CN100542086C - 无需额外的认证记帐授权设施的快速可靠的802.11重关联方法 - Google Patents
无需额外的认证记帐授权设施的快速可靠的802.11重关联方法 Download PDFInfo
- Publication number
- CN100542086C CN100542086C CNB031366759A CN03136675A CN100542086C CN 100542086 C CN100542086 C CN 100542086C CN B031366759 A CNB031366759 A CN B031366759A CN 03136675 A CN03136675 A CN 03136675A CN 100542086 C CN100542086 C CN 100542086C
- Authority
- CN
- China
- Prior art keywords
- access point
- client
- authentication
- dialogue
- certificate server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/08—Access point devices
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Abstract
本发明公开了一种方法,其中接入点向相邻接入点认证其自身并与其相邻接入点建立可靠且相互认证的通信通道。当接入点获悉一个相邻接入点时,它通过该相邻接入点向认证服务器启动一个认证。一旦接入点已彼此相互认证,只要一个站向第一接入点认证其自身,第一接入点就将该站的认证上下文信息如对话密钥和对话标识符传送到每个相邻接入点。这样,当站漫游到一个相邻接入点时,该相邻接入点就向该站提供重认证协议,如LEAP重认证,并且如果重认证成功,站和相邻接入点之间的通信就可立即发生且无须发生新的EAP认证。
Description
相关申请的交叉参照
本申请要求于2002年11月15日递交的美国临时申请60/426,756的权益。
技术领域
本发明一般地涉及用于漫游客户端的认证协议,更具体地说,涉及被802.11无线站(Wireless Station)所使用以在漫游时与新的接入点快速关联的协议。
背景技术
无线站从一个接入点(AP)漫游到另一个接入点后,大多数当前的802.11网络层认证协议需要相当数量的实际时间以重新建立该站到网络的连接。一般地,当无线站与第一接入点关联时,它必须通过一个中央认证服务器来被认证。当该站漫游到一个新的接入点时,该站必须向该认证服务器再次认证它自己,执行完整的验证请求与响应。一个新的记帐对话然后被建立。此方法依赖于最初的认证来作为密钥轮转的方式并为每次漫游产生一个新的记帐对话,导致不必要的对话拆除与重启。
重新建立连接中的此延迟极大地影响了802.11的服务质量(QoS)以至于一些上层协议,如IP语音(VoIP),事实上失败了。而且,每次漫游使得与一个站点的认证、记帐和授权(AAA)服务器的交互成为必要,导致服务器负载的明显增加,以至于一些服务器不能为802.11站提供必要的认证请求速率。
解决此问题的其他尝试已使用了多种方法。一种方法是使用AP到AP的通信来转发站AAA数据,但这些方法不能使用AP之间的强认证。另一种方法是使用网络中离AP和站更近的“代理”(proxy)AAA服务器,但这些方法一般需要在每个子网处的附加的新的网络基础设施。对一些站点,这是一项不能接受的成本,而且其他站点可能不能承受附加的管理负担。
因此,需要一种当站从一个接入点漫游到另一个接入点时对于该站进行可靠认证的方法,该方法减少了到认证服务器的流量。
发明内容
考虑到前述需求,本发明考虑了一种预认证方法,其中一个接入点向相邻接入点认证它自身并与其相邻接入点建立可靠的、互相认证的通信通道。当接入点得知一个相邻接入点时,它通过该相邻接入点启动向认证服务器的认证。在一个优选实施例中,第一接入点通过一个认证、记帐和授权(AAA)服务器对第二接入点启动一个轻量级可扩展认证协议(LEAP)认证。
一旦接入点已互相认证彼此,无论站何时向第一接入点认证其自身,第一接入点都将该站的认证上下文信息,如对话密钥和对话标识符,传送到每一个相邻接入点。这样,当站漫游到一个相邻接入点时,该相邻接入点向该站提供一个重认证协议,如LEAP重认证,而且如果该重认证成功,在该站与该相邻接入点之间的通信就可立刻发生。
根据本发明的一个方面,提供了一种接入点认证客户端的方法,其步骤包括:将第一客户端与第一接入点关联;将第一客户端与第二接入点关联;第一接入点从第二接入点接收解除注册通知;第一接入点将第二接入点加入到一个漫游近邻表;第二接入点认证第一接入点;在第一接入点和第二接入点之间建立一个可靠的、相互认证的通信通道;将第二客户端与第一接入点关联;第一接入点将第二客户端的认证上下文信息转发到第二接入点;第二客户端从第一接入点漫游到第二接入点;第二接入点从第二客户端接收关联请求;和第二接入点向第二客户端提供重认证协议。
根据一个实施例,所述将第一客户端与第一接入点关联还包括第一接入点向认证服务器认证所述第一客户端。
根据另一个实施例,所述将第一客户端与第二接入点关联还包括第二接入点向认证服务器认证所述第一客户端。
根据另一个实施例,所述认证服务器是远程认证拨号用户服务器。
根据另一个实施例,所述第二接入点认证第一接入点被第一接入点启动。
根据另一个实施例,所述第二接入点认证第一接入点还包括使用一个认证服务器来彼此相互认证第一接入点和第二接入点。
根据另一个实施例,所述认证服务器是远程认证拨号用户服务器。
根据另一个实施例,所述认证上下文信息包括对话密钥和对话标识符。
根据另一个实施例,该方法还包括在第二接入点向第二客户端提供重认证协议之后,第二接入点一旦与第二客户端相关联就将第二客户端的认证上下文信息转发到其漫游近邻表中的每个接入点。
根据另一个实施例,所述重认证协议是轻量级可扩展认证协议重认证协议。
根据另一个实施例,所述第一客户端有一个记帐对话,所述步骤还包括:第一接入点一旦从第二接入点接收到所述解除注册通知就关闭所述第一客户端的记帐对话;和为所述第一客户端启动一个新的记帐对话。
根据另一个实施例,所述步骤还包括与所述为所述第一客户端启动一个新的记帐对话并发地为所述第一客户端请求一个早期更新重认证。
根据另一个实施例,所述第一客户端有一个包括当前记帐记录的当前记帐对话,所述步骤还包括一旦第一接入点从第二接入点接收到所述解除注册通知就将所述记帐记录从第一接入点转移到第二接入点。
根据本发明的另一方面,提供了一种用于接入点认证客户端的装置,包括:用于将第一客户端与第一接入点关联的装置;用于将第一客户端与第二接入点关联的装置;用于第一接入点从第二接入点接收解除注册通知的装置;响应于所述用于第一接入点从第二接入点接收解除注册通知的装置,用于第一接入点将第二接入点加入到一个漫游近邻表的装置;响应于所述用于第一接入点从第二接入点接收解除注册通知的装置,用于第二接入点认证第一接入点的装置;响应于所述用于第二接入点认证第一接入点的装置成功认证第一接入点,用于在第一接入点和第二接入点之间建立一个可靠的、相互认证的通信通道的装置;用于将第二客户端与第一接入点关联的装置;响应于所述用于将第二客户端与第一接入点关联的装置,用于第一接入点将第二客户端的认证上下文信息转发到第二接入点的装置;响应于所述用于第一接入点将第二客户端的认证上下文信息转发到第二接入点的装置,用于第二接入点为第二客户端接收上下文信息的装置;用于第二接入点从第二客户端接收关联请求的装置;和响应于所述用于第二接入点从第二客户端接收关联请求的装置,用于第二接入点向第二客户端提供重认证协议的装置。
根据本发明的另一方面,提供了一种第一接入点,包括:无线通信装置;用于与第二接入点和认证服务器通信的第二通信装置;和存储在计算机可读介质上的计算机可读指令,该指令在通信意义上将所述无线通信装置耦合到第二通信装置;其中当第一客户端通过所述无线通信装置与所述第一接入点关联时,所述计算机可读指令用第二通信装置来认证所述第一客户端;其中当所述第一客户端与第二接入点关联时,所述第一接入点从第二接入点接收一个解除注册通知,所述计算机可读指令还包括用于与第二接入点相互认证的指令和用于将第二接入点加入到漫游近邻表的指令;且其中在第一接入点和第二接入点之间建立一个可靠的、相互认证的通信通道;其中当第二客户端与第一接入点关联时,第一接入点将第二客户端的认证上下文信息转发到第二接入点,使得第二接入点一旦接收到来自第二客户端的关联请求就将向第二客户端提供重认证协议。
本发明的一个优点是它不需要新的设备和服务加入到该站点的网络。本发明的另一优点是接入点通过一种机制互相认证,该机制在密码学上与网络上的任何客户站所使用的机制一样可靠。本发明不需要接入点被认为“比客户端更可信”,而这在大多数现有技术实现中是一个普遍的安全漏洞。本发明的另一个优点是它需要很少的在客户站上实现的新协议支持。本发明的另一个优点是该协议利用了网络历史的使用以优化未来的网络操作。本发明的另一个优点是该协议大大减少了站点(site)的AAA基础设施的负载。
本发明的其他目的从后续描述中对本领域的技术人员来说将会是很明显的,其中简单地通过图示实现本发明的最佳模式之一示出并描述了本发明的一个优选实施例。如将会被认识到的那样,本发明能实现其他不同的实施例,且它的几个细节能够不偏离本发明而作出各种明显的修改。相应地,附图和说明本质上将被认为是图示性而非限制性的。
附图说明
被结合进说明书并形成说明书的一部分的附图图示了本发明的几个方面,且与说明书一起用来解释本发明的原理。在附图中:
图1是一个有两个接入点的802.11网络的方框图;
图2是示出了当站从第一接入点漫游到第二接入点时的步骤的方框图;
图3是图示了在第一和第二接入点在第一接入点和第二接入点之间已建立一个可靠的已相互认证的通信通道后,当站从第一接入点漫游到第二接入点时的步骤的方框图。
具体实施方式
贯穿说明书,示出的该优选实施例和示例应被看作本发明的范例而不是限制。
首先参考图1,有一个典型的扩展服务集(Extended ServiceSet,ESS)10被示出了。ESS 10包括两个接入点(AP)12、14,每个接入点12、14有一个基本服务集12a和14a分别与它关联。当客户端或站(STA)18,一般是无线站或WSTA,处于一个BSS之内时,它就和与该BSS关联的AP通信。一般地,BSS 12a和14a有一个重叠区域且STA 18与从其接收到最强信号的AP,12或14,进行通信。如在图1中所示,STA 18通过无线通信与AP 12和14通信。AP 12和14通过可靠的、一般是有线的连接而被连接到认证、记帐和授权(AAA)服务器16。在该优选实施例中,AAA服务器16是远程认证拨号用户服务器(RADIUS服务器);然而,其他类型具有认证能力的服务器也是可接受的。
如在图1中所示,客户端或站(STA)18当处于第一位置19a时将与AP 12关联。当STA 18首次与网络中的一个AP关联时,它必须首先认证它自身。如果STA 18如在图1中所示在第一位置19a开始,则AP 12将通过与AAA服务器16的通信来认证该STA。
当STA 18从第一位置19a移动到第二位置19b时,它必须与AP 14关联。在现有技术中,这使得AP 14必须与AAA服务器16通信以认证STA18。
然而,本发明使用了一个重认证协议,该协议被设计用来减少在AP12、14和AAA服务器16之间的通信量。最开始,进行客户端(或站)向该站点的AAA服务器的可扩展认证协议(EAP)认证,如目前所做的那样。当客户端从第一接入点漫游到第二接入点时,如果第二接入点不知道该客户端当前的AAA对话,该客户端就必须再次执行EAP认证,如在现有技术中所做的那样,且第二接入点将发出一个多播解除注册通知(Deregistration Notice)到它的子网,如在现有技术中所做的那样。注意到,即使当AP 14已经得知STA 18的AAA上下文,它仍然必须发出该多播解除注册通知以更新以太网的交换转发表。AP 12正是通过此机制得知一个STA已从它漫游到了AP 14。
一旦注意到来自第二接入点的解除注册通知,与现有技术不同,第一接入点会将第二接入点增加到它的漫游近邻表(roaming neighborhoodtable),并将向第二接入点认证它自身,此认证是通过经由第二接入点向AAA服务器启动一个EAP,或最好是轻量级可扩展认证协议(LEAP),认证来完成的。第一接入点通过第二接入点到AAA服务器的EAP或LEAP认证一旦成功,第一接入点和第二接入点就已建立一个可靠的、已相互认证的通信通道。对所有随后与第一接入点相关联的EAP和LEAP客户端,第一接入点将会把该随后的客户端的认证上下文信息、对话密钥和对话标识符转发到在其漫游近邻中的每一个接入点,第一接入点会向每一个接入点主动认证。然后,对任何随后从第一接入点到第二接入点的漫游,一旦该客户端与第二接入点相关联,则该客户端将被提供一个LEAP重认证协议。如果该LEAP重认证成功,则可以立即进行通信而不需要新的EAP认证。
接入点已经建立一个可靠的、已相互认证的通信通道后,则与新的客户端与第一接入点关联时所发生的情况类似,当客户端与第二接入点关联时,第二接入点将把该客户端的认证上下文信息、对话密钥和对话标识符可靠地转发到在其漫游近邻表中的每一个接入点,第二接入点向每一个接入点主动认证。只有当客户端实际与它们关联时,接入点才转发客户端数据。因此,当第二接入点从第一接入点接收客户端数据时,只有客户端实际漫游并与第二接入点关联时,它才将该数据转发到其近邻表中的接入点。当客户端从第二接入点漫游到第一接入点时,一旦它与第一接入点关联,客户端就被提供一个LEAP重认证协议。
对使用RADIUS记帐的实施例,存在几个选择。对最简单的实现,第一接入点一旦接收到解除注册通知就可关闭客户端当前的记帐对话。第二接入点然后可为该客户端启动一个新的记帐对话,这可与为该客户端请求“早期更新(early renew)”重认证并发地进行,不会导致连接丧失。一种较复杂的实现将会涉及客户端当前记帐记录从第一接入点到第二接入点的移动上下文转移(Mobility context transfer)。
现在参考图2,示出了一个本发明构想的过程200。过程200开始于步骤202,其中站STA 18向第一接入点AP 12认证它自身。该认证可通过传统的EAP或其他认证协议如LEAP完成。在步骤204,站从第一接入点12内部的第一位置19a移动到第二接入点14的第二位置19b。在步骤206,第二接入点14检查以确定它是否知道站18的当前AAA对话。如果第二接入点14知道站18的AAA对话,则第二接入点14就提供一个EAP、LEAP或其他重关联协议给站18,并如在步骤210所示在第二接入点14和站18之间的通信立刻发生了。
然而,如果在步骤206第二接入点14不知道站18的当前AAA对话,则如在步骤212所示,该站就向第二接入点进行认证。如在步骤214中所示,第二接入点14然后发出一个多播解除注册通知到它的子网。然后如在步骤216中所示,第一接入点12一旦接收到第二接入点14发送的解除注册通知,它就将第二接入点14加入到它的漫游近邻表并通过第二接入点14向AAA服务器启动一个LEAP认证。如在步骤218中所示,第一接入点12向第二接入点14的认证一旦成功,第一接入点12和第二接入点14就与彼此建立一个可靠的、相互认证的通信通道。
现在参考图3,示出了一个过程300,该过程发生于第一接入点12和第二接入点14已经建立一个可靠的、相互认证的通信通道之后,第二站与第一接入点关联时。过程300开始于步骤302,在该步骤中第二站(未示出)与第一接入点12关联。第二站会使用EAP、LEAP或其他认证协议来认证。第二站被第一接入点12认证后,第一接入点12会将第二站的认证上下文信息、对话密钥和对话标识符可靠地转发到它的漫游表中的每一个接入点,包括第二接入点14,如在步骤304中所示。在步骤306,第二站漫游到第二接入点14。因为在步骤304第二接入点14接收了第二站的认证上下文信息,第二接入点14就向第二站提供一个LEAP重认证协议。如果在步骤310第二站被验证为合法,则如在步骤312中所示,在第二站和第二接入点312之间通信就立刻开始。如在步骤314中所示,第二接入点14然后将第二站的上下文信息可靠地发送到它的漫游近邻中的每一个接入点。
如果在步骤310第二站未被第二接入点验证为合法,则如在步骤316所示,该站必须尝试作为初始认证的认证。
根据本发明,通过接入点的相互LEAP认证而提供了在接入点之间传递客户端证书的安全性。在有线网络上以明文传递客户端对话数据没有明显的安全漏洞,如在预认证协议下可以做到的一样。接入点彼此之间没有共有的共享秘密。唯一的共享秘密是在每一个接入点和AAA服务器之间的单个共享秘密,而不是网络范围内的。一个接入点的协议不提供共享秘密网络范围的接入。
接入点之间的相互认证中的LEAP延迟通过预认证彼此的漫游近邻内的接入点而被避免了。漫游近邻是基于实际客户端漫游模式的,且一般应只包括两到四个其他接入点。漫游近邻的指定可以是暂时的,其中漫游近邻在接入点每次重启时被重新生成,或者可以是持续性的。
为使预认证可以在RADIUS服务器上正确工作,RADIUS服务器必须被配置成允许接入点设备的“多个同时登录”。
虽然此机制的操作被限制成利用每对接入点的相同管理子网漫游,但是如果虚拟局域网(VLAN)被使能,那就不是对客户端漫游的限制。也就是说,如果接入点是在与客户端不同的VLAN上,本发明就支持客户端子网间的移动性。
尽管本发明已经根据特定优选实施例被示出和描述了,但很明显本领域内的技术人员一旦阅读并理解了本说明后将会作出等同的改变与修正。本发明包括所有这些等同的改变与修正。
Claims (32)
1.一种接入点认证客户端的方法,其步骤包括:
将第一客户端与第一接入点关联;
将第一客户端与第二接入点关联;
第一接入点从第二接入点接收解除注册通知;
第一接入点将第二接入点加入到一个漫游近邻表;
第二接入点认证第一接入点;
在第一接入点和第二接入点之间建立一个可靠的、相互认证的通信通道;
将第二客户端与第一接入点关联;
第一接入点将第二客户端的认证上下文信息转发到第二接入点;
第二客户端从第一接入点漫游到第二接入点;
第二接入点从第二客户端接收关联请求;和
第二接入点向第二客户端提供重认证协议。
2.根据权利要求1的方法,其中所述将第一客户端与第一接入点关联还包括第一接入点向认证服务器认证所述第一客户端。
3.根据权利要求1的方法,其中所述将第一客户端与第二接入点关联还包括第二接入点向认证服务器认证所述第一客户端。
4.根据权利要求2或3的方法,其中所述认证服务器是远程认证拨号用户服务器。
5.根据权利要求1的方法,其中所述第二接入点认证第一接入点被第一接入点启动。
6.根据权利要求1的方法,其中所述第二接入点认证第一接入点还包括使用一个认证服务器来彼此相互认证第一接入点和第二接入点。
7.根据权利要求6的方法,其中所述认证服务器是远程认证拨号用户服务器。
8.根据权利要求1的方法,其中所述认证上下文信息包括对话密钥和对话标识符。
9.根据权利要求1的方法,还包括:
在第二接入点向第二客户端提供重认证协议之后,第二接入点一旦与第二客户端相关联就将第二客户端的认证上下文信息转发到其漫游近邻表中的每个接入点。
10.根据权利要求1的方法,其中所述重认证协议是轻量级可扩展认证协议重认证协议。
11.根据权利要求1的方法,其中所述第一客户端有一个记帐对话,所述步骤还包括:
第一接入点一旦从第二接入点接收到所述解除注册通知就关闭所述第一客户端的记帐对话;和
为所述第一客户端启动一个新的记帐对话。
12.根据权利要求11的方法,所述步骤还包括与所述为所述第一客户端启动一个新的记帐对话并发地为所述第一客户端请求一个早期更新重认证。
13.根据权利要求1的方法,其中所述第一客户端有一个包括当前记帐记录的当前记帐对话,所述步骤还包括一旦第一接入点从第二接入点接收到所述解除注册通知就将所述记帐记录从第一接入点转移到第二接入点。
14.一种用于接入点认证客户端的装置,包括:
用于将第一客户端与第一接入点关联的装置;
用于将第一客户端与第二接入点关联的装置;
用于第一接入点从第二接入点接收解除注册通知的装置;
响应于所述用于第一接入点从第二接入点接收解除注册通知的装置,用于第一接入点将第二接入点加入到一个漫游近邻表的装置;
响应于所述用于第一接入点从第二接入点接收解除注册通知的装置,用于第二接入点认证第一接入点的装置;
响应于所述用于第二接入点认证第一接入点的装置成功认证第一接入点,用于在第一接入点和第二接入点之间建立一个可靠的、相互认证的通信通道的装置;
用于将第二客户端与第一接入点关联的装置;
响应于所述用于将第二客户端与第一接入点关联的装置,用于第一接入点将第二客户端的认证上下文信息转发到第二接入点的装置;
响应于所述用于第一接入点将第二客户端的认证上下文信息转发到第二接入点的装置,用于第二接入点为第二客户端接收上下文信息的装置;
用于第二接入点从第二客户端接收关联请求的装置;和
响应于所述用于第二接入点从第二客户端接收关联请求的装置,用于第二接入点向第二客户端提供重认证协议的装置。
15.根据权利要求14的装置,其中所述用于将第一客户端与第一接入点关联的装置还包括第一接入点向一个认证服务器认证所述第一客户端的装置。
16.根据权利要求14的装置,其中所述用于将第一客户端与第二接入点关联的装置还包括第二接入点向一个认证服务器认证所述第一客户端的装置。
17.根据权利要求15或16的装置,其中所述认证服务器是远程认证拨号用户服务器。
18.根据权利要求14的装置,其中所述用于第二接入点认证第一接入点的装置从第一接入点启动。
19.根据权利要求14的装置,所述用于第二接入点认证第一接入点的装置还包括使用一个认证服务器以彼此互相认证第一接入点和第二接入点。
20.根据权利要求19的装置,其中所述认证服务器是远程认证拨号用户服务器。
21.根据权利要求14的装置,其中所述认证上下文信息包括对话密钥和对话标识符。
22.根据权利要求14的装置,还包括用于第二接入点一旦与第二客户端相关联就将第二客户端的认证上下文信息转发到其漫游近邻表中的每个接入点的装置。
23.根据权利要求14的装置,其中所述重认证协议是轻量级可扩展认证协议重认证协议。
24.根据权利要求14的装置,其中所述第一客户端有一个记帐对话,还包括:
响应于所述用于第一接入点从第二接入点接收解除注册通知的装置,用于第一接入点关闭所述第一客户端的记帐对话的装置;和
用于为所述第一客户端启动一个新的记帐对话的装置。
25.根据权利要求24的装置,还包括与所述用于为所述第一客户端启动一个新的记账对话的装置并发地操作的用于为所述第一客户端请求早期更新重认证的装置。
26.根据权利要求14的装置,其中所述第一客户端有一个包括当前记帐记录的当前记帐对话,还包括响应于所述用于第一接入点从第二接入点接收解除注册通知的装置,用于将所述记帐对话从第一接入点转移到第二接入点的装置。
27.一种第一接入点,包括:
无线通信装置;
用于与第二接入点和认证服务器通信的第二通信装置;和
存储在计算机可读介质上的计算机可读指令,该指令在通信意义上将所述无线通信装置耦合到第二通信装置;
其中当第一客户端通过所述无线通信装置与所述第一接入点关联时,所述计算机可读指令用第二通信装置来认证所述第一客户端;
其中当所述第一客户端与第二接入点关联时,所述第一接入点从第二接入点接收一个解除注册通知,所述计算机可读指令还包括用于与第二接入点相互认证的指令和用于将第二接入点加入到漫游近邻表的指令;且其中在第一接入点和第二接入点之间建立一个可靠的、相互认证的通信通道;
其中当第二客户端与第一接入点关联时,第一接入点将第二客户端的认证上下文信息转发到第二接入点,使得第二接入点一旦接收到来自第二客户端的关联请求就将向第二客户端提供重认证协议。
28.根据权利要求27的第一接入点,其中所述认证服务器是远程认证拨号用户服务器。
29.根据权利要求27的第一接入点,其中当第二客户端与第二接入点关联时,第一接入点通过第二通信装置接收具有第二客户端的认证上下文信息的消息。
30.根据权利要求29的第一接入点,其中所述认证上下文信息包括对话密钥和对话标识符。
31.根据权利要求27的第一接入点,其中所述第一客户端有一个记帐对话,还包括:
第一接入点一旦从第二接入点接收到所述解除注册通知后则关闭所述第一客户端的记帐对话的装置;和
用于为所述第一客户端启动一个新的记帐对话的装置。
32.根据权利要求27的第一接入点,其中所述第一客户端有一个包括当前记帐记录的当前记帐对话,还包括用于一旦从第二接入点接收到所述解除注册通知就将所述记帐记录从第一接入点转移到第二接入点的装置。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US42675602P | 2002-11-15 | 2002-11-15 | |
| US60/426,756 | 2002-11-15 | ||
| US10/346,988 US7346772B2 (en) | 2002-11-15 | 2003-01-17 | Method for fast, secure 802.11 re-association without additional authentication, accounting and authorization infrastructure |
| US10/346,988 | 2003-01-17 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1505314A CN1505314A (zh) | 2004-06-16 |
| CN100542086C true CN100542086C (zh) | 2009-09-16 |
Family
ID=32302307
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB031366759A Expired - Fee Related CN100542086C (zh) | 2002-11-15 | 2003-05-23 | 无需额外的认证记帐授权设施的快速可靠的802.11重关联方法 |
Country Status (8)
| Country | Link |
|---|---|
| US (2) | US7346772B2 (zh) |
| EP (1) | EP1561331B1 (zh) |
| CN (1) | CN100542086C (zh) |
| AT (1) | ATE434896T1 (zh) |
| AU (1) | AU2003290841B2 (zh) |
| CA (1) | CA2504854A1 (zh) |
| DE (1) | DE60328124D1 (zh) |
| WO (1) | WO2004047397A2 (zh) |
Families Citing this family (47)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| BRPI0408619A (pt) * | 2003-03-27 | 2006-03-07 | Thomson Licensing | deslocamento seguro entre pontos de acesso sem fio |
| KR20050088817A (ko) * | 2004-03-03 | 2005-09-07 | 삼성전자주식회사 | 광대역 무선 접속 통신 시스템에서 이동 가입자 단말기의핸드오버에 따른 네트워크 재진입 시스템 및 방법 |
| US20050243769A1 (en) * | 2004-04-28 | 2005-11-03 | Walker Jesse R | Apparatus and method capable of pre-keying associations in a wireless local area network |
| JP4474465B2 (ja) * | 2004-07-02 | 2010-06-02 | 株式会社エヌ・ティ・ティ・ドコモ | セキュアハンドオーバ |
| US7451316B2 (en) * | 2004-07-15 | 2008-11-11 | Cisco Technology, Inc. | Method and system for pre-authentication |
| JP4468449B2 (ja) * | 2004-08-26 | 2010-05-26 | 株式会社エヌ・ティ・ティ・ドコモ | セキュアハンドオーバをサポートする方法および装置 |
| KR100745997B1 (ko) * | 2004-09-15 | 2007-08-06 | 삼성전자주식회사 | 무선 네트워크 장치 및 이를 이용한 무선 네트워크간재가입 방법 |
| US20060068788A1 (en) * | 2004-09-30 | 2006-03-30 | Miroslav Zivkovic | Transfer of a service session with a mobile from a first wireless local area network to one of its neighbours |
| US7477747B2 (en) * | 2005-02-04 | 2009-01-13 | Cisco Technology, Inc. | Method and system for inter-subnet pre-authentication |
| US7480264B1 (en) | 2005-02-10 | 2009-01-20 | Sonicwall, Inc. | Centralized wireless LAN load balancing |
| EP1865668A4 (en) * | 2005-03-31 | 2011-10-05 | Nec Corp | METHOD FOR CONTROLLING MOBILE COMMUNICATIONS, MOBILE COMMUNICATION SYSTEM, ROUTING DEVICE, MANAGEMENT DEVICE, AND PROGRAM |
| US8532304B2 (en) * | 2005-04-04 | 2013-09-10 | Nokia Corporation | Administration of wireless local area networks |
| US9436804B2 (en) | 2005-04-22 | 2016-09-06 | Microsoft Technology Licensing, Llc | Establishing a unique session key using a hardware functionality scan |
| KR101253352B1 (ko) * | 2005-05-13 | 2013-04-11 | 유니버시티 오브 매릴랜드 칼리지 팍 | 무선 분산 시스템의 단말 인증 방법 |
| WO2006121307A1 (en) * | 2005-05-13 | 2006-11-16 | Samsung Electronics Co., Ltd. | Authentication method for wireless distributed system |
| US7957737B2 (en) * | 2005-06-02 | 2011-06-07 | Samsung Electronics Co., Ltd. | Mesh node association method in a mesh network, and mesh network supporting the same |
| JP4903792B2 (ja) * | 2005-06-22 | 2012-03-28 | エレクトロニクス アンド テレコミニュケーションズ リサーチ インスティチュート | 無線携帯インターネットシステム用の認証キー識別子の割り当て方法 |
| KR100694219B1 (ko) * | 2005-08-19 | 2007-03-14 | 삼성전자주식회사 | 무선 단말에서의 액세스 포인트 데이터 전송 모드 감지장치 및 그 방법 |
| GB2430580B (en) * | 2005-09-13 | 2008-04-09 | Roke Manor Research | A method of authenticating access points on a wireless network |
| EP1765030A1 (en) * | 2005-09-19 | 2007-03-21 | Mitsubishi Electric Information Technology Centre Europe B.V. | Method for transferring the context of a mobile terminal in a wireless telecommunication network |
| US20070076671A1 (en) * | 2005-09-30 | 2007-04-05 | Cisco Technology, Inc. | System and method for network infrastructure driven context setup to facilitate roaming |
| DE602005020019D1 (de) * | 2005-10-13 | 2010-04-29 | Mitsubishi Electric Corp | Verfahren zum Verbinden einer Basisstation mit einem drahtlosen Telekommunikationsnetz |
| US7716721B2 (en) * | 2005-10-18 | 2010-05-11 | Cisco Technology, Inc. | Method and apparatus for re-authentication of a computing device using cached state |
| US20070157308A1 (en) * | 2006-01-03 | 2007-07-05 | Bardsley Jeffrey S | Fail-safe network authentication |
| US7831237B2 (en) * | 2006-02-03 | 2010-11-09 | Broadcom Corporation | Authenticating mobile network provider equipment |
| US8356171B2 (en) * | 2006-04-26 | 2013-01-15 | Cisco Technology, Inc. | System and method for implementing fast reauthentication |
| US8102813B2 (en) * | 2006-04-28 | 2012-01-24 | Microsoft Corporation | Coordinating a transition of a roaming client between wireless access points using another client in physical proximity |
| CN101325804B (zh) * | 2007-06-11 | 2011-04-20 | 华为技术有限公司 | 获取密钥的方法、设备及系统 |
| AU2008284338A1 (en) * | 2007-08-08 | 2009-02-12 | Simtone Corporation | Methods and apparatus for intermediary device roaming |
| US8881309B2 (en) * | 2008-03-04 | 2014-11-04 | Microsoft Corporation | Systems for finding a lost transient storage device |
| US8595484B2 (en) * | 2008-07-29 | 2013-11-26 | Motorola Solutions, Inc. | Method and device for distributing public key infrastructure (PKI) certificate path data |
| US8588240B2 (en) * | 2008-10-07 | 2013-11-19 | Cisco Technology, Inc. | Methods and systems for accounting in an access gateway |
| CN101527908B (zh) * | 2009-04-08 | 2011-04-20 | 中兴通讯股份有限公司 | 一种无线局域网终端的预鉴别方法及无线局域网系统 |
| KR101572267B1 (ko) * | 2009-06-25 | 2015-11-26 | 삼성전자주식회사 | 센서 네트워크에서 노드와 싱크간의 상호 인증 시스템 및 방법 |
| CN102075904B (zh) * | 2010-12-24 | 2015-02-11 | 杭州华三通信技术有限公司 | 一种防止漫游用户再次认证的方法和装置 |
| US9172546B2 (en) | 2012-01-25 | 2015-10-27 | Cisco Technology, Inc. | Network mediated multi-device shared authentication |
| WO2013119043A1 (ko) * | 2012-02-07 | 2013-08-15 | 엘지전자 주식회사 | 스테이션과 엑세스 포인트의 결합 방법 및 장치 |
| WO2014025232A1 (ko) * | 2012-08-09 | 2014-02-13 | 엘지전자 주식회사 | 무선 통신시스템에서 스테이션의 하향링크 신호 수신 방법 |
| US9210623B2 (en) | 2013-03-15 | 2015-12-08 | Cisco Technology, Inc. | Wireless client association and traffic context cookie |
| EP3039894B1 (en) * | 2013-08-30 | 2018-10-03 | Hewlett-Packard Enterprise Development LP | Zeroconf profile transferring to enable fast roaming |
| US9276910B2 (en) * | 2013-11-19 | 2016-03-01 | Wayne Fueling Systems Llc | Systems and methods for convenient and secure mobile transactions |
| US9565185B2 (en) | 2014-11-24 | 2017-02-07 | At&T Intellectual Property I, L.P. | Facilitation of seamless security data transfer for wireless network devices |
| US10624006B2 (en) * | 2016-08-05 | 2020-04-14 | Qualcomm Incorporated | Techniques for handover of a connection between a wireless device and a local area network, from a source access node to a target access node |
| CN106559771A (zh) * | 2016-11-16 | 2017-04-05 | 上海斐讯数据通信技术有限公司 | 一种无线终端快速漫游的方法及设备 |
| EP3324664A1 (en) | 2016-11-22 | 2018-05-23 | Thomson Licensing | Method, apparatus, and system for controlling acess to a local network |
| US11758396B2 (en) * | 2020-04-07 | 2023-09-12 | Schlage Lock Company Llc | Bluetooth device authentication over Bluetooth advertisements |
| US11570707B2 (en) * | 2021-01-11 | 2023-01-31 | Dell Products L.P. | Systems and methods for comparison and scoring of network access points |
Family Cites Families (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6512754B2 (en) * | 1997-10-14 | 2003-01-28 | Lucent Technologies Inc. | Point-to-point protocol encapsulation in ethernet frame |
| US6148405A (en) * | 1997-11-10 | 2000-11-14 | Phone.Com, Inc. | Method and system for secure lightweight transactions in wireless data networks |
| CA2255285C (en) * | 1998-12-04 | 2009-10-13 | Certicom Corp. | Enhanced subscriber authentication protocol |
| US6741575B1 (en) * | 1999-02-26 | 2004-05-25 | Hughes Electronics Corporation | Apparatus and method for efficient delivery of multicast data over personal access communications system (PACS) |
| US6772331B1 (en) * | 1999-05-21 | 2004-08-03 | International Business Machines Corporation | Method and apparatus for exclusively pairing wireless devices |
| US6466964B1 (en) * | 1999-06-15 | 2002-10-15 | Cisco Technology, Inc. | Methods and apparatus for providing mobility of a node that does not support mobility |
| US6332077B1 (en) | 1999-07-29 | 2001-12-18 | National Datacom Corporation | Intelligent roaming in AGV application |
| US6587680B1 (en) | 1999-11-23 | 2003-07-01 | Nokia Corporation | Transfer of security association during a mobile terminal handover |
| US7028186B1 (en) * | 2000-02-11 | 2006-04-11 | Nokia, Inc. | Key management methods for wireless LANs |
| US6970719B1 (en) * | 2000-06-15 | 2005-11-29 | Sprint Spectrum L.P. | Private wireless network integrated with public wireless network |
| US6982967B1 (en) * | 2000-06-29 | 2006-01-03 | Cisco Technology, Inc. | Methods and apparatus for implementing a proxy mobile node in a wireless local area network |
| US6691227B1 (en) | 2000-09-08 | 2004-02-10 | Reefedge, Inc. | Location-independent packet routing and secure access in a short-range wireless networking environment |
| JP3628250B2 (ja) | 2000-11-17 | 2005-03-09 | 株式会社東芝 | 無線通信システムで用いられる登録・認証方法 |
| US7079511B2 (en) * | 2000-12-06 | 2006-07-18 | Qualcomm, Incorporated | Method and apparatus for handoff of a wireless packet data services connection |
| US7152238B1 (en) * | 2000-12-29 | 2006-12-19 | Cisco Technology, Inc. | Enabling mobility for point to point protocol (PPP) users using a node that does not support mobility |
| US7069433B1 (en) * | 2001-02-20 | 2006-06-27 | At&T Corp. | Mobile host using a virtual single account client and server system for network access and management |
| US6971005B1 (en) * | 2001-02-20 | 2005-11-29 | At&T Corp. | Mobile host using a virtual single account client and server system for network access and management |
| EP1241903B1 (en) * | 2001-03-16 | 2006-03-15 | Nippon Telegraph and Telephone Corporation | Wireless communication system using user-owned access points |
| US20020174335A1 (en) * | 2001-03-30 | 2002-11-21 | Junbiao Zhang | IP-based AAA scheme for wireless LAN virtual operators |
| US20020147820A1 (en) * | 2001-04-06 | 2002-10-10 | Docomo Communications Laboratories Usa, Inc. | Method for implementing IP security in mobile IP networks |
| US6978128B1 (en) * | 2001-05-04 | 2005-12-20 | Utstarcom, Inc. | System and method to allow simple IP mobile nodes to operate seamlessly in a mobile IP network with true roaming capabilities |
| US7483411B2 (en) * | 2001-06-04 | 2009-01-27 | Nec Corporation | Apparatus for public access mobility LAN and method of operation thereof |
| DE60212858T2 (de) * | 2001-08-28 | 2007-06-21 | Telefonaktiebolaget Lm Ericsson (Publ) | Multicast gruppenverwaltung in telekommunikationsnetzen |
| US8140845B2 (en) * | 2001-09-13 | 2012-03-20 | Alcatel Lucent | Scheme for authentication and dynamic key exchange |
| KR100395487B1 (ko) * | 2001-09-14 | 2003-08-25 | 한국전자통신연구원 | 이동 스위칭 센터 경유 기지국 제어기간 링크 설정을 통한패킷 데이터 서비스 노드 간 고속 하드 핸드오프 수행 방법 |
| US20030084287A1 (en) * | 2001-10-25 | 2003-05-01 | Wang Huayan A. | System and method for upper layer roaming authentication |
| FI114276B (fi) * | 2002-01-11 | 2004-09-15 | Nokia Corp | Verkkovierailun järjestäminen |
| US20040019786A1 (en) * | 2001-12-14 | 2004-01-29 | Zorn Glen W. | Lightweight extensible authentication protocol password preprocessing |
| US7069015B2 (en) * | 2002-02-14 | 2006-06-27 | Qualcomm, Inc. | Method and apparatus for conserving home agent resources in mobile IP deployment |
| US20030163729A1 (en) * | 2002-02-27 | 2003-08-28 | International Business Machines Corporation | Security management in data processing networks |
| US6879600B1 (en) * | 2002-06-03 | 2005-04-12 | Sprint Spectrum, L.P. | Method and system for intersystem wireless communication session arbitration |
| US7373508B1 (en) * | 2002-06-04 | 2008-05-13 | Cisco Technology, Inc. | Wireless security system and method |
| US7606242B2 (en) * | 2002-08-02 | 2009-10-20 | Wavelink Corporation | Managed roaming for WLANS |
| PT1529374E (pt) * | 2002-08-16 | 2006-12-29 | Togewa Holding Ag | Processo e sistema para autenticação gsm durante o roaming com wlan |
| US20040054905A1 (en) * | 2002-09-04 | 2004-03-18 | Reader Scot A. | Local private authentication for semi-public LAN |
-
2003
- 2003-01-17 US US10/346,988 patent/US7346772B2/en not_active Expired - Fee Related
- 2003-05-23 CN CNB031366759A patent/CN100542086C/zh not_active Expired - Fee Related
- 2003-11-13 AU AU2003290841A patent/AU2003290841B2/en not_active Ceased
- 2003-11-13 CA CA002504854A patent/CA2504854A1/en not_active Abandoned
- 2003-11-13 WO PCT/US2003/036291 patent/WO2004047397A2/en not_active Application Discontinuation
- 2003-11-13 EP EP03783425A patent/EP1561331B1/en not_active Expired - Lifetime
- 2003-11-13 AT AT03783425T patent/ATE434896T1/de not_active IP Right Cessation
- 2003-11-13 DE DE60328124T patent/DE60328124D1/de not_active Expired - Lifetime
-
2008
- 2008-01-29 US US12/021,585 patent/US8074070B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| US20040098586A1 (en) | 2004-05-20 |
| EP1561331A2 (en) | 2005-08-10 |
| US20080119184A1 (en) | 2008-05-22 |
| CA2504854A1 (en) | 2004-06-03 |
| DE60328124D1 (de) | 2009-08-06 |
| US7346772B2 (en) | 2008-03-18 |
| WO2004047397A2 (en) | 2004-06-03 |
| EP1561331B1 (en) | 2009-06-24 |
| ATE434896T1 (de) | 2009-07-15 |
| US8074070B2 (en) | 2011-12-06 |
| AU2003290841A1 (en) | 2004-06-15 |
| CN1505314A (zh) | 2004-06-16 |
| AU2003290841B2 (en) | 2010-01-21 |
| WO2004047397A3 (en) | 2004-08-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100542086C (zh) | 无需额外的认证记帐授权设施的快速可靠的802.11重关联方法 | |
| KR100996983B1 (ko) | 셀룰러 통신 시스템에서의 재인증 허용 방법 및 장치 | |
| US8817757B2 (en) | Zero-configuration secure mobility networking technique with web-based authentication interface for large WLAN networks | |
| KR101467780B1 (ko) | 이기종 무선접속망간 핸드오버 방법 | |
| EP1875707B1 (en) | Utilizing generic authentication architecture for mobile internet protocol key distribution | |
| EP1693995B1 (en) | A method for implementing access authentication of wlan user | |
| KR100762644B1 (ko) | Wlan-umts 연동망 시스템과 이를 위한 인증 방법 | |
| US7848513B2 (en) | Method for transmitting security context for handover in portable internet system | |
| US20050286489A1 (en) | Authentication system and method having mobility in public wireless local area network | |
| JP4687788B2 (ja) | 無線アクセスシステムおよび無線アクセス方法 | |
| JP5982389B2 (ja) | クロスアクセスログインコントローラ | |
| US8433286B2 (en) | Mobile communication network and method and apparatus for authenticating mobile node in the mobile communication network | |
| WO2009152749A1 (zh) | 一种绑定认证的方法、系统和装置 | |
| WO2009152676A1 (zh) | Aaa服务器、p-gw、pcrf、用户设备标识的获取方法和系统 | |
| TWI428031B (zh) | 區域網協存取網路元件與終端設備的認證方法與裝置 | |
| US20110107403A1 (en) | Communication system, server apparatus, information communication method, and program | |
| KR100668660B1 (ko) | 휴대 인터넷 망과 3g 망간의 로밍을 위한 사용자 인증처리 방법 및 이를 수행하는 라우터 | |
| US9560526B2 (en) | Method and apparatus for single sign-on in a mobile communication system | |
| US20110153819A1 (en) | Communication system, connection apparatus, information communication method, and program | |
| JP2006345302A (ja) | ゲートウェイ装置およびプログラム | |
| CN103002443A (zh) | 一种接纳控制方法和系统 | |
| US20110093604A1 (en) | Communication system, server apparatus, information communication method, and program | |
| NO336812B1 (no) | Fremgangsmåte og anordning for å muliggjøre reautentisering i et celleformet kommunikasjonssystem |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090916 Termination date: 20210523 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |