专利名称:无线局域网接入点设备和系统以及相关方法
技术领域:
本发明涉及无线通信技术领域,具体而言,涉及用于无线局域网的接入点设备、无线局域网系统、在无线局域网中进行加密信息广播的方法以及对广播密钥进行更新的方法。
背景技术:
无线局域网(WLAN)已经越来越多地应用于各种工作环境之中。在某些情况下,需要将一个WLAN划分为多个虚拟局域网(VLAN)。在现有技术中,通过在一个物理接入点设备内建立虚拟接入点(或逻辑接入点)设备,然后通过扩展服务集(ESS)对VLAN进行划分,每个VLAN对应一个ESS。例如,如图I所示,在两个物理接入点设备APl和AP2内分别各自建立两个虚拟接入点设备APl_a、APl_b和AP2_a、AP2_b,将APl_a和APl_b构成一个无线分布式系统(WDS)并且拥有唯一的扩展服务集标识符SSID1,将构成另一个WDS并且拥有唯一的扩展服务集标识符SSID2。在现有的系统中(如图2所示),由于一个ESS只对应一个VLAN,所以如果无线设备从一个VLAN切换到另一个VLAN,则必须断开与原有的VLAN对应的ESS的连接,然后重新关联到与新的VLAN对应的ESS。同时,由于可以针对每个ESS指定独立的安全策略,因此在每个ESS所覆盖的范围中,可以使用针对该ESS的特定广播密钥对广播信息进行加密。由于在现有技术中没有对无线设备选择哪个ESS的策略进行规定,从而会使得在WLAN中无线设备从一个VLAN切换到另一个VLAN成为客户端的自主行为,即该行为不被外在的系统所控制。在图2所示的例子中,如果无线设备通过认证断开了与VLANl (ESSl)的连接,但该设备仍然可以尝试关联VLANl (ESSl),即使关联不成功也可以不断地尝试,从而产生大量无效的垃圾数据给VLANl (ESSl)带来了额外的开销。然而,在有线VLAN的环境中(如图3所示),设备通过交换机接入网络,通过后端的认证系统认证后,交换机将该设备从一个VLAN切换到另一个VLAN (例如,从默认的VLANl切换到该设备所属的VLAN2)中。在整个切换过程中,接入网络的设备不会意识到其自身已经从一个VLAN切换到另一个VLAN,即该行为是可以被外在系统控制的,并且在切换的过程中不需要拔掉网线重新进行连接(即,无需断开原有的连接)。
发明内容
为了在无线VLAN环境中实现与有线VLAN环境类似的访问控制,本发明提供了一种将一个ESS划分为多个VLAN的无线通信网络结构,从而当无线设备从一个VLAN切换到另一个VLAN时,无需断开与ESS的连接。但是,如果在这样的无线通信网络结构中仍旧采用原有广播信息加密方式(即,使用针对ESS的特定广播密钥对广播信息进行加密)对发送到同一 ESS的广播信息进行加密,则在对应于该一个ESS的多个VLAN之间不能进行有效的信息隔离。为了解决对上述多个VLAN进行有效地信息隔离的问题,本发明提供了一种加密信息广播方法,通过虚拟局域网标识符(VLANID)来索引用于对广播的信息进行加密的广播密钥(GTK或broadcast key),从而实现多个VLAN之间的信息隔离。根据本发明的一个方面,提供一种用于无线局域网的接入点设备,在该接入点设备上,对应于同一扩展服务集划分多个虚拟局域网,其中该接入点设备包括广播密钥管理模块,其用于管理对广播信息进行加密的广播密钥;以及广播密钥存储装置,其用于存储所述广播密钥,其中在所述广播密钥存储装置中,按照与虚拟局域网的虚拟局域网标识符对应的方式存储所述广播密钥,所述广播密钥管理模块通过虚拟局域网标识符得到对应的广播密钥。利用上述接入点设备,由于在广播密钥存储装置中按照与VLANID对应的方式存储广播密钥,即,针对每个VLAN存储有其各自的广播密钥,因此可以实现针对每个VLAN选择不同的广播密钥对发送到该VLAN的广播信息进行加密,从而实现多个VLAN之间的信息隔离。根据本发明的另一个方面,提供一种无线局域网系统,其中包括根据本发明的接入点设备。