CN101516091A - 一种基于端口的无线局域网接入控制系统及方法 - Google Patents
一种基于端口的无线局域网接入控制系统及方法 Download PDFInfo
- Publication number
- CN101516091A CN101516091A CNA2009101319649A CN200910131964A CN101516091A CN 101516091 A CN101516091 A CN 101516091A CN A2009101319649 A CNA2009101319649 A CN A2009101319649A CN 200910131964 A CN200910131964 A CN 200910131964A CN 101516091 A CN101516091 A CN 101516091A
- Authority
- CN
- China
- Prior art keywords
- authentication
- mobile site
- access point
- controlled ports
- business datum
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 27
- 238000012795 verification Methods 0.000 description 13
- 230000005540 biological transmission Effects 0.000 description 9
- 239000008186 active pharmaceutical agent Substances 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供一种基于端口的无线局域网接入控制系统及方法,该方法包括:接入点记录各受控端口的状态,当接入点收到移动站点发来的业务数据后,若已启动所述移动站点的接入认证,且对应受控端口的状态为缺省时,则当认证结果为认证通过时允许所述业务数据通过所述受控端口,当认证结果为认证未通过时不允许所述业务数据通过所述受控端口。采用本发明,可以灵活控制针对移动站点的认证过程,防止非法用户接入网络占用无线资源,实际认证过程可以根据需要采用不同认证方案。
Description
技术领域
本发明涉及无线通信领域,具体涉及一种基于端口的无线局域网接入控制系统及方法。
背景技术
无线局域网(Wireless Local Area Network,即WLAN)指的是基于IEEE802.11协议系列的无线网络,无线局域网用接入点充当中心站来覆盖某一区域,以无线方式连接、控制区域内的移动站点,以构成局域网,移动站点只与接入点连接,移动站点与外部网络以及移动站点之间的通讯,均通过接入点完成。
随着无线局域网在电信网上大规模开展,服务提供者需要对用户的接入进行控制和配置,对端口加以控制以实现用户级的接入控制,以阻止未授权用户接入网络,占用合法用户的网络资源。
发明内容
本发明要解决的技术问题是提供一种基于端口的无线局域网接入控制系统及方法,可有效防止非法用户接入网络占用无线资源。
为了解决上述问题,本发明提供了一种基于端口的无线局域网接入控制方法,包括:接入点记录各受控端口的状态,当接入点收到移动站点发来的业务数据后,若已启动所述移动站点的接入认证,且对应受控端口的状态为缺省时,则当认证结果为认证通过时允许所述业务数据通过所述受控端口,当认证结果为认证未通过时不允许所述业务数据通过所述受控端口。
进一步地,当接入点收到移动站点发来的业务数据后,若已启动所述移动站点的接入认证,且对应受控端口的状态为关闭时,不允许所述业务数据通过所述受控端口,若已启动所述移动站点的接入认证,且对应受控端口的状态为打开时,允许所述业务数据通过所述受控端口。
进一步地,当接入点收到移动站点发来的业务数据后,若未启动所述移动站点的接入认证,则不允许所述业务数据通过所述受控端口。
进一步地,当认证通过的移动站点的数量小于预设的下限时,将一个或多个状态为缺省和/或关闭的受控端口置为打开状态;当认证通过的移动站点的数量超过预设的上限时,关闭一个或多个状态为缺省和/或打开的受控端口。
进一步地,接入点向移动站点发送业务数据前先发送认证请求,所述接入点收到认证请求后判断是否启动该移动站点的接入认证,若启动则通过非受控端口发送至认证处理者,所述认证处理者将该认证请求转发至认证服务器,认证服务器进行认证处理后向所述接入点返回认证结果,接入点保存所述认证结果;若未启动则不对该认证请求进行处理。
本发明还提供一种基于端口的无线局域网接入控制系统,包括移动站点及接入点,所述移动站点用于向接入点发送业务数据;
所述接入点用于记录各受控端口的状态,以及收到移动站点发来的业务数据后,若该移动站点的接入认证已启动,且对应受控端口的状态为缺省时,则当认证结果为认证通过时允许所述业务数据通过所述受控端口,当认证结果为认证未通过时不允许所述业务数据通过所述受控端口。
进一步地,所述接入点还用于收到业务数据后,判断是否启动该移动站点的接入认证,若未启动时,则不允许所述业务数据通过所述受控端口。
进一步地,所述接入点还用于收到业务数据后,若该移动站点的接入认证已启动,且所述受控端口的状态为打开时,允许所述业务数据通过所述受控端口,若该移动站点的接入认证已启动,且所述受控端口的状态为关闭时,不允许所述业务数据通过所述受控端口。
进一步地,接入点还用于当认证通过的移动站点的数量小于预设的下限时,将一个或多个状态为缺省和/或关闭的受控端口置为打开状态;以及当认证通过的移动站点的数量超过预设的上限时,将一个或多个状态为缺省和/或打开的受控端口置为关闭状态。
进一步地,所述系统还包括认证服务器;
移动站点还用于向接入点发送认证请求;所述接入点包括认证处理者;
所述认证处理者用于当所述移动站点的接入认证已启动时,通过非受控端口接收所述认证请求,并将所述认证请求发送至认证服务器;
所述认证服务器用于对认证请求进行认证处理,并将认证结果返回给接入点;
所述接入点还用于保存所述认证结果。
综上所述,本发明提供一种基于端口的无线局域网接入控制系统及方法,移动站点在成功进行接入认证过程之前,只能通过非受控端口,与网络进行认证相关数据的交互,认证成功后,移动站点与网络间的数据可通过受控端口传输。应用本方法,可以灵活控制针对移动站点的认证过程,防止非法用户接入网络占用无线资源,实际认证过程可以根据需要采用不同认证方案。
附图说明
图1是本发明服务触发的状态转换图;
图2是本发明认证系统结构图;
图3是本发明认证开关缺省时,未完成认证时的逻辑端口状态;
图4是本发明认证开关缺省时,完成认证时的逻辑端口状态。
具体实施方式
本发明为移动站点访问无线局域网定义了两种逻辑通道,分别通过受控端口与非受控端口访问,并在基于端口的接入控制过程中,定义三个功能实体,一是需通过认证并发起请求的实体,称为认证请求者,网络中对应设备为移动站点;一是为认证请求者提供认证操作,提供逻辑与物理端口的实体,称之为认证处理者,网络中对应设备为接入点;一是为认证请求者与认证处理者提供认证服务的功能实体,称之为认证服务者,网络中对应设备为认证服务器。
本实施例提供一种基于端口的无线局域网接入控制系统,如图2所示,包括移动站点、接入点及认证服务器;
移动站点,用于向接入点发送认证请求及用户的业务数据;
接入点包括与非受控端口相连的认证处理者,以及与受控端口相连的认证系统的服务提供者;接入点用于接收移动站点发来的数据,当该数据为认证请求时,判断该移动站点的接入请求是否启动,若启动则通过非受控端口发送至位于接入点的认证处理者;若未启动则不对该认证请求进行处理。
认证处理者用将从非受控端口接收的认证请求转发至认证服务器,还用于接收认证服务器返回的认证结果;
接入点还用于保存认证服务器返回的认证结果,认证结果包括认证通过及认证未通过;接入点还可以根据认证结果将对应的受控端口打开或关闭,当认证通过时,接入点可将对应的受控端口打开,当认证未通过时,接入点可将对应的受控端口关闭;
接入点还用于当接收的数据为业务数据时,结合该移动站点的接入认证状态决定该业务数据是否可通过受控端口传输,具体地,
当该移动站点的接入认证未启动时,该业务数据不能通过该受控端口传输;
当该移动站点的接入认证已启动时,分以下几种情况:
(1)对应受控端口的状态为打开,此时不论认证结果如何,该业务数据都可以通过该受控端口传输;当网络比较空闲,如认证通过的移动站点的数量小于预设的下限(该下限值可根据需要设置)时,可将一个或多个状态为缺省和/或关闭的受控端口置为打开状态;当认证通过的移动站点的数量超过预设的下限时,可将一个或多个状态为打开的受控端口置为缺省。
(2)对应受控端口的状态为关闭,此时不论认证结果如何,该业务数据都不能通过该受控端口传输;当网络较忙时,如认证通过的移动站点的数量超过预设的上限(该上限值可根据需要设置)时,服务器无法同时处理过多的业务请求,因此可关闭一个或多个状态为缺省和/或打开的受控端口,此时,即使被关闭受控端口的移动站点认证通过,其业务数据也无法通过其受控端口传输,当网络不太忙时,如认证通过的移动站点的数量在预设的上限范围内时,可将状态为关闭的受控端口置为缺省状态。
(3)对应受控端口的状态为缺省,此时只有当认证通过时,该业务数据都才可以通过该受控端口传输,当认证未通过时,该业务数据都不能通过该受控端口传输。
认证服务器用于接收认证请求,并完成认证后向接入点返回认证结果。
本实施例提供一种基于端口的无线局域网接入控制方法,包括:
步骤301:移动站点向接入点发送认证请求;
步骤302:接入点判断是否启动该移动站点的接入认证,是则执行步骤303,否则执行步骤305;
步骤303:认证请求通过非受控端口被送到认证处理者,认证处理者将该认证请求转发至认证服务器;
步骤304:认证服务器将认证结果发送至认证处理者,认证处理者本地记录认证结果,包括通过认证及未通过认证。
步骤305:不对该认证请求进行认证处理,此时接入点记录该移动站点未进行认证。
如图1所示,认证过程是在链路验证过程与关联过程之上,此处的链路验证是指移动站点以本身的MAC地址来跟接入点进行基本的验证过程,是关联操作的必要前提。图中各帧类型定义如下:
(1)第一类帧
a)控制帧:
i.RTS;
ii.CTS;
iii. ACK;
iv. CF-End+ACK;
v. CF-End;
b)管理帧:
i. 探寻请求/响应
ii. 信标
iii.链路验证
iv. 解除链路验证
v. 通信量指示消息
c)数据帧:
i.帧控制比特To DS和From DS均未置位的数据帧
(2)第二类帧
d)管理帧
i. 关联请求/响应
ii. 重新关联请求/响应
iii.解除关联
(3)第三类帧
e)认证请求和响应
(4)第四类帧
f)数据帧
g)控制帧PS-Poll
本发明需要扩展802.11规范中定义的移动站点中状态定义与状态机。增加认证状态,与原有的链路验证状态与关联状态,组合为状态机下四种状态,分别为:
(a)未链路验证,未关联,未认证
(b)已链路验证,未关联,未认证
(c)已链路验证,已关联,未认证
(d)已链路验证,已关联,已认证
移动站点调用不同服务引发状态跳转。
认证系统可采用基于证书的认证方法,也可以使用EAP(ExtensibleAuthentication Protocol:PPP扩展认证协议)的认证方法,系统仅需关注受控端口的打开与关闭。对于合法用户,即接入认证通过的用户,接入点将对应的受控端口打开,而对于非法用户接入(即接入认证未通过的用户)或没有用户接入时,则接入点可将对应的受控使端口关闭。
当接入点收到移动站点发送的业务数据时,执行以下步骤:
步骤401:接入点收到移动站点发送的业务数据后,判断是否启动该移动站点的接入认证,若启动执行步骤402,否则执行步骤403;
步骤402:根据受控端口的状态判断业务数据是否可以通过该受控端口;
具体地,当受控端口为关闭时,不管实际认证结果如何,本受控端口均不允许业务数据通过;当网络较忙时,如认证通过的移动站点的数量超过预设的上限(该上限值可根据需要设置)时,服务器无法同时处理过多的业务请求,因此可关闭一个或多个状态为缺省和/或打开的受控端口,此时,即使被关闭受控端口的移动站点认证通过,其业务数据也无法通过其受控端口传输,当网络不太忙时,如认证通过的移动站点的数量在预设的上限范围内时,可将状态为关闭的受控端口置为缺省状态。
当受控端口为打开时,不管实际认证结果如何,本受控端口均允许业务数据通过;当网络比较空闲,如认证通过的移动站点的数量小于预设的下限(该下限值可根据需要设置)时,可将一个或多个状态为缺省和/或关闭的受控端口置为打开状态;当认证通过的移动站点的数量超过预设的下限时,可将一个或多个状态为打开的受控端口置为缺省。
当受控端口为缺省时,若认证结果为认证通过,则允许业务数据通过,若认证结果为认证未通过,则不允许业务数据通过。
步骤403:不允许该业务数据通过。
Claims (10)
1、一种基于端口的无线局域网接入控制方法,包括:接入点记录各受控端口的状态,当接入点收到移动站点发来的业务数据后,若已启动所述移动站点的接入认证,且对应受控端口的状态为缺省时,则当认证结果为认证通过时允许所述业务数据通过所述受控端口,当认证结果为认证未通过时不允许所述业务数据通过所述受控端口。
2、如权利要求1所述的方法,其特征在于:
当接入点收到移动站点发来的业务数据后,若已启动所述移动站点的接入认证,且对应受控端口的状态为关闭时,不允许所述业务数据通过所述受控端口,若已启动所述移动站点的接入认证,且对应受控端口的状态为打开时,允许所述业务数据通过所述受控端口。
3、如权利要求1所述的方法,其特征在于:
当接入点收到移动站点发来的业务数据后,若未启动所述移动站点的接入认证,则不允许所述业务数据通过所述受控端口。
4、如权利要求2所述的方法,其特征在于:
当认证通过的移动站点的数量小于预设的下限时,将一个或多个状态为缺省和/或关闭的受控端口置为打开状态;当认证通过的移动站点的数量超过预设的上限时,关闭一个或多个状态为缺省和/或打开的受控端口。
5、如权利要求1所述的方法,其特征在于:
接入点向移动站点发送业务数据前先发送认证请求,所述接入点收到认证请求后判断是否启动该移动站点的接入认证,若启动则通过非受控端口发送至认证处理者,所述认证处理者将该认证请求转发至认证服务器,认证服务器进行认证处理后向所述接入点返回认证结果,接入点保存所述认证结果;若未启动则不对该认证请求进行处理。
6、一种基于端口的无线局域网接入控制系统,包括移动站点及接入点,其特征在于:
所述移动站点用于向接入点发送业务数据;
所述接入点用于记录各受控端口的状态,以及收到移动站点发来的业务数据后,若该移动站点的接入认证已启动,且对应受控端口的状态为缺省时,则当认证结果为认证通过时允许所述业务数据通过所述受控端口,当认证结果为认证未通过时不允许所述业务数据通过所述受控端口。
7、如权利要求6所述的系统,其特征在于:
所述接入点还用于收到业务数据后,判断是否启动该移动站点的接入认证,若未启动时,则不允许所述业务数据通过所述受控端口。
8、如权利要求6所述的系统,其特征在于:
所述接入点还用于收到业务数据后,若该移动站点的接入认证已启动,且所述受控端口的状态为打开时,允许所述业务数据通过所述受控端口,若该移动站点的接入认证已启动,且所述受控端口的状态为关闭时,不允许所述业务数据通过所述受控端口。
9、如权利要求8所述的系统,其特征在于:
接入点还用于当认证通过的移动站点的数量小于预设的下限时,将一个或多个状态为缺省和/或关闭的受控端口置为打开状态;以及当认证通过的移动站点的数量超过预设的上限时,将一个或多个状态为缺省和/或打开的受控端口置为关闭状态。
10、如权利要求9所述的系统,其特征在于:
所述系统还包括认证服务器;
移动站点还用于向接入点发送认证请求;所述接入点包括认证处理者;
所述认证处理者用于当所述移动站点的接入认证已启动时,通过非受控端口接收所述认证请求,并将所述认证请求发送至认证服务器;
所述认证服务器用于对认证请求进行认证处理,并将认证结果返回给接入点;
所述接入点还用于保存所述认证结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2009101319649A CN101516091A (zh) | 2009-03-27 | 2009-03-27 | 一种基于端口的无线局域网接入控制系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2009101319649A CN101516091A (zh) | 2009-03-27 | 2009-03-27 | 一种基于端口的无线局域网接入控制系统及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101516091A true CN101516091A (zh) | 2009-08-26 |
Family
ID=41040329
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2009101319649A Pending CN101516091A (zh) | 2009-03-27 | 2009-03-27 | 一种基于端口的无线局域网接入控制系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101516091A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102143605A (zh) * | 2011-01-20 | 2011-08-03 | 中兴通讯股份有限公司 | 一种无线局域网中手机电视业务数据共享的方法和系统 |
| CN102215515A (zh) * | 2010-04-07 | 2011-10-12 | 华为技术有限公司 | 一种数据处理方法及通信系统以及相关设备 |
| CN104168171A (zh) * | 2014-08-12 | 2014-11-26 | 深圳市深信服电子科技有限公司 | 接入点的访问方法及装置 |
| CN107995621A (zh) * | 2017-10-27 | 2018-05-04 | 西安电子科技大学 | 一种无线局域网中海量用户认证关联拥塞避免方法 |
| CN108076459A (zh) * | 2016-11-08 | 2018-05-25 | 北京华为数字技术有限公司 | 网络接入控制方法、相关设备及系统 |
-
2009
- 2009-03-27 CN CNA2009101319649A patent/CN101516091A/zh active Pending
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102215515A (zh) * | 2010-04-07 | 2011-10-12 | 华为技术有限公司 | 一种数据处理方法及通信系统以及相关设备 |
| CN102215515B (zh) * | 2010-04-07 | 2013-12-04 | 华为技术有限公司 | 一种数据处理方法及通信系统以及相关设备 |
| CN102143605A (zh) * | 2011-01-20 | 2011-08-03 | 中兴通讯股份有限公司 | 一种无线局域网中手机电视业务数据共享的方法和系统 |
| CN102143605B (zh) * | 2011-01-20 | 2016-02-24 | 中兴通讯股份有限公司 | 一种无线局域网中手机电视业务数据共享的方法和系统 |
| CN104168171A (zh) * | 2014-08-12 | 2014-11-26 | 深圳市深信服电子科技有限公司 | 接入点的访问方法及装置 |
| CN108076459A (zh) * | 2016-11-08 | 2018-05-25 | 北京华为数字技术有限公司 | 网络接入控制方法、相关设备及系统 |
| CN107995621A (zh) * | 2017-10-27 | 2018-05-04 | 西安电子科技大学 | 一种无线局域网中海量用户认证关联拥塞避免方法 |
| CN107995621B (zh) * | 2017-10-27 | 2020-11-17 | 西安电子科技大学 | 一种无线局域网中海量用户认证关联拥塞避免方法、无线局域网 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100512109C (zh) | 验证接入主机安全性的访问认证系统和方法 | |
| CN101232372B (zh) | 认证方法、认证系统和认证装置 | |
| CN1781099B (zh) | 在公共热点中的客户终端的自动配置 | |
| CN101150594B (zh) | 一种移动蜂窝网络和无线局域网的统一接入方法及系统 | |
| US7480933B2 (en) | Method and apparatus for ensuring address information of a wireless terminal device in communications network | |
| CN101102188B (zh) | 一种移动接入虚拟局域网的方法与系统 | |
| US8266681B2 (en) | System and method for automatic network logon over a wireless network | |
| CN1330214C (zh) | 无线局域网用户终端重新选择运营网络的交互方法 | |
| US8019082B1 (en) | Methods and systems for automated configuration of 802.1x clients | |
| JP4445974B2 (ja) | 多種類の運営ネットワークを含む環境内で運営ネットワークを無線lanの利用者端末が再度選択する方法 | |
| CN1319337C (zh) | 基于以太网认证系统的认证方法 | |
| JP2005525740A (ja) | シームレスな公衆無線ローカル・エリア・ネットワーク・ユーザ認証 | |
| EP1535183A2 (en) | Authentication in a communication system | |
| WO2006000151A1 (fr) | Procede de gestion d'un materiel terminal local pour l'acces au reseau | |
| CN101136746A (zh) | 一种认证方法及系统 | |
| EP2234438B1 (en) | Wireless personal area network accessing method | |
| WO2008080351A1 (fr) | Procédé d'exploitation de réseau local sans fil basé sur une infrastructure d'authentification et de confidentialité de wlan (wapi) | |
| WO2012094841A1 (zh) | 网络接入方法、装置及系统 | |
| CN102185840B (zh) | 一种认证方法、设备及系统 | |
| CN101711031A (zh) | 一种本地转发中的Portal认证方法和接入控制器 | |
| CN101516091A (zh) | 一种基于端口的无线局域网接入控制系统及方法 | |
| US20050080921A1 (en) | Method of implementing handshaking between 802.1X-based network access device and client | |
| CN102271120A (zh) | 一种增强安全性的可信网络接入认证方法 | |
| EP1927254B1 (en) | Method and a device to suspend the access to a service | |
| CN101207475A (zh) | 一种网络系统的防止非授权连结方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| ASS | Succession or assignment of patent right |
Owner name: ZTE CO., LTD. Free format text: FORMER OWNER: LIU JIAN Effective date: 20100122 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20100122 Address after: China Guangdong Shenzhen hi tech Industrial Park Nanshan District science and technology south road ZTE building building legal department Applicant after: ZTE Corporation Address before: Beijing city Haidian District District Qinghe Baosheng Building 1, unit 7, room 503 Applicant before: Liu Jian |
|
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20090826 |