CN101835147B - 用于安全、便携、无线和多跳数据连网的方法和设备 - Google Patents

Abstract

一种移动网络解决方案，向具有配备了无线网络接口的移动用户提供安全和便携的无线连网服务。该安全移动无线网络，或SNOWNET，沿袭了分层结构。特殊的SNOWNET节点部署在需要连网服务的区域中，并形成主干网。同时，SNOWNET节点向常规的移动客户机提供本地接入服务。SNOWNET通过节点和客户机的验证以及数据的加密而提供了安全性。

Description

用于安全、便携、无线和多跳数据连网的方法和设备

本申请是申请日为2003年11月25日，申请号为200310115416.X，发明名称为“用于安全、便携、无线和多跳数据连网的方法和设备”的发明专利申请的分案申请。

技术领域

本发明涉及数据连网，更具体地涉及安全、便携和无线的数据连网。

背景技术

在当前的无线局域网(WLAN)架构中，移动客户机无线连接到接入点(Access Point，AP)以获得对各AP所连接的主干网的连接性。主干网通常是有线连接的，然后连接到组织网络的其他部分。在各种不同的WLAN通信标准中，当前最流行使用IEEE 802.11(″Part 1：Wireless LANMedium Access Control(MAC)and Physical Layer Specifications″，IEEE 1999，包括所有的变型)。

对于希望利用无线方法扩展现存的有线校园网或企业网并提供校园范围移动支持的网络管理者，WLAN架构是理想的。利用这种架构，移动客户机不再受网络电缆和墙壁插孔的制约，只要它们与某个AP保持直接无线接触即可。由于有了多种诸如动态主机配置协议(DHCP)(R.Droms，″Dynamic Host Configuration Protocol″，RFC 2131，1997年3月)的动态配置协议，所以只需很少或不需要用户配置工作，移动客户机就可以容易地接入WLAN。用户可以在AP的覆盖区内自由移动。在用户越过AP服务区的边界时，WLAN和桥接协议(bridge protocol)可以更新用户的链路层连接性，以使正在进行的通信对话不被越区切换和实际通信载波(射频)切换所中断。

尽管移动客户机可以享受无线网络连接性的方便，但是，另一方面，部署WALN不是一件轻易的工作。需要通过主干网(通常是有线LAN)将AP相互连接。因此，必需安装网络电缆以将各AP连接到现存网络基础设施。电线还必需位于适当位置以对AP提供工作电源。此外，为了确定AP的位置，WLAN设计者需要预测无线用途并进行现场勘查以确定无线电传播特性。还需要对每个AP分配工作信道，以使相邻通信小区之间的干扰最小。部署之后，改变各AP的布局又成了一个高成本的工作，因为电缆和电线也需要改变。如果使用方式发生变化，通常不能对WLAN进行重大调整以适应这种变化。

现存IEEE 802.11 WLAN的另一个严重问题是其当前保密机制。在WLAN中，在空中传送所有的传输比特，这是一种任何人都可以访问的开放的通信介质，只要他/她位于无线电信号范围内而且具有可以接收WLAN无线电信号的无线电装置。因此，必须对敏感数据进行加密，以便只有预期的接收器可以重构并理解该数据。

IEEE 802.11标准依赖于有线等效私密(Wired EquivalencyPrivacy，WEP)协议以实现数据保护。WEP使用40位(或者是后来版本中的104位)的共享密钥。24位的初始矢量(Initial Vector，IV)与共享密钥连在一起构成64位(或者是后来版本中的128位)籽数(seed)。然后，将该籽数送到RC4伪随机数发生器(PRNG)以产生用作帧加密密钥流的随机比特序列。可以对于各个加密的数据帧改变IV，以便对于各数据帧，RC4 PRNG的籽数不同。因此，生成不同的密钥流来对各个数据帧进行加密。在各个数据帧上附加作为明码报文的IV，从而接收机可以将接收到的IV与共享密钥连在一起，产生RC4PRNG籽数，并计算解密密钥流。然而，因为IV的大小有限，所以仅有2^24，约1千6百万个不同密钥流。给定平均数据帧的大小和IEEE 802.11支持的传输速率，忙的AP可能会非常迅速地用尽不同密钥流空间，并且不得不重复使用加密密钥流。由于在各个数据帧上附有作为明码报文的IV，所以攻击者较容易识别重复使用的密钥流。攻击者可以采集利用同一个密钥流加密的几条加密报文，然后进行统计分析，以攻击和恢复明码报文。攻击者还可以建立所有可能密钥流的字典。除了对于这些类型攻击的脆弱性之外，安全研究领域还认识到WEP协议的其他弱点(N.Borisov，I.Goldberg和D.Wagner，″Intercepting Mobile Communications：The Insecurity of802.11″，MOBICOM 2001，2001)。

我们还知道IEEE 802.11的验证方案存在与其加密方案的弱点有关的问题。IEEE 802.11的AP提供了两种防止未授权接入的方法：介质访问控制(Medium Access Control，MAC)地址过滤方法和基于WEP的共享密钥验证方法。MAC地址过滤器简单地提出目的地地址或源地址未列入预定“容许表”中的所有数据帧。然而，因为攻击者可以容易地察觉并伪造MAC地址，所以MAC地址过滤器几乎不能防范未授权的网络接入。共享密钥验证过程涉及到两方(称为发起方和响应方)利用共享密钥相同但是IV不同的WEP对同一个询问进行加密。由于共享密钥验证算法对具有共享密钥的人授权进行网络接入，所以它仅在未授权方不能发现共享密钥时有效。然而，如果WEP被破坏，共享密钥验证过程就无效了。

IEEE的802.1x(Port Based Network Access Control)标准(″Port-Based Network Access Control″，IEEE，2001)规定了设计为提供用户验证、网络接入控制、以及动态密钥管理的架构。在IEEE 802.1x架构中，系统可以使用不同的具体验证方案和算法。用于确定用户是否可信的实际算法是开放的，可以使用多种算法。在IEEE 802.11安全机制的弱点曝光后，各机构迅速地转为采用IEEE 802.1x作为解决无线LAN中安全问题的方案。IEEE 802.1x标准中还包括了IEEE稳固安全网络(Robust Security Network，RSN)作为一个重要部分(802.11i，IEEE802.11Task Group I，正在进行的工作)。

IEEE 802.1x基于PPP可扩展验证协议(PPP ExtensibleAuthentication Protocol，EAP，L.Blunk和J.Vollbrecht，″PPPExtensible Authentication Protocol(EAP)″，RFC 2284，1998年3月)而在验证过程中进行消息交换。EAP构建于询问-响应通信模式的基础上，这在网络安全方案中是很常见的。尽管它原本设计为PPP连接验证方法，但也可以用于宽范围的LAN类型，比如以太网、令牌环网或WLAN。

以下是基于802.1x的验证和动态加密的描述。图1显示了IEEE802.1x验证操作中涉及的部件。在具有IEEE 802.1x的WLAN 100中，客户机(也称为请求方)102请求AP(或验证方)104的接入服务。AP 104作为未授权的端口向客户机102开放，只接受请求方(客户机)102的EAP消息。通过这个未授权端口，请求方102于验证方104和验证服务器106交换EAP消息，验证服务器106是执行验证算法的后端服务器。在验证算法的最后，验证服务器106向验证方104返回“接受”或“拒绝”指令。接收到“接受”消息后，AP 104向客户机102打开正规的网络接入端口，允许这个客户机102的正常业务通过。

IEEE 802.1d MAC桥接协议(″Part 3：Media Access Control(MAC)Bridges″IEEE，1998(IEEE 80.1d)，″Part 3：Media Access Control(MAC)Bridge-Amendment 2：Rapid Reconfiguration″，IEEE，2001(IEEE802.1w))是本领域公知的。

IEEE 802.1d采用了生成树协议(spanning tree protocol)，这是它形成分组传送拓扑结构同时防止桥接设备网络中的传送回环的方法。在任意连接的网络中，各个网桥(bridge)包含多个端口。这些端口连接到多个LAN段。在网络中的所有网桥之中，一个网桥作为生成树的“根”。这是具有最高优先级网桥标识符的网桥(网桥的优先级标识符是由网桥的唯一ID(这通常是该网桥的各个端口中的最低MAC地址)得出的，或者由网络管理者配置)。