通过上述无线局域网系统,由于采用了根据本发明的接入点设备,因此可以实现针对每个VLAN选择不同的广播密钥对发送到该VLAN的广播信息进行加密,从而实现多个VLAN之间的彳η息隔尚。根据本发明的另一个方面,提供一种在无线局域网中进行加密信息广播的方法,在所述无线局域网的接入点设备上,对应于同一扩展服务集划分多个虚拟局域网,其中所述方法包括下发广播密钥步骤;信息加密步骤,在该步骤中利用与虚拟局域网的虚拟局域网标识符对应的广播密钥对针对该虚拟局域网进行广播的信息加密;以及加密信息广播步骤,在该步骤中对加密后的信息进行广播,其中下发广播密钥步骤包括以下子步骤获取接入无线局域网中的无线设备的无线设备标识符;通过所获取的无线设备标识符获取该无线设备所属的虚拟局域网的虚拟局域网标识符;通过所获取的虚拟局域网标识符获取对应的广播密钥;以及将所获取的广播密钥下发到该无线设备。利用上述加密信息广播方法,由于针对每个无线设备的无线设备标识符获取了该设备所属VLAN的VLANID,进而获取与该VLANID对应的广播密钥,并将所获取的广播密钥下发到对应的无线设备,因此每个无线设备可以具有与其所属VLAN对应的广播密钥。当无线设备接收到加密的广播信息之后,如果用于对该广播信息加密的广播密钥与该无线设备所具有的广播密钥一致,则该无线设备可以利用其广播密钥对加密后的广播信息进行解密,从而获取该广播信息;如果用于对该广播信息加密的广播密钥与该无线设备所具有的广播密钥不一致,则该无线设备不能利用其广播密钥对加密后的广播信息进行解密,从而不能获取该广播信息并丢弃该广播信息。因此,可以实现针对VLAN的加密信息广播,只有属于该VLAN的无线设备才能利用其广播密钥对加密后的广播信息进行解密,从而实现多个VLAN之间的信息隔离。根据本发明的另一个方面,提供一种在无线局域网中更新广播密钥的方法,在所述无线局域网的接入点设备上,对应于同一扩展服务集划分多个虚拟局域网,其中所述方法包括获取要对其广播密钥进行更新的虚拟局域网的虚拟局域网标识符;通过所获取的虚拟局域网标识符获取对应的要更新的广播密钥;以及将所获取的要更新的广播密钥下发到接入该虚拟局域网中的所有无线设备,然后利用更新的广播密钥进行加密信息广播。利用上述广播密钥更新方法,由于针对VLAN的VLANID获取与该VLANID对应的要进行更新的广播密钥,并将所获取的要更新的广播密钥下发到属于该VLAN的所有无线设备,因此实现了以VLAN为单位的广播密钥更新。只有当无线设备属于该VLAN时,才能接收到针对该VLAN进行更新的广播密钥,从而实现多个VLAN之间的信息隔离。针对不同VLAN提供不同的广播密钥,可以实现对于多个VLAN之间的信息隔离。同时,由于对应于同一 ESS划分多个VLAN,当无线设备从一个VLAN切换到另一个VLAN时无需断开与ESS的连接,从而实现了与有线VLAN环境类似的访问控制。在整个切换过程中,接入WLAN的无线设备不会意识到其自身已经从一个VLAN切换到另一个VLAN,即该行为是可以被外在系统控制的。 说明书的以下部分中将给出本发明的各个方面的说明,其中详细描述是为了充分公开本发明的优选实施例,而不是对本发明进行限制。
通过参考以下仅用于说明目的的附图,将更充分地理解本发明,其中图I示例性地示出了在WLAN中对于VLAN进行划分的一种方式;图2示出了现有技术中按照ESS和VLAN——对应来划分VLAN的方式;图3示出了在有线VLAN环境中设备从一个VLAN切换到另一个VLAN的示意图;图4示出了根据本发明的一个实施例的WLAN系统的示例;图5示意性地示出了图4所示WLAN系统中的接入点设备的框图;图6以示例的方式示出了根据本发明的一个实施例对接入WLAN的无线装置进行认证、通过VLAN进行隔离以及广播密钥更新的流程示意图;图7示出了根据本发明的一个实施例的加密信息广播方法的流程图;图8示出了图7中的下发广播密钥步骤示例的子流程图;图9示出了根据本发明的一个实施例的广播密钥更新方法的流程图;图10示出了根据本发明的一个实施例实现动态VLAN的流程图。
具体实施例方式下面将结合附图对本发明的各实施例进行详细描述,但应当认识到,出于说明目的的各实施例仅仅用作示例,而不是对本发明的范围进行限制。在不背离本发明精神的情况下,本领域技术人员能够根据本发明的教导作出各种修改和/或变型。本发明的保护范围旨在涵盖所有这些修改和/或变型。图4示出了根据本发明的一个实施例的WLAN系统100的示例,在WLAN系统100中包括接入点设备AP,在该接入点设备AP上提供具有扩展服务集标识符SSIDl的扩展服务集ESSl。对应于该扩展服务集ESSl划分了两个虚拟局域网VLANl和VLAN2,分别具有虚拟局域网标识符VLANID1和VLANID2。在图4所示的示例中,有四个无线设备STA1-STA4,每个无线设备具有各自的无线设备标识符。在本实施例中,以无线设备各自的媒体访问控制(MAC)地址作为其标识符。如图4所示,无线设备STA1-STA4的MAC地址分别为00:00:00:00:00:01、00:00:00:00:00:02、00:00:00:00:00:03 和 00:00:00:00:00:04。
在图4所示的示例中,无线设备STAl和STA2接入到VLANl,无线设备STA3接入到VLAN2,而无线设备STA4没有接入到任何VLAN。当接入点设备AP分别针对VLANl和VLAN2进行加密广播时,选择与各个VLAN对应的广播密钥对发送到该VLAN的广播信息进行加密,从而实现各个VLAN之间的信息隔离。在图4所示的示例中,接入点设备AP针对VLANl选择keyl对发送到VLANl的广播信息进行加密,针对VLAN2选择key4对发送到VLAN2的广播信息进行加密,从而实现VLANl与VLAN2之间的信息隔离。在图4中还示出了与WLAN系统100连接的认证系统,无线设备接入该WLAN系统100之后,通过认证系统对接入的无线设备进行认证,如果对无线设备认证后发现该无线设备属于某一特定的VLAN,则可以将该无线设备自动切换到该VLAN。在整个切换过程中,接入WLAN的无线设备不会意识到其自身已经从一个VLAN切换到另一个VLAN,即该行为是可以被外在系统控制的,并且在切换的过程中不需要断开与扩展服务集ESSl的连接(即,无需断开原有的连接)。从而在无线VLAN环境中实现与有线VLAN环境类似的访问控制。可替换或附加地,可以在接入点设备AP中对无线设备的无线设备标识符与VLAN的VLANID的对应关系进行维护。例如,在图4中示出了 MAC地址(无线设备标识符)与VLANID的对应关系。当无线设备接入WLAN时,接入点设备AP通过该无线设备的无线设备标识符获取对应的VLANID,并将该无线设备自动切换到该VLAN。在整个切换过程中,接入WLAN的无线设备不会意识到其自身已经从一个VLAN切换到另一个VLAN,即该行为是可以被外在系统控制的,并且在切换的过程中不需要断开与扩展服务集ESSl的连接(即,无需断开原有的连接)。从而在无线VLAN环境中实现与有线VLAN环境类似的访问控制。图5示意性地示出了图4所示WLAN系统100中的接入点设备AP的框图。该接入点设备AP包括用于管理对广播信息进行加密的广播密钥的广播密钥管理模块210以及存储所述广播密钥的广播密钥存储装置230。在广播密钥存储装置230中,按照与VLANID对应的方式存储广播密钥。广播密钥管理模块210通过VLANID得到对应的广播密钥。利用该接入点设备AP,在广播密钥存储装置230中按照与VLANID对应的方式存储广播密钥,即,针对每个VLAN存储有其各自的广播密钥。广播密钥管理模块210利用VLAN的VLANID在广播密钥存储装置230查找与该VLANID对应的广播密钥,然后接入点设备AP利用查找所得的广播密钥对发送到对应VLAN的广播信息进行加密,从而实现多个VLAN之间的信息隔离。图6以示例的方式示出了根据本发明的一个实施例对接入WLAN的无线装置进行认证、通过VLAN进行隔离以及广播密钥更新的流程示意图。如图6所示,无线设备I和无线设备2向AP发出连接握手请求,AP对无线设备I和无线设备2的连接握手请求分别作出响应,将无线设备I和无线设备2添加到默认VLAN (例如,VLAN1)中(例如,将无线设备I和无线设备2的无线设备标识符与VLANl的VLANID对应),并将VLANl (默认VLAN)的广播密钥下发到无线设备I和无线设备2。从而,无线设备I和无线设备2可以利用VLANl的广播密钥对针对VLANl进行的加密广播进行解密,获得广播的信息。
