專利名稱::Wlan中訪問網絡權限的控制方法和系統的制作方法
技術領域:
:本發明涉及通訊
技術領域:
,尤其涉及一種WLAN中訪問網絡權限的控制方法和系統。
背景技術:
:現有技術中的一種常見的網絡控制的場景中,需要對來訪人員和正式員工在不同地點訪問網絡的權限進行控制。例如對于7>司內的來訪人員,希望控制來訪人員只能在接待室內訪問外部Internet網絡,不能訪問公司內部網絡;且來訪人員無法在接待室外的辦公區訪問任何網絡。對于公司內的正式員工,希望控制正式員工在辦公區可以訪問內部網絡中的資源,但不能訪問外部Internet網絡。通過上述控制,減少網絡安全的風險。現有技術中,通常使用有線設備如交換機、路由器等作為接入設備,將接入設備部署在不同的區域,預先在接入設備配置,對接入設備上的不同接入端口進行權限分配,由此對位于不用地點的通過不同接入端口連接到接入設備的用戶終端訪問網絡的權限進行控制。現有技術中存在的問題在于,有線設備和網絡的部署復雜,且還可能存在網口的私接問題,無法真正控制不同用戶接入網絡的位置和權限;且接入設備需要支持專用功能,增加了使用成本。另外,隨著WLAN(WirelessLocalAreaNetwork,無線局域網)的普及,越來越多的用戶使用WLAN上網、辦公,使用基于有線設備的控制方法已經不能滿足網絡控制的需要。
發明內容本發明提供一種WLAN中訪問網絡權限的控制方法和系統,用于在WLAN中根據用戶終端的身份和所在的地點,對用戶終端訪問網絡的權限進行控制。本發明提供了一種無線局域網WLAN中訪問網絡權限的控制方法,應用于包括終端、定位服務功能實體、策略服務功能實體以及多個AP的WLAN中,所述終端通過所述多個AP中的一接入AP接入所述WLAN,所述方法包括所述定位服務功能實體獲取終端對多個AP的發射信號進行測量得到的無線信號強度信息RSSI;所述定位功能服務實體將所述多個AP以及對應的RSSI與預設的位置信息數據進行匹配,確定所述終端的物理位置并通知所述策略服務功能實體;所述策略服務功能實體根據所述終端的物理位置,從預設的權限與位置信息對應關系中,獲取所述終端的權限;所述策略服務功能實體將與所述終端的權限對應的控制策略發送到所述終端的接入AP,對所述終端訪問網絡的權限進行控制。其中,所述定位功能服務實體中預設的位置信息數據具體為在WLAN覆蓋的區域中,按照預設的采樣位置,在各個采樣位置放置終端對多個AP的發射信號進行測量,得到每個AP對應的RSSI;根據所述測量結果,對于每個AP,記錄所述區域中從各個釆樣位置對所述AP的發射信號進行測量得到的RSSI;將記錄結果作為位置信息數據存儲在所述定位功能服務實體中。其中,所述定位服務功能實體獲取終端對多個AP的發射信號進行測量得到的無線信號強度信息RSSI前,還包括所述終端的接入AP向所述策略服務功能實體發送認證報文;所述策略服務功能實體對所述終端進行認證,認證通過則繼續,否則通知所述接入AP認證失敗,拒絕所述終端接入。其中,所述定位服務功能實體獲取終端對多個AP的發射信號進行測量得到的RSSI,包括所述定位服務功能實體獲取所述終端在認證通過后主動發送的對多個AP的發射信號進行測量得到的RSSI;或所述定位服務功能實體在所述終端認證通過后,向多個AP發送消息,指示所述每個AP獲取所述終端對所述AP的發射信號進行測量得到的RSSI,并將獲取到的RSSI發送給所述定位服務功能實體。其中,所述預設的權限與位置信息對應關系中,還包括與終端角色的對應關系;所述策略服務功能實體根據所述終端的物理位置,從預設的權限與位置信息對應關系中,獲取所述終端的權限后,還包括所述策略服務功能實體根據對所述終端進行認證過程中獲取的終端角色,進一步獲取與所述終端角色對應的權限。本發明還提供了一種網絡接入控制系統,應用于包括終端和多個AP的WLAN網絡中,所述終端通過所述多個AP中的一接入AP接入所述WLAN;所述網絡接入控制系統包括定位服務功能實體和策略服務功能實體所述定位服務功能實體,用于獲取終端對多個AP的發射信號進行測量得到的RSSI;將所述多個AP以及對應的RSSI與預設的位置信息數據進行匹配,確定所述終端的物理位置并通知所述策略服務功能實體;所述策略服務功能實體,用于根據所述定位服務功能實體通知的終端的物理位置,從預設的權限與位置信息對應關系中,獲取所述終端的權限;將與所述終端的權限對應的控制策略發送到所述終端的接入AP,對所述終端訪問網絡的權限進行控制。其中,所述定位服務功能實體在設置位置信息數據時,具體用于在WLAN覆蓋的區域中,按照預設的釆樣位置,在各個釆樣位置放置終端對多個AP的發射信號進行測量,得到每個AP對應的RSSI;根據所述測量結果,對于每個AP,記錄所述區域中從各個釆樣位置對所述AP的發射信號進行測量得到的RSSI;將記錄結果作為位置信息數據進行存儲。其中,所述策略服務功能實體還用于接收所述終端的接入AP發送的認證才艮文,對所述終端進行認證;認證通過則通知所述定位服務功能實體確定所述終端的物理位置,否則通知所述接入AP認證失敗,拒絕所述終端接入。7其中,所述定位服務功能實體具體用于獲取所述終端在認證通過后主動發送的對多個AP的發射信號進行測量得到的RSSI;或在所述終端認證通過后,向多個AP發送消息,指示所述每個AP獲取所述終端對所述AP的發射信號進行測量得到的RSSI,并將獲取到的RSSI發送給所述定位服務功能實體。其中,所述策略服務功能實體中預設的權限與位置信息對應關系中,還包括與終端角色的對應關系時,所述策略服務功能實體中還用于根據所述終端的物理位置,從預設的權限與位置信息對應關系中,獲取所述終端的權限后,根據對所述終端進行認證過程中獲取的終端角色,進一步獲取與所述終端角色對應的權限。與現有技術相比,本發明具有以下優點本發明中,將WLAN中的終端對多個AP的發射信號進行測量得到的RSSI與預設的位置信息數據進行匹配,確定終端的物理位置;進而獲取與該物理位置對應的;K限,#4居該權限生成相應的策略對終端訪問網絡的權限進行控制。因此,實現了WLAN中基于終端所處的物理位置,對終端訪問網絡的權限進行控制。圖1是本發明中提供的WLAN中訪問網絡權限的控制方法流程圖2是本發明應用場景中訪問網絡權限的控制方法流程圖3是本發明中提供的WLAN中訪問網絡權限的控制系統的結構示意圖。具體實施例方式下面將結合本發明實施例中的附圖,對本發明實施例中的技術方案進行清楚、完整地描述。本發明的核心思想在于,將終端對多個AP(—般為不少于3個)的發射信號進行測量得到的無線信號強度信息RSSI與預設的位置信息數據進行匹配,確定終端的物理位置;進而獲取與該物理位置對應的權限,根據該權限生成相應的策略對終端訪問網絡的權限進行控制。具體的,本發明提供了一種WLAN中訪問網絡權限的控制方法,應用于包括終端、定位服務功能實體、策略服務功能實體以及多個AP的WLAN中,終端通過多個AP中的一接入AP接入WLAN,如圖1所示,該方法包括步驟sl01、定位服務功能實體獲取終端對多個AP的發射信號進行測量得到的無線信號強度信息RSSI;其中AP的數量一般為不少于3個;步驟s102、定位功能服務實體將多個AP以及對應的RSSI與預設的位置信息數據進行匹配,確定終端的物理位置并通知策略服務功能實體;步驟s103、策略服務功能實體根據終端的物理位置,從預設的權限與位置信息對應關系中,獲取終端的權限;步驟s104、策略服務功能實體將與終端的權限對應的控制策略發送到終端的接入AP,對終端訪問網絡的權限進行控制。以下結合一個具體的應用場景,對本發明的具體實施方式進行說明。在該應用場景中,部署有多個接入設備AP用于將終端接入WLAN,AP的數量一般為不少于3個;并部署有提供終端定位功能的定位^^務器、和對終端進行認證和控制接入網絡權限的策略服務器。其中,定位服務器和策略服務器除了可以分布式部署外,也可以部署于網絡中的同一個服務器上。在實施本發明提供的方法時,首先需要在定位服務器上存儲WLAN覆蓋的待管理區域內的各物理位置上關于AP信號強度的位置信息數據,用于之后對位于該區域中的終端進行定位。具體的位置信息數據獲取方法包括以下步驟(1)在定位服務器界面上建立區域的拓樸圖,設置比例尺以及釆樣點(相鄰采集點間的距離可以根據需要進行設置,如設置為2-3m);(2)使用終端在已部署好的WLAN網絡中進行無線信號的采樣,具體的在每一個采樣點,將終端按不同方向進行擺放,終端對從各個AP接收到信號的信號強度進行測量,并將測量結果發送到定位服務器,測量結果中包括所有接收到的AP的標識及相應的RSSI值;其中,AP的標識可以為AP的MAC地址或IP地址。為了提高測量精度,可以在每一個采樣點進行多次采樣,并將多次采樣結果進行發送到定位服務器。(3)定位服務器對接收到的各采樣點的數據進行分析,去除掉其中的噪音數據。另外,對于各區域邊緣,以在區域的內邊界采集的測量結果為準,避免在區域邊界處出現偏差。最后,計算從每一個采樣點對各個AP的發射信號從進行多次采樣得到RSSI數據的平均值,得到區域中從各個采樣點對各AP的發射信號進行測量得到的RSSI,完成區域中位置信息數據的創建。本發明的一個應用場景中,以WLAN中包括4個AP為例,則創建的位置信息數據的形式可以如下表1所示<table>tableseeoriginaldocumentpage10</column></row><table>另外,預先在策略服務器建立用戶權限與區域位置的對應關系,以對不同區域中不同用戶的權限進行設置。本發明的一個應用場景中,建立用戶權限與區域位置的對應關系可以如下表2所示表2.用戶權限與區域位置的對應關系區域用戶類型訪問權限區域1(辦公區1)管理員內網、夕卜網普通內網來訪者無區域2(辦公區2)管理員內網、夕卜網普通內網、夕卜網來訪者無區域3(會議室1)管理員內網、夕卜網普通無來訪者外網區域4(會議室2)管理員內網、夕卜網普通內網來訪者夕卜網■>■■■表2所示的示例中,為不同區域中的不同類型用戶配置了不同的接入網絡權限。其中,每一區域所包括的范圍可以通過其邊緣區域的坐標進行描述。當終端接入網絡時,本發明提供的網絡訪問權限控制方法如圖2所示,包括以下步驟步驟s201、終端通過接入AP接入網絡,向AP發送認證信息,如用戶名和密碼。步驟s202、接入AP向策略服務器發送認證請求,可以使用802.1x或portal等形式;由策略服務器對終端的身份進行判斷;步驟s203、接入AP接收策略服務器對認證信息的響應。以下僅對認證通過的情況進行說明。步驟s204、接入AP向終端發送認證響應。步驟s205、終端向定位服務器發送報文,將對各AP信號進行測量得到的無線信號強度信息RSSI、以及AP標識發送到定位服務器。該步驟中,可以對終端進行設置,使得終端具有在認證通過后向定位服務器發送上述報文的能力。具體的設置方法可以為在終端接入AP的過程中,接入AP在終端認證通過后向終端發送一后臺程序,通過在終端中運行該后臺程序自動向定位服務器發送報文,該后臺程序可以在終端重啟后自動刪除。通過該方式避免了對終端的特殊要求,使得本方法可以對不同廠商所生產的終端均能兼容。步驟s206、定位服務器到位置信息數據庫進行匹配,確定終端的具體物理位置。具體的匹配方法為,才艮據上述表1所示的位置信息數據,將終端上報的各AP標識和對應的RSSI與位置信息數據進行匹配,確定終端的物理位置。當終端上報的各AP標識和對應的RSSI可以與表1中的位置信息數據完全匹配時,可以直接確定終端的位置。當無法完全匹配時,計算終端上"J艮的各AP標識和對應的RSSI與位置信息數據、與表1中各采樣點的位置信息數據的方差,將具有最小方差的采樣點作為該終端的位置,從而確定終端的位置信息。步驟s207、定位服務器將終端的位置信息發送到策略服務器。步驟s208、策略服務器從用戶權限與區域位置的對應關系中獲取終端接入網絡的權限。其中,終端的用戶類型是策略服務器在對終端進行認證過程中根據終端的認證信息獲得的。步驟s209、策略服務器將控制策略如ACL(AccessControlList,接入控制列表)或VLAN(VirtualLAN,虛擬局域網)信息下發到終端的接入AP上,實現終端接入網絡的權限分配。之后,終端可以定期發送RSSI和AP信息到位置服務器,位置服務器進一步判斷終端所在的區域是否發生變化,在判斷終端所在的區域發生變化時,通知策略服務器,由策略服務器重新向接入AP發送控制策略,保證終端接入位置變化后進行權限的重新分配。另外,除了釆用上述終端在認證通過后主動發送向定位服務器發送AP和對應的RSSI的方法外,還可以由定位服務器在策略服務器對終端的認證通過后,向多個AP發送SNMP消息,指示每個AP獲取終端對AP的發送信號RSSI的測量結果并發送到定位服務器,也可以實現對AP和對應的RSSI的獲取。本發明還提供了一種網絡接入控制系統,應用于包括終端和多個AP的WLAN網絡中,其中AP的數量一般為不少于3個;終端通過多個AP中的一接入AP接入WLAN。該網絡接入控制系統如圖3所示,包括定位服務功能實體10和策略服務功能實體20。定位服務功能實體IO,用于獲取終端對多個AP的發射信號進行測量得到的RSSI;將多個AP以及對應的RSSI與預設的位置信息數據進行匹配,確定終端的物理位置并通知策略服務功能實體20;策略服務功能實體20,用于根據定位服務功能實體10通知的終端的物理位置,從預設的權限與位置信息對應關系中,獲取終端的權限;將與終端的權限對應的控制策略發送到終端的接入AP,對終端訪問網絡的權限進行控制。其中,定位服務功能實體IO在設置位置信息數據時,具體用于在WLAN覆蓋的區域中,按照預設的釆樣位置,在各個采樣位置放置終端對多個AP的發射信號進行測量,得到每個AP對應的RSSI;根據測量結果,對于每個AP,記錄區域中從各個采樣位置對AP的發射信號進行測量得到的RSSI;將記錄結果作為位置信息數據進行存儲。另外,定位服務功能實體IO'還可以具體用于獲取終端在認證通過后主動發送的對多個AP的發射信號進行測量得到的RSSI;或在終端認證通過后,向多個AP發送消息,指示每個AP獲取終端對AP的發射信號進行測量得到的RSSI,并將獲取到的RSSI發送給定位服務功能實體10。其中,策略服務功能實體20還用于接收終端的接入AP發送的認證報文,對終端進行認證;認證通過則通知定位服務功能實體IO確定終端的物理位置,否則通知接入AP認證失敗,拒絕終端接入。另外,當策略服務功能實體20中預設的權限與位置信息對應關系中,還包括與終端角色的對應關系時,策略服務功能實體20中還用于根據終端的物理位置,從預設的權限與位置信息對應關系中,獲取終端的權限后,根據對終端進行認證過程中獲取的終端角色,進一步獲取與終端角色對應的^J艮。其中,定位服務功能實體10和策略服務功能實體20位于同一網絡設備、或位于不同的網絡設備。通過使用本發明提供的方法和裝置,將終端對多個AP的發射信號進行測量得到的無線信號強度信息RSSI與預設的位置信息數據進行匹配,確定終端的物理位置;進而獲取與該物理位置對應的權限,根據該權限生成相應的策略對對終端訪問網絡的權限進行控制。實現了WLAN中基于終端所處的物理位置,對終端訪問網絡的權限進行控制。通過以上的實施方式的描述,本領域的技術人員可以清楚地了解到本發明可以通過硬件實現,也可以借助軟件加必要的通用石更件平臺的方式來實現。基于這樣的理解,本發明的技術方案可以以軟件產品的形式體現出來,該軟件產品可以存儲在一個非易失性存儲介質(可以是CD-ROM,U盤,移動硬盤等)中,包括若干指令用以使得一臺計算機設備(可以是個人計算機,服務器,或者網絡設備等)執行本發明各個實施例所述的方法。本領域技術人員可以理解附圓只是一個優選實施例的示意圖,附圖中的單元或流程并不一定是實施本發明所必須的。本領域技術人員可以理解實施例中的裝置中的單元可以按照實施例描述進行分布于實施例的裝置中,也可以進行相應變化位于不同于本實施例的一個或多個裝置中。上述實施例的單元可以合并為一個單元,也可以進一步拆分成多個子單元。基于本發明中的實施例,本領域普通技術人員在沒有做出創造性勞動前14提下所獲得的所有其他實施例,都屬于本發明保護的范圍。上述本發明實施例序號僅僅為了描述,不代表實施例的優劣。權利要求1、一種無線局域網WLAN中訪問網絡權限的控制方法,其特征在于,應用于包括終端、定位服務功能實體、策略服務功能實體以及多個AP的WLAN中,所述終端通過所述多個AP中的一接入AP接入所述WLAN,所述方法包括所述定位服務功能實體獲取終端對多個AP的發射信號進行測量得到的無線信號強度信息RSSI;所述定位功能服務實體將所述多個AP以及對應的RSSI與預設的位置信息數據進行匹配,確定所述終端的物理位置并通知所述策略服務功能實體;所述策略服務功能實體根據所述終端的物理位置,從預設的權限與位置信息對應關系中,獲取所述終端的權限;所述策略服務功能實體將與所述終端的權限對應的控制策略發送到所述終端的接入AP,對所述終端訪問網絡的權限進行控制。2、如權利要求1所述的方法,其特征在于,所述定位功能服務實體中預設的位置信息數據具體為在WLAN覆蓋的區域中,按照預設的采樣位置,在各個采樣位置放置終端對多個AP的發射信號進行測量,得到每個AP對應的RSSI;根據所述測量結果,對于每個AP,記錄所述區域中從各個采樣位置對所述AP的發射信號進行測量得到的RSSI;將記錄結果作為位置信息數據存儲在所述定位功能服務實體中。3、如權利要求l所述的方法,其特征在于,所述定位服務功能實體獲取終端對多個AP的發射信號進行測量得到的無線信號強度信息RSSI前,還包括所述終端的接入AP向所述策略服務功能實體發送認證報文;所述策略服務功能實體對所述終端進行認證,認證通過則繼續,否則通知所述接入AP認證失敗,拒絕所述終端接入。4、如權利要求3所述的方法,其特征在于,所述定位服務功能實體獲取終端對多個AP的發射信號進行測量得到的RSSI,包括所述定位服務功能實體獲取所述終端在認證通過后主動發送的對多個AP的發射信號進行測量得到的RSSI;或所述定位服務功能實體在所述終端認證通過后,向多個AP發送消息,指示所述每個AP獲取所述終端對所述AP的發射信號進行測量得到的RSSI,并將獲取到的RSSI發送給所述定位服務功能實體。5、如權利要求3所述的方法,其特征在于,所述預設的權限與位置信息對應關系中,還包括與終端角色的對應關系;所述策略服務功能實體根據所述終端的物理位置,從預設的權限與位置信息對應關系中,獲取所述終端的權限后,還包括所述策略服務功能實體根據對所述終端進行認證過程中獲取的終端角色,進一步獲取與所述終端角色對應的權限。6、一種網絡接入控制系統,其特征在于,應用于包括終端和多個AP的WLAN網絡中,所述終端通過所述多個AP中的一接入AP接入所述WLAN;所述網絡接入控制系統包括定位服務功能實體和策略服務功能實體所述定位服務功能實體,用于獲取終端對多個AP的發射信號進行測量得到的RSSI;將所述多個AP以及對應的RSSI與預設的位置信息數據進行匹配,確定所述終端的物理位置并通知所述策略服務功能實體;所述策略服務功能實體,用于根據所述定位服務功能實體通知的終端的物理位置,從預設的權限與位置信息對應關系中,獲取所述終端的權限;將與所述終端的權限對應的控制策略發送到所述終端的接入AP,對所述終端訪問網絡的權限進行控制。7、如權利要求6所述的系統,其特征在于,所述定位服務功能實體在設置位置信息數據時,具體用于在WLAN覆蓋的區域中,按照預設的采樣位置,在各個釆樣位置放置終端對多個AP的發射信號進行測量,得到每個AP對應的RSSI;根據所述測量結果,對于每個AP,記錄所述區域中從各個釆樣位置對所述AP的發射信號進行測量得到的RSSI;將記錄結果作為位置信息數據進行存儲。8、如權利要求6所述的系統,其特征在于,所述策略服務功能實體還用于接收所述終端的接入AP發送的認證報文,對所述終端進行認證;認證通過則通知所述定位服務功能實體確定所述終端的物理位置,否則通知所述接入AP認證失敗,拒絕所述終端接入。9、如權利要求8所述的系統,其特征在于,所述定位服務功能實體具體用于獲取所述終端在認證通過后主動發送的對多個AP的發射信號進行測量得到的RSSI;或在所述終端認證通過后,向多個AP發送消息,指示所述每個AP獲取所述終端對所述AP的發射信號進行測量得到的RSSI,并將獲取到的RSSI發送給所述定位服務功能實體。10、如權利要求8所述的系統,其特征在于,所述策略服務功能實體中預設的權限與位置信息對應關系中,還包括與終端角色的對應關系時,所述策略服務功能實體中還用于根據所述終端的物理位置,從預設的權限與位置信息對應關系中,獲取所述終端的權限后,根據對所述終端進行認證過程中獲取的終端角色,進一步獲取與所述終端角色對應的權限。全文摘要本發明公開了一種WLAN中訪問網絡權限的控制方法和系統。其中,獲取終端對多個AP的發射信號進行測量得到的無線信號強度信息RSSI,并與預設的位置信息數據進行匹配,確定終端的物理位置;進而獲取與該物理位置對應的權限,根據該權限生成相應的策略對終端訪問網絡的權限進行控制。通過使用本發明,實現了WLAN中基于終端所處的物理位置,對終端訪問網絡的權限進行控制。文檔編號H04W12/00GK101668293SQ20091018072公開日2010年3月10日申請日期2009年10月21日優先權日2009年10月21日發明者孫利輝申請人:杭州華三通信技術有限公司