无需额外的认证记帐授权设施 的快速可靠的802.11重关联方法 相关申请的交叉参照
本申请要求于2002年11月15日递交的美国临时申请60/426,756的权益。
【技术领域】
本发明一般地涉及用于漫游客户端的认证协议,更具体地说,涉及被802.11无线站(Wireless Station)所使用以在漫游时与新的接入点快速关联的协议。
背景技术
无线站从一个接入点(AP)漫游到另一个接入点后,大多数当前的802.11网络层认证协议需要相当数量的实际时间以重新建立该站到网络的连接。一般地,当无线站与第一接入点关联时,它必须通过一个中央认证服务器来被认证。当该站漫游到一个新的接入点时,该站必须向该认证服务器再次认证它自己,执行完整的验证请求与响应。一个新的记帐对话然后被建立。此方法依赖于最初的认证来作为密钥轮转的方式并为每次漫游产生一个新的记帐对话,导致不必要的对话拆除与重启。
重新建立连接中的此延迟极大地影响了802.11的服务质量(QoS)以至于一些上层协议,如IP语音(VoIP),事实上失败了。而且,每次漫游使得与一个站点的认证、记帐和授权(AAA)服务器的交互成为必要,导致服务器负载的明显增加,以至于一些服务器不能为802.11站提供必要地认证请求速率。
解决此问题的其他尝试已使用了多种方法。一种方法是使用AP到AP的通信来转发站AAA数据,但这些方法不能使用AP之间的强认证。另一种方法是使用网络中离AP和站更近的“代理”(proxy)AAA服务器,但这些方法一般需要在每个子网处的附加的新的网络基础设施。对一些站点,这是一项不能接受的成本,而且其他站点可能不能承受附加的管理负担。
因此,需要一种当站从一个接入点漫游到另一个接入点时对于该站进行可靠认证的方法,该方法减少了到认证服务器的流量。
【发明内容】
考虑到前述需求,本发明考虑了一种预认证方法,其中一个接入点向相邻接入点认证它自身并与其相邻接入点建立可靠的、互相认证的通信通道。当接入点得知一个相邻接入点时,它通过该相邻接入点启动向认证服务器的认证。在一个优选实施例中,第一接入点通过一个认证、记帐和授权(AAA)服务器对第二接入点启动一个轻量级可扩展认证协议(LEAP)认证。
一旦接入点已互相认证彼此,无论站何时向第一接入点认证其自身,第一接入点都将该站的认证上下文信息,如对话密钥和对话标识符,传送到每一个相邻接入点。这样,当站漫游到一个相邻接入点时,该相邻接入点向该站提供一个重认证协议,如LEAP重认证,而且如果该重认证成功,在该站与该相邻接入点之间的通信就可立刻发生。
本发明的一个优点是它不需要新的设备和服务加入到该站点的网络。本发明的另一优点是接入点通过一种机制互相认证,该机制在密码学上与网络上的任何客户站所使用的机制一样可靠。本发明不需要接入点被认为“比客户端更可信”,而这在大多数现有技术实现中是一个普遍的安全漏洞。本发明的另一个优点是它需要很少的在客户站上实现的新协议支持。本发明的另一个优点是该协议利用了网络历史的使用以优化未来的网络操作。本发明的另一个优点是该协议大大减少了站点(site)的AAA基础设施的负载。
本发明的其他目的从后续描述中对本领域的技术人员来说将会是很明显的,其中简单地通过图示实现本发明的最佳模式之一示出并描述了本发明的一个优选实施例。如将会被认识到的那样,本发明能实现其他不同的实施例,且它的几个细节能够不偏离本发明而作出各种明显的修改。相应地,附图和说明本质上将被认为是图示性而非限制性的。
【附图说明】
被结合进说明书并形成说明书的一部分的附图图示了本发明的几个方面,且与说明书一起用来解释本发明的原理。在附图中:
图1是一个有两个接入点的802.11网络的方框图;
图2是示出了当站从第一接入点漫游到第二接入点时的步骤的方框图;
图3是图示了在第一和第二接入点在第一接入点和第二接入点之间已建立一个可靠的已相互认证的通信通道后,当站从第一接入点漫游到第二接入点时的步骤的方框图。
【具体实施方式】
贯穿说明书,示出的该优选实施例和示例应被看作本发明的范例而不是限制。
首先参考图1,有一个典型的扩展服务集(Extended ServiceSet,ESS)10被示出了。ESS 10包括两个接入点(AP)12、14,每个接入点12、14有一个基本服务集12a和14a分别与它关联。当客户端或站(STA)18,一般是无线站或WSTA,处于一个BSS之内时,它就和与该BSS关联的AP通信。一般地,BSS 12a和14a有一个重叠区域且STA 18与从其接收到最强信号的AP,12或14,进行通信。如在图1中所示,STA 18通过无线通信与AP 12和14通信。AP 12和14通过可靠的、一般是有线的连接而被连接到认证、记帐和授权(AAA)服务器16。在该优选实施例中,AAA服务器16是远程认证拨号用户服务器(RADIUS服务器);然而,其他类型具有认证能力的服务器也是可接受的。
如在图1中所示,客户端或站(STA)18当处于第一位置19a时将与AP 12关联。当STA 18首次与网络中的一个AP关联时,它必须首先认证它自身。如果STA 18如在图1中所示在第一位置19a开始,则AP 12将通过与AAA服务器16的通信来认证该STA。
当STA 18从第一位置19a移动到第二位置19b时,它必须与AP 14关联。在现有技术中,这使得AP 14必须与AAA服务器16通信以认证STA18。
然而,本发明使用了一个重认证协议,该协议被设计用来减少在AP12、14和AAA服务器16之间的通信量。最开始,进行客户端(或站)向该站点的AAA服务器的可扩展认证协议(EAP)认证,如目前所做的那样。当客户端从第一接入点漫游到第二接入点时,如果第二接入点不知道该客户端当前的AAA对话,该客户端就必须再次执行EAP认证,如在现有技术中所做的那样,且第二接入点将发出一个多播解除注册通知(Deregistration Notice)到它的子网,如在现有技术中所做的那样。注意到,即使当AP 14已经得知STA 18的AAA上下文,它仍然必须发出该多播解除注册通知以更新以太网的交换转发表。AP 12正是通过此机制得知一个STA已从它漫游到了AP 14。
一旦注意到来自第二接入点的解除注册通知,与现有技术不同,第一接入点会将第二接入点增加到它的漫游近邻表(roaming neighborhoodtable),并将向第二接入点认证它自身,此认证是通过经由第二接入点向AAA服务器启动一个EAP,或最好是轻量级可扩展认证协议(LEAP),认证来完成的。第一接入点通过第二接入点到AAA服务器的EAP或LEAP认证一旦成功,第一接入点和第二接入点就已建立一个可靠的、已相互认证的通信通道。对所有随后与第一接入点相关联的EAP和LEAP客户端,第一接入点将会把该随后的客户端的认证上下文信息、对话密钥和对话标识符转发到在其漫游近邻中的每一个接入点,第一接入点会向每一个接入点主动认证。然后,对任何随后从第一接入点到第二接入点的漫游,一旦该客户端与第二接入点相关联,则该客户端将被提供一个LEAP重认证协议。如果该LEAP重认证成功,则可以立即进行通信而不需要新的EAP认证。
接入点已经建立一个可靠的、已相互认证的通信通道后,则与新的客户端与第一接入点关联时所发生的情况类似,当客户端与第二接入点关联时,第二接入点将把该客户端的认证上下文信息、对话密钥和对话标识符可靠地转发到在其漫游近邻表中的每一个接入点,第二接入点向每一个接入点主动认证。只有当客户端实际与它们关联时,接入点才转发客户端数据。因此,当第二接入点从第一接入点接收客户端数据时,只有客户端实际漫游并与第二接入点关联时,它才将该数据转发到其近邻表中的接入点。当客户端从第二接入点漫游到第一接入点时,一旦它与第一接入点关联,客户端就被提供一个LEAP重认证协议。
对使用RADIUS记帐的实施例,存在几个选择。对最简单的实现,第一接入点一旦接收到解除注册通知就可关闭客户端当前的记帐对话。第二接入点然后可为该客户端启动一个新的记帐对话,这可与为该客户端请求“早期更新(early renew)”重认证并发地进行,不会导致连接丧失。一种较复杂的实现将会涉及客户端当前记帐记录从第一接入点到第二接入点的移动上下文转移(Mobility context transfer)。
现在参考图2,示出了一个本发明构想的过程200。过程200开始于步骤202,其中站STA 18向第一接入点AP 12认证它自身。该认证可通过传统的EAP或其他认证协议如LEAP完成。在步骤204,站从第一接入点12内部的第一位置19a移动到第二接入点14的第二位置19b。在步骤206,第二接入点14检查以确定它是否知道站18的当前AAA对话。如果第二接入点14知道站18的AAA对话,则第二接入点14就提供一个EAP、LEAP或其他重关联协议给站18,并如在步骤210所示在第二接入点14和站18之间的通信立刻发生了。
然而,如果在步骤206第二接入点14不知道站18的当前AAA对话,则如在步骤212所示,该站就向第二接入点进行认证。如在步骤214中所示,第二接入点14然后发出一个多播解除注册通知到它的子网。然后如在步骤216中所示,第一接入点12一旦接收到第二接入点14发送的解除注册通知,它就将第二接入点14加入到它的漫游近邻表并通过第二接入点14向AAA服务器启动一个LEAP认证。如在步骤218中所示,第一接入点12向第二接入点14的认证一旦成功,第一接入点12和第二接入点14就与彼此建立一个可靠的、相互认证的通信通道。
现在参考图3,示出了一个过程300,该过程发生于第一接入点12和第二接入点14已经建立一个可靠的、相互认证的通信通道之后,第二站与第一接入点关联时。过程300开始于步骤302,在该步骤中第二站(未示出)与第一接入点12关联。第二站会使用EAP、LEAP或其他认证协议来认证。第二站被第一接入点12认证后,第一接入点12会将第二站的认证上下文信息、对话密钥和对话标识符可靠地转发到它的漫游表中的每一个接入点,包括第二接入点14,如在步骤304中所示。在步骤306,第二站漫游到第二接入点14。因为在步骤304第二接入点14接收了第二站的认证上下文信息,第二接入点14就向第二站提供一个LEAP重认证协议。如果在步骤310第二站被验证为合法,则如在步骤312中所示,在第二站和第二接入点312之间通信就立刻开始。如在步骤314中所示,第二接入点14然后将第二站的上下文信息可靠地发送到它的漫游近邻中的每一个接入点。
如果在步骤310第二站未被第二接入点验证为合法,则如在步骤316所示,该站必须尝试作为初始认证的认证。
根据本发明,通过接入点的相互LEAP认证而提供了在接入点之间传递客户端证书的安全性。在有线网络上以明文传递客户端对话数据没有明显的安全漏洞,如在预认证协议下可以做到的一样。接入点彼此之间没有共有的共享秘密。唯一的共享秘密是在每一个接入点和AAA服务器之间的单个共享秘密,而不是网络范围内的。一个接入点的协议不提供共享秘密网络范围的接入。
接入点之间的相互认证中的LEAP延迟通过预认证彼此的漫游近邻内的接入点而被避免了。漫游近邻是基于实际客户端漫游模式的,且一般应只包括两到四个其他接入点。漫游近邻的指定可以是暂时的,其中漫游近邻在接入点每次重启时被重新生成,或者可以是持续性的。
为使预认证可以在RADIUS服务器上正确工作,RADIUS服务器必须被配置成允许接入点设备的“多个同时登录”。
虽然此机制的操作被限制成利用每对接入点的相同管理子网漫游,但是如果虚拟局域网(VLAN)被使能,那就不是对客户端漫游的限制。也就是说,如果接入点是在与客户端不同的VLAN上,本发明就支持客户端子网间的移动性。
尽管本发明已经根据特定优选实施例被示出和描述了,但很明显本领域内的技术人员一旦阅读并理解了本说明后将会作出等同的改变与修正。本发明包括所有这些等同的改变与修正。