CN101909298B - 无线网络安全接入控制方法和装置 - Google Patents
无线网络安全接入控制方法和装置 Download PDFInfo
- Publication number
- CN101909298B CN101909298B CN201010232097.0A CN201010232097A CN101909298B CN 101909298 B CN101909298 B CN 101909298B CN 201010232097 A CN201010232097 A CN 201010232097A CN 101909298 B CN101909298 B CN 101909298B
- Authority
- CN
- China
- Prior art keywords
- access terminal
- wireless access
- wireless
- type
- network segment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种无线网络安全接入控制方法,包括:根据无线接入终端的MAC地址,确定所述无线接入终端的类型;根据所确定的无线接入终端的类型,利用预先设定的防火墙策略,确定所述无线接入终端的访问权限;以及允许所述无线接入终端利用所确定出的访问权限来对具有访问权限的网络进行访问。利用上述无线网络安全接入控制方法,可以保证通过无线网络访问的客户端都是可信任的,同时能够根据客户端的角色制定较为灵活的访问权限,从而在不同的环境下满足各种角色的合法访问需求,并且过滤和阻止非法越权的访问请求。
Description
技术领域
本发明涉及无线网络领域,更为具体地,涉及一种无线网络安全控制方法和装置。
背景技术
随着社会的进步和技术的发展,人们越来越多地使用接入终端来以无线的方式接入因特网或企业内部网络来获取信息。在这种情况下,企业内部网络上的机密信息很有可能被未授权用户非法进入而导致该机密信息外传,由此对企业造成很大的经济损失。因此,在企业内部网络中,需要采用无线准入控制,通过在无线接入终端上安装无线准入客户端软件,利用无线准入账户来对无线接入终端进行集中管理,从而限制未授权用户非法进入企业内部网络。
但是,在实际应用中,现有的无线准入控制机制存在有下述问题。
首先,现有的无线准入控制解决方案都是商业化的产品解决方案,并且没有其他开源或者免费的替代产品。如果在接入终端上安装客户端软件,整套产品的成本通常超过20万人民币。
其次,在企业内使用的无线接入终端通常存在多种需求,并且经常变化,而现有的无线准入控制解决方案很难在安全性和可用性上进行权衡,从而不能根据无线接入终端的角色制定较为灵活的访问权限。
此外,现有的无线准入控制解决方案通常需要专用硬件平台来支撑,这也导致该无线准入控制解决方案的成本非常高。
发明内容
鉴于上述问题,本发明的目的是提供一种无线网络安全接入控制方法和装置,其能够完全满足公司对无线网络的安全要求,提升安全等级,并且能够最大化地利用现有资源,节约公司投入成本,同时日常管理和运维成本较低且稳定可靠。
根据本发明的一个方面,提供了一种无线网络安全接入控制方法,包括:
根据无线接入终端的MAC地址,确定所述无线接入终端的类型;
根据所确定的无线接入终端的类型,利用预先设定的防火墙策略,确定所述无线接入终端的访问权限;以及
允许所述无线接入终端利用所确定出的访问权限来对具有访问权限的网络进行访问。
根据本发明的另一方面,提供了一种无线网络安全接入控制装置,包括:
无线终端类型确定单元,用于根据无线接入终端的MAC地址,确定所述无线接入终端的类型;
访问权限确定单元,用于根据所确定的无线接入终端的类型,利用预先设定的防火墙策略,确定所述无线接入终端的访问权限;以及
防火墙单元,用于允许所述无线接入终端利用所确定出的访问权限来对具有访问权限的网络进行访问。
利用上述根据本发明的无线网络安全接入控制方法及装置,可以保证通过无线网络访问的客户端都是可信任的,同时能够根据客户端的角色制定较为灵活的访问权限,从而在不同的环境下满足各种角色的合法访问需求,并且过滤和阻止非法越权的访问请求。
为了实现上述以及相关目的,本发明的一个或多个方面包括后面将详细说明并在权利要求中特别指出的特征。下面的说明以及附图详细说明了本发明的某些示例性方面。然而,这些方面指示的仅仅是可使用本发明的原理的各种方式中的一些方式。此外,本发明旨在包括所有这些方面以及它们的等同物。
附图说明
通过参考以下结合附图的说明及权利要求书的内容,并且随着对本发明的更全面理解,本发明的其它目的及结果将更加明白及易于理解。在附图中:
图1示出了根据本发明的无线网络安全接入控制方法的流程图;以及
图2示出了根据本发明的无线网络安全接入控制装置的方框示意图。
在所有附图中相同的标号指示相似或相应的特征或功能。
具体实施方式
以下将结合附图对本发明的具体实施例进行详细描述。
图1示出了根据本发明的无线网络安全接入控制方法的流程图。
如图1所示,在无线接入终端希望在企业内接入无线网络时,首先,在步骤S110中,根据无线接入终端的MAC地址,确定所述无线接入终端的类型。例如,可以根据无线接入终端的MAC地址来将无线接入终端分为移动终端或笔记本计算机。当然,还可以将无线接入终端细分为多个其它类型,例如将移动终端分为企业测试移动终端、企业员工测试移动终端,以及将笔记本计算机分为企业笔记本计算机、企业员工笔记本计算机或临时来宾笔记本计算机。然后,流程进行到步骤S120。
在步骤S120中,根据所确定的无线接入终端的类型,利用预先设定的防火墙策略,确定所述无线接入终端的访问权限。
具体地,作为示例,可以首先根据所确定出的无线接入终端的类型,为无线接入终端分配IP地址。然后,根据所分配的IP地址,确定所述无线接入终端的访问权限。
例如,如果无线接入终端的类型被确定为是临时来宾笔记本计算机,则由于临时来宾笔记本计算机是供企业外部的来访人员使用,其不能访问企业内部网络,因此DHCP服务器将A-B之间的网段IP分配给该临时来宾笔记本计算机。然后,根据预先设定的防火墙策略,将具有A-B之间的网段IP的无线接入终端只能访问企业内部网络以外的IP地址,即,只能通过例如访问端口DNS、http、smtp、POP3、GKE等,访问公共网络,例如因特网,而不能访问企业内部网络,例如OA。
如果无线接入终端的类型被确定为是登记过MAC地址的移动终端,例如企业测试移动终端、企业员工测试移动终端,则由于企业测试移动终端、企业员工测试移动终端需要利用企业内部网络来进行测试,同时需要访问外部公共网络,因此DHCP服务器将C-D之间的网段IP分配给该企业测试移动终端或企业员工测试移动终端。然后,根据预先设定的防火墙策略,具有C-D之间的网段IP的无线接入终端的访问不受限制,其既能访问企业内部网络,也能访问公共网络,例如因特网。
作为另一示例,如果无线接入终端的类型被确定为是企业笔记本计算机或企业员工笔记本计算机,其需要访问企业内部网络,则通过在客户端新建一个PPTP拨号连接,通过拨号到无线网关服务器,进行FreeRADIUS认证和授权,授权成功后将企业笔记本计算机或企业员工笔记本计算机的角色转换为PPTP客户端。然后,利用防火墙策略,将其访问权限设置为不受限制,即,既能访问企业内部网络,也能访问公共网络,例如因特网。
在确定所述无线接入终端的访问权限后,流程进行到步骤S130。在步骤S130中,允许所述无线接入终端利用所确定出的访问权限访问对具有访问权限的网络进行访问。
如上参照图1描述了根据本发明的无线网络安全接入控制方法。本发明的上述无线网络安全接入控制方法,可以采用软件实现,也可以采用硬件实现,或采用软件和硬件组合的方式实现。
图2示出了根据本发明的无线网络安全接入控制装置200的方框示意图。如图2所示,无线网络安全接入控制装置200包括无线终端类型确定单元210、访问权限确定单元220和防火墙单元230。其中,访问权限确定单元220可以包括IP地址分配单元(未示出)。
在无线接入终端希望在企业内接入无线网络时,首先,无线终端类型确定单元210根据无线接入终端的MAC地址,确定所述无线接入终端的类型。在确定出无线接入终端的类型后,访问权限确定单元220根据所确定的无线接入终端的类型,利用预先设定的防火墙策略,确定所述无线接入终端的访问权限。具体地,作为示例,可以首先由IP地址分配单元根据所确定出的无线接入终端的类型,为无线接入终端分配IP地址。然后,访问权限确定单元220根据所分配的IP地址,确定所述无线接入终端的访问权限。或者,作为另一示例,如果无线接入终端的类型被确定为是企业笔记本计算机或企业员工笔记本计算机,其需要访问企业内部网络,则通过在客户端新建一个PPTP拨号连接,通过拨号到无线网关服务器,进行FreeRADIUS认证和授权,授权成功后将企业笔记本计算机或企业员工笔记本计算机的角色转换为PPTP客户端。然后,利用防火墙策略,将其访问权限设置为不受限制,即,既能访问企业内部网络,也能访问公共网络,例如因特网。
在确定出无线接入终端的访问权限后,防火墙单元230允许所述无线接入终端利用所确定出的访问权限来对具有访问权限的网络进行访问。
如上参照图1和图2以示例的方式描述根据本发明的无线网络安全接入控制方法和装置。但是,本领域技术人员应当理解,对于上述本发明所提出的网络安全接入控制方法及装置,还可以在不脱离本发明内容的基础上做出各种改进。因此,本发明的保护范围应当由所附的权利要求书的内容确定。
Claims (4)
1.一种无线网络安全接入控制方法,包括:
根据无线接入终端的MAC地址,确定所述无线接入终端的类型;
根据所确定的无线接入终端的类型,为所述无线接入终端分配IP地址或转换为PPTP客户端;
利用预先设定的防火墙策略,根据分配给所述无线接入终端的IP地址或者所述无线接入终端是否转换为PPTP客户端,确定所述无线接入终端的访问权限;以及
允许所述无线接入终端利用所确定出的访问权限来对具有访问权限的网络进行访问,
其中,所述预先设定的防火墙策略包括:如果无线接入终端的IP属于A-B网段之间的网段IP,则该无线接入终端只能访问企业内部网络之外的IP地址;如果无线接入终端的IP属于C-D网段之间的网段IP,则该无线接入终端的访问不受限制;以及如果无线接入终端被转换为PPTP客户端,则该无线接入终端的访问不受限制,
其中,根据所确定的无线接入终端的类型,为所述无线接入终端分配IP地址或转换为PPTP客户端包括:
如果无线接入终端的类型是临时来宾笔记本计算机,则将A-B网段之间的网段IP分配给该无线接入终端;
如果无线接入终端的类型是登记过MAC地址的移动终端,则将C-D网段之间的网段IP分配给该无线接入终端;以及
如果无线接入终端的类型是企业笔记本计算机或企业员工笔记本计算机,则通过在客户端新建PPTP拨号连接,通过拨号到企业内部网络,进行FreeRADIUS认证和授权,并且经过授权成功后转换为PPTP客户端。
2.如权利要求1所述的无线网络安全接入控制方法,其中,所述IP地址是由DHCP服务器来分配的。
3.一种无线网络安全接入控制装置,包括:
无线终端类型确定单元,用于根据无线接入终端的MAC地址,确定所述无线接入终端的类型;
访问权限确定单元,用于根据所确定的无线接入终端的类型,利用预先设定的防火墙策略,确定所述无线接入终端的访问权限;以及
防火墙单元,用于允许所述无线接入终端利用所确定出的访问权限来对具有访问权限的网络进行访问,
其中,所述预先设定的防火墙策略包括:如果无线接入终端的IP属于A-B网段之间的网段IP,则该无线接入终端只能访问企业内部网络之外的IP地址;如果无线接入终端的IP属于C-D网段之间的网段IP,则该无线接入终端的访问不受限制;以及如果无线接入终端被转换为PPTP客户端,则该无线接入终端的访问不受限制,
其中,所述访问权限确定单元被配置为根据无线接入终端的类型,为所述无线接入终端分配IP地址或者转换为PPTP客户端,
其中,如果无线接入终端的类型是临时来宾笔记本计算机,则将A-B网段之间的网段IP分配给该无线接入终端;
如果无线接入终端的类型是登记过MAC地址的移动终端,则将C-D网段之间的网段IP分配给该无线接入终端;以及
如果无线接入终端的类型是企业笔记本计算机或企业员工笔记本计算机,则通过在客户端新建PPTP拨号连接,通过拨号到企业内部网络,进行FreeRADIUS认证和授权,并且经过授权成功后转换为PPTP客户端。
4.如权利要求3所述的无线网络安全接入控制装置,其中,所述IP地址是由DHCP服务器来分配的。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010232097.0A CN101909298B (zh) | 2010-07-15 | 2010-07-15 | 无线网络安全接入控制方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010232097.0A CN101909298B (zh) | 2010-07-15 | 2010-07-15 | 无线网络安全接入控制方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101909298A CN101909298A (zh) | 2010-12-08 |
| CN101909298B true CN101909298B (zh) | 2012-12-26 |
Family
ID=43264586
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010232097.0A Active CN101909298B (zh) | 2010-07-15 | 2010-07-15 | 无线网络安全接入控制方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101909298B (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102916826A (zh) * | 2011-08-01 | 2013-02-06 | 中兴通讯股份有限公司 | 网络接入的控制方法及装置 |
| CN103152360A (zh) * | 2013-03-25 | 2013-06-12 | 上海斐讯数据通信技术有限公司 | 一种基于无线路由器的访客访问网络的方法 |
| CN103269385B (zh) * | 2013-05-14 | 2016-06-22 | 江苏有线技术研究院有限公司 | 受限宽带用户的地址分配方法和鉴权引导方法 |
| CN104159271B (zh) * | 2013-05-15 | 2018-07-31 | 华为技术有限公司 | 边界控制方法、接入控制器和系统 |
| CN103354550A (zh) * | 2013-07-03 | 2013-10-16 | 杭州华三通信技术有限公司 | 一种基于终端信息进行权限控制的方法及装置 |
| CN103532946B (zh) * | 2013-10-09 | 2016-11-23 | 北京奇虎科技有限公司 | 基于无密码或任意密码的网络授权的方法、系统和装置 |
| CN104185181A (zh) * | 2014-08-20 | 2014-12-03 | 成都千牛信息技术有限公司 | 一种基于iptables的WiFi用户接入控制方法 |
| CN106936832B (zh) * | 2017-03-13 | 2020-04-07 | 携程旅游信息技术(上海)有限公司 | 企业级的网络准入方法及系统 |
| CN107135203B (zh) * | 2017-04-05 | 2019-03-08 | 北京明朝万达科技股份有限公司 | 一种终端访问控制策略优化的方法及系统 |
| CN106973068B (zh) * | 2017-05-11 | 2020-10-13 | 北京北信源软件股份有限公司 | 非法设备的发现方法和装置 |
| CN108574693A (zh) * | 2018-04-17 | 2018-09-25 | 四川斐讯信息技术有限公司 | 一种无线路由器的接入管理方法及无线路由器 |
| CN109495888A (zh) * | 2018-12-04 | 2019-03-19 | 深圳市四海伽蓝电子科技有限公司 | 基于无线信号强度的认证连接机制方法 |
| CN118153010A (zh) * | 2022-12-05 | 2024-06-07 | 顺丰科技有限公司 | 系统操作许可方法、装置、终端设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1489341A (zh) * | 2002-09-05 | 2004-04-14 | ���Ͽع�����˾ | 按照终端类型为终端分配局域网资源的方法和服务器 |
| CN101039240A (zh) * | 2007-04-20 | 2007-09-19 | 清华大学 | 一种无线宽带网络的移动终端接入认证方法 |
| CN101060543A (zh) * | 2007-05-29 | 2007-10-24 | 中兴通讯股份有限公司 | 一种限制非dhcp用户上网的方法及装置 |
| EP2061285A2 (en) * | 2007-11-14 | 2009-05-20 | Hand Held Products, Inc. | Encoded information reading terminal with wireless path selection capability |
-
2010
- 2010-07-15 CN CN201010232097.0A patent/CN101909298B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1489341A (zh) * | 2002-09-05 | 2004-04-14 | ���Ͽع�����˾ | 按照终端类型为终端分配局域网资源的方法和服务器 |
| CN101039240A (zh) * | 2007-04-20 | 2007-09-19 | 清华大学 | 一种无线宽带网络的移动终端接入认证方法 |
| CN101060543A (zh) * | 2007-05-29 | 2007-10-24 | 中兴通讯股份有限公司 | 一种限制非dhcp用户上网的方法及装置 |
| EP2061285A2 (en) * | 2007-11-14 | 2009-05-20 | Hand Held Products, Inc. | Encoded information reading terminal with wireless path selection capability |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101909298A (zh) | 2010-12-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101909298B (zh) | 无线网络安全接入控制方法和装置 | |
| US8131846B1 (en) | Global, location-aware computer security | |
| EP3085020B1 (en) | Security gateway for a regional/home network | |
| US8806593B1 (en) | Guest account management using cloud based security services | |
| EP2584809B1 (en) | Associating services to perimeters | |
| EP2733909B1 (en) | Terminal control method and device, and terminal | |
| CN109460660A (zh) | 一种移动设备安全管理系统 | |
| CN101188557B (zh) | 管理用户上网行为的方法、客户端、服务器和系统 | |
| CN101361082A (zh) | 用于安全远程台式机访问的系统和方法 | |
| KR101534307B1 (ko) | 스마트기기를 통한 내부 기밀 자료 유출 방지 및 추적 시스템 및 그 방법 | |
| KR101230500B1 (ko) | 네트워크 자원 통합 관리 시스템 및 그 방법 | |
| CN101588360A (zh) | 内部网络安全管理的相关设备及方法 | |
| CN103761600A (zh) | 一种电子政务综合应用平台及方法 | |
| EP2941730B1 (en) | Resource protection on un-trusted devices | |
| CN106992984A (zh) | 一种基于电力采集网的移动终端安全接入信息内网的方法 | |
| CN104767621B (zh) | 一种移动应用访问企业数据的单点安全认证方法 | |
| CN105162763A (zh) | 通讯数据的处理方法和装置 | |
| Sharma et al. | Security-as-a-Service from Clouds: A comprehensive Analysis | |
| CN103069767B (zh) | 交付认证方法 | |
| CN104080087B (zh) | 一种视频监控系统的无线接入方法及装置 | |
| CN105681352B (zh) | 一种无线网络访问安全管控方法和系统 | |
| CN103491054A (zh) | Sam准入系统 | |
| CN103793658A (zh) | 一种基于vpn的离线文件的保护系统及方法 | |
| CN102822840A (zh) | 使用管理系统和使用管理方法 | |
| CN105227641A (zh) | 一种基于虚拟化的电网移动办公系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |