Wlan网络资源访问控制方法及装置制造方法

Wlan网络资源访问控制方法及装置制造方法
【专利摘要】本发明公开了一种WLAN网络资源访问控制方法及装置。该方法包括：步骤1，确定WLAN网络是否已经开启，在确定为是的情况下，对WLAN网络下的一个或多个SSID进行WLAN网络参数配置；步骤2，读取预先设置的WLAN网络下一个或多个SSID所对应的网络资源访问控制信息；步骤3，在判断有无线工作站STA接入WLAN网络下某个SSID的情况下，根据相应的网络资源访问控制信息判断STA所在的SSID是否有权限接入其要访问的网络资源，在确定有权限的情况下，允许STA访问该网络资源，否则，禁止STA访问该网络资源。借助于本发明的技术方案，能够简单快捷的对网络资源访问权限进行控制，有效的保护网络安全。
【专利说明】WLAN网络资源访问控制方法及装置
【技术领域】
[0001]本发明涉及移动通讯领域,特别是涉及一种无线局域网(Wireless Local AreaNetworks，简称为WLAN)网络资源访问控制方法及装置。
【背景技术】
[0002]在现有技术中，信息技术的不断发展，使得网络资源的双刃剑效应日渐凸显。日益严重的来自网络的安全威胁，例如，网络数据窃贼、黑客侵袭、病毒发布，甚至系统内部泄密，已经使信息安全成为各行业信息化建设中的首要问题。
[0003]近几年，网络病毒和攻击数量成倍增长，病毒也由单一型向综合型发展，变种数量庞大、隐藏深、危害严重；日益丰富的网络应用使病毒的传播途径大大增加。
[0004]如果网络信息安全得不到有效保障，企业将面临网络无法正常使用、文件丢失或损毁、生产及管理系统瘫痪、服务器及客户端硬件设备损坏、机密信息和知识产权被盗等多方面的威胁，而这些，都会给企业带来直接的经济损失。
[0005]有关调查显示，国内有近21.8%的行业对网络信息安全没有采取任何管理措施。而在实施了管理的行业中，正确采用网络安全和计算机保护技术的也是屈指可数，治标未治本现象严重。对于更多企业而言，计算机系统本身的不完善和通信设施的脆弱性共同构成了网络安全的潜在威胁，给行业信息的存储和运输带来不可估量的损失。而一些企业采取了逻辑隔离等手段，但因为方案不完整，各种安全技术没有整合，对安全问题了解不充分，导致花费很多，但安全效果不好的情况。
[0006]为了解决上述问题，现有技术中提供了一种网络资源访问控制系统，具体包括:交换机接收客户端请求访问网络资源时发起的登录认证请求并转发，根据接收的针对登录认证请求的访问控制信息，对发起登录认证请求的客户端进行网络资源访问控制；安全服务器接收交换机转发的登录认证请求，对登录认证请求所包含的身份认证信息进行认证，认证通过后根据预先设置的不同身份认证信息对应可访问的安全域及安全域下的网络资源列表，向交换机下发针对该登录认证请求的访问控制信息。
[0007]但上述技术方案存在以下问题:为了实现对网络资源访问控制，需要使用交换机、安全服务器等多种设备，上述设备配置较为复杂，需要较深的专业知识。如果配置不当，可能导致整个网络无法正常工作。

【发明内容】

[0008]本发明提供一种WLAN网络资源访问控制方法及装置，以解决现有技术中网络资源访问控制需要使用多种设备以及设备配置比较复杂的问题。
[0009]本发明提供一种WLAN网络资源访问控制方法，包括:步骤1、确定WLAN网络是否已经开启，在确定为是的情况下，对WLAN网络下的一个或多个服务集标识(Service SetIdentifier，简称为SSID)进行WLAN网络参数配置；步骤2，读取预先设置的WLAN网络下一个或多个SSID所对应的网络资源访问控制信息；步骤3，在判断有无线工作站STA接入WLAN网络下某个SSID的情况下，根据相应的网络资源访问控制信息判断STA所在的SSID是否有权限接入其要访问的网络资源，在确定有权限的情况下，允许STA访问该网络资源，否则，禁止STA访问该网络资源。
[0010]优选地，上述方法还包括:通过设置界面获取用户设置的WLAN网络下一个或多个SSID所对应的网络资源访问控制信息，其中，网络资源访问控制信息为网络资源访问白名
单/黑名单。
[0011]优选地，上述方法还包括:通过设置界面获取用户设置的WLAN网络下一个或多个SSID所对应的MAC地址过滤信息，其中，MAC地址过滤信息为STA的MAC地址白名单/黑名单；步骤2进一步包括:读取预先设置的WLAN网络下一个或多个SSID所对应的MAC地址过滤信息；在执行步骤3之前，上述方法还包括:根据相应的MAC地址过滤信息判断STA是否能够接入SSID，在判断为是的情况下，将STA接入该SSID，并转入步骤3，否则，禁止STA接入该SSID。
[0012]优选地，根据相应的网络资源访问控制信息判断STA是否有权限接入其想访问的网络资源具体包括:获取STA发送的网络资源访问请求；根据网络资源访问请求确定STA要访问的网络资源；根据STA接入的SSID所对应的网络资源访问控制信息判断STA所在的SSID是否有权限接入该网络资源。
[0013]优选地，执行步骤2之后，还包括:判断是否有STA需要接入WLAN网络下的某一SSID，在判断为是的情况下，转入步骤3，在判断为否的情况下，等待预定时间，如果在预定时间内仍然没有STA需要接入WLAN网络下的某一 SSID，则将WLAN网络设置为休眠状态。
[0014]本发明还提供了一种WLAN网络资源访问控制装置，包括:确定模块，用于确定WLAN网络是否已经开启，在确定为是的情况下，对WLAN网络下的一个或多个服务集标识SSID进行WLAN网络参数配置；读取模块，用于读取预先设置的WLAN网络下一个或多个SSID所对应的网络资源访问控制信息；第一处理模块，用于在判断有无线工作站STA接入WLAN网络下某个SSID的情况下，根据相应的网络资源访问控制信息判断STA所在的SSID是否有权限接入其要访问的网络资源，在确定有权限的情况下，允许STA访问该网络资源，否则，禁止STA访问该网络资源。
[0015]优选地，上述装置还包括:第一设置模块，用于通过设置界面获取用户设置的WLAN网络下一个或多个SSID所对应的网络资源访问控制信息，其中，网络资源访问控制信息为网络资源访问白名单/黑名单。
[0016]优选地，上述装置还包括:第二设置模块，用于通过设置界面获取用户设置的WLAN网络下一个或多个SSID所对应的MAC地址过滤信息，其中，MAC地址过滤信息为STA的MAC地址白名单/黑名单；读取模块进一步用于:读取预先设置的WLAN网络下一个或多个SSID所对应的MAC地址过滤信息；装置还包括:第二处理模块，用于根据相应的MAC地址过滤信息判断STA是否能够接入SSID，在判断为是的情况下，将STA接入该SSID，并调用第一处理模块，否则，禁止STA接入该SSID。
[0017]优选地，第一处理模块具体用于:获取STA发送的网络资源访问请求；根据网络资源访问请求确定STA要访问的网络资源；根据STA接入的SSID所对应的网络资源访问控制信息判断STA所在的SSID是否有权限接入该网络资源。
[0018]优选地，上述装置还包括:判断模块，用于判断是否有STA需要接入WLAN网络下的某一 SSID，在判断为是的情况下，调用第一处理模块，在判断为否的情况下，等待预定时间，如果在预定时间内仍然没有STA需要接入WLAN网络下的某一 SSID，则将WLAN网络设置为休眠状态。
[0019]本发明有益效果如下:
[0020]通过根据预先设置的网络资源访问控制信息判断STA是否有权限接入其要访问的网络资源，解决了现有技术中网络资源访问控制需要使用多种设备以及设备配置比较复杂的问题，能够简单快捷的对网络资源访问权限进行控制，有效的保护网络安全；与现有技术相比，本发明实施例的技术方案成本更低廉，操作更简单，更方便用户使用，用户体验极佳。
【专利附图】

【附图说明】
[0021]图1是本发明实施例的WLAN网络资源访问控制方法的流程图；
[0022]图2是本发明实施例的WLAN网络资源访问控制的工作原理示意图；
[0023]图3是本发明实施例的WLAN网络资源访问控制方法的详细处理的流程图；
[0024]图4是本发明实施例的WLAN网络资源访问控制装置的结构示意图；
[0025]图5是本发明实施例的WLAN网络资源访问控制装置的详细结构示意图。
【具体实施方式】
[0026]为了解决现有技术中网络资源访问控制需要使用多种设备以及设备配置比较复杂的问题，本发明提供了一种WLAN网络资源访问控制方法及装置，以下结合附图以及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不限定本发明。
[0027]方法实施例
[0028]根据本发明的实施例，提供了一种WLAN网络资源访问控制方法，图1是本发明实施例的WLAN网络资源访问控制方法的流程图。如图1所示，根据本发明实施例的WLAN网络资源访问控制方法包括如下处理:
[0029]步骤101，确定WLAN网络是否已经开启，在确定为是的情况下，对WLAN网络下的一个或多个SSID进行WLAN网络参数配置；
[0030]具体地，步骤101包括如下处理:
[0031]数据终端开机进行初始化(该数据终端可以是数据卡、无线路由器、甚至是具有无限路由功能的手机)，主控进程读取WLAN网络配置项，并根据WLAN网络配置项判断WLAN网络是否开启；如果WLAN网络没有开启，表示WLAN网络被禁用，客户端无法通过W1-Fi接入该数据终端，结束操作；如果WLAN网络开启，则判断当前WLAN网络是工作在单SSID模式下，还是多SSID模式下；如果WLAN网络工作在单SSID模式下，读取WLAN网络下单SSID的WLAN网络相关参数；如果WLAN网络工作在多SSID模式下，读取WLAN网络下各个SSID分别对应的WLAN网络相关参数。
