专利名称:公共接入点的制作方法
技术领域:
本发明涉及对电子网络的无线公共访问。更具体地,本发明涉及允许从电子网络 的物理接入点之内创建虚拟基本服务集的体系结构。
背景技术:
使用传统IEEE Std. 802. 11兼容的接入点除某些例外部署了公共WiFi热点。然 而,IEEE Std.802. ll体系结构和安全模型不适于公共使用。与接入点(AP)相关联的站共 享802. 11基本服务集(BSS)或无线LAN。除非BSS的所有成员皆值得信任,否则BSS中没 有一个站是无遭受由其它成员启动的攻击之患的。这样的攻击包括窃取基本服务和由订户 提供的任何机密信息来获取服务,诸如口令和信用卡信息。其它的攻击包括对网络完整性 和服务质量的破坏。期望公共BSS,即由与公共AP相关联的站组成BSS的所有成员皆值得 信任是不现实的。从而,在公共BSS中,站是易受攻击的。 共享公共BSS提出了另一威胁。BSS的成员可使用蠕虫或特洛伊木马来污染其它 成员站。基于端口的DCOM RPC攻击、MSBlaster和Welchia蠕虫均是很好的示例。该威胁 对作为电子污水池的公共BSS尤其尖锐。站如何能应对这些威胁? BSS中的站可使用诸如个人防火墙等防御来照料自己。或者,公共WiFi提供者可 部署保护订户免受彼此破坏的安全模型。 一种方法是阻止站间通信。然而这是个无法维持 的解决方案。彼此信任的站即使在公共设定中也应被允许在它们之间通信。例如,站应该 能够在由会议中心举行的会议中访问同一本地LAN上的文件服务器。这是例如标准会议中 的惯例。然而如果这种类型的共享被允许,则在IEEEStd. 802. 11下,入侵者易于使整个BSS 不能操作。这在2001 Usenix SecurityConference和拉斯维加斯的2001 DEFCON会议中 阐述。当今无线LAN没有安全模型可支持这种类型的共享而不引入易受攻击性。
提供可支持单个物理BSS的共享而不引入易受攻击性或损害使用BSS的站之间的 安全性的无线LAN的安全模型是有利的。
发明内容
本发明提供可支持站共享单个物理BSS而不引入易受攻击性或损害站安全性的 无线LAN的安全模型。因此,提供了一种新的接入点,此处称为公共接入点(PAP)。 PAP具 有与IEEE Std. 802. 11所规定的不同的安全体系结构。PAP体系结构允许从单个物理PAP 中创建虚拟基本服务集。可创建任意数量的虚拟服务集,且任何数量的终端站均可属于一 个虚拟BSS。 PAP就终端站看来是多个物理802. 11接入点,每一虚拟BSS —个。从而,PAP 与任何802. 11终端站完全可共同操作。
4
作为PAP使用的示例,考虑会议中心。不同的会议可使用启用802. 11的投影仪。 PAP允许为每一会议提供单独的LAN段,从而为每一会议提供单独的链路私密性和完整性。 替代地仅使用IEEE Std.802. ll,会议投影仪和能够使用它来投影的所有站必须使用私有 接入点或自组织(ad hoc)WLAN,并管理WLAN成员、认证和密钥材料。否则,任何人都可使用 该投影仪投影,或更糟地,在有效的投影仪通信被显示之前截取该通信,使得它可由外部人 员监控或破坏。 除了与现有技术方法相关联的安全管理负担过高以外,会议计划者偏好利用本地 接入点而不是在每个会议地点处安装和配置他们自己的接入点。PAP可管理所有的安全性。 使用PAP,每一会议中的所有终端站,包括共享的投影仪和任何本地文件服务器,均有效地 与该会议的虚拟802. 11接入点相关联,且所有的虚拟接入点均从同一物理PAP中产生。
本发明也提供用于更新将公共接入点连接在一起的网桥的转发表的位置更新协 议。 本发明还提供更受控制的桥接的方法,这种桥接被称为精细桥接。
附图简要说明
图1是IEEE Std. 802. 11协议实体的示意性框图;
图2是IEEE Std. 802. 11配置基础架构的示意性框图;
