无线局域网接入点设备和系统以及相关方法技术方案

本发明专利技术提供用于无线局域网接入点设备和系统以及相关方法。在该接入点设备上，对应于同一扩展服务集划分多个虚拟局域网，其中该接入点设备包括广播密钥管理模块，其用于管理对广播信息进行加密的广播密钥；以及广播密钥存储装置，其用于存储所述广播密钥。其中在所述广播密钥存储装置中，按照与虚拟局域网的虚拟局域网标识符对应的方式存储所述广播密钥，所述广播密钥管理模块通过虚拟局域网标识符得到对应的广播密钥。

【技术实现步骤摘要】
无线局域网接入点设备和系统以及相关方法
本专利技术涉及无线通信
，具体而言，涉及用于无线局域网的接入点设备、无线局域网系统、在无线局域网中进行加密信息广播的方法以及对广播密钥进行更新的方法。
技术介绍
无线局域网(WLAN)已经越来越多地应用于各种工作环境之中。在某些情况下，需要将一个WLAN划分为多个虚拟局域网(VLAN)。在现有技术中，通过在一个物理接入点设备内建立虚拟接入点(或逻辑接入点)设备，然后通过扩展服务集(ESS)对VLAN进行划分，每个VLAN对应一个ESS。例如，如图1所示，在两个物理接入点设备AP1和AP2内分别各自建立两个虚拟接入点设备AP1_a、AP1_b和AP2_a、AP2_b，将AP1_a和AP1_b构成一个无线分布式系统(WDS)并且拥有唯一的扩展服务集标识符SSID1，将AP2_a和AP2_b构成另一个WDS并且拥有唯一的扩展服务集标识符SSID2。在现有的系统中(如图2所示)，由于一个ESS只对应一个VLAN，所以如果无线设备从一个VLAN切换到另一个VLAN，则必须断开与原有的VLAN对应的ESS的连接，然后重新关联到与新的VLAN对应的ESS。同时，由于可以针对每个ESS指定独立的安全策略，因此在每个ESS所覆盖的范围中，可以使用针对该ESS的特定广播密钥对广播信息进行加密。由于在现有技术中没有对无线设备选择哪个ESS的策略进行规定，从而会使得在WLAN中无线设备从一个VLAN切换到另一个VLAN成为客户端的自主行为，即该行为不被外在的系统所控制。在图2所示的例子中，如果无线设备通过认证断开了与VLAN1(ESS1)的连接，但该设备仍然可以尝试关联VLAN1(ESS1)，即使关联不成功也可以不断地尝试，从而产生大量无效的垃圾数据给VLAN1(ESS1)带来了额外的开销。然而，在有线VLAN的环境中(如图3所示)，设备通过交换机接入网络，通过后端的认证系统认证后，交换机将该设备从一个VLAN切换到另一个VLAN(例如，从默认的VLAN1切换到该设备所属的VLAN2)中。在整个切换过程中，接入网络的设备不会意识到其自身已经从一个VLAN切换到另一个VLAN，即该行为是可以被外在系统控制的，并且在切换的过程中不需要拔掉网线重新进行连接(即，无需断开原有的连接)。
技术实现思路
为了在无线VLAN环境中实现与有线VLAN环境类似的访问控制，本专利技术提供了一种将一个ESS划分为多个VLAN的无线通信网络结构，从而当无线设备从一个VLAN切换到另一个VLAN时，无需断开与ESS的连接。但是，如果在这样的无线通信网络结构中仍旧采用原有广播信息加密方式(即，使用针对ESS的特定广播密钥对广播信息进行加密)对发送到同一ESS的广播信息进行加密，则在对应于该一个ESS的多个VLAN之间不能进行有效的信息隔离。为了解决对上述多个VLAN进行有效地信息隔离的问题，本专利技术提供了一种加密信息广播方法，通过虚拟局域网标识符(VLANID)来索引用于对广播的信息进行加密的广播密钥(GTK或broadcastkey)，从而实现多个VLAN之间的信息隔离。根据本专利技术的一个方面，提供一种用于无线局域网的接入点设备，在该接入点设备上，对应于同一扩展服务集划分多个虚拟局域网，其中该接入点设备包括：广播密钥管理模块，其用于管理对广播信息进行加密的广播密钥；以及广播密钥存储装置，其用于存储所述广播密钥，其中在所述广播密钥存储装置中，按照与虚拟局域网的虚拟局域网标识符对应的方式存储所述广播密钥，所述广播密钥管理模块通过虚拟局域网标识符得到对应的广播密钥。利用上述接入点设备，由于在广播密钥存储装置中按照与VLANID对应的方式存储广播密钥，即，针对每个VLAN存储有其各自的广播密钥，因此可以实现针对每个VLAN选择不同的广播密钥对发送到该VLAN的广播信息进行加密，从而实现多个VLAN之间的信息隔离。根据本专利技术的另一个方面，提供一种无线局域网系统，其中包括根据本专利技术的接入点设备。通过上述无线局域网系统，由于采用了根据本专利技术的接入点设备，因此可以实现针对每个VLAN选择不同的广播密钥对发送到该VLAN的广播信息进行加密，从而实现多个VLAN之间的信息隔离。根据本专利技术的另一个方面，提供一种在无线局域网中进行加密信息广播的方法，在所述无线局域网的接入点设备上，对应于同一扩展服务集划分多个虚拟局域网，其中所述方法包括：下发广播密钥步骤；信息加密步骤，在该步骤中利用与虚拟局域网的虚拟局域网标识符对应的广播密钥对针对该虚拟局域网进行广播的信息加密；以及加密信息广播步骤，在该步骤中对加密后的信息进行广播，其中下发广播密钥步骤包括以下子步骤：获取接入无线局域网中的无线设备的无线设备标识符；通过所获取的无线设备标识符获取该无线设备所属的虚拟局域网的虚拟局域网标识符；通过所获取的虚拟局域网标识符获取对应的广播密钥；以及将所获取的广播密钥下发到该无线设备。利用上述加密信息广播方法，由于针对每个无线设备的无线设备标识符获取了该设备所属VLAN的VLANID，进而获取与该VLANID对应的广播密钥，并将所获取的广播密钥下发到对应的无线设备，因此每个无线设备可以具有与其所属VLAN对应的广播密钥。当无线设备接收到加密的广播信息之后，如果用于对该广播信息加密的广播密钥与该无线设备所具有的广播密钥一致，则该无线设备可以利用其广播密钥对加密后的广播信息进行解密，从而获取该广播信息；如果用于对该广播信息加密的广播密钥与该无线设备所具有的广播密钥不一致，则该无线设备不能利用其广播密钥对加密后的广播信息进行解密，从而不能获取该广播信息并丢弃该广播信息。因此，可以实现针对VLAN的加密信息广播，只有属于该VLAN的无线设备才能利用其广播密钥对加密后的广播信息进行解密，从而实现多个VLAN之间的信息隔离。根据本专利技术的另一个方面，提供一种在无线局域网中更新广播密钥的方法，在所述无线局域网的接入点设备上，对应于同一扩展服务集划分多个虚拟局域网，其中所述方法包括：获取要对其广播密钥进行更新的虚拟局域网的虚拟局域网标识符；通过所获取的虚拟局域网标识符获取对应的要更新的广播密钥；以及将所获取的要更新的广播密钥下发到接入该虚拟局域网中的所有无线设备，然后利用更新的广播密钥进行加密信息广播。利用上述广播密钥更新方法，由于针对VLAN的VLANID获取与该VLANID对应的要进行更新的广播密钥，并将所获取的要更新的广播密钥下发到属于该VLAN的所有无线设备，因此实现了以VLAN为单位的广播密钥更新。只有当无线设备属于该VLAN时，才能接收到针对该VLAN进行更新的广播密钥，从而实现多个VLAN之间的信息隔离。针对不同VLAN提供不同的广播密钥，可以实现对于多个VLAN之间的信息隔离。同时，由于对应于同一ESS划分多个VLAN，当无线设备从一个VLAN切换到另一个VLAN时无需断开与ESS的连接，从而实现了与有线VLAN环境类似的访问控制。在整个切换过程中，接入WLAN的无线设备不会意识到其自身已经从一个VLAN切换到另一个VLAN，即该行为是可以被外在系统控制的。说明书的以下部分中将给出本专利技术的各个方面的说明，其中详细描述是为了充分公开本专利技术的优选实施例，而不是本文档来自技高网...

【技术保护点】
一种用于无线局域网的接入点设备，在该接入点设备上，对应于同一扩展服务集划分多个虚拟局域网，其中该接入点设备包括：广播密钥管理模块，其用于管理对广播信息进行加密的广播密钥；以及广播密钥存储装置，其用于存储所述广播密钥，其中在所述广播密钥存储装置中，按照与虚拟局域网的虚拟局域网标识符对应的方式存储所述广播密钥，所述广播密钥管理模块通过虚拟局域网标识符得到对应的广播密钥。

【技术特征摘要】
1.一种用于无线局域网的接入点设备，所述无线局域网包括多个无线设备和所述接入点设备，其中，在所述接入点设备上，将同一扩展服务集划分多个虚拟局域网，所述接入点设备包括：广播密钥管理模块，其用于管理对广播信息进行加密的广播密钥；以及广播密钥存储装置，其用于存储所述广播密钥，其中，所述广播密钥对应于所述多个虚拟局域网的虚拟局域网标识符，并且通过所述虚拟局域网标识符对所述广播密钥进行索引，以在所述多个虚拟局域网之间实现信息隔离，并且所述接入点设备被设置为执行以下步骤：下发广播密钥步骤，其包括以下子步骤：获取接入无线局域网中的无线设备的无线设备标识符；通过所获取的无线设备标识符获取该无线设备所属的虚拟局域网的虚拟局域网标识符；通过所述广播密钥管理模块根据所获取的虚拟局域网标识符在所述广播密钥存储装置中获取对应的广播密钥；以及将所获取的广播密钥下发到该无线设备；信息加密步骤，利用与虚拟局域网的虚拟局域网标识符对应的广播密钥对针对该虚拟局域网进行广播的信息加密；以及加密信息广播步骤，对加密后的信息进行广播，其中，当接入所述扩展服务集的无线设备从所述扩展服务集离开时，所述广播密钥管理模块对所述无线设备原来所属的虚拟局域网的广播密钥进行更新，其包括：获取所述无线设备原来所属的虚拟局域网的虚拟局域网标识符；通过所获取的虚拟局域网标识符在所述广播密钥存储装置中获取对应的待更新广播密钥；以及对所获取的对应的待更新广播密钥述进行更新，并且将更新后的广播密钥存储在所述广播密钥存储装置中，以对应于所述虚拟局域网标识符，其中，所述接入点设备将更新后的广播密钥下发到接入所述无线设备原来所属的虚拟局域网中的所有无线设备，然后利用更新后的广播密钥进行加密信息广播。2.根据权利要求1的接入点设备，还包括：无线设备管理模块，其用于对接入所述扩展服务集的无线设备进行管理。3.根据权利要求2的接入点设备，其中，所述无线设备管理模块通过将无线设备的无线设备标识符与所述无线设备所属的虚拟局域网的虚拟局域网标识符对应来对无线设备进行管理。4.根据权利要求3的接入点设备，其中，所述无线设备的无线设备标识符为所述无线设备的媒体访问控制地址。5.根据权利要求1的接入点设备，其中，所述接入点设备与认证系统进行通信，并且从所述认证系统获取关于接入所述扩展服务集的无线设备属于哪个虚拟局域网的信息。6.根据权利要求1的接入点设备，其中，当接入所述扩展服务集的无线设备在对应于所述扩展服务集划分的虚拟局域网之间进行切换之后，所述广播密钥管理模块对所述无线设备原来所属的虚拟局域网的广播密钥进行更新，其包括：获取所述无线设备原来所属的虚拟局域网的虚拟局域网标识符；通过所获取的虚拟局域网标识符在所述广播密钥存储装置中获取对应的待更新广播密钥；以及对所获取的对应的待更新广播密钥述进行更新，并且将更新后的广播密钥存储在所述广播密钥存储装置中，以对应于所述虚拟局域网标识符，其中，所述接入点设备将更新后的广播密钥下发到接入所述无线设备原来所属的虚拟局域网中的所有无线设备，然后利用更新后的广播密钥进行加密信息广播。7.一种无线局域网系统，其中包括权利要求1至6任一项所述的接入点设备。8.一种在无线局域网中进行加密信息广播的方法，所述无线局域网包括多个无线设备和接入点设备，其中，在所述接入点设备上，将同一扩展服务集划分多个虚拟局域网，其中，广播密钥存储在所述接入点设备的广播密钥存储装置中，以对应于所述多个虚拟局域网的虚拟局域网标识符，并且通过所述虚拟局域网标识符对所述广播密钥进行索引，以在所述多个虚拟局域网之间实现信息隔离，并...

【专利技术属性】
技术研发人员：王玥，李浩，王东，宫田宏，
申请(专利权)人：横河电机株式会社，
类型：发明
国别省市：