一个HTTP接入请求,由接入点将HTTP接入请求重定向到web服务器,由接入点和web服务器的一个产生安全密钥,由接入点将产生的安全密钥安全地与所述web服务器交换,或者由web服务器将产生的安全密钥安全地与所述接入点交换,和由接入点设置安全密钥。还描述了一种移动设备,包括:用于经由HTTP接入请求转发供安全接入无线局域网的请求的装置,用于接收移动代码或者供显示安全密钥的信号的装置,和用于设置安全密钥的装置。
[0018]还描述了一种用于提供对无线局域网的安全接入的方法,所述方法包括:配置接入点来丢弃除了呈现HTTP/HTTPS协议的分组之外的分组;所述接入点经由web浏览器从移动设备截获HTTP接入请求;所述接入点在不向认证服务器提供证书的情况下生成安全密钥,并且将所述安全密钥安全地发送到web服务器;所述接入点经由所述web浏览器将所述安全密钥安全地重定向到所述移动设备;和所述接入点设置所述产生的安全密钥。
[0019]还描述了一种移动设备,包括:收发信机,用于经由HTTP接入请求转发对于安全接入无线局域网的请求,以及用于从web服务器接收移动代码;和处理器,用于设置安全密钥,所述安全密钥是在不向认证服务器提供证书的情况下生成的。
[0020]还描述了一种移动设备,包括:收发信机,用于经由HTTP接入请求转发对于安全接入无线局域网的请求,以及用于从web服务器接收用来显示安全密钥给所述移动设备的信号;和处理器,用于设置所述安全密钥,所述安全密钥是在不向认证服务器提供证书的情况下生成的。
[0021]还描述了一种接入点,包括:收发信机,用于经由HTTP接入请求接收对于安全接入无线局域网的请求;以及处理器,用于产生安全密钥,所述安全密钥是在不向认证服务器提供证书的情况下生成的,并且所述处理器用于设置所述产生的安全密钥。
[0022]还描述了一种用于提供对无线局域网的安全接入的接入点,包括:所述接入点中的分组过滤器,被配置为丢弃除了呈现HTTP/HTTPS协议的分组之外的分组,以及经由web浏览器从移动设备截获HTTP接入请求;所述接入点中的处理器,在不向认证服务器提供证书的情况下生成安全密钥;以及所述接入点中的收发信机,将所述安全密钥安全地发送到web服务器;所述接入点中的所述收发信机经由所述web浏览器将所述安全密钥安全地重定向到所述移动设备,所述接入点中的所述处理器设置所述产生的安全密钥。
【专利附图】
【附图说明】
[0023]从以下与附图结合阅读的优选实施例的详细说明中,本发明的这些和其他的方面、特征和优点将变得显而易见。
[0024]图1是用于实施建立对网络(例如,无线局域网)的安全匿名接入方法的系统的方框图。
[0025]图2A是描绘为了允许对访客网络安全无线局域网接入、在网络/WLAN和移动通信设备之间按时间顺序发生的通信的一个实施例的“梯形”示意图。
[0026]图2B是描述为了允许对访客网络安全无线局域网接入、在网络/WLAN和移动通信设备之间按时间顺序发生的通信的替代实施例的“梯形”示意图。
[0027]图3是在提供安全匿名无线局域网接入时涉及的部件的方框图。
【具体实施方式】
[0028]图1是用于允许至少一个移动通信设备,并且最好是,多个移动通信设备(例如,移动通信设备12pl22和123)安全地接入通信网络10的无线局域网20的方框图。在一个优选实施例中,该移动通信设备包括膝上计算机,而移动通信设备122包括个人数据助理,并且移动通信设备123包括无线手机。
[0029]在举例说明的实施例中,AP 18包括无线收发信机(未示出),用于与每个移动通信设备内的无线电收发信机(未示出)交换射频信号。为此,AP 18采用一个或多个公知的无线数据交换协议,诸如,“HiperLan 2”或者IEEE 802.11协议。实际上,无线局域网20可以包括多个AP,这里每个AP可以采用不同的无线协议以使适应不同的移动通信设备。
