CN101621802B - 一种无线网络中的入口认证方法、***和装置 - Google Patents
一种无线网络中的入口认证方法、***和装置 Download PDFInfo
- Publication number
- CN101621802B CN101621802B CN2009100912302A CN200910091230A CN101621802B CN 101621802 B CN101621802 B CN 101621802B CN 2009100912302 A CN2009100912302 A CN 2009100912302A CN 200910091230 A CN200910091230 A CN 200910091230A CN 101621802 B CN101621802 B CN 101621802B
- Authority
- CN
- China
- Prior art keywords
- sta
- authentication
- address
- forwarding capability
- local forwarding
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种无线网络中的入口(Portal)认证的方法、***和装置,其中方法包括:无线接入点(AP)接收到移动终端(STA)的认证请求后,通过无线接入点控制与供应协议(CAPWAP)隧道将该认证请求发送给接入控制器(AC),由AC转发给Portal服务器;AC在获知Portal服务器针对该STA认证成功后,通过CAPWAP隧道发送配置消息指示AP开启针对该STA的本地转发功能;在获知STA退出认证后,通过CAPWAP隧道发送配置消息指示AP关闭针对该STA的本地转发功能。本发明可以利用已有网络认证架构实现AP本地转发情况下的Portal认证,无需额外增加认证设备,节约组网成本。
Description
技术领域
本发明涉及无线局域网(WLAN)技术领域,特别涉及一种无线网络中的入口认证方法、***和装置。
背景技术
在目前的无线网络中,集中式无线局域网由于其管理性强和适用于大规模部署的优点得到越来越广泛的应用。在集中式无线局域网中,AC与AP之间可以通过专有的协议隧道进行连接,常用的是无线接入点控制与供应(CAPWAP,Controlling and Provisioning of Wireless Access Point)协议,通过CAPWAP隧道可以进行AP和AC之间数据的传输和配置管理。
在传统集中式无线局域网中,入口(Portal)认证通过AC发送至Portal服务器进行,在用户的Portal认证通过后,由AC进行该用户的移动终端(STA)的数据的转发,集中式无线局域网的现有认证架构如图1所示。
但随着无线通信技术的不断发展,AC的性能已经逐渐无法满足各AP下的用户数据转发,因此,本地转发技术应运而生,即AP和STA仍通过CAPWAP隧道由AC进行管理,但STA的数据则通过与其连接的AP进行转发,不再通过CAPWAP隧道集中由AC进行转发。由于数据不再通过AC,因此,无法通过现有的认证架构实现用户的Portal认证,而需要在与AP二层可达的地方额外增设Portal服务器,如图2所示。这样,在采用AP本地转发的情况下,就无法直接利用已有的网络架构,而不得不增加组网的设备数量,进而增加了成本。
发明内容
有鉴于此,本发明提供了一种无线网络中的Portal认证方法、***和装置,以便于利用已有网络认证架构实现AP本地转发情况下的Portal认证,不额外增加认证设备,节约组网成本。
一种无线网络中的Portal认证方法,该方法包括:
A、AP接收到STA的认证请求后,通过CAPWAP隧道将该认证请求发送给AC;
B、所述AC将所述认证请求发送给Portal服务器,在获知所述Portal服务器针对所述STA的认证成功后,通过所述CAPWAP隧道发送配置消息指示所述AP开启针对所述STA的本地转发功能;
C、所述AC获知所述STA退出认证后,通过所述CAPWAP隧道发送配置消息指示所述AP关闭针对所述STA的本地转发功能。
一种AP,该AP包括:报文收发单元和功能配置单元;
所述报文收发单元,用于接收到STA的认证请求后,通过CAPWAP隧道将该认证请求发送给AC;接收AC通过CAPWAP隧道发送的配置消息;在所述功能配置单元开启了针对所述STA的本地转发功能后,采用本地转发的方式对所述STA进行报文转发;
所述功能配置单元,用于在所述报文收发单元接收到指示开启针对所述STA的本地转发功能的配置消息时,开启针对所述STA的本地转发功能;在所述报文收发单元接收到指示关闭针对所述STA的本地转发功能的配置消息时,关闭针对所述STA的本地转发功能。
一种AC,该AC包括:报文收发单元、认证确定单元和管理配置单元;
所述报文收发单元,用于通过CAPWAP隧道接收到AP发送来的STA的认证请求后,将该认证请求发送给Portal服务器;
所述认证确定单元,用于在获知所述Portal服务器针对所述STA的认证成功后,向所述管理配置单元发送第一配置通知;在获知所述STA退出认证后,向所述管理配置单元发送第二配置通知;
所述管理配置单元,用于接收到所述第一配置通知后,通过所述CAPWAP隧道发送配置消息指示所述AP开启针对所述STA的本地转发功能;接收到所述第二配置通知后,通过所述CAPWAP隧道发送配置消息指示所述AP关闭针对所述STA的本地转发功能。
一种无线网络中的入口Portal认证***,该***包括:AP、AC和Portal服务器;
所述AP,用于接收到STA的认证请求后,通过CAPWAP隧道将该认证请求发送给所述AC;接收到第一配置消息后,开启针对所述STA的本地转发功能;接收到第二配置消息后,关闭针对所述STA的本地转发功能;
所述AC,用于将接收到的所述认证请求发送给所述Portal服务器,在获知所述Portal服务器针对所述STA的认证成功后,通过所述CAPWAP隧道向所述AP发送第一配置消息;获知所述STA退出认证后,通过所述CAPWAP隧道向所述AP发送第二配置消息;
所述Portal服务器,用于接收到所述认证请求后,对所述STA进行认证。
由以上技术方案可以看出,本发明提供的方法、***和装置中,AP将STA的认证请求通过CAPWAP隧道发送给AC,由AC转发给Portal服务器,并且AC在获知Portal服务器针对该STA认证成功后,通过CAPWAP隧道发送配置消息指示AP开启针对该STA的本地转发功能;在获知STA退出认证后,通过CAPWAP隧道发送配置消息指示AP关闭针对该STA的本地转发功能。也就是说,在认证通过之前,认证请求集中发送至AC,在认证通过之后,由AC配置AP开启通过认证的STA的本地转发功能。通过本发明可以利用已有网络认证架构实现AP本地转发情况下的Portal认证,无需额外增加认证设备,节约组网成本。
附图说明
图1为集中式无线组网的现有认证架构图;
图2为现有技术中AP本地转发情况下的认证架构图;
图3为本发明实施例提供的主要方法流程图;
图4为本发明实施例提供的详细方法流程图;
图5为本发明实施例一中的DHCP报文流向示意图;
图6为本发明实施例一中的认证报文流向示意图;
图7为本发明实施例二提供的详细方法流程图;
图8为本发明实施例提供的AP结构示意图;
图9为本发明实施例提供的AC结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
本发明所提供的方法可以如图3所示,主要包括以下步骤:
步骤301:AP接收到STA的认证请求后,通过CAPWAP隧道将该认证请求发送给AC。
步骤302:AC将该认证请求转发给Portal服务器,在获知Portal服务器针对该STA的认证成功后,通过CAPWAP隧道发送配置消息指示AP开启针对该STA的本地转发功能。
步骤303:AC获知该STA退出认证后,通过CAPWAP隧道发送配置消息指示AP关闭针对该STA的本地转发功能。
下面结合具体实施例对本发明提供的上述方法进行详细描述。
实施例一:
图4为本发明实施例一提供的详细方法流程图,在该流程中仍使用如图1所示的现有认证架构来实现AP本地转发情况下的认证,在该方法中,在AP上配置STA认证通过前关闭本地转发功能,且默认开启下行本地转发功能。如图4所示,该方法可以包括以下步骤:
步骤401:STA连接到AP后,发送动态主机配置协议(DHCP)请求报文。
在STA初始连接到AP后,会发现该STA没有任何IP地址设定,就会发送一个携带该STA的MAC地址的DHCP请求报文,该DHCP请求报文的源地址会为0.0.0.0,而目的地址则为255.255.255.255。
步骤402:AP通过与AC之间的CAPWAP隧道将DHCP请求报文发送给AC,由AC转发给DHCP服务器。
由于AP在用户认证通过前不开启本地转发功能,因此,AP会将STA发送来的所有报文都通过CAPWAP隧道发送给AC。在AC接收到DHCP请求报文后,对该DHCP请求报文进行DHCP中继(DHCP Relay)操作,转发至与其连接的DHCP服务器。
步骤403:DHCP服务器为该STA分配IP地址,并确定该STA在后续的AP本地转发时使用的用户网关IP地址,将这些IP地址信息发送给AC。
步骤404:AC将该IP地址信息通过CAPWAP隧道发送给AP,再由AP发送给STA。
本步骤中,仍通过AC的DHCP Relay功能将DHCP服务器回复的IP地址信息通过CAPWAP隧道发送给AP,再进一步由AP发送给STA。
经过上述步骤后,STA便获取到分配的IP地址,并且,AC上会保存STA的IP地址和MAC地址之间对应关系的ARP表项。AP上会存储该STA的IP地址、MAC地址以及该STA对应的用户网关IP地址之间的对应关系,在开启针对该STA的本地转发功能后,使用该对应关系进行本地转发时使用。
上述DHCP请求过程的报文流向可以如图5所示。
步骤405:STA发送目的IP地址为用户网关IP地址的HTTP请求报文,AP接收到该HTTP请求报文后通过CAPWAP隧道发送至AC。
用户打开Internet上的超文本传输协议(HTTP)页面后,由于该用户尚没有通过认证,会触发认证过程的开始。首先会发送目的IP地址为用户网关IP地址的HTTP请求报文来获取用户网关的MAC地址,以便进行后续的二层转发。AP接收到该HTTP请求报文后,仍会将该HTTP请求报文通过CAPWAP隧道发送至AC。
步骤406:AC接收到该HTTP请求报文后,利用预先配置的ARP表项代替用户网关通过CAPWAP隧道向STA进行ARP应答。
由于AC尚并不存在用户网关的MAC地址信息,因此,需要预先在该AC上配置各用户网关的ARP表项,即IP地址与MAC地址之间的对应关系,并在AC上配置用户网关的ARP代答功能。AC接收到HTTP请求报文后,将用户网关的MAC地址通过CAPWAP隧道发送给AP,再由AP发送给STA。AP和STA都会存储该用户网关的ARP表项。
步骤407:STA发送认证请求,AP通过CAPWAP隧道将认证请求发送给AC,AC接收到该认证请求后将该认证请求重定向至Portal服务器。
通常,该认证请求中的目的地址为用户网关的地址,AC在接收到认证请求后,会向STA回复HTTP重定向告知Portal服务器的IP地址。STA根据该HTTP重定向,重新发送认证请求,由AC将该认证请求转发至向Portal服务器。
需要说明的是,如果用户直接使用登录页面,也可以不执行步骤405和406,直接执行步骤407发送认证请求,并在步骤407中进行ARP应答。
步骤408:Portal服务器接收到认证请求后,对该用户进行认证,认证通过后,告知AC认证成功,并向STA发送认证成功响应。
其中,告知AC认证成功可以通过向AC发送认证成功消息的方式实现,该方式是Portal认证已有的标准方式。
该认证成功响应的目的IP地址为STA的IP地址。向STA发送的认证成功响应首先发送至中央路由器,由于STA的IP地址是用户网关的IP地址所在网段下的IP地址,因此,中央路由器会将该认证成功响应发送至用户网关。
用户网关接收到该认证成功响应后,会向其所连接的所有AP广播包含该STA的IP地址的ARP请求,由于AP默认开启了下行的本地转发功能,因此,与该STA连接的AP接收到该ARP请求后,会代替STA进行ARP应答,告知该用户网关该STA的MAC地址,用户网关存储该STA的IP地址和MAC地址的ARP表项,并利用该表项进行后续的报文转发。用户网关利用该ARP表项将认证成功响应发送给AP,由AP转发给STA。
需要说明的是,中央路由器为AC与Portal服务器之间的路由器或路由器网络的统称。
步骤409:AC获知认证成功后,向AP发送开启针对该STA的上行本地转发功能的配置消息,AP接收到该配置消息后,开启针对该STA的上行本地转发功能。
AC向AP发送的配置消息中可以包括该STA的MAC地址信息,AP接收到该配置消息后,针对该STA的MAC地址使能上行本地转发。
AP在接收到STA发送的报文后,可以首先判断是否针对该STA开启了上行本地转发功能,如果是,则对该报文进行本地转发,否则,通过CAPWAP隧道将该报文发送至AC。
也就是说,STA认证成功后,AP便会开启针对该STA的上行本地转发功能,且该AP已经具有下行本地转发功能,因此,后续针对该STA的报文,便可以通过AP的本地转发功能来进行转发,而不必集中发送至AC进行转发。
如果认证失败,则Protal服务器会告知AC认证失败,并向STA发送认证失败响应,该认证失败响应的转发路径与认证成功响应相同。AC获知认证失败后,便不会向AP发送开启针对该STA的上行本地转发功能的配置消息,则针对该STA则不会实现上行数据的本地转发,从而达到Portal认证的目的。
Portal认证过程,即步骤407至409的报文流向可以如图6所示。
如果用户退出认证,则可以继续执行以下步骤:
步骤410:用户退出认证时,按照现有Portal退出认证流程执行,即Portal服务器向AC告知该用户的STA退出登录。AC通过CAPWAP隧道向AP发送关闭针对该STA的上行本地转发功能的配置消息。
用户退出认证可能存在两种情况:其一是,用户下线,STA会向Portal服务器发送认证退出请求报文,Portal服务器接收到该退出请求报文后,通知AC该STA退出认证,AC删除存储的该STA的相关ARP表项;其二,STA关机,Portal服务器和STA之间会周期性地发送心跳报文,如果Portal服务器在设定时间内没有收到STA的心跳报文,则认为STA故障,Portal服务器通知AC该STA退出认证,AC删除存储的该STA的相关ARP表项。
当用户退出认证后,AC会相应地通知AP关闭针对该STA的上行本地转发功能。这样,该STA在下次上线时,仍按照图4所示流程执行完整的认证流程来开启AP针对该STA的本地转发。
实施例一在认证报文的交互过程中采用的是不对称路径,这是通过在AP上默认开启针对STA的下行本地转发功能实现的。除此之外,还可以在认证报文的交互过程中始终采用对称路径,这样无需默认开启针对该STA的下行本地转发功能,而在认证成功后在同时开启针对该STA的上行和下行本地转发功能,下面在实施例二中对这种情况进行详细描述。
实施例二:
图7为本发明实施例二提供的详细方法流程图,同样,在该流程中仍使用如图1所示的现有认证架构来实现AP本地转发情况下的认证,如图7所示,该方法可以包括以下步骤:
步骤701-707与步骤401-407相同,不再赘述。
在该实施例中,AP在初始时默认关闭STA的上行和下行本地转发功能。
步骤708:Portal服务器接收到认证请求后,对该用户进行认证,认证通过后,向STA发送认证成功响应。
该认证成功响应的目的IP地址为该STA的IP地址。
在该实施例中,由于AP初始时关闭STA的下行本地转发功能,因此,认证成功响应仍然需要通过AC转发给STA,而不能通过用户网关来进行认证成功响应的下行发送。此时,可以在AC上启动诸如开放式最短路径优先(OSPF)的动态路由协议,AC将收集到的该STA的主机明细路由发送至中央路由器,使得该中央路由器在接收到Protal服务器的认证成功响应后,根据主机该STA的主机明细路由将该认证成功响应发送给AC。
假设STA和用户网关所在网段为10.0.0.0,STA具体的IP地址为10.0.0.10,用户网关的IP地址为10.0.0.1,如果AC不将主机明细路由发送至中央路由器,则中央路由器仅知晓STA在用户网关所在网段中,因此,会将认证成功响应发送至用户网关;如果AC将主机明细路由即10.0.0.10对应的路由发送至中央路由器,则中央路由器会选择将该认证成功响应按照主机明细路由进行发送,即发送给AC。
步骤709:AC接收到认证成功响应后,将该认证成功响应通过CAPWAP隧道发送给AP,并通过CAPWAP隧道向AP发送开启针对该STA的上行和下行本地转发功能的配置消息。
步骤710:AP将接收到的认证成功响应发送给STA,并按照接收到的配置消息开启针对该STA的上行和下行本地转发功能。
步骤711:用户退出认证时,按照现有Portal退出认证流程执行,AC获知该用户的STA退出登录时,AC通过CAPWAP隧道向AP发送关闭针对该STA的上行和下行本地转发功能的配置消息,并通知中央路由器删除该STA的主机明细路由。
在该实施例二中,需要中央路由器及时更新来自AC的STA的主机路由,这相比较实施例一对组网中的路由器具有一定性能要求。
以上是对本发明所提供的方法进行的详细描述,下面对本发明所提供的***和装置进行详细描述。
本发明所提供的Portal认证***可以如图1所示的架构,只是某些设备的功能发生了变更,该***可以包括:AP、AC和Portal服务器。
AP,用于接收到STA的认证请求后,通过CAPWAP隧道将该认证请求发送给AC;接收到第一配置消息后,开启针对STA的本地转发功能;接收到第二配置消息后,关闭针对STA的本地转发功能。
AC,用于将接收到的认证请求发送给Portal服务器,在获知Portal服务器针对STA的认证成功后,通过CAPWAP隧道向AP发送第一配置消息;获知STA退出认证后,通过CAPWAP隧道向AP发送第二配置消息。
Portal服务器,用于接收到认证请求后,对STA进行认证。
由于通常在STA与AP建立连接后且进行认证之前,需要进行DHCP过程,因此,该***还可以包括:DHCP服务器。
AP,还用于接收STA在连接到该AP后发送的DHCP请求报文,并将该DHCP请求报文通过CAPWAP隧道发送给AC;将接收到的STA的IP地址和STA的用户网关IP地址转发给STA,并存储STA的IP地址、STA的MAC地址和用户网关IP地址之间的对应关系。
AC,还用于将接收到的DHCP报文发送给DHCP服务器;将DHCP服务器返回的STA的IP地址和STA的用户网关IP地址通过CAPWAP隧道发送给AP。
DHCP服务器,用于接收到DHCP报文后,为STA分配IP地址,并将分配的STA的IP地址和STA的用户网关IP地址返回给AC。
另外,AC还可以用于利用预先配置的包含用户网关的IP地址和MAC地址的ARP表项,进行针对用户网关的ARP应答。
该***还可以包括:用户网关以及在Portal服务器和AC之间的中央路由器。对于具体的认证成功响应回复过程,可以采用以下两种方式:
第一种方式:
AP初始默认开启针对STA的下行本地转发功能,关闭针对STA的上行本地转发功能;接收到第一配置消息后,开启针对STA的上行本地转发功能,接收到第二配置消息后,关闭针对STA的上行本地转发功能。
Portal服务器,还可以用于在针对STA认证成功后,向AC发送认证成功消息,并发送目的IP地址为STA的IP地址的认证成功响应。
AC接收到认证成功消息后,获知Portal服务器针对STA的认证成功。
中央路由器,用于接收到认证成功响应后,将认证成功响应发送给用户网关。
用户网关,用于将接收到的认证成功响应经由AP发送给STA。
第二种方式:
AC利用预先启动的动态路由协议,将收集到的STA的主机明细路由发送至中央路由器。
Portal服务器,还可以用于在针对STA认证成功后,发送目的IP地址为STA的IP地址的认证成功响应。
中央路由器,用于根据STA的主机明细路由,将Portal服务器发送的认证成功响应发送给AC。
AC接收到认证成功响应后获知Portal服务器针对STA的认证成功,并通过CAPWAP隧道将认证成功响应发送给AP;获知STA退出认证后,通知中央路由器删除STA的主机明细路由。
AP,还用于将接收到的认证成功响应发送给STA;接收到第一配置消息后,开启针对STA的上行和下行本地转发功能;接收到第二配置消息后,关闭针对STA的上行和下行本地转发功能。
图8为本发明实施例提供的AP结构示意图,如图8所示,该AP可以包括:报文收发单元801和功能配置单元802。
报文收发单元801,用于接收到STA的认证请求后,通过CAPWAP隧道将该认证请求发送给AC;接收AC通过CAPWAP隧道发送的配置消息;在功能配置单元802开启了针对STA的本地转发功能后,采用本地转发的方式对STA进行报文转发。
功能配置单元802,用于在报文收发单元801接收到指示开启针对STA的本地转发功能的配置消息时,开启针对STA的本地转发功能;在报文收发单元801接收到指示关闭针对STA的本地转发功能的配置消息时,关闭针对STA的本地转发功能。
另外,报文收发单元801,还可以用于将接收到的DHCP请求报文通过CAPWAP隧道发送给AC;通过CAPWAP隧道接收AC发送的STA的IP地址和STA的用户网关IP地址,将该STA的IP地址和用户网关IP地址转发给STA,并存储STA的IP地址、STA的MAC地址和用户网关IP地址之间的对应关系。
针对上述的两种认证的方式,AP也可以采用以下两种结构:
其一、功能配置单元802初始默认开启针对STA的下行本地转发功能,关闭针对STA的上行本地转发功能;在报文收发单元801接收到指示开启针对STA的本地转发功能的配置消息时,开启针对STA的上行本地转发功能;在报文收发单元801接收到指示关闭针对STA的本地转发功能的配置消息时,关闭针对STA的上行本地转发功能。
报文转发单元801,还用于接收到Portal服务器经由中央路由器和用户网关发送来的认证成功响应后,将该认证成功响应发送给STA。
此时,该AP还可以包括:ARP代答单元803。
报文收发单元801,还用于接收到用户网关的ARP请求后,将该ARP请求发送给ARP代答单元803;将ARP代答单元803提供的ARP响应发送给用户网关。
ARP代答单元803,用于判断ARP请求中包含的IP地址是否为自身所连接STA的IP地址,如果是,则将该IP地址对应的STA的MAC地址包含在ARP响应中提供给报文收发单元801。
其二、功能配置单元802在报文收发单元801接收到指示开启针对STA的本地转发功能的配置消息时,开启针对STA的上行和下行本地转发功能;在报文收发单元801接收到指示关闭针对STA的本地转发功能的配置消息时,关闭针对STA的上行和下行本地转发功能。
报文转发单元801,还用于接收到Portal服务器经由AC发送来的认证成功响应后,将该认证成功响应发送给STA。
图9为本发明实施例提供的AC结构示意图,如图9所示,该AC可以包括:报文收发单元901、认证确定单元902和管理配置单元903。
报文收发单元901,用于通过CAPWAP隧道接收到AP发送来的STA的认证请求后,将该认证请求发送给Portal服务器。
认证确定单元902,用于在获知Portal服务器针对STA的认证成功后,向管理配置单元903发送第一配置通知;在获知STA退出认证后,向管理配置单元903发送第二配置通知。
管理配置单元903,用于接收到第一配置通知后,通过CAPWAP隧道发送配置消息指示AP开启针对STA的本地转发功能;接收到第二配置通知后,通过CAPWAP隧道发送配置消息指示AP关闭针对STA的本地转发功能。
另外,该AC还可以包括:ARP代答单元904,用于根据预先配置在该AC上的包含用户网关的IP地址和MAC地址的ARP表项,进行针对用户网关的ARP应答。
同样针对上述的两种认证响应回复方式,AC也可以存在以下两种结构:
其一、当AP初始默认开启针对STA的下行本地转发功能,关闭针对STA的上行本地转发功能时,认证确定单元902在报文收发单元901接收到Portal服务器发送的认证成功消息后,获知Portal服务器针对STA的认证成功。
其二、该AC还可以包括:路由发送单元905,用于利用预先在该AC上启动的动态路由协议,将收集到的STA的主机明细路由发送至中央路由器;在认证确定单元902获知STA退出认证后,通知中央路由器删除STA的主机明细路由;其中,中央路由器为Portal服务器和AC之间的路由器或路由器网络。
认证确定单元902在报文收发单元901接收到Portal服务器发送的认证成功响应后,获知Portal服务器针对STA的认证成功。
报文收发单元901,还用于接收到认证成功响应后,将认证成功响应通过CAPWAP隧道发送给AP。
由以上描述可以看出,本发明提供的方法、***和装置中,AP将STA的认证请求通过CAPWAP隧道发送给AC,由AC转发给Portal服务器,并且AC在获知Portal服务器针对该STA认证成功后,通过CAPWAP隧道发送配置消息指示AP开启针对该STA的本地转发功能;在获知STA退出认证后,通过CAPWAP隧道发送配置消息指示AP关闭针对该STA的本地转发功能。也就是说,在认证通过之前,认证请求集中发送至AC,在认证通过之后,由AC配置AP开启通过认证的STA的本地转发功能。通过本发明可以利用已有网络认证架构实现AP本地转发情况下的Portal认证,无需额外增加认证设备,节约组网成本。
另外,本发明中,AP仅需要在认证之前和认证过程中,将接收到的所有报文都转发到AC进行集中处理,在认证成功完成之后,便开启了本地转发功能,在AP本地完成通过认证的STA的报文转发,从而减轻了AC的性能负担。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (22)
1.一种无线网络中的入口Portal认证方法,其特征在于,该方法包括:
A、无线接入点AP接收到移动终端STA的认证请求后,通过无线接入点控制与供应协议CAPWAP隧道将该认证请求发送给接入控制器AC;
B、所述AC将所述认证请求发送给Portal服务器,在获知所述Portal服务器针对所述STA的认证成功后,通过所述CAPWAP隧道发送配置消息指示所述AP开启针对所述STA的本地转发功能;
C、所述AC获知所述STA退出认证后,通过所述CAPWAP隧道发送配置消息指示所述AP关闭针对所述STA的本地转发功能。
2.根据权利要求1所述的方法,其特征在于,在所述步骤A之前还包括:
D1、所述STA连接到所述AP后,发送动态主机配置协议DHCP请求报文;
D2、所述AP将所述DHCP请求报文通过CAPWAP隧道发送给所述AC,并由所述AC发送至DHCP服务器;
D3、所述AC将所述DHCP服务器返回的所述STA的IP地址和所述STA的用户网关IP地址通过CAPWAP隧道发送给所述AP;
D4、所述AP将所述STA的IP地址和所述用户网关IP地址转发给所述STA,并存储所述STA的IP地址、STA的MAC地址和用户网关IP地址之间的对应关系。
3.根据权利要求2所述的方法,其特征在于,该方法还包括:预先在所述AC上配置包含用户网关的IP地址和MAC地址的ARP表项,利用该ARP表项进行针对所述用户网关的ARP应答。
4.根据权利要求1或3任一权项所述的方法,其特征在于,AP初始默认开启针对所述STA的下行本地转发功能,关闭针对所述STA的上行本地转发功能;
步骤B中获知所述Portal服务器针对所述STA的认证成功包括:所述Portal服务器在针对所述STA认证成功后,向所述AC发送认证成功消息,并发送目的IP地址为STA的IP地址的认证成功响应;中央路由器将所述认证成功响应发送给用户网关,由所述用户网关将该认证成功响应经由所述AP发送给所述STA;其中,所述中央路由器为所述Portal服务器和所述AC之间的路由器或路由器网络。
5.根据权利要求4所述的方法,其特征在于,由所述用户网关将该认证成功响应经由所述AP发送给所述STA包括:
所述用户网关接收到所述认证成功响应后,向与该用户网关连接的AP广播包含所述STA的IP地址的ARP请求;
与所述STA连接的AP接收到所述ARP请求后,向所述用户网关回复包含所述STA的MAC地址的ARP响应;
所述用户网关接收到所述ARP响应后,存储包含所述STA的IP地址和MAC地址的ARP表项,并利用该ARP表项发送所述认证成功响应。
6.根据权利要求4所述的方法,其特征在于,步骤B中所述开启针对所述STA的本地转发功能为:开启针对所述STA的上行本地转发功能;
步骤C中所述关闭针对所述STA的本地转发功能为:关闭针对所述STA的上行本地转发功能。
7.根据权利要求1至3任一权项所述的方法,其特征在于,该方法还包括:预先在所述AC上启动动态路由协议,AC将收集到的所述STA的主机明细路由发送至中央路由器;
步骤B中获知所述Portal服务器针对所述STA的认证成功包括:所述Portal服务器在针对所述STA认证成功后,发送目的IP地址为STA的IP地址的认证成功响应;中央路由器根据所述STA的主机明细路由将所述认证成功响应发送给所述AC;其中,所述中央路由器为所述Portal服务器和所述AC之间的路由器或路由器网络;所述AC通过所述CAPWAP隧道将所述认证成功响应发送给所述AP,由所述AP发送给所述STA。
8.根据权利要求7所述的方法,其特征在于,步骤B中所述开启针对所述STA的本地转发功能为:开启针对所述STA的上行和下行本地转发功能;
步骤C中所述关闭针对所述STA的本地转发功能为:关闭针对所述STA的上行和下行本地转发功能;
所述步骤C还包括:所述AC通知所述中央路由器删除所述STA的主机明细路由。
9.一种无线接入点AP,其特征在于,该AP包括:报文收发单元和功能配置单元;
所述报文收发单元,用于接收到移动终端STA的认证请求后,通过无线接入点控制与供应协议CAPWAP隧道将该认证请求发送给无线控制器AC;接收AC通过CAPWAP隧道发送的配置消息;在所述功能配置单元开启了针对所述STA的本地转发功能后,采用本地转发的方式对所述STA进行报文转发;
所述功能配置单元,用于在所述报文收发单元接收到指示开启针对所述STA的本地转发功能的配置消息时,开启针对所述STA的本地转发功能;在所述报文收发单元接收到指示关闭针对所述STA的本地转发功能的配置消息时,关闭针对所述STA的本地转发功能。
10.根据权利要求9所述的AP,其特征在于,所述报文收发单元,还用于将接收到的动态主机配置协议DHCP请求报文通过CAPWAP隧道发送给所述AC;通过CAPWAP隧道接收AC发送的所述STA的IP地址和STA的用户网关IP地址,将该所述STA的IP地址和所述用户网关IP地址转发给所述STA,并存储所述STA的IP地址、STA的MAC地址和用户网关IP地址之间的对应关系。
11.根据权利要求9或10所述的AP,其特征在于,所述功能配置单元初始默认开启针对所述STA的下行本地转发功能,关闭针对所述STA的上行本地转发功能;在所述报文收发单元接收到指示开启针对所述STA的本地转发功能的配置消息时,开启针对所述STA的上行本地转发功能;在所述报文收发单元接收到指示关闭针对所述STA的本地转发功能的配置消息时,关闭针对所述STA的上行本地转发功能。
所述报文转发单元,还用于接收到入口Portal服务器经由中央路由器和用户网关发送来的认证成功响应后,将该认证成功响应发送给所述STA。
12.根据权利要求11所述的AP,其特征在于,该AP还包括:ARP代答单元;
所述报文收发单元,还用于接收到所述用户网关的ARP请求后,将该ARP请求发送给ARP代答单元;将所述ARP代答单元提供的ARP响应发送给所述用户网关;
所述ARP代答单元,用于判断所述ARP请求中包含的IP地址是否为自身所连接STA的IP地址,如果是,则将该IP地址对应的STA的MAC地址包含在ARP响应中提供给所述报文收发单元。
13.根据权利要求9或10所述的AP,其特征在于,所述功能配置单元在所述报文收发单元接收到指示开启针对所述STA的本地转发功能的配置消息时,开启针对所述STA的上行和下行本地转发功能;在所述报文收发单元接收到指示关闭针对所述STA的本地转发功能的配置消息时,关闭针对所述STA的上行和下行本地转发功能。
所述报文转发单元,还用于接收到Portal服务器经由所述AC发送来的认证成功响应后,将该认证成功响应发送给所述STA。
14.一种无线控制器AC,其特征在于,该AC包括:报文收发单元、认证确定单元和管理配置单元;
所述报文收发单元,用于通过无线接入点控制与供应协议CAPWAP隧道接收到无线接入点AP发送来的移动终端STA的认证请求后,将该认证请求发送给入口Portal服务器;
所述认证确定单元,用于在获知所述Portal服务器针对所述STA的认证成功后,向所述管理配置单元发送第一配置通知;在获知所述STA退出认证后,向所述管理配置单元发送第二配置通知;
所述管理配置单元,用于接收到所述第一配置通知后,通过所述CAPWAP隧道发送配置消息指示所述AP开启针对所述STA的本地转发功能;接收到所述第二配置通知后,通过所述CAPWAP隧道发送配置消息指示所述AP关闭针对所述STA的本地转发功能。
15.根据权利要求14所述的AC,其特征在于,该AC还包括:ARP代答单元,用于根据预先配置在该AC上的包含用户网关的IP地址和MAC地址的ARP表项,进行针对所述用户网关的ARP应答。
16.根据权利要求14或15所述的AC,其特征在于,当所述AP初始默认开启针对所述STA的下行本地转发功能,关闭针对所述STA的上行本地转发功能时,所述认证确定单元在所述报文收发单元接收到所述Portal服务器发送的认证成功消息后,获知所述Portal服务器针对所述STA的认证成功。
17.根据权利要求14或15所述的AC,其特征在于,该AC还包括:路由发送单元,用于利用预先在该AC上启动的动态路由协议,将收集到的所述STA的主机明细路由发送至中央路由器;在所述认证确定单元获知所述STA退出认证后,通知所述中央路由器删除所述STA的主机明细路由;其中,所述中央路由器为所述Portal服务器和所述AC之间的路由器或路由器网络;
所述认证确定单元在所述报文收发单元接收到所述Portal服务器发送的认证成功响应后,获知所述Portal服务器针对所述STA的认证成功;
所述报文收发单元,还用于接收到所述认证成功响应后,将所述认证成功响应通过所述CAPWAP隧道发送给所述AP。
18.一种无线网络中的入口Portal认证***,其特征在于,该***包括:无线接入点AP、无线控制器AC和Portal服务器;
所述AP,用于接收到移动终端STA的认证请求后,通过无线接入点控制与供应协议CAPWAP隧道将该认证请求发送给所述AC;接收到第一配置消息后,开启针对所述STA的本地转发功能;接收到第二配置消息后,关闭针对所述STA的本地转发功能;
所述AC,用于将接收到的所述认证请求发送给所述Portal服务器,在获知所述Portal服务器针对所述STA的认证成功后,通过所述CAPWAP隧道向所述AP发送第一配置消息;获知所述STA退出认证后,通过所述CAPWAP隧道向所述AP发送第二配置消息;
所述Portal服务器,用于接收到所述认证请求后,对所述STA进行认证。
19.根据权利要求18所述的***,其特征在于,该***还包括:动态主机配置协议DHCP服务器;
所述AP,还用于接收所述STA在连接到该AP后发送的DHCP请求报文,并将该DHCP请求报文通过CAPWAP隧道发送给所述AC;将接收到的STA的IP地址和STA的用户网关IP地址转发给所述STA,并存储所述STA的IP地址、STA的MAC地址和用户网关IP地址之间的对应关系;
所述AC,还用于将接收到的DHCP报文发送给DHCP服务器;将所述DHCP服务器返回的STA的IP地址和STA的用户网关IP地址通过CAPWAP隧道发送给所述AP;
所述DHCP服务器,用于接收到所述DHCP报文后,为所述STA分配IP地址,并将分配的STA的IP地址和STA的用户网关IP地址返回给所述AC。
20.根据权利要求19所述的***,其特征在于,所述AC,还用于利用预先配置的包含用户网关的IP地址和MAC地址的ARP表项,进行针对所述用户网关的ARP应答。
21.根据权利要求18至20任一权项所述的***,其特征在于,该***还包括:用户网关以及在所述Portal服务器和所述AC之间的中央路由器;
所述AP初始默认开启针对所述STA的下行本地转发功能,关闭针对所述STA的上行本地转发功能;接收到所述第一配置消息后,开启针对所述STA的上行本地转发功能,接收到所述第二配置消息后,关闭针对所述STA的上行本地转发功能;
所述Portal服务器,还用于在针对所述STA认证成功后,向所述AC发送认证成功消息,并发送目的IP地址为STA的IP地址的认证成功响应;
所述AC接收到所述认证成功消息后,获知所述Portal服务器针对所述STA的认证成功;
中央路由器,用于接收到所述认证成功响应后,将所述认证成功响应发送给用户网关;
所述用户网关,用于将接收到的所述认证成功响应经由所述AP发送给所述STA。
22.根据权利要求18至20任一权项所述的***,其特征在于,该***还包括:用户网关以及在所述Portal服务器和所述AC之间的中央路由器;
所述AC,还用于利用预先启动的动态路由协议,将收集到的所述STA的主机明细路由发送至所述中央路由器;
所述Portal服务器,还用于在针对所述STA认证成功后,发送目的IP地址为STA的IP地址的认证成功响应;
所述中央路由器,用于根据所述STA的主机明细路由,将所述Portal服务器发送的认证成功响应发送给所述AC;
所述AC接收到所述认证成功响应后获知所述Portal服务器针对所述STA的认证成功,并通过所述CAPWAP隧道将所述认证成功响应发送给所述AP;获知所述STA退出认证后,通知所述中央路由器删除所述STA的主机明细路由;
所述AP,还用于将接收到的所述认证成功响应发送给所述STA;接收到所述第一配置消息后,开启针对所述STA的上行和下行本地转发功能;接收到所述第二配置消息后,关闭针对所述STA的上行和下行本地转发功能。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100912302A CN101621802B (zh) | 2009-08-13 | 2009-08-13 | 一种无线网络中的入口认证方法、***和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100912302A CN101621802B (zh) | 2009-08-13 | 2009-08-13 | 一种无线网络中的入口认证方法、***和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101621802A CN101621802A (zh) | 2010-01-06 |
| CN101621802B true CN101621802B (zh) | 2012-02-08 |
Family
ID=41514775
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009100912302A Active CN101621802B (zh) | 2009-08-13 | 2009-08-13 | 一种无线网络中的入口认证方法、***和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101621802B (zh) |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102404720B (zh) | 2010-09-19 | 2014-10-08 | 华为技术有限公司 | 无线局域网中密钥的发送方法及装置 |
| CN102869065B (zh) * | 2011-07-07 | 2015-04-08 | 中国科学院上海高等研究院 | 一种基于wlan的轨道交通通信***的快速路由更新方法 |
| CN102281594B (zh) | 2011-09-06 | 2014-06-11 | 华为技术有限公司 | 一种报文转发方法及无线访问节点、*** |
| CN103220650B (zh) * | 2012-01-18 | 2016-04-06 | 华为技术有限公司 | 一种WiFi终端访问不同业务域的方法和装置 |
| CN102647715A (zh) * | 2012-03-27 | 2012-08-22 | 华为技术有限公司 | 一种传递eap认证目的mac地址的方法 |
| CN103428697B (zh) * | 2012-05-22 | 2016-12-07 | 华为技术有限公司 | 基于capwap协议的网络接入方法、装置和*** |
| CN102739684B (zh) * | 2012-06-29 | 2015-03-18 | 杭州迪普科技有限公司 | 一种基于虚拟IP地址的Portal认证方法及服务器 |
| CN103702312B (zh) * | 2012-09-27 | 2017-06-16 | 华为技术有限公司 | 无线信息传输方法和设备 |
| CN103118064A (zh) * | 2012-11-22 | 2013-05-22 | 杭州华三通信技术有限公司 | 一种Portal集中认证的方法和装置 |
| CN104283858B (zh) | 2013-07-09 | 2018-02-13 | 华为技术有限公司 | 控制用户终端接入的方法、装置及*** |
| CN105635327B (zh) * | 2014-10-28 | 2019-08-06 | 新华三技术有限公司 | 一种地址分配的方法和设备 |
| US10623502B2 (en) | 2015-02-04 | 2020-04-14 | Blackberry Limited | Link indication referring to content for presenting at a mobile device |
| US10505913B2 (en) * | 2015-03-23 | 2019-12-10 | Biglobe Inc. | Communication management system, access point, communication management device, connection control method, communication management method, and program |
| CN106686635B (zh) * | 2015-11-09 | 2020-05-15 | 大唐软件技术股份有限公司 | 基于无线接入点的控制和配置协议的数据传输方法和装置 |
| CN106570099A (zh) * | 2016-10-24 | 2017-04-19 | 上海斐讯数据通信技术有限公司 | Portal页面中媒体文件的存储及获取方法、Portal服务器及终端 |
| CN106488458B (zh) * | 2016-12-21 | 2020-04-24 | 锐捷网络股份有限公司 | 检测网关arp欺骗的方法及装置 |
| CN108011742A (zh) * | 2017-02-17 | 2018-05-08 | 湖北亘华工科有限公司 | 一种wlan数据集中转发切换本地转发的设备及方法 |
| CN107612741B (zh) * | 2017-09-30 | 2021-04-16 | 迈普通信技术股份有限公司 | 信息处理方法、装置及*** |
| CN112399417B (zh) * | 2017-10-16 | 2023-07-07 | 安科讯(福建)科技有限公司 | 保证流畅上网的Portal认证方法及无线接入控制器 |
| CN111225376A (zh) * | 2018-11-26 | 2020-06-02 | 中国电信股份有限公司 | 认证方法、***、无线接入点ap和计算机可读存储介质 |
| CN109889389B (zh) * | 2019-03-12 | 2022-02-11 | 苏州汉明科技有限公司 | 支持云ac进行集中式转发的***及其转发报文的方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1455556A (zh) * | 2003-05-14 | 2003-11-12 | 东南大学 | 无线局域网安全接入控制方法 |
| CN101212297A (zh) * | 2006-12-28 | 2008-07-02 | ***通信集团公司 | 基于web的wlan接入认证方法及*** |
-
2009
- 2009-08-13 CN CN2009100912302A patent/CN101621802B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1455556A (zh) * | 2003-05-14 | 2003-11-12 | 东南大学 | 无线局域网安全接入控制方法 |
| CN101212297A (zh) * | 2006-12-28 | 2008-07-02 | ***通信集团公司 | 基于web的wlan接入认证方法及*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101621802A (zh) | 2010-01-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101621802B (zh) | 一种无线网络中的入口认证方法、***和装置 | |
| US10536211B2 (en) | Mobile device relay service for reliable internet of things | |
| CN102084712B (zh) | 在短距离非授权无线网络和广域无线网络上选择性地传送数据的移动设备和方法 | |
| CN112106397A (zh) | 提供备用网络连接的无线接入点和方法 | |
| CN103118064A (zh) | 一种Portal集中认证的方法和装置 | |
| US8634556B2 (en) | Communication apparatus and control method | |
| KR20080032078A (ko) | 무선 네트워크에서 동작하기 위한 무선국, 방법, 및 컴퓨터판독가능 매체 | |
| JP2009533985A (ja) | 移動性管理のための擬似配線 | |
| US9998962B2 (en) | Method for processing radio access, forwarding device, and network controller | |
| CN106899500B (zh) | 一种跨虚拟可扩展局域网的报文处理方法及装置 | |
| CN102812749A (zh) | Wan与lan之间的数据业务的重定向 | |
| CN102724666A (zh) | 一种终端数据中继方法、装置和*** | |
| CN104333467B (zh) | 一种轨道交通无线网络链路故障的网关代理方法和装置 | |
| EP2432262B1 (en) | Method and system for switching station in centralized wlan when wpi is performed by access controller | |
| CN101815106A (zh) | 动态gre隧道建立的方法和设备 | |
| CN106921473B (zh) | 一种轨道交通无线局域网的数据传输方法及相关设备 | |
| CN102215515B (zh) | 一种数据处理方法及通信***以及相关设备 | |
| CN103781071B (zh) | 访问接入点的方法及相关设备 | |
| JP5392493B2 (ja) | WiMAXにおけるIPベースの緊急サービスの処理方法 | |
| Ahn et al. | SDN‐Based Mobile Data Offloading Scheme Using a Femtocell and WiFi Networks | |
| JP2006352371A (ja) | 無線基地局装置 | |
| JP5752018B2 (ja) | キャリアアグリゲーションを用いた無線端末の基地局選択方法、無線端末、アクセスポイント及びプログラム | |
| CN102811153B (zh) | Vlan状态的协商方法及边缘设备 | |
| KR20120137706A (ko) | 통신 시스템, 그의 펨토 기지국 및 그의 클러스터링 및 핸드오버 수행 방법 | |
| US20230093763A1 (en) | Bearer configuration method and apparatus, and terminal |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
| CP03 | Change of name, title or address |