专利名称:接入点以及控制接入点的方法
技术领域:
本发明涉及一种用于控制多个网络之间的连接的接入点及其方法。
背景技术:
最近,由于例如无线局域网(无线LAN)的无线网络系统的广泛使用,无线网络被用作LAN,而且已有具有过滤功能的无线接入点产品用于控制与基干网的连接。
此外,为了确保网络接入的安全性,引入了扩展验证协议(extended authentication protocol,EAP)以验证用户。如果对用户的无线终端(station)验证成功,则仅授权该无线终端连接到该网络。
为了在IP(Internet Protocol,因特网协议)网络上实现本地网与被访问网络之间的无缝连接,已提出一种方法,在该方法中,验证信息从被访问网络传送到本地网上的验证服务器,以检验终端的有效性。此外,被访问网络的路由器嗅探(sniff)验证包,以搜索用于漫游的最佳路由。
此外,已提出另一种方法,在该方法中,无线路由器包括多个安全级不同的无线通信单元,而且对每个单元分配不同的网络服务级别。
然而,这些已知方法具有以下缺点。即,由于仅根据用户验证过程的结果确定被访问网络内的连接控制,所以难以以逐步接近(step-by-step approach)的方式在被访问网络端提供网络服务。
此外,在对每个无线通信单元分配不同网络服务级别的方法中,要求所安装的无线通信单元的数量对应于所提供的服务级别。这增加了具有过滤功能的无线接入点的成本。此外,还需要对正确提供了服务级别的无线通信单元之间的无线链接进行设置操作,因此对客户终端的用户产生沉重负担。
发明内容
因此,本发明容易根据用户级别提供网络服务。
本发明还根据用户级别提供网络服务,而不对客户终端的用户产生沉重负担。
根据本发明,用于控制接入点的方法包括步骤监测通信终端与第一网络中的验证服务器之间的用户验证序列内的消息;从监测步骤监测的消息中,获取与登录用户有关的预定信息和验证结果;以及根据在获取步骤获取的预定信息和验证结果,设置通信终端的接入参数。
本发明所述的控制接入点的方法,获取步骤进一步获取用于用户验证的用户识别信息、通信终端的识别信息、以及用于控制与通信终端的本地连接的接入点的识别信息至少之一。
本发明所述的控制接入点的方法,该方法进一步包括使用通信终端的识别信息作为索引,记录在获取步骤获取的预定信息的步骤。
本发明所述的控制接入点的方法,在确定用户验证是否成功时,记录步骤更新所记录的预定信息。
本发明所述的控制接入点的方法,在一自动产生的时刻,记录步骤更新所记录的预定信息。
本发明所述的控制接入点的方法,设置步骤设置通信终端的接入限制。
本发明所述的控制接入点的方法,设置步骤设置通信终端的IP地址过滤信息。
本发明所述的控制接入点的方法,设置步骤设置通信终端的MAC地址过滤信息。
根据本发明,接入点包括监测单元,用于监测通信终端与第一网络中的验证服务器之间的用户验证序列内的消息;获取单元,用于从监测单元监测的消息中,获取与登录用户有关的预定信息和验证结果;以及设置单元,用于根据在获取单元获取的预定信息和验证结果,设置通信终端的接入限制。
根据本发明,用于控制接入点的程序包括步骤监测通信终端与第一网络中的验证服务器之间的用户验证序列内的消息;从监测步骤监测的消息中,获取与登录用户有关的预定信息和验证结果;以及根据在获取步骤获取的预定信息和验证结果,设置通信终端的接入限制。
通过结合附图对典型实施例所做的下述说明,本发明的其它特征和优点变得更加明显。
图1是根据本发明第一实施例的网络配置示意图。
图2是根据本发明第一实施例具有过滤功能的无线接入点的功能层的示意图。
图3显示在根据第一实施例的网络配置中,基干网RADIUS服务器执行用户验证时的验证序列的示例。
图4显示RADIUS消息数据格式的结构。
图5显示RADIUS接入请求消息的属性信息的典型结构。
图6显示根据第一实施例每个所连接客户机的网络信息记录表的结构。
图7显示嗅探发送到RADIUS服务器的IP包的基本过程的流程图。
图8显示嗅探从RADIUS服务器发出的IP包的基本过程的流程图。
图9显示每个客户机的网络信息记录表的基本更新过程的流程图。
图10显示从发送到RADIUS服务器的IP包的嗅探过程到RADIUS服务器发出的IP包的嗅探过程的响应延迟的基本超时处理流程图。
图11是根据本发明第二实施例的网络配置示意图。
图12是根据本发明第二和第三实施例具有过滤功能的无线接入点的功能层的示意图。
图13显示在根据第二实施例的网络配置中,基干网RADIUS服务器执行用户验证时的验证序列的示例。
图14显示根据第二实施例每个所连接客户机的网络信息记录表的结构。
图15是根据本发明第三实施例的网络配置示意图。
图16显示在根据第三实施例的网络配置中,基干网RADIUS服务器执行用户验证时的验证序列的示例。
图17显示根据第三实施例每个所连接客户机的网络信息记录表的结构。
具体实施例方式
现在,结合
本发明的具有过滤功能的无线接入点、网络系统、提供网络服务的方法、计算机程序以及记录介质的实施例。
第一实施例根据本发明的第一实施例,在包括局域网和基干网的网络中使用具有过滤功能的接入点。在局域网中,IEEE 802.11无线LAN和蓝牙(Bluetooth)网络用作无线局域网的通信介质。
下面说明接入点的操作。
图1是根据该实施例的网络配置的示意图。如图1所示,该网络配置包括基干网1、有线局域网2、无线局域网3、根据该实施例具有过滤功能的无线接入点10、局域网数据服务器11、局域网使用的具有代理(proxy)功能的远程验证拨入用户服务(Remote Authentication Dial-In User Server,RADIUS)服务器12、基干网数据服务器13、基干网RADIUS服务器14、有线客户终端100以及无线客户终端A101至无线客户终端C103。
图2是显示具有过滤功能的无线接入点10的控制单元(未示出)在记录在存储器(未示出)内的程序的控制下运行的功能层的示意图。为了实现根据该实施例具有过滤功能的无线接入点10,IP包嗅探功能块监测连接到有线局域网2的局域网RADIUS服务器12与具有过滤功能的无线接入点10之间的验证序列。根据在记录于存储器内的程序的控制下运行的无线接入点10的控制单元,进行以下说明。
图3显示在图1所示的网络配置中,基干网RADIUS服务器14执行用户验证时的验证序列的示例。图4显示RADIUS数据格式的结构。图5显示RADIUS接入请求消息的属性信息的结构示例。图6显示每个无线客户终端的网络信息记录表。网络信息记录表是内部记录的示例,它显示根据该实施例的过程收集的每个无线客户终端的验证结果的示例,以及在连接方式下,记录与验证有关的信息参数,例如,登录用户识别信息和登录无线终端识别信息。
图7显示嗅探发送到RADIUS服务器的IP包的示意过程流程图。图8显示嗅探从RADIUS服务器发出的IP包的示意过程流程图。图9显示图6所示每个客户终端的网络信息记录表的示意更新过程的流程图。图10显示从发送到RADIUS服务器的IP包的嗅探过程到RADIUS服务器发出的IP包的嗅探过程的响应延迟的示意超时处理流程图。
接着,结合图7~10所示的流程图,说明图6所示的每个无线客户终端的网络信息记录表的示意更新过程。在根据该实施例的无线接入点10内,预置分配给局域网RADIUS服务器12的因特网协议(IP)地址。识别发自或者发至该IP地址的IP包,以便嗅探,如图7和8所示。
在收到发至局域网RADIUS服务器12的IP包后,无线接入点10比较分配给局域网RADIUS服务器12的TCP端口号和接收到的包内的目标端口号(图7中的步骤S701),该TCP端口号是在接入点10的存储器内预置的数字。如果端口号匹配,则确定RADIUS消息代码400是否为“接入请求”(0x01)(步骤S702)。如果不匹配,立即结束该过程。
如果RADIUS消息代码400是“接入请求”(0x01),则接入点10将“标识符”401的值临时存储到存储器内,该“标识符”401是RADIUS消息序列的标识号。
此外,接入点10启动响应延迟定时器,以等待响应该消息的消息(步骤S703)。该定时器是固定间隔定时器,用于对预定的时间长度计时。同时,接入点10在存储器中临时存储图4和图5所示的“接入请求”(0x01)消息的RADIUS消息属性信息中的登录用户名(用户名)、验证器的IP地址(NAS-IP-地址)、验证器的介质访问控制(Media Access Control,MAC)地址(Called-Station-ID,被叫终端ID)以及登录终端的MAC地址(Calling-Station-ID,主叫终端ID)(步骤S704)。然后,该过程单元结束。
此外,在收到局域网RADIUS服务器12发出的IP包后,接入点10比较分配给局域网RADIUS服务器12的TCP端口号和接收到的包内的始发者端口号(图8中的步骤S801),该TCP端口号是在接入点10的存储器内预置的数字。如果端口号不匹配,则该过程单元立即结束。如果端口号匹配,则确定“标识符”401的值是否与在图7中的步骤S703临时存储的数字相同(步骤S802),该“标识符”401是接收到的包的消息序列的标识号。如果该数字不匹配,则该过程单元立即结束。如果该数字匹配,则检验接收到的包内RADIUS消息代码400的类型(步骤S803和S805)。
如果接收到的包内RADIUS消息代码400的类型是“接入拒绝”(0x03)或“接入接受”(0x02),则根据在图7中的步骤S704临时存储的登录用户名(用户名)、验证器的IP地址(NAS-IP-地址)、验证器的MAC地址(被叫终端ID)以及登录终端的MAC地址(主叫终端ID),接入点10为每个所连接的客户机更新图6所示的网络信息记录表(步骤S804和S806)。然后,清除响应延迟定时器(步骤S808),该过程单元结束。
如果RADIUS消息代码400的类型是与上述类型不同的类型,则删除临时存储的上述信息(步骤S807)。接着,删除临时存储的“标识符”401的值,即接收到的包的消息序列的标识号。然后,清除响应延迟定时器(步骤S808),该过程单元结束。
当在上述RADIUS包嗅探过程中,对每个所连接的客户机的网络信息记录表(如图6所示)进行更新时,接入点10对利用MAC地址管理的、被更新的登录终端执行图9所示的确定过程。
首先,接入点10确定RADIUS验证结果是否成功(图9中的步骤S901)。如果成功,则接入点10从登录用户名中读出登录用户(验证目标)的域信息(步骤S902),然后,将该域信息与在接入点10的存储器内预置的限制接入域信息进行比较(步骤S903)。
如果该域信息不是限制接入域信息,则接入点10不进行接入限制。如果该域信息是限制接入域信息,则接入点10将存储器内预置的限制条件设置到相应登录终端的注册表项目中(在该实施例中,IP包由IP过滤方法过滤)(步骤S904)。然后,一个过程单元结束。
如果接入点10确定RADIUS验证结果不成功(步骤S901),则确定连续验证不成功的次数是否大于或等于一预定数(步骤S905)。如果该次数小于预定数,则立即结束该过程单元。如果该次数大于预定数,则拒绝相应终端的连接(在该实施例中,无线包由MAC过滤方法过滤)(步骤S906)。然后,该过程单元结束。
如图10所示,如果在图7中的步骤S703设置的响应延迟定时器已经期满,则接入点10更新在图7中的步骤S704临时存储的信息,包括登录用户名(用户名)、验证器的IP地址(NAS-IP-地址)、验证器的MAC地址(被叫终端ID)以及登录终端的MAC地址(主叫终端ID),然后,将该终端设置为验证超时终端(步骤S1001)。此后,删除临时存储的“标识符”401的值,即接收到的包的消息序列的标识号,然后,清除响应延迟定时器(步骤S1002)。然后,该过程单元结束。
通过上述过程,接入点10监测接收自和发送到验证服务器的用户验证序列中的消息,以获取在建立通信联系之前确定的验证结果,以及用于用户验证的用户识别信息、终端识别信息和用于控制无线本地连接的接入点的无线单元识别信息。然后,接入点10将该信息记录表存储到自动产生的内部数据库中,在该内部数据库中,使用所连接无线终端的识别信息(即该实施例中的MAC地址)作为索引。
因此,每次自动更新信息记录表时,均根据更新后的信息识别每个验证用户ID的域信息,以进行验证。因此,根据设置的条件,可以自动更新对应于该域信息的设置信息,该设置信息可用于IP地址过滤、MAC地址过滤、网络地址转换(NAT)功能、IP伪装(masquerade)功能、以及分配IP地址的方法。
第二实施例图11显示根据第二实施例的网络配置示意图。
如图11所示,该网络配置包括基干网1101、有线局域网1102、无线局域网1103、根据该实施例具有过滤功能的无线接入点1110、局域网数据服务器1111、基干网上具有代理功能的RADIUS服务器1114(即,例如xDSL提供商的验证服务器)、基干网数据服务器1113、基干网RADIUS服务器1115至111n(即,例如因特网服务提供商(ISP)的用户验证服务器)、有线客户终端11100,以及无线客户终端11101至无线客户终端11103。
图12是显示根据该实施例具有过滤功能的无线接入点1110的功能层的示意图。为了实现根据该实施例的功能,IP包嗅探功能块监测连接到基干网接口的基干网RADIUS服务器1114与根据该实施例具有过滤功能的无线接入点1110之间的验证序列。
图13显示在图11所示的网络配置中,基干网RADIUS服务器1114至111n执行用户验证时的验证序列的示例。图14显示根据该实施例的处理收集的每个所连接无线客户终端的验证结果的示例。图14还显示每个所连接的无线客户终端的网络信息记录表,该网络信息记录表是内部记录的示例,在连接方式下,记录与验证有关的信息参数,例如,登录用户识别信息和登录无线终端识别信息。
根据该实施例,为了更新图14所示的网络信息表,采用与第一实施例相同的方法(即图7~10的流程图所示的方法)。通过广域网(WAN)接口,接入点1110监测从基干网上的验证服务器接收和发出的用户验证序列内的消息,以获取在建立通信联系之前确定的验证结果,以及用于用户验证的用户识别信息、终端识别信息和用于控制无线本地连接的接入点的无线单元识别信息。然后,接入点1110将该信息记录表存储到自动产生的内部数据库中,在该内部数据库中,使用所连接无线终端的识别信息(即该实施例中的MAC地址)作为索引。
因此,每次自动更新信息记录表时,均根据更新后的信息识别每个验证用户ID的域信息,以进行验证。因此,根据设置的条件,可以自动更新对应于该域信息的设置信息,该设置信息可用于IP地址过滤、MAC地址过滤、NAT功能、IP伪装功能、以及分配IP地址的方法。
第三实施例图15显示根据第三实施例的网络配置示意图。如图15所示,该网络配置包括基干网1501、有线局域网1502、无线局域网-1 1503、无线局域网-2 1504、根据该实施例具有过滤功能的无线接入点1510、局域网数据服务器1511、基干网使用的具有代理功能的RADIUS服务器-1 1514(即,例如xDSL提供商的验证服务器)、基干网数据服务器1513、基干网RADIUS服务器-2 1515至RADIUS服务器-N 151n(即,例如ISP的用户验证服务器)、具有IEEE 802.1x EAP功能的无线接入点1520、有线客户终端15100、无线客户终端-A 15101、无线客户终端-B 15102、无线客户终端-C 15103、无线客户终端-α15201,以及无线客户终端-β15202。
在该实施例中,也使用如图12所示的、具有过滤功能的无线接入点的功能层,而且IP包嗅探功能块可以监测基干网RADIUS服务器-1 1514与根据该实施例具有过滤功能的无线接入点1510之间的验证序列,还可以监测基干网RADIUS服务器-1 1514与连接到有线局域网1502、且具有IEEE 802.1xEAP功能的无线接入点1520之间的验证序列。
图16显示在图15所示的网络配置中,基干网RADIUS服务器-1 1514执行用户验证时的验证序列的示例。图17显示网络信息记录表的结构的示例,该网络信息记录表是内部记录方法,在连接方式下,记录根据第三实施例的过程收集的每个无线客户终端的验证结果、登录用户识别信息、登录无线终端识别信息以及与验证有关的信息参数。
在该实施例中,也采用第一实施例所述的方法(即,图7~10中的流程图所示的方法)来更新图17所示的网络信息记录表。
因此,通过广域网(WAN)接口,接入点1510可以监测从基干网上的验证服务器接收和发出的验证序列内的消息,以获取在建立通信联系之前确定的验证结果,以及用于用户验证的用户识别信息、终端识别信息和用于控制无线本地连接的接入点的无线单元识别信息。然后,接入点1510可以将与连接到有线局域网1502的无线接入点1520有关的信息添加到信息记录表,并将该信息记录表存储到自动产生的内部数据库中,在该内部数据库中,使用所连接无线终端的识别信息(即该实施例中的MAC地址)作为索引。
因此,每次自动更新信息记录表时,均根据该更新后的信息对每个验证用户ID识别其自己的要验证的域信息。因此,根据设置的条件,可以自动更新对应于该域信息的设置信息,该设置信息可用于IP地址过滤、MAC地址过滤、NAT功能、IP伪装功能、以及分配IP地址的方法。
其它实施例在上述实施例中,对使用IEEE 802.11无线LAN和蓝牙网作为无线局域网的通信介质、具有过滤功能的无线接入点的操作进行了说明,并将其用于由基干网和局域网的组合构成的网络系统中。然而,无线局域网的通信网络介质并不局限于上述介质。对于包括有线局域网和无线局域网的IP网络且在加入该网络前需要进行用户验证(验证服务器的验证过程)的系统,本发明可提供同样的优点。
本发明包括各种实施例,在这些实施例中,通过将实现上述实施例的功能的软件程序代码提供给与各种装置相连接的系统内的计算机,然后执行存储在该系统的计算机(CPU(中央处理单元)或MPU(微处理单元))上的程序,来操作各种装置,从而实现上述实施例的功能。
在这种情况下,软件的程序代码本身实现上述实施例的功能。即,程序代码本身和用来向计算机提供程序代码的装置,例如存储程序代码的记录介质,实现本发明。存储程序代码的记录介质包括例如,软盘、硬盘、光盘、磁光盘(magneto opticaldisk)、CD-ROM(光盘-只读存储器)、磁带、非易失(nonvolatile)存储卡以及ROM。
此外,除了通过执行所提供的程序的计算机实现上述实施例的功能外,本发明的实施例还包括与运行在计算机上的操作系统(OS)或其它应用程序软件相结合、用于实现上述实施例的功能的程序代码。
此外,本发明的实施例包括按如下方式实现上述实施例的功能的程序代码在将所提供的程序存储到计算机的附加扩展板(add-on expansion board)的存储器上,或者存储到与该计算机相连的附加扩展单元的存储器上之后,该附加扩展板或附加扩展单元上的CPU执行上述实施例的部分或全部功能。
根据本发明,在建立通信联系之前,在由接入点控制的网络中监测通信终端与验证服务器之间的用户验证序列的消息,然后,获取与登录用户有关的预定信息,以确定登录用户的用户级别。因此,可以确定该登录用户是注册用户还是访客用户,因而可以根据用户级别动态提供网络服务。
尽管结合典型实施例对本发明进行了说明,但本发明并不局限于所公开的实施例。相反,本发明应覆盖在所附权利要求的精神和范围内的各种修改和等同配置。应当对权利要求的范围进行最宽的解释,以包括所有这些修改、等同结构和功能。
权利要求
1.一种控制接入点的方法,其特征在于包括以下步骤监测通信终端与第一网络中的验证服务器之间的用户验证序列内的消息;从监测步骤监测的消息中,获取与登录用户有关的预定信息和验证结果;以及根据在获取步骤获取的预定信息和验证结果,设置通信终端的接入参数。
2.根据权利要求1所述的控制接入点的方法,其特征在于获取步骤进一步获取用于用户验证的用户识别信息、通信终端的识别信息、以及用于控制与通信终端的本地连接的接入点的识别信息至少之一。
3.根据权利要求1所述的控制接入点的方法,其特征在于该方法进一步包括使用通信终端的识别信息作为索引,记录在获取步骤获取的预定信息的步骤。
4.根据权利要求3所述的控制接入点的方法,其特征在于在确定用户验证是否成功时,记录步骤更新所记录的预定信息。
5.根据权利要求3所述的控制接入点的方法,其特征在于在一自动产生的时刻,记录步骤更新所记录的预定信息。
6.根据权利要求1所述的控制接入点的方法,其特征在于设置步骤设置通信终端的接入限制。
7.根据权利要求6所述的控制接入点的方法,其特征在于设置步骤设置通信终端的IP地址过滤信息。
8.根据权利要求6所述的控制接入点的方法,其特征在于设置步骤设置通信终端的MAC地址过滤信息。
9.一种接入点,其特征在于包括监测单元,用来监测通信终端与第一网络中的验证服务器之间的用户验证序列内的消息;获取单元,用来从监测单元监测的消息中获取与登录用户有关的预定信息和验证结果;以及设置单元,用来根据获取单元获取的预定信息和验证结果来设置通信终端的接入限制。
全文摘要
本发明提供一种接入点以及控制接入点的方法,其配置简单,并且根据用户级别提供网络服务,不对客户终端的用户产生沉重负担。该无线接入点控制由局域网和基干网组成的网络之间的连接。局域网包括采用无线通信介质的无线局域网。当与无线局域网内的无线终端建立通信联系时,无线接入点监测无线终端与局域网上的验证服务器之间的用户验证序列的消息,以获取与登录用户有关的验证结果和预定信息,并且确定该登录用户的级别。然后,无线接入点根据该确定建立其自己的过滤功能。
文档编号H04M3/16GK1671101SQ200510055529
公开日2005年9月21日 申请日期2005年3月16日 优先权日2004年3月16日
发明者浜田正志 申请人:佳能株式会社