无线设备2向认证服务器发出认证请求,认证服务器对认证请求作出响应。无线设备2通过认证,认证服务器授予无线设备2访问控制的加密密钥。无线设备2利用该访问控制加密密钥对网络访问控制服务器(NAS)申请访问控制授权。由于认证服务器和NAS之间的信任关系是预先建立的,并且认证服务器预先将解密密钥设置在NAS上。如果无线设备使用加密的请求报文向NAS申请访问控制,并且NAS可以正确解密,则认为该无线设备通过认证,可对其进行授权。在NAS对无线设备2的访问控制授权之后(例如,授权无线设备2可以对VLAN2进行访问),NAS通过简单网络管理协议(SNMP)命令指示AP对无线设备2接入的VLAN进行设置(稍后将通过图10对该过程详细进行描述)。AP接到来自NAS的指示之后对无线设备2所属的VLAN进行设置(例如,将无线设备2的无线设备标识符与VLAN2的VLANID对应)。AP发出指令将VLAN2的广播密钥下发到无线设备2。从而,无线设备2可以利用VLAN2的广播密钥对针对VLAN2进行的加密广播进行解密,获得广播的信肩、O当一个无线设备带着广播密钥离开原有VLAN时,该VLAN中其他设备所持有的广播密钥就不再安全,有必要进行更新。从而,由于无线设备2从原有的VLANl离开,为了使得无线设备2不再能够使用VLANl的广播密钥对针对VLANl进行的加密广播进行解密,因此需要对VLANl的广播密钥进行更新。AP将VLANl的更新的广播密钥下发到接入VLANl的 所有无线设备,然后利用更新的广播密钥对VLANl的广播信息进行加密。针对不同的VLAN使用不同的广播密钥,并且在无线设备从某一 VLAN切断之后,对该VLAN的广播密钥进行更新,从而避免了该VLAN的广播密钥泄露出去。可替换或附加地,在上述情况下是否对广播密钥进行更新是用户的可配置选项。在某些场合下,用户认为即使广播密钥被泄露也没关系,可以不必对其进行更新。例如,WLAN中的默认VLAN是任何无线设备都能接入的网络,其广播密钥即使泄露也不会对安全性造成影响。图7和图8对根据本发明的加密信息广播方法进行了描述。应当认识到,图7所示的流程图为整体意义上的流程图,其中的下发广播密钥步骤(S701)可以是在无线设备第一次接入WLAN时通过接入点设备将无线设备添加到默认VLAN来完成的,也可以是无线设备从一个VLAN切换到另一个VLAN是完成的。接入点设备可以在将新接入的无线设备添加到某个VLAN或者对无线设备所属VLAN进行切换的同时,针对每个VLAN使用不同的广播密钥对广播信息进行加密(S702)并对加密后的信息进行广播(S703)。当无线设备得到了某个VLAN的广播密钥之后,就能够利用该广播密钥得到该VLAN的广播信息。图8示出了图7中的下发广播密钥步骤(S701)示例的子流程图。在图8中,以AP发现来自无线设备的连接握手请求为示例(从图6的图示中可以看出,当无线设备第一次请求接入WLAN时会发出连接握手请求),对图7中的下发广播密钥步骤(S701)进行了说明。AP通过来自无线设备的连接握手请求发现该无线设备(S801)并获取该无线设备的无线设备标识符(S802)。在图8所示的示例中,无线设备标识符为无线设备的MAC地址。接下来,AP查找是否存在与该无线设备标识符对应的VLANID (S803)。如果存在与该无线设备标识符对应的VLANID (S803中的是),则获取该VLANID (S804)。另一方面,如果不存在与该无线设备标识符对应的VLANID (S803中的否),则将该无线设备添加到默认VLAN,并获取默认VLAN的VLANID (S805)。从而,在步骤S804或S805中,通过无线设备标识符获取了该无线设备所属VLAN的VLANID。接下来,AP通过所获取的VLANID来获取对应的广播密钥(S806)并将所获取的广播密钥下发到该无线设备(S807)。图9示出了根据本发明的一个实施例的广播密钥更新方法的流程图。在图9所示的流程图中,首先获取要对其广播密钥进行更新的VLAN的VLANID (S901)。对于VLAN的广播密钥进行更新可以是由AP周期地执行的、由于无线设备离开该VLAN所属的ESS所引起的、或者是由于接入该VLAN的无线设备从该VLAN中离开所引起的。获取VLANID之后,通过该VLANID获取对应的要更新的广播密钥(S902)。获取与VLANID对应的要更新的广播密钥的步骤(S902)可以类似于上述图8中获取广播密钥的步骤(S806)。搜索接入该VLAN的所有无线设备(S903)然后将获取的要更新的广播密钥下发到接入该VLAN的所有无线设备(S904)。根据本发明可以实现对于V LAN的动态控制,图10示出了根据本发明的一个实施例实现动态VLAN的流程图。在图10所示的示例中,例如通过SNMP来控制AP切换正在与自己连接的无线设备的VLAN。在切换过程中,与AP连接的无线设备不会意识到其自身已经从一个VLAN切换到另一个VLAN,并且在切换的过程中不需要断开与AP的连接(S卩,无需断开原有的连接)。从而在无线VLAN环境中实现与有线VLAN环境类似的访问控制。在图10所示的示例中,AP首先得到进行VLAN切换的SNMP命令(S1001)。从所得到的SNMP命令中解析出要进行VLAN切换的无线设备的无线设备标识符以及目标VLAN的VLANID(S1002) ο在图10所示的示例中,无线设备标识符为无线设备的MAC地址。接下来,AP查找是否存在与该无线设备标识符对应的VLANID (S1003)。如果存在与该无线设备标识符对应的VLANID (S1003中的是),则利用目标VLAN的VLANID替代与该无线设备标识符对应的VLANID,使得目标VLAN的VLANID与该无线设备标识符对应(S1004)。另一方面,如果不存在与该无线设备标识符对应的VLANID (S1003中的否),则将要进行VLAN切换的无线设备添加到目标VLAN,使得目标VLAN的VLANID与该无线设备标识符对应(S1005)。接下来,AP通过目标VLAN的VLANID来获取对应的广播密钥(S1006)并将所获取的广播密钥下发到要进行VLAN切换的无线设备(S1007)。如果在步骤S1003中查找到与该无线设备标识符对应的VLANID (S1003中的是),则在完成该无线设备的VLAN切换之后,还应当对原有VLAN的广播密钥进行更新(S1008)。对VLAN的广播密钥进行更新的步骤可以参考图9所示的流程图。如上所述,对原有VLAN的广播密钥进行更新(S1008)是用户的可配置选项。在某些场合下,用户认为即使广播密钥被泄露也没关系,可以不必对其进行更新。例如,WLAN中的默认VLAN是任何无线设备都能接入的网络,其广播密钥即使泄露也不会对安全性造成影响。本发明不限于上述示例,并在不脱离本发明精神范围内包括各种修改和/或变型。虽然上面已经描述了本发明的实施例,应当理解的是它们都是本发明的例子而不应当作为限制。可以在不脱离本发明范围的情况下做出添加、省略、替代和其它改变。因此,本发明不由前文描述限制,仅由权利要求的范围来限制。
权利要求
1.一种用于无线局域网的接入点设备,在该接入点设备上,对应于同一扩展服务集划分多个虚拟局域网,其中该接入点设备包括 广播密钥管理模块,其用于管理对广播信息进行加密的广播密钥;以及 广播密钥存储装置,其用于存储所述广播密钥, 其中在所述广播密钥存储装置中,按照与虚拟局域网的虚拟局域网标识符对应的方式存储所述广播密钥,所述广播密钥管理模块通过虚拟局域网标识符得到对应的广播密钥。
