專利名稱:用于進行無線網(wǎng)絡(luò)概況提供的系統(tǒng)和方法
用于進行無線網(wǎng)絡(luò)概況提供的系統(tǒng)和方法 相關(guān)申請的交叉引用
本申請要求于2006年3月2日提交的美國專利申請No. 11/366,175的 優(yōu)先權(quán)��。
背景技術(shù):
本發(fā)明一般地涉及無線局域網(wǎng)(WLAN)���,并且更具體地涉及允許 WLAN向無線客戶端提供替代的概況(profile)的系統(tǒng)和方法�。
目前�,為了建立正EE 802.11無線LAN連接,期望客戶端設(shè)備的某種 配置�����;例如���,客戶端可以被配置為利用(一個或多個)特定SSID (服務(wù) 集標識符)�、功率設(shè)置����、安全特性和QoS (服務(wù)質(zhì)量)參數(shù)等。具體地��, 當出現(xiàn)諸如授權(quán)和QoS之類的資源請求時�����,在客戶端可能需要被動態(tài)配置 并被切換以利用特定802.11概況時可能會存在多種情況���。例如��,對于 IEEE 802.1X用戶認證和思科網(wǎng)絡(luò)準入控制(NAC) �, WLAN客戶端可能 基于它們的用戶證書和/或姿態(tài)(posture)而被置于不同的虛擬LAN
(VLAN)。另一示例是��,基于WLAN客戶端使用的應(yīng)用�;如果其正在使 用語音或視頻應(yīng)用則其可能需要被置于不同SSID和VLAN。每個VLAN 通常具有其自己的包括獨特密鑰和保護機制(例如��,TKIP�、 AES-CCMP 等)的安全概況,以確保其廣播和多播流受到保護�。
在當前IEEE 802.11協(xié)議之下,如果客戶端的資源請求(諸如SSID���、 安全性或帶寬分配)與其授權(quán)策略不匹配�,則客戶端可能會被解除關(guān)聯(lián)
(disassociate)或解除認證(deauthenticate)�����,這導致對客戶端的服務(wù)中 斷����。此外,對于服務(wù)中斷����,除了給定的解除認證/解除關(guān)聯(lián)狀態(tài)代碼之外�, 沒有用于客戶端發(fā)現(xiàn)所允許的無線網(wǎng)絡(luò)接入?yún)?shù)的機制?�,F(xiàn)有的IEEE 802.11管理幀僅僅輔助利用一般的和不明確的錯誤代碼解除關(guān)聯(lián)/解除認 證���,諸如先前的認證不再有效,但是不存在用于接入點(AP)發(fā)送新的無
線網(wǎng)絡(luò)接入?yún)?shù)的機制��。目前����,客戶端依賴手動預先配置和自動概況切換 的試驗來獲取正確概況。即使正確概況最終被使用�,客戶端也仍然必須再 次經(jīng)過認證處理來獲取鏈路層加密密鑰,因為先前關(guān)聯(lián)期間生成的密鑰沒 有被保存和使用���。
發(fā)明內(nèi)容
根據(jù)本發(fā)明的一方面���,這里描述了用于使得接入點能夠在一旦關(guān)聯(lián)被 建立時就向客戶端動態(tài)提供新的無線概況的系統(tǒng)和方法?��?蛻舳丝梢员恢?示利用新的概況�,而無需預先配置或經(jīng)過另外的認證處理。
根據(jù)本發(fā)明的一方面����,這里描述了用于更新客戶端概況的方法。該方 法包括利用當前概況將客戶端和接入點關(guān)聯(lián)���。該方法還包括向客戶端提供 替代的概況和從客戶端接收確認�����,該確認用于驗證替代的概況的接收�。
根據(jù)本發(fā)明的一方面�����,這里描述了一種系統(tǒng)�,該系統(tǒng)包括具有當前概 況的無線客戶端、可操作以與無線客戶端無線通信的接入點�、通過分布網(wǎng) 絡(luò)耦合到接入點的可操作以針對接入點來認證無線客戶端認證服務(wù)器、和 通過分布網(wǎng)絡(luò)耦合到接入點并且可操作以向接入點提供表示用于無線客戶 端的概況數(shù)據(jù)的數(shù)據(jù)的概況服務(wù)器�����。接入點響應(yīng)來關(guān)聯(lián)客戶端�����。接入點可 操作以與認證服務(wù)器通信以可選擇地對無線客戶端身份進行認證。接入點 可操作以與概況服務(wù)器通信并且接收用于無線客戶端的替代的概況���。接入 點響應(yīng)來接收替代的概況并且將替代的概況發(fā)送給無線客戶端��。此外�����,接 入點響應(yīng)來接收來自客戶端的確認,該確認用于驗證替代的概況的接收�。
根據(jù)本發(fā)明的一方面,這里描述了一種接入點�����,該接入點包括可操作 以發(fā)送和接收無線信號的無線收發(fā)器����。該接入點具有用于關(guān)聯(lián)耦合到無線 收發(fā)器的客戶端的裝置,所述客戶端具有當前概況��,用于向耦合到無線收 發(fā)器的客戶端提供替代的概況的裝置和用于從耦合到無線收發(fā)器的客戶端 接收確認的裝置���,該確認用于驗證替代的概況的接收��。替代的概況包括由 以下各項構(gòu)成的組中的一項基本服務(wù)集標識符(BSSID)����、無線電信
道、最小傳輸功率���、最大傳輸功率���、服務(wù)集標識符(SSID)、單播密碼�����、 廣播密碼���、可擴展認證協(xié)議(EAP)類型�����、服務(wù)質(zhì)量(QoS)概況和流量
規(guī)范優(yōu)先級��。
根據(jù)下面的描述�����,本發(fā)明的其它目的對于本領(lǐng)域技術(shù)人員來說將會變 得很明顯���,在描述中僅僅借助對最適合于實現(xiàn)本發(fā)明的至少一個最佳方式 的說明來示出和描述本發(fā)明的優(yōu)選實施例���。如將會認識到的,本發(fā)明能夠 具有其它不同實施例����,并且在都不脫離本發(fā)明的情況下,能夠?qū)Ω鱾€明顯 方面的若干細節(jié)做出修改���。因此,附圖和描述將被認為實質(zhì)上是說明性的 而非限制性的�。
說明書中結(jié)合的并且形成說明書一部分的附圖示出了本發(fā)明的多個方 面,它們和描述一起用于說明本發(fā)明的原理��。
圖1是根據(jù)本發(fā)明一方面的系統(tǒng)的框圖2是根據(jù)本發(fā)明一方面的第一方法的框圖3是示出實現(xiàn)第一方法的系統(tǒng)的信號傳送(signaling)的流程圖�; 圖4是根據(jù)本發(fā)明一方面的第二方法的框圖5是示出實現(xiàn)第二方法的系統(tǒng)的信號傳送的流程圖6是根據(jù)本發(fā)明一方面的第三方法的框圖7是示出實現(xiàn)第三方法的系統(tǒng)的信號傳送的流程圖8是根據(jù)本發(fā)明一方面的第四方法的框圖9是示出實現(xiàn)第四方法的系統(tǒng)的信號傳送的流程圖IO是用于實現(xiàn)本發(fā)明一方面的無線收發(fā)器的框圖11是用于實現(xiàn)本發(fā)明一方面的計算機系統(tǒng)的框圖。
具體實施例方式
遍及此描述���,所示出的優(yōu)選實施例和示例應(yīng)當被認為是本發(fā)明的示 例�,而非對本發(fā)明的限制。圖1是根據(jù)本發(fā)明一方面的系統(tǒng)ioo的框圖�����。 該系統(tǒng)包括4個實體臺站(STA)或無線客戶端(客戶端)110��、接入點 (AP) 104��、 AAA (認證�����、授權(quán)�、計費)服務(wù)器106和概況策略服務(wù)器 (PPS) 108。 AP 104與STA 110無線通信����。AP 104、 AAA服務(wù)器106和
PPS服務(wù)器108通過分布網(wǎng)絡(luò)102耦合�����。分布網(wǎng)絡(luò)102適當?shù)厥侨魏斡?線��、無線網(wǎng)絡(luò)拓撲或無線和有線網(wǎng)絡(luò)拓撲的組合��。雖然示出AAA服務(wù)器 106和PPS服務(wù)器108通過分布網(wǎng)絡(luò)102耦合在一起,但是本領(lǐng)域技術(shù)人 員應(yīng)當容易地認識到AAA服務(wù)器106和PPS服務(wù)器108也可以共處一 地���。
臺站(STA) 110是需要網(wǎng)絡(luò)連接的無線客戶端��。STA 110通常被利 用當前無線網(wǎng)絡(luò)概況進行預先配置并且利用當前無線網(wǎng)絡(luò)概況來連接AP 104����。
接入點(AP) 104向STA 110提供網(wǎng)絡(luò)連接��。AP 104可以與AAA 106和概況策略服務(wù)器108 —起工作來確定用于STA 110的適當無線網(wǎng)絡(luò) 概況�����。
AAA服務(wù)器106向AP 104提供STA 110的認證和授權(quán)以及其網(wǎng)絡(luò)接 入策略�。AAA服務(wù)器106通過網(wǎng)絡(luò)102與AP 104通信。當STA IIO試圖 關(guān)聯(lián)AP104時�����,AP104從AAA服務(wù)器106獲取用于STA110的認證����、授 權(quán)和網(wǎng)絡(luò)接入策略�����。
概況策略服務(wù)器(PPS) 108驗證并提供用于STA 110的無線網(wǎng)絡(luò)概 況。雖然在圖1中PPS 108被示出為單獨的設(shè)備�,但是PPS 108可以與 AAA服務(wù)器106或AP 104共處一地。
一旦關(guān)聯(lián)被建立����,AP 104就可以向STA 110提供替代的無線網(wǎng)絡(luò)概
況。無線網(wǎng)絡(luò)概況包括網(wǎng)絡(luò)接入?yún)?shù)��,諸如SSID; BSSID;無線電參 數(shù)信道���,最小/最大傳輸功率�;安全設(shè)置單播密碼�����、廣播密碼����、認證密
鑰管理類型以及EAP類型;QoS設(shè)置流量規(guī)范(tspec)優(yōu)先級��;以及其 它依應(yīng)用而定的設(shè)置。AP 104可以向STA IIO提供多個無線網(wǎng)絡(luò)概況和接 著要使用哪個并且余下的將被保存以用于以后使用的指示�。此外,AP 104 可以多次向STA110提供一個概況(或多個概況)�����。
在優(yōu)選實施例中����,STA110完成關(guān)聯(lián)(例如,IEEE 802.11關(guān)聯(lián))�����。在 802.11認證和關(guān)聯(lián)期間���,AP 104通過本地策略或通過聯(lián)系PPS服務(wù)器108 來確定STA IIO是否被針對STA IIO用來進行關(guān)聯(lián)的當前概況而授權(quán)���。如 果STA 110應(yīng)當利用不同的(替代的)概況,則AP 104允許成功關(guān)聯(lián)����,
但是不允許任何數(shù)據(jù)流量通過(即,AP 104將STA 110維持在僅僅允許未 受控端口上的分組并阻擋受控端口上的分組的受控狀態(tài))�。成功關(guān)聯(lián)被用 于使得AP 104能夠向STA 110提供所需(替代的)概況�����。AP 104和/或 STA 110策略確定是否即使優(yōu)選(替代的)概況被提供,該關(guān)聯(lián)也維持�。 在優(yōu)選實施例中,STA 110切換為替代的概況���。例如��,在思科網(wǎng)絡(luò)接入控 制(NAC)環(huán)境(該環(huán)境的實現(xiàn)方式可從思科系統(tǒng)公司�,170 West Tasman�, San Jose, CA 95134得到)中�,受到影響的客戶端(例如,STA 110)在其可以返回其優(yōu)選概況之前必須被利用不同概況來修正 (remediate)�。
作為本發(fā)明一方面的實現(xiàn)方式的示例,STA 110關(guān)聯(lián)AP 104����。 AP104 從PPS 108確定用于STA 110的概況。如果AP 104確定用于STA110的當 前概況與從PPS 108接收的概況(替代的概況)不匹配�����,則AP104將替代 的概況發(fā)送給STA 110。 STA 110在接收到替代的概況時向AP 104發(fā)送確 認��。
STA 110或AP 104可以對STA 110解除認證/解除關(guān)聯(lián)��,以使STA 110可以利用替代的概況����。如果替代的概況提供BSSID,則STA110可以 進行掃描以參加新的BSSID���。類似地�����,如果替代的概況提供SSID���,則客 戶端可以進行掃描以參加新的SSID?���;蛘撸绻鸅SSID和SSID都沒有提 供�����,則STA 110可以選擇最適合于余下的無線電參數(shù)集(例如,無線電�、 安全、QoS)的BSSID或SSID���。
可選地,AP 104可以阻擋用于STA IIO的受控端口 (或者將STAllO 置為受控狀態(tài))�,直到STA 110利用替代的概況進行關(guān)聯(lián)為止。STA 110 仍然可以利用未受控端口與AP 104通信�。
根據(jù)本發(fā)明的一方面,優(yōu)選實施例使得STA 110能夠動態(tài)地接收第二 (或者甚至更多的其它)概況����。例如,在STA 110利用替代的概況關(guān)聯(lián) AP 104之后���,AP 104或PPS 108可以提供用于STA 110的另一 (第二) 替代的概況����。AP 104將第二替代的概況發(fā)送給STA 110����。 STA 110響應(yīng)于 接收到第二替代的概況而向AP 104發(fā)送確認,驗證第二替代的概況的接 收��。STA IIO或者AP 104可以決定對STA 110解除認證/解除關(guān)聯(lián),以使
STA 110能夠利用第二替代的概況進行關(guān)聯(lián)����。
