一种无线访问控制器中访问控制列表实现方法和系统.pdf

摘要
申请专利号：	CN201210238611.0	申请日：	2012.07.11
公开号：	CN102833227A	公开日：	2012.12.19
当前法律状态：	驳回	有效性：	无权
法律详情：	发明专利申请公布后的驳回IPC(主分类):H04L 29/06申请公布日:20121219\|\|\|实质审查的生效IPC(主分类):H04L 29/06申请日:20120711\|\|\|公开
IPC分类号：	H04L29/06	主分类号：	H04L29/06
申请人：	武汉虹信通信技术有限责任公司
发明人：	隗中霞
地址：	430073 湖北省武汉市东湖高新技术开发区东信路5号烽火科技4楼
优先权：
专利代理机构：	北京汇泽知识产权代理有限公司 11228	代理人：	张瑾
PDF下载：	PDF下载

内容摘要

本发明公开了一种无线访问控制器中访问控制列表实现方法和系统，方法包括步骤：截获用户上网的数据，并对所述数据进行解析；配置访问控制规则；根据解析结果、数据目的地和所配置的访问控制规则将所述数据进行处理。系统包括数据捕获单元、数据解析单元、访问配置单元，以及访问控制单元；其中，所述数据捕获单元、数据解析单元、数据处理单元和访问控制单元依次连接；所述数据捕获单元将捕获的数据发送给所述数据解析单元；所述数据解析单元将数据解析后发送给所述数据处理单元；所述数据处理单元根据所述访问控制规则调用所述访问控制单元的接口。采用了本发明的技术方案，能够对无线访问控制器管理的所有上网用户和访问点进行监控和防护。

权利要求书

1.一种无线访问控制器中访问控制列表实现方法，其特征在于，包括步骤：截获用户上网的数据，并对所述数据进行解析；配置访问控制规则；根据解析结果、数据目的地和所配置的访问控制规则将所述数据丢弃、传送给无线控制器上层应用处理、或进行转发。2.如权利要求1所述的方法，其特征在于，还包括以下步骤：将所述数据加工成以太网帧的格式。3.如权利要求2所述的方法，其特征在于，进一步包括以下步骤：将所述以太网帧按照以太网类型、MAC地址、IP地址、协议类型和端口号进行解析。4.如权利要求1或2所述的方法，其特征在于，进一步包括以下步骤：使用访问配置装置配置访问控制规则，并将访问控制规则以规则列表的形式传送给存储装置。5.一种实现无线访问控制器中访问控制列表的系统，其特征在于，包括用于截获用户上网的数据捕获单元、用于解析数据的数据解析单元、用于配置访问控制规则的访问配置单元，以及用于对所述数据根据解析结果、数据目的地和所配置的访问控制规则进行处理的访问控制单元；其中，所述数据捕获单元、数据解析单元、数据处理单元和访问控制单元依次连接；所述数据捕获单元将捕获的数据发送给所述数据解析单元；所述数据解析单元将数据解析后发送给所述数据处理单元；所述数据处理单元根据所述访问控制规则调用所述访问控制单元的接口。6.如权利要求5所述的系统，其特征在于，还包括存储单元，其中，所述存储单元分别与所述访问配置单元和所述数据处理单元连接，所述访问配置单元将所述访问控制规则所形成的规则列表发送给所述访问存储单元，所述数据处理单元访问所述存储单元中的规则列表。7.如权利要求5或6所述的系统，其特征在于，所述数据被加工成以太网帧的格式。8.如权利要求7所述的系统，其特征在于，所述解析单元的工作流程包括下列步骤: 10：数据解析单元接收数据捕获单元发送的以太网帧；11：解析单元从太网帧头解析出以太网类型、源MAC和目的MAC地址；12：解析单元从IP头解析出IP地址、上层协议类型；13：判断协议类型，如果是TCP或UDP类型则转到步骤14；否则转到步骤15；14：解析出应用层端口号，如果是则转到15；15:将解析结果发送给数据处理单元。9.如权利要求7所述的系统，其特征在于，所述数据处理单元的工作流程包括以下步骤：16:数据处理单元接收数据解析单元的解析结果；17:查询以太网类型访问控制列表；18:匹配到则转到27；否则，转到19；19:查询MAC地址访问控制列表；20:匹配到则转到27；否则，转到21；21:查询IP地址访问控制列表；22:匹配到则转到27；否则，转到23；23:查询协议类型访问控制列表；24:匹配到则转到27；否则，转到25；25:查询端口号访问控制列表；26:匹配到则转到27；否则，转到27；27:将处理结果发送给访问控制模块。10.如权利要求5或6所述的系统，其特征在于，所述访问控制单元处理所述数据的方式包括将所述数据丢弃、传送给无线控制器上层应用处理、或进行转发。

