Nothing Special   »   [go: up one dir, main page]

CN105812219A - 帧传递方法以及相关装置和通信系统 - Google Patents

帧传递方法以及相关装置和通信系统 Download PDF

Info

Publication number
CN105812219A
CN105812219A CN201410855654.2A CN201410855654A CN105812219A CN 105812219 A CN105812219 A CN 105812219A CN 201410855654 A CN201410855654 A CN 201410855654A CN 105812219 A CN105812219 A CN 105812219A
Authority
CN
China
Prior art keywords
frame
wireless terminal
vlan
access point
another
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN201410855654.2A
Other languages
English (en)
Inventor
陶成义
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201410855654.2A priority Critical patent/CN105812219A/zh
Priority to EP15200632.6A priority patent/EP3041277A1/en
Priority to US14/983,206 priority patent/US20160192187A1/en
Publication of CN105812219A publication Critical patent/CN105812219A/zh
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/16Arrangements for providing special services to substations
    • H04L12/18Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/16Arrangements for providing special services to substations
    • H04L12/18Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
    • H04L12/189Arrangements for providing special services to substations for broadcast or conference, e.g. multicast in combination with wireless systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/065Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • H04W12/55Secure pairing of devices involving three or more devices, e.g. group pairing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/76Group identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/06Selective distribution of broadcast services, e.g. multimedia broadcast multicast service [MBMS]; Services to user groups; One-way selective calling services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明实施例公开了帧传递方法以及相关装置和通信系统。一种帧传递方法包括:接入点向关联所述接入点的无线终端发送所述无线终端所属的虚拟局域网的组密钥;所述接入点接收帧,其中,所述帧为所述虚拟局域网的广播帧或者所述虚拟局域网的组播帧;所述接入点使用所述虚拟局域网的组密钥对所述帧加密以得到加密帧;所述接入点在所述接入点的无线局域网之中发送所述加密帧。本发明实施例的技术方案有利于降低实现WLAN中无线终端之间的VLAN隔离的复杂度,并降低AP的帧转发负荷。

Description

帧传递方法以及相关装置和通信系统
技术领域
本发明涉及通信技术领域,具体涉及了一种帧传递方法以及相关装置和通信系统。
背景技术
虚拟局域网(英文:virtuallocalareanetwork,缩写:VLAN)可以把物理局域网划分成若干个不同的广播域,从而可以有助于控制流量。
其中,在无线局域网(英文:wirelesslocalareanetworks,缩写:WLAN)之中,接入点(英文:accesspoint,缩写:AP)是能够为关联该AP的无线终端提供通过无线介质(英文:wirelessmedium)对分布服务访问的设备。也就是说,无线终端作为站点(英文:station,缩写:STA)关联该AP后可以访问有线网络。AP为无线介质与有线链路之间转发帧。
其中,在常规的实现中,AP从有线网络接收到属于某个VLAN的广播帧之后,AP采用单播方式向其所属WLAN中的属于该VLAN的每个无线终端分别发送该帧。其中,属于VLAN的无线终端是指被逻辑划分到该VLAN的无线终端。其中,若关联该AP的无线终端之中的属于该VLAN的无线终端数量大,例如有100个,那么AP就需通过100个单播帧来分别向该100个无线终端发送上述帧,其中,关联该AP的各无线终端中的不属于该VLAN的其他无线终端不会收到上述帧,从而实现WLAN中无线终端间的VLAN隔离。
上述WLAN中无线终端间的VLAN隔离的实现复杂。
发明内容
本发明实施例提供帧传递方法以及相关装置和通信系统,以期降低实现WLAN中无线终端之间的VLAN隔离的复杂度,并降低AP的帧转发负荷。
本发明实施例的第一方面提供一种帧传递方法,包括:
接入点向关联所述接入点的无线终端发送所述无线终端所属的虚拟局域网的组密钥;
所述接入点接收帧,其中,所述帧为所述虚拟局域网的广播帧或者所述虚拟局域网的组播帧;
所述接入点使用所述虚拟局域网的组密钥对所述帧加密以得到加密帧;
所述接入点在所述接入点的无线局域网之中发送所述加密帧。
结合第一方面,在第一方面的第一种可能的实施方式中,所述帧包括所述虚拟局域网的虚拟局域网标识;其中,所述使用所述虚拟局域网的组密钥对所述帧加密以得到加密帧包括:在去除所述帧中的所述虚拟局域网标识之后,使用所述组密钥对所述帧加密以得到加密帧。
结合第一方面或第一方面的第一种可能的实施方式,在第一方面的第二种可能的实施方式中,
所述向关联所述接入点的无线终端发送所述无线终端所属的虚拟局域网的组密钥包括:通过组密钥交互消息向所述无线终端发送所述无线终端所属的虚拟局域网的组密钥。
结合第一方面,第一方面的第一种可能的实施方式和第一方面的第二种可能的实施方式中的任意一个,在第一方面的第三种可能的实施方式中,
关联到所述接入点的有多个无线终端,所述多个无线终端中包括所述无线终端和另一无线终端,其中,所述无线终端和所述另一无线终端属于不同的虚拟局域网,所述方法还包括:
所述接入点向关联所述接入点的所述另一无线终端发送所述另一无线终端所属的虚拟局域网的另一组密钥;
所述接入点接收另一帧,所述另一帧为所述另一无线终端所属的虚拟局域网的广播帧或者所述另一无线终端所属的虚拟局域网的组播帧;
所述接入点使用所述另一无线终端所属的虚拟局域网的组密钥对所述另一帧加密以得到另一加密帧;
所述接入点在所述接入点的无线局域网之中发送所述另一加密帧。
本发明实施例的第二方面提供一种接入点,包括:
收发器,用于向关联所述接入点的无线终端发送所述无线终端所属的虚拟局域网的组密钥;接收帧,其中,所述帧为所述虚拟局域网的广播帧或者所述虚拟局域网的组播帧;
加密单元,用于使用所述虚拟局域网的组密钥对所述帧加密以得到加密帧;
所述收发器还用于,在所述接入点的无线局域网之中发送所述加密帧。
结合第二方面,在第二方面的第一种可能的实施方式中,
所述帧包括所述虚拟局域网的虚拟局域网标识;其中,所述加密单元具体用于,在去除所述帧中的所述虚拟局域网标识之后,使用所述组密钥对所述帧加密以得到加密帧。
结合第二方面或第二方面的第一种可能的实施方式,在第二方面的第二种可能的实施方式中,
在向关联所述接入点的无线终端发送所述无线终端所属的虚拟局域网的组密钥的方面,所述收发器具体用于:通过组密钥交互消息向所述无线终端发送所述无线终端所属的虚拟局域网的组密钥。
结合第二方面,第二方面的第一种可能的实施方式和第二方面的第二种可能的实施方式中的任意一个,在第二方面的第三种可能的实施方式中,
关联到所述接入点的有多个无线终端,所述多个无线终端中包括所述无线终端和另一无线终端,其中,所述无线终端和所述另一无线终端属于不同的虚拟局域网,
所述收发器还用于,向关联所述接入点的所述另一无线终端发送所述另一无线终端所属的虚拟局域网的另一组密钥;接收另一帧,所述另一帧为所述另一无线终端所属的虚拟局域网的广播帧或者所述另一无线终端所属的虚拟局域网的组播帧;
所述加密单元还用于,使用所述另一无线终端所属的虚拟局域网的组密钥对所述另一帧加密以得到另一加密帧;
其中,所述收发器还用于,在所述接入点的无线局域网之中发送所述另一加密帧。
本发明实施例的第三方面提供一种通信系统,包括接入点和无线终端,所述无线终端关联所述接入点,其中,
所述接入点,用于向所述无线终端发送所述无线终端所属的虚拟局域网的组密钥;接收帧,其中,所述帧为所述虚拟局域网的广播帧或者所述虚拟局域网的组播帧;使用所述虚拟局域网的组密钥对所述帧加密以得到加密帧;在所述接入点的无线局域网之中发送所述加密帧;
所述无线终端,用于接收所述接入点发送的所述组密钥;接收所述接入点发送的所述加密帧,使用所述组密钥对所述加密帧进行解密处理。
结合第三方面,在第三方面的第一种可能的实施方式中,所述系统还包括另一无线终端,所述另一无线终端关联所述接入点,其中,所述无线终端和所述另一无线终端属于不同的虚拟局域网;
所述接入点还用于,向所述另一无线终端发送所述另一无线终端所属的虚拟局域网的另一组密钥;接收另一帧,所述另一帧为所述另一无线终端所属的虚拟局域网的广播帧或者所述另一无线终端所属的虚拟局域网的组播帧;使用所述另一无线终端所属的虚拟局域网的组密钥对所述另一帧加密以得到另一加密帧;在所述接入点所属的无线局域网之中发送所述另一加密帧;
所述另一无线终端,用于接收所述接入点发送的所述另一组密钥;接收所述接入点发送的所述另一加密帧,使用所述另一组密钥对所述另一加密帧进行解密处理。
可以看出,本发明实施例的一些方案中,AP先向关联的无线终端发送该无线终端所属的VLAN的组密钥;当所述AP接收到所述VLAN的广播帧或者组播帧,所述AP使用所述VLAN的组密钥对所述广播帧或组播帧进行加密以得到加密帧,在所述AP所属的WLAN中发送所述加密帧。由于AP向WLAN中的无线终端发送了其所属VLAN的组密钥,不同VLAN的组密钥不同,因此对于AP而言,其在WLAN之内单次发送使用相应组密钥加密而得到的加密帧,也可以成功的实现属于不同VLAN的无线终端之间的广播帧或组播帧隔离,也就是说上述方案有利于降低实现WLAN中无线终端间的VLAN隔离的复杂度,有利于降低AP的帧转发负荷。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种帧传递方法的流程示意图;
图2是本发明实施例提供的另一种帧传递方法的流程示意图;
图3-a是本发明实施例提供的另一种帧传递方法的流程示意图;
图3-b是本发明实施例提供的一种网络架构的示意图;
图3-c是本发明实施例提供的另一种网络架构的示意图;
图3-d~图3-h是本发明实施例提供的几种映射关系表的示意图;
图4是本发明实施例提供的一种AP的结构示意图;
图5是本发明实施例提供的另一种AP的结构示意图;
图6是本发明实施例提供的一种通信系统的示意图。
具体实施方式
本发明实施例提供帧传递方法以及相关装置和通信系统,以期降低实现WLAN中无线终端之间的VLAN隔离的复杂度,并降低AP的帧转发负荷。
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚地描述。
以下分别进行详细说明。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”和“第四”等是用于区别不同对象,而不是用于描述特定顺序。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包括。例如包括了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
首先参见图1,图1为本发明的一个实施例提供的一种帧传递方法的流程示意图。其中,如图1所示,本发明的一个实施例提供的一种帧传递方法可以包括:
S101、AP向关联所述AP的无线终端发送所述无线终端所属的虚拟局域网组密钥。
其中,所述无线终端作为STA可被关联到所述AP。所述无线终端可主动发起关联流程以关联到所述AP。
例如,所述无线终端可为手机、平板电脑、笔记本电脑、可穿戴设备(例如智能手表、智能手环、计步器等等)或者其他的具有无线局域网接入能力的设备。
当所述无线终端被关联到所述AP之后,所述无线终端可以通过所述AP访问AP连接的有线网络或无线网络等,其中,上述无线网络例如可为微波网络或MESH网络等。
其中,所述AP可通过扩展认证协议-密钥(英语:ExtensibleAuthenticationProtocoloverLAN-KEY,缩写:EAPOL-KEY)消息,组密钥交互(英文:GroupKeyHandshake)消息或者其他的消息,向关联所述接入点的无线终端发送所述无线终端所属的虚拟局域网i的组密钥,本发明实施例不具体限定AP具体通过那种消息向关联所述接入点的无线终端发送所述无线终端所属的虚拟局域网的组密钥。
在关联到该AP的多个无线终端分别属于不同VLAN的情况下,该AP为不同VLAN创建不同的组密钥。具体例如,该AP可以为不同VLAN创建不同的组主密钥(英文:groupmasterkey,缩写:GMK),根据各自的GMK推导出不同VLAN的组临时密钥(英文:grouptemporalkey,缩写:GTK),通过EAPOL-KEY消息或组密钥交互消息向属于不同VLAN的无线终端分别发送各自的GTK。该AP可以周期性的更新GTK并将更新后的GTK通过组密钥交互消息发送给对应的无线终端。
所述AP还可进一步向所述无线终端发送单播密钥,所述无线终端还可接收所述AP发送的单播密钥。例如,单播密钥为成对瞬时密钥(英文:pairwisetransientkey,缩写:PTK)。对于所述AP向所述无线终端发送的单播帧,所述无线终端可使用所述单播密钥对接收到的所述加密单播帧进行解密。无线终端例如可以根据接收到的帧的地址1(英文:address1)字段中的接收方地址(英文:receiveraddress,缩写:RA)来确定接收到的该帧是广播帧或组播帧还是单播帧,如果该帧是广播帧或组播帧则无线终端用组密钥解密该帧。所述AP还可为关联该AP的不同无线终端创建不同的单播密钥。
S102、所述AP接收所述VLAN的帧。
其中,所述帧为所述VLAN的广播帧或者所述VLAN的组播帧。
其中,所述AP可通过有线以太网端口从有线网络的路由器、网络交换机或者其他设备接收所述VLAN的广播帧或组播帧。或者,所述AP也可以通过无线端口从无线网络中的另一AP或者其他设备接收所述VLAN的广播帧或组播帧。
其中,所述帧还包括带所述VLAN的VLAN标识(英文:VLANidentifier,缩写:VID)。如果该帧为以太网帧,VID可位于该帧的VLAN标签控制信息(英文:TagControlInformation,缩写:TCI)字段中。AP根据帧中的VID可确定该帧所属的VLAN。
S103、所述AP使用所述VLAN的组密钥对所述帧进行加密以得到加密帧。
可选的,在本发明一些可能的实施方式中,所述使用所述VLAN的组密钥对所述帧进行加密以得到加密帧,包括:
在去除所述帧携带的所述VLAN的VLAN标识之后,使用所述VLAN的组密钥对所述帧进行加密以得到加密帧。
AP加密该帧前将该帧转化为WLAN帧,然后按照WLAN加密方式加密该WLAN帧以得到加密帧。
S104、所述AP在所述AP所属的WLAN之中发送所述加密帧。
其中,所述AP接收到的所述帧和所述AP在所述AP所属的WLAN之中发送的所述加密帧的目的地址相同。也就是说,所述加密帧的目的地址也是广播地址或组播地址。
相应的,所述无线终端若接收到所述AP在所述AP所属的WLAN中发送的上述加密帧,所述无线终端可使用所述VLAN的组密钥对所述加密帧进行解密。其中,由于所述无线终端此前已经获得了所述AP所发送的所述VLANi的组密钥,因此,所述无线终端若使用所述AP所发送的所述VLAN的组密钥对所述加密帧进行解密就可以解密成功。
若存在所述AP所属的WLAN中的被划分到所述VLAN的其他无线终端,若其此前也已经获得了所述AP所发送的所述VLAN的组密钥,则其亦可按照类似方式对接收到的加密帧解密成功。
可选的,在本发明一些可能的实施方式中,关联到所述接入点的有多个无线终端,所述多个无线终端中包括所述无线终端和另一无线终端,其中,所述无线终端和所述另一无线终端属于不同的虚拟局域网,所述方法还包括:所述接入点向关联所述接入点的所述另一无线终端发送所述另一无线终端所属的虚拟局域网的另一组密钥;所述接入点接收另一帧,所述另一帧为所述另一无线终端所属的虚拟局域网的广播帧或者所述另一无线终端所属的虚拟局域网的组播帧;所述接入点使用所述另一无线终端所属的虚拟局域网的组密钥对所述另一帧加密以得到另一加密帧;所述接入点在所述接入点的无线局域网之中发送所述另一加密帧。
可以看出,在不同VLAN的组密钥不同的情况下,对于AP而言,即使采用帧广播方式(即加密帧的目的地址为广播地址或组播地址)而不通过帧单播的方式,也可以基于上述机制来实现属于不同VLAN的无线终端之间的广播帧或组播帧隔离,也就是说,基于上述机制可以实现WLAN中无线终端之间的VLAN隔离。
可选的,所述使用所述VLANi的组密钥对所述帧x进行加密处理以得到加密帧可以包括:基于计数器模式密码块链消息完整码协议(英文:CounterModeCipherBlockChainingMessageAuthenticationCodeProtocol,缩写:CCMP)算法或其他加密算法,使用所述VLANi的组密钥对所述广播帧进行加密处理以得到加密广播帧。
可以看出,本实施例的技术方案中,AP先向关联的无线终端发送该无线终端所属的VLAN的组密钥;当所述AP接收到所述VLANi的广播帧或者组播帧,所述AP使用所述VLANi的组密钥对所述广播帧或组播帧进行加密处理以得到加密帧,在所述AP所属的WLAN中广播所述加密帧。由于AP向WLAN中的无线终端发送了其所属VLAN的组密钥,而不同VLAN的组密钥不同,因此,对于AP而言,即使其在WLAN之内广播使用相应组密钥加密而得到的加密帧,也可以成功的实现属于不同VLAN的无线终端之间的广播帧或组播帧隔离,也就是说,上述方案有利于降低实现WLAN中无线终端间的VLAN隔离的复杂度,有利于降低AP的帧转发负荷。
为便于更好的理解和实施本发明实施例的上述方案,下面结合一些具体的应用场景对相关技术进行介绍。
请参见图2,图2为本发明的一个实施例提供的一种帧传递方法的流程示意图。其中,如图2所示,本发明的另一个实施例提供的另一种帧传递方法可以包括:
S201、无线终端a1关联到AP。
其中,所述无线终端a1作为STA可被关联到所述AP。所述无线终端a1可主动发起关联流程以关联到所述AP。
其中,本发明实施例中提及的无线终端a1例如为手机、平板电脑、笔记本电脑、可穿戴设备(例如智能手表、智能手环、计步器等等)或其他具有WLAN接入能力的无线终端。
其中,无线终端a1可为关联到AP的任意一个无线终端或某个特定的无线终端。
所述AP或控制器或其他控制设备可基于预设的VLAN划分策略为无线终端a1划分VLAN。
可选的,在本发明一些可能的实施方式中,VLAN划分策略可基于网络规划和/或业务需要来确定。
举例来说,VLAN划分策略可基于VLAN负载均衡原则来确定。具体例如AP可配置多个VLAN,而关联到AP的所有无线终端可比较均衡的分布到这些VLAN中,以达到减小广播域等目的。
又举例来说,VLAN划分策略可基于用户身份类型来确定,即不同用户身份类型的无线终端可能被划分到不同的VLAN。具体例如,普通办公用户的无线终端可划分到VLAN10,其中,VLAN10的无线终端例如可允许访问企业内部服务器和设备等内网资源,并且,VLAN10的无线终端不允许访问英特网(英文:Internet);企业访客无线终端划分到VLAN20,VLAN20的无线终端允许访问Internet但不允许访问内网资源,此外,高级办公用户的无线终端可划分到VLAN30,其中,VLAN30的无线终端允许访问企业内部服务器和设备等所有内网资源,且VLAN30的无线终端还允许访问Internet,以此类推。
又例如,VLAN划分策略可根据设备类型来确定。即不同设备类型的无线终端可能被划分到不同的VLAN,同一设备类型的无线终端可能被划分到同一VLAN。具体例如,IP电话终端设备被划分到VLAN10,AP可尽量保障该VLAN10中语音业务的高优先级处理以降低时延。其他类型的无线终端如笔记本等划分到VLAN20,其中,AP以相对较低的优先级对该VLAN20中的业务流量进行处理。
可以理解,在实际应用中VLAN划分策略并不限于上述举例,例如可能将上述几种策略进行一定的组合,或选用其他可行的VLAN划分策略,本发明实施例中并不对其进行限定。
下面假设无线终端a1被划分到VLANi。
S202、所述AP可向所述无线终端a1发送单播密钥ya1。
其中,所述AP可以为其所属WLAN之中的不同无线终端创建不同的单播密钥。
S203、所述AP可向所述无线终端a1发送包括所述无线终端a1所属的VLANi的组密钥的GroupKeyHandshake消息1。
也就是说,所述AP可以通过GroupKeyHandshake消息1向所述无线终端a1发送所述VLANi的组密钥。
进一步的,无线终端a1还可向AP发送用于响应GroupKeyHandshake消息1的GroupKeyHandshake消息2,以表示无线终端a1已经接收到了所述AP向所述无线终端a1发送的GroupKeyHandshake消息1。当然,无线终端a1也可不向AP发送用于响应GroupKeyHandshake消息1的GroupKeyHandshake消息2,即可以省略GroupKeyHandshake消息2。
其中,VLANi的组密钥不同于其他VLAN的组密钥。
可选的,所述AP向无线终端发送组密钥的无线帧可以用该无线终端的单播密钥进行加密。此外,所述AP也可能通过同一条消息向所述无线终端a1发送单播密钥和VLANi的组密钥。
此外,当所述VLANi的组密钥更新时,所述AP可向所述无线终端a1发送包括VLANi对应的更新的组密钥的GroupKeyHandshake消息1。
S204、所述AP从有线网络或无线网络接收帧P1。
其中,所述帧P1可认为是所述AP从有线网络或者无线网络接收到的任意1个帧。
其中,AP从网络中接收到帧后,对于单播帧可使用单播秘钥加密后发送给无线终端;对于广播帧或多播帧使用对应VLAN对应的组秘钥加密后在空口发送。其中,从网络中接收帧的来源可以是有线网络(对应于有线链路)和无线网络(对应于无线链路)。
若帧P1为VLAN的广播帧或组播帧,则执行步骤S205。
若帧P1为所述无线终端a1的单播帧,则执行步骤S207。
S205、若帧P1为VLAN的广播帧或组播帧,所述AP确定接收到的该帧P1所对应的VLAN。
其中,所述AP可根据接收到的帧P1所携带的VLAN标签来确定帧P1所对应的VLAN,即不同VLAN所的VLAN标签不同。或者所述AP也可根据发送帧P1的网络网元来确定帧P1所对应的VLAN。举例来说,例如图3-c举例所示,网关GW1属于VLANi,而网关GW2属于VLANj,因此,对于从网关GW1接收到VLAN的帧P1,AP可确定帧P1为VLANi的广播帧或组播帧,若是从网关GW2接收到VLAN的帧P1,AP确定帧P1为VLANj的广播帧或组播帧,以此类推。
当然,所述AP亦可通过其他方式来确定接收到的帧P1所对应的VLAN。
所述AP若确定出接收到的上述帧P1所对应的VLAN为VLANi,则执行步骤S206。
S206、所述AP在去除帧P1携带所述VLANi的VLAN标签之后,使用所述VLANi的组密钥对所述帧P1进行加密以得到加密帧P1i。
所述AP在其所属的WLAN中发送所述加密帧P1i。
其中,所述AP加密该帧P1前将该帧P1转化为WLAN帧,然后按照WLAN加密方式加密该WLAN帧以得到加密帧P1i。
实践过程中发现,通过去除帧携带的VLAN标签,可以使得相应的无线终端基本不感知VLAN的存在,而无线终端不感知VLAN的存在有利于简化无线终端处理逻辑。
其中,若所述AP接收到的帧P1为广播帧或组播帧,帧P1和所述AP在所述AP所属的WLAN之中发送的所述加密帧P1i的目的地址相同。也就是说,所述加密帧的目的地址也是广播地址或组播地址。
可选的,所述AP使用所述VLANi的组密钥对帧P1进行加密处理以得到加密帧P1i可包括:基于区块密码锁链-信息真实性检查码协议算法或其他加密算法,使用所述VLANi的组密钥对帧P1进行加密处理以得到加密帧P1i。
若所述AP在其所属的WLAN中广播所述加密帧P1i,所述WLAN中包括无线终端a1在内的各无线终端均可接收到所述加密帧P1i。所述无线终端a1可使用所述VLANi的组密钥对所述加密帧P1i进行解密。可以理解,由于所述无线终端a1此前已经获得了所述AP所发送的所述VLANi的组密钥,因此所述无线终端a1若使用所述AP所发送的所述VLANi的组密钥对所述加密帧P1i进行解密处理则可解密成功。
当然,对于所述AP所属的WLAN中的被划分到所述VLANi的其他的无线终端(若存在),若其此前也已经获得了所述AP所发送的所述VLANi的组密钥,则其亦可按照类似方式对接收到的加密帧P1i解密成功。此外,对于所述AP所属的WLAN中的其他未获得所述VLANi的组密钥的无线终端(若存在),举例来说,若所述AP所属的WLAN中还存在无线终端b,其中,假设无线终端b此前已获得所述AP发送的所述VLANj的组密钥(即无线终端b被划分到所述VLANj,当然,也可能还存在其他的一个或者多个无线终端被划分到所述VLANj)。但是,无线终端b此前并未获得所述AP发送的所述VLANi的组密钥,当无线终端b接收到所述AP在所述AP所属的WLAN中广播的所述加密帧P1i,无线终端b使用所述VLANj的组密钥对所述加密帧P1i进行解密,由于组密钥的不匹配,因此,所述无线终端b使用所述AP所发送的所述VLANj的组密钥对所述加密广播帧进行解密处理,当然也就不能够解密成功。可以看出,当不同VLAN的组密钥不同,对于AP而言,即使不通过帧单播的方式而是采用帧广播方式,也可以基于上述机制来实现属于不同VLAN的无线终端之间的广播帧或组播帧隔离,也就是说,基于上述机制也可以实现WLAN中无线终端之间的VLAN隔离。
S207、所述AP使用无线终端a1对应的单播密钥对帧P1进行加密处理以得到加密帧P1i2。所述AP向无线终端a1发送加密帧P1i2。
所述无线终端a1接收到所述加密帧P1i2之后,使用所述无线终端a1的单播密钥ya1对所述加密单播帧进行解密。可以理解,由于所述无线终端a1此前已经获得了所述AP所发送的单播密钥ya1,因此由于单播密钥匹配,所述无线终端a1使用所述AP所发送的单播密钥ya1对所述加密帧P1i2进行解密处理,就可以成功的解密出所述加密单播帧P1i2。
其中,所述AP和无线终端a1之间交互的单播帧均可使用单播单播密钥ya1进行加密后单播发送,例如无线终端a1也可使用单播密钥ya1将单播帧进行加密后向所述AP单播发送。
可以看出,本实施例的方案中,AP先向关联的无线终端发送该无线终端所属的VLANi的组密钥;当所述AP接收到所述VLANi的广播帧或者组播帧,所述AP使用所述VLANi的组密钥对所述广播帧或组播帧进行加密处理以得到加密帧,而后在所述AP所属的WLAN中空口广播所述加密帧。由于AP向WLAN中的无线终端发送了其所属VLAN的组密钥,而不同VLAN的组密钥不同,因此,对于AP而言,即使其在WLAN之内单次发送使用相应组密钥加密而得到的加密帧,也可以成功的实现属于不同VLAN的无线终端之间的广播帧或组播帧隔离,也就是说,上述方案有利于降低实现WLAN中无线终端间的VLAN隔离的复杂度,有利于降低AP的帧转发负荷。
请参见图3-a和图3-b,图3-a为本发明的一个实施例提供的一种帧传递方法的流程示意图。其中,图3-a举例所示的帧传递方法可基于图3-b所示的网络架构来具体实施。如图3-a所示,本发明的另一个实施例提供的另一种帧传递方法可以包括:
S301、无线终端a1关联到AP。
S302、无线终端a2关联到所述AP。
S303、无线终端a3关联到所述AP。
可以理解,步骤S301、S302和S303之间没有必然的先后顺序。
其中,所述无线终端a1、所述无线终端a2和所述无线终端a3作为STA可被关联到所述AP。所述无线终端a1、所述无线终端a2和所述无线终端a3可主动发起关联流程以关联到所述AP。
其中,本发明实施例中提及的无线终端(如所述无线终端a1、所述无线终端a2和所述无线终端a3)例如为手机、平板电脑、笔记本电脑、可穿戴设备(例如智能手表、智能手环、计步器等等)或者其他的具有WLAN接入能力的无线终端。
其中,无线终端a1、所述无线终端a2和所述无线终端a3可为关联到AP的任意3个无线终端或某特定3个的无线终端。
所述AP或控制器或其他控制设备可基于预设的VLAN划分策略为无线终端a1划分VLAN。
可选的,在本发明一些可能的实施方式中,VLAN划分策略可基于网络规划和/或业务需要来确定。
例如,VLAN划分策略可基于VLAN负载均衡原则来确定。具体例如AP可配置多个VLAN,而关联到AP的所有无线终端可比较均衡的分布到这些VLAN中,以达到减小广播域等目的。
又举例来说,VLAN划分策略可基于用户身份类型来确定,即不同用户身份类型的无线终端可能被划分到不同的VLAN。具体例如,普通办公用户的无线终端可划分到VLAN10,其中,VLAN10的无线终端可允许访问企业内部服务器和设备等内网资源,并且VLAN10的无线终端不允许访问Internet;企业访客无线终端划分到VLAN20,其中,VLAN20的无线终端允许访问Internet但不允许访问内网资源,高级办公用户的无线终端可划分到VLAN30,VLAN30的无线终端允许访问企业内部服务器和设备等所有内网资源,并且,VLAN30的无线终端还可允许访问Internet,以此类推。
又例如,VLAN划分策略可根据设备类型来确定。即不同设备类型的无线终端可能被划分到不同的VLAN,同一设备类型的无线终端可能被划分到同一VLAN。具体例如,IP电话终端设备被划分到VLAN10,AP可尽量保障该VLAN10中语音业务的高优先级处理以降低时延。其他类型的无线终端如笔记本等划分到VLAN20,其中,AP以相对较低的优先级对该VLAN20中的业务流量进行处理。
可以理解,在实际应用中VLAN划分策略并不限于上述举例,例如可能将上述几种策略进行一定的组合,或选用其他可行的VLAN划分策略,本发明实施例中并不对其进行限定。
下面假设无线终端a1和无线终端a2被划分到VLANi(即无线终端a1和无线终端a2划分到同一个VLAN),无线终端a3被划分到VLANj。
进一步的,所述AP还可以维护映射关系表f1,其中,映射关系表f1用于记录无线终端和VLAN之间的映射关系。其中,映射关系表f1例如可如图3-d举例所示。
S304、所述AP向所述无线终端a1和所述无线终端a2发送所述VLANi的组密钥。
S305、所述AP还向所述无线终端a3发送所述VLANj的组密钥。
其中,VLANi的组密钥不同于所述VLANj的组密钥。
可以理解,步骤S304和S305之间没有必然的先后顺序。
进一步的,所述AP还可维护映射关系表f2,其中,映射关系表f2用于记录无线终端和组密钥之间的映射关系。其中,映射关系表f2例如可以如图3-e举例所示。
可选的,所述AP还可向所述无线终端a1、无线终端a2和所述无线终端a3分别发送单播密钥,所述无线终端a1、所述无线终端a2和所述无线终端a3还可接收所述AP发送的单播密钥。其中,所述AP可为其所属WLAN中的不同无线终端创建不同的单播密钥,即所述AP向所述无线终端a1、所述无线终端a2和所述无线终端a3分别发送的单播密钥互不相同。例如,对于所述AP向所述无线终端a1发送的单播帧,所述无线终端a1可使用接收到的单播密钥对接收到的加密单播帧进行解密,其他无线终端的处理方式与之类似。
进一步的,所述AP还可维护映射关系表f3,其中,映射关系表f3用于记录无线终端和单播密钥之间的映射关系。其中,映射关系表f2例如可如图3-f举例所示。
进一步的,映射关系表f3与映射关系表f2可合并为一张表,例如可合并为图3-g举例所示的映射关系表f4。进一步的,映射关系表f3、映射关系表f1和映射关系表f2之间也可合并为一张表,例如可合并为图3-h举例所示的映射关系表f5。当然也不限于上述举例的映射关系表合并方式,可根据需要来进行映射关系表的合并或拆分。
S306、所述AP若从网络接收到VLAN的帧P1,其中,帧P1为广播帧或组播帧,所述AP确定接收到的该帧P1所对应的VLAN。
其中,上述帧P1可认为是所述AP从网络接收到VLAN的任意1个广播帧或组播帧。
其中,所述AP可根据接收到的帧P1所携带的VLAN标签来确定广播帧P1所对应的VLAN,即不同VLAN所的VLAN标签不同。或者所述AP也可根据发送帧P1的网络网元来确定帧P1所对应的VLAN。举例来说,例如图4-c举例所示,网关GW1属于VLANi,而网关GW2属于VLANj,因此,对于从网关GW1接收到VLAN的帧P1,AP可确定帧P1为VLANi的帧,若是从网关GW2接收到VLAN的帧P1,AP可确定帧P1为VLANj的帧,以此类推。
当然所述AP亦可通过其他方式来确定接收到的帧P1所对应的VLAN。
所述AP若确定出接收到的该帧P1所对应的VLAN为VLANi,则执行步骤S307。所述AP若确定出接收到的该帧P1所对应的VLAN为VLANj,则执行步骤S308。
S307、所述AP去除所述帧P1中的所述VLANi的VLAN标签之后,使用所述VLANi的组密钥对所述帧P1进行加密以得到加密帧P1i。所述AP在其所属的WLAN中空口发送所述加密帧P1i。
实践过程中发现,通过去除广播帧携带的VLAN标签,可以使得相应的无线终端基本不感知VLAN的存在,而无线终端不感知VLAN的存在有利于简化无线终端处理逻辑。
其中,所述AP加密该帧P1前将该帧P1转化为WLAN帧,然后按照WLAN加密方式加密该WLAN帧以得到加密帧P1i。
其中,若所述AP接收到的帧P1和所述AP在所述AP所属的WLAN之中发送的所述加密帧P1i的目的地址相同。也就是说,所述加密帧的目的地址也是广播地址或组播地址。
可选的,所述AP使用所述VLANi的组密钥对帧P1进行加密处理以得到加密广播帧P1i可包括:基于区块密码锁链-信息真实性检查码协议算法或者其他加密算法,使用所述VLANi的组密钥对所述帧P1进行加密处理以得到加密帧P1i。
若所述AP在其所属的WLAN广播所述加密帧P1i,所述无线终端a1、所述无线终端a2和所述无线终端a3均可接收到所述加密帧P1i。所述无线终端a1和所述无线终端a2使用所述VLANi的组密钥对所述加密帧进行解密。可以理解,由于所述无线终端a1和所述无线终端a2此前已经获得了所述AP所发送的所述VLANi的组密钥,因此所述无线终端a1和无线终端a2若使用所述AP所发送的所述VLANi的组密钥对所述加密帧P1i进行解密处理,可解密成功。其中,所述无线终端a3使用此前已经获得了的所述AP所发送的所述VLANj的组密钥,对所述加密帧P1i进行解密处理,由于组密钥不匹配使得无线终端a3将无法成功解密,所述无线终端a3可丢弃加密帧P1i。
S408、所述AP去除所述帧P1中的所述VLANj的VLAN标签之后,使用所述VLANj的组密钥对帧P1进行加密以得到加密帧P1j。所述AP在其所属的WLAN中空口广播所述加密帧P1j。
其中,若所述AP接收到的帧P1和所述AP在所述AP所属的WLAN之中发送的所述加密帧P1i的目的地址相同。也就是说,所述加密帧的目的地址也是广播地址或组播地址。
可选的,所述AP使用所述VLANj的组密钥对帧进行加密处理以得到加密帧P1j可包括:基于区块密码锁链-信息真实性检查码协议或其他加密算法,使用所述VLANj的组密钥对所述帧进行加密处理以得到加密帧P1j。
若所述AP在其所属的WLAN广播所述加密帧P1j,所述无线终端a1、所述无线终端a2和所述无线终端a3均可接收到所述加密帧P1j。所述无线终端a1和所述无线终端a2可使用所述VLANj的组密钥对所述加密帧进行解密。可以理解,由于所述无线终端a1和所述无线终端a2此前已经获得了所述AP所发送的所述VLANi的组密钥,因此由于组密钥不匹配,所述无线终端a1和所述无线终端a2若使用所述AP所发送的所述VLANi的组密钥对所述加密帧P1j进行解密处理,就无法解密成功,因此,所述无线终端a1和所述无线终端a2可丢弃加密广播帧P1j。其中,所述无线终端a3使用此前已获得了的所述AP所发送的所述VLANj的组密钥,对所述加密帧P1j进行解密处理,由于组密钥是匹配的,因此无线终端a3将可以解密成功。
可以看出,当不同VLAN的组密钥不同,对于AP而言,即使不通过帧单播的方式而是采用帧广播方式,也可以基于上述机制来实现属于不同VLAN的无线终端之间的广播帧或组播帧隔离,也就是说,基于上述机制也可以实现WLAN中无线终端之间的VLAN隔离。
可以看出,本实施例的技术方案中,AP先向关联的无线终端发送该无线终端所属的VLANi的组密钥;当所述AP接收到所述VLANi的广播帧或者组播帧,所述AP使用所述VLANi的组密钥对所述广播帧或组播帧进行加密处理以得到加密帧,而后在所述AP所属的WLAN中空口广播所述加密帧。其中,由于AP向WLAN中的无线终端发送了其所属VLAN的组密钥,而不同VLAN的组密钥不同,因此,对于AP而言,即使其在WLAN之内单次发送使用相应组密钥加密而得到的加密帧,也可以成功的实现属于不同VLAN的无线终端之间的广播帧或组播帧隔离,也就是说,上述方案有利于降低实现WLAN中无线终端间的VLAN隔离的复杂度,有利于降低AP的帧转发负荷。
下面还提供用于实施上述方案的相关装置。
参见图4,本发明的一个实施例提供的一种接入点400可包括:收发器410和加密单元420。
收发器410,用于向关联所述接入点400的无线终端发送所述无线终端所属的虚拟局域网的组密钥;接收帧,其中,所述帧为所述虚拟局域网的广播帧或者所述虚拟局域网的组播帧;
加密单元420,用于使用所述虚拟局域网的组密钥对所述帧加密以得到加密帧;
其中,所述收发器410还用于,在所述接入点400的无线局域网之中发送所述加密帧。
其中,收发器410接收到的所述帧的目的地址和收发器410在所述AP所属的WLAN之中发送的所述加密帧的目的地址相同。也就是说,所述加密帧的目的地址也是广播地址或组播地址。
可选的,所述帧包括所述虚拟局域网的虚拟局域网标识;其中,所述加密单元420具体用于,在去除所述帧中的所述虚拟局域网标识之后,使用所述组密钥对所述帧加密以得到加密帧。
可选的,在向关联所述接入点的无线终端发送所述无线终端所属的虚拟局域网的组密钥的方面,所述收发器420具体用于:通过组密钥交互消息向所述无线终端发送所述无线终端所属的虚拟局域网的组密钥。
可选的,关联到所述接入点的有多个无线终端,所述多个无线终端中包括所述无线终端和另一无线终端,其中,所述无线终端和所述另一无线终端属于不同的虚拟局域网,
所述收发器410还用于,向关联所述接入点的所述另一无线终端发送所述另一无线终端所属的虚拟局域网的另一组密钥;接收另一帧,所述另一帧为所述另一无线终端所属的虚拟局域网的广播帧或者所述另一无线终端所属的虚拟局域网的组播帧;
所述加密单元420还用于,使用所述另一无线终端所属的虚拟局域网的组密钥对所述另一帧加密以得到另一加密帧;
其中,所述收发器410还用于,在所述接入点的无线局域网之中发送所述另一加密帧。
可以理解的是,本实施例的接入点400的功能模块的功能可以根据上述方法实施例中的方法具体实现,其具体实现过程可以参照上述方法实施例的相关描述,此处不再赘述。
可以看出,本实施例的技术方案中,AP400先向关联的无线终端发送该无线终端所属的VLANi的组密钥;当所述AP接收到所述VLANi的广播帧或者组播帧,所述AP使用所述VLANi的组密钥对所述广播帧或组播帧进行加密处理以得到加密帧,在所述AP所属的WLAN中广播所述加密帧。由于AP向WLAN中的无线终端发送了其所属VLAN的组密钥,而不同VLAN的组密钥不同,因此,对于AP而言,即使其在WLAN之内单次发送使用相应组密钥加密而得到的加密帧,也可以成功的实现属于不同VLAN的无线终端之间的广播帧或组播帧隔离,也就是说,上述方案有利于降低实现WLAN中无线终端间的VLAN隔离的复杂度,有利于降低AP的帧转发负荷。
图5为本发明提供的一种接入点500的结构示意图。如图5所示,本实施例的接入点500包括处理器502、存储器503、无线接口504、有线接口505和加密处理芯片506。处理器502可以通过总线501或其它结构连接到存储器503、无线接口504、有线接口505和加密处理芯片506。
其中,处理器502可以是中央处理器(英文:centralprocessingunit,缩写:CPU)或CPU和其他芯片的组合。存储器503可以包括易失性存储器(英文:volatilememory),例如随机存取存储器(英文:random-accessmemory,缩写:RAM);存储器503也可以包括非易失性存储器(英文:non-volatilememory),例如只读存储器(英文:read-onlymemory,缩写:ROM),快闪存储器(英文:flashmemory),硬盘(英文:harddiskdrive,缩写:HDD)或固态硬盘(英文:solid-statedrive,缩写:SSD);存储器503还可以包括上述种类的存储器的组合。存储器503中存储有关联该AP的无线终端所属的VLAN以及各个VLAN的组密钥。存储器503中还存储有代码。处理器502调用存储器503中存储的代码以执行以下流程:
通过无线接口504向关联所述接入点500的无线终端发送所述无线终端所属的虚拟局域网的组密钥;通过无线接口504或通过有线接口505接收帧,所述帧为所述虚拟局域网的广播帧或者所述虚拟局域网的组播帧;
加密处理芯片506,用于使用所述虚拟局域网的组密钥对所述帧加密以得到加密帧;
其中,处理器502还通过无线接口504在所述接入点500的无线局域网之中发送所述加密帧。
其中,处理器502通过无线接口504或通过有线接口505接收到的所述帧的目的地址和处理器502通过无线接口504在所述AP所属的WLAN之中发送的所述加密帧的目的地址相同。也就是说,所述加密帧的目的地址也是广播地址或组播地址。
可选的,所述帧包括所述虚拟局域网的虚拟局域网标识,
其中,所述加密处理芯片506具体用于,在处理器502去除所述帧中的所述虚拟局域网标识之后,使用所述组密钥对所述帧加密以得到加密帧。
可选的,在向关联所述接入点的无线终端发送所述无线终端所属的虚拟局域网的组密钥的方面,所述处理器502具体用于:通过无线接口504通过组密钥交互消息向所述无线终端发送所述无线终端所属的虚拟局域网的组密钥。
可选的,关联到所述接入点的有多个无线终端,所述多个无线终端中包括所述无线终端和另一无线终端,其中,所述无线终端和所述另一无线终端属于不同的虚拟局域网。
所述处理器502还用于通过无线接口504向关联所述接入点500的所述另一无线终端发送所述另一无线终端所属的虚拟局域网的另一组密钥;通过无线接口504或通过有线接口505接收另一帧,所述另一帧为所述另一无线终端所属的虚拟局域网的广播帧或者所述另一无线终端所属的虚拟局域网的组播帧;
加密处理芯片506还用于,使用所述另一无线终端所属的虚拟局域网的组密钥对所述另一帧加密以得到另一加密帧;
其中,其中,处理器502还通过无线接口504在所述接入点500的无线局域网之中发送所述另一加密帧。
可以理解,本实施例的AP500的功能模块的功能可根据上述方法实施例中的方法具体实现,其具体实现过程可参照上述方法实施例的相关描述,此处不再赘述。
可以看出,本实施例的技术方案中,AP500先向关联的无线终端发送该无线终端所属的VLAN的组密钥;当所述AP接收到所述VLAN的广播帧或者组播帧,所述AP使用所述VLAN的组密钥对所述广播帧或组播帧进行加密处理以得到加密帧,在所述AP所属的WLAN中广播所述加密帧。由于AP向WLAN中的无线终端发送了其所属VLAN的组密钥,而不同VLAN的组密钥不同,因此对于AP而言,即使其在WLAN之内单次发送使用相应组密钥加密而得到的加密帧,也可以成功的实现属于不同VLAN的无线终端之间的广播帧或组播帧隔离,也就是说,上述方案有利于降低实现WLAN中无线终端间的VLAN隔离的复杂度,有利于降低AP的帧转发负荷。
参见图6,本发明的另一个实施例提供的一种通信系统,包括:接入点610和无线终端620。
其中,所述无线终端620关联接入点610;
接入点610,用于向所述无线终端620发送所述无线终端620所属的虚拟局域网的组密钥;接收帧,其中,所述帧为所述虚拟局域网的广播帧或者所述虚拟局域网的组播帧;使用所述虚拟局域网的组密钥对所述帧加密以得到加密帧;在所述接入点610的无线局域网之中发送所述加密帧;
所述无线终端620,用于接收所述接入点610发送的所述无线终端所属的虚拟局域网的组密钥;接收所述接入点610发送的所述加密帧,使用所述组密钥对所述加密帧进行解密处理。其中,无线终端620确定加密帧中的地址1字段为组地址或广播地址,则使用组密钥解密该加密帧。
可选的,所述通信系统还可包括另一无线终端,其中,所述另一无线终端关联所述接入点,其中,所述无线终端和所述另一无线终端属于不同的虚拟局域网。
所述接入点610还用于,向所述另一无线终端发送所述另一无线终端所属的虚拟局域网的另一组密钥;接收另一帧,所述另一帧为所述另一无线终端所属的虚拟局域网的广播帧或者所述另一无线终端所属的虚拟局域网的组播帧;使用所述另一无线终端所属的虚拟局域网的组密钥对所述另一帧加密以得到另一加密帧;在所述接入点610所属的无线局域网之中发送所述另一加密帧。
所述另一无线终端,用于接收所述接入点发送的所述另一组密钥;接收所述接入点发送的所述另一加密帧,使用所述另一组密钥对所述另一加密帧进行解密处理。
例如,所述无线终端可为手机、平板电脑、笔记本电脑、可穿戴设备(例如智能手表、智能手环、计步器等等)或者其他的具有无线局域网接入能力的设备。
可以理解的是,本实施例的无线终端620的功能可根据上述方法实施例中的方法具体实现,其具体实现过程可以参照上述方法实施例的相关描述,此处不再赘述。
可以理解的是,本实施例的接入点610的功能可根据上述方法实施例中的方法具体实现,其具体实现过程可以参照上述方法实施例的相关描述,此处不再赘述。
可以看出,本实施例的技术方案中,关联到AP的无线终端620接收接入点610发送的所述无线终端所属的VLANi的组密钥之后,所述无线终端若接收到所述AP在所述AP所属的WLAN中广播的加密帧,可使用所述VLANi的组密钥对所述加密帧进行解密。可以理解,当所述无线终端接收到所述AP广播的加密帧为VLANi对应的帧,该无线终端使用所述VLANi的组密钥便可对加密帧进行成功解密,而当无线终端接收到所述AP广播的加密帧并非为VLANi对应的帧,若该无线终端此前未获得相应VLAN的组密钥其不能成功解密该加密帧。其中,由于AP向WLAN中的无线终端发送了其所属VLAN的组密钥,而不同VLAN的组密钥不同,因此对于AP而言,即使其在WLAN之内单次发送使用相应组密钥加密而得到的加密帧,也可以成功的实现属于不同VLAN的无线终端之间的广播帧或组播帧隔离,也就是说,上述方案有利于降低实现WLAN中无线终端间的VLAN隔离的复杂度,有利于降低AP的帧转发负荷。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置,可通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
上述实施例方法中的全部或部分步骤是可以通过程序来指令处理器完成,所述的程序可以存储于计算机可读存储介质中。基于这样的理解,本发明的技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质是非短暂性(英文:non-transitory)介质,例如随机存取存储器,只读存储器,快闪存储器,硬盘,固态硬盘,磁带(英文:magnetictape),软盘(英文:floppydisk),光盘(英文:opticaldisc)及其任意组合。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。

Claims (10)

1.一种帧传递方法,其特征在于,包括:
接入点向关联所述接入点的无线终端发送所述无线终端所属的虚拟局域网的组密钥;
所述接入点接收帧,其中,所述帧为所述虚拟局域网的广播帧或者所述虚拟局域网的组播帧;
所述接入点使用所述虚拟局域网的组密钥对所述帧加密以得到加密帧;
所述接入点在所述接入点的无线局域网之中发送所述加密帧。
2.根据权利要求1所述的方法,其特征在于,所述帧包括所述虚拟局域网的虚拟局域网标识;其中,所述使用所述虚拟局域网的组密钥对所述帧加密以得到加密帧包括:在去除所述帧中的所述虚拟局域网标识之后,使用所述组密钥对所述帧加密以得到加密帧。
3.根据权利要求1或2所述的方法,其特征在于,
所述向关联所述接入点的无线终端发送所述无线终端所属的虚拟局域网的组密钥包括:通过组密钥交互消息向所述无线终端发送所述无线终端所属的虚拟局域网的组密钥。
4.根据权利要求1至3任一项所述的方法,其特征在于,
关联到所述接入点的有多个无线终端,所述多个无线终端中包括所述无线终端和另一无线终端,其中,所述无线终端和所述另一无线终端属于不同的虚拟局域网,所述方法还包括:
所述接入点向关联所述接入点的所述另一无线终端发送所述另一无线终端所属的虚拟局域网的另一组密钥;
所述接入点接收另一帧,所述另一帧为所述另一无线终端所属的虚拟局域网的广播帧或者所述另一无线终端所属的虚拟局域网的组播帧;
所述接入点使用所述另一无线终端所属的虚拟局域网的组密钥对所述另一帧加密以得到另一加密帧;
所述接入点在所述接入点的无线局域网之中发送所述另一加密帧。
5.一种接入点,其特征在于,包括:
收发器,用于向关联所述接入点的无线终端发送所述无线终端所属的虚拟局域网的组密钥;接收帧,其中,所述帧为所述虚拟局域网的广播帧或者所述虚拟局域网的组播帧;
加密单元,用于使用所述虚拟局域网的组密钥对所述帧加密以得到加密帧;
所述收发器还用于,在所述接入点的无线局域网之中发送所述加密帧。
6.根据权利要求5所述的接入点,其特征在于,
所述帧包括所述虚拟局域网的虚拟局域网标识;其中,所述加密单元具体用于,在去除所述帧中的所述虚拟局域网标识之后,使用所述组密钥对所述帧加密以得到加密帧。
7.根据权利要求5或6所述的接入点,其特征在于,
在向关联所述接入点的无线终端发送所述无线终端所属的虚拟局域网的组密钥的方面,所述收发器具体用于:通过组密钥交互消息向所述无线终端发送所述无线终端所属的虚拟局域网的组密钥。
8.根据权利要求5至7任一项所述的接入点,其特征在于,
关联到所述接入点的有多个无线终端,所述多个无线终端中包括所述无线终端和另一无线终端,其中,所述无线终端和所述另一无线终端属于不同的虚拟局域网,
所述收发器还用于,向关联所述接入点的所述另一无线终端发送所述另一无线终端所属的虚拟局域网的另一组密钥;接收另一帧,所述另一帧为所述另一无线终端所属的虚拟局域网的广播帧或者所述另一无线终端所属的虚拟局域网的组播帧;
所述加密单元还用于,使用所述另一无线终端所属的虚拟局域网的组密钥对所述另一帧加密以得到另一加密帧;
其中,所述收发器还用于,在所述接入点的无线局域网之中发送所述另一加密帧。
9.一种通信系统,其特征在于,包括:
接入点,用于向关联所述接入点的无线终端发送所述无线终端所属的虚拟局域网的组密钥;接收帧,其中,所述帧为所述虚拟局域网的广播帧或者所述虚拟局域网的组播帧;使用所述虚拟局域网的组密钥对所述帧加密以得到加密帧;在所述接入点的无线局域网之中发送所述加密帧;
所述无线终端,用于接收所述接入点发送的所述组密钥;接收所述接入点发送的所述加密帧,使用所述虚拟局域网的组密钥对所述加密帧进行解密。
10.根据权利要求9所述的通信系统,其特征在于,所述通信系统还包括另一无线终端,所述另一无线终端关联所述接入点,其中,所述无线终端和所述另一无线终端属于不同的虚拟局域网;
所述接入点还用于,向所述另一无线终端发送所述另一无线终端所属的虚拟局域网的另一组密钥;接收另一帧,所述另一帧为所述另一无线终端所属的虚拟局域网的广播帧或者所述另一无线终端所属的虚拟局域网的组播帧;使用所述另一无线终端所属的虚拟局域网的组密钥对所述另一帧加密以得到另一加密帧;在所述接入点所属的无线局域网之中发送所述另一加密帧;
所述另一无线终端,用于接收所述接入点发送的所述另一组密钥;接收所述接入点发送的所述另一加密帧,使用所述另一组密钥对所述另一加密帧进行解密处理。
CN201410855654.2A 2014-12-31 2014-12-31 帧传递方法以及相关装置和通信系统 Withdrawn CN105812219A (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN201410855654.2A CN105812219A (zh) 2014-12-31 2014-12-31 帧传递方法以及相关装置和通信系统
EP15200632.6A EP3041277A1 (en) 2014-12-31 2015-12-17 Frame transfer method, related apparatus, and communications system
US14/983,206 US20160192187A1 (en) 2014-12-31 2015-12-29 Frame Transfer Method, Related Apparatus, and Communications System

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410855654.2A CN105812219A (zh) 2014-12-31 2014-12-31 帧传递方法以及相关装置和通信系统

Publications (1)

Publication Number Publication Date
CN105812219A true CN105812219A (zh) 2016-07-27

Family

ID=55070704

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410855654.2A Withdrawn CN105812219A (zh) 2014-12-31 2014-12-31 帧传递方法以及相关装置和通信系统

Country Status (3)

Country Link
US (1) US20160192187A1 (zh)
EP (1) EP3041277A1 (zh)
CN (1) CN105812219A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018161939A1 (zh) * 2017-03-09 2018-09-13 华为技术有限公司 一种组播业务处理方法及接入点
US11108837B2 (en) 2017-01-09 2021-08-31 Huawei Technologies Co., Ltd. Media downlink transmission control method and related device

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3211838B1 (de) * 2016-02-29 2018-08-29 Siemens Aktiengesellschaft Redundant betreibbares industrielles kommunikationssystem, verfahren zu dessen betrieb und funk-transceiver-station
US10944734B2 (en) * 2018-08-17 2021-03-09 Cisco Technology, Inc. Creating secure encrypted broadcast/multicast groups over wireless network
JP7263098B2 (ja) * 2018-12-27 2023-04-24 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 端末、通信方法、および、プログラム

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7301946B2 (en) * 2000-11-22 2007-11-27 Cisco Technology, Inc. System and method for grouping multiple VLANs into a single 802.11 IP multicast domain
US9326144B2 (en) * 2013-02-21 2016-04-26 Fortinet, Inc. Restricting broadcast and multicast traffic in a wireless network to a VLAN

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11108837B2 (en) 2017-01-09 2021-08-31 Huawei Technologies Co., Ltd. Media downlink transmission control method and related device
WO2018161939A1 (zh) * 2017-03-09 2018-09-13 华为技术有限公司 一种组播业务处理方法及接入点
US11432140B2 (en) 2017-03-09 2022-08-30 Huawei Technologies Co., Ltd. Multicast service processing method and access point

Also Published As

Publication number Publication date
US20160192187A1 (en) 2016-06-30
EP3041277A1 (en) 2016-07-06

Similar Documents

Publication Publication Date Title
KR101826936B1 (ko) 주소지정 식별자를 할당하는 방법, 액세스 포인트, 스테이션 및 통신 시스템
US7594262B2 (en) System and method for secure group communications
EP2731292B1 (en) Access point device, system and relevant method for wireless local area network
US9742738B2 (en) Method and apparatus for enforcing storage encryption for data stored in a cloud
JP2020535744A (ja) Wi−fiネットワークへの制御されたゲストアクセス
US20160036813A1 (en) Emulate vlans using macsec
CN105812219A (zh) 帧传递方法以及相关装置和通信系统
US20190166492A1 (en) System and Method for Wireless Network Access Protection and Security Architecture
US9326144B2 (en) Restricting broadcast and multicast traffic in a wireless network to a VLAN
US8897452B2 (en) Network having multicast security and method therefore
US20150288651A1 (en) Ip packet processing method and apparatus, and network system
WO2013118096A1 (en) Method, apparatus and computer program for facilitating secure d2d discovery information
CN102546184B (zh) 传感网内消息安全传输或密钥分发的方法和系统
CN105025472B (zh) 一种wifi接入点加密隐藏及发现的方法及其系统
CN105487517A (zh) 一种家居wifi网络系统的自动组网方法
CN106027491B (zh) 基于隔离ip地址的独立链路式通信处理方法和系统
CN105981028A (zh) 通信网络上的网络元件认证
US10936674B2 (en) Policy-based trusted peer-to-peer connections
WO2014194818A1 (zh) 一种用于发现设备的用户的方法和用户设备
US9473401B2 (en) Network separation method and network separation device
WO2016078375A1 (zh) 数据传送方法及装置
KR101784240B1 (ko) 넌어드레스 네트워크 장비를 이용한 통신 보안 시스템 및 방법
CN109361684B (zh) 一种vxlan隧道的动态加密方法和系统
KR20150060050A (ko) 네트워크 장치 및 네트워크 장치의 터널 형성 방법
CN105610599B (zh) 用户数据管理方法及装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C04 Withdrawal of patent application after publication (patent law 2001)
WW01 Invention patent application withdrawn after publication

Application publication date: 20160727