无线网络安全接入方法、系统及无线控制器转让专利
申请号 : CN201010571646.7
文献号 : CN102014391B
文献日 : 2013-05-29
发明人 : 吴梦非 , 杨红飞 , 茅新民
申请人 : 北京星网锐捷网络技术有限公司
摘要 :
本发明提供一种无线网络安全接入方法、系统及无线控制器,方法包括:无线控制器根据接收到的封装报文中的无线局域网标识和无线客户端的信息,确定无线客户端发生了无线控制器间漫游,封装报文是由无线接入点根据所述无线客户端发出的报文生成的;无线控制器向其他无线控制器发送探测报文,以获取漫出无线控制器,探测报文包括无线客户端的信息;无线控制器将封装报文发送给获取的漫出无线控制器,以供漫出无线控制器对无线客户端进行接入时的安全控制。采用本发明技术方案,可以解决发生AC间漫游时存在的无线客户端的访问策略发生变化的问题,保证漫游前后采用相同的访问策略对无线客户端进行访问控制。
权利要求 :
1.一种无线网络安全接入方法,其特征在于,包括:无线控制器根据接收到的封装报文中的无线局域网标识和无线客户端的信息,确定所述无线客户端发生了无线控制器间漫游,所述封装报文是由无线接入点根据所述无线客户端发出的报文生成的;
所述无线控制器向其他无线控制器发送探测报文,以获取漫出无线控制器,所述探测报文包括所述无线客户端的信息;
所述无线控制器将所述封装报文发送给获取的所述漫出无线控制器,以供所述漫出无线控制器对所述无线客户端进行接入时的安全控制。
2.根据权利要求1所述的无线网络安全接入方法,其特征在于,无线控制器根据接收到的封装报文中的无线局域网标识和无线客户端的信息,确定所述无线客户端发生了无线控制器间漫游包括:所述无线控制器接收所述无线接入点发送的所述封装报文;
所述无线控制器解析所述封装报文,获取所述无线局域网标识和无线客户端的信息;
所述无线控制器根据所述无线局域网标识,将所述无线客户端的信息和所述无线控制器本地存储的客户端信息进行比较;
所述无线控制器在所述无线控制器本地存储的客户端信息中不存在所述无线客户端的信息时,确定所述无线客户端发生了无线控制器间漫游。
3.根据权利要求1或2所述的无线网络安全接入方法,其特征在于,所述无线控制器向其他无线控制器发送探测报文,以获取漫出无线控制器包括:所述无线控制器向所述其他无线控制器发送探测报文;
所述无线控制器接收所述其他无线控制器根据预先约定的规则发送的探测响应报文;
所述无线控制器根据所述探测响应报文,获取所述漫出无线控制器。
4.一种无线控制器,其特征在于,包括:
确定模块,用于根据接收到的封装报文中的无线局域网标识和无线客户端的信息,确定所述无线客户端发生了无线控制器间漫游,所述封装报文是由无线接入点根据所述无线客户端发出的报文生成的;
获取模块,用于向其他无线控制器发送探测报文,以获取漫出无线网络控制器,所述探测报文包括所述无线客户端的信息;
第一发送模块,用于将所述封装报文发送给获取的所述漫出无线控制器,以供所述漫出无线控制器对所述无线客户端进行接入时的安全控制。
5.根据权利要求4所述的无线控制器,其特征在于,所述确定模块包括:第一接收单元,用于接收所述无线接入点发送的所述封装报文;
第一获取单元,用于解析所述封装报文,获取所述无线局域网标识和无线客户端的信息;
比较单元,用于根据所述无线局域网标识,将所述无线客户端的信息和所述无线控制器本地存储的客户端信息进行比较;
确定单元,用于在所述比较单元比较得出所述无线控制器本地存储的客户端信息中不存在所述无线客户端的信息时,确定所述无线客户端发生了无线控制器间漫游。
6.根据权利要求4或5所述的无线控制器,其特征在于,所述获取模块包括:发送单元,用于向所述其他无线控制器发送探测报文;
第二接收单元,用于接收所述其他无线控制器根据预先约定的规则发送的探测响应报文;
第二获取单元,用于根据所述探测响应报文,获取所述漫出无线控制器。
7.根据权利要求4或5所述的无线控制器,其特征在于,还包括:接收模块,用于接收所述其他无线控制器发送的探测报文;
第二发送模块,用于根据预先约定的规则向所述其他无线控制器发送探测响应报文,以供所述其他无线控制器根据所述探测响应报文获取漫出无线 网络控制器。
8.一种包括权利要求4-7任一项所述的无线控制器的无线网络安全接入系统,其特征在于,还包括:无线接入点和无线客户端;
所述无线客户端,与所述无线接入点连接,用于向所述无线接入点发送报文;
所述无线接入点,与所述无线控制器连接,用于根据所述无线客户端发送的报文生成封装报文,并将所述封装报文发送给所述无线控制器。
9.根据权利要求8所述的无线网络安全接入系统,其特征在于,所述无线接入点包括:第三接收单元,用于接收所述无线客户端发送的报文;
封装单元,用于将所在无线局域网的无线局域网标识和所述报文进行封装,形成所述封装报文。
说明书 :
无线网络安全接入方法、系统及无线控制器
技术领域
[0001] 本发明涉及网络通信技术,尤其涉及一种无线网络安全接入方法、系统及无线控制器。
背景技术
[0002] 无线局域网(Wireless Local Area Networks;简称为:WLAN)是指应用无线通信技术将计算机设备互联起来,使客户端可以随时随地接入宽带网络实现信息共享的一种网络。其中,无线客户端(例如:支持WLAN接入功能的笔记本电脑、个人数码助理或无线网卡)通过无线接入点(Access Point;简称为:AP)接入无线局域网。AP是连接有线网和无线局域网的桥梁,其主要作用是将各个无线客户端连接到一起,然后将无线网络接入以太网。
[0003] 通常AP仅具有802.11物理层的功能,即只能进行无线射频信号的发送和接收,需要和一台无线控制器(Access Controller;简称为:AC)连接,由AC集中控制和管理以接入有线网络。其中,AC负责数据交换和路由选择,还进行用户认证、安全策略管理、射频信道选择和输出功率调整等。如图1所示,一种WLAN的网络拓扑包括AC1、AC2、AP1、AP2、PC1和PC2,其中PC1接入AP1,AP1通过有线网络与AC1连接;PC2接入AP2,AP2通过有线网络与AC2连接。无线客户端移动时通常会发生漫游,漫游是指无线客户端从原来关联的AP重关联到相同WLAN中另一个AP的过程,在这一过程中无线客户端的网际协议(Internet Protocol;简称为:IP)地址和其他无线客户端信息不改变,对于用户来说该漫游过程是透明的。而当无线客户端漫游前后所关联的AP分别连接不同的AC时,这种漫游称为AC间漫游。以图1所示网络结构为例,当PC1移动到由关联AP1变为关联AP2时,由于AP1和AP2分别连接AC1和AC2,此时即称PC1发生了AC间漫游。其中,PC1漫游前所关联的AP1所连接的AC1为漫出AC,PC1漫游后所关联的AP2所连接的AC2为漫入AC。
[0004] 当发生AC间漫游后,为了保证无线客户端访问有线网络时的安全性,通常漫出AC将其保存的与发生漫游的无线客户端相关的访问策略同步到漫入AC,在漫入AC上进行无线客户端的访问控制。但是,当漫入AC上和漫出AC上的访问策略不同时将会使访问策略之间相互影响,无法保证无线客户端在漫游前后的访问范围。例如:假设漫入AC上的访问策略为允许访问2.2.2.2网段,而漫出AC上的访问策略为允许访问1.1.1.1网段,此时若将漫出AC上的访问策略迁移到漫入AC上,将改变漫入AC上的安全策略;若不将漫出AC上的访问策略迁移到漫入AC上,则无线客户端的访问范围将由原来的1.1.1.1网段变为2.2.2.2网段;对于WLAN来说并不期望出现上述任何一种问题,因此,需要一种访问控制机制以便在发生AC间漫游时更好的进行访问控制。
发明内容
[0005] 本发明提供一种无线网络安全接入方法、系统及无线控制器,用以解决发生AC间漫游时存在无线客户端的访问策略发生变化的问题,保证漫游前后采用相同的访问策略对无线客户端进行访问控制。
[0006] 本发明提供一种无线网络安全接入方法,包括:
[0007] 无线控制器根据接收到的封装报文中的无线局域网标识和无线客户端的信息,确定所述无线客户端发生了无线控制器间漫游,所述封装报文是由无线接入点根据所述无线客户端发出的报文生成的;
[0008] 所述无线控制器向其他无线控制器发送探测报文,以获取漫出无线控制器,所述探测报文包括所述无线客户端的信息;
[0009] 所述无线控制器将所述封装报文发送给获取的所述漫出无线控制器,以供所述漫出无线控制器对所述无线客户端进行接入时的安全控制。
[0010] 本发明提供一种无线控制器,包括:
[0011] 确定模块,用于根据接收到的封装报文中的无线局域网标识和无线客户端的信息,确定所述无线客户端发生了无线控制器间漫游,所述封装报文是由无线接入点根据所述无线客户端发出的报文生成的;
[0012] 获取模块,用于向其他无线控制器发送探测报文,以获取漫出无线网络控制器,所述探测报文包括所述客户端的信息;
[0013] 第一发送模块,用于将所述封装报文发送给获取的所述漫出无线控制器,以供所述漫出无线控制器对所述无线客户端进行接入时的安全控制。
[0014] 本发明提供一种无线网络安全接入系统,包括本发明提供的任一无线控制器,还包括:无线接入点和无线客户端;
[0015] 所述无线客户端,与所述无线接入点连接,用于向所述无线接入点发送报文;
[0016] 所述无线接入点,与所述无线控制器连接,用于根据所述无线客户端发送的报文生成封装报文,并将所述封装报文发送给所述无线控制器。
[0017] 本发明提供的无线网络安全接入方法、系统及无线控制器,首先确定无线客户端发生了AC间漫游,然后,通过发送探测报文获取无线客户端对应的漫出AC,然后将无线客户端的报文转发到漫出AC上,由漫出AC根据其上存储的访问策略对无线客户端进行接入时的访问控制。本发明技术方案将接入访问控制转交到了漫出AC,由于漫出AC上的访问策略是在漫游前无线客户端正常加入时建立的,在无线客户端的漫游过程中始终保持不变,而漫游前后均由该漫出AC采用其上存储的访问策略对无线客户端进行访问控制,因此,可以保证漫游前后无线客户端具有相同的访问范围,解决了发生AC间漫游时存在的无线客户端的访问策略发生变化的问题,保证了漫游前后采用相同的访问策略对无线客户端进行访问控制。
附图说明
[0018] 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0019] 图1为现有技术无线局域网的一种结构示意图;
[0020] 图2为本发明实施例一提供的无线网络安全接入方法的流程图;
[0021] 图3A为本发明实施例二提供的无线控制器的一种结构示意图;
[0022] 图3B为本发明实施例二提供的无线控制器的又一种结构示意图
[0023] 图4为本发明实施例三提供的无线网络安全接入系统的结构示意图。
具体实施方式
[0024] 为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0025] 在WLAN中,在无线客户端未发生漫游的情况下,无线客户端发送报文给其所关联的AP,由该AP对报文进行封装,在封装头部中加入无线客户端所在的WLAN的信息;然后该AP将封装后的报文发送给其所连接的AC。AC对收到的封装后的报文进行解封装,根据获取的WLAN的信息选择对应的访问策略对报文进行过滤。其中,访问策略可以是在AC上预先配置的静态策略,也可以是通过各种协议从提供访问策略的服务器(主要是指802.1x认证服务器、Web认证服务器等认证服务器)上获取的动态策略。
[0026] 通常,在未发生漫游的情况下,无线客户端的访问范围受无线客户端当前关联的AP所连接的AC上的对无线客户端所在WLAN相关的访问策略的限制。在无线客户端发生了漫游的情况下,为了保证无线客户端的访问范围不变,本发明提出要求无线客户端漫游前后受到完全相同的访问策略的控制的技术方案。基于此,本发明以下各实施例将详细说明本发明技术方案的实现过程。
[0027] 实施例一
[0028] 图2为本发明实施例一提供的无线网络安全接入方法的流程图。如图2所示,本实施例的无线网络安全接入方法包括:
[0029] 步骤201、AC根据接收到的封装报文中的无线局域网标识和无线客户端的信息,确定无线客户端发生了AC间漫游,所述封装报文是由AP根据无线客户端发出的报文生成的;
[0030] 具体地,在无线客户端发生AC间漫游的情况下,无线客户端向其漫游后所关联的AP发送报文,漫游后所关联的AP负责对报文进行封装,形成封装报文,该封装报文中包括有无线客户端所在WLAN的WLAN标识(例如WLAN ID)以及无线客户端的相关信息(例如:无线客户端的标识、名称、IP地址等)。漫游后所关联的AP将封装报文发送给其所连接的AC。
[0031] AC对接收到的封装报文进行解封装,获取其中的WLAN标识和无线客户端的信息。其中,由于只有在同一WLAN中才能发生漫游,因此,AC要判断该无线客户端是否发生AC间漫游,需要判断该无线客户端是否存在该AC已关联的无线客户端中;若存在,则说明该无线客户端并非发生AC间漫游的无线客户端;反之,说明该无线客户端发生了AC间漫游。
[0032] 由于本实施例技术方案是针对发生AC间漫游的情况而提出的,而对于未发生AC间漫游的情况可采用现有技术的方案进行处理,因此,在本实施例中,直接假设AC确定该无线客户端发生了AC间漫游,基于此,可继续执行步骤202。后续将作为本实施例执行主体的AC,亦即判断出无线客户端发生AC间漫游的该AC称为漫入AC。
[0033] 步骤202、AC向其他AC发送探测报文,以获取漫出AC,所述探测报文包括无线客户端的信息;
[0034] 当漫入AC确定无线客户端发生AC间漫游之后,为保证该无线客户端在漫游前后受到相同访问策略的控制,漫入AC向所在WLAN中与之相邻的其他AC发送包括无线客户端的信息的探测报文,以供其他AC在收到该探测报文后根据其中的无线客户端的信息判断该无线客户端是否为其之前所关联的无线客户端,即供其他AC判断其是否为漫出AC;并使该漫入AC获知其相邻的哪个AC为漫出AC。
[0035] 其中,可以预先在各个AC间约定:当收到探测报文后进行回复,即向发送探测报文的AC(即漫入AC)发送探测响应报文,并且在探测响应报文中携带是否为漫出AC的信息;例如可以将探测响应报文中的某位作为漫出AC标识位,当该位为“1”时表示该AC为漫出AC;当该位为“0”时表示该AC不是漫出AC。
[0036] 另外,还可以预先在各个AC间约定:只有在收到探测报文且确定为漫出AC时,向漫入AC发送探测响应报文;其中,收到探测报文但并非是漫出AC的AC不需要向漫入AC发送探测响应报文。
[0037] 通过上述方式,作为本实施例执行主体的漫入AC可以根据接收到的探测响应报文获知无线客户端对应的漫出AC,并在获知漫出AC的基础上执行步骤203。具体的,基于前一种实施方式,漫入AC有可能接收到多个探测响应报文,需要根据探测响应报文中的漫出AC标识位来确定漫出AC;若基于后一实施方式,漫入AC仅会收到一个探测响应报文,即漫出AC发送的探测响应报文,因此,可直接基于该探测响应报文确定漫出AC。
[0038] 在此需要说明,其中,漫入AC仅在接收到第一个封装报文时向其他AC发送探测报文是一种获取漫出AC的优选方式,可以避免多次发送探测报文造成的资源浪费;当漫入AC获知到漫出AC,将漫出AC的信息存储起来;对于接收到的后续封装报文,漫入AC可以直接根据存储的漫出AC的信息转发到漫出AC,而不必每次都通过发送探测报文获取漫出AC,但并不限于此。
[0039] 步骤203、AC将封装报文发送给获取的漫出AC,以供漫出AC对无线客户端进行接入时的安全控制。
[0040] 其中,在本实施例中漫出AC上的访问策略是在无线客户端正常加入时建立并存储的,且在无线客户端的漫游过程中始终保持不变,因此,漫入AC将无线客户端的报文转发至漫出AC,由漫出AC根据其上存储的访问策略对无线客户端的接入进行访问控制,可以保证无线客户端漫游前后受到相同访问策略的控制。
[0041] 具体地,在本步骤203中,漫入AC可以将解封装后的报文进行重新封装,并在其封装头中封装所在WLAN标识,亦即解封装时获取的WLAN标识,将重新封装形成的报文发送给漫出AC。另外,本实施例的漫入AC在接收到封装报文时,可以存储该封装报文,因此,在该步骤203中漫入AC还可以将所存储的封装报文直接转发给漫出AC。以上仅为本实施例提供的漫入AC向漫出AC提供封装报文的两种具体实现方式,并不限于此。
[0042] 漫出AC对收到封装报文进行解封装,获取其中的WLAN标识,根据WLAN标识获取相应的访问策略,对解封装获取到的无线卡客户端发送的报文进行过滤,实现对无线客户端接入时的控制。
[0043] 其中,不同WLAN可采用不同的访问策略进行无线客户端的访问控制,因此,在本实施例中采用WLAN标识来区分不同WLAN下的访问策略。
[0044] 本实施例的无线网络安全接入方法,在根据WLAN标识和无线客户端的信息确定无线客户端发生AC间漫游时,漫入AC通过探测报文获取漫出AC,并将无线客户端的报文转发给漫出AC,由漫出AC采用漫游前的访问策略对漫游后的无线客户端进行接入时的访问控制,保证了漫游前后无线客户端受相同访问策略的控制,具有相同的访问范围,解决了现有技术中存在的发生AC间漫游时无线客户端的访问范围发生变化的问题。
[0045] 进一步,与现有技术相比,本实施例不需要在漫入AC和漫出AC间进行访问策略同步迁移,因此,不存在因访问策略的搬移而造成的延长断流时间的问题,极大地提高了有访问策略的无线客户端的漫游效率和速度。
[0046] 基于上述技术方案,本实施例提供一种确定无线客户端发生AC间漫游的具体实施方式。其中每个AC上均会存储有其下所关联的无线客户端以及无线客户端的相关信息,即在AC上存储有客户端信息。因此,AC可以根据解封装封装报文获取到的WLAN标识,获取其下所关联的属于该WLAN标识对应的WLAN的无线客户端以及相关信息,即客户端信息;然后,AC将解封装封装报文获取的无线客户端的信息与本地存储的属于同一WLAN下的客户端信息进行比较;若比较得出:本地存储的属于同一WLAN下的客户端信息中不存在无线客户端的信息,则确定无线客户端发生了AC间漫游;反之,说明无线客户端未发生AC间漫游。
[0047] 本实施例提供的基于AC本地存储的客户端信息来确定无线客户端是否发生AC间漫游的技术方案,所需信息获取方便,因此具有简单易于实施且判断效率较高的优点。
[0048] 在此需要说明,在本发明的技术方案中,无论是发生几次AC间漫游,漫出AC均为无线客户端正常接入时所关联的AP连接的AC。例如:当无线客户端接入WLAN时所关联的AP连接的AC为第一AC,然后由第一AC漫游到第二AC时,第一AC为本发明技术方案的漫出AC,第二AC为本发明技术方案的漫入AC;接着无线客户端又由第二AC漫游到第三AC,此时对于第二AC来说,其上并未配置与无线客户端相关的安全策略,其使用的是第一AC的安全策略,而为了保证第二次漫游时无线客户端能够受到与第一次漫游时相同的安全策略控制,因此,对第二次漫游来说,其漫出AC仍为第一AC,而漫入AC为第三AC。在上述漫游过程中,安全策略始终位于第一AC上。
[0049] 实施例二
[0050] 图3A为本发明实施例二提供的无线控制器的一种结构示意图。如图3A所示,本实施例的AC包括:确定模块31、获取模块32和第一发送模块33。
[0051] 其中,确定模块31用于根据接收到的封装报文中的WLAN标识和无线客户端的信息,确定无线客户端发生了AC间漫游,其中封装报文是由AP根据无线客户端发出的报文生成的;获取模块32,与确定模块31连接,用于在确定模块31确定无线客户端发生AC间漫游时,向其他AC发送探测报文,以获取无线客户端对应的漫出AC,其中探测报文中包括无线客户端的信息;第一发送模块33,与确定模块31和获取模块32连接,用于将封装报文发送给获取的漫出AC,以供漫出AC对无线客户端进行接入时的安全控制。
[0052] 具体的,获取模块32向其他AC发送探测报文,其他AC接收到探测报文后可以根据其中的无线客户端的信息判断其是否为漫出AC,并向本地AC(即漫入AC)的获取模块32根据预先约定的规则发送探测响应报文,以供获取模块32根据该探测响应报文获取漫出AC。
[0053] 本实施例的AC可用于执行本发明实施例提供的无线网络安全接入方法的流程,通过确定模块确定无线客户端发生AC间漫游,通过获取模块获取无线客户端对应的漫出AC,并由第一发送模块将无线客户端的报文转发到漫出AC,由漫出AC对无线客户端进行接入时的访问控制。由于漫出AC上的访问策略是在无线客户端正常加入时建立的,且在无线客户端的漫游过程中不变,因此,由于漫出AC根据其上存储的访问策略对无线客户端进行接入时的访问控制,保证了无线客户端漫游前后受到相同访问策略的控制,克服了现有技术中发生AC间漫游时可能出现无线客户端漫游前后访问范围不同的缺陷,保证了无线客户端在漫游前后具有相同的访问范围。
[0054] 进一步,如图3B所示,本实施例的确定模块31包括:第一接收单元311、第一获取单元312、比较单元313和确定单元314。其中,第一接收单元311,用于接收与本地AC连接的AP发送的封装报文;该AP接收无线客户端的报文,对接收到的报文进行封装,在封装头部添加无线客户端所在WLAN的WLAN标识,形成封装报文,并将封装报文发送给第一接收单元311。第一获取单元312,与第一接收单元311连接,用于解析第一接收单元311接收到的封装报文,获取其中的WLAN标识和无线客户端的信息;比较单元313,与第一获取单元312连接,用于根据WLAN标识,将无线客户端的信息和本地AC所存储的客户端信息进行比较;确定单元314,与比较单元313连接,用于在比较单元3 13比较得出:本地AC存储的客户端信息中不存在无线客户端的信息时,确定无线客户端发生了AC间漫游。
[0055] 进一步,本实施例中的确定单元314还用于在比较单元313比较得出:本地AC存储的客户端信息中存在无线客户端的信息时,确定无线客户端未发生AC间漫游。其中,当确定出无线客户端未发生AC间漫游时,可以将该确定结果提供给AC中现有功能模块,例如对无线客户端进行接入控制的接入控制模块等。由于无线客户端未发生AC间漫游的情况下,AC所进行的后续处理与现有技术相同,因此,本实施例并不对实现该功能的AC结构进行说明,可参见现有技术。
[0056] 其中,上述实施例所提供的确定模块的具体实现结构仅为一种举例,并不限于此,也可以采用其他结构或功能模块来实现。
[0057] 进一步,在上述技术方案的基础上,本实施例提供一种获取模块32的具体实现结构,但并不限于此。如图3B该获取模块32包括:发送单元321、第二接收单元322和第二获取单元323。其中,发送单元321,与确定模块31或确定单元314连接,用于向其他AC发送探测报文;第二接收单元322,与发送单元321连接,用于在发送单元321发送探测报文之后,接收其他AC发送的探测响应报文;其中该探测响应报文是由其他AC根据预先约定的规则,在收到探测报文后返回的,且该探测响应报文中包括漫出AC的信息。第二获取单元323,与第二接收单元322连接,用于根据探测响应报文,获取漫出AC。例如可以通过解析探测响应报文,根据其中携带的漫出AC标识位确定漫出AC,但并不限于此。其中,发送单元
321可优选地仅根据第一个封装报文发送探测报文,以获取漫出AC。
321可优选地仅根据第一个封装报文发送探测报文,以获取漫出AC。
[0058] 基于上述技术方案,本实施例的AC还包括:接收模块和第二发送模块。具体地,当本实施例的AC作为其他AC的邻居,且在其他AC发送探测报文以获取其所对应的漫出AC时,本实施例的AC可以通过接收模块接收其他AC发送的用于获取漫出AC的探测报文,并通过第二发送模块根据预先约定的规则向其他AC发送探测响应报文,以供其他AC根据该探测响应报文获取其所需的漫出AC。其中,第二发送模块可以根据在各个AC间预先约定的规则来发送探测响应报文。例如:各个AC间可以预先约定:在接收到探测报文时,向发送探测报文的AC发送探测响应报文,并通过探测响应报文中的某个标识位携带是否为漫出AC的信息;基于此,本实施例的第二发送模块只要接收到探测报文就需要向其他AC发送携带是否为漫出AC信息的探测响应报文。又例如:各个AC间还可以预先约定:只有在接收到探测报文且为漫出AC时,向发送探测报文的AC发送探测响应报文,若不是漫出AC则不需发送探测响应报文;基于此,本实施例的第二发送模块只需在本实施例的AC为与其他AC对应的漫出AC时发送探测响应报文,反之,则不需发送探测响应报文,此时,其他AC仅会接收到的漫出AC发送的探测响应报文,并可以基于接收到的探测响应报文确定漫出AC。
[0059] 其中,通过上述技术方案可实现本实施例的AC在作为其他AC的漫出AC时,向其他AC通告其为漫出AC的技术方案。
[0060] 综上所述,本实施例提供的AC可用于执行本发明实施例提供的无线网络安全接入方法的流程,同样可保证无线客户端漫游前后受到相同访问策略的控制,克服了现有技术中发生AC间漫游时可能出现无线客户端漫游前后访问范围不同的缺陷,保证了无线客户端在漫游前后具有相同的访问范围。
[0061] 实施例三
[0062] 图4为本发明实施例三提供的无线网络安全接入系统的结构示意图。本实施例的系统包括:AC、AP和无线客户端。其中,本实施例的系统包括多个AC,各个AC相互连接,并处于同一WLAN中;同理,在本实施例的系统中也会存在多个AP或多个无线客户端。在图4中所示系统中仅示出2个AC、2个AP和1个无线客户端,分别为AC41和AC42,AP43和AP44,以及无线客户端45。
[0063] 其中,本实施例中的AC41和AC42可以采用本发明上述实施例提供的AC,具体结构和功能可参见本发明上述实施例的描述,在此不再赘述。
[0064] 其中,无线客户端45与AP43或AP44连接,具体为无线连接方式,用于向AP43或AP44发送报文;AP43和AP44分别与AC41和AC42连接,用于根据无线客户端45发送的报文生成封装报文,并将封装报文发送给AC41和AC42。
[0065] 在本实施例的系统中,当无线客户端45移动而发生AC间漫游时,例如由关联AP43变为关联AP44时,即发生了AC间漫游。此时,本实施例中的AC42可以解封装AP44发送的封装报文,并根据其中的WLAN标识和无线客户端45的信息以及本地所存储的客户端信息,确定无线客户端45发生AC间漫游;然后,AC42向AC41发送探测报文,接收并根据AC41返回的探测响应报文获知AC41为漫出AC,将接收到的AP44发送的封装报文发送给AC41,由AC41对无线客户端45进行接入时的访问控制。在此需要说明,其中,为获取AC41用的探测报文优选为仅在接收到第一个封装报文时进行发送,在获取到漫出AC为AC41后将AC41的信息进行存储,对后续接收到的封装报文可以直接转发到AC41进行访问控制。
[0066] 进一步,本实施例中的AP44可包括第三接收单元和封装单元。第三接收单元,用于接收无线客户端45发送的报文;封装单元,用于将AP44以及无线客户端45、AC41等所在的WLAN的WLAN ID和接收到的报文进行封装,具体是指将WLAN ID封装到接收到的报文的报文头部,以形成发送给AC42的封装报文。其中,AP43也可以包括上述功能单元。
[0067] 本实施例的无线网络安全接入系统,同样可用于执行本发明实施例提供的无线网络安全接入方法的流程,具体由漫入AC将无线客户端的报文转发给漫出AC,由漫出AC对无线客户端进行接入时的访问控制,保证了漫游前后无线客户端受相同访问策略的控制,具有相同的访问范围,解决了现有技术中存在的发生AC间漫游时无线客户端的访问范围发生变化的问题。
[0068] 本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
[0069] 最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。