專利名稱:實現(xiàn)無線局域網(wǎng)虛擬接入點(diǎn)間通信的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及無線局域網(wǎng)的虛擬接入點(diǎn),尤其涉及一種實現(xiàn)無線局域網(wǎng)虛擬接入點(diǎn)間通信的方法��。
背景技術(shù):
在AP(Access Point�����,接入點(diǎn))的實際應(yīng)用中�,SSID(Service Set Identifier,服務(wù)集標(biāo)識)可以有多種用途����。如SSID可以標(biāo)識不同的ISP(Internet ServiceProvider�,互聯(lián)網(wǎng)服務(wù)提供商)�,當(dāng)AP連接屬于多個ISP的STA(Station,端站(無線網(wǎng)卡))時��,需要AP支持多個SSID��,并實現(xiàn)對不同的SS(Service Set����,服務(wù)集)標(biāo)記不同的VLAN(Virtual Local Area Network�,虛擬局域網(wǎng)),實現(xiàn)SS(Service Set����,服務(wù)集)之間的隔離。不同的SSID還可以標(biāo)識不同的服務(wù)類型��,如IP電話服務(wù)��、數(shù)據(jù)服務(wù)�����、視頻服務(wù)等�。這時需要對不同的SS提供不同的QoS(Quality of Service��,服務(wù)質(zhì)量)保證��。在實際應(yīng)用中�,這種需求可能存在�,如Wi-Fi(Wireless Fidelity,基于IEEE 802.11b標(biāo)準(zhǔn)的無線局域網(wǎng))手機(jī)用戶只需要電話低時延服務(wù)�。
每個SSID對應(yīng)一個虛擬AP。根據(jù)用戶配置�����,在一個物理AP上可以配置多個SSID����,存在多個虛擬AP,也可能只有一個虛擬AP��。每個虛擬AP作為一個獨(dú)立的管理實體存在于網(wǎng)絡(luò)中��,又存在一定的聯(lián)系����。AP間通訊大都發(fā)生在虛擬AP間,因此虛擬AP之間的通信問題需要解決。而在網(wǎng)絡(luò)規(guī)劃中��,以最常使用的IP協(xié)議為例�����,對每個虛擬AP分配單獨(dú)的IP地址可能存在資源浪費(fèi)和沖突問題���,因此只能對物理AP分配IP地址���。而物理AP間通訊的端口是標(biāo)準(zhǔn)統(tǒng)一規(guī)定�����,也無法針對虛擬AP進(jìn)行設(shè)置�����。
如圖1所示����,在現(xiàn)有技術(shù)中,沒有區(qū)分物理AP和虛擬AP的概念�����,AP間通信僅在物理AP間進(jìn)行,IAPP(Inter-Access Point Protocol���,接入點(diǎn)內(nèi)部協(xié)議)模塊或負(fù)載均衡模塊將需要通信的報文通知通信模塊�����,由通信模塊發(fā)送到遠(yuǎn)端AP��,遠(yuǎn)端AP通信模塊接收到報文后�����,將報文通知給相應(yīng)的IAPP模塊或負(fù)載均衡模塊����,反之亦然�。
IAPP模塊和負(fù)載均衡模塊是兩個彼此獨(dú)立的模塊,之間沒有什么邏輯關(guān)系��。唯一類似點(diǎn)就是它們都需要在AP間通信�,交換報文,才能完成所需的功能��。通信模塊為IAPP模塊和負(fù)載均衡模塊提供了AP間通訊的服務(wù),且AP間的通信只能通過通信模塊進(jìn)行�。
在現(xiàn)有的AP間通信方案中,僅使用物理AP的IP地址和指定端口實現(xiàn)通信�,由各應(yīng)用模塊對通信消息內(nèi)容自行解析分配。物理AP由其內(nèi)部的IAPP模塊�����、負(fù)載均衡模塊等對AP間通信的信息進(jìn)行處理���。在現(xiàn)有的AP間通信方案中��,根本沒有可以用于區(qū)分虛擬AP的信息��,需要接收方根據(jù)信息中所攜帶的內(nèi)容�����,如STA的MAC(Media Access Control,媒體接入控制)地址��,AP的BSSID(Basic Service Set Identifier���,基本服務(wù)集標(biāo)識)等進(jìn)行區(qū)分�����。但是僅靠這些信息區(qū)分是不可靠的�����,因為AP上存儲的這些信息可能不全�����,通信的發(fā)送端AP和接收端AP保存的這些信息也可能不一致�,此時就無法正確的分辨通信消息屬于哪個虛擬AP。由于需要應(yīng)用模塊參與到虛擬AP的辨認(rèn)過程����,因此無法針對每個虛擬AP設(shè)置安全機(jī)制,從而給WLAN(Wireless Local AreaNetwork�,無線局域網(wǎng))網(wǎng)絡(luò)帶來安全隱患,同時增加了各應(yīng)用模塊的工作量����,導(dǎo)致效率低下,協(xié)議處理層次不清晰���。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種實現(xiàn)無線局域網(wǎng)虛擬接入點(diǎn)間通信的方法�����,以解決現(xiàn)有技術(shù)中無線局域網(wǎng)中虛擬AP間通信時無法正確的分辨通信消息所屬的虛擬AP和無法針對每個虛擬AP設(shè)置安全機(jī)制的問題����。
為解決上述問題,本發(fā)明提供以下技術(shù)方案一種實現(xiàn)無線局域網(wǎng)虛擬接入點(diǎn)間通信的方法�,包括步驟A、發(fā)送端的虛擬接入點(diǎn)在發(fā)送的報文內(nèi)添加目標(biāo)虛擬接入點(diǎn)的辨別標(biāo)識�����;B�����、接收端的物理接入點(diǎn)根據(jù)所述辨別標(biāo)識將所述報文傳遞到對應(yīng)的目標(biāo)虛擬接入點(diǎn)��。
在步驟A之前發(fā)送端的虛擬接入點(diǎn)利用設(shè)置的安全機(jī)制對發(fā)送的報文進(jìn)行安全處理���,以及在步驟B之后目標(biāo)虛擬接入點(diǎn)利用對應(yīng)的安全機(jī)制對報文進(jìn)行逆處理。對報文進(jìn)行的安全處理是加密和/或認(rèn)證�����,對報文進(jìn)行的逆處理是解密和/或校驗。發(fā)送端的虛擬接入點(diǎn)可以對整個報文或部分報文進(jìn)行安全處理����。
在所述步驟A和步驟B之間還包括步驟A1、發(fā)送端的物理接入點(diǎn)利用設(shè)置的安全機(jī)制對添加辨別標(biāo)識的報文進(jìn)行安全處理�����;A2���、接收端的物理接入點(diǎn)利用與步驟A1對應(yīng)的安全機(jī)制對添加辨別標(biāo)識的報文進(jìn)行逆處理�。
所述步驟A1中的安全處理為加密和/或認(rèn)證�����,所述步驟A2中的逆處理為解密和/或校驗����。在所述步驟A1中可以對整個或部分添加辨別標(biāo)識的報文進(jìn)行安全處理。
所述辨別標(biāo)識可以位于報文的任意位置��。
所述辨別標(biāo)識為服務(wù)集標(biāo)識�。
由于本發(fā)明采用了以上技術(shù)方案,故具有以下有益效果本發(fā)明在發(fā)送端的虛擬接入點(diǎn)所發(fā)送的報文內(nèi)添加了目標(biāo)虛擬接入點(diǎn)的辨別標(biāo)識��,接收端的物理接入點(diǎn)可根據(jù)該辨別標(biāo)識判別出報文的目標(biāo)虛擬接入點(diǎn),從而實現(xiàn)了無線局域網(wǎng)虛擬接入點(diǎn)間的正確通信��,同時本發(fā)明可以針對不同的虛擬AP設(shè)置不同的安全機(jī)制��,提高了網(wǎng)絡(luò)安全性�。
圖1為現(xiàn)有技術(shù)中AP間通信的示意圖;圖2為本發(fā)明的在進(jìn)行虛擬AP間通信時的處理流程圖�����;圖3為虛擬AP間通信發(fā)送端報文處理示意圖�����;圖4為虛擬AP間通信接收端報文處理示意圖���。
具體實施例方式
本發(fā)明的實現(xiàn)無線局域網(wǎng)虛擬AP間通信的方法的過程如下發(fā)送端的虛擬AP在發(fā)送的報文內(nèi)添加目標(biāo)虛擬AP的辨別標(biāo)識��,該辨別標(biāo)識用于標(biāo)識所發(fā)送的報文的目標(biāo)虛擬AP����;接收端的物理AP從報文中得到辨別標(biāo)識后�,根據(jù)辨別標(biāo)識判別出該報文的目標(biāo)虛擬AP,然后將該報文傳遞給相應(yīng)的目標(biāo)虛擬AP����。
目標(biāo)虛擬AP的辨別標(biāo)識可以位于報文的任意位置,但是在發(fā)送端的虛擬AP和目標(biāo)虛擬AP之間的所有報文內(nèi)��,該辨別標(biāo)識需要放在一個固定位置�,即在每個報文里的位置都一樣,這樣就可以讓接收端能夠快速定位辨別標(biāo)識����,不需要對報文內(nèi)容進(jìn)行處理后才知道辨別標(biāo)識存放在哪里。
由于每個SSID對應(yīng)一個虛擬AP�����,因此目標(biāo)虛擬AP的辨別標(biāo)識通常選用SSID�,該辨別標(biāo)識也可以是人為定義的其他標(biāo)識,只要能對目標(biāo)虛擬AP進(jìn)行區(qū)分即可����。
為了保證虛擬AP間所通信的報文的安全性,在報文內(nèi)添加目標(biāo)虛擬AP的辨別標(biāo)識之前�,發(fā)送端的虛擬AP通常需要設(shè)置安全機(jī)制對發(fā)送的報文進(jìn)行安全處理,安全處理主要通過加密和/或認(rèn)證來實現(xiàn)��。加密的處理過程是將通信內(nèi)容中的明文替換成密文,使得非授權(quán)者無法得到信息的內(nèi)容����,加密的方式有很多種,如DES����、3DES、RC5���、RC4�、AES等���,可根據(jù)實際情況任選�����。認(rèn)證的處理過程是根據(jù)通信內(nèi)容計算出一個不知道密鑰就無法仿制的數(shù)字簽名���,防止通信內(nèi)容被篡改或偽造,認(rèn)證的方式同樣有很多種���,如MD5����、SHA、KPDK����、SHA2等�����,可根據(jù)實際情況任選�����。為了保證AP間通訊安全��,該安全機(jī)制針對發(fā)送端的虛擬AP和目標(biāo)虛擬AP分別進(jìn)行設(shè)置����。
在進(jìn)行安全處理時,可以只對報文進(jìn)行加密處理��,也可以只對報文進(jìn)行認(rèn)證處理�����,還可以對報文進(jìn)行加密和認(rèn)證雙重處理,在對報文進(jìn)行加密和認(rèn)證雙重處理時�,應(yīng)該先對報文進(jìn)行加密,然后根據(jù)加密后的報文計算出認(rèn)證所需的數(shù)字簽名���。加密和/或認(rèn)證可以對整個報文進(jìn)行�����,也可以只對報文的某一部分進(jìn)行����。
若發(fā)送端的虛擬AP對將要發(fā)送的報文進(jìn)行了安全處理�,則在接收端的物理AP根據(jù)辨別標(biāo)識將報文傳遞給相應(yīng)的目標(biāo)虛擬AP后,目標(biāo)虛擬AP需要利用對應(yīng)的安全機(jī)制對報文進(jìn)行逆處理��。如果發(fā)送端的虛擬AP對將要發(fā)送的報文做了加密���,則目標(biāo)虛擬AP需要對報文進(jìn)行相應(yīng)的解密����,得到明文���;如果發(fā)送端的虛擬AP對將要發(fā)送的報文做了認(rèn)證�����,則目標(biāo)虛擬AP需要對報文進(jìn)行校驗�,保證報文沒有被篡改。如果發(fā)送端的虛擬AP對將要發(fā)送的報文做了加密和認(rèn)證雙重處理�����,則目標(biāo)虛擬AP首先根據(jù)收到的報文內(nèi)容計算出數(shù)字簽名����,在保證報文沒有被篡改和偽造后����,再對報文內(nèi)容進(jìn)行解密,得出原始報文����。
為了進(jìn)一步提高安全性,保證目標(biāo)虛擬AP的辨別標(biāo)識不被篡改��,也可以在對添加辨別標(biāo)識的報文再按發(fā)送端的物理AP所設(shè)置的安全機(jī)制進(jìn)行安全處理�����。該安全處理主要通過加密和/或認(rèn)證來實現(xiàn),可以只對報文進(jìn)行加密處理���,也可以只對報文進(jìn)行認(rèn)證處理����,還可以對報文進(jìn)行加密和認(rèn)證雙重處理��。加密和/或認(rèn)證可以對整個報文進(jìn)行�,也可以只對報文的某一部分進(jìn)行。該安全機(jī)制處理針對每個物理AP分別設(shè)定�。
若發(fā)送端的物理AP對添加辨別標(biāo)識的報文進(jìn)行了安全處理,則接收端的物理AP需要利用對應(yīng)的安全機(jī)制對報文進(jìn)行逆處理���。如果發(fā)送端的物理AP對添加辨別標(biāo)識的報文做了認(rèn)證�����,則接收端的物理AP需要進(jìn)行相應(yīng)的校驗�����,保證報文沒有被篡改���,如果發(fā)送端的物理AP對添加辨別標(biāo)識的報文做了加密����,則接收端的物理AP需要進(jìn)行解密�,得到明文。如果發(fā)送端的物理AP對添加辨別標(biāo)識的報文做了加密和認(rèn)證雙重處理���,則接收端的物理AP首先根據(jù)收到的報文內(nèi)容計算出數(shù)字簽名���,在保證報文沒有被篡改和偽造后,再對報文內(nèi)容進(jìn)行解密����,得出原始報文�����。
如圖2所示��,本發(fā)明的實現(xiàn)無線局域網(wǎng)虛擬AP間通信的方法的較佳處理過程如下S1��、發(fā)送端的虛擬AP設(shè)置安全機(jī)制對發(fā)送的報文進(jìn)行安全處理�;S2、發(fā)送端的虛擬AP在發(fā)送的報文內(nèi)添加目標(biāo)虛擬AP的辨別標(biāo)識����;S3�、發(fā)送端的物理AP設(shè)置安全機(jī)制對添加辨別標(biāo)識的報文進(jìn)行安全處理�����;S4��、接收端的物理AP利用與步驟S3對應(yīng)的安全機(jī)制對報文進(jìn)行逆處理��;S5����、接收端的物理AP根據(jù)步驟S2中的辨別標(biāo)識將報文傳遞到對應(yīng)的目標(biāo)虛擬AP;S6�����、目標(biāo)虛擬AP利用與步驟S1對應(yīng)的安全機(jī)制對報文進(jìn)行逆處理���。
在上述處理過程中����,步驟S1��、S2、S3在發(fā)送端進(jìn)行�����,步驟S4�、S5、S6在接收端進(jìn)行��。
本發(fā)明對所有的通信協(xié)議(如IP)都有效����,如果通訊模塊辨認(rèn)出通信協(xié)議中的源地址和目標(biāo)地址一致,則表明目標(biāo)虛擬AP和發(fā)送端的虛擬AP在同一物理AP上����,即可以將本發(fā)明應(yīng)用在內(nèi)部通訊機(jī)制上。
下面以一個具體實施例對本發(fā)明的虛擬AP間通信的全過程進(jìn)行說明如圖3���、圖4所示,在WLAN的IAPP協(xié)議中����,為實現(xiàn)STA在AP間的切換,AP之間需要通信以便交流有關(guān)此STA的相關(guān)信息��,發(fā)送端AP對原有的IAPP報文按虛擬AP獨(dú)立設(shè)置安全機(jī)制,對原IAPP報文進(jìn)行DES加密���,然后對報文擴(kuò)充�����,增加SSID作為辨別標(biāo)識���,并對增加辨別標(biāo)識的報文進(jìn)行MD5認(rèn)證后發(fā)送到接收端AP;接收端AP收到報文后����,首先對MD5認(rèn)證字進(jìn)行校驗,保證報文沒有被仿造或篡改����,然后按虛擬AP獨(dú)立設(shè)置的安全機(jī)制,對報文進(jìn)行DES解密����,得到原IAPP報文,即可解決虛擬AP下IAPP協(xié)議工作的安全問題和效率問題�。
以上僅以較佳實施例對本發(fā)明進(jìn)行說明,本領(lǐng)域的技術(shù)人員可以對本發(fā)明進(jìn)行各種改動和變型而不脫離本發(fā)明的精神和范圍。這樣����,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi),則本發(fā)明也意圖包含這些改動和變型在內(nèi)����。
權(quán)利要求
1.一種實現(xiàn)無線局域網(wǎng)虛擬接入點(diǎn)間通信的方法,其特征在于包括步驟A�����、發(fā)送端的虛擬接入點(diǎn)在發(fā)送的報文內(nèi)添加目標(biāo)虛擬接入點(diǎn)的辨別標(biāo)識���;B��、接收端的物理接入點(diǎn)根據(jù)所述辨別標(biāo)識將所述報文傳遞到對應(yīng)的目標(biāo)虛擬接入點(diǎn)�����。
2.根據(jù)權(quán)利要求1所述的實現(xiàn)無線局域網(wǎng)虛擬接入點(diǎn)間通信的方法�����,其特征在于在步驟A之前發(fā)送端的虛擬接入點(diǎn)利用設(shè)置的安全機(jī)制對發(fā)送的報文進(jìn)行安全處理,以及在步驟B之后目標(biāo)虛擬接入點(diǎn)利用對應(yīng)的安全機(jī)制對報文進(jìn)行逆處理。
3.根據(jù)權(quán)利要求2所述的實現(xiàn)無線局域網(wǎng)虛擬接入點(diǎn)間通信的方法��,其特征在于對報文進(jìn)行的安全處理是加密和/或認(rèn)證����,對報文進(jìn)行的逆處理是解密和/或校驗。
4.根據(jù)權(quán)利要求2所述的實現(xiàn)無線局域網(wǎng)虛擬接入點(diǎn)間通信的方法����,其特征在于發(fā)送端的虛擬接入點(diǎn)可以對整個報文或部分報文進(jìn)行安全處理。
5.根據(jù)權(quán)利要求1或2所述的實現(xiàn)無線局域網(wǎng)虛擬接入點(diǎn)間通信的方法����,其特征在于在所述步驟A和步驟B之間還包括步驟A1、發(fā)送端的物理接入點(diǎn)利用設(shè)置的安全機(jī)制對添加辨別標(biāo)識的報文進(jìn)行安全處理���;A2��、接收端的物理接入點(diǎn)利用與步驟A1對應(yīng)的安全機(jī)制對添加辨別標(biāo)識的報文進(jìn)行逆處理�。
6.根據(jù)權(quán)利要求5所述的實現(xiàn)無線局域網(wǎng)虛擬接入點(diǎn)間通信的方法���,其特征在于所述步驟A1中的安全處理為加密和/或認(rèn)證����,所述步驟A2中的逆處理為解密和/或校驗。
7.根據(jù)權(quán)利要求5所述的實現(xiàn)無線局域網(wǎng)虛擬接入點(diǎn)間通信的方法��,其特征在于在所述步驟A1中可以對整個或部分添加辨別標(biāo)識的報文進(jìn)行安全處理����。
8.根據(jù)權(quán)利要求1所述的實現(xiàn)無線局域網(wǎng)虛擬接入點(diǎn)間通信的方法,其特征在于所述辨別標(biāo)識可以位于報文的任意位置���。
9.根據(jù)權(quán)利要求1所述的實現(xiàn)無線局域網(wǎng)虛擬接入點(diǎn)間通信的方法�����,其特征在于所述辨別標(biāo)識為服務(wù)集標(biāo)識��。
全文摘要
本發(fā)明公開了一種實現(xiàn)無線局域網(wǎng)虛擬接入點(diǎn)間通信的方法����,以解決現(xiàn)有技術(shù)中無線局域網(wǎng)虛擬AP間通信時無法正確的分辨通信消息屬于哪個虛擬AP并且無法針對每個虛擬AP設(shè)置安全機(jī)制的問題����。該方法在發(fā)送的報文內(nèi)添加目標(biāo)虛擬接入點(diǎn)的辨別標(biāo)識,由接收端的物理接入點(diǎn)根據(jù)該辨別標(biāo)識判別出該報文的目標(biāo)虛擬接入點(diǎn)�����,從而實現(xiàn)了無線局域網(wǎng)虛擬接入點(diǎn)間的正確通信,同時本發(fā)明可以針對不同的虛擬AP設(shè)置不同的安全機(jī)制�����,提高了網(wǎng)絡(luò)安全性���。
文檔編號H04L12/28GK1812366SQ20051000491
公開日2006年8月2日 申請日期2005年1月28日 優(yōu)先權(quán)日2005年1月28日
發(fā)明者曹振奇 申請人:華為技術(shù)有限公司