專利名稱:無線網(wǎng)絡(luò)安全接入控制方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及無線網(wǎng)絡(luò)領(lǐng)域��,更為具體地�����,涉及一種無線網(wǎng)絡(luò)安全控制方法和裝置����。
背景技術(shù):
隨著社會的進(jìn)步和技術(shù)的發(fā)展,人們越來越多地使用接入終端來以無線的方式接 入因特網(wǎng)或企業(yè)內(nèi)部網(wǎng)絡(luò)來獲取信息�����。在這種情況下��,企業(yè)內(nèi)部網(wǎng)絡(luò)上的機(jī)密信息很有可 能被未授權(quán)用戶非法進(jìn)入而導(dǎo)致該機(jī)密信息外傳�,由此對企業(yè)造成很大的經(jīng)濟(jì)損失。因此�, 在企業(yè)內(nèi)部網(wǎng)絡(luò)中,需要采用無線準(zhǔn)入控制,通過在無線接入終端上安裝無線準(zhǔn)入客戶端 軟件���,利用無線準(zhǔn)入賬戶來對無線接入終端進(jìn)行集中管理���,從而限制未授權(quán)用戶非法進(jìn)入 企業(yè)內(nèi)部網(wǎng)絡(luò)。但是�����,在實(shí)際應(yīng)用中��,現(xiàn)有的無線準(zhǔn)入控制機(jī)制存在有下述問題��。首先��,現(xiàn)有的無線準(zhǔn)入控制解決方案都是商業(yè)化的產(chǎn)品解決方案����,并且沒有其他 開源或者免費(fèi)的替代產(chǎn)品。如果在接入終端上安裝客戶端軟件����,整套產(chǎn)品的成本通常超過 20萬人民幣。其次���,在企業(yè)內(nèi)使用的無線接入終端通常存在多種需求���,并且經(jīng)常變化,而現(xiàn)有的 無線準(zhǔn)入控制解決方案很難在安全性和可用性上進(jìn)行權(quán)衡��,從而不能根據(jù)無線接入終端的 角色制定較為靈活的訪問權(quán)限�����。此外����,現(xiàn)有的無線準(zhǔn)入控制解決方案通常需要專用硬件平臺來支撐,這也導(dǎo)致該 無線準(zhǔn)入控制解決方案的成本非常高���。
發(fā)明內(nèi)容
鑒于上述問題���,本發(fā)明的目的是提供一種無線網(wǎng)絡(luò)安全接入控制方法和裝置,其 能夠完全滿足公司對無線網(wǎng)絡(luò)的安全要求���,提升安全等級��,并且能夠最大化地利用現(xiàn)有資 源�,節(jié)約公司投入成本,同時日常管理和運(yùn)維成本較低且穩(wěn)定可靠���。根據(jù)本發(fā)明的一個方面�����,提供了一種無線網(wǎng)絡(luò)安全接入控制方法�,包括根據(jù)無線接入終端的MAC地址���,確定所述無線接入終端的類型��;根據(jù)所確定的無線接入終端的類型�,利用預(yù)先設(shè)定的防火墻策略�����,確定所述無線 接入終端的訪問權(quán)限�����;以及允許所述無線接入終端利用所確定出的訪問權(quán)限來對具有訪問權(quán)限的網(wǎng)絡(luò)進(jìn)行 訪問O根據(jù)本發(fā)明的另一方面����,提供了一種無線網(wǎng)絡(luò)安全接入控制裝置����,包括無線終端類型確定單元�����,用于根據(jù)無線接入終端的MAC地址����,確定所述無線接入 終端的類型�����;訪問權(quán)限確定單元�,用于根據(jù)所確定的無線接入終端的類型,利用預(yù)先設(shè)定的防 火墻策略�,確定所述無線接入終端的訪問權(quán)限;以及防火墻單元�����,用于允許所述無線接入終端利用所確定出的訪問權(quán)限來對具有訪問權(quán)限的網(wǎng)絡(luò)進(jìn)行訪問���。利用上述根據(jù)本發(fā)明的無線網(wǎng)絡(luò)安全接入控制方法及裝置����,可以保證通過無線網(wǎng) 絡(luò)訪問的客戶端都是可信任的,同時能夠根據(jù)客戶端的角色制定較為靈活的訪問權(quán)限�����,從 而在不同的環(huán)境下滿足各種角色的合法訪問需求�����,并且過濾和阻止非法越權(quán)的訪問請求���。為了實(shí)現(xiàn)上述以及相關(guān)目的��,本發(fā)明的一個或多個方面包括后面將詳細(xì)說明并在 權(quán)利要求中特別指出的特征����。下面的說明以及附圖詳細(xì)說明了本發(fā)明的某些示例性方面��。 然而��,這些方面指示的僅僅是可使用本發(fā)明的原理的各種方式中的一些方式�。此外,本發(fā)明 旨在包括所有這些方面以及它們的等同物�。
通過參考以下結(jié)合附圖的說明及權(quán)利要求書的內(nèi)容���,并且隨著對本發(fā)明的更全面 理解,本發(fā)明的其它目的及結(jié)果將更加明白及易于理解����。在附圖中圖1示出了根據(jù)本發(fā)明的無線網(wǎng)絡(luò)安全接入控制方法的流程圖;以及圖2示出了根據(jù)本發(fā)明的無線網(wǎng)絡(luò)安全接入控制裝置的方框示意圖����。在所有附圖中相同的標(biāo)號指示相似或相應(yīng)的特征或功能。
具體實(shí)施例方式以下將結(jié)合附圖對本發(fā)明的具體實(shí)施例進(jìn)行詳細(xì)描述��。圖1示出了根據(jù)本發(fā)明的無線網(wǎng)絡(luò)安全接入控制方法的流程圖�。如圖1所示�����,在無線接入終端希望在企業(yè)內(nèi)接入無線網(wǎng)絡(luò)時���,首先���,在步驟SllO 中,根據(jù)無線接入終端的MAC地址�,確定所述無線接入終端的類型���。例如,可以根據(jù)無線接 入終端的MAC地址來將無線接入終端分為移動終端或筆記本計算機(jī)���。當(dāng)然���,還可以將無線 接入終端細(xì)分為多個其它類型,例如將移動終端分為企業(yè)測試移動終端����、企業(yè)員工測試移 動終端,以及將筆記本計算機(jī)分為企業(yè)筆記本計算機(jī)����、企業(yè)員工筆記本計算機(jī)或臨時來賓 筆記本計算機(jī)。然后����,流程進(jìn)行到步驟S120。在步驟S120中���,根據(jù)所確定的無線接入終端的類型�����,利用預(yù)先設(shè)定的防火墻策 略�,確定所述無線接入終端的訪問權(quán)限。具體地�����,作為示例����,可以首先根據(jù)所確定出的無線接入終端的類型,為無線接入終 端分配IP地址�。然后,根據(jù)所分配的IP地址����,確定所述無線接入終端的訪問權(quán)限��。例如���,如果無線接入終端的類型被確定為是臨時來賓筆記本計算機(jī)��,則由于臨時 來賓筆記本計算機(jī)是供企業(yè)外部的來訪人員使用��,其不能訪問企業(yè)內(nèi)部網(wǎng)絡(luò)�����,因此DHCP服 務(wù)器將A-B之間的網(wǎng)段IP分配給該臨時來賓筆記本計算機(jī)����。然后,根據(jù)預(yù)先設(shè)定的防火墻 策略�����,將具有A-B之間的網(wǎng)段IP的無線接入終端只能訪問企業(yè)內(nèi)部網(wǎng)絡(luò)以外的IP地址�, 即,只能通過例如訪問端口 DNS���、http���、smtp、P0P3����、GKE等,訪問公共網(wǎng)絡(luò)���,例如因特網(wǎng)�����,而不 能訪問企業(yè)內(nèi)部網(wǎng)絡(luò)�,例如OA。如果無線接入終端的類型被確定為是登記過MAC地址的移動終端���,例如企業(yè)測試 移動終端����、企業(yè)員工測試移動終端����,則由于企業(yè)測試移動終端、企業(yè)員工測試移動終端需要 利用企業(yè)內(nèi)部網(wǎng)絡(luò)來進(jìn)行測試�,同時需要訪問外部公共網(wǎng)絡(luò),因此DHCP服務(wù)器將C-D之間 的網(wǎng)段IP分配給該企業(yè)測試移動終端或企業(yè)員工測試移動終端��。然后��,根據(jù)預(yù)先設(shè)定的防
4火墻策略����,具有C-D之間的網(wǎng)段IP的無線接入終端的訪問不受限制,其既能訪問企業(yè)內(nèi)部 網(wǎng)絡(luò)��,也能訪問公共網(wǎng)絡(luò)��,例如因特網(wǎng)���。作為另一示例�,如果無線接入終端的類型被確定為是企業(yè)筆記本計算機(jī)或企業(yè)員 工筆記本計算機(jī)�,其需要訪問企業(yè)內(nèi)部網(wǎng)絡(luò),則通過在客戶端新建一個PPTP撥號連接�,通 過撥號到無線網(wǎng)關(guān)服務(wù)器,進(jìn)行FreeRADIUS認(rèn)證和授權(quán)��,授權(quán)成功后將企業(yè)筆記本計算機(jī) 或企業(yè)員工筆記本計算機(jī)的角色轉(zhuǎn)換為PPTP客戶端�����。然后���,利用防火墻策略���,將其訪問權(quán) 限設(shè)置為不受限制,即����,既能訪問企業(yè)內(nèi)部網(wǎng)絡(luò)��,也能訪問公共網(wǎng)絡(luò)�����,例如因特網(wǎng)����。在確定所述無線接入終端的訪問權(quán)限后�,流程進(jìn)行到步驟S130。在步驟S130中��, 允許所述無線接入終端利用所確定出的訪問權(quán)限訪問對具有訪問權(quán)限的網(wǎng)絡(luò)進(jìn)行訪問��。如上參照圖1描述了根據(jù)本發(fā)明的無線網(wǎng)絡(luò)安全接入控制方法��。本發(fā)明的上述無 線網(wǎng)絡(luò)安全接入控制方法����,可以采用軟件實(shí)現(xiàn),也可以采用硬件實(shí)現(xiàn)�����,或采用軟件和硬件組 合的方式實(shí)現(xiàn)�����。圖2示出了根據(jù)本發(fā)明的無線網(wǎng)絡(luò)安全接入控制裝置200的方框示意圖����。如圖 2所示,無線網(wǎng)絡(luò)安全接入控制裝置200包括無線終端類型確定單元210����、訪問權(quán)限確定單 元220和防火墻單元230。其中��,訪問權(quán)限確定單元220可以包括IP地址分配單元(未示 出)��。在無線接入終端希望在企業(yè)內(nèi)接入無線網(wǎng)絡(luò)時����,首先,無線終端類型確定單元210 根據(jù)無線接入終端的MAC地址�����,確定所述無線接入終端的類型����。在確定出無線接入終端的 類型后�,訪問權(quán)限確定單元220根據(jù)所確定的無線接入終端的類型�,利用預(yù)先設(shè)定的防火 墻策略,確定所述無線接入終端的訪問權(quán)限��。具體地����,作為示例,可以首先由IP地址分配 單元根據(jù)所確定出的無線接入終端的類型�,為無線接入終端分配IP地址。然后�����,訪問權(quán)限 確定單元220根據(jù)所分配的IP地址���,確定所述無線接入終端的訪問權(quán)限��?��;蛘撸鳛榱硪?示例�,如果無線接入終端的類型被確定為是企業(yè)筆記本計算機(jī)或企業(yè)員工筆記本計算機(jī)��, 其需要訪問企業(yè)內(nèi)部網(wǎng)絡(luò)��,則通過在客戶端新建一個PPTP撥號連接�,通過撥號到無線網(wǎng)關(guān) 服務(wù)器����,進(jìn)行FreeRADIUS認(rèn)證和授權(quán)���,授權(quán)成功后將企業(yè)筆記本計算機(jī)或企業(yè)員工筆記本 計算機(jī)的角色轉(zhuǎn)換為PPTP客戶端�。然后���,利用防火墻策略����,將其訪問權(quán)限設(shè)置為不受限制�, 即,既能訪問企業(yè)內(nèi)部網(wǎng)絡(luò)����,也能訪問公共網(wǎng)絡(luò),例如因特網(wǎng)�。在確定出無線接入終端的訪問權(quán)限后����,防火墻單元230允許所述無線接入終端利 用所確定出的訪問權(quán)限來對具有訪問權(quán)限的網(wǎng)絡(luò)進(jìn)行訪問����。如上參照圖1和圖2以示例的方式描述根據(jù)本發(fā)明的無線網(wǎng)絡(luò)安全接入控制方法 和裝置。但是�,本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解,對于上述本發(fā)明所提出的網(wǎng)絡(luò)安全接入控制方法 及裝置��,還可以在不脫離本發(fā)明內(nèi)容的基礎(chǔ)上做出各種改進(jìn)��。因此���,本發(fā)明的保護(hù)范圍應(yīng)當(dāng) 由所附的權(quán)利要求書的內(nèi)容確定�。
權(quán)利要求
一種無線網(wǎng)絡(luò)安全接入控制方法���,包括根據(jù)無線接入終端的MAC地址�����,確定所述無線接入終端的類型�����;根據(jù)所確定的無線接入終端的類型����,利用預(yù)先設(shè)定的防火墻策略,確定所述無線接入終端的訪問權(quán)限��;以及允許所述無線接入終端利用所確定出的訪問權(quán)限來對具有訪問權(quán)限的網(wǎng)絡(luò)進(jìn)行訪問�。
2.如權(quán)利要求1所述的無線網(wǎng)絡(luò)安全接入控制方法,其中��,根據(jù)無線接入終端的類型 確定所述無線接入終端的訪問權(quán)限的步驟還包括根據(jù)無線接入終端的類型�����,為所述無線接入終端分配IP地址����;以及根據(jù)所分配的無線接入終端的IP地址��,確定所述無線接入終端的訪問權(quán)限����。
3.如權(quán)利要求2所述的無線網(wǎng)絡(luò)安全接入控制方法,其中,所述IP地址是由DHCP服務(wù) 器來分配的�����。
4.一種無線網(wǎng)絡(luò)安全接入控制裝置��,包括無線終端類型確定單元�,用于根據(jù)無線接入終端的MAC地址,確定所述無線接入終端 的類型���;訪問權(quán)限確定單元��,用于根據(jù)所確定的無線接入終端的類型�,利用預(yù)先設(shè)定的防火墻 策略�,確定所述無線接入終端的訪問權(quán)限;以及防火墻單元�,用于允許所述無線接入終端利用所確定出的訪問權(quán)限來對具有訪問權(quán)限 的網(wǎng)絡(luò)進(jìn)行訪問。
5.如權(quán)利要求4所述的無線網(wǎng)絡(luò)安全接入控制裝置�,其中,所述訪問權(quán)限確定單元還 包括IP地址分配單元���,用于根據(jù)無線接入終端的類型��,為所述無線接入終端分配IP地址����, 并且所述訪問權(quán)限確定單元根據(jù)所分配的無線接入終端的IP地址,確定所述無線接入終 端的訪問權(quán)限�。
6.如權(quán)利要求5所述的無線網(wǎng)絡(luò)安全接入控制裝置,其中����,所述IP地址是由DHCP服務(wù) 器來分配的。
全文摘要
本發(fā)明提供了一種無線網(wǎng)絡(luò)安全接入控制方法�,包括根據(jù)無線接入終端的MAC地址,確定所述無線接入終端的類型���;根據(jù)所確定的無線接入終端的類型���,利用預(yù)先設(shè)定的防火墻策略�����,確定所述無線接入終端的訪問權(quán)限�;以及允許所述無線接入終端利用所確定出的訪問權(quán)限來對具有訪問權(quán)限的網(wǎng)絡(luò)進(jìn)行訪問。利用上述無線網(wǎng)絡(luò)安全接入控制方法���,可以保證通過無線網(wǎng)絡(luò)訪問的客戶端都是可信任的����,同時能夠根據(jù)客戶端的角色制定較為靈活的訪問權(quán)限,從而在不同的環(huán)境下滿足各種角色的合法訪問需求���,并且過濾和阻止非法越權(quán)的訪問請求����。
文檔編號H04W12/08GK101909298SQ20101023209
公開日2010年12月8日 申請日期2010年7月15日 優(yōu)先權(quán)日2010年7月15日
發(fā)明者張翼, 梁捷 申請人:優(yōu)視科技有限公司