用于无线网络的链路恢复的方法及相应设备 |
|||||||
| 申请号 | CN201480058645.9 | 申请日 | 2014-10-29 | 公开(公告)号 | CN105684485A | 公开(公告)日 | 2016-06-15 |
| 申请人 | 汤姆逊许可公司; | 发明人 | K.范奥斯特; K.范多尔斯莱尔; R.范登布勒克; | ||||
| 摘要 | 用于包括接入点和站的无线网络的链路恢复的方法,包括步骤:在所述接入点上提供预备无线网络;关于所述预备无线网络在所述站上安装连接简档;在所述无线网络中的连接丢失之后,经由所述预备无线网络将所述站连接到所述接入点;所述站经由所述预备无线网络从所述接入点 请求 新的安全性证书,以用于与所述接入点的链接恢复;所述接入点经由所述预备无线网络将新的安全性证书宣告给所述站;以及在接收到所述新的证书时,所述站重新配置其简档并且触发对于所述无线网络的链接重新连接。 | ||||||
| 权利要求 | 1.一种用于包含接入点(1、30)和站(2、31、32)的无线网络(34)的链路恢复的方法,包括: |
||||||
| 说明书全文 | 用于无线网络的链路恢复的方法及相应设备技术领域背景技术[0002] 住宅网关广泛用于将家庭中的设备连接到互联网或任何其它广域网(WAN)。住宅网关具体地使用数字订户线路(DSL)技术,该技术使能铜线路或光线路上的高数据率传输。多年来,已经建立在数据率和范围方面不同的若干DSL标准,例如ADSL和VDSL,这些在该上下文中被称为xDSL。此外,用于互联网服务的光学传输是公知的,例如,光纤到户(FTTH)和光纤到房屋(FTTP)。住宅网关且还有诸如路由器、WLAN(无线局域网)转发器、交换机、电话和机顶盒之类的其它设备在该上下文中被理解为消费者房屋装备(CPE)设备。 [0003] 包括无线技术的住宅网关在如今的家庭和职业环境中具有关键作用。用于将无线设备连接到局域网(LAN)的机制被称为Wi-Fi,其是用于使用无线数据传输的IEEE 802.11标准族的设备的Wi-Fi联盟的品牌。IEEE 802.11标准定义了两种类型的无线节点:一般无线设备,其可以连接到其它设备,被称为站(被表示为STA);以及特殊类型的STA,其控制网络,也就是接入点(被表示为AP)。Wi-Fi网络(又被称为WLAN)包括AP,以及连接到该AP的一个或多个STA。 [0004] 随着Wi-Fi技术的现象级成功,越来越多的问题出现在“整个家庭覆盖”的区域中。由于WLAN接入点的传输功率和接收机灵敏度有限,因此其服务也有限。Wi-Fi技术变为越来越多活跃地用于多媒体应用中,具有整个家庭覆盖的需求就出现得越多。为了扩展WLAN接入点的服务覆盖的最典型应用是WLAN中继器(repeater)或“范围扩展器”。该设备连接到主AP,并且通过允许各设备连接到WLAN中继器使得它们如同连接到主接入点那样,由此来中继或扩展服务区域。 [0005] 如何设置这种中继器网络是已知的。对此存在各种机制(例如,WPS、手动连接),但端用户或网关操作者决定改变安全性配置时情况如何?例如,端用户可能认为他的家庭环境的WLAN网络已经受到危害,因此他对此进行动作并且改变密钥口令短语(passphrase)。此外,网关操作者可能想要推送新的加密方法,强迫其所有消费者使用该新的加密方法(例如,WPA/WPA2改变为WPA2)。AP的远程控制是容易的,但LAN设备情况如何?如果重新使能先前已打开的设备,情况如何?出于低成本原因,多数服务扩展设备并未实现任何形式的用户接口。在所有情况下,端用户必须通过重新配置所有端点(客户机)和中继器设备来进行干涉,这是麻烦且耗时的动作。 [0006] 当正在设置WLAN网络时,必须使用正确的安全性证书来配置该网络中所有活跃的设备。所使用的方法是不相干的(irrelevant)(WPS、手动、预先配置),但必须以这样或那样的方式完成。出于安全性原因,普遍的是,接入点不显示安全性证书,这不是一个问题,直到端用户需要添加另一(非WPS)设备并且已经丢失证书为止。此时,仅有的选项是改变证书并且在其所有设备上重新录入它们,这可能是耗时的活动。 [0007] 当端用户(或网关操作者)想要更改WLAN网络中所使用的安全性方法时,出现不同的问题。例如,如今WPA和WPA2是普遍的安全性方法,但在一年时间中,Wi-Fi联盟(WFA)将防止仅WPA(WPA-only)用在802.11n/ac设备上,因此,为了受益于最新的WLAN技术,端用户必须确保所有仅WPA设备已经更换并且网关仅使用WPA2加密。一旦方法改变,任何使用中的设备就不可能在没有手动(或WPS)重新配置的情况下重新连接到网络。基于存在不实现WPS并且具有不良用户接口(例如,互联网无线电、环境声音接收机等)的设备的事实,这可能是耗时并且麻烦的。 [0008] 当前IEEE或WFA标准不允许在现有WLAN网络中动态地重新配置安全性证书。一旦配置改变,所有设备失去链路。 [0009] 当正在设置WLAN网络时,必须使用正确的安全性证书来配置该网络中所有活跃的设备。出于安全性原因,普遍的是,并不在用户接口(UI)上显示安全性证书,这不是一个问题,直到端用户需要添加另一(非WPS)设备并且遗忘证书为止。在此情况下,仅有的选项是改变证书并且在其所有设备上重新录入它们,这是耗时的活动。 [0010] 当端用户(或网关操作者)想要更改家庭(W)LAN中所使用的安全性方法时,出现相同问题的另一示例。为了受益于最新的WLAN技术,端用户必须确保家庭(W)LAN的安全性配置与关于该新技术的IEEE和WFA定义相匹配。一旦方法改变,任何使用中的设备就不可能在没有手动或WPS重新配置的情况下重新连接到网络。当前IEEE或WFA标准不允许在现有WLAN网络中动态地重新配置安全性证书。一旦配置改变,所有设备就失去链路。 发明内容[0011] 一种用于包含接入点和站的无线网络的链路恢复的方法,包括步骤:在接入点上提供预备(reserve)无线网络;在站上安装对于预备无线网络的连接简档;在无线网络中的连接丢失之后,经由预备无线网络将站连接到接入点;站经由预备无线网络从接入点请求新的安全性证书,以用于与接入点的链路恢复;接入点经由预备无线网络向所述站宣告(announce)新的安全性证书;以及在接收到新的证书时,所述站重新配置其简档,并且触发对于无线网络的链路重新连接。所述方法具体地提供具有预备服务集标识符(SSID)的预备无线网络,以仅允许无线网络的站经由访客无线网络与接入点连接。 [0012] 无线网络在优选实施例中是依据IEEE 802.11标准的无线网络,并且预备无线网络具有备份无线网络的功能并且例如是访客无线网络。 [0013] 在本发明的一方面中,所述方法在经由预备无线网络的站与接入点之间的通信之前使用例如安全公开/订阅(subscribe)机制之类的安全性应用(例如,对象管理组所指定的安全数据发布服务(DDS)应用)作为无线网络中的通信接口,和/或使用安全通道(例如,VPN、IPsec等),以禁止任何未知站侵入到无线网络中。无线网络例如是家庭无线网络或企业无线网络。 [0015] 一种设备,包括微处理器、非易失性存储器以及非易失性存储器中所存储的第二恢复应用,其中所述微处理器被配置为:通过运行第二恢复应用来执行所述方法。 [0016] 本发明背后的基本构思是,促进在重新配置已经发生之后将重建无线链路的、在接入点和站上运行的恢复应用软件与预备无线网络的存在相结合的使用。该构思促进这样的事实:越来越多的家庭中设备将开始运行能够在运行时间(例如,通过诸如Apple iOS app商店、Google play等的app商店)安装或者连同WLAN设备一起预先安装而交付的应用。恢复的概念基于这样的事实:将应用安装在接入点和站上,确保这两个设备获知如何彼此沟通。然而,构思不限于单个接入点和站。 附图说明 [0017] 以下参照示意性附图通过示例的方式更详细地解释本发明的优选实施例,附图中: [0018] 图1示出了包括包含相应软件栈的接入点以及包含相应软件栈的站的无线网络,[0019] 图2示出了包括住宅网关和站的现有技术无线网络, [0020] 图3-图6示出了适用于接入点与站之间的链路恢复的无线网络,以及[0021] 图7示出了说明接入点与站之间的链路恢复的消息流程图。 具体实施方式[0022] 在以下描述中,描述了用于恢复无线网络的示例方法。为了解释的目的,阐述各个具体细节,以便提供对优选实施例的透彻理解。然而,对于本领域技术人员显而易见的是,可以在没有这些具体细节的情况下实践本发明。 [0023] 消费者房屋装备(CPE)设备在优选实施例中包括控制器(例如,微处理器)、在其中存储操作系统的非易失性存储器、用于CPE设备的操作的易失性存储器、用于无线操作和宽带连接(例如,xDSL连接)的Wi-Fi节点。Wi-Fi节点包括复杂软件驱动、具有数据缓冲器和天线的物理层。这种CPE设备是例如住宅网关,其在无线局域网(WLAN)内具有中心位置。 [0025] -WLAN物理层(PHY)3,被包含于AP 1和STA 2中, [0026] -WLAN驱动4,被包含于AP 1和STA 2中, [0027] -WLAN管理守护进程(daemon):AP 1中所包含的主机接入点守护进程(hostapd)5,以及STA 2中所包含的Wi-Fi保护接入(WPA)申请者(WPA supplicant)6, [0028] -安全性应用7,被包含于AP 1和STA 2中,其为WLAN链路9的安全性提供加密。 [0029] 在优选实施例中,恢复应用8将与hostapd 5进行接口连接,恢复应用8'将与WPA申请者6进行接口连接。这些软件模块5、6在WLAN软件栈中是普通的伪标准模块,这使得所述模块被安装在无论芯片组特定代码如何的任何设备平台上。应用通过以下来获知其是否正运行在接入点或站上:预先配置;或者检测hostapd 5或WPA申请者6其中的任一处理是否正运行于应用所运行的设备上。与hostapd 5进行接口连接的恢复应用8以及与WPA申请者6进行接口连接的恢复应用8'可以是相同的软件模块,或可以是不同的软件模块。 [0030] 当安装在接入点1上时,恢复应用8在接入点1上创建具有预备服务集标识符(SSID)的预备无线网络,或者在其已经出现的情况下,则不采取动作。预备无线网络可以具体是访客网络或访客WLAN或任何无线备份网络。基于在没有对于访问者、家庭、访客等的家庭中(in-home)LAN接入的情况下越来越多的用户在它们的接入点上创建访客接入以便提供互联网连接性的事实,这是非常普遍的。访客无线网络已知例如来自Apple Airplay或开源软件OpenWRT。预备无线网络可以是开放无线网络或安全无线网络。 [0031] 在站2上,恢复应用8'将在WPA申请者6中安装对于GUEST SSID的连接简档。重要的是,GUEST SSID必须在站2的连接简档列表中被放置为最新SSID。之所以必须这样做,是因为在连接丢失的情况下,站2将对于连接性以循环(round robin)方式检查连接简档中的所有简档,并且如果GUEST SSID是第一个,则站2将绝不重新连接到无线网络。 [0032] 第一恢复应用8和第二恢复应用8'因而提供一种用于在无线网络的安全性改变已经产生之后的、用于包括接入点以及一个或多个站的无线网络的自动链路恢复的解决方案。该解决方案有利地促进安全预备无线网络接入机制,例如安全访客无线网络。恢复应用8在接入点上安装包括标识符(例如,BSSID(基本服务集标识)或SSID)的预备无线网络,其中所述标识符标识预备无线网络,而恢复应用8'在站上安装对该预备无线网络的连接简档。 [0033] 图2中示出了包括具有接入点的功能的住宅网关10以及站——家庭计算机11、智能电话或平板计算机12和WLAN中继器13的现有技术无线网络的示例性实施例。 [0034] 图3-图6示出了使用包括住宅网关30和站(无线客户机设备31、32)的无线网络34(例如,家庭中无线网络)的恢复应用8、8'的解决方案。该解决方案有利地另外使用安全公开/订阅机制40,以便提供用于住宅网关30与客户机设备31、32之间的无线链路的恢复的安全预备无线网络。 [0035] 因而在该实施例中的恢复方法具体地通过使用访客无线网络33来促进安全“GUEST”接入机制。恢复应用8在接入点(图3中所示的住宅网关30)上安装开放安全性访客BSSID,而在客户机设备41和42(即,站)上安装对该访客无线网络的连接简档。由于连接性将在连接丢失但仅对网络具有受限接入时继续(resume),因此恢复方法创建“围墙花园(walled garden)”配置方法。通过使用安全公开/描述机制40,在开放WLAN网络上保证安全性。仅允许注册到家庭中无线网络34的设备重新连接,并且在互联网协议(IP)级别上加密设备30-32之间的所有通信。 [0036] 图3,在连接丢失35时,客户机设备31、32向它们的数据库咨询已知的网络,其中之一是具有所定义的GUEST SSID的访客无线网络33。图4,基于用于GUEST SSID的连接简档的存在,客户机设备31、32将自动地连接到该网络33(由箭头36指示),以便使得恢复应用8、8'能够重建家庭中无线网络34。 [0037] 图5,一旦已经经由访客无线网络33建立连接,客户机设备31、32以及住宅网关30上的恢复应用8、8'就经由公开/描述机制40打开安全连接(由箭头37指示),并且请求用于家庭中无线网络34的新的安全性证书集。图6,在从住宅网关30获取到正确的安全性证书之后,恢复应用8、8'从访客无线网络33断开连接,并且重新连接到家庭中无线网络34。 [0038] 以下在图7所描述的序列图中更详细地描述恢复方法。该图示出了恢复应用8、8'的各种交互。 [0039] 当安装在接入点1上时,接入点1的恢复应用8利用“开放安全性”在接入点1上创建GUEST SSID,或在访客无线网络已经存在的情况下,不采取动作。在站2上,站2的恢复应用8'将在WPA申请者6中安装对于GUEST SSID的连接简档。 [0040] 在接入点1与站2之间的操作无线链路70的连接丢失(步骤71)时,站2将经由开放访客网络重新连接到接入点1。在连接丢失之后,站1继续发送用于家庭中无线网络34的信标信号以及用于访客无线网络33的信标信号(步骤72、73)。在用于访客无线网络33的正确证书的情况下,站2将发送相应连接请求——用于SSID-GUEST的“关联REQ”(步骤74),并且接入点1将通过用于SSID-GUEST的“关联RESP”(步骤75)来响应该请求。于是访客无线网络33是可操作的(步骤76)。 [0041] 然后,恢复应用8、8'二者将在通信之前布置例如经由VPN、IPsec等的安全通道,或者例如通过使用安全公开/订阅机制作为通信接口,以用于经由访客无线网络33的通信(步骤77)。关于本发明的概念,安全性方面是较不相关的,但对于应用的整体成功而言,有利的是,实现安全通信信道(例如,安全通道(步骤77)),因为否则访客无线网络33在恢复时段期间对于攻击将是脆弱的:为了防止“中间人(man in the middle)”攻击,恢复应用8、8'二者之间的安全连接应当是强制的。 [0042] 然后,站恢复应用8'将从接入点恢复应用8请求新的安全性证书,以经由家庭中无线网络34连接到接入点1(步骤78)。为此,站恢复应用8'提及证书所定向的DEVICE ID和SSID/BSSID。如果站2已经关联到另一接入点(例如,邻居的住宅网关)的GUEST SSID,那么在检测到存在对于未知BSSID的到来请求时,接入点恢复应用8必须发起该站的断开连接。如果客户机断开连接(可以经由WPA申请者6传输到接入点恢复应用8的状态),则接入点恢复应用8将拉黑该BSSID达至少24小时,并且取得具有等同于“GUEST”的SSID的另一BSSID。 [0043] 如果接入点恢复应用8接收到对于匹配其SSID/BSSID的安全性证书的请求,则它将通过经由访客无线网络33宣告新的安全性证书(安全性方法+口令短语)来进行回应(公开)(步骤79)。此时,可以创建另一“第二阶段鉴权”。接入点1可以向端用户或操作者推送决定以公开安全性证书,以便允许该端用户或操作者重新确认特定设备可以再次加入家庭中无线网络34,或者接入点恢复应用8可以咨询预定义的策略,例如,特定设备ID是允许的,而其它设备需要手动确认。然后,站恢复应用8'将等待来自接入点1的应答。 [0044] 在接收到新的证书(步骤79)时,站恢复应用8'将重新配置WPA申请者6中的简档,并且通过将对于SSID-X的关联请求发送到接入点1来触发用于家庭无线网络34的链路重新连接(步骤80)。在用于家庭中无线网络34的正确证书的情况下,接入点1将通过消息——对于SSID-X的“关联RESP”来对该请求进行响应(步骤81),并且于是,家庭中无线网络34再次是可操作的(步骤82)。 [0045] 本发明具有以下优点:无需用户交互以重新配置WLAN网络。可以应用第二阶段鉴权。此外,即使访客网络33保持开放,通过使用安全性应用,重新配置也保持安全。 |
||||||
