CN113574840B - 提供用于单个无线关联的多个经认证的身份的方法和装置 - Google Patents

提供用于单个无线关联的多个经认证的身份的方法和装置 Download PDF

Info

Publication number
CN113574840B
CN113574840B CN202080020649.3A CN202080020649A CN113574840B CN 113574840 B CN113574840 B CN 113574840B CN 202080020649 A CN202080020649 A CN 202080020649A CN 113574840 B CN113574840 B CN 113574840B
Authority
CN
China
Prior art keywords
client device
identity
virtual mac
mac address
authenticated session
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202080020649.3A
Other languages
English (en)
Other versions
CN113574840A (zh
Inventor
斯瑞纳斯·甘达威利
达南杰·施力须那·帕奇
布赖恩·威斯
普拉迪普·凯泰尔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Cisco Technology Inc
Original Assignee
Cisco Technology Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Cisco Technology Inc filed Critical Cisco Technology Inc
Publication of CN113574840A publication Critical patent/CN113574840A/zh
Application granted granted Critical
Publication of CN113574840B publication Critical patent/CN113574840B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/71Hardware identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

可以为单个无线关联提供多个经认证的身份。首先,接入点(AP)可以提供与客户端设备的关联。然后,AP可以在该关联上基于第一媒体访问控制(MAC)地址和第一身份为客户端设备建立第一经认证的会话。接着,AP可以在同一关联上基于第二MAC地址和第二身份为客户端设备建立第二经认证的会话。

