一种ap反向控制非授权ac的系统及方法

专利名称：一种ap反向控制非授权ac的系统及方法
技术领域：
本发明涉及一种无线网络的控制方法，尤其涉及一种AP (Access Point无线接入点)反向控制非授权AC (Access Control无线控制器)的系统及方法。
背景技术：
在现有的无线网络中，当AC软件的License (证书)机制被破解后，会出现两种情况证书的硬绑定机制失效，或者AC抑制定期发送证书使用公告。此时，AC软件所有者将会完全失去对AC软件使用的监控，产生安全漏洞。发明内容
针对现有的无线网络存在的上述问题，现提供一种旨在AC软件证书遭破解时实现对AC控制的AP反向控制非授权AC的系统及方法。
具体技术方案如下
一种AP反向控制非授权AC的系统，其中，包括主要由AC、多个AP和证书服务器形成的无线网络；
所述AC包括与AP通信单元；
多个所述AP包括一代理AP和其他非代理AP，所述代理AP包括与非代理AP通信单元、与AC通信单元、与证书服务器通信单元、非授权识别单元以及反向控制单元；所述非代理AP包括与代理AP通信单元、与AC通信单元、反向控制单元；
所述证书服务器包括证书管理单元；
所述AC通过所述与AP通信单元与所述AP的与AC通信单元通信；
所述代理AP通过所述与非代理AP通信单元与所述非代理PA的与代理AP通信单元通信；
所述代理A P通过所述与证书服务器通信单元与所述证书服务器的证书管理单元通信；
所述代理AP通过所述非授权识别单元识别所述AC的授权情况，并于所述AC处于非授权状态时通过所述反向控制单元将与所述AC关联设置为弱关联，并对非代理AP通报所述AC的授权状况；
所述非代理AP根据所述代理AP的通报并通过自身的所述反向控制单元将与所述 AC关联设置为弱关联；
所述证书服务器接收所述代理AP转发的所述AC的证书上报信息，并于所述AC出现证书侵权时向所述代理AP下发侵权通告。
优选的，所述AC包括授权识别单元，所述授权识别单元用以识别所述AC授权状态。
优选的，所述AC包括反向控制识别单元，所述反向控制识别单元用以识别所述代理AP与所述AC的关联状态、根据所述授权识别单元的识别结果设置所述AC的授权状态以及于所述AC发生证书侵权时向使用者发出提示。优选的，所述AC包括反向控制解除単元，所述反向控制解除単元用以所述反向控制识别单元用以识别所述代理AP与所述AC的关联状态、设置所述AC的授权状态以及向所述代理AP通报所述AC的授权状況。优选的，所述代理AP及所述非代理AP与所述AC的弱关联连接为基本的控制面连接。优选的，所述AP包括模式识别模块，所述模式识别模块用以识别所述无线网络是否工作于本地转发模式。ー种AP反向控制非授权AC的方法，其中，应用于上述AP反向控制非授权AC的系统，所述AC的控制方法具体包括如下步骤步骤S1、于多个所述AP中选举ー代理AP ；步骤S2、所述授权识别单元定期识别所述AC是否出现证书侵权，如发生证书侵权则转向步骤S9 ；步骤S3、如未发生证书侵权则所述反向控制识别单元检查所述代理AP的关联状态，如所述代理AP的关联状态不是“已反向控制”则返回步骤S2继续执行；步骤S4、如所述代理AP的关联状态是“已反向控制”，则由所述授权识别单元识别所述AC的授权状态，如所述AC的授权状态为“待授权”则转向步骤SlO ；步骤S5、如所述AC的授权状态不是“待授权”，所述反向控制识别单元向使用者提示证书侵权； 步骤S6、如所述AC的授权状态不是“授权状态同步中”则所述反向控制识别单元将所述AC的授权状态设置为“待授权”；步骤S7、所述反向控制解除単元判断所述代理AP的关联状态，如所述代理AP的关联状态为“未反向控制”则通告所述代理AP所述AC的授权状态，并转向步骤SlO ；步骤S8、如所述代理AP的关联状态为“已反向控制”则转向步骤S2 ；步骤S9、向所述代理AP通告所述AC出现证书侵权，所述反向控制解除単元将所述AC的状态设置为“授权状态同步中”并转向步骤S3 ；步骤S10、如所述AC的授权状态为“待授权”，则所述反向控制识别单元将所述AC的授权状态设置为“已授权”并转向步骤S2。优选的，所述代理AP的控制方法具体包括如下步骤步骤Al、所述非授权识别単元周期性判断所述AC的证书授权状況，如未发生证书侵权则转向步骤A4;步骤A2、如发生证书侵权则由所述非授权识别単元判断所述AC的授权状态，如为“已授权”则将所述AC的授权状态设置为“未授权”；步骤A3、所述代理AP的反向控制单元将所述代理AP与所述AC的关联设置为弱关联，并将关联状态设置为“已反向控制”，然后转向步骤A6 ；步骤A4、如所述非授权识别単元判断所述AC的状态为“已授权”转向步骤Al ；步骤A5、如所述非授权识别単元判断所述AC的状态为“未授权”，则将所述AC的状态设置为“已授权”，所述反向控制单元恢复所述代理AP与所述AC的正常关联连接，并将关联状态设置为“未反向控制”；
步骤A6、所述代理AP向所有非代理AP通报所述AC的授权状态后转向步骤Al。
优选的，所述非代理AP的控制方法具体包括如下步骤
步骤B1、接收所述代理AP通报的所述AC的授权状态；
步骤B2、如所述AC的授权状态为“未授权”则由所述非代理AP的反向控制单元将所述非代理AP与所述AC的关联设置为弱关联，关联状态设置为“已反向控制”，并转向步骤 BI ；
步骤B3、如所述AC的授权状态为“已授权”则由所述非代理AP的反向控制单元恢复所述非代理AP与所述AC的正常关联连接，关联状态设置为“未反向控制”，并转向步骤 BI。
优选的，所述代理AP的非授权识别单元判断所述AC的证书授权状况时通过证书上报定时器超时、所述证书管理服务器下发侵权通告以及所述AC通告其未被授权来确定所述AC发生证书侵权。
上述技术方案的有益效果是
当AC的软件证书发生侵权时可由AP实现对AC的反向控制。


图1为本发明一种AP反向控制非授权AC的系统的连接结构示意图2为本发明一种AP反向控制非授权AC的方法的AC控制方法的流程框图3为本发明一种AP反向控制非授权AC的方法的代理AP的控制方法的流程框图4为本发明一种AP反向控制非授权AC的方法的非代理AP的控制方法的流程框图。
具体实施方式
下面结合附图和具体实施例对本发明作进一步说明，但不作为本发明的限定。
如图1所示，一种AP反向控制非授权AC的系统，其中，包括主要由AC、多个AP和证书服务器形成的无线网络；AC包括与AP通信单元；多个AP包括一代理AP和其他非代理 AP，代理AP包括与非代理AP通信单元、与AC通信单元、与证书服务器通信单元、非授权识别单元以及反向控制单元；非代理AP包括与代理AP通信单元、与AC通信单元、反向控制单元；证书服务器包括证书管理单元；AC通过与AP通信单元与AP的与AC通信单元通信；代理AP通过与非代理AP通信单元与非代理PA的与代理AP通信单元通信；代理AP通过与证书服务器通信单元与证书服务器的证书管理单元通信；代理AP通过非授权识别单元识别 AC的授权情况，并于AC处于非授权状态时通过反向控制单元将与AC关联设置为弱关联，并对非代理AP通报AC的授权状况；非代理AP根据代理AP的通报并通过自身的反向控制单元将与AC关联设置为弱关联；证书服务器接收代理AP转发的AC的证书上报信息，并于AC 出现证书侵权时向代理AP下发侵权通告。
上述技术方案通过于AP中产生一代理AP，由代理AP的非授权识别单元实现对AC 软件的证书侵权进行识别，并通AP的过反向控制单元对AC实现反向控制，其中反向控制可采用的实施方式有拒绝关联和弱关联，考虑到AC侵权停止后的需要解除反向控制，因此较`优的实施方式可采用弱关联来实现反向控制，即处于反向控制状态下时，代理AP及非代理AP与AC的关联连接仅为基本的控制面连接，保留了实现反向控制解除的可能性。于上述技术方案基础上，进ー步的，AC可包括授权识别单元，授权识别单元用以识别AC授权状态。并且AC还可包括反向控制识别单元，反向控制识别单元用以识别代理AP与AC的关联状态、根据授权识别单元的识别结果设置AC的授权状态以及于AC发生证书侵权时向使用者发出提示。同吋，AC还可包括反向控制解除単元，反向控制解除単元用以反向控制识别单元用以识别代理AP与AC的关联状态、设置AC的授权状态以及向代理AP通报AC的授权状况。于上述技术方案基础上，进ー步的，AP包括模式识别模块，模式识别模块用以识别无线网络是否工作于本地转发模式。当无线网络非工作于本地转发模式时，本发明的ー种AP反向控制非授权AC的方法不执行。模式识别也可由AC执行。本发明的实施例中还包括ー种AP反向控制非授权AC的方法，其中，应用于上述AP反向控制非授权AC的系统，如图2所示，AC的控制方法具体包括如下步骤步骤S1、于多个AP中选举ー代理AP，选举代理AP的方法不包含于本发明的技术方案中，因此不做展开，其中由于每个AP都有机会成为代理AP，因此，每个AP中都应包含代理AP以及非代理AP的所有単元；步骤S2、授权识别单元定期识别AC是否出现证书侵权，如发生证书侵权则转向步骤S9，AC的授权识别单元识别AC侵权的方法不包含于本发明的技术方案中，因此不做展开；步骤S3、如未发生证书侵权则反向控制识别单元检查代理AP的关联状态，如代理AP的关联状态不是“已反向控制”则返回步骤S2继续执行；

步骤S4、如代理AP的关联状态是“已反向控制”，则由授权识别単元识别AC的授权状态，如AC的授权状态为“待授权”则转向步骤SlO ；步骤S5、如AC的授权状态不是“待授权”，反向控制识别单元向使用者提示证书侵权；步骤S6、如AC的授权状态不是“授权状态同步中”则反向控制识别单元将AC的授权状态设置为“待授权”；步骤S7、反向控制解除单元判断代理AP的关联状态，如代理AP的关联状态为“未反向控制”则通告代理APAC的授权状态，并转向步骤SlO ；步骤SSjnK-AP的关联状态为“已反向控制”则转向步骤S2 ；步骤S9、向代理AP通告AC出现证书侵权，反向控制解除单元将AC的状态设置为“授权状态同步中”并转向步骤S3 ；步骤SlOdn AC的授权状态为“待授权”，则反向控制识别单元将AC的授权状态设置为“已授权”并转向步骤S2。于上述技术方案基础上，进ー步的，如图3所示，代理AP的控制方法具体包括如下步骤步骤Al、非授权识别单元周期性判断AC的证书授权状況，如未发生证书侵权则转向步骤A4 ；步骤A2、如发生证书侵权则由非授权识别单元判断AC的授权状态，如为“已授权”则将AC的授权状态设置为“未授权”；
步骤A3、代理AP的反向控制单元将代理AP与AC的关联设置为弱关联，并将关联状态设置为“已反向控制”，然后转向步骤A6 ；
步骤A4、如非授权识别单元判断AC的状态为“已授权”转向步骤Al ；
步骤A5、如非授权识别单元判断AC的状态为“未授权”，则将AC的状态设置为“已授权”，反向控制单元恢复代理AP与AC的正常关联连接，并将关联状态设置为“未反向控制”;
步骤A6、代理AP向所有非代理AP通报AC的授权状态后转向步骤Al。
于上述技术方案基础上，进一步的，如图4所示，非代理AP的控制方法具体包括如下步骤
步骤B1、接收代理AP通报的AC的授权状态；
步骤B2^BAC的授权状态为“未授权”则由非代理AP的反向控制单元将非代理AP 与AC的关联设置为弱关联，关联状态设置为“已反向控制”，并转向步骤BI ；
步骤B3^BAC的授权状态为“已授权”则由非代理AP的反向控制单元恢复非代理 AP与AC的正常关联连接，关联状态设置为“未反向控制”，并转向步骤BI。
于上述技术方案基础 上，进一步的，代理AP的非授权识别单元判断AC的证书授权状况时通过证书上报定时器超时、证书管理服务器下发侵权通告以及AC通告其未被授权来确定AC发生证书侵权。
以上所述仅为本发明较佳的实施例，并非因此限制本发明的实施方式及保护范围，对于本领域技术人员而言，应当能够意识到凡运用本发明说明书及图示内容所作出的等同替换和显而易见的变化所得到的方案，均应当包含在本发明的保护范围内。
权利要求
1.一种AP反向控制非授权AC的系统，其特征在于，包括主要由AC、多个AP和证书服务器形成的无线网络；所述AC包括与AP通信单元；多个所述AP包括一代理AP和其他非代理AP，所述代理AP包括与非代理AP通信单元、 与AC通信单元、与证书服务器通信单元、非授权识别单元以及反向控制单元；所述非代理 AP包括与代理AP通信单元、与AC通信单元、反向控制单元；所述证书服务器包括证书管理单元；所述AC通过所述与AP通信单元与所述AP的与AC通信单元通信；所述代理AP通过所述与非代理AP通信单元与所述非代理PA的与代理AP通信单元通所述代理AP通过所述与证书服务器通信单元与所述证书服务器的证书管理单元通所述代理AP通过所述非授权识别单元识别所述AC的授权情况，并于所述AC处于非授权状态时通过所述反向控制单元将与所述AC关联设置为弱关联，并对非代理AP通报所述 AC的授权状况；所述非代理AP根据所述代理AP的通报并通过自身的所述反向控制单元将与所述AC 关联设置为弱关联；所述证书服务器接收所述代理AP转发的所述AC的证书上报信息，并于所述AC出现证书侵权时向所述代理AP下发侵权通告。
2.如权利要求1所述AP反向控制非授权AC的系统，其特征在于，所述AC包括授权识别单元，所述授权识别单元用以识别所述AC授权状态。
3.如权利要求2所述AP反向控制非授权AC的系统，其特征在于，所述AC包括反向控制识别单元，所述反向控制识别单元用以识别所述代理AP与所述AC的关联状态、根据所述授权识别单元的识别结果设置所述AC的授权状态以及于所述AC发生证书侵权时向使用者发出提示。
4.如权利要求3所述AP反向控制非授权AC的系统，其特征在于，所述AC包括反向控制解除单元，所述反向控制解除单元用以所述反向控制识别单元用以识别所述代理AP与所述AC的关联状态、设置所述AC的授权状态以及向所述代理AP通报所述AC的授权状况。
5.如权利要求1-4中任一所述AP反向控制非授权AC的系统，其特征在于，所述代理 AP及所述非代理AP与所述AC的弱关联连接为基本的控制面连接。
6.如权利要求1-4中任一所述AP反向控制非授权AC的系统，其特征在于，所述AP包括模式识别模块，所述模式识别模块用以识别所述无线网络是否工作于本地转发模式。
7.—种AP反向控制非授权AC的方法,其特征在于,应用于如权利要求4所述AP反向控制非授权AC的系统，所述AC的控制方法具体包括如下步骤步骤S1、于多个所述AP中选举一代理AP ；步骤S2、所述授权识别单元定期识别所述AC是否出现证书侵权，如发生证书侵权则转向步骤S9 ；步骤S3、如未发生证书侵权则所述反向控制识别单元检查所述代理AP的关联状态，如所述代理AP的关联状态不是“已反向控制”则返回步骤S2继续执行；步骤S4、如所述代理AP的关联状态是“已反向控制”，则由所述授权识别单元识别所述AC的授权状态，如所述AC的授权状态为“待授权”则转向步骤SlO ； 步骤S5、如所述AC的授权状态不是“待授权”，所述反向控制识别单元向使用者提示证书侵权； 步骤S6、如所述AC的授权状态不是“授权状态同步中”则所述反向控制识别单元将所述AC的授权状态设置为“待授权”； 步骤S7、所述反向控制解除単元判断所述代理AP的关联状态，如所述代理AP的关联状态为“未反向控制”则通告所述代理AP所述AC的授权状态，并转向步骤SlO ； 步骤S8、如所述代理AP的关联状态为“已反向控制”则转向步骤S2 ； 步骤S9、向所述代理AP通告所述AC出现证书侵权，所述反向控制解除単元将所述AC的状态设置为“授权状态同步中”并转向步骤S3 ； 步骤S10、如所述AC的授权状态为“待授权”，则所述反向控制识别单元将所述AC的授权状态设置为“已授权”并转向步骤S2。
8.如权利要求7所述AP反向控制非授权AC的方法，其特征在于，所述代理AP的控制方法具体包括如下步骤 步骤Al、所述非授权识别単元周期性判断所述AC的证书授权状況，如未发生证书侵权则转向步骤A4 ； 步骤A2、如发生证书侵权则由所述非授权识别単元判断所述AC的授权状态，如为“已授权”则将所述AC的授权状态设置为“未授权”； 步骤A3、所述代理AP的反向控制单元将所述代理AP与所述AC的关联设置为弱关联，并将关联状态设置为“已反向控制”，然后转向步骤A6 ； 步骤A4、如所述非授权识别単元判断所述AC的状态为“已授权”转向步骤Al ； 步骤A5、如所述非授权识别単元判断所述AC的状态为“未授权”，则将所述AC的状态设置为“已授权”，所述反向控制单元恢复所述代理AP与所述AC的正常关联连接，并将关联状态设置为“未反向控制”； 步骤A6、所述代理AP向所有非代理AP通报所述AC的授权状态后转向步骤Al。
9.如权利要求7所述AP反向控制非授权AC的方法，其特征在于，所述非代理AP的控制方法具体包括如下步骤 步骤B1、接收所述代理AP通报的所述AC的授权状态；步骤B2、如所述AC的授权状态为“未授权”则由所述非代理AP的反向控制单元将所述非代理AP与所述AC的关联设置为弱关联，关联状态设置为“已反向控制”，并转向步骤BI ；步骤B3、如所述AC的授权状态为“已授权”则由所述非代理AP的反向控制单元恢复所述非代理AP与所述AC的正常关联连接，关联状态设置为“未反向控制”，并转向步骤BI。
10.如权利要求8所述AP反向控制非授权AC的方法，其特征在于，所述代理AP的非授权识别単元判断所述AC的证书授权状况时通过证书上报定时器超时、所述证书管理服务器下发侵权通告以及所述AC通告其未被授权来确定所述AC发生证书侵权。
全文摘要
本发明公开了一种AP反向控制非授权AC的系统及方法，其中，包括主要由AC、多个AP和证书服务器形成的无线网络；所述AC包括与AP通信单元；多个所述AP包括一代理AP和其他非代理AP，所述代理AP包括与非代理AP通信单元、与AC通信单元、与证书服务器通信单元、非授权识别单元以及反向控制单元；所述非代理AP包括与代理AP通信单元、与AC通信单元、反向控制单元；所述证书服务器包括证书管理单元。其技术方案的有益效果是当AC的软件证书发生侵权时可由AP实现对AC的反向控制。
文档编号H04W12/06GK103067920SQ20121058788
公开日2013年4月24日 申请日期2012年12月28日 优先权日2012年12月28日
发明者彭丹, 潘妍艳, 李贤平, 高凤春, 吴彬 申请人:上海寰创通信科技股份有限公司