[0030]参考图2A可以最好地理解本发明的技术,其描述在移动通信设备(例如,移动通信设备121)、AP 18和web服务器24之间按时间顺序发生的一系列通信。当用户移动进入无线LAN热点,并且打开web浏览器的时候,在web服务器、分组过滤器和重定向器与AP位于同一地点的一个实施例中发生以下的事件:
[0031]1.该AP截获由在移动通信设备上运行的web浏览器软件产生的HTTP接入请求。该AP产生对于该用户唯一的安全密钥(例如,WEP密钥)。该AP被配置来丢弃除了 HTTP/HTTPS分组之外的分组。
[0032]2.该AP经由HTTPS将用户安全地重定向到web服务器。所产生的安全密钥被作为一个参数传送给web服务器。由于使用了 HTTPS,因此所有的参数被安全地送到web服务器。作为进一步的措施,可以使用在AP和web服务器之间预先共享的密钥来加密安全密钥参数。
[0033]3.在某些浏览器交互(例如,WLAN HTTP web服务器返回欢迎页面,该用户点击这个页面上的“登录”按钮)之后,该用户浏览器到达安全的HTTPS网页,其包含移动代码(ActiveX控件/插件)和所产生的安全密钥,例如,有线等效保密(WEP)密钥。
[0034]4.相同的安全密钥被设置在AP和客户的机器上(通过移动代码)。这使无线链路安全。
[0035]为了启动安全接入,在图2A的步骤100期间该移动通信设备U1传送接入请求给AP 18。在实践中,通过由移动通信设备U1执行的web浏览器软件程序发出的HTTP接入要求,该移动通信设备121启动接入请求。响应该接入请求,AP 18在图2A的步骤102产生安全密钥,并且将其与web浏览器(未示出)安全地交换。AP 18然后在步骤103上发送安全密钥给web服务器24。该AP然后在步骤104期间将移动通信设备中的web浏览器软件重定向到AP上的本地欢迎页。在步骤104之后,并且在某些浏览器交互(未示出)之后,该用户浏览器到达安全的HTTPS内部网页,其包含移动代码(ActiveX控件/插件)和所产生的安全密钥。该web服务器24然后在步骤106上将移动代码推出(push)给请求接入的移动设备。一旦收到该移动代码,移动通信设备和AP两者在步骤108a和108b上设置安全密钥,其用于供会话的剩余部分通信。每个新的会话需要重新执行该方法。
[0036]ActiveX控件实质上是一种可执行的程序,其可以被嵌入在网页之内。许多软件浏览器程序,诸如Microsoft Internet Explorer具有显示上述的网页和调用嵌入的ActiveX控件的能力,其可以从远程服务器(例如,web服务器24)下载。ActiveX控件的执行受到置入该浏览器软件中的安全机制限制。在实践中,大多数浏览器程序具有若干不同的可选择的安全级别。在最低的级别上,可以没有限制地调用来自web的任何ActiveX控件。在最高的级别上,不能从浏览器软件调用ActiveX控件。
[0037]通常地,该安全级别被设置为中等,在这样的情况下,仅仅那些具有数字签名的ActiveX控件可以被调用。对于这样的ActiveX控件,在调用ActiveX控件之前,该浏览器软件首先检查签名的有效性,以确信存在以下的条件:(1)可以跟踪该ActiveX控件的来源,和(2)除了对其签名的实体之外,ActiveX控件没有被其他任何人篡改。在所示的实施例中,该web服务器24使用ActiveX控件去传送和在移动通信设备U1上设置安全密钥。该ActiveX控件是非常简单的,并且其唯一的功能是通过给该设备提供具有嵌入的ActiveX控件的网页来在移动通信设备121上设置密钥。
[0038]一旦移动设备和AP两者已经设置了安全密钥,那么,允许按照该安全密钥进行安全数据通信。
