用于控制无线网络访问的方法和装置与流程

本发明涉及通信技术领域，尤其涉及用于控制无线网络访问的方法和装置。

背景技术：

出于安全等的目的，可能希望控制某些用户对特定无线网络的访问。例如，在企业环境中，可能希望控制企业访客对企业无线网络的访问；在家庭环境中，可能希望控制孩子对家庭无线网络的访问；在工业控制环境中，可能希望在某些情况下限制生产设备与无线网络的连接；在培训环境中，可能希望控制学生对培训环境中的无线网络的访问，进而限制培训设备与无线网络的连接等。

目前，对无线网络的访问控制一般通过认证方式来实现，例如，针对无线局域网(wirelesslocalareanetwork，wlan)可以采用wi-fi保护访问2(wi-fiprotectedaccess2，wpa2)方式来实现访问控制。具体而言，用户在希望访问无线网络时需要提供相应的密码或密钥，在由服务器对密码或密钥进行认证之后，该用户可以对该网络进行访问。或者进一步地，该密码或密钥可以是在某一时间段内有效的，或者其可以是通过短消息服务发送给该用户。

然而，现有的这种方式并不能达到理想的访问控制目的。例如，如果访问无线网络的密码或者密钥遭到泄露或者传播，那么就无法达到网络访问控制的目的。比如，在上述例子的场景下，孩子在获知家庭无线网络的密码或密钥之后，可以在没有父母监管的情况下而访问家庭无线网络。因此，需要改进的网络访问控制方案。

技术实现要素：

考虑到现有技术的上述问题，本发明的实施例提供了用于控制无线网络访问的方法和装置，能够实现更为灵活且有效的网络访问控制目的。

根据本发明实施例的一种用于控制无线网络访问的方法，包括：获取至少一个第二无线网络的关联信息，所述关联信息用于指示当前连接到所述至少一个第二无线网络的用户设备；基于所述关联信息，确定是否满足 控制条件，所述控制条件包括指定用户设备已经连接到所述至少一个第二无线网络；以及基于是否满足所述控制条件的确定结果，控制第一用户设备与第一无线网络之间的连接。

其中，所述获取所述至少一个第二无线网络的关联信息包括：从公共存储资源读取由所述至少一个第二无线网络存储的所述关联信息。

其中，所述获取所述至少一个第二无线网络的关联信息包括：获取所述关联信息，其中所述关联信息是从所述至少一个第二无线网络接收的。

其中，所述控制所述第一用户设备与所述第一无线网络之间的连接包括：准许所述第一用户设备与所述第一无线网络之间的连接；或者拒绝所述第一用户设备与所述第一无线网络之间的连接。

其中，所述准许所述第一用户设备与所述第一无线网络之间的连接包括以下各项操作中的至少一项：激活所述第一无线网络；或者启用所述第一无线网络的白名单，所述白名单包括所述第一用户设备，其中所述白名单所包括的用户设备对所述第一无线网络具有访问权限。

其中，所述拒绝所述第一用户设备与所述第一无线网络之间的连接包括以下各项操作中的至少一项：去激活所述第一无线网络；或者启用所述第一无线网络的黑名单，其中所述黑名单包括所述第一用户设备，其中，所述黑名单所包括的用户设备对所述第一无线网络不具有访问权限。

根据本发明实施例的一种用于控制无线网络访问的装置，包括：获取模块，用于获取至少一个第二无线网络的关联信息，所述关联信息用于指示当前连接到所述至少一个第二无线网络的用户设备；判断模块，用于基于所述关联信息，确定是否满足控制条件，所述控制条件包括指定用户设备已经连接到所述至少一个第二无线网络；以及控制模块，用于基于所述判断模块关于是否满足所述控制条件的确定结果，控制第一用户设备与第一无线网络之间的连接。

其中，所述获取模块进一步用于：从公共存储资源读取由所述至少一个第二无线网络存储的所述关联信息。

其中，所述获取模块进一步用于：获取所述关联信息，其中所述关联信息是从所述至少一个第二无线网络接收的。

其中，所述控制模块进一步用于：准许所述第一用户设备与所述第一 无线网络之间的连接；或者拒绝所述第一用户设备与所述第一无线网络之间的连接。

其中，用于准许所述第一用户设备与所述第一无线网络之间的连接的所述控制模块进一步用于执行以下各项操作中的至少一项：激活所述第一无线网络；或者启用所述第一无线网络的白名单，所述白名单包括所述第一用户设备，其中所述白名单所包括的用户设备对所述第一无线网络具有访问权限。

