JP5330298B2 - 公衆アクセス・ポイント - Google Patents

公衆アクセス・ポイント Download PDF

Info

Publication number
JP5330298B2
JP5330298B2 JP2010062701A JP2010062701A JP5330298B2 JP 5330298 B2 JP5330298 B2 JP 5330298B2 JP 2010062701 A JP2010062701 A JP 2010062701A JP 2010062701 A JP2010062701 A JP 2010062701A JP 5330298 B2 JP5330298 B2 JP 5330298B2
Authority
JP
Japan
Prior art keywords
class
bss
virtual
access point
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2010062701A
Other languages
English (en)
Other versions
JP2010178357A (ja
Inventor
デニス マイケル ヴォルパーノ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of JP2010178357A publication Critical patent/JP2010178357A/ja
Application granted granted Critical
Publication of JP5330298B2 publication Critical patent/JP5330298B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4604LAN interconnection over a backbone network, e.g. Internet, Frame Relay
    • H04L12/462LAN interconnection over a bridge based backbone
    • H04L12/4625Single bridge functionality, e.g. connection of two networks over a single bridge
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W40/00Communication routing or communication path finding
    • H04W40/02Communication route or path selection, e.g. power-based or shortest path routing
    • H04W40/023Limited or focused flooding to selected areas of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W64/00Locating users or terminals or network equipment for network management purposes, e.g. mobility management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • H04L12/4645Details on frame tagging
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices
    • H04W88/10Access point devices adapted for operation in multiple networks, e.g. multi-mode access points
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W92/00Interfaces specially adapted for wireless communication networks
    • H04W92/02Inter-networking arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)

