專利名稱:虛擬終端臨時媒體訪問控制地址動態(tài)變更的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種無線局域網(wǎng)技術(shù)�,尤其涉及的是一種無線局域網(wǎng)中虛擬終端臨時MAC地址動態(tài)變更的方法。
背景技術(shù):
現(xiàn)有技術(shù)的WLAN(無線局域網(wǎng))技術(shù)因其在無線化特點����、可比擬有線的高速率接入以及價格低廉等優(yōu)勢而深受市場的歡迎���,目前已開始取代有線局域網(wǎng)廣泛應(yīng)用于家庭、校園��、酒店�、企業(yè)辦公等場合,并開始作為一種無線寬帶接入技術(shù)廣泛部署于公眾熱點場合����,提供給公眾無線寬帶數(shù)據(jù)的接入服務(wù)。
現(xiàn)有的ISO/IEC 8802-111999“信息技術(shù)系統(tǒng)間遠程通信和信息交換局域網(wǎng)和城域網(wǎng)特定要求第11部分無線LAN媒體訪問控制(MAC���,MediaAccess Control地址是識別局域網(wǎng)節(jié)點的標(biāo)識)和物理層(PHY)規(guī)范”是WLAN的國際標(biāo)準(zhǔn)���,其內(nèi)容對應(yīng)了IEEE 802.11。
中國也發(fā)布了WLAN國家標(biāo)準(zhǔn)GB/T 15629.11-2003��,其與國際標(biāo)準(zhǔn)的主要差別在于在接入控制的安全機制上有差別�����。事實上��,目前市場廣泛應(yīng)用的WLAN產(chǎn)品主要是IEEE 802.11標(biāo)準(zhǔn)項目組發(fā)布的針對IEEE 802.11的補充規(guī)范,包括IEEE 802.11b�����、IEEE 802.11g�、IEEE 802.11a等。其中��,802.11b��、802.11g工作于2.4Hz頻段����,802.11a工作在5GHz頻段。802.11b支持的物理層速率可達到11Mb/s�,802.11g、802.11a支持的物理層速率可達到54Mb/s����。目前IEEE 802.11正在制訂支持更高吞吐量的標(biāo)準(zhǔn)802.11n以更好地支持各種實時業(yè)務(wù)及多媒體應(yīng)用,增大系統(tǒng)容量��。
現(xiàn)有的IEEE 802.11定義的WLAN系統(tǒng)�����,其基本結(jié)構(gòu)如圖1所示���,其中��,STA(Station)指包含IEEE 802.11無線局域網(wǎng)接口的終端設(shè)備�,目前市場上許多手機都支持無線局域網(wǎng)接口�����,便攜機也已內(nèi)置無線局域網(wǎng)接口���。對于一些不帶無線局域網(wǎng)接口的設(shè)備���,可以通過安裝WLAN無線網(wǎng)卡的方式,提供無線局域網(wǎng)接口�。
如圖1所示的AP(Access Point)即接入點,相當(dāng)于移動網(wǎng)絡(luò)的基站�����,其主要功能是使得STA能與其它的STA或有線網(wǎng)絡(luò)的相關(guān)設(shè)備進行通信����,例如多個STA接入到一個AP組成一個無線局域網(wǎng)進行通信�,接入到不同的AP的STA組成一個局域網(wǎng)進行通信�,以及STA與有線局域網(wǎng)的相關(guān)設(shè)備進行通信等等。關(guān)聯(lián)到一個AP下的STA構(gòu)成一個基本服務(wù)集(BSS)�����。
DS(Distribution System)即分發(fā)系統(tǒng)����,其使得不同的BSS之間、以及BSS與有線局域網(wǎng)之間能夠組成一個大的局域網(wǎng)�����。其中portal是指提供DS與有線局域網(wǎng)之間MAC服務(wù)數(shù)據(jù)單元(MSDUs)轉(zhuǎn)發(fā)的邏輯點����。
在WLAN系統(tǒng)中,SSID(Service Set Identifier)被用來區(qū)分不同的無線局域網(wǎng)���。當(dāng)不同的BSS(用BSSID標(biāo)識)通過DS組成一個大的局域網(wǎng)時��,它們擁有同樣的SSID��。
現(xiàn)有技術(shù)的802.11的工作原理如圖2所示����,圖示為被動掃描過程��,AP在其工作信道上周期性地發(fā)送廣播幀(Beacon幀或稱信標(biāo)幀)���。當(dāng)STA處于被動掃描方式時����,首先收聽廣播幀��,并根據(jù)其攜帶的管理信息以選擇候選接入的AP����。STA也可以采用一種主動掃描的方式取代被動掃描,即STA在對應(yīng)信道上發(fā)送Probe Request(探詢請求)�����,工作于該信道的AP回Probe Response(探詢響應(yīng))��,攜帶與Beacon等同的或更多的信息���。
通過掃描����,STA可獲得相關(guān)系統(tǒng)的信息,包括物理層與媒體接入控制層(MAC)層相關(guān)參數(shù)及能力支持等���,如安全參數(shù)RSN IE(Robust SecurityNetwork Information Element)�����。
當(dāng)STA確定加入到對應(yīng)的BSS時���,STA與AP之間會進行一個802.11鑒權(quán)過程。目前支持兩類鑒權(quán)共享密鑰鑒權(quán)(Shared Key Authentication)和開放系統(tǒng)鑒權(quán)(Open System authentication)�����。共享密鑰鑒權(quán)假定STA和AP之間擁有共同的密鑰�����,加密算法采用WEP(Wireless Equivalent Privacy)�。開放系統(tǒng)鑒權(quán)則不包含任何加密算法,相當(dāng)于系統(tǒng)是開放的�����。802.11i是針對802.11在安全性上的一個增強,它直接采用了802.1X的端口控制機制�����,對于802.11來說���,STA到AP的一個關(guān)聯(lián)對應(yīng)802.1X的端口。在802.11鑒權(quán)階段��,802.11i使用開放系統(tǒng)鑒權(quán)�����。從原理上��,中國的WAPI安全標(biāo)準(zhǔn)也類似于802.11i���,只是要求的鑒權(quán)方法與加密算法不同��。
在完成802.11鑒權(quán)過程后�����,就開始建立STA到AP的關(guān)聯(lián)�。首先,STA發(fā)送關(guān)聯(lián)請求�����,關(guān)聯(lián)請求中包含相關(guān)安全參數(shù)(如RSN IE)�。AP回應(yīng)關(guān)聯(lián)響應(yīng),并為該關(guān)聯(lián)分配一個關(guān)聯(lián)ID(Association ID)�。對于RSN來說,關(guān)聯(lián)所對應(yīng)的802.1X控制端口將是關(guān)閉的��,直到完成802.1X密鑰協(xié)商與安裝才打開�。
關(guān)聯(lián)之后的接入認(rèn)證過程對RSN來說就是802.1X/EAP接入認(rèn)證過程。Wi-Fi Alliance推薦的UAM(Universal Access Method)是基于瀏覽器劫持的另一種接入認(rèn)證方式�,即系統(tǒng)強制STA連接到一個頁面作為用戶輸入用戶名及密碼信息的窗口,該頁面與后端的AS進行信息交互���,但目前UAM不支持802.11i�����。
終端設(shè)備的臨時MAC地址動態(tài)更新需求舉例如下例如當(dāng)一個STA上擁有多個服務(wù)提供商的身份標(biāo)識(如有的手機可以支持多個SIM卡)時���,可從一個服務(wù)提供商獲得語音服務(wù)而從另一個服務(wù)提供商獲得數(shù)據(jù)服務(wù)。如果一個STA可以外接多個其他類型的獨立終端,通過共享該STA也可以獲得WLAN接入服務(wù)�。那么需要提供一種虛擬STA實現(xiàn)機制,以支持在一個物理STA上可以發(fā)起多個身份獨立的接入認(rèn)證流程并能區(qū)分各自獨立的業(yè)務(wù)流����,如圖3所示的虛擬STA模型,一個STA可以根據(jù)業(yè)務(wù)需要創(chuàng)建虛擬出一個或者多個虛擬STA�����,如圖3中所示的V-STA1和V-STA2��,這樣能夠支持一路或者多路獨立的業(yè)務(wù)流��。每個物理STA上的各個虛擬STA都分別對應(yīng)一個獨立的臨時MAC地址(T-MAC-ADDR)���。虛擬STA的建立流程如圖4所示的,已為申請人的另案專利申請中申請保護��。上述技術(shù)內(nèi)容的描述是為方便理解本發(fā)明技術(shù)方案的��,其中與本發(fā)明可能同期申請專利的內(nèi)容����,與本發(fā)明技術(shù)方案是相關(guān)聯(lián)的。
