專利名稱:在由認(rèn)證服務(wù)器檢查客戶機(jī)證書的同時(shí)由dhcp服務(wù)器進(jìn)行地址分配的制作方法
技術(shù)領(lǐng)域:
本發(fā)明一般涉及遠(yuǎn)程通信(telecommunication),特別是涉及無線通
背景技術(shù):
許多通信系統(tǒng)向無線裝置的用戶對于不同類型的服務(wù)�。在特定無 線服務(wù)中,無線通信網(wǎng)絡(luò)可使無線裝置用戶交換對等和/或客戶機(jī)-服務(wù) 器消息�,它們可能只是文本消息或者包括例如數(shù)據(jù)和/或視頻等多媒體 內(nèi)容。信息的這種交換涉及通過逐步地使消息向其目的地前進(jìn)的多個(gè) 網(wǎng)絡(luò)路由器來建立源裝置與目標(biāo)裝置之間的連接�。
對于對數(shù)據(jù)或通信接入網(wǎng)的接入控制其中還需要對用戶的認(rèn)證。 無線用戶還可要求網(wǎng)絡(luò)的認(rèn)證��,特別是因?yàn)轶w現(xiàn)有效網(wǎng)絡(luò)所需的技術(shù) 變得便宜且廣泛可用��,尤其是在基于電氣和電子工程師協(xié)會 (正EE)802.11的網(wǎng)絡(luò)的情況下��。認(rèn)證過程必須是安全的�,但是,特別 是在用戶具有正進(jìn)行會話的同時(shí)進(jìn)行的切換期間�����,它還必須是快速的。 本發(fā)明提供一種解決方案����,它代表這兩個(gè)要求、即快速且充分安全之 間的良好折衷�。例如,在較大的多域網(wǎng)絡(luò)中���,其中動態(tài)主機(jī)配置協(xié)議 (DHCP)服務(wù)器(通常位于來自客戶機(jī)的分組經(jīng)過的網(wǎng)關(guān)����、第 一路由器和 /或交換機(jī)中)沒有關(guān)于可能嘗試進(jìn)行連接的客戶機(jī)的先驗(yàn)知識(例如企 業(yè)網(wǎng)絡(luò)中的情況可能是這樣)���。動態(tài)主機(jī)配置協(xié)議(DHCP)是用于對將網(wǎng) 際協(xié)議(EP)地址分配給裝置以便連接到網(wǎng)絡(luò)進(jìn)行管理和自動化的通信 協(xié)議���。
一般來說,無線LAN包括無線接入點(diǎn)(AP),它與網(wǎng)絡(luò)適配器進(jìn)行 通信以便擴(kuò)展有線LAN���。具有符合Wi-Fi的無線通信裝置的用戶可使
用具有也基于IEEE 802.11標(biāo)準(zhǔn)的其它品牌的客戶機(jī)硬件的任何類型 的接入點(diǎn)。術(shù)語"Wi-Fi"�����、即無限保真的縮寫形式由Wi-Fi聯(lián)盟發(fā)布, 以表示任何類型的基于IEEE 802.11標(biāo)準(zhǔn)的裝置或網(wǎng)絡(luò)�,無論是 802.11a、 802.11b�����、 802.11g還是雙頻等�����。Wi-Fi聯(lián)盟是促進(jìn)根據(jù)正EE 802.11規(guī)范的無線組網(wǎng)(networking)配置的工業(yè)聯(lián)盟����。但是,使用例如 802.11b或llg的2.4GHz�����、 802.11a的5GHz之類的相同射頻(RF)信號 的任何符合Wi-Fi的無線通信裝置通?��?膳c任何其它無線通信裝置配 合工作����。
然而,不管所采用的網(wǎng)絡(luò)的頻率范圍使用或類型�,在給予無線通 信裝置的用戶對WAN的訪問權(quán)之前,通常對該用戶進(jìn)行認(rèn)證�。因此, 大多數(shù)已部署Wi-Fi熱點(diǎn)要求用戶根據(jù)用戶名和密碼進(jìn)行認(rèn)證���。除了 這種認(rèn)證之外�,可部署認(rèn)證的其它解決方案��,例如其中基于IEEE 802.1x標(biāo)準(zhǔn)的認(rèn)證過程也是可用的����。
有線環(huán)境更為復(fù)雜。例如����,熱點(diǎn)通常使用用戶的基于萬維網(wǎng)的認(rèn)證, 即��,用戶必須在用戶首次進(jìn)入熱點(diǎn)時(shí)彈出的網(wǎng)頁上輸入用戶名和密碼�����。 越來越流行的另一種技術(shù)是IEEE 802.lx�,它使用EAPOL(LAN的擴(kuò)展 認(rèn)證協(xié)議(EAP))協(xié)議來建立與給定接入點(diǎn)的安全認(rèn)證關(guān)聯(lián)。EAP最初 用于通常在基于PPP的認(rèn)證中使用的撥號連接�����。
在認(rèn)證之后���,以上所有方法的共同點(diǎn)在于�����,在可進(jìn)行通信之前還 必須進(jìn)行地址獲取�。這通常使用DHCP,它增加另一個(gè)延遲����。由因特 網(wǎng)工程師任務(wù)組(正TF)發(fā)布和協(xié)調(diào)的"請求注釋"(RFC)文檔描述一種 非正式因特網(wǎng)標(biāo)準(zhǔn),例如RFC2131描述DHCP協(xié)議�����,它說明性地用于 描述本發(fā)明��。雖然DHCP規(guī)范中完全沒有防止客戶機(jī)在一接收到就立 即使用"DHCP OFFER(要約)�����,,中存在的IP地址�����,但是典型的當(dāng)前實(shí)現(xiàn) 等待^接收到最終DHCP響應(yīng)����。這種方法不一定是限制。RFC3118描述 DHCP消息的認(rèn)證����。這定義一種對于實(shí)現(xiàn)本發(fā)明所需的消息和數(shù)據(jù)交 換進(jìn)行編碼的可能方式,并實(shí)現(xiàn)消息和相互認(rèn)證的完整性保護(hù)����。
基于萬維網(wǎng)的認(rèn)證的一個(gè)缺點(diǎn)在于,它需要用戶交互����,這禁止了 快速認(rèn)證(用戶需要數(shù)秒鐘來輸入其憑證)。即使在使這個(gè)過程自動化 時(shí)(這損害安全性��,因?yàn)閼{證則必須存儲在用戶的裝置中)�����,這個(gè)選擇 也無法實(shí)現(xiàn)在不產(chǎn)生可聽到的影響的情況下保持基于網(wǎng)際協(xié)議的語音
(VoIP)會話所需的100毫秒切換時(shí)間。
基于EAP的方法需要到后端AAA服務(wù)器的 一個(gè)或多個(gè)往返行程�����, 這在當(dāng)今網(wǎng)絡(luò)中很可能需要數(shù)秒鐘�����。更安全的方法的一部分����、如 EAP-SIM也使用與用戶裝置上的SIM卡的交互��,這增加了附加延遲��。 整個(gè)基于EAP的解決方案通常在其最佳狀態(tài)下實(shí)現(xiàn)2秒認(rèn)證(在實(shí)際 設(shè)定中)�。
RFC3118規(guī)定,DHCP服務(wù)器必須具有或者能夠檢索所有客戶機(jī) 的密鑰���。在網(wǎng)絡(luò)的各DHCP服務(wù)器上存儲所有客戶機(jī)的密鑰沒有適當(dāng) 調(diào)節(jié)(scale)(是不可管理的)����,并且根據(jù)需要通過某個(gè)后端網(wǎng)絡(luò)來檢索客 戶機(jī)密鑰不是安全的�。附錄A中描述的生成秘密主密鑰并發(fā)出各客戶 機(jī)的密鑰K=MAC(MK,唯一標(biāo)識)的技術(shù)僅適用于小規(guī)^莫網(wǎng)絡(luò)�,其中 DHCP服務(wù)器預(yù)先知道所有客戶機(jī)��。在第9.2小節(jié)��,RFC3118規(guī)范指 明��,"延遲認(rèn)證不支持域間認(rèn)證"(因?yàn)樗鼪]有適當(dāng)調(diào)節(jié))��。
發(fā)明內(nèi)容
下面提供本發(fā)明的簡化概述��,以便提供對本發(fā)明的一些方面的基 本了解���。這種概述不是本發(fā)明的詳盡綜述���。不是要識別本發(fā)明的關(guān)鍵/ 重要元件或者描述本發(fā)明的范圍。其唯一目的是以簡化形式提供某些 概念���,作為稍后論述的更詳細(xì)描述的序言��。
本發(fā)明針對解決或者至少減小上述問題的一個(gè)或多個(gè)的影響�����。 在本發(fā)明的一個(gè)實(shí)施例中����,才是供一種方法,用于在具有實(shí)現(xiàn)對與 無線網(wǎng)絡(luò)關(guān)聯(lián)的服務(wù)器的訪問的地址的無線網(wǎng)絡(luò)上認(rèn)證客戶機(jī)�。在一 個(gè)實(shí)施例中, 一種方法要求響應(yīng)客戶機(jī)與服務(wù)器之間通過無線網(wǎng)絡(luò)的 通信�,在根據(jù)來自客戶機(jī)的對于來自服務(wù)器的第一詢問的笫 一響應(yīng)以
及來自服務(wù)器的對于來自客戶機(jī)的第二詢問的第二響應(yīng)來完成認(rèn)證客 戶機(jī)之前,將地址分配給客戶機(jī)以便提供對無線網(wǎng)絡(luò)的訪問�����。
在另 一個(gè)實(shí)施例中��,無線客戶機(jī)-服務(wù)器通信系統(tǒng)向具有實(shí)現(xiàn)對與
Wi-Fi網(wǎng)絡(luò)關(guān)聯(lián)的服務(wù)器的訪問的地址的Wi-Fi網(wǎng)絡(luò)認(rèn)證客戶機(jī)��。無線 客戶機(jī)-服務(wù)器通信系統(tǒng)可包括客戶機(jī)和服務(wù)器�����?����?蛻魴C(jī)包括客戶機(jī)模 塊����,它存儲用于通過與無線網(wǎng)絡(luò)關(guān)聯(lián)的接入點(diǎn)向無線網(wǎng)絡(luò)進(jìn)行相互認(rèn) 證的指令。服務(wù)器可適合于使用認(rèn)證器與客戶機(jī)進(jìn)行通信��,服務(wù)器包 括存儲響應(yīng)客戶機(jī)與服務(wù)器之間通過無線網(wǎng)絡(luò)的通信而向無線網(wǎng)絡(luò)相 互認(rèn)證客戶機(jī)的指令的服務(wù)器模塊��,認(rèn)證器在根據(jù)來自客戶機(jī)的對來 自服務(wù)器的第 一詢問的第 一響應(yīng)以及來自服務(wù)器的對來自客戶機(jī)的笫 二詢問的第二響應(yīng)來完成認(rèn)證客戶機(jī)之前���,將地址分配給客戶機(jī)以便 提供對Wi-Fi網(wǎng)絡(luò)的訪問�����。
在又一個(gè)實(shí)施例中�����,無線客戶機(jī)-服務(wù)器通信系統(tǒng)中的客戶機(jī)向具
機(jī)��?��?蛻魴C(jī)包括存儲通過中間服務(wù)器向服務(wù)器才莫塊進(jìn)行相互認(rèn)證的指
令,中間服務(wù)器響應(yīng)客戶才;i4莫塊與服務(wù)器模塊之間通過接入網(wǎng)的通信���, 在根據(jù)來自客戶機(jī)的對來自服務(wù)器的第 一詢問的第 一響應(yīng)以及來自服 務(wù)器的對來自客戶機(jī)的第二詢問的第二響應(yīng)來完成認(rèn)證客戶機(jī)之前�����, 將地址分配給客戶機(jī)以便提供對接入網(wǎng)的訪問��。
在又一個(gè)實(shí)施例中����,無線客戶機(jī)-服務(wù)器通信系統(tǒng)中的服務(wù)器向具 有實(shí)現(xiàn)對與接入網(wǎng)關(guān)聯(lián)的服務(wù)器的訪問的地址的接入網(wǎng)認(rèn)證客戶機(jī)。 服務(wù)器包括存儲通過中間服務(wù)器對客戶機(jī)模塊進(jìn)行相互認(rèn)證的指令����, 中間服務(wù)器響應(yīng)客戶才;i4莫塊與服務(wù)器模塊之間通過接入網(wǎng)的通信,在 根據(jù)來自卑> 機(jī)的對來自服務(wù)器的第 一詢問的第 一響應(yīng)以及來自服務(wù) 器的對來自客戶機(jī)的笫二詢問的第二響應(yīng)來完成認(rèn)證客戶才幾之前����,將 地址分配給客戶機(jī)以便提供對接入網(wǎng)的訪問���。
通過參照以下結(jié)合附圖的描述�,可理解本發(fā)明�,附圖中相似的參
考標(biāo)號標(biāo)識相似的要素,以及附圖包括
圖1示意性示出接入網(wǎng)的一個(gè)實(shí)施例�,其中根據(jù)本發(fā)明的一個(gè)實(shí) 施例,客戶才幾和4矣入網(wǎng)可相互認(rèn)證����;
圖2示出根據(jù)本發(fā)明的一個(gè)實(shí)施例����,在客戶機(jī)��、具有作為DHCP 服務(wù)器的中間服務(wù)器的網(wǎng)關(guān)與AAA服務(wù)器之間的客戶機(jī)與服務(wù)器之 間的交互��;
圖3示意性示出根據(jù)本發(fā)明的一個(gè)實(shí)施例的無線客戶機(jī)-服務(wù)器通 信系統(tǒng)�����,包括與AAA服務(wù)器耦合以便與Wi-Fi網(wǎng)絡(luò)相互認(rèn)證的移動裝 置�;以及
圖4示出根據(jù)本發(fā)明的一個(gè)實(shí)施例、用于實(shí)現(xiàn)認(rèn)證圖1所示的接 入網(wǎng)上的客戶機(jī)的方法的程式化表示����。
雖然本發(fā)明可容許各種修改和備選形式,但通過示例在附圖中示 出它的具體實(shí)施例�,并且在本文進(jìn)行詳細(xì)描述。不過��,應(yīng)當(dāng)理解����,本 文對具體實(shí)施例的描述不是意在將本發(fā)明限制于所公開的特定形式�,
相反�,目的是包括落入權(quán)利要求書所規(guī)定的本發(fā)明的精神和范圍之內(nèi) 的所有修改、等效和備選方案����。
具體實(shí)施例方式
下面描述本發(fā)明的說明性實(shí)施例。為了清楚起見��,在本說明中并 非描述實(shí)際實(shí)現(xiàn)的全部特征����。大家當(dāng)然理解,在任何這種實(shí)際實(shí)施例 的開發(fā)中����,可進(jìn)行許多實(shí)現(xiàn)特定的判定以便實(shí)現(xiàn)開發(fā)人員的特定目的、 例如與系統(tǒng)相關(guān)及業(yè)務(wù)相關(guān)限制的一致性�,它們對每個(gè)實(shí)現(xiàn)有所不同���。 另外�,大家應(yīng)當(dāng)理解��,這種開發(fā)工作可能是復(fù)雜且費(fèi)時(shí)的�,但是仍然 可以是獲益于本公開的本領(lǐng)域的技術(shù)人員進(jìn)行的日常事務(wù)����。
