无线局域网中认证信息处理方法及相关网络设备的制作方法
【专利摘要】本发明公开了一种无线局域网中认证信息处理方法及相关网络设备,用以减少流经AC设备的数据流量,其中,无线局域网中认证信息处理方法,包括:前端网络设备接收终端设备发送的数据包,所述前端网络设备位于WLAN系统中的AC设备之前;并检测所述数据包;以及确定所述数据包满足预设的认证数据包条件时,将所述数据包发送给AC设备。
【专利说明】无线局域网中认证信息处理方法及相关网络设备
【技术领域】
[0001]本发明涉及无线通信【技术领域】,尤其涉及一种无线局域网中认证信息处理方法及相关网络设备。
【背景技术】
[0002]无线局域网(WLAN, Wireless Local Area Network)是一种能够在一定区域范围内支持移动特性的无线宽带接入方式,WLAN为用户访问互联网提供了一种宽带接入方式。通过WLAN接入系统,用户能够使用万维网(WWW,World Wide Web),文件传输协议(FTP,FileTransfer Protocol), E-mail等各种互联网业务。WLAN接入系统完成用户的接入,接入控制,计费信息采集以及业务管理和控制等。WLAN接入系统主要由接入点(APjccess Point)设备和业务控制(AC, Access Controller)设备以及其它相关网络设备组成。AP设备是WLAN的小型无线基站设备,完成802.11系列标准的无线接入;AP设备也是一种网络桥接器,是连接有线网络与无线网络的桥梁,任何WLAN终端设备均可通过相应的AP设备接入到有线网络资源。在安全控制方面,AP设备可以通过网络标志和介质访问控制(MAC设备,Media Access Control)地址来控制用户接入;同时AP设备支持有线等效保密(WEP,WiredEquivalent Privacy)空中加密,保护用户信息安全;在数据通讯方面,AP设备负责完成它与WLAN终端设备之间所传输的数据包的加密和解密。
[0003]目前,运营商部署的WLAN网络,AP设备负责提供无线信号,AC设备作为接入控制器,负责属下多个AP设备的无线管理配置。通常,AC设备有两种形态,一种是合一模式,即AC设备既负责AP设备的无线管理配置,也负责业务/认证控制。另一种是分离模式,即AC设备只负责AP设备的无线管理配置,业务/认证控制这部分功能放在另外一台设备上完成,通常是宽带远程接入服务器(BRAS, Broadband Remote Access Server)。
[0004]由于在分离模式下,网络发展和融合面临了很多问题,首先基于分离模式下的性能管理需要网管系统分别从BRAS和AC设备进行数据采集,并同时完成数据合并,需要网管进行较大改造;其次,分离模式下,由于认证功能在BRAS上执行,为了实现EAP-PEAP/EAP-SIM等无感知认证(从已有用户信息中获取认证信息,用户对于认证过程无感知)技术,需要增加AC设备和BRAS设备接口,用于下发认证成功后的密钥等信息,耗费周期较长,难以满足无感知认证的时间要求。因此,现有技术中通常采用合一模式部署AC设备。
[0005]目前流经AP设备的数据包可以包括以下两类:包含认证信息的认证数据包和包含非认证信息的普通数据包,目前,WLAN接入系统中,各设备对数据包处理流程如下:AP设备接收到终端设备发送的数据包后,不进行任何处理即发送给AC设备,AC设备解析接收到的数据包,若AC设备确认接收到的数据包为认证数据包,将对认证数据包进行处理,否则,若为普通数据包将发送到互联网。由上述流程可知,现有技术中,AP设备接收到的所有数据包均需要发送给AC设备,但是AC设备只需要处理其中的认证数据包,这样,一方面造成了 AC设备成为数据流量的处理瓶颈,降低了 AC设备的处理速度,另一方面也浪费了 AC设备的处理资源。
【发明内容】
[0006]本发明实施例提供一种无线局域网中认证信息处理方法及相关网络设备,用以减少流经AC设备的数据流量。
[0007]本发明实施例提供一种无线局域网认证信息处理方法,包括:
[0008]前端网络设备接收终端设备发送的数据包,所述前端网络设备位于无线局域网WLAN系统中的接入控制AC设备之前;并
[0009]检测所述数据包;以及
[0010]确定所述数据包满足预设的认证数据包条件时,将所述数据包发送给AC设备。
[0011]本发明实施例提供一种网络设备,所述网络设备位于无线局域网WLAN系统中的接入控制AC设备之前,以及
[0012]所述网络设备,包括:
[0013]接收单元,用于接收终端设备发送的数据包;
[0014]检测单元,用于检测所述数据包,并确定所述数据包满足预设的认证数据包条件;
[0015]发送单元,用于检测单元确定所述数据包满足预设的认证数据包条件时,将所述数据包发送给AC设备。
[0016]本发明实施例提供的无线局域网中认证信息处理方法及相关网络设备,位于WLAN系统中的AC设备之前的网络设备检测接收到的数据包,以确定该数据包是否满足预设的认证数据包条件,当接收到的数据包满足预设的认证数据包条件时,将该数据包发送给AC设备处理,当接收到的数据包不满足预设的认证数据包条件时,将该数据包发送给BRAS或者互联网,从而使得非认证数据包不会发送给AC设备,从而,减少了 AC设备处理的数据流量,节约了 AC设备的处理资源,同时,由于减少了 AC设备需要处理的数据流量,相应地,提高了 AC设备的处理速度。
[0017]本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
【专利附图】
【附图说明】
[0018]图1为本发明实施例中,无线局域网中认证信息处理方法的实施流程示意图;
[0019]图2为本发明实施例中,AP设备对接收到的数据包进行处理的处理流程示意图;
[0020]图3为本发明实施例中,网络设备的结构示意图。
【具体实施方式】
[0021]为了减少流经AC设备的数据流量,节约AC设备的处理资源,提高AC设备的处理速度,本发明实施例提供了一种无线局域网中认证信息处理方法及相关网络设备。
[0022]以下结合说明书附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明,并且在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。[0023]如图1所示,为本发明实施例中,无线局域网中认证信息处理方法的实施流程示意图,包括以下步骤:
[0024]S101、前端网络设备接收终端设备发送的数据包;
[0025]其中,前端网络设备可以为位于无线局域网(WLAN)系统中的AC设备之前的网络设备;终端设备发送的数据包可以为认证数据包,也可以为普通数据包。
[0026]S102、前端网络设备检测接收到的数据包;
[0027]S103、前端网络设备判断接收到的数据包是否满足预设的认证数据包条件,如果是,执行步骤S104,否则执行步骤S105 ;
[0028]S104、将该数据包发送 给AC设备;
[0029]S105、将接收到的数据包发送给BRAS设备或者将接收到的数据包发送到互联网。
[0030]具体实施时,本发明实施例提供了两种实现方式,一种是在AP设备上对数据包进行检测,一种是在与AP设备连接的上一层网络设备上对数据包进行检测,其中,与AP设备连接的上一层网络设备可以但不限于为路由器设备或者交换机设备,以下分别介绍之。
[0031 ] 实现方式一 AP设备对数据包进行检测
[0032]当AP设备接收到终端设备发送的数据包之后,首先要判断该数据包是否为认证数据包,然后,将认证数据包的数据包发送给AC设备进行处理;对于非认证数据包的数据包,AP设备将直接通过AP设备与BRAS设备之间的隧道进行转发,或者直接进行MAC层转换后发送到互联网中。
[0033]具体实施时,终端设备在接入WLAN时,需要完成网络认证,特别是在无感知网络认证中,通常采用不同的可扩展认证协议(EAP,Extensible Authentication Protocol)认证方法,当终端与网络之间采用EAP认证方法时,所传输的认证数据包称为EAP认证数据包,为了便于描述,本发明实施例中以认证数据包为EAP认证数据包为例进行说明。
[0034]EAP认证数据包通过EAPOL (EAP over LAN)协议进行封装,其数据包格式如表I所示:
[0035]表I
[0036]
【权利要求】
1.一种无线局域网中认证信息处理方法,其特征在于,包括: 前端网络设备接收终端设备发送的数据包,所述前端网络设备位于无线局域网WLAN系统中的接入控制AC设备之前;并检测所述数据包;以及 确定所述数据包满足预设的认证数据包条件时,将所述数据包发送给AC设备。
2.如权利要求1所述的方法,其特征在于,还包括: 确定所述数据包不满足预设的认证数据包条件时,将所述数据包发送给宽带远程接入服务器BRAS设备或者将所述数据包发送到互联网。
3.如权利要求1所述的方法,其特征在于,按照以下方法确定所述数据包满足预设的认证数据包条件: 检查所述数据包指定字段的取值;以及 若指定字段的取值为预设值时,确定所述数据包满足预设的认证数据包条件。
4.如权利要求3所述的方法,其特征在于,所述前端网络设备为接入点AP设备;以及 将所述数据包发送给AC设备,具体包括: 使用隧道协议封装所述数据包;并 将封装后的数据包通过AP设备与AC设备之间的隧道发送给AC设备,所述隧道使用所述隧道协议建立。
5.如权利要求4所述的方法,其特征在于,若所述隧道协议为CAPWAP协议时,使用隧道协议封装所述数据包,具体包括: 使用CAPWAP数据CAPWAP-DATA信道或者CAPWAP控制CAPWAP-CONTROL信道封装所述数据包。
6.如权利要求5所述的方法,其特征在于,使用CAPWAP-CONTROL信道封装所述数据包时,还包括: 扩展CAPWAP-CONTROL消息类型,并定义扩展的CAPWAP-CONTROL消息类型值为27~255中任一整数值;或者 扩展CAPWAP-CONTROL消息元素,并定义扩展的CAPWAP-CONTROL消息元素类型值为50~255中任一整数值。
7.如权利要求5所述的方法,其特征在于,使用CAPWAP-CONTROL信道封装所述数据包,具体包括: 使用已定义的CAPWAP-CONTROL消息封装所述数据包,并定义CAPWAP-CONTROL消息的消息元素标识为指定值。
8.如权利要求3所述的方法,其特征在于,所述前端网络设备为与AP设备连接且位于AP设备之后的网络设备;以及 将所述数据包发送给AC设备,具体包括: 使用隧道协议封装所述数据包;并 填充所述数据包的源地址为所述AP设备的地址,以及填充所述数据包的目标地址为AC设备地址;并 根据所述目标地址转发所述数据包。
9.如权利要求1-8任一权利要求所述的方法,其特征在于,还包括:所述AP设备在接收到所述AC设备发送的认证成功消息之后,记录所述终端设备使用的数据流量信息;并 按照预设周期向所述AC设备上报记录的数据流量信息。
10.一种网络设备,其特征在于,所述网络设备位于无线局域网WLAN系统中的接入控制AC设备之前,以及 所述网络设备,包括: 接收单元,用于接收终端设备发送的数据包; 检测单元,用于检测所述数据包,并确定所述数据包满足预设的认证数据包条件; 发送单元,用于检测单元确定所述数据包满足预设的认证数据包条件时,将所述数据包发送给AC设备。
11.如权利要求10所述的网络设备,其特征在于, 所述发送单元,还用于确定所述数据包不满足预设的认证数据包条件时,将所述数据包发送给宽带远程接入服务器BRAS设备或者将所述数据包发送到互联网。
12.如权利要求10所述的网络设备,其特征在于,所述检测单元,包括: 检查子单元,用于检查所述数据包指定字段的取值; 确定子单元,用于若指定 字段的取值为预设值时,确定所述数据包满足预设的认证数据包条件。
13.如权利要求10所述的网络设备,其特征在于,所述网络设备为接入点AP设备,所述发送单元,具体用于使用隧道协议封装所述数据包,以及将封装后的数据包通过AP设备与AC设备之间的隧道发送给AC设备,所述隧道使用所述隧道协议建立。
14.如权利要求13所述的网络设备,其特征在于, 所述发送单元,具体用于使用CAPWAP数据CAPWAP-DATA信道或者CAPWAP控制CAPWAP-CONTROL信道封装所述数据包。
15.如权利要求14所述的网络设备,其特征在于, 所述发送单元,还用于使用CAPWAP-CONTROL信道封装所述数据包时,扩展CAPWAP-CONTROL消息类型,并定义扩展的CAPWAP-CONTROL消息类型值为27-255中任一整数值;或者扩展CAPWAP-CONTROL消息元素,并定义扩展的CAPWAP-CONTROL消息元素类型值为50-255中任一整数值。
16.如权利要求14所述的网络设备,其特征在于, 所述发送单元,具体用于使用已定义的CAPWAP-CONTROL消息封装所述数据包,并定义CAPWAP-CONTROL消息的消息元素标识为指定值。
17.如权利要求13所述的网络设备,其特征在于,还包括: 记录单元,用于在接收到AC设备发送的认证成功消息之后,记录所述终端设备使用的数据流量信息; 上报单元,用于按照预设周期向所述AC设备上报记录的数据流量信息。
18.如权利要求10所述的网络设备,其特征在于,所述网络设备为与接入点AP设备连接且位于AP设备之后的网络设备,所述发送单元,用于使用隧道协议封装所述数据包;填充所述数据包的源地址为所述AP设备的地址,以及填充所述数据包的目标地址为AC设备地址;根据所述目标地址转发所述数据包。
【文档编号】H04W24/00GK103458405SQ201210170228
【公开日】2013年12月18日 申请日期:2012年5月28日 优先权日:2012年5月28日
【发明者】邓辉, 罗海云, 曹振, 陈一帆, 邵春菊, 刘鸿 申请人:中国移动通信集团公司