在建立虛擬終端之后,現(xiàn)有技術(shù)的臨時MAC地址不能動態(tài)刷新����,而由于無線局域網(wǎng)網(wǎng)絡(luò)的特點是在一定范圍內(nèi)都有覆蓋信號,容易被攻擊����,因此虛擬終端設(shè)備的臨時MAC地址會被從空口中進行MAC地址跟蹤和仿冒,并在仿冒后依此進行對無線局域網(wǎng)網(wǎng)絡(luò)系統(tǒng)的攻擊�,造成安全性損害。因此現(xiàn)有技術(shù)還有待于改進和發(fā)展�。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種無線局域網(wǎng)中臨時MAC地址(T-MAC-ADDR)的更新方法,以實現(xiàn)進行受保護的臨時MAC地址動態(tài)更新的方法����,提高安全性。
為實現(xiàn)上述目的���,本發(fā)明的技術(shù)方案包括一種無線局域網(wǎng)中虛擬終端臨時媒體訪問控制地址動態(tài)變更的方法�����,在所述無線局域網(wǎng)的網(wǎng)絡(luò)側(cè)的接入點上設(shè)置有一臨時媒體訪問控制地址管理器�,其包括以下步驟A��、在臨時媒體訪問控制地址的生存時間到達之前,由所述臨時媒體訪問控制地址管理器分配一新的臨時媒體訪問控制地址�,并發(fā)送給所述虛擬終端設(shè)備,其中至少攜帶有該終端設(shè)備的真實媒體訪問控制地址���、相應(yīng)的虛擬終端設(shè)備實例號以及所述新的臨時媒體訪問控制地址���;B、所述虛擬終端設(shè)備收到該新的臨時媒體訪問控制地址后�,啟動新的臨時媒體訪問控制地址的生存時間計時,并向所述臨時媒體訪問控制地址管理器發(fā)送確認(rèn)信息�����。
所述的方法�����,其中�����,所述方法在由虛擬終端設(shè)備發(fā)起時�,還包括以下步驟A1����、由所述虛擬終端設(shè)備向臨時媒體訪問控制地址管理器發(fā)出臨時媒體訪問控制地址更新請求���,并攜帶請求更新臨時地址的相應(yīng)虛擬終端設(shè)備的實例號,啟用定時器���,等待臨時媒體訪問控制地址更新響應(yīng)�;B1��、所述臨時媒體訪問控制地址管理器以該虛擬終端設(shè)備的正在使用的媒體訪問控制地址和虛擬終端設(shè)備的實例號來識別該更新操作�,如果所述定時器超時仍收不到對應(yīng)的臨時媒體訪問控制地址更新響應(yīng),則重發(fā)臨時媒體訪問控制地址更新請求預(yù)定次數(shù)��,如仍不能收到所述新的臨時媒體訪問控制地址�,則所述虛擬終端設(shè)備繼續(xù)使用舊的臨時媒體訪問控制地址。
所述的方法�,其中,所述步驟A還包括A11��、所述接入點收到該虛擬終端設(shè)備發(fā)送的臨時媒體訪問控制地址更新請求���,即封裝轉(zhuǎn)發(fā)給所述臨時媒體訪問控制地址管理器����;A12、所述臨時媒體訪問控制地址管理器將產(chǎn)生的新的臨時媒體訪問控制地址封裝響應(yīng)給所述接入點��,并啟動生存時間計時��;A13��、所述接入點封裝轉(zhuǎn)發(fā)給所述虛擬終端設(shè)備��,其中攜帶更新成功��、新的臨時媒體訪問控制地址���、生存時間參數(shù)�。
所述的方法���,其中��,所述步驟B還包括B11�����、所述虛擬終端設(shè)備在將新的臨時媒體訪問控制地址更新成功后給所述接入點發(fā)送一個臨時媒體訪問控制地址更新確認(rèn)信息,其中攜帶舊的臨時媒體訪問控制地址作為參數(shù)��;B12、所述接入點收到該虛擬終端設(shè)備發(fā)過來的臨時媒體訪問控制地址更新確認(rèn)信息�,將與該虛擬終端設(shè)備對應(yīng)的新的臨時媒體訪問控制地址更新下去,即以后發(fā)到該終端設(shè)備的802.11幀的目標(biāo)地址填上該新的臨時媒體訪問控制地址�����,直至其生存時間結(jié)束前又發(fā)起新的一次臨時媒體訪問控制地址更新流程�����。
所述的方法�,其中,所述接入點在未收到所述虛擬終端設(shè)備的臨時媒體訪問控制地址更新確認(rèn)信息時����,重復(fù)所述步驟A13預(yù)定次數(shù),并用舊的臨時媒體訪問控制地址作為目標(biāo)地址發(fā)送802.11幀給該虛擬終端設(shè)備�,如仍不能收到對應(yīng)的臨時媒體訪問控制地址更新確認(rèn)信息,則繼續(xù)使用舊的臨時媒體訪問控制地址�,并在所述虛擬終端和網(wǎng)絡(luò)側(cè)都重新啟動對舊的臨時媒體訪問控制地址的生存時間計時。
所述的方法��,其中�,所述步驟B中還包括該終端設(shè)備保留一預(yù)定時間的新、舊臨時媒體訪問控制地址和虛擬終端設(shè)備實例號的對應(yīng)關(guān)系���,并在收到所述接入點發(fā)送過來的802.11幀的源地址填的是新的臨時媒體訪問控制地址時�,清除舊的臨時媒體訪問控制地址和虛擬終端設(shè)備的實例號的對應(yīng)關(guān)系。
所述的方法�,其中,所述網(wǎng)絡(luò)側(cè)可主動分配新的臨時媒體訪問控制地址���。
所述的方法�����,其中��,還包括在所述終端設(shè)備側(cè)發(fā)起臨時媒體訪問控制地址更新操作請求后���,如果收到所述網(wǎng)絡(luò)側(cè)發(fā)送過來的主動更新信息,則主動停止本側(cè)主動發(fā)起的臨時媒體訪問控制地址更新流程���,且響應(yīng)所述網(wǎng)絡(luò)側(cè)發(fā)起的臨時媒體訪問控制地址更新流程����。
所述的方法���,其中���,還包括在所述網(wǎng)絡(luò)側(cè)發(fā)起臨時媒體訪問控制地址更新操作請求后,如果收到終端設(shè)備側(cè)發(fā)送過來的臨時媒體訪問控制地址更新操作請求信息��,則不響應(yīng)所述終端設(shè)備側(cè)主動發(fā)起的臨時媒體訪問控制地址更新操作請求�。
本發(fā)明所提供的一種虛擬終端臨時MAC地址動態(tài)變更的方法,在無線局域網(wǎng)中�,通過進行臨時MAC地址的更新過程,實現(xiàn)了無線局域網(wǎng)的安全傳遞信息�����。
圖1為現(xiàn)有技術(shù)的IEEE 802.11定義的WLAN系統(tǒng)示意圖���;圖2為現(xiàn)有技術(shù)的802.11網(wǎng)絡(luò)系統(tǒng)的工作原理��,其示出了被動掃描的流程圖�����;圖3為現(xiàn)有技術(shù)的虛擬終端設(shè)備接入無線局域網(wǎng)的系統(tǒng)示意圖���;圖4為現(xiàn)有技術(shù)的虛擬終端設(shè)備的建立流程示意圖;圖5為本發(fā)明的臨時MAC地址管理器的網(wǎng)絡(luò)結(jié)構(gòu)示意圖�;圖6為本發(fā)明方法的由虛擬STA發(fā)起的臨時MAC地址更新流程示意圖�����;圖7為本發(fā)明方法的由網(wǎng)絡(luò)側(cè)發(fā)起的臨時MAC地址更新流程示意圖����;圖8為本發(fā)明方法的由虛擬STA一側(cè)發(fā)起的臨時MAC地址更新失敗的流程示意圖���;圖9為本發(fā)明方法的由網(wǎng)絡(luò)側(cè)發(fā)起的臨時MAC地址更新失敗的流程示意圖���。
具體實施例方式
以下結(jié)合附圖,將對本發(fā)明的各較佳實施例進行較為詳細的說明��。
本發(fā)明涉及的是一種無線局域網(wǎng)中虛擬終端臨時MAC地址動態(tài)變更的方法���,如圖5所示的�����,其系統(tǒng)結(jié)構(gòu)包括首先在系統(tǒng)中設(shè)置一個臨時MAC地址管理器���,通過分發(fā)系統(tǒng)DS接入無線局域網(wǎng),用于統(tǒng)一管理一個WLAN中虛擬終端所使用的臨時MAC地址。臨時MAC地址管理器邏輯上是相對于AP功能實體的一個獨立功能實體����,幫助DS實現(xiàn)臨時MAC地址管理功能。
來源于STA的數(shù)據(jù)包經(jīng)AP發(fā)送到DS的數(shù)據(jù)包或來源于DS經(jīng)AP發(fā)送到STA的數(shù)據(jù)包在DS中使用STA真實地址���,STA臨時地址僅作為在空口上標(biāo)識受保護的STA用,在AP與STA之間用于替換真實MAC地址����,其作用范圍只在WLAN網(wǎng)絡(luò)內(nèi),在WLAN網(wǎng)絡(luò)內(nèi)使用�,不會傳遞到外部網(wǎng)絡(luò)及客戶端。
本發(fā)明的所述臨時MAC地址(T-MAC-ADDR)更新方法����,如圖6-圖9所示的,每隔預(yù)定時間就需要由臨時MAC地址管理器更新虛擬STA所使用的舊臨時MAC地址���,即動態(tài)更新�����。臨時MAC地址更新流程如圖6和圖7所示的�,更新策略分為由虛擬STA一側(cè)或網(wǎng)絡(luò)側(cè)發(fā)起兩種情況
