专利名称:利用通信网络中无线通信协议的系统和方法
利用通信网络中无线通信协议的系统和方法扭旦 冃足在常规无线网络中,无线接入点与通过有线连接与其连接的计算设备(例如, 交换机)之间的通信是先天地不安全的。即,通过该有线连接发送的信号未被加密, 由此能够被截获。未授权用户能够通过试探、电子欺骗及其它技术来截获该信号并 访问其中所含的数据。用于保护该有线连接上的通信的一种常规方法是利用公共密钥加密系统对该通信进行编码的网际协议安全("Ipsec")。实现该Ipsec协议通常需要对接入点 的硬件和/或固件作出极大改动,这代表了在升级和维护上的极大开销。另外,Ipsec 协议不支持多点传送(即,单个发送器与多个接收器之间的通信),因为每个信号 在被发送到每个接收器之前需要单独的加密步骤。例如,为3个接收器发送的多点 传送信号将被加密和发送3次。因此,在接入点和与其有线连接的设备之间需要有 一种安全的、同时又避免了与IPsec协议相关联的开销和局限性的通信。发明概要本发明涉及包括无线接入点和计算设备的系统。无线接入点具有第一无线协 议并且与具有第二无线协议的无线设备通信。接入点和无线设备被配置成使用该第 一和第二无线协议进行无线通信。计算设备具有第三无线协议并通过电线耦合到接 入点。该计算设备使用第三无线协议与接入点和无线设备之中的至少一个进行通信。附图简述
图1示出了根据本发明的系统的一个示例性实施例;图2示出了根据本发明的计算设备的一个示例性实施例;图3示出了根据本发明的从接入点到计算设备的通信方法的一个示例性实施例;图4示出了根据本发明的从计算设备到接入点的通信方法的一个示例性实施
例;具体说明参照以下说明和其中相同要素用相同附图标记表示的附图,本发明将得到进 一步的理解。本发明的示例性实施例描述了用于在包含一个或多个无线接入点与通 过一个或多个有线连接与其连接的一个或多个计算设备之间进行通信的系统和方 法。本发明还描述了支持根据本发明的系统的通信的计算设备。图1示出了根据本发明的系统1的一个示例性实施例。系统1可包括与一个 或多个接入点("AP" ) 20、 22、 24无线通信的一个或多个无线设备(例如,移 动单元"MU" 10) 。 MU 10与AP20之间的无线通信可根据诸如IEEE 802.1 lx标 准等预定通信协议来进行。本领域的技术人员将理解MU 10能够与AP 20-24中的 任意一个进行通信,但是也可在预定时间内/或直到预定条件发生(例如,漫游出 AP20的范围)仅与一个AP (例如,AP20)关联并由此与其通信。AP20可具有 包括处理器、 一个或多个天线、 一个或多个发射器、以及一个或多个接收器在内的 架构。虽然图1仅显示了与AP 20无线通信的MU 10,但本领域的技术人员将理解 该系统1可包括任意数目和类型的MU (例如,PDA,手机、扫描器、膝上型电脑、 手持式计算机等)。本领域的技术人员还将理解MU IO可包括与该无线设备相连 的非移动单元(例如,具有网络接口卡的PC或膝上型电脑)。每个AP 20-24可通过有线连接被连接至一个或多个计算设备(例如,交换机 30)。本领域的技术人员将理解本发明的系统1可被通过有线连接直接或间接连接 到AP 20-24中的一个或多个的任意计算设备所利用。根据本发明,交换机30还可 被连接到与通信网络60 (例如,因特网、WLAN)相连的一个或多个数据设备(例 如,服务器40)。在一个实施例中,服务器40被直接连接到通信网络60,而在另 一实施例中服务器40通过路由器50被连接到通信网络60。本领域的技术人员将 理解AP 20-24、 MUIO、交换机30、以及服务器40可组成一个网络。同样,虽然 将参照AP 20对本发明进行说明,然而本发明的教义可被扩展到系统1中的任何 AP。路由器50在与其连接的两个或多个网络之间通信时指示传输路径。在系统1 中,路由器50指示来自服务器40和通信网络60的传输路径。路由器50确定传输 的目的地并指示对其的传输。路由器50可以例如指示想要保持在服务器40的网络
内部的传输,或者路由器50可指示想要从服务器40的网络传到通信网络60的传输,反之亦然。在系统1中,服务器40可通过交换机30与AP 20和/或MU 10通信和/或通 过路由器50与通信网络60通信。服务器40可满足网内请求。例如,MU10可请 求来自服务器40的数据值。服务器40还可满足网间请求。例如,服务器40通过 路由器50接收来自通信网络60的请求。通过预选的无线电信道可在MU10与AP20之间发送射频("RF")信号。 在MU 10与AP 20之间的无线通信期间,在传输之前可通过使用无线加密协议(例 如,有线等效加密("WEP ") 、 wi-fi保护接入("WPA ") 、 WPA2 、 AES-CCMP/802.11 i) 由处理器或专用电路(例如,加密电路)对通信进行加密。因此,无线加密协议可 以是由处理器执行的软件应用或专用电路上的硬件。虽然将参照无线加密协议对本 发明的示例性实施例进行说明,但本领域的技术人员将理解这里也可使用其它无线 协议(例如,密钥管理/交换协议等)。在一个实施例中,MU IO在对AP 20进行传输之前将通信加密。本领域的技 术人员将理解AP 20在向MU 10发送其它通信之前也可进行类似过程。 一般而言, 一旦接收,AP20就使用内置的无线加密协议(例如,WEP)将通信解密并生成通 过有线连接发送到交换机30的帧(例如,控制帧或数据帧)。该帧可以是未加密 的,并且可以是例如配置、心跳(heartbeat)、状态和/或统计帧。本领域的技术人 员将理解,内置无线加密协议为AP 20提供了对要发送到MU 10的通信进行加密 的能力。因此,无线加密协议和内置无线加密协议的相似之处在于它们提供了对 MU 10与AP 20之间加密传输的解密。在AP 20接收到来自MU 10的通信之后,帧通过有线连接被发送到交换机30。 在常规系统中,AP 20将解密该帧,并在将其发送到交换机30之前任选地重新加 密该帧。根据本发明,AP 20和交换机30可利用无线加密协议加密和解密在其之 间发送的帧。图2中示出了根据本发明的交换机30的一个示例性实施例。交换机30可包 括存储器装置60、网络通信装置("NCA" ) 62、以及处理器64。存储器60可 以是能够对其进行数据写入和读出的任意存储设备。存储器装置的示例包括但并不 限于,SRAM、 EPROM、 ROM、以及其它类似装置。另夕卜,存储器60可以是易 失性和非易失性存储器的组合。存储器60可包括一个或多个存储的无线加密协议。 根据本发明,所存储的无线加密协议与AP 20利用的无线加密协议相兼容。艮口, AP 20执行的任何加密都可由交换机30解密,反之亦然,以下将对其更加全面地 进行说明。NCA 62通过有线连接在AP 20与交换机30之间提供通信。NCA 62还可允许 交换机30与例如服务器40之间的通信。NCA 62可以是提供交换机30的通信能 力的硬件配置。例如,该硬件配置可以是接收来自AP20和可任选的服务器40的 有线连接的一个或多个端口 (例如,串行、并行、USB等)。例如,往回参照图1, 交换机30可通过NCA连接到每个AP 20-24和服务器40。处理器64控制交换机30和与其连接的任何设备之间的通信。处理器64可以 是微控制器、专用集成电路、或能够处理数据并访问存储在存储器60中的应用和/ 或数据的其它硬件配置。结合NCA62,处理器64指示连接到交换机30的两个或 多个设备之间的传输路径。例如,处理器64可以在由AP20从MU10接收到的通 信要发送到服务器40时在AP20与服务器40之间建立连接。根据本发明,处理器 64还可以加密和解密交换机30所接收到的传输。例如, 一旦接收到来自AP20和 /或服务器40的帧,处理器64可访问存储器60并执行由其中存储的无线加密协议 所利用的加密或解密过程。该过程将在以下进行更具体的说明。图3示出了根据本发明的方法300的一个示例性实施例。方法300对AP 20 与交换机30之间的通信进行一般性的说明,特别说明了从AP 20到交换机30的传 输。在步骤302, AP20检测到网络事件。网络事件可包括但并不限于,检测到AP 20的覆盖区域内的MU 10、 AP 20与MU 10之间的通信丢失、以及接收到来自 MU 10的通信等。网络事件可引起或要求对MU 10、 AP 20、交换机30和/或服务 器40上的设置进行调整。调整的示例包括但并不限于,改变AP的功率水平、将 与MU 10的通信传送到另一 AP (例如,AP 22)、以及指定预选无线电信道供 MU10和AP20使用。为了实现该调整,AP20可生成一个或多个帧并将其发送到 服务器40和/或交换机30。例如,如果MU 10正离开AP 20向AP 22移动,则AP 20可检测到来自MU10的信号的特性(例如,信号强度)的变化,并将该信息发 送给服务器40和/或交换机30。网络事件的其它示例包括当AP 20收集到可以预 定时间间隔发送到交换机30的一个或多个统计时、以及当MU 10试图向交换机 40验证自己并生成加密用的会话密钥时。在后一示例中,交换机40可将会话密钥 发送到AP 20以允许其加密/解密来自MU 10的通信。在步骤304, AP20使用内置无线加密协议对帧进行加密。在一个实施例中, AP 20解密从MU IO接收到的通信,然后生成该帧并使用内置无线加密协议对其
加密。在另一实施例中,AP 20根据网络事件生成帧而和与MU IO的通信无关。 本领域的技术人员将理解该步骤中使用的内置无线加密协议可以是在无线通信期 间由AP 20用于加密/解密的任何无线加密协议(例如,WEP、 Wi-Fi保护接入 ("WPA" ) 、 WPA2、高级加密标准计数器模式CBC-MAC协议("AES-CCMP") 鍵.lli等)。在步骤306, AP20通过有线连接将加密帧发送到交换机30。本领域的技术人 员将理解不论该帧是包括来自MU 10的通信还是由AP 20生成,它都将被发送到 交换机40。在步骤308,交换机30使用存储在存储器60中的无线加密协议对该帧解密。 如上所述,交换机30当中存储的无线加密协议、MU 10的无线加密协议以及AP 20 的内置无线加密协议的功能上的等效之处在于,该帧可由交换机30、 MU 10以及 AP 20中的任何一个来加密和解密。在步骤310,交换机30处理该帧。即,该帧可包括要求来自接收器的响应的 信息。例如,如果MU 10保持在AP20的范围之内并且从AP22接收到的信号比 从AP 20接收到的要弱,则交换机30可指示AP 20增大功率水平以保持和/或便于 与MU 10的通信。如上所述,AP 20向交换机所发送的可以是控制和/或数据帧(例 如,统计、状态等)。图4示出了根据本发明的方法400的一个示例性实施例。方法400 —般性地 说明了AP 10与交换机30之间的通信,并且特别说明了从交换机30到AP 20的 传输。在步骤402,交换机30使用存储的无线加密协议解密来自服务器40的帧。 在该实施例中,该帧可包括来自例如服务器40的指令。该指令可以体现为一个或 多个控制帧和/或一个或多个数据帧。例如,服务器40可指示AP20调整其功率水 平。在另一实施例中,交换机30可生成发自它处的帧并对其加密。在步骤404,加密帧通过有线连接被发送到AP 20。在步骤406, AP 20使用 内置无线加密协议解密该帧。 一旦解密了该帧,则AP20在步骤408处理该帧。例 如,AP20识别该帧中要求AP20增大功率水平的指令。因此,AP20响应于该指 令执行预定操作(例如,提高功率水平)。根据本发明的系统1的另一优点与多点传送有关(例如,服务器40需要将相 同指令发送到AP 20-24中的每一个)。根据本发明,AP 20-24具有用于单点传送 帧的唯一安全密钥和用于多点传送帧的共享广播密钥。在服务器40处发起的多点 传送帧被发送到交换机30。在另一实施例中,多点传送帧可在交换机30处发起。
交换机30使用共享广播密钥对该多点传送帧加密,并将该多点传送帧发送到AP20、 22、 24中的每一个。每个AP 20、 22、 24使用该共享广播密钥解密该多点传 送帧,并独立地处理其中的信息(例如,指令)。因此,数据在被发送到AP20、 22、 24中的每一个之前仅被加密一次。根据本发明的系统1可被应用到AP20、 22、 24与交换机30之间的任何有线 通信。系统1可被应用于例如MU 10与服务器40之间的密钥交换和验证。如本领 域的技术人员所己知的,除了内置无线加密协议之外,AP20还包括内置无线安全 协议。该协议包括诸如内置在IEEE 802.1x标准中的验证协议和密钥管理协议。在本发明的又一实施例中,在MU10在系统5中通信之前对其进行验证。在 验证MU IO之后,服务器40可根据密钥管理协议通过向交换机30发送会话密钥 来发起密钥交换过程,交换机30又根据密钥管理协议对该会话密钥加密并将其发 送给AP20。然后AP20使用该会话密钥根据密钥管理协议创建密钥消息,并将该 密钥消息发送给MU 10,由MU IO使用该密钥消息创建加密密钥。对于本领域的技术人员显而易见的是,可在本发明中作出各种修改而不会背 离本发明的精神实质或范围。虽然参照无线LAN对本发明进行了讨论,但根据本 发明的系统和方法可被应用到包括AP和通过有线连接相连的计算设备的任何无线 网络。因此,本发明旨在覆盖本发明的所有修改和变形,只要它们落在所附权利要 求及其等效方案的范围之内。
权利要求
1.一种系统,包括具有第一无线协议的无线接入点,所述接入点与具有第二无线协议的无线设备通信,所述接入点和所述无线设备被配置成使用所述第一无线协议和第二无线协议进行无线通信;以及具有第三无线协议并通过电线耦合至所述接入点的计算设备,所述计算设备使用所述第三无线协议与所述接入点和所述无线设备中的至少一个进行通信。
2. 如权利要求1所述的系统,其特征在于,所述第二和第三无线协议两者是 密钥管理协议和加密协议中的一种。
3. 如权利要求2所述的系统,其特征在于,所述加密协议是有线等效加密、 wi-fi保护接入("WPA" ) 、 WPA2、以及AES-CCMP/802.11i中的一种。
4. 如权利要求l所述的系统,其特征在于,所述通信是数据通信、控制通信 以及会话密钥中的一种。
5. 如权利要求l所述的系统,其特征在于,所述计算设备是交换机、路由器 和服务器中的一种。
6. —种方法,包括以下步骤由第一计算设备使用第一无线协议对通信加密;以及通过电线将所述加密通信发送到具有第二无线协议的第二计算设备,其中所 述第二无线协议提供对所述通信的解密。
7. 如权利要求6所述的方法,其特征在于,还包括 由所述第一计算设备检测网络事件;以及 根据所述网络事件生成所述通信。
8. 如权利要求6所述的方法,其特征在于,还包括接收来自无线设备的所述通信,所述通信由所述无线设备使用第三无线协议 加密;以及由所述第一计算设备使用所述第一无线协议对所述通信解密。
9. 如权利要求6所述的方法,其特征在于,所述第一计算设备是以下所列(i) 无线接入点和(ii)交换机、服务器和路由器中三者之一当中的一种,而所述第二计 算设备是所述以下所列(i)无线接入点和(ii)交换机、服务器和路由器中三者之一当中一种以外的另一种。
10. 如权利要求6所述的方法,其特征在于,所述第一和第二无线协议是密 钥管理协议和加密协议中的一种。
11. 如权利要求10所述的方法,其特征在于,所述加密协议是有线等效加密、wi-fi保护接入("WPA" ) 、 WPA2、以及AES-CCMP/802.11i中的一种。
12. 如权利要求6所述的方法,其特征在于,所述通信是数据通信、控制通 信以及会话密钥中的一种。
13. —种计算设备,包括存储器,用于存储第一无线协议;以及处理器,用于使用所述第一无线协议将通过电线从另一计算设备接收到的通 信解密,其中所述通信由所述另一计算设备使用第二无线协议加密。
14. 如权利要求14所述的设备,其特征在于,所述计算设备是以下所列中的 一种(i)无线接入点和(ii)交换机、服务器和路由器中的一种,而所述另一计算设备 是所述以下所列中一种以外的另一种(i)无线接入点和(ii)交换机、服务器和路由器 中的一种。
15. 如权利要求14所述的设备,其特征在于,所述第一和第二无线协议是密 钥管理协议和加密协议中的一种。
16. 如权利要求16所述的设备,其特征在于,所述加密协议是有线等效加密、 wi-fi保护接入("WPA" ) 、 WPA2、以及AES-CCMP/802.11i中的一种。
17. 如权利要求16所述的设备,其特征在于,所述通信是数据通信、控制通 信以及会话密钥中的一种。
全文摘要
描述了一种包括无线接入点(20、22、24)和计算设备(30)的系统。无线接入点(20、22、24)具有第一无线协议并与具有第二无线协议的无线设备(10)通信。接入点(20、22、24)和无线设备(10被配置成使用第一和第二无线协议进行无线通信。计算设备(30)具有第三无线协议并且通过电线被耦合至接入点(20、22、24)。计算设备(30)使用第三无线协议与接入点(20、22、24)和无线设备(30)中的至少一个进行通信。
文档编号H04L29/06GK101164315SQ200680013473
公开日2008年4月16日 申请日期2006年4月11日 优先权日2005年4月20日
发明者P·巴塔 申请人:讯宝科技公司