一種基於埠的無線區域網接入控制系統及方法
2023-05-23 21:51:01 1
專利名稱:一種基於埠的無線區域網接入控制系統及方法
技術領域:
本發明涉及無線通信領域,具體涉及一種基於埠的無線區域網接入控 制系統及方法。
背景技術:
無線區域網(Wireless Local Area Network,即WLAN)指的是基於 IEEE802.il協議系列的無線網絡,無線區域網用接入點充當中心站來覆蓋某 一區域,以無線方式連4^、控制區域內的移動站點,以構成區域網,移動站 點只與4妻入點連接,移動站點與外部網絡以及移動站點之間的通訊,均通過 衝妄入點完成。
隨著無線區域網在電信網上大規模開展,服務提供者需要對用戶的接入 進行控制和配置,對埠加以控制以實現用戶級的4妻入控制,以阻止未4受4又 用戶接入網絡,佔用合法用戶的網絡資源。
發明內容
本發明要解決的技術問題是提供一種基於埠的無線區域網接入控制 系統及方法,可有效防止非法用戶接入網絡佔用無線資源。
為了解決上述問題,本發明提供了一種基於埠的無線區域網接入控制 方法,包括接入點記錄各受控埠的狀態,當接入點收到移動站點發來的 業務數據後,若已啟動所述移動站點的接入認證,且對應受控埠的狀態為 預設時,則當認證結果為認證通過時允許所述業務數據通過所述受控埠 , 當認證結果為認證未通過時不允許所述業務數據通過所述受控埠 。
進一步地,當接入點收到移動站點發來的業務數據後,若已啟動所述移 動站點的接入認證,且對應受控埠的狀態為關閉時,不允許所述業務數據通過所述受控埠,若已啟動所述移動站點的接入認證,且對應受控埠的 狀態為打開時,允許所述業務數據通過所述受控埠。
進一步地,當接入點收到移動站點發來的業務數據後,若未啟動所述移 動站點的接入認證,則不允許所述業務數據通過所述受控埠 。
進一步地,當認證通過的移動站點的數量小於預設的下限時,將一個或
多個狀態為預設和/或關閉的受控埠置為打開狀態;當認證通過的移動站 點的數量超過預設的上限時,關閉 一個或多個狀態為預設和/或打開的受控 埠。
進一步地,接入點向移動站點發送業務數據前先發送認證請求,所述接 入點收到認證請求後判斷是否啟動該移動站點的接入認證,若啟動則通過非 受控埠發送至認證處理者,所述認證處理者將該認證請求轉發至認證服務 器,認證伺服器進行認證處理後向所述接入點返回認證結果,接入點保存所 述認證結果;若未啟動則不對該認證請求進行處理。
本發明還提供一種基於埠的無線區域網接入控制系統,包括移動站點 及接入點,所述移動站點用於向接入點發送業務數據;
所述接入點用於記錄各受控埠的狀態,以及收到移動站點發來的業務 數據後,若該移動站點的接入認證已啟動,且對應受控埠的狀態為預設時, 則當認證結果為認證通過時允許所述業務數據通過所述受控埠 ,當認證結 果為認證未通過時不允許所述業務數據通過所述受控埠 。
進一步地,所述接入點還用於收到業務數據後,判斷是否啟動該移動站 點的接入認證,若未啟動時,則不允許所述業務數據通過所述受控埠。
進一步地,所述接入點還用於收到業務數據後,若該移動站點的接入認 證已啟動,且所述受控埠的狀態為打開時,允許所述業務數據通過所述受 控埠 ,若該移動站點的接入認證已啟動,且所述受控埠的狀態為關閉時, 不允許所述業務悽t據通過所述受控埠 。
進一步地,接入點還用於當認證通過的移動站點的數量小於預設的下限 時,將一個或多個狀態為預設和/或關閉的受控埠置為打開狀態;以及當 認證通過的移動站點的數量超過預設的上限時,將一個或多個狀態為預設和/或打開的受控埠置為關閉狀態。
進一步地,所述系統還包括認證伺服器;
移動站點還用於向接入點發送認證請求;所述接入點包括認證處理者;
所述認證處理者用於當所述移動站點的接入認證已啟動時,通過非受控 埠接收所述認證請求,並將所述認證請求發送至認證伺服器;
所述認證伺服器用於對認證請求進行認證處理,並將認證結果返回給接 入點;
所述接入點還用於保存所述iU正結果。
綜上所述,本發明提供一種基於埠的無線區域網接入控制系統及方 法,移動站點在成功進行接入認證過程之前,只能通過非受控埠,與網絡 進行認證相關數據的交互,認證成功後,移動站點與網絡間的數據可通過受 控埠傳輸。應用本方法,可以靈活控制針對移動站點的認證過程,防止非 法用戶接入網絡佔用無線資源,實際認證過程可以根據需要採用不同認證方 案。
圖l是本發明服務觸發的狀態轉換圖; 圖2是本發明認證系統結構圖3是本發明認證開關預設時,未完成認證時的邏輯埠狀態; 圖4是本發明認證開關預設時,完成認證時的邏輯埠狀態。
具體實施例方式
本發明為移動站點訪問無線區域網定義了兩種邏輯通道,分別通過受控 埠與非受控埠訪問,並在基於埠的接入控制過程中,定義三個功能實
體, 一是需通過認證並發起請求的實體,稱為認證請求者,網絡中對應設備 為移動站點; 一是為認證請求者提供認證操作,提供邏輯與物理埠的實體, 稱之為認證處理者,網絡中對應設備為接入點; 一是為認證請求者與認證處理者提供認證服務的功能實體,稱之為認證服務者,網絡中對應設備為認證 伺服器。
本實施例提供一種基於埠的無線區域網接入控制系統,如圖2所示, 包括移動站點、接入點及認證伺服器;
移動站點,用於向接入點發送認證請求及用戶的業務數據;
接入點包括與非受控埠相連的認證處理者,以及與受控埠相連的認 證系統的服務提供者;接入點用於接收移動站點發來的數據,當該數據為認 證請求時,判斷該移動站點的接入請求是否啟動,若啟動則通過非受控埠 發送至位於接入點的認證處理者;若未啟動則不對該認證請求進行處理。
認證處理者用將從非受控埠接收的認證請求轉發至認證伺服器,還用 於接收認證伺服器返回的認證結果;
接入點還用於保存認證伺服器返回的認證結果,認證結果包括認證通過 及認證未通過;接入點還可以根據認證結果將對應的受控埠打開或關閉, 當認證通過時,接入點可將對應的受控埠打開,當認證未通過時,接入點 可將對應的受控埠關閉;
接入點還用於當接收的數據為業務數據時,結合該移動站點的接入認證 狀態決定該業務數據是否可通過受控埠傳輸,具體地,
當該移動站點的接入認證未啟動時,該業務數據不能通過該受控埠傳
輸;
當該移動站點的4妄入認證已啟動時,分以下幾種情況
(1) 對應受控埠的狀態為打開,此時不論認證結果如何,該業務數 據都可以通過該受控埠傳輸;當網絡比較空閒,如認證通過的移動站點的 數量小於預設的下限(該下限值可根據需要設置)時,可將一個或多個狀態 為預設和/或關閉的受控埠置為打開狀態;當認證通過的移動站點的數量 超過預設的下限時,可將一個或多個狀態為打開的受控埠置為預設。
(2) 對應受控埠的狀態為關閉,此時不論認證結果如何,該業務數 據都不能通過該受控埠傳輸;當網絡較忙時,如認證通過的移動站點的數 量超過預設的上限(該上限值可根據需要設置)時,伺服器無法同時處理過多的業務請求,因此可關閉 一個或多個狀態為預設和/或打開的受控埠 , 此時,即使被關閉受控埠的移動站點認證通過,其業務數據也無法通過其 受控埠傳輸,當網絡不太忙時,如認證通過的移動站點的數量在預設的上 限範圍內時,可將狀態為關閉的受控埠置為預設狀態。
(3)對應受控埠的狀態為預設,此時只有當認證通過時,該業務數 據都才可以通過該受控埠傳輸,當認證未通過時,該業務數據都不能通過 該受控埠傳輸。
認證伺服器用於接收認證請求,並完成認證後向接入點返回認證結果。
本實施例提供一種基於埠的無線區域網接入控制方法,包括 步驟301:移動站點向接入點發送認證請求;
步驟302:接入點判斷是否啟動該移動站點的接入認證,是則執行步驟 303,否則執行步驟305;
步驟303:認證請求通過非受控埠被送到認證處理者,認證處理者將 該認證請求轉發至認證伺服器;
步驟304:認證伺服器將認證結果發送至認證處理者,認證處理者本地 記錄iU正結果,包括通過認證及未通過認證。
步驟305:不對該認證請求進行認證處理,此時接入點記錄該移動站點 未進行認證。
如圖l所示,認證過程是在鏈路驗證過程與關聯過程之上,此處的鏈路 驗證是指移動站點以本身的MAC地址來跟接入點進行基本的驗證過程,是 關聯操作的必要前提。圖中各幀類型定義如下
(1)第一類幀
a)控制幀
i. RTS;
ii. CTS;iii. ACK;
iv. CF-End + ACK;
v. CF-End;
b) 管理幀
i. #果尋請求/響應
ii. 信標
iii. 鏈路驗證
iv. 解除鏈路as正
v. 通信量指示消息
c) 數據幀
i.幀控制比特To DS和From DS均未置位的數據幀
(2) 第二類幀
d) 管理幀
i. 關聯二清求/響應
ii. 重新關聯請求/響應
iii. 解除關聯
(3) .第三類幀
e) 認證請求和響應
(4) 第四類幀
f) 數據幀
g) 控制幀PS-Poll
本發明需要擴展802.11規範中定義的移動站點中狀態定義與狀態機。 增加認證狀態,與原有的鏈路驗證狀態與關聯狀態,組合為狀態機下四種狀 態,分別為
(a) 未鏈路驗證,未關聯,未認證
(b) 已鏈路驗證,未關聯,未認證(C)已鏈路驗證,已關聯,未認證
(d)已鏈路驗證,已關聯,已認證 移動站點調用不同服務引發狀態跳轉。
認證系統可採用基於證書的認證方法,也可以使用EAP (Extensible Authentication Protocol: PPP擴展i人i正十辦i義)的i^i正方法,系統4叉需關注受 控埠的打開與關閉。對於合法用戶,即接入認證通過的用戶,接入點將對 應的受控埠打開,而對於非法用戶接入(即接入認證未通過的用戶)或沒 有用戶接入時,則接入點可將對應的受控使埠關閉。
當接入點收到移動站點發送的業務數據時,執行以下步驟
步驟401:接入點收到移動站點發送的業務數據後,判斷是否啟動該移 動站點的接入認證,若啟動執行步驟402,否則執行步驟403;
步驟402:根據受控埠的狀態判斷業務數據是否可以通過該受控埠 ;
具體地,當受控埠為關閉時,不管實際認證結果如何,本受控埠均 不允許業務數據通過;當網絡較忙時,如認證通過的移動站點的數量超過預 設的上限(該上限值可根據需要設置)時,伺服器無法同時處理過多的業務 請求,因此可關閉一個或多個狀態為預設和/或打開的受控埠,此時,即 使被關閉受控埠的移動站點認證通過,其業務數據也無法通過其受控埠 傳輸,當網絡不太忙時,如認證通過的移動站點的數量在預設的上限範圍內 時,可將狀態為關閉的受控埠置為預設狀態。
當受控埠為打開時,不管實際認證結果如何,本受控埠均允許業務 數據通過;當網絡比較空閒,如認證通過的移動站點的數量小於預設的下限 (該下限值可根據需要設置)時,可將一個或多個狀態為預設和/或關閉的 受控埠置為打開狀態;當認證通過的移動站點的數量超過預設的下限時, 可將一個或多個狀態為打開的受控埠置為預設。
當受控埠為預設時,若認證結果為認證通過,則允許業務數據通過, 若認證結果為認證未通過,則不允許業務數據通過。
步驟403:不允許該業務悽t據通過。
權利要求
1、一種基於埠的無線區域網接入控制方法,包括接入點記錄各受控埠的狀態,當接入點收到移動站點發來的業務數據後,若已啟動所述移動站點的接入認證,且對應受控埠的狀態為預設時,則當認證結果為認證通過時允許所述業務數據通過所述受控埠,當認證結果為認證未通過時不允許所述業務數據通過所述受控埠。
2、 如權利要求1所述的方法,其特徵在於當接入點收到移動站點發來的業務數據後,若已啟動所述移動站點的接 入認證,且對應受控埠的狀態為關閉時,不允許所述業務數據通過所述受 控埠,若已啟動所述移動站點的接入認證,且對應受控埠的狀態為打開 時,允許所述業務數據通過所述受控埠 。
3、 如權利要求1所述的方法,其特徵在於當接入點收到移動站點發來的業務數據後,若未啟動所述移動站點的接 入認證,則不允許所述業務數據通過所述受控埠 。
4、 如權利要求2所述的方法,其特徵在於當認證通過的移動站點的數量小於預設的下限時,將一個或多個狀態為 預設和/或關閉的受控埠置為打開狀態;當認證通過的移動站點的數量超 過預設的上限時,關閉 一個或多個狀態為預設和/或打開的受控埠 。
5、 如權利要求1所述的方法,其特徵在於接入點向移動站點發送業務數據前先發送認證請求,所述接入點收到認 證請求後判斷是否啟動該移動站點的接入認證,若啟動則通過非受控埠發 送至認證處理者,所述認證處理者將該認證請求轉發至認證伺服器,認證服 務器進行認證處理後向所述接入點返回認證結果,接入點保存所述認證結 果;若未啟動則不對該認證請求進行處理。
6、 一種基於埠的無線區域網接入控制系統,包括移動站點及接入點, 其特徵在於所述移動站點用於向接入點發送業務數據;所述接入點用於記錄各受控埠的狀態,以及收到移動站點發來的業務 數據後,若該移動站點的接入認證已啟動,且對應受控埠的狀態為預設時, 則當認證結果為認證通過時允許所述業務數據通過所述受控埠 ,當認證結 果為認證未通過時不允許所述業務數據通過所述受控埠 。
7、 如權利要求6所述的系統,其特徵在於所述接入點還用於收到業務數據後,判斷是否啟動該移動站點的接入認 證,若未啟動時,則不允許所述業務數據通過所述受控埠。
8、 如權利要求6所述的系統,其特徵在於所述接入點還用於收到業務數據後,若該移動站點的接入認證已啟動, 且所述受控埠的狀態為打開時,允許所述業務數據通過所述受控埠 ,若 該移動站點的接入認證已啟動,且所述受控埠的狀態為關閉時,不允許所 述業務lt據通過所述受控埠 。
9、 如權利要求8所述的系統,其特徵在於接入點還用於當認證通過的移動站點的數量小於預設的下限時,將一個 或多個狀態為預設和/或關閉的受控埠置為打開狀態;以及當認證通過的 移動站點的數量超過預設的上限時,將一個或多個狀態為預設和/或打開的 受控埠置為關閉狀態。
10、 如權利要求9所述的系統,其特徵在於 所述系統還包括認證伺服器;移動站點還用於向接入點發送認證請求;所述接入點包括認證處理者;所述認證處理者用於當所述移動站點的接入認證已啟動時,通過非受控 埠接收所述認證請求,並將所述認證請求發送至認證伺服器;所述認證伺服器用於對認證請求進行認證處理,並將認證結果返回給接 入點;所述接入點還用於保存所述認證結果。
全文摘要
本發明提供一種基於埠的無線區域網接入控制系統及方法,該方法包括接入點記錄各受控埠的狀態,當接入點收到移動站點發來的業務數據後,若已啟動所述移動站點的接入認證,且對應受控埠的狀態為預設時,則當認證結果為認證通過時允許所述業務數據通過所述受控埠,當認證結果為認證未通過時不允許所述業務數據通過所述受控埠。採用本發明,可以靈活控制針對移動站點的認證過程,防止非法用戶接入網絡佔用無線資源,實際認證過程可以根據需要採用不同認證方案。
文檔編號H04W48/00GK101516091SQ20091013196
公開日2009年8月26日 申請日期2009年3月27日 優先權日2009年3月27日
發明者建 劉 申請人:建 劉