专利名称::Wlan中访问网络权限的控制方法和系统的制作方法
技术领域:
:本发明涉及通讯
技术领域:
,尤其涉及一种WLAN中访问网络权限的控制方法和系统。
背景技术:
:现有技术中的一种常见的网络控制的场景中,需要对来访人员和正式员工在不同地点访问网络的权限进行控制。例如对于7>司内的来访人员,希望控制来访人员只能在接待室内访问外部Internet网络,不能访问公司内部网络;且来访人员无法在接待室外的办公区访问任何网络。对于公司内的正式员工,希望控制正式员工在办公区可以访问内部网络中的资源,但不能访问外部Internet网络。通过上述控制,减少网络安全的风险。现有技术中,通常使用有线设备如交换机、路由器等作为接入设备,将接入设备部署在不同的区域,预先在接入设备配置,对接入设备上的不同接入端口进行权限分配,由此对位于不用地点的通过不同接入端口连接到接入设备的用户终端访问网络的权限进行控制。现有技术中存在的问题在于,有线设备和网络的部署复杂,且还可能存在网口的私接问题,无法真正控制不同用户接入网络的位置和权限;且接入设备需要支持专用功能,增加了使用成本。另外,随着WLAN(WirelessLocalAreaNetwork,无线局域网)的普及,越来越多的用户使用WLAN上网、办公,使用基于有线设备的控制方法已经不能满足网络控制的需要。
发明内容本发明提供一种WLAN中访问网络权限的控制方法和系统,用于在WLAN中根据用户终端的身份和所在的地点,对用户终端访问网络的权限进行控制。本发明提供了一种无线局域网WLAN中访问网络权限的控制方法,应用于包括终端、定位服务功能实体、策略服务功能实体以及多个AP的WLAN中,所述终端通过所述多个AP中的一接入AP接入所述WLAN,所述方法包括所述定位服务功能实体获取终端对多个AP的发射信号进行测量得到的无线信号强度信息RSSI;所述定位功能服务实体将所述多个AP以及对应的RSSI与预设的位置信息数据进行匹配,确定所述终端的物理位置并通知所述策略服务功能实体;所述策略服务功能实体根据所述终端的物理位置,从预设的权限与位置信息对应关系中,获取所述终端的权限;所述策略服务功能实体将与所述终端的权限对应的控制策略发送到所述终端的接入AP,对所述终端访问网络的权限进行控制。其中,所述定位功能服务实体中预设的位置信息数据具体为在WLAN覆盖的区域中,按照预设的采样位置,在各个采样位置放置终端对多个AP的发射信号进行测量,得到每个AP对应的RSSI;根据所述测量结果,对于每个AP,记录所述区域中从各个釆样位置对所述AP的发射信号进行测量得到的RSSI;将记录结果作为位置信息数据存储在所述定位功能服务实体中。其中,所述定位服务功能实体获取终端对多个AP的发射信号进行测量得到的无线信号强度信息RSSI前,还包括所述终端的接入AP向所述策略服务功能实体发送认证报文;所述策略服务功能实体对所述终端进行认证,认证通过则继续,否则通知所述接入AP认证失败,拒绝所述终端接入。其中,所述定位服务功能实体获取终端对多个AP的发射信号进行测量得到的RSSI,包括所述定位服务功能实体获取所述终端在认证通过后主动发送的对多个AP的发射信号进行测量得到的RSSI;或所述定位服务功能实体在所述终端认证通过后,向多个AP发送消息,指示所述每个AP获取所述终端对所述AP的发射信号进行测量得到的RSSI,并将获取到的RSSI发送给所述定位服务功能实体。其中,所述预设的权限与位置信息对应关系中,还包括与终端角色的对应关系;所述策略服务功能实体根据所述终端的物理位置,从预设的权限与位置信息对应关系中,获取所述终端的权限后,还包括所述策略服务功能实体根据对所述终端进行认证过程中获取的终端角色,进一步获取与所述终端角色对应的权限。本发明还提供了一种网络接入控制系统,应用于包括终端和多个AP的WLAN网络中,所述终端通过所述多个AP中的一接入AP接入所述WLAN;所述网络接入控制系统包括定位服务功能实体和策略服务功能实体所述定位服务功能实体,用于获取终端对多个AP的发射信号进行测量得到的RSSI;将所述多个AP以及对应的RSSI与预设的位置信息数据进行匹配,确定所述终端的物理位置并通知所述策略服务功能实体;所述策略服务功能实体,用于根据所述定位服务功能实体通知的终端的物理位置,从预设的权限与位置信息对应关系中,获取所述终端的权限;将与所述终端的权限对应的控制策略发送到所述终端的接入AP,对所述终端访问网络的权限进行控制。