图3是根据本发明的公共接入点体系结构的示意性框图; 图4是根据本发明其中一个站是AP的三站虚拟BSS内的可访问性的策略的示意 性框图; 图5是根据本发明其中站A和B共享服务器站S和D但A和B不允许彼此访问的 的四站之间的策略的示意性框图; 图6是根据本发明经修改使得将从B到A的边添加到图3中的策略的该策略的示 意性框图;以及 图7是消除经由基于端口的VLAN分配、出口过滤和共享VLAN学习(SVL)连接至 基础架构系统的边缘主机(edge host)之间的直接通信的IEEE Std.802. 1Q网桥的示意性 框图。
具体实施方式
公共接入点 在美国专利申请第10/057,566号中,描述了一种协议,通过该协议,终端站可 创建通过复制现有VLAN的有标记和无标记的成员集来克隆现有VALN的虚拟桥接的 LAN (VLAN)。此夕卜,新的VLAN由其唯一的安全关联而唯一。该关联提供使属于VLAN的分组 保持私密且允许它们的VLAN成员由加密钥的MAC使用密码来验证的密钥材料。新的VLAN 由其创建者所有。所有者控制哪些站可加入和发现VLAN,以及VLAN的生存周期。从而,VLAN 被称为专用虚拟桥接LAN(PVLAN)。 本发明的一个实施例提供了仅使用IEEE Std.802. 11-1999(见部分11 :无线 LAN媒体访问控制(MAC)和物理层(PHY)规范,ISO/IEC 8802-11 :1999(E), ANSI/IEEE Std. 802. 11, 1999版本;以及部分11 :无线LAN媒体访问控制(MAC)和物理层(PHY)规范, 媒体访问控制(MAC)安全增强,IEEE Std.802. lli/D7. 0,对ISO/IEC 8802-11 :1999 (E)的
5修正草案,ANSI/IEEE Std. 802. 11, 1999版本)的标准元素的PVLAN的细化。 也可见图l,它是一 IEEE Std.802. 11协议实体的示意性框图;以及图2,它是一
IEEE Std.802. 11配置基础架构的示意性框图,其中每一BSS(BSS-A、 BSS-B)包括相应的
接入点(AP-A、AP-B)及相关联的站(Al/A2、 Bl/B2)。本发明不要求对不作为接入点的与
802. 11兼容的任何终端站的行为的修改。该细化例示了对虚拟802. 11BSS的PVLAN,且仅
影响接入点。 图3是根据本发明的公共接入点体系结构的示意性框图。例如BSS-1或BSS-2的 虚拟802. IIBSS包括一组站,每一个站具有一个硬件(MAC)地址(见图l),这组站共享唯一 的安全关联,后者被称为组安全关联。安全关联由加密密钥和认证码密钥构成。
虚拟BSS中的站中只有一个是公共接入点(PAP)31。它桥接802. 11无线媒介 (丽)32与802. 11分布系统媒介(DSM)33。 对虚拟BSS中的每一个站存在唯一的单播安全关联。它在该站与该虚拟BSS的 PAP之间共享。 例如BSS-1或BSS-2的每一虚拟BSS具有其自己的标识符,即BSSID。它是属于该 BSS的PAP的虚拟MAC地址。PAP从丽中接收目的地为其虚拟MAC地址之一的任何帧,并 使用其虚拟MAC地址之一作为帧的源MAC地址向丽发送一个帧。 虚拟基本服务集的集合由单个PAP处共享的TSF(定时同步功能)、DSF(分布式协 调功能)以及可任选的PCF(点协调功能)支持。在每一PAP处存在单个NAV(网络分配向 量)和PC(点协调器)。这样的共享是可能的,因为802. 11虚拟载波侦听、媒介保留机制 被设计成与使用同一信道重叠的多个基本服务集一起工作。这种类型的重叠可在由单信道 PAP支持的虚拟基本服务集之间发生。虚拟服务集可使用一个信道从而可在PAP处重叠。
