无线网络的空间边界准入控制的制作方法

专利名称：无线网络的空间边界准入控制的制作方法
技术领域：
本发明涉及计算机网络的安全，更具体地说，涉及根据某一设备在空间边界内的存在，控制对无线网络的接入的方法，系统，计算机程序产品以及实施商业的方法。所公开的技术还可被用于确定设备是否仍然留在空间边界内。
背景技术：
“WiFi”(“无线保真”)或者“Wi-Fi”是通常应用于遵守电气和电子工程师协会(“IEEE”)802.11b规范的设备的标志。该缩写取自认证兼容产品的行业互通性组织(无线以太网兼容性联盟公司或者“WECA”，也称为Wi-Fi联盟)的徽标(“Wi-Fi”是无线以太网兼容性联盟公司的注册商标)。通过利用14个重叠信道中的2.4GHz波段的免授权部分，WiFi技术允许在数十英尺到数百英尺的室内距离，数英里到数十英里的室外距离下，大约11Mbps的原始无线数据传输速率。
虽然两种操作模式，即对等模式和网络模式是可行的，但是多数WiFi设施使用网络形式，其中通常通过使用网络地址转换(“NAT”)技术，“接入点”充当彼此之间的，以及到有线网络的集线器桥接客户机适配器。参见图1，图1中图解说明了这种结构。当客户机打算加入接入点托管(host)的网络时，它首先通过进行下述同步协议步骤，与网络同步。首先，为了建立初始通信，它或者监听接入点定期发送的“信标”，或者发送“探测信号”并等待响应。随后，客户机经历与接入点的验证过程。如果验证成功，那么客户机着手建立逻辑会话的关联过程，通过所述逻辑会话，较高层协议和数据可流动。在之后的任意时刻，接入点或者客户机可终止所述关联，关闭其它数据通信。在关联被终止之后，在重复上述同步协议以便重新加入网络之前，不能发生任何其它数据通信。
WiFi的领域不再局限于奢侈品(expensive-gadget-happy geek)，相反正被喜爱移动的便利性的任何人接受。大规模生产已使接入点和客户机适配器如此低廉，以致WiFi正在许多地方(包括家庭和小型办公室)被广泛用于连网，代替过去的高成本专门布线，允许人们易于即时即地随意移动他们的计算工作空间。由于购买日用品价格的WiFi用具的多数用户是非技术人员，因此他们既不了解底层技术，又不了解其使用的副作用。
不幸的是，WiFi还引起了黑客的注意，黑客把WiFi的部署看作窃取对因特网和/或本地可用服务的访问的邀请。与在标称300英尺服务半径之外数英里截取无线电信号的廉价方式(参见Rob Flickenger的“Antenna on the Cheap”，http//www.oreillynet.com/cs/weblog/view/wlg/448)相结合，WiFi的标准协议的不佳安全性(例如参见Robert Lemos的“Wireless networkswide open to hackers”，http//news.com.com/2100-1001-269853.html？tag＝bplst)甚至已向需要低费用的中学“脚本小子”打开了仓(barn)门。随着这种趋势，出现了关于无线网络黑客攻击的新术语，例如“沿街扫描”(War Driving)和“开战标记”(Warchalking)。沿街扫描是定位易于从车中的膝上型计算机利用的WiFi网络的活动(参见Sandra Kay Miller的“WAR DRIVING”，http//www.infosecuritymag.com/articles/november01/technology wardriving.shtml，关于该题目的一篇文章)。开战标记是标记WiFi网络的存在(例如在“沿街扫描者”检测到WiFi网络的建筑物的侧面，或者在该建筑物前的人行道上)，以便他们易于查找，而不需要沿街扫描者使用的设备，例如$6.45“Pringles”can天线(在上面提及的“Antenna on the Cheap”文章中描述)的做法。
需要一种改进WiFi网络中的安全性，防止未经授权的设备侵入的方式。即使在家庭环境中，该解决方案也必须易于建立，并且必须不要求改变WiFi标准或者现有的客户机设备适配器。

发明内容
本发明的一个目的是改进WiFi网络中的安全性。
本发明的另一目的是通过建立围绕WiFi网络的空间边界，并拒绝来自该边界之外的设备的网络通信，提供WiFi网络的安全性改进。
本发明的另一目的是提供即使在家庭环境中，也易于建立，并且不需要改变WiFi标准或者现有的客户机设备适配器的WiFi网络的改进。
本发明的其它目的和优点将部分在本说明中陈述，部分在附图中陈述，并且部分地根据本说明将是显而易见的，或者可通过实践本发明来获悉。
为了实现上述目的，并且根据这里粗略描述的本发明的用途，本发明提供控制对无线网络的接入的方法、系统和计算机程序产品。在优选实施例中，该技术包括在无线局域网(“WLAN”)上的第一设备接收来自WLAN上的多个测量点的测量数据，其中每个测量点的测量数据包括关于客户机设备的读数(reading)，所述读数由测量点的多个天线部件观测得到，天线部件能够确定相对于无线电发射源的角度；第一设备利用接收的测量数据，计算客户机设备的当前位置；第一设备确定客户机设备的当前位置是否在预定的空间边界之内；只有当确定客户机设备的当前位置在预定的空间边界之内时，才允许客户机设备接入WLAN。最好，第一设备还起观测关于客户机设备的读数的多个测量点之一的作用。可接收关于多个客户机设备的测量数据，这种情况下，最好对于每个这样的客户机设备进行确定。
接收的测量数据最好利用关联标识符识别客户机设备，并且最好被保存在位于第一设备的数据结构中。当已从每个测量点(或者从一个以上的测量点)收到测量数据时，当在第一设备收集时间间隔到期时，或者当在数据结构中检测到关于客户机设备的新接收的测量数据时，可计算客户机设备的当前位置。
第一设备可关于测量点的测量数据，轮询每个测量点，这种情况下，响应该轮询，接收的测量数据被接收。
每个测量点的测量数据中的读数最好包括客户机设备和测量点的天线部件之间的角度关系的测量结果，关于来自客户机设备的特定发射观测到该角度关系。角度关系的测量可以是关于测量点的相位角，这种情况下，2维空间的计算最好还包括利用测量点的相位角±测量点的容限，或者利用外加180度的测量点的相位角±测量点的容限，确定客户机设备可能位于的第一矢量；利用一个不同的测量点的相位角±该不同测量点的容限值，或者利用外加180度的该不同测量点的相位角±该不同测量点的容限值，确定客户机设备可能位于的第二矢量；和计算第一矢量与第二矢量的交叉区，其中所述交叉区表示2维空间中客户机设备的近似位置。对于3维空间，利用第三测量点的相位角±第三测量点的容限值(并且第一和第二矢量的相位角可不考虑外加180度的可能性)，类似地计算另一(第三)矢量，根据第一、第二和第三矢量计算交叉区，以指示3维空间中客户机设备的近似位置。
第一设备最好在设置时获悉预定的空间边界，这最好包括在训练客户机设备与第一设备中的建立应用程序(set-up application)通信时，围绕空间边界移动训练客户机设备；建立应用程序从这些通信记录训练客户机设备的连续位置；建立应用程序使用所述连续位置规定预定的空间边界。
本发明还可被提供成一种可向客户机提供监视对它们的无线LAN的接入的服务的方法。可按照各种收益模型，例如按次记帐，每月或者其它定期计帐等，提供所述服务。
现在参考


本发明，附图中，相同的附图标记表示相同的部件。

图1描述了根据现有技术的简单无线网络结构中的设备；图2图解说明根据本发明的优选实施例，部署在无线网络中，用于确定客户机设备的位置的多个远程无线传感器和一个基站，这里也称为“测量点”；图3表示试图接入图2的无线网络的数个客户机设备；图4、6和8提供描述可用于实现本发明的优选实施例的逻辑的流程图；图5图解说明根据本发明的优选实施例，位于两个测量点的角度测量如何足以把发射源的空间位置缩小到交叉区；和图7表示对于多个客户机设备，可在基站用于保存来自各个测量点的测量结果的数据结构的一个例子。
具体实施例方式
