HCP服务器为WLAN用户分配IP地址。控制装置连接到LTE核心网的服务网关(S-GW)。
[0025]LTE核心网进一步包括S-GW,P-Gff,认证、授权、计费服务器(AAA),归属位置寄存器(HLR),策略和计费资源功能(PCRF)和Charging服务器。AAA服务器部署于运营商LTE的核心网中,为请求接入WLAN或LTE的用户提供认证服务。
[0026]SDN控制器I具有全局的网络视图,能够通过自定义协议获取数据处理装置上的状态信息,并将这些状态信息和需要进行的操作捆绑成应用程序接口(API)供上层网络管理应用模块2调用,如图1所示,网络管理应用模块2为已有的AAA代理(AAA Proxy)。其中自定义协议包括添加SAP(Add_SAP)、删除SAP(RemoVe_SAP)、状态信息请求(Query_Stats)、添加订阅(Add_Subscript1n)、接收到探测请求(Recvd_Probe_Request)、Ping、Publish。Recvd_Probe_Request用于Agent告知WLAN控制器有终端正在发出扫描信号。Add_SAP用于SDN控制器在软AP的代理模块上下发SAP。Remove_SAP用于SDN控制器删除软AP的代理模块中某个SAP。Query_Stats用于SDN控制器向代理模块请求AP和用户的状态信息。AdcLSubscript1n用于SDN控制器向代理模块下发订阅信息,订阅信息以链表的形式存储于代理模块中。Recvd_Probe_Request用于代理模块告知SDN控制器有终端正在发出扫描信号。Ping用于代理模块定义向SDN控制器发送ping消息,作为心跳机制,使SDN控制器能够感知新加入的AP或者某些AP没有正常工作。Publish用于在代理模块检测到符合订阅消息的数据帧后将相应的关于此帧的相应信息上传到SDN控制器上。
[0027]网络管理应用模块2使用SDN控制器I提供的API和底层数据处理装置的状态信息实现网络管理功能。
[0028]软AP4通过OpenFlow交换机3与SDN控制器I连接,OpenFlow交换机3负责转发SDN控制器I和软AP 4之间OpenFlow协议消息。
[0029]软AP 4进一步包括代理(Agent)模块,该代理模块作为SDN控制器I在软AP4上的代理,代理模块通过自定义协议与SDN控制器I通信实现软AP4上状态信息的上传和SDN控制器I上控制信息的下发。
[0030]代理模块进一步包括SAP列表,SAP用于抽象用户终端(Client)与软AP4的连接,SAP列表为由软件实现的数据结构,包括Client的MAC地址、Client的IP地址、Client的BSSID、Client的SSID。每个Client对应一个独立、唯一的SAP,Client到软AP的连接可以抽象成该Client与其对应的SAP的连接,每个软AP维护了一个SAP列表,记录着正在连接的SAP的信息。
[0031]WAG5通过安全管道将WLAN数据处理装置连接到LTE核心网的分组数据网关(P-Gff),WAG5可以作为WLAN网络中的DHCP服务器为WLAN用户分配IP地址。
[0032]AAA服务器部署于运营商LTE的核心网中,为请求接入WLAN或LTE的用户提供认证服务。
[0033]本发明还提出一种基于SDN的运营级WLAN系统的统一认证的方法,根据该方法,Client接入网络的过程包括以下步骤:
[0034]步骤1,当软AP 4中的代理模块收到用户终端(Client)发送的Probe Request帧时,将该帧经由OpenFlow交换机3上传给SDN控制器1,SDN控制器I使用Add_SAP协议在该软AP 4的代理模块上生成该用户对应的SAP列表,SAP包括Client的MAC地址、Client的IP地址、Client的BSSID、Client的SSID。该代理模块根据建立的该SAP列表信息发送Probe Respons 回复其对应的 Client ;
[0035]步骤2,Client 发送 GAS Request (Include ANQP Query)请求具体的网络信息,软AP 4经由其代理模块根据对应的SAP信息发送GAS Response (Include ANQP)进行回复ClientoGAS Request请求能够获取网络信息,包括网络地理位置、网络认证类型、网络运营商名称、漫游伙伴列表、AP位置和序号;
[0036]步骤3,Client发送Associat1n Request帧请求与其对应的软AP4建立连接,软AP 4中的代理模块根据SAP信息回复Associat1n Response帧与Client建立连接;
[0037]步骤4,Client发送Authenticat1n 802.1X认证帧进行认证请求,代理模块将认证请求帧发送到SDN控制器I中,SDN控制器I将认证请求帧转发到AAA服务器进行认证,AAA服务器将认证响应帧发送给SDN控制器1,SDN控制器I将该Client的认证结果记录到本地的数据库中,然后将其下发到对应的代理模块上,最终由代理模块根据SAP信息将认证帧发送给对应的Client。
[0038]在认证过程中SDN控制器运行有AAA代理(AAA Proxy),能够记录AAA服务器对每个用户终端的认证结果,当用户重新进入这个WLAN网络时,控制器可直接发送认证响应帧,使Cl ient可以自动的连接到网络。
[0039]SDN控制器I定期的从AAA服务器更新用户的认证状态信息,当该Client再次请求接入同一网络时,SDN控制器I直接发送认证响应帧,减少认证时间,使Client自动快速的连接到网络。
[0040]用户第一次认证的AAA服务器为用户的Home AAA服务器,当用户漫游时,新的AAA服务器会向Home AAA服务器请求用户的认证信息。
[0041]下面分别介绍用户终端在Home网络和漫游时的统一认证过程。
[0042]第一种情况,当Client第一次连接到WLAN网络中,需要将Client的认证请求发送到运营商核心网的AAA服务器中进行统一认证。参照图2,该认证过程包括以下步骤:
[0043]步骤101:Client向附近的软AP发送Probe Request,进行信号探测;
[0044]步骤102:软AP上的代理模块收到Probe Request后将该Probe帧上传给SDN控制器(Controller);
[0045]步骤103:SDN控制器收到Probe Request帧后使用Add_SAP协议在对应的代理模块上生成该用户对应的SAP列表;
[0046]步骤104:代理模块根据其上的SAP列表信息发送Probe Response回复发送ProbeRequest 的 Client ;
[0047]步骤105 =Client发出GAS Request帧请求获取更多的网络信息;
[0048]步骤106:代理模块根据其上的SAP列表信息发出GAS Response,回应Client请求的网络信息;
[0049]步骤107:Client发出Associat1n Request帧请求与其对应的软AP建立连接;
[0050]步骤108:软AP经由其代理模块回复Associat1n Response帧与Client建立连接;
[0051]步骤109 =Client发送EAP认证请求给其代理模块;
[0052]步骤110:代理模块将Client的EAP认证请求上交给SDN控制器;
[0053]步骤111:由于用户第一次连接到该网络中,所以SDN控制器中没有该用户的认证信息,SDN控制器将Client的EAP认证请求转发到Home AAA (H-AAA)服务器上进行认证;
[0054]步骤112:H-AAA根据指定的认证方式对Client的EAP认证请求进行认证,并将EAP认证结果发送给SDN控制器;
[0055]步骤113:控制器将该Client的EAP认证结果记录到本地的数据库中,然后将其下发到对应的代理模块上;
[0056]步骤114:代理模块根据其上的SAP列表信息将认证帧发送给对应的Client,完成认证。
[0057]第二种情况,当Client已经在某地通过了认证,连接到了该运营商的WLAN网络,把上述某地的AAA服务器称为该用户的Home AAA(H-AAA)服务器。当用户漫游到另一地点并请求接入该WLAN网络时,需要在新地点的AAA(V-AAA)服务器中进行认证。由于V-AAA中没有该Client的信息,所以V-AAA会将用户的认证请求转发到H-AAA中进行认证。参照图2,该认证过程包括以下步骤:
[0058]步骤201:Client向新地点附近的软AP发送Probe Request,进行信号探测;
[0059]步骤202:软AP上的代理模块收到Probe Request后将该Probe帧上传给SDN控制器;
[0060]步骤203:SDN控制器收到Probe Request后使用Add_SAP协议在对应的代理模块上生成该用户对应的SAP列表;
[0061]步骤204:代理模块根据其上的SAP列表信息发送Probe Response回复发送ProbeRequest 的 Client ;
[0062]步骤205 =Client发出GAS Request帧请求获取更多的网络信息;
[0063]步骤206: