一种无线访问控制器中访问控制列表实现方法和系统的制作方法

专利名称：一种无线访问控制器中访问控制列表实现方法和系统的制作方法
技术领域：
本发明涉及无线通信领域，具体涉及ー种无线访问控制器中访问控制列表实现方法和系统。
背景技术：
随着无线局域网在我国大規模部署和应用，满足了人们对于无线上网的需求.但是无线网络上也存在着ー些不安全因素，加上运营商对用户上网流量和时长等的控制需求，因此需要无线访问控制器上实现访问控制列表来对无线上网用户进行访问控制和保护。通用交換机上附帯有访问控制列表功能，由于交换机仅作为一个交换设备并不能保证对所在无线网络中所有上网用户和访问点进行监控.这不利于对上网用户和访问点的控制。可见，通用交換机上实现访问控制有一定的局限性，不能完全满足移动运营商的需要，需要进行改迸。

发明内容
本发明的目的是提供一种无线访问控制器中访问控制列表实现方法和系统，以满足目前对无线上网用户和访问点进行控制和保护的需求。本发明提供一种无线访问控制器中访问控制列表实现方法，包括步骤截获用户上网的数据，并对所述数据进行解析；配置访问控制规则；根据解析结果、数据目的地和所配置的访问控制规则将所述数据丢弃、传送给无线控制器上层应用处理、或进行转发。本发明的一种无线访问控制器中访问控制列表实现方法，还包括以下步骤将所 述数据加工成以太网帧的格式。本发明的一种无线访问控制器中访问控制列表实现方法，进ー步包括以下步骤将所述以太网帧按照以太网类型、MAC地址、IP地址、协议类型和端口号进行解析。本发明的一种无线访问控制器中访问控制列表实现方法，进ー步包括以下步骤使用访问配置装置配置访问控制规则，并将访问控制规则以规则列表的形式传送给存储装置。本发明还提供一种实现无线访问控制器中访问控制列表的系统，包括用于截获用户上网的数据捕获単元、用于解析数据的数据解析単元、用于配置访问控制规则的访问配置単元，以及用于对所述数据根据解析结果、数据目的地和所配置的访问控制规则进行处理的访问控制单元；其中，所述数据捕获单元、数据解析单元、数据处理单元和访问控制单元依次连接；所述数据捕获单元将捕获的数据发送给所述数据解析単元；所述数据解析单元将数据解析后发送给所述数据处理单元；所述数据处理单元根据所述访问控制规则调用所述访问控制单元的接ロ。本发明的一种实现无线访问控制器中访问控制列表的系统，还包括存储单元，其中，所述存储単元分别与所述访问配置単元和所述数据处理单元连接，所述访问配置単元将所述访问控制规则所形成的规则列表发送给所述访问存储単元，所述数据处理单元访问所述存储単元中的规则列表。本发明的一种实现无线访问控制器中访问控制列表的系统，所述数据被加工成以太网帧的格式。本发明的一种实现无线访问控制器中访问控制列表的系统，所述以太网帧被解析成以太网类型、MAC地址、IP地址、协议类型和端口号。本发明的一种实现无线访问控制器中访问控制列表的系统，所述解析単元的工作流程包括下列步骤10 :数据解析単元接收数据捕获单元发送的以太网帧；11 :解析単元从太网帧头解析出以太网类型、源MAC和目的MAC地址；12 :解析单元从IP头解析出IP地址、上层协议类型；13 :判断协议类型，如果是TCP或UDP类型则转到步骤14 ;否则转到步骤
15；14 :解析出应用层端口号，如果是则转到15 ；15:将解析结果发送给数据处理单元。 本发明的一种实现无线访问控制器中访问控制列表的系统，所述数据处理单元的工作流程包括以下步骤16:数据处理単元接收数据解析単元的解析结果；17:查询以太网类型访问控制列表；18:匹配到则转到27 ;否则，转到19 ；19:查询MAC地址访问控制列表；20:匹配到则转到27 ;否则，转到21 ;21:查询IP地址访问控制列表；22:匹配到则转到27 ；否则，转到23 ；23:查询协议类型访问控制列表；24:匹配到则转到27 ;否则，转到25 ；25:查询端口号访问控制列表；26:匹配到则转到27 ;否则，转到27 ；27:将处理结果发送给访问控制模块。本发明的一种实现无线访问控制器中访问控制列表的系统，所述访问控制单元处理所述数据的方式包括将所述数据丢弃、传送给无线控制器上层应用处理、或进行转发。本发明的技术效果在于，通过在无线控制器中用户上网数据进行控制，通过事先配置好的访问控制列表规则来匹配用户上网数据报文中字段信息的方法来对用户和访问点实现访问控制，能够对无线访问控制器管理的所有上网用户和访问点进行监控和防护，同现有技术相比更切合实际应用场景，更安全高效和快捷实用。本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。下面通过附图和实施例，对本发明的技术方案做进ー步的详细描述。


附图用来提供对本发明的进ー步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明，并不构成对本发明的限制。在附图中
图I是本发明具体实施方式
一的结构方框 图2是本发明具体实施方式
一中数据解析単元的工作流程 图3是本发明具体实施方式
一数据处理単元的工作流程图。其中，100—数据捕获单元；200—数据解析单元；300—数据处理单元；400—访问配置单元；500—访问存储单元；600—访问控制单元。
具体实施例方式以下结合附图对本发明的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本发明，并不用于限定本发明。本发明提供一种无线访问控制器中访问控制列表实现方法，包括步骤截获用户上网的数据，并对所述数据进行解析；配置访问控制规则；根据解析结果、数据目的地和所配置的访问控制规则将所述数据丢弃、传送给无线控制器上层应用处理、或进行转发。本发明还提供一种实现无线访问控制器中访问控制列表的系统，包括用于截获用户上网的数据捕获単元、用于解析数据的数据解析単元、用于配置访问控制规则的访问配置単元，以及用于对所述数据根据解析结果、数据目的地和所配置的访问控制规则进行处理的访问控制单元；其中，所述数据捕获单元、数据解析单元、数据处理单元和访问控制单元依次连接；所述数据捕获单元将捕获的数据发送给所述数据解析単元；所述数据解析单元将数据解析后发送给所述数据处理单元；所述数据处理单元根据所述访问控制规则调用所述访问控制单元的接ロ。 以下将结合说明书附图，详细描述本发明。如图I所示,数据捕获单元100，数据解析单元200，数据处理单元300和访问控制单元600依次连接；访问配置单元400、访问存储单元500和数据处理单元300依次连接。其中，数据捕获単元100负责截获用户上网的数据，并将以太网帧发给数据解析单元200 ；
数据解析単元200负责对报文的以太网类型、MAC地址、IP地址、协议类型、端口号等进行解析，并将解析的结果发给数据处理单元300 ；
数据处理単元300负责根据访问存储单元400中存储的访问控制列表对数据解析単元200发来的数据进行分析和处理，依据处理结果调用访问控制単元600提供的接ロ决定该对用户数据执行的动作；
访问配置単元400负责配置访问控制列表，并将规则列表下发给访问存储単元500 ； 访问存储单元500负责存储访问控制列表来提供给数据处理单元300查询；
访问控制単元600负责根据数据处理单元300的处理结果和数据目的地来决定数据是被丢弃，是给无线控制器上层应用处理，还是转发出去。如图2所示，解析単元的工作流程包括下列步骤
10:数据解析単元接收数据捕获单元发送的以太网帧；
11:解析单元从太网帧头解析出以太网类型、源MAC和目的MAC地址；
12:解析单元从IP头解析出IP地址、上层协议类型；
13:判断协议类型，如果是TCP或UDP类型则转到步骤14 ;否则转到步骤15 ；
14:解析出应用层端口号，如果是则转到15 ；
15:将解析结果发送给数据处理单元。如图3所示，数据处理単元的工作流程包括以下步骤
16:数据处理単元接收数据解析単元的解析结果；
17:查询以太网类型访问控制列表；
18:匹配到则转到27 ;否则，转到19 ；
19:查询MAC地址访问控制列表；20:匹配到则转到27 ;否则，转到21 ；
21:查询IP地址访问控制列表；
22:匹配到则转到27 ;否则，转到23 ;
23:查询协议类型访问控制列表；
24:匹配到则转到27 ;否则，转到25 ;
25:查询端口号访问控制列表；
26:匹配到则转到27 ;否则，转到27 ；
27:将处理结果发送给访问控制模块。
本发明的技术效果在于，通过在无线控制器中用户上网数据进行控制，通过事先配置好的访问控制列表规则来匹配用户上网数据报文中字段信息的方法来对用户和访问点实现访问控制，能够对无线访问控制器管理的所有上网用户和访问点进行监控和防护，同现有技术相比更切合实际应用场景，更安全高效和快捷实用。综上所述，在本发明中，采用所述的ー种无线访问控制器中访问控制列表实现方法和系统，能够对对无线访问控制器管理的所有上网用户和访问点进行有效监控和防护，既保证对用户和访问点的合法性检测，提高用户感知，同时又尽可能地提高无线访问控制器防御恶意攻击的能力，提升无线业务的质量。
权利要求
1.一种无线访问控制器中访问控制列表实现方法，其特征在于，包括步骤 截获用户上网的数据，并对所述数据进行解析； 配置访问控制规则； 根据解析结果、数据目的地和所配置的访问控制规则将所述数据丢弃、传送给无线控制器上层应用处理、或进行转发。
2.如权利要求I所述的方法，其特征在于，还包括以下步骤 将所述数据加工成以太网帧的格式。
3.如权利要求2所述的方法，其特征在干，进ー步包括以下步骤 将所述以太网帧按照以太网类型、MAC地址、IP地址、协议类型和端口号进行解析。
4.如权利要求I或2所述的方法，其特征在干，进ー步包括以下步骤 使用访问配置装置配置访问控制规则，并将访问控制规则以规则列表的形式传送给存储装置。
5.一种实现无线访问控制器中访问控制列表的系统，其特征在于，包括用于截获用户上网的数据捕获単元、用于解析数据的数据解析単元、用于配置访问控制规则的访问配置単元，以及用于对所述数据根据解析结果、数据目的地和所配置的访问控制规则进行处理的访问控制单元； 其中，所述数据捕获单元、数据解析单元、数据处理单元和访问控制单元依次连接；所述数据捕获单元将捕获的数据发送给所述数据解析単元；所述数据解析単元将数据解析后发送给所述数据处理单元；所述数据处理单元根据所述访问控制规则调用所述访问控制单元的接ロ。
6.如权利要求5所述的系统，其特征在于，还包括存储单元，其中， 所述存储単元分别与所述访问配置単元和所述数据处理单元连接，所述访问配置単元将所述访问控制规则所形成的规则列表发送给所述访问存储单元，所述数据处理单元访问所述存储単元中的规则列表。
7.如权利要求5或6所述的系统，其特征在于，所述数据被加工成以太网帧的格式。
8.如权利要求7所述的系统，其特征在于，所述解析単元的工作流程包括下列步骤 10:数据解析単元接收数据捕获单元发送的以太网帧； 11:解析单元从太网帧头解析出以太网类型、源MAC和目的MAC地址； 12:解析单元从IP头解析出IP地址、上层协议类型； 13:判断协议类型，如果是TCP或UDP类型则转到步骤14 ;否则转到步骤15 ； 14:解析出应用层端口号，如果是则转到15 ； 15:将解析结果发送给数据处理单元。
9.如权利要求7所述的系统，其特征在干，所述数据处理单元的工作流程包括以下步骤 16:数据处理単元接收数据解析単元的解析结果； 17:查询以太网类型访问控制列表； 18:匹配到则转到27 ;否则，转到19 ； 19:查询MAC地址访问控制列表； 20:匹配到则转到27 ;否则，转到21 ；21:查询IP地址访问控制列表； 22:匹配到则转到27 ;否则，转到23 ； 23:查询协议类型访问控制列表； 24:匹配到则转到27 ;否则，转到25 ； 25:查询端口号访问控制列表； 26:匹配到则转到27 ;否则，转到27 ； 27:将处理结果发送给访问控制模块。
10.如权利要求5或6所述的系统，其特征在于，所述访问控制单元处理所述数据的方式包括将所述数据丢弃、传送给无线控制器上层应用处理、或进行转发。
全文摘要
本发明公开了一种无线访问控制器中访问控制列表实现方法和系统，方法包括步骤截获用户上网的数据，并对所述数据进行解析；配置访问控制规则；根据解析结果、数据目的地和所配置的访问控制规则将所述数据进行处理。系统包括数据捕获单元、数据解析单元、访问配置单元，以及访问控制单元；其中，所述数据捕获单元、数据解析单元、数据处理单元和访问控制单元依次连接；所述数据捕获单元将捕获的数据发送给所述数据解析单元；所述数据解析单元将数据解析后发送给所述数据处理单元；所述数据处理单元根据所述访问控制规则调用所述访问控制单元的接口。采用了本发明的技术方案，能够对无线访问控制器管理的所有上网用户和访问点进行监控和防护。
文档编号H04L29/06GK102833227SQ20121023861
公开日2012年12月19日 申请日期2012年7月11日 优先权日2012年7月11日
发明者隗中霞 申请人:武汉虹信通信技术有限责任公司