CN107483558B - 一种云端平台对ap配置管理和对无线终端接入控制的方法 - Google Patents

Abstract

本发明通过在云端应用服务器上模拟AC对AP的控制报文，设备侧（AP）与云端平台之间建立加密隧道，AP和云端平台之间采用的隧道协议为WT隧道协议，AP软件中运行WT隧道协议的客户端，实现软AC的主要功能：AP配置管理和终端无线接入控制，其优点是硬件扩容成本大大降低，只需要对服务器扩容，通过软AC，解决原来硬件AC功能调整不灵活的限制，组网方式更为简单灵活，本发明亮点在平台在云端部署，可降低部署和维护成本，设备和业务管理一体化，业务耦合度高，便于新功能开发，设备即插即用，上电即可开通，主动注册和下发配置，另外，本发明的技术方案基于互联网接入，架构灵活，有利于快速部署和跨地域组网。

Description

一种云端平台对AP配置管理和对无线终端接入控制的方法

技术领域

本发明设计互联网技术领域，尤其涉及一种云端平台对AP配置管理和对无线终端接入控制的方法。

背景技术

传统AC+AP的组网实现AP配置管理和终端接入控制的模式，代价较高，组网灵活性不强，硬件扩容成本相对来说较高，且传统的硬件AC功能调整机制比较僵化，调整不够灵活，本设计属于无线W-Fi通讯领域，设备侧（AP）与云端平台通过建立加密隧道，实现对AP进行配置管理和对终端进行无线接入控制。

发明内容

本发明旨在提供一种云端平台对AP配置管理和对无线终端接入控制的方法。

为实现上述技术目的，本发明采用以下技术方案，一种云端平台对AP配置管理和对无线终端接入控制的方法，设备侧（AP）与云端平台之间建立加密隧道，AP和云端平台之间采用的隧道协议为WT隧道协议，AP软件中运行WT隧道协议的客户端，WT隧道协议是一个通用协议，可以在UDP中封装以太网帧和IP包，在UDP传输头和封装的报文之间填充WT隧道头，隧道头包含：通用报文头，紧跟在UDP传输头后面，控制报文和数据报文都有；数据平面报文头：在数据平面协议报文中，紧跟在通用报文头后面，封装用户的数据报文；

通用报文头包括：1）协议通用报文头，通用报文头固定长度为10个字节，控制消息和数据消息都包含通用报文头，通用报文头包含如下字段：Tunnel ID（TID）：隧道标准，对于管理业务平台，TID标识唯一的AP连接，业务平台和AP之间的上下行交互报文均采用相同的TID，TID由AP在连接建立时随机设置，长度为8个字节，也可由业务平台修改；Versionfield（VER）：WT协议版本，目前设置为1；Tunnel Type（TT）：WT隧道协议类型，该位决定隧道承载的是L3（IP包）报文还是L2（以太网帧）报文，设置为0表示承载L2层报文，1表示承载L3层报文， TT默认设置为0；Message Plane（MP）：承载消息类型，表示WT协议报文承载的是控制平面报文还是数据平面报文，MP设置为0，标识承载的是数据平面报文，设置为1标识承载的是控制平面报文；

2）控制平面报文子头，在通用报文头中，设置MP为1，即表示该报文是控制平面报文，对于控制平面报文，通用报文头中的TT没有意义。控制报文子头格式如下：SequenceNumber（序列号）：控制报文序列号，即会话ID，用以标识与业务平台的响应报文的匹配，长度为2个字节；Message Type（消息类型）：标识控制消息的类型，紧跟着控制平面报文子头后面的是TLV格式的信息元素，信息元素类型占1个字节，信息元素长度是2个字节，信息元素的个数和长度取决于消息类型；

上述AP和云端平台之间的WT协议中的所有的消息元素都是以TLV格式封装，TLV格式为消息元素通用格式，格式如下：Type（类型）：信息元素类型，占用1个字节；Length（长度）：信息元素长度，占用2个字节，bit15位保留；Value（信息元素值）：信息元素内容；

云端平台对AP进行配置管理和对无线终端接入控制包括以下步骤：

步骤S1、AP与云端平台进行初始化连接，AP向平台发起加入请求消息，消息类型为（0x00），加入请求消息携带了AP型号、当前软件版本、AP序列号、Node ID、IP地址、AP隶属用户、AP位置信息和认证挑战、认证响应元素；

步骤S2、云端平台向AP发出加入响应消息，由云端平台发给AP，消息类型为（0x01），该消息通用报头中的TID与平台收到的加入请求消息中的TID一致，加入响应消息包括Tunnel ID（隧道ID）、Keep-alive Parameter（保活参数）、Keep-Alive-Idle-Timer（保活空闲定时器）、Keep-Alive-Absoulte-Timer（保活绝对定时器）、Keep-Alive-Retransmit-Timer（重发定时器）、Keep-Alive-Max-Attempts（隧道拆毁后的最大尝试次数）、节点ID、认证挑战和认证响应元素，其中Keep-alive Parameter（保活参数）、Keep-Alive-Idle-Timer（保活空闲定时器）、Keep-Alive-Absoulte-Timer（保活绝对定时器）、Keep-Alive-Retransmit-Timer（重发定时器）、Keep-Alive-Max-Attempts（隧道拆毁后的最大尝试次数）是云端平台为AP端设置的Keep-Alive服务的各项参数，AP与云端平台完成初始化连接后进入步骤S3进行AP的配置；

步骤S3、AP向云端平台发送配置请求消息，消息类型为（0x02），携带AP工作模式、发现方式和AP的射频状态元素；

步骤S4、云端平台根据步骤S3的配置请求消息向AP发送配置请求响应消息，消息类型为（0x03），携带Configuration（配置信息）元素，由云端平台下发AP的各种配置，完成AP与平台的初步连接，然后AP会根据步骤S2中设定的各项保活参数向云端平台发送保活消息，消息类型为（0x04），携带Timestamp（时间戳）和RTT Report（往返时间报告）元素，其作用如下：(1)若隧道穿越NAT设备或者防火墙，使用保活消息可保持隧道的连接；(2)检查隧道是否正常；(3)测量AP和业务平台之间的往返时间（RTT）；

步骤S5、云端平台收到保活消息后向AP发送保活响应消息，消息类型为（0x05），携带Timestamp（时间戳），该消息中的时间戳是接收到保活消息中的Timestamp，AP根据收到保活响应消息中的Timestamp来计算RTT时间，并在下一次保活消息中发送给云端平台，信息元素长度为4个字节，若需要更新版本，则平台发送的保活响应消息携带新版本信息返回给AP，保活响应信息中带有一个类型为（0x31）的元素，这个元素标识云端平台的控制元素，控制元素分为命令通知和配置通知，信息长度占用2个字节，信息元素内容为command，其中command为01为升级命令通知、command为02为配置通知、command为03为重启命令通知、command为04为恢复出厂设置命令通知、command为05为ACL通知，若AP收到配置通知，则发送更新配置请求消息，进入步骤S6，若AP收到命令通知，则发送命令请求消息，获取命令，进入步骤S8；

步骤S6、AP收到配置通知，配置通知值为（0x02），然后AP向云端平台发送更新配置请求消息，带0x032元素，值为0x02，携带新的AP工作模式、发现方式和AP的射频状态元素；

步骤S7、云端平台收到更新配置请求消息后向AP发送更新配置响应消息，完成AP的更新配置；

步骤S8、AP收到命令通知，则向云端平台发送命令请求消息，获取命令，命令通知和命令请求消息包括升级命令，值为(0x01)，该AP命令请求消息带0x032号元素，值为0x01；重启命令，值为(0x03)，该AP命令请求消息带0x032号元素，值为0x03；恢复出厂设置命令，值为(0x04)，该AP命令请求消息带0x032号元素，值为0x04；

步骤S9、云端平台收到命令请求消息后向AP发送命令响应消息，完成命令通知，云端平台初步完成对AP的配置管理，进入步骤S10，无线终端用户开始访问网页；

步骤S10、无线终端用户开始访问网页，AP拦截http请求，将网页重新定向到平台认证页面；

步骤S11、用户访问云端平台，在web portal(AP带入AP-mac参数,AP-ip参数、AP-port参数、用户首次访问的网站地址)页面利用手机号(用户名)获取密码，云端平台记录用户、密码形成认证凭证；

步骤S12、用户点击“上网”按钮携带帐号、密码访问平台，同时加上前面带入的AP地址信息（AP-ip,AP-port），云端平台记录帐号和密码，同规则生成认证凭证，最后平台携带此认证凭证重新定向到AP提供的服务；

步骤S13、AP携带认证凭证、用户mac地址、AP的mac地址、用户首次访问页面请求平台鉴权；

步骤S14、平台首先判断是否有此AP的mac地址，且mac地址是否有效、再比较认证凭证是否与之前生成的认证凭证一致（携带的帐号和密码是否匹配），以上满足鉴权则通过，返回鉴权结果给AP，若不满足则不通过并返回鉴权结果和不通过的原因；

步骤S15、AP得到结果后，展示认证结果页面，若失败则在失败页面上携带失败原因编码；

上述AP与无线终端的连接由AP向云端平台发送事件请求消息，事件请求消息是AP需要及时上报的消息，包括无线终端的探测事件（probe）、关联事件（assoc）、用户上线（online）、用户下线（offline）、用户状态统计上报（counter）、无线终端关联的射频索引、无线终端关联的VAP索引、无线终端的MAC地址和无线终端的最小信号强度，云端平台对AP发出的事件请求消息只需回响应码即可，平台发回事件响应消息，事件响应消息的消息类型为（0x0c），元素类型为消息返回码0xff，信息元素内容为RetCode（返回码），0x04表示平台解析消息正确返回接收消息正常，0x05表示平台解析消息错误返回异常。

进一步地，其特征在于，AP向平台发起的加入请求消息具体包括：Node ID（节点ID）：在业务平台数据库中，每个AP至少有一个唯一的ID标识该WT客户端，在连接建立的时候，Node ID标识了该客户端，以AP的MAC地址来标识，信息元素长度8个字节；AuthChallenge（认证挑战）：为了认证AP，AP上产生一个随机字符串作为认证挑战，信息元素长度8个字节；Auth Response（认证响应）：认证响应，用共享密钥对认证挑战和Node ID做SHA-256加密的散列值，再用AP的私钥对加密结果做RSA签名，在业务平台的数据库中，保存了已连接的AP公钥和共享密钥，信息元素长度8个字节；Model（型号）：AP型号，信息元素长度N个字节；Version（版本）：AP当前的软件版本，信息元素长度N个字节；Serial（序列号）：AP的序列号；IP（AP的IP地址），信息元素长度4个字节；加入请求信息还包括如下两个可选信息： Customer（客户）：AP所属的客户；Location（位置）：AP所在地理位置。

进一步地，平台发给AP的加入响应消息具体包括：Tunnel ID（隧道ID）：当业务平台检测到AP的Tunnel ID冲突时，会重新分配一个新的Tunnel ID给AP，也可以由AP分配，信息元素长度8个字节，不同AP的隧道ID是不一样的，AP重启后会换隧道ID，与平台冲突时换TID；Keep-alive Parameter（保活参数）：业务平台给AP端设置的保活服务的参数；Keep-Alive-Idle-Timer: 保活空闲定时器，默认60秒，当从云平台接收到报文后，空闲定时器将被复位，一旦空闲定时器超时，AP将发送保活消息给云平台，来检查隧道是否正常；Keep-Alive-Absoulte-Timer: 保活绝对定时器，为确保RTT报告定期发送，绝对定时每次超时时，AP将发送保活消息，默认300秒；Keep-Alive-Retransmit-Timer:重发定时器，报文响应超时，默认5秒；Keep-Alive-Max-Attempts:隧道拆毁后的最大尝试次数，默认2次；Node ID（节点ID）：Node ID是AP的Node ID，AP在收到加入响应消息后，将提取出Node ID和自己的Node ID比较，若不一致则丢弃报文，信息元素长度8个字节；Auth Challenge（认证挑战）：为了认证云端平台，云端平台产生一个随机字符串作为认证挑战，信息元素长度8个字节；Auth Response（认证响应）：认证响应是认证挑战的应答，业务平台用共享密钥对挑战字符串和Node ID做SHA-256加密的散列值，再用业务平台的私钥对加密结果做RSA签名，得出认证响应，AP上必须预置好业务平台的公钥和共享密钥，用户校验云端平台的响应，信息元素长度8个字节。

进一步地，步骤S3中AP发送的配置请求消息包括：Mode（模式）：Mode表示AP的工作模式，可设置AP工作在路由或者桥接模式，默认是桥接模式；Discover Type（发现方式）：业务平台可设置AP的发现方式，默认是DHCP获取地址连接业务平台；Radio Sate（射频状态）：表示AP上的射频状态。

进一步地，步骤S4中发送的保活消息携带以下元素：Timestamp（时间戳）：以毫秒表示的时间戳，记录消息被发送的时间，信息元素长度4个字节；RTT Report（往返时间报告）：RTT（Round Trip Time，往返时间）是发送测量的最近的往返时间，单位是毫秒，RTT值是保活消息发送的时间戳和收到保活响应消息的时间戳的差值，保活消息中的Timestamp会在服务器的响应报文保活响应消息中返回回来，RTT初始设置为0.4个字节。

进一步地，步骤S8收到的命令通知为升级命令通知，则升级命令响应消息携带升级方式、升级服务器地址、升级服务器端口、最新版本号、升级文件、用户名和密码元素，依次如下：升级方式：ftp或者tftp，元素类型为（0x24），信息元素长度2个字节，元素内容为upgrade_type；升级服务器地址，元素类型为（0x25），信息元素长度2个字节，元素内容为server_addr；升级服务器端口，元素类型为（0x26），信息元素长度2个字节，元素内容为server_port；最新版本号，元素类型为（0x27），信息元素长度2个字节，元素内容为major、minor和revision；升级文件：文件大小和文件名，元素类型为（0x28），信息元素长度2个字节，元素内容为size和filename；用户名，元素类型为（0x29），信息元素长度2个字节，元素内容为username；密码，元素类型为（0x30），信息元素长度2个字节，元素内容为passwd；。

进一步地，步骤S13中AP向平台启动鉴权请求，携带有以下信息元素：token，认证凭证，由手机号+密码+VNOIDU$****$P$****$V$**字符串加密形成token；umac，无线终端用户的mac地址；uip，无线终端用户的IP地址；AP-mac，无线终端用户接入的AP的mac地址；uurl，用户首次访问的页面。

进一步地，管理平台发送AP的鉴权结果，携带的元素包括：umac，无线终端用户的mac地址；retcode，鉴权结果，accept/reject；uurl，用户首次访问的页面；reason，失败原因编码，001：未提供AP mac，即非授权的AP接入，002： mac地址未在平台注册，003：非注册用户，004：用户已被注销，005：用户名密码不匹配，006：非指定商户用户，007：TOKEN非法，000：系统内部错误，100 ：用户已达上限（AP判断添加）。

进一步地，AP上报的事件请求消息的消息码为0x0b，携带以下元素：Event Type（事件类型）：AP事件请求消息中的事件类型，0xa1表示无线终端探测事件（probe），0xa2表示无线终端的关联事件（assoc）, 0xa3表示用户上线（online），0xa4表示用户下线（offline）,0xa5表示用户状态统计上报（counter），此消息元素一次请求中只有一种上报至平台；Radio：无线终端关联的射频索引，信息元素长度1个字节；VAP：无线终端关联的VAP索引，信息元素长度1个字节；UE MAC：无线终端的MAC地址，信息元素长度6个字节；UERSSI：无线终端的最小信号强度，信息元素长度1个字节。

本发明通过在云端应用服务器上模拟AC对AP的控制报文，实现软AC的主要功能：AP配置管理和终端无线接入控制，其优点是硬件扩容成本大大降低，只需要对服务器扩容，通过软AC，解决原来硬件AC功能调整不灵活的限制，组网方式更为简单灵活，本发明亮点在平台在云端部署，可降低部署和维护成本，设备和业务管理一体化，业务耦合度高，便于新功能开发，设备即插即用，上电即可开通，主动注册和下发配置，另外，本发明的技术方案基于互联网接入，架构灵活，有利于快速部署和跨地域组网，同时本方案各层次接口清晰，可基于平台接口进行上下游业务开发。

附图说明

图1为本发明的流程图。

具体实施方式

下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本发明，而不能理解为对本发明的限制。

在本发明的描述中，除非另有规定和限定，需要说明的是，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是机械连接或电连接，也可以是两个元件内部的连通，可以是直接相连，也可以通过中间媒介间接相连。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语的具体含义。

下面参照图1描述根据本发明实施例的一种云端平台对AP配置管理和对无线终端接入控制的方法，设备侧（AP）与云端平台之间建立加密隧道，AP和云端平台之间采用的隧道协议为WT隧道协议，AP软件中运行WT隧道协议的客户端，WT隧道协议是一个通用协议，可以在UDP中封装以太网帧和IP包，在UDP传输头和封装的报文之间填充WT隧道头，隧道头包含：通用报文头，紧跟在UDP传输头后面，控制报文和数据报文都有；数据平面报文头：在数据平面协议报文中，紧跟在通用报文头后面，封装用户的数据报文；

通用报文头包括：1）协议通用报文头，通用报文头固定长度为10个字节，控制消息和数据消息都包含通用报文头，通用报文头包含如下字段：Tunnel ID（TID）：隧道标准，对于管理业务平台，TID标识唯一的AP连接，业务平台和AP之间的上下行交互报文均采用相同的TID，TID由AP在连接建立时随机设置，长度为8个字节，也可由业务平台修改；Versionfield（VER）：WT协议版本，目前设置为1；Tunnel Type（TT）：WT隧道协议类型，该位决定隧道承载的是L3（IP包）报文还是L2（以太网帧）报文，设置为0表示承载L2层报文，1表示承载L3层报文， TT默认设置为0；Message Plane（MP）：承载消息类型，表示WT协议报文承载的是控制平面报文还是数据平面报文，MP设置为0，标识承载的是数据平面报文，设置为1标识承载的是控制平面报文；

2）控制平面报文子头，在通用报文头中，设置MP为1，即表示该报文是控制平面报文，对于控制平面报文，通用报文头中的TT没有意义。控制报文子头格式如下：SequenceNumber（序列号）：控制报文序列号，即会话ID，用以标识与业务平台的响应报文的匹配，长度为2个字节；Message Type（消息类型）：标识控制消息的类型，紧跟着控制平面报文子头后面的是TLV格式的信息元素，信息元素类型占1个字节，信息元素长度是2个字节，信息元素的个数和长度取决于消息类型；

上述AP和云端平台之间的WT协议中的所有的消息元素都是以TLV格式封装，TLV格式为消息元素通用格式，格式如下：Type（类型）：信息元素类型，占用1个字节；Length（长度）：信息元素长度，占用2个字节，bit15位保留；Value（信息元素值）：信息元素内容；

云端平台对AP进行配置管理和对无线终端接入控制包括以下步骤：

步骤S1、AP与云端平台进行初始化连接，AP向平台发起加入请求消息，消息类型为（0x00），加入请求消息携带了AP型号、当前软件版本、AP序列号、Node ID、IP地址、AP隶属用户、AP位置信息和认证挑战、认证响应元素；

步骤S2、云端平台向AP发出加入响应消息，由云端平台发给AP，消息类型为（0x01），该消息通用报头中的TID与平台收到的加入请求消息中的TID一致，加入响应消息包括Tunnel ID（隧道ID）、Keep-alive Parameter（保活参数）、Keep-Alive-Idle-Timer（保活空闲定时器）、Keep-Alive-Absoulte-Timer（保活绝对定时器）、Keep-Alive-Retransmit-Timer（重发定时器）、Keep-Alive-Max-Attempts（隧道拆毁后的最大尝试次数）、节点ID、认证挑战和认证响应元素，其中Keep-alive Parameter（保活参数）、Keep-Alive-Idle-Timer（保活空闲定时器）、Keep-Alive-Absoulte-Timer（保活绝对定时器）、Keep-Alive-Retransmit-Timer（重发定时器）、Keep-Alive-Max-Attempts（隧道拆毁后的最大尝试次数）是云端平台为AP端设置的Keep-Alive服务的各项参数，AP与云端平台完成初始化连接后进入步骤S3进行AP的配置；

步骤S3、AP向云端平台发送配置请求消息，消息类型为（0x02），携带AP工作模式、发现方式和AP的射频状态元素；

步骤S4、云端平台根据步骤S3的配置请求消息向AP发送配置请求响应消息，消息类型为（0x03），携带Configuration（配置信息）元素，由云端平台下发AP的各种配置，完成AP与平台的初步连接，然后AP会根据步骤S2中设定的各项保活参数向云端平台发送保活消息，消息类型为（0x04），携带Timestamp（时间戳）和RTT Report（往返时间报告）元素，其作用如下：(1)若隧道穿越NAT设备或者防火墙，使用保活消息可保持隧道的连接；(2)检查隧道是否正常；(3)测量AP和业务平台之间的往返时间（RTT）；

步骤S5、云端平台收到保活消息后向AP发送保活响应消息，消息类型为（0x05），携带Timestamp（时间戳），该消息中的时间戳是接收到保活消息中的Timestamp，AP根据收到保活响应消息中的Timestamp来计算RTT时间，并在下一次保活消息中发送给云端平台，信息元素长度为4个字节，若需要更新版本，则平台发送的保活响应消息携带新版本信息返回给AP，保活响应信息中带有一个类型为（0x31）的元素，这个元素标识云端平台的控制元素，控制元素分为命令通知和配置通知，信息长度占用2个字节，信息元素内容为command，其中command为01为升级命令通知、command为02为配置通知、command为03为重启命令通知、command为04为恢复出厂设置命令通知、command为05为ACL通知，若AP收到配置通知，则发送更新配置请求消息，进入步骤S6，若AP收到命令通知，则发送命令请求消息，获取命令，进入步骤S8；

步骤S6、AP收到配置通知，配置通知值为（0x02），然后AP向云端平台发送更新配置请求消息，带0x032元素，值为0x02，携带新的AP工作模式、发现方式和AP的射频状态元素；

步骤S7、云端平台收到更新配置请求消息后向AP发送更新配置响应消息，完成AP的更新配置；

步骤S8、AP收到命令通知，则向云端平台发送命令请求消息，获取命令，命令通知和命令请求消息包括升级命令，值为(0x01)，该AP命令请求消息带0x032号元素，值为0x01；重启命令，值为(0x03)，该AP命令请求消息带0x032号元素，值为0x03；恢复出厂设置命令，值为(0x04)，该AP命令请求消息带0x032号元素，值为0x04；

步骤S9、云端平台收到命令请求消息后向AP发送命令响应消息，完成命令通知，云端平台初步完成对AP的配置管理，进入步骤S10，无线终端用户开始访问网页；

步骤S10、无线终端用户开始访问网页，AP拦截http请求，将网页重新定向到平台认证页面；

步骤S11、用户访问云端平台，在web portal(AP带入AP-mac参数,AP-ip参数、AP-port参数、用户首次访问的网站地址)页面利用手机号(用户名)获取密码，云端平台记录用户、密码形成认证凭证；

步骤S12、用户点击“上网”按钮携带帐号、密码访问平台，同时加上前面带入的AP地址信息（AP-ip,AP-port），云端平台记录帐号和密码，同规则生成认证凭证，最后平台携带此认证凭证重新定向到AP提供的服务；

步骤S13、AP携带认证凭证、用户mac地址、AP的mac地址、用户首次访问页面请求平台鉴权；

步骤S14、平台首先判断是否有此AP的mac地址，且mac地址是否有效、再比较认证凭证是否与之前生成的认证凭证一致（携带的帐号和密码是否匹配），以上满足鉴权则通过，返回鉴权结果给AP，若不满足则不通过并返回鉴权结果和不通过的原因；

步骤S15、AP得到结果后，展示认证结果页面，若失败则在失败页面上携带失败原因编码；

上述AP与无线终端的连接由AP向云端平台发送事件请求消息，事件请求消息是AP需要及时上报的消息，包括无线终端的探测事件（probe）、关联事件（assoc）、用户上线（online）、用户下线（offline）、用户状态统计上报（counter）、无线终端关联的射频索引、无线终端关联的VAP索引、无线终端的MAC地址和无线终端的最小信号强度，云端平台对AP发出的事件请求消息只需回响应码即可，平台发回事件响应消息，事件响应消息的消息类型为（0x0c），元素类型为消息返回码0xff，信息元素内容为RetCode（返回码），0x04表示平台解析消息正确返回接收消息正常，0x05表示平台解析消息错误返回异常。

进一步地，其特征在于，AP向平台发起的加入请求消息具体包括：Node ID（节点ID）：在业务平台数据库中，每个AP至少有一个唯一的ID标识该WT客户端，在连接建立的时候，Node ID标识了该客户端，以AP的MAC地址来标识，信息元素长度8个字节；AuthChallenge（认证挑战）：为了认证AP，AP上产生一个随机字符串作为认证挑战，信息元素长度8个字节；Auth Response（认证响应）：认证响应，用共享密钥对认证挑战和Node ID做SHA-256加密的散列值，再用AP的私钥对加密结果做RSA签名，在业务平台的数据库中，保存了已连接的AP公钥和共享密钥，信息元素长度8个字节；Model（型号）：AP型号，信息元素长度N个字节；Version（版本）：AP当前的软件版本，信息元素长度N个字节；Serial（序列号）：AP的序列号；IP（AP的IP地址），信息元素长度4个字节；加入请求信息还包括如下两个可选信息： Customer（客户）：AP所属的客户；Location（位置）：AP所在地理位置。

进一步地，平台发给AP的加入响应消息具体包括：Tunnel ID（隧道ID）：当业务平台检测到AP的Tunnel ID冲突时，会重新分配一个新的Tunnel ID给AP，也可以由AP分配，信息元素长度8个字节，不同AP的隧道ID是不一样的，AP重启后会换隧道ID，与平台冲突时换TID；Keep-alive Parameter（保活参数）：业务平台给AP端设置的保活服务的参数；Keep-Alive-Idle-Timer: 保活空闲定时器，默认60秒，当从云平台接收到报文后，空闲定时器将被复位，一旦空闲定时器超时，AP将发送保活消息给云平台，来检查隧道是否正常；Keep-Alive-Absoulte-Timer: 保活绝对定时器，为确保RTT报告定期发送，绝对定时每次超时时，AP将发送保活消息，默认300秒；Keep-Alive-Retransmit-Timer:重发定时器，报文响应超时，默认5秒；Keep-Alive-Max-Attempts:隧道拆毁后的最大尝试次数，默认2次；Node ID（节点ID）：Node ID是AP的Node ID，AP在收到加入响应消息后，将提取出Node ID和自己的Node ID比较，若不一致则丢弃报文，信息元素长度8个字节；Auth Challenge（认证挑战）：为了认证云端平台，云端平台产生一个随机字符串作为认证挑战，信息元素长度8个字节；Auth Response（认证响应）：认证响应是认证挑战的应答，业务平台用共享密钥对挑战字符串和Node ID做SHA-256加密的散列值，再用业务平台的私钥对加密结果做RSA签名，得出认证响应，AP上必须预置好业务平台的公钥和共享密钥，用户校验云端平台的响应，信息元素长度8个字节。

进一步地，步骤S3中AP发送的配置请求消息包括：Mode（模式）：Mode表示AP的工作模式，可设置AP工作在路由或者桥接模式，默认是桥接模式；Discover Type（发现方式）：业务平台可设置AP的发现方式，默认是DHCP获取地址连接业务平台；Radio Sate（射频状态）：表示AP上的射频状态。

进一步地，步骤S4中发送的保活消息携带以下元素：Timestamp（时间戳）：以毫秒表示的时间戳，记录消息被发送的时间，信息元素长度4个字节；RTT Report（往返时间报告）：RTT（Round Trip Time，往返时间）是发送测量的最近的往返时间，单位是毫秒，RTT值是保活消息发送的时间戳和收到保活响应消息的时间戳的差值，保活消息中的Timestamp会在服务器的响应报文保活响应消息中返回回来，RTT初始设置为0.4个字节。

进一步地，步骤S8收到的命令通知为升级命令通知，则升级命令响应消息携带升级方式、升级服务器地址、升级服务器端口、最新版本号、升级文件、用户名和密码元素，依次如下：升级方式：ftp或者tftp，元素类型为（0x24），信息元素长度2个字节，元素内容为upgrade_type；升级服务器地址，元素类型为（0x25），信息元素长度2个字节，元素内容为server_addr；升级服务器端口，元素类型为（0x26），信息元素长度2个字节，元素内容为server_port；最新版本号，元素类型为（0x27），信息元素长度2个字节，元素内容为major、minor和revision；升级文件：文件大小和文件名，元素类型为（0x28），信息元素长度2个字节，元素内容为size和filename；用户名，元素类型为（0x29），信息元素长度2个字节，元素内容为username；密码，元素类型为（0x30），信息元素长度2个字节，元素内容为passwd；。

进一步地，步骤S13中AP向平台启动鉴权请求，携带有以下信息元素：token，认证凭证，由手机号+密码+VNOIDU$****$P$****$V$**字符串加密形成token；umac，无线终端用户的mac地址；uip，无线终端用户的IP地址；AP-mac，无线终端用户接入的AP的mac地址；uurl，用户首次访问的页面。

进一步地，管理平台发送AP的鉴权结果，携带的元素包括：umac，无线终端用户的mac地址；retcode，鉴权结果，accept/reject；uurl，用户首次访问的页面；reason，失败原因编码，001：未提供AP mac，即非授权的AP接入，002： mac地址未在平台注册，003：非注册用户，004：用户已被注销，005：用户名密码不匹配，006：非指定商户用户，007：TOKEN非法，000：系统内部错误，100 ：用户已达上限（AP判断添加）。

进一步地，AP上报的事件请求消息的消息码为0x0b，携带以下元素：Event Type（事件类型）：AP事件请求消息中的事件类型，0xa1表示无线终端探测事件（probe），0xa2表示无线终端的关联事件（assoc）, 0xa3表示用户上线（online），0xa4表示用户下线（offline）,0xa5表示用户状态统计上报（counter），此消息元素一次请求中只有一种上报至平台；Radio：无线终端关联的射频索引，信息元素长度1个字节；VAP：无线终端关联的VAP索引，信息元素长度1个字节；UE MAC：无线终端的MAC地址，信息元素长度6个字节；UERSSI：无线终端的最小信号强度，信息元素长度1个字节。

本发明通过在云端应用服务器上模拟AC对AP的控制报文，实现软AC的主要功能：AP配置管理和终端无线接入控制，其优点是硬件扩容成本大大降低，只需要对服务器扩容，通过软AC，解决原来硬件AC功能调整不灵活的限制，组网方式更为简单灵活，本发明亮点在平台在云端部署，可降低部署和维护成本，设备和业务管理一体化，业务耦合度高，便于新功能开发，设备即插即用，上电即可开通，主动注册和下发配置，另外，本发明的技术方案基于互联网接入，架构灵活，有利于快速部署和跨地域组网，同时本方案各层次接口清晰，可基于平台接口进行上下游业务开发。

在本说明书的描述中，参考术语“一个实施例”、“示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。

尽管已经示出和描述了本发明的实施例，本领域的普通技术人员可以理解：在不脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由权利要求及其等同物限定。

Claims (9)

1.一种云端平台对AP配置管理和对无线终端接入控制的方法，其特征在于，设备侧即AP与云端平台之间建立加密隧道，AP和云端平台之间采用的隧道协议为WT隧道协议，AP软件中运行WT隧道协议的客户端，WT隧道协议是一个通用协议，可以在UDP中封装以太网帧和IP包，在UDP传输头和封装的报文之间填充WT隧道头，隧道头包含：通用报文头，紧跟在UDP传输头后面，控制报文和数据报文都有；数据平面报文头：在数据平面协议报文中，紧跟在通用报文头后面，封装用户的数据报文；

通用报文头包括：1)协议通用报文头，协议通用报文头固定长度为10个字节，控制消息和数据消息都包含协议通用报文头，协议通用报文头包含如下字段：Tunnel ID(TID)：隧道标准，对于云端平台，TID标识唯一的AP连接，云端平台和AP之间的上下行交互报文均采用相同的TID，TID由AP在连接建立时随机设置，长度为8个字节，也可由云端平台修改；Version field(VER)：WT协议版本，目前设置为1；Tunnel Type(TT)：WT隧道协议类型，该参数决定隧道承载的是L3(IP包)报文还是L2(以太网帧)报文，设置为0表示承载L2层报文，1表示承载L3层报文，TT默认设置为0；Message Plane(MP)：承载消息类型，表示WT协议报文承载的是控制平面报文还是数据平面报文，MP设置为0，标识承载的是数据平面报文，设置为1标识承载的是控制平面报文；

2)控制平面报文子头，在通用报文头中，设置MP为1，即表示该报文是控制平面报文子头，对于控制平面报文子头，通用报文头中的TT没有意义，控制平面报文子头格式如下：Sequence Number(序列号)：控制报文序列号，即会话ID，用以标识与云端平台的响应报文的匹配，长度为2个字节；Message Type(消息类型)：标识控制消息的类型，紧跟着控制平面报文子头后面的是TLV格式的信息元素，信息元素类型占1个字节，信息元素长度是2个字节，信息元素的个数和长度取决于消息类型；

上述AP和云端平台之间的WT协议中的所有的消息元素都是以TLV格式封装，TLV格式为消息元素通用格式，格式如下：Type(类型)：信息元素类型，占用1个字节；Length(长度)：信息元素长度，占用2个字节，bit15位保留；Value(信息元素值)：信息元素内容；

云端平台对AP进行配置管理和对无线终端接入控制包括以下步骤：

步骤S1、AP与云端平台进行初始化连接，AP向云端平台发起加入请求消息，消息类型为0x00，加入请求消息携带了AP型号、当前软件版本、AP序列号、Node ID、IP地址、AP隶属用户、AP位置信息和认证挑战、认证响应元素；

步骤S2、云端平台向AP发出加入响应消息，由云端平台发给AP，消息类型为0x01，该消息通用报头中的TID与云端平台收到的加入请求消息中的TID一致，加入响应消息包括Tunnel ID(隧道ID)、Keep-alive Parameter(保活参数)、Keep-Alive-Idle-Timer(保活空闲定时器)、Keep-Alive-Absoulte-Timer(保活绝对定时器)、Keep-Alive-Retransmit-Timer(重发定时器)、Keep-Alive-Max-Attempts(隧道拆毁后的最大尝试次数)、节点ID、认证挑战和认证响应元素，其中Keep-alive Parameter(保活参数)、Keep-Alive-Idle-Timer(保活空闲定时器)、Keep-Alive-Absoulte-Timer(保活绝对定时器)、Keep-Alive-Retransmit-Timer(重发定时器)、Keep-Alive-Max-Attempts(隧道拆毁后的最大尝试次数)是云端平台为AP端设置的Keep-Alive服务的各项参数，AP与云端平台完成初始化连接后进入步骤S3进行AP的配置；

步骤S3、AP向云端平台发送配置请求消息，消息类型为0x02，携带AP工作模式、发现方式和AP的射频状态元素；

步骤S4、云端平台根据步骤S3的配置请求消息向AP发送配置请求响应消息，消息类型为0x03，携带Configuration(配置信息)元素，由云端平台下发AP的各种配置，完成AP与云端平台的初步连接，然后AP会根据步骤S2中设定的各项保活参数向云端平台发送保活消息，消息类型为0x04，携带Timestamp(时间戳)和RTT Report(往返时间报告)元素；

步骤S5、云端平台收到保活消息后向AP发送保活响应消息，消息类型为0x05，携带Timestamp(时间戳)，该消息中的时间戳是接收到保活消息中的Timestamp，AP根据收到保活响应消息中的Timestamp来计算RTT时间，并在下一次保活消息中发送给云端平台，信息元素长度为4个字节，若需要更新版本，则云端平台发送的保活响应消息携带新版本信息返回给AP，保活响应信息中带有一个类型为0x31的元素，这个元素标识云端平台的控制元素，控制元素分为命令通知和配置通知，信息长度占用2个字节，信息元素内容为command，其中command为01为升级命令通知、command为02为配置通知、command为03为重启命令通知、command为04为恢复出厂设置命令通知、command为05为ACL通知，若AP收到配置通知，则发送更新配置请求消息，进入步骤S6，若AP收到命令通知，则发送命令请求消息，获取命令，进入步骤S8；

步骤S6、AP收到配置通知，配置通知值为0x02，然后AP向云端平台发送更新配置请求消息，带0x032元素，值为0x02，携带新的AP工作模式、发现方式和AP的射频状态元素；

步骤S7、云端平台收到更新配置请求消息后向AP发送更新配置响应消息，完成AP的更新配置；

步骤S8、AP收到命令通知，则向云端平台发送命令请求消息，获取命令，命令通知和命令请求消息包括升级命令，值为0x01，该AP命令请求消息带0x032号元素，值为0x01；重启命令，值为0x03，该AP命令请求消息带0x032号元素，值为0x03；恢复出厂设置命令，值为0x04，该AP命令请求消息带0x032号元素，值为0x04；

步骤S9、云端平台收到命令请求消息后向AP发送命令响应消息，完成命令通知，云端平台初步完成对AP的配置管理，进入步骤S10，无线终端用户开始访问网页；

步骤S10、无线终端用户开始访问网页，AP拦截http请求，将网页重新定向到云端平台认证页面；

步骤S11、用户访问云端平台，在web portal页面利用手机号作为用户名获取密码，所述web portal页面包括AP带入的AP-mac参数、AP-ip参数、AP-port参数、用户首次访问的网站地址，云端平台记录用户、密码形成认证凭证；

步骤S12、用户点击“上网”按钮携带帐号、密码访问云端平台，同时加上前面带入的AP地址信息即AP-ip、AP-port，云端平台记录帐号和密码，同规则生成认证凭证，最后云端平台携带此认证凭证重新定向到AP提供的服务；

步骤S13、AP携带认证凭证、用户mac地址、AP的mac地址、用户首次访问页面请求云端平台鉴权；

步骤S14、云端平台首先判断是否有此AP的mac地址，且mac地址是否有效、再比较认证凭证是否与之前生成的认证凭证一致即携带的帐号和密码是否匹配，满足以上条件则鉴权通过，返回鉴权结果给AP，若不满足则不通过并返回鉴权结果和不通过的原因；

步骤S15、AP得到结果后，展示认证结果页面，若失败则在失败页面上携带失败原因编码；

上述AP与无线终端的连接由AP向云端平台发送事件请求消息，事件请求消息是AP需要及时上报的消息，包括无线终端的probe(探测事件)、assoc(关联事件)、online(用户上线)、offline(用户下线)、counter(用户状态统计上报)、无线终端关联的射频索引、无线终端关联的Vap索引、无线终端的MAC地址和无线终端的最小信号强度，云端平台对AP发出的事件请求消息只需回响应码即可，云端平台发回事件响应消息，事件响应消息的消息类型为0x0c，元素类型为消息返回码0xff，信息元素内容为RetCode(返回码)，0x04表示云端平台解析消息正确返回接收消息正常，0x05表示云端平台解析消息错误返回异常。

2.根据权利要求1所述的方法，其特征在于，AP向云端平台发起的加入请求消息具体包括：Node ID(节点ID)：在云端平台数据库中，每个AP至少有一个唯一的ID标识WT客户端，在连接建立的时候，Node ID标识了WT隧道协议的客户端，以AP的MAC地址来标识，信息元素长度8个字节；Auth Challenge(认证挑战)：为了认证AP，AP上产生一个随机字符串作为认证挑战，信息元素长度8个字节；Auth Response(认证响应)：认证响应，用共享密钥对认证挑战和Node ID做SHA-256加密的散列值，再用AP的私钥对加密结果做RSA签名，在云端平台的数据库中，保存了已连接的AP公钥和共享密钥，信息元素长度8个字节；Model(型号)：AP型号，信息元素长度N个字节；Version(版本)：AP当前的软件版本，信息元素长度N个字节；Serial(序列号)：AP的序列号；IP即AP的IP地址，信息元素长度4个字节；加入请求信息还包括如下两个可选信息：Customer(客户)：AP所属的客户；Location(位置)：AP所在地理位置。

3.根据权利要求2所述的方法，其特征在于，云端平台发给AP的加入响应消息具体包括：Tunnel ID(隧道ID)：当云端平台检测到AP的Tunnel ID冲突时，会重新分配一个新的Tunnel ID给AP，也可以由AP分配，信息元素长度8个字节，不同ap的隧道ID是不一样的，ap重启后会换隧道ID，与云端平台冲突时换TID；Keep-alive Parameter(保活参数)：云端平台给AP端设置的保活服务的参数；Keep-Alive-Idle-Timer:保活空闲定时器，默认60秒，当从云端平台接收到报文后，空闲定时器将被复位，一旦空闲定时器超时，AP将发送保活消息给云端平台，来检查隧道是否正常；Keep-Alive-Absoulte-Timer:保活绝对定时器，为确保RTT报告定期发送，绝对定时每次超时时，AP将发送保活消息，默认300秒；Keep-Alive-Retransmit-Timer:重发定时器，报文响应超时，默认5秒；Keep-Alive-Max-Attempts:隧道拆毁后的最大尝试次数，默认2次；Node ID(节点ID)：Node ID是AP的Node ID，AP在收到加入响应消息后，将提取出Node ID和自己的Node ID比较，若不一致则丢弃报文，信息元素长度8个字节；Auth Challenge(认证挑战)：为了认证云端平台，云端平台产生一个随机字符串作为认证挑战，信息元素长度8个字节；Auth Response(认证响应)：认证响应是认证挑战的应答，云端平台用共享密钥对挑战字符串和Node ID做SHA-256加密的散列值，再用云端平台的私钥对加密结果做RSA签名，得出认证响应，AP上必须预置好云端平台的公钥和共享密钥，用户校验云端平台的响应，信息元素长度8个字节。

4.根据权利要求1所述的方法，其特征在于，步骤S3中AP发送的配置请求消息包括：Mode(模式)：Mode表示AP的工作模式，可设置AP工作在路由或者桥接模式，默认是桥接模式；Discover Type(发现方式)：云端平台可设置AP的发现方式，默认是DHCP获取地址连接云端平台；Radio Sate(射频状态)：表示AP上的射频状态。

5.根据权利要求1所述的方法，其特征在于，步骤S4中发送的保活消息携带以下元素：Timestamp(时间戳)：以毫秒表示的时间戳，记录消息被发送的时间，信息元素长度4个字节；RTT Report(往返时间报告)：RTT(Round Trip Time，往返时间)是发送测量的最近的往返时间，单位是毫秒，RTT值是保活消息发送的时间戳和收到保活响应消息的时间戳的差值，保活消息中的Timestamp会在服务器的响应报文保活响应消息中返回回来，RTT初始设置为0.4个字节。

6.根据权利要求1所述的方法，其特征在于，步骤S8收到的命令通知为升级命令通知，则升级命令响应消息携带升级方式、升级服务器地址、升级服务器端口、最新版本号、升级文件、用户名和密码元素，依次如下：升级方式：ftp或者tftp，元素类型为0x24，信息元素长度2个字节，元素内容为upgrade_type；升级服务器地址，元素类型为0x25，信息元素长度2个字节，元素内容为server_addr；升级服务器端口，元素类型为0x26，信息元素长度2个字节，元素内容为server_port；最新版本号，元素类型为0x27，信息元素长度2个字节，元素内容为major、minor和revision；升级文件：文件大小和文件名，元素类型为0x28，信息元素长度2个字节，元素内容为size和filename；用户名，元素类型为0x29，信息元素长度2个字节，元素内容为username；密码，元素类型为0x30，信息元素长度2个字节，元素内容为passwd。

7.根据权利要求1所述的方法，其特征在于，步骤S13中AP向云端平台启动鉴权请求，携带有以下信息元素：token，认证凭证，由手机号+密码+VNOIDU$****$P$****$V$**字符串加密形成token；umac，无线终端用户的mac地址；uip，无线终端用户的IP地址；AP-mac，无线终端用户接入的AP的mac地址；uurl，用户首次访问的页面。

8.根据权利要求1所述的方法，其特征在于，云端平台发送AP的鉴权结果，携带的元素包括：umac，无线终端用户的mac地址；retcode，鉴权结果，accept/reject；uurl，用户首次访问的页面；reason，失败原因编码，001：未提供ap mac，即非授权的AP接入，002：mac地址未在云端平台注册，003：非注册用户，004：用户已被注销，005：用户名密码不匹配，006：非指定商户用户，007：TOKEN非法，000：系统内部错误，100：用户已达上限，所述用户已达上限通过AP判断添加。

9.根据权利要求1所述的方法，其特征在于，AP上报的事件请求消息的消息码为0x0b，携带以下元素：Event Type(事件类型)：AP事件请求消息中的事件类型，0xa1表示无线终端probe(探测事件)，0xa2表示无线终端的assoc(关联事件),0xa3表示online(用户上线)，0xa4表示offline(用户下线),0xa5表示counter(用户状态统计上报)，此消息元素一次请求中只有一种上报至云端平台；Radio：无线终端关联的射频索引，信息元素长度1个字节；Vap：无线终端关联的Vap索引，信息元素长度1个字节；UE MAC：无线终端的MAC地址，信息元素长度6个字节；UE RSSI：无线终端的最小信号强度，信息元素长度1个字节。

Images