其中，用于拒绝所述第一用户设备与所述第一无线网络之间的连接的所述控制模块进一步用于执行以下各项操作中的至少一项：去激活所述第一无线网络；或者启用所述第一无线网络的黑名单，其中所述黑名单包括所述第一用户设备，其中，所述黑名单所包括的用户设备对所述第一无线网络不具有访问权限。

从上述可以看出，本发明实施例提供了一种新的网络访问控制方案，与现有技术中涉及密码的认证方式相比，能够更为灵活而且更为有效地实现网络访问控制目的，从而防止不受监管的网络访问。另外，本发明实施例所提供的技术方案无需对网络硬件进行额外修改，也不需要增加额外的网络设备，因此成本低且容易实现。

附图说明

本发明的其它特征、特点、优点和益处通过以下结合附图的详细描述将变得更加显而易见。

图1a是可应用本发明实施例的场景的一个例子的示意图。

图1b是可应用本发明实施例的场景的另一例子的示意图。

图1c是可应用本发明实施例的场景的另一例子的示意图。

图2是根据本发明一个实施例的用于控制无线网络访问的方法的示意性流程图。

图3是根据本发明一个实施例的用于控制无线网络访问的装置的示意图。

图4是根据本发明一个实施例的用于控制无线网络访问的装置的示意图。

具体实施方式

已知的是，接入点(accesspoint，ap)可以被配置为提供多个虚拟无线网络。例如，单个ap可以被配置为提供一个或多个虚拟无线网络，多个ap可以被配置为多个虚拟无线网络或者共同提供一个虚拟无线网络。可以为多个虚拟无线网络分别设置不同的网络标识符。例如，在ieee802.11标准中，这样的网络标识符可以称为扩展服务集标识符(extendedservicesetidentifier，essid)。那么，不同的用户设备可以基于essid来选择相应的虚拟无线网络进行接入，从而进行网络访问。本发明实施例所提供的技术方案正是基于这样的前提。

首先，通过例子来说明本发明实施例可应用的场景。应注意，以下例子只是为了帮助本领域技术人员更好地理解本发明实施例，而非限制本发明实施例的范围。

图1a是可应用本发明实施例的场景的一个例子的示意图。例如，图1a所示的场景可以是家庭网络环境。该场景可以包括ap110a以及有线骨干网，其中ap110a可以连接到有线骨干网，由此ap110可以提供网络访问服务。

在图1a的例子中，假设ap110a可以被配置为支持虚拟无线网络120a-1和120a-2。虚拟无线网络120a-1和120a-2可以分别具有不同的essid。

各个用户设备可以基于essid来选择相应的虚拟无线网络，向ap110a发起关联请求。ap110a在接收到关联请求后，可以对关联请求进行认证等，在认证通过后接受用户设备的请求。由此，用户设备就接入该相应的虚拟无线网络。

例如，在图1a的例子中，用户设备130a-1可以接入无线网络120a-1进行网络访问，而用户设备130a-2和130a-3可以接入无线网络120a-2进行网络访问。

应当理解的是，为了便于描述，在图1a示出一个ap提供两个虚拟无线网络。而实际情况中通常可能存在多个ap。如上所述，多个ap可以被配置为提供多个虚拟无线网络或者共同提供一个虚拟无线网络。在某些较小型的网络中，这些ap本身均具有对用户设备的关联请求等的相关处理能力(例如，认证等)，而且它们之间可以通过有线或者无线的方式相互通信， 以便交换与通信处理相关的信息。此外，这些ap还可以通过访问公共的网络存储资源来实现与通信处理相关的信息的交互。

在大型网络情况下，为了便于管理，通常设置有一个或多个ap控制器。每个ap控制器可以管理多个ap。在这种情况下，对用户设备的关联请求等的处理功能可以由ap控制器来实现，而ap本身可以不需要具备这样的能力。因此，ap在接收到用户设备的关联请求之后，可以将关联请求转发给ap控制器进行处理。另外，在存在ap控制器的情况下，ap之间也可以不进行相互通信，它们可以将与通信处理相关的信息上报给ap控制器，由ap控制器进行统一管理。