根據(jù)本發(fā)明的一方面,替代的實施例預期到���,AP 104建立與STA110 的鏈路層加密密鑰�。AP104可以阻擋STA110的受控端口�,然而,AP104 和STA IIO之間的幀被加密密鑰保護�。AP 104利用密鑰來加密替代的概況 并且然后將替代的概況發(fā)送給STA 110。在STA IIO利用替代的概況關(guān)聯(lián) AP 104之后�����,STA 110和AP 104可以相互基于先前建立的密鑰得出新的 密鑰或者保持利用現(xiàn)有密鑰���。
根據(jù)本發(fā)明的一方面���,替代的實施例預期到,AP 104利用四向握手 (four-way handshake)協(xié)議(諸如IEEE 802.1 li四向握手)來建立與STA 110的鏈路層加密密鑰�。在四向握手的實現(xiàn)方式中,AP 104在第一消息中 向STA 110發(fā)送anonce�。響應(yīng)于接收anonce�����, STA 110得出snonce并在第 二消息中將snonce發(fā)送給AP 104��。在第三消息中�����,AP 104向STA IIO發(fā) 送安全參數(shù)和替代的概況。STA IIO在第四消息中以確認來向AP 104做出 響應(yīng)����,驗證替代的概況的接收。
考慮到上面描述的前述結(jié)構(gòu)和功能特征����,參考圖2-9將會更好地理解 根據(jù)本發(fā)明的各方面的方法。雖然為了簡化說明的目的���,圖2-9的方法按 照順序執(zhí)行的方式被示出和描述�,但是應(yīng)當理解和認識��,本發(fā)明不受所示 順序的限制����,因為根據(jù)本發(fā)明��,某些方面可以以與本文中示出和描述的其 它方面不同的順序發(fā)生和/或與其同時發(fā)生����。此外���,并不要求所有示出的特 征都用來實施根據(jù)本發(fā)明一方面的方法�。本發(fā)明的實施例適合用于以硬 件��、軟件或它們的組合來實現(xiàn)方法�。圖2-9所述的方法被描述是在網(wǎng)絡(luò) 100 (圖1)上實現(xiàn)的;然而���,這僅僅是為了簡化圖示���,因為本領(lǐng)域技術(shù)人 員可以很容易地認識到圖2-9中所示的方法適合地適用于各種網(wǎng)絡(luò)。
這里所使用的替代的概況可以包括但不限于以下各項構(gòu)成的組中的一 項或多項基本服務(wù)集標識符(BSSID)�、無線電信道、最小傳輸功率�、 最大傳輸功率、服務(wù)集標識符(SSID)�、單播密碼����、廣播密碼�、可擴展認 證協(xié)議(EAP)類型、服務(wù)質(zhì)量概況和流量規(guī)范優(yōu)先級�。
圖2是根據(jù)本發(fā)明一方面的第一方法200的框圖。圖3是示出實現(xiàn)第 一方法200的系統(tǒng)的信號傳送的流程圖300�����。當不協(xié)商第2層安全性時���,
方法200在關(guān)聯(lián)期間向客戶端提供新的無線網(wǎng)絡(luò)概況。
在202�����, STA IIO關(guān)聯(lián)AP 104�。 STA 110利用當前(第一)概況進行 關(guān)聯(lián)。認證和關(guān)聯(lián)序列302�、 304在STA IIO和AP 104之間。響應(yīng)于認證 序列302�、 304, AP 104可以向PPS 108詢問用于STA 110的優(yōu)選概況����, 如分別由306����、 308所示���?����;蛘?��,AP 104可以本地存儲概況并且詢問本地 所存儲的概況。
在204���, AP 104確定STA IIO是否在使用優(yōu)選概況����。如果STA110在 使用優(yōu)選概況(是)���,則不需要進一步的動作并且處理在206停止��。STA 110通過AP 104而被給予網(wǎng)絡(luò)接入�����。如果在204中AP 104確定STA 110 不具有優(yōu)選概況(否)����,則在208中STA IIO被提供以優(yōu)選(替代的)概 況(如310所示)以及需要使用新的替代的概況的指示。在210���, STA110 確認優(yōu)選概況的接收��,如312所示��。在212��, STA IIO或AP 104確定STA 110或AP 104是否需要采取任何其它動作。例如�,AP 104可以確定STA 110是否可以利用當前概況保持關(guān)聯(lián)或者STA 110是否應(yīng)當利用優(yōu)選(替 代的)概況重新關(guān)聯(lián)和/或重新認證。類似地��,STA IIO可以確定其是否需 要采取其它動作��,諸如重新啟動(re-boot)或關(guān)聯(lián)另一 AP (未示出)����, 以激活優(yōu)選(替代的)概況�����。如果需要其它動作(是)���,則在216, STA IIO或AP 104執(zhí)行其它動作(例如�����,由314所示)�;否則(否),則方法 200在214停止并且STA 110被給予網(wǎng)絡(luò)接入����。
圖4是根據(jù)本發(fā)明一方面的第二方法400的框圖。圖5是示出實現(xiàn)第 二方法的系統(tǒng)的信號傳送的流程圖500�。方法400在關(guān)聯(lián)被建立并且網(wǎng)絡(luò) 接入在沒有定義第2層保護的不安全信道被授權(quán)之后提供動態(tài)概況提供。 在活躍的關(guān)聯(lián)期間的任何時候�����,AP 104或PPS 108可以確定STA 110必須 被切換到替代的概況���。這可能是后端上策略改變(例如����,授權(quán)改變 (CoA))的結(jié)果,或者是第3層姿態(tài)無效或更新的結(jié)果���。
在402�, STA IIO關(guān)聯(lián)AP 104�。 STA IIO利用當前(第一)概況進行 關(guān)聯(lián)。認證序列502�、 504在STA 110和AP 104之間。響應(yīng)于認證序列 502�、 504, AP 104可以向PPS 108詢問用于STA IIO的優(yōu)選概況����,如分別 由506、 508所示�。或者����,AP 104可以本地存儲概況并且詢問本地所存儲
的概況��。
在404, AP 104確定STA 110是否在使用優(yōu)選概況����。如果STA110在 使用優(yōu)選概況(是),則不需要進一步的動作并且處理進行到416���。如果 在404中AP 104確定STA 110不具有優(yōu)選概況(否)��,則在408中STA IIO被提供以優(yōu)選(替代的)概況���,如510所示。在410���, STA IIO確認優(yōu) 選概況的接收�,如518所示����。在412, STA IIO或AP 104確定STA IIO或 AP 104是否應(yīng)當執(zhí)行任何其它動作�����。例如���,AP 104可以確定STA 110是 否可以利用當前概況保持關(guān)聯(lián)或者STA IIO是否應(yīng)當利用優(yōu)選(替代的) 概況重新關(guān)聯(lián)和/或重新認證�。如果需要其它動作(是),則在414���, STA IIO或AP 104執(zhí)行其它動作(例如�����,由520所示)��;否則(否)����,則方法 400進行到416�。
在416, AP 104或者PPS 108確定STA 110是否應(yīng)當被切換到替代的 概況��,這由信號514示出����。如果在416確定STA IIO應(yīng)當維持其當前概況 (否),則不需要其它動作�。然而,如果在416確定STA IIO應(yīng)當被切換 到替代的概況(是)�����,則在418中STA IIO被提供以替代的概況����,如信號 516所示。在410�, STA IIO確認替代的概況的接收,如518所示�����。按照需 要重復步驟412和416 (例如�����,如果需要�����,則STA 110可解除認證/解除關(guān) 聯(lián)����,如520所示),并且處理返回416���。如果在416中STA IIO應(yīng)當被切 換到另一替代的概況(是)��,則按照剛才所描述的來執(zhí)行418����、 410、 412���,并且如果希望還執(zhí)行414��。本發(fā)明的一方面是可以按照需要來經(jīng)常重 復步驟418�����、 410���、 412、 414�、 416。向STA IIO提供新的替代的概況(或 者本文上面所述的多個概況)的次數(shù)不受限制���。
方法400使得可以頻繁地動態(tài)更新概況�。例如,在思科NAC環(huán)境 中���,受到影響的客戶端可以被提供有一個或多個概況��,以便該客戶端用來 在其可以切換回其標準概況之前進行修正。另一示例是如果客戶端發(fā)起需 要不同VLAN并且必須被切換到可以更好地服務(wù)于應(yīng)用的概況(SSID)的 應(yīng)用(諸如視頻)�。
圖6是根據(jù)本發(fā)明一方面的第三方法600的框圖。圖7是實現(xiàn)第三方 法的信號圖700����。方法600在安全關(guān)聯(lián)之后執(zhí)行動態(tài)提供。STA110和AP104將利用現(xiàn)有的安全關(guān)聯(lián)和密鑰來保護它們之間的流量�����。除了利用鏈路
層密鑰來保護所有交換之外���,方法600類似于方法200。由于提供的交換 是第2層幀,所以它們被利用用于保護802.11數(shù)據(jù)鏈路的現(xiàn)有密鑰來保 護�����,因此�,可以驗證概況的源的真實性(authenticity),以確保用于切換 的提供和指令不是來自欺騙性的AP���。
一旦客戶端利用所提供的概況關(guān)聯(lián)了 AP����,則其將開始新的關(guān)聯(lián)。隨 著替代的概況發(fā)送的動作代碼或其它信號可用于指示如何處理鍵控
(keying)��。例如�,如果動作代碼值為"1",則PMK (成對主密鑰���, Pairwise Master Key)被AP緩存并可以被再次使用�����,然后����,客戶端可以例 如通過遵從802.1H或802.1x的鍵控來保持使用舊的PMK得出新的PTK (成對臨時密鑰�����,Pairwise Transient Key)���。無需新的EAP認證���。另一示 例�����,如果動作代碼值為"2"�,則現(xiàn)有PMK將被刪除���,并且客戶端必須執(zhí) 行新的EAP認證來得出新的PMK。
在602�, STA IIO關(guān)聯(lián)AP 104。 STA 110利用當前(第一)概況進行 關(guān)聯(lián)�����。認證序列702�����、 704在STA 110和AP 104之間�����。響應(yīng)于認證序列 702、 704�, AP 104可以向PPS 108詢問用于STA IIO的優(yōu)選概況,如分別 由706���、 708所示����?���;蛘撸珹P 104可以本地存儲概況并且詢問本地所存儲 的概況�����。在604中STA 110被AAA服務(wù)器106認證(例如�����,EAP認 證)���,如710所示����。AAA服務(wù)器106可以向PPS服務(wù)器108詢問STA 110 的概況,如712所示�。在714,密鑰交換用于在AP 104和STA IIO之間建 立會話密鑰(例如���,可執(zhí)行遵從IEEE 802.il的密鑰交換)����。在密鑰交換 結(jié)束時����,即使802.1x (受控)端口被阻擋,數(shù)據(jù)幀也被保護����。
在606���, AP 104確定STA 110是否在使用優(yōu)選概況�����。如果STA 110在 使用優(yōu)選概況(是)���,則不需要進一步的動作并且處理在608停止�。如果 在606中AP 104確定STA 110不具有優(yōu)選概況(否)�,則在610中STA IIO被提供以優(yōu)選(替代的)概況,如716所示�。在612中STA 110確認 接收到優(yōu)選概況,如718所示���。在614��, STA IIO或AP 104確定STA 110 或AP是否需要采取任何其它動作��。例如��,AP 104可以確定STA IIO是否 可以利用當前概況保持關(guān)聯(lián)或者是否應(yīng)當利用優(yōu)選概況重新關(guān)聯(lián)��。類似
地�,STA 110可以確定其是否需要采取其它動作�,諸如重新啟動或關(guān)聯(lián)另 一 AP (未示出),以激活優(yōu)選(替代的)概況�。如果希望其它動作 (是),則在618中STA 110 (或AP 104)執(zhí)行其它動作(例如���,STA 110被解除認證/解除關(guān)聯(lián)�,如720所示)�����;否則(否),方法600在616停止�。
圖8是根據(jù)本發(fā)明一方面的第四方法800的框圖。圖9是示出實現(xiàn)第 四方法的系統(tǒng)的信號傳送的流程圖900�����。方法800在利用遵從802.11i的協(xié) 議建立安全關(guān)聯(lián)期間對提供進行優(yōu)化��。
在無線客戶端被EAP認證和/或姿態(tài)驗證之后��,AAA服務(wù)器將為客戶 端分配適當?shù)慕尤氩呗圆⑶覍⑵渑c從成功EAP認證得出的主會話密鑰 (MSK) —起發(fā)送給AP����。注意,得出的MSK (主會話密鑰)被用作用于 802.1 li的PMK或者用于思科集中式密鑰管理(CCKM)的NSK (網(wǎng)絡(luò)會 話密鑰)���。或者����,如果(預先共享密鑰)PSK被使用,則PSK可被用作 PMK����。
如果AP (獨自地或者通過PPS)確定客戶端需要新的無線網(wǎng)絡(luò)概 況�����,則AP不是立即對客戶端解除關(guān)聯(lián)并迫使其盲目地嘗試不同網(wǎng)絡(luò)����,而 是通過完成EAP認證并發(fā)起四向握手的第一消息來繼續(xù)正常IEEE S02.11i 四向握手�。利用所協(xié)商的當前關(guān)聯(lián)的能力來引入四向握手。應(yīng)當注意���,在 這點上����,除了來自EAP對話的潛在結(jié)果代碼之外��,客戶端不會知道潛在的 第2層會話拒絕�����。
客戶端將按照正常方式完成EAP交換并以四向握手MSG2做出響 應(yīng)��。到目前為止��,客戶端不知道概況切換并繼續(xù)進行正常的802.11i握 手。在MSG2結(jié)束時�,通過包括其SNonce并利用PTK的KCK (密鑰確 認密鑰)部分對分組進行認證,客戶端斷言(assert) PMK的擁有和PTK 的活性����。
AP不是進行正常四向握手并發(fā)送GTK,而是提供所需的概況信息和 密鑰數(shù)據(jù)字段中的狀態(tài)動作代碼����;依賴于AP策略,其仍然可以分發(fā)組臨 時密鑰(GTK)��。概況信息包括客戶端成功認證所需的802.11信息元素和 新的思科AP策略密鑰數(shù)據(jù)封裝(KDE)��,新的思科AP策略密鑰數(shù)據(jù)封
裝(KDE)提供向客戶端指示AP的未決(pending)動作的狀態(tài)動作代 碼�����。 一旦客戶端接收到MSG3并且驗證MSG3�����,其就取回新的網(wǎng)絡(luò)概況并 基于新的思科AP策略KDE來確定AP的意圖��。其發(fā)送回MSG4作為確 認���。MSG4的內(nèi)容保持與正常802.11i握手相同�。
在發(fā)送MSG4之后�����,如果客戶端被指示立即應(yīng)用概況���,則客戶端立即 應(yīng)用概況���。客戶端可以利用所提供的概況來選擇立即與同一 AP或者不同 AP (重新)關(guān)聯(lián)�。注意,如果未決動作定義客戶端等待AP發(fā)送解除關(guān)聯(lián) 請求����,則客戶端需要等待AP發(fā)送解除關(guān)聯(lián)請求。
在圖8和圖9中示出了方法800的一個示例��。在802����, STA110關(guān)聯(lián) AP104。 STA110利用當前(第一)概況進行關(guān)聯(lián)。認證序列902���、 904在 STA IIO和AP 104之間�����。響應(yīng)于認證序列902���、 904, AP 104可以向PPS 108詢問用于STA 110的優(yōu)選概況����,如分別由906、 908所示�。或者�����,AP 104可以本地存儲概況并且詢問本地所存儲的概況�����。
在804中STA IIO被AAA服務(wù)器106認證(例如�����,EAP認證)���,如 910所示����。AAA服務(wù)器106可以向PPS服務(wù)器108詢問STA IIO的概況���, 如912所示����。
在810�,遵從802.11i的四向密鑰握手被用于建立密鑰并向STA IIO提 供替代的(優(yōu)選)概況。在914�,包括Anonce的遵從802.1 li的消息1被 從AP 104發(fā)送給STA 110。在916��, STA 110以包括Snonce的遵從 802.11i的四向握手消息2做出響應(yīng)���。在918�����, AP 104以遵從802.11i的消 息3做出響應(yīng)�����,消息3包括anonce��、 MIC (信息完整性檢査)���、RSNIE (健壯安全網(wǎng)絡(luò)信息元素)�、GTK (組臨時密鑰)和替代的概況�����。在 920����, STA 110以包括MIC的802.1 li四向握手消息4進行答復。在遵從 802.11i的四向握手結(jié)束時��,即使802.1x (受控)端口被阻擋����,數(shù)據(jù)幀也被 保護。
在814�, STA IIO或AP 104確定STA 110或AP是否需要采取任何其 它動作����。例如�����,AP104可以確定STA110是否可以利用當前概況進行關(guān)聯(lián) 或者STA110是否應(yīng)當利用優(yōu)選(替代的)概況重新關(guān)聯(lián)和/或重新認證�。 如果希望重新關(guān)聯(lián)其它動作(是)����,則在818中STA 110或AP 104執(zhí)行
其它動作(例如,STA 110被解除認證/解除關(guān)聯(lián)����,如922所示);否則 (否)����,方法800在816停止。
根據(jù)本發(fā)明的一方面����,在替代的概況被提供之后,STA 110 (或AP 104)可以選擇解除認證/解除關(guān)聯(lián)�,如圖2-9所示����。STA 110不一定關(guān)聯(lián) 同一 AP (例如�����,AP 104)�。例如,如果在替代的概況中指定BSSID�����,則 STA 110可進行掃描以參加替代的概況中所指定的BSSID���。如果在替代的 概況中指定SSID��,則STA 110可以進行掃描以參加替代的概況中所指定 的SSID�����。此外����,如果BSSID和SSID都沒有被提供�����,貝U STA 110可以選 擇最適合于余下的參數(shù)集(例如,無線電(RF)規(guī)范�、安全規(guī)范、QoS規(guī) 范等)的BSSID或SSID�����。
根據(jù)本發(fā)明的一方面���,在圖2-9中描述的方法可以按照需要來經(jīng)常執(zhí) 行。例如��,在更新后的一個概況(或多個概況)變得可用的任何時候都可 以使用適當?shù)姆椒▉硐騍TA IIO提供更新后的概況���。
參考圖10����,示出適合用于實現(xiàn)本發(fā)明一方面的無線收發(fā)器1000的框 圖����。例如,無線收發(fā)器1000適合用于執(zhí)行STA 110和/或AP 104所需的功 能�。無線收發(fā)器1000包括用于發(fā)送和接收無線信號的天線1002����。濾波器 1004對去往/來自天線1002的信號進行濾波�����。優(yōu)選地��,濾波器1004為帶通 濾波器�����。放大器1006 (其可以是低噪聲放大器)用于對去往/來自濾波器 1004的信號進行放大���。無線頻率(例如�,射頻)到基帶(RF/BB)轉(zhuǎn)換器 1008對去往/來自放大器1006和PHY 1012的RF信號進行轉(zhuǎn)換�����。RF/BB轉(zhuǎn) 換器1008可適當?shù)匕ㄆ渌虚g頻率級(例如��,RF/IF禾[�! IF/BB)。物理 層處理器(PHY) 1012被耦合到D/A A/D 1010�。介質(zhì)訪問控制器 (MAC) 1014被耦合到PHY 1012�。只讀存儲器(ROM) 1016和隨機存 取存儲器(RAM) 1018與MAC 1014關(guān)聯(lián)����。按照需要,收發(fā)器IO還可以 包括例如帶通和/或基帶濾波器的其它濾波器(未示出)和例如低噪聲放大 器(LNA)或者功率放大器(PA)的放大器(未示出)����;然而,這些其它 濾波器對于理解本發(fā)明的各方面而言不是必要的��。
PHY 1012是物理層(PHY)處理設(shè)備(例如�����,調(diào)制解調(diào)器或者數(shù)字 信號處理器)�。PHY 1012通常執(zhí)行諸如模數(shù)和數(shù)模轉(zhuǎn)換之類的數(shù)字信號
處理以及波形的編碼/解碼(調(diào)制/解調(diào))����。數(shù)字信號處理可以利用通用數(shù) 字信號處理集成電路或者專門設(shè)計的數(shù)字邏輯來完成。在任一種情況中��,
PHY 1012對數(shù)據(jù)進行調(diào)制/解調(diào)�,以使得與適當?shù)耐ㄐ艠藴氏嗉嫒荨@?如�����,在IEEE 802.lla中,這涉及OFDM���,而在IEEE 802.1 lb中����,這涉及直 接序列擴頻(DSSS)��。在PHY 1012的一側(cè)���,利用MAC 1014來交換數(shù) 據(jù)����,而在PHY 1012的另一側(cè)�,利用RF/BB 1008來交換數(shù)據(jù)。PHY 1012 通常包括用于從RF/BB 1008接收的數(shù)據(jù)的模數(shù)(A/D)轉(zhuǎn)換器和用于向 RF/BB 1008發(fā)送的數(shù)據(jù)的數(shù)模(D/A)轉(zhuǎn)換器�����。
MAC 1014是介質(zhì)訪問控制(MAC)處理系統(tǒng)���。在優(yōu)選的和/或替代的 實施例中����,MAC處理系統(tǒng)包括MAC處理器(例如,嵌入式處理器)�����, MAC處理器是負責與無線通信有關(guān)的各種不同處理任務(wù)的多功能處理器 引擎�����。RAM 1018被MAC 1014用于存儲去往和來自PHY 1012的數(shù)據(jù)���。 MAC 1014可以例如通過對數(shù)據(jù)進行加密或解密�����,或者通過解釋數(shù)據(jù)并做 出關(guān)于如何和何時轉(zhuǎn)發(fā)數(shù)據(jù)的決定��,來對數(shù)據(jù)進行動作。
在操作中��,濾波器1004對天線1002接收的信號進行濾波����。放大器 1006對信號進行放大�����,并且RF/BB轉(zhuǎn)換器1008將頻率從其無線(例如 RF)頻率轉(zhuǎn)換成基帶(或者其它適當?shù)?頻率����。然后��,基帶信號被PHY 1012處理�����,PHY 1012可以對數(shù)據(jù)執(zhí)行將信號從模擬轉(zhuǎn)換到數(shù)字�、解調(diào)和 解碼中的一種或多種。經(jīng)過PHY 1012處理的數(shù)據(jù)被轉(zhuǎn)發(fā)到MAC 1014����, 以用于進一步處理。
要通過無線收發(fā)器10發(fā)送的信號被MAC 1014處理�����。例如����,MAC 1014可以對信號進行加密�����。信號可以存儲在RAM 1018中�,以便以后發(fā)送 或者被立即轉(zhuǎn)發(fā)給PHY 1012�。然后,PHY 1012執(zhí)行編碼����、調(diào)制和從數(shù)字 到模擬的轉(zhuǎn)換中的一種或多種。來自PHY 1012的信號然后被發(fā)送給 RF/BB轉(zhuǎn)換器1008����, RF/BB轉(zhuǎn)換器1008將信號轉(zhuǎn)換為適當?shù)臒o線頻率。 放大器1006對信號進行放大�����,然后�����,信號被傳送通過濾波器1004并傳送 到天線1002以供發(fā)送�����。
主機1020包括用于執(zhí)行這里描述的一種或多種方法的邏輯或一個或 多個處理器����。這里使用的"邏輯"包括但不限于用于執(zhí)行(一種或多種)功能或(一個或多個)動作或者促成來自另一部件的功能或動作的硬件、 固件��、軟件和/或各項的組合�����。例如����,基于所希望的應(yīng)用或需要,邏輯可以
包括軟件控制的微處理器�、諸如專用集成電路(ASIC)之類的離散邏輯、 可編程/經(jīng)編程的邏輯器件���、包含指令的存儲器設(shè)備等����,或者嵌入在硬件中 的組合邏輯���。邏輯也可以被完全實施為軟件�����。
圖11是示出藉其可以實現(xiàn)本發(fā)明的實施例的計算機系統(tǒng)1100的框 圖����。計算機系統(tǒng)1100適合用于實現(xiàn)本文中圖2-9所描述的方法,并且可以 在STA 110���、 AP 104�����、 AAA服務(wù)器106和/或PPS服務(wù)器108的實現(xiàn)方式 中使用��。
計算機系統(tǒng)1100包括總線1102或者用于傳送信息的其它通信機構(gòu)����, 以及耦合到總線1102的用于處理信息的處理器1104���。計算機系統(tǒng)IIOO還 包括耦合到總線1102的用于存儲信息和要被處理器1104執(zhí)行的指令的主 存儲器1106�,諸如隨機存取存儲器(RAM)或者其它動態(tài)存儲設(shè)備����。主 存儲器1106還可以用于在要被處理器1104執(zhí)行的指令的執(zhí)行期間����,存儲 臨時變量或者其它中間信息���。計算機系統(tǒng)IIOO還包括耦合到總線1102的 用于存儲用于處理器1104的靜態(tài)信息和指令的只讀存儲器(ROM) 1108 或者其他靜態(tài)存儲設(shè)備。提供諸如磁盤或光盤之類的存儲設(shè)備1110并將 其耦合到總線1102以用于存儲信息和指令��。
本發(fā)明的一方面涉及利用計算機系統(tǒng)1100來進行WLAN概況提供���。 根據(jù)本發(fā)明的一個實施例�,WLAN概況提供是由計算機系統(tǒng)1100響應(yīng)于 處理器1104執(zhí)行主存儲器1106中包含的一個或多個指令的一個或多個序 列來提供的���。這些指令可被從另一計算機可讀介質(zhì)(諸如存儲設(shè)備1110) 讀入主存儲器1106中����。主存儲器1106中包含的指令的序列的執(zhí)行使得處 理器1104執(zhí)行這里描述的處理步驟����。多處理配置方式的一個或多個處理 器也可以被用來執(zhí)行主存儲器1106中包含的指令的序列。在替代實施例 中��,硬連線電路(hard-wired circuitry)可用于代替軟件指令或者與軟件指 令結(jié)合來實現(xiàn)本發(fā)明。因此���,本發(fā)明的實施例不限于硬件電路和軟件的任 何特定組合�。
這里使用的術(shù)語"計算機可讀介質(zhì)"指的是參與向處理器1104提供
指令以便執(zhí)行的任何介質(zhì)�����。這樣的介質(zhì)可以采用多種形式����,包括但不限于 非易失性介質(zhì)、易失性介質(zhì)和傳輸介質(zhì)����。非易失性介質(zhì)例如包括光盤或磁
盤,諸如存儲設(shè)備iiio�����。易失性介質(zhì)包括動態(tài)存儲器��,諸如主存儲器
1106��。傳輸介質(zhì)例如包括同軸電纜����、銅導線和光纖����,包含包括總線1102
的電線���。傳輸介質(zhì)還可以采用諸如在射頻(RF)和紅外(IR)數(shù)據(jù)通信期 間產(chǎn)生的聲波或光波的形式。計算機可讀介質(zhì)的常見形式例如包括軟盤 (floppy disk)���、軟磁盤(flexible disk)����、硬盤��、磁卡����、紙帶,具有孔圖 案的任何其它物理介質(zhì)���、RAM�����、 PROM�����、 EPROM�����、 FLASHPROM��、任何
其它存儲芯片或存儲盒�、后面描述的載波或者計算機可從其讀取的任何其 它介質(zhì)。
各種形式的計算機可讀介質(zhì)可以用于將一個或多個指令的一個或多個 序列攜帶到處理器1104以用于執(zhí)行���。例如�,指令被最初承載在遠程計算 機的磁盤上�����。遠程計算機可以將指令加載到其動態(tài)存儲器中并且利用調(diào)制 解調(diào)器通過電話線來發(fā)送指令�����。計算機系統(tǒng)1100本地的調(diào)制解調(diào)器可接 收電話線上的數(shù)據(jù)并且利用紅外發(fā)射器將數(shù)據(jù)轉(zhuǎn)換成紅外信號。耦合到總 線1102的紅外檢測器可接收紅外信號中攜帶的數(shù)據(jù)并且將數(shù)據(jù)置于總線 1102上�����?���?偩€1102將數(shù)據(jù)攜帶到主存儲器1106,處理器1104可以從主存 儲器1106取回并執(zhí)行指令�����。主存儲器1106接收的指令可選擇性地在被處 理器1104執(zhí)行之前或者之后被存儲在存儲設(shè)備lllO中���。
計算機系統(tǒng)1100還包括耦合到總線1102的通信接口 1118。通信接口 1118提供耦合到網(wǎng)絡(luò)鏈路1120的雙向數(shù)據(jù)通信��,網(wǎng)絡(luò)鏈路1120被連接到 分布(骨干)網(wǎng)絡(luò)1122�����。例如��,通信接口 1118可以是綜合業(yè)務(wù)數(shù)字網(wǎng) (ISDN)卡或者用于向相應(yīng)類型的電話線提供數(shù)據(jù)通信連接的調(diào)制解調(diào) 器�。作為另一示例,通信接口 1118可以是向兼容LAN提供數(shù)據(jù)通信連接 的局域網(wǎng)(LAN)卡。還可以實現(xiàn)無線鏈路��。在任何這種實現(xiàn)方式中��,通 信接口 1118發(fā)送和接收承載表示各種類型的信息的數(shù)字數(shù)據(jù)流的電信 號��、電磁信號或光信號����。網(wǎng)絡(luò)鏈路1120通常通過一個或多個網(wǎng)絡(luò)向其它 數(shù)據(jù)設(shè)備提供數(shù)據(jù)通信。例如�����,網(wǎng)絡(luò)鏈路1120可以提供AP 104���、 AAA服 務(wù)器106禾口/或PPS服務(wù)器108之間的連接���。
上面的描述包括本發(fā)明的示例性實現(xiàn)方式。當然��,不可能為了描述本 發(fā)明的目的而描述可想到的部件或方法的每個組合����,但是本領(lǐng)域普通技術(shù) 人員將會認識到本發(fā)明可以有許多其它的組合和替換�。因此�����,本發(fā)明旨在 包含落入所附權(quán)利要求書的精神和范圍內(nèi)的所有這些變更���、修改和變形���, 所附權(quán)利要求書是根據(jù)公正地、合法地以及合理地授權(quán)的范圍來解釋的��。
權(quán)利要求
1.一種提供無線局域網(wǎng)(WLAN)客戶端概況的方法���,包括將所述WLAN客戶端和接入點關(guān)聯(lián)����,所述客戶端具有當前概況���;向所述客戶端提供替代的概況;并且從所述客戶端接收確認����,驗證所述替代的概況的接收。
2. 如權(quán)利要求1所述的方法,還包括對所述客戶端解除認證��。
3. 如權(quán)利要求1所述的方法���,還包括對所述客戶端解除關(guān)聯(lián)����。
4. 如權(quán)利要求1所述的方法���,其中�����,所述替代的概況包括由以下各項 構(gòu)成的組中的一項基本服務(wù)集標識符(BSSID)�����、無線電信道���、最小傳 輸功率、最大傳輸功率�����、服務(wù)集標識符(SSID)、單播密碼�����、廣播密碼�����、 可擴展認證協(xié)議類型��、服務(wù)質(zhì)量概況和流量規(guī)范優(yōu)先級�。
5. 如權(quán)利要求4所述的方法,還包括掃描對于所述替代的概況的最佳 接入點�。
6. 如權(quán)利要求1所述的方法,還包括控制所述客戶端和所述接入點之 間的流量�����,其中�,僅關(guān)聯(lián)分組被所述接入點轉(zhuǎn)發(fā),且非關(guān)聯(lián)分組被所述接 入點阻擋����,直到所述客戶端利用所述替代的概況進行關(guān)聯(lián)����。
7. 如權(quán)利要求1所述的方法�����,還包括 向所述客戶端提供至少一個替代的概況�����;并且 從所述客戶端接收確認�����,驗證所述第二替代的概況的接收���。
8. 如權(quán)利要求1所述的方法,還包括 對所述客戶端進行認證����;并且建立密鑰以保護所述接入點和所述客戶端之間的分組;其中��,所述提供和接收發(fā)生在對所述客戶端進行認證之后��;并且其中��,所述密鑰被用于保護對所述替代的概況的提供。
9. 如權(quán)利要求8所述的方法����,還包括 利用所述替代的概況進行重新關(guān)聯(lián); 基于所述當前密鑰得出新的密鑰�。
10. 如權(quán)利要求8所述的方法,還包括 所述建立密鑰還包括建立成對主密鑰����;接收具有表示用于鍵控的指令的數(shù)據(jù)的信號;利用所述替代的概況進行重新關(guān)聯(lián)��;響應(yīng)于表示用于鍵控的指令的所述數(shù)據(jù)���,基于所述成對主密鑰得出具 有第一值的新的密鑰�;并且響應(yīng)于表示用于鍵控的指令的所述數(shù)據(jù)����,執(zhí)行新的認證以得出具有第 二值的新的成對主密鑰。
11. 如權(quán)利要求1所述的方法���,還包括 對所述客戶端進行認證�;并且建立密鑰以保護所述接入點和所述客戶端之間的分組,并向所述客戶 端提供背負兼容IEEE S02.11i的四向握手協(xié)議的替代的概況�,所述四向握 手協(xié)議包括向所述客戶端發(fā)送anonce;從所述客戶端接收snonce和標準IEEE 802.1 li安全參數(shù)�; 通過所述接入點將所述標準IEEE 802.1 li安全參數(shù)和所述替代的概況 發(fā)送給所述客戶端,并且從所述客戶端接收確認�����,確認所述提供的接收���。
12. —種系統(tǒng)����,包括 無線客戶端��,其具有當前概況�����;接入點���,其可操作以與所述無線客戶端進行無線通信�����;認證服務(wù)器��,其通過分布網(wǎng)絡(luò)耦合到所述接入點����,并可操作以對針對 所述接入點來認證所述客戶端;以及概況策略服務(wù)器����,其通過分布網(wǎng)絡(luò)耦合到所述接入點,并可操作以向 所述接入點提供表示用于所述無線客戶端的概況數(shù)據(jù)的數(shù)據(jù)��;其中�����,所述接入點響應(yīng)來對所述客戶端進行關(guān)聯(lián)�����;其中�,所述接入點響應(yīng)來與所述認證服務(wù)器通信,以可選擇地對所述 無線客戶端進行認證�����;其中,所述接入點響應(yīng)來與所述概況服務(wù)器通信并接收用于所述無線 客戶端的替代的概況��; 其中���,所述接入點響應(yīng)來接收所述替代的概況,以將所述替代的概況 發(fā)送給所述無線客戶端��;并且其中����,所述接入點響應(yīng)來從所述客戶端接收確認,用于驗證所述替代 的概況的接收���。
13. 如權(quán)利要求12所述的系統(tǒng)���,其中,所述接入點可操作以響應(yīng)于接 收所述確認來對所述客戶端解除認證��。
14. 如權(quán)利要求12所述的系統(tǒng)�����,其中���,所述客戶端可操作以響應(yīng)于接 收所述替代的概況并在所述接入點的指示下從所述接入點解除關(guān)聯(lián)�����。
15. 如權(quán)利要求12所述的系統(tǒng)�,其中,所述接入點可操作以控制所述 客戶端和所述接入點之間的流量��,其中�����,僅關(guān)聯(lián)分組被所述接入點轉(zhuǎn)發(fā)�����, 且非關(guān)聯(lián)分組被所述接入點阻擋����,直到所述客戶端利用所述替代的概況進 行關(guān)聯(lián)。
16. 如權(quán)利要求12所述的系統(tǒng)�,還包括所述接入點可操作以向所述客 戶端提供第二替代的概況并從所述客戶端接收確認,該確認用于驗證所述 第二替代的概況的接收��。
17. 如權(quán)利要求12所述的系統(tǒng)���,還包括其中��,所述接入點可操作以對所述客戶端進行認證�;其中,所述接入點可操作以建立與所述客戶端的密鑰�;并且其中,所述替代的概況被利用所述密鑰而加密��。
18. 如權(quán)利要求17所述的系統(tǒng)�����,還包括其中����,所述客戶端可操作以利用所述替代的概況重新關(guān)聯(lián)所述接入 點����;并且其中,所述接入點和客戶端響應(yīng)來基于所述密鑰得出新的密鑰����。
19. 如權(quán)利要求12所述的系統(tǒng),還包括其中�,所述接入點可操作以利用所述認證服務(wù)器對所述客戶端進行認 證�;并且其中���,所述接入點可操作以建立用于保護所述接入點和所述客戶端之 間的分組的密鑰并向所述客戶端提供背負兼容IEEE S02.11i的四向握手協(xié) 議的替代的概況��,所述四向握手協(xié)議包括- 所述接入點可操作以向所述客戶端發(fā)送anonce����, 所述接入點響應(yīng)來從所述客戶端接收snonce����,所述接入點可操作以向所述客戶端發(fā)送安全參數(shù)和所述替代的概況,并且所述接入點響應(yīng)來從所述客戶端接收確認���,該確認用于驗證所述替代 的概況的接收�����。
20. 如權(quán)利要求12所述的系統(tǒng)���,其中,所述替代的概況包括由以下各 項構(gòu)成的組中的一項基本服務(wù)集標識符�����、無線電信道、最小傳輸功率��、 最大傳輸功率���、服務(wù)集標識符�、單播密碼����、廣播密碼、可擴展認證協(xié)議類 型�、服務(wù)質(zhì)量概況和流量規(guī)范優(yōu)先級。
21. 如權(quán)利要求12所述的系統(tǒng)�����,其中��,所述概況服務(wù)器與由所述認證 服務(wù)器和所述接入點構(gòu)成的組中的一個共處一地�����。
22. —種接入點�,包括無線收發(fā)器�,可操作以發(fā)送和接收無線信號��;用于關(guān)聯(lián)耦合到所述無線收發(fā)器的客戶端的裝置�����,所述客戶端具有當 前概況����;用于向耦合到所述無線收發(fā)器的所述客戶端提供替代的概況的裝置�����;以及用于從耦合到所述無線收發(fā)器的所述客戶端接收確認的裝置��,所述確 認用于驗證所述替代的概況的接收�;其中,所述替代的概況包括由以下各項構(gòu)成的組中的一項基本服務(wù) 集標識符����、無線電信道、最小傳輸功率�、最大傳輸功率、服務(wù)集標識符����、 單播密碼�、廣播密碼�����、可擴展認證協(xié)議類型�����、服務(wù)質(zhì)量概況和流量規(guī)范優(yōu) 先級����。
23. 如權(quán)利要求22所述的接入點,還包括用于控制耦合到所述無線收 發(fā)器的所述客戶端和所述接入點之間的流量的裝置�����,其中��,僅關(guān)聯(lián)分組被 所述接入點轉(zhuǎn)發(fā)�����,且非關(guān)聯(lián)分組被所述接入點阻擋��,直到所述客戶端利用 所述替代的概況進行關(guān)聯(lián)���。
24. 如權(quán)利要求22所述的接入點�,還包括 用于向耦合到所述無線收發(fā)器的所述客戶端提供第二替代的概況的裝置�����;以及用于從耦合到所述無線收發(fā)器的所述客戶端接收確認的裝置�,所述確 認用于驗證所述第二替代的概況的接收。
25. 如權(quán)利要求22所述的接入點��,還包括用于建立密鑰以保護所述接入點和所述客戶端之間的分組的裝置�; 其中,所述密鑰被提供所述替代的概況的所述裝置用于加密所述替代 的概況���。
26. 如權(quán)利要求25所述的接入點��,還包括 用于利用所述替代的概況重新關(guān)聯(lián)所述客戶端的裝置����;以及 用于基于所述當前密鑰得出新的密鑰的裝置��。
27. 如權(quán)利要求22所述的接入點���,還包括用于建立密鑰以保護所述接入點和所述客戶端之間的分組并向所述客 戶端提供背負兼容IEEE S02.11i的四向握手協(xié)議的替代的概況的裝置�����,所 述用于建立的裝置包括用于通過所述四向握手的第一消息向所述客戶端發(fā)送ancmce的裝置���;用于通過所述四向握手的第二消息從所述客戶端接收snonce的裝置�;用于驗證所述snonce和散列的安全證書的裝置�����;用于通過所述四向握手的第三消息利用所述接入點向所述客戶端發(fā)送 安全參數(shù)和所述替代的概況的裝置����,以及用于通過所述四向握手的第四消息從所述客戶端接收確認的裝置。
全文摘要
使得接入點能夠基于基礎(chǔ)設(shè)施策略在一旦關(guān)聯(lián)被建立時就向WLAN客戶端動態(tài)提供新的無線概況的系統(tǒng)和方法��?��?蛻舳丝梢员恢甘纠眯碌母艣r而無需預先配置和經(jīng)過另外的認證處理��。新的無線概況可以在關(guān)聯(lián)期間或者關(guān)聯(lián)之后被提供給客戶端�����,保護或者不保護鏈路層安全密鑰���。
文檔編號G06F7/04GK101375243SQ200780003740
公開日2009年2月25日 申請日期2007年2月16日 優(yōu)先權(quán)日2006年3月2日
發(fā)明者南希·卡姆-溫恩特, 浩 周, 巴瓦尼·薩樸柯塔 申請人:思科技術(shù)公司