[发明专利]自动安全地向移动通信终端的用户供给在线服务的服务访问凭证的方法和系统

说明书

技术领域

本发明一般涉及电信领域，具体地说涉及移动数据通信网络，更 具体地说，涉及无线数据通信网络，比如遵守标准IEEE(电气和电子 工程师协会)802.11的那些无线数据通信网络。更具体地说，本发明涉 及自动安全地向移动通信终端的用户供给在线服务访问凭证的方法 和相关系统。

背景技术

近年来，无线局域网(无线LAN或WLAN)得到广泛的普及；其 原因可追溯到无线连接的安装和使用的简易性，硬件设备(在移动用户 终端-比如便携式个人计算机、膝上型计算机、PDA和智能电话机等， 以及网络接入点两方面)成本的降低，与有线数据通信网络可比的最大 位速率方面的良好性能，以及不同于移动电话网络，对未经授权的无 线电频带的使用等方面的优点。

许多WLAN部署遵守通常称为“Wi-Fi”(“Wireless Fidelity”的缩 写)的IEEE 802.11标准。可在因特网上从URL：http://standards. ieee.org/getieee802/802.11.html(在本专利申请的申请日)下载的IEEE 802.11标准规定能够在未经授权的工业、科学和医疗(ISM)无线电频 带(2.4GHz和5GHz)工作的设备的媒体访问控制(MAC)层和物理 (PHY)层。

无线通信技术主要用于访问公共分组交换数据网络(比如因特 网)，或者专用分组交换数据网络(比如增值服务-VAS-网络)。这样， 允许移动用户访问由服务提供者提供的众多在线服务和应用。例如， 比如电子邮件、电子商务、电子银行之类的数据服务和应用已经或者 正在变为可通过诸如PDA、膝上型计算机、智能电话机之类的移动装 置访问。

但是要面对和解决复杂的安全性问题，而不能使之成为无线技术 的进一步普及和成功的障碍。

事实上，由于WLAN使用无线电作为通信媒体，因此WLAN 天生不如传统的有线LAN安全。在无线网络中，难以控制网络的准 确扩展范围：传送的数据是利用无线电波通过空中广播的。由于无线 电波穿过天花板、地板和墙壁，因此传送的数据可能到达非预定接收 者。在不建立严格的安全措施的情况下，建立WLAN等同于在各处 安置以太网端口。例如，就公司的专用WLAN来说，无线电信号能 够容易地越过公司地点的边界，借助适当的天线，攻击者能够被动监 视(用行话来说，“嗅探”)网络通信，而不需要物理地或逻辑地访问该 网络。

如同其它网络一样，WLAN的安全性集中在访问控制和保密性。 WLAN安全性的传统实现包括使用静态有线等效加密(WEP)密钥和 可选的媒体访问控制(MAC)验证。这种组合提供一定程度的访问控制 和保密性，不过已发现在IEEE 802.11验证和数据保密方案中存在弱 点。具体地说，WEP存在严重的缺陷，该缺陷使攻击者仅仅通过监 听一定量的Wi-Fi数据通信，就能够发现WEP密钥。此外，WEP密 钥供应不是动态的，即，该密钥在打算访问无线网络的每个用户终端 上手动配置，并且用一般明码保存，只有在少数情况下才保存在智能 卡的固件中。这些WEP弱点，连同管理和控制消息的验证的缺失一 起，使Wi-Fi网络非常不安全。

为了提高无线网络安全性，IEEE 802.11标准化组定义了称为 IEEE 802.11i，商业上称为Wi-Fi保护访问(WPA)的对原始IEEE 802.11标准的修订，该修订建立新的Wi-Fi网络安全标准。本领域已 知，就验证和密钥分发来说，IEEE 802.11i标准依赖于在另一个称为 IEEE 802.1X的独立标准(关于局域网和城域网-基于端口的网络交换 的IEEE标准)中建立的基于端口的网络访问控制机制。应用于WLAN 的该标准适合于在客户(所谓的“恳求者”)和验证服务器之间实现强力 的相互验证。另外，IEEE 802.1X能够提供动态的每一用户，每一会 话的密钥，该密钥可用于保护数据链路层，消除了使用静态WEP密 钥时固有的管理负担和安全问题。

在普通的移动终端访问无线网络之前，进行IEEE 802.1X验证程 序。网络运营者核实移动终端身份，并根据该检查，准许移动终端对 网络的访问。