[0032]通过上述处理，就完成了对WLAN网络的所有配置。
[0033]步骤102，读取预先设置的与WLAN网络下一个或多个SSID对应的网络资源访问控制信息；[0034]在本发明实施例中，可以通过设置界面获取用户设置的WLAN网络下一个或多个SSID所对应的网络资源访问控制信息，其中，网络资源访问控制信息为网络资源访问白名
单/黑名单。
[0035]优选地，在本发明实施例中，还可以通过设置界面获取用户设置的WLAN网络下一个或多个SSID所对应的MAC地址过滤信息，其中，所述MAC地址过滤信息为STA的MAC地
址白名单/黑名单；
[0036]在步骤102中可以进一步执行以下处理:读取预先设置的与所述WLAN网络下一个或多个SSID相对应的MAC地址过滤信息；
[0037]随后，根据相应的MAC地址过滤信息判断STA是否能够接入其要接入的SSID，在判断为是的情况下，将STA接入该SSID，并转入步骤103，否则，禁止STA接入该SSID。
[0038]优选地，在本发明实施例中，执行步骤102之后，还可以包括如下处理:判断是否有STA需要接入WLAN网络下的某一 SSID，在判断为是的情况下，转入步骤103，或者，执行了上述根据MAC地址过滤信息判断STA是否能够接入SSID之后，再转入步骤103 ;在判断为否的情况下，等待预定时间，如果在所述预定时间内仍然没有STA需要接入WLAN网络下的某一 SSID，则将WLAN网络设置为休眠状态。
[0039]步骤103，在判断有STA接入WLAN网络下某个SSID的情况下，根据相应的网络资源访问控制信息判断STA所在的SSID是否有权限接入其要访问的网络资源，在确定有权限的情况下，允许STA访问该网络资源，否则，禁止STA访问该网络资源。
[0040]具体地，在步骤103中，根据相应的网络资源访问控制信息判断STA是否有权限接入其想访问的网络资源具体包括:1、获取STA发送的网络资源访问请求；2、根据网络资源访问请求确定STA要访问的网络资源；3、根据STA接入的SSID所对应的网络资源访问控制信息判断STA所在的SSID是否有权限接入该网络资源。
[0041]以下举例说明上述步骤102和步骤103的具体处理过程:
[0042]首先，数据终端需要读取各个SSID对应的MAC地址过滤信息和网络资源访问控制信息；并判断是否有STA接入某SSID ;等待10分钟，如果仍然没有STA接入，则WLAN网络进入休眠状态；如果10分钟内有STA接入，则根据MAC地址过滤信息判断该STA的MAC地址是否为合法用户；如果该STA的MAC地址不在该SSID的MAC地址过滤信息的白名单中，或者该STA的MAC地址位于该SSID的MAC地址过滤信息的黑名单中，则提示用户“非法用户，接入失败”;如果该STA的MAC地址位于该SSID的MAC地址过滤信息的白名单，或者，该STA的MAC地址不在该SSID的MAC地址过滤信息的黑名单中，则该STA成功接入该SSID。
[0043]随后，接收该STA发起访问网络资源请求，并根据网络资源访问控制信息判断该STA所在的SSID是否有权限访问该网络资源；如果该STA所在的SSID没有权限访问该网络资源，提示用户“权限不足，访问失败”;如果该STA所在的SSID有访问该网络资源的权限，则该STA成功访问对应的网络资源。
[0044]以下结合附图，对本发明实施例的技术方案进行详细的说明。
[0045]图2是本发明实施例的WLAN网络资源访问控制的工作原理示意图，如图2所示，在一个接入点(AP)下，存在有5个SSID，分别是SSIDl (法务部)、SSID2 (预研标准部)、SSID3 (软件测试二部)、SSID4 (软件开发六部)、SSID5 (中移项目部)。AP通过3G/4G网络与Internet连接。[0046]基于图2所示的网络架构，在本发明实施例中，AP (上述数据终端)首先开机进行初始化，主控进程读取WLAN网络配置项，并根据WLAN网络配置项判断WLAN网络是否开启；如果WLAN网络没有开启，表示WLAN网络被禁用，客户端无法通过W1-Fi接入该数据终端，结束操作；如果WLAN网络开启，判断当前WLAN网络是工作在多SSID模式下，则读取WLAN网络下SSIDl (法务部)、SSID2 (预研标准部)、SSID3 (软件测试二部)、SSID4 (软件开发六部)、SSID5 (中移项目部)分别对应的WLAN网络相关参数并进行配置。
[0047]随后，AP需要分别读取SSIDl (法务部)、SSID2 (预研标准部)、SSID3 (软件测试二部)、SSID4 (软件开发六部)、SSID5 (中移项目部)对应的MAC地址过滤信息和网络资源访问控制信息；并判断是否有STA接入某SSID ;假设有STA需要接入SSID3 (软件测试二部)，则根据与SSID3 (软件测试二部)对应的MAC地址过滤信息判断该STA的MAC地址是否为SSID3 (软件测试二部)的合法用户；如果该STA的MAC地址不在SSID3 (软件测试二部)的MAC地址过滤信息的白名单中，或者该STA的MAC地址位于SSID3 (软件测试二部)的MAC地址过滤信息的黑名单中，则提示用户“非法用户，接入失败”;如果该STA的MAC地址位于SSID3 (软件测试二部)的MAC地址过滤信息的白名单，或者，该STA的MAC地址不在SSID3(软件测试二部)的MAC地址过滤信息的黑名单中，则该STA成功接入SSID3 (软件测试二部)。
[0048]随后，接收该STA发起对人力资源系统的访问网络资源请求，并根据网络资源访问控制信息判断SSID3 (软件测试二部)是否有权限访问人力资源系统；如果SSID3 (软件测试二部)没有权限访问人力资源系统，提示用户“权限不足，访问失败”;如果SSID3 (软件测试二部)有访问人力资源系统的权限，则该STA成功访问人力资源系统。
[0049]图3是本发明实施例的WLAN网络资源访问控制方法的详细处理的流程图，如图3所示，根据本发明实施例的WLAN网络资源访问控制方法包括:
[0050]第一步，数据终端开机进行初始化，主控进程读取WLAN网络配置项Wlan_status，判断WLAN网络是否开启，若wlan_status为0FF，表示WLAN网络被禁用，执行第二步；若wlan_status为0N,表示WLAN网络启用，执行第三步；
[0051]第二步，客户端无法通过W1-Fi接入该数据终端，结束操作；
[0052]第三步,数据终端调用函数wlan_detect_unissid_multissid(),该函数用于判断当前 wlan_mode 的值为 unissid,或者 multissid ;如果 wlan_mode 的值为 unissid, WLAN 网络工作在单SSID模式下，执行第四步，如果wlan_mode的值为multissid，则WLAN网络工作在多SSID模式下，执行第五步；
[0053]第四步,数据终端调用函数wlan_unissid_para_conf O ,该函数主要实现单SSID模式下WLAN网络相关参数的设置，例如，国家码、信道、速率、加密方式等，执行第六步；
[0054]第五步，数据终端调用函数wlan_multissid_para_conf O ,该函数主要用于多SSID模式下，各SSID的WLAN网络相关参数设置，例如，国家码、信道、速率、加密方式等，执行第六步；
[0055]第六步,数据终端调用函数wlan_mac_filter_conf O ,该函数主要读取各自SSID对应的黑白名单，用于实现MAC地址过滤功能；
[0056]第七步，数据终端调用函数wlan_nrac_conf_func O，该函数主要读取各自SSID对应的网络资源访问权限，用于控制网络资源访问；[0057]第八步，数据终端调用函数Wlan_Sta_aCCeSS_ap()，该函数主要用于判断是否有STA接入某SSID ;如果预定时间内，没有STA接入，执行第九步，如果预定时间内有STA接入，执行第十步；
[0058]第九步，数据终端调用wlan_ap_sleep_mode O，该函数主要用于控制WLAN网络是否进入休眠状态；
[0059]第十步,数据终端调用函数wlan_mac_fi IterJudge O，该函数主要根据MAC地址判断当前的STA是否为合法用户；如果该STA的MAC地址不在该SSID的白名单，或者该STA的MAC地址位于该SSID的黑名单，执行第十一步；如果该STA的MAC地址位于该SSID的白名单，或者该STA的MAC地址不在该SSID的黑名单，执行第十二步；
[0060]第十一步，提示用户“非法用户，接入失败”；
[0061]第十二步，该STA成功接入该SSID ；
[0062]第十三步，当STA发起网络资源访问请求时，数据终端调用函数wlan_sta_nr_funcO，用于发起网络资源访问请求；
[0063]第十四步,数据终端调用函数wlan_nrac_judge_func O ,该函数主要用于判断该STA所在的SSID是否有权限访问该网络资源；如果该STA所在的SSID没有权限访问该网络资源，执行第十五步；如果该STA所在的SSID有访问该网络资源的权限，执行第十六步；
[0064]第十五步，提示用户“权限不足，访问失败”；
[0065]第十六步，该STA成功访问对应的网络资源。
[0066]综上所述，借助于本发明实施例的技术方案，通过根据预先设置的网络资源访问控制信息判断STA是否有权限接入其要访问的网络资源，解决了现有技术中网络资源访问控制需要使用多种设备以及设备配置比较复杂的问题，能够简单快捷的对网络资源访问权限进行控制，有效的保护网络安全；与现有技术相比，本发明实施例的技术方案成本更低廉，操作更简单，更方便用户使用，用户体验极佳。
[0067]装置实施例
[0068]根据本发明的实施例，提供了一种WLAN网络资源访问控制装置，图4是本发明实施例的WLAN网络资源访问控制装置的结构示意图，如图4所示，根据本发明实施例的WLAN网络资源访问控制装置包括:确定模块40、读取模块42、以及第一处理模块44，以下对本发明实施例的各个模块进行详细的说明。
[0069]确定模块40，用于确定WLAN网络是否已经开启，在确定为是的情况下，对所述WLAN网络下的一个或多个服务集标识SSID进行WLAN网络参数配置；
[0070]具体地，数据终端开机进行初始化(该数据终端可以是数据卡、无线路由器、甚至是具有无限路由功能的手机)，主控进程读取WLAN网络配置项，确定模块40根据WLAN网络配置项判断WLAN网络是否开启；如果WLAN网络没有开启，表示WLAN网络被禁用，客户端无法通过W1-Fi接入该数据终端，结束操作；如果WLAN网络开启，确定模块40则判断当前WLAN网络是工作在单SSID模式下，还是多SSID模式下；如果WLAN网络工作在单SSID模式下，读取WLAN网络下单SSID的WLAN网络相关参数；如果WLAN网络工作在多SSID模式下，读取WLAN网络下各个SSID分别对应的WLAN网络相关参数。
[0071]通过上述处理，就完成了对WLAN网络的所有配置。
[0072]读取模块42，用于读取预先设置的所述WLAN网络下一个或多个SSID所对应的网络资源访问控制信息；
[0073]根据本发明实施例的装置还包括:第一设置模块，用于通过设置界面获取用户设置的WLAN网络下一个或多个SSID所对应的网络资源访问控制信息，其中，网络资源访问控制信息为网络资源访问白名单/黑名单。
[0074]第二设置模块，用于通过设置界面获取用户设置的WLAN网络下一个或多个SSID所对应的MAC地址过滤信息，其中，所述MAC地址过滤信息为STA的MAC地址白名单/黑名单；
[0075]优选地，读取模块42进一步用于:读取预先设置的与所述WLAN网络下一个或多个SSID相对应的MAC地址过滤信息；
[0076]根据本发明实施例的装置还包括:第二处理模块，用于根据相应的MAC地址过滤信息判断STA是否能够接入所述SSID，在判断为是的情况下，将所述STA接入该SSID，并调用所述第一处理模块44，否则，禁止所述STA接入该SSID。
[0077]优选地，根据本发明实施例的装置还包括:判断模块，用于判断是否有STA需要接入所述WLAN网络下的某一 SSID，在判断为是的情况下，调用所述第一处理模块44，或者，在调用第二处理模块之后，再调用所述第一处理模块44 ;在判断为否的情况下，等待预定时间，如果在所述预定时间内仍然没有STA需要接入所述WLAN网络下的某一 SSID，则将所述WLAN网络设置为休眠状态。
[0078]第一处理模块44，用于在判断有无线工作站STA接入所述WLAN网络下某个SSID的情况下，根据相应的网络资源访问控制信息判断所述STA所在的SSID是否有权限接入其要访问的网络资源，在确定有权限的情况下，允许所述STA访问该网络资源，否则，禁止所述STA访问该网络资源。
[0079]具体地，第一处理模块44根据相应的网络资源访问控制信息判断STA是否有权限接入其想访问的网络资源具体包括:1、第一处理模块44获取STA发送的网络资源访问请求；2、第一处理模块44根据网络资源访问请求确定STA要访问的网络资源；3、第一处理模块44根据STA接入的SSID所对应的网络资源访问控制信息判断STA所在的SSID是否有权限接入该网络资源。
[0080]以下举例说明上述读取模块42、判断模块、第一处理模块44、以及第二处理模块的具体处理过程:
[0081]首先，读取模块42需要读取各个SSID对应的MAC地址过滤信息和网络资源访问控制信息；判断模块判断是否有STA接入某SSID ;等待10分钟，如果仍然没有STA接入，则WLAN网络进入休眠状态；如果10分钟内有STA接入，则第二处理模块根据MAC地址过滤信息判断该STA的MAC地址是否为合法用户；如果该STA的MAC地址不在该SSID的MAC地址过滤信息的白名单中，或者该STA的MAC地址位于该SSID的MAC地址过滤信息的黑名单中，则提示用户“非法用户，接入失败”;如果该STA的MAC地址位于该SSID的MAC地址过滤信息的白名单，或者，该STA的MAC地址不在该SSID的MAC地址过滤信息的黑名单中，则该STA成功接入该SSID。
[0082]随后，第一处理模块44接收该STA发起访问网络资源请求，并根据网络资源访问控制信息判断该STA所在的SSID是否有权限访问该网络资源；如果该STA所在的SSID没有权限访问该网络资源，提示用户“权限不足，访问失败”;如果该STA所在的SSID有访问该网络资源的权限，则该STA成功访问对应的网络资源。
[0083]以下结合附图，对本发明实施例的技术方案进行详细的说明。
[0084]图2是本发明实施例的WLAN网络资源访问控制的工作原理示意图，如图2所示，在一个接入点(AP)下，存在有5个SSID，分别是SSIDl (法务部)、SSID2 (预研标准部)、SSID3 (软件测试二部)、SSID4 (软件开发六部)、SSID5 (中移项目部)。AP通过3G/4G网络与Internet连接。
[0085]基于图2所示的网络架构，在本发明实施例中，AP (上述数据终端)首先开机进行初始化，主控进程读取WLAN网络配置项，并根据WLAN网络配置项判断WLAN网络是否开启；如果WLAN网络没有开启，表示WLAN网络被禁用，客户端无法通过W1-Fi接入该数据终端，结束操作；如果WLAN网络开启，判断当前WLAN网络是工作在多SSID模式下，则读取WLAN网络下SSIDl (法务部)、SSID2 (预研标准部)、SSID3 (软件测试二部)、SSID4 (软件开发六部)、SSID5 (中移项目部)分别对应的WLAN网络相关参数并进行配置。
[0086]随后，AP需要分别读取SSIDl (法务部)、SSID2 (预研标准部)、SSID3 (软件测试二部)、SSID4 (软件开发六部)、SSID5 (中移项目部)对应的MAC地址过滤信息和网络资源访问控制信息；并判断是否有STA接入某SSID ;假设有STA需要接入SSID3 (软件测试二部)，则根据与SSID3 (软件测试二部)对应的MAC地址过滤信息判断该STA的MAC地址是否为SSID3 (软件测试二部)的合法用户；如果该STA的MAC地址不在SSID3 (软件测试二部)的MAC地址过滤信息的白名单中，或者该STA的MAC地址位于SSID3 (软件测试二部)的MAC地址过滤信息的黑名单中，则提示用户“非法用户，接入失败”;如果该STA的MAC地址位于SSID3 (软件测试二部)的MAC地址过滤信息的白名单，或者，该STA的MAC地址不在SSID3(软件测试二部)的MAC地址过滤信息的黑名单中，则该STA成功接入SSID3 (软件测试二部)。
[0087]随后，接收该STA发起对人力资源系统的访问网络资源请求，并根据网络资源访问控制信息判断SSID3 (软件测试二部)是否有权限访问人力资源系统；如果SSID3 (软件测试二部)没有权限访问人力资源系统，提示用户“权限不足，访问失败”;如果SSID3 (软件测试二部)有访问人力资源系统的权限，则该STA成功访问人力资源系统。
[0088]图5是本发明实施例的WLAN网络资源访问控制装置的详细结构示意图，如图5所示，根据本发明实施例的WLAN网络资源访问控制装置具体包括:
[0089]网页用户交互(WEB UI)模块、网页服务(Web Server)模块、主控(Main Control)模块、网络连接(Network Connect)模块、4G网络(4G Network)模块、无线网络控制(WLANControl)模块、单SSID参数配置(UniSSID Parameter Conf)模块、多SSID参数配置(MultiSSID Parameter Conf )模块、MAC 过滤配置(MAC Filter Conf )模块、以及网络资源访问控制配置(Network Resource Access Control Conf)模块。
[0090]其中，WEB UI模块为用户与数据终端交互页面，通过该页面用户可以设置网络连接方式、设置其它功能模块相关参数等，例如，设置网络资源访问控制信息和MAC地址过滤信息。
[0091]Web Server模块是WEB UI的后台处理程序，主要用来处理用户提交的各种请求。
[0092]Main Control模块为数据终端主控模块，维护数据终端的一个状态机，综合控制数据终端中的各个模块的运作。[0093]Network Connect模块为网络连接模块，主要控制数据终端工作在4G网络，或有线宽带网络。
[0094]4G Network模块为4G网络连接模块，主要实现4G网络下数据终端联网、断网等功倉泛。
[0095]WLAN Control模块为WLAN控制模块，主要控制WLAN网络相关参数的设置。
[0096]UniSSID Parameter Conf模块为单SSID参数配置模块，用于设置数据终端工作在单SSID模式时WLAN相关参数。
[0097]MultiSSID Parameter Conf模块为多SSID参数配置模块，用于数据终端工作在多SSID模式时WLAN相关参数的设置。
[0098]MAC Filter Conf模块为WLAN网络MAC地址过滤模块，实现WLAN网络黑白名单功能，主要用于禁止或允许指定的MAC地址接入某SSID。
[0099]NRAC Conf模块为WLAN网络资源访问控制模块，主要实现某SSID与网络资源访问权限对应关系。
[0100]图3是本发明实施例的WLAN网络资源访问控制方法的详细处理的流程图，如图3所示，根据本发明实施例的WLAN网络资源访问控制方法包括:
[0101]第一步，数据终端开机进行初始化，Main Control模块读取WLAN网络配置项wlan_status,判断WLAN网络是否开启，若wlan_status为OFF,表示WLAN网络被禁用，执行第二步；若wlan_status为0N,表示WLAN网络启用，执行第三步；
[0102]第二步，客户端无法通过W1-Fi接入该数据终端，结束操作；
[0103]第三步，调用函数wlan_detect_unissid_multissid(),该函数用于判断当前wlan_mode 的值为 unissid,或者 multissid ;如果 wlan_mode 的值为 unissid,WLAN 网络工作在单SSID模式下,执行第四步,如果wlan_mode的值为multissid,则WLAN网络工作在多SSID模式下，执行第五步；
[0104]第四步，UniSSIDParameter Conf 模块调用函数wlan_unissid _para_conf O ,该函数主要实现单SSID模式下WLAN网络相关参数的设置，例如，国家码、信道、速率、加密方式等，执行第六步；
[0105]第五步，MultiSSIDParameter Conf 模块调用函数 wlan_multissid_para_conf ()，该函数主要用于多SSID模式下，各SSID的WLAN网络相关参数设置，例如，国家码、信道、速率、加密方式等，执行第六步；
[0106]第六步,MAC Filter Conf模块调用函数wlan_mac_filter_conf O ,该函数主要读取各自SSID对应的黑白名单，用于实现MAC地址过滤功能；
[0107]第七步，NRAC Conf模块调用函数wlan_nrac_conf_func O ,该函数主要读取各自SSID对应的网络资源访问权限，用于控制网络资源访问；
[0108]第八步,调用函数wlan_sta_access_ap O ,该函数主要用于判断是否有STA接入某SSID ;如果预定时间内，没有STA接入，执行第九步，如果预定时间内有STA接入，执行第
1.1 K
卞少；
[0109]第九步，调用wlan—ap—sleep—mode O，该函数主要用于控制WLAN网络是否进入休眠状态；
[0110]第十步，MACFilter Conf 模块调用函数 wlan—mac—filter—judge O，该函数主要根据MAC地址判断当前的STA是否为合法用户；如果该STA的MAC地址不在该SSID的白名单，或者该STA的MAC地址位于该SSID的黑名单，执行第十一步；如果该STA的MAC地址位于该SSID的白名单，或者该STA的MAC地址不在该SSID的黑名单，执行第十二步；[0111]第十一步，提示用户“非法用户，接入失败”;
[0112]第十二步，该STA成功接入该SSID ;
[0113]第十三步，当STA发起网络资源访问请求时，Main Control模块调用函数wlan_sta_nr_func O ,用于发起网络资源访问请求；
[0114]第十四步,NRAC Conf模块调用函数wlan_nrac_judge_func O ,该函数主要用于判断该STA所在的SSID是否有权限访问该网络资源；如果该STA所在的SSID没有权限访问该网络资源，执行第十五步；如果该STA所在的SSID有访问该网络资源的权限，执行第十六
I K
少；
[0115]第十五步，提示用户“权限不足，访问失败”；
[0116]第十六步，该STA成功访问对应的网络资源。
[0117]综上所述，借助于本发明实施例的技术方案，通过根据预先设置的网络资源访问控制信息判断STA是否有权限接入其要访问的网络资源，解决了现有技术中网络资源访问控制需要使用多种设备以及设备配置比较复杂的问题，能够简单快捷的对网络资源访问权限进行控制，有效的保护网络安全；与现有技术相比，本发明实施例的技术方案成本更低廉，操作更简单，更方便用户使用，用户体验极佳。
[0118]尽管为示例目的，已经公开了本发明的优选实施例，本领域的技术人员将意识到各种改进、增加和取代也是可能的，因此，本发明的范围应当不限于上述实施例。
[0119]应当注意的是，在本发明的控制器的各个部件中，根据其要实现的功能而对其中的部件进行了逻辑划分，但是，本发明不受限于此，可以根据需要对各个部件进行重新划分或者组合，例如，可以将一些部件组合为单个部件，或者可以将一些部件进一步分解为更多的子部件。
[0120]本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP )来实现根据本发明实施例的控制器中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。
[0121]应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
【权利要求】
1.一种无线局域网WLAN网络资源访问控制方法，其特征在于，包括: 步骤1、确定WLAN网络是否已经开启，在确定为是的情况下，对所述WLAN网络下的一个或多个服务集标识SSID进行WLAN网络参数配置； 步骤2，读取预先设置的所述WLAN网络下一个或多个SSID所对应的网络资源访问控制信息； 步骤3，在判断有无线工作站STA接入所述WLAN网络下某个SSID的情况下，根据相应的网络资源访问控制信息判断所述STA所在的SSID是否有权限接入其要访问的网络资源，在确定有权限的情况下，允许所述STA访问该网络资源，否则，禁止所述STA访问该网络资源。
2.如权利要求1所述的方法，其特征在于，所述方法还包括:通过设置界面获取用户设置的所述WLAN网络下一个或多个SSID所对应的网络资源访问控制信息，其中，所述网络资源访问控制信息为网络资源访问白名单/黑名单。
3.如权利要求1所述的方法，其特征在于， 所述方法还包括:通过设置界面获取用户设置的所述WLAN网络下一个或多个SSID所对应的MAC地址过滤信息，其中，所述MAC地址过滤信息为STA的MAC地址白名单/黑名单； 所述步骤2进一步包括: 读取预先设置的所述WLAN 网络下一个或多个SSID所对应的MAC地址过滤信息； 在执行步骤3之前，所述方法还包括: 根据相应的MAC地址过滤信息判断STA是否能够接入所述SSID，在判断为是的情况下，将所述STA接入该SSID，并转入步骤3，否则，禁止所述STA接入该SSID。
4.如权利要求1所述的方法，其特征在于，根据相应的网络资源访问控制信息判断所述STA所在的SSID是否有权限接入其想访问的网络资源具体包括: 获取所述STA发送的网络资源访问请求； 根据所述网络资源访问请求确定所述STA要访问的网络资源； 根据所述STA接入的SSID所对应的网络资源访问控制信息判断所述STA所在的SSID是否有权限接入该网络资源。
5.如权利要求1所述的方法，其特征在于，执行所述步骤2之后，所述方法还包括: 判断是否有STA需要接入所述WLAN网络下的某一 SSID，在判断为是的情况下，转入步骤3，在判断为否的情况下，等待预定时间，如果在所述预定时间内仍然没有STA需要接入所述WLAN网络下的某一 SSID，则将所述WLAN网络设置为休眠状态。
6.一种无线局域网WLAN网络资源访问控制装置，其特征在于，包括: 确定模块，用于确定WLAN网络是否已经开启，在确定为是的情况下，对所述WLAN网络下的一个或多个服务集标识SSID进行WLAN网络参数配置； 读取模块，用于读取预先设置的所述WLAN网络下一个或多个SSID所对应的网络资源访问控制信息； 第一处理模块，用于在判断有无线工作站STA接入所述WLAN网络下某个SSID的情况下，根据相应的网络资源访问控制信息判断所述STA所在的SSID是否有权限接入其要访问的网络资源，在确定有权限的情况下，允许所述STA访问该网络资源，否则，禁止所述STA访问该网络资源。
7.如权利要求6所述的装置，其特征在于，所述装置还包括: 第一设置模块，用于通过设置界面获取用户设置的所述WLAN网络下一个或多个SSID所对应的网络资源访问控制信息，其中，所述网络资源访问控制信息为网络资源访问白名单/黑名单。
8.如权利要求6所述的装置，其特征在于， 所述装置还包括:第二设置模块，用于通过设置界面获取用户设置的所述WLAN网络下一个或多个SSID所对应的MAC地址过滤信息，其中，所述MAC地址过滤信息为STA的MAC地址白名单/黑名单； 所述读取模块进一步用于:读取预先设置的所述WLAN网络下一个或多个SSID所对应的MAC地址过滤信息； 所述装置还包括:第二处理模块，用于根据相应的MAC地址过滤信息判断STA是否能够接入所述SSID，在判断为是的情况下，将所述STA接入该SSID，并调用所述第一处理模块，否则，禁止所述STA接入该SSID。
9.如权利要求6所述的装置，其特征在于，所述第一处理模块具体用于: 获取所述STA发送的网络资源访问请求； 根据所述网络资源访问请求确定所述STA要访问的网络资源； 根据所述STA接入的SSID所对应的网络资源访问控制信息判断所述STA所在的SSID是否有权限接入该网络资源。
10.如权利要求6所述的装置，其特征在于，所述装置还包括: 判断模块，用于判断是否有STA需要接入所述WLAN网络下的某一 SSID，在判断为是的情况下，调用所述第一处理模块，在判断为否的情况下，等待预定时间，如果在所述预定时间内仍然没有STA需要接入所述WLAN网络下的某一 SSID，则将所述WLAN网络设置为休眠状态。
【文档编号】H04L29/06GK103685134SQ201210313845
【公开日】2014年3月26日 申请日期:2012年8月30日 优先权日:2012年8月30日
【发明者】潘万鹏, 朱剑英 申请人:中兴通讯股份有限公司