[发明专利]一种无线接入铁路信息网络的方法及系统

权利要求书

1.一种无线接入铁路信息网络的方法，其特征在于，铁路信息网络包括内部服务网和外部服务网，包括：

在内部服务网和外部服务网分别设置无线安全接入平台；

在内部服务网设置具有无线访问权限的用户组，其中包括多个具有无线访问权限的用户标识；

内部服务网将所述用户组复制到外部服务网内；

当移动终端要接入内部服务网或外部服务网时，将携带用户标识的证书发起请求发送给内部服务网或外部服务网的无线安全接入平台；

内部服务网或外部服务网的无线安全接入平台对证书认证并判断证书携带的用户标识是否在所述用户组内，如果是，将移动终端接入内部服务网或外部服务网；

所述对证书认证并判断证书携带的用户标识是否在所述用户组内之前，还包括：所述内部服务网或外部服务网的无线安全接入平台获取所述用户组，存储到本地数据库，称为LDAP用户，在判断时，与LDAP用户进行匹配。

2.如权利要求1所述的方法，其特征在于，所述用户标识为用户身份标识UID；

所述证书为X.509数字证书或者802.1X数字证书，其中的扩展字段携带用户标识。

3.如权利要求1所述的方法，其特征在于，所述发送携带用户标识的证书发起请求为：移动终端设置有安全防护软件，当其接入内部服务网或外部服务网时启动。

4.如权利要求3所述的方法，其特征在于，该方法还包括：移动终端中装载铁路信息网络提供的移动应用，在进行所述移动应用的接入时，也启动安全防护软件，进行认证且验证后，再成功接入所述移动应用。

5.一种无线接入铁路信息网络的系统，其特征在于，包括：内部服务网及外部服务网，在内部服务网中包括内部无线安全接入平台、路局内外核心单元、内网目录服务器及内网移动终端，在外部服务网中包括外部无线安全接入平台、路局外网核心单元、外网目录服务器及外网移动终端，内部无线安全接入平台及内网目录服务器分别接入路局内外核心单元，外部无线安全接入平台及外网目录服务器分别接入外网核心单元，内网目录服务器与外网目录服务器之间通过安全隔离设备相互连接；其中，

内网目录服务器，用于设置具有无线访问权限的用户组，其中包括多个具有无线访问权限的用户标识，将所设置的用户组传输给外网目录服务器；

外网目录服务器，用于将从内网目录服务器接收的所述用户组存储；

内网移动终端，用于向路局内网核心单元发送携带用户标识的证书发起请求；

路局内网核心单元，用于接收携带用户标识的证书发起请求后，转发给内部无线安全接入平台，接收内部无线安全接入平台发送的无线接入通知后，接入内网移动终端；

内部无线安全接入平台，用于对所接收请求中的证书进行认证后，从证书中提取携带的用户标识，通过路局内网核心单元从内网目录服务器调取所述用户组，判断是否在内网目录服务器中设置的用户组中，如果是，则发送无线接入通知给路局内网核心单元；

外网移动终端，用于向路局外网核心单元发送携带用户标识的证书发起请求；

外部无线安全接入平台，用于接收携带用户标识的证书发起请求后，转发给路局外网核心单元，接收路局外网核心单元发送的无线接入通知后，接入外网移动终端；

路局外网核心单元，用于对所接收请求中的证书进行认证后，从证书中提取携带的用户标识，通过路局外网核心单元从外网目录服务器调取所述用户组，判断是否在外网目录服务器中存储的用户组中，如果是，则发送无线接入通知给外部无线安全接入平台。

6.如权利要求5所述的系统，其特征在于，所述路局内网核心单元或路局外网核心单元中，分别包括交换机和防火墙，其中，防火墙分别用于将内部无线安全接入平台与内网目录服务器隔离，或外部无线安全接入平台与外网目录服务器隔离；交换机分别用于在铁路内网无线接入平台与内网移动终端及内网目录服务器之间交互信息；在铁路外网无线接入平台与外网移动终端及外网目录服务器之间交互信息。