专利名称:无线接入点之间的安全漫游的制作方法
技术领域:
本发明涉及无线局域网,尤其涉及便于在无线接入网上的无线接入点之间的漫游(roaming)的方法和系统。
背景技术:
近年来,基于IEEE 802.11的无线局域网(WLAN)已经成为许多研究和开发的焦点。WLAN提供简单的、易于使用的高吞吐量通路,其中便携式计算机的用户可以脱离有线世界的束缚并且以相当的网络吞吐量自由移动。然而,当用户从一个接入点移动到另一个接入点时,需要提供无缝漫游。当前的技术无法完全满足这一要求。
在大多数当前应用中,IEEE 802.11使用静态有线等效加密(WEP)密钥并且不支持每个用户的会话密钥,因此,参与漫游的无线站(通常是客户端)和所有接入点可以具有相同的静态WEP密钥。然而,与静态WEP密钥相关的安全问题已经广为人知。此外,静态WEP密钥协议不解决将授权信息分发给大量接入点的问题。为解决这一问题,IEEE 802.11标准正试图开发接入点间协议(IAPP)。
通过使用端口控制的接入控制,IEEE 802.1x标准解决了IEEE802.11中的安全问题。在一个大的802.1x设施中,一个后端验证服务器对用户进行验证。为了使得无线链路安全,无线站必须通过一个涉及该站、接入点和该验证服务器的验证处理。如果验证成功,在无线站和接入点之间就一个会话密钥达成一致。该解决方案允许漫游,但是是在高开销的情况下,也就是说,每当一个站与一个不同的接入点相关联时(例如由于信号波动),必须执行整个验证处理。这是很不理想的,特别是当验证处理器远离无线LAN的时候,例如在网络互联环境中,其中WLAN例如在JFK机场内,而验证服务器则例如属于加州的SBC。
因此,当无线用户(客户端)希望切换到信号强度更好的接入点时需要提供无缝漫游。
此外,当客户端在无线接入点之间漫游时,需要将每个用户的会话密钥和授权信息从一个接入点移动到另一个接入点。
发明概要下面将看到,本发明将满足所述需要和其它需要,本发明的一方面包括一个无线局域网,该无线局域网包括网关以便控制多个接入点。所述接入点位于有线网络或者其它类型的网络中。该网关被编程来从各接入点接收会话数据请求、查找会话数据以及将会话数据发送回到发出请求的接入点。所述接入点被编程来将对于会话数据的请求发送到网关并且从网关接收和处理会话信息设置命令。包括这种网关的系统将无线网络的“智能”移到这种网关中,从而得到非常简单的接入点,这对于大型应用允许更简单的控制和更经济的设施。
在另一方面,本发明包括一种允许在网络中的无线接入点之间的无线客户端漫游的方法和计算机可读介质,该方法包括在该网络中提供一个网关;将会话数据请求从各接入点发送到该网关;查找存储在该网关中的会话数据;如果未找到会话数据则报告会话数据失败;以及如果找到会话数据或者由该网关生成会话数据,则从该网关向所述接入点发送一个会话数据响应。
本发明可以对IEEE 802.1x协议进行补充,并且大大降低了该协议的复杂度。
图1中说明了本发明的系统的基本体系结构,其中使用一个网关来控制多个具有简单功能的接入点。所述接入点可以直接连接到该网关,或者可以通过网络连接到该网关。除了常规的IEEE 802.11物理层和MAC层功能之外,这些接入点只需要支持以下的附加功能每个站的会话密钥;用来从该网关接受会话信息(例如会话密钥和授权信息)设置命令的接口;以及向该网关查询会话信息以及从该网关传送会话信息的能力。
其中,该第一功能当前在市场中的许多接入点上已经广泛可用。另外两个功能则是新颖的。
本发明还提供了在客户端漫游到一个不同的接入点之后、处理该无线站(客户端)先前与之关联的接入点上的信息的方法。在第一方法中,网关通知该先前接入点以移除所述信息。在第二方法中,接入点建立一个定时器,以便在停用一段时间之后移除所有的闲置无线站条目。第二方法是优选的,因为网关不需要发送一个额外的命令来移除所述条目,并且所述AP可以维持该条目以便对付“颠簸(thrashing)”的情况,其中无线站在两个或多个接入点之间相当快速地振荡。因为所述条目已经存在,所以接入点可以向网关查询信息的“新鲜性”,而无须传送所有的会话信息。如果会话信息只包含会话密钥的话,那么这么做看起来没有什么,但是如果会话信息很大,那么这么做将会快得多并且可以节省带宽。
处理或者传送在接入点处生成的会话信息与处理或者传送在网关处生成的会话信息有所不同。
必须将会话信息传送到网关,因此网关必须提供用来接受会话信息的接口,并且必须增强接入点以使其具有将会话信息传送到网关的能力。在图3中说明了这一点。
当在网关处生成会话信息时,必须将会话信息传送到与无线站相关联的接入点。除了早前提到的基本功能之外,在接入点处不需要附加的功能。
为了使得所述方案安全,在任何时间都必须确保网关和每个AP之间的连接是受信任的。这可以通过物理保密或加密来实现。
物理保密要求将接入点直接附着到网关或通过受控制网络附着到网关。
加密要求在初始的安装和配置之后,网关和各接入点共享一个机密(secret),或者网关和每一个接入点共享一个机密。在网关和各接入点之间的通信用所述机密进行加密。
为了本发明的大型应用以及为了便于更快速的漫游,可以将多个网关组织成一个分级结构。其中每个网关负责多个接入点。当无线站在属于同一个网关的各接入点之间漫游时,由该网关控制会话传送。只有当所述无线站第一次与所述WLAN相关联或者当该无线站跨越属于不同网关的接入点漫游时,才有必要令网关从更高级别的网关中荻取会话信息。
附图简述图1说明了本发明的系统的一个实施例,该系统在有线网络中具有一个网关,该有线网络包括各接入点。
图2说明了根据本发明的、在无线站、接入点和网关之间的验证和关联处理的第一实例的流程图。
图3说明了根据本发明的、在无线站、接入点和网关之间的验证和关联处理的第二实例。
图4说明了根据本发明的、在无线站、接入点和网关之间的验证和关联处理的第三实例。
具体描述首先参照图1,图1示出了根据本发明的系统的一个实施例,其中接入点11、12、13连接到有线网络14。其中对于有线网络中的接入点的数目没有限制。智能网关15连接到有线网络14。无线客户端(诸如膝上型计算机16、17和个人数据助理18、19)被示为与接入点11、12、13通信。当前这一代的客户端和接入点使用802.11协议。
接下来参照图2,图2说明了一个处理,其中无线站16在步骤20中请求与接入点11进行关联。接入点11在步骤21中将该会话数据请求中继到网关15。在步骤22中,网关15查找会话数据,如果在步骤23中未找到会话数据,则在步骤24中将会话数据失败信号中继到接入点11,接入点11然后在步骤25中生成会话数据,并且在步骤26中将所生成的会话数据发送到网关15,以及还在步骤27中向无线站16发送一个关联响应。
可以在接入点处生成会话信息(包括会话密钥和授权信息)(如图2所示),或者可以在网关处生成会话信息(如图3所示),其中无线站16在步骤20中请求与接入点11进行关联。该接入点在步骤21中将该会话数据请求中继到网关15。网关15在步骤22中查找会话数据,如果在步骤23中未找到会话数据,该网关在步骤28中生成会话数据,并且在步骤29中向接入点11发送回一个会话数据响应。接入点11在步骤30中加载所述会话数据,并且在步骤27中将关联响应发送回无线站16。
如图2、图3、图4所示,接入点首先对网关进行检查,看看对于所述无线站是否已经存在有会话信息。如果会话信息不存在(如图2、图3所示),则无线站尚未由所述WLAN验证,或者先前的验证已经过期。从而执行常规的验证步骤,以及为该无线站生成会话信息(包括会话密钥)并且在当前关联的接入点和网关中设置该会话信息。
如果会话信息已经存在,例如当无线站从一个接入点漫游到另一个接入点时,网关将会话信息返回到接入点。所述接入点在该接入点中设置该信息(包括会话密钥)。在图4中说明了这样的处理,其中无线站在步骤20中向接入点11发送关联请求,该接入点11将该会话数据请求中继到网关15,该网关15又在步骤22中查找会话数据并找到所述会话数据。所述接入点在步骤29中向接入点11发送会话数据,接入点11随后在步骤30中加载所述会话数据,并且在步骤27中向无线站16发送一个关联响应。
这个简单的程序确保会话信息随着无线站从一个接入点行进到另一个接入点,其间所述无线站无须再次通过验证。
因此,本发明提供了一种安全的无线局域网基础设施,以用于涉及智能网关和简单接入点的无缝漫游。
虽然已经具体描述了本发明,但是在不偏离本发明的精神和范围的情况下,本领域技术人员可以容易地想到各种替换方案、修改和改进。
权利要求
