移動單元在無線網絡中快速漫遊的方法和系統的製作方法
2023-10-18 14:57:49 2
專利名稱:移動單元在無線網絡中快速漫遊的方法和系統的製作方法
背景技術:
自電子電氣和電子工程師協會(IEEE)通過802.11無線區域網(「WLAN」)標準的這些年來,無線通信和計算產品的發展超乎尋常。為了適應無線設備對帶寬不斷增長的需求,大型網絡的管理員通常在整個需要的覆蓋區域的戰略位置上設置無線接入點(「AP」,例如路由器,交換機,網橋,中繼器,刀片伺服器(blade)等)。如今,在機場、咖啡屋、大學,或其它旨在提供無處不在的無線網絡接入的企業和機構發現數以十計、百計甚至千計的AP是不罕見的。
隨著無線計算產品的尺寸不斷減小,形成了對在移動中的用戶漫遊離開一個AP的工作範圍進入另一個AP的工作範圍時網絡接入不中斷的需求。在使用有線等效加密(「WEP」)安全標準的常規802.11WLAN中,當不涉及與伺服器的認證處理時,與一個新AP關聯的處理可以是快速而簡單的。然而,這種處理有許多缺點,會導致一些企業避免採用成熟的無線連網方案。
近來,隨著IEEE 802.11i標準的通過,常規WLAN的安全缺陷得到了解決。這種新標準引入了許多安全特徵,包括加密和認證增強、密鑰管理和建立、以及認證伺服器的使用等。因此,AP和漫遊MU(移動單元)之間的關聯和認證處理大大地增大了總的漫遊時間。為了改善漫遊時間,該新標準中包括了一種在MU進入其範圍之內前向該網絡中的其它AP路由認證包的預認證過程。然而,即使採用了預認證,每次MU試圖連接到一個新AP時也必須執行最少6個包的交換(例如,關聯請求,關聯響應加穩健安全網絡信息元(「RSN IE」),和802.1X四次握手等)。這種交換在輕負荷網絡中可能花費若干毫秒,而在AP和MU都必須爭用無線介質的重負荷環境中會花費長得多的時間。這樣的延遲在先現今要求苛刻的無線連網環境中是不可接受的。
發明內容
本發明涉及一種移動單元在無線網絡中快速漫遊的方法和系統。接入點從無線計算單元接收包括單元標識數據和通過此接入點建立通信的關聯請求的包。該包被處理以使用單元標識數據啟動該單元的認證過程。認證過程由接入點和連接到該接入點的認證伺服器中的至少一個來執行。該單元和接入點之間的其它包(例如,與認證過程相關的其它包)的無線發送被優先處理。完成該認證過程以確定該單元的關聯請求是否被準許。
本發明還包括一種可包含無線處理單元、接入點和認證伺服器的系統。該單元生成包括單元標識數據以及建立無線通信的關聯請求的包。接入點接收和處理該包以使用單元標識數據啟動該單元的認證過程。認證過程由接入點和認證伺服器中的至少一個執行。該單元和接入點之間的其它包的無線發送被優先處理;這些其它包與認證過程相關。一旦認證過程完成,就確定該單元的關聯請求是否被準許。
附圖簡述
圖1是根據本發明的行動網路的一個示例性實施例。
圖2是根據本發明的認證序列的一個示例性實施例。
圖3是根據本發明的一種用於改善MU的漫遊時間的示例性方法。
具體說明本發明可通過參照以下說明和附圖來進一步理解,其中為相同的要素設置相同的標號。本發明提供了一種改善在無線網絡中(例如,使用IEEE 802.11i標準)工作的MU漫遊時間的方法。通過減少MU與新AP關聯所花費的時間量,無線覆蓋區域內移動中的用戶能以最少的中斷繼續操作MU。改善的漫遊時間對要求低等待時間持續連接的應用(例如,IP電話(「VoIP」)或流下載)尤為重要。
圖1示出了可在例如基礎設施模式的WLAN內工作的行動網路100的根據本發明的一個示例性實施例。行動網路100可包括多個MU10-14、多個AP20-22、認證伺服器30、多個工作站40-41(例如,計算設備)和通信網絡50。本領域的技術人員將理解,本發明的示例性實施例可以與任意行動網路一起使用,而行動網路100僅僅是示例性的。
在該示例性實施例中以及對於以下討論的其餘部分,使用IEEE 802.11i標準協議。然而,本發明的用於改善無線網絡中的漫遊時間的方法和系統可以用於具有在允許網絡接入前與MU進行安全交換的AP的WLAN中。
AP20-22可以是連接無線和有線網絡的例如路由器、交換機、網橋或刀片伺服器(blade)等。根據IEEE 802.11i標準,AP20-22用作認證者。AP20、21、和22各自有覆蓋區域25、26、27。另外,AP20、21、和22可支持具有數種數據機密性協議、包括使用例如計數器模式/CBC-Mac協議(「CCMP」)、無線穩健認證協議(「WRAP」)、暫時性密鑰完整性協議(「TKIP」)、WEP和802.1X EAP的多播和單播密碼組的穩健安全網絡(「RSN」)。
工作站40-41連接到行動網路100的有線部分,並且可以遠離AP20-22。工作站40-41可以是例如臺式或膝上型計算機或本領域的技術人員所知的任何其它計算設備。認證伺服器30是為網絡上的設備提供集中遠程用戶認證和計費、或是認證、授權、計費(「AAA」)服務的伺服器計算機。例如,認證伺服器30可包括但不限於RADIUS伺服器、Diameter伺服器或Kerberos伺服器。
MU10-14可以是能夠通過無線通信裝置(例如,無線數據機、發射機等)連接到行動網路100的、任何類型的基於計算機或處理器的可攜式設備(例如,臺式或膝上型計算機、PDA、移動或蜂窩電話、雙向尋呼機、條形碼掃描器等)。根據IEEE 802.11i協議,MU10-14還可以稱為申請者。MU10-14可以被設計成僅用於一個專門的用途(例如,掃描條形碼、VoIP通信、文本消息通信等),或者可以是已通過適當的軟體模塊添加了各種功能的具有不同用途的手持式設備。在一個實施例中,MU10-14是基於諸如運行微軟Pocket PC 2003作業系統或類似系統的多用途個人數字助理(「PDA」)。
因為MU10-14是可攜式的,所以它們足夠小到便於攜帶。MU10-14中每一個的操作者可在行動網路100的覆蓋區域25、26、27內漫遊。例如,在圖1的示例性實施例中,MU11正從其覆蓋區域26內的當前位置沿路徑16被移往覆蓋區域27。當MU11最靠近AP21時,它可以通過AP21連接到通信網絡50。隨著MU11沿路徑16漫遊到更靠近AP22而遠離AP21時,MU11可能需要從AP21斷開並改為連接到AP22以保持繼續的無線通信。然而,在連接到AP22之前,MU11必須通過執行6個包的安全交換來與AP22進行認證,這將在以下進行詳細說明。
行動網路100的以上實施例不應該理解為是以任何方式限定本發明。如本領域的技術人員所將理解的,可在相同的數據網絡上使用不同類型的MU,只要它們在兼容的協議下工作即可。也可使用具有不同數目的MU、AP、工作站、和/或伺服器的其它配置來實現本發明的方法。
圖2示出了根據本發明的認證序列的一個示例性實施例。為了便於說明,將使用先前所討論的MU11漫遊離開AP21前往AP22的示例。例如,當MU11啟用時,它可以通過發送探測請求幀210來搜索(例如,不斷地或每隔預定的時間長度)所要關聯的最優AP。MU11的發射範圍內的所有AP通過發送包括RSN IE的探測響應215來響應。如在IEEE 802.11i規範中所述的,RSN IE可包括認證和成對密碼組選擇子、單組密碼組選擇子、RSN能力欄位、PMKID計數和PMKID列表。
在收集來自每個響應AP的探測響應和RSN IE之後,MU11權衡包括所支持的數據率、AP負荷、以及安全特性等的若干因素以確定要關聯哪個AP。一旦作出確定,MU11和目標AP就進行標準802.11開放式認證序列。在示例性行動網路100中,MU11在其沿路徑16移動離開AP21時確定要與AP22關聯。開放式認證序列包括MU11首先向AP22發送開放式認證請求220以及AP22隨後發送開放式認證響應225。
在開放認證序列之後,MU11向AP22發送也包含RSN IE(例如,請求TKIP和802.1X EAP認證)的關聯請求230。鑑於該信息,關聯被準許或拒絕。關聯請求230和關聯響應235包括在MU漫遊到新AP時所執行的6個包交換中的兩個包。
如果關聯成功,則建立公共的安全策略並且MU11可以開始與AP22通信。然而,數據通信被過濾以使得在此只有802.1X可擴展認證協議(「EAP」)幀可通過。所有其它通信(例如,HTTP,DHCP、以及POP 3包等)被AP22阻止。該關聯被臨時映射到802.1X埠,該埠被封鎖240直到802.1X認證過程完成。
802.1X認證過程以AP22(例如,認證者)向MU11(例如,未認證的申請者)提交身份請求250開始。MU11通過發送響應身份消息255來答覆。AP22接著在EAP接入請求/身份消息260中將此消息轉發給認證伺服器30。根據認證伺服器30所使用的EAP類型(例如,令牌卡、一次性口令、數字證書等),執行具體的相互認證算法265。這可涉及認證伺服器30發出將通過AP22傳到MU11的身份質詢。響應的MU11發出響應身份。如果申請者的身份被接受,則認證伺服器30向AP22發出EAP接受消息270。接著,AP22向MU11發出指示與認證伺服器30成功認證的消息275。
此時,雖然MU11已由認證伺服器30認證,但是802.1X認證過程還沒有完成。為了確保AP22與MU11之間的通信存在並且沒有重放,AP22和MU11接下來相互認證。這是通過首先在接受消息270中嵌入成對主密鑰(「PMK」)來實現的。PMK是一旦與新MU成功認證就被傳遞給所有AP的主值。將PMK與AP地址、MU地址、由AP生成的偽隨機值(例如,Anonce)、以及由MU生成的偽隨機值(例如,Snonce)組合以構造動態成對瞬時密鑰(「PTK」)。因為PTK是從兩個偽隨機變量獲得,所以每次AP與一個新MU關聯時生成一個新的PTK。
獲得PTK以及在AP和MU之間實現相互認證的過程通常被稱為802.1X四次握手。第一和第二次握手消息281和282組合上述各值以獲得PTK。該PTK被安置在第三次握手283中。在第三次握手消息中還提供了組暫時性密鑰(「GTK」)以保護多播通信。第四次握手284消息指示該暫時性密鑰現已就位並且可為數據保密性協議所用。802.1X四次握手包括當MU漫遊到一個新AP時必須執行的6個包交換中剩餘的四個包。
如果802.1X四次握手成功,則802.11i標準下的802.1X認證過程完成。此時,802.1X埠被解鎖290並且MU11可自由地與AP22交換所有的數據包類型。因此,MU11被準許完全地訪問行動網路100中的資源。
上述認證序列通常在MU第一次與根據IEEE 802.11i協議工作的WLAN中的任意AP關聯時執行。如前面所討論的,IEEE 802.11i協議的特點還在於為跨無線網絡中各AP的更快速的漫遊進行預認證。通過路由預認證包經過其當前關聯的AP,漫遊的MU能夠在實際移動到遠處的AP之前被其部分地認證。然而,在漫遊的MU每次試圖與另一個AP關聯時必須完成包括關聯請求加連同PMKID的RSN IE 230、關聯響應235、以及802.1X四次握手281-284的6包交換。在理想的輕負載網絡條件下,這樣的6包交換可能花費若干毫秒。然而,在眾多設備爭用同一無線介質的較重負載的網絡中,完成這種交換所需的時間可能長的多,從而導致短期的或時間敏感的應用(例如,VoIP或流視頻)不可接受的延遲。
圖3示出了一種用於改善採用IEEE 802.11i協議的WLAN中MU的漫遊時間的示例性方法300。在步驟310,MU漫遊進入其試圖關聯的AP的覆蓋區域內。在圖1的示例中,這可在MU11沿路徑16離開AP21的覆蓋區域26移進AP22的覆蓋區域27時發生。
在步驟320,MU11準備6包交換中的下一個包以備發送。如果交換還沒有開始,則要準備的下一個包是該包(例如,關聯請求加RSN IE 230)。準備可包括例如,MU11向每個交換包貼上高優先級包標識符從而使得具有較低包優先級標識符的(例如,用於標準無線發送的)其它包必須推遲到高優先級的通信之後。
在步驟330,在先前步驟中準備的包從MU11被發送到目標AP22。AP22接收該包。
在步驟340,使用該包中包含的標識數據來執行快速漫遊過程。根據本發明的具體應用,快速漫遊過程可包括認證MU11的許多不同行動。例如,回到通過向6包交換貼上高優先級包標識符改善漫遊時間的示例,快速漫遊過程可包括AP22延遲低優先級通信(例如,用於標準無線發送)的處理直到較高優先級的包被處理。例如,MU與AP22之間較低優先權的發送的部分可被阻止以允許完成另一個MU和AP22之間較高優先級的發送。然而這並不意味6包交換中的包必須優先於所有其它通信,因為它們可能仍需要與具有等高或較高優先級的通信爭用。
在步驟350,確定6包交換是否完成。如果完成了,則本發明的快速漫遊方法300結束,並且WLAN的所有組件可回到正常操作。例如,MU11被許可通過AP22建立無線通信。否則,如果交換沒有完成,則方法300回到步驟320以準備下一個包,並且重複後續步驟直到快速漫遊方法300結束並且漫遊的MU11為AP22所認證。
雖然參照以高優先級發送6包交換的包對本發明的上述快速漫遊方法300進行了說明,但是方法300可包括本發明的其它應用。例如,可實現合作客戶機策略,其中已經連接到目標AP的各MU如果檢測到6包交換中的任何包的存在就自己停止發送。往回參照圖2的示例性實施例,在MU12-14與AP22通信時,它們可以被配置成周期性地監聽802.1X四次握手281-284的關聯消息230、235或LAN上可擴展認證協議(「EAPoL」)消息。由此,一旦MU11試圖與AP22關聯(步驟310),就準備包(步驟320),該包的發送(步驟330)導致MU12-14暫時停止與AP22的通信(步驟350)直到交換完成(步驟350)。
此外,合作策略可以是靈活的,從而使得不是所有的通信都必須讓步於6包交換的包。例如,可以僅將較低優先級的通信或較大的消息配置成一旦接測到這些包的存在就暫停發送。
本發明的方法300的其它應用是在發送6包交換中的第二或第三個包期間供目標AP22向MU11分配發送機會(「TXOP」)。TXOP是專門用於預定通信的發送時隙預留。在發送第二或第三個包期間建立TXOP確保802.1X四次握手281-284具有足夠的時間完成而不必與WLAN中的其它通信爭用發送時隙。
應該注意的是802.1X四次握手281-284可能要求MU11與AP22兩者比其它常規通信均有更多的處理時間。這是因為MU11和AP11均必須對由認證伺服器30提供的PMK執行計算以獲得和安置適當的暫時性密鑰(例如,PTK和GTK)。因此,TXOP在進行計算時可能是空閒的。空閒的發送時間可能導致不知道802.1X四次握手281-284正在發生的MU(例如,從省電狀態返回的MU)試圖在已分配的發送時隙上發送。為了防止這種情況,快速漫遊過程(步驟340)可以包括AP22和/或MU11在它們執行其計算時發送空包從而使得其它MU不能獲取對TXOP時隙的接入。
已參照上述實施例對本發明進行了說明。本領域的技術人員將理解本發明如果被修改也能成功的實現。相應地,可對各實施例進行各種修改和變化而不會背離如在所附權利要求中闡述的本發明的最寬泛的精神實質和範圍。相應地,說明和附圖應該以說明性而不是限制性意義來理解。
權利要求
1.一種方法,包括以下步驟由接入點從無線計算單元接收包,所述包包括單元標識數據和通過所述接入點建立通信的關聯請求;處理所述包以使用所述單元標識數據啟動所述單元的認證過程,其中所述認證過程由所述接入點和連接到所述接入點的認證伺服器中的至少一個執行;優先處理所述單元與所述接入點之間的其它包的無線發送,所述其它包與所述認證過程相關;以及完成所述認證過程以確定所述單元的所述關聯請求是否被準許。
2.如權利要求1所述的方法,其特徵在於,所述接入點包括無線交換機、無線網橋、無線路由器和無線刀片伺服器中的至少一種。
3.如權利要求1所述的方法,其特徵在於,所述單元是膝上型計算機、PDA、行動電話、雙向尋呼機和條形碼掃描器中的一種。
