一种无线用户的二层数据访问控制方法及系统与流程

1.本发明涉及无线局域网二层隔离互通技术领域，尤其涉及一种无线用户的二层数据访问控制方法及系统。


背景技术：

2.随着信息技术的飞速发展，人们对网络通信的需求不断提高，希望不论核实、何地、与何人均能进行数据、语音、图像等多种内容通信，无线局域网(wireless local area network，wlan)依靠其高灵活性、可移动性和极强的可扩充性，使人们真正享受到简单、方便、快捷的链接。
3.无线局域网中，由于无线用户的流动性和不确定性，需要对用户之间的互访进行隔离，使得同一二层网络中的无线用户之间不能互访，以在为用户提供网络服务的同时，能够保证用户业务的安全性。现有技术中，为控制不同无线用户间的二层的数据访问互通，通常需要整网进行访问规则控制，换言之，为实现用户的完全隔离，需要在网络的不同层级设备上实施策略，才能实现隔离的目的，使得网络部署复杂且不便于维护。


技术实现要素：

4.针对现有技术中存在的问题，本发明提供一种无线用户的二层数据访问控制方法，应用于一无线局域网，所述无线局域网中配置有至少一无线接入点，各所述无线接入点连接一网关，包括：
5.步骤s1，所述无线接入点检测到一无线用户上线时，获取所述无线用户的二层mac地址；
6.步骤s2，所述无线接入点在所述无线用户上线后，监听所述无线用户与对应的所述网关的通信过程，以获取所述网关的网关mac地址；
7.步骤s3，所述无线接入点根据所述二层mac地址和所述网关mac地址生成相应的访问控制规则，并根据所述访问控制规则控制实现只允许所述无线用户和所述网关之间进行二层数据转发互访。
8.优选的，执行所述步骤s3之后，还包括：
9.所述无线接入点检测到所述无线用户下线时，移除所述无线用户对应的所述访问控制规则。
10.优选的，所述步骤s2中，监听所述无线用户与对应的所述网关的通信过程包括动态主机配置协议过程和地址解析协议过程。
11.优选的，所述步骤s1中，所述无线接入点检测到所述无线用户上线时，还包括：
12.获取所述无线用户关联的一访问策略，并判断所述访问策略中是否包含允许所述无线用户与其他无线用户进行二层数据转发互访的互访需求：
13.若否，则转向所述步骤s2；
14.若是，则输出所述互访需求，随后转向所述步骤s2；
15.在输出所述互访需求时，所述步骤s3中，还包括：
16.所述无线接入点根据所述二层mac地址、所述网关mac地址和所述互访需求生成相应的所述访问控制规则，以控制实现允许所述无线用户和所述网关之间，以及所述无线用户与所述互访需求包含的其他无线用户之间进行二层数据转发互访。
17.优选的，所述无线接入点采用访问配置文件的方式由所述无线局域网的一策略服务器中获取所述访问策略。
18.本发明还提供一种无线用户的二层数据访问控制系统，应用上述的二层数据访问控制方法，所述二层数据访问控制系统包括：
19.至少一无线接入点，连接一网关，每个所述无线接入点包括：
20.无线用户接入模块，用于在检测到一无线用户上线时，获取所述无线用户的二层mac地址；
21.通信过程监听模块，用于在所述无线用户上线后，监听所述无线用户与对应的所述网关的通信过程，以获取所述网关的网关mac地址；
22.访问规则控制模块，分别连接所述无线用户接入模块和所述通信过程监听模块，用于根据所述二层mac地址和所述网关mac地址生成相应的访问控制规则，并根据所述访问控制规则实现只允许所述无线用户和所述网关之间进行二层数据转发互访。
23.优选的，所述无线用户接入模块还用于在检测到所述无线用户下线时生成一下线信号；
24.则所述访问规则控制模块包括一规则移除单元，用于根据所述下线信号，移除对应的所述无线用户的所述访问控制规则。
25.优选的，所述通信过程监听模块中，监听所述无线用户与对应的所述网关的通信过程包括动态主机配置协议过程和地址解析协议过程。
26.优选的，所述无线用户接入模块包括一策略判断单元，用于在检测到所述无线用户上线时，获取所述无线用户关联的一访问策略，并在所述访问策略中包含允许所述无线用户与其他无线用户进行二层数据转发互访的互访需求时输出所述互访需求；
27.则访问规则控制模块还用于根据所述二层mac地址、所述网关mac地址和所述互访需求生成相应的所述访问控制规则，以控制实现允许所述无线用户和所述网关之间，以及所述无线用户与所述互访需求包含的其他无线用户之间进行二层数据转发互访。
28.优选的，所述策略判断单元采用访问配置文件的方式由所述无线局域网的一策略服务器中获取所述访问策略。
29.上述技术方案具有如下优点或有益效果：
30.1)从隔离无线用户之间数据访问的需求出发，在无线接入点上，实现完善的访问控制功能，控制无线用户之间的数据互通访问，避免了对上层交换机和网关的访问控制规则依赖，极大简化了实施及维护工作；
31.2)仅在接入层无线接入点上控制无线用户之间的二层数据转发互访，实现上相对容易，实用性强。
附图说明
32.图1为本发明的较佳的实施例中，一种无线用户的二层数据访问控制方法的流程
示意图；
33.图2为本发明的较佳的实施例中，一种无线用户的二层数据访问控制系统的结构示意图。
具体实施方式
34.下面结合附图和具体实施例对本发明进行详细说明。本发明并不限定于该实施方式，只要符合本发明的主旨，则其他实施方式也可以属于本发明的范畴。
35.本发明的较佳的实施例中，基于现有技术中存在的上述问题，现提供一种无线用户的二层数据访问控制方法，应用于一无线局域网，无线局域网中配置有至少一无线接入点，各无线接入点连接一网关，如图1所示，包括：
36.步骤s1，无线接入点检测到一无线用户上线时，获取无线用户的二层mac地址；
37.步骤s2，无线接入点在无线用户上线后，监听无线用户与对应的网关的通信过程，以获取网关的网关mac地址；
38.步骤s3，无线接入点根据二层mac地址和网关mac地址生成相应的访问控制规则，并根据访问控制规则控制实现只允许无线用户和网关之间进行二层数据转发互访。
39.具体地，从网络层二层的转发逻辑来看，无线用户的数据报文，可能是给其他二层邻居的，也可能是给缺省网关设备接口的(也是二层邻居)，控制只允许无线用户把数据转发给网关设备即可实现无线用户的二层隔离。基于此，本实施例中，在无线局域网的接入层无线接入点(wireless access point,ap)上，通过二层地址识别发现逻辑分别获取无线用户的二层mac地址和网关mac地址，进而根据二层mac地址和网关mac地址动态生成相应的访问控制规则，使得在开启无线用户之间隔离互通的情况下，控制只允许无线用户与网关之间转发数据。考虑到无线用户到网关转发的数据报文类型及种类很多，依赖ip地址无法实现访问控制，因此，本实施例中，基于mac地址实现访问控制。通过本技术方案的二层数据访问控制方法既可以实现同一个无线接入点下不同ssid(service set identifier，服务集标识)接口、不同radio(射频)的无线用户之间的二层数据访问隔离，也可以实现同一交换机、不同无线接入点下的无线用户之间的无线用户之间的二层数据访问隔离，甚至可以实现不同交换机下的无线用户之间的无线用户之间的二层数据访问隔离。
40.进一步具体地，无线用户接入无线接入点时，通常需要经历三个阶段，包括无线服务扫描阶段、认证阶段以及关联阶段，在无线服务扫描阶段扫描发现周围的无线服务后，对应的无线接入点在认证阶段对无线用户进行认证，只有通过认证后才能进入后续的关联阶段，关联完成后，则无线用户与无线接入点成功建立了链路。
41.作为优选的实施方式，上述访问控制规则示意如下：
42.[0043][0044]
上述访问控制规则包括但不限于采用规则集的方式表征，上表中每行表示一条访问控制规则，各访问控制规则对应由上至下的匹配顺序。换言之，在无线用户与网关之间进行二层数据转发互访时，可以将二层mac地址和网关mac地址按照由上至下的匹配顺序依次与上述每条访问控制规则中的mac1和mac2进行匹配，若匹配成功，则允许二层数据转发互访，若前三条访问控制规则均匹配失败，则直接丢弃数据，不做转发。
[0045]
可以理解的是，上表中的访问控制规则以及匹配顺序仅作为本技术方案的一个示例，并不以此对本技术方案进行限定。
[0046]
本发明的较佳的实施例中，执行步骤s3之后，还包括：
[0047]
无线接入点检测到无线用户下线时，移除无线用户对应的访问控制规则，以节约存储空间。
[0048]
本发明的较佳的实施例中，步骤s2中，监听无线用户与对应的网关的通信过程包括动态主机配置协议过程和地址解析协议过程。
[0049]
具体地，本实施例中，在无线用户接入后，随后的动态主机配置协议过程(dynamic host configuration protocol，dhcp)和地址解析协议过程(address resolution protocol，arp)，会进行和网关通信，通过监听无线用户的动态主机配置协议过程(dynamic host configuration protocol，dhcp)和地址解析协议过程(address resolution protocol，arp)，能够找到无线用户的默网关的网关mac地址。
[0050]
本发明的较佳的实施例中，步骤s1中，无线接入点检测到无线用户上线时，还包括：
[0051]
获取无线用户关联的一访问策略，并判断访问策略中是否包含允许无线用户与其他无线用户进行二层数据转发互访的互访需求：
[0052]
若否，则转向步骤s2；
[0053]
若是，则输出互访需求，随后转向步骤s2；
[0054]
在输出互访需求时，步骤s3中，还包括：
[0055]
无线接入点根据二层mac地址、网关mac地址和互访需求生成相应的访问控制规则，以控制实现允许无线用户和网关之间，以及无线用户与互访需求包含的其他无线用户之间进行二层数据转发互访。
[0056]
具体地，本实施例中，基于本技术方案，通过获取无线用户在接入过程中配置的访问策略，可以根据用户需求灵活开放某一些无线用户之间的二层数据转发互访。
[0057]
作为优选的实施方式，上述根据二层mac地址、网关mac地址和互访需求生成相应的访问控制规则示意如下，无线用户user1和无线用户user2之间可以进行二层数据转发互访：
[0058][0059][0060]
同样地，上述访问控制规则包括但不限于采用规则集的方式表征，上表中每行表示一条访问控制规则，各访问控制规则对应由上至下的匹配顺序。换言之，在无线用户user1、无线用户user2、网关之间进行二层数据转发互访时，可以将无线用户user1的二层mac地址、无线用户user2的二层mac地址，或者无线用户user1的二层mac地址、网关mac地址，或者无线用户user2的二层mac地址、网关mac地址，按照由上至下的匹配顺序依次与上述每条访问控制规则中的mac1和mac2进行匹配，若匹配成功，则对应的无线用户user1和无线用户user2之间，或者无线用户user1和网关之间，或者无线用户user2和网关之间允许二层数据转发互访，若前五条访问控制规则均匹配失败，则直接丢弃数据，不做转发。
[0061]
可以理解的是，上表中的访问控制规则以及匹配顺序仅作为本技术方案的一个示例，并不以此对本技术方案进行限定。
[0062]
本发明的较佳的实施例中，无线接入点采用访问配置文件的方式由无线局域网的一策略服务器中获取访问策略。
[0063]
本发明还提供一种无线用户的二层数据访问控制系统，应用上述的二层数据访问控制方法，如图2所示，二层数据访问控制系统包括：
[0064]
至少一无线接入点1，连接一网关2，每个无线接入点1包括：
[0065]
无线用户接入模块11，用于在检测到一无线用户上线时，获取无线用户的二层mac地址；
[0066]
通信过程监听模块12，用于在无线用户上线后，监听无线用户与对应的网关的通信过程，以获取网关的网关mac地址；
[0067]
访问规则控制模块13，分别连接无线用户接入模块11和通信过程监听模块12，用于根据二层mac地址和网关mac地址生成相应的访问控制规则，并根据访问控制规则实现只允许无线用户和网关之间进行二层数据转发互访。
[0068]
本发明的较佳的实施例中，无线用户接入模块11还用于在检测到无线用户下线时生成一下线信号；
[0069]
则访问规则控制模块13包括一规则移除单元131，用于根据下线信号，移除对应的无线用户的访问控制规则。
[0070]
本发明的较佳的实施例中，通信过程监听模块12中，监听无线用户与对应的网关的通信过程包括动态主机配置协议过程和地址解析协议过程。
[0071]
本发明的较佳的实施例中，无线用户接入模块11包括一策略判断单元111，用于在检测到无线用户上线时，获取无线用户关联的一访问策略，并在访问策略中包含允许无线用户与其他无线用户进行二层数据转发互访的互访需求时输出互访需求；
[0072]
则访问规则控制模块13还用于根据二层mac地址、网关mac地址和互访需求生成相应的访问控制规则，以控制实现允许无线用户和网关之间，以及无线用户与互访需求包含的其他无线用户之间进行二层数据转发互访。
[0073]
本发明的较佳的实施例中，策略判断单元111采用访问配置文件的方式由无线局域网的一策略服务器中获取访问策略。
[0074]
以上所述仅为本发明较佳的实施例，并非因此限制本发明的实施方式及保护范围，对于本领域技术人员而言，应当能够意识到凡运用本说明书及图示内容所作出的等同替换和显而易见的变化所得到的方案，均应当包含在本发明的保护范围内。