专利名称:一种对无线局域网内用户进行隔离的方法
技术领域:
本发明主要涉及基于IEEE 802.11标准的无线局域网WLAN(WirelessLAN)通信领域,尤其涉及一种对无线局域网WLAN内用户进行隔离的方法。
如图3所示,基于上述的分布系统DS,在许多公共场所或热点地区,如机场、酒店、会议中心等,接入服务提供商或电信运营商可以将该分布系统DS的出口集中到某个接入控制器4上,然后再由路由器5接入互联网,部署公共无线接入网络,为用户提供无线上网服务。这样,无线访问点(AP)1覆盖下的无线用户站点2通过其接入的无线访问点1,经过分布系统DS总线3,再由出口处的接入控制器4通过路由器5连到互联网上,从而实现无线上网。
现有的所有无线访问点(AP)1设备在上述无线上网系统中,充当了两个角色一是实现了基本服务集BSS无线覆盖单元中无线用户站点间通信的中继转发功能,如图4所示,单线程单元STA-1要将数据包发送给单线程单元STA-2,首先单线程单元STA-1将数据包发送给无线访问点1,无线访问点1内的无线网卡6中存有关联表7,关联表7中存有单线程单元STA-1和STA-2的对应关系,然后调用无线网卡6中的BSS中继转发模块8,把所接收到的数据包送至单线程单元STA-2,然后再反向发送“确认”消息给STA-1;二是做无线用户站点2接入分布系统DS过程中的透明网桥,如图5所示,单线程单元STA-1要将数据包发送给单线程单元STA-2的过程中,首先STA-1把数据包发送至其接入的无线访问点A,通过无线访问点A中的网桥学习表模块9进行查找,再通过分布系统DS接入无线访问点B,通过无线访问点B中的网桥学习表模块10进行信息核实,再发送给单线程单元STA-2,然后STA-2再反向发送“确认”消息给STA-1。在接入服务提供商或电信运营商为无线用户提供无线上网服务时,其实并不希望在分布系统DS内上网的用户之间直接进行数据传输,以便保护用户计算机数据资源,提高通信安全性。
为使用户在无线上网时,禁止用户间的直接数据通信,我们需要禁止无线访问点(AP)1在基本服务集BSS内部的中继转发功能,同时不允许分布系统DS内的所有无线用户直接相互通信。由于无线访问点(AP)1的中继转发功能是IEEE802.11的标准功能,而且是在IEEE802.11 MAC芯片的固件(Firmware)中实现的,而目前主要的无线访问点(AP)1设备制造商并不具备修改IEEE802.11 MAC芯片固件的能力,同时也并不希望IEEE802.11 MAC芯片删除中继转发这个功能,因此需要采取其它办法解决这个问题。
本发明的技术方案如下(1)首先在IEEE 802.11 MAC芯片的驱动程序中设置将原来由IEEE802.11 MAC芯片固件直接转发的符合IEEE 802.11协议的无线数据包都发送到无线访问点AP的网桥模块中进行处理;(2)无线访问点AP的网桥模块在接收到无线数据包后,查询对应于该数据包的目的MAC地址的无线网桥转发表项,看该数据包的目的MAC地址是否在相同的无线访问点AP端口上,如果在则将该数据包丢弃掉不予处理;(3)在无线访问点AP的网桥模块中创建MAC数据包过滤表,针对收到的每个无线数据包,都通过查询该数据包过滤表,按顺序检索出与之匹配的“规则”,然后按照该表项查找出与该“规则”相对应的“处理方法”,做出相应的处理。
无线访问点AP的网桥模块接收到的每个数据包都包括源地址和目的MAC地址的信息,如果是从IEEE 802.11无线接口收到的数据包,还要包括接收端口号。
无线访问点AP的网桥模块接收的数据包要保证是从无线访问点AP的端口接收进来的。
无线访问点AP的网桥模块在接收到无线数据包后,查询对应于该数据包的目的MAC地址的无线网桥转发表项,看该数据包的目的MAC地址是否在相同的无线访问点AP端口上,如果在则将该数据包丢弃掉不予处理是通过在无线访问点AP的无线网桥模块实现帧过滤的函数中添加一段代码来实现,而且运行期间可以动态配置为开和关状态。
所述的MAC数据包过滤表主要包括由用户制定的数据过滤静态表,表中的每一项都对应着一条“匹配规则”,以及一个“处理方法”。
所述的“匹配规则”是MAC源地址匹配、MAC目的地址匹配、IP源地址匹配、IP目的地址匹配、TCP协议匹配、UDP协议匹配、数据输入端口匹配、数据输出端口匹配、其他特殊匹配中一项或多项的组合。
上述所述的“处理方法”包括有对数据包的接收、转发和丢弃等操作。
通过使用上述的采用二层防火墙机制的隔离方法,可以禁止通过同一分布系统DS内的无线访问点AP上网的无线用户站点之间直接进行数据通信,从而实现对无线用户的隔离,提高通信安全性;而且还可以进行二层的数据包过滤和转发,实现二层防火墙的功能。
图4是无线访问点的中继转发功能示意图;图5是无线访问点的透明网桥功能示意图;图6是本发明方法实现的流程图;图7是本发明实现二层防火墙机制的一个简单示例。
如图6所示,在步骤100中,为了不让IEEE 802.11 MAC芯片的固件直接转发基本服务集BSS内无线用户间的通信数据包,需要在IEEE 802.11 MAC芯片的驱动程序中进行设置将所有的符合802.11协议的数据包都发送到无线访问点AP的网桥模块中进行处理,而不是由802.11 MAC固件采用原来的方法直接进行转发。而目前,所有的IEEE 802.11 MAC芯片的驱动程序中都能设置该项功能,而且所有得无线访问点AP也都必须采用无线透明网桥模块,因此这就保证了该发明实现的前提。
在步骤110中,其中无线访问点AP的网桥模块收到的每个数据包都包括源地址和目的MAC地址的信息,如果是从IEEE 802.11无线接口接收到的数据包,还将得到接收端口号。要阻止将来自单线程单元STA1的数据包从无线访问点AP端口接收后,再通过同一无线访问点AP的端口发送到单线程单元STA2中,只需要在保证接收到的数据包是从无线访问点AP端口进来的情况下,查询该无线访问点AP的802.11无线网卡中的对应于该数据包的目的MAC地址的无线网桥转发表项,在步骤120中看此目的MAC地址和该数据包的源地址是否在相同的无线访问点AP端口上,如果在则转到步骤130,将该数据包丢弃掉不予处理。这样,在基本服务集BSS内部的无线用户间进行通信的数据包都无法通过同一个无线访问点AP发送到目标用户。这个功能的实现可以通过在无线访问点AP的无线网桥模块的帧过滤函数中添加一段代码来实现,而且在运行期间可以动态设置无线访问点AP的中继转发功能为开或关状态。
在步骤120中如果此数据包的源地址和目的MAC地址不在相同的无线访问点AP端口上则转到步骤140,进一步查询无线访问点AP无线网桥模块中的MAC数据包过滤表,检索出与这个数据包特征匹配的“规则”,如表中没有则使用缺省规则,然后按照该表项对应的“处理方法”做出相应的处理。如该数据包的源MAC地址和目的MAC地址的接入控制器的端口号相同,则做出的相应处理为丢弃该数据包,如果不相同则做转发处理。
在无线访问点AP的无线网桥模块中创建更为复杂的MAC数据包过滤表机制,即“第二层无线防火墙”,用来禁止在同一分布系统DS下的不同无线站点间直接进行数据通信。在这一媒体访问控制MAC数据包过滤系统中,关键是要有三个要素表、规则和处理;其中表是指用户定制的数据包过滤静态表,表中的每一项都对应着一条“匹配规则”,而每一项“匹配规则”又都对应着一个相应的“处理方法”。其中匹配规则可以是下面的一种或多种组合媒体访问控制MAC源地址匹配、MAC目的地址匹配、互联网协议IP源地址匹配、IP目的地址匹配、传输控制协议TCP协议匹配、用户数据报协议UDP协议匹配、数据输入端口匹配、数据输出端口匹配、其他特殊匹配中一项或多项的组合。其中与上述的“匹配规则”对应的处理方法有接收、转发、丢弃的等。
如在公共无线接入网络中,为防止同一分布系统DS中的不同无线用户站点间直接进行数据通信,在MAC数据包过滤表中可以添加一项“AP可转发到AP端口的数据,其数据源地址MAC地址必须是无线网络出口处的接入控制设备的MAC地址;而由AP端口接收到的无线数据目的MAC地址必须是无线网络出口处的接入控制设备的MAC地址”的匹配规则,而对应该匹配规则的处理方法是“丢弃”,则当一个符合此匹配规则的数据包,既由一个接入控制器进行中继的数据包,经过无线访问点AP转发时,则无线访问点AP会丢弃此数据包,不予转发。利用这个方法就可以通过无线访问点AP中网桥模块的MAC数据包过滤表过滤掉无线用户之间的直接数据通信,从而就实现了对无线用户的隔离。
将这个MAC数据包过滤表用于无线用户站点间的第二层隔离,还有一个重要的特性,因为表中的各项是依照顺序生效的,这种特性可以用来达到一般和特殊要求的统一。例如,如果系统希望只有特定MAC地址或IP地址的计算机用户才可以访问到这个无线访问点AP的WEB配置页面,则可以通过在MAC数据包过滤表中增加一项匹配规则为“要求源地址匹配给定的MAC或IP地址,目的地址匹配AP本身的地址,目的端口匹配80(HTTP)”,而对应此匹配项的处理方法是“接收”;然后再在表后添加一项,“源地址任意,目的地址匹配AP本身地址,目的端口匹配80(HTTP)”,对应此项的处理方法为“丢弃”。如果用户确实是从特定的计算机终端登录无线访问点AP配置页面的,则第一条规则生效,不再检索第二条规则,数据包被接收处理;而如果用户从其它计算机终端试图访问这个无线访问点AP配置页面,其发起的连接请求数据包不匹配第一条规则,却匹配第二条规则,按照该规则处理,应该将此请求数据包丢弃掉。这种功能和一般的IP层防火墙很相似,但由于其是在二层上实现的,因此是一种“二层防火墙”。
其中二层防火墙的数据包过滤表根据实际应用需求,实现起来难易程度也不同。如图7是二层防火墙对基于无线局域网的用户隔离的一个简单示例,其中并不涉及复杂的规则和方法,而是只基于MAC地址控制数据包的传输方向。无线访问点通过这种方法,可以实现同一个AP内部和不同AP之间的无线用户数据隔离。
首先,在无线访问点AP中建立一张MAC控制表,每一张MAC控制表都包括(1)目的MAC地址指明无线站点2只能访问到的MAC地址;(2)允许/禁止标志控制无线站点2到该MAC地址通信的开启和关闭。
如果此时接入无线访问点AP的用户隔离模式打开,当从站点-2有上行数据通过AP时(无线端口—>有线端口),AP先根据数据包的目的MAC地址从MAC控制表12中查找该地址表项。如果没有,则将数据包丢弃;如果有该MAC地址表项,且允许/禁止标志是“允许”,则从AP的网桥学习表中查找该目的MAC地址的端口号,将该数据包发往该MAC地址所在的AP端口。
同样在用户隔离模式打开的情况下,当有下行数据通过AP要发往无线站点-1时(有线端口—>无线端口),AP先从网桥学习表中检查数据包目的MAC地址的端口号,如果网桥学习表中没有该目的MAC地址,或目的MAC地址的端口号是有线端口,则将数据包丢弃;如果目的MAC地址的端口号是无线端口,则继续检查该数据包的源MAC地址,并从MAC控制表11中查找该地址表项。如果没有该表项,则将数据包丢弃;如果有该MAC地址表项,且允许/禁止标志是“允许”,则将该数据包发往无线端口,从而将数据包发送到无线站点-1。
图7中描述的是无线访问点AP需要进行用户隔离时的典型应用。此时在MAC控制表中添加接入控制器4的MAC地址表项,并将其打开,则无线访问点AP覆盖下的所有无线用户都只能通过接入控制器4上网,而无法访问到其它无线站点了。如果在局域网内还有其它公共服务器允许用户访问的话,也可以在MAC控制表中添加该服务器MAC地址表项,以便用户访问一些公共资源。
二层防火墙基于不同的实现,会有许多更加复杂和有用的安全功能。但基本原则都是对MAC数据包使用各种预定义规则和方法,控制数据包的流向,来达到数据安全的目的。由于对数据包在二层就进行过滤和处理,而不必到三层或更高层再进行数据过滤,因此二层防火墙能更加有效的对用户数据进行隔离,并能减小网络负担。
权利要求
1.一种对无线局域网内用户进行隔离的方法,其特征在于,实现步骤如下(1)首先在IEEE 802.11 MAC芯片的驱动程序中设置将原来由IEEE802.11 MAC芯片固件直接转发的符合IEEE 802.11协议的无线数据包都发送到无线访问点AP的网桥模块中进行处理;(2)无线访问点AP的网桥模块在接收到无线数据包后,查询对应于该数据包的目的MAC地址的无线网桥转发表项,看该数据包的目的MAC地址是否在相同的无线访问点AP端口上,如果在则将该数据包丢弃掉不予处理;(3)在无线访问点AP的网桥模块中创建MAC数据包过滤表,针对收到的每个无线数据包,都通过查询该数据包过滤表,按顺序检索出与之匹配的“规则”,然后按照该表项查找出与该“规则”相对应的“处理方法”,做出相应的处理。
2.根据权利要求1所述的对无线局域网内用户进行隔离的方法,其特征在于,无线访问点AP的网桥模块接收到的每个数据包都包括源地址和目的MAC地址的信息,如果是从IEEE 802.11无线接口收到的数据包,还要包括接收端口号。
3.根据权利要求1所述的对无线局域网内用户进行隔离的方法,其特征在于,无线访问点AP的网桥模块接收的数据包要保证是从无线访问点AP的端口接收进来的。
4.根据权利要求1所述的对无线局域网内用户进行隔离的方法,其特征在于,无线访问点AP的网桥模块在接收到无线数据包后,查询对应于该数据包的目的MAC地址的无线网桥转发表项,看该数据包的目的MAC地址是否在相同的无线访问点AP端口上,如果在则将该数据包丢弃掉不予处理是通过在无线访问点AP的无线网桥模块实现帧过滤的函数中添加一段代码来实现,而且运行期间可以动态配置为开和关状态。
5.根据权利要求1所述的对无线局域网内用户进行隔离的方法,其特征在于,所述的MAC数据包过滤表主要包括由用户制定的数据过滤静态表,表中的每一项都对应着一条“匹配规则”,以及一个“处理方法”。
6.根据权利要求5所述的对无线局域网内用户进行隔离的方法,其特征在于,所述的“匹配规则”是MAC源地址匹配、MAC目的地址匹配、IP源地址匹配、IP目的地址匹配、TCP协议匹配、UDP协议匹配、数据输入端口匹配、数据输出端口匹配、其他特殊匹配中一项或多项的组合。
7.根据权利要求5所述的对无线局域网内用户进行隔离的方法,其特征在于,所述的“处理方法”包括有对数据包的接收、转发、丢弃。
全文摘要
本发明公开了一种对无线局域网内用户进行隔离的方法,该方法首先将本来由IEEE802.11MAC固件实现中继转发的无线数据包都发送到无线访问点的无线网桥模块,然后判断收到的数据包的源地址和目的MAC地址信息,根据网桥转发表项,以及MAC数据包过滤表项决定是否转发或丢弃该数据包,实现对同一分布系统DS内无线用户的隔离。该方法采用了一种二层无线防火墙机制,不但可以用于无线用户隔离,还可以通过规则匹配和处理方法定义来过滤和转发MAC数据包,实现防火墙的功能。
文档编号H04L9/00GK1414742SQ02153730
公开日2003年4月30日 申请日期2002年12月3日 优先权日2002年12月3日
发明者王炜, 魏庆新, 石磊 申请人:北京朗通环球科技有限公司