一种无线认证方法及网络设备的制造方法

一种无线认证方法及网络设备的制造方法
【技术领域】
[0001] 本发明涉及无线网络领域，尤其涉及一种无线认证方法及网络设备。
【背景技术】
[0002] 无线局域网（WLAN)包括两种WLAN架构，一种是胖无线接入点（AccessPoint，AP) 架构，一种是瘦AP架构。胖AP架构是以胖AP为核心的分布式结构，对AP实行逐一管理， 无法进行整网流量、射频和用户分配的全局管理，因此市场应用较少，无法适用大型的网络 覆盖需求。瘦AP架构是由无线网络控制器（AccessController，AC)通过有线网络集中控 制下联的所有AP，实现了对无线网络的集中规划和部署，AC完成了对所有AP的集中管理， 包括对无线用户的安全准入控制。
[0003] 在WLAN的瘦AP结构中，AC作为WLAN的核心设备，承担着下属所有AP的报文处理， 也是整个无线网络的单点故障点，即AC出现故障或者AC和AP间的链路故障导致CAPWAP 隧道断开，其管理的所有AP也会全部失效，无线网络则无法继续对外提供服务。
[0004] 目前WLAN网络的接入认证过程，通常需要涉及到认证客户端、认证设备、认证服 务器。在实际WLAN中，分别对应为：无线客户端（STA)、AP/AC、认证服务器；其中，认证客户 端，安装于用户终端设备上的客户端系统，可以为HTTP协议的浏览器，上网时将发出HTTP 请求；认证设备，在网络拓扑中通常为接入层设备，如在WLAN网络中为AP或AC，通常与用 户终端设备直接相连，启动WEB认证，主要完成WLAN用户的接入、接入控制、计费信息采集 以及数据业务管理和转发控制；认证服务器，可以为Portal/Radius服务器，Portal服务器 提供WEB服务的强制Portal功能，WLAN用户通过WEB浏览器发起HTTP请求，将需要认证设 备强制定向到Portal服务器，由Portal服务器提供免费门户服务和基于WEB认证的界面。 Radius服务器提供Radius认证功能，接收认证客户端，与认证设备交互认证客户端的认 证信息，对WLAN用户进行认证，并将认证结果通知接入设备，同时提供计费功能，Portal/ Radius服务器可以分开设置在两个物理设备，也可以集成为一个物理设备，本发明中，为方 便描述，在附图中将Portal/Radius服务器进行了集成显示。
[0005] 以Portal认证为例，其是一种基于端口对用户访问网络的权限进行控制的认证 方法，在无线网络中，Portal认证基于WLAN端口进行访问控制。未进行Portal认证的用 户进行上网时，接入认证设备会强制用户登录到特定的站点来免费访问该特定站点中的服 务；但是当用户需要访问互联网中未在该站点中的其他服务时，必须在认证服务器进行身 份认证，只有身份认证通过后，接入认证设备才允许用户访问互联网资源。
[0006] 图1示出了WLAN用户进行认证的流程，包括：
[0007]SI，WLAN用户终端通过终端浏览器，发送HTTP请求报文（HTTPRequest user-url)至AC/AP;
[0008]S2,AC/AP接收到HTTPRequestuser-url后，响应HTTPRedirect(重定向报文） 给WLAN用户终端，WLAN用户终端向Portal服务器转发该HTTPRequestPortal-url;
[0009]S3,Portal服务器接收到HTTPRequestPortal-url后，反馈响应报文（HTTP ResponsePortal-url)给WLAN用户终端；
[0010] S4,WLAN用户终端接收到响应报文后，发送自身用户名&密码（HTTPPost Portal-url)给Portal服务器；
[0011] S5,Portal服务器发送认证请求报文（REQ-Auth)给AC/AP;
[0012] S6，AC/AP发送认证接入请求（Access-Request)至Radius服务器进行身份验证；
[0013] S7,Radius服务器反馈身份验证结果Access-Accept或Access-Re ject至AC/AP ;
[0014] S8,AC/AP发送认证响应报文（ACK_Auth)给Portal服务器告知认证结果；
[0015] S9,Portal服务器根据ACK_Auth报文推送认证结果页面（HTTPResponse Portal-url)给WLAN用户终端；
[0016] S10,若Portal服务器收到ACK_Auth报文表示认证成功，则发送AFF_ACK_ Auth(认证成功响应确认报文）至AC/AP，对收到的认证成功响应报文进行确认；
[0017] S11，若WLAN用户终端认证失败，则当前流程结束，若成功，则AC/AP发送计费请求 (Accounting-Request)至Radius服务器进行计费；
[0018] S12,Radius服务器反馈计费响应（Accounting-Response)至AC/AP。
[0019] 由图1可知，在WLAN中，认证设备可以是AP/AC，为了描述方面，将以AC作为认证 设备的认证方式统称为"集中认证"，以AP作为认证设备的认证方式统称为"本地认证"。然 而，在瘦AP结构中，一个网络中往往包含数百上千台AP，若单纯采用本地认证方式，则需要 在认证服务器上配置所有AP的信息，认证服务器需要呈现所有AP的信息，且若有新的AP 加入网络时，则需要在服务器新增新AP的配置，增加了认证服务器的配置和管理复杂度。 因此通常选用本地认证和集中认证相结合的方式进行认证，具体实现为：利用RIPT(边缘 感知功能），判断AC和AP之间的隧道连接是否正常，当处于连接模式时，使用AC作为认证 设备进行集中认证，由AC与认证服务器之间进行认证报文交互；当判断AC与AP之间的隧 道断开时，则使用该AP作为认证设备进行本地认证，由AP与认证服务器之间进行认证报文 交互。
[0020] 但是上述方案存在如下问题：（1)当AC与AP之间链路正常，可AC与服务器之间 链路异常时，该AC下的认证客户端仍旧无法进行认证；（2)因为使用到AP本地认证方式， 需要预先在认证服务器配置所有AP的信息，认证服务器的配置管理较为复杂。

【发明内容】

[0021] 本发明的实施例提供了一种无线认证方法及网络设备，能够降低无线认证的复杂 度，提尚稳定性。
[0022] 本发明提供了如下方案：
[0023] 一种无线认证方法，所述方法包括：
[0024] 接收AC发送的域配置信息；所述域配置信息包括区域标识（Domain-ID)和代理认 证主接入点（P-MAP)的IP地址（NAS-IP);
[0025] 在自身所属区域内组播发送P-MAP探测报文，所述P-MAP探测报文包括自身所属 区域的Domain-ID、本地IP地址LIP及MAC;
[0026] 若预设时间内接收到P-MAP通告报文，将自身状态切换为普通无线接入点NAP并 返回P-MAP通告响应报文，所述P-MAP通告响应报文包括自身所属区域的Domain-ID、LIP 及MAC;
[0027] 若预设时间内接收到自身所属区域内其他AP发送的P-MAP探测报文，根据所述 P-MAP探测报文确定所述其他AP不符合预设P-MAP条件时，则继续在自身所属区域内组播 发送P-MAP探测报文，否则停止在自身所属区域内组播发送P-MAP探测报文；
[0028] 若预设时间内未接收到P-MAP通告报文，也未接收到自身所属区域内其他AP发送 的P-MAP探测报文，则将自身状态切换为P-MAP;
[0029] 按照无线终端发送的HTTP请求报文，通过P-MAP与认证服务器进行认证；其中，所 述HTTP请求报文中携带自身所属区域的NAS-IP以及无线终端所关联AP的MAC。
[0030] 一种无线认证方法，包括：
[0031] AC与AP建立无线接入点的控制和配置CAPWAP隧道连接后，对所述AP进行区域划 分；
[0032] 所述AC对划分得到的区域进行域配置，并将域配置信息分发给每个AP;所述域配 置信息包括区域标识Domain-ID和代理认证主接入点P-MAP的IP地址NAS-IP。
[0033] 一种无线接入点AP，所述AP包括：域配置信息存储单元、报文发送单元、处理单 元、状态切换单元、以及认证单元；其中，
[0034] 所述域配置信息存储单元，用于接收AC发送的域配置信息并存储，所述域配置信 息包括区域标识Domain-ID和代理认证主接入点P-MAP的IP地址NAS-IP;
[0035] 所述报文发送单元，用于在自身所属区域内组播发送P-MAP探测报文，所述P-MAP 探测报文包括自身所属区域的Domain-ID、本地IP地址LIP及MAC;
[0036] 所述处理单元，用于若预设时间内接收到P-MAP通告报文，则触发状态切换单元 将自身状态切换为普通无线接入点NAP，返回P-MAP通告响应报文；若预设时间内接收到自 身所属区域内其他AP发送的P-MAP探测报文，根据所述P-MAP探测报文确定所述其他AP不 符合预设P-MAP条件时，则触发所述报文发送单元继续在自身所属区域内组播发送P-MAP 探测报文，否则触发所述报文发送单元停止在自身所属区域内组播发送P-MAP探测报文； 若预设时间内未接收到P-MAP通告报文，也未接收到自身所属区域内其他AP发送的P-MAP 探测报文，则触发状态切换单元将自身状态切换为P-MAP;
[0037] 所述认证单元，用于按照无线终端发送的HTTP请求报文，通过P-MAP与认证服务 器进行认证；其中，所述HTTP请求报文中携带自身所属区域的NAS-IP以及无线终端所关联 AP的MAC。
[0038] 一种AC，包括区域划分单元、域配置单元；其中，
[0039] 所述区域划分单元，具体用于与AP建立CAPWAP隧道连接后，对所述AP进行区域 划分；
[0040] 所述域配置单元，用于对划分得到的区域进行域配置，并将域配置信息分发给每 个AP;所述域配置信息包括区域标识Domain-ID和代理认证主接入点P-MAP的IP地址 NAS-IP〇
[0041] 由上述本