专利名称:实现无线局域网虚拟接入点间通信的方法
技术领域:
本发明涉及无线局域网的虚拟接入点,尤其涉及一种实现无线局域网虚拟接入点间通信的方法。
背景技术:
在AP(Access Point,接入点)的实际应用中,SSID(Service Set Identifier,服务集标识)可以有多种用途。如SSID可以标识不同的ISP(Internet ServiceProvider,互联网服务提供商),当AP连接属于多个ISP的STA(Station,端站(无线网卡))时,需要AP支持多个SSID,并实现对不同的SS(Service Set,服务集)标记不同的VLAN(Virtual Local Area Network,虚拟局域网),实现SS(Service Set,服务集)之间的隔离。不同的SSID还可以标识不同的服务类型,如IP电话服务、数据服务、视频服务等。这时需要对不同的SS提供不同的QoS(Quality of Service,服务质量)保证。在实际应用中,这种需求可能存在,如Wi-Fi(Wireless Fidelity,基于IEEE 802.11b标准的无线局域网)手机用户只需要电话低时延服务。
每个SSID对应一个虚拟AP。根据用户配置,在一个物理AP上可以配置多个SSID,存在多个虚拟AP,也可能只有一个虚拟AP。每个虚拟AP作为一个独立的管理实体存在于网络中,又存在一定的联系。AP间通讯大都发生在虚拟AP间,因此虚拟AP之间的通信问题需要解决。而在网络规划中,以最常使用的IP协议为例,对每个虚拟AP分配单独的IP地址可能存在资源浪费和冲突问题,因此只能对物理AP分配IP地址。而物理AP间通讯的端口是标准统一规定,也无法针对虚拟AP进行设置。
如图1所示,在现有技术中,没有区分物理AP和虚拟AP的概念,AP间通信仅在物理AP间进行,IAPP(Inter-Access Point Protocol,接入点内部协议)模块或负载均衡模块将需要通信的报文通知通信模块,由通信模块发送到远端AP,远端AP通信模块接收到报文后,将报文通知给相应的IAPP模块或负载均衡模块,反之亦然。
IAPP模块和负载均衡模块是两个彼此独立的模块,之间没有什么逻辑关系。唯一类似点就是它们都需要在AP间通信,交换报文,才能完成所需的功能。通信模块为IAPP模块和负载均衡模块提供了AP间通讯的服务,且AP间的通信只能通过通信模块进行。
在现有的AP间通信方案中,仅使用物理AP的IP地址和指定端口实现通信,由各应用模块对通信消息内容自行解析分配。物理AP由其内部的IAPP模块、负载均衡模块等对AP间通信的信息进行处理。在现有的AP间通信方案中,根本没有可以用于区分虚拟AP的信息,需要接收方根据信息中所携带的内容,如STA的MAC(Media Access Control,媒体接入控制)地址,AP的BSSID(Basic Service Set Identifier,基本服务集标识)等进行区分。但是仅靠这些信息区分是不可靠的,因为AP上存储的这些信息可能不全,通信的发送端AP和接收端AP保存的这些信息也可能不一致,此时就无法正确的分辨通信消息属于哪个虚拟AP。由于需要应用模块参与到虚拟AP的辨认过程,因此无法针对每个虚拟AP设置安全机制,从而给WLAN(Wireless Local AreaNetwork,无线局域网)网络带来安全隐患,同时增加了各应用模块的工作量,导致效率低下,协议处理层次不清晰。
发明内容
本发明的目的在于提供一种实现无线局域网虚拟接入点间通信的方法,以解决现有技术中无线局域网中虚拟AP间通信时无法正确的分辨通信消息所属的虚拟AP和无法针对每个虚拟AP设置安全机制的问题。
为解决上述问题,本发明提供以下技术方案一种实现无线局域网虚拟接入点间通信的方法,包括步骤A、发送端的虚拟接入点在发送的报文内添加目标虚拟接入点的辨别标识;B、接收端的物理接入点根据所述辨别标识将所述报文传递到对应的目标虚拟接入点。
在步骤A之前发送端的虚拟接入点利用设置的安全机制对发送的报文进行安全处理,以及在步骤B之后目标虚拟接入点利用对应的安全机制对报文进行逆处理。对报文进行的安全处理是加密和/或认证,对报文进行的逆处理是解密和/或校验。发送端的虚拟接入点可以对整个报文或部分报文进行安全处理。
在所述步骤A和步骤B之间还包括步骤A1、发送端的物理接入点利用设置的安全机制对添加辨别标识的报文进行安全处理;A2、接收端的物理接入点利用与步骤A1对应的安全机制对添加辨别标识的报文进行逆处理。
所述步骤A1中的安全处理为加密和/或认证,所述步骤A2中的逆处理为解密和/或校验。在所述步骤A1中可以对整个或部分添加辨别标识的报文进行安全处理。
所述辨别标识可以位于报文的任意位置。
所述辨别标识为服务集标识。
由于本发明采用了以上技术方案,故具有以下有益效果本发明在发送端的虚拟接入点所发送的报文内添加了目标虚拟接入点的辨别标识,接收端的物理接入点可根据该辨别标识判别出报文的目标虚拟接入点,从而实现了无线局域网虚拟接入点间的正确通信,同时本发明可以针对不同的虚拟AP设置不同的安全机制,提高了网络安全性。
图1为现有技术中AP间通信的示意图;图2为本发明的在进行虚拟AP间通信时的处理流程图;图3为虚拟AP间通信发送端报文处理示意图;图4为虚拟AP间通信接收端报文处理示意图。
具体实施例方式
本发明的实现无线局域网虚拟AP间通信的方法的过程如下发送端的虚拟AP在发送的报文内添加目标虚拟AP的辨别标识,该辨别标识用于标识所发送的报文的目标虚拟AP;接收端的物理AP从报文中得到辨别标识后,根据辨别标识判别出该报文的目标虚拟AP,然后将该报文传递给相应的目标虚拟AP。
目标虚拟AP的辨别标识可以位于报文的任意位置,但是在发送端的虚拟AP和目标虚拟AP之间的所有报文内,该辨别标识需要放在一个固定位置,即在每个报文里的位置都一样,这样就可以让接收端能够快速定位辨别标识,不需要对报文内容进行处理后才知道辨别标识存放在哪里。
由于每个SSID对应一个虚拟AP,因此目标虚拟AP的辨别标识通常选用SSID,该辨别标识也可以是人为定义的其他标识,只要能对目标虚拟AP进行区分即可。
为了保证虚拟AP间所通信的报文的安全性,在报文内添加目标虚拟AP的辨别标识之前,发送端的虚拟AP通常需要设置安全机制对发送的报文进行安全处理,安全处理主要通过加密和/或认证来实现。加密的处理过程是将通信内容中的明文替换成密文,使得非授权者无法得到信息的内容,加密的方式有很多种,如DES、3DES、RC5、RC4、AES等,可根据实际情况任选。认证的处理过程是根据通信内容计算出一个不知道密钥就无法仿制的数字签名,防止通信内容被篡改或伪造,认证的方式同样有很多种,如MD5、SHA、KPDK、SHA2等,可根据实际情况任选。为了保证AP间通讯安全,该安全机制针对发送端的虚拟AP和目标虚拟AP分别进行设置。
在进行安全处理时,可以只对报文进行加密处理,也可以只对报文进行认证处理,还可以对报文进行加密和认证双重处理,在对报文进行加密和认证双重处理时,应该先对报文进行加密,然后根据加密后的报文计算出认证所需的数字签名。加密和/或认证可以对整个报文进行,也可以只对报文的某一部分进行。
若发送端的虚拟AP对将要发送的报文进行了安全处理,则在接收端的物理AP根据辨别标识将报文传递给相应的目标虚拟AP后,目标虚拟AP需要利用对应的安全机制对报文进行逆处理。如果发送端的虚拟AP对将要发送的报文做了加密,则目标虚拟AP需要对报文进行相应的解密,得到明文;如果发送端的虚拟AP对将要发送的报文做了认证,则目标虚拟AP需要对报文进行校验,保证报文没有被篡改。如果发送端的虚拟AP对将要发送的报文做了加密和认证双重处理,则目标虚拟AP首先根据收到的报文内容计算出数字签名,在保证报文没有被篡改和伪造后,再对报文内容进行解密,得出原始报文。
为了进一步提高安全性,保证目标虚拟AP的辨别标识不被篡改,也可以在对添加辨别标识的报文再按发送端的物理AP所设置的安全机制进行安全处理。该安全处理主要通过加密和/或认证来实现,可以只对报文进行加密处理,也可以只对报文进行认证处理,还可以对报文进行加密和认证双重处理。加密和/或认证可以对整个报文进行,也可以只对报文的某一部分进行。该安全机制处理针对每个物理AP分别设定。
若发送端的物理AP对添加辨别标识的报文进行了安全处理,则接收端的物理AP需要利用对应的安全机制对报文进行逆处理。如果发送端的物理AP对添加辨别标识的报文做了认证,则接收端的物理AP需要进行相应的校验,保证报文没有被篡改,如果发送端的物理AP对添加辨别标识的报文做了加密,则接收端的物理AP需要进行解密,得到明文。如果发送端的物理AP对添加辨别标识的报文做了加密和认证双重处理,则接收端的物理AP首先根据收到的报文内容计算出数字签名,在保证报文没有被篡改和伪造后,再对报文内容进行解密,得出原始报文。
如图2所示,本发明的实现无线局域网虚拟AP间通信的方法的较佳处理过程如下S1、发送端的虚拟AP设置安全机制对发送的报文进行安全处理;S2、发送端的虚拟AP在发送的报文内添加目标虚拟AP的辨别标识;S3、发送端的物理AP设置安全机制对添加辨别标识的报文进行安全处理;S4、接收端的物理AP利用与步骤S3对应的安全机制对报文进行逆处理;S5、接收端的物理AP根据步骤S2中的辨别标识将报文传递到对应的目标虚拟AP;S6、目标虚拟AP利用与步骤S1对应的安全机制对报文进行逆处理。
在上述处理过程中,步骤S1、S2、S3在发送端进行,步骤S4、S5、S6在接收端进行。
本发明对所有的通信协议(如IP)都有效,如果通讯模块辨认出通信协议中的源地址和目标地址一致,则表明目标虚拟AP和发送端的虚拟AP在同一物理AP上,即可以将本发明应用在内部通讯机制上。
下面以一个具体实施例对本发明的虚拟AP间通信的全过程进行说明如图3、图4所示,在WLAN的IAPP协议中,为实现STA在AP间的切换,AP之间需要通信以便交流有关此STA的相关信息,发送端AP对原有的IAPP报文按虚拟AP独立设置安全机制,对原IAPP报文进行DES加密,然后对报文扩充,增加SSID作为辨别标识,并对增加辨别标识的报文进行MD5认证后发送到接收端AP;接收端AP收到报文后,首先对MD5认证字进行校验,保证报文没有被仿造或篡改,然后按虚拟AP独立设置的安全机制,对报文进行DES解密,得到原IAPP报文,即可解决虚拟AP下IAPP协议工作的安全问题和效率问题。
以上仅以较佳实施例对本发明进行说明,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
权利要求
1.一种实现无线局域网虚拟接入点间通信的方法,其特征在于包括步骤A、发送端的虚拟接入点在发送的报文内添加目标虚拟接入点的辨别标识;B、接收端的物理接入点根据所述辨别标识将所述报文传递到对应的目标虚拟接入点。
2.根据权利要求1所述的实现无线局域网虚拟接入点间通信的方法,其特征在于在步骤A之前发送端的虚拟接入点利用设置的安全机制对发送的报文进行安全处理,以及在步骤B之后目标虚拟接入点利用对应的安全机制对报文进行逆处理。
3.根据权利要求2所述的实现无线局域网虚拟接入点间通信的方法,其特征在于对报文进行的安全处理是加密和/或认证,对报文进行的逆处理是解密和/或校验。
4.根据权利要求2所述的实现无线局域网虚拟接入点间通信的方法,其特征在于发送端的虚拟接入点可以对整个报文或部分报文进行安全处理。
5.根据权利要求1或2所述的实现无线局域网虚拟接入点间通信的方法,其特征在于在所述步骤A和步骤B之间还包括步骤A1、发送端的物理接入点利用设置的安全机制对添加辨别标识的报文进行安全处理;A2、接收端的物理接入点利用与步骤A1对应的安全机制对添加辨别标识的报文进行逆处理。
6.根据权利要求5所述的实现无线局域网虚拟接入点间通信的方法,其特征在于所述步骤A1中的安全处理为加密和/或认证,所述步骤A2中的逆处理为解密和/或校验。
7.根据权利要求5所述的实现无线局域网虚拟接入点间通信的方法,其特征在于在所述步骤A1中可以对整个或部分添加辨别标识的报文进行安全处理。
8.根据权利要求1所述的实现无线局域网虚拟接入点间通信的方法,其特征在于所述辨别标识可以位于报文的任意位置。
9.根据权利要求1所述的实现无线局域网虚拟接入点间通信的方法,其特征在于所述辨别标识为服务集标识。
全文摘要
本发明公开了一种实现无线局域网虚拟接入点间通信的方法,以解决现有技术中无线局域网虚拟AP间通信时无法正确的分辨通信消息属于哪个虚拟AP并且无法针对每个虚拟AP设置安全机制的问题。该方法在发送的报文内添加目标虚拟接入点的辨别标识,由接收端的物理接入点根据该辨别标识判别出该报文的目标虚拟接入点,从而实现了无线局域网虚拟接入点间的正确通信,同时本发明可以针对不同的虚拟AP设置不同的安全机制,提高了网络安全性。
文档编号H04L12/28GK1812366SQ20051000491
公开日2006年8月2日 申请日期2005年1月28日 优先权日2005年1月28日
发明者曹振奇 申请人:华为技术有限公司