在公共无线局域网中 具有移动性的认证系统和方法 【技术领域】
本发明涉及无线终端的认证,尤其涉及在公共无线局域网(LAN)中具有移动性的系统和方法,所述局域网允许无线终端接入一个子网的接入点并接收认证,以及确认认证和计费,即使该无线终端移动到一个不同的子网的接入点也是可以的。
背景技术
引导通用公共无线LAN的802.11b标准并没有覆盖认证功能。为了验证用户,已经采用了801.1x。也就是说,无线LAN并不支持广泛的移动性。
为了让使用无线LAN的无线终端能够在接入点之间进行漫游,所述的接入点必须添加漫游功能。为此,标准化的进程已经在IEEE802.11f下进行。一些公司通过添加固有功能来支持无线终端在接入点之间进行漫游。这里,漫游包含了位于同一子网内的接入点之间的移动。
图1是一个示出无线网络运营商地传统LAN系统示意图。参考标记10表示网络,WT表示无线终端,20表示接入点,30表示IP网络核心,40表示无线网络,42表示认证服务器,44表示无线网络运营商核心,46表示移动交换中心/归属位置寄存器(MSC/HLR),以及48表示计费网关。
无线网络运营商的传统LAN系统向无线网络运营商核心44发送控制信号数据。接入点20将用户数据分组直接路由到IP网络核心30来接入公共或个人业务。
参考图1,无线终端接入接入点20并从接入点20接收IP地址。所述接入点20发送认证请求到由在接入网络和信令网络之间的网关构成的认证服务器42。所述认证服务器42询问HLR46有关的认证数据,并根据所述认证数据来验证用户。
图2示出了图1的传统公共无线LAN和无线网络运营商系统认证过程的具体视图。
如图2所示的,无线终端WT通过接入点20接入网络10(S11)。此后,无线终端WT从接入点20接收IP地址并向接入点20发送初始认证请求。认证服务器42访问MSC/HLR46并向HLR请求一个三位字节(triplet)。然后,认证服务器42根据由RAND计算出的消息认证代码通过接入点20来向无线终端WT发送随机数认证(RAND)(S21)。
所述消息认证代码实现在无线网络40和无线终端WT之间的相互认证。无线终端WT计算一个消息认证代码并将计算的结果与来自网络10的消息认证代码进行比较(S23)。
当无线终端WT发送所计算的消息认证代码到接入点20时,接入点20就发送响应到认证服务器42(S27和S29)。认证服务器42计算一个消息认证代码并验证无线终端WT的响应(S31)。此后,认证服务器42向接入点发送认证结束代码(S33)。这里,当认证是成功的时候,接入点20通知认证服务器42开始新帐户会话(S35)。
最后,接入点20路由终端数据分组并发送确认信号到无线终端WT(S37)。
然而,传统方法总是请求重新认证来漫游。也就是,当无线终端移动到一个新的接入点区域时,该无线终端必须由新的接入点认证。这种重新认证并不保证数据的连续性。此外,相关的方法并不包括计费过程,从而不能令运营商满意。
【发明内容】
因此,本发明的一个目的是提供一种在公共无线LAN中具有移动性的认证系统和方法,其能够通过基于先前认证的注册信息认证无线终端来保证无线终端的移动性,即使由一个接入点认证的该无线终端移动到不同子网的另一个接入点也可以。
为了实现本发明的上述目的,提供了一种在公共无线LAN中具有移动性的认证系统,所述LAN通过无线网络运营商的认证服务器来处理认证和计费,所述系统包括:无线地连接到无线终端的接入点,用于输出带有所述无线终端信息的认证请求消息或计费请求消息并请求对所述无线终端进行认证和计费,和接收认证响应消息并使得所认证的无线终端能够传输和接收数据;和接入点管理器,用于从所述接入点接收所述无线终端的认证请求消息,确认所述无线终端是否已经被认证,当所述无线终端还没有被认证时,发送所述认证请求消息到所述无线网络运营商的认证服务器并发送所接收到的认证响应消息到所述接入点,而当所述无线终端已经被认证时,则基于所注册的认证信息发送所述认证响应消息到所述无线接入点。
根据本发明的另一方面,一种在公共无线LAN中具有移动性的认证方法,所述LAN从接入点接收无线终端的认证或计费请求消息并通过无线网络运营商的认证服务器来处理认证和计费,所述方法包括:认证步骤,用于从所述接入点接收所述认证请求消息,基于所述认证请求消息认证所述无线终端,并将认证响应消息发送到相应的接入点;和计费步骤,用于从所述接入点接收计费请求消息并将所接收到的计费请求消息发送到所述认证服务器,和从所述认证服务器接收计费请求响应消息并将所接收到的计费请求响应消息发送到所述接入点。
根据本发明的另一个方面,一种在公共无线LAN中具有移动性的认证方法,在所述LAN中,接入点通过接入点管理器来请求认证和计费无线终端,所述方法包括:将接入点无线地连接到所述无线终端的步骤;用于添加所述无线终端信息到认证请求消息并将其发送到所述接入点管理器的认证请求步骤;和用于从所述接入点管理器接收响应于在所述认证请求步骤发送的认证请求消息的认证响应消息,并有选择地请求所述接入点管理器基于包括在所述认证响应消息中的所述认证信息开始计费。
【附图说明】
参考附图本发明将更加清楚,但其仅仅是作为举例说明的方式给出,并不是对本发明的限制,其中:
图1示出了传统公共无线LAN和无线网络运营商系统的接入状态的示意图;
图2示出了图1的传统公共无线LAN和无线网络运营商系统的认证处理过程的详细视图;
图3示出了根据本发明的一个优选实施例的公共无线LAN和无线网络运营商系统的认证和计费系统的结构视图;
图4示出了用来在图3的无线终端、接入点、接入点管理器和认证服务器之间处理认证和计费的协议;
图5示出了图4的认证请求消息、认证响应消息和无线终端状态消息的格式;
图6示出了图4的接入点的操作的详细流程图;和
图7示出了图4的接入点管理器的操作的详细流程图。
【具体实施方式】
现在参考图3到7来具体描述根据本发明优选实施例的公共无线LAN中具有移动性的认证系统和方法。
图3示出了根据本发明的优选实施例的公共无线LAN和无线网络运营商系统的认证系统的结构示意图。参考标记120和140表示接入点,130表示IP网络核心,160表示接入点管理器(APM),310表示认证服务器,320表示MSC/HLR,330表示无线网络运营商核心,和340表示计费网关。此外,WT表示无线终端,MSC是移动交换中心而HLR是归属位置寄存器。
如图3所描述的,多个接入点120和140接入IP网络核心130。每个接入点120和140构成了用来将多个无线终端WT无线接入到IP网络核心130的子网。根据运营商的网络结构,必需数量的接入点可以接入IP网络核心130。
接入点管理器160接入IP网络核心130来管理接入IP网络核心的全部接入点120和140的认证和计费。此外,接入点管理器160接入无线网络运营商的认证服务器310。
还是参考图3,参考300表示无线网络运营商的区域。认证服务器310,MSC/HLR320和计费网关340接入无线网络运营商核心330。
因此,接入点管理器160通过无线网络运营商的认证服务器310请求认证和计费。当从接入点管理器160接收认证请求时,接入无线网络运营商核心330的认证服务器310通过MSC/HLR320来处理所述认证请求,并且,当接收计费请求时,认证服务器310通过计费网关340处理计费请求。此后,认证服务器310发送认证请求或计费请求结果到接入点管理器160。
图4示出了在图3的无线终端WT、接入点AP、接入点管理器APM和认证服务器310中处理认证和计费的协议。参考标记WT代表无线终端,AP1表示第一接入点120,APn表示第n个接入点140,和APM表示接入点管理器160。
图4示出了直到与第一接入点区域110的第一接入点AP1相关的无线终端WT接入第n个接入点区域150的第n个接入点140并结束接入第n个接入点140的消息发送过程。
所述无线终端WT与第一接入点AP1相关。这里,第一接入点AP1发送认证请求消息Aut-request到接入点管理器APM(S120)。所述认证请求消息Aut-request包括用户ID和密码信息。此外,所述认证请求消息Aut-request包括当前发送所述认证请求消息的接入点AP1的IP地址。
接入点管理器APM在第一接入点AP1的认证请求上通过认证服务器310来验证所述无线终端WT(S130)。在接入点管理器APM和认证服务器310之间的认证通过有选择地使用例如MD-5、TLS、SRP和OTP来处理。从而验证所述无线终端。所述接入点管理器APM发送认证响应消息Aut-response到相应的接入点AP1(S140)。这里,所述认证响应消息Aut-response包括认证注册信息。
当完成无线终端WT的认证时,第一接入点AP1能够使所述无线终端WT进行数据传输和接收,并向接入点管理器APM发送计费开始请求消息Acc-request(start)(S150)。所述接入点管理器APM发送从第一接入点AP1接收的计费开始请求消息Acc-request(start)到认证服务器310来开始计费(S160)。
当接入点管理器APM从认证服务器310接收到计费开始响应消息Acc-response(start)时(S170),它发送所述计费开始响应消息Acc-response(start)到第一接入点AP1。第一接入点AP1通过无线终端状态消息Wireless teminal-status向接入点管理器APM发送所验证的无线终端的信息(S190)。
从而,由于无线终端WT和第一接入点AP1之间的关联而开始第一认证和计费。现在将具体解释无线终端WT与第n接入点APn相关和完成认证的过程。
当无线终端WT移动到第n个接入点APn时,无线终端WT与第n个接入点APn重新相关(S210)。第n个接入点APn向接入点管理器APM发送认证请求消息Aut-request(S220)。接收认证请求消息Aut-request的接入点管理器APM提取包括在认证请求消息Aut-request中的无线终端WT的信息,并确认无线终端WT是否已经被认证。由于无线终端WT已经被认证,接入点管理器APM不再向认证服务器301请求认证而只是向第n个接入点APn发送认证响应消息Aut-response来进行认证(S230)。当包括在接收的认证请求消息Aut-request中的无线终端WT的MAC地址和分配的IP地址与存储在管理表中的无线终端WT的MAC地址和分配的IP地址一致时并且当接入点的IP地址变化时,接入点管理器APM验证所述无线终端WT。
当从接入点管理器APM接收到认证响应消息Aut-response时(S230),第n个接入点APn使得无线终端WT能够进行数据传输和接收。
当第n个接入点APn在数据传输期间从无线终端WT接收到一个注销请求或者由于数据传输的中断而产生超时时(S240),第n个接入点APn向接入点管理器APM发送计费停止请求消息Acc-request(stop)来停止计费(S250)。
接入点管理器APM向认证服务器310发送从第n个接入点APn接收的计费停止请求消息Acc-request(stop)(S260)。此后,当从认证服务器310接收计费停止响应消息Acc-response(stop)时(S270),接入点管理器APM将其发送到第n接入点APn(S280)。从而,完成在第n个接入点APn和认证服务器310之间的认证(S290)。
图5示出了图4的认证请求消息、认证响应消息和无线终端状态消息的格式。
图5a示出了所述认证请求消息的格式。
这里,ISAMP版本是表示暗示本发明协议的内部子网接入点移动协议版本的字段,并且例如由一个字节构成。识别符是表示消息识别符的字段并由例如两个字节构成。长度是表示IARP分组的长度的字段并由例如两个字节构成。AP-IP地址是表示当前接入点的地址的字段。无线终端MAC地址包括作为表示当前相关的无线终端的介质接入控制(MAC)地址的字段定义的地址长度。用户ID是表示用户身份的字段。序列号是表示序列号的字段并由两个字节构成。例如,序列号具有从0到2048的值。
图5b示出了认证响应消息的格式。
这里,ISAMP版本是表示内部子网接入点移动协议版本的字段,并例如由一个字节构成。识别符是表示消息识别符的字段并由例如两个字节构成。长度是表示IARP分组的长度的字段并由例如两个字节构成。AP-IP地址是表示当前接入点的地址的字段。连接是表示认证注册标识的字段并由例如一个字节构成。连接分别地显示了无线终端首先请求认证的状态和已经被认证和注册的无线终端请求认证的状态。例如,连接被作为00h为新注册的无线终端建立和11h为以前注册的无线终端。序列号是表示序列号的字段并由两个字节构成。例如,序列号具有从0到2048的值。
图5c示出了无线终端状态消息的格式。
这里,ISAMP版本是表示内部子网接入点移动协议版本的字段,并例如由一个字节构成。识别符是表示消息识别符的字段并由例如两个字节构成。长度是表示IARP分组的长度的字段并由例如两个字节构成。AP-IP地址是表示当前接入点的地址的字段。无线终端MAC地址包括作为表示当前相关的无线终端的介质接入控制地址的字段定义的地址长度。无线终端IP地址是表示分配给所述无线终端的IP地址的字段。序列号是表示序列号的字段并由两个字节构成。例如,序列号具有从0到2048的值。
图6示出了图4的接入点的操作的详细流程图。
接入点AP在每个区域与无线终端WT相关联(S310)。接着,接入点AP提供无线终端信息和接入点信息到接入点管理器APM来请求认证(S320)。这里,接入点AP通过认证请求消息Aut-request向接入点管理器APM发送所述信息。
接入点AP确认接入点管理器APM是否响应于所述认证请求(S330)。这里,接入点AP从接入点管理器APM通过认证响应消息Aut-response来接收认证信息。
当正常完成所述认证时,接入点AP分析所接收的认证响应消息,并确认无线终端WT是否已经被注册或是否是新注册的(S340)。例如,当认证响应消息Aut-response的连接字段的值是00h时,接入点AP确定无线终端是新注册的,而当连接字段的值是11h时,接入点AP确定无线终端已经被注册。
当所述无线终端是新注册的(00h)时,接入点AP请求接入点管理器APM来开始计费(S350)。这里,接入点AP通过计费开始请求消息Acc-request(start)发送信息。此外,接入点AP使无线终端WT能够进行数据传输和接收(S360)。当从接入点管理器APM接收到计费开始请求响应时(S370),接入点AP向接入点管理器APM发送无线终端状态信息(S380)。所述无线终端状态信息被从接入点AP通过无线终端状态信息Wireless terminal-staus发送到接入点管理器APM。
另一方面,当接入点AP通过分析所述认证响应消息Aut-response(11h)确认无线终端WT已经注册时,接入点AP并不请求接入点管理器APM来开始计费而是持续使无线终端能够进行数据传输和接收(S385)。
此外,接入点AP确认是否从无线终端WT接收到注销请求或是否产生了超时(S390)。如果是,接入点AP请求接入点管理器APM停止计费(S400)。这里,接入点AP通过计费停止请求消息Acc-request(stop)发送该信息。接入点AP从接入点管理器APM接收计费停止请求响应消息(S410)。从而,完成在接入点AP和认证服务器310之间的无线终端WT的认证(S420)。
图7示出了图4的接入点管理器APM的操作的详细流程图。
接入点管理器APM确认是否从接入点AP接收到认证请求(S510)。这里,接入点管理器APM从接入点AP接收所述认证请求消息Aut-request。当从所述接入点AP接收到所述认证请求消息时,接入点管理器APM通过分析所述认证请求消息Aut-request来确认无线终端WT是否已经被验证(S610)。即,接入点管理器APM通过参考包括在所接收的认证请求消息Aut-request中的无线终端WT的MAC地址和IP地址以及接入点AP的IP地址来确认无线终端WT是否已经被验证。
在无线终端WT还没有被验证的情况下,接入点管理器APM向认证服务器310发送认证请求消息Aut-request来请求认证(S620)。此后,接入点管理器APM从认证服务器310接收所述认证信息(S630)。当所述认证被正常处理时,接入点管理器APM存储所述无线终端的信息、接入点信息和认证信息(S640)。接入点管理器APM向请求认证的接入点AP发送认证响应消息Aut-response(S650)。这里,接入点管理器APM设置认证响应消息Aut-response的连接字段,例如为00h,从而通知所述无线终端WT是新验证的。
当无线终端WT已被验证时,接入点管理器APM并不向认证服务器310请求认证而是直接验证无线终端WT。这里,接入点管理器APM更新并存储包括在所述认证请求消息Aut-request中的接入点AP的IP地址(S660)。此后,接入点管理器APM向请求认证的接入点AP发送认证响应消息Aut-response。这里,接入点管理器APM设置所述认证响应消息Aut-response的连接字段,例如为11h,由此通知所述无线终端WT已经被认证。
另一方面,接入点管理器APM确认是否从接入点AP接收到计费请求信号(S520)。当从接入点AP接收到计费开始请求消息Acc-request(start)时,接入点管理器APM向认证服务器310发送所述计费开始请求消息Acc-request(start)来请求计费(S530)。此后,当从认证服务器310接收到计费开始响应消息Acc-response(start)时,接入点管理器APM向相应的接入点AP发送计费开始响应消息Acc-response(start)(S550)。此外,接入点管理器APM从接入点AP接收表明无线终端WT状态的无线终端状态消息Wirelessterminal-status(S560)。
当从接入点AP接收到所述计费停止消息Acc-request(stop)时,接入点管理器APM向认证服务器310发送所接收的计费停止请求消息Acc-request(stop)来停止计费(S570)。然后,当从认证服务器310接收到所述计费停止响应消息Acc-response(stop)时,接入点管理器APM向相应的接入点AP发送所述计费停止响应消息Acc-response(stop)(S590)。从而,完成在接入点AP和认证服务器310之间的无线终端WT的认证(S600)。
由于本发明可以在不脱离其精神或实质特征的情况下以多种形式来实施,因此也应该理解到上述的实施例并不由前述描述的任何具体细节来限制,除非特别指明,而应该在所附的权利要求书定义的精神和范围内作宽泛的解释,并且因此所有的变化和修改都落入权利要求书的范围内,或该范围的等同物因此而包含在所附的权利要求书中。
正如前面所讨论的,根据本发明,当无线终端在相同子网和不同子网的接入点之间移动时,接入点管理器管理预先验证信息并在所述接入点验证所述无线终端。从而,无线终端可以无需重新认证而连续地接入所述网络,从而实现移动性和处理计费。