用于在基于uam的wlan网络中对网络节点进行认证的方法和系统的制作方法

专利名称：用于在基于uam的wlan网络中对网络节点进行认证的方法和系统的制作方法
技术领域：
这里提出的发明涉及用于在无线局域网(WLAN)或其它分组数据网络中对移动网络节点进行认证的方法和系统。经由无线网络接口(NIC)，移动网络节点在接入点(AP)处请求对WLAN的接入，其中，在封闭的第一网络区域(围墙花园(Wal 1 ed Garden))内，在借助于移动网络节点的认证之前，建立高达层3协议层(L3)的所有网络协议层。在作为强制网络门户的网络服务器与移动网络节点之间，使用通用接入方法(UAM)在层3协议层中传送包含移动网络节点的认证数据的消息。如果授权是成功的，则网络接入服务器(NAS)使得移动网络节点能够接入第二网络区域。最特别地，本发明涉及用于包括具有授权和授权数据的SIM卡(订户身份模块)作为例如基于授权的IMSI (国际移动订户身份)和软件证书(例如SSL证书)的移动网络节点的方法。
背景技术：
现在，无线因特网服务提供商(WISP)在向客户提供固定或移动无线服务中扮演重要角色。使用Wi-Fi或其它无线方法，WISP在诸如机场、旅店、饭馆、购物中心等公共场所中提供因特网接入。Wi-Fi是用于基于IEEE (电气和电子工程师协会)802. 11标准的产品的Wi-Fi联盟的证明商标。为了实现公共无线因特网服务，WISP可以使用例如基于EAP认证(IETF RFC 3748)的移动WiMAX (微波接入全球互通)、基于IEEE 802. Ix标准的WLAN或基于WISPr和用IEEE 802. 11标准的UAM (通用接入方法)的WLAN来向全世界的客户传送因特网接入。UAM是一种允许订户接入WLAN网络(作为例如Wi-Fi网络)的方法，由此，仅使用因特网浏览器。因特网浏览器用登录页面打开，在登录页面中，用户必须在被许可接入网络之前填写其证书(通常是用户名和口令)。除客户的认证和授权之外，WISP还提供例如用于数字内容的网络支付服务。此类网络支付服务能够向因特网服务提供商(ISP)、电话公司或信用卡帐户开帐单。WISP还常常支持微支付以在月末对帐户充值。在现有技术中，对公共WLAN的接入认证和授权主要是基于所述UAM和WISPr，两者都是基于HTTP的并因此要求移动设备获得对基础设施的IP接入(参见图2)。UAM和WISPr 仅仅被提供用于用户名/ 口令认证，而不用于基于SIM或证书的认证。因此，当实现基于当今的UAM和WISPr的实际漫游时存在严重的障碍，例如，如果运营商想要漫游的话，其不得不使用用户名/ 口令，这对于用来用智能卡工作的某种类型的运营商(例如GSM)而言是非常不方便的。另一方面，移动WiMAX是基于EAP认证、一般支持用户名/ 口令的IETF(因特网工程任务组)限定标准、SIM (订户身份模块)或智能卡和基于证书的认证的(参见图1)。 现在，通过使用IEEE 802. Ix标准，在WLAN上可以实现基于EAP的认证。然而，802. Ix与 UAM和WISPr接入是不兼容的。想要以对其网络的较少接入(即用由信用卡进行支付的即时接入)出售订阅的运营商需要UAM方法。想要支持EAP和UAM两者的运营商因此必须具有双基础设施，其广播例如两个SSID (服务集标识符)，并且是相当成本密集的投资。如所述，可以将IEEE 802. Ix用于无线LAN内的用户的认证。802. Ix是来自电气和电子工程师标准协会机构的开放源IEEE协议。IEEE 802. Ix认证允许对诸如例如以太网、令牌环和/ 或802. 11无线LAN的IEEE 802的认证接入。802. 11协议为无线LAN、即为无线局域网生成2. 4 GHz波段中的1 Mbps、2 Mbps或11 Mbps传输，由此，使用！7HSS (跳频扩展频谱)或者DSSS (直接序列扩展频谱)。对于认证而言，802. Ix支持认证EAP (可扩展认证协议)和 EAP-TLS (无线传输层安全，RFC 2716 (PPP EAP TLS认证协议))。作为一般认证方案，EAP 向被访问网络隐藏归属网络运营商正在使用的证书类型。EAP的实施方式包括ΕΑΡ-SIM(用于全球移动通信系统(GSM)订户身份模块(SIM)，RFC 4186的ΕΑΡ)、EAP-AKA (用于UMTS认证和密钥协议、RFC 4187的可扩展认证协议方法)、EAP-TLS、EAP-TTLS (ΕΑΡ隧道传输层安全)。802. 11还支持RADIUS。虽然RADIUS支持在802. Ix中是可选的，但可以预期大多数 802. Ix认证器将支持RADIUS。IEEE 802. Ix协议是所谓的基于端口的认证协议。其可以在其中能够指定端口(即单元的接口)的每个环境中使用。用基于802. Ix的认证，可以区别三个单元用户(请求者/客户端)的单元、认证器和认证服务器。对请求者进行认证是认证器的作用。认证器和请求者例如经由点到点LAN段或802. 11无线LAN相连。认证器和请求者具有限定端口，即所谓的端口接入入口(PAE)，其定义物理或虚拟802. Ix端口。认证服务器生成认证器所需的认证服务。这样，其检验由请求者提供的关于采取的身份的权限数据。对接入无线网络的UAM认证是基于“围墙花园”的概念，如图2所示。围墙花园是“颠倒的”内部网，其防止在围墙花园内连接的设备在被认证之前接入因特网。不同于 802. lx，这种技术允许设备在被认证之前到达所有联网层，包括层3 (即IP层)并针对会话被收费。这种技术的利害关系是围墙花园中的网络服务器能够用来执行不同类型的认证， 包括经由浏览器的认证和用信用卡进行的支付(用802. Ix是不可能的)。UAM认证由于在不需要订阅的情况下直接在热点处支付的此可能性而非常受欢迎。WISPr (无线因特网服务提供商漫游)是用于客户端软件的基于网络的登录标准 (UAM)0 WISPr 1. 0是在2003年2月由Wi-Fi联盟发行的。WLAN推荐的附件D描述了个人计算机(PC)或移动电话上的客户端软件之间的通过HTTP协议的XML，以允许朝向Wi-Fi热点的用户名/ 口令认证。协议由XML元件(类似于简单对象接入协议(SOAP))的交换构成， 其中，客户端(即移动设备上的软件)与网络服务器(WLAN-A)交换信息以打开WLAN会话并稍后终止WLAN会话。XML (可扩展标记语言)是由W3C联盟指定的对数据进行结构化的格式和语法。SOAP是通过XML工作的远程程序调用协议，也是由W3C联盟(万维网联盟)指定的。图2和5示出根据WISft·规范附件D的现有技术。图5中的客户端包括客户端软件。 网关是被访问WLAN网络上的WISft·服务器23 (图2)。