[发明专利]基于WLAN中802.11协议的终端接入限定方法

说明书

技术领域

本发明涉及一种WLAN接入设备对客户端进行限定的方法，特别是指一种基于扩展802.11链路层协议，在终端接入请求中加入鉴权信息来限定终端接入的方法。

背景技术

无线局域网络作为有线联网方式的重要补充和延伸，正向宽带化、智能化、多媒体化、个性化方向前进。新技术、新系统、新业务不断涌现并逐渐融合与分化，极大推动着无线网络技术的发展、迅速的拓展着网络应用领域。

       基于802.11协议的无线局域网包括站点（Station）、分配系统（DistributionSystem，DS）、接入点（Access Point，AP）、关口（Portal）、无线访问控制器（AC）等元素。其中最关键的是无线接入和控制系统，包括接入点（AP）和无线访问控制器（AC）。

       接入点对站点接入的限定可以保障授权站点的网络资源，避免非法站点对接入点的攻击。目前接入点对站点接入的方法有以下两种：

1.    AP端对部分MAC地址进行限定，允许或者拒绝这些MAC接入，这种方法限定范围有限，只能针对有限个数的MAC地址。

2.    AP端进行加密，站点接入需要密码，加密方式有WEP、WPA、WAPI，WEP为静态密码，比较容易被破解，WPA和WAPI加密相对比较安全，但是需要第三方认证服务器。

发明内容

本发明的目的是提供一种WLAN接入设备对终端接入进行限定的可靠方法。通过扩展802.11链路层协议，在终端设备发送的接入请求中，加入鉴权信息，接入设备对此鉴权进行验证，符合要求的才允许接入。

本发明的技术方案提供一种基于WLAN中802.11协议的终端接入限定方法：

扩展802.11链路层的终端的Association Request请求协议，包括在Association Request请求协议中增加一个扩展协议部分，所述扩展协议部分包括元素标识、终端MAC地址加密后的内容，终端MAC地址通过加密后的内容的字符串长度；终端按照扩展后的Association Request请求协议生成Association Request请求，并发送给接入设备；

接入设备接收到终端的Association Request请求后，取出扩展协议部分的内容进行验证，验证通过才允许接入；验证实现方式如下，

接入设备在Association Request请求中查找元素标识，按照终端MAC地址通过加密后的内容的字符串长度，取出终端MAC地址加密后的内容；然后在本地按照与终端一致的加密算法对终端MAC地址进行加密，把本地加密后所得的内容与从Association Request请求取出的终端MAC地址加密后的内容进行比对，如果一致则通过验证。

本发明相对现有技术有如下优势：

1．接入设备在驱动就对终端接入请求进行鉴权，非法终端的接入请求无需进一步解析鉴权。

2．对802.11链路层的协议进行了扩展，只有驱动进行了修改的终端才能通过鉴权，提高可靠性。

3．相对与对终端MAC进行对比限定的方法，此方法可以批量限定且可以防止伪造MAC的非法终端接入。

附图说明

图1是现有技术中对802.11终端接入请求帧的协议格式示意图。

图2是本发明实施例扩展的协议格式示意图。

具体实施方式   

以下结合附图和实施例详细说明本发明技术方案。

本发明提出扩展802.11链路层终端的Association Request请求协议，协议中增加一个鉴权部分，终端将加密后的鉴权信息加入扩展协议部分发送给AP；AP接收到STA的Association Request请求后，取出扩展协议的内容，对鉴权信息进行验证，验证通过才允许接入。在本领域中，Association Request表示关联请求。具体实施时，可通过对终端和接入点设备的驱动进行修改实现本发明。

实施例实现如下：

采用WLAN接入设备作为接入点（AP）。对WLAN终端设备的驱动进行扩展，图1为终端接入请求帧的协议格式，基于标注802.11协议格式实现，在Frame Body中加入一个按图2所示结构提供的扩展协议。

如图1，终端接入请求帧的协议格式包括：

Frame Control，为帧控制，占用字节长度2。

Duration /ID，为生存周期/ID，占用字节长度2。