通过拒绝来自位于规定空间边界之外的无线设备的通信(traffic)，改进无线网络的安全性。通过利用多个定向天线阵列，并计算矢量相交(intersect)于何处，确定所述设备相对于边界的空间位置。提供现有技术的新应用的本发明解决了现有方法的问题。
现有设备中的多个客户机适配器使用全向天线。但是，除了当无线电信号穿过干涉对象，例如墙壁和家具时，无线电信号的显著衰减之外，这些所谓的全向天线的增益模式表现出显著变化，即，它们并不真正是全向的。从而，在接收器得到信号强度不适用于确定到发射器的距离。
通过利用改进的WiFi接入点(也称为“基站”)和至少两个远程无线传感器，它们均加入要保护的WiFi网络，并且最好被部署成等边三角形，本发明克服了现有技术的问题。参见图2，这里，这些设备被称为“测量点”。每个测量点配有能够确定相对于无线电发射源的角度的定向天线。通过使在每个测量点测量的定向矢量相交，本发明确定试图接入网络的设备的空间位置，并把它们分成在规定的边界之内或之外。参见图3，允许在边界之内的设备连接到网络(当然，假定前面说明的同步协议成功完成)，而不允许在边界之外的设备连接到网络。
本发明的优选实施例使用位于每个测量点的天线阵列确定客户机的发射的角方向。“天线阵列”是能够识别无线电信号的方向性的天线部件的任意现有排列(即，测量点的定向天线可以是由阵列中的多个天线部件构成的单个天线，或者单独地不是定向天线、但是当作为阵列一起使用时是定向的多个天线)。在诸如单人房间或者办公楼之类简单的无线网络中，位于每个测量点的两部件阵列足以定义2维边界。对于需要3维空间边界的更复杂排列，每个测量点可采用一个多部件阵列来3维测量接收信号的角度。
当关于指定关联(即关于与基站的指定客户机会话)，从每个测量点收到角度读数时，基站计算客户机相对于规定边界的位置。如果该位置在规定边界之外，那么基站终止所述关联，迫使客户机在能够接收或发送层3数据之前，重新证明自己。下面参考图6更详细地说明了该过程。
每个测量点配有截取来自客户机设备的无线电传输的天线阵列。图4中的逻辑图说明了在测量点的客户机传输的处理。当检测到传输(方框400)时，测量点最好测量信号源和天线阵列之间的角度关系(方框410)，对WiFi分组解码，从而抽取客户机关联标识符(方框420)，查找与所述关联对应的缓冲器中的恰当存储槽(slot)(方框430)，并把角度值保存在该存储槽中(方框440)。可利用恰当的现有技术，例如相位角确定角度关系，它可利用数字信号处理器或者其它恰当的硬件/软件组合来实现。
为了防止基站和其它测量点之间的过多通信开销，以及减少基站的处理负载，测量点最好收集，分类和减少短时期间内，比如说数秒内的瞬时读数。对于在客户机传输中看到的每个独特关联，测量点随后向基站报告关于该关联的一个最新角度。图4中图解说明了该报告过程，方框450测试报告是否被触发(例如，当使用计时器来测量最好较短的报告周期时，方框450包括确定计时器是否popped)。如果是，那么测量点把关于一个或多个关联的保存值传送给基站(方框460)。另一方面，方框450和460的处理可与方框400-440的处理分开(例如，可使用独立的线程来实现报告)。这种情况下，可与接收客户机传输无关地进行报告。
图5描述了两个测量点(均具有能够确定相对于无线电发射源的角度的多个天线部件)的角度测量如何足以把发射源的空间位置缩小到交叉区。根据采用的天线阵列的类型，可能不能知道准确的角度。本发明的优选实施例中的相位角方法能够确定一个矢量(例如矢量a)，这里发射器可位于相对于单个天线阵列某一度数±一定容限(tolerance)的位置(取决于使用的天线阵列，相位角方法可能只能确定发射器位于某一度数±一定容限的位置，或者位于+180度±相同容限的位置)。来自这两个测量点的这些矢量的交叉点形成“交叉区”，该交叉区表示2维空间中发射器的近似位置。
为了确定2维平面边界，例如利用3个测量点，理想情况下测量点被布置成等边三角形，顶点在规定的边界附近。图2和3利用虚线图解说明了圆形边界。本例中，可防止蜂窝电话机和膝上型设备接入网络，因为它们在空间边界之外，但是允许寻呼机接入网络。最好，每个测量点的天线阵列被定向成与另两个测量点的天线阵列大约成60度。
