CN102833227A - 一种无线访问控制器中访问控制列表实现方法和系统 - Google Patents
一种无线访问控制器中访问控制列表实现方法和系统 Download PDFInfo
- Publication number
- CN102833227A CN102833227A CN2012102386110A CN201210238611A CN102833227A CN 102833227 A CN102833227 A CN 102833227A CN 2012102386110 A CN2012102386110 A CN 2012102386110A CN 201210238611 A CN201210238611 A CN 201210238611A CN 102833227 A CN102833227 A CN 102833227A
- Authority
- CN
- China
- Prior art keywords
- data
- unit
- access control
- access
- processing unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种无线访问控制器中访问控制列表实现方法和系统,方法包括步骤:截获用户上网的数据,并对所述数据进行解析;配置访问控制规则;根据解析结果、数据目的地和所配置的访问控制规则将所述数据进行处理。系统包括数据捕获单元、数据解析单元、访问配置单元,以及访问控制单元;其中,所述数据捕获单元、数据解析单元、数据处理单元和访问控制单元依次连接;所述数据捕获单元将捕获的数据发送给所述数据解析单元;所述数据解析单元将数据解析后发送给所述数据处理单元;所述数据处理单元根据所述访问控制规则调用所述访问控制单元的接口。采用了本发明的技术方案,能够对无线访问控制器管理的所有上网用户和访问点进行监控和防护。
Description
技术领域
本发明涉及无线通信领域,具体涉及一种无线访问控制器中访问控制列表实现方法和系统。
背景技术
随着无线局域网在我国大规模部署和应用,满足了人们对于无线上网的需求.但是无线网络上也存在着一些不安全因素,加上运营商对用户上网流量和时长等的控制需求,因此需要无线访问控制器上实现访问控制列表来对无线上网用户进行访问控制和保护。
通用交换机上附带有访问控制列表功能,由于交换机仅作为一个交换设备并不能保证对所在无线网络中所有上网用户和访问点进行监控. 这不利于对上网用户和访问点的控制。
可见,通用交换机上实现访问控制有一定的局限性,不能完全满足移动运营商的需要,需要进行改进。
发明内容
本发明的目的是提供一种无线访问控制器中访问控制列表实现方法和系统,以满足目前对无线上网用户和访问点进行控制和保护的需求。
本发明提供一种无线访问控制器中访问控制列表实现方法,包括步骤:截获用户上网的数据,并对所述数据进行解析;配置访问控制规则;根据解析结果、数据目的地和所配置的访问控制规则将所述数据丢弃、传送给无线控制器上层应用处理、或进行转发。
本发明的一种无线访问控制器中访问控制列表实现方法,还包括以下步骤:将所述数据加工成以太网帧的格式。
本发明的一种无线访问控制器中访问控制列表实现方法,进一步包括以下步骤:将所述以太网帧按照以太网类型、MAC地址、IP地址、协议类型和端口号进行解析。
本发明的一种无线访问控制器中访问控制列表实现方法,进一步包括以下步骤:使用访问配置装置配置访问控制规则,并将访问控制规则以规则列表的形式传送给存储装置。
本发明还提供一种实现无线访问控制器中访问控制列表的系统,包括用于截获用户上网的数据捕获单元、用于解析数据的数据解析单元、用于配置访问控制规则的访问配置单元,以及用于对所述数据根据解析结果、数据目的地和所配置的访问控制规则进行处理的访问控制单元;其中,所述数据捕获单元、数据解析单元、数据处理单元和访问控制单元依次连接;所述数据捕获单元将捕获的数据发送给所述数据解析单元;所述数据解析单元将数据解析后发送给所述数据处理单元;所述数据处理单元根据所述访问控制规则调用所述访问控制单元的接口。
本发明的一种实现无线访问控制器中访问控制列表的系统,还包括存储单元,其中,所述存储单元分别与所述访问配置单元和所述数据处理单元连接,所述访问配置单元将所述访问控制规则所形成的规则列表发送给所述访问存储单元,所述数据处理单元访问所述存储单元中的规则列表。
本发明的一种实现无线访问控制器中访问控制列表的系统,所述数据被加工成以太网帧的格式。
本发明的一种实现无线访问控制器中访问控制列表的系统,所述以太网帧被解析成以太网类型、MAC地址、IP地址、协议类型和端口号。
本发明的一种实现无线访问控制器中访问控制列表的系统,所述解析单元的工作流程包括下列步骤: 10:数据解析单元接收数据捕获单元发送的以太网帧;11:解析单元从太网帧头解析出以太网类型、源MAC和目的MAC地址;12:解析单元从IP头解析出IP地址、上层协议类型;13:判断协议类型,如果是TCP或UDP类型则转到步骤14;否则转到步骤15;14:解析出应用层端口号,如果是则转到15;15:将解析结果发送给数据处理单元。
本发明的一种实现无线访问控制器中访问控制列表的系统,所述数据处理单元的工作流程包括以下步骤:16:数据处理单元接收数据解析单元的解析结果;17:查询以太网类型访问控制列表;18:匹配到则转到27;否则,转到19;19:查询MAC地址访问控制列表;20:匹配到则转到27;否则,转到21;21:查询IP地址访问控制列表;22:匹配到则转到27;否则,转到23;23:查询协议类型访问控制列表;24:匹配到则转到27;否则,转到25;25:查询端口号访问控制列表;26:匹配到则转到27;否则,转到27;27:将处理结果发送给访问控制模块。
本发明的一种实现无线访问控制器中访问控制列表的系统,所述访问控制单元处理所述数据的方式包括将所述数据丢弃、传送给无线控制器上层应用处理、或进行转发。
本发明的技术效果在于,通过在无线控制器中用户上网数据进行控制,通过事先配置好的访问控制列表规则来匹配用户上网数据报文中字段信息的方法来对用户和访问点实现访问控制,能够对无线访问控制器管理的所有上网用户和访问点进行监控和防护,同现有技术相比更切合实际应用场景,更安全高效和快捷实用。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1是本发明具体实施方式一的结构方框图;
图2 是本发明具体实施方式一中数据解析单元的工作流程图;
图3 是本发明具体实施方式一数据处理单元的工作流程图。
其中,100—数据捕获单元;200—数据解析单元;300—数据处理单元;400—访问配置单元;500—访问存储单元;600—访问控制单元。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
本发明提供一种无线访问控制器中访问控制列表实现方法,包括步骤:截获用户上网的数据,并对所述数据进行解析;配置访问控制规则;根据解析结果、数据目的地和所配置的访问控制规则将所述数据丢弃、传送给无线控制器上层应用处理、或进行转发。
本发明还提供一种实现无线访问控制器中访问控制列表的系统,包括用于截获用户上网的数据捕获单元、用于解析数据的数据解析单元、用于配置访问控制规则的访问配置单元,以及用于对所述数据根据解析结果、数据目的地和所配置的访问控制规则进行处理的访问控制单元;其中,所述数据捕获单元、数据解析单元、数据处理单元和访问控制单元依次连接;所述数据捕获单元将捕获的数据发送给所述数据解析单元;所述数据解析单元将数据解析后发送给所述数据处理单元;所述数据处理单元根据所述访问控制规则调用所述访问控制单元的接口。
以下将结合说明书附图,详细描述本发明。
如图1所示,数据捕获单元100, 数据解析单元200, 数据处理单元300和访问控制单元600依次连接;访问配置单元400、访问存储单元500和数据处理单元300依次连接。
其中,数据捕获单元100负责截获用户上网的数据,并将以太网帧发给数据解析单元200;
数据解析单元200负责对报文的以太网类型、MAC地址、IP地址、协议类型、端口号等进行解析,并将解析的结果发给数据处理单元300;
数据处理单元300负责根据访问存储单元400中存储的访问控制列表对数据解析单元200发来的数据进行分析和处理,依据处理结果调用访问控制单元600提供的接口决定该对用户数据执行的动作;
访问配置单元400负责配置访问控制列表,并将规则列表下发给访问存储单元500;
访问存储单元500负责存储访问控制列表来提供给数据处理单元300查询;
访问控制单元600负责根据数据处理单元300的处理结果和数据目的地来决定数据是被丢弃,是给无线控制器上层应用处理,还是转发出去。
如图2所示, 解析单元的工作流程包括下列步骤:
10:数据解析单元接收数据捕获单元发送的以太网帧;
11:解析单元从太网帧头解析出以太网类型、源MAC和目的MAC地址;
12:解析单元从IP头解析出IP地址、上层协议类型;
13:判断协议类型,如果是TCP或UDP类型则转到步骤14;否则转到步骤15;
14:解析出应用层端口号,如果是则转到15;
15:将解析结果发送给数据处理单元。
如图3所示,数据处理单元的工作流程包括以下步骤:
16 :数据处理单元接收数据解析单元的解析结果;
17:查询以太网类型访问控制列表;
18:匹配到则转到27;否则,转到19;
19:查询MAC地址访问控制列表;
20: 匹配到则转到27;否则,转到21;
21: 查询IP地址访问控制列表;
22: 匹配到则转到27;否则,转到23;
23 : 查询协议类型访问控制列表;
24 : 匹配到则转到27;否则,转到25;
25:查询端口号访问控制列表;
26:匹配到则转到27;否则,转到27;
27:将处理结果发送给访问控制模块。
本发明的技术效果在于,通过在无线控制器中用户上网数据进行控制,通过事先配置好的访问控制列表规则来匹配用户上网数据报文中字段信息的方法来对用户和访问点实现访问控制,能够对无线访问控制器管理的所有上网用户和访问点进行监控和防护,同现有技术相比更切合实际应用场景,更安全高效和快捷实用。
综上所述,在本发明中,采用所述的一种无线访问控制器中访问控制列表实现方法和系统,能够对对无线访问控制器管理的所有上网用户和访问点进行有效监控和防护,既保证对用户和访问点的合法性检测,提高用户感知,同时又尽可能地提高无线访问控制器防御恶意攻击的能力,提升无线业务的质量。
Claims (10)
1.一种无线访问控制器中访问控制列表实现方法,其特征在于,包括步骤:
截获用户上网的数据,并对所述数据进行解析;
配置访问控制规则;
根据解析结果、数据目的地和所配置的访问控制规则将所述数据丢弃、传送给无线控制器上层应用处理、或进行转发。
2.如权利要求1所述的方法,其特征在于,还包括以下步骤:
将所述数据加工成以太网帧的格式。
3.如权利要求2所述的方法,其特征在于,进一步包括以下步骤:
将所述以太网帧按照以太网类型、MAC地址、IP地址、协议类型和端口号进行解析。
4.如权利要求1或2所述的方法,其特征在于,进一步包括以下步骤:
使用访问配置装置配置访问控制规则,并将访问控制规则以规则列表的形式传送给存储装置。
5.一种实现无线访问控制器中访问控制列表的系统,其特征在于,包括用于截获用户上网的数据捕获单元、用于解析数据的数据解析单元、用于配置访问控制规则的访问配置单元,以及用于对所述数据根据解析结果、数据目的地和所配置的访问控制规则进行处理的访问控制单元;
其中,所述数据捕获单元、数据解析单元、数据处理单元和访问控制单元依次连接;所述数据捕获单元将捕获的数据发送给所述数据解析单元;所述数据解析单元将数据解析后发送给所述数据处理单元;所述数据处理单元根据所述访问控制规则调用所述访问控制单元的接口。
6.如权利要求5所述的系统,其特征在于,还包括存储单元,其中,
所述存储单元分别与所述访问配置单元和所述数据处理单元连接,所述访问配置单元将所述访问控制规则所形成的规则列表发送给所述访问存储单元,所述数据处理单元访问所述存储单元中的规则列表。
7.如权利要求5或6所述的系统,其特征在于,所述数据被加工成以太网帧的格式。
8.如权利要求7所述的系统,其特征在于,所述解析单元的工作流程包括下列步骤:
10:数据解析单元接收数据捕获单元发送的以太网帧;
11:解析单元从太网帧头解析出以太网类型、源MAC和目的MAC地址;
12:解析单元从IP头解析出IP地址、上层协议类型;
13:判断协议类型,如果是TCP或UDP类型则转到步骤14;否则转到步骤15;
14:解析出应用层端口号,如果是则转到15;
15:将解析结果发送给数据处理单元。
9.如权利要求7所述的系统,其特征在于,所述数据处理单元的工作流程包括以下步骤:
16:数据处理单元接收数据解析单元的解析结果;
17:查询以太网类型访问控制列表;
18:匹配到则转到27;否则,转到19;
19:查询MAC地址访问控制列表;
20:匹配到则转到27;否则,转到21;
21:查询IP地址访问控制列表;
22:匹配到则转到27;否则,转到23;
23:查询协议类型访问控制列表;
24:匹配到则转到27;否则,转到25;
25:查询端口号访问控制列表;
26:匹配到则转到27;否则,转到27;
27:将处理结果发送给访问控制模块。
10.如权利要求5或6所述的系统,其特征在于,所述访问控制单元处理所述数据的方式包括将所述数据丢弃、传送给无线控制器上层应用处理、或进行转发。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012102386110A CN102833227A (zh) | 2012-07-11 | 2012-07-11 | 一种无线访问控制器中访问控制列表实现方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012102386110A CN102833227A (zh) | 2012-07-11 | 2012-07-11 | 一种无线访问控制器中访问控制列表实现方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102833227A true CN102833227A (zh) | 2012-12-19 |
Family
ID=47336199
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2012102386110A Pending CN102833227A (zh) | 2012-07-11 | 2012-07-11 | 一种无线访问控制器中访问控制列表实现方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102833227A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107395639A (zh) * | 2017-08-29 | 2017-11-24 | 天津艾科仪科技有限公司 | 智能获取网络中视频数据的方法与系统 |
| CN108781207A (zh) * | 2016-03-21 | 2018-11-09 | 谷歌有限责任公司 | 动态创建访问控制列表的方法和系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050055573A1 (en) * | 2003-09-10 | 2005-03-10 | Smith Michael R. | Method and apparatus for providing network security using role-based access control |
| CN101115018A (zh) * | 2007-09-17 | 2008-01-30 | 中兴通讯股份有限公司 | 控制设备访问的方法 |
| CN101188557A (zh) * | 2007-12-07 | 2008-05-28 | 杭州华三通信技术有限公司 | 管理用户上网行为的方法、客户端、服务器和系统 |
| CN101505236A (zh) * | 2009-03-12 | 2009-08-12 | 成都市华为赛门铁克科技有限公司 | 一种实现绿色上网的方法和装置 |
| CN201341238Y (zh) * | 2008-12-30 | 2009-11-04 | 海尔集团公司 | 无线路由器 |
-
2012
- 2012-07-11 CN CN2012102386110A patent/CN102833227A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050055573A1 (en) * | 2003-09-10 | 2005-03-10 | Smith Michael R. | Method and apparatus for providing network security using role-based access control |
| CN101115018A (zh) * | 2007-09-17 | 2008-01-30 | 中兴通讯股份有限公司 | 控制设备访问的方法 |
| CN101188557A (zh) * | 2007-12-07 | 2008-05-28 | 杭州华三通信技术有限公司 | 管理用户上网行为的方法、客户端、服务器和系统 |
| CN201341238Y (zh) * | 2008-12-30 | 2009-11-04 | 海尔集团公司 | 无线路由器 |
| CN101505236A (zh) * | 2009-03-12 | 2009-08-12 | 成都市华为赛门铁克科技有限公司 | 一种实现绿色上网的方法和装置 |
Non-Patent Citations (1)
| Title |
|---|
| 朱芳: "公共无线局域网络(PWLAN)安全体系及其应用——接入控制技术研究", 《中国优秀硕士学位论文全文数据库(电子期刊) 信息科技辑》 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108781207A (zh) * | 2016-03-21 | 2018-11-09 | 谷歌有限责任公司 | 动态创建访问控制列表的方法和系统 |
| CN108781207B (zh) * | 2016-03-21 | 2021-03-12 | 谷歌有限责任公司 | 动态创建访问控制列表的方法和系统 |
| US11038888B2 (en) | 2016-03-21 | 2021-06-15 | Google Llc | Methods and systems for dynamic creation of access control lists |
| US11750614B2 (en) | 2016-03-21 | 2023-09-05 | Google Llc | Methods and systems for dynamic creation of access control lists |
| CN107395639A (zh) * | 2017-08-29 | 2017-11-24 | 天津艾科仪科技有限公司 | 智能获取网络中视频数据的方法与系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102045214B (zh) | 僵尸网络检测方法、装置和系统 | |
| EP2939454B1 (en) | System and method for correlating network information with subscriber information in a mobile network environment | |
| CN101924757B (zh) | 追溯僵尸网络的方法和系统 | |
| CN105721457B (zh) | 基于动态变换的网络安全防御系统和网络安全防御方法 | |
| CN102035793B (zh) | 僵尸网络检测方法、装置以及网络安全防护设备 | |
| EP2773073B1 (en) | Entry generation method, message receiving method, and corresponding device and system | |
| CN106130962B (zh) | 一种报文处理方法和装置 | |
| US20170134957A1 (en) | System and method for correlating network information with subscriber information in a mobile network environment | |
| US20160119367A1 (en) | Method, apparatus, and system for cooperative defense on network | |
| US9467360B2 (en) | System, device and method for managing network traffic by using monitoring and filtering policies | |
| CN105577670B (zh) | 一种撞库攻击的告警系统 | |
| CN110391988B (zh) | 网络流量控制方法、系统及安全防护装置 | |
| CN107800668B (zh) | 一种分布式拒绝服务攻击防御方法、装置及系统 | |
| JP2008172548A (ja) | 不正アクセス情報収集システム | |
| CN109587156A (zh) | 异常网络访问连接识别与阻断方法、系统、介质和设备 | |
| CN108092940B (zh) | 一种dns的防护方法及相关设备 | |
| CN104519012A (zh) | 基于sip协议的通信网攻击的检测方法及系统 | |
| CN108574673A (zh) | 应用于网关的arp报文攻击检测方法及装置 | |
| CN113098894A (zh) | 一种基于随机化算法的sdn网络ip地址跳变方法 | |
| CN105959289A (zh) | 一种基于自学习的OPC Classic协议的安全检测方法 | |
| JP2013070325A (ja) | 通信システム、通信装置、サーバ、通信方法 | |
| CN104702591A (zh) | 一种基于端口转发复用技术穿透防火墙的方法和系统 | |
| CN102833227A (zh) | 一种无线访问控制器中访问控制列表实现方法和系统 | |
| CN103916489A (zh) | 一种单域名多ip的域名解析方法及系统 | |
| KR101065800B1 (ko) | 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20121219 |