安全無線網(wǎng)絡中的動態(tài)認證的制作方法
【專利摘要】提供用于在安全無線網(wǎng)絡中使用成對動態(tài)密碼來認證的系統(tǒng)和方法���。每一認證用戶被分配所生成的�、對所述用戶唯一的隨機密碼��。該密碼與屬于所述用戶的無線接口關(guān)聯(lián),從而沒有其它無線接口可以使用相同密碼來訪問網(wǎng)絡���。可以周期性地��、或者根據(jù)網(wǎng)絡管理員的請求來對密碼進行更新��,并且可以要求所述無線網(wǎng)絡的重新認證�����。
【專利說明】安全無線網(wǎng)絡中的動態(tài)認證
[0001]本申請為于2008年11月26日提交����、申請?zhí)枮?00780019389.2�、發(fā)明名稱為“安全無線網(wǎng)絡中的動態(tài)認證”的中國專利申請的分案申請。所述母案申請的國際申請日為2007年4月18日,國際申請?zhí)枮镻CT/US2007/009503��。
[0002]相關(guān)申請的交叉引用
[0003]本申請要求于2006年4月24日提交的題為“Mechanisms and Apparatus toProvide Pre-Shared Key Authentication with Dynamic Secret on Wireless Networks,����,的美國臨時專利申請60/794,625以及于2006年5月2日提交的題為“Mechanisms andApparatus for Automatic Wireless Connection Based on Provisioned Configuration,,的美國臨時專利申請60/796��,845的優(yōu)先權(quán)�。這兩個申請的公開通過引用合并到此�。
【技術(shù)領(lǐng)域】
[0004]本發(fā)明總體涉及信息網(wǎng)絡安全性�。更具體地說,本發(fā)明涉及用于安全無線網(wǎng)絡的用戶友好的低維護性認證。
【背景技術(shù)】
[0005]很多專業(yè)組織已經(jīng)提議了用于無線網(wǎng)絡的各種用戶認證和安全性措施�。這些專業(yè)組織包括電氣和電子工程師協(xié)會(IEEE) 802.11工作組�、W1-Fi聯(lián)盟����、互聯(lián)網(wǎng)工程任務組(IETF)0實現(xiàn)這些提議通常很復雜��、難以維護,并且需要那些實現(xiàn)具體提議的人的高級技術(shù)知識���。因此���,因為很多商業(yè)組織(例如小型公司和中型公司)缺少專家和/或全職專業(yè)技術(shù)支持,所以他們無法部署這樣的措施�����。
[0006]在早期的無線網(wǎng)絡(例如IEEE802.11或W1-Fi)中�,通過有線等效保密(WEP)系統(tǒng)來實現(xiàn)安全性。部署WEP系統(tǒng)僅需要網(wǎng)絡管理員在接入點或接入設備處定義WEP密鑰集����。任意用戶可以通過擁有在該用戶的客戶機站(例如膝上型設備或移動設備)中手動配置的相同WEP密鑰集來訪問WEP安全無線網(wǎng)絡�����。將使用共享WEP密鑰集通過定義的加密算法來對客戶機站與接入點之間的無線數(shù)據(jù)通信進行加密。
[0007]盡管WEP可以防止偶發(fā)的入侵者訪問無線網(wǎng)絡����,但是WEP不可能抵擋更嚴重的安全性攻擊�����。例如��,通過使用公共可用的軟件可以很容易地發(fā)現(xiàn)WEP密鑰��。此外�,由于所有用戶共享相同密鑰���,因此WEP不能保護網(wǎng)絡用戶免受彼此的攻擊���。因為基于WEP的安全性系統(tǒng)中的這些缺陷��,所以發(fā)展出了替代的安全性措施����。這些新的措施通常需要無線網(wǎng)絡用戶首先以某種方式被認證�,然后導出密鑰集并用于無線業(yè)務加密���。這些已提議的認證措施通?����?梢员环譃閮山M:可擴展認證協(xié)議(EAP)和預共享密鑰(PSK)。
[0008]EAP組的安全性措施通常采用IEEE802.1x標準����,其使用可擴展認證協(xié)議���?��;贓AP的安全性系統(tǒng)使得能夠在認證服務器與其用戶之間進行相互認證。認證服務器可以駐留在接入點��、基站或外部設備中����。通常,認證服務器提供推導出的成對主密鑰���,以在接入點與用戶客戶機站之間進行共享。成對主密鑰可以用于導出密鑰集��,密鑰集可以用于數(shù)據(jù)加密。
[0009]實現(xiàn)基于EAP或IEEE802.1x的安全性系統(tǒng)的主要障礙在于它們的復雜性�。部署這樣的系統(tǒng)需要高級技術(shù)專家以及對用戶進行持續(xù)技術(shù)支持�����。例如���,很多基于EAP的系統(tǒng)需要將安全性證書安裝到認證服務器����。根據(jù)基于EAP的系統(tǒng)的確切需求�����,客戶機站可能還需要被授權(quán)確立證書更新,和/或在可被批準訪問無線網(wǎng)絡之前預裝安全性證書�。
[0010]與之對照,PSK安全性系統(tǒng)是基于在客戶機站與接入點兩者之間共享的并且在客戶機站與接入點上存儲的密碼的����。該密碼可以是例如長比特流(例如過關(guān)短語���、口令、十六進制串等等)�。由客戶機站和接入點用于對彼此進行認證的密碼也可以用于生成加密密鑰集���。
[0011]基于PSK的系統(tǒng)的主要缺點在于����,必須將密碼手動輸入到客戶機站,并且由所有客戶機站共享該密碼���。一旦共享的密碼被未授權(quán)的人員獲知,則危及整個網(wǎng)絡的安全性�����。這可能在需要向臨時雇員提供網(wǎng)絡訪問或具有高流動性的勞動力的組織中產(chǎn)生問題����。為了維護基于PSK的系統(tǒng)的安全性���,只要知道密碼的人離開組織或者不再被授權(quán)訪問網(wǎng)絡��,都必須改變所有客戶機站上的密碼。
[0012]雖然很多措施可用于確保無線網(wǎng)絡安全�����,但實現(xiàn)這些措施中的任意一項都可能很復雜���、困難����,和/或需要大量維護���。因此,本領(lǐng)域需要改進的方法和系統(tǒng)���,其為無線網(wǎng)絡提供對用戶友好的并且容易維護的安全性�����,而不需要高級技術(shù)專家和持續(xù)技術(shù)支持�����。
【發(fā)明內(nèi)容】
[0013]本發(fā)明的示例性系統(tǒng)和方法提供在安全無線網(wǎng)絡中對動態(tài)密碼進行配對。對于每一認證用戶生成隨機密碼�����。該密碼是對所述用戶唯一的,并且網(wǎng)絡中的其它用戶不可以使用該密碼來訪問網(wǎng)絡��。此外����,將所述密碼與屬于所述用戶的無線接口關(guān)聯(lián)或者綁定�����,從而屬于其它用戶的其它無線接口不可以使用該密碼來訪問網(wǎng)絡��。
[0014]本發(fā)明的各個實施例包括用于對所述動態(tài)密碼進行配對的方法。在生成所述密碼和/或?qū)⑵渑c訪問簡檔關(guān)聯(lián)之后,密碼即與無線接口關(guān)聯(lián)�,或者在延遲之后密碼與所述無線接口關(guān)聯(lián)。某些實施例通過生成可執(zhí)行指令來配置無線接口訪問無線網(wǎng)絡而將密碼與無線接口關(guān)聯(lián)。配置可以包括:連同所述密碼的拷貝�����、從所述密碼推導出的任意安全性密鑰以及用戶的訪問簡檔一起將所述可執(zhí)行指令的拷貝傳送到所述無線接口。本發(fā)明的各個實施例進一步包括:更新所述密鑰,這需要在允許所述無線接口重新連接到所述無線網(wǎng)絡或者繼續(xù)其對所述無線網(wǎng)絡的連接之前對所述無線接口進行重新認證。
[0015]本發(fā)明的實施例包括用于在安全無線網(wǎng)絡中對動態(tài)密碼進行配對的系統(tǒng)。所述系統(tǒng)可以包括:密碼生成模塊���、綁定模塊�����、密碼數(shù)據(jù)庫����。所述密碼由密碼生成模塊來生成�����,并且由綁定模塊將其與無線接口關(guān)聯(lián)(綁定)��。所述密碼數(shù)據(jù)庫存儲關(guān)于密碼��、與用戶簡檔的關(guān)聯(lián)關(guān)系����、與無線接口的關(guān)聯(lián)關(guān)系等等的信息���。某些實施例進一步包括:訪問簡檔生成模塊、可執(zhí)行指令生成模塊等等�����。所述訪問簡檔生成模塊生成用于用戶的訪問簡檔��。所述可執(zhí)行指令生成模塊生成用于配置無線接口以便訪問無線網(wǎng)絡的可執(zhí)行指令�。
[0016]本發(fā)明某些實施例包括:計算機介質(zhì)和指令��,其用于在安全無線網(wǎng)絡中對動態(tài)密碼進行配對。某些實施例進一步包括:用于更新所述密碼并且要求對無線接口進行重新認證的指令���。
【專利附圖】
【附圖說明】[0017]圖1是根據(jù)本發(fā)明示例性實施例的用于安全無線網(wǎng)絡的認證系統(tǒng)的示圖��。
[0018]圖2是示出在安全無線網(wǎng)絡中使用成對密碼的方法的流程圖����。
[0019]圖3是示出在安全無線網(wǎng)絡中使用成對密碼的替代方法的流程圖�����。
[0020]圖4是示出在安全無線網(wǎng)絡中使用安全性密鑰的方法的流程圖���。
【具體實施方式】
[0021]本發(fā)明包括通過使用動態(tài)密碼在安全無線網(wǎng)絡中使用對用戶友好的低維護性認證的系統(tǒng)和方法�。成對密碼在客戶機站與接入點之間被共享���。針對每一認證用戶動態(tài)地生成這些密碼��,并且將這些密碼與用戶的訪問簡檔關(guān)聯(lián)。這些密碼還可以與屬于該用戶的特定客戶機站或無線接口關(guān)聯(lián)�����。在本發(fā)明某些實施例中,在密碼過期的時間點�����,用戶必須進行重新認證�,以繼續(xù)訪問無線網(wǎng)絡�����。
