可實現無線區域網空中接口差異化接入控制的方法和系統的製作方法

2023-07-18 07:50:41

專利名稱：可實現無線區域網空中接口差異化接入控制的方法和系統的製作方法
技術領域：
本發明涉及無線區域網接入，特別涉及可實現無線區域網空中接口差異化接入控 制的方法和系統。
背景技術：
無線區域網(WLAN)是計算機網絡與無線通信技術相結合的產物。它利用射頻 (RF)技術，取代舊式的雙絞銅線構成區域網路，提供傳統有線區域網的所有功能，網絡所需 的基礎設施不需再埋在地下或隱藏在牆裡，也能夠隨需移動或變化。使得無線區域網路能 利用簡單的存取構架讓用戶透過它，達到「信息隨身化、便利走天下」的理想境界。WLAN是 20世紀90年代計算機與無線通信技術相結合的產物，它使用無線信道來接入網絡，為通信 的移動化，個人化和多媒體應用提供了潛在的手段，並成為寬帶接入的有效手段之一。在無線區域網環境中，有一些進行數據發送和接收的設備，稱為接入點(AP)。通 常，一個AP能夠在幾十至上百米的範圍內連接多個無線用戶。在同時具有有線和無線網絡 的情況下，AP可以通過標準的Ethernet電纜與傳統的有線網絡相聯，作為無線網絡和有線 網絡的連接點。無線區域網的終端用戶可通過無線網卡等訪問網絡。近年來，無線區域網WLAN的發展為企業和政府部門構建網絡平臺提供了新的手 段，主要應用於以下幾個方面首先，企業和政府機構中增加WLAN設備可以為用戶提供更 好的移動性、靈活性和擴展性；其次，在難以重新布線的辦公區提供快速而經濟有效的局域 網接入；最後，無線網橋可用於為遠程站點和用戶提供區域網接入。但是，當企業的信息主 管期望WLAN能無線延伸企業應用、降低網絡部署成本、提高勞動生產率的同時，WLAN的安 全問題隨著應用的深入而日益凸現，並成為企業採用WLAN的主要瓶頸。WLAN的工作頻段主要是無須許可的公用無線頻段，無繩電話、私人無線電甚至微 波爐都會對其形成幹擾，而且由於無線電波的開放性，任何人都能監聽到信道中無線數據 的傳輸。沃達豐空中通訊與Verizon合資公司的副總裁吉姆·斯特雷特針對WLAN安全問 題早已發出警告「如果有人在傳統的移動通信網絡中製造幹擾，法律會趕走這些人。但如 果有人進入沒有許可的頻譜進行幹擾和偷窺，他就能為所欲為。，，面對WLAN的安全隱患，投 資者陷入困惑。對企業和政府機構來說，相對於靈活、方便和經濟等優點，對網絡安全的需求顯然 是更為重要的，是第一位的。因為企業網和政府網上所承載的信息流和數據是非常重要的， 對安全性、可靠性的要求極高一方面，許多內部信息直接涉及到企業的核心機密和政府的 政策機密，一旦洩漏後果不堪設想；另一方面，如果非法用戶篡改了企業或政府的內部流通 的信息，利用虛假信息進行欺騙，也必將造成巨大的損失。因此，安全建設就成為企業網和 政府網建設的必然選擇和基本保證。 一般來講，WLAN中的數據傳輸是利用無線電波在空氣中進行輻射傳播，因此只要 在APAP覆蓋的範圍內，所有的無線終端都有可能接收到無線信號，AP無法將無線信號定向 到一個特定的接收設備上，非法用戶可以在存在無線信號的任何地方，包括停車場、辦公室附近的街道上發起對網絡的攻擊，因此無線的安全保密問題就顯得尤為突出。在某些程度 上WLAN的安全也阻礙了該技術在企業和政府機構網絡內部的應用。WLAN的安全問題目前越來越受到人們的關注，如何在充分保證網絡安全的情況， 將WLAN應用到企業和政府機構中，發揮其靈活、快捷、高效和經濟的特點，提升企業價值、 降低成本，提高政府服務效率和水平，已成為WLAN應用中必須面對的課題。尤其在國內， WLAN最有應用潛力的是企業和政府用戶，相應的安全問題也就成為WLAN產業發展要解決 的頭等大事。針對一般性的無線區域網安全問題，IEEE標準組織先後提出了 TOP、WPA等解決方 案，均存在一定的安全漏洞，而我國無線區域網的國家標準GB15629. 11採用了 WAPI的三元 對等訪問控制技術，基本解決了無線區域網通信中的保密通信和準入控制問題。但在不論 是國標還是IS0/IEC或IEEE得標準體系中考慮更多是安全框架性的問題，對於在無線局域 網行業應用中的差異性接入控制如何實現等沒有涉足。也就是說目前的國內外WLAN接入 控制都是以是否可以接入作為唯一判定，缺乏種類各異的接入控制手段及對網絡擁塞時的 準入控制，對於實際應用而言遠遠不足。

發明內容
本發明的目的是提供一種可實現無線區域網空中接口差異化接入控制的方法。本發明的另一個目的是提供一種可實現無線區域網空中接口差異化接入控制的 系統。根據第一方面，本發明的實現無線區域網空中接口差異化接入的控制方法包括以 下步驟用戶終端向AP發出接入請求；AP收到所述接入請求後，通過把用戶身份信息和AP身份信息發送給管理伺服器 激活身份認證過程；管理伺服器鑑別所述用戶身份信息和AP身份信息，然後將鑑別信息回送給AP;AP根據鑑別結果進行接入控制；AP與被允許接入的用戶終端進行密鑰協商和數據通信。根據第二方面，本發明的實現無線區域網空中接口差異化接入的控制方法包括以 下步驟用戶終端向AP發出含有用戶身份信息的接入請求；AP收到所述接入請求後，將用戶身份信息和AP身份信息打包，然後經由網絡將其 發送給管理伺服器；管理伺服器收到所述用戶身份信息和AP身份信息後，通過對其進行合法性和差 異性鑑別，生成認證結果，然後將所生成的認證結果回送給所述AP ；AP收到所述認證結果後，依據所述認證結果進行差異化接入控制。其中所述認證結果包含接入代碼，接入代碼又分為允許接入代碼和拒絕接入 代碼。其中所述AP在收到所述認證結果後，將認證結果轉發給用戶終端，並且執行以下 步驟
當所述接入代碼為允許接入代碼時，打開AP的數據通信埠，然後通過與用戶終 端進行密鑰協商進行數據通信；以及當所述接入代碼為拒絕接入代碼時，中止與所述用戶終端的聯繫。其中當管理伺服器收到用戶身份信息和AP身份信息後，通過以下步驟生成認證
結果 當所述用戶終端和AP的身份之一或兩者為非法時，生成包含拒絕接入代碼的認 證結果；或者當用戶終端和AP的身份都合法時，進行用戶終端和AP的身份比較，其中當用戶終 端級別低於AP級別時，生成包含拒絕接入代碼的認證結果，反之則生成包含允許接入代碼 的認證結果。其中管理伺服器通過從資料庫中查找預先保存的相應的用戶身份信息和AP身份 信息，判斷所接收的用戶終端和AP的身份是否合法。其中管理伺服器通過對保存在資料庫中的用戶終端級別與AP級別進行比較，完 成所述用戶終端和AP的身份比較。根據第三方面，本發明的可實現無線區域網空中接口差異化接入的系統包括用戶 終端、AP、乙太網交換器、公共網、管理伺服器和3A伺服器，其中用戶終端向AP發出含有用戶身份信息的接入請求；AP收到所述接入請求後，將用戶身份信息和AP身份信息打包，然後經由太網交換 器和公共網將其發送給管理伺服器；管理伺服器收到所述用戶身份信息和AP身份信息後，通過對其進行合法性和差 異性鑑別，生成認證結果，然後將所生成的認證結果經由太網交換器和公共網回送給所述 AP ；AP收到所述認證結果後，依據所述認證結果進行差異化接入控制。其中所述AP在收到所述認證結果後，將認證結果轉發給用戶終端，並且執行以下 步驟當認證結果中的接入代碼為允許接入代碼時，打開AP的數據通信埠，然後通過 與用戶終端進行密鑰協商進行數據通信；以及當認證結果中的接入代碼為拒絕接入代碼時，中止與所述用戶終端的聯繫。其中當管理伺服器收到用戶身份信息和AP身份信息後，通過以下方式生成認證
結果a)從伺服器資料庫中查找預先保存的相應的用戶身份信息和AP身份信息，判斷 所述用戶終端和AP的身份是否合法，當判斷用戶終端和AP之一或兩者的身份非法時，生 成包含拒絕接入代碼的認證結果，或者當判斷用戶終端和AP的身份都為合法時，執行步驟 b)；b)對保存在伺服器資料庫中的用戶終端級別與AP級別進行比較，當用戶終端級 別低於AP級別時，生成包含拒絕接入代碼的認證結果，以及當用戶終端級別等於或高於AP 級別時，生成包含允許接入代碼的認證結果。本技術發明解決了無線區域網用戶終端在接入無線區域網接入點時的差異化接 入問題，即在合法性判定的同時也要決定什麼級別的用戶可以接入什麼級別的網絡，從而實現差異化的接入控制。 下面結合附圖對本發明的細節進行詳細說明。


圖1是本發明的可實現無線區域網空中接口差異化接入的通信系統。圖2是本發明的實現無線區域網空中接口差異化接入控制的流程圖。
具體實施例方式本發明通過在GB15629. 11標準體系的證書管理庫中增加用戶級別和設備級別的 屬性，使得後臺的管理控制伺服器可進行合法性和各用戶終端差異性進行比較。當新用戶 終端接入時，根據用戶和AP的級別進行差異化接入控制。圖1顯示了本發明的可實現無線區域網空中接口差異化接入的通信系統，該系統 包括用戶終端1、無線接入點(以下簡稱AP) 2、乙太網交換器3、公共網4、管理伺服器5和 3A伺服器6。其中用戶終端是具有無線網卡的計算機、手機或PDA。用戶終端1經由AP接 入數據網如網際網路。本發明的特點在於用戶終端1與AP2在進行傳統的密鑰協商之前，必須進行差異 化處理，因此本發明的可以實現無線區域網空中接口差異化接入的控制方法包括以下步 驟用戶終端1首先向AP2發出接入請求，通過發出接入請求上傳用戶身份信息如用 戶數字證書；AP2收到所述接入請求後，通過把用戶身份信息和AP身份信息(如AP數字證書) 發送給管理伺服器5激活身份認證過程；在身份認證過程中，首先由管理伺服器5鑑別所述用戶身份信息和AP身份信息， 然後將鑑別信息回送給AP2;AP2根據鑑別結果進行接入控制；AP2與被允許接入的用戶終端1進行密鑰協商和數據通信。圖2顯示了本發明的具體控制方法的流程圖，在圖2中，STA代表用戶終端1，AP 代表AP2，AS代表管理伺服器5。如圖2所示，本發明的實現無線區域網空中接口差異化接入的具體控制方法包括 以下步驟用戶終端1向AP2發出含有用戶身份信息的接入請求；AP2收到所述接入請求後，將用戶身份信息和AP身份信息打包，然後經由網絡將 其發送給管理伺服器5 ；管理伺服器5收到所述用戶身份信息和AP身份信息後，通過對其進行合法性和差 異性鑑別，生成認證結果，然後將所生成的認證結果回送給所述AP2 ；AP2收到所述認證結果後，依據所述認證結果進行差異化接入控制。管理伺服器5所生成的認證結果包括接入代碼分，接入代碼又分為允許接入代碼 和拒絕接入代碼。AP2在收到所述認證結果後，首先將認證結果轉發給用戶終端1，然後執行以下步驟當所述接入代碼為允許接入代碼時，打開AP的數據通信埠，接著通過與用戶終 端1進行密鑰協商進行數據通信；以及當所述接入代碼為拒絕接入代碼時，中止與所述用戶終端1的聯繫。當管理伺服器5收到用戶身份信息和AP身份信息後，通過以下步驟生成認證結 果當所述用戶終端和AP的身份之一或兩者為非法時，生成包含拒絕接入代碼的認 證結果；或者當用戶終端和AP的身份都合法時，進行用戶終端和AP的身份比較，其中當用戶終 端級別低於AP級別時，生成包含拒絕接入代碼的認證結果，反之則生成包含允許接入代碼 的認證結果。其中管理伺服器5通過從資料庫中查找預先保存的相應的用戶身份信息和AP身 份信息，判斷所接收的用戶終端和AP的身份是否合法。其中管理伺服器5通過對保存在資料庫中的用戶終端級別與AP級別進行比較，完 成所述用戶終端和AP的身份比較。管理伺服器5建有完善的用戶資料庫和網絡設備資料庫，它採取如下判斷規則對 用戶終端身份和AP身份進行鑑別i.用戶身份或AP設備身份中一個或兩個都非法，返回相應拒絕接入結果代碼。ii.用戶身份和AP身份都合法，但用戶的級別低於AP設備級別，返回相應拒絕接 入結果代碼。iii.用戶身份和AP身份合法，且用戶級別等於或高於AP級別，返回允許接入結果 代碼。具體地說，當管理伺服器5收到用戶身份信息和AP身份信息後，通過以下方式生 成認證結果a)從伺服器資料庫中查找預先保存的相應的用戶身份信息和AP身份信息，判斷 所述用戶終端和AP的身份是否合法，當判斷用戶終端和AP之一或兩者的身份非法時，生 成包含拒絕接入代碼的認證結果，或者當判斷用戶終端和AP的身份都為合法時，執行步驟 b)；b)對保存在伺服器資料庫中的用戶終端級別和AP級別進行比較，當用戶終端級 別低於AP級別時，生成包含拒絕接入代碼的認證結果，以及當用戶終端級別等於或高於AP 級別時，生成包含允許接入代碼的認證結果。一般來說，如果資料庫中有關用戶終端1和AP2的身份信息列入黑名單中，則判斷 為非法，此外，如果不能在資料庫中查找到與用戶終端1和AP2上傳的身份信息相對應的信 息，也判斷為非法。用戶終端級別和AP級別是在註冊時確定和保存在管理伺服器資料庫中的，在其 註冊表中列有身份信息和相應級別。
根據上述方法，本發明還提供了一種可實現無線區域網空中接口差異化接入的系 統，它包括圖1所示的用戶終端1、AP2、乙太網交換器3、公共網4、管理伺服器5和3A服務 器6，其中
用戶終端1向AP2發出含有用戶身份信息的接入請求；AP2收到所述接入請求後，將用戶身份信息和AP身份信息打包，然後經由太網交 換器3和公共網4將其發送給管理伺服器5 ；管理伺服器5收到所述用戶身份信息和AP身份信息後，通過對其進行合法性和差 異性鑑別，生成認證結果，然後將所生成的認證結果經由太網交換器3和公共網4回送給所 述 AP2 ；AP2收到所述認證結果後，依據所述認證結果進行差異化接入控制。 其中，AP2在收到所述認證結果後，將認證結果轉發給用戶終端1，並且執行以下 步驟當認證結果中的接入代碼為允許接入代碼時，打開AP的數據通信埠，然後通過 與用戶終端進行密鑰協商進行數據通信；以及當認證結果中的接入代碼為拒絕接入代碼時，中止與所述用戶終端的聯繫。其中當管理伺服器5收到用戶身份信息和AP身份信息後，通過以下方式生成認證
結果a)從伺服器資料庫中查找預先保存的相應的用戶身份信息和AP身份信息，判斷 所述用戶終端和AP的身份是否合法，當判斷用戶終端和AP之一或兩者的身份非法時，生 成包含拒絕接入代碼的認證結果，或者當判斷用戶終端和AP的身份都為合法時，執行步驟 b)；b)對保存在伺服器資料庫中的用戶終端級別與AP級別進行比較，當用戶終端級 別低於AP級別時，生成包含拒絕接入代碼的認證結果，以及當用戶終端級別等於或高於AP 級別時，生成包含允許接入代碼的認證結果。GB15629. 11系列國家標準頒布以來，應用更多是在部分公眾網絡區域，WAPI技術 的安全性沒有得以完全的體現，在更加注重安全的行業中，僅僅依靠加密和準入控制不能 形成完整解決方案。本發明通過考慮無線區域網用戶終端在接入無線區域網接入點時的差異化，即在 合法性判定的同時也要決定什麼級別的用戶可以接入什麼級別的網絡，從而可以分級控制 用戶終端的無線接入，降低了網絡擁塞情況。儘管上文對本發明進行了詳細說明，但是本發明不限於此，本技術領域技術人員 可以根據本發明的原理進行各種修改。因此，凡按照本發明原理所作的修改，都應當理解為 落入本發明的保護範圍。
權利要求
一種實現無線區域網空中接口差異化接入的控制方法，包括以下步驟用戶終端(1)向AP(2)發出接入請求；AP(2)收到所述接入請求後，通過把用戶身份信息和AP身份信息發送給管理伺服器(5)激活身份認證過程；管理伺服器(5)鑑別所述用戶身份信息和AP身份信息，然後將鑑別信息回送給AP(2)；AP(2)根據鑑別結果進行接入控制；AP(2)與被允許接入的用戶終端(1)進行密鑰協商和數據通信。
2.一種實現無線區域網空中接口差異化接入的控制方法，包括以下步驟 用戶終端(1)向AP(2)發出含有用戶身份信息的接入請求；AP(2)收到所述接入請求後，將用戶身份信息和AP身份信息打包，然後經由網絡將其 發送給管理伺服器(5)；管理伺服器(5)收到所述用戶身份信息和AP身份信息後，通過對其進行合法性和差異 性鑑別，生成認證結果，然後將所生成的認證結果回送給所述AP(2)；AP (2)收到所述認證結果後，依據所述認證結果進行差異化接入控制。
3.根據權利要求2所述的方法，其中所述認證結果包含接入代碼，接入代碼又分為允 許接入代碼和拒絕接入代碼。
4.根據權利要求2或3所述的方法，其中所述AP(2)在收到所述認證結果後，將認證結 果轉發給用戶終端(1)，並且執行以下步驟當所述接入代碼為允許接入代碼時，打開AP的數據通信埠，然後通過與用戶終端 (1)進行密鑰協商進行數據通信；以及當所述接入代碼為拒絕接入代碼時，中止與所述用戶終端(1)的聯繫。
5.根據權利要求2所述的方法，其中當管理伺服器(5)收到用戶身份信息和AP身份信 息後，通過以下步驟生成認證結果當所述用戶終端和AP的身份之一或兩者為非法時，生成包含拒絕接入代碼的認證結 果；或者當用戶終端和AP的身份都合法時，進行用戶終端和AP的身份比較，其中當用戶終端級 別低於AP級別時，生成包含拒絕接入代碼的認證結果，反之則生成包含允許接入代碼的認 證結果。
6.根據權利要求5所述的方法，其中管理伺服器(5)通過從資料庫中查找預先保存的 相應的用戶身份信息和AP身份信息，判斷所接收的用戶終端和AP的身份是否合法。
7.根據權利要求5所述的方法，其中管理伺服器(5)通過對保存在資料庫中的用戶終 端級別與AP級別進行比較，完成所述用戶終端和AP的身份比較。
8.一種可實現無線區域網空中接口差異化接入的系統，包括用戶終端(1)、AP(2)、以 太網交換器(3)、公共網(4)、管理伺服器(5)和3A伺服器(6)，其中用戶終端(1)向AP(2)發出含有用戶身份信息的接入請求；AP(2)收到所述接入請求後，將用戶身份信息和AP身份信息打包，然後經由太網交換 器(3)和公共網(4)將其發送給管理伺服器(5)；管理伺服器(5)收到所述用戶身份信息和AP身份信息後，通過對其進行合法性和差異性鑑別，生成認證結果，然後將所生成的認證結果經由太網交換器(3)和公共網(4)回送給 所述AP (2)；AP (2)收到所述認證結果後，依據所述認證結果進行差異化接入控制。
9.根據權利要求8所述的系統，其中所述AP(2)在收到所述認證結果後，將認證結果轉 發給用戶終端(1)，並且執行以下步驟當認證結果中的接入代碼為允許接入代碼時，打開AP的數據通信埠，然後通過與用 戶終端進行密鑰協商進行數據通信；以及當認證結果中的接入代碼為拒絕接入代碼時，中止與所述用戶終端的聯繫。
10.根據權利要求8或9所述的系統，其中當管理伺服器(5)收到用戶身份信息和AP 身份信息後，通過以下方式生成認證結果a)從伺服器資料庫中查找預先保存的相應的用戶身份信息和AP身份信息，判斷所述 用戶終端和AP的身份是否合法，當判斷用戶終端和AP之一或兩者的身份非法時，生成包含 拒絕接入代碼的認證結果，或者當判斷用戶終端和AP的身份都為合法時，執行步驟b)；b)對保存在伺服器資料庫中的用戶終端級別與AP級別進行比較，當用戶終端級別低 於AP級別時，生成包含拒絕接入代碼的認證結果，以及當用戶終端級別等於或高於AP級別 時，生成包含允許接入代碼的認證結果。
全文摘要
本發明公開了實現無線區域網空中接口差異化接入的控制方法和系統，所述方法包括用戶終端向AP發出接入請求；AP收到所述接入請求後，通過把用戶身份信息和AP身份信息發送給管理伺服器激活身份認證過程；管理伺服器鑑別所述用戶身份信息和AP身份信息，然後將鑑別信息回送給AP；AP根據鑑別結果進行接入控制；AP與被允許接入的用戶終端進行密鑰協商和數據通信。
文檔編號H04W12/06GK101990206SQ20091016240
公開日2011年3月23日 申請日期2009年8月3日 優先權日2009年8月3日
發明者秦志強 申請人:秦志強