下面将通过例子来说明这样的场景。应当理解的是，为了便于描述，在图1b和图1c中以两个ap为例来进行说明。

图1b是可应用本发明实施例的场景的另一例子的示意图。例如，图1b所示的场景可以是企业网络环境等。如图1b所示，该场景可以包括两个ap，即ap110b和ap110c。ap110b和ap110c均可以连接到有线骨干网(图中未示出)，从而可以提供网络访问服务。

在图1b的例子中，假设ap110b和ap110c可以被配置为提供三个虚拟无线网络120b-1、120b-2和120b-3。如图1b所示，虚拟无线网络120b-2可以由ap110b和ap110c共同提供，虚拟无线网络120b-1可以由ap110b提供，而虚拟无线网络120b-3可以由ap110c提供。其中，这三个虚拟无线网络可以分别具有不同的essid。

各个用户设备可以基于essid来选择相应的虚拟无线网络，然后向提供该虚拟无线网络的ap发起关联请求。在从用户设备接收到关联请求之后，ap可以进行认证等处理，在认证通过之后，ap可以与用户设备相关联，从而通过相应的虚拟无线网络来为该用户设备提供网络访问服务。

例如，在图1b中，用户设备130b-1可以接入无线网络120b-1进行网络访问，用户设备130b-2和130b-3可以接入无线网络120b-2进行网络访问，而用户设备130b-4可以接入无线网络120b-3进行网络访问。

在图1b中所示的场景，假设不存在ap控制器，ap110b与ap110c之间可以相互通信，从而交互与通信处理相关的各种信息。

在另一种实现方式中，ap110b和ap110c可以访问公共的网络存储 资源。ap110b和ap110c可以将与通信处理相关的各种信息存储在公共的网络存储资源上，从而在ap110b和ap110c之间实现信息的共享。

图1c是可应用本发明实施例的场景的另一例子的示意图。例如，图1c所示的场景可以是企业网络环境、工业控制环境或者培训环境等。如图1c所示，该场景可以包括两个ap，即ap110d和ap110e。ap110d和ap110e均可以连接到有线骨干网(图中未示出)，从而可以提供网络访问服务。

在图1c中，仍然假设ap110d和ap110e可以被配置为提供三个虚拟无线网络120c-1、120c-2和120c-3。如图1c所示，虚拟无线网络120c-2可以由ap110d和ap110e共同提供，虚拟无线网络120c-1可以由ap110d提供，而虚拟无线网络120c-3可以由ap110e提供。其中，这三个虚拟无线网络可以分别具有不同的essid。

用户设备可以根据essid选择相应的虚拟无线网络进行接入。例如，在图1c中，用户设备130c-1可以连接到无线网络120c-1，用户设备130c-2和130c-3可以连接到无线网络120c-2，而用户设备130c-4可以连接到无线网络120c-3。

与图1b的场景不同的是，图1c所示的场景中还可以包括ap控制器140。ap控制器140可以对ap110d和ap110e进行管理。在这种情况下，对关联请求的处理能力(例如，认证等)可以由ap控制器140来实现，而apap110d和ap110e本身可以不需要具备这样的能力。例如，用户设备130c-1向提供虚拟无线网络120c-1的ap110d发起的关联请求可以由该ap转发给ap控制器140。然后，ap控制器140对该关联请求进行认证等处理，在认证通过后准许该用户设备130c-1与ap110d关联，从而使得该用户设备接入虚拟无线网络120c-1。

另外，由于存在ap控制器140，ap110d和ap110e之间可以无需相互通信。ap110d和ap110e可以将与通信处理有关的信息均上报给ap控制器140，从而由ap控制器140进行统一处理。

应当理解的是，在上述图1a、图1b和图1c中示出的ap数量及其支持虚拟无线网络的数量以及用户设备的数量仅是示例性的。本发明实施例中，可以存在更多或者更少的ap、ap控制器、虚拟无线网络以及用户设 备。