PAP可属于一个以上虚拟BSS。见图1上的BSS-l、 BSS_2。不是PAP的任何站可 以属于至多一个虚拟BSS。 虚拟802. 11BSS可通过由虚拟桥接LAN的BSS公共接入点的连接与另一虚拟BSS 桥接。每一虚拟BSS的PAP经由知晓VLAN的网桥的集群(tr皿ked)或无标记的端口连接 至分布系统(DS)。向DS发送的帧可带有DSM已知的VLAN标记。PAP可维护将VLAN标记 映射至虚拟BSSID的DSM VLAM映射。 目前有两种虚拟BSS :类1和类3虚拟BSS。 PAP支持一个且仅一个类1虚拟BSS
和一个或多个类3虚拟基本服务集。在PAP管理下,类1虚拟BSS是当站处于802. 11状态
1或2时允许占用的唯一虚拟BSS。当站处于状态3时,它被允许加入类3虚拟BSS。类3
虚拟BSS可由用于认证站的认证的类型确定,例如开放系统或共享的密钥。 类1虚拟BSSID是具有BSSID字段的每个类1和类2帧的这个字段。如果合适,
它也是类1和类2的帧的接收方或发送方地址字段。 每个虚拟BSS除时戳、信标间隔、能力信息私密(受保护)位、服务集标识符 (SSID)、安全能力元素和通信指示映射(TIM)元素字段之外,具有相同的信标帧内容。
如果PAP不支持类3虚拟BSS中的终端站的PS (节电)模式,则它不必对该BSS 发送信标。如果它的确对类3发送信标,则每一信标中的SSID元素指定广播SSID。这些步 骤防止任何类3虚拟BSS经由发送信标来标识。 仅类1虚拟BSS信标具有带有非广播SSID字段的SSID元素。站可仅与类1虚拟BSS相关联。站使用关联或重新关联请求帧的SSID元素中的非广播SSID。 美国专利申请第10/057. 566号标识了 PVLAN加入和发现步骤。以表示为虚拟BSS
的PVLAN,这些步骤如下例示 加入 每一站默认的是PAP处类1虚拟BSS的成员。PAP可认证类1虚拟BSS中的站的 用户或者站本身。如果成功,则站在该PAP处进入802. 11状态2。此时,PAP和该站可在处 于类1虚拟BSS的同时交换类1和类2的帧。 类1帧是没有密码保护的。如果站和PAP在成功的认证之后共享单播安全关联,
则类2的帧可受密码保护。PAP和站也可在认证之后共享组安全关联。组安全关联是对站
所属的类3虚拟BSS的,如果它完成了与PAP的802. 11关联。 在站与PAP可交换类3帧之前,站必须 1)从状态2请求与类1虚拟BSS的关联;以及 2)切换至类3虚拟BSS。 PAP通过用源地址(地址2字段)或BSSID (地址3字段)是类3虚拟BSS的类3 虚拟BSSID的关联响应匪PDU来响应站的关联请求而将站切换至该类3虚拟BSS。该关联 响应的能力信息字段可使其私密(受保护)位置为1。
类3虚拟BSS以以下三种方式之一确定 1) DS中的认证服务器为用户指定DSM VLAN, PAP使用其DSM VLAN映射将该DSM VLAM映射到类3虚拟BSSID ; 2)DS中的认证服务器为用户指定类3虚拟BSS ;或 3)PAP为用户创建新的类3虚拟BSS ;PAP可告知认证服务器该新的虚拟BSS,并向 其提供允许其它站加入新BSS的规则。
发现 类1虚拟BSS是通过802. 11信标或探测响应管理帧来发现的,其中BSSID字段 (地址3字段)和源地址字段(地址2字段)各自置为类1虚拟BSSID。这些帧中能力信 息字段的私密(受保护)位置为0。信标的TIM元素应用于类1虚拟BSS。仅类1虚拟BSS 是经由信标帧通告的。
数据帧(MPDU)分布 PAP实现MAC协议数据单元(MPDU)网桥协议。对从DSM或丽接收到的MPDU,该 协议是由以下两种情况定义的 1.从DSM接收到的MPDU。这有两种子情况(注意这两种子情况处理所接收到的
MPDU向PAP的本地LLC的传递,因为每个PAP的站属于至少一个虚拟BSS): a.所接收到的MPDU不具有VLAN标记或具有空VLAN标记。如果目的地地址是属
于虚拟BSS的站的地址,且该站与PAP相关联,或如果目的地地址是组地址,虚拟BSS含有
属于该组的站,且该站与PAP相关联,则来自DSM的MPDU被中继给该虚拟BSS。所有的站属
