应用于wlan中的验证方法和装置的制作方法

专利名称：应用于wlan中的验证方法和装置的制作方法
技术领域：
本发明涉及网络通信技术领域，特别涉及应用于WLAN中的验证方法和装置。
背景技术：
无线局域网(WLAN =Wireless Local Area Network)技术是网络通信技术领域的研究热点，其和有线相比，具有启动和实施相对简单、维护成本低廉等优点。使用WLAN，网络运营商和企业能够为无线用户提供无线局域网服务，服务内容主要包括(1)，为具有无线局域网功能的设备建立无线网络，通过该被建立的无线网络，无线用户可以连接到固定网络或因特网；(2)，访问传统802. 3局域网；(3)，使用不同认证和加密方式安全访问WLAN，并可通过使用802. Ili机制在MAC 层加密以防止MAC伪造问题；0)，为无线用户提供安全的网络接入和移动区域内的无缝漫游。目前，WLAN中仅存在源MAC地址验证，所谓源MAC地址验证是指由接入设备比如 AP验证其接收的数据报文中的源MAC地址是否合法来决定是否继续转发该接收的数据报文；但不存在IP验证，这会导致不同客户端(station)使用相同IP地址、影响网络安全问题。以图1所示的WLAN组网为例，在图1中，比如地址分配服务器比如DHCP服务器为接入了 APl的stationl分配的IP地址为IP地址1，则若AP2接入的station2伪造stationl 发送携带了 IP地址1的动态主机配置协议确认(DHCP v6confirm)报文给地址分配服务器，这里，DHCP v6c0nfirm报文的发送和应答是合法的DHCP交互过程，其由station在重新上线时发送，以方便该station确认其被分配的IP地址。当地址分配服务器接收到DHCP v6confirm报文后，其仅验证该DHCP v6confirm报文携带的stationl的标识是否与其记录的stationl的标识一致，由于station2伪造stationl发送DHCP v6conf irm报文，其肯定会携带正确的stationl标识以保证地址分配服务器允许其使用IP地址1。如此，当验证通过时，不同station使用相同IP地址进行通信的情况，影响网络安全问题。

发明内容
本发明提供了应用于WLAN中的验证方法和装置，以实现对客户端发送的数据报文进行IP地址验证，避免不同station使用相同IP地址进行通信。本发明提供的技术方案包括一种应用于WLAN中的验证方法，包括A，接入设备学习客户端station被分配的IP地址；B，接入设备将学习到的IP地址同步至用于管理所述接入设备的管理设备，并接收所述管理设备对IP地址是否已被与所述客户端属于同一链路的其他Station使用的确认结果；C，所述接入设备利用通过确认的IP地址验证所述客户端发送的数据报文，所述通过确认的IP地址是指确认结果为否的IP地址。一种应用于WLAN中的接入设备，包括地址学习单元，用于学习客户端station被分配的IP地址；同步处理单元，用于将学习的IP地址同步至用于管理所述接入设备的管理设备， 并接收所述管理设备对IP地址是否已被与所述客户端属于同一链路的其他Station使用的确认结果；IP地址验证单元，用于利用通过确认的IP地址验证所述客户端发送的数据报文， 所述通过确认的IP地址是指确认结果为否的IP地址。一种应用于WLAN中的验证方法，包括A，管理设备接收其管理的接入设备同步过来的客户端的IP地址，B,管理设备针对同步过来的IP地址，确认该IP地址是否已被其他station使用， 并将确认结果发送给接入设备。一种应用于WLAN中的管理设备，用于管理一个或者多个接入设备，包括IP地址接收单元，用于接收所述管理设备管理的接入设备同步过来的客户端的 IP地址；IP地址确认单元，用于针对同步过来的IP地址，确认该IP地址是否已被其他 station使用，并将确认结果发送给接入设备。一种应用于WLAN中验证方法，包括A，接入设备学习客户端station被分配的IP地址；B,所述接入设备针对学习到的IP地址，确认该IP地址是否已被其他station使用；C，所述接入设备利用通过确认的IP地址验证是否继续转发所述客户端发送的数据报文，所述通过确认的IP地址是指步骤B中确认结果为否的IP地址。一种应用于WLAN中的接入设备，包括IP地址学习单元，用于学习客户端station被分配的IP地址；IP地址确认单元，用于针对学习到的IP地址，确认该IP地址是否已被其他 station 使用；IP地址验证单元，用于利用通过确认的IP地址验证是否继续转发所述客户端发送的数据报文，所述通过确认的IP地址是指所述IP地址确认单元得到确认结果为否的IP 地址。由以上技术方案可以看出，本发明实现了对客户端发送的数据报文进行IP地址验证，具体为针对一客户端，学习到该客户端被分配的IP地址，利用该学习的IP地址中未被其他Station使用的IP地址来验证所述客户端发送的数据报文，当验证成功时，继续转发该数据报文，否则，禁止转发该数据报文。这显然可避免不同station使用相同IP地址进行通信的可能，保证网络安全。


图1为现有WLAN组网示意图；图2为本发明实施例1提供的基本流程图3a为本发明实施例1提供的验证示意图；图北为本发明实施例1提供的详细流程图；图3c为本发明实施例提供的station漫游流程图；图如至如为本发明实施例1提供的用户信息表示意图；图5为本发明实施例2提供的基本流程图；图6为本发明实施例2提供的详细流程图；图7为本发明实施例提供的一种装置结构图；图8为本发明实施例提供的另一装置结构图；图9为本发明实施例提供的第三装置结构图。
具体实施例方式为了使本发明的目的、技术方案和优点更加清楚，下面结合附图和具体实施例对本发明进行详细描述。本发明实施例提供的方法是对WLAN中现有的源MAC地址验证机制进行的扩展，具体可参见图2所示的流程。实施例1 参见图2，图2为本发明实施例1提供的基本流程图。如图2所示，该流程可包括以下步骤步骤201，接入设备学习客户端station被分配的IP地址。步骤202，接入设备将学习到的IP地址同步至用于管理所述接入设备的管理设备，并接收所述管理设备对IP地址是否已被其他Station使用的确认结果。至于管理设备如何针对同步的IP地址确认是否已被与所述客户端属于同一链路的其他station使用，在下文描述。步骤203，所述接入设备利用通过确认的IP地址验证所述客户端发送的数据报文，所述通过确认的IP地址是指确认结果为否的IP地址。需要说明的是，本步骤203中的验证主要是在所述数据报文通过MAC地址验证之后进行的，具体可参见图3a所示的示意图。在图2所示的流程中，接入设备可为AP，相应地，管理设备可为AC。优选地，步骤202中的其他station具体实现时可为与所述客户端属于同一链路的station。如此，从上述步骤201至步骤203可以看出，本实施例1是利用未被与所述客户端属于同一链路的其他station使用的IP地址来验证所述客户端发送的数据报文，这可避免同一链路不同station使用相同IP地址进行通信的可能，保证了网络安全。下面以接入设备为AP，管理设备为AC为例通过图北进行详细描述。在以太网概念中，同一链路可进一步理解为同一 VLAN，通常，在以太网通信时，要求同一 VLAN中的station使用不同的IP地址进行通信，为满足以太网通信的要求，图北所示的流程主要目的是避免同一链路不同station使用相同IP地址进行通信的可能，当然，其他情况比如避免非同一链路不同station使用相同IP地址进行通信的可能的原理类似，这里不再赘述。参见图北，图北为本发明实施例1提供的详细流程图。图北所示的流程基于图1所示的组网，其以DHCPv6分配地址方式为例，其他地址分配方式原理类似，这里不一一详述。在图1中，为每一 AP配置允许DHCPv6报文和链路本地地址的邻居发现(ND)报文通过的功能，这里，链路本地地址是station在未认证之前用于访问局域网或受限网络内资源所使用的地址，而当station在认证通过后，即可使用被成功分配到的地址访问外部网络。以客户端为stationl，客户端接入的AP为APl为例，对图北所示的详细流程进行描述步骤301b，APl首先生成以station标识为索引的用户信息表，该用户信息表中包含了该APl接入station的station标识和对应的用户信息。该用户信息表可与现有技术类似。其中，station标识可以为station的MAC地址，或者为station的用户名等，本发明实施例并不具体限定，下文均以station标识为 station的MAC地址为例进行描述，具体可参见图如所示的流程。而用户信息表中的用户信息具体可包括APl的标识、以及管理该APl的AC的标识等。步骤302b，当stationl上线后，APl侦听stationl与地址分配服务器分之间的 DHCPv6报文或者ND报文，通过侦听到的报文学习该stationl被地址分配服务器分配的 IP地址和对应的生存时间(在DHCPv6交互过程中，IP地址的生成时间可称为租约时间)， 并在用户信息表中增加stationl对应的第一生存时间表，该第一生存时间表中包含该 stationl被分配的IP地址和扩展字段之间的对应关系，其中，扩展字段中包含IP地址对应的生存时间。本步骤302b中，在用户信息表中增加第一生存时间表是对该用户信息表的扩展， 现有的用户信息表是不存在该第一生存时间表的。优选地，本实施例1中，扩展字段还可包含其他信息，比如，IP地址的状态信息。通常，针对一 IP地址，如果该IP地址已由地址分配服务器分配给stationl，则该IP地址的状态信息为ready，否则为其他状态标识。基于此，扩展字段包含的各个IP地址对应的状态信息均为ready。以stationl的MAC地址(记为MAC1)为例，则增加的第一生存时间表具体可参见图4b所示。需要说明的是，本步骤302b建立第一生存时间表的目的是为了方便APl定时检查 IP地址的生存时间是否到期，具体参见下文所述，因此，其可依照IP地址的生存时间的长度在第一生存时间表中排列各个IP地址和扩展字段之间的对应关系。步骤303b，API判断当前是否存在stationl对应的第一 IP地址表，如果是，将当前学习到的IP地址添加在所述第一 IP地址表中，否则，继续判断当前是否达到生成IP地址表的条件，如果是，生成所述客户端对应的第一 IP地址表，并添加截止当前已学习的IP 地址至所述第一 IP地址表中。本步骤30 中，判断当前是否达到生成IP地址表的条件具体为判断APl在步骤 302b学习的IP地址的数量是否大于或等于第一设定数量，或者，判断APl截止本步骤30 之前已学习的IP地址的数量是否大于或等于第二设定数量等，本发明实施例并不具体限定。从本步骤303b可以看出，第一 IP地址表中仅包含stationl被分配的IP地址，并不包含该IP地址的生存时间。本步骤30 中，stationl对应的第一 IP地址表目的是为了数据报文的验证，具体参见步骤307b，独立的第一 IP地址表可按照快速定位IP地址的原则组织其包含的IP地址，比如，通过哈希(HASH)算法或者基(Radix)树组织第一 IP地址表中的IP地址。显然第一 IP地址表并不是必须的，其仅仅是一种更快速的查表的需要。步骤304b，API将stationl对应的第一生存时间表中的IP地址和生存时间同步至用于控制APl的AC(记为ACl)中，由ACl记录该APl同步的IP地址和生存时间至第二生存时间表。这里之所以同步生存时间，主要是考虑stationl漫游的情况，具体可参见图3c所示的流程，以便stationl漫游所至的AP检查IP地址的生存时间是否到期。当然如果在 station不漫游的应用场景中，可以不同步生存时间，仅同步IP地址，如此，步骤302b中，就不需要学习生存时间，进而也不需要在第一生存时间表中记录生存时间。由于第一生存时间表中不再包含生存时间，其能够保证后续对数据报文进行验证时快速查找该表，如此，后续在接收到报文后，可利用该第一生存时间表对报文携带的源IP地址进行验证，这样就不需要执行步骤30 的操作，进而说明步骤30 中的第一 IP地址表并不是必须的。步骤305b，ACl针对同步的每一 IP地址，确认该IP地址是否已被与stationl属于同一链路的其他station使用，并将确认结果发送至API。步骤30 的判断具体为从已建立的stationl所属的链路对应的第二 IP地址表中查找该IP地址，如果查找不到，则确认该IP地址未被与stationl属于同一链路的其他 station使用(记为通过确认的IP地址)；如果查找到，则确认该IP地址已被与stationl 属于同一链路的其他station使用(记为未通过确认的IP地址)。在以太网中，与stationl 属于同一链路的其他station为与stationl处于同一 VLAN的其他station。优选地， 本步骤305b中，ACl针对通过确认的IP地址，还可进一步包括将该IP地址直接添加在 stationl所属的链路对应的第二 IP地址表中。其中，第二 IP地址表可按照快速定位IP地址的原则组织其包含的IP地址，比如， 通过哈希算法或者Radix树组织该第二 IP地址表中的IP地址。另外，AC 1针对通过未通过确认的IP地址，则可删除该未通过确认的IP地址的记录，具体为AC1从第二生存时间表中删除该未通过确认的IP地址和对应的生存时间。通过步骤304b和步骤305b能够实现ACl记录通过确认的IP地址和对应的生存时间。作为本发明实施例的一种扩展，本实施例也可不在步骤304b记录同步的IP地址和对应的生存时间至第二生存时间表，而是在步骤30 中，仅将通过确认的IP地址和对应的生存时间记录至第二生存时间表。步骤306b，API删除未通过确认的IP地址的记录。具体地，步骤306b为AP1从第一生存时间表中删除未通过确认的IP地址和对应的生存时间，以及从第一 IP地址表中删除未通过确认的IP地址。也就是说，stationl对应的第一生存时间表和第一 IP地址表中均不存在未通过确认的IP地址。步骤302b至步骤306b实现了 APl记录通过确认的IP地址至第一 IP地址表、以及记录通过确认的IP地址和对应的生存时间至第一生存时间表的操作。从步骤302b至步骤306b可以看出，本发明实施例是先将学习的IP地址和生存时间记录至第一生存时间表， 以及将学习的IP地址记录至第一 IP地址表，之后，根据ACl的确认结果删除未通过确认的 IP地址的记录。作为本发明实施例的一种扩展，本发明实施例也可不先将学习的IP地址和生存时间记录至第一生存时间表，以及将学习的IP地址记录至第一 IP地址表，而是仅记录通过ACl确认的IP地址至第一 IP地址表(具体记录的操作类似上述步骤30 )，以及将通过ACl确认的IP地址和对应的生存时间记录至第一生存时间表中。需要说明的是，本实施例中，APl定时检查stationl对应的第一生存时间表中各个IP地址的生存时间是否到期，如果是，则删除生存时间到期的IP地址的记录，并通知给 ACl,由该ACl删除该生存时间到期的IP地址的记录。其中，APl删除生存时间到期的IP 地址的记录具体为从所述第一生存时间表中删除该到期的生存时间和对应的IP地址，以及从stationl对应的第一 IP地址表中删除该生存时间到期的IP地址。其中，ACl删除生存时间到期的IP地址的记录具体为如果ACl将APl同步的IP地址和生存时间记录在 stationl对应的第二生存时间表，则ACl接收到生存时间到期的通知后，从第二生存时间表中删除该到期的生存时间和对应的IP地址，以及从所述第二 IP地址表中删除该到期的生存时间对应的IP地址。步骤307b，当APl接收到stationl发送的数据报文后，利用所述用户信息表中 stationl的MAC地址和802. IlI协议对该数据报文进行MAC地址验证，如果验证通过，执行步骤30 ；否则，执行步骤309b。步骤308b，API验证所述数据报文携带的源IP地址是否在stationl对应的第一 IP地址表中，如果是，则继续转发所述报文，否则，执行步骤309b。步骤309b，丢弃所述数据报文。之后执行步骤310b。步骤310b，记录stationl对应的数据报文丢弃量，判断stationl对应的数据报文丢弃量在设定时间内是否达到预设阈值，如果是，则确定stationl为不法用户，迫使 stationl 下线。至此，通过上述步骤301b至310b实现了本发明实施例提供的IP地址验证方法。在上述图北的流程中，当APl侦听到stationl被分配的IP地址发生变化，则该 APl根据发生变化的IP地址更新发生变化的IP地址，并通知用于管理该APl的ACl更新发生变化的IP地址。其中，所述IP地址发生变化具体实现时可包括IP地址被释放或者其他情况。以IP地址被释放为例，则APl删除该被释放的IP地址的记录，并通知给用于管理该APl的AC1，由该ACl删除该被释放的IP地址的记录。其中，APl删除该被释放的IP地址的记录具体为从所述stationl对应的第一生存时间表中删除被释放的IP地址和对应的生存时间，以及从stationl对应的第一 IP地址表中删除被释放的IP地址。ACl删除该被释放的IP地址的记录具体为从包含了 APl同步的IP地址和生存时间的第二生存时间表中删除被释放的IP地址和对应的生存时间，以及从stationl所属链路对应的第二 IP地址表中删除被释放的IP地址。当APl侦听到stationl被分配的IP地址的生存时间发生变化，则该APl更新发生变化的生存时间，并通知给用于管理该APl的AC1，由ACl更新发生变化的生存时间。其中， 生存时间发生变化包括生存时间被更新或者其他情况。以生存时间被更新为例，则APl从所述stationl对应的第一生存时间表中更新需要被更新的生存时间，并通知给用于管理该APl的AC1，由该ACl从包含了 APl同步的IP地址和生存时间的第二表现中更新需要被更新的生存时间。优选地，本实施例1中，所有的AC还可定时或者在其存放的IP地址或者生存时间发生变化时，将其管理的AP同步的IP地址和生存时间同步至其他AC，由所述其他AC按照上述ACl的操作执行。另外，本实施例1还提供了针对stationl漫游的流程，具体可参见图3c所示的流程。参见图3c，图3c为本发明实施例提供的station漫游流程图。以stationl漫游之前接入的AP为APl为例，则当stationl漫游时，如图3c所示，该流程可包括以下步骤步骤301c，当stationl漫游时，stationl漫游至外地所接入的外地接入设备(记为AP2)发送漫游通知至用于管理该AP2的AC2。步骤302c，AC2接收到所述漫游通知后，确认该stationl漫游之前接入的APl是否由自身管理，如果是，将已接收的由APl同步的IP地址和生存时间同步至AP2，否则，从管理APl的AC上同步stationl被分配的IP地址和生存时间，并将同步的IP地址和生存时间再次同步至AP2。本实施例中，AC之间可定时同步其管理的AP信息，其中，该AP信息具体可为AP 的标识和AP接入的station等信息。因此，本步骤302c中，AC2可根据同步的AP信息很容易获知用于管理APl的AC。优选地，本步骤302c中，AC2将从管理APl的AC上同步的IP地址和生存时间再次同步至AP2具体可包括记录从管理APl的AC上同步的IP地址和生存时间；针对同步的每一 IP地址，执行以下操作从已建立的stationl所属的链路对应的第二 IP地址表中查找该IP地址，如果查找不到，将该IP地址直接添加在第二 IP地址表中，如果查找到，从记录的IP地址和生存时间中删除该IP地址和对应的生存时间；在针对同步的所有IP地址完成该操作后，将记录的剩余的IP地址和对应的生成时间同步至AP2。步骤303c，AP2接收同步过来的IP地址和生存时间，按照图北所示流程中APl执行的操作执行比如利用该同步过来的IP地址验证Stationl发送的数据报文，定时检查该 IP地址的生存时间是否到期，如果是，删除到期的生存时间和对应的IP地址，并通知给AC2 删除该到期的生存时间和对应的IP地址。至此完成图3c所示的流程。以上是实施例1的描述。下面对实施例2进行详细描述。参见图5，图5为本发明实施例2提供的基本流程图。在图5中，其主要实现的是避免同一链路不同station使用相同IP地址进行通信的可能，其他情况，比如避免不同 station使用相同IP地址进行通信的可能的原理类似，这里不再赘述。如图5所示，该流程可包括步骤501，接入设备学习客户端station被分配的IP地址。步骤502，接入设备针对学习到的IP地址，确认该IP地址是否已被其他station 使用。步骤503，接入设备利用通过确认的IP地址验证所述客户端发送的数据报文，所述通过确认的IP地址是指步骤502中确认结果为否的IP地址。至此，完成图5所示的流程。在图5所示的流程中，接入设备可为胖(FAT)AP，其具备实施例1中接入设备和管理设备的功能。下面以接入设备为胖AP为例对图5所示的流程进行详细描述。
参见图6，图6为本发明实施例2提供的详细流程图。图6所示的流程以DHCPve 分配地址方式为例，其他地址分配方式原理类似，这里不一一详述。在图6中，为胖AP控制的每一 station配置允许DHCPv6报文和链路本地地址的邻居发现报文通过的功能。以客户端为stationl，客户端接入的接入设备为胖APl为例，对图6所示的详细流程进行描述步骤601至步骤603分别与步骤301b至步骤30 类似，只不过将步骤301b至步骤30 中的APl改为胖API。步骤604，胖API针对学习的每一 IP地址，从已建立的stationl所属的链路对应的第二 IP地址表中查找该IP地址，如果查找不到，则执行步骤605，如果查找到，执行步骤 606。本步骤604实质为判断IP地址是否已被与stationl属于同一链路的其他 station使用的具体过程。步骤605，将该IP地址直接添加在第二 IP地址表中，返回步骤604，直至步骤602 学习的所有IP地址都按照步骤604的操作执行，之后执行步骤607。步骤606，从stationl对应的第一生存时间表中删除该IP地址和对应的生存时间。当步骤602学习的所有IP地址都按照步骤604的操作执行后，执行步骤607。步骤607与步骤610分别与步骤307b与步骤310b类似，只不过将步骤307b至步骤310b中的API改为胖API。至此，完成图6所示的流程。另外，本实施例还提供了 stationl漫游的流程，具体与图3c类似，包括当 stationl漫游时，stationl漫游至外地所接入的外地胖AP (记为胖AP2，其不同于胖API) 从胖API同步stationl被分配的IP地址和生存时间；胖AP2接收胖APl同步过来的IP地址和生存时间，并按照类似胖APl的操作执行比如，利用同步过来的IP地址验证stationl 发送的数据报文，并定时检查该IP地址的生存时间是否到期，如果是，删除到期的生存时间和对应的IP地址。优选地，本实施例中，所有的胖AP还可定时或者在其存放的IP地址或者生存时间发生变化时，将其下的station对应的表项中的IP地址和生存时间同步至其他胖AP，由所述其他胖AP返回步骤604中的判断操作。至此，完成实施例2的描述。以上对本发明中的两个实施例进行了描述。下面对本发明实施例提供的装置进行描述参见图7，图7为本发明实施例提供的一种装置结构图。该装置应用于实施例1， 具体可为实施例1中的接入设备，其特征在于，包括地址学习单元，用于学习客户端station被分配的IP地址；同步处理单元，用于将学习的IP地址同步至用于管理所述接入设备的管理设备，并接收所述管理设备对IP地址是否已被其他Station使用的确认结果；其中，其他 station为与所述客户端属于同一链路的station ；IP地址验证单元，用于利用通过确认的IP地址验证是否继续转发所述客户端发送的数据报文，其中所述通过确认的IP地址是指确认结果为否的IP地址。优选地，如图7所示，该接入设备还包括源MAC地址验证单元，用于对所述数据报文进行源MAC地址验证；其中，所述IP地址验证单元执行的验证操作是在所述数据报文通过所述源MAC地址验证单元的源MAC地址验证后执行的。如图7所示，所述接入设备进一步包括IP地址记录单元，用于在所述IP地址验证单元执行验证操作之前，记录通过确认的IP地址至所述客户端对应的第一 IP地址表；基于此，所述IP地址验证单元用于判断所述客户端发送的数据报文所携带的源IP地址是否在所述第一 IP地址表中，如果是，继续转发所述数据报文，否则，禁止转发所述数据报文。其中，所述IP地址验证单元禁止转发数据报文包括丢弃该数据报文。如图7所示，所述接入设备进一步包括报文丢弃量记录单元，用于记录所述客户端对应的数据报文丢弃量。判断所述数据报文丢弃量在设定时间内是否达到预设阈值，如果是，则确定所述客户端为不法用户。另外，所述IP地址学习单元进一步学习所述客户端被分配的IP地址对应的生存时间；基于此，所述IP地址记录单元进一步用于记录通过确认的IP地址和对应的生存时间至所述客户端对应的第一生存时间表中；如此，如图7所示，所述接入设备进一步包括生存时间检查单元，用于定时检查所述第一生存时间表中的生存时间是否到期， 在检查到到期的生存时间时，删除生存时间到期的IP地址的记录，并通知给所述管理设备。本实施例中，所述同步处理单元进一步将IP地址对应的生存时间同步至管理设备；如此，如图7所示，所述接入设备还包括漫游处理单元。所述漫游处理单元用于在所述接入设备接入了漫游客户端时，发送漫游通知至所述管理设备，以从所述管理设备同步并记录所述漫游客户端被分配的IP地址和对应的生存时间。如图7所示，该接入设备进一步包括更新单元，用于当侦听到所述接入设备接入的客户端的IP地址发生变化时，更新发生变化的IP地址，并通知所述管理设备；当侦听到所述接入设备接入的客户端的IP地址对应的生存时间发生变化时，更新发生变化的生存时间，并通知所述管理设备。至此，完成图7所示的装置。参见图8，图8为本发明实施例提供的另一装置结构图。该装置应用于实施例1， 具体可为实施例1中的管理设备，其可管理一个或者多个接入设备，如图8所示，所述管理设备包括IP地址接收单元，用于接收所述管理设备管理的接入设备同步过来的客户端的 IP地址；IP地址确认单元，用于针对同步过来的IP地址，确认该IP地址是否已被其他 station使用，并将确认结果发送给接入设备。其中，所述IP地址接收单元进一步接收所述接入设备同步过来的IP地址所对应的生存时间；所述IP地址确认单元在确认出未被其他station使用的IP地址后，将该IP 地址和对应的生存时间记录至所述客户端对应的第二生存时间表中。
本实施例中，所述其他station具体可为与所述客户端属于同一链路的station， 基于此，所述IP地址确认单元通过图8所示的以下子单元确认同步过来的IP地址是否已被与所述客户端属于同一链路的其他station使用IP地址查找子单元，针对同步过来的IP地址，从已建立的与所述客户端所属链路对应的第二 IP地址表中查找该IP地址；IP地址确认子单元，用于将所述IP地址查找子单元查找到的IP地址确认为已被与所述客户端属于同一链路的其他station使用的IP地址，将所述IP地址查找子单元未查找到的IP地址确认为未被与所述客户端属于同一链路的其他station使用的IP地址； 以及，将未被与所述客户端属于同一链路的其他station使用的IP地址添加在所述第二 IP 地址表中。本实施例中，所述IP地址接收单元进一步接收所述接入设备通知的生存时间到期的IP地址，删除该生存时间到期的IP地址的记录；以及接收所述接入设备发送的漫游通知，获取并同步所述接入设备接入的漫游客户端被分配的IP地址和对应的生存时间至该接入设备。其中，所述IP地址接收单元通过图8所示的以下子单元获取所述接入设备接入的漫游客户端被分配的IP地址和对应的生存时间至该接入设备确定子单元，用于确定所述漫游客户端在漫游之前接入的接入设备；判断子单元，用于判断该确定的接入设备是否由所述管理设备管理，如果是，则从已记录的IP地址和生存时间中获取所述漫游客户端的IP地址和生存时间，否则，确定用于管理该接入设备的其他管理设备，从该其他管理设备中同步所述漫游客户端的IP地址和生存时间。至此，完成图8所示的装置。参见图9，图9为本发明实施例提供的第三装置结构图。该装置应用于实施例2， 具体可为实施例2中的接入设备，如图9所示，该接入设备包括IP地址学习单元，用于学习客户端station被分配的IP地址；IP地址确认单元，用于针对学习到的IP地址，确认该IP地址是否已被其他 station 使用；IP地址验证单元，用于利用通过确认的IP地址验证所述客户端发送的数据报文， 所述通过确认的IP地址是指所述IP地址确认单元得到确认结果为否的IP地址。其中，所述其他station为与所述客户端属于同一链路的station。实际应用中，图9所示的接入设备具有图7所示的接入设备和图8所示的管理设备所具有的功能，在次不再详述。至此，完成本发明实施例装置的描述。由以上技术方案可以看出，本发明中，针对某一客户端，当学习并记录该客户端被分配的IP地址时，通过针对学习的每一 IP地址，判断该IP地址是否已被与所述客户端属于同一链路的其他Station使用，如果是，则从记录的IP地址中删除该IP地址，否则，不删除该IP地址。如此，接入设备就可记录一些未被与该客户端属于同一链路的其他客户端使用的IP地址，之后，利用该记录的IP地址验证来自该客户端的数据报文，这实现了对客户端发送的数据报文进行IP地址验证，避免同一链路中不同station使用相同IP地址发送的数据报文在网络中流通，保证网络安全。 以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。
权利要求
1.一种应用于WLAN中的验证方法，其特征在于，该方法包括A，接入设备学习客户端station被分配的IP地址；B，接入设备将学习到的IP地址同步至用于管理所述接入设备的管理设备，并接收所述管理设备对IP地址是否已被其他station使用的确认结果；C，所述接入设备利用通过确认的IP地址验证所述客户端发送的数据报文，所述通过确认的IP地址是指确认结果为否的IP地址。
2.根据权利要求1所述的方法，其特征在于，步骤C中的验证是在所述数据报文通过源 MAC地址验证之后进行的。
3.根据权利要求1所述的方法，其特征在于，步骤B中的其他station为与所述客户端属于同一链路的station。
4.根据权利要求1至3任一所述的方法，其特征在于，在步骤C执行之前，该方法进一步包括记录通过确认的IP地址至所述客户端对应的第一 IP地址表；步骤C包括所述接入设备判断所述客户端发送的数据报文所携带的源IP地址是否在所述第一 IP 地址表中，如果是，继续转发所述数据报文，否则，禁止转发所述数据报文。
5.根据权利要求4所述的方法，所述禁止转发数据报文包括丢弃该数据报文；在丢弃数据报文之后，进一步包括记录所述客户端对应的数据报文丢弃量；判断所述数据报文丢弃量在设定时间内是否达到预设阈值，如果是，则确定所述客户端为不法用户。
6.根据权利要求4所述的方法，其特征在于，所述记录通过确认的IP地址至客户端对应的第一 IP地址表包括判断是否存在所述客户端对应的第一 IP地址表，如果是，记录通过确认的IP地址至所述第一 IP地址表中，否则，生成所述客户端对应的第一 IP地址表，并记录通过确认的IP地址至该生成的第一 IP地址表中。
7.根据权利要求4所述的方法，其特征在于，步骤A进一步包括学习客户端Station 被分配的IP地址对应的生存时间；所述记录通过确认的IP地址至客户端对应的第一 IP地址表进一步包括记录通过确认的IP地址和对应的生存时间至所述客户端对应的第一生存时间表中；该方法进一步包括接入设备定时检查所述第一生存时间表中的生存时间是否到期， 在检查到到期的生存时间时，删除生存时间到期的IP地址的记录，并通知给所述管理设备。
8.根据权利要求7所述的方法，其特征在于，步骤B中，将IP地址同步至管理设备进一步包括将IP地址对应的生存时间同步至管理设备；该方法进一步包括所述接入设备在接入了漫游客户端时，发送漫游通知至所述管理设备，以从所述管理设备同步并记录所述漫游客户端被分配的IP地址和对应的生存时间。
9.根据权利要求7或8所述的方法，其特征在于，该方法进一步包括当所述接入设备侦听到客户端的IP地址发生变化，所述接入设备更新发生变化的IP地址，并通知所述管理设备；当所述接入设备侦听到客户端的IP地址对应的生存时间发生变化，所述接入设备更新发生变化的生存时间，并通知所述管理设备。
10.根据权利要求9所述的方法，其特征在于，所述IP地址发生变化包括IP地址被释放；所述生存时间发生变化包括所述生存时间被更新。
11.一种应用于WLAN中的接入设备，其特征在于，包括地址学习单元，用于学习客户端station被分配的IP地址；同步处理单元，用于将学习的IP地址同步至用于管理所述接入设备的管理设备，并接收所述管理设备对IP地址是否已被其他station使用的确认结果；IP地址验证单元，用于利用通过确认的IP地址验证是否继续转发所述客户端发送的数据报文，所述通过确认的IP地址是指确认结果为否的IP地址。
12.根据权利要求11所述的接入设备，其特征在于，所述其他station为与所述客户端属于同一链路的station。
13.根据权利要求11所述的接入设备，其特征在于，该接入设备还包括源MAC地址验证单元，用于对所述数据报文进行源MAC地址验证；所述IP地址验证单元执行的验证操作是在所述数据报文通过所述源MAC地址验证单元的源MAC地址验证后执行的。
14.根据权利要求11至13任一所述的接入设备，其特征在于，所述接入设备包括IP地址记录单元，用于在所述IP地址验证单元执行验证操作之前，记录通过确认的IP 地址至所述客户端对应的第一 IP地址表；所述IP地址验证单元用于判断所述客户端发送的数据报文所携带的源IP地址是否在所述第一 IP地址表中，如果是，继续转发所述数据报文，否则，禁止转发所述数据报文。
15.根据权利要求14所述的接入设备，其特征在于，所述IP地址验证单元禁止转发数据报文包括丢弃该数据报文；所述接入设备还包括报文丢弃量记录单元，用于记录所述客户端对应的数据报文丢弃量，判断所述数据报文丢弃量在设定时间内是否达到预设阈值，如果是，则确定所述客户端为不法用户。
16.根据权利要求14所述的接入设备，其特征在于，所述IP地址学习单元进一步学习所述客户端被分配的IP地址对应的生存时间；所述IP地址记录单元进一步用于记录通过确认的IP地址和对应的生存时间至所述客户端对应的第一生存时间表中；所述接入设备进一步包括生存时间检查单元，用于定时检查所述第一生存时间表中的生存时间是否到期，在检查到到期的生存时间时，删除生存时间到期的IP地址的记录，并通知给所述管理设备。
17.根据权利要求16所述的接入设备，其特征在于，所述同步处理单元进一步将IP地址对应的生存时间同步至管理设备；所述接入设备还包括漫游处理单元，用于在所述接入设备接入了漫游客户端时，发送漫游通知至所述管理设备，以从所述管理设备同步并记录所述漫游客户端被分配的IP地址和对应的生存时间。
18.根据权利要求16或17所述的接入设备，其特征在于，该接入设备进一步包括 更新单元，用于当侦听到所述接入设备接入的客户端的IP地址发生变化时，更新发生变化的IP地址，并通知所述管理设备；当侦听到所述接入设备接入的客户端的IP地址对应的生存时间发生变化时，更新发生变化的生存时间，并通知所述管理设备。
19.一种应用于WLAN中的验证方法，其特征在于，该方法包括 A，管理设备接收其管理的接入设备同步过来的客户端的IP地址，B，管理设备针对同步过来的IP地址，确认该IP地址是否已被其他station使用，并将确认结果发送给接入设备。
20.根据权利要求19所述的方法，其特征在于，步骤A中的接收进一步包括接收所述接入设备同步过来的IP地址所对应的生存时间；步骤B中，当所述管理设备在确认出未被其他station使用的IP地址后，将该IP地址和对应的生存时间记录至所述客户端对应的第二生存时间表中。
21.根据权利要求19或20所述的方法，其特征在于，所述其他station为与所述客户端属于同一链路的station。
22.根据权利要求21所述的方法，其特征在于，步骤B中的确认包括针对同步过来的IP地址，从已建立的与所述客户端所属链路对应的第二 IP地址表中查找该IP地址，如果查找到，则确认该IP地址已被与所述客户端属于同一链路的其他 station使用，否则，确认该IP地址未被与所述客户端属于同一链路的其他station使用； 所述管理设备在确认出未被与所述客户端属于同一链路的其他station使用的IP地址后，进一步包括将该IP地址记录在所述第二 IP地址表中。
23.根据权利要求21所述的方法，其特征在于，步骤A中的接收进一步包括接收所述接入设备通知的生存时间到期的IP地址，删除该生存时间到期的IP地址的记录。
24.根据权利要求21所述的方法，其特征在于，步骤A中的接收进一步包括接收所述接入设备发送的漫游通知，获取并同步所述接入设备接入的漫游客户端被分配的IP地址和对应的生存时间至所述接入设备。
25.根据权利要求M所述的方法，其特征在于，所述获取接入设备接入的漫游客户端被分配的IP地址和对应的生存时间包括确定所述漫游客户端在漫游之前接入的接入设备，判断该接入设备是否由自身管理， 如果是，则从自身记录的IP地址和生存时间中获取所述漫游客户端的IP地址和生存时间， 否则，确定用于管理该接入设备的其他管理设备，从该其他管理设备中同步所述漫游客户端的IP地址和生存时间。
26.一种应用于WLAN中的管理设备，用于管理一个或者多个接入设备，其特征在于，所述管理设备包括IP地址接收单元，用于接收所述管理设备管理的接入设备同步过来的客户端的IP地址；IP地址确认单元，用于针对同步过来的IP地址，确认该IP地址是否已被其他station 使用，并将确认结果发送给接入设备。
27.根据权利要求沈所述的管理设备，其特征在于，所述IP地址接收单元进一步接收所述接入设备同步过来的IP地址所对应的生存时间；所述IP地址确认单元在确认出未被其他station使用的IP地址后，将该IP地址和对应的生存时间记录至所述客户端对应的第二生存时间表中。
28.根据权利要求沈或27所述的管理设备，其特征在于，所述其他station为与所述客户端属于同一链路的station。
29.根据权利要求观所述的管理设备，其特征在于，所述IP地址确认单元通过以下子单元确认同步过来的IP地址是否已被与所述客户端属于同一链路的其他station使用IP地址查找子单元，针对同步过来的IP地址，从已建立的与所述客户端所属链路对应的第二 IP地址表中查找该IP地址；IP地址确认子单元，用于将所述IP地址查找子单元查找到的IP地址确认为已被与所述客户端属于同一链路的其他Station使用的IP地址，将所述IP地址查找子单元未查找到的IP地址确认为未被与所述客户端属于同一链路的其他station使用的IP地址；以及， 将未被与所述客户端属于同一链路的其他station使用的IP地址添加在所述第二 IP地址表中。
30.根据权利要求观所述的管理设备，其特征在于，所述IP地址接收单元进一步接收所述接入设备通知的生存时间到期的IP地址，删除该生存时间到期的IP地址的记录。
31.根据权利要求观所述的管理设备，其特征在于，所述IP地址接收单元进一步接收所述接入设备发送的漫游通知，获取并同步所述接入设备接入的漫游客户端被分配的IP 地址和对应的生存时间至该接入设备。
32.根据权利要求31所述的管理设备，其特征在于，所述IP地址接收单元通过以下子单元获取所述接入设备接入的漫游客户端被分配的IP地址和对应的生存时间至该接入设备包括确定子单元，用于确定所述漫游客户端在漫游之前接入的接入设备；判断子单元，用于判断该确定的接入设备是否由所述管理设备管理，如果是，则从已记录的IP地址和生存时间中获取所述漫游客户端的IP地址和生存时间，否则，确定用于管理该接入设备的其他管理设备，从该其他管理设备中同步所述漫游客户端的IP地址和生存时间。
33.一种应用于WLAN中验证方法，其特征在于，该方法包括A，接入设备学习客户端station被分配的IP地址；B，所述接入设备针对学习到的IP地址，确认该IP地址是否已被其他station使用；C，所述接入设备利用通过确认的IP地址验证所述客户端发送的数据报文，所述通过确认的IP地址是指步骤B中确认结果为否的IP地址。
34.根据权利要求33所述的方法，其特征在于，步骤C中的验证是在所述数据报文通过源MAC地址验证之后进行的。
35.根据权利要求33或34所述的方法，其特征在于，所述其他station为与所述客户端属于同一链路的station。
36.一种应用于WLAN中的接入设备，其特征在于，该接入设备包括IP地址学习单元，用于学习客户端station被分配的IP地址；IP地址确认单元，用于针对学习到的IP地址，确认该IP地址是否已被其他station使用；IP地址验证单元，用于利用通过确认的IP地址验证所述客户端发送的数据报文，所述通过确认的IP地址是指所述IP地址确认单元得到确认结果为否的IP地址。
全文摘要
本发明提供了WLAN中验证方法和装置。其中一种方法包括A，接入设备学习客户端station被分配的IP地址；B，接入设备将学习到的IP地址同步至用于管理所述接入设备的管理设备，并接收所述管理设备对IP地址是否已被其他station使用的确认结果；C，所述接入设备利用通过确认的IP地址验证所述客户端发送的数据报文，所述通过确认的IP地址是指确认结果为否的IP地址。采用本发明，实现对客户端发送的数据报文进行IP地址验证，避免不同station使用相同IP地址进行通信。
文档编号H04L29/12GK102158866SQ20111003470
公开日2011年8月17日 申请日期2011年2月1日 优先权日2011年2月1日
发明者林涛, 汪昊, 王飓 申请人:杭州华三通信技术有限公司