本發(fā)明涉及無線計算機網(wǎng)絡(luò)領(lǐng)域，具體涉及一種用于基于策略的無線網(wǎng)絡(luò)接入的網(wǎng)絡(luò)設(shè)備及對應(yīng)的方法。因此，本發(fā)明提供了一種用于基于策略的無線網(wǎng)絡(luò)(101)接入的網(wǎng)絡(luò)設(shè)備(100)，其中，所述網(wǎng)絡(luò)設(shè)備(100)用于：獲取無線網(wǎng)絡(luò)客戶端(103)的唯一標識符(102)；根據(jù)所述唯一標識符(102)和策略(105)，確定至少一個授權(quán)服務(wù)(104)；創(chuàng)建可以訪問所述至少一個授權(quán)服務(wù)(104)的虛擬子網(wǎng)(106)；將所述無線網(wǎng)絡(luò)客戶端(103)分配給所述虛擬子網(wǎng)(106)。

技術(shù)領(lǐng)域

本發(fā)明涉及無線計算機網(wǎng)絡(luò)領(lǐng)域，具體涉及一種用于基于策略的無線網(wǎng)絡(luò)接入的網(wǎng)絡(luò)設(shè)備及對應(yīng)的方法。換句話說，本發(fā)明涉及對受限服務(wù)集的基于策略的無線接入。

背景技術(shù)

在傳統(tǒng)的無線計算機網(wǎng)絡(luò)中，服務(wù)集標識符(service set identifier，SSID)是與無線計算機網(wǎng)絡(luò)(例如，無線局域網(wǎng)(wireless local area network，WLAN))相關(guān)聯(lián)的名稱。當傳統(tǒng)無線網(wǎng)絡(luò)客戶端意圖加入無線計算機網(wǎng)絡(luò)時，傳統(tǒng)無線網(wǎng)絡(luò)客戶端使用與無線計算機網(wǎng)絡(luò)相關(guān)聯(lián)的SSID加入無線計算機網(wǎng)絡(luò)。當傳統(tǒng)無線網(wǎng)絡(luò)客戶端加入無線計算機網(wǎng)絡(luò)時，無線計算機網(wǎng)絡(luò)的整個網(wǎng)絡(luò)拓撲會暴露給傳統(tǒng)無線網(wǎng)絡(luò)客戶端。具體地，在無線計算機網(wǎng)絡(luò)中提供的所有服務(wù)對連接的傳統(tǒng)無線網(wǎng)絡(luò)客戶端都是可見的。傳統(tǒng)的服務(wù)訪問限制可以通過例如使用具有服務(wù)鏈接的專用門戶，或通過使用雙重或復(fù)雜(例如，基于令牌的)認證來實現(xiàn)。使用安全門戶可能需要幾個步驟，接入限制基于網(wǎng)絡(luò)過濾規(guī)則(例如，防火墻)。此外，在傳統(tǒng)無線計算機網(wǎng)絡(luò)中，由相同SSID命名的不同傳統(tǒng)網(wǎng)絡(luò)設(shè)備(例如，接入點(access point，AP))被映射到不同的子網(wǎng)，這就是根據(jù)傳統(tǒng)無線網(wǎng)絡(luò)客戶端所連接的AP向傳統(tǒng)無線網(wǎng)絡(luò)客戶端提供不同的服務(wù)集的原因。例如，如圖5所示。

傳統(tǒng)方案缺少在設(shè)備本地子網(wǎng)處提供的動態(tài)服務(wù)。策略執(zhí)行是由防火墻實現(xiàn)的，該防火墻通過一組規(guī)則限制傳統(tǒng)無線網(wǎng)絡(luò)客戶端的網(wǎng)絡(luò)視圖。但是，傳統(tǒng)的無線網(wǎng)絡(luò)客戶端仍然可以觀察到服務(wù)的存在，但被防火墻阻止連接到服務(wù)。但是，期望的是只有允許的服務(wù)是可見的和可訪問的。

傳統(tǒng)方案也不支持傳統(tǒng)無線網(wǎng)絡(luò)客戶端的漫游。目前，服務(wù)分離通過兩種方式實現(xiàn)：

1.在無線網(wǎng)絡(luò)上配置基于WPA預(yù)共享密碼的安全方案。在一個站點A上配置服務(wù)集，在站點B上配置不同的服務(wù)集。從一個站點漫游到另一個站點的設(shè)備將訪問不同的服務(wù)集。在同一站點上，這種分離對于非基于身份的認證(如預(yù)共享密碼)是不可行的。

2.在無線網(wǎng)絡(luò)上配置基于WPA企業(yè)的安全方案。傳統(tǒng)的無線網(wǎng)絡(luò)客戶端將根據(jù)其所屬的域組訪問服務(wù)集，而不與特定站點相關(guān)。這種分離是通過將傳統(tǒng)無線網(wǎng)絡(luò)客戶端提供到特定VLAN組來實現(xiàn)的，其中，策略由防火墻執(zhí)行。

因此，缺少一種可以隔離連接到無線網(wǎng)絡(luò)的無線網(wǎng)絡(luò)客戶端同時以高效和有效的方式使用單個SSID的方案。

發(fā)明內(nèi)容

鑒于上述問題和缺點，本發(fā)明旨在改進傳統(tǒng)網(wǎng)絡(luò)設(shè)備。本發(fā)明具體地能夠根據(jù)無線網(wǎng)絡(luò)客戶端的唯一標識符和策略確定無線網(wǎng)絡(luò)客戶端可以訪問哪個授權(quán)服務(wù)。這可以針對接入通過單個SSID提供的無線網(wǎng)絡(luò)的若干無線網(wǎng)絡(luò)客戶端進行。

為此，嘗試連接到無線網(wǎng)絡(luò)的無線網(wǎng)絡(luò)客戶端必須經(jīng)過策略認證。例如，這可以通過公共密鑰基礎(chǔ)設(shè)施(public key infrastructure，PKI)證書實現(xiàn)。在網(wǎng)絡(luò)設(shè)備上成功授權(quán)后，將觸發(fā)授權(quán)和策略執(zhí)行，并創(chuàng)建為無線網(wǎng)絡(luò)客戶端分配的子網(wǎng)。

從而隱藏網(wǎng)絡(luò)設(shè)備提供的無線網(wǎng)絡(luò)的拓撲。此外，不需要修改無線網(wǎng)絡(luò)客戶端。在無線網(wǎng)絡(luò)客戶端上運行的應(yīng)用程序與方案無關(guān)。不需要進行應(yīng)用程序修改。該方案還可以實現(xiàn)扁平化服務(wù)發(fā)現(xiàn)，即只有無線網(wǎng)絡(luò)客戶端允許的這些服務(wù)存在于為無線網(wǎng)絡(luò)客戶端分配的子網(wǎng)中。此外，本發(fā)明允許基于策略的安全執(zhí)行，例如在域名系統(tǒng)(domain namesystem，DNS)請求級別，或者當連接到服務(wù)時。