Description

提供用于单个无线关联的多个经认证的身份的方法和装置
本申请于2020年3月5日作为PCT国际专利申请递交,并要求于2019年3月14日递交的序列号为62/353,059的美国临时专利申请的优先权,其全部公开内容通过引用整体并入。
技术领域
本公开一般地涉及无线网络,尤其涉及无线网络中的经认证的身份(identity)。
背景技术
在计算机网络中,无线接入点(AP)是一种联网硬件设备,它允许符合Wi-Fi标准的客户端设备连接到有线网络。AP通常作为独立设备连接到路由器(通过有线网络间接或直接地连接到路由器),但它也可以是路由器本身的构成组件。若干AP也可以通过直接的有线或无线连接或通过中央系统(通常称为无线局域网(WLAN)控制器)协同工作。AP与热点不同,热点是可以通过Wi-Fi访问WLAN的物理位置。
在无线网络之前,在企业、家庭、或学校中设置计算机网络通常需要穿过墙壁和天花板铺设许多电缆,以便为建筑物中的所有网络使能设备提供网络访问。随着无线接入点的创建,网络用户能够添加使用很少或无需电缆即可访问网络的设备。AP通常直接连接到有线以太网连接,然后无线AP使用射频链路为其他设备提供无线连接,以利用该有线连接。大多数AP支持多个无线设备到一个有线连接的连接。现代AP被构建为支持使用这些射频频率发送和接收数据的标准。
发明内容
根据本公开的一方面,提供一种提供用于单个无线关联的多个经认证的身份的方法,包括:由接入点(AP)提供与客户端设备的关联;在关联上,基于第一虚拟媒体访问控制(MAC)地址和第一身份为客户端设备建立第一经认证的会话,其中,基于第一虚拟MAC地址和第一身份为客户端设备建立第一经认证的会话包括:基于由客户端设备提供的第一身份,提供客户端设备和默认网络中的默认网络认证、授权、和计费(AAA)服务器之间的第一握手;以及响应于第一握手,向客户端设备提供多个虚拟MAC地址,多个虚拟MAC地址包括第一虚拟MAC地址和第二虚拟MAC地址;以及在同一关联上,基于第二虚拟MAC地址和第二身份为客户端设备建立第二经认证的会话,其中第二经认证会话和第一经认证会话是同时建立的会话。
根据本公开的另一方面,提供一种提供用于单个无线关联的多个经认证的身份的装置,包括处理单元,处理单元能操作以:提供与客户端设备的关联;在关联上,基于第一虚拟媒体访问控制(MAC)地址和第一身份为客户端设备建立第一经认证的会话,其中,基于第一虚拟MAC地址和第一身份为客户端设备建立第一经认证的会话包括:基于由客户端设备提供的第一身份,提供客户端设备和默认网络中的默认网络认证、授权、和计费(AAA)服务器之间的第一握手;以及响应于第一握手,向客户端设备提供多个虚拟MAC地址,多个虚拟MAC地址包括第一虚拟MAC地址和第二虚拟MAC地址;以及在同一关联上,基于第二虚拟MAC地址和第二身份为客户端设备建立第二经认证的会话,其中第二经认证会话和第一经认证会话是同时建立的会话。
根据本公开的又一方面,提供一种计算机可读介质,计算机可读介质存储有指令集,指令集在被指令执行系统执行时,使得指令执行系统执行一种方法,该方法包括:由接入点(AP)提供与客户端设备的关联;在关联上,基于第一虚拟媒体访问控制(MAC)地址和第一身份为客户端设备建立第一经认证的会话,其中,基于第一虚拟MAC地址和第一身份为客户端设备建立第一经认证的会话包括:基于由客户端设备提供的第一身份,提供客户端设备和默认网络中的默认网络认证、授权、和计费(AAA)服务器之间的第一握手;以及响应于第一握手,向客户端设备提供多个虚拟MAC地址,多个虚拟MAC地址包括第一虚拟MAC地址和第二虚拟MAC地址;以及在同一关联上,基于第二虚拟MAC地址和第二身份为客户端设备建立第二经认证的会话,其中第二经认证会话和第一经认证会话是同时建立的会话。
附图说明
包含在本公开中并构成本公开的一部分的附图示出了本公开的各种实施例。在附图中:
图1示出了为单个无线关联提供多个经认证的身份的操作环境;
图2是为单个无线关联提供多个经认证的身份的方法的流程图;
图3是为单个无线关联提供多个经认证的身份的方法的时序图;和
