CN114667499A - 基于口令和策略的设备无关认证 - Google Patents
基于口令和策略的设备无关认证 Download PDFInfo
- Publication number
- CN114667499A CN114667499A CN202080076150.4A CN202080076150A CN114667499A CN 114667499 A CN114667499 A CN 114667499A CN 202080076150 A CN202080076150 A CN 202080076150A CN 114667499 A CN114667499 A CN 114667499A
- Authority
- CN
- China
- Prior art keywords
- electronic device
- network
- access
- password
- access point
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004364 calculation method Methods 0.000 claims abstract description 50
- 230000006854 communication Effects 0.000 claims description 106
- 238000004891 communication Methods 0.000 claims description 106
- 238000000034 method Methods 0.000 claims description 84
- 230000015654 memory Effects 0.000 claims description 32
- 238000003860 storage Methods 0.000 claims description 9
- 238000013475 authorization Methods 0.000 claims description 6
- 230000004044 response Effects 0.000 abstract description 24
- 238000010586 diagram Methods 0.000 description 17
- 238000013507 mapping Methods 0.000 description 16
- 238000012545 processing Methods 0.000 description 16
- 230000005641 tunneling Effects 0.000 description 10
- 238000005516 engineering process Methods 0.000 description 9
- 230000007246 mechanism Effects 0.000 description 9
- 230000008569 process Effects 0.000 description 9
- 230000001413 cellular effect Effects 0.000 description 8
- 230000006870 function Effects 0.000 description 8
- 230000008520 organization Effects 0.000 description 7
- 230000027455 binding Effects 0.000 description 6
- 238000009739 binding Methods 0.000 description 6
- 239000003999 initiator Substances 0.000 description 6
- 229920002239 polyacrylonitrile Polymers 0.000 description 6
- 201000006292 polyarteritis nodosa Diseases 0.000 description 6
- 238000012546 transfer Methods 0.000 description 5
- 238000013459 approach Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 230000007717 exclusion Effects 0.000 description 3
- 238000005304 joining Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 230000002829 reductive effect Effects 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 230000004308 accommodation Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000007175 bidirectional communication Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 230000008878 coupling Effects 0.000 description 2
- 238000010168 coupling process Methods 0.000 description 2
- 238000005859 coupling reaction Methods 0.000 description 2
- 230000007423 decrease Effects 0.000 description 2
- 230000003247 decreasing effect Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000011144 upstream manufacturing Methods 0.000 description 2
- SNPLKNRPJHDVJA-ZETCQYMHSA-N D-panthenol Chemical compound OCC(C)(C)[C@@H](O)C(=O)NCCCO SNPLKNRPJHDVJA-ZETCQYMHSA-N 0.000 description 1
- 101000741965 Homo sapiens Inactive tyrosine-protein kinase PRAG1 Proteins 0.000 description 1
- 235000008694 Humulus lupulus Nutrition 0.000 description 1
- 102100038659 Inactive tyrosine-protein kinase PRAG1 Human genes 0.000 description 1
- 230000002411 adverse Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- VYLDEYYOISNGST-UHFFFAOYSA-N bissulfosuccinimidyl suberate Chemical compound O=C1C(S(=O)(=O)O)CC(=O)N1OC(=O)CCCCCCC(=O)ON1C(=O)C(S(O)(=O)=O)CC1=O VYLDEYYOISNGST-UHFFFAOYSA-N 0.000 description 1
- 230000010267 cellular communication Effects 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 235000013305 food Nutrition 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000000670 limiting effect Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000001404 mediated effect Effects 0.000 description 1
- 239000002184 metal Substances 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000005855 radiation Effects 0.000 description 1
- 230000003362 replicative effect Effects 0.000 description 1
- 238000000060 site-specific infrared dichroism spectroscopy Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000001228 spectrum Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0846—Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
- H04L9/0833—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2111—Location-sensitive, e.g. geographical location, GPS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
描述了一种选择性地批准第二电子装置对网络的安全访问的电子装置。这种电子装置接收与计算机相关联的访问请求,其中访问请求包括与用户相关联的口令参数,并且口令参数包括加密计算的输入和输出。作为响应,该电子装置至少部分地基于输入和一个或多个存储的口令计算加密计算的一个或多个第二输出。此外,当一个或多个第二输出中的一个与该输出之间存在匹配时,该电子装置访问与用户相关联的策略。然后,当满足与策略相关联的一个或多个标准时,该电子装置选择性地向计算机提供访问接受消息,该访问接受消息包括用于建立第二电子装置的安全访问的信息。
Description
背景
技术领域
所描述的实施例涉及基于口令和与网络相关联的策略,例如针对与一个或多个装置相关联的位置的策略,向网络中的动态个人区域网络(PAN)认证一个或多个装置的技术。
背景技术
许多电子装置能够与其它电子装置无线通信。具体而言,这些电子装置可以包括实现以下各项的网络接口的网络子系统:蜂窝网络(UMTS、LTE等)、无线局域网(例如,如在电气和电子工程师协会(IEEE)802.11标准中描述的无线网络或来自华盛顿州柯克兰市蓝牙特别兴趣小组的Bluetooth),和/或另一类型的无线网络。例如,许多电子装置使用IEEE802.11兼容的通信协议(有时统称为“Wi-Fi”)经由无线局域网(WLAN)相互通信。在典型部署中,基于Wi-Fi的WLAN包括一个或多个接入点(或基本服务集合或BSS),所述一个或多个接入点使用Wi-Fi彼此以及与其它电子装置进行无线通信,并通过IEEE802.3(有时称为“以太网”)访问另一网络(例如因特网)。
与Wi-Fi相关联的一个挑战是如何允许电子装置与在WLAN中实施的PAN建立连接。值得注意的是,WLAN中可能存在多个重叠的PAN,这意味着给定PAN外部的电子装置可能能够访问与其它PAN相关联的内容(反之亦然)。
原则上,可以通过建立安全的PAN来解决此问题。值得注意的是,给定电子装置可以在给定PAN中建立安全连接,使得其通信(以及因此相关联的内容)不能被WLAN中的其它PAN访问。
然而,这种方法带来了其它挑战,例如如何将加密信息(例如口令,有时称为动态预共享密钥或DPSK)分配到给定PAN中的给定电子装置并使用加密信息,使得能够建立安全连接。例如,在一些现有方法中,PAN中的给定电子装置具有与给定电子装置相关联的单独口令,这可以使电子装置的载入变得繁琐且耗时,或者可能需要针对给定PAN中的电子装置的复杂登记过程。此外,在这些方法中,口令的管理可能很复杂。
发明内容
在第一组实施例中,描述了一种选择性地批准第二电子装置对网络(例如,WLAN中的PAN,其独立于与WLAN中的其它PAN相关联的流量)的安全访问的电子装置。此电子装置可以包括:与计算机通信的接口电路(例如,WLAN中的计算机网络装置,例如接入点或交换机的控制器);处理器;以及存储程序指令的存储器,其中,当由处理器执行时,所述程序指令使电子装置执行操作。要指出的是,在操作期间,该电子装置接收与计算机相关联的访问请求,其中访问请求包括与用户相关联的对应于口令的口令参数,并且口令参数包括加密计算的输入和加密计算的输出。作为响应,该电子装置至少部分地基于输入和一个或多个存储的口令计算加密计算的一个或多个第二输出。此外,当一个或多个第二输出中的一个与该输出之间存在匹配时,该电子装置访问与用户相关联的策略。然后,当满足与策略相关联的一个或多个标准时,该电子装置选择性地提供地址指向计算机的访问接受消息,其中,该访问接受消息指向第二电子装置并且包括用于建立第二电子装置的安全访问的信息。
注意,该电子装置可以包括认证、授权和计费(AAA)服务器。
此外,口令可以包括用户的DPSK。在一些实施例中,第二电子装置包括在与用户相关联并且共享口令的一组电子装置中。因此,口令可以包括由该组电子装置使用的组DPSK。然而,口令可以不包括在访问请求中。
此外,口令参数可以包括:与第二电子装置相关联的随机数、与计算机网络装置相关联的随机数、加密计算的输出、第二电子装置的标识符(例如介质访问控制或MAC地址)和/或计算机网络装置的标识符(例如计算机网络装置的MAC地址)。
另外,策略可以包括口令有效的时间间隔。在一些实施例中,策略可以包括口令有效的位置(例如计算机网络装置的位置)或允许用户访问的网络。例如,接口电路可以与第二计算机(例如与组织相关联的物业管理或PM服务器)通信,以确定第二电子装置是否与所述位置相关联。当第二电子装置与所述位置相关联时,该电子装置可以选择性地提供访问接受消息。注意,位置可以包括:房间、建筑物、通信端口、与组织相关联的设施(例如酒店或教育机构)等。
此外,网络可以包括与所述位置相关联的虚拟网络(例如,用于PAN的虚拟网络),并且访问接受消息中的信息可以允许第二电子装置建立与虚拟网络的安全通信。这种安全通信可以独立于与网络的其它用户相关联的流量。例如,计算机网络装置可以桥接网络中的虚拟网络中的第二电子装置与一组电子装置之间的流量,其中虚拟网络中的流量独立于与网络中的一个或多个不同虚拟网络相关联的其它流量。注意,虚拟网络可以包括:虚拟局域网(VLAN)或虚拟可扩展局域网(VXLAN)。
在一些实施例中,虚拟网络由包括在访问接受消息中的标识符指定。例如,标识符可以包括虚拟局域网标识符(VLANID)或虚拟网络标识符(VNI)。此外,标识符可以包括能够指定超过4,096个虚拟网络的信息。替代地或另外,虚拟网络可以包括:QinQ、移动隧道(例如,使用Home Hub和组标识符)和/或MAC地址映射程序。
此外,该访问请求可以包括远程认证拨号用户服务(RADIUS)访问请求,并且该访问接受消息可以包括RADIUS访问接受消息。注意,口令参数可以包括在RADIUS属性,例如供应商特定属性(VSA)中。或者,在一些实施例中,可以使用超文本传输协议(HTTP)或基于HTTP的协议(例如HTTPv2、websockets或gRPC)。
另外,策略可以允许用户访问不同位置处的多个网络。在这些实施例中,用于计算加密计算的一个或多个第二输出的输入可以包括给定网络的给定标识符。此外,可以至少部分地基于不同网络的标识符来组织一个或多个存储的口令。例如,口令池可以绑定到不同网络或与不同网络相关联,以减少计算工作量。
此外,第二电子装置可以预配置有口令。注意,口令可以独立于与第二电子装置相关联的标识符,例如第二电子装置的MAC地址。更一般地,口令可以独立于第二电子装置或第二电子装置中的硬件。