[0022]圖1是根據(jù)本發(fā)明示例性實施例的用于安全無線網(wǎng)絡170的認證系統(tǒng)100的示圖��。圖1所示的認證服務器100包括:認證模塊110�����、訪問簡檔生成模塊120、密碼生成模塊130�����、密碼數(shù)據(jù)庫140�、綁定模塊150����、可執(zhí)行指令生成模塊160���。認證服務器100可以用于維護網(wǎng)絡170中的安全性���。各種客戶機設備(例如無線工作站180a���、膝上計算機180b和移動設備180c)屬于網(wǎng)絡170的潛在用戶。
[0023]本發(fā)明中所指的模塊(或應用)應該廣義地理解為執(zhí)行各種系統(tǒng)級功能的程序的集合�����,并且可以根據(jù)需要由硬件和設備動態(tài)地加載或者卸載��。在此所描述的模塊化軟件部件也可以被合并為更大的軟件平臺的一部分,或被集成為應用特定部件的一部分��。
[0024]認證模塊110對用戶(例如膝上計算機180b)進行認證,并且驗證該用戶是否是他們所聲稱的用戶����,否則驗證他們是否被授權(quán)訪問網(wǎng)絡170����。認證模塊110可以用于驗證用戶提供的用戶名和口令����??梢酝ㄟ^與認證數(shù)據(jù)庫中存儲的用戶名和口令進行比較來進行驗證�����,認證數(shù)據(jù)庫可以獨立于認證模塊110�,或者被合并到認證模塊110����。在某些實施例中,認證數(shù)據(jù)庫可以與如下所述的密碼數(shù)據(jù)庫140集成。一旦由認證模塊110進行了認證�,用戶就可以基于由網(wǎng)絡管理員定義的��、并且可以進一步受成對密碼或?qū)С雒荑€管制的用戶的安全許可級別���、用戶在組織中的角色的參數(shù)而在網(wǎng)絡170內(nèi)訪問數(shù)據(jù)和執(zhí)行動作�。
[0025]訪問簡檔生成模塊120針對認證模塊110所認證的用戶生成訪問簡檔���。用戶訪問簡檔可以至少包括隨機成對密碼和可執(zhí)行指令�����,在此進一步描述����。訪問簡檔可以進一步包括關(guān)于用戶的信息�����,例如認證信息���、安全信息��、用戶愛好等等����。為了訪問網(wǎng)絡170�,用戶將用戶訪問簡檔拷貝、下載或者另外傳送到用戶客戶機設備(例如膝上計算機180b)����?���?梢酝ㄟ^利用基于安全套接層的超文本傳輸協(xié)議(HTTPS)的公共web瀏覽器來安全地獲得訪問簡檔?��?蓤?zhí)行指令自動配置無線設備���,從而它們可以訪問無線網(wǎng)絡170����。
[0026]密碼生成模塊130生成用于每一用戶的隨機密碼��。可以由密碼生成模塊130使用各種算法和公式來隨機地生成密碼�。通過提供隨機密碼,密碼生成模塊130給潛在入侵者增加了對特定密碼進行推演或者確定并非法獲取對網(wǎng)絡170的訪問的難度���。密碼生成模塊130進一步被配置為:確定每一密碼是對每一用戶唯一的�,從而每一密碼可以僅由一個用戶使用���。密碼可以被綁定為訪問簡檔的一部分�����。密碼將用于對無線設備進行認證�����,使得無線設備可以訪問無線網(wǎng)絡170���。在某些實施例中����,密碼生成模塊130可以從特定密碼推導出用于用戶的一個或多個安全性密鑰集。類似于密碼���,安全性密鑰可以與無線設備關(guān)聯(lián)�����,并且用于配置無線接口����,從而其可以訪問無線網(wǎng)絡170�。同樣類似于密碼��,沒有其它無線設備其后可以使用這些相同安全性密鑰來訪問網(wǎng)絡170��。
[0027]密碼數(shù)據(jù)庫140存儲有關(guān)由密碼生成模塊130生成的各種密碼的信息�。密碼數(shù)據(jù)庫140還可以存儲關(guān)于以下方面的信息:哪個用戶與特定密碼�、從密碼推導出的任意安全性密鑰關(guān)聯(lián)��、如果有任意無線設備��,則哪個無線設備與用戶的密碼或安全性密鑰關(guān)聯(lián)等等�����。密碼數(shù)據(jù)庫140可以進一步存儲關(guān)于用戶名�����、口令��、安全認可級別等等的信息��。密碼數(shù)據(jù)庫140可以結(jié)合認證模塊110來操作��,以對用戶以及屬于該用戶對網(wǎng)絡170的接口進行認證����。
[0028]綁定模塊150被配置為:將用戶的密碼關(guān)聯(lián)(綁定)到屬于該用戶的無線接口設備(例如工作站180a���、膝上計算機180b或移動設備180c)��。對于無線接口,要求對由綁定模塊150形成的密碼與用戶的無線接口設備之間的關(guān)聯(lián)關(guān)系進行認證并且允許訪問無線網(wǎng)絡170�����。在某些情況下,在密碼生成和/或與訪問簡檔關(guān)聯(lián)之后����,綁定模塊150立即將用戶密碼關(guān)聯(lián)到用戶的無線接口設備(如果用戶正使用無線接口設備)或分配給該接口設備的簡檔�����。綁定模塊150的即刻操作可以被稱為快速綁定���。或者�,綁定模塊150的操作可以延遲,直到用戶經(jīng)由無線接口發(fā)起第一無線連接��,并且用戶的無線設備的MAC地址可以被確定�。綁定模塊150的延遲操作可以被稱為延遲綁定���。
