[发明专利]在由认证服务器检查客户机证书的同时由DHCP服务器进行地址分配

说明书

技术领域

本发明一般涉及远程通信(telecommunication)，特别是涉及无线通信。

背景技术

许多通信系统向无线装置的用户对于不同类型的服务。在特定无线服务中，无线通信网络可使无线装置用户交换对等和/或客户机-服务器消息，它们可能只是文本消息或者包括例如数据和/或视频等多媒体内容。信息的这种交换涉及通过逐步地使消息向其目的地前进的多个网络路由器来建立源装置与目标装置之间的连接。

对于对数据或通信接入网的接入控制其中还需要对用户的认证。无线用户还可要求网络的认证，特别是因为体现有效网络所需的技术变得便宜且广泛可用，尤其是在基于电气和电子工程师协会(IEEE)802.11的网络的情况下。认证过程必须是安全的，但是，特别是在用户具有正进行会话的同时进行的切换期间，它还必须是快速的。本发明提供一种解决方案，它代表这两个要求、即快速且充分安全之间的良好折衷。例如，在较大的多域网络中，其中动态主机配置协议(DHCP)服务器(通常位于来自客户机的分组经过的网关、第一路由器和/或交换机中)没有关于可能尝试进行连接的客户机的先验知识(例如企业网络中的情况可能是这样)。动态主机配置协议(DHCP)是用于对将网际协议(IP)地址分配给装置以便连接到网络进行管理和自动化的通信协议。

一般来说，无线LAN包括无线接入点(AP)，它与网络适配器进行通信以便扩展有线LAN。具有符合Wi-Fi的无线通信装置的用户可使用具有也基于IEEE 802.11标准的其它品牌的客户机硬件的任何类型的接入点。术语“Wi-Fi”、即无限保真的缩写形式由Wi-Fi联盟发布，以表示任何类型的基于IEEE 802.11标准的装置或网络，无论是802.11a、802.11b、802.11g还是双频等。Wi-Fi联盟是促进根据IEEE802.11规范的无线组网(networking)配置的工业联盟。但是，使用例如802.11b或11g的2.4GHz、802.11a的5GHz之类的相同射频(RF)信号的任何符合Wi-Fi的无线通信装置通常可与任何其它无线通信装置配合工作。

然而，不管所采用的网络的频率范围使用或类型，在给予无线通信装置的用户对WAN的访问权之前，通常对该用户进行认证。因此，大多数已部署Wi-Fi热点要求用户根据用户名和密码进行认证。除了这种认证之外，可部署认证的其它解决方案，例如其中基于IEEE802.1x标准的认证过程也是可用的。

无法依靠物理连接所提供的安全性的无线网络中的网络认证远比有线环境更为复杂。例如，热点通常使用用户的基于万维网的认证，即，用户必须在用户首次进入热点时弹出的网页上输入用户名和密码。越来越流行的另一种技术是IEEE 802.1x，它使用EAPOL(LAN的扩展认证协议(EAP))协议来建立与给定接入点的安全认证关联。EAP最初用于通常在基于PPP的认证中使用的拨号连接。

在认证之后，以上所有方法的共同点在于，在可进行通信之前还必须进行地址获取。这通常使用DHCP，它增加另一个延迟。由因特网工程师任务组(IETF)发布和协调的“请求注释”(RFC)文档描述一种非正式因特网标准，例如RFC2131描述DHCP协议，它说明性地用于描述本发明。虽然DHCP规范中完全没有防止客户机在一接收到就立即使用“DHCP OFFER(要约)”中存在的IP地址，但是典型的当前实现等待接收到最终DHCP响应。这种方法不一定是限制。RFC3118描述DHCP消息的认证。这定义一种对于实现本发明所需的消息和数据交换进行编码的可能方式，并实现消息和相互认证的完整性保护。

基于万维网的认证的一个缺点在于，它需要用户交互，这禁止了快速认证(用户需要数秒钟来输入其凭证)。即使在使这个过程自动化时(这损害安全性，因为凭证则必须存储在用户的装置中)，这个选择也无法实现在不产生可听到的影响的情况下保持基于网际协议的语音(VoIP)会话所需的100毫秒切换时间。

基于EAP的方法需要到后端AAA服务器的一个或多个往返行程，这在当今网络中很可能需要数秒钟。更安全的方法的一部分、如EAP-SIM也使用与用户装置上的SIM卡的交互，这增加了附加延迟。整个基于EAP的解决方案通常在其最佳状态下实现2秒认证(在实际设定中)。