出于安全等目的，可能需要控制特定用户对无线网络的访问。例如，假设图1a所示的场景是家庭网络环境，用户设备130a-1可以由孩子所使用，而用户设备130a-2可以由父母所使用。父母可能希望控制孩子对家庭无线网络的使用，例如，父母希望有父母在场时，孩子才能使用用户设备130a-1进行网络访问。因此，需要控制用户设备130a-1对该家庭无线网络的访问。

再例如，假设图1b所示的场景是企业网络环境，无线网络120b-1、120b-2和120b-3中的一个或两个可以由企业员工使用，而剩余的无线网络可以由访客使用。比如，无线网络120b-2可以由企业员工使用，而无线网络120b-1和120b-3可以由访客使用。或者，无线网络120b-2和120b-3可以由企业员工使用，而无线网络120b-1可以由访客使用。同样可能出于安全等目的，希望控制访客对企业无线网络的访问。比如，需要控制访客的用户设备130b-1对无线网络120b-1的访问。

再例如，假设图1c所示的场景是工业控制环境，其中无线网络120c-2用于连接各个生产设备130c-2和130c-3，而无线网络120c-1和120c-3可以由资深人员或者监督人员使用。此时，可能希望在资深人员或者监督人员在场的情况下，准许生产设备130c-2和130c-3与无线网络120c-2之间的连接，进而允许普通操作人员对这些生产设备进行操作。

再例如，假设图1c所示的场景是培训环境，其中，无线网络120c-2和120c-3可以由学生使用，而无线网络120b-1可以由指导人员使用。同样可能出于安全等目的，希望在指导人员在场的情况下，学生才能使用无线网络120c-2或120c-3，或者进而使用连接到无线网络120c-2或120c-3的设备130c-2至130c-4中的任一个。

那么，对于上述这些问题，本发明实施例提供了有效的解决方案。在下文中，将结合图2详细描述本发明实施例。

图2是根据本发明一个实施例的用于控制无线网络访问的方法的示意性流程图。图2的方法可以由ap执行，也可以由ap控制器(如上所述，如果存在ap控制器的话)来执行。例如，该方法可以由图1a中的ap110a或者图1b中的ap110b、ap110c、或者图1c中的ap控制器140来执行。

如图2所示，在步骤210中，获取至少一个第二无线网络的关联信息，该关联信息用于指示当前连接到至少一个第二无线网络的用户设备。

在步骤220中，基于该关联信息，确定是否满足控制条件，所述控制条件包括指定用户设备已经连接到至少一个第二无线网络。

在步骤230中，基于是否满足所述控制条件的确定结果，控制第一用户设备与第一无线网络之间的连接。

此处，第一无线网络和至少一个第二无线网络可以是ap所支持的虚拟无线网络。第一无线网络和至少一个第二无线网络可以由相同的ap提供，也可以分别由不同的ap提供。第一无线网络和至少一个第二无线网络中的每个无线网络均可以由一个或多个ap提供。例如，第一无线网络可以是由单个ap提供的网络，也可以是由多个ap共同提供的网络；每个第二无线网络可以是由单个ap提供的网络，也可以是由多个ap共同提供的网络。本发明实施例对此不作限定。另外，第一无线网络和至少一个第二无线网络可以属于同一物理网络，也可以属于不同的物理网络。

在上述步骤210中，获取至少一个第二无线网络的关联信息可以通过多种方式来实现。

在一种实现方式中，在步骤210中，可以从公共存储资源读取由所述至少一个第二无线网络存储的关联信息。该公共存储资源是第一无线网络和至少一个第二无线网络能够共同访问的。例如，提供第二无线网络的ap可以将其关联信息存储在公共存储资源，这样，提供第一无线网络的ap就能够获知当前连接到至少一个第二无线网络的用户设备。在另一实现方式中，上述关联信息可以是从至少一个第二无线网络接收的。该关联信息可以是预先从至少一个第二无线网络接收的，例如，在步骤210之前，ap控制器或者提供第一无线网络的ap可以从至少一个第二无线网络接收关联信息，然后将该关联信息存储在本地。这样，在第一用户设备请求访问第一无线网络时，ap控制器或者提供第一无线网络的ap可以从本地读取该关联信息。此外，该关联信息也可以是在需要判断是否满足控制条件时从至少一个第二无线网络接收的。

在步骤230中，控制第一用户设备与第一无线网络之间的连接可以包括准许第一用户设备与第一无线网络之间的连接，或者拒绝第一用户设备 与第一无线网络之间的连接。

在一种实现方式中，准许第一用户设备与第一无线网络之间的连接可以包括以下各项中的至少一项：激活第一无线网络；或者启用第一无线网络的白名单(whitelist)，白名单包括第一用户设备，其中白名单所包括的用户设备对第一无线网络具有访问权限。例如，白名单中可以包含具有访问权限的用户设备的介质访问控制标识符(mediaaccesscontrolidentifier，macid)。这样，通过第一用户设备的macid便可以确定第一用户设备是否在第一无线网络的白名单中。

在另一实现方式中，拒绝第一用户设备与第一无线网络之间的连接可以包括以下各项中的至少一项：去激活第一无线网络；或者启用第一无线网络的黑名单(blacklist)，其中黑名单包括第一用户设备，其中，黑名单所包括的用户设备对第一无线网络不具有访问权限。例如，黑名单可以包括不具有访问权限的用户设备的macid。

在某些情况下，激活/去激活第一无线网络这种方式相比启用白名单/黑名单的方式而言更容易实现。这是因为，白名单/黑名单的设定可能需要预先知道用户设备的macid。然而，对于可能存在大量潜在用户设备的情况下，难以获取其macid。

另外，应当理解的是，是否满足控制条件的确定结果与控制第一用户设备与第一无线网络之间的连接的操作的关系可以根据实际情况来设定。例如，在确定满足控制条件的情况下，可以准许或者拒绝第一用户设备与第一无线网络之间的连接；在确定不满足控制条件的情况下，可以准许或者拒绝第一用户设备与第一无线网络之间的连接。本发明实施例对此并不限定。

由此，还可以理解的是，上述控制步骤可以简单地表示为：如果<控制条件>满足，则执行<控制操作>。其中，控制操作可以包括以下各项中的至少一项：激活第一无线网络；去激活第一无线网络；启用第一无线网络的白名单；启用第一无线网络的黑名单。

其中，控制条件可以是根据实际需要而预先设定的，并且可以存储在ap或者ap控制器上。该条件也可以理解为指定用户设备已经与提供至少一个第二无线网络的ap关联。此处，指定用户设备的数量可以大于等于一。

该控制条件实际上可以理解为包括一个或多个子条件。每个子条件可以表示为“用户设备组关联到ap组”。用户设备组可以是一个用户设备，也可以是由和(and)、或(or)、异或(xor)、非(not)等逻辑关系定义的多个用户设备。ap组可以是单个ap、或由某一特定essid指定的一组ap、或者由其各自的macid指定的一组ap等。此外，多个子条件之间的关系可以是和、或、异或、非等逻辑关系。

此外，第一无线网络可以与第二无线网络之间共享控制条件。也就是说，各个ap之间可以共享控制条件，从而实现期望的系统行为。

从上述可以看出，由于控制条件和控制操作均可以根据实际需求灵活地设定，因此能够灵活地实现网络访问控制目的。

为了帮助本领域技术人员更好地理解本发明实施例，下面将结合图1a的例子来详细描述本发明实施例的实现过程。

假设图1a所示的场景是家庭网络环境。ap110a提供的无线网络120a-2具有essid“主网络”，无线网络120a-1具有essid“孩子网络”。可以针对这两个网络分别配置不同的wpa密码。在该场景中，假设父母使用用户设备130a-2或者130a-3，而孩子使用用户设备130a-1。其中，父母的用户设备130a-2或者130a-3默认连接到“主网络”。

假设控制条件被预先设定为父母的用户设备130a-2和130a-3中的至少一个连接到无线网络120a-2，并且预先设定当控制条件满足时，准许孩子的用户设备130a-1连接到“孩子网络”。例如，该关系可以表示为：如果<用户设备130a-2的macid>或者<用户设备130a-3的macid>关联到“主网络”，则激活“孩子网络”。

那么，当确定用户设备130a-2或者130a-3中的至少一个已经连接到“主网络”时，可以激活“孩子网络”。此时，孩子可以通过输入“孩子网络”的wpa密码，使得其用户设备130a-1接入“孩子网络”。

