个人虚拟桥接局域网的制作方法

专利名称：个人虚拟桥接局域网的制作方法
技术领域：
本发明涉及局域网。更特别地，本发明涉及一种个人虚拟桥接局域网。
背景技术：
接入点(AP)是在一个或多个站(STA)和分布系统(DS)之间的链路层桥接器。参见IEEE 802.11，无线局域网媒体存取控制和物理层规范，ISO/IEC8802-111999(E)，ANSI/IEEE Std 802.11、1999版本。一种DS的实例是一个局域网段，或一个企业内部互联网。AP启动将经由无线发送的分组，或者从发射站发送(STA)到DS的分组、或者从DS发送到STA的分组。因此，接入点至少具有两个物理端口。一个是DS接口，而另一个是一个无线电接口。每个具有他们自己无线接口的多个STA可以通过多路复用AP单独共享无线接口而发送分组到DS。该无线电接口在一个特殊的频率下操作，并且多个STA通过保证互相专用访问媒质的MAC PHY协议共享该媒质。DS同样通过利用相同的协议发送分组。
AP的STA具有一个基本服务组ID(BSSID)。理论上它用来划分802.11基本服务组。每一个和AP相关的STA共享AP的BSSID。去往由AP或STA接收的组地址的帧将丢弃，假如AP or STA所属的BSS不匹配该帧的BSSID。在这种意义上讲，该BSSID起一个虚拟LAN ID(VID)的作用。参看IEEE 802.1Q，用于本地和城域网IEEE标准虚拟桥接局域网，IEEE Std 802.1Q-1998。由于和相同的AP相关，因此每个站是相同的虚拟局域网(VLAN)的成员。
然而，在BSS中的每个STA将不会共享相同的VLAN，除非这些STA彼此信任。然而，在公共区域配置中，当他们之间典型地不存在信任时，所有与AP有关的STA被请求共享相同的VLAN。这就导致了STA的易受攻击，例如一个不信任的STA发射的对各种链路层的攻击，例如地址解析协议(ARP)高速缓冲存储器再映射。
提供用于在与桥接器相关的多个STA中间分离业务的机制是有益的，因此例如一个与所述桥接器相关的不被信任的STA不能对与相同的桥接器相关的另一个STA发起链路层的(OSI层2)攻击。

发明内容
本发明提供用于在与桥接器相关的多个STA中分离业务的机制，因此例如一个与所述桥接器相关的不被信任的STA不能对与相同的桥接器相关的另一个STA发射链路层(OSI层2)攻击。本发明是基于通过利用VLAN分离业务的。IEEE 802.1Q-1998(虚拟桥接LAN)协议提供一个通过本发明扩展的机制以在理论上把一个的局域网段划分为多个VLAN。在优选实施例中，VLAN桥接器仅仅转发单播和群播帧(unicast and group frames)到服务于帧所属的VLAN端口。本发明的一个实例扩展该标准VLAN桥接模型以提供一个适合于在AP内使用的机制。
假定AP附属于DS。和AP相关的每个站将有机会建立一个具有它本身的新的VLAN，并且该DS也作为它的成员。这样在信任和不信任的STA之间的业务被分离，即使他们和相同的AP相关。通常，假如DS包括多个VLAN，则VLAN任何子集的成员可以是该新VLAN的成员。所以将有一个方法去发现现存的VLAN。此外，将有一个加入现存VLAN的协议。建立一个VLAN和加入现存的VLAN都需要认证操作。IEEE标准802.1Q-1998 VLAN模型用于这种目的是有欠缺的，因为它不能提供这种能力。本发明的优选实施例包括一个提供这种能力的机制，在这里称为个人虚拟桥接局域网(个人VLAN)。
在优选实施例中，个人的VLAN桥接在至少任何下列方法中扩展了标准VLAN桥接器·VLAN发现一个个人VLAN提供一个用于VLAN发现的协议(在下文中讨论)。
·VLAN扩展/建立一个个人的VLAN桥接器允许一个站建立一个服务于新VLAN的新端口，或加入现存的VLAN或经由认证协议加入现存的VLAN。
·逻辑端口一个个人的VLAN桥接可以保持每个物理端口超过一个逻辑端口。它桥接在任何种类的端口之间。一个VLAN的成员组按照逻辑与物理端口定义。每个逻辑端口具有通过桥接控制的生存期。
·密码的VLAN分离在一个个人的VLAN中，一个逻辑端口至多服务一个VLAN。然而，因为每一物理端口可能有超过一个逻辑端口，多于一个VLAN就可能存在于一个物理端口上。在一个VLAN内的业务与在相同的物理端口上的另一个VLAN通过密码术分离。鉴别码唯一地识别业务所属的VLAN，同时加密的另一个等级用来保持除VLAN的成员之外的专用业务·通过路由器支持的第2层VLAN当STA可以漫游和再安装到在不同桥接器上的网络时，例如通过和新的AP相关，STA可以通知它已经所属的VLAN的桥接器。该VLAN可能已经通过站，例如其本身，在另一个桥接器上被建立，该另一个桥接器在该桥接器上将VLAN连接到一个或多个逻辑或物理端口。即使新的桥接可能是位于不同的子网，STA可以在第2层的VLAN保持它的会员资格。这些能力包含移动IP能力，因为移动IP目标是通过路由器对于站保留子网会员资格。一个子网可能相当于一个VLAN，但通常它不是。
·生成树维护个人的VLAN桥接器允许站建立一个VLAN，这里STA本身就是一个桥接器。当授予会员资格时，生成树算法消除桥接器间的循环。加入个人VLAN的过程执行对VLAN拓扑的限制，使得在新的桥接器加入VLAN之后重新构造一个不必要的生成树。


图1是一个按照本发明的框图，描述了在个人VLAN中的两个桥接器；图2是一个框图，示出了一个实例，其中站A和桥接器1共享SA1；图3是一个显示实例的框图，其中站D和E均属于VLAN5，然而不同于其它站，他们不与桥接器1共享安全关联，而是与个人VLAN桥接器2共享安全关联；图4是一个按照本发明示出个人VLAN发现的框图；图5是一个按照本发明示出请求服务用于新VLAN的流程图；图6是一个按照本发明的流程图，示出在桥接器上通过逻辑端口服务的VLAN到在桥接器上通过物理端口服务的一个或多个VLAN的连接。
图7一个是按照本发明的流程图，示出当桥接器接收由逻辑端口服务的单个VLAN组成的目的地VLAN组的VLAN请求时被触发的站内认证；和图8是一个按照本发明流程图，示出入口过虑逻辑端口。
具体实施例方式
本发明目前的优选实施例提供用于在与桥接器相关的多个STA之间分离业务的机制，因此例如一个与所述桥接器相关的不信任STA不能用于在与相同桥接器有关的另一个STA上发射链路层(OSI层2)攻击。本领域有经验的技术人员将理解，于此披露的本发明可应用到各类的系统和网络，包括但不限于有线和无线网络。
个人VLAN桥接器模型本发明是基于通过利用VLAN分离业务的。IEEE 802.1Q-1998(虚拟桥接LAN)协议提供一个通过本发明扩展的机制以在理论上把一个的局域网段划分为多个VLAN。在优选实施例中，VLAN桥接器仅仅转发单播和群播帧(unicastand group frames)到那些服务于帧所属的VLAN的端口。本发明的一个实例扩展该标准VLAN桥接器模型以提供一个适合于在AP内使用的机制。
假定AP附属于DS。和AP相关的每个站将有机会建立一个具有其本身的新VLAN，并且该DS作为它的成员。可见在信任和不信任的STA之间的业务能够被分离，即使他们和相同的AP相关。通常，假如DS包括多个VLAN，则他们任何子集的成员可以是该新VLAN的成员。所以将有一个方法去发现现存的VLAN。此外，将有一个用于加入现存VLAN的协议。建立一个VLAN和加入一个现存的VLAN都要求认证操作。IEEE标准802.1Q-1998 VLAN模型用于这样的目的是有欠缺的，因为它不能提供这种能力。本发明的优选实施例包括一个提供这种能力的机制，在这里称为个人虚拟桥接局域网(个人的VLAN)。
本发明当前优选实施例于此结合图1-3进行讨论。本领域熟练的技术人员理解，图1-3示出的结构仅仅提供实例的目的，而不是打算限制本发明可能实践的结构。
