具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
对于无线客户端,其漫游范围可以认为是相对接近的AP之间,而这些AP通常处于同一热点比如同一局域网中,因此,可以考虑使用二层报文同步无线客户端的漫游信息,以实现无线客户端在AP间的快速漫游。
下面对本发明提供的方法进行描述:
参见图1,图1为本发明实施例提供的基本流程图。如图1所示,该流程包括以下步骤:
步骤101,AP使用二层报文将通过本地认证的无线客户端的漫游信息发送给其他AP。
从步骤101可以看出,只有对无线客户端进行本地认证的AP才会同步该无线客户端的漫游信息。
步骤102,AP接收其他AP发送的二层报文,如果确定自身与发送该二层报文的AP处于同一逻辑AP组,则记录该二层报文中的漫游信息。
本发明中,针对每一AP,预先为该AP配置Key,该Key具有唯一性,用于标识逻辑AP组,其中,不同AP配置了同样的Key,则视为该不同AP处于同一逻辑AP组中。具体在下文进行描述。
步骤103,AP接收到从其他AP漫游过来的无线客户端提交的关联请求时,判断本地是否记录了该无线客户端的漫游信息,如果是,则在自身处于本地认证状态时,对该无线客户端进行快速漫游。
至此,完成图1所示的流程。
从图1所示的流程可以看出,同一逻辑组的AP,若二层互通,则可以进行基于本地认证的无线客户端快速漫游。
为便于理解图1,下面对本发明实施例提供的流程进行详细描述:
参见图2,图2为本发明实施例提供的详细流程图。如图2所示,该流程可包括以下步骤:
步骤201,无线客户端(记为STA1)上线并首先接入至AP1。
步骤202,AP1在自身处于本地认证状态时,对该STA1进行本地认证,在认证通过后,使用自身被配置的Key1加密该STA1的漫游信息,并通过二层报文发送。
本步骤202中,STA1的漫游信息主要包含STA1的安全认证相关信息。
其中,本发明使用的二层报文可通过图3所示。该二层组播报文包括:
目的MAC地址字段(DstMac),包含目的MAC地址,其为实现本发明而特意设定的组播地址。在本发明中,由于AP之间通过自身配置的Key识别是否记录无线客户端的漫游信息,在下文步骤203至步骤204进行了描述,因此,该设定组播地址不要求创建对应的组播组,也不要求每一AP发送二层组播报文时需要明确发送给哪些AP。
源MAC地址字段(SrcMac),包含源NACh地址;
协议类型(Type),包含私有协议的类型;
随机字符串校验字段(ChallengeText),包含发送该二层组播报文的AP使用自身被配置的Key对生成的随机字符串进行加密得到的加密随机字符串;
摘要字段(Checkcode),包含所述随机字符串的摘要比如MD5摘要或MD5摘要的前M个字节。M可取值为6;
载荷长度字段(PayloadLen)包含载荷字段的长度;
载荷字段(Payload),包含发送该二层组播报文的AP使用自身被配置的Key对通过本地认证的无线客户端的漫游信息进行加密得到的加密后的漫游信息。
基于对二层组播报文的描述,则本步骤202中,使用自身被配置的Key1加密该STA1的漫游信息,并通过二层报文发送具体可包括图4所示的流程:
步骤401,生成随机字符串。
步骤402,使用预先被配置的密钥Key对所述随机字符串加密,得到加密随机字符串;
步骤403,计算所述随机字符串的摘要,得到随机字符串摘要。
具体实现时,这里计算随机字符串的摘要可为计算随机字符串的MD5摘要,当然也可为其他形式,本发明并不具体限定。
步骤404,使用所述Key对所述通过本地认证的无线客户端的漫游信息进行加密,得到加密漫游信息;
步骤405,将所述加密随机字符串加入随机字符串校验字段,将所述随机字符串摘要加入所述摘要字段,将所述加密漫游信息放入载荷字段,之后发送二层报文给其他AP。
至此,完成图4所示的流程。
步骤203,当AP2接收到AP1发送的二层组播报文后,获取二层组播报文中ChallengeText包含的加密随机字符串,使用自身被配置的Key对该加密随机字符串进行解密,得到解密随机字符串。
步骤204,计算该解密随机字符串的摘要,并比较该计算出的摘要和所述二层组播报文中Checkcode包含的随机字符串摘要是否一致,如果是,则确定自身与AP1处于同一逻辑AP组,之后执行步骤205。
通过步骤203至步骤204,能够实现校验AP1和AP2被配置的Key是否一致,当确定出AP1和AP2被配置的Key一致,则确定AP1和AP2处于同一逻辑AP组。
步骤205,AP2利用自身被配置的Key对该二层组播报文中Payload包含的漫游信息进行解密,如果解密成功,则记录解密后的漫游信息。
上述步骤203至步骤204为图1所示步骤102的具体实现操作。
通过以上步骤201至步骤205,能够实现本发明提供的AP间同步漫游信息的操作,其可通过图5形象描述。
步骤206,当STA1从AP1漫游至AP2时,STA1向AP2提交关联请求。
步骤207,AP2在所述关联请求携带了单播主密钥标识(PMK ID)时,判断自身是否记录了对应所述PMK ID的无线客户端漫游信息,如果是,则执行步骤208。
本步骤207具体实现可与现有方式类似,不再赘述。
作为本发明实施例的一种扩展,本步骤207中,如果判断结果为否,则可重新对该STA1进行认证。
步骤208,在自身处于本地认证状态时,对该无线客户端进行快速漫游。
至此,完成图2所示的流程。
需要说明的是,本发明中,当一AP比如AP2在接入从其他AP比如AP1漫游过来的无线客户端如STA1后,如果发现原始认证该无线客户端的AP失效,则将该无线客户端下线。
其中,发现认证该无线客户端的AP失效包括:将认证该无线客户端的AP加入至心跳检测列表中;定期向该心跳检测列表中的AP发送单播检测报文探测该AP是否失效,如果连续N次均探测失效,则确定该AP失效,所述N大于等于1,比如取值可为3。
需要说明的是,若AP比如AP2发现从心跳检测列表中AP比如AP1漫游过来的所有无线客户端均下线,则将该AP从心跳检测列表中移出。
另外,本发明中,对于AP漫出无线客户端的情况,由于该漫出的无线客户端的流量会转回至该AP,因此,为避免流量中断,该AP在无线客户端漫出时,并不需要删除该无线客户端的信息,而是按照现有正常的老化机制来处理。
至此,完成本发明的方法描述,下面对本发明提供的AP进行描述:
参见图6,图6为本发明提供的AP结构示意图。如图6所示,该AP包括:
漫游信息发送单元,用于使用二层报文将通过本地认证的无线客户端的漫游信息发送给其他AP;
漫游信息接收单元,用于接收其他AP发送的二层报文,如果确定自身所在AP与发送该二层报文的AP处于同一逻辑AP组,则记录该二层报文中的漫游信息;
快速漫游单元,用于接收到从其他AP漫游过来的无线客户端提交的关联请求时,判断本地是否记录了该无线客户端的漫游信息,如果是,则在自身处于本地认证状态时,对该无线客户端进行快速漫游。
优选地,本发明中,所述漫游信息接收单元用于校验自身所在AP被配置的密钥Key与该发送二层报文的AP被配置的Key是否一致,如果是,则确定自身所在AP与发送该二层报文的AP处于同一逻辑AP组,否则,确定自身所在AP与发送该二层报文的AP处于不同逻辑AP组。
其中,所述二层报文至少包括:随机字符串校验字段、摘要字段和载荷字段;
基于此,如图6所示,所述漫游信息发送单元包括:
生成子单元,用于生成随机字符串;
第一加密子单元,用于使用所处AP预先被配置的密钥Key对所述随机字符串加密,得到加密随机字符串;
计算子单元,用于计算所述随机字符串的摘要,得到随机字符串摘要;
第二加密子单元,用于使用所述Key对所述通过本地认证的无线客户端的漫游信息进行加密,得到加密漫游信息;
发送子单元,用于将所述加密随机字符串加入随机字符串校验字段,将所述随机字符串摘要加入所述摘要字段,将所述加密漫游信息放入载荷字段,之后发送二层报文给其他AP。
基于上面对二层报文的描述,则漫游信息接收单元记录的漫游信息为利用其所处AP被配置的Key对二层报文中载荷字段包含的无线客户端漫游信息进行解密成功的漫游信息。
另外,如图6所示,所述漫游信息接收单元具体实现时可包括:
获取子单元,用于获取二层报文中随机字符串校验字段包含的加密随机字符串;
解密子单元,用于使用自身所处AP被配置的Key对该获取的加密随机字符串进行解密,得到解密随机字符串;
计算子单元,用于计算该解密随机字符串的摘要;
比较子单元,用于比较该计算出的摘要和所述二层报文中摘要字段包含的随机字符串摘要是否一致,如果是,则确定自身所在AP被配置的密钥Key与该发送二层报文的AP被配置的Key一致,如此,即可确定自身所在AP与发送该二层报文的AP处于同一逻辑AP组,否则,确定自身所在AP被配置的密钥Key与该发送二层报文的AP被配置的Key不一致,即自身所在AP与发送该二层报文的AP处于不同逻辑AP组。
优选地,本发明中,所述AP还包括:下线控制单元和移出单元,其中,
所述下线控制单元,用于在自身所处AP接入从其他AP漫游过来的无线客户端后,如果发现认证该无线客户端的AP失效,则将该无线客户端下线,具体实现时可包括:
加入子单元,用于在自身所处AP接入从其他AP漫游过来的无线客户端后,将认证该无线客户端的AP加入至心跳检测列表中;
探测子单元,用于定期向该心跳检测列表中的AP发送单播检测报文探测该AP是否失效,如果连续N次均探测失效,则确定该AP失效,所述N大于等于1。
所述移出单元,用于在发现从心跳检测列表中AP漫游过来的所有无线客户端均下线时,将该AP从心跳检测列表中移出。
至此,完成本发明提供的AP结构的描述。
由以上技术方案可以看出,本发明中,AP将通过本地认证的无线客户端的漫游信息通过二层报文发送给其他AP,以使其他AP接收到从该AP漫游过来的无线客户端提交的关联请求时,利用该发送过来的无线客户端的漫游信息对该无线客户端进行快速漫游,即AP之间通过二层报文同步漫游信息进行无线客户端的快速漫游,并非现有技术中AP之间配置且维护三层IAPP隧道进行无线客户端的快速漫游,这避免了通过维护三层IAPP隧道进行无线客户端的快速漫游所带来的技术问题,简化配置,降低维护成本和设备开销。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。