CN102869012A - 无线局域网接入点设备和系统以及相关方法 - Google Patents
无线局域网接入点设备和系统以及相关方法 Download PDFInfo
- Publication number
- CN102869012A CN102869012A CN2011101917758A CN201110191775A CN102869012A CN 102869012 A CN102869012 A CN 102869012A CN 2011101917758 A CN2011101917758 A CN 2011101917758A CN 201110191775 A CN201110191775 A CN 201110191775A CN 102869012 A CN102869012 A CN 102869012A
- Authority
- CN
- China
- Prior art keywords
- wireless device
- broadcast key
- vlan
- access point
- local area
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/065—Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/60—Digital content management, e.g. content distribution
- H04L2209/601—Broadcast encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/08—Access point devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供用于无线局域网接入点设备和系统以及相关方法。在该接入点设备上,对应于同一扩展服务集划分多个虚拟局域网,其中该接入点设备包括广播密钥管理模块,其用于管理对广播信息进行加密的广播密钥;以及广播密钥存储装置,其用于存储所述广播密钥。其中在所述广播密钥存储装置中,按照与虚拟局域网的虚拟局域网标识符对应的方式存储所述广播密钥,所述广播密钥管理模块通过虚拟局域网标识符得到对应的广播密钥。
Description
技术领域
本发明涉及无线通信技术领域,具体而言,涉及用于无线局域网的接入点设备、无线局域网系统、在无线局域网中进行加密信息广播的方法以及对广播密钥进行更新的方法。
背景技术
无线局域网(WLAN)已经越来越多地应用于各种工作环境之中。在某些情况下,需要将一个WLAN划分为多个虚拟局域网(VLAN)。在现有技术中,通过在一个物理接入点设备内建立虚拟接入点(或逻辑接入点)设备,然后通过扩展服务集(ESS)对VLAN进行划分,每个VLAN对应一个ESS。例如,如图1所示,在两个物理接入点设备AP1和AP2内分别各自建立两个虚拟接入点设备AP1_a、AP1_b和AP2_a、AP2_b,将AP1_a和AP1_b构成一个无线分布式系统(WDS)并且拥有唯一的扩展服务集标识符SSID1,将AP2_a和AP2_b构成另一个WDS并且拥有唯一的扩展服务集标识符SSID2。
在现有的系统中(如图2所示),由于一个ESS只对应一个VLAN,所以如果无线设备从一个VLAN切换到另一个VLAN,则必须断开与原有的VLAN对应的ESS的连接,然后重新关联到与新的VLAN对应的ESS。同时,由于可以针对每个ESS指定独立的安全策略,因此在每个ESS所覆盖的范围中,可以使用针对该ESS的特定广播密钥对广播信息进行加密。
由于在现有技术中没有对无线设备选择哪个ESS的策略进行规定,从而会使得在WLAN中无线设备从一个VLAN切换到另一个VLAN成为客户端的自主行为,即该行为不被外在的系统所控制。在图2所示的例子中,如果无线设备通过认证断开了与VLAN1(ESS1)的连接,但该设备仍然可以尝试关联VLAN1(ESS1),即使关联不成功也可以不断地尝试,从而产生大量无效的垃圾数据给VLAN1(ESS1)带来了额外的开销。
然而,在有线VLAN的环境中(如图3所示),设备通过交换机接入网络,通过后端的认证系统认证后,交换机将该设备从一个VLAN切换到另一个VLAN(例如,从默认的VLAN1切换到该设备所属的VLAN2)中。在整个切换过程中,接入网络的设备不会意识到其自身已经从一个VLAN切换到另一个VLAN,即该行为是可以被外在系统控制的,并且在切换的过程中不需要拔掉网线重新进行连接(即,无需断开原有的连接)。
发明内容
为了在无线VLAN环境中实现与有线VLAN环境类似的访问控制,本发明提供了一种将一个ESS划分为多个VLAN的无线通信网络结构,从而当无线设备从一个VLAN切换到另一个VLAN时,无需断开与ESS的连接。但是,如果在这样的无线通信网络结构中仍旧采用原有广播信息加密方式(即,使用针对ESS的特定广播密钥对广播信息进行加密)对发送到同一ESS的广播信息进行加密,则在对应于该一个ESS的多个VLAN之间不能进行有效的信息隔离。
为了解决对上述多个VLAN进行有效地信息隔离的问题,本发明提供了一种加密信息广播方法,通过虚拟局域网标识符(VLANID)来索引用于对广播的信息进行加密的广播密钥(GTK或broadcast key),从而实现多个VLAN之间的信息隔离。
根据本发明的一个方面,提供一种用于无线局域网的接入点设备,在该接入点设备上,对应于同一扩展服务集划分多个虚拟局域网,其中该接入点设备包括:广播密钥管理模块,其用于管理对广播信息进行加密的广播密钥;以及广播密钥存储装置,其用于存储所述广播密钥,其中在所述广播密钥存储装置中,按照与虚拟局域网的虚拟局域网标识符对应的方式存储所述广播密钥,所述广播密钥管理模块通过虚拟局域网标识符得到对应的广播密钥。
利用上述接入点设备,由于在广播密钥存储装置中按照与VLANID对应的方式存储广播密钥,即,针对每个VLAN存储有其各自的广播密钥,因此可以实现针对每个VLAN选择不同的广播密钥对发送到该VLAN的广播信息进行加密,从而实现多个VLAN之间的信息隔离。
根据本发明的另一个方面,提供一种无线局域网系统,其中包括根据本发明的接入点设备。
通过上述无线局域网系统,由于采用了根据本发明的接入点设备,因此可以实现针对每个VLAN选择不同的广播密钥对发送到该VLAN的广播信息进行加密,从而实现多个VLAN之间的信息隔离。
根据本发明的另一个方面,提供一种在无线局域网中进行加密信息广播的方法,在所述无线局域网的接入点设备上,对应于同一扩展服务集划分多个虚拟局域网,其中所述方法包括:下发广播密钥步骤;信息加密步骤,在该步骤中利用与虚拟局域网的虚拟局域网标识符对应的广播密钥对针对该虚拟局域网进行广播的信息加密;以及加密信息广播步骤,在该步骤中对加密后的信息进行广播,其中下发广播密钥步骤包括以下子步骤:获取接入无线局域网中的无线设备的无线设备标识符;通过所获取的无线设备标识符获取该无线设备所属的虚拟局域网的虚拟局域网标识符;通过所获取的虚拟局域网标识符获取对应的广播密钥;以及将所获取的广播密钥下发到该无线设备。
利用上述加密信息广播方法,由于针对每个无线设备的无线设备标识符获取了该设备所属VLAN的VLANID,进而获取与该VLANID对应的广播密钥,并将所获取的广播密钥下发到对应的无线设备,因此每个无线设备可以具有与其所属VLAN对应的广播密钥。当无线设备接收到加密的广播信息之后,如果用于对该广播信息加密的广播密钥与该无线设备所具有的广播密钥一致,则该无线设备可以利用其广播密钥对加密后的广播信息进行解密,从而获取该广播信息;如果用于对该广播信息加密的广播密钥与该无线设备所具有的广播密钥不一致,则该无线设备不能利用其广播密钥对加密后的广播信息进行解密,从而不能获取该广播信息并丢弃该广播信息。因此,可以实现针对VLAN的加密信息广播,只有属于该VLAN的无线设备才能利用其广播密钥对加密后的广播信息进行解密,从而实现多个VLAN之间的信息隔离。
根据本发明的另一个方面,提供一种在无线局域网中更新广播密钥的方法,在所述无线局域网的接入点设备上,对应于同一扩展服务集划分多个虚拟局域网,其中所述方法包括:获取要对其广播密钥进行更新的虚拟局域网的虚拟局域网标识符;通过所获取的虚拟局域网标识符获取对应的要更新的广播密钥;以及将所获取的要更新的广播密钥下发到接入该虚拟局域网中的所有无线设备,然后利用更新的广播密钥进行加密信息广播。
利用上述广播密钥更新方法,由于针对VLAN的VLANID获取与该VLANID对应的要进行更新的广播密钥,并将所获取的要更新的广播密钥下发到属于该VLAN的所有无线设备,因此实现了以VLAN为单位的广播密钥更新。只有当无线设备属于该VLAN时,才能接收到针对该VLAN进行更新的广播密钥,从而实现多个VLAN之间的信息隔离。
针对不同VLAN提供不同的广播密钥,可以实现对于多个VLAN之间的信息隔离。同时,由于对应于同一ESS划分多个VLAN,当无线设备从一个VLAN切换到另一个VLAN时无需断开与ESS的连接,从而实现了与有线VLAN环境类似的访问控制。在整个切换过程中,接入WLAN的无线设备不会意识到其自身已经从一个VLAN切换到另一个VLAN,即该行为是可以被外在系统控制的。
说明书的以下部分中将给出本发明的各个方面的说明,其中详细描述是为了充分公开本发明的优选实施例,而不是对本发明进行限制。
附图说明
通过参考以下仅用于说明目的的附图,将更充分地理解本发明,其中
图1示例性地示出了在WLAN中对于VLAN进行划分的一种方式;
图2示出了现有技术中按照ESS和VLAN一一对应来划分VLAN的方式;
图3示出了在有线VLAN环境中设备从一个VLAN切换到另一个VLAN的示意图;
图4示出了根据本发明的一个实施例的WLAN系统的示例;
图5示意性地示出了图4所示WLAN系统中的接入点设备的框图;
图6以示例的方式示出了根据本发明的一个实施例对接入WLAN的无线装置进行认证、通过VLAN进行隔离以及广播密钥更新的流程示意图;
图7示出了根据本发明的一个实施例的加密信息广播方法的流程图;
图8示出了图7中的下发广播密钥步骤示例的子流程图;
图9示出了根据本发明的一个实施例的广播密钥更新方法的流程图;
图10示出了根据本发明的一个实施例实现动态VLAN的流程图。
具体实施方式
下面将结合附图对本发明的各实施例进行详细描述,但应当认识到,出于说明目的的各实施例仅仅用作示例,而不是对本发明的范围进行限制。在不背离本发明精神的情况下,本领域技术人员能够根据本发明的教导作出各种修改和/或变型。本发明的保护范围旨在涵盖所有这些修改和/或变型。
图4示出了根据本发明的一个实施例的WLAN系统100的示例,在WLAN系统100中包括接入点设备AP,在该接入点设备AP上提供具有扩展服务集标识符SSID1的扩展服务集ESS1。对应于该扩展服务集ESS1划分了两个虚拟局域网VLAN1和VLAN2,分别具有虚拟局域网标识符VLANID1和VLANID2。在图4所示的示例中,有四个无线设备STA1-STA4,每个无线设备具有各自的无线设备标识符。在本实施例中,以无线设备各自的媒体访问控制(MAC)地址作为其标识符。如图4所示,无线设备STA1-STA4的MAC地址分别为00:00:00:00:00:01、00:00:00:00:00:02、00:00:00:00:00:03和00:00:00:00:00:04。
在图4所示的示例中,无线设备STA1和STA2接入到VLAN1,无线设备STA3接入到VLAN2,而无线设备STA4没有接入到任何VLAN。当接入点设备AP分别针对VLAN1和VLAN2进行加密广播时,选择与各个VLAN对应的广播密钥对发送到该VLAN的广播信息进行加密,从而实现各个VLAN之间的信息隔离。在图4所示的示例中,接入点设备AP针对VLAN1选择key1对发送到VLAN1的广播信息进行加密,针对VLAN2选择key4对发送到VLAN2的广播信息进行加密,从而实现VLAN1与VLAN2之间的信息隔离。
在图4中还示出了与WLAN系统100连接的认证系统,无线设备接入该WLAN系统100之后,通过认证系统对接入的无线设备进行认证,如果对无线设备认证后发现该无线设备属于某一特定的VLAN,则可以将该无线设备自动切换到该VLAN。在整个切换过程中,接入WLAN的无线设备不会意识到其自身已经从一个VLAN切换到另一个VLAN,即该行为是可以被外在系统控制的,并且在切换的过程中不需要断开与扩展服务集ESS1的连接(即,无需断开原有的连接)。从而在无线VLAN环境中实现与有线VLAN环境类似的访问控制。
可替换或附加地,可以在接入点设备AP中对无线设备的无线设备标识符与VLAN的VLANID的对应关系进行维护。例如,在图4中示出了MAC地址(无线设备标识符)与VLANID的对应关系。当无线设备接入WLAN时,接入点设备AP通过该无线设备的无线设备标识符获取对应的VLANID,并将该无线设备自动切换到该VLAN。在整个切换过程中,接入WLAN的无线设备不会意识到其自身已经从一个VLAN切换到另一个VLAN,即该行为是可以被外在系统控制的,并且在切换的过程中不需要断开与扩展服务集ESS1的连接(即,无需断开原有的连接)。从而在无线VLAN环境中实现与有线VLAN环境类似的访问控制。
