CN115278660A - 接入认证方法、装置及系统 - Google Patents

Abstract

公开了一种接入认证方法、装置及系统，属于无线通信技术领域。AP在获取与AP关联的STA的用户认证信息后，根据无线控制器与认证服务器之间的对接参数配置信息生成认证请求报文，该认证请求报文包括用户认证信息，认证请求报文的源地址为AP的地址，认证请求报文的目的地址为认证服务器的地址。然后AP向无线控制器发送该认证请求报文。无线控制器对该认证请求报文进行网络地址转换处理后即可发送给认证服务器，减小了无线控制器的计算开销，通过多AP实现分布式认证，缓解了无线控制器的计算压力，使得多AP能够配合无线控制器满足大规模用户的并发接入认证需求，提高了认证系统的整体性能。

Description

接入认证方法、装置及系统

技术领域

本申请涉及无线通信技术领域，特别涉及一种接入认证方法、装置及系统。

背景技术

无线局域网(wireless local area network，WLAN)用户接入认证是一种基于用户的安全接入管理机制，根据用户认证信息对WLAN用户进行访问控制。WLAN通常采用包括接入点(access point，AP)和接入控制器(access control，AC)的网络架构，AC通过无线接入点控制与配置协议(control and provisioning of wireless access pointsprotocol，CAPWAP)对WLAN中的AP进行统一管理。

目前WLAN中一般由AC作为WLAN用户的接入认证点，由AC获取AP上关联的WLAN用户终端的用户认证信息，并和认证服务器一起完成对WLAN用户的认证。其中，WLAN用户终端也可称为站点(station，STA)。

但是，随着AP集中大量的部署，AC需要认证的WLAN用户的数量越来越多，由于AC的计算资源有限，目前无法满足大规模用户的并发接入认证需求。

发明内容

本申请提供了一种接入认证方法、装置及系统，可以解决目前无法满足大规模用户的并发接入认证需求的问题。

第一方面，提供了一种接入认证方法。该方法包括：AP获取与AP关联的STA的用户认证信息。AP根据无线控制器与认证服务器之间的对接参数配置信息生成认证请求报文，该认证请求报文包括用户认证信息，认证请求报文的源地址为AP的地址，认证请求报文的目的地址为认证服务器的地址。AP向无线控制器发送认证请求报文。

本申请中，由AP获取与该AP关联的STA的用户认证信息，并根据无线控制器与认证服务器之间的对接参数配置信息生成认证请求报文，然后将该认证请求报文发送给无线控制器。无线控制器对该认证请求报文进行网络地址转换处理后即可发送给认证服务器，减小了无线控制器的计算开销，在不改变现有WLAN部署方式的情况下，通过多AP实现分布式认证，缓解了无线控制器的计算压力，使得多AP能够配合无线控制器满足大规模用户的并发接入认证需求，提高了认证系统的整体性能。

可选地，对接参数配置信息包括无线控制器与认证服务器之间的安全参数和报文封装信息。其中，安全参数包括无线控制器与认证服务器之间的密钥，该密钥通常为共享密钥。该密钥包括数据密钥和/或消息鉴别码密钥。报文封装信息用于指示无线控制器向认证服务器发送的报文具体携带哪些属性，各个属性的封装格式以及哪些属性需要加密等。

可选地，认证请求报文包括RADIUS报文，例如RADIUS报文可以是认证请求报文的内层报文。RADIUS报文的NAS-IP地址字段的值为无线控制器的地址。

可选地，认证请求报文还包括目标指示，目标指示用于指示无线控制器对认证请求报文进行网络地址转换处理。可选地，目标指示在认证请求报文的CAPWAP头中，该目标指示用于指示无线控制器对认证请求报文中的内层报文进行网络地址转换处理。

本申请中，通过在AP发送的认证请求报文的CAPWAP头中携带目标指示，无线控制器解析完该认证请求报文的CAPWAP头即可确定是否需要对内层报文进行网络地址转换处理，可以提高无线控制器的处理效率。

可选地，AP向无线控制器发送认证请求报文的实现过程，包括：AP通过CAPWAP隧道向无线控制器发送认证请求报文。

可选地，AP还接收来自无线控制器的加密后的对接参数配置信息。AP采用该AP与无线控制器之间的安全参数解密该加密后的对接参数配置信息，以得到该对接参数配置信息。

本申请中，无线控制器将与认证服务器之间的对接参数配置信息加密后发送给AP，可以降低对接参数配置信息在传输过程中被窃取的风险，提高该对接参数配置信息的传输安全性，进而提高接入认证系统的认证可靠性。

第二方面，提供了一种接入认证方法。该方法包括：无线控制器接收来自AP的第一认证请求报文，该第一认证请求报文包括目标指示以及与AP关联的STA的用户认证信息，目标指示用于指示无线控制器对第一认证请求报文进行网络地址转换处理，第一认证请求报文的源地址为AP的地址，第一认证请求报文的目的地址为认证服务器的地址。无线控制器基于该目标指示对第一认证请求报文进行网络地址转换处理，以得到第二认证请求报文，该第二认证请求报文的源地址为无线控制器的地址，该第二认证请求报文的目的地址为认证服务器的地址。无线控制器向认证服务器发送第二认证请求报文。

本申请中，通过在AP发送的报文中携带目标指示，无线控制器解析该报文可以确定是否需要对该报文进行网络地址转换处理，可以将认证报文与其它数据报文或业务报文区分开。

可选地，无线控制器中存储有网络地址转换表，该网络地址转换表包括AP的地址和AP的端口号跟无线控制器的端口号之间的映射关系。

可选地，网络地址转换表还包括无线控制器的地址，则该网络地址转换表包括AP的地址和AP的端口号跟无线控制器的地址和无线控制器的端口号之间的映射关系。

可选地，AP与无线控制器之间通过CAPWAP隧道通信。网络地址转换表中AP的地址包括CAPWAP头中AP的地址和/或内层报文头中AP的地址。例如，网络地址转换表包括CAPWAP头中AP的地址、内层报文头中AP的地址和AP的端口号跟无线控制器的端口号之间的映射关系。或者，网络地址转换表包括CAPWAP头中AP的地址、内层报文头中AP的地址和AP的端口号跟无线控制器的地址无线控制器的端口号之间的映射关系。

可选地，第一认证请求报文包括RADIUS报文，RADIUS报文的NAS-IP地址字段的值为无线控制器的地址。

可选地，无线控制器接收来自AP的第一认证请求报文的实现过程，包括：无线控制器通过CAPWAP隧道接收来自AP的第一认证请求报文，目标指示在第一认证请求报文的CAPWAP头中。

本申请中，通过在AP发送的认证请求报文的CAPWAP头中携带目标指示，无线控制器解析完该认证请求报文的CAPWAP头即可确定是否需要对内层报文进行网络地址转换处理，可以提高无线控制器的处理效率。

可选地，无线控制器采用该无线控制器与AP之间的安全参数加密该无线控制器与认证服务器之间的对接参数配置信息。无线控制器向AP发送加密后的该对接参数配置信息。

可选地，对接参数配置信息包括无线控制器与认证服务器之间的安全参数和报文封装信息。

第三方面，提供了一种AP。所述AP包括多个功能模块，所述多个功能模块相互作用，实现上述第一方面及其各实施方式中的方法。所述多个功能模块可以基于软件、硬件或软件和硬件的结合实现，且所述多个功能模块可以基于具体实现进行任意组合或分割。

第四方面，提供了一种无线控制器。所述无线控制器包括多个功能模块，所述多个功能模块相互作用，实现上述第二方面及其各实施方式中的方法。所述多个功能模块可以基于软件、硬件或软件和硬件的结合实现，且所述多个功能模块可以基于具体实现进行任意组合或分割。

第五方面，提供了一种接入点，包括：处理器和收发器；

所述处理器，用于调用计算机程序，协同所述收发器实现上述第一方面及其各实施方式中的方法。

第六方面，提供了一种无线控制器，包括：处理器和收发器；

所述处理器，用于调用计算机程序，协同所述收发器实现上述第二方面及其各实施方式中的方法。

第七方面，提供了一种接入认证系统，包括：如第三方面或第五方面所述的接入点，如第四方面或第六方面所述的无线控制器，以及认证服务器；其中，所述无线控制器与所述认证服务器连接。

第八方面，提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有指令，当所述指令被接入点的处理器执行时，实现上述第一方面及其各实施方式中的方法；或者，当所述指令被无线控制器的处理器执行时，实现上述第二方面及其各实施方式中的方法。

第九方面，提供了一种芯片，芯片包括可编程逻辑电路和/或程序指令，当芯片运行时，实现上述第一方面及其各实施方式中的方法或上述第二方面及其各实施方式中的方法。

附图说明

图1是本申请实施例提供的一种接入认证系统的结构示意图；

图2是本申请实施例提供的一种接入认证方法的流程示意图；

图3是本申请实施例提供的一种认证请求报文的结构示意图；

图4是本申请实施例提供的一种封装有CAPWAP头的认证请求报文的结构示意图；

图5是对图4示出的认证请求报文进行网络地址转换处理的过程示意图；

图6是本申请实施例提供的一种认证响应报文的结构示意图；

图7是对图6示出的认证响应报文进行网络地址转换处理的过程示意图；

图8是本申请实施例提供的一种封装有CAPWAP头的认证响应报文的结构示意图；

图9是本申请实施例提供的一种AP的结构示意图；

图10是本申请实施例提供的另一种AP的结构示意图；

图11是本申请实施例提供的一种无线控制器的结构示意图；

图12是本申请实施例提供的另一种无线控制器的结构示意图；

图13是本申请实施例提供的一种AP的框图；

图14是本申请实施例提供的一种无线控制器的框图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请实施方式作进一步地详细描述。

AAA是认证(authentication)、授权(authorization)和计费(accounting)的简称。运营商通过AAA系统认证用户身份后，根据用户开户时所申请的服务类别授予相应的权限。当用户使用网络资源时，AAA系统中的相应设备统计用户所占用的资源，并收取相应的费用。

目前，WLAN用户接入认证通常采用IEEE802.1X认证方式。802.1X认证，是可扩展认证协议(extensible authentication protocol，EAP)认证的一种应用，主要目的是为了解决局域网(local area network，LAN)用户接入认证问题。802.1X协议是一种基于接口的网络接入控制协议。“基于接口的网络接入控制”是指，在局域网接入设备的接口这一级，接入设备通过认证来控制用户对网络资源的访问。

在802.1X认证系统中，通常采用基于“客户端”、“接入设备”和“认证服务器”的三方认证机制。客户端是位于局域网段一端的一个实体，一般为用户终端，用户可以通过启动客户端软件发起802.1X认证。接入设备是位于局域网段一端的另一个实体，用于对所连接的客户端进行认证。接入设备通常为支持802.1X协议的网络设备，它为客户端提供接入局域网的接口。认证服务器与接入设备对接，认证服务器是为接入设备提供认证服务的实体。认证服务器用于对用户进行认证、授权和计费。认证服务器通常为远程访问拨号用户服务(remote authentication dial in user service，RADIUS)服务器。在WLAN中，客户端可以是STA，接入设备可以是无线控制器。

其中，客户端支持局域网上的可扩展认证协议(extensible authenticationprotocol over LAN，EAPOL)。802.1X认证系统使用EAP来实现客户端、接入设备和认证服务器之间认证信息的交换，各实体之间EAP报文的交互形式如下：在客户端与接入设备之间，EAP报文使用EAPOL封装格式，并直接承载于LAN环境中。在接入设备与认证服务器之间，可以使用EAP中继方式或EAP终结方式来交换EAP报文。以认证服务器为RADIUS服务器为例，EAP中继方式是指，EAP报文由接入设备进行中继，接入设备使用RADIUS协议封装EAP报文，得到EAPOR(EAP over RADIUS)报文，并将该EAPOR报文发送给RADIUS服务器进行认证。EAP终结方式是指，接入设备将用户认证信息封装在RADIUS报文中，与RADIUS服务器之间采用密码验证协议(password authentication protocol，PAP)或质询握手验证协议(challenge handshake authentication protocol，CHAP)方式进行认证，即接入设备与RADIUS服务器之间采用包含PAP或CHAP属性的RADIUS报文进行认证交互。客户端、接入设备与认证服务器之间的具体认证过程可参考802.1X协议，本申请实施例在此不再赘述。

由于目前用户接入认证处理流程大多在接入设备上完成，受限于接入设备的计算资源，目前无法满足大规模用户的并发接入认证需求。对此，本申请实施例提供了一种针对WLAN用户的接入认证方法，在由无线控制器作为认证点与认证服务器连接的场景下，由AP获取与该AP关联的STA的用户认证信息，并根据无线控制器与认证服务器之间的对接参数配置信息生成认证请求报文，然后将该认证请求报文发送给无线控制器。无线控制器对该认证请求报文进行网络地址转换(network address translation，NAT)处理后即可发送给认证服务器，减小了无线控制器的计算开销，在不改变现有WLAN部署方式的情况下，通过多AP实现分布式认证，缓解了无线控制器的计算压力，使得多AP能够配合无线控制器满足大规模用户的并发接入认证需求，提高了认证系统的整体性能。

图1是本申请实施例提供的一种接入认证系统的结构示意图。如图1所示，该接入认证系统包括：AP101A-101C(统称为AP 101)、无线控制器102和认证服务器103。图中AP的数量仅用作示例性说明，不作为对本申请实施例提供的接入认证系统的限制。

AP 101为具有WLAN芯片或WLAN片上系统(system on a chip，SoC)芯片的网络设备。例如AP 101可以是路由器或交换机等。本申请实施例中的AP 101可以是瘦AP(fit AP)。AP用于为与该AP关联的STA提供基于WLAN协议的无线接入服务。STA为具有WLAN芯片的无线终端，例如STA可以是智能手机、笔记本电脑或智能可穿戴设备等。

无线控制器102也可称为WLAN控制器。当AP 101与无线控制器102之间通过CAPWAP隧道通信时，该无线控制器102可以是接入控制器。例如，无线控制器102具体可以是交换机或网关等接入设备。多个AP 101分别与无线控制器102有线连接。无线控制器102用于管理AP 101。无线控制器102的职责是根据STA当前的认证状态控制其与网络的连接状态。无线控制器102通常有两种类型的端口：受控端口(controlled Port)和非受控端口(uncontrolled Port)。其中，连接在受控端口的设备只有通过认证才能访问网络资源。而连接在非受控端口的设备无须经过认证便可以直接访问网络资源。本申请实施例中，STA通过AP 101连接在无线控制器102的受控端口上，以便实现对WLAN用户的接入控制。认证服务器103连接在无线控制器102的非受控端口上，以便保证认证服务器103与无线控制器102之间的正常通讯。

认证服务器103可以是一个服务器，或者可以是包含多个服务器的服务器集群，又或者可以是云计算平台。认证服务器103用于在认证过程中与无线控制器102配合，为WLAN用户提供认证服务。认证服务器103通常为RADIUS服务器。RADIUS服务器用于对WLAN用户进行RADIUS认证。认证服务器103中可以存储有用户名及密码，以及相应的授权信息。认证服务器103可以向多个无线控制器102提供认证服务，这样就可以实现对WLAN用户的集中管理。认证服务器103还用于管理从无线控制器102发来的审计数据等。

本申请实施例中，认证服务器103与无线控制器102连接，即认证服务器103被配置为与无线控制器102进行认证交互。无线控制器102中设置有与认证服务器103之间的对接参数配置信息。可选地，无线控制器102与认证服务器103之间的对接参数配置信息包括无线控制器102与认证服务器103之间的安全参数和报文封装信息。

其中，安全参数包括无线控制器102与认证服务器103之间的密钥，该密钥通常为共享密钥(即对称密钥)。无线控制器102与认证服务器103之间的密钥可以包括数据密钥和/或消息鉴别码密钥。数据密钥用于对发送端欲传输给接收端的原始数据进行加解密。例如，发送端可以采用数据密钥对报文的载荷(payload)字段进行加密，相应地，接收端采用该数据密钥对报文的载荷字段进行解密。消息鉴别码密钥用于生成消息鉴别码，消息鉴别码用于认证消息的完整性(未被篡改)和可靠性(不是伪造的虚假数据)。报文封装信息用于指示无线控制器102向认证服务器103发送的报文具体携带哪些属性，各个属性的封装格式以及哪些属性需要加密等。

可选地，无线控制器102与认证服务器103之间的对接参数配置信息还包括认证服务器103的互联网协议(Internet Protocol，IP)地址和/或认证服务器103的端口号等。其中，该认证服务器103的端口号指的是认证服务器103用来与无线控制器102通信的端口的端口号。

本申请实施例中，认证服务器103与无线控制器102连接，即对于认证服务器103而言，认证点是无线控制器102。如果无线控制器102作为认证点，为了保证认证安全性和可靠性，该无线控制器102与认证服务器103之间的对接参数配置信息一般只会存储在无线控制器102中，无线控制器102不会将其告知给任何其它设备，以免有其它设备假冒认证点。而本申请实施例中，无线控制器102要想把接入认证处理流程分担给AP 101，则向AP 101发送该无线控制器102与认证服务器103之间的对接参数配置信息，也即是，无线控制器102需要告知AP 101在接入认证处理过程中所需使用的信息，进而由AP 101担任实际的认证点。

因此，本申请实施例在采用该接入认证系统对WLAN用户进行接入认证之前，无线控制器102可以采用该无线控制器102与AP 101之间的安全参数加密该无线控制器102与认证服务器103之间的对接参数配置信息，然后向AP 101发送加密后的该对接参数配置信息。AP 101在接到到来自无线控制器102的加密后的对接参数配置信息之后，采用该AP 101与无线控制器102之间的安全参数解密该加密后的对接参数配置信息，以得到无线控制器102与认证服务器103之间的对接参数配置信息。

可选地，AP 101与无线控制器102之间可以预先协商两者之间的安全参数或者可以预先配置两者之间的安全参数。AP 101与无线控制器102之间的安全参数可以是对称密钥，或者也可以是一对非对称密钥。

本申请实施例中，无线控制器将与认证服务器之间的对接参数配置信息加密后发送给AP，可以降低对接参数配置信息在传输过程中被窃取的风险，提高该对接参数配置信息的传输安全性，进而提高接入认证系统的认证可靠性。

在本申请实施例提供的接入认证系统中，无线控制器102可以配套支持集中式认证以及配合AP 101的分布式认证。无线控制器102支持集中式认证是指，采用目前的接入认证方法，由无线控制器102完成接入认证处理流程。无线控制器102配合AP 101支持分布式认证是指，采用本申请实施例提供的接入认证方法，由AP 101完成接入认证主体处理流程，无线控制器102负责汇总以及与认证服务器103连接。无线控制器102只向支持分布式认证的AP 101发送对接参数配置信息。例如在如图1所示的接入认证系统中，AP 101A和AP 101B支持分布式认证，AP 101C不支持分布式认证，则无线控制器102向AP 101A和AP 101B分别发送该无线控制器102与认证服务器103之间的对接参数配置信息，而与AP 101C关联的STA的接入认证处理流程由无线控制器102完成。

可选地，认证服务器为RADIUS服务器，则支持分布式认证的AP 101中可以配置有802.1X协议栈和RADIUS协议栈。

图2是本申请实施例提供的一种接入认证方法的流程示意图。该方法可以应用于如图1所示的接入认证系统中。如图2所示，该方法包括：

步骤201、AP获取与该AP关联的STA的用户认证信息。

在一种可能实现方式中，用户认证信息包括用户名和密码。AP接收STA发送的用户认证信息。该实现方式中，接入认证流程可以由STA触发，STA与AP关联成功后，STA主动向AP发送EAPOL开始(EAPOL-Start)帧触发认证。或者，接入认证流程也可以由AP触发，STA与AP关联成功后，AP主动向STA发送Identity类型的EAP请求(EAP-Request)帧(EAP-Request/Identity)来触发认证，若AP在设置的时长内没有收到STA的响应，则重发该帧。

在另一种可能实现方式中，用户认证信息包括STA的媒体访问控制(Media AccessControl，MAC)地址和/或IP地址。AP在接收到STA发送的帧后，主动从帧中提取STA的MAC地址和/或IP地址。

步骤202、AP根据无线控制器与认证服务器之间的对接参数配置信息生成第一认证请求报文。

该第一认证请求报文包括用户认证信息。该第一认证请求报文的源地址为AP的地址，该第一认证请求报文的目的地址为认证服务器的地址。该第一认证请求报文中的源端口号为AP的端口号，该第一认证请求报文中的目的端口号为认证服务器的端口号。该第一认证请求报文采用无线控制器与认证服务器之间的安全参数，基于无线控制器与认证服务器之间约定或协商的报文封装信息封装得到。例如，该第一认证请求报文中封装了无线控制器与认证服务器之间约定或协商的各个属性，并对协商需要加密的属性进行加密。

例如，AP的IP地址为1.1.1.1，AP用来与无线控制器通信的端口的端口号为1111。无线控制器的IP地址为2.2.2.2，无线控制器的端口号池统称为2222，其中包括用来与认证服务器通信的端口的端口号以及用来与AP通信的端口的端口号。认证服务器的IP地址为3.3.3.3，认证服务器用于与无线控制器通信的端口的端口号为1645。图3是本申请实施例提供的一种第一认证请求报文的结构示意图。如图3所示，该第一认证请求报文所采用的传输层协议为用户数据报协议(user datagram protocol，UDP)，源端口号为1111，目的端口号为1645，源IP地址为1.1.1.1，目的IP地址为3.3.3.3，并采用802.3协议实现MAC子层。第一认证请求报文还包括RADIUS载荷(payload)，用户认证信息在RADIUS载荷中。

AP作为向STA提供无线接入服务的设备，原本在STA的接入认证过程中只会转发STA与无线控制器之间的帧，而不会处理该帧。也就是由无线控制器获取STA的用户认证信息，并根据该无线控制器与认证服务器之间的对接参数配置信息生成认证请求报文的，显然AP也不会获取无线控制器与认证服务器之间的对接参数配置信息。而本申请为了降低无线控制器对STA进行接入认证的负担，由无线控制器将该无线控制器与认证服务器之间的对接参数配置信息发送给AP，并由AP根据该无线控制器与认证服务器之间的对接参数配置信息生成认证请求报文并向无线控制器发送该认证请求报文，后续无线控制器在获取来自AP的认证请求报文后，只需对该认证请求报文进行简单地网络地址转换处理即可得到能够向认证服务器发送的报文，很大程度上降低了无线控制器在接入认证过程中的处理负担。而对于认证服务器而言，该认证服务器与无线控制器连接，且在接入认证过程中只与无线控制器通信，二者之间的通信报文还都是根据无线控制器与该认证服务器之间的对接参数配置信息生成的，因此认证服务器并不会感知到实际的认证点转由AP担任了，也即是，对于认证服务器而言，认证点始终是无线控制器。因此，本申请提供的接入认证方法可以直接应用于认证服务器与无线控制器连接的场景，而无需改变认证服务器所连接的设备或部署方式。另外，如果认证服务器直接与AP连接，即对于认证服务器而言，由AP担任认证点，由于AP的数量远大于无线控制器的数量，那么需要与认证服务器进行认证交互的认证点的数量会剧增，导致认证服务器的通信负担较大。本申请提供的接入认证方法，维持认证服务器与无线控制器连接的原有部署方式，通过AP与无线控制器的配合实现了降低无线控制器对STA进行接入认证的负担，同时也不会增加认证服务器侧的认证点数量。

可选地，第一认证请求报文包括RADIUS报文。该RADIUS报文的网络接入服务(network access server，NAS)IP地址字段的值为无线控制器的地址。RADIUS报文的NAS-IP字段中的无线控制器的地址可以是无线控制器的IP地址。其中，第一认证请求报文可以包括内层报文以及封装在内层报文外部的外层报文头。RADIUS报文可以是第一认证请求报文中的内层报文。值得说明的是，本申请实施例提及的包含外层报文头和内层报文的认证请求报文，在没有特殊指明的情况下，该认证请求报文的源地址和目的地址均指的是内层报文的源地址和目的地址，该认证请求报文中的源端口号和目的端口号也均指的是内层报文中的源端口号和目的端口号。

可选地，第一认证请求报文包括目标指示。该目标指示用于指示无线控制器对该第一认证请求报文进行网络地址转换处理。

步骤203、AP向无线控制器发送第一认证请求报文。

可选地，AP通过CAPWAP隧道向无线控制器发送第一认证请求报文。则该第一认证请求报文包括CAPWAP头。AP在根据无线控制器与认证服务器之间的对接参数配置信息生成内层报文后，对该内层报文进行CAPWAP隧道封装得到第一认证请求报文，再向无线控制器发送该第一认证请求报文。CAPWAP头中的源地址为AP的地址，目的地址为无线控制器的地址。其中，CAPWAP头中AP的地址与内层报文头中AP的地址可以是同一个地址，也可以是不同的地址。

可选地，目标指示在该第一认证请求报文的CAPWAP头中。例如，图4是本申请实施例提供的一种封装有CAPWAP头的第一认证请求报文的结构示意图。其中，该第一认证请求报文中的内层报文为图3示出的报文。如图4所示，该第一认证请求报文的CAPWAP头中的源地址为1.1.1.1，目的地址为2.2.2.2。该第一认证请求报文的CAPWAP头中携带有作为目标指示的标志(flag)“NAT”，以指示无线控制器对该第一认证请求报文进行网络地址转换处理。

或者，AP也可以与无线控制器之间建立互联网安全协议(Internet ProtocolSecurity，IPSec)隧道，通过IPSec隧道向无线控制器发送第一认证请求报文。本申请实施例对AP与无线控制器之间用来传输认证报文的隧道的类型不做限定。

步骤204、无线控制器对第一认证请求报文进行网络地址转换处理，以得到第二认证请求报文。

该第二认证请求报文的源地址为无线控制器的地址，该第二认证请求报文的目的地址为认证服务器的地址。该第二认证请求报文中的源端口号为无线控制器的端口号，该第二认证请求报文中的目的端口号为认证服务器的端口号。无线控制器对该第一认证请求报文进行网络地址转换处理，也即是，无线控制器将第一认证请求报文中的源地址修改为该无线控制器的地址，并将第一认证请求报文中的源端口号修改为该无线控制器的端口号。

可选地，第一认证请求报文包括目标指示，无线控制器基于该目标指示对该第一认证请求报文进行网络地址转换处理。或者，无线控制器中配置有匹配规则，该匹配规则例如可以是访问控制列表(access control list，ACL)的形式。该匹配规则指示：对目的地址为认证服务器的地址和/或目的端口为认证服务器的端口的报文进行网络地址转换处理。对于未携带有目标指示，且目的地址不是认证服务器的报文，无线控制器接收到该报文后根据路由表对其进行正常转发。

可选地，无线控制器通过CAPWAP隧道接收到来自AP的第一认证请求报文后，先对该第一认证请求报文进行CAPWAP隧道解封装，剥离得到内层报文，再对该内层报文进行网络地址转换处理，得到第二认证请求报文。也即是，无线控制器除了对第一认证请求报文进行网络地址转换处理以外，还可以对该第一认证请求报文进行CAPWAP隧道解封装。

例如，图5是对图4示出的第一认证请求报文进行网络地址转换处理的过程示意图。如图5所示，转换后得到的第二认证请求报文中，源端口号为2222，目的端口号为1645，源IP地址为2.2.2.2，目的IP地址为3.3.3.3。

本申请实施例中，通过在AP发送的认证请求报文的CAPWAP头中携带目标指示，无线控制器解析完认证请求报文的CAPWAP头即可确定是否需要对内层报文进行网络地址转换处理，可以提高无线控制器的处理效率。

可选地，无线控制器中存储有网络地址转换表。该网络地址转换表包括AP的地址和AP的端口号跟无线控制器的端口号之间的映射关系，例如可以表示为：

其中，AP的端口号指的是AP用来向无线控制器发送认证请求报文的源端口的端口号和/或AP用来接收来自无线控制器的认证响应报文的目的端口的端口号。无线控制器的端口号指的是无线控制器用来向认证服务器发送认证请求报文的源端口的端口号和/或无线控制器用来接收来自认证服务器的认证响应报文的目的端口的端口号。

可选地，AP与无线控制器之间通过CAPWAP隧道通信，则网络地址转换表中AP的地址可以包括CAPWAP头中AP的地址和/或内层报文头中AP的地址。若CAPWAP头中AP的地址与内层报文头中AP的地址是同一个地址，则该网络地址转换表中包括AP的一个地址：CAPWAP头中AP的地址或内层报文头中AP的地址。若CAPWAP头中AP的地址与内层报文头中AP的地址是不同的地址，则该网络地址转换表中包括AP的两个地址：CAPWAP头中AP的地址和内层报文头中AP的地址。也即是，网络地址转换表包括CAPWAP头中AP的地址、内层报文头中AP的地址和AP的端口号跟无线控制器的端口号之间的映射关系，例如可以表示为：

对于多个地址相同的AP，通过CAPWAP隧道向无线控制器发送的报文的内层报文头中的源地址(AP的地址)相同，但CAPWAP头中的源地址(AP的地址)不同。本申请实施例中，通过在网络地址转换表中增加CAPWAP头中AP的地址，可以使无线控制器支持AP地址重叠场景下的网络地址转换。

可选地，网络地址转换表还包括无线控制器的地址，则网络地址转换表包括AP的地址和AP的端口号跟无线控制器的地址和无线控制器的端口号之间的映射关系，例如可以表示为：

或者，网络地址转换表包括CAPWAP头中AP的地址、内层报文头中AP的地址和AP的端口号跟无线控制器的地址和无线控制器的端口号之间的映射关系，例如可以表示为：

在一种实现方式中，网络地址转换表中同一AP对应的无线控制器的端口号是固定的。无线控制器可以在AP上线时针对该AP分配用来和认证服务器通信的固定端口号，提升后续无线控制器进行网络地址转换处理的性能。

在另一种实现方式中，网络地址转换表中各个AP对应的无线控制器的端口号是动态分配的。无线控制器接收到来自AP的认证请求报文后，建立会话表，该会话表包括申请到的无线控制器用来和认证服务器通信的端口的端口号，该会话表具有老化时长。无线控制器采用该会话表中该无线控制器的端口号，替换在该老化时长内接收到的来自该AP的认证请求报文中的源端口号。该实现方式中，无需改变AP上线流程，AP上线后即可接入STA；另外，在非并发场景下，不同AP在不同时段可以使用相同的端口，节约端口资源。

步骤205、无线控制器向认证服务器发送第二认证请求报文。

该第二认证请求报文包括用户认证信息。无线控制器通过与认证服务器通信的端口向认证服务器发送第二认证请求报文。

可选地，认证服务器在接收到无线控制器发送的第二认证请求报文之后，可以执行以下步骤206至步骤208。

步骤206、认证服务器基于第二认证请求报文中的用户认证信息对STA进行认证。

可选地，用户认证信息包括用户名和密码。认证服务器中存储有用户名和密码的对应关系，认证服务器可以验证用户认证信息中的用户名和密码的真实性。或者，用户认证信息包括MAC地址，认证服务器可以验证该MAC地址的真实性。

步骤207、认证服务器根据认证服务器与无线控制器之间的对接参数配置信息生成第一认证响应报文。

第一认证响应报文包括认证结果。该认证结果指示认证成功或认证失败。可选地，若认证结果指示认证成功，该第一认证响应报文还包括用户授权信息。该第一认证响应报文的源地址为认证服务器的地址，该第一认证响应报文的目的地址为无线控制器的地址。该第一认证响应报文中的源端口号为认证服务器的端口号，该第一认证请求报文中的目的端口号为无线控制器的端口号。

例如，请参考步骤202中的例子，图6是本申请实施例提供的一种第一认证响应报文的结构示意图。如图6所示，该第一认证响应报文所采用的传输层协议为UDP，源端口号为1645，目的端口号为2222，源IP地址为3.3.3.3，目的IP地址为2.2.2.2，并采用802.3协议实现MAC子层。第一认证响应报文还包括RADIUS载荷(payload)，认证结果在RADIUS载荷中。

步骤208、认证服务器向无线控制器发送第一认证响应报文。

认证服务器通过与无线控制器通信的端口向无线控制器发送第一认证响应报文。

步骤209、无线控制器对第一认证响应报文进行网络地址转换处理，以得到第二认证响应报文。

该第二认证响应报文的源地址为认证服务器的地址，该第二认证响应报文的目的地址为AP的地址。该第二认证响应报文中的源端口号为认证服务器的端口号，该第二认证响应报文中的目的端口号为AP的端口号。无线控制器对该第一认证响应报文进行网络地址转换处理，也即是，无线控制器将第一认证响应报文中的目的地址修改为AP的地址，并将第一认证响应报文中的目的端口号修改为AP的端口号。

例如，图7是对图6示出的第一认证响应报文进行网络地址转换处理的过程示意图。如图7所示，转换后得到的报文中，源端口号为1645，目的端口号为1111，源IP地址为3.3.3.3，目的IP地址为1.1.1.1。

步骤210、无线控制器向AP发送第二认证响应报文。

可选地，无线控制器通过CAPWAP隧道向AP发送第二认证响应报文。无线控制器对第一认证响应报文进行网络地址转换处理得到内层报文，并对该内层报文进行CAPWAP隧道封装得到第二认证响应报文，再向AP发送该第二认证响应报文。第二认证响应报文的CAPWAP头中的源地址为无线控制器的地址，目的地址为AP的地址。其中，CAPWAP头中AP的地址与内层报文头中AP的地址可以是同一个地址，也可以是不同的地址。值得说明的是，本申请实施例提及的包含外层报文头和内层报文的认证响应报文，在没有特殊指明的情况下，该认证响应报文的源地址和目的地址均指的是内层报文的源地址和目的地址，该认证响应报文中的源端口号和目的端口号也均指的是内层报文中的源端口号和目的端口号。

例如，图8是本申请实施例提供的一种封装有CAPWAP头的第二认证响应报文的结构示意图。其中，该第二认证响应报文中的内层报文为图7中经过网络地址转换得到的报文。如图8所示，CAPWAP头中的源地址为2.2.2.2，目的地址为1.1.1.1。

步骤211、响应于第二认证响应报文中的认证结果指示认证成功，AP向STA发送认证成功帧；或者，响应于第二认证响应报文中的认证结果指示认证失败，AP向STA发送认证失败帧。

AP通过CAPWAP隧道接收到来自无线控制器的第二认证响应报文后，先对接收到的第二认证响应报文进行CAPWAP隧道解封装，剥离得到内层报文，再解析该内层报文。若内层报文中的认证结果指示认证成功，AP向STA发送认证成功帧，AP还向无线控制器发送用户表项信息，该用户表项信息包括STA的标识与用户授权信息的对应关系，可以供无线控制器对STA进行流量管理和网络资源管理。若内层报文中的认证结果指示认证失败，AP向STA发送认证失败帧。

本申请以下实施例以用户认证信息包括用户名和密码为例，对本申请实施例提供的接入认证方法的实现过程进行示例性说明：

在S1中，AP向STA发送认证请求帧1，该认证请求帧用于请求获取STA的用户名。

可选地，该认证请求帧1为Identity类型的EAP请求帧(EAP-Request/Identity)。

在一种实现方式中，接入认证流程由STA触发。STA与AP关联成功后，当用户需要访问外部网络时打开STA上的802.1X客户端，输入已经申请、登记过的用户名和密码，发起连接请求。此时，STA通过802.1X客户端向AP发送EAPOL-Start帧，开启一次接入认证过程。AP接收到来自STA的EAPOL-Start帧后，向STA发送认证请求帧1，以请求获取STA的用户名。

在另一种实现方式，接入认证流程由AP触发。STA与AP关联成功后，AP主动向STA发送认证请求帧1，以请求获取STA的用户名。

在S2中，STA向AP发送基于该认证请求帧1的认证响应帧1，该认证响应帧1包括用户名。

可选地，该认证响应帧1为Identity类型的EAP响应(EAP-Response/Identity)帧。

在S3中，AP根据无线控制器与认证服务器之间的对接参数配置信息生成认证请求报文1，该认证请求报文1包括用户名。

可选地，该认证请求报文1包括RADIUS报文，该RADIUS报文例如可以是RADIUSAccess-Request报文。该认证请求报文1的源地址为AP的地址，该认证请求报文1的目的地址为认证服务器的地址。该认证请求报文1中的源端口号为AP的端口号，该认证请求报文1中的目的端口号为认证服务器的端口号。

在S4中，AP通过CAPWAP隧道向无线控制器发送认证请求报文1。

在S5中，无线控制器对认证请求报文1进行网络地址转换处理，以得到认证请求报文2。

该认证请求报文2的源地址为无线控制器的地址，该认证请求报文2的目的地址为认证服务器的地址。该认证请求报文2中的源端口号为无线控制器的端口号，该认证请求报文2中的目的端口号为认证服务器的端口号。

在S6中，无线控制器向认证服务器发送认证请求报文2，该认证请求报文2包括用户名。

在S7中，认证服务器根据存储的用户名与密码的对应关系，确定该认证请求报文2中的用户名对应的密码，采用随机生成的一个MD5 Challenge对该密码进行加密处理，以得到密码密文1；同时，根据该认证服务器与无线控制器之间的对接参数配置信息生成认证响应报文1，该认证响应报文1包括该MD5 Challenge。

可选地，该认证响应报文1为RADIUS报文，例如可以是RADIUS Access-Challenge报文。该认证响应报文1的源地址为认证服务器的地址，该认证响应报文1的目的地址为无线控制器的地址。该认证响应报文1中的源端口号为认证服务器的端口号，该认证请求报文1中的目的端口号为无线控制器的端口号。

在S8中，认证服务器向无线控制器发送认证响应报文1。

在S9中，无线控制器对认证响应报文1进行网络地址转换处理，以得到认证响应报文2。

该认证响应报文2的源地址为认证服务器的地址，该认证响应报文2的目的地址为AP的地址。该认证响应报文2中的源端口号为认证服务器的端口号，该认证响应报文2中的目的端口号为AP的端口号。

在S10中，无线控制器通过CAPWAP隧道向AP发送认证响应报文2。

该认证响应报文2包括该MD5 Challenge。

在S11中，AP向STA发送认证请求帧2，该认证请求帧2包括认证响应报文2中的MD5Challenge。

可选地，该认证请求帧2为MD5 Challenge类型的EAP请求帧(EAP-Request/MD5Challenge)。

在S12中，STA采用MD5 Challenge对用户认证信息中的密码进行加密处理，以得到密码密文2。

在S13中，STA向AP发送基于该认证请求帧2的认证响应帧2，该认证响应帧2包括密码密文2。

可选地，该认证响应帧2为MD5 Challenge类型的EAP响应(EAP-Response/MD5Challenge)帧。

在S14中，AP根据无线控制器与认证服务器之间的对接参数配置信息生成认证请求报文3，该认证请求报文3包括密码密文2。

可选地，该认证请求报文1包括RADIUS报文，该RADIUS报文例如可以是RADIUSAccess-Request报文。该认证请求报文3的源地址为AP的地址，该认证请求报文3的目的地址为认证服务器的地址。该认证请求报文3中的源端口号为AP的端口号，该认证请求报文3中的目的端口号为认证服务器的端口号。

在S15中，AP通过CAPWAP隧道向无线控制器发送认证请求报文3。

在S16中，无线控制器对认证请求报文3进行网络地址转换处理，以得到认证请求报文4。

该认证请求报文4的源地址为无线控制器的地址，该认证请求报文4的目的地址为认证服务器的地址。该认证请求报文4中的源端口号为无线控制器的端口号，该认证请求报文4中的目的端口号为认证服务器的端口号。

在S17中，无线控制器向认证服务器发送认证请求报文4，该认证请求报文4包括密码密文2。

在S18中，认证服务器将密码密文1和密码密文2进行对比，如果相同，则确定STA是合法用户，继续执行S19；如果不相同，则确定STA是不合法用户。

认证服务器在确定STA是合法用户之后，继续执行下述步骤S19：

在S19中，认证服务器向无线控制器发送接入成功报文1。

可选地，该接入成功报文1为RADIUS报文，例如可以是RADIUS Access-Accept报文。该接入成功报文1的源地址为认证服务器的地址，该接入成功报文1的目的地址为无线控制器的地址。该接入成功报文1中的源端口号为认证服务器的端口号，该接入成功报文1中的目的端口号为无线控制器的端口号。

在S20中，认证服务器向无线控制器发送接入成功报文1。

在S21中，无线控制器对接入成功报文1进行网络地址转换处理，以得到接入成功报文2。

该接入成功报文2的源地址为认证服务器的地址，该接入成功报文2的目的地址为AP的地址。该接入成功报文2中的源端口号为认证服务器的端口号，该接入成功报文2中的目的端口号为AP的端口号。

在S22中，无线控制器通过CAPWAP隧道向AP发送接入成功报文2。

在S23中，AP基于接入成功报文2生成认证成功帧，该认证成功帧指示STA接入成功。

在S24中，AP向STA发送认证成功帧。

可选地，接入成功报文1和接入成功报文2还包括用户授权信息，AP还通过CAPWAP隧道向无线控制器发送用户表项信息，该用户表项信息包括STA的标识与用户授权信息的对应关系，可以供无线控制器对STA进行流量管理和网络资源管理。相应地，无线控制器将与该STA对应的端口置为授权状态，允许STA通过该端口访问网络。

本申请以上实施例以采用802.1X认证方式对WLAN用户进行认证为例进行说明，实际应用中，该接入认证方法还可以用于MAC地址认证。任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化的方法，都应涵盖在本申请的保护范围之内，因此不再赘述。

综上所述，在本申请实施例提供的接入认证方法中，由AP获取与该AP关联的STA的用户认证信息，并根据无线控制器与认证服务器之间的对接参数配置信息生成认证请求报文，然后将该认证请求报文发送给无线控制器。无线控制器对该认证请求报文进行网络地址转换处理后即可发送给认证服务器，减小了无线控制器的计算开销，在不改变现有WLAN部署方式的情况下，通过多AP实现分布式认证，缓解了无线控制器的计算压力，使得多AP能够配合无线控制器满足大规模用户的并发接入认证需求，提高了认证系统的整体性能。另外，通过在AP发送的报文的CAPWAP头中携带用于指示无线控制器对该报文进行网络地址转换处理的目标指示，无线控制器解析完报文的CAPWAP头即可确定是否需要对该报文进行网络地址转换处理，可以提高无线控制器的处理效率。

图9是本申请实施例提供的一种AP的结构示意图。该AP可以是如图1所示的接入认证系统中的AP 101A或AP 101B。如图9所示，该AP 90包括：

获取模块901，用于获取与AP关联的STA的用户认证信息。

生成模块902，用于根据无线控制器与认证服务器之间的对接参数配置信息生成认证请求报文，认证请求报文包括用户认证信息，认证请求报文的源地址为AP的地址，认证请求报文的目的地址为认证服务器的地址。

发送模块903，用于向无线控制器发送认证请求报文。

可选地，对接参数配置信息包括无线控制器与认证服务器之间的安全参数和报文封装信息。

可选地，认证请求报文包括RADIUS报文，RADIUS报文的NAS-IP地址字段的值为无线控制器的地址。

可选地，认证请求报文还包括目标指示，目标指示用于指示无线控制器对认证请求报文进行网络地址转换处理。

可选地，发送模块903，用于通过CAPWAP隧道向无线控制器发送认证请求报文。

可选地，如图10所示，AP 90还包括：接收模块904，用于接收来自无线控制器的加密后的对接参数配置信息。解密模块905，用于采用AP与无线控制器之间的安全参数解密该加密后的对接参数配置信息，以得到对接参数配置信息。

图11是本申请实施例提供的一种无线控制器的结构示意图。该无线控制器可以是如图1所示的接入认证系统中的无线控制器102。如图11所示，该无线控制器110包括：

接收模块1101，用于接收来自AP的第一认证请求报文，第一认证请求报文包括目标指示以及与AP关联的STA的用户认证信息，目标指示用于指示无线控制器对第一认证请求报文进行网络地址转换处理，第一认证请求报文的源地址为AP的地址，第一认证请求报文的目的地址为认证服务器的地址。

地址转换模块1102，用于基于该目标指示对第一认证请求报文进行网络地址转换处理，以得到第二认证请求报文，第二认证请求报文的源地址为无线控制器的地址，第二认证请求报文的目的地址为认证服务器的地址。

发送模块1103，用于向认证服务器发送第二认证请求报文。

可选地，无线控制器中存储有网络地址转换表，网络地址转换表包括AP的地址和AP的端口号跟无线控制器的端口号之间的映射关系。

可选地，网络地址转换表包括AP的地址和AP的端口号跟无线控制器的地址和无线控制器的端口号之间的映射关系。

可选地，AP与无线控制器之间通过CAPWAP隧道通信，网络地址转换表中AP的地址包括CAPWAP头中AP的地址和/或内层报文头中AP的地址。

可选的的，第一认证请求报文包括RADIUS报文，RADIUS报文的NAS-IP字段的值为无线控制器的地址。

可选地，接收模块1101，用于通过CAPWAP隧道接收来自AP的第一认证请求报文，目标指示在第一认证请求报文的CAPWAP头中。

可选地，如图12所示，无线控制器还包括：加密模块1104，用于采用无线控制器与AP之间的安全参数加密无线控制器与认证服务器之间的对接参数配置信息。发送模块1103，还用于向AP发送加密后的对接参数配置信息。

可选地，对接参数配置信息包括无线控制器与认证服务器之间的安全参数和报文封装信息。

关于上述实施例中的装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

本申请实施例提供了一种AP，包括：处理器和收发器；

所述处理器，用于调用计算机程序，协同所述收发器实现上述方法实施例中AP执行的动作。

例如，图13是本申请实施例提供的一种AP的框图。如图13所示，该AP 130包括：处理器1301和收发器1302。收发器1302用于在处理器1301的控制下执行上述方法实施例中的AP的收发动作。

可选地，该AP 130还包括存储器1303、通信总线1304和通信接口1305。

处理器1301可以是中央处理器(central processing unit，CPU)。

通信总线1304可包括一通路，在上述组件之间传送信息。

存储器1303可以是只读存储器(read-only memory，ROM)或随机存取存储器(random access memory，RAM)，例如ROM具体可以是电可擦可编程只读存储器(electrically erasable programmable read-only memory，EEPROM)或只读光盘(compact disc read-only Memory，CD-ROM)，存储器1303也可以是光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘或者其它磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的程序代码并能够由计算机存取的任何其它介质，但不限于此。存储器1303可以是独立存在，通过通信总线1304与处理器1301相连接。存储器1303也可以和处理器1301集成在一起。

其中，存储器1303用于存储执行本申请方案的程序代码，并由处理器1301来控制执行。处理器1301用于执行存储器1303中存储的程序代码。程序代码中可以包括一个或多个软件模块。这一个或多个软件模块可以为图9或图10任一实施例中提供的软件模块。

通信接口1305，使用收发器1302，用于与其它设备或通信网络通信，如STA或无线控制器。

在具体实现中，作为一种实施例，AP可以包括多个处理器。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。

可选地，该AP中配置有802.1X协议栈和RADIUS协议栈。

本申请实施例提供了一种无线控制器，包括：处理器和收发器；

所述处理器，用于调用计算机程序，协同所述收发器实现上述方法实施例中无线控制器执行的动作。

例如，图14是本申请实施例提供的一种无线控制器的框图。如图14所示，该无线控制器140包括：处理器1401和收发器1402。收发器1402用于在处理器1401的控制下执行上述方法实施例中的无线控制器的收发动作。

可选地，该无线控制器140还包括存储器1403、通信总线1404和通信接口1405。

处理器1401可以是中央处理器(central processing unit，CPU)。

通信总线1404可包括一通路，在上述组件之间传送信息。

存储器1403可以是ROM或RAM，例如ROM具体可以是EEPROM或CD-ROM，存储器1403也可以是光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘或者其它磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的程序代码并能够由计算机存取的任何其它介质，但不限于此。存储器1403可以是独立存在，通过通信总线1404与处理器1401相连接。存储器1403也可以和处理器1401集成在一起。

其中，存储器1403用于存储执行本申请方案的程序代码，并由处理器1401来控制执行。处理器1401用于执行存储器1403中存储的程序代码。程序代码中可以包括一个或多个软件模块。这一个或多个软件模块可以为图9或图10任一实施例中提供的软件模块。

通信接口1405，使用收发器1402，用于与其它设备或通信网络通信，如无线控制器或认证服务器，该认证服务器可以是RADIUS服务器。

在具体实现中，作为一种实施例，无线控制器可以包括多个处理器。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。

可选地，该无线控制器中配置有802.1X协议栈和RADIUS协议栈。

本申请实施例还提供了一种接入认证系统，包括：如图9、图10或图13所示的AP，如图11、图12或图14所示的无线控制器，以及认证服务器。其中，无线控制器与认证服务器连接。

本申请实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有指令，当所述指令被AP的处理器执行时，实现上述方法实施例中AP执行的动作；或者，当所述指令被无线控制器的处理器执行时，实现上述方法实施例中无线控制器执行的动作。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

在本申请实施例中，术语“第一”、“第二”和“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。

本申请中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

Claims (29)

1.一种接入认证方法，其特征在于，所述方法包括：

接入点AP获取与所述AP关联的站点STA的用户认证信息；

所述AP根据无线控制器与认证服务器之间的对接参数配置信息生成认证请求报文，所述认证请求报文包括所述用户认证信息，所述认证请求报文的源地址为所述AP的地址，所述认证请求报文的目的地址为所述认证服务器的地址；

所述AP向所述无线控制器发送所述认证请求报文。

2.根据权利要求1所述的方法，其特征在于，所述对接参数配置信息包括所述无线控制器与所述认证服务器之间的安全参数和报文封装信息。

3.根据权利要求1或2所述的方法，其特征在于，所述认证请求报文包括远程访问拨号用户服务RADIUS报文，所述RADIUS报文的网络接入服务互联网协议地址字段的值为所述无线控制器的地址。

4.根据权利要求1至3任一所述的方法，其特征在于，所述认证请求报文包括目标指示，所述目标指示用于指示所述无线控制器对所述认证请求报文进行网络地址转换处理。

5.根据权利要求1至4任一所述的方法，其特征在于，所述AP向所述无线控制器发送所述认证请求报文，包括：

所述AP通过无线接入点控制与配置协议CAPWAP隧道向所述无线控制器发送所述认证请求报文。

6.根据权利要求1至5任一所述的方法，其特征在于，所述方法还包括：

所述AP接收来自所述无线控制器的加密后的所述对接参数配置信息；

所述AP采用所述AP与所述无线控制器之间的安全参数解密所述加密后的所述对接参数配置信息，以得到所述对接参数配置信息。

7.一种接入认证方法，其特征在于，所述方法包括：

无线控制器接收来自接入点AP的第一认证请求报文，所述第一认证请求报文包括目标指示以及与所述AP关联的站点STA的用户认证信息，所述目标指示用于指示所述无线控制器对所述第一认证请求报文进行网络地址转换处理，所述第一认证请求报文的源地址为所述AP的地址，所述第一认证请求报文的目的地址为认证服务器的地址；

所述无线控制器基于所述目标指示对所述第一认证请求报文进行网络地址转换处理，以得到第二认证请求报文，所述第二认证请求报文的源地址为所述无线控制器的地址，所述第二认证请求报文的目的地址为所述认证服务器的地址；

所述无线控制器向所述认证服务器发送所述第二认证请求报文。

8.根据权利要求7所述的方法，其特征在于，所述无线控制器中存储有网络地址转换表，所述网络地址转换表包括所述AP的地址和所述AP的端口号跟所述无线控制器的端口号之间的映射关系。

9.根据权利要求8所述的方法，其特征在于，所述网络地址转换表包括所述AP的地址和所述AP的端口号跟所述无线控制器的地址和所述无线控制器的端口号之间的映射关系。

10.根据权利要求8或9所述的方法，其特征在于，所述AP与所述无线控制器之间通过无线接入点控制与配置协议CAPWAP隧道通信，所述网络地址转换表中所述AP的地址包括CAPWAP头中AP的地址和/或内层报文头中AP的地址。

11.根据权利要求7至10任一所述的方法，其特征在于，所述第一认证请求报文包括远程访问拨号用户服务RADIUS报文，所述RADIUS报文的网络接入服务互联网协议地址字段的值为所述无线控制器的地址。

12.根据权利要求7至11任一所述的方法，其特征在于，所述无线控制器接收来自接入点AP的第一认证请求报文，包括：

所述无线控制器通过CAPWAP隧道接收来自所述AP的所述第一认证请求报文，所述目标指示在所述第一认证请求报文的CAPWAP头中。

13.根据权利要求7至12任一所述的方法，其特征在于，所述方法还包括：

所述无线控制器采用所述无线控制器与所述AP之间的安全参数加密所述无线控制器与所述认证服务器之间的对接参数配置信息；

所述无线控制器向所述AP发送加密后的所述对接参数配置信息。

14.根据权利要求13所述的方法，其特征在于，所述对接参数配置信息包括所述无线控制器与所述认证服务器之间的安全参数和报文封装信息。

15.一种接入点AP，其特征在于，所述AP包括：

获取模块，用于获取与所述AP关联的站点STA的用户认证信息；

生成模块，用于根据无线控制器与认证服务器之间的对接参数配置信息生成认证请求报文，所述认证请求报文包括所述用户认证信息，所述认证请求报文的源地址为所述AP的地址，所述认证请求报文的目的地址为所述认证服务器的地址；

发送模块，用于向所述无线控制器发送所述认证请求报文。

16.根据权利要求15所述的AP，其特征在于，所述对接参数配置信息包括所述无线控制器与所述认证服务器之间的安全参数和报文封装信息。

17.根据权利要求15或16所述的AP，其特征在于，所述认证请求报文包括远程访问拨号用户服务RADIUS报文，所述RADIUS报文的网络接入服务互联网协议地址字段的值为所述无线控制器的地址。

18.根据权利要求15至17任一所述的AP，其特征在于，所述认证请求报文包括目标指示，所述目标指示用于指示所述无线控制器对所述认证请求报文进行网络地址转换处理。

19.根据权利要求15至18任一所述的AP，其特征在于，所述发送模块，用于：

通过无线接入点控制与配置协议CAPWAP隧道向所述无线控制器发送所述认证请求报文。

20.根据权利要求15至19任一所述的AP，其特征在于，所述AP还包括：

接收模块，用于接收来自所述无线控制器的加密后的对接参数配置信息；

解密模块，用于采用所述AP与所述无线控制器之间的安全参数解密所述加密后的所述对接参数配置信息，以得到所述对接参数配置信息。

21.一种无线控制器，其特征在于，所述无线控制器包括：

接收模块，用于接收来自接入点AP的第一认证请求报文，所述第一认证请求报文包括目标指示以及与所述AP关联的站点STA的用户认证信息，所述目标指示用于指示所述无线控制器对所述第一认证请求报文进行网络地址转换处理，所述第一认证请求报文的源地址为所述AP的地址，所述第一认证请求报文的目的地址为认证服务器的地址；

地址转换模块，用于基于所述目标指示对所述第一认证请求报文进行网络地址转换处理，以得到第二认证请求报文，所述第二认证请求报文的源地址为所述无线控制器的地址，所述第二认证请求报文的目的地址为所述认证服务器的地址；

发送模块，用于向所述认证服务器发送所述第二认证请求报文。

22.根据权利要求21所述的无线控制器，其特征在于，所述无线控制器中存储有网络地址转换表，所述网络地址转换表包括所述AP的地址和所述AP的端口号跟所述无线控制器的端口号之间的映射关系。

23.根据权利要求21或22所述的无线控制器，其特征在于，所述第一认证请求报文包括远程访问拨号用户服务RADIUS报文，所述RADIUS报文的网络接入服务互联网协议地址字段的值为所述无线控制器的地址。

24.根据权利要求21至13任一所述的无线控制器，其特征在于，所述接收模块，用于：

通过无线接入点控制与配置协议CAPWAP隧道接收来自所述AP的所述第一认证请求报文，所述目标指示在所述第一认证请求报文的CAPWAP头中。

25.根据权利要求21至24任一所述的无线控制器，其特征在于，所述无线控制器还包括：

加密模块，用于采用所述无线控制器与所述AP之间的安全参数加密所述无线控制器与所述认证服务器之间的对接参数配置信息；

所述发送模块，还用于向所述AP发送加密后的所述对接参数配置信息。

26.根据权利要求25所述的无线控制器，其特征在于，所述对接参数配置信息包括所述无线控制器与所述认证服务器之间的安全参数和报文封装信息。

27.一种接入点，其特征在于，包括：处理器和收发器；

所述处理器，用于调用计算机程序，协同所述收发器实现如权利要求1至6任一所述的方法。

28.一种无线控制器，其特征在于，包括：处理器和收发器；

所述处理器，用于调用计算机程序，协同所述收发器实现如权利要求7至14任一所述的方法。

29.一种接入认证系统，其特征在于，包括：如权利要求15至20、27任一所述的接入点，如权利要求21至26、28任一所述的无线控制器，以及认证服务器；其中，所述无线控制器与所述认证服务器连接。

Images