4.如權利要求1所述的方法,其特徵在於,還包括以下步驟如果所述關聯請求被準許,則允許所述單元通過所述接入點建立所述無線通信。
5.如權利要求1所述的方法,其特徵在於,所述優先處理包括以下子步驟阻止至少一個其它無線單元與所述接入點之間的其它無線發送的至少一部分直到所述單元與所述接入點之間的所述其它包的無線發送完成。
6.如權利要求1所述的方法,其特徵在於,所述包包括優先處理所述包的無線發送的第一包優先級標識符,所述第一包優先級標識符是比針對標準無線發送的包的第二包優先級標識符高的優先級。
7.如權利要求1所述的方法,其特徵在於,所述優先處理步驟包括以下子步驟向所述其它包分配優先處理所述其它包的無線發送的第一包優先級標識符,所述第一包優先級標識符是比針對標準無線發送的包的第二包優先級標識符高的優先級。
8.如權利要求1所述的方法,其特徵在於,所述優先處理的步驟包括以下子步驟預留髮送時隙以專門用於所述包和所述其它包的無線發送。
9.一種系統,包括無線計算單元,用於生成包括單元標識數據和建立無線通信的關聯請求的包;接入點,用於接收和處理所述包以使用所述單元標識數據啟動所述單元的認證過程;以及連接到所述接入點的認證伺服器,其中所述認證過程由所述接入點和所述認證伺服器中的至少一個執行,所述單元與所述接入點之間的其它包的無線發送被優先處理,所述其它包與所述認證過程相關,以及一旦所述認證過程完成,就確定所述單元的關聯請求是否被準許。
10.如權利要求9所述的系統,其特徵在於,所述接入點包括無線交換機、無線網橋、無線路由器和無線刀片伺服器中的至少一種。
11.如權利要求9所述的系統,其特徵在於,所述單元是膝上型計算機、PDA、行動電話、雙向尋呼機和條形碼掃描器中的一種。
12.如權利要求9所述的系統,其特徵在於,如果所述關聯請求被準許,則所述單元被允許通過所述接入點建立所述無線通信。
13.如權利要求9所述的系統,其特徵在於,至少一個其它無線單元與所述接入點之間的其它無線發送的至少一部分被阻止直到所述單元與所述接入點之間的所述其它包的無線發送完成。
14.如權利要求9所述的系統,其特徵在於,所述包包括優先處理所述包的無線發送的第一包優先級標識符,所述第一包優先級標識符是比針對標準無線發送的包的第二包優先級標識符高的優先級。
15.如權利要求9所述的系統,其特徵在於,所述其它包被分配優先處理所述其它包的無線發送的第一包優先級標識符,所述第一包優先級標識符是比針對標準無線發送的包的第二包優先級標識符高的優先級。
16.如權利要求9所述的系統,其特徵在於,專門用於所述包和所述其它包的無線發送的發送時隙被保留。
17.一種接入點,包括無線發射機,用於從無線計算單元接收包括單元標識數據和通過所述接入點建立無線通信的關聯請求的包;處理器,用於處理所述包以啟動所述單元的認證過程,所述處理器使用所述單元標識數據執行所述認證過程,其中所述單元與所述接入點之間的其它包的無線發送被優先處理,所述其它包與所述認證過程相關,以及一旦所述認證過程完成,所述處理器即確定所述單元的關聯請求是否被準許。
18.如權利要求17所述的接入點,其特徵在於,所述接入點是無線交換機、無線網橋、無線路由器和無線刀片伺服器中的至少一種。
全文摘要
描述了一種移動單元(11)在無線網絡(22)中快速漫遊的方法和系統。接入點(22)從無線計算單元(11)接收包括單元標識數據和通過接入點(22)建立通信的關聯請求的包(210)。該包被處理以使用單元標識數據啟動該單元的認證過程。認證過程由接入點(22)和連接到接入點(22)的認證伺服器(30)中的至少一個來執行。該單元和接入點(22)之間其它包的無線發送(例如,這些其它包與認證過程相關)被優先處理。完成認證過程以確定該單元的關聯請求是否被準許。
文檔編號H04W60/00GK101032107SQ200580032933
公開日2007年9月5日 申請日期2005年8月19日 優先權日2004年9月30日
發明者H·A·王, W·薩柯達 申請人:訊寶科技公司