一种无线接入网元的控制方法及系统的制作方法

一种无线接入网元的控制方法及系统的制作方法
【专利摘要】本发明公开一种无线接入网元的控制方法及系统，所述方法基于至少一个主控网元和至少一个受控网元形成的网络，具体包括以下步骤：建立受控网元与主控网元之间的无线通道；启动受控网元中DHCP客户端，向主控网元请求管理IP；接收受控网元的DHCP请求，为其分配管理IP；在获取管理IP后，启动对主控网元的身份认证；响应并启动受控网元发起的身份认证；在认证受控网元的身份合法后，将本地配置数据下发至受控网元；接收来自主控网元的配置数据，配置本地业务参数。本发明所涉及的无线接入网元的控制方法及系统，受控网元能够通过无线通道关联主控网元，并且通过二者之间的身份认证，有效的增强了AP管理的安全性。
【专利说明】一种无线接入网元的控制方法及系统
【技术领域】
[0001]本发明涉及计算机网络领域，尤其涉及一种无线接入网元的控制方法及系统。
【背景技术】
[0002]近年来，随着无线局域网络(WLAN)技术的不断发展以及制造工艺不断提升，提供WLAN功能支持的终端设备出现了爆炸式增长，由此导致针对其接入点(Access Point，简称AP)设备的管理要求不断增强。
[0003]现有的管理技术包括:AP设备集成的WEB界面、AC系统(Accessing Controller,简称 AC)、TR069 自动配置服务系统(Technical Report-069Auto-Configuration Server,简称 TR069ACS)以及简单网络管理(Simple Network Management Protocol,简称 SNMP)服务系统。利用AP设备集成的WEB界面，可实现对单台AP设备进行配置管理；AC系统与AP设备间基于无线接入点控制与呈现(Control and Provisioning of Wireless AccessPointer,简称CAPWAP)协议，实现对AP设备进行管理，该技术主要在运营商级市场中被强制使用；TR069ACS系统与AP设备间基于TR069协议框架，实现对AP设备的管理维护，该技术仅在运营商级市场的部分场景中被强制使用；SNMP系统与AP设备间遵循SNMP协议约束，实现对AP设备的管理维护。
[0004]但是以上针对AP的管理存在如下技术弱点:
[0005]首先，现有的管理技术以及管理模型都源自有线网络设备，也就是基于AP的有线口进行的，即如果AP的有线口出现故障，则无法实现对AP进行远程管理；此时，AP也无法再为用户提供有效的接入服务。
[0006]其次，虽然考虑了通信安全性，但没有身份互认证过程。
[0007]最后，在诸如古建筑等不允许布线、乡镇等布线不经济的场景下，或房间内以及楼宇间无有线可用，只能通过AP间无线互联才能为用户提供网络接入服务时；针对这些无线互联AP的管理，现有的基于有线接口的管理技术无法实现。

【发明内容】

[0008]本发明的目的在于提供一种无线接入网元的控制方法及系统，以便使受控网元与主控网元之间能够通过无线通道进行关联，并且通过增加受控网元与主控网元之间的身份认证，有效的增强AP管理的安全性。
[0009]为实现上述目的，本发明的一方面提出了一种无线接入网元的控制方法，所述控制方法基于至少一个主控网元和至少一个受控网元形成的网络，所述方法中受控网元执行以下步骤:
[0010]建立与所述主控网元之间的无线通道；
[0011]启动DHCP客户端，向所述主控网元请求管理IP ；
[0012]在获取来自所述主控网元的管理IP后，启动对所述主控网元的身份认证；
[0013]接收来自所述主控网元的配置数据，配置本地业务参数。[0014]优选的是，上述方法还包括以下步骤:
[0015]将本地运行状态信息上报至所述主控网元；或者
[0016]将心跳信息定期上报至所述主控网元；或者
[0017]执行与所述主控网元的远程操作指令相对应的动作。
[0018]本发明的另一方面提出了一种无线接入网元的控制方法，所述控制方法基于至少一个主控网元和至少一个受控网元形成的网络，所述方法中主控网元执行以下步骤:
[0019]建立与所述受控网元之间的无线通道；
[0020]接收所述受控网元的DHCP请求，为其分配管理IP ；
[0021]响应所述受控网元发起的身份认证，并启动对所述受控网元的身份认证；
[0022]在认证所述受控网元的身份合法后，将本地配置数据下发至所述受控网元。
[0023]优选的是，上述方法还包括以下步骤:
[0024]接收并处理来自所述受控网元的运行状态信息；或者
[0025]接收并处理来自所述受控网元的心跳信息；或者
[0026]对所述受控网元进行远程操作。
[0027]优选的是，所述受控网元与所述主控网元之间建立无线通道包括以下步骤:
[0028]在所述主控网元上，配置所述受控网元的通信参数；
[0029]在所述受控网元上，配置所述主控网元的通信参数；
[0030]在所述受控网元上，配置所述主控网元的无线参数，并关联到所述主控网元。
[0031]优选的是，所述受控网元与所述主控网元之间建立无线通道包括以下步骤:
[0032]启动所述受控网元中的背景扫描；
[0033]判断是否扫描到与预设条件相符的主控网元；
[0034]当扫描到与预设条件相符的主控网元时，判断是否存在多个符合预设条件的主控网元；
[0035]当未扫描到与预设条件相符的主控网元时，启动所述受控网元中的主动扫描；
[0036]判断是否存在多个符合预设条件的主控网元；
[0037]当存在多个符合预设条件的主控网元时，计算各主控网元的加权值，确定目标主控网元，之后调整所述受控网元的工作信道，并关联到目标主控网元；以及
[0038]当只存在一个符合预设条件的主控网元时，调整所述受控网元的工作信道，直接关联到所述目标主控网元。
[0039]优选的是，所述受控网元与所述主控网元之间的身份认证流程中将首先发送消息的一端作为消息发送端，另外一端便为消息接收端，该身份认证流程包括以下步骤:
[0040]在消息发送端，利用随机数据填充128字节缓存区，形成原始消息；
[0041]对所述原始消息采用第一加密算法进行加密处理；
[0042]对所述加密处理后的消息采用第一签字算法进行签字处理，之后发送至消息接收端;
[0043]接收来自消息发送端的消息，并对所述消息进行解签处理；
[0044]当解签成功时，对所述解签后的消息进行解密处理；
[0045]再次对所述解签解密处理后的消息采用第二加密算法进行加密处理；
[0046]对所述再次加密处理后的消息采用第二签字算法进行签字处理，之后发送至消息发送端；
[0047]接收来自消息接收端的消息，对所述消息进行解签处理；
[0048]当解签成功时，对所述解签后的消息进行解密处理；
[0049]比较所述解密后的消息与原始消息的一致性。
[0050]优选的是，所述控制方法基于至少一个主控网元，至少一个受控网元和至少一个更低级受控网元形成的网络，所述方法中更低级受控网元执行以下步骤:
[0051]建立与所述受控网元之间的无线通道；
[0052]启动DHCP客户端，向所述主控网元请求管理IP ；
[0053]在获取管理IP后，启动对所述受控网元的身份认证；
[0054]接收来自所述受控网元的配置数据，配置本地业务参数。
[0055]优选的是，所述远程操作包括负载均衡操作，其包括以下步骤:
[0056]接收并处理来自所述受控网元的用户关联请求信息；
[0057]检测所述主控网元的负载均衡功能是否开启；
[0058]当所述负载均衡功能开启时，检测所述负载均衡功能是否基于用户数；
[0059]当所述负载均衡功能基于用户数时，计算所述受控网元所在负载均衡组内的用户负载调整标志，之后检测所述负载调整标志是否置位；
[0060]当所述负载均衡功能不是基于用户数时，检测所述负载均衡功能是否基于流量；
[0061]当所述负载均衡功能基于流量时，计算所述受控网元所在负载均衡组内的流量负载调整标志；
[0062]检测所述负载调整标志是否置位；
[0063]当所述负载调整标志置位时，通知所述受控网元拒绝所述用户接入；
[0064]在所述用户等待时间超过预设时间后，通知所述受控网元允许所述用户接入。
[0065]本发明还提出了一种无线接入网元的控制系统，所述控制系统基于至少一个主控网元和至少一个受控网元形成的网络，所述系统中受控网元包括以下装置:
[0066]建立与所述主控网元之间的无线通道的装置；
[0067]启动DHCP客户端，向所述主控网元请求管理IP的装置；
[0068]在获取来自所述主控网元的管理IP后，启动对所述主控网元的身份认证的装置；
[0069]接收来自所述主控网元的配置数据，配置本地业务参数的装置。
[0070]本发明还提出了一种无线接入网元的控制系统，所述控制系统基于至少一个主控网元和至少一个受控网元形成的网络，所述系统中主控网元包括以下装置:
[0071]建立与所述受控网元之间的无线通道的装置；
[0072]接收所述受控网元的DHCP请求，为其分配管理IP的装置；
[0073]响应所述受控网元发起的身份认证，并启动对所述受控网元的身份认证的装置；
[0074]在认证所述受控网元的身份合法后，将本地配置数据下发至所述受控网元的装置。
[0075]优选的是，所述控制系统基于至少一个主控网元，至少一个受控网元和至少一个更低级受控网元形成的网络，所述系统中更低级受控网元包括以下装置:
[0076]建立与所述受控网元之间的无线通道的装置；
[0077]启动DHCP客户端，向所述主控网元请求管理IP的装置；[0078]在获取管理IP后，启动对所述受控网元的身份认证的装置；
[0079]接收来自所述受控网元的配置数据，配置本地业务参数的装置。
[0080]本发明的上述方案的有益效果在于，受控网元与主控网元之间建立了无线通道，不再局限于传统的有线通道，并且通过增加受控网元与主控网元之间的身份认证，有效的增强了 AP管理的安全性。
【专利附图】

【附图说明】
[0081]图1示出了本发明所涉及的装置框图。
[0082]图2示出了本发明的第一实施例中无线接入网元的控制方法的流程图。
[0083]图3示出了本发明的第二实施例中无线接入网元的控制方法的流程图。
[0084]图4示出了本发明的第三实施例中受控网元扫描并关联目标主控网元的流程图。
[0085]图5示出了本发明的第四实施例中受控网元通过有线网络关联目标主控网元的流程图。
[0086]图6示出了本发明所涉及的控制方法中受控网元与主控网元之间身份认证的流程图。
[0087]图7示出了本发明所涉及的控制方法中的负载均衡流程图。
【具体实施方式】
[0088]下面结合附图对本发明的【具体实施方式】做进一步说明。
[0089]如图1所示，本发明所涉及的无线接入网元的控制系统包括至少一个受控网元10，至少一个主控网元20，还可以包括至少一个更低级受控网元30。所述主控网元20与受控网元10之间通过有线方式或者无线方式通讯连接，所述更低级受控网元30与所述受控网元10通过无线方式通讯连接。
[0090]图2示出了本发明的第一实施例中无线接入网元的控制方法的流程图，本实施例是在受控网元10中明确配置了所要关联的主控网元20的无线参数情况下，主控网元20控制受控网元10的过程，其具体包括以下步骤:
[0091]步骤SlOO:首先在主控网元20上配置受控网元10的通信参数，具体的通信参数是指受控网元10的MAC地址、数字指纹数据、消息加密算法和签字算法，之后等待受控网元10的DHCP请求；
[0092]具体的，主控网元20上专供受控网元10连接用的虚拟接入点(VAP)可以配置为不广播服务集标识(SSID)、不响应受控网元10的探测请求，对于受控网元10的关联和重关联请求，必须检测由其携带的厂家自定义信元中编号为125的子信元中的厂家编号是否与预设的厂家编号一致。具体的检测过程是将受控网元10的MAC地址循环扩展到16字节作为解密密钥，利用AES算法解密125号子信元的内容，之后将解密后的内容中的厂家编号与预设的厂家编号进行比对，当比对结果一致时，则主控网元20接收该受控网元10的关联和重关联请求；当比对结果不一致时，则丢弃该关联和重关联请求。
[0093]可选的是，主控网元20上专供受控网元10连接用的虚拟接入点(VAP)还可以配置为不广播服务集标识(SSID)，仅响应受控网元10的探测请求，对于受控网元10的关联和重关联请求，必须检测由其携带的厂家自定义信元中编号为125的子信元中的厂家编号是否与预设的厂家编号一致。具体的检测过程和上述检测过程一致。
[0094]所述125号子信元的具体内容是:前4个字节为厂家编号，随后的17个字节是字符型WLAN无线网卡硬件地址，随后的I个字节是IP地址长度，随后是IP地址内容，最后的4个字节是网络等级值。
[0095]步骤SlOl:在受控网元10上配置主控网元20的通信参数，具体的通信参数是指主控网元20的数字指纹数据、消息加密算法和签字算法，所述通信参数还可以包括受控网元10的IP地址；
[0096]具体的，受控网元10上与主控网元20通信用的VAP可以配置为所述受控网元10的探测请求、关联请求和重关联请求中的厂家自定义信元需要携带125号子信元，并且所述125号子信元的IP地址长度所属的字节填0，其他字段依据实际情况填写，将上述125号子信元的内容利用6字节的无线网卡硬件地址循环扩充成16字节后作为加密密钥，并利用AES算法对上述125号子信元的内容加密，受控网元10可以对主控网元20发送来的探测响应、关联响应以及重关联响应中厂家自定义信元携带的125号子信元进行检测，其检测过程与主控网元20中的检测过程一致。
[0097]所述数字指纹数据最长是32字节，将作为密钥用于主控网元20与受控网元10间配置类消息的加密和解密；加密算法包括AES算法、3DES算法以及RC5算法；签字算法包括MD5算法、SHA算法以及DSS算法。
[0098]步骤S102:在受控网元10上配置主控网元20的无线参数，其中所述无线参数包括SSID以及基本服务集标识(BSSID)等数据，基于上述无线参数，受控网元10主动关联到主控网元20，与主控网元20建立无线通道；
[0099]步骤S103:受控网元10与主控网元20之间成功建立无线通道后,受控网元10启动DHCP客户端，向主控网元20申请管理IP地址；
[0100]步骤S104:主控网元20接收并受理受控网元10的DHCP请求，并为受控网元10分配管理IP地址；
[0101]具体的，受控网元10发送的DHCP请求以及主控网元20响应的DHCP响应报文中，均需要验证DHCP中option60信元的内容，该信元的具体定义如下:至少包含厂家标识(4字节)、数字指纹数据(其长度可变，最长32字节)、消息加密算法标识(I字节)、签字算法标识(I字节)、IP地址(其长度可变，最长40字节)和端口号(2字节)。主控网元20只有在验证受控网元10发送来的DHCP请求中的厂家标识正确后，才能给其分配管理IP ;受控网元10只有检测主控网元20发送来的DHCP响应报文中的厂家标识正确后，才处理该DHCP响应报文。
[0102]步骤S105:受控网元10成功获取管理IP后，通过之前建立的无线通道，启动对主控网元20的身份认证流程，具体流程如图6所示；
[0103]具体的，受控网元10获取主控网元20的IP地址的方式有以下三种:(I)通过配置获得主控网元20的IP地址；(2)通过主控网元20回应的无线探测响应报文或者关联响应报文获得主控网元20的IP地址；(3)通过主控网元20回应的DHCP响应报文中option60信元获得主控网元20的IP地址。
[0104]步骤S106:主控网元20响应受控网元10发起的身份认证流程，更新受控网元10的状态为待认证状态，之后也启动对受控网元10的身份认证流程，如图6所示；[0105]步骤S107:主控网元20在认证受控网元10的身份合法后，更新受控网元10的状态为待配置状态，之后下发本地配置数据到受控网元10 ；
[0106]具体的，本地配置数据是指业务配置参数，其包括VAP配置数据，运行状态数据上报周期，防火墙规则数据以及用户MAC黑白名单数据。
[0107]上述配置数据外发之前，主控网元20需要依据步骤SlOO中配置的受控网元10的通信参数，对所述配置数据进行加密以及签字处理，之后才将其外发至目标受控网元10。
[0108]最后一条配置指令为空指令，用于指示配置数据已下发完毕。
[0109]步骤S108:受控网元10接收到主控网元20的配置数据后，对其进行解签以及解密处理以获取原始的配置数据，利用该配置数据配置受控网元10的业务参数，并将配置结果提交至主控网元20 ；
[0110]具体的，利用配置数据中的VAP配置数据来创建本地业务VAP ;利用防火墙规则数据配置本地报文过滤规则；将用户MAC黑白名单数据下发到无线驱动，并创建不同的定时器，用于本地运行状态数据的采集与上报。在收到配置指令为空指令时，将本地配置标志设置为配置完成，并将所有配置指令所执行的结果提交到主控网元20。
[0111]步骤S109:主控网元20接收来自受控网元10的配置结果，更新受控网元10的状态为运行状态。
[0112]至此，受控网元10的配置完毕，可以为用户提供无线接入服务。
[0113]之后受控网元10可以受到相应的触发条件后执行以下相对应的步骤:
[0114]步骤SllO:当受控网元10中的上报定时器的时间超时后，受控网元10将本地运行状态信息提交到主控网元20 ；
[0115]具体的，可以对所述运行状态信息进行加密以及签字处理后再提交至主控网元20。
[0116]步骤Slll:主控网元20接收到上述运行状态信息后，对其进行本地处理；
[0117]具体的处理过程包括:将数据写入本地文件，并通过网元级性能、VAP级性能、STA级性能等不同视图分别展示；同时，在启用负载均衡功能时，每接收到受控网元10上报的用户上线消息后，会启动如图7所示的负载均衡流程。
[0118]步骤S112:受控网元10在对主控网元20进行身份认证之后，会定期向主控网元20上报心跳信息；
[0119]步骤S113:主控网元20只有在受控网元10的身份认证通过之后，才会处理该受控网元10上报的心跳信息；
[0120]具体的处理过程包括更新受控网元10的超时状态，并回应心跳信息，所述心跳信息是指不携带任何信息内容的短消息，可以配置为仅在受控网元10与主控网元20之间无信息交互时才发送。
[0121]步骤S114:主控网元20可以随时对在线的并且已经通过身份认证的受控网元10发起远程操作；
[0122]具体的，远程操作包括冷重启、热重启、版本升级、关闭业务、强制用户下线以及修改用户黑白名单；远程操作为关键性操作，主控网元20可配置为必须对远程操作指令进行加密以及签字处理。
[0123]除冷启动外，其它远程操作指令均下发到受控网元10执行；冷启动操作指令集会直接下发到相应的以太网供电(PoE)交换机上，直接将该交换机的指定端口配置为不支持PoE供电，等待10秒后，再将端口配置为PoE供电模式。
[0124]步骤S115:受控网元10接收到主控网元20的远程操作指令后，执行与该远程操作指令相对应的动作，如自动重启，关闭业务，强制用户下线以及更新用户黑白名单数据等。当所述远程操作指令进行过加密以及签字处理时，受控网元10需要对其进行解签以及解密处理后才能获得原始的远程操作指令。
[0125]图3示出了本发明的第二实施例中无线接入网元的控制方法的流程图。本实施例涉及主控网元20,受控网元10以及更低级受控网元30。本实施例是在受控网元10中明确配置了所要关联的主控网元20的无线参数情况下，主控网元20控制受控网元10以及更低级受控网元30的过程，其具体包括以下步骤:
[0126]步骤S200:在主控网元20上配置受控网元10的通信参数，具体的通信参数是指受控网元10的MAC地址、数字指纹数据、消息加密算法和签字算法，之后等待接收受控网元10以及更低级受控网元30的DHCP请求；
[0127]步骤S201:在受控网元10上配置主控网元20以及更低级受控网元30的通信参
数，具体的通信参数与第一实施例中一致；
[0128]步骤S202:在受控网元10上配置主控网元20的无线参数，具体的无线参数与第一实施例中一致，基于上述无线参数，受控网元10主动关联到主控网元20，与主控网元20建立无线通道；
[0129]步骤S203:在更低级受控网元30上配置受控网元10的通信参数；
[0130]步骤S204, S205, S206, S207, S208, S209, S210, S211, S213 分别与第一实施例中的步骤 S103, S104, S105, S106, S107, S108, S109, S110, S112 一致。
[0131]步骤S212:主控网元20会处理来自受控网元10以及更低级受控网元30的运行状态信息，主控网元20不会区分受控网元10以及更低级受控网元30 ；
[0132]步骤S214:主控网元20会处理来自受控网元10以及更低级受控网元30的心跳信息；
[0133]步骤S215:主控网元20可以对其所控制的所有受控网元10以及更低级受控网元30发起远程操作，并且所述主控网元20针对受控网元10以及更低级受控网元30的远程操作是以相同的方式处理；
[0134]步骤S216:受控网元10判断来自主控网元20的远程操作指令针对的目标网元是否为自身，如果操作目标网元为自身，转步骤S217，否则将远程操作指令转发至目标更低级受控网元30，转步骤S218 ；
[0135]具体的，如果主控网元20对远程操作指令进行过加密以及签字处理，那么主控网元20会将所述远程操作指令首先下发至受控网元10，由受控网元10对所述远程操作指令进行解签以及解密处理，如果目标网元是更低级受控网元30，则受控网元10还要利用与更低级受控网元30之间的通信参数，对所述解签以及解密处理后的远程操作指令再次进行加密以及签字处理，之后才会将其下发至目标更低级受控网元30。
[0136]步骤S217:受控网元10执行与主控网元20的远程操作指令相对应的动作；
[0137]步骤S218:更低级受控网元30执行与主控网元20的远程操作指令相对应的动作；[0138]步骤S219:在更低级受控网元30上配置受控网元10的无线参数，并关联到所述受控网元10，从而建立了受控网元10与更低级受控网元30之间的无线通道；
[0139]步骤S220:当受控网元10与更低级受控网元30之间的无线通道成功建立后，更低级受控网元30启动DHCP客户端，请求配置管理IP ；
[0140]步骤S221:受控网元10接收更低级受控网元30的DHCP请求后，检测主控网元20的身份认证是否通过，如果未通过，则直接丢弃此报文，如果通过，则转步骤S222 ；
[0141]步骤S222:受控网元10将更低级受控网元30的DHCP请求中转到主控网元20，主控网元20受理该请求，为其分配管理IP，受控网元10将主控网元20的DHCP响应报文中option60中的IP地址修改为本地地址后，再中转到更低级受控网元30 ；
[0142]步骤S223:更低级受控网元30在成功获取管理IP后，启动对受控网元10的身份认证，认证流程如图6所示；
[0143]步骤S224:受控网元10响应更低级受控网元30的身份认证请求,并启动对更低级受控网元30的身份认证，具体流程如图6所示；
[0144]步骤S225:受控网元10检查本地配置标志是否已完成，如果完成，则转步骤S226，如果未完成，则将更低级受控网元30配置为待配置状态，并定期检查本地配置标志；
[0145]步骤S226:受控网元10将本地配置数据下发到更低级受控网元30，并将更低级受控网元30的信息上报主控网元20，所述信息包括IP地址，MAC地址以及加入时刻等数据；
[0146]步骤S227:更低级受控网元30获得受控网元10下发的配置数据，配置本地业务参数；
[0147]至此，更低级受控网元30已获得受控网元10下发的配置数据并对本地业务参数进行配置，因而能为用户提供无线接入服务。
[0148]同样的，更低级受控网元在定时器作用下，进行如下步骤:
[0149]步骤S228:更低级受控网元30将本地运行状态信息上报至受控网元10 ；
[0150]步骤S229:受控网元10将更低级受控网元30上报的运行状态信息中转至主控网元20进行处理；具体的，受控网元10也可以同时将接收到的运行状态信息进行保存以供本地展示；
[0151]步骤S230:更低级受控网元30在成功认证受控网元10的身份后，定期向受控网元10上报心跳信息；
[0152]步骤S231:受控网元10接收上述心跳信息后，立即向更低级受控网元30回应心跳应答，并且将来自更低级受控网元30的心跳信息中转至主控网元20进行处理；以及，对来自主控网元20的心跳应答，受控网元10则直接中止。
[0153]图4示出了本发明的第三实施例中受控网元扫描并关联目标主控网元的流程图。本实施例是在受控网元10中未明确配置所要关联的主控网元20的无线参数情况下，受控网元10扫描并关联目标主控网元20的过程，其具体包括以下步骤:
[0154]步骤S300:受控网元10启动背景扫描；
[0155]具体的，背景扫描是指受控网元10停留在开机后随机选中的可用信道上，在收到包括主控网元20在内的其他无线装置的广播帧后，检查其厂家自定义信元中是否携带了125号子信元，如果携带了该子信元，则进行如下处理:
[0156]将所述收到的广播帧源MAC地址扩展成16字节后，作为解密密钥，利用AES算法解密该125号子信元内容，然后提取出厂家编号、网络等级值和发送端MAC地址；如果厂家编号和发送端MAC地址都正确，再将当前信道、SSID名称、发送端MAC、IP地址、信号强度和噪声强度值保存到可用主控网元20的列表中，之后转步骤S301 ；
[0157]步骤S301:在可用主控网元20列表中，判断是否存在与预设条件相符的主控网元20，如果有，转步骤S303，否则转步骤S302 ；
[0158]步骤S302:受控网元10启动主动扫描；
[0159]具体的，主动扫描是指受控网元10从当前开机选中信道的下一个可用信道开始，循环向外发送探测请求，并等待一定的预设时间；收到任何无线装置返回的探测响应后，首先检查其厂家自定义信元中是否携带125号子信元，如果携带该125号子信元，则执行步骤S300中针对125号子信元的处理过程，在当前信道等待超时后，轮换到下一个可用信道，直到所有可用信道都处理完后，之后转步骤S303 ；
[0160]步骤S303:在可用主控网元20列表中，判断是否存在多个符合条件的主控网元20，如果是，转步骤S304，否则转步骤S305 ；
[0161]步骤S304:利用预设的信道差权值、网络等级差权值、信号强度权值和噪声强度权值分别作用于:当前信道与主控网元20信道差、受控网元10与主控网元20间网络等级差、信号强度值和噪声强度值，计算各可用主控网元20的加权值，最后取最佳的主控网元20为目标主控网元20 ；
[0162]步骤S305:受控网元10首先调整自身的工作信道，之后关联到目标主控网元20。
[0163]至此受控网元10与目标主控网元20进行了关联，之后主控网元20与受控网元10之间的流程可以与第一实施例中的一致。
[0164]图5示出了本发明的第四实施例中受控网元通过有线网络关联目标主控网元的流程图。本实施例是在受控网元10与主控网元20之间无法成功建立无线通道，并且在预先使能主控网元20与受控网元10之间能够启用有线通道通信时，才能启用本流程，其具体包括以下步骤:
[0165]步骤S400:在主控网元20上配置允许指定受控网元10通过有线网络注册，即在主控网元20的有线网口上放开服务端口 ；
[0166]具体的，主控网元20上可配置受控网元10的连接信息，包括其MAC地址、数字指纹数据、消息加密算法和签字算法等信息；也可以配置公用的连接信息；之后主控网元20等待接收受控网元10的DHCP请求。
[0167]步骤S401:在受控网元10上配置主控网元20的发现方式和/或连接信息，并使能有线方式注册到主控网元20 ；
[0168]具体的，所述连接信息包括主控网元20的IP与端口、数字指纹数据、消息加密算法和签字算法等信息。
[0169]步骤S402:受控网元10检查判断是否通过DHCP方式发现主控网元20还是配置了主控网元20的连接信息，如果是DHCP发现方式，则转步骤S403，否则转步骤S407 ；
[0170]步骤S403:受控网元10启动DHCP客户端流程，提出DHCP请求；
[0171]步骤S404:主控网元20接收该DHCP请求后，检查该请求中厂家编号是否正确，具体的，所述厂家编号是DHCP请求中option60信元中的内容；
[0172]步骤S405:当所述厂家编号正确时，则将该受控网元10的MAC地址、数字指纹数据、消息加密算法标志和签字算法标志保存到受控网元10列表中；同时构造DHCP响应报文返回至受控网元10 ；
[0173]具体的，所述DHCP响应报文包括分配给该受控网元10的IP地址，以及option60信元除了填写本地配置的厂家编号外，该option60信元中所需的数字指纹数据、消息加密算法标志和签字算法标志要填写主控网元20的本地配置数据；IP地址和端口号填写主控网元20的真实IP地址和服务端口号。
[0174]步骤S406:受控网元10获取该DHCP响应报文后，对其进行处理；
[0175]具体的，所述处理是指提取出主控网元20为其分配的IP地址，配置本地有线网口 ；以及从option60信元中，提取出主控网元20的IP地址和端口，主控网元20的数字指纹数据，消息加密算法和签字算法；并将上述数据保存到缓存区中，供后期的通信用。
[0176]步骤S407:受控网元10在获取主控网元20完整的通信连接信息后，通过有线网络发起对主控网元20的身份认证。
[0177]至此受控网元10通过有线网络与目标主控网元20进行了关联，之后主控网元20控制受控网元10的流程可以与第一实施例中的一致。
[0178]图6示出了本发明所涉及的控制方法中受控网元与主控网元之间身份认证的流程图。本流程涉及消息发送端和消息接收端，具体的受控网元10和主控网元20中首先发送消息的一端作为消息发送端，另外一端便为消息接收端。本流程触发之前，必须在消息发送端和消息接收端中已经配置了或者获得了通信用的如下参数:数字指纹数据、消息加密算法和消息签字算法。身份认证流程具体包含如下步骤:
[0179]步骤S500:消息发送端利用随机数据填充128字节缓存区，形成原始消息；
[0180]步骤S501:消息发送端利用本地已缓存的消息接收端通信用的消息加密算法，并将已缓存的消息接收端的数字指纹数据作为密钥，对上述原始消息进行加密处理；
[0181]步骤S502:利用本地已缓存的消息接收端通信用的消息签字算法，对上述加密处理后的消息进行签字处理，之后将其发送至消息接收端，并等待消息接收端的响应；
[0182]具体的，上述消息加密算法与消息签字算法，均是现场的成熟算法。
[0183]步骤S503:消息接收端接收上述经加密，签字处理后的消息，首先利用该消息的特征数据，如消息发送端的MAC地址、IP地址和/或连接号等，从本地缓存数据中，检索到其对应的消息签字算法后，对该消息进行解签处理，如果解签失败，则直接丢弃，否则转步骤 S504 ；
[0184]步骤S504:当对接收到的消息成功解签处理后，再从本地缓存数据中，检索到对应的消息加密算法，以及消息接收端自身的数字指纹数据，之后对上述消息进行解密处理；
[0185]步骤S505:消息接收端并不判断上述解密后的消息内容是否正确，仅利用检索到的消息加密算法和消息发送端的数字指纹数据，对上述解密后的消息再次进行加密处理；
[0186]步骤S506:利用检索到的消息签字算法，对上述加密后的消息进行签字处理，之后将其发送至消息发送端；
[0187]步骤S507:消息发送端接收来自消息接收端的消息后，利用已缓存的消息签字算法进行解签处理，如果解签失败，则直接丢弃，否则转步骤S508 ；
[0188]步骤S508:利用已缓存的消息加密算法和自身的数字指纹数据，对上述解签后的消息进行解密处理；
[0189]步骤S509:比较上述解密后的消息与发送的原始消息的一致性，当一致时，则消息发送端对消息接收端的身份认证通过，否则身份认证失败。
[0190]图7示出了本发明所涉及的控制方法中的负载均衡流程图。所述负载均衡功能是主控网元20中的一项功能，具体的，主控网元20首先依据受控网元(包括受控网元10以及更低级受控网元30)的实际位置，将所有受控网元划分为不同的负载均衡组；之后启用负载均衡功能，其具体流程包括以下步骤:
[0191]步骤S600:主控网元20接收受控网元上报的无线用户关联请求信息，并将用户MAC地址和受控网元10的MAC地址提取出来；具体的，受控网元10也会将更低级受控网元30上报的无线用户关联请求信息透传到主控网元20 ；
[0192]步骤S601:检测是否启用负载均衡功能，如果该功能已启用，则转步骤S602，否则结束；
[0193]步骤S602:检查负载均衡功能是否为基于用户数的负载均衡，如果是，则转步骤S603，否则转步骤S604 ；
[0194]步骤S603:计算受控网元所在负载均衡组内的用户负载调整标志，之后转步骤S606 ；
[0195]具体的计算过程是:基于受控网元的MAC地址，找到负载均衡组，然后检查该组内其它受控网元的用户数，如果用户负载差异数超过阈值，则置位负载调整标志。
[0196]步骤S604:检查负载均衡功能中是否为基于流量的负载均衡，如果是，则转步骤S605，否则结束；
[0197]步骤S605:计算受控网元所在负载均衡组内的流量负载调整标志，之后转步骤S606 ；
[0198]具体的计算过程是:基于受控网元的MAC地址，找到负载均衡组，然后检查该组内其它受控网元的流量负载，如果流量负载差异数超过阈值，则置位负载调整标志。
[0199]步骤S606:检查负载调整标志是否置位，如果是，则转步骤S607，否则结束；
[0200]步骤S607:主控网元20下发强制用户下线操作指令，通知目标受控网元拒绝该用户接入；具体的，受控网元10也会将指令中转到更低级受控网元30 ；
[0201]步骤S608:在等待时间超过预设时间阈值之后，下发黑名单解除操作指令，通知目标受控网元允许该用户接入，以防止用户下次无法关联到该网元。
[0202]本发明所涉及的无线接入网元的控制方法及系统，增加了受控网元与主控网元之间的身份认证，有效的增强了 AP管理的安全性；受控网元能够通过无线通道成功关联到主控网元，主控网元会自动将自身的配置数据下发到受控网元，无需基于有线通道；并且可实现主控网元对受控网元的分层配置，集中展示与管理，有效减少了管理报文，并且加速了网络配置。
【权利要求】
1.一种无线接入网元的控制方法，所述控制方法基于至少一个主控网元和至少一个受控网元形成的网络，其特征在于:所述方法中受控网元执行以下步骤: 建立与所述主控网元之间的无线通道； 启动DHCP客户端，向所述主控网元请求管理IP ； 在获取来自所述主控网元的管理IP后，启动对所述主控网元的身份认证； 接收来自所述主控网元的配置数据，配置本地业务参数。
2.根据权利要求1所述的无线接入网元的控制方法，其特征在于:还包括以下步骤: 将本地运行状态信息上报至所述主控网元；或者 将心跳信息定期上报至所述主控网元；或者 执行与所述主控网元的远程操作指令相对应的动作。
3.一种无线接入网元的控制方法，所述控制方法基于至少一个主控网元和至少一个受控网元形成的网络，其特征在于:所述方法中主控网元执行以下步骤: 建立与所述受控网元之间的无线通道； 接收所述受控网元的DHCP请求，为其分配管理IP ； 响应所述受控网元发起的身份认证，并启动对所述受控网元的身份认证； 在认证所述受控网元的身份合法后，将本地配置数据下发至所述受控网元。
4.根据权利要求3所述的无线接入网元的控制方法，其特征在于:还包括以下步骤: 接收并处理来自所述受控网元的运行状态信息；或者 接收并处理来自所述受控网元的心跳信息；或者 对所述受控网元进行远程操作。
5.根据权利要求1或3所述的无线接入网元的控制方法，其特征在于:所述受控网元与所述主控网元之间建立无线通道包括以下步骤: 在所述主控网元上，配置所述受控网元的通信参数； 在所述受控网元上，配置所述主控网元的通信参数； 在所述受控网元上，配置所述主控网元的无线参数，并关联到所述主控网元。
6.根据权利要求1或3所述的无线接入网元的控制方法，其特征在于:所述受控网元与所述主控网元之间建立无线通道包括以下步骤: 启动所述受控网元中的背景扫描； 判断是否扫描到与预设条件相符的主控网元； 当扫描到与预设条件相符的主控网元时，判断是否存在多个符合预设条件的主控网元; 当未扫描到与预设条件相符的主控网元时，启动所述受控网元中的主动扫描； 判断是否存在多个符合预设条件的主控网元； 当存在多个符合预设条件的主控网元时，计算各主控网元的加权值，确定目标主控网元，之后调整所述受控网元的工作信道，并关联到目标主控网元；以及 当只存在一个符合预设条件的主控网元时，调整所述受控网元的工作信道，直接关联到所述目标主控网元。
7.根据权利要求1或3所述的无线接入网元的控制方法，其特征在于:所述受控网元与所述主控网元之间的身份认证流程中将首先发送消息的一端作为消息发送端，另外一端便为消息接收端，该身份认证流程包括以下步骤: 在消息发送端，利用随机数据填充128字节缓存区，形成原始消息； 对所述原始消息采用第一加密算法进行加密处理； 对所述加密处理后的消息采用第一签字算法进行签字处理，之后发送至消息接收端； 接收来自消息发送端的消息，并对所述消息进行解签处理； 当解签成功时，对所述解签后的消息进行解密处理； 再次对所述解签解密处理后的消息采用第二加密算法进行加密处理； 对所述再次加密处理后的消息采用第二签字算法进行签字处理，之后发送至消息发送端; 接收来自消息接收端的消息，对所述消息进行解签处理； 当解签成功时，对所述解签后的消息进行解密处理； 比较所述解密后的消息与原始消息的一致性。
8.根据权利要求1或3所述的无线接入网元的控制方法，其特征在于:所述控制方法基于至少一个主控网元，至 少一个受控网元和至少一个更低级受控网元形成的网络，所述方法中更低级受控网元执行以下步骤: 建立与所述受控网元之间的无线通道； 启动DHCP客户端，向所述主控网元请求管理IP ； 在获取管理IP后，启动对所述受控网元的身份认证； 接收来自所述受控网元的配置数据，配置本地业务参数。
9.根据权利要求4所述的无线接入网元的控制方法，其特征在于:所述远程操作包括负载均衡操作，其包括以下步骤: 接收并处理来自所述受控网元的用户关联请求信息； 检测所述主控网元的负载均衡功能是否开启； 当所述负载均衡功能开启时，检测所述负载均衡功能是否基于用户数； 当所述负载均衡功能基于用户数时，计算所述受控网元所在负载均衡组内的用户负载调整标志，之后检测所述负载调整标志是否置位； 当所述负载均衡功能不是基于用户数时，检测所述负载均衡功能是否基于流量； 当所述负载均衡功能基于流量时，计算所述受控网元所在负载均衡组内的流量负载调整标志； 检测所述负载调整标志是否置位； 当所述负载调整标志置位时，通知所述受控网元拒绝所述用户接入； 在所述用户等待时间超过预设时间后，通知所述受控网元允许所述用户接入。
10.一种无线接入网元的控制系统，所述控制系统基于至少一个主控网元和至少一个受控网元形成的网络，其特征在于:所述系统中受控网元包括以下装置: 建立与所述主控网元之间的无线通道的装置； 启动DHCP客户端，向所述主控网元请求管理IP的装置； 在获取来自所述主控网元的管理IP后，启动对所述主控网元的身份认证的装置； 接收来自所述主控网元的配置数据，配置本地业务参数的装置。
11.一种无线接入网元的控制系统，所述控制系统基于至少一个主控网元和至少一个受控网元形成的网络，其特征在于:所述系统中主控网元包括以下装置: 建立与所述受控网元之间的无线通道的装置； 接收所述受控网元的DHCP请求，为其分配管理IP的装置； 响应所述受控网元发起的身份认证，并启动对所述受控网元的身份认证的装置； 在认证所述受控网元的身份合法后，将本地配置数据下发至所述受控网元的装置。
12.根据权利要求10或11所述的无线接入网元的控制系统，其特征在于:所述控制系统基于至少一个主控网元，至少一个受控网元和至少一个更低级受控网元形成的网络，所述系统中更低级受控网元包括以下装置: 建立与所述受控网元之间的无线通道的装置； 启动DHCP客户端，向所述主控网元请求管理IP的装置； 在获取管理IP后，启动对所述受控网元的身份认证的装置； 接收来自所述受控网元的配置数据，配置本地业务参数的装置。
【文档编号】H04L29/12GK103888947SQ201410109910
【公开日】2014年6月25日 申请日期:2014年3月21日 优先权日:2014年3月21日
【发明者】伍立华, 林昊, 胡峰 申请人:深圳市中天信通讯技术有限公司