AAA是归属网络运营商处的认证服务器22。WISft·定义客户端10与网关23之间的支腿(leg)(参见图5)。网关23与AAA 22之间的支腿是Radius或Diameter。在现有技术中，认证服务器通常是基于IETF (因特网工程任务组)的RADIUS (远程认证拨号用户服务)。RADIUS认证协议和计费系统的使用在诸如例如路由器、调制解调器服务器、交换机的网络单元中是普遍的，并且被大多数因特网服务提供商(ISP)使用。如果用户拨入ISP中，则他/她必须正常地输入用户名和口令。 Radius服务器检验此信息并授权用户接入ISP系统。特别地，RADIUS的广泛使用的原因在于网络单元通常不能应付每个具有不同认证数据的大量网络用户，因为这将超过例如单独网络单元的存储容量。RADIUS允许许多网络用户的中央行政(用户的添加、删除等)。因此， 这是ISP (因特网服务提供商)对其服务的必需前提，因为其用户数目常常总计达几千至几万个。RADIUS还生成针对黑客的某种永久性保护。由RADIUS基于TACACS+ (终端访问控制器访问控制系统+)和LDAP (轻量级目录访问协议)进行的远程认证针对黑客是相对安全的。相比之下，许多其它远程认证协议仅具有针对黑客攻击的临时或不充分的保护或根本没有保护。另一优点是RADIUS目前是用于远程认证的事实标准，RADIUS还受到几乎所有系统的支持，对于其它协议而言情况不是如此。在现有技术中，WISPr规范定义了用来提交用户证书、对认证结果的轮询等的XML 方案。应注意的是由通过无线技术中的新需求，由缺点引发的是，无线宽带联盟正在着眼于进一步开发WISPr标准。目前，WISPr附件D是WLAN电信行业中的事实标准。据估计，超过 90%的商业热点网络将WISPr附件D实现为接入方法。与WISPr相结合，必须提到IPASS。 IPASS是将远程和移动设备的管理和连接统一的商业公司。IPASS已经是WISPr规范的关键贡献者。IPASS很长时间以来具有被称为GIS(通用接口规范)的其自己的专有方案。WISPr 或多或少地是GIS的模仿者。可扩展认证协议(EAP) (RFC 3748)是由IETF (因特网工程任务组)开发的，以产生支持不同类型的证书(用户名/ 口令、证书、SIM卡等)的通用认证协议。发明EAP是为了在不必担心并每当使用新的认证时更新基础设施的情况下允许被访问网络上的认证的一般支持。可扩展认证协议(EAP)实际上是PPP (点到点协议)的扩展，并且是由IETF的请求注解(RFC) 2284 PPP可扩展认证协议(ΕΑΡ)定义的。经由ΡΡΡ，可以将计算机连接到例如ISP的服务器。PPP在OSI模型的数据链路层中工作，并将计算机的IP分组载送到形成到因特网的接口的ISP的服务器。与较旧的SLIP协议(串行线网际协议)相比，PPP更稳定地运行且具有纠错机构。如所述，可扩展认证协议EAP是非常一般的水平上的协议，其支持多样化的认证方法，诸如，例如令牌卡、麻省理工学院(MIT)的Kerberos、取消口令、证书、 公钥认证和智能卡或所谓的集成电路卡(ICC)。IEEE 802. Ix定义必须集成到LAN帧中的诸如EAP的规范。用无线网络中的经由EAP的通信，经由无线通信、即用于远程访问客户端或请求者的连接集线器到WLAN的用户请求接入无线LAN。AP然后从请求者请求用户的标识，并将该标识传送到基于例如RADIUS的上述认证服务器。认证服务器允许接入点重新检查用户的标识。AP从请求者收集此认证数据并将其传送到认证服务器，认证服务器终止该认证方法。EAP是用于WiMAX认证的所选方法。第三代合作伙伴计划(3GPP)也采用此标准进行GSM (全球移动通信系统)到IP (网际协议)技术的会聚。EAP被封装在所述“传输” 协议中:PPP (点到点协议、IETF RFC),Radius (RFC 2869)和 Diameter，其为用于 AAA (认证、授权和计费)的计算机联网协议。IEEE 802. 11标准(WLAN)的安全型式(称为802. Ix) 使用EAP作为认证机制。然而，非常少的WLAN热点网络已部署了 802. lx，因为这种方法固有地防止用户经由信用卡来购买因特网接入(即，不可能通过802. Ix来提供UAM接入)。诸如Swisscom的现有技术中的几个运营商已经部署了双基础设施，其提供通过802. 11的UAM 和通过802. Ix的EAP两者。这是通过广播两个信号并具有双基础设施实现的。然而，此选择是昂贵的，并且目前具有通过802. 11的UAM的许多运营商由于成本而不愿意升级到双基础设施。EAP最初被设计为在具有设备与NAS之间的IP单跳的限制的情况下通过PPP (点到点协议)运行。为了克服此限制，指定了 L2TP (RFC 266URFC 3931)。L2TP通过IP网络来模拟链路段，通过IP多跳提供PPP层。L2TP (层二(2)隧道协议)是使得因特网服务提供商(ISP)能够操作虚拟专用网络(VPN)的PPP协议的扩展。L2TP将以下两个其它隧道协议的特征合并来自微软公司的PPTP (点到点隧道协议)和来自Cisco系统的L2F(层二转送)。类似于PPTP，L2TP要求ISP的路由器支持该协议。L2TP能够用作WISft·上的EAP的替换。然而，这将要求设备实现L2TP且NAS (网络接入服务器)实现L2TP。然后将用隧道传输设备与NAS之间的所有业务，增加开销。客户端软件和NAS中的软件变化对于所提出的发明而言将是非常显著的。NAS是外部通信网络与内部网络之间的接入网关，也称为“围墙花园”。在用户请求对网络的接入时，因特网服务提供商(ISP)使用NAS来在用户已被接入服务器授权之后提供对因特网的接入。诸如Comfone AG*krvice Factory AB的其它公司已经在2004年开发了允许通过WISft·使能热点的两阶段EAP型的认证的解决方案(参见图6)。在图6中举例说明此技术解决方案的两阶段方案，第一阶段包括EAP认证过程。从此阶段出来，生成一次性用户名 / 口令，并且客户端软件然后继续进行正常的WISft·登录以打开WLAN会话。图6举例说明此类WISPr EAP认证。这种方法具有不同的缺点首先，需要WISP网络处的特殊配置以允许在标准阶段2认证之前的阶段1认证。其次，需要客户端软件实现特有阶段1协议。第三，该两阶段方法在认证中引入附加延迟。随着移动WiMAX的到来，需要技术间漫游，使得WiMAX订户可以用相同的证书在 WLAN热点上漫游。虽然如果证书是用户名和口令，这在目前是可能的，但如果证书是SIM或证件，则不存在容易的会聚。开发的WISPr ΕΑΡ-SIM方法(通过EAP协议的SIM认证。IETF RFC 4186)遭受上述复杂性和缺点。