在这个协议中方，各个网桥使用其各个端口向其相邻的网桥报告：其自身的标识、发送端口的标识、发送网桥认为是根的网桥的标识、以及从发送网桥到根网桥的路径成本。各个网桥从假设自己是根开始。如果网桥接收到“好于”其当前所有的信息，它就根据新接收到的信息重新计算其信息，然后向其相邻网桥发送更新后的控制消息。认为是“更好的信息”包括这样的信息：作为更好的根(具有更高的优先级网桥标识符)的网桥、更短的到根的路径、更低的成本路径等等。最后通过信息传播，所有的网桥知道有效的生成树拓扑结构，并相应地配置它们的端口以传送数据帧。在各个网桥上，最接近根的端口是“根端口”。在各个LAN段上，能够提供到根的最短路径的网桥是该LAN段的“指定网桥”。

IEEE 802.11标准是本领域所公知的。

发明内容

本发明的一个方面是提供一种向移动用户提供自配置、便携且安全的无线网络接入服务。

上述方面可以通过一种自配置、便携、动态且安全的网络安全系统而实现，该网络系统是由向移动用户提供自配置、便携且安全的无线网络接入服务的设备构成的，称为安全移动无线网络(Secure NomadicWireless Network，SNOWNET)。这样的设备称为SNOWNET节点。

也就是说，本发明提供了实现安全、便携、无线和多跳(multi-hop)数据连网的方法和装置，称为安全移动无线网络(SNOWNET)。

主要来说，SNOWNET可以与已有的通信和电源基础设施无关地快速部署在任何区域，以向通过验证的移动节点提供安全的网络连接性。具体而言，安装过程可以简化为把SNOWNET节点布置在工作区域，加电，也可以调节连接在这些节点上的外部天线的朝向以连接至其他SNOWNET节点。任何配置参数，比如相邻设备的标识、地址分配和消息路由，都可以由一组这样的SNOWNET节点的协作而自动确定。SNOWNET节点之间的通信以及SNOWNET节点和移动客户机之间的通信是安全的。只有授权的设备(SNOWNET节点和移动客户机)被允许接入SNOWNET并接受服务。

响应于对安全和便携无线数据连网的需求提供了本发明的安全移动无线网络(SNOWNET)。安全移动无线网络(SNOWNET)是一种层级结构的网络，由动态无线主干网将多个本地接入服务区相互连接在一起。利用SNOWNET节点来形成主干网并提供本地接入服务。

SNOWNET通过节点和客户机的验证以及数据的加密而提供了安全性。

通过以下说明和权利要求书，结合附图，可以更加清楚地理解本发明的这些和其它方面和优点。在附图中用相似的标号指示相似的部件。

附图说明

图1是具有IEEE 802.1x的无线局域网(LAN)的示意图；

图2是本发明的系统架构的示意图；

图3是本发明的SNOWNET节点302的硬件结构的示意图；

图4是本发明的节点的软件组件的示意图；

图5是IEEE 802.1x的SNOWNET实施的示意图；

图6是本发明的SNOWNET生成树的示例的示意图；

图7是SNOWNET桥接表内容的示意图；

图8是IEEE 802.11数据帧地址字段内容的示意图；

图9是SNOWNET路由表内容的示意图；

图10是路由更新消息内容的示意图。

具体实施方式

现在参照图2说明本发明的SNOWNET的结构、SNOWNET节点的功能和设计、以及SNOWNET节点所执行的协议。

图2示出了本发明的SNOWNET系统网络300的架构。各个SNOWNET节点302至少装备有一个无线网络接口，利用该无线网络接口在对等的SNOWNET节点302之间进行通信。如果在SNOWNET节点302之间可以建立无线通信，则在它们之间动态形成链路304。将仅含有SNOWNET节点302以及它们之间的链路304的网络称为SNOWNET主干网306。将各个SNOWNET节点302专用于主干通信的接口称为主干接口。还可以利用可选的外部天线扩展主干接口的通信范围。

如图2所示，各个SNOWNET节点302还为位于其覆盖范围内的具有客户机无线设备的客户机310提供了客户机覆盖范围308。这叫做SNOWNET节点302为其覆盖范围内的客户机310提供本地接入服务。SNOWNET节点302也可以通过有线局域网(与该SNOWNET节点302的有线通信接口相连的LAN)向具有有线通信接口的客户机提供有线本地接入服务。然后这种业务可以在无线主干网上转发，从而无线地连接两个有线网络。

组织SNOWNET主干网306的方式有许多种。最灵活的方式是对SNOWNET 300的主干接口使用的通信技术进行配置以在对等模式(peer-to-peer mode)下运行。在将IEEE 802.11网络接口用作主干接口的情况下，该接口应该在802.11 Ad Hoc模式下运行。还存在提供不同主干网306配置的特殊情况。例如，如果主干网306形成“星形”拓扑结构，则可以将中心节点的主干接口配置为接入点(AP)，而将其他节点配置为客户机。

主干网306的所有链路304可以不必使用同一种链接技术。具有同一种技术的主干接口的各节点可以形成子主干。可以利用同时位于多个子主干上的、具有不同技术的主干接口的节点302，将各子主干连接在一起形成整个主干网306。

除了主干接口之外，SNOWNET节点302通常还装备有附加接口以向移动客户机提供本地网络接入服务。在图2中，全部3个SNOWNET节点302均具有双无线接口，一个用于主干通信，另一个用于提供本地接入服务。本地服务接口可以是诸如IEEE 802.3网络接口、以AP模式运行的IEEE 802.11接口、蓝牙(Bluetooth)等的任何LAN技术的接口。

某些SNOWNET节点302还可以具有连接到其他组织网络、全球互联网或一些其他外部网络的附加链路312。这些节点作为SNOWNET300到达互联网或其他外部网络的网关，叫做SNOWNET网关。这些链路可以是各种链路技术的链路，例如，连接到固定群网络的LAN的以太网电缆、到AP的无线LAN接口、点对点协议(PPP)连接或3G广域无线通信接口等。

SNOWNET节点302的某些接口甚至可以是虚拟接口。例如，可以对物理接口进行复用或分时以建立可以用于不同用途的多个虚拟接口。例如，本发明的SNOWNET节点302可以建立算法，使得同一个IEEE 802.11接口可以在一些时隙内在ad hoc模式下运行，以起主干接口的作用，而在其他时隙内在AP模式下运行，以起本地接入服务接口的作用。另外，SNOWNET节点可以动态地将其一个AP接口变更为主干接口，反之亦然。

SNOWNET300内的通信被分成2级：主干通信和本地接入通信。SNOWNET节点302对这两级之间的通信进行中继。因此，从不同SNOWNET节点302接受本地接入服务的两个客户机之间的典型的SNOWNET内通信路径包括源移动客户机310与对源客户机310提供服务的SNOWNET节点302之间的链路、多个SNOWNET主干链路以及目的地客户机310与其接入服务SNOWNET节点302之间的链路。如果目的地位于其他外部网络上，则通信路径还包括将业务转发到该网络的SNOWNET网关节点。

现在说明SNOWNET节点302的硬件。图3示出了本发明的SNOWNET节点302的硬件结构。

可以将各个SNOWNET节点302实施为嵌入式系统，该嵌入式系统包括：处理器402、系统存储器(RAM)403、用于存储软件和与安全相关的数据，诸如证书(certificate)和密钥的数据存储器(闪存，Flash)404、一个或者多个网络接口406，以及连接这些部件的系统总线408。各个节点具有可管理、便携形式的形状，并具有保护壳。可选的，各个节点302可以装备外部天线410以扩展其无线网络接口406的通信范围。这些网络接口406提供了本地有线或无线接入，无线主干接入，或者有线或无线网关接入。

SNOWNET节点302的配置取决于他在网络中的具体用途。在远程位置的典型SNOWNET节点302应具有两个无线接口406，一个用于主干，另一个用于本地接入服务。SNOWNET网关节点302可以具有两个无线网络接口加上第三个网络接口406，比如有线以太网接口，用于连接到外部网络。

因为SNOWNET节点302是便携的，所以SNOWNET节点302使用可由电池提供的DC电源作为主电源412。可以由AC转换器从电源插座、电池充电装置、太阳能装置、汽车电池插座或其他发电装置提供DC电源。

在特定操作情况下，在电池是唯一可能电源时，重要的是，由这些节点302构成的协作网络300在电源方面是高效的而且了解电源的状况。SNOWNET节点302应该实现电源管理以在适当时保存电池能量。

SNOWNET节点302上的文件系统404是加密文件系统。存储在数据存储器404内的所有信息均被加密。在节点302启动时，操作员提供解密密钥源(即，智能卡、USB密钥等)。节点302的启动顺序从解密密钥源中找出并加载解密密钥。只有这时可以访问文件系统404。对关键的操作系统文件进行解密，并加载到系统存储器403中执行。在节点302与SNOWNET的验证与密钥管理服务器(如以下详细说明的SNOWNET验证服务器)断开特定时间时，即在特定时间中没有从该服务器接收到密钥管理消息时，自动切断电源。节点302上的物理安全方法可以防止对SNOWNET节点302所做的其他破坏。

本发明的上述特征减小了在未授权用户危害一个SNOWNET节点302时对整个SNOWNET 300产生的危害。如果没有与解密密钥源的有效连接，SNOWNET节点302在关闭后是不可操作的，除非提供了有效的解密密钥源。利用这个超时机制，甚至在攻击者保持对SNOWNET节点302供电的情况下，该节点302仍会与所有其他SNOWNET节点302隔离开。

图4示出了SNOWNET节点302的软件结构组件500。SNOWNET节点302的软件结构组件500存储在各个SNOWNET节点302的数据存储器404中。

软件组件500包括用于不同网络接口的操作系统内核空间驱动程序502，包括用于以太网504、主AP模式506下的802.11网络接口卡(NIC)、以及Ad Hoc模式508下的802.11NIC的驱动程序。所有其他的SNOWNET组件驻留在用户空间510中，或者驻留在内核空间502中，以改善性能。特别是，网络地址转换(Network Address Translation，NAT)模块532驻留在内核空间中以提供外部互联网地址和内部SNOWNET地址空间之间的转换。

存在两个主要的SNOWNET模块：SNOWNET网络层512和SNOWNET API514。在SNOWNET网络层512中实现SNOWNET节点验证516和SNOWNET路由/桥接518的功能。对于提供客户设备接入服务的SNOWNET节点，包含了标准DHCP模块以动态地向客户机分配地址。SNOWNET应用程序接口(API)514提供应用程序开发接口，从而其他应用程序520和服务522的开发者可以访问低级的SNOWNET专有特征，比如路由表信息(如图9所示)。可以在SNOWNET网络300中实现的应用的示例包括无线语音、流式数据和许多其他网络功能。在一个实施例中，为网络层(Network Layer)512和客户验证模块(Client Authentication Module)526定义并实施API，包括C语言的程序调用。

SNOWNET网络层512实施为对SNOWNET节点302的其他中间件组件的网络服务。这些可选的SNOWNET中间件组件可以包括服务质量(Qualityof Service)模块524、服务安全(Security of Service)模块524、信任管理算法530以及客户机验证模块526。服务质量模块524控制分配给各个客户机的通信带宽的共享。服务安全模块524根据客户的需要提供附加的安全级别。信任管理算法处理系统的初始自举的规则并允许未知的客户机或路由器成为系统的一部分。客户机验证模块526实施802.1x策略以准入并识别客户机，这在以下进行详细说明。

各个SNOWNET节点302还具有支持客户机528安全漫游的模块。在客户机310从一个SNOWNET节点的本地服务区移动到另一个节点的本地服务区时，该模块将该客户机的“信任和证书”从一个SNOWNET节点302传送到另一个SNOWNET节点302。借助该模块528，客户机310不需要在新的本地服务区中重新通过全部验证过程。因此，客户机310由两个SNOWNET节点提供服务之间的时间间隔较小，越区切换比较平滑。

SNOWNET节点302可选地容纳验证服务器534，比如提供所有必须的证书检查、生成密钥和存储证书信息的RADIUS服务器303。

现在说明本发明的SNOWNET的安全特征，包括IEEE 802.1x的SNOWNET实施、SNOWNET的PASS，以及越区切换时的验证和安全。

以下参照图5描述IEEE 802.1x特征的SNOWNET实施。

如图5所示，请求方(或客户机)310通过SNOWNET节点302的接入点接口接入300。SNOWNET节点302作为验证方，并与验证服务器303通信。

如果SNOWNET 300的网络环境容许与RADIUS服务器(C.Rigney，A.Rubens，W.Simpson和S.Willens，″Remote Authentication Dial InUser Services(RADIUS)″，RFC 2138，1997年4月)的连接性，则SNOWNET300可以将现存组织RADIUS服务器用作后端验证服务器303。否则，通过运行RADIUS服务器软件将一个SNOWNET节点302配置为验证服务器303。在SNOWNET部署之前，该节点303将所有必要的证书下载到他的系统存储器404中，从而它可以执行验证工作。这些证书包括用于SNOWNET节点302的证书以及用于所有授权客户机的证书。可以将诸如系统存储器和高性能CPU的附加硬件资源安装到验证服务器节点303上，以改善性能。在部署过程中，必须在打开任何一个其他SNOWNET节点302之前激活RADIUS服务器节点303，并保持激活直到所有其他SNOWNET节点302关闭。

在IEEE 802.1x架构中，提供本地网络接入服务的SNOWNET节点302利用客户机验证模块526可以用作验证器。常规的移动客户机310是请求方。SNOWNET与请求方功能的任何现有的标准实施，例如Windows XP、Xsupplicant等兼容。为了执行验证器功能，SNOWNET节点302中的客户机验证模块526运行Open1X验证器软件，这是IEEE 802.1x验证器526的开放源实施(Open1x，请见www.open1x.org)。通过提供附加特性，例如，移动客户机与网络之间的互相验证以及动态密钥旋转(dynamic keyrotation)，SNOWNET客户机验证模块526增强了标准IEEE 802.1x的安全性。移动客户机310与SNOWNET网络300之间的互相验证是由验证处理的成功完成实现的，因为这只有客户机310和SNOWNET节点302都利用公共密钥基础设施恰当地识别之后才能完成。动态密钥(其中通过SNOWNET网络300周期性地改变安全加密密钥并重新分配)是SNOWNET 300所支持的一项特征。

SNOWNET 300中的客户机和网络相互验证过程的细节如下所述。在移动客户机310与验证SNOWNET节点302的EAP握手(handshake)期间，客户机310发送EAP开始消息，而SNOWNET节点302返回请求用户身份的EAP消息。客户机310返回由公共密钥加密机制利用验证服务器300公共密钥公共密钥加密的证书。然后，验证器302将该加密的证书转发到验证服务器303。验证服务器303检验该客户机证书，而且如果该证书有效，则验证服务器303为该客户机生成对话密钥(session key)，并将该对话密钥发送到客户机310和验证器303。利用该对话密钥，AP 302对本地共享的WEP密钥进行加密，并将加密的共享密钥发送到客户机310。为了支持互相验证，验证服务器303还利用客户机310的公共密钥对整个SNOWNET 300的证书进行加密，并将加密的证书发送到客户机310，从而客户机310也可以验证网络。如果客户机310接受该网络证书，则它对本地共享WEP密钥进行解密，将该共享密钥配置到其IEEE 802.11设备中，然后开始接入网络300。

利用同一个RADIUS服务器303，SNOWNET 300可以周期性地动态更新用于在客户机310与AP 302之间进行通信的共享密钥。在客户机310与网络300断开时，SNOWNET 300不需要更新共享密钥，因为此时使用的共享密钥将迅速被周期性的密钥刷新所替换。

以下说明SNOWNET的PASS

在上面的小节中，集中说明了在移动客户机(请求方)310与验证器302之间如何进行验证和如何进行加密密钥管理。在本小节中，将说明SNOWNET节点302自身之间的验证过程和密钥管理过程。

PASS指SNOWNET的传播验证方案(Propagative AuthenticationScheme for SNOWNET)，这在下面进行说明。

当典型的802.11 WLAN采用IEEE 802.1x时，一个隐含的假设是存在有线基础设施(包括接入点和互连各接入点的网络电缆)，各接入点(AP)之间的网络拓扑结构是静态的，而且AP是可信的实体。因此，在请求方(移动客户机)与验证器(AP)的作用之间存在明显的不同，没有AP的验证问题，因为他们是通过较安全的有线连接安装并连接的。

在SNOWNET 300中，主干网306是无线和动态的，在正常操作期间，新的SNOWNET节点302可以加入到主干网306中，别的SNOWNET节点302也可以离开主干网306。在这些新节点302可以对常规移动客户机310提供网络接入服务和验证服务之前，它们首先需要获准连接到主干网306。换句话说，还必须在SNOWNET 300内对各SNOWNET节点302本身进行验证。这种新的验证方案称为“SNOWNET的传播验证方案”或PASS，其中PASS模块516中实施。

PASS的一个特征是各个SNOWNET节点302具有的双重作用。在成为SNOWNET主干网306的一部分之前，SNOWNET节点302作为IEEE 802.1x架构中的请求方。SNOWNET节点302在PASS模块516中包含作为请求方的所有必要软件，即用于SNOWNET节点302的Linux/BSD实施的Xsupplicant。SNOWNET节点302经历与任何一个移动客户机请求方同样的处理，以通过它自己与现存SNOWNET 300之间的相互验证阶段。成功验证之后，新SNOWNET节点302被提供了主干网306的共享通信密钥，因此它可以参与主干通信。

只有在获准连接到主干网306上之后，新SNOWNET节点302才开始对其本地客户机310提供网络接入服务。在新SNOWNET节点302向下执行之前，新SNOWNET节点302首先需要通过开始执行其带有验证器软件的客户机验证模块526而成为验证器。在正常运行过程中，各个SNOWNET节点302负责验证本地移动客户机310和新SNOWNET节点302。利用RADIUS服务器节点303，以递增和传播的方式建立安全与经过验证的主干网306，因此将该过程称为SNOWNET的传播验证方案(PASS)。

所有经过验证的SNOWNET节点使用同一个密钥来对主干通信进行加密。和客户机-AP对话密钥一样，这个共享密钥周期性地改变。RADIUS服务器303将用于主干通信的共享密钥与用于移动客户机310的密钥分开管理。

现在说明越区切换期间的验证与安全

在移动客户机310从一个SNOWNET节点302的服务区移动到另一个SNOWNET节点302的服务区时，执行几个任务以确保移动客户机310不中断地接收数据业务。

一般的说，在802.11WLAN中漫游时，要发生的第一个事件就是链路层越区切换。即，在发生一些预定的触发事件时，移动客户机310与其当前AP之间的通信链路被断开，而在该移动客户机310与新AP之间建立新通信链路。然后系统进行网络层越区切换。也就是说，移动客户机(与其新AP)建立新的拓扑连接，并将该信息传播到整个网络，从而来自/发往该移动客户机的数据业务可以正确地进行。在本小节中，我们主要讨论与链路层越区切换期间的验证和安全有关的问题。在下一小节中将说明网络层的越区切换。

链路层越区切换过程的细节根据链路层技术的不同而不同。对于当前的IEEE 802.11WLAN技术，以“先断后合”方式进行链路层越区切换。在移动客户机发现来自其当前AP的信号质量降低到低于预定阈值时，它试图找到具有更好信号质量的新AP。它可以选择向其当前AP发送断开消息以通报这个断开，从而该AP可以去除为该移动客户机存储的任何状态。然后，该移动客户机对所有的信道进行扫描以确定可用AP及其特性并选择其新的目标AP。

在选择了新AP后，802.11标准规定新AP对移动客户机执行验证步骤。然而，如上所述，802.11的共享密钥验证方案无效。相反，许多已经部署的802.11系统是缺省地对任何移动客户机进行验证的开放系统。

验证之后，通过向新AP发送关联请求(Association Request)，移动客户机试图连接到该新AP。接收到关联请求后，AP发回关联响应(Association Response)。如果接受请求，则该响应含有“成功”值。在接收到具有“成功”的关联响应后，移动客户机确认接收到该消息。然后，建立新连接，而且移动客户机通过新AP进行发送和接收。

同样，在SNOWNET 300中，在移动客户机310从一个SNOWNET节点302的接入服务区漫游到另一个SNOWNET节点302的接入服务区时，移动客户机310执行扫描、验证以及关联的功能。

SNOWNET 300采用优化的扫描方案以减少完成扫描所需的时间。移动客户机310对所有信道进行扫描的原因是，客户机310不知道在其所在区域内哪个SNOWNET节点302可用。将移动客户机310的网络接口设置为混杂模式(promiscuous mode)不能解决该问题，因为SNOWNET节点302可能在不是客户机310当前信道的不同信道上工作，因此仍不可得知。在SNOWNET 300中，即使在正常工作过程中，客户机310仍可以进行扫描操作以持续监视附近SNOWNET节点302的可用性及其特性。仅在不中断正在进行的通信的情况下进行该监视扫描过程，而在担心电池的使用时间时不进行监视扫描。利用最近侦听到的邻近SNOWNET节点302的列表，移动客户机310可以仅关注那些位于“最近侦听”列表中而且具有良好信号质量的SNOWNET节点302。因此，不需要进行全面信道扫描，因此减少了移动客户机310选择其新服务节点302花费的时间。对于“最近侦听”列表刚刚建立的情况，移动客户机310可以立即从该列表中直接选择其新服务节点，而无需另外扫描。

SNOWNET 300中的关联过程类似于当前的802.11标准规定的关联过程，因此在此不做说明。本小节集中说明与漫游相关的验证和安全。

验证是既需要通信又需要处理资源的非常长的处理过程。因此，在越区切换期间，最好不进行验证。本发明包括一种可以以最小延迟，平滑、安全地将移动客户机310定位到其新接入服务区的验证与安全越区切换机制。该机制基于公共密钥系统。假定所有SNOWNET节点302具有一对密钥：一个公共密钥和一个私有密钥。各个SNOWNET节点302知道其他相邻SNOWNET节点302的公共密钥。各个移动客户机310也知道附近SNOWNET节点302的公共密钥。通过进行预先安装，或者利用外部公共密钥交换协议，可以实现这个特征。

在需要这种验证与安全越区切换服务时，移动客户机310需要请求其当前SNOWNET服务节点302提供话单(ticket)。该话单含有诸如该移动客户机的身份和当前接入服务SNOWNET节点的身份的信息。话单还含有诸如发出该话单的时间、其有效时间、对话密钥传输密钥、校验和等的其他字段。该话单还可以在实际字段之前和之后含有一些随机填充比特。SNOWNET节点302利用其私有密钥对该话单加密。然后，将加密话单发送到发出请求的移动客户机310。因为通过在移动客户机310与其当前SNOWNET服务节点302之间建立的安全通信对话传送该话单，所以这种传送是安全的。

可选的，如果移动客户机310支持公共密钥密码系统而且具有对利用不对称密码系统加密的消息进行解密的计算资源，则SNOWNET节点302可以利用移动客户机的公共密钥对已经加密的话单(利用SNOWNET节点的私有密钥)进行再次加密。接收到这种双重加密话单后，移动客户机310利用移动客户机的私有密钥对话单进行解密，并存储该话单(其还是由服务节点的公共密钥加密过)。这样，即使第三方捕获到这种话单，仍不能对该话单进行解密。

移动客户机310选择了其新SNOWNET服务节点302后，它需要向新SNOWNET节点302发送再验证请求消息。该消息含有它自己的身份、其先前服务节点的身份以及存储的话单。利用新服务节点的公共密钥对该消息进行加密。

在收到这种再验证消息后，新服务节点302首先利用其自己的私有密钥对该消息进行解密。然后，新服务节点302利用先前服务节点的公共密钥对包含在该消息内的话单(仍然由先前服务节点的私有密钥加密的)进行解密。如果该话单有效，则服务节点302为该移动客户机310生成临时通信对话密钥。该服务节点302向客户机310发送具有“成功”标志的再验证响应消息。利用包含在话单内的对话密钥传输密钥对该消息进行加密，并通过开放信道将它发送到移动客户机310。收到该临时通信对话密钥后，移动客户机310可以通过新服务节点302发送和接收消息业务。

临时通信对话密钥仅在短时间内有效。在它过期后，不允许将该临时通信对话密钥用于移动客户机310与其新服务节点302之间的通信。因此，在该临时通信对话密钥的有效窗口内，移动客户机310必须完成本小节以上描述的正常移动客户机验证过程。也就是说，对于要验证的客户机310，需要将其证书发送到SNOWNET 300的RADIUS服务器303。经过RADIUS服务器303的验证后，RADIUS服务器303开始以正常方式发放并管理用于移动客户机310与服务节点302之间的通信的对话密钥。

SNOWNET寻址

在说明SNOWNET中怎么进行数据传送之前，先详细说明怎样管理地址。

SNOWNET节点可以具有多个通信接口，各具有全球唯一的标识符，就是该接口的硬件地址。这种地址用于通信接口之间的链路层通信中，使各个接口相互寻址。因为链路层通信通常是由介质访问控制(MediumAccess Control，MAC)协议处理，所以硬件地址通常也称为MAC地址。在各种寻址标准中，IEEE 802.3(Ethernet)标准是最为广泛接受的。几乎所有的新近的MAC协议标准都采用了相同的48位地址格式。因为MAC地址是由制造商分配给通信接口的，并且他们是全球唯一的，所以他们通常也用作他们的主机设备的唯一标识符。对于具有多于一个通信接口(也就是多个MAC地址)的SNOWNET节点，使用最低MAC地址作为该SNOWNET节点的唯一节点标识符。

尽管MAC地址是全球唯一的，但根据硬件制造商对他们进行管理和组织。为了使计算设备能够在全球范围内相互通信，通常采用基于设备的连接位置，而不是设备制造商的更加层级结构的寻址方案。因此各个通信接口还分配有网络层地址，称为互联网协议(IP)地址。各个IP地址标识了互联网上可全球寻址的通信端点。各个IP地址具有网络地址部分和主机地址部分。这些网络地址也是分层管理的。也就是说，网络可以划分为多个子网，子网又可以进一步划分为更小的子网。这种全球路由架构也是分层的。在最高层，路由器仅具有大的、自发管理的网络(即互联网服务提供商(ISP)的网络)的路由入口。在较低的层，例如，自发管理网络内的路由器可以具有该网络内的子网的路由入口。

网络地址是由数字和长度规定的。长度规定了有多少位(从最高有效位开始)是用于IP地址中的网络地址。IP地址的其余位可以用于寻址网络内的其他实体。这些地址一起称为网络(或子网)的地址空间。因此，网络地址越短，该网络就越大，该网络的地址空间也越大。

最小的子网称为广播域(broadcast domain)，因为只有在这个级别上广播MAC地址FF:FF:FF:FF:FF:FF才有效。设备可以用这个广播地址来与该广播域中的所有设备通信。如上所述，IP地址需要映射到MAC地址上以进行链路层通信。IP地址和MAC地址之间的映射也仅在广播域中有效，因为只有在同一广播域中设备才能使用广播MAC地址来相互查询IP地址和MAC地址之间的映射。

以下将要详细描述，SNOWNET可以在两种不同的数据传送模式下进行操作：桥接模式和路由模式。在这两种模式下地址管理也是不同的。

当SNOWNET在桥接模式下操作时，其IP地址管理非常简单。整个SNOWNET是一个广播域。所有的设备，包括SNOWNET设备和客户机设备共享同一个IP地址空间。将一个特殊的SNOWNET节点配置为DHCP服务器，管理整个网络的IP地址分配。其具有一个地址池(address pool)以发放给客户机和SNOWNET节点设备。过期的IP地址返回到地址池中以备将来分配。新的设备(可以是SNOWNET节点或客户机设备)通过验证后，会发出DHCP请求，要求IP地址分配和其他相关的IP通信参数，比如该SNOWNET的默认路由器和域名服务器(DNS)的地址。这个请求广播到该SNOWNET中的所有设备，包括DHCP服务器节点。除DHCP服务器节点之外，所有其他的节点会忽略这个请求，DHCP服务器节点用从他的IP地址池中分配的IP地址来回复这个请求。所请求的其他参数也包含在这个回复消息中。这个回复被发送回该新设备，新设备可以使用所分配的IP地址和其他参数来配置自己。

当SNOWNET在路由模式下操作时，地址管理要复杂得多。不能由一个实体来管理整个SNOWNET的地址，因为SNOWNET可以划分为多个子网。典型的配置是提供本地接入服务的各个SNOWNET节点具有自己的子网，并且管理这些子网内的寻址。为SNOWNET节点的主干接口分配单独的子网地址空间。路由模式SNOWNET的管理者需要配置这个单独的主干子网的地址空间。

在新的SNOWNET节点被接受进网络中后，需要向新的节点分配地址。这些地址包括该节点的主干接口的地址和其服务接口的地址空间。这可以由SNOWNET分布式地实现。新节点向作为其验证器的SNOWNET节点发送一个地址请求(Address Request)，请求其主干接口的地址和其本地服务接口的地址空间。通过在其路由表中查询该SNOWNET的已知地址和地址空间，验证器节点把未使用的地址和地址空间分配给新节点，并把这些分配结果发送回发出请求的节点。

因为这个问题的分布式特性，上述地址分配可能会与SNOWNET内的其他节点发生冲突。这可能是因为验证器未完善地了解整个网络中的地址使用情况，也可能是因为同一SNOWNET的远距离部分的另一个新节点同时向一个不同的验证器节点请求地址。如果出现并随后检测到了这种冲突，则根据相关节点的标识符来解决这个问题。具有较低节点标识符的SNOWNET节点可以保持其地址，其他方则需要放弃其地址并重新进行地址请求和选择过程。

因为IP地址的短缺，通常的做法是管理者对于其管理之下的计算机使用“专用地址”。这些地址是和任何其他地址具有相同格式的IP地址。但是，他们只能在专用网络中使用，以寻址同一专用网络中的设备。这种地址不能在专用网络之外使用。因此，具有专用地址的设备不是真正的“可全球寻址”。

专用网络中的设备不能使用他们的专用地址与其专用网络之外的设备通信。不同的专用网络可以使用相同的专用网络地址空间，因为这些设备不会使用他们的专用地址来与不同专用网络中的设备进行通信。

解决这个问题的方案称作网络地址转换(Network AddressTranslation，NAT)，也就是说，既与专用网络相连又与互联网相连的节点需要执行网络地址转换以在专用网络之内的设备与专用网络之外的设备之间进行通信。NAT设备具有一个与具有专用地址的专用网络相连的接口，从而他可以与同一专用网络内的设备进行通信。同一NAT设备还可以具有一个与具有公共地址的互联网相连的接口，从而他可以与互联网上的其他设备进行通信。

所有的应用层通信端点由网络层地址(IP地址)和传输层地址(用户数据报协议端口或传输控制协议端口，User Datagram Protocol port或Transmission Control Protocol port)标识。当数据分组从专用地址设备发出时，他首先被传送到NAT设备。NAT设备把源节点的网络层地址和传输层地址存储在其NAT表的转换条目中。NAT设备为这个数据分组分配与这个源节点使用的相同传输层协议的未使用端口，并把端口号与源设备的专用地址和端口号一起存储在该表中。然后把数据分组的源网络层地址和传输层地址替换为他自己的公共IP地址和新分配的端口。然后把数据分组转发到其公共网络接口之外。

对于该通信的另一端，看起来这个通信是由NAT设备始发的，从而返回通信也是利用NAT设备的公共地址和网络层地址和传输层地址作为目标地址而指向该NAT设备。这个返回数据分组到达NAT设备后，该设备利用目标传输层地址来定位转换条目，并找出该条目中的专用IP地址和传输层地址。NAT设备重新用该转换条目中存储的网络层地址和传输层地址替换分组的目标网络层地址和传输层地址，并把分组传送到其专用网络接口之外，到达真正的通信端点。

以上介绍的SNOWNET寻址方案可用于专用地址和公共地址，从而SNOWNET的管理者可以根据有多少IP地址可用来分配给SNOWNET而选择一种。如果SNOWNET使用专用地址，则网关SNOWNET节点需要提供NAT功能。

数据转发

现在说明SNOWNET 300的数据传送，包括桥接和路由。

SNOWNET 300对于主干通信和SNOWNET节点302及其移动客户机310之间的通信使用独立的共享WEP密钥管理程序，从而提供了两个单独的安全级别。

利用根据为该客户机310提供服务的SNOWNET节点302的共享密钥生成的本地加密密钥，对源客户机310始发的数据分组进行加密。AP接口接收该分组，而且SNOWNET节点302对该分组进行解密。然后，如果通过主干306发送该分组，则SNOWNET节点302利用根据共享主干WEP密钥生成的加密密钥重新对它进行加密。

SNOWNET节点302可以在两种数据转发模式中的一种下工作：桥接模式和路由模式。

桥接模式

在SNOWNET节点302以桥接模式工作时，它们执行IEEE 802.1d MACBridge协议，这在上面已经进行了说明。在以桥接模式工作时，可以将SNOWNET节点302称为“SNOWNET网桥”305。

SNOWNET网桥305执行生成树协议来配置他们在主干网306内的传送拓扑结构。SNOWNET网桥305的生成树协议包含了IEEE 802.1d协议，并进行了修改，使得SNOWNET网桥端口成为物理和虚拟实体的混合。SNOWNET网桥的本地服务接入网络接口被SNOWNET网桥305看作是物理端口。另一方面，主干“端口”是虚拟的，并且对于每个主干网链路分配有一个端口。也就是说，各个虚拟端口是由本地主干接口本体和相邻网桥的主干接口本体的成对组合所确定的。在一个实施例中，网桥和其所有相邻网桥之间的通信可以共享同一物理接口，和广播链路中一样。所有端口，无论是虚拟端口还是物理端口，均需要在SNOWNET节点302启动生成树协议之前识别出来。在正常运行过程中，通过结合被动的业务监听与主动的探查而持续地监视活动端口的状态。如果状态发生变化，则执行生成树协议的重新配置操作。

在SNOWNET网桥305形成生成树之后，SNOWNET网桥305进入学习和转发阶段。在学习中，各个网桥305记住通过哪个端口可以到达各个终点MAC地址。

图6显示了SNOWNET网络300的一个示例，具有在SNOWNET主干网306上形成的生成树。该生成树包括配置为SNOWNET网桥305的SNOWNET节点302。

如图6所示，SNOWNET主干网306包括SNOWNET网桥305(B1、B2和B3)，他们为客户机310(C1至C5)提供本地接入服务(分别为AP1、AP2和AP3)。

图7是SNOWNET桥接表400内容的表。图6中的各个SNOWNET网桥305包含存储在数据存储器404中的SNOWNET桥接表400，如图7所示。图7中的表400示出了拓扑学习过程之后存储在各个网桥305中的表是完整的。与IEEE 802.1d规定的标准MAC网桥相比，其差别在于，标准MAC网桥中的“端口”列由SNOWNET网桥305中的两列代替：本地接口和相邻接口。这两个地址一起标识了SNOWNET“网桥端口”，或者是逻辑端口或者是物理端口。

图8示出了IEEE 802.11数据帧地址字段内容和“To DS”和“FromDS”的可能值。IEEE 802.11标准将连接各AP 104的主干网称为“分布系统(Distribution System，DS)”。在各个数据帧中，有2位，即“ToDS”位和“From DS”位。它们一起描述数据帧的传输方向和协议的工作模式。例如，在将数据帧从接入点(AP)，例如图6中的AP1，发送到客户机，例如图6中的C1时，将“To DS”位设置为FALSE，而将“From DS”位设置为TRUE。本发明的SNOWNET 300网络使用图8中的前3行。这前三行用于ad hoc模式通信、接入点到客户机通信以及客户机到接入点通信。第四行描述接入点之间的通信，SNOWNET网桥305目前还未使用。

在各个IEEE 802.11数据帧中，存在4个地址字段。这些地址字段包括对应于“From DS”和“To DS”位的值的不同地址。在ad hoc模式下工作时，IEEE 802.11数据帧含有3个地址：目的地地址、源地址以及IBSS的BSSID。ad hoc模式数据传输不使用该数据帧中的第四个地址。如果数据帧的“To DS”和“From DS”字段均设置为0，则可以识别出这种数据帧。本发明的SNOWNET网络300使用这种格式来进行主干306通信。

在移动客户机C始发数据帧时，设置其地址字段，正如802.11协议标准规定的那样。将其“To DS”字段设置为1，而将其“From DS”字段设置为0。第一个地址是移动客户机C连接的接入点的BSSID，在SNOWNET300中是由SNOWNET网桥的本地服务接入接口提供的。第二个字段含有移动客户机自己的地址，而第三个地址是目的地客户机C的地址。第四个地址未使用。本发明的SNOWNET网络300利用该格式实现客户机C对SNOWNET网桥305的通信。同样，本发明的SNOWNET网络300利用标准AP对客户机C格式(To DS＝0，From DS＝1)，将各帧传送到其连接的客户机C，还是未使用第四个地址。

第一SNOWNET网桥305(B1)收到指向未连接到该网桥B1上的设备(例如客户机C5)的数据帧时，SNOWNET网桥B1重新格式化该数据帧，以通过主干网306进行传送。在本发明的SNOWNET网络300中，利用第四地址字段保持发送该数据帧的SNOWNET网桥B1接口的地址，对IEEE802.11标准进行了修改。

SNOWNET网桥305总是转发与其本地接入服务接口连接的客户机C的数据帧。例如，SNOWNET网桥B2转发给客户机C2和C3的数据帧。如果数据帧的源(例如C2)和目的地(例如C3)均使用其本地网络接入服务，则通过本地接入接口转发该数据帧。否则，根据桥接表400中的学习到的MAC端点，将该数据帧转发到指定给客户机3的相邻网桥(例如B3)。

收到SNOWNET网桥(例如B2)转发的数据帧后，SNOWNET网桥(例如B3)判定是否利用类似于IEEE 802.1d的过滤器机制的机制进一步转发该数据帧。只有在先前转发器(网桥从其接收到数据帧的SNOWNET网桥，由数据帧中的第四地址字段标识)被列为活动相邻网桥，而且网桥地址数据库指示该数据帧的目的地和信源位于该网桥的不同侧(即，目的地和信源要通过不同端口到达)时，SNOWNET网桥才转发数据帧。在转发数据帧之前，网桥将数据帧中的第四地址更新为其自己的发送接口的地址。

在对目的地客户机C5提供接入服务的网桥B3处，数据帧被再次转换为适当格式的“From DS”型数据帧。

上述网桥端口管理和数据帧格式化的另一个可能的实施例是利用802.11标准定义的无线分布系统(Wireless Distribution System，WDS)链路代替上述的ad hoc型通信。WDS链路是由管理者在同一无线信道上在AP之间建立的静态链路，从而各个AP可以通过这种链路交换数据。在此，SNOWNET网桥要监视其相邻SNOWNET网桥的身份，并随着SNOWNET网桥的连接性状态改变而动态地创建和/或撤销WDS链路。

以网桥模式运行SNOWNET 300的主要优点在于，简化了网络层漫游和互联网协议(IP)地址管理。由于通常整个SNOWNET 300共享同一个IP地址空间，所以各个SNOWNET网桥305无需管理客户机IP地址。SNOWNET300内的一个专用DHCP服务器可以对整个网络300提供服务。在客户机C从一个AP覆盖区移动到另一个AP覆盖区时，不需要改变其IP地址。这种情况的其他优点包括多点广播支持和其他链路层管理协议得到了简化。

因为桥接表400(图7所示)相当于各个主机的路由表，所以在SNOWNET网络300的规模增大时，这种方法不能很好地按比例增大。此外，生成树转发拓扑限制了数据转发路径的形状和效率。在某些情况下，不能使用两个通信客户机之间的最短转发路径，因为其链路不是生成树的一部分。在广播环境下，这是一种常见情况。最后，通过周期性地交换“心跳(heartbeat)”消息，网桥305更新其地址数据库400和生成树。因此，在主干拓扑306发生变化，或客户机C变更其所连接的AP时，网络稳定到反映新拓扑和连接的新状态所需的时间可能较长。在此过渡期间，可能丢失数据分组。在最坏的情况下，更新可能赶不上拓扑的变化快，因此网络变得不稳定。

总之，SNOWNET网桥模式较简单，但是它最适于中小型动态SNOWNET300。

但是，路由模式下SNOWNET 300的用处超过了上述桥接模式的问题。

路由模式

在各SNOWNET节点302以路由模式工作时，SNOWNET节点302在主干网306上形成扁平路由空间(相对于分层或聚类的方式)。在在路由模式下工作时，将SNOWNET节点302称为SNOWNET路由器305。在这种情况下，可以将主干网306看作移动ad hoc网络(MANET)(IETF Mobile Ad-hocNetworks(MANET)Working Group，www.ietf.org/html.characters/manet-charter.html)的变型，对于SNOWNET路由可以浏览MANET路由算法的研究结果(C.Perkins，E.Belding-Royer和S.Das，″Ad Hoc On-Demand Distance Vector(AODV)Routing″，IETFInternet Draft″draft-ietf-manet-aodv-11.txt″未完成，2002年6月；D.Johnson，D.Maltz，Y.Hu和J.Jetcheva，″The Dynamic SourceRouting Protocol for Mobile Ad Hoc Networks(DSR)″，IETF InternetDraft<draft-ietfOmanet-dsr-07.txt>，未完成，2002年2月，等等)。

然而，SNOWNET 300是MANET的一种重要的特殊情况。在SNOWNET 300中，在网络中存在两种可以移动的不同类型实体：客户机310和SNOWNET节点302。然而，当前的MANET研究将整个MANET作为没有MANET拓扑结构而且各个节点均同等参与数据转发的扁平路由空间。这通常要强加特殊要求以在网络内的所有节点上实现MANET功能。在SNOWNET服务模型300中，限制了对移动客户机310的特殊要求，从而用户可以使用标准的移动计算机，例如具有标准客户机通信设备(比如普通的802.11b PCMCIA卡)的膝上型计算机、PDA以及其他市售设备。因此，通过将客户机和SNOWNET节点302配置为MANET节点而直接应用现存MANET方法不是一种可行的解决方案。

利用SNOWNET路由器305，引入了一种混合方案。在该方法中，只有SNOWNET路由器305被配置为MANET节点，并参与MANET类的路由算法。所有路由器主干接口共享同一个IP地址空间，并执行路由协议，并在它们之间交换路由信息。最后，它们一起建立到达任意主干节点的路由。

SNOWNET路由与MANET路由之间的差别在于，还对各个SNOWNET路由器305分配可屏蔽(mask-able)地址空间段，从中动态地向该路由器的本地客户机分配地址。在各个路由器上安装DHCP服务器软件以对本地移动客户机分配IP地址。在路由信息交换期间，除了通报它们自己的IP地址之外，主干节点还通报它们自己的本地服务子网。换句话说，通过将该信息包含在他们的可达网络列表内，主干节点代理它们的本地服务子网。该特殊要求要求在SNOWNET路由协议消息中具有附加字段，修改“正常的”MANET路由协议规范，以包括这些代理子网。该字段可以包括多个条目，称为“代理列表”。

为了支持漫游，除了本地服务子网之外，各个SNOWNET路由器305还负责对多个“外地移动客户机”提供代理服务，外地移动客户机310当前连接到该路由器但其地址在该路由器的地址空间之外。和本地服务子网一样，这些外地客户机地址的通报包含在SNOWNET路由协议消息中，作为代理列表中的条目。

各个SNOWNET路由器305均保持路由表500，如图9所示。路由表500规定了本地接口和作为路由路径中下一跳点目标的各个便携网络节点设备的相邻接口。

在各个路由表500中，存在两种路由条目：子网路由和主机路由。前者是集合的路由条目，其中各个条目描述了位于相应地址空间内的所有主机的路由，这在传统格式中表示为网络地址与网络掩码的组合。后者是到特定移动节点302(SNOWNET节点的主干节点或者外地移动客户机)的路由。在示例性的表500中，B1、B2和B3的条目是SNOWNET节点主干接口的主机路由，C5的条目是外地客户机的主机路由，AP1、AP2和AP3子网的条目是子网路由。在路由查找期间，可以采用最长匹配规则(W.Doeringer，G.Karjoth和M.Nassehi，″Routing on Longest MatchingPrefixes，IEEE/ACM Transactions on Networking(TON)，Vol.4，Issue1，1996年2月)。

客户机C可以离开一个SNOWNET路由器的服务覆盖区，而移动到另一个SNOWNET路由器305的覆盖区。SNOWNET 300支持客户机漫游，从而在客户机连接变化期间不会出现数据中断。对于固定式计算机，IP地址既可以用作标识符又可以用作位置指示符。然而，在对移动客户机310分配IP地址时，在移动客户机改变其连接时，这两个属性互相矛盾。在一个实施例中，IP地址应该保持不变，以保持客户机身份的完整性。在另一个实施例中，客户机应该获取新地址以反映其当前网络接入连接，从而有效进行路由。

通过允许两种类型的路由共存，SNOWNET路由器305解决了该问题。对于那些没有超出其原始SNOWNET路由器范围的客户机310，其子网的子网路由代表其路由。对于这种类型的各个单独客户机没有特殊的路由。对于那些已经离开其原始子网并变成其他路由器的“外地客户机”的客户机，各个路由表明确列出他们的路由。因为支持“外地移动客户机”，所以客户机仍留在SNOWNET 300之中时无需获取其当前连接环境的地址空间内的新IP地址。

在移动客户机310移动到新子网时，它需要向其先前路由器305发送路由更新消息600(图10示出了一个示例)，从而将其新连接通知给先前路由器。

具体而言，图10示出了路由更新消息600，也叫做通报，其中移动客户机310向其先前服务SNOWNET节点305通报其当前服务SNOWNET节点的地址。该消息600包含这个行为所涉及的三方的身份，以及与安全相关的信息，比如利用客户机的专用密钥和先前服务SNOWNET节点的公共密钥加密的证书。

这个通报600缩短了客户机从其先前路由器断开与将其新路由插入主干网内的各路由表内之间的时间或间隔。在这段时间内，目的地为该移动客户机310的数据分组被传送到该客户机的先前服务路由器305，先前服务路由器305无法进一步把数据分组传送到该移动客户机。利用这个通报，先前路由器可以在所有路由表更新之前把数据分组转发到新的路由器305。这样的通报600不能完全消除该时间间隔，但是显著减小了客户机从其先前服务路由器断开到该客户机的路由更新消息600到达其先前服务路由器之间的时间间隙的长度。由于移动客户机310通常在相邻的覆盖区之间移动，所以在主干网306拓扑中，其先前与当前服务路由器305之间的距离(或链路跳跃数)可能非常接近。因此，这个通报可能到达得更快。如果数据分组不能被传送到客户机，则各个路由器305可以选择对客户机310的数据分组进行缓存。一旦关于客户机的新路由器305的通报600到达，就将缓存的数据分组转发到新路由器305。此外，在接收到这个通报600后，如果客户机310是其先前路由器305的外地客户机，则从先前路由器的“外地客户机”列表中删除客户机310。

与众所周知的移动IP(C.Perkins，″IP Mobility Support″，IETFRFC 2002，1996年10月)中规定的那样，网络对SNOWNET 300中的外地客户机提供服务与外地代理对移动客户机310提供服务是不同的。在移动IP中，当移动客户机连接到不是其归属网络的网络上时，它需要从其当前网络获取被称为“外地地址(foreign address)”的本地IP地址。移动客户机当前连接的网络被称为“外地网络(foreign network)”。移动客户机始终保持其在归属网络上的地址。该地址被称为移动客户机的归属地址或永久地址。当互联网上的其他主机要与移动客户机通信时，它们利用移动客户机的归属地址进行通信。当移动客户机位于外地网络内时，它借助其归属网络上的实体，即他的归属代理(home agent)，接收呼入业务。通过互联网将呼入业务发送到移动客户机的归属网络。然后，归属代理捕获移动客户机的分组，并利用其新本地地址，将它们转发到移动客户机的当前位置。为了使这种方案有效，要求移动客户机向其归属代理报告其在外地网络上的本地地址。同时使用两个地址(归属地址和外地地址)，移动IP解决了寻址的连接与身份用途之间存在的矛盾。