2.根据权利要求I的接入点设备,其中还包括 无线设备管理模块,其用于对接入所述扩展服务集的无线设备进行管理。
3.根据权利要求2的接入点设备,其中所述无线设备管理模块通过将无线设备的无线设备标识符与该无线设备所属的虚拟局域网的虚拟局域网标识符对应来对无线设备进行管理。
4.根据权利要求3的接入点设备,其中所述无线设备的无线设备标识符为该无线设备的媒体访问控制地址。
5.根据权利要求I的接入点设备,其中该接入点设备与认证系统进行通信,并且从认证系统获取关于接入所述扩展服务集的无线设备属于哪个虚拟局域网的信息。
6.根据权利要求I的接入点设备,其中所述广播密钥管理模块周期地对所述广播密钥进行更新,并且将更新后的广播密钥按照与虚拟局域网的虚拟局域网标识符对应的方式存储在所述广播密钥存储模块中。
7.根据权利要求I的接入点设备,其中当接入所述扩展服务集的无线设备从该扩展服务集离开时,所述广播密钥管理模块对该无线设备所属的虚拟局域网的广播密钥进行更新,并且将更新后的广播密钥按照与该虚拟局域网的虚拟局域网标识符对应的方式存储在所述广播密钥存储模块中。
8.根据权利要求I的接入点设备,其中接入所述扩展服务集的无线设备在对应于该扩展服务集划分的虚拟局域网之间进行切换之后,所述广播密钥管理模块对该无线设备原来所属的虚拟局域网的广播密钥进行更新,并且将更新后的广播密钥按照与该虚拟局域网的虚拟局域网标识符对应的方式存储在所述广播密钥存储模块中。
9.一种无线局域网系统,其中包括权利要求I至8任一项所述的接入点设备。
10.一种在无线局域网中进行加密信息广播的方法,在所述无线局域网的接入点设备上,对应于同一扩展服务集划分多个虚拟局域网,其中所述方法包括以下步骤 下发广播密钥步骤,其包括以下子步骤 获取接入无线局域网中的无线设备的无线设备标识符; 通过所获取的无线设备标识符获取该无线设备所属的虚拟局域网的虚拟局域网标识符; 通过所获取的虚拟局域网标识符获取对应的广播密钥;以及 将所获取的广播密钥下发到该无线设备; 信息加密步骤,利用与虚拟局域网的虚拟局域网标识符对应的广播密钥对针对该虚拟局域网进行广播的信息加密;以及 加密信息广播步骤,对加密后的信息进行广播。
11.一种在无线局域网中更新广播密钥的方法,在所述无线局域网的接入点设备上,对应于同一扩展服务集划分多个虚拟局域网,其中所述方法包括以下步骤 获取要对其广播密钥进行更新的虚拟局域网的虚拟局域网标识符; 通过所获取的虚拟局域网标识符获取对应的要更新的广播密钥;以及将所获取的要更新的广播密钥下发到接入该虚拟局域网中的所有无线设备,然后利用更新的广播密钥进行加密信息广播。
12.根据权利要求11的更新广播密钥的方法,其中所述接入点设备针对各个虚拟局域网周期地执行该更新广播密钥的方法。
13.根据权利要求11的更新广播密钥的方法,其中当接入所述扩展服务集的无线设备从该扩展服务集离开时,所述接入点设备针对该无线设备所属的虚拟局域网执行该更新广播密钥的方法。
14.根据权利要求11的更新广播密钥的方法,其中接入所述扩展服务集的无线设备在对应于该扩展服务集划分的虚拟局域网之间进行切换之后,所述接入点设备针对该无线设备原来所属的虚拟局域网执行该更新广播密钥的方法。
全文摘要
本发明提供用于无线局域网接入点设备和系统以及相关方法。在该接入点设备上,对应于同一扩展服务集划分多个虚拟局域网,其中该接入点设备包括广播密钥管理模块,其用于管理对广播信息进行加密的广播密钥;以及广播密钥存储装置,其用于存储所述广播密钥。其中在所述广播密钥存储装置中,按照与虚拟局域网的虚拟局域网标识符对应的方式存储所述广播密钥,所述广播密钥管理模块通过虚拟局域网标识符得到对应的广播密钥。
文档编号H04W48/10GK102869012SQ20111019177
公开日2013年1月9日 申请日期2011年7月5日 优先权日2011年7月5日
发明者王玥, 李 浩, 王东, 宫田宏 申请人:横河电机株式会社