没有这些具体细节的情况下实践本发明。
[0023]消费者房屋装备(CPE)设备在优选实施例中包括控制器(例如,微处理器)、在其中存储操作系统的非易失性存储器、用于CPE设备的操作的易失性存储器、用于无线操作和宽带连接(例如,xDSL连接)的W1-Fi节点。W1-Fi节点包括复杂软件驱动、具有数据缓冲器和天线的物理层。这种CPE设备是例如住宅网关,其在无线局域网(WLAN)内具有中心位置。
[0024]在图1中示意性地描述了包括接入点(AP) I和站(STA) 2的示例WLAN,并且示例WLAN包括以下必要软件组件:
[0025]-WLAN物理层(PHY)3,被包含于AP I和STA 2中,
[0026]-WLAN驱动4,被包含于AP I和STA 2中,
[0027]-WLAN管理守护进程(daemon):AP I中所包含的主机接入点守护进程(hostapd)5,以及STA 2中所包含的W1-Fi保护接入(WPA)申请者(WPA supplicant)6,
[0028]-安全性应用7,被包含于API和STA 2中,其为WLAN链路9的安全性提供加密。
[0029]在优选实施例中,恢复应用8将与hostapd5进行接口连接,恢复应用8’将与WPA申请者6进行接口连接。这些软件模块5、6在WLAN软件栈中是普通的伪标准模块,这使得所述模块被安装在无论芯片组特定代码如何的任何设备平台上。应用通过以下来获知其是否正运行在接入点或站上:预先配置;或者检测hostapd 5或WPA申请者6其中的任一处理是否正运行于应用所运行的设备上。与hostapd 5进行接口连接的恢复应用8以及与WPA申请者6进行接口连接的恢复应用8’可以是相同的软件模块,或可以是不同的软件模块。
[0030]当安装在接入点I上时,恢复应用8在接入点I上创建具有预备服务集标识符(SSID)的预备无线网络,或者在其已经出现的情况下,则不采取动作。预备无线网络可以具体是访客网络或访客WLAN或任何无线备份网络。基于在没有对于访问者、家庭、访客等的家庭中(in-home) LAN接入的情况下越来越多的用户在它们的接入点上创建访客接入以便提供互联网连接性的事实,这是非常普遍的。访客无线网络已知例如来自Apple Airplay或开源软件OpenWRT。预备无线网络可以是开放无线网络或安全无线网络。
[0031]在站2上,恢复应用8’将在WPA申请者6中安装对于GUESTSSID的连接简档。重要的是,GUEST SSID必须在站2的连接简档列表中被放置为最新SSID。之所以必须这样做,是因为在连接丢失的情况下,站2将对于连接性以循环(round robin)方式检查连接简档中的所有简档,并且如果GUEST SSID是第一个,则站2将绝不重新连接到无线网络。
[0032]第一恢复应用8和第二恢复应用8’因而提供一种用于在无线网络的安全性改变已经产生之后的、用于包括接入点以及一个或多个站的无线网络的自动链路恢复的解决方案。该解决方案有利地促进安全预备无线网络接入机制,例如安全访客无线网络。恢复应用8在接入点上安装包括标识符(例如,BSSID (基本服务集标识)或SSID)的预备无线网络,其中所述标识符标识预备无线网络,而恢复应用8’在站上安装对该预备无线网络的连接简档。
[0033]图2中示出了包括具有接入点的功能的住宅网关10以及站一一家庭计算机11、智能电话或平板计算机12和WLAN中继器13的现有技术无线网络的示例性实施例。
[0034]图3-图6示出了使用包括住宅网关30和站(无线客户机设备31、32)的无线网络34(例如,家庭中无线网络)的恢复应用8、8’的解决方案。该解决方案有利地另外使用安全公开/订阅机制40,以便提供用于住宅网关30与客户机设备31、32之间的无线链路的恢复的安全预备无线网络。
[0035]因而在该实施例中的恢复方法具体地通过使用访客无线网络33来促进安全“GUEST”接入机制。恢复应用8在接入点(图3中所示的住宅网关30)上安装开放安全性访客BSSID,而在客户机设备41和42(S卩,站)上安装对该访客无线网络的连接简档。由于连接性将在连接丢失但仅对网络具有受限接入时继续(resume),因此恢复方法创建“围墙花园(walled garden)”配置方法。通过使用安全公开/描述机制40,在开放WLAN网络上保证安全性。仅允许注册到家庭中无线网络34的设备重新连接,并且在互联网协议(IP)级别上加密设备30-32之间的所有通信。
[0036]图3,在连接丢失35时,客户机设备31、32向它们的数据库咨询已知的网络,其中之一是具有所定义的GUEST SSID的访客无线网络33。图4,基于用于GUEST SSID的连接简档的存在,客户机设备31、32将自动地连接到该网络33 (由箭头36指示),以便使得恢复应用8、8 ’能够重建家庭中无线网络34。
[0037]图5,一旦已经经由访客无线网络33建立连接,客户机设备31、32以及住宅网关30上的恢复应用8、8’就经由公开/描述机制40打开安全连接(由箭头37指示),并且请求用于家庭中无线网络34的新的安全性证书集。图6,在从住宅网关30获取到正确的安全性证书之后,恢复应用8、8’从访客无线网络33断开连接,并且重新连接到家庭中无线网络34。
[0038]以下在图7所描述的序列图中更详细地描述恢复方法。该图示出了恢复应用8、8’的各种交互。
[0039]当安装在接入点I上时,接入点I的恢复应用8利用“开放安全性”在接入点I上创建GUEST SSID,或在访客无线网络已经存在的情况下,不采取动作。在站2上,站2的恢复应用8’将在WPA申请者6中安装对于GUEST SSID的连接简档。
[0040]在接入点I与站2之间的操作无线链路70的连接丢失(步骤71)时,站2将经由开放访客网络重新连接到接入点I。在连接丢失之后,站I继续发送用于家庭中无线网络34的信标信号以及用于访客无线网络33的信标信号(步骤72、73)。在用于访客无线网络33的正确证书的情况下,站2将发送相应连接请求——用于SSID-GUESIt^ “关联REQ”(步骤74),并且接入点I将通过用于SSID-GUEST的“关联RESP”(步骤75)来响应该请求。于是访客无线网络33是可操作的(步骤76)。
[0041 ]然后,恢复应用8、8’二者将在通信之前布置例如经由VPN、IPsec等的安全通道,或者例如通过使用安全公开/订阅机制作为通信接口,以用于经由访客无线网络33的通信(步骤77)。关于本发明的概念,安全性方面是较不相关的,但对于应用的整体成功而言,有利的是,实现安全通信信道(例如,安全通道(步骤77)),因为否则访客无线网络33在恢复时段期间对于攻击将是脆弱的:为了防止“中间人(man in the middle)”攻击,恢复应用8、8’二者之间的安全连接应当是强制的。
[0042]然后,站恢复应用8’将从接入点恢复应用8请求新的安全性证书,以经由家庭中无线网络34连接到接入点I (步骤78)。为此,站恢复应用8 ’提及证书所定向的DEVICE ID和SSID/BSSID。如果站2已经关联到另一接入点(例如,邻居的住宅网关)的GUEST SSIDJ^在检测到存在对于未知BSSID的到来请求时,接入点恢复应用8必须发起该站的断开连接。如果客户机断开连接(可以经由WPA申请者6传输到接入点恢复应用8的状态),则接入点恢复应用8将拉黑该BSSID达至少24小时,并且取得具有等同于“GUEST”的SSID的另一BSSID。
[0043]如果接入点恢复应用8接收到对于匹配其SSID/BSSID的安全性证书的请求,则它将通过经由访客无线网络33宣告新的安全性证书(安全性方法+ 口令短语)来进行回应(公开)(步骤79)。此时,可以创建另一“第二阶段鉴权”。接入点I可以向端用户或操作者推送决定以公