一种报文处理方法及装置与流程

本申请涉及无线通信
技术领域：
，特别是涉及一种报文处理方法及装置。
背景技术：
随着无线局域网(wirelesslocalareanetwork，wlan)技术应用的日益广泛，使用wlan通信时的安全问题越来越被重视，为了防止非法终端仿冒合法终端的互联网协议(internetprotocol，ip)地址接入网络，出现了源地址有效性验证(sourceaddressvalidation，savi)技术。savi技术是一种可以对无线终端的源地址进行校验的技术，接入点(accesspoint，ap)可以截获无线终端发送的地址解析协议(addressresolutionprotocol，arp)报文或者无线终端与动态主机配置协议(dynamichostconfigurationprotocol，dhcp)服务器之间交互的dhcp报文，从截获的报文中获取无线终端的ip地址，将无线终端的ip地址与媒体访问控制(mediaaccesscontrol，mac)地址生成savi表项。进而，在savi功能处于开启状态的情况下，若ap接收到来自无线终端的数据报文，可查找自身存储的savi表项中，是否存在与该数据报文携带的mac地址+ip地址匹配的savi表项，若存在，则转发该数据报文，若不存在，则可认为发送该数据报文的无线终端为非法终端，可丢弃该数据报文。然而无线终端具有可移动性，当无线终端在不同的ap之间移动时，会切换接入的ap，即无线终端发生漫游。在无线终端发生漫游后，需要重新触发dhcp过程或重新发送arp报文，才可以使得无线终端新接入的ap为该无线终端生成savi表项，进而无线终端才可以通过新接入的ap进行通信。但是若无线终端在发生漫游后未触发dhcp过程且未发送arp报文，或者由于网络原因无线终端新接入的ap未获取到终端发送的dhcp报文或arp报文，就会使得无线终端新接入的ap无法为该无线终端生成savi表项，导致无线终端无法通过新接入的ap进行通信。技术实现要素：本申请实施例的目的在于提供一种报文处理方法及装置，以实现无线终端在发生漫游后，仍能够通过新接入的ap进行通信。具体技术方案如下：第一方面，本申请实施例提供一种报文处理方法，该方法应用于接入点ap，该方法包括：接收第一无线终端发送的第一数据报文；若在本地创建的源地址有效性验证savi表项中未查找到与所述第一数据报文携带的第一地址信息匹配的savi表项，则向接入控制器ac发送所述第一地址信息，所述第一地址信息包括所述第一无线终端的媒体访问控制mac地址和互联网协议ip地址，本地创建的savi表项中的每条savi表项为ip地址和mac地址的组合；接收所述ac发送的针对所述第一地址信息的识别结果；若所述识别结果为所述第一无线终端为合法终端，则创建所述第一地址信息对应的savi表项，并转发所述第一数据报文；若所述识别结果为所述第一无线终端为不合法终端，则丢弃所述第一数据报文。在一种可能的实现方式中，所述方法还包括：若在本地创建的savi表项中查找到与所述第一数据报文携带的第一地址信息匹配的savi表项，则转发所述第一数据报文。在一种可能的实现方式中，接收所述ac发送的第二无线终端的第二地址信息，所述第二地址信息为接收到所述第二无线终端发送的第二数据报文的另一ap在本地创建的savi表项中未查找到与所述第二数据报文携带的第二地址信息匹配的savi表项时发送给所述ac的，且由ac依据所述第二地址信息确定出所述第二无线终端为漫游终端时发送给所述ap的；判断本地创建的savi表项中是否存储了与所述第二地址信息匹配的savi表项；若是，则通知所述ac向所述另一ap发送所述第二无线终端为合法终端的识别结果，以使所述另一ap创建所述第二地址信息对应的savi表项，并转发所述第二数据报文；若否，则通知所述ac向所述另一ap发送所述第二无线终端为不合法终端的识别结果，以使所述另一ap丢弃所述第二数据报文。第二方面，本申请实施例提供一种报文处理方法，所述方法应用于接入控制器ac，所述方法包括：接收第一接入点ap发送的地址信息，所述地址信息为所述第一ap在接收到无线终端发送的数据报文后，在本地创建的源地址有效性验证savi表项中未查找到与所述数据报文携带的所述地址信息匹配的savi表项时发送给所述ac的，所述地址信息包括所述无线终端的媒体访问控制mac地址和互联网协议ip地址，本地创建的savi表项中的每条savi表项为ip地址和mac地址的组合；判断所述地址信息对应的无线终端是否为漫游终端；若否，则向所述第一ap发送所述无线终端为不合法终端的识别结果，以使所述第一ap丢弃所述数据报文；若是，则向所述无线终端漫游前的第二ap发送所述地址信息；接收所述第二ap发送的针对所述地址信息的匹配结果；若所述匹配结果为所述第二ap本地创建的savi表项中存储了与所述地址信息匹配的savi表项，则向所述第一ap发送所述无线终端为合法终端的识别结果，以使所述第一ap创建所述地址信息对应的savi表项，并转发所述数据报文；若所述匹配结果为所述第二ap本地创建的savi表项中未存储与所述地址信息匹配的savi表项，则向所述第一ap发送所述无线终端为不合法终端的识别结果，以使所述第一ap丢弃所述数据报文。在一种可能的实现方式中，判断所述地址信息对应的无线终端是否为漫游终端，包括：判断自身是否存储了所述地址信息对应的终端在接入所述第一ap之前接入的其他ap的ap信息；若是，则确定所述无线终端是漫游终端；若否，则确定所述无线终端不是漫游终端。第三方面，本申请实施例提供一种报文处理装置，所述装置应用于接入点ap，所述装置包括：接收模块，用于接收第一无线终端发送的第一数据报文；查找模块，用于在本地创建的源地址有效性验证savi表项中查找与所述第一数据报文携带的第一地址信息匹配的savi表项，所述第一地址信息包括所述第一无线终端的媒体访问控制mac地址和互联网协议ip地址，本地创建的每条savi表项为ip地址和mac地址的组合；发送模块，用于若所述查找模块未在本地创建的savi表项中查找到与所述第一数据报文中的第一地址信息匹配的savi表项，则向接入控制器ac发送所述第一地址信息；所述接收模块，还用于接收所述ac发送的针对所述第一地址信息识别结果；创建模块，用于若所述接收模块接收到的所述识别结果为所述第一无线终端为合法终端，则创建所述第一地址信息对应的savi表项；所述发送模块，还用于若所述接收模块接收到的所述识别结果为所述第一无线终端为合法终端，则转发所述第一数据报文；丢弃模块，用于若所述接收模块接收到的所述识别结果为所述第一无线终端为不合法终端，则丢弃所述第一数据报文。在一种可能的实现方式中，所述发送模块，还用于若所述查找模块在本地创建的savi表项中查找到与所述第一数据报文携带的第一地址信息匹配的savi表项，则转发所述第一数据报文。在一种可能的实现方式中，所述装置还包括判断模块和通知模块；所述接收模块，还用于接收所述ac发送的第二无线终端的第二地址信息，所述第二地址信息为接收到所述第二无线终端发送的第二数据报文的另一ap在本地创建的savi表项中未查找到与所述第二数据报文携带的第二地址信息匹配的savi表项时发送给所述ac的，且由ac依据所述第二地址信息确定出所述第二无线终端为漫游终端时发送给所述ap的；所述判断模块，用于判断本地创建的savi表项中是否存储了与所述第二地址信息匹配的savi表项；所述通知模块，用于若所述判断模块的判断结果为是，则通知所述ac向所述另一ap发送所述第二无线终端为合法终端的识别结果，以使所述另一ap创建所述第二地址信息对应的savi表项，并转发所述第二数据报文；若所述判断模块的判断结果为否，则通知所述ac向所述另一ap发送所述第二无线终端为不合法终端的识别结果，以使所述另一ap丢弃所述第二数据报文。第四方面，本申请实施例提供一种报文处理装置，所述装置应用于接入控制器ac，所述装置包括：接收模块，用于接收第一接入点ap发送的地址信息，所述地址信息为所述第一ap在接收到无线终端发送的数据报文后，在本地创建的源地址有效性验证savi表项中未查找到与所述数据报文携带的所述地址信息匹配的savi表项时发送给所述ac的，所述地址信息包括所述无线终端的媒体访问控制mac地址和互联网协议ip地址，本地创建的savi表项中的每条savi表项为ip地址和mac地址的组合；判断模块，用于判断所述接收模块接收到的所述地址信息对应的无线终端是否为漫游终端；发送模块，用于若所述判断模块的判断结果为否，则向所述第一ap发送所述无线终端为不合法终端的识别结果，以使所述第一ap丢弃所述数据报文；若所述判断模块的判断结果为是，则向所述无线终端漫游前的第二ap发送所述地址信息；所述接收模块，还用于接收所述第二ap发送的针对所述地址信息的匹配结果；所述发送模块，还用于若所述匹配结果为所述第二ap本地创建的savi表项中存储了与所述地址信息匹配的savi表项，则向所述第一ap发送所述无线终端为合法终端的识别结果，以使所述第一ap创建所述地址信息对应的savi表项，并转发所述数据报文；若所述匹配结果为所述第二ap本地创建的savi表项中未存储与所述地址信息匹配的savi表项，则向所述第一ap发送所述无线终端为不合法终端的识别结果，以使所述第一ap丢弃所述数据报文。在一种可能的实现方式中，所述判断模块，还用于判断自身是否存储了所述地址信息对应的无线终端在接入所述第一ap之前接入其他ap的ap信息；若是，则确定所述无线终端是漫游终端；若否，则确定所述无线终端不是漫游终端。第五方面，本申请的实施例提供一种接入点ap，该ap包括：处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，所述处理器被所述机器可执行指令促使：实现第一方面中的报文处理方法。第六方面，本申请的实施例提供一种控制器ac，该ac包括：处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，所述处理器被所述机器可执行指令促使：实现第二方面中的报文处理方法。第七方面，本申请实施例还提供了一种计算机可读存储介质，该计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现第一方面中所述的报文处理方法。第八方面，本申请实施例还提供了一种计算机可读存储介质，该计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现第二方面中所述的报文处理方法。第九方面，本申请实施例还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述第一方面中所述的报文处理方法。第十方面，本申请实施例还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述第二方面中所述的报文处理方法。本申请实施例提供的上述报文处理方法及装置，第一ap接收到第一无线终端的第一数据报文之后，在本地创建的savi表项中未查找到与第一数据报文中携带的第一地址信息匹配的savi表项的情况下，不会直接丢弃第一数据报文，而是由ac判断发送该第一数据报文的第一无线终端是否为漫游终端，若不是，则第一ap可丢弃该第一数据报文，可以保证网络安全；若是漫游终端，则可由第一无线终端漫游之前接入的第二ap匹配savi表项，若匹配失败，为了保证网络安全，第一ap可丢弃该第一数据报文，若匹配成功，说明该第一无线终端为合法终端，第一ap可以为第一无线终端转发第一数据报文，并为该第一无线终端创建savi表项，第一无线终端仍能接入网络进行通信，可见，采用该方法可以解决无线终端发生漫游后，无法通过新接入的ap进行通信的问题，在无线终端发生漫游后，即使新接入的ap未存储该无线终端的savi表项，无线终端仍可通过新接入的ap进行通信。当然，实施本申请的任一产品或方法并不一定需要同时达到以上所述的所有优点。附图说明为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本申请实施例提供的一种通信系统的结构示意图；图2为本申请实施例提供的一种报文处理方法的流程图；图3为本申请实施例提供的另一种报文处理方法的流程图；图4为本申请实施例提供的另一种报文处理方法的流程图；图5为本申请实施例提供的另一种报文处理方法的流程图；图6为本申请实施例提供的一种报文处理装置的结构示意图；图7为本申请实施例提供的另一种报文处理装置的结构示意图；图8为本申请实施例提供的另一种报文处理装置的结构示意图；图9为本申请实施例提供的一种ap的结构示意图；图10为本申请实施例提供的一种ac的结构示意图。具体实施方式下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。本申请实施例提供的报文处理方法可以应用于通信系统中，如图1所示，该通信系统包括ip网络、接入控制器(accesscontroller，ac)、dhcp服务器、ap、以及无线终端。其中，ac用于对无线终端进行集中管理。ap用于为无线终端提供接入服务，且ap可以为接入的各无线终端生成并存储savi表项。对于使用互联网协议版本4(internetprotocolversion4，ipv4)地址的无线终端，ap可截获无线终端发送的arp报文或者截获终端与dhcp服务器间交互的动态主机配置协议版本4(dynamichostconfigurationprotocolversion4，dhcpv4)报文，从截获的报文中获取终端的ip地址，将无线终端的ip地址和mac地址生成savi表项。对于使用互联网协议版本6(internetprotocolversion6，ipv6)地址的无线终端，ap可以通过以下两种方式生成savi表项：第一种，动态主机配置协议版本6(dynamichostconfigurationprotocolversion6，dhcpv6)方式：ap可以截获无线终端与dhcpv6服务器之间交互的dhcpv6报文，从dhcpv6报文中获取dhcpv6服务器为无线终端分配的完整的ipv6地址，将该完整的ipv6地址和无线终端的mac地址生成savi表项。其中，若ap从dhcpv6报文中获取到的是dhcpv6服务器为无线终端分配的ipv6地址的前缀，则无法将该ipv6地址的前缀与无线终端的mac地址生成savi表项。第二种，ipv6邻居发现(neighbordiscovery，nd)方式：ap可以监听无线终端发送的路由通告(routeradvertisement，ra)消息报文、邻居请求(neighborsolicitation，ns)消息报文或邻居通告(neighboradvertisement，na)消息报文，从监听到的报文中获取无线终端的ipv6地址，并将获取到的ipv6地址与无线终端的mac地址形成savi表项。dhcp服务器用于为无线终端分配ip地址。本申请实施例中的无线终端，也可以称为客户端或站点(station，sta)，具体可以为手机、平板电脑、具有无线通信功能的可穿戴设备等。需要说明的是，图1中各设备的数量仅作为示例，在实际的通信系统中，各设备的数量不限制于图1中显示的数量。结合图1所示的系统，为了解决无线终端发生漫游后，无法通过新接入的ap进行通信的问题，本申请实施例提供了一种报文处理方法，在ap接收到无线终端发送的数据报文后，可在本地创建的savi表项中查找与数据报文携带的地址信息匹配的savi表项，若未查找到，则向ac发送该地址信息，然后若ac确定该地址信息所属的无线终端不是漫游终端，则通知ap该无线终端为不合法终端，ap则丢弃该数据报文；若ap确定该地址信息所属的无线终端是漫游终端，将地址信息转发至该无线终端漫游前接入的源ap，源ap判断本地创建的savi表项中是否存储了与该地址信息匹配的savi表项，若是，则通过ac通知ap匹配成功，进而ap转发数据报文，若否，则通过ac通知ap匹配失败，进而ap丢弃数据报文。采用该方法，在无线终端发生漫游的情况下，虽然ap无法在本地创建的savi表项中查找到与无线终端的地址信息匹配的savi表项，但是ap可将数据报文携带的地址信息发送给ac，进而若ac判断发送数据报文的无线终端为漫游终端，则可由无线终端接入的源ap在本地创建的savi表项中查找与地址信息匹配savi表项，若匹配失败，则证明该终端为非法终端，ap则丢弃数据报文，保证了网络的安全性，若匹配成功，则证明该无线终端为合法终端，ap可以为该无线终端转发数据报文，无线终端仍然能够接入网络进行通信，可见，即使无线终端发生了漫游，且新接入的ap未存储该无线终端的savi表项，无线终端仍然可以通过新接入的ap进行网络通信。以下通过具体实施例对本申请实施例提供的报文处理方法进行详细说明。结合图1所示的通信系统，本申请实施例提供了一种报文处理方法，以ap的角度进行描述，如图2所示，该方法包括：s201、接收第一无线终端发送的第一数据报文。其中，第一数据报文中包括第一无线终端的第一地址信息，第一地址信息至少包括第一无线终端的ip地址和mac地址。s202、若在本地创建的savi表项中查找到与第一数据报文携带的第一地址信息匹配的savi表项，则转发第一数据报文。其中，本地创建的savi表项中的每条savi表项为ip地址和mac地址的组合；s203、若在本地创建的savi表项中未查找到与第一数据报文携带的第一地址信息匹配的savi表项，则向ac发送第一地址信息。s204、接收ac发送的针对第一地址信息的识别结果。s205、若识别结果为第一无线终端为合法终端，则创建第一地址信息对应的savi表项，并转发第一数据报文。s206、若识别结果为第一无线终端为不合法终端，则丢弃第一数据报文。采用本申请实施例提供的上述报文处理方法，ap在接收到第一无线终端的第一数据报文之后，在本地创建的savi表项中未查找到与第一数据报文中携带的第一地址信息匹配的savi表项的情况下，不会直接丢弃第一数据报文，而是由ac对第一地址信息进行识别，进而若ap接收到的识别结果为第一无线终端为不合法终端，则丢弃第一数据报文，可以保证网络安全；若识别结果为第一无线终端为合法终端，则ap可为第一无线终端转发第一数据报文，即第一无线终端仍能接入网络进行通信。可见，采用该方法可以解决无线终端漫游后，及时新接入的ap未存储该无线终端的savi表项，无线终端仍可通过新接入的ap进行通信。可选地，在另一种可能的实现方式中，若图2实施例中的ap作为其他无线终端(例如第二无线终端)漫游前接入的ap，如图3所示，该方法包括：s301、接收ac发送的第二无线终端的第二地址信息。其中，第二地址信息为接收到第二无线终端发送的第二数据报文的另一ap在本地创建的savi表项中未查找到与第二数据报文携带的第二地址信息匹配的savi表项时发送给ac的，且由ac依据第二地址信息确定出第二无线终端为漫游终端时发送给ap的。第二地址信息包括第二无线终端的ip地址和mac地址。s302、判断本地创建的savi表项中是否存储了与第二地址信息匹配的savi表项。若是，则执行s303；若否，则执行s304。s303、通知ac向另一ap发送第二无线终端为合法终端的识别结果，以使另一ap创建第二地址信息对应的savi表项，并转发第二数据报文。s304、通知ac向另一ap发送第二无线终端为不合法终端的识别结果，以使另一ap丢弃第二数据报文。采用本申请实施例提供的上述报文处理方法，若ap为第二无线终端漫游前接入的ap，ap接收到ac发送的第二无线终端的第二地址信息后，若确定本地创建的savi表项中未存储与第二地址信息匹配的savi表项，说明第二无线终端为不可法终端，则可通知ac向另一ap发送第二无线终端为不合法终端的识别结果，以使另一ap丢弃第二数据报文，保证了网络安全；若ap确定本地创建的savi表项中存储了与第二地址信息匹配的savi表项，说明第二无线终端为合法终端，则可通知ac向另一ap发送第二无线终端为合法终端的识别结果，以使另一ap为第二无线终端创建savi表项，并转发第二数据报文，可见即使另一ap未存储第二无线终端的savi表项，第二无线终端仍可通过另一ap进行通信。对应于上述实施例，本申请实施例还提供一种报文处理方法，以ac的角度进行描述，如图4所示，该方法包括：s401、接收第一ap发送的地址信息。其中，地址信息为第一ap在接收到无线终端发送的数据报文后，在本地创建的savi表项中未查找到与数据报文携带的地址信息匹配的savi表项时发送给ac的，地址信息包括无线终端的mac地址和ip地址，本地创建的savi表项中的每条savi表项为ip地址和mac地址的组合。s402、判断地址信息对应的无线终端是否为漫游终端。若否，则执行s403；若是，则执行s404。判断方法为：ac判断自身是否存储了第一地址信息对应的第一无线终端在接入第一ap之前接入的其他ap的ap信息，若是，则确定该第一无线终端为漫游终端；若否，则确定该第一无线终端不是漫游终端。s403、向第一ap发送无线终端为不合法终端的识别结果，以使第一ap丢弃数据报文。s404、向无线终端漫游前的第二ap发送地址信息。s405、接收第二ap发送的针对地址信息的匹配结果。s406、若匹配结果为第二ap本地创建的savi表项中存储了与地址信息匹配的savi表项，则向第一ap发送无线终端为合法终端的识别结果，以使第一ap创建地址信息对应的savi表项，并转发数据报文。s407、若匹配结果为第二ap本地创建的savi表项中未存储与地址信息匹配的savi表项，则向第一ap发送无线终端为不合法终端的识别结果，以使第一ap丢弃数据报文。采用本申请实施例提供的上述报文处理方法，ac可接收第一ap发送的地址信息，若确定地址信息对应的无线终端不是漫游终端，则可向第一ap发送无线终端为不合法终端的识别结果，可以保证网络安全；若ac确定无线终端是漫游终端，则可向无线终端漫游前的第二ap发送地址信息，若后续接收到的匹配结果为第二ap本地创建的savi表项中存储了与地址信息匹配的savi表项，则向第一ap发送无线终端为合法终端的识别结果，无线终端仍可通过第一ap接入网络进行通信，从而实现了在无线终端发生漫游后，即使新接入的ap未存储该无线终端的savi表项，无线终端仍能通过新接入的ap进行通信。在上述图2至图4对应实施例的基础上，对本申请实施例提供的报文处理方法进行详细说明，该方法以终端、第一ap、第二ap以及ac之间的交互流程为例进行说明，其中第一ap为终端当前接入的ap，第二ap为终端接入第一ap之前接入的ap。如图5所示，该方法具体包括以下步骤：s501、第一无线终端向第一ap发送第一数据报文。相应地，第一ap接收第一无线终端发送的第一数据报文。其中，第一数据报文中包括第一无线终端的第一地址信息，第一地址信息至少包括第一无线终端的ip地址和mac地址。s502、若第一ap在本地创建的savi表项中未查找到与第一数据报文携带的第一地址信息匹配的savi表项，则向ac发送第一地址信息。相应地，ac接收第一ap发送的第一地址信息。第一ap创建了自身服务的各个无线终端的savi表项，每条savi表项包括无线终端的ip地址和mac地址的组合。示例性地，可参考表1，假设第一ap服务于无线终端1至无线终端3，则第一ap可创建无线终端1至无线终端3的savi表项，其中，无线终端1的savi表项包括无线终端1的ip地址和无线终端1的mac地址，无线终端2至无线终端3的savi表项类似。表1无线终端savi表项无线终端1无线终端1的ip地址+无线终端1的mac地址无线终端2无线终端2的ip地址+无线终端2的mac地址无线终端3无线终端3的ip地址+无线终端3的mac地址若第一ap未从表1中查找到与第一数据报文携带的ip地址和mac地址均匹配的savi表项，则发送第一数据报文的第一无线终端可能为不合法终端，或者为漫游终端，此时第一ap可将第一地址信息发送给ac，由ac来判断该第一无线终端是否为合法终端。需要说明的是，若第一ap在本地创建的savi表项中查找到与第一数据报文携带的第一地址信息匹配的savi表项，则可转发第一数据报文。s503、ac判断地址信息对应的第一无线终端是否为漫游终端。若否，则执行s504；若是，则执行s506。判断方法为：ac判断自身是否存储了第一地址信息对应的第一无线终端在接入第一ap之前接入其他ap的ap信息，若是，则确定该第一无线终端为漫游终端；若否，则确定该第一无线终端不是漫游终端。在第一无线终端接入ap，或者第一无线终端由一个ap切换至另一个ap后，ac均会存储该第一无线终端接入的ap信息。举例而言，第一无线终端接入ap2后，ac可为该第一无线终端生成绑定表项，该绑定表项可以包括第一无线终端的mac地址以及ap2的标识，当第一无线终端由ap2切换至ap1后，ac可以更新该第一无线终端的绑定表项，更新后的绑定表项包括第一无线终端的mac地址、ap2的标识以及ap1的标识。当然，绑定表项中还可以包括其他信息，本申请实施例在此不一一列举。结合该例子，若ac判断自身存储了包含接收到的mac地址的绑定表项，该绑定表项中包括第一无线终端的mac地址、ap2的标识以及ap1的标识，且ac确定发送该mac地址的ap为ap1，则ac可确定该第一无线终端是漫游终端，即该第一无线终端从ap2漫游到了ap1。s504、ac向第一ap发送第一无线终端为不合法终端的识别结果。相应地，第一ap接收ac发送的第一无线终端为不合法终端的识别结果。可以理解的是，若ac确定第一无线终端不是漫游终端，且第一ap也未存储该第一无线终端的savi表项，即其他ap中也不可能存储该第一无线终端的savi表项，所以可认为该第一无线终端为不合法终端。s505、第一ap丢弃数第一据报文。其中，若第一无线终端为不合法终端，为了防止该第一无线终端非法使用网络资源，可丢弃第一数据报文。可选地，还可以禁止第一无线终端与第一ap之间的通信，或者直接断开第一ap与该第一无线终端的连接。s506、ac向第一无线终端漫游前的第二ap转发第一地址信息。相应地，第二ap接收ac发送的第一地址信息。例如，若ac根据第一地址信息查找到的绑定表项包括第一无线终端的mac地址、ap2的标识以及ap1的标识，则第一ap为ap1，第二ap为ap2。s507、第二ap判断本地创建的savi表项中是否存储了与第一地址信息匹配的savi表项。若是，则执行s508，若否，则执行s511。s508、第二ap向ac发送第二ap本地创建的savi表项中存储了与第一地址信息匹配的savi表项的匹配结果。相应地，ac接收来自第二ap的匹配结果。s509、ac向第一ap发送第一无线终端为合法终端的识别结果。相应地，第一ap接收ac发送的第一无线终端为合法终端的识别结果。在一种可能的实现方式中，ac可以直接向第一ap转发s508中的匹配结果，第一ap可根据该匹配结果确定第一无线终端为合法终端。s510、第一ap创建第一地址信息对应的savi表项，并转发第一数据报文。其中，在第一ap确定第一无线终端为合法终端后，则可放行接收到的第一数据报文，且为了保证第一无线终端下一次发送数据报文时能够及时对第一无线终端的身份进行识别，可以存储此次接收到的第一数据报文中的ip地址和mac地址，以生成第一无线终端的savi表项。s511、第二ap向ac发送第二ap本地创建的savi表项中未存储与第一地址信息匹配的savi表项的匹配结果。相应地，ac接收来自第二ap的匹配结果。s512、ac向第一ap发送第一无线终端为不合法终端的识别结果。相应地，第一ap接收ac发送的第一无线终端为不合法终端的识别结果。在一种可能的实现方式中，ac可以直接向第一ap转发s511中的匹配结果，第一ap可根据该匹配结果确定第一无线终端为不合法终端。s513、第一ap丢弃数据报文。采用本申请实施例提供的上述报文处理方法，第一ap接收到第一无线终端的第一数据报文之后，在本地创建的savi表项中未查找到与第一数据报文中携带的第一地址信息匹配的savi表项的情况下，不会直接丢弃第一数据报文，而是由ac判断发送该第一数据报文的第一无线终端是否为漫游终端，若不是，则第一ap可丢弃该第一数据报文，可以保证网络安全；若是漫游终端，则可由第一无线终端漫游之前接入的第二ap匹配savi表项，若匹配失败，为了保证网络安全，第一ap可丢弃该第一数据报文，若匹配成功，说明该第一无线终端为合法终端，第一ap可以为第一无线终端转发第一数据报文，并为该第一无线终端创建savi表项，第一无线终端仍能接入网络进行通信，可见，采用该方法可以解决无线终端发生漫游后，无法通过新接入的ap进行通信的问题，在无线终端发生漫游后，即使新接入的ap未存储该无线终端的savi表项，无线终端仍可通过新接入的ap进行通信。对应于上述方法实施例，本申请的实施例还提供一种报文处理装置，该装置应用于ap，如图6所示，该装置包括：接收模块601、查找模块602、发送模块603、创建模块604、丢弃模块605。其中，接收模块601，用于接收第一无线终端发送的第一数据报文。查找模块602，用于在本地创建的源地址有效性验证savi表项中查找与第一数据报文携带的第一地址信息匹配的savi表项，第一地址信息包括第一无线终端的mac地址和ip地址，本地创建的每条savi表项为ip地址和mac地址的组合。发送模块603，用于若查找模块602未在本地创建的savi表项中查找到与第一数据报文中的第一地址信息匹配的savi表项，则向ac发送第一地址信息。接收模块601，还用于接收ac发送对第一地址信息的识别结果。创建模块604，用于若接收模块601接收到的识别结果为第一无线终端为合法终端，则创建第一地址信息对应的savi表项。发送模块603，还用于若接收模块601接收到的识别结果为第一无线终端为合法终端，则转发第一数据报文。丢弃模块605，用于若接收模块601接收到的识别结果为第一无线终端为不合法终端，则丢弃第一数据报文。在一种可能的实现方式中，发送模块603，还用于若查找模块602在本地创建的savi表项中查找到与第一数据报文携带的第一地址信息匹配的savi表项，则转发第一数据报文。在另一种可能的实现方式中，如图7所示，该装置还包括判断模块701和通知模块702。接收模块601，还用于接收ac发送的第二无线终端的第二地址信息，第二地址信息为接收到第二无线终端发送的第二数据报文的另一ap在本地创建的savi表项中未查找到与第二数据报文携带的第二地址信息匹配的savi表项时发送给ac的，且由ac依据第二地址信息确定出第二无线终端为漫游终端时发送给另一ap的；判断模块701，用于判断本地创建的savi表项中是否存储了与第二地址信息匹配的savi表项；通知模块702，用于若判断模块701的判断结果为是，则通知ac向另一ap发送第二无线终端为合法终端的识别结果，以使另一ap创建第二地址信息对应的savi表项，并转发第二数据报文；若判断模块701的判断结果为否，则通知ac向另一ap发送第二无线终端为不合法终端的识别结果，以使另一ap丢弃第二数据报文。本申请的实施例还提供另一种报文处理装置，该装置应用于ac，如图8所示，该装置包括：接收模块801、判断模块802和发送模块803。其中，接收模块801，用于接收第一接入点ap发送的地址信息，地址信息为第一ap在接收到无线终端发送的数据报文后，在本地创建的源地址有效性验证savi表项中未查找到与数据报文携带的地址信息匹配的savi表项时发送给ac的，地址信息包括无线终端的媒体访问控制mac地址和互联网协议ip地址，本地创建的savi表项中的每条savi表项为ip地址和mac地址的组合。判断模块802，用于判断接收模块801接收到的地址信息对应的无线终端是否为漫游终端。发送模块803，用于若判断模块802的判断结果为否，则向第一ap发送无线终端为不合法终端的识别结果，以使第一ap丢弃数据报文；若判断模块802的判断结果为是，则向无线终端漫游前的第二ap发送地址信息。接收模块801，还用于接收第二ap发送的针对地址信息的匹配结果。发送模块803，还用于若匹配结果为第二ap本地创建的savi表项中存储了与地址信息匹配的savi表项，则向第一ap发送无线终端为合法终端的识别结果，以使第一ap创建地址信息对应的savi表项，并转发数据报文；若匹配结果为第二ap本地创建的savi表项中未存储与地址信息匹配的savi表项，则向第一ap发送无线终端为不合法终端的识别结果，以使第一ap丢弃数据报文。在一种可能的实现方式中，判断模块802，还用于判断自身是否存储了地址信息对应的无线终端的在接入第一ap之前接入的其他ap的ap信息；若是，则确定无线终端是漫游终端；若否，则确定无线终端不是漫游终端。本申请实施例还提供了一种接入点ap，如图9所示，包括处理器901、通信接口902、存储器903和通信总线904，其中，处理器901，通信接口902，存储器903通过通信总线904完成相互间的通信，存储器903，用于存放计算机程序；处理器901，用于执行存储器903上所存放的程序，具体用于实现上述方法实施例中由第一ap执行的步骤。上述接入点中提到的通信总线可以是外设部件互连标准(peripheralcomponentinterconnect，pci)总线或扩展工业标准结构(extendedindustrystandardarchitecture，eisa)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。通信接口用于上述接入点与其他设备之间的通信。存储器可以包括随机存取存储器(randomaccessmemory，ram)，也可以包括非易失性存储器(non-volatilememory，nvm)，例如至少一个磁盘存储器。可选的，存储器还可以是至少一个位于远离前述处理器的存储装置。上述的处理器可以是通用处理器，包括中央处理器(centralprocessingunit，cpu)、网络处理器(networkprocessor，np)等；还可以是数字信号处理器(digitalsignalprocessing，dsp)、专用集成电路(applicationspecificintegratedcircuit，asic)、现场可编程门阵列(field-programmablegatearray，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。本申请实施例还提供了一种ac，如图10所示，包括处理器1001、通信接口1002、存储器1003和通信总线1004，其中，处理器1001，通信接口1002，存储器1003通过通信总线1004完成相互间的通信，存储器1003，用于存放计算机程序；处理器1001，用于执行存储器1003上所存放的程序时，具体用于实现上述方法实施例中由ac执行的步骤。上述控制器中提到的通信总线可以是外设部件互连标准(peripheralcomponentinterconnect，pci)总线或扩展工业标准结构(extendedindustrystandardarchitecture，eisa)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。通信接口用于上述控制器与其他设备之间的通信。存储器可以包括随机存取存储器(randomaccessmemory，ram)，也可以包括非易失性存储器(non-volatilememory，nvm)，例如至少一个磁盘存储器。可选的，存储器还可以是至少一个位于远离前述处理器的存储装置。上述的处理器可以是通用处理器，包括中央处理器(centralprocessingunit，cpu)、网络处理器(networkprocessor，np)等；还可以是数字信号处理器(digitalsignalprocessing，dsp)、专用集成电路(applicationspecificintegratedcircuit，asic)、现场可编程门阵列(field-programmablegatearray，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。在本申请提供的又一实施例中，还提供了一种计算机可读存储介质，该计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现上述任一报文处理方法中由ap执行的步骤。在本申请提供的又一实施例中，还提供了一种计算机可读存储介质，该计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现上述任一报文处理方法中由ac执行的步骤。在本申请提供的又一实施例中，还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述实施例中任一报文处理方法中由ap执行的步骤。在本申请提供的又一实施例中，还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述实施例中任一报文处理方法中由ac执行的步骤。在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，dvd)、或者半导体介质(例如固态硬盘solidstatedisk(ssd))等。需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。以上所述仅为本申请的较佳实施例而已，并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本申请的保护范围内。当前第1页12