在一些实施例中,在诸如物业管理或忠诚度计算机的第三计算机中访问该策略。此外,第三计算机中的策略可以用于在顾客入住或离开酒店时启用或禁用口令。
此外,在一些实施例中,第二电子装置的MAC地址绑定到电子装置中的口令或与其相关联,使得第二电子装置可以在后续场合由电子装置认证,而电子装置不必执行加密计算。然而,在一些实施例中,即使在使用此类MAC地址缓存时,电子装置也可以在后续认证请求的实例期间执行加密计算,以便确保口令参数和/或加密信息不变且仍然准确。注意,当使用MAC地址缓存时,可能仅需要对第二电子装置执行单次加密计算(与通过可能口令的较大集合进行蛮力搜索相反)。
另一实施例提供了第二电子装置,该第二电子装置执行与电子装置的前述操作中的至少一些的对应操作。
另一实施例提供了计算机网络装置,该计算机网络装置执行与电子装置的前述操作中的至少一些的对应操作。
另一实施例提供了计算机,该计算机执行与电子装置的前述操作中的至少一些的对应操作。
另一实施例提供了第二计算机,该第二计算机执行与电子装置的前述操作中的至少一些的对应操作。
另一实施例提供了一种包括计算机网络装置、计算机、电子装置和/或第二计算机的系统。
另一实施例提供了一种计算机可读存储介质,其具有与前述部件中的一个一起使用的程序指令。当由所述部件执行时,所述程序指令使所述部件执行前述实施例中的一个或多个中的前述操作中的至少一些。
另一实施例提供了一种方法,其可由前述部件中的一个执行。这种方法包括前述实施例中的一个或多个中的前述操作中的至少一些。
第二组实施例描述了用于执行云级组认证的方法。该方法包括:在DPSK服务器处接收认证请求,其中在末端装置(例如第二电子装置)经由接入点加入网络或与该网络相关联之后,所述认证请求与末端装置相关联;认证所述末端装置;在认证之后,确定包括在认证请求中并从口令导出的加密信息是否可以匹配到DPSK服务器中(例如,非暂态存储器中)存储的第二口令。
当匹配操作成功时,DPSK服务器可以获得与第二口令相关联的最终用户标识符(EUI)。然后,DPSK服务器可以将EUI附加或包括在认证请求中。此外,DPSK服务器可以为EUI地址指向AAA服务器的认证请求提供肯定确定或批准,即末端装置使用的口令与DPSK服务器中配置的口令相同(即,与第二口令相同)。
接下来,AAA服务器可以向用户数据库(USER DB)提供对最终用户名称的名称请求,其中名称请求包括EUI。此外,AAA服务器可以响应于名称请求而接收与USER DB相关联的最终用户名称。另外,AAA服务器可以针对分配给地址指向PM服务器的最终用户名称的位置提供位置请求,并且可以接收与PM服务器相关联的位置标识符消息。AAA服务器可以识别分配给AAA服务器中的位置标识符的策略。然后,AAA服务器可以提供地址指向DPSK服务器的访问接受消息,该访问接受消息可以包括该策略。此外,DPSK服务器可以提供地址指向电子装置(例如接入点)的访问接受消息。
另一实施例提供了一种具有程序指令的计算机可读存储介质,该程序指令与电子装置、末端装置、DPSK服务器、AAA服务器、用户数据库或PM服务器一起使用。当由电子装置、末端装置、DPSK服务器、AAA服务器、USER DB或PM服务器执行时,该程序指令使电子装置、末端装置、DPSK服务器、AAA服务器、USER DB或PM服务器执行前述实施例的一个或多个中的前述操作中的至少一些。
另一实施例提供了执行该方法中的前述操作中的至少一些的电子装置。
另一实施例提供了执行该方法中的前述操作中的至少一些的末端装置。
另一实施例提供了执行该方法中的前述操作中的至少一些的DPSK服务器。
另一实施例提供了执行该方法中的前述操作中的至少一些的AAA服务器。
另一实施例提供了执行该方法中的前述操作中的至少一些的USER DB。
另一实施例提供了执行该方法中的前述操作中的至少一些的PM服务器。
另一实施例提供了一种系统,其包括电子装置、交换机、DPSK服务器、AAA服务器、USER DB和/或PM服务器。
提供此发明内容是为了说明一些示范性实施例,以便提供对本文所述的主题的一些方面的基本理解。因此,应了解,上述特征是实例,且不应被解释为以任何方式缩小本文所述的主题的范围或精神。从以下详细描述、附图和权利要求书将显而易见本文所述的主题的其它特征、方面和优点。
附图说明
图1是说明根据本公开的实施例的电子装置之间的通信的示例的框图。
图2是说明根据本公开的实施例的用于使用图1中的电子装置提供安全通信的方法的示例的流程图。
图3是说明根据本公开的实施例的用于使用图1中的电子装置提供安全通信的方法的示例的流程图。
图4是说明根据本公开的实施例的用于使用图1中的电子装置选择性地批准安全访问的方法的示例的流程图。
图5是说明根据本公开的实施例的图1中的电子装置之间的通信的示例的图示。
图6是说明根据本公开的实施例的系统的示例的框图,该系统实现动态个人区域网络(PAN),该PAN提供一组电子装置与网络之间的互连,同时又将它们隔离而不与其它电子装置通信。
图7是说明根据本公开的实施例的方法的示例的流程图,该方法用于提供电子装置与网络之间的互连,同时又将它们与其它电子装置的互连隔离。
图8是说明根据本公开的实施例的方法的示例的流程图,该方法用于提供电子装置与网络之间的互连,同时又将它们与其它电子装置的互连隔离。
图9是说明根据本公开的实施例的方法的示例的流程图,该方法用于提供电子装置与网络之间的互连,同时又将它们与其它电子装置的互连隔离。
图10是说明根据本公开的实施例的方法的示例的流程图,该方法用于提供电子装置与网络之间的互连,同时又将它们与其它电子装置的互连隔离。
图11是说明根据本公开的实施例的方法的示例的流程图,该方法用于提供电子装置与网络之间的互连,同时又将它们与其它电子装置的互连隔离。
图12是说明根据本公开的实施例的方法的示例的流程图,该方法用于提供电子装置与网络之间的互连,同时又将它们与其它电子装置的互连隔离。
图13是说明根据本公开的实施例的电子装置的示例的框图。
注意,相同的附图标记指代整个附图中的相应部分。此外,同一部分的多个实例由用破折号与实例编号分开的共同前缀指定。
具体实施方式
描述了选择性地批准第二电子装置对网络的安全访问的电子装置(例如AAA服务器)。这种电子装置可以接收与计算机相关联的访问请求,其中访问请求包括与用户相关联的口令参数,并且口令参数包括加密计算的输入和输出。作为响应,电子装置可以至少部分地基于输入和一个或多个存储的口令来计算加密计算的一个或多个第二输出。此外,当一个或多个第二输出中的一个与该输出之间存在匹配时,电子装置可以访问与用户相关联的策略。然后,当满足与策略相关联的一个或多个标准时,电子装置可以选择性地向计算机提供访问接受消息,该访问接受消息包括用于建立第二电子装置的安全访问的信息。
通过选择性地批准第二电子装置的安全访问,这些通信技术可以实现对网络的有条件访问。例如,通信技术可以至少部分地基于口令(例如DPSK)和策略允许第二电子装置进行安全访问。这可以允许对网络进行动态安全访问,例如在一个或多个位置和/或在不同时间进行访问。此外,可以更新或修改策略,从而允许组织灵活地更改对网络的安全访问。此外,响应于访问接受消息,接入点、无线电节点或交换机可以桥接网络中的虚拟网络(例如安全PAN)中的流量,由此将第二电子装置(或一组电子装置)的流量与和其它用户相关联的流量分开。因此,通信技术可以使载入变得更简单且耗时更少,并且可以消除对第二电子装置的复杂登记过程或对多个口令的繁琐管理的需求。因此,通信技术可以增强在网络中通信时的用户体验。
在接下来的讨论中,系统中的电子装置或部件根据无线通信协议传送分组,所述无线通信协议是例如:与IEEE 802.11标准兼容的无线通信协议(有时称为
来自德克萨斯州奥斯汀市的Wi-Fi联盟),蓝牙,蜂窝电话网络或数据网络通信协议(如第三代或3G通信协议、第四代或4G通信协议,例如,长期演进或LTE(来自法国瓦尔邦讷的SophiaAntipolis的第3代合作伙伴项目),LTE Advanced或LTE-A,第五代或5G通信协议,或其它现有或未来开发的蜂窝通信协议),和/或另一类型的无线接口(例如,另一无线局域网网络接口)。例如,IEEE 802.11标准可以包括以下各项中的一项或多项:IEEE 802.11a、IEEE802.11b、IEEE 802.11g、IEEE 802.11-2007、IEEE 802.11n、IEEE 802.11-2012、IEEE802.11-2016、IEEE 802.11ac、IEEE 802.11ax、IEEE 802.11ba、IEEE 802.11be,或其它当前或未来开发的IEEE 802.11技术。此外,无线网络中的接入点、无线电节点、基站或交换机可以使用有线通信协议,例如与IEEE 802.3标准(有时称为“以太网”)兼容的有线通信协议(例如以太网II标准)与本地或远程定位的计算机(例如控制器)通信。然而,可以在系统中使用各种通信协议,包括有线和/或无线通信。在接下来的讨论中,Wi-Fi、LTE和以太网被用作说明性示例。
我们现在描述通信技术的一些实施例。图1给出了框图,其说明了在环境106中经由蜂窝电话网络114(其可以包括基站108)、WLAN中的一个或多个接入点116(其可以使用Wi-Fi进行通信)和/或小规模网络(例如小型小区)中的一个或多个无线电节点118(其可以使用LTE进行通信)与一个或多个电子装置110(例如蜂窝电话、便携式电子装置、站点或客户端、另一类型的电子装置等)通信的示例。例如,一个或多个无线电节点118可以包括:演进节点B(eNodeB)、通用移动电信系统(UMTS)NodeB和无线电网络控制器(RNC)、新无线电(NR)gNB或gNodeB(其用除LTE之外的蜂窝电话通信协议与网络通信)等等。在随后的讨论中,接入点、无线电节点或基站有时通常被称为“通信装置”。此外,如先前所述,一个或多个基站(例如基站108)、接入点116和/或无线电节点118可以包括在一个或多个无线网络,例如:WLAN、小型小区和/或蜂窝电话网络中。在一些实施例中,接入点116可以包括物理接入点和/或虚拟接入点,虚拟接入点在电子装置或计算机的环境中以软件实施。
注意,接入点116和/或无线电节点118可以使用有线通信协议(例如以太网)经由网络120和/或122彼此和/或与计算机112(其可以是管理和/或配置接入点116、无线电节点118和/或交换机128,或提供基于云的存储和/或分析服务的基于云的控制器)通信。注意,网络120和122可以是相同或不同的网络。例如,网络120和/或122可以是LAN、内联网或因特网。在一些实施例中,网络120可以包括一个或多个路由器和/或交换机(例如,交换机128)。
如下文参考图13进一步描述的,电子装置110、计算机112、接入点116、无线电节点118和交换机128可以包括子系统,例如网络子系统、存储器子系统和处理器子系统。另外,电子装置110、接入点116和无线电节点118可以在网络子系统中包括无线电设备124。更一般地,电子装置110、接入点116和无线电节点118可以包括具有网络子系统的任何电子装置(或可以包括在具有网络子系统的任何电子装置内),该网络子系统使得电子装置110、接入点116和无线电节点118能够与一个或多个其它电子装置无线通信。这种无线通信可以包括在无线信道上传输访问,以使得电子装置能够彼此进行初始联系或检测,随后交换后续数据/管理帧(例如,连接请求和响应)以建立连接,配置安全选项,通过连接发送和接收帧或分组等等。
在图1中的通信期间,接入点116和/或无线电节点118和电子装置110可以有线或无线通信,同时:在无线信道上发送访问请求和接收访问响应,通过扫描无线信道检测彼此,(例如,通过发送连接请求和接收连接响应)建立连接,和/或发送和接收帧或分组(其可以包括作为有效载荷的信息)。
如图1中可见,无线信号126(由锯齿形线表示)可以由例如接入点116和/或无线电节点118和电子装置110中的无线电设备124发送。例如,接入点116-1中的无线电设备124-1可以使用无线信号126发送信息(例如,一个或多个分组或帧)。这些无线信号由一个或多个其它电子装置中的无线电设备124(例如,电子装置110-1中的无线电设备124-2)接收。这可以允许接入点116-1将信息传送到其它接入点116和/或电子装置110-1。注意,无线信号126可以传送一个或多个分组或帧。
在所描述的实施例中,处理接入点116和/或无线电节点118和电子装置110中的分组或帧可以包括:接收具有分组或帧的无线信号;从所接收的无线信号解码/提取分组或帧以获取分组或帧;以及处理分组或帧以确定分组或帧的有效载荷中包含的信息。
注意,图1中的无线通信可以由各种性能度量来表征,所述各种性能度量是例如:成功通信的数据速率(有时称为“吞吐量”)、错误率(例如重试或重新发送率)、均衡信号相对于均衡目标的均方差、符号间干扰、多路径干扰、信噪比、眼图的宽度、在时间间隔(例如1-10秒)内成功传送的字节数与在该时间间隔内估计可以传送的最大字节数(后者有时称为通信信道或链路的“容量”)的比率,和/或实际数据速率与估计数据速率的比率(有时称为“利用率”)。尽管在图1的部件中示出了无线电设备124的实例,但这些实例中的一个或多个可以不同于无线电设备124的其它实例。
在一些实施例中,图1中的部件之间的无线通信使用一个或多个频带,例如:900MHz、2.4GHz、5GHz、6GHz、60GHz、公民宽带无线电频谱或CBRS(例如,接近3.5GHz的频带),和/或由LTE或另一蜂窝电话通信协议或数据通信协议使用的频带。注意,电子装置之间的通信可以使用多用户传输(例如,正交频分多址或OFDMA)。
尽管我们将图1中所示的网络环境描述为示例,但在替代实施例中,可能存在不同数量或类型的电子装置。例如,一些实施例包括更多或更少的电子装置。作为另一示例,在另一实施例中,不同的电子装置正在发送和/或接收分组或帧。
如先前所述,例如在PAN中建立安全通信可能是困难的。例如,当每个电子装置110具有单独口令时,可能需要复杂且耗时的载入过程和口令管理。此外,可能难以调整或更改电子装置110的一个或多个的访问标准。
如下文参考图2-5进一步描述的,为了解决这些问题,电子装置(例如,接入点116-1、无线电节点118-1或交换机128)可以向一个或多个电子装置(例如,电子装置110-1或电子装置110-1和110-2)提供安全通信,该一个或多个电子装置可以具有相关联的口令(或可以共享公共口令)。在随后的讨论中,接入点116-1用于说明通信技术。
在操作期间,电子装置110-1可以发现接入点116-1并与之(并且因此与接入点116-1提供的网络,例如WLAN和/或网络120)相关联。例如,电子装置110-1可以向接入点116-1提供认证请求。然后,接入点116-1可以向计算机112提供用户设备上下文请求。如下文进一步描述的,计算机112可以随后向接入点116-1提供用户设备上下文响应,其可以确认WLAN中不存在电子装置110-1的现有上下文或关联。
此外,接入点116-1可以向电子装置110-1提供认证响应。接下来,电子装置110-1可以向接入点116-1提供关联请求,该接入点可以通过向电子装置110-1提供关联响应来作出响应。注意,此时,电子装置110-1与接入点116-1之间存在连接,但通信未被加密。此外,计算机112可以向接入点116-1提供用户设备上下文响应,例如否定确认或NACK。
在与电子装置110-1关联之后,接入点116-1可以在与电子装置110-1的四次握手中提供第一消息。此第一消息可以包括与接入点116-1相关联的随机数(有时称为“ANonce”)。作为响应,电子装置110-1可以构造、导出或生成成对瞬态密钥(PTK)。例如,可以使用加密计算(例如伪随机函数)和预共享密钥(例如,口令,例如DPSK或其它类型的数字证书)、ANonce、与电子装置110-1相关联的第二随机数(有时称为“SNonce”)、接入点116-1的标识符(例如接入点116-1的MAC地址)和/或电子装置110-1的标识符(例如电子装置110-1的MAC地址)来构造或生成PTK。口令可以预安装或预配置在电子装置110-1上,并且可以存储在可由AAA服务器130访问的存储器中。在一些实施例中,电子装置110-1的用户可以使用门户(例如,网站或网页)、电子邮件、SMS消息等接收口令并将其安装在电子装置110-1上。
