亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種無線局域網(wǎng)移動用戶的分組實現(xiàn)方法

文檔序號:7588428閱讀:219來源:國知局
專利名稱:一種無線局域網(wǎng)移動用戶的分組實現(xiàn)方法
技術(shù)領(lǐng)域
本發(fā)明描述了一種對無線局域網(wǎng)移動用戶進行分組,以及對這些用戶之間的單播、多播和廣播數(shù)據(jù)包的傳輸進行控制的方法。該方法實現(xiàn)了對不同組的本地用戶之間的、訪客用戶之間的、以及訪客用戶和本地用戶之間的數(shù)據(jù)傳輸控制,從而在大多數(shù)應用程序下實現(xiàn)了一種基于用戶組的用戶訪問控制。
背景技術(shù)
有線互聯(lián)網(wǎng)中用戶分組多基于虛擬局域網(wǎng)(VLAN或Virtual LAN)技術(shù)。這種技術(shù)的特點是通過網(wǎng)絡設備對其物理端口的(接通和斷開)控制來完成與這些物理端口相連接的用戶的分組和相應數(shù)據(jù)傳輸控制。由于網(wǎng)絡設備多處于系統(tǒng)管理員的控制下,這種分組方法具有較高的安全性。
具體說來,虛擬局域網(wǎng)可以分為端口VLAN、動態(tài)VLAN、Super VLAN、MAC VLAN等幾種劃分模式。
端口VLAN是一種比較常用的VLAN劃分方法,其原理是從邏輯上將局域網(wǎng)中交換機的端口分配到相應的VLAN中。每個VLAN有自己的IP地址空間。用戶根據(jù)接入端口決定其所處VLAN。端口VLAN分為單交換機和多交換機兩種模式;前者只支持在一臺交換機上指定若干的端口組成VLAN,而后者允許一個VLAN跨越多個交換機,并且同一個交換機上的端口可以屬于不同的VLAN。
動態(tài)VLAN的原理是在交換機的內(nèi)存中制定一張用戶信息表,用來記錄相連用戶的IP地址、VLAN標識以及端口信息等。當用戶交換數(shù)據(jù)時,交換機根據(jù)信息表進行檢查,并根據(jù)檢查結(jié)果進一步進行尋址和路由選擇。動態(tài)VLAN的保密性比端口VLAN的安全性更高,因為交換機不僅要檢查用戶的IP地址還要復核其VLAN標識。
SuperVLAN是目前比較先進的一種VLAN劃分方法。SuperVLAN的本質(zhì)是采用了優(yōu)化的IP地址的管理技術(shù)。它的每個子網(wǎng)(sub-VLAN)都是獨立的多播通道,多播信息不能在不同的子網(wǎng)中進行交換。當數(shù)據(jù)需要送到多個目的節(jié)點時,就動態(tài)建立VLAN代理,通過代理設備對VLAN中的用戶進行管理。這樣每個子網(wǎng)不需要設定IP地址,而是一個SuperVLAN中的所有子網(wǎng)共享一個IP地址,這個IP地址就是SuperVLAN的IP地址。
MAC VLAN通過設備的MAC地址(硬件地址),由人工進行初始配置來完成VLAN分類。當用戶交換數(shù)據(jù)時,交換機根據(jù)人工配置進行尋址和路由選擇。
在無線局域網(wǎng)中,無線可在空中四面八方傳播并被任何人接收,所以沒有物理連線來保證虛擬局域網(wǎng)內(nèi)(無線)移動用戶的數(shù)據(jù)定向傳輸。這時,一般控制移動用戶數(shù)據(jù)接收的方法是采用數(shù)據(jù)加解密技術(shù)。這種方法要求接入點和移動用戶都帶有加解密能力。任何以無線方式傳輸?shù)男畔⒍柬毾冉?jīng)加密后再發(fā)出;雖然任何接收點都能接收到發(fā)出的信息,但只有相應的接受點才能真正解密該信息,從而實現(xiàn)了數(shù)據(jù)的定向傳輸。
基于數(shù)據(jù)加密的虛擬局域網(wǎng)具有較高的安全保密性,但缺點是移動用戶需配有相應的客戶端軟件并帶有相應證書或/和密鑰來實現(xiàn)認證和加解密功能。這對密鑰管理、用戶設置和用戶管理,以至于整個系統(tǒng)的維護都提出了較高的要求。

發(fā)明內(nèi)容
本發(fā)明涉及無線局域網(wǎng)中用戶的分組技術(shù),以及基于用戶組的用戶數(shù)據(jù)傳輸控制技術(shù)。
進一步說,本發(fā)明之技術(shù)區(qū)分無線局域網(wǎng)中的本地和訪客用戶,并將本地用戶按用戶組組織;它通過控制屬于不同用戶組的本地用戶之間的、不同訪客用戶之間的、以及訪客用戶和本地用戶之間的數(shù)據(jù)傳輸,實現(xiàn)所有用戶之間的訪問控制。
本發(fā)明采用的技術(shù)是用接入點直接控制用戶之間的單播數(shù)據(jù)傳輸,并以此來控制用戶之間的多播和廣播的應答,從而在大多數(shù)應用上提供用戶訪問控制。
本發(fā)明引入用戶組的概念,每個組由若干用戶組成,每個用戶可屬于多個用戶組。根據(jù)對組內(nèi)用戶權(quán)限的控制方式,用戶組分為兩類一類稱為本地(local)(用戶)組,另一類稱為訪客(guest)(用戶)組,其用戶分別稱為本地用戶和訪客用戶。一個無線局域網(wǎng)可支持多個本地組,但只支持一個訪客組。
直觀說來,本地用戶除了可以通過局域網(wǎng)訪問外部互聯(lián)網(wǎng)之外還有在用戶組內(nèi)互相訪問的權(quán)限,而無跨用戶組的訪問權(quán)限;訪客用戶則只可訪問外部互聯(lián)網(wǎng),而無相互訪問的權(quán)限,更沒有訪問任何本地用戶的權(quán)限。
設置多個本地組的動機是將企業(yè)本地移動用戶按分組劃分,使得同組內(nèi)移動用戶之間能夠共享數(shù)據(jù),并阻止屬于不同組的移動用戶共享數(shù)據(jù)。
設置訪客組的動機是將所有訪客移動用戶歸入該組,使得訪客移動用戶與本地移動用戶之間,以及所有訪客移動用戶之間,都不能共享數(shù)據(jù)。這些要求蘊含著只要有一個訪客組就夠用了!
本發(fā)明的核心技術(shù)體現(xiàn)在一種接入點轉(zhuǎn)發(fā)用戶到用戶的數(shù)據(jù)包的方法。在執(zhí)行相應的核心步驟之前,作為準備步驟,所有移動用戶必須先與接入點進行標準的IEEE 802.11關(guān)聯(lián),并執(zhí)行一個相互鑒別過程;這鑒別過程無需產(chǎn)生任何用來加密數(shù)據(jù)的加密密鑰,但接入點對所有通過鑒別的移動用戶都建立了一個從用戶MAC地址到所有所屬用戶組集合的映射。在執(zhí)行了上述準備步驟后,核心步驟的可具體描述如下1、在接入點AP收到用戶A的數(shù)據(jù)包P后,先根據(jù)P中的發(fā)送MAC地址SA找到發(fā)送用戶所對應的用戶組集合SG;2、如果P中的目標MAC地址DA是本AP的MAC地址,而且SG含有至少一個本地類分組或訪客組(即SG非空),AP則將P送入自己的協(xié)議棧進行處理;(這時,P可能是本地用戶或訪客用戶請求訪問外部互聯(lián)網(wǎng)的數(shù)據(jù)包。)3、如果P中的目標MAC地址DA是廣播或多播地址,則執(zhí)行如下步驟a)如SG帶有本地類分組,AP則(無線)轉(zhuǎn)發(fā)P;(所有與AP關(guān)聯(lián)并帶有匹配DA的MAC地址的移動用戶將能接收到P。)b)否則,即SG不帶有本地類分組(是空集或只帶有訪客組),AP則丟棄P。
4、否則,即如果DA不是廣播或多播地址,AP則根據(jù)DA找到目標用戶對應的用戶組集合DG,a)如果集合SG和DG不包含任何相同用戶組(包含SG或DG是空集的情況),AP則丟棄P。
b)否則,即如果SG和DG包含相同的用戶組,AP則繼續(xù)判斷這些用戶組的類型i.如果這些相同的用戶組中有一個本地組,AP則(無線)轉(zhuǎn)發(fā)P;(與AP關(guān)聯(lián)并帶有MAC地址DA的用戶將接收到P。)ii.否則,即如果這些相同的用戶組都是訪客組,AP則丟棄P。
上述步驟達到如下效果●轉(zhuǎn)發(fā)本地和訪客用戶請求訪問外部互聯(lián)網(wǎng)的所有數(shù)據(jù)包;●轉(zhuǎn)發(fā)本地用戶發(fā)出的任何多播和廣播數(shù)據(jù)傳輸;●截斷訪客用戶發(fā)出的任何多播和廣播數(shù)據(jù)傳輸;●轉(zhuǎn)發(fā)任何在同一本地組內(nèi)的用戶之間的單播數(shù)據(jù)傳輸;●截斷不同用戶組的用戶之間的單播數(shù)據(jù)傳輸;●截斷訪客組用戶與任何其它訪客組或本地組用戶之間的單播數(shù)據(jù)傳輸;●截斷從無所屬用戶組的用戶發(fā)出的任何單播、多博和廣播數(shù)據(jù)傳輸;●截斷向無所屬用戶組的用戶發(fā)出的任何單播、多博和廣播數(shù)據(jù)傳輸。
雖然上述步驟轉(zhuǎn)發(fā)本地用戶的多播和廣播,但由于多播和廣播的應答多為單播,所以這些步驟還是可以截斷多播和廣播的應答,使需要應答的多播和廣播通信過程無法完成,從而阻止那些基于多播和廣播應答的協(xié)議、如ARP、DHCP和NetBIOS協(xié)議等的完成。


圖1是本發(fā)明的分組方法及移動用戶與接入點進行關(guān)聯(lián)的示意圖。AP依靠其鑒別服務功能在此完成移動用戶的鑒別、分組及無線接入控制。
圖2是分組方法邏輯描述示意圖。
具體實施例方式
本發(fā)明的一個具體實施可參照圖1如下解釋。
在執(zhí)行本發(fā)明核心步驟之前,所有移動用戶C1、C2、C3、C4、C5和C6都必須先與接入點AP進行關(guān)聯(lián),并依靠系統(tǒng)的鑒別服務AS(AuthenticationService)與AP相互鑒別;AS可運行于系統(tǒng)內(nèi)的一臺單獨的服務器、AP、或其它的網(wǎng)絡設備的硬件之上。鑒別的機制可以是多樣的,如基于IEEE802.1X的用戶名/口令(EAP-MD5即Extensible Authentication Protocol-Message Digestalgorithm 5)模式、IEEE802.1X的數(shù)字證書(EAP-TLS即ExtensibleAuthentication Protocol-Transport Layer Security)模式、或基于WEB的用戶名/口令模式等。不同鑒別的機制決定了移動用戶與AP關(guān)聯(lián)完成和鑒別的順序。但無論是怎樣的順序,在關(guān)聯(lián)和鑒別成功完成后,AP都已找出所有用戶的所屬分組。這里我們需要特別指出,本發(fā)明所描述的步驟只控制用戶之間的數(shù)據(jù)傳輸,而不影響用戶和系統(tǒng)的數(shù)據(jù)傳輸;這里用戶和系統(tǒng)的數(shù)據(jù)傳輸包括在執(zhí)行IEEE802.1X的鑒別過程中,用戶與AS和AP的信息交換,還包括在執(zhí)行基于WEB的用戶名/口令鑒別過程時,移動用戶必須在通過WEB輸入用戶名/口令之前,已與AP成功關(guān)聯(lián)并與DHCP服務通過信息交換取得局域網(wǎng)地址。
在圖1中,移動用戶C1、C2、C3、C4、C5和C6均通過關(guān)聯(lián)和鑒別,AP也已找出它們所屬的本地組G1和G2,以及訪客組G3,并建立了從MAC地址到這些用戶組的映射。
在已經(jīng)建立了用戶組映射以后,本發(fā)明的核心步驟將進行如下執(zhí)行
●當C1經(jīng)AP向C2發(fā)送單播數(shù)據(jù)時,由于C1和C2屬于同一本地組,AP轉(zhuǎn)發(fā)此數(shù)據(jù),使C2能夠接收到此數(shù)據(jù);進一步,當C2經(jīng)AP向C1發(fā)送(單播)應答時,由于同樣的原因,C2也能夠接收到該應答。
●當C1經(jīng)AP向C3(或C5)發(fā)送單播數(shù)據(jù)時,由于C1和C3(或C5)屬于不同用戶組,因此AP丟棄此數(shù)據(jù),使C3(或C5)不能收到此數(shù)據(jù),從而使C1與C3(或C5)的通信不能完成。
●當C1經(jīng)AP向用戶組G1發(fā)廣播(或多播)數(shù)據(jù)時,由于是廣播(或多播),也由于C1屬于的用戶組G1是本地組,所以AP將廣播(或多播)數(shù)據(jù)發(fā)出。用戶組G1內(nèi)的所有除C1外的用戶-當前例子中只有C2-都可以收到此廣播(或多播)信息。進一步,當C2經(jīng)AP向C1發(fā)送對應此廣播(或多播)的(單播)應答時,由于C1和C2屬于同一本地組,C1也能夠接收到應答。
●當C1經(jīng)AP向用戶組G2(或G3)發(fā)廣播(或多播)數(shù)據(jù)時,由于是廣播(或多播),也由于C1屬于的用戶組G1是本地組,所以不管用戶組G2(或G3)是什么類型的用戶組,也不管C1是否屬于用戶組G2(或G3),AP一律將廣播數(shù)據(jù)發(fā)出。用戶組G2(或G3)內(nèi)的所有用戶,都可以收到此廣播(或多播)信息。但是,當G2(或G3)內(nèi)的用戶,例如C3(或C5),經(jīng)AP向C1發(fā)送對應此廣播(或多播)的(單播)應答時,由于C3和C5不屬于G1,因此AP丟棄此應答,從而使C1不能夠接收到應答。
●當C5經(jīng)AP向C1發(fā)送單播數(shù)據(jù)時,由于C5和C1屬于不同用戶組,因此AP丟棄此數(shù)據(jù),從而使C1不能收到此數(shù)據(jù).
●當C5經(jīng)AP向C6發(fā)送單播數(shù)據(jù)時,由于C5屬于訪客組,故AP丟棄此數(shù)據(jù),從而使C6不能收到此數(shù)據(jù)。
●當C5經(jīng)AP向用戶組G1(G2或G3)發(fā)廣播(或多播)數(shù)據(jù)時,由于C5屬于訪客組,故AP丟棄此廣播(或多播)數(shù)據(jù),從而使G1(G2或G3)內(nèi)用戶不能收到此廣播(或多播)數(shù)據(jù)。
●在一個用戶正處于鑒別過程中,AP還不存有從此用戶MAC地址到其所屬用戶組的映射,即此用戶的所屬用戶組集為空,所以AP將不轉(zhuǎn)發(fā)此用戶轉(zhuǎn)來的單播,多播或廣播的數(shù)據(jù),也不轉(zhuǎn)發(fā)以此用戶為目標地址的數(shù)據(jù)。
●上述僅是舉例,事實上,C1與C2,C3與C4,C5與C6等起組內(nèi)的其他用戶其順序調(diào)換是等效的。
在移動用戶都使用Windows操作系統(tǒng)的前提下,本發(fā)明保證了無線局域網(wǎng)內(nèi)的以下特征●AP不允許一個未鑒別的移動用戶與其他任何(未鑒別或已鑒別的)用戶利用網(wǎng)上鄰居(Network Neighborhood)進行相互訪問;這里的原因是對未鑒別的移動用戶,AP不存有從其MAC地址到用戶組的映射。
●AP允許所有倆倆經(jīng)過成功鑒別、且屬于統(tǒng)一本地類用戶組的移動用戶通過網(wǎng)上鄰居相互訪問;●AP不允許訪客用戶通過網(wǎng)上鄰居訪問任何其他網(wǎng)上用戶,也不允許訪客用戶通過網(wǎng)上鄰居被任何其他網(wǎng)上用戶訪問。
本發(fā)明的特點之一是無線局域網(wǎng)中的移動用戶使用Web瀏覽器、用戶名和密碼進行鑒別和接入,而不需要特別客戶端軟件和數(shù)字證書,從而省去許多系統(tǒng)管理員的麻煩。但本發(fā)明不提供對無線傳輸?shù)臄?shù)據(jù)加密功能。
權(quán)利要求
1.一種無線局域網(wǎng)移動用戶的分組實現(xiàn)方法,其特征在于,本方法引入用戶組的概念,每個組由若干用戶組成,每個用戶可屬于多個用戶組,根據(jù)對組內(nèi)用戶權(quán)限的控制方式,用戶組分為兩類一類稱為本地(local)(用戶)組,另一類稱為訪客(guest)(用戶)組,其用戶分別稱為本地用戶和訪客用戶。一個無線局域網(wǎng)可支持多個本地組,但只支持一個訪客組。
2.按照權(quán)力要求1中所述的方法,其中本地用戶除了可以通過局域網(wǎng)訪問外部互聯(lián)網(wǎng)之外還有在用戶組內(nèi)互相訪問的權(quán)限,而無跨用戶組的訪問權(quán)限;訪客用戶則只可訪問外部互聯(lián)網(wǎng),而無相互訪問的權(quán)限,更沒有訪問任何本地用戶的權(quán)限。
3.按照權(quán)力要求1和2中所述的方法,其中設置多個本地組,將企業(yè)本地移動用戶按分組劃分,使得同組內(nèi)移動用戶之間能夠共享數(shù)據(jù),并阻止屬于不同組的移動用戶共享數(shù)據(jù);設置訪客組,將所有訪客移動用戶歸入該組,使得訪客移動用戶與本地移動用戶之間,以及所有訪客移動用戶之間,都不能共享數(shù)據(jù)。也就是說,只要求有一個訪客組。
4.一種接入點轉(zhuǎn)發(fā)用戶到用戶的數(shù)據(jù)包的方法,其特征在于,在執(zhí)行核心步驟之前,作為準備步驟,所有移動用戶必須先與接入點進行標準的IEEE 802.11關(guān)聯(lián),并執(zhí)行一個相互鑒別過程;這鑒別過程無需產(chǎn)生任何用來加密數(shù)據(jù)的加密密鑰,但接入點對所有通過鑒別的移動用戶都建立了一個從用戶MAC地址到所有所屬用戶組集合的映射。
5.按照權(quán)力要求4中所述的方法,其中在執(zhí)行了上述準備步驟后,核心步驟可具體描述如下在接入點AP收到用戶A的數(shù)據(jù)包P后,先根據(jù)P中的發(fā)送MAC地址SA找到發(fā)送用戶所對應的用戶組集合SG;如果P中的目標MAC地址DA是本AP的MAC地址,而且SG含有至少一個本地類分組或訪客組(即SG非空),AP則將P送入自己的協(xié)議棧進行處理;(這時,P可能是本地用戶或訪客用戶請求訪問外部互聯(lián)網(wǎng)的數(shù)據(jù)包。)如果P中的目標MAC地址DA是廣播或多播地址,則執(zhí)行如下步驟(a)如SG帶有本地類分組,AP則(無線)轉(zhuǎn)發(fā)P;(所有與AP關(guān)聯(lián)并帶有匹配DA的MAC地址的移動用戶將能接收到P。)(b)否則,即SG不帶有本地類分組(是空集或只帶有訪客組),AP則丟棄P。
6.按照權(quán)力要求5中所述的方法,其中如果P中的目標MAC地址DA不是廣播或多播地址,AP則根據(jù)DA找到目標用戶對應的用戶組集合DG(a)如果集合SG和DG不包含任何相同用戶組(包含SG或DG是空集的情況),AP則丟棄P;(b)否則,即如果SG和DG包含相同的用戶組,AP則繼續(xù)判斷這些用戶組的類型i.如果這些相同的用戶組中有一個本地組,AP則(無線)轉(zhuǎn)發(fā)P;(與AP關(guān)聯(lián)并帶有MAC地址DA的用戶將接收到P。)ii.否則,即如果這些相同的用戶組都是訪客組,AP則丟棄P。
全文摘要
一種對無線局域網(wǎng)中移動用戶的分組,以及對這些用戶之間的單播、多播和廣播數(shù)據(jù)包的傳輸進行控制的方法。該方法實現(xiàn)了對不同組的本地用戶之間的、訪客用戶之間的、以及訪客用戶和本地用戶之間的數(shù)據(jù)傳輸控制,從而達到了在大多數(shù)應用程序下的一種基于用戶組的用戶訪問控制。該方法的特點是它不需要移動用戶裝置特殊客戶端軟件,也不要求系統(tǒng)管理員管理加密密鑰,所以系統(tǒng)和用戶管理相對簡單;但本方法本身不提供對無線數(shù)據(jù)傳輸?shù)募用芄δ堋?br> 文檔編號H04L29/02GK1662001SQ20041000342
公開日2005年8月31日 申請日期2004年2月26日 優(yōu)先權(quán)日2004年2月26日
發(fā)明者錢振宇, 隋成 申請人:神州億品科技(北京)有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1