就不太理想的安排来说，空间容限变得不太精确。容限将随着对于天线阵列的角度以及设备之间的角度而变化。在优选实施例中，每个测量点报告它观察的角度，仿佛这些观察的角度是理想的观察角度一样，即具有0容限；但是，每个测得的角度受其天线的容限(即，偏差)影响。在利用大量销售的天线的典型实现中，容限角可能是天线阵列的类型的函数，从而可被定义成当计算客户机定位时，将由基站使用的常数或者可配置值。另一方面，一种实现可允许测量点把它们的容限角传送给基站(如果已知的话)。应注意的是在各个测量点之间，容限角不必是统一的。相反，每个测量点只需要合理的，即不太大，并且基站已知或者基站可获得的容限角即可。
为了确定发射器在3维空间(例如办公楼内的套房)中的位置，优选实施例使用三个测量点，并且使三个矢量相交。如果需要的话，可使用大量的测量点。
远程测量点本身是WiFi客户机，并且每隔较短的时间把它们的测量数据(一系列的角度对关联)传送给基站。对来自远程测量点的传输编码，并使之同步的方法有许多种，本发明的范围并不受特定方法的选择限制。下面将参考图6中的逻辑图说明可使用的一种方法。
当从远程测量点收到测量数据时(方框600)，基站把该数据保存在表格或类似的数据结构中(方框610)。在优选实施例中，基站本身托管另一测量点，从而本地接收的输入(在基站起测量点的作用的情况下，利用图4中的逻辑，本地接收的输入可由基站处理)也被保存在该表格中。(另外，就其观察和报告设备位置的作用来说，另一远程测量点可代替基站，而不会偏离本发明的范围)。最好，表格的各行对应于在一个测量间隔内观察到的客户机关联。第一列包含关联标识符。其它各列对应于每个测量点。参见图7，图7表示了一个例证的表格。在该例证表格700中，关联标识符被保存在列705中，基站本身观察的数据保存在列710中，两个远程测量点(“MP1”和“MP2”)报告的数据分别保存在列715和720中。对于使用三个以上的测量点的实现，可增加另外的列。
返回图6的说明，基站检查是否是处理表格项的时候了(方框620)。如果不是，那么控制返回方框600，等待来自另一测量点的输入。否则，方框630处理该表格，确定每个客户机的位置。方框640比较客户机位置与规定的边界，如果客户机在边界之外，那么终止该关联(方框650)。在任何一种情况下，控制最好返回方框600。
就一方面来说，方框620中的测试是由计时器驱动的。例如，可定义收集时间间隔，当收集时间间隔期满时，随后处理在该时间间隔内收集的表格项。图8中的逻辑图解说明了可实现这一方面的一种方式。当从测量点收到数据时，最好使时间戳记与所述数据相关，既然时间戳记被记录在扩展的图7的表格中(方框610′)。该时间戳记可以是在基站的到达时间，或者在备选实施中，可以是测量点报告的时间戳记(在后一情况下，最好使用可靠的时钟同步算法使各个测量点的时钟同步。时钟同步算法在本领域中众所周知，不构成本发明的发明原理的一部分)。
方框620′包括检查在当前的收集时间间隔内，是否一个以上的测量点(包括基站)已报告数据。收集时间间隔最好是预定常数(或者可配置的参数)，并且应足够小，以致如果客户机是可移动的(例如在车中或者由某人携带)，在该时间间隔内，该客户机不能行进很远。收集时间间隔还应大于或等于测量点使用的报告时间间隔，以致如果测量点在不同的时间报告，那么来自多个测量点的数据将存在于单个收集时间间隔内。从而，如果方框620′中的测试具有否定结果，那么控制返回图6的方框600，在该收集时间间隔内等待来自其它测量点的测量结果。另一方面，当在该收集时间间隔内可从多个测量点获得数据时，方框800查找所有这样数据的位置(并且可从表格中除去陈旧项，或者简单地丢弃在当前时间间隔之外的任意测量结果)，当计算客户机的位置时，在图6的方框630中使用该数据。
