技術領域

本發明涉及無線局域網絡中的用戶設備鑒別。具體而言，本發明涉及一種用于無線局域網絡中的用戶設備的快速安全切換機制。

背景技術

無線局域網絡(WLAN)技術的進步已經導致在休息區、咖啡店、機場、圖書館和類似公共設施處公共可接入的熱點。目前，公共WLAN為移動通信設備(客戶端)用戶提供了對私有數據網絡(如企業內聯網)或公共數據網絡(如因特網、點對點通信和直播無線TV廣播)的接入。實現和運行公共WLAN相對低的成本、以及可用的高帶寬(通常超過10Mb/s)，使得公共WLAN成為理想的接入機制，通過該接入機制移動無線通信設備用戶可以與外部實體交換分組。

在無線局域網絡中安全性正得到提高。如IEEE?802.1x遠程鑒別等標準的采用提供了靈活性、可擴展性和更多的安全性。基本上與接入點相關聯的移動設備在能夠發送/接收數據前需要被鑒別。鑒別過程由接入點觸發，但實際上在用戶設備和稱為鑒別、授權和計費(AAA)服務器的遠程服務器(也稱作“鑒別服務器”)之間管理。一旦鑒別了移動臺/用戶設備，AAA服務器就與接入點通信，準許移動設備接入并傳輸密碼密鑰。

然而，這些標準還不是考慮到無線網絡寫成的。其結果是，當移動臺切換(即，從由接入點覆蓋的一個區域移動到由另一個接入點覆蓋的另一區域)發生時，移動臺必須再次進行全部鑒別過程。

IEEE?802.11工作組內有一個子組研究接入點間協議。該協議背后的想法是，當在兩個接入點之間發生移動臺切換時，接入點間協議允許兩個接入點與移動臺/用戶設備交換否則本將丟失的上下文數據以及分組數據。該協議可用來交換與鑒別相關的一些信息。問題在于，該協議僅涉及兩個接入點—在當前切換中涉及的兩個接入點。因此，每次移動臺在兩個接入點之間切換時，需要完整的鑒別。

當移動用戶漫游到熱點網絡中時，熱點網絡和用戶的服務提供商網絡可能需要執行漫游協議來鑒別用戶并準許用戶接入。更具體地，當用戶試圖接入公共WLAN覆蓋區域內的服務時，WLAN在準許網絡接入前，首先鑒別并授權用戶。在鑒別后，公共WLAN對移動通信設備開放安全數據信道，以保護通過WLAN和設備之間的數據的隱私。目前，很多WLAN設備的制造商已經采用了IEEE?802.1x標準用于部署的設備。因此，該標準是由WLAN使用的主流鑒別機制。不幸的是，IEEE?802.1x標準被設計成用私有LAN接入作為其用途模型。因此，IEEE?802.1x標準不提供某些將改善公共WLAN環境中的安全性的特征。

在基于web瀏覽器的鑒別方法中，移動終端(MT)通過超文本傳輸協議安全套接字(HTTPS)協議，使用web瀏覽器直接向AAA服務器(AS)鑒別，并且確保接入點(AP)(以及在MT和AS之間的路徑上的任何其他設備/部件)不能侵入或竊取機密的用戶信息。盡管該信道是安全的，但是AP不能確定鑒別的結果，除非AS明確地通知。然而，AS與MT相關的唯一信息是其在HTTPS會話的另一端的因特網協議或IP地址。當防火墻、網絡地址轉換(NAT)服務器、或web代理在電氣上位于AS和MT之間時(這通常是虛擬運營商配置的情形)，AS難以或甚至不可能發起會話來通知AP鑒別的結果并標識MT。

多數現有的WLAN熱點無線提供商使用基于web瀏覽器的解決方案用于用戶鑒別和接入控制，這被證明對用戶是便利的，并且不需要在用戶設備上下載任何軟件。在這樣的解決方案中，用戶由服務器通過HTTPS安全地鑒別，服務器然后通知無線AP準許對用戶的接入。這樣的鑒別服務器AS可以由WLAN運營商或更廣泛地稱為虛擬運營商的任何第三方提供商(如獨立服務提供商(ISP)、預付卡提供商或蜂窩運營商)擁有。

現有技術中，鑒別是通過用戶和鑒別服務器之間經安全隧道的通信實現的。這樣AP不轉換用戶和鑒別服務器之間的通信。因此，必須在AP和鑒別服務器AS之間建立稱作鑒別信息的單獨的通信，使得將鑒別信息通知給AP。

AP中的接入控制基于移動通信設備/客戶端設備的地址，其中各地址可以是物理地址(PHY)、媒體接入控制(MAC)地址或因特網協議(IP)地址，因此，當鑒別服務器返回鑒別結果到AP時，鑒別服務器可使用移動終端MTIP地址(HTTPS隧道的源地址)作為標識符。如果在AP和鑒別服務器AS之間既不存在防火墻又不存在NAT時，該方法成功。鑒別服務器接收的源地址將是web代理的地址，其不能用于標識移動終端用戶設備，因此不能由AP用于確保安全連接。

需要的是一種提高無線局域網中的切換速度而不犧牲安全性的機制。

發明內容