CN1910861A - 公共接入点 - Google Patents

公共接入点 Download PDF

Info

Publication number
CN1910861A
CN1910861A CNA2004800399942A CN200480039994A CN1910861A CN 1910861 A CN1910861 A CN 1910861A CN A2004800399942 A CNA2004800399942 A CN A2004800399942A CN 200480039994 A CN200480039994 A CN 200480039994A CN 1910861 A CN1910861 A CN 1910861A
Authority
CN
China
Prior art keywords
pap
station
virtual
address
class
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CNA2004800399942A
Other languages
English (en)
Other versions
CN1910861B (zh
Inventor
D·M·沃尔潘诺
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Technology Licensing LLC
Original Assignee
Cranite Systems Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Cranite Systems Inc filed Critical Cranite Systems Inc
Publication of CN1910861A publication Critical patent/CN1910861A/zh
Application granted granted Critical
Publication of CN1910861B publication Critical patent/CN1910861B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4604LAN interconnection over a backbone network, e.g. Internet, Frame Relay
    • H04L12/462LAN interconnection over a bridge based backbone
    • H04L12/4625Single bridge functionality, e.g. connection of two networks over a single bridge
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W40/00Communication routing or communication path finding
    • H04W40/02Communication route or path selection, e.g. power-based or shortest path routing
    • H04W40/023Limited or focused flooding to selected areas of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W64/00Locating users or terminals or network equipment for network management purposes, e.g. mobility management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W92/00Interfaces specially adapted for wireless communication networks
    • H04W92/02Inter-networking arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • H04L12/4645Details on frame tagging
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices
    • H04W88/10Access point devices adapted for operation in multiple networks, e.g. multi-mode access points

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明使用IEEE Std. 802.11元素例示了专用VLAN网桥(31)。结果是网桥(31),被称为公共接入点(31),它相比IEEE Std.802.11体系结构更适用于实现公共无线数据网络(32)。本发明也提供用于更新将公共接入点连接在一起的网桥(31)的转发表的位置更新协议。本发明还提供更受控制的桥接的方法,它被称为精细桥接。

Description

公共接入点
                            发明背景
                            技术领域
本发明涉及对电子网络的无线公共访问。更具体地,本发明涉及允许从电子网络的物理接入点之内创建虚拟基本服务集的体系结构。
                          现有技术的描述
使用传统IEEE Std.802.11兼容的接入点除某些例外部署了公共WiFi热点。然而,IEEE Std.802.11体系结构和安全模型不适于公共使用。与接入点(AP)相关联的站共享802.11基本服务集(BSS)或无线LAN。除非BSS的所有成员皆值得信任,否则BSS中没有一个站是无遭受由其它成员启动的攻击之患的。这样的攻击包括窃取基本服务和由订户提供的任何机密信息来获取服务,诸如口令和信用卡信息。具它的攻击包括对网络完整性和服务质量的破坏。期望公共BSS,即由与公共AP相关联的站组成BSS的所有成员皆值得信任是不现实的。从而,在公共BSS中,站是易受攻击的。
共享公共BSS提出了另一威胁。BSS的成员可使用蠕虫或特洛伊木马来污染其它成员站。基于端口的DCOM RPC攻击、MSBlaster和Welchia蠕虫均是很好的示例。该威胁对作为电子污水池的公共BSS尤其尖锐。站如何能应对这些威胁?
BSS中的站可使用诸如个人防火墙等防御来照料自己。或者,公共WiFi提供者可部署保护订户免受彼此破坏的安全模型。一种方法是阻止站间通信。然而这是个无法维持的解决方案。彼此信任的站即使在公共设定中也应被允许在它们之间通信。例如,站应该能够在由会议中心举行的会议中访问同一本地LAN上的文件服务器。这是例如标准会议中的惯例。然而如果这种类型的共享被允许,则在IEEEStd.802.11下,入侵者易于使整个BSS不能操作。这在2001 Usenix SecurityConference和拉斯维加斯的2001DEFCON会议中阐述。当今无线LAN没有安全模型可支持这种类型的共享而不引入易受攻击性。
提供可支持单个物理BSS的共享而不引入易受攻击性或损害使用BSS的站之间的安全性的无线LAN的安全模型是有利的。
                          发明概述
本发明提供可支持站共享单个物理BSS而不引入易受攻击性或损害站安全性的无线LAN的安全模型。因此,提供了一种新的接入点,此处称为公共接入点(PAP)。PAP具有与IEEE Std.802.11所规定的不同的安全体系结构。PAP体系结构允许从单个物理PAP中创建虚拟基本服务集。可创建任意数量的虚拟服务集,且任何数量的终端站均可属于一个虚拟BSS。PAP就终端站看来是多个物理802.11接入点,每一虚拟BSS一个。从而,PAP与任何802.11终端站完全可共同操作。
作为PAP使用的示例,考虑会议中心。不同的会议可使用启用802.11的投影仪。PAP允许为每一会议提供单独的LAN段,从而为每一会议提供单独的链路私密性和完整性。替代地仅使用IEEE Std.802.11,会议投影仪和能够使用它来投影的所有站必须使用私有接入点或自组织(ad hoc)WLAN,并管理WLAN成员、认证和密钥材料。否则,任何人都可使用该投影仪投影,或更糟地,在有效的投影仪通信被显示之前截取该通信,使得它可由外部人员监控或破坏。
除了与现有技术方法相关联的安全管理负担过高以外,会议计划者偏好利用本地接入点而不是在每个会议地点处安装和配置他们自己的接入点。PAP可管理所有的安全性。使用PAP,每一会议中的所有终端站,包括共享的投影仪和任何本地文件服务器,均有效地与该会议的虚拟802.11接入点相关联,且所有的虚拟接入点均从同一物理PAP中产生。
本发明也提供用于更新将公共接入点连接在一起的网桥的转发表的位置更新协议。
本发明还提供更受控制的桥接的方法,这种桥接被称为精细桥接。
                               附图简述
图1是IEEE Std.802.11协议实体的示意性框图;
图2是IEEE Std.802.11配置基础架构的示意性框图;
图3是根据本发明的公共接入点体系结构的示意性框图;
图4是根据本发明其中一个站是AP的三站虚拟BSS内的可访问性的策略的示意性框图;
图5是根据本发明其中站A和B共享服务器站S和D但A和B不允许彼此访问的的四站之间的策略的示意性框图;
图6是根据本发明经修改使得将从B到A的边添加到图3中的策略的该策略的示意性框图;以及
图7是消除经由基于端口的VLAN分配、出口过滤和共享VLAN学习(SVL)连接至基础架构系统的边缘主机(edge host)之间的直接通信的IEEE Std.802.1Q网桥的示意性框图。
                       发明的详细描述
公共接入点
在美国专利申请第10/057,566号中,描述了一种协议,通过该协议,终端站可创建通过复制现有VLAN的有标记和无标记的成员集来克隆现有VALN的虚拟桥接的LAN(VLAN)。此外,新的VLAN由其唯一的安全关联而唯一。该关联提供使属于VLAN的分组保持私密且允许它们的VLAN成员由加密钥的MAC使用密码来验证的密钥材料。新的VLAN由其创建者所有。所有者控制哪些站可加入和发现VLAN,以及VLAN的生存周期。从而,VLAN被称为专用虚拟桥接LAN(PVLAN)。
本发明的一个实施例提供了仅使用IEEE Std.802.11-1999(见部分11:无线LAN媒体访问控制(MAC)和物理层(PHY)规范,ISO/IEC 8802-11:1999(E),ANSI/IEEE Std.802.11,1999版本;以及部分11:无线LAN媒体访问控制(MAC)和物理层(PHY)规范,媒体访问控制(MAC)安全增强,IEEE Std.802.1li/D7.0,对ISO/IEC 8802-11:1999(E)的修正草案,ANSI/IEEE Std.802.11,1999版本)的标准元素的PVLAN的细化。
也可见图1,它是一IEEE Std.802.11协议实体的示意性框图;以及图2,它是一IEEE Std.802.11配置基础架构的示意性框图,其中每一BSS(BSS-A、BSS-B)包括相应的接入点(AP-A、AP-B)及相关联的站(A1/A2、B1/B2)。本发明不要求对不作为接入点的与802.11兼容的任何终端站的行为的修改。该细化例示了对虚拟802.11BSS的PVLAN,且仅影响接入点。
图3是根据本发明的公共接入点体系结构的示意性框图。例如BSS-1或BSS-2的虚拟802.11BSS包括一组站,每一个站具有一个硬件(MAC)地址(见图1),这组站共享唯一的安全关联,后者被称为组安全关联。安全关联由加密密钥和认证码密钥构成。
虚拟BSS中的站中只有一个是公共接入点(PAP)31。它桥接802.11无线媒介(WM)32与802.11分布系统媒介(DSM)33。
对虚拟BSS中的每一个站存在唯一的单播安全关联。它在该站与该虚拟BSS的PAP之间共享。
例如BSS-1或BSS-2的每一虚拟BSS具有其自己的标识符,即BSSID。它是属于该BSS的PAP的虚拟MAC地址。PAP从WM中接收目的地为其虚拟MAC地址之一的任何帧,并使用其虚拟MAC地址之一作为帧的源MAC地址向WM发送一个帧。
虚拟基本服务集的集合由单个PAP处共享的TSF(定时同步功能)、DSF(分布式协调功能)以及可任选的PCF(点协调功能)支持。在每一PAP处存在单个NAV(网络分配向量)和PC(点协调器)。这样的共享是可能的,因为802.11虚拟载波侦听、媒介保留机制被设计成与使用同一信道重叠的多个基本服务集一起工作。这种类型的重叠可在由单信道PAP支持的虚拟基本服务集之间发生。虚拟服务集可使用一个信道从而可在PAP处重叠。
PAP可属于一个以上虚拟BSS。见图1上的BSS-1、BSS-2。不是PAP的任何站可以属于至多一个虚拟BSS。
虚拟802.11BSS可通过由虚拟桥接LAN的BSS公共接入点的连接与另一虚拟BSS桥接。每一虚拟BSS的PAP经由知晓VLAN的网桥的集群(trunked)或无标记的端口连接至分布系统(DS)。向DS发送的帧可带有DSM已知的VLAN标记。PAP可维护将VLAN标记映射至虚拟BSSID的DSM VLAM映射。
目前有两种虚拟BSS:类1和类3虚拟BSS。PAP支持一个且仅一个类1虚拟BSS和一个或多个类3虚拟基本服务集。在PAP管理下,类1虚拟BSS是当站处于802.11状态1或2时允许占用的唯一虚拟BSS。当站处于状态3时,它被允许加入类3虚拟BSS。类3虚拟BSS可由用于认证站的认证的类型确定,例如开放系统或共享的密钥。
类1虚拟BSSID是具有BSSID字段的每个类1和类2帧的这个字段。如果合适,它也是类1和类2的帧的接收方或发送方地址字段。
每个虚拟BSS除时戳、信标间隔、能力信息私密(受保护)位、服务集标识符(SSID)、安全能力元素和通信指示映射(TIM)元素字段之外,具有相同的信标帧内容。
如果PAP不支持类3虚拟BSS中的终端站的PS(节电)模式,则它不必对该BSS发送信标。如果它的确对类3发送信标,则每一信标中的SSID元素指定广播SSID。这些步骤防止任何类3虚拟BSS经由发送信标来标识。
仅类1虚拟BSS信标具有带有非广播SSID字段的SSID元素。站可仅与类1虚拟BSS相关联。站使用关联或重新关联请求帧的SSID元素中的非广播SSID。
美国专利申请第10/057.566号标识了PVLAN加入和发现步骤。以表示为虚拟BSS的PVLAN,这些步骤如下例示:
加入
每一站默认的是PAP处类1虚拟BSS的成员。PAP可认证类1虚拟BSS中的站的用户或者站本身。如果成功,则站在该PAP处进入802.11状态2。此时,PAP和该站可在处于类1虚拟BSS的同时交换类1和类2的帧。
类1帧是没有密码保护的。如果站和PAP在成功的认证之后共享单播安全关联,则类2的帧可受密码保护。PAP和站也可在认证之后共享组安全关联。组安全关联是对站所属的类3虚拟BSS的,如果它完成了与PAP的802.11关联。
在站与PAP可交换类3帧之前,站必须
1)从状态2请求与类1虚拟BSS的关联;以及
2)切换至类3虚拟BSS。
PAP通过用源地址(地址2字段)或BSSID(地址3字段)是类3虚拟BSS的类3虚拟BSSID的关联响应MMPDU来响应站的关联请求而将站切换至该类3虚拟BSS。该关联响应的能力信息字段可使其私密(受保护)位置为1。
类3虚拟BSS以以下三种方式之一确定:
1)DS中的认证服务器为用户指定DSM VLAN,PAP使用其DSM VLAN
映射将该DSM VLAM映射到类3虚拟BSSID;
2)DS中的认证服务器为用户指定类3虚拟BSS;或
3)PAP为用户创建新的类3虚拟BSS;PAP可告知认证服务器该新的虚拟BSS,并向其提供允许其它站加入新BSS的规则。
发现
类1虚拟BSS是通过802.11信标或探测响应管理帧来发现的,其中BSSID字段(地址3字段)和源地址字段(地址2字段)各自置为类1虚拟BSSID。这些帧中能力信息字段的私密(受保护)位置为0。信标的TIM元素应用于类1虚拟BSS。仅类1虚拟BSS是经由信标帧通告的。
数据帧(MPDU)分布
PAP实现MAC协议数据单元(MPDU)网桥协议。对从DSM或WM接收到的MPDU,该协议是由以下两种情况定义的:
1.从DSM接收到的MPDU。这有两种子情况(注意:这两种子情况处理所接收到的MPDU向PAP的本地LLC的传递,因为每个PAP的站属于至少一个虚拟BSS):
a.所接收到的MPDU不具有VLAN标记或具有空VLAN标记。如果目
的地地址是属于虚拟BSS的站的地址,且该站与PAP相关联,或如果目的地
地址是组地址,虚拟BSS含有属于该组的站,且该站与PAP相关联,则来自
DSM的MPDU被中继给该虚拟BSS。所有的站属于广播组。
b.所接收的MPDU具有非空VLAN标记。向其中继MPDU的虚拟BSS
由PAP的DSM VLAN映射中向其映射该非空VLAN标记的虚拟BSSID标识。
如果对给定标记未定义映射,则不中继MPDU。
向其中继接收到的MPDU的任何虚拟BSS具有BSSID,它形成中继到该虚拟BSS的802.11MPDU的源地址(地址2字段)。
2.从WM接收到的MPDU。如果目的地地址(MPDU的地址3字段)是属于由MPDU的地址1字段标识的虚拟BSS的站的地址且该站与PAP相关联,或如果目的地地址是组地址,则将所接收到的802.11MPDU中继给所标识的虚拟BSS。否则,该帧不被中继给任何虚拟BSS。所接收的802.11MPDU的地址1字段是中继给由地址1字段标识的虚拟BSS的802.11MPDU的源地址(地址2字段)。
如果目的地地址(MPDU的地址3字段)是不与PAP相关联的站的地址,或如果目的地地址是组地址,则所接收的MPDU也中继给DSM。如果DS是知晓VLAN的,则中继给DSM的MPDU具有VLAN标记,否则它不被标记。VLAN标记是PAP的DSM VLAN映射下所接收的MPDU的地址1字段的原象。
加密和解密处理
加密和解密应用子类型关联请求/响应、重新关联请求/响应、取消关联和取消认证的802.11数据帧和管理帧。
在将802.11数据或管理帧发送给WM之前由PAP使用的加密处理涉及以下两个主要步骤:
·为该帧标识安全关联;以及
·然后使用该关联来构造扩展帧以便根据某些编码和认证码协议传输。
对虚拟基本服务集之间的广播和多播通信可使用不同的编码和认证码协议,且对单个虚拟BSS中站之间的有向(单播)通信可使用不同的编码和认证码协议。
如果帧目的地地址(地址1字段)是站的地址,则在扩展中使用该站与PAP之间共享的单播安全关联。如果帧是数据帧,且其目的地地址是组地址,则MPDU网桥协议为该帧标识目的地虚拟BSS。所标识的虚拟BSS的组安全关联在扩展中使用。
非PAP站使用在其虚拟BSS中它与PAP共享的单播安全关联发送类型为数据或管理的802.11MPDU到DS。
当从WM中接收802.11数据或管理帧时,PAP试图使用由MPDU的源地址(地址2字段)标识的站的单播安全关联来译码和验证帧的完整性。
当从PAP中接收类型为数据或管理的802.11MPDU时,如果帧的目的地地址(地址1字段)是非PAP站的地址,则该站试图使用它与PAP共享的单播安全关联来译码和验证帧的完整性,如果帧的目的地地址是组地址,则非PAP站试图使用其类3虚拟BSS的组安全关联来译码和验证帧的完整性。
位置更新协议
本发明也包括用于更新将公共接入点连接在一起的网桥或其它互连媒介的转发表的位置更新协议。
给定连接至桥接LAN的生成树中的不同网桥的多个公共接入点以及与这些公共接入点之一关联然后与新PAP重新关联的终端站,该新PAP向该站之前关联的PAP发送有向网桥协议数据单元(BPDU)(称为重定位PDU)。BPDU的目的地地址是重新关联请求帧的当前AP地址,它是类3虚拟BSSID。源地址是该站的硬件地址。
当在特定端口处接收重定位MPDU时,网桥以将接收端口绑定至MPDU的源地址的条目更新其转发表。
除非重定位MPDU到达接收网桥指定的根端口或接收网桥是生成树的根,否则接收网桥将该MPDU转发给该端口。如果它是在网桥的指定的根端口接收或由根网桥接收,则根据所知的网桥的转发表将其转发,这可包括将MPDU转发给除接收端口以外的所有端口。
精细桥接
上述本发明的一个实施例将PVLAN细化为虚拟BSS。在MPDU网桥协议下,虚拟BSS中的任何站可向该虚拟BSS中的任何其它站发送有向或带有组地址的帧。这可能是不合需要的。例如,会议中心中的会议可具有其自己的虚拟BSS,但不是所有的参与者都彼此信任。通过共享同一虚拟BSS,某些参与者可启动蠕虫或病毒。试图通过向每一参与者分配唯一的虚拟BSS来阻挠这些攻击将阻止参与者共享服务器。理想地,服务器由所有的会议参与者共享,然而没有参与者能够访问另一参与者,即向其发送帧。上述公共接入点不能提供这种等级的访问控制。而支持精细桥接的AP可提供这种访问控制。
也可见图7,它是将一组边缘主机连接至诸如LAN等基础架构系统的IEEEStd.802.1Q网桥的示意性框图。从边缘主机到达的无标记帧由基于端口的VLAN分配而被分配给VLAN A(PVID A),而从基础架构系统到达的无标记帧被分配给VLAN B(PVID B)。所述出口规则允许属于A或B的帧外行至基础架构,而仅有属于B的那些才被允许外行到边缘主机。以这种方式,防止边缘主机彼此直接通信。
精细桥接将广播或多播域的标识与BSS去耦。
在精细桥接下,AP的桥接行为由表示成有向图的策略确定。该图的节点是站,且当且仅当站A必须能够访问站B,换言之,站B必须能够从站A接收有向帧或组帧时,存在从站A到站B的边。
对给定策略,节点的广播域是其自身以及它必须访问的所有节点。该策略的广播域集是其节点的广播域集。
在策略的一种实现中,对每个广播域存在组安全关联。此外,每一站(节点)拥有该策略中其自身的广播域的组安全关联,以及该策略中它作为成员的每个其它广播域的组安全关联。前一关联可由站用来发送组帧,后一关联可用于接收组帧。
其中一个站为AP的三站虚拟BSS内的可访问性由图2中所示的策略捕捉。该策略中的每一节点具有作为其广播域的{A,B,AP}。因此,假定策略反映虚拟BSS,则对期待的策略仅存在一个广播域。每一站知道该域的组安全关联,且可在该关联下发送和接收组帧。
图3捕捉四个站之间的策略,其中站A和B共享服务器站S和D,但A和B不允许彼此访问。
该策略具有广播域B1:{A,S,D}、B2:{B,S,D}和B3:{D,A,S,B}。站A知道B1的组安全关联以便发送组帧,并知道B3的组安全关联以便接收由S和D发送的组帧。站D知道B3的组安全关联以便发送组帧和从S接收它们,并知道B1和B2两者的组安全关联以便分别从A和B接收组帧。
如果图3中的策略被修改成使得例如从B到A的边被添加到该策略,如图4中所示,然后可去除域B2并仅保留B1和B3。
如果对图4中的策略添加从A到B的边,则对该策略,域B1、B2和B3将折叠成单个域B3。
其它策略变化的规定是在本领域技术人员的能力范围之内的。
尽管本发明此处参考较佳实施例描述,但本领域的技术人员可容易地理解,可使用其它应用来替代此处所述的那些,而不背离本发明的精神和范围。从而,本发明仅受所附的权利要求书的限制。

Claims (49)

1.一种无线LAN的安全装置,包括:
多个终端站;以及
公共接入点(PAP),用于从单个物理接入点(AP)内提供多个虚拟基本服务集(BSS);
其中,任何数量的所述终端站均可属于一虚拟BSS;
其中,所述PAP对所述终端站而言是多个物理接入点,对每一虚拟BSS一个AP。
2.如权利要求1所述的装置,其特征在于,所述PAP提供多个单独的LAN段,同时为所述LAN段的每一个提供单独的链路私密性和完整性。
3.如权利要求1所述的装置,其特征在于,所有所述终端站,以及与所述LAN相关联的任何本地文件服务器和其它设备,均与一虚拟接入点相关联;且其中,所有虚拟接入点均是从同一物理PAP中产生的。
4.如权利要求1所述的装置,其特征在于,还包括:
多个PAP;以及
用于更新将所述PAP连接在一起的网桥的转发表的位置更新协议。
5.如权利要求1所述的装置,其特征在于,还包括:
用于限制所述属于一虚拟BSS的所有终端站之间的通信的精细桥接方法。
6,一种无线LAN的安全装置,包括:
多个802.11终端站;
公共接入点(PAP),所述PAP包括例示为来自单个物理接入点(AP)内的虚拟802.11基本服务集的专用虚拟桥接LAN(PVLAN)。
7.一种安全无线网络,包括:
虚拟802.11基本服务集(BSS);
多个站,所述站中的每一个都具有硬件(MAC)地址;
所述虚拟BSS中的所有所述站共享一组安全关联;以及
所述虚拟BSS中的所述站之一包括公共接入点(PAP)。
8.如权利要求7所述的网络,其特征在于,所述每一站的组安全关联包括:
加密密钥和认证码密钥。
9.如权利要求7所述的网络,其特征在于,所述虚拟BSS中的所述站中只有一个是用于桥接802.11无线媒介(WM)与802.11分布系统媒介(DSM)的公共接入点。
10.如权利要求7所述的网络,其特征在于,所述组安全关联还包括:
对所述虚拟BSS中每个站的唯一单播安全关联;
其中,所述安全关联在每一站与所述虚拟BSS的所述PAP之间共享。
11.如权利要求7所述的网络,其特征在于,还包括:
多个虚拟BSS,其中每一虚拟BSS具有其自身的标识符(BSSID)。
12.如权利要求11所述的网络,其特征在于,所述BSSID包括:
所述虚拟BSS的虚拟MAC地址。
13.如权利要求12所述的网络,其特征在于,所述PAP从802.11无线媒介(WM)中接收目的地为其虚拟MAC地址之一的帧;且所述PAP使用其虚拟MAC地址之一作为帧的源MAC地址将所述帧发送给所述WM。
14.如权利要求7所述的网络,其特征在于,还包括:
由单个PAP处共享的TSF(定时同步功能)、DCF(分布协调功能)以及可任选的PCF(点协调功能)支持的多个虚拟BSS。
15.如权利要求7所述的网络,其特征在于,每一PAP还包括:
单个NAV(网络分配向量)和PC(点协调器)。
16.如权利要求7所述的网络,其特征在于,PAP可属于一个以上虚拟BSS。
17.如权利要求7所述的网络,其特征在于,不是PAP的任何站可属于至多一个虚拟BSS。
18.如权利要求7所述的网络,其特征在于,还包括:
用于将虚拟BSS与另一虚拟BSS经由每一虚拟BSS的PAP连接来桥接的虚拟桥接LAN(VLAN)。
19.如权利要求18所述的网络,其特征在于,每一虚拟BSS的PAP经由知晓VLAN的网桥的集群或无标记端口而连接至分布系统(DS)。
20.如权利要求19所述的网络,其特征在于,发送至所述DS的帧可带有分布系统媒介(DSM)已知的VLAN标记。
21.如权利要求20所述的网络,其特征在于,所述PAP维护将VLAN标记映射到虚拟BSS标识符(BSSID)的DSM VLAN映射。
22.如权利要求7所述的网络,其特征在于,所述虚拟BSS包括以下任一个:
类1和类3虚拟BSS;
其中PAP支持一个且仅一个类1虚拟BSS和一个或多个类3虚拟BSS;
其中类1虚拟BSS是在所述PAP的管理下,当站处于802.11状态1或2中允许占用的唯一虚拟BSS;
其中当处于状态3时,站被允许加入类3虚拟BSS;以及
其中类3虚拟BSS是由用于认证所述站的认证的类型确定的。
23.如权利要求22所述的网络,其特征在于,类1虚拟BSSID是具有BSSID字段的每个类1和类2帧的该字段。
24.如权利要求22所述的网络,其特征在于,类1虚拟BSSID当合适时是类1和类2帧的接收方或发送方地址字段。
25.如权利要求7所述的网络,其特征在于,每个虚拟BSS除时戳、信标间隔、能力信息私密(受保护)位、服务集标识符(SSID)、安全能力元素和通信指示映射(TIM)元素字段以外具有相同的信标帧内容。
26.如权利要求22所述的网络,其特征在于,所述PAP如果对类3虚拟BSS中的终端站不支持省电(PS)模式,则它不必为所述BSS发送信标;
如果所述PAP的确为类3BSS发送信标,则每个信标中SSID元素指定广播SSID;
类3虚拟BSS被防止经由发送信标来识别。
27.如权利要求26所述的网络,其特征在于,仅有类1虚拟BSS信标具有带有非广播SSID字段的SSID元素;
站可仅与类1虚拟BSS相关联。
28.如权利要求22所述的网络,其特征在于,每个站默认是PAP处类1虚拟BSS的成员;
所述PAP可认证所述类1虚拟BSS中的所述站的用户或者所述站本身;
如果成功,则所述站在所述PAP处进入802.11状态2;以及
所述PAP和所述站可在处于所述类1虚拟BSS中的同时交换类1和类2的帧。
29.如权利要求28所述的网络,其特征在于,在成功的认证之后,如果所述站和所述PAP共享单播安全关联,则所述类2帧受密码保护。
30.如权利要求29所述的网络,其特征在于,所述PAP和所述站在认证之后共享组安全关联;
所述组安全关联是用于所述站所属的类3虚拟BSS的,如果它完成了与所述PAP的802.11的关联。
31.如权利要求30所述的网络,其特征在于,在所述站和所述PAP可交换类3帧之前,所述站必须从状态2请求与所述类1虚拟BSS的关联;并切换至类3虚拟BSS。
32.如权利要求31所述的网络,其特征在于,所述PAP通过用其源地址(地址2字段)或BSSID(地址3字段)是类3虚拟BSS的类3虚拟BSSID的关联响应MMPDU来响应于所述站的关联请求而将所述站切换至该类3虚拟BSS。
33.如权利要求32所述的网络,其特征在于,所述类3虚拟BSS以以下方式之一来确定:
所述DS中的认证服务器为用户指定DSM VLAN,所述PAP使用其DSMVLAN映射将该DSM VLAN映射到类3虚拟BSSID;
所述DS中的认证服务器为所述用户指定类3虚拟BSS;或
所述PAP为所述用户创建新的类3虚拟BSS;
其中所述PAP可告知认证服务器新的虚拟BSS,并向其提供允许其它站加入所述新BSS的规则。
34.如权利要求22所述的网络,其特征在于,类1虚拟BSS是通过802.11信标或探测响应管理帧来发现的,其中BSSID字段(地址3字段)和源地址字段(地址2字段)各自置为类1虚拟BSSID。
35.如权利要求22所述的网络,其特征在于,所述PAP为从所述DSM或所述WM接收到的MPDU实现MAC协议数据单元(MPDU)网桥协议,所述协议地址为以下两者之一:
从所述DSM接收到的MPDU,其中:
所接收到的MPDU不具有VLAN标记或具有空VLAN标记;
如果所述MPDU目的地地址是属于虚拟BSS的站的地址,且所述站与所述PAP相关联;或
如果所述MPDU目的地地址是组地址,所述虚拟BSS含有属于所述组的站,且所述站与所述PAP相关联,则来自所述DSM的所述MPDU被中继给所述虚拟BSS;或
所接收的MPDU具有非空VLAN标记;
向其中继所述MPDU的所述虚拟BSS由所述PAP的DSM VLAN映射中向其映射所述非空VLAN标记的所述虚拟BSSID标识;以及
如果对给定标记未定义所述映射,则所述MPDU不被中继;
其中向其中继接收到的MPDU的任何虚拟BSS具有BSSID,它形成中继给该虚拟BSS的802.11 MPDU的源地址(地址2字段);或
从WM接收到的MPDU,其中:
如果所述MPDU目的地地址(MPDU的地址3字段)是属于由所述MPDU的地址1字段标识的虚拟BSS的站的地址且所述站与所述PAP相关联;或
如果所述MPDU目的地地址是组地址,则将所接收到的802.11 MPDU中继给所标识的虚拟BSS;
否则,所述帧不被中继给任何虚拟BSS;
其中所接收的802.11 MPDU的地址1字段是中继给由所述地址1字段标识的所述虚拟BSS的802.11 MPDU的源地址(地址2字段)。
36.如权利要求35所述的网络,其特征在于,如果所述目的地地址(MPDU的地址3字段)是不与所述PAP相关联的站的地址;或
如果所述目的地地址是组地址,则所接收的MPDU也中继给所述DSM;
其中如果DS是知晓VLAN的,则中继给所述DSM的所述MPDU具有VLAN标记,否则它不被标记;以及
其中所述VLAN标记是所述PAP的DSM VLAN映射下所接收的MPDU的所述地址1字段的原象。
37.如权利要求22所述的网络,其特征在于,还包括:
用于通过应用子类型关联请求/响应、重新关联请求/响应、取消关联和取消认证的802.11数据帧和管理帧来执行加密和解密的装置。
38.如权利要求37所述的网络,其特征在于,在将802.11数据或管理帧发送给所述WM之前由所述PAP使用的所述加密处理包括执行以下步骤的机制:
为所述帧标识安全关联;以及
然后使用所述关联来构造扩展帧以便根据编码和认证码协议传输。
39.如权利要求38所述的网络,其特征在于,如果帧目的地地址(地址1字段)是站的地址,则在所述帧扩展中使用所述站与所述PAP之间共享的单播安全关联;以及
如果所述帧是数据帧,且其目的地地址是组地址,则所述MPDU网桥协议为所述帧标识目的地虚拟BSS,其中所标识的虚拟BSS的组安全关联在所述帧扩展中使用。
40.如权利要求39所述的网络,其特征在于,非PAP站使用在其虚拟BSS中它与所述PAP共享的单播安全关联发送类型为数据或管理的802.11 MPUDU到所述DSM。
41.如权利要求40所述的网络,其特征在于,当从所述WM中接收802.11数据或管理帧时,所述PAP试图使用由所述MPDU的源地址(地址2字段)标识的站的单播安全关联来译码和验证所述帧的完整性。
42.如权利要求41所述的网络,其特征在于,当从所述PAP中接收类型为数据或管理的802.11 MPDU时,如果所述帧的目的地地址(地址1字段)是非PAP站的地址,则所述非PNP站试图使用它与所述PAP共享的单播安全关联来译码和验证所述帧的完整性,而如果所述帧的所述目的地地址是组地址,则非PAP站试图使用其类3虚拟BSS的组安全关联来译码和验证所述帧的完整性。
43.一种用于更新将公共接入点(PAP)连接在一起的网桥或其它互连媒介的转发表的位置更新方法,其中多个PAP连接至桥接LAN的生成树中的不同的网桥,且终端站与所述PAP之一相关联然后与新的PAP相关联,所述方法包括以下步骤:
所述新PAP向所述站之前关联的所述PAP发送有向网桥协议数据单元(BPDU);
其中所述BPDU的目的地地址是重新关联请求帧的当前接入点(AP)地址,它是类3虚拟BSS标识符(BSSID);且
其中源地址是所述站的硬件地址;
当在特定端口处接收重定向MPDU时,网桥以将接收端口绑定至所述MPDU的源地址的条目来更新其转发表;以及
除非重定位MPDU在所述接收网桥的指定根端口上到达或所述接收网桥是所述生成树的根,否则所述接收网桥将所述MPDU转发给所述端口;
其中如果所述MPDU在所述网桥的指定的根端口接收或由根网桥接收,则根据所述网桥的已知转发表将其转发,这可任选地包括将所述MPDU转发给除所述接收端口以外的所有端口。
44.一种无线网络的精细桥接方法,包括以下步骤:
将广播或多播域的标识与带有基本服务集(BSS)去耦;以及
由表示为有向图的策略确定接入点(AP)的桥接行为;
其中对给定策略,节点的广播域是其本身以及它必须访问的所有节点;
其中所述策略的所述广播域集是其节点的广播域集;且
其中所述图的节点是站,且当且仅当第一站必须能够与第二站通信或访问第二站,使得所述第二站必须能够从所述第一站中接收有向帧或组帧时存在从所述第一站到第二站的边。
45.如权利要求43所述的方法,其特征在于,还包括以下步骤:
为每个广播域提供组安全关联。
46.如权利要求45所述的方法,其特征在于,每一站(节点)拥有所述策略中对其自身的广播域的第一组安全关联,以及第二组安全关联集,对所述站是成员的所述策略中的每一个的其它广播域有一个组安全关联。
47.如权利要求46所述的方法,其特征在于,所述第一组安全关联由所述站用来发送组帧,所述第二组安全关联集被用来接收组帧。
48.如权利要求42所述的网络,其特征在于,不同虚拟基本服务集中的广播和多播通信是以所述网络中不同的编码或认证码协议来保护的。
49.如权利要求42所述的网络,其特征在于,虚拟BSS中PAP与站之间以及所述PAP与另一站之间的单播通信是以所述虚拟BSS中不同的编码或认证码协议来保护的。
CN2004800399942A 2004-01-09 2004-12-14 公共接入点 Expired - Fee Related CN1910861B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US10/754,402 2004-01-09
US10/754,402 US7986937B2 (en) 2001-12-20 2004-01-09 Public access point
PCT/US2004/042078 WO2005069784A2 (en) 2004-01-09 2004-12-14 Public access point

Related Child Applications (1)

Application Number Title Priority Date Filing Date
CN2009102049933A Division CN101707596B (zh) 2004-01-09 2004-12-14 公共接入点

Publications (2)

Publication Number Publication Date
CN1910861A true CN1910861A (zh) 2007-02-07
CN1910861B CN1910861B (zh) 2010-11-24

Family

ID=34807443

Family Applications (2)

Application Number Title Priority Date Filing Date
CN2004800399942A Expired - Fee Related CN1910861B (zh) 2004-01-09 2004-12-14 公共接入点
CN2009102049933A Expired - Fee Related CN101707596B (zh) 2004-01-09 2004-12-14 公共接入点

Family Applications After (1)

Application Number Title Priority Date Filing Date
CN2009102049933A Expired - Fee Related CN101707596B (zh) 2004-01-09 2004-12-14 公共接入点

Country Status (6)

Country Link
US (4) US7986937B2 (zh)
EP (1) EP1702434A4 (zh)
JP (4) JP2007518356A (zh)
KR (4) KR101002448B1 (zh)
CN (2) CN1910861B (zh)
WO (1) WO2005069784A2 (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012155749A1 (zh) * 2011-09-16 2012-11-22 中兴通讯股份有限公司 一种获取无线局域网用户位置信息的方法及装置
CN102905364A (zh) * 2011-07-29 2013-01-30 美国博通公司 基于wlan的定位系统
CN103906256A (zh) * 2009-12-03 2014-07-02 英特尔公司 在60GHz中的BSS/PBSS支持和无调度组网

Families Citing this family (57)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7986937B2 (en) * 2001-12-20 2011-07-26 Microsoft Corporation Public access point
US7188364B2 (en) * 2001-12-20 2007-03-06 Cranite Systems, Inc. Personal virtual bridged local area networks
US8145182B2 (en) * 2004-05-07 2012-03-27 Interdigital Technology Corporation Supporting emergency calls on a wireless local area network
US8682279B2 (en) * 2004-05-07 2014-03-25 Interdigital Technology Corporation Supporting emergency calls on a wireless local area network
KR101122359B1 (ko) 2004-05-07 2012-03-23 인터디지탈 테크날러지 코포레이션 무선 근거리 통신망의 긴급 호 지원
JP4074283B2 (ja) * 2004-09-28 2008-04-09 株式会社東芝 通信装置、通信システム及び通信方法
JP2008515324A (ja) * 2004-09-28 2008-05-08 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 単一の無線アダプタを用いた多重無線ネットワーク内の複数局との同時通信
US7627123B2 (en) * 2005-02-07 2009-12-01 Juniper Networks, Inc. Wireless network having multiple security interfaces
CN100490408C (zh) * 2005-11-24 2009-05-20 鸿富锦精密工业(深圳)有限公司 接入点及其建立无线分布系统连线的方法
US8009644B2 (en) * 2005-12-01 2011-08-30 Ruckus Wireless, Inc. On-demand services by wireless base station virtualization
US8064601B1 (en) 2006-03-31 2011-11-22 Meru Networks Security in wireless communication systems
US9730125B2 (en) * 2005-12-05 2017-08-08 Fortinet, Inc. Aggregated beacons for per station control of multiple stations across multiple access points in a wireless communication network
US8472359B2 (en) 2009-12-09 2013-06-25 Meru Networks Seamless mobility in wireless networks
US9794801B1 (en) 2005-12-05 2017-10-17 Fortinet, Inc. Multicast and unicast messages in a virtual cell communication system
US9185618B1 (en) 2005-12-05 2015-11-10 Meru Networks Seamless roaming in wireless networks
US9215745B1 (en) * 2005-12-09 2015-12-15 Meru Networks Network-based control of stations in a wireless communication network
US9142873B1 (en) 2005-12-05 2015-09-22 Meru Networks Wireless communication antennae for concurrent communication in an access point
US8160664B1 (en) * 2005-12-05 2012-04-17 Meru Networks Omni-directional antenna supporting simultaneous transmission and reception of multiple radios with narrow frequency separation
US9025581B2 (en) 2005-12-05 2015-05-05 Meru Networks Hybrid virtual cell and virtual port wireless network architecture
US9215754B2 (en) 2007-03-07 2015-12-15 Menu Networks Wi-Fi virtual port uplink medium access control
KR100728039B1 (ko) 2006-01-05 2007-06-14 삼성전자주식회사 무선랜에서 히든노드에게 제어 프레임을 전달하는 방법 및장치
US20070223701A1 (en) * 2006-01-30 2007-09-27 Motorola, Inc. Method and apparatus for utilizing multiple group keys for secure communications
EP2489199A2 (en) 2006-02-22 2012-08-22 Elad Barkan Wireless internet system and method
US7974249B2 (en) * 2006-03-01 2011-07-05 Dell Products L.P. Virtual access point for configuration of a LAN
JP5040341B2 (ja) * 2006-04-04 2012-10-03 セイコーエプソン株式会社 プロジェクタシステム
US7924780B2 (en) 2006-04-12 2011-04-12 Fon Wireless Limited System and method for linking existing Wi-Fi access points into a single unified network
US9826102B2 (en) 2006-04-12 2017-11-21 Fon Wireless Limited Linking existing Wi-Fi access points into unified network for VoIP
US9769655B2 (en) 2006-04-24 2017-09-19 Ruckus Wireless, Inc. Sharing security keys with headless devices
US9071583B2 (en) 2006-04-24 2015-06-30 Ruckus Wireless, Inc. Provisioned configuration for automatic wireless connection
EP2013758B1 (en) * 2006-04-24 2016-08-03 Ruckus Wireless, Inc. Dynamic authentication in secured wireless networks
US8537716B2 (en) * 2006-07-28 2013-09-17 Ca, Inc. Method and system for synchronizing access points in a wireless network
JP4594969B2 (ja) * 2007-08-28 2010-12-08 株式会社バッファロー 無線lan用アクセスポイント、プログラムおよび記録媒体
US7894436B1 (en) 2007-09-07 2011-02-22 Meru Networks Flow inspection
US8752131B2 (en) * 2008-04-30 2014-06-10 Fujitsu Limited Facilitating protection of a maintenance entity group
US8295217B2 (en) * 2008-07-11 2012-10-23 Acer Incorporated Method and apparatus for a device power savings class
US9483651B2 (en) * 2009-11-30 2016-11-01 Ncr Corporation Methods and apparatus for transfer of content to a self contained wireless media device
US9197482B1 (en) 2009-12-29 2015-11-24 Meru Networks Optimizing quality of service in wireless networks
CN102217239B (zh) * 2010-01-08 2014-11-05 华为技术有限公司 一种组临时密钥更新方法、装置和系统
US8910300B2 (en) 2010-12-30 2014-12-09 Fon Wireless Limited Secure tunneling platform system and method
GB201100612D0 (en) * 2011-01-14 2011-03-02 Nec Casio Mobile Comm Ltd Mobile radio communictions signalling
US9792188B2 (en) 2011-05-01 2017-10-17 Ruckus Wireless, Inc. Remote cable access point reset
US9906650B2 (en) 2011-06-26 2018-02-27 Fortinet, Llc Voice adaptation for wireless communication
US8756668B2 (en) 2012-02-09 2014-06-17 Ruckus Wireless, Inc. Dynamic PSK for hotspots
EP2833565B1 (en) 2012-03-26 2020-04-29 LG Electronics Inc. Method for changing association id in wireless communication system and apparatus therefor
US9092610B2 (en) 2012-04-04 2015-07-28 Ruckus Wireless, Inc. Key assignment for a brand
US10554287B2 (en) 2012-09-29 2020-02-04 Lg Electronics Inc. Method and apparatus for performing relay operation in wireless LAN system
CN102946351B (zh) * 2012-10-23 2016-06-08 杭州华三通信技术有限公司 一种数据传输方法和系统
CN104244370B (zh) * 2013-06-08 2018-09-21 华为终端有限公司 无线中继设备的关联方法、装置及无线中继设备
US10602379B2 (en) * 2014-05-19 2020-03-24 Industrial Technology Research Institute Wireless communication method, wireless communication device and non-transitory computer readable recording medium thereof
US9521116B2 (en) 2014-06-11 2016-12-13 Verizon Patent And Licensing Inc. Apparatus, method, and system for securing a public wireless network
EP3185602B1 (en) 2014-08-21 2020-03-11 Huawei Technologies Co. Ltd. Frequency reuse methods and relevant apparatuses
WO2016144298A1 (en) * 2015-03-06 2016-09-15 Hewlett Packard Enterprise Development Lp Location update scheduling
CN105873147B (zh) * 2016-06-13 2019-03-22 珠海市魅族科技有限公司 无线局域网的通信方法、通信装置、接入点和站点
CN109673027B (zh) * 2017-10-16 2023-01-10 中兴通讯股份有限公司 多集中单元cu融合方法、相应设备及系统
US11937085B2 (en) * 2019-08-14 2024-03-19 Mcafee, Llc Methods, systems, and media for creating temporary virtual access points using WiFi routers when portals cannot be presented
US11425789B2 (en) 2019-09-03 2022-08-23 GeoPost, Inc. Gateway device
US11696129B2 (en) * 2019-09-13 2023-07-04 Samsung Electronics Co., Ltd. Systems, methods, and devices for association and authentication for multi access point coordination

Family Cites Families (124)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3022A (en) * 1843-03-30 Machine for bending stibrups for paddle-wheels of steam and other
US3003A (en) * 1843-03-17 Improvement in the method of propelling vessels by means of continuous streams of water
US4919545A (en) 1988-12-22 1990-04-24 Gte Laboratories Incorporated Distributed security procedure for intelligent networks
EP0520709A3 (en) 1991-06-28 1994-08-24 Digital Equipment Corp A method for providing a security facility for remote systems management
US5577209A (en) 1991-07-11 1996-11-19 Itt Corporation Apparatus and method for providing multi-level security for communication among computers and terminals on a network
US5963556A (en) 1993-06-23 1999-10-05 Digital Equipment Corporation Device for partitioning ports of a bridge into groups of different virtual local area networks
AU3970595A (en) 1994-10-27 1996-05-23 Gemstar Development Corporation Apparatus and methods for downloading recorder programming data in a video signal
US5550984A (en) 1994-12-07 1996-08-27 Matsushita Electric Corporation Of America Security system for preventing unauthorized communications between networks by translating communications received in ip protocol to non-ip protocol to remove address and routing services information
US5764890A (en) 1994-12-13 1998-06-09 Microsoft Corporation Method and system for adding a secure network server to an existing computer network
US5790800A (en) 1995-10-13 1998-08-04 Digital Equipment Corporation Client application program mobilizer
US6035105A (en) 1996-01-02 2000-03-07 Cisco Technology, Inc. Multiple VLAN architecture system
US5822431A (en) 1996-01-19 1998-10-13 General Instrument Corporation Of Delaware Virtual authentication network for secure processors
US6085238A (en) * 1996-04-23 2000-07-04 Matsushita Electric Works, Ltd. Virtual LAN system
US5918019A (en) 1996-07-29 1999-06-29 Cisco Technology, Inc. Virtual dial-up protocol for network communication
JP2974280B2 (ja) 1996-09-11 1999-11-10 日本電気通信システム株式会社 ネットワーク接続のブリッジ装置における仮想グループ情報管理方法
US6311218B1 (en) 1996-10-17 2001-10-30 3Com Corporation Method and apparatus for providing security in a star network connection using public key cryptography
US6157647A (en) 1996-11-06 2000-12-05 3Com Corporation Direct addressing between VLAN subnets
US6041358A (en) 1996-11-12 2000-03-21 Industrial Technology Research Inst. Method for maintaining virtual local area networks with mobile terminals in an ATM network
FI104877B (fi) * 1997-03-27 2000-04-14 Nokia Networks Oy Resurssinvarausmekanismi pakettiradioverkossa
US6070243A (en) 1997-06-13 2000-05-30 Xylan Corporation Deterministic user authentication service for communication network
FI117366B (fi) 1997-06-30 2006-09-15 Sonera Smarttrust Oy Menetelmä tietoturvallisen palveluyhteyden muodostamiseksi tietoliikennejärjestelmässä
US6061796A (en) 1997-08-26 2000-05-09 V-One Corporation Multi-access virtual private network
US5978378A (en) 1997-09-11 1999-11-02 3Com Corporation Method and apparatus for VLAN support
CA2217275C (en) * 1997-10-03 2005-08-16 Newbridge Networks Corporation Multiple internetworking realms within an internetworking device
US6675208B1 (en) * 1997-10-14 2004-01-06 Lucent Technologies Inc. Registration scheme for network
US6047325A (en) 1997-10-24 2000-04-04 Jain; Lalit Network device for supporting construction of virtual local area networks on arbitrary local and wide area computer networks
US6035405A (en) 1997-12-22 2000-03-07 Nortel Networks Corporation Secure virtual LANs
US6032194A (en) 1997-12-24 2000-02-29 Cisco Technology, Inc. Method and apparatus for rapidly reconfiguring computer networks
NL1008351C2 (nl) 1998-02-19 1999-08-20 No Wires Needed B V Datacommunicatienetwerk.
US6317438B1 (en) 1998-04-14 2001-11-13 Harold Herman Trebes, Jr. System and method for providing peer-oriented control of telecommunications services
US6226751B1 (en) 1998-04-17 2001-05-01 Vpnet Technologies, Inc. Method and apparatus for configuring a virtual private network
US6898791B1 (en) 1998-04-21 2005-05-24 California Institute Of Technology Infospheres distributed object system
US6728249B2 (en) 1998-06-27 2004-04-27 Intel Corporation System and method for performing cut-through forwarding in an ATM network supporting LAN emulation
US6181699B1 (en) 1998-07-01 2001-01-30 National Semiconductor Corporation Apparatus and method of assigning VLAN tags
US6304973B1 (en) 1998-08-06 2001-10-16 Cryptek Secure Communications, Llc Multi-level security network system
EP1116132A2 (en) 1998-09-22 2001-07-18 Science Applications International Corporation User-defined dynamic collaborative environments
US7188180B2 (en) 1998-10-30 2007-03-06 Vimetx, Inc. Method for establishing secure communication link between computers of virtual private network
JP3996288B2 (ja) 1998-12-07 2007-10-24 株式会社日立製作所 通信ネットワークシステムの管理方法および情報中継装置
US6636898B1 (en) 1999-01-29 2003-10-21 International Business Machines Corporation System and method for central management of connections in a virtual private network
US6615357B1 (en) 1999-01-29 2003-09-02 International Business Machines Corporation System and method for network address translation integration with IP security
US6081900A (en) 1999-03-16 2000-06-27 Novell, Inc. Secure intranet access
US6847620B1 (en) * 1999-05-13 2005-01-25 Intermec Ip Corp. Mobile virtual LAN
US6970459B1 (en) 1999-05-13 2005-11-29 Intermec Ip Corp. Mobile virtual network system and method
US6675225B1 (en) 1999-08-26 2004-01-06 International Business Machines Corporation Method and system for algorithm-based address-evading network snoop avoider
US6917614B1 (en) 1999-09-17 2005-07-12 Arris International, Inc. Multi-channel support for virtual private networks in a packet to ATM cell cable system
GB9922665D0 (en) 1999-09-25 1999-11-24 Hewlett Packard Co A method of enforcing trusted functionality in a full function platform
JP2001160828A (ja) 1999-12-03 2001-06-12 Matsushita Electric Ind Co Ltd セキュリティ・ゲートウェイ装置におけるvpn通信方法
US6970941B1 (en) 1999-12-10 2005-11-29 Sun Microsystems, Inc. System and method for separating addresses from the delivery scheme in a virtual private network
US6697943B1 (en) 1999-12-17 2004-02-24 Cisco Technology, Inc. Use of cyclic redundancy checking for segregating control traffic
US6414956B1 (en) 1999-12-17 2002-07-02 Texas Instruments Incorporated VLAN tag transport within a switch
GB2364477B (en) 2000-01-18 2003-11-05 Ericsson Telefon Ab L M Virtual private networks
US6639901B1 (en) 2000-01-24 2003-10-28 3Com Corporation Apparatus for and method for supporting 802.1Q VLAN tagging with independent VLAN learning in LAN emulation networks
US7028186B1 (en) * 2000-02-11 2006-04-11 Nokia, Inc. Key management methods for wireless LANs
US6961762B1 (en) 2000-02-14 2005-11-01 Sygate Technologies, Inc. Automatic switching network points based on configuration profiles
WO2001067708A2 (en) 2000-03-07 2001-09-13 General Instrument Corporation Authenticated dynamic address assignment
US7173923B2 (en) * 2000-03-17 2007-02-06 Symbol Technologies, Inc. Security in multiple wireless local area networks
US6978364B1 (en) 2000-04-12 2005-12-20 Microsoft Corporation VPN enrollment protocol gateway
US7181542B2 (en) 2000-04-12 2007-02-20 Corente, Inc. Method and system for managing and configuring virtual private networks
US6981041B2 (en) 2000-04-13 2005-12-27 Aep Networks, Inc. Apparatus and accompanying methods for providing, through a centralized server site, an integrated virtual office environment, remotely accessible via a network-connected web browser, with remote network monitoring and management capabilities
US20020022483A1 (en) 2000-04-18 2002-02-21 Wayport, Inc. Distributed network communication system which allows multiple wireless service providers to share a common network infrastructure
WO2001082097A1 (en) 2000-04-27 2001-11-01 Fortress Technologies, Inc. A method and apparatus for integrating tunneling protocols with standard routing protocols