[0029]可執(zhí)行指令生成模塊160生成可執(zhí)行應用��,其配置用于訪問無線網(wǎng)絡170的無線接口�����。然后可以將由可執(zhí)行指令生成模塊160生成的可執(zhí)行指令拷貝��、下載或者另外傳送到屬于用戶的無線接口��。可執(zhí)行指令可以被綁定為訪問簡檔的一部分�?��?蓤?zhí)行指令將由訪問簡檔生成模塊120生成的訪問簡檔以及由密碼生成模塊130生成的密碼安裝到無線設備。在美國臨時專利申請60/796����,845中進一步公開了這種可執(zhí)行指令以及前述訪問簡檔的生成,該公開先前已經(jīng)通過引用合并到此�����。
[0030]網(wǎng)絡170可以被配置為:發(fā)送各種電磁波(包括例如無線電信號)�����。網(wǎng)絡170可以是 IEEE802.11 (W1-Fi 或無線 LAN)網(wǎng)絡、IEEE802.16 (WiMax)網(wǎng)絡��、IEEE802.16c 網(wǎng)絡等等。網(wǎng)絡170可以將各種信息傳送給接口設備(例如客戶機接口設備180a-180c)����。網(wǎng)絡170可以是本地私有網(wǎng)絡����,或者可以是更大的廣域網(wǎng)的一部分����。各種輔助網(wǎng)絡可以駐留在較大網(wǎng)絡170 (例如對等網(wǎng)絡或無線網(wǎng)格網(wǎng)絡)的領(lǐng)域內(nèi)�。
[0031]客戶機接口設備180a_180c示出各種有無線能力的接口�,包括桌上型計算機、膝上型計算機���、手持計算機等等。期望通過無線接口 180a訪問無線網(wǎng)絡170的用戶例如可以通過以下方式來進行這種操作:將由訪問簡檔生成模塊120生成的用戶的訪問簡檔、由密碼生成模塊130生成的密碼以及由可執(zhí)行指令生成模塊160生成的安裝可執(zhí)行指令拷貝����、下載或者另外傳送到無線接口 180a�。作為整個認證操作的一部分,可執(zhí)行指令配置無線接口 180a,使得無線接口 180a可以使用訪問簡檔和成對密碼來訪問無線網(wǎng)絡170�?����?梢杂孟嗨品绞絹砼渲脽o線接口 180b和無線接口 180c。
[0032]可以周期性地或者響應于網(wǎng)絡管理員的請求而更新用戶的密碼��?����?梢杂擅艽a生成模塊130生成用于用戶的新的密碼����,該密碼與用戶的訪問簡檔關(guān)聯(lián)���,并且被保存到密碼數(shù)據(jù)庫140���。如果先前的密碼已經(jīng)過期�����,則必須對無線接口進行重新認證����。用戶必須要么立即進行重新認證����,要么在下一無線連接時進行重新認證�����。對無線設備進行重新認證可以包括:對用戶進行重新認證���,傳送用戶新密碼、訪問簡檔和/或新的可執(zhí)行指令的拷貝����,并使用綁定模塊140����,形成無線接口與新的密碼之間的新的關(guān)聯(lián)關(guān)系。[0033]圖2是示出在安全無線網(wǎng)絡170中使用成對密碼的方法200的流程圖��。在方法200中����,對用戶進行認證����,針對用戶生成隨機且唯一的成對密碼,將密碼與屬于用戶的訪問簡檔關(guān)聯(lián)����,并且將密碼進一步與屬于該用戶的無線接口關(guān)聯(lián)����,并且進一步與特定訪問簡檔關(guān)聯(lián)。
[0034]在步驟210���,利用認證模塊110對用戶進行認證。初始認證可以包括:提供將用戶標識為特定用戶的用戶名和口令��。該用戶可以被授權(quán)訪問網(wǎng)絡170����,或者可以不被授權(quán)訪問網(wǎng)絡170��,如可以相對于成對密碼進行確定�����。如果通過簡單的用戶名和口令匹配(或者后續(xù)關(guān)于成對密碼)不能對用戶進行認證�,則不能允許用戶訪問無線網(wǎng)絡170���。
[0035]在步驟220,針對臨時認證過的用戶生成密碼���?��?梢酝ㄟ^各種算法和公式來確定由密碼生成模塊130生成的密碼���,從而為認證過的用戶產(chǎn)生隨機生成的密碼���。此外����,在網(wǎng)絡170中��,密碼對于每一用戶是唯一的���。密碼對于每一用戶的唯一性提供了保護每一用戶免受網(wǎng)絡170中所有其它用戶干擾��。因為每一用戶具有唯一綁定到該特定用戶(或他們的簡檔和/或接口設備)的密碼��,因此該用戶無法使用另一用戶的密碼����。此外���,當不再授權(quán)特定用戶使用網(wǎng)絡170時,對用戶的解除授權(quán)不影響其它用戶繼續(xù)使用網(wǎng)絡170的能力,如同在很多現(xiàn)有技術(shù)網(wǎng)絡安全性解決方案中的情況那樣�。進一步地�����,對特定用戶的解除授權(quán)不需要任何特定技術(shù)專家或技術(shù)支持來維護網(wǎng)絡170的安全性��。此外��,在步驟220,可以生成與無線認證機制關(guān)聯(lián)的其它信息實體(例如授權(quán)證書)�����。
[0036]在步驟230���,將為認證用戶生成的密碼與該用戶的訪問簡檔關(guān)聯(lián),其還可以進一步與特定接口設備關(guān)聯(lián)??梢詫⒂嘘P(guān)密碼與用戶訪問簡檔之間的關(guān)聯(lián)關(guān)系的信息保存在密碼數(shù)據(jù)庫150中。
[0037]在步驟240���,該密碼與屬于該認證用戶的無線接口����、他們的簡檔和/或設備關(guān)聯(lián)(綁定)�����。這種關(guān)聯(lián)關(guān)系可以由綁定模塊140來形成���,并且允許無線接口設備訪問無線網(wǎng)絡170�。所述關(guān)聯(lián)關(guān)系或綁定可以包括:下載訪問簡檔�����、成對密碼以及關(guān)聯(lián)的導出的安全性密鑰,以及可執(zhí)行指令,以用于配置無線接口設備并且將其與密碼關(guān)聯(lián)�����。可以通過將密碼與無線接口的特定無線電�����、無線接口的MAC地址等等關(guān)聯(lián)而將密碼與無線接口關(guān)聯(lián)??梢詫⒂嘘P(guān)成對密碼與無線接口之間的關(guān)聯(lián)關(guān)系的信息保存在密碼數(shù)據(jù)庫150中����。
[0038]圖3是示出在安全無線網(wǎng)絡170中使用密碼的替代方法的流程圖。在所述方法300中��,如通過初始用戶名和口令驗證處理可發(fā)生的����,對用戶進行認證����,生成訪問簡檔,并且生成密碼����。如果已知的無線接口連接到網(wǎng)絡170�,則該無線接口與密碼關(guān)聯(lián)(綁定)���。如果當前沒有已知的無線接口連接到網(wǎng)絡170�����,則可以保存不關(guān)聯(lián)的密碼,并且可以稍后將其與無線接口關(guān)聯(lián)��。
[0039]在步驟310��,由認證模塊110對用戶進行認證����?��?梢酝ㄟ^與在步驟210中執(zhí)行的認證操作相似的方式來執(zhí)行該認證���。
[0040]在步驟320���,針對認證用戶生成訪問簡檔���。由訪問簡檔生成模塊120生成的訪問簡檔可以用于配置屬于用戶的無線接口���,使得它們可以訪問網(wǎng)絡170。
[0041]在步驟330�����,針對用戶生成密碼���。可以通過與圖2的步驟220相似的方式來執(zhí)行密碼的生成���。
[0042]在步驟340��,確定當前網(wǎng)絡連接是否是通過已知的無線接口的�����。這種確定可以是基于認證信息、用戶輸入等等的���。
[0043]在步驟350�,在(例如)確定連接不是已經(jīng)具有綁定密碼的已知無線接口的情況下�,將最近生成的密碼保存到表中����。該表可以被包括在密碼數(shù)據(jù)庫150中。在以下情況下,可以將密碼保存到所述表中以供稍后使用:用戶不在使用無線接口���,該無線接口不是將要在多無線接口(無線電)設備中使用的期望接口�����,用戶不在使用用戶自身的無線接口,或者用戶不準備將無線接口與密碼關(guān)聯(lián)���。.[0044]在步驟360����,當該連接被確定為是沒有綁定密碼、具有過期的密碼����、或者需要綁定密碼的已知無線接口的情況下��,將密碼與無線接口綁定���??梢酝ㄟ^與在步驟240中形成的關(guān)聯(lián)關(guān)系相似的方式來形成這種關(guān)聯(lián)關(guān)系。
[0045]圖4是示出在安全無線網(wǎng)絡170中使用安全性密鑰的方法400的流程圖�����。在該方法中��,從無線接口接收認證請求�,然后確定安全性密鑰是否與接口關(guān)聯(lián)�����,如果關(guān)聯(lián),則確定該安全性密鑰是否有效���。如果安全性密鑰有效����,則無線接口被成功認證。如果安全性密鑰無效����,則拒絕認證請求��。如果沒有與接口關(guān)聯(lián)的安全性密鑰,則確定是否有針對用戶的任意不關(guān)聯(lián)的安全性密鑰��。如果存在不關(guān)聯(lián)的安全性密鑰���,則獲得下一不關(guān)聯(lián)的安全性密鑰����,然后確定安全性密鑰是否有效。如果安全性密鑰無效,則再次確定是否存在任意不關(guān)聯(lián)的安全性密鑰�。如果沒有留下不關(guān)聯(lián)的安全性密鑰��,則拒絕認證請求。如果存在可用的不關(guān)聯(lián)的安全性密鑰并且其有效����,則將安全性密鑰綁定到接口�,并且成功地認證了無線接口�����。
[0046]在步驟410,接收來自屬于用戶的無線接口的認證請求�����。針對安全性密鑰已經(jīng)過期的無線接口��、針對連接被終止的無線接口等等�,當無線接口對于網(wǎng)絡170是新的時,可以產(chǎn)生這種請求���。
[0047]在步驟420����,確定是否存在與無線接口關(guān)聯(lián)的安全性密鑰�?���?梢愿鶕?jù)無線接口認證處理中的信息來進行確定。如果存在已關(guān)聯(lián)的安全性密鑰��,則該方法進入步驟430。如果不存在已關(guān)聯(lián)的安全性密鑰,則該方法進入步驟440��。
[0048]在步驟430��,在確定安全性密鑰與無線接口關(guān)聯(lián)的情況下��,緊接著確定該安全性密鑰是否有效。通過將來自認證請求的安全性密鑰信息與密碼數(shù)據(jù)庫150中的安全性密鑰進行比較來進行確定���。
[0049]在步驟440��,在沒有與無線網(wǎng)絡170關(guān)聯(lián)的安全性密鑰的情況下,確定是否有用于用戶的任意不關(guān)聯(lián)的安全性密鑰���??梢曰趤碜哉J證請求的信息�����、與密碼數(shù)據(jù)庫150中保存的用戶訪問簡檔關(guān)聯(lián)的安全性密鑰信息等等來進行確定��。如果存在可用的不關(guān)聯(lián)的安全性密鑰���,則該方法進入步驟450�����。如果不存在可用的不關(guān)聯(lián)的安全性密鑰��,則該方法進入步驟 490�。
[0050]在步驟450�����,在確定存在可用的不關(guān)聯(lián)的安全性密鑰的情況下�����,獲得下一不關(guān)聯(lián)的安全性密鑰。將所有不關(guān)聯(lián)的安全性密鑰保存到表�,如步驟350中所描述的那樣��。在某些實施例中,所述表被包括在密碼數(shù)據(jù)庫150中�。在步驟450,考慮來自該表的下一可用的不關(guān)聯(lián)的安全性密鑰��。
[0051]在步驟460,確定在考慮下的安全性密鑰是否有效���。安全性密鑰是否有效的確定與在步驟430進行的確定相似��。如果安全性密鑰無效�����,則該方法返回步驟440。如果安全性密鑰有效�,則該方法進入步驟470�。
[0052]在步驟470,將安全性密鑰綁定到無線接口。與在步驟240和360中形成的關(guān)聯(lián)關(guān)系相似地形成所述綁定或關(guān)聯(lián)關(guān)系���。
[0053]在步驟480,由安全性密鑰進行的無線接口的認證是成功的���。在某些實施例中�,該方法可以繼續(xù)進一步的認證步驟。例如����,在步驟500�����,可以對有關(guān)安全性密鑰是否過期進行確定����。如果密鑰已經(jīng)過期,則可以在步驟520開始重新產(chǎn)生密鑰的處理���。然而��,在中間時期���,用戶可能經(jīng)受受限的訪問或沒有任何訪問�。在某些實施例中,在用戶具有受限的訪問權(quán)限或沒有訪問權(quán)限的同時��,重新產(chǎn)生密鑰的處理可以是不同處理的一部分����。然而����,在步驟510,如果密鑰仍然有效�,則用戶可以享受全部服務訪問����。然而�,對無線接口進行認證允許無線接口訪問無線網(wǎng)絡170�����。
[0054]在步驟490�����,拒絕認證請求�。不允許無線接口訪問無線網(wǎng)絡170���,或者����,如果存在已有的連接���,則可以終止該連接����。
[0055]雖然已經(jīng)結(jié)合一系列優(yōu)選實施例描述了本發(fā)明�����,但這些描述并非意欲將本發(fā)明的范圍限制為在此所闡述的特定形式。相反�����,本發(fā)明意欲覆蓋由所附權(quán)利要求所限定并且另外本領(lǐng)域技術(shù)人員所理解的本發(fā)明的精神和范圍內(nèi)所包括的這些替換、修改和等同方案。
【權(quán)利要求】
1.一種允許對安全無線網(wǎng)絡進行訪問的方法��,所述方法包括: 從無線設備接收認證請求�����,所述認證請求標識請求用戶并且包括無線設備信息�����; 確定安全性密鑰與所述無線設備相關(guān)聯(lián)���; 通過比較與所述無線設備相關(guān)聯(lián)的所述安全性密鑰和與所述請求用戶的存儲用戶簡檔相關(guān)聯(lián)的安全性密鑰信息��,驗證所述安全性密鑰有效��;以及 在確定所述安全性密鑰有效并且尚未過期之后���,批準所述無線設備對所述安全無線網(wǎng)絡進行訪問����。
2.如權(quán)利要求1所述的方法,其中�����,接收認證請求包括: 接收用于作為客人對安全無線網(wǎng)絡進行訪問的請求���。
3.如權(quán)利要求1所述的方法�����,其中���,確定安全性密鑰與所述無線設備相關(guān)聯(lián)包括: 接收所述安全性密鑰作為所述認證請求的一部分。
4.如權(quán)利要求1所述的方法��,其中�,驗證所述安全性密鑰有效包括: 針對唯一安全性密鑰的數(shù)據(jù)庫來比較所述安全性密鑰���。
5.如權(quán)利要求1所述的方法���,其中,確定所述安全性密鑰尚未過期包括: 確定在發(fā)出所述安全性密鑰之后預定時間段尚未過去。
6.如權(quán)利要求1所述 的方法,其中����,確定所述安全性密鑰尚未過期包括: 確定以前尚未撤銷所述安全性密鑰�����。
7.如權(quán)利要求1所述的方法��,進一步包括: 基于所述安全性密鑰向所述無線設備分配訪問簡檔����。
8.如權(quán)利要求1所述的方法����,進一步包括: 在發(fā)出所述安全性密鑰之后的預定時間段之后���,撤銷所述安全性密鑰�。
9.一種允許對安全無線網(wǎng)絡進行訪問的方法����,所述方法包括: 從無線設備接收訪問請求���,所述訪問請求標識請求用戶并且包括與所述無線設備相關(guān)聯(lián)的安全性密鑰����; 通過比較接收到的與所述無線設備相關(guān)聯(lián)的所述安全性密鑰和與所述請求用戶的存儲用戶簡檔相關(guān)聯(lián)的安全性密鑰信息,驗證接收到的所述安全性密鑰有效�; 確定所述安全性密鑰尚未過期�����;以及 只有在確定所述安全性密鑰有效并且尚未過期之后�,才批準所述無線接口對所述安全無線網(wǎng)絡進行訪問�。
10.一種允許對安全無線網(wǎng)絡進行訪問的方法,所述方法包括: 生成多個唯一安全性密鑰����; 將所述多個唯一安全性密鑰中的第一個與用于用戶的存儲用戶簡檔相關(guān)聯(lián)����; 從使用無線設備的所述用戶接收用于對所述安全無線網(wǎng)絡進行訪問的請求,所述請求包括與所述無線設備相關(guān)聯(lián)的安全性密鑰和所述用戶的標識����; 確定接收到的所述安全性密鑰匹配與用于所述用戶的存儲用戶簡檔相關(guān)聯(lián)的所述多個唯一安全性密鑰中的所述第一個��; 確定所述多個唯一安全性密鑰中的所述第一個尚未過期�����;以及作為對確定所述多個唯一安全性密鑰中的所述第一個尚未過期的響應�����,批準所述用戶對所述安全無線網(wǎng)絡進行訪問�����。
11.一種允許對安全無線網(wǎng)絡進行訪問的方法����,所述方法包括: 生成用于多個用戶的多個唯一安全性密鑰�����,每個用戶具有賬戶����,所述賬戶具有指示訪問簡檔類型的存儲用戶簡檔; 將所述多個唯一安全性密鑰中的第一個與具有第一訪問簡檔類型的第一賬戶相關(guān)聯(lián)��,所述第一賬戶與在所述安全無線網(wǎng)絡之內(nèi)具有第一組訪問級別權(quán)限的第一訪問級別相關(guān)聯(lián)����; 將所述多個唯一安全性密鑰中的第二個與具有第二訪問簡檔類型的第二賬戶相關(guān)聯(lián)���,所述第二賬戶與在所述安全無線網(wǎng)絡之內(nèi)具有第二組訪問級別權(quán)限的第二訪問級別相關(guān)聯(lián)���,其中所述第一組訪問級別權(quán)限不同于所述第二組訪問級別權(quán)限�����; 接收由使用無線設備的用戶發(fā)送的請求�,所述請求包括與所述無線設備相關(guān)聯(lián)的安全性密鑰; 將接收到的與所述無線設備相關(guān)聯(lián)的安全性密鑰匹配到所述唯一安全性密鑰中的一個�����;以及 基于接收到的安全性密鑰與所述第一訪問簡檔類型或所述第二訪問簡檔類型相關(guān)聯(lián)���,批準對所述安全無線網(wǎng)絡進行訪問�����, 其中,根據(jù)與接收到的安全性密鑰的簡檔類型相關(guān)聯(lián)的訪問權(quán)限��,關(guān)聯(lián)的所述用戶對所述安全無線網(wǎng)絡進行訪問。
12.一種允許對安全無線網(wǎng)絡進行訪問的方法�,所述方法包括: 生成用于多個用戶的多個唯一安全性密鑰�;` 將所述多個唯一安全性密鑰保持在數(shù)據(jù)庫中���,其中所述數(shù)據(jù)庫中的存儲用戶簡檔與所述唯一安全性密鑰中的一個或多個相關(guān)聯(lián)�����; 從使用無線設備的所述多個用戶中的一個接收用于對所述安全無線網(wǎng)絡進行訪問的請求���,所述請求包括與所述無線設備相關(guān)聯(lián)的安全性密鑰����; 通過比較接收到的與所述無線設備相關(guān)聯(lián)的所述安全性密鑰和與所述請求用戶的存儲用戶簡檔相關(guān)聯(lián)的安全性密鑰信息�,驗證接收到的所述安全性密鑰有效����; 確定所述安全性密鑰尚未過期�����;以及 當確定所述安全性密鑰有效并且尚未過期時�,批準與所述多個用戶中的所述一個相關(guān)聯(lián)的無線設備對所述安全無線網(wǎng)絡進行訪問。
13.—種允許對安全無線網(wǎng)絡進行訪問的方法���,所述方法包括: 在通信地耦合到安全無線網(wǎng)絡的認證服務器處生成多個唯一安全性密鑰����; 將所述多個唯一安全性密鑰保持在密碼數(shù)據(jù)庫中,其中所述數(shù)據(jù)庫中的存儲用戶簡檔與所述唯一安全性密鑰中的一個或多個相關(guān)聯(lián),所述數(shù)據(jù)庫通信地耦合到所述認證服務器���; 從使用無線設備的用戶接收用于對所述安全無線網(wǎng)絡進行訪問的請求���,所述請求包括安全性密鑰并且在所述認證服務器處接收�����; 通過比較接收到的與所述無線設備相關(guān)聯(lián)的所述安全性密鑰和與所述請求用戶的存儲用戶簡檔相關(guān)聯(lián)的一個或多個安全性密鑰�����,驗證所述安全性密鑰有效�����,該驗證發(fā)生在所述認證服務器處���; 響應于所述認證服務器查詢所述安全性密鑰是否已過期�����,確定所述安全性密鑰尚未過期��,該確定發(fā)生在所述密碼數(shù)據(jù)庫處;以及 在確定所述安全性密鑰有效并且尚未過期之后����,批準所述用戶對所述安全無線網(wǎng)絡進行訪問��。
14.一種允許對安全無線網(wǎng)絡進行訪問的方法,所述方法包括: 生成多個唯一安全性密鑰���,其中每個安全性密鑰具有預定期限�; 將所述唯一安全性密鑰保持在密碼數(shù)據(jù)庫中���,其中所述數(shù)據(jù)庫中的存儲用戶簡檔與所述唯一安全性密鑰中的一個或多個相關(guān)聯(lián)����; 當安全性密鑰已超過所述預定期限時�,更新所述密碼數(shù)據(jù)庫���; 在預定期限之前撤銷安全性密鑰并且在撤銷之后更新所述數(shù)據(jù)庫�; 從使用無線設備的用戶接收用于對所述安全無線網(wǎng)絡進行訪問的請求���,所述請求包括與所述無線設備相關(guān)聯(lián)的安全性密鑰�����; 通過比較接收到的與所述無線設備相關(guān)聯(lián)的安全性密鑰和與標識的所述用戶的存儲用戶簡檔相關(guān)聯(lián)的安全性密鑰信息,驗證接收到的安全性密鑰有效��; 在響應于對所述密碼數(shù)據(jù)庫進行查詢而確定所述安全性密鑰尚未過期或者尚未被撤銷之后,批準所述用戶對所述安全無線網(wǎng)絡進行訪問���。
15.一種允許對安全無線網(wǎng)絡進行訪問的系統(tǒng)���,所述系統(tǒng)包括: 密碼數(shù)據(jù)庫�,配置成存儲關(guān)于密碼的信息,所述密碼與被標識為屬于認證用戶的訪問簡檔相關(guān)聯(lián)�����,所述訪問 簡檔專用于所述認證用戶�,所述密碼數(shù)據(jù)庫包括表格,所述表格包括關(guān)于多個有效安全性密鑰以及每個安全性密鑰是否與無線接口設備相關(guān)聯(lián)的信息; 通信接口���,用于從無線設備接收認證請求�,所述認證請求標識所述認證用戶并且包括無線設備信息���;以及 處理器���,其可執(zhí)行用于: 確定安全性密鑰與所述無線設備信息相關(guān)聯(lián)�; 通過比較與所述無線設備信息相關(guān)聯(lián)的所述安全性密鑰和與所述請求用戶的存儲用戶簡檔相關(guān)聯(lián)的安全性密鑰信息,驗證所述安全性密鑰有效����;以及 在確定所述安全性密鑰有效并且尚未過期之后,批準所述無線設備對所述安全無線網(wǎng)絡進行訪問。
16.如權(quán)利要求15所述的系統(tǒng)�����,進一步包括: 訪問簡檔生成模塊��,其可由所述處理器執(zhí)行��,以生成用于所述認證用戶的訪問簡檔����。
17.如權(quán)利要求15所述的系統(tǒng),進一步包括: 密碼生成模塊���,其存儲在存儲器中���,并且可由處理器執(zhí)行���,以便: 隨機生成對認證用戶唯一的密碼,該用戶已被認證為被授權(quán)對所述安全無線網(wǎng)絡進行訪問��,并且 從所述密碼中導出一個或多個安全性密鑰����。
18.如權(quán)利要求17所述的系統(tǒng)����,其中�����,所述密碼生成模塊進一步可由所述處理器執(zhí)行��,以通過生成對所述用戶唯一的新的隨機密碼來更新所述密碼���。
19.如權(quán)利要求15所述的系統(tǒng),進一步包括: 可執(zhí)行指令生成模塊����,其可由所述處理器執(zhí)行���,以生成使用所述訪問簡檔以及所述安全性密鑰來配置所述無線接口以訪問所述安全無線網(wǎng)絡的可執(zhí)行指令�。
20.如權(quán)利要求15所述的系統(tǒng),進一步包括: 綁定模塊�,其存儲在存儲器中并可由所述處理器執(zhí)行,以將可執(zhí)行指令和作為所述訪問簡檔的一部分的安全性密鑰中的至少一個下載到屬于所述認證用戶的無線接口設備,其中在所述無線接口設備上執(zhí)行傳送的可執(zhí)行指令���,使用屬于所述認證用戶的訪問簡檔和安全性密鑰來配置所述無線接口設備以訪問所述安全無線網(wǎng)絡���,并且其中所述表格被更新以包括所述安全性密鑰與屬于所述認證用戶并進一步與所述訪問簡檔相關(guān)聯(lián)的無線接口設備之間的關(guān)聯(lián),其中使用所述安全性密鑰來訪問所述安全無線網(wǎng)絡被限制到屬于被關(guān)聯(lián)的訪問簡檔識別的認證用戶的 關(guān)聯(lián)的無線接口設備。
【文檔編號】H04L29/06GK103441984SQ201310291285
【公開日】2013年12月11日 申請日期:2007年4月18日 優(yōu)先權(quán)日:2006年4月24日
【發(fā)明者】朱延書, 舒明, 楊博杰, 林天元, 郭德才 申請人:魯庫斯無線公司