在另一方面，方框620中的测试和后续的表格处理逻辑可与方框600中的测量数据的接收分离，从而是否应处理表格的判定与接收新输入数据无关。就这方面的一种方法来说，当计时器期满(它最好与收集时间间隔相符)时，方框620中的测试具有肯定的结果。作为另一种方法，可使用连续循环过程。这种情况下，当测量点报告新数据(并且存在至少一个其它测量)时，方框620中的测试具有肯定的结果。
在另一方面，可使用需求驱动的协议，从而基站定期关于测量点对特定关联的输入，轮询测量点。图6中的逻辑随后可被用于处理来自测量点的响应。在这方面，方框620中的测试最好包括确定每个被轮询的测量点是否已报告其数据。
本发明的主要优点是易于建立。当部署系统时，不需要准确地决定测量点的位置。它们只是以近似相同的角度被布置在规定的边界附近，每个测量点的定向天线瞄准受保护区域的中心。可利用几乎任何人都能理解的非常简单的指令完成建立，即使他们具有很少的(或者不具有)专门技术。
最好，通过在与基站中的建立应用程序通信时，围绕预定的边界携带客户机设备，在建立时获悉规定的边界。在远程报告时间间隔被设置成很小的值的情况下，基站获悉关于测量点的边界的角度坐标，但是不必知道所涉及的实际尺寸(因为它不知道所涉及的距离的比例尺)。在该建立过程中，把报告时间间隔设置成较大或较小的值(和/或改变客户机设备的移动速度)，允许基站获悉不同粒度级下的边界。
现有的试图使用相对信号强度三角测量来定位无线局域网(“WLAN”)客户机的软件方法已为人们所知。作为一个例子，Ekahau公司的定位引擎是一种可用于跟踪WLAN中的设备位置的可从市场上买到的产品。虽然这种产品具有许多优点，但是由于信号衰减和设备发射特性，为了产生高度准确的结果，需要整个覆盖区域的大量测绘(准确结果需要使用其对于测绘中使用的设备的相对特性已知的客户机适配器。即，必须知道以不同的角度，来自附加的或者内装的天线的发射功率或者有效辐射功率，因为该方法依赖于信号强度)。这种方法还需要多个全有线接入点(至少3个)，并且改变被监视区域的内容(例如来回搬动家具)需要重新校准。对于每个内部测绘点，需要使位置坐标与信号强度读数配对。
本发明使用如上详细所述的一种不同方法。它不依赖于信号强度，从而依赖于客户机适配器/天线特性。本发明不受被监视区域的内容(例如家具，墙壁，书籍等)，或者对所述内容的改变的影响。优选实施例中使用的训练过程仅仅包括沿边界行走，而不需要在每次测量时，告诉系统移动设备位于何处。远程传感设备使用WLAN报告读数，于是不需要多个接入点。
已参考本发明的确定移动设备是在空间边界之内还是之外的应用，说明了本发明。但是，这只是用于举例说明，而不是对本发明的限制。这里描述的本发明的技术也可被用于固定设备(包括已变得固定的移动设备)。本发明还可被用于确保一个或多个设备留在规定的空间边界内。例如，利用这里公开的技术，可在办公环境，零售商店，仓库等中实现防窃系统。假定电子设备商店希望防止相对贵重的无线小设备的被盗。设备可被定义成WLAN中的参与者。可产生这些设备的列表，使用这里公开的技术的系统随后能够对该列表上的仍然留在规定边界(例如陈列室或者商品储藏室)内的设备进行测试。如果应该在商店内的某一设备移动到该边界之外，那么基站可启动听得见的警报，或者可向该设备发送一个信号，使其发出它自己的警报，闪光等，而不是拒绝其加入无线网络中(如上参考图6的方框640和650所述)。类似地，按照类似的方式，可监视无线设备在博物馆、贸易展、旅店、办公室或者其它商业场所的持续存在。于是在参观房屋的同时，客人能够使用无线设备，但是被有效地劝阻不要把该无线设备拿出该场所。
所公开的技术的另一种应用是如果无线设备越过规定的边界，那么禁用该无线设备的功能。例如，可定期从基站向无线设备传送加密密钥，允许无线设备对其软件“解锁”，致使所述软件可用。如果无线设备移动到边界之外，那么基站停止传送所述密钥。随后从电气观点来看，该无线设备可继续工作，但是没有密钥会导致软件停止工作。
这些及其它应用都在本发明的范围之内。
可以实施商业的方法的形式提供本发明。例如，商业实体可利用这里公开的技术，提供监视对WLAN的访问的服务。可按照各种收益模型，例如按次记帐，每月或其它定期记帐等，提供这种服务。