图4示出了计算设备。
具体实施方式
概述
可以为单个无线关联提供多个经认证的身份。首先,接入点(AP)可以提供与客户端设备的关联。然后,AP可以在该关联上基于第一媒体访问控制(MAC)地址和第一身份为客户端设备建立第一经认证的会话。接着,AP可以在该关联上基于第二MAC地址和第二身份为客户端设备建立第二经认证的会话。
上面的概述和下面的示例实施例均仅是示例和说明性的,不应被视为限制所描述和要求保护的本公开的范围。此外,还可以提供除了在此阐述的内容之外的特征和/或变化。例如,本公开的实施例可以涉及示例实施例中描述的各种特征组合和子组合。
示例实施例
下面的详细描述参照附图。在可能的情况下,在附图和下面的描述中使用相同的附图标记来指代相同或相似的元素。虽然可能描述了本公开的实施例,但是修改、改编、和其他实现方式也是可能的。例如,可以对附图中示出的元素进行替换、添加、或修改,并且本文描述的方法可以通过替换、重新排序、或向所公开的方法添加阶段而被修改。因此,下面的详细描述不限制本公开。相反,本公开的适当范围由所附权利要求限定。
传统系统中可能存在第2层经认证的身份和Wi-Fi关联之间的单一关系。在客户端设备成功关联到Wi-Fi接入点后,链路层授权协议可能会被激活。这可能导致该链路层的单个经认证的会话并且客户端设备可能获得该链路层的网络配置。网络元件可以通过使用该会话的相应第2层和第3层标识符来实施与身份相关联的策略。来自客户端设备的应用流量可能得到与该身份相关联的安全/策略处理。对于传统系统,不可能同时为同一链路层维护多于一个的经认证的会话。客户端设备可以解除关联并使用新的身份凭证建立新的链路层,但不能为同一链路层保留多个经认证的会话。这可能是由于客户端设备使用了单一的固定MAC地址。
图1示出了根据本公开的实施例的用于在无线网络中提供安全认证的操作环境100。如图1所示,操作环境100可以包括客户端设备102、第一网络104、和第二网络106。客户端设备102可以包括第一应用108、第二应用110、和第三应用112。第一身份114和第二身份116可以与客户端设备102相关联。客户端设备102可以包括但不限于平板设备、移动设备、智能电话、电话、遥控设备、机顶盒、数字录像机、电缆调制解调器、个人计算机、网络计算机、大型机、路由器、蜂窝基站、或其他类似的能够访问第一网络104的基于微型计算机的设备。
第一网络104可以包括接入点(AP)118、第一认证、授权、和计费(AAA)服务器120、以及第一对端(correspondent)节点(CN)122。第一网络104可以包括例如,企业网络。第二网络106可以包括第二AAA服务器124和第二CN 126。第二网络106可以包括例如,服务提供商网络。第一AAA服务器120和第二AAA服务器124可以使用协议来协调分别对第一网络104和第二网络106的网络访问。第一AAA服务器120和第二AAA服务器124所使用的协议可以包括但不限于远程认证拨号用户服务(RADIUS)和Diameter协议。第一CN 122可以包括例如,可由第一应用108和第三应用112访问的服务器。第二CN 126可以包括例如,可由第二应用110访问的服务器。
AP 118可以包括联网设备,该联网设备可以允许诸如客户端设备102之类的无线(例如,Wi-Fi)设备连接到有线网络(例如,第一网络104)。AP 118可以包括无线LAN(WLAN)控制器(WLC),该WLC用于管理AP 118和可能存在于网络104中的其他AP。
操作环境100的上述元素(例如,客户端设备102、AP 118、第一AAA服务器122、第一CN 122、第二AAA服务器124、和第二CN 126)可以在硬件和/或软件(包括固件、驻留软件、微代码等)或任何其他电路或系统中实施。操作环境100的这些元素可以在包括离散电子元件的电子电路、包含逻辑门的封装或集成电子芯片、利用微处理器的电路中或者在包含电子元件或微处理器的单个芯片上实施。此外,操作环境100的这些元素也可以使用能够执行逻辑运算(例如,逻辑与AND、逻辑或OR、和逻辑非NOT)的其他技术(包括但不限于机械技术、光学技术、流体技术、和量子技术)实施。如以下关于图4更详细地描述的,操作环境400的这些元素可以在计算设备400中实施。
根据本公开的实施例,客户端设备102可以在同一链路层关联上保持多个经认证的会话(例如,第一认证会话和第二认证会话),并将应用绑定到不同的身份。例如,可以有第一身份114(例如,企业身份)和第二身份116(例如,服务提供商(SP)身份)。第一应用108(例如,App-1)和第三应用112(例如,App-3)可能需要使用企业身份,而第二应用110(例如,App-2)可能需要使用SP身份。链路层的这种分隔可以允许网络功能消除歧义并应用各自的网络策略和实现分段,而无需部署深度分组检测(DPI)或其他昂贵的内联(inline)流量处理工具。换言之,该语义可以允许客户端设备102为同一第2层链路关联同时建立多个经认证的会话。
在第三代合作伙伴计划(3GPP)可信Wi-Fi与基于3GPP S2a接口的移动分组核心互通的情况下,客户端设备使用订户识别模块(SIM)凭证向Wi-Fi网络进行认证。客户端设备获得的互联网协议(IP)地址配置来自移动分组核心,而不是来自接入网络。来自客户端设备的流量被路由回分组核心(除了在接入网关处利用了使用基于网络地址转换(NAT)的卸载的选择性IP流量卸载(SIPTO))。因此,客户端设备不可能同时访问接入网络中的本地服务和分组核心中的服务。在可信Wi-Fi互通方面,第5代(5G)架构可能存在相同的问题。此问题是由于第2层被绑定到单个经认证的身份以及网络基于该身份提供一组服务导致的。
本公开的实施例可以为同一链路层关联提供多个第2层身份。通过本公开的实施例,客户端设备能够同时建立多个经认证的会话并使用由不同链路层凭证保护的不同网络配置来发送不同的应用流量。为了向客户端设备提供同时建立的多个经认证的会话,本公开的实施例可以允许客户端设备使用多个第2层身份,其中,这些身份中的每个身份具有唯一的虚拟MAC地址。
图2是阐述根据本公开的实施例的用于为单个无线关联提供多个经认证的身份的方法200中所涉及的一般阶段的流程图。方法200可以使用上面关于图1更详细地描述的AP118来实现。下面将更详细地描述实现方法200的阶段的方式。使用图3所示的时序图300更详细地描述方法200。
根据本公开的实施例,图1的操作环境100示出了在其默认网络(即,第一网络104)中与AP 118相关联的无线客户端(例如,客户端设备102),该默认网络可以包括企业网络。客户端设备102可能还需要连接到辅助网络(例如,第二网络106),该辅助网络可以包括托管需要经认证的访问的服务或应用的SP网络。
方法200可以在开始框205开始并且进行到阶段210。在阶段210,AP 118可以提供与客户端设备102的关联。例如,客户端设备102可以配置Wi-Fi服务集标识符(SSID)和802.1x身份细节并且可以触发到第一网络104(例如,默认或企业网络)的连接。(阶段302)。客户端设备102随后可以执行例如,与第一网络104的802.11关联。(阶段304)。
方法200可以从AP 118提供与客户端设备102的关联的阶段210前进到阶段220。在阶段220,AP 118可以在关联上基于第一媒体访问控制(MAC)地址和第一身份114为客户端设备102建立第一经认证的会话。例如,客户端设备102(其可以充当802.lx请求方)可以使用其属于第一网络104(例如,默认网络或企业网络)的身份(即,第一身份114),与AP 118(其与可以充当802.lx认证方)执行LAN上的可扩展认证协议(EAP)(EAPoL)握手。
AP 118继而可以例如,与第一AAA服务器120(其可以充当802.1x认证服务器)执行RADIUS上的EAP握手。(阶段306)。作为EAPoL握手的结果,客户端设备102可以接收多个虚拟MAC地址(即,M1、M2、M3等)。它可以使用来自该多个虚拟MAC地址中的一个或多个来向第一网络104(例如,默认或企业网络)内的服务器发送流量。(阶段308)。在该示例中,客户端设备102可以选取MAC地址M1和IP地址IP1来向第一CN 122(即,CN-1)发送流量。(阶段310)。
一旦AP 118在阶段220中在关联上为客户端设备102建立了第一经认证的会话,方法200就可以继续到阶段230。在阶段230,AP 118可以在同一关联上基于第二MAC地址和第二身份116为客户端设备102建立第二经认证的会话。例如,客户端设备102可能需要连接到由服务提供商提供的服务或应用(称为SP/服务/应用),为此它可能需要使用替代身份(称为SP/服务/应用身份(即,第二身份116))。客户端设备102可以配置802.1x身份细节并且可以触发到第二网络106(例如,SP/服务/应用)的连接。(阶段312)。
为此,客户端设备120可以使用可用的虚拟MAC地址之一(即,M2)并使用该虚拟MAC来触发新的EAPoL认证会话。(阶段314)。客户端设备102可以使用对应于SP/服务/应用的身份(即,第二身份116),这包括EAPoL身份请求/响应信令。(阶段316和318)。
AP 118可以触发与第二网络106(例如,SP/服务/应用网络)中的第二AAA服务器124(即,AAA-2)的握手,该握手可以基于第二身份116(例如,基于该身份的领域部分)设置。所使用的AAA协议可以是远程网络支持的协议(例如,RADIUS、DIAMETER、LDAP(用于活动目录接口(Active Directory接口))等)。(阶段320)。
客户端设备102、AP 118、和第二AAA服务器124可以使用虚拟MAC M2和第二身份116(即,SP/服务/应用身份)来执行认证握手。(阶段322至334)。在成功认证后,AP 118可以创建第二身份116(即,SP/服务/应用身份)和虚拟MAC M2的映射,并且可以在该身份/MAC上安装所配置的策略。(阶段336)。客户端设备102可以使用MAC地址M2和IP地址IP2来向第二网络106(即,SP/服务/应用网络)中的第二CN 126(即,CN-2)发送流量。(阶段338)。一旦AP118在阶段230中在同一关联上建立了第二经认证的会话,方法200就可以在阶段240结束。
因此,本公开的实施例可以在同一Wi-Fi链路层/关联上提供多个经认证的并发会话,为每个经认证的会话使用不同的MAC地址和经认证的凭证。该方法可以使用相关联的经认证的链路层身份来在源地址选择(SAS)表中标记IP地址。本公开的实施例可以在主机策略表上将应用ID与经认证的身份绑定。此外,本公开的实施例可以通过考虑应用的相关联的身份来解决对应用的选择。这可能是对于SAS规则而言的新规则。此外,本公开的实施例可以按需(例如,当用户激活应用时)为给定身份建立链路层。此外,本公开的实施例可以基于应用流的终止来提供与该身份相关联的链路层的终止。
本公开的实施例可以在单个Wi-Fi关联/SSID上使能多个并发的第2层身份。在没有本公开的实施例的情况下,可能需要诸如深度分组检测(DPI)之类的过程来感知过顶(Over-the-Top,OTT)应用流并对其施加策略。通过本公开的实施例,因为策略可以绑定到与OTT应用相关联的身份,进而绑定到为应用流量分配的虚拟MAC,所以可以简化流量感知和策略实现。
图4示出了计算设备400。如图4所示,计算设备400可以包括处理单元410和存储器单元415。存储器单元415可以包括软件模块420和数据库425。当在处理单元410上执行时,软件模块420可以执行用于为单个无线关联提供多个经认证的身份的过程,包括例如以上关于图2描述的方法200的任何一个或多个阶段。例如,计算设备400可以为客户端设备102、AP 118、第一AAA服务器122、第一CN 122、第二AAA服务器124、和第二CN 126提供操作环境。客户端设备102、AP 118、第一AAA服务器122、第一CN 122、第二AAA服务器124、和第二CN126可以在其他环境中操作并且不限于计算设备400。
