本发明专利技术使用IEEE?Std.802.11元素例示了专用VLAN网桥。结果是网桥,被称为公共接入点,它相比IEEE?Std.802.11体系结构更适用于实现公共无线数据网络。本发明专利技术也提供用于更新将公共接入点连接在一起的网桥的转发表的位置更新协议。本发明专利技术还提供更受控制的桥接的方法,它被称为精细桥接。
【技术实现步骤摘要】
本专利技术涉及对电子网络的无线公共访问。更具体地,本专利技术涉及允许从电子网络 的物理接入点之内创建虚拟基本服务集的体系结构。
技术介绍
使用传统IEEE Std. 802. 11兼容的接入点除某些例外部署了公共WiFi热点。然 而,IEEE Std.802. ll体系结构和安全模型不适于公共使用。与接入点(AP)相关联的站共 享802. 11基本服务集(BSS)或无线LAN。除非BSS的所有成员皆值得信任,否则BSS中没 有一个站是无遭受由其它成员启动的攻击之患的。这样的攻击包括窃取基本服务和由订户 提供的任何机密信息来获取服务,诸如口令和信用卡信息。其它的攻击包括对网络完整性 和服务质量的破坏。期望公共BSS,即由与公共AP相关联的站组成BSS的所有成员皆值得 信任是不现实的。从而,在公共BSS中,站是易受攻击的。 共享公共BSS提出了另一威胁。BSS的成员可使用蠕虫或特洛伊木马来污染其它 成员站。基于端口的DCOM RPC攻击、MSBlaster和Welchia蠕虫均是很好的示例。该威胁 对作为电子污水池的公共BSS尤其尖锐。站如何能应对这些威胁? BSS中的站可使用诸如个人防火墙等防御来照料自己。或者,公共WiFi提供者可 部署保护订户免受彼此破坏的安全模型。 一种方法是阻止站间通信。然而这是个无法维持 的解决方案。彼此信任的站即使在公共设定中也应被允许在它们之间通信。例如,站应该 能够在由会议中心举行的会议中访问同一本地LAN上的文件服务器。这是例如标准会议中 的惯例。然而如果这种类型的共享被允许,则在IEEEStd. 802. 11下,入侵者易于使整个BSS 不能操作。这在2001 Usenix SecurityConference和拉斯维加斯的2001 DEFCON会议中 阐述。当今无线LAN没有安全模型可支持这种类型的共享而不引入易受攻击性。 提供可支持单个物理BSS的共享而不引入易受攻击性或损害使用BSS的站之间的 安全性的无线LAN的安全模型是有利的。
技术实现思路
本专利技术提供可支持站共享单个物理BSS而不引入易受攻击性或损害站安全性的 无线LAN的安全模型。因此,提供了一种新的接入点,此处称为公共接入点(PAP)。 PAP具 有与IEEE Std. 802. 11所规定的不同的安全体系结构。PAP体系结构允许从单个物理PAP 中创建虚拟基本服务集。可创建任意数量的虚拟服务集,且任何数量的终端站均可属于一 个虚拟BSS。 PAP就终端站看来是多个物理802. 11接入点,每一虚拟BSS —个。从而,PAP 与任何802. 11终端站完全可共同操作。4 作为PAP使用的示例,考虑会议中心。不同的会议可使用启用802. 11的投影仪。 PAP允许为每一会议提供单独的LAN段,从而为每一会议提供单独的链路私密性和完整性。 替代地仅使用IEEE Std.802. ll,会议投影仪和能够使用它来投影的所有站必须使用私有 接入点或自组织(ad hoc)WLAN,并管理WLAN成员、认证和密钥材料。否则,任何人都可使用 该投影仪投影,或更糟地,在有效的投影仪通信被显示之前截取该通信,使得它可由外部人 员监控或破坏。 除了与现有技术方法相关联的安全管理负担过高以外,会议计划者偏好利用本地 接入点而不是在每个会议地点处安装和配置他们自己的接入点。PAP可管理所有的安全性。 使用PAP,每一会议中的所有终端站,包括共享的投影仪和任何本地文件服务器,均有效地 与该会议的虚拟802. 11接入点相关联,且所有的虚拟接入点均从同一物理PAP中产生。 本专利技术也提供用于更新将公共接入点连接在一起的网桥的转发表的位置更新协 议。 本专利技术还提供更受控制的桥接的方法,这种桥接被称为精细桥接。 附图简要说明 附图说明图1是IEEE Std. 802. 11协议实体的示意性框图; 图2是IEEE Std. 802. 11配置基础架构的示意性框图; 图3是根据本专利技术的公共接入点体系结构的示意性框图; 图4是根据本专利技术其中一个站是AP的三站虚拟BSS内的可访问性的策略的示意 性框图; 图5是根据本专利技术其中站A和B共享服务器站S和D但A和B不允许彼此访问的 的四站之间的策略的示意性框图; 图6是根据本专利技术经修改使得将从B到A的边添加到图3中的策略的该策略的示 意性框图;以及 图7是消除经由基于端口的VLAN分配、出口过滤和共享VLAN学习(SVL)连接至 基础架构系统的边缘主机(edge host)之间的直接通信的IEEE Std.802. 1Q网桥的示意性 框图。具体实施方式 公共接入点 在美国专利申请第10/057,566号中,描述了一种协议,通过该协议,终端站可 创建通过复制现有VLAN的有标记和无标记的成员集来克隆现有VALN的虚拟桥接的 LAN (VLAN)。此夕卜,新的VLAN由其唯一的安全关联而唯一。该关联提供使属于VLAN的分组 保持私密且允许它们的VLAN成员由加密钥的MAC使用密码来验证的密钥材料。新的VLAN 由其创建者所有。所有者控制哪些站可加入和发现VLAN,以及VLAN的生存周期。从而,VLAN 被称为专用虚拟桥接LAN(PVLAN)。 本专利技术的一个实施例提供了仅使用IEEE Std.802. 11-1999(见部分11 :无线 LAN媒体访问控制(MAC)和物理层(PHY)规范,ISO/IEC 8802-11 :1999(E), ANSI/IEEE Std. 802. 11, 1999版本;以及部分11 :无线LAN媒体访问控制(MAC)和物理层(PHY)规范, 媒体访问控制(MAC)安全增强,IEEE Std.802. lli/D7. 0,对ISO/IEC 8802-11 :1999 (E)的5修正草案,ANSI/IEEE Std. 802. 11, 1999版本)的标准元素的PVLAN的细化。 也可见图l,它是一 IEEE Std.802. 11协议实体的示意性框图;以及图2,它是一IEEE Std.802. 11配置基础架构的示意性框图,其中每一BSS(BSS-A、 BSS-B)包括相应的接入点(AP-A、AP-B)及相关联的站(Al/A2、 Bl/B2)。本专利技术不要求对不作为接入点的与802. 11兼容的任何终端站的行为的修改。该细化例示了对虚拟802. 11BSS的PVLAN,且仅影响接入点。 图3是根据本专利技术的公共接入点体系结构的示意性框图。例如BSS-1或BSS-2的 虚拟802. IIBSS包括一组站,每一个站具有一个硬件(MAC)地址(见图l),这组站共享唯一 的安全关联,后者被称为组安全关联。安全关联由加密密钥和认证码密钥构成。 虚拟BSS中的站中只有一个是公共接入点(PAP)31。它桥接802. 11无线媒介 (丽)32与802. 11分布系统媒介(DSM)33。 对虚拟BSS中的每一个站存在唯一的单播安全关联。它在该站与该虚拟BSS的 PAP之间共享。 例如BSS-1或BSS-2的每一虚拟BSS具有其自己的标识符,即BSSID。它是属于该 BSS的PAP的虚拟MAC地址。PAP从丽中接收目的地为其虚拟MAC地址之一的任何帧,并 使用其虚拟MAC地址之一作本文档来自技高网...
【技术保护点】
一种无线LAN的安全装置,包括: 多个终端站,其中任意数量个所述终端站可属于一个虚拟基本服务集,其中每个所述终端站具有一个硬件媒体访问控制地址,即MAC地址;以及 公共接入点,用于从单个物理接入点内提供多个虚拟基本服务集,其中:终端站建立与所述虚拟基本服务集的安全关联; 所述公共接入点对于所述终端站而言是多个物理接入点,每个虚拟基本服务集对应一个接入点;并且 在所述虚拟基本服务集中的所有的终端站共享一个组安全关联,其中所述组安全关联是MAC安全的一种实现。
【技术特征摘要】
US 2004-1-9 10/754,402一种无线LAN的安全装置,包括多个终端站,其中任意数量个所述终端站可属于一个虚拟基本服务集,其中每个所述终端站具有一个硬件媒体访问控制地址,即MAC地址;以及公共接入点,用于从单个物理接入点内提供多个虚拟基本服务集,其中终端站建立与所述虚拟基本服务集的安全关联;所述公共接入点对于所述终端站而言是多个物理接入点,每个虚拟基本服务集对应一个接入点;并且在所述虚拟基本服务集中的所有的终端站共享一个组安全关联,其中所述组安全关联是MAC安全的一种实现。2. 如权利要求l所述的安全装置,其特征在于,所述MAC安全的实现包括安全MAC服务的实现。3. 如权利要求2所述的安全装置,其特征在于,所述安全MAC服务的实现包括MAC安全密钥协定和MAC安全实体。4. 如权利要求3所述的安全装置,其特征在于,所述组安全关联包括采用一种或多种加密方法。5. 如权利要求4所述的安全装置,其特征在于,还包括在由MAC安全密钥协定维护的安全关系中实现的一种或多种加密方法。6. —种安全无线网络,包括虚拟IEEE 802. 11基本服务集;多个终端站,每个所述终端站中都具有一个硬件媒体访问控制地址,即MAC地址;在所述虚拟基本服务集中的所有的终端站共享一个组安全关联,其中所述组安全关联是MAC安全的一种实现;并且所述虚拟基本服务集中的终端站之一包括接入点。7. 如权利要求6所述的网络,其特征在于,所述MAC安全的实现包括安全MAC服务的实现。8. 如权利要求6所述的网络,其特征在于,所述安全MAC服务的实现包括MAC安全密钥协定和MAC安全实体。9. 如权利要求7所述的网络,其特征在于,所述组安全关联包括采用一种或多种加密方法。10. 如权利要求9所述的网络,其特征在于,还包括在由MAC安全密钥协定维护的安全关系中实现的一种或多种加密方法。11. 一种在安全无线网络的接入点设备中用于支持多个站之间的网络通信的隔离的方法,每个所述站具有一个硬件媒体访问控制地址,即MAC地址,所述方法包括从第一站接收关联请求或探测请求;为所述请求确定一个基本服务集,所述虚拟基本服务集在所述请求被所述接入点设备接收时对于所述接入点设备是未知的;接收定义所述基本服务集的至少一个参数;基于所述至少一个参数建立所述...
【专利技术属性】
技术研发人员:DM沃尔潘诺,
申请(专利权)人:微软公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。