一般來說�����,提供一種方法和裝置�����,用于在具有實(shí)現(xiàn)對與無線網(wǎng)絡(luò) 關(guān)聯(lián)的服務(wù)器的訪問的地址的無線網(wǎng)絡(luò)上認(rèn)證客戶機(jī)���。在一個(gè)實(shí)施例
中���, 一種方法要求響應(yīng)客戶機(jī)與服務(wù)器之間通過無線網(wǎng)絡(luò)的通信,在 根據(jù)來自客戶機(jī)的對來自服務(wù)器的第 一詢問的第 一響應(yīng)以及來自服務(wù) 器的對來自客戶機(jī)的第二詢問的第二響應(yīng)來完成認(rèn)證客戶機(jī)之前����,將 地址分配給客戶機(jī)以便提供對無線網(wǎng)絡(luò)的訪問。無線通信系統(tǒng)包括移
動裝置上的客戶積4莫塊�,用于通過與Wi-Fi網(wǎng)絡(luò)關(guān)聯(lián)的接入點(diǎn)向Wi-Fi 網(wǎng)絡(luò)進(jìn)行認(rèn)證。為了進(jìn)行認(rèn)證����,中間服務(wù)器可使服務(wù)器模塊能夠根據(jù) 通過中間服務(wù)器與客戶枳4莫塊的信令消息的交換來與客戶枳^莫塊進(jìn)行 相互認(rèn)證����。通過在一接收到就立即地及早接收或使用來自"要約�,,的IP 地址��,無線通信系統(tǒng)可減少認(rèn)證時(shí)間��。
參照圖l���,示意性示出接入網(wǎng)100,其中根據(jù)本發(fā)明的一個(gè)實(shí)施例��, 客戶機(jī)105和網(wǎng)絡(luò)100可相互認(rèn)證�����。為了在無線網(wǎng)絡(luò)��、如Wi-Fi網(wǎng)絡(luò) 上的客戶機(jī)105的相互認(rèn)證����,具有地址110的接入網(wǎng)100可實(shí)現(xiàn)對服 務(wù)器115����、如認(rèn)證、授權(quán)和計(jì)費(fèi)(AAA)服務(wù)器的訪問��。但是��,網(wǎng)絡(luò)接入 服務(wù)器(NAS)服務(wù)器或協(xié)議所希望的三種服務(wù)在邏輯上可以是獨(dú)立的�����, 并且可單獨(dú)實(shí)現(xiàn)�����。另外���,這樣一種網(wǎng)絡(luò)接/UI良務(wù)器可包括提供對接入 網(wǎng)100的訪問的一個(gè)或多個(gè)調(diào)制解調(diào)器�����,從而允許連接到調(diào)制解調(diào)器 其中之一的用戶訪問才秦入網(wǎng)100�。
接入網(wǎng)100還可包括網(wǎng)關(guān)122,它確定哪一個(gè)AAA服務(wù)器屬于給 定域��,并且(在已知時(shí))生成(隨機(jī))client—challenge�。網(wǎng)關(guān)122可選擇客 戶才幾105的地址110、如IP地址���,并將它回送����。網(wǎng)關(guān)122可實(shí)現(xiàn)對IP 地址的通信(對于大于服務(wù)器115、即AAA服務(wù)器的典型響應(yīng)時(shí)間的 時(shí)限周期)�。網(wǎng)關(guān)122還可表示(formulate)包含server—challenge和 client—challenge的認(rèn)證請求,并將它發(fā)送給適當(dāng)?shù)腁AA服務(wù)器�。
為了認(rèn)證客戶機(jī)105,接入網(wǎng)100可通過中間服務(wù)器125來交換 客戶機(jī)方通信120a和服務(wù)器方通信120b。中間服務(wù)器125的示例可 使用例如動態(tài)主機(jī)配置協(xié)議(DHCP)等通信協(xié)議��。通過使用DHCP協(xié) 議��,中間服務(wù)器125可自動分配接入網(wǎng)100中的地址110���、如網(wǎng)際協(xié) 議(IP)地址����。這樣�����,基于DHCP協(xié)議的中間服務(wù)器125可使客戶機(jī)105
連接到接入網(wǎng)100并自動分配IP地址��。
為了在認(rèn)證客戶機(jī)105之前提供對接入網(wǎng)100的訪問,客戶機(jī)方 通信120a和服務(wù)器方通信120b這兩者中的至少一個(gè)可發(fā)起通信����,例 如中間服務(wù)器125或者反之����,DHCP服務(wù)器可將地址110分配給客戶 機(jī)105。
響應(yīng)客戶機(jī)105與月良務(wù)器115之間通過4妄入網(wǎng)100的通信�,中間 服務(wù)器125可在完成認(rèn)證客戶機(jī)105之前將地址110分配給客戶機(jī) 105,以便提供對接入網(wǎng)100的訪問。中間服務(wù)器125可根據(jù)來自客戶 機(jī)105的對來自服務(wù)器115的第一詢問135a的第一響應(yīng)130a以及來 自服務(wù)器115的對來自客戶機(jī)105的第二詢問135b的第二響應(yīng)130b 來認(rèn)證客戶才幾105���。
網(wǎng)關(guān)122可把來自客戶機(jī)105的第一響應(yīng)130a與來自服務(wù)器115 的第二響應(yīng)130b進(jìn)行比較�����。如果兩個(gè)響應(yīng)匹配�����,則它表示客戶機(jī)105 知道密碼并凈皮認(rèn)證���。網(wǎng)關(guān)122不知道客戶機(jī)105的密碼,而是僅知道 響應(yīng)�����。網(wǎng)關(guān)122從服務(wù)器115 了解響應(yīng)應(yīng)當(dāng)是什么,并且如果客戶機(jī) 105實(shí)際上提供該響應(yīng)���,則表示客戶機(jī)105是有效的���。
服務(wù)器115、如AAA服務(wù)器可計(jì)算或整理(digest)客戶機(jī)105的第 一詢問135a和密碼及其它信息位���??蛻魴C(jī)105可等待到預(yù)定數(shù)量的時(shí) 間周期之后才開始使用地址110,并且客戶機(jī)105不會預(yù)計(jì)對例如嵌 入一個(gè)或多個(gè)DHCP消息中的認(rèn)證的詢問��。
為此�,網(wǎng)關(guān)122可包括服務(wù)器115,它包括有責(zé)任甚至在由認(rèn)證 服務(wù)器115完成認(rèn)證之前向客戶機(jī)105及早提供訪問權(quán)的認(rèn)證器140。 認(rèn)證器140可在根據(jù)來自客戶機(jī)105的第一響應(yīng)130a以及來自服務(wù)器 105的第二響應(yīng)130b來完成認(rèn)證客戶機(jī)105之前��,將地址110分配給 客戶機(jī)105,以便提供對Wi-Fi網(wǎng)絡(luò)的訪問�����。認(rèn)證器140可4矣收第一響 應(yīng)130a和第二響應(yīng)130b�����,以便根據(jù)所述笫一和第二響應(yīng)來完成向月良 務(wù)器115認(rèn)證客戶機(jī)105。
服務(wù)器115�����、即AAA服務(wù)器可包括服務(wù)器模塊145,它與包含用