计算设备400可以使用无线保真(Wi-Fi)接入点、蜂窝基站、平板设备、移动设备、智能电话、电话、遥控设备、机顶盒、数字录像机、电缆调制解调器、个人计算机、网络计算机、大型机、路由器、交换机、服务器集群、类似智能电视的设备、网络存储设备、网络中继设备、或其他类似的基于微型计算机的设备实现。计算设备400可以包括任何计算机操作环境,例如,手持设备、多处理器系统、基于微处理器的或可编程的发送器电子设备、小型计算机、大型计算机等。计算设备400还可以在任务由远程处理设备执行的分布式计算环境中实施。前述系统和设备是示例并且计算设备400可以包括其他系统或设备。
本公开的实施例可以被实现为例如,计算机进程(方法)、计算系统、或制造产品(诸如,计算机程序产品或计算机可读介质)。计算机程序产品可以是计算机系统可读的并且编码用于执行计算机进程的指令的计算机程序的计算机存储介质。计算机程序产品还可以是计算系统可读的载体上的并且编码用于执行计算机进程的指令的计算机程序的传播信号。因此,本公开可以体现在硬件和/或软件(包括固件、驻留软件、微代码等)中。换言之,本公开的实施例可以采用计算机可用或计算机可读存储介质上的计算机程序产品的形式,该计算机可读存储介质中包含计算机可用或计算机可读程序代码以供指令执行系统使用或与其结合使用。计算机可用或计算机可读介质可以是可以包含、存储、传送、传播、或传输供指令执行系统、装置、或设备使用或与其结合使用的程序的任何介质。
计算机可用或计算机可读介质可以是例如但不限于,电子、磁、光、电磁、红外、或半导体系统、装置、设备、或传播介质。更具体的计算机可读介质示例(非穷举列举),计算机可读介质可以包括以下内容:具有一根或多根电线的电连接、便携式计算机磁盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或闪存)、光纤、和便携式光盘只读存储器(CD-ROM)。请注意,计算机可用或计算机可读介质甚至可以是纸的或其他合适的印刷有程序的介质,因为程序可以通过例如对纸的或其他的介质的光学扫描以电子方式被捕获,然后如有必要,以适当的方式被编译、解释、或以其他方式处理,然后被存储在计算机存储器中。
虽然已经描述了本公开的某些实施例,但可以存在其他实施例。此外,虽然本公开的实施例已经被描述为与存储在存储器和其他存储介质中的数据相关联,但是数据也可以存储在其他类型的计算机可读介质(例如,辅助存储设备,如硬盘、软盘、或CD-ROM,来自互联网的载波,或其他形式的RAM或ROM)上或从其他类型的计算机可读介质读取。此外,在不脱离本公开的情况下,可以通过任何方式修改所公开的方法的各阶段,包括通过对各阶段重新排序和/或插入或删除一些阶段。
此外,本公开的实施例可以在包括离散电子元件的电子电路、包含逻辑门的封装或集成电子芯片、利用微处理器的电路中或者在包含电子元件或微处理器的单个芯片上实施。本公开的实施例还可以使用能够执行例如,逻辑与(AND)、逻辑或(OR)、和逻辑非(NOT)之类的逻辑运算的其他技术(包括但不限于机械技术、光学技术、流体技术、和量子技术)来实施。此外,本公开的实施例可以在通用计算机内或在任何其他电路或系统中实施。
本公开的实施例可以通过片上系统(SOC)实施,其中,图1所示的元件中的每个或许多元件都可以被集成到单个集成电路上。这样的SOC设备可以包括一个或多个处理单元、图形单元、通信单元、系统虚拟化单元、和各种应用功能,所有这些都可以集成(或“烧制”)到芯片基板上作为单个集成电路。当通过SOC操作时,这里关于本公开的实施例描述的功能可以通过与计算设备400的其他组件集成在单个集成电路(芯片)上的专用逻辑来执行。
上面例如参照根据本公开的实施例的方法、系统、和计算机程序产品的框图和/或操作图示描述了本公开的实施例。各框中注明的功能/动作可能不按任何流程图中所示的顺序进行。例如,根据所涉及的功能/动作,连续示出的两个框实际上可以基本上同时执行,或者这些框有时可以以相反的顺序执行。
虽然说明书包括示例,但本公开的范围由以下权利要求指示。此外,虽然已经以结构特征和/或方法动作特定的语言描述了说明书,但权利要求不限于上述特征或动作。相反,上述特定特征和动作是作为本公开的实施例的示例公开的。

Claims (15)

1.一种提供用于单个无线关联的多个经认证的身份的方法,包括:
由接入点(AP)提供与客户端设备的关联;
在所述关联上,基于第一虚拟媒体访问控制(MAC)地址和第一身份为所述客户端设备建立第一经认证的会话,其中,基于所述第一虚拟MAC地址和所述第一身份为所述客户端设备建立所述第一经认证的会话包括:
基于由所述客户端设备提供的所述第一身份,提供所述客户端设备和默认网络中的默认网络认证、授权、和计费(AAA)服务器之间的第一握手;以及
响应于所述第一握手,向所述客户端设备提供多个虚拟MAC地址,所述多个虚拟MAC地址包括所述第一虚拟MAC地址和第二虚拟MAC地址;以及
在同一所述关联上,基于所述第二虚拟MAC地址和第二身份为所述客户端设备建立第二经认证的会话,其中所述第二经认证会话和所述第一经认证会话是同时建立的会话。
2.如前述权利要求1所述的方法,还包括:基于与所述第一虚拟MAC地址和所述第一身份相关联的流量,在所述客户端设备上的第一应用和所述第一经认证的会话上的第一对端节点之间传输该流量。
3.如前述权利要求1所述的方法,其中,建立所述第二经认证的会话还包括:基于由所述客户端设备提供的所述第二身份,提供所述客户端设备和辅助网络中的辅助网络认证、授权、和计费(AAA)服务器之间的第二握手。
4.如前述权利要求1所述的方法,还包括:基于与所述第二虚拟MAC地址和所述第二身份相关联的流量,在所述客户端设备上的第二应用和所述第二经认证的会话上的第二对端节点之间传输该流量。
5.如前述权利要求1所述的方法,还包括:向所述客户端设备提供源地址选择表,所述源地址选择表将第一应用链接到所述第一虚拟MAC地址并且将第二应用链接到所述第二虚拟MAC地址。
6.一种提供用于单个无线关联的多个经认证的身份的装置,包括处理单元,所述处理单元能操作以:
提供与客户端设备的关联;
在所述关联上,基于第一虚拟媒体访问控制(MAC)地址和第一身份为所述客户端设备建立第一经认证的会话,其中,基于所述第一虚拟MAC地址和所述第一身份为所述客户端设备建立所述第一经认证的会话包括:
基于由所述客户端设备提供的所述第一身份,提供所述客户端设备和默认网络中的默认网络认证、授权、和计费(AAA)服务器之间的第一握手;以及
响应于所述第一握手,向所述客户端设备提供多个虚拟MAC地址,所述多个虚拟MAC地址包括所述第一虚拟MAC地址和第二虚拟MAC地址;以及
在同一所述关联上,基于所述第二虚拟MAC地址和第二身份为所述客户端设备建立第二经认证的会话,其中所述第二经认证会话和所述第一经认证会话是同时建立的会话。
7.如权利要求6所述的装置,其中,所述处理单元还能操作以:基于与所述第一虚拟MAC地址和所述第一身份相关联的流量,在所述客户端设备上的第一应用和所述第一经认证的会话上的第一对端节点之间传输该流量。
8.如权利要求6所述的装置,其中,所述处理单元能操作以建立所述第二经认证的会话还包括:所述处理单元能操作以基于由所述客户端设备提供的所述第二身份,提供所述客户端设备和辅助网络认证、授权、和计费(AAA)服务器之间的第二握手。
9.如权利要求6所述的装置,其中,所述处理单元还能操作以:基于与所述第二虚拟MAC地址和所述第二身份相关联的流量,在所述客户端设备上的第二应用和所述第二经认证的会话上的第二对端节点之间传输该流量。
10.如权利要求6所述的装置,其中,所述处理单元还能操作以:向所述客户端设备提供源地址选择表,所述源地址选择表将第一应用链接到所述第一虚拟MAC地址并且将第二应用链接到所述第二虚拟MAC地址。
11.一种计算机可读介质,所述计算机可读介质存储有指令集,所述指令集在被指令执行系统执行时,使得所述指令执行系统执行一种方法,该方法包括:
由接入点(AP)提供与客户端设备的关联;
在所述关联上,基于第一虚拟媒体访问控制(MAC)地址和第一身份为所述客户端设备建立第一经认证的会话,其中,基于所述第一虚拟MAC地址和所述第一身份为所述客户端设备建立所述第一经认证的会话包括:
基于由所述客户端设备提供的所述第一身份,提供所述客户端设备和默认网络中的默认网络认证、授权、和计费(AAA)服务器之间的第一握手;以及
响应于所述第一握手,向所述客户端设备提供多个虚拟MAC地址,所述多个虚拟MAC地址包括所述第一虚拟MAC地址和第二虚拟MAC地址;以及
在同一所述关联上,基于所述第二虚拟MAC地址和第二身份为所述客户端设备建立第二经认证的会话,其中所述第二经认证会话和所述第一经认证会话是同时建立的会话。
12.如权利要求11所述的计算机可读介质,还包括:基于与所述第一虚拟MAC地址和所述第一身份相关联的流量,在所述客户端设备上的第一应用和所述第一经认证的会话上的第一对端节点之间传输该流量。
13.如权利要求11所述的计算机可读介质,其中,建立所述第二经认证的会话还包括:基于由所述客户端设备提供的所述第二身份,提供所述客户端设备和辅助网络认证、授权、和计费(AAA)服务器之间的第二握手。
14.如权利要求11所述的计算机可读介质,还包括:基于与所述第二虚拟MAC地址和所述第二身份相关联的流量,在所述客户端设备上的第二应用和所述第二经认证的会话上的第二对端节点之间传输该流量。
15.如权利要求11所述的计算机可读介质,还包括:向所述客户端设备提供源地址选择表,所述源地址选择表将第一应用链接到所述第一虚拟MAC地址并且将第二应用链接到所述第二虚拟MAC地址。
CN202080020649.3A 2019-03-14 2020-03-05 提供用于单个无线关联的多个经认证的身份的方法和装置 Active CN113574840B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US16/353,059 2019-03-14
US16/353,059 US11246028B2 (en) 2019-03-14 2019-03-14 Multiple authenticated identities for a single wireless association
PCT/US2020/021151 WO2020185501A1 (en) 2019-03-14 2020-03-05 Multiple authenticated identities for a single wireless association

