[发明专利]基于无线融合网络分流的专网细粒度访问控制方法及系统

权利要求书

1.一种基于无线融合网络分流的专网细粒度访问控制方法，其特征在于，包括：

步骤1：无线融合网络分流器提取本地网络的无线终端设备数据包，无线终端设备数据包包括主要信息及信标信息；所述主要信息包括终端账号、密码、MAC地址以及时间戳；无线融合网络分流器将信标信息定时发送给访问控制装置；

步骤2：访问控制装置判断信标信息是否有效；若信标信息有效，则执行步骤步骤3，若信标信息无效，则执行步骤4；

访问控制装置判断信标信息是否有效的过程包括：无线融合网络分流器中设置有信标列表，并将信标列表存储在访问控制装置中；访问控制装置根据终端设备信标信息在无线融合网络分流器的信标列表中进行查找，若终端设备信标信息存在无线融合网络分流器的信标列表中，则信标信息有效；若终端设备信标信息不存在无线融合网络分流器的信标列表中，则信标信息无效；

访问控制装置实时获取数据包同步的信标；判断同步后的信标是否在无线融合网络分流器的合法信标列表中，若存在，则为合法访问，否则据据接收分流数据包；

步骤3：访问控制装置对无线融合网络分流器访问本地资源的权限鉴权；若满足本地资源访问权限，则将数据包直接分流至本地网络中；若不满足本地资源访问权限，则将数据包分流至核心网；

步骤4：访问控制装置对终端进行身份鉴权，若不满足身份权限，则直接将数据包分流至核心网；若满足身份权限，对无线融合网络分流器访问本地资源的权限鉴权，若满足本地资源访问权限，则根据访问权限及数据包的主要信息，通过哈希算法生成终端新的信标信息并同步至无线融合网络分流器的信标列表，同时将数据包直接分流至本地网络中，若不满足本地资源访问权限，将数据包分流至核心网。

2.根据权利要求1所述的一种基于无线融合网络分流的专网细粒度访问控制方法，其特征在于，本地网络数据包通过光纤专线传输到无线融合网络分流器中；无线融合网络分流器中的数据通过光口或网口传输到访问控制装置中。

3.一种基于无线融合网络分流的专网细粒度访问控制系统，其特征在于，该系统包括本地网络、无线融合网络分流器、访问控制装置以及核心网；所述无线融合网络分流器部署在本地网络与核心网之间；所述访问控制装置设置在无线融合网络分流器的一侧；无线融合网络分流器通过光纤专线连接本地网，无线融合网络分流器通过光口或网口旁路连接访问控制装置；

无线融合网络分流器提取本地网络的无线终端设备数据包，无线终端设备数据包包括主要信息及信标信息；所述主要信息包括终端账号、密码、MAC地址以及时间戳；无线融合网络分流器将信标信息定时发送给访问控制装置；

所述访问控制装置包括访问控制模块、策略管理模块、鉴权模块以及同步模块；

所述访问控制模块用于判断信标信息是否有效；无线融合网络分流器中设置有信标列表，并将信标列表存储在访问控制模块中；访问控制模块根据终端设备信标信息在无线融合网络分流器的信标列表中进行查找，若终端设备信标信息存在无线融合网络分流器的信标列表中，则信标信息有效；若终端设备信标信息不存在无线融合网络分流器的信标列表中，则信标信息无效；

所述策略管理模块用于管理合法终端身份、本地网络资源的访问权限；

所述鉴权模块负责对具有无效信标的无线终端设备进行身份鉴权，若是合法身份，按照访问规则生成有效信标；对具有有效信标或合法身份的终端，判定其数据包是否满足策略管理模块的本地网络资源的访问权限；

鉴权模块对无线终端设备数据包信息进行鉴权的过程包括：根据策略管理模块管理的访问控制信息对无线终端设备数据包信息进行身份鉴权；若该终端设备合法，则根据访问权限及数据包的主要信息，通过哈希算法生成当前终端设备访问的有效信标；判定合法终端数据包是否满足本地网络资源的访问权限，若满足则将数据包分流至本地网络，否则分流至核心网；将新生成的信标信息返回给终端设备，同时通过同步模块同步给无线融合网络分流器，终端设备定时发送信标给无线融合网络分流器，以保持分流通信状态；若是非法终端设备，则由同步模块及时反馈给无线融合网络分流器；

所述同步模块监控信标状态，将有效信标实时同步给无线融合网络分流器；具体包括：同步模块采用MQTT协议同步信息给无线融合网络分流器，即通过实时监控信标状态，定时监控策略管理模块管理的专网访问控制信息；若访问控制信息发生更新，则实时同步无线融合网络分流器的信标列表。

4.根据权利要求3所述的一种基于无线融合网络分流的专网细粒度访问控制系统，其特征在于，有效信标为根据Hash函数生成的且状态为激活状态的唯一信标。