CN1976309B - 无线用户接入网络服务的方法、接入控制器和服务器 - Google Patents
无线用户接入网络服务的方法、接入控制器和服务器 Download PDFInfo
- Publication number
- CN1976309B CN1976309B CN2006101699095A CN200610169909A CN1976309B CN 1976309 B CN1976309 B CN 1976309B CN 2006101699095 A CN2006101699095 A CN 2006101699095A CN 200610169909 A CN200610169909 A CN 200610169909A CN 1976309 B CN1976309 B CN 1976309B
- Authority
- CN
- China
- Prior art keywords
- network service
- wireless user
- access
- access point
- wireless
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 54
- 238000013475 authorization Methods 0.000 claims abstract description 121
- 230000005540 biological transmission Effects 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 4
- 239000000523 sample Substances 0.000 description 4
- 101100161473 Arabidopsis thaliana ABCB25 gene Proteins 0.000 description 3
- 101100096893 Mus musculus Sult2a1 gene Proteins 0.000 description 3
- 101150081243 STA1 gene Proteins 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000000638 solvent extraction Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了无线用户接入网络服务的方法以及接入控制器和服务器。一种接入控制器将无线用户接入网络服务的方法包括步骤:接入控制器通过接入点将无线用户接入无线局域网;接入控制器接收授权服务器发出的对所述无线用户侧授权请求响应的授权信息,所述授权信息包含网络服务和网络服务接入点信息;接入控制器通过所述网络服务接入点将所述无线用户接入到所述网络服务。通过本发明提供方法及其接入控制器和服务器,根据无线用户授权的网络服务接入点为其提供网络接入服务,减少了查找网络服务接入点的时间,并可以为无线用户接入网络服务提供无缝漫游服务。
Description
技术领域
本发明涉及无线局域网技术,特别涉及无线局域网无线用户接入网络服务的方法、接入控制器和服务器。
背景技术
无线局域网(WLAN,Wireless Local Area Network)提供了一种局域网的无线连接服务,能在较小的范围内提供高速的无线数据接入,是目前IT行业无线接入技术的热点。接入点(AP,Access Point)是无线局域网的一个重要组成设备,它用于将从有线网络(例如Internet)接收到的数据转换成无线信号发送,并将接收到的无线信号转换成数据并转发到有线网络的无线收发设备--。
集中WLAN是主要由AP和接入控制器(AC,Access Controller)构成的WLAN网络。集中WLAN需要AP和AC设备的协作来提供局域网无线连接服务。无线接入点控制和规定(CAPWAP,Control and Provisioning ofWireless Access Points)协议中定义了集中WLAN架构,并描述了WLAN功能在AP设备和AC设备上的划分。通常,由AC提供WLAN网络的集中管理;而AP用来和AC建立链接并加入WLAN网络后,向无线用户提供无线接入服务。此外,CAPWAP协议还定义了AP和AC之间的通信协议。
多个AC也可以构建一个WLAN网络,为无线用户提供更广阔的服务域和漫游域。在这样的WLAN网络中,无线用户可以选择该服务域中任何一个AP接入WLAN网络,并且可以在整个WLAN网络中的AP之间进行漫游。
本说明书中,网络服务是指区别于本地WLAN服务的已经存在的有线网络服务,如因特网(Internet)服务。网络服务接入点是指为WLAN无线用户提供网络服务的设备,例如,可以将无线用户接入该网络服务的AC。
图1所示为一个典型的多个AC构建的WLAN的应用组网示意图。其中,AC1和AC2设置相应的扩展服务集(ESS,Extended Service Set),负责管理WLAN提供的无线接入服务。AP1和AC1建立链接CAPWAP隧道(Tunnel),AP2和AC2建立链接CAPWAP隧道。AP1/AP2成功和AC1/AC2建立链接加入WLAN网络后,从AC上获取相应的无线接入服务配置,从而提供WLAN的无线接入服务。
无线接入服务通过扩展服务集标识(ESSID,Extended Service Set Idenity)的字符串进行标识,当无线用户接入WLAN网络时,通过选择ESSID而接入到不同的无线接入网络中。图1中AP1和AP2被配置为相同的ESSID,提供相同的无线接入服务。
无线用户和WLAN网络建立数据链路连接的过程的详细定义和介绍可参见IEEE802.11-1999。简单来说,无线用户接入WLAN网络的流程包括:无线用户(STA)发现WLAN接入服务,并选择接入WLAN的AP,AP对STA进行链路认证,然后STA和AP完成链路协商,从而STA和AP之间建立数据链路,并和AC建立逻辑链路。AC为了保证无线局域网的安全,对接入的无线用户进行接入认证。为了提供用户数据的私密性保护,当无线用户认证成功后,AC发起密钥协商,为无线用户协商单独密钥。STA在通过AC的认证并成功协商密钥后,通过建立的逻辑链路访问WLAN网络。WLAN为无线用户选择网络服务接入点,开始为无线用户提供网络服务接入服务。其中,上面的描述中对无线用户的链路认证和链路协商由AP完成,上述功能也可以由AC完成。
当WLAN网络由多个AC组成时,每个AC能够提供的网络服务可以不同。当一个无线用户需要一种网络服务、而它的接入AC自身不能提供这种网络服务时,该无线用户的接入AC需要在WLAN网络为该无线用户寻找能够提供该网络服务的AC。例如,WLAN网络中包括AC1、AC2和AC3,VLAN1网络、VLAN2网络和VLAN3网络是指有线网络或因特网等非本地WLAN网络,AC1只提供VLAN1网络的接入服务,但AC2和AC3都能提供VLAN2网络和VLAN3网络的接入服务;无线用户STA1通过AC1接入WLAN网络,WLAN网络使用认证授权服务器对STA1进行认证和授权,确定STA1可以接入VLAN2网络,所以AC1需要在WLAN网络中寻找可以提供VLAN2网络服务的AC。现有技术的一种实现方式是动态地在整个WLAN网络中查找可以提供相应网络服务的AC。如果采用动态查找的方式,管理员无法控制无线用户实际通过那个AC接入网络服务;另外由于需要在WLAN网络中的所有的AC上进行查找,查找的过程可能比较长,从而影响到无线用户接入网络服务的时间。
发明内容
本发明要解决的一个技术问题是提供一种接入控制器将无线用户接入网络服务的方法,可以减少查找网络服务接入点的时间。
本发明提供的接入控制器将无线用户接入网络服务的方法,包括步骤:
A,接入控制器通过接入点将无线用户接入无线局域网;
B,接入控制器接收授权服务器发出的对所述无线用户侧授权请求响应的授权信息,所述授权信息包含网络服务和网络服务接入点信息,所述网络服务接入点信息包含可以将无线用户接入到对应网络服务的接入控制器的IP地址;
C,接入控制器通过所述网络服务接入点将所述无线用户接入到所述网络服务。
进一步,接入控制器在无线用户的接入认证成功后,在步骤C之前,还包括如下步骤:上述接入控制器和上述无线用户进行链路密钥协商。
而步骤C可以包括如下步骤:
上述接入控制器为所述无线用户创建根据源MAC地址进行定向转发的二层表项,根据该表项将所述无线用户的报文转发到所述网络服务接入点。
本发明提供的接入控制器将无线用户接入网络服务的方法,从授权服务器不仅获得该无线用户的授权的网络服务,同时还获得授权的网络服务的接入点信息,并根据网络服务接入点信息为该无线用户提供授权网络服务的接入服务。这样的实现方式减少了查找网络接入设备的时间,
接入认证进一步增加了无线局域网的安全性,而链路密钥协商为无线用户提供了用户数据的私密性保护。
本发明还提供一种计算机软件产品,包括若干指令用以使得一台计算机设备执行上述的接入控制器将无线用户接入网络的方法。
本发明还提供的一种计算机设备,包括用以执行上述接入控制器将无线用户接入网络的方法的软件以及运行该软件必须的硬件。
本发明要解决的另一个技术问题是提供一种可以快速地获得无线用户的网络服务接入点的接入控制器。
本发明提供的接入控制器,其位于无线用户和无线网络授权服务器之间,包括链路建立单元、信息获取单元和数据转发单元。其中,
链路建立单元,用于与无线用户建立链路;
信息获取单元,用于接收上述服务器返回的上述无线用户的包含网络服务和网络服务接入点信息的授权信息,并将上述授权信息发送给数据转发单元,所述网络服务接入点信息包含可以将无线用户接入到对应网络服务的接入控制器的IP地址;
数据转发单元,用于接收信息获取单元发送来的授权信息,以及接收上述无线用户的报文,并将报文转发到上述网络服务接入点。
进一步,接入控制器还包含链路密钥协商单元。链路密钥协商单元,用于接收密钥协商消息,和所述无线用户进行链路密钥协商,并在密钥协商成功后,将协商的密钥发送给所述数据转发单元;所述数据转发单元通过所述密钥与所述无线用户进行数据传输。
通过本发明提供的接入控制器,在为无线用户提供网络接入服务时,直接从服务器获得该无线用户授权的网络服务和网络服务接入点信息,并根据网络服务接入点信息将无线用户接入所述的网络服务,减少了查找网络服务接入点的时间。
本本发明要解决的另一个技术问题是提供一种可以提供无线用户的网络接入点信息的服务器。
本发明提供的服务器,包括授权信息存储单元和授权单元,其中,
授权信息存储单元,用于存储供接入控制器使用的无线用户的包含的网络服务和网络服务接入点信息的授权信息,所述网络服务接入点信息包含可以将无线用户接入到对应网络服务的接入控制器的IP地址;
授权单元,用于接收无线用户授权请求消息,并向接入控制器返回所述授权信息。
进一步,该服务器还可以包括授权信息配置单元,用于接受管理员对无线用户的网络服务接入点的配置,并将其存储在授权信息存储单元。
本发明的服务器,通过授权信息存储单元存储无线用户的授权的网络服务接入点信息,并通过授权单元提供无线用户的网络接入点信息。
本发明要解决的另一个技术问题是提供一种快速提供无线用户的网络接入点信息方法。
本发明提供的一种提供无线用户的网络服务接入点的方法,在服务端接收无线用户授权请求消息,并返回授权信息;其中所述授权信息包含网络服务和网络服务接入点信息,用以供接入控制器为无线用户选择网络服务接入点,所述网络服务接入点信息包含可以将无线用户接入到对应网络服务的接入控制器的IP地址。
本发明还提供一种计算机软件产品,包括若干指令用以使得一台计算机设备执行上述的获取无线用户的网络服务接入点的方法。
本发明的提供无线用户的网络服务接入点的方法,在服务器存储无线用户的网络服务接入点信息,并在收到请求消息时返回包含网络服务接入点的授权信息,从而可以快速提供网络服务接入点信息。
本发明要解决的另一个技术问题是提供一种无线局域网的无线用户接入网络服务的方法,可以减少查找网络服务接入点的时间。
本发明提供的无线局域网的无线用户接入网络服务的方法,进一步还可以实现对无线用户的网络服务接入点的控制。
本发明提供的无线局域网的无线用户接入网络服务的方法,包括步骤:
E,无线用户通过接入点AP以及对应的接入控制器AC接入无线局域网;
F,所述接入AC向授权服务器发送所述无线用户的授权信息请求消息,授权服务器向接入AC发送所述无线用户的包含网络服务和网络服务接入点信息的授权信息,所述网络服务接入点信息包含可以将无线用户接入到对应网络服务的接入控制器的IP地址;
G,所述接入AC通过所述网络服务接入点将所述无线用户接入到所述网络服务。
进一步,在步骤E之后,步骤F之前,还包括如下步骤:
上述接入AC通过认证服务器对上述无线用户进行接入认证。
更进一步,上所述无线用户的接入认证成功后,在步骤G之前,还包括如下步骤:上述接入AC和上述无线用户进行链路密钥协商。
其中,无线用户授权的网络服务接入点信息由无线局域网管理员分配。
而步骤G可以包括如下步骤:
所述接入AC为所述无线用户创建根据源MAC地址进行定向转发的二层表项,根据该表项将所述无线用户的报文转发到所述网络服务接入点;
所述网络服务接入点为所述无线用户生成漫游表项,根据该表项将发往所述无线用户的报文转发到所述接入AC。
进一步,上述网络服务接入点为无线用户生成漫游表项包括如下步骤:
所述网络服务接入点判断是否存在所述无线用户的漫游表项,如果存在,则将其目的地址更改为当前目的地址,否则,所述网络服务接入点为所述无线用户创建目的地址为所述接入AC地址的漫游表项。
通过本发明提供的无线局域网的无线用户接入网络的方法,从授权服务器不仅获得该无线用户的授权的网络服务,同时还获得授权的网络服务的接入点信息,并根据网络服务接入点信息为该无线用户提供授权网络服务的接入服务。这样的实现方式减少了查找网络接入设备的时间,进一步可以控制了无线用户的网络服务接入点分配,并通过对无线用户的网络服务接入点的的合理分配,控制无线用户的网络服务的接入设备,从而实现网络的优选规划和网络服务的均衡配置。接入认证进一步增加了无线局域网的安全性。链路密钥协商为无线用户提供了用户数据的私密性保护。
综上所述,本发明提供的控制无线用户接入网络的方法及其相应的接入控制器和服务器,根据该无线用户授权的网络服务接入点为其提供网络接入服务,减少了查找网络接入点的时间,并可以通过合理分配无线用户的网络服务接入点,从而优化网络规划和均衡网络服务,并可以为无线用户的网络接入服务提供无缝漫游服务。
附图说明
图1所示为现有技术中由多个接入控制器组成的无线局域网的示意图;
图2所示为本发明的无线局域网无线用户接入网络服务方法的流程图;
图3所示为本发明的无线局域网无线用户接入网络服务方法的一个实施例的流程图;
图4所示为本发明的接入控制器的结构示意图;
图5所示为本发明的接入控制器将无线用户接入网络服务的方法的流程图。
具体实施方式
如图2所示,本发明的一种无线局域网无线用户接入网络的方法,包括如下步骤:
步骤201,无线用户通过AP和AC接入无线局域网。
无线用户STA可以通过被动地接收AP发送的信标(Beacon)报文,或者主动地发送探查(Probe)报文来发现周围的WLAN接入服务。STA如果同时发现AP1和AP2提供的无线接入服务,则在其中作出选择,如STA可以选择AP1接入WLAN网络。随后,AP1对STA进行链路认证,并在链路认证通过后AP1和STA进行链路协商。链路协商成功后,则STA和AP1之间建立数据链路,并和对应于AP1的接入控制器AC1建立逻辑链路,即无线用户接入无线局域网。
步骤202,无线用户的接入AC向授权服务器发送无线用户的授权信息请求消息,授权服务器向接入AC返回无线用户的包含网络服务和网络服务接入点的授权信息。
授权服务器中存储无线用户的授权信息。无线用户接入无线局域网,向授权服务器发送授权信息请求消息,消息中包含无线用户的用户名和密码;授权服务器将该无线用户的授权信息发送给该无线用户的接入AC,无线用户的授权信息包括网络服务和网络服务接入点信息。
在认证和授权过程结合在一起的情况下,无线用户用户接入无线局域网,向认证服务器发送认证请求消息,消息中包含无线用户的用户名和密码,在认证服务器对无线用户的认证通过后,直接通知授权服务器向无线用户发送授权信息。在这种情况下,认证请求消息同时起到了授权信息请求消息的作用。
为了实现本步骤,可以在授权协议中增加一个“网络服务接入点”属性,在属性包含可以将无线用户接入到对应网络服务的AC的IP地址。以远程认证拨号用户服务(RADIUS,Remote Authentication Dial In User Service)协议为例,“网络服务接入点”的属性定义可以包含属性类型、属性长度和属性值等字段。其中,属性类型由协议统一分配,用来标明该属性包含的是网络服务接入点的内容;属性长度用来标明该属性所占用的长度,并可以通过该属性长度取值的不同,来区分属性值字段中包含的IP地址是IPV6还是IPV4;而属性值中包含的是IPV4地址或者IPV6地址。除了RADIUS协议,也可以采用其它的授权协议,并类似于上述描述来定义“网络服务接入点”属性。
步骤203,无线用户的接入AC通过网络服务接入点将无线用户接入到网络服务。
当无线用户的接入AC收到无线用户的授权信息后,获得授权给该无线用户的接入网络服务的AC的IP地址,为该无线用户创建根据源MAC地址进行定向转发的二层表项,将该无线用户的报文转发到网络服务接入点AC,并由网络服务接入点AC建立一漫游表项,将发往该无线用户的报文转发到该无线用户的接入AC,并由接入AC发送给该无线用户,从而在接入AC和网络服务接入点之间建立数据通道,将无线用户接入到网络服务。
进一步,为了保证无线局域网的安全性,无线局域网通常会对接入的无线用户进行接入认证。例如可以通过RADIUS服务器对无线用户进行接入认证。采用的接入认证的协议可以是802.1x认证协议或者MAC认证协议。
为了对用户的数据提供私密性保护,当无线用户的接入认证成功后,还可以和WLAN进行密钥协商,为无线用户协商单独的密钥。密钥协商过程规范的实例可参见IEEE802.11I-2004。
参见图3,示出了本发明方法的一个实施例的流程图,该实施例中包含上述接入认证和密钥协商过程。包含如下步骤:
步骤301,STA通过AP1和对应的AC1接入WLAN网络。
STA发现周围的WLAN接入服务,例如STA发现AP1和AP2提供无线接入服务,假设STA初始选择AP1接入WLAN。STA通过AP1向对应的AC1发送链路认证请求消息,该请求消息中包括STA的MAC地址。AC1对STA进行链路认证,即检查其保存的MAC地址列表中是否有与STA对应的MAC地址,并向STA回应链路认证应答消息。如果链路认证成功,STA通过AP1向AC1发送链路协商请求消息,AC1根据该请求消息进行相应的处理后,向STA回应链路协商应答消息。链路协商成功,也就完成了STA和AP1之间数据链路的建立,以及STA和AC1之间逻辑链路的建立。
步骤302,AC1通过认证服务器对STA进行接入认证。
AC1可以通过认证服务器,如RADIUS服务器,对STA进行接入认证。接入认证过程包括:1)STA向AC1发送接入认证请求消息,该请求消息中包括STA的用户名和密码;2)AC1将该请求消息转发给认证服务器;3)认证服务器确认用户身份后,为STA分配对称主密钥(Pairwise Master Key,PMK),并通过AC1将该PMK发送给STA,认证服务器和STA中都保存有该PMK;4)认证服务器对STA进行接入认证成功后,向AC1回应接入认证成功消息,并携带所述PMK;5)AC1接收到接入认证成功消息后,保存所述PMK,并建立STA的媒体接入控制(Medium Access Control,MAC)地址与所述PMK的对应关系。
步骤303,授权服务器向AC1发送STA的包含网络服务和网络服务接入点的授权信息。
对STA的接入认证成功后,授权服务器将STA的授权信息通知无线局域网,即该无线用户的接入AC1。无线用户的授权信息包括网络服务信息和网络服务接入点信息,而网络服务接入点信息中包含为STA提供网络服务的AC的IP地址。
步骤304,AC1和STA进行链路密钥协商。
为了提供对用户数据的私密性保护,在对STA进行接入认证成功后,AC1还可以发起密钥协商过程,与STA协商对称临时密钥(Pairwise TemporaryKey,PTK),根据PMK生成PTK,PTK用于对单播数据进行加密。
步骤305,AC1通过网络服务接入点将无线用户接入到网络服务。
当AC1获得STA的网络服务接入点信息后,为STA创建根据源MAC地址进行转发的二层表项。AC1通过该表项将STA发送的所有报文重定向转发到网络服务接入点对应的出口AC3,并通过AC3转发到所述网络。
同时,AC3要为漫游用户STA创建一个漫游表项,保证所有的发送到STA的报文都能够转发到AC1上,并且由AC1最终发送给STA。
在上述实施例的描述过程中,认证服务器和授权服务器是作为单独的服务器分别描述的。在通常情况下认证服务器和授权服务器可以是一台服务器,例如一台RADIUS服务器。
授权服务器存储的无线用户的网络服务接入点信息可以由无线局域网管理员在授权服务器上进行配置,或者由固定的算法进行分配,并在分配后保持不变。网络服务接入点可以是能够提供网络服务的接入控制器,而此处的网络服务可以是无线用户接入的虚拟局域网(VLAN,Virtual Local AreaNetwork)服务。
通过本发明提供的无线局域网无线用户接入网络服务的方法,从授权服务器不仅获得该无线用户的授权的网络服务,同时还获得授权的网络服务的接入点信息,并根据网络服务接入点信息为该无线用户提供授权网络服务的接入服务。通过这样的实现方式可以控制无线用户的网络服务接入点,减少了动态查找网络接入设备的时间。进一步可以通过对无线用户的网络服务接入点的的合理分配,从而实现网络的优选规划和网络服务的均衡配置。接入认证进一步增加了无线局域网的安全性。链路密钥协商为无线用户提供了用户数据的私密性保护。
下面,进一步说明当无线用户在WLAN网络中发生漫游时将无线用户接入网络服务的情况。假定无线用户STA当前通过AP1接入WLAN,与AP1对应的接入控制器为AC1。当STA从AP1逐渐向AP2移动时,STA确定AP2能够提供更优质的服务,比如AP2具有更高的信号强度,则STA可以选择通过AP2接入WLAN。如果和AP2对应的接入控制器为AC2,则STA和AC2之间进行链路认证和链路协商;协商完成后,STA实现从AC1到AC2的漫游,AC2通过认证服务器对STA进行接入认证,并从授权服务器获得STA的网络服务接入点信息。由于授权服务器中该无线用户的授权信息保持不变,所以网络服务接入点仍然对应于AC3。AC2为STA创建根据源MAC地址进行转发的二层表项,控制将STA相关的数据报文根据源地址重定向到AC3设备上。而AC3在为STA创建漫游表项前,先判断是否存在STA的漫游表项,如果存在,则将其转发的目的地址更改为当前目的地址,即将漫游表项中AC1的IP地址更改为AC2的IP地址,保证所有发送到STA的地址都转发到AC2上,这样使得STA在漫游前和漫游后可以访问同样的网络更好的支持无线用户的无缝漫游。
通过本发明提供的方法控制无线用户接入网络服务,由于无线用户的网络服务接入点保持不变,所以当无线用户在WLAN中漫游时,WLAN仍然采用指定的网络服务接入点为无线用户提供网络接入服务,从而可以为无线用户提供无缝漫游服务。
如图4所示,为本发明提供的一种接入控制器的结构示意图。接入控制器包括链路建立单元41、信息获取单元42和数据转发单元43。
链路建立单元41,用于与无线用户建立链路,并向信息获取单元42发送启动消息。接入控制器接收到无线用户发送的链路认证以及链路协商请求消息后,通过链路建立单元41对无线用户进行链路认证以及链路协商。链路协商成功后,信息获取单元42发送启动消息。
信息获取单元42,用于用于接收启动消息后,向服务器发送无线用户授权信息请求消息,并接收服务器返回的无线用户的包含网络服务和网络服务接入点的授权信息,并将授权信息发送给数据转发单元43。
数据转发单元43,用于接收信息获取单元42发送来的授权信息,接收所述无线用户的报文,并报文定向转发到所述网络服务接入点。数据转发单元43根据网络服务接入点为无线用户创建根据源MAC地址进行转发的二层表项,将无线用户发送的报文重定向转发到网络服务接入点对应的出口AC,并通过出口AC转发到上述网络。同时接收网络服务接入点转发来的发往无线用户的报文,并将其发送到无线用户。
通过本发明提供的接入控制器,在为无线用户提供网络接入服务时,首先获得该无线用户授权的网络服务和网络服务接入点信息,并根据获得的网络服务接入点信息为无线用户建立数据通道,为该无线用户提供网络接入服务。
为了进一步保证WLAN的安全性,在本发明另一实施例的接入控制器中,接入控制器还包括接入认证单元。接入认证单元用于接收链路建立单元41发送的启动消息,对无线用户进行接入认证,并在接入认证成功后,向信息获取单元42转发所述启动消息。接入认证单元可以通过认证服务器对无线用户进行接入认证。
为了提供无线用户数据的私密性保护,本发明提供的接入控制器的实施例中,还进一步包括链路密钥协商单元。接入认证单元在接入认证成功后,向链路密钥协商单元发送密钥协商消息;链路密钥协商单元用于接收密钥协商消息,和无线用户进行链路密钥协商,并在密钥协商成功后,将协商的密钥发送给数据转发单元43;密钥协商单元和无线用户通过四次握手过程进行密钥协商。数据转发单元43通过收到的密钥与无线用户进行数据传输。
如图5所示,为本发明提供的一种接入控制器将无线用户接入网络服务的方法的流程图。包括如下步骤:
步骤501,AC通过接入点将无线用户接入无线局域网。
AC通过AP为无线用户提供无线局域网接入服务。无线用户STA可以通过被动地接收AP发送的信标(Beacon)报文,或者主动地发送探查(Probe)报文来发现周围的WLAN接入服务。STA和AP之间建立数据链路,并和AC建立逻辑链路后,AC对STA进行链路认证,并在链路认证通过后和STA进行链路协商。链路协商成功后,无线用户接入无线局域网。
步骤502,AC接收授权服务器发出的对无线用户侧授权请求响应的授权信息,该授权信息包含网络服务和网络服务接入点信息。授权服务器中存储无线用户的授权信息。无线用户接入无线局域网后,发出授权信息请求消息,消息中包含无线用户的用户名和密码;该请求消息或者由AC处理后发向授权服务器,或者由AC透明地转发到授权服务器。授权服务器响应该授权信息请求,将该无线用户的授权信息发送给该无线用户的AC,无线用户的授权信息包括网络服务和网络服务接入点信息。
步骤503,AC通过网络服务接入点将无线用户接入到网络服务。
当AC收到无线用户的授权信息后,获得授权给该无线用户的接入网络服务的AC的IP地址,为该无线用户创建根据源MAC地址进行定向转发的二层表项,将该无线用户的报文转发到网络服务接入点AC,并由网络服务接入点AC建立一漫游表项,将发往该无线用户的报文转发到该AC,并由该AC发送给该无线用户,从而在AC和网络服务接入点之间建立数据通道,将无线用户接入到网络服务。
进一步,为了保证无线局域网的安全性,AC通常会对接入的无线用户进行接入认证。例如可以通过RADIUS服务器对无线用户进行接入认证,采用的接入认证的协议可以是802.1x认证协议或者MAC认证协议。AC对无线用户进行接入认证通常在将无线用户接入无线局域网之后,在从授权服务器获取授权信息之前。
为了对用户的数据提供私密性保护,在无线用户的接入认证成功后,AC还可以和无线用户进行密钥协商,为无线用户协商单独的密钥。密钥协商过程规范的实例可参见IEEE802.11I-2004。
本发明提供一种计算机软件产品,包括若干指令用以使得一台计算机设备执行本发明提供的上述接入控制器将无线用户接入网络服务的方法。
本发明还提供一种计算机设备,包括用以执行本发明上述接入控制器将无线用户接入网络服务的方法的软件以及运行该软件必须的硬件。
本发明提供的接入控制器将无线用户接入网络服务的方法,接入控制器从授权服务器不仅获得该无线用户的授权的网络服务,同时还获得授权的网络服务的接入点信息,并根据网络服务接入点信息为该无线用户提供授权网络服务的接入服务。这样的实现可以减少了查找网络接入设备的时间。而接入认证进一步增加了无线局域网的安全性。链路密钥协商为无线用户提供了用户数据的私密性保护。
本发明还提供一种服务器,该服务器包括授权信息存储单元和授权单元,其中,授权信息存储单元用于存储供接入控制器使用的无线用户的包含的网络服务和网络服务接入点的授权信息;授权单元用于接收无线用户授权请求消息,并向接入控制器返回该授权信息。
进一步,该服务器还可以包括授权信息配置单元,用于接受管理员对无线用户的网络服务接入点的配置,并将其存储在授权信息存储单元。
本发明还提供一种提供无线用户的网络服务接入点的方法,该方法在服务端接收无线用户授权请求消息,并返回该授权信息;其中该授权信息包含网络服务和网络服务接入点信息,用以供接入控制器为无线用户选择网络服务接入点。
本发明还提供一种计算机软件产品,该产品包括若干指令用以使得一台计算机设备执行上述提供无线用户的网络服务接入点的方法。
综上所述,本发明提供的控制无线用户接入网络的方法及其相应的接入控制器和服务器以及软件,根据该无线用户授权的网络服务接入点为其提供网络接入服务,减少了查找网络接入点的时间,并可以通过在无线用户间合理分配网络服务接入点,从而优化网络规划和均衡网络服务,并可以为无线用户的网络接入服务提供无缝漫游服务。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (15)
1.一种接入控制器将无线用户接入网络服务的方法,包括步骤:
A,接入控制器通过接入点将无线用户接入无线局域网;
B,接入控制器接收授权服务器发出的对所述无线用户侧授权请求响应的授权信息,所述授权信息包含网络服务和网络服务接入点信息,所述网络服务接入点信息包含可以将无线用户接入到对应网络服务的接入控制器的IP地址;
C,接入控制器通过所述网络服务接入点将所述无线用户接入到所述网络服务。
2.如权利要求1所述的方法,其特征在于,所述接入控制器在所述无线用户的接入认证成功后,在步骤C之前,还包括如下步骤:
所述接入控制器和所述无线用户进行链路密钥协商。
3.如权利要求1或2所述的方法,其特征在于,所述步骤C包括如下步骤:
所述接入控制器为所述无线用户创建根据源MAC地址进行定向转发的二层表项,根据该表项将所述无线用户的报文转发到所述网络服务接入点。
4.一种接入控制器,位于无线用户和无线网络授权服务器之间,其特征在于,包括链路建立单元、信息获取单元和数据转发单元,
链路建立单元,用于与无线用户建立链路;
信息获取单元,用于接收所述服务器返回的所述无线用户的包含网络服务和网络服务接入点信息的授权信息,并将所述授权信息发送给数据转发单元,所述网络服务接入点信息包含可以将无线用户接入到对应网络服务的接入控制器的IP地址;
数据转发单元,用于接收信息获取单元发送来的授权信息,以及接收所述无线用户的报文,并将报文转发到所述网络服务接入点。
5.如权利要求4所述的接入控制器,其特征在于,还包含链路密钥协商单元;
链路密钥协商单元,用于接收密钥协商消息,和所述无线用户进行链路密钥协商,并在密钥协商成功后,将协商的密钥发送给所述数据转发单元;
所述数据转发单元通过所述密钥与所述无线用户进行数据传输。
6.如权利要求4或5所述的接入控制器,其特征在于,所述数据转发单元为所述无线用户创建根据源MAC地址进行定向转发的二层表项,根据所述二层表项将所述无线用户的报文转发到所述网络服务接入点;进一步用于接收所述网络服务接入点转发的发往所述无线用户的报文。
7.一种服务器,包括授权信息存储单元,其特征在于,包括:
所述授权信息存储单元,用于存储供接入控制器使用的无线用户的包含的网络服务和网络服务接入点信息的授权信息,所述网络服务接入点信息包含可以将无线用户接入到对应网络服务的接入控制器的IP地址;
授权单元,用于接收无线用户授权请求消息,并向接入控制器返回所述授权信息。
8.如权利要求7所述的服务器,其特征在于,还包括授权信息配置单元,用于接受管理员对无线用户的网络服务接入点的配置,并将其存储在授权信息存储单元。
9.一种提供无线用户的网络服务接入点的服务方法,其特征在于,在服务端接收无线用户授权请求消息,并返回授权信息;其中所述授权信息包含网络服务和网络服务接入点信息,用以供接入控制器为无线用户选择网络服务接入点,所述网络服务接入点信息包含可以将无线用户接入到对应网络服务的接入控制器的IP地址。
10.一种无线局域网无线用户接入网络服务的方法,包括步骤:
E,无线用户通过接入点AP以及对应的接入控制器AC接入无线局域网;
F,所述接入AC向授权服务器发送所述无线用户的授权信息请求消息,授权服务器向接入AC发送所述无线用户的包含网络服务和网络服务接入点信息的授权信息,所述网络服务接入点信息包含可以将无线用户接入到对应网络服务的接入控制器的IP地址;
G,所述接入AC通过所述网络服务接入点将所述无线用户接入到所述网络服务。
11.如权利要求10所述的方法,其特征在于,在步骤E之后,步骤F之前,还包括如下步骤:
所述接入AC通过认证服务器对所述无线用户进行接入认证。
12.如权利要求11所述的方法,其特征在于,对所述无线用户的接入认证成功后,在步骤G之前,还包括如下步骤:
所述接入AC和所述无线用户进行链路密钥协商。
13.如权利要求10或11或12所述的方法,其特征在于,无线用户的网络服务接入点的授权信息由无线局域网管理员在授权服务器上进行配置。
14.如权利要求10或11或12所述的方法,其特征在于,所述步骤G包括如下步骤:
所述接入AC为所述无线用户创建根据源MAC地址进行定向转发的二层表项,根据该表项将所述无线用户的报文转发到所述网络服务接入点;
所述网络服务接入点为所述无线用户生成漫游表项,根据该表项将发往所述无线用户的报文转发到所述接入AC。
15.如权利要求14所述的方法,其特征在于,所述网络服务接入点为所述无线用户生成漫游表项包括如下步骤:
所述网络服务接入点判断是否存在所述无线用户的漫游表项,如果存在,则将其目的地址更改为当前目的地址,否则,所述网络服务接入点为所述无线用户创建目的地址为所述接入AC地址的漫游表项。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006101699095A CN1976309B (zh) | 2006-12-22 | 2006-12-22 | 无线用户接入网络服务的方法、接入控制器和服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006101699095A CN1976309B (zh) | 2006-12-22 | 2006-12-22 | 无线用户接入网络服务的方法、接入控制器和服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1976309A CN1976309A (zh) | 2007-06-06 |
| CN1976309B true CN1976309B (zh) | 2010-08-18 |
Family
ID=38126115
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006101699095A Active CN1976309B (zh) | 2006-12-22 | 2006-12-22 | 无线用户接入网络服务的方法、接入控制器和服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1976309B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101262500B (zh) * | 2008-04-23 | 2011-02-09 | 杭州华三通信技术有限公司 | 推送登录页面的方法、接入控制器和web认证服务器 |
| CN102238543A (zh) * | 2010-04-27 | 2011-11-09 | 杭州华三通信技术有限公司 | 一种无线Portal认证的方法及无线控制器 |
| CN102271125B (zh) | 2010-06-02 | 2014-05-14 | 杭州华三通信技术有限公司 | 跨设备进行802.1x认证的方法及接入设备、接入控制设备 |
| CN101945388A (zh) * | 2010-10-14 | 2011-01-12 | 杭州华三通信技术有限公司 | 无线漫游认证方法、无线漫游方法及其装置 |
| CN103152734B (zh) * | 2013-02-18 | 2016-06-29 | 杭州华三通信技术有限公司 | 一种动态激活无线服务的方法及其设备 |
| CN105101152B (zh) * | 2014-05-15 | 2018-11-16 | 华为技术有限公司 | 无线终端在无线控制器之间的漫游方法及相关装置 |
| CN107770835B (zh) * | 2017-09-26 | 2022-05-17 | 上海尚往网络科技有限公司 | 一种连接无线接入点的方法、设备和计算机存储介质 |
| CN109495878B (zh) * | 2018-12-24 | 2021-05-28 | 新华三技术有限公司 | 一种接入认证方法及装置 |
| CN112469037A (zh) * | 2020-11-18 | 2021-03-09 | 深圳市家乡游网络科技有限公司 | 一种基于无线网络双协议的网络接入方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1399490A (zh) * | 2002-08-15 | 2003-02-26 | 西安西电捷通无线网络通信有限公司 | 无线局域网移动终端的安全接入方法 |
| CN1455556A (zh) * | 2003-05-14 | 2003-11-12 | 东南大学 | 无线局域网安全接入控制方法 |
| CN1549526A (zh) * | 2003-05-16 | 2004-11-24 | 华为技术有限公司 | 一种实现无线局域网鉴权的方法 |
| CN1553656A (zh) * | 2003-06-06 | 2004-12-08 | 华为技术有限公司 | 无线局域网中用户接入授权的方法 |
-
2006
- 2006-12-22 CN CN2006101699095A patent/CN1976309B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1399490A (zh) * | 2002-08-15 | 2003-02-26 | 西安西电捷通无线网络通信有限公司 | 无线局域网移动终端的安全接入方法 |
| CN1455556A (zh) * | 2003-05-14 | 2003-11-12 | 东南大学 | 无线局域网安全接入控制方法 |
| CN1549526A (zh) * | 2003-05-16 | 2004-11-24 | 华为技术有限公司 | 一种实现无线局域网鉴权的方法 |
| CN1553656A (zh) * | 2003-06-06 | 2004-12-08 | 华为技术有限公司 | 无线局域网中用户接入授权的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1976309A (zh) | 2007-06-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1976309B (zh) | 无线用户接入网络服务的方法、接入控制器和服务器 | |
| JP5771603B2 (ja) | メディア独立ハンドオーバプロトコルセキュリティ | |
| US8665819B2 (en) | System and method for providing mobility between heterogenous networks in a communication environment | |
| US8009626B2 (en) | Dynamic temporary MAC address generation in wireless networks | |
| JP4310193B2 (ja) | 移動クライアント装置をインターネットに接続する方法およびシステム | |
| KR101467780B1 (ko) | 이기종 무선접속망간 핸드오버 방법 | |
| US7672459B2 (en) | Key distribution and caching mechanism to facilitate client handoffs in wireless network systems | |
| US9071968B2 (en) | Method, apparatus, and system for centralized 802.1X authentication in wireless local area network | |
| US20050152305A1 (en) | Apparatus, method, and medium for self-organizing multi-hop wireless access networks | |
| JP4410070B2 (ja) | 無線ネットワークシステムおよび通信方法、通信装置、無線端末、通信制御プログラム、端末制御プログラム | |
| US7869438B2 (en) | Pre-authentication across an 802.11 layer-3 IP network | |
| JP2007074297A (ja) | 無線通信ネットワークのセキュリティ設定方法、セキュリティ設定プログラム、無線通信ネットワークシステム及びクライアント装置 | |
| JP2005516538A (ja) | インターネット・プロトコルベースのワイヤレス通信アレンジメント | |
| WO2007045147A1 (fr) | Procede, systeme et terminal de reseau d’acces du terminal de reseau local sans fil | |
| CN108738022B (zh) | 一种无线通信网络移动管理方法及系统 | |
| CN1989756A (zh) | 用于pana的独立于媒体的预认证支持的框架 | |
| US9084111B2 (en) | System and method for determining leveled security key holder | |
| CN102651707A (zh) | 一种无线网桥的自动配置方法 | |
| EP1947818B1 (en) | A communication system and a communication method | |
| WO2010130191A1 (zh) | 一种切换接入网的认证方法、系统和装置 | |
| CN100579042C (zh) | 在无线局域网中支持多个逻辑网络的方法及装置 | |
| Clancy | Secure handover in enterprise WLANs: CAPWAP, HOKEY, and IEEE 802.11 r | |
| EP2432263B1 (en) | Method and system for station switching when wireless terminal point completes wpi in convergent wlan | |
| CA2661050C (en) | Dynamic temporary mac address generation in wireless networks | |
| CN108353269A (zh) | Wlan中的订户简档预配置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: NEW H3C TECHNOLOGIES Co.,Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: HANGZHOU H3C TECHNOLOGIES Co.,Ltd. |
|
| CP03 | Change of name, title or address | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230619 Address after: 310052 11th Floor, 466 Changhe Road, Binjiang District, Hangzhou City, Zhejiang Province Patentee after: H3C INFORMATION TECHNOLOGY Co.,Ltd. Address before: 310052 Changhe Road, Binjiang District, Hangzhou, Zhejiang Province, No. 466 Patentee before: NEW H3C TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right |