发明内容
有鉴于此,本发明提供了一种访问权限控制的方法和无线接入设备,无需管理者清楚了解网络IP层规划,并且,对用户的访问权限控制不受到IP层规划变化的影响。
一种访问权限控制的方法,在STA接入无线接入设备的过程中建立STA的MAC地址与接入的ESS的SSID之间的对应关系,该方法包括:
无线接入设备接收到STA的访问控制请求后,获取该访问控制请求的源IP地址,从该无线接入设备中的地址解析协议ARP表项中查找所述源IP地址所对应的MAC地址;
根据所述MAC地址与接入的ESS的SSID之间的对应关系,确定所述查找到的MAC地址所对应的SSID,判断该确定的SSID是否属于预设的合法SSID,如果是,则允许该STA进行访问控制,否则,拒绝该STA进行访问控制。
一种无线接入设备,该无线接入设备包括:关系建立单元、请求接收单元、查询单元、第一判断单元和权限控制单元;
所述关系建立单元,用于在STA接入该无线接入设备的过程中建立并存储STA的MAC地址与接入的ESS的SSID之间的对应关系;
所述请求接收单元,用户接收STA发送的访问控制请求,并获取该访问控制请求的源IP地址;
所述查询单元,用于从该无线接入设备中的ARP表项中查找所述源IP地址所对应的MAC地址,并从所述关系建立单元中查找所述MAC地址对应的SSID;
所述第一判断单元,用于判断所述查询单元查找到的SSID是否属于预设的合法SSID,如果是,则向所述权限控制单元发送允许通知,否则,向所述权限控制单元发送拒绝通知;
所述权限控制单元,用于接收到允许通知后,允许所述STA进行访问控制,接收到拒绝通知后,拒绝所述STA进行访问控制。
由以上技术方案可以看出,本发明提供的方法和无线接入设备,基于SSID对用户的访问权限进行控制,即预设合法的SSID,在接收到STA的访问控制请求后,通过该访问控制请求的源IP地址从ARP表项中查找MAC地址,再根据在STA接入无线接入设备过程中建立的MAC地址与接入的ESS的SSID之间的对应关系,确定该MAC地址对应的SSID,然后在判断该SSID是否属于预设的合法SSID,如果是,允许该STA的访问控制,否则,拒绝该STA的访问控制。由于本发明基于SSID对用户的访问权限进行控制,仅需要预设合法的SSID,而不需要像现有技术中一样基于IP地址进行访问权限控制,将合法SSID的IP网段的IP地址设置在地址控制列表中,因此,本发明无需管理者清楚了解网络IP层规划,并且,对用户的访问权限控制不受到IP层规划变化的影响。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
本发明提供的方法主要包括:在STA接入无线接入设备的过程中建立该STA的MAC地址与接入的ESS的SSID之间的对应关系;无线接入设备接收到STA的访问控制请求后,从该无线接入设备中的地址解析协议(ARP,Address Resolution Protocol)表项中查找该访问控制请求的源IP地址所对应的MAC地址;根据所述MAC地址与接入的ESS的SSID之间的对应关系,确定该查找到的MAC地址所对应的SSID;判断该确定的SSID是否为合法的SSID,如果是,则允许该STA的访问控制,否则,拒绝该STA的访问控制。
下面举一个具体的实施例对上述方法进行描述,图2为本发明实施例提供的方法流程图,如图2所示,该方法可以包括以下步骤:
步骤201:在STA接入无线接入设备的过程中,无线接入设备建立ARP表项以及无线用户表项。
在STA接入无线接入设备的过程中,无线接入设备会根据STA的IP地址动态的学习该STA的MAC地址,并建立包括该IP地址与MAC地址之间对应关系的ARP表项,该部分为现有技术在此不再赘述。
在无线接入设备学习到STA的MAC地址后,会根据该STA接入的ESS建立MAC地址与该ESS的SSID之间的对应关系,并将该对应关系存储在无线用户表项中。另外,STA在接入ESS时,通常需要进行接入鉴权,仅当STA通过该ESS的接入鉴权时,才可以接入该ESS,其中,接入鉴权的过程为现有技术。
步骤202:无线接入设备接收到已经接入自身的STA的访问控制请求时,获取该访问控制请求的源IP地址。
步骤203:从该无线接入设备中建立的ARP表项中查找该访问控制请求的源IP地址所对应的MAC地址。
步骤204:无线接入设备根据该MAC地址查询无线用户表项,获取该MAC地址对应的SSID。
由于在访问控制请求中仅能够获取到源IP地址,因此,需要根据该源IP地址执行上述步骤203和步骤204从而获取该STA所接入的SSID。
步骤205:判断获取到的该SSID是否在预先设定的允许访问列表中,如果是,执行步骤206;否则,执行步骤207。
可以预先针对各ESS设定允许访问列表,将允许进行访问控制的ESS的SSID设置在该允许访问列表中,如果步骤204获取到的SSID在该允许访问列表中,则说明该STA为合法用户,则允许该STA对无线接入设备的访问控制,否则说明该STA为非法用户,不允许该STA对无线接入设备的访问控制。
当然,也可以预先设定拒绝访问列表,将拒绝进行访问控制的ESS的SSID设置在该拒绝访问列表中,如果步骤204获取到的SSID在拒绝访问列表中,则说明该STA为非法用户,则拒绝该STA对无线接入设备的访问控制,否则说明该STA为合法用户,则允许该STA对无线接入设备的访问控制。
步骤206:允许该STA对该无线接入设备的访问控制,结束流程。
步骤207:拒绝该STA对无线接入设备的访问控制。
另外,在上述流程中,还可以结合现有技术中验证用户口令的方式,即在步骤202后,无线接入设备接收到已经接入自身的STA的访问控制请求时,首先向该STA发送口令验证请求,STA接收到口令验证请求后,将用户输入的用户口令发送给无线接入设备,无线接入设备对用户输入的用户口令进行验证,如果是正确的用户口令,则继续执行上述流程中的步骤203,如果不是正确的用户口令,则直接拒绝该STA进行访问控制。
更优地,在步骤202之后,无线接入设备接收到已经接入自身的STA的访问控制请求后,首先判断当前是否已经存在其它STA已经使用该源IP地址进行访问控制,如果是,则拒绝当前发送访问控制请求的STA进行访问控制,否则,继续执行上述流程的步骤203。
仍以图1所示的应用场景为例,当STA1接入无线接入设备的过程中,无线接入设备首先根据该STA1的IP地址学习该STA1的MAC地址,从而建立ARP表项,又对STA1请求接入HOTSPOT的请求进行接入鉴权,如果通过该接入鉴权,则允许该STA1接入该无线接入设备的HOTSPOT,并存储该STA1的MAC地址与HOTSPOT之间的对应关系。当无线接入设备接收到该STA1的访问控制请求时,根据该访问控制请求中的源IP地址,查询ARP表项从而获取该STA1的MAC地址,再根据该MAC地址查询上述对应关系,从而获取到该STA1接入的ESS的SSID为HOTSPOT,由于预先将该HOTSPOT设置为合法的SSID,因此,允许该STA1进行访问控制。
如果已经接入INTRANET的STA3仿冒HOTSPOT网段的IP地址,由于在二层协议中,ARP表项会随着IP地址的更换而动态刷新,但由于每个STA的MAC地址是固定且唯一的,所以,STA3设备的MAC地址并没有发生变更,无线接入设备中存储的该STA3的对应关系中该MAC对应的SSID仍是INTRANET,因此,在该STA3使用仿冒的IP地址发送访问控制请求后,根据该访问控制请求的源IP地址确定的SSID仍是INTRANET,而INTRANET是非法的SSID,所以,即便STA3仿冒HOTSPOT网段的IP地址仍然不能够进行访问控制。
以上是对本发明的方法进行的描述,下面对本发明提供的无线接入设备进行详细描述,图3为本发明实施例提供的无线接入设备的结构图,如图3所示,该无线接入设备可以包括:关系建立单元301、请求接收单元302、查询单元303、第一判断单元304和权限控制单元305。
关系建立单元301,用于在STA接入该无线接入设备的过程中建立并存储STA的MAC地址与接入的ESS的SSID之间的对应关系。
请求接收单元302,用户接收STA发送的访问控制请求,并获取该访问控制请求的源IP地址。
查询单元303,用于从该无线接入设备中的ARP表项中查找源IP地址所对应的MAC地址,并从关系建立单元中查找MAC地址对应的SSID。
第一判断单元304,用于判断查询单元303查找到的SSID是否属于预设的合法SSID,如果是,则向权限控制单元305发送允许通知,否则,向权限控制单元305发送拒绝通知。
权限控制单元305,用于接收到允许通知后,允许STA进行访问控制,接收到拒绝通知后,拒绝STA进行访问控制。
该无线接入设备还可以包括:允许访问列表存储单元306,用于存储合法SSID。
第一判断单元304判断SSID是否在允许访问列表存储单元306中,如果是,则确定SSID属于预设的合法SSID,否则,确定SSID不属于预设的合法SSID。
或者,在确定SSID是否合法时,可以不采用允许访问列表存储单元306,而采用另外一种结构,此时,该无线接入设备还可以包括:拒绝访问列表存储单元307,用于存储非法SSID。
第一判断单元304判断SSID是否在拒绝访问列表存储单元307中,如果是,则确定SSID不属于预设的合法SSID,否则,确定SSID属于预设的合法SSID。
该无线接入设备还可以包括:口令验证单元308,用于在请求接收单元302接收到访问控制请求后,向STA发送口令验证请求,并对STA发送的用户口令进行验证,如果是正确的口令,则触发查询单元303执行查找的操作,否则,向权限控制单元305发送拒绝通知。
该无线接入设备还可以包括:第二判断单元309,用于判断当前是否存在其它STA已经使用源IP地址进行访问控制,如果是,则向权限控制单元305发送拒绝通知,否则,触发查询单元303执行查找的操作。
上述的无线接入设备可以为无线接入点、无线控制器、无线路由器或者其它无线接入设备。
由以上描述可以看出,本发明提供的方法和无线接入设备,基于SSID对用户的访问权限进行控制,即预设合法的SSID,在接收到STA的访问控制请求后,通过该访问控制请求的源IP地址从ARP表项中查找MAC地址,再根据在STA接入无线接入设备过程中建立的MAC地址与接入的ESS的SSID之间的对应关系,确定该MAC地址对应的SSID,然后在判断该SSID是否属于预设的合法SSID,如果是,允许该STA的访问控制,否则,拒绝该STA的访问控制。由于本发明基于SSID对用户的访问权限进行控制,仅需要预设合法的SSID,而不需要像现有技术中一样基于IP地址进行访问权限的控制,将合法SSID的IP网段的IP地址设置在地址控制列表中,因此,本发明无需管理者清楚了解网络IP层规划,并且,对用户的访问权限控制不受到IP层规划变化的影响。
另外,由于本发明是基于SSID进行的访问权限控制,因此,即便非法ESS的用户仿冒合法ESS网段的IP地址接入无线接入设备,也会被拒绝进行访问控制,因此,本发明所提供的方法和无线接入设备具有更高的网络安全性。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。