專利名稱:一種對無線局域網(wǎng)內(nèi)用戶進行隔離的方法
技術(shù)領(lǐng)域:
本發(fā)明主要涉及基于IEEE 802.11標準的無線局域網(wǎng)WLAN(WirelessLAN)通信領(lǐng)域,尤其涉及一種對無線局域網(wǎng)WLAN內(nèi)用戶進行隔離的方法�����。
如圖3所示�����,基于上述的分布系統(tǒng)DS�����,在許多公共場所或熱點地區(qū)���,如機場���、酒店、會議中心等����,接入服務(wù)提供商或電信運營商可以將該分布系統(tǒng)DS的出口集中到某個接入控制器4上,然后再由路由器5接入互聯(lián)網(wǎng)����,部署公共無線接入網(wǎng)絡(luò),為用戶提供無線上網(wǎng)服務(wù)����。這樣,無線訪問點(AP)1覆蓋下的無線用戶站點2通過其接入的無線訪問點1�,經(jīng)過分布系統(tǒng)DS總線3,再由出口處的接入控制器4通過路由器5連到互聯(lián)網(wǎng)上����,從而實現(xiàn)無線上網(wǎng)。
現(xiàn)有的所有無線訪問點(AP)1設(shè)備在上述無線上網(wǎng)系統(tǒng)中����,充當(dāng)了兩個角色一是實現(xiàn)了基本服務(wù)集BSS無線覆蓋單元中無線用戶站點間通信的中繼轉(zhuǎn)發(fā)功能��,如圖4所示����,單線程單元STA-1要將數(shù)據(jù)包發(fā)送給單線程單元STA-2���,首先單線程單元STA-1將數(shù)據(jù)包發(fā)送給無線訪問點1��,無線訪問點1內(nèi)的無線網(wǎng)卡6中存有關(guān)聯(lián)表7�,關(guān)聯(lián)表7中存有單線程單元STA-1和STA-2的對應(yīng)關(guān)系���,然后調(diào)用無線網(wǎng)卡6中的BSS中繼轉(zhuǎn)發(fā)模塊8�����,把所接收到的數(shù)據(jù)包送至單線程單元STA-2���,然后再反向發(fā)送“確認”消息給STA-1;二是做無線用戶站點2接入分布系統(tǒng)DS過程中的透明網(wǎng)橋����,如圖5所示,單線程單元STA-1要將數(shù)據(jù)包發(fā)送給單線程單元STA-2的過程中,首先STA-1把數(shù)據(jù)包發(fā)送至其接入的無線訪問點A����,通過無線訪問點A中的網(wǎng)橋?qū)W習(xí)表模塊9進行查找��,再通過分布系統(tǒng)DS接入無線訪問點B�����,通過無線訪問點B中的網(wǎng)橋?qū)W習(xí)表模塊10進行信息核實�,再發(fā)送給單線程單元STA-2,然后STA-2再反向發(fā)送“確認”消息給STA-1��。在接入服務(wù)提供商或電信運營商為無線用戶提供無線上網(wǎng)服務(wù)時�����,其實并不希望在分布系統(tǒng)DS內(nèi)上網(wǎng)的用戶之間直接進行數(shù)據(jù)傳輸���,以便保護用戶計算機數(shù)據(jù)資源�����,提高通信安全性�����。
為使用戶在無線上網(wǎng)時�����,禁止用戶間的直接數(shù)據(jù)通信��,我們需要禁止無線訪問點(AP)1在基本服務(wù)集BSS內(nèi)部的中繼轉(zhuǎn)發(fā)功能���,同時不允許分布系統(tǒng)DS內(nèi)的所有無線用戶直接相互通信���。由于無線訪問點(AP)1的中繼轉(zhuǎn)發(fā)功能是IEEE802.11的標準功能,而且是在IEEE802.11 MAC芯片的固件(Firmware)中實現(xiàn)的����,而目前主要的無線訪問點(AP)1設(shè)備制造商并不具備修改IEEE802.11 MAC芯片固件的能力,同時也并不希望IEEE802.11 MAC芯片刪除中繼轉(zhuǎn)發(fā)這個功能�����,因此需要采取其它辦法解決這個問題�。
本發(fā)明的技術(shù)方案如下(1)首先在IEEE 802.11 MAC芯片的驅(qū)動程序中設(shè)置將原來由IEEE802.11 MAC芯片固件直接轉(zhuǎn)發(fā)的符合IEEE 802.11協(xié)議的無線數(shù)據(jù)包都發(fā)送到無線訪問點AP的網(wǎng)橋模塊中進行處理;(2)無線訪問點AP的網(wǎng)橋模塊在接收到無線數(shù)據(jù)包后�,查詢對應(yīng)于該數(shù)據(jù)包的目的MAC地址的無線網(wǎng)橋轉(zhuǎn)發(fā)表項����,看該數(shù)據(jù)包的目的MAC地址是否在相同的無線訪問點AP端口上��,如果在則將該數(shù)據(jù)包丟棄掉不予處理����;(3)在無線訪問點AP的網(wǎng)橋模塊中創(chuàng)建MAC數(shù)據(jù)包過濾表�����,針對收到的每個無線數(shù)據(jù)包����,都通過查詢該數(shù)據(jù)包過濾表,按順序檢索出與之匹配的“規(guī)則”�,然后按照該表項查找出與該“規(guī)則”相對應(yīng)的“處理方法”,做出相應(yīng)的處理�。
無線訪問點AP的網(wǎng)橋模塊接收到的每個數(shù)據(jù)包都包括源地址和目的MAC地址的信息,如果是從IEEE 802.11無線接口收到的數(shù)據(jù)包���,還要包括接收端口號��。
無線訪問點AP的網(wǎng)橋模塊接收的數(shù)據(jù)包要保證是從無線訪問點AP的端口接收進來的�����。
無線訪問點AP的網(wǎng)橋模塊在接收到無線數(shù)據(jù)包后����,查詢對應(yīng)于該數(shù)據(jù)包的目的MAC地址的無線網(wǎng)橋轉(zhuǎn)發(fā)表項,看該數(shù)據(jù)包的目的MAC地址是否在相同的無線訪問點AP端口上��,如果在則將該數(shù)據(jù)包丟棄掉不予處理是通過在無線訪問點AP的無線網(wǎng)橋模塊實現(xiàn)幀過濾的函數(shù)中添加一段代碼來實現(xiàn)��,而且運行期間可以動態(tài)配置為開和關(guān)狀態(tài)�����。
所述的MAC數(shù)據(jù)包過濾表主要包括由用戶制定的數(shù)據(jù)過濾靜態(tài)表����,表中的每一項都對應(yīng)著一條“匹配規(guī)則”,以及一個“處理方法”�。
所述的“匹配規(guī)則”是MAC源地址匹配、MAC目的地址匹配����、IP源地址匹配、IP目的地址匹配���、TCP協(xié)議匹配�����、UDP協(xié)議匹配��、數(shù)據(jù)輸入端口匹配���、數(shù)據(jù)輸出端口匹配��、其他特殊匹配中一項或多項的組合�。
上述所述的“處理方法”包括有對數(shù)據(jù)包的接收��、轉(zhuǎn)發(fā)和丟棄等操作�。
通過使用上述的采用二層防火墻機制的隔離方法��,可以禁止通過同一分布系統(tǒng)DS內(nèi)的無線訪問點AP上網(wǎng)的無線用戶站點之間直接進行數(shù)據(jù)通信�,從而實現(xiàn)對無線用戶的隔離,提高通信安全性�;而且還可以進行二層的數(shù)據(jù)包過濾和轉(zhuǎn)發(fā),實現(xiàn)二層防火墻的功能���。
圖4是無線訪問點的中繼轉(zhuǎn)發(fā)功能示意圖���;圖5是無線訪問點的透明網(wǎng)橋功能示意圖�����;圖6是本發(fā)明方法實現(xiàn)的流程圖����;圖7是本發(fā)明實現(xiàn)二層防火墻機制的一個簡單示例����。
如圖6所示,在步驟100中���,為了不讓IEEE 802.11 MAC芯片的固件直接轉(zhuǎn)發(fā)基本服務(wù)集BSS內(nèi)無線用戶間的通信數(shù)據(jù)包����,需要在IEEE 802.11 MAC芯片的驅(qū)動程序中進行設(shè)置將所有的符合802.11協(xié)議的數(shù)據(jù)包都發(fā)送到無線訪問點AP的網(wǎng)橋模塊中進行處理���,而不是由802.11 MAC固件采用原來的方法直接進行轉(zhuǎn)發(fā)�����。而目前�,所有的IEEE 802.11 MAC芯片的驅(qū)動程序中都能設(shè)置該項功能,而且所有得無線訪問點AP也都必須采用無線透明網(wǎng)橋模塊�,因此這就保證了該發(fā)明實現(xiàn)的前提。
在步驟110中����,其中無線訪問點AP的網(wǎng)橋模塊收到的每個數(shù)據(jù)包都包括源地址和目的MAC地址的信息,如果是從IEEE 802.11無線接口接收到的數(shù)據(jù)包�,還將得到接收端口號。要阻止將來自單線程單元STA1的數(shù)據(jù)包從無線訪問點AP端口接收后����,再通過同一無線訪問點AP的端口發(fā)送到單線程單元STA2中,只需要在保證接收到的數(shù)據(jù)包是從無線訪問點AP端口進來的情況下��,查詢該無線訪問點AP的802.11無線網(wǎng)卡中的對應(yīng)于該數(shù)據(jù)包的目的MAC地址的無線網(wǎng)橋轉(zhuǎn)發(fā)表項�����,在步驟120中看此目的MAC地址和該數(shù)據(jù)包的源地址是否在相同的無線訪問點AP端口上��,如果在則轉(zhuǎn)到步驟130���,將該數(shù)據(jù)包丟棄掉不予處理。這樣�����,在基本服務(wù)集BSS內(nèi)部的無線用戶間進行通信的數(shù)據(jù)包都無法通過同一個無線訪問點AP發(fā)送到目標用戶。這個功能的實現(xiàn)可以通過在無線訪問點AP的無線網(wǎng)橋模塊的幀過濾函數(shù)中添加一段代碼來實現(xiàn)��,而且在運行期間可以動態(tài)設(shè)置無線訪問點AP的中繼轉(zhuǎn)發(fā)功能為開或關(guān)狀態(tài)��。
在步驟120中如果此數(shù)據(jù)包的源地址和目的MAC地址不在相同的無線訪問點AP端口上則轉(zhuǎn)到步驟140����,進一步查詢無線訪問點AP無線網(wǎng)橋模塊中的MAC數(shù)據(jù)包過濾表,檢索出與這個數(shù)據(jù)包特征匹配的“規(guī)則”����,如表中沒有則使用缺省規(guī)則,然后按照該表項對應(yīng)的“處理方法”做出相應(yīng)的處理���。如該數(shù)據(jù)包的源MAC地址和目的MAC地址的接入控制器的端口號相同�,則做出的相應(yīng)處理為丟棄該數(shù)據(jù)包�����,如果不相同則做轉(zhuǎn)發(fā)處理��。
在無線訪問點AP的無線網(wǎng)橋模塊中創(chuàng)建更為復(fù)雜的MAC數(shù)據(jù)包過濾表機制����,即“第二層無線防火墻”����,用來禁止在同一分布系統(tǒng)DS下的不同無線站點間直接進行數(shù)據(jù)通信���。在這一媒體訪問控制MAC數(shù)據(jù)包過濾系統(tǒng)中�����,關(guān)鍵是要有三個要素表�、規(guī)則和處理����;其中表是指用戶定制的數(shù)據(jù)包過濾靜態(tài)表,表中的每一項都對應(yīng)著一條“匹配規(guī)則”�,而每一項“匹配規(guī)則”又都對應(yīng)著一個相應(yīng)的“處理方法”。其中匹配規(guī)則可以是下面的一種或多種組合媒體訪問控制MAC源地址匹配����、MAC目的地址匹配�����、互聯(lián)網(wǎng)協(xié)議IP源地址匹配、IP目的地址匹配�、傳輸控制協(xié)議TCP協(xié)議匹配、用戶數(shù)據(jù)報協(xié)議UDP協(xié)議匹配��、數(shù)據(jù)輸入端口匹配���、數(shù)據(jù)輸出端口匹配��、其他特殊匹配中一項或多項的組合�。其中與上述的“匹配規(guī)則”對應(yīng)的處理方法有接收�、轉(zhuǎn)發(fā)、丟棄的等��。
