CN108738022B

CN108738022B - 一种无线通信网络移动管理方法及系统

Info

Publication number: CN108738022B
Application number: CN201810723573.5A
Authority: CN
Inventors: 田野; 朱格; 王小东; 李明政; 梅磊
Original assignee: University of Science and Technology of China USTC
Current assignee: University of Science and Technology of China USTC
Priority date: 2018-07-04
Filing date: 2018-07-04
Publication date: 2021-03-09
Anticipated expiration: 2038-07-04
Also published as: CN108738022A

Abstract

本发明提出一种无线通信网络移动管理方法，该方法应用于控制器，包括：接收与所述控制器连接的无线接入点设备发送的终端入网请求信息；根据所述终端入网请求信息，为所述终端构造虚拟接入点，并确定所述终端入网的第一无线接入点设备；通过所述第一无线接入点设备，向所述终端发送入网响应信息，以及执行对所述终端的认证和关联处理；从服务器请求获取入网IP地址并发送给所述终端，使所述终端利用所述入网IP地址通过所述第一无线接入点设备与所述服务器建立网络连接；将所述虚拟接入点配置到所述第一无线接入点设备。采用上述技术方案能够实现控制器统一控制终端接入无线网络，解决了不同无线接入点设备的差异性造成的终端无法成功入网的问题。

Description

一种无线通信网络移动管理方法及系统

技术领域

本发明涉及移动通信技术领域，尤其涉及一种无线通信网络移动管理方法及系统。

背景技术

第五代移动通信(5G)向世界描述了一个“万物互联”的场景，它被看作是由多项技术组成的、端到端全覆盖的生态系统，能够满足不同用户和垂直行业的差异化服务需求。为了承载不同类型业务，5G核心网络需要支持LTE、Wi-Fi等在内的多制式共存接入，在这些技术中，Wi-Fi以其灵活多变、无处不在的特性为终端设备的大量接入提供了极大的便利。此外，包括家庭医疗、工业控制等在内的部分典型5G环境通常是由无线局域网(WLAN)提供服务，而Wi-Fi基础设施又是构建WLAN的关键。因此，Wi-Fi将成为5G的重要组成部分，并在其演进方面发挥积极作用。

当前的Wi-Fi接入点(Access Point,AP)被广泛部署在企业、校园和商铺、机场等公共场所内，满足用户随时随地的使用需求。然而，管理大规模的Wi-Fi网络仍是一个亟待解决的难题，尤其是考虑到基础设施的差异性，现有的AP设备均由不同厂商独立研制，遵循各种IEEE协议标准，可以看作是具有各自操作系统、需要特定配置命令的黑盒，这种设备间的差异性造成难以在局域网中提供统一集中的接入管理。

发明内容

基于上述现有技术的问题，本发明提出一种无线通信网络移动管理方法及系统，能够为无线通信网络提供统一的接入管理，提高无线通信网络对移动终端的兼容性。

为了达到上述目的，本发明具体提出如下技术方案：

一种无线通信网络移动管理方法，应用于控制器，该方法包括：

接收与所述控制器连接的无线接入点设备发送的终端入网请求信息；其中，所述与所述控制器连接的无线接入点设备包括数据帧和管理帧处理流表；

根据所述终端入网请求信息，为所述终端构造虚拟接入点，并确定所述终端入网的第一无线接入点设备；

通过所述第一无线接入点设备，向所述终端发送入网响应信息，以及执行对所述终端的认证和关联处理；

从服务器请求获取入网IP地址并发送给所述终端，使所述终端利用所述入网IP地址通过所述第一无线接入点设备与所述服务器建立网络连接；

将所述虚拟接入点配置到所述第一无线接入点设备。

可选的，该方法还包括：

接收无线接入点设备发送的所述终端的位置信息；

当所述终端从所述第一无线接入点设备覆盖范围移动到第二无线接入点设备覆盖范围时，将所述虚拟接入点从所述第一无线接入点设备配置到所述第二无线接入点设备。

可选的，该方法还包括：

接收所述终端发送的网络服务配置信息；

根据所述网络服务配置信息进行服务部署，并生成相应的服务处理流表；

将所述服务处理流表下发给所述虚拟接入点所在的无线接入点设备。

一种无线通信网络移动管理方法，应用于无线接入点设备，所述无线接入点设备中包括数据帧和管理帧处理流表，该方法包括：

接收终端发送的入网请求信息；

将所述入网请求信息发送给控制器，使所述控制器根据所述入网请求信息控制所述终端入网。

可选的，该方法还包括：

当接收到通信数据帧时，将所述通信数据帧与所述处理流表进行匹配，并将所述通信数据帧按照匹配到的处理流水线进行处理。

可选的，将所述通信数据帧发送到匹配的处理流水线处理，包括：

如果所述通信数据帧为管理数据帧，则将所述管理数据帧发送给所述控制器处理；

如果所述通信数据帧为业务数据帧，则按照与所述业务数据帧匹配的处理流水线的处理程序对所述业务数据帧进行处理。

可选的，该方法还包括：

获取所述终端的位置信息，并将获取的所述终端的位置信息发送给所述控制器。

一种无线通信网络移动管理系统，包括：

控制器和无线接入点设备；

其中，所述控制器包括：

请求接收单元，用于接收无线接入点设备发送的终端入网请求信息；

第一处理单元，用于根据所述终端入网请求信息，为所述终端构造虚拟接入点，并确定所述终端入网的第一无线接入点设备；

第二处理单元，用于通过所述第一无线接入点设备，向所述终端发送入网响应信息，以及执行对所述终端的认证和关联处理；

第三处理单元，用于从服务器请求获取入网IP地址并发送给所述终端，使所述终端利用所述入网IP地址通过所述第一无线接入点设备与所述服务器建立网络连接；

第四处理单元，用于将所述虚拟接入点配置到所述第一无线接入点设备；

所述无线接入点设备包括：

存储单元，用于存储数据帧和管理帧处理流表；

信息接收单元，用于接收终端发送的入网请求信息；

信息发送单元，用于将所述入网请求信息发送给控制器。

可选的，所述控制器还包括：

位置信息接收单元，用于接收无线接入点设备发送的所述终端的位置信息；

设备切换单元，用于当所述终端从所述第一无线接入点设备覆盖范围移动到第二无线接入点设备覆盖范围时，将所述虚拟接入点从所述第一无线接入点设备配置到所述第二无线接入点设备。

可选的，所述控制器还包括：

用户信息接收单元，用于接收所述终端发送的网络服务配置信息；

处理流表生成单元，用于根据所述网络服务配置信息进行服务部署，并生成相应的服务处理流表；

处理流表下发单元，用于将所述服务处理流表下发给所述虚拟接入点所在的无线接入点设备。

可选的，所述无线接入点设备还包括：

通信处理单元，用于当接收到通信数据帧时，将所述通信数据帧与所述处理流表进行匹配，并将所述通信数据帧按照匹配到的处理流水线进行处理。

本发明技术方案设定，控制器接收到无线接入点设备发送的终端入网请求信息时，根据所述终端入网请求信息，为所述终端构造虚拟接入点，并确定所述终端入网的第一无线接入点设备；然后通过所述第一无线接入点设备，向所述终端发送入网响应信息，以及执行对所述终端的认证和关联处理；从服务器请求获取入网IP地址并发送给所述终端，使所述终端利用所述入网IP地址通过所述第一无线接入点设备与所述服务器建立网络连接；最后将所述虚拟接入点配置到所述第一无线接入点设备，使终端通过所述第一无线接入点设备上的所述虚拟接入点开展通信业务。可见，本发明技术方案设置由控制器统一控制各无线接入点设备的终端接入处理，控制器的统一控制实现了终端从不同无线接入点设备入网的统一管理，解决了不同无线接入点设备的差异性造成的终端无法成功入网的问题，提高了无线通信网络对移动终端入网的兼容性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1是本发明实施例提供的一种网络系统的示意图；

图2是本发明实施例提供的一种报文抽象转发模型的示意图；

图3是本发明实施例提供的使用二元组形式表示帧字段的示意图；

图4是本发明实施例提供的以太网帧和无线帧相互转化的示意图；

图5是本发明实施例提供的可编程局域网模型示意图；

图6是本发明实施例提供的一种无线通信网络移动管理方法的流程示意图；

图7是本发明实施例提供的无线接入点设备内部的数据帧和管理帧处理流表设计示意图；

图8是本发明实施例提供的终端设备接入无线通信网络的接入过程示意图；

图9是本发明实施例提供的虚拟接入设备掩码计算及数据类型判断的处理代码示意图；

图10是本发明实施例提供的控制器控制终端接入的处理流程示意图；

图11是本发明实施例提供的另一种无线通信网络移动管理方法的流程示意图；

图12是本发明实施例提供的移动终端无缝切换无线接入点的过程示意图；

图13是本发明实施例提供的用户自定义的防火墙规则的处理流程代码示意图；

图14是本发明实施例提供的由图13所示的防火墙规则生成流表项的示意图；

图15是本发明实施例提供的又一种无线通信网络移动管理方法的流程示意图；

图16是本发明实施例提供的无线接入点对各种类型的通信数据帧的处理逻辑示意图；

图17是本发明实施例提供的无线通信网络移动管理系统的控制器的结构示意图；

图18是本发明实施例提供的无线通信网络移动管理系统的无线接入点设备的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例公开了一种无线通信网络移动管理方法，该方法用于实现移动终端接入无线接入点设备的Wi-Fi网络，并且是实现各种不同的移动终端可以按照统一的网络接入方式接入任意类型的无线接入点设备的Wi-Fi网络，即在局域网中提供统一集中的接入管理，不论无线接入点设备采用何种协议、何种操作系统，都可以采用本发明实施例技术方案实现终端入网。

参见图1所示，本发明实施例技术方案应用于控制器统一管理各种不同的无线接入点设备的网络系统。不同于现有技术中终端接入由无线接入点设备自主控制的技术实现，本发明实施例设置由一个控制器统一管理与其连接的各个不同无线接入点设备的终端入网处理。

具体的，本发明实施例通过可编程数据转发平面实现对终端接入网络的统一处理。可编程数据转发平面通过编程方式控制数据报文解析和相应的转发流程，彻底打破硬件设备对数据平面的限制，使得网络设备真正对用户开放，适用于包括ASIC、FPGA在内的硬件交换机和基于Linux的软件交换机。Protocol-Oblivious Forwarding(协议无感知转发，POF)和P4正是数据平面可编程的代表性技术，通过引入了一种如图2所示的抽象转发模型，将网络策略映射到底层的多级流水线内实现，每条流水线都是由一系列包含“Match+Instruction”(匹配+执行)规则的流表组成。用户可以在控制面配置任意格式的报文协议，部署自定义的报文处理流程，并以流表的形式下发到物理交换机，后者会根据进入数据包的协议字段进行查询匹配，当表项命中后执行相应的指令操作，例如跳转到下一级流表继续处理，修改协议字段，转发至某个端口等。

本发明就采用了POF技术直接对原生的802.11数据帧进行处理。POF将协议字段描述成{offset,length}的二元组形式，其中offset表示协议字段到数据包起始位置的距离，length表示该协议字段的长度，例如以太网帧的源和目的MAC地址可以分别表示为{0,48}和{48,48}，显然，任何已有或者新兴的网络协议都能够用这种方式表示。一台POF无线交换机不需要任何关于协议格式的先验知识，只需要根据二元组提取相应的协议字段，然后匹配流表并执行相应动作即可，从而实现协议无感知转发，进而可以实现终端统一接入和业务数据的传输。

其中包含的两个关键步骤如下所示：

1)数据包解析：POF遵循分布式解析的原则，沿着流水线处理过程中逐层定位并提取用户指定的待匹配字段，并用一个指针记录当前流表对应的协议层起始位置。显然，这种按需解析能够提高处理复杂报文的效率，图3展示了如何使用二元组的形式表示802.11中重要的MAC帧字段和Radiotap帧字段，包括源mac地址、目的mac地址、BSSID和接收信号强度RSSI等。

2)指令执行：受CPU通用指令集启发，POF提出了一套完整的协议无关的报文处理指令集(Protocol-Oblivious Instruction Set,FIS)。根据功能可分为数据包编辑和转发操作。其中，编辑操作包括用于添加和删除协议头部的Add_Field和Delete_Field，以及用于暂存数据的Write_Metadata，转发操作则用于控制流水线处理流程，如实现流表间跳转的Goto_Table和终止处理并发送数据包的Output。图4展示了如何用FIS实现以太网帧和802.11帧间的相互转化，即如何对上层协议进行不同的格式封装。

本发明实施例技术方案将数据平面可编程的概念拓展到无线接入点侧，通过设计流水线数据通路完成对原生IEEE802.11报文的复杂处理流程，构建基于POF的可编程无线局域网，实现对不同厂商多种Wi-Fi设备的统一接入管理。如图5所示，本发明涉及POF的控制平面和数据平面。其中数据平面由多个支持POF的无线AP(Access Point,接入点)设备组成，AP内部包含能够处理无线帧和应用用户策略的流水线，以及和终端设备对应的虚拟接入点(Terminal-based Access Point,TAP)。

基于上述介绍，本发明实施例技术方案通过为不同的无线AP设备设置统一的控制器管理终端接入，为各个不同的无线AP设置能够处理无线帧和应用用户策略的流水线实现对不同类型移动通信业务的处理。

首先，本发明实施例介绍应用于图1所示的控制器的无线通信网络移动管理方法，参见图6所示，该方法包括：

S601、接收与所述控制器连接的无线接入点设备发送的终端入网请求信息；其中，所述与所述控制器连接的无线接入点设备包括数据帧和管理帧处理流表；

具体的，本发明实施例采用了支持协议无关转发的无线接入点设备，该无线接入点设备是通过将POF源码移植到OpenWrt系统，再将OpenWrt系统作为固件刷入各种商用路由器得到的。这些通用路由器来自于不同设备厂商，支持多种802.11协议标准。此外值得注意的是，由于POF是面向未来的转发面技术，任何新兴的无线协议标准都可以应用到该可编程物理AP上。

无线AP内部的数据帧和管理帧处理流表设计如图7所示，分为Ingress Pipeline和Egress Pipeline两个匹配处理过程。其中，Ingress包含五张流表，根据其功能可以划分为四个不同的阶段，阶段一对应匹配无线帧最外层的Radiotap表，阶段二的FrameFilter表是为了过滤掉不属于当前物理AP的杂包，提高在嘈杂无线环境中的运行效率，阶段三有FrameControl和MgmtFrame两张表，用于区别管理帧和数据帧，前者上报给全网控制器，后者则直接交由用户流表处理，最后一个阶段对应用户策略翻译成的底层流表。Metadata可以实现处理过程中的数据共享，在表之间携带状态信息传输。Egress只有一张出口表，负责按照先前指定的端口发送数据包，并在发送前完成重新计算校验和等操作。各流表的详细描述如下所示：

Radiotap表：匹配字段为数据包进入交换机的端口号In_Port。

该表根据数据包入口判断其来自无线网络还是有线网络，无线路由器上一般有四个以太网口和一个无线电接口，如果入口为普通网口，则直接将以太网帧交由用户流表即可，如果入口为无线口，则需要将报文接收信号强度记录在Metadata中，并将最外层Radiotap剥去，最后把数据包发送到下一张表继续处理。

FrameFilter表：匹配字段为无线帧的源mac地址。

该表实际上和虚拟接入点TAP相对应。由于真实的物理AP上可能承载多个虚拟TAP，而虚拟TAP又和用户一一对应，通过匹配该表可以将不被当前AP服务的用户流量过滤掉。此外，该表还用于跟踪移动用户终端，当用户靠近某个物理AP时，其接收信号强度大于给定阈值，引起PacketIn事件，进而触发无缝切换。

FrameControl表：匹配字段为802.11帧类型。

该表采用值为0x0c的掩码匹配，根据无线帧的类型域区分数据帧和管理帧，对于前者，遵循格式转化原则，在Metadata组装完整的以太网头部，连同原数据包删除MAC和LLC头部后剩余的部分，被用户表视为一个正常的以太网报文，对于后者则交由管理表处理。

MgmtFrame表：匹配字段为802.11管理帧类型。

该表采用值为0xf0的掩码匹配，其表项对应管理帧的各个子类型，具体包括探测、连接、认证、重连接、解除连接、解除认证等，当数据包命中后将其上报给控制器，在控制器的调度下完成设备的接入。

User表集合：匹配字段由用户自定义。

可编程无线局域网允许用户在控制平面自定义所需的功能，如IJ带宽QoS管理，负载均衡等。由于不同用户部署的网络服务有差异，该集合包含各种用户流表，分别和用户对应的虚拟TAP绑定，这些流表也会跟随用户的移动一起迁移。

Egress表：匹配数据包发送端口。

该表根据用户表中设定的端口将数据包发出。在发送前结合Metadata中缓存的协议字段实现无线帧和以太网帧格式之间的相互转化，并重新校验新报文。

与传统无线网络不同的是，本发明实施例中设备接入必须在控制器的参与控制下完成，具体的过程如图8所示，按照时间先后顺序可以分为终端(也可称为工作站)附着、加密认证以及转发配置三个阶段。

控制器按照一定时间间隔依次向终端发送有规律的无线信号(和心跳包相似)。针对每个相连的物理AP，控制器统计其上承载的虚拟TAP，进而在数据库中查找所对应的用户终端，并将其作为单播地址填写到信标帧中，经由底层AP指向目的客户端发出，这样一来就能够防止客户看到其他人的TAP信息，有效的隔离网络流量。

由于每个用户都拥有私有TAP且相互之间应该隐藏，因此，由AP公告Wi-Fi网络存在的被动扫描并不合适。本发明实施例设置终端采取主动扫描的方式，通过发送探测请求来主动寻找网络。当终端想要接入无线接入点设备的Wi-Fi网络而发送入网请求时，任何在终端范围内的物理AP都会接收到该请求，并告知控制器。相应的，控制器执行步骤S601、接收与所述控制器连接的无线接入点设备发送的终端入网请求信息。

S602、根据所述终端入网请求信息，为所述终端构造虚拟接入点，并确定所述终端入网的第一无线接入点设备；

具体的，上述第一无线接入点设备，是指控制器在接收到在所述终端通信范围内的各物理AP转发的入网请求信息后，根据负载均衡的原则选择的一个靠近用户终端的物理AP，将响应帧发出，此后的来自该终端的管理帧都经由该物理AP和控制器交互。为便于区分，本发明实施例将该物理AP命名为第一无线接入点设备。

对于首次接入的用户，控制器会根据接收到的源自该终端的入网请求信息进行身份验证并为该终端初始化虚拟TAP的构造，按照数据库存储的TAP信息构造探测响应帧，包括虚拟网络名称SSID、支持的传输速率、认证方式等。

虚拟TAP实际上是在过滤表中以表项形式存在的，TAP本身是一种轻量级的、用户独享的虚拟AP，这里的用户可以是单个使用者，也可以是一组使用群体，例如可以将某一层楼的办公职员看作一个用户来提供虚拟网络，因此，单个TAP可以承载多个终端设备，快速有效的匹配过滤成为性能关键。参考无线网卡驱动采取的“BSSID掩码”方式，有关TAP掩码的计算如图9所示：

在用户接入时，控制器端查询其所属的TAP，并按照图9所示的计算tap_mask方法计算tap_mask，其中掩码初始值为全f，全局分配的虚拟网络识别标号为tap_id，核心思想是遍历所有终端计算出这些设备mac地址占用的公共比特位，进而将tap_value和tap_mask作为掩码匹配的流表项下发到FrameControl表。对于任何到来的数据包，无线交换机用无线帧头部的源mac地址参与掩码匹配，通过图9所示的判断数据包是否属于虚拟网络的方式判断数据包是否属于该虚拟网络，且只放行虚拟网络的流量，从而实现将虚拟AP放置到实际物理AP上。

S603、通过所述第一无线接入点设备，向所述终端发送入网响应信息，以及执行对所述终端的认证和关联处理；

具体的，参见图8所示，一旦终端选择连接虚拟网络，认证请求帧和关联请求帧会依次发出，这两种帧的处理过程类似，都是由上一步选定的第一无线接入点设备上报给控制器，控制器生成响应帧反馈给终端，实现对终端的认证和关联处理。这里的认证只是交互加密方式等，可以选择公开、WPA2等方法。

真正的加密认证过程，密钥信息的交互遵循四次握手原则，控制器作为认证服务器和终端进行协商(例如采用WPA2则双方最终会安装GTK和PTK)。对于不需要加密的公用虚拟网络，该阶段直接跳过。

S604、从服务器请求获取入网IP地址并发送给所述终端，使所述终端利用所述入网IP地址通过所述第一无线接入点设备与所述服务器建立网络连接；

具体的，控制器预先在用户流表中下发表项配置好二层转发路径，将IP获取请求导到局域网内的DHCP服务器上，向服务器请求入网IP地址，然后向获取到的入网IP地址发送给终端，使终端利用该IP地址通过上述的第一无线接入点设备的Wi-Fi信号与服务器建立网络连接。

S605、将所述虚拟接入点配置到所述第一无线接入点设备。

具体的，在终端连接服务器网络完成后，控制器负责将先前生成TAP分配到上述第一无线接入点设备上，同时，在该虚拟网络中所有和终端关联的流表也会随之下发给该第一无线接入点设备，此后终端和外网的数据通信会通过该第一无线接入点设备完成，即实现了真正的终端入网。

可以理解，上述介绍的无线通信网络移动管理方法主要实现了终端入网，并且是控制器与无线接入设备交互完成的终端统一入网方案。

对于控制器自身来说，其内部有完善的处理流程处理终端设备接入。参见图10所示，每当有物理AP通过POF控制信道连接控制器后，后者首先下发除用户表之外的流表，并配置表项打通无线管理帧处理通路。当有用户终端发起探测请求时，控制器查询全网数据库，判断其是否属于合法用户，若认证通过且是首次接入，则由控制器负责填充响应帧反馈，同时开启一个维护连接状态表的线程，监听整个网络活动，之后接收到的各种管理帧后更新对应的状态转化图即可。如果收到断开连接或者超时发生后，该线程自动销毁并回收底层流表项。若设备成功接入，则控制器还需要为其生成虚拟网络TAP对应表项，将其下发到FrameFilter表中，同时还会进行网络服务的部署，同时结束接入线程处理。

在本发明实施例中，控制器接收到无线接入点设备发送的终端入网请求信息时，根据所述终端入网请求信息，为所述终端构造虚拟接入点，并确定所述终端入网的第一无线接入点设备；通过所述第一无线接入点设备，向所述终端发送入网响应信息，以及执行对所述终端的认证和关联处理；从服务器请求获取入网IP地址并发送给所述终端，使所述终端利用所述入网IP地址通过所述第一无线接入点设备与所述服务器建立网络连接；将所述虚拟接入点配置到所述第一无线接入点设备。可见，本发明实施例技术方案设置由控制器统一控制各无线接入点设备的终端接入处理，控制器的统一控制实现了终端从不同无线接入点设备入网的统一管理，解决了不同无线接入点设备的差异性造成的终端无法成功入网的问题，提高了无线通信网络对移动终端入网的兼容性。

可选的，在本发明的另一个实施例中，参见图11所示，该方法还包括：

S1106、接收无线接入点设备发送的所述终端的位置信息；

具体的，为了更好地保障移动用户的体验，本发明实施例设置在控制器内维护所有需要跟踪的客户终端列表，控制器控制与客户终端列表中的终端连接的无线接入点设备以及周围的无线接入点设备对终端的位置进行定位跟踪。其中，上述实施例介绍的入网终端接入网络后，无线接入点设备采用事件驱动、基于信号强度(RSSI)预测的主动式移动管理，对跟踪的终端位置进行预测和定位，在定位到被跟踪的终端的位置信息后，将位置信息发送给控制器。

当所述终端从所述第一无线接入点设备覆盖范围移动到第二无线接入点设备覆盖范围时，执行步骤S1107、将所述虚拟接入点从所述第一无线接入点设备配置到所述第二无线接入点设备。

具体的，控制器在接收到终端的位置信息后，判断终端是否依然处于入网时所在的第一无线接入点设备覆盖范围内，如果终端从入网时所在的第一无线接入点设备覆盖范围移动到了第二无线接入点设备覆盖范围，则本发明实施例设定此时将原本位于第一无线接入点设备的，所述终端的虚拟接入点从第一无线接入点设备移动配置到上述第二无线接入点设备，使该虚拟接入点在第二无线接入点设备内部继续为终端提供网络服务。同时，控制器控制第一无线接入点设备删除与该终端相关的虚拟接入点表项数据。

步骤S602中介绍到，控制器在为终端生成对应的虚拟接入点时，遍历所有终端计算出这些设备mac地址占用的公共比特位，进而将tap_value和tap_mask作为掩码匹配的流表项下发到FrameControl表。值得注意的是，FrameControl表中的表项实际上就代表着用户终端和虚拟TAP之间的映射关系，控制器具有全网视图，能够动态操控(重配置)流表项，因而可以做到将设备对应的虚拟AP从某个物理AP迁移到另一个位置。这个过程对用户来说是完全透明的，因为控制器营造了假象，而在终端看来，它一直和代表虚拟网络的TAP保持连接，更为重要的是，本发明方法是设备兼容的，不需要对客户端做任何的修改。

可见，由于虚拟TAP实际上是在过滤表中以表项形式存在，在本发明实施例中，当终端设备靠近某个物理AP的时候，TAP也会在控制器的调度下随之自动的从先前AP快速切换到新的位置，相应的用户转发规则也会一起更新。而这一过程对用户来说完全透明，因而可以做到真正意义上的无缝切换。

上述无缝切换过程具体可参见图12所示，当前终端设备T与底层无线接入点AP2通信，即T对应的虚拟TAP放置在AP2(步骤①)。同时，该虚拟网络的用户启动移动管理服务，控制器告知AP2附近所有物理AP追踪用户终端，具体的实现方式是根据待跟踪终端的mac地址生成表项添加到FrameControl表中，在本示例中是将匹配T的表项下发给底层无线接入点AP1(步骤②)。这条特殊表项需要执行两个操作，一方面根据霍特双参数指数平滑法对接收到的信号强度进行预测，另一方面根据预测值判断T是否有明显的靠近趋势，若有则立即上报给控制器(步骤③)。控制器在收到该消息后首先根据TAP掩码计算公式更新添加客户端T后的AP1处FrameControl表项，然后重新规划路径将原本经由AP2流向终端的流量调整到通过AP1到终端，最后再更新删除客户端T后AP2的FrameControl表项(步骤④)。

可以看出，真正感知到需要开始切换是发生在步骤③处，这里首先由控制器设定触发切换的信号强度阈值，根据实际测试结果当接收到的终端信号强度大于-70dBm时，丢包率低且此时通信能量开销小，因而将其作为阈值。而预测用到的公式如下所示：

L_t＝αY_t+(1-α)(L_t-1+T_t-1)

T_t＝β(L_t-L_t-1)+(1-β)T_t-1

F_t+k＝L_t+kT_t

其中，Y_t是在t时刻的实际信号强度，L_t和T_t分别是t时刻的平滑值和趋势值，利用平滑值对趋势进行修正后得到k时刻后的预测值，只有当k时刻后的预测值大于给定阈值ε且当前趋势值大于γ，这时判定终端T有靠近AP1的意图。α和β均为系统参数，在这里分别被设置为0.5和0.6。上述预测公式只有L_t-1，T_t-1两个历史数据和两个参数，实际存放在FlowMetadata(具有和流相同的生命周期)，再利用POF提供的Calculate_Field指令进行乘法和加法运算。最后利用Conditional_Jump指令将所有满足判别条件的数据包上报给控制器，进而触发无缝切换。

本实施例中的步骤S1101～S1105分别对应图6所示的方法实施例中的步骤S601～S605，其具体内容请参见图6所示的方法实施例的内容，此处不再赘述。

可选的，在本发明的另一个实施例中还公开了，控制器可以接收用户自定义的网络服务并进行相应的网络服务部署，以满足用户服务需求。

控制器为用户配置自定义网络服务时，具体包括：

接收所述终端发送的网络服务配置信息；

具体的，首先，用户在终端上配置网络服务，然后通过终端将网络服务配置信息发送到控制器。控制器在接收到终端发送的网络服务配置信息后，借助POF提供的灵活强大的指令集，进行相应的服务部署，并且生成与用户配置的网络服务对对应的服务处理流表，该服务处理流表用于为处理用户所配置的网络服务提供流表参考。最后，控制器将生成的服务处理流表发送给与该终端连接的虚拟接入点所在的无线接入点设备。由于该无线接入点设备内部具备了处理上述用户配置的网络服务的服务处理流表，因此当该无线接入点设备接收到关于上述用户配置的网络服务的数据报文时，能够参照上述的服务处理流表进行相应处理，即提供上述的用户配置的网络服务。

需要说明的是，基于上一实施例介绍的本发明实施例技术方案实现的无缝切换的功能，当终端移动发生无线接入设备切换时，控制器控制将该终端设置的用户自定义网络服务的服务处理流表随之进行转移，即用户通过终端配置的网络服务的处理流表，一直存储在于终端连接的无线接入设备内部。

参见图13所示，展示了用户自定义的防火墙规则，该规则是应用层防火墙，主要的处理规则是：首先对数据包以太网类型进行判断，阻断所有非IPv4流量经过，然后对数据包的源IP地址和源端口对进行合法性检查，最后判断目的主机状况(已认证状态为true)，对于已经通过认证的主机根据路由表作进一步转发。

图14则反映了这些规则如何翻译成底层无线交换机的流表项。结合图12所示的无缝切换过程图，用户终端T在AP2处完成虚拟网络连接后，由于用户流表初始化为空，所有流量都会上报给控制器处理，以T发向S的数据包为例，该数据包遍历用户防火墙规则程序，并依次翻译成图中的流表项(灰色背景)，当用户移动到AP1的覆盖范围后，虚拟接入点TAP首先迁移到新的位置，同样的该终端主机对应的这些流表项也要随之转移到新的无线接入设备(AP1)。

本发明另一实施例还公开了应用于无线接入点设备的无线通信网络移动管理方法，其中，所述无线接入点设备中包括数据帧和管理帧处理流表。并且该方法同样是应用于如图1所示的控制器统一管理各种不同的无线接入点设备的网络系统中，具体是应用于图1所示的网络系统中的无线接入点设备。

如上所述，本发明实施例采用了支持协议无关转发的无线接入点设备，该无线接入点设备是通过将POF源码移植到OpenWrt系统，再将OpenWrt系统作为固件刷入各种商用路由器得到的。这些通用路由器来自于不同设备厂商，支持多种802.11协议标准。此外值得注意的是，由于POF是面向未来的转发面技术，任何新兴的无线协议标准都可以应用到该可编程物理AP上。

Radiotap表：匹配字段为数据包进入交换机的端口号In_Port。

FrameFilter表：匹配字段为无线帧的源mac地址。

FrameControl表：匹配字段为802.11帧类型。

MgmtFrame表：匹配字段为802.11管理帧类型。

User表集合：匹配字段由用户自定义。

Egress表：匹配数据包发送端口。

参见图15所示，本发明实施例公开的应用于上述包括数据帧和管理帧处理流表的无线接入点设备的无线通信网络移动管理方法包括：

S1501、接收终端发送的入网请求信息；

S1502、将所述入网请求信息发送给控制器，使所述控制器根据所述入网请求信息控制所述终端入网。

具体的，控制器按照一定时间间隔依次向终端发送有规律的无线信号(和心跳包相似)。针对每个相连的物理AP，控制器统计其上承载的虚拟TAP，进而在数据库中查找所对应的用户终端，并将其作为单播地址填写到信标帧中，经由底层AP指向目的客户端发出，这样一来就能够防止客户看到其他人的TAP信息，有效的隔离网络流量。

由于每个用户都拥有私有TAP且相互之间应该隐藏，因此，由AP公告Wi-Fi网络存在的被动扫描并不合适。本发明实施例设置终端采取主动扫描的方式，通过发送探测请求来主动寻找网络。当终端想要接入无线接入点设备的Wi-Fi网络时，广播发送入网请求信息。此时，在该终端通信范围内的各个无线接入点设备都可以接收到该终端发送的入网请求信息。

然后，无线接入点设备将接收到的终端发送的入网请求信息转发给控制器，控制器再根据该入网请求信息，进行如下的入网处理：为该终端构建虚拟接入点、确定该终端入网的无线接入点设备、向所述终端发送入网响应信息以及执行对所述终端的认证和关联处理、获取入网IP地址并发送给该终端、将为该终端生成的虚拟接入点配置到该终端入网的无线接入点设备等。

上述控制器进行终端入网处理的具体处理过程，请参见上述实施例的说明，此处不再赘述。

通过上述介绍可见，本发明实施例设定当无线接入点设备在接收到终端发送的入网请求信息后，将接收的入网请求信息发送给控制器，由控制器根据该入网请求信息控制该终端入网。可以理解，由于本发明实施例技术方案不再由无线接入点设备自主处理终端入网，而是交由控制器处理，因此对于不同的无线接入点设备的终端入网，都可以由控制器统一处理，消除了不同无线接入点设备的终端入网差异化，可以实现统一的终端入网处理，提高了无线通信网络对移动终端入网的兼容性。

可选的，在本发明的另一个实施例中，公开了上述无线接入点设备在接收到通信数据帧时的处理过程。

无线接入点设备对通信数据帧的处理方法为：当接收到通信数据帧时，将所述通信数据帧与所述处理流表进行匹配，并将所述通信数据帧按照匹配到的处理流水线进行处理。

具体的，上述通信数据帧，包括在具体的通信业务进行过程中所产生的管理数据帧和业务数据帧。其中，管理数据帧主要由控制器发送或接收，用于实现对通信过程的管理；业务数据帧主要由终端与其它终端在通信过程中发送，用于承载具体的通信数据。

无线接入点设备对接收的通信数据帧的处理，不论是上行的通信数据帧还是下行的通信数据帧，都需要通过将通信数据帧与存储的处理流表进行匹配选择相应的处理流程进行处理。

前文已说明，在无线接入点内部存储各项流表，各项流表都是通过匹配调用，例如Radiotap表匹配字段为数据包进入交换机的端口号In_Port；FrameFilter表匹配字段为无线帧的源mac地址；FrameControl表匹配字段为802.11帧类型等。

可以理解，无线接入点设备从接收到的通信数据帧中提取出上述可用于进行匹配的信息，然后进行相应的匹配，就可以确定应该按照哪个流表进行处理。具体为，匹配到哪个流表，就按照哪个流表的处理流程进行处理。

图16示出了各种类型的通信数据帧的处理逻辑，包括上行、下行流量和终端附着时产生的流量，并将其与上述流表之间的依赖关系相对应，展示了进入物理AP数据包的不同控制流程以及其协议格式转化效果。

根据以上介绍同时参考图16所示，无线接入点设备根据匹配结果将通信数据帧发送到匹配的处理流水线处理，具体可以分为：

具体的，通信数据帧大体上可以分为管理数据帧和业务数据帧。对于管理数据帧，本发明实施例设定经过匹配过程最终发送给控制器进行处理，也就是说，在本发明实施例中，所有的管理工作都由控制器完成。而对于业务数据帧，在处理流表中存储针对各种业务数据的处理流水线，用于对对应的业务数据进行具体处理，在完整业务数据帧与处理流表的匹配过程后，可以匹配到处理流表中的，对应该业务数据帧的处理流水线，然后将该业务数据帧交给该处理流水线进行处理。也就是说，在本发明实施例中，所有的业务工作都由无线接入点设备中的流水线处理完成。

可选的，在本发明的另一个实施例中，还公开了无线接入点设备获取所述终端的位置信息，并将获取的所述终端的位置信息发送给所述控制器。

相应的，控制器对终端的位置进行解析，并进行必要的切换终端的虚拟接入点所在的无线接入点设备的处理，实现终端无缝切换无线接入点设备。

需要说明的是，鉴于上述各实施例技术方案都是应用于图1所示的通信系统，上述的各个应用于无线接入点设备的无线通信网络移动管理方法的实施例中的无线接入点设备和控制器的具体工作内容还可参见上述的应用于控制器的无线通信网络移动管理方法的各个实施例中介绍的，无线接入点设备和控制器的具体工作内容，各实施例之间均可以相互补充参照。

本发明另一个实施例还公开了一种无线通信网络移动管理系统，参见图1所示，该系统包括控制器100和无线接入点设备110，其中，控制器100与无线接入点设备110是一对多的关系，即一个控制器100可以对应管理多个不同的无线接入点设备110。

在本发明实施例中，还公开了上述控制器100和无线接入点设备110的具体结构。

参见图17所示，上述控制器100包括：

请求接收单元1001，用于接收无线接入点设备发送的终端入网请求信息；

第一处理单元1002，用于根据所述终端入网请求信息，为所述终端构造虚拟接入点，并确定所述终端入网的第一无线接入点设备；

第二处理单元1003，用于通过所述第一无线接入点设备，向所述终端发送入网响应信息，以及执行对所述终端的认证和关联处理；

第三处理单元1004，用于从服务器请求获取入网IP地址并发送给所述终端，使所述终端利用所述入网IP地址通过所述第一无线接入点设备与所述服务器建立网络连接；

第四处理单元1005，用于将所述虚拟接入点配置到所述第一无线接入点设备。

参见图18所示，上述无线接入点设备110具体包括：

存储单元1101，用于存储数据帧和管理帧处理流表；

信息接收单元1102，用于接收终端发送的入网请求信息；

信息发送单元1103，用于将所述入网请求信息发送给控制器。

具体的，上述实施例中的控制器100和无线接入点设备110的具体工作内容，以及控制器100和无线接入点设备110内部的各个单元的具体工作内容，都请参见上述方法实施例的内容，此处不再赘述。

可选的，在本发明的另一个实施例中，所述控制器100还包括：

可选的，在本发明的另一个实施例中，所述无线接入点设备110还包括：

具体的，上述各个实施例中的各个单元的具体工作内容，请参见上述方法实施例的内容，此处不再赘述。

需要说明的是，本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims

1.一种无线通信网络移动管理方法，其特征在于，应用于控制器，该方法包括：

接收与所述控制器连接的无线接入点设备发送的终端入网请求信息；其中，所述与所述控制器连接的无线接入点设备支持协议无感转发，能够实现直接对原生的802.11数据帧进行处理，存储有数据帧和管理帧处理流表；所述终端入网请求是与所述控制器连接的无线接入点设备提取所述入网请求信息的802.11帧类型字段，并基于数据帧和管理帧处理流表中包括的用于区别管理帧和数据帧的处理流表，确定所述802.11帧类型字段为管理帧时发送给所述控制器的；

根据所述终端入网请求信息，为所述终端构造虚拟接入点，并确定所述终端入网的第一无线接入点设备；其中，所述虚拟接入点以流表项形式存在；

将所述虚拟接入点配置到所述第一无线接入点设备，包括将所述虚拟接入点对应的流表项发送到所述第一无线接入点设备中用于过滤不属于所述第一无线接入点设备的杂包的处理流表中。

2.根据权利要求1所述的方法，其特征在于，该方法还包括：

接收无线接入点设备发送的所述终端的位置信息；

3.根据权利要求1或2所述的方法，其特征在于，该方法还包括：

接收所述终端发送的网络服务配置信息；

4.一种无线通信网络移动管理方法，其特征在于，应用于无线接入点设备，所述无线接入点设备支持协议无感转发，能够实现直接对原生的802.11数据帧进行处理，存储有数据帧和管理帧处理流表，该方法包括：

接收终端发送的入网请求信息；

将所述入网请求信息发送给控制器，使所述控制器根据所述入网请求信息控制所述终端入网；

其中，将所述入网请求信息发送给控制器包括提取所述入网请求信息的802.11帧类型字段，并基于数据帧和管理帧处理流表中包括的用于区别管理帧和数据帧的处理流表，确定所述802.11帧类型字段为管理帧时发送给所述控制器；

所述控制器根据所述入网请求信息控制所述终端入网具体包括：

为该终端构建虚拟接入点，所述虚拟接入点以流表项形式存在、确定该终端入网的第一无线接入点设备、向所述终端发送入网响应信息以及执行对所述终端的认证和关联处理、获取入网IP地址并发送给该终端、将为该终端生成的虚拟接入点配置到该终端入网的第一无线接入点设备，包括将所述虚拟接入点对应的流表项发送到所述第一无线接入点设备中用于过滤不属于所述第一无线接入点设备的杂包的处理流表中，以及将所有和该终端关联的流表下发给该终端入网的第一无线接入点设备。

5.根据权利要求4所述的方法，其特征在于，该方法还包括：

6.根据权利要求5所述的方法，其特征在于，将所述通信数据帧按照匹配到的处理流水线进行处理，包括：

7.根据权利要求4所述的方法，其特征在于，该方法还包括：

8.一种无线通信网络移动管理系统，其特征在于，包括：

控制器和无线接入点设备，所述无线接入点设备支持协议无感转发，能够实现直接对原生的802.11数据帧进行处理；

其中，所述控制器包括：

第一处理单元，用于根据所述终端入网请求信息，为所述终端构造虚拟接入点，并确定所述终端入网的第一无线接入点设备；其中，所述虚拟接入点以流表项形式存在；

第四处理单元，用于将所述虚拟接入点配置到所述第一无线接入点设备包括将所述虚拟接入点对应的流表项发送到所述第一无线接入点设备中用于过滤不属于所述第一无线接入点设备的杂包的处理流表中，以及将所有和所述终端关联的流表下发给所述第一无线接入点设备；

所述无线接入点设备包括：

存储单元，用于存储数据帧和管理帧处理流表；

信息接收单元，用于接收终端发送的入网请求信息；

信息发送单元，用于将所述入网请求信息发送给控制器包括提取所述入网请求信息的802.11帧类型字段，并基于数据帧和管理帧处理流表中包括的用于区别管理帧和数据帧的处理流表，确定所述802.11帧类型字段为管理帧时发送给所述控制器。

9.根据权利要求8所述的系统，其特征在于，所述控制器还包括：

10.根据权利要求8或9所述的系统，其特征在于，所述控制器还包括：

11.根据权利要求8所述的系统，其特征在于，所述无线接入点设备还包括：