CN103596161A - 一种无线漫游方法和接入控制器 - Google Patents
一种无线漫游方法和接入控制器 Download PDFInfo
- Publication number
- CN103596161A CN103596161A CN201210288396.5A CN201210288396A CN103596161A CN 103596161 A CN103596161 A CN 103596161A CN 201210288396 A CN201210288396 A CN 201210288396A CN 103596161 A CN103596161 A CN 103596161A
- Authority
- CN
- China
- Prior art keywords
- roaming
- sta
- authentication
- roaming group
- group
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请公开了一种无线漫游方法,包括:预先将所有参与无线客户端STA漫游的接入控制器AC分在不同的平行漫游组;同一漫游组的AC均配置包含有该漫游组名字的漫游组信息;每个AC将其所属的漫游组信息通知接入该AC的STA;发生漫游时,上述任一AC接收到来自STA的携带了漫游组信息的重认证或重关联消息,该AC根据配置的漫游组信息和所述接收到的重认证或重关联消息,判断STA为组间漫游时,启动扩展认证协议EAP重认证流程;判断STA为组内漫游时,采用密钥缓存方式。本申请还公开了一种接入控制器AC。本申请可实现任何多个AC之间的快速漫游以及跨网段的快速漫游,并可提升AC设备的性能。
Description
技术领域
本申请涉及无线局域网的漫游技术,尤其涉及一种无线漫游方法和接入控制器。
背景技术
漫游,是无线局域网络WLAN的一个关键技术,是实现无线终端可移动性的重要基础。目前WLAN组网的主流方式是接入控制器(AC)+瘦AP(FIP AP)组网模型,在此组网条件下,如何实现无线客户端(STA)的无缝漫游,特别是如何实现STA在不同AC间的漫游,是衡量无线设备性能的一个重要指标。
目前,主要采用密钥缓存(Key Cache)方式实现STA在不同AC间的漫游,如图1所示,所有可能参与移动终端漫游的AC组成一个漫游组,漫游组的建立和维护均由接入控制器间隧道协议(IACTP)完成,任何一个AC有STA关联,需要在漫游组内的所有成员AC同步此STA的密钥信息。
当STA发生漫游行为时,将直接进行密钥协商,以实现快速漫游。例如,如图1所示,AC1与AC2在STA初次接入漫游组时均已同步此STA的密钥信息,当STA从AC1的接入点AP1上漫游到AC2的AP2上时,直接进行密钥协商,就可以实现快速漫游。
采用上述现有技术,在AC上仅能配置一个漫游组,组外AC无法参与漫游;并且每个漫游组内可以最大存在8个漫游成员,即8个AC之间的漫游,无法实现更多AC内的漫游;漫游组必须手动配置,比较繁琐;采用密钥缓存方式实现快速漫游时,漫游组内所有AC需要同步连接到任何一个成员的STA的密钥信息,例如,一个漫游组有6个成员,那么每个AC都必须同步其余5个AC的STA的密钥信息,当存在一定数量的在线STA时,消息交互过多以及密钥存储表项过大,影响AC设备的性能;也无法实现跨网段的快速漫游。
发明内容
有鉴于此,本申请提出一种无线漫游方法,可以实现任何多个AC之间的快速漫游以及跨网段的快速漫游,并且可以提升AC设备的性能。
本申请还提出一种接入控制器(AC),可以实现任何多个AC之间的快速漫游以及跨网段的快速漫游,并且可以提升AC设备的性能。
为达到上述目的,本申请实施例的技术方案是这样实现的:
一种无线漫游方法,包括以下步骤:
预先将所有参与无线客户端STA漫游的接入控制器AC分在不同的平行漫游组;同一漫游组的AC均配置包含有该漫游组名字的漫游组信息;每个AC将其所属的漫游组信息通知接入该AC的STA;
发生漫游时,上述任一AC接收到来自STA的携带了漫游组信息的重认证或重关联消息,该AC根据自身配置的漫游组信息和所述接收到的重认证或重关联消息,判断STA为组间漫游时,启动扩展认证协议EAP重认证流程;判断STA为组内漫游时,采用密钥缓存方式。
一种接入控制器AC,所有参与无线客户端STA漫游的AC被分在不同的平行漫游组,所述AC包括:配置模块、信息交互模块、信息处理模块,其中:
配置模块,用于为本AC配置包含有本AC所属漫游组名字的漫游组信息,同一漫游组的AC均配置包含有该漫游组名字的漫游组信息;
信息交互模块,用于将所述漫游组信息通知接入本AC的STA;还用于在发生漫游时,接收来自STA的携带了漫游组信息的重认证或重关联消息;
信息处理模块,用于根据配置的所述漫游组信息和所述接收到的重认证或重关联消息,判断STA为组间漫游时,启动扩展认证协议EAP重认证流程;判断STA为组内漫游时,采用密钥缓存方式。
本申请的有益效果为,通过将AC划分在不同的平行漫游组并配置漫游组信息,当STA漫游时,对STA携带的漫游组信息和STA将要漫游到的目的AC配置的漫游组信息进行比较判断,根据判断结果启动EAP完整认证或EAP重认证或直接进行密钥协商,可以实现任何多个AC之间的快速漫游以及跨网段的快速漫游,增加漫游STA可通过漫游接入AC的数量,扩大STA可漫游的范围,实现STA在任意网络之间的漫游,提高了无线网络布局的能力,屏蔽了目前AC设备在此方面的局限性。
此外,通过控制单个漫游组内AC的数量,可减小漫游组内AC的密钥表项的规模,减少漫游组内AC间的消息交互,减轻AC设备的压力。
