专利名称:无线局域网安全防卫墙系统设备的制作方法
技术领域:
本实用新型涉及一种组合硬件支持软件工作的AirGuard-无线局域网安全防卫墙系统设备,属无线通信设备技术领域。
发明内容
本实用新型的目的是,组合支持软件工作的硬件,构成AirGuard-无线局域网安全防卫墙系统设备,从无线网卡的认证、识别和管理,用户的身份认证、隔离和管理及无线接入点AP保护等方面全方位多层次进行信息保护;从身份认证、数据保密和系统监控等角度完成对无线网卡、移动用户和传输数据全面控制、管理以及监测和预警,使网络管理员方便地配置和使用各种安全策略,全面地管理和控制网络中的无线设备及用户,并能根据网络安全技术的发展而不断丰富、扩充自身。从而综合和包容了无线局域网现有技术方案,扩展了实用范围,实现了“全面信息安全保护”解决方案。
本实用新型联结计算机的AirGuard无线安全防卫墙独立系统设备,主要由高于850MHz CPU、Intel 440BX芯片组成的主板、128M以上内存、大于30G容量的硬盘、TP-LINK标准外置Modem、显卡、板载[SiliconMotionLynxEM+,网卡(Wired)Intel 82559ER*3,网卡(Wireless)ACPC2000-11/USB]等组装在机箱内构成。通过四个相互依赖和支撑的数据库服务、Radius认证服务、AirGuard管理平台和操作系统功能组件操作运行,即采用RADIUS认证机制对用户进行认证,采用ESSID认证机制和MAC地址访问控制列表对访问者进行过滤,使用WEP密钥对传输数据进行加密,采用VLAN和单用户隔离技术保护用户私密性,使用户在不同接入点之间安全方便地漫游。其中,无线安全防卫墙系统依赖的AirGuard管理平台是对整个无线网络进行管理的前端工具,数据库服务和Radius认证服务提供AirGuard管理平台执行特定功能信息与服务。整个系统利用AirGuard管理平台管理网络系统中的无线接入点AP,达到安全管理的目的。AirGuard管理平台把安全管理的主要对象聚焦在无线局域网的关键无线接入点AP上,只要控制了无线接入点AP,对无线接入点AP实施安全监管,也就保护了整个无线局域网的信息安全,并实现对用户漫游有效管理的目的。AirGuard是一个基于多层安全技术,统一的可扩展的无线安全防卫墙系统,管理员可以方便地配置各种安全参数,通过对无线环境进行策略管理来构筑安全的网络体系。AirGuard系统作用架构分成三个层面一、无线设备层,主要包含系统操作对象,直接对象为无线接入点AP设备,间接对象是由无线接入点AP进行连接并通过无线接入点AP设备进行网络访问的从业人员。这个层面对外提供两个操作访问界面,分别是无线接入点AP设备访问(利用SNMP协议实现)和Radius数据库访问(利用Steel-Belted Radius实现),所有外界对此层的操作必须通过这两个访问模块进行。二、无线安全及漫游管理层,主要是对系统无线环境进行管理,加强安全性,方便实现用户、设备、安全一体化管理。为此,在该层中包含了安全策略分析引擎、用户漫游管理引擎、用户管理模块、无线设备安全策略引擎、预警模块、日志管理引擎、无线设备发现引擎、无线设备组群管理引擎、无线设备维护模块等多个相互作用的模块和引擎。三、数据库访问层,是上层无线安全及漫游管理层的基石,利用SQL Server 2000服务器能很好地实现无线通信安全和漫游管理,能够对各类数据进行统一有效地处理,存放。AirGuard-无线局域网安全防卫墙系统三个层次的功能分别由子系统运作,让合法用户平滑进入网络,将非法用户拒之门外。其中,用户管理子系统(User Management Subsystem)通过界面体现,管理目前在线用户和可以访问网络的用户,可以对有关用户进行添加、删除、修改等操作;了解目前合法用户的信息,可显示用户的有关信息;为漫游等子系统提供用户管理。无线设备管理子系统(AP ManagementSubsystem)进行实时监控网络中的无线设备,将设备的变化和数据库中的数据保持同步,从而达到配置和获取无线设备中的安全属性的功能,并添加系统中新的无线设备。由维护模块管理无线接入点AP设备,对无线接入点AP设备进行读、写操作;由发现引擎模块操作无线接入点AP数据库,添加一个新的无线接入点AP,生成数据库中新的无线接入点AP的相关信息。操作时,可采用人工方式输入或自动采集无线接入点AP信息以形成初始数据库;由维护模块删除一个无线接入点AP设备,修改一个无线接入点AP的有关信息等;以及为组群等子系统提供设备管理。安全策略分析管理子系统(Security Policy Analysis and Management Subsystem)可根据系统中搜集的当前信息对整个系统环境进行分析,找出系统安全策略中的问题和提升安全的解决方案。并对系统中的安全策略进行统一管理,不仅包含预定义安全策略,同时还允许网络管理人员自己定制安全策略。产生策略中,生成预定义的完全安全策略和管理员自定义的非完全安全策略,以及产生对应安全策略数据库;应用策略时,选择不同安全策略方案分别应用于组群、无线接入点AP或用户;编辑策略时,对有关安全策略方案进行修改;删除策略时,对不合适的策略方案进行删除;锁定安全参数时,禁止非管理员修改设备参数。设置报警参数中,对不同策略设置不同报警参数;VLAN配置可使处于同一个VLAN网段中的移动用户相互访问,不同VLAN的用户之间无法互访;单用户隔离将使移动用户“看不到”同一无线接入点AP下的其他用户,无法互访。无线设备群组管理子系统(AP Group Management Subsystem)以组群为单位管理系统中的设备,可简化系统中安全策略的应用。把不同局域网中的多个无线接入点AP或单一局域网中的某些无线接入点AP分成组群,并将其配置成具有相同安全级别的一个单元,管理员可以组群为单位方便地管理局域网中的所有无线接入点AP。当然,管理员也可根据需要不为无线接入点AP分组,而进行单独管理和安全参数的设置;或把某一无线接入点AP加入到具有某种安全策略或安全级别的组群中;或从某种安全策略、安全级别的组群中删除一个无线接入点AP;以及修改某一安全级别的组群的安全策略,修改其安全性能。日志和预警子系统(Log and Warning Subsystem)可将系统中发生的各类事件记录下来,包括重要时间,警告,出错,以供系统其它部分跟踪报警以及作为安全记录留档,并根据日志数据库,显示非法用户侵入系统的信息,显示系统中无线设备的工作状态,自动从日志数据库中删除已过期作废的日志记录,按类型(系统报警、入侵报警信息、无线接入点AP消息、系统开启等)排序显示日志数据库中的记录,并对系统中出现的与安全有关的可疑迹象进行预警,消除系统可能存在的安全隐患。漫游监管子系统(Roaming View and Management Subsystem)可对漫游用户进行管理和组织,控制漫游用户并及时了解用户漫游情况,提供支持,以保障合法用户的安全漫游。同时,根据漫游数据库,了解某一用户在无线接入点AP之间的迁移情况。根据无线接入点AP数据库,确定无线接入点AP在一具体时刻所连接的用户情况和状态。
本实用新型的优点是,组合硬件支持软件工作构成的AirGuard-无线局域网安全防卫墙系统设备,从无线网卡的认证、识别和管理,用户的身份认证、隔离和管理及无线接入点AP保护等方面全方位多层次进行信息保护;从身份认证、数据保密和系统监控等角度完成对无线网卡、移动用户和传输数据的全面控制、管理以及监测、预警。AirGuard-无线局域网安全防卫墙系统可以让网络管理员方便地配置和使用各种安全策略,全面管理和控制网络中的无线设备及用户,并根据网络安全技术的不断发展而丰富、扩充自身。从而综合和包容了无线局域网信息安全的现有技术,并扩展了现有技术和它们的实用范围。整个系统利用AirGuard管理平台管理网络系统中的无线接入点AP设备,达到了安全管理的目的,实现了“全面信息安全保护”的解决方案。
图2是本实用新型AirGuard-无线局域网安全防卫墙系统设备中的四个相互依赖的功能组件。其中,2是数据库服务功能组件,3是Radius认证服务功能组件,4是AirGuard管理平台,5是操作系统功能组件。
图3是本实用新型AirGuard-无线局域网安全防卫墙系统整体架构图。其中,6是数据库服务层,7是无线安全及漫游管理层,8是用户认证和无线设备层。
图4是本实用新型AirGuard-无线局域网安全防卫墙系统用户管理子系统(User Management Subsystem)界面显示图。其中,9是用户管理视窗界面。
图5是本实用新型AirGuard-无线局域网安全防卫墙系统无线设备管理子系统(AP Management Subsystem)界面显示图。其中,10是无线设备管理视窗界面。
图6是本实用新型AirGuard-无线局域网安全防卫墙系统安全策略分析管理子系统(Security Policy Analysis and Management Subsystem)界面显示图。其中,11是安全策略分析管理视窗界面。
图7是本实用新型AirGuard-无线局域网安全防卫墙系统无线设备群组管理子系统(AP Group Management Subsystem)界面显示图。其中,12是无线设备群组管理视窗界面。
图8是本实用新型AirGuard-无线局域网安全防卫墙系统日志和预警子系统(Log and Warning Subsystem)界面显示图。其中,13是日志和预警视窗界面。
图9是本实用新型AirGuard-无线局域网安全防卫墙系统漫游监管子系统(Roaming View and Management Subsystem)界面显示图。其中,14是漫游监管视窗界面。
图10是本实用新型AirGuard-无线局域网安全防卫墙系统工作流程图。其中,15是开始,16是管理员对无线接入点AP进行分组并为组群应用安全策略,17是移动台(无线网卡)申请接入网络(AP),18是检查移动台的集标识ESSID和网络(AP)的集标识ESSID是否相同,19是用户(网卡)MAC地址是否在无线接入点AP的MAC地址控制列表中,20是用户被拒绝访问网络流程,21是启用40位或128位WEP密钥对传输数据加密,22是启用802.1x的EAP-MD5算法对用户身份验证,23是用户名和密码是否在服务器的用户数据库中流程,24是用户安全、平滑地访问网络流程,25是对用户划分VLAN网段和实施单用户隔离流程,26流程结束。
图11是本实用新型AirGuard-无线局域网安全防卫墙系统应用示意图。其中,27是局域网。
以下结合
符合本实用新型主题的实施例。
具体实施方式
将Celron II 850MHz CPU、PCM-9576(Intel 440BX芯片组)主板、128M内存、30G容量硬盘、TP-LINK标准外置Modem、显卡、板载SiliconMotionLynxEM+、网卡(Wired)Intel 82559ER*3、网卡(Wireless)ACPC2000-11/USB等组件配置安装在机箱1内,联结计算机构成本实施例AirGuard无线安全防卫墙独立系统设备。然后在AirGuard无线安全防卫墙独立系统中,创建数据库服务2、Radius认证服务3、AirGuard管理平台4和操作系统5四个相互依赖的运行功能组件,并通过四个相互依赖的功能组件在数据库服务层6,无线安全及漫游管理层7,用户认证和无线设备层8等三个层面进行子系统操作运行,即采用Radius认证3机制对用户进行认证,采用集标识ESSID认证机制和MAC地址访问控制列表对访问者进行过滤,使用WEP密钥对传输数据进行加密,采用VLAN和单用户隔离技术保护用户私密性,实现用户在不同接入点之间的安全漫游。本实施例应用在局域网27中时,借助应用环境AirGuard服务器Win2000 Server+AirGuard防卫墙;Radius服务器Win2000 Server+Steel-Belted Radius;数据库服务器Win2000 Server+SQL Server 2000;无线接入点AP上海宽讯公司的AboveCable ACAP2001-11;客户机环境WinXP+Above Cable无线网卡;以及网络环境以太局域网和无线局域网(WLAN)。实现无线局域网安全防卫墙AirGuard系统通过安全管理平台,“消除无线设备的不一致性,填补设备安全漏洞,保护信息完整性”,并从无线网卡的认证和识别、用户的身份认证和隔离及无线接入点AP保护等方面提供了全方位的信息保护;从身份认证3、数据保密和系统监控等角度完成了对无线网卡、移动用户和传输数据的全面控制、管理及监测和预警。该安全平台将各种安全手段或措施整合成系统的安全策略,可以根据实际应用需要选取不同的安全策略,更重要的是该系统可以随着无线安全技术的不断发展而提升自己的安全性能,从而达到了保护无线局域网安全的目的。在实现目标时,系统分为三个层面,即无线设备管理层8、无线安全及漫游管理层7、数据库访问层6。设备管理可以将各种无线接入点AP设备的参数,尤其是其安全参数集中管理,使得整个设备完全在管理者的控制之下。无线安全及漫游管理层7将各种安全技术或防范措施纳入系统。数据库访问层6利用SQL Server 2000服务器能很好地实现无线通信安全和漫游管理,对各类数据进行统一有效地处理,存放。AirGuard-无线局域网安全防卫墙系统的功能通过子系统对用户进行集中管理,便于对合法用户进行分组和应用不同的安全策略,让合法用户平滑进入网络,将非法用户拒之门外。其中用户管理子系统(User Management Subsystem)管理目前在线用户和可以访问网络的用户,可以对有关用户进行添加、删除等修改操作,了解目前合法用户的信息,通过用户管理视窗界面9显示用户的有关信息;为漫游等子系统提供用户管理。无线设备管理子系统(APManagement Subsystem)通过无线设备管理视窗界面10实时监控网络中的无线设备,将设备的变化和数据库中的数据保持同步,从而达到配置和获取无线设备中的安全属性的功能,并添加系统中新的无线设备。具体由维护模块管理无线接入点AP设备,对无线接入点AP设备进行读、写操作;由发现引擎模块操作AP数据库添加一个新的AP,生成数据库中新的无线接入点AP的相关信息。可以采用人工方式输入或自动采集无线接入点AP的信息以形成初始数据库;由维护模块删除一个无线接入点AP设备,修改一个AP的有关信息;以及为组群等子系统提供设备管理的基础。安全策略分析管理子系统(Security Policy Analysis and Management Subsystem)根据系统中搜集的当前信息,通过安全策略分析管理视窗界面11对整个系统环境进行分析,找出系统安全策略中的问题和提升安全的解决方案。对系统中的安全策略进行统一管理,系统中不仅包含预定义的安全策略,同时还允许网络管理人员自己定制安全策略。如产生策略即生成预定义的完全安全策略和管理员自定义的非完全安全策略两大类,并产生对应安全策略数据库;应用策略即选择不同安全策略方案分别应用于组群、无线接入点AP或用户;编辑策略对有关安全策略方案进行修改;删除策略对不合适的策略方案进行删除;锁定安全参数禁止非管理员修改设备参数;设置报警参数对不同策略设置不同报警参数;VLAN配置处于同一个VLAN网段中的移动用户可相互访问,不同VLAN的用户之间无法互访;单用户隔离移动用户“看不到”同一无线接入点AP下的其他用户,无法互访。无线设备群组管理子系统(AP Group Management Subsystem)以组群为单位通过无线设备群组视窗界面12管理系统中的设备,简化系统中安全策略的应用。把不同局域网中的多个无线接入点AP或单一局域网中的某些无线接入点AP分成组群,并将其配置成具有相同安全级别的一个单元,管理员就可以以组群为单位方便地管理局域网中的所有无线接入点AP。当然,管理员也可以根据需要不为无线接入点AP分组,而进行单独管理和安全参数的设置。把某一无线接入点AP加入到具有某种安全策略或安全级别的组群中;从某种安全策略或安全级别的组群中删除一个无线接入点AP;修改某一安全级别的组群的安全策略以修改其安全性能。日志和预警子系统(Log and WamingSubsystem)将系统中发生的各类事件记录下来,包括重要时间,警告,出错,供系统其它部分跟踪报警以及作为安全记录留档,并根据日志数据库,通过视窗界面13显示非法用户侵入系统的信息等。如显示系统中无线设备的工作状态;自动地从日志数据库中删除已过期作废的日志记录;按类型(系统报警、入侵报警信息、无线接入点AP消息、系统开启等)对日志数据库中的记录进行排序显示;对系统中出现的与安全有关的可疑迹象进行预警,消除系统可能存在的安全隐患。漫游监管子系统(Roaming View andManagement Subsystem)通过视窗界面14对漫游用户进行管理和组织,为系统控制漫游用户,及时了解用户的漫游情况提供支持,从而保障合法用户的安全漫游。AirGuard-无线局域网安全防卫墙可以让网络管理员方便地配置和使用各种安全策略,全面地管理和控制网络中的无线设备及用户,并能够根据网络安全技术的不断发展而丰富、扩充自身。根据技术进步,只需增添相应子系统(或模块)就可以使无线局域网达到最新的安全水平,达到快速技术更新的目的。本实用新型AirGuard-无线局域网安全防卫墙系统工作流程如下从开始15→管理员对无线接入点AP分组并为组群应用安全测量16→移动台(无线网卡)申请接入网络(AP)17→检查移动台的集标识ESSID和网络(AP)的集标识ESSID是否相同18→用户(网卡)MAC地址是否在无线接入点AP的MAC地址控制列表中19,同时,检查移动台的集标识ESSID和网络(AP)的集标识ESSID是否相同18→用户被拒绝访问网络20。接着,一方面用户(网卡)MAC地址是否在无线接入点AP的MAC地址控制列表中19→用户被拒绝访问网络20;另一方面用户(网卡)MAC地址是否在无线接入点AP的MAC地址控制列表中19→再由启用40位或128位WEP密钥对传输数据加密21→启用802.1x的EAP-MD5算法对用户身份验证22→用户名和密码是否在Radius服务器的用户数据库中23→用户被拒绝访问网络20。同时,用户名和密码是否在Radius服务器的用户数据库中23→用户安全、平滑地访问网络24→对用户划分VLAN网段和实施单用户隔离25→结束26。
权利要求1.一种无线局域网安全防卫墙系统设备,包括高于850MHz CPU、Intel440BX芯片组成的主板、128M以上内存、大于30G容量的硬盘、TP-LINK标准外置Modem、显卡、板载[SiliconMotionLynxEM+,网卡(Wired)Intel82559ER*3,网卡(Wireless)ACPC2000-11/USB]、联结的计算机和机箱,其特征在于有基于硬件创建的四个相互依赖和支撑的系统功能组件数据库服务组件、Radius认证服务组件、AirGuard管理平台组件和操作系统组件以及三层面系统作用架构无线设备管理层、无线安全及漫游管理层和数据库访问层。
2.根据权利要求1所述的无线局域网安全防卫墙系统设备,其特征在于系统对用户进行集中管理的功能子系统有用户管理子系统、无线设备管理子系统、安全策略分析管理子系统、无线设备群组管理子系统、日志和预警子系统、漫游监管子系统。
3.根据权利要求1所述的无线局域网安全防卫墙系统设备,其特征在于无线设备层有无线接入点AP设备访问(利用SNMP协议实现)和Radius数据库访问(利用Steel-BeltedRadius实现),两个访问模块。
4.根据权利要求1所述的无线局域网安全防卫墙系统设备,其特征在于,在无线安全及漫游管理层中有相互作用的安全策略分析引擎、用户漫游管理引擎、用户管理模块、无线设备安全策略引擎、预警模块、日志管理引擎、无线设备发现引擎、无线设备组群管理引擎、无线设备维护模块。
5.根据权利要求1所述的无线局域网安全防卫墙系统设备,其特征在于数据库访问层有实现无线通信安全和漫游管理,对各类数据进行处理、存放的SQL Server 2000服务器。
6.根据权利要求1所述的无线局域网安全防卫墙系统设备,其特征在于应用在局域网中借助的环境为AirGuard服务器Win2000 Server+AirGuard防卫墙;Radius服务器Win2000 Server+Steel-Belted Radius;数据库服务器Win2000 Server+SQL Server 2000;无线接入点AP上海宽讯公司的Above Cable ACAP2001-11;客户机环境为WinXP+Above Cable无线网卡;以及网络环境为以太局域网和无线局域网(WLAN)。
专利摘要本实用新型组合硬件支持软件构成的无线局域网安全防卫墙系统设备,主要由CPU、主板、内存、硬盘、标准外置Modem、显卡、网卡等组装在机箱内构成,并创建四个相互依赖和支撑的数据库服务、Radius认证服务、AirGuard管理平台和操作系统功能组件。作用架构分三个层面,分别由各子系统运作。从无线网卡的认证、识别和管理,用户的身份认证、隔离和管理及无线接入点AP保护等方面全方位多层次进行信息保护;从身份认证、数据保密和系统监控等角度完成对无线网卡、移动用户和传输数据的全面控制、管理以及监测、预警。可方便地配置和使用各种安全策略,全面管理和控制无线设备及用户,发展、扩充自身,是一种“全面信息安全保护”方案。
文档编号H04L12/24GK2587116SQ0226155
公开日2003年11月19日 申请日期2002年11月13日 优先权日2002年11月13日
发明者顾君忠, 张毅斌, 贺樑, 孙树峰, 石兴方, 苏鹏, 费杨奕 申请人:上海宽讯时代科技有限公司