虽然参考基于无线电的无线(即WiFi或802.11b)网络说明了优选实施例，不过这只是用于举例说明，而不是对本发明的限制；公开的技术还可应用于其它类型的无线网络。
本领域的技术人员会认识到，可以方法、系统或计算机程序产品的形式提供本发明的实施例。因此，本发明可采取全硬件实施例，全软件实施例(由天线和测量点设备及适配器扩充)，或者组合软件和硬件的实施例的形式。此外，可用计算机程序产品具体体现本发明，计算机程序产品被包含在一个或多个计算机可用存储介质(包括(但不限于)磁盘存储器，CD-ROM，光学存储器等)，所述计算机可用存储介质具有包含于其中的计算机可用程序代码。
已参考根据本发明的方法，设备(系统)及计算机程序产品的流程图和/或方框图说明了本发明。流程图和/或方框图中的每个方框，以及流程图和/或方框图中的方框的组合显然可由计算机程序指令实现。这些计算机程序指令可被提供给通用计算机，专用计算机，嵌入式处理器，或者其它可编程的数据处理设备的处理器产生一台机器，从而指令(所述指令通过计算机或者其它可编程数据处理设备的处理器执行)产生用于实现在流程图和/或方框图的一个或多个方框中规定的功能的装置。
这些计算机程序指令也可保存在一个或多个计算机可读存储器中，每个这种存储器能够指挥计算机或者其它可编程数据处理设备按照特定的方式发挥作用，从而保存在计算机可读存储器中的指令产生一种制造产品，所述制造产品包括实现在流程图和/或方框图的一个或多个方框中规定的功能的指令装置。
计算机程序指令也可被加载到一个或多个计算机或者其它可编程数据处理设备上，使得在所述计算机或其它可编程设备上执行一系列的操作步骤，从而在每个这样的设备上产生计算机实现的过程，以致在该设备上执行的指令提供用于实现在流程图和/或方框图的一个或多个方框中规定的功能的步骤。
虽然说明了本发明的优选实施例，但是一旦本领域的技术人员获悉基本发明原理，他们可想到这些实施例中的其它变化和修改。于是，附加权利要求应被解释成包括优选实施例，以及落入本发明的精神和范围内的所有这种变化和修改。
权利要求
1.一种控制对无线局域网(“WLAN”)的接入的方法，包括下述步骤在WLAN上的第一设备接收来自WLAN上的多个测量点的测量数据，其中每个测量点的测量数据包括关于客户机设备的读数，所述读数由测量点的多个天线部件观测得到，所述天线部件能够确定相对于无线电发射源的角度；第一设备利用接收的测量数据，计算客户机设备的当前位置；第一设备确定客户机设备的当前位置是否在预定的空间边界之内；只有当确定客户机设备的当前位置在预定的空间边界之内时，才允许客户机设备接入WLAN。
2.按照权利要求1所述的方法，其中第一设备还起观测关于客户机设备的读数的多个测量点之一的作用。
3.按照权利要求1所述的方法，其中接收的测量数据利用关联标识符识别客户机设备。
4.按照权利要求1所述的方法，其中来自每个测量点的接收的测量数据被保存在位于第一设备的数据结构中。
5.按照权利要求1所述的方法，其中当从每个测量点收到测量数据时，进行所述计算步骤。
6.按照权利要求1所述的方法，其中当在第一设备处收集时间间隔到期时，进行所述计算步骤。
7.按照权利要求4所述的方法，其中当在数据结构中检测到关于客户机设备的新接收的测量数据时，进行所述计算步骤。
8.按照权利要求1所述的方法，其中当从一个以上的测量点收到测量数据时，进行所述计算步骤。
9.按照权利要求1所述的方法，其中第一设备关于测量点的测量数据轮询每个测量点，其中响应该轮询，接收的测量数据被接收。
10.按照权利要求1所述的方法，其中WLAN是802.11b网络。
11.按照权利要求1所述的方法，其中WLAN使用无线电通信。
12.按照权利要求1所述的方法，其中每个测量点的测量数据中的读数包括客户机设备和测量点的天线部件之间的角度关系的测量，关于来自客户机设备的特定发射观测到该角度关系。
13.按照权利要求12所述的方法，其中角度关系的测量是关于测量点的相位角，其中计算步骤还包括下述步骤利用测量点的相位角±测量点的容限，或者利用外加180度的测量点的相位角±测量点的容限，确定客户机设备可能位于的第一矢量；利用一个不同的测量点的相位角±该不同测量点的容限值，或者利用外加180度的该不同测量点的相位角±该不同测量点的容限值，确定客户机设备可能位于的第二矢量；和计算第一矢量与第二矢量的交叉区，其中所述交叉区表示2维空间中客户机设备的近似位置。
14.按照权利要求12所述的方法，其中角度关系的测量是关于测量点的相位角，其中计算步骤还包括下述步骤利用测量点的相位角±测量点的容限，确定客户机设备可能位于的第一矢量；利用第二测量点的相位角±第二测量点的容限值，确定客户机设备可能位于的第二矢量；利用第三测量点的相位角±第三测量点的容限值，确定客户机设备可能位于的第三矢量；和计算第一、第二和第三矢量的交叉区，其中所述交叉区指示3维空间中客户机设备的近似位置。
15.按照权利要求1所述的方法，其中关于多个客户机设备，在第一设备接收来自测量点的测量数据，其中对每个客户机设备进行计算、确定和允许步骤。
16.按照权利要求1所述的方法，其中第一设备在建立时获悉预定的空间边界，还包括下述步骤在训练客户机设备与第一设备中的建立应用程序通信时，围绕空间边界移动训练客户机设备；建立应用程序从这些通信记录训练客户机设备的连续位置；和建立应用程序使用所述连续位置规定预定的空间边界。
17.一种控制对无线局域网(“WLAN”)的接入的系统，包括在WLAN上的第一设备接收来自WLAN上的多个测量点的测量数据的装置，其中每个测量点的测量数据包括关于客户机设备的读数，所述读数由测量点的多个天线部件观测得到，所述天线部件能够确定相对于无线电发射源的角度；第一设备利用接收的测量数据，计算客户机设备的当前位置的装置；第一设备确定客户机设备的当前位置是否在预定的空间边界之内的装置；只有当确定客户机设备的当前位置在预定的空间边界之内时，才允许客户机设备接入WLAN的装置。
18.按照权利要求17所述的系统，其中第一设备还起观测关于客户机设备的读数的多个测量点之一的作用。
19.按照权利要求17所述的系统，其中接收的测量数据利用关联标识符识别客户机设备，并且其中关于所识别的关联，从每个测量点接收的测量数据被保存在位于第一设备的数据结构中。
20.按照权利要求17所述的系统，其中当从每个测量点接收到测量数据时，计算装置工作。
21.按照权利要求19所述的系统，其中当在数据结构中检测到关于客户机设备的新接收的测量数据时，计算装置工作。
22.按照权利要求17所述的系统，其中第一设备关于测量点的测量数据轮询每个测量点，其中响应该轮询，接收的测量数据被接收。
23.按照权利要求17所述的系统，其中WLAN是802.11b网络。
24.按照权利要求17所述的系统，其中每个测量点的测量数据中的读数包括在客户机设备和测量点的天线部件之间测量的相位角，关于来自客户机设备的特定发射测量该相位角，其中用于计算步骤的装置还包括利用测量点的相位角±测量点的容限，或者利用外加180度的测量点的相位角±测量点的容限，确定客户机设备可能位于的第一矢量的装置；利用第二测量点的相位角±第二测量点的容限值，或者利用外加180度的第二测量点的相位角±第二测量点的容限值，确定客户机设备可能位于的第二矢量的装置；和计算第一矢量与第二矢量的交叉区的装置，其中所述交叉区表示2维空间中客户机设备的近似位置。
25.按照权利要求17所述的系统，其中关于多个客户机设备，在第一设备接收来自测量点的测量数据，其中计算装置、确定装置和允许装置对每个客户机设备工作。
26.按照权利要求17所述的系统，其中第一设备在建立时获悉预定的空间边界，还包括在训练客户机设备与第一设备中的建立应用程序通信时，围绕空间边界移动训练客户机设备的装置；建立应用程序从这些通信记录训练客户机设备的连续位置的装置；和建立应用程序使用所述连续位置规定预定的空间边界的装置。
27.一种控制对无线局域网(“WLAN”)的接入的计算机程序产品，所述计算机程序产品包含在计算环境中的计算系统可读的一个或多个计算机可读介质上，并且包括在WLAN上的第一设备接收来自WLAN上的多个测量点的测量数据的计算机可读程序代码装置，其中每个测量点的测量数据包括关于客户机设备的读数，所述读数由测量点的多个天线部件观测得到，所述天线部件能够确定相对于无线电发射源的角度；第一设备利用接收的测量数据，计算客户机设备的当前位置的计算机可读程序代码装置；第一设备确定客户机设备的当前位置是否在预定的空间边界之内的计算机可读程序代码装置；和只有当确定客户机设备的当前位置在预定的空间边界之内时，才允许客户机设备接入WLAN的计算机可读程序代码装置。
28.按照权利要求27所述的计算机程序产品，其中第一设备还起观测关于客户机设备的读数的多个测量点之一的作用。
29.按照权利要求27所述的计算机程序产品，其中接收的测量数据利用关联标识符识别客户机设备，并且其中关于所识别的关联，从每个测量点接收的测量数据被保存在位于第一设备的数据结构中。
30.按照权利要求27所述的计算机程序产品，其中当在第一设备处收集时间间隔期满时，用于计算的计算机可读程序代码装置工作。
31.按照权利要求27所述的计算机程序产品，其中当从一个以上的测量点接收到测量数据时，用于计算的计算机可读程序代码装置工作。
32.按照权利要求27所述的计算机程序产品，其中第一设备关于测量点的测量数据轮询每个测量点，其中响应该轮询，接收的测量数据被接收。
33.按照权利要求27所述的计算机程序产品，其中WLAN使用无线电通信。
34.按照权利要求27所述的计算机程序产品，其中每个测量点的测量数据中的读数包括客户机设备和测量点的天线部件之间的角度关系的测量，关于来自客户机设备的特定发射观测所述角度关系，其中用于计算的计算机可读程序代码装置还包括利用测量点的角度关系±测量点的容限，或者利用外加180度的测量点的角度关系±测量点的容限，确定客户机设备可能位于的第一矢量的计算机可读程序代码装置；利用第二测量点的角度关系±第二测量点的容限值，或者利用外加180度的第二测量点的角度关系±第二测量点的容限值，确定客户机设备可能位于的第二矢量的计算机可读程序代码装置；利用第三测量点的角度关系±第三测量点的容限值，或者利用外加180度的第三测量点的角度关系±第三测量点的容限值，确定客户机设备可能位于的第三矢量的计算机可读程序代码装置；和计算第一、第二和第三矢量的交叉区的计算机可读程序代码装置，其中所述交叉区指示3维空间中客户机设备的近似位置。
35.按照权利要求27所述的计算机程序产品系统，其中关于多个客户机设备，在第一设备接收来自测量点的测量数据，其中对每个客户机设备，执行用于计算的计算机可读程序代码装置、用于确定的计算机可读程序代码装置和用于允许的计算机可读程序代码装置。
36.按照权利要求27所述的计算机程序产品，其中第一设备在建立时获悉预定的空间边界，还包括下述步骤在训练客户机设备与第一设备中的建立应用程序通信时，围绕空间边界移动训练客户机设备的计算机可读程序代码装置；建立应用程序从这些通信记录训练客户机设备的连续位置的计算机可读程序代码装置；和建立应用程序使用所述连续位置规定预定的空间边界的计算机可读程序代码装置。
37.一种控制对无线局域网(“WLAN”)的接入的方法，包括下述步骤按照权利要求1所述的方法，监视多个客户机设备对WLAN的接入；如果监视步骤确定特定客户机设备的当前位置在预定的空间边界内，那么允许该客户机设备接入WLAN；和收取执行监视和允许步骤的费用。
全文摘要
通过拒绝来自位于规定的空间边界之外的无线设备的通信，改进无线网络的安全性。利用位于多个测量点的定向天线阵列，并计算矢量的交点，确定无线设备相对于边界的空间位置。在这样确定设备的位置之后，如果该设备位于预定的空间边界之外，那么能够拒绝对无线网络的接入。或者，该设备的在空间边界之内或之外的位置可被用于其它用途，例如偷窃探测。
文档编号H04L12/28GK1692608SQ200380100606
公开日2005年11月2日 申请日期2003年12月1日 优先权日2002年12月31日
发明者约翰·汉德, 玛西亚·斯托克顿 申请人:国际商业机器公司