图1是描述两个桥接器10、12的框图。个人VLAN桥接器1(10)具有四个物理端口11、13、15、17，其中两个11、13是有线以太网。有线端口分别服务于VLAN1 and VLAN2。其它两个端口15、17是无线以太网端口。这些端口中的15符合高速(54Mbps)802.11g标准，而另外的端口17符合802.11a标准。有三个逻辑端口19、21、23与802.11g端口相关。每一个逻辑端口具有其自己的安全联合25、27、29，以构成一个单独的VLAN，上述的安全联合25、27、29通过一些数量的终端站20、22 24共享。
如图2所述，站A20与桥接器110共享SA1 25。没有其它站共享SA1，因此STA A在一个唯一的VLAN中，也就是VLAN3中，并通过根是桥接器1的生成树代表。
另一方面，站B和C22、24属于VLAN4，因为他们与桥接器1共享SA2 27(见图2)。这个VLAN通过STA A或STA B中的一个建立。然后其它站在通过创建者验证之后加入。这描述了加入个人VLAN的情况(参见下文)。VLAN4也由具有作为根的桥接器1的生成树表示的。
站D 16和E 18属于VLAN5。然而，与其它站不同，他们不与桥接器1共享安全联合，而是与个人VLAN桥接器212共享(参见图3)。桥接器2是用于VLAN5的生成树的根直至该树被扩展，使得桥接器1作为新的根。
在一个实例中，个人VLAN桥接器在至少任何下列方法中扩展标准VLAN桥接器
·VLAN发现一个个人的VLAN提供一个用于VLAN发现的协议(在下文中讨论)。
·VLAN扩展/建立一个个人的VLAN桥接器允许一个站建立一个服务于新VLAN的新端口，或加入现存的VLAN或经由认证协议加入现存的VLAN。
·逻辑端口一个个人VLAN桥接器可以保持每个物理端口多于一个逻辑端口。它桥接在任何种类的两个端口之间。一个VLAN的成员组按照逻辑和物理端口定义。每个逻辑端口具有通过桥接器控制的使用期。
·密码的VLAN分离在个人的VLAN中，逻辑端口至多服务于一个VLAN。然而，因为每一物理端口可能有超过一个逻辑端口，多于一个VLAN存在在一个物理端口上。在一个VLAN内的业务与相同的物理端口上的另一个VLAN中的业务通过密码术分离。鉴别码唯一地识别业务所属的VLAN，加密的另一个等级用来保持除VLAN的成员之外的专用业务·通过路由器支持的第2层VLAN当STA可以漫游和再安装到在不同桥接器上的网络时，例如通过和新的AP相关，STA可以通知它已经所属的VLAN的桥接器。该VLAN可以已经通过站，例如其本身，在另一个桥接器上被建立，该另一个桥接器在该桥接器上将VLAN连接到一个或多个逻辑或物理端口。即使新的桥接器可能是位于不同的子网，STA可以在第2层的VLAN保持它的会员资格。这些能力包含移动IP能力，因为移动IP目标是通过路由器对于站保留子网会员资格。一个子网可能相当于一个VLAN，但通常它不是。
·生成树维护个人的VLAN桥接器允许站建立一个VLAN，这里该站本身就是一个桥接器。当授予会员资格时，生成树算法消除桥接器间的循环。加入个人VLAN的过程执行对VLAN拓扑的限制，使得在新的桥接器加入VLAN之后再构造一个不必要的生成树。
如在IEEE Std 802.1Q-1998所述，当前优选的个人VLAN桥接器模型按照它的标记帧规则和按照涉及中继MAC帧的元件并联VLAN模型，确定成员/未标记组，IEEE用于局域网和城域网的标准虚拟桥接局域网，第28页。在个人VLAN桥接器中的元件扩展部分描述如下。
个人VLAN控制信道每个物理端口具有一个个人VLAN控制信道40、42，用于发送和接收控制帧和认证协议帧。该信道没有安全关联，并且通过帧场识别，例如以太网类型编码。认证帧更适宜使用一个诸如EAPoL(查看IEEE 802.1X，用于局域网和城域网的IEEE标准基于网络接入控制的端口，IEEE Std 802.1x-2001)的格式压缩，EAPoL可以处理各种认证协议。
VLAN发现一个个人VLAN桥接器分别运行服务器和客户端VLAN发现代理26、28和30。当客户端代理发出信息请求时，服务器代理响应信息请求。这种代理的实例是服务定位协议v2 IETF RFC 2608的客户机和服务器代理。因此，个人VLAN可以发现其它VLAN，和/或允许该个人VLAN服务的多个VLAN被发现。发现(参见图4)包括VLAN-DISCOVER帧的传输。在响应方面，VLAN-OFFER帧被发送给该发现帧的源MAC地址。提供帧(offer frame)列出全部或一些桥接器服务的VLAN和从他们中选出来被使用的信息。响应它发送的发现帧，可能有多于一个由客户端接收的提供帧。VLAN-OFFER帧的传输通过随机选择某些时段而被延迟以最小化应答者间的冲突。
服务新的VLAN一个个人VLAN桥接器可以接收一个请求以服务新的VLAN。该请求包含新的VLAN的VID。请求是不准许的，除非请求者被授权，该请求是最新的，并且它可以通过控制信道认证。为了在桥接器服务一个新的VLAN，请求标记桥接器用于提名VLAN的生成树的根。用于新VLAN的请求服务包括下列步骤·桥接器通过某些物理端口的控制信道接收具有源MAC地址的请求帧。MAC地址的持有者是该请求者(100)。
·请求帧的接收通过控制信道(102)启动关于请求者的认证协议。
·假如请求者不能被认证，或从该桥接器不批准请求VLAN服务(104)，那么丢弃该请求(106)。
·假如在使用请求的VID时没有冲突(105)，新的逻辑端口建立并与接收请求帧的物理端口相关(108)。这是桥接器使用的逻辑端口以便服务VLAN。否则，桥接器与请求者的VID协商(110)。VLAN的过滤规则由用于请求者的政策确定。
·端口状态信息被更新用于该逻辑端口从而包括安全关联(SA)，并与请求者共享该信息，其可以有效用于通过那些端口的全部业务(112)。仅仅SA的持有者可以改变逻辑端口状态当完成这些步骤时，新的逻辑端口存在用于服务新的VLAN，但是该VLAN没有连接到桥接器服务的其它VLAN，直到请求被做出以加入特殊的VLAN。直到这时，新的VLAN不在该桥接器上工作。
加入VLAN通过桥接器服务的新VLAN扩展一个或多个通过该桥接器的端口服务的现存的VLAN将是有用的。换句话说，它必须连接一个或多个现存的VLAN。连接通过桥接器的逻辑端口服务的VLAN到通过桥接器的物理端口服务的一个或多个VLAN通过在控制信道上发送的join-VLAN请求而执行。该请求不桥接由物理端口服务的多个VLAN。更合适的，他们保持独立，但是同时新VLAN扩展了全部。
加入join-VLAN请求包含由桥接器的逻辑端口P′服务的VLAN的VID V′，此处称作源VLAN；和一组用于由一组物理端口P服务的VLAN的VID的V，此处称作目的地VLAN。该请求目的是连接V′到V中的每个VLAN ID，或换句话说，目的在于允许请求者加入V中每个VLAN。该请求者已经建立了V′。桥接器采用以下步骤(参见图6)
·第一请求是认证(200)。这可以根据与当桥接器被要求服务V′时建立的V′相关的SA完成。一个简单的询问-响应策略被用于该优选实施例，虽然也可以适当的使用其它方法。假如认证失败，则丢弃该请求。
·逻辑端口P′被增加到V中每个VID的成员组(202)，而P中的每个物理端口被增加到V′中的成员组(204)。通过采用全部未加标签组的联合而形成用于V′中VID的V′的未加标签组(206)。假如该请求帧在它的标记头部包含一个空VID，或它是未加标签的，那么P′被增加到V中每个VID的未加标签组(208)。
服务于新的VLAN并链接它到其它VLAN的请求可以被合并成一个请求。因而，建立一个VLAN并加入另一个VLAN可以具体地通过一个认证过程完成，特别地，该过程需要服务于新VLAN。
