專利名稱:無線網(wǎng)絡(luò)安全接入方法、系統(tǒng)及無線控制器的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)�,尤其涉及一種無線網(wǎng)絡(luò)安全接入方法���、系統(tǒng)及無線 控制器�����。
背景技術(shù):
無線局域網(wǎng)(WirelessLocalAreaNetworks �;簡稱為WLAN)是指應(yīng)用無線通信
技術(shù)將計算機(jī)設(shè)備互聯(lián)起來��,使客戶端可以隨時隨地接入寬帶網(wǎng)絡(luò)實現(xiàn)信息共享的一種 網(wǎng)絡(luò)���。其中����,無線客戶端(例如支持WLAN接入功能的筆記本電腦�����、個人數(shù)碼助理或 無線網(wǎng)卡)通過無線接入點(Access Point;簡稱為AP)接入無線局域網(wǎng)�����。AP是連接有 線網(wǎng)和無線局域網(wǎng)的橋梁�,其主要作用是將各個無線客戶端連接到一起�����,然后將無線網(wǎng) 絡(luò)接入以太網(wǎng)��。通常AP僅具有802.11物理層的功能�����,即只能進(jìn)行無線射頻信號的發(fā)送和接收�, 需要和一臺無線控制器(Access Controller �����;簡稱為AC)連接,由AC集中控制和管理 以接入有線網(wǎng)絡(luò)�。其中��,AC負(fù)責(zé)數(shù)據(jù)交換和路由選擇����,還進(jìn)行用戶認(rèn)證、安全策略管 理�、射頻信道選擇和輸出功率調(diào)整等���。如圖1所示����,一種WLAN的網(wǎng)絡(luò)拓?fù)浒ˋCl、 AC2�、API����、AP2��、PCl禾Π PC2���,其中PCl接入API,API通過有線網(wǎng)絡(luò)與ACl連接�; PC2接入AP2�,AP2通過有線網(wǎng)絡(luò)與AC2連接���。無線客戶端移動時通常會發(fā)生漫游��,漫 游是指無線客戶端從原來關(guān)聯(lián)的AP重關(guān)聯(lián)到相同WLAN中另一個AP的過程��,在這一過 程中無線客戶端的網(wǎng)際協(xié)議(Internet Protocol ���;簡稱為IP)地址和其他無線客戶端信息 不改變�����,對于用戶來說該漫游過程是透明的����。而當(dāng)無線客戶端漫游前后所關(guān)聯(lián)的AP分別 連接不同的AC時��,這種漫游稱為AC間漫游�����。以圖1所示網(wǎng)絡(luò)結(jié)構(gòu)為例,當(dāng)PCl移動 到由關(guān)聯(lián)APl變?yōu)殛P(guān)聯(lián)AP2時����,由于APl和AP2分別連接ACl和AC2��,此時即稱PCl 發(fā)生了 AC間漫游。其中�����,PCl漫游前所關(guān)聯(lián)的APl所連接的ACl為漫出AC,PCl漫 游后所關(guān)聯(lián)的AP2所連接的AC2為漫入AC。當(dāng)發(fā)生AC間漫游后,為了保證無線客戶端訪問有線網(wǎng)絡(luò)時的安全性��,通常漫出 AC將其保存的與發(fā)生漫游的無線客戶端相關(guān)的訪問策略同步到漫入AC��,在漫入AC上進(jìn) 行無線客戶端的訪問控制����。但是�����,當(dāng)漫入AC上和漫出AC上的訪問策略不同時將會使訪 問策略之間相互影響�����,無法保證無線客戶端在漫游前后的訪問范圍����。例如假設(shè)漫入AC 上的訪問策略為允許訪問2.2.2.2網(wǎng)段����,而漫出AC上的訪問策略為允許訪問1丄1.1網(wǎng)段���, 此時若將漫出AC上的訪問策略遷移到漫入AC上��,將改變漫入AC上的安全策略;若不 將漫出AC上的訪問策略遷移到漫入AC上,則無線客戶端的訪問范圍將由原來的1.1丄1 網(wǎng)段變?yōu)?.2.2.2網(wǎng)段����;對于WLAN來說并不期望出現(xiàn)上述任何一種問題,因此�����,需要一 種訪問控制機(jī)制以便在發(fā)生AC間漫游時更好的進(jìn)行訪問控制。
發(fā)明內(nèi)容
本發(fā)明提供一種無線網(wǎng)絡(luò)安全接入方法、系統(tǒng)及無線控制器�,用以解決發(fā)生AC間漫游時存在無線客戶端的訪問策略發(fā)生變化的問題���,保證漫游前后采用相同的訪問策 略對無線客戶端進(jìn)行訪問控制����。本發(fā)明提供一種無線網(wǎng)絡(luò)安全接入方法,包括無線控制器根據(jù)接收到的封裝報文中的無線局域網(wǎng)標(biāo)識和無線客戶端的信息�, 確定所述無線客戶端發(fā)生了無線控制器間漫游,所述封裝報文是由無線接入點根據(jù)所述 無線客戶端發(fā)出的報文生成的��;所述無線控制器向其他無線控制器發(fā)送探測報文�����,以獲取漫出無線控制器�����,所 述探測報文包括所述無線客戶端的信息����;所述無線控制器將所述封裝報文發(fā)送給獲取的所述漫出無線控制器,以供所述 漫出無線控制器對所述無線客戶端進(jìn)行接入時的安全控制。本發(fā)明提供一種無線控制器�,包括確定模塊���,用于根據(jù)接收到的封裝報文中的無線局域網(wǎng)標(biāo)識和無線客戶端的信 息�,確定所述無線客戶端發(fā)生了無線控制器間漫游�,所述封裝報文是由無線接入點根據(jù) 所述無線客戶端發(fā)出的報文生成的;獲取模塊�,用于向其他無線控制器發(fā)送探測報文,以獲取漫出無線網(wǎng)絡(luò)控制 器�����,所述探測報文包括所述客戶端的信息���;第一發(fā)送模塊��,用于將所述封裝報文發(fā)送給獲取的所述漫出無線控制器,以供 所述漫出無線控制器對所述無線客戶端進(jìn)行接入時的安全控制。本發(fā)明提供一種無線網(wǎng)絡(luò)安全接入系統(tǒng)�,包括本發(fā)明提供的任一無線控制器, 還包括無線接入點和無線客戶端����;所述無線客戶端,與所述無線接入點連接�,用于向所述無線接入點發(fā)送報文;所述無線接入點��,與所述無線控制器連接�,用于根據(jù)所述無線客戶端發(fā)送的報 文生成封裝報文,并將所述封裝報文發(fā)送給所述無線控制器����。本發(fā)明提供的無線網(wǎng)絡(luò)安全接入方法、系統(tǒng)及無線控制器���,首先確定無線客戶 端發(fā)生了 AC間漫游�����,然后�,通過發(fā)送探測報文獲取無線客戶端對應(yīng)的漫出AC���,然后將 無線客戶端的報文轉(zhuǎn)發(fā)到漫出AC上�,由漫出AC根據(jù)其上存儲的訪問策略對無線客戶端 進(jìn)行接入時的訪問控制。本發(fā)明技術(shù)方案將接入訪問控制轉(zhuǎn)交到了漫出AC����,由于漫出 AC上的訪問策略是在漫游前無線客戶端正常加入時建立的,在無線客戶端的漫游過程中 始終保持不變����,而漫游前后均由該漫出AC采用其上存儲的訪問策略對無線客戶端進(jìn)行訪 問控制,因此�����,可以保證漫游前后無線客戶端具有相同的訪問范圍����,解決了發(fā)生AC間漫 游時存在的無線客戶端的訪問策略發(fā)生變化的問題,保證了漫游前后采用相同的訪問策 略對無線客戶端進(jìn)行訪問控制���。
為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案�����,下面將對實施例或 現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡單地介紹����,顯而易見地�����,下面描述中的附圖是 本發(fā)明的一些實施例�����,對于本領(lǐng)域普通技術(shù)人員來講����,在不付出創(chuàng)造性勞動的前提下, 還可以根據(jù)這些附圖獲得其他的附圖����。圖1為現(xiàn)有技術(shù)無線局域網(wǎng)的一種結(jié)構(gòu)示意圖2為本發(fā)明實施例一提供的無線網(wǎng)絡(luò)安全接入方法的流程圖;圖3A為本發(fā)明實施例二提供的無線控制器的一種結(jié)構(gòu)示意圖��;圖3B為本發(fā)明實施例二提供的無線控制器的又一種結(jié)構(gòu)示意4為本發(fā)明實施例三提供的無線網(wǎng)絡(luò)安全接入系統(tǒng)的結(jié)構(gòu)示意圖�。
具體實施例方式為使本發(fā)明實施例的目的、技術(shù)方案和優(yōu)點更加清楚�,下面將結(jié)合本發(fā)明實施 例中的附圖,對本發(fā)明實施例中的技術(shù)方案進(jìn)行清楚����、完整地描述����,顯然�,所描述的實 施例是本發(fā)明一部分實施例,而不是全部的實施例�。基于本發(fā)明中的實施例����,本領(lǐng)域普 通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護(hù) 的范圍���。在WLAN中�����,在無線客戶端未發(fā)生漫游的情況下�����,無線客戶端發(fā)送報文給其所 關(guān)聯(lián)的AP����,由該AP對報文進(jìn)行封裝,在封裝頭部中加入無線客戶端所在的WLAN的信 息���;然后該AP將封裝后的報文發(fā)送給其所連接的AC�。AC對收到的封裝后的報文進(jìn)行 解封裝��,根據(jù)獲取的WLAN的信息選擇對應(yīng)的訪問策略對報文進(jìn)行過濾����。其中�����,訪問策 略可以是在AC上預(yù)先配置的靜態(tài)策略�����,也可以是通過各種協(xié)議從提供訪問策略的服務(wù)器 (主要是指802.1x認(rèn)證服務(wù)器��、Web認(rèn)證服務(wù)器等認(rèn)證服務(wù)器)上獲取的動態(tài)策略����。通常,在未發(fā)生漫游的情況下���,無線客戶端的訪問范圍受無線客戶端當(dāng)前關(guān)聯(lián) 的AP所連接的AC上的對無線客戶端所在WLAN相關(guān)的訪問策略的限制��。在無線客戶 端發(fā)生了漫游的情況下��,為了保證無線客戶端的訪問范圍不變����,本發(fā)明提出要求無線客 戶端漫游前后受到完全相同的訪問策略的控制的技術(shù)方案?����;诖?,本發(fā)明以下各實施 例將詳細(xì)說明本發(fā)明技術(shù)方案的實現(xiàn)過程。實施例一圖2為本發(fā)明實施例一提供的無線網(wǎng)絡(luò)安全接入方法的流程圖����。如圖2所示, 本實施例的無線網(wǎng)絡(luò)安全接入方法包括步驟201�、AC根據(jù)接收到的封裝報文中的無線局域網(wǎng)標(biāo)識和無線客戶端的信 息,確定無線客戶端發(fā)生了 AC間漫游����,所述封裝報文是由AP根據(jù)無線客戶端發(fā)出的報 文生成的;具體地,在無線客戶端發(fā)生AC間漫游的情況下���,無線客戶端向其漫游后所關(guān)聯(lián) 的AP發(fā)送報文����,漫游后所關(guān)聯(lián)的AP負(fù)責(zé)對報文進(jìn)行封裝��,形成封裝報文����,該封裝報文 中包括有無線客戶端所在WLAN的WLAN標(biāo)識(例如WLAN ID)以及無線客戶端的相 關(guān)信息(例如無線客戶端的標(biāo)識����、名稱、IP地址等)�。漫游后所關(guān)聯(lián)的AP將封裝報 文發(fā)送給其所連接的AC。AC對接收到的封裝報文進(jìn)行解封裝�����,獲取其中的WLAN標(biāo)識和無線客戶端的信 息��。其中�����,由于只有在同一 WLAN中才能發(fā)生漫游,因此��,AC要判斷該無線客戶端是 否發(fā)生AC間漫游�,需要判斷該無線客戶端是否存在該AC已關(guān)聯(lián)的無線客戶端中;若存 在����,則說明該無線客戶端并非發(fā)生AC間漫游的無線客戶端;反之���,說明該無線客戶端發(fā) 生了 AC間漫游���。由于本實施例技術(shù)方案是針對發(fā)生AC間漫游的情況而提出的,而對于未發(fā)生AC間漫游 的情況可采用現(xiàn)有技術(shù)的方案進(jìn)行處理�����,因此����,在本實施例中,直接假設(shè)AC 確定該無線客戶端發(fā)生了 AC間漫游���,基于此��,可繼續(xù)執(zhí)行步驟202�����。后續(xù)將作為本實施 例執(zhí)行主體的AC����,亦即判斷出無線客戶端發(fā)生AC間漫游的該AC稱為漫入AC。步驟202�����、AC向其他AC發(fā)送探測報文���,以獲取漫出AC,所述探測報文包括無 線客戶端的信息�����;當(dāng)漫入AC確定無線客戶端發(fā)生AC間漫游之后��,為保證該無線客戶端在漫游前 后受到相同訪問策略的控制��,漫入AC向所在WLAN中與之相鄰的其他AC發(fā)送包括無線 客戶端的信息的探測報文,以供其他AC在收到該探測報文后根據(jù)其中的無線客戶端的信 息判斷該無線客戶端是否為其之前所關(guān)聯(lián)的無線客戶端��,即供其他AC判斷其是否為漫出 AC �����;并使該漫入AC獲知其相鄰的哪個AC為漫出AC���。其中�����,可以預(yù)先在各個AC間約定當(dāng)收到探測報文后進(jìn)行回復(fù)����,即向發(fā)送探測 報文的AC(即漫入AC)發(fā)送探測響應(yīng)報文�����,并且在探測響應(yīng)報文中攜帶是否為漫出AC 的信息���;例如可以將探測響應(yīng)報文中的某位作為漫出AC標(biāo)識位�,當(dāng)該位為“1”時表示 該AC為漫出AC;當(dāng)該位為“0”時表示該AC不是漫出AC���。另外���,還可以預(yù)先在各個AC間約定只有在收到探測報文且確定為漫出AC 時����,向漫入AC發(fā)送探測響應(yīng)報文����;其中,收到探測報文但并非是漫出AC的AC不需要 向漫入AC發(fā)送探測響應(yīng)報文��。通過上述方式��,作為本實施例執(zhí)行主體的漫入AC可以根據(jù)接收到的探測響應(yīng)報 文獲知無線客戶端對應(yīng)的漫出AC��,并在獲知漫出AC的基礎(chǔ)上執(zhí)行步驟203����。具體的, 基于前一種實施方式�����,漫入AC有可能接收到多個探測響應(yīng)報文����,需要根據(jù)探測響應(yīng)報文 中的漫出AC標(biāo)識位來確定漫出AC;若基于后一實施方式,漫入AC僅會收到一個探測 響應(yīng)報文����,即漫出AC發(fā)送的探測響應(yīng)報文,因此���,可直接基于該探測響應(yīng)報文確定漫出 ACo在此需要說明���,其中,漫入AC僅在接收到第一個封裝報文時向其他AC發(fā)送探 測報文是一種獲取漫出AC的優(yōu)選方式�,可以避免多次發(fā)送探測報文造成的資源浪費;當(dāng) 漫入AC獲知到漫出AC�����,將漫出AC的信息存儲起來��;對于接收到的后續(xù)封裝報文�����,漫 入AC可以直接根據(jù)存儲的漫出AC的信息轉(zhuǎn)發(fā)到漫出AC�����,而不必每次都通過發(fā)送探測 報文獲取漫出AC,但并不限于此����。步驟203、AC將封裝報文發(fā)送給獲取的漫出AC��,以供漫出AC對無線客戶端進(jìn) 行接入時的安全控制�。其中,在本實施例中漫出AC上的訪問策略是在無線客戶端正常加入時建立并存 儲的����,且在無線客戶端的漫游過程中始終保持不變,因此�,漫入AC將無線客戶端的報 文轉(zhuǎn)發(fā)至漫出AC,由漫出AC根據(jù)其上存儲的訪問策略對無線客戶端的接入進(jìn)行訪問控 制����,可以保證無線客戶端漫游前后受到相同訪問策略的控制。具體地���,在本步驟203中���,漫入AC可以將解封裝后的報文進(jìn)行重新封裝,并在 其封裝頭中封裝所在WLAN標(biāo)識���,亦即解封裝時獲取的WLAN標(biāo)識���,將重新封裝形成的 報文發(fā)送給漫出AC。另外�����,本實施例的漫入AC在接收到封裝報文時���,可以存儲該封裝 報文����,因此�����,在該步驟203中漫入AC還可以將所存儲的封裝報文直接轉(zhuǎn)發(fā)給漫出AC����。 以上僅為本實施例提供的漫入AC向漫出AC提供封裝報文的兩種具體實現(xiàn)方式,并不限于此�����。漫出AC對收到封裝報文進(jìn)行解封裝,獲取其中的WLAN標(biāo)識���,根據(jù)WLAN標(biāo) 識獲取相應(yīng)的訪問策略�,對解封裝獲取到的無線卡客戶端發(fā)送的報文進(jìn)行過濾��,實現(xiàn)對 無線客戶端接入時的控制���。其中����,不同WLAN可采用不同的訪問策略進(jìn)行無線客戶端的訪問控制����,因此, 在本實施例中采用WLAN標(biāo)識來區(qū)分不同WLAN下的訪問策略���。本實施例的無線網(wǎng)絡(luò)安全接入方法����,在根據(jù)WLAN標(biāo)識和無線客戶端的信息確 定無線客戶端發(fā)生AC間漫游時,漫入AC通過探測報文獲取漫出AC�,并將無線客戶端的 報文轉(zhuǎn)發(fā)給漫出AC,由漫出AC采用漫游前的訪問策略對漫游后的無線客戶端進(jìn)行接入 時的訪問控制�,保證了漫游前后無線客戶端受相同訪問策略的控制��,具有相同的訪問范 圍��,解決了現(xiàn)有技術(shù)中存在的發(fā)生AC間漫游時無線客戶端的訪問范圍發(fā)生變化的問題�����。進(jìn)一步�����,與現(xiàn)有技術(shù)相比����,本實施例不需要在漫入AC和漫出AC間進(jìn)行訪問策 略同步遷移,因此���,不存在因訪問策略的搬移而造成的延長斷流時間的問題�,極大地提 高了有訪問策略的無線客戶端的漫游效率和速度���?���;谏鲜黾夹g(shù)方案,本實施例提供一種確定無線客戶端發(fā)生AC間漫游的具體實 施方式�����。其中每個AC上均會存儲有其下所關(guān)聯(lián)的無線客戶端以及無線客戶端的相關(guān)信 息�,即在AC上存儲有客戶端信息。因此����,AC可以根據(jù)解封裝封裝報文獲取到的WLAN 標(biāo)識,獲取其下所關(guān)聯(lián)的屬于該WLAN標(biāo)識對應(yīng)的WLAN的無線客戶端以及相關(guān)信息�, 即客戶端信息;然后����,AC將解封裝封裝報文獲取的無線客戶端的信息與本地存儲的屬于 同一 WLAN下的客戶端信息進(jìn)行比較;若比較得出本地存儲的屬于同一 WLAN下的 客戶端信息中不存在無線客戶端的信息���,則確定無線客戶端發(fā)生了 AC間漫游�����;反之���,說 明無線客戶端未發(fā)生AC間漫游��。本實施例提供的基于AC本地存儲的客戶端信息來確定無線客戶端是否發(fā)生AC 間漫游的技術(shù)方案��,所需信息獲取方便�����,因此具有簡單易于實施且判斷效率較高的優(yōu)
點ο在此需要說明,在本發(fā)明的技術(shù)方案中�����,無論是發(fā)生幾次AC間漫游��,漫出AC 均為無線客戶端正常接入時所關(guān)聯(lián)的AP連接的AC�。例如當(dāng)無線客戶端接入WLAN 時所關(guān)聯(lián)的AP連接的AC為第一 AC,然后由第一 AC漫游到第二 AC時���,第一 AC為本 發(fā)明技術(shù)方案的漫出AC���,第二 AC為本發(fā)明技術(shù)方案的漫入AC;接著無線客戶端又由第 二AC漫游到第三AC,此時對于第二AC來說,其上并未配置與無線客戶端相關(guān)的安全策 略�����,其使用的是第一 AC的安全策略����,而為了保證第二次漫游時無線客戶端能夠受到與第 一次漫游時相同的安全策略控制,因此����,對第二次漫游來說,其漫出AC仍為第一 AC��, 而漫入AC為第三AC����。在上述漫游過程中,安全策略始終位于第一 AC上��。實施例二圖3A為本發(fā)明實施例二提供的無線控制器的一種結(jié)構(gòu)示意圖�。如圖3A所示, 本實施例的AC包括確定模塊31���、獲取模塊32和第一發(fā)送模塊33�����。其中���,確定模塊31用于根據(jù)接收到的封裝報文中的WLAN標(biāo)識和無線客戶端的 信息���,確定無線客戶端發(fā)生了 AC間漫游,其中封裝報文是由AP根據(jù)無線客戶端發(fā)出的 報文生成的����;獲取模塊32,與確定模塊31連接���,用于在確定模塊31確定無線客戶端發(fā)生AC間漫游時,向其他AC發(fā)送探測報文�����,以獲取無線客戶端對應(yīng)的漫出AC�,其中探測 報文中包括無線客戶端的信息;第一發(fā)送模塊33���,與確定模塊31和獲取模塊32連接����, 用于將封裝報文發(fā)送給獲取的漫出AC,以供漫出AC對無線客戶端進(jìn)行接入時的安全控 制��。具體的�����,獲取模塊32向其他AC發(fā)送探測報文�����,其他AC接收到探測報文后可以 根據(jù)其中的無線客戶端的信息判斷其是否為漫出AC����,并向本地AC(即漫入AC)的獲取 模塊32根據(jù)預(yù)先約定的規(guī)則發(fā)送探測響應(yīng)報文,以供獲取模塊32根據(jù)該探測響應(yīng)報文獲 取漫出AC���。本實施例的AC可用于執(zhí)行本發(fā)明實施例提供的無線網(wǎng)絡(luò)安全接入方法的流程��, 通過確定模塊確定無線客戶端發(fā)生AC間漫游�����,通過獲取模塊獲取無線客戶端對應(yīng)的漫出 AC,并由第一發(fā)送模塊將無線客戶端的報文轉(zhuǎn)發(fā)到漫出AC�����,由漫出AC對無線客戶端進(jìn) 行接入時的訪問控制���。由于漫出AC上的訪問策略是在無線客戶端正常加入時建立的�����, 且在無線客戶端的漫游過程中不變�����,因此�,由于漫出AC根據(jù)其上存儲的訪問策略對無線 客戶端進(jìn)行接入時的訪問控制�����,保證了無線客戶端漫游前后受到相同訪問策略的控制�, 克服了現(xiàn)有技術(shù)中發(fā)生AC間漫游時可能出現(xiàn)無線客戶端漫游前后訪問范圍不同的缺陷���, 保證了無線客戶端在漫游前后具有相同的訪問范圍����。進(jìn)一步,如圖3B所示�����,本實施例的確定模塊31包括第一接收單元311�����、第一 獲取單元312���、比較單元313和確定單元314�����。其中���,第一接收單元311,用于接收與本 地AC連接的AP發(fā)送的封裝報文����;該AP接收無線客戶端的報文,對接收到的報文進(jìn)行 封裝��,在封裝頭部添加無線客戶端所在WLAN的WLAN標(biāo)識�����,形成封裝報文,并將封裝 報文發(fā)送給第一接收單元311����。第一獲取單元312,與第一接收單元311連接�,用于解析 第一接收單元311接收到的封裝報文,獲取其中的WLAN標(biāo)識和無線客戶端的信息�����;比 較單元313�,與第一獲取單元312連接,用于根據(jù)WLAN標(biāo)識�����,將無線客戶端的信息和本 地AC所存儲的客戶端信息進(jìn)行比較�;確定單元314,與比較單元313連接�,用于在比較 單元3 13比較得出本地AC存儲的客戶端信息中不存在無線客戶端的信息時����,確定無線 客戶端發(fā)生了 AC間漫游�����。進(jìn)一步���,本實施例中的確定單元314還用于在比較單元313比較得出本地AC 存儲的客戶端信息中存在無線客戶端的信息時,確定無線客戶端未發(fā)生AC間漫游�。其 中,當(dāng)確定出無線客戶端未發(fā)生AC間漫游時��,可以將該確定結(jié)果提供給AC中現(xiàn)有功能 模塊���,例如對無線客戶端進(jìn)行接入控制的接入控制模塊等�。由于無線客戶端未發(fā)生AC間 漫游的情況下����,AC所進(jìn)行的后續(xù)處理與現(xiàn)有技術(shù)相同,因此�����,本實施例并不對實現(xiàn)該功 能的AC結(jié)構(gòu)進(jìn)行說明��,可參見現(xiàn)有技術(shù)。其中�,上述實施例所提供的確定模塊的具體實現(xiàn)結(jié)構(gòu)僅為一種舉例,并不限于 此�,也可以采用其他結(jié)構(gòu)或功能模塊來實現(xiàn)。進(jìn)一步��,在上述技術(shù)方案的基礎(chǔ)上����,本實施例提供一種獲取模塊32的具體實現(xiàn) 結(jié)構(gòu),但并不限于此�����。如圖3B該獲取模塊32包括發(fā)送單元321����、第二接收單元322和 第二獲取單元323。其中���,發(fā)送單元321�����,與確定模塊31或確定單元314連接����,用于向其 他AC發(fā)送探測報文����;第二接收單元322,與發(fā)送單元321連接�,用于在發(fā)送單元321發(fā) 送探測報文之后,接收其他AC發(fā)送的探測響應(yīng)報文����;其中該探測響應(yīng)報文是由其他AC根據(jù)預(yù)先約定的規(guī)則,在收到探測報文后返回的���,且該探測響應(yīng)報文中包括漫出AC的信 息��。第二獲取單元323��,與第二接收單元322連接�����,用于根據(jù)探測響應(yīng)報文��,獲取漫出 AC���。例如可以通過解析探測響應(yīng)報文�,根據(jù)其中攜帶的漫出AC標(biāo)識位確定漫出AC�, 但并不限于此。其中�,發(fā)送單元321可優(yōu)選地僅根據(jù)第一個封裝報文發(fā)送探測報文,以 獲取漫出AC�。基于上述技術(shù)方案�,本實施例的AC還包括接收模塊和第二發(fā)送模塊。具體 地�,當(dāng)本實施例的AC作為其他AC的鄰居,且在其他AC發(fā)送探測報文以獲取其所對應(yīng) 的漫出AC時���,本實施例的AC可以通過接收模塊接收其他AC發(fā)送的用于獲取漫出AC的 探測報文����,并通過第二發(fā)送模塊根據(jù)預(yù)先約定的規(guī)則向其他AC發(fā)送探測響應(yīng)報文��,以供 其他AC根據(jù)該探測響應(yīng)報文獲取其所需的漫出AC����。其中,第二發(fā)送模塊可以根據(jù)在各 個AC間預(yù)先約定的規(guī)則來發(fā)送探測響應(yīng)報文��。例如各個AC間可以預(yù)先約定在接 收到探測報文時,向發(fā)送探測報文的AC發(fā)送探測響應(yīng)報文�,并通過探測響應(yīng)報文中的某 個標(biāo)識位攜帶是否為漫出AC的信息;基于此����,本實施例的第二發(fā)送模塊只要接收到探測 報文就需要向其他AC發(fā)送攜帶是否為漫出AC信息的探測響應(yīng)報文����。又例如各個AC 間還可以預(yù)先約定只有在接收到探測報文且為漫出AC時,向發(fā)送探測報文的AC發(fā)送 探測響應(yīng)報文���,若不是漫出AC則不需發(fā)送探測響應(yīng)報文���;基于此,本實施例的第二發(fā)送 模塊只需在本實施例的AC為與其他AC對應(yīng)的漫出AC時發(fā)送探測響應(yīng)報文��,反之����,則 不需發(fā)送探測響應(yīng)報文,此時��,其他AC僅會接收到的漫出AC發(fā)送的探測響應(yīng)報文����,并 可以基于接收到的探測響應(yīng)報文確定漫出AC�。其中���,通過上述技術(shù)方案可實現(xiàn)本實施例的AC在作為其他AC的漫出AC時�, 向其他AC通告其為漫出AC的技術(shù)方案����。綜上所述,本實施例提供的AC可用于執(zhí)行本發(fā)明實施例提供的無線網(wǎng)絡(luò)安全接 入方法的流程��,同樣可保證無線客戶端漫游前后受到相同訪問策略的控制���,克服了現(xiàn)有 技術(shù)中發(fā)生AC間漫游時可能出現(xiàn)無線客戶端漫游前后訪問范圍不同的缺陷�,保證了無線 客戶端在漫游前后具有相同的訪問范圍����。實施例三圖4為本發(fā)明實施例三提供的無線網(wǎng)絡(luò)安全接入系統(tǒng)的結(jié)構(gòu)示意圖。本實施例 的系統(tǒng)包括AC���、AP和無線客戶端��。其中����,本實施例的系統(tǒng)包括多個AC,各個AC 相互連接�,并處于同一 WLAN中;同理���,在本實施例的系統(tǒng)中也會存在多個AP或多個 無線客戶端����。在圖4中所示系統(tǒng)中僅示出2個AC�����、2個AP和1個無線客戶端�����,分別為 AC41和AC42���,AP43和AP44,以及無線客戶端45�����。其中,本實施例中的AC41和AC42可以采用本發(fā)明上述實施例提供的AC��,具 體結(jié)構(gòu)和功能可參見本發(fā)明上述實施例的描述����,在此不再贅述。其中�����,無線客戶端45與AP43或AP44連接�,具體為無線連接方式,用于向AP43 或AP44發(fā)送報文���;AP43和AP44分別與AC41和AC42連接�,用于根據(jù)無線客戶端45發(fā) 送的報文生成封裝報文����,并將封裝報文發(fā)送給AC41和AC42。在本實施例的系統(tǒng)中���,當(dāng)無線客戶端45移動而發(fā)生AC間漫游時���,例如由關(guān)聯(lián) AP43變?yōu)殛P(guān)聯(lián)AP44時�����,即發(fā)生了 AC間漫游���。此時,本實施例中的AC42可以解封裝 AP44發(fā)送的封裝報文��,并根據(jù)其中的WLAN標(biāo)識和無線客戶端45的信息以及本地所存儲的客戶端信息����,確定無線客戶端45發(fā)生AC間漫游;然后����,AC42向AC41發(fā)送探測報 文�����,接收并根據(jù)AC41返回的探測響應(yīng)報文獲知AC41為漫出AC��,將接收到的AP44發(fā)送 的封裝報文發(fā)送給AC41���,由AC41對無線客戶端45進(jìn)行接入時的訪問控制���。在此需要 說明��,其中����,為獲取AC41用的探測報文優(yōu)選為僅在接收到第一個封裝報文時進(jìn)行發(fā)送�, 在獲取到漫出AC為AC41后將AC41的信息進(jìn)行存儲,對后續(xù)接收到的封裝報文可以直 接轉(zhuǎn)發(fā)到AC41進(jìn)行訪問控制��。進(jìn)一步����,本實施例中的AP44可包括第三接收單元和封裝單元。第三接收單元�����, 用于接收無線客戶端45發(fā)送的報文�;封裝單元,用于將AP44以及無線客戶端45���、AC41 等所在的WLAN的WLAN ID和接收到的報文進(jìn)行封裝���,具體是指將WLAN ID封裝到接 收到的報文的報文頭部���,以形成發(fā)送給AC42的封裝報文。其中��,AP43也可以包括上述 功能單元���。本實施例的無線網(wǎng)絡(luò)安全接入系統(tǒng)��,同樣可用于執(zhí)行本發(fā)明實施例提供的無線 網(wǎng)絡(luò)安全接入方法的流程����,具體由漫入AC將無線客戶端的報文轉(zhuǎn)發(fā)給漫出AC����,由漫出 AC對無線客戶端進(jìn)行接入時的訪問控制,保證了漫游前后無線客戶端受相同訪問策略的 控制����,具有相同的訪問范圍��,解決了現(xiàn)有技術(shù)中存在的發(fā)生AC間漫游時無線客戶端的訪 問范圍發(fā)生變化的問題�����。本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述方法實施例的全部或部分步驟可以 通過程序指令相關(guān)的硬件來完成,前述的程序可以存儲于一計算機(jī)可讀取存儲介質(zhì)中���, 該程序在執(zhí)行時�,執(zhí)行包括上述方法實施例的步驟�����;而前述的存儲介質(zhì)包括ROM���、 RAM�����、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)��。最后應(yīng)說明的是以上實施例僅用以說明本發(fā)明的技術(shù)方案�����,而非對其限制��; 盡管參照前述實施例對本發(fā)明進(jìn)行了詳細(xì)的說明�����,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解其 依然可以對前述各實施例所記載的技術(shù)方案進(jìn)行修改�����,或者對其中部分技術(shù)特征進(jìn)行等 同替換����;而這些修改或者替換,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實施例技術(shù)方 案的精神和范圍�����。
權(quán)利要求
1.一種無線網(wǎng)絡(luò)安全接入方法���,其特征在于��,包括無線控制器根據(jù)接收到的封裝報文中的無線局域網(wǎng)標(biāo)識和無線客戶端的信息��,確定 所述無線客戶端發(fā)生了無線控制器間漫游��,所述封裝報文是由無線接入點根據(jù)所述無線 客戶端發(fā)出的報文生成的�����;所述無線控制器向其他無線控制器發(fā)送探測報文��,以獲取漫出無線控制器����,所述探 測報文包括所述無線客戶端的信息��;所述無線控制器將所述封裝報文發(fā)送給獲取的所述漫出無線控制器�,以供所述漫出 無線控制器對所述無線客戶端進(jìn)行接入時的安全控制。
2.根據(jù)權(quán)利要求1所述的無線網(wǎng)絡(luò)安全接入方法����,其特征在于,無線控制器根據(jù)接收 到的封裝報文中的無線局域網(wǎng)標(biāo)識和無線客戶端的信息�����,確定所述無線客戶端發(fā)生了無 線控制器間漫游包括所述無線控制器接收所述無線接入點發(fā)送的所述封裝報文�;所述無線控制器解析所述封裝報文,獲取所述無線局域網(wǎng)標(biāo)識和無線客戶端的信息�;所述無線控制器根據(jù)所述無線局域網(wǎng)標(biāo)識,將所述無線客戶端的信息和所述無線控 制器本地存儲的客戶端信息進(jìn)行比較��;所述無線控制器在所述無線控制器本地存儲的客戶端信息中不存在所述無線客戶端 的信息時�����,確定所述無線客戶端發(fā)生了無線控制器間漫游。
3.根據(jù)權(quán)利要求1或2所述的無線網(wǎng)絡(luò)安全接入方法�����,其特征在于�,所述無線控制器 向其他無線控制器發(fā)送探測報文,以獲取漫出無線控制器包括所述無線控制器向所述其他無線控制器發(fā)送探測報文����;所述無線控制器接收所述其他無線控制器根據(jù)預(yù)先約定的規(guī)則發(fā)送的探測響應(yīng)報文;所述無線控制器根據(jù)所述探測響應(yīng)報文�,獲取所述漫游無線控制器。
4.一種無線控制器����,其特征在于,包括確定模塊���,用于根據(jù)接收到的封裝報文中的無線局域網(wǎng)標(biāo)識和無線客戶端的信息����, 確定所述無線客戶端發(fā)生了無線控制器間漫游����,所述封裝報文是由無線接入點根據(jù)所述 無線客戶端發(fā)出的報文生成的;獲取模塊�����,用于向其他無線控制器發(fā)送探測報文����,以獲取漫出無線網(wǎng)絡(luò)控制器,所 述探測報文包括所述無線客戶端的信息��;第一發(fā)送模塊����,用于將所述封裝報文發(fā)送給獲取的所述漫出無線控制器,以供所述 漫出無線控制器對所述無線客戶端進(jìn)行接入時的安全控制��。
5.根據(jù)權(quán)利要求4所述的無線控制器���,其特征在于�����,所述確定模塊包括 第一接收單元�,用于接收所述無線接入點發(fā)送的所述封裝報文;第一獲取單元����,用于解析所述封裝報文,獲取所述無線局域網(wǎng)標(biāo)識和無線客戶端的 fn息�;比較單元,用于根據(jù)所述無線局域網(wǎng)標(biāo)識���,將所述無線客戶端的信息和所述無線控 制器本地存儲的客戶端信息進(jìn)行比較�����;確定單元����,用于在所述比較單元比較得出所述無線控制器本地存儲的客戶端信息中不存在所述無線客戶端的信息時��,確定所述無線客戶端發(fā)生了無線控制器間漫游���。
6.根據(jù)權(quán)利要求4或5所述的無線控制器�,其特征在于�����,所述獲取模塊包括 發(fā)送單元,用于向所述其他無線控制器發(fā)送探測報文�����;第二接收單元���,用于接收所述其他無線控制器根據(jù)預(yù)先約定的規(guī)則發(fā)送的探測響應(yīng) 報文;第二獲取單元����,用于根據(jù)所述探測響應(yīng)報文,獲取所述漫出無線控制器��。
7.根據(jù)權(quán)利要求4或5所述的無線控制器���,其特征在于����,還包括 接收模塊��,用于接收所述其他無線控制器發(fā)送的探測報文��;第二發(fā)送模塊�,用于根據(jù)預(yù)先約定的規(guī)則向所述其他無線控制器發(fā)送探測響應(yīng)報 文�,以供所述其他無線控制器根據(jù)所述探測響應(yīng)報文獲取漫出無線網(wǎng)絡(luò)控制器�。
8.—種包括權(quán)利要求4-7任一項所述的無線控制器的無線網(wǎng)絡(luò)安全接入系統(tǒng),其特征 在于���,還包括無線接入點和無線客戶端�����;所述無線客戶端�,與所述無線接入點連接��,用于向所述無線接入點發(fā)送報文�����; 所述無線接入點�,與所述無線控制器連接,用于根據(jù)所述無線客戶端發(fā)送的報文生 成封裝報文��,并將所述封裝報文發(fā)送給所述無線控制器���。
9.根據(jù)權(quán)利要求8所述的無線網(wǎng)絡(luò)安全接入系統(tǒng)���,其特征在于�����,所述無線接入點包括第三接收單元����,用于接收所述無線客戶端發(fā)送的報文��;封裝單元�����,用于將所在無線局域網(wǎng)的無線局域網(wǎng)標(biāo)識和所述報文進(jìn)行封裝��,形成所 述封裝報文�。
全文摘要
本發(fā)明提供一種無線網(wǎng)絡(luò)安全接入方法�����、系統(tǒng)及無線控制器����,方法包括無線控制器根據(jù)接收到的封裝報文中的無線局域網(wǎng)標(biāo)識和無線客戶端的信息,確定無線客戶端發(fā)生了無線控制器間漫游,封裝報文是由無線接入點根據(jù)所述無線客戶端發(fā)出的報文生成的�����;無線控制器向其他無線控制器發(fā)送探測報文��,以獲取漫出無線控制器�����,探測報文包括無線客戶端的信息�;無線控制器將封裝報文發(fā)送給獲取的漫出無線控制器,以供漫出無線控制器對無線客戶端進(jìn)行接入時的安全控制���。采用本發(fā)明技術(shù)方案�,可以解決發(fā)生AC間漫游時存在的無線客戶端的訪問策略發(fā)生變化的問題����,保證漫游前后采用相同的訪問策略對無線客戶端進(jìn)行訪問控制。
文檔編號H04W12/08GK102014391SQ20101057164
公開日2011年4月13日 申請日期2010年11月29日 優(yōu)先權(quán)日2010年11月29日
發(fā)明者吳夢非, 楊紅飛, 茅新民 申請人:北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司