無線用戶接入網絡服務的方法、接入控制器和服務器的制作方法

專利名稱：無線用戶接入網絡服務的方法、接入控制器和服務器的制作方法
技術領域：
本發明涉及無線局域網技術，特別涉及無線局域網無線用戶接入網絡服務的方法、接入控制器和服務器。
背景技術：
無線局域網(WLAN，Wireless Local Area Network)提供了一種局域網的無線連接服務，能在較小的范圍內提供高速的無線數據接入，是目前IT行業無線接入技術的熱點。接入點(AP，Access Point)是無線局域網的一個重要組成設備，它用于將從有線網絡(例如Internet)接收到的數據轉換成無線信號發送，并將接收到的無線信號轉換成數據并轉發到有線網絡的無線收發設備--。
集中WLAN是主要由AP和接入控制器(AC，Access Controller)構成的WLAN網絡。集中WLAN需要AP和AC設備的協作來提供局域網無線連接服務。無線接入點控制和規定(CAPWAP，Control and Provisioning ofWireless Access Points)協議中定義了集中WLAN架構，并描述了WLAN功能在AP設備和AC設備上的劃分。通常，由AC提供WLAN網絡的集中管理；而AP用來和AC建立鏈接并加入WLAN網絡后，向無線用戶提供無線接入服務。此外，CAPWAP協議還定義了AP和AC之間的通信協議。
多個AC也可以構建一個WLAN網絡，為無線用戶提供更廣闊的服務域和漫游域。在這樣的WLAN網絡中，無線用戶可以選擇該服務域中任何一個AP接入WLAN網絡，并且可以在整個WLAN網絡中的AP之間進行漫游。
本說明書中，網絡服務是指區別于本地WLAN服務的已經存在的有線網絡服務，如因特網(Internet)服務。網絡服務接入點是指為WLAN無線用戶提供網絡服務的設備，例如，可以將無線用戶接入該網絡服務的AC。
圖1所示為一個典型的多個AC構建的WLAN的應用組網示意圖。其中，AC1和AC2設置相應的擴展服務集(ESS，Extended Service Set)，負責管理WLAN提供的無線接入服務。AP1和AC1建立鏈接CAPWAP隧道(Tunnel)，AP2和AC2建立鏈接CAPWAP隧道。AP1/AP2成功和AC1/AC2建立鏈接加入WLAN網絡后，從AC上獲取相應的無線接入服務配置，從而提供WLAN的無線接入服務。
無線接入服務通過擴展服務集標識(ESSID，Extended Service Set Idenity)的字符串進行標識，當無線用戶接入WLAN網絡時，通過選擇ESSID而接入到不同的無線接入網絡中。圖1中AP1和AP2被配置為相同的ESSID，提供相同的無線接入服務。
無線用戶和WLAN網絡建立數據鏈路連接的過程的詳細定義和介紹可參見IEEE802.11-1999。簡單來說，無線用戶接入WLAN網絡的流程包括無線用戶(STA)發現WLAN接入服務，并選擇接入WLAN的AP，AP對STA進行鏈路認證，然后STA和AP完成鏈路協商，從而STA和AP之間建立數據鏈路，并和AC建立邏輯鏈路。AC為了保證無線局域網的安全，對接入的無線用戶進行接入認證。為了提供用戶數據的私密性保護，當無線用戶認證成功后，AC發起密鑰協商，為無線用戶協商單獨密鑰。STA在通過AC的認證并成功協商密鑰后，通過建立的邏輯鏈路訪問WLAN網絡。WLAN為無線用戶選擇網絡服務接入點，開始為無線用戶提供網絡服務接入服務。其中，上面的描述中對無線用戶的鏈路認證和鏈路協商由AP完成，上述功能也可以由AC完成。
當WLAN網絡由多個AC組成時，每個AC能夠提供的網絡服務可以不同。當一個無線用戶需要一種網絡服務、而它的接入AC自身不能提供這種網絡服務時，該無線用戶的接入AC需要在WLAN網絡為該無線用戶尋找能夠提供該網絡服務的AC。例如，WLAN網絡中包括AC1、AC2和AC3，VLAN1網絡、VLAN2網絡和VLAN3網絡是指有線網絡或因特網等非本地WLAN網絡，AC1只提供VLAN1網絡的接入服務，但AC2和AC3都能提供VLAN2網絡和VLAN3網絡的接入服務；無線用戶STA1通過AC1接入WLAN網絡，WLAN網絡使用認證授權服務器對STA1進行認證和授權，確定STA1可以接入VLAN2網絡，所以AC1需要在WLAN網絡中尋找可以提供VLAN2網絡服務的AC。現有技術的一種實現方式是動態地在整個WLAN網絡中查找可以提供相應網絡服務的AC。如果采用動態查找的方式，管理員無法控制無線用戶實際通過那個AC接入網絡服務；另外由于需要在WLAN網絡中的所有的AC上進行查找，查找的過程可能比較長，從而影響到無線用戶接入網絡服務的時間。

發明內容
本發明要解決的一個技術問題是提供一種接入控制器將無線用戶接入網絡服務的方法，可以減少查找網絡服務接入點的時間。
本發明提供的接入控制器將無線用戶接入網絡服務的方法，包括步驟A，接入控制器通過接入點將無線用戶接入無線局域網；B，接入控制器接收授權服務器發出的對所述無線用戶側授權請求響應的授權信息，所述授權信息包含網絡服務和網絡服務接入點信息；C，接入控制器通過所述網絡服務接入點將所述無線用戶接入到所述網絡服務。
進一步，接入控制器在無線用戶的接入認證成功后，在步驟C之前，還包括如下步驟上述接入控制器和上述無線用戶進行鏈路密鑰協商。
而步驟C可以包括如下步驟上述接入控制器為所述無線用戶創建根據源MAC地址進行定向轉發的二層表項，根據該表項將所述無線用戶的報文轉發到所述網絡服務接入點。
本發明提供的接入控制器將無線用戶接入網絡服務的方法，從授權服務器不僅獲得該無線用戶的授權的網絡服務，同時還獲得授權的網絡服務的接入點信息，并根據網絡服務接入點信息為該無線用戶提供授權網絡服務的接入服務。這樣的實現方式減少了查找網絡接入設備的時間，接入認證進一步增加了無線局域網的安全性，而鏈路密鑰協商為無線用戶提供了用戶數據的私密性保護。
本發明還提供一種計算機軟件產品，包括若干指令用以使得一臺計算機設備執行上述的接入控制器將無線用戶接入網絡的方法。
本發明還提供的一種計算機設備，包括用以執行上述接入控制器將無線用戶接入網絡的方法的軟件以及運行該軟件必須的硬件。
本發明要解決的另一個技術問題是提供一種可以快速地獲得無線用戶的網絡服務接入點的接入控制器。
本發明提供的接入控制器，其位于無線用戶和無線網絡授權服務器之間，包括鏈路建立單元、信息獲取單元和數據轉發單元。其中，鏈路建立單元，用于與無線用戶建立鏈路；信息獲取單元，用于接收上述服務器返回的上述無線用戶的包含網絡服務和網絡服務接入點的授權信息，并將上述授權信息發送給數據轉發單元；數據轉發單元，用于接收信息獲取單元發送來的授權信息，以及接收上述無線用戶的報文，并將報文轉發到上述網絡服務接入點。
進一步，接入控制器還包含鏈路密鑰協商單元。鏈路密鑰協商單元，用于接收密鑰協商消息，和所述無線用戶進行鏈路密鑰協商，并在密鑰協商成功后，將協商的密鑰發送給所述數據轉發單元；所述數據轉發單元通過所述密鑰與所述無線用戶進行數據傳輸。
通過本發明提供的接入控制器，在為無線用戶提供網絡接入服務時，直接從服務器獲得該無線用戶授權的網絡服務和網絡服務接入點信息，并根據網絡服務接入點信息將無線用戶接入所述的網絡服務，減少了查找網絡服務接入點的時間。
本本發明要解決的另一個技術問題是提供一種可以提供無線用戶的網絡接入點信息的服務器。
本發明提供的服務器，包括授權信息存儲單元和授權單元，其中，授權信息存儲單元，用于存儲供接入控制器使用的無線用戶的包含的網絡服務和網絡服務接入點的授權信息；授權單元，用于接收無線用戶授權請求消息，并向接入控制器返回所述授權信息。
進一步，該服務器還可以包括授權信息配置單元，用于接受管理員對無線用戶的網絡服務接入點的配置，并將其存儲在授權信息存儲單元。
本發明的服務器，通過授權信息存儲單元存儲無線用戶的授權的網絡服務接入點信息，并通過授權單元提供無線用戶的網絡接入點信息。
本發明要解決的另一個技術問題是提供一種快速提供無線用戶的網絡接入點信息方法。
本發明提供的一種提供無線用戶的網絡服務接入點的方法，在服務端接收無線用戶授權請求消息，并返回所述授權信息；其中所述授權信息包含網絡服務和網絡服務接入點信息，用以供接入控制器為無線用戶選擇網絡服務接入點。
本發明還提供一種計算機軟件產品，包括若干指令用以使得一臺計算機設備執行上述的獲取無線用戶的網絡服務接入點的方法。
本發明的提供無線用戶的網絡服務接入點的方法，在服務器存儲無線用戶的網絡服務接入點信息，并在收到請求消息時返回包含網絡服務接入點的授權信息，從而可以快速提供網絡服務接入點信息。
本發明要解決的另一個技術問題是提供一種無線局域網的無線用戶接入網絡服務的方法，可以減少查找網絡服務接入點的時間。
本發明提供的無線局域網的無線用戶接入網絡服務的方法，進一步還可以實現對無線用戶的網絡服務接入點的控制。
本發明提供的無線局域網的無線用戶接入網絡服務的方法，包括步驟E，無線用戶通過接入點AP以及對應的接入控制器AC接入無線局域網；F，所述接入AC向授權服務器發送所述無線用戶的授權信息請求消息，授權服務器向接入AC發送所述無線用戶的包含網絡服務和網絡服務接入點信息的授權信息；G，所述接入AC通過所述網絡服務接入點將所述無線用戶接入到所述網絡服務。
進一步，在步驟E之后，步驟F之前，還包括如下步驟上述接入AC通過認證服務器對上述無線用戶進行接入認證。
更進一步，上所述無線用戶的接入認證成功后，在步驟G之前，還包括如下步驟上述接入AC和上述無線用戶進行鏈路密鑰協商。
其中，無線用戶授權的網絡服務接入點信息由無線局域網管理員分配。
而步驟G可以包括如下步驟所述接入AC為所述無線用戶創建根據源MAC地址進行定向轉發的二層表項，根據該表項將所述無線用戶的報文轉發到所述網絡服務接入點；所述網絡服務接入點為所述無線用戶生成漫游表項，根據該表項將發往所述無線用戶的報文轉發到所述接入AC。
進一步，上述網絡服務接入點為無線用戶生成漫游表項包括如下步驟所述網絡服務接入點判斷是否存在所述無線用戶的漫游表項，如果存在，則將其目的地址更改為當前目的地址，否則，所述網絡服務接入點為所述無線用戶創建目的地址為所述接入AC地址的漫游表項。
通過本發明提供的無線局域網的無線用戶接入網絡的方法，從授權服務器不僅獲得該無線用戶的授權的網絡服務，同時還獲得授權的網絡服務的接入點信息，并根據網絡服務接入點信息為該無線用戶提供授權網絡服務的接入服務。這樣的實現方式減少了查找網絡接入設備的時間，進一步可以控制了無線用戶的網絡服務接入點分配，并通過對無線用戶的網絡服務接入點的的合理分配，控制無線用戶的網絡服務的接入設備，從而實現網絡的優選規劃和網絡服務的均衡配置。接入認證進一步增加了無線局域網的安全性。鏈路密鑰協商為無線用戶提供了用戶數據的私密性保護。
綜上所述，本發明提供的控制無線用戶接入網絡的方法及其相應的接入控制器和服務器，根據該無線用戶授權的網絡服務接入點為其提供網絡接入服務，減少了查找網絡接入點的時間，并可以通過合理分配無線用戶的網絡服務接入點，從而優化網絡規劃和均衡網絡服務，并可以為無線用戶的網絡接入服務提供無縫漫游服務。


圖1所示為現有技術中由多個接入控制器組成的無線局域網的示意圖；圖2所示為本發明的無線局域網無線用戶接入網絡服務方法的流程圖；圖3所示為本發明的無線局域網無線用戶接入網絡服務方法的一個實施例的流程圖；圖4所示為本發明的接入控制器的結構示意圖；圖5所示為本發明的接入控制器將無線用戶接入網絡服務的方法的流程圖。
具體實施例方式
如圖2所示，本發明的一種無線局域網無線用戶接入網絡的方法，包括如下步驟步驟201，無線用戶通過AP和AC接入無線局域網。
無線用戶STA可以通過被動地接收AP發送的信標(Beacon)報文，或者主動地發送探查(Probe)報文來發現周圍的WLAN接入服務。STA如果同時發現AP1和AP2提供的無線接入服務，則在其中作出選擇，如STA可以選擇AP1接入WLAN網絡。隨后，AP1對STA進行鏈路認證，并在鏈路認證通過后AP1和STA進行鏈路協商。鏈路協商成功后，則STA和AP1之間建立數據鏈路，并和對應于AP1的接入控制器AC1建立邏輯鏈路，即無線用戶接入無線局域網。
步驟202，無線用戶的接入AC向授權服務器發送無線用戶的授權信息請求消息，授權服務器向接入AC返回無線用戶的包含網絡服務和網絡服務接入點的授權信息。
授權服務器中存儲無線用戶的授權信息。無線用戶接入無線局域網，向授權服務器發送授權信息請求消息，消息中包含無線用戶的用戶名和密碼；授權服務器將該無線用戶的授權信息發送給該無線用戶的接入AC，無線用戶的授權信息包括網絡服務和網絡服務接入點信息。
在認證和授權過程結合在一起的情況下，無線用戶用戶接入無線局域網，向認證服務器發送認證請求消息，消息中包含無線用戶的用戶名和密碼，在認證服務器對無線用戶的認證通過后，直接通知授權服務器向無線用戶發送授權信息。在這種情況下，認證請求消息同時起到了授權信息請求消息的作用。
為了實現本步驟，可以在授權協議中增加一個“網絡服務接入點”屬性，在屬性包含可以將無線用戶接入到對應網絡服務的AC的IP地址。以遠程認證撥號用戶服務(RADIUS，Remote Authentication Dial In User Service)協議為例，“網絡服務接入點”的屬性定義可以包含屬性類型、屬性長度和屬性值等字段。其中，屬性類型由協議統一分配，用來標明該屬性包含的是網絡服務接入點的內容；屬性長度用來標明該屬性所占用的長度，并可以通過該屬性長度取值的不同，來區分屬性值字段中包含的IP地址是IPV6還是IPV4；而屬性值中包含的是IPV4地址或者IPV6地址。除了RADIUS協議，也可以采用其它的授權協議，并類似于上述描述來定義“網絡服務接入點”屬性。
步驟203，無線用戶的接入AC通過網絡服務接入點將無線用戶接入到網絡服務。
當無線用戶的接入AC收到無線用戶的授權信息后，獲得授權給該無線用戶的接入網絡服務的AC的IP地址，為該無線用戶創建根據源MAC地址進行定向轉發的二層表項，將該無線用戶的報文轉發到網絡服務接入點AC，并由網絡服務接入點AC建立一漫游表項，將發往該無線用戶的報文轉發到該無線用戶的接入AC，并由接入AC發送給該無線用戶，從而在接入AC和網絡服務接入點之間建立數據通道，將無線用戶接入到網絡服務。
進一步，為了保證無線局域網的安全性，無線局域網通常會對接入的無線用戶進行接入認證。例如可以通過RADIUS服務器對無線用戶進行接入認證。采用的接入認證的協議可以是802.1x認證協議或者MAC認證協議。
為了對用戶的數據提供私密性保護，當無線用戶的接入認證成功后，還可以和WLAN進行密鑰協商，為無線用戶協商單獨的密鑰。密鑰協商過程規范的實例可參見IEEE802.11I-2004。
參見圖3，示出了本發明方法的一個實施例的流程圖，該實施例中包含上述接入認證和密鑰協商過程。包含如下步驟步驟301，STA通過AP1和對應的AC1接入WLAN網絡。
STA發現周圍的WLAN接入服務，例如STA發現AP1和AP2提供無線接入服務，假設STA初始選擇AP1接入WLAN。STA通過AP1向對應的AC1發送鏈路認證請求消息，該請求消息中包括STA的MAC地址。AC1對STA進行鏈路認證，即檢查其保存的MAC地址列表中是否有與STA對應的MAC地址，并向STA回應鏈路認證應答消息。如果鏈路認證成功，STA通過AP1向AC1發送鏈路協商請求消息，AC1根據該請求消息進行相應的處理后，向STA回應鏈路協商應答消息。鏈路協商成功，也就完成了STA和AP1之間數據鏈路的建立，以及STA和AC1之間邏輯鏈路的建立。
步驟302，AC1通過認證服務器對STA進行接入認證。
AC1可以通過認證服務器，如RADIUS服務器，對STA進行接入認證。接入認證過程包括1)STA向AC1發送接入認證請求消息，該請求消息中包括STA的用戶名和密碼；2)AC1將該請求消息轉發給認證服務器；3)認證服務器確認用戶身份后，為STA分配對稱主密鑰(Pairwise Master Key，PMK)，并通過AC1將該PMK發送給STA，認證服務器和STA中都保存有該PMK；4)認證服務器對STA進行接入認證成功后，向AC1回應接入認證成功消息，并攜帶所述PMK；5)AC1接收到接入認證成功消息后，保存所述PMK，并建立STA的媒體接入控制(Medium Access Control，MAC)地址與所述PMK的對應關系。
步驟303，授權服務器向AC1發送STA的包含網絡服務和網絡服務接入點的授權信息。
對STA的接入認證成功后，授權服務器將STA的授權信息通知無線局域網，即該無線用戶的接入AC1。無線用戶的授權信息包括網絡服務信息和網絡服務接入點信息，而網絡服務接入點信息中包含為STA提供網絡服務的AC的IP地址。
步驟304，AC1和STA進行鏈路密鑰協商。
為了提供對用戶數據的私密性保護，在對STA進行接入認證成功后，AC1還可以發起密鑰協商過程，與STA協商對稱臨時密鑰(Pairwise TemporaryKey，PTK)，根據PMK生成PTK，PTK用于對單播數據進行加密。
步驟305，AC1通過網絡服務接入點將無線用戶接入到網絡服務。
當AC1獲得STA的網絡服務接入點信息后，為STA創建根據源MAC地址進行轉發的二層表項。AC1通過該表項將STA發送的所有報文重定向轉發到網絡服務接入點對應的出口AC3，并通過AC3轉發到所述網絡。
同時，AC3要為漫游用戶STA創建一個漫游表項，保證所有的發送到STA的報文都能夠轉發到AC1上，并且由AC1最終發送給STA。
在上述實施例的描述過程中，認證服務器和授權服務器是作為單獨的服務器分別描述的。在通常情況下認證服務器和授權服務器可以是一臺服務器，例如一臺RADIUS服務器。
授權服務器存儲的無線用戶的網絡服務接入點信息可以由無線局域網管理員在授權服務器上進行配置，或者由固定的算法進行分配，并在分配后保持不變。網絡服務接入點可以是能夠提供網絡服務的接入控制器，而此處的網絡服務可以是無線用戶接入的虛擬局域網(VLAN，Virtual Local AreaNetwork)服務。
通過本發明提供的無線局域網無線用戶接入網絡服務的方法，從授權服務器不僅獲得該無線用戶的授權的網絡服務，同時還獲得授權的網絡服務的接入點信息，并根據網絡服務接入點信息為該無線用戶提供授權網絡服務的接入服務。通過這樣的實現方式可以控制無線用戶的網絡服務接入點，減少了動態查找網絡接入設備的時間。進一步可以通過對無線用戶的網絡服務接入點的的合理分配，從而實現網絡的優選規劃和網絡服務的均衡配置。接入認證進一步增加了無線局域網的安全性。鏈路密鑰協商為無線用戶提供了用戶數據的私密性保護。
下面，進一步說明當無線用戶在WLAN網絡中發生漫游時將無線用戶接入網絡服務的情況。假定無線用戶STA當前通過AP1接入WLAN，與AP1對應的接入控制器為AC1。當STA從AP1逐漸向AP2移動時，STA確定AP2能夠提供更優質的服務，比如AP2具有更高的信號強度，則STA可以選擇通過AP2接入WLAN。如果和AP2對應的接入控制器為AC2，則STA和AC2之間進行鏈路認證和鏈路協商；協商完成后，STA實現從AC 1到AC2的漫游，AC2通過認證服務器對STA進行接入認證，并從授權服務器獲得STA的網絡服務接入點信息。由于授權服務器中該無線用戶的授權信息保持不變，所以網絡服務接入點仍然對應于AC3。AC2為STA創建根據源MAC地址進行轉發的二層表項，控制將STA相關的數據報文根據源地址重定向到AC3設備上。而AC3在為STA創建漫游表項前，先判斷是否存在STA的漫游表項，如果存在，則將其轉發的目的地址更改為當前目的地址，即將漫游表項中AC1的IP地址更改為AC2的IP地址，保證所有發送到STA的地址都轉發到AC2上，這樣使得STA在漫游前和漫游后可以訪問同樣的網絡更好的支持無線用戶的無縫漫游。
通過本發明提供的方法控制無線用戶接入網絡服務，由于無線用戶的網絡服務接入點保持不變，所以當無線用戶在WLAN中漫游時，WLAN仍然采用指定的網絡服務接入點為無線用戶提供網絡接入服務，從而可以為無線用戶提供無縫漫游服務。
如圖4所示，為本發明提供的一種接入控制器的結構示意圖。接入控制器包括鏈路建立單元41、信息獲取單元42和數據轉發單元43。
鏈路建立單元41，用于與無線用戶建立鏈路，并向信息獲取單元42發送啟動消息。接入控制器接收到無線用戶發送的鏈路認證以及鏈路協商請求消息后，通過鏈路建立單元41對無線用戶進行鏈路認證以及鏈路協商。鏈路協商成功后，信息獲取單元42發送啟動消息。
信息獲取單元42，用于用于接收啟動消息后，向服務器發送無線用戶授權信息請求消息，并接收服務器返回的無線用戶的包含網絡服務和網絡服務接入點的授權信息，并將授權信息發送給數據轉發單元43。
數據轉發單元43，用于接收信息獲取單元42發送來的授權信息，接收所述無線用戶的報文，并報文定向轉發到所述網絡服務接入點。數據轉發單元43根據網絡服務接入點為無線用戶創建根據源MAC地址進行轉發的二層表項，將無線用戶發送的報文重定向轉發到網絡服務接入點對應的出口AC，并通過出口AC轉發到上述網絡。同時接收網絡服務接入點轉發來的發往無線用戶的報文，并將其發送到無線用戶。
通過本發明提供的接入控制器，在為無線用戶提供網絡接入服務時，首先獲得該無線用戶授權的網絡服務和網絡服務接入點信息，并根據獲得的網絡服務接入點信息為無線用戶建立數據通道，為該無線用戶提供網絡接入服務。
為了進一步保證WLAN的安全性，在本發明另一實施例的接入控制器中，接入控制器還包括接入認證單元。接入認證單元用于接收鏈路建立單元41發送的啟動消息，對無線用戶進行接入認證，并在接入認證成功后，向信息獲取單元42轉發所述啟動消息。接入認證單元可以通過認證服務器對無線用戶進行接入認證。
為了提供無線用戶數據的私密性保護，本發明提供的接入控制器的實施例中，還進一步包括鏈路密鑰協商單元。接入認證單元在接入認證成功后，向鏈路密鑰協商單元發送密鑰協商消息；鏈路密鑰協商單元用于接收密鑰協商消息，和無線用戶進行鏈路密鑰協商，并在密鑰協商成功后，將協商的密鑰發送給數據轉發單元43；密鑰協商單元和無線用戶通過四次握手過程進行密鑰協商。數據轉發單元43通過收到的密鑰與無線用戶進行數據傳輸。
如圖5所示，為本發明提供的一種接入控制器將無線用戶接入網絡服務的方法的流程圖。包括如下步驟步驟501，AC通過接入點將無線用戶接入無線局域網。
AC通過AP為無線用戶提供無線局域網接入服務。無線用戶STA可以通過被動地接收AP發送的信標(Beacon)報文，或者主動地發送探查(Probe)報文來發現周圍的WLAN接入服務。STA和AP之間建立數據鏈路，并和AC建立邏輯鏈路后，AC對STA進行鏈路認證，并在鏈路認證通過后和STA進行鏈路協商。鏈路協商成功后，無線用戶接入無線局域網。
步驟502，AC接收授權服務器發出的對無線用戶側授權請求響應的授權信息，該授權信息包含網絡服務和網絡服務接入點信息。授權服務器中存儲無線用戶的授權信息。無線用戶接入無線局域網后，發出授權信息請求消息，消息中包含無線用戶的用戶名和密碼；該請求消息或者由AC處理后發向授權服務器，或者由AC透明地轉發到授權服務器。授權服務器響應該授權信息請求，將該無線用戶的授權信息發送給該無線用戶的AC，無線用戶的授權信息包括網絡服務和網絡服務接入點信息。
步驟503，AC通過網絡服務接入點將無線用戶接入到網絡服務。
當AC收到無線用戶的授權信息后，獲得授權給該無線用戶的接入網絡服務的AC的IP地址，為該無線用戶創建根據源MAC地址進行定向轉發的二層表項，將該無線用戶的報文轉發到網絡服務接入點AC，并由網絡服務接入點AC建立一漫游表項，將發往該無線用戶的報文轉發到該AC，并由該AC發送給該無線用戶，從而在AC和網絡服務接入點之間建立數據通道，將無線用戶接入到網絡服務。
進一步，為了保證無線局域網的安全性，AC通常會對接入的無線用戶進行接入認證。例如可以通過RADIUS服務器對無線用戶進行接入認證，采用的接入認證的協議可以是802.1x認證協議或者MAC認證協議。AC對無線用戶進行接入認證通常在將無線用戶接入無線局域網之后，在從授權服務器獲取授權信息之前。
為了對用戶的數據提供私密性保護，在無線用戶的接入認證成功后，AC還可以和無線用戶進行密鑰協商，為無線用戶協商單獨的密鑰。密鑰協商過程規范的實例可參見IEEE802.11I-2004。
本發明提供一種計算機軟件產品，包括若干指令用以使得一臺計算機設備執行本發明提供的上述接入控制器將無線用戶接入網絡服務的方法。
本發明還提供一種計算機設備，包括用以執行本發明上述接入控制器將無線用戶接入網絡服務的方法的軟件以及運行該軟件必須的硬件。
本發明提供的接入控制器將無線用戶接入網絡服務的方法，接入控制器從授權服務器不僅獲得該無線用戶的授權的網絡服務，同時還獲得授權的網絡服務的接入點信息，并根據網絡服務接入點信息為該無線用戶提供授權網絡服務的接入服務。這樣的實現可以減少了查找網絡接入設備的時間。而接入認證進一步增加了無線局域網的安全性。鏈路密鑰協商為無線用戶提供了用戶數據的私密性保護。
本發明還提供一種服務器，該服務器包括授權信息存儲單元和授權單元，其中，授權信息存儲單元用于存儲供接入控制器使用的無線用戶的包含的網絡服務和網絡服務接入點的授權信息；授權單元用于接收無線用戶授權請求消息，并向接入控制器返回該授權信息。
進一步，該服務器還可以包括授權信息配置單元，用于接受管理員對無線用戶的網絡服務接入點的配置，并將其存儲在授權信息存儲單元。
本發明還提供一種提供無線用戶的網絡服務接入點的方法，該方法在服務端接收無線用戶授權請求消息，并返回該授權信息；其中該授權信息包含網絡服務和網絡服務接入點信息，用以供接入控制器為無線用戶選擇網絡服務接入點。
本發明還提供一種計算機軟件產品，該產品包括若干指令用以使得一臺計算機設備執行上述提供無線用戶的網絡服務接入點的方法。
綜上所述，本發明提供的控制無線用戶接入網絡的方法及其相應的接入控制器和服務器以及軟件，根據該無線用戶授權的網絡服務接入點為其提供網絡接入服務，減少了查找網絡接入點的時間，并可以通過在無線用戶間合理分配網絡服務接入點，從而優化網絡規劃和均衡網絡服務，并可以為無線用戶的網絡接入服務提供無縫漫游服務。
以上所述，僅為本發明較佳的具體實施方式
，但本發明的保護范圍并不局限于此，任何熟悉本技術領域的技術人員在本發明揭露的技術范圍內，可輕易想到的變化或替換，都應涵蓋在本發明的保護范圍之內。因此，本發明的保護范圍應該以權利要求的保護范圍為準。
權利要求
1.一種接入控制器將無線用戶接入網絡服務的方法，包括步驟A，接入控制器通過接入點將無線用戶接入無線局域網；B，接入控制器接收授權服務器發出的對所述無線用戶側授權請求響應的授權信息，所述授權信息包含網絡服務和網絡服務接入點信息；C，接入控制器通過所述網絡服務接入點將所述無線用戶接入到所述網絡服務。
2.如權利要求1所述的方法，其特征在于，所述接入控制器在所述無線用戶的接入認證成功后，在步驟C之前，還包括如下步驟所述接入控制器和所述無線用戶進行鏈路密鑰協商。
3.如權利要求1或2所述的方法，其特征在于，所述步驟C包括如下步驟所述接入控制器為所述無線用戶創建根據源MAC地址進行定向轉發的二層表項，根據該表項將所述無線用戶的報文轉發到所述網絡服務接入點。
4.一種計算機軟件產品，其特征在于包括若干指令用以使得一臺計算機設備執行如權利要求1至3中任意一項所述的方法。
5.一種計算機設備，其特征在于包括用以執行如權利要求1至3中任意一項所述方法的軟件以及運行該軟件必須的硬件。
6.一種接入控制器，位于無線用戶和無線網絡授權服務器之間，其特征在于，包括鏈路建立單元、信息獲取單元和數據轉發單元，鏈路建立單元，用于與無線用戶建立鏈路；信息獲取單元，用于接收所述服務器返回的所述無線用戶的包含網絡服務和網絡服務接入點的授權信息，并將所述授權信息發送給數據轉發單元；數據轉發單元，用于接收信息獲取單元發送來的授權信息，以及接收所述無線用戶的報文，并將報文轉發到所述網絡服務接入點。
7.如權利要求6所述的接入控制器，其特征在于，還包含鏈路密鑰協商單元；鏈路密鑰協商單元，用于接收密鑰協商消息，和所述無線用戶進行鏈路密鑰協商，并在密鑰協商成功后，將協商的密鑰發送給所述數據轉發單元；所述數據轉發單元通過所述密鑰與所述無線用戶進行數據傳輸。
8.如權利要求6或7所述的接入控制器，其特征在于，所述數據轉發單元為所述無線用戶創建根據源MAC地址進行定向轉發的二層表項，根據所述二層表項將所述無線用戶的報文轉發到所述網絡服務接入點；進一步用于接收所述網絡服務接入點轉發的發往所述無線用戶的報文。
9.一種服務器，包括授權信息存儲單元，其特征在于，包括所述授權信息存儲單元，用于存儲供接入控制器使用的無線用戶的包含的網絡服務和網絡服務接入點的授權信息，授權單元，用于接收無線用戶授權請求消息，并向接入控制器返回所述授權信息。
10.如權利要求9所述的服務器，其特征在于，還包括授權信息配置單元，用于接受管理員對無線用戶的網絡服務接入點的配置，并將其存儲在授權信息存儲單元。
11.一種提供無線用戶的網絡服務接入點的服務方法，其特征在于，在服務端接收無線用戶授權請求消息，并返回所述授權信息；其中所述授權信息包含網絡服務和網絡服務接入點信息，用以供接入控制器為無線用戶選擇網絡服務接入點。
12.一種計算機軟件產品，其特征在于包括若干指令用以使得一臺計算機設備執行如權利要求11所述的方法。
13.一種無線局域網無線用戶接入網絡服務的方法，包括步驟E，無線用戶通過接入點AP以及對應的接入控制器AC接入無線局域網；F，所述接入AC向授權服務器發送所述無線用戶的授權信息請求消息，授權服務器向接入AC發送所述無線用戶的包含網絡服務和網絡服務接入點信息的授權信息；G，所述接入AC通過所述網絡服務接入點將所述無線用戶接入到所述網絡服務。
14.如權利要求13所述的方法，其特征在于，在步驟E之后，步驟F之前，還包括如下步驟所述接入AC通過認證服務器對所述無線用戶進行接入認證。
15.如權利要求14所述的方法，其特征在于，對所述無線用戶的接入認證成功后，在步驟G之前，還包括如下步驟所述接入AC和所述無線用戶進行鏈路密鑰協商。
16.如權利要求13或14或15所述的方法，其特征在于，無線用戶的網絡服務接入點的授權信息由無線局域網管理員在授權服務器上進行配置。
17.如權利要求13或14或15所述的方法，其特征在于，所述步驟G包括如下步驟所述接入AC為所述無線用戶創建根據源MAC地址進行定向轉發的二層表項，根據該表項將所述無線用戶的報文轉發到所述網絡服務接入點；所述網絡服務接入點為所述無線用戶生成漫游表項，根據該表項將發往所述無線用戶的報文轉發到所述接入AC。
18.如權利要求17所述的方法，其特征在于，所述網絡服務接入點為所述無線用戶生成漫游表項包括如下步驟所述網絡服務接入點判斷是否存在所述無線用戶的漫游表項，如果存在，則將其目的地址更改為當前目的地址，否則，所述網絡服務接入點為所述無線用戶創建目的地址為所述接入AC地址的漫游表項。
全文摘要
本發明公開了無線用戶接入網絡服務的方法以及接入控制器和服務器。一種接入控制器將無線用戶接入網絡服務的方法包括步驟接入控制器通過接入點將無線用戶接入無線局域網；接入控制器接收授權服務器發出的對所述無線用戶側授權請求響應的授權信息，所述授權信息包含網絡服務和網絡服務接入點信息；接入控制器通過所述網絡服務接入點將所述無線用戶接入到所述網絡服務。通過本發明提供方法及其接入控制器和服務器，根據無線用戶授權的網絡服務接入點為其提供網絡接入服務，減少了查找網絡服務接入點的時間，并可以為無線用戶接入網絡服務提供無縫漫游服務。
文檔編號H04L9/32GK1976309SQ200610169909
公開日2007年6月6日 申請日期2006年12月22日 優先權日2006年12月22日
發明者趙玉金, 張海濤, 費優松, 張志飛, 史揚 申請人:杭州華為三康技術有限公司