无线局域网接入点的制作方法

专利名称：无线局域网接入点的制作方法
技术领域：
本发明涉及一种用于无线LAN(局域网)的4妄入点(下文中 称作"无线LAN^妻入点")。
背景技术：
无线LAN(局域网)广泛用来提供彼此间隔的多个终端(例 如，PC(个人计算机)、如个人数字助理(PDA)等〗更携终端和包 括计算机的信息处理设备)之间的无线通信。
在无线LAN中，多个终端(从单元)无线连接到共同接入点 (主单元)。接入点在多个终端之间中继信号。
在无线LAN中，产生了对同一无线LAN中的终端之间的安 全通信的需求。为了满足该需求，US 2005/0132193 A1和US 2005/0238172 Al说明了无线LAN中的接入点和终端之间的加 密通信。
为了在无线LAN中的接入点和各终端之间建立加密通信， 需要在接入点和各终端之间进行安全设置，以选择接入,#、和各 终端两者都支持的加密方案的共同安全等级。
连接到同一接入点的多个终端并不总是具有相同的加密简 档(encryption profile)。该"加密简档"包括关于与各终端支持的 安全等级中的最高安全等级相对应的加密能力的条件。例如， 具有低加密能力的终端(如游戏机)和具有高加密能力的终端 (如PC)可能共享同 一接入点。
当具有不同加密能力的多个终端连接到同一接入点时，终 端最终采用的安全等级被不加区别地降低到与这些终端中的最 低加密能力相对应的安全等级。

发明内容
考虑到上述情况，构思了本发明的一个方面，其目的在于 提供对在接入点和各终端之间的无线连接中使用的安全等级的 加密方案进行选择的改进技术。
根据本发明的一个方面，提供了 一种无线LAN(局域网)接 入点，包括多个子接入点，分别向所述多个子4妻入点分配不 同特有标识符，并且所述多个子4妻入点可以相互独立地运4亍， 其中，所述多个子接入点包括支持分别与不同安全等级相关联 的多个加密方案的多个普通子接入点，以及其中，向所述多个 普通子接入点中的每个普通子接入点分配所述多个加密方案中 的一个或多个加密方案，以允许所述多个普通子接入点中的每 个普通子接入点使用所分配的加密方案之一来进行无线通信， 使得各所述普通子接入点的最高安全等级互不相同。
根据本发明的另 一方面，提供了 一种无线LAN(局域网)接 入点，包括壳体；以及设置在所述壳体中的多个子接入点， 所述多个子4妾入点可以相互独立地运^f亍。
根据本发明的又一方面，提供了一种计算机可读介质，具 有所存储的并且计算机可读的计算机程序，所述计算机程序在 被计算机执行时，使所述计算机进行关于无线局域网接入点的 操作，所述无线局域网接入点包括设置在壳体中并且可以相互 独立地运行的多个子接入点，所述操作包括为一个子接入点 选择加密方案，而与为其它子接入点选择的加密方案无关。


图l是与作为全局网的例子的因特网一起示出包括根据本 发明的实施例的无线LAN接入点的无线LAN系统的立体图；图2是示出图1所示的无线LAN接入点的硬件配置的示意性 框图3A是示出图1所示的无线LAN接入点的立体图3B是示出图l所示的终端之一的立体图，其中用于与无 线LAN连接的适配器附接到该终端；
图3C是示出构成图3B所示的终端的主要单元的计算机的 硬件配置的示意性框图4是用于说明与加密方案的类型相关地多路复用的多个 虚拟子AP和无线连接到子AP的多个终端的框图5A和5B示出用于说明图4所示的具有不同可选安全等级 的多个子AP和各子AP根据无线连接到各子AP的终端所支持的 安全等级所选择的安全等级的表的例子；
图6A和6B是示意性地示出分别由各终端和LAN接入点执 行的连接建立程序的流程图7是示意性地示出图6B所示的步骤S201的细节的流程
图8A是示意性地示出图6A所示的步骤S106的细节的流程
图8B是示意性地示出图6B所示的步骤S203的细节的流程
图9是示意性地示出图6B所示的步骤S206的细节的流程
图IO是示意性地示出由图1所示的无线LAN接入点执行的 子AP启动程序的流程图；以及
图ll是示意性地示出由图1所示的无线LAN接入点执行的 子AP停止程序的流程图。
具体实施例方式
将参考附图来详细说明本发明的示例性的、非限制性的实施例。
图l是包括根据本发明的实施例的用于无线LAN的接入点 (下文中简称为"AP")10的无线LAN系统12的立体图。 无线LAN的配置
在无线LAN系统12中，无线LAN 30通过AP IO将多个终端 (无线终端)20、 22和24相互无线连接。也就是说，无线LAN30 包括多个终端20、 22和24以及用于在终端20、 22和24之间中继 信号的AP 10。无线LAN 30通过路由器32连接到WAN(广域网) 或因特网34等全局网(global network)。
AP的功能
AP10用作无线基站，并且也称为主单元。AP10控制允许 各终端20、 22和24与无线LAN 30中的其它终端建立无线通信的 接入权。AP IO还控制使用加密密钥(例如，WEP密钥、TKIP密 钥或AES密钥)来进行加密无线通信的安全等级(加密强度)。
终端的功能
终端20、 22和24中的每个可以与属于同 一无线LAN 30的其 它终端进行无线通信。针对与属于同一无线LAN 30的AP 10的 关系，终端称作站(在附图中简称为"STA")或从单元。终端20、 22和24中的每个可以是诸如个人计算机PC、个人数字助理PDA 或具有内置计算机的信息处理设备等的不同类型的终端。
AP的》更件配置
如在图l中所示，AP10包括壳体40。在壳体40内设置有各 种硬件部件。图2是AP IO的硬件配置的示意性框图。如在图2 中所示，AP10包括计算机。该计算机包括CPU 50、 ROM 52、 RAM 54、能够在断电时保存数据的如硬盘驱动器等非易失性存
储装置56、以及将这些部件相互电连接的总线58。
如在图2中所示，AP10还包括无线通信接口60，用于允
许与各终端20、 22和24进行无线通信；WAN端口62，用于允许
连接到WAN(如因特网34);以及LAN端口64,用于允许连接到
有线LAN(未示出)，以上部件都连接到总线58。
无线通信接口 6 0连接到用于发射无线电波的发射器6 6以及
用于接收无线电波的接收器68。发射器66和接收器68置于AP 10
中，以允许向AP 10外部发射无线电波/接收来自AP IO外部的无
线电波。
AP IO还包括输入/输出控制器(1/0控制器)70,用于允许 从用户输入/输出信息；以及显示控制器72，用于为用户显示信 息，以上两个部件均连"f妄到总线58。
按压型的单触式登记按钮(one-touch register button)80连接 到输入/输出控制器70。如在图3A中所示，单触式登记按钮80 包括操作部81，并且附接到壳体40,使得操作部81暴露于AP 10 的壳体40的表面。CPU 50用于通过输入/输出控制器70检测单触 式登记按钮80的按压状态。因此，当用户按压单触式登记按钮 80时，CPU 50可以检测来自单触式登记按4丑80的输入。如在图 3A中所示，示出了连接到发射器66和接收器68的、用以发射和 接收无线电波的天线82。
如在图2中所示，显示控制器7 2连接到用于指示与无线L AN
30的连接状态和无线LAN 30中的通信状态等各种状态的各个 显示灯84。显示灯84进行点亮和闪烁等多种指示方法，以指示 状态。
如在图l中所示，路由器32包括内置调制解调器，并且通过 线缆33连接到AP IO的WAN端口 62。路由器32通过MAC(介质访 问控制)地址识别各终端20、 22和24。 MAC地址是固定地分配
给附接到终端20、 22和24中的对应终端的无线LAN适配器120、
122和124(参见图l)中的每个的物理地址特有识别信息。
各终端20、 22和24可以通过签约提供者90访问因特网34，
以便从连接到因特网34的服务器92获得期望的WEB内容等信 台
MAC的虚拟多路复用
AP IO可以支持用于对在无线LAN 30上传输的信号进行加 密的不同安全等级的多个加密方案。
在AP IO中，ROM 52具有存储于其上的并且由CPU 50执行 以实现MAC的软件(程序)。如在图4中所示，在CPU 50执行软 件时，AP IO的计算机设置了作为硬件部件的介质访问控制器 IOO(下文中称作"MAC 100")。
如在图4中所示，物理设置了一个MAC 100,但是该一个 MAC IOO可以用作多个虚拟介质访问控制器(下文中称作"虚拟 MAC，，)。图4示出i殳置了四个虚拟MAC,即"虚拟MAC1"、"虛 拟MAC2"、"虚拟MAC3"、"虚拟MACz"的例子。虚拟MAC1、 MAC2和MAC3用于与终端的数据通信等普通无线通信。在向无 线LAN登记另外的终端的登记模式中，虚拟MACz在安全信息 交换期间工作，以进行安全信息的协商。MAC IOO可在CPU 50 上运行，以分时(time sharing)方式处理虛拟MAC1 、 MAC2、 MAC3和MACz的数据，从而允许虚拟MAC1、 MAC2、 MAC3 和MACz基本上并行地运行。虚拟MAC 1 、 MAC2 、 MAC3和MACz 可用于使用分别选择的加密方案来进行加密通信(例如，可以选 择不同的加密方案)。当然，所有虚拟MACl到MACz均设置在 壳体40内。
如在图4中所示，在AP IO上安装了用于实现MAC的软件之 后，AP IO可作为表面上独立地运行的多个虚拟子4妄入点(下文 中称作"子AP")来运行。具体地，在本实施例中，将多个子AP 虚拟地多i 各复用为AP 10，从而与终端20、22和24进4亍实际通信。 子AP1、子AP2和子AP3能够进行具有为各子AP1、子AP2和子 AP3独立地选择的加密方案的加密通信。
子AP的数量(如在图4中所示，在本实施例为4个，下文中 称作"子AP1"、"子AP2"、"子AP3"、"子APz")等于虚拟MACl 到MACz的数量。也就是说，子APl到子APz分别与虚拟MAC1 到MACz相对应。因此，子AP1、子AP2和子AP3可以进行普通 无线通信，以及子APz可以交换安全信息。下文中，将子AP1、 子AP2和子AP3称作"普通子AP"，以及将子APz称作"密钥交换 特殊子AP"。
在本实施例中，在选择各终端20、 22和24与AP IO之间的安 全等级之前，交换安全等级信息，以便获得为各普通子AP选择 加密方案所需要的信息。
在交换安全等级信息时，如果在终端看来接入点的数量是 一，则会4艮便利。在本实施例中，除普通子AP1到子AP3以外， 还设置了专用于交换安全等级信息(例如，交换密钥)的密钥交 换特殊子APz。密钥交换特殊子APz公用于普通子AP1到子AP3 的密钥交换过程。利用虚拟MACz来运行密钥交换特殊子APz。
单独选择加密方案
如在图4中所示，将SSID(服务集ID)分配给每个子AP,作 为其特有的标识符。终端20、 22和24可以基于从各子AP接收到 的SSID来可区分地识别每个子AP。对于普通子AP1到子AP3中 的每个，SSID与普通子AP1到子AP3釆用的加密方案类型(图4 中以"SecType，，表示)和加密密钥值(在图4中以"SecKey"表示)相 互关联。类似地，对于每个终端，终端20、 22和24中的每个4吏 用的子AP的SSID、终端20、 22和24中的每个采用的加密方案类
型与每个终端采用的加密密钥值相互关联。
在图4所示的实施例中，将使用虚拟MAC1的普通子AP1分 配给一个l号终端；将使用虚拟MAC2的普通子AP2分配给一个2 号终端；并且将使用虚拟MAC3的普通子AP3分配给两个支持不 同最高安全等级的3号和4号终端。
在建立与各终端20、 22和24的无线LAN通信之前，AP 10 为虚拟MAC1、 MAC2和MAC3中的每个选择加密方案。从分配 给虚拟MAC1、 MAC2和MAC3中的相应虚拟MAC的加密方案中 选择加密方案，使得所选择的加密方案与要连接到普通子AP1 到子AP3中的相应普通子AP的终端20、 22和/或24所支持的加密 方案匹配。
具体地，虚拟MAC1、 MAC2和MAC3支4寺分别与不同安全 等级相关联的多个加密方案，并且将该多个加密方案中的一个 或多个加密方案分配给虚拟MAC1、 MAC2和MAC3中的每个， 从而允许虚拟MAC1、 MAC2和MAC3中的每个4吏用所分配的加 密方案之一来进行无线通信。也就是说，可以选择虚拟MAC1、 MAC2和MAC3中的每个最终采用的加密方案的安全等级之一 。 AP IO被设计成根据试图无线连接到虚拟MAC1 、 MAC2和 M A C 3中的相应虚拟M A C的终端所支持的加密方案的安全级 别，为普通子AP1到子AP3的每个(即，为虚拟MAC1、 MAC2和 MAC3中的每个)从所分配的加密方案中选择任意加密方案。
例如，多个加密方案包括均在标准IEEE 802.11中定义的 AES、 TKIP、 WEP 128和WEP 64。所有加密方案都是4吏用 一个 秘密密钥来对数据进行加密和解密两者的秘密密钥加密的加密 技术。将这四种加密方案定义为安全等级按所列顺序递减。也 就是说，随着安全等级接近WEP64时，要传输的数据的脆弱性 增大，相反，随着安全等级接近AES时，要传输的数据的机密
性增大。
在图5A示出的例子中，将一个或多个可选加密方案分配結、 普通子AP1到子AP3中的每个，使得分配给各普通子AP1到子 AP3的加密方案的最高安全等级互不相同。如在图5A中所示， 仅将AES(具有最高安全等级的加密方案)作为可选加密方案分 配给普通子AP1。仅将TKIP(具有最高安全等级的加密方案)作 为可选加密方案分配给普通子AP2。将WEP 128和WEP64两种 类型(WEP 128具有更高的安全等级)作为可选加密方案分别分 配给普通子AP3。
因此，将一个或多个可选加密方案分配给普通子AP1到子 AP3中的每个，使得各普通子AP1到子AP3中具有最高安全等级 的加密方案的类型互不相同。
因此，当选4奪AP IO和一个终端(要连接到AP IO所属的无线 LAN的新的附加终端)两者都支持的加密方案，作为该一个终端 最终采用的加密方案时，可以选择该多个普通子AP中具有与该 终端的加密能力 一致的加密能力的普通子AP，作为该终端应该 无线连接到的普通子AP。
只要用户类似地为其它终端选择普通子AP，就可以防止加 密能力大不相同的多个终端与同 一普通子AP之间的连接。因 此，当多个终端连^^妄到AP 10时，防止一个终端最终采用的加密 方案的安全等级降低到与具有最低加密能力的其它终端的加密 能力一致的安全等级。
当加密能力大不相同的多个终端连接到AP IO时，用户可以 在考虑终端的加密能力的情况下，将终端分配给具有不同加密 能力的多个普通子AP。根据该分配，多个终端可以在无需牺牲 各终端的加密能力的情况下连接到AP IO(—个主单元)。
分配给各普通子AP的加密方案的数量可以是一个或多个。
当分配了 一个加密方案时，允许连接到该普通子AP的终端的类
型限于该一个加密方案的类型。相比之下，防止了否则将由连
接到普通子AP的终端的安全等级导致的、普通子AP最终采用的 安全等级的下降的出现。
向普通子API到子AP3分配力口密方案不限于图5A所示的例 子。可以向普通子AP^f壬意地分配加密方案。例如，如在图5B 中所示，将AES分配给普通子AP1，将TKIP分配给普通子AP2， 并将TKIP、 WEP 128和WEP 64分配给子AP3。也就是说，普通 子AP1到子AP3的最高等级可以相同。此外，还可以将具有不同 安全等级的加密方案的集合(例如，AES、 TKIP、 WEP 128和 WEP 64)作为可选加密方案分配给普通子AP1到子AP3至少之
可以将AP 10的^^件配置成^f吏得每个子AP可用于在硬件上 支持预定加密方案。例如，^^件可以^吏子AP1到子AP3中的每个 支持AES、 TKIP、 WEP 128和WEP 64。可以在出货之前或之后 将该预定加密方案中的一个或多个可选加密方案分配给每个子 AP。也就是i兌，可以由制造商预先将可选加密方案相应地分配 给每个子AP，或由用户来分配。
图5A和5B示出要无线连"^妻到AP IO的四个终端4姿乂人上到 下加密能力降低的顺序排列，并且被分配给按该顺序加密能力 依次降低的三个普通子AP。
在图5A和5B的例子中，将具有最高加密能力的l号终端分 配给具有最高加密能力的普通子AP1。将具有第二高加密能力 的2号终端分配给具有第二高加密能力的普通子AP2。将具有第 三高加密能力的3号终端和具有最低加密能力的4号终端分配给 具有最低加密能力(图5A)或具有第二高加密能力(图5B)的普通 子AP3。
在本实施例中，由用户来将终端分配给普通子AP，但是， 可以由CPU 50通过执行其上的指定程序来自动进行该分配。
在图5A和5B中，加方框的加密方案(安全等级)表示所选择 的在普通子AP与终端之间的无线通信中使用的加密方案。根据 可用于普通子AP和终端两者的加密方案(即，分配给普通子AP 并且终端支持的加密方案)来确定所选择的加密方案，并且最终 选择普通子AP和终端之间的最高可用安全等级。选择在一个普 通子AP和终端之间的无线通信中使用的加密方案，而与在其它 普通子AP和其它终端之间的无线通信中使用的加密方案无关。 也就是说，确定l号终端最终采用的安全等级，而与其它2号终 端到4号终端支持的安全等级无关。此外，也同样地确定2号终 端最终采用的安全等级，而与其它l号终端、3号终端、4号终端 支持的安全等级无关。这是因为1号终端和2号终端不与任何其 它终端共享同 一普通子AP。
确定3号终端最终采用的安全等级，而与l号终端和2号终端 支持的安全等级无关，但是必须考虑4号终端支持的安全等级来 确定。
类似地，确定4号终端最终采用的安全等级，而与l号终端 和2号终端支持的安全等级无关，但是必须考虑3号终端支持的 安全等级来确定。这是因为具有不同加密能力的3号终端和4号 终端共享分配了多个类型的加密方案(图5A中为2个，图5B中为 3个)的同 一普通子AP(子AP3)。
尽管在本实施例中选择普通子AP和终端之间的最高可用 安全等级，但是选择安全等级的方法不限于此。在美国申请 10/956,266(公开为US 2005/0132193 Al)和美国申请 11/103,007(公开为US 2005/0238172 Al)中详细说明了确定各终 端20、 22和24最终采用的安全等级的多个具体的示例性技术，
其全部内容通过引用包括于此。
AP的软件配置
图2所示的ROM 52具有各种类型的程序和用于执行存储在 其上的程序的数据，以便与无线LAN 30中的终端20、 22和24 通信，并且访问因特网34。可以将程序和数据预先存储在ROM 52上。
具体地，存储在ROM 52上的程序包括(a)用于实现MAC 的程序(未示出)；(b)连接建立程序(在图6A和6B中示出该处理)， 其由CPU 50执行，以建立与终端20、22和24的连接；以及(c)MAC 地址登记程序(未示出)，其由CPU50执行，以将预先分配给各 终端20、 22和24的MAC地址登记到各普通子AP。将与相应普通 子AP相关联地登记的MAC地址的信息存储在存储装置56上。
图6B中所示的连接建立程序包括(a)加密方案选择模块， 其由CPU 50执行，以为每个普通子AP选择加密方案；(b)加密 密钥设置模块，其由CPU50执行，以为每个普通子AP设置最终 要采用的加密密钥；以及(c)启动控制模块，其由CPU50执行， 以独立地控制每个子A P的启动和停止。
终端的硬件配置
如在图3C中所示，终端20、 22和24中的每个包括计算机 108。计算机108包括通过总线116相互连接的CPU 110、ROM 112 和RAM 114。终端20、 22和24中的每个还包括CD-ROM驱动和 用作存储装置118的硬盘。
如在图l和图3B(图3B仅示出 一个终端20)中所示，无线LAN 适配器120、 122和124可拆除地附接到各终端20、 22和24。无线 LAN适配器120、 122和124用作能够向AP 10发送无线电波/接收 来自AP IO的无线电波的无线LAN连接装置。
在相应的终端20、 22和24中分别安装了各无线LAN适配器
120、 122和124的装置驱动程序，从而各终端20、 22和24可以识 别和控制所附接的无线LAN适配器120、 122和124。预先(固定 地)向各无线LAN适配器120 、 122和124分配作为特有识别号的 MAC地址。
如在图3B中所示，单触式登记按钮130、 132和134附接到 各无线LAN适配器120、 122和124。终端20、 22和24中的每个的 CPU 110能够检测登记按钮130、 132和134中的相应登记按钮的 按压状态。因此，当用户按压单触式登记4姿確丑130(132、 134) 时，CPU IIO可以检测来自单触式登记按钮130(132、 134)的输 入。
终端的软件配置
在与无线LAN 30连接之前，在终端20、 22和24中的每个的 ROM 112上安装特定实用程序。该实用程序包括(a)加密方案 选择模块，其由CPU110执行，以从终端20(22、 24)支持的加密 方案中选择最终要采用(用于无线通信)的加密方案；以及(b)加 密密钥设置模块，其由CPU IIO执行，以设置在无线通信中使 用的所选择的加密密钥，即最终要采用的加密密钥。
连接建立
参考图6A和图6B，将详细说明由AP 10和终端20、 22和24 执行的、用以建立AP 10与终端20、 22和24之间的连接的处理。 参考图6A和图6B，将仅以建立AP 10和终端20之间的连接为例 来说明连接处理。然而，可以通过该连接处理来建立AP IO和终 端22或24之间的连接。在此，将终端20、 22和24中试图与AP 10 建立连接的终端称作"目标终端"。因此，在以下说明中，目标 终端是终端20。
在目标终端20和AP IO位于预定距离内的状态下，可以通过 操作与目标终端20相关联的单触式登记按钮130和AP IO的单触
式登记4安钮80来启动连4妄处理。
用户可以通过操作操作单元(未示出)来从多个虚拟多路复 用的普通子AP中选择目标子AP。当AP IO接收到来自#:作单元 的输入时，AP IO选择指定的普通子AP作为目标子AP。此后， 当用户操作单触式登记按钮80时，目标子AP启动连接处理，从 而一次(在一个连接处理中)仅与终端20、 22和24之一(在这个例 子中，目标终端20)连接。
因此，当所有多个终端20、 22和24最终都需要连接到单个 目标子AP时，每当用户操作单触式登记按钮80和用户从多个终 端20、 22和24中选择的一个终端的单触式登记按钮(130、 l32 或134)两者时，所选4奪的终端20、 22或24—次一个地连接到该 单个目标子AP。
然而，目标子AP可以响应于来自单触式登记按钮80的输 入，请求一次与多个终端20、 22和24连接。
在图5A所示的例子中，将一个或多个加密方案分配给每个 普通子AP，使得各普通子AP中具有最高安全等级的加密方案的 类型互不相同。因此，用户可以在考虑安全等级的情况下选择 任意普通子AP作为目标子AP,以便与目标终端，即目标终端的 加密能力一致。例如，用户可以根据图5A所示的技术及相关说 明来选择目标子AP。
图6A的流程图示出与终端20的CPU 110执行加密方案选择 模块和加密密钥设置模块时的处理相对应的、由终端20进行的 连接处理。相反，图6B的流程图示出与CPU50执行加密方案选
择模块、加密密钥设置模块和启动控制模块时的处理相对应的、 由AP 10进行的连4妄处理。
当目标终端20的用户希望启动与AP 10的连"t妻时，目标终端 20的用户操作设置在附接到目标终端20的无线LAN适配器120
处的单触式登记按钮130和AP 10的单触式登记按钮80。
在步骤S100中，当目标终端20的CPU 110^r测到来自单触 式登记按钮130的输入时，目标终端20在步骤S101中进入单触 式登记模式。
当进入单触式登记模式时，目标终端20指定无线LAN适配 器120的MAC地址，并且创建通过将该MAC地址作为头信息添 加到用于请求登记到无线LAN 30的数据所形成的包，然后，目 标终端20将该包发送到可连接的接入点。当接入点接收到MAC 地址时，接入点登记接收到的MAC地址。
然后，在步骤S102中，目标终端20判断从完成步骤S101开 始是否经过了预定时间段。如果还未经过预定时间段(步骤SIOI 中的"否，，)，则在步-骤S103中，目标终端2(M臾索处于单触式登记
模式的接入点。
当仅AP IO可连接到目标终端时，目标终端20最终判断AP IO是否已经进入单触式登记模式。在本实施例中，处于单触式 登记模式的AP lO虚拟地用作一个密钥交换特别子APz，并且密 钥交换特殊子APz发送特定信标。
当目标终端20接收到所发送的信标时，目标终端20判断为 存在处于单触式登记模式的接入点(AP 10(=密钥交换特殊子 APz))(步骤S103中的"是，，)。当步骤S103的结果是"否"时，处理 返回到步骤S102。当目标终端20在从完成步骤S101开始经过的 时间超过预定时间段之前，判断为步骤S103的结果是"是"时， 处理进入到步骤S104;否则(步骤S102中的"否)，处理进入到目 标终端20退出单触式登记模式并且结束当前连接处理的步骤 S112。
在步骤S104中，目标终端尝试与处于单触式登记模式的AP IO连接。然后，在步骤S105中，判断连接重试的次数是否超过
了预定次数以及是否应当再次进行重试。如果重试次数超过了
预定次数(步骤S105中的"是")，则处理进入到步骤S112，以退 出单触式登记模式。
当目标终端20在重试次数未超过预定次数(步骤S105中的 "否")的情况下，成功与处于单触式登记模式的AP IO连接时， 处理进入到步骤S106。
在步骤S106中，目标终端20与AP IO(具体地，密钥交换特 殊子APz)交换包括安全等级信息的包。具体地，为了获得AP 10 支持的加密方案，目标终端20与AP IO协商加密方案的类型，即 加密方案的加密能力。
然后，在步骤S107中，判断包交换子例程是否完成。如果 包交换子例程还未完成，则处理返回到步骤S106。如果包交换 子例程已经完成，则处理进入到步骤S108。因此，作为将步骤 S106的过程重复执行所要求的次数的结果，完成包交换子例 程。
另一方面，在AP10的连接处理中，AP IO的CPU 50在步骤 S200中检测用户操作的单触式登记按钮80的输入，并且在步骤 S201中，AP IO进入单触式登记沖莫式。
如在图7中所示，AP IO进入单触式登记模式，在如图7所示 的步骤S601中启动密钥交换特殊子APz。然后，使得密钥交换 特殊子APz有效，并且密钥交换特殊子APz发送特定信标。此外， 当密钥交换特殊子APz接收到来自目标终端的包括目标终端20 的MAC地址的包时，AP10登记接收到的包。
然后，在图6B所示的步骤S202中，AP IO判断从完成步骤 S201开始是否经过了预定时间段。如果还未经过预定时间段(步 骤S202中的"否")，则在与步骤S106基本相同的时间进行步骤 S203。相反，如果从完成步骤S201开始经过了预定时间段(步骤 S202中的"是")，则处理进入到AP IO退出单触式登记模式的步 骤S208。在这种情况下，当前连接处理结束。
在步骤S203中，AP IO(密钥交换特殊子APz)与目标终端20 交换包括安全等级信息的包。具体地，为了荻得目标终端20支 持的加密方案，AP IO与目标终端20协商加密方案的类型，即加 密方案的加密能力。
然后，在步骤S204中，判断包交换子例程是否完成。如果 包交换子例程还未完成，则处理返回到步骤S202。相反，如果 包交换子例程已经完成，则处理进入到步骤S205。因此，作为 将步骤S203的过程重复执行所要求的次数的结果，完成包交换 子例程。
如上所述，目标终端20和AP IO(密钥交换特殊子APz)在基 本相同的时间进行步骤S106和S203，从而在目标终端20和AP IO之间交换包括安全等级信息的包。
安全等级信息的交换
以下是步骤S106和S203中的用于在目标终端20和AP IO之 间交换安全等级信息的包交换子例程的详细时序说明。图8A和 图8B是分别示出步骤S106和步骤S203的细节的流程图。
子步骤S1
首先，目标终端20向AP 10发送^"求，以准备安全信息。 子歩骤S2
然后，当AP IO接收到该请求时，作为对该请求的响应， AP IO向目标终端发送回复。AP IO还针对分配纟合目标子AP的所 有多个加密方案中的每个，确定表示加密方案类型的SecType 和表示加密密钥值的SecKey。结果，安全信息(即，关于可选加 密方案的类型的信息)准备完成。
在本实施例中，如上所述，将AP IO虛拟地多路复用为多个
普通子AP，使得AP IO可以使用不同类型的加密方案来与各终 端20、 22和24进行实际通信。也就是说，AP IO可以以多AP模 式运行。
子歩骤S3
然后，目标终端20向AP IO发送表示目标终端支持的加密方 案的类型的数据。例如，如在图5A和5B中的1号终端所示，当 目标终端支持AES、 TKIP、 WEP 128和WEP 64时，目标纟冬端20 向AP IO发送表示这四个加密方案的类型的数据。
子步骤S4
AP IO基于从目标终端20接收到的数据来指定目标终端20 支持的加密方案。然后，AP IO从所分配的加密方案中检索分配 给目标子AP的并且目标终端20也支持的加密方案，并且将所检 索到的加密方案确定为可用于目标子AP和目标终端20之间的 无线通信的加密方案。
例如，如在图5A和5B中所示，在分配给普通子AP的加密 方案只有AES,并且如l号终端所示，目标终端支持AES、 TKIP、 WEP 128和WEB 64的情况下，目标子AP和目标终端两者共同的 可用加密方案只有AES。因此，在这种情况下，由于目标终端 的限定，检索目标子AP的可用加密方案，并且将其确定为只有 AES。
以上是目标终端20在步骤S106中和AP 10在步骤S208中执 行的安全信息包交换子例程。在包交换子例程的过程期间，目 标终端20和AP 10彼此指定MAC地址并且与彼此进行加密通信。
如在图6B中所示，在完成包交换子例程之后，处理进入到 步骤S205，在步骤S205中，AP IO对目标子AP设置安全等级信 自、