发明内容
本发明的目的是提出一种用于在WLAN中漫游的移动节点的新方法。特别地，应使得对于WiMAX订户或者说使用EAP进行认证的订户而言可以用相同的证书在WLAN热点上漫游。如果证书是SIM或证件，这也应是可能的。应使得对于用户而言可以在没有任何困难的情况下在不同的热点和标准之间移动(漫游)，而不必为各种WLAN服务提供商处的注册、 开帐单、服务授权等烦恼。并且，在Wi-Fi热点中，本发明应向WLAN中的用户和服务提供商保证用于开帐单、服务授权和安全的所需部件。根据本发明，通过独立权利要求的元素来实现这些目的。而且，另外的优选实施例是从从属权利要求和该说明书得出的。通过本发明来实现这些目的，特别地在于，为了在无线局域网(WLAN)中对移动网络节点进行认证，移动网络节点经由无线网络接口在接入点处请求对WLAN的接入，其中， 在封闭的第一网络区域(围墙花园)内，在认证之前，借助于移动网络节点，建立高达层3协议层(L3)的所有网络协议层，其中，在作为强制网络门户的网络服务器与移动网络节点之间，使用通用接入方法(UAM)在层3协议层中传送包含移动网络节点的认证数据的消息， 并且如果认证是成功的，则网络接入服务器(NAS)使得能够实现移动网络节点对第二网络区域的接入，其中，在网络服务器和/或网络接入服务器(NAS)上生成基于可扩展认证协议(EAP)的认证器，认证器与包括EPA对端的移动网络节点之间的层3协议层借助于包含编码的EAP消息的被定义的位序列双向地延伸，其中，在由移动网络节点进行的接入请求的情况下，网络服务器通过将用于层3协议层的EAP消息请求编码并在层3协议层中借助于被定义的位序列来传送编码消息请求而向移动网络节点传送认证刺激(authentication stimulus)，其中，移动网络节点将来自被定义的位序列的EAP消息请求解码并借助于被定义的位序列在层3协议层中向认证器传送编码的EAP响应消息，EAP响应消息包括用于移动网络节点的认证数据，并且其中，网络服务器将来自位序列的EAP响应消息解码，借助于认证查询将其传送到AAA服务器，并且基于AAA服务器进行的认证响应，借助于网络接入服务器(NAS)使得第二网络区域能够供移动网络节点使用。包括EAP认证器的网络服务器与包括EAP服务器的AAA服务器之间的认证查询可以例如由RADIUS或DIAMETER协议层来实现。认证数据可以例如包括SIM卡的身份(ID)参考和/或口令和/或散列值和/或IMSI。 可以例如在层2协议层(L2)中产生媒体接入，而例如可以基于802. 11 WLAN网络来产生对物理层1 (Li)的接入。可以基于WISPr结构来实现层3协议层。所述变型除了其它的以外还具有以下优点可以将WISPr协议层扩展至允许特别地在不要求网络运营商的基础设施的主要升级的情况下传送EAP认证。其提出用于移动WiMAX订户漫游到WLAN网络上的一种技术解决方案，因为可以在Wi-Fi上使用相同的EAP认证。本发明还具有的优点是，不需要WISP网络的特殊配置以允许标准阶段2认证之前的阶段1认证，并且不需要客户端软件实现专有阶段1协议，并且没有如从现有技术的具有首先的EAP认证和然后的正常WISPr 登录的两阶段方案已知的由两阶段方法引入的认证中的附加延迟。另外，用通过802. 11的 UAM和通过802. Ix的EAP，不需要到双基础设施的昂贵升级。此外，本发明具有以下优点 随着越来越多的移动WiMAX的使用，能够提供技术间漫游，使得WiMAX订户可以用相同的证书在Wi-Fi热点上漫游。现今，这只有在证书是用户名和口令的情况下是可能的，并且如果证书是SIM或证件，则不存在容易的会聚。开发的WISPr ΕΑΡ-SIM方法遭受上述复杂性和缺点。可以预见在今后几年中，过去几年的WLAN使能热点和热点运营商的数目的激增将持续。智能客户端提供将使得用户容易在这些热点处接入因特网的一般用户体验。在下一代认证方法和诸如802. Ix的协议上存在要封闭的巨大缺口以在热点处提供改善的认证。需要一种允许作为智能客户端的移动网络节点向部署在热点处的许多不同接入网关可靠地认证的方法和协议。这种方法必须能够与现今在热点处使用的现有基于浏览器的认证方法相结合地工作。本发明提供一种容易由ISP来实现的可行解决方案。提出的解决方案满足对当前客户端接入网关整合的所有这些需要。在实施例变型中，由无线因特网服务提供商漫游激活(WISPr)来实现基于UAM的 WLAN,并且基于网络服务器与移动网络节点之间的WISPr消息在层3协议层中传送包含移动网络节点的认证数据的消息。所述变型除了别的以外还具有不遭受所述WISPr EAP-SIM 方法的复杂性和缺点的优点。此外，本发明具有以下优点随着越来越多的移动WiMAX的使用，能够提供技术间漫游，使得WiMAX订户可以用相同的证书在WLAN热点上漫游。在另一实施例变型中，借助于编码模块向和从定义XML字符集双向地转换二进制 EAP消息，并将所述二进制EAP消息插入L3协议层中，和/或借助于编码模块从L3协议层提取出来。可以例如基于IEFT Base64编码借助于编码模块来完成转换。所述变型除了别的以外还具有提供用于层3协议层中的EAP消息的编码和解码的容易基础的优点。进行编码/解码的主要原因之一可以例如是层3协议层可以包括在能够传送什么“字符”方面的限制。例如，Base64编码转换A. . Z和0. . 9的字符流中的二进制形式。所有那些字符在XML 中“被允许”，并且可以在层3协议层中插入和提取EAP消息。
在另一实施例变型中，借助于预留数据块作为例如XML标签沿着从认证器到移动网络节点的方向扩展WISPr XML协议方案，该预留数据块包含编码的EAP消息。沿着从移动网络节点到认证器的方向，在层3协议层中传送的被定义的位序列可以例如借助于附加 EAP消息包含HTTP POST消息和/或HTTP GET消息和/或在已在HTTP请求中传送的XML 块中传送EAP消息。所述变型具有与已经介绍的实施例变型相同的优点。在实施例变型中，网络服务器如果被移动网络节点触发到新的URL上，则生成扩展响应，WISft· XML数据块被XML编码的EAP消息扩展。可以例如借助于包含HTTP Get消息的被定义的位序列由移动网络节点来触发网络服务器。所述变型具有与已经介绍的实施例变型相同的优点。在另一实施例变型中，充当EAP对端的移动网络节点生成EAP响应消息，将其编码以便传送到认证器，并将其作为WISPr XML数据块的登录URL的参数添加在被定义的位序列中。例如还可以实现WISPr，因为移动节点到网络服务器的方向不使用XML。然后可以在 URL的查询参数(HTTP GET)中或作为形式参数(HTTP POST)来传送信息。用于在L3协议层中传送编码的EAP消息的网络服务区可以例如借助于编码模块将其从被定义的位序列解码，并将其作为RADIUS请求消息中的EAP消息传送到AAA服务器。接收到RADIUS请求消息的AAA服务器可以例如生成接入接受RADIUS消息或接入拒绝RADIUS消息或接入询问 RADIUS并将其作为RADIUS响应消息传送到网络服务器。可以例如借助于网络服务器从AAA 服务器的RADIUS响应消息提取AAA服务器的EAP消息，并借助于编码模块在用于层3协议层中的被定义的位序列的XML响应中将所述AAA服务器的EAP消息编码并传送到移动网络节点。所述变型具有与已经介绍的实施例变型相同的优点。在另一实施例变型中，在每次新的接入时改变WISft·登录URL，下一个登录URL是由网络服务器借助于包含HTTP响应消息的EAP请求消息确定的。所述变型除了别的以外还具有能够以快速且容易实现的方式来增强提供商安全的优点。这里应强调的是除根据本发明的方法之外，本发明还涉及用于执行此方法的系统。


下面将参考示例来描述本发明的实施例变型。用以下附图来举例说明实施例的示例
图1示出示意性地举例说明基于802. Ix的网络的方框图，其中EAP作为用于WiMAX认证的所选方法。IEEE 802. 11标准的安全型式(称为802. Ix)使用EAP作为认证机制。参考数字10是移动网络节点，参考数字20是不同接入点(AP)，参考数字21是接入服务器(AS) 或网络接入服务器(NAS)且参考数字22是AAA服务器。由于在认证之前不存在高达层3 协议层的可能性，所以在认证之前不存在用于移动节点10的IP网络接入。目前，非常少的 WLAN热点网络已部署了 802. lx，因为这种方法固有地防止用户经由信用卡来购买因特网接入(即，不可能通过802. Ix来提供UAM接入)。图2示出同样示意性地举例说明基于802. 11的接入无线网络的UAM认证的方框图。在“围墙花园”的概念中，围墙花园是防止连接在围墙花园内的设备在被认证之前接入因特网的“颠倒的”内部网。参考数字20是接入点(AP)，参考数字10是移动IP节点，参考数字23是作为强制网络门户的网络服务器，参考数字24是NAS (网络接入服务器)，参考数字25是DHCP服务器且参考数字22是AAA服务器。参考数字30是作为全球骨干网络的已知因特网。不同于802. lx，这种技术允许设备在被认证之前到达所有联网层，包括层3 (即 IP层)并针对会话被收费。这种技术的利害关系是围墙花园中的网络服务器23能够用来执行不同类型的认证，包括经由浏览器的认证和用信用卡进行的支付(用802. Ix是不可能的)。UAM认证由于在不需要订阅的情况下直接在热点处支付的此可能性而非常受欢迎。图3示出示意性地举例说明如提出的本发明的方框图。如图1所示，提出的架构满足对EAP架构的要求。EAP认证器42位于网络服务器23和NAS 24上。请注意，网络服务器23和NAS 24在大多数情况下将是两个不同的网络。然而，出于描述本发明的目的，那两个系统23/24提供一个集成单元。参考数字22再次是AAA服务器且参考数字43是EAP 服务器。此外，10是移动网络节点或移动IP节点且41是EAP对端。移动IP节点10和接入点20经由由网络接口卡101/201进行的无线连接被连接。然而，请注意，网络节点10与系统之间的连接不需要是无线的。本发明还为例如以太网工作。来自IPASS的GIS也用漫游的有线接入进行工作。图4示出示意性地举例说明如提出的本发明的方框图。WISPr协议被增补至包括编码的EAP消息。EAP认证器42位于网络服务器23/NAS 24上。网络服务器23/NAS 24充当沿WISPr客户端方向的WISPr服务器(即移动节点/设备10)且沿AAA服务器22的方向作为RADIUS客户端。AAA服务器22充当到RADIUS客户端的RADIUS服务器。然而，应注意的是可以将AAA服务器22实现为具有NAS 24的一个网络实体。AAA服务器22包括EAP 服务器43且移动网络节点10包括EAP对端41。图5示出示意性地举例说明WISPr大纲的方框图，作为用于客户端(参考图2)的基于网络的登录标准方法(UAM)。该操作大纲最初是由WLAN联盟在2003年2月发行的。 WISPr规范定义了用来提交用户证书、对认证结果进行轮询等的XML方案。虽然在Wi-Fi联盟网站上不再可公开地获得，但此WISPr附件D是Wi-Fi电信行业中的事实标准。据估计， 超过90%的商用热点网络将WISPr附件D实现为接入方法。客户端(图2中的参考数字10) 包括客户端软件。网关是被访问WLAN网络上的WISPr服务器23。AAA是归属网络运营商处的认证服务器22。WISPr定义客户端10与网关23/24之间的支腿。网关与AAA之间的支腿是 Radius 或 Diameter。图6示出示意性地举例说明由Comfone AG和Service Factory AB在2004年开发的两阶段WISPr EAP认证的方框图。此技术解决方案允许通过WISPr使能热点进行EAP 类型的认证。这种解决方案是两阶段方案，具有其中进行EAP认证的第一阶段。从此阶段出来，生成一次性用户名/ 口令，并且客户端然后继续进行正常的WISPr登录以打开WLAN 会话。上文已描述了该技术的缺点。
具体实施例方式图3和4举例说明能够用来实现本发明的架构。图3示出示意性地举例说明用于在无线局域网(WLAN)31中对移动网络节点10进行认证的方法和系统的方框图。移动网络节点10包括无线网络接口 101，例如无线网络接口卡(NIC)。然而，请注意，网络节点10与系统之间的连接不需要是无线的。本发明还为例如以太网工作。来自IPASS的GIS也用漫游的有线接入进行工作。为了进行认证，移动网络节点10经由无线网络接口 101/201在接入点20处请求对WLAN 31的接入。重要的是请注意，本发明还可以适用于WiMAX。虽然现在WiMAX认证仅仅基于EAP，但可以想象在未来，WiMAX可以使用“围墙花园”方法。在封闭的第一网络区域(也称为“围墙花园”)内，在认证之前，借助于移动网络节点10来建立高达层3协议层(L3)的所有网络协议层。使用通用接入方法(UAM)在被实现为用于对移动网络节点10进行认证的强制网络门户的网络服务器23与层3协议层中的移动网络节点10之间传送包含移动网络节点10的认证数据的消息。在本申请中应将UAM—般地理解为例如基于802. 11的用于WLAN的接入方法。作为方法的UAM可以允许订户接入WLAN，尤其是Wi-Fi 网络，由此，仅使用因特网浏览器。因特网浏览器例如用登录页面打开，在登录页面中，用户必须在被许可接入网络之前填写其证书(通常是用户名和口令)。还可以将UAM理解为HTTP (超文本传输协议)或多个HTTP (安全HTTP (S-HTTP)协议层上的接入信息交换方法。网页页面的所有标准传输(HTTP/多个HTTP上的HTML)以及能够在HTTP上运行的其它方法(例如HTTP/多个HTTP上的XML/S0AP)落在此种类中。就此而论，将HTTP理解为无状态底层协议，其能够定义如何对消息进行格式化和传送，响应于各种命令应采取什么动作，例如网络服务器和浏览器。所述多个HTTP协议被理解为对HTTP的扩展，其允许在网络中的HTTP 层上安全地传送数据。例如用多个HTTP，可以通过使用例如SSL (安全套接层)协议来创建客户端与服务器之间的安全连接，通过该连接，能够安全地发送任何量的数据。因此，使用多个HTTP，能够安全地传送单独消息。如果授权是成功的，则网络接入服务器(NAS) 24使得能够实现移动网络节点10到第二网络区域30的接入。第二网络区域30可以是例如全球骨干网络因特网、内部网或由网络接入服务器M控制的任何其它第二网络区域。
图3中的参考数字10涉及移动网络节点或移动IP节点，其在其布置上具有包括硬件和软件部件的所需基础设施以实现根据本发明的所述方法和/或系统。除了别的之夕卜，还应将移动节点10理解为是供在各种网络位置处和/或各种网络中使用的所有可能的所谓的客户端设备(CPE)。这些包括例如所有具有IP能力的设备，诸如，例如PDA、移动无线电电话和膝上型计算机。移动CPE或节点10可以具有也能够支持多个不同网络标准的一个或多个不同物理网络接口 101。因此，参考数字101/201是适当的网络接口卡(NIC)。 移动节点的物理网络接口可以包括例如到WLAN (无线局域网)、蓝牙、GSM (全球移动通信系统)、GPRS (通用分组无线电服务)、USSD (非结构化补充数据服务)、UMTS (通用移动电信系统)和/或以太网或另一有线LAN (局域网)等的接口。参考数字50是基于IEEE 802.11， 但是可以包括不同的异构网络，诸如，例如，例如用于安装在上盖区域中的蓝牙网络、具有 GSM和/或UMTS的移动无线电网络等、例如基于IEEE无线802. Ix的无线LAN，而且还有有线LAN，即本地固定网络，特别地还有PSTN (公共交换电话网)等。原则上，可以说根据本发明的方法和/或系统未被束缚于特定的网络标准，只要存在根据本发明的特征，而可以用基于围墙花园32技术结构的任何LAN来实现。移动网络节点10的接口 101不仅可以是诸如直接被例如以太网或令牌环的网络协议使用的分组交换接口，而且还可以是可以与诸如 PPP (点到点协议，参见IETF RFC),SLIP (串行线因特网协议)或GPRS (通用分组无线电服务)的协议一起使用的电路交换接口，即例如不具有诸如MAC或DLC地址的网络地址的那些接口。如之前部分地所述的，通信可以例如借助于特殊的短消息(例如SMS (短消息服务)、 EMS (增强型消息服务))通过LAN、通过例如USSD (非结构化补充服务数据)或其它技术(比如MExE (移动执行环境)、GPRS (通用分组无线电服务)、WAP (无线应用协议)或UMTS (通用移动电信系统))或者通过IEEE无线802. Ix或经由另一用户信息通道来进行。移动网络节点10是移动IP节点，其可以包括移动IP模块和/或IPsec模块。移动IP的主要任务由在IP网络中对IP节点10或IP节点10的用户进行认证和相应地重新路由具有移动节点10作为目的地地址的IP分组构成。对于其它移动IP规范而言，还参见例如IETF(因特网工程任务组)RFC 2002，IEEE Comm. Vol. 35 No. 5 1997等。移动IP尤其支持IPv6和 IPv4。可以优选地将移动IP能力与IPsec (IP安全协议)模块的安全机制组合以保证公共因特网中的安全的移动数据管理。IPsec (IP安全协议)在利用IPsec的网络集线器之间逐个分组或逐个套接字地生成认证/机密性机制。IPsec的灵活性之一尤其在于其能够被逐个分组地以及针对单独套接字进行配置。IPsec支持IPvx，尤其是IPv6和IPv4。对于详细的IPsec规范，参考例如Pete Loshin =IP安全架构；Morgan Kaufmann出版社；11/1999 或 A Technical Guide to IPsec James S 等人；CRC Press，LLC ;12/2000 等。虽然在本实施例示例中在描述IP层上的安全协议的使用时使用IPsec作为示例，但根据本发明，可以设想所有其它可能的安全协议或安全机制或者甚至省略安全协议。在网络服务器23和/或网络接入服务器24上生成基于可扩展认证协议(EAP，在 IETF处定义，参见IETF RFC 4648)的认证器42。接入点20可以包括适当的接入点端口接入实体(PAE) 202和/或未授权端口 203。应注意的是在基于802. Ix的系统实现中，在接入点20上进行端口控制，其中，在基于WISPr上的EAP的系统实现中，在NAS 24上进行端口控制。在认证器42与移动网络节点10之间借助于包含编码的EAP消息的被定义的位序列双向地扩展层3协议层，其包括EAP对端41和客户端端口接入入口(PAE) 103。可以例如在层2协议层(L2)中生成对网络的媒体介入，并且可以例如基于802. 11 WLAN网络31 来生成对物理层1 (Li)的接入。可以将层3协议层生成为WISPr协议层。在移动网络节点10进行的接入请求的情况下，网络服务器23通过借助于编码模块231将用于层3协议层的EAP消息请求编码并借助于被定义的位序列在层3协议层中传送编码的消息请求来向移动网络节点10传送认证刺激。移动网络节点20借助于编码模块104从被定义的位序列将EAP消息请求解码并借助于被定义的位序列在层3协议层中向认证器42传送编码的EAP 响应消息。EAP响应消息包括移动网络节点10的认证数据。认证数据可以例如包括SIM卡 102的身份(ID)参考和/或口令和/或散列值和/或IMSI。网络服务器23借助于编码模块231从位序列将EAP响应消息解码，并借助于认证查询将其传送到包括EAP服务器43的 AAA服务器22。可以例如由RADIUS或DIAMETER协议层来实现网络服务器23与AAA服务器24之间的认证查询。基于AAA服务器22的认证响应，网络接入服务器24使得第二网络区域30能够供移动网络节点10使用。可以将基于UAM的WLAN 31实现为无线因特网服务提供商漫游网络(WISPr)，其中，基于网络服务器23与移动网络节点10之间的WISPr消息在层3协议层中传送包含移动网络节点10的认证数据的消息。借助于编码模块104/231，向和从定义的XML字符集双向地转换二进制EAP消息，并将所述二进制EAP消息插入L3协议层中和/或借助于编码模块104/231将所述二进制EAP消息从L3协议层提取出来。可以例如基于IEFT Base64编码(参见IETF RFC 4648)借助于编码模块104/231来完成该转换。沿着从认证器42到包括EAP对端41的移动网络节点的方向，可以例如借助于预留数据块来扩展WISPr XML协议方案，该预留数据块包含编码的EAP消息。同样地，沿着从移动网络节点10的对端41到认证器42的方向，在层3协议层中传送的被定义的位序列可以例如借助于附加EAP消息来包含HTTP POST消息和/或HTTP GET消息。还可以实现WISPr，因为移动节点10至网络服务器23的方向不使用XML。在URL的查询参数(HTTP GET)中或作为形式参数(HTTP POST)来传送信息。网络服务器23如果被移动网络节点10触发到新URL上，则可以例如生成扩展响应，WISft· XML数据块被XML编码的EAP消息扩展。可以由移动网络节点10借助于包含 HTTP Get消息的被定义的位序列来触发网络服务器23。包括EAP对端41的移动网络节点 10可以例如生成EAP响应消息，并借助于编码模块104将其编码以便传送到认证器42，并将其作为WISPr XML数据块的登录URL的参数添加在被定义的位序列中。网络服务器23可以例如借助于编码模块231从被定义的位序列将来自L3协议层中的传输的EAP消息解码， 并将其作为RADIUS请求消息中的EAP消息传送到AAA服务器22。接收到RADIUS请求消息的AAA服务器22可以例如生成接入接受RADIUS消息或接入拒绝RADIUS消息并将其作为 RADIUS响应消息传送到网络服务器23。可以例如借助于网络服务器23从AAA服务器22 的RADIUS响应消息提取AAA服务器22的EAP消息，并且可以例如借助于编码模块231在用于层3协议层中的被定义的位序列的XML响应中对所述EAP消息进行编码并将所述EAP 消息传送到移动网络节点10。作为附加实施例变型，可以在每次新的接入时改变WISft·登录URL，下一个登录URL是由网络服务器23借助于包含HTTP响应消息的EAP请求消息确定的。在本文中，作为特殊实施例变型，客户端或移动节点10还可以例如接收两个或者甚至多个登录URL，其中，它们中的一个用于正常用户名/ 口令。如图3所示，提出的架构实现满足EAP架构。EAP认证器42位于网络服务器23和 NAS对上。重要的是请注意网络服务器23和NAS M在大多数情况下将是两个不同的网络。 然而，出于描述本发明的目的，那两个系统提供一个集成单元。作为本发明的一部分，WISft· 协议被增补至包括EAP消息(参见图4)。EAP认证器42位于网络服务器23/NAS M上。网络服务器23/NAS 24充当沿WISft·客户端(即移动节点/设备10)方向的WISft·服务器且沿 AAA服务器22的方向作为RADIUS客户端。AAA服务器22充当到RADIUS客户端的RADIUS 服务器。AAA服务器22包括EAP服务器43且移动网络节点10包括EAP对端41。所述被定义的位序列是作为附加字段产生的以沿着两个方向载送编码的EAP消息。可以分别由移动网络节点10和网络服务器23的适当编码模块104/231来完成编码和解码。EAP分组的可能编码是IETF Base64编码。编码是必需的，因为EAP是二进制格式且XML具有有限字符集。用Base64编码，可以在考虑XML的字符集的同时传送EAP分组的字节。还对WISPr 协议进行增补。在认证器42至对端41的方向上，由被定义的位序列将WISPr XML方案扩展至包括包含编码的EAP消息的新字段(例如<eap>……</eap>)。在对端41至认证器 42的方向上，以完成HTTP POST时的形式来通知作为被定义的位序列的附加变量(例如EAP =……)。在执行HTTP GET而不是HTTP POST的情况下，还可以将此参数添加到URL查询参数列表。然而，给定EAP消息的长度，这可能引起问题。WISft·现在被指定为使用POST。WISPr服务器23在被任意URL上的HTTP Get触发时将在其返回到移动网络节点 10的WISPr XML块中包括已编码EAP请求消息。充当EAP对端41的移动网络节点10产生EAP响应，其被针对传输编码并作为在WISPr XML块中传递的登录URL中的参数被传送回来。接收到EAP编码消息的WISft·服务器23将对分组进行解码(即将其变换回二进制)并将其作为Radius请求中的EAP消息朝着AAA服务器22发送。现在，WISft·服务器提取用户名/ 口令并将其在Radius请求的适当属性中发送(例如用户名和用户口令Radius属性)。AAA服务器22可以发送回随后被编码并在HTTP响应中被传送回到对端的接入询问。 后者然后使用登录URL上的HTTP请求将EAP响应发送回到EAP认证器42。可以发生询问 /请求的更多迭代。最后，AAA服务器22返回接入接受、接入拒绝Radius消息。此Radius 消息可以包含EAP消息。如果存在此类EAP消息，则WISft·服务器23将其从Radius消息提取，将其编码以可通过XML传送，并将其放入被发送回到移动设备10上的客户端软件的 XML响应中。在WISft·规范中定义的轮询在此EAP扩展的情况下用以与在当前WISPr 1. 0的情况下相同的方式工作。WISft·登录URL在每次迭代时可以是不同的。由WISft·服务器23在包含EAP请求的HTTP响应中指示下一个登录URL。虽然相当简单，但这种方法开辟了通过基于XML的UAM的EAP认证方法的可能性(对SIM 102、证书认证的支持)。在已支持WISPr 的客户端软件中实现此类扩展是相当直接的。其还要求对热点运营商的基础设施的最少变化并能够充当其基础设施到双802. 11和802. Ix的昂贵升级的替代。用本发明，WISP变成用于EAP消息的另一传送协议。与WiMAX的会聚则变得直接，因为然后所有EAP认证方案得到支持。虽然WISft·是本发明的主要目标，但本发明能够应用于任何基于UAM的登录方法。EAP被设计为在链路层(层2)上运行。所有链路层具有最大MTU (最大传输单元) 尺寸。MTU提供网络能够传送的以字节为单位测量的最大物理分组尺寸。大于MTU的任何消息在被发送之前被划分成较小分组。通常，每个网络具有能够由网络管理员来设置的不同MTU。移动网络节点10可以设置MTU。这定义从你的计算机发送到网络上的分组的最大尺寸。理想地，可以将MTU设置为与节点和消息的最终目的地之间的所有网络的最小MTU相同。否则，如果消息大于中间MTU中的一个，则其将被破碎(分段)，这减慢了传输速度。某些EAP方法，例如EAP-TLS，能够产生相当大的消息。可以在传输之前将此类消息分段，因为链路层不能进行分段和重组。对端41和EAP服务器22负责传输之前的分段和接收时的重组。在本发明中，分段可以在对端41和EAP服务器22处保持，或者分段和重组可以在NAS 24处发生。在后一种情况下，EAP对端将完整的EAP消息发送到网络服务器23，无论消息的尺寸如何(HTTP提供对非常大的消息的支持)。NAS M然后基于其对MTU尺寸的了解(配置值或自动检测)将消息分段。NAS M运行处理分段和重新传送的那部分EAP有限状态机。 当AAA服务器22发送EAP消息的片段时，NAS 24确认那些片段并重构经由HTTP相应传送到设备的整个消息。由于分段是EAP方法相关的，所以为了执行分段和重组，NAS M必须是EAP方法知道的。可以在WISft·的初始改向消息中或在任何后续消息中传送由网络服务器23和NAS 24朝着对端41发起的EAP身份请求。前一选择是优选的，因为其使通信优化并能够用作热点支持EAPoWISft 认证的指示符。EAP结构指定认证器(即NAS 24)触发对身份的请求。 作为实施例变型，移动节点可以例如发送用于EAP的触发器。此触发器已包含其身份。作为NAS对再次询问移动网络节点10的身份的替代(按照EAP RFC)，认证器可以直接请求询问(其可以例如基本上使用由移动节点在原始请求中提供的身份)。在一个实施例变型中， 热点可以返回单独的URL以用于WISProEAP认证。另一实施方式可以使用正常WISft·登录
15URL参数来指示对端41必须将EAP响应张贴在哪里。包括用于WISPr的所述XML的所提出的发明解决方案在现有技术中未以任一方式已知。注意到网络服务器23借助于认证请求从位序列将EAP响应消息解码并将其传送到AAA服务器222也是重要的，其中，由于认证请求可以例如包括几轮的RADIUS询问/请求，直至AAA服务器22接受或拒绝该认证。基于AAA服务器22的认证响应，使得能够借助于网络接入服务器24接入第二网络区域30以供移动网络节点10使用。参考数字列表
10 移动网络节点
101网络接口(NIC)/无线网络接口
102SIM 卡
103客户端端口接入实体(PAE)
104编码模块
20接入点
201无线网络接口(NIC)
202接入点端口接入实体(PAE)
203未授权端口
21接入服务器
22AAA服务器
23网络服务器 231 编码模块
24网络接入服务器(NAS)
25DHCP服务器
30因特网或第二网络区域
31无线局域网
32围墙花园或第一网络区域
41EAP对端
42EAP认证器
43EAP服务器
50经由WLAN (例如无线802. 11)的无线连接
51具有EAP扩展的WISPr
52具有EAP消息的RADIUS Ll 层1协议层/物理层 L2 层2协议层/MAC层
L3 层2协议层/TCP/IP层
权利要求
1.一种用于在无线局域网(WLAN 31)中对移动网络节点(10)进行认证的方法，其中， 经由网络接口(101/201)，移动网络节点(10)请求在接入点(20)处接入WLAN (31)，其中， 在封闭的第一网络区域(围墙花园(32)内，在认证之前，借助于移动网络节点(10)，建立高达层3协议层(L3)的所有网络协议层，并且其中，在作为强制网络门户的网络服务器(23) 与移动网络节点(10)之间，使用通用接入方法(UAM)在层3协议层中传送包含移动网络节点(10)的认证数据的消息，并且如果授权和/或授权是成功的，则网络接入服务器(24)使得能够实现移动网络节点到第二网络区域(30)的接入，其特征在于在网络服务器(23)和/或网络接入服务器(24)上生成基于可扩展认证协议(EAP) 的认证器(42)，认证器(42)与包括EAP对端(41)的移动网络节点(10)之间的层3协议层借助于包含已编码EAP消息的被定义的位序列被双向地扩展，在于在由移动网络节点(10)进行的接入请求的情况下，网络服务器(23)通过将用于层3协议层的EAP消息请求编码并借助于被定义的位序列将其在层3协议层中传送来向移动网络节点(10)传送认证刺激，在于移动网络节点(20)将来自被定义的位序列的EAP消息请求解码，并借助于被定义的位序列在层3协议层中向认证器传送已编码EAP响应消息，EAP响应消息包括移动网络节点(10)的认证数据，在于网络服务器(23)从位序列将EAP响应消息解码，借助于认证请求或多个认证询问 /请求将其传送到包括EAP服务器(43 )的AAA服务器(22 )，并且基于由AAA服务器(22 )进行的认证响应，借助于网络接入服务器(24)使得能够接入第二网络区域(30)以供移动网络节点(10)使用。
2.根据权利要求1所述的对移动网络节点(10)进行认证的方法，其特征在于由RADIUS 或DIAMETER协议层来实现网络服务器(23)与AAA服务器(24)之间的认证查询。
3.根据权利要求1或2中的一项所述的对移动网络节点(10)进行认证的方法，其特征在于由无线因特网服务提供商漫游激活(WISPr)来实现基于UAM的WLAN (31)，并且基于网络服务器(23)与移动网络节点(10)之间的WISPr消息在层3协议层中传送包含移动网络节点(10)的认证数据的消息。
4.根据权利要求1至3中的一项所述的对移动网络节点(10)进行认证的方法，其特征在于所述认证数据包括SIM 20卡(102)的身份(ID)参考和/或口令和/或散列值和/或 IMSI。
5.根据权利要求1至4中的一项所述的对移动网络节点(10)进行认证的方法，其特征在于在层2协议层(L2)中产生媒体接入，并基于802. 11 WLAN网络(31)产生对物理层1 (Li)的接入。
6.根据权利要求1至5中的一项所述的对移动网络节点(10)进行认证的方法，其特征在于基于WISPr结构来实现层3协议层。
7.根据权利要求1至6中的一项所述的对移动网络节点(10)进行认证的方法，其特征在于借助于编码模块(104/231)，向和从定义的XML字符集双向地转换二进制EAP消息，并将所述二进制EAP消息插入L3协议层中，和/或借助于编码模块(104/231)从L3协议层将二进制EAP消息提取出来。
8.根据权利要求7所述的对移动网络节点(10)进行认证的方法，其特征在于基于IEFTBase64编码借助于编码模块(104/231)来完成该转换。
9.根据权利要求1至8中的一项所述的对移动网络节点(10)进行认证的方法，其特征在于在从认证器(42)至包括对端(41)的移动网络节点(10)的方向上，借助于预留数据块对WISPr XML协议方案进行扩展，所述预留数据块包含编码的EAP消息。