说明书

一种无线访问控制器中访问控制列表实现方法和系统

技术领域

本发明涉及无线通信领域，具体涉及一种无线访问控制器中访问控制列表实现方法和系统。

背景技术

随着无线局域网在我国大规模部署和应用,满足了人们对于无线上网的需求.但是无线网络上也存在着一些不安全因素,加上运营商对用户上网流量和时长等的控制需求,因此需要无线访问控制器上实现访问控制列表来对无线上网用户进行访问控制和保护。

通用交换机上附带有访问控制列表功能，由于交换机仅作为一个交换设备并不能保证对所在无线网络中所有上网用户和访问点进行监控. 这不利于对上网用户和访问点的控制。

可见,通用交换机上实现访问控制有一定的局限性,不能完全满足移动运营商的需要,需要进行改进。

发明内容

本发明的目的是提供一种无线访问控制器中访问控制列表实现方法和系统,以满足目前对无线上网用户和访问点进行控制和保护的需求。

本发明提供一种无线访问控制器中访问控制列表实现方法，包括步骤：截获用户上网的数据，并对所述数据进行解析；配置访问控制规则；根据解析结果、数据目的地和所配置的访问控制规则将所述数据丢弃、传送给无线控制器上层应用处理、或进行转发。

本发明的一种无线访问控制器中访问控制列表实现方法，还包括以下步骤：将所述数据加工成以太网帧的格式。

本发明的一种无线访问控制器中访问控制列表实现方法，进一步包括以下步骤：将所述以太网帧按照以太网类型、MAC地址、IP地址、协议类型和端口号进行解析。

本发明的一种无线访问控制器中访问控制列表实现方法，进一步包括以下步骤：使用访问配置装置配置访问控制规则，并将访问控制规则以规则列表的形式传送给存储装置。

本发明还提供一种实现无线访问控制器中访问控制列表的系统，包括用于截获用户上网的数据捕获单元、用于解析数据的数据解析单元、用于配置访问控制规则的访问配置单元，以及用于对所述数据根据解析结果、数据目的地和所配置的访问控制规则进行处理的访问控制单元；其中，所述数据捕获单元、数据解析单元、数据处理单元和访问控制单元依次连接；所述数据捕获单元将捕获的数据发送给所述数据解析单元；所述数据解析单元将数据解析后发送给所述数据处理单元；所述数据处理单元根据所述访问控制规则调用所述访问控制单元的接口。

本发明的一种实现无线访问控制器中访问控制列表的系统，还包括存储单元，其中，所述存储单元分别与所述访问配置单元和所述数据处理单元连接，所述访问配置单元将所述访问控制规则所形成的规则列表发送给所述访问存储单元，所述数据处理单元访问所述存储单元中的规则列表。