其中,所述定位服务功能实体在设置位置信息数据时,具体用于在WLAN覆盖的区域中,按照预设的釆样位置,在各个釆样位置放置终端对多个AP的发射信号进行测量,得到每个AP对应的RSSI;根据所述测量结果,对于每个AP,记录所述区域中从各个釆样位置对所述AP的发射信号进行测量得到的RSSI;将记录结果作为位置信息数据进行存储。其中,所述策略服务功能实体还用于接收所述终端的接入AP发送的认证才艮文,对所述终端进行认证;认证通过则通知所述定位服务功能实体确定所述终端的物理位置,否则通知所述接入AP认证失败,拒绝所述终端接入。7其中,所述定位服务功能实体具体用于获取所述终端在认证通过后主动发送的对多个AP的发射信号进行测量得到的RSSI;或在所述终端认证通过后,向多个AP发送消息,指示所述每个AP获取所述终端对所述AP的发射信号进行测量得到的RSSI,并将获取到的RSSI发送给所述定位服务功能实体。其中,所述策略服务功能实体中预设的权限与位置信息对应关系中,还包括与终端角色的对应关系时,所述策略服务功能实体中还用于根据所述终端的物理位置,从预设的权限与位置信息对应关系中,获取所述终端的权限后,根据对所述终端进行认证过程中获取的终端角色,进一步获取与所述终端角色对应的权限。与现有技术相比,本发明具有以下优点本发明中,将WLAN中的终端对多个AP的发射信号进行测量得到的RSSI与预设的位置信息数据进行匹配,确定终端的物理位置;进而获取与该物理位置对应的;K限,#4居该权限生成相应的策略对终端访问网络的权限进行控制。因此,实现了WLAN中基于终端所处的物理位置,对终端访问网络的权限进行控制。图1是本发明中提供的WLAN中访问网络权限的控制方法流程图2是本发明应用场景中访问网络权限的控制方法流程图3是本发明中提供的WLAN中访问网络权限的控制系统的结构示意图。具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。本发明的核心思想在于,将终端对多个AP(—般为不少于3个)的发射信号进行测量得到的无线信号强度信息RSSI与预设的位置信息数据进行匹配,确定终端的物理位置;进而获取与该物理位置对应的权限,根据该权限生成相应的策略对终端访问网络的权限进行控制。具体的,本发明提供了一种WLAN中访问网络权限的控制方法,应用于包括终端、定位服务功能实体、策略服务功能实体以及多个AP的WLAN中,终端通过多个AP中的一接入AP接入WLAN,如图1所示,该方法包括步骤sl01、定位服务功能实体获取终端对多个AP的发射信号进行测量得到的无线信号强度信息RSSI;其中AP的数量一般为不少于3个;步骤s102、定位功能服务实体将多个AP以及对应的RSSI与预设的位置信息数据进行匹配,确定终端的物理位置并通知策略服务功能实体;步骤s103、策略服务功能实体根据终端的物理位置,从预设的权限与位置信息对应关系中,获取终端的权限;步骤s104、策略服务功能实体将与终端的权限对应的控制策略发送到终端的接入AP,对终端访问网络的权限进行控制。以下结合一个具体的应用场景,对本发明的具体实施方式进行说明。在该应用场景中,部署有多个接入设备AP用于将终端接入WLAN,AP的数量一般为不少于3个;并部署有提供终端定位功能的定位^^务器、和对终端进行认证和控制接入网络权限的策略服务器。其中,定位服务器和策略服务器除了可以分布式部署外,也可以部署于网络中的同一个服务器上。在实施本发明提供的方法时,首先需要在定位服务器上存储WLAN覆盖的待管理区域内的各物理位置上关于AP信号强度的位置信息数据,用于之后对位于该区域中的终端进行定位。具体的位置信息数据获取方法包括以下步骤(1)在定位服务器界面上建立区域的拓朴图,设置比例尺以及釆样点(相邻采集点间的距离可以根据需要进行设置,如设置为2-3m);(2)使用终端在已部署好的WLAN网络中进行无线信号的采样,具体的在每一个采样点,将终端按不同方向进行摆放,终端对从各个AP接收到信号的信号强度进行测量,并将测量结果发送到定位服务器,测量结果中包括所有接收到的AP的标识及相应的RSSI值;其中,AP的标识可以为AP的MAC地址或IP地址。为了提高测量精度,可以在每一个采样点进行多次采样,并将多次采样结果进行发送到定位服务器。(3)定位服务器对接收到的各采样点的数据进行分析,去除掉其中的噪音数据。另外,对于各区域边缘,以在区域的内边界采集的测量结果为准,避免在区域边界处出现偏差。最后,计算从每一个采样点对各个AP的发射信号从进行多次采样得到RSSI数据的平均值,得到区域中从各个采样点对各AP的发射信号进行测量得到的RSSI,完成区域中位置信息数据的创建。本发明的一个应用场景中,以WLAN中包括4个AP为例,则创建的位置信息数据的形式可以如下表1所示<table>tableseeoriginaldocumentpage10</column></row><table>另外,预先在策略服务器建立用户权限与区域位置的对应关系,以对不同区域中不同用户的权限进行设置。本发明的一个应用场景中,建立用户权限与区域位置的对应关系可以如下表2所示表2.用户权限与区域位置的对应关系区域用户类型访问权限区域1(办公区1)管理员内网、夕卜网普通内网来访者无区域2(办公区2)管理员内网、夕卜网普通内网、夕卜网来访者无区域3(会议室1)管理员内网、夕卜网普通无来访者外网区域4(会议室2)管理员内网、夕卜网普通内网来访者夕卜网■>■■■表2所示的示例中,为不同区域中的不同类型用户配置了不同的接入网络权限。其中,每一区域所包括的范围可以通过其边缘区域的坐标进行描述。当终端接入网络时,本发明提供的网络访问权限控制方法如图2所示,包括以下步骤步骤s201、终端通过接入AP接入网络,向AP发送认证信息,如用户名和密码。步骤s202、接入AP向策略服务器发送认证请求,可以使用802.1x或portal等形式;由策略服务器对终端的身份进行判断;步骤s203、接入AP接收策略服务器对认证信息的响应。以下仅对认证通过的情况进行说明。步骤s204、接入AP向终端发送认证响应。步骤s205、终端向定位服务器发送报文,将对各AP信号进行测量得到的无线信号强度信息RSSI、以及AP标识发送到定位服务器。该步骤中,可以对终端进行设置,使得终端具有在认证通过后向定位服务器发送上述报文的能力。具体的设置方法可以为在终端接入AP的过程中,接入AP在终端认证通过后向终端发送一后台程序,通过在终端中运行该后台程序自动向定位服务器发送报文,该后台程序可以在终端重启后自动删除。通过该方式避免了对终端的特殊要求,使得本方法可以对不同厂商所生产的终端均能兼容。步骤s206、定位服务器到位置信息数据库进行匹配,确定终端的具体物理位置。具体的匹配方法为,才艮据上述表1所示的位置信息数据,将终端上报的各AP标识和对应的RSSI与位置信息数据进行匹配,确定终端的物理位置。当终端上报的各AP标识和对应的RSSI可以与表1中的位置信息数据完全匹配时,可以直接确定终端的位置。当无法完全匹配时,计算终端上"J艮的各AP标识和对应的RSSI与位置信息数据、与表1中各采样点的位置信息数据的方差,将具有最小方差的采样点作为该终端的位置,从而确定终端的位置信息。步骤s207、定位服务器将终端的位置信息发送到策略服务器。步骤s208、策略服务器从用户权限与区域位置的对应关系中获取终端接入网络的权限。其中,终端的用户类型是策略服务器在对终端进行认证过程中根据终端的认证信息获得的。步骤s209、策略服务器将控制策略如ACL(AccessControlList,接入控制列表)或VLAN(VirtualLAN,虚拟局域网)信息下发到终端的接入AP上,实现终端接入网络的权限分配。之后,终端可以定期发送RSSI和AP信息到位置服务器,位置服务器进一步判断终端所在的区域是否发生变化,在判断终端所在的区域发生变化时,通知策略服务器,由策略服务器重新向接入AP发送控制策略,保证终端接入位置变化后进行权限的重新分配。另外,除了釆用上述终端在认证通过后主动发送向定位服务器发送AP和对应的RSSI的方法外,还可以由定位服务器在策略服务器对终端的认证通过后,向多个AP发送SNMP消息,指示每个AP获取终端对AP的发送信号RSSI的测量结果并发送到定位服务器,也可以实现对AP和对应的RSSI的获取。本发明还提供了一种网络接入控制系统,应用于包括终端和多个AP的WLAN网络中,其中AP的数量一般为不少于3个;终端通过多个AP中的一接入AP接入WLAN。该网络接入控制系统如图3所示,包括定位服务功能实体10和策略服务功能实体20。定位服务功能实体IO,用于获取终端对多个AP的发射信号进行测量得到的RSSI;将多个AP以及对应的RSSI与预设的位置信息数据进行匹配,确定终端的物理位置并通知策略服务功能实体20;策略服务功能实体20,用于根据定位服务功能实体10通知的终端的物理位置,从预设的权限与位置信息对应关系中,获取终端的权限;将与终端的权限对应的控制策略发送到终端的接入AP,对终端访问网络的权限进行控制。其中,定位服务功能实体IO在设置位置信息数据时,具体用于在WLAN覆盖的区域中,按照预设的釆样位置,在各个采样位置放置终端对多个AP的发射信号进行测量,得到每个AP对应的RSSI;根据测量结果,对于每个AP,记录区域中从各个采样位置对AP的发射信号进行测量得到的RSSI;将记录结果作为位置信息数据进行存储。另外,定位服务功能实体IO'还可以具体用于获取终端在认证通过后主动发送的对多个AP的发射信号进行测量得到的RSSI;或在终端认证通过后,向多个AP发送消息,指示每个AP获取终端对AP的发射信号进行测量得到的RSSI,并将获取到的RSSI发送给定位服务功能实体10。其中,策略服务功能实体20还用于接收终端的接入AP发送的认证报文,对终端进行认证;认证通过则通知定位服务功能实体IO确定终端的物理位置,否则通知接入AP认证失败,拒绝终端接入。另外,当策略服务功能实体20中预设的权限与位置信息对应关系中,还包括与终端角色的对应关系时,策略服务功能实体20中还用于根据终端的物理位置,从预设的权限与位置信息对应关系中,获取终端的权限后,根据对终端进行认证过程中获取的终端角色,进一步获取与终端角色对应的^J艮。其中,定位服务功能实体10和策略服务功能实体20位于同一网络设备、或位于不同的网络设备。通过使用本发明提供的方法和装置,将终端对多个AP的发射信号进行测量得到的无线信号强度信息RSSI与预设的位置信息数据进行匹配,确定终端的物理位置;进而获取与该物理位置对应的权限,根据该权限生成相应的策略对对终端访问网络的权限进行控制。实现了WLAN中基于终端所处的物理位置,对终端访问网络的权限进行控制。通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通过硬件实现,也可以借助软件加必要的通用石更件平台的方式来实现。基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。本领域技术人员可以理解附圓只是一个优选实施例的示意图,附图中的单元或流程并不一定是实施本发明所必须的。本领域技术人员可以理解实施例中的装置中的单元可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的单元可以合并为一个单元,也可以进一步拆分成多个子单元。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前14提下所获得的所有其他实施例,都属于本发明保护的范围。上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。权利要求1、一种无线局域网WLAN中访问网络权限的控制方法,其特征在于,应用于包括终端、定位服务功能实体、策略服务功能实体以及多个AP的WLAN中,所述终端通过所述多个AP中的一接入AP接入所述WLAN,所述方法包括所述定位服务功能实体获取终端对多个AP的发射信号进行测量得到的无线信号强度信息RSSI;所述定位功能服务实体将所述多个AP以及对应的RSSI与预设的位置信息数据进行匹配,确定所述终端的物理位置并通知所述策略服务功能实体;所述策略服务功能实体根据所述终端的物理位置,从预设的权限与位置信息对应关系中,获取所述终端的权限;所述策略服务功能实体将与所述终端的权限对应的控制策略发送到所述终端的接入AP,对所述终端访问网络的权限进行控制。2、如权利要求1所述的方法,其特征在于,所述定位功能服务实体中预设的位置信息数据具体为在WLAN覆盖的区域中,按照预设的采样位置,在各个采样位置放置终端对多个AP的发射信号进行测量,得到每个AP对应的RSSI;根据所述测量结果,对于每个AP,记录所述区域中从各个采样位置对所述AP的发射信号进行测量得到的RSSI;将记录结果作为位置信息数据存储在所述定位功能服务实体中。3、如权利要求l所述的方法,其特征在于,所述定位服务功能实体获取终端对多个AP的发射信号进行测量得到的无线信号强度信息RSSI前,还包括所述终端的接入AP向所述策略服务功能实体发送认证报文;所述策略服务功能实体对所述终端进行认证,认证通过则继续,否则通知所述接入AP认证失败,拒绝所述终端接入。4、如权利要求3所述的方法,其特征在于,所述定位服务功能实体获取终端对多个AP的发射信号进行测量得到的RSSI,包括所述定位服务功能实体获取所述终端在认证通过后主动发送的对多个AP的发射信号进行测量得到的RSSI;或所述定位服务功能实体在所述终端认证通过后,向多个AP发送消息,指示所述每个AP获取所述终端对所述AP的发射信号进行测量得到的RSSI,并将获取到的RSSI发送给所述定位服务功能实体。5、如权利要求3所述的方法,其特征在于,所述预设的权限与位置信息对应关系中,还包括与终端角色的对应关系;所述策略服务功能实体根据所述终端的物理位置,从预设的权限与位置信息对应关系中,获取所述终端的权限后,还包括所述策略服务功能实体根据对所述终端进行认证过程中获取的终端角色,进一步获取与所述终端角色对应的权限。6、一种网络接入控制系统,其特征在于,应用于包括终端和多个AP的WLAN网络中,所述终端通过所述多个AP中的一接入AP接入所述WLAN;所述网络接入控制系统包括定位服务功能实体和策略服务功能实体所述定位服务功能实体,用于获取终端对多个AP的发射信号进行测量得到的RSSI;将所述多个AP以及对应的RSSI与预设的位置信息数据进行匹配,确定所述终端的物理位置并通知所述策略服务功能实体;所述策略服务功能实体,用于根据所述定位服务功能实体通知的终端的物理位置,从预设的权限与位置信息对应关系中,获取所述终端的权限;将与所述终端的权限对应的控制策略发送到所述终端的接入AP,对所述终端访问网络的权限进行控制。7、如权利要求6所述的系统,其特征在于,所述定位服务功能实体在设置位置信息数据时,具体用于在WLAN覆盖的区域中,按照预设的采样位置,在各个釆样位置放置终端对多个AP的发射信号进行测量,得到每个AP对应的RSSI;根据所述测量结果,对于每个AP,记录所述区域中从各个釆样位置对所述AP的发射信号进行测量得到的RSSI;将记录结果作为位置信息数据进行存储。8、如权利要求6所述的系统,其特征在于,所述策略服务功能实体还用于接收所述终端的接入AP发送的认证报文,对所述终端进行认证;认证通过则通知所述定位服务功能实体确定所述终端的物理位置,否则通知所述接入AP认证失败,拒绝所述终端接入。9、如权利要求8所述的系统,其特征在于,所述定位服务功能实体具体用于获取所述终端在认证通过后主动发送的对多个AP的发射信号进行测量得到的RSSI;或在所述终端认证通过后,向多个AP发送消息,指示所述每个AP获取所述终端对所述AP的发射信号进行测量得到的RSSI,并将获取到的RSSI发送给所述定位服务功能实体。10、如权利要求8所述的系统,其特征在于,所述策略服务功能实体中预设的权限与位置信息对应关系中,还包括与终端角色的对应关系时,所述策略服务功能实体中还用于根据所述终端的物理位置,从预设的权限与位置信息对应关系中,获取所述终端的权限后,根据对所述终端进行认证过程中获取的终端角色,进一步获取与所述终端角色对应的权限。全文摘要本发明公开了一种WLAN中访问网络权限的控制方法和系统。其中,获取终端对多个AP的发射信号进行测量得到的无线信号强度信息RSSI,并与预设的位置信息数据进行匹配,确定终端的物理位置;进而获取与该物理位置对应的权限,根据该权限生成相应的策略对终端访问网络的权限进行控制。通过使用本发明,实现了WLAN中基于终端所处的物理位置,对终端访问网络的权限进行控制。文档编号H04W12/00GK101668293SQ20091018072公开日2010年3月10日申请日期2009年10月21日优先权日2009年10月21日发明者孙利辉申请人:杭州华三通信技术有限公司