图5示意性地示出了图4所示WLAN系统100中的接入点设备AP的框图。该接入点设备AP包括用于管理对广播信息进行加密的广播密钥的广播密钥管理模块210以及存储所述广播密钥的广播密钥存储装置230。在广播密钥存储装置230中,按照与VLANID对应的方式存储广播密钥。广播密钥管理模块210通过VLANID得到对应的广播密钥。
利用该接入点设备AP,在广播密钥存储装置230中按照与VLANID对应的方式存储广播密钥,即,针对每个VLAN存储有其各自的广播密钥。广播密钥管理模块210利用VLAN的VLANID在广播密钥存储装置230查找与该VLANID对应的广播密钥,然后接入点设备AP利用查找所得的广播密钥对发送到对应VLAN的广播信息进行加密,从而实现多个VLAN之间的信息隔离。
图6以示例的方式示出了根据本发明的一个实施例对接入WLAN的无线装置进行认证、通过VLAN进行隔离以及广播密钥更新的流程示意图。
如图6所示,无线设备1和无线设备2向AP发出连接握手请求,AP对无线设备1和无线设备2的连接握手请求分别作出响应,将无线设备1和无线设备2添加到默认VLAN(例如,VLAN1)中(例如,将无线设备1和无线设备2的无线设备标识符与VLAN1的VLANID对应),并将VLAN1(默认VLAN)的广播密钥下发到无线设备1和无线设备2。从而,无线设备1和无线设备2可以利用VLAN1的广播密钥对针对VLAN1进行的加密广播进行解密,获得广播的信息。
无线设备2向认证服务器发出认证请求,认证服务器对认证请求作出响应。无线设备2通过认证,认证服务器授予无线设备2访问控制的加密密钥。无线设备2利用该访问控制加密密钥对网络访问控制服务器(NAS)申请访问控制授权。由于认证服务器和NAS之间的信任关系是预先建立的,并且认证服务器预先将解密密钥设置在NAS上。如果无线设备使用加密的请求报文向NAS申请访问控制,并且NAS可以正确解密,则认为该无线设备通过认证,可对其进行授权。在NAS对无线设备2的访问控制授权之后(例如,授权无线设备2可以对VLAN2进行访问),NAS通过简单网络管理协议(SNMP)命令指示AP对无线设备2接入的VLAN进行设置(稍后将通过图10对该过程详细进行描述)。AP接到来自NAS的指示之后对无线设备2所属的VLAN进行设置(例如,将无线设备2的无线设备标识符与VLAN2的VLANID对应)。AP发出指令将VLAN2的广播密钥下发到无线设备2。从而,无线设备2可以利用VLAN2的广播密钥对针对VLAN2进行的加密广播进行解密,获得广播的信息。
当一个无线设备带着广播密钥离开原有VLAN时,该VLAN中其他设备所持有的广播密钥就不再安全,有必要进行更新。从而,由于无线设备2从原有的VLAN1离开,为了使得无线设备2不再能够使用VLAN1的广播密钥对针对VLAN1进行的加密广播进行解密,因此需要对VLAN1的广播密钥进行更新。AP将VLAN1的更新的广播密钥下发到接入VLAN1的所有无线设备,然后利用更新的广播密钥对VLAN1的广播信息进行加密。针对不同的VLAN使用不同的广播密钥,并且在无线设备从某一VLAN切断之后,对该VLAN的广播密钥进行更新,从而避免了该VLAN的广播密钥泄露出去。
可替换或附加地,在上述情况下是否对广播密钥进行更新是用户的可配置选项。在某些场合下,用户认为即使广播密钥被泄露也没关系,可以不必对其进行更新。例如,WLAN中的默认VLAN是任何无线设备都能接入的网络,其广播密钥即使泄露也不会对安全性造成影响。
图7和图8对根据本发明的加密信息广播方法进行了描述。应当认识到,图7所示的流程图为整体意义上的流程图,其中的下发广播密钥步骤(S701)可以是在无线设备第一次接入WLAN时通过接入点设备将无线设备添加到默认VLAN来完成的,也可以是无线设备从一个VLAN切换到另一个VLAN是完成的。接入点设备可以在将新接入的无线设备添加到某个VLAN或者对无线设备所属VLAN进行切换的同时,针对每个VLAN使用不同的广播密钥对广播信息进行加密(S702)并对加密后的信息进行广播(S703)。当无线设备得到了某个VLAN的广播密钥之后,就能够利用该广播密钥得到该VLAN的广播信息。
图8示出了图7中的下发广播密钥步骤(S701)示例的子流程图。在图8中,以AP发现来自无线设备的连接握手请求为示例(从图6的图示中可以看出,当无线设备第一次请求接入WLAN时会发出连接握手请求),对图7中的下发广播密钥步骤(S701)进行了说明。AP通过来自无线设备的连接握手请求发现该无线设备(S801)并获取该无线设备的无线设备标识符(S802)。在图8所示的示例中,无线设备标识符为无线设备的MAC地址。接下来,AP查找是否存在与该无线设备标识符对应的VLANID(S803)。如果存在与该无线设备标识符对应的VLANID(S803中的是),则获取该VLANID(S804)。另一方面,如果不存在与该无线设备标识符对应的VLANID(S803中的否),则将该无线设备添加到默认VLAN,并获取默认VLAN的VLANID(S805)。从而,在步骤S804或S805中,通过无线设备标识符获取了该无线设备所属VLAN的VLANID。接下来,AP通过所获取的VLANID来获取对应的广播密钥(S806)并将所获取的广播密钥下发到该无线设备(S807)。
图9示出了根据本发明的一个实施例的广播密钥更新方法的流程图。在图9所示的流程图中,首先获取要对其广播密钥进行更新的VLAN的VLANID(S901)。对于VLAN的广播密钥进行更新可以是由AP周期地执行的、由于无线设备离开该VLAN所属的ESS所引起的、或者是由于接入该VLAN的无线设备从该VLAN中离开所引起的。获取VLANID之后,通过该VLANID获取对应的要更新的广播密钥(S902)。获取与VLANID对应的要更新的广播密钥的步骤(S902)可以类似于上述图8中获取广播密钥的步骤(S806)。搜索接入该VLAN的所有无线设备(S903)然后将获取的要更新的广播密钥下发到接入该VLAN的所有无线设备(S904)。
根据本发明可以实现对于VLAN的动态控制,图10示出了根据本发明的一个实施例实现动态VLAN的流程图。在图10所示的示例中,例如通过SNMP来控制AP切换正在与自己连接的无线设备的VLAN。在切换过程中,与AP连接的无线设备不会意识到其自身已经从一个VLAN切换到另一个VLAN,并且在切换的过程中不需要断开与AP的连接(即,无需断开原有的连接)。从而在无线VLAN环境中实现与有线VLAN环境类似的访问控制。
在图10所示的示例中,AP首先得到进行VLAN切换的SNMP命令(S1001)。从所得到的SNMP命令中解析出要进行VLAN切换的无线设备的无线设备标识符以及目标VLAN的VLANID(S1002)。在图10所示的示例中,无线设备标识符为无线设备的MAC地址。接下来,AP查找是否存在与该无线设备标识符对应的VLANID(S1003)。如果存在与该无线设备标识符对应的VLANID(S1003中的是),则利用目标VLAN的VLANID替代与该无线设备标识符对应的VLANID,使得目标VLAN的VLANID与该无线设备标识符对应(S1004)。另一方面,如果不存在与该无线设备标识符对应的VLANID(S1003中的否),则将要进行VLAN切换的无线设备添加到目标VLAN,使得目标VLAN的VLANID与该无线设备标识符对应(S1005)。接下来,AP通过目标VLAN的VLANID来获取对应的广播密钥(S1006)并将所获取的广播密钥下发到要进行VLAN切换的无线设备(S1007)。如果在步骤S1003中查找到与该无线设备标识符对应的VLANID(S1003中的是),则在完成该无线设备的VLAN切换之后,还应当对原有VLAN的广播密钥进行更新(S1008)。对VLAN的广播密钥进行更新的步骤可以参考图9所示的流程图。如上所述,对原有VLAN的广播密钥进行更新(S1008)是用户的可配置选项。在某些场合下,用户认为即使广播密钥被泄露也没关系,可以不必对其进行更新。例如,WLAN中的默认VLAN是任何无线设备都能接入的网络,其广播密钥即使泄露也不会对安全性造成影响。
本发明不限于上述示例,并在不脱离本发明精神范围内包括各种修改和/或变型。虽然上面已经描述了本发明的实施例,应当理解的是它们都是本发明的例子而不应当作为限制。可以在不脱离本发明范围的情况下做出添加、省略、替代和其它改变。因此,本发明不由前文描述限制,仅由权利要求的范围来限制。
Claims (14)
1.一种用于无线局域网的接入点设备,在该接入点设备上,对应于同一扩展服务集划分多个虚拟局域网,其中该接入点设备包括:
广播密钥管理模块,其用于管理对广播信息进行加密的广播密钥;以及
广播密钥存储装置,其用于存储所述广播密钥,
其中在所述广播密钥存储装置中,按照与虚拟局域网的虚拟局域网标识符对应的方式存储所述广播密钥,所述广播密钥管理模块通过虚拟局域网标识符得到对应的广播密钥。
2.根据权利要求1的接入点设备,其中还包括:
无线设备管理模块,其用于对接入所述扩展服务集的无线设备进行管理。
3.根据权利要求2的接入点设备,其中所述无线设备管理模块通过将无线设备的无线设备标识符与该无线设备所属的虚拟局域网的虚拟局域网标识符对应来对无线设备进行管理。
4.根据权利要求3的接入点设备,其中所述无线设备的无线设备标识符为该无线设备的媒体访问控制地址。
5.根据权利要求1的接入点设备,其中该接入点设备与认证系统进行通信,并且从认证系统获取关于接入所述扩展服务集的无线设备属于哪个虚拟局域网的信息。
6.根据权利要求1的接入点设备,其中所述广播密钥管理模块周期地对所述广播密钥进行更新,并且将更新后的广播密钥按照与虚拟局域网的虚拟局域网标识符对应的方式存储在所述广播密钥存储模块中。
7.根据权利要求1的接入点设备,其中当接入所述扩展服务集的无线设备从该扩展服务集离开时,所述广播密钥管理模块对该无线设备所属的虚拟局域网的广播密钥进行更新,并且将更新后的广播密钥按照与该虚拟局域网的虚拟局域网标识符对应的方式存储在所述广播密钥存储模块中。
8.根据权利要求1的接入点设备,其中接入所述扩展服务集的无线设备在对应于该扩展服务集划分的虚拟局域网之间进行切换之后,所述广播密钥管理模块对该无线设备原来所属的虚拟局域网的广播密钥进行更新,并且将更新后的广播密钥按照与该虚拟局域网的虚拟局域网标识符对应的方式存储在所述广播密钥存储模块中。
9.一种无线局域网系统,其中包括权利要求1至8任一项所述的接入点设备。
10.一种在无线局域网中进行加密信息广播的方法,在所述无线局域网的接入点设备上,对应于同一扩展服务集划分多个虚拟局域网,其中所述方法包括以下步骤:
下发广播密钥步骤,其包括以下子步骤:
获取接入无线局域网中的无线设备的无线设备标识符;
通过所获取的无线设备标识符获取该无线设备所属的虚拟局域网的虚拟局域网标识符;
通过所获取的虚拟局域网标识符获取对应的广播密钥;以及
将所获取的广播密钥下发到该无线设备;
信息加密步骤,利用与虚拟局域网的虚拟局域网标识符对应的广播密钥对针对该虚拟局域网进行广播的信息加密;以及
加密信息广播步骤,对加密后的信息进行广播。
11.一种在无线局域网中更新广播密钥的方法,在所述无线局域网的接入点设备上,对应于同一扩展服务集划分多个虚拟局域网,其中所述方法包括以下步骤:
获取要对其广播密钥进行更新的虚拟局域网的虚拟局域网标识符;
通过所获取的虚拟局域网标识符获取对应的要更新的广播密钥;以及
将所获取的要更新的广播密钥下发到接入该虚拟局域网中的所有无线设备,然后利用更新的广播密钥进行加密信息广播。
12.根据权利要求11的更新广播密钥的方法,其中所述接入点设备针对各个虚拟局域网周期地执行该更新广播密钥的方法。
13.根据权利要求11的更新广播密钥的方法,其中当接入所述扩展服务集的无线设备从该扩展服务集离开时,所述接入点设备针对该无线设备所属的虚拟局域网执行该更新广播密钥的方法。
14.根据权利要求11的更新广播密钥的方法,其中接入所述扩展服务集的无线设备在对应于该扩展服务集划分的虚拟局域网之间进行切换之后,所述接入点设备针对该无线设备原来所属的虚拟局域网执行该更新广播密钥的方法。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110191775.8A CN102869012B (zh) | 2011-07-05 | 2011-07-05 | 无线局域网接入点设备和系统以及相关方法 |
| EP12807462.2A EP2731292B1 (en) | 2011-07-05 | 2012-06-18 | Access point device, system and relevant method for wireless local area network |
| US14/130,821 US9642004B2 (en) | 2011-07-05 | 2012-06-18 | Access point device and system for wireless local area network, and related methods |
