一种无线局域网接入点设备管理移动终端的方法技术领域
本发明涉及一种IEEE 802.11无线局域网(WLAN)接入点(简称AP)
设备管理移动终端(简称STA)的方法,特别是涉及一种用于无线局域网组
网时对用户进行分级管理,从而提高整个系统的安全性和灵活性的方法。
背景技术
接入点设备管理移动终端一直是无线局域网组网时关注的一个重要方
面,目前采用的方法是通过在接入点设备上设定的业务设定标识(Service Set
Identifier,简称SSID)来对移动终端进行统一的管理。SSID是一个0~32个
字符的字符串,为0个字符时表示这是一个广播的SSID。接入点设备通过
SSID标识它所管理的区域,并根据该SSID接受移动终端的接入。移动终端
通过两种方式获得所要连接的接入点设备的SSID,一种方式是事先被告知,
另一种方式是通过主动扫描去获取。在得知接入点设备的SSID和认证及加密
方式后,移动终端将向接入点设备发出认证和连接请求。接入点设备将会对
这些移动终端发出的认证和连接请求产生响应,以决定允不允许移动终端的
接入。目前这种通过SSID方式对移动终端进行统一管理的方法明显存在以下
不足:
(1)所有的移动终端通过同样的SSID接入使移动终端之间没有隔离,
从而给移动终端之间的安全性带来隐患;
(2)在实际组网应用时,不同的移动终端需要提供的业务和安全程度都
可能会不一样,这种统一管理的方式不能满足不同移动终端在这些方面的不
同需求。
发明内容
本发明所要解决的技术问题是提供一种无线局域网接入点设备管理移
动终端的方法,解决现有技术中接入点设备只能通过同样的SSID来对移动
终端进行统一管理所带来的安全隐患和不能满足移动终端在业务和安全方面
不同要求的缺陷。
为达到上述目的,本发明提供了一种无线局域网接入点设备管理移动终
端的方法,其特点在于,包括如下步骤:
步骤一,在接入点设备上划分不同的域;
步骤二,为每个域配置标识该域的业务设定标识;
步骤三,属于某个域的移动终端通过该域和接入点设备相连接,并获得
与该域相关联的业务。
上述的方法,其特点在于,所述步骤三进一步包括:
步骤a,为每个域配置接入该域所使用的认证方式和加密方式;
步骤b,属于某个域的移动终端被告知该域所使用的业务设定标识、认
证方式和加密方式;
步骤c,该移动终端利用所获取的业务设定标识、认证方式和加密方式
向接入点设备发出连接请求;
步骤d,接入点设备根据该移动终端所属域的业务设定标识和相应的认
证方式及加密方式来决定是否允许该移动终端接入;
步骤e,经接入点设备允许后,该移动终端通过该域和接入点设备相连
接。
上述的方法,其特点在于,在所述步骤二中还包括判断是否需要在域之
间划分虚拟局域网标签的步骤,需要则为每个域配置虚拟局域网标签,不需
要则继续执行以后的步骤。
上述的方法,其特点在于,在所述步骤二中还包括判断是否需要为每个
域配置服务质量等级的步骤,需要则为每个域配置服务质量等级,不需要则
继续执行以后的步骤。
上述的方法,其特点在于,在所述步骤二中还包括判断是否需要对域的
用户进行控制的步骤,需要则为每个域配置用户控制信息,不需要则继续执
行以后的步骤。
上述的方法,其特点在于,所述步骤a中,所述认证方式和加密方式是
根据该域的移动终端的安全需求来配置,对于安全需求高的移动终端,其所
属的域配置EAP/TLS认证和AES加密;对于安全需求低的移动终端,其所
属的域配置共享密钥式认证和WEP加密或者不配置安全认证模式和加密模
式。
上述的方法,其特点在于,所述步骤一是根据移动终端的不同需求在接
入点设备上划分管理域、财务域和一般用户域。
本发明所述方法与现有技术相比,具有以下优点:
实现了接入点设备对移动终端的分级管理,从而很容易满足不同级别的
移动终端对安全和业务的不同需求;
通过域的方式将不同的移动终端进行隔离,从而解决由统一管理所带来
的安全隐患,提高了系统的安全性。
下面结合附图进一步详细说明本发明的具体实施例。
附图说明
图1是本发明方法的流程图;
图2是本发明方法根据需要对AP上的域进行划分和配置的流程图;
图3是根据AP对802.11管理帧中的探索请求帧和关联请求帧的处理流
程;
图4是本发明在实际中的应用示例。
具体实施方式
参阅图1,为本发明方法的流程图;本发明方法在无线局域网组网时,
在接入点设备上按移动终端的不同需求划分多个不同级别的域;每个域都具
有独立的SSID作为域的标识,每个域的SSID相互之间是不可见的;移动终
端只能通过事先被告知的方式获取域的SSID及认证和加密方式;属于某个域
的移动终端在获取该域的SSID后,将利用域的SSID并通过域所配置的认证
和加密方式与接入点设备进行交互;移动终端在从相应的域和接入点设备关
联成功后,将能获得与该域相关联的业务。本发明方法包括如下步骤:
步骤110,在接入点设备上划分不同的域;
步骤120,为每个域配置标识该域的SSID,以及,为每个域配置接入该
域所使用的认证和加密方式;
步骤130,属于某个域的移动终端通过该域和接入点设备相连接,并获
得与该域相关联的业务。
请参阅图2,是根据需要对AP上的域进行配置的流程图。包括:
步骤201,按要求在AP上划分域;
步骤202,配置每个域的SSID标识,并加入到SSID列表;
步骤203,判断是否需要在域之间换分VLAN(Virtual Local Area Network,
虚拟局域网),是则执行步骤204,否则执行步骤205;
步骤204,为每个域配置VLAN标签;
步骤205,判断是否需要为域配置QoS(服务质量),是则执行步骤206,
否则执行步骤207;
步骤206,为每个域配置QoS服务等级;
步骤207,判断是否需要对域的用户(如用户数等)进行控制,是则执
行步骤208,否则执行步骤209;
步骤208,为每个域配置相应的控制信息;
步骤209,为每个域配置加密方式和认证方式。
请参阅图3,是根据AP对802.11管理帧中的探索请求帧和关联请求帧
的处理流程图。AP和移动终端建立关联,包括:
步骤301,AP接收802.11管理帧,对移动终端的探索请求帧执行步骤
302,对移动终端的关联请求帧执行步骤305;
步骤302,是否能在域的SSID列表中找到探索请求帧中所包含的SSID,
是则执行步骤303,否则执行步骤309;
步骤303,构造该探索请求帧的探索响应帧,并在探索响应帧中包含所
查询域的SSID;
步骤304,发出探索响应帧,转到步骤309;
步骤305,是否能在域的SSID列表中找到关联请求帧中所包含的SSID?
是则执行步骤307,否则执行步骤306;
步骤306,发出关联失败的关联响应帧,转到步骤309;
步骤307,对该关联请求帧中包含的其它信息和AP的控制要求决定关联
的结果,并执行步骤308;
步骤308,发出关联成功或失败的关联响应帧,转到步骤309;
步骤309,结束。
在图4所示的应用示例中,接入点设备覆盖的区域有高级管理人员,财
务人员,一般工作人员三类用户。这三类用户对安全和业务的需求都不相同,
所以根据这三类用户的不同需求将他们所使用的移动终端划分为三个不同的
域,即管理域、财务域和一般用户域。这三个域具有不同的SSID作为域标识,
且相互之间是独立的,从而将这三类不同的移动终端隔离开来,增强移动终
端相互之间的安全性。同时在安全方面,根据这三类终端的不同要求给这三
个域分别配置不同的认证和加密方式。对于安全需求高的移动终端,相应的
域需要配置高级别的安全认证模式和加密模式,比如EAP/TLS认证和AES
加密;对于安全需求低的移动终端,相应的域需要配置低级别甚至不配置安
全认证模式和加密模式,如共享密钥式认证和WEP加密。在提供的业务方面,
针对不同移动终端需要业务不一样,如对能够访问资源的限制等,业务模块
将会根据移动终端所携带的不同域标识提供不同的业务。对于来自高级用户
域移动终端,业务模块将会提供高级的业务,比如能够访问保密级别高的资
源等。对来自低级别用户域的移动终端,业务模块将只会提供一些一般的业
务,比如只能访问保密级别较低的资源,而对保密级别较高资源的访问将会
受到限制。而对来自专业用户域的移动终端,业务模块将会提供专业业务,
比如能构访问低级别用户不能访问的专业资源等。这些措施将在很大程度上
提高整个系统的安全性和灵活性。在上述的应用示例中,处于管理域的移动
终端将会具有高级别的安全认证和加密方式,同时能够使用高级别的业务;
处于财务域的移动终端将会具有一定级别的安全认证和加密方式,同时能够
使用财务方面的专业业务;处于一般用户域的移动终端将会具有低级别的安
全认证和加密方式,只能够使用一般的业务。