客户端利用WPA-2加密在接入点之间的无缝漫游制造技术

描述了一种提供客户端设备的无缝漫游的无线网络系统。所述无线网络系统包括多个接入点。一个接入点被指定为负责处理与所述客户端设备的加密通信的主接入点。所述主接入点具有访问加密通信所需的加密密钥。所述主接入点从其他接入点接收包括连接分数的广播更新。当第二接入点的连接分数超过当前的主接入点的连接分数时，所述当前的主接入点将所述第二接入点指定为新的主接入点并且向所述新的主接入点发送用于加密通信的加密密钥。切换是无缝的并且不需要在所述新的主接入点与所述客户端设备之间进行新的握手。

【技术实现步骤摘要】
【国外来华专利技术】客户端利用WPA-2加密在接入点之间的无缝漫游
本公开涉及无线接入点。更具体地，本公开涉及客户端设备在无线接入点之间的无缝漫游。
技术介绍
在包括多个无线接入点的无线网络中，客户端设备可以在这些接入点之间漫游。在客户端设备到无线网络的无线接入点的初始连接期间，客户端设备和接入点必须完成4次密钥管理过程。此握手过程确认它们用于生成加密密钥(包括成对瞬态密钥(PTK))的成对主密钥(PMK)的相互拥有。在4次握手期间，接入点向客户端设备发送认证器现时值(ANonce)。ANonce是被使用一次的伪随机生成的数字。然后，客户端设备使用PMK、ANonce、客户端设备现时值(SNonce)、接入点的媒体访问控制(MAC)地址和客户端设备的MAC地址来构造并安装成对瞬态密钥(PTK)。然后，客户端设备将SNonce和使用PTK生成的消息完整性码(MIC)发送到接入点。然后，接入点导出PTK并将其安装在其末端上，并且可以验证其接收到的MIC。然后，接入点向客户端设备发送组临时密钥(GTK)和另一MIC。客户端设备可以验证其接收到的MIC并且安装GTK。最后，客户端设备向接入点发送确认消息。这种4次握手的结果是客户端设备和接入点均安装了相同的PTK和GTK并且准备在它们之间进行加密通信。这种4次握手可以用于在客户端设备与接入点之间建立加密的Wi-Fi保护接入II(WPA-2)通信。然而，当客户端设备通过包含多个接入点的无线网络漫游时，每当客户端设备在第一接入点与第二接入点之间漫游时都需要执行相同的4次握手。4次握手的开销可能会降低无线网络的通信和性能，因为客户端设备在跨接入点漫游时需要重复执行4次握手。此外，用于客户端在接入点之间漫游的现有技术需要客户端设备确定要在无线网络中连接到哪个接入点，并且接入点无法控制哪个接入点将管理与客户端设备的通信。因此，如果特定接入点正在经历大的负载或其他性能问题，则无线网络将无法强制客户端设备漫游到不同的接入点。802.11v标准试图向接入点提供针对哪个接入点将要管理与客户端设备的通信的改进控制。在802.1lv下，接入点可以发送基本服务集转换消息(BSS转换消息)，该BSS转换消息告诉客户端设备其可连接到的其他接入点。然而，在802.11v下，客户端设备可以控制它接下来将连接到BSS转换消息中标识的接入点中的哪个特定接入点。因此，802.11v未提供对接入点的完全控制来确定哪个接入点将管理与客户端设备的通信。此外，802.11v的实现需要在客户端设备上安装新的协议兼容代码或更新。802.11r快速漫游(FT)协议试图提供客户端设备的改进漫游，但是该协议需要在客户端设备上安装新的协议兼容代码或更新。用于在接入点之间提供无缝漫游的其他现有技术需要基于控制器的架构或者需要开放服务集标识符(SSID)而不是加密的SSID。因此，需要的是客户端设备利用解决这些问题的WPA-2加密在接入点之间无缝漫游的技术。本节中描述的方法是能够采用的方法，而不一定是先前已经设想或采用的方法。因此，除非另外说明，否则不应仅由于将本节中所述的任何方法包括在本节中而将其假定为现有技术。附图说明在附图的各图中，以示例而非限制的方式示出了示例实施例，并且其中相同的附图标记指代相似的元件，并且其中：图1是根据一个实施例的无线网络系统的框图。图2示出了根据一个实施例的用于将客户端设备连接到无线网络系统的处理。图3示出了根据一个实施例的用于执行客户端设备在接入点之间的切换的处理。图4是可以在其中体现示例实施例的计算设备的框图。图5是用于控制计算设备的操作的软件系统的框图。虽然每个附图出于图示清楚示例的目的而示出了特定实施例，但是其他实施例可以省略、添加、重新排序和/或修改附图中所示的任何元素。具体实施方式在以下描述中，出于说明的目的，阐述了许多具体细节以便提供对示例实施例的透彻理解。然而，将显而易见的是，可以在没有这些具体细节的情况下实践示例实施例。在其他实例中，以框图形式示出公知的结构和设备，以便避免不必要地使示例实施例混淆。1.0概述2.0示例计算机系统实现2.1接入点2.2连接标准2.3连接分数2.4接入点之间的切换3.0示例处理和算法4.0实现机制—硬件概述5.0实现机制—软件概述6.0其他公开方面***1.0概述在实施例中，描述了一种无线网络系统。该无线网络系统包括多个无线接入点和一个或多个客户端设备。接入点被编程或配置为使得单个接入点是用于处理与特定客户端设备的加密通信的主接入点。主接入点被编程或配置为负责与特定客户端设备的通信。在实施例中，在无线网络系统的接入点中的一个或多个处检测到来自特定客户端设备的信号时，这些接入点中的每个接入点被编程或配置为计算用于与客户端设备通信的连接分数并且将其连接分数广播给网络中的其他接入点。接入点的连接分数是表示该接入点用于处理与特定客户端设备的通信的总体适用性的值。可以基于一个或多个连接标准来计算连接分数。连接标准可以包括与无线接入点的功能或性能或接入点与特定客户端设备之间的通信有关的任何标准。例如，连接标准可以包括但不限于客户端设备与接入点之间的通信的接收信号强度指示符(RSSI)、接入点的性能负载和/或客户端设备与接入点之间的通信的等待时间。一旦连接分数被广播给接入点，则将具有最高连接分数的接入点即第一接入点指定为特定客户端设备的主接入点。在实施例中，第一接入点可以被编程或配置为向其他接入点发送指示第一接入点是特定客户端设备的主接入点的广播消息。特定客户端设备的主接入点被编程或配置为执行与客户端设备的4次握手以开始客户端设备与主接入点之间的加密通信。因此，主接入点能够生成用于与客户端设备进行安全通信的一组加密密钥，包括成对瞬时密钥(PTK)。PTK可以用于主接入点与客户端设备之间的加密通信。在实施例中，PTK也包括作为用于客户端设备与主接入点之间的加密通信的单调递增计数器的初始化向量(IV)。IV随着通信实体所发送的每个新分组而递增，并且可由其他端点用来检测消息重播攻击。主接入点从无线网络中的其他接入点持续地接收广播更新，这些广播更新包括更新的连接分数。主接入点可以存储其他接入点的连接分数。如果主接入点确定第二接入点具有比主接入点本身更好的用于与客户端设备通信的连接分数，则主接入点能够通过将第二接入点升级为用于与客户端设备通信的新的主接入点并且使自身降级为正常接入点来将客户端设备的通信职责切换到第二接入点。在此切换处理期间，主接入点将包括IV的加密密钥发送到第二接入点，并且同样地，主接入点暂停管理与客户端设备的通信或递增IV。一旦第二接入点被升级为新的主接入点，第二接入点就被编程或配置为处理与客户端设备的将来加密通信。由于当第二接入点被指定为新的主接入点时在第一接入点与第二接入点之间无缝地发送包括IV的PTK，因此客户端设备不需要本文档来自技高网...

【技术保护点】
1.一种方法，包括：/n在多个接入点中的第一接入点处存储用于与客户端设备的加密通信的加密密钥；/n使用所述加密密钥来执行所述第一接入点与所述客户端设备之间的加密通信；/n在所述多个接入点中的每个特定接入点处生成多个连接分数中的特定连接分数，其中，每个特定连接分数由所述特定接入点基于连接标准而生成，并且其中，所述连接标准是描述所述特定接入点的性能或所述特定接入点与所述客户端设备之间的通信的数据；/n在所述第一接入点处接收来自所述多个接入点的所述多个连接分数；/n在所述第一接入点处确定与所述多个接入点中的第二接入点相关联的连接分数超过与所述第一接入点相关联的连接分数；以及/n响应于确定与所述多个接入点中的所述第二接入点相关联的连接分数超过与所述第一接入点相关联的连接分数：/n暂停所述第一接入点与所述客户端设备之间的加密通信；/n将所述加密密钥从所述第一接入点发送到所述第二接入点；以及/n使用所述加密密钥执行所述第二接入点与所述客户端设备之间的加密通信，其中，所述方法使用一个或多个处理器执行的。/n

【技术特征摘要】
【国外来华专利技术】20180301 US 15/909,8231.一种方法，包括：
在多个接入点中的第一接入点处存储用于与客户端设备的加密通信的加密密钥；
使用所述加密密钥来执行所述第一接入点与所述客户端设备之间的加密通信；
在所述多个接入点中的每个特定接入点处生成多个连接分数中的特定连接分数，其中，每个特定连接分数由所述特定接入点基于连接标准而生成，并且其中，所述连接标准是描述所述特定接入点的性能或所述特定接入点与所述客户端设备之间的通信的数据；
在所述第一接入点处接收来自所述多个接入点的所述多个连接分数；
在所述第一接入点处确定与所述多个接入点中的第二接入点相关联的连接分数超过与所述第一接入点相关联的连接分数；以及
响应于确定与所述多个接入点中的所述第二接入点相关联的连接分数超过与所述第一接入点相关联的连接分数：
暂停所述第一接入点与所述客户端设备之间的加密通信；
将所述加密密钥从所述第一接入点发送到所述第二接入点；以及
使用所述加密密钥执行所述第二接入点与所述客户端设备之间的加密通信，其中，所述方法使用一个或多个处理器执行的。


2.根据权利要求1所述的方法，其中，所述连接标准包括测量所述接入点的性能负载的数据。


3.根据权利要求1或2所述的方法，其中，所述连接标准包括测量所述客户端设备与所述接入点之间的通信的等待时间的数据。


4.根据前述权利要求中任一项所述的方法，其中，所述连接标准包括测量所述客户端设备与所述接入点之间的信号的接收信号强度指示符(RSSI)的数据。


5.根据前述权利要求中任一项所述的方法，还包括：
执行所述第一接入点与所述客户端设备之间的4次握手以生成所述加密密钥。


6.根据前述权利要求中任一项所述的方法，其中，所述加密密钥包括成对瞬时密钥(PTK)。


7.根据权利要求6所述的方法，其中，所述PTK包括初始化向量(IV)，其中，所述IV是用于数据分组通信的单调递增计数器。


8.根据权利要求7所述的方法，其中，暂停所述第一接入点与所述第二接入点之间的加密通信包括：暂停所述IV的递增。


9.根据前述权利要求中任一项所述的方法，其中，使用所述加密密钥来执行所述第二接入点与所述客户端设备之间的加密通信包括：执行所述第二接入点与所述客户端设备之间的加密通信，而不执行所述第二接入点与所述客户端设备之间的4次握手。


10.根据前述权利要求中任一项所述的方法，还包括：
由所述多个接入点中的每个接入点广播基本服务集标识符(BSSID)，其中，所述BSSID对于所述多个接入点中的每个接入点都是相同的。


11.一种方法，所述方法包括：
在多个接入点中的第一接入点处存储用于与客户端设备的加密通信的加密密钥；
使用所述加密密钥来执行所述第一接入点与所述客户端设备之间的加密通信；
在所述第一接入点处接收来自所述多个接入点的多个连接分数，所述多个连接分数中的每个特定连接分数由所述多个接入点中的特定接入点基于连接标准而生成，并且其中所述连接标准是描述所述特定接入点的性能或所述特定接入点与所述客户端设备之间的通信的数据；
在所述第一接入点处确定与所述多个接入点中的第二接入点相关联的连接分数超过与所述第一接入点相关联的连接分数；以及
响应于确定与所述多个接入点中的所述第二接入点相关联的连接分数超过与所述第一接入点相关联的连接分数：
暂停所述第一接入点与所述客户端设备之间的加密通信；
将所述加密密钥从所述第一接入点发送到所述第二接入点用于在执行所述第二接入点与所述客户端设备之间的加密通信...

【专利技术属性】
技术研发人员：阿普尔夫·巴蒂亚，林丽珍，
申请(专利权)人：思科技术公司，
类型：发明
国别省市：美国;US