戶名�����、密碼和其它相關(guān)信息的訂戶信息的數(shù)據(jù)庫(dB)接口�����。服務(wù)器模 塊145可存儲響應(yīng)客戶機(jī)105與服務(wù)器115之間通過例如無線網(wǎng)絡(luò)的 通信而向接入網(wǎng)100相互認(rèn)證客戶機(jī)105的指令����。為了驗(yàn)證客戶機(jī)105 ����, 數(shù)據(jù)庫150可包括客戶機(jī)密碼或者訂戶數(shù)據(jù)庫中存儲的其它秘密指 示。
根據(jù)一個(gè)實(shí)施例����,客戶機(jī)105可包括客戶機(jī)模塊155,它存儲用 于例如通過與無線網(wǎng)絡(luò)關(guān)聯(lián)的接入點(diǎn)(AP)向接入網(wǎng)100進(jìn)行相互認(rèn)證 的指令���。通過使用認(rèn)證器140,服務(wù)器115可適合與客戶機(jī)105進(jìn)行 通信��,并通過將認(rèn)證與地址獲取結(jié)合��,來減小不可進(jìn)行通信的周期�。 認(rèn)證器140可在服務(wù)器115檢驗(yàn)客戶機(jī)105的憑證的同時(shí)實(shí)現(xiàn)對接入 網(wǎng)100的及早訪問。認(rèn)證器140可將認(rèn)證與地址區(qū)域結(jié)合�����,并且允許 客戶機(jī)105使用及早發(fā)出的地址110����、如IP地址,而無需等待接收到 7十DHCP的響應(yīng)����。
當(dāng)客戶機(jī)105第一次進(jìn)入無線覆蓋區(qū)域時(shí),并且在基于相互詢問-響應(yīng)的認(rèn)證(它始終需要至少3條消息)的情況下�,認(rèn)證器140可能不是 需要的或者不如上述情況中那么有效。采用及早準(zhǔn)入的快速相互認(rèn)證 可減少客戶機(jī)終端或裝置可使用接入網(wǎng)IOO之前所需的時(shí)間���。這樣一
種極大減少的時(shí)間在與現(xiàn)有會話的切換期間極為重要���。
由于認(rèn)證是相互的�、即客戶機(jī)105與接入網(wǎng)100通信以及接入網(wǎng) 100與客戶機(jī)105通信�����,因此����,如果客戶機(jī)105包括認(rèn)證器140但接 入網(wǎng)IOO不包括,則認(rèn)證序列可降低到缺省DHCP過程�?����?蛻魴C(jī)105 仍然可繼續(xù)進(jìn)行��,可能警告用戶關(guān)于這是不安全連接(使得用戶則例如 可使用虛擬專用網(wǎng)絡(luò)(VPN))����。但是,當(dāng)來自中間服務(wù)器125的"DHCP 要約"消息不包含client—challenge時(shí)��,可檢測到這種情況���。
如果如上所述接入網(wǎng)IIO支持相互認(rèn)證����,^f旦客戶才幾105不支持, 則接入網(wǎng)100可有選擇地根據(jù)某個(gè)策略來i人證這類客戶4幾����。當(dāng)初始 "Discover(發(fā)現(xiàn)),���,消息不包含serve匸challenge時(shí)�,情況就是這樣���?���?筛?用備選認(rèn)證�����,例如基于萬維網(wǎng)等�����。這樣����,認(rèn)證器140可與其它認(rèn)證方
法共存���。在一個(gè)實(shí)施例中,附加特性可包括將移動IP登記相關(guān)信息添
加到初始"DHCP要約"中以及將服務(wù)質(zhì)量(QoS)協(xié)商相關(guān)參數(shù)添加到初 始"DHCP要約��,���,中���。
參照圖2,根據(jù)本發(fā)明的一個(gè)實(shí)施例���,示出客戶機(jī)105、具有作為 DHCP服務(wù)器的中間服務(wù)器125的網(wǎng)關(guān)122與作為AAA服務(wù)器的服務(wù) 器115之間的客戶機(jī)方通信120a和服務(wù)器方通信120b����。在框200,客 戶機(jī)105可生成server—challenge,并且在"DHCP發(fā)現(xiàn)���,�����,廣播[B]205中 將其加上用戶名和域(例如client幼domain.com)—起發(fā)送�。作為 一個(gè)示 例,對于DHCP,可通過使用'siaddr����,字段中的公開IP地址來實(shí)現(xiàn)域。
在框210��,網(wǎng)關(guān)122可確定AAA服務(wù)器���,即���,在給定域中"DHCP 發(fā)現(xiàn)"廣播[B]205所屬的服務(wù)器115。如果為已知�����,則網(wǎng)關(guān)122可生成 client—challenge �����。網(wǎng)關(guān)122還可選擇客戶機(jī)105的地址110�����、如IP地址, 并將它回送�����,其中包含client—challenge�����。網(wǎng)關(guān)122可實(shí)現(xiàn)對這個(gè)IP地 址的通信(例如在大于AAA服務(wù)器]15的典型響應(yīng)時(shí)間的時(shí)限周期)���。 網(wǎng)關(guān)122可表示包含server—challenge和client—challenge的認(rèn)證請求, 并將它發(fā)送給AAA服務(wù)器115�����。網(wǎng)關(guān)122可根據(jù)RADIUS或Diameter 協(xié)議來實(shí)現(xiàn)通信����。
在框220��,客戶機(jī)105可接收IP地址��,并立即開始使用它��。此外���, 客戶機(jī)105可通過根據(jù)與AAA服務(wù)器115共享的密鑰(例如密碼���,響 應(yīng)是密碼和詢問的某個(gè)加密函數(shù),如MD5或SHA1)計(jì)算響應(yīng)��,來響應(yīng) 從網(wǎng)關(guān)122所接收的client—challenge�。在DHCP請求225中向網(wǎng)關(guān)122 回送這個(gè)響應(yīng)。
在框230����, AAA服務(wù)器115可在數(shù)據(jù)庫150中查找用戶。AAA服 務(wù)器115.可根據(jù)與客戶機(jī)105共享的密鑰來計(jì)算client_chaUenge和 server_cliallenge的響應(yīng)����。AAA服務(wù)器115可采用對兩個(gè)詢問的認(rèn)證響 應(yīng)235以及與用戶的會話相關(guān)的其它參數(shù)來響應(yīng)網(wǎng)關(guān)。如果在數(shù)據(jù)庫 150中沒有找到該用戶��,則AAA服務(wù)器115可以完全不進(jìn)行響應(yīng)�����。
在框240, —旦網(wǎng)關(guān)122在對兩個(gè)詢問的認(rèn)證響應(yīng)235中接收到
