專利名稱:無(wú)線局域網(wǎng)中實(shí)現(xiàn)基于wapi體制的虛擬局域網(wǎng)的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及無(wú)線局域網(wǎng)領(lǐng)域���,特別是一種無(wú)線局域網(wǎng)中實(shí)現(xiàn)基于WAPI體制的虛擬局域網(wǎng)的方法。
背景技術(shù):
為了敘述方便���,以下采用了一些本技術(shù)領(lǐng)域的縮略語(yǔ)��,其含義如下AP(Access Point)無(wú)線接入點(diǎn)AS(Authentication Server)鑒別服務(wù)器MAC(Medium Access Control)媒體訪問(wèn)控制MT(Mobile Terminal)移動(dòng)終端Mutiple-SSID多個(gè)服務(wù)集標(biāo)識(shí)SSID(Service Set IDentifier)服務(wù)集標(biāo)識(shí)UGID(User Group IDentifier)用戶分組標(biāo)識(shí)VLAN(Virtual Local Area Network)虛擬局域網(wǎng)VLAN ID(VLAN IDentifier)虛擬局域網(wǎng)標(biāo)識(shí)WAPI(WLAN Authentication and Privacy Infrastructure)無(wú)線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)WLAN(Wireless Local Area Network)無(wú)線局域網(wǎng)有線網(wǎng)絡(luò)用戶指掛接在有線網(wǎng)絡(luò)的設(shè)備終端����,包括使用有線以太網(wǎng)形式互聯(lián)的AP。
無(wú)線局域網(wǎng)WLAN不僅支持移動(dòng)計(jì)算���,而且具有構(gòu)架靈活�����、快捷并可擴(kuò)展的特性�。它主要由移動(dòng)終端MT���、無(wú)線接入點(diǎn)AP及鑒別服務(wù)器AS等設(shè)備組成���,其中MT可在網(wǎng)中任意移動(dòng),AP實(shí)現(xiàn)小區(qū)管理��、對(duì)MT的管理及橋接功能�����,AS實(shí)現(xiàn)對(duì)MT的鑒別。該系統(tǒng)的應(yīng)用廣泛��,在商務(wù)網(wǎng)絡(luò)(主要是公司內(nèi)部網(wǎng))��、機(jī)構(gòu)用戶網(wǎng)絡(luò)(如公安�、金融、政府各部門(mén)等)��、小區(qū)網(wǎng)(如學(xué)校�����、醫(yī)院����、住宅區(qū)等)、遠(yuǎn)程監(jiān)測(cè)或集中監(jiān)控��、臨時(shí)網(wǎng)絡(luò)(如臨時(shí)會(huì)議等)��、戶外移動(dòng)用戶����、布線不易的場(chǎng)合��、需要經(jīng)常變動(dòng)的場(chǎng)合等都非常有用。
對(duì)于無(wú)線局域網(wǎng)來(lái)說(shuō)�,其安全問(wèn)題遠(yuǎn)比有線以太網(wǎng)嚴(yán)重的多,我國(guó)對(duì)此給予了高度的重視����。2003年5月國(guó)家頒布了無(wú)線局域網(wǎng)強(qiáng)制性國(guó)家標(biāo)準(zhǔn)GB15629.11,這是目前我國(guó)在這一領(lǐng)域唯一的協(xié)議標(biāo)準(zhǔn)�����。標(biāo)準(zhǔn)中包含了全新的WAPI安全機(jī)制��,通過(guò)對(duì)用戶身份的鑒別和對(duì)傳輸數(shù)據(jù)的加密�,徹底解決了國(guó)外協(xié)議標(biāo)準(zhǔn)中存在的安全漏洞。
傳統(tǒng)的WLAN網(wǎng)絡(luò)中�����,對(duì)于通過(guò)接入鑒別的合法MT用戶�,AP端是不作區(qū)別對(duì)待的,即同一AP控制的���、已成功接入網(wǎng)絡(luò)的MT享有相同權(quán)利或能力��,可以互相訪問(wèn)����,實(shí)現(xiàn)網(wǎng)上鄰居等常用功能。而實(shí)際應(yīng)用中��,常常需要區(qū)別對(duì)待MT���,即用戶希望實(shí)現(xiàn)特定MT之間的互訪����,而不是全體MT之間的任意互訪�,比如,將用戶按組劃分���,同組內(nèi)的MT可以互訪����,而不同組之間的MT不可互相訪問(wèn)�。實(shí)際上這些需求歸于一個(gè)問(wèn)題的解決接入WLAN網(wǎng)絡(luò)同一AP下的MT間的二層隔離的實(shí)現(xiàn)。
在傳統(tǒng)的有線以太網(wǎng)中��,通過(guò)劃分虛擬局域網(wǎng)VLAN可以實(shí)現(xiàn)網(wǎng)絡(luò)的邏輯分段�,即實(shí)現(xiàn)接入不同VLAN的主機(jī)之間的二層隔離����,一般采用VLAN ID作為不同用戶分組的代號(hào)�。在無(wú)線局域網(wǎng)WLAN�����,尤其是在有線/無(wú)線的混合網(wǎng)絡(luò)中�,實(shí)現(xiàn)類似有線VLAN的用戶數(shù)據(jù)二層隔離功能,并可與現(xiàn)有有線VLAN技術(shù)平滑結(jié)合���、組合應(yīng)用���,已經(jīng)成為用戶非常迫切的需求,如可以實(shí)現(xiàn)1�、信道共享在一個(gè)公眾熱點(diǎn)區(qū)域中,可能會(huì)存在多個(gè)運(yùn)營(yíng)商�����,例如在一個(gè)飛機(jī)場(chǎng)里面���,可能存在一個(gè)或多個(gè)的不同航空公司的網(wǎng)絡(luò)����,以及幾個(gè)不同的運(yùn)營(yíng)商,他們分別提供自己的無(wú)線網(wǎng)絡(luò)服務(wù)�����。然而���,無(wú)線頻率資源是公用且缺稀的���,如果每個(gè)網(wǎng)絡(luò)服務(wù)商都架設(shè)使用自己的接入設(shè)備(如AP),AP間將會(huì)產(chǎn)生干擾而影響使用效果����。如果使用一個(gè)單一的AP,通過(guò)用戶隔離分組�����,則可復(fù)用該設(shè)備�。
2、降低運(yùn)營(yíng)成本W(wǎng)LAN的設(shè)備和部署的投資是比較巨大的�����,當(dāng)前的經(jīng)濟(jì)環(huán)境下,在公眾區(qū)域����,由不同的運(yùn)營(yíng)商各自投資部署自己的熱點(diǎn)是不現(xiàn)實(shí)的。如果通過(guò)共同投資或信道租用的方式共享網(wǎng)絡(luò)設(shè)施��,會(huì)大大降低運(yùn)營(yíng)商的投資和維護(hù)成本�。用戶二層隔離技術(shù)�,為這個(gè)目的實(shí)現(xiàn)提供了技術(shù)上的保證。
3�、提高安全性與兼顧應(yīng)用靈活性通過(guò)用戶二層隔離技術(shù),每個(gè)用戶組之間的二層訪問(wèn)是禁止的��,這樣就在一定程度上提高了安全性�,同時(shí)為應(yīng)用提供了更多的可選擇方式。
4��、提供不同的接入訪問(wèn)和服務(wù)策略結(jié)合傳統(tǒng)的用戶鑒別和訪問(wèn)控制服務(wù)���,通過(guò)為不同的用戶組指派不同的服務(wù)和訪問(wèn)控制策略����,可以很容易的實(shí)現(xiàn)基于用戶身份的權(quán)限劃分����。
現(xiàn)有的在WLAN網(wǎng)絡(luò)內(nèi)實(shí)現(xiàn)VLAN劃分(即用戶二層隔離)的技術(shù)方法主要有以下兩種第一種是基于Mutiple-SSID+VLAN交換機(jī)的解決方案���,其基本原理是一個(gè)物理AP設(shè)備需同時(shí)支持多個(gè)不同SSID共存,并建立AP中SSID與上層交換機(jī)中VLAN ID的映射關(guān)系�����,以實(shí)現(xiàn)有線���、無(wú)線局域網(wǎng)統(tǒng)一的VLAN分配和訪問(wèn)控制策略�。AP與上層交換機(jī)按照現(xiàn)有的有線VLAN協(xié)議通信����。這種方案要求對(duì)已廣泛應(yīng)用,并已標(biāo)準(zhǔn)化的AP廣播的信標(biāo)幀的發(fā)送機(jī)制和網(wǎng)絡(luò)接入探測(cè)處理機(jī)制進(jìn)行改造�����,這需要大幅修改無(wú)線局域網(wǎng)國(guó)家標(biāo)準(zhǔn)GB15629.11-2003和多種已應(yīng)用芯片實(shí)現(xiàn)方案���,更為重要的是SSID是用戶可以隨意輸入或修改的基本網(wǎng)絡(luò)參數(shù)����,這種方案以SSID這種極易被發(fā)現(xiàn)并可被輕易盜用的安全措施作為用戶接入?yún)^(qū)分規(guī)則,網(wǎng)絡(luò)安全性根本無(wú)法得到保證�����。
第二種是基于MAC地址分組+VLAN交換機(jī)的解決方案���,其基本原理是AP設(shè)備需支持將不同MAC地址分組的功能����,并需要建立AP中MAC地址分組與上層交換機(jī)中VLAN ID的映射關(guān)系�����,以實(shí)現(xiàn)有線�����、無(wú)線局域網(wǎng)統(tǒng)一的VLAN分配和訪問(wèn)控制策略����。AP與上層交換機(jī)按照現(xiàn)有的有線VLAN協(xié)議通信��。這種方案基于MAC地址分組隔離��,雖然不涉及對(duì)底層芯片的支持要求,但還是有幾個(gè)較大缺陷首先這種方案的安全性較差�,無(wú)法應(yīng)對(duì)某些惡意連接,如“MAC地址欺騙”等方式的攻擊�����;其次這種方案靈活性較差�����,由于要人工輸入管理MAC地址�����,所以對(duì)于AP的配置管理會(huì)為管理員帶來(lái)繁重的管理工作量���,更重要的是電信運(yùn)營(yíng)中AP設(shè)備管理者根本無(wú)法事先確定用戶的MAC地址����,因此這種方法電信運(yùn)營(yíng)商無(wú)法采用�;再者這種方案技術(shù)門(mén)檻較低,難以形成產(chǎn)品的有效競(jìng)爭(zhēng)力�����。
國(guó)家標(biāo)準(zhǔn)GB15629.11實(shí)施后,WAPI安全體制成為無(wú)線局域網(wǎng)國(guó)家CCCi認(rèn)證的唯一標(biāo)準(zhǔn)��,即只有符合國(guó)標(biāo)定義的WAPI安全體制的無(wú)線局域網(wǎng)產(chǎn)品才能獲得國(guó)家CCCi認(rèn)證��,因此未來(lái)符合國(guó)家標(biāo)準(zhǔn)并通過(guò)CCCi認(rèn)證的無(wú)線局域網(wǎng)產(chǎn)品將成為主流����。
發(fā)明內(nèi)容
本發(fā)明所要解決的問(wèn)題是提供一種高效、安全�����,且應(yīng)用靈活的在無(wú)線局域網(wǎng)中實(shí)現(xiàn)基于WAPI體制的虛擬局域網(wǎng)的方法�����,該方法符合國(guó)家標(biāo)準(zhǔn)GB15629.11�,可以從根本上解決上述現(xiàn)有技術(shù)中存在的功能與安全性能的矛盾����。
本發(fā)明解決上述問(wèn)題的技術(shù)方法案是所提供的無(wú)線局域網(wǎng)中實(shí)現(xiàn)基于WAPI體制的虛擬局域網(wǎng)的方法是基于國(guó)家標(biāo)準(zhǔn)GB15629.11規(guī)定的WAPI安全架構(gòu),采用符合國(guó)家標(biāo)準(zhǔn)GB15629.11規(guī)定的用戶證書(shū)�,在國(guó)家標(biāo)準(zhǔn)GB15629.11規(guī)定的用戶證書(shū)擁有未使用字段且支持用戶自定義的基礎(chǔ)上,設(shè)定移動(dòng)終端MT證書(shū)、移動(dòng)終端MT的媒體訪問(wèn)控制MAC地址���、用戶分組標(biāo)識(shí)UGID和虛擬局域網(wǎng)VLAN ID四者間的映射關(guān)系屬性���,無(wú)線接入點(diǎn)AP檢查并設(shè)置該屬性,并按照該屬性的規(guī)定執(zhí)行相應(yīng)的數(shù)據(jù)轉(zhuǎn)發(fā)或丟棄���,從而實(shí)現(xiàn)WLAN支持虛擬局域網(wǎng)VLAN功能���。
上述所說(shuō)的設(shè)定移動(dòng)終端MT證書(shū)、移動(dòng)終端MT的MAC地址����、用戶分組標(biāo)識(shí)UGID和虛擬局域網(wǎng)VLAN ID四者間的映射關(guān)系屬性,無(wú)線接入點(diǎn)AP檢查并設(shè)置該屬性�����,并按照該屬性的規(guī)定執(zhí)行相應(yīng)的數(shù)據(jù)轉(zhuǎn)發(fā)或丟棄是本發(fā)明的核心機(jī)制��,其步驟如下1)在符合國(guó)家標(biāo)準(zhǔn)GB15629.11規(guī)定的用戶證書(shū)結(jié)構(gòu)基礎(chǔ)上�,在移動(dòng)終端MT證書(shū)結(jié)構(gòu)中增設(shè)用戶分組身份標(biāo)識(shí)(UGID),為不改變證書(shū)結(jié)構(gòu)和長(zhǎng)度�,做到符合GB15629.11�,應(yīng)使用標(biāo)準(zhǔn)已定義但未使用的證書(shū)字段表示UGID����,該UGID表示持有該證書(shū)的移動(dòng)終端MT用戶所屬的無(wú)線VLAN的標(biāo)識(shí);上述所說(shuō)的使用標(biāo)準(zhǔn)已定義但未使用的證書(shū)字段表示用戶分組身份標(biāo)識(shí)(UGID)是指使用證書(shū)的屬性字段或擴(kuò)展字段����。
2)由證書(shū)頒發(fā)者生成包含UGID的移動(dòng)終端MT證書(shū),并頒發(fā)給移動(dòng)終端MT用戶�;3)移動(dòng)終端MT向無(wú)線接入點(diǎn)AP請(qǐng)求鑒別時(shí),如果鑒別通過(guò)�����,則AP根據(jù)該證書(shū)中的UGID�����,將MT的MAC地址存入由AP建立并維護(hù)的UGID與MT的MAC地址映射關(guān)系表中��,具有相同UGID的移動(dòng)終端MT屬于同一組���,具有相同網(wǎng)絡(luò)使用權(quán)限,即它們屬于同一個(gè)無(wú)線VLAN(無(wú)線局域網(wǎng)中的VLAN)��;4)完成步驟3.后,接入點(diǎn)AP建立并維護(hù)UGID與有線VLAN ID(AP的以太網(wǎng)上聯(lián)端口�,即有線端口,所連接的有線局域網(wǎng)中的VLAN)之間的映射關(guān)系�,使無(wú)線VLAN與有線VLAN建立關(guān)聯(lián),從而使移動(dòng)終端MT也可加入到有線VLAN中����;5)對(duì)于接入同一AP的移動(dòng)終端MT之間的數(shù)據(jù),接入點(diǎn)AP只轉(zhuǎn)發(fā)具有相同UGID的移動(dòng)終端MT間的數(shù)據(jù)報(bào)文��,不在不同的用戶分組(即擁有不同UGID的用戶分組)間轉(zhuǎn)發(fā)數(shù)據(jù)�����;6)對(duì)于移動(dòng)終端MT和有線網(wǎng)絡(luò)用戶之間傳送的數(shù)據(jù)��,接入點(diǎn)AP只轉(zhuǎn)發(fā)UGID與有線VLAN ID有映射關(guān)系的MT和有線網(wǎng)絡(luò)用戶間的數(shù)據(jù)�����,其余不予轉(zhuǎn)發(fā)�����;7)移動(dòng)終端MT解除與當(dāng)前接入點(diǎn)AP的關(guān)聯(lián)時(shí)�����,AP將該MT的UGID���、MAC地址和VLAN ID映射關(guān)系從映射關(guān)系表中清除�����。
上述過(guò)程如圖1所示,其中�,圖中的步驟3包含了上述的步驟3和4�。
與現(xiàn)有技術(shù)相比,本發(fā)明具有如下優(yōu)點(diǎn)1.完全兼容國(guó)家標(biāo)準(zhǔn)GB15629.11?����,F(xiàn)有符合WAPI安全體制的無(wú)線局域網(wǎng)產(chǎn)品在增加按照本發(fā)明方法實(shí)現(xiàn)的功能后�,原先具有的符合國(guó)標(biāo)的性質(zhì)不發(fā)生任何變化;2.實(shí)現(xiàn)簡(jiǎn)單����。本發(fā)明方法利用WAPI證書(shū)可擴(kuò)展的特性��,只需對(duì)證書(shū)格式略作調(diào)整,AP部分只需增加一次性查詢判斷功能�,MT部分不需作任何修改,更不涉及硬件和WAPI協(xié)議的任何改動(dòng)�����。
3.全自動(dòng)工作�����。無(wú)線VLAN的建立流程緊隨WAPI鑒別流程,完全由AP自動(dòng)完成����,不需要AP管理員的任何人為干預(yù)或預(yù)先配置。
4.無(wú)線VLAN建立快速�����。每用戶加入無(wú)線VLAN(分組)的過(guò)程只需AP進(jìn)行一次性判決��,并緊隨證書(shū)鑒別流程�����,總時(shí)間限制在毫秒級(jí)��。
5.無(wú)線VLAN變化便捷�。由于分組規(guī)則由證書(shū)提供�,并且無(wú)線VLAN的組員狀態(tài)隨著MT用戶的加入和推出動(dòng)態(tài)變化��,因此分組規(guī)則變化時(shí),只需改變MT證書(shū)即可�����。
6.完全與有線VLAN技術(shù)平滑融合�����。在有/無(wú)線混合的WLAN網(wǎng)絡(luò)中,本方法實(shí)現(xiàn)的無(wú)線VLAN與現(xiàn)有的有線VLAN可以組合應(yīng)用��,可以依據(jù)統(tǒng)一的用戶分組原則形成統(tǒng)一的VLAN����。
圖1是本發(fā)明所述方法的流程圖���。
圖2是本發(fā)明接入階段——VLAN建立的流程圖。
圖3是本發(fā)明AP處理MT發(fā)送來(lái)的數(shù)據(jù)流程圖��。
具體實(shí)施例方式
本發(fā)明所述方法的流程如圖1所示����,其過(guò)程的具體說(shuō)明如前所述,這里不再贅述����。
參見(jiàn)圖2,用MT接入WLAN AP階段的流程來(lái)說(shuō)明WLAN VLAN的建立過(guò)程
MT在訪問(wèn)WLAN網(wǎng)絡(luò)前必須首先申請(qǐng)并安裝由證書(shū)頒發(fā)者頒發(fā)的�����、已包含UGID的MT證書(shū)��。MT接入WLAN網(wǎng)絡(luò)的第一步是MT關(guān)聯(lián)至AP��,其后MT與AP之間按照GB15629.11規(guī)定之WAPI鑒別流程完成MT鑒別(標(biāo)準(zhǔn)中稱為鑒別),這一過(guò)程中�����,AP可同時(shí)獲得該MT的MAC地址�����。如果鑒別失敗,則AP解除與MT之關(guān)聯(lián),否則����,AP解析(通過(guò)讀取MT證書(shū))獲得UGID�,之后建立并保存按照事先規(guī)劃的VLAN劃分規(guī)則確定的UGID-MTMAC地址-VLAN ID映射關(guān)系,確定當(dāng)前鑒別完畢的MT所屬的WLANVLAN和有線VLAN�,從而完成全部VLAN建立流程。下面以AP處理MT發(fā)送來(lái)的數(shù)據(jù)流程為例說(shuō)明本發(fā)明建立的WLAN VLAN的工作流程�,如圖3所示AP收到MT發(fā)來(lái)的數(shù)據(jù)報(bào)文后,首先按照正常處理流程獲得該數(shù)據(jù)報(bào)文的源MAC地址和目的MAC地址�,之后AP查詢保存的全部UGID-MT MAC地址-VLAN ID映射關(guān)系并進(jìn)行判斷如果源MAC地址和目的MAC地址對(duì)應(yīng)同一個(gè)UGID��,則AP正常轉(zhuǎn)發(fā)該數(shù)據(jù)報(bào)文�,通信完成�;否則��,AP繼續(xù)判斷源MAC地址和目的MAC地址是否對(duì)應(yīng)同一個(gè)VLAN ID���,如果“是”���,則正常轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)文����,如果“否”�����,則判定為非法(違反VLAN劃分規(guī)則)����,AP丟棄該數(shù)據(jù)報(bào)文��,通信結(jié)束。
權(quán)利要求
1.一種無(wú)線局域網(wǎng)中實(shí)現(xiàn)基于WAPI體制的虛擬局域網(wǎng)的方法,其特征是在國(guó)家標(biāo)準(zhǔn)GB15629.11規(guī)定的用戶證書(shū)擁有未使用字段且支持用戶自定義的基礎(chǔ)上�,設(shè)定移動(dòng)終端MT證書(shū)����、移動(dòng)終端MT的媒體訪問(wèn)控制MAC地址���、用戶分組標(biāo)識(shí)UGID和虛擬局域網(wǎng)VLAN ID四者間的映射關(guān)系屬性,無(wú)線接入點(diǎn)AP檢查并設(shè)置該屬性,并按照該屬性的規(guī)定執(zhí)行相應(yīng)的數(shù)據(jù)轉(zhuǎn)發(fā)或丟棄。
2.根據(jù)權(quán)利要求1所述的無(wú)線局域網(wǎng)中實(shí)現(xiàn)基于WAPI體制的虛擬局域網(wǎng)的方法,其特征是所說(shuō)的設(shè)定移動(dòng)終端MT證書(shū)���、移動(dòng)終端MT的MAC地址、用戶分組標(biāo)識(shí)UGID和虛擬局域網(wǎng)VLAN ID四者間的映射關(guān)系屬性�,無(wú)線接入點(diǎn)AP檢查并設(shè)置該屬性,并按照該屬性的規(guī)定執(zhí)行相應(yīng)的數(shù)據(jù)轉(zhuǎn)發(fā)或丟棄的步驟如下1)在符合國(guó)家標(biāo)準(zhǔn)GB15629.11規(guī)定的用戶證書(shū)結(jié)構(gòu)基礎(chǔ)上��,在移動(dòng)終端MT證書(shū)結(jié)構(gòu)中增設(shè)用戶分組身份標(biāo)識(shí)UGID��,使用標(biāo)準(zhǔn)已定義但未使用的證書(shū)字段表示UGID��,該UGID表示持有該證書(shū)的移動(dòng)終端MT用戶所屬的無(wú)線VLAN的標(biāo)識(shí)���;2)由證書(shū)頒發(fā)者生成包含UGID的移動(dòng)終端MT證書(shū)�,并頒發(fā)給移動(dòng)終端MT用戶����;3)移動(dòng)終端MT向無(wú)線接入點(diǎn)AP請(qǐng)求鑒別時(shí)�,如果鑒別通過(guò)�����,則AP根據(jù)該證書(shū)中的UGID�����,將MT的MAC地址存入由AP建立并維護(hù)的UGID與MT的MAC地址映射關(guān)系表中,具有相同UGID的移動(dòng)終端MT屬于同一組���,具有相同網(wǎng)絡(luò)使用權(quán)限�����;4)接入點(diǎn)AP建立并維護(hù)UGID與有線虛擬局域網(wǎng)標(biāo)識(shí)VLAN ID之間的映射關(guān)系��,使無(wú)線VLAN與有線VLAN建立關(guān)聯(lián)��;5)對(duì)于接入同一AP的移動(dòng)終端MT之間的數(shù)據(jù)�,接入點(diǎn)AP只轉(zhuǎn)發(fā)具有相同UGID的移動(dòng)終端MT間的數(shù)據(jù)報(bào)文�;6)對(duì)于移動(dòng)終端MT和有線網(wǎng)絡(luò)用戶之間傳送的數(shù)據(jù),接入點(diǎn)AP只轉(zhuǎn)發(fā)UGID與有線VLAN ID有映射關(guān)系的MT和有線網(wǎng)絡(luò)用戶間的數(shù)據(jù)��;7)移動(dòng)終端MT解除與當(dāng)前接入點(diǎn)AP的關(guān)聯(lián)時(shí)���,AP將該MT的UGID�、MAC地址和VLAN ID映射關(guān)系從映射關(guān)系表中清除���。
3.根據(jù)權(quán)利要求2所述的無(wú)線局域網(wǎng)中實(shí)現(xiàn)基于WAPI體制的虛擬局域網(wǎng)的方法�,其特征是所說(shuō)的使用標(biāo)準(zhǔn)已定義但未使用的證書(shū)字段表示用戶分組身份標(biāo)識(shí)UGID是指使用證書(shū)的屬性字段或擴(kuò)展字段���。
全文摘要
本發(fā)明涉及無(wú)線局域網(wǎng)領(lǐng)域�,是一種無(wú)線局域網(wǎng)中實(shí)現(xiàn)基于WAPI體制的虛擬局域網(wǎng)的方法。本發(fā)明基于國(guó)家標(biāo)準(zhǔn)GB15629.11規(guī)定的WAPI安全架構(gòu)�,采用符合國(guó)家標(biāo)準(zhǔn)GB15629.11規(guī)定的用戶證書(shū),在國(guó)家標(biāo)準(zhǔn)GB15629.11規(guī)定的用戶證書(shū)擁有未使用字段且支持用戶自定義的基礎(chǔ)上��,設(shè)定移動(dòng)終端MT證書(shū)��、移動(dòng)終端MT的MAC地址�、用戶分組(UGID)和虛擬局域網(wǎng)VLANID四者間的映射關(guān)系屬性,無(wú)線接入點(diǎn)AP檢查并設(shè)置該屬性���,并按照該屬性的規(guī)定執(zhí)行相應(yīng)的數(shù)據(jù)轉(zhuǎn)發(fā)或丟棄����,從而實(shí)現(xiàn)WLAN支持虛擬局域網(wǎng)VLAN功能�。
文檔編號(hào)H04L12/46GK1905504SQ20061010443
公開(kāi)日2007年1月31日 申請(qǐng)日期2006年7月31日 優(yōu)先權(quán)日2006年7月31日
發(fā)明者郭宏, 曹軍, 李軼軍 申請(qǐng)人:西安西電捷通無(wú)線網(wǎng)絡(luò)通信有限公司