US7594028B1 (en) * 2000-04-28 2009-09-22 International Business Machines Corporation Counting of GVRP protocol data units within a network bridge
US7356841B2 (en) 2000-05-12 2008-04-08 Solutioninc Limited Server and method for providing specific network services
US7055171B1 (en) 2000-05-31 2006-05-30 Hewlett-Packard Development Company, L.P. Highly secure computer system architecture for a heterogeneous client environment
JP3585422B2 (ja) * 2000-06-01 2004-11-04 シャープ株式会社 アクセスポイント装置及びその認証処理方法
GB2363548A (en) 2000-06-15 2001-12-19 Int Computers Ltd Computer systems, in particular virtual private networks
US7054329B2 (en) * 2000-07-07 2006-05-30 Koninklijke Philips Electronics, N.V. Collision avoidance in IEEE 802.11 contention free period (CFP) with overlapping basic service sets (BSSs)
US7151762B1 (en) * 2000-07-14 2006-12-19 At&T Corp. Virtual streams for QoS-driven wireless LANs
US20020143960A1 (en) 2000-08-02 2002-10-03 Erez Goren Virtual network generation system and method
US6904054B1 (en) 2000-08-10 2005-06-07 Verizon Communications Inc. Support for quality of service and vertical services in digital subscriber line domain
WO2002017571A1 (en) 2000-08-24 2002-02-28 Tiara Networks, Inc. System and method for connecting geographically distributed virtual local area networks
US7596223B1 (en) * 2000-09-12 2009-09-29 Apple Inc. User control of a secure wireless computer network
US6954790B2 (en) 2000-12-05 2005-10-11 Interactive People Unplugged Ab Network-based mobile workgroup system
US20040054902A1 (en) 2000-12-06 2004-03-18 Yoshinori Fujimoto Virtual private network
US7673133B2 (en) 2000-12-20 2010-03-02 Intellisync Corporation Virtual private network between computing network and remote device
US20020083344A1 (en) 2000-12-21 2002-06-27 Vairavan Kannan P. Integrated intelligent inter/intra networking device
US6912592B2 (en) 2001-01-05 2005-06-28 Extreme Networks, Inc. Method and system of aggregate multiple VLANs in a metropolitan area network
US7209479B2 (en) 2001-01-18 2007-04-24 Science Application International Corp. Third party VPN certification
US20020101868A1 (en) * 2001-01-30 2002-08-01 David Clear Vlan tunneling protocol
US20020174335A1 (en) 2001-03-30 2002-11-21 Junbiao Zhang IP-based AAA scheme for wireless LAN virtual operators
GB0109299D0 (en) 2001-04-12 2001-05-30 British Telecomm Hybrid network
US7174390B2 (en) 2001-04-20 2007-02-06 Egenera, Inc. Address resolution protocol system and method in a virtual network
US7061899B2 (en) 2001-05-01 2006-06-13 Hewlett-Packard Development Company, L.P. Method and apparatus for providing network security
US7003662B2 (en) 2001-05-24 2006-02-21 International Business Machines Corporation System and method for dynamically determining CRL locations and access methods
US20020178240A1 (en) 2001-05-24 2002-11-28 International Business Machines Corporation System and method for selectively confirming digital certificates in a virtual private network
US20030206518A1 (en) * 2001-05-25 2003-11-06 Yik James Ching-Shau Public access separation in a virtual networking environment
US20020199021A1 (en) 2001-06-26 2002-12-26 Niels Beier Method and apparatus for using the type/length field in an ethernet mac header for carrying generic tags/labels
US7107464B2 (en) 2001-07-10 2006-09-12 Telecom Italia S.P.A. Virtual private network mechanism incorporating security association processor
US6981259B2 (en) 2001-08-02 2005-12-27 Hewlett-Packard Development Company, L.P. System and method for generating a virtual device
US7130904B2 (en) 2001-08-16 2006-10-31 Intel Corporation Multiple link layer wireless access point
US20030037258A1 (en) 2001-08-17 2003-02-20 Izchak Koren Information security system and method`
US7194622B1 (en) * 2001-12-13 2007-03-20 Cisco Technology, Inc. Network partitioning using encryption
US7120791B2 (en) 2002-01-25 2006-10-10 Cranite Systems, Inc. Bridged cryptographic VLAN
US7188364B2 (en) 2001-12-20 2007-03-06 Cranite Systems, Inc. Personal virtual bridged local area networks
US7986937B2 (en) * 2001-12-20 2011-07-26 Microsoft Corporation Public access point
DE60209858T2 (de) 2002-01-18 2006-08-17 Nokia Corp. Verfahren und Einrichtung zur Zugriffskontrolle eines mobilen Endgerätes in einem Kommunikationsnetzwerk
US7313135B2 (en) 2002-01-31 2007-12-25 Mosaid Technologies, Inc. Trunking in a matrix
US7203957B2 (en) 2002-04-04 2007-04-10 At&T Corp. Multipoint server for providing secure, scaleable connections between a plurality of network devices
US7277442B1 (en) 2002-04-26 2007-10-02 At&T Corp. Ethernet-to-ATM interworking that conserves VLAN assignments
US7546458B1 (en) * 2002-05-04 2009-06-09 Atheros Communications, Inc. Method for organizing virtual networks while optimizing security
US7086089B2 (en) 2002-05-20 2006-08-01 Airdefense, Inc. Systems and methods for network security
US7042852B2 (en) 2002-05-20 2006-05-09 Airdefense, Inc. System and method for wireless LAN dynamic channel change with honeypot trap
US7058796B2 (en) 2002-05-20 2006-06-06 Airdefense, Inc. Method and system for actively defending a wireless LAN against attacks
US7113498B2 (en) 2002-06-05 2006-09-26 Broadcom Corporation Virtual switch
US7093027B1 (en) 2002-07-23 2006-08-15 Atrica Israel Ltd. Fast connection protection in a virtual local area network based stack environment
US7062566B2 (en) 2002-10-24 2006-06-13 3Com Corporation System and method for using virtual local area network tags with a virtual private network
US7284062B2 (en) 2002-12-06 2007-10-16 Microsoft Corporation Increasing the level of automation when provisioning a computer system to access a network
US7478427B2 (en) 2003-05-05 2009-01-13 Alcatel-Lucent Usa Inc. Method and apparatus for providing adaptive VPN to enable different security levels in virtual private networks (VPNs)
US20050223111A1 (en) 2003-11-04 2005-10-06 Nehru Bhandaru Secure, standards-based communications across a wide-area network
US7164912B2 (en) 2004-01-07 2007-01-16 Research In Motion Limited Apparatus, and associated method, for facilitating selection by a mobile node of a network through which to communicate using a hierarchical selection process
US20050226257A1 (en) 2004-03-30 2005-10-13 Adc Broadband Access Systems, Inc. Virtual local area network
US20050283604A1 (en) 2004-06-21 2005-12-22 Ipolicy Networks, Inc., A Delaware Corporation Security association configuration in virtual private networks
JP4407452B2 (ja) 2004-09-29 2010-02-03 株式会社日立製作所 サーバ、vpnクライアント、vpnシステム、及びソフトウェア
US7292592B2 (en) 2004-10-08 2007-11-06 Telefonaktiebolaget Lm Ericsson (Publ) Home network-assisted selection of intermediary network for a roaming mobile terminal
US7434047B2 (en) 2004-12-30 2008-10-07 Nokia, Inc. System, method and computer program product for detecting a rogue member in a multicast group
US7673068B2 (en) 2005-04-18 2010-03-02 Alcatel Lucent Method and system for implementing a high availability VLAN
CN100377548C (zh) 2005-07-15 2008-03-26 华为技术有限公司 一种实现虚交换的方法和装置
US7920548B2 (en) 2005-08-18 2011-04-05 Hong Kong Applied Science And Technology Research Institute Co. Ltd. Intelligent switching for secure and reliable voice-over-IP PBX service
US7746892B2 (en) 2005-11-02 2010-06-29 Nortel Networks Limited Method and apparatus for transporting ethernet services
US20070271606A1 (en) 2006-05-17 2007-11-22 Amann Keith R Apparatus and method for establishing a VPN tunnel between a wireless device and a LAN
US7693985B2 (en) 2006-06-09 2010-04-06 Cisco Technology, Inc. Technique for dispatching data packets to service control engines
US8181009B2 (en) 2009-03-03 2012-05-15 Harris Corporation VLAN tagging over IPSec tunnels
US8098656B2 (en) 2009-06-26 2012-01-17 Avaya, Inc. Method and apparatus for implementing L2 VPNs on an IP network
US8837281B2 (en) 2010-09-10 2014-09-16 Futurewei Technologies, Inc. Use of partitions to reduce flooding and filtering database size requirements in large layer two networks

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103906256A (zh) * 2009-12-03 2014-07-02 英特尔公司 在60GHz中的BSS/PBSS支持和无调度组网
US9585168B2 (en) 2009-12-03 2017-02-28 Intel Corporation BSS/PBSS support and schedule-free networking in 60 GHz
CN103906256B (zh) * 2009-12-03 2017-11-17 英特尔公司 在60GHz中的BSS/PBSS支持和无调度组网
CN102905364A (zh) * 2011-07-29 2013-01-30 美国博通公司 基于wlan的定位系统
CN102905364B (zh) * 2011-07-29 2016-02-17 美国博通公司 基于wlan的定位系统
WO2012155749A1 (zh) * 2011-09-16 2012-11-22 中兴通讯股份有限公司 一种获取无线局域网用户位置信息的方法及装置

Also Published As

Publication number Publication date
CN101707596A (zh) 2010-05-12
US7986937B2 (en) 2011-07-26
JP5330298B2 (ja) 2013-10-30
KR20060129005A (ko) 2006-12-14
EP1702434A4 (en) 2010-06-16
KR100933097B1 (ko) 2009-12-21
KR101365830B1 (ko) 2014-02-20
JP5865578B2 (ja) 2016-02-17
US8675559B2 (en) 2014-03-18
JP2010183610A (ja) 2010-08-19
CN101707596B (zh) 2013-10-30
US9730070B2 (en) 2017-08-08
WO2005069784A2 (en) 2005-08-04
EP1702434A2 (en) 2006-09-20
KR101260100B1 (ko) 2013-05-02
KR101002448B1 (ko) 2010-12-17
CN1910861B (zh) 2010-11-24
JP2010178357A (ja) 2010-08-12
US20140337966A1 (en) 2014-11-13
US8767623B2 (en) 2014-07-01
KR20130049812A (ko) 2013-05-14
KR20090081006A (ko) 2009-07-27
JP5253442B2 (ja) 2013-07-31
US20040141617A1 (en) 2004-07-22
JP2007518356A (ja) 2007-07-05
JP2010178356A (ja) 2010-08-12
US20110321128A1 (en) 2011-12-29
WO2005069784A3 (en) 2006-08-10
KR20100002283A (ko) 2010-01-06
US20110310872A1 (en) 2011-12-22

Similar Documents

Publication Publication Date Title
CN101707596B (zh) 公共接入点
US7877080B2 (en) Public access point
CN102301640B (zh) 多层级无线家庭网格网络的认证
CN102308528B (zh) 无线家庭网格网络桥接适配器
CN103686709B (zh) 一种无线网格网认证方法和系统
CN1829179A (zh) 无线接入装置、无线接入方法以及无线网络
US20090019539A1 (en) Method and system for wireless communications characterized by ieee 802.11w and related protocols
WO2007082060A2 (en) Apparatus and method for protection of management frames
CN1852330A (zh) 虚拟终端临时媒体访问控制地址动态变更的方法
Williams The IEEE 802.11 b security problem. 1
Ibrahim Investigating the Effectiveness and Performance of WPA_PSK (Pre-Shared Key) and WPA_RADIUS Server in Wireless Network Security
WO2009082356A1 (en) Method and system for securing wireless systems and devices
CN104661221A (zh) 一种扩展网络包传输的无线网络的接入设备计算法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
ASS Succession or assignment of patent right

Owner name: MICROSOFT CORP.

Free format text: FORMER OWNER: CLAYTON KNIGHT SYSTEM CO., LTD.

Effective date: 20090508

C41 Transfer of patent application or patent right or utility model
TA01 Transfer of patent application right

Effective date of registration: 20090508

Address after: Washington State

Applicant after: Microsoft Corp.

Address before: American California

Applicant before: Cranite Systems Inc.

C14 Grant of patent or utility model
GR01 Patent grant
ASS Succession or assignment of patent right

Owner name: MICROSOFT TECHNOLOGY LICENSING LLC

Free format text: FORMER OWNER: MICROSOFT CORP.

Effective date: 20150508

C41 Transfer of patent application or patent right or utility model
TR01 Transfer of patent right

Effective date of registration: 20150508

Address after: Washington State

Patentee after: Micro soft technique license Co., Ltd

Address before: Washington State

Patentee before: Microsoft Corp.

CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20101124

Termination date: 20181214

CF01 Termination of patent right due to non-payment of annual fee