安全漫遊的方法和裝置的製作方法
2023-08-02 13:44:31
專利名稱:安全漫遊的方法和裝置的製作方法
背景技術:
在無線區域網(WLAN)中,基本服務集(BSS)設備之間的一些數據處理是可以得到安全保證的。WLAN,如遵循IEEE標準802.11的WLAN的安全機制包括至少3個部分一個認證機制或認證架構、一個認證算法和數據幀加密。
IEEE標準802.1X-2001「基於埠的網絡接入控制」可以作為一個認證機制或認證架構應用在WLAN中,並且可以向基於IEEE 802.11標準的WLAN提供認證協議。IEEE 802.1X標準通過允許無線用戶或站(station)的集中認證來擴展WLAN。IEEE 802.1X標準允許使用多種認證算法並且可用一種需要的認證算法來配置BSS設備。
附圖簡述在說明書的結束部分特別指出並清楚地要求保護關於本發明的主題。但是,通過參考結合附圖閱讀的以下的詳細描述可以很好的理解本發明的組織和操作方法,以及其目的、特徵和優點,其附圖包括
圖1是根據本發明的一個示例性的實施例的一個無線通信系統示意圖;圖2是根據本發明的一些示例性的實施例的一個站的框圖;圖3是根據本發明的一個示例性的實施例的一個WLAN接入點(AP)框圖;和圖4是根據本發明一些示例性的實施例的漫遊方法流程圖。
可以理解,為了說明的簡單和清楚,圖中所示的單元沒有按照比例來繪製。例如,為了清楚起見,一些單元的尺寸相對於另一些單元的尺寸被放大了。而且,在適當之處,為了表示相應的或類似的單元,這些圖中的參考數字是重複的。
發明詳述在下面的詳細描述中,為了提供對本發明的徹底理解,我們闡述了大量特定的細節。但是,本領域的技術人員都可以理解沒有這些特定的細節本發明也可以實現。在其它方面,為了更清楚的描述本發明,對於那些眾所周知的方法、過程、部件和電路都沒有進行詳細的描述。
後面詳細描述的某些部分,是以算法和計算機存儲器內的關於數據比特或二進位數位訊號的操作的符號表示的形式呈現的。熟知數據處理領域的技術人員利用這些算法的描述和表示可以向熟知該領域的其他技術人員傳達他們工作的實質。
除非進行特別的說明,從以下的描述中明顯可以理解,說明書中應用諸如「處理」、「計算」、「運算」、「確定」等術語的論述表示一臺計算機或計算機系統或類似電子計算設備的動作和/或處理,這些電子計算設備可以將用計算系統寄存器和/或存儲器中的物理量,比如電子量表示的數據變換和/或轉變成其它數據,該數據類似地也是通過計算系統存儲器、寄存器或其它的這種信息存儲器、傳輸或顯示設備中的物理量來表示。
可以理解,本發明可以在多種應用中使用。本發明在這些方面沒有進行限制,在這裡揭示的電路和技術可以應用在許多裝置中,如無線通信系統的基站。僅僅作為實例,包含於本發明範圍內的站包括無線區域網(WLAN)基站、雙工無線基站、數字系統基站、模擬系統基站、蜂窩無線電話基站等等。
本發明範圍內的WLAN站的類型包括但不限於移動站、接入點、用於接收和發射擴頻信號的站,其中該擴頻信號包括跳頻擴頻(FHSS)、直接序列擴頻(DSSS)、補碼鍵控(CCK)、正交頻分多路復用(OFDM)等。
首先參見圖1,其中示出了一個無線通信系統100,例如一個WLAN通信系統。儘管本發明的範圍沒有在這方面進行限制,根據標準IEEE802.11-1999,示例性的WLAN通信系統100可以被定義為一個基本服務集(BSS)。例如,BSS包括至少1個站,例如接入點(AP)120,和至少一個附加站110,例如移動單元(MU)。在一些實施例中,站110和AP120經過WLAN通信系統100發送和/或接收一個或多個數據包。這些數據包中包括數據、控制消息、網絡信息等等。另外,在本發明的其它實施例中,WLAN通信系統100是一個安全網絡,根據需要,它包括一個認證伺服器130來向AP120和/或AP140提供一種需要的認證算法。在該示例性的實施例中,鏈路125和145是一條安全鏈路。站110可以從AP120漫遊到AP140並且始終保持安全的連接。
儘管本發明的範圍沒有在這方面進行限制,在一個安全的WLAN中,比如在WLAN通信系統100中,AP120和AP140可以看作是「認證者」,而站110則被看作是「請求者」。在一些實施例中,IEEE標準802.1X-2001用於保證鏈路125和145的安全。IEEE 802.1X標準可以使用認證協議,比如眾知的擴展認證協議(EAP),並可以在WLAN上封裝EAP消息。
在本發明的一些實施例中,站110包括請求者軟體和/或硬體,AP120和AP140包括認證者軟體和/或硬體。儘管本發明的範圍在這方面沒有限制,認證伺服器130包括,例如,一個遠程用戶拔號認證服務伺服器(RADIUS),並可以運行安全協議,比如網際網路安全協議(IPsec)和傳輸層安全協議(TLS)等等。
儘管本發明的範圍沒有在這方面進行限制,建立與一個AP,比如AP120進行的安全通信的例子如下站110試著與AP120建立連接。AP120檢測站110並使能站110的一個埠。AP120將迫使站110的埠處於未認證狀態以使能將要傳遞的需要的已認證業務,同時阻塞未認證的業務,比如動態主機配置協議、HTTP、FTP、簡單郵件傳輸協議、郵局協議等。站110接著向AP120發送一個EAP開始消息。AP120將返回一個EAP標識請求消息以獲得客戶的標識。一個包含客戶標識的EAP響應數據包將被傳遞給認證伺服器130。
儘管本發明的範圍沒有在這方面進行限制,認證伺服器130被配置為使用需要的認證算法來認證客戶,比如站110。認證的結果是從認證伺服器130發向AP120的一個「接受」或「拒絕」數據包。當接收到接受數據包時,AP120將把站110的埠轉變成已認證狀態,允許傳遞業務。
儘管本發明的範圍沒有在這方面進行限制,站120包括第一埠和第二埠,從而分別與第一AP和第二AP,比如AP120和AP140的第一埠和第二埠進行通信。站110可以從AP120漫遊到AP140。在這種情況下,站110向AP120提供省電模式(power saving mode)並按照上面的描述與AP140開始建立安全連接。然而,在將AP140的埠變成已認證模式之前,站110將向AP140提供省電模式並與AP120分離。例如,站110將向AP120發送一個EAP註銷消息。作為響應,AP120把站110的第一埠變成未認證狀態。站110退出與AP140的省電模式,且AP140將把站110的第二埠變成已認證狀態,允許傳送業務。
參見圖2,其是根據本發明的一些示例性的實施例的站200的框圖。儘管本發明的範圍沒有在這方面進行限制,站200包括天線210、發射機(TX)220、接收機(RX)230、第一埠240、第二埠245、請求者單元260和省電模式激活單元270。另外,在本發明的一些實施例中,站200可包括一個認證伺服器250(用虛線示出)。
儘管本發明的範圍沒有在該方面進行限制,天線210可用以與接入點,比如AP120和/或AP140進行安全通信。天線210可以是內部天線、全向天線、單極子天線、偶極子天線、端部饋電天線、圓極化天線、微帶天線或分集天線等。
儘管本發明的範圍沒有在該方面進行限制,站200包括發射機(TX)220和接收機(RX)230,分別用以發射和接收信號。在一些實施例中,請求者單元260包括一個軟體模塊來與AP建立一條安全鏈路。然而,在本發明的一些實施例中,如果需要,請求者單元260是以硬體的方式和/或硬體和軟體組合的方式來實現的。請求者單元260可以提供給站200到AP120和/或AP140的安全連接。
儘管本發明的範圍沒有在這方面進行限制,站200可以從AP120漫遊到AP140,當與AP140建立安全連接時,請求者單元260激活省電模式激活單元270來為AP120提供一個省電模式。請求者單元260可以控制埠245向TX220隻傳輸已認證的數據包,和/或從RX230隻接收已認證的數據包,並阻塞未認證的數據包。請求者單元260可以在埠245上建立埠認證實體(PAE)。
在本發明的一些實施例中,如果需要,PAE的創建將涉及請求者單元260和認證伺服器250。例如,請求者單元260在與AP120進行安全通信時將認證埠240,並且不對埠245進行認證,或反之亦然。當對AP120提供省電模式時,請求者單元260可以通過埠245來聯繫站200和AP140,並且可以建立一條已認證的鏈路,例如鏈路145。AP120將緩存發送給站200的數據包。如果需要,在與AP140成功的建立一條安全鏈路後,請求者單元260可以從AP120收集被緩存的數據,與AP120分離,不認證埠240,與AP140聯繫並認證埠245。
