本发明公开了一种支持终端混合接入的信息广播方法及其装置和系统,该方法包括:在网络接入点实体上配置与终端的不同安全能力对应的不同安全接入机制以及与所述安全接入机制对应的安全机制标识;当所述网络接入点实体向终端发送广播消息时,分别根据不同的安全接入机制发送不同的广播消息,所述不同的广播消息中携带与所述不同的安全接入机制对应的安全机制标识。采用本发明,可通过一个网络接入点支持不同安全能力的终端混合接入网络,从而减少了网络投资和运营维护成本。
1.一种支持终端混合接入的信息广播方法,其特征在于,包括:
在网络接入点实体上分别对应终端的不同安全能力配置不同的虚拟网络接入点实体,并为所述虚拟网络接入点实体配置对应的安全接入机制以及地址标识,所述地址标识为与所述安全接入机制对应的安全机制标识;
当所述网络接入点实体向终端发送广播消息时,分别根据不同的安全接入机制发送不同的广播消息,所述不同的广播消息中携带与所述不同的安全接入机制对应的安全机制标识。
2.如权利要求1所述的方法,其特征在于,所述安全机制标识由所述网络接入点实体的唯一标识映射得到;
当所述网络接入点实体根据终端发起的接入请求中携带的安全机制标识映射得到与自身的所述唯一标识相匹配的标识时接收所述接入请求。
3.如权利要求2所述的方法,其特征在于,所述安全机制标识由所述网络接入点实体的唯一标识映射得到,具体为:采用可逆的算法由所述网络接入点实体的物理地址衍生得到所述安全机制标识。
4.如权利要求1所述的方法,其特征在于,当所述网络接入点实体发送广播消息时,不同的虚拟接入点实体发送不同的广播消息,其中携带与相应虚拟接入点实体对应的安全机制标识。
5.如权利要求4所述的方法,其特征在于,不同的虚拟接入点实体发送不同的广播消息,具体为:不同的虚拟接入点实体分别通过不同的时隙或频率发送不同的广播消息。
6.如权利要求1所述的方法,其特征在于,所述网络接入点实体发送所述广播消息后还包括步骤:终端接收所述广播消息并进行解析,并根据正确解析出的广播消息发起接入请求,其中携带安全机制标识;
所述网络接入点实体接收终端发起的接入请求,并根据其中携带的安全机制标识采用相应的安全机制进行处理。
7.如权利要求6所述的方法,其特征在于,当终端接收并正确解析出多个广播消息时,还包括步骤:从所述多个广播消息分别携带的安全机制标识所对应的安全接入机制中进行选择,并采用选择出的安全接入机制发起接入请求;或者,显示多个广播消息分别携带的安全机制标识所对应的安全接入机制信息供用户选择,并根据用户的选择发起接入请求。
所述网络接入点实体存储已接入网络的终端的标识和该终端的安全接入机制信息;
当所述已接入网络的终端向所述网络接入点实体发送数据时,所述网络接入点实体在所述用户终端的数据中添加与所述终端的安全接入机制信息对应的标识信息,所述标识信息用于标识所述终端所属的虚拟局域网络。
9.一种支持终端混合接入的网络接入点装置,其特征在于,包括:
配置模块,用于在网络接入点装置上分别对应终端的不同安全能力配置不同的虚拟网络接入点实体,并为所述虚拟网络接入点实体配置对应的安全接入机制以及地址标识,所述地址标识为与所述安全接入机制对应的安全机制标识;还用于根据所述不同的安全机制生成不同的广播消息,其中携带与所述不同的安全机制对应的安全机制标识;
10.如权利要求9所述的网络接入点装置,其特征在于,所述配置模块包括配置子模块和至少2个虚拟网络接入点装置,其中配置子模块,用于在所述网络接入点装置上分别对应终端的不同安全能力配置不同的虚拟网络接入点装置,并为所述虚拟网络接入点装置配置对应的安全接入机制及地址标识,所述地址标识为与所述安全接入机制对应的所述安全机制标识;
虚拟接入点装置,用于生成与该虚拟接入点装置的安全接入机制对应的广播消息,其中携带该虚拟接入点装置的安全机制标识;还用于采用该虚拟接入点装置对应的安全接入机制对终端的接入请求进行处理。
11.如权利要求10所述的网络接入点装置,其特征在于,所述虚拟接入点装置包括:广播消息处理单元,用于生成所述广播消息,其中携带该虚拟接入点装置的安全机制标识;
接入请求处理单元,用于采用该虚拟接入点装置对应的安全接入机制对接收到的接入请求进行处理,所述接入请求中携带的安全机制标识与该虚拟接入点装置的安全机制标识一致。
12.如权利要求10所述的网络接入点装置,其特征在于,所述安全机制标识由所述网络接入点装置的唯一标识映射得到;
所述通信接口模块还用于在根据终端发送的接入请求中携带的安全机制标识映射得到与自身的所述唯一标识相匹配的标识时接收所述接入请求,并发送到与所述安全机制标识对应的虚拟接入点装置进行处理。
13.如权利要求9所述的网络接入点装置,其特征在于,所述通信接口模块为时分复用模块或频分复用模块;
所述时分复用模块,用于通过不同的时隙分别发送所述与终端的安全能力相对应的广播消息;
所述频分复用模块,用于通过不同的频率分别发送所述与终端的安全能力相对应的广播消息。
广播消息接收模块,用于接收并解析网络接入点装置发送的广播消息,所述广播消息中携带与所述终端的安全能力相应的安全机制标识;
接入请求发起模块,用于发起接入请求,所述接入请求中携带与所述终端的安全能力相应的安全机制标识。
15.如权利要求14所述的终端,其特征在于,所述安全机制标识由所述网络接入点装置的唯一标识映射得到,具体为:采用可逆的算法由所述网络接入点装置的物理地址衍生得到所述安全机制标识。
16.如权利要求14所述的终端,其特征在于,还包括:
选择模块,用于根据所述安全机制选择策略,从接收并正确解析出的多个广播消息分别携带的安全机制标识所对应的安全接入机制中进行选择,并采用选择出的安全接入机制通过所述接入请求发起模块发起接入请求。
17.如权利要求14所述的终端,其特征在于,还包括:
显示模块,用于显示接收并正确解析出的多个广播消息分别携带的安全机制标识所对应的安全接入机制信息供用户选择;
选择模块,用于接收用户所选择的安全接入机制,并采用该安全接入机制通过所述接入请求发起模块发起接入请求。
18.一种支持终端混合接入的通信系统,其特征在于,包括网络接入点装置和终端;
所述网络接入点装置,用于分别对应终端的不同安全能力配置不同的虚拟网络接入点实体,并为所述虚拟网络接入点实体配置对应的安全接入机制以及地址标识,所述地址标识为与所述安全接入机制对应的安全机制标识,并分别根据不同的安全接入机制发送不同的广播消息,所述不同的广播消息中携带与所述不同的安全接入机制对应的安全机制标识;
所述终端,用于接收并解析所述广播消息并根据正确解析出的广播消息发起接入请求,所述接入请求中携带与所述终端的安全能力相应的安全机制标识。
19.如权利要求18所述的通信系统,其特征在于,所述安全机制标识由所述网络接入点装置的唯一标识映射得到;
所述网络接入点装置还用于在根据所述接入请求中携带的安全机制标识映射得到与自身的所述唯一标识相匹配的标识时接收所述接入请求,并采用与所述安全机制标识对应的安全接入机制对所述接入请求进行处理。
20.如权利要求18所述的通信系统,其特征在于,所述终端还用于当接收并正确解析出多个广播消息时,从所述多个广播消息分别携带的安全机制标识所对应的安全接入机制中进行选择,并采用选择出的安全接入机制发起接入请求;或者,显示多个广播消息分别携带的安全机制标识所对应的安全接入机制信息供用户选择,并根据用户的选择发起接入请求。
支持终端混合接入的信息广播方法及其装置和系统
技术领域
[0001] 本发明涉及无线通信领域,尤其涉及支持终端混合接入的信息广播方法及其装置和系统。
背景技术
[0002] 在WLAN(Wireless Local Area Network,无线局域网)网络中,不同安全能力终端都需要接入WLAN网络。不同安全能力的终端在网络接入时所采用的安全机制是不同的。例如,对于能够支持安全认证机制的终端,则需采用相应的安全机制对该终端进行接入,对于不能够支持安全认证机制的终端,则需采用开放机制对该终端进行接入。通常情况下,对于终端的接入控制由接入点(Access Point,AP)实体实现,AP的身份由SSID(Service Set Identifier,服务集标识)来标识,SSID是无线设备连接到WLAN网络时的服务号码。 [0003] 目前,为了解决不同安全能力的终端能够混合接入WLAN网络所采用的技术方案是:架设多个AP,不同AP启用不同的安全接入机制,每个AP针对支持某种安全接入机制的终端进行接入控制和处理。当网络侧寻呼支持不同安全能力的终端时,与终端的安全能力相对应的AP发送广播消息,其中携带与该AP对应的SSID。当终端接收到广播消息后,采用该终端支持的安全能力,根据广播消息中的SSID向对应的AP发起接入请求,相应的AP接收到终端的请求后,采用该AP支持的安全接入机制对终端的接入请求进行处理。 [0004] 现有技术的这种使用不同的SSID提供多种安全接入机制,采用不同的AP实现支持不同安全能力的终端混合接入的方案,其缺点在于,如果在一个区域内既有安全用户又有开放式的用户,采用现有技术方案就需要架设至少2个AP,一个针对安全用户启用安全认证机制,另一个针对开放式用户启用开放机制,以实现将不同安全能力的终端同时接入网络。可以看出,采用这种技术方案,需要架设多个AP,增加了网络投资和运营维护成本。
发明内容
[0005] 本发明实施例揭示了一种支持终端混合接入的信息广播方法及其装置和系统,以实现通过一个网络接入点实体对不同安全能力的终端实现混合接入。
[0006] 本发明实施例揭示的支持终端混合接入的信息广播方法,包括以下步骤: [0007] 在网络接入点实体上分别对应终端的不同安全能力配置不同的虚拟网络接入点实体,并为所述虚拟网络接入点实体配置对应的安全接入机制以及地址标识,所述地址标识为与所述安全接入机制对应的安全机制标识;
[0008] 当所述网络接入点实体向终端发送广播消息时,分别根据不同的安全接入机制发送不同的广播消息,所述不同的广播消息中携带与所述不同的安全接入机制对应的安全机制标识。
[0009] 本发明实施例揭示的网络接入点装置,包括:
[0010] 配置模块,用于在网络接入点装置上分别对应终端的不同安全能力配置不同的虚拟网络接入点实体,并为所述虚拟网络接入点实体配置对应的安全接入机制以及地址标识,所述地址标识为与所述安全接入机制对应的安全机制标识;还用于根据所述不同的安全机制生成不同的广播消息,其中携带与所述不同的安全机制对应的安全机制标识; [0011] 通信接口模块,用于分别发送生成的多个广播消息。
[0012] 本发明实施例揭示的终端,包括:
[0013] 广播消息接收模块,用于接收并解析网络接入点装置发送的广播消息,所述广播消息中携带与所述终端的安全能力相应的安全机制标识;
[0014] 接入请求发起模块,用于发起接入请求,所述接入请求中携带与所述终端的安全能力相应的安全机制标识。
[0015] 本发明实施例揭示的支持终端混合接入的信息广播系统,包括网络接入点装置和终端,其中
[0016] 所述网络接入点装置,用于分别对应终端的不同安全能力配置不同的虚拟网络接入点实体,并为所述虚拟网络接入点实体配置对应的安全接入机制以及地址标识,所述地址标识为与所述安全接入机制对应的安全机制标识,并分别根据不同的安全接入机制发送不同的广播消息,所述不同的广播消息中携带与所述不同的安全接入机制对应的安全机制标识;
[0017] 所述终端,用于接收并解析所述广播消息并根据正确解析出的广播消息发起接入请求,所述接入请求中携带与所述终端的安全能力相应的安全机制标识。 [0018] 本发明的上述实施例,通过在网络接入点实体上针对多种安全能力的终端配置多种安全机制以及对应的安全机制标识,当该网络接入点实体发送广播消息时,可针对配置的不同安全接入机制发送相应的广播消息,其中携带相应的安全机制标识,从而实现了通过一个网络接入点实体对不同安全能力的终端进行广播,进而可实现不同安全能力的终端通过一个网络接入点实体接入网络,减少了网络投资和运营维护成本。 [0019] 附图说明
[0020] 图1为本发明实施例中支持不同安全能力的终端混合接入的信息广播流程示意图;
[0021] 图2为本发明实施例中网络接入点实体的物理层实现示意图;
[0022] 图3为本发明实施例中将不同安全能力的终端混合接入的流程示意图; [0023] 图4为本发明实施例中终端根据预设的安全策略发起接入请求的示意图; [0024] 图5为本发明实施例中对网络接入点实体上的用户进行分类的示意图; [0025] 图6为本发明实施例的网络接入点装置的结构示意图;
[0026] 图7为本发明实施例的终端的结构示意图之一;
[0027] 图8为本发明实施例的终端的结构示意图之二。
[0028] 具体实施方式
[0029] 本发明的实施例通过在网络接入点实体上配置与不同安全能力的终端对应的安全接入机制以及与安全接入机制对应的安全机制标识,并且当网络接入点实体向终端发送广播消息时分别根据不同的安全接入机制发送携带不同安全机制标识的广播消息,使不同安全能力的终端能够根据接收并正确解析出的广播消息发起与该终端的安全能力相应的接入请求,实现了通过一个网络接入点实体对不同安全能力的终端进行混合接入。 [0030] 下面结合附图对本发明的实施例进行详细描述。
[0031] 本发明实施例中,在某个区域内,针对WLAN网络架设一个物理网络接入点实体(AP),该物理AP由物理地址,即MAC(Media Access Control,媒体接入控制)地址,唯一标识。在该物理AP上针对终端的安全能力配置至少2种安全接入机制,以及与配置的安全接入机制对应的安全机制标识。安全机制标识由物理AP的唯一标识映射得到,在具体实现中,可采用可逆的掩码技术,由该物理AP的MAC地址衍生出多个不同的BSSID(Basic Service SetIdentifier,基本服务集标识)作为安全机制标识。衍生出的多个BSSID通过相应的可逆运算可唯一得到物理AP的MAC地址,因此衍生出的BSSID可唯一标识物理AP。 [0032] 在物理AP上对应每个BSSID创建虚拟AP,将BSSID作为相应虚拟AP的地址,并为每个虚拟AP赋予不同的安全策略,包括广播消息发送策略和接入请求处理策略,使每个虚拟AP可以针对不同安全能力的终端进行接入处理。
[0033] 当网络侧需要向不同安全能力的终端发送广播消息时,物理AP分别通过相应的虚拟AP发送广播消息,每个虚拟AP发送的广播消息中携带与该虚拟AP对应的BSSID。 [0034] 上述实现过程可如图1所示。图1中,在一个物理AP上采用可逆的掩码技术,由该物理AP的MAC地址衍生出3个地址(MAC 1、MAC 2和MAC 3)作为安全机制标识。在该物理AP上配置3个虚拟AP(VAP1、VAP2和VAP3),其中,VAP1上配置有安全策略1,用于实现安全机制1(如WAPI+SMS4,即采用WAPI(WLAN Authentication and Privacy Infrastructure,无线局域网鉴 别与保密基础结构)证书认证及SMS4的加密机制),由MAC 1作为VAP1的MAC地址;VAP2上配置有安全策略2,用于实现安全机制2(如OPEN,即开放机制),由MAC2作为VAP1的MAC地址;VAP3上配置有安全策略3,用于实现安全机制3(如WPA2+AES,即WPA2认证及AES加密机制),由MAC 3作为VAP1的MAC地址。当AP向不同安全能力的终端发送广播消息时,VAP1、VAP2和VAP3分别发送广播消息,其中,VAP1发送的广播消息中携带MAC 1以及其它信息(如SSID);VAP2发送的广播消息中携带MAC 2以及其它信息(如SSID);VAP3发送的广播消息中携带MAC 3以及其它信息(如SSID)。对于时分复用系统,AP采用时分复用机制发送广播消息,即不同的虚拟AP在不同的时隙发送广播消息,如图1所示,物理AP将100ms划分为16个时隙,根据掩码为VAP1分配时隙1,为VAP2分配时隙
2,为VAP3分配时隙3;对于频分复用系统,AP采用频分复用机制发送广播消息,即不同的虚拟AP在不同的频率上同时发送广播消息。
[0035] 物理AP通过发送Beacon帧进行广播信息的发送,通常情况下Beacon帧中具有BSSID字段,在上述过程中,将由MAC地址衍生出的MAC 1、MAC 2和MAC 3作为Beacon帧的BSSID字段值,用以标识物理AP以及所相应的安全接入机制。
[0036] 图1所示的实现过程可通过改进物理AP的物理层实现,实现方式可如图2所示。通常情况下,物理AP的网卡驱动分为2层:硬件描述层(即HAL层)和802.11管理层。其中,HAL层是对网卡硬件的抽象,主要定义与硬件有关的参数,802.11管理层主要用于处理
802.11协议。
[0037] 本发明实施例中,通过物理AP的MAC地址衍生出3个地址作为BSSID,如图2所示,在802.11管理层上定义3个虚拟AP对象(VAP1、VAP2和VAP3),每个虚拟AP对象有自己的MAC地址(由BSSID标识)、安全策略(包括安全规则和Beacon帧广播规则),还可包括终端表,该终端表用来保存连接到该AP上的终端用户信息,每个虚拟AP对象对于网络层是独立的网络设备,有独 立的数据收发通道。可以有出,由于通过AP的MAC地址衍生出虚拟AP对象的MAC地址,因此在物理AP的网卡上只需存储一个MAC地址,减少了存储空间,同时便于修改物理网卡的地址。
[0038] 针对图2所示的架构,实现将不同安全能力的终端混合接入的过程可如图3所示,其中,终端1支持WAPI+SMS4安全机制,终端2支持OPEN安全机制,终端3支持WPA2+AES安全机制,当网络侧需要向不同安全能力的终端发送广播消息时,VAP1、VAP2和VAP3分别根据各自的Beacon帧广播规则,在不同的时隙(在时分复用系统中)或不同的频率(在频分复用系统中)通过MAC+射频层发送各自的Beacon帧,其中,VAP1发送的Beacon帧中携带BSSID1等信息,VAP2发送的Beacon帧中携带BSSID2等信息,VAP3发送的Beacon帧中携带BSSID3等信息。
[0039] 终端1、终端2和终端3可按照常规流程接收Beacon帧并进行解析,并根据正确解析出的Beacon帧发起接入请求。通常情况下,终端1、终端2和终端3可接收所有的Beacon帧,如果能够正确解析该Beacon帧,则根据该终端的安全能力发起接入请求,其中携带从Beacon帧中解析得到的BSSID。
[0040] 物理AP根据生成BSSID时所采用的算法的逆运算,从接入请求中携带的BSSID计算得到MAC地址,如果计算得到的MAC地址与自身的MAC地址匹配,则接收该接入请求。由于BSSID1、BSSID2和BSSID3都是根据一个物理AP的MAC地址衍生得到的,因此该物理AP可以接收到携带这些BSSID的接入请求。物理AP接收到接入请求后,根据其中的BSSID将接入请求发送到对应的虚拟AP中进行处理。在图3中,终端1、终端2和终端3的接入请求被分别发送到VAP1、VAP2和VAP3中进行处理。各终端与相应的VAP完成安全认证并协商出加密密钥后,AP将密钥和终端的安全策略写入AP MAC的存储单元中,并与该终端的MAC相对应。当终端的加密数据通过AP时,AP通过数据头中的终端的MAC地址,在AP MAC存储单元中查找密钥和安全策略,并通过不同的安全策略调用不同的算法(如调用算法存储单元中的算 法SMS4或AES)对数据进行解密,并将数据交给802.11管理层中相应的VAP进行处理。AP发送数据时的加密过程与接收数据的解密过程相同。如果AP在收到数据时,查找到的对应密钥为空,则不对数据进行解密处理,而是直接交给802.11管理层中安全机制为OPEN的VAP(如图3中的VAP2)进行处理。
[0041] AP发送广播消息后,终端可按照现有的方式接收、解析该广播消息,并发起接入请求。当终端的安全能力可支持多种接入机制时,该终端可正确解析出多个携带不同安全机制标识的广播消息,针对这种情况,本发明实施例对终端进行改进以提高其接入的灵活性。 [0042] 本发明实施例中,针对上述情况,终端可采用以下方式发起接入请求: [0043] 方式一:在终端上预先设置安全策略,该选择策略定义了在终端接收到多个不同的广播消息(携带不同BSSID的Beacon帧)时,选择哪种安全接入机制发起接入请求。本发明实施例中,可通过在终端侧设置profile的形式设置安全策略。当终端接收到多个不同的广播消息时,根据预设的安全策略选择采用的安全接入机制发起接入请求。图4给出了一种根据安全策略发起接入请求的实现方式。
[0044] 图4中,终端接收到携带不同BSSID的Beacon帧(Beacon1、Beacon2和Beacon3)后,与本地预设的安全策略进行比对,并根据比对结果选择对应的安全接入机制发起接入请求。例如,当终端上预设的安全策略为根据接收并正确解析出的第一个Beacon帧发起接入请求时,则终端接收并正确解析出第一个Beacon帧后,通过查询本地安全策略关联到与Beacon帧中的BSSID对应的安全接入机制,并采用该机制发起接入请求;当终端上预设的安全策略是根据安全接入机制的优先级进行选择时,则终端根据接收并正确解析出的Beacon帧中的BSSID所对应的安全接入机制,查询本地预设的安全策略获取各安全接入机制的优先级,并从中选择出最高优先级的安全接入机制发起接入请求。 [0045] 方式二:在方式一的基础上,终端将接收到的广播消息所对应的所有安全接入机制信息显示给用户,由用户选择合适的安全接入机制,终端采用用户选 择的安全接入机制发起接入请求。
[0046] 本发明实施例中,还可基于上述实现不同安全能力终端混合接入的架构实现对AP上的用户进行分类,使不同类型的用户进入不同的VLAN(虚拟局域网络),实现对终端用户的灵活管理和控制。图5给出了一种对AP上的用户进行分类的实现方式。 [0047] 图5中,在AP上设置3个VAP(VAP1、VAP2和VAP3),通过3个BSSID(BSSID1、BSSID2和BSSID3)分别标识3个虚拟局域网(VLAN1、VLAN2和VLAN3),从而针对3个BSSID划分了3个不同的VLAN。将经过VAP1处理的数据打上BSSID1的标签;将经过VAP2处理的数据打上BSSID2的标签,将经过VAP3处理的数据打上BSSID3的标签,从而使接入VAP1的终端归属于VLAN1,使接入VAP2的终端归属于VLAN2,使接入VAP3的终端归属于VLAN3。上述实现方式中,由BSSID标识划分的VLAN,将经过各VAP的数据打上相应的BSSID的标签,从而使接入不同VAP的终端归属于不同的VLAN。此外,还可以由SSID标识划分的VLAN,将经过各VAP的数据打上相应的SSID的标签,从而将接入不同VAP的终端归属于不同的VLAN。 [0048] 本发明实施例还提供了一种支持不同安全能力的终端混合接入的网络接入点装置、一种终端以及一种支持不同安全能力的终端混合接入的通信系统。 [0049] 参见图6,为本发明实施例提供的支持终端混合接入的网络接入点装置,该网络接入点装置包括配置模块和通信接口模块,其中,
[0050] 配置模块,用于在网络接入点装置上配置与终端的不同安全能力对应的不同安全接入机制以及与安全接入机制对应的安全机制标识,还用于根据这些不同的安全机制生成不同的广播消息,其中携带与相应的安全机制对应的安全机制标识。该配置模块可位于网络接入点装置的无线网卡驱动程序层;
[0051] 通信接口模块,用于分别发送配置模块生成的广播消息,还可用于接收终端发起的接入请求。该通信接口模块可位于网络接入点装置的MAC及射频(MAC+射频)层。 [0052] 上述网络接入点装置的配置模块包括配置子模块和至少2个虚拟网络接入点装置,其中:
[0053] 配置子模块用于在网络接入点装置上分别对应终端的不同安全能力配置不同的虚拟网络接入点装置,并为各虚拟网络接入点装置配置对应的安全接入机制及地址标识,即,每个虚拟接入点装置都有自己的地址标识和安全策略,其中,安全策略包括安全规则和Beacon帧广播规则,地址标识为与安全接入机制对应的安全机制标识。安全机制标识可由网络接入点装置的唯一标识(如MAC地址)映射得到,具体为:采用可逆的算法由网络接入点装置的MAC地址衍生得到BSSID作为安全机制标识。虚拟接入点装置用于生成与该虚拟接入点装置的安全接入机制对应的广播消息,其中携带该虚拟接入点装置的安全接入标识,还用于采用该虚拟接入点装置对应的安全接入机制对终端的接入请求进行处理。 [0054] 上述虚拟接入点装置包括广播消息处理单元和接入请求处理单元,其中: [0055] 广播消息处理单元用于生成与虚拟接入点装置的安全接入机制对应的广播消息,其中携带该虚拟接入点装置的安全机制标识,并将该广播消息通过通信接口模块发送;接入请求处理单元用于接收终端发送的接入请求,该接入请求中携带的安全机制标识与发送该广播消息的虚拟接入点装置的安全机制标识一致,并采用该虚拟接入点装置对应的安全接入机制进行处理。
[0056] 上述通信接口模块为时分复用模块或频分复用模块。时分复用模块用于通过不同的时隙分别发送与终端的安全能力相对应的广播消息;频分复用模块用于通过不同的频率分别发送与终端的安全能力相对应的广播消息。
[0057] 通信接口模块在接收接入请求时,若根据终端发送的接入请求中携带的安全机制标识映射得到与自身的唯一标识(MAC地址)相匹配的标识时接收该接入请求,并发送到与该安全机制标识对应的虚拟接入点装置进行处理。
[0058] 参见图7和图8,分别为本发明实施例提供的终端结构示意图,该终端包括广播消息接收模块和接入请求发起模块,其中:
[0059] 广播消息接收模块,用于接收并解析网络接入点装置发送的广播消息,其中携带与该终端的安全能力相应的安全机制标识;
[0060] 接入请求发起模块,用于发起接入请求,其中携带与该终端的安全能力相应的安全机制标识。该安全机制标识由网络接入点装置的唯一标识映射得到,具体为:采用可逆的算法由所述网络接入点装置的物理地址(MAC地址)衍生得到所述安全机制标识。 [0061] 当终端的安全能力支持多种安全接入机制时,即能够正确解析出携带不同安全机制标识的广播消息,则该终端接收并正确解析出多个广播消息后,可从多个广播消息分别携带的安全机制标识所对应的安全接入机制中进行选择,并采用选择出的安全接入机制发起接入请求;或者,可显示对应的安全接入机制信息供用户选择,并根据用户的选择发起接入请求。
[0062] 当终端从多个安全机制标识所对应的安全接入机制中进行选择时,该终端还可包括配置模块和选择模块,如图7所示,其中:
[0063] 配置模块用于配置安全机制选择策略;选择模块用于根据安全机制选择策略从接收并正确解析出的多个广播消息分别携带的安全机制标识所对应的安全接入机制中进行选择,并采用选择出的安全接入机制通过接入请求发起模块发起接入请求。 [0064] 当终端根据用户的选择发起接入请求时,该终端还可包括显示模块和选择模块,如图8所示,其中:
[0065] 显示模块用于显示接收并正确解析出的多个广播消息分别携带的安全机制标识所对应的安全接入机制信息供用户选择;选择模块用于接收用户所选择的安全接入机制,并采用该安全接入机制通过所述接入请求发起模块发起接入请求。
[0066] 本发明实施例提供的支持终端混合接入的通信系统,包括网络接入点装置和终端,网络接入点装置的结构可如图6所示,终端的结构可如图7或图8所示,其中: [0067] 网络接入点装置,用于配置与终端的不同安全能力对应的不同安全接入机制以及与安全接入机制对应的安全机制标识,并分别根据不同的安全接入机制发送不同的广播消息,这些广播消息中分别携带与上述配置的安全接入机制对应安全机制标识,上述安全机制标识由网络接入点装置的唯一标识映射得到。网络接入点装置还用于在根据接入请求中携带的安全机制标识映射得到与自身的所述唯一标识相匹配的标识时接收所述接入请求,并采用与所述安全机制标识对应的安全接入机制对所述接入请求进行处理。 [0068] 终端,用于接收并解析广播消息,并根据正确解析出的广播消息发起接入请求,其中携带与该终端的安全能力相应的安全机制标识。当终端接收并正确解析出多个携带不同安全机制标识的广播消息时,从这些广播消息分别携带的安全机制标识所对应的安全接入机制中进行选择,并采用选择出的安全接入机制发起接入请求;或者,显示这些广播消息分别携带的安全机制标识所对应的安全接入机制信息供用户选择,并根据用户的选择发起接入请求。
[0069] 综上所述,本发明的上述实施例通过在物理AP上针对不同安全能力的终端配置多个虚拟AP,不同的虚拟AP上配置不同的安全机制及MAC地址,并由不同的虚拟AP广播Beacon帧,其中携带该虚拟AP的MAC地址(由BSSID标识),使不同安全能力的终端接收并解析出相应的Beacon帧时,可根据该Beacon帧发起接入请求,其中携带相应虚拟AP的MAC地址,使相应的虚拟AP能够获得该接入请求并采用相应的安全机制进行处理,从而实现了利用一个物理AP对多种安全能力的终端进行混合接入,减少了网络投资以及运营维护成本。
[0070] 显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