由此可以看出，当父母其中一人在家时，“孩子网络”将是活动的，从而为孩子的用户设备130a-1提供网络访问服务。然而，如果父母均离开家庭网络的覆盖范围，也就是说，用户设备130a-2和130a-3均没有连接到“主网络”时，“孩子网络”将被去激活。此时“主网络”仍是活动的。而一旦父母中的至少一人返回到家中，“孩子网络”将被再次激活，由此孩子 可以再次通过用户设备130a-1使用“孩子网络”。

可见，通过该技术方案，能够简单且有效地实现父母对孩子使用家庭网络的控制，从而防止非监管的网络访问。

再例如，假设图1b所示的场景是企业网络环境，其中，无线网络120b-2可以由企业员工使用，而无线网络120b-1和120b-3可以由访客使用。控制条件可以被设定为员工的用户设备130b-2和130b-2连接到无线网络120b-2，并且假设当满足控制条件时，准许访客的用户设备连接到第一无线网络。这样，当访客的用户设备130b-1访问无线网络120b-1时，或者当访客的用户设备130b-4访问无线网络120b-3时，企业员工可以对此进行监管。

再例如，在培训环境下，利用本发明实施例提供的技术方案，可以使得学生在老师或者指导人在场的情况下对该环境下进行无线网络访问；在工厂环境中，可以使得在监督者在场的情况下准许生产设备与无线网络的连接，由此操作人员可以在监督者监管的情况下对生产设备进行操作；等等。

通过上述描述可以看出，本发明实施例提供了一种新的网络访问控制方案，与现有技术中涉及密码的认证方式相比，能够更为灵活而且更为有效地防止不受监管的网络访问。另外，本发明实施例所提供的技术方案无需对网络硬件进行额外修改，也不需要增加额外的网络设备，因此成本低且容易实现。

现在参照图3，其是根据本发明一个实施例的用于控制无线网络访问的装置的示意图。图3所示的装置300可以利用软件、硬件(例如集成电路或dsp等)或软硬件结合的方式来实现。图3的装置300的一个例子可以是上述图1a中的ap110a或者图1b中的ap110b、ap110c、或者图1c中的ap控制器140。

如图3所示，装置300包括获取模块310、判断模块320和控制模块330。获取模块310用于获取至少一个第二无线网络的关联信息，关联信息用于指示当前连接到至少一个第二无线网络的用户设备。判断模块320用于基于关联信息，确定是否满足控制条件，控制条件包括指定用户设备已经连接到至少一个第二无线网络。控制模块330用于基于判断模块320关 于是否满足控制条件的确定结果，控制第一用户设备与第一无线网络之间的连接。

在一种实现方式中，获取模块310进一步用于从公共存储资源读取由至少一个第二无线网络存储的关联信息。

在另一实现方式中，获取模块310进一步用于获取关联信息，其中关联信息是从至少一个第二无线网络接收的。

在另一实现方式中，控制模块330进一步用于准许第一用户设备与第一无线网络之间的连接；或者拒绝第一用户设备与第一无线网络之间的连接。

在另一实现方式中，为了准许第一用户设备与第一无线网络之间的连接，控制模块330进一步用于执行以下各项操作中的至少一项：激活第一无线网络；或者启用第一无线网络的白名单，白名单包括第一用户设备，其中白名单所包括的用户设备对第一无线网络具有访问权限。

在另一实现方式中，为了拒绝第一用户设备与第一无线网络之间的连接，控制模块330进一步用于执行以下各项操作中的至少一项：去激活第一无线网络；或者启用第一无线网络的黑名单，其中黑名单包括第一用户设备，其中，黑名单所包括的用户设备对第一无线网络不具有访问权限。

现在参见图4，其是根据本发明一个实施例的用于控制无线网络访问的装置的示意图。如图4所示，装置400可以包括用于存储可执行指令的存储器410和与存储器410连接的处理器420，其中，处理器420可以执行前述装置300的各个模块所执行的操作。

本发明实施例还提供一种机器可读介质，其上存储可执行指令，当该可执行指令被执行时，使得机器实现处理器420的操作。

上文通过附图和优选实施例对本发明进行了详细展示和说明，然而本发明不限于这些已揭示的实施例，本领域技术人员从中推导出来的其它方案也在本发明的保护范围之内。