WO2014124561A1 - 实现在wlan中的通信的方法和系统 - Google Patents
实现在wlan中的通信的方法和系统 Download PDFInfo
- Publication number
- WO2014124561A1 WO2014124561A1 PCT/CN2013/071647 CN2013071647W WO2014124561A1 WO 2014124561 A1 WO2014124561 A1 WO 2014124561A1 CN 2013071647 W CN2013071647 W CN 2013071647W WO 2014124561 A1 WO2014124561 A1 WO 2014124561A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- message
- user terminal
- routing device
- pmk
- control message
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 45
- 238000004891 communication Methods 0.000 title claims abstract description 14
- 230000004044 response Effects 0.000 claims abstract description 91
- 238000012545 processing Methods 0.000 claims description 24
- 230000000977 initiatory effect Effects 0.000 abstract 1
- 238000010586 diagram Methods 0.000 description 27
- 210000002320 radius Anatomy 0.000 description 16
- 230000006855 networking Effects 0.000 description 12
- 238000005516 engineering process Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 3
- 230000001413 cellular effect Effects 0.000 description 2
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000001228 spectrum Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
- 230000001131 transforming effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Definitions
- Embodiments of the present invention relate to the field of communications, and in particular, to a method and system for implementing communication in a WLAN. Background technique
- WLAN wireless local area network
- the networking mode of the WLAN can use the autonomous structure of the fat access point.
- networks that use fat access points are mostly small networks such as small office and home office (SOHO).
- the WLAN networking mode can adopt a centralized structure composed of a thin access point and an access controller (AC).
- the centralized structure is generally used in hotspot areas, such as airports, hotels, cafes, and the like.
- the network using the centralized structure includes an access point (AP) and an AC.
- the AC manages the AP.
- the AC manages the user terminal, for example, the authentication between the Authentication, Authorization and Accounting server (AAA server) and the user terminal through the AC.
- AAA server Authentication, Authorization and Accounting server
- the user terminal can be a terminal device such as a computer, a mobile phone, a personal digital assistant (PDA), or other identifiable terminal device.
- the ACs in the existing networking are mostly low-profile switches. When large-scale WLANs, especially carrier-class WLANs, need to be implemented, low-profile switches cannot implement user management functions in large-scale WLANs. Therefore, high deployment is required. The configured AC is costly. Summary of the invention
- the embodiments of the present invention provide a method and a device for deploying a WLAN at a low cost, which are used to reduce the cost when deploying a large WLAN.
- a method of implementing communication in a WLAN includes the following operations.
- the routing device receives the message from the authentication server.
- the packet carries a paired master key (PMK) corresponding to the identifier of the user terminal and the identifier of the user terminal.
- the routing device is an endpoint that initiates an Extensible Authentication Protocol (EAP) authentication, and the routing device manages the user terminal.
- the routing device obtains the identifier of the user terminal and the PMK from the message.
- the routing device sends a control message to the access controller (AC).
- the control message carries an identifier of the user terminal and the PMK.
- the AC manages the AP.
- the user terminal accesses the WLAN through the AP.
- the routing device receives a response message from the AC, the response message being responsive to the control message.
- a first implementation is provided, the control message being an extended remote authentication dial-up user service (rad ius ) message.
- rad ius extended remote authentication dial-up user service
- control message is a Key-of- Announcement (KOA) message.
- KOA Key-of- Announcement
- a third implementation is provided, the response message being an acknowledgement (ACK) message.
- the ACK message is used to indicate that the AC receives the key.
- a fourth implementation manner is provided, where the response message is an error indication (NAK) message, and the error indication message is used to indicate the AC The key received was incorrect.
- NAK error indication
- a fifth implementation manner is provided, where the method further includes: resending the control message when the response message received by the routing device is the error indication message.
- the sixth implementation manner is provided. Before the routing device sends a control message to the access controller AC, the method further includes: receiving, by the routing device Request message from the AC. The request message is used to request a PMK corresponding to the identifier of the user terminal. According to the first aspect or the foregoing implementation manner of the first aspect, the seventh implementation manner is provided, the method further includes: the routing device does not receive the response message from the AC within a preset time. When the control message is resent.
- the method further includes: the routing device does not receive the AC from the AC for a preset time When the response message is received, the control message is stopped.
- a method of implementing communication in a WLAN includes the following operations.
- the AC receives control messages from the routing device.
- the control message carries the identifier of the user terminal and the PMK corresponding to the identifier of the user terminal.
- the routing device is an endpoint that initiates EAP authentication, and the routing device manages the user terminal.
- the data encryption node encrypts the data message according to the PMK, and the data message is sent from the user terminal or to the user terminal.
- the AC sends a response message to the routing device.
- the AC manages an AP, and the user terminal accesses the WLAN through the AP.
- a first implementation manner where the response message is an extended RADIUS packet.
- a second implementation manner where the data encryption node is the AC.
- the data encryption node encrypts the data message according to the PMK, including: the AC generates a pairwise temporary key (PTK) and a group temporary key (GTK) according to the PMK; if the data message is a unicast report The AC uses the PTK to encrypt the data packet; and if the data packet is a multicast packet, the AC uses the GTK to encrypt the data packet.
- PTK pairwise temporary key
- GTK group temporary key
- a third implementation manner where the data encryption node is the AP.
- the data encryption node encrypts the data packet according to the PMK
- the method includes: the AP receiving an identifier of the user terminal sent by the AC and the PMK; and the AP generating a PTK and a GTK according to the PMK;
- the data packet is a unicast packet, and the AP encrypts the data packet by using the PTK; and if the data packet is a multicast packet, the AP uses the GTK to encrypt the data packet.
- a fourth implementation manner where the data encryption node is the AP.
- the data encryption node encrypts the data packet according to the PMK
- the method includes: the AP receiving an identifier, a PTK, and a GTK of the user terminal sent by the AC, where the PTK and the GTK are a PMK is generated; if the data packet is a unicast packet, the AP encrypts the data packet by using the PTK; and if the data packet is a multicast packet, The AP encrypts the data packet by using the GTK.
- the method before the AC receives the control message from the routing device, the method further includes: the AC sending the request message to the routing device.
- the request message is used to request a PMK corresponding to the identifier of the user terminal.
- a routing device is provided.
- the routing device is an endpoint that initiates EAP authentication.
- the routing device manages the user terminal.
- the routing device includes a transmitting and receiving unit and a processing unit.
- the sending and receiving unit is configured to receive a message from an authentication server.
- the packet carries the identifier of the user terminal and the PMK corresponding to the identifier of the user terminal.
- the processing unit is configured to obtain an identifier of the user terminal and the PMK from the foregoing.
- the sending and receiving unit is further configured to send a control message to the AC.
- the control message carries an identifier of the user terminal and the PMK.
- the AC manages the AP.
- the user terminal transmitting by the receiving unit 0 WLAN access for the AP also receives a response message from the AC.
- the response message is for responding to the control message.
- control message is an extended RADIUS message.
- a second implementation manner is provided, where the control message is a K0A message.
- a third implementation manner is provided, and the response message is an acknowledge ACK message.
- the ACK message is used to indicate that the AC receives the key.
- a fourth implementation manner is provided, where the response message is an error indication message.
- the error indication message is used to indicate that the key received by the AC is incorrect.
- a network device manages the AP.
- the network device includes a transmitting and receiving unit and a processing unit.
- the transmitting and receiving unit is configured to receive a control message from a routing device.
- the control message carries an identifier of the user terminal and a PMK corresponding to the identifier of the user terminal.
- the routing device is an endpoint that initiates EAP authentication, and manages the user terminal.
- the processing unit is operative to generate a response message.
- the response message is for responding to the control message.
- the sending and receiving unit is further configured to send the response message to the routing device.
- the user terminal accesses the WLAN through the AP.
- a first implementation manner where the response message is an ACK message.
- the processing unit is further configured to determine whether the control message is correct, and if the control message is incorrect, the response message is an error indication message.
- a third implementation manner is provided, where the sending and receiving unit is further configured to receive a data packet, where the data packet is sent from the user terminal or sent to the User terminal.
- the processing unit is further configured to generate a PTK and a GTK according to the PMK, if the data packet is a unicast packet, use the PTK to encrypt the data packet; if the data packet is a multicast packet, The data message is encrypted using the GTK.
- a fourth implementation manner is provided, where the processing unit is further configured to determine the AP according to the identifier of the user terminal.
- the sending and receiving unit is further configured to send the identifier of the user terminal and the PMK to the AP.
- a fifth implementation manner is provided, where the processing unit is further configured to generate a PTK and a GTK according to the PMK, and determine the AP according to the identifier of the user terminal. .
- the sending and receiving unit is further configured to send the identifier of the user terminal, the PTK, and the GTK to the AP.
- a network system in a fifth aspect, includes a routing device and an AC.
- the routing device is an endpoint that initiates EAP authentication.
- the routing device is configured to manage the user terminal.
- the AC is used to manage the AP.
- the routing device is further configured to receive a message from the authentication server, where the "3 ⁇ 4 text carries the identifier of the user terminal and the paired master key PMK corresponding to the identifier of the user terminal; The identifier of the user terminal and the PMK; sending a control message to the AC, where the control message carries the identifier of the user terminal and the PMK.
- the user terminal accesses the WLAN through the AP. And sending a response message to the routing device, where the response message is used to respond to the control message.
- a first implementation manner where the network system further includes the AP.
- the routing device obtains the identifier of the user terminal and the identifier corresponding to the user terminal from the packet from the authentication server, and sends the identifier of the user terminal and the PMK in a control message.
- the routing device manages the user terminal, and the AC manages the AP. Therefore, when implementing a WLAN, especially a large-scale WLAN, such as a carrier-grade WLAN, there is no need to deploy a highly configured AC to implement management of the user terminal, and the routing device in the existing network can be fully utilized to deploy the WLAN, thereby reducing Cost, more economical implementation of large WL AN deployment.
- FIG. 1 is a simplified schematic diagram of networking of a WLAN in an embodiment of the present invention
- FIG. 2 is a simplified schematic diagram of networking of a WLAN according to still another embodiment of the present invention.
- FIG. 3 is a simplified schematic diagram of networking of a WLAN in an embodiment of the present invention.
- FIG. 4 is a simplified schematic diagram of networking of a WLAN in still another embodiment of the present invention.
- FIG. 5 is a simplified flowchart of a method for implementing communication in a WLAN according to an embodiment of the present invention
- FIG. 6 is a simplified flowchart of a method for implementing communication in a WL AN according to an embodiment of the present invention
- FIG. 8 is a simplified structural block diagram of a routing device according to still another embodiment of the present invention.
- FIG. 9 is a simplified block diagram of an AC in an embodiment of the present invention.
- FIG. 10 is a simplified structural block diagram of an AC in still another embodiment of the present invention.
- FIG. 1 is a simplified structural block diagram of a network system according to an embodiment of the present invention
- FIG. 12 is a format diagram of a control message according to an embodiment of the present invention.
- FIG. 13 is a diagram showing an attribute format of a control message according to an embodiment of the present invention.
- FIG. 14 is a diagram showing an attribute format of a control message according to an embodiment of the present invention.
- FIG. 15 is a format diagram of a response message according to an embodiment of the present invention.
- Figure 16 is a diagram showing the attribute format of a response message in an embodiment of the present invention.
- FIG. 1 is a simplified schematic diagram of networking of a WLAN according to an embodiment of the present invention.
- Figure 1 shows four access points (APs), two of which access the Internet (Internet) via WLAN technology.
- APs access points
- An AP can access the Internet through Layer 2 access devices, Layer 2 aggregation devices, routing devices, and core routers (CRs).
- the routing device shown in Figure 1 is an endpoint that initiates an Extensible Authentication Protocol (EAP) authentication.
- the routing device may be an access broadband remote access server (BRAS) or a multi-service control gateway (MSCG).
- the access controller (AC) manages the AP, and the AC does not participate in data forwarding.
- the routing device manages a user terminal (not shown in Figure 1).
- the network shown in FIG. 1 authenticates the user terminal by using a remote authentication dial in user service server (RADIUS server).
- the RADIUS server shown in Figure 1 is only an example, and other AAA servers can be used.
- FIG. 1 also shows other devices, such as a multi-dwelling unit (MDU), an optical network terminal (opt ica 1 network termina 1 , ONT ), and an optical line terminal (optical line). Termina 1 OLT).
- MDU multi-dwelling unit
- ONT optical network termina 1
- ONT optical line terminal
- Termina 1 OLT optical line terminal
- FIG. 2 is a simplified schematic diagram of networking of a WLAN according to still another embodiment of the present invention.
- the Access Controller (AC) shown in Figure 1 participates in data forwarding.
- FIG. 3 is a simplified schematic diagram of networking of a WLAN according to an embodiment of the present invention, showing a user terminal. The AC does not participate in data forwarding.
- FIG. 4 is a simplified schematic diagram of networking of a WLAN according to another embodiment of the present invention, showing a user terminal. AC participates in data forwarding.
- Figure 5 is a simplified flow diagram of a method of implementing communication in a WLAN in accordance with one embodiment of the present invention.
- the method illustrated in Figure 5 includes the operations illustrated at 502-508.
- the method shown in Fig. 5 can be applied to the network shown in Figs. 1-4, and can also be applied to other WLAN networks using a centralized structure.
- the routing device receives the message from the authentication server.
- the routing device is an endpoint that initiates EAP authentication.
- the routing device manages the user terminal.
- the packet carries a pair-wise master key (PMK) corresponding to the identifier of the user terminal and the identifier of the user terminal.
- PMK master key
- the user terminal accesses the network
- the user terminal interacts with the authentication server through the routing device, so that the authentication server authenticates the user terminal.
- the routing device forwards the message between the user terminal and the authentication server, the routing device obtains the PMK from the packet from the authentication server, and the specific implementation may refer to RFC3748 or electrical and electronic engineering. Ins ti tute of Electr ica l and E lectronics Eng ineer s , IEEE ) 802. IX.
- the routing device obtains the identifier of the user terminal and the PMK from the information. 506.
- the routing device sends a control message to the AC.
- the control message carries an identifier of the user terminal and the PMK.
- the AC manages the AP.
- the user terminal may determine that the AP management AC terminal of the user according to the identifier of the AP to access the WLAN 0 For example, when the routing device corresponding to a plurality of AC, by the routing device, and then to the The AC sends the control message.
- the control message may be an extended RADIUS message, such as a Key-of-Announcement (KOA) message.
- KOA Key-of-Announcement
- the KoA message can be an extended change of author iza t ion (CoA) message.
- the routing device receives a response message from the AC, the response message being responsive to the control message.
- the response message may be an acknowledgement (ACK) message for indicating that the AC receives the PMK.
- the routing device resends the control message when the response message from the AC is not received within a preset time.
- the routing device terminates sending the control message, which may be previously Configure the value of N on the routing device.
- the response message may be an error indication (NAK) message indicating that the key received by the AC is incorrect.
- NAK error indication
- the control message received by the AC is incorrect, such as an incorrect length and/or an incorrect type.
- the control message is resent.
- the method shown in FIG. 5 may further include: the routing device sending the request message sent by the AC, for requesting the user terminal.
- the identity of the corresponding PMK can be extended by a RADIUS message.
- Figure 6 is a simplified flow diagram of a method of implementing communication in a WLAN in accordance with one embodiment of the present invention.
- the method illustrated in Figure 6 includes the operations illustrated by 604-608.
- the AC receives a control message from the routing device.
- the control message carries an identifier of the user terminal and a PMK corresponding to the identifier of the user terminal.
- the routing device is an endpoint that initiates EAP authentication. The routing device manages the user terminal.
- the AC sends a response message to the routing device.
- the response message is for responding to the control message.
- the AC manages an AP.
- the user terminal accesses the WLAN through the AP. 608.
- the data encryption node encrypts the data packet according to the PMK, and the data packet is sent from the user terminal or sent to the user terminal.
- the embodiment shown in FIG. 6 does not limit the execution order of 608 and 606, and both may be performed simultaneously, or may be performed 606 and then executed 608, or vice versa.
- the data encryption node When the AC participates in data forwarding (e.g., the networks shown in Figures 2 and 4), the data encryption node may be the AC or the AP. When the AC does not participate in data forwarding (such as the network shown in Figures 1 and 3), the data encryption node may be the AP.
- the AC when the data encryption node is the AC, the AC generates a pairwise temporary key (PTK) and a group temporary key (Group Trans) according to the PMK. Ient key, GTK). If the data packet is a unicast packet, the AC encrypts the data packet by using the PTK. And if the data packet is a multicast packet, the AC uses the GTK to encrypt the data packet.
- PTK pairwise temporary key
- Group Trans group temporary key
- the AP receives the identifier of the user terminal and the PMK sent by the AC.
- the AP generates PTK and GTK according to the PMK. If the data packet is a unicast packet, the AP encrypts the data packet by using the PTK. And if the data packet is a multicast packet, the AP uses the GTK to encrypt the data packet.
- the AC receives the control message carrying the identifier of the user terminal and the PMK, and the AP may be determined according to the identifier of the user terminal, thereby identifying the identifier of the user terminal and the The PMK is sent to the AP.
- the AP receives the identifier, PTK, and GTK of the user terminal sent by the AC, and the PTK and the GTK are used by the AC.
- the PMK is generated.
- the AP encrypts the data packet by using the PTK.
- the AP encrypts the data packet by using the GTK.
- the AC receives a control message carrying the identifier of the user terminal and the PMK, generates the PTK and the GTK according to the PMK, and determines the identifier according to the identifier of the user terminal.
- the AP, and the identifier of the user terminal, the PTK, and the GTK are sent to the AP.
- the method described in FIG. 6 may further include 602.
- the AC sends a request message to the routing device to request a PMK corresponding to the identifier of the user terminal.
- the request message may be an extended RADIUS message.
- FIG. 7 is a block diagram showing a simplified structure of a routing device according to an embodiment of the present invention.
- Routing device 700 It is an endpoint that initiates EAP authentication and manages the user terminal.
- the routing device 700 includes a transmitting and receiving unit 702 and a processing unit 704.
- the sending and receiving unit 702 is configured to receive a message from an authentication server.
- the packet carries the identifier of the user terminal and the PMK corresponding to the identifier of the user terminal.
- the processing unit 704 is configured to obtain the identifier of the user terminal and the PMK from the text.
- the sending and receiving unit 702 is further configured to send a control message to the AC, and receive a response message from the AC.
- the control message carries an identifier of the user terminal and the PMK.
- the AC manages the AP.
- the user terminal accesses the WLAN through the AP.
- the response message is for responding to the control message.
- the response message may be an ACK message indicating that the AC receives the PMK.
- the sending and receiving unit 702 resends the control message when the response message from the AC is not received within a preset time.
- N is a natural number greater than 1
- the sending and receiving unit 702 terminates sending the control message, where the route
- the device 700 may further include a storage unit, configured to store a value of the pre-configured N.
- the response message may be an error indication message, which is used to indicate that the key received by the AC is incorrect.
- the control message received by the AC is incorrect, for example, the length is incorrect and/or the type is incorrect.
- the response message received by the sending and receiving unit 702 is an error indication message, the control message is resent.
- FIG. 8 is a block diagram showing a simplified structure of a routing device in still another embodiment of the present invention.
- Routing device 800 is an endpoint that initiates EAP authentication and manages the user terminal.
- routing device 800 includes an input and output circuit 802 and a processor 804.
- the input and output circuit 802 is configured to receive a message from an authentication server.
- the packet carries the identifier of the user terminal and the PMK corresponding to the identifier of the user terminal.
- the processor 804 is configured to obtain an identifier of the user terminal and the PMK from the packet.
- the input and output circuit 802 is further configured to send a control message to the AC, and receive a response message from the AC.
- the control message carries an identifier of the user terminal and the PMK.
- the AC manages the AP.
- the user terminal accesses the WLAN 0 through the AP, and the response message is used to respond to the control message.
- the response message may be an ACK message indicating that the AC receives the PMK.
- the input/output circuit 802 resends the control message when the response message from the AC is not received within a preset time.
- the input/output circuit 802 terminates transmitting the control message if N consecutive times (N is a natural number greater than 1) that a response message from the AC is not received within a preset time.
- the routing device 800 may further include a memory for storing a value of the pre-configured N.
- the response message may be an error indication message, which is used to indicate that the key received by the AC is incorrect.
- the control message received by the AC is incorrect, for example, the length is incorrect and/or the type is incorrect.
- the response message received by the input/output circuit 802 is an error indication message, the control message is resent.
- FIG. 9 is a block diagram showing a simplified structure of an AC in one embodiment of the present invention.
- the AC manages the AP. As shown
- the AC 900 includes a transmitting and receiving unit 902 and a processing unit 904.
- the sending and receiving unit 902 is configured to receive a control message from the routing device, where the control message carries an identifier of the user terminal and a PMK corresponding to the identifier of the user terminal.
- the routing device is an endpoint that initiates EAP authentication, and manages the user terminal.
- the processing unit 904 is configured to generate a response message.
- the response message is for responding to the control message.
- the sending and receiving unit 902 is further configured to send the response message to the routing device.
- the user terminal accesses the WLAN through the AP.
- the response message can be an ACK message.
- the processing unit 904 is further configured to determine whether the control message is correct, for example, whether the length and/or type of the control message is correct, when the length and/or type of the control message is incorrect.
- the response message generated by the processing unit 904 is an error indication message.
- the sending and receiving unit 902 is further configured to receive a data packet, where the data packet is sent from the user terminal or sent to the user terminal.
- the processing unit 904 may be further configured to generate a PTK and a GTK according to the PMK, if the data message is a unicast message, encrypt the data message by using the PTK; if the data message is It is a multicast packet, and the data packet is encrypted by using the GTK.
- the processing unit 904 is further configured to determine the AP according to the identifier of the user terminal.
- the sending and receiving unit 902 is further configured to send the identifier of the user terminal and the PMK to the AP.
- the processing unit 904 is further configured to generate a PTK and a GTK according to the PMK, and determine the AP according to the identifier of the user terminal.
- the sending and receiving unit 902 is further configured to send the identifier of the user terminal, the PTK, and the GTK to the AP.
- FIG. 10 is a block diagram showing a simplified structure of an AC in one embodiment of the present invention.
- the AC manages the AP.
- AC1 000 includes an input/output circuit 1 002 and a processor 1 004.
- the input/output circuit 1 002 is configured to receive a control message from a routing device, where the control message carries an identifier of the user terminal and a PMK corresponding to the identifier of the user terminal.
- the routing device is an endpoint that initiates EAP authentication, And managing the user terminal.
- the processor 1004 is configured to generate a response message.
- the response message is for responding to the control message.
- the input and output circuit 1002 is further configured to send the response message to the routing device.
- the user terminal accesses the WLAN through the AP.
- the response message may be an ACK message.
- the processor 1004 is further configured to determine whether the control message is correct, for example, whether the length and/or type of the control message is correct, when the length and/or type of the control message is incorrect.
- the response message generated by the processor 1004 is an error indication message.
- the input/output circuit 1002 is further configured to receive a data message, where the data message is from the user terminal or sent to the user terminal.
- the processor 1004 may be further configured to generate a PTK and a GTK according to the PMK, if the data packet is a unicast packet, use the PTK to encrypt the data packet; if the data packet is used, It is a multicast packet, and the data packet is encrypted by using the GTK.
- the processor 1004 is further configured to determine the AP according to the identifier of the user terminal.
- the input/output circuit 1002 is further configured to send the identifier of the user terminal and the PMK to the AP.
- the processor 1004 is further configured to generate the PTK and the GTK according to the PMK, and determine the AP according to the identifier of the user terminal.
- the input/output circuit 1002 is further configured to send the identifier of the user terminal, the PTK, and the GTK to the AP.
- FIG 11 is a block diagram showing a simplified structure of a network system in one embodiment of the present invention.
- the network system 1100 includes a routing device 1102 and an AC 1104.
- the routing device 1102 is an endpoint that initiates EAP authentication.
- the routing device is configured to manage the user terminal.
- the AC 1104 is used to manage an AP.
- the routing device 1102 is further configured to receive a packet from an authentication server.
- the packet carries the identifier of the user terminal and the paired master key PMK corresponding to the identifier of the user terminal.
- the routing device 1102 is further configured to obtain the identifier of the user terminal and the PMK from the packet, and send a control message to the AC1104.
- the control message carries an identifier of the user terminal and the PMK.
- the user terminal accesses the WLAN through the AP.
- the AC 1104 is configured to send a response message to the routing device 1102. The response message is for responding to the control message.
- the system shown in FIG. 11 may further include the AP.
- the networking relationship between the AP and the routing device 1102 and the AC1104 may refer to the structure shown in FIG.
- FIGS. 5 and 6 illustrate the device, and the technical solution details of the system illustrated in Figure 11, please refer to The descriptions in the method embodiments shown in FIGS. 5 and 6 are not described herein again.
- FIG. 12 is a format diagram of a control message according to an embodiment of the present invention.
- the control message may be a K0A message, and the control message includes the following fields.
- the Code field is an octet that identifies the type of RADIUS. The value of this code uses the unassigned code value in the existing RADIUS-related protocol. For example, the code can be equal to 100.
- the Identifier field is an octet and the Identifier can be 0-255. The Identifier can help match control messages and response messages, i.e., identify control messages and response messages that respond to the control messages.
- the Length field is two octets that indicate the length of the RADIUS packet, including the Code, Identifier, Length, Authent icator, and Attributes fields.
- the length field The value can be 62.
- the Authent icator is 16 octets.
- the value of the Authent icator is used to authenticate the message between the RADIUS server and the user terminal.
- the value of the Authenticator is 16 octets of MD5 verification code (checksum), which can be calculated as described in RFC3576.
- the attribute shown in Figure 13 is the STA MAC address, the type (Type) is 31, the length (Length) is 8, and the value (Value) is the MAC address of the user terminal.
- the attribute shown in Figure 14 is PMK, Type is 17, length is 34, and Value is PMK.
- the Type of the attribute shown in Figure 14 can also use values that are not defined in the existing RADIUS-related protocols.
- Figure 15 is a diagram showing the format of a response message in an embodiment of the present invention.
- the response message may be an extended RADIUS message.
- the code in the response message shown in FIG. 15 can use the unassigned code value in the existing RADIUS-related protocol, and is different from the code value in the control message, for example, in the response message.
- the code can be equal to 101.
- the value of the length field in the response message can be 32.
- the response message shown in Fig. 15 includes the TLV shown in Fig. 13 and the TLV shown in Fig. 16.
- Type can use the undefined value in the existing RADIUS-related protocol, for example, 21 or 18, the length is 4, the value is the error code, and the error code is 0, indicating that the response message is an ACK message. When the error code is not 0, it indicates that the response message is a NAK message. Alternatively, the NAK message may use a different code value than the ACK message.
- the steps can be completed by the hardware associated with the program instructions.
- the aforementioned program can be stored in a computer readable storage medium. When the program is executed, the steps of the foregoing method embodiments are performed; and the foregoing storage medium includes: read-only memory (ROM), random access memory (RAM), magnetic A variety of media that can store program code, such as a disc or a disc.
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
提供一种实现在WLAN中的通信的方法。路由设备接收来自认证服务器的报文,报文中携带用户终端的标识和所述用户终端的标识对应的PMK。路由设备为发起EAP认证的端点。所述路由设备管理所述用户终端。所述路由设备从所述报文中获得所述用户终端的标识和所述PMK。所述路由设备向接入控制器AC发送控制消息。所述控制消息中携带所述用户终端的标识和所述PMK。所述AC管理所述AP。所述用户终端通过所述AP接入WLAN。所述路由设备接收来自所述AC的响应消息。本发明实施例提供的方案,可以降低部署WLAN的成本。
Description
实现在 WLAN中的通信的方法和系统
技术领域
本发明实施例涉及通信领域,尤其涉及一种实现在 WLAN中的通信的方法 和系统。 背景技术
随着移动宽带业务普遍发展,蜂窝网络,例如第三代( 3rd generation, 3G ) 网络、 长期演进( long term evolution, LTE ) 网络等, 越来越不能 满足日益增长的带宽需求。 无线局域网 (wireless local area network, WLAN)作为短距离无线通信技术, 可以作为蜂窝移动业务的补充, 为运营 商提供多层次的移动业务提供了很好的捷径, 从而减轻运营商的负担。 另 一方面, WLAN可以提供免费频谱资源, 使得 WLAN技术商用的门槛降低。 WLAN技术的应用在近几年掀起了热潮, 各大运营商正在大力部署 WLAN, 市场前景广阔。
举例来说, WLAN的组网方式可以釆用胖接入点的自治形结构。 一般来 说,使用胖接入点的网络大多是家庭办公( small office and home office, SOHO)等小型网络。 可选地, WLAN的组网方式可以釆用瘦接入点和接入控 制器 (access controller, AC) 组成的集中式结构。 在热点区域, 例如 机场, 酒店, 咖啡厅等公共区域一般使用所述集中式结构。 所述釆用集中 式结构的网络包括接入点(access point, AP )和 AC。 在现有网络中, AC 管理 AP。 并且, AC管理用户终端, 例如通过 AC实现认证、 授权和计费服 务器 ( Authentication, Authorization and Accounting server , AAA server ) 与用户终端之间的认证。 举例来说, 用户终端可以是终端设备, 例如电脑, 手机, 个人数字助理( personal digital assistant, PDA ) , 或者其他可标识的终端设备。 但是, 现有组网中的 AC 多为低配置的交换 机, 当需要实现大型 WLAN, 尤其是运营商级的 WLAN时, 低配置的交换机 不能实现大型 WLAN中的用户管理的功能, 因此需要部署高配置的 AC, 成 本高。
发明内容
有鉴于此, 本发明实施例提供一种低成本部署 WLAN的方法和设备, 用 于降低部署大型 WLAN时的成本。
第一方面, 提供一种实现在 WLAN中的通信的方法。 所述方法包括下述操 作。 路由设备接收来自认证服务器的报文。 所述报文中携带用户终端的标识 和所述用户终端的标识对应的成对主密钥 (PMK )。 其中, 所述路由设备为发 起可扩展认证协议(EAP )认证的端点, 所述路由设备管理所述用户终端。 所 述路由设备从所述报文中获得所述用户终端的标识和所述 PMK。 所述路由设 备向接入控制器 (AC )发送控制消息。 所述控制消息中携带所述用户终端的 标识和所述 PMK。 其中所述 AC管理所述 AP。 所述用户终端通过所述 AP接入 WLAN。 所述路由设备接收来自所述 AC的响应消息, 所述响应消息用于响应所 述控制消息。
根据第一方面, 提供第一种实现方式, 所述控制消息是扩展的远程认证 拨号用户服务(rad ius ) 消息。
根据第一方面的第一种实现方式, 提供第二种实现方式, 所述控制消息 是密钥知会消息 (Key- of- Announcement , KOA ) 消息。
根据第一方面或者第一方面的第一种或者第二种实现方式, 提供第三种 实现方式, 所述响应消息是应答(ACK ) 消息。 所述 ACK 消息用于表明所述 AC收到所述密钥。
根据第一方面或者第一方面的第一种或者第二种实现方式, 提供第四种 实现方式,, 所述响应消息是错误指示 (NAK ) 消息, 所述错误指示消息用于 表明所述 AC收到的密钥错误。
根据第一方面的第四种实现方式, 提供第五种实现方式, 所述方法还包 括: 当所述路由设备接收到的响应消息是所述错误指示消息时, 重新发送所 述控制消息。
根据第一方面或者第一方面的上述任一种实现的方式, 提供第六种实现 方式, 所述路由设备向接入控制器 AC发送控制消息前, 所述方法还包括: 所 述路由设备接收来自所述 AC的请求消息。所述请求消息用于请求所述用户终 端的标识对应的 PMK。
根据第一方面或者第一方面的上述任一种实现的方式, 提供第七种实现 方式, 所述方法还包括: 所述路由设备在预设的时间内没有收到来自所述 AC 的响应消息时, 重新发送所述控制消息。
根据第一方面或者第一方面的上述任一种实现的方式, 提供第八种实现 方式, 所述方法还包括: 所述路由设备连续 N次在预设的时间内没有收到来 自所述 AC的响应消息时, 停止发送所述控制消息。
第二方面, 提供一种实现在 WLAN中的通信的方法。 所述方法包括下述操 作。 AC接收来自路由设备的控制消息。 所述控制消息中携带用户终端的标识 和所述用户终端的标识对应的 PMK。 所述路由设备为发起 EAP认证的端点, 所述路由设备管理所述用户终端。数据加密节点根据所述 PMK加密数据报文, 所述数据报文来自所述用户终端或者发往所述用户终端。所述 AC向所述路由 设备发送响应消息。其中所述 AC管理 AP ,所述用户终端通过所述 AP接入 WLAN。
根据第二方面, 提供第一种实现方式, 所述响应消息为扩展的 RADIUS报 文。
根据第二方面或者第二方面的第一种实现方式, 提供第二种实现方式, 所述数据加密节点为所述 AC。所述数据加密节点根据所述 PMK加密数据报文, 包括: 所述 AC根据所述 PMK生成成对临时密钥( PTK )和组临时密钥( GTK ); 如果所述数据报文是单播报文, 所述 AC使用所述 PTK加密所述数据报文; 和 如果所述数据报文是组播报文, 所述 AC使用所述 GTK加密所述数据报文。
根据第二方面或者第二方面的第一种实现方式, 提供第三种实现方式, 所述数据加密节点为所述 AP。所述数据加密节点根据所述 PMK加密数据报文, 包括: 所述 AP接收所述 AC发送的所述用户终端的标识和所述 PMK; 所述 AP 根据所述 PMK生成 PTK和 GTK; 如果所述数据报文是单播报文, 所述 AP使用 所述 PTK加密所述数据报文; 和如果所述数据报文是组播报文, 所述 AP使用 所述 GTK加密所述数据报文。
根据第二方面或者第二方面的第一种实现方式, 提供第四种实现方式, 所述数据加密节点为所述 AP。所述数据加密节点根据所述 PMK加密数据报文, 包括: 所述 AP接收所述 AC发送的所述用户终端的标识、 PTK和 GTK, 所述 PTK和所述 GTK由所述 AC根据所述 PMK生成;如果所述数据报文是单播报文, 所述 AP使用所述 PTK加密所述数据报文; 和如果所述数据报文是组播报文,
所述 AP使用所述 GTK加密所述数据报文。
根据第二方面或者第二方面的上述任何一种实现方式,在 AC接收来自路 由设备的控制消息前, 所述方法还包括: 所述 AC向所述路由设备发送请求消 息。 所述请求消息用于请求所述用户终端的标识对应的 PMK。
第三方面, 提供一种路由设备。 所述路由设备为发起 EAP认证的端点。 所述路由设备管理用户终端。 所述路由设备包括发送接收单元和处理单元。 所述发送接收单元用于接收来自认证服务器的报文。 所述报文中携带所述用 户终端的标识和所述用户终端的标识对应的 PMK。 所述处理单元用于从所述 中获得所述用户终端的标识和所述 PMK。 所述发送接收单元还用于向 AC 发送控制消息。 所述控制消息中携带所述用户终端的标识和所述 PMK。 其中 所述 AC管理所述 AP。 所述用户终端通过所述 AP接入 WLAN0 所述发送接收单 元还用于接收来自所述 AC的响应消息。所述响应消息用于响应所述控制消息。
根据第三方面, 提供第一种实现方式, 所述控制消息是扩展的 RADIUS报 文。
根据第三方面的第一种实现方式, 提供第二种实现方式, 所述控制消息 是 K0A消息。
根据第三方面或者第三方面的上述任一种实现方式, 提供第三种实现方 式, 所述响应消息是应答 ACK消息。 所述 ACK消息用于表明所述 AC收到所述 密钥。 根据第三方面或者第三方面的第一种或者第二种实现方式, 提供第四种 实现方式, 所述响应消息是错误指示消息。 所述错误指示消息用于表明所述 AC收到的密钥错误。
第四方面, 提供一种网络设备。 所述网络设备管理 AP。 所述网络设备包 括发送接收单元和处理单元。 所述发送接收单元用于接收来自路由设备的控 制消息。 所述控制消息中携带用户终端的标识和所述用户终端的标识对应的 PMK。 所述路由设备为发起 EAP认证的端点, 并且管理所述用户终端。 所述处 理单元用于生成响应消息。 所述响应消息用于响应所述控制消息。 所述发送 接收单元还用于向所述路由设备发送所述响应消息。 所述用户终端通过所述 AP接入 WLAN。
根据第四方面, 提供第一种实现方式, 所述响应消息是 ACK消息。
根据第四方面, 提供第二种实现方式, 所述处理单元还用于判断所述控 制消息是否正确,如果所述控制消息不正确,所述响应消息为错误指示消息。
根据第四方面或者第四方面的第一种实现方式, 提供第三种实现方式, 所述发送接收单元还用于接收数据报文, 所述数据报文来自所述用户终端或 者发往所述用户终端。 所述处理单元还用于根据所述 PMK生成 PTK和 GTK , 如果所述数据报文是单播报文, 使用所述 PTK加密所述数据报文; 如果所述 数据报文是组播报文, 使用所述 GTK加密所述数据报文。
根据第四方面或者第四方面的第一种实现方式, 提供第四种实现方式, 所述处理单元还用于根据所述用户终端的标识确定所述 AP。 所述发送接收单 元还用于向所述 AP发送所述用户终端的标识和所述 PMK。
根据第四方面或者第四方面的第一种实现方式, 提供第五种实现方式, 所述处理单元还用于根据所述 PMK生成 PTK和 GTK , 并且根据所述用户终端 的标识确定所述 AP。 所述发送接收单元还用于向所述 AP发送所述用户终端 的标识、 所述 PTK和所述 GTK。
第五方面, 提供一种网络系统。 所述网络系统, 包括路由设备和 AC。 所 述路由设备为发起 EAP认证的端点。 所述路由设备用于管理所述用户终端。 所述 AC用于管理 AP。 所述路由设备还用于接收来自认证服务器的报文, 所 述"¾文中携带用户终端的标识和所述用户终端的标识对应的成对主密钥 PMK; 从所述报文中获得所述用户终端的标识和所述 PMK;向所述 AC发送控制消息, 所述控制消息中携带所述用户终端的标识和所述 PMK。 所述用户终端通过所 述 AP接入 WLAN。 所述 AC用于向所述路由设备发送响应消息, 所述响应消息 用于响应所述控制消息。
根据第五方面, 提供第一种实现方式, 所述网络系统还包括所述 AP。 在上述技术方案中, 所述路由设备从来自认证服务器的报文中获得用 户终端的标识和所述用户终端的标识对应 PMK , 将所述用户终端的标识和 所述 PMK携带在控制消息中发送给所述 AC。所述路由设备管理所述用户终 端, 所述 AC管理所述 AP。 因此, 在实现 WLAN , 尤其是大型 WLAN,例如运 营商级的 WLAN时,不需要部署高配置的 AC来实现用户终端的管理, 并且 可以充分利用现有网络中的路由设备来部署 WLAN , 从而降低成本, 更经济 地实现大型 WL AN的部署。
附图说明
为了更清楚地说明本发明的技术方案, 下面将对实施例中使用的附图作 简单地介绍, 显而易见地, 下面附图只是本发明的一些实施例的附图, 对于 本领域普通技术人员来说, 在不付出创造性劳动性的前提下, 还可以根据这 些附图获得同样能实现本发明技术方案的其它附图。
图 1为本发明一个实施例中 WLAN的组网简化示意图;
图 2为本发明又一个实施例中 WLAN的组网简化示意图;
图 3本发明一个实施例中 WLAN的组网简化示意图;
图 4为本发明又一个实施例中 WLAN的组网简化示意图;
图 5为本发明一个实施例中实现在 W L A N中的通信的方法的简化流程图; 图 6为本发明一个实施例中实现在 WL A N中的通信的方法的简化流程图; 图 7为本发明一个实施例中路由设备的简化结构框图;
图 8为本发明又一个实施例中路由设备的简化结构框图;
图 9为本发明一个实施例中 AC的简化结构框图;
图 1 0为本发明又一个实施例中 AC的简化结构框图;
图 1 1为本发明一个实施例中网络系统的简化结构框图;
图 1 2所示为本发明一个实施例中控制消息的格式图; 。
图 1 3所示为本发明一个实施例中控制消息的属性格式图;
图 1 4所示为本发明一个实施例中控制消息的属性格式图;
图 1 5所示为本发明一个实施例中响应消息的格式图;
图 1 6所示为本发明一个实施例中响应消息的属性格式图。
具体实施方式
为使本发明的目的、 技术方案和优点更加清楚, 下面将结合本发明实施 例中的附图, 对本发明实施例的技术方案进行清楚、 完整地描述。 显然, 下 述的各个实施例都只是本发明一部分的实施例。 基于本发明下述的各个实施 例, 本领域普通技术人员即使没有作出创造性劳动, 也可以通过等效变换部 分甚至全部的技术特征, 而获得能够解决本发明技术问题, 实现本发明技术 效果的其它实施例, 而这些变换而来的各个实施例显然并不脱离本发明所公 开的范围。
图 1为本发明一个实施例中 WLAN的组网简化示意图。图 1示出了四个接 入点 (AP) , 其中两个 AP通过 WLAN技术接入因特网 (Internet) 。 AP可以 通过二层接入设备、二层汇聚设备、路由设备以及核心路由器(core router, CR ) 接入 Internet。 图 1 示出的路由设备是发起可扩展认证协议 (Extensible Authentication Protocol, EAP)认证的端点。 示例性地, 所述路由设备可以是接入宽带远程接入服务器 ( broadband remote access server, BRAS )或者多业务控制网关 (Multi-Service Control Gateway, MSCG) 。 接入控制器 (AC) 管理 AP, AC 不参与数据转发。 所述路由设备 管理用户终端 (图 1中未示出) 。 图 1所示的网络通过拨号用户远程认证 月良务月良务器 ( Remote Authentication Dial In User Service server , RADIUS server )对所述用户终端进行认证。 图 1 所示的 RADIUS server 仅为示例, 也可以釆用其他 AAA服务器。 可选地, 图 1所示的网络还示出 了其他设备, 例如多住户单元 (multi-dwelling unit, MDU ) 、 光网络终 端( opt ica 1 network termina 1 , ONT )、光线路终端 ( optical line termina 1 OLT) 。 图 1 仅用于示例性地展示一种网络结构, 实际应用中网络结构可 以多样化。
图 2为本发明又一个实施例中 WLAN的组网简化示意图。图 1中示出的接 入控制器(AC)参与数据转发。 图 3为本发明一个实施例中 WLAN的组网简化 示意图, 示出了用户终端。 AC不参与数据转发。 图 4为本发明另一个实施例 中 WLAN的组网简化示意图, 示出了用户终端。 AC参与数据转发。
图 5所示为本发明一个实施例中实现在 WLAN中的通信的方法的简化流程 图。 图 5所示的方法包括 502-508示出的操作。 图 5所示的方法可以应用于 图 1-4示出的网络, 也可以应用于其他的釆用集中式结构的 WLAN网络。
502.路由设备接收来自认证服务器的报文。 所述路由设备为发起 EAP认 证的端点。 所述路由设备管理所述用户终端。 所述报文中携带用户终端的标 识和所述用户终端的标识对应的成对主密钥( pair-wise master key, PMK )。 举例来说, 所述用户终端接入网络时, 所述用户终端与认证服务器通过所述 路由设备进行消息交互, 使得所述认证服务器认证所述用户终端。 所述路由 设备在转发所述用户终端与所述认证服务器之间的消息时, 从来自所述认证 服务器的报文中获得 PMK, 具体实现可以参考 RFC3748或者电气和电子工程
师学会 ( Ins t i tute of Electr ica l and E lectronics Eng ineer s , IEEE ) 802. IX。
504.所述路由设备从所述 ^艮文中获得所述用户终端的标识和所述 PMK。 506.所述路由设备向 AC发送控制消息。所述控制消息中携带所述用户终端的 标识和所述 PMK。所述 AC管理所述 AP。所述用户终端通过所述 AP接入 WLAN0 举例来说, 当所述路由设备对应多个 AC时, 所述路由设备可以根据所述用户 终端的标识确定管理所述 AP的 AC,然后向该 AC发送所述控制消息。可选地, 所述控制消息可以是扩展的 RADIUS 报文, 例如密钥知会消息 ( Key-of -Announcement , KOA )消息。 KoA消息可以是扩展的授权变更( change of author iza t ion, CoA ) 消息。
508.所述路由设备接收来自所述 AC的响应消息,所述响应消息用于响应 所述控制消息。 举例来说, 所述响应消息可以是应答( acknowledge , 简称 ACK ) 消息, 用于表明所述 AC收到所述 PMK。 可选地, 所述路由设备在预设 的时间内没有收到来自所述 AC的响应消息时, 重新发送所述控制消息。 可选 地, 如果连续 N次( N为大于 1的自然数)在预设的时间内没有收到来自所 述 AC的响应消息时, 所述路由设备终止发送所述控制消息, 可以预先在所述 路由设备上配置 N的取值。
又举例来说, 所述响应消息可以是错误指示(NAK )消息, 用于表明所述 AC收到的密钥错误。 例如所述 AC收到的控制消息不正确, 例如长度不正确 和 /或类型不正确。 可选地, 所述路由设备接收到的响应消息是错误指示消息 时, 重新发送所述控制消息。
可选地, 在所述路由设备向所述 AC发送所述控制消息前, 图 5所示的方 法还可以包括: 所述路由设备发送所述 AC发送的请求消息, 用于请求所述用 户终端的标识对应的 PMK。举例来说,所述请求消息可以扩展的 RADIUS报文。
图 6所示为本发明一个实施例中实现在 WLAN中的通信的方法的简化流程 图。 图 6所示的方法包括 604-608示出的操作。
604. AC接收来自路由设备的控制消息。 所述控制消息中携带用户终端的 标识和所述用户终端的标识对应的 PMK。 所述路由设备为发起 EAP认证的端 点。 所述路由设备管理所述用户终端。
606.所述 AC向所述路由设备发送响应消息。所述响应消息用于响应所述 控制消息。 所述 AC管理 AP。 所述用户终端通过所述 AP接入 WLAN。
608.数据加密节点根据所述 PMK加密数据报文, 所述数据报文来自所述 用户终端或者发往所述用户终端。 图 6所示的实施例不限定 608与 606的执 行顺序, 二者可以同时执行, 也可以先执行 606再执行 608 , 或者反之。
当所述 AC参与数据转发时(例如图 2和图 4示出的网络), 所述数据加 密节点可以是所述 AC , 也可以是所述 AP。 当所述 AC不参与数据转发时(例 如图 1和图 3示出的网络), 所述数据加密节点可以是所述 AP。
可选地, 当所述数据加密节点是所述 AC时, 所述 AC根据所述 PMK生成 成对临时密钥 ( Pa i r-wi s e Trans ient Key , PTK ) 和组临时密钥 ( Group Trans ient Key , GTK )。 如果所述数据报文是单播报文, 所述 AC 使用所述 PTK加密所述数据报文。如果所述数据报文是组播报文,所述 AC使用所述 GTK 加密所述数据报文。
当所述数据加密节点是所述 AP时, 可选地, 所述 AP接收所述 AC发送的 所述用户终端的标识和所述 PMK。 所述 AP才艮据所述 PMK生成 PTK和 GTK。 如 果所述数据报文是单播报文, 所述 AP使用所述 PTK加密所述数据报文。 如果 所述数据报文是组播报文, 所述 AP使用所述 GTK加密所述数据报文。 604示 出的操作中, 所述 AC接收携带所述用户终端的标识和所述 PMK的控制消息, 可以根据所述用户终端的标识确定所述 AP , 从而将所述用户终端的标识和所 述 PMK发送给所述 AP。
当所述数据加密节点是所述 AP时, 可选地, 所述 AP接收所述 AC发送的 所述用户终端的标识、 PTK和 GTK , 所述 PTK和所述 GTK由所述 AC才艮据所述 PMK生成。 如果所述数据报文是单播报文, 所述 AP使用所述 PTK加密所述数 据报文。 如果所述数据报文是组播报文, 所述 AP使用所述 GTK加密所述数据 报文。 604示出的操作中, 所述 AC接收携带所述用户终端的标识和所述 PMK 的控制消息, 根据所述 PMK生成所述 PTK和所述 GTK , 并根据所述用户终端 的标识确定所述 AP , 从而将所述用户终端的标识、 所述 PTK和所述 GTK发送 给所述 AP。
可选地, 图 6所述的方法还可以在 604之前包括 602.所述 AC向所述路 由设备发送请求消息,用于请求所述用户终端的标识对应的 PMK。举例来说, 所述请求消息可以是扩展的 RADIUS报文。
图 7所示为本发明一个实施例中路由设备的简化结构框图。路由设备 700
是发起 EAP认证的端点, 并且管理用户终端。 如图 7所示, 路由设备 700包 括发送接收单元 702和处理单元 704。 所述发送接收单元 702用于接收来自 认证服务器的报文。 所述报文中携带用户终端的标识和所述用户终端的标识 对应的 PMK。 所述处理单元 704用于从所述 ^艮文中获得所述用户终端的标识 和所述 PMK。 所述发送接收单元 702还用于向 AC发送控制消息, 从所述 AC 接收响应消息。 所述控制消息携带所述用户终端的标识和所述 PMK。 所述 AC 管理所述 AP。 所述用户终端通过所述 AP接入 WLAN。 所述响应消息用于响应 所述控制消息。 举例来说, 所述响应消息可以是 ACK消息, 用于表明所述 AC 收到所述 PMK。 可选地, 所述发送接收单元 702在预设的时间内没有收到来 自所述 AC的响应消息时, 重新发送所述控制消息。可选地,如果连续 N次( N 为大于 1的自然数)在预设的时间内没有收到来自所述 AC的响应消息时, 所 述发送接收单元 702终止发送所述控制消息, 所述路由设备 700还可以包括 存储单元, 用于存储预先配置的 N的取值。 又举例来说, 所述响应消息可以 是错误指示消息, 用于表明所述 AC收到的密钥错误, 例如所述 AC收到的控 制消息不正确, 例如长度不正确和 /或类型不正确。 可选地, 所述发送接收单 元 702接收到的响应消息是错误指示消息时, 重新发送所述控制消息。
图 8所示为本发明又一个实施例中路由设备的简化结构框图。 路由设备 800是发起 EAP认证的端点, 并且管理用户终端。 如图 8所示, 路由设备 800包括输入输出电路 802和处理器 804。所述输入输出电路 802用于接收来 自认证服务器的报文。 所述报文中携带用户终端的标识和所述用户终端的 标识对应的 PMK。 所述处理器 804用于从所述报文中获得所述用户终端的 标识和所述 PMK。 所述输入输出电路 802还用于向 AC发送控制消息,从所述 AC接收响应消息。 所述控制消息携带所述用户终端的标识和所述 PMK。 所 述 AC管理所述 AP。 所述用户终端通过所述 AP接入 WLAN0 所述响应消息 用于响应所述控制消息。 举例来说, 所述响应消息可以是 ACK消息, 用于 表明所述 AC收到所述 PMK。 可选地, 所述输入输出电路 802在预设的时间 内没有收到来自所述 AC的响应消息时,重新发送所述控制消息。可选地, 如果连续 N次 ( N为大于 1的自然数) 在预设的时间内没有收到来自所述 AC的响应消息时 ,所述输入输出电路 802终止发送所述控制消息。可选地, 所述路由设备 800还可以可以包括存储器,用于存储预先配置的 N的取值。
又举例来说, 所述响应消息可以是错误指示消息, 用于表明所述 AC 收到 的密钥错误, 例如所述 AC收到的控制消息不正确, 例如长度不正确和 /或 类型不正确。 可选地, 所述输入输出电路 802接收到的响应消息是错误指 示消息时, 重新发送所述控制消息。
图 9所示为本发明一个实施例中 AC的简化结构框图。 AC管理 AP。 如图
9所示, AC900包括发送接收单元 902和处理单元 904。所述发送接收单元 902 用于接收来自路由设备的控制消息, 所述控制消息中携带用户终端的标识和 所述用户终端的标识对应的 PMK。 所述路由设备为发起 EAP认证的端点, 并 且管理所述用户终端。 所述处理单元 904用于生成响应消息。 所述响应消息 用于响应所述控制消息。 所述发送接收单元 902还用于向所述路由设备发送 所述响应消息。 所述用户终端通过所述 AP接入 WLAN。 举例来说, 所述响应 消息可以是 ACK消息。 可选地, 所述处理单元 904还可以用于判断所述控制 消息是否正确, 例如所述控制消息的长度和 /或类型是否正确, 当所述控制消 息的长度和 /或类型不正确时,所述处理单元 904生成的所述响应消息为错误 指示消息。
可选地, 所述发送接收单元 902还可以用于接收数据报文, 所述数据报 文来自所述用户终端或者发往所述用户终端。 举例来说, 所述处理单元 904 还可以用于根据所述 PMK生成 PTK和 GTK , 如果所述数据报文是单播报文, 使用所述 PTK加密所述数据报文; 如果所述数据报文是组播报文, 使用所述 GTK加密所述数据报文。
可选地, 所述处理单元 904还可以用于根据所述用户终端的标识确定所 述 AP。 所述发送接收单元 902还可以用于向所述 AP发送所述用户终端的标 识和所述 PMK。
可选地, 所述处理单元 904还可以用于根据所述 PMK生成 PTK和 GTK , 并且根据所述用户终端的标识确定所述 AP。 所述发送接收单元 902还可以用 于向所述 AP发送所述用户终端的标识、 所述 PTK和所述 GTK。
图 1 0所示为本发明一个实施例中 AC的简化结构框图。 AC管理 AP。 如图 1 0所示, AC1 000包括输入输出电路 1 002和处理器 1 004。 所述输入输出电路 1 002用于接收来自路由设备的控制消息, 所述控制消息中携带用户终端的标 识和所述用户终端的标识对应的 PMK。所述路由设备为发起 EAP认证的端点,
并且管理所述用户终端。 所述处理器 1004用于生成响应消息。 所述响应消息 用于响应所述控制消息。所述输入输出电路 1002还用于向所述路由设备发送 所述响应消息。 所述用户终端通过所述 AP接入 WLAN。 举例来说, 所述响应 消息可以是 ACK消息。 可选地, 所述处理器 1004还可以用于判断所述控制消 息是否正确, 例如所述控制消息的长度和 /或类型是否正确, 当所述控制消息 的长度和 /或类型不正确时, 所述处理器 1004生成的所述响应消息为错误指 示消息。
可选地, 所述输入输出电路 1002还可以用于接收数据报文, 所述数据报 文来自所述用户终端或者发往所述用户终端。 举例来说, 所述处理器 1004还 可以用于根据所述 PMK生成 PTK和 GTK, 如果所述数据报文是单播报文, 使 用所述 PTK加密所述数据报文;如果所述数据报文是组播报文,使用所述 GTK 加密所述数据报文。
可选地,所述处理器 1004还可以用于根据所述用户终端的标识确定所述 AP。 所述输入输出电路 1002还可以用于向所述 AP发送所述用户终端的标识 和所述 PMK。
可选地, 所述处理器 1004还可以用于才艮据所述 PMK生成 PTK和 GTK, 并 且根据所述用户终端的标识确定所述 AP。 所述输入输出电路 1002还可以用 于向所述 AP发送所述用户终端的标识、 所述 PTK和所述 GTK。
图 11所示为本发明一个实施例中的网络系统的简化结构框图。网络系统 1100包括路由设备 1102和 AC1104.所述路由设备 1102为发起 EAP认证的端 点。 所述路由设备用于管理所述用户终端。 所述 AC1104用于管理 AP。 所述 路由设备 1102还用于接收来自认证服务器的报文。所述报文中携带用户终端 的标识和所述用户终端的标识对应的成对主密钥 PMK。 所述路由设备 1102还 用于从所述报文中获得所述用户终端的标识和所述 PMK; 向所述 AC1104发送 控制消息。 所述控制消息中携带所述用户终端的标识和所述 PMK。 所述用户 终端通过所述 AP接入 WLAN。 所述 AC1104用于向所述路由设备 1102发送响 应消息。 所述响应消息用于响应所述控制消息。
可选地, 图 11所示的系统, 还可以包括所述 AP。 举例来说, 所述 AP与 所述路由设备 1102以及所述 AC1104的组网关系可以参考图 1-4示出的结构。
图 7-10示例的设备, 以及图 11示例的系统的技术方案细节, 请参考
图 5和 6所示的方法实施例中的描述, 此处不再赘述。
图 12所示为本发明一个实施例中控制消息的格式图, 如图 12所示, 控制消息可以是 K0A消息, 控制消息包括下述字段。 类型 (Code)字段是 一个八位组( octet ), 用于标识 RADIUS ^艮文的类型, 该 code的值釆用现 有 RADIUS相关协议中未分配的 code值, 例如, 该 code可以等于 100。 标 识 ( Identifier ) 字段是一个八位组, 该 Identifier 可以是 0-255。 Identifier可以帮助匹配控制消息和响应消息,即标识控制消息和响应该 控制消息的响应消息。 长度 (Length) 字段是两个八位组, 用于标明该 RADIUS报文的长度, 包括 Code, Identifier, Length, Authent icator ( ik 证器) 和 Attributes (属性) 字段, 举例来说, length 字段的值可以为 62。 Authent icator是 16个八位组, Authent icator的值用于认证 RADIUS 月良务器与用户终端之间的消息。该 Authenticator的值是 16个八位组 MD5 验证码( checksum),可以参考 RFC3576描述的方式计算该 Authenticator。 Attributes 字段, 釆用类型 -长度 -值 ( Type_Length_Va lue, TLV)格式, 如图 13所示的用户终端的媒体接入控制地址 ( STA MAC address ) 和图 14 所示的 PMK。 图 13所示的属性是 STA MAC address, 类型 (Type) 为 31, 长度(Length) 为 8, 值 (Value) 为用户终端的 MAC地址。 图 14所示的 属性是 PMK, Type为 17, length为 34, Value为 PMK。 图 14所示的属性 的 Type也可以釆用现有的 RADIUS相关协议中未定义的值。
图 15所示为本发明一个实施例中响应消息的格式图, 如图 15所示, 响应消息可以是扩展的 RADIUS消息。相较于图 12所示的控制消息, 图 15 所示的响应消息中的 code可以釆用现有 RADIUS相关协议中未分配的 code 值, 并且与控制消息中的 code值不同, 例如响应消息中的 code可以等于 101。 举例来说, 响应消息中的 length字段的值可以为 32。 图 15所示的 响应消息包括图 13所示的 TLV和图 16所示的 TLV。 如图 16所示, Type 可以釆用现有的 RADIUS相关协议中未定义的值, 例如 21或者 18, Length 为 4, Value为错误码, 错误码为 0时, 表明该响应消息为 ACK消息, 当 错误码不为 0时, 表明该响应消息为 NAK消息。 或者, NAK消息可以釆用 与 ACK消息不同的 code的值。
本领域普通技术人员可以理解: 实现上述各方法实施例的全部或部分
步骤可以通过程序指令相关的硬件来完成。 前述的程序可以存储于一计算 机可读取存储介质中。 该程序在执行时, 执行包括上述各方法实施例的步 骤; 而前述的存储介质包括: 只读存储器( read-only memory, 简称 R0M)、 随机存取存储器 ( random access memory, 简称 RAM)、 磁碟或者光盘等各 种可以存储程序代码的介质。
最后应说明的是: 以上各实施例仅用以示例性说明本发明的技术方案, 而非对其限制; 尽管参照前述各实施例对本发明进行了详细的说明, 本领 域的普通技术人员应当理解: 其依然可以对前述各实施例所记载的技术方 案进行修改, 或者对其中部分或者全部技术特征进行等同替换; 而这些修 改或者替换, 并不使相应技术方案的本质脱离本发明各实施例技术方案的 范围。
Claims
1、 一种实现在无线局域网 WLAN中的通信的方法, 其特征在于, 所述方 法包括:
路由设备接收来自认证服务器的报文, 所述报文中携带用户终端的标识 和所述用户终端的标识对应的成对主密钥 PMK , 其中, 所述路由设备为发起 可扩展认证协议 EAP认证的端点, 所述路由设备管理所述用户终端;
所述路由设备从所述 ^艮文中获得所述用户终端的标识和所述 PMK;
所述路由设备向接入控制器 AC发送控制消息,所述控制消息中携带所述 用户终端的标识和所述 PMK , 其中所述 AC管理所述 AP , 所述用户终端通过所 述 AP接入 WLAN;
所述路由设备接收来自所述 AC的响应消息,所述响应消息用于响应所述 控制消息。
2、 根据权利要求 1所述的方法, 其特征在于, 所述控制消息是扩展的远 程认证拨号用户服务 RADIUS报文。
3、 根据权利要求 2所述的方法, 其特征在于, 所述控制消息是密钥知会 消息 K0A消息。
4、 根据权利要求 1 -3任一所述的方法, 其特征在于, 所述响应消息是应 答 ACK消息, 所述 ACK消息用于表明所述 AC收到所述密钥。
5、 根据权利要求 1 -3任一所述的方法, 其特征在于, 所述响应消息是错 误指示消息, 所述错误指示消息用于表明所述 AC收到的密钥错误。
6、 根据权利要求 5所述的方法, 其特征在于, 还包括:
当所述路由设备接收到的响应消息是所述错误指示消息时, 重新发送所 述控制消息。
7、 根据权利要求 1-6任一所述的方法, 其特征在于, 所述方法还包括: 所述路由设备在预设的时间内没有收到来自所述 AC的响应消息时,重新 发送所述控制消息。
8、 一种实现在无线局域网 WLAN中的通信的方法, 其特征在于, 所述方 法包括:
AC接收来自路由设备的控制消息, 所述控制消息中携带用户终端的标识 和所述用户终端的标识对应的成对主密钥 PMK , 所述路由设备为发起可扩展
认证协议 EAP认证的端点, 所述路由设备管理所述用户终端;
数据加密节点根据所述 PMK加密数据报文, 所述数据报文来自所述用户 终端或者发往所述用户终端;
所述 AC向所述路由设备发送响应消息,所述响应消息用于响应所述控制 消息, 其中所述 AC管理 AP , 所述用户终端通过所述 AP接入 WLAN。
9、 根据权利要求 8 所述的方法, 其特征在于, 所述响应消息为扩展的 RADIUS报文。
1 0、 根据权利要求 8或 9所述的方法, 其特征在于, 所述数据加密节点 为所述 AC;
所述数据加密节点根据所述 PMK加密数据报文, 包括:
所述 AC根据所述 PMK生成成对临时密钥 PTK和组临时密钥 GTK;
如果所述数据报文是单播报文,所述 AC使用所述 PTK加密所述数据报文; 和
如果所述数据报文是组播报文,所述 AC使用所述 GTK加密所述数据报文。
1 1、 根据权利要求 8或 9所述的方法, 其特征在于, 所述数据加密节点 为所述 AP;
所述数据加密节点根据所述 PMK加密数据报文, 包括:
所述 AP接收所述 AC发送的所述用户终端的标识和所述 PMK ;
所述 AP根据所述 PMK生成成对临时密钥 PTK和组临时密钥 GTK;
如果所述数据报文是单播报文,所述 AP使用所述 PTK加密所述数据报文; 和
如果所述数据报文是组播报文,所述 AP使用所述 GTK加密所述数据报文。
12、 根据权利要求 8或 9所述的方法, 其特征在于, 所述数据加密节点 为所述 AP;
所述数据加密节点根据所述 PMK加密数据报文, 包括:
所述 AP接收所述 AC发送的所述用户终端的标识、 成对临时密钥 PTK和 组临时密钥 GTK , 所述 PTK和所述 GTK由所述 AC根据所述 PMK生成;
如果所述数据报文是单播报文,所述 AP使用所述 PTK加密所述数据报文; 和
如果所述数据报文是组播报文,所述 AP使用所述 GTK加密所述数据报文。
1 3、 一种路由设备, 所述路由设备为发起可扩展认证协议 EAP认证的端 点, 所述路由设备管理用户终端, 其特征在于, 包括:
发送接收单元, 用于接收来自认证服务器的报文, 所述报文中携带所述 用户终端的标识和所述用户终端的标识对应的成对主密钥 PMK;
处理单元, 用于从所述报文中获得所述用户终端的标识和所述 PMK ; 所述发送接收单元还用于向接入控制器 AC发送控制消息,所述控制消息 中携带所述用户终端的标识和所述 PMK , 其中所述 AC管理所述 AP , 所述用户 终端通过所述 AP接入 WLAN;
所述发送接收单元还用于接收来自所述 AC的响应消息,所述响应消息用 于响应所述控制消息。
14、 根据权利要求 1 3所述的路由设备, 特征在于, 所述控制消息是扩展 的远程认证拨号用户服务 RADIUS报文。
15、 根据权利要求 14所述的路由设备, 其特征在于, 所述控制消息是密 钥知会消息 K0A消息。
16、 根据权利要求 1 3-15任一所述的路由设备, 其特征在于, 所述响应 消息是应答 ACK消息, 所述 ACK消息用于表明所述 AC收到所述密钥。
17、 根据权利要求 1 3-15任一所述的路由设备, 其特征在于, 所述响应 消息是错误指示消息, 所述错误指示消息用于表明所述 AC收到的密钥错误。
18、 一种网络设备, 所述网络设备管理接入点 AP , 其特征在于, 所述网 络设备包括发送接收单元和处理单元;
所述发送接收单元用于接收来自路由设备的控制消息, 所述控制消息中 携带用户终端的标识和所述用户终端的标识对应的 PMK; 所述路由设备为发 起 EAP认证的端点, 并且管理所述用户终端;
所述处理单元用于生成响应消息,所述响应消息用于响应所述控制消息; 所述发送接收单元还用于向所述路由设备发送所述响应消息; 所述用户 终端通过所述 AP接入 WLAN 0
19、 根据权利要求 18所述的设备, 其特征在于, 所述响应消息是 ACK消 息。
20、 根据权利要求 18所述的设备, 其特征在于, 所述处理单元还用于判 断所述控制消息是否正确, 如果所述控制消息不正确, 所述响应消息为错误
指示消息。
21、 根据权利要求 18或 19所述的设备, 其特征在于, 所述发送接收单 元还用于接收数据报文, 所述数据报文来自所述用户终端或者发往所述用户 终端;
所述处理单元还用于根据所述 PMK生成 PTK和 GTK , 如果所述数据 ^艮文 是单播报文, 使用所述 PTK加密所述数据报文; 如果所述数据报文是组播报 文, 使用所述 GTK加密所述数据报文。
22、 根据权利要求 18或 19所述的设备, 其特征在于, 所述处理单元还 用于才艮据所述用户终端的标识确定所述 AP;
所述发送接收单元还用于向所述 AP发送所述用户终端的标识和所述 PMK。
23、 根据权利要求 18或 19所述的设备, 其特征在于, 所述处理单元还 用于根据所述 PMK生成 PTK和 GTK , 并且根据所述用户终端的标识确定所述 AP;
所述发送接收单元还用于向所述 AP发送所述用户终端的标识、 所述 PTK 和所述 GTK。
24、 一种网络系统, 其特征在于, 包括路由设备和接入控制器 AC ; 所述 路由设备为发起可扩展认证协议 EAP认证的端点; 所述路由设备用于管理所 述用户终端; 所述 AC用于管理 AP ;
所述路由设备还用于接收来自认证服务器的报文, 所述报文中携带用户 终端的标识和所述用户终端的标识对应的成对主密钥 PMK ; 从所述 ^艮文中获 得所述用户终端的标识和所述 PMK; 向所述 AC发送控制消息, 所述控制消息 中携带所述用户终端的标识和所述 PMK ,所述用户终端通过所述 AP接入 WLAN; 所述 AC用于向所述路由设备发送响应消息,所述响应消息用于响应所述 控制消息。
25、 根据权利要求 24所述的系统, 其特征在于, 还包括所述 AP。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP13875136.7A EP2958353A4 (en) | 2013-02-18 | 2013-02-18 | METHOD FOR REALIZING COMMUNICATION IN A WLAN |
CN201380019212.8A CN104247482A (zh) | 2013-02-18 | 2013-02-18 | 实现在wlan中的通信的方法和系统 |
PCT/CN2013/071647 WO2014124561A1 (zh) | 2013-02-18 | 2013-02-18 | 实现在wlan中的通信的方法和系统 |
US14/829,460 US20150359017A1 (en) | 2013-02-18 | 2015-08-18 | Method and System for Implementing Communication in WLAN |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/CN2013/071647 WO2014124561A1 (zh) | 2013-02-18 | 2013-02-18 | 实现在wlan中的通信的方法和系统 |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
US14/829,460 Continuation US20150359017A1 (en) | 2013-02-18 | 2015-08-18 | Method and System for Implementing Communication in WLAN |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2014124561A1 true WO2014124561A1 (zh) | 2014-08-21 |
Family
ID=51353475
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/CN2013/071647 WO2014124561A1 (zh) | 2013-02-18 | 2013-02-18 | 实现在wlan中的通信的方法和系统 |
Country Status (4)
Country | Link |
---|---|
US (1) | US20150359017A1 (zh) |
EP (1) | EP2958353A4 (zh) |
CN (1) | CN104247482A (zh) |
WO (1) | WO2014124561A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106507328A (zh) * | 2016-12-22 | 2017-03-15 | 上海市共进通信技术有限公司 | 无线上网的收费管理方法及系统 |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10623951B2 (en) * | 2016-03-09 | 2020-04-14 | Qualcomm Incorporated | WWAN-WLAN aggregation security |
US10791093B2 (en) * | 2016-04-29 | 2020-09-29 | Avago Technologies International Sales Pte. Limited | Home network traffic isolation |
US10693913B2 (en) * | 2017-04-28 | 2020-06-23 | Cisco Technology, Inc. | Secure and policy-driven computing for fog node applications |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102333309A (zh) * | 2011-10-27 | 2012-01-25 | 华为技术有限公司 | 一种无线局域网中密钥传递的方法、设备和系统 |
CN102685741A (zh) * | 2011-03-09 | 2012-09-19 | 华为终端有限公司 | 接入认证处理方法及系统、终端和网络设备 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102404720B (zh) * | 2010-09-19 | 2014-10-08 | 华为技术有限公司 | 无线局域网中密钥的发送方法及装置 |
-
2013
- 2013-02-18 WO PCT/CN2013/071647 patent/WO2014124561A1/zh active Application Filing
- 2013-02-18 CN CN201380019212.8A patent/CN104247482A/zh active Pending
- 2013-02-18 EP EP13875136.7A patent/EP2958353A4/en not_active Withdrawn
-
2015
- 2015-08-18 US US14/829,460 patent/US20150359017A1/en not_active Abandoned
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102685741A (zh) * | 2011-03-09 | 2012-09-19 | 华为终端有限公司 | 接入认证处理方法及系统、终端和网络设备 |
CN102333309A (zh) * | 2011-10-27 | 2012-01-25 | 华为技术有限公司 | 一种无线局域网中密钥传递的方法、设备和系统 |
Non-Patent Citations (1)
Title |
---|
See also references of EP2958353A4 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106507328A (zh) * | 2016-12-22 | 2017-03-15 | 上海市共进通信技术有限公司 | 无线上网的收费管理方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
EP2958353A1 (en) | 2015-12-23 |
CN104247482A (zh) | 2014-12-24 |
US20150359017A1 (en) | 2015-12-10 |
EP2958353A4 (en) | 2016-04-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6906565B2 (ja) | Nanデータリンクに参加しているデバイス間でのスケジュール選択および接続セットアップ | |
US8270382B2 (en) | System and method for securing mesh access points in a wireless mesh network, including rapid roaming | |
KR102445355B1 (ko) | 사용자 그룹에 대한 세션 관리 방법 및 장치 | |
EP1805640B1 (en) | Method and apparatus for selection of authentication servers based on the authentication mechanisms in supplicant attempts to access network resources | |
ES2564484T3 (es) | Método de autenticación 802.1X centralizado, dispositivo y sistema de red de área local inalámbrica | |
US20070189249A1 (en) | Discovery and authentication scheme for wireless mesh networks | |
WO2018032747A1 (zh) | 保护数据传输安全的方法和网络设备 | |
US20190028475A1 (en) | Systems and methods for routing traffic originating from a communicaiton device | |
US20120036560A1 (en) | Topology based fast secured access | |
JP6038888B2 (ja) | パブリックリーチャビリティを提供するための方法並びに関連するシステム及び装置 | |
WO2008110099A1 (fr) | Procédé, système et dispositif associé pour accès d'un appareil d'authentification à un réseau de communication | |
WO2021169291A1 (zh) | 发布路由的方法、网元、系统及设备 | |
US20150359017A1 (en) | Method and System for Implementing Communication in WLAN | |
JP2012530413A (ja) | ローカルドメイン名を取得するための方法、装置、およびシステム | |
WO2011050660A1 (zh) | 接入方法及装置 | |
US20230396499A1 (en) | Methods and systems for automatic open shortest path first (ospf) configuration | |
JP5733645B2 (ja) | ローカルドメイン名を取得するための方法、デバイス、およびシステム | |
WO2013060190A1 (zh) | 一种路径建立方法以及漫游宽带远程接入服务器 | |
TW202404326A (zh) | 節點配對方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 13875136 Country of ref document: EP Kind code of ref document: A1 |
|
NENP | Non-entry into the national phase |
Ref country code: DE |
|
REEP | Request for entry into the european phase |
Ref document number: 2013875136 Country of ref document: EP |
|
WWE | Wipo information: entry into national phase |
Ref document number: 2013875136 Country of ref document: EP |