本文提供了一种用于在多住户单元(MDU)中提供多播帧的方法。接入点(AP)可以接收来自第一客户端设备的加入请求。AP可以从与包括第一客户端设备的基本服务集(BSS)相关联的预共享密钥(PSK)生成群组主密钥(GMK)。然后,AP可从GMK推导出群组瞬态密钥(GTK)。然后,AP可将GTK发送给第一客户端设备。此后,AP可以向第一客户端设备发送由GTK加密的多播帧。第一客户端设备可利用GTK对多播帧进行解密。然而,不共享PSK的第二客户端设备可接收多播帧,但不能对多播帧进行解密。多播帧进行解密。多播帧进行解密。
【技术实现步骤摘要】
【国外来华专利技术】多重预共享密钥(PSK)无线局域网(WLAN)中的多播遏制
[0001]本申请于2022年1月11日被作为PCT国际专利申请提交,并且要求获得2021年1月12日提交的美国非临时专利申请序列号17/147,319的权益和优先权,该美国申请的全部公开内容被通过引用完全并入。
[0002]本公开概括而言涉及无线网络。
技术介绍
[0003]在计算机联网中,无线接入点(Access Point,AP)是一种联网硬件设备,它允许Wi
‑
Fi兼容的客户端设备连接到有线网络和其他客户端设备。AP通常作为独立设备连接到路由器(直接或经由有线网络间接连接),但它也可以是路由器本身的一个组成部分。无线网络可以为在偏远位置工作的工人提供接入。
[0004]在多住户单元(Multi Dwelling Unit,MDU),例如大学宿舍、公寓、医院,有许多连接的设备,这些设备没有高级认证机制,例如dot1x,或者由于附加的管理开销而不宜采用这种机制,因此预共享密钥(Pre
‑
Shared Key,PSK)的使用允许了用户轻松连接到网络,并且是很普遍的。与此同时,具有不同的服务集标识符(Service Set IDentifier,SSID),其中每个SSID上有单个PSK,会由于管理帧而造成空口杂乱。
[0005]最近有了一些发展,例如思科公司推出的mPSK和iPSK,允许了在单个SSID上有多个PSK。mPSK使用消息2(M2)消息的基于LAN的可扩展认证协议(Extensible Authentication Protocol,EAP)(Extensible Authentication Protocol Over LAN)交换参数来计算最多5个配置口令中的哪个与接收到的安全信息相匹配。iPSK要求一个入网程序,来在客户端媒体接入控制(Media Access Control,MAC)地址和PSK之间创建绑定。在这种SSID中经过认证的用户需要能够通过多播协议,例如,Bonjour/多播域名系统(multicast Domain Name System,mDNS)、简单服务发现协议(Simple Service Discovery Protocol,SSDP)和链路本地多播名称解析(Link
‑
Local Multicast Name Resolution,LLMNR),来发现其自己的设备。用户不应当发现属于其他用户并且使用不同PSK的设备。多播流量应当被包含在共享相同PSK的设备中。
附图说明
[0006]包含在本公开中并且构成本公开的一部分的附图图示了本公开的各种示例。在附图中:
[0007]图1是根据本公开的各方面的无线网络环境的框图;
[0008]图2A是根据本公开的各方面建立群组瞬态密钥(GTK)的信令过程的信令或路标图;
[0009]图2B是根据本公开的各方面用于建立GTK的信令过程的另一信令或路标图;
[0010]图3A是根据本公开的各方面的设备组件的框图;
[0011]图3B是根据本公开的各方面的数据结构的框图;
[0012]图4A是根据本公开的各方面用于生成GTK的方法的流程图;
[0013]图4B是根据本公开的各方面用于生成GTK的方法的另一流程图;
[0014]图5A是根据本公开的各方面用于发送多播帧的方法的流程图;
[0015]图5B是根据本公开的各方面用于发送多播帧的方法的另一流程图;
[0016]图6A是根据本公开的各方面的计算设备的框图;
[0017]图6B是根据本公开的各方面的无线设备的框图。
具体实施方式
[0018]概述
[0019]本文提供了一种用于在MDU中提供多播帧的最优方法。AP可以接收来自第一客户端设备的加入请求。AP可以从与包括第一客户端设备的基本服务集(Basic Service Set,BSS)相关联的预共享密钥(Pre
‑
Shared Key,PSK)生成群组主密钥(Group Master Key,GMK)。然后,AP可从GMK推导出群组瞬态密钥(Group Transient Key,GTK)。然后,AP可将GTK发送给第一客户端设备。此后,AP可以向第一客户端设备发送由GTK加密的多播帧。第一客户端设备可利用GTK对多播帧进行解密。
[0020]共享相同PSK的第二客户端设备可以接收GTK,并且也能够对多播帧进行解密。然而,不共享PSK的第三客户端设备将不会接收GTK,并且虽然第三客户端可以接收多播帧,但第三客户端设备无法在没有GTK的情况下对多播帧解密。相反,当第三客户端设备连接时,AP将根据新的PSK生成新的GMK,并且为第三客户端设备推导出新的GTK。
[0021]前面的概述和接下来的描述都只是举例和说明,而不应当被认为限制所描述和要求保护的本公开的范围。此外,除了描述的那些以外,还可以提供其他特征和/或变化。例如,本公开的示例可以针对实现方式中描述的各种特征组合和子组合。
[0022]示例
[0023]接下来的详细描述参考了附图。只要有可能,在附图和接下来的描述中使用相同的标号来指代相同或相似的元素。虽然可描述本公开的(一个或多个)示例,但修改、改编和其他实现方式是可能的。例如,可以对附图中图示的元素进行替换、添加或修改,并且可以通过对所公开的方法进行替换、重排序或添加阶段来修改本文描述的方法。因此,接下来的详细描述并不限制本公开。相反,本公开的恰当范围由所附权利要求限定。
[0024]在柔性部署中支持多播遏制可通过以下步骤实现:1)向同一AP上的客户端递送多播流量;2)向其他AP上的客户端递送多播流量;3)限制有线流量;以及4)扩展到802.1X。
[0025]在实现方式中,设备可能属于由PSK标识的设备群组,其中该群组也共享相同的SSID。设备的群组可与同一用户相关联。应当注意,SSID可以支持多个PSK。几个用户可以连接到同一SSID。在EAPOL 4路交换期间,一旦确定了客户端在使用的PSK,就会推导出配对瞬态密钥(Pairwise Transient Key,PTK)和GTK。可以为第一客户端从群组主密钥(GMK)推导出GTK,然后与共享相同PSK的后续客户端共享,以便每个客户端都可以对多播帧解密。
[0026]在本文的各方面中,控制器或AP可为单个SSID的每个PSK生成GMK,然后推导出GTK并且与同一PSK群组中的客户端共享。然后,从一个无线客户端去到AP的任何多播流量都可以使用与该源客户端相关联的GTK来进行广播。BSS上的客户端可以接收帧,但只有共享相
同PSK的客户端才能对消息进行解密。
[0027]作为扩展,如果多个群组被允许与彼此通信,即,创建超级群组,则本文的各方面可以为该超级群组生成GTK。在这种情形中,群组标识符被用来确定要被用于客户端的GMK。PSK和超级群组之间的关系可在配本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种方法,包括:由计算设备接收来自第一客户端设备的加入请求;由所述计算设备从与基本服务集(BSS)相关联的预共享密钥(PSK)生成群组主密钥(GMK);由所述计算设备从所述GMK推导出群组瞬态密钥(GTK);并且由所述计算设备将所述GTK发送到所述第一客户端设备。2.如权利要求1所述的方法,还包括:向所述第一客户端设备发送由所述GTK加密的多播帧。3.如权利要求2所述的方法,其中,所述第一客户端设备基于所述GTK对所述多播帧解密。4.如任一在前权利要求所述的方法,还包括:将所述GMK、所述GTK、所述PSK和与所述第一客户端设备相关联的客户端标识符(客户端ID)插入到缓存中。5.如权利要求4所述的方法,其中,所述缓存是按所述PSK来索引的。6.如任一在前权利要求所述的方法,还包括:接收来自第二客户端设备的第二加入请求,其中所述第二加入请求与具有所述PSK的所述BSS相关联;并且将所述GTK发送到所述第二客户端设备。7.如权利要求6所述的方法,还包括:在发送所述GTK之前,确定所述GTK是否已超时;并且如果所述GTK已超时,则从所述GMK推导出第二GTK。8.如权利要求7所述的方法,还包括:将所述第二GTK重发送到所述第一客户端设备;并且将所述第二GTK发送到所述第二客户端设备。9.如权利要求8所述的方法,其中,生成所述GMK包括:向认证、鉴权和计费(AAA)服务器发送所述加入请求,其中所述AAA服务器生成所述GMK;并且从所述AAA服务器接收所述GMK。10.如任一在前权利要求所述的方法,还包括:由第二计算设备接收iPSK对等阻断标签,所述标签是由所述计算设备在利用所述第一客户端设备的PSK进行认证期间生成;由所述第二计算设备将所述标签存储在PMK缓存中;由所述第二计算设备从所述计算设备接收所述PSK;由所述第二计算设备将所述PSK存储在所述PMK缓存中;由所述第二计算设备从所述第一客户端设备接收多播帧;由所述第二计算设备在所述PMK缓存中搜索与所述标签相关联的本地客户端设备;并且由所述第二计算设备向所述本地客户端设备发送由所述GTK加密的所述多播帧。11.一种系统,包括:存储器存储装置;以及
与所述存储器存储装置耦合的处理单元,其中所述处理单元能操作来:接收来自第一客户端设备的加入请求;从与基本服务集(BSS)相关联的预共享密钥(PSK)生成群组主密钥(GMK);从所述GMK推导出群组瞬态密钥(GTK);将所述GTK发送到所述第一客户端设备;并且向所述第一客户端设备发送由所述GTK加密的多播帧,其中,所述第一客户端设备基于所述GTK对所述多播帧进行解密,并且其中,不共享所述PSK的第二计算设备接收所述多播帧但不能对所述多播帧进行解密。12.如权利要求11所述的系统,所述处理单元还能操作来:将所述GMK、所述GTK、所述PSK和与所述第一客户端设备相关联的客户端标识符(客户端ID)插入到缓存中,其中,所述缓存是按所述PSK来索引的。13.如权利要求11或12所述的系统,所述处理单元还能操作来:接收来自第二客户端设备的第二加入请求,其中所述第二加入请求与具有所述PSK的所述BSS相关联;确定所述GTK是否已超时;如果所述GTK已超时,则从所述GMK推导出第二GTK;将所述第二GTK重发送到所述第一客户端设备;并...
【专利技术属性】
技术研发人员:乌戈,
申请(专利权)人:思科技术公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。