I.虛擬STA一側(cè)發(fā)起的更新,如圖6所示�,包括以下步驟a)在臨時MAC地址的生存時間到達之前的某一個時間,比如生存時間過了50%的時候���,所述虛擬STA向臨時MAC地址管理器發(fā)出臨時MAC地址更新請求(TMA-UPDATE.request)��,其中攜帶了請求更新臨時地址的相應(yīng)虛擬STA實例號����,并啟用定時器TR�����,等待臨時MAC地址更新響應(yīng)(TMA-UPDATE.response)�����。網(wǎng)絡(luò)側(cè)以該虛擬STA的正在使用的MAC地址和虛擬STA實例號來識別這次更新操作�。如果定時器TR超時仍收不到臨時MAC地址更新響應(yīng),就會重發(fā)臨時MAC地址更新請求�,如果在一共發(fā)送了多次MAC地址更新請求之后,比如三次����,仍收不到臨時MAC地址更新響應(yīng)����,則更新操作不成功���,該虛擬STA繼續(xù)使用原臨時MAC地址�,如圖8所示的��。
b)AP收到虛擬STA發(fā)出的臨時MAC地址更新請求后���,封裝一個“臨時MAC地址更新操作請求”傳給所述臨時MAC地址管理器,其中攜帶有STA的真實MAC地址和相應(yīng)的虛擬STA實例號����。
c)所述臨時MAC地址管理器分配一個新的臨時MAC地址,然后將更新成功����、該臨時MAC地址和生存時間封裝在“臨時MAC地址更新操作響應(yīng)”里傳給AP,并啟動生存時間計時����。
d)AP將封裝一個“臨時MAC地址更新響應(yīng)”返回給對應(yīng)的STA,其中攜帶了更新成功��、新的臨時MAC地址、生存時間等參數(shù)����。
e)所述虛擬STA將新的臨時MAC地址更新下去,即以后發(fā)到AP的802.11幀的源地址填上這個新的臨時MAC地址�����,然后給AP發(fā)送一個“臨時MAC地址更新確認(rèn)”(TMA-UPDATE.confirm)��,其中攜帶上舊的臨時MAC地址作為參數(shù)�����。同時��,該STA還保留一段時間的新���、舊臨時MAC地址和虛擬實例號的對應(yīng)關(guān)系����,當(dāng)收到AP發(fā)送過來的802.11幀的源地址填的是新臨時MAC地址時����,才會清除舊臨時MAC地址和虛擬實例號的對應(yīng)關(guān)系�,這樣保證了與AP之間通信在新舊臨時MAC地址更替時的順暢性����。
f)AP收到該虛擬STA發(fā)過來的“臨時MAC地址更新確認(rèn)”,就將與這個虛擬STA對應(yīng)的新臨時MAC地址也更新下去����,即以后發(fā)到STA的802.11幀的目標(biāo)地址填上這個新的臨時MAC地址,直至生存時間結(jié)束前又會發(fā)起新的一次地址更新�。
g)如果AP沒有收到該虛擬STA發(fā)過來的“臨時MAC地址更新確認(rèn)”,會重發(fā)“臨時MAC地址更新響應(yīng)”���,比如重發(fā)三次,仍然會用舊的臨時MAC地址作為目標(biāo)地址發(fā)送802.11幀給該虛擬STA���,直到預(yù)定次數(shù)的重發(fā)都沒有收到虛擬STA發(fā)過來的“臨時MAC地址更新確認(rèn)”�����,就會繼續(xù)使用舊的臨時MAC地址��。此時虛擬STA會再次發(fā)送“臨時MAC地址更新確認(rèn)”��,如果三次都收到AP發(fā)送過來的用舊臨時MAC地址作為目標(biāo)地址的802.11幀���,也會繼續(xù)使用舊的臨時MAC地址���。這種情況下,AP會通知臨時MAC地址管理器回收原先更新的臨時MAC地址��,虛擬STA和網(wǎng)絡(luò)側(cè)都重新啟動對舊臨時MAC地址的生存時間計時�����。
h)如果臨時MAC地址管理器不能分配新的臨時MAC地址�,比如地址用盡或者到達可用地址數(shù)目最大值,那么臨時MAC地址管理器會找到該虛擬序列號所對應(yīng)的臨時MAC地址�,將重新開始它的生存時間計時,然后封裝一個“臨時MAC地址更新操作響應(yīng)”��,其中攜帶有STA的真實MAC地址和相應(yīng)的虛擬STA實例號以及更新操作失敗的參數(shù)傳給AP��。在這種情況下��,AP在返回給虛擬STA的“臨時MAC地址更新響應(yīng)(TMA-UPDATE.response)”里帶上更新失敗�����、虛擬實例號等參數(shù)��。虛擬STA在收到帶有更新失敗參數(shù)的臨時MAC地址更新響應(yīng)時,會重新開始生存時間計時����,并繼續(xù)使用原來的臨時MAC地址。
II.網(wǎng)絡(luò)一側(cè)發(fā)起的更新A���、在臨時MAC地址的生存時間到達之前的某一個時間��,網(wǎng)絡(luò)一側(cè)主動分配一個新的臨時MAC地址�����,并封裝一個“臨時MAC地址更新操作請求”傳給虛擬STA��,其中直接攜帶有STA的真實MAC地址��、相應(yīng)的虛擬STA實例號和已經(jīng)由臨時MAC地址管理器新分配的臨時MAC地址,如圖7所示��。
B�、收到“臨時MAC地址更新操作請求”后,虛擬STA將新的臨時MAC地址更新下去�����,即以后發(fā)到AP的802.11幀的源地址填上這個新的臨時MAC地址,然后給AP發(fā)送一個“臨時MAC地址更新確認(rèn)”(TMA-UPDATE.confirm)�,其中攜帶上舊的臨時MAC地址作為參數(shù)。同時該STA還保留一段時間的新���、舊臨時MAC地址和虛擬實例號的對應(yīng)關(guān)系�。當(dāng)收到AP發(fā)送過來的802.11幀的源地址填的是新臨時MAC地址時�,才會清除舊臨時MAC地址和虛擬實例號的對應(yīng)關(guān)系,如此保證在新舊臨時MAC地址更替時的通信流暢�。
C、AP收到該虛擬STA發(fā)過來的“臨時MAC地址更新確認(rèn)”�����,就將與這個虛擬STA對應(yīng)的新臨時MAC地址也更新下去���,即以后發(fā)到STA的802.11幀的目標(biāo)地址填上這個新的臨時MAC地址�����,直至生存時間結(jié)束前又會由網(wǎng)絡(luò)側(cè)發(fā)起新的一次地址更新��。
D��、如果AP沒有收到該虛擬STA發(fā)過來的“臨時MAC地址更新確認(rèn)”�����,會重發(fā)“臨時MAC地址更新操作請求”預(yù)定次數(shù)�,比如重發(fā)三次,仍然用舊的臨時MAC地址作為目標(biāo)地址發(fā)送802.11幀給該虛擬�,同時攜帶有STA的真實MAC地址、相應(yīng)的虛擬STA實例號和已經(jīng)由臨時MAC地址管理器新分配的臨時MAC地址�。如果三次都沒有收到虛擬STA發(fā)過來的“臨時MAC地址更新確認(rèn)”,則會繼續(xù)使用舊的臨時MAC地址�����,如圖9所示的�����。此時虛擬STA會再次發(fā)送“臨時MAC地址更新確認(rèn)”���,如果三次都收到AP發(fā)送過來的用舊臨時MAC地址作為目標(biāo)地址的802.11幀�����,也會繼續(xù)使用舊的臨時MAC地址。這種情況下�,AP會通知臨時MAC地址管理器回收新的臨時MAC地址���,STA和管理器都重新啟動對舊臨時MAC地址的生存時間計時。
須注意的是���,本發(fā)明方法中存在STA和AP側(cè)同時互發(fā)“臨時MAC地址更新操作請求”的可能��,所以規(guī)定STA側(cè)在發(fā)出“臨時MAC地址更新操作請求”后�����,如果此時收到AP側(cè)發(fā)送過來的“臨時MAC地址更新操作請求”�,則主動停止自己(STA側(cè))主動發(fā)起的臨時MAC地址更新流程�,而僅響應(yīng)AP側(cè)發(fā)起的臨時MAC地址更新流程。AP側(cè)在發(fā)出“臨時MAC地址更新操作請求”后�,如果收到STA側(cè)發(fā)送過來的“臨時MAC地址更新操作請求”,不響應(yīng)STA側(cè)主動發(fā)起的臨時MAC地址更新操作請求��。由此����,來保證由STA側(cè)和AP側(cè)發(fā)起的請求不會沖突。
現(xiàn)有技術(shù)的RSNA安全機制(包括預(yù)認(rèn)證)和QoS機制都是以STA的MAC地址作為服務(wù)識別符��,所以虛擬STA進行越區(qū)切換的過程中仍然使用切換之前的臨時MAC地址,不進行臨時MAC地址的更新�����,切換之后的更新則走前面按照生存時間描述的流程���。
本發(fā)明方法中的臨時MAC地址的更新僅發(fā)生在已關(guān)聯(lián)之后��,更新請求和更新響應(yīng)等Action管理幀的保護可以采用802.11w管理幀保護機制���,目前的標(biāo)準(zhǔn)還不提供管理幀保護。
本發(fā)明方法中的臨時MAC地址的更新原語��,新定義了三個802.11MAC服務(wù)原語TMA-UPDATE.request����,用于臨時地址更新請求;TMA-UPDATE.response���,用于臨時MAC地址更新操作的響應(yīng)結(jié)果��;TMA-UPDATE.confirm��,用于臨時MAC地址更新操作的確認(rèn)�����;它們的格式定義可以為但不限于TMA-UPDATE.request(Real Source Address�,/*STA的真實MAC地址*/Visual-STA identifier/*為虛擬STA實例號*/Visual-STA T-Mac-Address���,/*新分配的臨時MAC地址�����,僅網(wǎng)絡(luò)側(cè)發(fā)過來時有該參數(shù)*/Lifetime/*此臨時MAC地址的生存時間��,僅網(wǎng)絡(luò)側(cè)發(fā)過來時有該參數(shù)*/)TMA-UPDATE.response(Real Source Address�����,/*STA的真實MAC地址*/
Visual-STA identifier����,/*為虛擬STA實例號*/Result��,/*更新操作的結(jié)果�,成功或者失敗*/Visual-STA T-Mac-Address,/*新分配的臨時MAC地址*/Lifetime/*此臨時MAC地址的生存時間*/)TMA-UPDATE.confirm(Old Visual-STA T-Mac-Address����,*/舊的臨時MAC地址*/)本發(fā)明方法在定義上述服務(wù)原語的同時���,還定義三種Action管理幀類型來標(biāo)識對臨時MAC地址的動作操作,請參考表1和表2表1Category Values���,表示臨時MAC地址的操作
表2T-Mac-Address Action Field Values����,表示Action管理幀的類型
本發(fā)明實現(xiàn)了虛擬STA所使用的臨時MAC地址的一種更新方法��,即使用Action管理幀進行臨時MAC地址的更新����,但同時包括使用其他管理幀比如Probe幀、Authentication幀進行類似的更新�。本發(fā)明方法實現(xiàn)了一種進行受保護的臨時MAC地址動態(tài)更新的方法,提高了安全性���。
應(yīng)當(dāng)理解的是�����,上述針對具體實施例的描述較為具體��,并不能因此而認(rèn)為是對本發(fā)明專利保護范圍的限制����,本發(fā)明的專利保護范圍應(yīng)以所附權(quán)利要求為準(zhǔn)。
權(quán)利要求
1.一種虛擬終端臨時媒體訪問控制地址動態(tài)變更的方法�,在無線局域網(wǎng)的網(wǎng)絡(luò)側(cè)的接入點上設(shè)置有一臨時媒體訪問控制地址管理器���,其包括以下步驟A����、在臨時媒體訪問控制地址的生存時間到達之前�,由所述臨時媒體訪問控制地址管理器分配一新的臨時媒體訪問控制地址,并發(fā)送給所述虛擬終端設(shè)備���,其中至少攜帶有該終端設(shè)備的真實媒體訪問控制地址����、相應(yīng)的虛擬終端設(shè)備實例號以及所述新的臨時媒體訪問控制地址���;B��、所述虛擬終端設(shè)備收到該新的臨時媒體訪問控制地址后����,啟動新的臨時媒體訪問控制地址的生存時間計時,并向所述臨時媒體訪問控制地址管理器發(fā)送確認(rèn)信息�。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于��,所述方法在由虛擬終端設(shè)備發(fā)起時�����,還包括以下步驟A1�、由所述虛擬終端設(shè)備向臨時媒體訪問控制地址管理器發(fā)出臨時媒體訪問控制地址更新請求,并攜帶請求更新臨時地址的相應(yīng)虛擬終端設(shè)備的實例號�����,啟用定時器�,等待臨時媒體訪問控制地址更新響應(yīng);B1���、所述臨時媒體訪問控制地址管理器以該虛擬終端設(shè)備的正在使用的媒體訪問控制地址和虛擬終端設(shè)備的實例號來識別該更新操作���,如果所述定時器超時仍收不到對應(yīng)的臨時媒體訪問控制地址更新響應(yīng),則重發(fā)臨時媒體訪問控制地址更新請求預(yù)定次數(shù)����,如仍不能收到所述新的臨時媒體訪問控制地址�����,則所述虛擬終端設(shè)備繼續(xù)使用舊的臨時媒體訪問控制地址����。
3.根據(jù)權(quán)利要求2所述的方法��,其特征在于�����,所述步驟A還包括A11����、所述接入點收到該虛擬終端設(shè)備發(fā)送的臨時媒體訪問控制地址更新請求��,即封裝轉(zhuǎn)發(fā)給所述臨時媒體訪問控制地址管理器�����;A12��、所述臨時媒體訪問控制地址管理器將產(chǎn)生的新的臨時媒體訪問控制地址封裝響應(yīng)給所述接入點,并啟動生存時間計時����;A13、所述接入點封裝轉(zhuǎn)發(fā)給所述虛擬終端設(shè)備�,其中攜帶更新成功、新的臨時媒體訪問控制地址��、生存時間參數(shù)�。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于��,所述步驟B還包括B11�����、所述虛擬終端設(shè)備將新的臨時媒體訪問控制地址更新成功后給所述接入點發(fā)送一個臨時媒體訪問控制地址更新確認(rèn)信息�����,其中攜帶舊的臨時媒體訪問控制地址作為參數(shù)����;B12、所述接入點收到該虛擬終端設(shè)備發(fā)過來的臨時媒體訪問控制地址更新確認(rèn)信息,將與該虛擬終端設(shè)備對應(yīng)的新的臨時媒體訪問控制地址更新下去����,即以后發(fā)到該終端設(shè)備的802.11幀的目標(biāo)地址填上該新的臨時媒體訪問控制地址,直至其生存時間結(jié)束前又發(fā)起新的一次臨時媒體訪問控制地址更新流程�。
5.根據(jù)權(quán)利要求4所述的方法,其特征在于���,所述接入點在未收到所述虛擬終端設(shè)備的臨時媒體訪問控制地址更新確認(rèn)信息時�,重復(fù)所述步驟A13預(yù)定次數(shù)����,并用舊的臨時媒體訪問控制地址作為目標(biāo)地址發(fā)送802.11幀給該虛擬終端設(shè)備,如仍不能收到對應(yīng)的臨時媒體訪問控制地址更新確認(rèn)信息�����,則繼續(xù)使用舊的臨時媒體訪問控制地址���,并在所述虛擬終端和網(wǎng)絡(luò)側(cè)都重新啟動對舊的臨時媒體訪問控制地址的生存時間計時。
6.根據(jù)權(quán)利要求5所述的方法����,其特征在于,所述步驟B中還包括該終端設(shè)備保留一預(yù)定時間的新、舊臨時媒體訪問控制地址和虛擬終端設(shè)備實例號的對應(yīng)關(guān)系�����,并在收到所述接入點發(fā)送過來的802.11幀的源地址填的是新的臨時媒體訪問控制地址時�����,清除舊的臨時媒體訪問控制地址和虛擬終端設(shè)備的實例號的對應(yīng)關(guān)系����。
7.根據(jù)權(quán)利要求1所述的方法,其特征在于��,所述網(wǎng)絡(luò)側(cè)可主動分配新的臨時媒體訪問控制地址��。
8.根據(jù)權(quán)利要求1所述的方法��,其特征在于����,還包括在所述終端設(shè)備側(cè)發(fā)起臨時媒體訪問控制地址更新操作請求后,如果收到所述網(wǎng)絡(luò)側(cè)發(fā)送過來的主動更新信息���,則主動停止本側(cè)主動發(fā)起的臨時媒體訪問控制地址更新流程���,且響應(yīng)所述網(wǎng)絡(luò)側(cè)發(fā)起的臨時媒體訪問控制地址更新流程���。
9.根據(jù)權(quán)利要求8所述的方法,其特征在于���,還包括在所述網(wǎng)絡(luò)側(cè)發(fā)起臨時媒體訪問控制地址更新操作請求后��,如果收到終端設(shè)備側(cè)發(fā)送過來的臨時媒體訪問控制地址更新操作請求信息�����,則不響應(yīng)所述終端設(shè)備側(cè)主動發(fā)起的臨時媒體訪問控制地址更新操作請求�。
全文摘要
本發(fā)明公開了一種虛擬終端臨時媒體訪問控制地址動態(tài)變更的方法��,在所述無線局域網(wǎng)的網(wǎng)絡(luò)側(cè)的接入點上設(shè)置有一臨時媒體訪問控制地址管理器��,其包括步驟在臨時媒體訪問控制地址的生存時間到達之前���,由所述臨時媒體訪問控制地址管理器分配一新的臨時媒體訪問控制地址,并發(fā)送給所述虛擬終端設(shè)備����,其中至少攜帶有該終端設(shè)備的真實媒體訪問控制地址、相應(yīng)的虛擬終端設(shè)備實例號以及所述新的臨時媒體訪問控制地址;所述虛擬終端設(shè)備收到該新的臨時媒體訪問控制地址后�����,啟動新的臨時媒體訪問控制地址的生存時間計時��,并向所述臨時媒體訪問控制地址管理器發(fā)送確認(rèn)信息���。本發(fā)明方法通過進行臨時MAC地址的更新過程�,實現(xiàn)了無線局域網(wǎng)的安全傳遞信息����。
文檔編號H04L12/28GK1852330SQ20051010069
公開日2006年10月25日 申請日期2005年10月21日 優(yōu)先權(quán)日2005年10月21日
發(fā)明者姚忠輝, 莫良耀, 藍文廣, 陳偉峰 申請人:華為技術(shù)有限公司