CN103428695B - 处理无线多安全等级业务的方法及装置 - Google Patents
处理无线多安全等级业务的方法及装置 Download PDFInfo
- Publication number
- CN103428695B CN103428695B CN201210154920.XA CN201210154920A CN103428695B CN 103428695 B CN103428695 B CN 103428695B CN 201210154920 A CN201210154920 A CN 201210154920A CN 103428695 B CN103428695 B CN 103428695B
- Authority
- CN
- China
- Prior art keywords
- subnet
- wireless
- business
- dummy
- wireless dummy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种处理无线多安全等级业务的方法和及装置,所述方法包括:将多个无线接入点AP分别安装到飞机客舱的不同区域;通过将每个AP分别物理连接到飞机上的网络控制设备NC,建立无线局域网;所述网络控制设备NC按照飞机上人员属性把无线局域网数据业务划分成N种业务,并把所述无线局域网配置成对应于N种业务的N个无线虚拟子网,其中,N为大于2的整数;飞机客舱的各无线终端分别连接到与其业务对应的N个无线虚拟子网之一。其中,各个虚拟子网采用不同的安全类型,例如,为高安全等级业务服务的子网采用WAPI证书模式,为中安全等级业务服务的子网采用WAP2/WAP个人模式的安全类型,为低安全等级业务服务的子网采用公开模式,从而满足了不同无线终端的业务需求并且按安全等级需求对各类业务进行了隔离。
Description
技术领域
本发明涉及飞机无线互联网技术领域,特别涉及一种适用于飞机客舱内无线局域网通信的处理无线多安全等级业务的方法及装置。
背景技术
无线局域网(WirelessLocalAreaNetwork,以下简称WLAN)技术是非常成熟的技术。广义的无线局域网包括蓝牙、IEEE802.11系列、HiperLAN2等多种技术标准,以无线信道来代替有线局域网中的部分或全部传输媒介。当前使用最为广泛的WLAN技术是IEEE802.11系列标准,是当前WLAN的主流标准。
IEEE802.11系列标准从1997年开始制定,到目前为止已形成了一整套较为全面的标准体系,其中较为著名的标准包括802.11a、802.11b、802.11e、802.11g、802.11i,802.11n等。IEEE802.11系列标准定义的工作频段为2.4GHz和5GHz两个频段。
针对早期IEEE802.11网络脆弱的安全性,IEEE于2004年发布了802.11i协议,对802.11网络的安全性做了增强。常见的802.11网络的安全类型大致可分为公开(open)模式、WPA/WPA2个人模式(WPA-PSK/WPA2-PSK)及WPA/WPA2企业模式(简称WPA/WPA2);其认证方式可分为公开认证、预共享密钥认证和IEEE802.1x认证方式;802.11网络的加密算法可分为WEP、TKIP和CCMP(或称AES)。
WAPI(WLANAuthenticationandPrivacyInfrastructure,无线局域网鉴别与保密基础结构)技术标准是中国自主提出的无线局域网安全标准,与IEEE802.11i标准并称为无线局域网的两大安全标准。WAPI标准分为WAI(WLANAuthenticationInfrastructure,无线局域网鉴别基础结构)和WPI(WLANPrivacyInfrastructure无线局域网保密基础结构)两部分,WAI用于WLAN中的身份鉴别和密钥管理,WPI用于WLAN中的数据传输保护如数据加密、数据鉴别及重放保护等。WAPI技术在认证鉴别和加密两方面均与802.11i技术有明显差别。在鉴别方面,WAPI采用了虎符技术,虎符(三元对等鉴别架构)是一种信息安全领域普适性实体鉴别方法,虎符提出并采用了五次传递流程和调用可信第三方的机制,适用于实体间的双向身份鉴别,对通信和网络安全起到支撑作用。WAPI可匹配多种可用的密码算法,例如在国内可采用国家商用密码研究中心的SMS4对称加/解密算法。
在典型的802.11网络中,WAPI可直接替换掉802.11i(或与802.11i一起)作为网络的安全标准,进而构建更为安全的无线局域网。
以下内容涉及的无线局域网技术特指融合了WAPI技术的IEEE802.11系列标准,其安全协议采用了WAPI协议和802.11i协议的组合。
客舱无线局域网络中的各种设备安全等级要求相差很大,供机组成员使用的站点设备安全性要求显然高于乘客自带设备(其安全性不可控),并且乘客信息及娱乐设备也需要根据用户等级和业务等级区分对待。同时,机舱内的无线发射设备的安装具有严格的规定,相邻的物理发射点之间也存在着电磁兼容性等棘手问题,机舱内不能安装太多的物理接入点。
发明内容
本发明的一个目的是针对飞机客舱内无线局域网环境,提供一种处理无线多安全等级业务的方法及装置,以解决上述问题。
根据本发明的一个方面,提供了一种处理无线多安全等级业务的方法,包括以下步骤:
A)将多个无线接入点AP分别安装到飞机客舱的不同区域;
B)通过将每个AP分别物理连接到飞机上的网络控制设备NC,建立无线局域网;
C)所述网络控制设备NC按照飞机上人员属性把无线局域网数据业务划分成N种业务,并把所述无线局域网配置成对应于N种业务的N个无线虚拟子网,其中,N为整数且≥2;
D)飞机客舱的各无线终端分别连接到与其业务对应的N个无线虚拟子网之一。
优选地,所述无线局域网数据业务被划分为以下三种业务中至少两种业务:
适用于机组人员的高安全等级业务;
适用于头等舱和商务舱乘客和付费经济舱乘客的中安全等级业务;
适用非付费经济舱乘客的低安全等级业务。
优选地,所述网络控制设备NC通过为各AP分配不同的一个或多个虚拟无线子网标识,为各AP配置一个或多个虚拟无线子网。
优选地,所述N个无线虚拟子网包括以下三个虚拟子网中至少两个虚拟子网:
专用于高安全等级业务的第一无线虚拟子网VAP1,其安全机制为WAP1证书模式;
专用于中安全等级业务的第二无线虚拟终端VAP2,其安全机制为WAP2/WPA个人模式;
专用于低安全等级业务的第三无线虚拟终端VAP3,其安全机制为公开模式。
优选地,本发明方法的步骤D)包括:进行高安全等级业务的第一无线终端通过主动扫描或被动侦听,搜索无线虚拟子网;在搜索到N个无线虚拟子网后,所述第一无线终端默认接入第一无线虚拟子网VAP1。
优选地,本发明方法的步骤D)还包括:预先将上网密码分配给进行中安全等级业务的第二无线终端;第二无线终端通过主动扫描或被动侦听,搜索无线虚拟子网;在搜索到N-1个无线虚拟子网后,所述第二无线终端使用所分配的上网密码接入第二无线虚拟子网VAP2。
优选地,本发明方法的步骤D)还包括:进行低安全等级业务的第三无线终端通过主动扫描或被动侦听,搜索无线虚拟子网;在搜索到N-1个无线虚拟子网后,所述第三无线终端通过输入个人信息接入第三无线虚拟子网。
根据本发明第二方面,提供了一种处理无线多安全等级业务的装置,包括:
多个安装在飞机客舱的不同区域的无线接入点AP;
设置在飞机上的网络控制设备NC,通过分别物理连接每个AP建立无线局域网,并且根据飞机上人员属性把无线局域网数据业务划分成N种业务,并把所述无线局域网配置成对应于N种业务的N个无线虚拟子网;
位于飞机客舱上的多个无线终端,分别连接到与其业务对应的N个无线虚拟子网之一,其中,N为大于等于2的整数。
优选地,所述网络控制设备NC包括:
无线虚拟子网配置模块,用于把所述无线局域网配置成对应于N种业务的N个无线虚拟子网;
安全认证模块,用于对请求接入N个无线虚拟子网各的无线终端进行安全认证。
优选地,所述网络控制设备NC还包括用于定期更换WAP1证书的WAP1证书更新模块。
相对于现有技术,本发明的技术效果在于,针对特定的飞机客舱环境,利用虚拟子网划分、WAPI等成熟技术,简便有效的将客舱无线局域网数据业务按安全等级进行分类处理,从而构建安全可管理的飞机客舱无线局域网系统。
附图说明
图1为本发明的机型1的飞机客舱及物理AP分布示意图;
图2为本发明的机型1的虚拟AP划分示意图;
图3A为本发明的机型1的飞机客舱及虚拟AP逻辑覆盖示意图;
图3B为本发明的机型1的飞机客舱用户终端网络接入示意图;
图4为本发明的机型2的飞机客舱及物理AP分布示意图;
图5为本发明的机型2的虚拟AP划分示意图;
图6A为本发明的机型2的飞机客舱及虚拟AP逻辑覆盖示意图;
图6B为本发明的机型2的飞机客舱用户终端网络接入示意图;
图7为本发明的网络控制设备NC的示意图;
图8为本发明的一种处理无线多安全等级业务的方法的示意图。
具体实施方式
本发明使用了或隐含使用了无线局域网的一些基本概念,它们分别是:
●(无线)接入点(AccessPoint,简称AP):指任何一个能通过无线介质为无线终端提供分布式访问服务的实体,常用的无线路由器即是功能增强的无线AP。
●站点(Station,简称STA):即无线终端,特指携带支持802.11系列协议及/或WAPI协议无线网卡的电脑、便携式笔记本、移动手持终端等。
●鉴别服务器(AuthenticationServer,简称AS):用于对用户和设备证书进行身份鉴别等,是WAI的重要组成部分。
●服务集标识(ServicesetIdentifier,简称SSID):SSID包括BSSID和ESSID,用来区分不同的网络,SSID通常由AP广播出来,SSID可简单的认为是一个局域网的名称。
●虚拟(无线)接入点(VisualAccessPoint,简称VAP或虚拟AP):从一个实体AP上将一个无线局域网分为几个不同安全等级的子网络,各子网络具有不同的SSID,分别对应一个逻辑上的接入点,即为虚拟无线接入点。虚拟AP也具有唯一的SSID,因此终端将虚拟AP也认作实体AP。同时,多个物理AP也可以配置为具有同一个SSID,有效扩展该无线局域网络的范围。由于VAP是无线终端接入相应无线虚拟子网的接入点,因此本发明有时利用VAP表示无线虚拟子网。
●WAPI用户:特指使用WAI安全模式进行认证的用户,WAPI用户属于STA。
飞行娱乐系统(In-FlightEntertainment,简称IFE)泛指在飞行过程中可为旅客提供的任何娱乐活动。通过IFE主要可实现两大功能,第一种是可通过IFE系统选择餐饮服务和乘务服务,如乘客点餐、乘务员呼叫、座椅靠背调节、灯光等;第二种是通过IFE系统提供的内容实现消遣与公商务需求,如让旅客自行选择IFE中存储的电视、电影、音乐节目,甚至是互联网接入。
IFE系统由来已久,范围很广泛,随着机上通信系统的日益完善,出现了新的更为具体的名词——IFEC(飞行娱乐及通信,In-flightentertainmentandcommunication)。IFEC系统和设备包括机上视频系统、座位音视频点播系统(AVOD)、卫星电视及CWLU、TWLU等设备,可给乘客提供飞行信息、安全信息、在线视频、互动游戏等娱乐服务,也可满足商务人员的机上办公需求,同时也可给机组和客舱服务人员提供服务。
客舱无线局域网单元(cabinwirelessLANunit,简称CWLU,由ARINC标准定义)提供客舱的无线网络(作为无线AP),用户STA可通过接入CWLU进而访问机载局域网络甚至地面网络。CWLU被定义在仅当飞机停靠地面或处于非关键飞行阶段时才能使用,CWLU设备必须支持可通过某种外部准则控制其开关,比如基于飞机离散量输入(如机轮受重)、飞行阶段等规则。
最初定义的CWLU使用IEEE802.11系列协议。本发明中涉及的客舱无线局域网AP属于CWLU设备,但其同时支持WAPI协议,与之关联的STA也包括使用WAPI安全模式接入的WAPI用户。
将飞机的客舱环境按前后区域分为两舱和经济舱。两舱位于客舱前部,包含头等舱和商务舱(或公务舱);经济舱位于客舱后部。一些飞机只有头等舱而没有商务舱,为方便也统称为两舱。还有一些飞机只有经济舱,也属于本发明涉及的特殊场景。
飞机客舱无线局域网规模(实际安装的物理AP数)由需要支持的最大用户数(座位数)及飞机客舱空间大小决定,对两舱区域和经济舱区域,分别部署1台或多台物理AP。
由无线局域网的服务对象,将飞机客舱的无线局域网数据业务分为机组数据业务与乘客数据业务两大类,机组数据业务安全等级和服务质量高于乘客数据业务。
对乘客数据业务,可根据乘客座位归属分为两舱数据业务和经济舱数据业务,前者的安全等级和服务质量高于后者;或根据用户是否付费进行分类,付费数据业务的安全等级和服务质量高于非付费数据业务;乘客数据业务也可以不分类。
下面结合附图对本发明的处理无线多安全等级业务的方法及装置进行详细描述:
如图1、图2、图4和图5所示,本发明的一种处理无线多安全等级业务的装置包括:
多个安装在飞机客舱的不同区域的无线接入点AP,如AP1、AP2和AP3;
设置在飞机上的网络控制设备NC,它通过分别物理连接每个AP建立无线局域网,并且根据飞机上人员属性把无线局域网数据业务划分成N种业务,并把所述无线局域网配置成对应于N种业务的N个无线虚拟子网,如VAP1、VAP2和VAP3;
位于飞机客舱上的多个无线终端,分别连接到与其业务对应的N个无线虚拟子网之一,其中,N为大于等于2的整数。
图7显示了本发明网络控制设备NC的结构,包括:无线虚拟子网配置模块,用于把所述无线局域网配置成对应于N种业务的N个无线虚拟子网;安全认证模块,用于对请求接入N个无线虚拟子网各的无线终端进行安全认证;以及用于定期更换WAP1证书的WAP1证书更新模块。
图8显示了本发明的一种处理无线多安全等级业务的方法,包括如下步骤:
A)将多个无线接入点AP分别安装到飞机客舱的不同区域;
B)通过将每个AP分别物理连接到飞机上的网络控制设备NC,建立无线局域网;
C)所述网络控制设备NC按照飞机上人员属性把无线局域网数据业务划分成N种业务,并把所述无线局域网配置成对应于N种业务的N个无线虚拟子网,其中,N为大于等于2的整数;
D)飞机客舱的各无线终端分别连接到与其业务对应的N个无线虚拟子网之一。
在本方法中,无线局域网数据业务被划分为以下三种业务中至少两种业务:
适用于机组人员的高安全等级业务;
适用于头等舱和商务舱乘客和付费经济舱乘客的中安全等级业务;
适用非付费经济舱乘客的低安全等级业务。
也就是说,无线局域网数据业务被划分为高安全等级业务、中安全等级业务和低安全等级业务;或者被划分为高安全等级业务和中安全等级业务;或者被划分为高安全等级业务和低安全等级业务;或者被划分为中安全等级业务和低安全等级业务。
在本方法中,网络控制设备NC通过为各AP分配不同的一个或多个虚拟无线子网标识,为其配置一个或多个虚拟无线子网。
在本方法中,N个无线虚拟子网包括以下三个虚拟子网中的至少两个虚拟子网:
专用于高安全等级业务的第一无线虚拟子网VAP1,其安全机制为WAP1证书模式;
专用于中安全等级业务的第二无线虚拟终端VAP2,其安全机制为WAP2/WPA个人模式;
专用于低安全等级业务的第三无线虚拟终端VAP3,其安全机制为公开模式。
也就是说,本发明的无线虚拟子网包括:第一至第三无线虚拟子网VAP1至VAP3;或者包括:第一和第二无线虚拟子网VAP1和VAP2;或者包括:第一和第三无线虚拟子网VAP1和VAP3;或者包括:第二和第三无线虚拟子网VAP2和VAP3。
上述方法中的步骤D)包括:进行高安全等级业务的第一无线终端通过主动扫描或被动侦听,搜索无线虚拟子网;在搜索到N个无线虚拟子网后,所述第一无线终端默认接入第一无线虚拟子网VAP1。
