用于多链路设备隐私保护的系统和方法与流程

1.本文档涉及无线通信系统。更具体地，本文档涉及wifi网络。


背景技术：

2.计算机系统可用于传输、接收和/或处理数据。例如，服务器计算机系统可用于接收和存储资源(例如，网络内容，诸如网页)，并且使内容可供一个或多个客户端计算机系统使用。在从客户端计算机系统接收到对内容的请求时，服务器计算机系统可检索所请求的内容，并将内容传输到客户端计算机系统以满足该请求。
3.在无线通信网络中，能够支持无线传输和接收的设备可被配置为支持单服务集标识符(ssid)网络或多ssid网络。每个ssid均可与接入点(ap)相关联，该ap将通信链路配置给正在使用无线网络的其他设备。多ssid网络可具有多于一个ssid，每个ssid对应于虚拟接入点。ap设备还可被配置为多链路设备(mld)。作为mld，ap设备可由多个链路上的其他设备发现，其中每个链路对应于不同的操作带和信道。其他设备(诸如网络设备或端点设备)被配置为发现接入点并向接入点发送数据以配置与接入点的通信链路。


技术实现要素：

4.本文档中所述的系统和方法被配置用于保护无线通信网络中的多链路设备(mld)的隐私。一般来讲，无线通信网络可以是基于ieee 80.2.11系列标准的wifi网络。一种联网系统被配置为使得在不同链路上提供不同接入点(ap)的多链路设备能够支持不同客户端设备。客户端设备可包括尝试与联网系统建立一个或多个链路的任何计算设备。联网系统一般包括被配置为与相应的客户端设备建立无线通信链路以形成无线通信网络的联网设备。
5.本文所述的具体实施可提供各种技术益处。例如，本文所述的技术使得联网系统能够向不同类型的客户端提供区分开的服务。联网系统被配置为向没有资格与特定ap建立连接的客户端隐藏特定ap的存在(诸如对于高级服务)。这可防止非高级客户端设备发现高级服务的存在。在另一示例中，这防止客户端设备发现它们不具有建立通信链路权限的ap。这可提高这些ap的安全性。在另一示例中，联网系统被配置为隐藏特定ap与相应客户端设备之间的相关性。一般来讲，联网系统被配置为隐藏高级客户端站点地址与特定接入点(其为专用的)之间的相关性。隐藏客户端sta与特定多链路ap的特定地址之间的相关性减少或消除非高级客户端确定这些地址是针对高级客户端还是针对高级mlap的能力，这可提高这些ap和高级客户端的安全性。
6.在一个方面，描述了一种用于mld设备的隐私保护的过程。该过程包括由mld设备广播指示用于与客户端设备进行无线通信的一个或多个服务的服务数据。服务数据指示基于客户端设备的类型来区分服务类型。mld设备建立与客户端设备的安全关联。响应于建立与客户端设备的安全关联，mld设备基于客户端设备的类型授予客户端设备对一个或多个服务的子集的访问。
7.在一些具体实施中，客户端设备的类型指示客户端设备可用的一个或多个网络资源。一个或多个网络资源可包括接入点、子网络或两者。在一些具体实施中，一个或多个服务各自包括用于在客户端设备与联网设备之间建立通信链路的接入点。在一些具体实施中，每个接入点均与包括2.4ghz无线电频带、5ghz无线电频带或6ghz无线电频带中的一者的无线电频带相关联。在一些具体实施中，客户端设备的类型由私有预共享密钥(pwg)或对等实体同时验证(sae)密码标识符来指示。
8.在一些具体实施中，该过程包括由mld设备确定客户端设备正在请求访问客户端设备未被授权访问的服务；以及响应于确定，拒绝该请求并向客户端设备提供授权服务而不是所请求的服务。
9.在一个方面，描述了一种用于mld设备的隐私保护的过程。该过程包括由多链路监听者发现(mld)设备从客户端设备接收建立与mld设备的安全关联的请求。该请求包括指示多链路媒体访问控制(ml-mac)地址的ml-mac地址数据和指示空中mac(ota-mac)地址的ota-mac地址数据。该过程包括建立mld设备与客户端设备之间的安全关联。该过程包括响应于建立安全关联，从客户端设备接收对用于与客户端设备通信的改变的ml-mac地址或改变的ota-mac地址的指示。
10.在一些具体实施中，该过程包括从客户端设备接收指示一个或多个站点(sta)ota地址的加密数据。该过程可包括响应于建立安全关联，从客户端设备接收用于与客户端设备通信的改变的sta-ota的指示。
11.在一些具体实施中，用于与客户端设备通信的改变的ml-mac地址或改变的ota-mac地址的指示是通信分组的加密管理帧或加密动作帧的一部分。在一些具体实施中，mld包括多个接入点，该多个接入点中的至少一个接入点为高级接入点，并且该多个接入点中的至少一个接入点为非高级接入点。该过程还可包括使用非高级接入点来建立mld设备与客户端设备之间的安全关联。该过程可包括基于改变的ml-mac地址或改变的ota-mac地址，使用高级接入点更新mld设备与客户端设备之间的安全关联。
12.本发明描述了一种用于mld设备的隐私保护的过程。该方法可包括由多链路监听者发现(mld)设备广播指示用于与客户端设备进行无线通信的一个或多个服务的服务数据。服务数据指示与mld设备的通信链路的第一可用服务类型。该过程包括建立与客户端设备的安全关联。该过程包括从客户端设备接收认证数据，该认证数据指示mld设备可用的不同于第一可用服务类型的第二服务类型。该过程包括响应于从客户端设备接收到认证数据，将通信链路从第一服务类型切换到第二服务类型。
13.在一些具体实施中，第二服务类型包括比第一服务类型更高的带宽。在一些具体实施中，第二服务类型包括使用6千兆赫(ghz)无线电频带进行的通信。在一些具体实施中，第二服务类型表示相对于第一服务类型具有附加管理权限的子网络。
14.在一些具体实施中，该过程包括在建立与客户端设备的安全关联之前，由mld设备接收对客户端设备使用第二服务类型进行通信的请求。该过程包括拒绝请求而不提供第二服务类型可用的指示。
15.在一些具体实施中，安全关联使得能够在mld设备和客户端设备之间进行单播通信。
16.在一些具体实施中，该过程包括由mld设备使用安全单播管理数据帧向客户端设
备提供脱机改变数据。
17.在一些具体实施中，该过程包括由mld设备在与mld设备的任何已建立的通信链路上广播指示基本服务集标识符(bssid)度量的潜在变化的一般mld更新数据。
18.在一些具体实施中，该过程包括响应于建立安全关联而向客户端设备提供标识符隐私公共密钥。该过程包括使客户端设备利用标识符隐私公共密钥加密mld设备的ml-mac地址。该过程包括使后续通信链路包括基于标识符隐私公共密钥和客户端标识符隐私公共密钥的隐私会话密钥。
19.在一些具体实施中，该过程包括在数据帧的加密字段中从客户端设备接收对客户端设备的每链路空中mac(ota-mac)地址的更新。在一些具体实施中，数据帧包括a-msdu子帧标头，其中a-msdu子帧标头的源字段中的单播位被设置为预先确定的值。
20.在下面的附图和具体实施方式中阐述了一个或多个实施方案的细节。其他特征和优点将在具体实施方式和附图以及权利要求中显而易见。
附图说明
21.图1是用于无线网络的示例性计算环境的框图。
22.图2至图4示出了示例性无线网络配置的图示。
23.图5示出了通信分组标头的图示。
24.图6至图8示出了包括用于通过无线网络进行通信的示例性过程的流程图。
25.图9是示例性计算系统的示意图。
26.各个附图中的类似参考标号和名称指示类似的元素。
具体实施方式
27.图1示出了无线网络100的示例。无线网络100包括联网设备105。联网设备105将无线网络102a和102b配置用于客户端设备108、110之间的无线通信(随后更详细地描述)。无线网络100包括第一网络多链路接入点(ap)104和第二多链路接入点106。第一ap 104和第二ap 106中的每一者也可由表示网络名的单服务集标识符(ssid)来指代。例如，每个ssid对应于虚拟ap多链路设备(mld)设备。如随后所述，网络ssid104、106中的每个网络ssid可具有一个或多个通信链路112、114、116，每个通信链路具有不同的属性，诸如带宽能力、访问权限等。
28.一般来讲，联网设备105可被配置为以不同方式提供多个接入点。提供多个接入点的第一方面是提供多个ssid，如图1中的ssid 104、106所示。ssid中的每个ssid均可关联到未连接到网络100中的其他子网的子网。对于不同ssid，不同子网的效果在于，使用特定ssid连接到特定子网的设备限于该子网并且不连接到其他子网。另外，每个ssid可与不同的访问证书(诸如不同的密码)相关联。例如，第一ssid可包括仅与网络100相关联的管理员设备能够访问的接入点，并且第二ssid可由任何客户端设备访问。
29.在第二方面，单个ssid可用于连接到各个子网。每个子网均可需要唯一的证书(例如，密码)来访问该子网。例如，不同的证书可包括私有预共享密钥(ppsk)、对等实体同时验证(sae)密码标识符等。不同的设备使用相同的接入点来访问不同的子网。单个ssid网络可被配置为隐藏来自未授权设备的子网络细节。例如，从请求网络访问的客户端设备所接收
的证书可向联网设备105指示该设备被授权访问哪个子网。响应于该请求，仅向设备显示被授权供客户端设备使用的子网(基于证书)以供连接。其他子网对客户端设备隐藏。
30.联网设备105将多链路接入点104、106的ssid配置为在客户端设备108、110请求访问网络100时启用若干隐私特征。网络设备105被配置成防止未授权客户端设备接收关于那些客户端设备未被授权访问的ssid的数据，而不是将所有可用ssid 104、106都广播到尝试访问网络的每个客户端设备108、110。例如，如果客户端设备108仅被授权访问ssid 104，则联网设备105被配置为仅示出ssid 104作为客户端设备108访问网络100的选项。联网设备105被配置为避免将隐私数据泄漏给未被授权接收隐私数据的客户端设备。例如，联网设备105被配置为防止指示网络100中的子网络102a-b的数量的数据泄漏，这可提供作为未授权用户的目标的敏感网络的间接证据。
31.在本说明书中，未授权设备包括不旨在接收预先确定的设备可用的敏感数据的计算设备。被允许接收敏感数据的预先确定的设备是授权设备。一般来讲，敏感数据包括显示出关于计算设备、用户、计算系统等的安全或私人信息的数据。敏感数据一般包括恶意用户可用于在网络100上执行不期望的动作(诸如访问附加敏感数据、识别用户、识别受限数据等)的数据。未授权设备一般不具有接收特定数据所需的认证。然而，授权设备还可包括不旨在接收某些数据的设备，即使该数据未以任何方式加密或保护。换句话讲，未授权设备可包括正在访问不旨在供未授权设备使用或优先对未授权设备保密的数据的设备。
32.授权设备包括旨在从网络100接收敏感数据的计算设备。例如，授权设备可包括订阅者设备、与高级账户相关联的设备、与有效证书数据相关联的设备等。
33.联网设备105被配置为保护表示子网络102a-b的名称的数据，该数据可识别网络所有者或显示出预期的授权用户，并且可为未授权用户提供目标。例如，如果子网络被命名为“管理员网络”或“所有者网络”(诸如子网络102b)，则对网络的访问可以是非管理员用户、非所有者用户或其他未授权用户的目标。这些用户可尝试通过访问私有子网络102b来获得对受限数据的访问。
34.联网设备105被配置为保护指示子网络102a-102b中的每个子网络的能力的数据。例如，操作联网设备105的网络提供商可操作通用服务和高级服务。通用服务可允许访问分别具有2.4千兆赫(ghz)和5ghz无线电频带的接入点112、114。在一个示例中，这可作为免费服务提供给酒店的所有访客，诸如与客户端设备108和110相关联的访客。在一个示例中，高级服务可供优选客户(诸如入住酒店豪华客房的访客)使用。高级服务可包括提供6ghz无线电频带无线链路的附加接入点116。操作联网设备105的酒店所有者可能希望对大多数访客保密高级服务的存在，并且仅向豪华客房的访客显示高级服务的存在。联网设备105被配置为保持对与设备(诸如客户端设备108)相关联的非高级客户隐藏的6ghz接入点的可用性并且仅将该可用性呈现给高级客户端设备110。
35.在另一方面，联网设备105被配置为保护指示与特定网络的关联(例如，所连接的设备)的数量的数据。一般来讲，客户端设备可能够接收指示有多少设备连接到特定子网络或与特定子网络相关联的数据。在一个示例中，该数据可向客户端设备指示另一设备与子网络相关联(或者一组客户端设备与该子网络相关联)。该数据可隐含地显示出子网络是否是专用的，并且因此可使得子网络成为未授权用户的目标，该未授权用户可假定子网络是能够访问敏感数据的子网络(例如，敏感子网络)。联网设备105被配置为防止客户端设备接
收该数据，直到联网设备确认那些客户端设备被授权接收该数据。
36.联网设备105被配置为改进阻止未授权用户的措施，该措施涉及通过禁用ssid广播来隐藏接入点的名称。作为安全方法，该方法可能是无效的，因为响应于客户端ssid查询，ssid是以明文形式广播的。如相对于图2至图5所述，联网设备105被配置为在将ssid广播给未授权设备之前接收认证。
37.另外，联网设备105被配置为改进被配置为允许具有已知媒体访问控制(mac)地址的计算机加入网络的安全方法。由于窃听者可能能够通过欺骗授权地址来加入网络，因此联网设备105被配置为隐藏授权地址与安全网络之间的关联。在一个示例中，当未授权设备被配置为拦截或分析网络流量并识别具有网络权限(例如，到ap 116)的客户端设备的mac地址时，发生身份盗用(或mac欺骗)。联网设备105包括mac过滤，以仅允许具有特定mac id的授权计算机获得访问并利用特定网络(诸如网络102b)。然而，客户端设备可能够使用网络嗅探能力来查看网络流量。此类客户端设备可欺骗授权设备的mac地址以克服该过滤器。因此，对于联网设备105，有利的是隐藏授权客户端设备与授权客户端设备被授权访问的安全网络之间的关联。
38.在一些具体实施中，客户端设备可执行网络注入式攻击。在该示例中，未授权客户端设备使用暴露于未过滤网络流量(特别是广播网络流量，诸如“生成树”(802.1d)、ospf、rip和hsrp)的接入点。客户端设备被配置为注入影响路由器、交换机和智能集线器的未授权网络重新配置命令，这些路由器、交换机和智能集线器可以是联网设备105的部分。整个网络都可以这种方式关闭，并且需要重新启动或甚至重新编程所有智能联网设备。
39.防止网络100上的敏感数据的未授权访问的结果是，客户端设备仅接收与网络100相关的数据，该数据与该设备在网络上操作密切相关。例如，针对给定客户端设备上的wi-fi网卡的用户界面仅示出旨在可供客户端设备使用的网络。这避免了用户无权访问的锁定子网使wi-fi用户界面混乱。相反，一旦由客户端设备提供证书，相关子网络就会被显示给用户并呈现在相关联的用户界面上。随后相对于图2至图5详细描述如先前所讨论的由联网设备105执行的用于将敏感数据保密的方法。
40.一般来讲，网络100包括wi-fi网络。wi-fi使用ieee 802协议系列的多个部分。客户端设备108、110被配置为通过无线接入点112、114和116连接到子网络102a、102b并且彼此连接。不同版本的wi-fi由各种ieee 802.11协议标准指定，其中不同的无线电技术确定无线电频带、最大范围和可实现的速度。在图1中，除了6ghz无线电频带之外，还示出了2.4ghz(120mm)uhf和5ghz(60mm)shf ism无线电频带。一般来讲，这些频带被细分为多个信道。信道可在网络104、106之间共享，但在任何时刻仅一个发射器可在信道上本地地传输。一般来讲，较高频率的通信链路能够以较少的延迟和较少的功率消耗来传输更多的数据，这取决于链路的特定频率和传输参数。为此，相对于2.4ghz和5ghz通信链路，可保留6ghz通信链路以供专用。6ghz接入点可为网络所有者或管理员、高级客户或用户等保留。如先前所述，在一些具体实施中，网络所有者或管理员可能希望保持较高频率接入点(诸如接入点104的链路116)的可用性是专用的并且还对非高级用户保密(例如，隐藏)。
41.在一些具体实施中，无线接入点(wap)将一组无线设备连接到相邻的有线局域网(lan)。在该示例中，接入点类似于网络集线器，除了(通常)单个连接的有线设备(最常见的是以太网集线器或交换机)之外，还在连接的无线设备之间中继数据，从而允许无线设备与
其他有线设备通信。
42.如图1所示，在一些具体实施中，多链路接入点(ml-ap)可通告多个ssid。在该示例中，网络100包括多链路接入点(ml-ap)，该ml-ap向客户端设备108、110广播多个ssid。在此，每个ssid都对应于虚拟ap mld。一般来讲，不同的虚拟ap mld可关联到不同的虚拟局域网(wlan)。不同的虚拟ap mld(诸如由网络104和网络106表示的虚拟ap mld)一般可包括不同数量的操作链路和操作ap。例如，家庭wi-fi网络可具有两个子网，包括所有者子网(例如，网络102b)和访客子网(例如，网络102a)。在图1的示例中，家庭ml-ap包括针对所有者子网102b的虚拟ap mld(例如，网络106)和针对访客子网102a的虚拟ap mld(例如，网络104)。访客ap mld包括由链路112和114表示的两个ap。所有者ap mld包括三个ap(其中一个高级ap由6ghz频带上的链路116表示)。(网络100的)家庭ml-ap可能想要隐藏其子网细节并使用单个ssid而不是两个ssid 104、106来通告家庭网络。如前所述，这可能是出于隐私原因。
43.图2示出了包括ml-ap网络206的网络200，该ml-ap网络被配置为广播单个ssid和单个ap mld(例如，不包括虚拟ld)以隐藏其子网细节。联网设备205包括类似于图1的子网络102a-102b的两个子网络202a、202b。子网络标识符对客户端设备208、210隐藏。如前所述，在一些具体实施中，可为不同类型的客户端分配不同的密码标识符，以使ap mld能够将它们关联到不同的子网。联网设备205(其类似于联网设备105)被配置为通过ap mld提供区分开的服务。例如，联网设备205被配置为向不同类型的客户端208、210提供不同组的操作链路(包括链路214a、214b和214c)或不同的操作ap。联网设备205被配置为使得高级客户端(诸如客户端设备210)能够对其他客户端208隐藏高级服务。联网设备205被配置为隐藏高级客户端210与高级ap 214c之间的相关性。
44.为了实现这一点，联网设备205将单个-ssid ap mld 206配置为在其信标和探测响应帧(未加密)中广播其所有服务(例如，所有操作ap或链路214a-214c)。mld 206指示其被配置为向不同类型的客户端208、210提供分组212a-212c(例如，不同的一组ap)中的区分开的服务。在客户端208、210经由一个链路214a-214c建立与ap mld 206的安全关联之后，ap mld 206授予客户端基于客户端类型(例如，针对客户端208)对服务子集(例如，集合204所示的ap子集)的访问。在一些具体实施中，可使用密码或类似认证来执行安全关联。密码216可向ssid的ap的第一子集204认证客户端设备208，并且密码218可向网络mld 206的更大的第二ap集(诸如网络的所有可用ap)认证另一客户端设备210。ap mld206在客户端设备的认证和/或与mld 206的关联期间验证客户端的类型(例如，基于分别在分组216和218中示出的客户端pw-id或ppsk或缓存的pmk)。在示例中，如果客户端设备208经由对该客户端设备不可用的ap(例如，链路214c)请求认证和/或关联，则ap mld 206被配置为拒绝客户端设备208的认证和/或关联请求。mld 206将客户端设备208引导到客户端设备208被授权访问的另选的ap(例如，214a-214b)。另选地，mld 206接受认证和/或关联请求，并且在成功的安全关联之后，引导客户端设备208访问被授予的ap(例如，214a-214b)。
45.因此，单个ssid mld 206被配置为示出信标中的所有服务，但mld在客户端请求访问的同时指示区分开的服务。在该特定示例中，mld 206未被配置为向未授权用户隐藏高级服务。
46.图3示出了包括联网设备305(类似于图1的联网设备105)的网络300。网络300包括ssid mld 306，该ssid mld包括链路314a、314b和314c上的三个ap。子网络302a和302b可供
具有不同授权的用户使用。ap子集304表示设备308(例如，访客设备)的较低访问级别。客户端设备310(例如，所有者设备)被授权访问mld 306的所有ap链路314a-c。
47.如图3所示，每个客户端设备308、310均与ml-mac地址和每链路空中(ota)ota-mac地址相关联。客户端设备308具有地址ml-mac1，并且客户端设备310具有地址ml-mac2。另外，客户端设备308具有地址ota-mac1-2.4ghz，以用于经由2.4ghz链路通过ap 314a接入vlan1访客网络302a。对应的客户端设备310具有ota地址ota-mac2-6ghz，以用于经由6ghz链路访问vlan2所有者网络302b。
48.每个客户端设备308、310均被配置为以未加密格式向ap mld 306提供其对应的ml mac地址和ota地址。当在链路314a-c上向ap mld206请求认证和/或关联时，客户端设备308、310提供ml-mac和ota-mac地址。
49.联网设备305被配置为在认证和关联握手312a、312b和312c期间防止客户端设备308、310在其他链路上暴露ml-mac地址与ota-mac地址之间的相关性。联网设备305握手过程(例如，在mld 306与客户端设备308、310之间建立无线连接)防止将从客户端设备308、310所接收的每链路ota-mac地址之间的相关性暴露给ap 314a-314c。在建立与ap mld 306的安全关联之后，客户端设备308、310向ap mld 306提供安全信道上的地址分级结构和相关性(例如，加密通信)。例如，在经由一个链路进行安全关联之后，客户端向ap mld发送加密的管理/动作帧，以将它的其他sta(在其他链路上)添加到ml关联，并且提供对应的每链路ota-mac地址。
50.在一些具体实施中，客户端设备308、310被配置为在安全关联之后立即改变它们的相应的关联链路(例如，站点或sta1 ota/sta2 ota
…
等)的ota-mac地址，以便隐藏它的ml-mac地址与关联链路(例如，站点或sta1 ota/sta2 ota
…
等)的ota-mac地址之间的相关性。在一些具体实施中，客户端设备308、310使用相同的加密的管理/动作帧来报告其他链路地址(例如，sta)ota-mac地址以及关联链路(例如，sta)的新ota-mac地址。相对于图5更详细地描述了该过程。在示例中，高级客户端设备(例如，客户端设备310)避免经由高级ap(例如，链路314c)关联到ap mld 306，以防止将其ml-mac地址与高级ap之间的相关性暴露给第三方316。
51.这样，联网设备305被配置为防止未授权客户端设备308(例如，非高级客户端设备)接收指示存在高级服务(例如，ap 314c)的数据。客户端设备308、310将其多链路地址和ota地址(sta1、sta2或sta3等)报告给ap，但在初始握手过程期间隐藏另选的ota地址。一旦建立安全连接，ota地址就改变。在一些具体实施中，ota地址不改变。在一些具体实施中，ota反复改变。因此，在链路关联到客户端设备期间，ap mld接收多链路地址和每链路(ota)地址中的每一者。在关联之后，ota地址可以不同的间隔反复改变，以欺骗试图猜测这些地址之间的相关性的第三方设备316。例如，当高级客户端310与较低认证网络(例如，集304的ap)相关联时，攻击者设备316可受到欺骗。在初始关联之后，设备310切换到更高认证的高级网络。攻击者设备316从未观察到客户端310的ml mac与高级地址(例如，针对子网络302b)的关联。设备316无法知道哪些客户端设备具有高级访问，因此不鼓励其攻击特定客户端设备。
52.图4示出了包括联网设备405(类似于图1的联网设备105)的网络400。网络400包括ssid mld 406，该ssid mld包括通过链路414a、414b和414c的三个ap。子网络402a和402b可
供具有不同授权的客户端设备408、410使用。ap子集404表示设备408(例如，访客设备)的较低访问级别。客户端设备410(例如，所有者设备)被授权访问mld 406的所有ap链路414a-414c。
53.在网络400中，ap mld 406被配置为向客户端设备408、410隐藏“秘密”高级ap 414c，直到从客户端设备接收到特定授权数据(例如，在不太高级ap 414a、414b上完成关联之后)。ap mld 406的高级ap链路414c可使用“隐藏”ssid。例如，ssid可以是零长度ssid、零ssid等。ap mld并不暴露mld 406与高级ap链路414c之间的相关性。ap mld406不在其信标、探测响应、关联响应和其他未加密管理帧方面通告高级ap 414c与其自身之间的相关性。ap mld 406不接受高级ap 414c处的认证和关联。这是因为mld 406将向请求认证和/或关联的客户端设备408、410提供mld的ml-mac地址和高级ap基本服务集标识符(bssid)或者链路414c的ota-mac地址。这将显示出高级ap 414c和mld 406与潜在未授权设备408之间的相关性。
54.为了使用ap链路414c建立通信，ap mld 406被配置为使用受保护的单播管理帧通过非高级无线链路(例如，ap 414a或414b)向高级客户端(例如，客户端410)提供高级ap 414c的详细地址和能力信息。一旦ap mld 406建立与高级客户端(例如，客户端410)的安全关联，高级ap 414c的可用性就被显示给客户端设备410并且可建立通信链路。
55.在一些具体实施中，如果高级ap链路414c被配置为发送bss操作改变，则如果客户端设备410在另选的ap 414a-414b处(诸如通过链路412a-412b)连接，则ap mld 406使用受保护的单播管理帧来向高级客户端(例如，客户端410)提供脱机改变指示。另选地，ap mld 406提供一般mld更新指示，该一般mld更新指示通知所有客户端408、410检查所有被授予的ap 414a-414c上的潜在bss变化。这防止在mld 406与高级ap414c通信链路415之间指示任何关联。
56.如图4所示，高级客户端410与所有者认证pw-id相关联。客户端设备410被配置为通过与mld 406的安全连接来验证客户端设备410有权通过隐藏ap 414c通信链路415进行通信。客户端设备410使用所有客户端设备可用的非高级ap 404(包括非高级访客客户端设备408)中的一个非高级ap与mld 406相关联。在使用链路412a-412b与mld 406相关联之后，客户端设备410密码(例如，ppsk所有者)被发送到mld 406(其可由联网设备405配置)。然后，将隐藏链路415bssid(例如，bssid 3)发送到客户端设备410以能够通过链路415进行通信。因此，客户端设备408仅知道链路412a-412b的bssid 1和bssid 2。
57.图5示出了用于为mld设备提供隐私保护的示例性分组500。存在若干附加方法可用于保护先前所述的私有(例如，敏感)数据，包括高级客户端设备与网络ap之间的相关性、高级ap与未被授权使用它们的客户端设备的存在等等。这些方法被配置为保护隐私信息。在示例中，客户端设备可在其与大型wi-fi网络中的任何ap交换未受保护的认证帧和关联帧时加密其ml mac地址。即使客户端设备在wi-fi网络中在不同ap之间漫游，wi-fi网络也可使用客户端设备的ml mac地址来向客户端提供无缝服务。同时，客户端设备可动态地改变其每链路ota mac地址，以防止被无法获得其ml mac地址的其他设备跟踪。
58.联网设备105和客户端设备被配置为使用会话密钥来保护ml mac地址。这使联网设备105和客户端设备能够隐藏它们的ml mac地址。在该示例中，仅授权客户端设备和ap具有对密钥值的访问。在另一示例中，客户端设备可动态地改变mld ota(例如，每链路)地址。
这可能会使攻击者误以为不同的客户端连接到wi-fi网络。在客户端设备改变mld ota mac地址时，其应使后续帧的序号从随机值重新开始。客户端设备还应隐藏mac地址更新指示。例如，新mac地址隐藏在加密字段中，或者使用可解析的特殊地址格式。例如，mac地址的第一部分可包括随机数，并且第二部分可包括由随机数和隐私会话密钥的散列导出的值。可解析地址的接收器可使用随机数和隐私会话密钥来导出地址的第二部分并确定适当的地址值。在另一示例中，客户端设备被配置为动态地改变每mld短格式标识符(aid)。aid可在如关于上述动态ota地址过程所述的类似过程中动态地改变。一旦建立与ap的关联，则aid改变。随后更详细地描述这些过程。
59.mld可被配置为在认证、关联期间以及在其他未受保护的帧期间加密ml-mac地址。例如，当客户端设备首次获得对ap mld或扩展服务集(ess)的访问时，客户端设备从ap mld(或ess)获得标识符隐私公共密钥(ippk)。在该示例中，当客户端设备再次关联到ap mld或该ess时，客户端设备基于ap的标识符隐私公共密钥及其自己的标识符隐私私有密钥来生成隐私会话密钥。然后，客户端设备使用隐私会话密钥来加密传输到ap mld的所有未受保护帧中的客户端设备ml-mac地址。客户端设备将其标识符隐私公共密钥发送到ap mld。然后，ap mld可基于客户端的隐私公共密钥及其自己的标识符隐私私有密钥生成相同的隐私会话密钥。继续该示例，ap mld可使用隐私会话密钥来解密客户端的ml-mac地址，并且还使用同一隐私会话密钥来在传输到客户端的所有未保护帧中加密其自己的ml-mac。
60.客户端设备可被配置为动态地改变每链路ota-mac地址以便连接到mld ap。在该示例中，在客户端设备关联到ap mld(或ess)之后，ap mld和ess使用客户端设备的ml-mac地址来识别用于漫游和其他服务的客户端设备。客户端设备动态地改变客户端设备每链路ota-mac地址而不引起通信或服务中断，因为ap mld(或ess)可基于其ml-mac地址向客户端设备提供无缝服务。在该示例中，当客户端设备改变客户端设备ota-mac地址中的一个地址时，客户端设备还应使后续帧的序号从随机值重新开始。
61.客户端设备可通过以下方法隐藏客户端设备ota-mac地址更新指示。首先，客户端设备可在用于其他目的的一些受保护管理帧(诸如，mld能力/操作查询帧)中包括地址更新指示和新地址。第二，客户端设备可在数据帧的加密字段中包括地址更新指示和新地址。例如，客户端设备可在a-msdu子帧标头字段中包括地址更新信息，其中源地址字段中的单播/组播位被设置为“1”(意指组播)。
62.图5示出了包括mpdu数据分组502的分组500。分组500用于在数据帧的加密字段中包括ota mac地址更新指示和新地址。a-msdu分组504包括子帧506a-506n。在给定子帧(例如，子帧506b)中，标头字段510中的一个标头字段可用于发信号通知地址改变。例如，源地址字段510b包括6个八位字节512或两个3个八位字节集514。八位字节中的一个八位字节可包括指示单播或组播功能的位516。通常，源地址(sa)应始终为单播地址；因此，位516被设置为0(意指单播)。为了改变标头字段510的用途，可替代地将位516设置为1(意指组播)。因此，当接收器接收到位516被设置为1的a-msdu子帧标头时，该接收器了解到标头字段510被改变用途。在一些具体实施中，为此目的而提供目标地址(da)标头510a中的位。
63.在分组500中，数据帧504的一个或多个加密字段因此被配置为隐藏a-msdu子帧标头字段510中针对客户端设备的敏感信息。此处，帧mic是分组帧的完整性，并且fcs帧是校验和。例如，加密的da字段和sa字段510a-510b可被改变用途以包括客户端设备的ml mac地
址或更新的ota mac地址等，其中位516被用作标志符(或某个类似配置)。在许多应用中，字段510a-字段b可能是无关的。例如，该字段可用于加密mpdu的未保护mac标头字段中最初携带的其他敏感信息，诸如客户端设备的缓冲区状态、操作参数更新和mpdu的业务类别(例如，tid)等。字段510a-510b还可用于加密从ap传输到客户端设备的数据帧中的敏感信息，例如更新的aid分配、操作指令和从ap到客户端设备的高级服务更新(例如，高级ap更新)。
64.第三，客户端设备可被配置为使用ble可解析私密地址(rpa)格式。mld接收器可通过使用身份密钥(诸如随机数)计算地址的一部分以及地址的另一部分来解析地址。一般来讲，ble设备在广告分组中使用48位地址。如果该地址可被另一设备解码，则其可跟踪通告的ble设备的移动。
65.联网设备105可将mld配置为动态地改变每mld aid。当客户端设备mld关联到ap mld时，ap mld将单个aid分配给客户端mld。客户端mld的所有sta共享同一aid。在该示例中，客户端mld可要求ap mld在安全关联之后改变ap aid。在该示例中，当客户端设备从一个链路切换到不同链路时，客户端mld可要求ap mld改变ap aid。在该示例中，当客户端设备改变客户端设备每链路ota-mac地址中的一个地址时，客户端mld可要求ap mld改变ap aid。在该示例中，客户端mld可要求ap mld周期性地改变ap aid，以便隐藏ap aid与每链路ota地址之间的相关性。在一些具体实施中，客户端mld可以与隐藏ota-mac地址更新指示类似的方式隐藏其aid更新指示(例如，如图5所示)。
66.图6示出了用于mld设备的隐私保护的过程600。该方法包括由mld设备广播(602)指示用于与客户端设备进行无线通信的一个或多个服务的服务数据。服务数据指示基于客户端设备的类型来区分服务类型。mld设备建立(604)与客户端设备的安全关联。响应于与客户端设备建立安全关联，mld设备基于客户端设备的类型授予(606)客户端设备对一个或多个服务的子集的访问。
67.在一些具体实施中，客户端设备的类型指示客户端设备可用的一个或多个网络资源。一个或多个网络资源可包括接入点、子网络或两者。在一些具体实施中，一个或多个服务各自包括用于在客户端设备与联网设备之间建立通信链路的接入点。在一些具体实施中，每个接入点均与包括2.4ghz无线电频带、5ghz无线电频带或6ghz无线电频带中的一者的无线电频带相关联。在一些具体实施中，客户端设备的类型由私有预共享密钥(pwg)或对等实体同时验证(sae)密码标识符来指示。
68.在一些具体实施中，过程600包括由mld设备确定客户端设备正在请求访问客户端设备未被授权访问的服务；以及响应于确定，拒绝该请求并向客户端设备提供授权服务而不是所请求的服务。
69.图7示出了用于mld设备的隐私保护的过程700。过程700包括由多链路设备(mld)设备从客户端设备接收(702)建立与mld设备的安全关联的请求。该请求包括指示多链路媒体访问控制(ml-mac)地址的ml-mac地址数据和指示空中mac(ota-mac)地址的ota-mac地址数据。过程700包括建立(704)mld设备与客户端设备之间的安全关联。过程700包括响应于建立安全关联，从客户端设备接收(706)用于与客户端设备通信的改变的ml-mac地址或改变的ota-mac地址的指示。
70.在一些具体实施中，过程700包括从客户端设备接收指示一个或多个站点(sta)ota地址的加密数据。该过程可包括响应于建立安全关联，从客户端设备接收用于与客户端
104、106等)可被实现为数字电子电路、计算机软件、固件或硬件的一个或多个组或模块，或它们中的一者或多者的组合。尽管可使用不同的模块，但每个模块不需要是不同的，并且可在相同的数字电子电路、计算机软件、固件或硬件或它们的组合上实现多个模块。
82.本说明书中所述的一些具体实施可被实现为一个或多个计算机程序，即在计算机可读介质上编码的计算机程序指令的一个或多个模块，以用于由数据处理装置执行或控制数据处理装置的操作。计算机存储介质可以是计算机可读存储设备、计算机可读存储基板、随机或串行访问存储器阵列或设备，或者它们中的一者或多者的组合，或者可包括在计算机可读存储设备、计算机可读存储基板、随机或串行访问存储器阵列或设备中。此外，虽然计算机存储介质并非传播信号，但计算机存储介质可以是在人工生成的传播信号中编码的计算机程序指令的源或目的地。计算机存储介质也可以是一个或多个单独的物理部件或介质(例如，多个cd、磁盘或其他存储设备)，或者包括在一个或多个单独的物理部件或介质中。
83.术语“数据处理装置”涵盖用于处理数据的所有种类的装置、设备和机器，例如包括可编程处理器、计算机、片上系统、或前述各项中的多项或组合。在一些具体实施中，联网设备105包括如本文所述的数据处理装置。该装置可包括专用逻辑电路(例如，fpga(现场可编程门阵列)或asic(专用集成电路))。除了硬件之外，该装置还可包括为所考虑的计算机程序创建执行环境的代码，例如构成处理器固件、协议栈、数据库管理系统、操作系统、跨平台运行环境、虚拟机或它们中的一者或多者的组合的代码。该装置和执行环境可实现各种不同的计算模型基础结构，诸如web服务、分布式计算和网格计算基础结构。
84.计算机程序(也称为程序、软件、软件应用程序、脚本或代码)可以任何形式的编程语言编写，包括编译或解释语言、声明或过程语言。计算机程序可以但不必与文件系统中的文件对应。程序可存储在保存其他程序或数据(例如，存储在标记语言文档中的一个或多个脚本)的文件的一部分中、在专用于论述中的该程序的单个文件中或在多个协调文件中(例如，存储一个或多个模块、子程序或代码部分的文件)。计算机程序可被部署为在一个计算机上或位于同一站点或分布于多个站点并且通过通信网络互连的多个计算机上执行。
85.本说明书所述的过程和逻辑流程中的一些过程和逻辑流程可由执行一个或多个计算机程序的一个或多个可编程处理器执行，以通过对输入数据进行操作并产生输出来执行动作。过程和逻辑流程可由专用逻辑电路(例如，fpga(现场可编程门阵列)或asic(专用集成电路))执行，并且装置也可被实现为专用逻辑电路。
86.适用于执行计算机程序的处理器例如包括通用微处理器和专用微处理器两者，以及任何种类的数字计算机的处理器。一般来讲，处理器将从只读存储器或随机存取存储器或这两者接收指令和数据。计算机包括用于根据指令执行动作的处理器以及用于存储指令和数据的一个或多个存储器设备。计算机还可包括用于存储数据(例如，磁盘、磁光盘或光盘)的一个或多个大容量存储设备，或可操作地耦接以从一个或多个大容量存储设备接收数据和/或将数据传输到一个或多个大容量存储设备。然而，计算机不需要具有此类设备。适于存储计算机程序指令和数据的设备包括所有形式的非易失性存储器、介质和存储器设备，包括例如半导体存储器设备(例如eprom、eeprom、闪存存储器设备等)、磁盘(例如内部硬盘、可移动磁盘等)、磁光盘以及cd-rom和dvd-rom盘。处理器和存储器可由专用逻辑电路补充，或者被并入专用逻辑电路中。
87.为了提供与用户的交互，可在具有用于向用户显示信息的显示设备(例如，监视器或另一种类型的显示设备)以及键盘和指向设备(例如，鼠标、轨迹球、平板电脑、触敏屏幕或另一种类型的指向设备)的计算机上实现操作，用户可通过该键盘和指向设备向计算机提供输入。其他种类的设备也可用于提供与用户的交互；例如，提供给用户的反馈可以是任何形式的感官反馈，例如视觉反馈、听觉反馈或触觉反馈；并且可以任何形式接收来自用户的输入，包括声学、语音或触觉输入。此外，计算机可通过向用户所使用的设备发送文档以及从其接收文档来与用户进行交互；例如，通过响应于从用户客户端设备上的web浏览器接收的请求而将网页发送到该web浏览器。
88.计算机系统可包括单个计算设备，或彼此接近或大体远离操作并且通常通过通信网络进行交互的多个计算机。通信网络的示例包括局域网(“lan”)和广域网(“wan”)、互联网络(例如，互联网)、包括卫星链路的网络和对等网络(例如，自组织对等网络)。客户端和服务器的关系可借助于在相应计算机上运行并且彼此具有客户端-服务器关系的计算机程序而产生。
89.图9示出了包括处理器910、存储器920、存储设备930和输入/输出设备940的示例性计算机系统900。部件910、920、930和940中的每个部件均可例如通过系统总线950互连。处理器910能够处理用于在系统900内执行的指令。在一些具体实施中，处理器910是单线程处理器、多线程处理器或另一类型的处理器。处理器910能够处理存储在存储器920中或存储在存储设备930上的指令。存储器920和存储设备930可将信息存储在系统900内。
90.输入/输出设备940为系统900提供输入/输出操作。在一些具体实施中，输入/输出设备940可包括网络接口设备(例如，以太网卡)、串行通信设备(例如，rs-232端口)和/或无线接口设备(例如，802.11卡、3g无线调制解调器、4g无线调制解调器、5g无线调制解调器等)中的一者或多者。在一些具体实施中，输入/输出设备可包括驱动器设备，该驱动器设备被配置为接收输入数据并将输出数据发送到其他输入/输出设备(例如，键盘、打印机和显示设备960)。在一些具体实施中，可使用移动计算设备、移动通信设备和其他设备。
91.虽然本说明书包含许多细节，但不应将这些细节理解为是对要求保护的内容的范围的限制，而应将其视作对特定示例所特有的特征的描述。本说明书中在不同具体实施的上下文中描述的某些特征也可相组合。相反，在单个具体实施的上下文中描述的各种特征也可单独地或者以任何合适的子组合的形式在多个实施方案中实现。
92.已描述了多个实施方案。然而，应当理解，在不脱离本文所述的数据处理系统的实质和范围的情况下可作出各种修改。因此，其他实施方案在随附权利要求书的范围内。