AP设备是 WLAN的小型无线基站设备， 完成 802,11系列标准的无线接入； AP 设备也是一种网络桥接器， 是连接有线网络与无线网络的桥梁， 任何 WLAN终端设备均可通过相应的 AP设备接入到有线网络资源。 在安全控制 方面， AP设备可以通过网络标志和介质访问控制（MAC� ��备， Media Access Control )地址来控制用户接入；同时 AP设备支持有线等效保密（ WEP， Wired Equivalent Privacy) 空中加密， 保护用户信息安全； 在数据通讯方面， AP设 备负责完成它与 WLAN终端设备之间所传输的数据包的加密和解� �。

目前， 运营商部署的 WLAN网络， AP设备负责提供无线信号， AC设备 作为接入控制器， 负责属下多个 AP设备的无线管理配置。 通常， AC设备有 两种形态， 一种是合一模式， 即 AC设备既负责 AP设备的无线管理配置， 也 负责 务 /认证控制。 另一种是分离模式， 即 AC设备只负责 AP设备的无线 管理配置， 业务 /认证控制这部分功能放在另外一台设备上完� �， 遥常是宽带 远程接入服务器 ( BRAS， Broadband Remote Access Server )。

由于在分离模式下， 网络发展和融合面临了很多问题， 首先基于分离模 式下的性能管理需要网管系统分别从 BRAS和 AC设备进行数据采集， 并同 ø寸完成数据合并， 需要网管进行较大改造； 其次， 分离模式下， 由于认证功 能在 BRAS上执行， 为了实现 EAP-PEAP/EAP-SIM等无感知认证（从已有用 户信息中获取认证信息， 用户对于认证过程无感知） 技术， 需要增加 AC设 备和 BRAS设备接口， 用于下发认证成功后的密钥等信息， 耗费周期较长， 难以满足无感知认证的时间要求。 因此， 现有技术中通常采用合一模式部署 AC设备。

目前流经 AP设备的数据包可以包括以下两类： 包含认证信息的认证数 据包和包含非认证信息的普通数据包， 目前， WLAN接入 系统中， 各设备 对数据包处理流程如下： AP设备接收到终端设备发送的数据包后， 不进行任 何处理即发送给 AC设备， AC设备解析接收到的数据包， 若 AC设备确认接 收到的数据包为认证数据包， 将对认证数据包进行处理， 否则， 若为普通数 据包将发送到互联网。 由上述流程可知， 现有技术中， AP设备接收到的所有 数据包均需要发送给 AC设备， 但是 AC设备只需要处理其中的认证数据包， 这样， - -方面造成了 AC设备成为数据流量的处理瓶颈， 降低了 AC设备的 处理速度， 另一方面也浪费了 AC设备的处理资源。 本发明实施例提供一种无线局域网中认证信息 处理方法及相关设备、 计 算机程序及存储介质， 用以减少流经 AC设备的数据流量。

本发明实施例提供一种无线局域网认证信息处 理方法， 包括：

前端网络设备接收终端设备发送的数据包， 所述前端网络设备位于无线 局域网 WLAN系统中的接入控制 AC设备之前； 并

检测所述数据包； 以及

确定所述数据包满足预设的认证数据包条件^,� ��所述数据包发送给 AC 设备。

本发明实施例提供一种网络设备， 所述网络设备位于无线局域网 WLAN 系统中的接入控制 AC设备之前， 以及

所述网络设备， 包括：

接收单元， ^于接收终端设备发送的数据包；

检测单元， 用于检测所述数据包， 并确定所述数据包满足预设的认证数 据包条件；

发送单元，用于检測单元确定所述数据包满足 预设的认证数据包条件时, 将所述数据包发送给 AC设备。

本发明的实施例还提供一种用于执行上述方法 的计算机程序及存储该计 算机程序的存储介质。

本发明实施例提供的无线局域网中认证信息处 理方法及相关设备， 位于 WLAN系统中的 AC设备之前的网络设备检测接收到的数据包， 以确定该数 据包是否满足预设的认证数据包条件， 当接收到的数据包满足预设的认证数 据包条件时， 将该数据包发送给 AC设备处理， 当接收到的数据包不满足预 设的认证数据包条件日寸， 将该数据包发送给 BRAS或者互联网， 从而使得非 认证数据包不会发送给 AC设备， 从而， 减少了 AC设备处理的数据流量， 节约了 AC设备的处理资源， 同时， 由于减少了 AC设备需要处理的数据流 量， 相应地， 提高了 AC设备的处理速度。

本发明的其它特征和优点将在随后的说明书中 阐述， 并且， 部分地从说 明书中变得显而易见， 或者遥过实施本发明而了解。 本发明的目的和其他优 点可通过在所写的说明书、 权利要求书、 以及^图中所特别指出的结构来实 现和获得。 图 1 为本发 I 1实施例中， 无线局域网中认证信息处理方法的实施流程示 意图；

图 2为本发 H 实施例中， AP设备对接收到的数据包进行处理的处理流程 示意图；

图 3为本发 H 实施例中， 网络设备的结构示意图。

AC设备的数据流量， 节约 AC设备的处理资源， 提高 AC 本发明实施例提供了一种无线局域网中认证信 息处理方法 书附图对本发明的优选实施例进行说明， 应当理解， 此处 所描述的优选实施例仅用于说明和解释本发明 ， 并不用于限定本发明， 并—且. 在不冲突的情况下， 本发明中的实施例及实施例中的特征可以相互 组合。 如图 1所示， 为本发明实施例中， 无线局域网中认证信息处理方法的实 施流程示意图， 包括以下步骤：

SI0 前端网络设备接收终端设备发送的数据包；

其中， 前端网络设备可以为位于无线局域网 （WLAN) 系统中的 AC设 备之前的网络设备； 终端设备发送的数据包可以为认证数据包， 也可以为普 通数据包。

5102、 前端网络设备检测接收到的数据包；

5103、 前端网络设备判断接收到的数据包是否满足预 设的认证数据包条 件， 如果是， 执行步骤 S104, 否则执行步骤 S105;

5104、 将该数据包发送给 AC设备；

5105、 将接收到的数据包发送给 BRAS设备或者将接收到的数据包发送 到互联网。

具体实施时， 本发明实施例提供了两种实现方式， 一种是在 AP 设备上 对数据包进行检测， 一种是在与 AP 设备连接的上一层网络设备上对数据包 进行检测， 其中， 与 AP 设备连接的上一层网络设备可以但不限于为路 由器 设备或者交换机设备， 以下分别介绍之。

实现方式一 AP设备对数据包进行检测

当 AP 设备接收到终端设备发送的数据包之后， 首先要判断该数据包是 否为认证数据包， 然后， 将认证数据包的数据包发送给 AC设备进行处理； 对于非认证数据包的数据包， AP设备将直接通过 AP设备与 BRAS设备之间 的隧道进行转发， 或者直接进行 MAC层转换后发送到互联网中。

具体实施时， 终端设备在接入 WLAN时， 需要完成网络认证， 特别是在 无感知网络认证中， 通常采用不同的可扩展认证 、议 （EAP , Extensible Authentication Protocol)认证方法， 当终端与网络之间采用 EAP认证方法时， 所传输的认证数据包称为 EAP认证数据包， 为了便于描述， 本发明实施例中 以认证数据包为 EAP认证数据包为例进行说明。

EAP认证数据包通过 EAPOL (EAP over LAN) 协议进行封装， 其数据 包格式如表 1所示： 音？、 -入 ¾' 字节数

802.1 χ Ethernet type 2

Protocol version 1

Packet type 1

Packet body length 2

Packet body 根据长度可变 其中 , 802.1 χ Ethernet type表示以太网类型， Protocol version表示采用的 协议版本号； Packet type表示数据包类型； Packet body length表示数据包包 体长度； Packet body表示包体， 其占用的字节数由 Packet body length确定。 其中， Packet Type包含以下几种数据包： a) EAP-PACKET: EAP认证数据包， Packet Type-0； b) EAPOL- START： EAP 认证开始， Packet Type =1 ; c) EAPOL-LOGOFF: EAP认证终止， Packet Type -2； d) EAPOL- EY: EAP 认 证 成 功 后 的 密 钥 传 递 ， Packet Type -3 ； e) EAPOL- ENCAPSULATED ASF- ALERT : 供通过非授权端口传递紧急信息, Packet Type =4。

目前，表 1中的 802, lx Ethernet Type已经由 IEEE分配了一个值为 0x888E ( 16迸制数， 对应十迸制 34958)， 所有的 EAP认证数据包都具有这个特征 值， 从而， AP设备可以通过检查该字节的取值来判断出此� ��据包是 EAP认 证数据包。 当 AP设备识别出 EAP认证数据包时， 需要使用某种隧道协议对 该 EAP数据包进行封装， 以便将该 EAP认证数据包发送给 AC设备。具体实 施时， AP设备对 EAP认证数据包进行封装所采用的隧道协议可以 但不限于 包括无线接入点的控制和配置 （CAPW >， Control and Provision of Wireless Access Points)协议、 GRE (遥用路由封装）协议、 UDP (用户数据包）协议、 IP-in-IP (IP里面封装 IP) 协议或者 IPSEC (IP安全协议） 等， 相应地， AP 设备使用该隧道协议建立与 AC设备之间的隧道， 并通过建立的隧道将封装 后的 EAP认证数据包发送给 AC设备。 特别地， 若 AP设备和 AC设备之间 采用 CAPWAP协议封装 EAP认证数据包时， CAPEAP ^议中包含两种封装 方式， CAPWAP DATA 封装和 CAPWAP- CONTROL 封装， 其中 CAPWAP- D ATA ( CAPWAP数据） 用于封装数据消息， CAPWAP CONTROL ( CAPWAP 控制） 用于封装控制消息。 本发明实施例中， 既可以使用 CAPWAP- DATA信道封装 EAP认证消息， 也可以使用 CAPWAP CONTROL 信道封装 EAP认证消息。 以下以使用 CAPWAP CONTROL信道封装 EAP认 证消息为例进行说明。

具体实施时， 使用 CAPWAP CONTROL信道封装 EAP认证消息可以包 括以下两种方式：

方式… ·

1 ) 扩展 CAPWAP协议中的控制消息类型 (Control Message pe), 目前 控制消息类型共有 i- 256个可选值， 其中仅有 1 -26被明确定义， 但是不包含 封装 EAP 认证的类型， 因此本发明实施例中可以新增 MESSAGE TYPE—

"AUTHENTICATION CONTROL 定义其值为 27- 255中的正整数；

2 ) 扩展 CAPWAP t¾、议中消息元素 （MESSAGE ELEMENT )

AUTHENTICATION PAYLOAD ELEMENT, 定义所有 AUTHENTICATION CONTROL消息中需要携带该 ELEMENT, 现有技术定义了消息元素的通用 TLV格式， 其中 TYPE (类型） 占 16位， LENGTH (长度） 占 16位， VALUE

(值） 为可变长度 （由 LENGTH字段定义）， 且定义了 TYPE字段从 1 49的 语义， 本发明实施例中， 如果使用 CAPWAP- CONTROL消息传递 EAP认证 数据包， 则需要定义新的消息元素类型， 定义其值为 50-255之间的正整数； 定义了上述的 MESSAGE TYPE和 MESSAGE ELEMENT TYPE之后， AP设备就可以把 EAP认证数据包封装在 CAPWAP CONTROL隧道中。 AP 设备和 AC设备在处理 AUTHENTICATION CONTROL类型的消息时， 由于 该消息只是借用 CAPWAP- CONTROL隧道， 因此， 不需要对 CAPWAP中定 义的序列号等元素做严格检查。 与方式一不同， 方式二无需扩展 CAPWAP的控制消息类型， 而是使用现 有的 CAPWAP 控制消息封装认证数据包， 例如， 使用 Daia Transfer Request/Response封装 EAP认证数据包，该控制消息类型的取值分别为 21/22, 在该控制消息中， 具体的消息元素可以采用消息元素 Vendor Specific Pay!oad ( Type: 37 )来承载 EAP认证数据包， 在使用时可以自行定义 Element ID以 识别 EAP认证数据包。

特别地， 在现有技术中， 由 AC设备记录终端设备使用的数据流量， 但 是， 由于本发明实施例中， 在 AC设备根据接收到的数据包对终端设备完成 认证之后， 终端设备使用的数据流量 （即非认证数据包） 由 AP 设备直接转 发至 BRAS或者互联网， 因此， 流量计费和用户下线功能无法在 AC设备上 执行， 需要其他的功能实体才能实现流量计费。

较佳地， 本发明实施中， 可以由 AP 设备记录终端设备使用的数据流量 信息，并按照预设周期、通过 AP设备和 AC设备之间建立的隧道将终端设备 使用的数据流量信息上报给 AC设备， 当终端设备使用的数据流量达到该终 端设备预设流量的一定比例时， 可以提供定期的提醒功能。 例如， 当使用流 量达到预设流量的 20%, 50%, 80%时分别发送提醒消息给终端设备， 便于 ^户更好的管理自己的流量。 具体的， AP设备确定 AC设备在根据接收到的 数据包完成对终端设备的认证之后，开始记录 终端设备使用的数据流量信息， 具体实施时， AC设备在完成对终端设备的认证之后， 会向 AP设备发送认证 成功消息， 例如 AC设备在认证成功之后， 会向 AP设备下发密钥， AP设备 以接收到密钥之后确定 AC设备对终端设备认证成功。

基于上述分析， 本发明实施例中， AP设备可以按照以下方法对数据包迸 行处理， 如图 2所示， 包括以下步骤：

S20 AP设备接收终端设备发送的数据包；

具体的， 终端设备需要与 WLAN建立连接时， 将向 AP设备发送认证数 据包； 当终端设备与 WLAN建立连接之后， 通过 WLAN访问互联网时， 将 向 AP设备发送普通数据包。

5202、 AP设备检查接收到的数据包指定字段的取值；

5203 , AP设备判断该指定字段的取值是否为预设值， 如果是， 执行步骤 例如， 若认证数据包为 EAP认证数据包时， 指定字段为 802, lx Ethernet Type, 而其对应的取值为 0x888E,

5204、 AP设备确定接收到的数据包满足预设的认证数� ��包条件， 并执行 步骤 S206;

若接收到的数据包满足预设的认证数据包条件 ， AP设备可以确定接收到 的数据包为认证数据包。

5205、 AP设备确定接收到的数据包不满足预设的认证� ��据包条件， 并执 行步骤 S215 ;

5206、 AP设备采用 CAPWAP ¾议对该数据包进行封装；

5207、将封装后的数据包通过与 AC之间的 CAPWAP隧道发送给 AC设 备；

5208、 AC设备根据接收到的数据包对终端设备执行认� ��操作；

5209、 AC设备完成对该终端设备的认证之后， 遥过 CAPWAP隧道将密

5210、 AP设备将接收到的密钥转发给终端设备；

S21 终端设备通过接入的 WLAN访问互联网；

具体的， 终端设备访问互联网时， 将向 AP设备发送普遥数据包， 产生 普通数据流量；

5212, AP设备记录终端设备使用的数据流量信息；

5213, AP设备按照预设周期、 通过 CAPWAP隧道将终端设备使用的数 据流量信息上报给 AC设备；

5214, AC设备在终端使用的数据流量信息达到预设流� ��的一定比例时， 遥过短信方式通知终端设备；

5215, AP设备将接收到的数据包转发给 BRAS设备或者互联网。

具体的， AP设备在确定接收到的数据包为普通数据包时� �� 将该数据包通 过与 BRAS之间的隧道转发给 BRAS设备处理， 或者直接进行 MAC层转换 发送到互联网。

实现方式一中，在 AP设备上通过认证数据包的特征值检测 AP设备接收 到的数据包是否为认证数据包， 如果是， 将该数据包进行封装后， 通过 AP 设备和 AC设备之间的隧道发送给 AC设备进行处理， 如果否， 将该数据包 发送通过 AP设备与 BRAS设备之间的隧道发送给 BRAS设备处理或者发送 给互联网， 这样， 只有部分流经 AP设备的数据流量被转发至 AC设备处理， 认而， 减少了 AC设备上处理的数据流量， 节约了 AC设备的处理资源， 相 应地， 能够提高 AC设备的处理速度。

实现方式二

实现方式二中， 在 WLAN系统中、 与 AP设备连接且位于 AP设备之后 的网络设备上进行数据包检测， 该网络设备可以为交换机设备或者路由器设 备。 需要说明的是， 本发明实施例中， 以终端发送的数据包在各网络设备间 的传输顺序来描述各网络设备在网络中的位置 ， 例如， 数据包经由 AP 设备 向交换机设备传输， 则交换机设备为位于 AP 设备之后的网络设备。 在这种 实现方式下， 该网络设备检测数据包是否为认证数据包的流 程与 AP 设备检 测数据包的流程相同， 这里不再赘述。 二者的区别在于： 将确定为认证数据 包的数据包发送给 AC设备时的发送方式不同， 具体的， 当该网络设备确定 接收到的数据包为认证数据包时， 将对接收到的数据包进行处理， 具体的， 该网络设备使 ^隧道协议封装接收到的数据包； 填充该数据包的源地址为与 自身连接的 AP设备的地址， 以及填充该数据包的目标地址为 AC设备地址； 并根据填充的目标地址转发该数据包， 使得 AC设备能够接收到该数据包并 进行处理。其中， 该网络设备使 ^的隧道协议可以但不限于包括 CAP AP协 议、 GRE协议、 UDP协议、 IP- in- IP 、议或者 IP安全协议 IPSEC等。

AC设备接收到数据包之后， 根据接收到的数据包对终端设备迸行认证， 在完成对终端设备的认证之后， AC设备将向 AP设备发送认证成功消息， AP 设备接收到该认证成功消息之后， 将开始记录该终端设备使用的数据流量信 息， 并按照预设周期上报给 AC设备， 使得 AC设备能够根据终端设备使用 的数据流量信息进行相应地处理， 其处理方式与实现方式一中相同， 这里不 再赘述。

基于同一发明构思， 本发明实施例中还提供了相关网络设备， 这些， 网 络设备位于无线局域网 WLAN系统中的接入控制 AC设备之前， 由于这些设 备解决问题的原理与无线局域网中认证信息处 理方法相似， 因此这些设备的 实施可以参见方法的实施， 重复之处不再赘述。

如图 3所示， 为本发明实施例提供的网络设备的结构示意图 ， 包括： 接收单元 301， 用于接收终端设备发送的数据包；

检测单元 302， 用于检測接收单元 301接收到的数据包， 并确定该数据 包满足预设的认证数据包条件；

发送单元 303， 用于检測单元 302确定该数据包满足预设的认证数据包 条件时， 将该数据包发送给 AC设备。

具体实施时， 发送单元 303， 还可以用于确定该数据包不满足预设的认 证数据包条件时， 将该数据包发送给宽带远程接入服务器 BRAS设备或者将 该数据包发送到互联网。

较佳地， 检测单元 302， 可以包括：

检查子单元， 用于检查所述数据包指定字段的取值；

确定子单元， 用于若指定字段的取值为预设值时， 确定所述数据包满足 预设的认证数据包条件。

其中， 该网络设备可以为 AP (接入点）设备， 当该网络设备为接入点设 备时， 发送单元 303 , 可以 ^于使 ^隧道协议封装该数据包， 以及封装后的 数据包通过 AP设备与 AC设备之间的隧道发送给 AC设备，该隧道使用该隧 道协议建立。 其中， 使用的隧道协议可以但不限于包括 CAPWAP 、议、 GRE 协议、 UDP t¾、议、 IP m- IP协议或者 IP安全协议 IPSEC; 具体实施时， 若采 ^的隧道 、议为 CAP AP 、议时， 发送单元 303， 可以用于使用 CAPWAP-DATA信道或者 CAPWAP- CONTROL信道封装该数据包。

较佳地， 若该网络设备为接入点设备时， 接入点设备还可以包括： 记录单元， 用于在接收到 AC设备发送的认证成功消息之后， 记录该终 端设备使用的数据流量信息；

上报单元， 用于按照预设周期向 AC设备上报记录的数据流量信息。 具体实施时， 该网络设备还可以为 WLAN系统中， 与 AP设备连接且位 于 AP 设备之后的网络设备， 例如可以为路由器设备或者交换机设备， 当该 网络设备为与 AP设备连接且位于 AP设备之后的网络设备时， 发送单元 303 可以用于使用隧道协议封装接收到的数据包； 填充该数据包的源地址为 AP 设备的地址， 以及填充该数据包的目标地址为 AC设备地址； 并根据填充的 目标地址转发该数据包。

本发明实施例提供的无线局域网中认证信息处 理方法及相关设备， 在

WLAN接入系统中， 位于 AC设备之前的网络设备， 检测接收到的数据包， 以确定该数据包是否满足预设的认证数据包条 件， 当接收到的数据包满足预 设的认证数据包条件日寸， 将该数据包发送给 AC设备处理， 当接收到的数据 包不满足预设的认证数据包条件日寸， 将该数据包发送给 BRAS或者互联网， 认而使得非认证数据包不会发送给 AC设备， 从而， 减少了 AC设备处理的 数据流量， 节约了 AC设备的处理资源， 同时， 由于减少了 AC设备需要处 理的数据流量， 相应地， 提高了 AC设备的处理速度。

本领域内的技术人员应明白， 本申请的实施例可提供为方法、 系统、 或 计算机程序产品。 因此， 本申请可采用完全硬件实施例、 完全软件实施例、 或结合软件和硬件方面的实施例的形式。 而且， 本申请可采用在一个或多个 其中包含有计算机可 ^程序代码的计算机可用存储介质 （包括但不限于磁盘 存储器、 CD- ROM、 光学存储器等） 上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、 设备（系统）、 和计算机程序产 品的流程图和 /或方框图来描述的。 应理解可由计算机程序指令实现流程图 和 I或方框图中的每一流程和 I或方框、 以及流程图和 I或方框图中的流程 和 I或方框的结合。可提供这些计算机程序指令� �通 ^计算机、专用计算机、 嵌入式处理机或其他可编程数据处理设备的处 理器以产生一个机器， 使得通 过 算机或其他可编程数据处理设备的处理器执行 的指令产生用于实现在流 程图一个流程或多个流程和 /或方框图一个方框或多个方框中指定的功能� � 直

这些计算机程序指令也可存储在能引导计算机 或其他可编程数据处理设 备以特定方式工作的计算机可读存储器中， 使得存储在该 算机可读存储器 中的指令产生包括指令装置的制造品， 该指令装置实现在流程图一个流程或 多个流程和 /或方框图一个方框或多个方框中指定的功能� �

这些计算机程序指令也可装载到计算机或其他 可编程数据处理设备上， 使得在计算机或其他可编程设备上执行一系列 操作步骤以产生计算机实现的 处理， 从而在计算机或其他可编程设备上执行的指令 提供用于实现在流程图 一个流程或多个流程和 /或方框图一个方框或多个方框中指定的功能� �步 骤。

尽管已描述了本申请的优选实施例， 但本领域内的技术人员一旦得知了 基本创造性概念， 则可对这些实施例做出另外的变更和修改。 所以， 所^权 利要求意欲解释为包括优选实施例以及落入本 申请范围的所有变更和修改。

显然， 本领域的技术人员可以对本发明进行各种改动 和变型而不脱离本 发明的精神和范围。 这样， 倘若本发明的这些修改和变型属于本发明权利 要 求及其等同技术的范围之内， 则本发明也意图包含这些改动和变型在内。