一种预认证和预配置方法及其系统转让专利
申请号 : CN201110080841.4
文献号 : CN102740290B
文献日 : 2015-03-11
发明人 : 肖鑫 , 曹建农
申请人 : 香港理工大学
摘要 :
本发明公开了一种预认证和预配置方法及其系统。用于预认证和预配置的系统包括位于不同子网的当前接入点和候选接入点,还包括位于当前接入点的第一虚拟终端和位于候选接入点的第二虚拟终端;第一虚拟终端和第二虚拟终端间通过UDP通道进行通信。该系统还包括与当前接入点属于不同网域的候选接入点,以及位于候选接入点的第三虚拟终端、与当前接入点同一网域的第一虚拟服务器以及与候选接入点同一网域的第三虚拟服务器;第一虚拟终端、第一虚拟服务器、第三虚拟终端和第三虚拟服务器间通过UDP通道进行通信。本发明通过使用虚拟终端和/或虚拟服务器在UDP层发送与预认证和预配置相关的信息,能够快速在同一网域的不同子网间甚至不同网域间进行切换。
权利要求 :
1.一种预认证方法,用于在通信终端从当前接入点切换到候选接入点前进行预认证,所述当前接入点和所述候选接入点属于同一网域的不同子网,其特征在于,所述方法包括:当前接入点从通信终端接收预认证请求信息,第一虚拟终端根据所述预认证请求信息得到第二虚拟终端的UDP地址,并通过第一虚拟终端将所述接收的预认证请求信息经由UDP通道传递给第二虚拟终端,所述第一虚拟终端位于当前接入点,所述第二虚拟终端位于候选接入点;
所述候选接入点通过所述第二虚拟终端经由UDP通道接收所述预认证请求信息进行认证,并通过所述第二虚拟终端经由UDP通道向所述当前接入点返回预认证响应信息;
所述当前接入点通过所述第一虚拟终端经由UDP通道从所述候选接入点接收所述预认证响应信息,并将所述预认证响应信息传递给所述通信终端。
2.一种预配置方法,用于在通信终端从当前接入点切换到候选接入点前进行预配置,所述当前接入点和所述候选接入点属于同一网域的不同子网,其特征在于,所述方法包括:当前接入点从通信终端接收预配置请求信息,第一虚拟终端根据所述预配置请求信息得到第二虚拟终端的UDP地址,并通过第一虚拟终端将所述接收的预配置请求信息经由UDP通道传递给第二虚拟终端,所述第一虚拟终端位于当前接入点,所述第二虚拟终端位于候选接入点;
所述候选接入点通过所述第二虚拟终端经由UDP通道接收所述预配置请求信息进行配置,并通过所述第二虚拟终端经由UDP通道向所述当前接入点返回预配置响应信息;
所述当前接入点通过所述第一虚拟终端经由UDP通道从所述候选接入点接收所述预配置响应信息,并将所述预配置响应信息传递给所述通信终端进行预配置。
3.根据权利要求2所述的预配置方法,其特征在于,包括在发送预配置请求信息给当前接入点前,修改所述预配置请求信息的目标MAC地址为获选接入点的MAC地址,且修改所述预配置请求信息的以太型码;在发送预配置请求信息给所述候选接入点前,恢复所述预配置请求信息的以太型码。
4.一种预认证方法,用于在通信终端从当前接入点切换到候选接入点前进行预认证,所述当前接入点和所述候选接入点属于不同网域,其特征在于,所述方法包括:当前接入点从通信终端接收预认证请求信息,并通过第一虚拟终端将所述接收的预认证请求信息经由UDP通道传递给第一虚拟服务器,所述第一虚拟终端位于当前接入点,所述第一虚拟服务器和所述当前接入点属于同一网域;
第三虚拟服务器通过UDP通道从所述第一虚拟服务器接收所述预认证请求信息,所述第三虚拟服务器根据所述预认证请求信息得到第三虚拟终端的UDP地址,并通过UDP通道将所述预认证请求信息传递给第三虚拟终端,所述第三虚拟服务器与候选接入点属于同一网域,所述第三虚拟终端位于所述候选接入点;
所述候选接入点通过所述第三虚拟终端经由所述UDP通道接收所述预认证请求信息,并通过所述第三虚拟终端经由所述UDP通道向所述第三虚拟服务器返回预认证响应信息;
所述第三虚拟服务器通过UDP通道从所述第三虚拟终端接收所述预认证响应信息,并通过UDP通道将所述预认证响应信息传递给所述第一虚拟服务器;
所述当前接入点通过所述第一虚拟终端经由UDP通道从所述第一虚拟服务器接收所述预认证响应信息,并将所述预认证响应信息传递给所述通信终端。
5.一种预配置方法,用于在通信终端从当前接入点切换到候选接入点前进行预配置,所述当前接入点和所述候选接入点属于不同网域,其特征在于,包括:当前接入点从通信终端接收预配置请求信息,第一虚拟终端根据预配置请求信息得到第三虚拟终端的UDP地址,并通过第一虚拟终端将所述接收的预配置请求信息经由UDP通道传递给第一虚拟配置服务器,所述第一虚拟终端位于当前接入点,所述第一虚拟配置服务器和所述当前接入点属于同一网域;
第三虚拟配置服务器通过UDP通道从所述第一虚拟配置服务器接收所述预配置请求信息,并通过UDP通道将所述预配置请求信息传递给第三虚拟终端,所述第三虚拟配置服务器与候选接入点属于同一网域且与所述第一虚拟配置服务器属于不同网域,所述第三虚拟终端位于所述候选接入点;
所述候选接入点通过所述第三虚拟终端经由所述UDP通道接收所述预配置请求信息,并通过所述第三虚拟终端经由所述UDP通道向所述第三虚拟配置服务器返回预配置响应信息;
所述第三虚拟配置服务器通过UDP通道从所述第三虚拟终端接收所述预配置响应信息,并通过UDP通道将所述预配置响应信息传递给所述第一虚拟配置服务器;
所述当前接入点通过所述第一虚拟终端经由UDP通道从所述第一虚拟配置服务器接收所述预配置响应信息,并将所述预配置响应信息传递给所述通信终端进行预配置。
6.根据权利要求5所述的预配置方法,其特征在于,包括在发送预配置请求信息给当前接入点前,修改所述预配置请求信息的目标MAC地址为获选接入点的MAC地址,且修改所述预配置请求信息的以太型码;在发送预配置请求信息给所述候选接入点前,恢复所述预配置请求信息的以太型码。
7.一种预认证和预配置系统,包括位于同一网域的不同子网内的当前接入点和至少一个候选接入点,其特征在于,还包括位于当前接入点的第一虚拟终端和位于候选接入点的第二虚拟终端;
所述第一虚拟终端根据所述预认证和/或预配置请求信息得到第二虚拟终端的UDP地址,所述第一虚拟终端用于通过UDP通道与所述第二虚拟终端进行预认证和/或预配置请求和/或响应信息的通信;
所述第二虚拟终端用于通过UDP通道与所述第一虚拟终端进行所述预认证和/或预配置请求和/或响应信息的通信。
8.根据权利要求7所述的预认证和预配置的系统,其特征在于,所述第二虚拟终端还用于当所述预配置请求信息的以太型码被修改后,在转发所述预配置请求信息前恢复所述预配置请求信息的以太型码。
9.一种预认证和预配置系统,包括位于不同网域的当前接入点和至少一个候选接入点,其特征在于,还包括位于当前接入点的第一虚拟终端、位于候选接入点的第三虚拟终端、与所述当前接入点属于同一网域的第一虚拟服务器以及与所述候选接入点属于同一网域的第三虚拟服务器;
第一虚拟终端根据预配置请求信息得到第三虚拟终端的UDP地址,所述第一虚拟终端用于通过UDP通道与所述第一虚拟服务器进行预认证和/或预配置请求和/或响应信息的通信;
所述第一虚拟服务器用于通过UDP通道分别与所述第一虚拟终端和第三虚拟服务器进行所述预认证和/或预配置请求和/或响应信息的通信;
所述第三虚拟服务器根据所述预认证请求信息得到第三虚拟终端的UDP地址,所述第三虚拟服务器用于通过UDP通道分别与所述第一虚拟服务器和第三虚拟终端进行所述预认证和/或预配置请求和/或响应信息的通信;
所述第三虚拟终端用于通道UDP通道与所述第三虚拟服务器进行所述预认证和/或预配置请求和/或响应信息的通信。
10.根据权利要求9所述的预认证和预配置的系统,其特征在于,所述第三虚拟终端还用于当所述预配置请求信息的以太型码被修改后,在转发所述预配置请求信息前恢复所述预配置请求信息的以太型码。
说明书 :
一种预认证和预配置方法及其系统
技术领域
[0001] 本发明涉及移动通信领域,尤其涉及一种预认证和预配置方法及其系统。
背景技术
[0002] 当通信终端从802.11网络中的一个接入点安全地切换到另一个接入点时,必须与另一个接入点交换认证信息和配置信息,进行认证和配置后,才能成功连接。其中,基于802.1X的认证过程和基于动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)的配置过程是导致切换延时的两个主要因素。图1是现有技术中基于802.1X的802.11认证系统的示意图。如图1所示,局域网中的EAP(EAP Over LAN,EAPOL)架构通常包括认证者(即接入点)以及认证、授权和计费(Authentication Authorization and Accounting,AAA)服务器。认证者一般位于网络边缘位置,与AAA服务器通信相连。该构架提供对通信终端设备的认证授权功能,完整的EAP过程一般需要在请求者(通信终端)与认证者(接入点)之间、认证者与访问AAA服务器之间以及访问AAA服务器与家乡AAA服务器之间进行至少两个来回的交互,造成较长的延时,严重影响服务质量。通过认证授权后,进行配置的过程同样如此。
[0003] 在已有的802.11i标准中,采用预认证的方法来减少这种延时。图2是现有技术中802.11i预认证的示意图。如图2所示,在802.11i预认证中,通信终端(802.1X中的请求者实体)在进行切换前,通过当前连接的接入点与所有候选接入点(802.1X中的认证者实体)间进行身份认证。如果该通信终端切换到了一个经预认证的接入点,将不再需要与该接入点间进行身份认证,而只需花费很短时间执行密钥协商过程。
[0004] 但是,现在使用的标准802.11i预认证仅仅工作在第二层(MAC层),当两个接入点间不能在MAC层中直接相互通信(例如跨子网和/或跨网域)时,通信终端从一个接入点切换到另一个接入点的预认证是不被支持的。
[0005] DHCP是一种简化主机IP地址配置管理的TCP/IP(Transmission Control Protocol/Internet Protocol,传输控制/网际协议)标准。该标准为DHCP服务器的使用提供了一种有效的方法:即管理网络中通信终端IP地址的动态分配以及启用网络上DHCP客户机的相关配置信息。当通信终端从一个接入点切换到另一个接入点时,将从新连接的接入点处获得新的IP配置信息,这种配置信息的交互以及重新配置过程也将导致较长的延时,但是,现有技术中还没有用于减少这种切换延时的方法/装置。
发明内容
[0006] 本发明要解决的技术问题在于,针对现有技术中无法减少跨子网和跨网域切换时由于认证和/或配置过程造成的延时这一缺陷,提供一种用于802.11网络中安全快速切换的预认证和预配置方法。
[0007] 本发明解决其技术问题所采用的技术方案是:
[0008] 提供一种预认证方法,用于在通信终端从当前接入点切换到候选接入点前进行预认证,所述当前接入点和所述候选接入点属于同一网域的不同子网,所述方法包括:
[0009] 当前接入点从通信终端接收预认证请求信息,并通过第一虚拟终端将所述接收的预认证请求信息经由UDP通道传递给第二虚拟终端,所述第一虚拟终端位于当前接入点,所述第二虚拟终端位于候选接入点;
[0010] 所述候选接入点通过所述第二虚拟终端经由UDP通道接收所述预认证请求信息进行认证,并通过所述第二虚拟终端经由UDP通道向所述当前接入点返回预认证响应信息;
[0011] 所述当前接入点通过所述第一虚拟终端经由UDP通道从所述候选接入点接收所述预认证响应信息,并将所述预认证响应信息传递给所述通信终端。
[0012] 本发明还提供一种预配置方法,用于在通信终端从当前接入点切换到候选接入点前进行预配置,所述当前接入点和所述候选接入点属于同一网域的不同子网,所述方法包括:
[0013] 当前接入点从通信终端接收预配置请求信息,并通过第一虚拟终端将所述接收的预配置请求信息经由UDP通道传递给第二虚拟终端,所述第一虚拟终端位于当前接入点,所述第二虚拟终端位于候选接入点;
[0014] 所述候选接入点通过所述第二虚拟终端经由UDP通道接收所述预配置请求信息进行配置,并通过所述第二虚拟终端经由UDP通道向所述当前接入点返回预配置响应信息;
[0015] 所述当前接入点通过所述第一虚拟终端经由UDP通道从所述候选接入点接收所述预配置响应信息,并将所述预配置响应信息传递给所述通信终端进行预配置。
[0016] 本发明一种预配置方法中,包括在发送预配置请求信息给当前接入点前,修改所述预配置请求信息的目标MAC地址为所述获选接入点的MAC地址,且修改所述预配置请求信息的以太型码;在发送预配置请求信息给所述候选接入点前,恢复所述预配置请求信息的以太型码。
[0017] 本发明还提供一种预认证方法,用于在通信终端从当前接入点切换到候选接入点前进行预认证,所述当前接入点和所述候选接入点属于不同网域,所述方法包括:
[0018] 当前接入点从通信终端接收预认证请求信息,并通过第一虚拟终端将所述接收的预认证请求信息经由UDP通道传递给第一虚拟服务器,所述第一虚拟终端位于当前接入点,所述第一虚拟服务器和所述当前接入点属于同一网域;
[0019] 第三虚拟服务器通过UDP通道从所述第一虚拟服务器接收所述预认证请求信息,并通过UDP通道将所述预认证请求信息传递给第三虚拟终端,所述第三虚拟服务器与候选接入点属于同一网域,所述第三虚拟终端位于所述候选接入点;
[0020] 所述候选接入点通过所述第三虚拟终端经由所述UDP通道接收所述预认证请求信息,并通过所述第三虚拟终端经由所述UDP通道向所述第三虚拟服务器返回预认证响应信息;
[0021] 所述第三虚拟服务器通过UDP通道从所述第三虚拟终端接收所述预认证响应信息,并通过UDP通道将所述预认证响应信息传递给所述第一虚拟服务器;
[0022] 所述当前接入点通过所述第一虚拟终端经由UDP通道从所述第一虚拟服务器接收所述预认证响应信息,并将所述预认证响应信息传递给所述通信终端。
[0023] 本发明还提供一种预配置方法,用于在通信终端从当前接入点切换到候选接入点前进行预配置,所述当前接入点和所述候选接入点属于不同网域,包括:
[0024] 当前接入点从通信终端接收预配置请求信息,并通过第一虚拟终端将所述接收的预配置请求信息经由UDP通道传递给第一虚拟配置服务器,所述第一虚拟终端位于当前接入点,所述第一虚拟配置服务器和所述当前接入点属于同一网域;
[0025] 第三虚拟配置服务器通过UDP通道从所述第一虚拟配置服务器接收所述预配置请求信息,并通过UDP通道将所述预配置请求信息传递给第三虚拟终端,所述第三虚拟配置服务器与候选接入点属于同一网域且与所述第一虚拟配置服务器属于不同网域,所述第三虚拟终端位于所述候选接入点;
[0026] 所述候选接入点通过所述第三虚拟终端经由所述UDP通道接收所述预配置请求信息,并通过所述第三虚拟终端经由所述UDP通道向所述第三虚拟配置服务器返回预配置响应信息;
[0027] 所述第三虚拟配置服务器通过UDP通道从所述第三虚拟终端接收所述预配置响应信息,并通过UDP通道将所述预配置响应信息传递给所述第一虚拟配置服务器;
[0028] 所述当前接入点通过所述第一虚拟终端经由UDP通道从所述第一虚拟配置服务器接收所述预配置响应信息,并将所述预配置响应信息传递给所述通信终端进行预配置。
[0029] 本发明一种预配置方法中,包括在发送预配置请求信息给当前接入点前,修改所述预配置请求信息的目标MAC地址为所述获选接入点的MAC地址,且修改所述预配置请求信息的以太型码;在发送预配置请求信息给所述候选接入点前,恢复所述预配置请求信息的以太型码。
[0030] 本发明还提供一种预认证和预配置系统,包括位于同一网域的不同子网内的当前接入点和至少一个候选接入点,还包括位于当前接入点的第一虚拟终端和位于候选接入点的第二虚拟终端;
[0031] 所述第一虚拟终端用于通过UDP通道与所述第二虚拟终端进行预认证和/或预配置请求和/或响应信息的通信;
[0032] 所述第二虚拟终端用于通过UDP通道与所述第一虚拟终端进行所述预认证和/或预配置请求和/或响应信息的通信。
[0033] 本发明用于预认证和预配置的系统中,所述第二虚拟终端还用于当所述预配置请求信息的以太型码被修改后,在转发所述预配置请求信息前恢复所述预配置请求信息的以太型码。
[0034] 本发明还提供一种预认证和预配置系统,包括位于不同网域的当前接入点和至少一个候选接入点,还包括位于当前接入点的第一虚拟终端、位于候选接入点的第三虚拟终端、与所述当前接入点属于同一网域的第一虚拟服务器以及与所述候选接入点属于同一网域的第三虚拟服务器;
[0035] 所述第一虚拟终端用于通过UDP通道与所述第一虚拟服务器进行预认证和/或预配置请求和/或响应信息的通信;
[0036] 所述第一虚拟服务器用于通过UDP通道分别与所述第一虚拟终端和第三虚拟服务器进行所述预认证和/或预配置请求和/或响应信息的通信;
[0037] 所述第三虚拟服务器用于通过UDP通道分别与所述第一虚拟服务器和第三虚拟终端进行所述预认证和/或预配置请求和/或响应信息的通信;
[0038] 所述第三虚拟终端用于通道UDP通道与所述第三虚拟服务器进行所述预认证和/或预配置请求和/或响应信息的通信。
[0039] 本发明用于预认证和预配置的系统中,所述第三虚拟终端还用于当所述预配置请求信息的以太型码被修改后,在转发所述预配置请求信息前恢复所述预配置请求信息的以太型码。
[0040] 本发明一种预认证和预配置方法及其系统的有益效果为:通过使用虚拟终端和/或虚拟服务器在UDP层发送与预认证和预配置相关的信息,能够快速安全地在同一网域的不同子网间甚至不同网域间进行切换,提高了通信服务的质量。
附图说明
[0041] 下面将结合附图及实施例对本发明作进一步说明,附图中:
[0042] 图1是现有技术中基于802.1X的802.11认证系统的示意图。
[0043] 图2是现有技术中802.11i预认证的示意图。
[0044] 图3是根据本发明一个实施例的用于跨子网切换的预认证方法的流程图;
[0045] 图4是根据本发明一个实施例的用于跨网域切换的预认证方法的流程图;
[0046] 图5是根据本发明一个实施例的预认证方法的流程图;
[0047] 图6是根据本发明一个实施例的用于跨子网切换的预配置方法的流程图;
[0048] 图7是根据本发明一个实施例的用于跨网域切换的预配置方法的流程图;
[0049] 图8是根据本发明一个实施例的预配置方法的流程图;
[0050] 图9是根据本发明一个实施例的用于跨子网切换的预认证和预配置系统的示意图;
[0051] 图10是根据本发明一个实施例的用于跨网域切换的预认证和预配置系统的示意图。
具体实施方式
[0052] 为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
[0053] 图3是根据本发明一个实施例的用于跨子网切换的预认证方法的流程图。在本实施例中,用于跨子网切换的预认证方法开始于步骤110。
[0054] 在步骤110中,当前接入点从通信终端接收预认证请求信息,并通过第一虚拟终端将接收的预认证请求信息经由UDP通道传递给第二虚拟终端,其中第一虚拟终端位于当前接入点,第二虚拟终端位于候选接入点。预认证请求信息是标准的802.11i预认证信息,其中包含有源MAC地址和目的MAC地址。第一虚拟终端可以根据预认证请求信息得到目的虚拟终端的UDP地址(包括IP和UDP端口)。第一虚拟终端中可以预先配置有路由表,路由表中存储了MAC地址和虚拟终端/虚拟服务器地址间的全部绑定(binding)。路由表可以预先进行配置,例如对第一虚拟终端的路由表进行如下配置:{第二接入点的MAC地址=>第二虚拟终端的地址},第二接入点为至少一个候选接入点其中之一。还可以对路由表进行动态更新,例如可以将上行帧路由的逆向路由更新到路由表中,以便发送下行帧时使用。第一虚拟终端还可以从中央服务器查询所需路由,中央服务器中存储了同一网域中的所有接入点的全部绑定信息。第一虚拟终端可以根据候选接入点的MAC地址以及查找到的路由将预认证请求信息经由UDP通道发送给第二虚拟终端。
[0055] 在步骤120中,候选接入点通过第二虚拟终端经由UDP通道接收预认证请求信息进行认证,并通过第二虚拟终端经由UDP通道向当前接入点返回预认证响应信息。例如,候选接入点可以将预认证请求信息发送给同一网域的认证服务器AS1,AS1根据预认证请求信息对通信终端进行认证,生成包含认证密钥的预认证响应信息,并返回给候选接入点,候选接入点再通过第二虚拟终端经由UDP通道将预认证响应信息发送给当前接入点(即第一虚拟终端)。但是,这仅仅用于举例说明,而不用于限制,在本发明的各种实施例中,可以包括各种基于802.1X的认证方法。候选接入点向通信终端返回预认证响应信息的下行通信中,可以利用通信终端向候选接入点发送预认证请求信息的上行通信的逆向路由进行,第二虚拟终端和第一虚拟终端的功能相似,在此不再详细描述。
[0056] 在步骤130中,当前接入点通过第一虚拟终端经由UDP通道从候选接入点接收预认证响应信息,并将预认证响应信息传递给通信终端。通信终端可以存储并管理来自多个候选接入点的预认证响应信息,并在切换时选择相应的一个进行认证。由于切换前进行了预认证,在切换时的认证过程中只需进行认证密钥的协商,费时极少,提高了通信服务的质量。
[0057] 图4是根据本发明一个实施例的用于跨网域切换的预认证方法的流程图。在本实施例中,用于跨网域切换的预认证方法开始于步骤210。
[0058] 在步骤210中,当前接入点从通信终端接收预认证请求信息,并通过第一虚拟终端将接收的预认证请求信息和候选接入点的附加网域信息(例如ESSID)一起经由UDP通道传递给第一虚拟服务器,第一虚拟终端位于当前接入点,第一虚拟服务器和当前接入点属于同一网域。
[0059] 在步骤220中,第三虚拟服务器通过UDP通道从第一虚拟服务器接收预认证请求信息,并通过UDP通道将预认证请求信息传递给第三虚拟终端,第三虚拟服务器与候选接入点属于同一网域且与第一虚拟服务器属于不同网域,第三虚拟终端位于候选接入点。其中,预认证请求信息是标准的802.11i预认证信息,其中包含有源MAC地址和目的MAC地址。。第一虚拟服务器根据附加网域信息(例如从第一虚拟服务器至第三虚拟服务器)将预认证请求信息传递给候选接入点所属网域中的第三虚拟服务器。例如,可以根据网域间的漫游协议在每个虚拟服务器上预先配置网域信息和相应虚拟服务器间的绑定,例如{“第三网域”=>第三虚拟服务器},还可以根据逆向路由更新虚拟服务器上的绑定信息。当附加网域信息表明该预认证请求信息的目的网域是第三网域时,第一虚拟服务器可以根据绑定信息将该预认证请求信息发送给第三虚拟服务器,其中第三网域即候选接入点所属网域。第三虚拟服务器接收预认证请求信息后,可以根据预认证请求信息得到目的虚拟终端的UDP地址(包括IP和UDP端口)。第三虚拟服务器中可以预先配置有路由表,路由表中存储了MAC地址和同一网域中所有接入点的全部绑定(binding)。路由表可以预先进行配置,例如对第三虚拟服务器的路由表进行如下配置:{第三接入点的MAC地址=>第三虚拟终端的地址},第三接入点为至少一个候选接入点其中之一。还可以对路由表进行动态更新,例如可以将上行帧路由的逆向路由更新到路由表中,以便发送下行帧时使用。第三虚拟服务器还可以从中央服务器查询所需路由,中央服务器中存储了同一网域中的所有接入点的全部绑定信息。第三虚拟服务器可以根据候选接入点的MAC地址以及查找到的路由将预认证请求信息经由UDP通道发送给第三虚拟终端。在上述上行通信过程中,虚拟终端和虚拟服务器可以在接收上行帧时,将被传递的源UDP地址(虚拟终端/虚拟服务器的UDP地址,包括IP和UDP端口)和源MAC地址(通信终端的MAC地址)逆向来更新相应的路由绑定。
[0060] 在步骤230中,候选接入点通过第三虚拟终端经由UDP通道接收预认证请求信息,并通过第三虚拟终端经由UDP通道向第三虚拟服务器返回预认证响应信息。例如,候选接入点可以将预认证请求信息发送给同一网域的认证服务器AS3,AS3根据预认证请求信息对通信终端进行认证,生成包含认证密钥的预认证响应信息,并返回给候选接入点,候选接入点再通过第三虚拟终端经由UDP通道将预认证响应信息发送给第三虚拟服务器。但是,这仅仅用于举例说明,而不用于限制,在本发明的各种实施例中,可以包括各种基于802.1X的认证方法。
[0061] 在步骤240中,第三虚拟服务器通过UDP通道从第三虚拟终端接收预认证响应信息,并通过UDP通道将预认证响应信息传递给第一虚拟服务器。返回预认证响应信息的下行通信中,可以利用上述上行通信的逆向路由进行,第三虚拟终端和第一虚拟终端的功能相似,第三虚拟服务器和第一虚拟服务器的功能也相似,在此不再详细描述。
[0062] 在步骤250中,当前接入点通过第一虚拟终端经由UDP通道从第一虚拟服务器接收所述预认证响应信息,并将预认证响应信息传递给通信终端。通信终端可以存储并管理来自多个候选接入点的预认证响应信息,并在切换时选择相应的一个进行认证。由于切换前进行了预认证,在切换时的认证过程中只需进行认证密钥的协商,费时极少,提高了通信服务的质量。
[0063] 图5是根据本发明一个实施例的预认证方法的流程图。在本实施例中,用于子网内/网域内跨子网/跨网域切换的预认证方法开始于步骤301。
[0064] 在步骤301中,第一接入点从当前连接的通信终端接收预认证请求信息。在步骤302中,第一接入点根据预认证请求信息中的候选接入点地址判断对应的切换是子网内切换、网域内跨子网切换还是跨网域切换。
[0065] 若是子网内切换,执行步骤303。在步骤303中,第一接入点直接在MAC层中将预认证请求信息发送给相应的候选接入点。在步骤304中,候选接入点根据接收的预认证请求信息对该通信终端进行认证。在步骤305中,候选接入点向第一接入点返回预认证响应信息。在步骤306中,第一接入点将预认证响应信息发送给该通信终端。
[0066] 若是网域内跨子网切换,执行步骤307。在步骤307中,第一接入点通过第一虚拟终端将接收的预认证请求信息通过UDP通道传递给候选接入点处的第二虚拟终端。在步骤308中,候选接入点通过第二虚拟终端经由UDP通道接收预认证请求信息,并进行认证。在步骤309中,候选接入点通过第二虚拟终端将预认证响应信息经由UDP通道传递给第一虚拟终端。在步骤310中,第一接入点通过第一虚拟终端经由UDP通道接收预认证响应信息,并将接收的预认证响应信息传递给发送预认证请求的通信终端以便在切换时进行快速认证。
[0067] 若是跨网域切换,执行步骤311。在步骤311中,第一接入点通过第一虚拟终端将接收的预认证请求信息和候选接入点的附加网域信息(例如ESSID)通过UDP通道传递给本网域的第一虚拟服务器。在步骤312中,第一虚拟服务器根据附加的网域信息通过UDP通道将预认证请求信息传递给与候选接入点属于同一网域的第三虚拟服务器。在步骤313中,第三虚拟服务器根据目的地MAC地址和预配置的路由表(虚拟服务器中存储有同一网域中的所有接入点的全部绑定)将预认证请求信息传递到位于候选接入点处的第三虚拟终端。在步骤314中,候选接入点通过第三虚拟终端经由UDP通道接收预认证请求信息,并进行认证。在步骤315中,候选接入点通过第三虚拟终端将预认证响应信息经由UDP通道传递给第三虚拟服务器。在步骤316中,第三虚拟服务器根据上行通信时的逆向路由通过UDP通道将预认证响应信息传递给第一虚拟服务器。在步骤317中,第一虚拟服务器通过UDP通道将接收的预认证响应信息传递给第一虚拟终端。在步骤318中,第一接入点通过第一虚拟终端经由UDP通道接收预认证响应信息,并将接收的预认证响应信息传递给发送预认证请求的通信终端以便在切换时进行快速认证。
[0068] 图6是根据本发明一个实施例的用于跨子网切换的预配置方法的流程图。在本实施例中,用于跨子网切换的预配置方法开始于步骤410。
[0069] 在步骤410中,当前接入点从通信终端接收预配置请求信息,并通过第一虚拟终端将接收的预配置请求信息经由UDP通道传递给第二虚拟终端,其中第一虚拟终端位于当前接入点,第二虚拟终端位于候选接入点。预配置请求信息中可以包括候选接入点或第二虚拟终端的地址信息(例如MAC地址)和DHCP信息。原始DHCP信息数据包包括底层数据包头,虚拟终端/虚拟服务器需要使用MAC地址。第一虚拟终端可以根据预配置请求信息得到目的虚拟终端的UDP地址(包括UDP和IP端口)。由位于通信终端或接入点的DHCP客户端生成的标准DHCP数据包的目标接入点的MAC是广播地址(0xfffffffffff),它不能由虚拟终端通过路由表路由。本发明中采用的DHCP数据包与标准DHCP数据包相比,除了将目的地MAC地址修改为候选接入点的MAC地址,实质内容并没有改变,因此不会影响协议流程。在大多数实施例中,位于接入点的DHCP服务器将接收很多预配置请求信息(又称为DHCP请求信息),这些DHCP请求信息的MAC地址可能与服务器的MAC地址并不相同。这会导致当前接入点上的DHCP服务器会接受并处理预配置请求信息。为了避免这种情况,在本发明的一些实施例中,可以修改预配置请求信息的目标MAC地址为获选接入点的MAC地址,且可以改变通信终端的DHCP客户端发送的DHCP信息的MAC层的以太型码(即IP为0x0800),只要将其改为未使用的形式即可。
[0070] 在步骤420中,候选接入点通过第二虚拟终端经由UDP通道接收预配置请求信息进行配置,并通过第二虚拟终端经由UDP通道向当前接入点返回预配置响应信息。例如,候选接入点可以将预配置请求信息发送给同一网域的配置服务器,配置服务器根据预配置请求信息对通信终端进行配置,生成包含配置信息的预配置响应信息,并返回给候选接入点,候选接入点再通过第二虚拟终端经由UDP通道将预配置响应信息发送给当前接入点(即第一虚拟终端)。但是,这仅仅用于举例说明,而不用于限制,在本发明的各种实施例中,可以包括各种基于DHCP的配置方法。另外,若在上述步骤410中改变了以太型码,为了不影响DHCP服务器的响应,第二虚拟终端在将预配置请求信息发送给配置者之前,要将预配置请求信息的MAC层的以太型码修改还原。
[0071] 在步骤430中,当前接入点通过第一虚拟终端经由UDP通道从候选接入点接收预配置响应信息,并将预配置响应信息传递给通信终端。通信终端可以存储并管理来自多个候选接入点的预配置响应信息,并在切换时选择合适的一个进行配置。由于切换前进行了预配置,节省了切换时进行配置的时间,减少了时延,提高了通信服务的质量。
[0072] 图7是根据本发明一个实施例的用于跨网域切换的预配置方法的流程图。在本实施例中,用于跨网域切换的预配置方法开始于步骤510。
[0073] 在步骤510中,当前接入点从通信终端接收预配置请求信息,并通过第一虚拟终端将接收的预配置请求信息和候选接入点的附加网域信息(例如ESSID)一起经由UDP通道传递给第一虚拟服务器,第一虚拟终端位于当前接入点,第一虚拟服务器和当前接入点属于同一网域。预配置请求信息中可以包括候选接入点或第三虚拟终端的地址信息(例如MAC地址)和DHCP信息。原始DHCP信息数据包包括底层数据包头,虚拟终端/虚拟服务器需要使用MAC地址。第一虚拟终端可以根据预配置请求信息得到目的虚拟终端的UDP地址(包括UDP和IP端口)。由位于通信终端或接入点的DHCP客户端生成的标准DHCP数据包的目标接入点的MAC是广播地址(0xfffffffffff),它不能由虚拟终端通过路由表路由。本发明中采用的DHCP数据包与标准DHCP数据包相比,除了将目的地MAC地址修改为目标接入点的MAC地址,实质内容并没有改变,因此不会影响协议流程。在大多数实施例中,位于接入点的DHCP服务器将接收很多预配置请求信息(又称为DHCP请求信息),这些DHCP请求信息的MAC地址可能与服务器的MAC地址并不相同。这会导致当前接入点上的DHCP服务器会接受并处理预配置请求信息。为了避免这种情况,在本发明的一些实施例中,可以改变通信终端的DHCP客户端发送的DHCP信息的MAC层的以太型码(即IP为0x0800),只要将其改为未使用的形式即可。
[0074] 在步骤520中,第三虚拟服务器通过UDP通道从第一虚拟服务器接收预配置请求信息,并通过UDP通道将预配置请求信息传递给第三虚拟终端,第三虚拟服务器与候选接入点属于同一网域且与第一虚拟服务器属于不同网域,第三虚拟终端位于候选接入点。其中,预配置请求信息中可以包括候选接入点或第三虚拟终端的地址信息(例如MAC地址)和DHCP信息。第一虚拟服务器根据附加网域信息(例如从第一虚拟服务器至第三虚拟服务器)将预配置请求信息传递给候选接入点所属网域中的第三虚拟服务器。例如,可以根据网域间的漫游协议在每个虚拟服务器上预先配置网域信息和相应虚拟服务器间的绑定,例如{“第三网域”=>第三虚拟服务器},还可以根据逆向路由更新虚拟服务器上的绑定信息。当附加网域信息表明该预配置请求信息的目的网域是第三网域时,第一虚拟服务器可以根据绑定信息将该预配置请求信息发送给第三虚拟服务器,其中第三网域即候选接入点所属网域。
[0075] 在步骤530中,候选接入点通过第三虚拟终端经由UDP通道接收预配置请求信息,并通过第三虚拟终端经由UDP通道向第三虚拟服务器返回预配置响应信息。若在上述步骤510中改变了以太型码,为了不影响DHCP服务器的运行,第三虚拟终端在将预配置请求信息发送给配置者之前,要将预配置请求信息的MAC层的以太型码修改还原。另外,候选接入点可以将预配置请求信息发送给同一网域的配置服务器,配置服务器根据预配置请求信息对通信终端进行配置,生成包含配置信息的预配置响应信息,并返回给候选接入点,候选接入点再通过第三虚拟终端经由UDP通道将预配置响应信息发送给第三虚拟服务器。但是,这仅仅用于举例说明,而不用于限制,在本发明的各种实施例中,可以包括各种基于DHCP的配置方法。
[0076] 在步骤540中,第三虚拟服务器通过UDP通道从第三虚拟终端接收预配置响应信息,并通过UDP通道将预配置响应信息传递给第一虚拟服务器。返回预配置响应信息的下行通信中,可以利用上述上行通信的逆向路由进行,第三虚拟终端和第一虚拟终端的功能相似,第三虚拟服务器和第一虚拟服务器的功能也相似,在此不再详细描述。
[0077] 在步骤550中,当前接入点通过第一虚拟终端经由UDP通道从第一虚拟服务器接收所述预配置响应信息,并将预配置响应信息传递给通信终端。通信终端可以存储并管理来自多个候选接入点的预配置响应信息,并在切换时选择合适的一个进行配置。由于切换前进行了预配置,节省了切换时进行配置的时间,减少了时延,提高了通信服务的质量。
[0078] 图8是根据本发明一个实施例的预配置方法的流程图。在本实施例中,用于子网内/网域内跨子网/跨网域切换的预配置方法开始于步骤601。
[0079] 在步骤601中,第一接入点从当前连接的通信终端接收预配置请求信息。在步骤602中,第一接入点根据预配置请求信息中的候选接入点地址判断对应的切换是子网内切换、网域内跨子网切换还是跨网域切换。
[0080] 若是子网内切换,执行步骤603。在步骤603中,第一接入点直接在MAC层中将预配置请求信息发送给相应的候选接入点。在步骤604中,候选接入点根据接收的预配置请求信息对该通信终端进行配置。在步骤605中,候选接入点向第一接入点返回预配置响应信息。在步骤606中,第一接入点将预配置响应信息发送给该通信终端。
[0081] 若是网域内跨子网切换,执行步骤607。在步骤607中,第一接入点通过第一虚拟终端将接收的预配置请求信息通过UDP通道传递给候选接入点处的第二虚拟终端。在步骤608中,候选接入点通过第二虚拟终端经由UDP通道接收预配置请求信息,并进行配置。在步骤609中,候选接入点通过第二虚拟终端将预配置响应信息经由UDP通道传递给第一虚拟终端;在步骤610中,第一接入点通过第一虚拟终端经由UDP通道接收预配置响应信息,并将接收的预配置响应信息传递给发送预配置请求的通信终端以便在切换时进行快速配置。
[0082] 若是跨网域切换,执行步骤611。在步骤611中,第一接入点通过第一虚拟终端将接收的预配置请求信息和候选接入点的附加网域信息(例如ESSID)通过UDP通道传递给本网域的第一虚拟服务器。在步骤612中,第一虚拟服务器根据附加的网域信息通过UDP通道将预配置请求信息传递给与候选接入点属于同一网域的第三虚拟服务器。在步骤613中,第三虚拟服务器将预配置请求信息传递到位于候选接入点处的第三虚拟终端。在步骤614中,候选接入点通过第三虚拟终端经由UDP通道接收预配置请求信息,并进行配置。在步骤615中,候选接入点通过第三虚拟终端将预配置响应信息经由UDP通道传递给第三虚拟服务器。在步骤616中,第三虚拟服务器通过UDP通道将预配置响应信息传递给第一虚拟服务器。在步骤617中,第一虚拟服务器通过UDP通道将接收的预配置响应信息传递给第一虚拟终端。在步骤618中,第一接入点通过第一虚拟终端经由UDP通道接收预配置响应信息,并将接收的预配置响应信息传递给发送预配置请求的通信终端以便在切换时进行快速配置。
[0083] 图6-8所示的预配置方法和图3-5所示的预认证方法除了传递的内容不同外(预认证传递的是802.11i预认证帧,预配置传递的是DHCP数据包),其它大致相同。
[0084] 图9是根据本发明一个实施例的用于跨子网切换的预配置和预配置系统的示意图。在本实施例中,预认证和预配置系统包括位于同一网域的不同子网内的当前接入点和至少一个候选接入点(如图9所示,位于第一子网内的第一接入点AP1和位于第二子网内的第二接入点AP2),还包括位于当前接入点的第一虚拟终端VCL1和位于候选接入点的第二虚拟终端VCL2。
[0085] VCL1用于通过UDP通道与VCL2进行预认证和/或预配置请求和/或响应信息的通信。VCL2可以用于通过UDP通道与VCL1进行所述预认证和/或预配置请求和/或响应信息的通信。VCL2还可以用于当预配置请求信息的以太型码被修改后,在转发该预配置请求信息前恢复该预配置请求信息的以太型码。具体过程可以参考针对图3和6的描述。VCL1可以在当前接入点上运行,VCL2可以在候选接入点上运行。尽管图9只示出了一个候选接入点AP2,但这仅仅是为了简化说明,而不用于限制,在本发明的各种实施例中,可以包括任意合适数量的候选接入点。
[0086] 图10是根据本发明一个实施例的用于跨网域切换的预配置和预配置系统的示意图。在本实施例中,预认证和预配置系统包括位于不同网域的当前接入点和至少一个候选接入点(如图10所示,位于第一网域的当前接入点AP1和位于第二网域的候选接入点AP3),还包括位于当前接入点的第一虚拟终端VCL1、位于候选接入点的第三虚拟终端VCL3、与当前接入点属于同一网域的第一虚拟服务器VS1以及与候选接入点属于同一网域的第三虚拟服务器VS3。
[0087] VCL1用于通过UDP通道与VS 1进行预认证和/或预配置请求和/或响应信息的通信。VS1用于通过UDP通道分别与VCL1和VS3进行所述预认证和/或预配置请求和/或响应信息的通信。VS3用于通过UDP通道分别与VS1和VCL3进行预认证和/或预配置请求和/或响应信息的通信。VCL3用于通道UDP通道与VS3进行预认证和/或预配置请求和/或响应信息的通信。VCL3还可以用于当预配置请求信息的以太型码被修改后,在转发该预配置请求信息前恢复该预配置请求信息的以太型码。具体过程可以参考针对图4和7的描述。VCL1可以在当前接入点上运行,VCL3可以在候选接入点上运行。VS1和VS3分别可以在相应的服务器上运行,例如认证服务器。尽管图10只示出了一个候选接入点AP3,但这仅仅是为了简化说明,而不用于限制,在本发明的各种实施例中,可以包括任意合适数量的候选接入点。
[0088] 除了图9和图10所示的系统外,在本发明的其它实施例中,还可以将图9和图10所示的实施例相结合,同时实现跨子网和跨网域地安全快速切换。
[0089] 总之,本发明通过引入两种新的实体虚拟终端和虚拟服务器,将标准802.11i预认证扩展到跨子网/跨网域情景中,且本发明支持具有标准DHCP(用于几乎所有的802.11网络中)的预配置以减少切换过程中的认证和配置延时。本发明还可以利用定位/路由机制结合MAC地址实现子网和/或网域间的接入点的通信,以便进行802.11i预配置和DHCP预配置,例如利用MAC地址来路由802.11i预认证信息和DHCP信息。同时本发明与现有标准802.11i和DHCP标准兼容,且不需修改现有网络侧的软件实体。
[0090] 本发明应用于802.11(Wi-Fi)网络中,使其支持移动客户端的安全快速切换(子网内/网域内/跨子网/跨网域),以便更好地支持时间敏感度较高的应用,例如VoIP(Skype)。
[0091] 虽然本发明是通过具体实施例进行说明的,本领域技术人员应当明白,在不脱离本发明范围的情况下,还可以对本发明进行各种变换及等同替代。另外,针对特定情形或材料,可以对本发明做各种修改,而不脱离本发明的范围。因此,本发明不局限于所公开的具体实施例,而应当包括落入本发明权利要求范围内的全部实施方式。