本发明的一种实现无线访问控制器中访问控制列表的系统，所述数据被加工成以太网帧的格式。

本发明的一种实现无线访问控制器中访问控制列表的系统，所述以太网帧被解析成以太网类型、MAC地址、IP地址、协议类型和端口号。

本发明的一种实现无线访问控制器中访问控制列表的系统，所述解析单元的工作流程包括下列步骤: 10：数据解析单元接收数据捕获单元发送的以太网帧；11：解析单元从太网帧头解析出以太网类型、源MAC和目的MAC地址；12：解析单元从IP头解析出IP地址、上层协议类型；13：判断协议类型，如果是TCP或UDP类型则转到步骤14；否则转到步骤15；14：解析出应用层端口号，如果是则转到15；15:将解析结果发送给数据处理单元。

本发明的一种实现无线访问控制器中访问控制列表的系统，所述数据处理单元的工作流程包括以下步骤：16:数据处理单元接收数据解析单元的解析结果；17:查询以太网类型访问控制列表；18:匹配到则转到27；否则，转到19；19:查询MAC地址访问控制列表；20:匹配到则转到27；否则，转到21；21:查询IP地址访问控制列表；22:匹配到则转到27；否则，转到23；23:查询协议类型访问控制列表；24:匹配到则转到27；否则，转到25；25:查询端口号访问控制列表；26:匹配到则转到27；否则，转到27；27:将处理结果发送给访问控制模块。

本发明的一种实现无线访问控制器中访问控制列表的系统，所述访问控制单元处理所述数据的方式包括将所述数据丢弃、传送给无线控制器上层应用处理、或进行转发。

本发明的技术效果在于，通过在无线控制器中用户上网数据进行控制,通过事先配置好的访问控制列表规则来匹配用户上网数据报文中字段信息的方法来对用户和访问点实现访问控制，能够对无线访问控制器管理的所有上网用户和访问点进行监控和防护，同现有技术相比更切合实际应用场景，更安全高效和快捷实用。

本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。

下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。

附图说明

附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明，并不构成对本发明的限制。在附图中：

图1是本发明具体实施方式一的结构方框图；

图2 是本发明具体实施方式一中数据解析单元的工作流程图；

图3 是本发明具体实施方式一数据处理单元的工作流程图。

其中，100—数据捕获单元；200—数据解析单元；300—数据处理单元；400—访问配置单元；500—访问存储单元；600—访问控制单元。

具体实施方式

以下结合附图对本发明的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本发明，并不用于限定本发明。

以下将结合说明书附图，详细描述本发明。

如图1所示，数据捕获单元100, 数据解析单元200, 数据处理单元300和访问控制单元600依次连接；访问配置单元400、访问存储单元500和数据处理单元300依次连接。

其中，数据捕获单元100负责截获用户上网的数据,并将以太网帧发给数据解析单元200；

数据解析单元200负责对报文的以太网类型、MAC地址、IP地址、协议类型、端口号等进行解析,并将解析的结果发给数据处理单元300；

数据处理单元300负责根据访问存储单元400中存储的访问控制列表对数据解析单元200发来的数据进行分析和处理,依据处理结果调用访问控制单元600提供的接口决定该对用户数据执行的动作；

访问配置单元400负责配置访问控制列表，并将规则列表下发给访问存储单元500；

访问存储单元500负责存储访问控制列表来提供给数据处理单元300查询；

访问控制单元600负责根据数据处理单元300的处理结果和数据目的地来决定数据是被丢弃，是给无线控制器上层应用处理，还是转发出去。

如图2所示, 解析单元的工作流程包括下列步骤:

10：数据解析单元接收数据捕获单元发送的以太网帧；

11：解析单元从太网帧头解析出以太网类型、源MAC和目的MAC地址；

12：解析单元从IP头解析出IP地址、上层协议类型；

13：判断协议类型，如果是TCP或UDP类型则转到步骤14；否则转到步骤15；

14：解析出应用层端口号，如果是则转到15；

15:将解析结果发送给数据处理单元。

如图3所示，数据处理单元的工作流程包括以下步骤：

16 :数据处理单元接收数据解析单元的解析结果；

17:查询以太网类型访问控制列表；

18:匹配到则转到27；否则，转到19；

19:查询MAC地址访问控制列表；

20: 匹配到则转到27；否则，转到21；

21: 查询IP地址访问控制列表；

22: 匹配到则转到27；否则，转到23；

23 : 查询协议类型访问控制列表；

24 : 匹配到则转到27；否则，转到25；

25:查询端口号访问控制列表；

26:匹配到则转到27；否则，转到27；

27:将处理结果发送给访问控制模块。

综上所述，在本发明中，采用所述的一种无线访问控制器中访问控制列表实现方法和系统，能够对对无线访问控制器管理的所有上网用户和访问点进行有效监控和防护，既保证对用户和访问点的合法性检测，提高用户感知，同时又尽可能地提高无线访问控制器防御恶意攻击的能力，提升无线业务的质量。

资源描述

《一种无线访问控制器中访问控制列表实现方法和系统.pdf》由会员分享，可在线阅读，更多相关《一种无线访问控制器中访问控制列表实现方法和系统.pdf（10页珍藏版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 102833227 A (43)申请公布日 2012.12.19 C N 1 0 2 8 3 3 2 2 7 A *CN102833227A* (21)申请号 201210238611.0 (22)申请日 2012.07.11 H04L 29/06(2006.01) (71)申请人武汉虹信通信技术有限责任公司地址 430073 湖北省武汉市东湖高新技术开发区东信路5号烽火科技4楼 (72)发明人隗中霞 (74)专利代理机构北京汇泽知识产权代理有限公司 11228 代理人张瑾 (54) 发明名称一种无线访问控制器中访问控制列表实现方法和系统 (57) 摘要本。

2、发明公开了一种无线访问控制器中访问控制列表实现方法和系统，方法包括步骤：截获用户上网的数据，并对所述数据进行解析；配置访问控制规则；根据解析结果、数据目的地和所配置的访问控制规则将所述数据进行处理。系统包括数据捕获单元、数据解析单元、访问配置单元，以及访问控制单元；其中，所述数据捕获单元、数据解析单元、数据处理单元和访问控制单元依次连接；所述数据捕获单元将捕获的数据发送给所述数据解析单元；所述数据解析单元将数据解析后发送给所述数据处理单元；所述数据处理单元根据所述访问控制规则调用所述访问控制单元的接口。采用了本发明的技术方案，能够对无线访问控制器管理的所有上网用户和访。

3、问点进行监控和防护。 (51)Int.Cl. 权利要求书2页说明书4页附图3页 (19)中华人民共和国国家知识产权局 (12)发明专利申请权利要求书 2 页说明书 4 页附图 3 页 1/2页 2 1.一种无线访问控制器中访问控制列表实现方法，其特征在于，包括步骤：截获用户上网的数据，并对所述数据进行解析；配置访问控制规则；根据解析结果、数据目的地和所配置的访问控制规则将所述数据丢弃、传送给无线控制器上层应用处理、或进行转发。 2.如权利要求1所述的方法，其特征在于，还包括以下步骤：将所述数据加工成以太网帧的格式。 3.如权利要求2所述的方法，其特征在于，进一步包括以下步。

4、骤：将所述以太网帧按照以太网类型、MAC地址、IP地址、协议类型和端口号进行解析。 4.如权利要求1或2所述的方法，其特征在于，进一步包括以下步骤：使用访问配置装置配置访问控制规则，并将访问控制规则以规则列表的形式传送给存储装置。 5.一种实现无线访问控制器中访问控制列表的系统，其特征在于，包括用于截获用户上网的数据捕获单元、用于解析数据的数据解析单元、用于配置访问控制规则的访问配置单元，以及用于对所述数据根据解析结果、数据目的地和所配置的访问控制规则进行处理的访问控制单元；其中，所述数据捕获单元、数据解析单元、数据处理单元和访问控制单元依次连接；所述数据捕获单元将捕获的数据发。

5、送给所述数据解析单元；所述数据解析单元将数据解析后发送给所述数据处理单元；所述数据处理单元根据所述访问控制规则调用所述访问控制单元的接口。 6.如权利要求5所述的系统，其特征在于，还包括存储单元，其中，所述存储单元分别与所述访问配置单元和所述数据处理单元连接，所述访问配置单元将所述访问控制规则所形成的规则列表发送给所述访问存储单元，所述数据处理单元访问所述存储单元中的规则列表。 7.如权利要求5或6所述的系统，其特征在于，所述数据被加工成以太网帧的格式。 8.如权利要求7所述的系统，其特征在于，所述解析单元的工作流程包括下列步骤: 10：数据解析单元接收数据捕获单元发送的以太网帧；。

6、11：解析单元从太网帧头解析出以太网类型、源MAC和目的MAC地址； 12：解析单元从IP头解析出IP地址、上层协议类型； 13：判断协议类型，如果是TCP或UDP类型则转到步骤14；否则转到步骤15； 14：解析出应用层端口号，如果是则转到15； 15:将解析结果发送给数据处理单元。 9.如权利要求7所述的系统，其特征在于，所述数据处理单元的工作流程包括以下步骤： 16:数据处理单元接收数据解析单元的解析结果； 17:查询以太网类型访问控制列表； 18:匹配到则转到27；否则，转到19； 19:查询MAC地址访问控制列表； 20:匹配到则转到27；否则，转到21；权利要求书CN 。

7、102833227 A 2/2页 3 21:查询IP地址访问控制列表； 22:匹配到则转到27；否则，转到23； 23:查询协议类型访问控制列表； 24:匹配到则转到27；否则，转到25； 25:查询端口号访问控制列表； 26:匹配到则转到27；否则，转到27； 27:将处理结果发送给访问控制模块。 10.如权利要求5或6所述的系统，其特征在于，所述访问控制单元处理所述数据的方式包括将所述数据丢弃、传送给无线控制器上层应用处理、或进行转发。权利要求书CN 102833227 A 1/4页 4 一种无线访问控制器中访问控制列表实现方法和系统技术领域 0001 本发明涉及无线通信领域。

8、，具体涉及一种无线访问控制器中访问控制列表实现方法和系统。背景技术 0002 随着无线局域网在我国大规模部署和应用,满足了人们对于无线上网的需求.但是无线网络上也存在着一些不安全因素,加上运营商对用户上网流量和时长等的控制需求,因此需要无线访问控制器上实现访问控制列表来对无线上网用户进行访问控制和保护。 0003 通用交换机上附带有访问控制列表功能，由于交换机仅作为一个交换设备并不能保证对所在无线网络中所有上网用户和访问点进行监控. 这不利于对上网用户和访问点的控制。 0004 可见,通用交换机上实现访问控制有一定的局限性,不能完全满足移动运营商的需要,需要进行改进。发明内容。

9、 0005 本发明的目的是提供一种无线访问控制器中访问控制列表实现方法和系统,以满足目前对无线上网用户和访问点进行控制和保护的需求。 0006 本发明提供一种无线访问控制器中访问控制列表实现方法，包括步骤：截获用户上网的数据，并对所述数据进行解析；配置访问控制规则；根据解析结果、数据目的地和所配置的访问控制规则将所述数据丢弃、传送给无线控制器上层应用处理、或进行转发。 0007 本发明的一种无线访问控制器中访问控制列表实现方法，还包括以下步骤：将所述数据加工成以太网帧的格式。 0008 本发明的一种无线访问控制器中访问控制列表实现方法，进一步包括以下步骤：将所述以太网帧按照以太网类型。

10、、MAC地址、IP地址、协议类型和端口号进行解析。 0009 本发明的一种无线访问控制器中访问控制列表实现方法，进一步包括以下步骤：使用访问配置装置配置访问控制规则，并将访问控制规则以规则列表的形式传送给存储装置。 0010 本发明还提供一种实现无线访问控制器中访问控制列表的系统，包括用于截获用户上网的数据捕获单元、用于解析数据的数据解析单元、用于配置访问控制规则的访问配置单元，以及用于对所述数据根据解析结果、数据目的地和所配置的访问控制规则进行处理的访问控制单元；其中，所述数据捕获单元、数据解析单元、数据处理单元和访问控制单元依次连接；所述数据捕获单元将捕获的数据发送给所述数据解。

11、析单元；所述数据解析单元将数据解析后发送给所述数据处理单元；所述数据处理单元根据所述访问控制规则调用所述访问控制单元的接口。 0011 本发明的一种实现无线访问控制器中访问控制列表的系统，还包括存储单元，其说明书CN 102833227 A 2/4页 5 中，所述存储单元分别与所述访问配置单元和所述数据处理单元连接，所述访问配置单元将所述访问控制规则所形成的规则列表发送给所述访问存储单元，所述数据处理单元访问所述存储单元中的规则列表。 0012 本发明的一种实现无线访问控制器中访问控制列表的系统，所述数据被加工成以太网帧的格式。 0013 本发明的一种实现无线访问控制器中访问控。

12、制列表的系统，所述以太网帧被解析成以太网类型、MAC地址、IP地址、协议类型和端口号。 0014 本发明的一种实现无线访问控制器中访问控制列表的系统，所述解析单元的工作流程包括下列步骤: 10：数据解析单元接收数据捕获单元发送的以太网帧；11：解析单元从太网帧头解析出以太网类型、源MAC和目的MAC地址；12：解析单元从IP头解析出IP地址、上层协议类型；13：判断协议类型，如果是TCP或UDP类型则转到步骤14；否则转到步骤 15；14：解析出应用层端口号，如果是则转到15；15:将解析结果发送给数据处理单元。 0015 本发明的一种实现无线访问控制器中访问控制列表的系统，所述数据处。

13、理单元的工作流程包括以下步骤：16:数据处理单元接收数据解析单元的解析结果；17:查询以太网类型访问控制列表；18:匹配到则转到27；否则，转到19；19:查询MAC地址访问控制列表； 20:匹配到则转到27；否则，转到21；21:查询IP地址访问控制列表；22:匹配到则转到27；否则，转到23；23:查询协议类型访问控制列表；24:匹配到则转到27；否则，转到25；25: 查询端口号访问控制列表；26:匹配到则转到27；否则，转到27；27:将处理结果发送给访问控制模块。 0016 本发明的一种实现无线访问控制器中访问控制列表的系统，所述访问控制单元处理所述数据的方式包括将所述数据。

14、丢弃、传送给无线控制器上层应用处理、或进行转发。 0017 本发明的技术效果在于，通过在无线控制器中用户上网数据进行控制,通过事先配置好的访问控制列表规则来匹配用户上网数据报文中字段信息的方法来对用户和访问点实现访问控制，能够对无线访问控制器管理的所有上网用户和访问点进行监控和防护，同现有技术相比更切合实际应用场景，更安全高效和快捷实用。 0018 本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。 0019 下面通过附图和实施例，。

15、对本发明的技术方案做进一步的详细描述。附图说明 0020 附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明，并不构成对本发明的限制。在附图中：图1是本发明具体实施方式一的结构方框图；图2 是本发明具体实施方式一中数据解析单元的工作流程图；图3 是本发明具体实施方式一数据处理单元的工作流程图。 0021 其中，100数据捕获单元；200数据解析单元；300数据处理单元；400访问配置单元；500访问存储单元；600访问控制单元。说明书CN 102833227 A 3/4页 6 具体实施方式 0022 以下结合附图对本发明的优选实施例进。

16、行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本发明，并不用于限定本发明。 0023 本发明提供一种无线访问控制器中访问控制列表实现方法，包括步骤：截获用户上网的数据，并对所述数据进行解析；配置访问控制规则；根据解析结果、数据目的地和所配置的访问控制规则将所述数据丢弃、传送给无线控制器上层应用处理、或进行转发。 0024 本发明还提供一种实现无线访问控制器中访问控制列表的系统，包括用于截获用户上网的数据捕获单元、用于解析数据的数据解析单元、用于配置访问控制规则的访问配置单元，以及用于对所述数据根据解析结果、数据目的地和所配置的访问控制规则进行处理的访问控制单元；其中，所述。

17、数据捕获单元、数据解析单元、数据处理单元和访问控制单元依次连接；所述数据捕获单元将捕获的数据发送给所述数据解析单元；所述数据解析单元将数据解析后发送给所述数据处理单元；所述数据处理单元根据所述访问控制规则调用所述访问控制单元的接口。 0025 以下将结合说明书附图，详细描述本发明。 0026 如图1所示，数据捕获单元100, 数据解析单元200, 数据处理单元300和访问控制单元600依次连接；访问配置单元400、访问存储单元500和数据处理单元300依次连接。 0027 其中，数据捕获单元100负责截获用户上网的数据,并将以太网帧发给数据解析单元200；数据解析单元200负责对报。

18、文的以太网类型、MAC地址、IP地址、协议类型、端口号等进行解析,并将解析的结果发给数据处理单元300；数据处理单元300负责根据访问存储单元400中存储的访问控制列表对数据解析单元 200发来的数据进行分析和处理,依据处理结果调用访问控制单元600提供的接口决定该对用户数据执行的动作；访问配置单元400负责配置访问控制列表，并将规则列表下发给访问存储单元500；访问存储单元500负责存储访问控制列表来提供给数据处理单元300查询；访问控制单元600负责根据数据处理单元300的处理结果和数据目的地来决定数据是被丢弃，是给无线控制器上层应用处理，还是转发出去。 0028 如图2所示。

19、, 解析单元的工作流程包括下列步骤: 10：数据解析单元接收数据捕获单元发送的以太网帧； 11：解析单元从太网帧头解析出以太网类型、源MAC和目的MAC地址； 12：解析单元从IP头解析出IP地址、上层协议类型； 13：判断协议类型，如果是TCP或UDP类型则转到步骤14；否则转到步骤15； 14：解析出应用层端口号，如果是则转到15； 15:将解析结果发送给数据处理单元。 0029 如图3所示，数据处理单元的工作流程包括以下步骤： 16 :数据处理单元接收数据解析单元的解析结果； 17:查询以太网类型访问控制列表； 18:匹配到则转到27；否则，转到19； 19:查询MAC地址访问控制列表；。

20、说明书CN 102833227 A 4/4页 7 20: 匹配到则转到27；否则，转到21； 21: 查询IP地址访问控制列表； 22: 匹配到则转到27；否则，转到23； 23 : 查询协议类型访问控制列表； 24 : 匹配到则转到27；否则，转到25； 25:查询端口号访问控制列表； 26:匹配到则转到27；否则，转到27； 27:将处理结果发送给访问控制模块。 0030 本发明的技术效果在于，通过在无线控制器中用户上网数据进行控制,通过事先配置好的访问控制列表规则来匹配用户上网数据报文中字段信息的方法来对用户和访问点实现访问控制，能够对无线访问控制器管理的所有上网用户和访问点进。

21、行监控和防护，同现有技术相比更切合实际应用场景，更安全高效和快捷实用。 0031 综上所述，在本发明中，采用所述的一种无线访问控制器中访问控制列表实现方法和系统，能够对对无线访问控制器管理的所有上网用户和访问点进行有效监控和防护，既保证对用户和访问点的合法性检测，提高用户感知，同时又尽可能地提高无线访问控制器防御恶意攻击的能力，提升无线业务的质量。说明书CN 102833227 A 1/3页 8 图1 说明书附图CN 102833227 A 2/3页 9 图2 说明书附图CN 102833227 A 3/3页 10 图3 说明书附图CN 102833227 A 10 。

展开阅读全文