在图8B中示出步骤S205的细节。在步骤S401中，AP10(目 标子AP)选择作为最终要采用的加密方案的候选的候选加密方 案。在这个步骤中，AP IO选择目标终端20报告的加密方案类型 中具有最高安全等级的加密方案作为候选加密方案。
例如，当目标终端20将AES、 TKIP、 WEP 128和WEP 64报 告为加密方案时，由于具有最高安全等级的加密方案对应于 AES,因此在步骤S401中选择AES作为候选加密方案。
然后，在步骤S402中，目标子AP将在步骤S401中选择的候 选加密方案的安全等级与当前最高安全等级进行比较。"当前最 高安全等级"指已经为目标子AP设置的加密方案。
当目标子AP首次与目标终端20交换安全信息包时，未为子 AP设置加密方案。因此，目标子AP从目标终端报告的加密方案 中选择具有最高安全等级的加密方案。
然而，当目标子AP不是首次与目标终端20交换安全信息包 时，由于已经无线连接到目标子AP的其它终端的加密方案，已 经为目标子AP设置的加密方案的安全等级可能低于在步骤 S203中确定的最高可用等级。因此，由目标终端报告的加密方 案的安全等级并不总是与当前最高安全等级一致。
如果候选加密方案的安全等级高于当前最高安全等级(步 骤S402中的"是")，则在步骤S403中，加密方案维持为当前设置 的加密方案。因此，目标子AP的安全等级维持在当前最高安全 等级。
例如，如在图5B中所示，在目标子AP是具有三种类型的加 密方案(TKIP、 WEP 128和WEP 64)的子AP3，并且存在包括支 持TKIP、 WEP 128和WEP 64的3号终端和支持WEP 128和WEP 64的4号终端的两个目标终端的情况下，目标子AP和3号目标终 端与4号目标终端共同的可用加密方案包括两种类型，即WEP
128和WEP 64。因此，为了将3号终端和4号终端两者连"t妄到子 AP3，由于目标终端的限定，目标子AP的可用加密方案限制成 两种，即WEP 128和WEP 64。因此，在这种情况下，具有可用 最高等级的加密方案是最终要采用的WEP 128。在4号终端已经 连接到子AP3(即，已经为子AP3i殳置WEP 128,作为当前最高 安全等级)，并且当前目标终端是3号终端的情况下，3号终端支 持的最高安全等级是TKIP,但是TKIP高于当前最高安全等级 (WEP128)。因此，根据步骤403,选择当前最高安全等级(WEP 128)。
相反，如果候选加密方案的安全等级不高于当前最高安全 等级(步骤S402中的"否，，)，则在步骤S4(M中，目标子AP采用候 选加密方案。
顺便提及，步骤S402到S404期间的过程的细节反映设置安 全等级的策略。因此，用于设置安全等级的选择方法不限于本 实施例，并且可以应用任何其它方法。例如，所引用的美国申 请10/956，266和11/103，007说明了基于各种安全策略来设置安 全等级的例子。
当AP IO完成安全信息包交换子例程时，在步骤S205中设 置安全信息，以反映步骤S203的结果。
具体地，设置信息以表示(a)在步骤S403或S斗04(参见图 8B)中确定的加密方案的类型与最终用于在目标子AP和目标终 端20之间建立的加密通信的加密方案的类型相对应；以及(b) 与加密方案的类型相对应的目标终端的ID(即，站ID)和加密密 钥值用于后续无线通信的加密和解密。在步骤S205中设置的信 息存储在存储装置56上。该信息可以与目标子AP的SSID相关联 地存储，作为安全设置信息。
然后，处理进入到图6B所示的步骤S206，以对各子AP进行
启动控制子例程。
在图9所示的流程图中示意性地说明了步骤S206中的子例 程的细节。在步骤S501中，判断是否存在关于可连接到普通子 AP1的终端的信息。具体地，判断是否存在存储在存储装置56 上的、与普通子AP1相关联地登记的终端的MAC地址。如果存 在该信息，则在步骤S502中启动普通子AP1。相反，如果不存 在该信息，则在步骤S503中停止普通子AP1。
类似地，在步骤S504中，判断是否存在关于可连接到普通 子AP2的终端的信息。如果存在该信息，则在步骤S505中启动 普通子AP2。如果不存在该信息，则在步骤S506中停止普通子 AP2。
此外，在步骤S507中，判断是否存在关于可连接到普通子 AP3的终端的信息。如果存在该信息，则在步骤S508中启动普 通子AP3。如果不存在该信息，则在步骤S509中停止普通子 AP3。
当完成了图6B所示的步骤S206时，在步骤S207中，针对每 个启动的普通子AP,将AP IO的操作模式从单触式登记模式切 换到普通无线通信模式。如果步骤S202的结果是"是"，则APIO 在步骤S208中类似地退出单触式登记模式。然而，在这种情况 下，在既没有完成包交换也没有完成安全等级的登记的状态下 退出单触式登记模式。
相反，当目标终端完成了包交换子例程时，在步骤S108中 判断从步骤S10 7中的判断结果变为"是"开始经过的时间是否已 经超出预定时间段。如果经过的时间还未超出预定时间段(步骤 S108中的"否")，则在步骤S109中，判断是否基于AP IO接收到 的安全信息从启动普通子AP中发现了处于无线通信模式的普 通子AP。
具体地，目标终端20获得可接入的普通子AP的SSID。按照 在IEEE 802.11标准中规定的通信标准来进行这个处理。因此， 特定信标包括普通子AP的SSID。当接收到从普通子AP发送的 特定信标时，目标终端20可以获得当前可接入的普通子AP的 SSID。目标终端20将所获得的普通子AP的SSID与先前所接收 到的安全信息进行比较。作为比较的结果，目标终端20指定普 通子AP用来建立与目标终端20的通信(加密和解密)的加密方 案，并指定加密密钥的值。
如果在没有找到启动的并且处于无线通信模式的普通子
(步骤S108中的"是")，则在步骤S112中，AP10退出当前的单触 式登记模式。
相反，如果在从完成步骤S107开始经过的时间超出预定时 间段之前，找到了启动的并且处于无线通信模式的普通子 AP(步骤S109中的"是")，则处理进入到步骤SllO。
在步骤S110中，根据所找到的普通子AP的状态来将从普通 子AP接收到的安全信息设置在目标终端20中。然后，目标终端 20使用包括在从普通子AP接收到的安全信息中的加密方案类 型和加密密钥值来进行后续的加密与解密。
然后，在步骤S111中，将目标终端20连接到所找到的普通 子AP。然后，目标终端20启动用于周期性地监视与普通子AP 的连接状态的连接监视模式。
所引用的美国申请10/956,266和11/103，007说明了用于监 视连接状态的一些例子。因此，在此省略重复的技术说明。
初始设置之后的子A P的停止
AP IO的ROM 52具有存储于其上的并且CPU 50可读的子 AP停止程序。
根据子A P停止程序的执行，在响应于单触式登记按钮8 0的 首次操作，与终端20、 22和24至少之一建立连4娄之后，即在完 成各终端要采用的加密方案类型的首次协商之后，AP IO周期性 地监视与终端20、 22和24中的每个的连接状态。在连接状态的 监视期间，AP 10停止没有与终端20、 22和24中的任一终端连接 的子AP的操作。
图IO是示意性地示出子AP停止程序的流程图。当启动AP 停止程序时，在步骤S601中判断普通子AP1是否与终端20、 22 和24至少之一连接。如果普通子AP1未与终端20、 22和24中的 任一终端连接(步骤S601中的"否，，)，则AP 10在步骤S602中停止 该普通子AP1 。
相反，如果终端20、 22和24至少之一与普通子AP1连接(步 骤S601中的"是，，)，则处理跳过步骤S602并且进入到步骤S603。
在步骤S603中，判断终端20、 22和24至少之一是否与普通 子AP2连接。如果普通子AP2未与终端20、 22和24中的任一终端 连接(步骤S603中的"否，，)，则AP 10在步骤S604中停止该普通子 AP2。
相反，如果终端20、 22和24至少之一与普通子AP2连接(步 骤S603中的"是，，)，则处理跳过步骤S604并且进入到步骤S605。
在步骤S605中，判断普通子AP3是否与终端20、 22和24至 少之一连接。如果普通子AP3未与终端20、 22和24中的任一终 端连接(步骤S605中的"否，，)，则AP 10在步骤S606中停止该普通 子AP3。
相反，如果终端20、 22和24至少之一与普通子AP3连接(步 骤S605中的"是")，则处理跳过步骤S606并且进入到步骤S607。
在步骤S607中，AP IO等待给定时间I爻。然后，AP10再次 进行步骤S601到S606。重复进行步骤S601到S607,直到AP 10
的电源关闭。因此，对各普通子AP周期性地监视与各终端20、 22和24的连接状态。
才艮据子A P停止程序的执行，在响应于单触式登记按钮8 0的 首次操作，建立AP IO与多个终端20、 22和24之间的连接之后， 在终端20、 22和24至少之一从无线LAN 30退出并且之后与该退 出相关联地不再需要子AP的操作的情况下，防止不必要地将子 AP维持在^:作状态。并且，从AP IO的安全的增强或为了启动 AP IO而施加在AP IO上的负荷的降低的角度考虑，优选停止不 必要的子AP。
初始设置之后的子A P的启动
AP IO的ROM 52具有存储于其上的并且CPU 50可读的子 AP启动程序。子AP启动程序存储在ROM 52上。
根据子A P启动程序的执行，在响应于单触式登记按钮8 0的 首次操作建立与终端20、 22和24至少之一的连接之后，即在完 成各终端要采用的加密方案类型的首次协商之后，响应于每次 用户再次操作单触式登记按钮80或者用户操作不同于单触式登 记按钮80的操作构件的操作，AP IO启动所有子AP。
图ll是示意性地示出子AP启动程序的流程图。当启动AP 启动程序时，在步骤S701中，AP IO启动所有普通子AP，即本 实施例中的普通子AP1到子AP3。
根据子AP停止程序的执行，在已经响应于单触式登记按钮 8 0的首次才喿作在A P 10和终端2 0 、 2 2和2 4至少之 一 间建立了连接 之后，终端20、 22和24中的其它终端试图进入无线LAN 30,并 且由于该其它终端的进入需要启动停止的普通子AP的情况下， 可以防止由于维持普通子AP停止导致的无线LAN 30的整体资 源的无效使用。
如上所述，在多个普通子AP和多个终端20、 22和24完成了用于确定要采用的加密方案的类型的首次协商之后，当用户再
次操作单触式登记按钮80(第二请求的例子)或不同于单触式登 记按钮80的其它操作构件(第二请求的另 一例子)时，通过子AP 启动程序启动所有的普通子AP。
在本实施例中，单触式登记按4丑80或其它才乘作构件等物理 装置用于向AP 10输入第一请求和第二i貪求。可选地，显示在连 接到同 一 网络的P C的屏幕上的虚拟按钮等其它装置可以用作 用于输入第一请求和第二请求的装置，并且当接收到响应于按 確丑或操作构件的才乘作/人PC发送的特定信号时，AP IO可以启动 相应的^喿作。
然后，为了确定在普通子AP和当前连接到普通子AP的终端 20、 22和24至少之一或如果有的话要附加连接到普通子AP的终 端20、 22和24中的其它终端之间采用的加密方案的类型，再次 进行根据图6A和6B所示的处理的协商。因此，针对每个普通子 AP再次确定各终端20、 22和24要采用的加密方案的类型，即用 于AP 10与终端20、22和24之间的通信的加密方案的类型。因此， 更新普通子AP采用的加密方案的安全等级，以反映各普通子AP 和终端的最新连接状态。
根据上述实施例，AP IO包括与可选安全等级相关地多路复 用的多个虚拟普通子AP。此外，在要为无线通信设置的安全等 级方面，多个普通子AP彼此独立。
因此，当支持不同安全等级的多个终端分别连接到多个不 同的普通子AP时，属于某普通子AP的终端最终要采用的安全等 级不依赖于属于其它普通子AP的其它终端支持的安全等级。
因此，例如，当确定属于某普通子AP的一个终端最终要采 用的安全等级时，该安全等级不会降低到作为属于其它普通子 AP的其它终端支持的最低等级的安全等级，而是降低到该 一 个 终端的安全等级。
顺侵j是及，当在AP IO和各终端之间交换加密密钥，以1更选 择AP IO和终端两者都支持的最佳加密方案时，使用了与用于数 据通信的AP IO的SSID不同的SSID。这种方法需要切换SSID， 这导致数据通信由于加密密钥交换而临时中断。
相反，在本实施例中，多个子AP可以相互独立地运行，并 且用于建立与终端的数据通信的子AP(普通子AP)与用于与终 端交换加密密钥的子AP(密钥交换特殊子AP)分开。因此，避免 了否则将由加密密钥交换导致的数据通信的临时中断。
在本实施例中，普通子A P1到子A P 3用作普通子接入点的例 子。执行图8B所示的步骤S401到S404的AP IO的计算机的单元 用作选择器的例子。
密钥交换特殊子APz用作特殊子接入点的例子。执行图6B 所示的步骤S206(参见图9)的AP 10的计算机的部分用作启动控 制单元的例子。
执行图IO所示的子AP停止程序的AP IO的计算机的部分用 作启动控制单元的例子。执行图11所示的子AP启动程序的AP 10的计算机的部分用作启动控制单元的例子。
MAC IOO用作一个物理MAC的例子。各虚拟MAC1、 2和3 用作虚拟MAC的例子，以及各虚拟MAC1、 2和3的SSID用作标 识符的例子。
在本实施例中，多个子接入点实施为由一个物理单元运行 但与多个逻辑单元相对应的虚拟子AP。然而，子接入点不限于 虚拟子AP,而是例如也可以具体化为设置在壳体40内的多个物 理子接入点。在这种情况下，多个物理接入点均包括相应的物 理MAC。
尽管以上已经通过参考多个附图详细说明了本发明的实施
例，但是这些实施例只是示例性的。在基于本领域技术人员的 知识对本发明进行各种变形和改进的情况下，本发明也可以以 其它形式实现。
本申请基于并要求2007年8月28日提交的日本专利申请 2007-220472的优先4又，该申请的全部内容通过引用并入于此。
权利要求
1. 一种无线局域网接入点，包括:多个子接入点，分别向所述多个子接入点分配不同特有标识符，并且所述多个子接入点可以相互独立地运行，其中，所述多个子接入点包括支持分别与不同安全等级相关联的多个加密方案的多个普通子接入点，以及其中，向所述多个普通子接入点中的每个普通子接入点分配所述多个加密方案中的一个或多个加密方案，以允许所述多个普通子接入点中的每个普通子接入点使用所分配的加密方案之一来进行无线通信，使得各所述普通子接入点的最高安全等级互不相同。
2. 根据权利要求l所述的无线局域网接入点，其特征在于， 每个所述普通子接入点均可无线连接到终端装置，其中，所述无线局域网接入点还包括选择器，所述选择器 用于选择在一个普通子接入点和所述终端装置之间的无线通信 中使用的加密方案，而与在其它普通子接入点和其它终端装置 之间的无线通信中使用的加密方案无关。
3. 根据权利要求2所述的无线局域网接入点，其特征在于， 当请求所述选择器为 一个普通子接入点选择加密方案时，所述 选择器基于分配给所述一个普通子接入点的加密方案和所述终 端装置支持的一个或多个加密方案，来与所述终端装置协商加 密方案，然后基于所述协商来选择在所述一个普通子接入点和 所述终端装置之间的无线连接中使用的加密方案，以及其中，所述多个子接入点包括特殊子接入点，所述特殊子 接入点用于与所述终端装置交换加密密钥，以进行所述协商。
4. 根据权利要求3所述的无线局域网接入点，其特征在于， 所述特殊子接入点公用于所述多个普通子接入点的所述协商。
5. 根据权利要求l所述的无线局域网接入点，其特征在于， 还包括启动控制单元，所述启动控制单元用于独立地启动或停 止每个所述普通子接入点。
6. 根据权利要求5所述的无线局域网接入点，其特征在于， 所述启动控制单元用于针对每个所述普通子接入点，判断是否 存在可连接到每个所述普通子接入点的终端装置，以及如果所 述普通子接入点未能连接到任何终端装置，则停止所述普通子 接入点。
7. 根据权利要求6所述的无线局域网接入点，其特征在于， 所述启动控制单元响应于建立所述无线局域网接入点和第 一终 端装置之间的连接的第一请求，执行所述判断和所述停止。
8. 根据权利要求7所述的无线局域网接入点，其特征在于， 所述启动控制单元在建立所述连接之后执行所述判断和所述停 止。
9. 根据权利要求8所述的无线局域网接入点，其特征在于， 所述启动控制单元响应于建立所述无线局域网接入点和不同于 所述第一终端装置的第二终端装置之间的连接的第二请求，启 动一个或多个预定普通子接入点。
10. 根据权利要求9所述的无线局域网接入点，其特征在于， 还包括请求输入装置，以输入所述第 一请求和所述第二请求至 少之一 。
11. 根据权利要求l所述的无线局域网接入点，其特征在于， 包括物理介质访问控制器，其中，所述物理介质访问控制器可 用作分别逻辑构成所述多个子接入点的多个虚拟介质访问控制 器，其中，所述不同特有标识符被分配给所述虚拟介质访问控 制器，以及其中，所述物理介质访问控制器以分时方式利用为各所述普通子接入点选择的加密方案来处理所述虚拟介质访问控制器 的数据。
12. —种无线局域网接入点，包括 壳体；以及设置在所述壳体中的多个子接入点，所述多个子接入点可 以相互独立地运4亍。
13. —种计算机可读介质，具有所存储的并且计算机可读 的计算机程序，所述计算机程序在被计算机执行时，使所述计算机进行关于无线局域网接入点的#:作，所述无线局域网接入 点包括设置在壳体中并且可以相互独立地运行的多个子接入 点，所述操作包括为一个子接入点选择加密方案，而与为其它子接入点选择 的加密方案无关。
全文摘要
本发明提供了一种无线局域网接入点，其包括壳体；以及设置在所述壳体中的多个子接入点。所述多个子接入点可以相互独立地运行。
文档编号H04L12/28GK101378345SQ20081014756
公开日2009年3月4日 申请日期2008年8月28日 优先权日2007年8月28日
发明者田村佳照 申请人:巴比禄股份有限公司