专利名称:一种基于端口的无线局域网接入控制系统及方法
技术领域:
本发明涉及无线通信领域,具体涉及一种基于端口的无线局域网接入控 制系统及方法。
背景技术:
无线局域网(Wireless Local Area Network,即WLAN)指的是基于 IEEE802.il协议系列的无线网络,无线局域网用接入点充当中心站来覆盖某 一区域,以无线方式连4^、控制区域内的移动站点,以构成局域网,移动站 点只与4妻入点连接,移动站点与外部网络以及移动站点之间的通讯,均通过 冲妄入点完成。
随着无线局域网在电信网上大规模开展,服务提供者需要对用户的接入 进行控制和配置,对端口加以控制以实现用户级的4妻入控制,以阻止未4受4又 用户接入网络,占用合法用户的网络资源。
发明内容
本发明要解决的技术问题是提供一种基于端口的无线局域网接入控制 系统及方法,可有效防止非法用户接入网络占用无线资源。
为了解决上述问题,本发明提供了一种基于端口的无线局域网接入控制 方法,包括接入点记录各受控端口的状态,当接入点收到移动站点发来的 业务数据后,若已启动所述移动站点的接入认证,且对应受控端口的状态为 缺省时,则当认证结果为认证通过时允许所述业务数据通过所述受控端口 , 当认证结果为认证未通过时不允许所述业务数据通过所述受控端口 。
进一步地,当接入点收到移动站点发来的业务数据后,若已启动所述移 动站点的接入认证,且对应受控端口的状态为关闭时,不允许所述业务数据通过所述受控端口,若已启动所述移动站点的接入认证,且对应受控端口的 状态为打开时,允许所述业务数据通过所述受控端口。
进一步地,当接入点收到移动站点发来的业务数据后,若未启动所述移 动站点的接入认证,则不允许所述业务数据通过所述受控端口 。
进一步地,当认证通过的移动站点的数量小于预设的下限时,将一个或
多个状态为缺省和/或关闭的受控端口置为打开状态;当认证通过的移动站 点的数量超过预设的上限时,关闭 一个或多个状态为缺省和/或打开的受控 端口。
进一步地,接入点向移动站点发送业务数据前先发送认证请求,所述接 入点收到认证请求后判断是否启动该移动站点的接入认证,若启动则通过非 受控端口发送至认证处理者,所述认证处理者将该认证请求转发至认证服务 器,认证服务器进行认证处理后向所述接入点返回认证结果,接入点保存所 述认证结果;若未启动则不对该认证请求进行处理。
本发明还提供一种基于端口的无线局域网接入控制系统,包括移动站点 及接入点,所述移动站点用于向接入点发送业务数据;
所述接入点用于记录各受控端口的状态,以及收到移动站点发来的业务 数据后,若该移动站点的接入认证已启动,且对应受控端口的状态为缺省时, 则当认证结果为认证通过时允许所述业务数据通过所述受控端口 ,当认证结 果为认证未通过时不允许所述业务数据通过所述受控端口 。
进一步地,所述接入点还用于收到业务数据后,判断是否启动该移动站 点的接入认证,若未启动时,则不允许所述业务数据通过所述受控端口。
进一步地,所述接入点还用于收到业务数据后,若该移动站点的接入认 证已启动,且所述受控端口的状态为打开时,允许所述业务数据通过所述受 控端口 ,若该移动站点的接入认证已启动,且所述受控端口的状态为关闭时, 不允许所述业务凄t据通过所述受控端口 。
进一步地,接入点还用于当认证通过的移动站点的数量小于预设的下限 时,将一个或多个状态为缺省和/或关闭的受控端口置为打开状态;以及当 认证通过的移动站点的数量超过预设的上限时,将一个或多个状态为缺省和/或打开的受控端口置为关闭状态。
进一步地,所述系统还包括认证服务器;
移动站点还用于向接入点发送认证请求;所述接入点包括认证处理者;
所述认证处理者用于当所述移动站点的接入认证已启动时,通过非受控 端口接收所述认证请求,并将所述认证请求发送至认证服务器;
所述认证服务器用于对认证请求进行认证处理,并将认证结果返回给接 入点;
所述接入点还用于保存所述iU正结果。
综上所述,本发明提供一种基于端口的无线局域网接入控制系统及方 法,移动站点在成功进行接入认证过程之前,只能通过非受控端口,与网络 进行认证相关数据的交互,认证成功后,移动站点与网络间的数据可通过受 控端口传输。应用本方法,可以灵活控制针对移动站点的认证过程,防止非 法用户接入网络占用无线资源,实际认证过程可以根据需要采用不同认证方 案。
图l是本发明服务触发的状态转换图; 图2是本发明认证系统结构图3是本发明认证开关缺省时,未完成认证时的逻辑端口状态; 图4是本发明认证开关缺省时,完成认证时的逻辑端口状态。
具体实施例方式
本发明为移动站点访问无线局域网定义了两种逻辑通道,分别通过受控 端口与非受控端口访问,并在基于端口的接入控制过程中,定义三个功能实
体, 一是需通过认证并发起请求的实体,称为认证请求者,网络中对应设备 为移动站点; 一是为认证请求者提供认证操作,提供逻辑与物理端口的实体, 称之为认证处理者,网络中对应设备为接入点; 一是为认证请求者与认证处理者提供认证服务的功能实体,称之为认证服务者,网络中对应设备为认证 服务器。
本实施例提供一种基于端口的无线局域网接入控制系统,如图2所示, 包括移动站点、接入点及认证服务器;
移动站点,用于向接入点发送认证请求及用户的业务数据;
接入点包括与非受控端口相连的认证处理者,以及与受控端口相连的认 证系统的服务提供者;接入点用于接收移动站点发来的数据,当该数据为认 证请求时,判断该移动站点的接入请求是否启动,若启动则通过非受控端口 发送至位于接入点的认证处理者;若未启动则不对该认证请求进行处理。
认证处理者用将从非受控端口接收的认证请求转发至认证服务器,还用 于接收认证服务器返回的认证结果;
接入点还用于保存认证服务器返回的认证结果,认证结果包括认证通过 及认证未通过;接入点还可以根据认证结果将对应的受控端口打开或关闭, 当认证通过时,接入点可将对应的受控端口打开,当认证未通过时,接入点 可将对应的受控端口关闭;
接入点还用于当接收的数据为业务数据时,结合该移动站点的接入认证 状态决定该业务数据是否可通过受控端口传输,具体地,
当该移动站点的接入认证未启动时,该业务数据不能通过该受控端口传
输;
当该移动站点的4妄入认证已启动时,分以下几种情况
(1) 对应受控端口的状态为打开,此时不论认证结果如何,该业务数 据都可以通过该受控端口传输;当网络比较空闲,如认证通过的移动站点的 数量小于预设的下限(该下限值可根据需要设置)时,可将一个或多个状态 为缺省和/或关闭的受控端口置为打开状态;当认证通过的移动站点的数量 超过预设的下限时,可将一个或多个状态为打开的受控端口置为缺省。
(2) 对应受控端口的状态为关闭,此时不论认证结果如何,该业务数 据都不能通过该受控端口传输;当网络较忙时,如认证通过的移动站点的数 量超过预设的上限(该上限值可根据需要设置)时,服务器无法同时处理过多的业务请求,因此可关闭 一个或多个状态为缺省和/或打开的受控端口 , 此时,即使被关闭受控端口的移动站点认证通过,其业务数据也无法通过其 受控端口传输,当网络不太忙时,如认证通过的移动站点的数量在预设的上 限范围内时,可将状态为关闭的受控端口置为缺省状态。
(3)对应受控端口的状态为缺省,此时只有当认证通过时,该业务数 据都才可以通过该受控端口传输,当认证未通过时,该业务数据都不能通过 该受控端口传输。
认证服务器用于接收认证请求,并完成认证后向接入点返回认证结果。
本实施例提供一种基于端口的无线局域网接入控制方法,包括 步骤301:移动站点向接入点发送认证请求;
步骤302:接入点判断是否启动该移动站点的接入认证,是则执行步骤 303,否则执行步骤305;
步骤303:认证请求通过非受控端口被送到认证处理者,认证处理者将 该认证请求转发至认证服务器;
步骤304:认证服务器将认证结果发送至认证处理者,认证处理者本地 记录iU正结果,包括通过认证及未通过认证。
步骤305:不对该认证请求进行认证处理,此时接入点记录该移动站点 未进行认证。
如图l所示,认证过程是在链路验证过程与关联过程之上,此处的链路 验证是指移动站点以本身的MAC地址来跟接入点进行基本的验证过程,是 关联操作的必要前提。图中各帧类型定义如下
(1)第一类帧
a)控制帧
i. RTS;
ii. CTS;iii. ACK;
iv. CF-End + ACK;
v. CF-End;
b) 管理帧
i. #果寻请求/响应
ii. 信标
iii. 链路验证
iv. 解除链路as正
v. 通信量指示消息
c) 数据帧
i.帧控制比特To DS和From DS均未置位的数据帧
(2) 第二类帧
d) 管理帧
i. 关联二清求/响应
ii. 重新关联请求/响应
iii. 解除关联
(3) .第三类帧
e) 认证请求和响应
(4) 第四类帧
f) 数据帧
g) 控制帧PS-Poll
本发明需要扩展802.11规范中定义的移动站点中状态定义与状态机。 增加认证状态,与原有的链路验证状态与关联状态,组合为状态机下四种状 态,分别为
(a) 未链路验证,未关联,未认证
(b) 已链路验证,未关联,未认证(C)已链路验证,已关联,未认证
(d)已链路验证,已关联,已认证 移动站点调用不同服务引发状态跳转。
认证系统可采用基于证书的认证方法,也可以使用EAP (Extensible Authentication Protocol: PPP扩展i人i正十办i义)的i^i正方法,系统4叉需关注受 控端口的打开与关闭。对于合法用户,即接入认证通过的用户,接入点将对 应的受控端口打开,而对于非法用户接入(即接入认证未通过的用户)或没 有用户接入时,则接入点可将对应的受控使端口关闭。
当接入点收到移动站点发送的业务数据时,执行以下步骤
步骤401:接入点收到移动站点发送的业务数据后,判断是否启动该移 动站点的接入认证,若启动执行步骤402,否则执行步骤403;
步骤402:根据受控端口的状态判断业务数据是否可以通过该受控端口 ;
具体地,当受控端口为关闭时,不管实际认证结果如何,本受控端口均 不允许业务数据通过;当网络较忙时,如认证通过的移动站点的数量超过预 设的上限(该上限值可根据需要设置)时,服务器无法同时处理过多的业务 请求,因此可关闭一个或多个状态为缺省和/或打开的受控端口,此时,即 使被关闭受控端口的移动站点认证通过,其业务数据也无法通过其受控端口 传输,当网络不太忙时,如认证通过的移动站点的数量在预设的上限范围内 时,可将状态为关闭的受控端口置为缺省状态。
当受控端口为打开时,不管实际认证结果如何,本受控端口均允许业务 数据通过;当网络比较空闲,如认证通过的移动站点的数量小于预设的下限 (该下限值可根据需要设置)时,可将一个或多个状态为缺省和/或关闭的 受控端口置为打开状态;当认证通过的移动站点的数量超过预设的下限时, 可将一个或多个状态为打开的受控端口置为缺省。
当受控端口为缺省时,若认证结果为认证通过,则允许业务数据通过, 若认证结果为认证未通过,则不允许业务数据通过。
步骤403:不允许该业务凄t据通过。
权利要求
1、一种基于端口的无线局域网接入控制方法,包括接入点记录各受控端口的状态,当接入点收到移动站点发来的业务数据后,若已启动所述移动站点的接入认证,且对应受控端口的状态为缺省时,则当认证结果为认证通过时允许所述业务数据通过所述受控端口,当认证结果为认证未通过时不允许所述业务数据通过所述受控端口。
2、 如权利要求1所述的方法,其特征在于当接入点收到移动站点发来的业务数据后,若已启动所述移动站点的接 入认证,且对应受控端口的状态为关闭时,不允许所述业务数据通过所述受 控端口,若已启动所述移动站点的接入认证,且对应受控端口的状态为打开 时,允许所述业务数据通过所述受控端口 。
3、 如权利要求1所述的方法,其特征在于当接入点收到移动站点发来的业务数据后,若未启动所述移动站点的接 入认证,则不允许所述业务数据通过所述受控端口 。
4、 如权利要求2所述的方法,其特征在于当认证通过的移动站点的数量小于预设的下限时,将一个或多个状态为 缺省和/或关闭的受控端口置为打开状态;当认证通过的移动站点的数量超 过预设的上限时,关闭 一个或多个状态为缺省和/或打开的受控端口 。
5、 如权利要求1所述的方法,其特征在于接入点向移动站点发送业务数据前先发送认证请求,所述接入点收到认 证请求后判断是否启动该移动站点的接入认证,若启动则通过非受控端口发 送至认证处理者,所述认证处理者将该认证请求转发至认证服务器,认证服 务器进行认证处理后向所述接入点返回认证结果,接入点保存所述认证结 果;若未启动则不对该认证请求进行处理。
6、 一种基于端口的无线局域网接入控制系统,包括移动站点及接入点, 其特征在于所述移动站点用于向接入点发送业务数据;所述接入点用于记录各受控端口的状态,以及收到移动站点发来的业务 数据后,若该移动站点的接入认证已启动,且对应受控端口的状态为缺省时, 则当认证结果为认证通过时允许所述业务数据通过所述受控端口 ,当认证结 果为认证未通过时不允许所述业务数据通过所述受控端口 。
7、 如权利要求6所述的系统,其特征在于所述接入点还用于收到业务数据后,判断是否启动该移动站点的接入认 证,若未启动时,则不允许所述业务数据通过所述受控端口。
8、 如权利要求6所述的系统,其特征在于所述接入点还用于收到业务数据后,若该移动站点的接入认证已启动, 且所述受控端口的状态为打开时,允许所述业务数据通过所述受控端口 ,若 该移动站点的接入认证已启动,且所述受控端口的状态为关闭时,不允许所 述业务lt据通过所述受控端口 。
9、 如权利要求8所述的系统,其特征在于接入点还用于当认证通过的移动站点的数量小于预设的下限时,将一个 或多个状态为缺省和/或关闭的受控端口置为打开状态;以及当认证通过的 移动站点的数量超过预设的上限时,将一个或多个状态为缺省和/或打开的 受控端口置为关闭状态。
10、 如权利要求9所述的系统,其特征在于 所述系统还包括认证服务器;移动站点还用于向接入点发送认证请求;所述接入点包括认证处理者;所述认证处理者用于当所述移动站点的接入认证已启动时,通过非受控 端口接收所述认证请求,并将所述认证请求发送至认证服务器;所述认证服务器用于对认证请求进行认证处理,并将认证结果返回给接 入点;所述接入点还用于保存所述认证结果。
全文摘要
本发明提供一种基于端口的无线局域网接入控制系统及方法,该方法包括接入点记录各受控端口的状态,当接入点收到移动站点发来的业务数据后,若已启动所述移动站点的接入认证,且对应受控端口的状态为缺省时,则当认证结果为认证通过时允许所述业务数据通过所述受控端口,当认证结果为认证未通过时不允许所述业务数据通过所述受控端口。采用本发明,可以灵活控制针对移动站点的认证过程,防止非法用户接入网络占用无线资源,实际认证过程可以根据需要采用不同认证方案。
文档编号H04W48/00GK101516091SQ20091013196
公开日2009年8月26日 申请日期2009年3月27日 优先权日2009年3月27日
发明者建 刘 申请人:建 刘