Description

技術フィールド
本発明は、電子ネットワークへのワイヤレス・公衆アクセスに関する。特に本発明は、電子ネットワークに対する物理的なアクセス・ポイント内から仮想ベーシックサービスセットの作成ができるようにするためのアーキテクチャに関する。
公衆WiFiホットスポットは、いくつかの例外はあるが、従来のIEEE 標準802.11準拠のアクセス・ポイントを使用して配備される。しかしながら、IEEE標準802.11のアーキテクチャおよびセキュリティモデルは、公衆用には不適切である。アクセス・ポイント(AP)に関連付けられた局は、802.11のベーシック・サービス・セット(BSS)または無線LANを共有する。BSSの全てのメンバが、信頼に値しない限り、BSSにおけるどの局も、他のメンバによって開始される攻撃に対し安全でない。この種の攻撃には、パスワードおよびクレジットカード情報のような、サービスを得るために加入者によって提供されるベーシックサービスおよび任意の秘密情報も盗むことが、含まれる。他の攻撃には、ネットワークの完全性およびサービス品質の妨害が含まれる。公衆BSS、つまり、公衆APと関連付けられた局から構成されるものの全てのメンバが、信頼に値すると考えることは、現実的ではない。従って、局は、公衆BSSにおいて脆弱である。
公衆BSSを共有することは、他の脅威を与えることにもなる。BSSのメンバは、ウォームまたはトロイの木馬によって他のメンバ局を汚染させることがある。ポートに基づくDCOM RPC攻撃、MSブラスターおよびWelchiaウォームは、その好例である。この脅威は、電子的な汚水だめである公衆BSSによって、より深刻になる。局は、これらの脅威に対してどのように対処できるだろうか?
BSSにおける局は、私的ファイアウォールのような防衛によって自分自身の身を守るかもしれない。これに対し、公衆WiFiプロバイダは、加入者を互いから保護するセキュリティモデルを配備するかもしれない。1つのアプローチは、局間コミュニケーションを禁止することである。このアプローチは、しかしながら、支持できない解決手段である。互いに信頼する局は、公衆設定においてさえも、それら自身の間で通信することは、許可されるべきである。例えば、局は、コンベンションセンターで開かれるミーティングにおける同一のローカルLAN上のファイルサーバにアクセスすることが可能でなければならない。例えば、これは、標準の会議において通常実行されることである。仮にこの種の共有が、許されるならば、侵入者が、IEEE 標準802.11の下で、BSS全体を作動不能にすることは容易になる。このことは、2001年のユセニックス・セキュリティ・カンファレンスおよび2001年のラスベガスのDEFCONカンファレンスで実証された。今日の如何なるワイヤレスLANに対するセキュリティモデルも、脆弱性を導くことなしにこの種の共有をサポートすることは出来ない。
脆弱性を導くことなく、あるいはBSSを用いた局の間でセキュリティを妥協させることなく、単一の物理的BSSの共有をサポートすることができる無線LANに対するセキュリティモデルを供給することは、有利であろう。
本発明は、脆弱性を導くことなく、あるいは局のセキュリティを妥協化することなく、局によって単一の物理的なBSSの共有をサポートすることができる無線LANに対するセキュリティモデルを提供する。このように、新しい種類のアクセス・ポイントが、設けられている。そして、それは、本明細書において公衆アクセス・ポイント(PAP)と称される。PAPは、IEEE標準802.11によって規定されるものとは異なるセキュリティアーキテクチャを有する。PAPアーキテクチャは、単一の物理的なAP内から仮想ベーシック・サービスセットの作成を可能にする。任意数の仮想サービスセットを、作成することができる、そして、いかなる数の端末も、仮想BSSに帰属させることができる。PAPは、端末には、各仮想BSSに対し1つの、複数の物理的802.11のアクセス・ポイントと見える。従って、PAPは、いかなる802.11端末とも完全に相互運用可能である。
PAPの使用の例として、コンベンションセンターを考えよう。異なる会議が、802.11規格プロジェクタを使用することがある。PAPは、各々に対し分離されたリンク・プライバシーおよび完全性を提供して、別々のLANセグメントを各会議に提供することを可能にする。IEEE標準802.11のみを代わりに使用すると、会議のプロジェクタおよびそれを用いて投影することができる全ての局は、プライベート・アクセス・ポイントまたはアドホックのWLANを使用し、そしてWLANメンバシップ、認証およびキー化マテリアル(keying material)を管理しなければならない。さもないと、誰でも、プロジェクタを用いてプロジェクトすることができ、または更に悪いことに、有効なプロジェクタのトラフィックを、それが表示される前に、インターセプトして、それが部外者によってモニタされ、改変される可能性があり得よう。
従来技術のアプローチに関連するセキュリティ管理の負担が大きすぎることに加えて、会議のプランナーは、開催地ごとに彼ら自身のアクセスポイントをインストールし、設定するよりもむしろローカルのアクセス・ポイントを利用することを好む。PAPは、全てのセキュリティを管理することができる。それによって、共用プロジェクタおよび任意のローカルファイルサーバを含む、各会議における全ての端末は、その会議に対する仮想802.11アクセス・ポイントと効率的に関連付けられ、そして全ての仮想ベーシックアクセス・ポイントが、同じ物理的PAPから生じる。
本発明は、公衆アクセス・ポイントを共に接続するブリッジの転送テーブルを更新するためのロケーション・アップデート・プロトコルも提供する。
本発明は、更に、ファインブリッジングと呼ばれる、より制御されたブリッジングに対する方法も提供する。
IEEE 標準802.11プロトコルエンティティの概略図である。 IEEE 標準802.11の構成インフラ・ストラクチャのブロック図である。 本発明による公衆アクセス・ポイント・アーキテクチャの概略図である。 本発明による、1つがAPである3つの局の仮想BSSの範囲内のアクセス可能性に対するポリシーのブロック図である。 本発明による、局AおよびBが、サーバ局SおよびDを共有するが、AおよびBは、各々にアクセスすることが許されない4つの局の間のポリシーのブロック図である。 本発明による、図3におけるポリシーにBからAへのエッジが追加されるように修正されたポリシーのブロック図である。 ポートに基づいたVLAN割当、出口フィルタリングおよび共用VLAN学習(SVL)を介してインフラ・ストラクチャ・システムに対して接続されているエッジホスト間の直接通信を除去する、IEEE標準802.1Qブリッジのブロック図である。
米国特許出願No. 10/057,566には、端末が、既存のVLANがタグ付けされているおよびタグ付けされていないメンバセットを複製することによって、既存のVLANのクローンを作る仮想ブリッジLAN(VLAN)を作成することができるプロトコルが、記載されている。更に、この新しいVLANは、その固有のセキュリティアソシエーションのために固有化されている。このアソシエーションは、VLANに所属するパケットをプライベートな状態にし、かつVLANのメンバシップを、キー化されたMACによって暗号的に検証することを可能にする暗号のキー化マテリアルを提供する。この新しいVLANは、その作成者が所有する。この所有者は、どの局がジョインでき、そしてどの局がVLANを発見できるか、およびVLANの存続期間をコントロールする。従って、VLANは、パーソナル仮想ブリッジLAN(PVLAN)と呼ばれる。
本発明の一実施例は、IEEE標準802.11-1999の標準要素しか使用しないPVLANの改良型を提供する。(第11部参照:ワイヤレスLAN媒体アクセスコントロール(MAC)および物理層(PHY)仕様書、ISO/IEC 8802-11:1999(E)ANSI/IEEE標準 802.11、1999年版、および第11部参照:ワイヤレスLAN媒体アクセスコントロール(MAC)および物理層(PHY)仕様書、媒体アクセスコントロール(MAC)セキュリティ強化、IEEE標準802.11i/D7.0、ISO/IEC 8802-11,1999(E) に対する起草案補正書, ANSI/IEEE標準. 802.11、1999年版。)IEEE標準 802.11プロトコル・エンティティのブロック図である図1と、各BSS(BSS-A、BSS-B)が、それぞれのアクセス・ポイント(AP-A、AP-B)と、関連付けられた局(A1/A2、B1/B2)とを備えたIEEE標準802.11構成インフラ・ストラクチャのブロック図である図2を参照されたい。アクセス・ポイントとして働かないいかなる802.11規格準拠の端末の動作の修正も、本発明においては、不必要である。改良点は、仮想802.11のBSSに対してPVLANをインスタンス化し、そしてアクセス・ポイントにしか影響を及ぼさない。
図3は、本発明による公衆アクセス・ポイント・アーキテクチャのブロック図である。仮想802.11 BSS、例えばBSS-1またはBSS-2は、グループセキュリティアソシエーションと呼ばれる、固有のセキュリティアソシエーションを共有する、一組の局を有し、それぞれがハードウェア(MAC)アドレス(図1を参照せよ)を有する。セキュリティアソシエーションは、暗号化キーと、認証コード・キーからなる。
仮想BSSにおいて局の内のまさに1つが、公衆アクセス・ポイント31(PAP)である。それは、802.11のワイヤレス媒体(WM)32と802.11分配システム媒体(DSM)33をブリッジする。