圖3是根據本發明一些示例性的實施例的一個AP300的框圖。儘管本發明的範圍在這方面沒有限制,AP300包括至少一個天線310、一個發射機(TX)320、一個接收機(RX)330、一個埠340、一個認證者單元350。
儘管本發明的範圍在這些方面沒有限制,天線310可以是一個內部天線、全向天線、單極子天線、偶極子天線、端部饋電天線、圓極化天線、微帶天線、分集天線等等。
儘管本發明的範圍在這些方面沒有限制,TX320和RX330分別發送和接收數據包。
儘管本發明的範圍在這些方面沒有限制,如果需要,在一些實施例中,認證者單元350可以包括一個軟體和/或硬體模塊,來與站,如站200建立一條安全鏈路。儘管本發明的範圍沒有在這些方面進行限制,認證者單元350可以通過在埠340上創建PAE並且命令請求者單元260在埠240、245中的至少一個埠上創建PAE來向站200提供安全的連接。
參見圖4,其示出了根據本發明的一個示例性的實施例的從一個AP漫遊到另一個AP的方法的流程圖。儘管本發明的範圍在這些方面沒有限制,從AP120向AP140的漫遊開始於站,比如站110,向AP120提供省電模式(文本框400)。作為響應,儘管本發明的範圍在這些方面沒有限制,AP120緩存發給站110的數據包(文本框405)。站110與AP140聯繫(文本框410)並且AP140在站110的第二埠和AP140的一個埠上創建埠認證實體(PAE)(文本框415)。如果需要,在本發明的一些實施例中,PAE的創建可能涉及站110的請求者單元、AP140的認證者單元和認證伺服器130。
在一些實施例中,認證伺服器130可以為站110和AP140提供相互認證。在本發明的一些實施例中,如果需要,站110可以包括認證伺服器,比如站200的認證伺服器250(圖2)來提供站110和AP140的相互認證。儘管本發明的範圍在這些方面沒有限制,認證過程可以通過站110和AP140之間的成對密匙和成組密匙交換來進行(文本框425)。
儘管本發明的範圍沒有在這些方面進行限制,在與AP140的安全鏈路開始後,例如,鏈路145、站110的第二埠處於已認證模式。站110可以向AP140提供省電模式。站110退出與AP120的省電模式(文本框430)並且站110的第一埠被認證。站110從AP120接收被緩存的數據包(文本框435),並與AP120分離(文本框440),並退出與AP140的省電模式(文本框450)。AP140通過認證站110以及它自己的埠來建立一個安全的連接(文本框460)。
儘管本發明的範圍沒有在這些方面進行限制,通過從站110向需要的AP,例如AP120或AP140,發送一個消息來提供和/或退出省電模式。在本發明的一些實施例中,消息可以包括一個帶有「開」或「關」的省電(PS)比特的空數據。
儘管在上面我們對該發明的某些特徵進行了圖解說明和詳細的描述,但是對本領域的技術人員來說,可以進行許多修改、替換、改變和等價。因此,可以理解,所附的權利要求書試圖涵蓋所有的落入本發明的真實精神內的修改、改變。
權利要求
1.一種方法,包括通過向第一接入點提供省電模式同時與第二接入點建立一個安全連接來從該第一接入點漫遊到該第二接入點。
2.根據權利要求1所述的方法,其中建立該安全連接包括與該第二接入點聯繫;以及由該第二接入點進行認證。
3.根據權利要求2所述的方法,進一步包括向該第二接入點提供省電模式並且退出與該第一接入點的省電模式;以及接收來自該第一接入點的緩存的數據。
4.根據權利要求2所述的方法,進一步包括與該第一接入點分離並且聯繫該第二接入點。
5.一個裝置,包括一個請求者單元,其提供與第一接入點和第二接入點的安全連接並且在建立與該第二接入點的安全連接的同時向該第一接入點提供省電模式。
6.根據權利要求5所述的裝置,其中該請求者單元聯繫該第二個接入點的同時向該第一接入點提供省電模式,並且可以與該第二接入點建立一條已認證的鏈路。
7.根據權利要求6所述的裝置,其中該請求者單元可以向該第二接入點提供省電模式並從該第一接入點接收緩存的數據。
8.根據權利要求5所述的裝置,包括分別向第一接入點和第二接入點提供安全通信的第一埠和第二埠。
9.根據權利要求5所述的裝置,其中與該第一接入點進行安全通信的同時,該第一埠是已認證的,並且其中該第二埠處於未認證模式。
10.根據權利要求5所述的裝置,其中與該第二接入點進行安全通信的同時,該第二埠是已認證的,並且其中該第一埠處於未認證模式。
11.一個無線通信系統,包括一個站,其從具有第一接入點的第一安全鏈路漫遊到具有第二接入點的第二安全鏈路,其中該站包括一個在與該第二接入點建立安全連接的同時向該第一接入點提供省電模式的請求者單元。
12.根據權利要求11所述的無線通信系統,其中該請求者單元在向該第一接入點提供省電模式的同時聯繫該第二接入點,並且能夠與該第二接入點建立一條已認證的鏈路。
13.根據權利要求12所述的無線通信系統,其中該請求者單元能夠向該第二接入點提供省電模式以從 該第一接入點接收緩存的數據。
14.根據權利要求11所述的無線通信系統,進一步包括根據一個認證協議,在該站和該第一接入點和該第二接入點之間建立一條安全鏈路的認證伺服器。
15.根據權利要求11所述的無線通信系統,其中該站包括一個請求者單元以使能認證。
16.根據權利要求11所述的無線通信系統,其中該第一接入點和該第二接入點包括一個用以使該站與該第一接入點和該第二接入點中的至少一個接入點進行安全通信的認證者單元。
17.根據權利要求14所述的無線通信系統,其中該認證伺服器被配置成一個遠程用戶拔號認證服務(RADIUS)伺服器。
18.根據權利要求14所述的無線通信系統,其中該認證協議包括一個擴展認證協議。
19.根據權利要求14所述的無線通信系統,包括一個無線區域網。
20.根據權利要求11所述的無線通信系統,其中與該第一接入點進行安全通信的同時,該第一埠是已認證的,並且該第二埠處於未認證的狀態。
21.根據權利要求11所述的無線通信系統,其中與該第二接入點進行安全通信的同時,該第二埠是已認證的,並且該第一埠是未認證的。
22.一種裝置,包括一個用以發射和接收安全通信的內部天線;和一個向第一和第二接入點提供安全連接,並在與該第二接入點建立安全連接的同時向該第一接入點提供省電模式的請求者單元。
23.根據權利要求22所述的裝置,其中該請求者單元在向該第一接入點提供省電模式的同時能聯繫該第二接入點,並能夠與該第二接入點建立一條已認證的鏈路。
24.根據權利要求23所述的裝置,其中該請求者單元可以向該第二接入點提供省電模式以從該第一接入點接收緩存的數據。
25.根據權利要求22所述的裝置,包括用以分別向該第一接入點和該第二接入點提供安全通信的第一埠和第二埠。
26.根據權利要求22所述的裝置,其中與該第一接入點進行安全通信的同時,該第一埠是已認證的,並且其中該第二埠處於未認證模式。
27.根據權利要求22所述的裝置,其中與該第二接入點進行安全通信的同時,該第二埠是已認證的,並且該第一埠處於未認證模式。
28.一種器件,包括已在其上存儲有指令的存儲媒介,當這些指令執行時會導致通過向第一接入點提供省電模式同時與第二接入點建立一條安全的連接,而從該第一接入點漫遊到該第二接入點。
29.根據權利要求28所述的器件,其中當執行所述指令時,將會導致聯繫該第二接入點,以及由該第二接入點進行認證。
30.根據權利要求29所述的器件,其中當執行所述指令時,將會導致向該第二接入點提供省電模式並退出與該第一接入點的省電模式;以及從該第一接入點接收緩存的數據。
31.根據權利要求29所述的器件,其中當執行所述指令時,將會導致與該第一接入點分離並聯繫該第二接入點。
全文摘要
簡單的說,本發明提出了一種通過向第一接入點提供省電模式同時與第二接入點建立安全連接,使站從該第一接入點漫遊到該第二接入點的方法和裝置。
文檔編號H04L12/28GK1602106SQ20041005789
公開日2005年3月30日 申請日期2004年8月26日 優先權日2003年8月26日
發明者馬克斯·富迪姆, 鮑裡斯·金茨堡, 馬克·賈爾豐 申請人:英特爾公司