专利名称:认证方法、装置、系统和无线接入点的制作方法
技术领域:
本发明涉及通信技术领域,尤其涉及一种认证方法、装置、系统和无线接入点。
背景技术:
在一个全网要求身份认证的网络中,当一个用户借助无线终端试图接入到网络中 时,首先需要输入用户名和密码,无线接入点(Access Point ;以下简称AP)接收到上述用 户名和密码后,将该用户名和密码打包传输到无线控制器(Access Controller ;以下简称 AC)上,AC作为该用户的认证代理与身份认证服务器进行认证,之后AC将认证结果通告给 AP。若认证成功,AP接收并转发该用户的数据报文,丢弃所有未认证或者认证失败的用户 的数据报文。上述身份认证过程由AC代理完成的原因是AC作为整网AP的控制器,AC需要收 集所有认证用户的信息并进行集中管理。其中,AC对AP的管理需要在两者之间建立一条 互相可达的通道,即无线接入点的控制和配置(Control And Provisioning of Wireless Access Points ;以下简称CAPWAP)隧道,CAPffAP隧道用于承载AC与AP之间的通讯报文; CAPffAP隧道可用的前提是AC与AP之间的网络可达。从上述身份认证过程可以看出,AC是一个关键部件,一旦AC出现故障不能正常工 作或者AC与AP之间的网络中断的时候,CAPWAP隧道中断,打算借助无线终端接入网络的 用户将无法进行身份认证,从而导致该用户不能正常访问网络。
发明内容
本发明实施例提供一种认证方法、装置、系统和无线接入点,以在无线接入点与无 线控制器之间的隧道处于中断状态时,由无线接入点提供认证代理,实现对用户的身份认 证。本发明实施例提供一种认证方法,包括无线接入点接收无线终端发送的使用所述无线终端的用户的用户信息;确定所述无线接入点与管理所述无线接入点的无线控制器之间的隧道处于中断 状态之后,所述无线接入点将所述用户信息发送给身份认证服务器,以便所述身份认证服 务器对所述用户的身份进行认证。本发明实施例提供一种认证装置,包括接收模块,用于接收无线终端发送的使用所述无线终端的用户的用户信息;发送模块,用于在确定所述认证装置与管理所述认证装置的无线控制器之间的隧 道处于中断状态之后,将所述接收模块接收的用户信息发送给身份认证服务器,以便所述 身份认证服务器对所述用户的身份进行认证。本发明实施例还提供一种无线接入点,包括上述认证装置。本发明实施例还提供一种认证系统,包括无线终端、无线控制器、身份认证服务 器和上述无线接入点。
通过本发明实施例,无线接入点接收到无线终端发送的使用该无线终端的用户的 用户信息之后,如果无线接入点确定该无线接入点与管理该无线接入点的无线控制器之间 的隧道处于中断状态,则该无线接入点将上述用户信息发送给身份认证服务器,以便身份 认证服务器对上述用户的身份进行认证;从而实现了在无线接入点与无线控制器之间的隧 道处于中断状态时,由无线接入点提供认证代理,完成对用户的身份认证。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发 明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根 据这些附图获得其他的附图。图1为本发明认证方法一个实施例的流程图;图2为本发明认证过程一个实施例的示意图;图3为本发明认证装置一个实施例的结构示意图;图4为本发明认证装置另一个实施例的结构示意图;图5为本发明认证系统一个实施例的结构示意图。
具体实施例方式为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例 中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是 本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员 在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。图1为本发明认证方法一个实施例的流程图,如图1所示,该认证方法可以包括步骤101,AP接收无线终端发送的使用该无线终端的用户的用户信息。本实施例中的用户信息可以为用户名和密码,当然本发明实施例并不仅限于此, 该用户信息也可以为其他可以标识用户身份的信息,例如用户标识和/或通行证号;本发 明实施例对此不作限定。步骤102,确定AP与管理该AP的AC之间的隧道处于中断状态之后,AP将上述用 户信息发送给身份认证服务器,以便身份认证服务器对上述用户的身份进行认证。其中,AP与管理该AP的AC之间的隧道可以为CAPWAP隧道。本实施例中,AP将上述用户信息发送给身份认证服务器,由身份认证服务器对上 述用户的身份进行认证之后,AP还可以接收身份认证服务器发送的该用户的认证结果。本 实施例中,身份认证服务器可以通过一条消息,例如认证响应消息或其他消息将该用户的 认证结果发送给AP,本实施例对此不作限定。在获得用户的认证结果之后,AP可以保存认证成功的用户的用户信息,并在AP与 管理该AP的AC之间的隧道恢复连通之后,将保存的用户信息发送给上述AC。另外,在获得用户的认证结果之后,AP可以接收并转发认证成功的用户的数据报 文;和/或,AP丢弃未认证或认证失败的用户的数据报文。上述实施例中,AP接收到无线终端发送的使用该无线终端的用户的用户信息之后,如果AP确定该AP与管理该AP的AC之间的隧道处于中断状态,则该AP将上述用户信 息发送给身份认证服务器,以便身份认证服务器对上述用户的身份进行认证;从而实现了 在AP与AC之间的隧道处于中断状态时,由AP提供认证代理,完成对用户的身份认证。下面结合图2对本发明提供的认证方法进行详细说明,图2为本发明认证过程一 个实施例的示意图。在一个全网要求身份认证的网络中,当一个用户借助无线终端试图接入到该网络 中时,首先需要输入该用户的用户信息,例如该用户的用户名和密码,无线终端会将该用 户的用户名和密码发送给AP,如图2中虚线箭头所示;AP接收到该用户的用户名和密码之 后,会检测当前CAPWAP隧道的状态,如果由于网络或AC出现故障导致CAPWAP隧道处于中 断状态,则AP会将自己作为该用户的认证代理与身份认证服务器进行认证,即AP会直接将 该用户的用户名和密码发送给身份认证服务器,如图2中点划线箭头所示,并接收身份认 证服务器发送的该用户的认证结果,如图2中双点划线箭头所示。然后,AP可以接收并转 发认证成功的用户的数据报文,丢弃所有未认证或者认证失败的用户的数据报文。另外,AP可以保存由自身代理认证成功的用户的用户信息,之后当网络或AC恢复 正常工作,CAPWAP隧道恢复连通之后,AP可以将该AP所保存的通过自身代理认证成功的用 户信息同步到AC上,以确保AC作为整网AP的控制器,拥有认证成功的所有用户的用户信 息并进行集中管理。本发明实施例提供的认证方法解决了在一个全网要求身份认证的网络中,网络或 AC出现故障导致CAPWAP隧道处于中断状态的情景中,用户无法借助无线终端进行身份认 证接入AP并访问网络的问题,提高了无线网络的可用性。本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤可以通过 程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序 在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括R0M、RAM、磁碟或者 光盘等各种可以存储程序代码的介质。图3为本发明认证装置一个实施例的结构示意图,本实施例中的认证装置可以作 为AP,或AP的一部分,实现本发明图1所示实施例的流程。如图3所示,该认证装置可以包 括接收模块31和发送模块32 ;其中,接收模块31,用于接收无线终端发送的使用该无线终端的用户的用户信 息;发送模块32,用于在确定该认证装置与管理该认证装置的AC之间的隧道处于中 断状态之后,将接收模块31接收的用户信息发送给身份认证服务器,以便该身份认证服务 器对该用户的身份进行认证。上述实施例中,接收模块31接收到无线终端发送的使用该无线终端的用户的用 户信息之后,如果确定该AP与管理该AP的AC之间的隧道处于中断状态,则发送模块32将 上述用户信息发送给身份认证服务器,以便身份认证服务器对上述用户的身份进行认证; 从而实现了在AP与AC之间的隧道处于中断状态时,由AP提供认证代理,完成对用户的身 份认证,提高了网络的可用性。图4为本发明认证装置另一个实施例的结构示意图,与图3所示的认证装置相比, 不同之处在于,图4所示的认证装置中,接收模块31还可以接收身份认证服务器发送的用户的认证结果。本实施例中,该认证装置还可以包括保存模块33,用于保存认证成功的用户的 用户信息;发送模块32还可以在隧道恢复连通之后,将保存模块33保存的用户信息发送给 上述AC。本实施例中,接收模块31还可以接收认证成功的用户的数据报文;发送模块32还 可以转发接收模块31接收的数据报文;本实施例中的认证装置还可以包括丢弃模块34,用于丢弃未认证或认证失败的 用户的数据报文。上述认证装置实现了在AP与AC之间的隧道处于中断状态时,由AP提供认证代 理,完成对用户的身份认证,提高了网络的可用性。图5为本发明认证系统一个实施例的结构示意图,如图5所示,该认证系统可以包 括无线终端51、AC 52、AP 53和身份认证服务器54 ;其中,AP 53可以接收无线终端51发送的使用该无线终端51的用户的用户信息, 确定AP 53与管理该AP 53的AC 52之间的隧道处于中断状态之后,AP 53将上述用户信息 发送给身份认证服务器54,以便该身份认证服务器54对该用户的身份进行认证。具体地, 该AP 53可以通过本发明图3或图4所示的认证装置实现。在实际实现时,无线终端51、AC 52、AP 53和身份认证服务器54可以按照图2进 行组网。上述实施例中,AP 53接收到无线终端51发送的使用该无线终端51的用户的用 户信息之后,如果AP 53确定该AP 53与管理该AP 53的AC 52之间的隧道处于中断状态, 则该AP 53将上述用户信息发送给身份认证服务器54,以便身份认证服务器54对上述用户 的身份进行认证;从而实现了在AP 53与AC 52之间的隧道处于中断状态时,由AP 53提供 认证代理,完成对用户的身份认证。本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流 程并不一定是实施本发明所必须的。本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分 布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上 述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。最后应说明的是以上实施例仅用以说明本发明的技术方案,而非对其限制;尽 管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解其依然 可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替 换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精 神和范围。
权利要求
一种认证方法,其特征在于,包括无线接入点接收无线终端发送的使用所述无线终端的用户的用户信息;确定所述无线接入点与管理所述无线接入点的无线控制器之间的隧道处于中断状态之后,所述无线接入点将所述用户信息发送给身份认证服务器,以便所述身份认证服务器对所述用户的身份进行认证。
2.根据权利要求1所述的方法,其特征在于,所述无线接入点将所述用户信息发送给 身份认证服务器,以便所述身份认证服务器对所述用户的身份进行认证之后,还包括所述无线接入点接收所述身份认证服务器发送的所述用户的认证结果。
3.根据权利要求1或2所述的方法,其特征在于,还包括所述无线接入点保存认证成功的用户的用户信息,并在所述隧道恢复连通之后,将保 存的用户信息发送给所述无线控制器。
4.根据权利要求1或2所述的方法,其特征在于,还包括所述无线接入点接收并转发认证成功的用户的数据报文;和/或,所述无线接入点丢弃未认证或认证失败的用户的数据报文。
5.一种认证装置,其特征在于,包括接收模块,用于接收无线终端发送的使用所述无线终端的用户的用户信息;发送模块,用于在确定所述认证装置与管理所述认证装置的无线控制器之间的隧道处 于中断状态之后,将所述接收模块接收的用户信息发送给身份认证服务器,以便所述身份 认证服务器对所述用户的身份进行认证。
6.根据权利要求5所述的装置,其特征在于,所述接收模块,还用于接收所述身份认证服务器发送的所述用户的认证结果。
7.根据权利要求5或6所述的装置,其特征在于,还包括保存模块,用于保存认证成功的用户的用户信息;所述发送模块,还用于在所述隧道恢复连通之后,将所述保存模块保存的用户信息发 送给所述无线控制器。
8.根据权利要求5或6所述的装置,其特征在于,所述接收模块,还用于接收认证成功的用户的数据报文;所述发送模块,还用于转发所 述接收模块接收的数据报文;所述认证装置还包括丢弃模块,用于丢弃未认证或认证失败的用户的数据报文。
9.一种无线接入点,其特征在于,包括权利要求5-8任意一项所述的认证装置。
10.一种认证系统,其特征在于,包括无线终端、无线控制器、身份认证服务器和权利 要求9所述的无线接入点。
全文摘要
本发明提供一种认证方法、装置、系统和无线接入点,该认证方法可以包括无线接入点接收无线终端发送的使用所述无线终端的用户的用户信息;确定所述无线接入点与管理所述无线接入点的无线控制器之间的隧道处于中断状态之后,所述无线接入点将所述用户信息发送给身份认证服务器,以便所述身份认证服务器对所述用户的身份进行认证。本发明实施例实现了在无线接入点与无线控制器之间的隧道处于中断状态时,由无线接入点提供认证代理,完成对用户的身份认证。
文档编号H04W12/06GK101925065SQ201010246878
公开日2010年12月22日 申请日期2010年8月5日 优先权日2010年8月5日
发明者陈宏 申请人:北京星网锐捷网络技术有限公司