| PCT/CN2012/077075 WO2013004122A1 (zh) | 2011-07-05 | 2012-06-18 | 无线局域网接入点设备和系统以及相关方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110191775.8A CN102869012B (zh) | 2011-07-05 | 2011-07-05 | 无线局域网接入点设备和系统以及相关方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102869012A true CN102869012A (zh) | 2013-01-09 |
| CN102869012B CN102869012B (zh) | 2018-11-06 |
Family
ID=47436499
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110191775.8A Active CN102869012B (zh) | 2011-07-05 | 2011-07-05 | 无线局域网接入点设备和系统以及相关方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9642004B2 (zh) |
| EP (1) | EP2731292B1 (zh) |
| CN (1) | CN102869012B (zh) |
| WO (1) | WO2013004122A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103986593A (zh) * | 2014-05-28 | 2014-08-13 | 北京奇天揽胜科技有限公司 | 动态vlan中的组播报文发送方法及发送装置 |
| CN105323758A (zh) * | 2014-07-02 | 2016-02-10 | 上海新联纬讯科技发展有限公司 | 无线路由器扩展服务集标识符服务提供方法 |
Families Citing this family (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8589541B2 (en) | 2009-01-28 | 2013-11-19 | Headwater Partners I Llc | Device-assisted services for protecting network capacity |
| US8832777B2 (en) | 2009-03-02 | 2014-09-09 | Headwater Partners I Llc | Adapting network policies based on device service processor configuration |
| US10798252B2 (en) | 2009-01-28 | 2020-10-06 | Headwater Research Llc | System and method for providing user notifications |
| US10783581B2 (en) | 2009-01-28 | 2020-09-22 | Headwater Research Llc | Wireless end-user device providing ambient or sponsored services |
| US9954975B2 (en) | 2009-01-28 | 2018-04-24 | Headwater Research Llc | Enhanced curfew and protection associated with a device group |
| US10237757B2 (en) | 2009-01-28 | 2019-03-19 | Headwater Research Llc | System and method for wireless network offloading |
| US9572019B2 (en) | 2009-01-28 | 2017-02-14 | Headwater Partners LLC | Service selection set published to device agent with on-device service selection |
| US10326800B2 (en) | 2009-01-28 | 2019-06-18 | Headwater Research Llc | Wireless network service interfaces |
| US10492102B2 (en) | 2009-01-28 | 2019-11-26 | Headwater Research Llc | Intermediate networking devices |
| US10248996B2 (en) | 2009-01-28 | 2019-04-02 | Headwater Research Llc | Method for operating a wireless end-user device mobile payment agent |
| US11985155B2 (en) | 2009-01-28 | 2024-05-14 | Headwater Research Llc | Communications device with secure data path processing agents |
| US10264138B2 (en) | 2009-01-28 | 2019-04-16 | Headwater Research Llc | Mobile device and service management |
| US9980146B2 (en) | 2009-01-28 | 2018-05-22 | Headwater Research Llc | Communications device with secure data path processing agents |
| US9706061B2 (en) | 2009-01-28 | 2017-07-11 | Headwater Partners I Llc | Service design center for device assisted services |
| US9565707B2 (en) | 2009-01-28 | 2017-02-07 | Headwater Partners I Llc | Wireless end-user device with wireless data attribution to multiple personas |