兩個(gè)響應(yīng)���,網(wǎng)關(guān)122可比較結(jié)果�。如果來自客戶機(jī)105的對 client—challenge的響應(yīng)匹配來自服務(wù)器115的響應(yīng),則向接入網(wǎng)100 成功地認(rèn)證了客戶機(jī)105���。如果不存在匹配或者服務(wù)器115返回了錯(cuò) 誤���,則認(rèn)證失敗,并且網(wǎng)關(guān)122阻塞對于先前分配給客戶機(jī)105的地 址110的所有業(yè)務(wù)�。如果在發(fā)出EP地址時(shí)啟動的定時(shí)器解除(fire),貝'J 這被看作是來自AAA服務(wù)器115的失敗響應(yīng)。
在成功的情況下�����,網(wǎng)關(guān)122停止定時(shí)器��,并向客戶機(jī)105回送 DHCP響應(yīng)[U]245,確認(rèn)所分配的IP地址����。網(wǎng)關(guān)122包括服務(wù)器對 server—challenge的響應(yīng)以及AAA服務(wù)器155所提供的其它預(yù)期參數(shù), 例如所分配QoS資源和極限����、其它配置參數(shù)等���。在失敗的情況下����,網(wǎng) 關(guān)122向客戶機(jī)105回送DHCP拒絕響應(yīng),其中可能具有指示相互認(rèn) 證失敗的原因代碼����。在框255,客戶機(jī)接收來自網(wǎng)關(guān)的DHCP響應(yīng) [U]245�。如果認(rèn)證成功,則客戶機(jī)105可計(jì)算server—challenge的響應(yīng)�, 并檢驗(yàn)月良務(wù)器115的響應(yīng)是否與其匹配。如果不匹配��,則客戶機(jī)105 可有選擇地終止(seize)所有通信��,因?yàn)榻尤刖W(wǎng)100未被認(rèn)證�����。備選地�, 客戶機(jī)105可使用它作為關(guān)于希望安全通信(例如使用虛擬專用網(wǎng)絡(luò) (VPN))的指示。換言之���,客戶機(jī)105可自擔(dān)風(fēng)險(xiǎn)地繼續(xù)進(jìn)行��。
參照圖3,根據(jù)本發(fā)明的一個(gè)實(shí)施例����,示出一種無線客戶機(jī)-服務(wù) 器通信系統(tǒng)300,包括與AAA服務(wù)器115耦合以便與Wi-Fi網(wǎng)絡(luò)310 相互認(rèn)證的移動裝置305��。在一個(gè)實(shí)施例中����,移動裝置305可通過Wi-Fi 網(wǎng)絡(luò)310向服務(wù)器115發(fā)送請求消息,以便登錄到Wi-Fi熱點(diǎn)315�����。也 就是說����,可能希望用于交換網(wǎng)際協(xié)議(IP)數(shù)據(jù)分組的數(shù)據(jù)連接。
常規(guī)Wi-Fi網(wǎng)絡(luò)使用2.4千兆赫茲(GHz)范圍的射頻(RF)在Wi-Fi 啟用計(jì)算或通信裝置與包括無線通信啟用聯(lián)網(wǎng)(networked)裝置在內(nèi)的 其它基于處理器的裝置之間傳送數(shù)據(jù)���。各無線通信啟用聯(lián)網(wǎng)裝置包括 收發(fā)器�����。Wi-Fi網(wǎng)絡(luò)通常包括無線路由器�,它與Wi-Fi啟用計(jì)算或通信 裝置、如計(jì)算機(jī)進(jìn)行通信��。Wi-Fi網(wǎng)絡(luò)的最常見形式基于IEEE 802.1 lx 標(biāo)準(zhǔn)(x: a��、 b���、 g等)。根據(jù)當(dāng)?shù)胤ㄒ?guī)��,IEEE 802.11標(biāo)準(zhǔn)允許4吏用2.4 GHz
頻率范圍中的總共十四個(gè)Wi-Fi信道�。
Wi-Fi熱點(diǎn)315可包括支持Wi-Fi網(wǎng)絡(luò)310的多個(gè)4矣入點(diǎn) (AP)320(l-n)。與Wi-Fi網(wǎng)絡(luò)310關(guān)聯(lián)的多個(gè)接入點(diǎn)(AP)320(l-n)可提供 對數(shù)據(jù)網(wǎng)絡(luò)����、如因特網(wǎng)的訪問。為了向授權(quán)用戶提供無線服務(wù)����,移動 裝置305可向Wi-Fi網(wǎng)絡(luò)310相互認(rèn)證該用戶。也就是說�,可通過無 線連接330在移動裝置305與Wi-Fi網(wǎng)絡(luò)310之間交換信令消息。
無線客戶機(jī)-服務(wù)器通信系統(tǒng)300的示例包括基于通用移動電信系 統(tǒng)(UMTS)協(xié)議的笫三代(3G)網(wǎng)絡(luò)�,但是應(yīng)當(dāng)理解,本發(fā)明可適用于支 持多^某體數(shù)據(jù)�、光和/或語音通信的其它系統(tǒng)或協(xié)議����。例如���,可使用諸 如代碼域多址(CDMA)和GSM網(wǎng)絡(luò)的通用分組無線業(yè)務(wù)(GPRS)之類 的協(xié)議��。也就是說��,但是要理解���,圖3的無線客戶機(jī)-服務(wù)器通信系統(tǒng) 300的配置實(shí)際上是示范,并且在不背離本發(fā)明的精神和范圍的前提 下���,更少或者附加組件可用于無線客戶機(jī)-服務(wù)器通信系統(tǒng)300的其它 實(shí)施例中�����。
根據(jù)一個(gè)實(shí)施例�,無線客戶機(jī)J良務(wù)器通信系統(tǒng)300可包括一個(gè)或 多個(gè)數(shù)據(jù)網(wǎng)絡(luò)��,這樣一種網(wǎng)際協(xié)議(IP)網(wǎng)絡(luò)包括因特網(wǎng)和公共電話系統(tǒng) (PSTN)����。在無線客戶機(jī)-服務(wù)器通信系統(tǒng)300中��,Wi-Fi網(wǎng)絡(luò)120可基 于無線網(wǎng)絡(luò)協(xié)議�����,它使用未調(diào)整頻譜來建立連接,例如移動裝置305 與Wi-Fi網(wǎng)絡(luò)310之間的無線連接��。例如�����,通過無線連接�,用戶通常 傳遞包括語音、數(shù)據(jù)和視頻內(nèi)容的高速多i某體信息�����。
移動裝置305可采取各種裝置的任一種的形式����、如移動終端,其 中包括蜂窩電話�����、個(gè)人數(shù)字助理(PDA)、膝上型計(jì)算機(jī)����、數(shù)字尋呼機(jī)、 無線卡以及能夠訪問Wi-Fi網(wǎng)絡(luò)310的任何其它裝置�����。Wi-Fi網(wǎng)絡(luò)310 可與基站接口 ����,以便例如對于蜂窩WAN來建立與移動裝置305通信 鏈路。接入點(diǎn)125可支持作為區(qū)分WLAN的唯一標(biāo)簽的月良務(wù)集標(biāo)識符 (SSID)所標(biāo)識的多個(gè)虛擬網(wǎng)絡(luò)的4是供�����。
通過相互認(rèn)證移動裝置305和Wi-Fi網(wǎng)絡(luò)310�,無線客戶機(jī)-服務(wù) 器通信系統(tǒng)300中的包括Wi-Fi用戶認(rèn)證器140a的接入點(diǎn)控制器340
可在Wi-Fi熱點(diǎn)315為許多授權(quán)用戶提供對接入點(diǎn)320(1)的訪問。當(dāng) 然�,Wi-Fi熱點(diǎn)133有時(shí)稱作Wi-Fi網(wǎng)絡(luò)310。認(rèn)證過程可涉及從無線 通信裝置115發(fā)送請求消息135����,并且又通過無線連接130、例如來自 WAN的無線連接來接收應(yīng)答消息��。
在一個(gè)實(shí)施例中,移動裝置305可包括Wi-Fi客戶機(jī)模塊345����。 Wi-Fi客戶機(jī)模塊345可包括指令、如軟件程序或固件��?���?芍辽俨糠滞?過電氣和電子工程師協(xié)會(IEEE)802.11x標(biāo)準(zhǔn)���、如x二a����、 b�、 g等來定義 Wi-Fi客戶沖;i^莫塊345。
同樣�,根據(jù)一個(gè)實(shí)施例,接入點(diǎn)125可包括Wi-Fi收發(fā)器����。Wi-Fi 用戶認(rèn)證器140a可包括用于提供網(wǎng)絡(luò)認(rèn)證的指令、如軟件程序或固 件�����。可至少部分通過電氣和電子工程師協(xié)會(正EE)802.11x標(biāo)準(zhǔn)來定義 服務(wù)器115上的服務(wù)器模塊145a,其中x為a�、 b、 g等����。
為了相互認(rèn)證無線客戶機(jī)-服務(wù)器通信系統(tǒng)300中的用戶,Wi-Fi 客戶4;i^莫塊345和服務(wù)器模塊145a可合作使用Wi-Fi用戶認(rèn)證器140a��。 在進(jìn)入Wi-Fi熱點(diǎn)315的空間時(shí)���,在一些實(shí)施例中�,可進(jìn)行Wi-Fi客戶 才/l^莫塊345與Wi-Fi用戶認(rèn)證器140a之間通過Wi-Fi接入點(diǎn)320(1)的 通信����。移動裝置105可在Wi-Fi熱點(diǎn)315上向Wi-Fi網(wǎng)絡(luò)310指明認(rèn)證 事件。當(dāng)用戶希望訪問Wi-Fi網(wǎng)絡(luò)310和/或移動裝置305與Wi-Fi熱 點(diǎn)315進(jìn)行交互以便訪問Wi-Fi網(wǎng)絡(luò)310時(shí)��,可生成iU正事件���。
響應(yīng)認(rèn)證事件��,Wi-Fi客戶機(jī)模塊345可與關(guān)聯(lián)服務(wù)器才莫塊145a 的Wi-Fi認(rèn)證器140a進(jìn)行交互���,以便允許移動裝置305連接到與Wi-Fi 網(wǎng)絡(luò)310關(guān)聯(lián)的接入點(diǎn)320(1)���。
現(xiàn)卑來看圖4,根據(jù)本發(fā)明的一個(gè)實(shí)施例����,示出用于實(shí)現(xiàn)認(rèn)證圖1 所示的接入網(wǎng)100上的客戶機(jī)105的方法的程式化表示。具有地址110 的接入網(wǎng)100可實(shí)現(xiàn)使客戶機(jī)105對服務(wù)器115的及早訪問���。在框400�, 可在中間服務(wù)器125上實(shí)現(xiàn)圖1所示的接入網(wǎng)100上的客戶機(jī)105的 相互認(rèn)證�����。為了向接入網(wǎng)IOO相互認(rèn)證客戶機(jī)105,可使用客戶機(jī)105 與服務(wù)器115之間的中間服務(wù)器125���。響應(yīng)客戶機(jī)105與服務(wù)器115
之間的連接通信,認(rèn)證器140可確定客戶機(jī)105和接入網(wǎng)100這兩者 中的至少 一個(gè)是否支持相互^人證協(xié)議���。
判定框405可以是客戶機(jī)105與關(guān)聯(lián)接入網(wǎng)100的中間服務(wù)器125 之間的連接通信����。在框410,網(wǎng)關(guān)122可響應(yīng)客戶機(jī)105與服務(wù)器115 之間通過接入網(wǎng)100的通信120a�、 120b,根據(jù)來自客戶機(jī)105的對來 自服務(wù)器115的第一詢問135a的笫一響應(yīng)130a以及來自服務(wù)器115 的對來自客戶機(jī)105的第二詢問135b的第二響應(yīng)130b來完成認(rèn)證客 戶機(jī)105之前�,將地址110分配^^客戶機(jī)105以便提供對4婁入網(wǎng)100 的i方問。
響應(yīng)確定接入網(wǎng)100不支持相互認(rèn)證協(xié)議��,在框415��,認(rèn)證器140 可對客戶機(jī)使用缺省認(rèn)證�,如框420所示。在框425a,認(rèn)證器140可 接收來自客戶機(jī)105的對來自服務(wù)器115的第一詢問135a的第 一響應(yīng) 130a���。在框425b���, ^人證器140可接收來自服務(wù)器115的對來自客戶機(jī) 105的第二詢問135b的第二響應(yīng)130b。
為了驗(yàn)證4是供給接入網(wǎng)100上的客戶機(jī)105的訪問權(quán)����,在判定框 430,認(rèn)證器140可從服務(wù)器115接收客戶機(jī)105的憑證的指示。在框 435,認(rèn)證器140可根據(jù)第一和第二響應(yīng)來完成向服務(wù)器115 i人證客戶 機(jī)105���。
通過使用客戶機(jī)105的憑證的指示����,認(rèn)證器140可向移動裝置305 提供對與Wi-Fi熱點(diǎn)315關(guān)聯(lián)的接入點(diǎn)320(1)的訪問。如果來自服務(wù) 器115的客戶機(jī)105的憑證的指示認(rèn)證該訪問���,則在框435�,認(rèn)證器 140可完成認(rèn)證客戶機(jī)105�����。但是���,如果來自服務(wù)器115的客戶機(jī)105 的憑證的指示無法認(rèn)證接入網(wǎng)100�����,則拒絕認(rèn)證器140可拒絕接入網(wǎng) 100上的客戶4幾105的訪問����。響應(yīng)確定客戶才幾105不支持相互認(rèn)證協(xié) 議���,在框445,認(rèn)證器140可使用預(yù)定策略來認(rèn)證客戶機(jī)105,如框 450所示��。
根據(jù)對計(jì)算機(jī)存儲器中的數(shù)據(jù)位的操作的軟件或算法和符號表示 來提供本發(fā)明的某些部分及對應(yīng)的詳細(xì)描述。這些描述和表示是本領(lǐng) 域的技術(shù)人員用于向本領(lǐng)域的其它技術(shù)人員有效地傳達(dá)其工作主旨的 方式�����。如本文所使用并且一般使用的術(shù)語"算法����,支認(rèn)為是產(chǎn)生預(yù)期結(jié) 果的步驟的獨(dú)立序列。步驟是要求物理量的物理處理的那些步驟���。這 些量通常但不一定采取能夠^皮存儲��、傳遞���、組合、比較或者以其它方 式處理的光�、電或磁信號的形式。主要為了一般使用的原因�,將這些 信號稱作位、值����、元素、符號���、字符����、項(xiàng)、編號等��,已經(jīng)證明有時(shí)非
常便利�����。
但應(yīng)當(dāng)記住���,所有這些及類似的項(xiàng)均與適當(dāng)?shù)奈锢砹筷P(guān)聯(lián)����,并且 只是應(yīng)用于這些量的便捷標(biāo)簽��。若無明確說明����,或者從論述中清楚地 知道,例如"處理"或"計(jì)算"或"運(yùn)算�����,�����,或者"確定��,���,或"顯示"等術(shù)語指
的是計(jì)算機(jī)系統(tǒng)或類似電子計(jì)算裝置的動作和過程��,其中所述計(jì)算機(jī) 系統(tǒng)或類似電子計(jì)算裝置處理表示為計(jì)算機(jī)系統(tǒng)的寄存器和存儲器中 的物理��、電子量的數(shù)據(jù)并將其轉(zhuǎn)換為以類似方式表示為計(jì)算機(jī)系統(tǒng)存 儲器或寄存器或者這種信息存儲��、傳送或顯示裝置中的物理量的其它 數(shù)據(jù)�。
還要注意�����,本發(fā)明的軟件實(shí)現(xiàn)方面通常在某種形式的程序存儲介 質(zhì)上被編碼或者通過某種類型的傳輸介質(zhì)來實(shí)現(xiàn)��。程序存儲介質(zhì)可以
是磁(例如軟盤或硬盤驅(qū)動器)或者光(例如只讀光盤存儲器即"CD ROM�����,,)�����,并且可以是只讀或隨才幾存取的��。類似地���,傳輸^h質(zhì)可以是雙 絞線�����、同軸電纜�����、光纖或者本領(lǐng)域已知的某種其它適當(dāng)?shù)膫鬏斀橘|(zhì)�����。 本發(fā)明不受任何給定實(shí)現(xiàn)的這些方面的限制���。
參照附圖描述了以上所述的本發(fā)明。僅為了便于說明并避免本領(lǐng) 域的技術(shù)人員公知的細(xì)節(jié)影響對本發(fā)明的理解,附圖中示意性示出各 種結(jié)構(gòu)�、系統(tǒng)和裝置。然而���,包含附圖以便描述和解釋本發(fā)明的說明 性示例。本文所使用的詞和短語應(yīng)當(dāng)^支理解和解釋為具有與本領(lǐng)域的 才支術(shù)人員理解那些詞和短語一致的含義��。本文中的術(shù)語或短語的一致 使用不是要暗示術(shù)語或短語的特殊定義����、即與本領(lǐng)域的技術(shù)人員所理 解的普通習(xí)慣含義不同的定義。到術(shù)語或短語意在具有特殊含義�����、即
不同于技術(shù)人員所理解的含義的程度時(shí)����,這種特殊定義將在說明書中 以直接明確提供術(shù)語或短語的特殊定義的定義方式來明確提出。
雖然本文中將本發(fā)明說明為可用于電信網(wǎng)絡(luò)環(huán)境����,但它還適用于 其它連接環(huán)境。例如�,上述裝置的兩個(gè)或更多可經(jīng)由裝置對裝置連接、
例如通過硬布線�、射頻信號(例如802.11(a)���、 802.11(b)、 802.11(g)��、藍(lán) 牙等)���、紅外線耦合���、電話線和調(diào)制解調(diào)器等耦合在一起。本發(fā)明可適 用于兩個(gè)或更多用戶互連并且能夠相互通信的任何環(huán)境�����。
本領(lǐng)域的技術(shù)人員會理解��,本文中的各個(gè)實(shí)施例中所述的各種系 統(tǒng)層����、例程或^莫塊可以是可執(zhí)行控制單元??刂茊卧砂ㄎ⑻幚砥鳌?微控制器�����、數(shù)字信號處理器、處理器卡(包括一個(gè)或多個(gè)微處理器或控 制器)��、其它控制或計(jì)算裝置以及一個(gè)或多個(gè)存儲裝置中包含的可執(zhí)行 指令�����。存儲裝置可包括用于存儲數(shù)據(jù)和指令的一種或多種機(jī)器可讀存 儲介質(zhì)���。存儲介質(zhì)可包括不同形式的存儲器,包括半導(dǎo)體存儲裝置���, 例如動態(tài)或靜態(tài)隨機(jī)存取存儲器(DRAM或SRAM)�、可擦可編程只讀 存儲器(EPROM)�����、電可擦可編程只讀存儲器(EEPROM)和閃存��;磁盤����, 例如固定磁盤、軟盤、可移動磁盤����;包括磁帶在內(nèi)的其它磁介質(zhì);以 及光介質(zhì)��,例如光盤(CD)或數(shù)字視盤(DVD)��。構(gòu)成各種系統(tǒng)中的各個(gè) 軟件層��、例程或模塊的指令可存儲在相應(yīng)的存儲裝置中����。指令在由相 應(yīng)控制單元執(zhí)行時(shí)使對應(yīng)系統(tǒng)進(jìn)行經(jīng)編程的動作。
以上公開的具體實(shí)施例只是說明性的����,因?yàn)榭赏ㄟ^獲益于本文理 論的本領(lǐng)域的技術(shù)人員清楚知道的不同但等效的方式來修改和實(shí)施本 發(fā)明。此外���,不是要限于本文所說明的構(gòu)造或設(shè)計(jì)的細(xì)節(jié)�,除了以下 權(quán)利要求書中所描述的之外��。因此很明顯�,可改變或修改以上公開的 具體實(shí)施例�,并且所有這類變更都認(rèn)為處于本發(fā)明的范圍和精神之內(nèi)����。 因此,本文所尋求的保護(hù)在以下權(quán)利要求書中闡明�����。
權(quán)利要求
1. 一種在具有實(shí)現(xiàn)對與無線網(wǎng)絡(luò)關(guān)聯(lián)的服務(wù)器的訪問的地址的所述無線網(wǎng)絡(luò)上認(rèn)證客戶機(jī)的方法����,所述方法包括:響應(yīng)所述客戶機(jī)與所述服務(wù)器之間通過所述無線網(wǎng)絡(luò)的通信,在根據(jù)來自所述客戶機(jī)的對來自所述服務(wù)器的第一詢問的第一響應(yīng)以及來自所述服務(wù)器的對來自所述客戶機(jī)的第二詢問的第二響應(yīng)來完成認(rèn)證所述客戶機(jī)之前��,將所述地址分配給所述客戶機(jī)以便提供對所述無線網(wǎng)絡(luò)的訪問�。
2. 如權(quán)利要求l所述的方法����,還包括把來自所述客戶機(jī)的所述第一響應(yīng)與來自所述服務(wù)器的所述第二 響應(yīng)進(jìn)4于比l交;以及如果所述第一響應(yīng)與所述第二響應(yīng)匹配�,則對所述服務(wù)器認(rèn)證所 述客戶機(jī)。
3. 如權(quán)利要求2所述的方法�����,還包括接收來自所述客戶機(jī)的對來自所述服務(wù)器的所述第一詢問的所述 第 一響應(yīng)以及來自所述服務(wù)器的對來自所述客戶機(jī)的所述第二詢問的 所述第二響應(yīng),以便根據(jù)所述第一和笫二響應(yīng)來完成向所述服務(wù)器認(rèn) 證所述客戶才幾��。
4. 如權(quán)利要求3所述的方法��,其中���,接收來自所述服務(wù)器的所述 第二響應(yīng)的步驟還包括從所述服務(wù)器接收所述客戶機(jī)的憑證的指示�����,以便驗(yàn)證提供給所 述無線網(wǎng)絡(luò)上的所述客戶機(jī)的所述訪問權(quán)���;使用所述客戶機(jī)的憑證的所述指示來向移動裝置提供對與Wi-Fi 熱點(diǎn)關(guān)if關(guān)的"l妻入點(diǎn)的訪問;如果來自所述服務(wù)器的所i4^戶機(jī)的憑證的所述指示認(rèn)證所述訪 問����,則完成認(rèn)證所述客戶機(jī);以及如果來自所述服務(wù)器的所述客戶機(jī)的憑證的所述指示無法認(rèn)證所 述訪問����,則拒絕所述無線網(wǎng)絡(luò)上的所述客戶機(jī)的訪問。
5. 如權(quán)利要求1所述的方法����,還包括在所述客戶機(jī)與所述月l務(wù)器之間的中間服務(wù)器上實(shí)現(xiàn)向所述無線 網(wǎng)絡(luò)相互認(rèn)證所述客戶機(jī)��;響應(yīng)所述客戶機(jī)與所述服務(wù)器之間的連接通信��,確定所述客戶機(jī) 和所述無線網(wǎng)絡(luò)這兩者中的至少一個(gè)是否支持相互認(rèn)證協(xié)議����;響應(yīng)確定所述無線網(wǎng)絡(luò)不支持所述相互認(rèn)證協(xié)議����,對所述客戶機(jī) 使用缺省認(rèn)證;以及響應(yīng)確定所述客戶機(jī)不支持所述相互認(rèn)證協(xié)議�,使用預(yù)定策略來 iU正所述客戶機(jī)。
6. —種向具有實(shí)現(xiàn)對與Wi-Fi網(wǎng)絡(luò)關(guān)聯(lián)的服務(wù)器的訪問的地址的 所述Wi-Fi網(wǎng)絡(luò)認(rèn)證客戶機(jī)的無線客戶機(jī)-服務(wù)器通信系統(tǒng)����,所述無線 客戶機(jī)-服務(wù)器通信系統(tǒng)包括客戶機(jī),包括客戶機(jī)模塊�,該才莫塊存儲用于通過與所述無線網(wǎng)絡(luò) 關(guān)聯(lián)的接入點(diǎn)向所述無線網(wǎng)絡(luò)進(jìn)行相互認(rèn)證的指令��;以及服務(wù)器��,適合于使用認(rèn)證器與所述客戶機(jī)進(jìn)行通信���,所述服務(wù)器 包括服務(wù)器模塊�,該模塊存儲響應(yīng)所述客戶機(jī)與所述服務(wù)器之間通過 所述無線網(wǎng)絡(luò)的通信而向所述無線網(wǎng)絡(luò)相互認(rèn)證所述客戶4凡的指令, 所述認(rèn)證器在根據(jù)來自所述客戶機(jī)的對來自所述服務(wù)器的笫一詢問的 第 一響應(yīng)以及來自所述服務(wù)器的對來自所述客戶機(jī)的第二詢問的第二 響應(yīng)來完成認(rèn)證所述客戶機(jī)之前�����,將所述地址分配給所述客戶機(jī)以便 才是供對所述Wi-Fi網(wǎng)絡(luò)的訪問���。
7. 如權(quán)利要求6所述的無線客戶機(jī)-服務(wù)器通信系統(tǒng)����,其中���,所述 認(rèn)證器把來自所述客戶機(jī)的所述第一響應(yīng)與來自所述服務(wù)器的所述第 二響應(yīng)進(jìn)行比較����,以及如果所述第一響應(yīng)匹配所述第二響應(yīng)���,則對所 述服務(wù)器認(rèn)證所述客戶機(jī)�。
8. 如權(quán)利要求7所述的無線客戶機(jī)-服務(wù)器通信系統(tǒng)�����,其中����,所述 認(rèn)證器接收來自所述客戶機(jī)的對來自所述服務(wù)器的所述第一詢問的所 述第一響應(yīng)以及來自所述服務(wù)器的對來自所述客戶機(jī)的所述第二詢問 的所述第二響應(yīng)���,以便根據(jù)所述第一和第二響應(yīng)來完成向所述服務(wù)器 認(rèn)證所述客戶機(jī)。
9. 一種無線客戶機(jī)-服務(wù)器通信系統(tǒng)中的客戶機(jī)���,所述通信系統(tǒng)向 具有實(shí)現(xiàn)對與接入網(wǎng)關(guān)聯(lián)的服務(wù)器的訪問的地址的所述接入網(wǎng)認(rèn)證客 戶機(jī)�,所述客戶機(jī)包括客戶機(jī)模塊����,存儲通過中間服務(wù)器向服務(wù)器模塊進(jìn)行相互認(rèn)證的 指令,所述中間服務(wù)器響應(yīng)所述客戶機(jī)模塊與所述服務(wù)器模塊之間通 過所述接入網(wǎng)的通信�,在根據(jù)來自所述客戶機(jī)的對來自所述服務(wù)器的 第 一詢問的第 一響應(yīng)以及來自所述月l務(wù)器的對來自所M戶機(jī)的第二 詢問的第二響應(yīng)來完成認(rèn)證所述客戶機(jī)之前,將所述地址分配給所述 客戶機(jī)以便提供對所述接入網(wǎng)的訪問�����;其中�,所述客戶機(jī)是移動裝置;以及所述接入網(wǎng)是Wi-Fi網(wǎng)絡(luò)���。
10. —種無線客戶機(jī)-服務(wù)器通信系統(tǒng)中的服務(wù)器,所述通信系統(tǒng) 向具有實(shí)現(xiàn)對與接入網(wǎng)關(guān)聯(lián)的所述服務(wù)器的訪問的地址的所述接入網(wǎng) 認(rèn)證客戶機(jī)��,所述服務(wù)器包括服務(wù)器^f莫塊,存儲通過中間服務(wù)器向客戶機(jī)模塊進(jìn)行相互認(rèn)證的 指令�����,所述中間服務(wù)器響應(yīng)所述客戶機(jī)模塊與所述服務(wù)器模塊之間通 過所述4妄入網(wǎng)的通信���,在根據(jù)來自所述客戶機(jī)的對來自所述服務(wù)器的 第 一詢問的第 一響應(yīng)以及來自所述服務(wù)器對來自所述客戶機(jī)的第二詢 問的第二響應(yīng)來完成認(rèn)證所述客戶機(jī)之前��,將所述地址分配給所述客 戶機(jī)以便提供對所述接入網(wǎng)的訪問�;以及其中��,所述服務(wù)器是與Wi-Fi網(wǎng)絡(luò)關(guān)聯(lián)的認(rèn)證服務(wù)器�。
全文摘要
本發(fā)明提供一種方法和裝置,用于在具有實(shí)現(xiàn)對與無線網(wǎng)絡(luò)關(guān)聯(lián)的服務(wù)器的訪問的地址的無線網(wǎng)絡(luò)上認(rèn)證客戶機(jī)����。在一個(gè)實(shí)施例中,一種方法要求響應(yīng)客戶機(jī)與服務(wù)器之間通過無線網(wǎng)絡(luò)的通信����,在根據(jù)來自客戶機(jī)的對來自服務(wù)器的第一詢問的第一響應(yīng)以及來自服務(wù)器的對來自客戶機(jī)的第二詢問的第二響應(yīng)來完成認(rèn)證客戶機(jī)之前,將地址分配給客戶機(jī)以便提供對無線網(wǎng)絡(luò)的訪問���。無線通信系統(tǒng)包括客戶機(jī)模塊�����,用于通過與Wi-Fi網(wǎng)絡(luò)關(guān)聯(lián)的接入點(diǎn)向Wi-Fi網(wǎng)絡(luò)認(rèn)證移動裝置��。為了進(jìn)行認(rèn)證���,中間服務(wù)器可使服務(wù)器模塊能夠根據(jù)通過中間服務(wù)器在客戶機(jī)模塊與關(guān)聯(lián)Wi-Fi網(wǎng)絡(luò)的服務(wù)器模塊之間的信令消息的交換來相互認(rèn)證移動裝置和Wi-Fi網(wǎng)絡(luò)��。
文檔編號H04L29/06GK101379795SQ200780003950
公開日2009年3月4日 申請日期2007年1月29日 優(yōu)先權(quán)日2006年1月31日
發(fā)明者J·V·貝梅爾 申請人:盧森特技術(shù)有限公司