固有のユニキャストセキュリティアソシエーションが、仮想BSSにおけるあらゆる局に対して存在する。それは、その仮想BSSの局とPAPの間で共有されている。
各仮想BSS、例えば、BSS-1またはBSS-2は、それ自身の識別子、つまりBSSIDを有する。それは、そのBSSに帰属しているPAPの仮想MACアドレスである。PAPは、その仮想MACアドレスのうちの1つに向けられているWMからの任意のフレームを受信し、そしてその仮想MACアドレスのうちの1つをフレームのソースMACアドレスとして使用してWMにフレームを送信する。
一群の仮想ベーシック・サービスセットは、単一のPAPにおいて、共用TSF(タイミング同期化機能)、DCF(分散調整機能)およびオプションとしてPCF(ポイント調整機能)によってサポートされている。各PAPにおいて、単一のNAV(ネットワークアロケーションベクトル)およびPC(ポイント調整部)が、存在する。802.11の仮想キャリア検知、媒体予約メカニズムが、同じチャネルのオーバーラップを使用する複数のベーシックサービスセットと協働するように設計されているため、この種の共有が、可能である。この種のオーバーラップは、単一チャネルPAPでサポートされている仮想ベーシック・サービスセットの間で生じることがある。仮想サービスセットは、1つのチャネルを使用することができるので、PAPにおいてオーバーラップさせることができる。
PAPは、一つ以上の仮想BSSに帰属することができる。図1上のBSS-1、BSS-2を参照されたい。PAPでないいかなる局も、多くても1つの仮想BSSに帰属することができる。
仮想802.11のBSSは、仮想ブリッジLANによってそれらの公衆アクセス・ポイントの接続を通して他の仮想BSSとブリッジすることができる。各仮想BSSのPAPは、VLAN-認識ブリッジのトランクされた、またはタグ付けされていないポートを介して、分配システム(DS)に接続する。DSに送信されるフレームは、DSMには知られているVLANタグを担持することができる。PAPは、VLANタグを仮想BSSIDにマップするDSM VLANマッピングを維持してよい。
現在、2種類の仮想BSS:クラス-1およびクラス-3仮想BSSが、存在する。PAPは、正確に1つのクラス-1仮想BSSおよび一つ以上の多重クラス-3仮想ベーシック・サービスセット(multiple Class-3 virtual basic service set)をサポートする。PAPによって管理されるように、クラス-1仮想BSSは、局が802.11の状態1または2にある間、占めることが許される唯一の仮想BSSである。状態3にある時、局は、クラス-3仮想BSSにジョインすることが許される。クラス-3仮想BSSは、例えば、局を認証するために使用される、例えばオープン・システムまたは共有キーのような認証によって決定することができる。
クラス-1仮想BSSIDは、この種のフィールドを有するあらゆるクラス1およびクラス2フレームのBSSIDフィールドである。それは、適切な場合には、クラス1およびクラス2フレームに対する、受信機または送信機アドレス・フィールドでもある。
あらゆる仮想BSSは、タイムスタンプ、ビーコン間隔、能力情報プライバシー(保護)ビット、サービスセット識別子(SSID)、セキュリティ能力要素、およびトラフィック指示マップ(TIM)要素フィールドを除いて、同一のビーコン・フレーム・コンテンツを有する。
PAPは、そのBSSにおける端末に対し、PS(電源セーブ)モードをサポートしていなければ、クラス-3仮想BSSに対してビーコンを送る必要はない。もしそれが、クラス-3仮想BSSにビーコンを送っていれば、あらゆるビーコンのSSID要素が、ブロードキャストSSIDを指定する。これらのステップは、いかなるクラス-3仮想BSSも、ビーコンによって識別されることを防止する。
クラス-1仮想BSSビーコンだけが、非ブロードキャストSSIDフィールドを有するSSID要素を有する。局は、クラス-1仮想BSSとだけ関連付けることができる。この局は、アソシエーションまたは再アソシエーションリクエスト・フレームのSSID要素における非ブロードキャストSSIDを使用する。
米国特許出願No. 10/057566は、PVLANジョインおよび発見ステップを特定する。仮想BSSとして表されるPVLANにより、これらのステップは、以下のようにインスタンス化される。
ジョイン
あらゆる局は、デフォルトでは、PAPでクラス-1仮想BSSのメンバである。PAPは、クラス-1仮想BSSにおける局のユーザまたは局自体の何れかを認証することができる。もし成功したら、局は、そのPAPにおいて802.11状態2に入る。この時、PAPおよび局は、クラス-1仮想BSSにいる間、クラス1およびクラス2のフレームを交換してもよい。
クラス1フレームは、暗号によって保護されていない。認証が、成功した後、局とPAPが、ユニキャストセキュリティアソシエーションを共有すれば、クラス2フレームは、暗号的に保護することができる。PAPおよび局は、認証の後、グループセキュリティアソシエーションを共有することもできる。グループセキュリティアソシエーションは、PAPと802.11アソシエーションを完了すれば、局が帰属するそのクラス-3仮想BSSのためにある。
局およびPAPが、クラス3フレームを交換することができる前に、局は、
1)状態2からクラス-1仮想BSSとのアソシエーションをリクエストし、そして
2)クラス-3仮想BSSに切り替えなければならない。
PAPは、そのソースアドレス(アドレス2フィールド)またはBSSID(アドレス3フィールド)が、その仮想BSSに対するクラス-3仮想BSSIDであるアソシエーション応答MMPDUで局のアソシエーションリクエストに応答することによって、局をクラス-3仮想BSSに切り替える。アソシエーション応答の能力情報フィールドは、そのプライバシー(保護)ビットを1に設定してもよい。
クラス-3仮想BSSは、3つの方法のうちの1つの方法で決定される:
1)DSにおける認証サーバが、ユーザに対しDSM VLANを指定し、そして、PAPが、そのDSM VLANマッピングを使用して、それをクラス-3仮想BSSIDにマップする。
2)DSにおける認証サーバが、ユーザに対してクラス-3仮想BSSを指定する、または、
3)PAPが、ユーザに対して新しいクラス-3仮想BSSを作成する。PAPは、認証サーバに新しい仮想BSSを知らせ、そして他の局が、新しいBSSにジョインすることを可能にする規則をそれに提供することができる。
発見
クラス-1仮想BSSは、802.11ビーコンまたは、プローブ応答マネジメント・フレームにより発見される。ここで、BSSIDフィールド(アドレス3フィールド)およびソース・アドレス・フィールド(アドレス2フィールド)が、クラス1仮想BSSIDに対してそれぞれセットされる。これらのフレームの能力情報のプライバシー(保護)ビットはゼロにセットされる。ビーコンのTIM要素は、クラス-1仮想BSSに適用される。クラス-1仮想BSSのみが、ビーコンフレームを介して広告される。
データフレーム(MPDU)分配
PAPは、MACプロトコル・データ・ユニット(MPDU)ブリッジプロトコルを実施する。DSMかWMから受信されるMPDUに対してプロトコルは、以下の2つのケースによって定義される:
1. DSMから受信されたMPDU。2つのサブケースがある。(注:2つのサブケースは、PAPのローカルLLCに対する受信されたMPDUの配信を扱う、なぜならあらゆるPAPの局が、少なくとも一つの仮想BSSに帰属するからである。):
a. 受信されたMPDUは、VLANタグを有しないか、または空のVLANタグを有する。仮に目的アドレスが、BSSに帰属する局のアドレスであり、そして局が、PAPに関係付けられるのであるならば、DSMからのMPDUは、仮想BSSへリレーされ、または、目的アドレスが、グループアドレスであるならば、仮想BSSは、グループに属する局を有し、その局は、PAPに関連付けられている。全ての局は、ブロードキャストグループに属する。
b. 受信されたMPDUは、非空のVLANタグを有する。MPDUがリレーされる仮想BSSは、非空のVLANタグが、PAPのDSM VLANマッピングの下でマップされるBSSIDによって識別される。もしマッピングが、与えられたタグに対して未定義であるならば、MPDUは、リレーされない。
受信されたMPDUがリレーされるいかなる仮想BSSも、その仮想BSSにリレーされる802.11のMPDUのソースアドレス(アドレス2フィールド)を形成するBSSIDを有する。
2. WMから受信されたMPDU。受信された802.11 MPDUは、MPDUのアドレス1フィールドによって識別される仮想BSSに、もしその目的アドレス(MPDUのアドレス3フィールド)が、識別された仮想BSSに帰属する局のアドレスであり、そして、その局が、PAPに関連付けられているか、または、もしその目的アドレスが、グループアドレスであるならば、リレーされる。そうでなければ、フレームは、いかなる仮想BSSにもリレーされない。受信された802.11のMPDUのアドレス1フィールドは、アドレス1フィールドによって識別される仮想BSSにリレーされる802.11のMPDUのソースアドレス(アドレス2フィールド)である。
目的アドレス(MPDUのアドレス3フィールド)が、PAPと関連付けられていない局のアドレスであるか、または、目的アドレスが、グループアドレスであるならば、受信されたMPDUは、DSMにもリレーされる。もしDSが、VLANを認識しているならば、DSMにリレーされるMPDUは、VLANタグを有し、そしてそうでなければタグ付けされない。VLANタグは、PAPのDSM VLANマッピングのもとでの受信されたMPDUのアドレス 1フィールドのプリイメージである。
