[发明专利]身份认证方法、访问点及访问控制器

说明书

技术领域

本发明涉及通信技术，尤其涉及一种身份认证方法、访问点及访问控制器。

背景技术

无线局域网（Wireless Local Area Networks，简称为WLAN）是一种采用IEEE802.11技术提供网络接入服务的局域网技术。WLAN主要包括两种设备，一种设备是访问点（Access Point，简称为AP），一方面提供无线连接服务，另一方面则连接到有线，实现无线和有线的互通；另一种设备为终端，也即需要接入无线网络的设备，例如可以是具备WLAN功能的智能手机或者笔记本等。由于AP可提供的接入终端数有限，因此在实际部署网络时通常会部署多台AP，为了解决对多台AP的管理和配置问题，于是有了访问控制器（Access Controller，简称为AC）。

在WLAN中同样存在身份认证机制，主要是对接入无线网络的用户进行身份校验，校验通过的，允许其访问无线网络，校验未通过的，则禁止其访问无线网络。WLAN的主要工作是负责转发数据，其中一种数据转发模式是本地转发模式。在本地转发模式下，身份认证功能运行在AC上，因此用户接入无线网络时，AP会将认证信息发给AC，AC完成身份认证校验后，生成控制规则并将控制规则下发到AP的控制规则库中，AP允许符合控制规则的用户访问无线网络，对允许访问无线网络的用户的数据进行转发控制。在本地转发模式下，如果AP和AC间的通信中断，例如AC出现故障，一方面将无法对外提供身份认证服务，另一方面已经通过身份认证的用户的数据也将无法正常转发。

发明内容

本发明提供一种身份认证方法、访问点及访问控制器，用以解决本地转发模式下，AP和AC间的通信中断时的身份认证和数据转发问题。

第一方面提供一种身份认证方法，包括：

访问点AP检测所述AP与访问控制器AC之间的通信状态；

如果检测到所述AP与所述AC之间的通信中断，所述AP根据所述AC预先下发的认证配置信息进行身份认证功能的配置，使身份认证功能在所述AP上生效，并将当前作为主控制规则库的第一控制规则库设置为备份控制规则库，将当前作为备份控制规则库的第二控制规则库设置为主控制规则库；其中，所述主控制规则库用于供所述AP对进入所述AP的用户数据进行转发控制；

其中，所述第一控制规则库存储有所述AC在所述AP与所述AC之间的通信中断之前，针对已经通过身份认证的第一用户下发的第一控制规则，所述第二控制规则库存储有所述AP在所述AP与所述AC之间的通信中断之前，根据所述AC针对已经通过身份认证的第一用户下发的身份认证信息生成的第二控制规则；其中，所述AC针对已经通过身份认证的第一用户下发的第一控制规则是所述AC根据已经通过身份认证的第一用户的身份认证信息生成的；

如果所述AP在所述AP与所述AC之间的通信中断期间接收到第二用户的认证请求，根据第二用户的身份认证信息对所述第二用户进行身份认证，并在所述第二用户通过身份认证后，生成所述第二用户的控制规则，并将所述第二用户的控制规则存储到所述第二控制规则库中，所述第二用户的认证请求包括所述第二用户的身份认证信息。

第二方面提供一种访问点，包括：

检测模块，用于检测所述AP与访问控制器AC之间的通信状态；

中断处理模块，用于如果所述检测模块检测到所述AP与所述AC之间的通信中断，根据所述AC预先下发的认证配置信息进行身份认证功能的配置，使身份认证功能在所述AP上生效，并将当前作为主控制规则库的第一控制规则库设置为备份控制规则库，将当前作为备份控制规则库的第二控制规则库设置为主控制规则库；其中，所述主控制规则库用于供所述AP对进入所述AP的用户数据进行转发控制；

其中，所述第一控制规则库存储有所述AC在所述AP与所述AC之间的通信中断之前，针对已经通过身份认证的第一用户下发的控制规则，所述第二控制规则库存储有所述AP在所述AP与所述AC之间的通信中断之前，根据所述AC针对已经通过身份认证的第一用户下发的身份认证信息生成的控制规则；其中，所述AC针对已经通过身份认证的第一用户下发的控制规则是所述AC根据已经通过身份认证的第一用户的身份认证信息生成的；

接收模块，用于在所述AP与所述AC之间的通信中断期间接收第二用户的认证请求，所述第二用户的认证请求包括第二用户的身份认证信息；