專(zhuān)利名稱(chēng):用于安全、便攜���、無(wú)線(xiàn)和多跳數(shù)據(jù)連網(wǎng)的方法和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)據(jù)連網(wǎng)�����,更具體地涉及安全���、便攜和無(wú)線(xiàn)的數(shù)據(jù)連網(wǎng)。
背景技術(shù):
在當(dāng)前的無(wú)線(xiàn)局域網(wǎng)(WLAN)架構(gòu)中���,移動(dòng)客戶(hù)機(jī)無(wú)線(xiàn)連接到接入點(diǎn)(Access Point���,AP)以獲得對(duì)各AP所連接的主干網(wǎng)的連接性���。主干網(wǎng)通常是有線(xiàn)連接的,然后連接到組織網(wǎng)絡(luò)的其他部分�。在各種不同的WLAN通信標(biāo)準(zhǔn)中,當(dāng)前最流行使用IEEE 802.11(″Part 1Wireless LANMedium Access Control(MAC)and Physical Layer Specifications″�,IEEE 1999,包括所有的變型)�。
對(duì)于希望利用無(wú)線(xiàn)方法擴(kuò)展現(xiàn)存的有線(xiàn)校園網(wǎng)或企業(yè)網(wǎng)并提供校園范圍移動(dòng)支持的網(wǎng)絡(luò)管理者,WLAN架構(gòu)是理想的��。利用這種架構(gòu)��,移動(dòng)客戶(hù)機(jī)不再受網(wǎng)絡(luò)電纜和墻壁插孔的制約���,只要它們與某個(gè)AP保持直接無(wú)線(xiàn)接觸即可�。由于有了多種諸如動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)(R.Droms��,″Dynamic Host Configuration Protocol″����,RFC 2131�����,1997年3月)的動(dòng)態(tài)配置協(xié)議,所以只需很少或不需要用戶(hù)配置工作����,移動(dòng)客戶(hù)機(jī)就可以容易地接入WLAN。用戶(hù)可以在AP的覆蓋區(qū)內(nèi)自由移動(dòng)���。在用戶(hù)越過(guò)AP服務(wù)區(qū)的邊界時(shí)���,WLAN和橋接協(xié)議(bridge protocol)可以更新用戶(hù)的鏈路層連接性,以使正在進(jìn)行的通信對(duì)話(huà)不被越區(qū)切換和實(shí)際通信載波(射頻)切換所中斷���。
盡管移動(dòng)客戶(hù)機(jī)可以享受無(wú)線(xiàn)網(wǎng)絡(luò)連接性的方便�,但是�,另一方面,部署WALN不是一件輕易的工作���。需要通過(guò)主干網(wǎng)(通常是有線(xiàn)LAN)將AP相互連接��。因此��,必需安裝網(wǎng)絡(luò)電纜以將各AP連接到現(xiàn)存網(wǎng)絡(luò)基礎(chǔ)設(shè)施�����。電線(xiàn)還必需位于適當(dāng)位置以對(duì)AP提供工作電源�����。此外�,為了確定AP的位置,WLAN設(shè)計(jì)者需要預(yù)測(cè)無(wú)線(xiàn)用途并進(jìn)行現(xiàn)場(chǎng)勘查以確定無(wú)線(xiàn)電傳播特性��。還需要對(duì)每個(gè)AP分配工作信道��,以使相鄰?fù)ㄐ判^(qū)之間的干擾最小�����。部署之后����,改變各AP的布局又成了一個(gè)高成本的工作,因?yàn)殡娎|和電線(xiàn)也需要改變�����。如果使用方式發(fā)生變化,通常不能對(duì)WLAN進(jìn)行重大調(diào)整以適應(yīng)這種變化�。
現(xiàn)存IEEE 802.11 WLAN的另一個(gè)嚴(yán)重問(wèn)題是其當(dāng)前保密機(jī)制。在WLAN中����,在空中傳送所有的傳輸比特�,這是一種任何人都可以訪(fǎng)問(wèn)的開(kāi)放的通信介質(zhì),只要他/她位于無(wú)線(xiàn)電信號(hào)范圍內(nèi)而且具有可以接收WLAN無(wú)線(xiàn)電信號(hào)的無(wú)線(xiàn)電裝置����。因此,必須對(duì)敏感數(shù)據(jù)進(jìn)行加密����,以便只有預(yù)期的接收器可以重構(gòu)并理解該數(shù)據(jù)。
IEEE 802.11標(biāo)準(zhǔn)依賴(lài)于有線(xiàn)等效私密(Wired EquivalencyPrivacy�����,WEP)協(xié)議以實(shí)現(xiàn)數(shù)據(jù)保護(hù)����。WEP使用40位(或者是后來(lái)版本中的104位)的共享密鑰。24位的初始矢量(Initial Vector,IV)與共享密鑰連在一起構(gòu)成64位(或者是后來(lái)版本中的128位)籽數(shù)(seed)�。然后,將該籽數(shù)送到RC4偽隨機(jī)數(shù)發(fā)生器(PRNG)以產(chǎn)生用作幀加密密鑰流的隨機(jī)比特序列�。可以對(duì)于各個(gè)加密的數(shù)據(jù)幀改變IV����,以便對(duì)于各數(shù)據(jù)幀,RC4 PRNG的籽數(shù)不同����。因此,生成不同的密鑰流來(lái)對(duì)各個(gè)數(shù)據(jù)幀進(jìn)行加密�����。在各個(gè)數(shù)據(jù)幀上附加作為明碼報(bào)文的IV���,從而接收機(jī)可以將接收到的IV與共享密鑰連在一起����,產(chǎn)生RC4 PRNG籽數(shù)��,并計(jì)算解密密鑰流���。然而�,因?yàn)镮V的大小有限,所以?xún)H有2^24��,約1千6百萬(wàn)個(gè)不同密鑰流�。給定平均數(shù)據(jù)幀的大小和IEEE 802.11支持的傳輸速率,忙的AP可能會(huì)非常迅速地用盡不同密鑰流空間���,并且不得不重復(fù)使用加密密鑰流���。由于在各個(gè)數(shù)據(jù)幀上附有作為明碼報(bào)文的IV�����,所以攻擊者較容易識(shí)別重復(fù)使用的密鑰流��。攻擊者可以采集利用同一個(gè)密鑰流加密的幾條加密報(bào)文��,然后進(jìn)行統(tǒng)計(jì)分析�,以攻擊和恢復(fù)明碼報(bào)文。攻擊者還可以建立所有可能密鑰流的字典�����。除了對(duì)于這些類(lèi)型攻擊的脆弱性之外,安全研究領(lǐng)域還認(rèn)識(shí)到WEP協(xié)議的其他弱點(diǎn)(N.Borisov���,I.Goldberg和D.Wagner����,″Intercepting Mobile CommunicationsThe Insecurity of802.11″���,MOBICOM 2001��,2001)���。
我們還知道IEEE 802.11的驗(yàn)證方案存在與其加密方案的弱點(diǎn)有關(guān)的問(wèn)題。IEEE 802.11的AP提供了兩種防止未授權(quán)接入的方法介質(zhì)訪(fǎng)問(wèn)控制(Medium Access Control��,MAC)地址過(guò)濾方法和基于WEP的共享密鑰驗(yàn)證方法�����。MAC地址過(guò)濾器簡(jiǎn)單地提出目的地地址或源地址未列入預(yù)定“容許表”中的所有數(shù)據(jù)幀���。然而��,因?yàn)楣粽呖梢匀菀椎夭煊X(jué)并偽造MAC地址�,所以MAC地址過(guò)濾器幾乎不能防范未授權(quán)的網(wǎng)絡(luò)接入。共享密鑰驗(yàn)證過(guò)程涉及到兩方(稱(chēng)為發(fā)起方和響應(yīng)方)利用共享密鑰相同但是IV不同的WEP對(duì)同一個(gè)詢(xún)問(wèn)進(jìn)行加密����。由于共享密鑰驗(yàn)證算法對(duì)具有共享密鑰的人授權(quán)進(jìn)行網(wǎng)絡(luò)接入,所以它僅在未授權(quán)方不能發(fā)現(xiàn)共享密鑰時(shí)有效����。然而,如果WEP被破壞����,共享密鑰驗(yàn)證過(guò)程就無(wú)效了。
IEEE的802.1x(Port Based Network Access Control)標(biāo)準(zhǔn)(″Port-Based Network Access Control″���,IEEE����,2001)規(guī)定了設(shè)計(jì)為提供用戶(hù)驗(yàn)證�、網(wǎng)絡(luò)接入控制��、以及動(dòng)態(tài)密鑰管理的架構(gòu)����。在IEEE 802.1x架構(gòu)中�,系統(tǒng)可以使用不同的具體驗(yàn)證方案和算法��。用于確定用戶(hù)是否可信的實(shí)際算法是開(kāi)放的�,可以使用多種算法。在IEEE 802.11安全機(jī)制的弱點(diǎn)曝光后�����,各機(jī)構(gòu)迅速地轉(zhuǎn)為采用IEEE 802.1x作為解決無(wú)線(xiàn)LAN中安全問(wèn)題的方案�。IEEE 802.1x標(biāo)準(zhǔn)中還包括了IEEE穩(wěn)固安全網(wǎng)絡(luò)(Robust Security Network,RSN)作為一個(gè)重要部分(802.11i��,IEEE802.11 Task Group I��,正在進(jìn)行的工作)�����。
IEEE 802.1x基于PPP可擴(kuò)展驗(yàn)證協(xié)議(PPP ExtensibleAuthentication Protocol�����,EAP�����,L.Blunk和J.Vollbrecht,″PPPExtensible Authentication Protocol(EAP)″���,RFC 2284��,1998年3月)而在驗(yàn)證過(guò)程中進(jìn)行消息交換���。EAP構(gòu)建于詢(xún)問(wèn)-響應(yīng)通信模式的基礎(chǔ)上,這在網(wǎng)絡(luò)安全方案中是很常見(jiàn)的�����。盡管它原本設(shè)計(jì)為PPP連接驗(yàn)證方法���,但也可以用于寬范圍的LAN類(lèi)型����,比如以太網(wǎng)����、令牌環(huán)網(wǎng)或WLAN�����。
以下是基于802.1x的驗(yàn)證和動(dòng)態(tài)加密的描述。圖1顯示了IEEE802.1x驗(yàn)證操作中涉及的部件�����。在具有IEEE 802.1x的WLAN 100中��,客戶(hù)機(jī)(也稱(chēng)為請(qǐng)求方)102請(qǐng)求AP(或驗(yàn)證方)104的接入服務(wù)���。AP104作為未授權(quán)的端口向客戶(hù)機(jī)102開(kāi)放��,只接受請(qǐng)求方(客戶(hù)機(jī))102的EAP消息�。通過(guò)這個(gè)未授權(quán)端口��,請(qǐng)求方102于驗(yàn)證方104和驗(yàn)證服務(wù)器106交換EAP消息��,驗(yàn)證服務(wù)器106是執(zhí)行驗(yàn)證算法的后端服務(wù)器����。在驗(yàn)證算法的最后,驗(yàn)證服務(wù)器106向驗(yàn)證方104返回“接受”或“拒絕”指令���。接收到“接受”消息后��,AP104向客戶(hù)機(jī)102打開(kāi)正規(guī)的網(wǎng)絡(luò)接入端口����,允許這個(gè)客戶(hù)機(jī)102的正常業(yè)務(wù)通過(guò)。
IEEE 802.1d MAC橋接協(xié)議(″Part 3Media Access Control(MAC)Bridges″IEEE���,1998(IEEE 80.1d)�,″Part 3Media Access Control(MAC)Bridge-Amendment 2Rapid Reconfiguration″���,IEEE��,2001(IEEE802.1w))是本領(lǐng)域公知的�����。
IEEE 802.1d采用了生成樹(shù)協(xié)議(spanning tree protocol)�,這是它形成分組傳送拓?fù)浣Y(jié)構(gòu)同時(shí)防止橋接設(shè)備網(wǎng)絡(luò)中的傳送回環(huán)的方法�����。在任意連接的網(wǎng)絡(luò)中���,各個(gè)網(wǎng)橋(bridge)包含多個(gè)端口�����。這些端口連接到多個(gè)LAN段����。在網(wǎng)絡(luò)中的所有網(wǎng)橋之中���,一個(gè)網(wǎng)橋作為生成樹(shù)的“根”�����。這是具有最高優(yōu)先級(jí)網(wǎng)橋標(biāo)識(shí)符的網(wǎng)橋(網(wǎng)橋的優(yōu)先級(jí)標(biāo)識(shí)符是由網(wǎng)橋的唯一ID(這通常是該網(wǎng)橋的各個(gè)端口中的最低MAC地址)得出的����,或者由網(wǎng)絡(luò)管理者配置)��。
在這個(gè)協(xié)議中方�,各個(gè)網(wǎng)橋使用其各個(gè)端口向其相鄰的網(wǎng)橋報(bào)告其自身的標(biāo)識(shí)、發(fā)送端口的標(biāo)識(shí)�、發(fā)送網(wǎng)橋認(rèn)為是根的網(wǎng)橋的標(biāo)識(shí)、以及從發(fā)送網(wǎng)橋到根網(wǎng)橋的路徑成本�。各個(gè)網(wǎng)橋從假設(shè)自己是根開(kāi)始。如果網(wǎng)橋接收到“好于”其當(dāng)前所有的信息��,它就根據(jù)新接收到的信息重新計(jì)算其信息,然后向其相鄰網(wǎng)橋發(fā)送更新后的控制消息��。認(rèn)為是“更好的信息”包括這樣的信息作為更好的根(具有更高的優(yōu)先級(jí)網(wǎng)橋標(biāo)識(shí)符)的網(wǎng)橋�����、更短的到根的路徑�、更低的成本路徑等等。最后通過(guò)信息傳播��,所有的網(wǎng)橋知道有效的生成樹(shù)拓?fù)浣Y(jié)構(gòu)�,并相應(yīng)地配置它們的端口以傳送數(shù)據(jù)幀。在各個(gè)網(wǎng)橋上�,最接近根的端口是“根端口”。在各個(gè)LAN段上���,能夠提供到根的最短路徑的網(wǎng)橋是該LAN段的“指定網(wǎng)橋”��。
IEEE 802.11標(biāo)準(zhǔn)是本領(lǐng)域所公知的�����。
發(fā)明內(nèi)容
本發(fā)明的一個(gè)方面是提供一種向移動(dòng)用戶(hù)提供自配置����、便攜且安全的無(wú)線(xiàn)網(wǎng)絡(luò)接入服務(wù)。
上述方面可以通過(guò)一種自配置���、便攜����、動(dòng)態(tài)且安全的網(wǎng)絡(luò)安全系統(tǒng)而實(shí)現(xiàn)����,該網(wǎng)絡(luò)系統(tǒng)是由向移動(dòng)用戶(hù)提供自配置��、便攜且安全的無(wú)線(xiàn)網(wǎng)絡(luò)接入服務(wù)的設(shè)備構(gòu)成的�,稱(chēng)為安全移動(dòng)無(wú)線(xiàn)網(wǎng)絡(luò)(Secure NomadicWireless Network,SNOWNET)�����。這樣的設(shè)備稱(chēng)為SNOWNET節(jié)點(diǎn)����。
也就是說(shuō),本發(fā)明提供了實(shí)現(xiàn)安全�、便攜、無(wú)線(xiàn)和多跳(multi-hop)數(shù)據(jù)連網(wǎng)的方法和裝置��,稱(chēng)為安全移動(dòng)無(wú)線(xiàn)網(wǎng)絡(luò)(SNOWNET)。
主要來(lái)說(shuō)�,SNOWNET可以與已有的通信和電源基礎(chǔ)設(shè)施無(wú)關(guān)地快速部署在任何區(qū)域,以向通過(guò)驗(yàn)證的移動(dòng)節(jié)點(diǎn)提供安全的網(wǎng)絡(luò)連接性�����。具體而言�,安裝過(guò)程可以簡(jiǎn)化為把SNOWNET節(jié)點(diǎn)布置在工作區(qū)域,加電���,也可以調(diào)節(jié)連接在這些節(jié)點(diǎn)上的外部天線(xiàn)的朝向以連接至其他SNOWNET節(jié)點(diǎn)���。任何配置參數(shù),比如相鄰設(shè)備的標(biāo)識(shí)����、地址分配和消息路由,都可以由一組這樣的SNOWNET節(jié)點(diǎn)的協(xié)作而自動(dòng)確定�。SNOWNET節(jié)點(diǎn)之間的通信以及SNOWNET節(jié)點(diǎn)和移動(dòng)客戶(hù)機(jī)之間的通信是安全的。只有授權(quán)的設(shè)備(SNOWNET節(jié)點(diǎn)和移動(dòng)客戶(hù)機(jī))被允許接入SNOWNET并接受服務(wù)�����。
響應(yīng)于對(duì)安全和便攜無(wú)線(xiàn)數(shù)據(jù)連網(wǎng)的需求提供了本發(fā)明的安全移動(dòng)無(wú)線(xiàn)網(wǎng)絡(luò)(SNOWNET)����。安全移動(dòng)無(wú)線(xiàn)網(wǎng)絡(luò)(SNOWNET)是一種層級(jí)結(jié)構(gòu)的網(wǎng)絡(luò)�,由動(dòng)態(tài)無(wú)線(xiàn)主干網(wǎng)將多個(gè)本地接入服務(wù)區(qū)相互連接在一起��。利用SNOWNET節(jié)點(diǎn)來(lái)形成主干網(wǎng)并提供本地接入服務(wù)�����。
SNOWNET通過(guò)節(jié)點(diǎn)和客戶(hù)機(jī)的驗(yàn)證以及數(shù)據(jù)的加密而提供了安全性�����。
通過(guò)以下說(shuō)明和權(quán)利要求書(shū)����,結(jié)合附圖��,可以更加清楚地理解本發(fā)明的這些和其它方面和優(yōu)點(diǎn)�����。在附圖中用相似的標(biāo)號(hào)指示相似的部件�����。
圖1是具有IEEE 802.1x的無(wú)線(xiàn)局域網(wǎng)(LAN)的示意圖;圖2是本發(fā)明的系統(tǒng)架構(gòu)的示意圖��;圖3是本發(fā)明的SNOWNET節(jié)點(diǎn)302的硬件結(jié)構(gòu)的示意圖���;圖4是本發(fā)明的節(jié)點(diǎn)的軟件組件的示意圖����;圖5是IEEE 802.1x的SNOWNET實(shí)施的示意圖�;
圖6是本發(fā)明的SNOWNET生成樹(shù)的示例的示意圖;圖7是SNOWNET橋接表內(nèi)容的示意圖���;圖8是IEEE 802.11數(shù)據(jù)幀地址字段內(nèi)容的示意圖��;圖9是SNOWNET路由表內(nèi)容的示意圖���;圖10是路由更新消息內(nèi)容的示意圖。
具體實(shí)施例方式
現(xiàn)在參照?qǐng)D2說(shuō)明本發(fā)明的SNOWNET的結(jié)構(gòu)�、SNOWNET節(jié)點(diǎn)的功能和設(shè)計(jì)、以及SNOWNET節(jié)點(diǎn)所執(zhí)行的協(xié)議�。
圖2示出了本發(fā)明的SNOWNET系統(tǒng)網(wǎng)絡(luò)300的架構(gòu)。各個(gè)SNOWNET節(jié)點(diǎn)302至少裝備有一個(gè)無(wú)線(xiàn)網(wǎng)絡(luò)接口��,利用該無(wú)線(xiàn)網(wǎng)絡(luò)接口在對(duì)等的SNOWNET節(jié)點(diǎn)302之間進(jìn)行通信��。如果在SNOWNET節(jié)點(diǎn)302之間可以建立無(wú)線(xiàn)通信,則在它們之間動(dòng)態(tài)形成鏈路304����。將僅含有SNOWNET節(jié)點(diǎn)302以及它們之間的鏈路304的網(wǎng)絡(luò)稱(chēng)為SNOWNET主干網(wǎng)306。將各個(gè)SNOWNET節(jié)點(diǎn)302專(zhuān)用于主干通信的接口稱(chēng)為主干接口�����。還可以利用可選的外部天線(xiàn)擴(kuò)展主干接口的通信范圍�。
如圖2所示,各個(gè)SNOWNET節(jié)點(diǎn)302還為位于其覆蓋范圍內(nèi)的具有客戶(hù)機(jī)無(wú)線(xiàn)設(shè)備的客戶(hù)機(jī)310提供了客戶(hù)機(jī)覆蓋范圍308��。這叫做SNOWNET節(jié)點(diǎn)302為其覆蓋范圍內(nèi)的客戶(hù)機(jī)310提供本地接入服務(wù)���。SNOWNET節(jié)點(diǎn)302也可以通過(guò)有線(xiàn)局域網(wǎng)(與該SNOWNET節(jié)點(diǎn)302的有線(xiàn)通信接口相連的LAN)向具有有線(xiàn)通信接口的客戶(hù)機(jī)提供有線(xiàn)本地接入服務(wù)。然后這種業(yè)務(wù)可以在無(wú)線(xiàn)主干網(wǎng)上轉(zhuǎn)發(fā)�����,從而無(wú)線(xiàn)地連接兩個(gè)有線(xiàn)網(wǎng)絡(luò)��。
組織SNOWNET主干網(wǎng)306的方式有許多種���。最靈活的方式是對(duì)SNOWNET 300的主干接口使用的通信技術(shù)進(jìn)行配置以在對(duì)等模式(peer-to-peer mode)下運(yùn)行����。在將IEEE 802.11網(wǎng)絡(luò)接口用作主干接口的情況下,該接口應(yīng)該在802.11 Ad Hoc模式下運(yùn)行�����。還存在提供不同主干網(wǎng)306配置的特殊情況���。例如�,如果主干網(wǎng)306形成“星形”拓?fù)浣Y(jié)構(gòu)����,則可以將中心節(jié)點(diǎn)的主干接口配置為接入點(diǎn)(AP),而將其他節(jié)點(diǎn)配置為客戶(hù)機(jī)�����。
主干網(wǎng)306的所有鏈路304可以不必使用同一種鏈接技術(shù)�。具有同一種技術(shù)的主干接口的各節(jié)點(diǎn)可以形成子主干?��?梢岳猛瑫r(shí)位于多個(gè)子主干上的�����、具有不同技術(shù)的主干接口的節(jié)點(diǎn)302�,將各子主干連接在一起形成整個(gè)主干網(wǎng)306。
除了主干接口之外����,SNOWNET節(jié)點(diǎn)302通常還裝備有附加接口以向移動(dòng)客戶(hù)機(jī)提供本地網(wǎng)絡(luò)接入服務(wù)。在圖2中��,全部3個(gè)SNOWNET節(jié)點(diǎn)302均具有雙無(wú)線(xiàn)接口�����,一個(gè)用于主干通信���,另一個(gè)用于提供本地接入服務(wù)�。本地服務(wù)接口可以是諸如IEEE 802.3網(wǎng)絡(luò)接口���、以AP模式運(yùn)行的IEEE 802.11接口、藍(lán)牙(Bluetooth)等的任何LAN技術(shù)的接口�����。
某些SNOWNET節(jié)點(diǎn)302還可以具有連接到其他組織網(wǎng)絡(luò)、全球互聯(lián)網(wǎng)或一些其他外部網(wǎng)絡(luò)的附加鏈路312��。這些節(jié)點(diǎn)作為SNOWNET300到達(dá)互聯(lián)網(wǎng)或其他外部網(wǎng)絡(luò)的網(wǎng)關(guān)�,叫做SNOWNET網(wǎng)關(guān)。這些鏈路可以是各種鏈路技術(shù)的鏈路�,例如,連接到固定群網(wǎng)絡(luò)的LAN的以太網(wǎng)電纜����、到AP的無(wú)線(xiàn)LAN接口、點(diǎn)對(duì)點(diǎn)協(xié)議(PPP)連接或3G廣域無(wú)線(xiàn)通信接口等��。
SNOWNET節(jié)點(diǎn)302的某些接口甚至可以是虛擬接口�。例如,可以對(duì)物理接口進(jìn)行復(fù)用或分時(shí)以建立可以用于不同用途的多個(gè)虛擬接口����。例如,本發(fā)明的SNOWNET節(jié)點(diǎn)302可以建立算法��,使得同一個(gè)IEEE 802.11接口可以在一些時(shí)隙內(nèi)在ad hoc模式下運(yùn)行���,以起主干接口的作用����,而在其他時(shí)隙內(nèi)在AP模式下運(yùn)行,以起本地接入服務(wù)接口的作用�。另外,SNOWNET節(jié)點(diǎn)可以動(dòng)態(tài)地將其一個(gè)AP接口變更為主干接口���,反之亦然����。
SNOWNET 300內(nèi)的通信被分成2級(jí)主干通信和本地接入通信��。SNOWNET節(jié)點(diǎn)302對(duì)這兩級(jí)之間的通信進(jìn)行中繼����。因此,從不同SNOWNET節(jié)點(diǎn)302接受本地接入服務(wù)的兩個(gè)客戶(hù)機(jī)之間的典型的SNOWNET內(nèi)通信路徑包括源移動(dòng)客戶(hù)機(jī)310與對(duì)源客戶(hù)機(jī)310提供服務(wù)的SNOWNET節(jié)點(diǎn)302之間的鏈路�����、多個(gè)SNOWNET主干鏈路以及目的地客戶(hù)機(jī)310與其接入服務(wù)SNOWNET節(jié)點(diǎn)302之間的鏈路�����。如果目的地位于其他外部網(wǎng)絡(luò)上��,則通信路徑還包括將業(yè)務(wù)轉(zhuǎn)發(fā)到該網(wǎng)絡(luò)的SNOWNET網(wǎng)關(guān)節(jié)點(diǎn)��。
現(xiàn)在說(shuō)明SNOWNET節(jié)點(diǎn)302的硬件�����。圖3示出了本發(fā)明的SNOWNET節(jié)點(diǎn)302的硬件結(jié)構(gòu)�。
可以將各個(gè)SNOWNET節(jié)點(diǎn)302實(shí)施為嵌入式系統(tǒng),該嵌入式系統(tǒng)包括處理器402�、系統(tǒng)存儲(chǔ)器(RAM)403、用于存儲(chǔ)軟件和與安全相關(guān)的數(shù)據(jù)�,諸如證書(shū)(certificate)和密鑰的數(shù)據(jù)存儲(chǔ)器(閃存,F(xiàn)lash)404��、一個(gè)或者多個(gè)網(wǎng)絡(luò)接口406����,以及連接這些部件的系統(tǒng)總線(xiàn)408。各個(gè)節(jié)點(diǎn)具有可管理����、便攜形式的形狀,并具有保護(hù)殼����。可選的����,各個(gè)節(jié)點(diǎn)302可以裝備外部天線(xiàn)410以擴(kuò)展其無(wú)線(xiàn)網(wǎng)絡(luò)接口406的通信范圍�。這些網(wǎng)絡(luò)接口406提供了本地有線(xiàn)或無(wú)線(xiàn)接入�,無(wú)線(xiàn)主干接入,或者有線(xiàn)或無(wú)線(xiàn)網(wǎng)關(guān)接入�����。
SNOWNET節(jié)點(diǎn)302的配置取決于他在網(wǎng)絡(luò)中的具體用途�。在遠(yuǎn)程位置的典型SNOWNET節(jié)點(diǎn)302應(yīng)具有兩個(gè)無(wú)線(xiàn)接口406,一個(gè)用于主干��,另一個(gè)用于本地接入服務(wù)���。SNOWNET網(wǎng)關(guān)節(jié)點(diǎn)302可以具有兩個(gè)無(wú)線(xiàn)網(wǎng)絡(luò)接口加上第三個(gè)網(wǎng)絡(luò)接口406����,比如有線(xiàn)以太網(wǎng)接口�,用于連接到外部網(wǎng)絡(luò)。
因?yàn)镾NOWNET節(jié)點(diǎn)302是便攜的����,所以SNOWNET節(jié)點(diǎn)302使用可由電池提供的DC電源作為主電源412?�?梢杂葾C轉(zhuǎn)換器從電源插座、電池充電裝置���、太陽(yáng)能裝置、汽車(chē)電池插座或其他發(fā)電裝置提供DC電源�。
在特定操作情況下,在電池是唯一可能電源時(shí)�,重要的是,由這些節(jié)點(diǎn)302構(gòu)成的協(xié)作網(wǎng)絡(luò)300在電源方面是高效的而且了解電源的狀況�����。SNOWNET節(jié)點(diǎn)302應(yīng)該實(shí)現(xiàn)電源管理以在適當(dāng)時(shí)保存電池能量��。
SNOWNET節(jié)點(diǎn)302上的文件系統(tǒng)404是加密文件系統(tǒng)���。存儲(chǔ)在數(shù)據(jù)存儲(chǔ)器404內(nèi)的所有信息均被加密����。在節(jié)點(diǎn)302啟動(dòng)時(shí)����,操作員提供解密密鑰源(即,智能卡���、USB密鑰等)���。節(jié)點(diǎn)302的啟動(dòng)順序從解密密鑰源中找出并加載解密密鑰�。只有這時(shí)可以訪(fǎng)問(wèn)文件系統(tǒng)404�。對(duì)關(guān)鍵的操作系統(tǒng)文件進(jìn)行解密,并加載到系統(tǒng)存儲(chǔ)器403中執(zhí)行���。在節(jié)點(diǎn)302與SNOWNET的驗(yàn)證與密鑰管理服務(wù)器(如以下詳細(xì)說(shuō)明的SNOWNET驗(yàn)證服務(wù)器)斷開(kāi)特定時(shí)間時(shí)���,即在特定時(shí)間中沒(méi)有從該服務(wù)器接收到密鑰管理消息時(shí),自動(dòng)切斷電源���。節(jié)點(diǎn)302上的物理安全方法可以防止對(duì)SNOWNET節(jié)點(diǎn)302所做的其他破壞���。
本發(fā)明的上述特征減小了在未授權(quán)用戶(hù)危害一個(gè)SNOWNET節(jié)點(diǎn)302時(shí)對(duì)整個(gè)SNOWNET 300產(chǎn)生的危害。如果沒(méi)有與解密密鑰源的有效連接��,SNOWNET節(jié)點(diǎn)302在關(guān)閉后是不可操作的��,除非提供了有效的解密密鑰源�����。利用這個(gè)超時(shí)機(jī)制,甚至在攻擊者保持對(duì)SNOWNET節(jié)點(diǎn)302供電的情況下�����,該節(jié)點(diǎn)302仍會(huì)與所有其他SNOWNET節(jié)點(diǎn)302隔離開(kāi)��。
圖4示出了SNOWNET節(jié)點(diǎn)302的軟件結(jié)構(gòu)組件500�。SNOWNET節(jié)點(diǎn)302的軟件結(jié)構(gòu)組件500存儲(chǔ)在各個(gè)SNOWNET節(jié)點(diǎn)302的數(shù)據(jù)存儲(chǔ)器404中���。
軟件組件500包括用于不同網(wǎng)絡(luò)接口的操作系統(tǒng)內(nèi)核空間驅(qū)動(dòng)程序502���,包括用于以太網(wǎng)504、主AP模式506下的802.11網(wǎng)絡(luò)接口卡(NIC)��、以及Ad Hoc模式508下的802.11 NIC的驅(qū)動(dòng)程序���。所有其他的SNOWNET組件駐留在用戶(hù)空間510中�����,或者駐留在內(nèi)核空間502中����,以改善性能�。特別是,網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Address Translation����,NAT)模塊532駐留在內(nèi)核空間中以提供外部互聯(lián)網(wǎng)地址和內(nèi)部SNOWNET地址空間之間的轉(zhuǎn)換。
存在兩個(gè)主要的SNOWNET模塊SNOWNET網(wǎng)絡(luò)層512和SNOWNET API514����。在SNOWNET網(wǎng)絡(luò)層512中實(shí)現(xiàn)SNOWNET節(jié)點(diǎn)驗(yàn)證516和SNOWNET路由/橋接518的功能。對(duì)于提供客戶(hù)設(shè)備接入服務(wù)的SNOWNET節(jié)點(diǎn)��,包含了標(biāo)準(zhǔn)DHCP模塊以動(dòng)態(tài)地向客戶(hù)機(jī)分配地址����。SNOWNET應(yīng)用程序接口(API)514提供應(yīng)用程序開(kāi)發(fā)接口,從而其他應(yīng)用程序520和服務(wù)522的開(kāi)發(fā)者可以訪(fǎng)問(wèn)低級(jí)的SNOWNET專(zhuān)有特征��,比如路由表信息(如圖9所示)��?��?梢栽赟NOWNET網(wǎng)絡(luò)300中實(shí)現(xiàn)的應(yīng)用的示例包括無(wú)線(xiàn)語(yǔ)音�����、流式數(shù)據(jù)和許多其他網(wǎng)絡(luò)功能��。在一個(gè)實(shí)施例中����,為網(wǎng)絡(luò)層(Network Layer)512和客戶(hù)驗(yàn)證模塊(Client Authentication Module)526定義并實(shí)施API,包括C語(yǔ)言的程序調(diào)用����。
SNOWNET網(wǎng)絡(luò)層512實(shí)施為對(duì)SNOWNET節(jié)點(diǎn)302的其他中間件組件的網(wǎng)絡(luò)服務(wù)����。這些可選的SNOWNET中間件組件可以包括服務(wù)質(zhì)量(Qualityof Service)模塊524、服務(wù)安全(Security of Service)模塊524��、信任管理算法530以及客戶(hù)機(jī)驗(yàn)證模塊526�����。服務(wù)質(zhì)量模塊524控制分配給各個(gè)客戶(hù)機(jī)的通信帶寬的共享���。服務(wù)安全模塊524根據(jù)客戶(hù)的需要提供附加的安全級(jí)別����。信任管理算法處理系統(tǒng)的初始自舉的規(guī)則并允許未知的客戶(hù)機(jī)或路由器成為系統(tǒng)的一部分?����?蛻?hù)機(jī)驗(yàn)證模塊526實(shí)施802.1x策略以準(zhǔn)入并識(shí)別客戶(hù)機(jī)����,這在以下進(jìn)行詳細(xì)說(shuō)明。
各個(gè)SNOWNET節(jié)點(diǎn)302還具有支持客戶(hù)機(jī)528安全漫游的模塊���。在客戶(hù)機(jī)310從一個(gè)SNOWNET節(jié)點(diǎn)的本地服務(wù)區(qū)移動(dòng)到另一個(gè)節(jié)點(diǎn)的本地服務(wù)區(qū)時(shí)��,該模塊將該客戶(hù)機(jī)的“信任和證書(shū)”從一個(gè)SNOWNET節(jié)點(diǎn)302傳送到另一個(gè)SNOWNET節(jié)點(diǎn)302�。借助該模塊528����,客戶(hù)機(jī)310不需要在新的本地服務(wù)區(qū)中重新通過(guò)全部驗(yàn)證過(guò)程。因此���,客戶(hù)機(jī)310由兩個(gè)SNOWNET節(jié)點(diǎn)提供服務(wù)之間的時(shí)間間隔較小���,越區(qū)切換比較平滑��。
SNOWNET節(jié)點(diǎn)302可選地容納驗(yàn)證服務(wù)器534��,比如提供所有必須的證書(shū)檢查����、生成密鑰和存儲(chǔ)證書(shū)信息的RADIUS服務(wù)器303��。
現(xiàn)在說(shuō)明本發(fā)明的SNOWNET的安全特征�,包括IEEE 802.1x的SNOWNET實(shí)施、SNOWNET的PASS���,以及越區(qū)切換時(shí)的驗(yàn)證和安全����。
以下參照?qǐng)D5描述IEEE 802.1x特征的SNOWNET實(shí)施���。
如圖5所示,請(qǐng)求方(或客戶(hù)機(jī))310通過(guò)SNOWNET節(jié)點(diǎn)302的接入點(diǎn)接口接入300��。SNOWNET節(jié)點(diǎn)302作為驗(yàn)證方��,并與驗(yàn)證服務(wù)器303通信����。
如果SNOWNET 300的網(wǎng)絡(luò)環(huán)境容許與RADIUS服務(wù)器(C.Rigney����,A.Rubens�����,W.Simpson和S.Willens�,″Remote Authentication Dial InUser Services(RADIUS)″,RFC 2138��,1997年4月)的連接性���,則SNOWNET300可以將現(xiàn)存組織RADIUS服務(wù)器用作后端驗(yàn)證服務(wù)器303��。否則�����,通過(guò)運(yùn)行RADIUS服務(wù)器軟件將一個(gè)SNOWNET節(jié)點(diǎn)302配置為驗(yàn)證服務(wù)器303�����。在SNOWNET部署之前���,該節(jié)點(diǎn)303將所有必要的證書(shū)下載到他的系統(tǒng)存儲(chǔ)器404中�����,從而它可以執(zhí)行驗(yàn)證工作�。這些證書(shū)包括用于SNOWNET節(jié)點(diǎn)302的證書(shū)以及用于所有授權(quán)客戶(hù)機(jī)的證書(shū)�����?���?梢詫⒅T如系統(tǒng)存儲(chǔ)器和高性能CPU的附加硬件資源安裝到驗(yàn)證服務(wù)器節(jié)點(diǎn)303上,以改善性能���。在部署過(guò)程中�����,必須在打開(kāi)任何一個(gè)其他SNOWNET節(jié)點(diǎn)302之前激活RADIUS服務(wù)器節(jié)點(diǎn)303,并保持激活直到所有其他SNOWNET節(jié)點(diǎn)302關(guān)閉�。
在IEEE 802.1x架構(gòu)中,提供本地網(wǎng)絡(luò)接入服務(wù)的SNOWNET節(jié)點(diǎn)302利用客戶(hù)機(jī)驗(yàn)證模塊526可以用作驗(yàn)證器��。常規(guī)的移動(dòng)客戶(hù)機(jī)310是請(qǐng)求方。SNOWNET與請(qǐng)求方功能的任何現(xiàn)有的標(biāo)準(zhǔn)實(shí)施���,例如Windows XP����、Xsupplicant等兼容����。為了執(zhí)行驗(yàn)證器功能,SNOWNET節(jié)點(diǎn)302中的客戶(hù)機(jī)驗(yàn)證模塊526運(yùn)行Open1X驗(yàn)證器軟件����,這是IEEE 802.1x驗(yàn)證器526的開(kāi)放源實(shí)施(Open1x,請(qǐng)見(jiàn)www.open1x.org)��。通過(guò)提供附加特性��,例如���,移動(dòng)客戶(hù)機(jī)與網(wǎng)絡(luò)之間的互相驗(yàn)證以及動(dòng)態(tài)密鑰旋轉(zhuǎn)(dynamic keyrotation)���,SNOWNET客戶(hù)機(jī)驗(yàn)證模塊526增強(qiáng)了標(biāo)準(zhǔn)IEEE 802.1x的安全性。移動(dòng)客戶(hù)機(jī)310與SNOWNET網(wǎng)絡(luò)300之間的互相驗(yàn)證是由驗(yàn)證處理的成功完成實(shí)現(xiàn)的�����,因?yàn)檫@只有客戶(hù)機(jī)310和SNOWNET節(jié)點(diǎn)302都利用公共密鑰基礎(chǔ)設(shè)施恰當(dāng)?shù)刈R(shí)別之后才能完成。動(dòng)態(tài)密鑰(其中通過(guò)SNOWNET網(wǎng)絡(luò)300周期性地改變安全加密密鑰并重新分配)是SNOWNET 300所支持的一項(xiàng)特征���。
SNOWNET 300中的客戶(hù)機(jī)和網(wǎng)絡(luò)相互驗(yàn)證過(guò)程的細(xì)節(jié)如下所述��。在移動(dòng)客戶(hù)機(jī)310與驗(yàn)證SNOWNET節(jié)點(diǎn)302的EAP握手(handshake)期間����,客戶(hù)機(jī)310發(fā)送EAP開(kāi)始消息��,而SNOWNET節(jié)點(diǎn)302返回請(qǐng)求用戶(hù)身份的EAP消息�。客戶(hù)機(jī)310返回由公共密鑰加密機(jī)制利用驗(yàn)證服務(wù)器300公共密鑰公共密鑰加密的證書(shū)����。然后,驗(yàn)證器302將該加密的證書(shū)轉(zhuǎn)發(fā)到驗(yàn)證服務(wù)器303�����。驗(yàn)證服務(wù)器303檢驗(yàn)該客戶(hù)機(jī)證書(shū)�,而且如果該證書(shū)有效����,則驗(yàn)證服務(wù)器303為該客戶(hù)機(jī)生成對(duì)話(huà)密鑰(session key)�,并將該對(duì)話(huà)密鑰發(fā)送到客戶(hù)機(jī)310和驗(yàn)證器303���。利用該對(duì)話(huà)密鑰�,AP 302對(duì)本地共享的WEP密鑰進(jìn)行加密�,并將加密的共享密鑰發(fā)送到客戶(hù)機(jī)310。為了支持互相驗(yàn)證��,驗(yàn)證服務(wù)器303還利用客戶(hù)機(jī)310的公共密鑰對(duì)整個(gè)SNOWNET 300的證書(shū)進(jìn)行加密�,并將加密的證書(shū)發(fā)送到客戶(hù)機(jī)310,從而客戶(hù)機(jī)310也可以驗(yàn)證網(wǎng)絡(luò)��。如果客戶(hù)機(jī)310接受該網(wǎng)絡(luò)證書(shū)���,則它對(duì)本地共享WEP密鑰進(jìn)行解密���,將該共享密鑰配置到其IEEE 802.11設(shè)備中,然后開(kāi)始接入網(wǎng)絡(luò)300����。
利用同一個(gè)RADIUS服務(wù)器303,SNOWNET 300可以周期性地動(dòng)態(tài)更新用于在客戶(hù)機(jī)310與AP 302之間進(jìn)行通信的共享密鑰�����。在客戶(hù)機(jī)310與網(wǎng)絡(luò)300斷開(kāi)時(shí),SNOWNET 300不需要更新共享密鑰����,因?yàn)榇藭r(shí)使用的共享密鑰將迅速被周期性的密鑰刷新所替換。
以下說(shuō)明SNOWNET的PASS在上面的小節(jié)中�,集中說(shuō)明了在移動(dòng)客戶(hù)機(jī)(請(qǐng)求方)310與驗(yàn)證器302之間如何進(jìn)行驗(yàn)證和如何進(jìn)行加密密鑰管理。在本小節(jié)中�,將說(shuō)明SNOWNET節(jié)點(diǎn)302自身之間的驗(yàn)證過(guò)程和密鑰管理過(guò)程。
PASS指SNOWNET的傳播驗(yàn)證方案(Propagative AuthenticationScheme for SNOWNET)��,這在下面進(jìn)行說(shuō)明����。
當(dāng)?shù)湫偷?02.11 WLAN采用IEEE 802.1x時(shí),一個(gè)隱含的假設(shè)是存在有線(xiàn)基礎(chǔ)設(shè)施(包括接入點(diǎn)和互連各接入點(diǎn)的網(wǎng)絡(luò)電纜)��,各接入點(diǎn)(AP)之間的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是靜態(tài)的�,而且AP是可信的實(shí)體。因此�����,在請(qǐng)求方(移動(dòng)客戶(hù)機(jī))與驗(yàn)證器(AP)的作用之間存在明顯的不同,沒(méi)有AP的驗(yàn)證問(wèn)題�,因?yàn)樗麄兪峭ㄟ^(guò)較安全的有線(xiàn)連接安裝并連接的。
在SNOWNET 300中���,主干網(wǎng)306是無(wú)線(xiàn)和動(dòng)態(tài)的,在正常操作期間��,新的SNOWNET節(jié)點(diǎn)302可以加入到主干網(wǎng)306中�����,別的SNOWNET節(jié)點(diǎn)302也可以離開(kāi)主干網(wǎng)306����。在這些新節(jié)點(diǎn)302可以對(duì)常規(guī)移動(dòng)客戶(hù)機(jī)310提供網(wǎng)絡(luò)接入服務(wù)和驗(yàn)證服務(wù)之前,它們首先需要獲準(zhǔn)連接到主干網(wǎng)306��。換句話(huà)說(shuō)����,還必須在SNOWNET 300內(nèi)對(duì)各SNOWNET節(jié)點(diǎn)302本身進(jìn)行驗(yàn)證。這種新的驗(yàn)證方案稱(chēng)為“SNOWNET的傳播驗(yàn)證方案”或PASS����,其中PASS模塊516中實(shí)施。
PASS的一個(gè)特征是各個(gè)SNOWNET節(jié)點(diǎn)302具有的雙重作用。在成為SNOWNET主干網(wǎng)306的一部分之前���,SNOWNET節(jié)點(diǎn)302作為IEEE 802.1x架構(gòu)中的請(qǐng)求方���。SNOWNET節(jié)點(diǎn)302在PASS模塊516中包含作為請(qǐng)求方的所有必要軟件,即用于SNOWNET節(jié)點(diǎn)302的Linux/BSD實(shí)施的Xsupplicant��。SNOWNET節(jié)點(diǎn)302經(jīng)歷與任何一個(gè)移動(dòng)客戶(hù)機(jī)請(qǐng)求方同樣的處理�,以通過(guò)它自己與現(xiàn)存SNOWNET 300之間的相互驗(yàn)證階段。成功驗(yàn)證之后��,新SNOWNET節(jié)點(diǎn)302被提供了主干網(wǎng)306的共享通信密鑰��,因此它可以參與主干通信���。
只有在獲準(zhǔn)連接到主干網(wǎng)306上之后����,新SNOWNET節(jié)點(diǎn)302才開(kāi)始對(duì)其本地客戶(hù)機(jī)310提供網(wǎng)絡(luò)接入服務(wù)���。在新SNOWNET節(jié)點(diǎn)302向下執(zhí)行之前���,新SNOWNET節(jié)點(diǎn)302首先需要通過(guò)開(kāi)始執(zhí)行其帶有驗(yàn)證器軟件的客戶(hù)機(jī)驗(yàn)證模塊526而成為驗(yàn)證器�����。在正常運(yùn)行過(guò)程中��,各個(gè)SNOWNET節(jié)點(diǎn)302負(fù)責(zé)驗(yàn)證本地移動(dòng)客戶(hù)機(jī)310和新SNOWNET節(jié)點(diǎn)302���。利用RADIUS服務(wù)器節(jié)點(diǎn)303�,以遞增和傳播的方式建立安全與經(jīng)過(guò)驗(yàn)證的主干網(wǎng)306,因此將該過(guò)程稱(chēng)為SNOWNET的傳播驗(yàn)證方案(PASS)���。
所有經(jīng)過(guò)驗(yàn)證的SNOWNET節(jié)點(diǎn)使用同一個(gè)密鑰來(lái)對(duì)主干通信進(jìn)行加密�。和客戶(hù)機(jī)-AP對(duì)話(huà)密鑰一樣�����,這個(gè)共享密鑰周期性地改變�。RADIUS服務(wù)器303將用于主干通信的共享密鑰與用于移動(dòng)客戶(hù)機(jī)310的密鑰分開(kāi)管理。
現(xiàn)在說(shuō)明越區(qū)切換期間的驗(yàn)證與安全在移動(dòng)客戶(hù)機(jī)310從一個(gè)SNOWNET節(jié)點(diǎn)302的服務(wù)區(qū)移動(dòng)到另一個(gè)SNOWNET節(jié)點(diǎn)302的服務(wù)區(qū)時(shí)��,執(zhí)行幾個(gè)任務(wù)以確保移動(dòng)客戶(hù)機(jī)310不中斷地接收數(shù)據(jù)業(yè)務(wù)�。
一般的說(shuō),在802.11 WLAN中漫游時(shí)��,要發(fā)生的第一個(gè)事件就是鏈路層越區(qū)切換。即�����,在發(fā)生一些預(yù)定的觸發(fā)事件時(shí)��,移動(dòng)客戶(hù)機(jī)310與其當(dāng)前AP之間的通信鏈路被斷開(kāi)��,而在該移動(dòng)客戶(hù)機(jī)310與新AP之間建立新通信鏈路�。然后系統(tǒng)進(jìn)行網(wǎng)絡(luò)層越區(qū)切換。也就是說(shuō)����,移動(dòng)客戶(hù)機(jī)(與其新AP)建立新的拓?fù)溥B接,并將該信息傳播到整個(gè)網(wǎng)絡(luò)����,從而來(lái)自/發(fā)往該移動(dòng)客戶(hù)機(jī)的數(shù)據(jù)業(yè)務(wù)可以正確地進(jìn)行。在本小節(jié)中���,我們主要討論與鏈路層越區(qū)切換期間的驗(yàn)證和安全有關(guān)的問(wèn)題�。在下一小節(jié)中將說(shuō)明網(wǎng)絡(luò)層的越區(qū)切換����。
鏈路層越區(qū)切換過(guò)程的細(xì)節(jié)根據(jù)鏈路層技術(shù)的不同而不同��。對(duì)于當(dāng)前的IEEE 802.11 WLAN技術(shù)���,以“先斷后合”方式進(jìn)行鏈路層越區(qū)切換。在移動(dòng)客戶(hù)機(jī)發(fā)現(xiàn)來(lái)自其當(dāng)前AP的信號(hào)質(zhì)量降低到低于預(yù)定閾值時(shí)�,它試圖找到具有更好信號(hào)質(zhì)量的新AP。它可以選擇向其當(dāng)前AP發(fā)送斷開(kāi)消息以通報(bào)這個(gè)斷開(kāi)����,從而該AP可以去除為該移動(dòng)客戶(hù)機(jī)存儲(chǔ)的任何狀態(tài)。然后�,該移動(dòng)客戶(hù)機(jī)對(duì)所有的信道進(jìn)行掃描以確定可用AP及其特性并選擇其新的目標(biāo)AP����。
在選擇了新AP后,802.11標(biāo)準(zhǔn)規(guī)定新AP對(duì)移動(dòng)客戶(hù)機(jī)執(zhí)行驗(yàn)證步驟��。然而����,如上所述,802.11的共享密鑰驗(yàn)證方案無(wú)效���。相反�����,許多已經(jīng)部署的802.11系統(tǒng)是缺省地對(duì)任何移動(dòng)客戶(hù)機(jī)進(jìn)行驗(yàn)證的開(kāi)放系統(tǒng)�����。
驗(yàn)證之后�,通過(guò)向新AP發(fā)送關(guān)聯(lián)請(qǐng)求(Association Request),移動(dòng)客戶(hù)機(jī)試圖連接到該新AP�����。接收到關(guān)聯(lián)請(qǐng)求后���,AP發(fā)回關(guān)聯(lián)響應(yīng)(Association Response)����。如果接受請(qǐng)求��,則該響應(yīng)含有“成功”值�。在接收到具有“成功”的關(guān)聯(lián)響應(yīng)后,移動(dòng)客戶(hù)機(jī)確認(rèn)接收到該消息���。然后�,建立新連接,而且移動(dòng)客戶(hù)機(jī)通過(guò)新AP進(jìn)行發(fā)送和接收�。
同樣,在SNOWNET 300中��,在移動(dòng)客戶(hù)機(jī)310從一個(gè)SNOWNET節(jié)點(diǎn)302的接入服務(wù)區(qū)漫游到另一個(gè)SNOWNET節(jié)點(diǎn)302的接入服務(wù)區(qū)時(shí)�����,移動(dòng)客戶(hù)機(jī)310執(zhí)行掃描�����、驗(yàn)證以及關(guān)聯(lián)的功能�。
SNOWNET 300采用優(yōu)化的掃描方案以減少完成掃描所需的時(shí)間。移動(dòng)客戶(hù)機(jī)310對(duì)所有信道進(jìn)行掃描的原因是�����,客戶(hù)機(jī)310不知道在其所在區(qū)域內(nèi)哪個(gè)SNOWNET節(jié)點(diǎn)302可用��。將移動(dòng)客戶(hù)機(jī)310的網(wǎng)絡(luò)接口設(shè)置為混雜模式(promiscuous mode)不能解決該問(wèn)題���,因?yàn)镾NOWNET節(jié)點(diǎn)302可能在不是客戶(hù)機(jī)310當(dāng)前信道的不同信道上工作,因此仍不可得知����。在SNOWNET 300中���,即使在正常工作過(guò)程中,客戶(hù)機(jī)310仍可以進(jìn)行掃描操作以持續(xù)監(jiān)視附近SNOWNET節(jié)點(diǎn)302的可用性及其特性��。僅在不中斷正在進(jìn)行的通信的情況下進(jìn)行該監(jiān)視掃描過(guò)程���,而在擔(dān)心電池的使用時(shí)間時(shí)不進(jìn)行監(jiān)視掃描�。利用最近偵聽(tīng)到的鄰近SNOWNET節(jié)點(diǎn)302的列表����,移動(dòng)客戶(hù)機(jī)310可以?xún)H關(guān)注那些位于“最近偵聽(tīng)”列表中而且具有良好信號(hào)質(zhì)量的SNOWNET節(jié)點(diǎn)302。因此���,不需要進(jìn)行全面信道掃描���,因此減少了移動(dòng)客戶(hù)機(jī)310選擇其新服務(wù)節(jié)點(diǎn)302花費(fèi)的時(shí)間。對(duì)于“最近偵聽(tīng)”列表剛剛建立的情況�,移動(dòng)客戶(hù)機(jī)310可以立即從該列表中直接選擇其新服務(wù)節(jié)點(diǎn),而無(wú)需另外掃描����。
SNOWNET 300中的關(guān)聯(lián)過(guò)程類(lèi)似于當(dāng)前的802.11標(biāo)準(zhǔn)規(guī)定的關(guān)聯(lián)過(guò)程�����,因此在此不做說(shuō)明��。本小節(jié)集中說(shuō)明與漫游相關(guān)的驗(yàn)證和安全��。
驗(yàn)證是既需要通信又需要處理資源的非常長(zhǎng)的處理過(guò)程���。因此,在越區(qū)切換期間����,最好不進(jìn)行驗(yàn)證。本發(fā)明包括一種可以以最小延遲�,平滑、安全地將移動(dòng)客戶(hù)機(jī)310定位到其新接入服務(wù)區(qū)的驗(yàn)證與安全越區(qū)切換機(jī)制���。該機(jī)制基于公共密鑰系統(tǒng)�。假定所有SNOWNET節(jié)點(diǎn)302具有一對(duì)密鑰一個(gè)公共密鑰和一個(gè)私有密鑰�����。各個(gè)SNOWNET節(jié)點(diǎn)302知道其他相鄰SNOWNET節(jié)點(diǎn)302的公共密鑰�����。各個(gè)移動(dòng)客戶(hù)機(jī)310也知道附近SNOWNET節(jié)點(diǎn)302的公共密鑰�����。通過(guò)進(jìn)行預(yù)先安裝���,或者利用外部公共密鑰交換協(xié)議�,可以實(shí)現(xiàn)這個(gè)特征�����。
在需要這種驗(yàn)證與安全越區(qū)切換服務(wù)時(shí)���,移動(dòng)客戶(hù)機(jī)310需要請(qǐng)求其當(dāng)前SNOWNET服務(wù)節(jié)點(diǎn)302提供話(huà)單(ticket)���。該話(huà)單含有諸如該移動(dòng)客戶(hù)機(jī)的身份和當(dāng)前接入服務(wù)SNOWNET節(jié)點(diǎn)的身份的信息。話(huà)單還含有諸如發(fā)出該話(huà)單的時(shí)間���、其有效時(shí)間����、對(duì)話(huà)密鑰傳輸密鑰、校驗(yàn)和等的其他字段����。該話(huà)單還可以在實(shí)際字段之前和之后含有一些隨機(jī)填充比特。SNOWNET節(jié)點(diǎn)302利用其私有密鑰對(duì)該話(huà)單加密��。然后�����,將加密話(huà)單發(fā)送到發(fā)出請(qǐng)求的移動(dòng)客戶(hù)機(jī)310����。因?yàn)橥ㄟ^(guò)在移動(dòng)客戶(hù)機(jī)310與其當(dāng)前SNOWNET服務(wù)節(jié)點(diǎn)302之間建立的安全通信對(duì)話(huà)傳送該話(huà)單,所以這種傳送是安全的����。
可選的,如果移動(dòng)客戶(hù)機(jī)310支持公共密鑰密碼系統(tǒng)而且具有對(duì)利用不對(duì)稱(chēng)密碼系統(tǒng)加密的消息進(jìn)行解密的計(jì)算資源����,則SNOWNET節(jié)點(diǎn)302可以利用移動(dòng)客戶(hù)機(jī)的公共密鑰對(duì)已經(jīng)加密的話(huà)單(利用SNOWNET節(jié)點(diǎn)的私有密鑰)進(jìn)行再次加密。接收到這種雙重加密話(huà)單后���,移動(dòng)客戶(hù)機(jī)310利用移動(dòng)客戶(hù)機(jī)的私有密鑰對(duì)話(huà)單進(jìn)行解密����,并存儲(chǔ)該話(huà)單(其還是由服務(wù)節(jié)點(diǎn)的公共密鑰加密過(guò))�。這樣,即使第三方捕獲到這種話(huà)單����,仍不能對(duì)該話(huà)單進(jìn)行解密。
移動(dòng)客戶(hù)機(jī)310選擇了其新SNOWNET服務(wù)節(jié)點(diǎn)302后�����,它需要向新SNOWNET節(jié)點(diǎn)302發(fā)送再驗(yàn)證請(qǐng)求消息���。該消息含有它自己的身份����、其先前服務(wù)節(jié)點(diǎn)的身份以及存儲(chǔ)的話(huà)單�。利用新服務(wù)節(jié)點(diǎn)的公共密鑰對(duì)該消息進(jìn)行加密。
在收到這種再驗(yàn)證消息后���,新服務(wù)節(jié)點(diǎn)302首先利用其自己的私有密鑰對(duì)該消息進(jìn)行解密����。然后,新服務(wù)節(jié)點(diǎn)302利用先前服務(wù)節(jié)點(diǎn)的公共密鑰對(duì)包含在該消息內(nèi)的話(huà)單(仍然由先前服務(wù)節(jié)點(diǎn)的私有密鑰加密的)進(jìn)行解密�。如果該話(huà)單有效,則服務(wù)節(jié)點(diǎn)302為該移動(dòng)客戶(hù)機(jī)310生成臨時(shí)通信對(duì)話(huà)密鑰���。該服務(wù)節(jié)點(diǎn)302向客戶(hù)機(jī)310發(fā)送具有“成功”標(biāo)志的再驗(yàn)證響應(yīng)消息�。利用包含在話(huà)單內(nèi)的對(duì)話(huà)密鑰傳輸密鑰對(duì)該消息進(jìn)行加密����,并通過(guò)開(kāi)放信道將它發(fā)送到移動(dòng)客戶(hù)機(jī)310。收到該臨時(shí)通信對(duì)話(huà)密鑰后�,移動(dòng)客戶(hù)機(jī)310可以通過(guò)新服務(wù)節(jié)點(diǎn)302發(fā)送和接收消息業(yè)務(wù)。
臨時(shí)通信對(duì)話(huà)密鑰僅在短時(shí)間內(nèi)有效���。在它過(guò)期后�,不允許將該臨時(shí)通信對(duì)話(huà)密鑰用于移動(dòng)客戶(hù)機(jī)310與其新服務(wù)節(jié)點(diǎn)302之間的通信�。因此,在該臨時(shí)通信對(duì)話(huà)密鑰的有效窗口內(nèi)��,移動(dòng)客戶(hù)機(jī)310必須完成本小節(jié)以上描述的正常移動(dòng)客戶(hù)機(jī)驗(yàn)證過(guò)程�����。也就是說(shuō),對(duì)于要驗(yàn)證的客戶(hù)機(jī)310���,需要將其證書(shū)發(fā)送到SNOWNET 300的RADIUS服務(wù)器303����。經(jīng)過(guò)RADIUS服務(wù)器303的驗(yàn)證后�,RADIUS服務(wù)器303開(kāi)始以正常方式發(fā)放并管理用于移動(dòng)客戶(hù)機(jī)310與服務(wù)節(jié)點(diǎn)302之間的通信的對(duì)話(huà)密鑰����。
SNOWNET尋址在說(shuō)明SNOWNET中怎么進(jìn)行數(shù)據(jù)傳送之前,先詳細(xì)說(shuō)明怎樣管理地址���。
SNOWNET節(jié)點(diǎn)可以具有多個(gè)通信接口�����,各具有全球唯一的標(biāo)識(shí)符��,就是該接口的硬件地址����。這種地址用于通信接口之間的鏈路層通信中��,使各個(gè)接口相互尋址。因?yàn)殒溌穼油ㄐ磐ǔJ怯山橘|(zhì)訪(fǎng)問(wèn)控制(MediumAccess Control���,MAC)協(xié)議處理�����,所以硬件地址通常也稱(chēng)為MAC地址����。在各種尋址標(biāo)準(zhǔn)中���,IEEE 802.3(Ethernet)標(biāo)準(zhǔn)是最為廣泛接受的����。幾乎所有的新近的MAC協(xié)議標(biāo)準(zhǔn)都采用了相同的48位地址格式����。因?yàn)镸AC地址是由制造商分配給通信接口的,并且他們是全球唯一的�����,所以他們通常也用作他們的主機(jī)設(shè)備的唯一標(biāo)識(shí)符�����。對(duì)于具有多于一個(gè)通信接口(也就是多個(gè)MAC地址)的SNOWNET節(jié)點(diǎn),使用最低MAC地址作為該SNOWNET節(jié)點(diǎn)的唯一節(jié)點(diǎn)標(biāo)識(shí)符���。
盡管MAC地址是全球唯一的����,但根據(jù)硬件制造商對(duì)他們進(jìn)行管理和組織��。為了使計(jì)算設(shè)備能夠在全球范圍內(nèi)相互通信�,通常采用基于設(shè)備的連接位置�����,而不是設(shè)備制造商的更加層級(jí)結(jié)構(gòu)的尋址方案��。因此各個(gè)通信接口還分配有網(wǎng)絡(luò)層地址����,稱(chēng)為互聯(lián)網(wǎng)協(xié)議(IP)地址。各個(gè)IP地址標(biāo)識(shí)了互聯(lián)網(wǎng)上可全球?qū)ぶ返耐ㄐ哦它c(diǎn)�����。各個(gè)IP地址具有網(wǎng)絡(luò)地址部分和主機(jī)地址部分。這些網(wǎng)絡(luò)地址也是分層管理的����。也就是說(shuō),網(wǎng)絡(luò)可以劃分為多個(gè)子網(wǎng)�,子網(wǎng)又可以進(jìn)一步劃分為更小的子網(wǎng)。這種全球路由架構(gòu)也是分層的�。在最高層,路由器僅具有大的��、自發(fā)管理的網(wǎng)絡(luò)(即互聯(lián)網(wǎng)服務(wù)提供商(ISP)的網(wǎng)絡(luò))的路由入口�。在較低的層,例如����,自發(fā)管理網(wǎng)絡(luò)內(nèi)的路由器可以具有該網(wǎng)絡(luò)內(nèi)的子網(wǎng)的路由入口。
網(wǎng)絡(luò)地址是由數(shù)字和長(zhǎng)度規(guī)定的��。長(zhǎng)度規(guī)定了有多少位(從最高有效位開(kāi)始)是用于IP地址中的網(wǎng)絡(luò)地址��。IP地址的其余位可以用于尋址網(wǎng)絡(luò)內(nèi)的其他實(shí)體����。這些地址一起稱(chēng)為網(wǎng)絡(luò)(或子網(wǎng))的地址空間。因此,網(wǎng)絡(luò)地址越短���,該網(wǎng)絡(luò)就越大���,該網(wǎng)絡(luò)的地址空間也越大。
最小的子網(wǎng)稱(chēng)為廣播域(broadcast domain)���,因?yàn)橹挥性谶@個(gè)級(jí)別上廣播MAC地址FF:FF:FF:FF:FF:FF才有效�����。設(shè)備可以用這個(gè)廣播地址來(lái)與該廣播域中的所有設(shè)備通信����。如上所述�����,IP地址需要映射到MAC地址上以進(jìn)行鏈路層通信�����。IP地址和MAC地址之間的映射也僅在廣播域中有效�����,因?yàn)橹挥性谕粡V播域中設(shè)備才能使用廣播MAC地址來(lái)相互查詢(xún)IP地址和MAC地址之間的映射�。
以下將要詳細(xì)描述,SNOWNET可以在兩種不同的數(shù)據(jù)傳送模式下進(jìn)行操作橋接模式和路由模式�。在這兩種模式下地址管理也是不同的。
當(dāng)SNOWNET在橋接模式下操作時(shí)���,其IP地址管理非常簡(jiǎn)單���。整個(gè)SNOWNET是一個(gè)廣播域。所有的設(shè)備�,包括SNOWNET設(shè)備和客戶(hù)機(jī)設(shè)備共享同一個(gè)IP地址空間。將一個(gè)特殊的SNOWNET節(jié)點(diǎn)配置為DHCP服務(wù)器���,管理整個(gè)網(wǎng)絡(luò)的IP地址分配��。其具有一個(gè)地址池(address pool)以發(fā)放給客戶(hù)機(jī)和SNOWNET節(jié)點(diǎn)設(shè)備����。過(guò)期的IP地址返回到地址池中以備將來(lái)分配�����。新的設(shè)備(可以是SNOWNET節(jié)點(diǎn)或客戶(hù)機(jī)設(shè)備)通過(guò)驗(yàn)證后,會(huì)發(fā)出DHCP請(qǐng)求��,要求IP地址分配和其他相關(guān)的IP通信參數(shù)���,比如該SNOWNET的默認(rèn)路由器和域名服務(wù)器(DNS)的地址���。這個(gè)請(qǐng)求廣播到該SNOWNET中的所有設(shè)備,包括DHCP服務(wù)器節(jié)點(diǎn)��。除DHCP服務(wù)器節(jié)點(diǎn)之外�����,所有其他的節(jié)點(diǎn)會(huì)忽略這個(gè)請(qǐng)求�����,DHCP服務(wù)器節(jié)點(diǎn)用從他的IP地址池中分配的IP地址來(lái)回復(fù)這個(gè)請(qǐng)求�����。所請(qǐng)求的其他參數(shù)也包含在這個(gè)回復(fù)消息中�����。這個(gè)回復(fù)被發(fā)送回該新設(shè)備�,新設(shè)備可以使用所分配的IP地址和其他參數(shù)來(lái)配置自己。
當(dāng)SNOWNET在路由模式下操作時(shí)��,地址管理要復(fù)雜得多��。不能由一個(gè)實(shí)體來(lái)管理整個(gè)SNOWNET的地址��,因?yàn)镾NOWNET可以劃分為多個(gè)子網(wǎng)����。典型的配置是提供本地接入服務(wù)的各個(gè)SNOWNET節(jié)點(diǎn)具有自己的子網(wǎng),并且管理這些子網(wǎng)內(nèi)的尋址����。為SNOWNET節(jié)點(diǎn)的主干接口分配單獨(dú)的子網(wǎng)地址空間。路由模式SNOWNET的管理者需要配置這個(gè)單獨(dú)的主干子網(wǎng)的地址空間���。
在新的SNOWNET節(jié)點(diǎn)被接受進(jìn)網(wǎng)絡(luò)中后�,需要向新的節(jié)點(diǎn)分配地址�����。這些地址包括該節(jié)點(diǎn)的主干接口的地址和其服務(wù)接口的地址空間���。這可以由SNOWNET分布式地實(shí)現(xiàn)�����。新節(jié)點(diǎn)向作為其驗(yàn)證器的SNOWNET節(jié)點(diǎn)發(fā)送一個(gè)地址請(qǐng)求(Address Request)���,請(qǐng)求其主干接口的地址和其本地服務(wù)接口的地址空間�。通過(guò)在其路由表中查詢(xún)?cè)揝NOWNET的已知地址和地址空間���,驗(yàn)證器節(jié)點(diǎn)把未使用的地址和地址空間分配給新節(jié)點(diǎn)���,并把這些分配結(jié)果發(fā)送回發(fā)出請(qǐng)求的節(jié)點(diǎn)。
因?yàn)檫@個(gè)問(wèn)題的分布式特性����,上述地址分配可能會(huì)與SNOWNET內(nèi)的其他節(jié)點(diǎn)發(fā)生沖突。這可能是因?yàn)轵?yàn)證器未完善地了解整個(gè)網(wǎng)絡(luò)中的地址使用情況�,也可能是因?yàn)橥籗NOWNET的遠(yuǎn)距離部分的另一個(gè)新節(jié)點(diǎn)同時(shí)向一個(gè)不同的驗(yàn)證器節(jié)點(diǎn)請(qǐng)求地址。如果出現(xiàn)并隨后檢測(cè)到了這種沖突����,則根據(jù)相關(guān)節(jié)點(diǎn)的標(biāo)識(shí)符來(lái)解決這個(gè)問(wèn)題���。具有較低節(jié)點(diǎn)標(biāo)識(shí)符的SNOWNET節(jié)點(diǎn)可以保持其地址�����,其他方則需要放棄其地址并重新進(jìn)行地址請(qǐng)求和選擇過(guò)程��。
因?yàn)镮P地址的短缺���,通常的做法是管理者對(duì)于其管理之下的計(jì)算機(jī)使用“專(zhuān)用地址”�。這些地址是和任何其他地址具有相同格式的IP地址�。但是,他們只能在專(zhuān)用網(wǎng)絡(luò)中使用��,以尋址同一專(zhuān)用網(wǎng)絡(luò)中的設(shè)備��。這種地址不能在專(zhuān)用網(wǎng)絡(luò)之外使用�。因此,具有專(zhuān)用地址的設(shè)備不是真正的“可全球?qū)ぶ贰薄?br>
專(zhuān)用網(wǎng)絡(luò)中的設(shè)備不能使用他們的專(zhuān)用地址與其專(zhuān)用網(wǎng)絡(luò)之外的設(shè)備通信�。不同的專(zhuān)用網(wǎng)絡(luò)可以使用相同的專(zhuān)用網(wǎng)絡(luò)地址空間,因?yàn)檫@些設(shè)備不會(huì)使用他們的專(zhuān)用地址來(lái)與不同專(zhuān)用網(wǎng)絡(luò)中的設(shè)備進(jìn)行通信����。
解決這個(gè)問(wèn)題的方案稱(chēng)作網(wǎng)絡(luò)地址轉(zhuǎn)換(Network AddressTranslation,NAT)���,也就是說(shuō)�����,既與專(zhuān)用網(wǎng)絡(luò)相連又與互聯(lián)網(wǎng)相連的節(jié)點(diǎn)需要執(zhí)行網(wǎng)絡(luò)地址轉(zhuǎn)換以在專(zhuān)用網(wǎng)絡(luò)之內(nèi)的設(shè)備與專(zhuān)用網(wǎng)絡(luò)之外的設(shè)備之間進(jìn)行通信���。NAT設(shè)備具有一個(gè)與具有專(zhuān)用地址的專(zhuān)用網(wǎng)絡(luò)相連的接口,從而他可以與同一專(zhuān)用網(wǎng)絡(luò)內(nèi)的設(shè)備進(jìn)行通信�。同一NAT設(shè)備還可以具有一個(gè)與具有公共地址的互聯(lián)網(wǎng)相連的接口,從而他可以與互聯(lián)網(wǎng)上的其他設(shè)備進(jìn)行通信���。
所有的應(yīng)用層通信端點(diǎn)由網(wǎng)絡(luò)層地址(IP地址)和傳輸層地址(用戶(hù)數(shù)據(jù)報(bào)協(xié)議端口或傳輸控制協(xié)議端口���,User Datagram Protocol port或Transmission Control Protocol port)標(biāo)識(shí)。當(dāng)數(shù)據(jù)分組從專(zhuān)用地址設(shè)備發(fā)出時(shí)�����,他首先被傳送到NAT設(shè)備�����。NAT設(shè)備把源節(jié)點(diǎn)的網(wǎng)絡(luò)層地址和傳輸層地址存儲(chǔ)在其N(xiāo)AT表的轉(zhuǎn)換條目中。NAT設(shè)備為這個(gè)數(shù)據(jù)分組分配與這個(gè)源節(jié)點(diǎn)使用的相同傳輸層協(xié)議的未使用端口�����,并把端口號(hào)與源設(shè)備的專(zhuān)用地址和端口號(hào)一起存儲(chǔ)在該表中��。然后把數(shù)據(jù)分組的源網(wǎng)絡(luò)層地址和傳輸層地址替換為他自己的公共IP地址和新分配的端口�����。然后把數(shù)據(jù)分組轉(zhuǎn)發(fā)到其公共網(wǎng)絡(luò)接口之外�。
對(duì)于該通信的另一端���,看起來(lái)這個(gè)通信是由NAT設(shè)備始發(fā)的����,從而返回通信也是利用NAT設(shè)備的公共地址和網(wǎng)絡(luò)層地址和傳輸層地址作為目標(biāo)地址而指向該NAT設(shè)備���。這個(gè)返回?cái)?shù)據(jù)分組到達(dá)NAT設(shè)備后���,該設(shè)備利用目標(biāo)傳輸層地址來(lái)定位轉(zhuǎn)換條目,并找出該條目中的專(zhuān)用IP地址和傳輸層地址�。NAT設(shè)備重新用該轉(zhuǎn)換條目中存儲(chǔ)的網(wǎng)絡(luò)層地址和傳輸層地址替換分組的目標(biāo)網(wǎng)絡(luò)層地址和傳輸層地址,并把分組傳送到其專(zhuān)用網(wǎng)絡(luò)接口之外���,到達(dá)真正的通信端點(diǎn)���。
以上介紹的SNOWNET尋址方案可用于專(zhuān)用地址和公共地址�����,從而SNOWNET的管理者可以根據(jù)有多少I(mǎi)P地址可用來(lái)分配給SNOWNET而選擇一種���。如果SNOWNET使用專(zhuān)用地址,則網(wǎng)關(guān)SNOWNET節(jié)點(diǎn)需要提供NAT功能�����。
數(shù)據(jù)轉(zhuǎn)發(fā)現(xiàn)在說(shuō)明SNOWNET 300的數(shù)據(jù)傳送�����,包括橋接和路由����。
SNOWNET 300對(duì)于主干通信和SNOWNET節(jié)點(diǎn)302及其移動(dòng)客戶(hù)機(jī)310之間的通信使用獨(dú)立的共享WEP密鑰管理程序,從而提供了兩個(gè)單獨(dú)的安全級(jí)別���。
利用根據(jù)為該客戶(hù)機(jī)310提供服務(wù)的SNOWNET節(jié)點(diǎn)302的共享密鑰生成的本地加密密鑰�,對(duì)源客戶(hù)機(jī)310始發(fā)的數(shù)據(jù)分組進(jìn)行加密。AP接口接收該分組�,而且SNOWNET節(jié)點(diǎn)302對(duì)該分組進(jìn)行解密。然后���,如果通過(guò)主干306發(fā)送該分組,則SNOWNET節(jié)點(diǎn)302利用根據(jù)共享主干WEP密鑰生成的加密密鑰重新對(duì)它進(jìn)行加密�����。
SNOWNET節(jié)點(diǎn)302可以在兩種數(shù)據(jù)轉(zhuǎn)發(fā)模式中的一種下工作橋接模式和路由模式�。
橋接模式在SNOWNET節(jié)點(diǎn)302以橋接模式工作時(shí),它們執(zhí)行IEEE 802.1d MACBridge協(xié)議����,這在上面已經(jīng)進(jìn)行了說(shuō)明。在以橋接模式工作時(shí)���,可以將SNOWNET節(jié)點(diǎn)302稱(chēng)為“SNOWNET網(wǎng)橋”305��。
SNOWNET網(wǎng)橋305執(zhí)行生成樹(shù)協(xié)議來(lái)配置他們?cè)谥鞲删W(wǎng)306內(nèi)的傳送拓?fù)浣Y(jié)構(gòu)����。SNOWNET網(wǎng)橋305的生成樹(shù)協(xié)議包含了IEEE 802.1d協(xié)議,并進(jìn)行了修改�,使得SNOWNET網(wǎng)橋端口成為物理和虛擬實(shí)體的混合。SNOWNET網(wǎng)橋的本地服務(wù)接入網(wǎng)絡(luò)接口被SNOWNET網(wǎng)橋305看作是物理端口�。另一方面,主干“端口”是虛擬的���,并且對(duì)于每個(gè)主干網(wǎng)鏈路分配有一個(gè)端口�。也就是說(shuō)�,各個(gè)虛擬端口是由本地主干接口本體和相鄰網(wǎng)橋的主干接口本體的成對(duì)組合所確定的。在一個(gè)實(shí)施例中��,網(wǎng)橋和其所有相鄰網(wǎng)橋之間的通信可以共享同一物理接口�,和廣播鏈路中一樣。所有端口�,無(wú)論是虛擬端口還是物理端口,均需要在SNOWNET節(jié)點(diǎn)302啟動(dòng)生成樹(shù)協(xié)議之前識(shí)別出來(lái)���。在正常運(yùn)行過(guò)程中�,通過(guò)結(jié)合被動(dòng)的業(yè)務(wù)監(jiān)聽(tīng)與主動(dòng)的探查而持續(xù)地監(jiān)視活動(dòng)端口的狀態(tài)����。如果狀態(tài)發(fā)生變化,則執(zhí)行生成樹(shù)協(xié)議的重新配置操作��。
在SNOWNET網(wǎng)橋305形成生成樹(shù)之后,SNOWNET網(wǎng)橋305進(jìn)入學(xué)習(xí)和轉(zhuǎn)發(fā)階段�。在學(xué)習(xí)中,各個(gè)網(wǎng)橋305記住通過(guò)哪個(gè)端口可以到達(dá)各個(gè)終點(diǎn)MAC地址���。
圖6顯示了SNOWNET網(wǎng)絡(luò)300的一個(gè)示例�����,具有在SNOWNET主干網(wǎng)306上形成的生成樹(shù)�����。該生成樹(shù)包括配置為SNOWNET網(wǎng)橋305的SNOWNET節(jié)點(diǎn)302。
如圖6所示�����,SNOWNET主干網(wǎng)306包括SNOWNET網(wǎng)橋305(B1�����、B2和B3)����,他們?yōu)榭蛻?hù)機(jī)310(C1至C5)提供本地接入服務(wù)(分別為AP1�、AP2和AP3)����。
圖7是SNOWNET橋接表400內(nèi)容的表。圖6中的各個(gè)SNOWNET網(wǎng)橋305包含存儲(chǔ)在數(shù)據(jù)存儲(chǔ)器404中的SNOWNET橋接表400�����,如圖7所示�����。圖7中的表400示出了拓?fù)鋵W(xué)習(xí)過(guò)程之后存儲(chǔ)在各個(gè)網(wǎng)橋305中的表是完整的�����。與IEEE 802.1d規(guī)定的標(biāo)準(zhǔn)MAC網(wǎng)橋相比��,其差別在于����,標(biāo)準(zhǔn)MAC網(wǎng)橋中的“端口”列由SNOWNET網(wǎng)橋305中的兩列代替本地接口和相鄰接口。這兩個(gè)地址一起標(biāo)識(shí)了SNOWNET“網(wǎng)橋端口”�,或者是邏輯端口或者是物理端口。
圖8示出了IEEE 802.11數(shù)據(jù)幀地址字段內(nèi)容和“To DS”和“FromDS”的可能值��。IEEE 802.11標(biāo)準(zhǔn)將連接各AP 104的主干網(wǎng)稱(chēng)為“分布系統(tǒng)(Distribution System,DS)”����。在各個(gè)數(shù)據(jù)幀中,有2位�����,即“ToDS”位和“From DS”位���。它們一起描述數(shù)據(jù)幀的傳輸方向和協(xié)議的工作模式���。例如,在將數(shù)據(jù)幀從接入點(diǎn)(AP)�,例如圖6中的AP1����,發(fā)送到客戶(hù)機(jī),例如圖6中的C1時(shí)����,將“To DS”位設(shè)置為FALSE,而將“From DS”位設(shè)置為T(mén)RUE���。本發(fā)明的SNOWNET 300網(wǎng)絡(luò)使用圖8中的前3行�。這前三行用于ad hoc模式通信、接入點(diǎn)到客戶(hù)機(jī)通信以及客戶(hù)機(jī)到接入點(diǎn)通信���。第四行描述接入點(diǎn)之間的通信����,SNOWNET網(wǎng)橋305目前還未使用�����。
在各個(gè)IEEE 802.11數(shù)據(jù)幀中����,存在4個(gè)地址字段。這些地址字段包括對(duì)應(yīng)于“From DS”和“To DS”位的值的不同地址�。在ad hoc模式下工作時(shí),IEEE 802.11數(shù)據(jù)幀含有3個(gè)地址目的地地址���、源地址以及IBSS的BSSID�。ad hoc模式數(shù)據(jù)傳輸不使用該數(shù)據(jù)幀中的第四個(gè)地址��。如果數(shù)據(jù)幀的“To DS”和“From DS”字段均設(shè)置為0���,則可以識(shí)別出這種數(shù)據(jù)幀���。本發(fā)明的SNOWNET網(wǎng)絡(luò)300使用這種格式來(lái)進(jìn)行主干306通信���。
在移動(dòng)客戶(hù)機(jī)C始發(fā)數(shù)據(jù)幀時(shí),設(shè)置其地址字段�,正如802.11協(xié)議標(biāo)準(zhǔn)規(guī)定的那樣。將其“To DS”字段設(shè)置為1����,而將其“From DS”字段設(shè)置為0。第一個(gè)地址是移動(dòng)客戶(hù)機(jī)C連接的接入點(diǎn)的BSSID�����,在SNOWNET300中是由SNOWNET網(wǎng)橋的本地服務(wù)接入接口提供的��。第二個(gè)字段含有移動(dòng)客戶(hù)機(jī)自己的地址�,而第三個(gè)地址是目的地客戶(hù)機(jī)C的地址����。第四個(gè)地址未使用。本發(fā)明的SNOWNET網(wǎng)絡(luò)300利用該格式實(shí)現(xiàn)客戶(hù)機(jī)C對(duì)SNOWNET網(wǎng)橋305的通信�����。同樣,本發(fā)明的SNOWNET網(wǎng)絡(luò)300利用標(biāo)準(zhǔn)AP對(duì)客戶(hù)機(jī)C格式(To DS=0�,F(xiàn)rom DS=1),將各幀傳送到其連接的客戶(hù)機(jī)C���,還是未使用第四個(gè)地址��。
第一SNOWNET網(wǎng)橋305(B1)收到指向未連接到該網(wǎng)橋B1上的設(shè)備(例如客戶(hù)機(jī)C5)的數(shù)據(jù)幀時(shí)��,SNOWNET網(wǎng)橋B1重新格式化該數(shù)據(jù)幀�����,以通過(guò)主干網(wǎng)306進(jìn)行傳送����。在本發(fā)明的SNOWNET網(wǎng)絡(luò)300中��,利用第四地址字段保持發(fā)送該數(shù)據(jù)幀的SNOWNET網(wǎng)橋B1接口的地址����,對(duì)IEEE802.11標(biāo)準(zhǔn)進(jìn)行了修改。
SNOWNET網(wǎng)橋305總是轉(zhuǎn)發(fā)與其本地接入服務(wù)接口連接的客戶(hù)機(jī)C的數(shù)據(jù)幀。例如����,SNOWNET網(wǎng)橋B2轉(zhuǎn)發(fā)給客戶(hù)機(jī)C2和C3的數(shù)據(jù)幀。如果數(shù)據(jù)幀的源(例如C2)和目的地(例如C3)均使用其本地網(wǎng)絡(luò)接入服務(wù)�,則通過(guò)本地接入接口轉(zhuǎn)發(fā)該數(shù)據(jù)幀。否則��,根據(jù)橋接表400中的學(xué)習(xí)到的MAC端點(diǎn)����,將該數(shù)據(jù)幀轉(zhuǎn)發(fā)到指定給客戶(hù)機(jī)3的相鄰網(wǎng)橋(例如B3)。
收到SNOWNET網(wǎng)橋(例如B2)轉(zhuǎn)發(fā)的數(shù)據(jù)幀后�,SNOWNET網(wǎng)橋(例如B3)判定是否利用類(lèi)似于IEEE 802.1d的過(guò)濾器機(jī)制的機(jī)制進(jìn)一步轉(zhuǎn)發(fā)該數(shù)據(jù)幀。只有在先前轉(zhuǎn)發(fā)器(網(wǎng)橋從其接收到數(shù)據(jù)幀的SNOWNET網(wǎng)橋����,由數(shù)據(jù)幀中的第四地址字段標(biāo)識(shí))被列為活動(dòng)相鄰網(wǎng)橋,而且網(wǎng)橋地址數(shù)據(jù)庫(kù)指示該數(shù)據(jù)幀的目的地和信源位于該網(wǎng)橋的不同側(cè)(即���,目的地和信源要通過(guò)不同端口到達(dá))時(shí)��,SNOWNET網(wǎng)橋才轉(zhuǎn)發(fā)數(shù)據(jù)幀��。在轉(zhuǎn)發(fā)數(shù)據(jù)幀之前,網(wǎng)橋?qū)?shù)據(jù)幀中的第四地址更新為其自己的發(fā)送接口的地址�。
在對(duì)目的地客戶(hù)機(jī)C5提供接入服務(wù)的網(wǎng)橋B3處��,數(shù)據(jù)幀被再次轉(zhuǎn)換為適當(dāng)格式的“From DS”型數(shù)據(jù)幀��。
上述網(wǎng)橋端口管理和數(shù)據(jù)幀格式化的另一個(gè)可能的實(shí)施例是利用802.11標(biāo)準(zhǔn)定義的無(wú)線(xiàn)分布系統(tǒng)(Wireless Distribution System�,WDS)鏈路代替上述的ad hoc型通信�。WDS鏈路是由管理者在同一無(wú)線(xiàn)信道上在AP之間建立的靜態(tài)鏈路,從而各個(gè)AP可以通過(guò)這種鏈路交換數(shù)據(jù)���。在此�,SNOWNET網(wǎng)橋要監(jiān)視其相鄰SNOWNET網(wǎng)橋的身份�,并隨著SNOWNET網(wǎng)橋的連接性狀態(tài)改變而動(dòng)態(tài)地創(chuàng)建和/或撤銷(xiāo)WDS鏈路。
以網(wǎng)橋模式運(yùn)行SNOWNET 300的主要優(yōu)點(diǎn)在于���,簡(jiǎn)化了網(wǎng)絡(luò)層漫游和互聯(lián)網(wǎng)協(xié)議(IP)地址管理�����。由于通常整個(gè)SNOWNET 300共享同一個(gè)IP地址空間��,所以各個(gè)SNOWNET網(wǎng)橋305無(wú)需管理客戶(hù)機(jī)IP地址��。SNOWNET300內(nèi)的一個(gè)專(zhuān)用DHCP服務(wù)器可以對(duì)整個(gè)網(wǎng)絡(luò)300提供服務(wù)��。在客戶(hù)機(jī)C從一個(gè)AP覆蓋區(qū)移動(dòng)到另一個(gè)AP覆蓋區(qū)時(shí)����,不需要改變其IP地址。這種情況的其他優(yōu)點(diǎn)包括多點(diǎn)廣播支持和其他鏈路層管理協(xié)議得到了簡(jiǎn)化�。
因?yàn)闃蚪颖?00(圖7所示)相當(dāng)于各個(gè)主機(jī)的路由表,所以在SNOWNET網(wǎng)絡(luò)300的規(guī)模增大時(shí)���,這種方法不能很好地按比例增大���。此外,生成樹(shù)轉(zhuǎn)發(fā)拓?fù)湎拗屏藬?shù)據(jù)轉(zhuǎn)發(fā)路徑的形狀和效率�。在某些情況下,不能使用兩個(gè)通信客戶(hù)機(jī)之間的最短轉(zhuǎn)發(fā)路徑����,因?yàn)槠滏溌凡皇巧蓸?shù)的一部分。在廣播環(huán)境下���,這是一種常見(jiàn)情況���。最后,通過(guò)周期性地交換“心跳(heartbeat)”消息�,網(wǎng)橋305更新其地址數(shù)據(jù)庫(kù)400和生成樹(shù)����。因此�,在主干拓?fù)?06發(fā)生變化�����,或客戶(hù)機(jī)C變更其所連接的AP時(shí)�,網(wǎng)絡(luò)穩(wěn)定到反映新拓?fù)浜瓦B接的新?tīng)顟B(tài)所需的時(shí)間可能較長(zhǎng)。在此過(guò)渡期間�,可能丟失數(shù)據(jù)分組。在最壞的情況下���,更新可能趕不上拓?fù)涞淖兓?����,因此網(wǎng)絡(luò)變得不穩(wěn)定�。
總之�,SNOWNET網(wǎng)橋模式較簡(jiǎn)單,但是它最適于中小型動(dòng)態(tài)SNOWNET300�����。
但是,路由模式下SNOWNET 300的用處超過(guò)了上述橋接模式的問(wèn)題�����。
路由模式在各SNOWNET節(jié)點(diǎn)302以路由模式工作時(shí)����,SNOWNET節(jié)點(diǎn)302在主干網(wǎng)306上形成扁平路由空間(相對(duì)于分層或聚類(lèi)的方式)。在在路由模式下工作時(shí)��,將SNOWNET節(jié)點(diǎn)302稱(chēng)為SNOWNET路由器305���。在這種情況下��,可以將主干網(wǎng)306看作移動(dòng)ad hoc網(wǎng)絡(luò)(MANET)(IETF Mobile Ad-hocNetworks(MANET)Working Group�,www.ietf.org/html.characters/manet-charter.html)的變型�����,對(duì)于SNOWNET路由可以瀏覽MANET路由算法的研究結(jié)果(C.Perkins��,E.Belding-Royer和S.Das��,″Ad Hoc On-Demand Di stance Vector(AODV)Routing″�,IETFInternet Draft″draft-ietf-manet-aodv-11.txt″未完成�,2002年6月�;D.Johnson,D.Maltz�����,Y.Hu和J.Jetcheva�,″The Dynamic SourceRouting Protocol for Mobile Ad Hoc Networks(DSR)″����,IETF InternetDraft<draft-ietf0manet-dsr-07.txt>,未完成�,2002年2月,等等)���。
然而���,SNOWNET 300是MANET的一種重要的特殊情況。在SNOWNET 300中���,在網(wǎng)絡(luò)中存在兩種可以移動(dòng)的不同類(lèi)型實(shí)體客戶(hù)機(jī)310和SNOWNET節(jié)點(diǎn)302�。然而���,當(dāng)前的MANET研究將整個(gè)MANET作為沒(méi)有MANET拓?fù)浣Y(jié)構(gòu)而且各個(gè)節(jié)點(diǎn)均同等參與數(shù)據(jù)轉(zhuǎn)發(fā)的扁平路由空間��。這通常要強(qiáng)加特殊要求以在網(wǎng)絡(luò)內(nèi)的所有節(jié)點(diǎn)上實(shí)現(xiàn)MANET功能��。在SNOWNET服務(wù)模型300中���,限制了對(duì)移動(dòng)客戶(hù)機(jī)310的特殊要求�,從而用戶(hù)可以使用標(biāo)準(zhǔn)的移動(dòng)計(jì)算機(jī)�,例如具有標(biāo)準(zhǔn)客戶(hù)機(jī)通信設(shè)備(比如普通的802.11b PCMCIA卡)的膝上型計(jì)算機(jī)、PDA以及其他市售設(shè)備�����。因此���,通過(guò)將客戶(hù)機(jī)和SNOWNET節(jié)點(diǎn)302配置為MANET節(jié)點(diǎn)而直接應(yīng)用現(xiàn)存MANET方法不是一種可行的解決方案��。
利用SNOWNET路由器305�,引入了一種混合方案����。在該方法中,只有SNOWNET路由器305被配置為MANET節(jié)點(diǎn)���,并參與MANET類(lèi)的路由算法�。所有路由器主干接口共享同一個(gè)IP地址空間,并執(zhí)行路由協(xié)議���,并在它們之間交換路由信息�����。最后����,它們一起建立到達(dá)任意主干節(jié)點(diǎn)的路由���。
SNOWNET路由與MANET路由之間的差別在于,還對(duì)各個(gè)SNOWNET路由器305分配可屏蔽(mask-able)地址空間段���,從中動(dòng)態(tài)地向該路由器的本地客戶(hù)機(jī)分配地址��。在各個(gè)路由器上安裝DHCP服務(wù)器軟件以對(duì)本地移動(dòng)客戶(hù)機(jī)分配IP地址�����。在路由信息交換期間�����,除了通報(bào)它們自己的IP地址之外����,主干節(jié)點(diǎn)還通報(bào)它們自己的本地服務(wù)子網(wǎng)。換句話(huà)說(shuō)��,通過(guò)將該信息包含在他們的可達(dá)網(wǎng)絡(luò)列表內(nèi)�����,主干節(jié)點(diǎn)代理它們的本地服務(wù)子網(wǎng)�����。該特殊要求要求在SNOWNET路由協(xié)議消息中具有附加字段�����,修改“正常的”MANET路由協(xié)議規(guī)范�,以包括這些代理子網(wǎng)。該字段可以包括多個(gè)條目�����,稱(chēng)為“代理列表”。
為了支持漫游�,除了本地服務(wù)子網(wǎng)之外,各個(gè)SNOWNET路由器305還負(fù)責(zé)對(duì)多個(gè)“外地移動(dòng)客戶(hù)機(jī)”提供代理服務(wù)�����,外地移動(dòng)客戶(hù)機(jī)310當(dāng)前連接到該路由器但其地址在該路由器的地址空間之外��。和本地服務(wù)子網(wǎng)一樣����,這些外地客戶(hù)機(jī)地址的通報(bào)包含在SNOWNET路由協(xié)議消息中,作為代理列表中的條目�����。
各個(gè)SNOWNET路由器305均保持路由表500�����,如圖9所示�����。路由表500規(guī)定了本地接口和作為路由路徑中下一跳點(diǎn)目標(biāo)的各個(gè)便攜網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備的相鄰接口���。
在各個(gè)路由表500中����,存在兩種路由條目子網(wǎng)路由和主機(jī)路由�。前者是集合的路由條目,其中各個(gè)條目描述了位于相應(yīng)地址空間內(nèi)的所有主機(jī)的路由�,這在傳統(tǒng)格式中表示為網(wǎng)絡(luò)地址與網(wǎng)絡(luò)掩碼的組合。后者是到特定移動(dòng)節(jié)點(diǎn)302(SNOWNET節(jié)點(diǎn)的主干節(jié)點(diǎn)或者外地移動(dòng)客戶(hù)機(jī))的路由��。在示例性的表500中����,B1、B2和B3的條目是SNOWNET節(jié)點(diǎn)主干接口的主機(jī)路由�����,C5的條目是外地客戶(hù)機(jī)的主機(jī)路由���,AP1���、AP2和AP3子網(wǎng)的條目是子網(wǎng)路由。在路由查找期間,可以采用最長(zhǎng)匹配規(guī)則(W.Doeringer��,G.Karjoth和M.Nassehi����,″Routing on Longest MatchingPrefixes,IEEE/ACM Transactions on Networking(TON)�����,Vol.4��,Issue1��,1996年2月)�����。
客戶(hù)機(jī)C可以離開(kāi)一個(gè)SNOWNET路由器的服務(wù)覆蓋區(qū)���,而移動(dòng)到另一個(gè)SNOWNET路由器305的覆蓋區(qū)���。SNOWNET 300支持客戶(hù)機(jī)漫游����,從而在客戶(hù)機(jī)連接變化期間不會(huì)出現(xiàn)數(shù)據(jù)中斷�����。對(duì)于固定式計(jì)算機(jī)���,IP地址既可以用作標(biāo)識(shí)符又可以用作位置指示符。然而�,在對(duì)移動(dòng)客戶(hù)機(jī)310分配IP地址時(shí),在移動(dòng)客戶(hù)機(jī)改變其連接時(shí)����,這兩個(gè)屬性互相矛盾。在一個(gè)實(shí)施例中���,IP地址應(yīng)該保持不變����,以保持客戶(hù)機(jī)身份的完整性�。在另一個(gè)實(shí)施例中,客戶(hù)機(jī)應(yīng)該獲取新地址以反映其當(dāng)前網(wǎng)絡(luò)接入連接��,從而有效進(jìn)行路由���。
通過(guò)允許兩種類(lèi)型的路由共存���,SNOWNET路由器305解決了該問(wèn)題�����。對(duì)于那些沒(méi)有超出其原始SNOWNET路由器范圍的客戶(hù)機(jī)310���,其子網(wǎng)的子網(wǎng)路由代表其路由。對(duì)于這種類(lèi)型的各個(gè)單獨(dú)客戶(hù)機(jī)沒(méi)有特殊的路由���。對(duì)于那些已經(jīng)離開(kāi)其原始子網(wǎng)并變成其他路由器的“外地客戶(hù)機(jī)”的客戶(hù)機(jī)�,各個(gè)路由表明確列出他們的路由。因?yàn)橹С帧巴獾匾苿?dòng)客戶(hù)機(jī)”,所以客戶(hù)機(jī)仍留在SNOWNET 300之中時(shí)無(wú)需獲取其當(dāng)前連接環(huán)境的地址空間內(nèi)的新IP地址�。
在移動(dòng)客戶(hù)機(jī)310移動(dòng)到新子網(wǎng)時(shí)����,它需要向其先前路由器305發(fā)送路由更新消息600(圖10示出了一個(gè)示例)����,從而將其新連接通知給先前路由器。
具體而言�����,圖10示出了路由更新消息600���,也叫做通報(bào)���,其中移動(dòng)客戶(hù)機(jī)310向其先前服務(wù)SNOWNET節(jié)點(diǎn)305通報(bào)其當(dāng)前服務(wù)SNOWNET節(jié)點(diǎn)的地址。該消息600包含這個(gè)行為所涉及的三方的身份����,以及與安全相關(guān)的信息,比如利用客戶(hù)機(jī)的專(zhuān)用密鑰和先前服務(wù)SNOWNET節(jié)點(diǎn)的公共密鑰加密的證書(shū)��。
這個(gè)通報(bào)600縮短了客戶(hù)機(jī)從其先前路由器斷開(kāi)與將其新路由插入主干網(wǎng)內(nèi)的各路由表內(nèi)之間的時(shí)間或間隔��。在這段時(shí)間內(nèi)����,目的地為該移動(dòng)客戶(hù)機(jī)310的數(shù)據(jù)分組被傳送到該客戶(hù)機(jī)的先前服務(wù)路由器305,先前服務(wù)路由器305無(wú)法進(jìn)一步把數(shù)據(jù)分組傳送到該移動(dòng)客戶(hù)機(jī)��。利用這個(gè)通報(bào)�����,先前路由器可以在所有路由表更新之前把數(shù)據(jù)分組轉(zhuǎn)發(fā)到新的路由器305。這樣的通報(bào)600不能完全消除該時(shí)間間隔��,但是顯著減小了客戶(hù)機(jī)從其先前服務(wù)路由器斷開(kāi)到該客戶(hù)機(jī)的路由更新消息600到達(dá)其先前服務(wù)路由器之間的時(shí)間間隙的長(zhǎng)度����。由于移動(dòng)客戶(hù)機(jī)310通常在相鄰的覆蓋區(qū)之間移動(dòng),所以在主干網(wǎng)306拓?fù)渲?,其先前與當(dāng)前服務(wù)路由器305之間的距離(或鏈路跳躍數(shù))可能非常接近。因此����,這個(gè)通報(bào)可能到達(dá)得更快。如果數(shù)據(jù)分組不能被傳送到客戶(hù)機(jī)����,則各個(gè)路由器305可以選擇對(duì)客戶(hù)機(jī)310的數(shù)據(jù)分組進(jìn)行緩存。一旦關(guān)于客戶(hù)機(jī)的新路由器305的通報(bào)600到達(dá)��,就將緩存的數(shù)據(jù)分組轉(zhuǎn)發(fā)到新路由器305����。此外,在接收到這個(gè)通報(bào)600后��,如果客戶(hù)機(jī)310是其先前路由器305的外地客戶(hù)機(jī)����,則從先前路由器的“外地客戶(hù)機(jī)”列表中刪除客戶(hù)機(jī)310�����。
與眾所周知的移動(dòng)IP(C.Perkins,″IP Mobility Support″�����,IETFRFC 2002���,1996年10月)中規(guī)定的那樣���,網(wǎng)絡(luò)對(duì)SNOWNET 300中的外地客戶(hù)機(jī)提供服務(wù)與外地代理對(duì)移動(dòng)客戶(hù)機(jī)310提供服務(wù)是不同的。在移動(dòng)IP中�,當(dāng)移動(dòng)客戶(hù)機(jī)連接到不是其歸屬網(wǎng)絡(luò)的網(wǎng)絡(luò)上時(shí),它需要從其當(dāng)前網(wǎng)絡(luò)獲取被稱(chēng)為“外地地址(foreign address)”的本地IP地址����。移動(dòng)客戶(hù)機(jī)當(dāng)前連接的網(wǎng)絡(luò)被稱(chēng)為“外地網(wǎng)絡(luò)(foreign network)”。移動(dòng)客戶(hù)機(jī)始終保持其在歸屬網(wǎng)絡(luò)上的地址�。該地址被稱(chēng)為移動(dòng)客戶(hù)機(jī)的歸屬地址或永久地址。當(dāng)互聯(lián)網(wǎng)上的其他主機(jī)要與移動(dòng)客戶(hù)機(jī)通信時(shí)�����,它們利用移動(dòng)客戶(hù)機(jī)的歸屬地址進(jìn)行通信。當(dāng)移動(dòng)客戶(hù)機(jī)位于外地網(wǎng)絡(luò)內(nèi)時(shí)���,它借助其歸屬網(wǎng)絡(luò)上的實(shí)體�����,即他的歸屬代理(home agent)���,接收呼入業(yè)務(wù)。通過(guò)互聯(lián)網(wǎng)將呼入業(yè)務(wù)發(fā)送到移動(dòng)客戶(hù)機(jī)的歸屬網(wǎng)絡(luò)����。然后,歸屬代理捕獲移動(dòng)客戶(hù)機(jī)的分組��,并利用其新本地地址����,將它們轉(zhuǎn)發(fā)到移動(dòng)客戶(hù)機(jī)的當(dāng)前位置。為了使這種方案有效�����,要求移動(dòng)客戶(hù)機(jī)向其歸屬代理報(bào)告其在外地網(wǎng)絡(luò)上的本地地址。同時(shí)使用兩個(gè)地址(歸屬地址和外地地址)���,移動(dòng)IP解決了尋址的連接與身份用途之間存在的矛盾��。
在本發(fā)明的SNOWNET 300中��,移動(dòng)客戶(hù)機(jī)310不需要接收新的IP地址�����。當(dāng)移動(dòng)客戶(hù)機(jī)第一次進(jìn)入SNOWNET 300時(shí),它從所連接的SNOWNET節(jié)點(diǎn)302接收IP地址���。因?yàn)榫W(wǎng)絡(luò)300可以轉(zhuǎn)發(fā)特定主機(jī)的數(shù)據(jù)����,所以在移動(dòng)客戶(hù)機(jī)移動(dòng)到與其原始節(jié)點(diǎn)不同的SNOWNET節(jié)點(diǎn)302的覆蓋區(qū)時(shí)�����,移動(dòng)客戶(hù)機(jī)不必獲得新的外地地址�����。網(wǎng)絡(luò)300傳播該移動(dòng)客戶(hù)機(jī)的反映其當(dāng)前連接的路由。SNOWNET 300具有這樣的能力�����,因?yàn)樗诒纫苿?dòng)IP環(huán)境小得多的規(guī)模下工作���。因此���,SNOWNET 300能夠?qū)τ谶@些移動(dòng)客戶(hù)機(jī)在網(wǎng)絡(luò)內(nèi)安裝各個(gè)主機(jī)的路由。另一方面���,SNOWNET 300還可以容易地支持移動(dòng)IP�。具有移動(dòng)IP功能的客戶(hù)機(jī)可以簡(jiǎn)單地向其歸屬代理報(bào)告其SNOWNET地址作為其外地地址�����。在SNOWNET 300環(huán)境下����,這樣可以更有效地操作移動(dòng)IP。
如上所述���,SNOWNET包括移動(dòng)網(wǎng)絡(luò)解決方案��,其向具有配備了無(wú)線(xiàn)網(wǎng)絡(luò)接口的設(shè)備的用戶(hù)提供安全和便攜的無(wú)線(xiàn)連網(wǎng)服務(wù)�。安全移動(dòng)無(wú)線(xiàn)網(wǎng)絡(luò),或NOWNET���,沿用了層級(jí)方式�����。在需要連網(wǎng)服務(wù)的地方部署特殊的SNOWNET節(jié)點(diǎn)��,形成主干網(wǎng)�����。同時(shí),SNOWNET節(jié)點(diǎn)向常規(guī)的移動(dòng)客戶(hù)機(jī)提供本地接入服務(wù)����。
本發(fā)明的SNOWNET是便攜的,可以在不存在連網(wǎng)基礎(chǔ)設(shè)施的環(huán)境中迅速部署��。SNOWNET是安全的�����。利用SNOWNET擴(kuò)展PASS算法下的IEEE802.1x,可以非常好地保護(hù)在SNOWNET中傳輸?shù)臉I(yè)務(wù)�����。SNOWNET還提供了在越區(qū)切換期間傳送驗(yàn)證和安全以支持平滑���、迅速的客戶(hù)機(jī)漫游的增強(qiáng)方案�。最后����,SNOWNET提供了兩種在不同本地服務(wù)小區(qū)之間自動(dòng)傳送消息并提供無(wú)縫漫游的操作模式。
SNOWNET可以用于幾種不同的情況��。在此列舉一些例子�����?���?梢詫NOWNET建立為安全、可快速部署的獨(dú)立連網(wǎng)基礎(chǔ)設(shè)施�����,以對(duì)不存在可信連網(wǎng)環(huán)境的場(chǎng)所提供即時(shí)連網(wǎng)服務(wù)。其典型用途可以包括戰(zhàn)場(chǎng)情況��、救災(zāi)過(guò)程�、各種科學(xué)探索任務(wù)、機(jī)器人應(yīng)用�����。還可以安裝SNOWNET作為低成本的多跳無(wú)線(xiàn)LAN���,以向任何組織提供無(wú)線(xiàn)連網(wǎng)覆蓋���。利用靈活、多跳�、自組織以及自配置的無(wú)線(xiàn)主干網(wǎng)����,SNOWNET可以為用戶(hù)節(jié)省敷設(shè)電纜、安裝以及維護(hù)的成本����。SNOWNET還可以用作存根網(wǎng)絡(luò)(stub network)�,以將分離的LAN連接到組織網(wǎng)絡(luò)���。例如����,學(xué)?�?梢岳肧NOWNET將安裝在遙遠(yuǎn)建筑內(nèi)的LAN“粘結(jié)”到其現(xiàn)存校園網(wǎng)上����。
本發(fā)明的特征包括基于擴(kuò)展的IEEE 802.1x標(biāo)準(zhǔn)的2級(jí)安全、便攜無(wú)線(xiàn)路由器網(wǎng)絡(luò)設(shè)備的SNOWNET架構(gòu)��。
對(duì)現(xiàn)有的SNOWNET���,安全地添加并驗(yàn)證路由器的PASS算法�����。
SNOWNET的自配置地址管理方案��,以為他們的主干網(wǎng)和本地服務(wù)網(wǎng)絡(luò)分配地址�。
橋接協(xié)議����,涉及對(duì)IEEE 802.11標(biāo)準(zhǔn)的修改��,以提供與IEEE 802.1d和IEEE 802.1w橋接標(biāo)準(zhǔn)的操作兼容性�。
新的路由算法����,它是基于傳統(tǒng)MANET路由算法的混合方法。
支持移動(dòng)客戶(hù)機(jī)在SNOWNET的不同服務(wù)區(qū)之間高效的網(wǎng)絡(luò)級(jí)漫游����。
當(dāng)移動(dòng)客戶(hù)機(jī)在SNOWNET的不同服務(wù)區(qū)之間漫游時(shí),支持增強(qiáng)的驗(yàn)證和安全高效越區(qū)切換機(jī)制����。
該系統(tǒng)還包括永久的或可移動(dòng)的存儲(chǔ)器,比如磁盤(pán)和光盤(pán)���、RAM��、ROM等等�����,可以在其上存儲(chǔ)和發(fā)布本發(fā)明的處理和數(shù)據(jù)結(jié)構(gòu)�����。這些處理也可以通過(guò)��,例如�����,從互聯(lián)網(wǎng)這樣的網(wǎng)絡(luò)下載而發(fā)布��。
由以上的詳細(xì)說(shuō)明可以理解本發(fā)明的許多特征和優(yōu)點(diǎn)�,因此所附的權(quán)利要求涵蓋落入本發(fā)明的要點(diǎn)和范圍內(nèi)的所有這些特征和優(yōu)點(diǎn)����。另外,對(duì)于本領(lǐng)域的技術(shù)人員�,很顯然可以有多種改進(jìn)和變化,本發(fā)明不限于此處示出和描述的具體結(jié)構(gòu)和操作����,相應(yīng)地所有恰當(dāng)?shù)母倪M(jìn)和等同都落在本發(fā)明的范圍之內(nèi)。
權(quán)利要求
1.一種無(wú)線(xiàn)網(wǎng)絡(luò)�����,包括移動(dòng)客戶(hù)機(jī)計(jì)算設(shè)備,各具有客戶(hù)機(jī)無(wú)線(xiàn)設(shè)備�;用于向移動(dòng)客戶(hù)機(jī)計(jì)算設(shè)備提供無(wú)線(xiàn)主干服務(wù)的無(wú)線(xiàn)主干網(wǎng),該無(wú)線(xiàn)主干網(wǎng)包括便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備���,用于向他們各自的覆蓋區(qū)內(nèi)的移動(dòng)客戶(hù)機(jī)計(jì)算設(shè)備提供無(wú)線(xiàn)本地接入服務(wù)���,并提供無(wú)線(xiàn)主干服務(wù),以按照多跳點(diǎn)方式將無(wú)線(xiàn)主干網(wǎng)上的移動(dòng)客戶(hù)機(jī)計(jì)算設(shè)備的通信數(shù)據(jù)轉(zhuǎn)發(fā)并傳送到其他的移動(dòng)客戶(hù)機(jī)計(jì)算設(shè)備�,或與該無(wú)線(xiàn)網(wǎng)絡(luò)相通信的其他網(wǎng)絡(luò)。
2.如權(quán)利要求1所述的無(wú)線(xiàn)網(wǎng)絡(luò)�����,其中所述的無(wú)線(xiàn)網(wǎng)絡(luò)作為安全網(wǎng)絡(luò)進(jìn)行操作����,并進(jìn)一步包括驗(yàn)證服務(wù)器,其中移動(dòng)客戶(hù)機(jī)計(jì)算設(shè)備的通信是安全的�,該網(wǎng)絡(luò)利用驗(yàn)證協(xié)議和該驗(yàn)證服務(wù)器對(duì)移動(dòng)客戶(hù)機(jī)計(jì)算設(shè)備進(jìn)行驗(yàn)證。
3.如權(quán)利要求2所述的無(wú)線(xiàn)網(wǎng)絡(luò)��,其中一個(gè)所述的便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備被配置作為該無(wú)線(xiàn)網(wǎng)絡(luò)的所述驗(yàn)證服務(wù)器�。
4.如權(quán)利要求2所述的無(wú)線(xiàn)網(wǎng)絡(luò),其中所述的驗(yàn)證服務(wù)器位于便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備可以訪(fǎng)問(wèn)的另一個(gè)機(jī)器上。
5.如權(quán)利要求2所述的無(wú)線(xiàn)網(wǎng)絡(luò)���,其中該無(wú)線(xiàn)網(wǎng)絡(luò)利用驗(yàn)證協(xié)議和驗(yàn)證服務(wù)器對(duì)便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備進(jìn)行驗(yàn)證。
6.如權(quán)利要求1所述的無(wú)線(xiàn)網(wǎng)絡(luò)���,其中一個(gè)所述便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備提供網(wǎng)關(guān)服務(wù)并包括多個(gè)接口��,其中所述多個(gè)接口中的一個(gè)提供對(duì)無(wú)線(xiàn)主干網(wǎng)的通信���,并且所述多個(gè)接口中的至少一個(gè)提供對(duì)與該無(wú)線(xiàn)網(wǎng)絡(luò)相通信的其他網(wǎng)絡(luò)的通信。
7.如權(quán)利要求1所述的無(wú)線(xiàn)網(wǎng)絡(luò)����,其中一個(gè)所述的便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備包括多個(gè)無(wú)線(xiàn)接口,所述多個(gè)無(wú)線(xiàn)接口中的至少一個(gè)為移動(dòng)客戶(hù)機(jī)計(jì)算設(shè)備提供本地接入服務(wù)��,并且所述多個(gè)無(wú)線(xiàn)接口中的至少一個(gè)提供與無(wú)線(xiàn)主干網(wǎng)的通信����。
8.如權(quán)利要求1所述的無(wú)線(xiàn)網(wǎng)絡(luò),其中各個(gè)便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備包括用于控制通過(guò)橋接或路由中的一種轉(zhuǎn)發(fā)的通信的內(nèi)部表��,其中無(wú)線(xiàn)網(wǎng)絡(luò)通過(guò)對(duì)用于控制通過(guò)在便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備中實(shí)現(xiàn)的橋接或路由而轉(zhuǎn)發(fā)的通信的內(nèi)部表進(jìn)行更新�,從而自動(dòng)并動(dòng)態(tài)地調(diào)節(jié)便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備在該無(wú)線(xiàn)網(wǎng)絡(luò)中的移動(dòng)、所添加的便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備相對(duì)于無(wú)線(xiàn)網(wǎng)絡(luò)的進(jìn)入、以及當(dāng)前便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備的刪除和失效�。
9.如權(quán)利要求5所述的無(wú)線(xiàn)網(wǎng)絡(luò),其中無(wú)線(xiàn)網(wǎng)絡(luò)利用所添加的便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備執(zhí)行的協(xié)議��、當(dāng)前位于該無(wú)線(xiàn)網(wǎng)絡(luò)內(nèi)的先前驗(yàn)證過(guò)的便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備�、以及驗(yàn)證服務(wù)器來(lái)對(duì)添加的便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備進(jìn)入該無(wú)線(xiàn)網(wǎng)絡(luò)進(jìn)行驗(yàn)證���。
10.如權(quán)利要求9所述的無(wú)線(xiàn)網(wǎng)絡(luò)����,其中當(dāng)前位于無(wú)線(xiàn)網(wǎng)絡(luò)中并提供本地接入服務(wù)的驗(yàn)證過(guò)的便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備作為驗(yàn)證器�,并與驗(yàn)證服務(wù)器一起,利用基于IEEE 802.1x標(biāo)準(zhǔn)的協(xié)議對(duì)新的移動(dòng)客戶(hù)機(jī)計(jì)算設(shè)備進(jìn)行驗(yàn)證�,然后只轉(zhuǎn)發(fā)來(lái)自驗(yàn)證過(guò)的移動(dòng)客戶(hù)機(jī)計(jì)算設(shè)備的通信數(shù)據(jù)。
11.如權(quán)利要求9所述的無(wú)線(xiàn)網(wǎng)絡(luò)����,其中無(wú)線(xiàn)網(wǎng)絡(luò)使用所有驗(yàn)證過(guò)的便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備知道的共享密鑰來(lái)對(duì)通過(guò)無(wú)線(xiàn)主干網(wǎng)傳輸?shù)臄?shù)據(jù)進(jìn)行加密。
12.如權(quán)利要求11所述的無(wú)線(xiàn)網(wǎng)絡(luò)�,其中驗(yàn)證過(guò)的便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備周期性地以安全的方式從驗(yàn)證服務(wù)器獲取新的主干對(duì)話(huà)密鑰,以對(duì)通過(guò)無(wú)線(xiàn)主干網(wǎng)傳輸?shù)臄?shù)據(jù)進(jìn)行加密�����。
13.如權(quán)利要求12所述的無(wú)線(xiàn)網(wǎng)絡(luò),其中驗(yàn)證服務(wù)器僅向在預(yù)定時(shí)間中參與了無(wú)線(xiàn)網(wǎng)絡(luò)通信的驗(yàn)證過(guò)的無(wú)線(xiàn)便攜網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備提供新的主干對(duì)話(huà)密鑰����,并且只有具有新對(duì)話(huà)密鑰的驗(yàn)證過(guò)的無(wú)線(xiàn)便攜網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備被允許在無(wú)線(xiàn)主干網(wǎng)上轉(zhuǎn)發(fā)通信數(shù)據(jù)。
14.如權(quán)利要求1所述的無(wú)線(xiàn)網(wǎng)絡(luò)�����,其中所述的便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備具有加密文件系統(tǒng)以保護(hù)存儲(chǔ)在其存儲(chǔ)器中的信息���。
15.如權(quán)利要求1所述的無(wú)線(xiàn)網(wǎng)絡(luò),其中所述無(wú)線(xiàn)網(wǎng)絡(luò)在便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備和移動(dòng)客戶(hù)機(jī)計(jì)算設(shè)備之間共享互聯(lián)網(wǎng)型地址空間���。
16.如權(quán)利要求5所述的無(wú)線(xiàn)網(wǎng)絡(luò)����,其中所述無(wú)線(xiàn)網(wǎng)絡(luò)在便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備和移動(dòng)客戶(hù)機(jī)計(jì)算設(shè)備之間共享互聯(lián)網(wǎng)型地址空間��,并且其中在新的便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備被驗(yàn)證到無(wú)線(xiàn)網(wǎng)絡(luò)中后���,作為驗(yàn)證器的便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備動(dòng)態(tài)地從該無(wú)線(xiàn)網(wǎng)絡(luò)的地址空間中分配主干地址以及一個(gè)或多個(gè)地址空間段給該新的便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備��。
17.如權(quán)利要求16所述的無(wú)線(xiàn)網(wǎng)絡(luò)����,其中在驗(yàn)證移動(dòng)客戶(hù)機(jī)計(jì)算設(shè)備之后,便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備利用在該便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備上執(zhí)行的過(guò)程�����,從該便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備的所分配的地址空間段中提供可路由的地址給該移動(dòng)客戶(hù)機(jī)計(jì)算設(shè)備����。
18.如權(quán)利要求17所述的無(wú)線(xiàn)網(wǎng)絡(luò),其中所述的過(guò)程包括DHCP��。
19.如權(quán)利要求8所述的無(wú)線(xiàn)網(wǎng)絡(luò)�����,其中便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備利用適用于該便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備的安全�����、動(dòng)態(tài)的路由協(xié)議��,代表移動(dòng)客戶(hù)機(jī)計(jì)算設(shè)備轉(zhuǎn)發(fā)通信數(shù)據(jù)�����。
20.如權(quán)利要求8所述的無(wú)線(xiàn)網(wǎng)絡(luò),其中便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備利用安全�、動(dòng)態(tài)、生成樹(shù)的橋接協(xié)議����,代表移動(dòng)客戶(hù)機(jī)計(jì)算設(shè)備轉(zhuǎn)發(fā)通信數(shù)據(jù)。
21.如權(quán)利要求20所述的無(wú)線(xiàn)網(wǎng)絡(luò)�����,其中所述的橋接協(xié)議基于由便攜網(wǎng)絡(luò)節(jié)點(diǎn)根據(jù)他們當(dāng)前的本地鄰接便攜節(jié)點(diǎn)連接狀態(tài)而動(dòng)態(tài)創(chuàng)建和消除的WDS鏈路���。
22.如權(quán)利要求20所述的無(wú)線(xiàn)網(wǎng)絡(luò),其中執(zhí)行橋接的便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備存儲(chǔ)有橋接表�,所述橋接表包含本地接口和作為橋接路徑中下一跳點(diǎn)目的地的各個(gè)便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備的相鄰接口。
23.如權(quán)利要求22所述的無(wú)線(xiàn)網(wǎng)絡(luò)����,其中執(zhí)行橋接的便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備通過(guò)周期性地交換橋接更新心跳消息而更新他們的橋接表。
24.如權(quán)利要求19所述的無(wú)線(xiàn)網(wǎng)絡(luò)�,其中執(zhí)行路由的便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備存儲(chǔ)有路由表,所述路由表包含以下信息無(wú)線(xiàn)網(wǎng)絡(luò)地址的子網(wǎng)路由����、到外部網(wǎng)絡(luò)地址的網(wǎng)關(guān)的子網(wǎng)路由��、以及已經(jīng)從原接入服務(wù)便攜網(wǎng)絡(luò)節(jié)點(diǎn)覆蓋區(qū)中漫游來(lái)的移動(dòng)客戶(hù)機(jī)計(jì)算設(shè)備的各個(gè)主機(jī)路由���,其中路由表規(guī)定了本地接口和作為路由路徑中下一跳點(diǎn)目的地的各個(gè)便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備的相鄰接口,并且執(zhí)行路由的便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備通過(guò)周期性地交換路由更新心跳消息而更新他們的路由表�����。
25.如權(quán)利要求19所述的無(wú)線(xiàn)網(wǎng)絡(luò)�����,其中至少一個(gè)便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備作為到與該無(wú)線(xiàn)網(wǎng)絡(luò)相通信的另一個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)�,由便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備周期性地執(zhí)行的網(wǎng)絡(luò)路由協(xié)議自動(dòng)地確定無(wú)線(xiàn)網(wǎng)絡(luò)中移動(dòng)客戶(hù)機(jī)計(jì)算設(shè)備之間或到該網(wǎng)關(guān)的最短路徑。
26.如權(quán)利要求5所述的無(wú)線(xiàn)網(wǎng)絡(luò)��,其中當(dāng)移動(dòng)客戶(hù)機(jī)計(jì)算設(shè)備從一個(gè)便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備的覆蓋區(qū)漫游到另一個(gè)能夠高效�、安全和快速地在該新便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備處建立驗(yàn)證和本地接入的便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備的覆蓋區(qū)時(shí),便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備在他們之間傳送驗(yàn)證信息����。
27.如權(quán)利要求24所述的無(wú)線(xiàn)網(wǎng)絡(luò),其中從一個(gè)便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備的覆蓋區(qū)漫游到另一個(gè)便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備的覆蓋區(qū)的移動(dòng)客戶(hù)機(jī)計(jì)算設(shè)備保持相同的地址�����,并且通過(guò)自動(dòng)地更新該便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備的路由表中的特定于客戶(hù)機(jī)的主機(jī)地址條目,使路由協(xié)議繼續(xù)有效地把通信數(shù)據(jù)路由到該移動(dòng)客戶(hù)機(jī)計(jì)算設(shè)備����。
28.如權(quán)利要求5所述的無(wú)線(xiàn)網(wǎng)絡(luò),其中便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備通過(guò)啟動(dòng)自己的操作系統(tǒng)����、確定他們的網(wǎng)絡(luò)地址、與驗(yàn)證服務(wù)器聯(lián)系��、獲得加密密鑰和驗(yàn)證���、設(shè)定他們的主干無(wú)線(xiàn)網(wǎng)絡(luò)和本地接入服務(wù)信道����、以及啟動(dòng)在主干無(wú)線(xiàn)網(wǎng)絡(luò)上發(fā)現(xiàn)相鄰的便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備并建立通信轉(zhuǎn)發(fā)路徑的動(dòng)態(tài)路由或橋接協(xié)議�����,從而自動(dòng)地對(duì)他們自己進(jìn)行配置以實(shí)現(xiàn)無(wú)線(xiàn)網(wǎng)絡(luò)中的通信�。
29.如權(quán)利要求1所述的無(wú)線(xiàn)網(wǎng)絡(luò)��,其中一個(gè)便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備包括一個(gè)無(wú)線(xiàn)接口���,用于為移動(dòng)客戶(hù)機(jī)計(jì)算設(shè)備提供本地接入服務(wù)���,并提供與無(wú)線(xiàn)主干網(wǎng)的通信�。
30.一種向各具有無(wú)線(xiàn)客戶(hù)機(jī)設(shè)備的移動(dòng)客戶(hù)機(jī)計(jì)算設(shè)備提供無(wú)線(xiàn)本地接入服務(wù)的方法����,包括建立便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備的無(wú)線(xiàn)主干網(wǎng);便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備相互驗(yàn)證�����;把移動(dòng)客戶(hù)機(jī)計(jì)算設(shè)備驗(yàn)證到無(wú)線(xiàn)主干網(wǎng)中����;由無(wú)線(xiàn)主干網(wǎng)向移動(dòng)客戶(hù)機(jī)計(jì)算設(shè)備提供無(wú)線(xiàn)主干網(wǎng)服務(wù);由便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備向無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備各自的覆蓋區(qū)中的移動(dòng)客戶(hù)機(jī)計(jì)算設(shè)備提供本地接入服務(wù)�;以多跳點(diǎn)的方式,通過(guò)無(wú)線(xiàn)主干網(wǎng)�,由無(wú)線(xiàn)主干網(wǎng)服務(wù)把移動(dòng)客戶(hù)機(jī)計(jì)算設(shè)備的通信數(shù)據(jù)相互轉(zhuǎn)發(fā)并傳送,或者轉(zhuǎn)發(fā)并傳送到與該無(wú)線(xiàn)網(wǎng)絡(luò)相通信的其他網(wǎng)絡(luò)��。
31.如權(quán)利要求30所述的方法��,還包括無(wú)線(xiàn)網(wǎng)絡(luò)利用添加的便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備執(zhí)行的協(xié)議、當(dāng)前處于該無(wú)線(xiàn)網(wǎng)絡(luò)中的先前驗(yàn)證過(guò)的便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備����、以及驗(yàn)證服務(wù)器,對(duì)所添加的便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備進(jìn)入無(wú)線(xiàn)主干網(wǎng)進(jìn)行驗(yàn)證�����。
32.一種計(jì)算機(jī)可讀介質(zhì)��,存儲(chǔ)有程序����,用于控制計(jì)算機(jī)以執(zhí)行向各具有無(wú)線(xiàn)客戶(hù)機(jī)設(shè)備的移動(dòng)客戶(hù)機(jī)計(jì)算設(shè)備提供無(wú)線(xiàn)本地接入服務(wù)的功能,包括建立便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備的無(wú)線(xiàn)主干網(wǎng)�����;便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備相互驗(yàn)證�����;把移動(dòng)客戶(hù)機(jī)計(jì)算設(shè)備驗(yàn)證到無(wú)線(xiàn)主干網(wǎng)中����;由無(wú)線(xiàn)主干網(wǎng)向移動(dòng)客戶(hù)機(jī)計(jì)算設(shè)備提供無(wú)線(xiàn)主干網(wǎng)服務(wù)�;由便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備向無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備各自的覆蓋區(qū)中的移動(dòng)客戶(hù)機(jī)計(jì)算設(shè)備提供本地接入服務(wù)��;以多跳點(diǎn)的方式�,通過(guò)無(wú)線(xiàn)主干網(wǎng)����,由無(wú)線(xiàn)主干網(wǎng)服務(wù)把移動(dòng)客戶(hù)機(jī)計(jì)算設(shè)備的通信數(shù)據(jù)相互轉(zhuǎn)發(fā)并傳送,或者轉(zhuǎn)發(fā)并傳送到與該無(wú)線(xiàn)網(wǎng)絡(luò)相通信的其他網(wǎng)絡(luò)����。
33.如權(quán)利要求32所述的計(jì)算機(jī)可讀介質(zhì),還包括無(wú)線(xiàn)網(wǎng)絡(luò)利用添加的便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備執(zhí)行的協(xié)議�����、當(dāng)前處于該無(wú)線(xiàn)網(wǎng)絡(luò)中的先前驗(yàn)證過(guò)的便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備�、以及驗(yàn)證服務(wù)器,對(duì)所添加的便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備進(jìn)入無(wú)線(xiàn)主干網(wǎng)進(jìn)行驗(yàn)證����。
34.一種無(wú)線(xiàn)網(wǎng)絡(luò),包括移動(dòng)客戶(hù)機(jī)計(jì)算設(shè)備����,各具有無(wú)線(xiàn)客戶(hù)機(jī)設(shè)備;非移動(dòng)客戶(hù)機(jī)計(jì)算設(shè)備,各具有有線(xiàn)客戶(hù)機(jī)設(shè)備����;無(wú)線(xiàn)主干網(wǎng),用于向移動(dòng)客戶(hù)機(jī)計(jì)算設(shè)備和非移動(dòng)客戶(hù)機(jī)計(jì)算設(shè)備提供無(wú)線(xiàn)主干服務(wù)��,該無(wú)線(xiàn)主干網(wǎng)包括便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備�,用于向與各個(gè)便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備所相連的有線(xiàn)客戶(hù)機(jī)設(shè)備,以及便攜無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備各自的覆蓋區(qū)內(nèi)的無(wú)線(xiàn)客戶(hù)機(jī)設(shè)備提供本地接入服務(wù)����;并用于提供無(wú)線(xiàn)主干服務(wù),以按照多跳點(diǎn)方式將該無(wú)線(xiàn)主干網(wǎng)上的移動(dòng)客戶(hù)機(jī)計(jì)算設(shè)備和非移動(dòng)客戶(hù)機(jī)計(jì)算設(shè)備的通信數(shù)據(jù)轉(zhuǎn)發(fā)并傳送到其他的移動(dòng)客戶(hù)機(jī)計(jì)算設(shè)備和非移動(dòng)客戶(hù)機(jī)計(jì)算設(shè)備��,或與該無(wú)線(xiàn)網(wǎng)絡(luò)相通信的其他網(wǎng)絡(luò)�����。
35.如權(quán)利要求15所述的無(wú)線(xiàn)網(wǎng)絡(luò)���,其中存在與互聯(lián)網(wǎng)和共享互聯(lián)網(wǎng)型地址空間的無(wú)線(xiàn)網(wǎng)絡(luò)相連的網(wǎng)關(guān)便攜節(jié)點(diǎn)設(shè)備�����,并且該無(wú)線(xiàn)網(wǎng)絡(luò)中所有的移動(dòng)客戶(hù)機(jī)設(shè)備和便攜節(jié)點(diǎn)設(shè)備可以通過(guò)該網(wǎng)關(guān)便攜節(jié)點(diǎn)設(shè)備與互聯(lián)網(wǎng)上的主機(jī)通信。
36.如權(quán)利要求35所述的無(wú)線(xiàn)網(wǎng)絡(luò),其中該無(wú)線(xiàn)網(wǎng)絡(luò)共享“專(zhuān)用”互聯(lián)網(wǎng)型地址空間�����,網(wǎng)關(guān)便攜節(jié)點(diǎn)設(shè)備執(zhí)行NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)以在專(zhuān)用地址和公共地址之間進(jìn)行轉(zhuǎn)換��,以實(shí)現(xiàn)該無(wú)線(xiàn)網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間的通信��。
37.如權(quán)利要求16所述的無(wú)線(xiàn)網(wǎng)絡(luò)�,其中就驗(yàn)證器節(jié)點(diǎn)設(shè)備所掌握的情況,動(dòng)態(tài)地址選擇算法保證新選擇的地址和任何已經(jīng)存在的便攜節(jié)點(diǎn)設(shè)備的地址之間沒(méi)有沖突����。
38.如權(quán)利要求37所述的無(wú)線(xiàn)網(wǎng)絡(luò),其中�,由于問(wèn)題的分布式特性,如果驗(yàn)證器節(jié)點(diǎn)設(shè)備所掌握的情況沒(méi)有正確地反映無(wú)線(xiàn)網(wǎng)絡(luò)的狀態(tài)����,從而所選擇的地址與無(wú)線(xiàn)網(wǎng)絡(luò)中的其他便攜節(jié)點(diǎn)設(shè)備發(fā)生沖突,則具有最低節(jié)點(diǎn)標(biāo)識(shí)符的便攜節(jié)點(diǎn)設(shè)備保留其地址選擇而其他便攜節(jié)點(diǎn)設(shè)備需要重新選擇地址��。
全文摘要
一種移動(dòng)網(wǎng)絡(luò)解決方案��,向具有配備了無(wú)線(xiàn)網(wǎng)絡(luò)接口的移動(dòng)用戶(hù)提供安全和便攜的無(wú)線(xiàn)連網(wǎng)服務(wù)���。該安全移動(dòng)無(wú)線(xiàn)網(wǎng)絡(luò)��,或SNOWNET�,沿襲了分層結(jié)構(gòu)。特殊的SNOWNET節(jié)點(diǎn)部署在需要連網(wǎng)服務(wù)的區(qū)域中��,并形成主干網(wǎng)����。同時(shí),SNOWNET節(jié)點(diǎn)向常規(guī)的移動(dòng)客戶(hù)機(jī)提供本地接入服務(wù)�����。SNOWNET通過(guò)節(jié)點(diǎn)和客戶(hù)機(jī)的驗(yàn)證以及數(shù)據(jù)的加密而提供了安全性��。
文檔編號(hào)H04L12/28GK1503523SQ20031011541
公開(kāi)日2004年6月9日 申請(qǐng)日期2003年11月25日 優(yōu)先權(quán)日2002年11月25日
發(fā)明者季稆勝, 喬納森·阿格雷, 阿瑞舍·米什拉, 索希爾·薩卡爾, 米什拉, 薩卡爾, 阿格雷 申請(qǐng)人:富士通株式會(huì)社