在本发明的SNOWNET 300中，移动客户机310不需要接收新的IP地址。当移动客户机第一次进入SNOWNET 300时，它从所连接的SNOWNET节点302接收IP地址。因为网络300可以转发特定主机的数据，所以在移动客户机移动到与其原始节点不同的SNOWNET节点302的覆盖区时，移动客户机不必获得新的外地地址。网络300传播该移动客户机的反映其当前连接的路由。SNOWNET 300具有这样的能力，因为它在比移动IP环境小得多的规模下工作。因此，SNOWNET 300能够对于这些移动客户机在网络内安装各个主机的路由。另一方面，SNOWNET 300还可以容易地支持移动IP。具有移动IP功能的客户机可以简单地向其归属代理报告其SNOWNET地址作为其外地地址。在SNOWNET 300环境下，这样可以更有效地操作移动IP。

如上所述，SNOWNET包括移动网络解决方案，其向具有配备了无线网络接口的设备的用户提供安全和便携的无线连网服务。安全移动无线网络，或NOWNET，沿用了层级方式。在需要连网服务的地方部署特殊的SNOWNET节点，形成主干网。同时，SNOWNET节点向常规的移动客户机提供本地接入服务。

本发明的SNOWNET是便携的，可以在不存在连网基础设施的环境中迅速部署。SNOWNET是安全的。利用SNOWNET扩展PASS算法下的IEEE802.1x，可以非常好地保护在SNOWNET中传输的业务。SNOWNET还提供了在越区切换期间传送验证和安全以支持平滑、迅速的客户机漫游的增强方案。最后，SNOWNET提供了两种在不同本地服务小区之间自动传送消息并提供无缝漫游的操作模式。

SNOWNET可以用于几种不同的情况。在此列举一些例子。可以将SNOWNET建立为安全、可快速部署的独立连网基础设施，以对不存在可信连网环境的场所提供即时连网服务。其典型用途可以包括：战场情况、救灾过程、各种科学探索任务、机器人应用。还可以安装SNOWNET作为低成本的多跳无线LAN，以向任何组织提供无线连网覆盖。利用灵活、多跳、自组织以及自配置的无线主干网，SNOWNET可以为用户节省敷设电缆、安装以及维护的成本。SNOWNET还可以用作存根网络(stub network)，以将分离的LAN连接到组织网络。例如，学校可以利用SNOWNET将安装在遥远建筑内的LAN“粘结”到其现存校园网上。

本发明的特征包括：

基于扩展的IEEE 802.1x标准的2级安全、便携无线路由器网络设备的SNOWNET架构。

对现有的SNOWNET，安全地添加并验证路由器的PASS算法。

SNOWNET的自配置地址管理方案，以为他们的主干网和本地服务网络分配地址。

桥接协议，涉及对IEEE 802.11标准的修改，以提供与IEEE 802.1d和IEEE 802.1w桥接标准的操作兼容性。

新的路由算法，它是基于传统MANET路由算法的混合方法。

支持移动客户机在SNOWNET的不同服务区之间高效的网络级漫游。

当移动客户机在SNOWNET的不同服务区之间漫游时，支持增强的验证和安全高效越区切换机制。

该系统还包括永久的或可移动的存储器，比如磁盘和光盘、RAM、ROM等等，可以在其上存储和发布本发明的处理和数据结构。这些处理也可以通过，例如，从互联网这样的网络下载而发布。

由以上的详细说明可以理解本发明的许多特征和优点，因此所附的权利要求涵盖落入本发明的要点和范围内的所有这些特征和优点。另外，对于本领域的技术人员，很显然可以有多种改进和变化，本发明不限于此处示出和描述的具体结构和操作，相应地所有恰当的改进和等同都落在本发明的范围之内。

Claims (8)

1.一种便携无线网络节点，所述便携无线网络节点包括：

主干接口，所述主干接口用于与无线主干网进行主干通信；以及

无线网络接口，所述无线网络接口用于向移动客户机设备提供本地接入服务，使得所述移动客户机设备能够使用共享密钥与所述便携无线网络节点进行通信；

其中，所述便携无线网络节点与执行验证的验证服务器进行通信，并使得能够作为验证方经由所述验证服务器与所述移动客户机设备进行相互验证；

其中所述便携无线网络节点具有所述无线主干网的共享密钥，使得所述便携无线网络节点能够在验证成功之后加入所述无线主干网，

其中所述无线主干网的所述共享密钥不同于用于所述移动客户机设备的共享密钥；并且

当响应于已经移动到另一便携无线网络节点的所述移动客户机设备而出现通信连接的改变时，将利用所述便携无线网络节点的私有密钥加密的包括所述移动客户机设备的身份和所述便携无线网络节点的身份的话单发送至所述另一便携无线网络节点，经加密的数据能够使用所述移动客户机设备的公共密钥被再次加密；当所述另一便携无线网络节点基于所述便携无线网络节点的所述公共密钥对所述话单进行解密后，使所述移动客户机设备能够在所述另一便携无线网络节点所提供的无线服务区内执行通信。

2.一种便携无线网络节点，所述便携无线网络节点包括：

主干接口，所述主干接口用于与无线主干网进行主干通信；以及

无线网络接口，所述无线网络接口用于向移动客户机设备提供本地接入服务，使得所述移动客户机设备能够使用共享密钥与所述便携无线网络节点进行通信；

其中，所述便携无线网络节点与进行验证的验证服务器进行通信，并使得能够作为验证方经由所述验证服务器与所述移动客户机设备进行相互验证；以及

其中所述便携无线网络节点使得所述移动客户机和新的客户机被验证；并且

当响应于已经移动到另一便携无线网络节点的所述移动客户机设备而出现通信连接的改变时，将利用所述便携无线网络节点的私有密钥加密的包括所述移动客户机设备的身份和所述便携无线网络节点的身份的话单发送至所述另一便携无线网络节点，经加密的数据能够使用所述移动客户机设备的公共密钥被再次加密；当所述另一便携无线网络节点基于所述便携无线网络节点的所述公共密钥对所述话单进行解密后，使所述移动客户机设备能够在所述另一便携无线网络节点所提供的无线服务区内执行通信。

3.如权利要求2所述的便携无线网络节点，

其中所述便携无线网络节点具有所述无线主干网的共享密钥，使得所述便携无线网络节点能够在验证成功之后加入所述无线主干网。

4.如权利要求2所述的便携无线网络节点，

其中所述便携无线网络节点通过所述主干接口并利用验证服务器在IEEE 802.1x框架中进行验证。

5.如权利要求2所述的便携无线网络节点，

其中存储在所述便携无线网络节点的数据存储器内的所有信息被加密，并且在所述便携无线网络节点启动时，使用解密密钥使得能够访问所述信息。

6.一种便携无线网络节点，所述便携无线网络节点包括：

主干接口，所述主干接口用于与无线主干网进行主干通信；

无线网络接口，所述无线网络接口用于向移动客户机设备提供本地接入服务，使得所述移动客户机设备能够使用共享密钥与所述便携无线网络节点进行通信；以及

存储在所述便携无线网络节点的数据存储器中的桥接表，所述桥接表包含本地接口信息和作为桥接路径中下一跳点目的地的便携无线网络节点的相邻接口信息；

其中，所述便携无线网络节点与进行验证的验证服务器进行通信，使得能够作为验证方经由所述验证服务器与所述移动客户机设备进行相互验证；并且

当响应于已经移动到另一便携无线网络节点的所述移动客户机设备而出现通信连接的改变时，将利用所述便携无线网络节点的私有密钥加密的包括所述移动客户机设备的身份和所述便携无线网络节点的身份的话单发送至所述另一便携无线网络节点，经加密的数据能够使用所述移动客户机设备的公共密钥被再次加密；当所述另一便携无线网络节点基于所述便携无线网络节点的所述公共密钥对所述话单进行解密后，使所述移动客户机设备能够在所述另一便携无线网络节点所提供的无线服务区内执行通信。

7.如权利要求6所述的便携无线网络节点，所述便携无线网络节点还包括：

路由表，所述路由表规定了本地接口和作为路由路径中下一跳点目的地的便携无线网络节点的相邻接口。

8.如权利要求6所述的便携无线网络节点，其中路由表具有子网路由类型条目和主机路由类型条目；所述子网路由类型条目为集合的路由条目，其中每个条目描述了相应地址空间内所有主机的路由，并以传统格式表示为网络地址和网络掩码的结合；所述主机路由类型条目是到特定移动节点的路由。