暗号および復号プロセス
暗号および復号は、サブタイプアソシエーションリクエスト/応答、再アソシエーションリクエスト/応答、ディスアソシエーションおよび脱認証(Deauthentication)の802.11データ・フレームおよびマネジメント・フレームを適用する。
WMに対して802.11データあるいはマネジメント・フレームを送る前にPAPによって使用される暗号化プロセスは、2つの主要なステップを含む:
● フレームに対してセキュリティアソシエーションを識別することと、
● そのアソシエーションを用いていくつかの暗号化(encipherment)および認証コード・プロトコルに従って送信のための拡張されたフレームを構築すること。
異なる暗号化および認証コード・プロトコルが、仮想ベーシックサービスセット間のブロードキャストおよびマルチキャストトラフィックのために使用することができ、そして、異なる暗号化および認証コード・プロトコルが、単一の仮想BSSにおける局の間の指示された(ユニキャスト)トラフィックのために使用することができる。
もし、フレーム目的アドレス(アドレス1フィールド)が、局のアドレスである場合、その局およびPAPの間で共有されるユニキャストセキュリティアソシエーションは、拡張において使用される。もしこのフレームが、データフレームであり、そして、その目的アドレスが、グループ・アドレスであるならば、MPDUブリッジ・プロトコルは、フレームに対する目的仮想BSSを識別する。識別されたBSSに対するグループセキュリティアソシエーションが、拡張に使用される。
非PAP局は、それがそのBSSにおけるPAPと共有するユニキャストセキュリティアソシエーションを使用してタイプデータまたはマネジメントの802.11のMPDUをDSに対して送信する。
WMから802.11のデータまたはマネジメント・フレームを受信する時に、PAPは、MPDUのソースアドレス(アドレス2フィールド)によって識別される局に対するユニキャストセキュリティアソシエーションを使用して復号化し、フレームの完全性を検証することを試みる。
PAPからタイプデータまたはマネジメントの802.11のMPDUを受信する時に、非-PAP局は、もしフレームの目的アドレス(アドレス1フィールド)が、局のアドレスであると、それがPAPと共有するユニキャストセキュリティアソシエーションを使用して、そして、もしフレームの目的アドレスが、グループ・アドレスであれば、そのクラス3仮想BSSのグループセキュリティアソシエーションを使用して、復号化し、フレームの完全性を検証することを試みる。
ロケーション更新プロトコル
本発明は、ブリッジの転送テーブルを更新するためのロケーション更新プロトコル、又は、公衆アクセス・ポイントを一緒に接続する、他の相互接続媒体も備える。
ブリッジLANのスパンニング・ツリーにおける異なるブリッジにアタッチされた、複数の公衆アクセス・ポイント、および互いにそれらの一つと関連付け、そして新しいPAPと再関連付ける端末を考えると、新しいPAPは、指示されたブリッジ・プロトコル・データ・ユニット(BPDU)(リロケーションPDUと呼ばれる)を局が以前に関連付けられていたPAPに送る。BPDUの目的アドレスは、再アソシエーションリクエスト・フレームの現在のAPアドレスであり、それは、クラス-3仮想BSSIDである。ソースアドレスは、局のハードウェア・アドレスである。
特定ポートにおいてリロケーションMPDUを受信すると、ブリッジは、受信ポートをMPDUのソースアドレスにバインドするエントリでその転送テーブルを更新する。
受信ブリッジは、その指定されたルート・ポートにリロケーションMPDUを、MPDUがそのポートに到着しない限り、または受信ブリッジがスバニング・ツリーのルートでない限り、転送する。もしそれが、ブリッジの指定されたルート・ポートにおいて、または、ルート・ブリッジによって受信されると、それは、ブリッジの学習された転送テーブルに従って転送され、それは、受信ポートを除く全てのポートに対してMPDUをあふれさせることを含む。
ファインブリッジング
上で議論されている本発明の一つの実施例は、仮想BSSに対してPVLANを絞り込む。MPDUブリッジ・プロトコルの下で、仮想BSSにおけるいかなる局も、指示されたまたはグループアドレス化されたフレームをその仮想BSSにおける他のいかなる局にも送ることができる。これは、望ましくないであろう。カンファレンス・センターにおける会議は、例えば、それ自身の仮想BSSを有していてもよいが、全ての出席者が、各々を信頼しているわけではない。同じ仮想BSSを共有することによって、ある出席者は、ウォームまたはウイルスを飛ばすことができる。各出席者を固有の仮想BSSに割り当てることによってこれらの攻撃を阻止しようとすることは、出席者が、サーバを共有することができないことになる。理想的には、サーバは、全ての会議参加者によって共有されているが、どの参加者も、他の参加者にアクセスする、つまりフレームを送ることはできないようにすべきである。上記の公衆アクセス・ポイントは、このレベルのアクセスコントロールを提供することができない。ファインブリッジングをサポートしているAPは、それを提供することができる。
IEEE 標準 802.1.Qのブロック図である図7も参照されたい。802.1Qブリッジは、LANのようなインフラ・ストラクチャ・システムに対して一組のエッジホストを接続している。エッジホストから到着するタグ付けされていないフレームは、ポートベースのVLAN割当(PVID A)によってVLAN Aに割り当てられる、そして、インフラ・ストラクチャ・システムから到着するタグ付けされていないフレームは、VLAN B(PVID B)に割り当てられる。記述された出力ルールにより、AまたはBに帰属しているフレームがインフラ・ストラクチャに出て行くことが許容される一方、Bに属しているフレームのみが、エッジホストに出て行くことを許容される。このような方法で、エッジホストは、直接、互いに通信することを防止される。
ファインブリッジングは、BSSを有するブロードキャストまたはマルチキャストドメインの識別を分離する(decouple)。
ファインブリッジングの下で、APのブリッジングの挙動は、有向グラフとして表されるポリシーによって決定される。グラフのノードは、局であり、そしてもし局Aが、局Bにアクセスすることが可能である場合に限り、局Aから局Bへのエッジが存在する。言い換えれば、局Bが、局Aの指示されたまたはグループフレームを受信することが可能でなければならない。
所与のポリシーに対して、あるノードに対すブロードキャスト・ドメインは、それ自体およびそれがアクセスしなければならない全てのノードである。ポリシーのブロードキャスト・ドメインセットは、そのノードに対する一組のブロードキャスト・ドメインである。
ポリシーの実施において、ブロードキャスト・ドメインごとにグループセキュリティアソシエーションがある。更に、各局(ノード)は、ポリシーにおけるそれ自体に対するブロードキャスト・ドメインの、そして、それがメンバであるポリシーにおけるあらゆるその他のブロードキャスト・ドメインのグループセキュリティアソシエーションを所有する。前者のアソシエーションが、グループフレームを送信するために、そして後者のアソシエーションがグループフレームを受信するために、局によって使用することができる。
その一つがAPである3局仮想BSSの中におけるアクセス可能性は、図2に示されるポリシーによって捕捉される。ポリシーにおける各ノードは、そのブロードキャスト・ドメインとして{A、B、AP}を有する。このように、ポリシーに対して1つのブロードキャスト・ドメインしかなく、これはポリシーが仮想BSSを反映することを考えると予期されることである。各局は、ドメインに対するグループセキュリティアソシエーションを知っていて、そのアソシエーションのもとでグループフレームを送信そして受信することができる。
図3は、局AおよびBが、サーバ局SおよびDを共有するが、AおよびBは、各々にアクセスすることが許されない4つの局の間のポリシーを捕捉する。
このポリシーは、ブロードキャスト・ドメインB1:{A,S,D}、B2:{B,S,D}およびB3:{D,A,S,B}を有している。局Aは、グループフレームを送るために、B1に対するグループセキュリティアソシエーションを知っていて、SおよびDによって送られるグループフレームを受信するために、B3に対するグループセキュリティアソシエーションを知っている。局Dは、グループフレームを送信し、Sからそれらを受信するために、B3に対するグループセキュリティアソシエーションを知っていて、AおよびBからグループフレームをそれぞれ受信するために、B1およびB2両方に対するグループセキュリティアソシエーションを知っている。
図3におけるポリシーが、例えば、BからAへのエッジが、ポリシーに対して付加されるように修正される場合には、図4に図示されるように、ドメインB2は、除去され、B1とB3だけが、残るであろう。
もしAからBへのエッジが、図4におけるポリシーに付加されると、ドメインB1、B2およびB3は、このポリシーに対し、単一ドメインB3に縮小するであろう。
他のポリシーバリエーションの提供は、当業者の能力の範囲内にある。
本発明は、好ましい実施例に関して本願明細書において記載されているが、当業者は、他の応用を、本発明の趣旨および範囲から逸脱することなく、本願明細書において記載されるそれらに置換させてもよいとことを直ちに理解するであろう。したがって、本発明は、添付の特許請求の範囲によってのみ制限されるべきである。
31 パブリック・アクセス・ポイント
32 無線媒体
33 分配システム媒体
33 分配システム媒体