| CN103582053B (zh) * | 2012-07-23 | 2016-09-14 | 华为终端有限公司 | 一种信道切换方法、装置和系统 |
| TWI514822B (zh) * | 2013-01-23 | 2015-12-21 | Accton Technology Corp | 無線存取點裝置、網路系統及其網路自動佈建方法 |
| WO2014159862A1 (en) * | 2013-03-14 | 2014-10-02 | Headwater Partners I Llc | Automated credential porting for mobile devices |
| US9712489B2 (en) | 2014-07-29 | 2017-07-18 | Aruba Networks, Inc. | Client device address assignment following authentication |
| CN106209430A (zh) * | 2016-06-30 | 2016-12-07 | 上海斐讯数据通信技术有限公司 | 一种无线网络扩展的方法及无线路由器 |
| CN108574935B (zh) * | 2017-03-09 | 2020-12-22 | 华为技术有限公司 | 一种组播业务处理方法及接入点 |
| US10819512B2 (en) * | 2017-11-16 | 2020-10-27 | Simmonds Precision Products, Inc. | Multiple transceivers for wireless key update |
| US11451960B2 (en) | 2020-02-04 | 2022-09-20 | Blackberry Limited | Methods and systems for segmenting computing devices in a network |
| US11677630B2 (en) * | 2021-04-30 | 2023-06-13 | Cisco Technology, Inc. | Secure device management |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1571377A (zh) * | 2003-07-21 | 2005-01-26 | 中兴通讯股份有限公司 | 无线局域网接入点设备虚拟局域网的实现方法 |
| US20050223111A1 (en) * | 2003-11-04 | 2005-10-06 | Nehru Bhandaru | Secure, standards-based communications across a wide-area network |
| US7194622B1 (en) * | 2001-12-13 | 2007-03-20 | Cisco Technology, Inc. | Network partitioning using encryption |
| US20070204158A1 (en) * | 2006-02-28 | 2007-08-30 | Symbol Technologies, Inc. | Methods and apparatus for encryption key management |
| CN101742496A (zh) * | 2002-11-26 | 2010-06-16 | 思科技术公司 | 在分层无线网络中提供安全无线网络通信的方法和装置 |
Family Cites Families (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5199072A (en) * | 1992-02-03 | 1993-03-30 | Motorola, Inc. | Method and apparatus for restricting access within a wireless local area network |
| US6307837B1 (en) * | 1997-08-12 | 2001-10-23 | Nippon Telegraph And Telephone Corporation | Method and base station for packet transfer |
| NL1008351C2 (nl) * | 1998-02-19 | 1999-08-20 | No Wires Needed B V | Datacommunicatienetwerk. |
| US7301946B2 (en) * | 2000-11-22 | 2007-11-27 | Cisco Technology, Inc. | System and method for grouping multiple VLANs into a single 802.11 IP multicast domain |
| US20030099362A1 (en) * | 2001-11-27 | 2003-05-29 | Doug Rollins | Method and apparatus for WEP key management and propagation in a wireless system |
| US7188364B2 (en) * | 2001-12-20 | 2007-03-06 | Cranite Systems, Inc. | Personal virtual bridged local area networks |
| US7221764B2 (en) * | 2002-02-14 | 2007-05-22 | Agere Systems Inc. | Security key distribution using key rollover strategies for wireless networks |
| US7382756B2 (en) * | 2002-05-04 | 2008-06-03 | Broadcom Corporation | Integrated user and radio management in a wireless network environment |
| US6965674B2 (en) * | 2002-05-21 | 2005-11-15 | Wavelink Corporation | System and method for providing WLAN security through synchronized update and rotation of WEP keys |
| US6950628B1 (en) * | 2002-08-02 | 2005-09-27 | Cisco Technology, Inc. | Method for grouping 802.11 stations into authorized service sets to differentiate network access and services |
| US7849217B2 (en) * | 2003-04-30 | 2010-12-07 | Cisco Technology, Inc. | Mobile ethernet |
| KR101188942B1 (ko) * | 2003-07-29 | 2012-10-08 | 톰슨 라이센싱 | 무선랜용 키 동기화 메카니즘 |
| JP3961462B2 (ja) * | 2003-07-30 | 2007-08-22 | インターナショナル・ビジネス・マシーンズ・コーポレーション | コンピュータ装置、無線lanシステム、プロファイルの更新方法、およびプログラム |
| KR100733020B1 (ko) * | 2004-01-16 | 2007-06-29 | 니폰덴신뎅와 가부시키가이샤 | 사용자 mac 프레임 전송방법, 에지 브리지 및 프로그램을 기록한 기록 매체 |
| JP2006033431A (ja) * | 2004-07-16 | 2006-02-02 | Matsushita Electric Ind Co Ltd | アクセスポイント制御システム及びアクセスポイント制御方法 |
| US7627123B2 (en) * | 2005-02-07 | 2009-12-01 | Juniper Networks, Inc. | Wireless network having multiple security interfaces |
| DE112006000618T5 (de) * | 2005-03-15 | 2008-02-07 | Trapeze Networks, Inc., Pleasanton | System und Verfahren zur Verteilung von Schlüsseln in einem drahtlosen Netzwerk |
| US20090129386A1 (en) * | 2005-04-29 | 2009-05-21 | Johan Rune | Operator Shop Selection |
| EP1876759B1 (en) | 2006-07-07 | 2010-09-08 | Research In Motion Limited | Provisioning secure access parameters to WLAN mobile communication devices |
| US8537716B2 (en) * | 2006-07-28 | 2013-09-17 | Ca, Inc. | Method and system for synchronizing access points in a wireless network |
| US8161543B2 (en) * | 2006-12-22 | 2012-04-17 | Aruba Networks, Inc. | VLAN tunneling |
| US8611270B1 (en) * | 2007-01-19 | 2013-12-17 | Cisco Technology, Inc. | Dynamic wireless VLAN IP multicast distribution |
| US8738907B2 (en) * | 2007-08-02 | 2014-05-27 | Motorola Solutiions, Inc. | Wireless device authentication and security key management |
| JP4983712B2 (ja) * | 2008-04-21 | 2012-07-25 | 富士通株式会社 | 伝送情報転送装置及び方法 |
| US20100074261A1 (en) * | 2008-09-24 | 2010-03-25 | At&T Intellectual Property I, L.P. | Providing access to multiple different services by way of a single network identifier |
| WO2011150396A1 (en) * | 2010-05-28 | 2011-12-01 | Huawei Technologies Co., Ltd. | Virtual layer 2 and mechanism to make it scalable |
| CN108200225B (zh) * | 2010-06-29 | 2022-04-12 | 华为技术有限公司 | 不对称网络地址封装 |
| US9756682B2 (en) * | 2012-02-06 | 2017-09-05 | Aruba Networks, Inc. | Method and system for partitioning wireless local area network |
| US20130305332A1 (en) * | 2012-05-08 | 2013-11-14 | Partha Narasimhan | System and Method for Providing Data Link Layer and Network Layer Mobility Using Leveled Security Keys |
-
2011
- 2011-07-05 CN CN201110191775.8A patent/CN102869012B/zh active Active
-
2012
- 2012-06-18 US US14/130,821 patent/US9642004B2/en active Active
- 2012-06-18 EP EP12807462.2A patent/EP2731292B1/en active Active
- 2012-06-18 WO PCT/CN2012/077075 patent/WO2013004122A1/zh active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7194622B1 (en) * | 2001-12-13 | 2007-03-20 | Cisco Technology, Inc. | Network partitioning using encryption |
| CN101742496A (zh) * | 2002-11-26 | 2010-06-16 | 思科技术公司 | 在分层无线网络中提供安全无线网络通信的方法和装置 |
| CN1571377A (zh) * | 2003-07-21 | 2005-01-26 | 中兴通讯股份有限公司 | 无线局域网接入点设备虚拟局域网的实现方法 |
| US20050223111A1 (en) * | 2003-11-04 | 2005-10-06 | Nehru Bhandaru | Secure, standards-based communications across a wide-area network |
| US20070204158A1 (en) * | 2006-02-28 | 2007-08-30 | Symbol Technologies, Inc. | Methods and apparatus for encryption key management |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103986593A (zh) * | 2014-05-28 | 2014-08-13 | 北京奇天揽胜科技有限公司 | 动态vlan中的组播报文发送方法及发送装置 |
| CN103986593B (zh) * | 2014-05-28 | 2018-02-13 | 北京奇天揽胜科技有限公司 | 动态vlan中的组播报文发送方法及发送装置 |
| CN105323758A (zh) * | 2014-07-02 | 2016-02-10 | 上海新联纬讯科技发展有限公司 | 无线路由器扩展服务集标识符服务提供方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20140226818A1 (en) | 2014-08-14 |
| EP2731292A4 (en) | 2015-04-22 |
| WO2013004122A1 (zh) | 2013-01-10 |
| EP2731292B1 (en) | 2020-10-21 |
| EP2731292A1 (en) | 2014-05-14 |
| CN102869012B (zh) | 2018-11-06 |
| US9642004B2 (en) | 2017-05-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102869012A (zh) | 无线局域网接入点设备和系统以及相关方法 | |
| EP1935143B1 (en) | Virtual lan override in a multiple bssid mode of operation | |
| US20100290622A1 (en) | Wireless communication system and method for automatic node and key revocation | |
| CN109842485B (zh) | 一种有中心的量子密钥服务网络系统 | |
| CN102137395A (zh) | 配置接入设备的方法、装置及系统 | |
| US8509442B2 (en) | Association, authentication, and security in a network | |
| CN1444362A (zh) | 无线局域网加密密钥的分发方法 | |
| US10285054B2 (en) | Method and system for storing and accessing client device information in a distributed set of nodes | |
| CN112261708A (zh) | 一种自动化批量配置WiFi设备的系统和方法 | |
| CN101420686A (zh) | 基于密钥的工业无线网络安全通信实现方法 | |
| KR20090111315A (ko) | 배전 시스템, 보안 액세스 통신 시스템 및 방법 | |
| CN101895535A (zh) | 用于标识分离映射网络的网络认证方法、装置以及系统 | |
| JP2006518967A (ja) | 仮想無線ローカルエリアネットワーク | |
| US9306921B2 (en) | Method and system for storing and accessing client device information in a distributed set of nodes | |
| CN104066083A (zh) | 一种接入无线局域网的方法和装置 | |
| CN101616414A (zh) | 对终端进行认证的方法、系统及服务器 | |
| CN101742491A (zh) | 一种移动设备与安全接入网关间密钥交换协商方法 | |
| CN105981028B (zh) | 通信网络上的网络元件认证 | |
| WO2018076298A1 (zh) | 一种安全能力协商方法及相关设备 | |
| Soroush et al. | Providing transparent security services to sensor networks | |
| CN111132373A (zh) | 网络连接方法、装置及设备 | |
| KR20130019804A (ko) | 산업무선네트워크에서 키에 의한 상호 인증 시스템 및 그 방법 | |
| KR100621124B1 (ko) | 무선 네트워크에서의 암호키 관리 방법 및 이를 이용한네트워크 장치 | |
| US11902775B2 (en) | Encrypted nonces as rotated device addresses | |
| CN113115306B (zh) | 一种增强LoraWan网络架构安全性的加密方法、系统及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |