用于在诸如WLAN的无线网络中执行访问控制和/或转发控制的方法和装置与流程

用于在诸如wlan的无线网络中执行访问控制和/或转发控制的方法和装置
1.分案说明
2.本技术是中国国家申请号为201880067049.5的发明专利申请的分案申请。
技术领域
3.本技术涉及无线网络，并且更具体地，涉及可以被用于控制和/或限制传达的信息(例如，业务)的访问的方法和/或装置，该传达的信息(例如，业务)使用wlan(无线局域网)或者另一网络而被传达。


背景技术：

4.无线局域网(wlan)和各种其他类型的网络通常被用于在无线设备(诸如，蜂窝电话)之间并且因此，在使用不同蜂窝电话的用户之间传达信息(例如，数据)。一种用于通过使用加密来提供安全性的常用方法涉及使用所谓的psk，该psk代表预共享密钥。
5.在许多系统中，为了避免未经授权使用网络以及为在空中传送(transmit)的信息提供安全性，无线地在空中被传送的信息通常使用有时也被称为加密密钥的安全密钥来加密。wifi系统通常依赖于针对安全性使用预共享密钥(psk)以实现这种加密。在这种系统中，psk通常与其他信息或者值结合使用以生成短期加密密钥，该短期加密密钥被用于对在特定通信会话和/或有限时间段内的通信进行加密和/或解密。虽然在这种系统中，psk可能不被用来直接对特定通信进行加密或者解密，但是psk实现了并且被用于保护通信(例如，对通信进行加密)，因为其被用于生成瞬态加密密钥，该瞬态加密密钥被用于对传送的或者接收到的通信执行实际的加密/解密。
6.wi-fi保护接入(wpa)是由wi-fi联盟开发用于保护依赖于使用psk的无线计算机网络的常用安全协议。
7.个人版wpa(有时也被称为wpa-psk(预共享密钥)模式)是设计用于家庭网络和小型办公室网络的通用安全方法，在家庭网络和小型办公室网络中，每个无线网络设备使用256位密钥来对网络业务进行加密。该密钥可以被录入作为64位十六进制数字的串或者作为8至63个ascii字符的密码。
8.受wpa安全保护的wlan通常对在wlan上的所有站使用单个psk(预共享密钥)。一些供应方在单个wlan上允许多个psk(“专用psk”或者“每用户psk”)。在单个psk由所有设备使用的正常实现中或者在不同用户使用不同psk的实现中，当数据从无线站到达时，站的mac地址被用来查找适当的密钥，该适当的密钥然后被用于对业务进行解密。然后，等效的密钥查找被用来在将接收到的业务传输至目的地设备之前对接收到的业务进行重新编码。因此，一旦数据被接收到，数据就被解码，并且然后在传输之前被重新编码。
9.虽然psk被用来保护通过空中链路发送的业务，但是在业务被解码之后，假设接收接入点成功地对内容进行了解码，在常规系统中，原始psk不影响或者影响路由决定或者重传决定，其中已被成功解码的数据基于已解码的业务中所包括的目的地地址或者其他目的
地指示符而被路由和传送。
10.随着设备成为多模式设备，将在一个网络上传送的数据传送至另一网络以递送至目的地设备变得越来越普遍。不同的网络可以使用不同的加密技术，并且在当前系统中，可能不了解在最初对通过通信网络发送的业务进行加密的方式，例如，针对到达从发送业务的原始无线终端接收业务的接入点的传输。
11.一种用于数据安全性的方法是：在数据从源设备被传送至目的地设备时使数据保持加密形式，从而通过要求接收设备能够以传送的数据的原始形式对传送的数据进行解密来提供安全性。这种端到端加密通常是在无线终端与接入点之间的空中链路上使用的加密的补充，并且与之无关。当这种端到端加密被使用时，业务在其上被传送的一个或者多个网络通常仅充当递送设备，其中终端设备负责确保其接收到的业务实际上是设备能够进行解密并且使用的业务。在这种端到端加密方法中，接收它们没有资格接收的数据的设备将不能对数据进行解密，因为它们将缺少执行这种加密所需的安全密钥；然而，当递送被寻址到目的地设备的这种内容时，网络资源将已经被浪费。
12.虽然在一些情况下，在接入点处传送业务但是不对其进行解密可能提高端到端安全性，但是这往往增加开销，并且可能导致将业务传达/转发至将不能对内容进行解密并且不应该首先接收到业务的设备。
13.通过上面的讨论，应该了解，在至少一些而并非所有情况下，以加密形式传达业务(该业务不可被用于传达业务的网络设备解码)可能是浪费的，并且导致传送和传达以下数据：该数据最终将不会被使用，并且或许永远都不应该首先被递送，而是可能由于寻址错误或者出于某种其他原因而被递送。
14.如果以下改进的方法和/或装置可以被开发出来，则这将是所期望的：这些方法和/或装置可以被用于基于设备对加密密钥的访问来限制对内容的访问和/或对内容的转发，而不需要(在一些而并非所有情况下)在内容通过一个或者多个通信网络被传送时对内容进行端到端加密。


技术实现要素：

15.描述了用于在无线通信系统中控制传达的信息(例如，业务)的访问和/或转发传达的信息(例如，业务)的方法和装置。在各种实施例中，当决定是否向目的地设备提供内容时，考虑到哪个密钥(例如，psk)被用于实现对被传送至接入点以传达至目的地设备的数据进行加密和/或解密。决定是否向目的地设备提供内容是访问控制决定，并且可以涉及确定是否将接收到的数据转发至另一设备(例如，另一接入点)以便递送至目的地设备，和/或可以涉及当目的地设备被附接至与传送设备相同的接入点时，决定是否将数据传送至目的地设备。在各种实施例中，如果目的地设备不与被用于实现对接收到的数据进行加密和/或解密的预共享密钥(psk)相关联(例如，不具有该预共享密钥的访问权限和/或不具有使用该预共享密钥的授权)，则数据不被传达至目的地设备。
16.应该注意，虽然在访问控制操作期间考虑了被用于实现对要通过发送设备与接入点之间的空中链路来传达的数据进行加密的密钥(例如，psk)，但是在许多情况下，访问控制操作与被用于生成加密密钥的psk解耦合，该加密密钥被用于从目的地设备耦合至其的接入点传送数据(假设其被递送至目的地设备)。换言之，被用于保护发送设备(例如，第一
无线终端)与发送设备耦合至其的第一接入点之间的第一空中链路的psk(例如，第一加密密钥)或者使用加密密钥的安全过程可以或者通常将与被用于保护目的地设备(例如，第二无线终端)与第二无线终端耦合至其的接入点(例如，第二接入点)之间的通信的加密密钥(例如，第二psk)不同。如上面讨论的被用于保护特定通信的psk可以并且通常被用于生成临时的或者瞬态的加密密钥，该临时的或者瞬态的加密密钥然后被用于对在空中传送的无线通信执行实际的加密或者解密。
17.在各种实施例中，数据(例如，业务，诸如，要传达的消息或者其他信息)以加密形式被接收，并且然后被解密，例如，使用第一加密密钥，例如，被用于生成用于进行解密或者加密的瞬态加密密钥的第一psk。预期的目的地设备由目的地地址或者可以并且通常由与业务数据一起被传达的其他目的地标识符标识。检查由发送设备用于实现对要传达至目的地设备的内容进行解密和/或对该内容进行加密的密钥(例如，psk)是否与目的地设备相关联。该检查可以并且有时由充当访问控制设备的设备进行，但是根据特定实施例，可以在系统中的各个位置进行检查。
18.接收要传达的业务的接入点可以并且通常将充当访问控制设备。在目的地设备被附接至与源设备相同的接入点并且了解与目的地设备相关联的一个或者多个密钥(例如，psk)的情况下，这尤其常见，例如，因为其知道什么psk密钥被用于保护接入点与目的地设备之间的通信或者具有由另一设备(诸如，网络中的管理节点)维持或者分布的密钥关联记录的访问权限。如果接收要传达的业务的接入点充当访问控制设备并且确定目的地设备不与被用于实现对被发送至接入点以传达至目的地设备的业务进行解密和/或加密的密钥(例如，psk)相关联，则接入点将丢弃数据，而不将其转发至目的地设备或者网络中内容通过其可以被递送至目的地设备的另一设备。这种方法避免了：当目的地设备不与被用于实现对被传送至第一接入点的业务进行解密的加密密钥(例如，psk)相关联时，通过网络或者在第一接入点的下行链路上发送业务。
19.在一些情况下(诸如，目的地设备没有被直接附接至接收到要传达的数据的第一接入点的那些情况)，第一接入点可以不具有关于哪些密钥(例如，psk)与目的地设备相关联的信息。在这种实施例中，第一接入点利用指示被用于实现对原始加密业务进行解密的加密密钥(例如，psk)的信息来将解密的业务转发至目的地设备。在业务被传达至目的地设备之前，另一网络设备(例如，目的地设备被附接至其的第二接入点)充当访问控制设备，并且进行检查以确保被用于实现对在最初传送的内容进行解密的加密密钥(例如，psk)与目的地设备相关联。
20.例如，考虑目的地设备附接至其的第二接入点充当访问控制设备的实施例。在这种实施例中，第二接入点了解其使用哪个加密密钥(例如，psk)来保护与目的地设备的通信，并且如果其不具有由管理节点或者网络中的其他设备提供的针对目的地设备的密钥关联记录的访问权限，则还可以向目的地设备请求关于哪些其他加密密钥(例如，psk)与设备相关联的信息。
21.如果充当访问控制设备的设备(例如，目的地设备(例如，目的地无线终端)附接至其的接入点)确定目的地设备与被用于实现对由源无线终端传送至第一接入点的业务进行解密的密钥(例如，psk)相关联，则数据利用被用于保护目的地设备与目的地设备附接至其的接入点之间的空中链路并且被传送至目的地设备的任何密钥(例如，psk)来进行安全加
密。使用psk来保护数据可能并且有时确实涉及使用从被用于保护数据的psk生成的瞬态密钥来对要传送的数据进行加密。数据可以并且有时利用与第一密钥(例如，psk)不同的密钥(例如，第二pks)来保护，该第一密钥被用于最初用于保护被传达的数据，例如，实现对传达的数据进行加密和解密。因此，虽然目的地设备可能被要求与被用于保护原始通信的密钥(例如，psk)相关联，但是完全不同的密钥(例如，第二psk)可以被用来保护通过空中链路到达目的地设备的数据。因此，目的地设备耦合至其的接入点不需要使用相同的psk，并且甚至可以使用与由原始的源设备用于通过空中传输的加密方案不同的加密方案。
22.鉴于上述内容，应该了解，根据本发明的方法和装置不仅非常适合于在相同无线网络上的设备之间提供访问控制，而且非常适合于通过空中链路以及潜在地，甚至在空中链路上的不同协议来提供在使用不同的加密和/或安全性的网络之间发送的业务。例如，本文所描述的方法和装置可以被用于在以下设备之间提供访问控制：在wifi网络上操作的源设备与在不同网络(例如，lte网络)上操作的目的地设备，反之亦然。
23.有关上面描述的方法和装置的许多变化是可能的，并且仍然在本发明的范围内。虽然已经在上面的发明内容中讨论了各种实施例，但是应该了解，并非所有实施例都包括相同的特征，并且上面描述的特征中的一些特征并非对于所有实施例而言是必需的。在下面的详细描述中讨论了各种实施例的许多附加特征、实施例和益处。
附图说明
24.图1是根据示例性实施例的示例性系统的图。
25.图2图示了可以在图1中所示出的系统中使用的示例性接入点。
26.图3图示了在一些实施例中使用的示例性密钥关联表。
27.图4图示了密钥信息存储例程，该密钥信息存储例程可以由图1的系统中的管理节点或者其他设备用于创建和/或更新密钥关联表，诸如，在图3中示出的密钥关联表。
28.图5a是根据本发明的一个示例性实施例而实现的通信方法的第一部分。
29.图5b是根据本发明的一个示例性实施例而实现的通信方法的第二部分。
30.图5c是根据本发明的一个示例性实施例而实现的通信方法的第三部分。
31.图5d是根据本发明的一个示例性实施例而实现的通信方法的第四部分。
32.图5e是根据本发明的一个示例性实施例而实现的通信方法的第五部分。
33.图5包括图5a、图5b、图5c、图5d和图5e的组合。