如在公共無線接入網(wǎng)絡(luò)中�,為防止同一分布系統(tǒng)DS中的不同無線用戶站點間直接進行數(shù)據(jù)通信,在MAC數(shù)據(jù)包過濾表中可以添加一項“AP可轉(zhuǎn)發(fā)到AP端口的數(shù)據(jù)����,其數(shù)據(jù)源地址MAC地址必須是無線網(wǎng)絡(luò)出口處的接入控制設(shè)備的MAC地址;而由AP端口接收到的無線數(shù)據(jù)目的MAC地址必須是無線網(wǎng)絡(luò)出口處的接入控制設(shè)備的MAC地址”的匹配規(guī)則�����,而對應(yīng)該匹配規(guī)則的處理方法是“丟棄”,則當(dāng)一個符合此匹配規(guī)則的數(shù)據(jù)包�����,既由一個接入控制器進行中繼的數(shù)據(jù)包�,經(jīng)過無線訪問點AP轉(zhuǎn)發(fā)時,則無線訪問點AP會丟棄此數(shù)據(jù)包��,不予轉(zhuǎn)發(fā)�����。利用這個方法就可以通過無線訪問點AP中網(wǎng)橋模塊的MAC數(shù)據(jù)包過濾表過濾掉無線用戶之間的直接數(shù)據(jù)通信��,從而就實現(xiàn)了對無線用戶的隔離���。
將這個MAC數(shù)據(jù)包過濾表用于無線用戶站點間的第二層隔離��,還有一個重要的特性�,因為表中的各項是依照順序生效的����,這種特性可以用來達到一般和特殊要求的統(tǒng)一。例如��,如果系統(tǒng)希望只有特定MAC地址或IP地址的計算機用戶才可以訪問到這個無線訪問點AP的WEB配置頁面���,則可以通過在MAC數(shù)據(jù)包過濾表中增加一項匹配規(guī)則為“要求源地址匹配給定的MAC或IP地址���,目的地址匹配AP本身的地址,目的端口匹配80(HTTP)”����,而對應(yīng)此匹配項的處理方法是“接收”;然后再在表后添加一項����,“源地址任意,目的地址匹配AP本身地址�,目的端口匹配80(HTTP)”,對應(yīng)此項的處理方法為“丟棄”�����。如果用戶確實是從特定的計算機終端登錄無線訪問點AP配置頁面的���,則第一條規(guī)則生效�����,不再檢索第二條規(guī)則���,數(shù)據(jù)包被接收處理�����;而如果用戶從其它計算機終端試圖訪問這個無線訪問點AP配置頁面��,其發(fā)起的連接請求數(shù)據(jù)包不匹配第一條規(guī)則��,卻匹配第二條規(guī)則���,按照該規(guī)則處理,應(yīng)該將此請求數(shù)據(jù)包丟棄掉��。這種功能和一般的IP層防火墻很相似��,但由于其是在二層上實現(xiàn)的�����,因此是一種“二層防火墻”�����。
其中二層防火墻的數(shù)據(jù)包過濾表根據(jù)實際應(yīng)用需求,實現(xiàn)起來難易程度也不同����。如圖7是二層防火墻對基于無線局域網(wǎng)的用戶隔離的一個簡單示例���,其中并不涉及復(fù)雜的規(guī)則和方法�,而是只基于MAC地址控制數(shù)據(jù)包的傳輸方向��。無線訪問點通過這種方法��,可以實現(xiàn)同一個AP內(nèi)部和不同AP之間的無線用戶數(shù)據(jù)隔離�。
首先,在無線訪問點AP中建立一張MAC控制表��,每一張MAC控制表都包括(1)目的MAC地址指明無線站點2只能訪問到的MAC地址�;(2)允許/禁止標志控制無線站點2到該MAC地址通信的開啟和關(guān)閉。
如果此時接入無線訪問點AP的用戶隔離模式打開�,當(dāng)從站點-2有上行數(shù)據(jù)通過AP時(無線端口—>有線端口),AP先根據(jù)數(shù)據(jù)包的目的MAC地址從MAC控制表12中查找該地址表項�。如果沒有,則將數(shù)據(jù)包丟棄�;如果有該MAC地址表項,且允許/禁止標志是“允許”���,則從AP的網(wǎng)橋?qū)W習(xí)表中查找該目的MAC地址的端口號���,將該數(shù)據(jù)包發(fā)往該MAC地址所在的AP端口����。
同樣在用戶隔離模式打開的情況下�,當(dāng)有下行數(shù)據(jù)通過AP要發(fā)往無線站點-1時(有線端口—>無線端口),AP先從網(wǎng)橋?qū)W習(xí)表中檢查數(shù)據(jù)包目的MAC地址的端口號�����,如果網(wǎng)橋?qū)W習(xí)表中沒有該目的MAC地址�,或目的MAC地址的端口號是有線端口,則將數(shù)據(jù)包丟棄���;如果目的MAC地址的端口號是無線端口��,則繼續(xù)檢查該數(shù)據(jù)包的源MAC地址�����,并從MAC控制表11中查找該地址表項��。如果沒有該表項�,則將數(shù)據(jù)包丟棄;如果有該MAC地址表項���,且允許/禁止標志是“允許”�,則將該數(shù)據(jù)包發(fā)往無線端口����,從而將數(shù)據(jù)包發(fā)送到無線站點-1。
圖7中描述的是無線訪問點AP需要進行用戶隔離時的典型應(yīng)用���。此時在MAC控制表中添加接入控制器4的MAC地址表項,并將其打開�,則無線訪問點AP覆蓋下的所有無線用戶都只能通過接入控制器4上網(wǎng),而無法訪問到其它無線站點了�。如果在局域網(wǎng)內(nèi)還有其它公共服務(wù)器允許用戶訪問的話,也可以在MAC控制表中添加該服務(wù)器MAC地址表項�����,以便用戶訪問一些公共資源�。
二層防火墻基于不同的實現(xiàn),會有許多更加復(fù)雜和有用的安全功能�。但基本原則都是對MAC數(shù)據(jù)包使用各種預(yù)定義規(guī)則和方法,控制數(shù)據(jù)包的流向�����,來達到數(shù)據(jù)安全的目的。由于對數(shù)據(jù)包在二層就進行過濾和處理�����,而不必到三層或更高層再進行數(shù)據(jù)過濾����,因此二層防火墻能更加有效的對用戶數(shù)據(jù)進行隔離,并能減小網(wǎng)絡(luò)負擔(dān)���。
權(quán)利要求
1.一種對無線局域網(wǎng)內(nèi)用戶進行隔離的方法��,其特征在于����,實現(xiàn)步驟如下(1)首先在IEEE 802.11 MAC芯片的驅(qū)動程序中設(shè)置將原來由IEEE802.11 MAC芯片固件直接轉(zhuǎn)發(fā)的符合IEEE 802.11協(xié)議的無線數(shù)據(jù)包都發(fā)送到無線訪問點AP的網(wǎng)橋模塊中進行處理��;(2)無線訪問點AP的網(wǎng)橋模塊在接收到無線數(shù)據(jù)包后��,查詢對應(yīng)于該數(shù)據(jù)包的目的MAC地址的無線網(wǎng)橋轉(zhuǎn)發(fā)表項�,看該數(shù)據(jù)包的目的MAC地址是否在相同的無線訪問點AP端口上,如果在則將該數(shù)據(jù)包丟棄掉不予處理;(3)在無線訪問點AP的網(wǎng)橋模塊中創(chuàng)建MAC數(shù)據(jù)包過濾表��,針對收到的每個無線數(shù)據(jù)包�����,都通過查詢該數(shù)據(jù)包過濾表��,按順序檢索出與之匹配的“規(guī)則”�,然后按照該表項查找出與該“規(guī)則”相對應(yīng)的“處理方法”,做出相應(yīng)的處理����。
2.根據(jù)權(quán)利要求1所述的對無線局域網(wǎng)內(nèi)用戶進行隔離的方法,其特征在于�,無線訪問點AP的網(wǎng)橋模塊接收到的每個數(shù)據(jù)包都包括源地址和目的MAC地址的信息����,如果是從IEEE 802.11無線接口收到的數(shù)據(jù)包,還要包括接收端口號����。
3.根據(jù)權(quán)利要求1所述的對無線局域網(wǎng)內(nèi)用戶進行隔離的方法,其特征在于����,無線訪問點AP的網(wǎng)橋模塊接收的數(shù)據(jù)包要保證是從無線訪問點AP的端口接收進來的����。
4.根據(jù)權(quán)利要求1所述的對無線局域網(wǎng)內(nèi)用戶進行隔離的方法����,其特征在于,無線訪問點AP的網(wǎng)橋模塊在接收到無線數(shù)據(jù)包后��,查詢對應(yīng)于該數(shù)據(jù)包的目的MAC地址的無線網(wǎng)橋轉(zhuǎn)發(fā)表項�����,看該數(shù)據(jù)包的目的MAC地址是否在相同的無線訪問點AP端口上��,如果在則將該數(shù)據(jù)包丟棄掉不予處理是通過在無線訪問點AP的無線網(wǎng)橋模塊實現(xiàn)幀過濾的函數(shù)中添加一段代碼來實現(xiàn)�����,而且運行期間可以動態(tài)配置為開和關(guān)狀態(tài)�����。
5.根據(jù)權(quán)利要求1所述的對無線局域網(wǎng)內(nèi)用戶進行隔離的方法�,其特征在于,所述的MAC數(shù)據(jù)包過濾表主要包括由用戶制定的數(shù)據(jù)過濾靜態(tài)表,表中的每一項都對應(yīng)著一條“匹配規(guī)則”�,以及一個“處理方法”。
6.根據(jù)權(quán)利要求5所述的對無線局域網(wǎng)內(nèi)用戶進行隔離的方法��,其特征在于��,所述的“匹配規(guī)則”是MAC源地址匹配�����、MAC目的地址匹配�����、IP源地址匹配�����、IP目的地址匹配���、TCP協(xié)議匹配、UDP協(xié)議匹配�、數(shù)據(jù)輸入端口匹配、數(shù)據(jù)輸出端口匹配���、其他特殊匹配中一項或多項的組合�����。
7.根據(jù)權(quán)利要求5所述的對無線局域網(wǎng)內(nèi)用戶進行隔離的方法�,其特征在于,所述的“處理方法”包括有對數(shù)據(jù)包的接收�����、轉(zhuǎn)發(fā)��、丟棄�����。
全文摘要
本發(fā)明公開了一種對無線局域網(wǎng)內(nèi)用戶進行隔離的方法�,該方法首先將本來由IEEE802.11MAC固件實現(xiàn)中繼轉(zhuǎn)發(fā)的無線數(shù)據(jù)包都發(fā)送到無線訪問點的無線網(wǎng)橋模塊,然后判斷收到的數(shù)據(jù)包的源地址和目的MAC地址信息����,根據(jù)網(wǎng)橋轉(zhuǎn)發(fā)表項,以及MAC數(shù)據(jù)包過濾表項決定是否轉(zhuǎn)發(fā)或丟棄該數(shù)據(jù)包�����,實現(xiàn)對同一分布系統(tǒng)DS內(nèi)無線用戶的隔離。該方法采用了一種二層無線防火墻機制���,不但可以用于無線用戶隔離�,還可以通過規(guī)則匹配和處理方法定義來過濾和轉(zhuǎn)發(fā)MAC數(shù)據(jù)包����,實現(xiàn)防火墻的功能。
文檔編號H04L9/00GK1414742SQ02153730
公開日2003年4月30日 申請日期2002年12月3日 優(yōu)先權(quán)日2002年12月3日
發(fā)明者王煒, 魏慶新, 石磊 申請人:北京朗通環(huán)球科技有限公司