专利名称:在无线局域网中支持多个逻辑网络的方法及装置的制作方法
技术领域:
本发明涉及无线局域网,尤其涉及种在无线局域网(WLAN)中支持多个逻辑网络的方法及装置。
背景技术:
WLAN的技术有许多种类,包括欧洲ETSI的Hiperlan、日本的HiSWAN和美国IEEE制订的IEEE 802.11。目前IEEE 802.11已成为事实上的标准,并得到广泛的支持与应用,包括企业无线组网应用及作为公众热点运营应用。由于WLAN主要使用非管制频段,在同一个地点多家运营商同时部署WLAN网络容易引起干扰并最终导致服务质量的下降甚至网络的不可用,因此,出现了WLAN网络设施共享的需求,如多个WLAN接入服务商共享公众热点WLAN基础设施,以及将企业WLAN网络作为运营商接入网为企业访客提供公众接入服务的需求。
IEEE 802.11定义的网络包括两大类自组网络(ad hoc network)和结构化网络(infrastructure)。自组网络是指一组站点自发组建的网络,两两之间通过无线电波通信,自组网络也称为独立的基本服务集(IBSS)。结构化网络存在一个特殊的站点接入点(AP),其他站点在AP覆盖范围内与AP建立关联,形成一个基本服务集(BSS),如图1所示。不同的BSS通过AP之间的互联构成一个扩展服务集(ESS),对互联技术不做限制。在企业组网应用及公共热点应用中,主要指结构化网络,网络共享主要是指结构化网络的共享。
在IEEE 802.11网络中,一个基本服务集或扩展服务集中的站点,形成一个局域网。一个IEEE 802.11移动台(MT)关联到一个AP,即加入了该基本服务集或扩展服务集,就可以与该服务集内的其他移动台互通。在WLAN中使用服务集标识(SSID)来标识一个扩展服务集。
移动台与AP之间建立关联的流程如图2所示,流程图分三阶段信道扫描、鉴权和关联。信道扫描主要获得系统基本参数包括BSSID、SSID。有两种扫描方式被动和主动。被动是指移动台被动收听AP发出的信标(Beacon)广播帧,主动(图2所示为主动扫描)是移动台主动在特定信道上发送探询请求(ProbeRequest),AP收到后返回探询响应(Probe Response),Probe Response携带与Beacon同样的参数。移动台确定要接入的信道后,进入鉴权阶段。鉴权有两种开放系统及共享密钥,开放系统鉴权相当于不鉴权。目前的WLAN网络安全都不依赖于关联之前的鉴权过程,一般都采用开放系统鉴权,移动台发送鉴权请求(authentication request)采用开放系统鉴权,AP返回鉴权响应(AuthenticationResponse)。经过鉴权之后进入关联阶段,即移动台发起关联请求(associationrequest),AP回关联响应(association response)。
IEEE 802.11i对IEEE 802.11的安全性进行了增强,其中采用了802.1X(基于端口的接入控制方法)对移动台接入进行控制,802.1X定义了受控端口和非受控端口,在移动台(MT)与AP完成关联之后,MT经由AP与后端鉴权服务器进行鉴权交互过程,相关帧经过非受控端口传送,受控端口关闭,这时除了鉴权服务器,MT与ESS内其它移动台或外部网络的数据通信是禁止的。在完成鉴权接入认证后,MT与AP之间协商单播加密密钥及组播加密密钥。完成密钥协商后受控端口才打开,这时MT才可以与ESS内其它移动台或外部网络的通信,在MT与AP之间使用协商的密钥及算法加密传输。支持802.11i的网络称为健壮的安全网络(Robust Security Network),在完成802.1X的认证及密钥协商后,MT才算真正关联到了AP。
为了支持WLAN网络的共享,也就是一个WLAN网络支持多个逻辑网络,目前存在以下技术方案1、AP支持多SSID一个基本服务集体或扩展服务集代表一组可以互通的WLAN移动台,这些移动台构成一个无线局域网。服务集标识SSID代表了这样一个无线局域网。因此,当要求同一基础设施支持多个逻辑网络时,若一个AP可以支持多个SSID,相当于支持了多个逻辑网络。属于不同的逻辑网络的MT,配置的SSID是不同的。而在AP上则配置了所有的逻辑网络的SSID,同一个AP可以映射到多个ESS。
在实施该方案时,存在的一个问题是如何让移动台知道该AP是否配置了与其相同的SSID。移动台首先扫描信道,当该信道对应的SSID与其相同时,才会进行关联操作。当移动台主动扫描时,Probe Request会带上对应的SSID,AP若支持该SSID,则响应Probe response。但存在移动台不支持主动扫描功能,当移动台采用被动扫描时,由于符合标准的Beacon帧只有一个SSID域,支持其他的SSID对移动台不可见,当移动台的SSID与收到的Beacon帧的SSID不一样时,就无机会接入网络。
2、虚拟AP方案由一个物理AP仿真多个虚拟AP,每个虚拟AP有不同的BSSID,属于不同的ESS。
虚拟AP方法的提出主要是为了解决方案1中AP支持多SSID时SSID对移动台不可见的问题。虚拟AP方法使得一个物理AP仿真多个虚拟AP,每个虚拟AP有自己独立的MAC管理帧。如不同的虚拟AP能独立广播各自的Beacon帧,各自携带自己对应的SSID。属于不同逻辑网络的移动台相当于各自独立关联到不同的虚拟AP上。
由于虚拟AP还是共享同一个无线传播信道,因此,需要在同一个传输媒质上增加对虚拟AP的访问调度功能,不仅增大了AP实现的复杂性,而且也增大了空口资源在MAC层管理方面的开销(同时支持多个虚拟AP的MAC层),降低了空中接口的有效带宽。
发明内容
本发明提供一种在无线局域网中支持多个逻辑网络的方法及装置,以解决现有技术实现WLAN网络支持多个逻辑网络时存在复杂性高和增加无线资源开销的问题。
一种在无线局域网中支持多个逻辑网络的方法,在所述无线局域网中的移动台与网络侧建立802.11关联后,网络侧获取所述移动台所属的逻辑网络的逻辑网络标识,并依据该逻辑网络标识将移动台接入到对应的逻辑网络中。
移动台依赖于匹配服务集标识(SSID)与网络侧建立802.11关联,或者,移动台不依赖于匹配SSID与网络侧建立802.11关联。
所述移动台不依赖于匹配SSID是指在建立关联过程中移动台不将本端配置的SSID与网络侧发送的信标帧或探询响应帧中的SSID进行比较;或者,所述移动台不依赖于匹配SSID是指网络侧在发送的信标帧或探询响应帧中不携带SSID或者将SSID置为空,所述移动台在确定所述信标帧或探询响应帧中无SSID或SSID为空时继续后续处理。
网络侧根据建立802.11关联时协商的安全参数,若确定移动台支持802.1X认证,则从移动台发送的认证响应报文中获取逻辑网络标识;若确定移动台支持无线局域网鉴别与保密基础结构(WAPI)认证,则从移动发送的接入鉴别请求报文中获取逻辑网络标识。
若网络侧根据建立802.11关联时协商的安全参数确定移动台既不支持802.1X认证又不支持WAPI认证,则将该移动台直接接入缺省的逻辑网络标识所对应的逻辑网络。
一种逻辑接入控制器,用于将无线局域网中的移动台接入到逻辑网络;包括802.11关联单元、逻辑网选择单元和逻辑网关联单元;所述802.11关联单元用于与网络中的移动台建立802.11关联,以及向移动台发送认证请求和接收响应报文,其中,关联过程不依赖于与逻辑网络的服务集标识(SSID)匹配;所述逻辑网选择单元用于从802.11关联单元接收的响应报文中获取逻辑网标识,根据该标识选择移动台所属的逻辑网络并向对应的逻辑网关联单元发送认证请求;所述逻辑网关联单元用于响应逻辑网选择单元的认证请求,完成移动台与该移动台所属逻辑网络之间的认证及相关密钥协商。
本发明在移动台与网络侧AP建立关联时根据需要,可以依赖于SSID,也可不依赖于SSID,而只在建立关联后获取逻辑网络标识来区分不同逻辑网络,因而不仅实现简单,而且也不额外占用空中接口的有效带宽,避免了现有技术所带来的各种局限性。
图1为现有技术中的结构化网络示意图;图2为现有技术中移动台与AP建立关联的流程图;图3为支持多个逻辑网的示意图;图4为逻辑接入控制器的结构示意图;图5为本发明中移动台接入逻辑网络的流程图;图6为本发明中移动台接入逻辑网络并采用802.11认证的流程图;图7为本发明中移动台接入逻辑网络并采用WAPI认证的流程图。
具体实施例方式
本发明在移动台(MT)与无线局域网的网络侧建立802.11关联后,在同一个SSID上采用逻辑网络标识符区分不同逻辑网络。
根据实际应用需要,移动台与网络侧建立802.11关联可以采用下述两种方式(1)同现有技术一样依赖于匹配SSID建立802.11关联,即由SSID区别不同的物理AP。这种方式下,移动台的SSID与AP的SSID不匹配则移动台不能接入该AP。
(2)不依赖于匹配SSID建立802.11关联,即不采用SSID区别物理AP。这种方式下,即使移动台的SSID与AP的SSID不匹配也能接入到该AP。这是因为服务集标识(SSID)在空口是明文传输的,非常容易通过空口扫描获得各个接入点(AP)和移动台的SSID的配置情况,因此,若仅依赖于SSID匹配则不能很好地保证安全性。如果逻辑网络提供了移动台与逻辑网络之间的其他安全认证机制,则完全可以不采用SSID匹配。
移动台与网络建立802.11关联时不区分逻辑网络,或者说移动台不依赖于与当前无线局域网的服务集标识(SSID)匹配,可以通过以下方式实现(1)在建立关联过程中,移动台在收到AP的信标(Beacon)帧或探询响应(Probe Response)后,不将本端配置的SSID与信标帧或探询响应帧中的SSID进行比较,直接进行与现有技术相同的后续步。
(2)在建立关联过程中,AP在发送的信标帧或探询响应帧中不携带SSID,或者将SSID置为空(即空字符串),移动台在收到AP的信标(Beacon)帧或探询响应(Probe Response)后,发现SSID为空或没有SSID,直接进行与现有技术相同的后续步。
一个WLAN网络支持多个逻辑网络如图3所示,如WLAN分别支持逻辑网络A、逻辑网络B、逻辑网络C。不同逻辑网络的移动台必须支持该逻辑网络所要求的安全机制包括认证方法与加密方法,不同逻辑网络的用户身份标识包含了逻辑网络标识或能从用户身份标识中推断出逻辑网络标识。
移动台与网络侧建立802.11关联后,根据关联时协商的安全参数,网络侧向移动台发起相应的认证请求,并从移动台响应报文所携带的用户身份标识中获得逻辑网络标识,以选择应接入的逻辑网络。在逻辑网络边缘存在一个逻辑网关联单元,完成移动台到逻辑网络的接入认证及空口密钥协商与安装,当这些功能成功完成后,称移动台关联到了一个逻辑网络,或者说建立了对应移动台的逻辑网关联。
在802.11关联与逻辑网关联之间需要一个逻辑网选择单元来完成802.11关联的移动台选择相应的逻辑网络。一个物理WLAN网络支持多个逻辑网络的逻辑接入控制器的功能结构如图4所示。逻辑接入控制器包括802.11关联单元、逻辑网选择单元和逻辑网关联单元;所述802.11关联单元用于与网络中的移动台建立802.11关联,关联过程依赖或不依赖于与逻辑网络的服务集标识(SSID)匹配,在建立关联后802.11关联单元向移动台发送认证请求和接收响应报文。所述逻辑网选择单元用于从802.11关联单元接收的响应报文中获取逻辑网标识,根据该标识选择移动台所属的逻辑网络并向对应的逻辑网关联单元发送认证请求;所述逻辑网关联单元用于响应逻辑网选择单元的认证请求,完成移动台与该移动台所属逻辑网络之间的认证及相关密钥协商。
逻辑接入控制器可以设置在AP中,也可以设置在接入控制器(AC)中。
逻辑网络的区分由逻辑网选择单元完成,移动台最终接入到一个逻辑网络要经由逻辑网关联,逻辑网关联单元的功能主要是完成逻辑网络与移动台之间的身份认证及相关密钥协商,完成逻辑网关联之后移动台才可以获得逻辑网相关服务。
在进行802.11关联时,网络和移动台之间将协商安全参数。逻辑网选择单元的工作依赖于网络和移动台之间协商的安全参数。针对移动台接入认证方法,目前存在以下标准(1)802.1X认证方法(IEEE 802.11i标准);(2)中国标准WAPI(WLAN Authentication and Privacy Infrastructure,无线局域网鉴别与保密基础结构)认证方法(中国国家标准GB15629.11)。
一个WLAN网络可以只支持上述中一种或同时支持多种认证方法,一个逻辑网络只支持其中的一种认证方法。当不支持上述WLAN安全标准时,还存在一些其他的认证方法,如基于浏览器劫持认证方法,即移动台发起动态主机配置协议(DHCP)请求获得IP地址时,网络重定向的一个浏览器,推出一个认证页面到移动台,使得用户可以输入用户名及密码,对用户合法性进行认证。
逻辑网络选择单元的工作原理是当移动台关联到了AP时,根据其协商的安全参数启动对应的协议并获得移动台要接入的逻辑网络标识,交由对应的逻辑网络关联功能实体完成后续认证,对应的逻辑网络的安全机制必须支持802.11关联所协商的安全参数。通过逻辑选择单元绑定802.11关联和逻辑网关联。
参阅图5所示,移动台接入逻辑网络的流程为当一个移动台接入到网络后,首先是建立802.11关联,在建立关联过程中要协商安全参数。网络侧可以同时支持多种安全机制或仅支持其中的一种。然后,网络侧根据协商的接入认证方式(如,WAPI、802.1X或其他认证方式),利用相应安全机制获得移动台上报的网络标识,根据该网络标识创建逻辑网关联实体,在完成认证流程及密钥协商后,移动台到逻辑网的关联即已建立。
当移动台不支持相应的WLAN安全标准但网络允许其接入时,这些移动台直接接入一个缺省的逻辑网络,与该缺省逻辑网络建立关联,在缺省逻辑网络内可以部署接入服务器来完成进一步的用户认证或免认证。
在网络侧,由于移动台地址可标识一个802.11的关联,因此,移动台用户标识符可标识一个逻辑网关联。一个逻辑网关联绑定在对应的802.11关联上,并包含了相关安全参数,这些安全参数将支持空中接口的加密和解密。
参阅图6所示,采用802.1X认证方法时,逻辑网络选择过程为在建立关联后,网络侧发送802.1X认证请求802.1X EAP Request,移动台回802.1X认证响应802.1X EAP Response,其中携带的用户标识包含了逻辑网络标识信息;网络侧的逻辑网选择层实体根据该网络标识,给对应逻辑网络的逻辑网关联实体发送802.1X认证请求,逻辑网关联实体通过Radius协议将802.1X认证请求转给逻辑网络中的认证服务器,后续的认证过程直接在移动台与认证服务器之间进行,完成认证后,认证服务器发送EAP认证成功信息及协商的密钥材料发给逻辑网关联实体。之后,逻辑网关联实体和移动台之间根据认证时所协商的主密钥,通过802.1X动态密钥协商过程,生成对应的单播密钥及组播密钥。完成密钥协商后,逻辑网关联即已建立,移动台就正式加入到了对应的逻辑网,可获得逻辑网相关服务、资源及业务。
参阅图7所示,采用WAPI认证方法时,逻辑网络选择选择过程为在建立关联后,网络侧发送鉴别激活给移动台,移动台回接入鉴别请求报文,其中携带的用户证书包含了逻辑网络标识信息,网络侧的逻辑网选择层实体根据该网络标识,给对应逻辑网络的逻辑网关联实体发送接入鉴别请求,逻辑网关联实体将自己的证书连同移动台的证书通过证书认证请求发送给逻辑网络中的认证服务器,认证服务器验证证书的合法性,并回证书鉴别响应,逻辑网关联实体回移动台接入鉴别响应。之后,逻辑网关联实体和移动台之间协商加密密钥。完成密钥协商后,逻辑网关联即已建立,移动台就正式加入到了对应的逻辑网,可获得逻辑网相关服务、资源及业务。
当网络侧既不支持802.1X又不支持WAPI时,这时对WLAN网络来说,在完成关联后,对空口传输的数据报文将不作限制。在网络侧,可以将所有不支持802.1X和WAPI标准的移动台看作一个逻辑网络的用户不加区分(或称只为缺省逻辑网络),在该逻辑网络域可通过一个接入服务器来完成相关用户认证。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
权利要求
1.一种在无线局域网中支持多个逻辑网络的方法,其特征在于,所述无线局域网中的移动台与网络侧建立关联后,网络侧获取所述移动台所属的逻辑网络的逻辑网络标识,并依据该逻辑网络标识将移动台接入到对应的逻辑网络中。
2.如权利要求1所述的方法,其特征在于,移动台依赖于匹配服务集标识(SSID)与网络侧建立802.11关联,或者,移动台不依赖于匹配SSID与网络侧建立802.11关联。
3.如权利要求2所述的方法,其特征在于,所述移动台不依赖于匹配SSID是指在建立关联过程中移动台不将本端配置的SSID与网络侧发送的信标帧或探询响应帧中的SSID进行比较。
4.如权利要求2所述的方法,其特征在于,所述移动台不依赖于匹配SSID是指网络侧在发送的信标帧或探询响应帧中不携带SSID或者将SSID置为空,所述移动台在确定所述信标帧或探询响应帧中无SSID或SSID为空时继续后续处理。
5.如权利要求1至4任一项所述的方法,其特征在于,网络侧根据建立802.11关联时协商的安全参数,若确定移动台支持802.1X认证,则从移动台发送的认证响应报文中获取逻辑网络标识;若确定移动台支持无线局域网鉴别与保密基础结构(WAPI)认证,则从移动发送的接入鉴别请求报文中获取逻辑网络标识。
6.如权利要求5所述的方法,其特征在于,若网络侧根据建立802.11关联时协商的安全参数确定移动台既不支持802.1X认证又不支持WAPI认证,则将该移动台直接接入缺省的逻辑网络标识所对应的逻辑网络。
7.一种逻辑接入控制器,用于将无线局域网中的移动台接入到逻辑网络;其特征在于包括802.11关联单元、逻辑网选择单元和逻辑网关联单元;所述802.11关联单元用于与网络中的移动台建立802.11关联,以及向移动台发送认证请求和接收响应报文;所述逻辑网选择单元用于从802.11关联单元接收的响应报文中获取逻辑网标识,根据该标识选择移动台所属的逻辑网络并向对应的逻辑网关联单元发送认证请求;所述逻辑网关联单元用于响应逻辑网选择单元的认证请求,完成移动台与该移动台所属逻辑网络之间的认证及相关密钥协商。
8.如权利要求7所述的接入控制器,其特征在于,若逻辑网选择单元根据802.11关联单元建立802.11关联时协商的安全参数确定支持802.1X认证时,向逻辑网关联单元发送802.1X认证请求;若逻辑网关联单元根据802.11关联单元建立802.11关联时协商的安全参数确定支持无线局域网鉴别与保密基础结构(WAPI)认证时,向逻辑网关联单元发送鉴别激活报文。
9.如权利要求8所述的接入控制器,其特征在于,若逻辑网选择单元根据802.11关联单元建立802.11关联时协商的安全参数确定既不支持802.1X认证又不支持WAPI认证时通知逻辑网关联单元,由逻辑网关联单元将移动台直接接入缺省的逻辑网络。
10.如权利要求7、8或9所述的接入控制器,其特征在于,该接入控制器设置在无线局域网的接入点(AP)中,或设置在接入控制器(AC)中。
全文摘要
本发明公开了一种在无线局域网中支持多个逻辑网络的方法,以解决现有技术实现WLAN网络支持多个逻辑网络时存在复杂性高和增加无线资源开销的问题;该方法在无线局域网中的移动台与网络侧建立802.11关联后,由网络侧获取所述移动台所属的逻辑网络的逻辑网络标识,并依据该逻辑网络标识将移动台接入到对应的逻辑网络中。本发明还同时公开了一种逻辑接入控制器,该逻辑接入控制器包括802.11关联单元、逻辑网选择单元和逻辑网关联单元。
文档编号H04L12/28GK1805391SQ20051000872
公开日2006年7月19日 申请日期2005年2月24日 优先权日2005年1月13日
发明者姚忠辉 申请人:华为技术有限公司