[发明专利]一种端到端的无线安全架构系统和方法

说明书

技术领域

本发明涉及无线网络的安全控制技术，特别设计一种端到端的无线安全架构系统和方法。

背景技术

在本领域现有技术中，通常在无线局域网和内部局域网间使用防火墙。Fat AP配置于无线网络中，防火墙保护内部局域网免受来自于无线局域网的攻击。无线局域网通过使用数据加密技术（Encrypting）和网络验证技术（Authenticating）保护无线传输的数据，避免受到外界的黑客攻击。图3为现有技术中的无线安全网络架构示意图，现有技术的无线网络安全架构如图3所示。实际上，每个依附于互联网的局域网都使用隔离区（DMZ,Demilitarized Zone）保护受信赖的局域网免受不被信任的用户入侵。无线局域网通过加密故障检测来监控有效用户以及试图伪造成有效用户的入侵者。然而，现有技术中的无线局域网是在无线接入点AP(Wireless Access Point）进行数据加密，也就是说网络验证的唯一有效点位于无线接入点AP上。一旦用户数据通过了无线接入点AP，所有用户的被解码的数据就会发生混淆，每一个数据包看起来都是相似的。因此一个恶意入侵者可以伪装成已经进入内部有线局域网的用户。如果这个入侵者伪装成guest用户或者内部局域网用户，加密数据保护就会失效。大部分无线加密协议都不会加密MAC码，从而使入侵者轻易伪装成有效的MAC码，从而入侵至内部局域网。

在这种情况下，使数据从无线局域网隔离的唯一办法就是防火墙。防火墙是无线局域网和有线内部网的最后防线，而网络验证机制和高级别的网络监控在内部有线局域网中已经完成，不会再度进行。此时只有防火墙才能对入侵者进行检测。但是防火墙无法对用户进行识别和网络验证，而且还不能识别接收到的数据包是来自于无线局域网（802.11标准），还是来自于有线局域网(802.3标准)，对于防火墙而言，接收到的数据包都属于有线内部局域网（802.3标准）。因此，防火墙在网络接入控制时，无法进行有效的用户角色判断和识别判断，无法区别来自于无线局域网或者内部有线局域网的数据包，而且也不是网络验证程序的一部分。换句话说，在无线接入点AP和防火墙的网络验证过程中，存在缺陷，这就导致整个网络容易受到攻击。

关于Fat AP和Thin AP的区别：

Fat AP的主要特点：

1、Fat AP是与Thin AP相对来讲的，Fat AP将WLAN的物理层、用户数据加密、用户认证、QoS、网络管理、漫游技术以及其他应用层的功能集于一身；

2、Fat AP无线网络解决方案可由由Fat AP直接在有线网的基础上构成；

3、Fat AP设备结构复杂，且难于集中管理。

Thin AP的主要特点：

1、Thin AP是相对Fat AP来讲的，它是一个只有加密、射频功能的AP，功能单一，不能独立工作；

2、整个Thin AP无线网络解决方案由无线交换机和Thin AP在有线网的基础上构成；

3、Thin AP上“零配置”，所有配置都集中到无线交换机上。这也促成了Thin AP解决方案更加便于集中管理，并由此具有三层漫游、基于用户下发权限等Fat AP不具备的功能。

发明内容

本发明提供一种端到端的无线安全架构系统和方法，用于解决现有技术中由于使用Fat AP导致的无线安全网络易受攻击，现有无线安全网络系统无法区分数据包是来自于无线局域网（802.11标准）还是来自于有线局域网(802.3标准)，现有无线安全网络系统无法进行有效的用户角色判断、无法进行网络验证的问题，进一步提高无线网络系统的安全性。

本发明提供的一种端到端的无线安全架构系统，包括无线网络控制器AC、无线网络接入点，其中，

无线网络控制器AC部署于无线局域网和内部有线局域网之间，所有来自于无线局域网的数据经过无线网络接入点后通过无线网络控制器AC进入内部有线局域网，无线网络接入点都是Thin AP；

而且，无线网络控制器AC进行如下配置：

无线网络控制器AC加密或者解密所有来自于无线网络的数据，并将其传输至内部有线局域网；

无线网络控制器AC在无线局域网和内部有线局域网之间提供网络验证和授权服务以及防火墙服务；

无线网络控制器AC管理无线接入点Thin AP。

进一步，本发明所述的端到端的无线安全架构系统，还包括：

系统角色控制模块，用于配置角色参数，为所有登陆进所述系统的用户分配角色，并且根据用户角色对用户进行安全控制；