[发明专利]WLAN中访问网络权限的控制方法和系统

说明书

技术领域

本发明涉及通讯技术领域，尤其涉及一种WLAN中访问网络权限的控制方法和系统。

背景技术

现有技术中的一种常见的网络控制的场景中，需要对来访人员和正式员工在不同地点访问网络的权限进行控制。例如：对于公司内的来访人员，希望控制来访人员只能在接待室内访问外部Internet网络，不能访问公司内部网络；且来访人员无法在接待室外的办公区访问任何网络。对于公司内的正式员工，希望控制正式员工在办公区可以访问内部网络中的资源，但不能访问外部Internet网络。通过上述控制，减少网络安全的风险。

现有技术中，通常使用有线设备如交换机、路由器等作为接入设备，将接入设备部署在不同的区域，预先在接入设备配置，对接入设备上的不同接入端口进行权限分配，由此对位于不用地点的通过不同接入端口连接到接入设备的用户终端访问网络的权限进行控制。

现有技术中存在的问题在于，有线设备和网络的部署复杂，且还可能存在网口的私接问题，无法真正控制不同用户接入网络的位置和权限；且接入设备需要支持专用功能，增加了使用成本。另外，随着WLAN(Wireless LocalArea Network，无线局域网)的普及，越来越多的用户使用WLAN上网、办公，使用基于有线设备的控制方法已经不能满足网络控制的需要。

发明内容

本发明提供一种WLAN中访问网络权限的控制方法和系统，用于在WLAN中根据用户终端的身份和所在的地点，对用户终端访问网络的权限进行控制。

本发明提供了一种无线局域网WLAN中访问网络权限的控制方法，应用于包括终端、定位服务功能实体、策略服务功能实体以及多个AP的WLAN中，所述终端通过所述多个AP中的一接入AP接入所述WLAN，所述方法包括：

所述定位服务功能实体获取终端对多个AP的发射信号进行测量得到的无线信号强度信息RSSI；

所述定位功能服务实体将所述多个AP以及对应的RSSI与预设的位置信息数据进行匹配，确定所述终端的物理位置并通知所述策略服务功能实体；

所述策略服务功能实体根据所述终端的物理位置，从预设的权限与位置信息对应关系中，获取所述终端的权限；

所述策略服务功能实体将与所述终端的权限对应的控制策略发送到所述终端的接入AP，对所述终端访问网络的权限进行控制。

其中，所述定位功能服务实体中预设的位置信息数据具体为：

在WLAN覆盖的区域中，按照预设的采样位置，在各个采样位置放置终端对多个AP的发射信号进行测量，得到每个AP对应的RSSI；

根据所述测量结果，对于每个AP，记录所述区域中从各个采样位置对所述AP的发射信号进行测量得到的RSSI；将记录结果作为位置信息数据存储在所述定位功能服务实体中。

其中，所述定位服务功能实体获取终端对多个AP的发射信号进行测量得到的无线信号强度信息RSSI前，还包括：

所述终端的接入AP向所述策略服务功能实体发送认证报文；

所述策略服务功能实体对所述终端进行认证，认证通过则继续，否则通知所述接入AP认证失败，拒绝所述终端接入。

其中，所述定位服务功能实体获取终端对多个AP的发射信号进行测量得到的RSSI，包括：

所述定位服务功能实体获取所述终端在认证通过后主动发送的对多个AP的发射信号进行测量得到的RSSI；或

所述定位服务功能实体在所述终端认证通过后，向多个AP发送消息，指示所述每个AP获取所述终端对所述AP的发射信号进行测量得到的RSSI，并将获取到的RSSI发送给所述定位服务功能实体。

其中，所述预设的权限与位置信息对应关系中，还包括与终端角色的对应关系；

所述策略服务功能实体根据所述终端的物理位置，从预设的权限与位置信息对应关系中，获取所述终端的权限后，还包括：

所述策略服务功能实体根据对所述终端进行认证过程中获取的终端角色，进一步获取与所述终端角色对应的权限。

本发明还提供了一种网络接入控制系统，应用于包括终端和多个AP的WLAN网络中，所述终端通过所述多个AP中的一接入AP接入所述WLAN；所述网络接入控制系统包括定位服务功能实体和策略服务功能实体：

所述定位服务功能实体，用于获取终端对多个AP的发射信号进行测量得到的RSSI；将所述多个AP以及对应的RSSI与预设的位置信息数据进行匹配，确定所述终端的物理位置并通知所述策略服务功能实体；