上述方法中的步骤D)还包括:预先将上网密码分配给进行中安全等级业务的第二无线终端;第二无线终端通过主动扫描或被动侦听,搜索无线虚拟子网;在搜索到N-1个无线虚拟子网后,所述第二无线终端使用所分配的上网密码接入第二无线虚拟子网VAP2。
上述方法中的步骤D)还包括:进行低安全等级业务的第三无线终端通过主动扫描或被动侦听,搜索无线虚拟子网;在搜索到N-1个无线虚拟子网后,所述第三无线终端通过输入个人信息接入第三无线虚拟子网。
综上所述,本发明利用无线局域网的网络控制器(NetworkController,简称NC)设备,来控制虚拟子网的划分。网络控制器利用以上分类结果,控制虚拟子网的划分。
网络控制器将无线局域网网络划分为相应的虚拟子网,每个虚拟子网专为一类数据业务服务。
网络控制器为各虚拟子网配置不同的无线安全机制,数据业务安全等级要求越高的,相应虚拟子网配置的安全机制的安全等级越高。
网络控制器为各虚拟子网分配不同的服务质量,服务质量要求越高的数据业务对应的虚拟子网的服务质量越高。
本发明的物理无线接入点设备AP具备可划分多个虚拟子网的能力,可通过网络控制器划分为多个子网以支持不同的数据业务。
物理无线接入点设备可同时支持本发明的多种无线安全机制,例如WAPI证书模式、WPA2/WPA个人模式、公开模式等。
本发明的物理无线接入点设备及机组成员终端均支持通过本发明提供的网络控制器进行WAPI证书定期更新。
在本发明的一个实施例中,将飞机客舱的无线局域网数据业务分为以下3类:
■机组数据业务,为高安全业务;
■两舱数据业务和付费数据业务,为中等安全业务;
■经济舱非付费业务,为低安全业务。
对应以上划分的3类业务,在网络控制器将无线局域网划分为3个虚拟子网VAP1、VAP2及VAP3,并分别做以下配置:
●VAP1对应机组数据业务,其安全机制为WAPI证书模式,VAP1不广播其SSID,并且VAP1的网络服务质量具有最高优先级;
●VAP2对应两舱数据业务和付费数据业务,其安全机制为WPA2/WPA个人模式,VAP2的网络服务质量低于VAP1;
●VAP3对应经济舱非付费业务,其安全机制为公开模式,VAP3的网络服务质量低于VAP1和VAP2。
专用于机组数据业务的虚拟子网VAP1的WAPI证书模式,其安全等级最有保障。机组终端需要预先保存用于安全接入的认证证书。
实际工作中,机组终端通过主动扫描或被动侦听,可以发现3个无线(虚拟)网络,其SSID分别为VAP1、VAP2和VAP3,并且可以探知其安全机制分别为WAPI证书模式、WPA2/WPA个人模式和公开模式。
发现上述网络后,机组终端会默认接入使用WAPI证书模式的VAP1网络中,终端会主动告知AP自己采用的安全策略也为WAPI证书模式。
接入过程中,终端和AP采用对等访问控制方式,并通过双向鉴别及第三方的认证服务器,进行证书鉴别、证书认证、密钥管理及密钥协商等过程,最终机组终端成功接入VAP1网络。
之后,机组终端与AP之间通过IEEE802.11相关协议进行正常通信,其中的数据加解密算法使用之前协商得到的WAPI协议密钥。
WAPI证书模式的安全机制要求机组终端和AP处的证书通过网络控制器进行定期更新。
两舱乘客和付费乘客(以下以两舱乘客为例)的无线终端(以下以笔记本为例)通过主动扫描或被动侦听,可以发现2个无线(虚拟)网络,其SSID分别为VAP2和VAP3,并且可以探知其安全机制分别为WPA2/WPA个人模式和公开模式。不能发现VAP1网络的原因是出于安全考虑,VAP1并不对外广播其SSID。
发现VAP2和VAP3后,与日常使用无线局域网的情况一样,两舱乘客通过输入预先得到的VAP2的密码连接上VAP2网络,之后可正常上网。出于安全因素考虑,网络控制器需要定期更改VAP2的密码。
经济舱非付费乘客的无线终端也可以发现2个无线(虚拟)网络,其SSID分别为VAP2和VAP3,并且也可以探知其安全机制分别为WPA2/WPA个人模式和公开模式。
发现VAP2和VAP3后,由于经济舱非付费乘客没有VAP2网络的密码,因此只能接入VAP3网络。接入时,尽管不需要输入密码,但是出于安全因素考虑,用户接入界面需要支持webportal登录方式,乘客需要输入身份证号(或者护照号)和登机牌号获得登录账号密码,以便在网络控制器中获得必要的用户信息便于监控。
网络控制器实时监控网络运行状况,为3个虚拟子网配置不同的网络服务质量策略。
当网络用户数较少时,各用户数据吞吐均有保障,不同网络的服务质量策略差别不大。
当网络实际用户数较多、网络出现拥塞时,不同的网络服务质量策略会发生作用。此时,VAP1的机组数据业务得到最高优先级保证,VAP2的两舱乘客和付费乘客的数据业务的服务质量次之,而VAP3的经济舱非付费乘客的数据业务服务质量优先级最低,因此使用VAP3网络的用户数据受到的影响最大。
在本发明的另一实施例中,将飞机客舱的无线局域网数据业务分为以下2类:
■机组数据业务,为高安全业务;
■乘客数据业务,为低安全业务。
对应以上划分的2类业务,在网络控制器将无线局域网划分为2个虚拟子网VAP1和VAP2,并分别做以下配置:
●VAP1对应机组数据业务,其安全机制为WAPI证书模式,VAP1不广播其SSID,并且VAP1的网络服务质量具有最高优先级;
●VAP2对应乘客数据业务,其安全机制为公开模式,VAP2的网络服务质量低于VAP1。
机组终端采用的WAPI证书安全策略与上述划分3个虚拟子网时的VAP1的WAPI证书安全策略情况相同。
乘客终端采用的公开模式安全策略与上述划分3个虚拟子网时的VAP3的公开模式情况相同。
下面再结合两个具体实施例对本发明进行详细说明。
图1至图3的机型1为针对载客数在100-200人之间的中型客机,例如波音737-800、空客A320等常见机型均归为中型客机。
如图1所示,中型客机一般只有头等舱而没有商务舱,且头等舱区域较小(一般头等舱座位数少于10个),因此在头等舱只布放1个物理无线接入点AP1,在客舱中后部的经济舱布放2个物理无线接入点AP2和AP3,3个物理AP均连接到网络控制器NC。
针对该机型,将无线局域网数据业务分为机组数据和乘客数据两类,并在网络控制器处进行相应虚拟子网的划分。具体划分规则如图2所示。AP1、AP2和AP3均划分为VAP1和VAP2,VAP1专为机组数据业务服务,VAP2专为乘客数据业务服务。VAP1的安全策略为WAPI证书模式,而VAP2的安全策略为公开模式。
图3A示出了划分虚拟子网后的飞机客舱区域的虚拟AP逻辑覆盖示意图,对终端用户来说,只发现VAP1和VAP2两个网络,而并不知晓这两个网络是如何通过实际的物理网络划分得到。同时,图3A中,网络控制器NC与2个虚拟AP的连接是逻辑连接,因此用虚线表示。
图3B中给出了机组终端和乘客终端的网络接入示意图。机组终端可以发现2个网络而默认选择更安全的VAP1接入,而乘客终端只能发现VAP2并且可通过webportal方式接入。
图4至图6的机型2为针对载客数在200人以上的大型客机,例如波音747、777、空客A330等常见机型均归为大型客机。
大型客机客舱前部的两舱区域比中型客机的两舱区域大,一般兼有头等舱和商务舱,且其经济舱也比中型客机的经济舱大。因此,如图4所示,在大型客机的两舱区域布置2台物理无线接入点AP1和AP2,在中后部的经济舱区域布置3台物理无线接入点AP3、AP4和AP5。5个物理AP均连接到网络控制器NC。
针对该机型,将无线局域网数据业务分为机组数据业务、两舱乘客数据业务(包含付费数据业务)和经济舱非付费数据业务三类,并在网络控制器处进行相应虚拟子网的划分。具体划分规则如图5所示。AP1和AP2均划分为VAP1和VAP2,AP3、AP4和AP5均划分为VAP1、VAP2和VAP3。VAP1专为机组数据业务服务,VAP2专为两舱乘客数据业务(包含付费数据业务)服务,VAP3专为经济舱非付费数据业务服务。VAP1的安全策略为WAPI证书模式,VAP2的安全策略为WPA2/WPA个人模式,VAP3为公开模式。
图6A和图6B分别与图3A和图3B类似。
图6A示出了划分虚拟子网后的飞机客舱区域的虚拟AP逻辑覆盖示意图,对终端用户来说,只发现了VAP1、VAP2和VAP3三个网络,而并不知晓这三个网络是如何通过实际的物理网络划分得到。同时,图6A中,网络控制器NC与3个虚拟AP的连接是逻辑连接,因此用虚线表示。
图6B中给出了机组终端和两类乘客终端的网络接入示意图。机组终端可以发现3个网络而选择VAP1接入;两舱乘客及付费乘客终端可发现VAP2和VAP3,并通过预先得到的VAP2网络密钥接入VAP2网络;经济舱非付费乘客终端可发现VAP2和VAP3,但只能通过webportal方式接入VAP3。
本发明利用虚拟AP技术解决以上现有技术问题。特别是,根据飞机客舱的不同布局,灵活安装物理实体AP,将飞机客舱的无线通信数据业务按安全等级进行分类,对实体AP进行虚拟AP划分,并确定实体AP和虚拟AP之间的组合关系。
尽管上文对本发明进行了详细说明,但是本发明不限于此,本技术领域技术人员可以根据本发明的原理进行各种修改。因此,凡按照本发明原理所作的修改,都应当理解为落入本发明的保护范围。
Claims (6)
1.一种处理无线多安全等级业务的方法,其特征在于,包括以下步骤:
A)将多个无线接入点AP分别安装到飞机客舱的不同区域;
B)通过将每个AP分别物理连接到飞机上的网络控制设备NC,建立无线局域网;
C)所述网络控制设备NC按照飞机上人员属性把无线局域网数据业务划分成N种业务,并把所述无线局域网配置成对应于N种业务的N个无线虚拟子网,其中,N为大于等于2的整数;
D)飞机客舱的各无线终端分别连接到与其业务对应的N个无线虚拟子网之一;
所述无线局域网数据业务被划分为以下三种业务中至少两种业务:
适用于机组人员的高安全等级业务;
适用于头等舱和商务舱乘客和付费经济舱乘客的中安全等级业务;
适用非付费经济舱乘客的低安全等级业务;
所述步骤D)包括:
进行高安全等级业务的第一无线终端通过主动扫描或被动侦听,搜索无线虚拟子网;
在搜索到N个无线虚拟子网后,所述第一无线终端默认接入专用于高安全等级业务的第一无线虚拟子网VAP1;
预先将上网密码分配给进行中安全等级业务的第二无线终端;
第二无线终端通过主动扫描或被动侦听,搜索无线虚拟子网;
在搜索到N-1个无线虚拟子网后,所述第二无线终端使用所分配的上网密码接入专用于中安全等级业务第二无线虚拟子网VAP2;
进行低安全等级业务的第三无线终端通过主动扫描或被动侦听,搜索无线虚拟子网;
在搜索到N-1个无线虚拟子网后,所述第三无线终端通过输入个人信息接入专用于低安全等级业务的第三无线虚拟子网VAP3。
2.根据权利要求1所述的方法,其特征在于,所述网络控制设备NC通过为各AP分配不同的一个或多个虚拟无线子网标识,为其配置一个或多个虚拟无线子网。
3.根据权利要求2所述的方法,其特征在于,所述N个无线虚拟子网包括以下三个虚拟子网中至少两个虚拟子网:
专用于高安全等级业务的第一无线虚拟子网VAP1,其安全机制为WAP1证书模式;
专用于中安全等级业务的第二无线虚拟子网VAP2,其安全机制为WAP2/WPA个人模式;
专用于低安全等级业务的第三无线虚拟子网VAP3,其安全机制为公开模式。
4.一种执行上述权利要求1-3任一项所述方法的装置,包括:
多个安装在飞机客舱的不同区域的无线接入点AP;
设置在飞机上的网络控制设备NC,通过分别物理连接每个AP建立无线局域网,并且根据飞机上人员属性把无线局域网数据业务划分成N种业务,并把所述无线局域网配置成对应于N种业务的N个无线虚拟子网;
位于飞机客舱上的多个无线终端,分别连接到与其业务对应的N个无线虚拟子网之一,其中,N为大于2的整数;
所述无线局域网数据业务被划分为以下三种业务中至少两种业务:
适用于机组人员的高安全等级业务;
适用于头等舱和商务舱乘客和付费经济舱乘客的中安全等级业务;
适用非付费经济舱乘客的低安全等级业务;
进行高安全等级业务的第一无线终端通过主动扫描或被动侦听,搜索无线虚拟子网;
在搜索到N个无线虚拟子网后,所述第一无线终端默认接入专用于高安全等级业务的第一无线虚拟子网VAP1;
预先将上网密码分配给进行中安全等级业务的第二无线终端;
第二无线终端通过主动扫描或被动侦听,搜索无线虚拟子网;
在搜索到N-1个无线虚拟子网后,所述第二无线终端使用所分配的上网密码接入专用于中安全等级业务第二无线虚拟子网VAP2;
进行低安全等级业务的第三无线终端通过主动扫描或被动侦听,搜索无线虚拟子网;
在搜索到N-1个无线虚拟子网后,所述第三无线终端通过输入个人信息接入专用于低安全等级业务的第三无线虚拟子网VAP3。
5.根据权利要求4所述的装置,其特征在于,所述网络控制设备NC包括:
无线虚拟子网配置模块,用于把所述无线局域网配置成对应于N种业务的N个无线虚拟子网;
安全认证模块,用于对请求接入N个无线虚拟子网各的无线终端进行安全认证。
6.根据权利要求5所述的装置,其特征在于,所述网络控制设备NC还包括用于定期更换WAP1证书的WAP1证书更新模块。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210154920.XA CN103428695B (zh) | 2012-05-18 | 2012-05-18 | 处理无线多安全等级业务的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210154920.XA CN103428695B (zh) | 2012-05-18 | 2012-05-18 | 处理无线多安全等级业务的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103428695A CN103428695A (zh) | 2013-12-04 |
| CN103428695B true CN103428695B (zh) | 2016-08-03 |
Family
ID=49652718
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210154920.XA Active CN103428695B (zh) | 2012-05-18 | 2012-05-18 | 处理无线多安全等级业务的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103428695B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103957103B (zh) * | 2014-04-17 | 2017-07-04 | 小米科技有限责任公司 | 安全验证的方法、装置及移动终端 |
| NL2013635B1 (en) * | 2014-10-14 | 2016-10-04 | Zodiac Aircatering Equipment Europe B V | Passenger catering system for a passenger transport vehicle. |
| CN105357743A (zh) * | 2015-12-22 | 2016-02-24 | 成都云晖航空科技股份有限公司 | 一种构建空中开放式互联网方法 |
| CN105391625A (zh) * | 2015-12-25 | 2016-03-09 | 成都云晖航空科技股份有限公司 | 一种空中互联网社交平台安全运行方法 |
| CN107155182B (zh) * | 2016-03-03 | 2020-12-11 | 深圳市多尼卡电子技术有限公司 | 一种保护客舱WiFi网络安全的方法和装置 |
| CN107257558B (zh) * | 2017-07-25 | 2020-07-28 | 锐捷网络股份有限公司 | 报文转发方法及装置 |
| CN114143858A (zh) * | 2020-08-12 | 2022-03-04 | 中兴通讯股份有限公司 | WiFi接入方法、系统、设备及介质 |
| CN116131904A (zh) * | 2022-12-29 | 2023-05-16 | 中国电信股份有限公司卫星通信分公司 | 航空飞行器卫星通信网络的数据处理方法、装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101156468A (zh) * | 2005-02-11 | 2008-04-02 | 哈里公司 | 飞机通信系统和在便携式无线通信装置与地之间通信的相关方法 |
| CN101322356A (zh) * | 2005-12-02 | 2008-12-10 | 波音公司 | 提供作为系统体系的空运电子化体系结构方法和设备 |
| CN101453409A (zh) * | 2007-12-07 | 2009-06-10 | 中国移动通信集团公司 | 支持终端混合接入的信息广播方法及其装置和系统 |
| CN101868923A (zh) * | 2007-09-24 | 2010-10-20 | 松下航空电子公司 | 用于在旅行期间在移动平台上接收广播内容的系统和方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020160773A1 (en) * | 2001-03-29 | 2002-10-31 | Tenzing Communications, Inc. | Communications systems for aircraft including wireless systems |
| US8671432B2 (en) * | 2007-10-16 | 2014-03-11 | Livetv, Llc | Aircraft in-flight entertainment system having a dual-beam antenna and associated methods |
-
2012
- 2012-05-18 CN CN201210154920.XA patent/CN103428695B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101156468A (zh) * | 2005-02-11 | 2008-04-02 | 哈里公司 | 飞机通信系统和在便携式无线通信装置与地之间通信的相关方法 |
| CN101322356A (zh) * | 2005-12-02 | 2008-12-10 | 波音公司 | 提供作为系统体系的空运电子化体系结构方法和设备 |
| CN101868923A (zh) * | 2007-09-24 | 2010-10-20 | 松下航空电子公司 | 用于在旅行期间在移动平台上接收广播内容的系统和方法 |
| CN101453409A (zh) * | 2007-12-07 | 2009-06-10 | 中国移动通信集团公司 | 支持终端混合接入的信息广播方法及其装置和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103428695A (zh) | 2013-12-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103428695B (zh) | 处理无线多安全等级业务的方法及装置 | |
| CN109640324B (zh) | 一种通信方法及相关装置 | |
| US10187845B2 (en) | Wireless access for a mobile terminal to functional domains | |
| US7127234B2 (en) | Radio LAN access authentication system | |
| CN103582155B (zh) | 通信设备 | |
| CN103338483B (zh) | 数据分流方法、数据分流设备及异构网络 | |
| EP1589703B1 (en) | System and method for accessing a wireless network | |
| CA2602581C (en) | Secure switching system for networks and method for secure switching | |
| CN101390408A (zh) | 用于客户端漫游和重新关联的中央规划和分布式控制的方法 | |
| CN102111766B (zh) | 网络接入方法、装置及系统 | |
| CN104885519B (zh) | 分流方法、用户设备、基站和接入点 | |
| EP3091770B1 (en) | Identifying and disabling a rogue access point in a public wireless environment | |
| KR20070015389A (ko) | 무선랜 애플리케이션 용 보안 인증 및 네트워크 관리시스템 | |
| US9288842B2 (en) | System and method for providing multiple identifiers in a single access point | |
| US20060056634A1 (en) | Apparatus, system and method for setting security information on wireless network | |
| US7280520B2 (en) | Virtual wireless local area networks | |
| CN100558187C (zh) | 一种无线接入方法及接入控制器 | |
| US20160366124A1 (en) | Configuration and authentication of wireless devices | |
| CN103796206B (zh) | 用于交通系统的漫游方法以及通信系统 | |
| US8428599B2 (en) | System and method for mobility restriction in wireless communications systems | |
| CN103686812A (zh) | 处理无线多安全等级业务的方法及其无线路由器系统 | |
| CN108353269A (zh) | Wlan中的订户简档预配置 | |
| CN109743716A (zh) | 一种基于nfc的无线局域网络认证系统与方法 | |
| CN106028328A (zh) | 一种基于nfc的热点认证方法 | |
| US20080137609A1 (en) | Systems and methods for increasing mobility in fixed wideband wireless applications |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 100086, Beijing, Zhichun Road, Haidian District No. 113 silver net center, block A, 7 Applicant after: FEITIAN LIANHE (BEIJING) SYSTEM TECHNOLOGY CO., LTD. Address before: 100086, Beijing, Zhichun Road, Haidian District No. 113 silver net center, block A, 7 Applicant before: Flying Union (Beijing) Information Technology Co., Ltd. |
|
| COR | Change of bibliographic data | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: Method and device for processing wireless multiple-security-level services Effective date of registration: 20170703 Granted publication date: 20160803 Pledgee: Beijing ustron Tongsheng financing Company limited by guarantee Pledgor: FEITIAN LIANHE (BEIJING) SYSTEM TECHNOLOGY CO., LTD. Registration number: 2017990000567 |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PC01 | Cancellation of the registration of the contract for pledge of patent right |
Date of cancellation: 20220329 Granted publication date: 20160803 Pledgee: Beijing ustron Tongsheng financing Company limited by guarantee Pledgor: FEITIAN UNITED (BEIJING) SYSTEM TECHNOLOGY CO.,LTD. Registration number: 2017990000567 |
|
| PC01 | Cancellation of the registration of the contract for pledge of patent right |