本申請是申請日為2005年4月22日、申請號為200580049552.0、發明名稱為“安全的匿名無線局域網（WLAN）接入機制”的發明專利申請的分案申請。

技術領域

本發明涉及用于允許移動通信設備去安全地接入無線局域網(WLAN)的機制/技術。

背景技術

隨著無線網絡的激增，許多的行業采用它們以便利其移動工作。由于與有線網絡相比，無線網絡更加容易被非法使用和竊聽，因此公司要求授權的用戶向網絡提供某種形式的憑證以便獲得接入。該憑證可以是以下的一個或多個：?

●用戶名/口令組合；

●類似安全ID的硬件令牌（token）；

●類似指紋的生物測定標識。

該無線網絡維護合法、經授權的用戶的數據庫(DB)，并且根據這個數據庫檢查用戶的憑證。換句話說，用戶必須能夠證明其身份，以便獲得對網絡安全接入。但是，存在另一類的用戶。這些是接入商業機構的、公司的訪客(商業伙伴、客戶等等）。這樣的用戶在DB中沒有帳戶。典型地，這些訪客被給予臨時的憑證，在他們的接入期間他們可以使用該憑證。這導致若干管理問題：

●需要在數據庫中維護訪客帳戶。

●如果使用硬件令牌，在離開時訪客有可能忘記將其返還。在這種情況下，該令牌必須被撤銷。

發明內容

作為一個可供選擇的辦法，企業可以提供(在邏輯或者物理上)單獨的無線網絡，專門地供訪客使用。典型地，這個網絡與公司網絡隔離，并且任何人無需提供憑證給該網絡就可以接入它。換句話說，該網絡對其用戶提供匿名接入。在下文中，這個網絡被稱作“訪客網絡”或者“訪客WLAN”。即使沒有進行用戶驗證，該無線鏈路也必須被保護以防止竊聽。在沒有無線鏈路安全的情況下，所有訪客網絡流量都是不加密地發送的。

在訪客網絡/WLAN中，接入點(AP)是該訪客網絡的入口點。此外，該訪客網絡/WLAN具有與本發明有關的以下的部件：

●web服務器

●分組過濾器和重定向器

●可選擇的移動代碼(ActiveX/插件)

web服務器、分組過濾器和重定向器可以與AP位于在同一地點。

在本發明中，不進行用戶驗證。在正常瀏覽器交互之后開始該登錄過程，而不需要任何用戶憑證。其次，啟動保護無線鏈路的該登錄步驟是由對HTTPS網頁的接入產生的。通過使用HTTPS，用戶可以確保該網絡/WLAN屬于他/她正在接入的站點（用戶可以驗證頒布給該站點的數字證書）。最后，該安全密鑰被設置在客戶機器(移動通信設備)和AP兩者上。因此，該無線鏈路是安全的。

描述了一種用于對無線局域網提供安全、匿名接入的方法和系統，包括：配置接入點以丟棄除了呈現HTTP和HTTPS協議的分組之外的分組，由接入點經由web瀏覽器從移動設備截取一個HTTP接入請求，由接入點將HTTP接入請求重定向到web服務器，由接入點和web服務器的一個產生安全密鑰，由接入點將產生的安全密鑰安全地與所述web服務器交換，或者由web服務器將產生的安全密鑰安全地與所述接入點交換，和由接入點設置安全密鑰。還描述了一種移動設備，包括：用于經由HTTP接入請求轉發供安全接入無線局域網的請求的裝置，用于接收移動代碼或者供顯示安全密鑰的信號的裝置，和用于設置安全密鑰的裝置。

提供了一種用于移動設備對無線局域網的安全匿名接入的方法，所述方法包括：所述移動設備經由web瀏覽器接入所述無線局域網的接入點；所述移動設備從所述接入點接收安全的重定向的安全密鑰；所述移動設備設置所述安全密鑰；以及在會話的持續時間內，所述移動設備使用所述安全密鑰與所述無線局域網安全地通信。

附圖說明

從以下與附圖結合閱讀的優選實施例的詳細說明中，本發明的這些和其他的方面、特征和優點將變得顯而易見。

圖1是用于實施建立對網絡（例如，無線局域網）的安全匿名接入方法的系統的方框圖。

圖2A是描繪為了允許對訪客網絡安全無線局域網接入、在網絡/WLAN和移動通信設備之間按時間順序發生的通信的一個實施例的“梯形”示意圖。

圖2B是描述為了允許對訪客網絡安全無線局域網接入、在網絡/WLAN和移動通信設備之間按時間順序發生的通信的替代實施例的“梯形”示意圖。

圖3是在提供安全匿名無線局域網接入時涉及的部件的方框圖。

具體實施方式