[0039]用于允许安全无线局域网接入的上述方法对于大多数移动通信设备都将无缝地工作,因为大多数设备采用支持ActiveX控件的浏览器软件,并且在大多数设备中该浏览器软件的安全级别通常被设置为中等。对于那些其浏览器软件当前被设置以最高安全级别的移动通信设备,将向该设备发送请求,以要求用户临时地将浏览器软件的安全设置更改为中等。对于那些没有采用能够支持ActiveX控件的浏览器软件的移动通信设备,可以使用浏览器软件插件。如果AP 18检测到在寻求接入的移动通信设备1?中的该浏览器软件不支持ActiveX控件,则该移动通信设备U1的用户将被提示去下载和安装小的插件。该插件的功能实质上与ActiveX控件的密钥设置功能相同。一旦该插件程序被安装在移动通信设备U1中,就可以通过将该安全密钥封装在用该插件的特别文件中将该安全密钥设置在移动通信设备上。随后,该插件读取安全密钥文件,并且在移动通信设备121中设置该密钥。
[0040]从实践的观点来看,设置ActiveX控件的该安全密钥应当被参数化。换句话说,该ActiveX控件应当把该安全密钥作为一个参数。以这种方法,该web服务器24只需要保留单个编译的ActiveX控件,并且通过给请求的移动通信设备提供不同的参数来将其用于不同的会话。否则,该web服务器24将不得不在ActiveX控件内建立安全密钥,目卩,对于每个会话建立不同的ActiveX控件,一个效率低的进程。
[0041]图2B也是一个梯形图,描绘为了允许对访客网络的安全无线局域网接入而在无线局域网和移动通信设备之间按时间顺序发生的通信。但是,这个实施例指向手动的情形,这里web服务器24向用户显示安全密钥,然后,该用户被指示遵循在显示器上的指令来在移动通信设备上设置安全密钥。在这个实施例中,发生以下的事件:
[0042]1.该AP截获由在移动通信设备上运行的web浏览器软件产生的HTTP接入请求。该AP产生对于用户唯一的安全密钥。该AP被配置成丢弃除了 HTTP/HTTPS分组之外的所有分组。
[0043]2.该AP将用户重定向到web服务器。所产生的安全密钥被作为参数传送给web服务器。因为使用HTTPS与web服务器通信,所以这是安全的。作为进一步的措施,可以使用在AP和web服务器之间共享的密钥来加密安全密钥参数。
[0044]3.在某些浏览器交互(例如,web服务器返回欢迎页面,该用户点击这个页面上的“登录”按钮)之后,在步骤107该用户浏览器到达安全的HTTPS内部网页,该网页显示安全密钥给用户,并且可选择地,给出有关如何在移动通信设备上设置安全密钥的命令。
[0045]4.该用户遵循该指令(如果提供有的话),并且在移动设备上设置该安全密钥。
[0046]5.相同的安全密钥被设置在该AP上。这使无线链路安全。
[0047]在该web服务器与AP不在同一地点的情况下,经由安全手段在web服务器和AP之间交换该安全密钥。例如,AP和web服务器可以预先共享专门地用于在AP和web服务器之间通信的另一个安全密钥,并且使用这个密钥去加密在所述AP和web服务器之间的通?目。
[0048]此外,该安全密钥可以由web服务器而不是AP产生,然后经由如上所述的安全手段交换给AP。
[0049]图3是在提供安全匿名无线局域网接入时涉及的部件的方框图。HTTP请求305经过分组过滤器,后者丢弃所有不是HTTP/HTTPS分组的分组。未被丢弃的任何分组被转发给重新定向器310,后者经由web服务器315将用户的web浏览器重定向到站点320的ActiveX/ 插件。
[0050]应该理解,本发明可以例如在移动终端、接入点或者蜂窝网络内以不同的硬件、软件、固件、专用处理器或者其组合的形式实现。最好是,本发明作为硬件和软件的组合实现。此外,该软件最好是作为在程序存储设备上具体实施的应用程序来实现。该应用程序可以被上载并且由包括任何适宜结构的机器执行。最好是,该机器是在具有硬件,诸如一个或多个中央处理单元(CPU)、随机存取存储器(RAM)和输入/输出(I/O)接口的计算机平台上实现的。该计算机平台还包括操作系统和微指令代码。在此处描述的各种各样的处理和功能或者可以是微指令代码的一部分,或者是应用程序的一部分(或者其组合),其经由操作系统执行。此外,各种各样其他的外围设备可以连接到计算机平台,诸如,附加的数据存储设备和打印设备。
[0051]应该进一步理解,因为在该附图中描述的一些构成的系统部件和方法步骤最好是以软件实现,取决于本发明编程的方式,在系统部件(或者处理步骤)之间的实际连接可以不同。在此处给出教导,本领域技术人员将能够构思出本发明的这些和类似的实施或者结构。
【权利要求】
1.一种用于提供对无线局域网的安全接入的方法,所述方法包括: 配置接入点来丢弃除了呈现HTTP/HTTPS协议的分组之外的分组; 所述接入点经由web浏览器从移动设备截获HTTP接入请求; 所述接入点在不向认证服务器提供证书的情况下生成安全密钥,并且将所述安全密钥安全地发送到web服务器; 所述接入点经由所述web浏览器将所述安全密钥安全地重定向到所述移动设备;和 所述接入点设置所述产生的安全密钥。
2.根据权利要求1的方法,进一步包括在会话的持续时间中使用所述产生的安全密钥安全地通信。
3.根据权利要求1的方法,其中使用分组过滤器来标识HTTP/HTTPS分组。
4.根据权利要求1的方法,其中所述产生的安全密钥是有线等效保密密钥。
5.根据权利要求1的方法,其中所述web服务器与所述接入点位于同一地点。
6.—种移动设备,包括: 收发信机,用于经由HTTP接入请求转发对于安全接入无线局域网的请求,以及用于从web服务器接收移动代码;和 处理器,用于设置安全密钥,所述安全密钥是在不向认证服务器提供证书的情况下生成的。
7.—种移动设备,包括: 收发信机,用于经由HTTP接入请求转发对于安全接入无线局域网的请求,以及用于从web服务器接收用来显示安全密钥给所述移动设备的信号;和 处理器,用于设置安全密钥,所述安全密钥是在不向认证服务器提供证书的情况下生成的。
8.一种接入点,包括: 收发信机,用于经由HTTP接入请求接收对于安全接入无线局域网的请求;以及处理器,用于产生安全密钥,所述安全密钥是在不向认证服务器提供证书的情况下生成的,并且所述处理器用于设置所述产生的安全密钥。
9.一种用于提供对无线局域网的安全接入的接入点,包括: 所述接入点中的分组过滤器,被配置为丢弃除了呈现HTTP/HTTPS协议的分组之外的分组,以及经由web浏览器从移动设备截获HTTP接入请求; 所述接入点中的处理器,在不向认证服务器提供证书的情况下生成安全密钥;以及 所述接入点中的收发信机,将所述安全密钥安全地发送到web服务器; 所述接入点中的所述收发信机经由所述web浏览器将所述安全密钥安全地重定向到所述移动设备,所述接入点中的所述处理器设置所述产生的安全密钥。
10.根据权利要求9的接入点,其中所述接入点在会话的持续时间中使用所述产生的安全密钥安全地通信。
11.根据权利要求9的接入点,其中使用所述分组过滤器来标识HTTP/HTTPS分组。
12.根据权利要求9的接入点,其中所述产生的安全密钥是有线等效保密密钥。
13.根据权利要求9的接入点,其中web服务器与所述接入点位于同一地点。
【文档编号】H04W12/04GK104168280SQ201410412058
【公开日】2014年11月26日 申请日期:2005年4月22日 优先权日:2005年4月22日
【发明者】索拉布.马瑟, 张俊彪 申请人:汤姆森特许公司