專利名稱:一種無線局域網(wǎng)接入點設(shè)備管理移動終端的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種IEEE 802.11無線局域網(wǎng)(WLAN)接入點(簡稱AP)設(shè)備管理移動終端(簡稱STA)的方法����,特別是涉及一種用于無線局域網(wǎng)組網(wǎng)時對用戶進(jìn)行分級管理,從而提高整個系統(tǒng)的安全性和靈活性的方法����。
背景技術(shù):
接入點設(shè)備管理移動終端一直是無線局域網(wǎng)組網(wǎng)時關(guān)注的一個重要方面,目前采用的方法是通過在接入點設(shè)備上設(shè)定的業(yè)務(wù)設(shè)定標(biāo)識(Service SetIdentifier����,簡稱SSID)來對移動終端進(jìn)行統(tǒng)一的管理。SSID是一個0~32個字符的字符串����,為0個字符時表示這是一個廣播的SSID。接入點設(shè)備通過SSID標(biāo)識它所管理的區(qū)域��,并根據(jù)該SSID接受移動終端的接入���。移動終端通過兩種方式獲得所要連接的接入點設(shè)備的SSID�����,一種方式是事先被告知����,另一種方式是通過主動掃描去獲取。在得知接入點設(shè)備的SSID和認(rèn)證及加密方式后����,移動終端將向接入點設(shè)備發(fā)出認(rèn)證和連接請求。接入點設(shè)備將會對這些移動終端發(fā)出的認(rèn)證和連接請求產(chǎn)生響應(yīng)�,以決定允不允許移動終端的接入。目前這種通過SSID方式對移動終端進(jìn)行統(tǒng)一管理的方法明顯存在以下不足(1)所有的移動終端通過同樣的SSID接入使移動終端之間沒有隔離�����,從而給移動終端之間的安全性帶來隱患���;(2)在實際組網(wǎng)應(yīng)用時�����,不同的移動終端需要提供的業(yè)務(wù)和安全程度都可能會不一樣���,這種統(tǒng)一管理的方式不能滿足不同移動終端在這些方面的不同需求���。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是提供一種無線局域網(wǎng)接入點設(shè)備管理移動終端的方法,解決現(xiàn)有技術(shù)中接入點設(shè)備只能通過同樣的SSID來對移動終端進(jìn)行統(tǒng)一管理所帶來的安全隱患和不能滿足移動終端在業(yè)務(wù)和安全方面不同要求的缺陷�����。
為達(dá)到上述目的�,本發(fā)明提供了一種無線局域網(wǎng)接入點設(shè)備管理移動終端的方法����,其特點在于,包括如下步驟步驟一���,在接入點設(shè)備上劃分不同的域���;步驟二,為每個域配置標(biāo)識該域的業(yè)務(wù)設(shè)定標(biāo)識���;步驟三����,屬于某個域的移動終端通過該域和接入點設(shè)備相連接,并獲得與該域相關(guān)聯(lián)的業(yè)務(wù)����。
上述的方法,其特點在于��,所述步驟三進(jìn)一步包括步驟a�����,為每個域配置接入該域所使用的認(rèn)證方式和加密方式���;步驟b�����,屬于某個域的移動終端被告知該域所使用的業(yè)務(wù)設(shè)定標(biāo)識��、認(rèn)證方式和加密方式��;步驟c����,該移動終端利用所獲取的業(yè)務(wù)設(shè)定標(biāo)識�、認(rèn)證方式和加密方式向接入點設(shè)備發(fā)出連接請求����;步驟d�����,接入點設(shè)備根據(jù)該移動終端所屬域的業(yè)務(wù)設(shè)定標(biāo)識和相應(yīng)的認(rèn)證方式及加密方式來決定是否允許該移動終端接入��;步驟e�,經(jīng)接入點設(shè)備允許后,該移動終端通過該域和接入點設(shè)備相連接�����。
上述的方法���,其特點在于,在所述步驟二中還包括判斷是否需要在域之間劃分虛擬局域網(wǎng)標(biāo)簽的步驟�,需要則為每個域配置虛擬局域網(wǎng)標(biāo)簽,不需要則繼續(xù)執(zhí)行以后的步驟����。
上述的方法,其特點在于�����,在所述步驟二中還包括判斷是否需要為每個域配置服務(wù)質(zhì)量等級的步驟,需要則為每個域配置服務(wù)質(zhì)量等級���,不需要則繼續(xù)執(zhí)行以后的步驟����。
上述的方法���,其特點在于�����,在所述步驟二中還包括判斷是否需要對域的用戶進(jìn)行控制的步驟�,需要則為每個域配置用戶控制信息��,不需要則繼續(xù)執(zhí)行以后的步驟���。
上述的方法�����,其特點在于�����,所述步驟a中�,所述認(rèn)證方式和加密方式是根據(jù)該域的移動終端的安全需求來配置,對于安全需求高的移動終端���,其所屬的域配置EAP/TLS認(rèn)證和AES加密�����;對于安全需求低的移動終端�����,其所屬的域配置共享密鑰式認(rèn)證和WEP加密或者不配置安全認(rèn)證模式和加密模式�。
上述的方法���,其特點在于,所述步驟一是根據(jù)移動終端的不同需求在接入點設(shè)備上劃分管理域��、財務(wù)域和一般用戶域���。
本發(fā)明所述方法與現(xiàn)有技術(shù)相比����,具有以下優(yōu)點實現(xiàn)了接入點設(shè)備對移動終端的分級管理,從而很容易滿足不同級別的移動終端對安全和業(yè)務(wù)的不同需求��;通過域的方式將不同的移動終端進(jìn)行隔離��,從而解決由統(tǒng)一管理所帶來的安全隱患����,提高了系統(tǒng)的安全性。
下面結(jié)合附圖進(jìn)一步詳細(xì)說明本發(fā)明的具體實施例���。
圖1是本發(fā)明方法的流程圖���;圖2是本發(fā)明方法根據(jù)需要對AP上的域進(jìn)行劃分和配置的流程圖;圖3是根據(jù)AP對802.11管理幀中的探索請求幀和關(guān)聯(lián)請求幀的處理流程�;圖4是本發(fā)明在實際中的應(yīng)用示例。
具體實施例方式
參閱圖1�����,為本發(fā)明方法的流程圖����;本發(fā)明方法在無線局域網(wǎng)組網(wǎng)時��,在接入點設(shè)備上按移動終端的不同需求劃分多個不同級別的域�����;每個域都具有獨立的SSID作為域的標(biāo)識���,每個域的SSID相互之間是不可見的;移動終端只能通過事先被告知的方式獲取域的SSID及認(rèn)證和加密方式��;屬于某個域的移動終端在獲取該域的SSID后��,將利用域的SSID并通過域所配置的認(rèn)證和加密方式與接入點設(shè)備進(jìn)行交互�����;移動終端在從相應(yīng)的域和接入點設(shè)備關(guān)聯(lián)成功后�,將能獲得與該域相關(guān)聯(lián)的業(yè)務(wù)。本發(fā)明方法包括如下步驟步驟110�����,在接入點設(shè)備上劃分不同的域�����;步驟120��,為每個域配置標(biāo)識該域的SSID����,以及,為每個域配置接入該域所使用的認(rèn)證和加密方式��;步驟130�,屬于某個域的移動終端通過該域和接入點設(shè)備相連接,并獲得與該域相關(guān)聯(lián)的業(yè)務(wù)�。
請參閱圖2,是根據(jù)需要對AP上的域進(jìn)行配置的流程圖��。包括步驟201��,按要求在AP上劃分域�;步驟202,配置每個域的SSID標(biāo)識����,并加入到SSID列表;步驟203��,判斷是否需要在域之間換分VLAN(Virtual Local Area Network,虛擬局域網(wǎng))�,是則執(zhí)行步驟204,否則執(zhí)行步驟205�����;步驟204��,為每個域配置VLAN標(biāo)簽�;步驟205,判斷是否需要為域配置QoS(服務(wù)質(zhì)量)����,是則執(zhí)行步驟206,否則執(zhí)行步驟207����;步驟206,為每個域配置QoS服務(wù)等級���;步驟207�,判斷是否需要對域的用戶(如用戶數(shù)等)進(jìn)行控制���,是則執(zhí)行步驟208�����,否則執(zhí)行步驟209�����;步驟208����,為每個域配置相應(yīng)的控制信息��;步驟209�����,為每個域配置加密方式和認(rèn)證方式�����。
請參閱圖3����,是根據(jù)AP對802.11管理幀中的探索請求幀和關(guān)聯(lián)請求幀的處理流程圖。AP和移動終端建立關(guān)聯(lián)�,包括步驟301��,AP接收802.11管理幀����,對移動終端的探索請求幀執(zhí)行步驟302���,對移動終端的關(guān)聯(lián)請求幀執(zhí)行步驟305��;步驟302���,是否能在域的SSID列表中找到探索請求幀中所包含的SSID,是則執(zhí)行步驟303��,否則執(zhí)行步驟309�����;步驟303�,構(gòu)造該探索請求幀的探索響應(yīng)幀,并在探索響應(yīng)幀中包含所查詢域的SSID�;步驟304,發(fā)出探索響應(yīng)幀�,轉(zhuǎn)到步驟309;步驟305�����,是否能在域的SSID列表中找到關(guān)聯(lián)請求幀中所包含的SSID?是則執(zhí)行步驟307�����,否則執(zhí)行步驟306�;步驟306��,發(fā)出關(guān)聯(lián)失敗的關(guān)聯(lián)響應(yīng)幀���,轉(zhuǎn)到步驟309�;步驟307�,對該關(guān)聯(lián)請求幀中包含的其它信息和AP的控制要求決定關(guān)聯(lián)的結(jié)果,并執(zhí)行步驟308����;步驟308,發(fā)出關(guān)聯(lián)成功或失敗的關(guān)聯(lián)響應(yīng)幀�����,轉(zhuǎn)到步驟309����;步驟309���,結(jié)束。
在圖4所示的應(yīng)用示例中����,接入點設(shè)備覆蓋的區(qū)域有高級管理人員,財務(wù)人員���,一般工作人員三類用戶����。這三類用戶對安全和業(yè)務(wù)的需求都不相同��,所以根據(jù)這三類用戶的不同需求將他們所使用的移動終端劃分為三個不同的域����,即管理域、財務(wù)域和一般用戶域���。這三個域具有不同的SSID作為域標(biāo)識�,且相互之間是獨立的�,從而將這三類不同的移動終端隔離開來���,增強(qiáng)移動終端相互之間的安全性。同時在安全方面���,根據(jù)這三類終端的不同要求給這三個域分別配置不同的認(rèn)證和加密方式�����。對于安全需求高的移動終端,相應(yīng)的域需要配置高級別的安全認(rèn)證模式和加密模式��,比如EAP/TLS認(rèn)證和AES加密�;對于安全需求低的移動終端,相應(yīng)的域需要配置低級別甚至不配置安全認(rèn)證模式和加密模式�,如共享密鑰式認(rèn)證和WEP加密。在提供的業(yè)務(wù)方面���,針對不同移動終端需要業(yè)務(wù)不一樣��,如對能夠訪問資源的限制等��,業(yè)務(wù)模塊將會根據(jù)移動終端所攜帶的不同域標(biāo)識提供不同的業(yè)務(wù)��。對于來自高級用戶域移動終端�����,業(yè)務(wù)模塊將會提供高級的業(yè)務(wù)�,比如能夠訪問保密級別高的資源等。對來自低級別用戶域的移動終端����,業(yè)務(wù)模塊將只會提供一些一般的業(yè)務(wù),比如只能訪問保密級別較低的資源���,而對保密級別較高資源的訪問將會受到限制���。而對來自專業(yè)用戶域的移動終端,業(yè)務(wù)模塊將會提供專業(yè)業(yè)務(wù)�,比如能構(gòu)訪問低級別用戶不能訪問的專業(yè)資源等。這些措施將在很大程度上提高整個系統(tǒng)的安全性和靈活性�。在上述的應(yīng)用示例中,處于管理域的移動終端將會具有高級別的安全認(rèn)證和加密方式���,同時能夠使用高級別的業(yè)務(wù)���;處于財務(wù)域的移動終端將會具有一定級別的安全認(rèn)證和加密方式,同時能夠使用財務(wù)方面的專業(yè)業(yè)務(wù);處于一般用戶域的移動終端將會具有低級別的安全認(rèn)證和加密方式����,只能夠使用一般的業(yè)務(wù)。
權(quán)利要求
1.一種無線局域網(wǎng)接入點設(shè)備管理移動終端的方法����,其特征在于,包括如下步驟步驟一��,在接入點設(shè)備上劃分不同的域�;步驟二,為每個域配置標(biāo)識該域的業(yè)務(wù)設(shè)定標(biāo)識��;步驟三���,將屬于某個域的移動終端通過該域和接入點設(shè)備相連接,并獲得與該域相關(guān)聯(lián)的業(yè)務(wù)����。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于��,所述步驟三進(jìn)一步包括步驟a�����,為每個域配置接入該域所使用的認(rèn)證方式和加密方式;步驟b����,屬于某個域的移動終端被告知該域所使用的業(yè)務(wù)設(shè)定標(biāo)識、認(rèn)證方式和加密方式���;步驟c�����,該移動終端利用所獲取的業(yè)務(wù)設(shè)定標(biāo)識�、認(rèn)證方式和加密方式向接入點設(shè)備發(fā)出連接請求����;步驟d,接入點設(shè)備根據(jù)該移動終端所屬域的業(yè)務(wù)設(shè)定標(biāo)識和相應(yīng)的認(rèn)證方式及加密方式來決定是否允許該移動終端接入��;步驟e�,經(jīng)接入點設(shè)備允許后,該移動終端通過該域和接入點設(shè)備相連接�。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于����,在所述步驟二中還包括判斷是否需要在域之間劃分虛擬局域網(wǎng)標(biāo)簽的步驟���,需要則為每個域配置虛擬局域網(wǎng)標(biāo)簽,不需要則繼續(xù)執(zhí)行以后的步驟��。
4.根據(jù)權(quán)利要求2所述的方法���,其特征在于���,在所述步驟二中還包括判斷是否需要為每個域配置服務(wù)質(zhì)量等級的步驟,需要則為每個域配置服務(wù)質(zhì)量等級����,不需要則繼續(xù)執(zhí)行以后的步驟。
5.根據(jù)權(quán)利要求2所述的方法�����,其特征在于����,在所述步驟二中還包括判斷是否需要對域的用戶進(jìn)行控制的步驟�����,需要則為每個域配置用戶控制信息,不需要則繼續(xù)執(zhí)行以后的步驟��。
6.根據(jù)權(quán)利要求2���、3�、4或5所述的方法�����,其特征在于�,所述步驟a中,所述認(rèn)證方式和加密方式是根據(jù)該域的移動終端的安全需求來配置�����,對于安全需求高的移動終端���,其所屬的域配置EAP/TLS認(rèn)證和AES加密����;對于安全需求低的移動終端���,其所屬的域配置共享密鑰式認(rèn)證和WEP加密或者不配置安全認(rèn)證模式和加密模式���。
7.根據(jù)權(quán)利要求6所述的方法�����,其特征在于�,所述步驟一是根據(jù)移動終端的不同需求在接入點設(shè)備上劃分管理域�、財務(wù)域和一般用戶域。
8.根據(jù)權(quán)利要求1所述的方法���,其特征在于�����,所述步驟一是根據(jù)移動終端的不同需求在接入點設(shè)備上劃分管理域����、財務(wù)域和一般用戶域��。
全文摘要
本發(fā)明公開了一種無線局域網(wǎng)接入點設(shè)備管理移動終端的方法����,包括根據(jù)移動終端的不同需求在接入點設(shè)備上劃分不同的域;為每個域配置標(biāo)識該域的業(yè)務(wù)設(shè)定標(biāo)識��;屬于某個域的移動終端通過該域和接入點設(shè)備相連接����,并獲得與該域相關(guān)聯(lián)的業(yè)務(wù)。本發(fā)明實現(xiàn)了接入點設(shè)備對移動終端的分級管理����,滿足了不同級別的移動終端對安全和業(yè)務(wù)的不同需求,通過域的方式將不同的移動終端進(jìn)行隔離�,從而解決由統(tǒng)一管理所帶來的安全隱患,提高了系統(tǒng)的安全性����。
文檔編號H04L12/28GK1561042SQ200410046470
公開日2005年1月5日 申請日期2004年6月9日 優(yōu)先權(quán)日2004年2月17日
發(fā)明者劉向陽, 張磊, 邵士文 申請人:中興通訊股份有限公司