Publications (2)

Publication Number Publication Date
CN113574840A CN113574840A (zh) 2021-10-29
CN113574840B true CN113574840B (zh) 2023-07-07

Family

ID=70155343

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202080020649.3A Active CN113574840B (zh) 2019-03-14 2020-03-05 提供用于单个无线关联的多个经认证的身份的方法和装置

Country Status (4)

Country Link
US (2) US11246028B2 (zh)
EP (1) EP3939230A1 (zh)
CN (1) CN113574840B (zh)
WO (1) WO2020185501A1 (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9143482B1 (en) * 2009-09-21 2015-09-22 Sprint Spectrum L.P. Tokenized authentication across wireless communication networks
CN106134157A (zh) * 2014-03-31 2016-11-16 谷歌公司 基于位置来指定mac地址

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070180499A1 (en) * 2006-01-31 2007-08-02 Van Bemmel Jeroen Authenticating clients to wireless access networks
US7870305B2 (en) * 2007-03-09 2011-01-11 Microsoft Corporation Proxy association for devices
EP2075959A1 (en) * 2007-12-27 2009-07-01 THOMSON Licensing Apparatus amd method for concurently accessing multiple wireless networks (WLAN/WPAN)
US8769257B2 (en) 2008-12-23 2014-07-01 Intel Corporation Method and apparatus for extending transport layer security protocol for power-efficient wireless security processing
US20120076072A1 (en) 2010-09-24 2012-03-29 Marc Jalfon System and method for maintaining privacy in a wireless network
WO2014020407A1 (en) * 2012-07-30 2014-02-06 Telefonaktiebolaget L M Ericsson (Publ) Method and system for providing multiple services over wlan
US9363736B2 (en) 2013-12-16 2016-06-07 Qualcomm Incorporated Methods and apparatus for provisioning of credentials in network deployments
US20150223160A1 (en) 2014-01-31 2015-08-06 Qualcomm Incorporated Directing network association of a wireless client
WO2016089264A1 (en) * 2014-12-04 2016-06-09 Telefonaktiebolaget Lm Ericsson (Publ) A wireless local area network (wlan) node, a wireless device, and methods therein
US9980133B2 (en) 2015-08-12 2018-05-22 Blackberry Limited Network access identifier including an identifier for a cellular access network node
US10624006B2 (en) 2016-08-05 2020-04-14 Qualcomm Incorporated Techniques for handover of a connection between a wireless device and a local area network, from a source access node to a target access node
US11388145B2 (en) 2016-09-12 2022-07-12 Telefonaktiebolaget Lm Ericsson (Publ) Tunneling data traffic and signaling over secure etls over wireless local area networks
WO2018162791A1 (en) 2017-03-10 2018-09-13 Nokia Technologies Oy Protected wake-up of dozing wireless device

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9143482B1 (en) * 2009-09-21 2015-09-22 Sprint Spectrum L.P. Tokenized authentication across wireless communication networks
CN106134157A (zh) * 2014-03-31 2016-11-16 谷歌公司 基于位置来指定mac地址

Also Published As

Publication number Publication date
US20220159459A1 (en) 2022-05-19
US11818572B2 (en) 2023-11-14
WO2020185501A1 (en) 2020-09-17
CN113574840A (zh) 2021-10-29
US20200296584A1 (en) 2020-09-17
EP3939230A1 (en) 2022-01-19
US11246028B2 (en) 2022-02-08

Similar Documents

Publication Publication Date Title
JP4194046B2 (ja) 無線ローカルエリアネットワークアクセスにおけるsimベース認証および暗号化システム、装置および方法
US7895642B1 (en) Tiered security services
KR100741996B1 (ko) 액세스 네트워크를 경유하여 접속을 설정하는 방법 및시스템
EP3459318B1 (en) Using wlan connectivity of a wireless device
US20070180499A1 (en) Authenticating clients to wireless access networks
US9749320B2 (en) Method and system for wireless local area network user to access fixed broadband network
JP3697437B2 (ja) ネットワークシステムおよびネットワークシステムの構築方法
US12074859B2 (en) Password-less wireless authentication
WO2008010894A2 (en) Wireless vlan system and method
US20060046693A1 (en) Wireless local area network (WLAN) authentication method, WLAN client and WLAN service node (WSN)
US20240007468A1 (en) User defined network access that supports address rotation
CN103368780B (zh) 一种业务控制方法和设备
US9258309B2 (en) Method and system for operating a wireless access point for providing access to a network
EP3454520B1 (en) Virtual private networks without software requirements
US20080244262A1 (en) Enhanced supplicant framework for wireless communications
CN113574840B (zh) 提供用于单个无线关联的多个经认证的身份的方法和装置
WO2024000975A1 (zh) 一种会话建立系统、方法、电子设备及存储介质
US11871236B2 (en) Method and a system for dynamic discovery of multi-access edge computing (MEC) applications
CN109962917A (zh) 认证信息处理方法及设备、系统、存储介质
Santos et al. Cross-federation identities for IoT devices in cellular networks
CN116868609A (zh) 用于边缘数据网络的用户装备认证和授权规程
JP5947763B2 (ja) 通信システム、通信方法、および、通信プログラム
JP2015502694A (ja) セキュアトンネリング・プラットフォームシステムならびに方法
Nishimura A distributed authentication mechanism for sharing an overlay network among multiple organizations
CN118614095A (zh) 边缘计算中用于认证过程的协商机制

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant