CN103002441B - 一种端到端的无线安全架构系统和方法 - Google Patents

Abstract

一种端到端的无线安全架构系统，其特征在于，无线网络控制器AC部署于无线局域网和内部有线局域网之间，所有来自于无线局网的数据都必须经过无线网络控制器AC才能进入内部有线局域网，无线局域网的接入点都是Thin AP；而且，无线网络控制器AC进行如下配置：无线网络控制器AC加密或者解密所有来自于无线网络的数据，并将其传输至内部有线局域网；无线网络控制器AC在无线局域网和内部有线局域网之间提供网络验证和授权服务以及防火墙服务；无线网络控制器AC管理无线接入点ThinAP。本发明所述的无线安全架构系统进一步提高了系统的安全性，同时利用角色控制，降低了大型无线安全网络的复杂性。

Description

一种端到端的无线安全架构系统和方法

技术领域

本发明涉及无线网络的安全控制技术，特别设计一种端到端的无线安全架构系统和方法。

背景技术

在本领域现有技术中，通常在无线局域网和内部局域网间使用防火墙。Fat AP配置于无线网络中，防火墙保护内部局域网免受来自于无线局域网的攻击。无线局域网通过使用数据加密技术（Encrypting）和网络验证技术（Authenticating）保护无线传输的数据，避免受到外界的黑客攻击。图3为现有技术中的无线安全网络架构示意图，现有技术的无线网络安全架构如图3所示。实际上，每个依附于互联网的局域网都使用隔离区（DMZ,Demilitarized Zone）保护受信赖的局域网免受不被信任的用户入侵。无线局域网通过加密故障检测来监控有效用户以及试图伪造成有效用户的入侵者。然而，现有技术中的无线局域网是在无线接入点AP(Wireless Access Point）进行数据加密，也就是说网络验证的唯一有效点位于无线接入点AP上。一旦用户数据通过了无线接入点AP，所有用户的被解码的数据就会发生混淆，每一个数据包看起来都是相似的。因此一个恶意入侵者可以伪装成已经进入内部有线局域网的用户。如果这个入侵者伪装成guest用户或者内部局域网用户，加密数据保护就会失效。大部分无线加密协议都不会加密MAC码，从而使入侵者轻易伪装成有效的MAC码，从而入侵至内部局域网。

在这种情况下，使数据从无线局域网隔离的唯一办法就是防火墙。防火墙是无线局域网和有线内部网的最后防线，而网络验证机制和高级别的网络监控在内部有线局域网中已经完成，不会再度进行。此时只有防火墙才能对入侵者进行检测。但是防火墙无法对用户进行识别和网络验证，而且还不能识别接收到的数据包是来自于无线局域网（802.11标准），还是来自于有线局域网(802.3标准)，对于防火墙而言，接收到的数据包都属于有线内部局域网（802.3标准）。因此，防火墙在网络接入控制时，无法进行有效的用户角色判断和识别判断，无法区别来自于无线局域网或者内部有线局域网的数据包，而且也不是网络验证程序的一部分。换句话说，在无线接入点AP和防火墙的网络验证过程中，存在缺陷，这就导致整个网络容易受到攻击。

关于Fat AP和Thin AP的区别：

Fat AP的主要特点：

1、Fat AP是与Thin AP相对来讲的，Fat AP将WLAN的物理层、用户数据加密、用户认证、QoS、网络管理、漫游技术以及其他应用层的功能集于一身；

2、Fat AP无线网络解决方案可由由Fat AP直接在有线网的基础上构成；

3、Fat AP设备结构复杂，且难于集中管理。

Thin AP的主要特点：

1、Thin AP是相对Fat AP来讲的，它是一个只有加密、射频功能的AP，功能单一，不能独立工作；

2、整个Thin AP无线网络解决方案由无线交换机和Thin AP在有线网的基础上构成；

3、Thin AP上“零配置”，所有配置都集中到无线交换机上。这也促成了Thin AP解决方案更加便于集中管理，并由此具有三层漫游、基于用户下发权限等Fat AP不具备的功能。

发明内容

本发明提供一种端到端的无线安全架构系统和方法，用于解决现有技术中由于使用Fat AP导致的无线安全网络易受攻击，现有无线安全网络系统无法区分数据包是来自于无线局域网（802.11标准）还是来自于有线局域网(802.3标准)，现有无线安全网络系统无法进行有效的用户角色判断、无法进行网络验证的问题，进一步提高无线网络系统的安全性。

本发明提供的一种端到端的无线安全架构系统，包括无线网络控制器AC、无线网络接入点，其中，

无线网络控制器AC部署于无线局域网和内部有线局域网之间，所有来自于无线局域网的数据经过无线网络接入点后通过无线网络控制器AC进入内部有线局域网，无线网络接入点都是Thin AP；

而且，无线网络控制器AC进行如下配置：

无线网络控制器AC加密或者解密所有来自于无线网络的数据，并将其传输至内部有线局域网；

无线网络控制器AC在无线局域网和内部有线局域网之间提供网络验证和授权服务以及防火墙服务；

无线网络控制器AC管理无线接入点Thin AP。

进一步，本发明所述的端到端的无线安全架构系统，还包括：

系统角色控制模块，用于配置角色参数，为所有登陆进所述系统的用户分配角色，并且根据用户角色对用户进行安全控制；

进一步，本发明所述的端到端的无线安全架构系统，所述系统角色控制模块，为首次进入所述系统的用户分配logon角色；

所述logon角色的配置如下：

logon角色只能从动态主机配置协议DHCP获得IP地址，只能使用域名服务器DNS，只能发送ping码，只能将超文本传输协议HTTP和HTTPS的数据通过交换机发送至可获取的节点上，其他的通讯都被禁止。

进一步，本发明所述的端到端的无线安全架构系统，所述系统角色控制模块为获得logon角色的用户进行第二次角色分配，分配角色为member角色；

所述member角色的配置如下：

member角色的用户可以使其数据通过所有来自于互联网和内部局域网的安全协议。

进一步，本发明所述的端到端的无线安全架构系统，所述member角色的用户通过加载虚拟私人网络VPN拨号程序，自动配置通过操作系统获得的虚拟私人网络VPN客户端，VPN客户端使用户数据通过可以获得的接入口，并且对用户进行网络验证以及对用户数据进行加密或者解密。

进一步，本发明所述的端到端的无线安全架构系统，所述系统角色控制模块为获得logon角色的用户进行第二次角色分配，分配角色为guest角色；

所述guest角色的配置如下：

guest角色的用户只能使用超文本传输协议和HTTPS，而且其数据仅用于互联网的终端而不是内部有线局域网络中；邮件服务协议SMTP、电话通讯网telnet、文件传输协议FTP协议对于guest用户是被禁止的。

进一步，本发明所述的端到端的无线安全架构系统，所述系统角色控制模块为获得logon角色的用户进行第二次角色分配，分配角色为device角色；

所述device角色的配置如下：

device角色用于不能使用802.1标准和虚拟私人网络VPN的网络设备，对device角色用户提供仅用于该设备本身数据需要的受限制的数据通道。

进一步，本发明所述的端到端的无线安全架构系统，所述系统角色控制模块为获得logon角色的用户进行第二次角色分配是通过动态目录的工作组信息进行的。

本发明提供的一种端到端的无线安全架构方法，包括：

步骤S1，配置无线网络控制器AC和系统角色控制模块；

步骤S2，为首次进入所述系统的用户分配logon角色；

logon角色只能从动态主机配置协议DHCP获得IP地址，只能使用域名服务器DNS，只能发送ping码，只能将超文本传输协议HTTP和HTTPS的数据通过交换机发送至可获取的节点上，其他的通讯都被禁止；

