[发明专利]用于在基于UAM的WLAN网络中对网络节点进行认证的方法和系统

说明书

技术领域

这里提出的发明涉及用于在无线局域网（WLAN）或其它分组数据网络中对移动网络节点进行认证的方法和系统。经由无线网络接口（NIC），移动网络节点在接入点（AP）处请求对WLAN的接入，其中，在封闭的第一网络区域（围墙花园（Walled Garden））内，在借助于移动网络节点的认证之前，建立高达层3协议层（L3）的所有网络协议层。在作为强制网络门户的网络服务器与移动网络节点之间，使用通用接入方法（UAM）在层3协议层中传送包含移动网络节点的认证数据的消息。如果授权是成功的，则网络接入服务器（NAS）使得移动网络节点能够接入第二网络区域。最特别地，本发明涉及用于包括具有授权和授权数据的SIM卡（订户身份模块）作为例如基于授权的IMSI（国际移动订户身份）和软件证书（例如SSL证书）的移动网络节点的方法。

背景技术

现在，无线因特网服务提供商（WISP）在向客户提供固定或移动无线服务中扮演重要角色。使用Wi-Fi或其它无线方法，WISP在诸如机场、旅店、饭馆、购物中心等公共场所中提供因特网接入。Wi-Fi是用于基于IEEE（电气和电子工程师协会）802.11标准的产品的Wi-Fi联盟的证明商标。为了实现公共无线因特网服务，WISP可以使用例如基于EAP认证（IETF RFC 3748）的移动WiMAX（微波接入全球互通）、基于IEEE 802.1x标准的WLAN或基于WISPr和用IEEE 802.11标准的UAM（通用接入方法）的WLAN来向全世界的客户传送因特网接入。UAM是一种允许订户接入WLAN网络（作为例如Wi-Fi网络）的方法，由此，仅使用因特网浏览器。因特网浏览器用登录页面打开，在登录页面中，用户必须在被许可接入网络之前填写其证书（通常是用户名和口令）。除客户的认证和授权之外，WISP还提供例如用于数字内容的网络支付服务。此类网络支付服务能够向因特网服务提供商（ISP）、电话公司或信用卡帐户开帐单。WISP还常常支持微支付以在月末对帐户充值。

在现有技术中，对公共WLAN的接入认证和授权主要是基于所述UAM和WISPr，两者都是基于HTTP的并因此要求移动设备获得对基础设施的IP接入（参见图2）。UAM和WISPr仅仅被提供用于用户名/口令认证，而不用于基于SIM或证书的认证。因此，当实现基于当今的UAM和WISPr的实际漫游时存在严重的障碍，例如，如果运营商想要漫游的话，其不得不使用用户名/口令，这对于用来用智能卡工作的某种类型的运营商（例如GSM）而言是非常不方便的。另一方面，移动WiMAX是基于EAP认证、一般支持用户名/口令的IETF（因特网工程任务组）限定标准、SIM（订户身份模块）或智能卡和基于证书的认证的（参见图1)。现在，通过使用IEEE 802.1x标准，在WLAN上可以实现基于EAP的认证。然而，802.1x与UAM和WISPr接入是不兼容的。想要以对其网络的较少接入（即用由信用卡进行支付的即时接入）出售订阅的运营商需要UAM方法。想要支持EAP和UAM两者的运营商因此必须具有双基础设施，其广播例如两个SSID（服务集标识符），并且是相当成本密集的投资。如所述，可以将IEEE 802.1x用于无线LAN内的用户的认证。802.1x是来自电气和电子工程师标准协会机构的开放源IEEE协议。IEEE 802.1x认证允许对诸如例如以太网、令牌环和/或802.11无线LAN的IEEE 802的认证接入。802.11协议为无线LAN、即为无线局域网生成2.4 GHz波段中的1 Mbps、2 Mbps或11 Mbps传输，由此，使用FHSS（跳频扩展频谱）或者DSSS（直接序列扩展频谱）。对于认证而言，802.1x支持认证EAP（可扩展认证协议）和EAP-TLS（无线传输层安全，RFC 2716（PPP EAP TLS认证协议））。作为一般认证方案，EAP向被访问网络隐藏归属网络运营商正在使用的证书类型。EAP的实施方式包括EAP-SIM（用于全球移动通信系统（GSM）订户身份模块（SIM），RFC 4186的EAP）、EAP-AKA（用于UMTS认证和密钥协议、RFC 4187的可扩展认证协议方法）、EAP-TLS、EAP-TTLS（EAP隧道传输层安全）。802.11还支持RADIUS。虽然RADIUS支持在802.1x中是可选的，但可以预期大多数802.1x认证器将支持RADIUS。IEEE 802.1x协议是所谓的基于端口的认证协议。其可以在其中能够指定端口（即单元的接口）的每个环境中使用。用基于802.1x的认证，可以区别三个单元：用户（请求者/客户端）的单元、认证器和认证服务器。对请求者进行认证是认证器的作用。认证器和请求者例如经由点到点LAN段或802.11无线LAN相连。认证器和请求者具有限定端口，即所谓的端口接入入口（PAE），其定义物理或虚拟802.1x端口。认证服务器生成认证器所需的认证服务。这样，其检验由请求者提供的关于采取的身份的权限数据。