亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

用于提供無線網(wǎng)狀網(wǎng)的方法和設(shè)備的制作方法

文檔序號(hào):7678659閱讀:121來源:國(guó)知局
專利名稱:用于提供無線網(wǎng)狀網(wǎng)的方法和設(shè)備的制作方法
用于提供無線網(wǎng)狀網(wǎng)的方法和設(shè)備本發(fā)明涉及一種根據(jù)權(quán)利要求1的前序部分所述的用于提供無線
網(wǎng)狀網(wǎng)的方法以及一種根據(jù)權(quán)利要求24的前序部分所述的用于提供無線網(wǎng)狀網(wǎng)的設(shè)備。
無線網(wǎng)狀(Mesh)網(wǎng)是例如在無線局域網(wǎng)(WLAN, Wireless LocalArea Network)中實(shí)施的成網(wǎng)狀的網(wǎng)絡(luò)。在網(wǎng)狀網(wǎng)中,移動(dòng)節(jié)點(diǎn)將源
自另一移動(dòng)節(jié)點(diǎn)的數(shù)據(jù)轉(zhuǎn)發(fā)給其它移動(dòng)節(jié)點(diǎn)或者傳輸給基站。在網(wǎng)狀網(wǎng)(Mesh-Network)中,可跨越長(zhǎng)距離,尤其是在不平坦的或者復(fù)雜的地形中跨越長(zhǎng)距離。此外,網(wǎng)狀網(wǎng)非??煽康毓ぷ鳎?yàn)槊總€(gè)移動(dòng)節(jié)點(diǎn)都與數(shù)個(gè)其它節(jié)點(diǎn)相連。如果節(jié)點(diǎn)發(fā)生故障,例如由于硬件缺陷發(fā)生故障,該節(jié)點(diǎn)的相鄰節(jié)點(diǎn)搜尋可替換的數(shù)據(jù)傳輸路線。網(wǎng)狀網(wǎng)可以將固定設(shè)備或者移動(dòng)設(shè)備一起包括在內(nèi)。


圖1中,如上面所闡述的那樣,示出了與基礎(chǔ)設(shè)施網(wǎng)絡(luò)INFRASTRUCTURE NETWORK相連的網(wǎng)狀網(wǎng)MESH,并且該網(wǎng)狀網(wǎng)MESH除了具有網(wǎng)狀網(wǎng)的節(jié)點(diǎn)MP、 MAP之外還具有非網(wǎng)狀站(nichtMesh-Station),諸如具有按照WLAN運(yùn)行的站STA。按照WLAN運(yùn)行的站STA與網(wǎng)狀網(wǎng)MESH通過作為WLAN接入點(diǎn)(即WLAN Access Point)工作的網(wǎng)狀網(wǎng)節(jié)點(diǎn)MAP相連接。
在此,WLAN站STA的網(wǎng)狀網(wǎng)MESH也能夠接入基礎(chǔ)設(shè)施網(wǎng)絡(luò)INFRASTRUCTURE NETWORK,諸如接入企業(yè)網(wǎng)或者因特網(wǎng)。
在此,對(duì)網(wǎng)狀節(jié)點(diǎn)MP和/或WLAN站STA的認(rèn)證例如在使用認(rèn)證服務(wù)器AAA-服務(wù)器(AS)的情況下進(jìn)行,其中所示例子中的網(wǎng)狀網(wǎng)MESH通過網(wǎng)關(guān)部件GW與基礎(chǔ)i殳施網(wǎng)絡(luò)INFRASTRUCTURE NETWORK相耦合。
在圖2中示出了如由現(xiàn)有技術(shù)公知的獨(dú)立的網(wǎng)狀網(wǎng)MESH。在此,獨(dú)立意味著,網(wǎng)狀網(wǎng)MESH只是由網(wǎng)狀節(jié)點(diǎn)MP構(gòu)成。
在此,不僅涉及基礎(chǔ)設(shè)施節(jié)點(diǎn),而且涉及諸如筆記本電腦或者PDA那樣的所謂的終端用戶節(jié)點(diǎn)。
相反,圖3示出了如由現(xiàn)有技術(shù)公知的帶有接入點(diǎn)MAP的獨(dú)立網(wǎng)狀網(wǎng),該接入點(diǎn)MAP允許諸如所示的WLAN站STA那樣的沒有網(wǎng)狀能力的設(shè)備在網(wǎng)絡(luò)MESH上注冊(cè)。可是,所示的WLAN站STA并不親自參與
7網(wǎng)狀路由。
在所示的根據(jù)現(xiàn)有技術(shù)的設(shè)備中,在此通常利用所謂的MAC地址 (介質(zhì)訪問控制以太網(wǎng)(Media Access Control Ethernet) ID)在網(wǎng) 絡(luò)中對(duì)設(shè)備進(jìn)行識(shí)別。MAC地址在此是節(jié)點(diǎn)的用于在基于IEEE 802標(biāo) 準(zhǔn)的通信網(wǎng)絡(luò)中(諸如在根據(jù)IEEE 802.11的WLAN中和所示的根據(jù) IEEE 802. 11S的網(wǎng)狀網(wǎng)MESH中)進(jìn)行通信的第二層地址。通常,該地 址在全局單義地(eindeutig)與相應(yīng)硬件有關(guān)聯(lián)。
可是公知的是,不可信的用戶攻擊者(ATTACKER) MP錯(cuò)誤地或者 完全故意地使用可信的用戶GOOD (好)MP的MAC地址。由于這種也被 公知為MAC地址欺詐(MAC Address Spoofing)的操縱,導(dǎo)致對(duì)受侵 襲的網(wǎng)絡(luò)的干擾,例如導(dǎo)致拒絕服務(wù)(DoS, Denial of Service)攻 擊,這些干擾通過以下方式形成犧牲者GOOD MP不再能夠進(jìn)行通信, 因?yàn)槠錈o線連接(Wireless Link)不再有效。此外,在WLAN熱點(diǎn)利 用純粹基于http瀏覽器的注冊(cè)可接管(uebernehmen)可信的用戶GOOD MP的通信會(huì)話。
由 Joshua Right 的 "Detecting Wireless LAN MAC Address Spoof ing" (2003年 1 月 21 日,http: 〃www. routesecure. net/ content/downloads/pdf/wlan—macspoof— detect ion, pdf)公開了用 于識(shí)別WLAN MAC地址欺騙的措施,其中一方面檢查是所傳送的MAC地 址的部分的專門指派給制造商的所謂組織唯 一 標(biāo)識(shí)符OUI
(Organizationally Unique Identif ier )(參見http- //standards, ieee. org/regauth/oui/oui. txt)究竟是否被指派給該制造商。此外, 也可以分析用戶的通常連續(xù)地增加的WLANMAC序號(hào),這被實(shí)現(xiàn)來使得 只要出現(xiàn)較大的間隙(Luecke),就標(biāo)志著相對(duì)應(yīng)的MAC幀由另一站
(攻擊者)來發(fā)送。
在這種情況下不利的是,只有當(dāng)MAC地址隨;f幾生成時(shí),OUI的檢查 才起作用,但是如果攻擊者ATTACKER MP僅使用了另 一可信用戶GOOD MP的MAC地址,則OUI的檢查不起作用。此外,攻擊者ATTACKER MP 也可以在MAC地址的OUI被指派的附加條件下隨才幾地生成這些MAC地 址。
此外,由專利申請(qǐng)US 2006/0114863 7>知一種用于保護(hù)IEEE 802. 11數(shù)據(jù)通信免受MAC地址欺詐的方法,在該方法中防止WLAN網(wǎng)絡(luò)中的MAC地址欺詐來使得編制MAC地址和在WLAN注冊(cè)中所使用的用 戶身份的對(duì)照表,并且在隨后的WLAN注冊(cè)時(shí)檢查所使用的MAC地址以 及用戶身份與對(duì)照表中存在的條目是否一致,并且如果不一致,則拒 絕注冊(cè)。
因而,本發(fā)明所基于的任務(wù)在于,給出一種改進(jìn)的用于提供無線 網(wǎng)狀網(wǎng)的方法以及設(shè)備。
該任務(wù)從權(quán)利要求1的前序部分出發(fā)通過其特征部分的特征以及 從權(quán)利要求24的前序部分出發(fā)通過其特征部分的特征得以解決。
在根據(jù)本發(fā)明的用于提供無線本地網(wǎng)的方法中,其中根據(jù)IEEE 802. 11標(biāo)準(zhǔn)及其衍生物、尤其是IEEE 802. 15或者IEEE 802. 16構(gòu)建 的固定通信設(shè)備以及移動(dòng)通信設(shè)備按照網(wǎng)格方式作為子網(wǎng)被連接,從 向子網(wǎng)注冊(cè)的通信設(shè)備方面,注冊(cè)的MAC地址被傳送給子網(wǎng),此外執(zhí) 行檢查來使得注冊(cè)的MAC地址與從子網(wǎng)方面可獲得的MAC地址進(jìn)行比 較,并且在注冊(cè)的MAC地址與可獲得的MAC地址不相交的情況下,注 冊(cè)的通信設(shè)備作為子網(wǎng)的站被連接,而對(duì)于注冊(cè)的MAC地址在子網(wǎng)中 已經(jīng)可獲得的情況,許可程序(Zulassungsprozedur )被執(zhí)行來使得 阻止在子網(wǎng)之內(nèi)通過兩個(gè)不同的通信設(shè)備使用該注冊(cè)的MAC地址。
根據(jù)本發(fā)明的方法的優(yōu)點(diǎn)是對(duì)MAC地址欺詐的影響有免疫作用, 因?yàn)楦鶕?jù)本發(fā)明的行為方式有針對(duì)性地阻止以已經(jīng)可獲得的MAC地址 的注冊(cè),其中這與由現(xiàn)有技術(shù)公知的方法相比無需事先要存儲(chǔ)的設(shè)備 與MAC地址之間的關(guān)系等。
在本發(fā)明的擴(kuò)展方案中,在此作為許可程序執(zhí)行拒絕注冊(cè)的通信。 在這種情況下,涉及確保避免MAC地址欺詐的最簡(jiǎn)單的變型,因?yàn)楦?本無需附加的詢問和數(shù)據(jù)傳送。此外,這是該許可程序的最快可能的 展開。
可替換地,作為許可程序,注冊(cè)的MAC地址的轉(zhuǎn)換被執(zhí)行來使得 與可獲得的MAC地址不相交的MAC地址在子網(wǎng)之內(nèi)被指派給注冊(cè)的通 信設(shè)備。
由此,與給每個(gè)設(shè)備在全局單義地分配的MAC地址無關(guān)地,在內(nèi) 部針對(duì)子網(wǎng)指派對(duì)于子網(wǎng)僅僅本地有效的MAC地址,并且如此避免了 欺詐,也就是說MAC地址欺詐對(duì)網(wǎng)狀子網(wǎng)的功能、尤其是對(duì)在網(wǎng)狀子 網(wǎng)之內(nèi)路由和轉(zhuǎn)發(fā)數(shù)據(jù)有不利影響。優(yōu)選地,在此,不相交的MAC地址從子網(wǎng)方面被生成,因?yàn)椴幌?交的MAC地址擁有現(xiàn)存的MAC地址的信息或擁有在本地網(wǎng)中有效的地 址的信息。在此也有利的是,不相交的MAC地址基于偽隨機(jī)序列、尤 其是基于正好一次產(chǎn)生的"只用一次的數(shù)字(Number Used Once), 隨機(jī)數(shù)(Nonce),,來生成。
此外有利的是,不相交的MAC地址在擴(kuò)展方案中與在全局、尤其 是從組織方面如根據(jù)OUI指派的MAC地址不相交地被選擇。由此保證 不存在與全局分配的MAC地址的沖突。
優(yōu)選地,在此將不相交的MAC地址的第41位置為值1,以致本地 有效性以簡(jiǎn)單的方式來表征。
本發(fā)明的另一有利的改進(jìn)方案在于作為許可程序,從子網(wǎng)方面 執(zhí)行對(duì)注冊(cè)的通信設(shè)備與通過對(duì)應(yīng)于注冊(cè)的MAC地址的可獲得的MAC 地址所確定的第一通信設(shè)備的一致性的檢驗(yàn)。由此可以確定注冊(cè)的通 信設(shè)備是否是已經(jīng)已知的通信設(shè)備,該已經(jīng)已知的通信設(shè)備僅要在網(wǎng) 狀網(wǎng)中建立另一鏈路,這根據(jù)網(wǎng)狀體系架構(gòu)也應(yīng)被保障并且因此不是 欺詐的情況,而是合法的注冊(cè)嘗試,并且因而會(huì)被許可。
在此,在擴(kuò)展方案中, 一致性檢驗(yàn)被執(zhí)行來使得從子網(wǎng)方面將第 一檢驗(yàn)信息通過被建立通向?qū)?yīng)于注冊(cè)的MAC地址的可獲得的MAC地 址所確定的通信設(shè)備的子網(wǎng)絡(luò)線被傳送給第一通信設(shè)備,此外,子網(wǎng) 將返回第一檢驗(yàn)信息的請(qǐng)求傳送給第一通信設(shè)備,以及子網(wǎng)等待通過 在注冊(cè)的站的注冊(cè)嘗試范圍內(nèi)所建立的子網(wǎng)絡(luò)線、也就是通過要建立 的子網(wǎng)鏈路返回第一檢驗(yàn)信息,緊接于此由于未發(fā)生返回而拒絕注冊(cè) 的通信設(shè)備或在發(fā)生返回時(shí)檢查第一檢驗(yàn)信息與所返回的檢驗(yàn)信息的 相關(guān),并且在達(dá)到第 一檢驗(yàn)信息與所返回的檢驗(yàn)信息的所確定的相關(guān) 度的情況下、尤其是在第一檢驗(yàn)信息與所返回的檢驗(yàn)信息一致的情況 下將注冊(cè)的通信設(shè)備作為子網(wǎng)的站來連接,否則同樣拒絕該注冊(cè)的通 信設(shè)備。
由此,也就是通過已存在的路線執(zhí)行檢驗(yàn)參數(shù)從網(wǎng)絡(luò)向已注冊(cè)的 站的發(fā)送,并且實(shí)現(xiàn)等待該檢驗(yàn)參數(shù)通過要新建的路線返回,這只有 當(dāng)注冊(cè)的設(shè)備是已經(jīng)以可獲得的MAC地址被并入網(wǎng)絡(luò)中的相同設(shè)備時(shí) 才成功地結(jié)束。
一致性檢驗(yàn)的另一變型實(shí)現(xiàn)來使得第一檢驗(yàn)信息從子網(wǎng)方面通過在注冊(cè)的站的注冊(cè)嘗試的范圍內(nèi)所建立的子網(wǎng)絡(luò)線被傳送給第一通信 設(shè)備,該子網(wǎng)向第一通信設(shè)備傳送返回第一檢驗(yàn)信息的請(qǐng)求,該子網(wǎng)
等待通過被建立通向?qū)?yīng)于注冊(cè)的MAC地址的可獲得的MAC地址所確 定的通信設(shè)備的子網(wǎng)絡(luò)線來返回第一檢驗(yàn)信息,此外在未發(fā)生返回時(shí) 拒絕注冊(cè)的通信設(shè)備,而在發(fā)生返回時(shí)在其情況下檢查第一檢驗(yàn)信息 與所返回的檢驗(yàn)信息的相關(guān),以致在達(dá)到第一檢驗(yàn)信息與所返回的檢 驗(yàn)信息的所確定的相關(guān)度的情況下、尤其是在第一檢驗(yàn)信息與所返回 的檢驗(yàn)信息一致的情況下將注冊(cè)的通信設(shè)備作為子網(wǎng)的站來連接,否 則拒絕注冊(cè)的通信設(shè)備。在這種情況下涉及一種變型,在該變型中, 檢驗(yàn)參數(shù)從網(wǎng)絡(luò)被發(fā)送給剛剛注冊(cè)的站,其中為此使用要新建的路線, 并且緊接于此,該網(wǎng)絡(luò)等待通過已經(jīng)存在的路線來返回檢驗(yàn)參數(shù)。這 也只有當(dāng)注冊(cè)的設(shè)備和已經(jīng)可獲得的設(shè)備相同并且因此兩條路線都導(dǎo) 向其才可實(shí)現(xiàn),以致在此也保證對(duì)注冊(cè)的站與已經(jīng)可獲得的站的一致 性的可靠驗(yàn)證。
優(yōu)選地,子網(wǎng)發(fā)起第二和/或第三檢驗(yàn)信息的傳輸或者可替換于此 地從注冊(cè)的通信設(shè)備方面自動(dòng)地進(jìn)行第二和/或第三檢驗(yàn)信息的傳輸。
用于一致性檢驗(yàn)的另一變型在于,第四檢驗(yàn)信息通過在注冊(cè)的站 的注冊(cè)嘗試范圍內(nèi)所建立的子網(wǎng)絡(luò)線被傳送給子網(wǎng),該第四檢驗(yàn)信息 是從對(duì)通過對(duì)應(yīng)于注冊(cè)的MAC地址的可獲得的MAC地址所確定的第一 通信設(shè)備進(jìn)行認(rèn)證的加密密鑰方面計(jì)算出的,尤其是從由根據(jù)所謂的 "可擴(kuò)展認(rèn)證協(xié)議EAP (Extensible Authentication Protocol),, 協(xié)議的網(wǎng)絡(luò)注冊(cè)得到的可供注冊(cè)的通信設(shè)備使用的第一會(huì)話密鑰方面 計(jì)算出的;此外,從子網(wǎng)方面在借助基于對(duì)通過對(duì)應(yīng)于注冊(cè)的MAC地 址的可獲得的MAC地址所確定的通信設(shè)備進(jìn)行認(rèn)證的第二加密密鑰、 尤其是由根據(jù)"可擴(kuò)展認(rèn)證協(xié)議EAP"協(xié)議的網(wǎng)絡(luò)注冊(cè)得到的可供子網(wǎng) 使用的第二會(huì)話密鑰的情況下來確定第四檢驗(yàn)信息的有效性,在給定 的有效性的情況下將注冊(cè)的通信設(shè)備作為子網(wǎng)的站來連接,否則拒絕 該注冊(cè)的通信設(shè)備。
可替換地,進(jìn)行一致性檢驗(yàn)來使得從注冊(cè)的通信設(shè)備方面基于認(rèn) 證該注冊(cè)的通信設(shè)備的笫一加密密鑰、尤其是基于由根據(jù)所謂的"可 擴(kuò)展認(rèn)證協(xié)i義EAP,,協(xié)議的網(wǎng)絡(luò)注冊(cè)得到的可供該注冊(cè)的通信設(shè)備使用 的第一會(huì)話密鑰計(jì)算出的第五檢驗(yàn)信息通過被建立通向?qū)?yīng)于注冊(cè)的MAC地址的可獲得的MAC地址所確定的通信設(shè)備的路線被傳送給子網(wǎng), 此外從子網(wǎng)方面在借助基于對(duì)注冊(cè)的通信設(shè)備進(jìn)行認(rèn)證的第二加密密 鑰、尤其是由根據(jù)"可擴(kuò)展認(rèn)證協(xié)議EAP"協(xié)議的網(wǎng)絡(luò)注冊(cè)得到的可供 子網(wǎng)使用的第二會(huì)話密鑰的情況下確定檢驗(yàn)信息的有效性,在給定的 有效性的情況下將注冊(cè)的通信設(shè)備作為子網(wǎng)的站來連接,否則拒絕該 注冊(cè)的通信設(shè)備。
通過這兩種變型能特別可靠地驗(yàn)證一致性,因?yàn)檫@在分配給相應(yīng) 的通信設(shè)備或分配給對(duì)于這些通信設(shè)備現(xiàn)有和相應(yīng)要新建的鏈路的加 密信息上實(shí)現(xiàn)。
在此,優(yōu)選地將第一和/或第二會(huì)話密鑰作為根據(jù)"可擴(kuò)展認(rèn)證協(xié) 議EAP,,協(xié)議構(gòu)成的主會(huì)話密鑰MSK (Master Session Key)來產(chǎn)生, 以致根據(jù)本發(fā)明的方法可以在通常的EAP環(huán)境中或基于該EAP環(huán)境來 實(shí)施。
替換于此地或補(bǔ)充于此地,第一和/或第二會(huì)話密鑰也可作為根據(jù) "可擴(kuò)展認(rèn)證協(xié)議EAP"協(xié)議構(gòu)成的"擴(kuò)展的主會(huì)話密鑰EMSK( Extended Master Session Key),,密鑰來產(chǎn)生。
在此,根據(jù)加密哈希函數(shù)、尤其是SHA-1、 SHA-256或者M(jìn)D5哈希 函數(shù)的函數(shù)適于計(jì)算第一、第二、第三、第四和/或第五檢驗(yàn)信息,因 為此處可以動(dòng)用公知的例行程序。
可替換地或補(bǔ)充地,有利的是,"帶密鑰的哈希函數(shù)(Keyed Hash-Funktion ),,、如尤其是EAS-CBC-MAC、 HMAC-SHA1、 HMAC-SHC256、 HMAC-MD5被用于計(jì)算第一、第二、第三、第四和/或第五檢驗(yàn)信息,其 中HMAC函數(shù)根據(jù)RFC 2104來限定。
在有利的改進(jìn)方案中,當(dāng)注冊(cè)的通信設(shè)備作為用戶按照網(wǎng)格方式 向子網(wǎng)注冊(cè)時(shí),發(fā)起許可程序,以致可在網(wǎng)狀用戶與非網(wǎng)狀用戶之間 進(jìn)行區(qū)分并且相對(duì)應(yīng)的根據(jù)本發(fā)明的方法的變型可被采用。
在其它有利的改進(jìn)方案中,笫一、第二、笫三、第四和/或第五檢 驗(yàn)信息作為值、特別是作為諸如隨機(jī)數(shù)的偽隨機(jī)碼的值來產(chǎn)生。
可替換于此地或者補(bǔ)充于此地,在其它有利的改進(jìn)方案中,第一、 第二、第三、第四和/或第五檢驗(yàn)信息作為由尤其是作為諸如隨機(jī)數(shù)的 偽隨機(jī)碼而產(chǎn)生的值所生成的哈希代碼被傳送。由此實(shí)現(xiàn)了額外的保 護(hù)以及提高的驗(yàn)證度。
12在其它可替換的或補(bǔ)充的改進(jìn)方案中,由注冊(cè)的通信設(shè)備和/或第 一通信設(shè)備的工作參數(shù)生成的哈希代碼作為第一、第二、第三、第四 和/或第五檢驗(yàn)信息被傳送。在此有利的是,可以動(dòng)用已知的參數(shù),以 致不必生成參數(shù)并且同時(shí)由于這些參數(shù)與終端設(shè)備的緊密耦合而存在 筒單的識(shí)別該同 一設(shè)備的可能性。
此外,本發(fā)明所基于的任務(wù)通過用于提供無線本地網(wǎng)的設(shè)備來解 決,其特征在于用于執(zhí)行本方法的裝置。
本發(fā)明的其它細(xì)節(jié)和優(yōu)點(diǎn)應(yīng)從圖1至4中所示的現(xiàn)有技術(shù)出發(fā)參 照?qǐng)D5至12中所示的實(shí)施例來進(jìn)一步闡述。在此, 圖1示出了根據(jù)現(xiàn)有技術(shù)的網(wǎng)狀網(wǎng)場(chǎng)景, 圖2示出了根據(jù)現(xiàn)有技術(shù)的獨(dú)立的網(wǎng)狀網(wǎng),
圖3示出了根據(jù)現(xiàn)有技術(shù)的具有針對(duì)非網(wǎng)狀用戶站的接入點(diǎn)的網(wǎng) 狀網(wǎng),
圖4 示出了根據(jù)現(xiàn)有技術(shù)的網(wǎng)狀所有權(quán)檢查 (Mesh-Ownership-Ueberpruefung )的場(chǎng)景, 圖5示出了本發(fā)明的實(shí)施例的流程圖,
圖6示出了根據(jù)本發(fā)明的網(wǎng)狀所有權(quán)檢查的第一變型的消息流圖, 圖7示出了根據(jù)本發(fā)明的網(wǎng)狀所有權(quán)檢查的第二變型的消息流圖, 圖8示出了根據(jù)本發(fā)明的網(wǎng)狀所有權(quán)檢查的第三變型的消息流圖, 圖9示出了帶有根據(jù)現(xiàn)有技術(shù)的通過網(wǎng)狀接入點(diǎn)連接的非網(wǎng)狀用
戶站的場(chǎng)景,
圖IO示出了根據(jù)現(xiàn)有技術(shù)的MAC數(shù)據(jù)幀,
圖11示出了根據(jù)現(xiàn)有技術(shù)的轉(zhuǎn)發(fā)網(wǎng)狀數(shù)據(jù)幀的流程圖,
圖12示出了從根據(jù)現(xiàn)有技術(shù)的場(chǎng)景出發(fā)的帶有根據(jù)本發(fā)明的地址
轉(zhuǎn)換的流程圖。
從圖1至4中所示的場(chǎng)景和產(chǎn)生的問題出發(fā),本發(fā)明有利地介入 并且解決了所述的網(wǎng)狀網(wǎng)的問題,如在根據(jù)圖5的實(shí)施例中按照表明 該實(shí)施例的流程圖所示出的那樣。
在此,從表示起始狀態(tài)"開始(START),,的第一步Sl出發(fā),在 第二步S2得到結(jié)果之后,即在使用MAC地址MA的情況下接收到用戶 設(shè)備在網(wǎng)狀網(wǎng)上的注冊(cè)請(qǐng)求之后,根據(jù)本發(fā)明所構(gòu)建的方法方式轉(zhuǎn)到 第三步S3,在該第三步S3檢驗(yàn)具有所傳輸?shù)腗AC地址MA的站是否已在該網(wǎng)狀網(wǎng)中注冊(cè)。
如果涉及已注冊(cè)的可獲得的MAC地址,則在第四步S4執(zhí)行的檢查 導(dǎo)向第五步S5中的進(jìn)一步詢問,在該第五步檢驗(yàn)該注冊(cè)的用戶站是網(wǎng) 狀節(jié)點(diǎn)、即網(wǎng)狀用戶還是非網(wǎng)狀站。在此,只要涉及非網(wǎng)狀站,就在 第六步S6拒絕該注冊(cè)請(qǐng)求。否則,也就是在是網(wǎng)狀節(jié)點(diǎn)的情況下,在 第八步S8針對(duì)注冊(cè)的用戶站和MAC地址MA進(jìn)行在MAC地址所有權(quán)檢 查意義上的檢查。在該MAC地址所有權(quán)檢查中檢查用戶站是否有權(quán)使 用所傳輸?shù)腗AC地址MA。
如果詢問得到MAC地址所有權(quán)檢查的結(jié)果是肯定的,也就是當(dāng)涉 及已被注冊(cè)的用戶站時(shí),在第十步S10接受注冊(cè)請(qǐng)求并且該用戶站可 以建立鏈路。否則再次進(jìn)行根據(jù)第六步S6所執(zhí)行的對(duì)注冊(cè)請(qǐng)求的拒絕, 以致根據(jù)本發(fā)明的方法在第七步S7轉(zhuǎn)到結(jié)束狀態(tài)。
因此本發(fā)明的核心是在用戶在使用MAC地址的情況下網(wǎng)絡(luò)接入 網(wǎng)狀網(wǎng)時(shí)通過該網(wǎng)狀網(wǎng)來檢查,具有由注冊(cè)的用戶所使用的MAC地址
的用戶節(jié)點(diǎn)是否已經(jīng)注冊(cè)并且因此在該網(wǎng)絡(luò)中是否是可獲得的,其中 對(duì)于MAC地址在該網(wǎng)絡(luò)中還不可獲得的情況,注冊(cè)的用戶被接受,可 是在具有該MAC地址的用戶可獲得的情況下以上面描述的方式作出反 應(yīng)。
在此,也存在對(duì)上面所描述的許可程序的替換方案。 一種替換方 案例如會(huì)是在第四步S4檢測(cè)涉及已經(jīng)可獲得的MAC地址時(shí)立即拒絕 該注冊(cè)的用戶。
對(duì)在許可程序的范圍內(nèi)的所闡述的行為的其它替換方案或補(bǔ)充方 案在于執(zhí)行MAC地址轉(zhuǎn)換(MAC Address Translation)、也就是替 換MAC地址,類似于例如在用于將私有IP地址轉(zhuǎn)換成公有IP地址的 所謂的IP地址的網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Address Translation)中 也公知的那樣??墒窃诖?,第一 MAC地址分別被轉(zhuǎn)換成分配給其的第 二MAC地址,而在網(wǎng)絡(luò)地址轉(zhuǎn)換中,多個(gè)私有IP地址被轉(zhuǎn)換到相同的 >^有IP地址上。
根據(jù)本發(fā)明,在此,由注冊(cè)的用戶站給出的MAC地址在該網(wǎng)絡(luò)之 內(nèi)的通信方面通過空閑的MAC地址來替換,其中空閑的MAC地址意味 著涉及當(dāng)前在所涉及的網(wǎng)絡(luò)之內(nèi)未凈皮使用的MAC地址,亦即該MAC地 址與可獲得的MAC地址不相交。在此,替換的地址可以通過偽隨機(jī)碼來生成,其中這優(yōu)選地被限
于MAC地址范圍,該MAC地址范圍并不是被指派給根據(jù)0UI確定的組 織的地址。
這例如能通過以下方式來確保第41位、即MAC地址的所謂的通 用/本地位(Universal/Local Bit) "U/L"具有值1,以致該MAC地 址剛好并不是在全局單義的,而是在本地被管理并且因此僅在那里是 單義的。效果于是為給具有在外部多義的MAC地址的注冊(cè)的用戶由 此單義地指派在內(nèi)部單義的MAC地址。
對(duì)于在流程圖中示出的MAC地址所有權(quán)的檢查,存在數(shù)種實(shí)施方 案變型,這些實(shí)施方案變型應(yīng)在下文被進(jìn)一步闡述。
MAC地址所有權(quán)檢查的基本核心思想是注冊(cè)的站在注冊(cè)時(shí)必須證 明對(duì)MAC所有權(quán)檢驗(yàn)參數(shù)的認(rèn)知。在此能夠?qū)崿F(xiàn)一致性檢查的條件是 該檢驗(yàn)參數(shù)僅僅對(duì)同 一 已注冊(cè)并且可獲得的站是已知的。
在此,檢驗(yàn)參數(shù)可以是偽隨機(jī)地生成的數(shù)(所謂的隨機(jī)數(shù))或者 加密值(也就是借助加密方法和密鑰計(jì)算出的值)或者是諸如序號(hào)或 者計(jì)數(shù)器值的其它已知參數(shù)。
如果注冊(cè)的站現(xiàn)在證明對(duì)檢驗(yàn)參數(shù)的認(rèn)知,則該注冊(cè)的站被接受。 在此,該證明優(yōu)選地通過在至少兩條不同的路線上傳輸檢驗(yàn)參數(shù)來進(jìn) 行。 一條路線在此始終是剛好要新建的路線,而另一路線可從已存在 的空閑路線中選擇。
在此由可能的不同的證明過程得出實(shí)施方案變型。
例如,過程實(shí)現(xiàn)來使得檢驗(yàn)參數(shù)從網(wǎng)絡(luò)通過已存在的路線被發(fā)送 給已被注冊(cè)的站,并且緊接于此地由網(wǎng)絡(luò)等待檢驗(yàn)參數(shù)通過要新建的 路線^皮返回。由此因此確保注冊(cè)的和已凈皮注冊(cè)的站是相同的并且僅 僅注冊(cè)的站會(huì)建立另一路線,如原則上根據(jù)網(wǎng)狀體系架構(gòu)是可能的那 樣,因?yàn)橹挥挟?dāng)涉及同一站時(shí),才能通過要新建的路線返回檢驗(yàn)參數(shù)。 攻擊者不會(huì)擁有該信息。
對(duì)此的變型在于檢驗(yàn)參數(shù)由網(wǎng)絡(luò)通過要新建的路線被發(fā)送給剛 剛注冊(cè)的站并且緊接于此地等待通過已存在的路線返回檢驗(yàn)參數(shù)。這 因此實(shí)質(zhì)上僅僅是傳輸方向的反轉(zhuǎn)。
其它變型在于諸如上面所述的偽隨機(jī)生成的隨機(jī)數(shù)或Nonce的 檢驗(yàn)參數(shù)從注冊(cè)的站通過所述的兩條路線被傳輸給網(wǎng)絡(luò),這兩條路線也就是一方面是要新建的路線而另一方面是通過之前已存在的路線的 路線。接著,該網(wǎng)絡(luò)僅須檢驗(yàn)兩個(gè)通過不同路線輸入的參數(shù)的相同性, 并且在最簡(jiǎn)單的情況下,在檢驗(yàn)參數(shù)一致時(shí)或在檢驗(yàn)參數(shù)高度相關(guān)時(shí)
相對(duì)應(yīng)地許可注冊(cè)的站,以及在不相同時(shí)拒絕注冊(cè)的站。在此,;故發(fā) 起地,可以通過參加的站來觸發(fā)發(fā)送,或者但是由網(wǎng)絡(luò)側(cè)發(fā)起地通過 所述兩條不同的路線來詢問檢驗(yàn)參數(shù)。
另一可能性在于檢驗(yàn)參數(shù)在使用加密密鑰的情況下通過剛剛注 冊(cè)的站來實(shí)現(xiàn)。這例如可以在由基于EAP的網(wǎng)絡(luò)注冊(cè)得到的主會(huì)話密 鑰MSK的基礎(chǔ)上來進(jìn)行。在計(jì)算之后接著通過已存在的路線將檢驗(yàn)參 數(shù)發(fā)送給如下網(wǎng)絡(luò),該網(wǎng)絡(luò)為了交叉檢驗(yàn)而在使用同一密鑰的情況下 特意計(jì)算檢驗(yàn)參數(shù)并且檢驗(yàn)該檢驗(yàn)參數(shù)與接收到的檢驗(yàn)參數(shù)的一致 性。
類似于此地,被注冊(cè)的站可以在被分配給其的加密密鑰的基礎(chǔ)上 來計(jì)算檢驗(yàn)參數(shù)并且可將該檢驗(yàn)參數(shù)通過剛剛要建立的路線發(fā)送給網(wǎng) 絡(luò)。
因而,所有權(quán)檢查的核心是 -發(fā)送檢驗(yàn)參數(shù),
-發(fā)送得自檢驗(yàn)參數(shù)的值,諸如檢驗(yàn)參數(shù)的哈希值或者哈希函數(shù)的 輸入值的哈希值,該哈希函數(shù)提供檢驗(yàn)參數(shù)作為結(jié)果,諸如是SHA-1、 SHA-256或者M(jìn)D5。
-使用檢驗(yàn)參數(shù)作為輸入以計(jì)算加密校驗(yàn)和、即所謂的消息認(rèn)證碼 (Message Authentication Code),諸如HMAC-SHA1、 HMAC-SHA256、 HMAC - MD5或者AES-CPC-MAC,并且發(fā)送該結(jié)果。
如果已知用戶可以或應(yīng)該僅僅在該網(wǎng)絡(luò)注冊(cè)一次,-渚如在傳統(tǒng)的 WLAN站中的情況那樣,則證明過程的兩個(gè)第一變型、也就是拒絕或MAC 地址轉(zhuǎn)換在此是有利的,而當(dāng)用戶可以合法地維持多個(gè)到該網(wǎng)絡(luò)的接 入鏈路時(shí),如例如針對(duì)網(wǎng)狀網(wǎng)之內(nèi)的網(wǎng)狀節(jié)點(diǎn)所許可的那樣,接著可 以適宜地采用第三變型、即所有權(quán)檢查。
因而, 一種擴(kuò)展方案規(guī)定,對(duì)不同類型的用戶加以區(qū)分,對(duì)于上 述情況例如具體地在網(wǎng)狀用戶與非網(wǎng)狀用戶之間進(jìn)行區(qū)分,其中聽?wèi){ 用戶站決定作為網(wǎng)狀用戶或者非網(wǎng)狀用戶在網(wǎng)絡(luò)注冊(cè),并且其中接著 執(zhí)行檢查來使得對(duì)于用戶作為非網(wǎng)狀用戶注冊(cè)的情況根據(jù)本發(fā)明檢查也沒有具有相同的MAC地址的其它用戶作為網(wǎng)狀用戶在該網(wǎng)絡(luò)注冊(cè)。 也可以檢查,沒有具有相同的MAC地址的其它用戶作為非網(wǎng)狀用戶已 在該網(wǎng)絡(luò)注冊(cè)。
在圖6中以消息流圖的形式示出了所有權(quán)檢查的第一變型的詳細(xì) 圖示。
要認(rèn)識(shí)到的是在包括至少網(wǎng)狀節(jié)點(diǎn)MP-1和MP-2的網(wǎng)狀網(wǎng)注冊(cè)的 站MP-A之間的消息流,該注冊(cè)的站MP-A具有MAC地址MACA,其中第 一站MP-1具有第一 MAC地址MAC1而第二站MP-2具有第二 MAC地址 MAC2。
根據(jù)本發(fā)明得出的可能的消息流程如下示出。
在第一時(shí)刻Tl. 1,注冊(cè)的站MP-A將用于建立鏈路的注冊(cè)請(qǐng)求發(fā)送 給網(wǎng)狀網(wǎng)的網(wǎng)狀節(jié)點(diǎn),該網(wǎng)狀節(jié)點(diǎn)在所選的例子中為第二站MP-2。
此后,在時(shí)刻Tl. 2通過MP-2檢驗(yàn)注冊(cè)的站MACA的MAC地址是 否已經(jīng)在網(wǎng)狀網(wǎng)中可獲得,也就是是否有節(jié)點(diǎn)已經(jīng)以該地址注冊(cè)。在 所示的例子中,應(yīng)假設(shè)這是這種情況。在此,會(huì)通過以下方式檢查已 有的可獲得的地址的存在第二站MP-2在其路由表中搜尋注冊(cè)MAC地 址MACA的條目,或者通過所謂的路由請(qǐng)求(Route Request)消息來 進(jìn)行,該路由請(qǐng)求消息優(yōu)選地帶有針對(duì)具有注冊(cè)的MAC地址MACA的節(jié) 點(diǎn)的只有目的地"標(biāo)志"(Destination Only "Flag")被發(fā)出,以便 確定可能存在的通過網(wǎng)狀網(wǎng)的路線。
由于此處在本情況下注冊(cè)MAC地址MACA已是在網(wǎng)狀網(wǎng)中可獲得的 地址,所以第二通信設(shè)備MP-2在時(shí)刻Tl. 3向注冊(cè)的站MP-A返回錯(cuò)誤 消息,該錯(cuò)誤消息說明MAC地址所有權(quán)證明MA0是必要的,其中該消 息是可選的。
此外,在第四時(shí)刻Tl. 4從第二通信設(shè)備MP-2方面產(chǎn)生檢驗(yàn)參數(shù)N (例如偽隨機(jī)數(shù))并且可選地與其它數(shù)據(jù)、尤其是注冊(cè)的站MP-A的MAC 地址MACA —起存儲(chǔ)該檢驗(yàn)參數(shù)N,以便緊接著將該檢驗(yàn)參數(shù)N用于所 有權(quán)證明來使得第二通信設(shè)備MP-2通過第一通信設(shè)備MP-1將該檢驗(yàn) 參數(shù)作為消息發(fā)送給注冊(cè)的站MP-A,其中該消息首先被發(fā)送給第一通 信設(shè)備MP-1,該第一通信設(shè)備MP-1接著將該消息轉(zhuǎn)發(fā)給注冊(cè)的站 MP-A。
除了檢驗(yàn)參數(shù)N之外,該消息在此也包含第二通信設(shè)備MP-2和注
17冊(cè)的站MP-A的MAC地址作為地址信息,以便如果該消息通過多個(gè)中間 節(jié)點(diǎn)被轉(zhuǎn)發(fā),則也仍然成功地到達(dá)注冊(cè)的站MP-A。
在得到該消息后,在第五時(shí)刻Tl. 5從注冊(cè)的通信設(shè)備MP-A方面 重新將用于建立鏈路的注冊(cè)請(qǐng)求發(fā)送給第二通信設(shè)備MP-2,其中與在 第一時(shí)刻Tl. 1所發(fā)送的請(qǐng)求相反,該注冊(cè)請(qǐng)求也包含檢驗(yàn)參數(shù)N。
此后,在第六時(shí)刻Tl. 6可以通過第二通信設(shè)備MP-2對(duì)由注冊(cè)的 站MP-A發(fā)送的檢驗(yàn)參數(shù)N如下地進(jìn)行檢查該檢驗(yàn)參數(shù)N是否與所存 儲(chǔ)的檢驗(yàn)參數(shù)相一致,這在所示的場(chǎng)景應(yīng)是這種情況,以致在第七時(shí) 刻Tl. 7,第二通信設(shè)備MP-2將用于進(jìn)行確認(rèn)的0K消息發(fā)送給注冊(cè)的 通信設(shè)備MP-A,并且因此注冊(cè)的站MP-A被許可作為網(wǎng)絡(luò)的用戶站。
在圖7中現(xiàn)在示出了其它變型,其中證明過程的可替換的實(shí)現(xiàn)方 案在于注冊(cè)的站MP-A本身生成檢驗(yàn)參數(shù)N,該檢驗(yàn)參數(shù)N由第二通 信設(shè)備MP-2通過存在的鏈路經(jīng)第一通信設(shè)備MP-1被詢問。在所示的 消息流程圖中,證明過程在第一時(shí)刻T2. 1開始來使得注冊(cè)的站MP-A 首先如通常那樣將用于建立鏈路的注冊(cè)請(qǐng)求發(fā)送給第二通信設(shè)備 MP_2。
于是,笫二通信設(shè)備MP-2在第二時(shí)刻T2. 2檢驗(yàn)從注冊(cè)的通信 設(shè)備MP-A方面已被傳輸?shù)腗AC地址、也就是注冊(cè)地址MACA是否在網(wǎng) 狀網(wǎng)中已經(jīng)可獲得,也就是節(jié)點(diǎn)是否以該MAC地址被注冊(cè)。在本例中, 這也應(yīng)被假設(shè),其中如參照?qǐng)D6描述的那樣的檢查會(huì)進(jìn)行。在該變型 中,在第三時(shí)刻T2. 3也從第二通信設(shè)備MP-2方面將錯(cuò)誤消息返回給 注冊(cè)的通信設(shè)備MP-A,該錯(cuò)誤消息說明MAC地址所有權(quán)證明MAO是必 要的,這樣接著與上面所描述的變型偏離地,注冊(cè)的站MP-A本身產(chǎn)生 檢驗(yàn)參數(shù)N,諸如產(chǎn)生偽隨機(jī)數(shù),并且存儲(chǔ)該檢驗(yàn)參數(shù)N。現(xiàn)在為了使 第二通信設(shè)備MP-2能夠進(jìn)行檢查,注冊(cè)的站MP-A通過第一通信設(shè)備 MP-1將消息發(fā)送給第二通信設(shè)備MP-2,其中該消息首先被發(fā)送給第一 通信設(shè)備MP-1,接著該第一通信設(shè)備MP-1將該消息轉(zhuǎn)發(fā)給第二通信設(shè) 備MP-2,并且該消息包含通過注冊(cè)的通信設(shè)備MP-A已產(chǎn)生的檢驗(yàn)參數(shù) N。通信設(shè)備存儲(chǔ)接收到的檢驗(yàn)參數(shù)N并且可選地存儲(chǔ)其它數(shù)據(jù),尤其 是存儲(chǔ)注冊(cè)的站MP-A的MAC地址MACA。
在第五時(shí)刻T2. 5,注冊(cè)的通信設(shè)備于是重新將用于建立鏈路的注 冊(cè)請(qǐng)求發(fā)送給笫二通信設(shè)備MP-2 ,其中與在第二時(shí)刻T2.1所發(fā)送的消息相反,該注冊(cè)請(qǐng)求也包含檢驗(yàn)參數(shù)N。
于是,在第六時(shí)刻T2.6,在第二通信設(shè)備MP-2已從注冊(cè)的通信設(shè) 備MP-A得到消息之后,通過第二通信設(shè)備MP-2如下進(jìn)行檢查由注 冊(cè)的通信設(shè)備MP-A所發(fā)送的檢驗(yàn)參數(shù)是否與通過第一通信設(shè)備MP-1 接收到的檢驗(yàn)參數(shù)相一致,這在本例子中被假設(shè),以致第二通信設(shè)備 MP-2在第七時(shí)刻T2. 7將用于進(jìn)行確認(rèn)的0K消息發(fā)送給注冊(cè)的通信設(shè) 備MP-A并且許可該用戶站接入該網(wǎng)絡(luò)。
對(duì)此的替換方案會(huì)是在第一次注冊(cè)時(shí)已從注冊(cè)的通信設(shè)備MP-A 方面將檢驗(yàn)參數(shù)插入到消息中,這會(huì)導(dǎo)致幾乎相同的流程,該流程僅 僅如下來區(qū)分取消了前兩個(gè)消息。
檢驗(yàn)參數(shù)在此尤其可以是偽隨機(jī)生成的隨機(jī)數(shù)(Nonce)。
在圖8中,示出了其它變型并且以消息流圖為例來闡述,其中放 棄了檢驗(yàn)參數(shù)的產(chǎn)生并且代替其動(dòng)用了從注冊(cè)的站MP-A方面存在的信 息、也就是參數(shù),該參數(shù)從第二通信設(shè)備MP-2方面通過兩條路線、也 就是一次通過要新建的路線以及通過已經(jīng)存在的路線來詢問。
在此,該變型的優(yōu)點(diǎn)是可以詢問任意參數(shù),以致由此能夠?qū)崿F(xiàn) 檢查,在該檢查中不必改變通常的注冊(cè)程序本身。僅僅當(dāng)被分配給該 注冊(cè)的通信設(shè)備MP-A的參數(shù)是可詢問的時(shí)侯就足夠了 。
在此,這些參數(shù)尤其可以是注冊(cè)的通信設(shè)備MP-A的序號(hào)、所述通 信設(shè)備的類型、型號(hào)、軟件版本,此外也可以涉及注冊(cè)的通信設(shè)備MP-A 的計(jì)數(shù)器值(諸如路由消息的包計(jì)數(shù)器、序號(hào)計(jì)數(shù)器)、注冊(cè)的通信 設(shè)備MP-A的特定路由請(qǐng)求序號(hào),也就是說對(duì)其通過兩個(gè)所述的路線提 出兩個(gè)路由請(qǐng)求查詢,其必須對(duì)該路由請(qǐng)求詢問以分別匹配的、即彼 此緊密靠近的序號(hào)來應(yīng)答,其中要注意的是,在通過要新建的鏈路或 路線傳輸?shù)穆酚烧?qǐng)求中,也就是在那些路由請(qǐng)求中,沒有關(guān)于"目的 地序號(hào),,的說明,因?yàn)榉駝t可能的攻擊者節(jié)點(diǎn)會(huì)獲悉當(dāng)前的并且因此 被等待的值。
接著,在隨后的檢查中測(cè)試該值是否相同或計(jì)數(shù)器值是否彼此足 夠近,該計(jì)數(shù)器值可以是不同的,因?yàn)樵儐栆苍诓煌臅r(shí)刻進(jìn)行。對(duì) 此,例如會(huì)優(yōu)選閾值比較。
消息在此如下流動(dòng)。
在第一時(shí)刻T3. 1,已知的包含注冊(cè)地址MACA的注冊(cè)請(qǐng)求從注冊(cè)的通信設(shè)備MP-A方面被發(fā)送給第二通信設(shè)備MP-2,對(duì)此該第二通信設(shè)備MP-2檢驗(yàn)所傳輸?shù)淖?cè)地址MACA是否已經(jīng)在網(wǎng)狀網(wǎng)中可獲得并且在第三時(shí)刻T3. 3將對(duì)任意參數(shù)的查詢發(fā)送給注冊(cè)的站MP-A,接著注冊(cè)的站MP-A由此將相對(duì)應(yīng)的參數(shù)發(fā)送給第二通信設(shè)備MP-2,該第二通信設(shè)備MP-2接著在第五時(shí)刻T3. 5存儲(chǔ)所述相對(duì)應(yīng)的參數(shù)并且在第六時(shí)刻T3. 6將相同參數(shù)的詢問通過第一通信設(shè)備MP-1發(fā)送給注冊(cè)的通信設(shè)備MP-A,于是注冊(cè)的通信設(shè)備MP-A會(huì)將所請(qǐng)求的參數(shù)通過第一通信設(shè)備MP-1傳輸給第二通信設(shè)備MP-2,以致第二通信設(shè)備MP-2可在第八時(shí)刻T3. 8將OK消息傳輸給注冊(cè)的站MP-A并且因此實(shí)現(xiàn)許可該站接入該網(wǎng)絡(luò)。
對(duì)此的替換方案在于在一定程度上有所保留地建立鏈路。也就是說,OK消息會(huì)緊接著注冊(cè)請(qǐng)求被發(fā)送并且此后在保留階段執(zhí)行如上所示的那樣的檢驗(yàn),以致如果檢查得出否定結(jié)果,則直接的鏈路再次被撤銷。在此,只有當(dāng)成功地執(zhí)行檢查時(shí)(也就是在保留階段之后),注冊(cè)的站MP-A與第二通信設(shè)備MP-2之間的直接的鏈路才優(yōu)選地由第二通信設(shè)備MP-2為了路由而被當(dāng)作存在。
在圖9中現(xiàn)在示出了一情景,其中通過網(wǎng)狀網(wǎng)、也就是通過網(wǎng)狀接入點(diǎn)MAP之一在節(jié)點(diǎn)作為非用戶(也就是例如作為WLAN站STA)在網(wǎng)狀接入點(diǎn)MAP注冊(cè)時(shí)檢驗(yàn)在網(wǎng)狀網(wǎng)之內(nèi)是否已注冊(cè)有使用與作為非網(wǎng)狀用戶注冊(cè)的注冊(cè)站相同的MAC地址的網(wǎng)狀節(jié)點(diǎn)。
所示的例子中的特別之處是僅僅節(jié)點(diǎn)的MAC地址在站作為非網(wǎng)狀用戶注冊(cè)時(shí)被檢驗(yàn)并且僅對(duì)屬于網(wǎng)狀節(jié)點(diǎn)、即屬于作為網(wǎng)狀用戶注冊(cè)的用戶的MAC地址進(jìn)行檢驗(yàn)。
由此保證了沒有非網(wǎng)狀用戶使用網(wǎng)狀節(jié)點(diǎn)的MAC地址或沒有非網(wǎng)狀用戶以該MAC地址在該網(wǎng)狀網(wǎng)中是可見的。在此,通過具有所設(shè)置的標(biāo)志的表中的條目可識(shí)別出節(jié)點(diǎn)不是網(wǎng)狀用戶,該標(biāo)志被公知為"被代理的(isProxied),,(參見IEEE 802. lis DO. 02第11A. 3. 5. 2章MP代理表),而屬于網(wǎng)狀用戶的網(wǎng)狀節(jié)點(diǎn)會(huì)被列入具有相對(duì)應(yīng)未設(shè)置的標(biāo)志的表中。
根據(jù)本發(fā)明,如果非網(wǎng)狀用戶站具有與網(wǎng)狀用戶站相同的地址,并且更確切地要么拒絕相對(duì)應(yīng)的非網(wǎng)狀站的注冊(cè)或者非網(wǎng)狀站使用的MAC地址采用MAC地址轉(zhuǎn)換凈皮翻譯為空閑的MAC地址,則在此會(huì)采取下
20列措施。
在此,在變型中可以進(jìn)行檢驗(yàn)來使得不僅相對(duì)網(wǎng)狀用戶而且相對(duì)
非網(wǎng)狀用戶確定MAC地址是否已經(jīng)被使用,也就是檢驗(yàn)任意節(jié)點(diǎn)MP、MAP、 STA以該MAC地址是否可獲得。
當(dāng)沒有具有某個(gè)MAC地址的節(jié)點(diǎn)是否自己參與網(wǎng)狀路由的信息可用時(shí),該變型是特別有利的。
MAC地址轉(zhuǎn)換MAC Address Translation應(yīng)從圖10和11出發(fā)來進(jìn)一步闡述。
在此,圖10示出了才艮據(jù)IEEE 802. 11定義的MAC幀的結(jié)構(gòu),該MAC幀根據(jù)該標(biāo)準(zhǔn)可以包含直至四個(gè)地址字段、即所謂的MAC地址(也參見IEEE 802. 11第7. 2章)。
在此可以涉及
-所謂的源地址SA
-目的地J也址DA
-發(fā)射站地址TA
-或者所謂的接收站地址RA。
源地址SA在此表示原始發(fā)送方的地址,而目的地地址DA "i兌明了最終的接收方節(jié)點(diǎn)的地址。
可是, 一般在網(wǎng)狀網(wǎng)之內(nèi)通過多個(gè)中間節(jié)點(diǎn)來轉(zhuǎn)發(fā)幀,以致對(duì)此使用地址字段發(fā)射站地址TA和接收站地址RA。
在此,發(fā)射站地址TA和接收站地址RA始終被包含在該幀中,而只有當(dāng)源地址SA和目的地地址DA被需要時(shí),也就是不同于發(fā)射站地址TA或者接收站地址RA時(shí),才填充該源地址SA和目的地地址DA。
此外,數(shù)據(jù)幀(Data Frame)原則上也還包含有用數(shù)據(jù)字段DATA以及具有校驗(yàn)和的字段FCS。
其它對(duì)于說明不相關(guān)的報(bào)頭字段(如幀控制(Frame Control)、持續(xù)時(shí)間(Duration) /ID或者順序控制(Sequence Control))在
此為了簡(jiǎn)化而未示出。
圖ll在此說明了這些MAC幀的采用,其中相應(yīng)的填充是顯然的。最后在圖12中從現(xiàn)有技術(shù)出發(fā)示出了根據(jù)本發(fā)明的對(duì)于已經(jīng)使用
的或可獲得的地址的情況的MAC地址轉(zhuǎn)換。
要認(rèn)識(shí)到的是,從MAC接入點(diǎn)MAP-1方面,將非網(wǎng)狀用戶站STA的MAC地址M - S轉(zhuǎn)換成在網(wǎng)狀網(wǎng)之內(nèi)未使用的、例如偽隨機(jī)產(chǎn)生的MAC地址M-R,其中"R,,為隨機(jī)的。
該轉(zhuǎn)換因而也被評(píng)價(jià)為對(duì)由非網(wǎng)狀用戶站STA說明的MAC地址M-S的替換,其中該轉(zhuǎn)換僅僅涉及來自非網(wǎng)狀用戶節(jié)點(diǎn)STA的MAC幀的與源地址SA相同的發(fā)射方地址TA,并且在指向非網(wǎng)狀用戶節(jié)點(diǎn)STA的MAC幀中,該轉(zhuǎn)換僅僅涉及與目的地地址DA相同的接收方地址RA。
也示出了在非網(wǎng)狀用戶站STA通過其來注冊(cè)的網(wǎng)狀接入點(diǎn)中的對(duì)照表。在此要認(rèn)識(shí)到的是,該分配表包含多個(gè)條目,利用這些條目項(xiàng)來存儲(chǔ)分別要相繼映射的、被分配給網(wǎng)狀網(wǎng)內(nèi)部的MAC地址(MAC INT)的網(wǎng)狀網(wǎng)外部的MAC地址(MAC EXT)。
在這種情況下的變型是總是進(jìn)行所述的MAC地址轉(zhuǎn)換(Translation),也就是說與所說明的MAC地址是可獲得還是不可獲得無關(guān)地進(jìn)行所述的MAC地址轉(zhuǎn)換(Translation)。
2權(quán)利要求
1. 一種用于提供無線本地網(wǎng)的方法,其中根據(jù)IEEE 802.11標(biāo)準(zhǔn)及其衍生物、尤其是IEEE 802.15或者IEEE 802.16構(gòu)建的固定通信設(shè)備(AP)以及移動(dòng)通信設(shè)備(STA,MAP,MP,MP-1,MP-2,MP-A)按照網(wǎng)格方式作為子網(wǎng)(MESH)被連接,其特征在于,a)從向子網(wǎng)(MESH)注冊(cè)的通信設(shè)備(MP-A)方面,注冊(cè)的MAC地址(MAC-A)被傳送給該子網(wǎng),b)執(zhí)行檢查來使得注冊(cè)的MAC地址與從子網(wǎng)(MESH)方面可獲得的MAC地址(MP-1,MP-2)進(jìn)行比較,c)在注冊(cè)的MAC地址(MAC-A)與可獲得的MAC地址(MAC-1,MAC-2)不相交的情況下,注冊(cè)的通信設(shè)備(MP-A)作為子網(wǎng)(MESH)的站被連接,d)在注冊(cè)的MAC地址(MAC-A)在子網(wǎng)(MESH)中已可獲得的情況下,執(zhí)行許可程序來使得阻止在子網(wǎng)(MESH)之內(nèi)由兩個(gè)不同的通信設(shè)備使用注冊(cè)的MAC地址(MAC-A)(MESH)。
2. 根據(jù)權(quán)利要求1所述的方法,其特征在于,作為許可程序?qū)崿F(xiàn) 對(duì)注冊(cè)的通信設(shè)備(MP-A)的拒絕。
3. 根據(jù)權(quán)利要求1所述的方法,其特征在于,作為許可程序,實(shí) 現(xiàn)注冊(cè)的MAC地址(MAC-A)的轉(zhuǎn)換來使得在子網(wǎng)(MESH)之內(nèi)將與可 獲得的MAC地址(MAC-1, MAC-2)不相交的MAC地址指派給注冊(cè)的通 信設(shè)備(MP-A )。
4. 根據(jù)前一權(quán)利要求所述的方法,其特征在于,不相交的MAC地 址從子網(wǎng)(MESH)方面被生成。
5. 根據(jù)前一權(quán)利要求所述的方法,其特征在于,不相交的MAC地 址基于偽隨機(jī)序列、尤其是恰好一次產(chǎn)生的"只用一次的數(shù)字,隨機(jī) 數(shù)"來生成。
6. 根據(jù)權(quán)利要求3至5之一所述的方法,其特征在于,選擇與在 全局、尤其是從組織方面如根據(jù)OUI指派的MAC地址不相交地選擇不 相交的MAC地址。
7. 根據(jù)上述權(quán)利要求之一所述的方法,其特征在于,不相交的MAC 地址的第41位被置為值 "1"。
8. 根據(jù)權(quán)利要求1所述的方法,其特征在于,作為許可程序,從子網(wǎng)(MESH)方面對(duì)注冊(cè)的通信設(shè)備(MP-A)與通過對(duì)應(yīng)于注冊(cè)的MAC 地址(MAC-A)的可獲得的MAC地址(MAC-l, MAC-2 )所確定的第一通 信設(shè)備(MP-l, MP-2)的一致性進(jìn)行檢驗(yàn)。
9. 根據(jù)前一權(quán)利要求所述的方法,其特征在于,為了進(jìn)行一致性 檢驗(yàn),a) 從子網(wǎng)(MESH)方面,第一檢驗(yàn)信息通過被建立通向?qū)?yīng)于注 冊(cè)的MAC地址(MAC-A)的可獲得的MAC地址(MAC-l, MAC-2 )所確定 的通信設(shè)備(MP-l, MP-2)的子網(wǎng)(MESH)路線被傳送給第一通信 設(shè)備(MP-1, MP-2 ),b) 子網(wǎng)(MESH)將返回第一檢驗(yàn)信息的請(qǐng)求傳送給第一通信設(shè)備 (MP-1, MP_2),c) 子網(wǎng)(MESH)等待通過在注冊(cè)的站的注冊(cè)嘗試范圍內(nèi)所建立的 子網(wǎng)(MESH)路線返回第一檢驗(yàn)信息,d) 在未發(fā)生返回時(shí)拒絕注冊(cè)的通信設(shè)備(MP-A),e) 在發(fā)生返回時(shí)檢查第一檢驗(yàn)信息與所返回的檢驗(yàn)信息的相關(guān),f) 在達(dá)到第一檢驗(yàn)信息與所返回的檢驗(yàn)信息的確定的相關(guān)度的情 況下,尤其是在第一檢驗(yàn)信息與所返回的檢驗(yàn)信息一致的情況下,注 冊(cè)的通信設(shè)備(MP-A)作為子網(wǎng)(MESH)的站被連接,否則拒絕該注 冊(cè)的通信設(shè)備。
10. 根據(jù)權(quán)利要求8所述的方法,其特征在于,為了進(jìn)行一致性 檢驗(yàn),a) 從子網(wǎng)(MESH)方面,笫一檢驗(yàn)信息通過在注冊(cè)的站的注冊(cè)嘗 試范圍內(nèi)所建立的子網(wǎng)(MESH)路線被傳送給第一通信設(shè)備(MP-l, MP-2),b) 子網(wǎng)(MESH)將返回第一檢驗(yàn)信息的請(qǐng)求傳送給第一通信設(shè)備 (MP-1, MP_2),c )子網(wǎng)(MESH )等待通過被建立通向?qū)?yīng)于注冊(cè)的MAC地址(MAC-A ) 的可獲得的MAC地址(MAC-l, MAC-2)所確定的通信設(shè)備(MP-1, MP-2 ) 的子網(wǎng)(MESH)路線返回第一檢驗(yàn)信息,d) 在未發(fā)生返回時(shí)拒絕注冊(cè)的通信設(shè)備(MP-A),e) 在發(fā)生返回時(shí)在其情況下檢查第一檢驗(yàn)信息與所返回的檢驗(yàn)信 息的相關(guān),f)在達(dá)到第一檢驗(yàn)信息與所返回的檢驗(yàn)信息的確定的相關(guān)度的情 況下,尤其是在第一檢驗(yàn)信息與所返回的檢驗(yàn)信息一致的情況下,注冊(cè)的通信設(shè)備(MP-A)作為子網(wǎng)(MESH)的站被連接,否則拒絕該注 冊(cè)的通信設(shè)備。
11. 根據(jù)權(quán)利要求8所述的方法,其特征在于,為了進(jìn)行一致性 檢驗(yàn),a) 從子網(wǎng)(MESH)方面,通過被建立通向?qū)?yīng)于注冊(cè)的MAC地址 (MAC-A)的可獲得的MAC地址(MAC-l, MAC - 2 )所確定的通信設(shè)備(MP-1, MP-2)的子網(wǎng)(MESH)路線等待笫二檢驗(yàn)信息以及通過 在注冊(cè)的站的注冊(cè)嘗試范圍內(nèi)建立的子網(wǎng)(MESH)路線向第一通信設(shè) 備(MP-1, MP-2)等待第三檢驗(yàn)信息,b )在未出現(xiàn)第二和/或第三檢驗(yàn)信息時(shí)拒絕該注冊(cè)的通信設(shè)備 (MP-A),c) 在第二和第三檢驗(yàn)信息到達(dá)時(shí),在其情況下檢查第二檢驗(yàn)信息 與第三檢驗(yàn)信息的相關(guān),d) 在達(dá)到第二檢驗(yàn)信息與第三檢驗(yàn)信息的確定的相關(guān)度的情況 下,尤其是在第二檢驗(yàn)信息與第三檢驗(yàn)信息一致的情況下,注冊(cè)的通 信設(shè)備(MP-A)作為子網(wǎng)(MESH)的站被連接,否則拒絕該注冊(cè)的通 信設(shè)備。
12. 根據(jù)前一權(quán)利要求所述的方法,其特征在于,從子網(wǎng)(MESH) 方面發(fā)起第二和/或第三檢驗(yàn)信息的傳輸。
13. 根據(jù)權(quán)利要求11所述的方法,其特征在于,從注冊(cè)的通信設(shè) 備(MP-A)方面發(fā)起第二和/或第三檢驗(yàn)信息的傳輸。
14. 根據(jù)權(quán)利要求8所述的方法,其特征在于,為了進(jìn)行一致性 檢驗(yàn),a )從注冊(cè)的通信設(shè)備(MP - A )方面基于對(duì)注冊(cè)的通信設(shè)備(MP-A ) 進(jìn)行認(rèn)證的第一加密密鑰、尤其是由根據(jù)所謂的"可擴(kuò)展認(rèn)證協(xié)議E AP " 協(xié)議的網(wǎng)絡(luò)注冊(cè)所得到的供注冊(cè)的通信設(shè)備(MP-A)使用的第一會(huì)話 密鑰計(jì)算出的第四檢驗(yàn)信息通過在注冊(cè)的站的注冊(cè)嘗試范圍內(nèi)所建立 的子網(wǎng)(MESH)路線,皮傳送給該子網(wǎng)(MESH),b) 從子網(wǎng)(MESH)方面,借助基于對(duì)通過對(duì)應(yīng)于注冊(cè)的MAC地址 (MACA )的可獲得的MAC地址(MAC-1, MAC-2 )所確定的通信設(shè)備(MP-1,MP-2 )進(jìn)行認(rèn)證的第二加密密鑰、尤其是由根據(jù)"可擴(kuò)展認(rèn)證協(xié)議EAP" 協(xié)議的網(wǎng)絡(luò)注冊(cè)所得到的供子網(wǎng)(MESH)使用的第二會(huì)話密鑰執(zhí)行解 密嘗試,c)在成功解密時(shí),注冊(cè)的通信設(shè)備(MP-A)作為子網(wǎng)(MESH)的 站被連接,否則拒絕該注冊(cè)的通信設(shè)備。
15. 根據(jù)權(quán)利要求8所述的方法,其特征在于,為了進(jìn)行一致性 檢驗(yàn),a) 從對(duì)通過對(duì)應(yīng)于注冊(cè)的MAC地址(MAC-A)的可獲得的MAC地 址(MAC-1, MAC-2)所確定的第一通信設(shè)備(MP-1, MP-2 )進(jìn)行認(rèn)證 的加密密鑰方面、尤其是從由根據(jù)所謂的"可擴(kuò)展認(rèn)證協(xié)議EAP"協(xié)議 的網(wǎng)絡(luò)注冊(cè)所得到的供注冊(cè)的通信設(shè)備(MP-A)使用的第一會(huì)話密鑰 方面所計(jì)算出的第五檢驗(yàn)信息通過所建立的注冊(cè)的通信設(shè)備(MP-A) 的路線被傳送給子網(wǎng)(MESH),b) 從子網(wǎng)(MESH)方面,借助基于對(duì)注冊(cè)的通信設(shè)備(MP-A)進(jìn) 行認(rèn)證的第二加密密鑰、尤其是由根據(jù)"可擴(kuò)展認(rèn)證協(xié)議EAP"協(xié)議的 網(wǎng)絡(luò)注冊(cè)所得到的供子網(wǎng)(MESH)使用的第二會(huì)話密鑰執(zhí)行解密嘗試,c) 在成功解密時(shí),注冊(cè)的通信設(shè)備(MP-A)作為子網(wǎng)(MESH)的 站被連接,否則拒絕該注冊(cè)的通信設(shè)備。
16. 根據(jù)上述權(quán)利要求之一所述的方法,其特征在于,第一和/或 第二會(huì)話密鑰作為根據(jù)"可擴(kuò)展認(rèn)證協(xié)議EAP"協(xié)議構(gòu)成的"主會(huì)話密 鑰MSK"密鑰來產(chǎn)生。
17. 根據(jù)上述權(quán)利要求之一所述的方法,其特征在于,第一和/或 第二會(huì)話密鑰作為根據(jù)"可擴(kuò)展認(rèn)證協(xié)議EAP"協(xié)議構(gòu)成的"擴(kuò)展的主 會(huì)話密鑰EMSK"密鑰來產(chǎn)生。
18. 根據(jù)上述權(quán)利要求之一所述的方法,其特征在于,為了計(jì)算 第一、第二、第三、笫四和/或第五檢驗(yàn)信息使用根據(jù)加密的、尤其是 SHA-l、 SHA256或者M(jìn)D5的哈希函數(shù)的函數(shù)。
19. 根據(jù)前一權(quán)利要求所述的方法,其特征在于,為了計(jì)算第一、 第二、第三、第四和/或第五檢驗(yàn)信息使用"帶密鑰的哈希函數(shù),,,尤 其是使用AES-CBC-MAC、畫C-SHA1、腿C-SHA256、 HMAC-MD5,其中 HMAC是根據(jù)RFC 2104的。
20. 根據(jù)前一權(quán)利要求所述的方法,其特征在于,當(dāng)注冊(cè)的通信設(shè)備(MP-A)作為用戶按照網(wǎng)格方式向子網(wǎng)(MESH)注冊(cè)時(shí),發(fā)起許 可程序。
21. 根據(jù)上述權(quán)利要求之一所述的方法,其特征在于,第一、第 二、第三、第四和/或第五檢驗(yàn)信息作為值、尤其是作為諸如"隨機(jī)數(shù),, 的偽隨機(jī)碼的值來產(chǎn)生。
22. 根據(jù)上述權(quán)利要求之一所述的方法,其特征在于,由值、尤 其是作為諸如"隨機(jī)數(shù),,的偽隨機(jī)碼產(chǎn)生的值所生成的哈希代碼作為 第一、第二、第三、第四和/或第五檢驗(yàn)信息被傳送。
23. 根據(jù)上述權(quán)利要求之一所述的方法,其特征在于,由注冊(cè)的 通信設(shè)備(MP-A)和/或第一通信設(shè)備的工作參數(shù)所生成的哈希代碼作 為第一、第二、第三、第四和/或第五檢驗(yàn)信息被傳送。
24. —種用于提供無線本地網(wǎng)的設(shè)備,其特征在于用于執(zhí)行根據(jù) 上述權(quán)利要求之一所述的方法的裝置。
全文摘要
本發(fā)明涉及一種用于提供無線網(wǎng)狀網(wǎng)的方法以及設(shè)備,其中在注冊(cè)在網(wǎng)狀網(wǎng)的用戶傳送已存在于網(wǎng)狀網(wǎng)中的MAC地址的情況下執(zhí)行許可程序來使得在網(wǎng)狀網(wǎng)之內(nèi)沒有兩個(gè)不同的用戶具有相同的MAC地址。
文檔編號(hào)H04W12/06GK101507235SQ200780031482
公開日2009年8月12日 申請(qǐng)日期2007年5月30日 優(yōu)先權(quán)日2006年8月24日
發(fā)明者F·科爾邁耶, R·法爾克 申請(qǐng)人:西門子公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1