步骤S3，为获得logon角色的用户进行第二次角色分配，分配角色包括以下任意一项：member角色、guest角色、device角色；

member角色的用户可以使其数据通过所有来自于互联网和内部局域网的安全协议；

guest角色的用户只能使用超文本传输协议和HTTPS，而且其数据仅用于互联网的终端而不是内部网络中；邮件服务协议SMTP、电话通讯网telnet、文件传输协议FTP协议对于guest用户是被禁止的；

device角色用于不能使用802.1标准和虚拟私人网络VPN的网络设备，对device角色用户提供仅用于该设备本身数据需要的受限制的数据通道。

本发明提供一种端到端的无线安全架构系统和方法，具有如下优点：

一、本发明所述的无线安全架构系统可以在内部有线局域网里区分数据是来自于无线局域网（802.11标准）还是来自于有线局域网(802.3标准)，使入侵者即使通过无线局网的安全措施，还能在内部有线局域网中得到监控，进一步提高了系统的安全性。

二、由于采用了系统角色控制模块，可以为本发明所述的无线安全架构系统提供基于角色的安全控制，减少了虚拟局域网的数量，仅使用一个虚拟局域网即可实现角色控制，降低了大型无线安全网络的复杂性。

三、对于打印机、电话通讯设备等，由于采用了角色控制，可以解决这类设备在现有无线局网中的角色混淆问题，根据角色设置，可以进行不同的控制，同时也阻止了入侵者通过伪装此类设备的IP地址和MAC码而绕过无线安全系统的监控。

附图说明

图1为本发明实施例的无线安全架构系统的架构示意图；

图2为本发明实施例的无线安全架构方法的流程示意图；

图3为现有技术中的无线安全网络架构示意图；

图4为本发明实施例的无线安全架构系统的实施架构示意图；

附图标记说明，

1：无线网络控制器AC；2：系统角色控制模块；3：Thin AP；

4：无线局域网；5：内部有线局域网；

201：logon角色；202：member角色；203：guest角色；

204：device角色。

具体实施方式

为了更好地理解本发明，下面结合附图与具体实施方式对本发明作进一步描述。

图1为本发明实施例的无线安全架构系统的架构示意图，如图1所示，本发明实施例提供的一种端到端的无线安全架构系统，包括无线网络控制器AC1、无线网络接入点3，其中，

无线网络控制器AC1部署于无线局域网4和内部有线局域网5之间，所有来自于无线局域网的数据经过无线网络接入点3后通过无线网络控制器AC1进入内部有线局域网，无线网络接入点都是Thin AP；

而且，无线网络控制器AC1进行如下配置：

无线网络控制器AC1加密或者解密所有来自于无线网络的数据，并将其传输至内部有线局域网5；

无线网络控制器AC1在无线局域网4和内部有线局域网5之间提供网络验证和授权服务以及防火墙服务；

无线网络控制器AC1管理无线接入点Thin AP3。

无线接入点AP附属于内部有线局域网，通过Thin AP把数据传输至无线网络控制器AC（Access Control)。ThinAP配置无线接入点控制与配置协议CAPWAP（Control And Provisioning Of Wireless AccessPoints）。CAPWAP是建立在用户数据报协议UDP（User DatagramProtocol）之上的应用层协议。CAPWAP协议的核心思想是：在AC与AP间建立一条隧道，将控制报文和用户数据报文承载在隧道内，便于集中管理和保护用户数据。CAPWAP隧道分为控制隧道和数据隧道，控制隧道传送CAPWAP控制报文，数据隧道传送数据报文。CAPWAP按照功能实现和数据转发格式的不同定义了两种协议架构：Local MAC、Split MAC。本发明实施例提供的无线安全架构系统同时支持local-MAC和split-MAC这两种模式，在Split-MAC模式下为用户提供更加安全的端到端的加密方法，保证数据的安全性。

在现有技术中的网络安全架构中，一旦无线网络的数据进入到内部有线局域网中，就会发生数据混淆，防火墙将无法识别这些数据包的区别，除非是通过IP地址或者MAC码。实际上，防火墙不能区别哪些数据包是来自于无线局域网，哪些数据包来自于内部有线局域网。而本发明所述技术不同。

通过在无线网络控制器AC（Wireless Access Point Controller）进行无线网络数据的传输，可以清楚的知道哪些数据包是来自于无线局域网的，因为没有其他数据通过无线网络控制器AC的通道传输，因此，所有来自于此通道的数据都是来自于无线网络设备，而没有通过此通道传输的数据都来自于有线网络设备。因为所有的有线网络数据都通过无线网络控制器AC传输，所以对这些数据可以进行状态监控。甚至于可以对来自于两个以上的用户共用同一个无线接入点AP的数据进行监控。

但是无线局域网的恶意入侵者可以通过伪装成为一个有效的无线局域网用户来实施入侵。对于这种情况，可以从两个方面对恶意入侵者进行制止，

一、所有的数据都是在无线网络控制器AC上进行加密和解密，而不是在无线接入点AP上进行。这就意味着没有数据可以在不受控制的情况下传输，而且恶意入侵者也无法截获这些数据；

二、无线网络控制器AC也对用户进行着网络验证和授权。不同于现有技术中使用防火墙利用IP地址或者MAC码对用户进行监控，在本发明所述的架构体系下，所有通过防火墙的数据都具有用户识别数据。在现有技术中，无线接入点AP是用户识别数据的最后来源，而移动应用控制终端AC可以识别网络数据来自于何处，并且判断这些数据是否可以被传输至内部有线局域网。因为无线网络控制器AC可以识别哪些数据是从无线局域网传输出来的，所以AC可以识别哪些用户是无线局域网的用户，哪些用户是内部有线局域网的用户。这就是说无线网络控制器AC不同于现有技术的防火墙，可以通过例如设置黑名单的方式，把违反防火墙协议的用户区别出来。

综上，这些特征建立了一个可信赖的的移动网络安全架构，提供端到端的安全服务，这些服务至少优于现有的大部分有线局域网。

图4为本发明实施例的无线安全架构系统的实施架构示意图，本发明实施例所述的实施架构如图4所示。

进一步，本发明所述的端到端的无线安全架构系统，还包括：

系统角色控制模块2，用于配置角色参数，为所有登陆进所述系统的用户分配角色，并且根据用户角色对用户进行安全控制；

在通常情况下，为了建立所述的移动网络安全架构，需要重新设计无线局域网和内部有线局域网，对不同的用户以及网络设备分别进行识别。因为大部分无线网络解决方案都把服务集标识符SSID（ServiceSet Identifier）映射到虚拟局域网，所以这种识别就是一种选择机制。每个无线接入点AP广播发送数个服务集标识符SSID，每个服务集标识符SSID都被分配给不同的用户、应用或者网络设备。这就可以使网络根据SSID的种类，区分不同的工作组，同时为每个工作组配置不同的防火墙或者服务质量（Quality of Service）。这种配置模式适用于包含少量不同工作组的网络。然而，当无线局域网扩张并且加入更多服务集标识符SSID和更多用户时，需要配置更多的虚拟局域网VLAN（Virtual Local Area Network），每个虚拟局域网必须通过配线柜（Wiring Closet）连接数据中心，这就带来了配置网络复杂的问题。

这种模式也需要使用传统的具有双层机制的虚拟局域网作为安全协议控制模块，保护各种种类的用户。这不是虚拟局域网最初设计用来完成的工作。增加更多的服务集标识符SSID，就需要增加更多的虚拟局域网VLAN，这就导致其网络架构远远比仅拥有一个虚拟局域网VLAN的情况复杂。当加入一个虚拟局域网VLAN时，不仅仅是加入一个双层的广播域，还需要修改安全架构、服务质量QoS和IP路由选择路径。

然而使这种架构体系崩溃的真正原因是网络设备混淆。例如，如果一个用户使用便携移动终端，正在上网冲浪并且同时进行电话通讯，这个用户应该使用何种服务集标识符SSID。如果是拥有低服务质量QoS的employee角色，则会影响电话通讯。如果这个设备是电话通讯角色，那么下载邮件或者文件会影响电话通讯。因为这个设备的服务集标识符SSID只能选择是employee角色或者电话通讯，这就变成了一个无法工作的架构方案。

另一个问题是服务集标识符SSID的数量。当更多的服务集标识符SSID被建立以支持不同的用户，会对射频（RF）环境下的网络构成影响。每个服务集标识符SSID需要一个来自于无线接入点AP的独立的锚节点（Beacon），来获得服务集标识符SSID的有效验证信息。每次无线接入点AP发送一个锚节点，但是不能从用户获得相应反馈信息。服务集标识符SSID越多，无线接入点发送的锚节点越多，相应的，射频环境边的越拥堵，而用户进行信息传输的成功率越低。这会严重影响用户的体验。

当把用户的数据通过设置角色进行区分时，所有这些都可以通过服务集标识符SSID而实现，而不是通过建立新的虚拟局域网（VirtualLocal Area Network）。更进一步，网络路径服务质量控制和带宽协议也可以得到实现。

进一步，本发明所述的端到端的无线安全架构系统，所述系统角色控制模块，为首次进入所述系统的用户分配logon角色201；

所述logon201角色的配置如下：

当一个终端用户经过无线接入线点AP的认证，该用户产生的数据流会自动触发AC设置用户角色为Logon。logon角色只能从动态主机配置协议DHCP获得IP地址，只能使用域名服务器DNS，只能发送ping码，只能将超文本传输协议HTTP和HTTPS的数据通过交换机发送至可获取的节点上，其他的通讯都被禁止。

如果一个用户连接至无线接入点AP，例如拥有正确的加密秘钥，那么这个用户被自动定义为“logon角色”，登陆角色只能从动态主机配置协议（DHCP，Dynamic host configuration protocol）获得IP地址，使用域名服务器（DNS，Domain Name Server），发送ping码。所有的超文本传输协议（HTTP，Hyper Text Transport Protocol）和HTTPS的数据都通过交换机（Switch）都被发送至可获取的节点，其他的通讯是被禁止的。针对这一角色的安全协议可以个性化定制，但是如果登陆用户通过了网络验证，例如在远程认证拨号用户服务(RADIUS，RemoteAuthentication Dial In User Service)或者轻量级目录访问协议（LDAP，Lightweight Directory Access Protocol）中通过了用户名和密码检测，则给该用户设置一个新的角色。经过远程认证拨号用户服务RADIUS验证后，来自于动态目录（Active Directory）的工作组信息可以被用于把一个用户设置为一种角色，例如Member角色、Contractor角色、Sales角色、engineering角色、guest角色，device角色等。

进一步，本发明所述的端到端的无线安全架构系统，所述系统角色控制模块为获得logon角色的用户进行第二次角色分配，分配角色为member角色202；

所述member202角色的配置如下：

member角色的用户可以使其数据通过所有来自于互联网和内部局域网的安全协议。

针对member角色，无线网络控制器AC可以通过配置不同的控制规则来划分不同权限的用户组，比如contractor,sales,engineering等，根据各个组的用户的使用特征来配置控制规则。

进一步，本发明所述的端到端的无线安全架构系统，所述member角色的用户通过加载虚拟私人网络VPN拨号程序，自动配置通过操作系统获得的虚拟私人网络VPN客户端，VPN客户端使用户数据通过可以获得的接入口，并且对用户进行网络验证以及对用户数据进行加密或者解密。

给该用户设置为成员Member角色，该角色可以允许数据通过所有来自于互联网和内部局域网的安全协议，例如接入到路由器或者交换机。可以通过加载虚拟私人网络VPN（Virtual Private Network）拨号程序，自动配置通过Windows操作系统获得的虚拟私人网络VPN客户端。VPN拨号程序自动设置虚拟私人网络的服务器地址，不必手工输入以上数据，为技术人员带来了便利。一旦用户设置完成了虚拟私人网络VPN客户端，他就可以通过可以获得的接入口。通过虚拟私人网络VPN进行网络验证，仅需要一步就可以完成网络验证以及数据加密。

进一步，本发明所述的端到端的无线安全架构系统，所述系统角色控制模块为获得logon角色的用户进行第二次角色分配，分配角色为guest203角色；

所述guest角色203的配置如下：

guest角色的用户在无需用户名密码认证的情况下，可以访问互联网的某一些特定资源。

guest角色的用户只能使用超文本传输协议和HTTPS，而且其数据仅用于互联网的终端而不是内部有线局域网络中；邮件服务协议SMTP、电话通讯网telnet、文件传输协议FTP协议对于guest用户是被禁止的。

如果需要提供guest数据通道，交换机也可以提供一个不需验证的用户的通道。guest角色被设置为仅仅可以进行超文本传输协议（HTTP，Hyper Text Transport Protocol）和HTTPS，而且仅用于互联网的终端而不是内部网络中。邮件服务协议SMTP（Simple Mail Transport Protocol）、电话通讯网telnet、文件传输协议FTP（File Transfer Protocol）等协议对于guest用户是被禁止的，但是也可以通过修改配置允许加入新的协议。也可以通过建立guest角色，当访问者请求进入时，要求其提供用户名及密码，然后对此进行验证。

进一步，本发明所述的端到端的无线安全架构系统，所述系统角色控制模块为获得logon角色的用户进行第二次角色分配，分配角色为device角色204；

所述device角色204的配置如下：

device角色用于不能使用802.1标准、虚拟私人网络VPN以及其他需要网络验证的网络设备，对device角色用户提供仅用于该设备本身数据需要的受限制的数据通道。

通过使用基于角色的防火墙，也可以对那些不能使用802.1标准、虚拟私人网络VPN以及其他需要网络验证的设备，提供受限制的数据通道。例如，无线局域网WLAN（Wireless Local Area Network）或者VOWLAN上的打印机或者电话通讯可以基于MAC码地址和秘钥得到网络验证。但是对于入侵者来说，获得或者克隆一个MAC码地址或者秘钥并不是很困难，所以这就导致了不可靠、不安全的网络架构。通过配置交换机而允许电话通讯仅传输电话数据或者无线网络中的打印机仅传输打印数据，其他协议都被禁止，如果有这样一个设备企图使用其他注册协议，这就很可能说明该设备的MAC码地址和加密秘钥已经被盗取并且被复制了。

进一步，本发明所述的端到端的无线安全架构系统，所述系统角色控制模块为获得logon角色的用户进行第二次角色分配是通过动态目录的工作组信息进行的。

图2为本发明实施例的无线安全架构方法的流程示意图，如图2所示，本发明提供的一种端到端的无线安全架构方法，包括：

步骤S1，配置无线网络控制器AC和系统角色控制模块；

步骤S2，为首次进入所述系统的用户分配logon角色；

logon角色只能从动态主机配置协议DHCP获得IP地址，只能使用域名服务器DNS，只能发送ping码，只能将超文本传输协议HTTP和HTTPS的数据通过交换机发送至可获取的节点上，其他的通讯都被禁止；

步骤S3，为获得logon角色的用户进行第二次角色分配，分配角色包括以下任意一项：member角色、guest角色、device角色；

member角色的用户可以使其数据通过所有来自于互联网和内部局域网的安全协议；

guest角色的用户只能使用超文本传输协议和HTTPS，而且其数据仅用于互联网的终端而不是内部网络中；邮件服务协议SMTP、电话通讯网telnet、文件传输协议FTP协议对于guest用户是被禁止的；

device角色用于不能使用802.1标准、虚拟私人网络VPN以及其他需要网络验证的网络设备，对device角色用户提供仅用于该设备本身数据需要的受限制的数据通道。

以上仅为本发明的优选实施例，当然，本发明还可以有其他多种实施例，在不背离本发明精神及其实质的情况下，熟悉本领域的技术人员当可根据本发明做出各种相应的改变和变形，但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。

Claims (7)

1.一种端到端的无线安全架构系统，其特征在于，包括无线网络控制器AC、无线网络接入点，其中，

无线网络控制器AC部署于无线局域网和内部有线局域网之间，所有来自于无线局域网的数据经过无线网络接入点后通过无线网络控制器AC进入内部有线局域网，无线网络接入点都是Thin AP；

而且，无线网络控制器AC进行如下配置：

无线网络控制器AC加密或者解密所有来自于无线网络的数据，并将其传输至内部有线局域网；

无线网络控制器AC在无线局域网和内部有线局域网之间提供网络验证和授权服务以及防火墙服务；

无线网络控制器AC管理无线接入点Thin AP；

所述的端到端的无线安全架构系统，还包括：

系统角色控制模块，用于配置角色参数，为所有登陆进所述系统的用户分配角色，并且根据用户角色对用户进行安全控制；

所述系统角色控制模块，为首次进入所述系统的用户分配logon角色；

所述logon角色的配置如下：

logon角色只能从动态主机配置协议DHCP获得IP地址，只能使用域名服务器DNS，只能发送ping码，只能将超文本传输协议HTTP和HTTPS的数据通过交换机发送至可获取的节点上，其他的通讯都被禁止。

2.根据权利要求1所述的端到端的无线安全架构系统，其特征在于，所述系统角色控制模块为获得logon角色的用户进行第二次角色分配，分配角色为member角色；

所述member角色的配置如下：

member角色的用户可以使其数据通过所有来自于互联网和内部局域网的安全协议。

3.根据权利要求2所述的端到端的无线安全架构系统，其特征在于，所述member角色的用户通过加载虚拟私人网络VPN拨号程序，自动配置通过操作系统获得的虚拟私人网络VPN客户端，VPN客户端使用户数据通过可以获得的接入口，并且对用户进行网络验证以及对用户数据进行加密或者解密。

4.根据权利要求1所述的端到端的无线安全架构系统，其特征在于，所述系统角色控制模块为获得logon角色的用户进行第二次角色分配，分配角色为guest角色；

所述guest角色的配置如下：

guest角色的用户只能使用超文本传输协议和HTTPS，而且其数据仅用于互联网的终端而不是内部有线局域网络中；邮件服务协议SMTP、电话通讯网telnet、文件传输协议FTP协议对于guest用户是被禁止的。

5.根据权利要求1所述的端到端的无线安全架构系统，其特征在于，所述系统角色控制模块为获得logon角色的用户进行第二次角色分配，分配角色为device角色；

所述device角色的配置如下：

device角色用于不能使用802.1标准和虚拟私人网络VPN的网络设备，对device角色用户提供仅用于该设备本身数据需要的受限制的数据通道。

6.根据权利要求2至5任一项所述的端到端的无线安全架构系统，其特征在于，所述系统角色控制模块为获得logon角色的用户进行第二次角色分配是通过动态目录的工作组信息进行的。

7.一种端到端的无线安全架构方法，其特征在于，包括：

步骤S1，配置无线网络控制器AC和系统角色控制模块；所述无线网络控制器AC部署于无线局域网和内部有线局域网之间；

步骤S2，为首次进入所述系统的用户分配logon角色；

logon角色只能从动态主机配置协议DHCP获得IP地址，只能使用域名服务器DNS，只能发送ping码，只能将超文本传输协议HTTP和HTTPS的数据通过交换机发送至可获取的节点上，其他的通讯都被禁止；

步骤S3，为获得logon角色的用户进行第二次角色分配，分配角色包括以下任意一项：member角色、guest角色、device角色；

member角色的用户可以使其数据通过所有来自于互联网和内部局域网的安全协议；

guest角色的用户只能使用超文本传输协议和HTTPS，而且其数据仅用于互联网的终端而不是内部网络中；邮件服务协议SMTP、电话通讯网telnet、文件传输协议FTP协议对于guest用户是被禁止的；

device角色用于不能使用802.1标准和虚拟私人网络VPN的网络设备，对device角色用户提供仅用于该设备本身数据需要的受限制的数据通道。