专利名称:可实现无线局域网空中接口差异化接入控制的方法和系统的制作方法
技术领域:
本发明涉及无线局域网接入,特别涉及可实现无线局域网空中接口差异化接入控 制的方法和系统。
背景技术:
无线局域网(WLAN)是计算机网络与无线通信技术相结合的产物。它利用射频 (RF)技术,取代旧式的双绞铜线构成局域网络,提供传统有线局域网的所有功能,网络所需 的基础设施不需再埋在地下或隐藏在墙里,也能够随需移动或变化。使得无线局域网络能 利用简单的存取构架让用户透过它,达到“信息随身化、便利走天下”的理想境界。WLAN是 20世纪90年代计算机与无线通信技术相结合的产物,它使用无线信道来接入网络,为通信 的移动化,个人化和多媒体应用提供了潜在的手段,并成为宽带接入的有效手段之一。在无线局域网环境中,有一些进行数据发送和接收的设备,称为接入点(AP)。通 常,一个AP能够在几十至上百米的范围内连接多个无线用户。在同时具有有线和无线网络 的情况下,AP可以通过标准的Ethernet电缆与传统的有线网络相联,作为无线网络和有线 网络的连接点。无线局域网的终端用户可通过无线网卡等访问网络。近年来,无线局域网WLAN的发展为企业和政府部门构建网络平台提供了新的手 段,主要应用于以下几个方面首先,企业和政府机构中增加WLAN设备可以为用户提供更 好的移动性、灵活性和扩展性;其次,在难以重新布线的办公区提供快速而经济有效的局域 网接入;最后,无线网桥可用于为远程站点和用户提供局域网接入。但是,当企业的信息主 管期望WLAN能无线延伸企业应用、降低网络部署成本、提高劳动生产率的同时,WLAN的安 全问题随着应用的深入而日益凸现,并成为企业采用WLAN的主要瓶颈。WLAN的工作频段主要是无须许可的公用无线频段,无绳电话、私人无线电甚至微 波炉都会对其形成干扰,而且由于无线电波的开放性,任何人都能监听到信道中无线数据 的传输。沃达丰空中通讯与Verizon合资公司的副总裁吉姆·斯特雷特针对WLAN安全问 题早已发出警告“如果有人在传统的移动通信网络中制造干扰,法律会赶走这些人。但如 果有人进入没有许可的频谱进行干扰和偷窥,他就能为所欲为。,,面对WLAN的安全隐患,投 资者陷入困惑。对企业和政府机构来说,相对于灵活、方便和经济等优点,对网络安全的需求显然 是更为重要的,是第一位的。因为企业网和政府网上所承载的信息流和数据是非常重要的, 对安全性、可靠性的要求极高一方面,许多内部信息直接涉及到企业的核心机密和政府的 政策机密,一旦泄漏后果不堪设想;另一方面,如果非法用户篡改了企业或政府的内部流通 的信息,利用虚假信息进行欺骗,也必将造成巨大的损失。因此,安全建设就成为企业网和 政府网建设的必然选择和基本保证。 一般来讲,WLAN中的数据传输是利用无线电波在空气中进行辐射传播,因此只要 在APAP覆盖的范围内,所有的无线终端都有可能接收到无线信号,AP无法将无线信号定向 到一个特定的接收设备上,非法用户可以在存在无线信号的任何地方,包括停车场、办公室附近的街道上发起对网络的攻击,因此无线的安全保密问题就显得尤为突出。在某些程度 上WLAN的安全也阻碍了该技术在企业和政府机构网络内部的应用。WLAN的安全问题目前越来越受到人们的关注,如何在充分保证网络安全的情况, 将WLAN应用到企业和政府机构中,发挥其灵活、快捷、高效和经济的特点,提升企业价值、 降低成本,提高政府服务效率和水平,已成为WLAN应用中必须面对的课题。尤其在国内, WLAN最有应用潜力的是企业和政府用户,相应的安全问题也就成为WLAN产业发展要解决 的头等大事。针对一般性的无线局域网安全问题,IEEE标准组织先后提出了 TOP、WPA等解决方 案,均存在一定的安全漏洞,而我国无线局域网的国家标准GB15629. 11采用了 WAPI的三元 对等访问控制技术,基本解决了无线局域网通信中的保密通信和准入控制问题。但在不论 是国标还是IS0/IEC或IEEE得标准体系中考虑更多是安全框架性的问题,对于在无线局域 网行业应用中的差异性接入控制如何实现等没有涉足。也就是说目前的国内外WLAN接入 控制都是以是否可以接入作为唯一判定,缺乏种类各异的接入控制手段及对网络拥塞时的 准入控制,对于实际应用而言远远不足。
发明内容
本发明的目的是提供一种可实现无线局域网空中接口差异化接入控制的方法。本发明的另一个目的是提供一种可实现无线局域网空中接口差异化接入控制的 系统。根据第一方面,本发明的实现无线局域网空中接口差异化接入的控制方法包括以 下步骤用户终端向AP发出接入请求;AP收到所述接入请求后,通过把用户身份信息和AP身份信息发送给管理服务器 激活身份认证过程;管理服务器鉴别所述用户身份信息和AP身份信息,然后将鉴别信息回送给AP;AP根据鉴别结果进行接入控制;AP与被允许接入的用户终端进行密钥协商和数据通信。根据第二方面,本发明的实现无线局域网空中接口差异化接入的控制方法包括以 下步骤用户终端向AP发出含有用户身份信息的接入请求;AP收到所述接入请求后,将用户身份信息和AP身份信息打包,然后经由网络将其 发送给管理服务器;管理服务器收到所述用户身份信息和AP身份信息后,通过对其进行合法性和差 异性鉴别,生成认证结果,然后将所生成的认证结果回送给所述AP ;AP收到所述认证结果后,依据所述认证结果进行差异化接入控制。其中所述认证结果包含接入代码,接入代码又分为允许接入代码和拒绝接入 代码。其中所述AP在收到所述认证结果后,将认证结果转发给用户终端,并且执行以下 步骤
当所述接入代码为允许接入代码时,打开AP的数据通信端口,然后通过与用户终 端进行密钥协商进行数据通信;以及当所述接入代码为拒绝接入代码时,中止与所述用户终端的联系。其中当管理服务器收到用户身份信息和AP身份信息后,通过以下步骤生成认证
结果 当所述用户终端和AP的身份之一或两者为非法时,生成包含拒绝接入代码的认 证结果;或者当用户终端和AP的身份都合法时,进行用户终端和AP的身份比较,其中当用户终 端级别低于AP级别时,生成包含拒绝接入代码的认证结果,反之则生成包含允许接入代码 的认证结果。其中管理服务器通过从数据库中查找预先保存的相应的用户身份信息和AP身份 信息,判断所接收的用户终端和AP的身份是否合法。其中管理服务器通过对保存在数据库中的用户终端级别与AP级别进行比较,完 成所述用户终端和AP的身份比较。根据第三方面,本发明的可实现无线局域网空中接口差异化接入的系统包括用户 终端、AP、以太网交换器、公共网、管理服务器和3A服务器,其中用户终端向AP发出含有用户身份信息的接入请求;AP收到所述接入请求后,将用户身份信息和AP身份信息打包,然后经由太网交换 器和公共网将其发送给管理服务器;管理服务器收到所述用户身份信息和AP身份信息后,通过对其进行合法性和差 异性鉴别,生成认证结果,然后将所生成的认证结果经由太网交换器和公共网回送给所述 AP ;AP收到所述认证结果后,依据所述认证结果进行差异化接入控制。其中所述AP在收到所述认证结果后,将认证结果转发给用户终端,并且执行以下 步骤当认证结果中的接入代码为允许接入代码时,打开AP的数据通信端口,然后通过 与用户终端进行密钥协商进行数据通信;以及当认证结果中的接入代码为拒绝接入代码时,中止与所述用户终端的联系。其中当管理服务器收到用户身份信息和AP身份信息后,通过以下方式生成认证
结果a)从服务器数据库中查找预先保存的相应的用户身份信息和AP身份信息,判断 所述用户终端和AP的身份是否合法,当判断用户终端和AP之一或两者的身份非法时,生 成包含拒绝接入代码的认证结果,或者当判断用户终端和AP的身份都为合法时,执行步骤 b);b)对保存在服务器数据库中的用户终端级别与AP级别进行比较,当用户终端级 别低于AP级别时,生成包含拒绝接入代码的认证结果,以及当用户终端级别等于或高于AP 级别时,生成包含允许接入代码的认证结果。本技术发明解决了无线局域网用户终端在接入无线局域网接入点时的差异化接 入问题,即在合法性判定的同时也要决定什么级别的用户可以接入什么级别的网络,从而实现差异化的接入控制。 下面结合附图对本发明的细节进行详细说明。
图1是本发明的可实现无线局域网空中接口差异化接入的通信系统。图2是本发明的实现无线局域网空中接口差异化接入控制的流程图。
具体实施例方式本发明通过在GB15629. 11标准体系的证书管理库中增加用户级别和设备级别的 属性,使得后台的管理控制服务器可进行合法性和各用户终端差异性进行比较。当新用户 终端接入时,根据用户和AP的级别进行差异化接入控制。图1显示了本发明的可实现无线局域网空中接口差异化接入的通信系统,该系统 包括用户终端1、无线接入点(以下简称AP) 2、以太网交换器3、公共网4、管理服务器5和 3A服务器6。其中用户终端是具有无线网卡的计算机、手机或PDA。用户终端1经由AP接 入数据网如互联网。本发明的特点在于用户终端1与AP2在进行传统的密钥协商之前,必须进行差异 化处理,因此本发明的可以实现无线局域网空中接口差异化接入的控制方法包括以下步 骤用户终端1首先向AP2发出接入请求,通过发出接入请求上传用户身份信息如用 户数字证书;AP2收到所述接入请求后,通过把用户身份信息和AP身份信息(如AP数字证书) 发送给管理服务器5激活身份认证过程;在身份认证过程中,首先由管理服务器5鉴别所述用户身份信息和AP身份信息, 然后将鉴别信息回送给AP2;AP2根据鉴别结果进行接入控制;AP2与被允许接入的用户终端1进行密钥协商和数据通信。图2显示了本发明的具体控制方法的流程图,在图2中,STA代表用户终端1,AP 代表AP2,AS代表管理服务器5。如图2所示,本发明的实现无线局域网空中接口差异化接入的具体控制方法包括 以下步骤用户终端1向AP2发出含有用户身份信息的接入请求;AP2收到所述接入请求后,将用户身份信息和AP身份信息打包,然后经由网络将 其发送给管理服务器5 ;管理服务器5收到所述用户身份信息和AP身份信息后,通过对其进行合法性和差 异性鉴别,生成认证结果,然后将所生成的认证结果回送给所述AP2 ;AP2收到所述认证结果后,依据所述认证结果进行差异化接入控制。管理服务器5所生成的认证结果包括接入代码分,接入代码又分为允许接入代码 和拒绝接入代码。AP2在收到所述认证结果后,首先将认证结果转发给用户终端1,然后执行以下步骤当所述接入代码为允许接入代码时,打开AP的数据通信端口,接着通过与用户终 端1进行密钥协商进行数据通信;以及当所述接入代码为拒绝接入代码时,中止与所述用户终端1的联系。当管理服务器5收到用户身份信息和AP身份信息后,通过以下步骤生成认证结 果当所述用户终端和AP的身份之一或两者为非法时,生成包含拒绝接入代码的认 证结果;或者当用户终端和AP的身份都合法时,进行用户终端和AP的身份比较,其中当用户终 端级别低于AP级别时,生成包含拒绝接入代码的认证结果,反之则生成包含允许接入代码 的认证结果。其中管理服务器5通过从数据库中查找预先保存的相应的用户身份信息和AP身 份信息,判断所接收的用户终端和AP的身份是否合法。其中管理服务器5通过对保存在数据库中的用户终端级别与AP级别进行比较,完 成所述用户终端和AP的身份比较。管理服务器5建有完善的用户数据库和网络设备数据库,它采取如下判断规则对 用户终端身份和AP身份进行鉴别i.用户身份或AP设备身份中一个或两个都非法,返回相应拒绝接入结果代码。ii.用户身份和AP身份都合法,但用户的级别低于AP设备级别,返回相应拒绝接 入结果代码。iii.用户身份和AP身份合法,且用户级别等于或高于AP级别,返回允许接入结果 代码。具体地说,当管理服务器5收到用户身份信息和AP身份信息后,通过以下方式生 成认证结果a)从服务器数据库中查找预先保存的相应的用户身份信息和AP身份信息,判断 所述用户终端和AP的身份是否合法,当判断用户终端和AP之一或两者的身份非法时,生 成包含拒绝接入代码的认证结果,或者当判断用户终端和AP的身份都为合法时,执行步骤 b);b)对保存在服务器数据库中的用户终端级别和AP级别进行比较,当用户终端级 别低于AP级别时,生成包含拒绝接入代码的认证结果,以及当用户终端级别等于或高于AP 级别时,生成包含允许接入代码的认证结果。一般来说,如果数据库中有关用户终端1和AP2的身份信息列入黑名单中,则判断 为非法,此外,如果不能在数据库中查找到与用户终端1和AP2上传的身份信息相对应的信 息,也判断为非法。用户终端级别和AP级别是在注册时确定和保存在管理服务器数据库中的,在其 注册表中列有身份信息和相应级别。
根据上述方法,本发明还提供了一种可实现无线局域网空中接口差异化接入的系 统,它包括图1所示的用户终端1、AP2、以太网交换器3、公共网4、管理服务器5和3A服务 器6,其中
用户终端1向AP2发出含有用户身份信息的接入请求;AP2收到所述接入请求后,将用户身份信息和AP身份信息打包,然后经由太网交 换器3和公共网4将其发送给管理服务器5 ;管理服务器5收到所述用户身份信息和AP身份信息后,通过对其进行合法性和差 异性鉴别,生成认证结果,然后将所生成的认证结果经由太网交换器3和公共网4回送给所 述 AP2 ;AP2收到所述认证结果后,依据所述认证结果进行差异化接入控制。 其中,AP2在收到所述认证结果后,将认证结果转发给用户终端1,并且执行以下 步骤当认证结果中的接入代码为允许接入代码时,打开AP的数据通信端口,然后通过 与用户终端进行密钥协商进行数据通信;以及当认证结果中的接入代码为拒绝接入代码时,中止与所述用户终端的联系。其中当管理服务器5收到用户身份信息和AP身份信息后,通过以下方式生成认证
结果a)从服务器数据库中查找预先保存的相应的用户身份信息和AP身份信息,判断 所述用户终端和AP的身份是否合法,当判断用户终端和AP之一或两者的身份非法时,生 成包含拒绝接入代码的认证结果,或者当判断用户终端和AP的身份都为合法时,执行步骤 b);b)对保存在服务器数据库中的用户终端级别与AP级别进行比较,当用户终端级 别低于AP级别时,生成包含拒绝接入代码的认证结果,以及当用户终端级别等于或高于AP 级别时,生成包含允许接入代码的认证结果。GB15629. 11系列国家标准颁布以来,应用更多是在部分公众网络区域,WAPI技术 的安全性没有得以完全的体现,在更加注重安全的行业中,仅仅依靠加密和准入控制不能 形成完整解决方案。本发明通过考虑无线局域网用户终端在接入无线局域网接入点时的差异化,即在 合法性判定的同时也要决定什么级别的用户可以接入什么级别的网络,从而可以分级控制 用户终端的无线接入,降低了网络拥塞情况。尽管上文对本发明进行了详细说明,但是本发明不限于此,本技术领域技术人员 可以根据本发明的原理进行各种修改。因此,凡按照本发明原理所作的修改,都应当理解为 落入本发明的保护范围。
权利要求
一种实现无线局域网空中接口差异化接入的控制方法,包括以下步骤用户终端(1)向AP(2)发出接入请求;AP(2)收到所述接入请求后,通过把用户身份信息和AP身份信息发送给管理服务器(5)激活身份认证过程;管理服务器(5)鉴别所述用户身份信息和AP身份信息,然后将鉴别信息回送给AP(2);AP(2)根据鉴别结果进行接入控制;AP(2)与被允许接入的用户终端(1)进行密钥协商和数据通信。
2.一种实现无线局域网空中接口差异化接入的控制方法,包括以下步骤 用户终端(1)向AP(2)发出含有用户身份信息的接入请求;AP(2)收到所述接入请求后,将用户身份信息和AP身份信息打包,然后经由网络将其 发送给管理服务器(5);管理服务器(5)收到所述用户身份信息和AP身份信息后,通过对其进行合法性和差异 性鉴别,生成认证结果,然后将所生成的认证结果回送给所述AP(2);AP (2)收到所述认证结果后,依据所述认证结果进行差异化接入控制。
3.根据权利要求2所述的方法,其中所述认证结果包含接入代码,接入代码又分为允 许接入代码和拒绝接入代码。
4.根据权利要求2或3所述的方法,其中所述AP(2)在收到所述认证结果后,将认证结 果转发给用户终端(1),并且执行以下步骤当所述接入代码为允许接入代码时,打开AP的数据通信端口,然后通过与用户终端 (1)进行密钥协商进行数据通信;以及当所述接入代码为拒绝接入代码时,中止与所述用户终端(1)的联系。
5.根据权利要求2所述的方法,其中当管理服务器(5)收到用户身份信息和AP身份信 息后,通过以下步骤生成认证结果当所述用户终端和AP的身份之一或两者为非法时,生成包含拒绝接入代码的认证结 果;或者当用户终端和AP的身份都合法时,进行用户终端和AP的身份比较,其中当用户终端级 别低于AP级别时,生成包含拒绝接入代码的认证结果,反之则生成包含允许接入代码的认 证结果。
6.根据权利要求5所述的方法,其中管理服务器(5)通过从数据库中查找预先保存的 相应的用户身份信息和AP身份信息,判断所接收的用户终端和AP的身份是否合法。
7.根据权利要求5所述的方法,其中管理服务器(5)通过对保存在数据库中的用户终 端级别与AP级别进行比较,完成所述用户终端和AP的身份比较。
8.一种可实现无线局域网空中接口差异化接入的系统,包括用户终端(1)、AP(2)、以 太网交换器(3)、公共网(4)、管理服务器(5)和3A服务器(6),其中用户终端(1)向AP(2)发出含有用户身份信息的接入请求;AP(2)收到所述接入请求后,将用户身份信息和AP身份信息打包,然后经由太网交换 器(3)和公共网(4)将其发送给管理服务器(5);管理服务器(5)收到所述用户身份信息和AP身份信息后,通过对其进行合法性和差异性鉴别,生成认证结果,然后将所生成的认证结果经由太网交换器(3)和公共网(4)回送给 所述AP (2);AP (2)收到所述认证结果后,依据所述认证结果进行差异化接入控制。
9.根据权利要求8所述的系统,其中所述AP(2)在收到所述认证结果后,将认证结果转 发给用户终端(1),并且执行以下步骤当认证结果中的接入代码为允许接入代码时,打开AP的数据通信端口,然后通过与用 户终端进行密钥协商进行数据通信;以及当认证结果中的接入代码为拒绝接入代码时,中止与所述用户终端的联系。
10.根据权利要求8或9所述的系统,其中当管理服务器(5)收到用户身份信息和AP 身份信息后,通过以下方式生成认证结果a)从服务器数据库中查找预先保存的相应的用户身份信息和AP身份信息,判断所述 用户终端和AP的身份是否合法,当判断用户终端和AP之一或两者的身份非法时,生成包含 拒绝接入代码的认证结果,或者当判断用户终端和AP的身份都为合法时,执行步骤b);b)对保存在服务器数据库中的用户终端级别与AP级别进行比较,当用户终端级别低 于AP级别时,生成包含拒绝接入代码的认证结果,以及当用户终端级别等于或高于AP级别 时,生成包含允许接入代码的认证结果。
全文摘要
本发明公开了实现无线局域网空中接口差异化接入的控制方法和系统,所述方法包括用户终端向AP发出接入请求;AP收到所述接入请求后,通过把用户身份信息和AP身份信息发送给管理服务器激活身份认证过程;管理服务器鉴别所述用户身份信息和AP身份信息,然后将鉴别信息回送给AP;AP根据鉴别结果进行接入控制;AP与被允许接入的用户终端进行密钥协商和数据通信。
文档编号H04W12/06GK101990206SQ20091016240
公开日2011年3月23日 申请日期2009年8月3日 优先权日2009年8月3日
发明者秦志强 申请人:秦志强