WO2007022733A1

WO2007022733A1 - Procede de communications relatif a un reseau local sans fil, procede d'acces au reseau local pour un terminal et un systeme de reseau local, et dispositif correspondant

Info

Publication number: WO2007022733A1
Application number: PCT/CN2006/002187
Authority: WO
Inventors: Zhonghui Yao; Liangyao Mo; Wen'guang Lan; Weifeng Chen
Original assignee: Huawei Technologies Co Ltd
Current assignee: Huawei Technologies Co Ltd
Priority date: 2005-08-25
Filing date: 2006-08-25
Publication date: 2007-03-01
Anticipated expiration: 2008-02-25

Description

无线局域网通信方法、终端接入局域网方法及系统和装置技术领域本发明涉及网络通信技术领域，尤其涉及一种无线局域网通信方法、终端接入局域网方法及局域网系统和装置。

背景技术

WLAN ( Wireless Local Area Network, 无线局 i或网）技术因其无线化优势、可比拟有线的高速率接入，以及成本低廉等特点而深受市场的欢迎。目前， WLAN技术已开始广泛应用于家庭、校园、酒店、企业办公等场合，并开始作为一种无线宽带接入技术提供公众无线宽带数据接入服务。

现有技术中 ,一种 WLAN系统的基本结构如图 1所示。该 WLAN 系统中，无线局域网 110 包括通过接入点（AP, Access Point ) 120 接入的站点（STA, Station ) 111、 112, 关联到同一个 AP 120下的 STA 111、 112构成一个基本服务集（BSS ); 无线局域网 130包括通过接入点 140接入的 STA131、 132, 关联到同一个 AP 140下的 STA 131、 132构成另一个 BSS; 分发系统 ( DS, Distribution System ) 150 用于使不同的 BSS之间能够组成一个大的局域网。此外， DS 150通过 Portal (门户） 810和有线局域网 800通信，使得前述大的局域网和有线局域网 800组成一个更大的局域网。

其中，所谓的 STA指包含无线局域网接口的终端设备，目前市场上许多手机都支持无线局域网接口 ,便携机也已内置无线局域网接口。对于一些本身不具备无线局域网接口的设备，可以通过安装 WLAN无线网卡的方式来为其提供无线局域网接口。

现有技术中， STA在与网络侧进行通信时，是基于其真实的 MAC ( Medi Access Control, 媒体接入控制）地址信息进行的，由于对于无线局域网来说，网络侧的设备并不能确保是可信任的，并且无线局域网网络的特点是在一定范围内都有覆盖信号，容易被攻击，因此该现有技术存在缺陷： STA的 MAC地址可能被不信任的设备获取或者仿冒，并在此出上进行网络攻击。因此，无线局域网的安全保护机制有待进一步完善。

发明内容

本发明提供一种无线局域网通信方法、终端接入局域网方法及局域网系统和装置，可以实现提高无线局域网的安全性能。

根据本发明的一个方面，一种无线局域网通信方法，包括：无线局域网终端获得网络侧分配的临时媒体接入控制地址；所述无线局域网终端基于所述临时媒体接入控制地址与网络侧进行信息交互。

可选地，所述的无线局域网终端获得网絡侧分配的临时媒体接入控制地址，包括：

所述无线局域网终端向网络侧发送临时媒体接入控制地址分配请求消息；

所述网络侧收到所述的请求消息后，为所述无线局域网终端分配临时媒体接入控制地址信息，并发送给无线局域网终端。

可选地，所述发送给无线局域网终端，为：

所述网络侧的接入点向无线局域网终端发送临时媒体接入控制地址分配响应消息，其中携带所述临时媒体接入控制地址信息。

可选地，所述临时媒体接入控制地址分配请求消息和临 B†媒体接入控制地址分配响应消息封装为操作管理帧或探测帧。

可选地，所述临时媒体接入控制地址分配请求消息中携带需要分配临时媒体接入控制地址的虚拟终端的标识信息；

所述临时媒体接入控制地址分配响应消息中还携带与所述临时媒体接入控制地址信息对应的虛拟终端的标识信息。

可选地，所述为所述无线局域网终端分配临时媒体接入控制地址信息，是由所述网络侧的临时媒体接入控制地址管理器执行的。

可选地，所述无线局域网终端基于所述临时媒体接入控制地址与网络侧进行信息交互，包括：

所述无线局域网终端利用所述的临时媒体接入控制地址与网络侧之间进行鉴权，并在鉴权通过后基于所述的临时媒体接入控制地址建立与网络侧的关联。

在媒体接入控制层之上的业务流使用无线局域网终端的真实媒体接入控制地址请求媒体接入控制层进行数据传递；

所述无线局域网终端的媒体接入控制层及网络侧的媒体接入控制层，在向对端传递数据时，将无线局域网终端的真实媒体接入控制地址替换为无线局域网终端的临时媒体接入控制地址；

所述无线局域网终端的媒体接入控制层及网络侧媒体接入控制层，在接收到对端基于临时媒体接入控制地址的数据时，将临时媒体接入控制地址恢复为无线局域网终端的真实媒体接入控制地址，向本端媒体接入控制层之上传递。

可选地，所述无线局域网终端基于所述临时媒体接入控制地址与网絡侧进行信息交互，包括：在媒体接入控制层之上的业务流使用临时媒体接入控制地址请求媒体接入控制层进行数据传递。

可选地 , 所述网络侧的媒体接入控制层位于网络侧的接入点。根据本发明的另一方面，一以种无线局域网终端接入局域网的方法，包括：

无线局域网终端创建虚拟终端；

为所述虚拟终端分配从网络侧获得的相应的临时媒体接入控制地址；

所述虚拟终端基于临时媒体接入控制地址与网络侧进行信息交互。

可选地，所述的无线局域网终端创建虚拟终端，包括：为每个虚拟终端分配相应的虛拟终端标识信息，并 ~据业务要求建立每个虚拟终端接入局域网时的接入策略。

可选地，所述的为所述虚拟终端分配从网络侧获得的相应的临时媒体接入控制地址，包括：所述无线局域网终端向网络侧发送临时媒体接入控制地址分配请求消息，其中携带需要分配临时媒体接入控制地址的虚拟终端的标识信息；

所述网络侧收到所述的请求消息后，为前述虛拟终端分配相应的临时媒体接入控制地址信息，并发送给无线局域网终端。

可选地，所述发送给无线局域网终端，为：

所述网络侧的接入点向无线局域网终端发送临时媒体接入控制地址分配响应消息，其中携带与所述虛拟终端的标识信息对应的临时媒体接入控制地址信息。

可选地，所述临时媒体接入控制地址分配请求消息和临时媒体接入控制地址分配响应消息封装为操作管理帧或探测帧。

可选地 ,所述无线局域网终端向网络侧发送临时媒体接入控制地址分配请求消息时，启动超时重传定时器；如果预定次数发出媒体接入控制临时地址分配请求后 , 仍收不到网络侧的响应，删除所述虛拟终端。

可选地，所述为所述无线局域网终端分配临时媒体接入控制地址信息，包括：

所述网络侧的接入点收到无线局域网终端的临时媒体接入控制地址分配请求后，记录所述无线局域网终端的真实媒体接入控制地址和相应的虚拟终端标识；将所述临时地址分配请求封装成临时媒体接入控制地址生成请求传给网络侧的临时媒体接入控制地址管理器，其中携带所述无线局域网终端的真实媒体接入控制地址和相应的虚拟终端标识；

所述临时媒体接入控制地址管理器分配临时媒体接入控制地址；并将所述临时媒体接入控制地址和生存时间封装在临时媒体接入控制地址生成响应传给所述接入点，启动对该临时媒体接入控制地址的生存时间计时。

可选地，所述虚拟终端根据收到的信息启动定时器，用于对所用的临时媒体接入控制地址的生存时间计时。可选地，还包括：如果所述临时媒体接入控制地址管理器无法分配临时媒体接入控制地址，在返回的消息响应中携带分配失败的参数；所述无线局域网终端申请不到临时媒体接入控制地址，则删除所述虚拟终端。

所述虛拟终端利用所述的临时媒体接入控制地址与网絡侧之间进行鉴权，并在鉴权通过后基于所述的临时媒体接入控制地址建立虚拟终端与网络侧的关联。

所述无线局域网终端的媒体接入控制层及网络侧的媒体接入控制层，在向对端传递数据时，将无线局域网终端的真实媒体接入控制地址替换为对应的虚拟终端的临时媒体接入控制地址；

所述无线局域网终端的媒体接入控制层及网络侧媒体接入控制层，在接收到对端基于临时媒体接入控制地址的数据时，将虚拟终端的临时媒体接入控制地址恢复为无线局域网终端的真实媒体接入控制地址，向本端媒体接入控制层之上传递;

或者，所述无线局域网终端基于所述临时媒体接入控制地址与网络侧进行信息交互，包括：

在媒体接入控制层之上的业务流使用临时媒体接入控制地址请求媒体接入控制层进行数据传递。

可选地，所述将无线局域网终端的真实媒体接入控制地址替换为虚拟终端的临时媒体接入控制地址以及将虚拟终端的临时媒体接入控制地址恢复为无线局域网终端的真实媒体接入控制地址，是采用虛拟端口的方式和 /或业务感知方式完成的。

可选地，所述网络侧的媒体接入控制层位于网络侧的接入点。可选地，还包括：在临时媒体接入控制地址的生存时间到达之前，所述临时媒体访问控制地址管理器分配新的临时媒体接入控制地址，并发送给所述虚拟终端，其中至少携带该无线局域网终端的真实媒体接入控制地址、相应的虚拟终端标识以及所述新的临时媒体接入控制地址；

所述虚拟终端收到该新的临时媒体接入控制地址后，启动新的临时媒体接入控制地址的生存时间计时，并向所述网络侧的接入点发送确认信息。

可选地，还包括：

所述虚拟终端向网络侧发出临时媒体接入控制地址更新请求，并携带请求更新临时地址的相应虚拟终端的标识；

所述网络侧的接入点收到该虚拟终端发送的临时媒体接入控制地址更新请求后，封装转发给所述临时媒体接入控制地址管理器；所述临时媒体访问控制地址管理器为所述虛拟终端分配新的临时媒体接入控制地址；将新的临时媒体接入控制地址封装响应给所述接入点，并启动生存时间计时；

所述接入点封装转发给所述虚拟终端，其中携带更新成功、新的临时媒体接入控制地址、生存时间参数。

可选地，还包括：所述无线局域网终端将新、旧临时媒体接入控制地址和虚拟终端标识的对应关系保留预定时间；在收到所述接入点发送过来的数据帧的源地址是新的临时媒体接入控制地址时，清除旧的临时媒体接入控制地址和虚拟终端的标识的对应关系。

可选地，还包括：在所述无线局域网终端发起临时媒体接入控制地址更新操作请求后 , 如果收到所述网络侧发送过来的主动更新信息，则主动停止本侧发起的临时媒体接入控制地址更新流程，且响应所述网络侧发起的临时媒体接入控制地址更新流程。

可选地，还包括：所述临时媒体访问控制地址管理器分配新的临时媒体接入控制地址是主动进行的，并由接入点发送临时媒体接入控制地址更新操作请求给所述虚拟终端；如果收到无线扃域网终端发送过来的临时媒体接入控制地址更新操作请求信息 ,则不响应所述无线局域网终端发起的临时媒体接入控制地址更新操作请求。

可选地，还包括：所述接入点与虚拟终端之间通过临时媒体接入控制地址释放请求来标识临时媒体接入控制地址的译放，并由网络侧的临时媒体接入控制地址管理器将该临时媒体接入控制地址回收。

根据本发明的又一方面，一种局域网系统，包括无线局域网终端和接入点，还包括：临时媒体接入控制地址管理器，用于为所述无线局域网终端分配临时媒体接入控制地址；

所述接入点用于向无线局域网终端发送所述临时媒体接入控制地址；所述无线局域网终端用于获得所述临时媒体接入控制地址，基于所述临时媒体接入控制地址与网络侧进行信息交互。

可选地，所述无线局域网终端包括虚拟终端服务单元, 用于创建虚拟终端，将不同用户的业务流映射到不同的虚拟终端；所述接入点包括虚拟终端服务单元，用于将不同用户的业务流映射到不同的虚拟终端；所述虛拟终端分配有所述临时媒体接入控制地址。

可选地，所述无线局域网终端和接入点均包括媒体接入控制层，用于在向对端传递数据时，将无线局域网终端的真实媒体接入控制地址替换为临时媒体接入控制地址;在接收到对端基于临时媒体接入控制地址的数据时，将临时媒体接入控制地址恢复为无线局域网终端的真实媒体接入控制地址，向本端媒体接入控制层之上传递。

才艮据本发明的再一方面，一种局域网系统，包括无线局域网终端和接入点，所述接入点用于向无线局域网终端发送为所述无线局域网终端分配的临时媒体接入控制地址；所述无线局域网终端用于获得所述临时媒体接入控制地址，基于所述临时媒体接入控制地址与网络侧进行信息交互。

根据本发明的另夕 1、一方面，一种无线局域网终端，包括：临时媒体接入控制地址获取单元，用于获得无线局域网系统为其分配的临时媒体接入控制地址；信息交互单元，用于基于所述临时媒体接入控制地址与网络侧进行信息交互。可选地，还包括：虛拟终端服务单元，用于创建虚拟终端，将不同的业务流映射到不同的虚拟终端；所述虚拟终端具有各自对应的临时媒体接入控制地址。

可选地，所述的信息交互单元为媒体接入控制层，用于在向对端传递数据时，将无线局域网终端的真实媒体接入控制地址替换为临时媒体接入控制地址；在接收到对端基于临时媒体接入控制地址的数据时，将临时媒体接入控制地址恢复为无线局域网终端的真实媒体接入控制地址，向本端媒体接入控制层之上传递。

本发明的再一方面，一种接入点，包括：临时媒体接入控制地址发送单元，用于向无线局域网终端发送无线局域网系统为其分配的临时媒体接入控制地址；信息交互单元，用于基于所述临时媒体接入控制地址与无线局域网终端进行信息交互。

可选地，还包括：虚拟终端服务单元，用于将不同用户的业务流映射到无线局域网终端对应的不同的虚拟终端。

根据本发明的又一方面，一种临时媒体接入控制地址管理器，包括：

接口单元，用于实现所述管理器与无线局域网的接入点的信息交互；

地址分配单元，用于为无线局域网终端分配临时媒体接入控制地址。

可选地，还包括：

地址维护单元，用于维护网络侧的临时媒体接入控制地址的状态。

可选地，所述地址分配单元设置在地址维护单元内。本发明通过网络侧进行临时媒体接入控制地址的分配 ,因此可以提高无线局域网安全性能。这是因为，由网络侧统一管理临时媒体接入控制地址，基于所述的临时媒体接入控制地址来进行通信，因此可以使得终端的真实媒体接入控制地址不易于被其他设备获取，从而降低由于仿冒真实媒体接入控制地址所带来的风险。

并且，在无线局域网终端创建虚拟终端并为其分配网络侧统一管理的临时媒体接入控制地址，可以实现多用户 /多业务的接入。

此外，通过建立多个虚拟终端分别代表客户端建立与相应业务提供端的关联，保证业务的开展，使得一个无线局域网终端可以同时发起与多个业务提供端的接入认证过程，并分别形成多路独立的业务流分别开展相应的业务，因此，可以很好地满足用户利用同一终端开展多业务的需求。

此外，在无线局域网中，通过进行临时媒体接入控制地址的更新过程，进一步实现无线局域网信息的安全传递。

此外，通过临时媒体接入控制地址的动态分配和回收机制、临时媒体接入控制地址管理器的管理和虚拟终端状态机机制，保证了一个无线局域网系统中的临时媒体接入控制地址能够正常的分配和回收，并实现了系统的安全稳定运行。

附图说明图 1是现有技术的 WLAN系统的基本结构示意图；

图 2是本发明的无线局域网通信方法的实施方式的流程图；图 3是本发明中的包含虛拟终端的局域网系统的示意图；图 4是本发明的实施例中虛拟 STA与 AP之间建立关联的流程图；

图 5是本发明中实现多用户 /多业务接入的实施例的示意图；图 6是本发明的实施例中虛拟 STA向 AP发送数据的流程图；图 7是本发明的实施例中 AP向虚拟 STA发送数据的流程图；图 8是本发明中实现多用户 /多业务接入的实施方式的原理图；图 9是本发明的局域网系统的实施例的示意图；

图 10是本发明的实施例中临时 MAC地址的分配成功的流程图；图 11是本发明的实施例中临时 MAC地址的分配失败的流程图；图 12是本发明的实施例中的虚拟终端状态机的示意图；图 13是本发明的实施例中的虚拟终端活跃状态示意图；图 14是本发明的实施例中由 STA侧发起的临时 MAC地址回收的流程图；

图 15是本发明的实施例中由网络侧发起的临时 MAC地址回收的流程图；

图 16是本发明的实施例中临时 MAC地址管理器中的临时 MAC 地址状态转化过程示意图；

图 17是本发明的实施例中由虚拟 STA—侧发起的地址更新成功的流程图；

图 18是本发明的实施例中由虚拟 STA—侧发起的地址更新失败的流程图；

图 19是本发明的实施例中由网络侧发起的地址更新成功的流程图；

图 20是本发明的实施例中由网絡侧发起的地址更新失败的流程图。

具体实施方式

I

本发明的无线局域网通信方法中，无线局域网终端（STA )基于临时的 MAC地址和网络侧进行通信，以增强无线局域网的安全性。

请参阅图 2, 本发明的无线局域网通信方法的实施方式包括：步骤 210, STA获取网络侧为其分配的临时 MAC地址（TMA )。步骤 220 , STA基于所述的临时 MAC地址和网络侧进行通信。本发明的一个实施例中 , 分配临时 MAC地址的具体流程包括： STA向 AP发送临时 MAC地址分配请求（ TMA- ALLOCATE, request )。如果网络侧成功分配临时 MAC地址，则 AP将网絡侧为该 STA 分配的临时 MAC 地址携带在临时 MAC 地址分配响应 ( TMA- ALLOCATE, response ) 中返回给 STA。

如果分配临时 MAC地址失败，则 A 会在返回的响应中携带分配失败的参数。

其中，临时地址分配请求与临时地址分配响应可以通过 Action (操作）管理帧或 Probe (探测）帧或其他管理帧携带。

考虑到无线局域网网络的特点是在一定范围内都有覆盖信号，容易被攻击，因此 STA的临时 MAC地址有可能被从空口中进行 MAC 地址跟踪和仿冒，并在仿冒后依此进行对无线局域网网络系统的攻击，造成安全性损害。因此，本发明进一步提供临时 MAC地址的更新机制。

其中，由 STA—侧发起的更新过程包括：

在临时 MAC地址的生存时间到达之前的某一个时间，比如生存时间过了 50 %的时候， STA向网络侧发出临时 MAC地址更新请求 ( TMA-UPDATE. Request ) 。

网络侧以该 STA正在使用的 MAC地址来识别此次更新操作；为其分配新的临时 MAC地址。

AP将临时 MAC地址更新响应 ( TMA-UPDATE. response )返回给对应的 STA，其中携带更新成功、新的临时 MAC地址、生存时间等参数。

STA更新新的临时 MAC地址后，向 AP发送临时 MAC地址更新确认（TMA-UPDATE. confirm ) , 其中携带旧的临时 MAC地址作为参数。

AP收到该 STA发过来的临时 MAC地址更新确认，更新与该 STA 对应的新临时 MAC地址，即以后发到 STA的数据帧的目标地址填充所述新的临时 MAC地址。

更新成功后， STA在以后发到 AP的数据帧的源地址填上新的临时 MAC地址。此外，该 STA还可以将新、旧临时 MAC地址的对应关系保留一段时间，当收到 AP发送过来的数据帧的源地址填的是新临时 MAC地址时，才会清除旧临时 MAC地址，保证与 AP之间通信在新旧临时 MAC地址更替时的顺畅性。

如果网络侧分配新的临时 MAC地址失败，例如地址用尽或者到达可用地址数目最大值，则网络侧查找该 STA所对应的临时 MAC地址，重新开始其生存时间计时。此种情况下， AP在返回给 STA的临时 MAC地址更新响应中携带更新失败等参数。 STA在收到带有更新失败参数的临时 MAC地址更新响应时，会重新开始生存时间计时，并继续使用原来的临时 MAC地址。

其中，由网络侧发起的更新过程包括：

在临时 MAC地址的生存时间到达之前的某一个时间，网络侧主动分配一个新的临时 MAC地址，并由 AP将临时 MAC地址更新操作请求传给 STA, 其中携带 STA的真实 MAC地址和已经由临时 MAC地址管理器新分配的临时 MAC地址。

收到临时 MAC地址更新操作请求后 , STA更新新的临时 MAC地址，即以后发到 AP的数据帧的源地址将填上新的临时 MAC地址；向 AP发送临时 MAC地址更新确认，其中携带旧的临时 MAC地址作为参数。

此外，该 STA还可以将新、旧临时 MAC地址保留一段时间。当收到 AP发送过来的数据帧的源地址填充的是新临时 MAC地址时，才会清除旧临时 MAC地址，如此保证在新旧临时 MAC地址更替时的通信流畅。

AP收到该 STA发过来的临时 MAC地址更新确认，更新与该 STA 对应的新临时 MAC地址，即以后发到 STA的数据帧的目标地址填充所述新的临时 MAC地址，直至生存时间结束前又会由网络侧发起新的一次地址更新。

须注意的是，考虑到存在 STA和 AP侧同时互发临时 MAC地址更新操作请求的可能，因此 STA在发出临时 MAC地址更新操作请求后，如果此时收到 AP发送过来的临时 MAC地址更新操作请求，则主动停止 STA主动发起的临时 MAC地址更新流程，而仅响应 AP发起的临时 MAC地址更新流程。 AP在发出临时 MAC地址更新操作请求后，如果收到 STA发送过来的临时 MAC地址更新操作请求 ,不响应 STA主动发起的临时 MAC地址更新操作请求。由此，来保证由 STA和 AP发起的请求不会冲突。

RSNA安全机制（包括预认证）和 QoS机制都是以 STA的 MAC地址作为服务识别符，所以虚拟 STA进行越区切换的过程中仍然使用切换之前的临时 MAC地址，不进行临时 MAC地址的更新，切换之后进行更新。

为使得网络侧能够对分配出去的临时 MAC地址进行维护，本发明进一步提供临时 MAC地址的回收机制，包括 STA侧的临时 MAC 地址的释放和网络侧对该临时 MAC地址的回收。

当 STA已经不需要该临时 MAC地址时， AP与该 STA之间通过临时 MAC地址释放请求来标识临时地址的释放，并由网络侧回收该临时 MAC地址。

其中，在由 STA发起请求时， STA发送临时 MAC地址释放请求给 AP; AP向所述 STA反馈临时 MAC地址释放响应。

在由网絡侧发起释放请求时，由 AP向所述 STA发送临时 MAC 地址释放请求；所述 STA向 AP反馈临时 MAC地址释放响应。

另外，如果 STA请求更新临时 MAC地址，网络侧为 STA更新新的临时 MAC地址后，将回收原临时 MAC地址。

STA基于所述的临时 MAC地址和网络侧进行通信包括：所述无线局域网终端利用所述的临时媒体接入控制地址与网络侧之间进行鉴权，并在鉴权通过后基于所述的临时媒体接入控制地址建立与网络侧的关联。以及关联之后的接入认证过程等。

STA基于所述的临时 MAC地址和网络侧进行通信还包括：在 MAC层之上的业务流使用 STA的真实 MAC地址请求 MAC 层进行数据传递；

所述 STA的 MAC层及网络侧的 MAC层，在向对端传递数据时，将 STA的真实 MAC地址替换为 STA的临时 MAC地址；

所述 STA的 MAC层及网絡侧 MAC层，在接收到对端基于临时 MAC地址的数据时，将临时 MAC地址恢复为 STA的真实 MAC地址，向本端 MAC层之上传递。

其中，所述网络侧的 MAC层可以位于网络侧的 AP上。本领域的技术人员可以理解， AP可以区分为瘦 AP和胖 AP两类。对于痩 AP来说，上述 MAC层可转移到网络侧的其他设备上。

基于网络侧为 STA分配临时 MAC地址且 STA利用所述临时 MAC 与网络侧进行通信的方案，本发明还提供一种无线局域网中 STA实现多用户 /多业务接入的机制，一个物理 STA向网络侧请求多个临时 MAC地址，基于不同的临时 MAC地址发起多个身份独立的接入认证流程，并能区分各自独立的业务流，即各自独立的开展业务，以满足物理的 STA同时支持多用户 /多业务接入的需求。

根据无线局域网的工作原理，如果将 AP和以太网交换机进行类比，则 STA与 AP之间的关联关系相当于一个虚拟端口， STA与 AP 之间的数据通信建立在关联之上。当采用 802.1X认证时，该虚拟端口直接映射为 802.1X端口。

当一个 STA上要求同时进行多个身份认证时，在 STA与 AP的关联即虚拟端口上还需要根据不同的身份做进一步的区分。不同的身份接入所对应的业务流对安全性的要求可能也不一样，因此，需要允许对不同的业务流协商不同的加密密钥，甚至加密算法。

针对上述需求，本发明的实施方式中，将一个 STA 区分为多个不同的身份；为每个身份分配一个临时的 MAC 地址 ( T-MAC-ADDR ).如此，一个物理 STA就相当于划分为对应于不同身份的多个虚拟终端（虚拟 STA ), 即创建多个虚拟 STA, 不同虚拟 STA可分别服务于不同的客户端或应用，每个虚拟 STA可根据不同客户端或应用的接入策略需求如安全、 QoS、网络互通等，分别与 AP建立不同的关联，实现不同的接入策略。不同虚拟 STA在空口进 MAC地址，从而实现不同业务的隔离。如图 3所示， STA 310上仿真为两个虚拟 STA:第一虚拟 STA ( V-STA )311和第二虚拟 STA 312, 与 STA 320成为基本服务集 BSS独立的成员，通过 AP 330连接分发系统 340。

提供虚拟 STA月务的终端（例如 STA )及网络侧 MAC层实体（例如 AP )，针对每个 STA可以创建一个或多个虚拟 STA, 可设定每个 STA上最大可允许的虚拟 STA数。

在网络侧及 STA中各个虛拟 STA设置一个对应的状态机，所述的状态机用于记录该虚拟 STA 当前的状态为：未鉴权未关联、鉴权未关联或已鉴权已关联。

请参阅图 4, 对虛拟 STA的建立，以及客户端通过虚拟 STA建立与 AP之间的关联的处理过程进行说明。

步驟 41: 当 STA完成扫描及选定接入的目标 AP后， STA即可根据应用的需求创建相应的虚拟 STA, 最初创建时 STA为每个虚拟 STA指定一个虚拟 STA标识 (例如实例号 )。

STA根据应用需求可一次创建多个虛拟 STA，每个虚拟 STA分别对应不同的接入策略要求，如安全要求、 QoS要求、网络互通要求等，以控制各个虚拟 STA各自独立的鉴权、关联等过程。系统可以限制同一个 STA上虚拟 STA的数量。

步骤 42: STA创建虚拟 STA后，就需要为 STA请求分配临时 MAC地址。这时， STA向 AP发送临时地址分配请求消息，其中携带要求分配临时地址的相应的虚拟 STA的标识信息。

所述虚拟 STA的临时 MAC地址由网络侧分配，以防止临时地址使用的冲突，所述的虚拟 STA的标识信息与所述临时 MAC地址—— 对应。

步骤 43: AP收到 STA的临时地址分配请求后，根据所请求的虛拟 STA为该 STA分配相应数量的临时 MAC地址（ T-MAC-ADDR )，通过临时地址分配响应消息返回给 STA。

同时，在 AP上针对每个临时 MAC地址设置相应的状态变量并设置为初始状态 1 :未鉴权、未关联，通过该状态可以确定各虚拟 STA 的当前状态状况。

系统可设定每个 STA可支持的虚拟 STA的上限， AP分配的临时 MAC地址的数量不能够超过系统设定的上限值。

步骤 44: 当 STA从系统中获得相应的 T-MAC-ADDR后，将该地址传递给其创建的虛拟 STA。 STA上相应的虚拟 STA的状态机进入其初始状态: 未鉴权、未关联。

步骤 45、步骤 46、步驟 47: 虚拟 STA可以与系统开始后续的鉴权过程、关联过程。

鉴权成功后虚拟 STA的状态机为已鉴权、未关联状态；关联成功建立后，虚拟 STA的状态机为已鉴权、已关联状态。

关联成功后，虚拟 STA即可通过 AP进行接入认证及业务数据传送等。

与其他普通的 STA相比，虚拟 STA与网络侧之间的 MAC帧大致相同，区别在于与对端通信时，帧头对应 STA MAC地址的部分用虛拟 STA的临时 MAC地址 T-MAC-ADDR替代。

在图 4所示的处理流程中，临时地址分配请求与临时地址分配响应可由 Action (操作 ) 管理帧或由 Probe (探测）帧或其他管理帧携带。

如图 5所示，本发明中 , STA 510和 AP 520的 MAC层分别具有虚拟 STA服务单元 511和 521，用于创建第一虚拟 STA 531和第二虚拟 STA 532, 将不同客户端或业务映射到不同的虚拟 STA, 分别根据分配的各个临时 MAC地址进行信息交互，实现多用户 /多业务接入。

在图 5中，基于一个物理 STA 510之上运行有两个不同的客户端：客户端 #1 541和客户端 #2 542。所述的客户端可以和 STA 510在同一个设备或分置于不同的设备，不同的客户端拥有不同的用户身份，要求与不同的认证服务器进行认证，并与不同的对端设备 (另一端 #1 551和另一端 #2 552 )进行通信。

两客户端的处理过程分别包括： ( 1 )客户端 #1 541与 AS#1 561之间的身份认证过程、客户端 #1 541与另一端 #1 551之间的业务流基于 802.11关联 #1 ;

( 2 )客户端 #2 542与 AS#2 562之间的身份认证过程、客户端 #2 542与另一端 #2 552之间的业务流基于 802.11关联 #2。

也就是说，同一 STA可以与 AP建立多个关联，具体为每个虚拟 STA与 AP建立一个关联。

针对同一 STA 的不同关联分别有不同的临时 MAC 地址 T-MAC-ADDRo STA发送数据到 AP 时， MAC层 TA ( Transmitter Address, 传送地址）为对应的 T- MAC-ADDR。 AP发送数据报文到 STA 时， MAC 层 RA ( Receiver Address , 接收地址）为对应的 T-MAC-ADDR。由于在关联期间可以进行相关接入策略参数的协商如安全等，不同的关联也意味着不同的虚拟 STA有各自独立的 802.11 MAC层的接入策略。

临时 MAC地址 T-MAC-ADDR的作用范围可以在 WLAN网络内，在 WLAN网络内分配。 MAC层之上的业务在请求 MAC层服务时，可以直接基于 STA临时 MAC地址 T-MAC-ADDR通信，也可以对 T-MAC-ADDR不可知，直接基于局域网终端的原 MAC地址通信。

当 MAC层之上的业务对虚拟 STA的临时 MAC地址不可知时，所述 MAC 层可通过虚拟端口的方式和 /或业务感知方式提供虚拟 STA服务。所述虛拟端口方式是指不同的客户端从不同的虚拟端口接入 STA MAC层， STA MAC要完成不同虚拟端口到不同虚拟 STA的映射（既选择相应的 T-MAC-ADDR作为传送地址）。来自不同客户端对应的另一端和 AS的数据报文，从不同的虚拟端口接入 AP, AP 要完成不同虚拟端口到不同虚拟 STA 的映射（既选择相应的 T-MAC- ADDR作为接收地址）。所述业务感知方式是指 MAC层要深入分析到所其所传递的数据包，如上层相应协议层信息，如源 IP地址、目的 IP地址、外部网关地址、 VLAN TAG (虚拟 LAN标签）等，虚拟 STA所提供的服务与上迷信息绑定。

下面将结合附图对本发明提供的虚拟 STA与 AP之间进行数据交互的过程进行说明。

从虛拟 STA向 AP发送数据的处理过程如图 6所示，具体包括-. 步骤 61: 局域网终端中的客户端发起数据请求，即 STA侧 MAC 层用户发起 MAC层服务原语 MA-UNITDATA.request (数据请求）。

通常，所述的 MA-UNITDATA.request原语包含请求传送的数据及数据包发送 SA ( Source Address, 源地址）和接收该数据报文的 DA ( Destination Address , 目的地址)。

步骤 62: 当釆用虚拟 STA机制后， STA MAC层需要选择对应的 T-MAC- ADDR取代原语中携带的 SA作为空口 MAC数据包的 TA值。

步骤 63: 将进行地址替换处理后的数据报文发送给 AP。

步驟 64: AP收到 802.11数据^ =艮文后，将所述的 T-MAC-ADDR 替换为局域网终端实际的 MAC地址。原语，原语中 SA将恢复为实际的 STAMAC地址。

由 AP向虚拟 STA发送数据的过程如图 7所示，具体包括：步骤 71 ·. AP 侧确定需要向局域网终端发送数据请求消息，则通常，所述的 MA-UNITDATA.request原语包含请求传送的数据及数据包发送 SA和接收该数据报文的 DA。

步骤 72: 当采用虛拟 STA机制后， AP MAC层需要选择对应的 T-MAC-ADDR取代原语中携带的 DA作为空口 MAC数据包的 RA 值。

步驟 73： AP将进行地址替换处理后的报文发送给 STA。

步骤 74: STA收到 802.11数据报文后，将所述的 T-MAC-ADDR 替换为局域网终端实际的 MAC地址。语中 DA将恢复为实际的 STA MAC地址。

当一个 STA仅对应一个虚拟 STA时， STA或 AP的 MAC层只需要筒单地进行一个 STA实际 MAC地址与 T-MAC-ADDR的映射，对 802.11MAC层服务原语接口不作改动，上述流程能正常工作。下面介绍两种可能的实现上述地址转换的方法，以支持同一 STA 上多个虚拟 STA的正常工作：

一、虚拟端口方式：

即不同的业务从不同的虚拟端口接入，这时，可以在 MAC服务原语接口上做些扩充以帮助 802.11MAC能正确地转换实际 MAC地址与虚拟 STA的临时 MAC地址 T- MAC-ADDR, 即原语直接包含与虛拟 STA对应的虛拟端口标识。虚拟端口标识号与相应的虚拟 STA 一^■对应，或虚拟端口号的值就是对应虚拟 STA的标识号或实例号。

为此，需要对 802.11MAC服务原语修改，例如：

( 1 ) MA-UNITDATA.request(

Source Address,/源地址；

Destination Address,/目的地址；

Routing information,/路由信息；

Data,/数据；

Priority,/优先级；

Service class,/服务级别；

Visual-port/* 为新增加的虚拟端口号 */

)

( 2 ) MA-UNITDATA.indication(

Source Address,

Destination Address,

Routing information,

Data,

Reception status,

Priority,

Service class,

Visual-port /* 为新增加的虛拟端口号 */

) ( 3 ) MA-UNITDATA-STATUS.indication(

Source Address,

Destination Address,

Transmission status,

Provided Priority,

Provided Service class,

Visual-port/* 为新增加的虚拟端口号 */

)

二、业务感知方式：

这种方式对 MAC层服务原语不作修改。 MAC层要深入分析到所其所传递的数据包，如上层相应协议层信息，如源 IP地址、目的 IP地址、外部网关地址、 VLAN TAG (虚拟 LAN标签）等，虚拟 STA 所提供的服务与上述这些信息绑定。以下是两个例子：

( 1 )假定不同的虛拟 STA需通过不同的网关与外部进行通信，在 MAC层，虚拟 STA直接通信的对象只能是网关。这样，对于由 STA到 AP的数据包， DA (目的地址）为对应网关的地址；对于从 AP到 STA的数据包， SA (源地址）为对应网关的地址。因此，通过在创建虚拟 STA时，将网关的 MAC地址与虚拟 STA关联起来, 802.11MAC层借助此关联信息就可完成 STA真实 MAC地址与对应的 T-MAC-ADDR之间的转换。标识），即在创建虚拟 STA时，分配不同的 VLAN TAG。 802.11MAC 根据待传递的数据报文中的 VLAN TAG, 就可确定对应的虛拟 STA, 综上所述，本发明的实现，使得当一个 STA希望同时发起与多个业务提供端的接入认证过程，并分别形成多路独立的业务流分别开展相应的业务时，例如，从一个服务提供商获得语音服务而从另一个服务提供商提供数据服务，可以建立多个虚拟 STA分别代表客户端建立与相应业务提供端的关联，以保证业务的开展，因此，本发明可以很好地满足用户利用同一终端开展多业务的需求。

请参阅图 8，基于本发明的实际应用过程中， STA 810可以同时发起与 AS 881和 AS 882的接入认证过程，并分别形成两路独立的业务流 STA 810-TOE 891和 STA 810-TOE 892, 从一个服务提供商获得语音服务而从另一个服务提供商提供数据服务。此外， STA 810还能够外接多个其他类型的独立终端，共享该 STA而获得 WLAN接入服务。

请参阅图 9, 本发明的局域网系统的一个实施例中，在现有的无线局域网系统中的分发系统 DS 910 上设置临时 MAC地址管理器 920 , 用于统一管理一个 WLAN中终端临时 MAC地址的分配、更新和回收。临时 MAC地址管理器 920逻辑上是相对于 AP 930的一个独立功能实体，帮助 DS 910实现临时 MAC地址管理功能。

局域网系统中，来源于 STA 940的数据包经 AP 930发送到 DS 910 或来源于 DS 910的数据包经 AP 930发送到 STA 940。在 DS 910中可以使用 STA的真实地址， STA临时地址在 AP 930与 STA 940之间用于替换真实 MAC地址，作为在空口上标识受保护的 STA用。

其中，所述的临时 MAC地址管理器 920可以分为：接口单元，用于实现与 AP 930的信息交互；地址分配单元，用于为无线局域网终端分配临时媒体接入控制地址。

此外，该临时 MAC地址管理器 920还可以包括地址维护单元，用于维护网络侧的临时媒体接入控制地址的状态。

其中，所述地址分配单元可以设置在地址维护单元内。地址维护单元，用于维护临时 MAC地址的状态。

请参阅图 10 , 本发明的一个实施例中，临时 MAC 地址 ( T-MAC-ADDR ) 的分配流程包括：

步骤 101 , STA向 AP发送临时地址分配请求（ TMA-ALLOCATE. request ) ，其中携带要求分配临时地址的相应的虚拟 STA标识，并启动超时重传定时器 T_R。如果多次，例如三次发出 TMA- ALLOCATE.request 仍收不到临时地址分配响应 ( TMA-ALLOCATE.response ) , 该虚拟 STA将被删除。由于一个虚拟 STA需要一个临时 MAC地址，所以一个物理 STA就有可能会申请多个不同的临时 MAC地址。

步骤 102， AP收到 STA的临时地址分配请求后，记录 STA的真实 MAC地址和相应的虚拟 STA标识，将临时地址分配请求封装成"临时 MAC地址生成请求，，二层帧传给临时 MAC地址管理器，其中携带有 STA的真实 MAC地址和相应的虚拟 STA标识。

步骤 103 , 所述临时 MAC地址管理器分配一个临时 MAC地址，并将其置为"正在使用 "状态。然后将该临时 MAC地址和生存时间封装在临时 MAC地址生成响应传给 AP, 并启动对该临时 MAC地址的生存时间计时。

步骤 104 , AP将结果封装在临时 MAC地址分配响应 ( TMA-ALLOCATE.response ) 中返回给 STA。

STA创建虚拟 STA后，根据业务的需要，会使用这个临时 MAC 地址替换 STA的真正 MAC地址，和 AP之间在空中交互信息。

所述虚拟 STA^f艮据收到的信息也启动一个生存时间计时的定时器，用于与所述临时 MAC地址管理器同步记录该临时 MAC地址的生存时间。

请参阅图 11 , 其中，步驟 1101和 1102与图 10中的步骤 101和 102 大致相同。

步骤 1103 , 如果所述临时 MAC地址管理器在上述过程中无法分配临时 MAC地址，会在返回的消息响应里携带分配失败的参数。

步骤 1104 , AP在返回的消息响应里携带分配失败的参数。

STA申请不到临时 MAC地址，对应虚拟 STA标识的虚拟 STA创建失败，流程结束。

本发明的临时 MAC地址的回收机制可使得 DS上的临时 MAC地址管理器能够对分配出去的临时 MAC地址进行维护。回收机制包括虚拟 STA侧的临时 MAC地址的释放和网络侧对该临时 MAC地址的回收。如图 12所示，在现有的状态机基上新增一个空闲 Idle状态，表示虚拟 STA尚未创建且 TMA尚未分配，同时将原来的 State 1、 State 2、 State 3统称为虚拟终端设备活跃 VSTA Active状态。如图 13所示，表示虚拟 STA已创建且 TMA已分配。这样，状态机使用两级流程图来描述，其中， level 0是 Idle和 VSTA Active状态， level 1是对 VSTA Active 状态的细分，包括 State 1、 State 2、 State 3。

当虚拟 STA的状态机从 VSTA Active退回到 Idle状态时，可能是从 State 3变成 Idle状态，也可能是从 State 1直接退回 Idle状态，表示该虚拟 STA已经不需要该临时 MAC地址，其接入点与该虚拟终端设备之间通过临时 MAC地址释放请求来标识临时地址的释放，并由网络侧的临时 MAC地址管理器将该临时 MAC地址回收。

如图 14所示，在由 STA侧发起请求时，包括：步骤 1401 , STA发送临时 MAC地址释放请求给 AP; 步骤 1402, AP转发给所述临时 MAC 地址管理器进行处理；步骤 1403 ,向所述 STA反馈临时 MAC地址释放响应；步骤 1404, 该物理 STA删除对应的虚拟 STA。

如图 15所示，在由网络侧发起释放请求时，包括：步骤 1501 , 由 AP向所述 STA发送临时 MAC地址释放请求；步骤 1502, 向所述临时 MAC地址管理器发送处理；步骤 1503 ,所述 STA删除对应的虚拟 STA; 步骤 1504 , 向 AP反馈临时 MAC地址释放响应。

另外，当 STA请求更新临时 MAC地址时，临时 MAC地址地址管理器给虛拟 STA更新一个新的临时 MAC地址，并将原临时 MAC地址回收。

如图 16所示，所述临时 MAC地址管理器中的临时 MAC地址状态转化过程包括：响应临时 MAC地址分配时 , 如果临时 MAC地址管理器中有"等待分配"状态的临时 MAC地址，则将这个临时 MAC地址置为"已分配、正在使用"状态，分配给虚拟 STA; 如果没有，则新生成一个 DS范围内唯一的临时 MAC地址，置为"已分配、正在使用，，状态，再分配给对应的虚拟 STA。

存在这种情况： STA和 AP在更换临时 MAC地址前有一个延迟，而所述临时 MAC地址管理器可能又将该临时 MAC地址立刻分配给其他虚拟 STA使用 , 由此会造成同一个临时 MAC地址被两个虚拟 STA 使用的局面，造成该两个虛拟 STA出现通信故障。为了规避类似的异常情况，被回收的临时 MAC地址可以置为 "初始化，，状态，一段预定时间，例如一分钟后才被置为"等待分配，，状态，然后才有机会被再次分配。

本发明的实施例中，可以采用新的 802.11MAC服务原语，例如：

1、 TMA-ALLOCATE.request , 用于临时 MAC地址分配请求：

TMA-ALLOCATE.request (

Source Address, /* STA的真实 MAC地址 */

Visual-STA identifier /* 为虚拟 STA标识 */

)

2、 TMA-ALLOCATE.response , 用于临时 MAC地址分配操作的响应：

TMA-ALLOCATE.response (

Source Address, /* STA的真实 MAC地址 */

Visual-STA identifier , /* 为虛拟 STA标识 */

Result, /*分配操作的结果，成功或者失败 */

Visual-STA T-Mac- Address, /*新分配的临时 MAC地址 */

Lifetime /*生存时间 */

)

3、 TMA-RELEASE.request,用于临时 MAC地址释放操作的请求：

TMA-RELEASE.request (无参数）

4、 TMA-RELEASE.response , 用于临时 MAC地址释放操作的响应：

TMA-RELEASE.response (无参数）

可以采用 Action管理帧来实现对临时 MAC地址的分配和回收操作，请参考表 1和表 2:

表 1 Category Values Name Value

T-MAC-Address Action TBD

Reserved TBD 表 2 T- Mac-Address Action Field Values (T-Mac-Address Action Frame Format)

本发明中，每隔预定时间由临时 MAC地址管理器更新虚拟 STA 所使用的旧临时 MAC地址 , 即动态更新。

请参阅图 17, 虚拟 STA—侧发起的更新，包括：

步骤 1701 , 在临时 MAC地址的生存时间到达之前的某一个时间 , 比如生存时间过了 50 %的时候，所述虚拟 STA向临时 MAC地址管理器发出临时 MAC地址更新请求 (TMA-UPDATE.request)，其中携带请求更新临时地址的相应虚拟 STA标识，并启用定时器 T_R,等待临时 MAC 地址更新响应 (TMA-UPDATE.response)。

网络侧以该虚拟 STA的正在使用的 MAC地址和虚拟 STA标识来识別这次更新操作。如果定时器 T_R超时仍收不到临时 MAC地址更新响应，就会重发临时 MAC地址更新请求，如果在一共发送多次 MAC 地址更新请求之后，例如三次，仍收不到临时 MAC地址更新响应，则更新操作不成功，该虚拟 STA继续使用原临时 MAC地址。

步骤 1702, AP收到虚拟 STA发出的临时 MAC地址更新请求后，封装一个"临时 MAC地址更新操作请求"传给所述临时 MAC地址管理器，其中携带有 STA的真实 MAC地址和相应的虚拟 STA标识。

步骤 1703 , 所述临时 MAC地址管理器分配一个新的临时 MAC地址，然后将更新成功、该临时 MAC地址和生存时间封装在 "临时 MAC 地址更新操作响应 "里传给 AP , 并启动生存时间计时。

步骤 1704, AP将封装一个"临时 MAC地址更新响应，，返回给对应的 STA, 其中携带更新成功、新的临时 MAC地址、生存时间等参数。

步骤 1705,所述虚拟 STA将新的临时 MAC地址更新下去，即以后发到 AP的 802.11帧的源地址填上这个新的临时 MAC地址，然后给 AP 发送一个"临时 MAC地址更新确认" （ TMA-UPDATE.confu'm ) , 其中携带上旧的临时 MAC地址作为参数。

该 STA还保留一段时间的新、旧临时 MAC地址和虚拟标识的对应关系，当收到 AP发送过来的 802.11帧的源地址填的是新临时 MAC地址时，才会清除旧临时 MAC地址和虚拟标识的对应关系，这样保证与 AP之间通信在新旧临时 MAC地址更替时的顺畅性。

AP收到该虚拟 STA发过来的"临时 MAC地址更新确认"，就将与这个虚拟 STA对应的新临时 MAC地址也更新下去，即以后发到 STA 的 802.11帧的目标地址填上这个新的临时 MAC地址 ,直至生存时间结束前又会发起新的一次地址更新。

如果 AP没有收到该虚拟 STA发过来的"临时 MAC地址更新确认"，会重发 "临时 MAC地址更新响应"，例如重发三次，仍然会用旧的临时 MAC地址作为目标地址发送 802.11帧给该虚拟 STA,直到预定次数的重发都没有收到虚拟 STA发过来的"临时 MAC地址更新确认"，就会继续使用旧的临时 MAC地址。此时虚拟 STA会再次发送"临时 MAC地址更新确认"，如果三次都收到 AP发送过来的用旧临时 MAC 地址作为目标地址的 802.11帧，也会继续使用旧的临时 MAC地址。这种情况下， AP会通知临时 MAC地址管理器回收原先更新的临时 MAC 地址，虚拟 STA和网络侧都重新启动对旧临时 MAC地址的生存时间计时。

请参阅图 18 , 其中步骤 1801和 1802与图 17中的步骤 1701和 1702 大致相同。

步骤 1803 , 如果临时 MAC地址管理器不能分配新的临时 MAC地址，例如地址用尽或者到达可用地址数目最大值，那么临时 MAC地址管理器会找到该虚拟标识所对应的临时 MAC地址 , 将重新开始其生存时间计时，然后封装一个 "临时 MAC地址更新操作响应"，其中携的参数传给 AP。

步骤 1804 , AP在返回给虚拟 STA的 "临时 MAC地址更新响应 (TMA-UPDATE. response)"中带上更新失败、虚拟标识等参数。

虚拟 STA在收到带有更新失败参数的临时 MAC地址更新响应时，会重新开始生存时间计时，并继续使用原来的临时 MAC地址。

请参阅图 19，网絡侧发起的更新包括：

步骤 1901 , 在临时 MAC地址的生存时间到达之前的某一个时间，网络侧主动分配一个新的临时 MAC地址，并封装一个"临时 MAC地址更新操作请求，，传给虚拟 STA,其中直接携带有 STA的真实 MAC地址、相应的虚拟 STA标识和已经由临时 MAC地址管理器新分配的临时 MAC地址。

步骤 1902, 收到"临时 MAC地址更新操作请求，，后，虚拟 STA将新的临时 MAC地址更新下去，即以后发到 AP的 802.11帧的源地址填上这个新的临时 MAC地址 , 然后给 AP发送一个"临时 MAC地址更新确认" （ TMA-UPDATE.confirm ) ，其中携带上旧的临时 MAC地址作为参数。同时该 STA还保留一段时间的新、旧临时 MAC地址和虚拟标识的对应关系。当收到 AP发送过来的 802.11帧的源地址填的是新临时 MAC地址时，才会清除旧临时 MAC地址和虚拟标识的对应关系，如此保证在新旧临时 MAC地址更替时的通信流畅。

AP收到该虚拟 STA发过来的"临时 MAC地址更新确认"，就将与这个虛拟 STA对应的新临时 MAC地址也更新下去，即以后发到 STA 的 802.11帧的目标地址填上这个新的临时 MAC地址，直至生存时间结束前又会由网络侧发起新的一次地址更新。

请参阅图 20, 网絡侧发起的更新包括：

步骤 2001，在临时 MAC地址的生存时间到达之前的某一个时间，网络侧主动分配一个新的临时 MAC地址，并封装一个"临时 MAC地址更新操作请求，，传给虚拟 STA,其中直接携带有 STA的真实 MAC地址、相应的虚拟 STA标识和已经由临时 MAC地址管理器新分配的临时 MAC地址。

步驟 2002,如果 AP没有收到该虚拟 STA发过来的"临时 MAC地址更新确认"，会重发 "临时 MAC地址更新操作请求，，预定次数，例如重发三次，仍然用旧的临时 MAC地址作为目标地址发送 802.11帧给该虚拟，同时携带有 STA的真实 MAC地址、相应的虚拟 STA实例号和已经由临时 MAC地址管理器新分配的临时 MAC地址。如果三次都没有收到虚拟 STA发过来的"临时 MAC地址更新确认"，则会继续使用旧的临时 MAC地址。此时虚拟 STA会再次发送"临时 MAC地址更新确认，，，如果三次都收到 AP发送过来的用旧临时 MAC地址作为目标地址的 802.11帧，也会继续使用旧的临时 MAC地址。

这种情况下 , AP会通知临时 MAC地址管理器回收新的临时 MAC 地址 , STA和管理器都重新启动对旧临时 MAC地址的生存时间计时。

本发明可以采用新的临时 MAC地址的更新原语： TMA-UPDATE. request, 用于临时地址更新请求； TMA-UPDATE. response, 用于临时 MAC地址更新操作的响应结果； TMA-UPDATE. confirm, 用于临时 MAC地址更新操作的确认。所述更新原语的内容可以包括：

TMA-UPDATE.request (

Real Source Address, /* STA的真实 MAC地址 */

Visual-STA identifier /* 为虚拟 STA标识 */

Visual-STA T-Mac- Address, /*新分配的临时 MAC地址，仅网络侧发过来时有该参数 */

Lifetime /*此临时 MAC地址的生存时间 , 仅网络侧发过来时有该参数 */

)

TMA-UPDATE.response (

Real Source Address, /* STA的真实 MAC地址 */ Visual-STA identifier , /* 为虚拟 STA标识 */

Result, /*更新操作的结果，成功或者失败 */

Visual-STA T-Mac- Address, /*新分配的临时 MAC地址 */

Lifetime 临时 MAC地址的生存时间 */

)

TMA-UPDATE.confirm (

Old Visual-STA T-Mac-Address, /*旧的临时 MAC地址 */

)

本发明可以采用三种 Action管理帧类型来标识对临时 MAC地址的动作操作，请参考表 3和表 4:

表 3 Category Values , 表示临时 MAC地址的操作：

表 4 T-Mac-Address Action Field Values, 表示 Action管理帧的类型：

本发明除使用 Action管理帧进行临时 MAC地址的更新夕卜，还可以使用其他管理帧进行类似的更新。

本发明的无线局域网终端的实施方式包括：临时媒体接入控制地址获取单元，用于获得网络侧分配的临时媒体接入控制地址；信息交互单元，用于基于所述临时媒体接入控制地址与网絡侧进行信息交互；虚拟终端月 I务单元，用于创建虚拟终端，将不同用户的业务流映射到不同的虛拟终端。虚拟终端具有各自对应的临时媒体接入控制地址。

在一个实施例中，所述的信息交互单元为媒体接入控制层，用于在向对端传递数据时，将无线局域网终端的真实媒体接入控制地址替换为临时媒体接入控制地址；在接收到对端基于临时媒体接入控制地址的数据时，将临时媒体接入控制地址恢复为无线局域网终端的真实媒体接入控制地址，向本端媒体接入控制层之上传递。

本发明的接入点的实施方式包括：临时媒体接入控制地址发送单元，用于向无线局域网终端发送无线局域网系统为终端分配的临时媒体接入控制地址；信息交互单元，用于基于所述临时媒体接入控制地址与无线局域网终端进行信息交互；虚拟终端服务单元，用于将不同用户的业务流映射到不同的虚拟终端。

以上所述，仅为本发明较佳的具体实施方式, 但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。

Claims

权利要求

1、一种无线局域网通信方法，其特征在于，包括：

无线局域网终端获得网络侧分配的临时媒体接入控制地址；所述无线局域网终端基于所述临时媒体接入控制地址与网络侧进行信息交互。

2、根据权利要求 1所述的无线局域网通信方法，其特征在于，所述的无线局域网终端获得网络侧分配的临时媒体接入控制地址，包括：

3、根据权利要求 2所述的无线局域网通信方法，其特征在于，所述发送给无线局域网终端，为：

4、根据权利要求 3所述的无线局域网通信方法，其特征在于，所述临时媒体接入控制地址分配请求消息和临时媒体接入控制地址分配响应消息封装为操作管理帧或探测帧。

5、根据权利要求 3所述的无线局域网通信方法，其特征在于，所述临时媒体接入控制地址分配请求消息中携带需要分配临时媒体接入控制地址的虚拟终端的标识信息；

所述临时媒体接入控制地址分配响应消息中还携带与所述临时媒体接入控制地址信息对应的虚拟终端的标识信息。

6、根据权利要求 2所述的无线局域网通信方法，其特征在于，所述为所述无线局域网终端分配临时媒体接入控制地址信息，是由所述网络侧的临时媒体接入控制地址管理器执行的。

7、根据权利要求 1所述的无线局域网通信方法，其特征在于，所述无线局域网终端基于所述临时媒体接入控制地址与网絡侧进行信息交互，包括：

所述无线局域网终端利用所述的临时媒体接入控制地址与网络侧之间进行鉴权，并在鉴权通过后基于所述的临时媒体接入控制地址建立与网絡侧的关联。

8、才艮据权利要求 1所述的无线局域网通信方法，其特征在于，所述无线局域网终端基于所述临时媒体接入控制地址与网络侧进行信息交互，包括：

9、根据权利要求 1所述的无线局域网通信方法，其特征在于，所述无线局域网终端基于所述临时媒体接入控制地址与网络侧进行信息交互，包括：在媒体接入控制层之上的业务流使用临时媒体接入控制地址请求媒体接入控制层进行数据传递。

10、根据权利要求 8或 9所述的无线局域网通信方法，其特征在于 , 所述网络侧的媒体接入控制层位于网络侧的接入点。

11、一种无线局域网终端接入局域网的方法，其特征在于，包括：无线局域网终端创建虛拟终端；

为所述虚拟终端分配从网络侧获得的相应的临时媒体接入控制地址；所述虛拟终端基于临时媒体接入控制地址与网络侧进行信息交互。

12、根据权利要求 11所述的无线局域网终端接入局域网的方法，其特征在于，所述的无线局域网终端创建虚拟终端，包括：为每个虚拟终端分配相应的虚拟终端标识信息，并居业务要求建立每个虚拟终端接入局域网时的接入策略。

13、根据权利要求 12所述的无线局域网终端接入局域网的方法，其特征在于 ,所述的为所述虚拟终端分配从网络侧获得的相应的临时媒体接入控制地址，包括：

所述无线局域网终端向网络侧发送临时媒体接入控制地址分配请求消息，其中携带需要分配临时媒体接入控制地址的虚拟终端的标 "i只^息；

14、根据权利要求 13所述的无线局域网终端接域网的方法，其特征在于，所述发送给无线局域网终端，为：

所述网络侧的接入点向无线局域网终端发送临时媒体接入控制地址分配响应消息，其中携带与所述虚拟终端的标识信息对应的临时媒体接入控制地址信息。

15、根据权利要求 14所述的无线局域网终端接入局域网的方法，其特征在于 ,所述临时媒体接入控制地址分配请求消息和临时媒体接入控制地址分配响应消息封装为操作管理帧或探测帧。

16、根据权利要求 13所述的无线局域网终端接入局域网的方法，其特征在于，所述无线局域网终端向网络侧发送临时媒体接入控制地址分配请求消息时，启动超时重传定时器；如果预定次数发出媒体接入控制临时地址分配请求后，仍收不到网络侧的响应，删除所述虚拟终端。

17、根据权利要求 13所述的无线局域网终端接入局域网的方法，其特征在于，所述为所述无线局域网终端分配临时媒体接入控制地址信息，包括：

所述网络侧的接入点收到无线局域网终端的临时媒体接入控制地址分配请求后，记录所述无线局域网终端的真实媒体接入控制地址和相应的虛拟终端标识；将所述临时地址分配请求封装成临时媒体接入控制地址生成请求传给网络侧的临时媒体接入控制地址管理器，其中携带所述无线局域网终端的真实媒体接入控制地址和相应的虚拟终端标识；

18、根据权利要求 17所述的无线局域网终端接入局域网的方法，其特征在于，所述虛拟终端根据收到的信息启动定时器，用于对所用的临时媒体接入控制地址的生存时间计时。

19、根据权利要求 17所述的无线局域网终端接入局域网的方法，其特征在于，还包括：如果所述临时媒体接入控制地址管理器无法分配临时媒体接入控制地址，在返回的消息响应中携带分配失败的参数；所述无线局域网终端申请不到临时媒体接入控制地址，则删除所述虛拟终端。

20、根据权利要求 11所述的无线局域网终端接入局域网的方法，其特征在于，所述无线局域网终端基于所述临时媒体接入控制地址与网络侧进行信息交互，包括：

所述虚拟终端利用所述的临时媒体接入控制地址与网絡侧之间进行鉴权，并在鉴权通过后基于所述的临时媒体接入控制地址建立虚拟终端与网络侧的关联。

21、根据权利要求 11所述的无线局域网终端接入局域网的方法，其特征在于，所述无线局域网终端基于所述临时媒体接入控制地址与网络侧进行信息交互，包括：在媒体接入控制层之上的业务流使用无线局域网终端的真实媒体接入控制地址请求媒体接入控制层进行数据传递；

所述无线局域网终端的媒体接入控制层及网絡侧媒体接入控制层，在接收到对端基于临时媒体接入控制地址的数据时，将虚拟终端的临时媒体接入控制地址恢复为无线局域网终端的真实媒体接入控制地址，向本端媒体接入控制层之上传递；

或者，所述无线局域网终端基于所述临时媒体接入控制地址与网絡侧进行信息交互，包括：

22、根据权利要求 21所述的无线局域网终端接入局域网的方法，其特征在于，所述将无线局域网终端的真实媒体接入控制地址替换为虚拟终端的临时媒体接入控制地址以及将虚拟终端的临时媒体接入控制地址恢复为无线局域网终端的真实媒体接入控制地址，是采用虚拟端口的方式和 /或业务感知方式完成的。

23、根据权利要求 21所述的无线局域网终端接入局域网的方法，其特征在于 , 所述网络侧的媒体接入控制层位于网络侧的接入点。

24、根据权利要求 17所述的无线局域网终端接入局域网的方法，其特征在于，还包括：在临时媒体接入控制地址的生存时间到达之前，所述临时媒体访问控制地址管理器分配新的临时媒体接入控制地址，并发送给所述虚拟终端，其中至少携带该无线局域网终端的真实媒体接入控制地址、相应的虛拟终端标识以及所述新的临时媒体接入控制地址；

所述虛拟终端收到该新的临时媒体接入控制地址后，启动新的临时媒体接入控制地址的生存时间计时，并向所述网络侧的接入点发送确认信息。

25、根据权利要求 17所述的无线局域网终端接入局域网的方法，其特征在于，还包括：

所述虛拟终端向网络侧发出临时媒体接入控制地址更新请求，并携带请求更新临时地址的相应虚拟终端的标识；

所述网络侧的接入点收到该虚拟终端发送的临时媒体接入控制地址更新请求后，封装转发给所述临时媒体接入控制地址管理器；所述临时媒体访问控制地址管理器为所述虚拟终端分配新的临时媒体接入控制地址；将新的临时媒体接入控制地址封装响应给所述接入点，并启动生存时间计时；

26、才艮据权利要求 25所述的无线局域网终端接入局域网的方法，其特征在于，还包括：所述无线局域网终端将新、旧临时媒体接入控制地址和虚拟终端标识的对应关系保留预定时间；在收到所述接入点发送过来的数据帧的源地址是新的临时媒体接入控制地址时，清除旧的临时媒体接入控制地址和虚拟终端的标识的对应关系。

27、根据权利要求 25所述的无线局域网终端接入局域网的方法，其特征在于，还包括：在所述无线局域网终端发起临时媒体接入控制地址更新操作请求后，如果收到所述网络侧发送过来的主动更新信息，则主动停止本侧发起的临时媒体接入控制地址更新流程，且响应所述网络侧发起的临时媒体接入控制地址更新流程。

28、居权利要求 24所述的方法，其特征在于，还包括：所述临时媒体访问控制地址管理器分配新的临时媒体接入控制地址是主动进行的，并由接入点发送临时媒体接入控制地址更新操作请求给所述虚拟终端；如果收到无线局域网终端发送过来的临时媒体接入控制地址更新操作请求信息 ,则不响应所述无线局域网终端发起的临时媒体接入控制地址更新操作请求。

29、根据权利要求 17所述的无线局域网终端接入局域网的方法，其特征在于，还包括：所述接入点与虚拟终端之间通过临时媒体接入控制地址释放请求来标识临时媒体接入控制地址的释放，并由网络侧的临时媒体接入控制地址管理器将该临时媒体接入控制地址回收。

30、一种局域网系统，包括无线局域网终端和接入点，其特征在于，还包括：临时媒体接入控制地址管理器，用于为所述无线局域网终端分配临时媒体接入控制地址；

所述接入点用于向无线局域网终端发送所述临时媒体接入控制地址；所述无线局域网终端用于获得所述临时媒体接入控制地址，基于所述临时媒体接入控制地址与网絡侧进行信息交互。

31、根据权利要求 30所述的局域网系统，其特征在于，所述无线局域网终端包括虚拟终端服务单元，用于创建虚拟终端，将不同用户的业务流映射到不同的虚拟终端；所述接入点包括虚拟终端服务单元，用于将不同用户的业务流映射到不同的虚拟终端；所述虚拟终端分配有所述临时媒体接入控制地址。

32、根据权利要求 30所述的局域网系统，其特征在于，所述无线局域网终端和接入点均包括媒体接入控制层，用于在向对端传递数据时 ,将无线局域网终端的真实媒体接入控制地址替换为临时媒体接入控制地址；在接收到对端基于临时媒体接入控制地址的数据时，将临时媒体接入控制地址恢复为无线局域网终端的真实媒体接入控制地址，向本端媒体接入控制层之上传递。

33、一种局域网系统，包括无线局域网终端和接入点，其特征在于，所述接入点用于向无线局域网终端发送为所述无线局域网终端分配的临时媒体接入控制地址；所述无线局域网终端用于获得所述临时媒体接入控制地址，基于所述临时媒体接入控制地址与网络侧进行信息交互。

34、一种无线局域网终端，其特征在于，包括：临时媒体接入控制地址获取单元，用于获得无线局域网系统为其分配的临时媒体接入控制地址；信息交互单元，用于基于所述临时媒体接入控制地址与网络侧进行信息交互。

35、如权利要求 34所述的无线局域网终端，其特征在于，还包括：虚拟终端服务单元，用于创建虚拟终端，将不同的业务流映射到不同的虚拟终端；所述虚拟终端具有各自对应的临时媒体接入控制地址。

36、如权利要求 34所述的无线局域网终端，其特征在于，所述的信息交互单元为媒体接入控制层，用于在向对端传递数据时，将无线局域网终端的真实媒体接入控制地址替换为临时媒体接入控制地址；在接收到对端基于临时媒体接入控制地址的数据时，将临时媒体接入控制地址恢复为无线局域网终端的真实媒体接入控制地址，向本端媒体接入控制层之上传递。

37、一种接入点，其特征在于，包括：临时媒体接入控制地址发送单元，用于向无线局域网终端发送无线局域网系统为其分配的临时媒体接入控制地址；信息交互单元，用于基于所述临时媒体接入控制地址与无线局域网终端进行信息交互。

38、如权利要求 37所述的接入点，其特征在于，还包括：虚拟终端服务单元，用于将不同用户的业务流映射到无线局域网终端对应的不同的虚拟终端。

39、如权利要求 37所述的接入点，其特征在于，所述的信息交互单元为媒体接入控制层，用于在向对端传递数据时，将无线局域网终端的真实媒体接入控制地址替换为临时媒体接入控制地址；在接收到对端基于临时媒体接入控制地址的数据时，将临时媒体接入控制地址恢复为无线局域网终端的真实媒体接入控制地址，向本端媒体接入控制层之上传递。

40、一种临时媒体接入控制地址管理器，其特征在于，包括：接口单元，用于实现所述管理器与无线局域网的接入点的信息交互；

41、根据权利要求 40所述的临时媒体接入控制地址管理器，其特征在于，还包括：

42、根据权利要求 41所述的临时媒体接入控制地址管理器，其特征在于，所述地址分配单元设置在地址维护单元内。