Claims (6)

  1. ある端末を複数の端末から分離してある端末と複数の端末の間のネットワークトラフィックの分離をサポートするための、無線LAN用のアクセスポイント装置であって、
    前記アクセスポイント装置は、前記無線LANにおける通信のための共通のアクセスポイントとして機能し、
    前記アクセスポイント装置は、
    アソシエーション要求またはプローブ要求である要求であって、SSID(service set identifier)を含む要求、クラス−1仮想ベーシック・サービス・セット(BSS)のメンバである前記ある端末から受信し、
    前記要求を、
    前記アクセスポイント装置による前記要求の受信時に前記クラス−1仮想BSSとは異なるクラス−3仮想ベーシック・サービス・セット(BSS)を前記要求に対して判定し、
    前記クラス−3仮想BSSを定義する少なくとも一つのパラメータを受信し、
    前記少なくとも一つのパラメータに少なくとも基づいて前記クラス−3仮想BSSを確立し、
    前記クラス−3仮想BSS内で前記ある端末とのセキュリティアソシエーションを確立し、
    前記確立されたクラス−3仮想BSSのBSSIDを含む応答を前記ある端末に送信する
    ことによって処理する
    ように構成され、
    前記セキュリティアソシエーションは、少なくとも二つのキーを含み、一方のキーは、暗号化のためのキーであり、他方のキーは、認証コードを計算するためのキーであり、前記複数の端末は、前記確立されたクラス−3仮想BSSに属し、認証の後にグループセキュリティアソシエーションを共有する、ことを特徴とするアクセスポイント装置。
  2. 複数の別々のLANセグメントを供給しながら、前記LANセグメントのそれぞれに対して分離されたリンクプライバシーおよび完全性を提供するようにさらに構成されたことを特徴とする請求項1に記載のアクセスポイント装置。
  3. 前記少なくとも一つのパラメータは、前記ある端末によって提供されることを特徴とする請求項1に記載のアクセスポイント装置。
  4. 前記少なくとも一つのパラメータは、前記ある端末とは異なるソースによって提供されることを特徴とする請求項1に記載のアクセスポイント装置。
  5. 前記少なくとも一つのパラメータは、前記SSIDに基づくことを特徴とする請求項1に記載のアクセスポイント装置。
  6. 複数の局間でネットワークトラフィックの分離をサポートするための、セキュアな無線ネットワーク用のアクセスポイント装置で用いる方法であって、
    前記局のそれぞれは、ハードウェアMACアドレスを有し、
    前記方法は、
    アソシエーション要求またはプローブ要求であって、SSID(service set identifier)を含む要求、クラス−1仮想ベーシック・サービス・セット(BSS)のメンバである第1の局から受信するステップと、
    前記要求が前記アクセスポイント装置によって受信された時に前記クラス−1仮想BSSとは異なるクラス−3仮想ベーシック・サービス・セット(BSS)を前記要求に対して判定するステップと、
    前記クラス−3仮想BSSを定義する少なくとも一つのパラメータを受信するステップと、
    前記少なくとも一つのパラメータに少なくとも基づいて前記クラス−3仮想BSSを確立することにより、前記局のサブセットについて前記クラス−3仮想BSSを生成するステップと、
    前記クラス−3仮想BSS内で前記局のそれぞれとのセキュリティアソシエーションを確立するステップであって、前記セキュリティアソシエーションは、少なくとも二つのキーを含み、一方のキーは、暗号化のためのキーであり、他方のキーは、認証コードを計算するためのキーである、ステップと、
    前記確立されたクラス−3仮想BSSのBSSIDを含む応答を前記局に送信するステップと
    を備え、
    前記サブセットの局は、前記確立されたクラス−3仮想BSSに属し、認証の後にグループセキュリティアソシエーションを共有する、ことを特徴とする方法。
JP2010062701A 2004-01-09 2010-03-18 公衆アクセス・ポイント Expired - Fee Related JP5330298B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/754,402 2004-01-09
US10/754,402 US7986937B2 (en) 2001-12-20 2004-01-09 Public access point

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2006549290A Division JP2007518356A (ja) 2004-01-09 2004-12-14 公衆アクセス・ポイント

Publications (2)

Publication Number Publication Date
JP2010178357A JP2010178357A (ja) 2010-08-12
JP5330298B2 true JP5330298B2 (ja) 2013-10-30

Family

ID=34807443

Family Applications (4)

Application Number Title Priority Date Filing Date
JP2006549290A Pending JP2007518356A (ja) 2004-01-09 2004-12-14 公衆アクセス・ポイント
JP2010062700A Expired - Fee Related JP5865578B2 (ja) 2004-01-09 2010-03-18 公衆アクセス・ポイント
JP2010062702A Expired - Fee Related JP5253442B2 (ja) 2004-01-09 2010-03-18 公衆アクセス・ポイント
JP2010062701A Expired - Fee Related JP5330298B2 (ja) 2004-01-09 2010-03-18 公衆アクセス・ポイント

Family Applications Before (3)

Application Number Title Priority Date Filing Date
JP2006549290A Pending JP2007518356A (ja) 2004-01-09 2004-12-14 公衆アクセス・ポイント
JP2010062700A Expired - Fee Related JP5865578B2 (ja) 2004-01-09 2010-03-18 公衆アクセス・ポイント
JP2010062702A Expired - Fee Related JP5253442B2 (ja) 2004-01-09 2010-03-18 公衆アクセス・ポイント

Country Status (6)

Country Link
US (4) US7986937B2 (ja)
EP (1) EP1702434A4 (ja)
JP (4) JP2007518356A (ja)
KR (4) KR101365830B1 (ja)
CN (2) CN1910861B (ja)
WO (1) WO2005069784A2 (ja)

Families Citing this family (60)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7986937B2 (en) * 2001-12-20 2011-07-26 Microsoft Corporation Public access point
US7188364B2 (en) * 2001-12-20 2007-03-06 Cranite Systems, Inc. Personal virtual bridged local area networks
US8682279B2 (en) * 2004-05-07 2014-03-25 Interdigital Technology Corporation Supporting emergency calls on a wireless local area network
KR101122359B1 (ko) 2004-05-07 2012-03-23 인터디지탈 테크날러지 코포레이션 무선 근거리 통신망의 긴급 호 지원
US8145182B2 (en) * 2004-05-07 2012-03-27 Interdigital Technology Corporation Supporting emergency calls on a wireless local area network
JP4074283B2 (ja) * 2004-09-28 2008-04-09 株式会社東芝 通信装置、通信システム及び通信方法
JP2008515324A (ja) * 2004-09-28 2008-05-08 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 単一の無線アダプタを用いた多重無線ネットワーク内の複数局との同時通信
US7627123B2 (en) * 2005-02-07 2009-12-01 Juniper Networks, Inc. Wireless network having multiple security interfaces
CN100490408C (zh) * 2005-11-24 2009-05-20 鸿富锦精密工业(深圳)有限公司 接入点及其建立无线分布系统连线的方法
US8009644B2 (en) * 2005-12-01 2011-08-30 Ruckus Wireless, Inc. On-demand services by wireless base station virtualization
US9142873B1 (en) 2005-12-05 2015-09-22 Meru Networks Wireless communication antennae for concurrent communication in an access point
US9794801B1 (en) 2005-12-05 2017-10-17 Fortinet, Inc. Multicast and unicast messages in a virtual cell communication system
US9215745B1 (en) * 2005-12-09 2015-12-15 Meru Networks Network-based control of stations in a wireless communication network
US8472359B2 (en) 2009-12-09 2013-06-25 Meru Networks Seamless mobility in wireless networks
US9215754B2 (en) 2007-03-07 2015-12-15 Menu Networks Wi-Fi virtual port uplink medium access control
US9025581B2 (en) 2005-12-05 2015-05-05 Meru Networks Hybrid virtual cell and virtual port wireless network architecture
US8160664B1 (en) * 2005-12-05 2012-04-17 Meru Networks Omni-directional antenna supporting simultaneous transmission and reception of multiple radios with narrow frequency separation
US9185618B1 (en) * 2005-12-05 2015-11-10 Meru Networks Seamless roaming in wireless networks
US9730125B2 (en) * 2005-12-05 2017-08-08 Fortinet, Inc. Aggregated beacons for per station control of multiple stations across multiple access points in a wireless communication network
US8064601B1 (en) 2006-03-31 2011-11-22 Meru Networks Security in wireless communication systems
KR100728039B1 (ko) 2006-01-05 2007-06-14 삼성전자주식회사 무선랜에서 히든노드에게 제어 프레임을 전달하는 방법 및장치
US20070223701A1 (en) * 2006-01-30 2007-09-27 Motorola, Inc. Method and apparatus for utilizing multiple group keys for secure communications
WO2007096884A2 (en) 2006-02-22 2007-08-30 Elad Barkan Wireless internet system and method
US7974249B2 (en) * 2006-03-01 2011-07-05 Dell Products L.P. Virtual access point for configuration of a LAN
JP5040341B2 (ja) * 2006-04-04 2012-10-03 セイコーエプソン株式会社 プロジェクタシステム
US7924780B2 (en) * 2006-04-12 2011-04-12 Fon Wireless Limited System and method for linking existing Wi-Fi access points into a single unified network
US9826102B2 (en) 2006-04-12 2017-11-21 Fon Wireless Limited Linking existing Wi-Fi access points into unified network for VoIP
US9071583B2 (en) 2006-04-24 2015-06-30 Ruckus Wireless, Inc. Provisioned configuration for automatic wireless connection
US7788703B2 (en) 2006-04-24 2010-08-31 Ruckus Wireless, Inc. Dynamic authentication in secured wireless networks
US9769655B2 (en) 2006-04-24 2017-09-19 Ruckus Wireless, Inc. Sharing security keys with headless devices
US8537716B2 (en) * 2006-07-28 2013-09-17 Ca, Inc. Method and system for synchronizing access points in a wireless network
JP4594969B2 (ja) * 2007-08-28 2010-12-08 株式会社バッファロー 無線lan用アクセスポイント、プログラムおよび記録媒体
US7894436B1 (en) 2007-09-07 2011-02-22 Meru Networks Flow inspection
US8752131B2 (en) * 2008-04-30 2014-06-10 Fujitsu Limited Facilitating protection of a maintenance entity group
US8295217B2 (en) * 2008-07-11 2012-10-23 Acer Incorporated Method and apparatus for a device power savings class
US9483651B2 (en) * 2009-11-30 2016-11-01 Ncr Corporation Methods and apparatus for transfer of content to a self contained wireless media device
US9007967B2 (en) * 2009-12-03 2015-04-14 Intel Corporation BSS/PBSS support and schedule-free networking in 60GHz
US9197482B1 (en) 2009-12-29 2015-11-24 Meru Networks Optimizing quality of service in wireless networks
WO2011082529A1 (zh) * 2010-01-08 2011-07-14 华为技术有限公司 一种组临时密钥更新方法、装置和系统
US8910300B2 (en) 2010-12-30 2014-12-09 Fon Wireless Limited Secure tunneling platform system and method
GB201100612D0 (en) * 2011-01-14 2011-03-02 Nec Casio Mobile Comm Ltd Mobile radio communictions signalling
US9792188B2 (en) 2011-05-01 2017-10-17 Ruckus Wireless, Inc. Remote cable access point reset
US9906650B2 (en) 2011-06-26 2018-02-27 Fortinet, Llc Voice adaptation for wireless communication
US9125165B2 (en) * 2011-07-29 2015-09-01 Broadcom Corporation WLAN-based positioning system
CN103002572B (zh) * 2011-09-16 2018-04-17 中兴通讯股份有限公司 一种获取无线局域网用户位置信息的方法及装置
US8756668B2 (en) 2012-02-09 2014-06-17 Ruckus Wireless, Inc. Dynamic PSK for hotspots
KR101568711B1 (ko) * 2012-03-26 2015-11-12 엘지전자 주식회사 무선 통신 시스템에서 연계 아이디 변경 방법 및 이를 위한 장치
US9092610B2 (en) 2012-04-04 2015-07-28 Ruckus Wireless, Inc. Key assignment for a brand
WO2014051373A1 (en) * 2012-09-29 2014-04-03 Lg Electronics Inc. Method and apparatus for performing relay operation in wireless lan system
CN102946351B (zh) * 2012-10-23 2016-06-08 杭州华三通信技术有限公司 一种数据传输方法和系统
CN104244370B (zh) * 2013-06-08 2018-09-21 华为终端有限公司 无线中继设备的关联方法、装置及无线中继设备
US10602379B2 (en) * 2014-05-19 2020-03-24 Industrial Technology Research Institute Wireless communication method, wireless communication device and non-transitory computer readable recording medium thereof
US9521116B2 (en) * 2014-06-11 2016-12-13 Verizon Patent And Licensing Inc. Apparatus, method, and system for securing a public wireless network
WO2016026112A1 (zh) * 2014-08-21 2016-02-25 华为技术有限公司 一种频率复用方法及相关装置
WO2016144298A1 (en) * 2015-03-06 2016-09-15 Hewlett Packard Enterprise Development Lp Location update scheduling
CN105873147B (zh) * 2016-06-13 2019-03-22 珠海市魅族科技有限公司 无线局域网的通信方法、通信装置、接入点和站点
CN109673027B (zh) * 2017-10-16 2023-01-10 中兴通讯股份有限公司 多集中单元cu融合方法、相应设备及系统
US11937085B2 (en) 2019-08-14 2024-03-19 Mcafee, Llc Methods, systems, and media for creating temporary virtual access points using WiFi routers when portals cannot be presented
US11425789B2 (en) 2019-09-03 2022-08-23 GeoPost, Inc. Gateway device
US11696129B2 (en) * 2019-09-13 2023-07-04 Samsung Electronics Co., Ltd. Systems, methods, and devices for association and authentication for multi access point coordination