注意,口令可以独立于与电子装置110-1相关联的标识符,例如电子装置110-1的MAC地址。更一般地,口令可以独立于电子装置110-1或电子装置110-1中的硬件。口令可以与位置,例如房间、建筑物、通信端口(例如,特定以太网端口)等相关联。(一般来说,在本讨论中,“位置”可以不限于物理位置,而是可以被抽象化以包括与物理位置相关联的对象或实体,例如特定房间或建筑物。)替代地或另外,口令可以与一个或多个用户,例如酒店中的顾客或家人相关联。因此,如先前所述,在一些实施例中,口令包括由一组电子装置共享的公共口令(例如,公共口令可以是组DPSK)。
此外,电子装置110-1可以在四次握手中向接入点116-1提供第二消息。第二消息可以包括SNonce和对接入点116-1的消息完整性检查(MIC)。在一些实施例中,第二消息包括:加密计算的输入和加密计算的输出。
另外,接入点116-1可以向计算机112提供访问请求(例如RADIUS访问请求),并且计算机112可以向AAA服务器130提供访问请求(例如RADIUS访问请求)。在一些实施例中,访问请求包括与用户相关联的口令参数。(因此,在一些实施例中,口令参数可以包括在RADIUS属性,例如VSA,如Ruckus VSA 153中。)口令参数可以包括:加密计算的输入和加密计算的输出。例如,口令参数可以包括:ANonce、SNonce、MIC、电子装置110-1的MAC地址和/或接入点116-1的MAC地址。另外,访问请求可以包括其它信息,例如:集群名称、区名称、WLAN的服务集标识符(SSID)、接入点116-1的基本服务集标识符(BSSID)和用户的用户名。
至少部分地基于口令参数,AAA服务器130可以执行认证和授权,包括将口令指定的加密信息与用于电子装置110-1的存储信息(例如DPSK或其它类型的数字证书)进行比较。更一般地,AAA服务器130可以使用口令指定的信息来确定电子装置110-1是否被授权访问网络120和/或网络122。在一些实施例中,AAA服务器130实施或使用RADIUS协议。或者,在一些实施例中,可以使用HTTP或基于HTTP的协议(例如,HTTPv2、websockets或gRPC)。
值得注意的是,AAA服务器130可以至少部分地基于加密计算的输入和不同的存储的口令来执行加密计算的输出的蛮力计算。当这些计算出的输出中的一个与从电子装置110-1接收的输出之间存在匹配时,可以确认AAA服务器130能够构造、导出或生成与电子装置110-1相同的PTK,使得电子装置110-1和接入点116-1将能够对它们彼此的通信进行加密和解密。
然后,AAA服务器130可以(例如,通过至少部分地基于用户的用户名执行查找)访问与用户相关联的策略,该策略支配对WLAN(并且更一般地,对网络120和/或网络122)的访问。例如,策略可以包括当口令有效时的时间间隔。此外,策略可以包括口令有效的位置(例如,接入点116-1的位置)或允许用户访问的网络。在一些实施例中,AAA服务器130可以与和组织相关联的物业管理(PM)服务器132通信,以确定电子装置110-1是否与位置相关联(例如电子装置110-1的用户是否入住接入点116-1所在的房间或与该房间相关联)。注意,位置可以包括:房间、建筑物、通信端口、与组织相关联的设施(例如酒店或教育机构)等。更一般地,AAA服务器130可以任选地与PM服务器132通信以确定是否满足与策略相关联的一个或多个标准。
然后,当满足与策略相关联的一个或多个标准时,AAA服务器130可以选择性地向计算机112提供访问接受消息(例如,RADIUS访问接受消息)。此访问接受消息可以意图用于电子装置110-1,并且可以包括用于建立电子装置110-1的安全访问的信息。例如,访问接受消息可以包括:电子装置110-1的标识符、隧道类型、隧道介质类型、隧道权限组标识符、过滤器标识符和用户名。
作为响应,计算机112可以将访问接受消息(例如,RADIUS访问接受消息)提供至接入点116-1。接下来,接入点116-1可以在四次握手中向电子装置110-1提供第三消息。此外,电子装置110-1可以在四次握手中向接入点116-1提供第四消息,例如确认。此时,接入点116-1可以为电子装置110-1建立对WLAN的安全访问(并且更一般地,对网络120和/或网络122,例如内联网或因特网的安全访问)。值得注意的是,安全访问可以在WLAN中的PAN中,该PAN独立于与WLAN中的其它PAN相关联的流量。
在一些实施例中,可以使用与位置相关联的虚拟网络(例如PAN的虚拟网络)来实施安全访问,并且访问接受消息中的信息可以允许电子装置110-1建立与虚拟网络的安全通信。这种安全通信可以独立于与WLAN的其它用户相关联的流量。例如,接入点116-1可以桥接WLAN中的虚拟网络中的电子装置110-1与一组电子装置的另一成员(例如电子装置110-2)之间的流量,其中,虚拟网络中的流量独立于与网络中的一个或多个不同虚拟网络相关联的其它流量。注意,虚拟网络可以包括VLAN。或者,当接入点116-1的前述操作由交换机128执行时,虚拟网络可以包括VXLAN。在这些实施例中,交换机128可以桥接虚拟网络中的与电子装置110-1相关联的有线流量(例如以太网帧)。
而且,虚拟网络可以由包括在访问接受消息中的标识符指定。例如,标识符可以包括VLANID(与接入点116-1一起使用)或VNI(与交换机128一起使用)。此外,标识符可以包括能够指定超过4,096个虚拟网络的信息。在一些实施例中,标识符可以包括24位,其可以用于指定高达1600万个虚拟网络。
在一些实施例中,虚拟网络在接入点116-1中的虚拟数据平面中(例如,使用通用路由封装或GRE隧道)实现。注意,数据平面通常负责在传输路径周围移动数据,而控制平面通常负责确定和设置这些传输路径。数据平面可以使用由一个或多个处理器(有时称为“虚拟数据平面”)中的多个核心执行的虚拟机来实现,这允许灵活地缩放和动态地重新配置数据平面。在本论述中,虚拟机是使用模仿或仿真专用硬件或专用硬件的特定功能的软件实施的操作系统或应用程序环境。
另外,在一些实施例中,策略允许用户访问不同位置(例如不同地理位置,例如酒店品牌或连锁店的不同酒店)处的多个网络。在这些实施例中,用于计算加密计算的一个或多个第二输出的输入可以包括给定网络的给定标识符(例如,给定SSID)。此外,可以至少部分地基于不同网络的标识符来组织一个或多个存储的口令。在这些实施例中,可以至少部分地基于用户请求加入的给定网络对相关存储的口令进行分组,这可以减少AAA服务器130计算不同存储的口令的输出所需的时间。
以此方式,通信技术可以允许AAA服务器130选择性地批准由电子装置110-1访问网络。要指出的是,所述通信技术可以至少部分地基于口令和策略允许电子装置110-1进行安全访问。这可以允许对网络进行动态安全访问,例如在一个或多个位置和/或在不同时间进行访问。这些能力可以允许接入点116-1向电子装置110中的一个或多个提供安全通信,而不需要复杂且耗时的载入过程或困难的口令管理。因此,所述通信技术可以在使用电子装置110-1、接入点116-1和经由网络进行通信时改善用户体验。
虽然前面的讨论说明了在接入点116-1(以及更一般地,计算机网络装置)与由计算机112介导的AA服务器130之间进行通信的通信技术,但在其它实施例中,可以排除计算机112。因此,在一些实施例中,接入点116-1可以在没有计算机112的情况下与AAA服务器112通信。此外,尽管前面的讨论说明了AAA服务器112与PM服务器132进行通信的通信技术,但在其它实施例中,存储在PM服务器132中的信息包括在AAA服务器130中,使得可以排除PM服务器132。
我们现在描述该方法的实施例。图2给出了流程图,其说明了用于提供安全通信的方法200的示例,所述方法可以由诸如图1中的接入点116、无线电节点118中的一个或交换机128中的一者的计算机网络装置执行。在操作期间,计算机网络装置可以从电子装置接收消息(操作210)。此消息可以包括:与电子装置相关联的随机数、与计算机网络装置相关联的随机数、加密计算的输出、电子装置的标识符(例如MAC地址),和/或计算机网络装置的标识符(例如计算机网络装置的MAC地址)。
然后,计算机网络装置可以向计算机(例如计算机网络装置的控制器)提供访问请求(操作212)。此访问请求可以包括口令参数,例如:加密计算的输入和加密计算的输出。例如,口令参数可以包括:与电子装置相关联的随机数、与计算机网络装置相关联的随机数、加密计算的输出、电子装置的标识符,和/或计算机网络装置的标识符。在一些实施例中,访问请求包括RADIUS访问请求。
此外,计算机网络装置可以从计算机接收访问接受消息(操作214)。此访问接受消息可以包括用于建立电子装置对网络的安全访问的信息。例如,电子装置和计算机网络装置可以使用该信息来加密/解密通信和/或建立隧道。
接下来,计算机网络装置可以将第二消息与信息一起提供至电子装置(操作216)。此外,计算机网络装置可以桥接网络中的虚拟网络中的与电子装置相关联的流量(操作218),其中,虚拟网络中的流量独立于与网络中的一个或多个不同虚拟网络相关联的其它流量。
图3给出了流程图,其说明了用于提供安全通信的方法200的示例,所述方法可以由诸如图1中的计算机112的计算机执行。在操作期间,计算机可以从计算机网络装置(例如,接入点、无线电节点或交换机)接收访问请求(操作310)。此访问请求可以包括口令参数,例如:加密计算的输入和加密计算的输出。例如,口令参数可以包括:与电子装置相关联的随机数、与计算机网络装置相关联的随机数、加密计算的输出、电子装置的标识符和/或计算机网络装置的标识符。在一些实施例中,访问请求包括RADIUS访问请求。
然后,计算机可以将访问请求提供至第二计算机(例如AAA服务器)(操作312)。此外,计算机可以从第二计算机接收访问接受消息(操作314)。此访问接受消息可以包括用于建立电子装置对网络的安全访问的信息。注意,在一些实施例中,访问接受消息包括RADIUS访问接受消息。接下来,计算机可以向计算机网络装置提供访问接受消息(操作316)。
图4给出了流程图,其说明了用于选择性地批准安全访问的方法400的示例,所述方法可以由诸如图1中的AAA服务器130的电子装置执行。在操作期间,电子装置可以接收与计算机相关联的访问请求(操作410),其中访问请求包括与用户相关联的对应于口令的口令参数,并且口令参数包括加密计算的输入和加密计算的输出。
此外,口令参数可以包括:与第二电子装置相关联的随机数、与计算机网络装置相关联的随机数、加密计算的输出、电子装置的标识符(例如MAC地址),和/或计算机网络装置的标识符(例如MAC地址)。
作为响应,电子装置可以至少部分地基于输入和一个或多个存储的口令计算加密计算的一个或多个第二输出(操作412)。注意,口令和存储的口令可以包括用户的DPSK。在一些实施例中,第二电子装置包括在与用户相关联并且共享口令的一组电子装置中。因此,口令和存储的口令可以包括由该组电子装置使用的组DPSK。然而,口令本身可以不包括在访问请求中。
此外,当一个或多个第二输出中的一个与该输出之间存在匹配时(操作414),电子装置可以访问与用户相关联的策略(操作416)。否则,电子装置可以不批准安全访问(操作418)。
然后,当满足与策略相关联的一个或多个标准时(操作420),电子装置可以选择性地向计算机提供访问接受消息(操作422),其中,访问接受消息指向第二电子装置并且包括用于建立第二电子装置对网络的安全访问的信息。例如,第二电子装置可以至少部分地使用该信息来加密/解密通信和/或建立隧道。否则,电子装置可以不批准安全访问(操作418)。
在一些实施例中,策略可以包括口令有效的时间间隔。在一些实施例中,策略可以包括口令有效的位置(例如计算机网络装置的位置)或允许用户访问的网络。例如,接口电路可以与第二计算机(例如,与组织相关联的PM服务器)通信,以确定第二电子装置是否与所述位置相关联。当第二电子装置与所述位置相关联时,电子装置可以选择性地提供访问接受消息(操作422)。注意,位置可以包括:房间、建筑物、通信端口、与组织相关联的设施(例如酒店或教育机构)等。替代地或另外,口令可以识别已知被分配到某个位置(例如,酒店房间)的用户,并且至少部分地基于知道的位置,第二计算机可以知道电子装置置于其上的网络的标识符。
此外,网络可以包括与该位置相关联的虚拟网络(例如,用于PAN的虚拟网络),并且访问接受消息中的信息可以允许第二电子装置建立与虚拟网络的安全通信。这种安全通信可以独立于与网络的其它用户相关联的流量。例如,计算机网络装置可以桥接网络中的虚拟网络中的第二电子装置与一组电子装置之间的流量,其中虚拟网络中的流量独立于与网络中的一个或多个不同虚拟网络相关联的其它流量。注意,虚拟网络可以包括:VLAN或VXLAN。
此外,虚拟网络可以由包括在访问接受消息中的标识符指定。例如,标识符可以包括VLANID或VNI。替代地或另外,虚拟网络可以包括:QinQ、移动隧道(例如,使用Home Hub和组标识符)和/或MAC地址映射程序。此外,标识符可以包括能够指定超过4,096个虚拟网络的信息。
另外,访问请求可以包括RADIUS访问请求,并且访问接受消息可以包括RADIUS访问接受消息。注意,口令参数可以包括在RADIUS属性,例如VSA中。或者,在一些实施例中,可以使用超文本传输协议(HTTP)或基于HTTP的协议(例如HTTPv2、websockets或gRPC)。
在一些实施例中,策略可以允许用户访问不同位置处的多个网络。在这些实施例中,用于计算加密计算的一个或多个第二输出的输入可以包括给定网络的给定标识符。此外,可以至少部分地基于不同网络的标识符来组织一个或多个存储的口令。
此外,第二电子装置可以预配置有口令。注意,口令可以独立于与第二电子装置相关联的标识符,例如第二电子装置的MAC地址。更一般地,口令可以独立于第二电子装置或第二电子装置中的硬件。
在方法200(图2)、300(图3)和/或400的一些实施例中,可能存在额外或更少的操作。此外,可以改变操作的顺序,并且/或者可以将两个或更多个操作组合成单个操作。
在图5中进一步示出了通信技术的实施例,该图给出了说明电子装置110-1、接入点116-1、计算机112、AAA服务器130和PM服务器132之间的通信的示例的图式。在图5中,电子装置110-1中的接口电路可以经由接入点116-1中的接口电路发现接入点116-1并与其相关联510。
然后,接入点116-1中的接口电路可以向消息512提供与接入点116-1相关联的随机数(例如ANonce)。在接收到消息512之后,电子装置110-1(例如电子装置110-1中的处理器)可以使用口令(例如DPSK)、来自接入点116-1的随机数、与电子装置110-1相关联的随机数(例如SNonce)、接入点116-1的标识符(例如MAC地址)和/或电子装置110-1的标识符(例如MAC地址)来执行加密计算(CC)514。此外,电子装置110-1中的接口电路可以向消息516提供加密计算514的输入和加密计算514的输出。例如,消息516可以包括与电子装置110-1相关联的随机数以及MIC。
在接收到消息516之后,接入点116-1中的接口电路可以将访问请求(AR)518提供到计算机112。此访问请求可以包括对应于与电子装置110-1的用户相关联的口令的口令参数(PP)520。例如,口令参数520可以包括:加密计算514的输入和加密计算514的输出。此外,在接收到访问请求518之后,计算机112中的接口电路可以向AAA服务器112提供访问请求518。
此外,在接收到访问请求518之后,AAA服务器130中的接口电路522可以将口令参数520提供至AAA服务器130中的处理器524。处理器524可以使用口令参数520和存储在AAA服务器130中的存储器528中的口令526来执行对加密计算514的输出530的计算。
当计算出的输出530中的一个与从电子装置110-1接收的输出之间存在匹配时,处理器524可以访问存储器528中的策略532。例如,策略532可以指示当用户处于位置534时允许对网络的安全访问。在这些实施例中,处理器可以通过向PM服务器132提供请求538来指示536接口电路522确认电子装置110-1位于位置534。在PM服务器132中的接口电路接收到请求538之后,PM服务器132中的处理器可以确定电子装置110-1位于位置534。例如,接入点116-1或通信端口可以与位置534相关联,和/或用户可以与位置534(例如,宾馆房间或者学院或大学的宿舍房间)相关联,并且PM服务器132中的处理器可以通过在PM服务器132中的存储器中进行查找来确定电子装置110-1位于位置534。接下来,PM服务器132中的接口电路可以提供具有确认的响应540。
在接口电路522接收到响应540并将关于位置534的信息提供至处理器524之后,处理器524可以指示542接口电路522向电子装置110-1提供访问接受消息(AAM)544,所述访问接受消息具有用于建立电子装置110-1对网络的安全访问信心。然后,在接收到访问接受消息544之后,计算机112中的接口电路可以将访问接受消息544提供至接入点116-1。此外,在接收到访问接受消息544之后,接入点116-1中的接口电路和电子装置110-1中的接口电路可以交换额外消息546以完成四次握手。此外,至少部分地基于访问接受消息544中的信息,接入点116-1和电子装置110-1可以建立电子装置110-1对网络的安全访问。
虽然图5使用具有单箭头或双箭头的线示出了使用单向或双向通信的部件之间的通信,但通常,此图中的给定操作中的通信可以涉及单向或双向通信。此外,尽管图5示出了按顺序或在不同时间执行操作,但在其它实施例中,这些操作中的至少一些可以至少部分地同时或并行执行。
图6呈现了用于PAN的系统的示例的框图,该PAN提供电子装置之间的以及通往网络(例如,因特网)的互连,同时将它们与其它电子装置的互连隔离。如图6所示,该系统可以包括:DPSK服务器610;AAA服务器612;物业管理(PM)服务器614;以及用户数据库(用户DB)616。另外,该系统可以包括特定位置622中的一个或多个接入点(AP)618和末端装置(ED)620以及交换机624的网络。在一些实施例中,该系统可以包括一个或多个机顶盒(STB)626和电视(TV)628。当在下面的描述中提及特定接入点、末端装置、位置、机顶盒或电视时,可以仅列出这些特定部件中的一个作为所有部件如何操作的示例。当描述每个部件的多个实例如何一起操作时,可以用具有破折号的数字来指示几个部件。
下文在图13的论述中提供了图6所示的接入点618、末端装置620以及DPSK服务器610、AAA服务器612和PM服务器614的示范性内部部件的解释。不过,一般来说,本公开设想了接入点618、末端装置620、用户DB(或数据结构)616以及DPSK服务器610、AAA服务器612和PM服务器614包括可操作以接收、传输、处理、存储和/或管理与系统相关联的数据和信息的电子部件或电子计算装置,其涵盖适于执行与存储在存储器或计算机可读存储介质中的计算机可读指令的执行一致的计算任务的任何合适的处理装置。
此外,接入点618、末端装置620、用户DB 616以及DPSK服务器610、AAA服务器612和PM服务器614中的任何、全部或一些计算装置可以适于执行任何操作系统,包括Linux、UNIX、Windows Server等,以及适于使特定操作系统的执行虚拟化的虚拟机,包括定制和专有操作系统,以及虚拟容器,包括Docker和LXC(Linux容器)。接入点618、末端装置620、用户DB 616以及DPSK服务器610、AAA服务器612和PM服务器614可以进一步配备有部件,以便于通过一个或多个网络连接(NC)630与其它计算装置通信。网络连接630可以包括到局域网和广域网、无线和有线网络、公共和专用网络,和/或实现系统中通信的任何其它通信网络的连接。
在图6中,末端装置620可以包括个人计算机、膝上型计算机、智能手机、平板计算机、个人数字助理、机顶盒、车载计算系统、物联网(IoT)装置和/或其它类似计算装置。此外,末端装置620可以包括用于存储软件部件的一个或多个存储器或存储器位置。末端装置620中的一个或多个存储器可以包括但不限于随机存取存储器(RAM)、动态随机存取存储器(DRAM)、只读存储器(ROM)、现场可编程门阵列(FPGA)的逻辑块、可擦除可编程只读存储器(EPROM)和电可擦除可编程ROM(EEPROM)。
此外,末端装置620可以包括:用户接口(例如键盘、鼠标、触敏显示器等);以及用户与接入点618、机顶盒626和/或电视628等之间的网络连接,以允许用户查看应用程序、工具、服务和末端装置620的其它软件并与其交互。本公开设想了末端装置620中的多于一个可以是如图6中所示的系统的一部分。
注意,DPSK服务器610可以是提供认证服务的网络服务器。DPSK服务器610可以使用DPSK认证来认证末端装置620中的给定末端装置。此外,DPSK服务器610可以包括其中存储用户标识符及其DPSK口令的数据结构或数据库。DPSK服务器610可以使用网络连接630-1与接入点618和AAA服务器612通信。此外,DPSK服务器610可以使用技术来提供从末端装置620-1提供的信息的验证。
另外,AAA服务器612可以是使用网络连接630-2与DPSK服务器610、PM服务器614和用户DB 616通信的网络服务器。AAA服务器612可以授权末端装置620,并且选择网络访问服务器(NAS)(在这种情况下是接入点)要应用的策略。在一些实施例中,AAA服务器612可以访问用户账户、PM服务器614和/或用户DB 616。注意,PM服务器614可以包括数据库或数据结构,其包括每个顾客已被分配到的位置信息(例如,酒店中的房间号)。
此外,用户DB 616可以是忠诚客户的数据库。这些忠诚客户可能来自组织、团体等的忠诚计划。用户DB 616可以能够持续地存储DPSK口令,以及与关于连接到忠诚客户及其家庭成员的末端装置620的信息。
此外,接入点618可以包括实现WLAN协议接口和以太网接口的接入点。接入点618可以被理解为意指与WLAN控制器(例如图1中的计算机112)一起或协同操作的接入点。另外,接入点618可以被配置成广播特定服务集标识符(SSID)。本公开设想了接入点618中的多于一个可以是如图6中所示的系统的一部分。
为了具有提供顾客装置之间的以及与网络(例如因特网)的互连,同时将它们与其它顾客的互连隔离的PAN,需要确定或识别应分组在一起以形成PAN的末端装置。另外,需要在接入点618和以太网基础设施(可以包括交换机和路由器)上执行转发策略,以确保只有共同PAN的成员可以在它们之间转发流量。不管最终用户在接入点618的无线电或无线范围内的整个区域内的何处携带其末端装置620,都可以维持PAN。
要指出的是,给定组中的每个最终用户或顾客可以配备有DPSK(例如,组DPSK口令)或仅口令。给定组中的顾客的末端装置620中的一个或多个可以配置有完全相同的口令(有时称为“公共口令”)。使用相同口令向WLAN认证的所有末端装置620均可以从网络接收相同的服务。例如,所有末端装置620都可以放置在同一VLAN上,获得访问局域网(LAN)上的某些服务器的相同权限,并被剥夺访问其它服务器的权限和/或有权以某个最大速度(以位/秒为单位)访问网络(例如因特网)。并非将所有口令都放入单个池中,DPSK认证可以被划分成较小计算工作量的集合(或组),其中在WLAN与池标识符之间具有数据库或数据结构绑定,这可以提供有效的云级计算,其中,可以随着由DPSK认证服务所服务的池和/或WLAN的数量的减少/增加而容易地移除/添加计算节点。注意,每个口令可以在单独的DPSK池中,和/或每个DPSK池可以用于在一个或多个WLAN上进行认证。
可以向最终用户、顾客或忠诚客户提供单个口令,并且该个人可以将该口令提供到其携带或计划携带到特定位置的所有末端装置中。通过该系统,基础设施可能无需知道被提供口令的末端装置620-1的MAC地址。这可能导致若干问题。首先,最终用户无需将其末端装置620的MAC地址提供到特定位置、组织等。这对最终用户而言是有益的,因为许多最终用户不熟悉网络的细节,因此可能不知道MAC地址是什么,或者可以在给定末端装置上的哪里可以找到它。
另外,缺少MAC地址可能使口令的认证在计算上更加困难,因为诸如AAA服务器612的基础设施可能不能简单地使用MAC地址作为密钥在数据库中查找口令。图6中的系统中的基础设施可以采用加密技术,以从口令池或DPSK池找到匹配口令。每个DPSK池可以由池标识符标识,并且可以具有单独的策略。本领域的技术人员可以理解,另一种认证技术可以代替DPSK。例如,IEEE 802.1X认证也是用于认证的另一种技术。这两种技术都是安全且难以欺骗的(例如,通过伪造数据而伪装为另一者以获得非法优势)。
传统上,在WPA/WPA2个人网络上,所有电子装置都提供有相同的口令,因此不能被唯一地认证。如下文所述,具有唯一口令的每个末端装置620可以被唯一地认证。此外,如果末端装置620被提供组DPSK口令,则可以将它们认证为属于该唯一组。因此,网络可以根据情况应用适合于每个末端装置620或该组电子或末端装置的策略(如VLAN分配)。该策略可以是条件、约束和设置(或规则)的集合,其允许指定谁被授权连接到网络以及他们可以连接的情况。
注意,IEEE 802.11标准下的规范详细描述了PSK的加密计算,PSK可以是DPSK口令的一部分。
图7-12呈现了流程图,其说明了根据本公开的实施例的用于使用图6的系统中的一个或多个电子装置发起实施云级组认证的方法700的示例。在图7中的操作710中,可以接通末端装置620-1(或者末端装置620-1可能已经在操作),并将其带到位置622-1的无线电范围内。末端装置620-1可能发现WLAN正由接入点618-1广播,并且识别到其已配置有用于该SSID或WLAN的口令,并且通过接入点618-1加入网络。在加入网络后,末端装置620-1可以开始口令认证。
然后,在操作712中,作为认证交换的一部分,可以被配置成为此WLAN提供DPSK认证的接入点618-1可以将认证请求发送至DPSK服务器610。在下面的描述中,使用RADIUS协议作为说明性示例。然而,应当理解,其它协议也可以用于认证请求,例如表述性状态转移(REST)协议、DIAMETER等。
在图8中的操作714中,DPSK服务器610可以通过接入点618-1从末端装置620-1接收请求。此外,在操作716中,DPSK服务器610可以检查末端装置620-1是否使用了与DPSK服务器610中配置的口令相同的口令。如果确定口令不匹配,则可以在操作718中拒绝认证。或者,如果DPSK服务器610成功地认证了末端装置620-1,则DPSK服务器610可以在操作720中获得与该特定口令相关联的EUI。注意,认证可以指由末端装置620-1提供并从口令导出的加密信息。
在图9中的操作722中,DPSK服务器610可以将认证请求和EUI转发至AAA服务器612,具有肯定确定或批准,即该末端装置620-1使用与DPSK服务器中配置的口令相同的口令。
在图10中的操作724中,AAA服务器612可以用EUI将最终用户名称的名称请求传输到用户DB 616。名称请求可以是用户DB 616和PM服务器614共有的任何事物。注意,在操作726中,用户DB 616可以用返回给AAA服务器612的最终用户名称进行响应。
在图11中的操作728中,AAA服务器612可以向PM服务器614传输针对分配给最终用户名称的位置(例如,酒店中的房间号)的位置请求。在操作730中,AAA服务器612可以从PM服务器614接收位置标识符消息作为响应。
在图12中的操作732之前,AAA服务器612可以在内部数据库或数据结构中查找分配给(从PM服务器614接收的)位置标识符的策略,以及要应用于末端装置620-1的网络连接的其它策略。在操作732中,AAA服务器612可以将包括策略的访问接受消息传输给DPSK服务器610。然后,在操作734中,DPSK服务器610可以将访问接受消息传输给接入点618-1。
操作730和732中的位置标识符和策略可以根据实施例而采取不同形式。在某些实施例中,策略可以是VLAN标识符。在这些实施例中,PM服务器614可以维护位置与分配给该位置的VLAN标识符之间的映射,或者另一网络装置(例如AAA服务器612或WLAN控制器)可以维护位置与分配给该位置的VLAN标识符之间的映射。在成功地向AAA服务器612进行认证之后,可以将末端装置620-1分配给VLAN。VLAN标识符可以通过AAA服务器612分配给末端装置620-1,并在认证响应中传达给NAS(例如接入点618-1)。此后,传输给末端装置620-1或从末端装置接收的帧和/或数字数据传输单元可以在分配的VLAN上转发。
在图7-12中的方法700的一些实施例中,可能存在额外或更少的操作。此外,可以改变操作的顺序,并且/或者可以将两个或更多个操作组合成单个操作。
在可以部署方法700的环境,例如酒店连锁店中的接待室中,可能需要在酒店的网络中配置与顾客房间一样多的VLAN。因此,每个顾客房间可以有其自己的VLAN,从而为分配给该房间的顾客提供PAN。当顾客入住酒店时,可以在其住宿期间向其分配VLAN/VLAN标识符。此外,在这种特定环境中,VLAN可以在以太网交换机之间中继,从而在整个网络中扩展VLAN。在此情境中,PAN可以与末端装置620一起“漫游”(例如,当末端装置620从接入点618中的一个接入点漫游到另一个接入点时,PAN可以保持不变)。
在其它实施例中,顾客可以携带自己的机顶盒,该机顶盒用作客户端装置并且被提供顾客的DPSK口令。在加入WLAN时,客户端装置也可以加入顾客的PAN。下文描述了这种结构的替代性实施例。
在某些实施例中,标识可以包括两个参数,即家庭集线器标识符和组标识符。家庭集线器标识符可以标识机顶盒626-1连接到的接入点618-1。注意,组标识符可以是分配给末端装置620的至少一子集的PAN标识符。
图6中示出了标识包括家庭集线器标识符和组标识符的实施例的示例。位置622-1中的末端装置620-1和620-2均与接入点618-1相关联。作为DPSK认证的结果,AAA服务器612可以通知接入点618-1接入点618-1是家庭集线器,并且末端装置620-1和620-2都是组标识符1的成员。接入点618-1可以在620-1与620-2之间在本地转发帧。属于分配到位置622-2的最终用户的末端装置620-3可以连接到接入点618-2或与其相关联。通过DPSK认证,可以通知接入点618-2末端装置620-3在组标识符1中并且家庭集线器是接入点618-1。由于接入点618-2具有其不是末端装置620-3的家庭集线器的信息,因此接入点618-2可以将来自末端装置620-3的帧朝向其家庭集线器转发。例如,接入点618-2可以使用移动隧道将帧转发到接入点618-1。
为了建立移动隧道,可以使用家庭集线器标识符来确定如何到达目的地(在先前的示例中是接入点618-1)。当家庭集线器终止移动隧道时,它可以缓存隧道发起者的网际协议(IP)地址。因此,当PAN成员具有要发送到经由移动隧道连接的PAN的另一成员的数据时,家庭集线器接入点可以知道将帧发送到何处。
在一些实施例中,一个或多个隧道协议可以用于移动隧道,例如但不限于:以太网IP(EoIP)、GRE、VXLAN或其它移动隧道技术或协议。
当隧道终止家庭集线器接收到封装在移动隧道中的帧时,它可以使用提供相互认证的隧道协议来验证隧道发起者的真实性。验证真实性的另一种方式是验证源IP地址是否绑定至(由网络管理员)授权的隧道发起者。这种验证可以通过接入点618-1查询WLAN控制器,以查看源IP地址是否属于接入点618-2,或验证接入点618-2是否具有属于分配给该家庭集线器的顾客的至少一个相关联末端装置620来进行。
在某些实施例中,标识可以包括两个参数,即组标识符和装置标识符。具有此标识的实施例的示例将是在末端装置620-1和620-2与接入点618-1相关联时。AAA服务器612可以在DPSK认证之后通知接入点618-1末端装置620-1和620-2都是组标识符1的成员。在关联期间,接入点618-1可以接收末端装置620-1和620-2的MAC地址。在转发来自给定末端装置的帧之前,此末端装置的MAC地址(以太网帧中的源MAC地址)可以被包括组标识符和装置标识符(表1中所示的示例)的MAC地址代替。在映射MAC地址之后,可以将帧转发到网络中。此外,一旦MAC地址被映射,该帧就可以被转发到它可以如往常一样被桥接/路由的有线网络中。
表1.
注意,MAC组织性唯一标识符可以具有224个MAC地址的范围。为了确保与网络上存在的任何其它MAC地址不存在冲突,可以例如从IEEE获得新的MAC组织性唯一标识符,并且将其用于MAC映射目的。例如,如上文所论述的,可以为组标识符保留两个字节,并且可以为装置标识符保留一个字节。然而,其它映射的MAC地址格式也是可能的。可以如何说明此映射的另一示例是,如果MAC组织性唯一标识符为f0:b0:52,接着如果末端装置620-1被分配至位置622-1并且装置标识符为9,则映射的MAC地址将为f0:b0:52:00:01:09。
此外,如果末端装置620-1具有要发送至末端装置620-2的帧,则接入点618-1可以接收该帧,如先前所述映射帧的源MAC地址,并且通过检查帧中的目的地MAC地址来确定该帧指向末端装置620-2。因为接入点618-1从DPSK认证知道末端装置620-1是组标识符1的成员,并且因为映射的源MAC地址具有匹配的组标识符,所以接入点618-1可以将该帧转发至末端装置620-1。然而,如果映射的MAC地址中的组标识符与目的地装置的组标识符不匹配,则接入点618-1将过滤或丢弃该帧。
为了进一步说明顾客的PAN的操作,属于分配到位置622-2的顾客的末端装置620-3可以连接到接入点618-2或与其相关联。作为DPSK认证的结果,可以通知接入点618-2末端装置620-3在组标识符1中,该组标识符是分配给停留在位置622-1的顾客的组。末端装置620-3可以具有要发送至末端装置620-1的帧。接入点618-2可以接收帧,映射帧的源MAC地址,并且通过检查目的地MAC地址来确定帧被指向除了与接入点618-2无线地相关联的末端装置之外的末端装置。因此,接入点618-2可以依靠酒店中的有线网络将帧从其以太网接口转发出去,以使帧到达正确的接入点。当接入点618-1接收到帧时,通过检查目的地MAC地址,接入点618-1可以意识到该帧指向末端装置620-1。因为接入点618-1知道末端装置620-1是组标识符1的成员,并且该组标识符1是源(映射的)MAC地址中的组标识符,所以接入点618-1可以将帧转发至末端装置620-1。如果从帧的源(映射的)MAC地址提取的组标识符不是组标识符1,则接入点618-1已经过滤了该帧。
此外,为了理解帧转发,在替代实施例中,理解地址解析协议(ARP)在与映射的MAC地址一起使用时如何工作可能很重要。考虑末端装置620-3具有要发送至末端装置620-1的帧的上述情况。末端装置620-3可以知道末端装置620-1的IP地址,但在过程开始时并不知道其MAC地址。因此,末端装置620-3可以发送ARP请求,从而请求网络提供与末端装置620-1的IP地址相对应的MAC地址。当ARP请求到达末端装置620-1时,末端装置620-1将发送包含其MAC地址的ARP回复。
由于网络转发至少部分地基于末端装置620-1的映射的MAC地址,因此接入点618-1可以用其映射的MAC地址代替ARP响应有效载荷内的末端装置620-1的MAC地址。因此,末端装置620-3现在具有末端装置620-1的映射的MAC地址。一旦完成ARP交换,末端装置620-3就可以在其自身MAC地址作为源MAC地址且末端装置620-1的映射的MAC地址作为目的地MAC地址的帧中发送其消息。发送帧的末端装置620-3以及网络通过其映射的MAC地址而不是其原生MAC地址知道目的地装置。因此,当帧到达接入点618-1时,接入点618-1可以知道末端装置620-1是组标识符1的成员,并且可以用末端装置620-1的原生MAC地址代替帧中的目的地MAC地址。否则,末端装置620-1将过滤该帧。
在前述实施例中,末端装置620-1发送了ARP回复,然而,作为代理ARP服务,ARP回复可以由接入点618-1发送。映射的MAC地址选项以相似的方式与IPv6邻居请求一起工作。
此外,在具有映射的MAC地址的前述实施例中,可以如下确定装置标识符。由于网络上的末端装置620的MAC地址必须是唯一的,因此提供装置标识符的实体必须确保从给定末端装置的原生MAC地址到其映射的MAC地址的唯一映射。此外,由于组标识符对于每个最终用户或顾客将是唯一的,因此可以将唯一的装置标识符值提供给用户的每个末端装置,从而确保没有装置标识符是重复的。这可以通过几种方式处理。
AAA服务器612可以保持用户的每个末端装置620的列表(其可以持久地存储在用户DB 616或AAA服务器612中)。此列表可以包括每个MAC地址的唯一装置标识符。只要单个最终用户没有例如超过256个末端装置,这就可以很好地起作用。如果出现超过256个末端装置,AAA服务器612可以从列表删除上一次向网络认证时具有最早日期/时间(并且因此用户可能不再使用)的末端装置。
此外,AAA服务器612可以保持每个用户的活动会话的列表。将存在与用户已加入网络的每个末端装置相对应的活动会话。因为标准实践是限制特定用户的末端装置的最大数量,所以AAA服务器612可以确保会话的数量总是小于装置标识符允许的末端装置的数量(在本示例中,为256个装置)。如果末端装置与网络取消关联,则其会话也将被删除,并且先前使用的装置标识符现在可以重新用于不同的末端装置。
在一些实施例中,应注意,WLAN控制器可以执行先前论述中描述的功能,而不是AAA服务器612的功能。
此外,在一些实施例中,标识可以包括VLAN标识符。然而,当接入点618-1接收到VLAN标识符时,其可以被接入点618-1解释为客户VLAN(C-VLAN)标识符。此外,单个VLAN可以在以太网交换机624上配置,并在整个网络中中继。在一些实施例中,网络中的接入点618可以被配置成使用IEEE 802.1ad(有时称为QinQ)。值得注意的是,外部VLAN或服务VLAN(S-VLAN)可以被配置成与以太网交换网络具有相同的VLAN标识符。AAA服务器612可以动态地分配内部VLAN或C-VLAN。每个PAN可以具有分配的唯一的C-VLAN标识符。事件的序列可以与VLAN标识符相同。接入点618-1可以转发来自末端装置620-1的帧,并且可以至少部分地基于给定帧的目的地MAC地址采取两个动作中的一个动作。如果MAC地址是PAN成员的MAC地址,则接入点618-1可以将C-VLAN标签和S-VLAN标签添加到帧,并且可以将帧向上游转发。如果目的地MAC地址是默认路由器的MAC地址,则可以只添加S-VLAN标签。在接收到帧时,交换/路由基础设施可以将帧朝向其目的地转发。
在某些实施例中,DPSK服务器610、AAA服务器612、PM服务器614和/或用户DB 616可以是单个服务器的一部分。然而,至少有几个原因导致服务器可能保持分离。将DPSK服务器610保持为独立的网络实体可以有助于支持服务缩放。此外,用户DB 616越大,DPSK池也越大。此外,当有许多DPSK需要检查时,为找到认证装置的匹配口令的计算负荷增加。通过在云中实现的DPSK服务器610,处理计算工作量的服务器的数量可以根据需要动态增加或减少。当DPSK服务器610在与AAA服务器612相同的网络装置中实现时,服务器不能根据其自身的计算工作量单独进行缩放。然而,在其它实施例中,将DPSK认证和授权组合到单个网络装置中可能是有利的,并且如果实现,可以被称为AAA服务器。
可以处理方法700的环境的示例是连锁酒店的接待处。一些连锁酒店拥有数百个场所,同时为成千上万的顾客提供食宿娱乐服务。云级系统可以在其顾客选择加入酒店的网络的任何时候为顾客提供认证性能。另外,包括整个家庭的顾客可以共享同一PAN,但网络可以例如通过将不同于家长的策略应用于儿童来防止儿童访问成人内容。顾客可以将他们的末端装置620携带到酒店。如果他们是忠诚计划的一部分,他们的信息可以包括在用户DB 616中。一旦向顾客分配房间(例如,位置622-1),他们的末端装置620就可以连接到因特网,并且加入通过分配给该特定房间的接入点(例如,接入点618-1)连接的网络。机顶盒626中的一个和/或电视628中的一个也可以为分配给其PAN的空间的一部分。然后,顾客可以从他们的末端装置投影到电视,例如,不必担心它会在另一房间的另一台电视上播放。当使用机顶盒时,可以使用位置622处的机顶盒626,或者顾客可以随末端装置620一起提供一个或多个机顶盒626。注意,机顶盒626可以连接到相应的电视628。
请注意,通过具有将多个DPSK池配置成具有不同策略的系统,新服务可能变得切实可行。例如,如先前所述,当顾客(例如家庭)入住酒店时,家长可能被给予提供与提供给儿童的DPSK口令不同的策略的DPSK口令。整个家庭可以共享PAN,因为系统跟踪到两个口令都属于单个家庭的成员,但PAN可以防止儿童访问成人内容。家长和儿童使用的口令可以提前生成并持久地存储在用户DB 616中。
在一些实施例中,机顶盒626中的一个(例如机顶盒626-1)可以连接到位置622-1处的接入点618中的一个(例如接入点618-1)和电视628中的一个(例如电视628-1)上的以太网端口。在另一位置622-2中,机顶盒626-2可以连接到接入点618-2上的以太网端口,并且还连接到电视628-2,在网络内的每个附加位置处继续。换句话说,所公开的通信技术可以与有线和/或无线电子装置一起使用。
在一些实施例中,图6中的系统可以具有更少或附加的电子装置或部件,两个或更多个电子装置或部件可以组合成单个电子装置或部件,单个电子装置或部件可以分成两个或更多个电子装置或部件,和/或给定电子装置或部件的位置或定位可以改变。
在一些实施例中,该通信技术可以用于例如在食宿娱乐服务和/或其它细分市场中提供安全通信。在该通信技术中,动态地创建PAN以提供顾客的电子装置与网络(例如因特网)之间的互连性,同时将它们与和其它顾客相关联的通信隔离。此外,在该通信技术中,识别应将哪些电子装置分组在一起以形成PAN。然后,在接入点和以太网基础设施(例如交换机和路由器)上执行转发策略,以确保只有共同PAN的成员可以在它们之间转发流量。
为了识别哪些电子装置应形成单个PAN,可以向每位酒店顾客提供口令(例如PSK、DPSK或另一种类型的数字证书)。例如,口令可以包括组DPSK口令或组口令。注意,具有DPSK口令的每个装置(或共享组DPSK口令的一组电子装置)可以唯一地被认证。由于它们能够被认证,所以网络可以应用适合于该电子装置(或一组电子装置,视情况而定)的策略(例如,VLAN分配)。这与WPA/WPA2个人网络不同,在该个人网络中,该网络上的所有电子装置都被提供相同的口令,因此无法进行唯一认证。
使用组口令,一个或多个电子装置(组)可以得到完全相同的口令。使用相同组口令向WLAN认证的所有电子装置均可以从网络接收相同的服务。例如,所有电子装置都可以放置在相同的VLAN上,获得访问LAN上的某些服务器的权限,被剥夺访问其它服务器的权限和/或有权以某个最大速度(以位/秒为单位)访问因特网。组口令可能方便且易于使用,因为可以向一位酒店顾客(例如,忠诚客户)给予或提供单个口令,而该个人继而可以将口令提供到他们携带(或计划携带)到酒店的所有电子装置中。注意,基础设施通常不知道已经被提供组口令的电子装置的MAC地址。这意味着顾客无需告知酒店其电子装置的MAC地址。事实上,很多顾客甚至不知道MAC地址是什么,或者在装置上的哪里查找MAC地址。其次,缺少MAC地址通常使组口令的认证在计算上更困难,因为基础设施(例如,AAA服务器)不能简单地使用MAC地址作为数据库密钥在数据库或数据结构中查找口令。相反,基础设施可以采用加密技术,以从口令的集合(有时称为“池”)找到匹配口令。然而,可以使用多种认证技术。
例如,虽然DPSK认证是单个电子装置可以被识别、随后被授权并放置在共同PAN上的一种方法,但另一种认证技术是(使用多种不同的可扩展认证协议技术的)IEEE 802.1X认证。这两种认证技术都是安全的,并且如果正确实施/部署,则难以欺骗。另一种认证技术是MAC地址认证。在此认证技术中,当电子装置向网络提供已知MAC地址时,可以认为该电子设备已得到认证。然而,这种认证技术不安全,因为MAC地址容易被骗取。因此,在许多使用情况下,不使用MAC地址认证,即使其可以用于将公共策略应用于一组电子装置,例如将这些电子装置放置在共同PAN上。
通信技术的另一个方面是云级操作。本公开承认DPSK口令实际上是认证凭证。在现有方法中,它们已被用作所谓的“第二类”凭证,其对于单个WLAN(或SSID)上的认证是有用的。然而,没有理由这样限制它们。如果由网络基础设施部件正确实施,则DPSK口令可以用于认证任何数量的SSID上的电子装置。
在该通信技术中,通过将共享公共策略的DPSK口令形成为DPSK池,(由池标识符标识的)池可以简化用户策略在WLAN中的应用。这可以使DPSK口令更容易用作多个WLAN的认证凭证。
此外,通过在WLAN与池标识符之间创建数据库或数据结构绑定,基础设施可以将DPSK认证问题(例如通过从已提供的口令集合确定特定末端装置使用的口令)划分为较小计算工作量的集合。这可以实现高效率的云级计算,其中计算节点可以随着由DPSK认证服务提供服务的池和/或WLAN的数量增加/减少而容易地添加/删除。一般来说,这将比将所有口令放入单个大池中更有效率。
此外,通过具有这样的系统,在其中将多个DPSK池配置成具有不同策略是简单的,新服务的部署可能变得切实可行。例如,当顾客及其家庭入住酒店时,家长可能被给予提供与提供给儿童的DPSK口令不同的策略的DPSK口令。这样一来,整个家庭可以共享同一PAN(因为基础设施跟踪发现两个口令都属于单个家庭的成员),但网络阻止儿童访问成人内容(例如,网络可以对儿童应用与家长不同的策略)。或者,家长和儿童的口令可以事先计算,并持久地存储在忠诚客户或用户数据库中。
此外,一些大型连锁酒店拥有数百个场所,同时为成千上万的顾客提供食宿娱乐服务,并且全球有许多不同的连锁酒店。因此,云级系统可以在其顾客选择加入酒店的网络的任何时候为其所有顾客提供优异的(第二)认证性能。
对于大型连锁酒店而言,忠诚客户数据库的大小(即,忠诚客户的数量)可能相当庞大(数百万用户)。为了减少DSPK认证的计算工作量,DPSK池可以被细分。例如,可以存在包括仅住在特定酒店位置(例如,仅位于旧金山的酒店)的顾客的口令的DPSK池。那么,将大大减少为了找到匹配口令而搜索的口令的数量。当顾客入住或离开酒店时,或者当顾客预订时,可以动态更新这样的DPSK池。
为了进一步减少DPSK认证的计算工作量,可以在忠诚客户数据库中保存MAC地址到DPSK口令绑定。例如,当顾客电子装置加入酒店的WLAN时,网络可以在此电子装置上执行DPSK认证。在成功认证后,DPSK服务器可能已经获知电子装置的MAC地址和口令。在后续装置认证上,无论是在相同或不同的住宿,还是在相同或不同的酒店,DPSK服务器都可以尝试查找保存在忠诚客户数据库中的匹配MAC地址以及先前的匹配口令。大多数情况下,电子装置可以继续使用相同的口令。因此,DPSK认证请求的计算工作量从对大的口令表执行加密计算(以便找到匹配口令)减少到数据库查找,随后进行单次口令验证(以便确认相同的口令仍用于当前认证请求)。以这种方式使用忠诚客户数据库可以显著提高系统性能。
在一些实施例中,不同的酒店经营者可以至少部分地基于其网络设计而使用不同的解决方案。例如,酒店经营者可以提供将室内WLAN/LAN连接到电视机的机顶盒。在这种情况下,当顾客入住酒店并被分配到特定房间时,顾客的PAN可以包括该房间而不是其它房间中的机顶盒(例如,可以与其互连)。这可以确保发送到电视的视频源自顾客的电子装置,而不是源自不同顾客的电子装置(否则,可能无意中显示来自不同顾客的电子装置的成人内容)。
在另一部署场景中,酒店经营者可以不提供机顶盒。相反,顾客可以携带自己的(例如,苹果电视)并可以将其连接到电视。在此场景中,顾客的PAN可能不需要与他们的房间分配绑定。
此外,在一些实施例中,可以使用动态VLAN分配来实现动态PAN。在动态VLAN分配中,在成功地向WLAN进行认证(或更准确地说,向AAA服务器进行认证)之后,可以将末端装置分配给VLAN。然后,VLAN标识符可以由AAA服务器分配并在认证响应中传送到NAS(例如接入点)。此后,传输到此电子装置或从此电子装置接收的所有帧均可以在分配的VLAN上被转发。
酒店经营者可能需要在其场所的网络中配置与顾客房间一样多的VLAN。每个顾客房间都可以有其自己的VLAN,由此便于分配给该房间的顾客的PAN。当顾客入住酒店时,可以向他们分配VLAN或VLAN标识符以供他们在住宿期间使用。请注意,此VLAN可能不需要绑定到房间(除非房间包括机顶盒),但酒店中的网络管理员仍可以使用该绑定(例如,为了方便)。
如果酒店经营者希望使用该通信技术,他们的网络管理员可能必须在酒店中配置许多VLAN,并通过网络将它们中继起来。它们可能需要在任何地方被中继,使得不管顾客在整个酒店内走到哪里,他们的PAN都可以随着他们“漫游”(因此,当他们的移动电子装置从接入点漫游到接入点时,PAN可以保持不变)。此外,酒店经营者可以配置其基础设施以支持广泛的VLAN配置,配置DHCP服务器以为每个VLAN/IP子网分配IP地址,为每个VLAN配置默认路由器等。
由于在整个场所中配置VLAN的复杂性,该通信技术可以包括更容易部署的VLAN的替代方案。值得注意的是,网络可以使用移动隧道和网络对末端装置的MAC地址的修改(映射到新的MAC地址)。但是,这些方法不能要求更改末端装置。
在实现通信技术的系统(例如图6)中,DPSK服务器可以使用DPSK认证来认证末端装置。DPSK服务器可以具有其中保持用户标识符及其DPSK口令的数据库。此外,AAA服务器可以授权末端装置,并选择NAS要应用的策略。AAA服务器可以访问用户账户、PM服务器和忠诚客户数据库。
此外,除执行其它功能之外,酒店经营者还可以使用PM服务器来保持包含每位顾客已被分配的房间号的数据库或数据结构。另外,忠诚客户数据库可以包括酒店的忠诚/频繁客户(例如已注册酒店忠诚计划的客户)的数据库。该忠诚客户数据库可能能够持久地存储DPSK口令以及忠诚客户及其家庭成员使用的电子装置或末端装置的MAC地址。
另外,如先前所论述的,接入点可以实现IEEE 802.11无线接口和以太网(以太网、以太网II或有线IEEE 802.3)接口。在本论述中,接入点可以被理解为意指可能与WLAN控制器或不与WLAN控制器一起操作的接入点。
在系统操作期间,接入点可能已经通过其控制器进行配置以广播酒店的SSID。在空中,所广告的安全性可以是WPA个人的或WPA2个人的。
然后,顾客可以打开他们的无线电子装置,或者可以将已经在操作的电子装置携带到他们的房间中,并且因此进入酒店的接入点中的一个的无线电范围。无线电子装置可以发现接入点正在广播的WLAN,可以意识到其(电子装置)已经配置有针对该SSID的PSK(或口令),并且可以加入网络。在加入网络后,电子装置可以开始PSK认证。
作为认证交换的一部分,已被配置成为此WLAN提供DPSK认证的接入点可以向DPSK服务器发送认证请求。注意,虽然该通信技术可以使用RADIUS协议,但应理解,其它协议,例如,DIAMETER或超文本传输协议或HTTP(例如,REST协议)也可以用于认证请求。RADIUS中的认证请求消息可以被称为访问请求消息,响应可以被称为访问接受(许可)或访问拒绝(否决)消息。如果DPSK服务器成功地认证了电子装置或末端装置(例如,DPSK服务器已经配备有与电子装置使用的DPSK口令相同的DPSK口令),则DPSK服务器可以查找与此口令相关联的最终用户标识符。然后,DPSK服务器可以将可以包括最终用户标识符的认证请求转发至AAA服务器。
AAA服务器可以查询忠诚客户或用户数据库,从而提供用户标识符。忠诚客户数据库可以用顾客的姓名进行回复。
请注意,在某些部署中,AAA服务器可能已存在。当添加DPSK认证时,如果实现为独立的网络实体(例如,服务器),它可以最小化对AAA服务器的任何改变。AAA服务器可以继续负责授权,并且可以决定是否接受成功认证的电子装置,以及为此电子装置选择适当的策略。
将DSPK服务器作为独立的网络实体保持的另一个原因是服务缩放。对于拥有非常大忠诚客户数据库的大型连锁酒店而言,DPSK池通常也非常大。这样一来,用于找到匹配口令以认证电子装置的计算工作量可能相当大。当在云中实现DPSK服务时,处理计算工作量的服务器的数量可以根据需要动态增加(或减少)。如果DPSK服务在与AAA服务器相同的网络装置中实现,服务器无法根据其自身的计算工作量单独地进行缩放。
在一些部署中,可能有利的是将DPSK认证和授权组合到单个网络装置中,这可以被称为AAA服务器。
接下来,AAA服务器可以查询PM服务器以获取分配给该顾客的房间号。在一些部署中,PM服务器可以维护房间号与分配给该房间的VLAN标识符(例如VLAN标识符10)之间的映射。在这种情况下,PM服务器可以返回VLAN标识符而不是房间号。在其它部署中,另一网络装置(例如,AAA服务器或控制器)可以维护房间号到VLAN标识符的映射。如果映射在AAA服务器中,则AAA服务器可以至少部分地基于PM服务器提供的房间号查找VLAN标识符。请注意,如果酒店经营者向其顾客提供室内机顶盒,PM服务器可以维护房间号到VLAN标识符的映射,其中(特定VLAN标识符的)VLAN可以访问室内电视,而不可以访问其它房间里的电视。然而,如果酒店经营者不提供室内机顶盒,则PM服务器可能只需要保持分配给每位顾客的VLAN标识符的绑定即可。在一些实施例中,可能最多有4,096个VLAN标识符,因此可能需要持续、定期或根据需要更新此表。
此外,AAA服务器可以向接入点发送包括顾客房间的VLAN标识符的访问接受消息。在一些实施例中,AAA服务器可以根据RFC-3580使用一个或多个RADIUS隧道属性来传送分配的VLAN标识符。
请注意,接入点可能已针对动态VLAN进行配置(例如,接入点可以接受来自AAA服务器的VLAN标识符,并用此标签来标记来自经认证的电子装置的帧),并且以太网交换机可能已被配置成使得酒店中使用的VLAN可以在交换机端口上进行中继(这可以确保无论顾客的电子装置与哪个接入点进行认证,此接入点都可以使用VLAN标识符和接入点连接到的交换机端口来标记帧,从而交换机将接受标记的帧,并在VLAN内部转发它们)。
此外,房间1中的第一末端装置在向酒店中的Wi-Fi网络进行认证后可以被放置在特定VLAN(如VLAN 10)上。当属于房间1中的顾客的第二末端装置与房间2中的另一接入点相关联并且向Wi-Fi网络进行时,它也可以被放置在VLAN 10上,从而形成PAN。由此,无论顾客在酒店的Wi-Fi网络的何处携带末端装置,都可以维持此PAN。
另外,第一机顶盒可以连接到房间1中的接入点上的以太网端口,也可以连接到该房间中的第一电视(通常通过HDMI)。此以太网端口可以被配置成VLAN 10的基于端口的成员。因此,发送至第一机顶盒的帧只能从VLAN标识符10转发,并且只能由也在VLAN标识符10上的顾客的末端装置访问。请注意,并非始终需要机顶盒向电视流式传输视频。例如,在某些部署中,电视可以符合数字生活联盟(DLNA),并且实现DLNA标准的视频源可以将视频(例如以太网帧)直接流式传输到电视。因此,应理解,机顶盒的使用仅用于说明性目的。
虽然该通信技术以AAA服务器、PM服务器和忠诚客户数据库作为单独的部件进行了说明,但应理解,忠诚客户数据库可以集成到AAA服务器或PM服务器中。
在某些部署中,为整个资产中的许多VLAN配置以太网交换机可能被认为对网络管理员造成过重的负担。因此,可以使用几种替代方案,包括一些不包括VLAN的替代方案。
第一替代方案被称为隧道式PAN替代方案。如先前所述,此替代方案中未使用VLAN。事件的序列与上述相同,但是,AAA服务器可以返回两个参数:家庭集线器标识符和组标识符,而不返回VLAN标识符。家庭集线器标识符可以是用于家庭集线器的标识符。值得注意的是,家庭集线器可以是机顶盒连接到的接入点。家庭集线器的作用可以是将来自顾客的末端装置中的一个的帧转发至顾客的PAN中的一个或多个其它末端装置,并且过滤(或丢弃)从不在顾客的PAN中的电子装置发送的帧。如先前所述,如果酒店经营者提供机顶盒,可以将顾客的末端装置分配到服务于顾客被分配到的房间的家庭集线器。
家庭集线器标识符到房间号的绑定通常由PM服务器维护(如先前所论述的,其也可以由AAA服务器或控制器维护)。如果酒店经营者已为每个房间部署了一个接入点,则家庭集线器标识符可以指房间中的接入点。然而,如果几个房间共享接入点,那么家庭集线器标识符可能是最靠近(以跳数测量)给定房间的共享接入点。它可能是最靠近该房间的接入点的原因是大部分PAN内流量可能源于室内,朝向也在房间中的目的地末端装置。通过使接入点保持靠近该房间,可以减少或最小化酒店的网络中的分配层中的流量(例如,这可以使流量保持在接入层中)。请注意,这是一种优化,因为家庭集线器原则上可以是酒店的网络中的任何接入点。因此,例如,如果最靠近顾客房间的接入点出现故障,则可以将附近的另一接入点指定为家庭集线器。
AAA服务器还可以返回组标识符。组标识符可以是顾客的末端装置被分配到的PAN标识符。网络可以仅将帧从一个组成员转发到其它组成员或朝向因特网转发。注意,如果第一机顶盒无线(而不是使用以太网)连接到房间1中的接入点,则它也可以使用DPSK认证,并且以类似的方式,可以由AAA服务器分配给此房间的组标识符。因此,它将是分配给该房间的顾客的PAN的成员。
例如,假设房间1中的第一末端装置和第二末端装置与此接入点相关联。作为DPSK认证的结果,AAA服务器可以通知接入点它是家庭集线器,并且两个末端装置都是组标识符1的成员。这样一来,接入点可以在第一末端装置与第二末端装置之间在本地转发帧。现在,假设第三末端装置(属于分配到房间1的顾客)连接到房间2中的接入点。作为DPSK认证的结果,可以通知此接入点第三末端装置在组标识符1中,并且家庭集线器是房间1中的接入点。由于房间2中的接入点现在知道它不是第三末端装置的家庭集线器,因此它可以将帧从第三末端装置转发到家庭集线器。一旦家庭集线器接收到帧,家庭集线器就可以负责将该帧转发至该组中的目的地末端装置(对于单播帧而言),或者将帧洪泛(复制)到所有组成员(对于广播和多播帧而言)。
房间2中的接入点可以使用移动隧道将帧转发到房间1中的接入点。在移动隧道中接收到的帧可以由房间1中的接入点解封(以便获得由房间2中的接入点传输的原始以太网帧),然后可以被转发到目的地末端装置。
为了建立移动隧道,隧道发起者(在本示例中是房间2中的接入点)需要知道如何到达隧道目的地(在本示例中是房间1中的接入点)。家庭集线器标识符可以用于确定这一点。家庭集线器标识符有几个选项。例如,家庭集线器标识符可以设置为房间1中的接入点的IP地址。在这种情况下,在接收到家庭集线器标识符时,隧道发起者知道隧道目的地。其它示例可以包括将家庭集线器标识符设置为接入点的名称或接入点的NAS标识符。如果使用这些选项中的一个,则接入点可以使用家庭集线器标识符作为查询参数查询控制器以找到或获得接入点的IP地址。或者,如果控制器正用作RADIUS代理,它可以将家庭集线器接入点的IP地址作为属性插入访问接受消息中,然后将其转发到NAS客户端/家庭集线器(在本示例中为房间2中的接入点)。
当家庭集线器终止移动隧道时,它可以缓存(或记住)隧道发起者。因此,当PAN成员具有要发送到经由移动隧道连接的另一个PAN成员的数据时,家庭集线器接入点可以知道将帧发送到何处(例如,它必须使用移动隧道,以及如果当前建立了多于一个移动隧道,则使用哪个移动隧道)。
有许多隧道协议可以用于移动隧道。例如,隧道协议可以包括EoIP。在此协议中,隧道发起者(房间2中的接入点)接收到的以太网帧可以嵌入RFC-2784,GRE中定义的IP分组中。或者,可以使用GRE的专有版本。在一些实施例中,隧道协议可以包括根据RFC-7348的VXLAN。
当终止家庭集线器的隧道接收到封装在移动隧道中的帧时,它可以验证隧道发起者的真实性(出于安全原因,例如以确保攻击者不试图侵犯PAN限制)。有几种方式来实现这一点。一种方式是使用提供相互认证的隧道协议。另一种方式是隧道终止者验证源IP地址是否绑定至(由网络管理员)授权的隧道发起者。在这种情况下,隧道终止者(房间1中的接入点)可以查询控制器,以查看源IP地址是否属于隧道发起者(房间2中的接入点)。更有力的检查是验证隧道发起者是否拥有属于分配给该家庭集线器的顾客的相关联的末端装置。
隧道式PAN替代方案的变体使用层-3路由,而不是交换,并以类似方式操作。在这种情况下,每个接入点/家庭集线器都可以结合默认路由器和动态主机控制协议(DHCP)服务器功能。当第一末端装置加入时,可以通过RADIUS访问接受消息通知其服务的接入点(在房间1中)它是此末端装置的家庭集线器。因此,当它从第一末端装置接收到DHCP请求时,它可以分配IP地址。当第三末端装置加入房间2中的接入点时,可以通知此接入点房间1中的接入点是家庭集线器。因此,房间2中的接入点可以创建通往房间1中的接入点的代理移动IP(PMIP)隧道(或另一个IP-in-IP隧道),并且可以将分组或帧从第一末端装置隧道传输到接入点1。因此,对于第一末端装置而言,它可能看起来像位于由房间1中的接入点的默认路由器服务的IP子网中。
第二替代方案被称为映射的MAC地址替代方案。如先前论述的,此替代方案中未使用VLAN。AAA服务器可以返回组标识符以及任选地装置标识符,而不返回VLAN标识符。请注意,装置标识符可以由或可以不由AAA服务器提供。例如,控制器可以例如通过在将装置标识符转发至NAS客户端/接入点之前将其作为属性插入访问接受消息中来提供装置标识符。
例如,假设第一末端装置和第二末端装置与房间1中的接入点相关联。作为DPSK认证的结果,AAA服务器可以通知房间1中的接入点两个末端装置都是组标识符1的成员。在关联过程期间,接入点可以获知第一末端装置和第二末端装置的MAC地址。在此替代方案中,当与顾客的末端装置相关联的接入点(房间1中的接入点)从顾客的末端装置接收帧时,在转发该帧之前,它可以用不同的MAC地址替换末端装置的MAC地址(以太网帧中的源MAC地址),所述不同的MAC地址可以部分地包括组标识符和装置标识符。在这样映射(或替换或修改)MAC地址之后,该帧可以在它如往常一样被桥接或路由的有线网络中转发。
如表1中所示,映射的MAC地址可以包括MAC组织性唯一标识符、组标识符和装置标识符。注意,MAC组织性唯一标识符具有224个MAC地址的范围。为了确保与酒店的网络上存在的任何其它MAC地址没有冲突,可以(例如从IEEE)获得新的MAC组织性唯一标识符,并且将其用于MAC映射目的。在此示例中,已经为组标识符保留了两个字节(容纳酒店中的最多6,5535个房间),并且已经为装置标识符保留了一个字节(容纳每位顾客的256个末端装置)。然而,其它映射的MAC地址格式是可能的。在一些实施例中,如果MAC组织性唯一标识符为f0:b0:52,则第一末端装置被分配给房间1(组标识符1),并且装置标识符为9,其映射的MAC地址可以为f0:b0:52:00:01:09。
假设第一末端装置具有要发送至第二末端装置的帧。接入点可以接收该帧,可以如先前所述映射该帧的源MAC地址,并通过检查帧中的目的地MAC地址,可以确定该帧是指向第二末端装置的。因为接入点(从DPSK认证)知道,末端装置是组标识符1的成员,并且因为映射的源MAC地址具有匹配的组标识符,所以接入点可以将帧转发至第二末端装置。然而,如果映射的MAC地址中的组标识符与目的地装置的组标识符不匹配,则接入点将过滤(或丢弃)该帧。
为了进一步说明顾客的PAN的操作,假设第三末端装置(属于分配到房间2的顾客)连接到房间2中的接入点。作为DPSK认证的结果,可以通知房间2中的接入点第三末端装置在组标识符1中(分配给房间1中住宿的顾客的组)。现在假设第三末端装置具有要发送至第一末端装置的帧。房间2中的接入点可以接收该帧,可以映射该帧的源MAC地址,并且通过检查目的地MAC地址,可以确定该帧指向除了与房间2中的接入点无线关联的末端装置之外的末端装置。因此,房间2中的接入点可以依靠酒店中的有线网络将该帧从其以太网接口转发出去,以使该帧到达正确的接入点(使第一末端装置与其相关联的接入点)。当房间1中的接入点接收帧时,通过检查目的地MAC地址,房间1中的接入点可以意识到该帧指向第一末端装置。因为房间1中的接入点知道第一末端装置是组标识符1的成员,并且组标识符1是源(映射的)MAC地址中的组标识符,所以房间1中的接入点可以将该帧转发至第一末端装置。不过,如果从帧的源(映射的)MAC地址提取的组标识符不是组标识符1,则房间1中的接入点已过滤了该帧。
为了完成对帧转发的解释,理解ARP在与映射的MAC地址替代方案一起使用时如何工作可能是有用的。再次考虑当第三末端装置具有要发送至第一末端装置的帧时的情况。在此过程开始时,第三末端装置可能知道第一末端装置的IP地址,但不知道其MAC地址。因此,第三末端装置可以发送ARP请求,请求网络提供与第一末端装置的IP地址对应的MAC地址。当ARP请求到达第一末端装置时,第一末端装置可以发送包含其MAC地址的ARP回复。如先前所述,因为网络转发可以至少部分地基于第一末端装置的映射的MAC地址,房间1中的接入点可以用映射的MAC地址替换ARP响应有效载荷内的第一末端装置的MAC地址。因此,第三末端装置现在可以具有第一末端装置的映射的MAC地址。既然已经完成了ARP交换,第三末端装置就可以在其自身MAC地址作为源MAC地址且第一末端装置的映射的MAC地址作为目的地MAC地址的帧中发送其消息。于是,发送帧的末端装置和网络都通过其映射的MAC地址而不是其原生MAC地址知道目的地装置。因此,当帧到达房间1中的接入点时,房间1中的接入点知道第一末端装置是组标识符1的成员,可以用第一末端装置的原生MAC地址替换帧中的目的地MAC地址(否则,第一末端装置会过滤该帧)。
在前面的讨论中,第一末端装置发送了ARP回复。或者,ARP回复可能已经由房间1中的接入点(例如,使用代理ARP服务)发送。在这种情况下,房间1中的接入点将使用第一末端装置的映射的MAC地址生成ARP回复有效载荷。在一些实施例中,可以以类似的方式使用IPv6邻居请求。
此外,为了完成对映射的MAC地址替代方案的解释,讨论可以如何确定装置标识符。由于网络上的电子装置的MAC地址必须是唯一的,因此提供装置标识符的实体可以确保从电子装置的原生MAC地址到其映射的MAC地址的唯一映射。此外,由于组标识符对于住在酒店的每位顾客都是唯一的,因此可以将唯一的装置标识符值提供给顾客的每个电子装置,从而确保没有装置标识符是重复的。有多种方法可以实现这一点。
值得注意的是,AAA服务器可以保持每位顾客的末端装置列表(持久地存储在忠诚卡数据库或AAA服务器中)。在该列表中,每个MAC地址可能都有唯一的装置标识符。只要单个顾客没有超过256个末端装置,这种方法就可以有效。不过,如果发现超过256个末端装置,服务器可以从列表删除上一次向网络进行认证时具有最早日期/时间(并且因此用户可能不再使用)的末端装置。
或者,AAA服务器可以保持每位顾客的活动会话列表。将有与顾客已加入网络的每个末端装置对应的活动会话。此外,因为可以限制特定顾客的末端装置的最大数量,所以AAA服务器可以确保会话的数量总是小于装置标识符允许的末端装置的数量(在前一示例中,为256个末端装置)。如果顾客的末端装置与网络取消关联,则其会话也可能被删除,并且先前使用的装置标识符现在可以重新用于不同的末端装置。在一些实施例中,控制器可以代替AAA服务器执行这些操作。
第三种替代方案被称为QinQ替代方案。这种替代方案可以使用VLAN,但可以提供与先前描述的不同的VLAN用法。在QinQ替代方案中,可以在以太网交换机上配置单个VLAN,并在酒店的整个网络中中继该单个VLAN。网络中的接入点可以被配置成使用QinQ。值得注意的是,外部VLAN或S-VLAN可以被配置成与以太网交换网络具有相同的VLAN标识符。AAA服务器可以动态地分配内部VLAN或C-VLAN。
在QinQ替代方案中,事件的序列可以与先前描述的相同。然而,由AAA服务器返回的VLAN标识符可以由接入点解释为C-VLAN标识符。因为PAN正在与顾客的无线末端装置互连,所以可以为每位顾客的PAN分配唯一的C-VLAN标识符。当接入点转发来自末端装置的帧时,其可以至少部分地基于帧的目的地MAC地址采取动作。如果MAC地址是PAN成员的MAC地址,则接入点可以将C-VLAN标签和S-VLAN标签添加到帧中,并且可以向上游转发帧。或者,如果MAC地址是默认路由器的MAC地址(例如,帧指向因特网上的主机),则接入点可以仅添加S-VLAN标签。在接收到帧时,交换基础设施可以将帧朝向其目的地转发。
在一些实施例中,接入点的至少一些操作可以由网络中的一个或多个交换机实施。例如,如果认证协议是IEEE 802.1X或可扩展认证协议,那么交换机将与AAA服务器联系,并且可以直接接收组标识符、VLAN标识符或另一策略。替代地,如果例如由PAN组成员的接入点通知交换机,交换机可以实施家庭集线器功能。
在该通信技术的一些实施例中,根据需要与尽可能多的电子装置共享公共口令。(例如,由AAA服务器或另一计算机进行的)后端比较可以用于确定是否允许给定电子装置访问网络。此AAA服务器(或其它计算机)可以存储针对电子装置的策略(或电子装置的权限)、口令和/或认证信息。
在该通信技术中,酒店的用户可以在其蜂窝电话上选择无线网络,然后可以输入他们的口令(例如PSK或DPSK)。最初可能不允许用户访问酒店中的网络。相反,他们可以具有到接入点的加密连接,所述接入点可以执行该通信技术中的至少一些操作。
如先前所述,口令可以由一组电子装置公用或共享。通常,可能有多组电子装置可以加入同一网络,每组电子装置可以具有不同的口令。
在从接入点接收到口令之后,AAA服务器可以查找或访问要应用于用户的策略。例如,该策略可以将用户的电子装置置于单独的虚拟网络(或VLAN)上。
注意,可以使用电子邮件或SMS(文本)消息将口令提供给用户。或者,用户可以经由与场所或位置(例如酒店或大学房屋)相关联的应用程序接收口令。
在一些实施例中,该通信技术使用微分割以便允许超过4,096个虚拟网络。例如,可以使用虚拟数据平面来实现(给定PAN的)虚拟网络。接入点可以连接到虚拟数据平面。
值得注意的是,可以例如在GRE标头(有时称为VNI)中使用至少24位标识符来指定虚拟网络。在有大量用户的实施例或应用中,例如在大学房屋中,这可能是有用的。当有更多学生时,可以有更多的VLAN。但是,在某些架构中,不可以有超过4,096个VLAN。24位可以克服这种限制,允许多达1600万个VLAN用于微分割。在一些实施例中,使用QinQ代替VNI。
当电子装置(使用DPSK或其它类型的认证)认证时,AAA服务器可以查找或访问VNI,并且可以响应于来自接入点的请求而将其传送回到接入点。虚拟数据平面可以使用此VNI,使得虚拟数据平面可以将此虚拟网络中的流量桥接在一起。因此,具有相同VNI的所有分组或帧都可以被桥接在一起(而不是使用VLAN)。
在电子装置通过以太网插孔或端口连接的实施例中,该通信技术可以确保这些电子装置与无线电子装置处于相同的VNI上。例如,交换机可以获取进入您房间的以太网帧,并将其放入VXLAN中。这些分组或帧也可以进入虚拟数据平面,并且VNI可以被放入分组或帧标头中。因此,给定学生的电子装置可以连接到相同的VNI。
注意,交换机可以至少部分基于以太网或通信端口的位置(例如,至少部分基于房间号的静态分配)而知道电子装置所属的VNI。或者,学生可以使用强制门户窗口,在该窗口中,他们提供传回到交换机的标识符。
例如,在酒店房间中,机顶盒可以连接到有线以太网端口。在安装期间,可以将端口的MAC地址的副本放入AAA服务器中(例如,机顶盒在房间112中)。然后,当机顶盒开始通信时,AAA服务器将识别它。
在一些实施例中,使用RADIUS属性或VSA,例如Ruckus VSA 153(其为DPSK VSA)来传送口令。此外,在一些实施例中,可以在该通信技术的至少一部分期间对口令加密。在这些实施例中,接入点可以选择性地提供解密密钥,使得可以解密口令。
此外,可以在四次握手期间提供口令。例如,帧1和帧2可以提供在RADIUS访问请求中发送的加密信息。该信息可以使接入点能够随后从电子装置接收口令。
我们现在描述可能执行通信技术中的至少一些操作的电子装置的实施例。图13呈现了说明根据一些实施例的电子装置1300的示例的框图,所述电子装置是例如以下各项中的一者:基站108、电子装置110中的一个、计算机112、接入点116中的一个、无线电节点118中的一个、交换机128、AAA服务器130、DPSK服务器610、AAA服务器612、PM服务器614、用户DB616、接入点618中的一个和/或末端装置620中的一个。此电子装置包括处理子系统1310、存储器子系统1312和网络子系统1314。处理子系统1310包括被配置成执行计算操作的一个或多个装置。例如,处理子系统1310可以包括一个或多个微处理器、图形处理器单元(GPU)、ASIC、微控制器、可编程逻辑装置,和/或一个或多个数字信号处理器(DSP)。
存储器子系统1312包括用于存储用于处理子系统1310和网络子系统1314的数据和/或指令的一个或多个装置。例如,存储器子系统1312可以包括DRAM、静态随机存取存储器(SRAM)和/或其它类型的存储器。在一些实施例中,存储器子系统1312中的用于处理子系统1310的指令包括:一个或多个程序模块或指令集(例如,程序指令1322或操作系统1324,例如Linux、UNIX、Windows Server或另一种定制和专有操作系统),其可以由处理子系统1310执行。注意,一个或多个计算机程序、程序模块或指令可以构成计算机程序机制。此外,存储器子系统1312中的各种模块中的指令可以下述方式实施:高级程序语言、面向对象的编程语言,和/或汇编或机器语言。此外,编程语言可以被编译或解释,例如可配置或配置(在此论述中可互换使用),以由处理子系统1310执行。
另外,存储器子系统1312可以包括用于控制对存储器的访问的机构。在一些实施例中,存储器子系统1312包括存储器层级,该存储器层级包括耦合到电子装置1300中的存储器的一个或多个高速缓存。在这些实施例中的一些实施例中,一个或多个高速缓存位于处理子系统1310中。
在一些实施例中,存储器子系统1312耦合到一个或多个高容量海量存储装置(未示出)。例如,存储器子系统1312可以耦合到磁驱动器或光学驱动器、固态驱动器或另一类型的海量存储装置。在这些实施例中,存储器子系统1312可以由电子装置1300用作常用数据的快速存取存储器,而海量存储装置用于存储不经常使用的数据。
网络子系统1314包括被配置成耦合到有线和/或无线网络并且在有线和/或无线网络上通信(即,执行网络操作)的一个或多个装置,包括:控制逻辑1316、接口电路1318和一个或多个天线1320(或天线元件)。(尽管图13包括一个或多个天线1320,但在一些实施例中,电子装置1300包括一个或多个节点,例如天线节点1308,例如金属板或连接器,其可以耦合到一个或多个天线1320或节点1306,所述一个或多个天线或节点可以耦合到有线或光学连接或链路。因此,电子装置1300可以包括或可以不包括一个或多个天线1320。注意,一个或多个节点1306和/或天线节点1308可以构成电子装置1300的输入和/或输出。例如,网络子系统1314可以包括BluetoothTM网络系统、蜂窝网络系统(例如,3G/4G/5G网络,例如UMTS、LTE等等)、通用串行总线(USB)网络系统、同轴电缆接口、高清晰度多媒体接口(HDMI)、基于IEEE 802.11中描述的标准的网络系统(例如,
网络系统)、以太网网络系统,和/或另一网络系统。
注意,可以使用方向图整形器(例如定向器或反射器)和/或一个或多个天线1320(或天线元件)来适配或更改电子装置1300的发射或接收天线方向图(或天线辐射方向图),该方向图整形器和/或一个或多个天线可以独立地且选择性地电耦合到地面以在不同方向上操纵发射天线方向图。因此,如果一个或多个天线1320包括N个天线方向图整形器,则该一个或多个天线可以具有2N个不同的天线方向图配置。更一般地,给定天线方向图可以包括指定给定天线方向图的主要瓣或主瓣的方向的信号的振幅和/或相位,以及所谓的“排除区域”或“排除区”(有时称为“凹口区”或“无效区”)。注意,给定天线方向图的排除区包括给定天线方向图的低强度区域。虽然在排除区中强度不一定为零,但其可能低于阈值,例如3dB或低于给定天线方向图的峰值增益。因此,给定天线方向图可以包括在感兴趣的电子装置1300的方向上引导增益的局部最大值(例如,初级波束),以及在不感兴趣的其它电子装置的方向上减少增益的一个或多个局部最小值。以此方式,可以选择给定天线方向图,使得避免(例如与其它电子装置的)不期望的通信以减少或消除不利影响,例如干扰或串扰。
网络子系统1314包括处理器、控制器、无线电设备/天线、插座/插头,和/或用于与每个支持的网络系统耦合、在每个支持的网络系统上通信和处理每个支持的网络系统的数据和事件的其它装置。注意,用于与每个网络系统的网络耦合、在其上通信以及在其上处理数据和事件的机构有时统称为网络系统的“网络接口”。此外,在一些实施例中,电子装置之间的“网络”或“连接”尚不存在。因此,电子装置1300可以使用网络子系统1314中的机制来执行电子装置之间的简单无线通信,例如,如先前所述传输广告或信标帧和/或扫描由其它电子装置传输的广告帧。
在电子装置1300内,使用总线1328将处理子系统1310、存储器子系统1312和网络子系统1314耦合在一起。总线1328可以包括子系统可以用来在彼此之间传送命令和数据的电连接、光学连接和/或电光连接。尽管为了清楚起见仅示出了一个总线1328,但不同实施例可以包括子系统之间的不同数量或配置的电连接、光学连接和/或电光连接。
在一些实施例中,电子装置1300包括用于在显示器上显示信息的显示子系统1326,该显示子系统可以包括显示器驱动器和显示器,例如液晶显示器、多点触控触摸屏等等。
此外,电子装置1300可以包括用户接口子系统1330,例如:鼠标、键盘、触控板、触控笔、语音识别接口和/或另一人机接口。在一些实施例中,用户接口子系统1330可以包括显示子系统1326中的触敏显示器或者可以与其交互。
电子装置1300可以是具有至少一个网络接口的任何电子装置(或者可以包括在所述任何电子装置中)。例如,电子装置1300可以是(或可以包括在以下各项中):台式计算机、笔记本计算机、小型笔记本计算机/上网本、服务器、平板计算机、基于云的计算系统、智能电话、蜂窝电话、智能手表、可穿戴电子装置、消费者电子装置、便携式计算装置、接入点、收发器、路由器、交换机、通信设备、eNodeB、控制器、测试设备,和/或另一电子装置。
尽管特定部件用于描述电子装置1300,但在替代实施例中,电子装置1300中可以存在不同部件和/或子系统。例如,电子装置1300可以包括一个或多个附加处理子系统、存储器子系统、网络子系统和/或显示子系统。另外,子系统中的一个或多个可能不存在于电子装置1300中。此外,在一些实施例中,电子装置1300可以包括图13中未示出的一个或多个附加子系统。另外,尽管图13中示出了单独的子系统,但在一些实施例中,给定子系统或部件中的一些或全部可以集成到电子装置1300中的一个或多个其它子系统或部件中。例如,在一些实施例中,指令1322包括在操作系统1324中,并且/或者控制逻辑1316包括在接口电路1318中。
此外,电子装置1300中的电路和部件可以使用模拟和/或数字电路的任何组合来实施,所述模拟和/或数字电路包括:双极、PMOS和/或NMOS门或晶体管。此外,这些实施例中的信号可以包括具有近似离散值的数字信号和/或具有连续值的模拟信号。另外,部件和电路可以是单端的或差动的,并且电源可以是单极的或双极的。
集成电路(有时称为“通信电路”)可以实现网络子系统1314和/或电子装置1300的一些或全部功能。集成电路可以包括硬件和/或软件机构,其用于从电子装置1300传输无线信号并且在电子装置1300处从其它电子装置接收信号。除了本文所述的机构之外,无线电设备通常是本领域已知的,因此未详细描述。一般来说,网络子系统1314和/或集成电路可以包括任何数量的无线电设备。注意,多无线电设备实施例中的无线电设备以与所描述的单无线电设备实施例类似的方式起作用。
在一些实施例中,网络子系统1314和/或集成电路包括配置机构(例如,一个或多个硬件和/或软件机构),该配置机构将无线电设备配置成在给定通信信道(例如,给定载波频率)上传输和/或接收。例如,在一些实施例中,配置机构可以用于将无线电设备从在给定通信信道上监测和/或传输切换到在不同通信信道上监测和/或传输。(请注意,如本文所使用,“监测”包括从其它电子装置接收信号,并可能对所接收的信号执行一个或多个处理操作)
在一些实施例中,用于设计集成电路或集成电路的一部分(包括本文所述的电路中的一个或多个电路)的过程的输出可以是计算机可读介质,例如磁带或光盘或磁盘。计算机可读介质可以用数据结构或描述电路的其它信息编码,所述数据结构或描述电路的其它信息可以被物理地实例化为集成电路或集成电路的部分。尽管可以使用各种格式进行此类编码,但这些数据结构通常编写为:Caltech中间格式(CIF)、Calma GDS II流格式(GDSII)或电子设计交换格式(EDIF)。集成电路设计领域的技术人员可以从上文详述的类型的示意图和相应描述开发此类数据结构,并编码计算机可读介质上的数据结构。集成电路制造领域的技术人员可以使用此类编码数据来制造包括本文所述的电路中的一个或多个电路的集成电路。
虽然前述讨论使用Wi-Fi和/或以太网通信协议作为说明性示例,但在其它实施例中,可以使用各种各样的通信协议且更一般地通信技术。因此,通信技术可用于各种网络接口中。此外,虽然前述实施例中的一些操作在硬件或软件中实施,但一般而言,前述实施例中的操作可以在各种各样的配置和架构中实施。因此,前述实施例中的一些或全部操作可以在硬件中、在软件中或两者中执行。例如,通信技术中的至少一些操作可以使用程序指令1322、操作系统1324(例如,用于接口电路1318的驱动程序)或在接口电路1318中的固件中实施。替代地或另外,通信技术中的至少一些操作可以在物理层(例如接口电路1318中的硬件)中实施。
注意,在一个或多个实施例中使用短语“能够”、“可以”、“可操作以”或“被配置成”是指一些设备、逻辑、硬件和/或元件被设计成使得能够以指定方式使用所述设备、逻辑、硬件和/或元件。
尽管在前面的讨论中提供了数值的示例,但在其它实施例中,使用了不同的数值。因此,所提供的数值并不意图是限制性的。
在前面的描述中,我们提及“一些实施例”。注意,“一些实施例”描述所有可能实施例的子集,但并不总是指定实施例的相同子集。
前述描述旨在使所属领域的技术人员能够制造和使用本公开,并且在特定应用及其要求的上下文中提供。而且,已经仅出于说明和描述的目的呈现了对本公开的实施例的前述描述。它们并不旨在是详尽的或将本公开限于所公开的形式。因此,许多修改和变化对于本领域技术人员来说将是显而易见的,并且在不脱离本公开的精神和范围的情况下,本文定义的一般原理可以应用于其它实施例和应用。另外,对前述实施例的论述并不旨在限制本公开。因此,本公开不旨在限于所示实施例,而是符合与本文公开的原理和特征一致的最宽范围。
Claims (20)
1.一种电子装置,包括:
接口电路,所述接口电路被配置成与计算机通信;
处理器,所述处理器耦合到所述接口电路;以及
耦合到所述处理器的存储器,所述存储器被配置成存储程序指令,其中,当由所述处理器执行时,所述程序指令使所述电子装置执行操作,所述操作包括:
接收与所述计算机相关联的访问请求,其中,所述访问请求包括与用户相关联的对应于口令的口令参数,并且所述口令参数包括加密计算的输入和所述加密计算的输出;
至少部分地基于所述输入和一个或多个存储的口令计算所述加密计算的一个或多个第二输出;
当所述一个或多个第二输出中的一个与所述输出之间存在匹配时,访问与所述用户相关联的策略;以及
当满足与所述策略相关联的一个或多个标准时,选择性地提供地址指向所述计算机的访问接受消息,其中,所述访问接受消息指向与所述用户相关联的第二电子装置并且包括用于建立所述第二电子装置对网络的安全访问的信息。
2.根据权利要求1所述的电子装置,其中,所述电子装置包括认证、授权和计费(AAA)服务器。
3.根据权利要求1所述的电子装置,其中,所述口令包括所述用户的动态预共享密钥(DPSK)。
4.根据权利要求1所述的电子装置,其中,所述口令参数包括:与所述第二电子装置相关联的随机数、与计算机网络装置相关联的随机数、所述加密计算的输出、所述第二电子装置的标识符以及所述计算机网络装置的标识符。
5.根据权利要求1所述的电子装置,其中,所述策略包括所述口令有效的时间间隔。
6.根据权利要求1所述的电子装置,其中,所述策略包括所述口令有效的位置或允许所述用户访问的网络。
7.根据权利要求6所述的电子装置,其中,所述接口电路被配置成与第二计算机通信;
其中,所述操作包括与所述第二计算机通信以确定所述第二电子装置是否与所述位置相关联;并且
其中,当所述第二电子装置与所述位置相关联时,选择性地提供所述访问接受消息。
8.根据权利要求1所述的电子装置,其中,所述网络包括与位置相关联的虚拟网络,并且所述访问接受消息中的信息允许所述第二电子装置建立与所述虚拟网络的安全通信。
9.根据权利要求8所述的电子装置,其中,所述虚拟网络包括:虚拟局域网(VLAN)或虚拟可扩展局域网(VXLAN)。
10.根据权利要求8所述的电子装置,其中,所述访问接受消息包括所述虚拟网络的标识符;并且
其中,所述标识符包括虚拟局域网标识符(VLANID)或虚拟网络标识符(VNI)。
11.根据权利要求10所述的电子装置,其中,所述标识符包括指定超过4,096个虚拟网络中的一个的信息。
12.根据权利要求1所述的电子装置,其中,所述安全通信独立于与所述网络的其它用户相关联的流量。
13.根据权利要求1所述的电子装置,其中,所述访问请求包括远程认证拨号用户服务(RADIUS)访问请求,并且所述访问接受消息包括RADIUS访问接受消息。
14.根据权利要求1所述的电子装置,其中,所述策略允许所述用户访问不同位置处的多个网络。
15.根据权利要求14所述的电子装置,其中,用于计算所述一个或多个第二输出的输入包括给定网络的给定标识符。
16.根据权利要求4所述的电子装置,其中,至少部分地基于不同网络的标识符来组织所述一个或多个存储的口令。
17.根据权利要求1所述的电子装置,其中,所述口令独立于与所述第二电子装置相关联的标识符。
18.根据权利要求1所述的电子装置,其中,所述口令独立于所述第二电子装置或所述第二电子装置中的硬件。
19.一种与电子装置结合使用的非暂态计算机可读存储介质,所述计算机可读存储介质存储程序指令,所述程序指令当由所述电子装置执行时使所述电子装置执行操作,所述操作包括:
接收与计算机相关联的访问请求,其中,所述访问请求包括与用户相关联的对应于口令的口令参数,并且所述口令参数包括加密计算的输入和所述加密计算的输出;
至少部分地基于所述输入和一个或多个存储的口令计算所述加密计算的一个或多个第二输出;
当所述一个或多个第二输出中的一个与所述输出之间存在匹配时,访问与所述用户相关联的策略;以及
当满足与所述策略相关联的一个或多个标准时,选择性地提供地址指向所述计算机的访问接受消息,其中,所述访问接受消息指向与所述用户相关联的第二电子装置并且包括用于建立所述第二电子装置对网络的安全访问的信息。
20.一种用于选择性地批准对网络的安全访问的方法,包括:
由电子装置:
接收与计算机相关联的访问请求,其中,所述访问请求包括与用户相关联的对应于口令的口令参数,并且所述口令参数包括加密计算的输入和所述加密计算的输出;
至少部分地基于所述输入和一个或多个存储的口令计算所述加密计算的一个或多个第二输出;
当所述一个或多个第二输出中的一个与所述输出之间存在匹配时,访问与所述用户相关联的策略;以及
当满足与所述策略相关联的一个或多个标准时,选择性地提供地址指向所述计算机的访问接受消息,其中,所述访问接受消息指向与所述用户相关联的第二电子装置并且包括用于建立所述第二电子装置对所述网络的安全访问的信息。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201962899130P | 2019-09-11 | 2019-09-11 | |
| US62/899,130 | 2019-09-11 | ||
| PCT/US2020/049836 WO2021050478A1 (en) | 2019-09-11 | 2020-09-09 | Device-independent authentication based on a passphrase and a policy |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114667499A true CN114667499A (zh) | 2022-06-24 |
Family
ID=74849819
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080076150.4A Pending CN114667499A (zh) | 2019-09-11 | 2020-09-09 | 基于口令和策略的设备无关认证 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20210075618A1 (zh) |
| EP (1) | EP4028871A4 (zh) |
| CN (1) | CN114667499A (zh) |
| WO (1) | WO2021050478A1 (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11616781B2 (en) * | 2017-12-05 | 2023-03-28 | Goldilock Secure s.r.o. | Air gap-based network isolation device |
| CN110650076B (zh) | 2018-06-26 | 2021-12-24 | 华为技术有限公司 | Vxlan的实现方法,网络设备和通信系统 |
| US11212277B1 (en) * | 2018-07-02 | 2021-12-28 | Knwn Technologies, Inc. | System and method for securing, perfecting and accelerating biometric identification via holographic environmental data |
| US11329990B2 (en) * | 2019-05-17 | 2022-05-10 | Imprivata, Inc. | Delayed and provisional user authentication for medical devices |
| WO2021050269A1 (en) * | 2019-09-10 | 2021-03-18 | Arris Enterprises Llc | User interface for configuring device-specific iot applications |
| US11936642B2 (en) * | 2021-04-15 | 2024-03-19 | Schweitzer Engineering Laboratories, Inc. | Device level variable role-based access systems, methods, and apparatuses |
| US20220417742A1 (en) * | 2021-06-28 | 2022-12-29 | Juniper Networks, Inc. | Network management system to onboard heterogeneous client devices to wireless networks |
| US20230140517A1 (en) * | 2021-10-28 | 2023-05-04 | Arris Enterprises Llc | Access-point passphrase identification using key matching |
| US20240098492A1 (en) * | 2022-09-21 | 2024-03-21 | Arris Enterprises Llc | Using a passphrase with wi-fi protected access 3 |
Family Cites Families (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6363154B1 (en) * | 1998-10-28 | 2002-03-26 | International Business Machines Corporation | Decentralized systems methods and computer program products for sending secure messages among a group of nodes |
| WO2003010669A1 (en) * | 2001-07-24 | 2003-02-06 | Barry Porozni | Wireless access system, method, signal, and computer program product |
| US20070094356A1 (en) * | 2005-10-25 | 2007-04-26 | Aseem Sethi | System and method for context aware profiling for wireless networks |
| US20080028445A1 (en) * | 2006-07-31 | 2008-01-31 | Fortinet, Inc. | Use of authentication information to make routing decisions |
| US8769637B2 (en) * | 2007-03-23 | 2014-07-01 | Sap Ag | Iterated password hash systems and methods for preserving password entropy |
| US20100303231A1 (en) * | 2007-05-22 | 2010-12-02 | Koninklijke Philips Electronics N.V. | Updating cryptographic key data |
| US9106426B2 (en) * | 2008-11-26 | 2015-08-11 | Red Hat, Inc. | Username based authentication and key generation |
| US20110030037A1 (en) * | 2009-07-07 | 2011-02-03 | Vadim Olshansky | Zone migration in network access |
| US8756668B2 (en) * | 2012-02-09 | 2014-06-17 | Ruckus Wireless, Inc. | Dynamic PSK for hotspots |
| US9161219B2 (en) * | 2012-06-22 | 2015-10-13 | Guest Tek Interactive Entertainment Ltd. | Authorizing secured wireless access at hotspot having open wireless network and secure wireless network |
| GB2505678B (en) * | 2012-09-06 | 2014-09-17 | Visa Europe Ltd | Method and system for verifying an access request |
| US9332008B2 (en) * | 2014-03-28 | 2016-05-03 | Netiq Corporation | Time-based one time password (TOTP) for network authentication |
| US11444766B2 (en) * | 2015-07-06 | 2022-09-13 | Apple Inc. | Combined authorization process |
| US10230522B1 (en) * | 2016-03-24 | 2019-03-12 | Amazon Technologies, Inc. | Network access control |
| US10516549B2 (en) * | 2016-08-02 | 2019-12-24 | Cisco Technology, Inc. | Multicast service with is-is spine-leaf extension in a fabric network |
| CN107800539B (zh) * | 2016-09-05 | 2020-07-24 | 华为技术有限公司 | 认证方法、认证装置和认证系统 |
| US11184768B2 (en) * | 2016-10-21 | 2021-11-23 | Comcast Cable Communications, Llc | Methods and systems for automatically connecting to a network |
| US10708240B2 (en) * | 2017-12-14 | 2020-07-07 | Mellanox Technologies, Ltd. | Offloading communication security operations to a network interface controller |
| US10776480B2 (en) * | 2018-04-02 | 2020-09-15 | International Business Machines Corporation | Producing volatile password hashing algorithm salts from hardware random number generators |
| US11558379B2 (en) * | 2019-07-15 | 2023-01-17 | Hewlett Packard Enterprise Development Lp | Network access authentication and authorization using a blockchain network |
| US11451959B2 (en) * | 2019-09-30 | 2022-09-20 | Fortinet, Inc. | Authenticating client devices in a wireless communication network with client-specific pre-shared keys |
-
2020
- 2020-09-09 WO PCT/US2020/049836 patent/WO2021050478A1/en unknown
- 2020-09-09 EP EP20863781.9A patent/EP4028871A4/en active Pending
- 2020-09-09 CN CN202080076150.4A patent/CN114667499A/zh active Pending
- 2020-09-10 US US17/016,676 patent/US20210075618A1/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| WO2021050478A1 (en) | 2021-03-18 |
| EP4028871A1 (en) | 2022-07-20 |
| US20210075618A1 (en) | 2021-03-11 |
| EP4028871A4 (en) | 2023-10-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11818566B2 (en) | Unified authentication for integrated small cell and Wi-Fi networks | |
| US20210075618A1 (en) | Device-independent authentication based on a passphrase and a policy | |
| KR102593822B1 (ko) | 무선 네트워크에서 서비스 거부 공격을 완화하기 위한 방법 및 시스템 | |
| EP3513526B1 (en) | System and method for massive iot group authentication | |
| CN107005569B (zh) | 端对端服务层认证 | |
| US20170171184A1 (en) | Authentication And Secure Channel Setup For Communication Handoff Scenario | |
| US9253636B2 (en) | Wireless roaming and authentication | |
| CN107005534B (zh) | 一种安全连接建立的方法和装置 | |
| US9826399B2 (en) | Facilitating wireless network access by using a ubiquitous SSID | |
| WO2015031184A2 (en) | Methods, apparatus and systems for wireless network selection | |
| CN105432102A (zh) | 用于机器对机器通信的网络辅助引导自举 | |
| CN109964453A (zh) | 统一安全性架构 | |
| JP2017538345A (ja) | 方法、装置およびシステム | |
| US11848909B2 (en) | Restricting onboard traffic | |
| US20240031807A1 (en) | Techniques to generate wireless local area access network fast transition key material based on authentication to a private wireless wide area access network | |
| WO2020089718A1 (en) | Virtual broadcast of unicast data stream in secured wireless local area network | |
| US20220272089A1 (en) | Device-independent authentication based on an authentication parameter and a policy | |
| EP4344277A1 (en) | Using a passphrase with wi-fi protected access 3 | |
| US20240146732A1 (en) | Automatic periodic pre-shared key update | |
| CN116368833A (zh) | 针对边缘计算服务的安全连接的建立和认证的方法和系统 | |
| US20230319564A1 (en) | Access Point Supporting Certificate-Based and Pre-Shared-Key-Based Authentication | |
| US20240031811A1 (en) | Techniques for enabling communication between a plurality of disparate networks and devices utiilzing various connection technologies | |
| WO2024065483A1 (en) | Authentication procedures for edge computing in roaming deployment scenarios | |
| WO2024110949A1 (en) | Re-establishment of trusted ip security for trusted non-3gpp access point (tnap) mobility |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20240219 Address after: North Carolina, USA Applicant after: Lucus Intellectual Property Holdings LLC Country or region after: U.S.A. Address before: Georgia, USA Applicant before: ARRIS ENTERPRISES LLC Country or region before: U.S.A. |