CN102884819A - 用于wlan漫游流量认证的系统和方法 - Google Patents

Abstract

提供了一种识别从在无线局域网中漫游的被认证的设备产生的流量的系统和方法。认证服务器被设置为授权从无线接入点发起的通信流量使用漫游服务，所述流量包括NAT转换IP地址。服务器首先授权WLAN漫游设备，然后处理从WLAN接入点接收的元数据消息，其中，所述消息的源地址包括漫游设备在WLAN接入点的源地址。然后，服务器根据由认证服务器（所述认证服务器将此时的NAT转换源地址包括在元数据消息中）接收的元数据消息中设置的信息来确定来自所述被认证的漫游设备的流量的NAT转换源地址将是什么。这使得认证服务器认证具有所述NAT转换源地址的互联网绑定流量。以这种方式，由NAT转换IP地址为有效的漫游设备产生的所有流量被自动地授权使用漫游服务以接入互联网。

Description

用于WLAN漫游流量认证的系统和方法

本发明涉及一种用于识别从无线局域网中漫游的被认证的设备所处产生的流量的系统和方法以及相关的多方面。具体地，但非排他性地，本发明涉及一种确定具有网络地址转换（NAT）互联网协议（IP）源地址的流量是否包括由被授权使用经无线局域网接入的漫游通信服务的设备所产生的流量的方法以及相关的多方面。

一些无线局域网接入点（例如，由英国电信公司投入市场的网络接入点设备HomHub^TM）被设置为支持具有不同的服务集标识符（SSID）的网络。这使得在由接入点提供的到互联网的无线网络连接的区域内的访客的设备和也使用相同接入点来接入互联网的服务订户的设备之间的流量分离。

以这种方式共享无线网络覆盖的一个优点在于：在不产生需服务供应商负责的安装成本和相关的维护成本的情况下创建广域网。因为使用接入点的任何特定互联网服务的服务订户然后能够参与到方案中并且还从共享接入权限所支持的漫游服务中获益，所以接入点向访客提供这种共享接入的配置被鼓励。

然而，注册用户的无线局域网（WLAN）的主动使用具有若个问题。例如，访客流量的水平应该无法禁止服务订户对满足特定服务水平条件的互联网的接入。漫游服务的使用可能需要被监控，例如以仅支持被认证的用户享用漫游权限，并且还要监控访客对这种网络做出的使用的类型。

区分由注册为与接入点相关联的服务订户的设备对接入点的使用和网络接入点提供的由与访客或漫游用户相关联的设备进行的使用针对监控病毒、诽谤、非法或反社会目的（包括例如从国家安全角度来说感兴趣的使用）尤其重要。流量分离方案在本领域是公知的，所述流量分离方案将通过保证服务订户对接入点的使用与单独的网络SSID相关联的方式来对接入点的使用和该接入点为访客的ad hoc使用提供的无线LAN的SSID区分开。

例如，公开号为WO2009/022052、标题为“network Access for a Visiting User”的国际专利申请描述了访客如何从向访客设备分配IP地址的接入点请求使用合适协议（例如，动态主机分配协议）的网络地址（例如，IP地址）。当终端尝试与互联网通信（例如，尝试打开到WWW服务的连接）时，从用户观点来看，基站自动打开VPN通道，从而所有的访客流量通过VPN交换机被自动路由到强制网络门户。所述强制网络门户拦截所有传输的包，并将连接重定向到登录页（即，强制网络门户在访客设备上打开登录页），不允许访客流量在登录之前进一步传播。

公开号为US2007/0268914、标题为“Tenant Network Controller Apparatus andMethod”的美国专利申请描述了可将MAC地址与地理位置关联的LAN控制器。

公开号为US2008/0200148、标题为“Method and System for Providing networkAccess and Services using Access Codes”的美国专利申请描述了用于场所或包括多个场所的地理区域的认证和接入控制系统。

公开号为EP1850532、标题为“Method ofproviding a guest terminal with emergencyaccess over a WLAN”的欧洲专利申请描述了提供紧急SSID以允许在紧急情况下接入LAN。

公开号为US7630401、标题为“Bandwidth Management in a Network”的美国专利描述了可如何基于网络带宽使用率来调整网络设备的传输速率。

公开号为US2008/0117836、标题为“Methods and apparatus to manage bandwidth ina wireless network”的美国专利申请描述了无线网络接入点支持私有SSID和具有策略接口的公共SSID，所述策略接口使得能够设置公共SSID上的容许带宽和带宽指示符以控制容许公共带宽的使用。

公开号为US2009/0201946、标题为“Dynamic DSL Line Bandwidth Managementwith the Subscriber’s Consent”的美国专利申请描述了如何从非关键订户服务借用带宽以满足其他订户服务的增加的带宽。

公开号为US2008/0008140、标题为“Conditional Utilization of Private Short-RangeWireless Networks for Service Provision and Mobility”的美国专利申请描述了如何将私有短距离网络集成到服务/移动域。

公开号为US2008/0144588、标题为“Method and Apparatus of Prioritizing Services ofWireless LocalArea Network”的美国专利申请描述了接入点如何发送具有两个SSID（一个用于访客，一个用于订户）的信标以及如何分配与每个SSID相关联的流量用于区分优先级。

公开号为US2006/0117104、标题为“Setting Information DistributionApparatus,Method,Program,and Medium,Authentication Setting Transfer Apparatus,Method,Program,and Medium,andSetting informationReceptionProgram”的美国专利申请描述了如何使用SAML消息告诉安全设备客户设备的当前源地址是什么。

公开号为US2009/0129386、标题为“Operator Shop Selection”的美国专利申请描述了如何将用于以太网的接入节点连接在用于用户设备的接入点和用于接入到包括虚拟局域网（VLAN）操纵单元的多个服务提供网络的宽带远程接入服务器（BRAS）之间。该专利申请描述了通过使用扩展的网络地址指示符使得用户能够接入可能的宽带服务范围内的一个。在US2009/0129386中描述了各种用于获取IP地址的方案，然而，同时NAT被认为是个问题，预期的情况是不同的，将被授权使用由运营商提供的每个服务的流量的公共IP地址是首先被分配的地址，本发明认为如果分配点和客户设备之间发生NAT则可如何重新使用该地址空间。

该发明的实施方式一般地尝试通过提供一种在以不同方式解决NAT的通信系统中授权漫游设备产生的流量向前传输的系统来消除或减少与已知系统（尤其是在宽带接入服务供应商的域内需要认证的系统）的使用相关的限制。所述系统被设置为使得授权服务器远程获知经受了NAT转换的流量与先前被认证为被授权使用漫游服务的设备是否相关联。该服务器接收消息，如果所述消息被认为是需要检查源地址字段的特定元数据类型的消息，则该消息的源地址（SA）字段中找到的IP地址可与可使用消息净荷中携带的元数据识别的设备相关联。该消息可由所述设备所使用的接入点产生，从而来自该接入点的消息的IP SA经受与真的由被认证的设备所产生的包的IPSA相同的NAT转换。以这种方式，当从漫游设备接收的流量被顺序地产生时，服务选择网关可被配置为自动转发该流量，同时在不用参照认证系统或NAT服务器的情况下利用识别的IP地址来接收该流量。

发明内容

本发明的多方面和优选实施方式在下面和所附权利要求书中被阐述，所附权利要求书可以以对于本领域技术人员而言明显的任何合适的方式被组合。

本发明的一方面寻求提供一种确定由设备产生的流量的网络地址转换IP地址的方法，所述设备被授权使用漫游通信服务，所述漫游通信服务提供经无线局域网到通信系统的接入，所述通信系统被设置为利用多个无线局域网支持从多个漫游设备发起的流量，由无线网络接入点提供每个无线局域网，其中，所述无线接入点包括被如下设置的装置：从与由所述无线网络接入点所提供的无线网络相关联的设备接收针对授权的请求；处理所述请求以产生使所述设备使用漫游服务的授权请求；以及将所述请求转发到认证服务器，其中，所述服务器被设置为对关于所述设备呈现有效认证证书的请求做出响应，以授权所述设备（16）使用所述漫游服务；其中，所述方法包括以下步骤：向被认证的设备分配私有IP地址；所述无线网络接入点产生消息，所述消息包括用于识别所述被认证的设备的元数据，并在所述消息的源地址字段中包括分配给所述被认证的设备的IP地址；将所述元数据消息转发到远程服务器；其中，当所述远程服务器接收到所述消息时，接收的所述消息经受了其源地址的网络地址转换，其中，所述远程服务器包括被如下设置的装置：将所述元数据消息的所述转换IP源地址与通过所述元数据识别的被认证的设备相关联，从而由所述识别的被认证的设备后续产生并具有所述转换源IP地址的流量被授权在所述通信系统中使用所述漫游服务。

所述远程服务器可包括所述认证服务器。所述远程服务器可包括所述认证服务器的代理服务器。所述代理服务器可包括如下设置的装置：将接收的用于识别设备的元数据消息与包括用于识别相同设备并指示该设备被认证和授权使用所述漫游服务器的数据的数据记录链接。

本发明的以上方法方面寻求涉及一种网络架构，在所述网络架构中，认证发生在向WLAN中漫游的客户端设备分配私有IP地址之前（漫游在某种意义上所述设备与具有没有被自动预先认证的SSID的无线网络相关联）。由于所述IP地址是在对于接入点可见的WLAN内使用的IP地址，所以所述IP地址为私有的。本发明寻求使得认证服务器在网络架构中操作，在所述网络架构中，在基于随后分配给漫游设备的任何IP地址的用户和/或设备证书（当响应于从WLANAP接收信标所述设备与WLANAP相关联时可自动呈现所述用户和/或设备证书）以及分配的IP地址和从分配的IP地址的NAT转换所获得的IP地址之间的任何映射来认证设备之后，所述网络架构保持认知。以这种方式，可使用本领域普通技术人员已知的任何合适的方法向所述设备分配IP地址，例如，诸如可由于被认证的设备相关联的接入点本地分配IP地址，或者可通过经DHCP服务器使用动态主机配置协议（DHCP）或者通过使用中继DHCP来远程地分配IP地址。分配的IP地址可与分配的IP地址的转换版本相关联地被存储，所述转换版本使得认证服务器知道分配的IP地址和IP地址的转换版本之间的映射。

本发明寻求使得NAT转换IP地址可被认证服务器确定，所述认证服务器检查携带接入点产生的消息（或等同地，“特定”包）的特定“元数据”的源地址。从接入点接收的该消息（或等同于包）具有其内容（净荷）和被检查的源地址二者。所述内容识别客户端设备，并可包括分配的（如果例如还没有从DHCP服务器报告并且与客户端设备的标识符相关联地被存储）IP地址的原始形式。接入点产生的消息的源地址使得认证服务器获知在分配的IP地址上强加的NAT映射。本发明因此保证NAT服务器不需要将其对每个包执行的每个NAT转换报告给认证服务器，以使所述包针对向前传输被认证服务器认证。以这种方式，本发明有可能提高认证系统的可扩展性，使得更多的客户端设备被认证服务器认证。

接入点可响应于从被认证的设备接收对漫游服务的接入向被认证的设备分配IP地址。

无线接入点可被设置为禁止向漫游设备分配所述分配的互联网协议地址，直到具有所述私有互联网协议地址的漫游流量针对所述漫游服务被认证服务器授权。

所述消息可具有可扩展元数据语言（XML）消息数据格式。

所述消息的元数据可利用设备标识符识别漫游设备。

所述设备标识符可包括所述设备的介质访问控制（MAC）地址。

本发明的另一方面寻求提供一种被设置为参与到以上方法中的WLAN接入点，所述接入点包括：从与所述WLAN接入点提供的无线通信网络相关联的漫游设备接收流量的装置；使得所述漫游设备从认证服务器寻求认证的装置；响应于从被所述认证服务器授权使用所述WLAN接入点支持的漫游服务的设备接收到漫游服务请求向所述漫游设备分配IP地址的装置；其中，所述接入点还被配置为：响应于向被认证的设备分配所述IP地址而产生寻址到所述远程服务器的元数据流量，其中，所述元数据流量使得由漫游设备产生的流量的NAT转换IP地址通过所述远程服务器检查所述元数据流的接收的IP源地址并检查所述接收的元数据流的净荷被确定，以确定所述设备的标识符。

如果远程服务器通过使用所述标识符成功将所述元数据流量与所述授权的漫游设备相关联，则从所述设备接收的具有NAT转换IP源地址的后续流量可被自动授权使用所述漫游服务。

本发明的另一方面寻求提供一种被设置为参与到方法方面中的认证服务器，所述认证服务器被设置为授权从无线接入点发起的通信流量使用漫游服务，所述流量包括NAT转换IP源地址，所述认证服务器包括：处理从WLAN接入点接收的对与所述WLAN接入点提供的无线网络相关联的漫游设备的授权的请求的装置；处理接收的请求以验证任何证书，授权所述接入点呈现了有效证书的漫游设备，并将成功授权通信给所述WLAN接入点的装置；处理经受网络地址转换的从WLAN接入点接收的元数据消息，以从所述消息的源地址字段中提取IP地址的装置；根据在所述认证服务器接收的所述元数据消息中设置的所述信息确定被认证的设备的标识，将所述元数据消息的所述NAT转换源地址存储为来自所述被授权的设备的流量的NAT转换源地址的装置，具有所述NAT转换IP源地址的流量被自动授权使用所述漫游服务以接入所述通信系统。

本发明的另一方面寻求提供一种远程服务器，所述远程服务器包括：消息处理装置，被设置为处理从经受了网络地址转换的WLAN接入点接收的元数据消息，所述消息处理装置包括：从接收的所述消息的源地址字段中提取IP地址的装置；根据从所述元数据消息的净荷中提取的信息确定设备标识的装置；验证所述设备标识包括先前被认证的设备的设备标识的装置；将从所述接收的元数据消息的源地址字段中提取的所述IP地址存储为用于来自所述被认证的设备的流的NAT转换IP源地址的装置，从而由经受相同网络地址转换的所述设备产生的后续流量被自动授权使用所述漫游服务以接入所述通信系统。

远程服务器还可包括确定分配给所述被认证的设备的IP地址的装置。

根据任何合适的方面，远程服务器可包括所述认证服务器。

本发明的另一方面寻求提供一种支持设备在多个无线局域网内漫游的通信系统，每一个无线局域网由无线接入点支持，所述通信系统包括：根据本发明的任何合适方面的多个所述无线接入点；和根据本发明的任何合适方面的至少一个认证服务器。

根据本发明的任何合适的方面，通信系统可进一步包括远程服务器。

本发明的另一方面寻求提供一种支持设备在多个无线局域网内漫游的通信系统，所述通信系统包括：多个设备；多个无线接入点；以及至少一个认证服务器；其中，每个无线接入点包括：从与所述无线接入点提供的无线网络相关联的设备接收对授权的请求的装置；处理所述请求以产生使所述设备使用所述漫游服务的授权请求的装置；将所述请求转发到认证服务器的装置；向被所述认证服务器授权使用所述漫游通信服务的被认证的设备分配IP地址的装置；产生包括识别被认证的设备的元数据并且在源地址字段中包括分配给所述被认证的设备的IP地址的消息的装置；通过所述通信系统转发所述消息的装置；其中，每个认证服务器包括：接收认证请求的装置；如果所述请求呈现有效的一个或多个认证证书，则处理接收的认证请求以授权设备使用所述漫游服务器的装置，其中，所述通信系统还包括：向被认证的设备分配私有IP地址的装置；被设置为对分配的私有IP地址执行网络地址转换的装置；从所述接入点接收包括元数据的所述消息的装置；处理接收的消息以根据所述接收的消息提供的元数据识别设备的装置；验证所述设备是否是被授权使用所述漫游服务的被认证的设备的装置；从所述接收的元数据消息的源地址字段中提取IP地址的装置；将提取的IP地址存储为被授权向前传输的流量的源地址的装置；由此由具有所述IP地址的设备后续产生的流量被自动授权为在所述通信网络中向前传输。

提取的IP地址包括分配给所述设备的IP地址的网络地址转换。提取的IP地址可与通过接收的元数据消息中携带的元数据所识别的被认证的设备相关联地被存储。如果所述元数据消息先前已经作为被认证的设备的分配的IP地址被存储，则所述元数据消息可通过使用标识符（例如，设备标识符、用户标识符或分配的IP地址）来识别设备。所述IP源地址可作为被认证的IP源地址被存储在数据结构中，以使得由所述通信系统中的服务器对从被认证的设备的流量随后执行查找操作。经受了与所述接收的元数据消息的转换源地址相同的网络地址转换的流量因此能够被自动授权在所述通信系统中使用所述漫游服务。本发明使得设备从WLAN漫游到WLAN，并保持用于正在进行的数据会话的漫游服务的连续性。

可响应于所述漫游服务分配IP地址，从而产生使用所述接入点接收的漫游服务的请求。

在所述元数据消息被所述认证服务器接收到之前，所述元数据消息的IP地址经受至少一级的NAT。

本发明的另一方面寻求提供一种被设置为授权具有网络地址转换IP源地址的流量使用通信系统的认证服务器，所述流量从位于设置为向通信系统提供漫游接入服务的无线局域网中的客户端设备发起，所述服务器包括：接收由提供所述无线局域网的接入点产生的通信的装置；从接收的通信中提取包括标识符的数据的装置，所述标识符为已经被服务器认证为被授权使用漫游接入服务接入所述通信系统的客户端设备的标识符；从所述通信的源地址字段中提取已经经受网络地址转换的IP源地址的装置；将从所述接入点产生的所述通信中提取的转换IP地址存储在数据结构中作为由被授权接入所述通信系统的所述客户端设备产生的流量的IP地址的装置。

本发明的另一方面寻求提供一种授权具有网络地址转换IP源地址的流量使用通信系统的方法，所述流量从位于被设置为向所述通信系统提供漫游接入服务的无线局域网中的客户端设备发起，所述方法包括以下步骤：接收由提供所述无线局域网的接入点产生的通信；从接收的通信中提取包括标识符的数据，所述标识符为已经被认证服务器认证为被授权使用漫游接入服务接入所述通信系统的客户端设备的标识符；从接收的通信的源地址字段中提取已经经受网络地址转换的IP源地址；以及将从所述接入点产生的所述通信中提取的转换IP地址存储在数据结构中作为由被授权接入所述通信系统的所述客户端设备产生的流量的IP地址。

本发明的另一方面寻求提供一种授权漫游设备使用在通信系统中设置的无线局域网的漫游服务的方法，所述通信系统被设置为通过使用多个无线局域网支持从多个漫游设备发起的流量，每个无线局域网通过无线接入点被提供，所述方法包括所述无线接入点执行以下步骤：从与无线接入点提供的无线网络相关联的设备接收对授权的请求；处理所述请求以产生使所述设备使用漫游服务的授权请求；将所述请求转发到认证服务器，其中，所述服务器被设置为对有效认证证书的呈现做出响应以认证所述设备；其中，所述方法包括所述无线接入点执行以下步骤：从被认证的设备接收对服务地址的请求，并响应于所述请求对被认证的设备分配服务地址；处理接收的请求，以产生包括分配的服务地址作为源地址的元数据消息；将所述元数据消息转发到所述认证服务器，其中，所述服务器接收具有转换的源地址的元数据消息，并被设置为将所述元数据消息的转换源地址与所述被认证的设备相关联，由此具有所述转换源地址的流量被授权在所述通信系统中使用所述漫游服务。

所述元数据消息可通过进一步包括用于识别所述设备的元数据来与所述被认证的设备相关联。

分配的服务地址可被存储在已经与被认证的设备相关联的数据结构中，所述消息还可包括所述认证服务器：基于所述分配的服务地址指向查找操作，以验证其是否被认证，并将接收的从所示元数据消息中提取的网络转换IP源地址作为来自所述被认证的设备的后续流量的源地址存储在所述数据结构中。

请求的所述服务地址可包括互联网协议地址。

所述无线接入点可被设置为禁止向漫游设备分配宿舍分配的服务地址，直到具有所述转换服务地址的漫游流量针对所述漫游服务被所述认证服务器授权。

所述元数据消息可包括XML消息。

在以上方法方面中，所述元数据消息可通过使用设备标识符识别漫游设备。

设备标识符可包括所述设备的介质访问控制（MAC）地址。

本发明的另一方面寻求提供一种被设置为参与到以上方法方面的WLAN接入点，所述接入点包括：从与所述无线接入点提供的无线网络相关联的设备接收流量的装置；响应于从被远程服务器授权使用由WLAN接入点支持的漫游服务的设备接收请求来向所述漫游设备分配服务地址的装置；响应于所述认证服务器向所述漫游设备分配所分配的地址的装置；其中，所述接入点被配置为响应于从被授权的设备接收所述服务地址请求来产生元数据流量（所述元数据流量使得由漫游设备产生的NAT转换地址通过所述远程授权服务器被确定），由此如果所述授权服务器成功地讲所述元数据流量与所述被授权的漫游设备相关联，则所述被授权的漫游设备被分配所述分配的服务地址，具有所述NAT转换地址的后续流量被自动授权使用所述漫游服务。

本发明的另一方面寻求提供一种认证服务器，所述认证服务器被设置为授权从无线接入点发起的通信流量使用漫游服务，所述流量包括NAT转换IP地址，所述服务器包括：处理从WLAN接入点接收的针对漫游设备的授权的请求的装置，所述漫游设备与由所述WLAN接入点提供的无线网络相关联；处理接收的请求以授权所述漫游设备并经所述WLAN接入点将成功授权通信到漫游设备的装置；处理从WLAN接入点接收的元数据消息的装置，其中，所述消息的源地址包括漫游设备在WLAN接入点的源地址；根据在认证服务器接收的所述元数据消息中设置的信息进行确定的装置，所述信息包括所述元数据消息的NAT转换源地址，所述NAT转换源地址是来自所述被认证的漫游设备的流量的NAT转换源地址，由此，具有所述NAT转换源地址的互联网绑定流量被自动授权使用所述漫游服务。

本发明的另一方面提供一种支持设备在多个无线局域网内漫游的通信系统，每个无线局域网通过无线接入点提供，所述通信系统包括：多个所述无线接入点，所述多个无线接入点中的每一个包括：从与所述无线接入点提供的无线网络相关联的设备接收对授权的请求的装置；处理所述请求以产生使所述设备使用漫游服务的授权请求的装置；以及将所述请求转发到认证服务器的装置；认证服务器被设置为对呈现的认证证书做出响应，以认证所述设备，其中，所述无线接入点还包括：从被授权的设备接收对服务地址的请求的装置；处理接收到的请求以产生包括分配的服务地址作为源地址的元数据消息的装置；将所述元数据消息转发到所述认证服务器的装置，其中，所述认证服务器还包括：接收具有转换源地址的元数据消息的装置；将所述元数据消息的转换源地址与所述被授权的设备相关联的装置，由此所述认证服务器将具有所述转换源地址的流量认证为被授权在所述通信系统中使用所述漫游服务。

根据本发明，针对在特定无线局域网（所述特定无线局域网将漫游流量和非漫游流量分开）内漫游的用户建立安全通道，其中，针对所述局域网提供特定无线接入点的订户可产生所述非漫游流量。这保证了当流量被监控时，可根据网络SSID相对容易地确定所述流量是否从在网络内漫游的用户发起。然而，如果认证服务器位于所述网络的区域中的接收的漫游流量将经受其IP源地址的NAT转换，则必须确定发起所述流量的装置是否已经被认证以使用漫游服务。这表示接收的漫游流量的IP源地址需要与较早的认证处理的结果相关联。本发明寻求提供一种只有当具有NAT转换IP源地址的流量是从已经被授权使用漫游服务的漫游设备发起时才将所述流量向其目的地转发的方法和系统。

现在将参照附图仅通过举例描述本发明的实施方式，在附图中：

图1A示出根据本发明实施方式的与在通信系统中认证漫游设备相关联的流程图；

图1B示出根据本发明实施方式的从接入点12流出的流量如何在图1A示出的通信系统中确定来自被认证的漫游设备的流量的NAT转换IP地址的方法中使用；

图1C示出根据本发明实施方式的从被认证的漫游设备流出的流量在图1A和IB的通信系统中如何经受NAT转换；

图2A示意性地示出根据本发明实施方式的在图1中示出的通信系统中首先通过认证漫游设备16来授权漫游流量接入互联网的方式；

图2B示意性地示出在根据本发明实施方式的图1中示出的通信系统中其次通过将分配给漫游设备的IP地址的NAT转换版本与被认证的漫游设备16相关联来授权漫游流量接入互联网的方式；以及

图3示出可被产生以实现根据图2A和2B的本发明的实施方式的流量中的一些。

现在将参照附图描述本发明的最佳方式。在下面对本发明的优选实施方式的描述中，本领域技术人员将意识到对本发明的一些特征以及本发明的特定特征的修改和功能等同物，其中，在本文中，本发明的所述一些特征将在下面描述，本发明的所述特定特征为了简要和清晰起见可从描述中省略，其中，作为本发明的一部分的所述特定特征的包括和功能对于本领域普通技术人员而言是明显和公知的。

附图的图1A、1B和1C都是以相同的标号描述相同的元件。图1A、1B和1C示出了通信系统10，所述通信系统10包括多个无线局域网（WLAN）接入点（AP）12，所述多个WLAN AP中只有一个被示出，所述WLAN AP 12向一个或多个通信使能设备14、16提供经接入网络18到互联网20的连接。WLAN AP 12通过具有向设备14、16分配至少两个网络服务集标识符（SSID）中的一个的性能来支持流量分离。如图1的示例性情形中所示，WLANAP 12根据用户（该用户已经向互联网服务供应商订购）的设备14是与第一网络22（SSID#1，所述第一网络22可被预留用于非漫游流量）相关联，还是与第二网络24（SSID#2，所述第二网络24被预留用于一个或多个漫游设备，为了清楚，在图1中仅示出一个漫游设备，漫游设备20）相关联来使得该用户经该两个WLAN 22、24中的一个使用WLAN AP 12接入互联网20。

WLAN（22，24）被配置为根据使用的技术、它们的天线功率以及本地环境来提供合适的短到中距离无线通信网络。例如，遵守IEEE 802.11无线通信协议组中的一项或多项的WLAN包括Wi-Fi和Wi-Max（802.16）高带宽通信协议或任何其他合适的通信协议（例如，诸如蓝牙^TM这样的短距离射频通信协议）。

设备（14，16）可包括任何合适的移动通信使能设备，所述移动通信使能设备包括（但不限于）：便携式计算机、蜂窝通信电话手机、平板装置、游戏控制台、音频和/或视频内容播放器和/或记录装置和/或任何其他合适的电子手持或使能无线连接的便携式装置。漫游设备是相关联的并能够通过使用由具有SSID#2的“访客”网络24提供的连接接入通信系统10（例如，连接到互联网20）的任何设备。

在此使用了术语“接入点”以表示这样的设备：即，在接入点所在的宽带服务订户的房屋与本地交换（或等同）之间通过接入网提供到宽带通信服务的接入的设备，例如到数字订户线（DSL）类型的通信服务的接入。接入点可被设置为具有路由器功能的单个集成单元，或者可被配置为与路由器功能一起使用，以使得多个设备同时地经由它提供的WLAN连接到宽带接入服务。

当设备14、16的用户发起万维网浏览应用或发起需要从经互联网20可接入的远程服务器提供数据的任何其它应用时，直接产生接入互联网20的请求。这种请求包括互联网绑定流量（Internet bound traffic），并通常需要漫游设备16的用户被认证以使用由与无线接入点12相关联的互联网服务供应商（可能不是设备16的用户建立了服务账户的服务供应商）提供的服务。在这种环境下，当漫游设备16在用户自己的互联网服务供应商账户已授权使用的服务区域（这里被称为“主”WLAN）之外产生接入互联网20的请求时，漫游设备16的用户必须以某种方式被认证，以使用漫游服务。诸如具有SSID#1的WLAN 22这样的主WLAN包括由无线网络接入点12（针对该无线网络接入点12，用户将设备14配置为利用用户的服务账户明细向互联网服务供应商自动认证）提供的网络覆盖区域。在主WLAN 22的区域之外，用户的设备需要使用例如如图1所示的可选的网络24，该网络24提供一些形式的连接以接入互联网（20），例如，如在图1中所示，如果用户的设备使用可选的WLAN 24，则所述用户设备必须使用经接入网络18提供接入的一种漫游服务。

在本领域已知多种系统使得用户获得到互联网20的接入，同时所述系统的设备正在漫游。图1A、1B和1C中所示的一个系统使得用户能够使用向互联网服务供应商进行了订购的漫游设备接入互联网，而在它们自己的接入点提供的无线网络覆盖区域中使得其他设备漫游。假设订户配置了它们自己的无线接入点12，以向访客设备16提供漫游服务（即，访客WLAN24），当设备在由订户自己的“主”网络22所提供的网络覆盖区域之外时，订户可使用一个或多个设备作为在其他订户的访客网络24中的漫游设备16。

在图1A中所示的本发明的实施方式中，由漫游设备16提供漫游服务，其中，所述漫游设备16从WLAN接入点（AP）12检测网络信标，并与WLAN AP的访客网络24关联。设备16将立即被要求识别其自身，从而设备16可被认证为被授权使用通过WLANAP12的漫游服务的设备，并在此时产生认证请求。WLANAP 12通过经接入网络18在单独、通常安全的通信链路26上将认证请求发送到合适的检查点（例如，验证一个或多个设备证书以识别设备的用户为漫游服务订户的检查点）来分离与使用访客WLAN 24的设备相关联的认证流量。在图1A所示的示例，通过使用经控制平面42接入的认证系统44来经SSG 38实现所述检查点。

在检查点，认证请求被处理，如果存在于认证请求中的认证证书是正确的，则仅设备16被认证为授权接入以针对后续的通信服务请求使用接入网络的设备。

在认证之后的某点，向该设备分配IP地址。在发明人当前构思的本发明的最佳方式中，可经AP 12分配私有IP地址。AP 12确定什么IP地址将被分配给其自身，或者可通过使用不同的机制分配IP地址，然后通过AP 12（或者另一机制）分配的IP地址可被用于使得AP 12知道向设备160分配了什么私有IP地址。例如，可经DHCP服务器46分配私有IP地址，或者可使用中继DHCP来分配私有IP地址，如图1A中从DHCP服务器46到服务选择网关（SSG）38的长虚线所示，假设分配的地址被传递到AP 12以用于分配。这不是发明人预期的本发明的当前优选最佳方式。此外，DHCP服务器的这种使用将与当使用DHCP分配方案分配“公共”IP地址（所述“公共”IP地址将直接对应于从设备16被SSG 38接收的流量中的源地址）不同地被实现。如果“公共”IP地址在进行任何NAT之后被DHCP服务器分配便于使用，则分配的“公共”地址可被直接用于识别来自为了使用漫游服务而被认证的设备的流量。

本文将对使用DHCP分配公共IP地址不做更详细地描述，这是因为该处理对于本领域技术人员而言是公知的。本发明的实施方式尝试使得控制平面42具有这样的理解：由SSG 38接收的流量经受了什么样的NAT地址转换，以使具有NAT转换地址的流量可被直接认证。如图1B所示，这通过AP 12产生元数据消息（在所述元数据消息中，源地址字段不包含AP 12的IP地址，但包含分配给漫游设备16的私有IP地址）来实现。因此，只要AP 12知道分配给漫游设备16的私有IP地址，就可实现本发明，而不管分配的实际私有地址是AP 12确定应该分配给设备16的地址还是DHCP服务器以某种方式分配作为被设备16使用的私有IP地址的地址。

在一个实施方式中，IP地址或者在AP 12从认证服务器44接收到如下确认之后被分配：设备16成功被认证以使用漫游服务准许接入从而接入网络18。在另一实施方式中，在设备16请求了IP地址之后分配IP地址。如图2A和图B中所示，在下面稍后描述的实施方式中，假设通过WLANAP 12由设备16分配了IP地址或者通过WLANAP 12向设备16分配了IP地址。在本发明的一些实施方式中，IP地址在将由SSG 38接收的IP地址的NAT版本被SSG 38知道之前不被分配而直到被SSG 38知道之后才被分配，以与来自被认证为可被授权使用漫游服务的设备的流量相关联。然而，可选地，在分配之后或者在预定量时间之后，被分配的IP地址可被自动分配给设备16。

现在简要参照图1C，当被认证的设备16尝试产生通过通信系统10向前传输的流量（例如，需要接入互联网20的服务请求相关流量）时，WLAN AP 12分离通过访客WLAN 24接收的漫游流量，还通过接入网络18在单独的、通常安全的通信链路26上将所述漫游流量发送到合适的检查点（在实践中，这与用于认证是相同的“检查点”，尽管代替地使用控制平面中的不同的远程服务器作为认证系统44的代理服务器）。在检查点，流量被检查，以确定该流量是否具有与漫游服务的使用已经被授权的漫游设备16相关联的源地址（这是基于当设备16通过WLAN AP 12首次认证时所捕获的信息）。

现在将更详细地简要描述根据本发明的通信系统，在该通信系统中，确定用于由被授权使用漫游服务的设备产生的流量的网络地址转换IP地址的方法。这种通信系统包括多个AP 12（例如，在实践中，成百上千仍至上万甚至几十万以及更多的AP）。每个AP被配置为经接入网络18向漫游和订户设备提供到宽带服务的WLAN接入，例如使得设备从其他网络（20）接入基于会话的服务（例如，通过使用互联网20接入的基于web的服务）。图1A、1B、1C为了清晰也仅示出一个WLANAP 12，所述WLANAP 12提供经接入网18到互联网20的两个通信链路26、28。如上面提到的，非漫游流量经流量管理节点30通过第一通信链路28被发送，在所述流量管理节点30，所述非漫游流量被直接转发到互联网20。漫游流量经单独的安全通信链路26被发送到安全的通信链路终端点（例如，虚拟私有网络（VPN）节点36），所述安全通信链路26还通过中间节点30、34。合适的安全通信链路的示例包括WLANAP 12和VPN节点36之间的互联网协议安全（IPSEC）通道。

如图1A、1B、1C所示，VPN 36被配置为将接收的流量转发到服务选择网关（SSG）38。SSG 38确定哪个漫游服务与由漫游设备16产生的接收到的流量相关联，并且相应地路由该漫游流量。如图1C所示，SSG 38将漫游流量转发到控制平面42，在所述控制平面42，由漫游设备16在WLANAP进行的认证通过使用合适的认证服务器系统44被检查，以保证仅由已经被认证为可被授权使用漫游服务的设备产生的流量被向前发送。

图1B、2A和2B示出在使得SSG 38和控制平面42能够确定从漫游设备接收的流量已被认证进行到其他网络20的向前发送中AP 12的作用。

图2A示出根据本发明实施方式的将漫游设备16的用户的认证信息与由WLANAP 12本地分配给漫游设备16的私有IP地址相关联的机制。在图2A中，WLANAP12在分配给WLANAP的可能的地址范围内将私有IP地址分配给漫游设备16。直到设备16已被认证服务器44认证之后，才向漫游设备16分配IP地址，然而，一旦由AP 12向被认证的设备分配了IP地址，则SSG 38所看到的IP地址需要与先前被认证服务器44授权使用漫游服务的设备相关联。

在图2A中，由AP 12产生的认证流量具有WLAN AP 12的IP地址作为它自己的SA。

根据本发明的实施方式，为了使得由设备产生的流量被SSG 38转发到其它网络，远程服务器（例如，认证服务器44）必须知道分配给已经被认证的设备的NAT转换IP地址。以这种方式，仅来自被认证的设备的IP流量被允许接入互联网20。

通信系统中的每个WLAN AP 12被配置为产生单独的认证消息（例如，也通过与来自漫游设备的流量相同的安全通道转发的可扩展元语言（XML）消息）。如图2B所示，XML数据包含足够的用于直接从设备标识符（所述设备标识符使得认证服务器44能够从接收的元数据消息的源地址中提取IP地址）识别漫游设备的信息，并将该地址与随后将从漫游设备16接收的流量的NAT转换IP地址进行必要的关联。如果元数据包括由WLANAP分配给特定漫游设备16的私有IP地址的细节，则还存储该元数据。可选地或者另外地，可根据当漫游设备被认证时存储的数据来使用其他设备或用户标识数据，例如，元数据可包括介质访问控制（MAC）地址、WLANAP MAC和/或IP地址、和/或能够识别漫游设备16为被认证为可使用漫游服务的设备的任何其它相关信息。

可根据特定网络结架构的IP地址空间再使用的量在WLAN AP 12和SSG 38以及认证服务器44之间的多于一个位置提供NAT转换。假定在到达认证服务器44之前认证流量（所述认证流量具有用于WLAN AP 12的IP地址作为其源地址）经受至少一级的NAT转换。同时可能的是，在一个实施方式中，为此，如果在认证之前发生了分配，则认证流量自身包含漫游设备16的私有地分配的IP地址。在大多数实施方式中，将在分配IP地址之前进行认证。

因此，如果在该实施方式中由被认证的设备产生的任何流量经受了一次或多次NAT，则所述流量将具有与由WLAN 14在其到达SSG 38时分配的地址不同的NAT转换IP地址。因此，如果被认证的设备将基于其源IP地址被授权在互联网20上进行由该设备产生的互联网流量，则SSG 38（并且相应地，认证服务器44）必须知道该被认证的设备的NAT转换IP地址是什么。

如图2B所示，由WLAN AP 12产生元数据消息，以使得认证服务器44确定漫游设备16的转换IP SA。WLANAP 12被配置为产生元数据携带消息（或等同地，包），所述元数据携带消息在SA字段中包含由WLAN AP 12分配给漫游设备16的私有IPSA。该元数据携带消息经与认证流量相同的安全通信链路26被发送到认证服务器44，从而经受与认证流量相同的NAT转换。通过用包括设备标识符（例如，漫游设备16的MAC地址）的消息中的分配给漫游设备的IP源地址代替其自身的IP源地址，认证服务器44可将接收的消息与被认证的设备16相关联，并将由元数据消息提供的NAT转换IP地址映射到被认证的漫游设备的记录。以这种方式，由漫游设备16（例如，图1C所示）直接产生的并且在到达SSG 38时具有漫游设备的NAT转换IP地址作为其源地址的后续流量被授权接入互联网20，并且SSG 38可适当地转发该流量。因此，如图1C所示，SSG 38被配置为自此以后在没有针对认证询问控制平面42的情况下向其目的地自动转发所有后续接收的包（所述包在其SA字段中具有授权的NAT转换IP地址）。

图3示出为使漫游设备16通过使用802.1x认证处理被认证而会发送的示例性消息流。图3中示出的消息流可省略在本领域公知是必要的但在示出的实施方式的上下文中不相关的消息流。

在图3中示出的本发明的实施方式中，漫游设备使用用于基于端口的网络接入控制（PNAC）的IEEE 802.1x通信协议来进行认证。向设备提供认证机制以只有认证成功才连接到WLAN以提供点到点的连接。IEEE 802.1x针对IEEE 802LAN技术（例如，802.11无线通信组）使用基于LAN的可扩展认证协议（EAP）（EAPOL）。在802.1x通信协议中的端口表示附接到WLAN架构的单个点（例如，特定漫游设备16）。WLANAP 12利用诸如被设置为支持EAP和RADIUS（在用户服务中漫游认证拨号，其提供集中的认证、授权和计费管理）的主机平台这样的远程认证服务器12来对漫游设备12进行认证。EAP认证在本领域是公知的，本文不做进一步描述。

在图3中示意性示出的本发明的实施方式中，针对漫游设备认证使用802.1x协议使得在不将流量重定向到认证服务器44和/或使用登录页请求认证信息的情况下由漫游设备16产生的向前绑定（例如，互联网绑定）流量被认证。代替地，如果SSG 38确定流量是从授权的NAT转换IP地址发起的，则该流量被授权。这要求WLANAP 12的具体配置，以使得在认证服务器44确定额外信息，而不是在通过由WLAN AP 12建立的IPSEC通道发送的802.1x认证流量中向VPN节点36提供。代替地，WLANAP12产生包含元数据的消息（例如，XML消息）。当WLANAP 12从漫游设备12接收到地址请求（例如，DHCP IP地址请求）时，产生该元数据。

在图3中，漫游设备16从WLAN AP 12检测信标并且与WLAN 24相关联，响应于设备16发送其标识以及EAP认证请求到WLANAP 12，WLANAP 12立即要求设备16识别自身。当WLANAP 12检测到它已经接收到EAP请求时，WLANAP 12建立到VPN节点36的IPSEC通道26，EAP请求经所述IPSEC通道26被中继到合适的认证服务器系统44。随着EAP请求从WLANAP中继到远程认证服务器，其源地址经受NAT转换。这意味着认证系统不能仅基于源IP地址来认证IP流量，这是因为认证系统仅具有NAT转换WLAN AP IP SA地址。如果EAP请求成功，则漫游设备12被授权使用WLAN 24来将本地DHCP请求发送到WLAN AP 12。

WLANAP 12然后分配用于漫游设备16的IP地址，并产生元数据消息，在所述元数据消息中，用分配给漫游设备16的IP地址来替换其自身的地址作为源地址。该消息包含其它设备识别信息，并使得认证服务器将从WLAN AP12接收的该消息的NAT转换地址与认证信息相关联。这使得通信系统10被配置为允许来自漫游设备16的互联网流量基于漫游设备的NAT转换源IP地址接入互联网20。

一旦认证服务器44将由WLAN AP 12分配的NAT转换IP地址链接到漫游设备16，则向WLANAP 12指示使用该IP的漫游设备被认证以使用通信系统10来接入互联网20。然后，WLANAP 12释放分配给漫游设备12的IP地址。此时可执行额外的认证和/或在一个实施方式中在针对用户输入没有产生任何提示的情况下使得漫游设备16接入互联网20。在使用该类型的EAP以及基于XML的认证，漫游设备16针对互联网接入被自动授权和认证的情况下，优点在于，当在该设备上发起的应用产生需要互联网连接的服务请求时，不请求用户输入任何额外的计费或认证信息（即，在提供认证信息的同时不需要停止到互联网的接入）。

因此，本发明的实施方式可提供一种在无线局域网中认证由漫游设备产生的流量的系统和方法以及相关的多方面，所述系统和方法使得将分配给被认证的设备的私有IP地址的NAT转换版本被服务选择网关（SSG）38识别。认证服务器被设置为授权从无线接入点发起的通信流量使用漫游服务，所述流量包括NAT转换IP地址。服务器首先授权WLAN漫游设备，然后处理由WLAN接入点产生的元数据消息，其中，该消息的源地址包括漫游设备的私有IP源地址（即，该私有IP源地址是在WLAN接入点的IP地址）代替WLAN接入点自身的IP地址。然后，服务器根据当被认证服务器接收时包括NAT转换IP源地址的元数据消息的源地址字段中设置的信息来确定来自所述认证的漫游设备的流量的NAT转换IP源地址将是什么，并从消息主体提取元数据，该元数据使得该NAT转换IP源地址与先前被认证为可被授权使用漫游服务的设备相关联。这使得认证服务器认证具有所述NAT转换源地址的互联网绑定流量，并使得SSG 38被构造为在NAT转换IP地址有效的同时转发由该漫游设备产生的所有流量，这是因为该流量被自动授权使用漫游服务，以便于到其他网络20（例如，互联网）的向前传输。

现在将描述针对被授权在通信系统中设置的无线局域网使用漫游服务的漫游设备所产生的流量确定网络地址转换IP地址的方法。如在上文中提到的，通信系统10被设置为使用多个无线局域网24支持从多个漫游设备16发起的流量，其中，无线接入点12支持每个无线局域网24。该方法包括所述无线接入点执行以下步骤：从与由无线接入点提供的无线网络相关联的设备接收针对授权的请求；处理该请求，以产生该设备使用漫游服务的授权请求（所述授权请求包括该设备的标识符）；将该请求转发到认证服务器。该认证服务器被设置为：通过向接入点12（所述接入点12指示认证证书为有效的）发送认证响应以及更新所述设备的数据记录以指示设备的标识符与被授权使用漫游服务的设备相关联，来对用于认证设备的所述授权请求中存在的有效认证证书做出响应。然后，无线接入点处理来自指示该设备是被认证的设备的服务器的响应，响应于此，向被认证的设备分配私有的互联网协议地址。然后，接入点12产生元数据消息，该元数据消息包括设备16的标识符作为元数据，还在源地址字段中包括被认证的设备16的分配的互联网协议地址代替接入点12自身的IP地址，因为所述接入点12自身的IP地址是被产生的元数据消息的源，所以所述接入点12自身的IP地址通常被包括。然后，接入点12将元数据消息转发到认证服务器。当认证服务器44利用互联网协议源地址从所述无线接入点12接收元数据消息时，所述地址将经受网络地址转换。认证服务器被设置为：确定元数据消息的互联网协议源地址；将所述元数据消息的互联网协议源地址存储在数据结构中作为所述被认证的设备的转换互联网协议源地址。认证服务器44然后通知服务选择网关SSG 38具有所述转换互联网协议源地址的流量被授权在所述通信系统10中使用所述漫游服务。

本发明可通过构造附图示出的通信系统的各部件来实现，从而利用一个或多个计算机平台运行一个或多个计算机程序实现各种系统部件和方法步骤。

在一个实施方式中，例如，尽管包括多个认证服务器和可选地代理服务器的系统可设置在一些合适的构造中，但通信系统10必须包括至少一个认证服务器，其中所述通信系统10向在多个无线局域网（24）内漫游的设备（16）提供漫游通信服务，由无线接入点（12）提供每个无线局域网。该系统中的每一个无线接入点（12）包括被设置为接收通信的合适的接收器装置，所述通信例如是从与它们提供的无线网络9240相关联的漫游设备接收的针对授权的请求。无线接入点必须还包括数据处理装置，所述数据处理装置被设置为处理诸如授权/认证请求这样的接收到的通信，以产生用于该设备使用漫游服务的授权请求。所述请求需要包括用于识别所述漫游设备16的合适的数据以及证书（例如，用户姓名或设备标识，可选的密码或用于验证所述设备与漫游服务收费相关联的其它可认证信息）。除了用于通过接入网络18将数据发送到认证服务器44（所述认证服务器44提供数据传输装置以转发数据通信，其中，所述数据通信包括信令流量，诸如到认证服务器44的认证/授权请求和通过所述通信系统到控制平面42的任何消息）的合适的接口之外，WLAN AP 12还包括用于支持WLAN的装置（例如，支持无线信号的发送和接收的天线装置）。

另外，AP 12包括用于在被认证的设备16被授权使用漫游通信服务（这可通过由AP 12从认证服务器44接收的响应来触发）之后向被认证的设备16分配IP地址的合适的装置。AP 12还包括合适的数据处理器装置，所述合适的数据处理器装置被设置为产生消息（所述消息在净荷或头字段中包括识别被认证的设备（16）的元数据），并在该消息（例如，数据包到数据报）的源地址字段中设置IP地址（所述IP地址已被分配给被认证的设备（16））。所述IP地址是在任何NAT之前使用的私有IP地址，并响应于认证被成功完成而从可分配的IP地址池中由AP分配（或者，所述IP地址可以是从另一源（例如，DCHP服务器46）转发到AP 12的IP地址）。

认证服务器44包括：合适的接收器，被设置为提供用于接收通信（例如，包括认证请求和元数据消息的信令消息）的装置；以及数据处理器装置，被设置为处理接收到的通信，并将信息传送至SSG 38以配置SSG 38。接收的经处理的通信的示例包括认证请求，如果所述请求存在有效的一个或多个用于识别被认证的设备的元数据消息、授权证书，则授权设备使用所述漫游服务器。所述元数据消息的头被处理，以从源地址字段中提取IP地址信息，以使IP地址信息与任何被认证的漫游计费信息（例如，从由所述消息作为净荷携带的元数据中提取的设备或用户标识符）相关联地被存储，以用在产生控制消息从而配置SSG 38将从漫游设备16接收的任何流量向前转发到其目的地。如果不由AP 12提供，则通信系统将还包括用于向被认证的设备分配私有IP地址的一些合适的装置。一个或更多个NAT服务器将操作以提供被设置为对分配的私有IP地址执行网络地址转换的装置。如果不由认证服务器44提供，则通信系统可提供另外的平台或代理服务器，该另外的平台或代理服务器包括：合适的接收器，被设置为提供用于从接入点（12）接收包括元数据的消息；数据处理器装置，被设置为处理接收的消息：以根据由接收的消息所提供的元数据识别设备，验证通过消息净荷数据所识别的设备是否是被授权使用所述漫游服务的被认证的设备，从接收的元数据消息的源地址字段中提取IP地址，并将提取的IP地址存储为被授权向前传输的流量的源地址，并当接收到目前作为被授权使用漫游服务的源地址而被存储的IP地址时，通知SSG（或者通信系统10中设置的被布置为用作网关的任何其它装置）转发流量（所述流量为随后由设备16产生的流量）。流量以这种方式针对所述通信网络中的向前传输向目的地地址转发，而与被授权使用漫游服务的被认证的设备无关的任何流量可被丢弃或者不被转发。授权的流量的IP地址将包括分配给设备的私有IP地址（该IP地址可能已经经受在AP 12和SSG或者等同网关点之间的一个或更多个NAT转换）的网络地址转换。

本发明的示例性实施方式以上被详细描述，并且示出在附图中，然而，本发明没有意图被限于这些示例性实施方式，所述方法包括落入所附权利要求的范围内的各种明显的修改和等同设置。可用提供功能等同物的可选特征来替换这里明确参照以及权利要求书中的特征，其中，这种功能等同对于本领域的普通技术人员而言将是已知的。

在以上描述中，对“一个实施方式”、“实施方式”、“示例实施方式”、“各种实施方式”等的参照指示描述的本发明的实施方式包括特定特征、结构或特点。然而，每个实施方式没有必要包括所述特定特征、结构或特点。短语“在一个实施方式中”或“在示例性实施方式中”在以上被参照，其可以表示或者可以不表示与对于本领域普通技术人员将是明显的实施方式相同的实施方式。

参照例如特征（例如，“处理”、“计算”、“确定”等）的术语表示计算机或计算系统或类似的电子计算装置所承担的动作和/或处理，所述动作或处理操纵和/或将表示为物理的（例如，电子的，计算系统的寄存器和/或存储器内的量）数据变换为在计算系统的存储器、寄存器或其他这种信息存储器、传输或显示装置内被类似地表示的其它数据。

术语“计算平台”包括一个或多个数据处理器，其中，数据“处理器”表示处理来自寄存器和/或存储器的电子数据，以将该电子数据变换为能够被存储在寄存器和/或存储器中的其它电子数据的任何装置或者装置的一部分。

本发明的一个或多个实施方式包括用于执行文本中的操作的设备。设备可针对期望的目的被具体构造，或者可包括通过存储该装置中的程序被选择性地激活或重构的普通目的的装置。

适当地，本发明的实施方式中在本文描述的特征可以以硬件、固件和软件中的一个或者其组合被实现。在特征被实现为存储在机器可读介质上的指令的情况下，这种指令可由计算机平台读取和执行，以执行本文描述的一个或多个或者所有操作和/或方法步骤。

术语“机器可读介质”包括用于以机器（例如，计算机）可读的形式存储或发送信息的机制。机器可读介质的示例包括（但不限于）：只读存储器（ROM）、随机存取存储器（RAM）、磁盘存储介质、光学存储介质、闪存装置和传播的电子、光学、声学或其它合适的数字和/或模拟信号（例如，载波、红外信号、数字信号等）。

对术语“计算机程序”和/或“计算机控制逻辑”的参照包括在计算机程序的计算平台上运行的结果作为对编译的机器代码和/或可执行代码和/或源代码的参照。

可以以电子可下载的格式或者以存储在计算平台的主存储器和/或辅助存储器和/或数据存储装置（所述数据存储装置能够附于计算平台并从计算平台去除）中的格式提供计算机程序。在计算机程序存储在一个或多个数据存储装置中的情况下，这表示计算机程序包括计算机程序产品。当被执行时的这种计算机程序被设置为使得计算机平台或系统能够执行在本文中讨论的本发明的特征。具体地，当被执行时的计算机程序被设置为使得处理器能够实现根据本发明实施方式的方法中的一个或多个步骤。因此，这种计算机程序可表示计算机系统的数据控制器。

包括具有存储在其中的控制逻辑（计算机软件）的计算机可读介质的计算机程序产品可被提供以分布本发明的实施方式，或者当所述产品被加载到一个或多个计算机平台上并在所述一个或多个计算机平台上运行时促使根据本发明实施方式的方法被执行。当被一个或多个处理器运行的控制逻辑使得所述一个或多个处理器执行本文描述的方法的函数。计算机程序产品软件可通过使用任何合适的装置（所述装置包括合适的数据存储读取装置和/或经网络通信接口卡）被加载到计算机系统中。实现由计算机处理器运行的控制逻辑的软件可使得处理器执行本文描述的本发明的实施方式的一个或多个或者所有功能。计算机程序产品软件可作为在操作系统中运行的单独的软件应用程序来运行。另选地，所述计算机程序产品软件可被集成到计算平台的操作系统。

主要以硬件实现的特征可包括（但不限于）硬件组件（例如，专用集成电路（ASIC）、现场可编程门阵列（FPGA）或者一个或多个状态机器等）。对于相关领域的技术人员清楚的是，可使用硬件状态机器的任何合适的实现，以执行本文描述的功能。

本文讨论的实施方式和示例是非限制性的，仅为示例性实施方式，并且对于本领域技术人员将清楚的是，在不脱离诸如在本发明的多方面所表述的本发明的精神和范围的情况下可做成改变和修改。权利要求书中限定的本发明的实施方式意在覆盖落入本发明的真实精神内的所有这种改变和修改。

Claims (15)

1.一种确定由设备（16）产生的流量的网络地址转换IP地址的方法，所述设备（16）被授权使用漫游通信服务，所述漫游通信服务提供经无线局域网（24）到通信系统（10）的接入，所述通信系统（10）被设置为利用多个无线局域网（24）支持从多个漫游设备发起的流量，每个无线局域网（24）由无线网络接入点（12）提供，其中，所述无线网络接入点（12）包括：

被设置为从与由所述无线网络接入点所提供的无线网络相关联的设备接收针对授权的请求的装置；

被设置为处理所述请求以产生使所述设备使用所述漫游服务的授权请求的装置；和

被设置为将所述请求转发到认证服务器（44）的装置，其中，所述服务器（44）被设置为对关于所述设备（16）呈现有效认证证书的请求做出响应，以授权所述设备（16）使用所述漫游服务；

其中，所述方法包括以下步骤：

向被认证的设备（16）分配私有IP地址；

所述无线网络接入点（12）产生消息，所述消息包括用于识别所述被认证的设备（16）的元数据并在所述消息的源地址字段中包括分配给所述被认证的设备（16）的IP地址；以及

将所述元数据消息转发到远程服务器；

其中，当所述远程服务器接收到所述消息时，接收的所述消息已经经受了其源地址的网络地址转换，并且其中，所述远程服务器（44）包括如下的装置，即，该装置被设置为将所述元数据消息的所述转换IP源地址与通过所述元数据识别的被认证的设备（16）相关联，由此，由所述识别的被认证的设备（16）后续产生并且具有所述转换源IP地址的流量被授权在所述通信系统（10）中使用所述漫游服务。

2.如权利要求1所述的方法，其中，所述远程服务器包括所述认证服务器（44）。

3.如任何先前权利要求所述的方法，其中，响应于从被认证的设备接收到对接入漫游服务的请求，所述接入点（12）向所述被认证的设备（16）分配IP地址。

4.如任何先前权利要求所述的方法，其中，所述无线接入点被设置为禁止向漫游设备分配所述分配的互联网协议地址，直到具有所述分配的互联网协议地址的所述网络地址转换的漫游流量针对所述漫游服务被所述认证服务器（44）授权。

5.如任何先前权利要求所述的方法，其中，所述消息的所述元数据利用设备标识符识别所述漫游设备。

6.如任何先前权利要求所述的方法，其中，所述设备标识符包括所述设备的介质访问控制（MAC）地址。

7.一种被设置为参与到如权利要求1至6中的任何一项所述的方法中的WLAN接入点，所述接入点包括：

从与由所述WLAN接入点提供的无线通信网络相关联的漫游设备接收流量的装置；

使得所述漫游设备寻求来自认证服务器的认证的装置；

响应于从被所述认证服务器授权使用由所述WLAN接入点支持的漫游服务的设备接收到漫游服务请求向所述漫游设备分配IP地址的装置；

其中，所述接入点还被配置为：响应于向被授权的设备分配所述IP地址而产生寻址到所述远程服务器的元数据流量，其中，所述元数据流量使得由所述漫游设备产生的流量的NAT转换IP地址通过所述远程服务器检查所述元数据流量的接收到的IP源地址以及检查所述接收到的元数据流量的净荷而被确定，以确定所述设备的标识符。

8.一种被设置为参与到如权利要求1至6中的任何一项所述的方法中的认证服务器，所述认证服务器被设置为授权从无线接入点发起的通信流量使用漫游服务，所述流量包括NAT转换IP源地址，所述认证服务器包括：

处理从WLAN接入点接收的关于与由所述WLAN接入点提供的无线网络相关联的漫游设备的所述针对授权的请求的装置；

处理接收的请求以验证任何证书，授权所述接入点呈现了有效证书的漫游设备，以及将成功授权传送到所述WLAN接入点的装置；

其中，所述远程服务器包括所述认证服务器，所述认证服务器进一步设置：

处理已经经受网络地址转换的从WLAN接入点接收的元数据消息，以从所述消息的源地址字段中提取IP地址的装置；

根据在所述认证服务器接收的所述元数据消息中设置的所述信息确定所述被认证的设备的标识，并且将所述元数据消息的所述NAT转换源地址存储为来自所述被认证的设备的流量的NAT转换源地址的装置，由此随后，具有所述NAT转换IP源地址的流量被自动地授权使用所述漫游服务以接入所述通信系统。

9.一种设置为参与到如权利要求1至6中的任何一项所述的方法中的远程服务器，所述服务器包括：

消息处理装置，所述消息处理装置被设置为处理已经经受了网络地址转换的从WLAN接入点接收的元数据消息，所述消息处理装置包括：

从接收的消息的源地址字段中提取IP地址的装置；

根据从所述元数据消息的净荷中提取的信息确定设备标识的装置；

验证所述设备标识包括先前被认证的设备的设备标识的装置；

将从所述接收的元数据消息的源地址字段中提取的所述IP地址存储为用于来自所述被认证的设备的流量的NAT转换IP源地址的装置，由此，由经受相同网络地址转换的所述设备产生的后续流量被自动地授权使用所述漫游服务以接入所述通信系统。

10.如权利要求9所述的远程服务器，所述远程服务器进一步包括：

确定分配给所述被认证的设备的IP地址的装置。

11.一种支持设备在多个无线局域网（24）内漫游的通信系统（10），所述通信系统（10）包括：

多个根据权利要求7所述的无线接入点，每个无线接入点（12）提供至少一个无线局域网（24）；和

至少一个根据权利要求8所述的认证服务器。

12.一种支持设备在多个无线局域网（24）内漫游的通信系统（10），所述通信系统（10）包括：

多个根据权利要求7所述的无线接入点，每个无线接入点（12）提供至少一个无线局域网（24）；

至少一个所述认证服务器；和

至少一个根据权利要求9或10所述的远程服务器。

13.一种向在多个无线局域网内漫游的设备提供漫游通信服务的通信系统，每个无线局域网由无线接入点支持，所述通信系统包括：

多个设备；

多个无线接入点；和

至少一个认证服务器；

其中，每个无线接入点包括：

从与由所述无线接入点提供的无线网络相关联的设备接收针对授权的请求的装置；

处理所述请求以产生使所述设备使用所述漫游服务的授权请求的装置；

将所述请求转发到认证服务器的装置；

向被所述认证服务器授权使用所述漫游通信服务的被认证的设备分配IP地址的装置；

产生包括识别所述被认证的设备的元数据并且在源地址字段中包括分配给所述被认证的设备的IP地址的消息的装置；

通过所述通信系统转发所述消息的装置；

其中，每个认证服务器包括：

接收认证请求的装置；

如果所述请求呈现有效的一个或更多个认证证书，则处理接收的认证请求以授权所述设备使用所述漫游服务器的装置，并且

其中，所述通信系统进一步包括：

向被认证的设备分配私有IP地址的装置；

被设置为对分配的私有IP地址执行网络地址转换的装置；

从所述接入点接收包括元数据的所述消息的装置；

处理接收的消息以根据所述接收的消息提供的元数据识别设备的装置；

验证所述设备是否是被授权使用所述漫游服务的被认证的设备的装置；

从所述接收的元数据消息的源地址字段中提取IP地址的装置；和

将提取的IP地址存储为被授权向前传输的流量的源地址的装置；

将当被接收时具有所述提取的IP地址作为源地址的由所述设备后续产生的流量在所述通信网络中朝着目的地地址向前转发的装置，

其中，所述提取的IP地址包括分配给所述设备的私有IP地址的网络地址转换。

14.一种被设置为授权具有网络地址转换IP源地址的流量使用通信系统的认证服务器，所述流量从位于设置为提供到所述通信系统的漫游接入服务的无线局域网中的客户端设备发起，所述服务器包括：

接收由提供所述无线局域网的接入点产生的通信的装置；

从接收的通信中提取包括如下标识符的数据的装置，即，所述标识符为已经被所述服务器认证为被授权使用所述漫游接入服务接入所述通信系统的客户端设备的标识符；

从所述通信的源地址字段中提取已经经受网络地址转换的IP源地址的装置；和

将从由所述接入点产生的所述通信中提取的转换IP地址存储在数据结构中作为由被授权接入所述通信系统的所述客户端设备产生的流量的IP地址的装置。

15.一种授权具有网络地址转换IP源地址的流量使用通信系统的方法，所述流量从位于设置为提供到所述通信系统的漫游接入服务的无线局域网中的客户端设备发起，所述方法包括以下步骤：

接收由提供所述无线局域网的接入点产生的通信；

从接收的通信中提取包括如下标识符的数据，即，所述标识符为已经被认证服务器认证为被授权使用所述漫游接入服务接入所述通信系统的客户端设备的标识符；

从接收的通信的源地址字段中提取已经经受网络地址转换的IP源地址；以及

将从由所述接入点产生的所述通信中提取的转换IP地址存储在数据结构中作为由被授权接入所述通信系统的所述客户端设备产生的流量的IP地址。

Images