[发明专利]无线局域网络中的安全切换

说明书

技术领域

本发明涉及无线局域网络中的用户设备鉴别。具体而言，本发明涉及一种用于无线局域网络中的用户设备的快速安全切换机制。

背景技术

无线局域网络(WLAN)技术的进步已经导致在休息区、咖啡店、机场、图书馆和类似公共设施处公共可接入的热点。目前，公共WLAN为移动通信设备(客户端)用户提供了对私有数据网络(如企业内联网)或公共数据网络(如因特网、点对点通信和直播无线TV广播)的接入。实现和运行公共WLAN相对低的成本、以及可用的高带宽(通常超过10Mb/s)，使得公共WLAN成为理想的接入机制，通过该接入机制移动无线通信设备用户可以与外部实体交换分组。

在无线局域网络中安全性正得到提高。如IEEE 802.1x远程鉴别等标准的采用提供了灵活性、可扩展性和更多的安全性。基本上与接入点相关联的移动设备在能够发送/接收数据前需要被鉴别。鉴别过程由接入点触发，但实际上在用户设备和称为鉴别、授权和计费(AAA)服务器的远程服务器(也称作“鉴别服务器”)之间管理。一旦鉴别了移动台/用户设备，AAA服务器就与接入点通信，准许移动设备接入并传输密码密钥。

然而，这些标准还不是考虑到无线网络写成的。其结果是，当移动台切换(即，从由接入点覆盖的一个区域移动到由另一个接入点覆盖的另一区域)发生时，移动台必须再次进行全部鉴别过程。

IEEE 802.11工作组内有一个子组研究接入点间协议。该协议背后的想法是，当在两个接入点之间发生移动台切换时，接入点间协议允许两个接入点与移动台/用户设备交换否则本将丢失的上下文数据以及分组数据。该协议可用来交换与鉴别相关的一些信息。问题在于，该协议仅涉及两个接入点—在当前切换中涉及的两个接入点。因此，每次移动台在两个接入点之间切换时，需要完整的鉴别。

当移动用户漫游到热点网络中时，热点网络和用户的服务提供商网络可能需要执行漫游协议来鉴别用户并准许用户接入。更具体地，当用户试图接入公共WLAN覆盖区域内的服务时，WLAN在准许网络接入前，首先鉴别并授权用户。在鉴别后，公共WLAN对移动通信设备开放安全数据信道，以保护通过WLAN和设备之间的数据的隐私。目前，很多WLAN设备的制造商已经采用了IEEE 802.1x标准用于部署的设备。因此，该标准是由WLAN使用的主流鉴别机制。不幸的是，IEEE 802.1x标准被设计成用私有LAN接入作为其用途模型。因此，IEEE 802.1x标准不提供某些将改善公共WLAN环境中的安全性的特征。

在基于web浏览器的鉴别方法中，移动终端(MT)通过超文本传输协议安全套接字(HTTPS)协议，使用web浏览器直接向AAA服务器(AS)鉴别，并且确保接入点(AP)(以及在MT和AS之间的路径上的任何其他设备/部件)不能侵入或窃取机密的用户信息。尽管该信道是安全的，但是AP不能确定鉴别的结果，除非AS明确地通知。然而，AS与MT相关的唯一信息是其在HTTPS会话的另一端的因特网协议或IP地址。当防火墙、网络地址转换(NAT)服务器、或web代理在电气上位于AS和MT之间时(这通常是虚拟运营商配置的情形)，AS难以或甚至不可能发起会话来通知AP鉴别的结果并标识MT。

多数现有的WLAN热点无线提供商使用基于web浏览器的解决方案用于用户鉴别和接入控制，这被证明对用户是便利的，并且不需要在用户设备上下载任何软件。在这样的解决方案中，用户由服务器通过HTTPS安全地鉴别，服务器然后通知无线AP准许对用户的接入。这样的鉴别服务器AS可以由WLAN运营商或更广泛地称为虚拟运营商的任何第三方提供商(如独立服务提供商(ISP)、预付卡提供商或蜂窝运营商)拥有。

现有技术中，鉴别是通过用户和鉴别服务器之间经安全隧道的通信实现的。这样AP不转换用户和鉴别服务器之间的通信。因此，必须在AP和鉴别服务器AS之间建立称作鉴别信息的单独的通信，使得将鉴别信息通知给AP。

AP中的接入控制基于移动通信设备/客户端设备的地址，其中各地址可以是物理地址(PHY)、媒体接入控制(MAC)地址或因特网协议(IP)地址，因此，当鉴别服务器返回鉴别结果到AP时，鉴别服务器可使用移动终端MTIP地址(HTTPS隧道的源地址)作为标识符。如果在AP和鉴别服务器AS之间既不存在防火墙又不存在NAT时，该方法成功。鉴别服务器接收的源地址将是web代理的地址，其不能用于标识移动终端用户设备，因此不能由AP用于确保安全连接。

需要的是一种提高无线局域网中的切换速度而不牺牲安全性的机制。

发明内容