用于在诸如WLAN的无线网络中执行访问控制和/或转发控制的方法和装置制造方法及图纸

描述了用于在无线通信系统中控制对传达的信息(例如，业务)的访问和/或转发传达的信息(例如，业务)的方法和装置。当决定是否向目的设备提供所述传达的内容的访问权限时，考虑到被用于保护被发送至接入点以传达至所述目的设备的数据的所述密钥(例如，PSK)。所述的决定是否向所述目的地设备提供通信的访问权限可能涉及确定是否将所述接收到的数据转发至另一设备(例如，另一接入点)以便递送至目的地设备，和/或可能涉及决定是否将所述数据发送至所述目的地设备。如果所述目的地设备不与被用于保护所述接收到的数据的所述密钥相关联(例如，不具有所述密钥的访问权限和/或不具有使用所述密钥的授权)，则所述数据不被传达至所述目的地设备。

Method and apparatus for performing access control and / or forwarding control in a wireless network such as WLAN

【技术实现步骤摘要】
【国外来华专利技术】用于在诸如WLAN的无线网络中执行访问控制和/或转发控制的方法和装置
本申请涉及无线网络，并且更具体地，涉及可以被用于控制和/或限制传达的信息(例如，业务)的访问的方法和/或装置，该传达的信息(例如，业务)使用WLAN(无线局域网)或者另一网络而被传达。
技术介绍
无线局域网(WLAN)和各种其他类型的网络通常被用于在无线设备(诸如，蜂窝电话)之间并且因此，在使用不同蜂窝电话的用户之间传达信息(例如，数据)。一种用于通过使用加密来提供安全性的常用方法涉及使用所谓的PSK，该PSK代表预共享密钥。在许多系统中，为了避免未经授权使用网络以及为在空中传送(transmit)的信息提供安全性，无线地在空中被传送的信息通常使用有时也被称为加密密钥的安全密钥来加密。WiFi系统通常依赖于针对安全性使用预共享密钥(PSK)以实现这种加密。在这种系统中，PSK通常与其他信息或者值结合使用以生成短期加密密钥，该短期加密密钥被用于对在特定通信会话和/或有限时间段内的通信进行加密和/或解密。虽然在这种系统中，PSK可能不被用来直接对特定通信进行加密或者解密，但是PSK实现了并且被用于保护通信(例如，对通信进行加密)，因为其被用于生成瞬态加密密钥，该瞬态加密密钥被用于对传送的或者接收到的通信执行实际的加密/解密。Wi-Fi保护接入(WPA)是由Wi-Fi联盟开发用于保护依赖于使用PSK的无线计算机网络的常用安全协议。个人版WPA(有时也被称为WPA-PSK(预共享密钥)模式)是设计用于家庭网络和小型办公室网络的通用安全方法，在家庭网络和小型办公室网络中，每个无线网络设备使用256位密钥来对网络业务进行加密。该密钥可以被录入作为64位十六进制数字的串或者作为8至63个ASCII字符的密码。受WPA安全保护的WLAN通常对在WLAN上的所有站使用单个PSK(预共享密钥)。一些供应方在单个WLAN上允许多个PSK(“专用PSK”或者“每用户PSK”)。在单个PSK由所有设备使用的正常实现中或者在不同用户使用不同PSK的实现中，当数据从无线站到达时，站的MAC地址被用来查找适当的密钥，该适当的密钥然后被用于对业务进行解密。然后，等效的密钥查找被用来在将接收到的业务传输至目的地设备之前对接收到的业务进行重新编码。因此，一旦数据被接收到，数据就被解码，并且然后在传输之前被重新编码。虽然PSK被用来保护通过空中链路发送的业务，但是在业务被解码之后，假设接收接入点成功地对内容进行了解码，在常规系统中，原始PSK不影响或者影响路由决定或者重传决定，其中已被成功解码的数据基于已解码的业务中所包括的目的地地址或者其他目的地指示符而被路由和传送。随着设备成为多模式设备，将在一个网络上传送的数据传送至另一网络以递送至目的地设备变得越来越普遍。不同的网络可以使用不同的加密技术，并且在当前系统中，可能不了解在最初对通过通信网络发送的业务进行加密的方式，例如，针对到达从发送业务的原始无线终端接收业务的接入点的传输。一种用于数据安全性的方法是：在数据从源设备被传送至目的地设备时使数据保持加密形式，从而通过要求接收设备能够以传送的数据的原始形式对传送的数据进行解密来提供安全性。这种端到端加密通常是在无线终端与接入点之间的空中链路上使用的加密的补充，并且与之无关。当这种端到端加密被使用时，业务在其上被传送的一个或者多个网络通常仅充当递送设备，其中终端设备负责确保其接收到的业务实际上是设备能够进行解密并且使用的业务。在这种端到端加密方法中，接收它们没有资格接收的数据的设备将不能对数据进行解密，因为它们将缺少执行这种加密所需的安全密钥；然而，当递送被寻址到目的地设备的这种内容时，网络资源将已经被浪费。虽然在一些情况下，在接入点处传送业务但是不对其进行解密可能提高端到端安全性，但是这往往增加开销，并且可能导致将业务传达/转发至将不能对内容进行解密并且不应该首先接收到业务的设备。通过上面的讨论，应该了解，在至少一些而并非所有情况下，以加密形式传达业务(该业务不可被用于传达业务的网络设备解码)可能是浪费的，并且导致传送和传达以下数据：该数据最终将不会被使用，并且或许永远都不应该首先被递送，而是可能由于寻址错误或者出于某种其他原因而被递送。如果以下改进的方法和/或装置可以被开发出来，则这将是所期望的：这些方法和/或装置可以被用于基于设备对加密密钥的访问来限制对内容的访问和/或对内容的转发，而不需要(在一些而并非所有情况下)在内容通过一个或者多个通信网络被传送时对内容进行端到端加密。
技术实现思路
描述了用于在无线通信系统中控制传达的信息(例如，业务)的访问和/或转发传达的信息(例如，业务)的方法和装置。在各种实施例中，当决定是否向目的地设备提供内容时，考虑到哪个密钥(例如，PSK)被用于实现对被传送至接入点以传达至目的地设备的数据进行加密和/或解密。决定是否向目的地设备提供内容是访问控制决定，并且可以涉及确定是否将接收到的数据转发至另一设备(例如，另一接入点)以便递送至目的地设备，和/或可以涉及当目的地设备被附接至与传送设备相同的接入点时，决定是否将数据传送至目的地设备。在各种实施例中，如果目的地设备不与被用于实现对接收到的数据进行加密和/或解密的预共享密钥(PSK)相关联(例如，不具有该预共享密钥的访问权限和/或不具有使用该预共享密钥的授权)，则数据不被传达至目的地设备。应该注意，虽然在访问控制操作期间考虑了被用于实现对要通过发送设备与接入点之间的空中链路来传达的数据进行加密的密钥(例如，PSK)，但是在许多情况下，访问控制操作与被用于生成加密密钥的PSK解耦合，该加密密钥被用于从目的地设备耦合至其的接入点传送数据(假设其被递送至目的地设备)。换言之，被用于保护发送设备(例如，第一无线终端)与发送设备耦合至其的第一接入点之间的第一空中链路的PSK(例如，第一加密密钥)或者使用加密密钥的安全过程可以或者通常将与被用于保护目的地设备(例如，第二无线终端)与第二无线终端耦合至其的接入点(例如，第二接入点)之间的通信的加密密钥(例如，第二PSK)不同。如上面讨论的被用于保护特定通信的PSK可以并且通常被用于生成临时的或者瞬态的加密密钥，该临时的或者瞬态的加密密钥然后被用于对在空中传送的无线通信执行实际的加密或者解密。在各种实施例中，数据(例如，业务，诸如，要传达的消息或者其他信息)以加密形式被接收，并且然后被解密，例如，使用第一加密密钥，例如，被用于生成用于进行解密或者加密的瞬态加密密钥的第一PSK。预期的目的地设备由目的地地址或者可以并且通常由与业务数据一起被传达的其他目的地标识符标识。检查由发送设备用于实现对要传达至目的地设备的内容进行解密和/或对该内容进行加密的密钥(例如，PSK)是否与目的地设备相关联。该检查可以并且有时由充当访问控制设备的设备进行，但是根据特定实施例，可以在系统中的各个位置进行检查。接收要传达的业务的接入点可以并且通常将充当访问控制设备。在目的地设备被附接至与源设备相同的本文档来自技高网...

【技术保护点】
1.一种通信方法，所述方法包括：/n在第一无线接入点(106)处以加密形式从第一无线终端(116)接收(509或者606)第一消息，所述第一消息被定向到第二无线终端(118)，所述第一消息使用第一密钥而被保护；/n在所述第一无线接入点(106)处对以加密形式被接收到的所述第一消息进行解密(513或者608)，以恢复所述第一消息；以及/n基于所述第一密钥来做出被用于控制对所述第一消息的访问的访问控制决定((529或者556)或者610)，做出访问控制决定的所述步骤包括：确定(530或者557或者612)被用于保护所述第一消息的所述第一密钥是否与所述第二无线终端(118)相关联。/n

【技术特征摘要】
【国外来华专利技术】20170816 US 15/679,1281.一种通信方法，所述方法包括：
在第一无线接入点(106)处以加密形式从第一无线终端(116)接收(509或者606)第一消息，所述第一消息被定向到第二无线终端(118)，所述第一消息使用第一密钥而被保护；
在所述第一无线接入点(106)处对以加密形式被接收到的所述第一消息进行解密(513或者608)，以恢复所述第一消息；以及
基于所述第一密钥来做出被用于控制对所述第一消息的访问的访问控制决定((529或者556)或者610)，做出访问控制决定的所述步骤包括：确定(530或者557或者612)被用于保护所述第一消息的所述第一密钥是否与所述第二无线终端(118)相关联。


2.根据权利要求1所述的方法，其中确定(612)被用于保护所述第一消息的所述第一密钥是否与所述第二无线终端(118)相关联包括：从存储的信息(107或者114)确定(614)所述第二无线终端(118)是否具有所述第一密钥的访问权限。


3.根据权利要求1A所述的通信方法，
其中所述第一密钥是第一预共享密钥(PSK)。


4.根据权利要求1所述的方法，还包括：
当确定被用于保护所述第一消息的所述第一密钥与所述第二无线终端(118)相关联时，将所述第一消息传达((532或者560)或者624)至所述第二无线终端(118)。


5.根据权利要求4所述的方法，还包括：
响应于确定所述第一密钥不与所述第二无线终端(118)相关联，丢弃((536或者564)或者(644或者646))所述第一消息，而不将所述第一消息递送至所述第二无线终端(118)。


6.根据权利要求1所述的方法，其中所述第二无线终端(118)被耦合至所述第一接入点(106)，并且其中做出访问控制决定(529或者610)的所述步骤在所述第一接入点(106)处被执行。


7.根据权利要求6所述的方法，其中将所述消息传达(532或者624)至所述第二无线终端(118)包括：
在将所述第一消息传送至所述第二无线终端(118)之前，在所述第一接入点(106)处使用所述第一密钥来保护(546或者630)所述第一消息。


8.根据权利要求7所述的方法，其中使用所述第一密钥来保护(546或者630)所述第一消息包括：使用从所述第一密钥生成的临时密钥来对所述第一消息进行加密(632)，所述临时密钥是被用于对所述第一接入点(106)与所述第二无线终端(118)之间的通信进行加密的加密密钥。


9.根据权利要求3所述的方法，还包括：
在存储设备(212或者115)中存储(406或者604)密钥关联信息(107或者114)，所述密钥关联信息(107或者114)列出了与所述第二无线终端(118)相关联的一个或者多个密钥。


10.根据权利要求9所述的方法，其中所述存储设备(115)被包括在管理节点(112)中，所述管理节点(112)存储了无线终端(WT)密钥关联记录并且使所述密钥关联记录中的所述信息可用于一个或者多个接入点。


11.根据权利要求4所述的方法，其中将所述第一消息传达((532和560)或者624)至所述第二无线终端(118)包括：当所述第二无线终端(118)被附接至第二接入点(108或者110)时，将所述第一消息转发(534或者636)至所述第二接入点(108或者110)；以及
操作(561或者638)所述第二接入点(108)以使用第二密钥来保护所述第一消息，所述第二密钥被用于保护在所述第二接入点(108或者110)与所述第二无线终端(118)之间的空中链路上的通信。


12.根据权利要求11所述的方法，其中操作(561或者638)所述第二接入点以使用第二密钥来保护所述第一消息包...

【专利技术属性】
技术研发人员：R·弗赖，G·戈德斯通，N·戴德，L·程，S·哈杰拉，
申请(专利权)人：水雾系统股份有限公司，
类型：发明
国别省市：美国;US