一種對無線區域網內用戶進行隔離的方法
2023-08-13 16:24:16 1
專利名稱:一種對無線區域網內用戶進行隔離的方法
技術領域:
本發明主要涉及基於IEEE 802.11標準的無線區域網WLAN(WirelessLAN)通信領域,尤其涉及一種對無線區域網WLAN內用戶進行隔離的方法。
如圖3所示,基於上述的分布系統DS,在許多公共場所或熱點地區,如機場、酒店、會議中心等,接入服務提供商或電信運營商可以將該分布系統DS的出口集中到某個接入控制器4上,然後再由路由器5接入網際網路,部署公共無線接入網絡,為用戶提供無線上網服務。這樣,無線訪問點(AP)1覆蓋下的無線用戶站點2通過其接入的無線訪問點1,經過分布系統DS總線3,再由出口處的接入控制器4通過路由器5連到網際網路上,從而實現無線上網。
現有的所有無線訪問點(AP)1設備在上述無線上網系統中,充當了兩個角色一是實現了基本服務集BSS無線覆蓋單元中無線用戶站點間通信的中繼轉發功能,如圖4所示,單線程單元STA-1要將數據包發送給單線程單元STA-2,首先單線程單元STA-1將數據包發送給無線訪問點1,無線訪問點1內的無線網卡6中存有關聯表7,關聯表7中存有單線程單元STA-1和STA-2的對應關係,然後調用無線網卡6中的BSS中繼轉發模塊8,把所接收到的數據包送至單線程單元STA-2,然後再反向發送「確認」消息給STA-1;二是做無線用戶站點2接入分布系統DS過程中的透明網橋,如圖5所示,單線程單元STA-1要將數據包發送給單線程單元STA-2的過程中,首先STA-1把數據包發送至其接入的無線訪問點A,通過無線訪問點A中的網橋學習表模塊9進行查找,再通過分布系統DS接入無線訪問點B,通過無線訪問點B中的網橋學習表模塊10進行信息核實,再發送給單線程單元STA-2,然後STA-2再反向發送「確認」消息給STA-1。在接入服務提供商或電信運營商為無線用戶提供無線上網服務時,其實並不希望在分布系統DS內上網的用戶之間直接進行數據傳輸,以便保護用戶計算機數據資源,提高通信安全性。
為使用戶在無線上網時,禁止用戶間的直接數據通信,我們需要禁止無線訪問點(AP)1在基本服務集BSS內部的中繼轉發功能,同時不允許分布系統DS內的所有無線用戶直接相互通信。由於無線訪問點(AP)1的中繼轉發功能是IEEE802.11的標準功能,而且是在IEEE802.11 MAC晶片的固件(Firmware)中實現的,而目前主要的無線訪問點(AP)1設備製造商並不具備修改IEEE802.11 MAC晶片固件的能力,同時也並不希望IEEE802.11 MAC晶片刪除中繼轉發這個功能,因此需要採取其它辦法解決這個問題。
本發明的技術方案如下(1)首先在IEEE 802.11 MAC晶片的驅動程序中設置將原來由IEEE802.11 MAC晶片固件直接轉發的符合IEEE 802.11協議的無線數據包都發送到無線訪問點AP的網橋模塊中進行處理;(2)無線訪問點AP的網橋模塊在接收到無線數據包後,查詢對應於該數據包的目的MAC地址的無線網橋轉發表項,看該數據包的目的MAC地址是否在相同的無線訪問點AP埠上,如果在則將該數據包丟棄掉不予處理;(3)在無線訪問點AP的網橋模塊中創建MAC數據包過濾表,針對收到的每個無線數據包,都通過查詢該數據包過濾表,按順序檢索出與之匹配的「規則」,然後按照該表項查找出與該「規則」相對應的「處理方法」,做出相應的處理。
無線訪問點AP的網橋模塊接收到的每個數據包都包括源地址和目的MAC地址的信息,如果是從IEEE 802.11無線接口收到的數據包,還要包括接收埠號。
無線訪問點AP的網橋模塊接收的數據包要保證是從無線訪問點AP的埠接收進來的。
無線訪問點AP的網橋模塊在接收到無線數據包後,查詢對應於該數據包的目的MAC地址的無線網橋轉發表項,看該數據包的目的MAC地址是否在相同的無線訪問點AP埠上,如果在則將該數據包丟棄掉不予處理是通過在無線訪問點AP的無線網橋模塊實現幀過濾的函數中添加一段代碼來實現,而且運行期間可以動態配置為開和關狀態。
所述的MAC數據包過濾表主要包括由用戶制定的數據過濾靜態表,表中的每一項都對應著一條「匹配規則」,以及一個「處理方法」。
所述的「匹配規則」是MAC源地址匹配、MAC目的地址匹配、IP源地址匹配、IP目的地址匹配、TCP協議匹配、UDP協議匹配、數據輸入埠匹配、數據輸出埠匹配、其他特殊匹配中一項或多項的組合。
上述所述的「處理方法」包括有對數據包的接收、轉發和丟棄等操作。
通過使用上述的採用二層防火牆機制的隔離方法,可以禁止通過同一分布系統DS內的無線訪問點AP上網的無線用戶站點之間直接進行數據通信,從而實現對無線用戶的隔離,提高通信安全性;而且還可以進行二層的數據包過濾和轉發,實現二層防火牆的功能。
圖4是無線訪問點的中繼轉發功能示意圖;圖5是無線訪問點的透明網橋功能示意圖;圖6是本發明方法實現的流程圖;圖7是本發明實現二層防火牆機制的一個簡單示例。
如圖6所示,在步驟100中,為了不讓IEEE 802.11 MAC晶片的固件直接轉發基本服務集BSS內無線用戶間的通信數據包,需要在IEEE 802.11 MAC晶片的驅動程序中進行設置將所有的符合802.11協議的數據包都發送到無線訪問點AP的網橋模塊中進行處理,而不是由802.11 MAC固件採用原來的方法直接進行轉發。而目前,所有的IEEE 802.11 MAC晶片的驅動程序中都能設置該項功能,而且所有得無線訪問點AP也都必須採用無線透明網橋模塊,因此這就保證了該發明實現的前提。
在步驟110中,其中無線訪問點AP的網橋模塊收到的每個數據包都包括源地址和目的MAC地址的信息,如果是從IEEE 802.11無線接口接收到的數據包,還將得到接收埠號。要阻止將來自單線程單元STA1的數據包從無線訪問點AP埠接收後,再通過同一無線訪問點AP的埠發送到單線程單元STA2中,只需要在保證接收到的數據包是從無線訪問點AP埠進來的情況下,查詢該無線訪問點AP的802.11無線網卡中的對應於該數據包的目的MAC地址的無線網橋轉發表項,在步驟120中看此目的MAC地址和該數據包的源地址是否在相同的無線訪問點AP埠上,如果在則轉到步驟130,將該數據包丟棄掉不予處理。這樣,在基本服務集BSS內部的無線用戶間進行通信的數據包都無法通過同一個無線訪問點AP發送到目標用戶。這個功能的實現可以通過在無線訪問點AP的無線網橋模塊的幀過濾函數中添加一段代碼來實現,而且在運行期間可以動態設置無線訪問點AP的中繼轉發功能為開或關狀態。
在步驟120中如果此數據包的源地址和目的MAC地址不在相同的無線訪問點AP埠上則轉到步驟140,進一步查詢無線訪問點AP無線網橋模塊中的MAC數據包過濾表,檢索出與這個數據包特徵匹配的「規則」,如表中沒有則使用預設規則,然後按照該表項對應的「處理方法」做出相應的處理。如該數據包的源MAC地址和目的MAC地址的接入控制器的埠號相同,則做出的相應處理為丟棄該數據包,如果不相同則做轉發處理。
在無線訪問點AP的無線網橋模塊中創建更為複雜的MAC數據包過濾表機制,即「第二層無線防火牆」,用來禁止在同一分布系統DS下的不同無線站點間直接進行數據通信。在這一媒體訪問控制MAC數據包過濾系統中,關鍵是要有三個要素表、規則和處理;其中表是指用戶定製的數據包過濾靜態表,表中的每一項都對應著一條「匹配規則」,而每一項「匹配規則」又都對應著一個相應的「處理方法」。其中匹配規則可以是下面的一種或多種組合媒體訪問控制MAC源地址匹配、MAC目的地址匹配、網際網路協議IP源地址匹配、IP目的地址匹配、傳輸控制協議TCP協議匹配、用戶數據報協議UDP協議匹配、數據輸入埠匹配、數據輸出埠匹配、其他特殊匹配中一項或多項的組合。其中與上述的「匹配規則」對應的處理方法有接收、轉發、丟棄的等。
如在公共無線接入網絡中,為防止同一分布系統DS中的不同無線用戶站點間直接進行數據通信,在MAC數據包過濾表中可以添加一項「AP可轉發到AP埠的數據,其數據源地址MAC地址必須是無線網絡出口處的接入控制設備的MAC地址;而由AP埠接收到的無線數據目的MAC地址必須是無線網絡出口處的接入控制設備的MAC地址」的匹配規則,而對應該匹配規則的處理方法是「丟棄」,則當一個符合此匹配規則的數據包,既由一個接入控制器進行中繼的數據包,經過無線訪問點AP轉發時,則無線訪問點AP會丟棄此數據包,不予轉發。利用這個方法就可以通過無線訪問點AP中網橋模塊的MAC數據包過濾表過濾掉無線用戶之間的直接數據通信,從而就實現了對無線用戶的隔離。
將這個MAC數據包過濾表用於無線用戶站點間的第二層隔離,還有一個重要的特性,因為表中的各項是依照順序生效的,這種特性可以用來達到一般和特殊要求的統一。例如,如果系統希望只有特定MAC地址或IP位址的計算機用戶才可以訪問到這個無線訪問點AP的WEB配置頁面,則可以通過在MAC數據包過濾表中增加一項匹配規則為「要求源地址匹配給定的MAC或IP位址,目的地址匹配AP本身的地址,目的埠匹配80(HTTP)」,而對應此匹配項的處理方法是「接收」;然後再在表後添加一項,「源地址任意,目的地址匹配AP本身地址,目的埠匹配80(HTTP)」,對應此項的處理方法為「丟棄」。如果用戶確實是從特定的計算機終端登錄無線訪問點AP配置頁面的,則第一條規則生效,不再檢索第二條規則,數據包被接收處理;而如果用戶從其它計算機終端試圖訪問這個無線訪問點AP配置頁面,其發起的連接請求數據包不匹配第一條規則,卻匹配第二條規則,按照該規則處理,應該將此請求數據包丟棄掉。這種功能和一般的IP層防火牆很相似,但由於其是在二層上實現的,因此是一種「二層防火牆」。
其中二層防火牆的數據包過濾表根據實際應用需求,實現起來難易程度也不同。如圖7是二層防火牆對基於無線區域網的用戶隔離的一個簡單示例,其中並不涉及複雜的規則和方法,而是只基於MAC地址控制數據包的傳輸方向。無線訪問點通過這種方法,可以實現同一個AP內部和不同AP之間的無線用戶數據隔離。
首先,在無線訪問點AP中建立一張MAC控制表,每一張MAC控制表都包括(1)目的MAC地址指明無線站點2隻能訪問到的MAC地址;(2)允許/禁止標誌控制無線站點2到該MAC地址通信的開啟和關閉。
如果此時接入無線訪問點AP的用戶隔離模式打開,當從站點-2有上行數據通過AP時(無線埠—有線埠),AP先根據數據包的目的MAC地址從MAC控制表12中查找該地址表項。如果沒有,則將數據包丟棄;如果有該MAC地址表項,且允許/禁止標誌是「允許」,則從AP的網橋學習表中查找該目的MAC地址的埠號,將該數據包發往該MAC地址所在的AP埠。
同樣在用戶隔離模式打開的情況下,當有下行數據通過AP要發往無線站點-1時(有線埠—無線埠),AP先從網橋學習表中檢查數據包目的MAC地址的埠號,如果網橋學習表中沒有該目的MAC地址,或目的MAC地址的埠號是有線埠,則將數據包丟棄;如果目的MAC地址的埠號是無線埠,則繼續檢查該數據包的源MAC地址,並從MAC控制表11中查找該地址表項。如果沒有該表項,則將數據包丟棄;如果有該MAC地址表項,且允許/禁止標誌是「允許」,則將該數據包發往無線埠,從而將數據包發送到無線站點-1。
圖7中描述的是無線訪問點AP需要進行用戶隔離時的典型應用。此時在MAC控制表中添加接入控制器4的MAC地址表項,並將其打開,則無線訪問點AP覆蓋下的所有無線用戶都只能通過接入控制器4上網,而無法訪問到其它無線站點了。如果在區域網內還有其它公共伺服器允許用戶訪問的話,也可以在MAC控制表中添加該伺服器MAC地址表項,以便用戶訪問一些公共資源。
二層防火牆基於不同的實現,會有許多更加複雜和有用的安全功能。但基本原則都是對MAC數據包使用各種預定義規則和方法,控制數據包的流向,來達到數據安全的目的。由於對數據包在二層就進行過濾和處理,而不必到三層或更高層再進行數據過濾,因此二層防火牆能更加有效的對用戶數據進行隔離,並能減小網絡負擔。
權利要求
1.一種對無線區域網內用戶進行隔離的方法,其特徵在於,實現步驟如下(1)首先在IEEE 802.11 MAC晶片的驅動程序中設置將原來由IEEE802.11 MAC晶片固件直接轉發的符合IEEE 802.11協議的無線數據包都發送到無線訪問點AP的網橋模塊中進行處理;(2)無線訪問點AP的網橋模塊在接收到無線數據包後,查詢對應於該數據包的目的MAC地址的無線網橋轉發表項,看該數據包的目的MAC地址是否在相同的無線訪問點AP埠上,如果在則將該數據包丟棄掉不予處理;(3)在無線訪問點AP的網橋模塊中創建MAC數據包過濾表,針對收到的每個無線數據包,都通過查詢該數據包過濾表,按順序檢索出與之匹配的「規則」,然後按照該表項查找出與該「規則」相對應的「處理方法」,做出相應的處理。
2.根據權利要求1所述的對無線區域網內用戶進行隔離的方法,其特徵在於,無線訪問點AP的網橋模塊接收到的每個數據包都包括源地址和目的MAC地址的信息,如果是從IEEE 802.11無線接口收到的數據包,還要包括接收埠號。
3.根據權利要求1所述的對無線區域網內用戶進行隔離的方法,其特徵在於,無線訪問點AP的網橋模塊接收的數據包要保證是從無線訪問點AP的埠接收進來的。
4.根據權利要求1所述的對無線區域網內用戶進行隔離的方法,其特徵在於,無線訪問點AP的網橋模塊在接收到無線數據包後,查詢對應於該數據包的目的MAC地址的無線網橋轉發表項,看該數據包的目的MAC地址是否在相同的無線訪問點AP埠上,如果在則將該數據包丟棄掉不予處理是通過在無線訪問點AP的無線網橋模塊實現幀過濾的函數中添加一段代碼來實現,而且運行期間可以動態配置為開和關狀態。
5.根據權利要求1所述的對無線區域網內用戶進行隔離的方法,其特徵在於,所述的MAC數據包過濾表主要包括由用戶制定的數據過濾靜態表,表中的每一項都對應著一條「匹配規則」,以及一個「處理方法」。
6.根據權利要求5所述的對無線區域網內用戶進行隔離的方法,其特徵在於,所述的「匹配規則」是MAC源地址匹配、MAC目的地址匹配、IP源地址匹配、IP目的地址匹配、TCP協議匹配、UDP協議匹配、數據輸入埠匹配、數據輸出埠匹配、其他特殊匹配中一項或多項的組合。
7.根據權利要求5所述的對無線區域網內用戶進行隔離的方法,其特徵在於,所述的「處理方法」包括有對數據包的接收、轉發、丟棄。
全文摘要
本發明公開了一種對無線區域網內用戶進行隔離的方法,該方法首先將本來由IEEE802.11MAC固件實現中繼轉發的無線數據包都發送到無線訪問點的無線網橋模塊,然後判斷收到的數據包的源地址和目的MAC地址信息,根據網橋轉發表項,以及MAC數據包過濾表項決定是否轉發或丟棄該數據包,實現對同一分布系統DS內無線用戶的隔離。該方法採用了一種二層無線防火牆機制,不但可以用於無線用戶隔離,還可以通過規則匹配和處理方法定義來過濾和轉發MAC數據包,實現防火牆的功能。
文檔編號H04L9/00GK1414742SQ02153730
公開日2003年4月30日 申請日期2002年12月3日 優先權日2002年12月3日
發明者王煒, 魏慶新, 石磊 申請人:北京朗通環球科技有限公司