KR20060129005A - 공중 액세스 포인트 - Google Patents

공중 액세스 포인트 Download PDF

Info

Publication number
KR20060129005A
KR20060129005A KR1020067016040A KR20067016040A KR20060129005A KR 20060129005 A KR20060129005 A KR 20060129005A KR 1020067016040 A KR1020067016040 A KR 1020067016040A KR 20067016040 A KR20067016040 A KR 20067016040A KR 20060129005 A KR20060129005 A KR 20060129005A
Authority
KR
South Korea
Prior art keywords
virtual
pap
station
bss
address
Prior art date
Application number
KR1020067016040A
Other languages
English (en)
Other versions
KR100933097B1 (ko
Inventor
마이클 볼파노 데니스
Original Assignee
크레니테 시스템즈, 인크.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 크레니테 시스템즈, 인크. filed Critical 크레니테 시스템즈, 인크.
Publication of KR20060129005A publication Critical patent/KR20060129005A/ko
Application granted granted Critical
Publication of KR100933097B1 publication Critical patent/KR100933097B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4604LAN interconnection over a backbone network, e.g. Internet, Frame Relay
    • H04L12/462LAN interconnection over a bridge based backbone
    • H04L12/4625Single bridge functionality, e.g. connection of two networks over a single bridge
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W40/00Communication routing or communication path finding
    • H04W40/02Communication route or path selection, e.g. power-based or shortest path routing
    • H04W40/023Limited or focused flooding to selected areas of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W92/00Interfaces specially adapted for wireless communication networks
    • H04W92/02Inter-networking arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • H04L12/4645Details on frame tagging
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W64/00Locating users or terminals or network equipment for network management purposes, e.g. mobility management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices
    • H04W88/10Access point devices adapted for operation in multiple networks, e.g. multi-mode access points

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)

Abstract

본 발명은 IEEE Std 802.11 구성요소를 이용한 개인용 VLAN 브리지에 관한 것이다. 이는 공중 액세스 포인트로 언급되는 브리지로서, IEEE Std.802.11 아키텍처보다 공중 무선 데이터 네트워크를 실현하는데 더 적합하다. 본 발명은 공중 액세스 포인트를 상호 접속하는 브리지의 전송 테이블을 갱신 하기 위한 위치 갱신 프로토콜을 제공한다. 본 발명은 정교한 브리징으로 언급되는 보다 제어된 브리징을 위한 방법을 제공한다.
PAP, VLAN, 전송 테이블, 가상 베이직 서비스 세트.

Description

공중 액세스 포인트{PUBLIC ACCESS POINT}
본 발명은 전자 네트워크로의 무선 공중 액세스에 관한 것이다. 보다 구체적으로, 본 발명은 전자 네트워크에 대한 물리적 액세스 포인트 내로부터 가상 베이직 서비스 세트(virtual basic service set)의 생성을 허용하는 아키텍처에 관한 것이다.
공중 WiFi 핫스폿(hotspot)은 전통적인 IEEE Std.802.11-일부 제외된 컴플리언트 액세스 포인트를 이용하여 배치된다. 그러나, IEEE Std.802.11 아키텍처와 보안 모델은 공중 사용에는 부적합하다. 액세스 포인트(Access Point, 액세스 포인트)와 연계된 스테이션은 802.11 베이직 서비스 세트(이하 BSS) 또는 무선 LAN을 공유한다. BSS의 모든 요소(member)가 신뢰될 수 없는 한, BSS에서의 어떤 스테이션이라도 다른 요소에 의해 시작되는 공격(attack)으로부터 안전할 수 없다. 이러한 공격은 베이직 서비스와, 이 서비스를 받기 위해 가입자에 의해 제공되는 패스워드와 신용카드 정보 등의 기밀 정보의 절도(stealing)를 포함한다. 다른 공격은 네트워크 무결성(integrity)과 서비스의 품질 저하를 포함한다. 예를 들어, 공중 액세스 포인트와 연계된 스테이션으로 구성된, 공중 서비스 세트의 모든 요소를 신뢰할 수 있게 되기를 기대하는 것은 비현실적이다. 따라서, 스테이션은 공중 BSS에서 취약하다.
공중 BSS를 공유하는 것은 또 다른 위협(threat)을 제공한다. BSS의 요소는 다른 요소의 스테이션을 웜(worms)이나 트로이안 목마(Trojan horses)로 감염시킬 수 있다. 포트-기반 DCOM RPC 공격, MSBlaster, 및 Welchia 웜은 좋은 예이다. 이 위협은 전자적 세스풀(cesspool)인 공중 BSS로 더욱 심각해진다. 스테이션은 어떻게 이 위협에 대처할 것인가?
BSS에서의 스테이션은 개인 방화벽과 같은 방어물로 자체적으로 방어할 수 있다. 대안적으로, 공중 WiFi 공급자는 상호간 가입자들을 보호하는 보안 모델을 배치할 수 있다. 하나의 접근법은 스테이션 상호 간의 통신(inter-station communication)을 방지하는 것이다. 그러나 이는 성립될 수 없는 해결책이다. 상호 신뢰하는 스테이션은 공중 세팅일지라도 그들 사이의 통신이 허용되어야만 한다. 예를 들면 컨벤션 센터(convention center)에서 개최된 회의에서 스테이션은 동일 지역 LAN 상의 파일 서버로 액세스할 수 있어야만 한다. 예컨대, 이는 표준 회의에서 통상적인 관례이다. 또한 이런 종류의 공유가 허용된다면 IEEE Std.802.11하에서는 침입자가 전체 BSS를 동작 불가능하게 하는 것이 쉬워진다. 이는 라스베가스에서 열린 2001 Usenix Security Conference와 2001 DEFCON Conference에서 논증되었다. 취약성을 도입하지 않고 이런 종류의 공유를 지원할 수 있는 무선 LAN용의 보안 모델은 현재 없다.
취약성의 도입함이 없이 또는 BSS를 이용하는 스테이션 사이의 보안성을 손상하지 않고 단일한 물리적 BSS의 공유를 지원할 수 있는 무선 LAN용의 보안 모델을 제공하는 것이 유리할 것이다.
본 발명은 취약성의 도입이나 스테이션 보안의 손상 없이 스테이션에 의한 단일한 물리적 BSS의 공유를 지원할 수 있는 무선 LAN 용의 보안 모델을 제공한다. 따라서, 새로운 종류의 액세스 포인트가 제공되고, 이는 공중 액세스 포인트(Public Access Point, PAP)로 이하 언급된다. PAP는 IEEE Std.802.11에 의해 전술한 것과는 상이한 보안 아키텍처를 갖는다. PAP 아키텍처는 단일한 물리적 액세스 포인트내로부터 가상 베이직 서비스 세트의 생성을 허용한다. 임의의 수의 가상 서비스 세트가 생성될 수 있고, 어떤 수의 종단 스테이션(end station)이라도 가상 BSS에 소속될 수 있다. PAP는 각각의 가상 BSS에 대해 하나씩 다중 물리적 802.11 액세스 포인트로서 종단 스테이션에 나타난다. 따라서, PAP는 어떤 802.11 종단 스테이션과도 완전하게 공동조작(interoperable)이 가능하다.
PAP 사용의 일례로서, 컨벤션 센터를 들 수 있다. 상이한 회의는 802.11-인에이블된 프로젝터를 이용할 수 있다. PAP는 각각의 회의에 대해 개별적인 LAN 세그먼트를 제공하고 각각에 대해 개별적인 링크 프라이버시 및 보전을 제공하는 것을 허용한다. IEEE Std.802.11만을 사용하는 대신, 회의 프로젝터와 이를 이용해 프로젝팅할 수 있는 모든 스테이션은 사설 액세스 포인트(private access point) 또는 전용 WLAN을 이용해야만 하며, WLAN 회원, 인증 및 중요한 자료(keying material)를 관리해야만 한다. 그렇지 않다면, 누구라도 프로젝터로 투사할 수 있으며, 더욱 나쁘게는 디스플레이되기 전에 유효한 프로젝터 트래픽을 차단하여 외부인에 의해 모니터되거나 손상될 수 있다.
또한, 종래의 접근법과 연관된 보안 관리 부담이 매우 높고, 회의 입안자는 모든 장소에 그 소유의 것을 인스톨하고 구성하는 것 대신에 로컬 액세스 포인트(local access point)를 사용하는 것을 선호한다. PAP는 모든 보안을 운영할 수 있다. 그에 따라, 공유된 프로젝터와 임의의 로컬 파일 서버를 포함하는 각각의 회의에서 모든 종단 스테이션은 그 회의에 대한 가상 802.11 액세스 포인트에 효율적으로 연계될 수 있고, 모든 가상 액세스 포인트는 동일한 물리적 PAP로부터 발생된다.
본 발명은 공중 액세스 포인트를 서로 접속하는 브리지의 전송 테이블(forwarding table)을 갱신하기 위한 위치 갱신 프로토콜을 제공한다.
또한, 본 발명은 정교한 브리징(fine brigding)으로 언급되는 보다 제어된 브리징에 대한 방법을 제공한다.
도 1은 IEEE Std.802.11 프로토콜 엔티티의 블록 개요도,
도 2는 IEEE Std.802.11 구성 기반구조의 블록 개요도,
도 3은 본 발명에 따른 공중 액세스 포인트의 블록 개요도,
도 4는 본 발명에 따른 3-스테이션 가상 BSS(이중 하나는 액세스 포인트임) 내의 액세스 능력(accessibility)에 대한 정책의 블록 개요도,
도 5는 본 발명에 따른, 스테이션 A와 B가 서버 스테이션 S와 D를 공유하지만 A와 B의 상호 액세스는 허용되지 않는 4-스테이션 사이의 정책의 블록 개요도,
도 6은 본 발명에 따른, B로부터 A로의 에지가 추가되도록 변형된 도 3에서의 정책의 블록 개요도, 및
도 7은 포트-기반 VLAN 할당, 탈출 필터링(egress filtering), 및 공유된 VLAN 학습(shared VLAN learning, SVL)를 통해 기반구조 시스템에 접속된 에지 호스트들 사이에서 직접 통신을 제거한 IEEE Std.802.1Q 브리지의 블록 개요도.
공중 액세스 포인트
미국특허출원 제10/057,566호에서, 프로토콜은 종단 스테이션이 현존하는 VLAN의 태그 및 언태그된 요소 세트를 중첩함으로써 현존하는 VLAN을 복제하는 가상의 브리지된 LAN(VLAN)을 생성할 수 있는 것으로 설명된다. 또한, 새로운 VLAN은 가상적인 그의 고유한 보안 연계(security association)에 의해 고유하다. 이 연계는 VLAN 프라이빗(private)에 속하는 패킷을 유지하고 그들의 VLAN 회원이 키 MAC(keyed MAC)에 의해 암호적으로 검증되도록 하는 암호화 중심 자료(keying material)를 제공한다. 새로운 VLAN은 그 생성자에 의해 소유된다. 소유자는 VLAN의 수명뿐만 아니라 어느 스테이션이 VLAN을 결합할 수 있고 발견할 수 있는지를 제어한다. 따라서, VLAN은 개별적인 가상의 브리지된 LAN(PVLAN)으로 불려진다.
본 발명의 일실시예는 IEEE Std.802.11-1999의 표준 구성요소만을 이용하는 PVLAN의 세밀사항(refinement)을 제공한다(Part 11: Wireless LAN Medium Access Control(MAC) and Physical Layer(PHY) specification, ISO/IEC 8802-11:1999(E), ANSI/IEEE Std.802.11,1999 edition; 및 Part 11: Wireless LAN Medium Access Control(MAC) and Physical Layer(PHY) specification, Medium Access Control(MAC) Security Enhancement, IEEE Std.802.11i/D7.0, Draft amendment to ISO/IEC 8802-11:1999(E),ANSI/IEEE Std.802.11,1999 edition 참조).
각각의 BSS(BSS-A, BSS-B)가 각각의 액세스 포인트(액세스 포인트-A,액세스 포인트-B)를 포함하고 스테이션(A1/A2,B1/B2)에 연계되어 있는, IEEE Std.802.11 프로토콜 엔티티의 블록 개요도인 도1 및 IEEE Std.802.11 구성 기반구조의 블록 개요도인 도2를 참조한다. 액세스 포인트로 작용하지 않는 변형되지 않은 802.11-컴플리언트 종단 스테이션 동작의 수정이 본 발명에 요구된다. 세밀사항은 가상의 802.11 BSS에 대한 PVLAN을 예시하고, 액세스 포인트에만 영향을 준다.
도3은 본 발명에 따른 공중 액세스 포인트 아키텍처의 블록 개요도이다. 가상 802.11 BSS, 예를 들면 BSS-1 또는 BSS-2는, 각각 하드웨어(MAC) 어드레스를 갖고(도 1 참조), 그룹 보안 연계로 불리는 고유의 보안 연계를 공유하는 스테이션의 세트를 포함한다. 보안 연계는 암호화 키와 인증 코드 키로 이루어진다.
정확하게 가상 BSS 내의 스테이션 중 하나만이 공중 액세스 포인트(PAP)(31)이다. 이는 802.11 무선 매체(WM)(32)와 802.11 분배 시스템 매체(DSM)(33)를 브리 지한다.
고유한 유니캐스트(unicast) 보안 연계는 가상 BSS 내의 모든 스테이션에 존재한다. 이는 스테이션과 그 가상 BSS의 PAP 사이에 공유된다.
각각의 가상 BSS, 예를 들면 BSS-1 또는 BSS-2는 그 소유의 식별자(identifier) 또는 BSSID를 갖는다. 이는 그 BSS에 속하는 PAP의 가상 MAC 어드레스이다. PAP는 그 가상 MAC 어드레스 중 하나에 정해진 WM으로부터 임의의 프레임을 수신하고, 프레임의 소스 MAC 어드레스로서 그 가상 MAC 어드레스 중 하나를 사용하여 WM으로 프레임을 송신한다.
가상 베이직 서비스 세트의 수집은 단일 PAP에서 공유된 시간 동기화 기능(Timing Synchronization Function), 분배된 조정 기능(Distributed Coordination Function, DCF) 및 선택적으로 포인트 조정 기능(Point Coordination Function, PCF)에 의해 지원된다. 각각의 PAP에는 단일 네트워크 배치 벡터(Network Alloction Vector, NAV)와 포인트 조정기(Point Coordinator, PC)가 있다. 이런 공유는 802.11 가상 캐리어-센스, 매체 예약 매커니즘이 동일 채널 중첩을 사용하는 다중 베이직 서비스 세트와 작업하도록 설계되므로 가능하다. 이런 종류의 오버랩은 단일 채널 PAP에 의해 지원되는 가상 베이직 서비스 세트 사이에서 일어날 수 있다. 가상 서비스 세트는 하나의 채널을 사용할 수 있고, 따라서 PAP에서 중첩될 수 있다.
PAP는 하나 이상의 가상 BSS에 소속될 수 있다. 도 1의 BSS-1, BSS-2를 참조하라. PAP가 아닌 어떤 스테이션이라도 최대 하나의 가상 BSS에 소속될 수 있다.
가상 802.11 BSS는 가상의 브리지된 LAN에 의해 그들의 공중 액세스 포인트의 접속을 통해 다른 가상 BSS에 브리지될 수 있다. 각각의 가상 BSS의 PAP는 VLAN 어웨어 브리지(aware bridge)의 트렁크된 또는 언태그된 포트를 통해 분배 시스템(DS)에 접속된다. DS로 송신된 프레임은 DSM에 알려진 VLAN 태그를 전달할 수 있다. PAP는 VLAN 태그를 가상 BSSID로 매핑하는 DSM VLAN 매핑을 유지할 수 있다.
현재 클래스-1 및 클래스-3 가상 BSS의 두 종류의 가상 BSS가 있다. PAP는 정확하게 하나의 클래스-1 가상 BSS 또는 하나 또는 그 이상의 다중 클래스-3 가상 베이직 서비스 세트를 지원한다. 클래스-1 가상 BSS는 단지 가상 BSS이고, 스테이션은 802.11 상태 1 또는 2에 있는 동안 PAP에 의해 제어되는 바대로 점령이 허용된다. 상태 3에 있을 때, 스테이션은 클래스-3 가상 BSS에 결합되는 것이 허용된다. 클래스-3 가상 BSS는, 예를 들면, 개방 시스템 또는 스테이션 인증에 이용된 공유 키 등의 인증의 종류에 따라 결정될 수 있다.
클래스-1 가상 BSSID는 이러한 필드를 갖는 모든 클래스 1 및 클래스 2 프레임의 BSSID 필드이다. 이는 클래스 1 및 클래스 2 프레임에 적합한 수신기 또는 송신기 어드레스 필드이다.
모든 가상 BSS는 타임스탬프(Timestamp), 비컨 인터벌(beacon interval), 보호된 성능 정보 프라이버시 비트(Cability information Privacy bit), 서비스 세트 식별자(SSID: Service Set ID), 보안 성능(security cability) 구성요소, 트래픽 지시 맵(TIM: Traffic Indication Map) 구성요소 필드를 제외하곤, 동일한 비컨(beacon) 프레임 콘텐츠를 갖는다.
PAP가 그 BSS 내의 종단 스테이션에 대해 PS(Power-Save) 모드를 지원하지 않는다면, 클래스-3 가상 BSS에 대해 비컨할 필요가 없다. 클래스-3 BSS에 대해 비컨하면, 모든 비컨 내의 SSID 구성요소는 방송 SSID를 지정한다. 이들 단계는 어떤 클랙스-3 가상 BSS가 비컨을 통해 식별되는 것을 방지한다.
클래스-1 가상 BSS 비컨만이 비-방송 SSID 필드를 갖는 SSID 구성 요소를 포함한다. 스테이션은 클랙스-1 가상 BSS에만 연계될 수 있다. 스테이션은 연계 또는 재연계 요청 프레임의 SSID 구성 요소 내의 비-방송 SSID를 이용한다.
미국특허출원 제10/057,566호는 PVLAN 조인과 전개 단계를 확인한다. 가상 BSS로서 기술된 PVLAN에 따르면, 이들 단계는 다음과 같이 예시된다.
조인(Join)
모든 스테이션은 의무적으로 PAP에서 클래스-1 가상 BSS의 요소다. PAP는 클래스-1 가상 BSS에서 스테이션의 이용자 또는 스테이션 자체를 인증한다. 성공적이라면, 스테이션은 PAP에서 802.11 상태 2로 진입된다. 이 때, PAP 및 스테이션은 클래스-1 가상 BSS 상태에서 클래스 1과 클래스 2 프레임을 교환할 수 있다.
클래스 1 프레임은 암호적으로 보호되지 않는다. 클래스 2 프레임은 성공적인 인증 후에 스테이션과 PAP가 유니캐스트 보안 연계를 공유한다면 암호적으로 보호된다. PAP 및 스테이션은 인증 후에 그룹 보안 연계를 공유할 수도 있다. 그룹 보안 연계는 PAP와의 802.11 연계가 완료될 경우 스테이션이 속하는 클래스-3 가상 BSS를 위한 것이다.
스테이션 및 PAP가 클래스 3 프레임을 교환하기 전에, 스테이션은
1) 상태 2로부터 클래스-1 가상 BSS와의 연계를 요청하고,
2) 클래스-3 가상 BSS로 전환해야만 한다.
그 소스 어드레스(어드레스 2 필드) 또는 BSSID(어드레스 3 필드)가 그 가상 BSS에 대한 클래스-3 가상 BSSID인 연계 응답 MMPDU를 갖는 스테이션의 연계 요청에 응답함으로써 PAP는 스테이션을 클래스-3 가상 BSS로 전환한다. 연계 응답의 성능 정보 필드는 보호된 프라이버시 비트 세트를 갖는다.
클래스-3 가상 BSS는 3가지 방식 중 하나로 결정된다.
1) DS 내의 인증 서버는 이용자에 대한 DSM VLAN을 지정하고, PAP는 DSM VLAN 매핑을 이용하여 이를 클래스-3 가상 BSSID로 매핑한다.
2) DS 내의 인증 서버는 이용자에 대해 클래스-3 가상 BSS를 지정한다.
3) PAP는 이용자에 대한 새로운 클래스-3 가상 BSS를 생성하고, PAP는 새로운 가상 BSS의 인증 서버를 통지하고, 다른 스테이션이 새로운 BSS에 조인하는 것을 허용하기 위한 규칙을 제공한다.
전개(Discovery)
클래스-1 가상 BSS는 BSSID 필드(어드레스3 필드)와 소스 어드레스 필드(어드레스2 필드)가 각각 클래스-1 가상 BSSID로 설정되는 802.11 비컨 또는 프로브 응답(Probe Response) 관리 프레임을 통해 발견된다. 이들 프레임에서 성능 정보 필드의 보호된 프라이버시 비트는 "0"으로 설정된다. 비컨의 TIM 구성요소는 클래스-1 가상 BSS로 적용된다. 클래스-1 가상 BSS만이 비컨 프레임을 통해 통지된다.
데이터 프레임(MPDU) 분배
PAP는 MAC 프로토콜 데이터 유닛(MPDU) 브리지 프로토콜을 수행한다. DSM 또는 WM으로부터 수신된 MPDU에 대해 프로토콜은 다음의 2개의 케이스에 따라 정의된다.
1. DSM으로부터 수신된 MPDU. 2개의 서브케이스가 있다(2개의 서브케이스는 모든 PAP의 스테이션이 적어도 하나의 가상 BSS에 속하기 때문에 PAP의 로컬 LLC로 수신된 MPDU의 전달을 제어한다).
a. 수신된 MPDU는 VLAN 태그를 갖지 않거나 빈(null) VLAN 태그를 갖는다. 목적지 어드레스가 가상 BSS에 속한 스테이션의 어드레스이고 스테이션이 PAP와 연계된다면, 또는 목적지 어드레스가 그룹 어드레스이고 가상 BSS는 그룹에 속한 스테이션을 갖고 스테이션은 PAP와 연계된다면, MPDU는 DSM으로부터 가상 BSS로 중계된다. 모든 스테이션은 방송 그룹이다.
b. 수신된 MPDU는 비지 않은(non-null) VLAN 태그를 갖는다. MPDU가 중계되는 가상 BSS는 비-널 VLAN 태그가 PAP의 DSM VLAN 매핑 하에서 매핑되는 가상 BSSID에 의해 식별된다. 매핑이 주어진 태그에 대해 규정되지 않을 경우 MPDU는 중계되지 않는다.
수신된 MPDU가 중계되는 임의의 가상 BSS는 가상 BSS로 중계되는 802.11 MPDU의 소스 어드레스(어드레스2 필드)를 형성하는 BSSID를 갖는다.
2. WM으로부터 수신된 MPDU. 목적지 어드레스(MPDU의 어드레스 3 필드)가 식별된 가상 BSS에 속한 스테이션의 어드레스이고 스테이션이 PAP와 연계되면, 또는 목적지 어드레스가 그룹 어드레스라면, 수신된 802.11 MPDU는 MPDU의 어드레스 1 필드에 의해 식별된 가상 BSS로 중계된다. 그렇지 않으면, 프레임은 어떤 가상 BSS로도 중계되지 않는다. 수신된 802.11 MPDU의 어드레스 1 필드는 어드레스 1 필드에 의해 식별된 가상 BSS로 중계되는 802.11 MPDU의 소스 어드레스(어드레스 2 필드)이다.
목적지 어드레스(MPDU의 어드레스 3 필드)가 PAP에 연계되지 않은 스테이션의 어드레스이거나, 또는 목적지 어드레스가 그룹 어드레스라면, 수신된 MPDU는 DSM으로도 중계된다. DSM으로 중계된 MPDU는 DS가 VLAN 어웨어라면 VLAN 태그를 갖고, 그렇지 않으면 언태그드된다. VLAN 태그는 PAP의 DSM VLAN 매핑 하에서 수신된 MPDU의 어드레스 1 필드의 프리-이미지(pre-image)이다.
암호화 및 해독 과정
암호화 및 해독화는 서브타입 연계 요청/응답, 재연계 요청/응답, 연계해제(disassociation) 및 인증해제(deauthentication)의 802.11 데이터 프레임과 관리 프레임을 이용한다.
802.11 데이터 또는 관리 프레임을 WM으로 송신하기 전에 PAP에 의해 이용된 암호화 과정은 다음의 2가지 중요한 단계를 포함한다.
·프레임에 대한 보안 연계를 식별하는 단계; 및
·일부 암호화 및 인증화 코드 프로토콜에 따라 전송용의 확장된 프레임을 만들기 위해 연계를 이용하는 단계.
상이한 암호화 및 인증화 코드 프로토콜은 방송 및 가상 베이직 서비스 세트 사이의 멀티캐스트 트래픽에 이용될 수도 있고, 상이한 암호화 및 인증화 코드 프 로토콜은 단일 가상 BSS 내의 스테이션 사이의 관리에 유니캐스트용으로 이용될 수 있다.
프레임 목적지 어드레스(어드레스1 필드)가 스테이션의 어드레스라면, 스테이션과 PAP 사이에 공유된 유니캐스트 보안 연계는 확장(expansion)에 이용될 수 있다. 프레임이 데이터 프레임이고 그 목적지 어드레스가 그룹 어드레스라면, MPDU 브리지 프로토콜은 프레임에 대한 목적지 가상 BSS를 식별한다. 식별된 가상 BSS 에 대한 그룹 보안 연계는 확장에 이용될 수 있다.
비-PAP 스테이션은 타입 데이터의 802.11 MPDU 또는 관리 프레임을 그 가상 BSS 내의 상기 PAP와 공유하는 유니캐스트 보안 연계를 이용하여 DS로 전송한다.
802.11 데이터 또는 관리 프레임을 WM으로부터 수신하면, PAP는 MPDU의 소스 어드레스(어드레스 2 필드)에 의해 식별된 스테이션에 대한 유니캐스트 보안 연계를 이용하여 프레임의 해독 및 무결성 검증을 시도한다.
PAP로부터 타입 데이터의 802.11 MPDU 또는 관리 프레임을 수신하면, 비-PAP 스테이션은, 프레임(어드레스 1 필드)의 목적지 어드레스가 스테이션의 어드레스이라면 PAP와 공유하는 유니캐스트 보안 연계를 이용하여, 그리고 프레임의 목적지 어드레스가 그룹 어드레스라면 그 클래스-3 가상 BSS의 그룹 보안 연계를 이용하여 프레임의 해독 및 무결성 검증을 시도한다.
위치 갱신 프로토콜
또한 본 발명은 공중 액세스 포인트를 접속하는 브리지 또는 기타 상호접속 매체의 전송 테이블을 갱신하기 위한 위치 갱신 프로토콜을 포함한다.
브리지된 LAN의 스패닝 트리(spanning tree)에서 상이한 브리지에 부착된 다중 공중 액세스 포인트와 이중 하나에 연계되고 나서 새로운 PAP와 재연계된 종단 스테이션이라면, 새로운 PAP는 지향성 브리지 프로토콜 테이터 유니트(BPDP)(리로케이션 PDU로 언급됨)를 스테이션이 이전에 연계된 PAP로 전송한다. BPDU의 목적지 어드레스는 재연계 요청 프레임의 현재 액세스 포인트 어드레스이고, 클래스-3 가상 BSSID이다. 소스 어드레스는 스테이션의 하드웨어 어드레스이다.
특정 포트에서 재배치 MPDU를 수신함에 따라, 브리지는 수신 포트를 MPDU의 소스 어드레스에 결합하는 엔트리로 그 전송 테이블을 갱신한다.
수신 브리지는 포트에 도달한 MPDU 또는 수신 브리지가 스패닝 트리의 루트가 아닌한 재배치 MPDU를 그 지정된 루프 포트로 전송한다. 만일 이것이 브리지의 지정된 루프 포트에서 또는 루트 브리지에 의해 수신되면, 브리지의 학습된 전송 테이블에 따라 전송되고, 이는 수신 포트를 제외한 모든 포트로의 MPDU의 플러딩(flooding)을 포함할 수 있다.
정교한 브리징(fine bridging)
전술한 본 발명의 일실시예는 가상 BSS에 대한 PVLAN을 상세히 논한다. MPDU 브리지 프로토콜 하에서, 가상 BSS 내의 어떤 스테이션이라도 지향되거나 그룹-어드레스된 프레임을 그 가상 BSS 내의 다른 스테이션으로 송신할 수 있다. 이는 바람직하지 않을 수도 있다. 예를 들면, 컨퍼런스 센터에서의 회의는 그 소유의 가상 BSS를 가질 수 있지만, 모든 출석자가 상호를 신뢰하지는 않는다. 동일한 가상 BSS 를 공유함으로써, 일부 출석자는 웜이나 바이러스를 유포할 수 있다. 각각의 출석자에게 고유의 가상 BSS를 할당함으로써 이들 공격을 방지하는 것은 출석자가 서버를 공유하는 것을 방해한다. 이상적으로, 서버는 모든 회의 관계자에 의해 공유되지만, 어떤 관계자도 다른 관계자를 액세스, 즉 프레임을 다른 관계자에게 송신할 수는 없다. 전술한 공중 액세스 포인트는 이런 수준의 액세스 제어는 제공할 수 없다. 액세스 포인트 지원 정교한 브리징이 이를 제공할 수 있다.
에지 호스트의 세트를 LAN 등의 기반구조 시스템에 접속하는 IEEE Std.802.1Q 브리지의 블록 개요도를 도시하는 도 7을 참조한다. 에지 호스트로부터 도달된 언태그 프레임은 포트-기반 VLAN 할당(PVID A)의 힘으로 VLAN에 할당되고, 기반구조 시스템으로부터 도달된 언태그 프레임은 VLAN B(PVID B)에 할당된다. 도시된 탈출 규칙(egress rule)은 A 또는 B에 속한 프레임이 기반구조로 탈출하는 것을 허용하는 반면 B에 속한 것들은 에지 호스트로 탈출하는 것이 허용된다. 이러한 방법으로, 에지 호스트는 상호 직접적으로 통신하는 것이 방지된다.
정교한 브리징은 방송 식별자 또는 멀티캐스트 도메인과 BSS를 분리한다.
정교한 브리징에서, 액세스 포인트의 브리징 동작은 방향 그래프(directed graph)로서 나타낸 정책에 의해 결정된다. 그래프의 노드는 스테이션이고, 스테이션 A가 스테이션 B를 액세스할 수 있어야만 한다면, 즉 스테이션 B가 스테이션 A로부터의 지향 프레임 또는 그룹 프레임을 수신할 수 있어야 한다면, 스테이션 A로부터 스테이션 B까지 에지가 있다.
소정 정책에 있어서, 노드에 대한 방송 도메인은 그 자신이고 액세스해야하 는 모든 노드이다. 이 정책의 방송 도메인 세트는 그 노드에 대한 방송 도메인의 세트이다.
정책의 수행에 있어서, 방송 도메인마다 그룹 보안 연계가 있다. 또한, 각각의 스테이션(노드)은 정책 내에서 자신에 대한 방송 도메인의 그룹 보안 연계를 처리하고, 요소인 정책 내에서 다른 모든 방송 도메인의 그룹 보안 연계를 처리한다. 전자의 연계는 그룹 프레임을 송신하기 위해 스테이션에 의해 이용될 수 있고, 후자의 연계는 그룹 프레임을 수신하기 위해 이용될 수 있다.
하나가 액세스 포인트인 3-스테이션 가상 BSS 내의 액세스능력은 도 2에 도시한 정책에 의해 포획된다. 정책에서의 각각의 노드는 그 방송 도메인으로서 {A,B,액세스 포인트}를 갖는다. 따라서, 정책이 하나의 가상 BSS를 반영한다는 기대대로, 정책에 대해서는 하나의 방송 도메인만이 존재한다. 각각의 스테이션은 도메인에 대한 그룹 보안 연계를 알고 있고, 그 연계하에서 그룹 프레임을 송수신할 수 있다.
도 3은 스테이션 A와 B가 서버 스테이션 S와 D를 공유하지만 상호 액세스는 허용되지 않는 4개 스테이션 사이의 정책을 포획한다.
이 정책은 방송 도메인 B1{A,S,D}, B2:{B,S,D}, 및 B3:{D,A,S,B}를 갖는다. 스테이션 A는 그룹 프레임을 송신하기 위해 B1에 대한 그룹 보안 연계와, S와 D에 의해 송신된 그룹 프레임을 수신하기 위해 B3에 대한 그룹 보안 연계를 알고 있다. 스테이션 D는 그룹 프레임을 송신하고 S로부터 이를 수신하기 위해 B3에 대한 그룹 보안 연계와, A와 B로부터 각각이 그룹 프레임을 수신하기 위해 B1과 B2 양자에 대 한 그룹 보안 연계를 알고 있다.
도 3에 도시한 정책이 B로부터 A로의 에지가 정책에 추가되도록 도 4에 도시한 바와 같이 변형된다면, 도메인 B2는 제거되고 B1과 B3만이 남게 된다.
A로부터 B로의 에지가 도 4의 정책에 추가된다면, 도메인 B1, B2 및 B3는 이 정책에 있어서 단일 도메인 B3로 붕괴된다.
다른 정책 변형의 제안이 당업자에게 가능하다.
본 발명은 바람직한 실시예를 참조하여 설명되었지만, 당업자라면 본 발명의 범위 내에서 각종 변형이 가능하다는 것을 알 수 있다. 따라서 본 발명은 첨부된 특허청구범위에 의해 제한되어야 한다.

Claims (49)

  1. 복수의 종단 스테이션; 및
    단일한 물리적 액세스 포인트(AP) 내로부터 복수의 가상 베이직 서비스 세트(BSS)를 제공하기 위한 공중 액세스 포인트(PAP)를 포함하는 무선 LAN용 보안 장치에 있어서,
    임의의 수의 상기 종단 스테이션이 가상 BSS에 속할 수 있고,
    상기 PAP는, 각각의 가상 BSS마다 하나의 액세스 포인트씩, 상기 종단 스테이션에 다중 물리적 액세스 포인트로서 나타나는 것을 특징으로 하는 장치.
  2. 제1항에 있어서,
    상기 PAP는 복수의 개별 LAN 세그먼트를 준비하는 동시에 각각의 상기 LAN 세그먼트에 대해 개별적 링크 프라버시 및 무결성을 제공하는 것을 특징으로 하는 장치.
  3. 제1항에 있어서,
    상기 모든 종단 스테이션 및 상기 LAN에 연계된 임의의 로컬 파일 서버 및 기타 장치는 가상 액세스 포인트에 연계되고, 여기서 모든 가상 액세스 포인트는 동일한 물리적 PAP로부터 발생되는 것을 특징으로 하는 장치.
  4. 제1항에 있어서,
    복수의 PAP; 및
    상기 PAP를 서로 접속하는 브리지의 전송 테이블을 갱신하기 위한 위치 갱신 프로토콜을 더 포함하는 것을 특징으로 하는 장치.
  5. 제1항에 있어서,
    가상 BSS에 속하는 상기 모든 종단 스테이션 사이의 통신을 제한하기 위한 정교한 브리징 방법(fine bridging method)을 더 포함하는 것을 특징으로 하는 장치.
  6. 복수의 802.11 종단 스테이션; 및
    공중 액세스 포인트(PAP)를 포함하는 무선 LAN용 보안 장치에 있어서,
    상기 PAP는 단일한 물리적 액세스 포인트(AP) 내로부터 가상 802.11 베이직 서비스 세트(BSS)로 예시된 개인 가상 브리지 LAN(PVLAN)를 포함하는 것을 특징으로하는 장치.
  7. 가상 802.11 베이직 서비스 세트(BSS); 및
    각각이 하드웨어(MAC) 어드레스를 갖는 복수의 스테이션를 포함하는 보안 무선 네트워크에 있어서,
    상기 가상 BSS 내의 상기 모든 스테이션은 그룹 보안 연계를 공유하고,
    상기 가상 BSS 내의 상기 스테이션 중 하나는 공중 액세스 포인트(PAP)를 포함하는 것을 특징으로 하는 네트워크.
  8. 제7항에 있어서,
    상기 스테이션 각각의 상기 그룹 보안 연계는 암호화 키 및 인증 코드 키를 포함하는 것을 특징으로 하는 네트워크.
  9. 제7항에 있어서,
    상기 가상 BSS 내의 상기 스테이션 중 엄밀하게 하나는 802.11 무선 매체(WM)와 802.11 분배 시스템 매체(DSM)를 브리징하기 위한 공중 액세스 포인트인 것을 특징으로 하는 네트워크.
  10. 제7항에 있어서,
    상기 그룹 보안 연계는 상기 가상 BSS 내의 모든 스테이션을 위한 고유의 유니캐스트 보안 연계를 더 포함하고,
    상기 보안 연계는 각각의 스테이션과 상기 가상 BSS 내의 상기 PAP 사이에서 공유되는 것을 특징으로 하는 네트워크.
  11. 제7항에 있어서,
    복수의 가상 BSS를 더 포함하고,
    각각의 상기 가상 BSS는 그 자체의 식별자(BSSID)를 갖는 것을 특징으로 하는 네트워크.
  12. 제11항에 있어서,
    상기 BSSID는 상기 가상 BSS를 위한 가상 MAC 어드레스를 포함하는 것을 특징으로 하는 네트워크.
  13. 제12항에 있어서,
    상기 PAP는 그 가상 MAC 어드레스 중 하나에 대해 지정된 802.11 무선 매체(WM)로부터 프레임을 수신하고, 상기 PAP는 상기 프레임의 소스 MAC 어드레스로서 그 가상 MAC 어드레스를 이용하여 상기 WM으로 프레임을 송신하는 것을 특징으로 하는 네트워크.
  14. 제7항에 있어서,
    단일의 PAP에서 공유 시간 동기화 기능(Timeing Synchronization Function, TSF), 분배 조정 기능(Distributed Coordination Function, DCF) 및 선택적으로 포포인트 조정 기능(Point Coordination Function, PCF)에 의해 지원되는 복수의 가상 BSS를 더 포함하는 것을 특징으로 하는 네트워크.
  15. 제7항에 있어서,
    상기 각각의 PAP는 단일 네트워크 배치 벡터 (Network Allocation Vector, NAV) 및 포인트 조정기(Point Coordinator, PC)를 더 포함하는 것을 특징으로 하는 네트워크.
  16. 제7항에 있어서,
    상기 PAP는 하나 또는 그 이상의 가상 BSS에 속할 수 있는 것을 특징으로 하는 네트워크.
  17. 제7항에 있어서,
    PAP가 아닌 임의의 스테이션이라도 최대 하나의 가상 BSS에 속할 수 있는 것을 특징으로 하는 네트워크.
  18. 제7항에 있어서,
    각각의 가상 BSS의 PAP의 접속에 의해 가상 BSS를 다른 가상 BSS와 브리징하기 위한 가상 브리지 LAN(VLAN)을 더 포함하는 것을 특징으로 하는 네트워크.
  19. 제18항에 있어서,
    각각의 가상의 BSS의 PAP는 VLAN-어웨어 브리지(aware bridge)의 트렁크된 또는 언태그된 포트를 통해 분배 시스템(DS)에 접속되는 것을 특징으로 하는 네트워크.
  20. 제19항에 있어서,
    상기 DS로 전송된 프레임은 알려진 VLAN 태그를 분배 시스템 매체(DSM)로 반송하는 것을 특징으로 하는 네트워크.
  21. 제20항에 있어서,
    상기 PAP는 VLAN 태그를 가상 BSS 식별자(BSSID)로 매핑하는 DSM VLAN 매핑을 유지하는 것을 특징으로 하는 네트워크.
  22. 제7항에 있어서,
    상기 가상 BSS는 클래스-1 및 클래스-3 가상 BSS를 포함하고,
    상기 PAP는 정확하게 하나의 클래스-1 가상 BSS 및 하나 또는 그 이상의 다중 클래스-3 가상 BSS를 지원하고,
    상기 클래스-1 가상 BSS는 상기 스테이션이 802.11 상태 1 또는 2에 있는 동안 상기 PAP에 의해 제어되는 바대로 점령이 허용되는 유일한 가상 BSS이고,
    상태 3에 있을 때, 스테이션은 클래스-3 가상 BSS로 조인이 허용되고,
    클래스-3 가상 BSS는 상기 스테이션을 인증하기 위해 이용된 인증의 종류에 의해 결정되는 것을 특징으로 하는 네트워크.
  23. 제22항에 있어서,
    상기 클래스-1 가상 BSSID는 그러한 필드를 갖는 모든 클래스 1 및 클래스 2의 BSSID 필드인 것을 특징으로 하는 네트워크.
  24. 제22항에 있어서,
    클래스-1 가상 BSSID는 클래스 1 및 클래스 2 프레임에 적합한 수신기 또는 송신기 어드레스 필드인 것을 특징으로 하는 네트워크.
  25. 제7항에 있어서,
    모든 가상 BSS는 타임스탬프(Timestamp), 비컨 인터벌(beacon interval), 보호된 성능 정보 프라이버시 비트(Capability information Privacy bit), 서비스 세트 식별자(Service Set ID, SSID), 보안 성능(security capability) 구성요소 및 트래픽 지시 맵(Traffic Indication Map, TIM) 구성요소 필드를 제외하곤, 동일한 비컨(beacon) 프레임 콘텐츠를 갖는 것을 특징으로 하는 네트워크.
  26. 제22항에 있어서,
    상기 PAP가 BSS 내의 종단 스테이션에 대해 파워-세이브(PS) 모드를 지원하지 않으면, 상기 PAP는 클래스-3 가상 BSS에 대해 비컨할 필요가 없고,
    상기 PAP가 클래스-3 BSS에 대해 비컨하면, 모든 비컨 내의 SSID 구성요소는 방송 SSID를 지정하고,
    클래스-3 가상 BSS는 비커닝을 통해 식별되는 것이 방지되는 것을 특징으로 하는 네트워크.
  27. 제26항에 있어서,
    클래스-1 가상 BSS 비컨만이 비-방송 SSID 필드를 갖는 SSID 구성요소를 포함하고,
    스테이션은 클래스-1 가상 BSS와만 연계되는 것을 특징으로 하는 네트워크.
  28. 제22항에 있어서,
    모든 스테이션은 기본적으로 PAP에서 클래스-1 가상 BSS의 요소이고,
    상기 PAP는 상기 클래스-1 가상 BSS에서 스테이션의 사용자 또는 스테이션 자체를 인증할 수 있고,
    성공적인 경우, 상기 스테이션은 상기 PAP에서 802.11 상태 2로 진입하고,
    상기 PAP 및 상기 스테이션은 상기 클래스-1 가상 BSS에 있어서 클래스 1 및 클래스 2 프레임을 교환할 수 있는 것을 특징으로 하는 네트워크.
  29. 제28항에 있어서,
    클래스 2 프레임은 성공적인 인증 후 상기 스테이션 및 상기 PAP가 유니캐스트 보안 연계를 공유하면 암호적으로 보호되는 것을 특징으로 하는 네트워크.
  30. 제29항에 있어서,
    상기 PAP 및 상기 스테이션은 인증 후에 그룹 보안 연계를 공유하고,
    상기 그룹 보안 연계는 상기 스테이션이 상기 PAP와의 802.11 연계를 완료하면 속해지는 클래스-3 가상 BSS를 위한 것을 특징으로 하는 네트워크.
  31. 제30항에 있어서,
    상기 스테이션 및 상기 PAP는 클래스 3 플레임을 교환할 수 있고, 상기 스테이션은 상태 2로부터 상기 클래스-1 가상 BSS와의 연계를 요청해야만 하고 클래스-3 가상 BSS로 전환하는 것을 특징으로 하는 네트워크.
  32. 제31항에 있어서,
    상기 PAP는 소스 어드레스(어드레스 2 필드) 또는 BSSID(어드레스 3 필드)가 그 가상 BSS를 위한 클래스-3 가상 BSSID인 연계 응답 MMPDU와의 상기 스테이션의 연계 요청에 응답하여 상기 스테이션을 클래스-3 가상 BSS로 전환하는 것을 특징으로 하는 네트워크.
  33. 제32항에 있어서,
    상기 클래스-3 가상 BSS는,
    상기 DS 내의 인증 서버가 이용자에 대한 DSM VLAN을 지정하고, 상기 PAP가 그 DSM VLAN 매핑을 이용하여 이를 클래스-3 가상 BSSID로 매핑하는 방식,
    상기 DS 내의 인증 서버가 상기 이용자에 대한 클래스-3 가상 BSS를 지정하는 방식, 및
    상기 PAP가 상기 이용자에 대한 신규 클래스-3 가상 BSS를 생성하는 방식 중 하나에 의해 결정되고,
    상기 PAP는 신규 가상 BSS의 인증 서버를 통지하고, 다른 스테이션을 상기 신규 BSS에 조인시키기 위한 규칙을 이에 제공하는 것을 특징으로 하는 네트워크.
  34. 제22항에 있어서,
    클래스-1 가상 BSS는 802.11 비컨 또는 프로브 응답 관리 프레임을 통해 발견되고, BSSID 필드(어드레스 3 필드)와 소스 어드레스 필드(어드레스 2 필드)는 각각 클래스-1 가상 BSSID로 설정되는 것을 특징으로 하는 네트워크.
  35. 제22항에 있어서,
    상기 PAP는 상기 DSM 또는 상기 WM으로부터 수신된 MPDU에 대해 MAC 프로토콜 데이터 유니트(MPDU) 브리지 프로토콜을 수행하고, 상기 프로토콜은 상기 DSM으로부터 수신된 MPDU 또는 상기 WM으로부터 수신된 MPDU를 어드레스하고,
    - 상기 DSM으로부터 수신된 MPDU에서,
    수신된 MPDU는 VLAN 태그를 갖지 않거나 빈(null) VLAN 태그를 갖고,
    상기 DSM으로부터의 상기 MPDU는 상기 MPDU 목적지 어드레스가 상기 가상 BSS에 속하는 스테이션의 어드레스이고, 상기 스테이션이 상기 PAP와 연계된다면, 또는
    상기 MPDU 목적지 어드레스가 그룹 어드레스이고, 상기 가상 BSS가 상기 그룹에 속하는 스테이션을 갖고, 상기 스테이션이 상기 PAP와 연계된다면, 상기 DSM으로부터의 MPDU는 가상 BSS로 중계되고, 또는
    수신된 MPUD가 비지 않은 VLAN 태그를 갖고,
    상기 MPUD가 중계되는 상기 가상 BSS가, 상기 PAP의 DSM VLAN 매핑 하에서 상기 비-널 VLAN 태그가 매핑되는 상기 가상 BSSID에 의해 식별되고,
    상기 매핑이 소정 태그에 대해 정의되지 않으면, 상기 MPUD는 중계되지 않고,
    수신된 MPUD가 중계되는 어떤 가상 BSS라도 그 가상 BSS로 중계되는 802.11 MPDU의 소스 어드레스(어드레스 2 필드)를 형성하는 BSSID를 포함하고,
    - 상기 WM으로부터 수신된 MPDU에서,
    수신된 802.11 MPDU는,
    상기 MPDU 목적지 어드레스(MPDU의 어드레스 3 필드)가 상기 식별된 가상 BSS에 속하는 스테이션의 어드레스이고, 상기 스테이션이 상기 PAP와 연계된다면, 또는
    상기 MPDU 목적지 어드레스가 그룹 어드레스이라면, 상기 MPDU의 어드레스 1필드에 의해 식별된 가상 BSS로 중계되고,
    그렇지 않으면, 상기 프레임은 어떤 가상 BSS로도 중계되지 않으며,
    수신된 802.11 MPDU의 상기 어드레스 1 필드는 상기 어드레스 1 필드에 의해 식별된 상기 가상 BSS로 중계되는 802.11 MPDU의 소스 어드레스(어드레스 2 필드)인 것을 특징으로 하는 네트워크.
  36. 제35항에 있어서,
    상기 수신된 MPDU는,
    상기 목적지 어드레스(MPDU의 어드레스 3 필드)가 상기 PAP와 연계되지 않은 스테이션의 어드레스이거나,
    상기 목적지 어드레스가 그룹 어드레스라면, 상기 DSM으로도 중계하고,
    상기 DSM으로 중계된 상기 MPDU는 상기 DS가 VLAN 어웨어라면 VLAN 태그를 가지고, 그렇지 않으면 언태그되고,
    상기 VLAN 태그는 상기 PAP의 DSM VLAN 매핑하 에서 상기 수신된 MPDU의 상기 어드레스 1 필드의 프리-이미지인 것을 특징으로 하는 네트워크.
  37. 제22항에 있어서,
    802.11 데이터 프레임과, 서브타입(subtype) 연계 요청/응답, 재연계 요청/응답, 연계해제(disassociation)/인증해제(deauthentication)의 관리 프레임을 적용함으로써 암호화 및 해독화를 수행하기 위한 수단을 더 포함하는 것을 특징으로 하는 네트워크.
  38. 제37항에 있어서,
    802.11 데이터 또는 관리 프레임을 상기 WM으로 송신하기 전 상기 PAP에 의해 사용된 상기 암호화 프로세스는,
    상기 프레임에 대한 보안 연계를 식별하기 위한 단계; 및
    암호화 및 해독화 코드 프로토콜에 따른 전송을 위한 확장된 프레임을 구성 하기 위해 상기 연계를 이용하는 단계를 수행하는 매커니즘을 포함하는 것을 특징으로 하는 네트워크.
  39. 제38항에 있어서,
    프레임 목적지 어드레스(어드레스 1 필드)가 스테이션의 어드레스라면, 그 스테이션과 상기 PAP 사이의 유니캐스트 보안 연계가 상기 프레임 확장에 이용되고,
    상기 프레임이 데이터 프레임이고, 그 목적지 어드레스가 그룹 어드레스라면, 상기 MPDU 브리지 프로토콜은 상기 프레임에 대한 목적지 가상 BSS를 식별하고, 여기서 상기 식별된 가상 BSS에 대한 그룹 보안 연계는 상기 프레임 확장에 이용되는 것을 특징으로 하는 네트워크.
  40. 제39항에 있어서,
    비-PAP 스테이션은 타입 데이터의 802.11 MPDU 또는 관리 프레임을 그 가상 BSS 내의 상기 PAP와 공유하는 유니캐스트 보안 연계를 이용하여 상기 DSM으로 전송하는 것을 특징으로 하는 네트워크.
  41. 제40항에 있어서,
    상기 WM으로부터 802.11 데이터 또는 관리 프레임을 수신할 때, 상기 PAP는 상기 MPDU의 소스 프레임(어드레스 2 필드)에 의해 식별된 스테이션에 대한 유니캐스트 보안 연계를 이용하여 상기 프레임의 해독 및 무결성 검증을 시도하는 것을 특징으로 하는 네트워크.
  42. 제41항에 있어서,
    상기 PAP로부터 타입 데이터의 802.11 MPDU 또는 관리 프레임을 수신할 때, 비-PAP 스테이션은 상기 프레임(어드레스 1 필드)의 목적지 어드레스가 상기 스테이션의 어드레스라면 PAP와 공유하는 유니캐스트 보안 연계를 이용하여, 그리고 상기 프레임의 목적지 어드레스가 그룹 어드레스라면 그 클래스-3 가상 BSS의 그룹 보안 연계를 이용하여 상기 프레임의 해독 및 무결성 검증을 시도하는 것을 특징으로 하는 네트워크.
  43. 다중 공중 액세스 포인트(PAP)가 브리지된 LAN의 스패닝 트리 내의 상이한 브리지에 부착되고, 종단 스테이션이 상기 PAP 중 하나에 연계되고, 신규 PAP에 재연계되어 있고, 브리지의 전송 테이블, 또는 공중 액세스 포인트(PAP)를 함께 접속하는 상호접속 매체를 갱신하기 위한 로케이션-갱신 방법에 있어서,
    상기 신규 PAP가, 상기 스테이션이 사전 연계된 상기 PAP에 지향된 브리지 프로토콜 데이터 유니트(BPDU)를 송신하는 단계 - 여기서, 상기 BPDU의 목적지 어드레스는 클래스-3 가상 BSS 식별자(BSSID)인 재연계 요청 프레임의 현재의 액세스 포인트(액세스 포인트) 어드레스이고, 소스 어드레스는 상기 스테이션의 하드웨어 어드레스이며 ;
    특정 포트에서 재배치 MPDU를 수신함에 따라, 수신 포트를 상기 MPDU의 소스 어드레스에 결합하는 엔트리로 그 전송 테이블을 브리지 갱신하는 단계; 및
    상기 포트 또는 상기 수신 브리지 상에 도달된 상기 MPDU가 상기 스패닝 트리의 루트가 아닌 한, 상기 수신 브리지가 그 지시된 루트 포트에 재배치 MPDU를 전송하는 단계를 포함하고,
    상기 MPDU가 상기 브리지의 상기 지시된 루트 포트에서 또는 루트 브리지에 의해 수신되면, 상기 MPDU는 상기 브리지의 학습된 전송 테이블에 따라 전송되고, 상기 수신 포트를 제외한 모든 포트로의 상기 MPDU 플러딩(flooding)을 선택적으로 포함하는 것을 특징으로 하는 방법.
  44. 무선 네트워크를 위한 정교한 브리징 방법에 있어서,
    방송 식별자 또는 멀티캐스트 도메인을 베이직 서비스 세트(BSS)와 결합해제하는 단계; 및 방향 그래프(directed graph)로 기술된 정책(policy)에 의해 액세스 포인트(액세스 포인트)의 브리징 동작을 결정하는 단계를 포함하고,
    소정 정책에 있어서, 노드에 대한 방송 도메인은 그 자신 및 액세스 해야만하는 모든 노드이고,
    상기 정책의 상기 방송 도메인 세트는 그 노드에 대한 방송 도메인의 세트이고,
    상기 그래프의 노드는 스테이션이고, 상기 제2 스테이션이 상기 제1 스테이션으로부터 지향되거나 프레임 또는 그룹 프레임을 수신할 수 있어야만 하는 것처럼, 상기 제1 스테이션이 상기 제2 스테이션과 통신할 수 있거나 상기 제2 스테이션을 액세스할 수 있어야 한다면, 제1 스테이션으로부터 제2 스테이션으로의 에지가 존재하는 것을 특징으로 하는 방법.
  45. 제43항에 있어서,
    방송 도메인마다 그룹 보안 연계를 제공하는 단계를 더 포함하는 것을 특징으로 하는 방법.
  46. 제45항에 있어서,
    각각의 스테이션(노드)은 상기 정책 내에서 자신에 대한 방송 도메인의 제1 그룹 보안 연계를 처리하고, 상기 스테이션이 요소인 정책에서는 다른 모든 방송 도메인에 대한 그룹 보안 연계의 제2 세트를 처리하는 것을 특징으로 하는 방법.
  47. 제46항에 있어서,
    상기 제1 그룹 보안 연계는 그룹 프레임을 송신하기 위해 상기 스테이션에 의해 이용되고, 그룹 보안 연계의 상기 제2 세트는 그룹 프레임을 수신하기 위해 이용되는 것을 특징으로 하는 방법.
  48. 제42항에 있어서,
    상이한 가상 베이직 서비스 세트 내의 방송 및 멀티캐스트 트래픽은 상기 네트워크에서 상이한 암호화 또는 인증 코드에 의해 보호되는 것을 특징으로 하는 네트워크.
  49. 제42항에 있어서,
    PAP와 스테이션, 상기 PAP와 가상 BSS 내의 다른 스테이션 사이의 유니캐스트 트래픽은 상기 가상 BSS에서 상이한 암호화 또는 인증 코드에 의해 보호되는 것을 특징으로 하는 네트워크.
KR1020067016040A 2004-01-09 2004-12-14 공중 액세스 포인트 KR100933097B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US10/754,402 US7986937B2 (en) 2001-12-20 2004-01-09 Public access point
US10/754,402 2004-01-09
PCT/US2004/042078 WO2005069784A2 (en) 2004-01-09 2004-12-14 Public access point

Related Child Applications (1)

Application Number Title Priority Date Filing Date
KR1020097011624A Division KR101002448B1 (ko) 2004-01-09 2004-12-14 공중 액세스 포인트

Publications (2)

Publication Number Publication Date
KR20060129005A true KR20060129005A (ko) 2006-12-14
KR100933097B1 KR100933097B1 (ko) 2009-12-21

Family

ID=34807443

Family Applications (4)

Application Number Title Priority Date Filing Date
KR1020137006734A KR101365830B1 (ko) 2004-01-09 2004-12-14 공중 액세스 포인트
KR1020097023961A KR101260100B1 (ko) 2004-01-09 2004-12-14 공중 액세스 포인트
KR1020067016040A KR100933097B1 (ko) 2004-01-09 2004-12-14 공중 액세스 포인트
KR1020097011624A KR101002448B1 (ko) 2004-01-09 2004-12-14 공중 액세스 포인트

Family Applications Before (2)

Application Number Title Priority Date Filing Date
KR1020137006734A KR101365830B1 (ko) 2004-01-09 2004-12-14 공중 액세스 포인트
KR1020097023961A KR101260100B1 (ko) 2004-01-09 2004-12-14 공중 액세스 포인트

Family Applications After (1)

Application Number Title Priority Date Filing Date
KR1020097011624A KR101002448B1 (ko) 2004-01-09 2004-12-14 공중 액세스 포인트

Country Status (6)

Country Link
US (4) US7986937B2 (ko)
EP (1) EP1702434A4 (ko)
JP (4) JP2007518356A (ko)
KR (4) KR101365830B1 (ko)
CN (2) CN101707596B (ko)
WO (1) WO2005069784A2 (ko)

Families Citing this family (60)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7986937B2 (en) 2001-12-20 2011-07-26 Microsoft Corporation Public access point
US7188364B2 (en) * 2001-12-20 2007-03-06 Cranite Systems, Inc. Personal virtual bridged local area networks
US8145182B2 (en) * 2004-05-07 2012-03-27 Interdigital Technology Corporation Supporting emergency calls on a wireless local area network
KR101122359B1 (ko) 2004-05-07 2012-03-23 인터디지탈 테크날러지 코포레이션 무선 근거리 통신망의 긴급 호 지원
US8682279B2 (en) * 2004-05-07 2014-03-25 Interdigital Technology Corporation Supporting emergency calls on a wireless local area network
CN101065932A (zh) * 2004-09-28 2007-10-31 皇家飞利浦电子股份有限公司 使用单个无线适配器同时与多个无线网络中的站通信
JP4074283B2 (ja) * 2004-09-28 2008-04-09 株式会社東芝 通信装置、通信システム及び通信方法
US7627123B2 (en) * 2005-02-07 2009-12-01 Juniper Networks, Inc. Wireless network having multiple security interfaces
CN100490408C (zh) * 2005-11-24 2009-05-20 鸿富锦精密工业(深圳)有限公司 接入点及其建立无线分布系统连线的方法
EP2763443B1 (en) * 2005-12-01 2019-05-22 Ruckus Wireless, Inc. On-demand services by wireless base station virtualization
US9142873B1 (en) 2005-12-05 2015-09-22 Meru Networks Wireless communication antennae for concurrent communication in an access point
US9025581B2 (en) 2005-12-05 2015-05-05 Meru Networks Hybrid virtual cell and virtual port wireless network architecture
US9185618B1 (en) * 2005-12-05 2015-11-10 Meru Networks Seamless roaming in wireless networks
US9215754B2 (en) 2007-03-07 2015-12-15 Menu Networks Wi-Fi virtual port uplink medium access control
US9794801B1 (en) 2005-12-05 2017-10-17 Fortinet, Inc. Multicast and unicast messages in a virtual cell communication system
US8064601B1 (en) 2006-03-31 2011-11-22 Meru Networks Security in wireless communication systems
US8160664B1 (en) * 2005-12-05 2012-04-17 Meru Networks Omni-directional antenna supporting simultaneous transmission and reception of multiple radios with narrow frequency separation
US8472359B2 (en) 2009-12-09 2013-06-25 Meru Networks Seamless mobility in wireless networks
US9730125B2 (en) * 2005-12-05 2017-08-08 Fortinet, Inc. Aggregated beacons for per station control of multiple stations across multiple access points in a wireless communication network
US9215745B1 (en) * 2005-12-09 2015-12-15 Meru Networks Network-based control of stations in a wireless communication network
KR100728039B1 (ko) 2006-01-05 2007-06-14 삼성전자주식회사 무선랜에서 히든노드에게 제어 프레임을 전달하는 방법 및장치
US20070223701A1 (en) * 2006-01-30 2007-09-27 Motorola, Inc. Method and apparatus for utilizing multiple group keys for secure communications
EP2489199A2 (en) * 2006-02-22 2012-08-22 Elad Barkan Wireless internet system and method
US7974249B2 (en) * 2006-03-01 2011-07-05 Dell Products L.P. Virtual access point for configuration of a LAN
JP5040341B2 (ja) * 2006-04-04 2012-10-03 セイコーエプソン株式会社 プロジェクタシステム
US7924780B2 (en) 2006-04-12 2011-04-12 Fon Wireless Limited System and method for linking existing Wi-Fi access points into a single unified network
US9826102B2 (en) 2006-04-12 2017-11-21 Fon Wireless Limited Linking existing Wi-Fi access points into unified network for VoIP
US9769655B2 (en) 2006-04-24 2017-09-19 Ruckus Wireless, Inc. Sharing security keys with headless devices
US9071583B2 (en) 2006-04-24 2015-06-30 Ruckus Wireless, Inc. Provisioned configuration for automatic wireless connection
CN103441984B (zh) 2006-04-24 2017-09-05 鲁库斯无线公司 安全无线网络中的动态认证
US8537716B2 (en) * 2006-07-28 2013-09-17 Ca, Inc. Method and system for synchronizing access points in a wireless network
JP4594969B2 (ja) * 2007-08-28 2010-12-08 株式会社バッファロー 無線lan用アクセスポイント、プログラムおよび記録媒体
US7894436B1 (en) 2007-09-07 2011-02-22 Meru Networks Flow inspection
US8752131B2 (en) * 2008-04-30 2014-06-10 Fujitsu Limited Facilitating protection of a maintenance entity group
TWI327039B (en) * 2008-07-11 2010-07-01 Ind Tech Res Inst A method for forming a device power savings class, a mobile station for wirelee communication and wireless communication
US9483651B2 (en) * 2009-11-30 2016-11-01 Ncr Corporation Methods and apparatus for transfer of content to a self contained wireless media device
US9007967B2 (en) * 2009-12-03 2015-04-14 Intel Corporation BSS/PBSS support and schedule-free networking in 60GHz
US9197482B1 (en) 2009-12-29 2015-11-24 Meru Networks Optimizing quality of service in wireless networks
WO2011082529A1 (zh) * 2010-01-08 2011-07-14 华为技术有限公司 一种组临时密钥更新方法、装置和系统
US8910300B2 (en) 2010-12-30 2014-12-09 Fon Wireless Limited Secure tunneling platform system and method
GB201100612D0 (en) * 2011-01-14 2011-03-02 Nec Casio Mobile Comm Ltd Mobile radio communictions signalling
US9792188B2 (en) 2011-05-01 2017-10-17 Ruckus Wireless, Inc. Remote cable access point reset
US9906650B2 (en) 2011-06-26 2018-02-27 Fortinet, Llc Voice adaptation for wireless communication
US9125165B2 (en) * 2011-07-29 2015-09-01 Broadcom Corporation WLAN-based positioning system
CN103002572B (zh) * 2011-09-16 2018-04-17 中兴通讯股份有限公司 一种获取无线局域网用户位置信息的方法及装置
US8756668B2 (en) 2012-02-09 2014-06-17 Ruckus Wireless, Inc. Dynamic PSK for hotspots
WO2013147496A1 (ko) * 2012-03-26 2013-10-03 엘지전자 주식회사 무선 통신 시스템에서 연계 아이디 변경 방법 및 이를 위한 장치
US9092610B2 (en) 2012-04-04 2015-07-28 Ruckus Wireless, Inc. Key assignment for a brand
KR20150063521A (ko) * 2012-09-29 2015-06-09 엘지전자 주식회사 무선랜 시스템에서 중계 동작을 수행하는 방법 및 장치
CN102946351B (zh) * 2012-10-23 2016-06-08 杭州华三通信技术有限公司 一种数据传输方法和系统
CN104244370B (zh) * 2013-06-08 2018-09-21 华为终端有限公司 无线中继设备的关联方法、装置及无线中继设备
US10602379B2 (en) * 2014-05-19 2020-03-24 Industrial Technology Research Institute Wireless communication method, wireless communication device and non-transitory computer readable recording medium thereof
US9521116B2 (en) 2014-06-11 2016-12-13 Verizon Patent And Licensing Inc. Apparatus, method, and system for securing a public wireless network
EP3185602B1 (en) * 2014-08-21 2020-03-11 Huawei Technologies Co. Ltd. Frequency reuse methods and relevant apparatuses
WO2016144298A1 (en) * 2015-03-06 2016-09-15 Hewlett Packard Enterprise Development Lp Location update scheduling
CN105873147B (zh) * 2016-06-13 2019-03-22 珠海市魅族科技有限公司 无线局域网的通信方法、通信装置、接入点和站点
CN109673027B (zh) * 2017-10-16 2023-01-10 中兴通讯股份有限公司 多集中单元cu融合方法、相应设备及系统
US11937085B2 (en) 2019-08-14 2024-03-19 Mcafee, Llc Methods, systems, and media for creating temporary virtual access points using WiFi routers when portals cannot be presented
US11425789B2 (en) 2019-09-03 2022-08-23 GeoPost, Inc. Gateway device
US11696129B2 (en) * 2019-09-13 2023-07-04 Samsung Electronics Co., Ltd. Systems, methods, and devices for association and authentication for multi access point coordination

Family Cites Families (124)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3022A (en) * 1843-03-30 Machine for bending stibrups for paddle-wheels of steam and other
US3003A (en) * 1843-03-17 Improvement in the method of propelling vessels by means of continuous streams of water
US4919545A (en) 1988-12-22 1990-04-24 Gte Laboratories Incorporated Distributed security procedure for intelligent networks
EP0520709A3 (en) 1991-06-28 1994-08-24 Digital Equipment Corp A method for providing a security facility for remote systems management
US5577209A (en) 1991-07-11 1996-11-19 Itt Corporation Apparatus and method for providing multi-level security for communication among computers and terminals on a network
US5963556A (en) 1993-06-23 1999-10-05 Digital Equipment Corporation Device for partitioning ports of a bridge into groups of different virtual local area networks
CN1129309C (zh) 1994-10-27 2003-11-26 英戴克系统公司 将录像机编程数据装入电视信号的装置和方法
US5550984A (en) 1994-12-07 1996-08-27 Matsushita Electric Corporation Of America Security system for preventing unauthorized communications between networks by translating communications received in ip protocol to non-ip protocol to remove address and routing services information
US5764890A (en) 1994-12-13 1998-06-09 Microsoft Corporation Method and system for adding a secure network server to an existing computer network
US5790800A (en) 1995-10-13 1998-08-04 Digital Equipment Corporation Client application program mobilizer
US6035105A (en) 1996-01-02 2000-03-07 Cisco Technology, Inc. Multiple VLAN architecture system
US5822431A (en) 1996-01-19 1998-10-13 General Instrument Corporation Of Delaware Virtual authentication network for secure processors
US6085238A (en) * 1996-04-23 2000-07-04 Matsushita Electric Works, Ltd. Virtual LAN system
US5918019A (en) 1996-07-29 1999-06-29 Cisco Technology, Inc. Virtual dial-up protocol for network communication
JP2974280B2 (ja) 1996-09-11 1999-11-10 日本電気通信システム株式会社 ネットワーク接続のブリッジ装置における仮想グループ情報管理方法
US6311218B1 (en) 1996-10-17 2001-10-30 3Com Corporation Method and apparatus for providing security in a star network connection using public key cryptography
US6157647A (en) 1996-11-06 2000-12-05 3Com Corporation Direct addressing between VLAN subnets
US6041358A (en) 1996-11-12 2000-03-21 Industrial Technology Research Inst. Method for maintaining virtual local area networks with mobile terminals in an ATM network
FI104877B (fi) * 1997-03-27 2000-04-14 Nokia Networks Oy Resurssinvarausmekanismi pakettiradioverkossa
US6070243A (en) 1997-06-13 2000-05-30 Xylan Corporation Deterministic user authentication service for communication network
FI117366B (fi) 1997-06-30 2006-09-15 Sonera Smarttrust Oy Menetelmä tietoturvallisen palveluyhteyden muodostamiseksi tietoliikennejärjestelmässä
US6061796A (en) 1997-08-26 2000-05-09 V-One Corporation Multi-access virtual private network
US5978378A (en) 1997-09-11 1999-11-02 3Com Corporation Method and apparatus for VLAN support
CA2217275C (en) * 1997-10-03 2005-08-16 Newbridge Networks Corporation Multiple internetworking realms within an internetworking device
US6675208B1 (en) * 1997-10-14 2004-01-06 Lucent Technologies Inc. Registration scheme for network
US6047325A (en) 1997-10-24 2000-04-04 Jain; Lalit Network device for supporting construction of virtual local area networks on arbitrary local and wide area computer networks
US6035405A (en) 1997-12-22 2000-03-07 Nortel Networks Corporation Secure virtual LANs
US6032194A (en) 1997-12-24 2000-02-29 Cisco Technology, Inc. Method and apparatus for rapidly reconfiguring computer networks
NL1008351C2 (nl) 1998-02-19 1999-08-20 No Wires Needed B V Datacommunicatienetwerk.
US6317438B1 (en) 1998-04-14 2001-11-13 Harold Herman Trebes, Jr. System and method for providing peer-oriented control of telecommunications services
US6226751B1 (en) 1998-04-17 2001-05-01 Vpnet Technologies, Inc. Method and apparatus for configuring a virtual private network
US6898791B1 (en) 1998-04-21 2005-05-24 California Institute Of Technology Infospheres distributed object system
US6728249B2 (en) 1998-06-27 2004-04-27 Intel Corporation System and method for performing cut-through forwarding in an ATM network supporting LAN emulation
US6181699B1 (en) 1998-07-01 2001-01-30 National Semiconductor Corporation Apparatus and method of assigning VLAN tags
US6304973B1 (en) 1998-08-06 2001-10-16 Cryptek Secure Communications, Llc Multi-level security network system
AU6258499A (en) 1998-09-22 2000-04-10 Science Applications International Corporation User-defined dynamic collaborative environments
US6826616B2 (en) 1998-10-30 2004-11-30 Science Applications International Corp. Method for establishing secure communication link between computers of virtual private network
JP3996288B2 (ja) 1998-12-07 2007-10-24 株式会社日立製作所 通信ネットワークシステムの管理方法および情報中継装置
US6636898B1 (en) 1999-01-29 2003-10-21 International Business Machines Corporation System and method for central management of connections in a virtual private network
US6615357B1 (en) 1999-01-29 2003-09-02 International Business Machines Corporation System and method for network address translation integration with IP security
US6081900A (en) 1999-03-16 2000-06-27 Novell, Inc. Secure intranet access
US6970459B1 (en) 1999-05-13 2005-11-29 Intermec Ip Corp. Mobile virtual network system and method
US6847620B1 (en) * 1999-05-13 2005-01-25 Intermec Ip Corp. Mobile virtual LAN
US6675225B1 (en) 1999-08-26 2004-01-06 International Business Machines Corporation Method and system for algorithm-based address-evading network snoop avoider
US6917614B1 (en) 1999-09-17 2005-07-12 Arris International, Inc. Multi-channel support for virtual private networks in a packet to ATM cell cable system
GB9922665D0 (en) 1999-09-25 1999-11-24 Hewlett Packard Co A method of enforcing trusted functionality in a full function platform
JP2001160828A (ja) 1999-12-03 2001-06-12 Matsushita Electric Ind Co Ltd セキュリティ・ゲートウェイ装置におけるvpn通信方法
US6970941B1 (en) 1999-12-10 2005-11-29 Sun Microsystems, Inc. System and method for separating addresses from the delivery scheme in a virtual private network
US6414956B1 (en) 1999-12-17 2002-07-02 Texas Instruments Incorporated VLAN tag transport within a switch
US6697943B1 (en) 1999-12-17 2004-02-24 Cisco Technology, Inc. Use of cyclic redundancy checking for segregating control traffic
GB2364477B (en) 2000-01-18 2003-11-05 Ericsson Telefon Ab L M Virtual private networks
US6639901B1 (en) 2000-01-24 2003-10-28 3Com Corporation Apparatus for and method for supporting 802.1Q VLAN tagging with independent VLAN learning in LAN emulation networks
US7028186B1 (en) * 2000-02-11 2006-04-11 Nokia, Inc. Key management methods for wireless LANs
US6961762B1 (en) 2000-02-14 2005-11-01 Sygate Technologies, Inc. Automatic switching network points based on configuration profiles
US7451312B2 (en) 2000-03-07 2008-11-11 General Instrument Corporation Authenticated dynamic address assignment
US7173923B2 (en) * 2000-03-17 2007-02-06 Symbol Technologies, Inc. Security in multiple wireless local area networks
US7181542B2 (en) 2000-04-12 2007-02-20 Corente, Inc. Method and system for managing and configuring virtual private networks
US6978364B1 (en) 2000-04-12 2005-12-20 Microsoft Corporation VPN enrollment protocol gateway
US6981041B2 (en) 2000-04-13 2005-12-27 Aep Networks, Inc. Apparatus and accompanying methods for providing, through a centralized server site, an integrated virtual office environment, remotely accessible via a network-connected web browser, with remote network monitoring and management capabilities
US20020022483A1 (en) 2000-04-18 2002-02-21 Wayport, Inc. Distributed network communication system which allows multiple wireless service providers to share a common network infrastructure
US20020016926A1 (en) 2000-04-27 2002-02-07 Nguyen Thomas T. Method and apparatus for integrating tunneling protocols with standard routing protocols
US7594028B1 (en) * 2000-04-28 2009-09-22 International Business Machines Corporation Counting of GVRP protocol data units within a network bridge
US7356841B2 (en) 2000-05-12 2008-04-08 Solutioninc Limited Server and method for providing specific network services
US7055171B1 (en) 2000-05-31 2006-05-30 Hewlett-Packard Development Company, L.P. Highly secure computer system architecture for a heterogeneous client environment
JP3585422B2 (ja) * 2000-06-01 2004-11-04 シャープ株式会社 アクセスポイント装置及びその認証処理方法
GB2363548A (en) 2000-06-15 2001-12-19 Int Computers Ltd Computer systems, in particular virtual private networks
US7054329B2 (en) * 2000-07-07 2006-05-30 Koninklijke Philips Electronics, N.V. Collision avoidance in IEEE 802.11 contention free period (CFP) with overlapping basic service sets (BSSs)
US7151762B1 (en) * 2000-07-14 2006-12-19 At&T Corp. Virtual streams for QoS-driven wireless LANs
US20020143960A1 (en) 2000-08-02 2002-10-03 Erez Goren Virtual network generation system and method
US6904054B1 (en) 2000-08-10 2005-06-07 Verizon Communications Inc. Support for quality of service and vertical services in digital subscriber line domain
AU2001288399A1 (en) 2000-08-24 2002-03-04 Tiara Networks, Inc. System and method for connecting geographically distributed virtual local area networks
US7596223B1 (en) * 2000-09-12 2009-09-29 Apple Inc. User control of a secure wireless computer network
US6954790B2 (en) 2000-12-05 2005-10-11 Interactive People Unplugged Ab Network-based mobile workgroup system
EP1353478A4 (en) 2000-12-06 2008-07-02 Nec Corp VIRTUAL PRIVATE NETWORK
US20020083344A1 (en) 2000-12-21 2002-06-27 Vairavan Kannan P. Integrated intelligent inter/intra networking device
US6912592B2 (en) 2001-01-05 2005-06-28 Extreme Networks, Inc. Method and system of aggregate multiple VLANs in a metropolitan area network
US7209479B2 (en) 2001-01-18 2007-04-24 Science Application International Corp. Third party VPN certification
US20020101868A1 (en) * 2001-01-30 2002-08-01 David Clear Vlan tunneling protocol
US20020174335A1 (en) 2001-03-30 2002-11-21 Junbiao Zhang IP-based AAA scheme for wireless LAN virtual operators
GB0109299D0 (en) 2001-04-12 2001-05-30 British Telecomm Hybrid network
US7174390B2 (en) 2001-04-20 2007-02-06 Egenera, Inc. Address resolution protocol system and method in a virtual network
US7061899B2 (en) 2001-05-01 2006-06-13 Hewlett-Packard Development Company, L.P. Method and apparatus for providing network security
US7003662B2 (en) 2001-05-24 2006-02-21 International Business Machines Corporation System and method for dynamically determining CRL locations and access methods
US20020178240A1 (en) 2001-05-24 2002-11-28 International Business Machines Corporation System and method for selectively confirming digital certificates in a virtual private network
US20030206518A1 (en) * 2001-05-25 2003-11-06 Yik James Ching-Shau Public access separation in a virtual networking environment
US20020199021A1 (en) 2001-06-26 2002-12-26 Niels Beier Method and apparatus for using the type/length field in an ethernet mac header for carrying generic tags/labels
US7107464B2 (en) 2001-07-10 2006-09-12 Telecom Italia S.P.A. Virtual private network mechanism incorporating security association processor
US6981259B2 (en) 2001-08-02 2005-12-27 Hewlett-Packard Development Company, L.P. System and method for generating a virtual device
US7130904B2 (en) 2001-08-16 2006-10-31 Intel Corporation Multiple link layer wireless access point
US20030037258A1 (en) 2001-08-17 2003-02-20 Izchak Koren Information security system and method`
US7194622B1 (en) * 2001-12-13 2007-03-20 Cisco Technology, Inc. Network partitioning using encryption
US7986937B2 (en) 2001-12-20 2011-07-26 Microsoft Corporation Public access point
US7188364B2 (en) * 2001-12-20 2007-03-06 Cranite Systems, Inc. Personal virtual bridged local area networks
US7120791B2 (en) 2002-01-25 2006-10-10 Cranite Systems, Inc. Bridged cryptographic VLAN
ES2258134T3 (es) 2002-01-18 2006-08-16 Nokia Corporation Metodo y aparato para el control del acceso de un dispositivo terminal inalambrico en una red de comunicaciones.
US7313135B2 (en) 2002-01-31 2007-12-25 Mosaid Technologies, Inc. Trunking in a matrix
US7203957B2 (en) 2002-04-04 2007-04-10 At&T Corp. Multipoint server for providing secure, scaleable connections between a plurality of network devices
US7277442B1 (en) 2002-04-26 2007-10-02 At&T Corp. Ethernet-to-ATM interworking that conserves VLAN assignments
US7546458B1 (en) * 2002-05-04 2009-06-09 Atheros Communications, Inc. Method for organizing virtual networks while optimizing security
US7058796B2 (en) 2002-05-20 2006-06-06 Airdefense, Inc. Method and system for actively defending a wireless LAN against attacks
US7086089B2 (en) 2002-05-20 2006-08-01 Airdefense, Inc. Systems and methods for network security
US7042852B2 (en) 2002-05-20 2006-05-09 Airdefense, Inc. System and method for wireless LAN dynamic channel change with honeypot trap
US7113498B2 (en) 2002-06-05 2006-09-26 Broadcom Corporation Virtual switch
US7093027B1 (en) 2002-07-23 2006-08-15 Atrica Israel Ltd. Fast connection protection in a virtual local area network based stack environment
US7062566B2 (en) 2002-10-24 2006-06-13 3Com Corporation System and method for using virtual local area network tags with a virtual private network
US7284062B2 (en) 2002-12-06 2007-10-16 Microsoft Corporation Increasing the level of automation when provisioning a computer system to access a network
EP1599804A1 (en) 2003-03-05 2005-11-30 Intellisync Corporation Virtual private network between computing network and remote device
US7478427B2 (en) 2003-05-05 2009-01-13 Alcatel-Lucent Usa Inc. Method and apparatus for providing adaptive VPN to enable different security levels in virtual private networks (VPNs)
WO2005045642A2 (en) 2003-11-04 2005-05-19 Nexthop Technologies, Inc. Secure, standards-based communications across a wide-area network
US7164912B2 (en) 2004-01-07 2007-01-16 Research In Motion Limited Apparatus, and associated method, for facilitating selection by a mobile node of a network through which to communicate using a hierarchical selection process
US20050226257A1 (en) 2004-03-30 2005-10-13 Adc Broadband Access Systems, Inc. Virtual local area network
US20050283604A1 (en) 2004-06-21 2005-12-22 Ipolicy Networks, Inc., A Delaware Corporation Security association configuration in virtual private networks
JP4407452B2 (ja) 2004-09-29 2010-02-03 株式会社日立製作所 サーバ、vpnクライアント、vpnシステム、及びソフトウェア
US7292592B2 (en) 2004-10-08 2007-11-06 Telefonaktiebolaget Lm Ericsson (Publ) Home network-assisted selection of intermediary network for a roaming mobile terminal
US7434047B2 (en) 2004-12-30 2008-10-07 Nokia, Inc. System, method and computer program product for detecting a rogue member in a multicast group
US7673068B2 (en) 2005-04-18 2010-03-02 Alcatel Lucent Method and system for implementing a high availability VLAN
CN100377548C (zh) 2005-07-15 2008-03-26 华为技术有限公司 一种实现虚交换的方法和装置
US7920548B2 (en) 2005-08-18 2011-04-05 Hong Kong Applied Science And Technology Research Institute Co. Ltd. Intelligent switching for secure and reliable voice-over-IP PBX service
US7746892B2 (en) 2005-11-02 2010-06-29 Nortel Networks Limited Method and apparatus for transporting ethernet services
US20070271606A1 (en) 2006-05-17 2007-11-22 Amann Keith R Apparatus and method for establishing a VPN tunnel between a wireless device and a LAN
US7693985B2 (en) 2006-06-09 2010-04-06 Cisco Technology, Inc. Technique for dispatching data packets to service control engines
US8181009B2 (en) 2009-03-03 2012-05-15 Harris Corporation VLAN tagging over IPSec tunnels
US8098656B2 (en) 2009-06-26 2012-01-17 Avaya, Inc. Method and apparatus for implementing L2 VPNs on an IP network
US8837281B2 (en) 2010-09-10 2014-09-16 Futurewei Technologies, Inc. Use of partitions to reduce flooding and filtering database size requirements in large layer two networks

Also Published As

Publication number Publication date
KR20090081006A (ko) 2009-07-27
CN101707596B (zh) 2013-10-30
KR101365830B1 (ko) 2014-02-20
US20110310872A1 (en) 2011-12-22
US20040141617A1 (en) 2004-07-22
EP1702434A2 (en) 2006-09-20
KR20100002283A (ko) 2010-01-06
US20140337966A1 (en) 2014-11-13
WO2005069784A3 (en) 2006-08-10
KR20130049812A (ko) 2013-05-14
US8767623B2 (en) 2014-07-01
KR101002448B1 (ko) 2010-12-17
JP2010178357A (ja) 2010-08-12
JP2010178356A (ja) 2010-08-12
EP1702434A4 (en) 2010-06-16
KR100933097B1 (ko) 2009-12-21
US20110321128A1 (en) 2011-12-29
US8675559B2 (en) 2014-03-18
JP5330298B2 (ja) 2013-10-30
WO2005069784A2 (en) 2005-08-04
JP5253442B2 (ja) 2013-07-31
CN101707596A (zh) 2010-05-12
KR101260100B1 (ko) 2013-05-02
CN1910861A (zh) 2007-02-07
CN1910861B (zh) 2010-11-24
US9730070B2 (en) 2017-08-08
JP5865578B2 (ja) 2016-02-17
JP2007518356A (ja) 2007-07-05
JP2010183610A (ja) 2010-08-19
US7986937B2 (en) 2011-07-26

Similar Documents

Publication Publication Date Title
KR100933097B1 (ko) 공중 액세스 포인트
US7877080B2 (en) Public access point
US20070121565A1 (en) Network partitioning using encryption
US20240015507A1 (en) Systems and methods for multi-link device privacy protection
Ibrahim Investigating the Effectiveness and Performance of WPA_PSK (Pre-Shared Key) and WPA_RADIUS Server in Wireless Network Security

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
N231 Notification of change of applicant
AMND Amendment
J201 Request for trial against refusal decision
A107 Divisional application of patent
E902 Notification of reason for refusal
B701 Decision to grant
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20121119

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20131115

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20141117

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20151118

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20161123

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20171117

Year of fee payment: 9

LAPS Lapse due to unpaid annual fee