34.图6a是根据示例性实施例的示例性通信方法的流程图的第一部分。
35.图6b是根据示例性实施例的示例性通信方法的流程图的第二部分。
36.图6包括图6a和图6b的组合。
37.图7a是根据示例性实施例的可以被包括在示例性接入点中的示例性组件组装的第一部分。
38.图7b是根据示例性实施例的可以被包括在示例性接入点中的示例性组件组装的第二部分。
39.图7包括图7a和图7b的组合。
40.图8图示了使用安全方法来控制对一个或者多个多播消息的内容的访问的示例性多播实施例。
具体实施方式
41.图1是根据示例性实施例而实现的示例性系统100的绘图。示例性系统100包括位于不同站点的多个客户场所，例如，第一客户场所102(例如，商店或者旅馆)、第二客户场所104(例如，家庭或者办公室)。第一接入点ap1 106(该第一接入点ap1 106可以是例如，wifi接入点)位于第一站点1 102处，而第二接入点ap2 108(该第二接入点ap2 108可以是第二wifi接入点)位于第二站点104处。虽然在图1中示出的示例性系统中针对第一接入点106和第二接入点108使用wifi接入点，但是接入点可以是广泛的不同类型的接入点中的任何接入点，并且在一些实施例中，可以支持多种不同的通信协议和/或标准。例如，代替wifi接入点106、108，可以使用蓝牙接入点，或者可以使用支持蓝牙和wifi两者的ap。
42.系统100还包括第三站点105，宏基站或者毫微微基站(例如，lte基站110)位于该第三站点105。基站110用作使用得到许可的频谱和lte通信协议的第三接入点(ap3)。
43.因此，在示例性系统100中，第一至第三站点各自包括至少一个接入点，这些至少一个接入点被耦合在一起，例如，经由将接入点连接至通信网络149的通信链路146、148、150。通信网络149可以是服务提供方网络、互联网或者被用于连接分别位于第一至第三站点102、104、105的无线接入点106、108和110的一些其他网络。在一些实施例中，安全隧道132在一个或者多个接入点(例如，第一接入点106和第二接入点108)之间被建立，但是一个或者多个安全隧道的使用是可选的。
44.除了接入点106、108、110之外，通信系统100还包括管理节点112，该管理节点112是可选的并且在一些而不是所有实施例中使用。管理节点112包括用于存储无线终端密钥关联信息114的存储设备115。在存在管理节点112的至少一些实施例中，管理节点112负责存储无线终端密钥关联记录114，并且负责通过将密钥关联记录114的副本提供至接入点106、108、110来在需要的基础上使密钥关联信息可用于接入点106、108、110。密钥关联记录存储指示无线终端被允许或者确实使用了哪个或者哪些密钥(例如，psk)/无线终端具有哪个或者哪些密钥(例如，psk)的访问权限的信息。密钥关联表114中的记录标识记录所对应的无线终端和哪些密钥(例如，psk、主密钥或者长期密钥)与无线终端相关联。密钥关联表114中的密钥的有效期可能并且有时超过通信会话的持续时间，并且有效期可以是数天、数周或者甚至更长。密钥关联表114中所指示的密钥可以并且有时是被用于保护无线通信的psk，并且可能被用于生成一个或者多个临时密钥，该一个或者多个临时密钥被用于对通过空中链路发送的通信进行加密和/或解密。在一些实施例中，记录包括无线终端标识符和与无线终端相关联的密钥/加密信息(例如，psk或者无线终端已知的并且可由无线终端使用的其他长期密钥)的列表。为系统中的每个无线终端维持一个记录。管理节点112可以从无线终端接收与单独的无线终端相对应的密钥信息(例如，psk或者其他长期密钥信息)，该无线终端可以向管理节点112或者通过一个或者多个接入点报告其使用或者具有访问权限的密钥，该一个或者多个接入点可以在给定时间向管理节点112报告哪个或者哪些密钥(例如，psk)正用于保护与特定无线终端的通信。管理节点112基于其接收到的信息来更新与单独的无线终端相对应的记录。因此，随着时间的流逝，当多个不同的接入点向管理节点报告哪个密钥(例如，psk)正被用于保护与特定无线终端的通信时，与该无线终端相对应的记录可以并且通常将被更新以反映无线终端具有其在不同的接入点处使用的多个密钥的访问权限。管理节点112所存储的针对单独的无线终端的密钥关联记录可以与被存储在ap中的
wt密钥记录相同或者相似。
45.每个接入点106、108、110与一个或者多个无线终端通信。在图1的系统中，第一无线终端(wt 1)116、第二无线终端(wt 2)118和第三无线终端(wt 3)160被示出为如通过无线通信链路140、142、143表示的那样被附接至ap1 106。ap1 106存储无线终端密钥记录107、123、131的集合。记录集合中的每个记录可以是并且在一些实施例中是包括wt id和与wt相关联的密钥集合(例如，长期密钥，诸如，wifi或其他psk)的单独的记录。例如，记录107包括与wt 1 116相对应的第一标识符wt 1id 122和与第一无线终端wt 1相对应的密钥117的列表。与wt 1相对应的密钥117的集合包括单个密钥psk1，其中带下划线的1用于指示其是被用于保护在空中链路140上的通信(例如，实现对这些通信进行加密和/或解密)的密钥，该空中链路140被用于在wt1 116与ap1 106之间传达业务(例如，数据和/或消息)。无线终端116像ap1 106一样将加密密钥psk 1 117存储在存储器中，其中密钥被用于保护与wt 1 116附接至其的接入点ap1 106的通信。
46.无线终端2 118通过无线链路142被附接至ap 1 106。wt 2 118包括三个不同的psk密钥：psk1、psk3和psk4，其中带下划线的1用于表明其正被用于保护与wt 2 118附接至其的ap1 106的通信。与wt 2 118相对应的被存储在第一接入点106中的密钥记录123反映出：如通过作为记录123的一部分而存在的wt 2id 126指示的，密钥psk 1、psk3和psk4在记录123的密钥部分119中与wt 2相关联。
47.无线终端3 160通过无线链路143被附接至ap 1 106。wt 3 160包括两个不同的psk密钥：psk 2和psk 3，其中带下划线的2用于表明其正被用于保护与wt 3 160附接至其的ap1 106的通信。与wt 3 160相对应的被存储在第一接入点106中的密钥记录131反映出：如通过作为记录131的一部分而存在的wt 3id 134指示的，密钥psk 2和psk 3在记录131的密钥部分133中与wt 3相关联。
48.在图1中，箭头151被用于表示wt2 118到站点2 104的移动，其中该移动被示出为连接至ap 2 108并且用附图标记118'标识以表明：在与移动处于站点1 102时的不同时间，是wt2 118。虽然wt 2118'在站点2处，但是出于示例的目的，假设除了wt 2之外，其他无线终端都没有移动或者改变小区。当在站点2 104处时，无线终端不是使用psk 1，而是使用psk 4来保护与无线终端通过通信链路144附接至其的ap 2 108的通信。ap 2 108包括与wt 2相对应的密钥记录111，该密钥记录111包括密钥信息127，该密钥信息127表明：psk密钥1、psk密钥3和psk密钥4与wt 2相关联，并且密钥psk4正被用于保护与wt 2的通信，该wt 2在记录127中由wt 2id 126标识。
49.由无线终端wt 1 116或者wt 3 160中的一个发送并且被寻址到wt 2的业务数据将由ap 106接收和解密。如果数据来自wt 1 116，则psk 1将被用于实现对业务进行解密，但是如果数据来自wt 3 160，则psk 2将被用于实现对业务进行解密。基于与业务一起发送的目的地标识符(例如，与wt 2 106相对应的目的地地址)，ap 1将基于密钥记录和指示哪个密钥被用于对接收到的、寻址到wt 2的业务进行解密的信息来确定是否允许wt 2 118访问内容(例如，业务)，并且因此，确定是否应该将内容传达至wt 2。在一些实施例中，为了有资格接收通过空中链路从源wt传达至ap的业务，要求目的地设备与由接收ap(例如，ap1 106)用于保护接收到的数据的密钥(例如，psk)相关联(例如，有资格使用密钥和/或具有密钥的访问权限)。
50.在从wt 1 116或者wt 3 160发送的、被定向(例如，被寻址)以用于从wt 1 116或者wt 3 160递送至wt 2的消息的情况下，ap1106将向与wt 2相关联的密钥记录123检查被用于保护被寻址到wt 2的业务(例如，实现对该业务进行加密)的密钥(例如，psk)是否与wt 2相关联。例如，考虑wt 1 116将利用从psk 1生成的可能被认为是“主”密钥的短期密钥来对业务进行加密。psk 1在wt 2的密钥记录123中。因此，当wt 2被附接至ap1 106并且使用psk 1来保护通信时，wt 2有资格接收由wt 1 116发送的内容。如果在接收到来自wt 1 116的业务时，wt 2被附接至ap 1 106，则将满足作为访问控制和/或转发功能的一部分而被执行的密钥关联检查，并且将使用psk 1来重新对业务进行加密以保护通信，并且然后将通过空中链路142来将通信从ap1 106传送至wt 2 118。然而，如果在ap 1 106处接收到被寻址到wt 2的业务时，wt 2被附接至ap2 108，则将例如，经由隧道132来将解密的数据转发至ap 2 108以进行递送。psk4被用于保护在与ap2 108相对应的站点2 104处的业务。在这种情况下，ap2 108将使用psk 4来保护通信，并且作为保护通信的一部分，将使用基于psk4而生成的加密密钥来重新对数据进行加密，并且通过空中链路144来将加密的数据传送至wt 2 118'。因此，应该了解，虽然针对访问控制(例如，转发目的和/或递送目的)考虑了被用于在最初保护要被递送至wt的内容的密钥(例如，psk)，但是被用于在最初保护业务的密钥(例如，psk)不需要是被用于保护业务以进行最终递送的密钥。
51.接入点可以是相同或者不同网络的一部分，并且可以使用相同或者不同的通信协议。例如，在图1的示例中，ap 1 106是使用psk 1来保护与wt 1 116和wt 2 118的通信的wifi接入点，而psk 2被用于保护与wt 3 160的通信。
52.在图1中，ap 3 110是lte基站。其使用lte安全协议和lte加密密钥来保护通过空中链路179到达wt 4 167的通信。wt 4 167是以下多模式设备：该多模式设备在存储器中包括密钥记录163和针对与wifi网络的通信的密钥psk 2和psk 5以及针对在lte空中链路179上的通信的lte密钥1。ap 3 110包括针对wt 4 167的密钥记录175，该密钥记录175在记录175的密钥信息部分163中指示：wt4167与密钥psk 2、psk 5和lte密钥1相关联，以及lte密钥1如通过下划线指示的那样正被用于保护与ap 3 110的通信。
53.虽然无线终端wt 1 116至wt 4 167在图1的示例中被示出为被附接至ap，但是系统包括其他wt和/或ap。例如，在图1中示出了wt 5 180和wt n 182以及这些wt中的每个wt存储和具有访问权限的密钥(例如，psk或者其他长期密钥)。wt 5 180在其存储器中具有密钥记录181以及密钥psk 2和psk 5，并且wt n 182在其存储器中具有密钥记录182以及密钥psk 1和psk 3。当存在时，管理节点112将存储针对系统中的各种无线终端的密钥关联记录，并且根据需要(例如，当特定wt被附接至ap时)或者通过发布它们来将它们提供至ap 106、ap 108、ap 110，使得每个ap具有完整的或者大型的wt密钥关联记录集合，该集合可以用于做出访问控制决定。
54.图2是根据示例性实施例的示例性接入点200(例如，基站)的绘图。在一些实施例中，图1中的接入点(ap1 106、ap2 108、ap3 110)与图2中的接入点200相同。
55.接入点200包括经由总线209被耦合在一起的有线接口202、无线接口204、处理器206(例如，cpu)、存储器212以及组件的组装208(例如，硬件组件的组装，例如，电路的组装)、解密器270、访问控制设备272以及加密设备276，各个元件可以通过该总线209来互换数据和信息。访问控制设备272包括确定组件274。加密设备276包括临时密钥生成器278。有
线接口202包括第一有线接口230和第二有线接口232，该第一有线接口230包括接收器232和发送器234，该第二有线接口232包括接收器236和发送器238。第一有线接口将接入点200耦合至网络和/或互联网。第二有线接口232(例如，以太网接口)将接入点200耦合至以太网网络。无线接口204包括蓝牙低功耗(ble)接口240、wifi接口242(例如，802.11接口)、蓝牙接口244和蜂窝接口246。ble接口240包括：被耦合至接收天线249的接收器248，接入点可以经由该接收天线249来从通信设备(例如，无线终端)接收无线信号；以及被耦合至传送天线251的发送器250，接入点可以经由该传送天线251来向通信设备(例如，无线终端)传送无线信号。wifi接口242包括：被耦合至接收天线253的接收器252，接入点可以经由该接收天线253来从通信设备(例如，无线终端)接收无线信号；以及被耦合至传送天线255的发送器254，接入点可以经由该传送天线255来向通信设备(例如，无线终端)传送无线信号。蓝牙接口244包括：被耦合至接收天线257的接收器256，接入点可以经由该接收天线257来从通信设备(例如，无线终端)接收无线信号；以及被耦合至传送天线259的发送器258，接入点可以经由该传送天线259来向通信设备(例如，无线终端)传送无线信号。蜂窝接口246包括：被耦合至接收天线261的接收器260，接入点可以经由该接收天线261来从通信设备(例如，无线终端)接收无线信号；以及被耦合至传送天线263的发送器262，接入点可以经由该传送天线263来向通信设备(例如，无线终端)传送无线信号。在一些实施例中，相同的天线被用于一个或者多个不同的无线接口。
56.存储器212包括例程214和数据/信息216。例程214包括组件的组装218(例如，软件模块的组装)，该组件的组装218包括至少一个控制例程，该至少一个控制例程在由作为硬件设备的处理器206执行时控制接入点根据本文所描述的方法进行操作以执行被描述为由接入点执行的步骤中的一个、多个或者全部步骤。数据/信息216包括无线终端/密钥关联信息222，在至少一些实施例中，该无线终端/密钥关联信息222包括至少一个密钥关联表，诸如，在图3中示出的密钥关联表。接入点200可以被用作图1中的系统的接入点中的任何一个接入点。接收器252被配置为以加密形式从无线终端接收数据(例如，消息)。接收器252被配置为以加密形式从第一无线终端接收被定向到第二无线终端的所述第一消息，该第一消息使用第一密钥而被保护。
57.解密器270被配置为对以加密形式而接收到的数据(例如，以加密形式而接收到的消息)进行解密以恢复数据(例如，消息)。解密器270被配置为在接入点200处对以加密形式而接收到的第一消息进行解密以恢复第一消息。
58.访问控制设备272基于密钥关联信息来控制对接收到的数据(例如，消息)的访问。访问控制设备272被配置为基于第一密钥来控制对第一消息的访问。确定组件274被配置为确定被用于保护第一消息的第一密钥是否与第二无线终端相关联。确定组件274被配置为确定被用于保护第一消息的第一密钥是否与第二无线终端相关联。确定组件274被配置为从存储的信息(例如，被存储在接入点200中的wt密钥关联记录212或者被存储在管理节点112中的wt密钥关联记录115)确定第二无线终端是否具有第一密钥的访问权限。
59.在一些实施例中，第一密钥是第一预共享密钥(psk)。
60.发送器254或者发送器262被配置为：当确定被用于保护第一消息的第一密钥与第二无线终端相关联并且例如，第二无线终端被附接至接入点200时，将第一消息传达至第二无线终端。
61.发送器234或者发送器238被配置为：当确定(例如，由确定组件274)被用于保护第一消息的第一密钥与第二无线终端相关联并且例如，第二无线终端被附接至与接入点200不同的接入点(例如，被附接至与第一接入点不同的第二接入点)时，将第一消息传送至第二无线终端。
62.访问控制设备272被配置为：响应于确定第一密钥不与第二无线终端相关联，丢弃第一消息，而不将第一消息递送至第二无线终端。
63.加密设备276被配置为：在第二消息被传送至第二无线终端之前，在接入点200(例如，第一接入点)处使用第一密钥来保护第一消息。临时密钥生成器278被配置为从被用于保护通信的加密密钥(例如，从psk)生成临时密钥。临时密钥生成器278被配置为从第一密钥生成临时密钥，该临时密钥由加密设备276用作被用于对接入点200(例如，第一接入点)与第二无线终端之间的通信进行加密作为保护第一消息的一部分的加密密钥。无线终端/密钥关联信息222为一个或者多个wt列出了与一个或者多个无线终端中的每个无线终端相关联的一个或者多个密钥。在一些实施例中，wt/密钥关联信息222列出了与第一无线终端相关联的一个或者多个密钥。在一些实施例中，wt/密钥关联信息222列出了与第二无线终端相关联的一个或者多个密钥。
64.图3示出了示例性密钥关联表300，该示例性密钥关联表300可以并且在一些实施例中是被用作被存储在图1中的ap中的密钥关联表和/或在使用管理节点112的实施例中，被用作管理节点112的wt密钥关联记录114。
65.密钥关联表300包括多个记录，其中表300的每条线(line)(例如，行(row))是与不同无线终端相对应的记录。行312列出了针对记录中的每一列信息的标题，并且指示了列条目中所包括的信息。例如，第一列302包括wt标识符，第二列304包括与在第一列302中标识的行中的wt相关联的密钥集合。第三列304包括指示哪个密钥被用于保护wt与第一接入点106之间的通信的信息。第四列308指示被用于保护记录所对应的wt与第二接入点108之间的通信的密钥，并且第五列310指示由记录中的wt用于与第三接入点110通信的密钥。
66.每一行314、316、318、320、322是与不同wt相对应的记录。例如，行314是针对wt 1 116的记录，并且指示：密钥psk 1与wt 1 116相关联，以及当被附接至第一接入点106时，密钥psk1将被用于保护通信。wt 1 116不具有可以与接入点2或者3一起使用的密钥，并且因此，在列308和310中显示了破折号。
67.行316对应于wt 2 118，并且包括针对wt 2 118的密钥关联记录119。如在列304中可以看出的，wt 2 118与密钥psk 1、psk 3和psk4相关联。从列306可以看出：wt 2 118将使用密钥psk1来与ap 1 106通信。从列308可以看出：wt 2 118将使用psk4来与第二接入点108通信，并且从列310可以看出：wt 2 118不具有用于与lte接入点ap 3 110通信的密钥。
68.行318对应于wt 3 118，在列304中，psk2和psk 3与wt 3 118相关联。wt 3 160将使用密钥psk2来与ap 1 106通信，并且将使用密钥psk2来与ap2 108通信。如从与wt3 160相对应的列310中的破折号可以看出的，wt 3 160也缺少与ap3 110通信的密钥。
69.行320对应于wt 4 167，wt 4 167具有wifi和lte密钥，并且因此，可以与lte接入点ap 3 110通信。从列304可以看出：wt 4 167与psk2、psk 5和lte密钥1相关联。psk 5将由wt 4 167用于与ap 1 106通信，psk 2将由wt 4 167用于与ap 2 108通信，并且lte密钥1将被用于与lte接入点ap 3 110通信。
70.与附加wt相对应的各个行由图3中的
“…”
序列表示。
71.表300的行322对应于wt n 182，密钥psk 1和psk 3与wt n182相关联。wt n 182将使用psk 1来与ap 1 106通信，并且使用psk 3来与ap 2 108通信。从行322的列310可以看出：wt n 182不具有用于与lte接入点ap 3 110通信的密钥。
72.框350不是密钥关联表300的一部分，但是提供有关当在图1中示出的各种wt作为业务(例如，消息或者数据)的源进行操作时，哪些设备交互是可能的信息，使用通信链路来将该业务定向到另一设备，通过使用特定加密密钥来保护该通信链路。
73.根据各种访问控制特征，为了能够访问内容，在一些情况下，要求业务所定向到的目的地设备与加密密钥(例如，psk)或者被用于在通过空中链路从源设备发送业务时保护业务的其他信息相关联(例如，具有该加密密钥或者这些其他信息的访问权限或者有权使用该加密密钥或者这些其他信息)。因此，在至少一些实施例中，消息的源可以向哪些设备发送业务取决于目的地设备是否与以下加密密钥(例如，psk)相关联：该加密密钥被用于在最初保护由业务的源通过空中链路在到达目的地设备的通信路径上发送至第一ap的数据。在目的地设备处使用哪个加密密钥不需要是访问控制决定的一部分，但是在一些高级系统中，可以并且有时根据目的地设备在给定时间正使用的特定密钥来进行访问控制。
74.图4图示了由图1中的系统的管理节点112和/或接入点106、108、110实现的密钥信息存储例程。该例程可以并且有时被用于创建密钥关联记录的集合，诸如，在图3中示出的并且可以由接入点106、108、110和/或管理节点112使用的密钥关联记录的集合。
75.为了解释图4，将假设管理设备112正在实现该方法。然而，应该理解，ap 200可以并且在一些实施例中，确实实现该方法。该方法在步骤402中开始，其中设备(例如，管理节点112或者ap 106、108、110)被上电和/或以其他方式开始实现该方法的步骤。操作从开始步骤402继续进行到步骤404，其中该步骤的集合开始于对一个或者多个无线终端中的每个无线终端执行步骤404。在步骤404中，实现该方法的设备(例如，从无线终端或者服务无线终端的ap)接收与无线终端(例如，由以密钥信息提供的wt标识符标识的无线终端)相关联的一个或者多个加密密钥(例如，psk或者其他非瞬态密钥)的集合。然后，在步骤406中，指示例如与接收到的信息所对应的特定无线终端相关联的加密密钥的集合的信息被存储。在步骤406中，为接收到的密钥信息所对应的无线终端创建和/或更新密钥关联记录。在许多情况下将列出与wt相关联的一个或者多个psk的记录可以并且有时被存储为记录集合407(诸如，在图3中示出的集合)的一部分。
76.操作从步骤406继续进行到步骤408，在该步骤408中，进行检查以确定是否存在针对其要接收和/或存储信息的附加无线终端。如果存在针对其要接收和存储密钥关联信息的附加无线终端，则操作继续进行到步骤404；或者，在已经完成记录集合的情况下，操作继续进行到步骤410，在该步骤410中，指示与一个或者多个无线终端相关联的加密密钥(例如，psk)的集合的信息被存储，例如，被存储在管理节点112和/或一个或者多个接入点106、108、110中的存储设备中。在记录集合完整并且其已经被存储的情况下，方法400在步骤412中停止，直到其再次被激活为止，例如，响应于在提供与wt相对应的密钥信息的ap处检测到新的wt。
77.在一些实施例中，wt提供密钥(例如，psk或者其他长期加密密钥)的列表，这些密钥与该列表相关联，例如，具有该列表的访问权限和可以使用该列表。在其他实施例中，ap
例如，通过尝试多个psk密钥以对从wt接收到的消息进行解密来检测wt正在使用哪个密钥(例如，psk)，并且然后关联被允许成功进行解码(例如，使用从psk生成的临时密钥)的密钥。在这种情况下，ap可以确定并且更新密钥关联表以至少包括其用于保护与wt的通信的psk。然而，在一些实施例中，ap与管理节点112和/或其他ap共享这种信息，该管理节点112和/或其他ap允许随时间更新针对单独的wt的密钥关联记录以包括由无线终端在不同ap处使用的密钥(例如，psk)，而无需wt必须积极地参与提供要包括在密钥关联记录中的信息(例如，psk的列表)。
78.包括图5a至图5d的组合的图5示出了现在将详细讨论的通信方法的步骤500。该方法可以由在图1中示出的示例性系统实现。在图5中示出的方法是通信方法，在该通信方法中，访问控制(例如，业务转发决定)至少部分地基于哪个加密密钥(例如，psk)被用于保护从充当源wt的第一wt传达至ap 106、ap 108或者ap 110以用于递送至另一wt(例如，目的地wt)的内容。在图1中示出的wt中的每个wt都能够充当源ap或者目的地ap。
79.现在为了进行解释而参考在图5中示出的方法，将假设ap1 106是第一接入点，wt 1 116是源wt，并且wt 2 142是目的地wt。方法500在步骤501开始，其中系统的各个组件(例如，接入点和/或管理节点112)被上电。操作从开始步骤501继续进行到接收步骤502，在该接收步骤502中，第一接入点与wt进行通信交换，例如，第一wt 1 116寻求将ap 1 106用于通信目的以确定wt将使用哪个psk来保护与ap 1 106的通信并且确保ap 1 106支持psk。通信交换可以并且在一些实施例中确实涉及ap 1向wt 1 116提供随机数或者其他值作为质询的一部分。wt 1116使用随机数和psk(例如，psk 1)，其旨在用来生成值，例如，使用其已知的psk，ap 1可以将该值与其生成的预期值相比较。在一些实施例中，ap 1 106为可以被用于与ap 106通信的每个psk生成预期值。在其他情况下，为wt指示其旨在使用的psk生成预期值。
80.假设wt 1用从所提供的随机数和其旨在使用的psk生成的值来进行响应，ap 1能够通过以下事实来确定正在使用哪个psk wt 1：响应将与在ap 1处使用对应的psk和ap 1已知的所提供的随机数而生成的预期值相匹配。如果从wt接收到的针对包括随机数的质询的响应不与预期值相匹配，则ap 1可以确定：wt 1正在使用ap 1不支持的psk，并且与ap 1的通信应该被拒绝。
81.在一些而并非所有实施例中，安全通信交换步骤502包括步骤503、504和步骤505。在步骤503中，ap 1向第一wt 1 116提供质询(例如，随机数)。然后，在步骤504中，ap 1 106接收针对质询的响应(例如，由wt 1 116使用随机数和psk(例如，psk 1)生成的值)作为哈希或者其他函数的输入。在步骤505中，ap1 116从针对质询的响应确定wt正在使用哪个psk，例如，通过确定接收到的响应值与在ap 1处从随机数和psk 1生成的预期响应值相匹配，ap 1 106能够确定：wt 1 116正在使用psk 1来与ap 1 106通信。
82.在一些实施例中，步骤505包括步骤506，该步骤506涉及ap 1 106尝试多个psk以确定当与随机数一起使用时，哪个psk产生与接收到的响应相匹配的结果。按照这种方式，即使wt未明确指示(例如，标识)其正在使用的psk，也可以确定wt正在使用哪种支持的psk。如果确定响应不与所支持的psk相对应，则将阻止wt 1 116与ap 1106之间的通信。然而，出于该示例的目的，wt 1 116使用ap 1106所支持的psk 1 117。
83.将对寻求与ap(例如，ap 1 106)通信的每个wt执行通信交换步骤503。按照这种方
式，在业务将通过ap 1 106被传达时，ap 106将知道其与之通信的单独的wt 1 116所使用的psk。通常在确定了与psk(其中所确定的psk被用于生成临时密钥)之后，将被用于对wt 1与ap 1 106之间的通信进行加密/解密的临时密钥被生成。因此，虽然所确定的psk被用于保护wt 1 116与ap 1 106之间的通信，但是经由使用从psk生成的密钥或者使用psk来完成这一点。
84.从步骤503的输出返回到步骤503的开始的箭头旨在指示对通过ap 1 106进行附接或者通信的每个wt执行步骤503。
85.在wt 1 116所使用的psk作为步骤502中的处理的结果的情况下，操作从步骤502继续进行到步骤507。在步骤507中，在ap 1 106处更新密钥关联信息以指示：对其执行了步骤502的wt正在使用所确定的加密密钥(例如，psk)。例如，在步骤507中，将更新存储设备(例如，ap 1 106的存储器)中的密钥关联信息以指示：正在ap 1 106处使用psk 1 117来与第一wt 1 116通信。如在图1中示出的，在针对wt 1的记录107中示出了对psk 1的使用。
86.在步骤507中，更新针对ap 1 106中的源wt 1 116的密钥关联记录以及管理节点112中的密钥关联表。在一些实施例中，通过ap 1 106将密钥信息发送至管理节点112来实现对管理节点112中的密钥信息的更新。随着时间的流逝，当管理节点接收到针对wt的由与wt通信的不同ap得出(例如，使用不同的psk)的密钥信息时，即使wt可能使用单个psk来保护与特定ap的通信，也可以生成与wt相对应的psk的集合。
87.操作经由连接节点508从步骤507继续进行到步骤509。步骤509表示wt 1 116开始使用ap 1 106来向另一wt(例如，wt 2 118)传达消息。
88.在步骤509中，第一接入点106从wt 1 116接收被定向到第二wt 118的第一消息，其中第一消息使用psk而被保护，例如，wt 1 116使用psk 1 117来保护与ap 1 106的通信。操作从接收步骤509继续进行到步骤510，在该步骤510中，第一接入点ap 1 106从存储的信息确定第一wt正用于对从wt 1 116到ap 1 106的通信进行加密的加密密钥(例如，与psk 1相对应的临时密钥)。
89.操作从步骤510继续进行到步骤513，在该步骤513中，第一ap 1106对从第一wt 1 106接收到的加密数据进行解密，例如，使用从被用于保护wt 1 116与ap 1 106之间的通信的psk 1生成的临时加密密钥。
90.在ap 1 106已经在步骤513中对接收到的加密内容进行了解密的情况下，操作经由连接节点514从步骤513继续进行到在图5c中示出的步骤526。在步骤526中，确定接收到的业务的目的地，例如，通过目的地地址(例如，目的地ip地址)或者从源wt 1 116接收到的另一目的地标识符标识出目的地wt 2 118。
91.操作从步骤526继续进行到步骤528。在步骤528中，通过空中链路来从源wt 1 116接收业务的第一ap 1 116检查可用于其的密钥关联信息以确定针对目的地wt 2 118的密钥关联信息是否可用，例如，用于做出访问控制决定，诸如，业务转发或者递送决定。如果目的地wt 2被附接至第一ap 1，则其将至少知道其用于保护与wt 2的通信的密钥和/或由wt 2提供的密钥关联信息，该密钥关联信息可能用于做出访问控制/转发决定。
92.如果在步骤528中，确定从源设备wt 1 116接收到业务的第一ap 1 106具有针对目的地设备的密钥关联信息，则操作从步骤528继续进行到访问控制步骤530。本质上，步骤528决定从源设备向其发送了内容的ap 1 106是否具有与目的地设备wt 2 118相关的密钥
信息，该目的地设备wt 2 118可以或者可以不被附接至ap1 106。基于被用于保护通过空中链路而发送至ap 1 106以递送至wt 2 118的内容(例如，消息)的加密密钥来使用该信息做出访问控制决定。
93.在步骤529中，基于被用于保护通过空中链路而以加密形式被发送至ap 1 106的内容的密钥来做出关于所接收到的已经进行了解密的内容的访问控制决定。在步骤529中，在一些实施例中，在步骤530中，检查被用于成功地对从源设备接收到的第一加密内容进行解密的密钥以确定是否与关联于目的地wt(例如，wt 2 118)的psk相对应。即，确定wt 2是否与由wt 1 116用于保护要传达至wt 2的消息的psk相关联。如果在最初被用于保护通过其来发送内容的通信链路的密钥(例如，psk 1)不与目的地wt 2 119相关联，则决定不允许访问内容，并且操作沿着“否”路径从步骤530继续进行到步骤536，在该步骤536中，ap 1 106采取不将从wt 1 116接收到的消息转发至目的地设备的动作，例如，丢弃内容，而不进行转发。操作经由连接节点f 540从步骤536继续进行到步骤504。
94.如果在步骤530中，确定目的地设备wt 2与被用于保护接收到的内容的密钥(例如，psk 1)相关联，则在步骤531中决定允许目的地设备访问传达的内容，并且然后，操作继续进行到步骤532，在该步骤532中，将从源wt 1 116接收到的并且被解码的内容(例如，业务)传达至目的地设备(例如，wt 2)。与目的地设备的通信可以并且有时确实包括：将内容转发至另一ap(例如，ap 2 108)以进行递送。在子步骤533中(在一些实施例中，该子步骤533是步骤532的一部分)，决定目的地wt 2 118是否被附接至第一ap 1 106，该第一ap 1106接收到要递送的内容并且对其进行解码。如果确定目的地ap未被附接至第一ap 1 106，则操作继续进行到步骤534，其中接收到内容并且对内容进行了解码的第一ap将内容(例如，业务，诸如，数据或者消息)转发至目的地wt 2 118附接至其的ap(例如，ap 2 108)以用于通过目的地wt 118附接至其的ap 2 108来递送至目的地wt 118。安全隧道132可以并且有时被用于将内容转发至目的地wt 2 118附接至其的ap 108。将内容转发至其以进行递送的目的地ap 108将使用密钥psk 4来保护传达的内容，ap 2 118在目的地ap 2 108处使用该密钥psk 4来保护ap 2 108与目的地wt 2 118之间的通信。被用于保护针对目的地wt 2 218的空中传输的psk可能并且通常与由源设备用于保护在最初通过空中链路来将内容传送至ap 1 106的密钥不同。如应该了解的，可以并且有时使用从psk 4生成的临时密钥来对ap 2 108与wt 2 118之间的实际传输进行加密，该psk 4被用于保护wt 2 118与ap 2 108之间的通信。在步骤534中转发了数据以进行递送的情况下，操作经由连接节点g 535从步骤535继续进行到步骤560。
95.如果在步骤533中，确定目的地wt 2 118被附接至与源wt 1 116相同的ap(例如，ap 1 106)，则操作从步骤533继续进行到步骤546，其中当附接至ap 1 106时，将使用psk 1来保护要传达至目的地wt 2118的内容(例如，业务)，该psk 1被用于保护第一ap 1 106与第二wt 2之间的通信。保护要发送至wt 2的消息可以并且有时确实涉及使用从psk 1生成的临时密钥来对消息进行加密，其中临时密钥被用于对针对wt 2 118的空中通信进行加密/解密。
96.操作从步骤546继续进行到步骤548，在该步骤548中，ap 1通过空中链路142将在步骤546中生成的加密内容(例如，业务数据)传送至目的地wt 2 118。然后，操作经由连接节点540返回到步骤509。
97.在步骤528中，如果例如，由ap 1确定从源设备wt 1 116接收到内容的第一接入点ap 1 106不具有可用于目的地wt 2的密钥关联信息(例如，由于没有管理设备112提供密钥信息或者由于针对目的地设备的密钥信息存在于目的地wt 2附接至其的目的地ap 2 118，而不存在于其他地方)，则操作经由连接节点h 542继续进行到步骤550。
98.在步骤550中，ap1转发从源wt 1 116接收到的内容(例如，业务数据)以及指示以下密钥(例如，psk 1)的信息：该密钥被用于在通过空中链路将来自源wt 1 118的内容发送至源ap 106时保护该内容。内容和密钥信息被转发至目的地ap，例如，目的地wt 2 118附接至其的第二ap 108。
99.然后，在步骤552中，目的地ap(例如，目的地设备wt 2 118附接至其的第二ap 108)接收由第一ap 1 106发送的信息，例如，要递送的业务数据、有关被用于在最初保护内容以及信息的密钥的信息，以及例如目的地标识符，诸如，标识目的地设备的地址。通常还会与要递送的内容一起传达源wt 1 116标识符。
100.操作经由连接节点i 554从步骤552继续进行到在图5e中示出的步骤556。在步骤556中，目的地ap(例如，第二ap 118)基于以下密钥(例如，psk 1)来做出访问控制决定：该密钥被用于在通过空中链路将业务从源wt 1 116发送至第一ap 116时保护业务。该步骤涉及进行检查以了解目的地wt是否与以下密钥(例如，psk 1)相关联：该密钥被用于在通过第一空中链路140发送内容时保护内容。
101.在一些实施例中，步骤556包括步骤557，其中目的地ap(例如，ap 118)确定被用于最初保护内容的所标识的密钥psk 1是否与目的地wt 2 118相关联。操作从步骤557继续进行到步骤558，在该步骤558中，检查步骤557中的确定的结果以确定操作是否应该继续进行以允许进行访问决定步骤559或者拒绝访问决定步骤563。
102.例如，考虑wt 2 108与psk 1相关联并且将能够接收由wt 1发送的并且在到ap 1 106的链路140上利用psk 1而保护的内容，在该链路140上，对内容进行解码。但是，如果wt 3 160是目的地设备，则结果大不相同，并且将阻止wt 3接收由wt 1发送的并且利用psk 1而保护的消息，因为wt 3不具有psk 1的访问权限并且不使用psk 1。因此，根据各种实施例，如果wt 1经由ap 1向wt 3发送了在被传送至ap 1 106时利用psk 1而保护的消息，则例如，在步骤564中，将阻止wt 3接收数据。
103.如果在步骤558中，确定被用于保护由源设备wt 1 116发送的内容的密钥(例如，psk 1)不与目的地设备相关联，则操作从步骤558继续进行到步骤563，在该步骤563中，决定拒绝目的地设备wt 3 118访问业务，例如，数据、内容或者消息。然而，在wt 2是目的地设备的示例中，wt 2与psk 1相关联，并且因此，将允许wt 2接收被发送至ap 1的、使用psk 1保护的消息。
104.操作从步骤563继续进行到步骤564，在该步骤564中，拒绝目的地设备wt(例如，wt 3)访问由源设备wt1 116发送的内容，例如，通过不将内容转发至目的地设备，例如，丢弃业务/内容。在丢弃内容的情况下，不具有psk 1的访问权限的wt 3是以下目的地设备的良好的示例：当在ap 1 106处时，该目的地设备将被阻止接收由wt 1发送的内容。
105.操作从步骤564继续进行到在一些而并非所有实施例中实现的步骤566。在步骤566中，目的地ap 108向源ap 106发送向第一接入点ap 1 106通知第一密钥不与目的地wt相关联的消息和/或停止转发从第一wt 1 106接收到的、被定向到以下目的地设备(例如，
wt 3)的业务的消息，使得第一ap 106可以停止转发第二ap 108正丢弃的业务：在一些实施例中，考虑到施加的递送约束，该目的地设备缺乏用于递送的必要密钥关联。按照这种方式，可以通过向ap 1提供使ap知道应该丢弃以下内容而需要的信息来节省将被ap 2 108丢弃的用于转发业务的资源：如果被转发至ap 2 108，则将拒绝访问该内容。操作经由连接节点f 540从步骤565继续进行到步骤509。
106.在步骤558中，如果确定被用于在将传达的业务发送至第一ap 1106时保护传达的业务的第一密钥(例如，psk 1)与目的地wt(例如，wt 2118)相关联，则操作从步骤558继续进行到步骤559，在该步骤559中，第二ap决定允许目的地wt(例如，wt 2 116)访问业务。操作从步骤559继续进行到步骤560，在该步骤560中，第二ap 108将业务(例如，从第一wt 1 106发送的内容)传达至目的地wt 2 108。在一些实施例中，通信步骤560包括加密步骤561，在该加密步骤561中，利用由第二ap 108用于保护与目的地wt 2的通信的密钥(例如，psk 4)来保护要传达的内容。保护步骤561可以并且有时确实包括：利用从psk 4生成的临时加密密钥来对要递送的消息进行加密，该psk 4被用于保护目的地ap 2 108与目的地wt 2 118之间的通信。一旦对业务进行了加密，例如，就在步骤562中通过空中链路将消息发送至目的地设备。注意，在该示例中，当wt 2在ap2处时，将使用psk 4来对由wp1发送的内容进行加密并且通过空中链路144发送该内容以保护ap 2与wt 2之间的通信。保护通信可以并且有时确实涉及使用临时加密密钥来对内容进行加密，该临时加密密钥基于被用于保护通信的psk(例如，psk 4)而被生成。操作经由连接节点f 540从步骤562继续进行到步骤509。
107.按照上面描述的方式，即使在对数据进行了解码和/或转发了数据之后，在执行访问控制操作的通信网络中的节点处，也可以考虑被用于在最初保护数据的加密密钥。因此，虽然原始密钥(例如，psk)被用于保护通信，但是不要求原始密钥将被用于末端传输。然而，在至少一些实施例中，要求内容所定向到的设备与原始密钥相关联(例如，具有密钥的访问权限或者有资格使用密钥)，或者，将阻止对内容的访问。
108.可能并且有时利用加密来保护接入点之间的通信，但是通常在接收内容的ap处对加密的内容进行解密。根据一些实施例，针对数据的中间传输的加密(例如，作为使用安全隧道的一部分)不排除使用本发明中的访问控制技术。在一些实施例中，使用针对ap之间的通信的加密来增加ap之间的安全级别，而未保护ap之间的链路的系统中，可能缺少ap之间的安全级别。然而，不要求针对所有实施例在ap之间使用加密，或者在ap之间使用加密并非对于所有实施例而言都是必要的。
109.各种实施例支持并且允许在wlan上使用多个psk，并且允许多个客户端(例如，无线终端和/或其用户)共享同一psk。
110.被用于与接入点通信的各种实施例psk用于访问控制功能(wxlan)，该访问控制功能(wxlan)允许并且有时涉及使用规则(例如，访问规则和转发规则)，这些规则是基于哪个密钥(例如，psk或者其他长期密钥)被用于保护与ap的通信的集合。只有当无线站使用相同的psk时，才可以使用这一点来仅允许无线站进行通信。这适用于在相同接入点和不同接入点上的无线站。
111.使用共同的psk不会自然地提供这一点，因为psk密码学本身仅被用于保护接入点与无线站之间的空中(over-the-air)数据，而不用于站到站通信。
112.接入控制规则可以应用于在公共接入点上的无线站之间的业务以及在不同接入
点上的无线站之间的业务。例如，如果用户使用其宾馆客房设备正使用的相同psk来连接至大厅接入点，则他们可以访问其宾馆客房设备。
113.考虑在两个学生的情况下使用访问控制发明的以下示例性用例。
114.向学生a分配了psk1，并且学生a使用在其iphone和appletv上的密钥加入了wlan。向学生b分配了psk2，并且学生b使用在其膝上型计算机上的密钥加入了wlan，并且打印机访问控制可以限制学生a只能够与互联网通信以及在其iphone与appletv之间进行通信。学生a的iphone和appletv不能与学生b的膝上型计算机或者打印机通信。这同样适用于学生b(学生b不能与学生a的设备通信，因为他们使用在访问控制组件中不相关联的不同psk)。
115.这不限制对附加访问控制规则的使用。例如，可以允许两个学生访问共享资源，如学校计算机和打印机。
116.在一些实施例中，可以通过利用使用相同密钥的设备将两个计算机连接至wlan并且验证它们可以进行通信来测试访问控制和/或转发的适当功能。另外，可以使用在访问控制组件中不彼此相关联的不同密钥来将2个计算机连接至wlan，并且可以进行验证检查以确保使用不彼此相关联的不同密钥的2个设备不能进行通信。
117.可以在ap之间或者从ap到隧道聚合器使用隧道，并且隧道可以使用相同的密钥来选择性地在无线站之间运输业务。例如，考虑在工作中使用工作接入点的用户。自此，由于隧道组件，用户可以在家中连接至iot设备，并且即使防火墙，也可以使用相同的psk。
118.针对802.1x，可以并且有时支持相似的功能性，其中针对eap-ttls使用相同802.1x证书用户名/密码的无线客户端为其他认证方法发证书。可以并且有时选择性地绑定由用户针对802.1x所使用的证书(例如，使这些证书相关联)，从而使802.1x和用户的psk证书相关联以允许使用任何访问方法的无线站利用访问控制来加入公共个人wlan并且传达业务，并且转发基于802.1x安全信息和/或psk证书。
119.包括图6a和图6b的组合的图6是根据示例性实施例的示例性通信方法的流程图600。操作在步骤602中开始，并且继续进行到步骤604。在步骤604中，密钥关联信息被存储在存储设备中，所述密钥关联信息列出了与第二无线终端相关联的一个或者多个密钥。在一些实施例中，存储设备被包括在管理节点中，该管理节点存储了无线终端(wt)密钥关联记录并且使密钥关联记录中的信息可用于一个或者多个接入点。操作从步骤604继续进行到步骤606。
120.在步骤606中，第一无线接入点以加密形式从第一无线终端接收第一消息，所述第一消息被定向到第二无线终端，所述第一消息使用第一密钥(例如，第一预共享密钥(psk))而被保护。操作从步骤606继续进行到步骤608。
121.在步骤608中，第一无线接入点对以加密形式而接收到的第一消息进行解密以恢复第一消息。在一些实施例(例如，第一接入点将做出步骤610中的访问控制决定的实施例)中，操作从步骤608继续进行到步骤610。在一些其他实施例(例如，第二接入点将做出步骤610中的访问控制决定的实施例)中，操作从步骤608继续进行到步骤609。在步骤609中，第一接入点将第一消息转发至第二接入点。在各种实施例中，在步骤609中，第一接入点将第一消息和指示由第一wt用于保护第一消息的第一加密密钥(例如，第一psk)的标识信息转发至第二wt附接至其的第二接入点。操作从步骤609继续进行到步骤610。
122.在步骤610中，接入点(例如，第一或者第二接入点)基于所述第一密钥来做出被用
于控制对第一消息的访问的访问控制决定。例如，在一些实施例中，如果针对第二无线终端的密钥关联信息可用于第一接入点，则第一接入点做出步骤610中的访问控制决定；或者，第二接入点做出步骤610中的访问控制决定。
123.在一些实施例中，如果第二无线终端被耦合至第一接入点，则第一接入点执行步骤610并且做出访问控制决定。在一些实施例中，如果第二无线终端被耦合至第二接入点并且第一接入点无法做出访问控制决定，则第二接入点执行步骤610并且做出访问控制决定。
124.步骤610包括步骤612、616和618。在步骤612中，做出访问控制决定的接入点确定被用于保护第一消息的第一密钥是否与第二无线终端相关联。步骤612包括步骤614，在该步骤614中，接入点从存储的信息确定第二无线终端是否具有第一密钥的访问权限。操作从步骤612继续进行到步骤616。
125.在步骤616中，如果确定被用于保护第一消息的第一密钥与第二无线终端相关联，则操作从步骤616继续进行到步骤618，在该步骤618中，接入点决定允许第二无线终端访问第一消息。操作经由连接节点a 622从步骤618继续进行到步骤624。然而，在步骤616中，如果确定被用于保护第一消息的第一密钥不与第二无线终端相关联，则操作从步骤616继续进行到步骤620，在该步骤620中，接入点决定不允许(例如，拒绝)第二无线终端访问第一消息。操作从步骤620继续进行到步骤642。
126.在步骤642中，如果第一接入点做出了步骤610中的访问控制决定，则操作从步骤610继续进行到步骤644，在该步骤644中，第一接入点丢弃第一消息，而不将第一消息递送至第二无线终端或者将第一消息转发至第二接入点。在步骤642中，如果第二接入点做出了步骤610中的访问控制决定，则操作从步骤610继续进行到步骤646，在该步骤646中，第二接入点丢弃第一消息，而不将第一消息递送至第二无线终端。操作从步骤646继续进行到步骤648。在步骤648中，操作第二接入点以执行以下中的至少一项：i)向第一接入点通知第一密钥不与第二无线终端相关联或者ii)向第一接入点指示停止将利用第一密钥而保护的并且被定向到第二无线终端的内容转发至第二接入点以用于递送至第二无线终端。
127.返回到步骤624，在步骤624中，第一消息被传达至第二无线终端。步骤624包括步骤628、630、632、634、636、638、640和642。在步骤628中，如果第二无线终端被附接至在该处从第一无线终端接收所述加密消息的第一无线接入点，则操作从步骤628继续进行到步骤630；或者，操作从步骤628继续进行到步骤636或者步骤638。
128.在步骤630中，第一无线接入点在将第一消息传送至第二无线终端之前在第一接入点处使用第一密钥来保护第一消息。步骤630包括步骤632，在该步骤632中，第一无线接入点使用从第一密钥生成的临时密钥来对第一消息进行加密，所述临时密钥是被用于对第一接入点与第二无线终端之间的通信进行加密的加密密钥。操作从步骤630继续进行到步骤632。在步骤632中，第一无线接入点将加密的第一消息传送至第二无线终端，例如，该加密的第一消息是在步骤632中使用从第一密钥生成的临时密钥而被加密的。
129.在步骤636中，当第二无线终端被附接至第二接入点并且第一接入点已经做出步骤610中的访问控制决定时，第一接入点将第一消息转发至第二接入点。操作从步骤636继续进行到步骤638。在步骤638中，操作第二接入点以使用第二密钥来保护第一消息，该第二密钥被用于保护在第二接入点与第二无线终端之间的空中链路上的通信。步骤638包括步骤640，在该步骤640中，第二接入点使用第二临时密钥来对第一消息进行加密，从该第二密
钥生成所述第二密钥，所述第二密钥是预共享密钥。操作从步骤638继续进行到步骤642，在该步骤642中，第二无线接入点将加密的第一消息传送至第二无线终端，该加密的第一消息是使用来自第二密钥的第二临时密钥而被加密的(例如，在步骤640中)。
130.在一些实施例中，第一接入点和第二接入点是wifi接入点。在一些实施例中，第一接入点是wifi接入点，并且第二接入点是lte接入点，所述第二接入点使用与所述第一接入点不同的无线通信协议。在一些实施例中，第一接入点是wifi接入点，并且第一密钥是第一psk密钥，并且第二接入点是lte基站。
131.图7是根据示例性实施例的示例性组件组装700的绘图，示例性组件组装700可以被包括在示例性接入点中，例如，在图1中的接入点106、108、110和/或图2中的接入点200中的任何接入点中。组件的组装700可以并且在一些实施例中是被包括在接入点200(例如，基站)中并且被用于接入点200。组件的组装700中的组件可以并且在一些实施例中完全在处理器206内的硬件中被实现，例如，作为单独的电路。组件的组装700中的组件可以并且在一些实施例中完全在硬件组件的组装208内的硬件中被实现，例如，作为与不同的组件相对应的单独的电路。在其他实施例中，组件中的一些组件在处理器206内被实现(例如，作为电路)，而其他组件被实现为在处理器206的外部，但是被耦合至处理器206，例如，作为组件的组装208内的电路。如应该了解的，组件在处理器上和/或与在处理器外部的一些组件的集成水平可以是一种设计选择。备选地，组件中的所有或者一些组件不是被实现为电路，而是可以在软件中被实现并且被存储在接入点200的存储器212中，其中当组件由处理器(例如，处理器206)执行时，组件控制设备200的操作以实现与组件相对应的功能。在一些这种实施例中，组件的组装700被包括在存储器212中作为组件的组装，例如，软件组件的组装218。在其他实施例中，组件的组装700中的各种组件被实现为硬件和软件的组合，例如，其中在处理器外部的另一电路向处理器206提供输入，该处理器206然后在软件控制下进行操作以执行组件的功能的一部分。虽然处理器206在图2的实施例中被示出为单个处理器(例如，计算机)，但是应该了解，处理器206可以被实现为一个或者多个处理器(例如，计算机)。
132.当在软件中实现组件时，组件包括代码，该代码在由处理器206执行时将处理器206配置为实现与组件相对应的功能。在组件的组装700被存储在存储器212中的实施例中，存储器212是包括计算机可读介质的计算机程序产品，该计算机可读介质包括用于使至少一个计算机(例如，处理器206)处实现组件所对应的功能的代码(例如，针对每个组件的单独的代码)。
133.可以使用完全基于硬件的或者完全基于软件的组件。然而，应该了解，可以使用软件和硬件的任何组合(例如，电路实现的组件)来实现功能。如应该了解的，在图7中图示的组件控制和/或配置接入点200或者其中的元件(诸如，处理器206)以执行在一个或者多个流程图、信令图中的方法中说明的和/或描述的和/或关于任何附图描述的对应步骤的功能。因此，组件的组装700包括各种组件，该各种组件执行示例性方法的、对应的一个或者多个所描述的和/或所说明的步骤(例如，图5和/或图6中的方法的一个或者多个步骤)的功能。
134.包括图7a和图7b的组合的图7是示例性组件的组装700的图，其包括部分a 701和部分b 703的组合，根据示例性实施例，部分a 701和部分b 703可以被包括在示例性接入点中。组件的组装700包括：组件704，该组件704被配置为在存储设备中存储列出了与第二无
线终端相关联的一个或者多个密钥的密钥关联信息；组件706，该组件706被配置为在第一无线接入点处以加密形式从第一无线终端接收第一消息，所述第一消息被定向到第二无线终端，所述第一消息使用第一密钥(例如，第一预共享密钥(psk))而被保护；以及被配置为在第一无线接入点处对以加密形式而接收到的第一消息进行解密以恢复第一消息的组件。
135.组件的组装700还包括：组件709，该组件709被配置为将第一消息转发至第二接入点，例如，当第二接入点将做出访问控制决定时，例如，当第一接入点不具有第二无线终端密钥关联信息的访问权限时；组件711，该组件711被配置为操作第一接入点以将第一消息和标识信息转发至目的地wt(例如，第二wt)附接至其的第二接入点，该标识信息指示由第一wt用于保护所述第一消息的第一加密密钥(例如，第一psk)；以及组件713，该组件713被配置为操作目的地wt(例如，第二wt)附接至其的第二接入点以接收所述第一消息和指示第一加密密钥的标识信息。
136.组件的组装700还包括组件710，该组件710被配置为基于所述第一密钥来做出被用于控制对第一消息的访问的访问控制决定。组件710包括组件712，该组件712被配置为确定被用于保护第一消息的第一密钥是否与第二无线终端相关联，该第二无线终端包括组件714，该组件714被配置为从存储的信息确定第二无线终端是否具有第一密钥的访问权限。组件710还包括：组件718，该组件718被配置为：响应于确定被用于保护第一消息的第一密钥与第二wt相关联，决定允许第二无线终端访问第一消息；以及组件720，该组件720被配置为：响应于确定被用于保护第一消息的第一密钥不与第二无线终端相关联，决定不允许第二无线终端访问第一消息。
137.组件的组装700还包括：组件744，该组件744被配置为操作第一接入点以例如，响应于第一接入点决定拒绝第二无线终端访问第一消息，针对第二无线终端丢弃第一消息，而不将第一消息递送至第二无线终端或者将第一消息转发至第二接入点或者第二wt；组件746，该组件746被配置为操作第二接入点以例如，响应于第二接入点决定拒绝第二wt访问第一消息，丢弃第一消息，而不将第一消息递送至第二无线终端；以及组件748，该组件748被配置为操作第二接入点以执行以下中的至少一项：例如，响应于第二接入点决定拒绝第二wt访问第一消息，i)向第一接入点通知第一密钥不与第二无线终端相关联或者ii)向第一接入点指示停止将利用第一密钥而保护的并且被定向到第二无线终端的内容转发至第二接入点以用于递送至第二无线终端。
138.组件的组装700还包括组件750，该组件750被配置为操作第一接入点以将第一消息传达至第二无线终端。组件750包括：组件730，该组件730被配置为：在将第一消息传送至第二无线终端之前，在第一接入点处使用第一密钥来保护第一消息；以及组件734，该组件734被配置为将加密的第一消息传送至第二无线终端，该加密的第一消息使用从第一密钥生成的临时密钥而被加密。组件730包括组件732，该组件732被配置为使用从第一密钥生成的临时密钥来对第一消息进行加密，所述临时密钥是被用于对第一接入点与第二无线终端之间的通信进行加密的加密密钥。
139.组件的组装700还包括组件752，该组件752被配置为操作第一接入点以将第一消息传达至第二无线终端。组件752包括组件736，该组件736被配置为：当第二无线终端被附接至第二接入点并且第一接入点已经做出了访问控制决定(例如，允许第二wt访问第一消息的访问控制决定)时，将第一消息转发至第二接入点。
140.组件的组装700还包括组件754，该组件754被配置为操作第二接入点以将第一消息传达至第二无线终端。组件754包括组件738，该组件738被配置为操作第二接入点以使用第二密钥来保护第一消息，该第二密钥被用于保护在第二接入点与第二无线终端之间的空中链路上的通信。组件738包括组件740，该组件740被配置为使用从第二密钥生成的第二临时密钥来对第一消息进行加密，所述第二密钥是预共享密钥。组件754还包括组件742，该组件742被配置为将加密的第一消息传送至第二无线终端，该加密的第一消息是使用针对第二密钥生成的第二临时密钥而被加密的。
141.在各种实施例中，包括组件的组装700的接入点例如，使用以下组件中的一个或者多个或者所有组件来操作为第一接入点：704、706、708、709、711、710、712、714、718、720、744、750、730、732、734和752以及736。在各种实施例中，包括组件的组装700的接入点例如，使用以下组件中的一个或者多个或者所有组件来操作为第二接入点：704、713、710、712、714、718、720、746、748、754、738、740和742。
142.虽然已经在从一个设备(例如，第一wt)到第二设备(例如，第二wt)的单播通信的上下文中大体上解释了与安全相关的方法和装置，但是它们也可以被应用于多播通信。在多播实施例的情况下，可以并且有时使中间节点知道被用于在最初保护被传送至第一接入点的多播消息的安全密钥。在一些实施例中，决定中间节点是否将多播消息传送至多播消息所寻址的多播组的单独的成员(例如，作为单播通信)取决于多播组成员具有在最初被用于保护多播通信的安全密钥的访问权限。因此，如在单播传输的情况下，可以基于消息所寻址的组中的目的地设备是否与在最初被用于保护多播消息的共享密钥相关联(例如，具有该共享密钥的访问权限)来保护多播传输。
143.图8示出了包括通过网络812被耦合在一起的第一接入点802、第二接入点804的多播实施例。在图8的示例中，第一无线终端wt 1 806在步骤824中发送由密钥a 820保护的多播消息。线814表示由密钥a820保护的多播消息被传达至第一ap。多播消息由ap 1 802进行解密，并且然后作为多播消息826连同以下信息一起被传达至ap2 804(例如，经由网络连接812)：该信息指示被用于保护原始传达的消息的密钥(密钥a 820)。响应于接收到多播消息826和相关联的标识密钥a820的密钥信息，ap 2进行检查以确定被附接至ap2的任何wt是否是多播消息826所寻址的多播组的成员。如果多播消息826所寻址的多播组的成员被附接至接收到多播消息的第二ap 2 804，则第二接入点ap 2继续以每个设备为基础执行访问控制操作，例如，其中当消息被传送至第一ap 1 802时，ap 2 804检查作为多播组的成员的单独的设备是否与被用于在最初保护消息的密钥相关联。如果第二ap确定所寻址的多播组中的单独的设备由于单独的设备与密钥a 820相关联(例如，具有密钥a 820的访问权限)而被授权获得多播消息826的访问权限，则第二ap 2 804将消息作为单播消息传送至目的地设备。如果单独的组成员不与被用于保护多播消息826的密钥(例如，密钥a)相关联，则尽管设备是多播组的成员，也将阻止设备接收消息。
144.在图8的示例中，wt 2和wt 3都是与多播消息826所寻址的多播地址相对应的多播组的成员，wt 2 808与密钥a 820相关联，而wt 3 810不与密钥a相关联，但是作为代替，与密钥b 822相关联。在该示例中，ap 2例如使用其安全组件和从ap 1 802接收到的、指示密钥a 820被用于保护多播消息826的信息来确定wt 2 808应该接收消息826，因为wt 2 808与密钥a 820相关联，但是应该阻止wt 3 810接收消息。在步骤828中，ap2将多播消息826或
者至少将消息的有效负载发送至wt 2 808作为链路层单播消息，因为wt 1和wt 2都与密钥1相关联，并且因此，允许wt 2访问消息826。然而，在步骤830中，ap 2阻止wt 3 810接收多播消息，并且不将消息826发送至wt 3 822，因为wt 1和wt 3不使用相同的密钥，例如，wt 3不与psk密钥a 820相关联。与其他实施例一样，可能并且有时使用从被用于保护传送的消息的psk生成的短期加密密钥来保护消息的实际通信。因此，如通过有关在最初被用于保护多播消息的密钥(psk)的通信信息以及到达另一设备(例如，ap 2)的消息应该了解到的：接收设备可以提供足够的信息以允许第二ap基于哪个psk在最初被用于保护传达的消息来在本地实现访问控制决定。
145.虽然在示例中利用单个目的地ap解释了多播，但是应该了解，可以基于接收到的密钥信息和/或对哪些设备在充当访问控制设备的节点的下游以及单独的下游设备与哪些psk相关联的了解，利用实现访问控制决定的接收网络节点和/或接入点来连同psk信息一起将多播消息826传达至大量设备。
146.下面的陈述是各个示例性被编号的实施例。每个被编号的示例性实施例的集合用其本身编号，其中集合中的实施例涉及相同集合中在先前被编号的实施例。
147.示例性被编号的方法实施例集合的列表：
148.方法实施例1：一种通信方法，该方法包括：在第一无线接入点(106)处以加密形式从第一无线终端(116)接收(509或者606)第一消息，所述第一消息被定向到第二无线终端(118)，第一消息使用第一密钥而被保护；在第一无线接入点(106)处对以加密形式被接收到的第一消息进行解密(513或者608)，以恢复第一消息；以及基于所述第一密钥来做出被用于控制对第一消息的访问的访问控制决定((529或者556)或者610)，做出访问控制决定的所述步骤包括：确定((530或者557)或者612)被用于保护第一消息的第一密钥是否与第二无线终端(118)相关联。
149.方法实施例2：根据方法实施例1的方法，其中确定(612)被用于保护第一消息的第一密钥是否与第二无线终端(118)相关联包括：从存储的信息(107或者114)确定(614)第二无线终端(118)是否具有第一密钥的访问权限。
150.方法实施例3：根据方法实施例1a的通信方法，其中第一密钥是第一预共享密钥(psk)。
151.方法实施例4：根据方法实施例1的方法，还包括：当确定被用于保护第一消息的第一密钥与第二无线终端(118)相关联时，将第一消息传达((532或者560)或者624)至第二无线终端(118)。
152.方法实施例5：根据方法实施例4的方法，还包括：
153.响应于确定第一密钥不与第二无线终端(118)相关联，丢弃((536或者564)或者(644或者646))第一消息，而不将第一消息递送至第二无线终端(118)。
154.方法实施例6：根据方法实施例1的方法，其中所述第二无线终端(118)被耦合至所述第一接入点(106)，并且其中做出访问控制决定(529或者610)的所述步骤在第一接入点(106)处被执行。
155.方法实施例7：根据方法实施例6的方法，其中将消息传达(532或者624)至第二无线终端(118)包括：在将第一消息传送至第二无线终端(118)之前，在第一接入点(106)处使用第一密钥来保护(546或者630)第一消息。
156.方法实施例8：根据方法实施例7的方法，其中使用第一密钥来保护(546或者630)第一消息包括：使用从所述第一密钥生成的临时密钥来对第一消息进行加密(632)，所述临时密钥是被用于对所述第一接入点(106)与所述第二无线终端(118)之间的通信进行加密的加密密钥。
157.方法实施例9：根据方法实施例3的方法，还包括：在存储设备(212或者115)中存储(406或者604)密钥关联信息(107或者114)，该密钥关联信息(107或者114)列出了与第二无线终端(118)相关联的一个或者多个密钥。
158.方法实施例10：根据方法实施例9的方法，其中所述存储设备(115)被包括在管理节点(112)中，该管理节点(112)存储了无线终端(wt)密钥关联记录并且使密钥关联记录中的信息可用于一个或者多个接入点。
159.方法实施例11：根据方法实施例4的方法，其中将第一消息传达((532和560)或者624)至第二无线终端(118)包括：当第二无线终端(118)被附接至第二接入点(108或者110)时，将第一消息转发(534或者636)至第二接入点(108或者110)；以及操作(561或者638)第二接入点(108)以使用第二密钥来保护第一消息，该第二密钥被用于保护在第二接入点(108或者110)与第二无线终端(118)之间的空中链路上的通信。
160.方法实施例12：根据方法实施例11的方法，其中操作(561或者638)第二接入点以使用第二密钥来保护第一消息包括：使用从所述第二密钥生成的第二临时密钥来对第一消息进行加密(561或者640)，所述第二密钥是预共享密钥。
161.方法实施例13：根据方法实施例11的方法，其中所述第一接入点(106)是wifi接入点；并且其中所述第二接入点(110)是lte接入点，所述第二接入点(110)使用与所述第一接入点(106)不同的无线通信协议。
162.方法实施例14：根据方法实施例13的方法，其中第一接入点(106)是wifi接入点，并且第一密钥是第一psk；并且其中第二接入点(110)是lte基站。
163.方法实施例15：根据方法实施例1的方法，其中所述第二无线终端(11()被耦合至所述第二接入点(108或者110)，并且其中做出(556或者610)访问控制决定的所述步骤在第二接入点(108或者110)处被执行。
164.方法实施例16：根据方法实施例1的方法，其中做出(556或者610)访问控制决定的所述步骤包括：响应于确定第二无线终端(118)不与第一密钥相关联而决定(563或者620)拒绝第二无线终端访问第一消息。
165.方法实施例17：根据方法实施例16的方法，还包括：操作(566或者620)第二接入点以执行以下中的至少一项：i)向第一接入点通知第一密钥不与第二无线终端(118)相关联或者ii)向第一接入点指示停止将利用第一密钥而被保护的并且被定向到第二无线终端的内容转发至第二接入点(108或者110)以用于递送至第二无线终端(118)。示例性被编号的系统实施例集合的列表：
166.系统实施例1：一种通信系统(100)，包括：第一无线接入点(106)，该第一无线接入点(106)包括：接收器(252)，该接收器(252)被配置为以加密形式从第一无线终端(116)接收第一消息，所述第一消息被定向到第二无线终端(118)，第一消息使用第一密钥而被保护；以及解密器(270)，该解密器(270)被配置为在第一无线接入点(106)处对以加密形式被接收到的第一消息进行解密，以恢复第一消息；以及访问控制设备(272)，该访问控制设备
(272)被用于基于所述第一密钥来控制对第一消息的访问，所述访问控制设备(272)包括确定组件(274)，该确定组件(274)被配置为确定被用于保护第一消息的第一密钥是否与第二无线终端(118)相关联。
167.系统实施例2：根据系统实施例1的系统(100)，其中所述访问控制设备(272)是被包括在所述第一接入点(106)中的访问控制组件。
168.系统实施例3：根据系统实施例1的系统(100)，其中所述访问控制设备(272)是在所述第一接入点(106)外部的访问控制组件。
169.系统实施例4：根据系统实施例1的系统(100)，其中所述确定组件(274)被配置为确定被用于保护第一消息的第一密钥是否与第二无线终端(118)相关联，并且其中所述确定组件(274)被配置为从存储的信息(107或者114)确定第二无线终端(118)是否具有第一密钥的访问权限。
170.系统实施例5：根据系统实施例2的系统(100)，其中第一密钥是第一预共享密钥(psk)。
171.系统实施例6：根据系统实施例1的系统(100)，还包括：发送器(254)，该发送器(254)被配置为：当确定被用于保护第一消息的第一密钥与第二无线终端(118)相关联时，将第一消息传达至第二无线终端(118)。
172.系统实施例7：根据系统实施例6的系统(100)，其中访问控制设备(272)被配置为：响应于确定第一密钥不与第二无线终端(118)相关联，丢弃第一消息，而不将第一消息递送至第二无线终端(118)。
173.系统实施例8：根据系统实施例1的系统(100)，还包括：加密设备276，该加密设备276被配置为：在第一消息被传送至第二无线终端之前，在第一接入点(106)处使用第一密钥来保护第一消息。
174.系统实施例9：根据系统实施例8的系统(100)，其中加密设备(276)包括临时密钥生成器(278)，该临时密钥生成器(278)用于从所述第一密钥生成临时密钥，该临时密钥由加密设备(270)用作被用于对所述第一接入点(106)与所述第二无线终端(118)之间的通信进行加密作为保护第一消息的一部分的加密密钥。
175.系统实施例10：根据系统实施例5的系统(100)，还包括：存储设备(212或者115)，该存储设备(212或者115)存储密钥关联信息(107或者114)，该密钥关联信息(107或者114)列出了与第二无线终端(118)相关联的一个或者多个密钥。
176.系统实施例11：根据系统实施例10的系统，其中所述存储设备(115)被包括在管理节点(112)中，该管理节点(112)存储了wt密钥关联记录并且使密钥关联记录中的信息可用于一个或者多个接入点(106、108、110)。
177.计算机可读介质实施例
178.计算机可读介质实施例1：一种非瞬态计算机可读介质，其包括：机器可执行指令，这些机器可执行指令在由无线接入点(200)的处理器(206)执行时控制无线接入点(200)执行以下步骤：以加密形式从第一无线终端(116)接收(509或者606)第一消息，所述第一消息被定向到第二无线终端(118)，第一消息使用第一密钥而被保护；在第一无线接入点处对以加密形式被接收到的第一消息进行解密(513或者608)，以恢复第一消息；以及基于所述第一密钥来做出((529或者556)或者610)被用于控制对第一消息的访问的访问控制决定，做
出访问控制决定的所述步骤包括：确定((530或者557)或者612)被用于保护第一消息的第一密钥是否与第二无线终端(118)相关联。
179.被编号的装置实施例
180.装置实施例1：一种无线接入点(200)，其包括：存储器(212)，该存储器(212)包括共享密钥关联信息(222)，该共享密钥关联信息(222)包括将第一密钥与第一无线终端(116)相关联的信息；以及处理器(206)，该处理器(206)被配置为控制接入点(200)：以加密形式从第一无线终端(116)接收第一消息，所述第一消息被定向到第二无线终端(118)，第一消息使用第一密钥而被保护；在第一无线接入点(200)处对以加密形式而接收到的第一消息进行解密，以恢复第一消息；以及基于所述第一密钥来做出被用于控制对第一消息的访问的访问控制决定，做出访问控制决定的所述步骤包括：确定被用于保护第一消息的第一密钥是否与第二无线终端(118)相关联。
181.本文所描述的方法和装置非常适合于与各种协议一起使用，包括802系列中的wifi协议，有时被标识为802.1x协议，其中x可以是若干不同协议版本指示符中的任何一种指示符。
182.这些方法非常适合于使用预共享密钥的802.1x las，并且一些实施例和特征涉及使用802.1x协议并且可以出于安全目的而使用一个或者多个psk来与设备进行交互的ap和其他设备。因此，可以使用网络和/或安全方法的不同组合，但是仍然使用psk的访问权限或者与psk的关联来确定是否向设备提供特定消息或者通信的访问权限。例如，用户的个人膝上型电脑可以使用802.1x，而相同用户的个人apple tv使用psk，并且它们是与以下psk具有关联(例如，通过用户的使用psk的其他设备)的相同个人wlan的一部分：该psk被用于确定是否要向设备提供消息的访问权限，即使psk未被用于确保与设备的最终通信。本发明的方法和装置可以并且有时被用于控制对有线设备或者其他网络的访问控制。例如，可以允许单独的用户的个人wlan基于打印机与特定psk相关联来与打印机谈话，但是，如果其他人的设备不与psk相关联，则即使psk可能不被用于保护与打印机的最终通信，其他人的个人wlan也将被拒绝访问。
183.可以使用软件、硬件和/或软件和硬件的组合来实现各种实施例的技术。各种实施例涉及装置，例如，移动节点，诸如，移动无线终端、基站、通信系统。各种实施例还涉及方法，例如，控制和/或操作通信设备(例如，无线终端(ue)、基站、控制节点和/或通信系统)的方法。各种实施例还涉及非瞬态机器(例如，计算机、可读介质(例如，rom、ram、cd、硬盘等))，该非瞬态机器包括用于控制机器实现方法的一个或者多个步骤的机器可读指令。
184.应该理解，在所公开的过程中的步骤的特定顺序或者层级是示例性方法的示例。基于设计偏好，应该理解，可以重新安排过程中的步骤的特定顺序或者层级，但是仍然在本公开的范围内。所附方法权利要求按照样本顺序来呈现各种步骤中的元件，并且不意味着受限于所呈现的特定顺序或者层级。
185.在各种实施例中，使用用于执行与一种或者多种方法相对应的步骤(例如，信号生成步骤、传送步骤、处理步骤和/或接收步骤)的一个或者多个组件来实现本文描述的设备和节点。因此，在一些实施例中，使用组件来实现各种特征。可以使用软件、硬件或者软件和硬件的组合来实现这种组件。在一些实施例中，每个组件被实现为具有以下设备或者系统的单独的电路：该设备或者系统包括用于实现与每个所描述的组件相对应的功能的分离的
电路。可以使用被包括在机器可读介质(诸如，存储器设备，例如，ram、软盘等)中的机器可执行指令(诸如，软件)来实现上面描述的方法或者方法步骤中的许多方法或者方法步骤，这些机器可执行指令用于控制机器(例如，具有或者不具有附加硬件的通用计算机)来实现上面描述的方法中的所有或者部分方法，例如，在一个或者多个节点中。因此，除了别的之外，各种实施例还涉及机器可读介质(例如，非瞬态计算机可读介质)，该机器可读介质包括用于使机器(例如，处理器和相关联的硬件)执行上面描述的(多种)方法的步骤中的一个或者多个步骤的机器可执行指令。一些实施例涉及包括处理器的设备，该处理器被配置为实现本发明的一种或者多种方法的步骤中的一个、多个或者全部步骤。
186.在一些实施例中，一个或者多个设备(例如，通信设备(诸如，无线终端(ue))和/或接入节点)的一个或者多个处理器(例如，cpu)被配置为执行被描述为由设备执行的方法的步骤。可以通过使用用于控制处理器配置的一个或者多个组件(例如，软件组件)和/或通过在处理器中包括用于执行所叙述的步骤和/或控制处理器配置的硬件(例如，硬件组件)来实现处理器的配置。因此，一些而不是所有实施例涉及具有以下处理器的通信设备(例如，用户设备)：该处理器包括与由其中包括该处理器的设备执行的各种所描述的方法的步骤中的每个步骤相对应的组件。在一些而不是所有实施例中，通信设备包括与由其中包括处理器的设备执行的各种所描述的方法的步骤中的每个步骤相对应的组件。可以仅在硬件中实现组件，例如，作为电路，或者可以使用软件和/或硬件或者软件和硬件的组合来实现组件。
187.一些实施例涉及计算机程序产品，该计算机程序产品包括计算机可读介质，该计算机可读介质包括用于使一个或者多个计算机实现各种功能、步骤、动作和/或操作(例如，上面描述的一个或者多个步骤)的代码。根据实施例，计算机程序产品可以并且有时确实包括针对要执行的每个步骤的不同代码。因此，计算机程序产品可以并且有时确实包括针对方法(例如，操作通信设备(例如，无线终端或者节点)的方法)的每个单独的步骤的代码。该代码可以是被存储在计算机可读介质(诸如，ram(随机存取存储器)、rom(只读存储器)或者其他类型的存储设备)上的机器(例如，计算机)可执行指令的形式。除了涉及计算机程序产品之外，一些实施例还涉及被配置为实现上面描述的一种或者多种方法的各种功能、步骤、动作和/或操作中的一种或者多种功能、步骤、动作和/或操作的处理器。因此，一些实施例涉及被配置为实现本文所描述的方法的步骤中的一些或者全部步骤的处理器(例如，cpu)。该处理器可以用于例如，本技术中描述的通信设备或者其他设备。
188.虽然在ofdm系统的上下文中进行了描述，但是各种实施例的方法和装置中的至少一些方法和装置可应用于广泛的通信系统，包括许多非ofdm系统和/或非蜂窝系统。
189.鉴于上面的描述，对于本领域的技术人员而言，有关上面所描述的各种实施例的方法和装置的许多其他变型将是明显的。这种变型应该被认为在范围内。方法和装置可以并且在各种实施例中与cdma、正交频分复用(ofdm)和/或可以被用于在接入节点与移动节点之间提供无线通信链路的各种其他类型的通信技术一起被使用。在一些实施例中，接入节点被实现为使用ofdm和/或cdma来与用户设备(例如，移动节点)建立通信链路的基站。在各种实施例中，移动节点被实现为笔记本计算机、个人数据助理(pda)或者包括用于实现方法的接收器/发送器电路以及逻辑和/或例程的其他便携式设备。

技术特征：
1.一种设备，包括：处理器，所述处理器被配置为：基于从第一无线终端接收的第一消息来确定所述第一消息被寻址到第二无线终端；确定用于保护第一设备与所述第一无线终端之间的通信的密钥；确定所述第二无线终端是否具有所述密钥的访问权限；以及基于确定所述第二无线终端具有所述密钥的访问权限，将所述第一消息转发至所述第二无线终端。2.根据权利要求1所述的设备，其中所述处理器还被配置为：基于从所述第一无线终端接收的第二消息来确定所述第二消息被寻址到第三无线终端；确定所述第三无线终端是否具有所述密钥的访问权限；以及基于确定所述第三无线终端不具有所述密钥的访问权限，丢弃所述第二消息，而不将所述第二消息递送至所述第三无线终端。3.根据权利要求1至2中任一项所述的设备，其中所述密钥是预共享密钥psk。4.根据权利要求1至3中任一项所述的设备，所述处理器还被配置为：在将所述消息传输至所述第二无线终端之前使用所述密钥来保护所述消息。5.根据权利要求1至4中任一项所述的设备，其中所述处理器还被配置为：存储标识多个密钥中的哪个密钥与一个或多个无线终端相关联的密钥信息，并且其中所述处理器基于所存储的所述密钥信息来确定所述第二无线终端是否具有所述密钥的访问权限。6.根据权利要求1至5中任一项所述的设备，其中所述处理器还被配置为：当所述第二无线终端被附接至第二设备时，将所述消息转发到所述第二设备。7.根据权利要求6所述的设备，其中所述第一设备是wifi接入点，并且其中所述第二设备是lte接入点，所述第二设备使用与所述第一设备不同的无线通信协议。8.根据权利要求6所述的设备，所述处理器还被配置为：从所述第二设备接收通知，所述通知包括所述第二无线终端不具有所述密钥的访问权限的指示或者停止将寻址到所述第二无线终端并且利用所述密钥而被保护的内容转发到所述第二设备以用于递送到所述第二无线终端的指令。9.根据权利要求1至8中任一项所述的设备，其中所述处理器还被配置为使用所述密钥来解密所述第一消息。10.一种系统，包括：第一设备，被连接到第一无线终端；以及第二设备，被连接到第二无线终端；其中所述第一设备包括一个或多个处理器，被配置为：基于从所述第一无线终端接收的消息来确定所述消息被寻址到所述第二无线终端，确定用于保护所述第一设备与所述第一无线终端之间的通信的密钥，以及基于确定所述第一设备不具有能够用于所述第二无线终端的密钥关联信息，将所述消息转发至所述第二设备；并且其中所述第二设备包括一个或多个处理器，被配置为：
确定所述第二无线终端是否具有所述密钥的访问权限；以及基于确定所述第二无线终端具有所述密钥的访问权限，将所述消息转发至所述第二无线终端。11.一种由权利要求1至9中任一项所述的设备执行的方法。12.一种计算机可读介质，包括指令，所述指令在由设备的一个或多个处理器执行时，使所述设备被配置为根据权利要求1至9中任一项所述的设备。

技术总结
描述了用于在无线通信系统中控制对传达的信息(例如，业务)的访问和/或转发传达的信息(例如，业务)的方法和装置。当决定是否向目的设备提供所述传达的内容的访问权限时，考虑到被用于保护被发送至接入点以传达至所述目的设备的数据的所述密钥(例如，PSK)。所述的决定是否向所述目的地设备提供通信的访问权限可能涉及确定是否将所述接收到的数据转发至另一设备(例如，另一接入点)以便递送至目的地设备，和/或可能涉及决定是否将所述数据发送至所述目的地设备。如果所述目的地设备不与被用于保护所述接收到的数据的所述密钥相关联(例如，不具有所述密钥的访问权限和/或不具有使用所述密钥的授权)，则所述数据不被传达至所述目的地设备。所述目的地设备。所述目的地设备。


技术研发人员：R
受保护的技术使用者：瞻博网络公司
技术研发日：2018.08.16
技术公布日：2023/10/15