1.一种允许无线客户端在各无线接入点之间漫游的系统,该系统包括一个有线网络中的网关,该有线网络包括各接入点,该网关具有(a)从各接入点接收会话数据请求的装置,所述会话数据包括与每个无线客户端及相关联的接入点相关联的会话密钥;(b)查找会话数据的装置;以及(c)将会话数据发送回发出请求的接入点的装置,所述接入点具有发送请求以向所述网关请求会话数据的装置以及从所述网关接收会话信息设置命令的装置。
2.根据权利要求1所述的系统,其中每个接入点具有维持每个关联客户端的一个会话密钥的装置。
3.根据权利要求1所述的系统,其中所述网关具有在无线客户端不再与接入点相关联后移除会话信息的装置,包括向该接入点发送一个命令以便移除所述会话信息和/或在一个预定停用时间段之后移除闲置的无线客户端条目。
4.根据权利要求1所述的系统,该系统具有确保所述网关和接入点之间的连接受信任的装置。
5.根据权利要求4所述的系统,其中所述装置包括物理保密或加密。
6.一种允许无线客户端在网络中的各无线接入点之间漫游的方法,该方法包括以下步骤(a)在该网络中提供一个网关,将会话数据请求从各接入点发送到该网关,所述会话数据包括与每个无线客户端及相关联的接入点相关联的会话密钥;(b)查找存储在该网关中的会话数据,如果未找到会话数据则报告会话数据失败;以及(c)如果找到会话数据或者由该网关生成会话数据,则从该网关向所述接入点发送一个会话数据响应。
7.根据权利要求6所述的方法,其中由接入点从无线站接收一个关联请求,以及在从所述网关接收到会话数据响应之后,所述接入点加载会话数据并将所述会话数据发送到所述无线客户端。
8.根据权利要求6所述的方法,其中由接入点从无线客户端接收一个关联请求,以及在从所述网关接收到会话数据失败响应之后,所述接入点生成会话数据、向所述网关报告所生成的会话数据并向所述无线客户端发送一个关联响应。
9.根据权利要求6所述的方法,包括在无线客户端与新的接入点相关联之后从先前关联的接入点移除会话信息,其中包括由所述网关向该先前关联的接入点发送一个命令,以便移除所述会话信息或者在一个预定停用时间段之后自动移除闲置的无线客户端条目。
10.根据权利要求6所述的方法,其中所述网关对接入点进行验证,以确保所述网关和该接入点之间的连接是受信任的。
11.根据权利要求10所述的方法,其中所述验证是加密的。
12.一种包含指令的计算机可读介质,当所述指令由一个包括各接入点的有线网络中的网关内的处理器执行时,该计算机可读介质执行以下步骤(a)从各接入点接收会话数据请求,所述会话数据包括与每个无线客户端及相关联的接入点相关联的会话密钥;(b)查找存储在该网关中的会话数据,如果未找到会话数据则报告会话数据失败;以及(c)如果找到会话数据或者由该网关生成会话数据,则从该网关向所述接入点发送一个会话数据响应。
13.一种包括指令的计算机可读介质,当所述指令由一个网络中的无线接入点内的处理器执行时,该计算机可读介质执行以下步骤从无线客户端接收一个关联请求、以及在从网关接收到会话数据响应之后加载会话数据并将所述会话数据发送到所述无线站,所述会话数据包括与每个无线客户端及相关联的接入点相关联的会话密钥。
14.根据权利要求13的计算机可读介质,其中在从所述网关接收到会话数据失败响应之后执行以下步骤生成会话数据、向所述网关报告所生成的会话数据以及向所述无线站发送一个关联响应。
15.根据权利要求13的计算机可读介质,该计算机可读介质执行以下步骤在无线客户端与新的接入点相关联之后从先前关联的接入点移除会话信息;向该先前关联的接入点发送一个命令,以便移除所述会话信息或者在一个预定停用时间段之后自动移除闲置的无线客户端条目。
16.根据权利要求13的计算机可读介质,该计算机可读介质执行以下步骤对接入点进行验证,以确保所述网关和该接入点之间的连接是受信任的。
17.根据权利要求16的计算机可读介质,其中所述验证是加密的
全文摘要
公开了一种允许无线客户端站(16)在各接入点(11)之间漫游的系统、方法和计算机可读介质(图2)。在网络中提供了一个被编程来接收会话数据请求(21)的网关(15),该网络包括各接入点(11),所述接入点被编程来向该网关发送会话数据请求(21)。该网关(15)向发出请求的接入点(11)发送会话信息设置命令,或者向该接入点发送会话数据失败(24)响应。
文档编号H04W88/16GK1784911SQ200480008341
公开日2006年6月7日 申请日期2004年1月29日 优先权日2003年3月27日
发明者J·张, S·马图尔, K·拉马斯瓦米 申请人:汤姆森许可公司