加入个人VLAN加入个人VLAN，也就是由逻辑端口服务的一个要求特殊处理。个人VLAN桥接器不批准链接由逻辑端口服务的VLAN，因为它不能建立该端口，这与它的物理端口不同。在这种情况下，逻辑端口的创建者通过一个相互双方商定协议认证，例如询问-响应。桥接器接收一个谁的目的地VLAN组包括单个由逻辑端口服务的VLAN的join-VLAN请求时，站内认证(参见图7)被触发(298)。
有三种情况·源和目的地VLAN具有相同创建者，并且该创建者发出join-VLAN请求(300)。在这种情况下，该请求被丢弃(302)。否则，可以在桥接地VLAN中产生循环。
·源和目的地VLAN是相同的，并且创建者没有发出请求(304)。在这种情况下，创建者对进入到个人VLAN内的请求者认证会员资格(306)。
·在全部其它情况下(308)，桥接器首先认证该请求以确信该请求者是源VLAN的创建者(和步骤1一样，用于加入仅仅由物理端口服务的VLAN——参见上文)(310)。假如认证继续(312)，创建者对进入到目的地VLAN内的请求者认证会员资格(314)。
当加入个人VLAN时，目的地VLAN组最好准确的限于一个VLAN，也就是源VLAN。因此它是被强制的，因为该请求将另外反应一种企图，即一个站桥接一个不拥有其它多个VLAN的VLAN，某些情况下它是不批准这么做的。VLAN的拥有者可以加入一个新的VLAN，从而它的所有成员站也成为新的VLAN的成员。
来自创建者的请求者的认证通过桥接器的控制信道和相应的Auth/Supplicant模块50、52、54变得更为方便。桥接器使用信道转播在创建者和请求者之间的认证协议信息。控制信道和转播信息的管理可以使用例如用于局域网和城域网的IEEE 802.1X IEEE标准基于网络接入控制IEEE Std802.1X-2001的端口实现。在802.1x模式中，请求者是Supplicant，而创建者是Authenticator。假如创建者可以认证请求者，那么当SA持有桥接器时，创建者与请求者共享SA。当SA持有桥接器时，决定是否将创建者与请求者共享SA不是桥接器的职责。这是创建者的职责。有很多方法可以完成共享。一个方法是使用请求者的公用密钥去加密运输层安全(TLS v1.0)预主密(pre-master secret)，其中SA可以得自请求者的站。
在逻辑端口的入口过滤一个安全关联包含至少两个密钥，一个用于加密，另外一个用于计算鉴别码，此处称作消息完整性编码(MIC)。特别地，SA与VLAN相关。鉴别码在逻辑端口用来限制全部的VLAN的成员业务，加密用来保持除成员之外的专用业务。仅仅具有SA的站属于VLAN。有单个广播区域用于每一个SA。所有具有SA的站属于相同的广播范围。因此，没有独立的加密密钥需要广播。
根据多个逻辑端口与VLAN相关的优点，物理端口可以服务多于一个VLAN(参见图1)。因此，除非在这样的端口接收的帧载波一个VID，它的VLAN分类必须使用基于端口的分级之外的规则。参看IEEE 802.1Q，IEEE标准用于局域网和城域网虚拟桥接局域网IEEE标准802.1Q-1998，D.2.2。否则，没有办法去知道眼下哪个VID应该从该端口服务的多个VLAN中被分配。必须通过接收帧识别逻辑端口。
结合下列论述参见图8。假如接收帧载波一个空VID或是未加标签的(400)，那么它的源MAC地址用来确定一个初级的VLAN分类(402)。这是逻辑端口的PVID。假如该帧载波一个VID，那么VID被用作初级分类代替(404)。该初级分类用来索引进入给出MIC密钥的安全关联表(406)。接收帧载波一个MIC，所述MIC在使用例如HMAC-MD5的消息摘要算法的帧负载上计算以及由桥接器和请求者在认证时间同意并记录在SA中。该个人VLAN桥接器使用它的MIC密钥在接收帧的负载上重新计算MIC(408)，然后把它与接收的MIC相比较(410)。如果他们匹配(412)，那么初级的VLAN分类成为最终的VLAN分类(414)。最终的分类被用作任何相应原始数据请求的VLAN分类参数值(416)。于是使用SA解密帧，然后按照IEEE802.1Q前向转发和学习过程(41)。否则，该帧被丢弃。
在逻辑端口的出口过滤在VLAN桥接器模式下，假如用于属于某些VLAN的帧的传输端口不是VLAN的成员组，那么该帧被丢弃。相同的规则应用于全部逻辑传输端口。
虽然本发明于此参照优选实施例进行了描述，但是本领域熟练的技术人员将很容易地理解在不脱离本发明的精神和范围的情况下，其它的申请可以代替这里的阐述。因此本发明将仅仅由下文包括的权利要求限制。
权利要求
1.一种在多个与接入点相关的站中分离业务的设备，包括一个局域网段；和一个用于把理论上的所述局域网段划分成多个虚拟桥接局域网(VLAN)的个人虚拟桥接局域网(个人VLAN)。
2.按照权利要求1的设备，所述个人VLAN进一步的包括一个用于仅仅前向转发单播和群播帧(unicast and group frames)到服务于帧所属VLAN的端口的VLAN桥接器。
3.按照权利要求1的设备，所述个人VLAN进一步的包括一个用于VLAN发现的协议。
4.按照权利要求1的设备，所述个人VLAN进一步包括用于允许一个站建立服务于新VLAN的新端口，或允许经由认证协议加入一个现存的VLAN的装置。
5.按照权利要求1的设备，所述个人VLAN进一步包括一个或多个逻辑端口，其中个人VLAN桥接器可以保持在每一物理端口多于一个逻辑端口，并桥接在任何种类的端口之间。
6.按照权利要求1的设备，所述个人VLAN进一步的包括用于密码的VLAN分离的装置，其中在个人VLAN中，一个逻辑端口服务于一个以上VLAN，而且因为每一物理端口可能有多于一个逻辑端口，所以多于一个VLAN可以存在于一个物理端口上。
7.按照权利要求1的设备，其中在一个VLAN内的业务依据密码编码学在相同的物理端口上与另一个VLAN分离。
8.按照权利要求1的设备，其中鉴别码唯一地识别一个业务所属的VLAN，同时除了对VLAN成员之外，加密的另一个等级保持业务保密。
9.按照权利要求1的设备，所述个人VLAN进一步的包括扩展协议包括IEEE 802.1Q-1998(虚拟桥接LAN)协议。
10.按照权利要求1的设备，进一步包括用于提供通过路由器支持的第2层VLAN的装置。
11.按照权利要求1的设备，进一步包括当个人VLAN容许STA建立VLAN时，实现生成树算法的装置，这里该STA本身是一个桥接器。
12.一种用于分离在多个与接入点相关的站中的业务的方法，包括步骤提供一个分布系统，包括多虚拟局域网(VLAN)，其中每个和所述接入点相关的站可以建立一个具有其本身的新VLAN，并且所述分布系统作为新的VLAN的成员，其中新的VLAN的创建者可以认证那些希望加入所述新VLAN的站；和分离在信任和不信任站之间的业务，即使他们和相同的接入点相关。
13.按照权利要求12的方法，进一步的包括步骤发现现存的VLAN。
14.按照权利要求12的方法，进一步的包括步骤加入一个现存的VLAN。
15.一种用于分离在多个与接入点相关的站中的业务的方法，包括步骤提供一个用于虚拟局域网(VLAN)发现的协议；允许一个站建立服务新VLAN的新端口，或允许加入一个现存的VLAN。保持每一物理端口多于一个逻辑端口；和提供加密的VLAN分离，其中在一个VLAN内的业务依据密码编码学与在相同的物理端口的上的另一个VLAN分离。
16.按照权利要求15的方法，进一步包括步骤提供一个唯一地识别业务所属VLAN的鉴别码
17.按照权利要求16的方法，进一步包括步骤提供加密机制用于除了对VLAN成员之外，保持业务保密。
18.按照权利要求15的方法，进一步包括步骤提供用于每一个端口的个人VLAN控制信道，用于发送和接收控制帧和认，证协议帧。
19.一种在一个用于分离在多个与接入点有关的站中的业务的系统中，用于虚拟局域网(VLAN)发现的设备，包括一个个人VLAN桥接器，用于把一个理论上的局域网段划分成多个VLAN；和服务器和客户端VLAN发现代理与所述VLAN桥接器相关，用于发现其它VLAN和/或允许所述VLAN桥接器服务的多个VLAN被发现。
20.按照权利要求19的设备，进一步的包括用于发送一个发现帧的装置。
21.按照权利要求20的设备，进一步包括在响应中，用于发送一个VLAN-OFFER帧到所述发现帧的源MAC地址的装置；其中所述提供帧列出至少一些由桥接器服务的VLAN和可以用来从VLAN中选择的信息。
22.按照权利要求19的设备，进一步的包括用于接收一个服务于新VLAN的请求的装置。
23.按照权利要求22的设备，其中所述请求包含一个新VLAN的虚拟局域网ID(VID)。
24.一种在一个用于分离在多个与接入点相关的站中的业务的系统中，对一个新的虚拟局域网(VLAN)请求服务的方法，包括步骤一个通过物理端口的控制信道接收具有源MAC地址的请求帧的桥接器，其中所述MAC地址的持有者是一个请求者；接收所述通过所述控制信道启动关于所述请求者的认证协议的请求帧；假如所述请求者不能被认证或不被批准请求来自所述桥接器的VLAN服务，则丢弃所述请求；假如在使用请求的虚拟局域网ID时没有冲突，则建立一个新的逻辑端口，同时通过哪一个所述请求帧被接收，使得所述新的逻辑端口与物理端口相关。否则，所述桥接器与所述请求者协商一个VID；和更新用于逻辑端口的端口状态信息从而包括安全关联，并与请求者共享该信息，该信息可以有效用于通过所述端口的全部业务(112)
25.一种在一个用于分离在多个与接入点有关的站中的业务的系统中连接一个新虚拟局域网(VLAN)到一个或多个由桥接器的物理端口服务的现存VLAN的方法，包括步骤在控制信道上发送一个join-VLAN请求；认证所述请求，其中假如认证失败，则丢弃所述请求；为通过一组物理端口服务的多个VLAN增加一个服务于源VLAN的逻辑端口到在一组VID中的每个虚拟局域网ID的成员组，该多个VLAN包括多个目的地VLAN；和增加在所述物理端口组中的每个物理端口到所述源VLAN的成员组；和通过对在所述VID组中的VID采取所有未加标签的组的一个联合形成一个所述源VLAN的未加标签组用于由一组物理端口服务的VLAN；其中假如一个请求帧在它的标记首部包含一个空VID，或它是未加标签的，则所述的逻辑端口被增加给在VID组中每个VID的未加标签的组，用于由一组物理端口服务的包括多个目的地VLAN的多个VLAN。
26.一种在一个用于分离在多个与接入点有关的站中的业务的系统中对加入由逻辑端口服务的一个个人虚拟局域网(VLAN)的方法，包括步骤假如源和目的地VLAN具有相同的创建者，并且所述创建者发出一个join-VLAN请求，则丢弃所述请求；假如所述源和目的地VLAN是相同的，并且所述创建者没有发出所述请求，则所述创建者使用会员资格认证所述请求者进入所述个人VLAN内；和在其它情况下，桥接器首先认证所述请求以确信所述请求者是所述源VLAN的创建者；其中假如认证继续，则所述创建者使用会员资格认证所述请求者进入所述目的地VLAN中；和其中所述请求者认证所述创建者以确信所述创建者是所述目的地VLAN的创建者。
27.一种在一个用于分离在多个与接入点有关的站中的业务的系统中认证一个加入由逻辑端口服务的个人虚拟局域网(VLAN)的请求的方法由创建者提供一个具有用于请求者的认证的控制信道的个人VLAN桥接器；所述个人VLAN桥接器使用所述控制信道中继在所述创建者和所述请求者之间的认证协议信息；和假如所述创建者可以认证所述请求者，则创建者与所述请求者共享一个安全关联，该安全关联可以持有所述个人VLAN桥接器。
28.按照权利要求27的方法，进一步包括步骤提供在逻辑端口的入口过滤。
29.根据权利要求27的方法，其中所述安全关联包含至少两个密钥，一个密钥用于加密，而另一个密钥用于计算鉴别码，其中所述安全关联与VLAN相关，其中所述鉴别码用来限制在连接全部VLAN的成员的逻辑端口上的业务，其中加密用来保持除成员之外的专用业务，其中仅仅具有所述安全关联的站属于所述VLAN，和其中所有具有所述安全关联的站属于相同的广播范围。
30.按照权利要求28的方法，其中通过具有与其有关的多个逻辑端口，物理端口可以服务多于一个VLAN。
31.按照权利要求27的方法，进一步包括步骤假如一个接收帧载波一个空虚拟局域网ID(VID)或是未加标签的，则使用它的源MAC地址去确定一个逻辑端口的初级VLAN分类；假如所述帧载波一个VID，则使用所述VID作为所述初级分类代替；使用所述初级分类去索引进入给出鉴别码密钥的安全关联表；所述接收帧在认证时间使用所述个人VLAN桥接器和所述请求者商定一致的并被记载在所述安全关联中的消息摘要算法载波在帧负载上计算的鉴别码；所述个人VLAN桥接器在所述接收帧的所述负载上重新计算所述鉴别码，使用所述鉴别码作为鉴别码密钥；比较所述重新计算的鉴别码和所述接收的鉴别码；其中假如所述重新计算的鉴别码和所述接收的鉴别码匹配，则所述初级的VLAN分类成为最终的VLAN分类；使用所述最终的分类作为任何原始的通信数据请求的VLAN分类参数值；使用所述安全关联解密所述帧；和提交所述解密帧到一个前向转发和学习过程；否则，丢弃所述帧。
32.按照权利要求27的方法，其中假如一个用于属于VLAN的帧的传输端口不在所述VLAN的成员组中，则丢弃所述帧。
33.一种用于分离在与桥接器相关的站中的业务的设备，包括一个使用VLAN分离业务的个人虚拟桥接局域网(个人VLAN)。
34.按照权利要求33备，所述个人VLAN进一步包括与所述个人VLAN相关的装置，用于把一个理论上的局域网段划分成多个VLAN；和一个与所述个人VLAN相关的个人VLAN桥接器，用于仅仅前向转发单播和群播到服务一个所述帧所属的VLAN的那些端口。
35.按照权利要求34的设备，其中所述个人VLAN桥接器在至少任何下列方法中扩展一个标准VLAN桥接器VLAN发现，其中一个个人VLAN桥接器提供一个用于VLAN发现的协议；VLAN扩展，其中一个个人VLAN允许一个站建立一个服务于新VLAN的新端口，或经由认证协议加入一个现存的VLAN；逻辑端口，其中一个个人VLAN桥接器保持每一物理端口多于一个逻辑端口，并且该桥接器种接在任何类桥的端口之间；和加密的VLAN分离，其中在一个个人VLAN中，一个逻辑端口服务于至多一个VLAN，因为每一物理可能有多于一个逻辑端口，多于一个VLAN可以存在于一个物理端口上。
36.按照权利要求35的设备，其中在一个VLAN内的业务依据密码编码学在相同的物理端口上与另一个VLAN分离。
37.按照权利要求35的设备，其中鉴别码唯一地识别一个业务所属的VLAN，加密的另一个等级用来保持除VLAN的成员之外的专用业务。
全文摘要
一种用于分离在与桥接器相关的STA中的业务的机制，这里称作个人虚拟桥接局域网(个人VLAN)，是基于通过利用一个VLAN分离业务的。IEEE802.1Q－1998(虚拟桥接LAN)协议提供一个通过本发明扩展的机制以在理论上把一个局域网段划分为多个VLAN。在优选实施例中，VLAN桥接器仅仅转发单播和群播帧(unicast and group frames)到服务于帧所属的VLAN的端口。本发明的一个实例扩展该标准VLAN桥接模型以提供一个适合于在AP内使用的机制。在一个优选实施例中，个人的VLAN桥接器在至少任何下列方法中扩展了标准VLAN桥接器VLAN发现，其中一个个人VLAN桥接器提供一个用于VLAN发现的协议；VLAN扩展，其中一个个人VLAN允许一个站建立一个服务于新VLAN的新端口，或经由认证协议加入一个现存的VLAN；逻辑端口，其中一个个人VLAN桥接器保持每一物理端口多于一个逻辑端口，并且该桥接器桥接在任何种类的端口之间；和加密的VLAN分离。
文档编号H04L29/06GK1606849SQ02825771
公开日2005年4月13日 申请日期2002年2月1日 优先权日2001年12月20日
发明者丹尼斯·迈克尔·沃尔帕诺 申请人:克雷耐特系统公司