基于物理身份认证的无线上网管理方法与流程

本发明涉及无线通信技术领域，特别涉及一种基于物理身份认证的无线上网管理方法。

背景技术：

目前的wifi无线网络多数使用标准协议对无线终端进行验证和通信，无法防止蹭网现象，也不具备反钓鱼的功能，为网络管理方的管理带来诸多不便。同时，对于一些用户使用克隆身份进行入侵的现象，也不能很好的予以规避，给家庭或商家的无线网络带来较大的安全隐患。

技术实现要素：

基于此，有必要提供一种基于物理身份认证的无线上网管理方法，可以杜绝未经许可的设备接入无线网络，有效解决蹭网和非法入侵等现象。

为实现上述发明目的，本发明采用以下技术方案。

本发明首先提供一种基于物理身份认证的无线上网管理方法，用于对连接到无线网关以请求上网的移动终端进行上网管理，所述方法包括步骤：

配置若干个具有唯一物理身份的标贴，并建立各标贴与无线网关之间的联网和定位；

为每一个标贴分配若干mac地址，并将这些mac地址与该标贴的物理id进行绑定；

验证请求上网的移动终端的mac地址是否已与所述标贴绑定，若是，则执行下一步；否则，拒绝请求上网的移动终端的上网请求；

利用所述无线网关定位请求上网的移动终端的位置；

判断请求上网的移动终端与对应的标贴的相对距离是否小于预定值，若是，则执行下一步；否则，拒绝请求上网的移动终端的上网请求；

将所述请求上网的移动终端接入网络，并分配网络权限。

优选地，所述配置若干个具有唯一物理身份的标贴，并建立各标贴与无线网关之间的联网和定位的步骤具体包括：

将所述若干个标贴通过低功耗物联网分别与所述无线网关连接，并利用所述物联网对这些标贴进行定位。

优选地，所述利用物联网对这些标贴进行定位的步骤具体包括：

采用具有mimo天线的无线网关，通过rssi定位方法推断出标贴的大致位置；

利用无线网关的各mimo天线接收信号的矩阵计算标贴的位置换算矩阵，获得标贴的精确位置，所述位置换算矩阵为：

其中，

其中，k为天线个数，kl为标贴天线的距离，p为标贴的辐射功率，ks为无线网关接收到的功率。

优选地，所述判断请求上网的移动终端与对应的标贴的相对距离是否小于预定值的步骤之前，还包括步骤：

若所述位置换算矩阵f(x,y)的计算结果大于1，则将通过该位置换算矩阵f(x,y)定位获得的位置与通过物联网定位获得的位置进行匹配，舍去较低精度的位置，以获得较高精度的位置。

优选地，所述建立各标贴与无线网关之间的联网和定位的步骤之后，还包括步骤：

对标贴的空间进行校准。

优选地，所述对标贴的空间进行校准的步骤具体包括：

持任意标贴在任意4个不同且彼此间距大于1.5米的水平空间校准第一次，然后在另一个高度差相差大于1.5米的水平空间重复上述步骤校准第二次，建立以网关为坐标中心的空间坐标矩阵。

优选地，还包括步骤：

每隔一定时间对标贴定位一次，并更新标贴在无线网关中的位置信息。

优选地，还包括步骤：

每隔一定时间更新已联网的移动终端的位置，重新判断其与对应的标贴的相对距离是否大于所述预定值，若是，则断开该移动终端的网络连接。

优选地，所述标贴与无线网关之间通过wifi、lora、bluetooth、zigbee或rfid技术进行定位。

本发明还提供一种基于物理身份认证的无线上网管理方法，用于对连接到无线网关以请求上网的移动终端进行上网管理，所述方法包括步骤：

配置若干个具有唯一物理身份的标贴和至少两个无线网关，并划区域建立标贴与无线网关之间的联网和定位，每个区域内设置一个无线网关，每个无线网关对应一定数量的标贴；

为每一个标贴分配若干mac地址，并将这些mac地址与该标贴的物理id进行绑定；

利用无线网关对请求上网的移动终端的mac地址进行验证，以核实其mac地址是否已与其中一个标贴绑定，并验证该标贴是否与所述无线网关联网，若都是，则执行下一步；否则，拒绝该请求上网的移动终端的上网请求；

利用所述无线网关分别定位请求上网的移动终端和对应的标贴的位置；

判断请求上网的移动终端与对应的标贴的相对距离是否小于预定值，若是，则执行下一步；否则，拒绝请求上网的移动终端的上网请求；

将所述请求上网的移动终端接入网络，并分配网络权限。

本发明利用标贴对请求上网的无线终端的mac地址进行绑定，然后通过对标贴和无线终端的分别定位并判断标贴与无线终端的位置是否在一起，如果是，则允许上网，否则，拒绝移动终端的上网请求。本发明采用物理身份认证和距离认证的双重认证方式，可以快速发现克隆地址和身份，有效杜绝未经授权的无线设备接入无线网络，从而真正实现防蹭网和反钓鱼功能，并且还可利用定位原理划分网络区域，使得各区域的联网设备都能自动实现人走网断的效果，增加了外部恶意入侵难度和降低了内部违规操作带来的网络安全风险，提高了网络的安全性。

附图说明

图1为本实施例一中基于物理身份认证的无线上网管理方法的流程示意图；

图2为本实施例二中基于物理身份认证的无线上网管理方法的流程示意图。

本发明目的的实现及其功能、原理将在具体实施方式中结合附图作进一步阐述。

具体实施方式

下面结合附图及具体实施例做进一步说明。

实施例一：

如图1所示，本实施例提供一种基于物理身份认证的无线上网管理方法，用于对连接到无线网关以请求上网的移动终端进行上网管理，所述方法包括步骤：

s1：配置若干个具有唯一物理身份的标贴，并建立各标贴与无线网关之间的联网和定位；

s2：为每一个标贴分配若干mac地址，并将这些mac地址与该标贴的物理id进行绑定；

s3：验证请求上网的移动终端的mac地址是否已与所述标贴绑定；若是，则执行下一步；

s31：否则，拒绝请求上网的移动终端的上网请求；

s4：利用所述无线网关定位请求上网的移动终端的位置；

s5：判断请求上网的移动终端与对应的标贴的相对距离是否小于预定值；若是，则执行下一步；否则，进入步骤s31；

s6：将所述请求上网的移动终端接入网络，并分配网络权限。

其中，所述配置若干个具有唯一物理身份的标贴，并建立各标贴与无线网关之间的联网和定位的步骤s1具体包括：

将所述若干个标贴通过低功耗物联网分别与所述无线网关连接，并利用所述物联网对这些标贴进行定位。

所述物联网包括wifi天线定位技术、lora无线定位技术、bluetooth技术、zigbee技术或rfid等，具有联网和室内定位功能。

其中，wifi天线定位技术基于多个天线，能实现复杂的大范围定位。lora(longrangeradio，远距离无线电)是一种具有低功耗和远距离传统的无线通信技术，是面向低功率广域网的无gps解决方案。bluetooth(蓝牙)技术是一种无线数据和语音通信开放的全球规范，基于低成本的近距离无线连接，为固定和移动设备建立通信环境的特殊的近距离无线通信技术，可实现近距离通信和基于rssi(receivedsignalstrengthindication，信号场强指示)定位原理的定位功能。zigbee(紫蜂)技术是一种适用于传输范围短、数据传输速率低的电子元器件之间的通信技术，能够实现多种不同数字设备相互间的无线组网，使它们实现相互通信，或者接入因特网，可实现最高精度0.25m精确无线定位分辨率。rfid定位的基本原理是，通过一组固定的阅读器读取目标rfid标签的特征信息(如身份id、接收信号强度等)，可以采用近邻法、多边定位法、接收信号强度等方法确定标签所在位置，实现定位。

本实施例中，所述利用物联网对这些标贴进行定位的步骤s4具体包括：

s41：采用具有mimo天线的无线网关，通过rssi定位方法获取标贴的大致位置；

s42：利用无线网关的各mimo天线接收信号的矩阵计算标贴的位置换算矩阵，获得标贴的精确位置，所述位置换算矩阵为：

其中，

其中，k为天线个数，kl为标贴天线的距离，p为标贴的辐射功率，ks为无线网关接收到的功率。

当然，也可采用上述方法对请求上网的移动终端的进行定位。

然后执行步骤s5，在执行步骤s5之前，还可包括步骤：

s43：若所述位置换算矩阵f(x,y)的计算结果大于1，则将通过该位置换算矩阵f(x,y)定位获得的位置与通过物联网定位获得的位置进行匹配，舍去较低精度的位置，以获得较高精度的卡贴或移动终端位置。

由于环境中存在干扰无线信号或墙体的阻隔，会使得位置换算矩阵的结果不唯一，因此，需要与rssi的大致位置进行匹配，将更高精度的位置信息作为移动终端或卡贴的实际位置。

本实施例中，在步骤s1之后，还包括步骤：

s11：对标贴的空间进行校准。

具体地，所述对标贴的空间进行校准的步骤具体包括：

持任意标贴在任意4个不同且彼此间距大于1.5米的水平空间校准第一次，然后在另一个高度差相差大于1.5米的水平空间重复上述步骤校准第二次，建立以网关为坐标中心的空间坐标矩阵。

此外，还包括步骤：

s12：每隔一定时间对标贴定位一次，并更新标贴在无线网关中的位置信息。

进一步地，还包括步骤：

s44：每隔一定时间更新已联网的移动终端的位置，重新判断其与对应的标贴的相对距离是否大于所述预定值，若是，则断开该移动终端的网络连接。

本实施例的所述标贴与无线网关之间通过wifi、lora、bluetooth、zigbee或rfid技术进行定位时，优先选用无源标贴，例如rfid或zigbee的电子标签，以节约硬件成本和维护成本。

本实施例的工作原理是：无线网关(例如无线路由器)附带若干个标贴，这些标贴都具有唯一的物理身份，每一个标贴都绑定有一定数量的预先获取到的请求上网的无线终端(例如手机)的mac地址，并分别通过物联网与无线网关进行联网，由无线网关对这些标贴进行定位，并标示在无线网关的操作系统中。无线网关每隔一定时间对标贴定位一次，以获取标贴的最新位置信息。

当有无线终端需要连接无线网关上网时，须对其mac地址进行验证，以核实其是否已与标贴绑定，此步骤相当于身份认证，可以杜绝采用克隆身份的用户接入网络。如果该无线终端没有与绑定任何标贴，则视为非法用户，无线网关自动拒绝其上网请求。如果无线终端的mac地址已绑定有标贴，则需进一步核实其身份，例如，对该无线终端进行定位，并将其位置和与之绑定的标贴的位置进行匹配，判断二者之间的相对距离是否小于预定值(例如0.5m)，若是，则表明该无线终端具有合法身份，否则，仍视为非法用户，无线网关自动拒绝其上网请求，从而防止蹭网现象。

实施例二：

参照图2所示，本发明还提供一种基于物理身份认证的无线上网管理方法，用于对连接到无线网关以请求上网的移动终端进行上网管理，所述方法包括步骤：

sp1：配置若干个具有唯一物理身份的标贴和至少两个无线网关，并划区域建立标贴与无线网关之间的联网和定位，每个区域内设置一个无线网关，每个无线网关对应一定数量的标贴；

sp2：为每一个标贴分配若干mac地址，并将这些mac地址与该标贴的物理id进行绑定；

sp3：验证请求上网的移动终端的mac地址是否已与其中一个标贴绑定，并验证该标贴是否与所述无线网关联网，若都是，则执行下一步；

sp31：否则，拒绝该请求上网的移动终端的上网请求；

sp4：利用所述无线网关分别定位请求上网的移动终端和对应的标贴的位置；

sp5：判断请求上网的移动终端与对应的标贴的相对距离是否小于预定值，若是，则执行下一步；否则，拒绝请求上网的移动终端的上网请求；

sp6：将所述请求上网的移动终端接入网络，并分配网络权限。

本实施例与实施例一中的方案的不同之处在于，本实施例引入至少两个无线网关，对当前环境进行分区域网络管理，各区域内的无线终端只能连接到该区域内的无线网关请求上网，不能连接其它区域内的无线网关，从而可实现依照空间区域划分上网权限的功能，例如会议室内不允许连接办公室内的无线路由器，业务部的员工不能接入技术部的无线路由器，等等。

可见，本实施例的基于物理身份认证的无线上网管理方法不仅具有实施例中所述的所有功能，还能实现依照空间区域划分上网权限的功能，能够与配套的公司规章制度达到人走网断的网络管理效果，并增加外部恶意破解难度，降低了内部违规操作带来的网络安全风险。

综上所述，本发明利用标贴对请求上网的无线终端的mac地址进行绑定，然后通过对标贴和无线终端的分别定位并判断标贴与无线终端的位置是否在一起，如果是，则允许上网，否则，拒绝移动终端的上网请求。本发明采用物理身份认证和距离认证的双重认证方式，可以快速发现克隆地址和身份，有效杜绝未经授权的无线设备接入无线网络，从而真正实现防蹭网和反钓鱼功能，并且还可利用定位原理划分网络区域，使得各区域的联网设备都能自动实现人走网断的效果，增加了外部恶意入侵难度和降低了内部违规操作带来的网络安全风险，提高了网络的安全性。

以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。