專(zhuān)利名稱(chēng):實(shí)現(xiàn)無(wú)線局域網(wǎng)虛擬接入點(diǎn)間通信的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及無(wú)線局域網(wǎng)的虛擬接入點(diǎn),尤其涉及一種實(shí)現(xiàn)無(wú)線局域網(wǎng)虛擬接入點(diǎn)間通信的方法。
背景技術(shù):
在AP(Access Point,接入點(diǎn))的實(shí)際應(yīng)用中,SSID(Service Set Identifier,服務(wù)集標(biāo)識(shí))可以有多種用途。如SSID可以標(biāo)識(shí)不同的ISP(Internet ServiceProvider,互聯(lián)網(wǎng)服務(wù)提供商),當(dāng)AP連接屬于多個(gè)ISP的STA(Station,端站(無(wú)線網(wǎng)卡))時(shí),需要AP支持多個(gè)SSID,并實(shí)現(xiàn)對(duì)不同的SS(Service Set,服務(wù)集)標(biāo)記不同的VLAN(Virtual Local Area Network,虛擬局域網(wǎng)),實(shí)現(xiàn)SS(Service Set,服務(wù)集)之間的隔離。不同的SSID還可以標(biāo)識(shí)不同的服務(wù)類(lèi)型,如IP電話服務(wù)、數(shù)據(jù)服務(wù)、視頻服務(wù)等。這時(shí)需要對(duì)不同的SS提供不同的QoS(Quality of Service,服務(wù)質(zhì)量)保證。在實(shí)際應(yīng)用中,這種需求可能存在,如Wi-Fi(Wireless Fidelity,基于IEEE 802.11b標(biāo)準(zhǔn)的無(wú)線局域網(wǎng))手機(jī)用戶只需要電話低時(shí)延服務(wù)。
每個(gè)SSID對(duì)應(yīng)一個(gè)虛擬AP。根據(jù)用戶配置,在一個(gè)物理AP上可以配置多個(gè)SSID,存在多個(gè)虛擬AP,也可能只有一個(gè)虛擬AP。每個(gè)虛擬AP作為一個(gè)獨(dú)立的管理實(shí)體存在于網(wǎng)絡(luò)中,又存在一定的聯(lián)系。AP間通訊大都發(fā)生在虛擬AP間,因此虛擬AP之間的通信問(wèn)題需要解決。而在網(wǎng)絡(luò)規(guī)劃中,以最常使用的IP協(xié)議為例,對(duì)每個(gè)虛擬AP分配單獨(dú)的IP地址可能存在資源浪費(fèi)和沖突問(wèn)題,因此只能對(duì)物理AP分配IP地址。而物理AP間通訊的端口是標(biāo)準(zhǔn)統(tǒng)一規(guī)定,也無(wú)法針對(duì)虛擬AP進(jìn)行設(shè)置。
如圖1所示,在現(xiàn)有技術(shù)中,沒(méi)有區(qū)分物理AP和虛擬AP的概念,AP間通信僅在物理AP間進(jìn)行,IAPP(Inter-Access Point Protocol,接入點(diǎn)內(nèi)部協(xié)議)模塊或負(fù)載均衡模塊將需要通信的報(bào)文通知通信模塊,由通信模塊發(fā)送到遠(yuǎn)端AP,遠(yuǎn)端AP通信模塊接收到報(bào)文后,將報(bào)文通知給相應(yīng)的IAPP模塊或負(fù)載均衡模塊,反之亦然。
IAPP模塊和負(fù)載均衡模塊是兩個(gè)彼此獨(dú)立的模塊,之間沒(méi)有什么邏輯關(guān)系。唯一類(lèi)似點(diǎn)就是它們都需要在AP間通信,交換報(bào)文,才能完成所需的功能。通信模塊為IAPP模塊和負(fù)載均衡模塊提供了AP間通訊的服務(wù),且AP間的通信只能通過(guò)通信模塊進(jìn)行。
在現(xiàn)有的AP間通信方案中,僅使用物理AP的IP地址和指定端口實(shí)現(xiàn)通信,由各應(yīng)用模塊對(duì)通信消息內(nèi)容自行解析分配。物理AP由其內(nèi)部的IAPP模塊、負(fù)載均衡模塊等對(duì)AP間通信的信息進(jìn)行處理。在現(xiàn)有的AP間通信方案中,根本沒(méi)有可以用于區(qū)分虛擬AP的信息,需要接收方根據(jù)信息中所攜帶的內(nèi)容,如STA的MAC(Media Access Control,媒體接入控制)地址,AP的BSSID(Basic Service Set Identifier,基本服務(wù)集標(biāo)識(shí))等進(jìn)行區(qū)分。但是僅靠這些信息區(qū)分是不可靠的,因?yàn)锳P上存儲(chǔ)的這些信息可能不全,通信的發(fā)送端AP和接收端AP保存的這些信息也可能不一致,此時(shí)就無(wú)法正確的分辨通信消息屬于哪個(gè)虛擬AP。由于需要應(yīng)用模塊參與到虛擬AP的辨認(rèn)過(guò)程,因此無(wú)法針對(duì)每個(gè)虛擬AP設(shè)置安全機(jī)制,從而給WLAN(Wireless Local AreaNetwork,無(wú)線局域網(wǎng))網(wǎng)絡(luò)帶來(lái)安全隱患,同時(shí)增加了各應(yīng)用模塊的工作量,導(dǎo)致效率低下,協(xié)議處理層次不清晰。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種實(shí)現(xiàn)無(wú)線局域網(wǎng)虛擬接入點(diǎn)間通信的方法,以解決現(xiàn)有技術(shù)中無(wú)線局域網(wǎng)中虛擬AP間通信時(shí)無(wú)法正確的分辨通信消息所屬的虛擬AP和無(wú)法針對(duì)每個(gè)虛擬AP設(shè)置安全機(jī)制的問(wèn)題。
為解決上述問(wèn)題,本發(fā)明提供以下技術(shù)方案一種實(shí)現(xiàn)無(wú)線局域網(wǎng)虛擬接入點(diǎn)間通信的方法,包括步驟A、發(fā)送端的虛擬接入點(diǎn)在發(fā)送的報(bào)文內(nèi)添加目標(biāo)虛擬接入點(diǎn)的辨別標(biāo)識(shí);B、接收端的物理接入點(diǎn)根據(jù)所述辨別標(biāo)識(shí)將所述報(bào)文傳遞到對(duì)應(yīng)的目標(biāo)虛擬接入點(diǎn)。
在步驟A之前發(fā)送端的虛擬接入點(diǎn)利用設(shè)置的安全機(jī)制對(duì)發(fā)送的報(bào)文進(jìn)行安全處理,以及在步驟B之后目標(biāo)虛擬接入點(diǎn)利用對(duì)應(yīng)的安全機(jī)制對(duì)報(bào)文進(jìn)行逆處理。對(duì)報(bào)文進(jìn)行的安全處理是加密和/或認(rèn)證,對(duì)報(bào)文進(jìn)行的逆處理是解密和/或校驗(yàn)。發(fā)送端的虛擬接入點(diǎn)可以對(duì)整個(gè)報(bào)文或部分報(bào)文進(jìn)行安全處理。
在所述步驟A和步驟B之間還包括步驟A1、發(fā)送端的物理接入點(diǎn)利用設(shè)置的安全機(jī)制對(duì)添加辨別標(biāo)識(shí)的報(bào)文進(jìn)行安全處理;A2、接收端的物理接入點(diǎn)利用與步驟A1對(duì)應(yīng)的安全機(jī)制對(duì)添加辨別標(biāo)識(shí)的報(bào)文進(jìn)行逆處理。
所述步驟A1中的安全處理為加密和/或認(rèn)證,所述步驟A2中的逆處理為解密和/或校驗(yàn)。在所述步驟A1中可以對(duì)整個(gè)或部分添加辨別標(biāo)識(shí)的報(bào)文進(jìn)行安全處理。
所述辨別標(biāo)識(shí)可以位于報(bào)文的任意位置。
所述辨別標(biāo)識(shí)為服務(wù)集標(biāo)識(shí)。
由于本發(fā)明采用了以上技術(shù)方案,故具有以下有益效果本發(fā)明在發(fā)送端的虛擬接入點(diǎn)所發(fā)送的報(bào)文內(nèi)添加了目標(biāo)虛擬接入點(diǎn)的辨別標(biāo)識(shí),接收端的物理接入點(diǎn)可根據(jù)該辨別標(biāo)識(shí)判別出報(bào)文的目標(biāo)虛擬接入點(diǎn),從而實(shí)現(xiàn)了無(wú)線局域網(wǎng)虛擬接入點(diǎn)間的正確通信,同時(shí)本發(fā)明可以針對(duì)不同的虛擬AP設(shè)置不同的安全機(jī)制,提高了網(wǎng)絡(luò)安全性。
圖1為現(xiàn)有技術(shù)中AP間通信的示意圖;圖2為本發(fā)明的在進(jìn)行虛擬AP間通信時(shí)的處理流程圖;圖3為虛擬AP間通信發(fā)送端報(bào)文處理示意圖;圖4為虛擬AP間通信接收端報(bào)文處理示意圖。
具體實(shí)施例方式
本發(fā)明的實(shí)現(xiàn)無(wú)線局域網(wǎng)虛擬AP間通信的方法的過(guò)程如下發(fā)送端的虛擬AP在發(fā)送的報(bào)文內(nèi)添加目標(biāo)虛擬AP的辨別標(biāo)識(shí),該辨別標(biāo)識(shí)用于標(biāo)識(shí)所發(fā)送的報(bào)文的目標(biāo)虛擬AP;接收端的物理AP從報(bào)文中得到辨別標(biāo)識(shí)后,根據(jù)辨別標(biāo)識(shí)判別出該報(bào)文的目標(biāo)虛擬AP,然后將該報(bào)文傳遞給相應(yīng)的目標(biāo)虛擬AP。
目標(biāo)虛擬AP的辨別標(biāo)識(shí)可以位于報(bào)文的任意位置,但是在發(fā)送端的虛擬AP和目標(biāo)虛擬AP之間的所有報(bào)文內(nèi),該辨別標(biāo)識(shí)需要放在一個(gè)固定位置,即在每個(gè)報(bào)文里的位置都一樣,這樣就可以讓接收端能夠快速定位辨別標(biāo)識(shí),不需要對(duì)報(bào)文內(nèi)容進(jìn)行處理后才知道辨別標(biāo)識(shí)存放在哪里。
由于每個(gè)SSID對(duì)應(yīng)一個(gè)虛擬AP,因此目標(biāo)虛擬AP的辨別標(biāo)識(shí)通常選用SSID,該辨別標(biāo)識(shí)也可以是人為定義的其他標(biāo)識(shí),只要能對(duì)目標(biāo)虛擬AP進(jìn)行區(qū)分即可。
為了保證虛擬AP間所通信的報(bào)文的安全性,在報(bào)文內(nèi)添加目標(biāo)虛擬AP的辨別標(biāo)識(shí)之前,發(fā)送端的虛擬AP通常需要設(shè)置安全機(jī)制對(duì)發(fā)送的報(bào)文進(jìn)行安全處理,安全處理主要通過(guò)加密和/或認(rèn)證來(lái)實(shí)現(xiàn)。加密的處理過(guò)程是將通信內(nèi)容中的明文替換成密文,使得非授權(quán)者無(wú)法得到信息的內(nèi)容,加密的方式有很多種,如DES、3DES、RC5、RC4、AES等,可根據(jù)實(shí)際情況任選。認(rèn)證的處理過(guò)程是根據(jù)通信內(nèi)容計(jì)算出一個(gè)不知道密鑰就無(wú)法仿制的數(shù)字簽名,防止通信內(nèi)容被篡改或偽造,認(rèn)證的方式同樣有很多種,如MD5、SHA、KPDK、SHA2等,可根據(jù)實(shí)際情況任選。為了保證AP間通訊安全,該安全機(jī)制針對(duì)發(fā)送端的虛擬AP和目標(biāo)虛擬AP分別進(jìn)行設(shè)置。
在進(jìn)行安全處理時(shí),可以只對(duì)報(bào)文進(jìn)行加密處理,也可以只對(duì)報(bào)文進(jìn)行認(rèn)證處理,還可以對(duì)報(bào)文進(jìn)行加密和認(rèn)證雙重處理,在對(duì)報(bào)文進(jìn)行加密和認(rèn)證雙重處理時(shí),應(yīng)該先對(duì)報(bào)文進(jìn)行加密,然后根據(jù)加密后的報(bào)文計(jì)算出認(rèn)證所需的數(shù)字簽名。加密和/或認(rèn)證可以對(duì)整個(gè)報(bào)文進(jìn)行,也可以只對(duì)報(bào)文的某一部分進(jìn)行。
若發(fā)送端的虛擬AP對(duì)將要發(fā)送的報(bào)文進(jìn)行了安全處理,則在接收端的物理AP根據(jù)辨別標(biāo)識(shí)將報(bào)文傳遞給相應(yīng)的目標(biāo)虛擬AP后,目標(biāo)虛擬AP需要利用對(duì)應(yīng)的安全機(jī)制對(duì)報(bào)文進(jìn)行逆處理。如果發(fā)送端的虛擬AP對(duì)將要發(fā)送的報(bào)文做了加密,則目標(biāo)虛擬AP需要對(duì)報(bào)文進(jìn)行相應(yīng)的解密,得到明文;如果發(fā)送端的虛擬AP對(duì)將要發(fā)送的報(bào)文做了認(rèn)證,則目標(biāo)虛擬AP需要對(duì)報(bào)文進(jìn)行校驗(yàn),保證報(bào)文沒(méi)有被篡改。如果發(fā)送端的虛擬AP對(duì)將要發(fā)送的報(bào)文做了加密和認(rèn)證雙重處理,則目標(biāo)虛擬AP首先根據(jù)收到的報(bào)文內(nèi)容計(jì)算出數(shù)字簽名,在保證報(bào)文沒(méi)有被篡改和偽造后,再對(duì)報(bào)文內(nèi)容進(jìn)行解密,得出原始報(bào)文。
為了進(jìn)一步提高安全性,保證目標(biāo)虛擬AP的辨別標(biāo)識(shí)不被篡改,也可以在對(duì)添加辨別標(biāo)識(shí)的報(bào)文再按發(fā)送端的物理AP所設(shè)置的安全機(jī)制進(jìn)行安全處理。該安全處理主要通過(guò)加密和/或認(rèn)證來(lái)實(shí)現(xiàn),可以只對(duì)報(bào)文進(jìn)行加密處理,也可以只對(duì)報(bào)文進(jìn)行認(rèn)證處理,還可以對(duì)報(bào)文進(jìn)行加密和認(rèn)證雙重處理。加密和/或認(rèn)證可以對(duì)整個(gè)報(bào)文進(jìn)行,也可以只對(duì)報(bào)文的某一部分進(jìn)行。該安全機(jī)制處理針對(duì)每個(gè)物理AP分別設(shè)定。
若發(fā)送端的物理AP對(duì)添加辨別標(biāo)識(shí)的報(bào)文進(jìn)行了安全處理,則接收端的物理AP需要利用對(duì)應(yīng)的安全機(jī)制對(duì)報(bào)文進(jìn)行逆處理。如果發(fā)送端的物理AP對(duì)添加辨別標(biāo)識(shí)的報(bào)文做了認(rèn)證,則接收端的物理AP需要進(jìn)行相應(yīng)的校驗(yàn),保證報(bào)文沒(méi)有被篡改,如果發(fā)送端的物理AP對(duì)添加辨別標(biāo)識(shí)的報(bào)文做了加密,則接收端的物理AP需要進(jìn)行解密,得到明文。如果發(fā)送端的物理AP對(duì)添加辨別標(biāo)識(shí)的報(bào)文做了加密和認(rèn)證雙重處理,則接收端的物理AP首先根據(jù)收到的報(bào)文內(nèi)容計(jì)算出數(shù)字簽名,在保證報(bào)文沒(méi)有被篡改和偽造后,再對(duì)報(bào)文內(nèi)容進(jìn)行解密,得出原始報(bào)文。
如圖2所示,本發(fā)明的實(shí)現(xiàn)無(wú)線局域網(wǎng)虛擬AP間通信的方法的較佳處理過(guò)程如下S1、發(fā)送端的虛擬AP設(shè)置安全機(jī)制對(duì)發(fā)送的報(bào)文進(jìn)行安全處理;S2、發(fā)送端的虛擬AP在發(fā)送的報(bào)文內(nèi)添加目標(biāo)虛擬AP的辨別標(biāo)識(shí);S3、發(fā)送端的物理AP設(shè)置安全機(jī)制對(duì)添加辨別標(biāo)識(shí)的報(bào)文進(jìn)行安全處理;S4、接收端的物理AP利用與步驟S3對(duì)應(yīng)的安全機(jī)制對(duì)報(bào)文進(jìn)行逆處理;S5、接收端的物理AP根據(jù)步驟S2中的辨別標(biāo)識(shí)將報(bào)文傳遞到對(duì)應(yīng)的目標(biāo)虛擬AP;S6、目標(biāo)虛擬AP利用與步驟S1對(duì)應(yīng)的安全機(jī)制對(duì)報(bào)文進(jìn)行逆處理。
在上述處理過(guò)程中,步驟S1、S2、S3在發(fā)送端進(jìn)行,步驟S4、S5、S6在接收端進(jìn)行。
本發(fā)明對(duì)所有的通信協(xié)議(如IP)都有效,如果通訊模塊辨認(rèn)出通信協(xié)議中的源地址和目標(biāo)地址一致,則表明目標(biāo)虛擬AP和發(fā)送端的虛擬AP在同一物理AP上,即可以將本發(fā)明應(yīng)用在內(nèi)部通訊機(jī)制上。
下面以一個(gè)具體實(shí)施例對(duì)本發(fā)明的虛擬AP間通信的全過(guò)程進(jìn)行說(shuō)明如圖3、圖4所示,在WLAN的IAPP協(xié)議中,為實(shí)現(xiàn)STA在AP間的切換,AP之間需要通信以便交流有關(guān)此STA的相關(guān)信息,發(fā)送端AP對(duì)原有的IAPP報(bào)文按虛擬AP獨(dú)立設(shè)置安全機(jī)制,對(duì)原IAPP報(bào)文進(jìn)行DES加密,然后對(duì)報(bào)文擴(kuò)充,增加SSID作為辨別標(biāo)識(shí),并對(duì)增加辨別標(biāo)識(shí)的報(bào)文進(jìn)行MD5認(rèn)證后發(fā)送到接收端AP;接收端AP收到報(bào)文后,首先對(duì)MD5認(rèn)證字進(jìn)行校驗(yàn),保證報(bào)文沒(méi)有被仿造或篡改,然后按虛擬AP獨(dú)立設(shè)置的安全機(jī)制,對(duì)報(bào)文進(jìn)行DES解密,得到原IAPP報(bào)文,即可解決虛擬AP下IAPP協(xié)議工作的安全問(wèn)題和效率問(wèn)題。
以上僅以較佳實(shí)施例對(duì)本發(fā)明進(jìn)行說(shuō)明,本領(lǐng)域的技術(shù)人員可以對(duì)本發(fā)明進(jìn)行各種改動(dòng)和變型而不脫離本發(fā)明的精神和范圍。這樣,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi),則本發(fā)明也意圖包含這些改動(dòng)和變型在內(nèi)。
權(quán)利要求
1.一種實(shí)現(xiàn)無(wú)線局域網(wǎng)虛擬接入點(diǎn)間通信的方法,其特征在于包括步驟A、發(fā)送端的虛擬接入點(diǎn)在發(fā)送的報(bào)文內(nèi)添加目標(biāo)虛擬接入點(diǎn)的辨別標(biāo)識(shí);B、接收端的物理接入點(diǎn)根據(jù)所述辨別標(biāo)識(shí)將所述報(bào)文傳遞到對(duì)應(yīng)的目標(biāo)虛擬接入點(diǎn)。
2.根據(jù)權(quán)利要求1所述的實(shí)現(xiàn)無(wú)線局域網(wǎng)虛擬接入點(diǎn)間通信的方法,其特征在于在步驟A之前發(fā)送端的虛擬接入點(diǎn)利用設(shè)置的安全機(jī)制對(duì)發(fā)送的報(bào)文進(jìn)行安全處理,以及在步驟B之后目標(biāo)虛擬接入點(diǎn)利用對(duì)應(yīng)的安全機(jī)制對(duì)報(bào)文進(jìn)行逆處理。
3.根據(jù)權(quán)利要求2所述的實(shí)現(xiàn)無(wú)線局域網(wǎng)虛擬接入點(diǎn)間通信的方法,其特征在于對(duì)報(bào)文進(jìn)行的安全處理是加密和/或認(rèn)證,對(duì)報(bào)文進(jìn)行的逆處理是解密和/或校驗(yàn)。
4.根據(jù)權(quán)利要求2所述的實(shí)現(xiàn)無(wú)線局域網(wǎng)虛擬接入點(diǎn)間通信的方法,其特征在于發(fā)送端的虛擬接入點(diǎn)可以對(duì)整個(gè)報(bào)文或部分報(bào)文進(jìn)行安全處理。
5.根據(jù)權(quán)利要求1或2所述的實(shí)現(xiàn)無(wú)線局域網(wǎng)虛擬接入點(diǎn)間通信的方法,其特征在于在所述步驟A和步驟B之間還包括步驟A1、發(fā)送端的物理接入點(diǎn)利用設(shè)置的安全機(jī)制對(duì)添加辨別標(biāo)識(shí)的報(bào)文進(jìn)行安全處理;A2、接收端的物理接入點(diǎn)利用與步驟A1對(duì)應(yīng)的安全機(jī)制對(duì)添加辨別標(biāo)識(shí)的報(bào)文進(jìn)行逆處理。
6.根據(jù)權(quán)利要求5所述的實(shí)現(xiàn)無(wú)線局域網(wǎng)虛擬接入點(diǎn)間通信的方法,其特征在于所述步驟A1中的安全處理為加密和/或認(rèn)證,所述步驟A2中的逆處理為解密和/或校驗(yàn)。
7.根據(jù)權(quán)利要求5所述的實(shí)現(xiàn)無(wú)線局域網(wǎng)虛擬接入點(diǎn)間通信的方法,其特征在于在所述步驟A1中可以對(duì)整個(gè)或部分添加辨別標(biāo)識(shí)的報(bào)文進(jìn)行安全處理。
8.根據(jù)權(quán)利要求1所述的實(shí)現(xiàn)無(wú)線局域網(wǎng)虛擬接入點(diǎn)間通信的方法,其特征在于所述辨別標(biāo)識(shí)可以位于報(bào)文的任意位置。
9.根據(jù)權(quán)利要求1所述的實(shí)現(xiàn)無(wú)線局域網(wǎng)虛擬接入點(diǎn)間通信的方法,其特征在于所述辨別標(biāo)識(shí)為服務(wù)集標(biāo)識(shí)。
全文摘要
本發(fā)明公開(kāi)了一種實(shí)現(xiàn)無(wú)線局域網(wǎng)虛擬接入點(diǎn)間通信的方法,以解決現(xiàn)有技術(shù)中無(wú)線局域網(wǎng)虛擬AP間通信時(shí)無(wú)法正確的分辨通信消息屬于哪個(gè)虛擬AP并且無(wú)法針對(duì)每個(gè)虛擬AP設(shè)置安全機(jī)制的問(wèn)題。該方法在發(fā)送的報(bào)文內(nèi)添加目標(biāo)虛擬接入點(diǎn)的辨別標(biāo)識(shí),由接收端的物理接入點(diǎn)根據(jù)該辨別標(biāo)識(shí)判別出該報(bào)文的目標(biāo)虛擬接入點(diǎn),從而實(shí)現(xiàn)了無(wú)線局域網(wǎng)虛擬接入點(diǎn)間的正確通信,同時(shí)本發(fā)明可以針對(duì)不同的虛擬AP設(shè)置不同的安全機(jī)制,提高了網(wǎng)絡(luò)安全性。
文檔編號(hào)H04L12/28GK1812366SQ20051000491
公開(kāi)日2006年8月2日 申請(qǐng)日期2005年1月28日 優(yōu)先權(quán)日2005年1月28日
發(fā)明者曹振奇 申請(qǐng)人:華為技術(shù)有限公司