Family Cites Families (124)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3003A (en) * 1843-03-17 Improvement in the method of propelling vessels by means of continuous streams of water
US3022A (en) * 1843-03-30 Machine for bending stibrups for paddle-wheels of steam and other
US4919545A (en) 1988-12-22 1990-04-24 Gte Laboratories Incorporated Distributed security procedure for intelligent networks
EP0520709A3 (en) 1991-06-28 1994-08-24 Digital Equipment Corp A method for providing a security facility for remote systems management
US5577209A (en) 1991-07-11 1996-11-19 Itt Corporation Apparatus and method for providing multi-level security for communication among computers and terminals on a network
US5963556A (en) 1993-06-23 1999-10-05 Digital Equipment Corporation Device for partitioning ports of a bridge into groups of different virtual local area networks
ES2196087T3 (es) 1994-10-27 2003-12-16 Index Systems Inc Sistema y metodo para descargar datos de programacion de un grabador en una señal de video.
US5550984A (en) 1994-12-07 1996-08-27 Matsushita Electric Corporation Of America Security system for preventing unauthorized communications between networks by translating communications received in ip protocol to non-ip protocol to remove address and routing services information
US5764890A (en) 1994-12-13 1998-06-09 Microsoft Corporation Method and system for adding a secure network server to an existing computer network
US5790800A (en) 1995-10-13 1998-08-04 Digital Equipment Corporation Client application program mobilizer
US6035105A (en) 1996-01-02 2000-03-07 Cisco Technology, Inc. Multiple VLAN architecture system
US5822431A (en) 1996-01-19 1998-10-13 General Instrument Corporation Of Delaware Virtual authentication network for secure processors
US6085238A (en) * 1996-04-23 2000-07-04 Matsushita Electric Works, Ltd. Virtual LAN system
US5918019A (en) 1996-07-29 1999-06-29 Cisco Technology, Inc. Virtual dial-up protocol for network communication
JP2974280B2 (ja) 1996-09-11 1999-11-10 日本電気通信システム株式会社 ネットワーク接続のブリッジ装置における仮想グループ情報管理方法
US6311218B1 (en) 1996-10-17 2001-10-30 3Com Corporation Method and apparatus for providing security in a star network connection using public key cryptography
US6157647A (en) 1996-11-06 2000-12-05 3Com Corporation Direct addressing between VLAN subnets
US6041358A (en) 1996-11-12 2000-03-21 Industrial Technology Research Inst. Method for maintaining virtual local area networks with mobile terminals in an ATM network
FI104877B (fi) * 1997-03-27 2000-04-14 Nokia Networks Oy Resurssinvarausmekanismi pakettiradioverkossa
US6070243A (en) 1997-06-13 2000-05-30 Xylan Corporation Deterministic user authentication service for communication network
FI117366B (fi) 1997-06-30 2006-09-15 Sonera Smarttrust Oy Menetelmä tietoturvallisen palveluyhteyden muodostamiseksi tietoliikennejärjestelmässä
US6061796A (en) 1997-08-26 2000-05-09 V-One Corporation Multi-access virtual private network
US5978378A (en) 1997-09-11 1999-11-02 3Com Corporation Method and apparatus for VLAN support
CA2217275C (en) * 1997-10-03 2005-08-16 Newbridge Networks Corporation Multiple internetworking realms within an internetworking device
US6675208B1 (en) * 1997-10-14 2004-01-06 Lucent Technologies Inc. Registration scheme for network
US6047325A (en) 1997-10-24 2000-04-04 Jain; Lalit Network device for supporting construction of virtual local area networks on arbitrary local and wide area computer networks
US6035405A (en) 1997-12-22 2000-03-07 Nortel Networks Corporation Secure virtual LANs
US6032194A (en) 1997-12-24 2000-02-29 Cisco Technology, Inc. Method and apparatus for rapidly reconfiguring computer networks
NL1008351C2 (nl) 1998-02-19 1999-08-20 No Wires Needed B V Datacommunicatienetwerk.
US6317438B1 (en) 1998-04-14 2001-11-13 Harold Herman Trebes, Jr. System and method for providing peer-oriented control of telecommunications services
US6226751B1 (en) 1998-04-17 2001-05-01 Vpnet Technologies, Inc. Method and apparatus for configuring a virtual private network
US6898791B1 (en) 1998-04-21 2005-05-24 California Institute Of Technology Infospheres distributed object system
US6728249B2 (en) 1998-06-27 2004-04-27 Intel Corporation System and method for performing cut-through forwarding in an ATM network supporting LAN emulation
US6181699B1 (en) 1998-07-01 2001-01-30 National Semiconductor Corporation Apparatus and method of assigning VLAN tags
US6304973B1 (en) 1998-08-06 2001-10-16 Cryptek Secure Communications, Llc Multi-level security network system
AU6258499A (en) 1998-09-22 2000-04-10 Science Applications International Corporation User-defined dynamic collaborative environments
US6826616B2 (en) 1998-10-30 2004-11-30 Science Applications International Corp. Method for establishing secure communication link between computers of virtual private network
JP3996288B2 (ja) 1998-12-07 2007-10-24 株式会社日立製作所 通信ネットワークシステムの管理方法および情報中継装置
US6636898B1 (en) 1999-01-29 2003-10-21 International Business Machines Corporation System and method for central management of connections in a virtual private network
US6615357B1 (en) 1999-01-29 2003-09-02 International Business Machines Corporation System and method for network address translation integration with IP security
US6081900A (en) 1999-03-16 2000-06-27 Novell, Inc. Secure intranet access
US6970459B1 (en) 1999-05-13 2005-11-29 Intermec Ip Corp. Mobile virtual network system and method
US6847620B1 (en) * 1999-05-13 2005-01-25 Intermec Ip Corp. Mobile virtual LAN
US6675225B1 (en) 1999-08-26 2004-01-06 International Business Machines Corporation Method and system for algorithm-based address-evading network snoop avoider
US6917614B1 (en) 1999-09-17 2005-07-12 Arris International, Inc. Multi-channel support for virtual private networks in a packet to ATM cell cable system
GB9922665D0 (en) 1999-09-25 1999-11-24 Hewlett Packard Co A method of enforcing trusted functionality in a full function platform
JP2001160828A (ja) 1999-12-03 2001-06-12 Matsushita Electric Ind Co Ltd セキュリティ・ゲートウェイ装置におけるvpn通信方法
US6970941B1 (en) 1999-12-10 2005-11-29 Sun Microsystems, Inc. System and method for separating addresses from the delivery scheme in a virtual private network
US6697943B1 (en) 1999-12-17 2004-02-24 Cisco Technology, Inc. Use of cyclic redundancy checking for segregating control traffic
US6414956B1 (en) 1999-12-17 2002-07-02 Texas Instruments Incorporated VLAN tag transport within a switch
GB2364477B (en) 2000-01-18 2003-11-05 Ericsson Telefon Ab L M Virtual private networks
US6639901B1 (en) 2000-01-24 2003-10-28 3Com Corporation Apparatus for and method for supporting 802.1Q VLAN tagging with independent VLAN learning in LAN emulation networks
US7028186B1 (en) * 2000-02-11 2006-04-11 Nokia, Inc. Key management methods for wireless LANs
US6961762B1 (en) 2000-02-14 2005-11-01 Sygate Technologies, Inc. Automatic switching network points based on configuration profiles
US7451312B2 (en) 2000-03-07 2008-11-11 General Instrument Corporation Authenticated dynamic address assignment
US7173923B2 (en) * 2000-03-17 2007-02-06 Symbol Technologies, Inc. Security in multiple wireless local area networks
US7181542B2 (en) 2000-04-12 2007-02-20 Corente, Inc. Method and system for managing and configuring virtual private networks
US6978364B1 (en) 2000-04-12 2005-12-20 Microsoft Corporation VPN enrollment protocol gateway
US6981041B2 (en) 2000-04-13 2005-12-27 Aep Networks, Inc. Apparatus and accompanying methods for providing, through a centralized server site, an integrated virtual office environment, remotely accessible via a network-connected web browser, with remote network monitoring and management capabilities
US20020022483A1 (en) 2000-04-18 2002-02-21 Wayport, Inc. Distributed network communication system which allows multiple wireless service providers to share a common network infrastructure
WO2001082097A1 (en) 2000-04-27 2001-11-01 Fortress Technologies, Inc. A method and apparatus for integrating tunneling protocols with standard routing protocols
US7594028B1 (en) * 2000-04-28 2009-09-22 International Business Machines Corporation Counting of GVRP protocol data units within a network bridge
US7356841B2 (en) 2000-05-12 2008-04-08 Solutioninc Limited Server and method for providing specific network services
US7055171B1 (en) 2000-05-31 2006-05-30 Hewlett-Packard Development Company, L.P. Highly secure computer system architecture for a heterogeneous client environment
JP3585422B2 (ja) * 2000-06-01 2004-11-04 シャープ株式会社 アクセスポイント装置及びその認証処理方法
GB2363548A (en) 2000-06-15 2001-12-19 Int Computers Ltd Computer systems, in particular virtual private networks
US7054329B2 (en) * 2000-07-07 2006-05-30 Koninklijke Philips Electronics, N.V. Collision avoidance in IEEE 802.11 contention free period (CFP) with overlapping basic service sets (BSSs)
US7151762B1 (en) * 2000-07-14 2006-12-19 At&T Corp. Virtual streams for QoS-driven wireless LANs
US20020143960A1 (en) 2000-08-02 2002-10-03 Erez Goren Virtual network generation system and method
US6904054B1 (en) 2000-08-10 2005-06-07 Verizon Communications Inc. Support for quality of service and vertical services in digital subscriber line domain
WO2002017571A1 (en) 2000-08-24 2002-02-28 Tiara Networks, Inc. System and method for connecting geographically distributed virtual local area networks
US7596223B1 (en) * 2000-09-12 2009-09-29 Apple Inc. User control of a secure wireless computer network
US6954790B2 (en) 2000-12-05 2005-10-11 Interactive People Unplugged Ab Network-based mobile workgroup system
WO2002047336A1 (fr) 2000-12-06 2002-06-13 Nec Corporation Reseau prive virtuel
US20020083344A1 (en) 2000-12-21 2002-06-27 Vairavan Kannan P. Integrated intelligent inter/intra networking device
US6912592B2 (en) 2001-01-05 2005-06-28 Extreme Networks, Inc. Method and system of aggregate multiple VLANs in a metropolitan area network
US7209479B2 (en) 2001-01-18 2007-04-24 Science Application International Corp. Third party VPN certification
US20020101868A1 (en) * 2001-01-30 2002-08-01 David Clear Vlan tunneling protocol
US20020174335A1 (en) 2001-03-30 2002-11-21 Junbiao Zhang IP-based AAA scheme for wireless LAN virtual operators
GB0109299D0 (en) 2001-04-12 2001-05-30 British Telecomm Hybrid network
US7174390B2 (en) 2001-04-20 2007-02-06 Egenera, Inc. Address resolution protocol system and method in a virtual network
US7061899B2 (en) 2001-05-01 2006-06-13 Hewlett-Packard Development Company, L.P. Method and apparatus for providing network security
US7003662B2 (en) 2001-05-24 2006-02-21 International Business Machines Corporation System and method for dynamically determining CRL locations and access methods
US20020178240A1 (en) 2001-05-24 2002-11-28 International Business Machines Corporation System and method for selectively confirming digital certificates in a virtual private network
US20030206518A1 (en) * 2001-05-25 2003-11-06 Yik James Ching-Shau Public access separation in a virtual networking environment
US20020199021A1 (en) 2001-06-26 2002-12-26 Niels Beier Method and apparatus for using the type/length field in an ethernet mac header for carrying generic tags/labels
US7107464B2 (en) 2001-07-10 2006-09-12 Telecom Italia S.P.A. Virtual private network mechanism incorporating security association processor
US6981259B2 (en) 2001-08-02 2005-12-27 Hewlett-Packard Development Company, L.P. System and method for generating a virtual device
US7130904B2 (en) 2001-08-16 2006-10-31 Intel Corporation Multiple link layer wireless access point
US20030037258A1 (en) 2001-08-17 2003-02-20 Izchak Koren Information security system and method`
US7194622B1 (en) * 2001-12-13 2007-03-20 Cisco Technology, Inc. Network partitioning using encryption
US7188364B2 (en) 2001-12-20 2007-03-06 Cranite Systems, Inc. Personal virtual bridged local area networks
US7986937B2 (en) * 2001-12-20 2011-07-26 Microsoft Corporation Public access point
US7120791B2 (en) 2002-01-25 2006-10-10 Cranite Systems, Inc. Bridged cryptographic VLAN
EP1523129B1 (en) 2002-01-18 2006-11-08 Nokia Corporation Method and apparatus for access control of a wireless terminal device in a communications network
US7313135B2 (en) 2002-01-31 2007-12-25 Mosaid Technologies, Inc. Trunking in a matrix
US7203957B2 (en) 2002-04-04 2007-04-10 At&T Corp. Multipoint server for providing secure, scaleable connections between a plurality of network devices
US7277442B1 (en) 2002-04-26 2007-10-02 At&T Corp. Ethernet-to-ATM interworking that conserves VLAN assignments
US7546458B1 (en) * 2002-05-04 2009-06-09 Atheros Communications, Inc. Method for organizing virtual networks while optimizing security
US7086089B2 (en) 2002-05-20 2006-08-01 Airdefense, Inc. Systems and methods for network security
US7058796B2 (en) 2002-05-20 2006-06-06 Airdefense, Inc. Method and system for actively defending a wireless LAN against attacks
US7042852B2 (en) 2002-05-20 2006-05-09 Airdefense, Inc. System and method for wireless LAN dynamic channel change with honeypot trap
US7113498B2 (en) 2002-06-05 2006-09-26 Broadcom Corporation Virtual switch
US7093027B1 (en) 2002-07-23 2006-08-15 Atrica Israel Ltd. Fast connection protection in a virtual local area network based stack environment
US7062566B2 (en) 2002-10-24 2006-06-13 3Com Corporation System and method for using virtual local area network tags with a virtual private network
US7284062B2 (en) 2002-12-06 2007-10-16 Microsoft Corporation Increasing the level of automation when provisioning a computer system to access a network
JP4173517B2 (ja) 2003-03-05 2008-10-29 インテリシンク コーポレイション コンピューティング・ネットワークとリモート装置との間のバーチャル・プライベート・ネットワーク
US7478427B2 (en) 2003-05-05 2009-01-13 Alcatel-Lucent Usa Inc. Method and apparatus for providing adaptive VPN to enable different security levels in virtual private networks (VPNs)
WO2005045642A2 (en) 2003-11-04 2005-05-19 Nexthop Technologies, Inc. Secure, standards-based communications across a wide-area network
US7164912B2 (en) 2004-01-07 2007-01-16 Research In Motion Limited Apparatus, and associated method, for facilitating selection by a mobile node of a network through which to communicate using a hierarchical selection process
US20050226257A1 (en) 2004-03-30 2005-10-13 Adc Broadband Access Systems, Inc. Virtual local area network
US20050283604A1 (en) 2004-06-21 2005-12-22 Ipolicy Networks, Inc., A Delaware Corporation Security association configuration in virtual private networks
JP4407452B2 (ja) 2004-09-29 2010-02-03 株式会社日立製作所 サーバ、vpnクライアント、vpnシステム、及びソフトウェア
US7292592B2 (en) 2004-10-08 2007-11-06 Telefonaktiebolaget Lm Ericsson (Publ) Home network-assisted selection of intermediary network for a roaming mobile terminal
US7434047B2 (en) 2004-12-30 2008-10-07 Nokia, Inc. System, method and computer program product for detecting a rogue member in a multicast group
US7673068B2 (en) 2005-04-18 2010-03-02 Alcatel Lucent Method and system for implementing a high availability VLAN
CN100377548C (zh) 2005-07-15 2008-03-26 华为技术有限公司 一种实现虚交换的方法和装置
US7920548B2 (en) 2005-08-18 2011-04-05 Hong Kong Applied Science And Technology Research Institute Co. Ltd. Intelligent switching for secure and reliable voice-over-IP PBX service
US7746892B2 (en) 2005-11-02 2010-06-29 Nortel Networks Limited Method and apparatus for transporting ethernet services
US20070271606A1 (en) 2006-05-17 2007-11-22 Amann Keith R Apparatus and method for establishing a VPN tunnel between a wireless device and a LAN
US7693985B2 (en) 2006-06-09 2010-04-06 Cisco Technology, Inc. Technique for dispatching data packets to service control engines
US8181009B2 (en) 2009-03-03 2012-05-15 Harris Corporation VLAN tagging over IPSec tunnels
US8098656B2 (en) 2009-06-26 2012-01-17 Avaya, Inc. Method and apparatus for implementing L2 VPNs on an IP network
US8837281B2 (en) 2010-09-10 2014-09-16 Futurewei Technologies, Inc. Use of partitions to reduce flooding and filtering database size requirements in large layer two networks

Also Published As

Publication number Publication date
US9730070B2 (en) 2017-08-08
JP2010178356A (ja) 2010-08-12
US7986937B2 (en) 2011-07-26
JP5865578B2 (ja) 2016-02-17
KR101260100B1 (ko) 2013-05-02
US8767623B2 (en) 2014-07-01
EP1702434A2 (en) 2006-09-20
KR101365830B1 (ko) 2014-02-20
WO2005069784A3 (en) 2006-08-10
KR100933097B1 (ko) 2009-12-21
CN101707596A (zh) 2010-05-12
CN1910861B (zh) 2010-11-24
KR20130049812A (ko) 2013-05-14
EP1702434A4 (en) 2010-06-16
JP2010178357A (ja) 2010-08-12
US20110310872A1 (en) 2011-12-22
WO2005069784A2 (en) 2005-08-04
CN101707596B (zh) 2013-10-30
US8675559B2 (en) 2014-03-18
US20140337966A1 (en) 2014-11-13
US20040141617A1 (en) 2004-07-22
KR101002448B1 (ko) 2010-12-17
JP5253442B2 (ja) 2013-07-31
KR20100002283A (ko) 2010-01-06
KR20090081006A (ko) 2009-07-27
CN1910861A (zh) 2007-02-07
JP2007518356A (ja) 2007-07-05
KR20060129005A (ko) 2006-12-14
US20110321128A1 (en) 2011-12-29
JP2010183610A (ja) 2010-08-19

Similar Documents

Publication Publication Date Title
JP5330298B2 (ja) 公衆アクセス・ポイント
US7877080B2 (en) Public access point
US7688981B2 (en) Network partitioning using encryption
US8537716B2 (en) Method and system for synchronizing access points in a wireless network
US11805416B2 (en) Systems and methods for multi-link device privacy protection
Ibrahim Investigating the Effectiveness and Performance of WPA_PSK (Pre-Shared Key) and WPA_RADIUS Server in Wireless Network Security

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120525

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120827

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121130

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130227

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130628

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130725

R150 Certificate of patent or registration of utility model

Ref document number: 5330298

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees