专利名称:利用动态认证信息的快速重鉴权的制作方法
背景技术:
本发明一般地涉及对无线网络中的无线客户的鉴权,更具体地涉及当802.1X客户在接入点之间漫游时对其鉴权的方法。
大多数目前的802.11网络级鉴权协议在无线台站(station)从一个接入点(AP)漫游到另一个接入点以后,需要花费大量的时间来重新建立无线台站到网络的连接。一般地,当台站与第一接入点关联时,它需要通过真正的鉴权服务器而被鉴权。当台站漫游到新的接入点时,台站必须再用鉴权服务器对其自身进行鉴权,鉴权服务器需要完整的质询请求(challenge request)和响应。然后建立新的计费会话。这个方法依靠初始鉴权来作为密钥轮换(key rotation)的方式,并且对于每一次漫游都要生成新的计费会话,引起了不必要的会话拆除和重启。
重新建立连接时的这种延迟极大地影响了802.11的服务质量(QoS),以至于实际上一些上级协议(如基于IP的话音业务(VoIP))就失效了。此外,每次漫游通常都需要与站点的鉴权、计费以及授权(AAA)服务器交互,导致服务器负荷的极大增加,以至于一些服务器无法给802.11台站提供鉴权请求所必需的速率。
因此,当台站从一个接入点漫游到另一个接入点时,需要快速、安全且可靠的对台站进行鉴权的方法来减少鉴权服务器的业务量。
发明内容
考虑到前述需求,本发明提出了一种在鉴权服务器和网络接入点之间采用代理鉴权服务器的方法和系统。网络接入服务器(一般是接入点)接收来自客户的关联请求。然后,网络接入服务器经代理鉴权服务器向鉴权服务器转发该请求。如果鉴权成功,鉴权服务器则返回密钥信息,该密钥信息被代理服务器存储作为动态认证信息(dynamic credential)。当连接到代理鉴权服务器的多个接入点中的任意一个接收到后续的重鉴权请求时,代理鉴权服务器就处理客户的重鉴权。
代理服务器可以使用与原始鉴权请求相同类型的鉴权,或者也可以使用不同的协议来对用户进行重鉴权。例如,原始鉴权请求可使用用可扩展鉴权协议-传输层安全性(Extensible Authentication Protocol-Transport LayerSecurity,EAP-TLS),而重鉴权请求可以用轻权可扩展鉴权协议(Lightweight Extensible Authentication Protocol,LEAP)来处理。
在优选实施例中,网络接入服务器是接入点(AP),鉴权服务器是利用802.1X网络的鉴权、计费以及授权(AAA)服务器。RADIUS服务器是本领域公知的普遍流行的AAA服务器。
本发明的一个方面是通过代理服务器处理重鉴权请求,减少了鉴权服务器的业务量。在许多的应用中,代理鉴权服务器将减少响应时间,因为它能够放置在物理上更接近它所支持的网络接入服务器的位置上,而鉴权服务器一般是服务于整个网络,并且物理上它放置在距离网络接入服务器很远的位置上。本发明的另一个方面是重鉴权是由后端系统(back endsystem)驱动。这就为不执行预鉴权的系统提供了解决方案。而本发明的另一个方面是它可以很好的结合现有系统进行工作。本发明不需要对客户端进行任何改变,并且对网络接入服务器和鉴权服务器只需要进行极细微的配置改变以使得重鉴权业务被路由到代理服务器。
根据下面的描述(其中简单地通过对最适于执行本发明的最佳方式之一进行举例说明来对本发明的优选实施例进行展示和描述),本领域的技术人员将清楚地看出本发明的其他目的。正如实现该实施例一样,本发明还能够实现其他不同的实施例,并且它的几个细节能够在不脱离本发明的各种显而易见的方面进行修改。因此,图和描述在本质上应被看作是说明性而不是限制性的。
包含在说明书中且成为其中一部分的附图,图示了本发明的几个方面,并且与描述一起用于解释本发明的原理。在附图中图1是具有两个接入点的一般的802.11网络的框图;
图2的框示了一般的发生在初始鉴权期间的分组交换流程;图3的框示了对于本发明所预期的重鉴权所发生的分组交换流程;图4a的框图示出了如本发明优选实施例所预期的初始鉴权方法的步骤;图4b的框图示出了如本发明所预期的重鉴权方法的步骤;图5的框图示出了如本发明优选实施例所预期的代理服务器所采取的步骤。
具体实施例方式
在整个描述中,优选实施例和所示示例应当被认为是本发明的范例,而不是对本发明的限制。
目前,无线客户(在802.1X网络术语中也就是请求者(supplicant))的鉴权通过鉴权、计费和授权(AAA)服务器来执行,这个服务器一般是拨号用户远程鉴权服务器(RADIUS服务器)。初始鉴权通过RADIUS服务器执行,并且当需要重鉴权时,重鉴权也是由RADIUS服务器以同样的方式进行处理。
“密钥材料”(例如多播密钥和会话密钥)在初始鉴权期间建立。密钥材料可以被代理鉴权服务器使用,代理服务器优选地位于物理上离漫游设备较近的位置处以减少鉴权时间。
本发明预期使用RADIUS代理,这个代理插入到RADIUS服务器和网络接入服务器(NAS)之间。在是802.11网络的情况下,接入点(AP)是NAS。对于NAS来说,RADIUS代理看上去像是RADIUS服务器。对于RADIUS服务器,RADIUS代理像是NAS。无线客户通过RADIUS服务器鉴权之后,RADIUS代理把在RADIUS服务器和无线客户之间建立的密钥材料存储起来。以后RADIUS代理就把所建立的密钥材料当作客户的动态认证信息。
本发明的一个方面是RADIUS代理没有客户的认证信息,RADIUS代理仅是用密钥材料来作为动态认证信息。通过移动RADIUS代理到物理上更接近客户漫游的NAS的位置,节省了额外耗时。
当客户重鉴权时,RADIUS代理使用动态认证信息。通过处理通常是由AAA服务器处理的重鉴权业务,减少了AAA服务器上的负荷。此外,重鉴权的类型可与原始鉴权协议不同。例如,原始鉴权可由可扩展鉴权协议-传输层安全性(EAP-TLS)来完成,而重鉴权可以采用轻权可扩展鉴权协议(LEAP)。另外,如果RADIUS代理拥有足够的信息,则它可以执行与原始鉴权相同的鉴权。
在决定重鉴权时的一个考虑因素是执行重鉴权所需要的时间。例如,互联网协议上的语音业务(VoIP)和服务质量(QoS)应用一般都要求快速重鉴权。
如图1所示,客户(或台站(STA))18要在第一位置19a与AP 12连接。当STA 18第一次与网络中的AP连接时,必须首先对其自身进行鉴权。如果STA 18开始于如图1所示的第一位置19a处,则AP 12将通过与AAA(通常是RADIUS)服务器16的通信对STA鉴权。
当STA 18从第一位置19a移动到第二位置19b时,它就必须与AP 14连接。在现有技术中,这需要AP 14与AAA(通常是RADIUS)服务器16通信来鉴权STA 18。
然而,参考图2,本发明使用了代理服务器16a,设计该服务器用于减少AP 12和14与AAA服务器16之间的通信量。利用站点的AAA服务器16的初始的客户(或台站)可扩展鉴权协议(EAP)鉴权按目前的方式进行。开始时,如20a所示,客户18与接入点12可进行双向通信。接入点12向RADIUS代理服务器16a转发请求,如20b所示。然后,如20c所示,RADIUS代理服务器16a向RADIUS服务器16转发请求。当实际的鉴权步骤被处理时,在客户18和接入点12之间(如22a所示),接入点12和RADIUS代理服务器16a之间(如22b所示)以及RADIUS代理服务器16a和RADIUS服务器16之间(如22c所示)都是双向通信。鉴权完成后,RADIUS服务器16将鉴权数据或密钥材料(未示出)传送给RADIUS代理服务器16a(如24c所示),RADIUS代理服务器16a将密钥材料转发给接入点(如24b所示),接入点12将密钥材料转发给客户18(如24a所示)。下面将要讨论,RADIUS代理16a将鉴权数据存储起来以用于以后的重鉴权。
参考图3,这里示出了对于本发明优选实施例所预期的重鉴权所发生的分组交换。如30a所示,客户18试图关联到接入点14,并且处理过程开始。然后,接入点14与RADIUS代理服务器16a联系,如30b所示。然而,因为客户18已经被鉴权,所以RADIUS代理服务器16a不向RADIUS服务器16传送任何分组。随后鉴权开始,客户18与接入点14之间(如32a所示)和接入点与RADIUS代理服务器16a之间的双向通信(如32b所示)建立。当鉴权完成时,数据被从RADIUS代理服务器16a送到开始处14(如34b所示),并且随之从接入点14送给客户18(如34a所示)。
在客户从AP 12移动到AP 14后,如果客户18想要重新漫游回AP 12的范围内,则AP 12只需要对客户18重鉴权,此时具有如图3所示的相同的分组交换。
客户18重鉴权时,在重鉴权方法中RADIUS代理服务器16a所用的鉴权方法可以不同于RADIUS服务器16所用的鉴权方法。例如,RADIUS服务器16可用可扩展鉴权协议-传输层安全性(EAP-TLS)来鉴权,而RADIUS代理服务器16a可以用轻权可扩展鉴权协议(LEAP)。另外一个例子,RADIUS服务器16可用可扩展鉴权协议-传输层安全性(EAP-TLS)来鉴权,而RADIUS代理服务器16a可以用客户到AP的鉴权,比如无线保真技术保护的接入(Wi-Fi protected access,WPA)。另外的选择是通过提供给RADIUS代理服务器16a足够的信息,RADIUS代理服务器16a就可以执行和原始鉴权相同的鉴权。这个选择对于没有重鉴权机制的系统是很有用的。因为重鉴权的方法不需要与初始鉴权方法一样,所以本发明的另一个方面是可以选择重鉴权的类型来满足在延迟时间是关键问题时的数据需求,比如服务质量(QoS)实现。
现参考图4a,并同时继续参考图2,这里图示了当客户18被初始鉴权时所要执行的步骤400。步骤s402中,客户请求与AP12连接。步骤s406中,AP 12将该请求传送给RADIUS代理服务器16a。步骤s408中,RADIUS代理服务器16a将该请求传送给RADIUS服务器16。步骤s410中,RADIUS服务器执行鉴权。这一般需要客户18和AP12,AP12和RADIUS代理服务器16a,以及RADIUS代理服务器16a和RADIUS服务器16之间的双向通信,分别如22a、22b和22c所示。客户鉴权成功以后,接下来步骤s412中RADIUS服务器16把密钥数据传送给RADIUS代理服务器16a。步骤s414中,RADIUS代理服务器16a存储基于密钥数据的动态认证信息。动态认证信息可以包括密钥数据,或者RADIUS代理服务器16a可以生成客户18的动态认证信息。步骤s416中,密钥数据被传送给AP 12。为了节省时间,步骤s416也可以与步骤s414同时执行。最后,步骤s418中,AP 18将密钥数据传送给客户18。
现参考图4b,并同时继续参考图3,一旦客户18已被鉴权,客户18就可以如图4b所示利用步骤450进行重鉴权。从步骤s452开始,客户18请求进行关联。步骤s454中,AP 14接收到该请求,并且在步骤s456中该请求被传送给RADIUS代理服务器16a。步骤s452、s454和s456通常分别等同于步骤s402、s404和s406。然而,在步骤s458中,RADIUS代理服务器16a来执行鉴权。鉴权确认以后,接下来在步骤s460中密钥数据被传送给AP 14,AP 14在步骤s462中把密钥数据传送给客户。应当注意的是,如果客户后来想要再漫游回AP 12,则可以采取与AP 14相同的步骤450来进行客户的重鉴权。
现参考图5,这里示出了流程图,图示了在处理鉴权请求时,RADIUS代理服务器16a通常所采用的步骤500。当RADIUS代理服务器16a接收到来自AP 12的连接请求(AP 12从客户那里接收到该请求)时,处理开始。步骤s504中,RADIUS代理服务器16a确定它是否已经有了客户的动态认证信息。
如果步骤s504中RADIUS代理服务器16a有了客户18的动态认证信息,则客户18被重鉴权,并且重鉴权在步骤s516中执行。步骤s518中,如果重鉴权成功,则密钥材料被传送给AP 12。如果步骤s518中重鉴权没有成功,则如s520所示,该接入被拒绝。
如果步骤s504中RADIUS代理服务器16a确定它没有客户的动态认证信息,则必须执行常规的鉴权程序并且处理进入到步骤s506,请求被转发给RADIUS服务器16。如步骤s508中所示,RADIUS代理服务器随后在RADIUS服务器16和AP 14之间传送鉴权分组。一旦完成鉴权,则在步骤s510中确定鉴权是否成功。如果步骤s510中鉴权是成功的,则RADIUS代理服务器16a把密钥信息存储为动态认证信息。然而,RADIUS代理服务器16a也可以生成不同的用于客户18的动态认证信息,这个认证信息通常是基于密钥材料的。最后,在步骤s514中该密钥材料被传送给AP 14。如果步骤s510中确定鉴权不成功,则如步骤s520中所示,接入被拒绝。
本发明优选实施例的前述描述是为了举例说明和描述的目的而给出的。其并非穷尽性的,也并不是意图将本发明局限于所公开的确切形式上。在上述教导的启示下,对其做显而易见的修改或变化是可能的。选择该实施例进行描述是为了给本发明的原理和它的实际应用提供最好的说明,从而使得本领域的普通技术人员能够将本发明应用到各种实施例中,并且经过各种修改而适用于具体所期望的用途。当权利要求被合理合法地解释时,所有这样的修改和变化都在如所附权利要求所确定的本发明的范围内。
权利要求
1.一种由代理服务器对客户进行重鉴权的方法,其步骤包括接收来自网络接入服务器的用于客户的鉴权请求;将该请求转发给鉴权服务器;接收来自所述鉴权的鉴权密钥材料;以及将所述鉴权密钥材料存储为动态认证信息;以及将所述会话密钥转发给所述网络接入服务器。
2.如权利要求1所述的方法还包括接收来自第二网络接入服务器的用于所述客户的鉴权请求,并且用所述动态认证信息对所述客户进行鉴权。
3.如权利要求1所述的方法还包括接收来自第二网络接入服务器的用于所述客户的鉴权请求,并且用所述动态认证信息和与所述鉴权服务器所用鉴权方法不同的方法对所述客户进行鉴权。
4.如权利要求1所述的方法,其中所述动态认证信息包括多播密钥和会话密钥。
5.如权利要求1所述的方法,其中所述鉴权服务器是拨号用户远程鉴权服务器。
6.如权利要求1所述的方法,其中所述网络接入设备是接入点。
7.如权利要求1所述的方法,其中所述客户是无线客户。
8.一种利用动态认证信息提供快速重鉴权的系统,包括网络接入服务器;连接到多个网络服务器的代理鉴权服务器;以及连接到所述代理鉴权服务器的鉴权服务器;其中,对于所述网络接入服务器,所述代理鉴权服务器相当于鉴权服务器,对于所述鉴权服务器,所述代理鉴权服务器相当于网络接入服务器。
9.如权利要求8所述的系统还包括连接到所述代理鉴权服务器的多个网络接入服务器。
10.如权利要求9所述的系统,其中所述网络接入服务器是802.1X接入点。
11.如权利要求8所述的系统,其中所述鉴权服务器是拨号用户远程鉴权服务器。
12.如权利要求8所述的系统,其中当来自客户的原始鉴权请求被所述多个网络服务器中的一个接收时,所述原始鉴权请求被转发给所述代理鉴权服务器,所述代理鉴权服务器将所述原始鉴权请求转发给用于鉴权的所述鉴权服务器,所述代理鉴权服务器将密钥材料存储起来。
13.如权利要求12所述的系统,其中当重鉴权请求被所述多个网络接入服务器中的一个接收时,所述代理鉴权服务器用所述密钥材料对所述客户进行鉴权。
14.如权利要求12所述的系统,其中客户是无线客户。
15.一种具有指令的计算机可读介质,包括用于接收来自网络接入服务器的用于客户的鉴权请求的方法;用于将所述请求转发给鉴权服务器的方法;用于接收来自所述鉴权的鉴权密钥材料的方法;以及用于将所述鉴权密钥材料存储为动态认证信息;以及将所述会话密钥转发给所述网络接入服务器的方法。
16.如权利要求15所述的具有指令的计算机可读介质,还包括用于接收来自第二网络接入服务器的用于所述客户的鉴权请求的方法,以及用于利用所述动态认证信息对所述客户进行鉴权的方法。
17.如权利要求15所述的具有指令的计算机可读介质,还包括用于接收来自第二网络接入服务器的用于所述客户的鉴权请求的方法,以及用于利用所述动态认证信息和与所述鉴权服务器所用的鉴权方法不同的方法对所述客户进行鉴权的方法。
18.如权利要求15所述的具有指令的计算机可读介质,其中所述动态认证信息包括多播密钥和会话密钥。
19.如权利要求15所述的具有指令的计算机可读介质,其中所述鉴权服务器是拨号用户远程鉴权服务器。
20.如权利要求15所述的具有指令的计算机可读介质,其中所述网络接入设备是接入点。
21.如权利要求15所述的具有指令的计算机可读介质,其中所述客户是无线客户。
全文摘要
代理服务器被插在多个网络接入服务器(一般是接入点)和鉴权服务器之间。当网络接入服务器接收到原始鉴权请求时,网络接入服务器将该请求转发给代理服务器,代理服务器将该请求转发给鉴权服务器。所述鉴权服务器再将会话信息传送给代理服务器,代理服务器将密钥材料存储为动态认证信息。当客户与多个接入服务器中的一个进行重鉴权时,由代理服务器利用所述动态认证信息对所述重鉴权请求进行处理。所述代理服务器可以利用与原始鉴权所用方法不同的方法来重鉴权客户。例如,原始鉴权可以利用可扩展鉴权协议-传输层安全性(EAP-TLS),而后来的重鉴权可以用无线保真技术保护的接入(WPA)。
文档编号H04L29/06GK1765082SQ200480007827
公开日2006年4月26日 申请日期2004年2月20日 优先权日2003年2月26日
发明者戴维·豪拉斯, 格伦·W·佐恩 申请人:思科技术公司