基于无线融合网络分流的专网细粒度访问控制方法及系统技术方案

本发明专利技术属于网络融合领域，特别是涉及一种基于无线融合网络分流的专网细粒度访问控制方法及系统，该方法包括：无线融合网络分流器获取本地网络数据包；无线融合网络分流器对获取的数据包中的信标信息进行判断，若终端设备信标信息存在无线融合网络分流器的信标列表中，则将分流控制信号直接分流至本地网络中；否则无线融合网络分流器将数据包输入到访问控制装置中进行数据包的鉴权，若满足访问控制权限则更新分流器的信标列表，并分流至本地网络，若不满足访问控制权限，则分流至核心网；本发明专利技术实现了无线融合网络分流的细粒度访问控制，可根据用户自定义专网网络资源的访问权限，保证了传输性能的同时，以满足用户的实际情况与特殊需求。情况与特殊需求。情况与特殊需求。

【技术实现步骤摘要】
基于无线融合网络分流的专网细粒度访问控制方法及系统


[0001]本专利技术属于网络融合领域，特别是涉及一种基于无线融合网络分流的专网细粒度访问控制方法及系统。

技术介绍

[0002]随着半导体工艺与移动通信技术的迅猛发展，以智能小车、智能机器人、智能摄像头为代表的无线网络终端设备，正全方位融入智能制造、自动驾驶及智慧城市等众多领域。IDC预测截止2025年网络边缘终端产生的实时数据量将达到163ZB，网络带宽、网络时延及隐私保护等问题逐渐成为无线网络传输的瓶颈。无线融合网络分流器得以研发，旨在将根据无线终端设备数据包访问的网络资源进行区分：若是访问本地网络资源，直接将数据包分流至本地网络；若不是访问本地网络资源，则将数据包分流至核心网。
[0003]无线融合网络分流器主要的优势有：一是低延迟，减少数据包传输路径，将访问本地网络资源的数据包，直接在分流器分流至本地网络，提高了传输的速度；二是高安全，使得本地网络资源不出厂，不用传递至核心网再转回，提高了数据隔离性，确保了用户的核心数据与隐私保护。然而，在无线融合网络分流器提升低延迟、数据隔离性的同时，如何进一步按用户的实际情况与特殊需求，根据用户自定义本地网络网络资源及其访问权限，以确保本地网络访问资源的安全，则是亟待解决的关键问题。

技术实现思路

[0004]为解决以上现有技术存在的问题，本专利技术提出了一种基于无线融合网络分流的专网细粒度访问控制方法，该方法包括：
[0005]步骤1：无线融合网络分流器提取本地网络的无线终端设备数据包，无线终端设备数据包包括主要信息及信标信息；无线融合网络分流器将信标信息定时发送给访问控制装置；
[0006]步骤2：访问控制模块判断信标信息是否有效；若信标信息有效，则执行步骤步骤3，若信标信息无效，则执行步骤4；
[0007]步骤3：对无线融合网络分流器访问本地资源的权限鉴权；若满足本地资源访问权限，则将数据包直接分流至本地网络中；若不满足本地资源访问权限，则将数据包分流至核心网；
[0008]步骤4：对终端进行身份鉴权，若不满足身份权限，则直接将数据包分流至核心网；若满足身份权限，对无线融合网络分流器访问本地资源的权限鉴权，若满足本地资源访问权限，则生成终端的信标信息并同步至无线融合网络分流器的信标列表，同时将数据包直接分流至本地网络中，若不满足本地资源访问权限，将数据包分流至核心网。
[0009]优选的，本地网络包括无线终端设备和其他网络资源，其他网络资源为本地服务器。
[0010]优选的，本地网络数据包通过光纤专线传输到无线融合网络分流器中；无线融合
网络分流器中的数据通过光口或网口传输到访问控制装置中。
[0011]优选的，访问控制模块判断信标信息是否有效的过程包括：无线融合网络分流器中设置有信标列表，并将信标列表存储在访问控制模块中；访问控制模块根据终端设备信标信息在无线融合网络分流器的信标列表中进行查找，若终端设备信标信息存在无线融合网络分流器的信标列表中，则信标信息有效；若终端设备信标信息不存在无线融合网络分流器的信标列表中，则信标信息无效。
[0012]优选的，访问控制模块对数据包进行鉴权的过程包括：访问控制模块实时获取数据包同步的信标；判断同步后的信标是否在无线融合网络分流器的合法信标列表中，若存在，则为合法访问，否则据据接收分流数据包。
[0013]一种基于无线融合网络分流的专网细粒度访问控制系统，该装置包括本地网络、无线融合网络分流器、访问控制装置以及核心网；所述无线融合网络分流器部署在本地网络与核心网之间；所述访问控制装置设置在无线融合网络分流器的一侧；所述访问控制装置包括策略管理模块、鉴权模块以及同步模块；
[0014]所述策略管理模块用于管理合法终端身份、本地网络资源的访问权限；
[0015]所述鉴权模块负责无线终端设备身份鉴权，若是合法身份，按照访问规则生成有效信标；对具有合法信标的终端，判定其数据包是否满足策略管理模块的本地网络资源的访问权限；
[0016]所述同步模块监控信标状态，将有效信标实时同步给无线融合网络分流器。
[0017]优选的，无线融合网络分流器通过光纤专线连接本地网，无线融合网络分流器通过光口或网口旁路连接访问控制装置。
[0018]优选的，策略管理模块管理的专网访问资源信息包括资源的IP及端口号，以及合法终端信息。
[0019]优选的，鉴权模块对无线终端设备数据包信息进行鉴权的过程包括：根据策略管理模块管理的访问控制信息对无线终端设备数据包信息进行身份鉴权；若该终端设备合法，则根据访问权限及其他关键信息，通过哈希算法生成当前终端设备访问的有效信标；其他关键信息包括终端账号、密码、MAC地址以及时间戳；判定合法终端数据包是否满足本地网络资源的访问权限，若满足则将数据包分流至本地网络，否则分流至核心网；将新生成的信标信息返回给终端设备，同时通过同步模块同步给无线融合网络分流器，终端设备定时发送信标给无线融合网络分流器，以保持分流通信状态；若是非法终端设备，则由同步模块及时反馈给无线融合网络分流器。
[0020]进一步的，有效信标为根据Hash函数生成的且状态为激活状态的唯一信标。
[0021]优选的，同步模块采用MQTT协议同步信息给无线融合网络分流器，具体的过程包括：通过实时监控信标状态，定时监控策略管理模块管理的专网访问控制信息；若访问控制信息发生更新，则实时同步无线融合网络分流器的信标列表。
[0022]本专利技术提出的访问控制装置可以独立于无线融合网络分流器，与无线融合网络分流器进行并行部署，具有良好的扩展性；其次，本专利技术实现了无线融合网络分流的细粒度访问控制，可根据用户自定义专网网络资源的访问权限，保证了传输性能的同时，以满足用户的实际情况与特殊需求。最后，本专利技术可动态地更新访问控制信息，具有良好的实时性能。
附图说明
[0023]图1为本专利技术的实施部署图；
[0024]图2为本专利技术的访问控制装置主要功能模块图；
[0025]图3为本专利技术的专网细粒度访问控制策略图。
具体实施方式
[0026]下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0027]一种基于无线融合网络分流的专网细粒度访问控制方法，该方法包括：无线融合网络分流器获取本地网络的无线终端设备数据包，无线终端设备数据包包括主要信息及信标信息；无线融合网络分流器对获取的信标信息进行判断，若终端设备信标信息存在无线融合网络分流器的信标列表中，则将分流控制信号直接分流至本地网络中；若无线融合网络分流器的信标列表中不存在终端设备信标信息，则无线融合网络分流器将获取的无线终端设备数据包输入到访问控制装置中进行数据包的鉴权，若满足本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于无线融合网络分流的专网细粒度访问控制方法，其特征在于，包括：步骤1：无线融合网络分流器提取本地网络的无线终端设备数据包，无线终端设备数据包包括主要信息及信标信息；无线融合网络分流器将信标信息定时发送给访问控制装置；步骤2：访问控制模块判断信标信息是否有效；若信标信息有效，则执行步骤步骤3，若信标信息无效，则执行步骤4；步骤3：对无线融合网络分流器访问本地资源的权限鉴权；若满足本地资源访问权限，则将数据包直接分流至本地网络中；若不满足本地资源访问权限，则将数据包分流至核心网；步骤4：对终端进行身份鉴权，若不满足身份权限，则直接将数据包分流至核心网；若满足身份权限，对无线融合网络分流器访问本地资源的权限鉴权，若满足本地资源访问权限，则生成终端的信标信息并同步至无线融合网络分流器的信标列表，同时将数据包直接分流至本地网络中，若不满足本地资源访问权限，将数据包分流至核心网。2.根据权利要求1所述的一种基于无线融合网络分流的专网细粒度访问控制方法，其特征在于，本地网络数据包通过光纤专线传输到无线融合网络分流器中；无线融合网络分流器中的数据通过光口或网口传输到访问控制装置中。3.根据权利要求1所述的一种基于无线融合网络分流的专网细粒度访问控制方法，其特征在于，访问控制模块判断信标信息是否有效的过程包括：无线融合网络分流器中设置有信标列表，并将信标列表存储在访问控制模块中；访问控制模块根据终端设备信标信息在无线融合网络分流器的信标列表中进行查找，若终端设备信标信息存在无线融合网络分流器的信标列表中，则信标信息有效；若终端设备信标信息不存在无线融合网络分流器的信标列表中，则信标信息无效。4.根据权利要求1所述的一种基于无线融合网络分流的专网细粒度访问控制方法，其特征在于，访问控制模块对数据包进行鉴权的过程包括：访问控制模块实时获取数据包同步的信标；判断同步后的信标是否在无线融合网络分流器的合法信标列表中，若存在，则为合法访问，否则据据接收分流数据包。5.一种基于无线融合网络分流的专网细粒度访问控制系统，其特征在于，该系统包括本地网络、无线融合网络分流器、访问控制装置以及核心网；所述无线融合网络分流器部署在本地网络与核心网之间...

【专利技术属性】
技术研发人员：蒋溢，
申请(专利权)人：蒋溢，
类型：发明
国别省市：