提供用于在安全无线网络中使用成对动态密码来认证的系统和方法。每一认证用户被分配所生成的、对所述用户唯一的随机密码。该密码与属于所述用户的无线接口关联,从而没有其它无线接口可以使用相同密码来访问网络。可以周期性地、或者根据网络管理员的请求来对密码进行更新,并且可以要求所述无线网络的重新认证。
【技术实现步骤摘要】
【国外来华专利技术】相关申请的交叉引用本申请要求于2006年4月24日提交的题为“Mechanisms andApparatus to Provide Pre-Shared Key Authentication with DynamicSecret on Wireless Networks”的美国临时专利申请60/794,625以及于2006年5月2日提交的题为“Mechanisms and Apparatus for AutomaticWireless Connection Based on Provisioned Configuration”的美国临时专利申请60/796,845的优先权。这两个申请的公开通过引用合并到此。
本专利技术总体涉及信息网络安全性。更具体地说,本专利技术涉及用于安全无线网络的用户友好的低维护性认证。
技术介绍
很多专业组织已经提议了用于无线网络的各种用户认证和安全性措施。这些专业组织包括电气和电子工程师协会(IEEE)802.11工作组、Wi-Fi联盟、互联网工程任务组(IETF)。实现这些提议通常很复杂、难以维护,并且需要那些实现具体提议的人的高级技术知识。因此,因为很多商业组织(例如小型公司和中型公司)缺少专家和/或全职专业技术支持,所以他们无法部署这样的措施。在早期的无线网络(例如IEEE 802.11或Wi-Fi)中,通过有线等效保密(WEP)系统来实现安全性。部署WEP系统仅需要网络管理员在接入点或接入设备处定义WEP密钥集。任意用户可以通过拥有在该用户的客户机站(例如膝上型设备或移动设备)中手动配置的相同WEP密钥集来访问WEP安全无线网络。将使用共享WEP密钥集通过定义的加密算法来对客户机站与接入点之间的无线数据通信进行加密。尽管WEP可以防止偶发的入侵者访问无线网络,但是WEP不可能抵挡更严重的安全性攻击。例如,通过使用公共可用的软件可以很容易地-->发现WEP密钥。此外,由于所有用户共享相同密钥,因此WEP不能保护网络用户免受彼此的攻击。因为基于WEP的安全性系统中的这些缺陷,所以发展出了替代的安全性措施。这些新的措施通常需要无线网络用户首先以某种方式被认证,然后导出密钥集并用于无线业务加密。这些已提议的认证措施通常可以被分为两组:可扩展认证协议(EAP)和预共享密钥(PSK)。EAP组的安全性措施通常采用IEEE 802.1x标准,其使用可扩展认证协议。基于EAP的安全性系统使得能够在认证服务器与其用户之间进行相互认证。认证服务器可以驻留在接入点、基站或外部设备中。通常,认证服务器提供推导出的成对主密钥,以在接入点与用户客户机站之间进行共享。成对主密钥可以用于导出密钥集,密钥集可以用于数据加密。实现基于EAP或IEEE 802.1x的安全性系统的主要障碍在于它们的复杂性。部署这样的系统需要高级技术专家以及对用户进行持续技术支持。例如,很多基于EAP的系统需要将安全性证书安装到认证服务器。根据基于EAP的系统的确切需求,客户机站可能还需要被授权确立证书更新,和/或在可被批准访问无线网络之前预装安全性证书。与之对照,PSK安全性系统是基于在客户机站与接入点两者之间共享的并且在客户机站与接入点上存储的密码的。该密码可以是例如长比特流(例如过关短语、口令、十六进制串等等)。由客户机站和接入点用于对彼此进行认证的密码也可以用于生成加密密钥集。基于PSK的系统的主要缺点在于,必须将密码手动输入到客户机站,并且由所有客户机站共享该密码。一旦共享的密码被未授权的人员获知,则危及整个网络的安全性。这可能在需要向临时雇员提供网络访问或具有高流动性的劳动力的组织中产生问题。为了维护基于PSK的系统的安全性,只要知道密码的人离开组织或者不再被授权访问网络,都必须改变所有客户机站上的密码。虽然很多措施可用于确保无线网络安全,但实现这些措施中的任意一项都可能很复杂、困难,和/或需要大量维护。因此,本领域需要改进的方法和系统,其为无线网络提供对用户友好的并且容易维护的安全性,而不需要高级技术专家和持续技术支持。
技术实现思路
-->本专利技术的示例性系统和方法提供在安全无线网络中对动态密码进行配对。对于每一认证用户生成随机密码。该密码是对所述用户唯一的,并且网络中的其它用户不可以使用该密码来访问网络。此外,将所述密码与属于所述用户的无线接口关联或者绑定,从而属于其它用户的其它无线接口不可以使用该密码来访问网络。本专利技术的各个实施例包括用于对所述动态密码进行配对的方法。在生成所述密码和/或将其与访问简档关联之后,密码即与无线接口关联,或者在延迟之后密码与所述无线接口关联。某些实施例通过生成可执行指令来配置无线接口访问无线网络而将密码与无线接口关联。配置可以包括:连同所述密码的拷贝、从所述密码推导出的任意安全性密钥以及用户的访问简档一起将所述可执行指令的拷贝传送到所述无线接口。本专利技术的各个实施例进一步包括:更新所述密钥,这需要在允许所述无线接口重新连接到所述无线网络或者继续其对所述无线网络的连接之前对所述无线接口进行重新认证。本专利技术的实施例包括用于在安全无线网络中对动态密码进行配对的系统。所述系统可以包括:密码生成模块、绑定模块、密码数据库。所述密码由密码生成模块来生成,并且由绑定模块将其与无线接口关联(绑定)。所述密码数据库存储关于密码、与用户简档的关联关系、与无线接口的关联关系等等的信息。某些实施例进一步包括:访问简档生成模块、可执行指令生成模块等等。所述访问简档生成模块生成用于用户的访问简档。所述可执行指令生成模块生成用于配置无线接口以便访问无线网络的可执行指令。本专利技术某些实施例包括:计算机介质和指令,其用于在安全无线网络中对动态密码进行配对。某些实施例进一步包括:用于更新所述密码并且要求对无线接口进行重新认证的指令。附图说明图1是根据本专利技术示例性实施例的用于安全无线网络的认证系统的示图。图2是示出在安全无线网络中使用成对密码的方法的流程图。图3是示出在安全无线网络中使用成对密码的替代方法的流程图。图4是示出在安全无线网络中使用安全性密钥的方法的流程图。-->具体实施方式本专利技术包括通过使用动态密码在安全无线网络中使用对用户友好的低维护性认证的系统和方法。成对密码在客户机站与接入点之间被共享。针对每一认证用户动态地生成这些密码,并且将这些密码与用户的访问简档关联。这些密码还可以与属于该用户的特定客户机站或无线接口关联。在本专利技术某些实施例中,在密码过期的时间点,用户必须进行重新认证,以继续访问无线网络。图1是根据本专利技术示例性实施例的用于安全无线网络170的认证系统100的示图。图1所示的认证服务器100包括:认证模块110、访问简档生成模块120、密码生成模块130、密码数据库140、绑定模块150、可执行指令生成模块160。认证服务器100可以用于维护网络170中的安全性。各种客户机设备(例如无线工作站180a、膝上计算机180b和移动设备180c)属于网络170的潜在用户。本专利技术中所指的模块(或应用)应该广义地理解为执行各种系统级功能的程序的集合,并且可以根据需要由硬件和设备动态地加载或者卸载。在此所描述的模块化软件部件也可以被合并为更大的软件平台的一部分,或被集成为应用特定部件的一部分。认本文档来自技高网...
【技术保护点】
一种在安全无线网络中对密码进行配对的方法,包括: 生成针对认证用户的随机密码,其中,所述密码是对所述用户唯一的; 将所述密码与属于所述用户的访问简档关联;以及 将所述密码与属于所述用户并且进一步与所述访问简档关联的无线接口 设备关联,其中,使用所述密码访问所述无线网络被限制到关联的无线接口设备,该无线接口设备属于由所述访问简档所标识的用户。
【技术特征摘要】
【国外来华专利技术】US 2006-4-24 60/794,625;US 2006-5-2 60/796,845;US 1.一种在安全无线网络中对密码进行配对的方法,包括:生成针对认证用户的随机密码,其中,所述密码是对所述用户唯一的;将所述密码与属于所述用户的访问简档关联;以及将所述密码与属于所述用户并且进一步与所述访问简档关联的无线接口设备关联,其中,使用所述密码访问所述无线网络被限制到关联的无线接口设备,该无线接口设备属于由所述访问简档所标识的用户。2.如权利要求1所述的方法,其中,将所述密码与所述无线接口设备关联包括:生成用于配置所述无线接口设备以访问所述无线网络的可执行指令;将所述可执行指令和所述密码传送到无线接口作为所述访问简档的一部分;以及在所述无线接口设备上执行所述可执行指令,其中,所述可执行指令使用所述访问简档和所述密码来配置所述无线接口以访问无线网络。3.如权利要求1所述的方法,其中,将所述密码与所述无线接口关联包括:从所述密码导出一个或多个安全性密钥。4.如权利要求3所述的方法,其中,将所述密码与所述无线接口关联还包括:将至少一个安全性密钥与所述无线接口设备关联,其中,使用所述至少一个安全性密钥来访问无线网络被限制到所述无线接口。5.如权利要求3所述的方法,还包括:将一个或多个密钥保存到表,其中,所述表包括关于以下项的信息:每一密钥、每一密钥是否与无线接口设备关联以及对于每一密钥哪个无线接口设备与其关联。6.如权利要求1所述的方法,其中,将所述密码与所述无线接口关联包括:将所述密码与所述无线接口的标识关联。7.如权利要求6所述的方法,其中,所述无线接口标识包括MAC地址。8.如权利要求1所述的方法,其中,将所述密码与所述无线接口关联包括:将所述密码与所述无线接口设备的无线电关联。9.如权利要求1所述的方法,还包括:更新所述密码。10.如权利要求9所述的方法,其中,在预定时间段之后更新所述密码。11.如权利要求9所述的方法,其中,在系统管理员请求时更新所述密码。12.如权利要求9...
【专利技术属性】
技术研发人员:朱延书,舒明,杨博杰,林天元,郭德才,
申请(专利权)人:鲁库斯无线公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。