网络认证方法及系统
技术领域
本发明涉及一种通信技术领域,特别是涉及一种网络认证方法及系统。
背景技术
当前无线网络的覆盖范围越来越大,手机等移动终端设备也越来越普及,通过WiFi(WIreless-FIdelity)上网成为当前的主流方式,传统的无线网络管理模式AC(AccessController或Wireless Access Point Controller,接入控制器)与AP(Wireless AccessPoint,无线访问接入点)部署在本地,属于同一个LAN(Local Area Network,局域网)网络的集中式管理,并且AP的数据业务全部由AC控制和转发,因此终端漫游时,所有终端仍然在同一LAN网络中的Radius服务器进行认证。但是当终端用户每次漫游切换时,都会发起Portal认证请求,用户输入用户名密码或短信认证,从而严重影响了用户的使用体验。
为此,现有的无线漫游无感知认证建立在同一LAN网络管理模式下,通过Radius服务器在第一次Portal认证时,预先将终端MAC地址与用户名密码建立绑定关系。当用户终端由于漫游切换要求第二次Portal认证时,通过预先绑定终端的认证关系,AP、AC和Radius服务器自动参于并完成Portal认证,从而使用户体验到无感知认证(即漫游免认证),大大提升了用户的体验。而且,由于传统模式下AP与AC由于在同一LAN网络,认证报文的转发延时非常小,认证报文转发效率高。
当云端AC部署WLAN网络时,AC部署在公有云服务器上,与AP不在同一LAN网络中,并且云端AC只对AP有管理功能,AP的数据业务并不由云端AC控制和转发。同时,云端AC还集成了认证服务功能,可以跨Internet网实现远程认证。
在云端AC下,若仍然沿用传统模式下的漫游无感知认证,AP与云端AC之间产生频繁的认证交互会严重影响到用户的漫游体验。这是由于,在云端AC模式下,AP与云端AC跨公网传输,当网络状态很差时,认证报文的转发延时会成倍增加,甚至会丢包,从而造成用户在漫游时切换很慢,甚至漫游失败,严重影响了用户的漫游体验。
发明内容
鉴于以上所述现有技术的缺点,本发明的目的在于提供一种网络认证方法及系统,用于解决现有技术中网络认证时延时长,易发生丢包、认证效率低的问题。
为实现上述目的及其他相关目的,本发明提供一种网络认证方法,所述网络认证方法包括以下步骤:云端AC建立漫游群,并将同一个漫游群中AP划分到同一个二层组播域中,所述漫游群包括两个以上AP,所述AP包括其所在漫游群的本地认证列表;在站点向目标AP发出认证请求时,判断所述目标AP的本地认证列表中是否包括所述目标AP所在漫游群中AP与所述站点的关联认证信息;若是,则所述站点通过认证。
于本发明的一实施例中,在站点向目标AP发出认证请求时,若所述目标AP的本地认证列表中不包括所述目标AP所在漫游群中AP与所述站点的关联认证信息,则所述站点向所述云端AC发送Portal认证请求。
于本发明的一实施例中,在所述站点向所述云端AC发送Portal认证请求时,若认证通过,则形成所述目标AP与所述站点的关联认证信息,并将所形成的关联认证信息存储于所述目标AP的本地认证列表中。
于本发明的一实施例中,在云端AC建立漫游群,并将同一个漫游群中AP划分到同一个二层组播域中之后,所述网络认证方法还包括:所述云端AC将所述漫游群的漫游群ID以及所述二层组播域的广播域局域网ID通知所述漫游群中所有AP,所述漫游群ID与所述广播域局域网ID一一对应。
于本发明的一实施例中,所述关联认证信息包括AP的特征码与站点的MAC地址的关联关系。
于本发明的一实施例中,所述关联认证信息还包括与所述站点的MAC地址对应的站点状态,所述站点状态包括有效状态、中间状态和无效状态;在AP收到站点的关联请求时,将与发送关联请求的站点对应的关联认证信息中站点状态修改为有效状态;在AP收到站点的解关联请求时,将与发送关联请求的站点对应的关联认证信息中站点状态修改为中间状态;在关联认证信息中站点状态处于中间状态的时间超过第一时间阈值时,将关联认证信息中站点的站点状态修改为无效状态。
于本发明的一实施例中,所述网络认证方法还包括每隔第二时间阈值更新所述AP的本地认证列表;每隔第二时间阈值更新所述AP的本地认证列表包括:每隔第二时间阈值所述AP向其所在漫游群中所有AP发送二层组播报文,所述二层组播报文包括发送所述二层组播报文的AP与站点状态为中间状态和有效状态的站点的关联认证信息以及发送所述二层组播报文的AP所在漫游群的漫游群ID;漫游群中各个AP接收二层组播报文,并根据所述二层组播报文中的漫游群ID确认是否与发送所述二层组播报文的AP处于同一漫游群;若是,则将二层组播报文中关联认证信息添加至其本地认证列表,并记录所添加关联认证信息对应的广播域局域网ID。
于本发明的一实施例中,所述网络认证方法还包括:若AP在第三时间阈值范围内未向其所在漫游群中所有AP发送二层组播报文,则所述漫游群中其他AP删除其本地认证列表中包括该AP的关联认证信息。
相应的,本发明还提供了一种网络认证系统,所述网络认证系统包括:云端AC,用于建立漫游群,并将同一个漫游群中AP划分到同一个二层组播域中,所述漫游群包括两个以上AP;AP,包括其所在漫游群的本地认证列表,所述AP用于接收站点发送的认证请求,并判断本地认证列表中是否包括其所在漫游群中AP与所述站点的关联认证信息;以及在本地认证列表中包括其所在漫游群中AP与所述站点的关联认证信息时,使所述站点通过认证;站点,用于向目标AP发送认证请求,以及在所述目标AP的本地认证列表中不包括所述目标AP所在漫游群中AP与所述站点的关联认证信息时,向所述云端AC发送Portal认证请求;所述目标AP还用于在所述站点通过所述Portal认证时,形成所述目标AP与所述站点的关联认证信息,并将所形成的关联认证信息存储于所述目标AP的本地认证列表中。
于本发明的一实施例中,所述云端AC进一步包括:漫游群建立单元,用于建立漫游群,并将同一个漫游群中AP划分到同一个二层组播域中;认证单元,用于接收站点的Portal认证请求,对站点的用户信息进行验证。
于本发明的一实施例中,所述AP进一步包括:存储单元,用于存储所述AP所在漫游群的本地认证列表;认证请求接收单元,用于接收站点发送的认证请求;认证验证单元,与所述认证请求接收单元和存储单元连接,用于判断本地认证列表中是否包括其所在漫游群中AP与所述站点的关联认证信息,以及用于在本地认证列表中包括其所在漫游群中AP与所述站点的关联认证信息时,使所述站点通过认证。
于本发明的一实施例中,所述云端AC还包括群信息发送单元,用于将所述漫游群的漫游群ID以及二层组播域的广播域局域网ID通知所述漫游群中所有AP,所述漫游群ID与所述广播域局域网ID一一对应;所述AP还包括群信息接收单元,用于接收所述AP所在漫游群的漫游群ID以及二层组播域的广播域局域网ID;所述存储单元与所述群信息接收单元连接,所述存储单元还用于存储所述AP所在漫游群的漫游群ID以及二层组播域的广播域局域网ID。
于本发明的一实施例中,所述关联认证信息包括AP的特征码与站点的MAC地址的关联关系以及与所述站点的MAC地址对应的站点状态;所述站点状态包括有效状态、中间状态和无效状态;所述AP还包括:组播报文发送单元,与所述存储单元连接,用于每隔第二时间阈值向该AP所在漫游群中所有AP发送二层组播报文,所述二层组播报文包括发送所述二层组播报文的AP与站点状态为中间状态和有效状态的站点的关联认证信息以及该AP所在漫游群的漫游群ID;组播报文接收单元,用于接收该AP所述漫游群中AP发送的二层组播报文;关联请求接收单元,用于接收站点的关联请求和解关联请求;列表更新单元,与所述存储单元、组播报文接收单元和关联请求接收单元连接,用于在所述关联请求接收单元收到站点的关联请求时,将关联认证信息中对应站台的站点状态修改为有效状态;用于在所述关联请求接收单元收到站点的解关联请求时,将关联认证信息中对应站台的站点状态修改为中间状态;以及用于在关联认证信息中站点状态处于中间状态的时间超过第一时间阈值时,将关联认证信息中站点的站点状态修改为无效状态;所述列表更新单元还用于在据所述二层组播报文中的漫游群ID确认该AP与发送所述二层组播报文的AP处于同一漫游群时,则将二层组播报文中关联认证信息添加至所述AP的本地认证列表,以及记录所添加关联认证信息对应的广播域局域网ID。
于本发明的一实施例中,所述列表更新单元还用于在第三时间阈值范围内未收到漫游群中AP发送的二层组播报文时,删除本地认证列表中包括该AP的关联认证信息。
如上所述,本发明的网络认证方法及系统,具有以下有益效果:
云端AC建立漫游群,并将同一个漫游群中AP划分到同一个二层组播域中,从而在站点向目标AP发出认证请求时,先判断所述目标AP的本地认证列表中是否包括所述目标AP所在漫游群中AP与所述站点的关联认证信息;并在所述目标AP的本地认证列表中包括所述目标AP所在漫游群中AP与所述站点的关联认证信息时,站点通过认证。在云端AC与AP处于不同的局域网时,当站点通过漫游群中一个AP的认证时,将认证成功的结果以关联认证信息的形式通知其所在漫游群中其他AP,从而在站点漫游至漫游群中其他AP时,根据其本地认证列表中的关联认证信息使该站点直接通过认证,无需云端AC参与二次Portal认证,避免从远端云端AC获取认证信息,减少了跨公网认证求请的过程,提高了认证效率,实现站点的无感认证。
附图说明
图1显示为本发明网络认证方法的于一实施例中的流程示意图。
图2显示为本发明网络认证系统的于一实施例中的结构示意图。
图3显示为本发明网络认证系统的于一实施例中的云端AC的结构示意图。
图4显示为本发明网络认证系统的于一实施例中的AP的结构示意图。
元件标号说明
1 网络认证系统
21 云端AC
22 漫游群
221、222、223 AP
3 云端AC
31 漫游群建立单元
32 认证单元
33 群信息发送单元
4 AP
41 存储单元
42 认证请求接收单元
43 认证验证单元
44 群信息接收单元
45 组播报文发送单元
46 组播报文接收单元
47 关联请求接收单元
48 列表更新单元
S11~S16 步骤
具体实施方式
以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。
需要说明的是,以下实施例中所提供的图示仅以示意方式说明本发明的基本构想,遂图式中仅显示与本发明中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制,其实际实施时各组件的型态、数量及比例可为一种随意的改变,且其组件布局型态也可能更为复杂。
当云端AC与AP处于不同的局域网时,云端AC建立漫游群,并将同一个漫游群中AP划分自同一个二层组播域中;在站点通过漫游群中一个AP认证之后,形成该AP与站点的关联认证信息;并将所形成的关联认证信息通过二层组播的方式发送至漫游群中所有AP;从而在站点漫游至所述漫游群中其他AP时,根据其他AP的本地认证列表中关联认证信息使局部直接通过认证,避免局部向云端AC进行二次Portal认证,避免从远端云端AC获取认证信息,减少了跨公网认证求请的过程,提高了认证效率,实现站点的无感认证。
请参阅图1,本发明提供一种网络认证方法的流程示意图。图1中网络认证方法包括:
步骤S11,云端AC建立漫游群,并将同一个漫游群中AP划分到同一个二层组播域中。此时,云端AC与每一个AP建立TCP管理通道,从而对AP实现管理。
本实施例中,所述漫游群包括两个以上AP,所述AP包括其所在漫游群的本地认证列表。
具体的,每个漫游群包括的AP的数量不宜过大,可默认32个AP。一般的,在一个二层组播域中只包括一个漫游群,每个漫游群只有一个群主。某一个AP可能处于两个二层组播域中,即AP可能处于两个漫游群中;但同一个二层组播域中,不可能包括两个漫游群。同一个漫游群内所有AP通过二层组播通信。
步骤S12,站点向目标AP发出认证请求。
步骤S13,判断所述目标AP的本地认证列表中是否包括所述目标AP所在漫游群中AP与所述站点的关联认证信息。
在步骤S13中,若所述目标AP的本地认证列表中包括所述目标AP所在漫游群中AP与所述站点的关联认证信息,则执行步骤S14;若所述目标AP的本地认证列表中不包括所述目标AP所在漫游群中AP与所述站点的关联认证信息,则执行步骤S15,所述站点向所述云端AC发送Portal认证请求;然后执行步骤S16,在Portal认证通过时,形成所述目标AP与所述站点的关联认证信息,并将所形成的关联认证信息存储于所述目标AP的本地认证列表中。
本实施例中,云端AC建立漫游群,并将同一个漫游群中AP划分到同一个二层组播域中,从而在站点向目标AP发出认证请求时,先判断所述目标AP的本地认证列表中是否包括所述目标AP所在漫游群中AP与所述站点的关联认证信息;并在所述目标AP的本地认证列表中包括所述目标AP所在漫游群中AP与所述站点的关联认证信息时,站点通过认证。在云端AC与AP处于不同的局域网时,当站点通过漫游群中一个AP的认证时,将认证成功的结果以关联认证信息的形式通知其所在漫游群中其他AP,从而在站点漫游至漫游群中其他AP时,根据其本地认证列表中的关联认证信息使该站点直接通过认证,无需云端AC参与二次Portal认证,避免从远端云端AC获取认证信息,减少了跨公网认证求请的过程,提高了认证效率,实现站点的无感认证。
在一个实施例中,在云端AC建立漫游群,并将同一个漫游群中AP划分到同一个二层组播域中之后,所述网络认证方法还包括:所述云端AC将所述漫游群的漫游群ID以及所述二层组播域的广播域局域网ID通知所述漫游群中所有AP,所述漫游群ID与所述广播域局域网ID一一对应。云端AC将漫游群ID和广播域局域网ID通知漫游群内所有AP的同时,漫游群内AP同步切换到漫游认证模式。
在另一个实施例中,所述关联认证信息包括AP的特征码(SN)与站点的MAC地址(STA MAC)的关联关系。例如可记录为<AP SN,STA MAC>。所述关联认证信息还包括与所述站点的MAC地址对应的站点状态,所述站点状态包括有效状态、中间状态和无效状态。
具体的,在AP收到站点的关联请求时,将与发送关联请求的站点对应的关联认证信息中站点状态修改为有效状态;在AP收到站点的解关联请求时,将与发送关联请求的站点对应的关联认证信息中站点状态修改为中间状态;在关联认证信息中站点状态处于中间状态的时间超过第一时间阈值时,将关联认证信息中站点的站点状态修改为无效状态。
具体的,所述站点可按IEEE802.11标准协议与所述AP解除关联。
本实施例中,所述网络认证方法还包括每隔第二时间阈值更新所述AP的本地认证列表。每隔第二时间阈值更新所述AP的本地认证列表具体包括:
每隔第二时间阈值所述AP向其所在漫游群中所有AP发送二层组播报文,所述二层组播报文包括发送所述二层组播报文的AP与站点状态为中间状态和有效状态的站点的关联认证信息以及发送所述二层组播报文的AP所在漫游群的漫游群ID;
漫游群中各个AP接收二层组播报文,并根据所述二层组播报文中的漫游群ID确认是否与发送所述二层组播报文的AP处于同一漫游群;若是,则将二层组播报文中关联认证信息添加至其本地认证列表,并记录所添加关联认证信息对应的广播域局域网ID。
本实施例中,在将二层组播报文中关联认证信息添加至其本地认证列表时,还记录所添加关联认证信息对应的广播域局域网ID。从而在一个AP处于不同的漫游群中,便于区分不同漫游群的关联认证信息。
具体的,所述第二时间阈值可为第一时间阈值的整数倍,从而在更新本地认证列表时对关联认证信息中的站点的站点状态进行修改。
与第一个实施例相比,本实施例仅对站点状态处于有效状态和中间状态的关联认证信息以二层组播报文的形式向漫游群中所有AP进行组播,从而筛选去除站点状态为无效状态的关联认证信息,减少不必要的二层组播报文传输,提高报文传输速率,提高认证效率。
在另一个实施例中,所述网络认证方法还包括:若AP在第三时间阈值范围内未向其所在漫游群中所有AP发送二层组播报文,则所述漫游群中其他AP删除其本地认证列表中包括该AP的关联认证信息。
具体的,所述第三时间阈值可为第一时间阈值的整数倍,从而在更新本地认证列表时对本地认证列表中的关联认证信息进行筛选,使AP的本地认证列表实现老化机制,从而在网络认证过程中,判断本地认证列表中是否包括漫游群中其他AP与所述站点的关联认证信息时,减少信息筛选量,提高认证效率。
请参阅图2,为本发明网络认证系统的于一实施例中的结构示意图。图2中网络认证系统2包括:
云端AC21,用于建立漫游群22,并将同一个漫游群22中AP221和AP222划分到同一个二层组播域中,所述漫游群22包括两个AP;
AP221和AP222均包括其所在漫游群22的本地认证列表,所述AP221(或者AP222)用于接收站点发送的认证请求,并判断本地认证列表中是否包括其所在漫游群中AP222(或者AP221)与所述站点的关联认证信息;以及在本地认证列表中包括其所在漫游群中AP222(或者AP221)与所述站点的关联认证信息时,使所述站点通过认证;
站点(图未示),用于向目标AP(AP221或者AP222)发送认证请求,以及在所述目标AP(AP221或者AP222)的本地认证列表中不包括所述目标AP(AP221或者AP222)所在漫游群中AP(AP222或者AP221)与所述站点的关联认证信息时,向所述云端AC21发送Portal认证请求;
所述目标AP(AP221或者AP222)还用于在所述站点通过所述Portal认证时,形成所述目标AP(AP221或者AP222)与所述站点的关联认证信息,并将所形成的关联认证信息存储于所述目标AP(AP221或者AP222)的本地认证列表中。
本实施例中,所述漫游群22包括两个AP(AP221和AP222),所述AP221和AP222均包括其所在漫游群22的本地认证列表。
在其他实施例中,所述漫游群22还可包括两个以上AP,如包括三个、四个、十个AP,但不限于此。
具体的,每个漫游群包括的AP的数量不宜过大,可默认32个AP。一般的,在一个二层组播域中只包括一个漫游群,每个漫游群只有一个群主。某一个AP可能处于两个二层组播域中,即AP可能处于两个漫游群中;但同一个二层组播域中,不可能包括两个漫游群。同一个漫游群内所有AP通过二层组播通信。以图2为例,云端AC所管理的AP221、AP222和AP223三个AP,AP222或AP221还可能与AP223处于另一个二层组播域中,形成另一个漫游群。
本实施例中,所述站点用于移动终端(如手机、平板电脑等)与AP进行连接。
本实施例中,在云端AC与AP处于不同的局域网时,当站点通过漫游群中一个AP的认证时,将认证成功的结果以关联认证信息的形式通知其所在漫游群中其他AP,从而在站点漫游至漫游群中其他AP时,根据其本地认证列表中的关联认证信息使该站点直接通过认证,无需云端AC参与二次Portal认证,避免从远端云端AC获取认证信息,减少了跨公网认证求请的过程,提高了认证效率,实现站点的无感认证。
请参阅图3,显示为本发明网络认证系统的于一实施例中的云端AC的结构示意图。图3中云端AC3包括:
漫游群建立单元31,用于建立漫游群,并将同一个漫游群中AP划分到同一个二层组播域中;
认证单元32,用于接收站点的Portal认证请求,对站点的用户信息进行验证;
群信息发送单元33,与所述漫游群建立单元31连接,用于将所述漫游群的漫游群ID以及二层组播域的广播域局域网ID通知所述漫游群中所有AP,所述漫游群ID与所述广播域局域网ID一一对应。
在另一个实施例中,所述云端AC3还可不包括所述群信息发送单元33。
请参阅图4,为本发明网络认证系统的于一实施例中的AP的结构示意图。本实施例中,所述关联认证信息包括AP的特征码与站点的MAC地址的关联关系以及与所述站点的MAC地址对应的站点状态(可记录为<AP SN,STA MAC>);所述站点状态包括有效状态、中间状态和无效状态;图4中AP4包括:
存储单元41,用于存储所述AP所在漫游群的本地认证列表;
认证请求接收单元42,用于接收站点发送的认证请求;
认证验证单元43,与所述认证请求接收单元42和存储单元41连接,用于判断本地认证列表中是否包括其所在漫游群中AP与所述站点的关联认证信息,以及用于在本地认证列表中包括其所在漫游群中AP与所述站点的关联认证信息时,使所述站点通过认证;
群信息接收单元44,与所述存储单元41连接,用于接收所述AP所在漫游群的漫游群ID以及二层组播域的广播域局域网ID;所述存储单元41还用于存储所述AP所在漫游群的漫游群ID以及二层组播域的广播域局域网ID;
组播报文发送单元45,与所述存储单元41连接,用于每隔第二时间阈值向该AP所在漫游群中所有AP发送二层组播报文,所述二层组播报文包括发送所述二层组播报文的AP与站点状态为中间状态和有效状态的站点的关联认证信息以及该AP所在漫游群的漫游群ID;
组播报文接收单元46,用于接收该AP所述漫游群中AP发送的二层组播报文;
关联请求接收单元47,用于接收站点的关联请求和解关联请求;
列表更新单元48,与所述存储单元41、组播报文接收单元46和关联请求接收单元47连接,用于在所述关联请求接收单元47收到站点的关联请求时,将关联认证信息中对应站台的站点状态修改为有效状态;用于在所述关联请求接收单元47收到站点的解关联请求时,将关联认证信息中对应站台的站点状态修改为中间状态;以及用于在关联认证信息中站点状态处于中间状态的时间超过第一时间阈值时,将关联认证信息中站点的站点状态修改为无效状态;所述列表更新单元48还用于在据所述二层组播报文中的漫游群ID确认该AP与发送所述二层组播报文的AP处于同一漫游群时,则将二层组播报文中关联认证信息添加至所述AP的本地认证列表,以及记录所添加关联认证信息对应的广播域局域网ID。
本实施例中,所述列表更新单元48在将二层组播报文中关联认证信息添加至其本地认证列表时,还记录所添加关联认证信息对应的广播域局域网ID。从而在一个AP处于不同的漫游群中,便于区分不同漫游群的关联认证信息。
本实施例中网络认证系统仅对站点状态处于有效状态和中间状态的关联认证信息以二层组播报文的形式向漫游群中所有AP进行组播,从而筛选去除站点状态为无效状态的关联认证信息,减少不必要的二层组播报文传输,提高报文传输速率,提高认证效率。
在再一个实施例中,所述列表更新单元48还用于在第三时间阈值范围内未收到漫游群中AP发送的二层组播报文时,删除本地认证列表中包括该AP的关联认证信息。使AP的本地认证列表实现老化机制,从而在网络认证过程中,判断本地认证列表中是否包括漫游群中其他AP与所述站点的关联认证信息时,减少信息筛选量,提高认证效率。
综上所述,本发明网络认证方法及系统,在云端AC与AP处于不同的局域网时,当站点通过漫游群中一个AP的认证时,将认证成功的结果以关联认证信息的形式通知其所在漫游群中其他AP,从而在站点漫游至漫游群中其他AP时,根据其本地认证列表中的关联认证信息使该站点直接通过认证,无需云端AC参与二次Portal认证,避免从远端云端AC获取认证信息,减少了跨公网认证求请的过程,提高了认证效率,实现站点的无感认证。所以,本发明有效克服了现有技术中的种种缺点而具高度产业利用价值。
上述实施例仅例示性说明本发明的原理及其功效,而非用于限制本发明。任何熟悉此技术的人士皆可在不违背本发明的精神及范畴下,对上述实施例进行修饰或改变。因此,举凡所属技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变,仍应由本发明的权利要求所涵盖。