于广播组。 b.所接收的MPDU具有非空VLAN标记。向其中继MPDU的虚拟BSS由PAP的DSM VLAN映射中向其映射该非空VLAN标记的虚拟BSSID标识。如果对给定标记未定义映射,则 不中继MPDU。
向其中继接收到的MPDU的任何虚拟BSS具有BSSID,它形成中继到该虚拟BSS的 802. 11MPDU的源地址(地址2字段)。 2.从丽接收到的MPDU。如果目的地地址(MPDU的地址3字段)是属于由MPDU的地 址1字段标识的虚拟BSS的站的地址且该站与PAP相关联,或如果目的地地址是组地址,则 将所接收到的802. 11MPDU中继给所标识的虚拟BSS。否则,该帧不被中继给任何虚拟BSS。 所接收的802. 11MPDU的地址1字段是中继给由地址1字段标识的虚拟BSS的802. 11MPDU 的源地址(地址2字段)。 如果目的地地址(MPDU的地址3字段)是不与PAP相关联的站的地址,或如果目 的地地址是组地址,则所接收的MPDU也中继给DSM。如果DS是知晓VLAN的,则中继给DSM 的MPDU具有VLAN标记,否则它不被标记。VLAN标记是PAP的DSM VLAN映射下所接收的 MPDU的地址l字段的原象。
加密和解密处理 加密和解密应用子类型关联请求/响应、重新关联请求/响应、取消关联和取消认 证的802. 11数据帧和管理帧。 在将802. 11数据或管理帧发送给丽之前由PAP使用的加密处理涉及以下两个主 要步骤 为该帧标识安全关联;以及 然后使用该关联来构造扩展帧以便根据某些编码和认证码协议传输。 对虚拟基本服务集之间的广播和多播通信可使用不同的编码和认证码协议,且对
单个虚拟BSS中站之间的有向(单播)通信可使用不同的编码和认证码协议。 如果帧目的地地址(地址1字段)是站的地址,则在扩展中使用该站与PAP之间
共享的单播安全关联。如果帧是数据帧,且其目的地地址是组地址,则MPDU网桥协议为该
帧标识目的地虚拟BSS。所标识的虚拟BSS的组安全关联在扩展中使用。 非PAP站使用在其虚拟BSS中它与PAP共享的单播安全关联发送类型为数据或管
理的802. 11MPDU到DS。 当从丽中接收802. 11数据或管理帧时,PAP试图使用由MPDU的源地址(地址2 字段)标识的站的单播安全关联来译码和验证帧的完整性。 当从PAP中接收类型为数据或管理的802. 11MPDU时,如果帧的目的地地址(地址 1字段)是非PAP站的地址,则该站试图使用它与PAP共享的单播安全关联来译码和验证帧 的完整性,如果帧的目的地地址是组地址,则非PAP站试图使用其类3虚拟BSS的组安全关 联来译码和验证帧的完整性。
位置更新协议 本发明也包括用于更新将公共接入点连接在一起的网桥或其它互连媒介的转发 表的位置更新协议。 给定连接至桥接LAN的生成树中的不同网桥的多个公共接入点以及与这些公共 接入点之一关联然后与新PAP重新关联的终端站,该新PAP向该站之前关联的PAP发送有 向网桥协议数据单元(BPDU)(称为重定位PDU) 。 BPDU的目的地地址是重新关联请求帧的 当前AP地址,它是类3虚拟BSSID。源地址是该站的硬件地址。 当在特定端口处接收重定位MPDU时,网桥以将接收端口绑定至MPDU的源地址的
8条目更新其转发表。 除非重定位MPDU到达接收网桥指定的根端口或接收网桥是生成树的根,否则接 收网桥将该MPDU转发给该端口。如果它是在网桥的指定的根端口接收或由根网桥接收,则 根据所知的网桥的转发表将其转发,这可包括将MPDU转发给除接收端口以外的所有端口 。
精细桥接 上述本发明的一个实施例将PVLAN细化为虚拟BSS。在MPDU网桥协议下,虚拟BSS 中的任何站可向该虚拟BSS中的任何其它站发送有向或带有组地址的帧。这可能是不合需 要的。例如,会议中心中的会议可具有其自己的虚拟BSS,但不是所有的参与者都彼此信任。 通过共享同一虚拟BSS,某些参与者可启动蠕虫或病毒。试图通过向每一参与者分配唯一的 虚拟BSS来阻挠这些攻击将阻止参与者共享服务器。理想地,服务器由所有的会议参与者 共享,然而没有参与者能够访问另一参与者,即向其发送帧。上述公共接入点不能提供这种 等级的访问控制。而支持精细桥接的AP可提供这种访问控制。 也可见图7,它是将 一 组边缘主机连接至诸如LAN等基础架构系统的 IEEEStd. 802. 1Q网桥的示意性框图。从边缘主机到达的无标记帧由基于端口的VLAN分 配而被分配给VLAN A(PVID A),而从基础架构系统到达的无标记帧被分配给VLAN B(PVID B)。所述出口规则允许属于A或B的帧外行至基础架构,而仅有属于B的那些才被允许外 行到边缘主机。以这种方式,防止边缘主机彼此直接通信。
精细桥接将广播或多播域的标识与BSS去耦。 在精细桥接下,AP的桥接行为由表示成有向图的策略确定。该图的节点是站,且 当且仅当站A必须能够访问站B,换言之,站B必须能够从站A接收有向帧或组帧时,存在从 站A到站B的边。 对给定策略,节点的广播域是其自身以及它必须访问的所有节点。该策略的广播 域集是其节点的广播域集。 在策略的一种实现中,对每个广播域存在组安全关联。此外,每一站(节点)拥有 该策略中其自身的广播域的组安全关联,以及该策略中它作为成员的每个其它广播域的组 安全关联。前一关联可由站用来发送组帧,后一关联可用于接收组帧。 其中一个站为AP的三站虚拟BSS内的可访问性由图2中所示的策略捕捉。该策 略中的每一节点具有作为其广播域的{A,B,AP}。因此,假定策略反映虚拟BSS,则对期待的 策略仅存在一个广播域。每一站知道该域的组安全关联,且可在该关联下发送和接收组帧。
图3捕捉四个站之间的策略,其中站A和B共享服务器站S和D,但A和B不允许 彼此访问。 该策略具有广播域Bl : {A, S, D} 、 B2 : {B, S, D}和B3 : {D, A, S, B}。站A知道Bl的
组安全关联以便发送组帧,并知道B3的组安全关联以便接收由S和D发送的组帧。站D知 道B3的组安全关联以便发送组帧和从S接收它们,并知道Bl和B2两者的组安全关联以便 分别从A和B接收组帧。 如果图3中的策略被修改成使得例如从B到A的边被添加到该策略,如图4中所 示,然后可去除域B2并仅保留Bl和B3。 如果对图4中的策略添加从A到B的边,则对该策略,域Bl、 B2和B3将折叠成单 个域B3。
9
其它策略变化的规定是在本领域技术人员的能力范围之内的。 尽管本发明此处参考较佳实施例描述,但本领域的技术人员可容易地理解,可使 用其它应用来替代此处所述的那些,而不背离本发明的精神和范围。从而,本发明仅受所附 的权利要求书的限制。
权利要求
一种无线LAN的安全装置,包括多个终端站,其中任意数量个所述终端站可属于一个虚拟基本服务集,其中每个所述终端站具有一个硬件媒体访问控制地址,即MAC地址;以及公共接入点,用于从单个物理接入点内提供多个虚拟基本服务集,其中终端站建立与所述虚拟基本服务集的安全关联;所述公共接入点对于所述终端站而言是多个物理接入点,每个虚拟基本服务集对应一个接入点;并且在所述虚拟基本服务集中的所有的终端站共享一个组安全关联,其中所述组安全关联是MAC安全的一种实现。
2. 如权利要求l所述的安全装置,其特征在于,所述MAC安全的实现包括安全MAC服务的实现。
3. 如权利要求2所述的安全装置,其特征在于,所述安全MAC服务的实现包括MAC安全密钥协定和MAC安全实体。
4. 如权利要求3所述的安全装置,其特征在于,所述组安全关联包括采用一种或多种加密方法。
5. 如权利要求4所述的安全装置,其特征在于,还包括在由MAC安全密钥协定维护的安全关系中实现的一种或多种加密方法。
6. —种安全无线网络,包括虚拟IEEE 802. 11基本服务集;多个终端站,每个所述终端站中都具有一个硬件媒体访问控制地址,即MAC地址;在所述虚拟基本服务集中的所有的终端站共享一个组安全关联,其中所述组安全关联是MAC安全的一种实现;并且所述虚拟基本服务集中的终端站之一包括接入点。
7. 如权利要求6所述的网络,其特征在于,所述MAC安全的实现包括安全MAC服务的实现。
8. 如权利要求6所述的网络,其特征在于,所述安全MAC服务的实现包括MAC安全密钥协定和MAC安全实体。
9. 如权利要求7所述的网络,其特征在于,所述组安全关联包括采用一种或多种加密方法。
10. 如权利要求9所述的网络,其特征在于,还包括在由MAC安全密钥协定维护的安全关系中实现的一种或多种加密方法。
11. 一种在安全无线网络的接入点设备中用于支持多个站之间的网络通信的隔离的方法,每个所述站具有一个硬件媒体访问控制地址,即MAC地址,所述方法包括从第一站接收关联请求或探测请求;为所述请求确定一个基本服务集,所述虚拟基本服务集在所述请求被所述接入点设备接收时对于所述接入点设备是未知的;接收定义所述基本服务集的至少一个参数;基于所述至少一个参数建立所述基本服务集,由此为所述站的一个子集建立所述基本服务集;以及将包含所述被建立的基本服务集的基本服务集ID的响应发送给所述终端站;其中所述子集中的站属于所述被建立的基本服务集,并共享一个组安全关联,其中所述组安全关联是MAC安全的一种实现。
12. 如权利要求11所述的方法,其特征在于,所述MAC安全的实现包括安全MAC服务的实现。
13. 如权利要求12所述的方法,其特征在于,所述安全MAC服务的实现包括MAC安全密钥协定和MAC安全实体。
14. 如权利要求13所述的方法,其特征在于,所述组安全关联包括采用一种或多种加密方法。
15. 如权利要求14所述的方法,其特征在于,还包括在由MAC安全密钥协定维护的安全关系中实现的一种或多种加密方法。
16. —种用于隔离多个站之间的网络通信的接入点,包括一个或多个存储单元,所述存储单元被配置为存储具有加密鉴别码的帧;当所述帧携带有空虚拟LAN ID时,所述帧具有源媒体访问控制地址,即MAC地址,用于确定初步VLAN类别;当所述帧携带虚拟LAN ID时,所述帧具有该虚拟LAN ID作为初步VLAN类别;安全关联表,所述安全关联表提供基于所述初步VLAN类别的加密鉴别码密钥,其中所述加密鉴别码密钥被用于根据所述帧的有效载荷重新计算新的加密鉴别码;新的加密鉴别码被与所述加密鉴别码作比较;如果所述新的加密鉴别码与所述加密鉴别码匹配,所述初步VLAN类别被实现为最终VLAN类别,其中所述帧被解密;以及如果所述新的加密鉴别码与所述加密鉴别码不匹配,所述初步VLAN类别不被实现为最终VLAN类别,其中所述帧被丢弃。
17. 如权利要求16所述的接入点,其特征在于,还包括多个虚拟基本服务集,其中每个基本服务集具有与一组终端站相关的唯一的安全关联,其中每个基本服务集在该组终端站之间发送帧。
18. 如权利要求16所述的接入点,其特征在于,所述接入点被配置为执行生成鉴别码密钥的鉴别操作。
19. 如权利要求16所述的接入点,其特征在于,用在初始化鉴别码操作期间确定的加密消息摘要算法来根据有效载荷重新计算所述新的加密鉴别码。
20. 如权利要求16所述的接入点,其特征在于,所述最终VLAN类别被用作为任何对应数据请求原语的VLAN类别参数的值。
21. 如权利要求16所述的接入点,其特征在于,所述加密鉴别码或新的加密鉴别码唯一地标识VLAN。
全文摘要
本发明使用IEEE Std.802.11元素例示了专用VLAN网桥。结果是网桥,被称为公共接入点,它相比IEEE Std.802.11体系结构更适用于实现公共无线数据网络。本发明也提供用于更新将公共接入点连接在一起的网桥的转发表的位置更新协议。本发明还提供更受控制的桥接的方法,它被称为精细桥接。
文档编号H04L12/56GK101707596SQ20091020499
公开日2010年5月12日 申请日期2004年12月14日 优先权日2004年1月9日
发明者D·M·沃尔潘诺 申请人:微软公司