安全無線網絡中的動態認證的制作方法
【專利摘要】提供用于在安全無線網絡中使用成對動態密碼來認證的系統和方法。每一認證用戶被分配所生成的、對所述用戶唯一的隨機密碼。該密碼與屬于所述用戶的無線接口關聯,從而沒有其它無線接口可以使用相同密碼來訪問網絡。可以周期性地、或者根據網絡管理員的請求來對密碼進行更新,并且可以要求所述無線網絡的重新認證。
【專利說明】安全無線網絡中的動態認證
[0001]本申請為于2008年11月26日提交、申請號為200780019389.2、發明名稱為“安全無線網絡中的動態認證”的中國專利申請的分案申請。所述母案申請的國際申請日為2007年4月18日,國際申請號為PCT/US2007/009503。
[0002]相關申請的交叉引用
[0003]本申請要求于2006年4月24日提交的題為“Mechanisms and Apparatus toProvide Pre-Shared Key Authentication with Dynamic Secret on Wireless Networks,,的美國臨時專利申請60/794,625以及于2006年5月2日提交的題為“Mechanisms andApparatus for Automatic Wireless Connection Based on Provisioned Configuration,,的美國臨時專利申請60/796,845的優先權。這兩個申請的公開通過引用合并到此。
【技術領域】
[0004]本發明總體涉及信息網絡安全性。更具體地說,本發明涉及用于安全無線網絡的用戶友好的低維護性認證。
【背景技術】
[0005]很多專業組織已經提議了用于無線網絡的各種用戶認證和安全性措施。這些專業組織包括電氣和電子工程師協會(IEEE) 802.11工作組、W1-Fi聯盟、互聯網工程任務組(IETF)0實現這些提議通常很復雜、難以維護,并且需要那些實現具體提議的人的高級技術知識。因此,因為很多商業組織(例如小型公司和中型公司)缺少專家和/或全職專業技術支持,所以他們無法部署這樣的措施。
[0006]在早期的無線網絡(例如IEEE802.11或W1-Fi)中,通過有線等效保密(WEP)系統來實現安全性。部署WEP系統僅需要網絡管理員在接入點或接入設備處定義WEP密鑰集。任意用戶可以通過擁有在該用戶的客戶機站(例如膝上型設備或移動設備)中手動配置的相同WEP密鑰集來訪問WEP安全無線網絡。將使用共享WEP密鑰集通過定義的加密算法來對客戶機站與接入點之間的無線數據通信進行加密。
[0007]盡管WEP可以防止偶發的入侵者訪問無線網絡,但是WEP不可能抵擋更嚴重的安全性攻擊。例如,通過使用公共可用的軟件可以很容易地發現WEP密鑰。此外,由于所有用戶共享相同密鑰,因此WEP不能保護網絡用戶免受彼此的攻擊。因為基于WEP的安全性系統中的這些缺陷,所以發展出了替代的安全性措施。這些新的措施通常需要無線網絡用戶首先以某種方式被認證,然后導出密鑰集并用于無線業務加密。這些已提議的認證措施通常可以被分為兩組:可擴展認證協議(EAP)和預共享密鑰(PSK)。
[0008]EAP組的安全性措施通常采用IEEE802.1x標準,其使用可擴展認證協議。基于EAP的安全性系統使得能夠在認證服務器與其用戶之間進行相互認證。認證服務器可以駐留在接入點、基站或外部設備中。通常,認證服務器提供推導出的成對主密鑰,以在接入點與用戶客戶機站之間進行共享。成對主密鑰可以用于導出密鑰集,密鑰集可以用于數據加密。
[0009]實現基于EAP或IEEE802.1x的安全性系統的主要障礙在于它們的復雜性。部署這樣的系統需要高級技術專家以及對用戶進行持續技術支持。例如,很多基于EAP的系統需要將安全性證書安裝到認證服務器。根據基于EAP的系統的確切需求,客戶機站可能還需要被授權確立證書更新,和/或在可被批準訪問無線網絡之前預裝安全性證書。
[0010]與之對照,PSK安全性系統是基于在客戶機站與接入點兩者之間共享的并且在客戶機站與接入點上存儲的密碼的。該密碼可以是例如長比特流(例如過關短語、口令、十六進制串等等)。由客戶機站和接入點用于對彼此進行認證的密碼也可以用于生成加密密鑰集。
[0011]基于PSK的系統的主要缺點在于,必須將密碼手動輸入到客戶機站,并且由所有客戶機站共享該密碼。一旦共享的密碼被未授權的人員獲知,則危及整個網絡的安全性。這可能在需要向臨時雇員提供網絡訪問或具有高流動性的勞動力的組織中產生問題。為了維護基于PSK的系統的安全性,只要知道密碼的人離開組織或者不再被授權訪問網絡,都必須改變所有客戶機站上的密碼。
[0012]雖然很多措施可用于確保無線網絡安全,但實現這些措施中的任意一項都可能很復雜、困難,和/或需要大量維護。因此,本領域需要改進的方法和系統,其為無線網絡提供對用戶友好的并且容易維護的安全性,而不需要高級技術專家和持續技術支持。
【發明內容】
[0013]本發明的示例性系統和方法提供在安全無線網絡中對動態密碼進行配對。對于每一認證用戶生成隨機密碼。該密碼是對所述用戶唯一的,并且網絡中的其它用戶不可以使用該密碼來訪問網絡。此外,將所述密碼與屬于所述用戶的無線接口關聯或者綁定,從而屬于其它用戶的其它無線接口不可以使用該密碼來訪問網絡。
[0014]本發明的各個實施例包括用于對所述動態密碼進行配對的方法。在生成所述密碼和/或將其與訪問簡檔關聯之后,密碼即與無線接口關聯,或者在延遲之后密碼與所述無線接口關聯。某些實施例通過生成可執行指令來配置無線接口訪問無線網絡而將密碼與無線接口關聯。配置可以包括:連同所述密碼的拷貝、從所述密碼推導出的任意安全性密鑰以及用戶的訪問簡檔一起將所述可執行指令的拷貝傳送到所述無線接口。本發明的各個實施例進一步包括:更新所述密鑰,這需要在允許所述無線接口重新連接到所述無線網絡或者繼續其對所述無線網絡的連接之前對所述無線接口進行重新認證。
[0015]本發明的實施例包括用于在安全無線網絡中對動態密碼進行配對的系統。所述系統可以包括:密碼生成模塊、綁定模塊、密碼數據庫。所述密碼由密碼生成模塊來生成,并且由綁定模塊將其與無線接口關聯(綁定)。所述密碼數據庫存儲關于密碼、與用戶簡檔的關聯關系、與無線接口的關聯關系等等的信息。某些實施例進一步包括:訪問簡檔生成模塊、可執行指令生成模塊等等。所述訪問簡檔生成模塊生成用于用戶的訪問簡檔。所述可執行指令生成模塊生成用于配置無線接口以便訪問無線網絡的可執行指令。
[0016]本發明某些實施例包括:計算機介質和指令,其用于在安全無線網絡中對動態密碼進行配對。某些實施例進一步包括:用于更新所述密碼并且要求對無線接口進行重新認證的指令。
【專利附圖】
【附圖說明】[0017]圖1是根據本發明示例性實施例的用于安全無線網絡的認證系統的示圖。
[0018]圖2是示出在安全無線網絡中使用成對密碼的方法的流程圖。
[0019]圖3是示出在安全無線網絡中使用成對密碼的替代方法的流程圖。
[0020]圖4是示出在安全無線網絡中使用安全性密鑰的方法的流程圖。
【具體實施方式】
[0021]本發明包括通過使用動態密碼在安全無線網絡中使用對用戶友好的低維護性認證的系統和方法。成對密碼在客戶機站與接入點之間被共享。針對每一認證用戶動態地生成這些密碼,并且將這些密碼與用戶的訪問簡檔關聯。這些密碼還可以與屬于該用戶的特定客戶機站或無線接口關聯。在本發明某些實施例中,在密碼過期的時間點,用戶必須進行重新認證,以繼續訪問無線網絡。
[0022]圖1是根據本發明示例性實施例的用于安全無線網絡170的認證系統100的示圖。圖1所示的認證服務器100包括:認證模塊110、訪問簡檔生成模塊120、密碼生成模塊130、密碼數據庫140、綁定模塊150、可執行指令生成模塊160。認證服務器100可以用于維護網絡170中的安全性。各種客戶機設備(例如無線工作站180a、膝上計算機180b和移動設備180c)屬于網絡170的潛在用戶。
[0023]本發明中所指的模塊(或應用)應該廣義地理解為執行各種系統級功能的程序的集合,并且可以根據需要由硬件和設備動態地加載或者卸載。在此所描述的模塊化軟件部件也可以被合并為更大的軟件平臺的一部分,或被集成為應用特定部件的一部分。
[0024]認證模塊110對用戶(例如膝上計算機180b)進行認證,并且驗證該用戶是否是他們所聲稱的用戶,否則驗證他們是否被授權訪問網絡170。認證模塊110可以用于驗證用戶提供的用戶名和口令。可以通過與認證數據庫中存儲的用戶名和口令進行比較來進行驗證,認證數據庫可以獨立于認證模塊110,或者被合并到認證模塊110。在某些實施例中,認證數據庫可以與如下所述的密碼數據庫140集成。一旦由認證模塊110進行了認證,用戶就可以基于由網絡管理員定義的、并且可以進一步受成對密碼或導出密鑰管制的用戶的安全許可級別、用戶在組織中的角色的參數而在網絡170內訪問數據和執行動作。
[0025]訪問簡檔生成模塊120針對認證模塊110所認證的用戶生成訪問簡檔。用戶訪問簡檔可以至少包括隨機成對密碼和可執行指令,在此進一步描述。訪問簡檔可以進一步包括關于用戶的信息,例如認證信息、安全信息、用戶愛好等等。為了訪問網絡170,用戶將用戶訪問簡檔拷貝、下載或者另外傳送到用戶客戶機設備(例如膝上計算機180b)。可以通過利用基于安全套接層的超文本傳輸協議(HTTPS)的公共web瀏覽器來安全地獲得訪問簡檔。可執行指令自動配置無線設備,從而它們可以訪問無線網絡170。
[0026]密碼生成模塊130生成用于每一用戶的隨機密碼。可以由密碼生成模塊130使用各種算法和公式來隨機地生成密碼。通過提供隨機密碼,密碼生成模塊130給潛在入侵者增加了對特定密碼進行推演或者確定并非法獲取對網絡170的訪問的難度。密碼生成模塊130進一步被配置為:確定每一密碼是對每一用戶唯一的,從而每一密碼可以僅由一個用戶使用。密碼可以被綁定為訪問簡檔的一部分。密碼將用于對無線設備進行認證,使得無線設備可以訪問無線網絡170。在某些實施例中,密碼生成模塊130可以從特定密碼推導出用于用戶的一個或多個安全性密鑰集。類似于密碼,安全性密鑰可以與無線設備關聯,并且用于配置無線接口,從而其可以訪問無線網絡170。同樣類似于密碼,沒有其它無線設備其后可以使用這些相同安全性密鑰來訪問網絡170。
[0027]密碼數據庫140存儲有關由密碼生成模塊130生成的各種密碼的信息。密碼數據庫140還可以存儲關于以下方面的信息:哪個用戶與特定密碼、從密碼推導出的任意安全性密鑰關聯、如果有任意無線設備,則哪個無線設備與用戶的密碼或安全性密鑰關聯等等。密碼數據庫140可以進一步存儲關于用戶名、口令、安全認可級別等等的信息。密碼數據庫140可以結合認證模塊110來操作,以對用戶以及屬于該用戶對網絡170的接口進行認證。
[0028]綁定模塊150被配置為:將用戶的密碼關聯(綁定)到屬于該用戶的無線接口設備(例如工作站180a、膝上計算機180b或移動設備180c)。對于無線接口,要求對由綁定模塊150形成的密碼與用戶的無線接口設備之間的關聯關系進行認證并且允許訪問無線網絡170。在某些情況下,在密碼生成和/或與訪問簡檔關聯之后,綁定模塊150立即將用戶密碼關聯到用戶的無線接口設備(如果用戶正使用無線接口設備)或分配給該接口設備的簡檔。綁定模塊150的即刻操作可以被稱為快速綁定。或者,綁定模塊150的操作可以延遲,直到用戶經由無線接口發起第一無線連接,并且用戶的無線設備的MAC地址可以被確定。綁定模塊150的延遲操作可以被稱為延遲綁定。
[0029]可執行指令生成模塊160生成可執行應用,其配置用于訪問無線網絡170的無線接口。然后可以將由可執行指令生成模塊160生成的可執行指令拷貝、下載或者另外傳送到屬于用戶的無線接口。可執行指令可以被綁定為訪問簡檔的一部分。可執行指令將由訪問簡檔生成模塊120生成的訪問簡檔以及由密碼生成模塊130生成的密碼安裝到無線設備。在美國臨時專利申請60/796,845中進一步公開了這種可執行指令以及前述訪問簡檔的生成,該公開先前已經通過引用合并到此。
[0030]網絡170可以被配置為:發送各種電磁波(包括例如無線電信號)。網絡170可以是 IEEE802.11 (W1-Fi 或無線 LAN)網絡、IEEE802.16 (WiMax)網絡、IEEE802.16c 網絡等等。網絡170可以將各種信息傳送給接口設備(例如客戶機接口設備180a-180c)。網絡170可以是本地私有網絡,或者可以是更大的廣域網的一部分。各種輔助網絡可以駐留在較大網絡170 (例如對等網絡或無線網格網絡)的領域內。
[0031]客戶機接口設備180a_180c示出各種有無線能力的接口,包括桌上型計算機、膝上型計算機、手持計算機等等。期望通過無線接口 180a訪問無線網絡170的用戶例如可以通過以下方式來進行這種操作:將由訪問簡檔生成模塊120生成的用戶的訪問簡檔、由密碼生成模塊130生成的密碼以及由可執行指令生成模塊160生成的安裝可執行指令拷貝、下載或者另外傳送到無線接口 180a。作為整個認證操作的一部分,可執行指令配置無線接口 180a,使得無線接口 180a可以使用訪問簡檔和成對密碼來訪問無線網絡170。可以用相似方式來配置無線接口 180b和無線接口 180c。
[0032]可以周期性地或者響應于網絡管理員的請求而更新用戶的密碼。可以由密碼生成模塊130生成用于用戶的新的密碼,該密碼與用戶的訪問簡檔關聯,并且被保存到密碼數據庫140。如果先前的密碼已經過期,則必須對無線接口進行重新認證。用戶必須要么立即進行重新認證,要么在下一無線連接時進行重新認證。對無線設備進行重新認證可以包括:對用戶進行重新認證,傳送用戶新密碼、訪問簡檔和/或新的可執行指令的拷貝,并使用綁定模塊140,形成無線接口與新的密碼之間的新的關聯關系。[0033]圖2是示出在安全無線網絡170中使用成對密碼的方法200的流程圖。在方法200中,對用戶進行認證,針對用戶生成隨機且唯一的成對密碼,將密碼與屬于用戶的訪問簡檔關聯,并且將密碼進一步與屬于該用戶的無線接口關聯,并且進一步與特定訪問簡檔關聯。
[0034]在步驟210,利用認證模塊110對用戶進行認證。初始認證可以包括:提供將用戶標識為特定用戶的用戶名和口令。該用戶可以被授權訪問網絡170,或者可以不被授權訪問網絡170,如可以相對于成對密碼進行確定。如果通過簡單的用戶名和口令匹配(或者后續關于成對密碼)不能對用戶進行認證,則不能允許用戶訪問無線網絡170。
[0035]在步驟220,針對臨時認證過的用戶生成密碼。可以通過各種算法和公式來確定由密碼生成模塊130生成的密碼,從而為認證過的用戶產生隨機生成的密碼。此外,在網絡170中,密碼對于每一用戶是唯一的。密碼對于每一用戶的唯一性提供了保護每一用戶免受網絡170中所有其它用戶干擾。因為每一用戶具有唯一綁定到該特定用戶(或他們的簡檔和/或接口設備)的密碼,因此該用戶無法使用另一用戶的密碼。此外,當不再授權特定用戶使用網絡170時,對用戶的解除授權不影響其它用戶繼續使用網絡170的能力,如同在很多現有技術網絡安全性解決方案中的情況那樣。進一步地,對特定用戶的解除授權不需要任何特定技術專家或技術支持來維護網絡170的安全性。此外,在步驟220,可以生成與無線認證機制關聯的其它信息實體(例如授權證書)。
[0036]在步驟230,將為認證用戶生成的密碼與該用戶的訪問簡檔關聯,其還可以進一步與特定接口設備關聯。可以將有關密碼與用戶訪問簡檔之間的關聯關系的信息保存在密碼數據庫150中。
[0037]在步驟240,該密碼與屬于該認證用戶的無線接口、他們的簡檔和/或設備關聯(綁定)。這種關聯關系可以由綁定模塊140來形成,并且允許無線接口設備訪問無線網絡170。所述關聯關系或綁定可以包括:下載訪問簡檔、成對密碼以及關聯的導出的安全性密鑰,以及可執行指令,以用于配置無線接口設備并且將其與密碼關聯。可以通過將密碼與無線接口的特定無線電、無線接口的MAC地址等等關聯而將密碼與無線接口關聯。可以將有關成對密碼與無線接口之間的關聯關系的信息保存在密碼數據庫150中。
[0038]圖3是示出在安全無線網絡170中使用密碼的替代方法的流程圖。在所述方法300中,如通過初始用戶名和口令驗證處理可發生的,對用戶進行認證,生成訪問簡檔,并且生成密碼。如果已知的無線接口連接到網絡170,則該無線接口與密碼關聯(綁定)。如果當前沒有已知的無線接口連接到網絡170,則可以保存不關聯的密碼,并且可以稍后將其與無線接口關聯。
[0039]在步驟310,由認證模塊110對用戶進行認證。可以通過與在步驟210中執行的認證操作相似的方式來執行該認證。
[0040]在步驟320,針對認證用戶生成訪問簡檔。由訪問簡檔生成模塊120生成的訪問簡檔可以用于配置屬于用戶的無線接口,使得它們可以訪問網絡170。
[0041]在步驟330,針對用戶生成密碼。可以通過與圖2的步驟220相似的方式來執行密碼的生成。
[0042]在步驟340,確定當前網絡連接是否是通過已知的無線接口的。這種確定可以是基于認證信息、用戶輸入等等的。
[0043]在步驟350,在(例如)確定連接不是已經具有綁定密碼的已知無線接口的情況下,將最近生成的密碼保存到表中。該表可以被包括在密碼數據庫150中。在以下情況下,可以將密碼保存到所述表中以供稍后使用:用戶不在使用無線接口,該無線接口不是將要在多無線接口(無線電)設備中使用的期望接口,用戶不在使用用戶自身的無線接口,或者用戶不準備將無線接口與密碼關聯。.[0044]在步驟360,當該連接被確定為是沒有綁定密碼、具有過期的密碼、或者需要綁定密碼的已知無線接口的情況下,將密碼與無線接口綁定。可以通過與在步驟240中形成的關聯關系相似的方式來形成這種關聯關系。
[0045]圖4是示出在安全無線網絡170中使用安全性密鑰的方法400的流程圖。在該方法中,從無線接口接收認證請求,然后確定安全性密鑰是否與接口關聯,如果關聯,則確定該安全性密鑰是否有效。如果安全性密鑰有效,則無線接口被成功認證。如果安全性密鑰無效,則拒絕認證請求。如果沒有與接口關聯的安全性密鑰,則確定是否有針對用戶的任意不關聯的安全性密鑰。如果存在不關聯的安全性密鑰,則獲得下一不關聯的安全性密鑰,然后確定安全性密鑰是否有效。如果安全性密鑰無效,則再次確定是否存在任意不關聯的安全性密鑰。如果沒有留下不關聯的安全性密鑰,則拒絕認證請求。如果存在可用的不關聯的安全性密鑰并且其有效,則將安全性密鑰綁定到接口,并且成功地認證了無線接口。
[0046]在步驟410,接收來自屬于用戶的無線接口的認證請求。針對安全性密鑰已經過期的無線接口、針對連接被終止的無線接口等等,當無線接口對于網絡170是新的時,可以產生這種請求。
[0047]在步驟420,確定是否存在與無線接口關聯的安全性密鑰。可以根據無線接口認證處理中的信息來進行確定。如果存在已關聯的安全性密鑰,則該方法進入步驟430。如果不存在已關聯的安全性密鑰,則該方法進入步驟440。
[0048]在步驟430,在確定安全性密鑰與無線接口關聯的情況下,緊接著確定該安全性密鑰是否有效。通過將來自認證請求的安全性密鑰信息與密碼數據庫150中的安全性密鑰進行比較來進行確定。
[0049]在步驟440,在沒有與無線網絡170關聯的安全性密鑰的情況下,確定是否有用于用戶的任意不關聯的安全性密鑰。可以基于來自認證請求的信息、與密碼數據庫150中保存的用戶訪問簡檔關聯的安全性密鑰信息等等來進行確定。如果存在可用的不關聯的安全性密鑰,則該方法進入步驟450。如果不存在可用的不關聯的安全性密鑰,則該方法進入步驟 490。
[0050]在步驟450,在確定存在可用的不關聯的安全性密鑰的情況下,獲得下一不關聯的安全性密鑰。將所有不關聯的安全性密鑰保存到表,如步驟350中所描述的那樣。在某些實施例中,所述表被包括在密碼數據庫150中。在步驟450,考慮來自該表的下一可用的不關聯的安全性密鑰。
[0051]在步驟460,確定在考慮下的安全性密鑰是否有效。安全性密鑰是否有效的確定與在步驟430進行的確定相似。如果安全性密鑰無效,則該方法返回步驟440。如果安全性密鑰有效,則該方法進入步驟470。
[0052]在步驟470,將安全性密鑰綁定到無線接口。與在步驟240和360中形成的關聯關系相似地形成所述綁定或關聯關系。
[0053]在步驟480,由安全性密鑰進行的無線接口的認證是成功的。在某些實施例中,該方法可以繼續進一步的認證步驟。例如,在步驟500,可以對有關安全性密鑰是否過期進行確定。如果密鑰已經過期,則可以在步驟520開始重新產生密鑰的處理。然而,在中間時期,用戶可能經受受限的訪問或沒有任何訪問。在某些實施例中,在用戶具有受限的訪問權限或沒有訪問權限的同時,重新產生密鑰的處理可以是不同處理的一部分。然而,在步驟510,如果密鑰仍然有效,則用戶可以享受全部服務訪問。然而,對無線接口進行認證允許無線接口訪問無線網絡170。
[0054]在步驟490,拒絕認證請求。不允許無線接口訪問無線網絡170,或者,如果存在已有的連接,則可以終止該連接。
[0055]雖然已經結合一系列優選實施例描述了本發明,但這些描述并非意欲將本發明的范圍限制為在此所闡述的特定形式。相反,本發明意欲覆蓋由所附權利要求所限定并且另外本領域技術人員所理解的本發明的精神和范圍內所包括的這些替換、修改和等同方案。
【權利要求】
1.一種允許對安全無線網絡進行訪問的方法,所述方法包括: 從無線設備接收認證請求,所述認證請求標識請求用戶并且包括無線設備信息; 確定安全性密鑰與所述無線設備相關聯; 通過比較與所述無線設備相關聯的所述安全性密鑰和與所述請求用戶的存儲用戶簡檔相關聯的安全性密鑰信息,驗證所述安全性密鑰有效;以及 在確定所述安全性密鑰有效并且尚未過期之后,批準所述無線設備對所述安全無線網絡進行訪問。
2.如權利要求1所述的方法,其中,接收認證請求包括: 接收用于作為客人對安全無線網絡進行訪問的請求。
3.如權利要求1所述的方法,其中,確定安全性密鑰與所述無線設備相關聯包括: 接收所述安全性密鑰作為所述認證請求的一部分。
4.如權利要求1所述的方法,其中,驗證所述安全性密鑰有效包括: 針對唯一安全性密鑰的數據庫來比較所述安全性密鑰。
5.如權利要求1所述的方法,其中,確定所述安全性密鑰尚未過期包括: 確定在發出所述安全性密鑰之后預定時間段尚未過去。
6.如權利要求1所述 的方法,其中,確定所述安全性密鑰尚未過期包括: 確定以前尚未撤銷所述安全性密鑰。
7.如權利要求1所述的方法,進一步包括: 基于所述安全性密鑰向所述無線設備分配訪問簡檔。
8.如權利要求1所述的方法,進一步包括: 在發出所述安全性密鑰之后的預定時間段之后,撤銷所述安全性密鑰。
9.一種允許對安全無線網絡進行訪問的方法,所述方法包括: 從無線設備接收訪問請求,所述訪問請求標識請求用戶并且包括與所述無線設備相關聯的安全性密鑰; 通過比較接收到的與所述無線設備相關聯的所述安全性密鑰和與所述請求用戶的存儲用戶簡檔相關聯的安全性密鑰信息,驗證接收到的所述安全性密鑰有效; 確定所述安全性密鑰尚未過期;以及 只有在確定所述安全性密鑰有效并且尚未過期之后,才批準所述無線接口對所述安全無線網絡進行訪問。
10.一種允許對安全無線網絡進行訪問的方法,所述方法包括: 生成多個唯一安全性密鑰; 將所述多個唯一安全性密鑰中的第一個與用于用戶的存儲用戶簡檔相關聯; 從使用無線設備的所述用戶接收用于對所述安全無線網絡進行訪問的請求,所述請求包括與所述無線設備相關聯的安全性密鑰和所述用戶的標識; 確定接收到的所述安全性密鑰匹配與用于所述用戶的存儲用戶簡檔相關聯的所述多個唯一安全性密鑰中的所述第一個; 確定所述多個唯一安全性密鑰中的所述第一個尚未過期;以及作為對確定所述多個唯一安全性密鑰中的所述第一個尚未過期的響應,批準所述用戶對所述安全無線網絡進行訪問。
11.一種允許對安全無線網絡進行訪問的方法,所述方法包括: 生成用于多個用戶的多個唯一安全性密鑰,每個用戶具有賬戶,所述賬戶具有指示訪問簡檔類型的存儲用戶簡檔; 將所述多個唯一安全性密鑰中的第一個與具有第一訪問簡檔類型的第一賬戶相關聯,所述第一賬戶與在所述安全無線網絡之內具有第一組訪問級別權限的第一訪問級別相關聯; 將所述多個唯一安全性密鑰中的第二個與具有第二訪問簡檔類型的第二賬戶相關聯,所述第二賬戶與在所述安全無線網絡之內具有第二組訪問級別權限的第二訪問級別相關聯,其中所述第一組訪問級別權限不同于所述第二組訪問級別權限; 接收由使用無線設備的用戶發送的請求,所述請求包括與所述無線設備相關聯的安全性密鑰; 將接收到的與所述無線設備相關聯的安全性密鑰匹配到所述唯一安全性密鑰中的一個;以及 基于接收到的安全性密鑰與所述第一訪問簡檔類型或所述第二訪問簡檔類型相關聯,批準對所述安全無線網絡進行訪問, 其中,根據與接收到的安全性密鑰的簡檔類型相關聯的訪問權限,關聯的所述用戶對所述安全無線網絡進行訪問。
12.一種允許對安全無線網絡進行訪問的方法,所述方法包括: 生成用于多個用戶的多個唯一安全性密鑰;` 將所述多個唯一安全性密鑰保持在數據庫中,其中所述數據庫中的存儲用戶簡檔與所述唯一安全性密鑰中的一個或多個相關聯; 從使用無線設備的所述多個用戶中的一個接收用于對所述安全無線網絡進行訪問的請求,所述請求包括與所述無線設備相關聯的安全性密鑰; 通過比較接收到的與所述無線設備相關聯的所述安全性密鑰和與所述請求用戶的存儲用戶簡檔相關聯的安全性密鑰信息,驗證接收到的所述安全性密鑰有效; 確定所述安全性密鑰尚未過期;以及 當確定所述安全性密鑰有效并且尚未過期時,批準與所述多個用戶中的所述一個相關聯的無線設備對所述安全無線網絡進行訪問。
13.—種允許對安全無線網絡進行訪問的方法,所述方法包括: 在通信地耦合到安全無線網絡的認證服務器處生成多個唯一安全性密鑰; 將所述多個唯一安全性密鑰保持在密碼數據庫中,其中所述數據庫中的存儲用戶簡檔與所述唯一安全性密鑰中的一個或多個相關聯,所述數據庫通信地耦合到所述認證服務器; 從使用無線設備的用戶接收用于對所述安全無線網絡進行訪問的請求,所述請求包括安全性密鑰并且在所述認證服務器處接收; 通過比較接收到的與所述無線設備相關聯的所述安全性密鑰和與所述請求用戶的存儲用戶簡檔相關聯的一個或多個安全性密鑰,驗證所述安全性密鑰有效,該驗證發生在所述認證服務器處; 響應于所述認證服務器查詢所述安全性密鑰是否已過期,確定所述安全性密鑰尚未過期,該確定發生在所述密碼數據庫處;以及 在確定所述安全性密鑰有效并且尚未過期之后,批準所述用戶對所述安全無線網絡進行訪問。
14.一種允許對安全無線網絡進行訪問的方法,所述方法包括: 生成多個唯一安全性密鑰,其中每個安全性密鑰具有預定期限; 將所述唯一安全性密鑰保持在密碼數據庫中,其中所述數據庫中的存儲用戶簡檔與所述唯一安全性密鑰中的一個或多個相關聯; 當安全性密鑰已超過所述預定期限時,更新所述密碼數據庫; 在預定期限之前撤銷安全性密鑰并且在撤銷之后更新所述數據庫; 從使用無線設備的用戶接收用于對所述安全無線網絡進行訪問的請求,所述請求包括與所述無線設備相關聯的安全性密鑰; 通過比較接收到的與所述無線設備相關聯的安全性密鑰和與標識的所述用戶的存儲用戶簡檔相關聯的安全性密鑰信息,驗證接收到的安全性密鑰有效; 在響應于對所述密碼數據庫進行查詢而確定所述安全性密鑰尚未過期或者尚未被撤銷之后,批準所述用戶對所述安全無線網絡進行訪問。
15.一種允許對安全無線網絡進行訪問的系統,所述系統包括: 密碼數據庫,配置成存儲關于密碼的信息,所述密碼與被標識為屬于認證用戶的訪問簡檔相關聯,所述訪問 簡檔專用于所述認證用戶,所述密碼數據庫包括表格,所述表格包括關于多個有效安全性密鑰以及每個安全性密鑰是否與無線接口設備相關聯的信息; 通信接口,用于從無線設備接收認證請求,所述認證請求標識所述認證用戶并且包括無線設備信息;以及 處理器,其可執行用于: 確定安全性密鑰與所述無線設備信息相關聯; 通過比較與所述無線設備信息相關聯的所述安全性密鑰和與所述請求用戶的存儲用戶簡檔相關聯的安全性密鑰信息,驗證所述安全性密鑰有效;以及 在確定所述安全性密鑰有效并且尚未過期之后,批準所述無線設備對所述安全無線網絡進行訪問。
16.如權利要求15所述的系統,進一步包括: 訪問簡檔生成模塊,其可由所述處理器執行,以生成用于所述認證用戶的訪問簡檔。
17.如權利要求15所述的系統,進一步包括: 密碼生成模塊,其存儲在存儲器中,并且可由處理器執行,以便: 隨機生成對認證用戶唯一的密碼,該用戶已被認證為被授權對所述安全無線網絡進行訪問,并且 從所述密碼中導出一個或多個安全性密鑰。
18.如權利要求17所述的系統,其中,所述密碼生成模塊進一步可由所述處理器執行,以通過生成對所述用戶唯一的新的隨機密碼來更新所述密碼。
19.如權利要求15所述的系統,進一步包括: 可執行指令生成模塊,其可由所述處理器執行,以生成使用所述訪問簡檔以及所述安全性密鑰來配置所述無線接口以訪問所述安全無線網絡的可執行指令。
20.如權利要求15所述的系統,進一步包括: 綁定模塊,其存儲在存儲器中并可由所述處理器執行,以將可執行指令和作為所述訪問簡檔的一部分的安全性密鑰中的至少一個下載到屬于所述認證用戶的無線接口設備,其中在所述無線接口設備上執行傳送的可執行指令,使用屬于所述認證用戶的訪問簡檔和安全性密鑰來配置所述無線接口設備以訪問所述安全無線網絡,并且其中所述表格被更新以包括所述安全性密鑰與屬于所述認證用戶并進一步與所述訪問簡檔相關聯的無線接口設備之間的關聯,其中使用所述安全性密鑰來訪問所述安全無線網絡被限制到屬于被關聯的訪問簡檔識別的認證用戶的 關聯的無線接口設備。
【文檔編號】H04L29/06GK103441984SQ201310291285
【公開日】2013年12月11日 申請日期:2007年4月18日 優先權日:2006年4月24日
【發明者】朱延書, 舒明, 楊博杰, 林天元, 郭德才 申請人:魯庫斯無線公司