同时,通过自动生成漫游组,可以减轻管理人员的工作量,排除可能的配置错误。
附图说明
图1为现有技术的通过密钥缓存方式实现组内快速漫游的系统示意图;
图2为本申请实现快速漫游的原理示意图;
图3为本申请实施例的方法流程图;
图4为本申请实施例的AC之间交互的信息格式示意图;
图5为本申请实施例的漫游组信息格式示意图;
图6为现有技术的EAP完整认证信息交互流程示意图;
图7为现有技术的EAP重认证信息交互具体流程示意图;
图8为现有技术的EAP报文格式示意图;
图9为本申请实施例的装置结构图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下通过具体实施例并参见附图,对本发明进行详细说明。
本申请中,所有AC根据需要都加入到相应的平行漫游组中,在每个漫游组中AC间的漫游使用Key Cache(密钥缓存)方式,在平行漫游组之间AC间的漫游启动EAP重认证流程。可实现所有的AC都能参与到移动终端的漫游行为中来,并且没有过多的消息交互、不会占用系统太多的资源。
如图2所示,所有的无线控制器AC将分别加入到n个漫游组SystemGroup_par_xx中,每个漫游组内的成员AC数量根据需要配置,没有固定的数量,根据实验推荐不多于3个,平行的漫游组也没有数量限制,根据需要配置,只要包含所有可能参与终端漫游行为的AC即可。
在每个漫游组SystemGroup_par_xx中,STA如果要进行AC间的漫游,采用Key Cache(密钥缓存)方式,即每个SystemGroup_par_xx中,任何一个成员AC必须同步本漫游组内连接在其他所有成员AC的STA的Key信息,并且进行缓存,以此实现漫游组内AC间的快速漫游。
但是平行漫游组SystemGroup_par_01和SystemGroup_par_02之间不需要同步,即平行漫游组之间不需要同步STA的密钥信息。在平行漫游组之间,如图2所示,例如,STA想要从AC1的AP1上漫游到AC5的AP5上,即要进行漫游的两个AC并不在相同的漫游组中,此时需要进行EAP重认证,以此来实现漫游组之间的快速漫游。
本申请实施例的方法流程如图3所示,一种无线漫游方法,包括以下步骤:
步骤301:预先将所有参与无线客户端(STA)漫游的接入控制器(AC)分在不同的平行漫游组。
关于平行漫游组的划分,可以根据实际需求手动配置,这样可以完全按照用户的要求来实现,应该遵守以下原则:
A、处于相同网段的AC,一定在同一个漫游组内;
B、每个漫游组的所有AC允许接入的STA数量之和相等或者接近;
C、每个漫游组的所有AC管理的AP数量之和相等或者接近;
D、每个AC只能配置在一个漫游组内;
另外,也可以自动实现分组,如果是自动实现分组,需要在每个AC上启动自动漫游分组功能,实现具体如下:
记AC`为当前没有加入漫游组的任一AC,AC`判断自己并不在任何一个漫游组内,即AC`没有配置漫游组的名字时,周期发送广播消息,请求其他AC的应答,直到加入一个漫游组为止,在预设的时间内若接收到了其它AC的应答,所述应答的AC与AC`彼此进行消息交互,交互消息格式自定义如图4所示,包括字段:目的MAC地址(DMAC)、源MAC地址(SMAC)、帧类型、协议号、标志位g和标志位s以及标志位a、STA数量、AP数量、校验和,其中,标志位g、标志位s以及标志位a为:
g表示是否已经分组,g=1为未分组,g=0为已分组;
s表示是否携带了AC允许接入的STA的数量,s=1为已携带,s=0为未携带;
a表示是否携带了AC接入的AP的数量,a=1为已携带,a=0为未携带;
其余为保留位,均为0。
g为0时表示该AC已分组,s或a为0时,表示该AC处于非正常工作状态,因此,g、s、a任一位为0时,AC`不将该AC作为处于可分组状态的AC进行下面的分组。
STA数量为AC允许接入的STA的数量;
AP数量为AC接入的AP的数量;
一般情况下,应答AC若携带了允许接入的STA数量,获取各应答AC允许接入的STA的数量,就可以实现分组了,因此,一般情况下,所述交互信息格式只需包含字段:目的MAC地址(DMAC)、源MAC地址(SMAC)、帧类型、协议号、标志位g|s|、STA数量、校验和即可,标志位中只需g和s即可。
AC`与任一应答AC交互,当获知该应答AC的交互消息中标志位g、s均为1时,确定此应答AC处于可分组状态,获取此AC允许接入的STA数量信息,若有K个AC处于可分组状态,则获取所述K个AC各自允许接入STA的数量信息,其中,K为≥1的正整数。
通过上述消息交互,若AC`获取了K个处于可分组状态的AC各自允许接入STA的数量,则将所述K个处于可分组状态的AC和AC`按照各自允许接入的STA数量排序组成链表;
如果(K+1)除以2得到的余数=0,则依次组合链表的头和尾元素,直至出现AC`,AC`向与其组合的AC发送单播确认消息,组成一个漫游组。依次组合链表的头和尾元素,例如,链表AC排列顺序为AC1、AC`、AC2、AC3、AC4、AC5,则依次组合链表的头和尾元素,即组合AC1AC5,AC`AC4,当出现AC`时,就停止组合了,AC4就是与AC`组合的AC,分在一组。
如果(K+1)除以2得到的余数=1,且排序后AC`不是第K+1个元素时,排除第K+1个元素,其余的元素组成链表,依次组合链表的头和尾元素,直至出现AC`,AC`向与其组合的AC发送单播确认消息,组成一个漫游组;若排序后AC`是第K+1个元素,则组合链表的头和尾元素,AC`向与其组合的AC发送单播确认消息,组成一个漫游组。
例如:AC`周期(周期为T)发送广播消息,在N×T的时间之内有多个AC应答,但只有K个AC处于可分组状态,则共K+1个AC按照允许接入的STA数量从少到多或从多到少排序组成链表,如果(K+1)%2=0,则依次组合链表的头和尾元素(即[a,k+2-a]),直至出现AC`为止,与其组合的AC即是选中同一漫游组的AC。
一般情况下,比较各AC允许接入的STA数量,就可以实现分组了;特殊地,若AC`与K个AC允许接入的STA数量都是一样的,则比较各个AC管理的AP数量,即将所述K个AC和AC`按照各自管理的AP数量排序组成链表,后续步骤相同。
若AC`与K个AC管理的AP数量也都是一样的,则从K个AC中随机选择一个与AC`组成一个漫游组。
每个平行漫游组内有两个成员AC;特殊的,如果最后剩余一个AC,会单独分在一个分组内。当然,每个平行漫游组内成员AC的数量也可根据实际需要进行调整。
上述漫游组划分时将AC是否划分为一个漫游组考虑的因素的优先级顺序为:相同网段→允许接入的STA数量→管理的AP数量→随机。由于AC`发送的是广播请求,所以应答的AC与AC`一定在相同网段内。
所述AC周期发送广播消息之后,在预设的时间内若没有收到其他AC的应答消息,则所述AC自己成为一个单独的漫游组,每隔预设的时间广播一次请求消息,直至接收到其它AC的应答,按照上述自动实现分组的方法进行分组。
如果一个漫游组内只有一个AC,则此AC会每隔T1时间就广播一次请求消息,以此来确认是否还有单独的AC分组,这里T1的值可以根据实际需要设置,设置为0则不会启用此功能。
如果取消AC的自动漫游分组功能,则相应AC会删除自动创建的分组。
通过自动生成平行漫游组,可以减轻管理人员的工作量,同时排除了可能的配置错误。通过平行漫游组的存在,增加漫游STA可通过漫游接入AC的数量,扩大STA可漫游的范围。通过STA在平行漫游组之间的漫游行为,可以实现STA在任意网络之间的漫游,提高了无线网络布局的能力,屏蔽了目前AC设备在此方面的局限性。
步骤302:同一漫游组的AC均配置包含有该漫游组名字的漫游组信息。
所述漫游组信息格式根据802.11-2007如图5所示,包括:信息类型(Ele-ID,即Element ID)、信息长度(Length)、自定义的漫游组名字。
漫游组的名字可自定义,如图5所示,例如,每个AC上的平行漫游组的名字可自动生成为SystemGroup_par_Mac_addr,其中Mac_addr比较漫游组内两个成员AC用于通信的以太网接口的mac地址,较小的当选,漫游组名字长度也是自定义。
步骤303:每个AC将其所属的漫游组信息通知接入该AC的STA。
当所述STA初始连接到任一AC时,通过关联响应消息,该AC将其所属的漫游组信息通知STA,STA存储所述漫游组信息,在进行漫游行为的时候携带;
当已添加了漫游组信息的STA连接到任一AC时,该AC将其所属的漫游组信息通知STA,则STA更新漫游组信息为STA当前连接的AC所属的漫游组信息。
步骤304:发生漫游时,上述任一AC接收到来自STA的携带了漫游组信息的重认证或重关联消息。
STA漫游时发送可能重认证消息(Authentication消息),也可能发送重关联消息(Re-associate消息),由STA的生产厂家决定。漫游组信息只在STA发送的重认证或者重关联消息中携带(即STA发生漫游行为的初始消息)。
如果是通过重新发送认证请求的STA,在认证消息中携带漫游组信息;如果是直接发送重关联消息进行漫游的STA,在重关联请求消息中携带漫游组信息;如果是通过发送重认证请求进行漫游的STA在关联消息中也携带了此漫游组信息,则关联消息中的这个漫游组信息被忽略处理。
发生漫游之前,可在所有参与STA漫游的AC上设置密钥老化定时器;
当STA从一个漫游组内的任一AC离开时,触发该AC上的密钥老化定时器同时开始计时,待老化超时后,该AC删除所述STA对应的密钥缓存表项;
另外,为了防止STA在两个AC间的反复漫游行为(反复漫游说明STA处于非正常工作状态),老化超时之前,在设定时间内,例如,密钥老化定时器十分之一老化时间内,若所述AC接收到相同MAC地址的STA漫游连接请求(也就是重认证或重关联消息)的次数超过预定次数,例如,超过3次,则所述AC后续不会继续接受此STA的漫游连接请求。此时,STA无法进行漫游。
步骤305:所述AC根据自身配置的漫游组信息和所述接收到的重认证或重关联消息,判断STA为组间漫游时,启动扩展认证协议(EAP)重认证流程;判断STA为组内漫游时,采用密钥缓存方式;进一步地,若判断STA为初次接入,则启动EAP完整认证流程。
所述AC检查所述接收到的重认证或重关联消息中是否存在漫游组信息:
若不存在,则判断STA为初次接入,启动EAP完整认证流程;
若存在,则检查所述漫游组信息中的漫游组名字与所述AC自身配置的漫游组名字是否一致:
如果不一致,则判断STA为组间漫游,启动EAP重认证流程;启动EAP重认证流程时,交互过程中EAP报文的数据内容(Type-Data)域(如图8所示)携带所述漫游组信息中的漫游组名字,认证服务器会通过此域来判断STA的组间漫游行为;启动EAP重认证流程后,若EAP重认证流程失败,则启动EAP完整认证流程;
如果一致,则所述AC检查其密钥缓存信息中是否存在STA的密钥表项,如果是,则判断STA为组内漫游,采用密钥缓存方式;如果不是,则判断STA为初次接入,启动EAP完整认证流程。之所以要检查密钥表项信息,是因为漫游组的成员AC之间同步STA密钥表项时,有可能同步失败,这时虽然漫游组名字一致,但却从AC的密钥缓存表项中找不到STA的密钥表项,只有同步成功了才可找到。
所述AC检查所述接收到的重认证或重关联消息中是否存在漫游组信息的方法为:
所述AC检查所述重认证或重关联消息中是否存在预先设置的漫游组共同关键字,如果是,则存在漫游组信息;否则,不存在漫游组信息。
所述漫游组共同关键字可自定义,例如,如图5所示,可以取各个漫游组名字的共同字符SystemGroup_par作为漫游组共同关键字。
上述EAP完整认证流程、EAP重认证流程及密钥缓存方式均属于现有技术,为了更方便理解本申请,在此简要介绍一下:
EAP完整认证流程,如图6所示,其中:
过程(1)为STA接入WLAN过程,包含WLAN的认证、关联过程。
过程(2)为STA通过802.1x认证的过程。
过程(3)为4-way-handshake:即WLAN的四步握手(密钥协商)过程。
EAP重认证流程详见协议RFC5296,就是简化的过程(2)加上过程(3),即STA通过802.1x认证的过程,最好的情况只需要一次EAP的交互(对应一次Request和Response的交互)就可以完成STA的用户接入认证,而完整的过程(2)需要大量的消息交互,但EAP重认证流程中简化的过程(2)省略了其中的一些消息交互,只需要进行少量的消息交互,大大节省了认证(指802.1x认证)的时间。
如图7所示,此过程在EAP流程开始之后,STA和认证服务器SERVER之间最少通过一次消息交互完成STA的用户认证过程,从而直接进行密钥协商。见图7,详细过程如下:
EAP重认证开始,AC给STA发送EAP-Initiate和EAP-Request消息;STA返回Response给AC;
EAP重认证过程,STA通过AC透传EAP-Initiate给SERVER,SERVER通过AC透传返回EAP-Finish给STA。
连接到任何一个平行漫游组的STA都必须到相同的认证服务器进行认证。
组内AC间漫游采用密钥缓存(Key Cache)方式,对照图6的EAP完整认证流程来看,密钥缓存(Key Cache)方式就是图6中的过程(1)加上过程(3),省略了过程(2),即802.1x的认证过程,前提是FA已经同步了此STA在首次接入AC时协商的密钥信息,此处漫游即可直接进行密钥协商。
一个STA首次与漫游组内的某个AC进行关联,该AC即为该STA的HA(Home-AC);一个STA与某个不是HA的AC进行关联,该AC即为该STA的FA。
特殊的,在正常流程中,过程(1)包含了STA接入WLAN的认证和关联过程,如果STA在漫游过程中直接发送重关联消息,若判断出FA已经同步了此STA在首次接入AC时协商的密钥信息,也可以省略STA接入WLAN的认证过程。
本申请中虽然采用Key Cache方式,但是在合理配置了组内AC数量之后,实现起来不会对系统形成压力。
例如,可以将4个AC放入两个漫游组中,这样每个漫游组内只会有两个AC相互同步漫游终端的信息;而如果4个AC都放入同一个漫游组内,则每个AC都需要同步其他3个AC的接入STA的密钥缓存表项信息,致使每个AC存储大量的STA密钥信息,并且所有AC之间互相交互的消息过多。如果是自动生成的平行漫游组,则每个组内最多有两个成员AC,更不会存在此问题。
通过控制单个漫游组内AC的数量,可以减小漫游组内AC的Key Cache表项的规模,减少漫游组内AC间的消息交互,减轻AC设备的压力。
本申请实施例的装置结构如图9所示,一种接入控制器AC,所有参与无线客户端STA漫游的AC被分在不同的平行漫游组,所述AC包括:配置模块、信息交互模块、信息处理模块,其中:
配置模块,用于为本AC配置包含有本AC所属漫游组名字的漫游组信息,同一漫游组的AC均配置包含有该漫游组名字的漫游组信息;
信息交互模块,用于将所述漫游组信息通知接入本AC的STA;还用于在发生漫游时,接收来自STA的携带了漫游组信息的重认证或重关联消息;
信息处理模块,用于根据配置的所述漫游组信息和所述接收到的重认证或重关联消息,判断STA为组间漫游时,启动扩展认证协议EAP重认证流程;判断STA为组内漫游时,采用密钥缓存方式。
较佳地,所述信息处理模块,还用于检查所述重认证或重关联消息携带的漫游组信息中的漫游组名字与本AC配置的漫游组名字是否一致:
如果不一致,则判断STA为组间漫游,启动EAP重认证流程;
如果一致,则检查本AC的密钥缓存信息中是否存在STA的密钥表项,如果是,则判断STA为组内漫游,采用密钥缓存方式;如果不是,则判断STA为初次接入,启动EAP完整认证流程。
进一步地,在检查所述重认证或重关联消息携带的漫游组信息中的漫游组名字与本AC配置的漫游组名字是否一致之前,所述信息处理模块,还用于检查所述接收到的重认证或重关联消息中是否存在漫游组信息:
若不存在,则判断STA为初次接入,启动EAP完整认证流程;
若存在,则检查所述漫游组信息中的漫游组名字与所述AC自身配置的漫游组名字是否一致。
较佳地,所述配置模块为本AC配置的漫游组信息的格式包括:信息类型、信息长度、自定义的漫游组名字。
所述信息处理模块在启动EAP重认证流程时,交互过程中EAP报文的数据内容(Type-Data)域携带所述漫游组信息中的漫游组名字;所述信息处理模块,还用于在启动EAP重认证流程后,如果EAP重认证流程失败,则启动EAP完整认证流程。
较佳地,所述接入控制器进一步包括:密钥老化模块,用于设置密钥老化定时器;当STA从本AC离开时,触发所述密钥老化定时器同时开始计时,待老化超时后,删除所述STA对应的密钥缓存表项;
所述信息交互模块,还用于在所述老化超时之前,若接收到相同MAC地址的STA重认证或重关联消息的次数超过预定次数,则不再接受此STA的重认证或重关联消息。
本申请中,如果判断STA为初次接入,则启动EAP完整认证流程;如果判断STA为组内漫游,采用Key Cache(密钥缓存)快速漫游方式;如果判断STA为组间漫游,则启动EAP重认证流程,协商了密钥之后再在漫游组内采用Key Cache方式在所有成员AC之间进行密钥同步。
也就是通过密钥缓存与重认证相结合可以实现终端在任何AC间的快速漫游。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (11)
1.一种无线漫游方法,其特征在于,包括以下步骤:
预先将所有参与无线客户端STA漫游的接入控制器AC分在不同的平行漫游组;同一漫游组的AC均配置包含有该漫游组名字的漫游组信息;每个AC将其所属的漫游组信息通知接入该AC的STA;
发生漫游时,上述任一AC接收到来自STA的携带了漫游组信息的重认证或重关联消息,该AC根据自身配置的漫游组信息和所述接收到的重认证或重关联消息,判断STA为组间漫游时,启动扩展认证协议EAP重认证流程;判断STA为组内漫游时,采用密钥缓存方式。
2.根据权利要求1所述的方法,其特征在于,所述AC根据自身配置的漫游组信息和所述接收到的重认证或重关联消息,判断STA为组间漫游时,启动扩展认证协议EAP重认证流程;判断STA为组内漫游时,采用密钥缓存方式,包括:
所述AC检查所述重认证或重关联消息携带的漫游组信息中的漫游组名字与所述AC自身配置的漫游组名字是否一致:
如果不一致,则判断STA为组间漫游,启动EAP重认证流程;
如果一致,则所述AC检查其密钥缓存信息中是否存在STA的密钥表项,如果是,则判断STA为组内漫游,采用密钥缓存方式;如果不是,则判断STA为初次接入,启动EAP完整认证流程。
3.根据权利要求2所述的方法,其特征在于,所述AC检查所述重认证或重关联消息携带的漫游组信息中的漫游组名字与所述AC自身配置的漫游组名字是否一致之前进一步包括:
所述AC检查所述接收到的重认证或重关联消息中是否存在漫游组信息:
若不存在,则判断STA为初次接入,启动EAP完整认证流程;
若存在,则检查所述漫游组信息中的漫游组名字与所述AC自身配置的漫游组名字是否一致。
4.根据权利要求1所述的方法,其特征在于,所述将所有参与STA漫游的AC分在不同的平行漫游组的方法为:
记AC`为当前没有加入漫游组的任一AC,AC`周期发送广播消息,在预设的时间内若有其它AC应答,执行:
步骤S、所述应答的AC与AC`进行消息交互,若AC`获取到K个处于可分组状态的AC各自允许接入STA的数量信息,则将所述K个AC和AC`按照各AC允许接入的STA数量排序组成链表,K为≥1的正整数;
如果(K+1)除以2得到的余数等于0,则依次组合链表的头和尾元素,直至出现AC`,AC`向与其组合的AC发送单播确认消息,组成一个漫游组;
如果(K+1)除以2得到的余数等于1,且排序后AC`不是第K+1个元素时,排除第K+1个元素,其余的元素组成链表,依次组合链表的头和尾元素,直至出现AC`,AC`向与其组合的AC发送单播确认消息,组成一个漫游组;若排序后AC`是第K+1个元素,则组合链表的头和尾元素,AC`向与其组合的AC发送单播确认消息,组成一个漫游组;
AC`在预设的时间内若没有收到其他AC的应答消息,则AC`成为一个单独的漫游组,每隔预设的时间广播一次请求消息,直至接收到其它AC的应答,执行步骤S。
5.根据权利要求4所述的方法,其特征在于,所述应答的AC与AC`进行消息交互的交互信息格式包括:目的MAC地址、源MAC地址、帧类型、协议号、标志位g和标志位s、STA数量、校验和;其中:
标志位g表示是否已经分组,g=1为已分组,g=0为未分组;
标志位s表示是否携带了AC允许接入的STA数量,s=1为已携带,s=0为未携带;
STA数量表示AC允许接入的STA数量;
AC`获取K个处于可分组状态的AC各自允许接入STA的数量信息,包括:
AC`与任一应答AC交互,当获知该应答AC的交互消息中标志位g、s均为1时,确定此应答AC处于可分组状态;若有K个AC处于可分组状态,则获取所述K个AC各自允许接入STA的数量信息。
6.根据权利要求1所述的方法,其特征在于,所述漫游组信息格式包括:信息类型、信息长度、自定义的漫游组名字;
所述启动EAP重认证流程时,交互过程中EAP报文的数据内容Type-Data域携带所述漫游组信息中的漫游组名字;所述启动EAP重认证流程后,如果EAP重认证流程失败,则启动EAP完整认证流程;
所述发生漫游之前进一步包括:所有参与STA漫游的AC上设置密钥老化定时器;
当STA从一个漫游组内的任一AC离开时,触发该AC上的密钥老化定时器同时开始计时,待老化超时后,该AC删除所述STA对应的密钥缓存表项;
所述老化超时之前,若该AC接收到相同MAC地址的STA重认证或重关联消息的次数超过预定次数,则该AC不再接受此STA的重认证或重关联消息。
7.一种接入控制器AC,其特征在于,所有参与无线客户端STA漫游的AC被分在不同的平行漫游组,所述AC包括:配置模块、信息交互模块、信息处理模块,其中:
配置模块,用于为本AC配置包含有本AC所属漫游组名字的漫游组信息,同一漫游组的AC均配置包含有该漫游组名字的漫游组信息;
信息交互模块,用于将所述漫游组信息通知接入本AC的STA;还用于在发生漫游时,接收来自STA的携带了漫游组信息的重认证或重关联消息;
信息处理模块,用于根据配置的所述漫游组信息和所述接收到的重认证或重关联消息,判断STA为组间漫游时,启动扩展认证协议EAP重认证流程;判断STA为组内漫游时,采用密钥缓存方式。
8.根据权利要求7所述的接入控制器,其特征在于,
所述信息处理模块检查所述重认证或重关联消息携带的漫游组信息中的漫游组名字与本AC配置的漫游组名字是否一致:
如果不一致,则判断STA为组间漫游,启动EAP重认证流程;
如果一致,则检查本AC的密钥缓存信息中是否存在STA的密钥表项,如果是,则判断STA为组内漫游,采用密钥缓存方式;如果不是,则判断STA为初次接入,启动EAP完整认证流程。
9.根据权利要求8所述的接入控制器,其特征在于,
在检查所述重认证或重关联消息携带的漫游组信息中的漫游组名字与本AC配置的漫游组名字是否一致之前,所述信息处理模块,还用于检查所述接收到的重认证或重关联消息中是否存在漫游组信息:
若不存在,则判断STA为初次接入,启动EAP完整认证流程;
若存在,则检查所述漫游组信息中的漫游组名字与所述AC自身配置的漫游组名字是否一致。
10.根据权利要求7所述的接入控制器,其特征在于,所述配置模块为本AC配置的漫游组信息的格式包括:信息类型、信息长度、自定义的漫游组名字。
所述信息处理模块在启动EAP重认证流程时,交互过程中EAP报文的数据内容Type-Data域携带所述漫游组信息中的漫游组名字;所述信息处理模块,还用于在启动EAP重认证流程后,如果EAP重认证流程失败,则启动EAP完整认证流程。
11.根据权利要求7所述的接入控制器,其特征在于,所述接入控制器进一步包括:密钥老化模块,用于设置密钥老化定时器;当STA从本AC离开时,触发所述密钥老化定时器同时开始计时,待老化超时后,删除所述STA对应的密钥缓存表项;
所述信息交互模块,还用于在所述老化超时之前,若接收到相同MAC地址的STA重认证或重关联消息的次数超过预定次数,则不再接受此STA的重认证或重关联消息。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210288396.5A CN103596161B (zh) | 2012-08-14 | 2012-08-14 | 一种无线漫游方法和接入控制器 |
PCT/CN2013/081365 WO2014026591A1 (en) | 2012-08-14 | 2013-08-13 | Wireless roaming method and access controller |
US14/401,434 US9173083B2 (en) | 2012-08-14 | 2013-08-13 | Wireless roaming method and access controller |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210288396.5A CN103596161B (zh) | 2012-08-14 | 2012-08-14 | 一种无线漫游方法和接入控制器 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103596161A true CN103596161A (zh) | 2014-02-19 |
CN103596161B CN103596161B (zh) | 2016-06-08 |
Family
ID=50086104
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210288396.5A Active CN103596161B (zh) | 2012-08-14 | 2012-08-14 | 一种无线漫游方法和接入控制器 |
Country Status (3)
Country | Link |
---|---|
US (1) | US9173083B2 (zh) |
CN (1) | CN103596161B (zh) |
WO (1) | WO2014026591A1 (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105657746A (zh) * | 2016-01-05 | 2016-06-08 | 上海斐讯数据通信技术有限公司 | 一种基于ap邻接关系的无线终端快速漫游系统和方法 |
CN107534954A (zh) * | 2015-04-10 | 2018-01-02 | 华为技术有限公司 | 用于减少无线网络中的认证信令的系统和方法 |
CN109348517A (zh) * | 2018-11-19 | 2019-02-15 | 新华三技术有限公司 | 一种漫游隧道的配置方法及装置 |
CN109661015A (zh) * | 2018-12-10 | 2019-04-19 | 杭州全维技术股份有限公司 | 一种实现不同厂商的ac数据共享的方法 |
CN113993128A (zh) * | 2021-10-26 | 2022-01-28 | 迈普通信技术股份有限公司 | 一种ap间的漫游方法及装置 |
CN116887248A (zh) * | 2023-09-06 | 2023-10-13 | 新华三技术有限公司 | 漫游控制方法、装置、ac及存储介质 |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106550348B (zh) * | 2016-12-09 | 2019-07-19 | 锐捷网络股份有限公司 | 一种在无线局域网络中实现漫游的方法、无线接入点及服务器 |
US10834591B2 (en) | 2018-08-30 | 2020-11-10 | At&T Intellectual Property I, L.P. | System and method for policy-based extensible authentication protocol authentication |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1964576A (zh) * | 2006-12-11 | 2007-05-16 | 杭州华为三康技术有限公司 | 一种无线接入方法及接入控制器 |
CN101557592A (zh) * | 2009-05-14 | 2009-10-14 | 西安西电捷通无线网络通信有限公司 | 一种会聚式wlan中由ac完成wpi时的sta漫游切换方法及其系统 |
CN101610533A (zh) * | 2009-07-13 | 2009-12-23 | 杭州华三通信技术有限公司 | 一种实现访问控制器备份切换的方法和装置 |
CN101730194A (zh) * | 2009-12-31 | 2010-06-09 | 福建星网锐捷网络有限公司 | 终端接入方法、系统和访问控制器 |
CN102256250A (zh) * | 2011-07-08 | 2011-11-23 | 杭州华三通信技术有限公司 | 一种无线局域网中无线终端信息的同步方法和设备 |
US20120054840A1 (en) * | 2010-08-31 | 2012-03-01 | Vivek Gupta | Roaming between networks employing different authentication protocols |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1813454B (zh) | 2003-04-28 | 2012-09-05 | 钱特利网络公司 | 无线通信网络上的移动单元会话管理的系统和方法 |
US20050254653A1 (en) | 2004-05-14 | 2005-11-17 | Proxim Corporation | Pre-authentication of mobile clients by sharing a master key among secured authenticators |
US7596376B2 (en) * | 2005-02-18 | 2009-09-29 | Cisco Technology, Inc. | Methods, apparatuses and systems facilitating client handoffs in wireless network systems |
US8505076B2 (en) * | 2009-05-03 | 2013-08-06 | Kabushiki Kaisha Toshiba | Proactive authentication |
-
2012
- 2012-08-14 CN CN201210288396.5A patent/CN103596161B/zh active Active
-
2013
- 2013-08-13 US US14/401,434 patent/US9173083B2/en active Active
- 2013-08-13 WO PCT/CN2013/081365 patent/WO2014026591A1/en active Application Filing
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1964576A (zh) * | 2006-12-11 | 2007-05-16 | 杭州华为三康技术有限公司 | 一种无线接入方法及接入控制器 |
CN101557592A (zh) * | 2009-05-14 | 2009-10-14 | 西安西电捷通无线网络通信有限公司 | 一种会聚式wlan中由ac完成wpi时的sta漫游切换方法及其系统 |
CN101610533A (zh) * | 2009-07-13 | 2009-12-23 | 杭州华三通信技术有限公司 | 一种实现访问控制器备份切换的方法和装置 |
CN101730194A (zh) * | 2009-12-31 | 2010-06-09 | 福建星网锐捷网络有限公司 | 终端接入方法、系统和访问控制器 |
US20120054840A1 (en) * | 2010-08-31 | 2012-03-01 | Vivek Gupta | Roaming between networks employing different authentication protocols |
CN102256250A (zh) * | 2011-07-08 | 2011-11-23 | 杭州华三通信技术有限公司 | 一种无线局域网中无线终端信息的同步方法和设备 |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107534954A (zh) * | 2015-04-10 | 2018-01-02 | 华为技术有限公司 | 用于减少无线网络中的认证信令的系统和方法 |
CN105657746A (zh) * | 2016-01-05 | 2016-06-08 | 上海斐讯数据通信技术有限公司 | 一种基于ap邻接关系的无线终端快速漫游系统和方法 |
CN105657746B (zh) * | 2016-01-05 | 2019-09-13 | 上海斐讯数据通信技术有限公司 | 一种基于ap邻接关系的无线终端快速漫游系统和方法 |
CN109348517A (zh) * | 2018-11-19 | 2019-02-15 | 新华三技术有限公司 | 一种漫游隧道的配置方法及装置 |
CN109348517B (zh) * | 2018-11-19 | 2021-03-12 | 新华三技术有限公司 | 一种漫游隧道的配置方法及装置 |
CN109661015A (zh) * | 2018-12-10 | 2019-04-19 | 杭州全维技术股份有限公司 | 一种实现不同厂商的ac数据共享的方法 |
CN109661015B (zh) * | 2018-12-10 | 2021-01-19 | 杭州全维技术股份有限公司 | 一种实现不同厂商的无线控制器数据共享的方法 |
CN113993128A (zh) * | 2021-10-26 | 2022-01-28 | 迈普通信技术股份有限公司 | 一种ap间的漫游方法及装置 |
CN113993128B (zh) * | 2021-10-26 | 2024-04-12 | 迈普通信技术股份有限公司 | 一种ap间的漫游方法及装置 |
CN116887248A (zh) * | 2023-09-06 | 2023-10-13 | 新华三技术有限公司 | 漫游控制方法、装置、ac及存储介质 |
CN116887248B (zh) * | 2023-09-06 | 2023-12-22 | 新华三技术有限公司 | 漫游控制方法、装置、ac及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
US9173083B2 (en) | 2015-10-27 |
CN103596161B (zh) | 2016-06-08 |
WO2014026591A1 (en) | 2014-02-20 |
US20150163657A1 (en) | 2015-06-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103596161A (zh) | 一种无线漫游方法和接入控制器 | |
US10243954B2 (en) | Access network assisted bootstrapping | |
US9258284B2 (en) | Server, method of group key notification and program | |
CN107852600A (zh) | 具有简化的移动性过程的网络架构和安全 | |
CN103581901B (zh) | 一种Wi‑Fi无线网络接入配置信息的处理方法和设备 | |
JP6086392B2 (ja) | ワイヤレスローカルエリアネットワークにアクセスする方法、ステーション、およびアクセスポイント | |
TW201703556A (zh) | 網路安全架構 | |
CN107113609A (zh) | 用于订户身份模块容器的ota配设的订户身份模块提供商装置和方法 | |
CN105827669B (zh) | 一种终端虚拟存储的方法、设备和系统 | |
CN110383868A (zh) | 无线通信系统中的非活动状态安全支持 | |
CN105282865A (zh) | 设备配对 | |
CN108702626A (zh) | 无线广域网(wwan)无线局域网(wlan)聚合保全 | |
US9961546B2 (en) | System and method for rapid authentication in wireless communications | |
KR102600917B1 (ko) | 고정 네트워크 가정용 게이트웨이들에 대한 인증 결정 | |
CN108738003A (zh) | 基于共用蓝牙通信地址的蓝牙匹配方法及系统 | |
JP7393428B2 (ja) | パラメータ設定のための方法および装置 | |
EP3562185B1 (en) | Method and device for joining access node group | |
CN109391937A (zh) | 公钥的获取方法、设备及系统 | |
US10848472B2 (en) | Method and WLAN controller for managing authentication data of STA | |
CN114450991A (zh) | 用于注册程序的无线通信方法 | |
JP6281516B2 (ja) | ネットワーク認証システム、ネットワーク認証方法および認証サーバ | |
WO2019196963A1 (zh) | 接入网络切片的方法及装置、存储介质、电子装置 | |
JP6070280B2 (ja) | ネットワーク認証システム、ネットワーク認証装置、ネットワーク認証方法、及びネットワーク認証プログラムネットワーク認証装置の負荷分散方法 | |
JP3154679U (ja) | 中継機器及びネットワークシステム | |
CN112469043B (zh) | 一种鉴权的方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
CP03 | Change of name, title or address |