10.根据权利要求1至9中的一项所述的对移动网络节点(10)进行认证的方法，其特征在于在从移动网络节点(10)的对端(41)至认证器(42)的方向上，在层3协议层中传送的被定义的位序列借助于附加EAP消息而包含HTTP POST消息和/或HTTP GET消息和/ 或在被在HTTP请求中传送的XML块中来传送EAP消息。
11.根据权利要求1至10中的一项所述的对移动网络节点(10)进行认证的方法，其特征在于网络服务器(23)如果被移动网络节点(10)触发到新的URL上则生成扩展响应， WISPr XML数据块被XML编码的EAP消息扩展。
12.根据权利要求11所述的对移动网络节点(10)进行认证的方法，其特征在于由移动网络节点(10)借助于包含HTTP Get消息的被定义的位序列来触发网络服务器(23)。
13.根据权利要求9至12中的一项所述的对移动网络节点(10)进行认证的方法，其特征在于包括EAP对端(41)的移动网络节点(10)生成EAP响应消息，借助于编码模块(104) 将所述EAP响应消息编码以便传送到认证器(42)，并将所述EAP响应消息作为WISPr XML 数据块的登录URL的参数添加在被定义的位序列中。
14.根据权利要求1至13中的一项所述的对移动网络节点(10)进行认证的方法，其特征在于从L3协议层中的已编码EAP消息的传输，网络服务器(23)借助于编码模块(231) 将其从被定义的位序列解码，并将其作为RADIUS请求消息中的EAP消息传送到AAA服务器 (22)。
15.根据权利要求14所述的对移动网络节点(10)进行认证的方法，其特征在于接收 RADIUS请求消息的AAA服务器(22)生成接入接受RADIUS消息或接入拒绝RADIUS消息或接入询问RADIUS消息并将其作为RADIUS响应消息传送到网络服务器(23)。
16.根据权利要求14或15中的一项所述的对移动网络节点(10)进行认证的方法，其特征在于借助于网络服务器(23)从AAA服务器(22)的RADIUS响应消息提取AAA服务器 (22)的EAP消息，并借助于编码模块(231)将所述EAP消息在用于层3协议层中的被定义的位序列的XML响应中编码并将其传送到移动网络节点(10)。
17.根据权利要求14至16中的一项所述的对移动网络节点(10)进行认证的方法，其特征在于在每次新的接入时改变WISft·登录URL，下一个登录URL是由网络服务器(23)借助于包含HTTP响应消息的EAP请求消息确定的。
18.根据权利要求14至17中的一项所述的对移动网络节点(10)进行认证的方法，其特征在于移动网络节点(10)接收两个或多个登录URL，其中，它们中的一个用于正常用户名/ 口令认证。
19.一种用于在无线局域网(WLAN 31)中对移动网络节点(10)进行认证的系统，其中， 为了接入WLAN (31)，移动网络节点(10)包括无线网络接口(101)，其中，该系统包括封闭的第一网络区域(围墙花园32)，其中，在认证之前，借助于移动网络节点(10)，高达层3协议层(L3)的所有层被使能以便进行建立，并且其中，封闭的第一网络区域(31)包括被实现为用于对移动网络节点(10)进行认证的强制网络门户的网络服务器(23)，其具有用于基于通用接入方法(UAM)在层3协议层中向移动网络节点(10)传送包含移动网络节点(10)的认证数据的消息的装置，并且其中，封闭的第一网络区域包括网络接入服务器(24)，其用于在授权成功的情况下生成用于移动网络节点(10)对第二网络区域(30)的接入和激活，其特征在于网络服务器(23)和/或网络接入服务器(24)包括基于可扩展认证协议(EAP)的认证器(42)，而认证器(42)与移动网络节点(10)之间的层3协议层被包含已编码EAP消息的附加被定义的位序列双向地扩展，在于在L3协议层中，在由移动网络节点(10)进行接入请求的情况下，在认证之前，层 3协议层中的被定义的位序列包括已编码EAP请求消息作为借助于网络服务器(23)的编码模块(231)编码的认证刺激，在于移动节点(10)包括编码模块(104)以从被定义的位序列将已编码EAP请求消息解码并将包括认证数据的EAP响应消息编码以由移动网络节点(10)在层3协议层中的被定义的位序列中传送到认证器(42 )，在于网络服务器(23)的编码模块(231)包括从位序列将传送的EAP消息响应解码并借助于认证查询将其传送到AAA服务器(22)的装置，而网络服务器(23)包括基于接收到的 AAA服务器(22)的认证响应来激活网络接入服务器(24)、使得能够实现移动网络节点(10) 对第二网络区域(30)的接入的装置。
20.根据权利要求19所述的用于在基于UAM的WLAN网络(31)中对移动网络节点(10) 进行认证的系统，其特征在于基于UAM的WLAN网络(31)是WISft·激活的网络。
21.根据权利要求19或20中的一项所述的用于在基于UAM的WLAN网络(31)中对移动网络节点(10)进行认证的系统，其特征在于在网络服务器(23)和移动网络节点(10)之间由编码模块(104/231)进行的层3协议层中的EAP消息编码包括二进制EAP消息的XML 编码。
全文摘要
本发明涉及用于在无线局域网WLAN(31)中对移动网络节点(10)进行认证的方法和系统，其中，移动网络节点(10)在接入点(20)处请求对WLAN(31)的接入。在封闭的第一网络区域围墙花园(32)内，在认证之前，建立高达层3协议层L3的所有网络协议层。在作为强制网络门户的网络服务器(23)上生成基于可扩展认证协议EAP的认证器(42)，并借助于被定义的位序列来双向地扩展认证器(42)与包括EAP对端(41)的移动网络节点(10)之间的层3协议层。在接入请求的情况下，网络服务器(23)通过将EAP消息请求编码并借助于被定义的位序列在层3协议层中将其发送来向移动网络节点(10)传送认证刺激。移动节点(20)将EAP消息请求解码并借助于被定义的位序列在层3协议层中向认证器传送已编码EAP响应消息，该EAP响应消息包括移动网络节点(10)的认证数据。网络服务器(23)从位序列将EAP响应消息解码，并借助于认证查询将其传送到包括EAP服务器(43)的AAA服务器(22)。基于AAA服务器(22)的认证响应，借助于网络接入服务器(24)使得能够实现对第二网络区域(30)的接入以供移动网络节点(10)使用。
文档编号H04L29/06GK102461230SQ200980159730
公开日2012年5月16日 申请日期2009年4月7日 优先权日2009年4月7日
发明者弗雷莱乔克斯 L. 申请人:托吉瓦控股股份公司