專利名稱:應用于wlan中的驗證方法和裝置的制作方法
技術領域:
本發(fā)明涉及網絡通信技術領域,特別涉及應用于WLAN中的驗證方法和裝置�。
背景技術:
無線局域網(WLAN =Wireless Local Area Network)技術是網絡通信技術領域的研究熱點,其和有線相比�,具有啟動和實施相對簡單����、維護成本低廉等優(yōu)點�。使用WLAN,網絡運營商和企業(yè)能夠為無線用戶提供無線局域網服務�����,服務內容主要包括(1)�����,為具有無線局域網功能的設備建立無線網絡�,通過該被建立的無線網絡,無線用戶可以連接到固定網絡或因特網�;(2),訪問傳統(tǒng)802. 3局域網����;(3),使用不同認證和加密方式安全訪問WLAN��,并可通過使用802. Ili機制在MAC 層加密以防止MAC偽造問題����;0)�,為無線用戶提供安全的網絡接入和移動區(qū)域內的無縫漫游�。目前,WLAN中僅存在源MAC地址驗證�����,所謂源MAC地址驗證是指由接入設備比如 AP驗證其接收的數據報文中的源MAC地址是否合法來決定是否繼續(xù)轉發(fā)該接收的數據報文�;但不存在IP驗證��,這會導致不同客戶端(station)使用相同IP地址����、影響網絡安全問題。以圖1所示的WLAN組網為例�����,在圖1中�����,比如地址分配服務器比如DHCP服務器為接入了 APl的stationl分配的IP地址為IP地址1����,則若AP2接入的station2偽造stationl 發(fā)送攜帶了 IP地址1的動態(tài)主機配置協(xié)議確認(DHCP v6confirm)報文給地址分配服務器��,這里����,DHCP v6c0nfirm報文的發(fā)送和應答是合法的DHCP交互過程���,其由station在重新上線時發(fā)送��,以方便該station確認其被分配的IP地址�����。當地址分配服務器接收到DHCP v6confirm報文后��,其僅驗證該DHCP v6confirm報文攜帶的stationl的標識是否與其記錄的stationl的標識一致����,由于station2偽造stationl發(fā)送DHCP v6conf irm報文�,其肯定會攜帶正確的stationl標識以保證地址分配服務器允許其使用IP地址1。如此�����,當驗證通過時��,不同station使用相同IP地址進行通信的情況,影響網絡安全問題����。
發(fā)明內容
本發(fā)明提供了應用于WLAN中的驗證方法和裝置,以實現對客戶端發(fā)送的數據報文進行IP地址驗證����,避免不同station使用相同IP地址進行通信。本發(fā)明提供的技術方案包括一種應用于WLAN中的驗證方法���,包括A,接入設備學習客戶端station被分配的IP地址�����;B��,接入設備將學習到的IP地址同步至用于管理所述接入設備的管理設備�����,并接收所述管理設備對IP地址是否已被與所述客戶端屬于同一鏈路的其他Station使用的確認結果��;C�����,所述接入設備利用通過確認的IP地址驗證所述客戶端發(fā)送的數據報文,所述通過確認的IP地址是指確認結果為否的IP地址�。一種應用于WLAN中的接入設備,包括地址學習單元����,用于學習客戶端station被分配的IP地址;同步處理單元����,用于將學習的IP地址同步至用于管理所述接入設備的管理設備, 并接收所述管理設備對IP地址是否已被與所述客戶端屬于同一鏈路的其他Station使用的確認結果�����;IP地址驗證單元���,用于利用通過確認的IP地址驗證所述客戶端發(fā)送的數據報文����, 所述通過確認的IP地址是指確認結果為否的IP地址��。一種應用于WLAN中的驗證方法,包括A�����,管理設備接收其管理的接入設備同步過來的客戶端的IP地址��,B,管理設備針對同步過來的IP地址����,確認該IP地址是否已被其他station使用, 并將確認結果發(fā)送給接入設備�。一種應用于WLAN中的管理設備,用于管理一個或者多個接入設備�,包括IP地址接收單元,用于接收所述管理設備管理的接入設備同步過來的客戶端的 IP地址��;IP地址確認單元���,用于針對同步過來的IP地址,確認該IP地址是否已被其他 station使用�����,并將確認結果發(fā)送給接入設備����。一種應用于WLAN中驗證方法�,包括A��,接入設備學習客戶端station被分配的IP地址��;B,所述接入設備針對學習到的IP地址�,確認該IP地址是否已被其他station使用;C���,所述接入設備利用通過確認的IP地址驗證是否繼續(xù)轉發(fā)所述客戶端發(fā)送的數據報文�,所述通過確認的IP地址是指步驟B中確認結果為否的IP地址��。一種應用于WLAN中的接入設備�,包括IP地址學習單元,用于學習客戶端station被分配的IP地址���;IP地址確認單元��,用于針對學習到的IP地址���,確認該IP地址是否已被其他 station 使用;IP地址驗證單元��,用于利用通過確認的IP地址驗證是否繼續(xù)轉發(fā)所述客戶端發(fā)送的數據報文,所述通過確認的IP地址是指所述IP地址確認單元得到確認結果為否的IP 地址�。由以上技術方案可以看出,本發(fā)明實現了對客戶端發(fā)送的數據報文進行IP地址驗證�,具體為針對一客戶端,學習到該客戶端被分配的IP地址���,利用該學習的IP地址中未被其他Station使用的IP地址來驗證所述客戶端發(fā)送的數據報文��,當驗證成功時�,繼續(xù)轉發(fā)該數據報文��,否則�,禁止轉發(fā)該數據報文。這顯然可避免不同station使用相同IP地址進行通信的可能����,保證網絡安全。
圖1為現有WLAN組網示意圖����;圖2為本發(fā)明實施例1提供的基本流程圖3a為本發(fā)明實施例1提供的驗證示意圖��;圖北為本發(fā)明實施例1提供的詳細流程圖�;圖3c為本發(fā)明實施例提供的station漫游流程圖;圖如至如為本發(fā)明實施例1提供的用戶信息表示意圖;圖5為本發(fā)明實施例2提供的基本流程圖�;圖6為本發(fā)明實施例2提供的詳細流程圖;圖7為本發(fā)明實施例提供的一種裝置結構圖�;圖8為本發(fā)明實施例提供的另一裝置結構圖;圖9為本發(fā)明實施例提供的第三裝置結構圖�����。
具體實施例方式為了使本發(fā)明的目的���、技術方案和優(yōu)點更加清楚����,下面結合附圖和具體實施例對本發(fā)明進行詳細描述�。本發(fā)明實施例提供的方法是對WLAN中現有的源MAC地址驗證機制進行的擴展,具體可參見圖2所示的流程����。實施例1 參見圖2,圖2為本發(fā)明實施例1提供的基本流程圖��。如圖2所示���,該流程可包括以下步驟步驟201���,接入設備學習客戶端station被分配的IP地址�����。步驟202�,接入設備將學習到的IP地址同步至用于管理所述接入設備的管理設備���,并接收所述管理設備對IP地址是否已被其他Station使用的確認結果����。至于管理設備如何針對同步的IP地址確認是否已被與所述客戶端屬于同一鏈路的其他station使用��,在下文描述��。步驟203���,所述接入設備利用通過確認的IP地址驗證所述客戶端發(fā)送的數據報文�����,所述通過確認的IP地址是指確認結果為否的IP地址��。需要說明的是�����,本步驟203中的驗證主要是在所述數據報文通過MAC地址驗證之后進行的����,具體可參見圖3a所示的示意圖����。在圖2所示的流程中,接入設備可為AP����,相應地,管理設備可為AC�����。優(yōu)選地�,步驟202中的其他station具體實現時可為與所述客戶端屬于同一鏈路的station。如此��,從上述步驟201至步驟203可以看出�����,本實施例1是利用未被與所述客戶端屬于同一鏈路的其他station使用的IP地址來驗證所述客戶端發(fā)送的數據報文,這可避免同一鏈路不同station使用相同IP地址進行通信的可能�,保證了網絡安全。下面以接入設備為AP���,管理設備為AC為例通過圖北進行詳細描述����。在以太網概念中�,同一鏈路可進一步理解為同一 VLAN,通常�����,在以太網通信時���,要求同一 VLAN中的station使用不同的IP地址進行通信���,為滿足以太網通信的要求,圖北所示的流程主要目的是避免同一鏈路不同station使用相同IP地址進行通信的可能�����,當然,其他情況比如避免非同一鏈路不同station使用相同IP地址進行通信的可能的原理類似����,這里不再贅述。參見圖北�,圖北為本發(fā)明實施例1提供的詳細流程圖�����。圖北所示的流程基于圖1所示的組網���,其以DHCPv6分配地址方式為例�,其他地址分配方式原理類似����,這里不一一詳述。在圖1中���,為每一 AP配置允許DHCPv6報文和鏈路本地地址的鄰居發(fā)現(ND)報文通過的功能���,這里,鏈路本地地址是station在未認證之前用于訪問局域網或受限網絡內資源所使用的地址���,而當station在認證通過后��,即可使用被成功分配到的地址訪問外部網絡��。以客戶端為stationl��,客戶端接入的AP為APl為例���,對圖北所示的詳細流程進行描述步驟301b�����,APl首先生成以station標識為索引的用戶信息表�,該用戶信息表中包含了該APl接入station的station標識和對應的用戶信息�。該用戶信息表可與現有技術類似。其中�,station標識可以為station的MAC地址,或者為station的用戶名等����,本發(fā)明實施例并不具體限定,下文均以station標識為 station的MAC地址為例進行描述�����,具體可參見圖如所示的流程。而用戶信息表中的用戶信息具體可包括APl的標識�����、以及管理該APl的AC的標識等���。步驟302b�����,當stationl上線后,APl偵聽stationl與地址分配服務器分之間的 DHCPv6報文或者ND報文��,通過偵聽到的報文學習該stationl被地址分配服務器分配的 IP地址和對應的生存時間(在DHCPv6交互過程中�,IP地址的生成時間可稱為租約時間), 并在用戶信息表中增加stationl對應的第一生存時間表����,該第一生存時間表中包含該 stationl被分配的IP地址和擴展字段之間的對應關系,其中�����,擴展字段中包含IP地址對應的生存時間�����。本步驟302b中,在用戶信息表中增加第一生存時間表是對該用戶信息表的擴展�, 現有的用戶信息表是不存在該第一生存時間表的。優(yōu)選地��,本實施例1中�����,擴展字段還可包含其他信息��,比如����,IP地址的狀態(tài)信息。通常���,針對一 IP地址�,如果該IP地址已由地址分配服務器分配給stationl�,則該IP地址的狀態(tài)信息為ready,否則為其他狀態(tài)標識�����。基于此���,擴展字段包含的各個IP地址對應的狀態(tài)信息均為ready��。以stationl的MAC地址(記為MAC1)為例����,則增加的第一生存時間表具體可參見圖4b所示��。需要說明的是���,本步驟302b建立第一生存時間表的目的是為了方便APl定時檢查 IP地址的生存時間是否到期,具體參見下文所述����,因此,其可依照IP地址的生存時間的長度在第一生存時間表中排列各個IP地址和擴展字段之間的對應關系����。步驟303b,API判斷當前是否存在stationl對應的第一 IP地址表����,如果是�����,將當前學習到的IP地址添加在所述第一 IP地址表中��,否則����,繼續(xù)判斷當前是否達到生成IP地址表的條件���,如果是�����,生成所述客戶端對應的第一 IP地址表���,并添加截止當前已學習的IP 地址至所述第一 IP地址表中。本步驟30 中�����,判斷當前是否達到生成IP地址表的條件具體為判斷APl在步驟 302b學習的IP地址的數量是否大于或等于第一設定數量��,或者�,判斷APl截止本步驟30 之前已學習的IP地址的數量是否大于或等于第二設定數量等��,本發(fā)明實施例并不具體限定����。從本步驟303b可以看出���,第一 IP地址表中僅包含stationl被分配的IP地址��,并不包含該IP地址的生存時間���。本步驟30 中,stationl對應的第一 IP地址表目的是為了數據報文的驗證���,具體參見步驟307b�����,獨立的第一 IP地址表可按照快速定位IP地址的原則組織其包含的IP地址,比如����,通過哈希(HASH)算法或者基(Radix)樹組織第一 IP地址表中的IP地址。顯然第一 IP地址表并不是必須的�,其僅僅是一種更快速的查表的需要���。步驟304b,API將stationl對應的第一生存時間表中的IP地址和生存時間同步至用于控制APl的AC(記為ACl)中��,由ACl記錄該APl同步的IP地址和生存時間至第二生存時間表����。這里之所以同步生存時間,主要是考慮stationl漫游的情況��,具體可參見圖3c所示的流程��,以便stationl漫游所至的AP檢查IP地址的生存時間是否到期���。當然如果在 station不漫游的應用場景中����,可以不同步生存時間��,僅同步IP地址��,如此�,步驟302b中,就不需要學習生存時間���,進而也不需要在第一生存時間表中記錄生存時間���。由于第一生存時間表中不再包含生存時間�����,其能夠保證后續(xù)對數據報文進行驗證時快速查找該表��,如此�����,后續(xù)在接收到報文后�����,可利用該第一生存時間表對報文攜帶的源IP地址進行驗證����,這樣就不需要執(zhí)行步驟30 的操作�,進而說明步驟30 中的第一 IP地址表并不是必須的��。步驟305b���,ACl針對同步的每一 IP地址�,確認該IP地址是否已被與stationl屬于同一鏈路的其他station使用,并將確認結果發(fā)送至API�。步驟30 的判斷具體為從已建立的stationl所屬的鏈路對應的第二 IP地址表中查找該IP地址,如果查找不到���,則確認該IP地址未被與stationl屬于同一鏈路的其他 station使用(記為通過確認的IP地址)�����;如果查找到����,則確認該IP地址已被與stationl 屬于同一鏈路的其他station使用(記為未通過確認的IP地址)�����。在以太網中���,與stationl 屬于同一鏈路的其他station為與stationl處于同一 VLAN的其他station����。優(yōu)選地, 本步驟305b中�,ACl針對通過確認的IP地址,還可進一步包括將該IP地址直接添加在 stationl所屬的鏈路對應的第二 IP地址表中����。其中,第二 IP地址表可按照快速定位IP地址的原則組織其包含的IP地址���,比如����, 通過哈希算法或者Radix樹組織該第二 IP地址表中的IP地址�����。另外��,AC 1針對通過未通過確認的IP地址��,則可刪除該未通過確認的IP地址的記錄�����,具體為AC1從第二生存時間表中刪除該未通過確認的IP地址和對應的生存時間��。通過步驟304b和步驟305b能夠實現ACl記錄通過確認的IP地址和對應的生存時間。作為本發(fā)明實施例的一種擴展�,本實施例也可不在步驟304b記錄同步的IP地址和對應的生存時間至第二生存時間表����,而是在步驟30 中,僅將通過確認的IP地址和對應的生存時間記錄至第二生存時間表����。步驟306b,API刪除未通過確認的IP地址的記錄�����。具體地�,步驟306b為AP1從第一生存時間表中刪除未通過確認的IP地址和對應的生存時間,以及從第一 IP地址表中刪除未通過確認的IP地址�����。也就是說�����,stationl對應的第一生存時間表和第一 IP地址表中均不存在未通過確認的IP地址�。步驟302b至步驟306b實現了 APl記錄通過確認的IP地址至第一 IP地址表、以及記錄通過確認的IP地址和對應的生存時間至第一生存時間表的操作。從步驟302b至步驟306b可以看出����,本發(fā)明實施例是先將學習的IP地址和生存時間記錄至第一生存時間表, 以及將學習的IP地址記錄至第一 IP地址表�����,之后����,根據ACl的確認結果刪除未通過確認的 IP地址的記錄。作為本發(fā)明實施例的一種擴展�����,本發(fā)明實施例也可不先將學習的IP地址和生存時間記錄至第一生存時間表��,以及將學習的IP地址記錄至第一 IP地址表���,而是僅記錄通過ACl確認的IP地址至第一 IP地址表(具體記錄的操作類似上述步驟30 )�����,以及將通過ACl確認的IP地址和對應的生存時間記錄至第一生存時間表中���。需要說明的是���,本實施例中,APl定時檢查stationl對應的第一生存時間表中各個IP地址的生存時間是否到期�����,如果是�����,則刪除生存時間到期的IP地址的記錄�,并通知給 ACl,由該ACl刪除該生存時間到期的IP地址的記錄�。其中,APl刪除生存時間到期的IP 地址的記錄具體為從所述第一生存時間表中刪除該到期的生存時間和對應的IP地址�,以及從stationl對應的第一 IP地址表中刪除該生存時間到期的IP地址。其中��,ACl刪除生存時間到期的IP地址的記錄具體為如果ACl將APl同步的IP地址和生存時間記錄在 stationl對應的第二生存時間表����,則ACl接收到生存時間到期的通知后,從第二生存時間表中刪除該到期的生存時間和對應的IP地址����,以及從所述第二 IP地址表中刪除該到期的生存時間對應的IP地址�。步驟307b�,當APl接收到stationl發(fā)送的數據報文后,利用所述用戶信息表中 stationl的MAC地址和802. IlI協(xié)議對該數據報文進行MAC地址驗證���,如果驗證通過�����,執(zhí)行步驟30 ���;否則,執(zhí)行步驟309b���。步驟308b�,API驗證所述數據報文攜帶的源IP地址是否在stationl對應的第一 IP地址表中���,如果是����,則繼續(xù)轉發(fā)所述報文����,否則����,執(zhí)行步驟309b�。步驟309b,丟棄所述數據報文���。之后執(zhí)行步驟310b。步驟310b����,記錄stationl對應的數據報文丟棄量,判斷stationl對應的數據報文丟棄量在設定時間內是否達到預設閾值���,如果是��,則確定stationl為不法用戶����,迫使 stationl 下線���。至此��,通過上述步驟301b至310b實現了本發(fā)明實施例提供的IP地址驗證方法��。在上述圖北的流程中����,當APl偵聽到stationl被分配的IP地址發(fā)生變化,則該 APl根據發(fā)生變化的IP地址更新發(fā)生變化的IP地址�,并通知用于管理該APl的ACl更新發(fā)生變化的IP地址。其中�,所述IP地址發(fā)生變化具體實現時可包括IP地址被釋放或者其他情況。以IP地址被釋放為例���,則APl刪除該被釋放的IP地址的記錄���,并通知給用于管理該APl的AC1,由該ACl刪除該被釋放的IP地址的記錄��。其中����,APl刪除該被釋放的IP地址的記錄具體為從所述stationl對應的第一生存時間表中刪除被釋放的IP地址和對應的生存時間,以及從stationl對應的第一 IP地址表中刪除被釋放的IP地址����。ACl刪除該被釋放的IP地址的記錄具體為從包含了 APl同步的IP地址和生存時間的第二生存時間表中刪除被釋放的IP地址和對應的生存時間����,以及從stationl所屬鏈路對應的第二 IP地址表中刪除被釋放的IP地址���。當APl偵聽到stationl被分配的IP地址的生存時間發(fā)生變化���,則該APl更新發(fā)生變化的生存時間,并通知給用于管理該APl的AC1�,由ACl更新發(fā)生變化的生存時間。其中�, 生存時間發(fā)生變化包括生存時間被更新或者其他情況。以生存時間被更新為例����,則APl從所述stationl對應的第一生存時間表中更新需要被更新的生存時間�����,并通知給用于管理該APl的AC1��,由該ACl從包含了 APl同步的IP地址和生存時間的第二表現中更新需要被更新的生存時間�����。優(yōu)選地,本實施例1中���,所有的AC還可定時或者在其存放的IP地址或者生存時間發(fā)生變化時�,將其管理的AP同步的IP地址和生存時間同步至其他AC�����,由所述其他AC按照上述ACl的操作執(zhí)行���。另外����,本實施例1還提供了針對stationl漫游的流程�����,具體可參見圖3c所示的流程�����。參見圖3c�����,圖3c為本發(fā)明實施例提供的station漫游流程圖。以stationl漫游之前接入的AP為APl為例�,則當stationl漫游時,如圖3c所示��,該流程可包括以下步驟步驟301c��,當stationl漫游時��,stationl漫游至外地所接入的外地接入設備(記為AP2)發(fā)送漫游通知至用于管理該AP2的AC2����。步驟302c,AC2接收到所述漫游通知后����,確認該stationl漫游之前接入的APl是否由自身管理,如果是����,將已接收的由APl同步的IP地址和生存時間同步至AP2�����,否則,從管理APl的AC上同步stationl被分配的IP地址和生存時間�����,并將同步的IP地址和生存時間再次同步至AP2���。本實施例中�,AC之間可定時同步其管理的AP信息�����,其中�����,該AP信息具體可為AP 的標識和AP接入的station等信息�����。因此�,本步驟302c中,AC2可根據同步的AP信息很容易獲知用于管理APl的AC�����。優(yōu)選地,本步驟302c中�����,AC2將從管理APl的AC上同步的IP地址和生存時間再次同步至AP2具體可包括記錄從管理APl的AC上同步的IP地址和生存時間����;針對同步的每一 IP地址,執(zhí)行以下操作從已建立的stationl所屬的鏈路對應的第二 IP地址表中查找該IP地址�,如果查找不到,將該IP地址直接添加在第二 IP地址表中����,如果查找到,從記錄的IP地址和生存時間中刪除該IP地址和對應的生存時間����;在針對同步的所有IP地址完成該操作后,將記錄的剩余的IP地址和對應的生成時間同步至AP2�。步驟303c,AP2接收同步過來的IP地址和生存時間�,按照圖北所示流程中APl執(zhí)行的操作執(zhí)行比如利用該同步過來的IP地址驗證Stationl發(fā)送的數據報文,定時檢查該 IP地址的生存時間是否到期���,如果是,刪除到期的生存時間和對應的IP地址,并通知給AC2 刪除該到期的生存時間和對應的IP地址�。至此完成圖3c所示的流程。以上是實施例1的描述�。下面對實施例2進行詳細描述。參見圖5����,圖5為本發(fā)明實施例2提供的基本流程圖。在圖5中�����,其主要實現的是避免同一鏈路不同station使用相同IP地址進行通信的可能�����,其他情況���,比如避免不同 station使用相同IP地址進行通信的可能的原理類似�,這里不再贅述����。如圖5所示,該流程可包括步驟501�����,接入設備學習客戶端station被分配的IP地址。步驟502����,接入設備針對學習到的IP地址,確認該IP地址是否已被其他station 使用�����。步驟503����,接入設備利用通過確認的IP地址驗證所述客戶端發(fā)送的數據報文,所述通過確認的IP地址是指步驟502中確認結果為否的IP地址����。至此,完成圖5所示的流程�。在圖5所示的流程中,接入設備可為胖(FAT)AP�����,其具備實施例1中接入設備和管理設備的功能��。下面以接入設備為胖AP為例對圖5所示的流程進行詳細描述。
參見圖6����,圖6為本發(fā)明實施例2提供的詳細流程圖�。圖6所示的流程以DHCPve 分配地址方式為例,其他地址分配方式原理類似�,這里不一一詳述。在圖6中�����,為胖AP控制的每一 station配置允許DHCPv6報文和鏈路本地地址的鄰居發(fā)現報文通過的功能��。以客戶端為stationl�,客戶端接入的接入設備為胖APl為例,對圖6所示的詳細流程進行描述步驟601至步驟603分別與步驟301b至步驟30 類似�,只不過將步驟301b至步驟30 中的APl改為胖API。步驟604���,胖API針對學習的每一 IP地址��,從已建立的stationl所屬的鏈路對應的第二 IP地址表中查找該IP地址���,如果查找不到�,則執(zhí)行步驟605�,如果查找到,執(zhí)行步驟 606�����。本步驟604實質為判斷IP地址是否已被與stationl屬于同一鏈路的其他 station使用的具體過程��。步驟605�,將該IP地址直接添加在第二 IP地址表中,返回步驟604����,直至步驟602 學習的所有IP地址都按照步驟604的操作執(zhí)行,之后執(zhí)行步驟607�。步驟606,從stationl對應的第一生存時間表中刪除該IP地址和對應的生存時間����。當步驟602學習的所有IP地址都按照步驟604的操作執(zhí)行后,執(zhí)行步驟607�����。步驟607與步驟610分別與步驟307b與步驟310b類似,只不過將步驟307b至步驟310b中的API改為胖API���。至此�,完成圖6所示的流程����。另外���,本實施例還提供了 stationl漫游的流程�,具體與圖3c類似���,包括當 stationl漫游時�,stationl漫游至外地所接入的外地胖AP (記為胖AP2���,其不同于胖API) 從胖API同步stationl被分配的IP地址和生存時間��;胖AP2接收胖APl同步過來的IP地址和生存時間���,并按照類似胖APl的操作執(zhí)行比如,利用同步過來的IP地址驗證stationl 發(fā)送的數據報文�,并定時檢查該IP地址的生存時間是否到期,如果是�,刪除到期的生存時間和對應的IP地址���。優(yōu)選地,本實施例中�����,所有的胖AP還可定時或者在其存放的IP地址或者生存時間發(fā)生變化時����,將其下的station對應的表項中的IP地址和生存時間同步至其他胖AP,由所述其他胖AP返回步驟604中的判斷操作��。至此����,完成實施例2的描述。以上對本發(fā)明中的兩個實施例進行了描述���。下面對本發(fā)明實施例提供的裝置進行描述參見圖7��,圖7為本發(fā)明實施例提供的一種裝置結構圖����。該裝置應用于實施例1, 具體可為實施例1中的接入設備����,其特征在于,包括地址學習單元��,用于學習客戶端station被分配的IP地址���;同步處理單元����,用于將學習的IP地址同步至用于管理所述接入設備的管理設備�����,并接收所述管理設備對IP地址是否已被其他Station使用的確認結果�;其中�,其他 station為與所述客戶端屬于同一鏈路的station ;IP地址驗證單元����,用于利用通過確認的IP地址驗證是否繼續(xù)轉發(fā)所述客戶端發(fā)送的數據報文,其中所述通過確認的IP地址是指確認結果為否的IP地址����。優(yōu)選地�,如圖7所示�,該接入設備還包括源MAC地址驗證單元,用于對所述數據報文進行源MAC地址驗證����;其中,所述IP地址驗證單元執(zhí)行的驗證操作是在所述數據報文通過所述源MAC地址驗證單元的源MAC地址驗證后執(zhí)行的����。如圖7所示,所述接入設備進一步包括IP地址記錄單元��,用于在所述IP地址驗證單元執(zhí)行驗證操作之前�,記錄通過確認的IP地址至所述客戶端對應的第一 IP地址表;基于此����,所述IP地址驗證單元用于判斷所述客戶端發(fā)送的數據報文所攜帶的源IP地址是否在所述第一 IP地址表中,如果是���,繼續(xù)轉發(fā)所述數據報文���,否則���,禁止轉發(fā)所述數據報文。其中�����,所述IP地址驗證單元禁止轉發(fā)數據報文包括丟棄該數據報文��。如圖7所示��,所述接入設備進一步包括報文丟棄量記錄單元�,用于記錄所述客戶端對應的數據報文丟棄量。判斷所述數據報文丟棄量在設定時間內是否達到預設閾值��,如果是�����,則確定所述客戶端為不法用戶�。另外��,所述IP地址學習單元進一步學習所述客戶端被分配的IP地址對應的生存時間�����;基于此,所述IP地址記錄單元進一步用于記錄通過確認的IP地址和對應的生存時間至所述客戶端對應的第一生存時間表中�;如此,如圖7所示��,所述接入設備進一步包括生存時間檢查單元���,用于定時檢查所述第一生存時間表中的生存時間是否到期��, 在檢查到到期的生存時間時�����,刪除生存時間到期的IP地址的記錄���,并通知給所述管理設備。本實施例中���,所述同步處理單元進一步將IP地址對應的生存時間同步至管理設備���;如此,如圖7所示���,所述接入設備還包括漫游處理單元�。所述漫游處理單元用于在所述接入設備接入了漫游客戶端時,發(fā)送漫游通知至所述管理設備�����,以從所述管理設備同步并記錄所述漫游客戶端被分配的IP地址和對應的生存時間�。如圖7所示,該接入設備進一步包括更新單元����,用于當偵聽到所述接入設備接入的客戶端的IP地址發(fā)生變化時,更新發(fā)生變化的IP地址���,并通知所述管理設備�;當偵聽到所述接入設備接入的客戶端的IP地址對應的生存時間發(fā)生變化時�����,更新發(fā)生變化的生存時間���,并通知所述管理設備。至此�����,完成圖7所示的裝置。參見圖8�����,圖8為本發(fā)明實施例提供的另一裝置結構圖�。該裝置應用于實施例1, 具體可為實施例1中的管理設備���,其可管理一個或者多個接入設備�,如圖8所示�,所述管理設備包括IP地址接收單元,用于接收所述管理設備管理的接入設備同步過來的客戶端的 IP地址�;IP地址確認單元,用于針對同步過來的IP地址�,確認該IP地址是否已被其他 station使用,并將確認結果發(fā)送給接入設備�。其中,所述IP地址接收單元進一步接收所述接入設備同步過來的IP地址所對應的生存時間��;所述IP地址確認單元在確認出未被其他station使用的IP地址后�����,將該IP 地址和對應的生存時間記錄至所述客戶端對應的第二生存時間表中��。
本實施例中,所述其他station具體可為與所述客戶端屬于同一鏈路的station���, 基于此�����,所述IP地址確認單元通過圖8所示的以下子單元確認同步過來的IP地址是否已被與所述客戶端屬于同一鏈路的其他station使用IP地址查找子單元����,針對同步過來的IP地址����,從已建立的與所述客戶端所屬鏈路對應的第二 IP地址表中查找該IP地址;IP地址確認子單元���,用于將所述IP地址查找子單元查找到的IP地址確認為已被與所述客戶端屬于同一鏈路的其他station使用的IP地址�,將所述IP地址查找子單元未查找到的IP地址確認為未被與所述客戶端屬于同一鏈路的其他station使用的IP地址��; 以及����,將未被與所述客戶端屬于同一鏈路的其他station使用的IP地址添加在所述第二 IP 地址表中。本實施例中�����,所述IP地址接收單元進一步接收所述接入設備通知的生存時間到期的IP地址���,刪除該生存時間到期的IP地址的記錄�;以及接收所述接入設備發(fā)送的漫游通知�����,獲取并同步所述接入設備接入的漫游客戶端被分配的IP地址和對應的生存時間至該接入設備�����。其中��,所述IP地址接收單元通過圖8所示的以下子單元獲取所述接入設備接入的漫游客戶端被分配的IP地址和對應的生存時間至該接入設備確定子單元��,用于確定所述漫游客戶端在漫游之前接入的接入設備���;判斷子單元����,用于判斷該確定的接入設備是否由所述管理設備管理,如果是�,則從已記錄的IP地址和生存時間中獲取所述漫游客戶端的IP地址和生存時間,否則�����,確定用于管理該接入設備的其他管理設備����,從該其他管理設備中同步所述漫游客戶端的IP地址和生存時間。至此����,完成圖8所示的裝置。參見圖9����,圖9為本發(fā)明實施例提供的第三裝置結構圖。該裝置應用于實施例2�����, 具體可為實施例2中的接入設備���,如圖9所示�����,該接入設備包括IP地址學習單元����,用于學習客戶端station被分配的IP地址��;IP地址確認單元�,用于針對學習到的IP地址,確認該IP地址是否已被其他 station 使用��;IP地址驗證單元�����,用于利用通過確認的IP地址驗證所述客戶端發(fā)送的數據報文��, 所述通過確認的IP地址是指所述IP地址確認單元得到確認結果為否的IP地址�。其中,所述其他station為與所述客戶端屬于同一鏈路的station���。實際應用中��,圖9所示的接入設備具有圖7所示的接入設備和圖8所示的管理設備所具有的功能��,在次不再詳述��。至此��,完成本發(fā)明實施例裝置的描述���。由以上技術方案可以看出���,本發(fā)明中,針對某一客戶端����,當學習并記錄該客戶端被分配的IP地址時,通過針對學習的每一 IP地址���,判斷該IP地址是否已被與所述客戶端屬于同一鏈路的其他Station使用�����,如果是����,則從記錄的IP地址中刪除該IP地址�,否則����,不刪除該IP地址�。如此,接入設備就可記錄一些未被與該客戶端屬于同一鏈路的其他客戶端使用的IP地址��,之后�����,利用該記錄的IP地址驗證來自該客戶端的數據報文�,這實現了對客戶端發(fā)送的數據報文進行IP地址驗證��,避免同一鏈路中不同station使用相同IP地址發(fā)送的數據報文在網絡中流通����,保證網絡安全。 以上所述僅為本發(fā)明的較佳實施例而已�,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內����,所做的任何修改、等同替換���、改進等����,均應包含在本發(fā)明保護的范圍之內。
權利要求
1.一種應用于WLAN中的驗證方法�,其特征在于,該方法包括A�����,接入設備學習客戶端station被分配的IP地址����;B,接入設備將學習到的IP地址同步至用于管理所述接入設備的管理設備�����,并接收所述管理設備對IP地址是否已被其他station使用的確認結果��;C�����,所述接入設備利用通過確認的IP地址驗證所述客戶端發(fā)送的數據報文��,所述通過確認的IP地址是指確認結果為否的IP地址。
2.根據權利要求1所述的方法�,其特征在于,步驟C中的驗證是在所述數據報文通過源 MAC地址驗證之后進行的�����。
3.根據權利要求1所述的方法�,其特征在于,步驟B中的其他station為與所述客戶端屬于同一鏈路的station��。
4.根據權利要求1至3任一所述的方法�,其特征在于,在步驟C執(zhí)行之前�����,該方法進一步包括記錄通過確認的IP地址至所述客戶端對應的第一 IP地址表�����;步驟C包括所述接入設備判斷所述客戶端發(fā)送的數據報文所攜帶的源IP地址是否在所述第一 IP 地址表中�,如果是�����,繼續(xù)轉發(fā)所述數據報文,否則��,禁止轉發(fā)所述數據報文��。
5.根據權利要求4所述的方法���,所述禁止轉發(fā)數據報文包括丟棄該數據報文��;在丟棄數據報文之后����,進一步包括記錄所述客戶端對應的數據報文丟棄量�����;判斷所述數據報文丟棄量在設定時間內是否達到預設閾值��,如果是���,則確定所述客戶端為不法用戶��。
6.根據權利要求4所述的方法�����,其特征在于�����,所述記錄通過確認的IP地址至客戶端對應的第一 IP地址表包括判斷是否存在所述客戶端對應的第一 IP地址表�,如果是,記錄通過確認的IP地址至所述第一 IP地址表中�,否則,生成所述客戶端對應的第一 IP地址表�,并記錄通過確認的IP地址至該生成的第一 IP地址表中。
7.根據權利要求4所述的方法��,其特征在于�,步驟A進一步包括學習客戶端Station 被分配的IP地址對應的生存時間;所述記錄通過確認的IP地址至客戶端對應的第一 IP地址表進一步包括記錄通過確認的IP地址和對應的生存時間至所述客戶端對應的第一生存時間表中�����;該方法進一步包括接入設備定時檢查所述第一生存時間表中的生存時間是否到期����, 在檢查到到期的生存時間時�����,刪除生存時間到期的IP地址的記錄,并通知給所述管理設備�。
8.根據權利要求7所述的方法,其特征在于�����,步驟B中�,將IP地址同步至管理設備進一步包括將IP地址對應的生存時間同步至管理設備;該方法進一步包括所述接入設備在接入了漫游客戶端時�����,發(fā)送漫游通知至所述管理設備���,以從所述管理設備同步并記錄所述漫游客戶端被分配的IP地址和對應的生存時間����。
9.根據權利要求7或8所述的方法�,其特征在于,該方法進一步包括當所述接入設備偵聽到客戶端的IP地址發(fā)生變化�,所述接入設備更新發(fā)生變化的IP地址,并通知所述管理設備����;當所述接入設備偵聽到客戶端的IP地址對應的生存時間發(fā)生變化��,所述接入設備更新發(fā)生變化的生存時間�����,并通知所述管理設備���。
10.根據權利要求9所述的方法,其特征在于�,所述IP地址發(fā)生變化包括IP地址被釋放;所述生存時間發(fā)生變化包括所述生存時間被更新�����。
11.一種應用于WLAN中的接入設備��,其特征在于���,包括地址學習單元�����,用于學習客戶端station被分配的IP地址;同步處理單元,用于將學習的IP地址同步至用于管理所述接入設備的管理設備�,并接收所述管理設備對IP地址是否已被其他station使用的確認結果;IP地址驗證單元����,用于利用通過確認的IP地址驗證是否繼續(xù)轉發(fā)所述客戶端發(fā)送的數據報文,所述通過確認的IP地址是指確認結果為否的IP地址��。
12.根據權利要求11所述的接入設備����,其特征在于,所述其他station為與所述客戶端屬于同一鏈路的station����。
13.根據權利要求11所述的接入設備,其特征在于�����,該接入設備還包括源MAC地址驗證單元�,用于對所述數據報文進行源MAC地址驗證;所述IP地址驗證單元執(zhí)行的驗證操作是在所述數據報文通過所述源MAC地址驗證單元的源MAC地址驗證后執(zhí)行的�。
14.根據權利要求11至13任一所述的接入設備,其特征在于���,所述接入設備包括IP地址記錄單元����,用于在所述IP地址驗證單元執(zhí)行驗證操作之前,記錄通過確認的IP 地址至所述客戶端對應的第一 IP地址表�;所述IP地址驗證單元用于判斷所述客戶端發(fā)送的數據報文所攜帶的源IP地址是否在所述第一 IP地址表中,如果是�����,繼續(xù)轉發(fā)所述數據報文�����,否則��,禁止轉發(fā)所述數據報文�����。
15.根據權利要求14所述的接入設備�,其特征在于,所述IP地址驗證單元禁止轉發(fā)數據報文包括丟棄該數據報文��;所述接入設備還包括報文丟棄量記錄單元�����,用于記錄所述客戶端對應的數據報文丟棄量���,判斷所述數據報文丟棄量在設定時間內是否達到預設閾值�,如果是���,則確定所述客戶端為不法用戶�����。
16.根據權利要求14所述的接入設備��,其特征在于�,所述IP地址學習單元進一步學習所述客戶端被分配的IP地址對應的生存時間��;所述IP地址記錄單元進一步用于記錄通過確認的IP地址和對應的生存時間至所述客戶端對應的第一生存時間表中��;所述接入設備進一步包括生存時間檢查單元�,用于定時檢查所述第一生存時間表中的生存時間是否到期,在檢查到到期的生存時間時����,刪除生存時間到期的IP地址的記錄���,并通知給所述管理設備。
17.根據權利要求16所述的接入設備���,其特征在于�,所述同步處理單元進一步將IP地址對應的生存時間同步至管理設備��;所述接入設備還包括漫游處理單元�����,用于在所述接入設備接入了漫游客戶端時�,發(fā)送漫游通知至所述管理設備,以從所述管理設備同步并記錄所述漫游客戶端被分配的IP地址和對應的生存時間����。
18.根據權利要求16或17所述的接入設備,其特征在于�,該接入設備進一步包括 更新單元,用于當偵聽到所述接入設備接入的客戶端的IP地址發(fā)生變化時��,更新發(fā)生變化的IP地址�,并通知所述管理設備;當偵聽到所述接入設備接入的客戶端的IP地址對應的生存時間發(fā)生變化時�,更新發(fā)生變化的生存時間�,并通知所述管理設備����。
19.一種應用于WLAN中的驗證方法,其特征在于�,該方法包括 A����,管理設備接收其管理的接入設備同步過來的客戶端的IP地址,B�����,管理設備針對同步過來的IP地址�����,確認該IP地址是否已被其他station使用�����,并將確認結果發(fā)送給接入設備�。
20.根據權利要求19所述的方法,其特征在于��,步驟A中的接收進一步包括接收所述接入設備同步過來的IP地址所對應的生存時間;步驟B中���,當所述管理設備在確認出未被其他station使用的IP地址后��,將該IP地址和對應的生存時間記錄至所述客戶端對應的第二生存時間表中�。
21.根據權利要求19或20所述的方法�,其特征在于,所述其他station為與所述客戶端屬于同一鏈路的station���。
22.根據權利要求21所述的方法��,其特征在于��,步驟B中的確認包括針對同步過來的IP地址���,從已建立的與所述客戶端所屬鏈路對應的第二 IP地址表中查找該IP地址,如果查找到���,則確認該IP地址已被與所述客戶端屬于同一鏈路的其他 station使用�,否則����,確認該IP地址未被與所述客戶端屬于同一鏈路的其他station使用���; 所述管理設備在確認出未被與所述客戶端屬于同一鏈路的其他station使用的IP地址后,進一步包括將該IP地址記錄在所述第二 IP地址表中�。
23.根據權利要求21所述的方法,其特征在于�,步驟A中的接收進一步包括接收所述接入設備通知的生存時間到期的IP地址,刪除該生存時間到期的IP地址的記錄�。
24.根據權利要求21所述的方法,其特征在于�,步驟A中的接收進一步包括接收所述接入設備發(fā)送的漫游通知��,獲取并同步所述接入設備接入的漫游客戶端被分配的IP地址和對應的生存時間至所述接入設備�。
25.根據權利要求M所述的方法,其特征在于��,所述獲取接入設備接入的漫游客戶端被分配的IP地址和對應的生存時間包括確定所述漫游客戶端在漫游之前接入的接入設備����,判斷該接入設備是否由自身管理, 如果是�����,則從自身記錄的IP地址和生存時間中獲取所述漫游客戶端的IP地址和生存時間����, 否則����,確定用于管理該接入設備的其他管理設備�,從該其他管理設備中同步所述漫游客戶端的IP地址和生存時間。
26.一種應用于WLAN中的管理設備��,用于管理一個或者多個接入設備����,其特征在于,所述管理設備包括IP地址接收單元�,用于接收所述管理設備管理的接入設備同步過來的客戶端的IP地址;IP地址確認單元��,用于針對同步過來的IP地址�,確認該IP地址是否已被其他station 使用,并將確認結果發(fā)送給接入設備���。
27.根據權利要求沈所述的管理設備�����,其特征在于���,所述IP地址接收單元進一步接收所述接入設備同步過來的IP地址所對應的生存時間�����;所述IP地址確認單元在確認出未被其他station使用的IP地址后��,將該IP地址和對應的生存時間記錄至所述客戶端對應的第二生存時間表中��。
28.根據權利要求沈或27所述的管理設備�,其特征在于�����,所述其他station為與所述客戶端屬于同一鏈路的station���。
29.根據權利要求觀所述的管理設備,其特征在于����,所述IP地址確認單元通過以下子單元確認同步過來的IP地址是否已被與所述客戶端屬于同一鏈路的其他station使用IP地址查找子單元,針對同步過來的IP地址���,從已建立的與所述客戶端所屬鏈路對應的第二 IP地址表中查找該IP地址��;IP地址確認子單元���,用于將所述IP地址查找子單元查找到的IP地址確認為已被與所述客戶端屬于同一鏈路的其他Station使用的IP地址�,將所述IP地址查找子單元未查找到的IP地址確認為未被與所述客戶端屬于同一鏈路的其他station使用的IP地址�;以及, 將未被與所述客戶端屬于同一鏈路的其他station使用的IP地址添加在所述第二 IP地址表中�。
30.根據權利要求觀所述的管理設備,其特征在于����,所述IP地址接收單元進一步接收所述接入設備通知的生存時間到期的IP地址,刪除該生存時間到期的IP地址的記錄��。
31.根據權利要求觀所述的管理設備�����,其特征在于�,所述IP地址接收單元進一步接收所述接入設備發(fā)送的漫游通知,獲取并同步所述接入設備接入的漫游客戶端被分配的IP 地址和對應的生存時間至該接入設備����。
32.根據權利要求31所述的管理設備�,其特征在于��,所述IP地址接收單元通過以下子單元獲取所述接入設備接入的漫游客戶端被分配的IP地址和對應的生存時間至該接入設備包括確定子單元�����,用于確定所述漫游客戶端在漫游之前接入的接入設備����;判斷子單元,用于判斷該確定的接入設備是否由所述管理設備管理�,如果是,則從已記錄的IP地址和生存時間中獲取所述漫游客戶端的IP地址和生存時間,否則���,確定用于管理該接入設備的其他管理設備���,從該其他管理設備中同步所述漫游客戶端的IP地址和生存時間�。
33.一種應用于WLAN中驗證方法��,其特征在于���,該方法包括A��,接入設備學習客戶端station被分配的IP地址�;B���,所述接入設備針對學習到的IP地址���,確認該IP地址是否已被其他station使用���;C��,所述接入設備利用通過確認的IP地址驗證所述客戶端發(fā)送的數據報文�,所述通過確認的IP地址是指步驟B中確認結果為否的IP地址。
34.根據權利要求33所述的方法���,其特征在于�����,步驟C中的驗證是在所述數據報文通過源MAC地址驗證之后進行的��。
35.根據權利要求33或34所述的方法�,其特征在于�,所述其他station為與所述客戶端屬于同一鏈路的station���。
36.一種應用于WLAN中的接入設備���,其特征在于,該接入設備包括IP地址學習單元�����,用于學習客戶端station被分配的IP地址���;IP地址確認單元,用于針對學習到的IP地址�,確認該IP地址是否已被其他station使用��;IP地址驗證單元��,用于利用通過確認的IP地址驗證所述客戶端發(fā)送的數據報文�����,所述通過確認的IP地址是指所述IP地址確認單元得到確認結果為否的IP地址。
全文摘要
本發(fā)明提供了WLAN中驗證方法和裝置��。其中一種方法包括A����,接入設備學習客戶端station被分配的IP地址;B��,接入設備將學習到的IP地址同步至用于管理所述接入設備的管理設備�,并接收所述管理設備對IP地址是否已被其他station使用的確認結果;C���,所述接入設備利用通過確認的IP地址驗證所述客戶端發(fā)送的數據報文���,所述通過確認的IP地址是指確認結果為否的IP地址。采用本發(fā)明��,實現對客戶端發(fā)送的數據報文進行IP地址驗證����,避免不同station使用相同IP地址進行通信。
文檔編號H04L29/12GK102158866SQ20111003470
公開日2011年8月17日 申請日期2011年2月1日 優(yōu)先權日2011年2月1日
發(fā)明者林濤, 汪昊, 王颶 申請人:杭州華三通信技術有限公司