CN105337936B - 区域受限网络的访问控制方法、认证方法和认证设备 - Google Patents
区域受限网络的访问控制方法、认证方法和认证设备 Download PDFInfo
- Publication number
- CN105337936B CN105337936B CN201410327928.0A CN201410327928A CN105337936B CN 105337936 B CN105337936 B CN 105337936B CN 201410327928 A CN201410327928 A CN 201410327928A CN 105337936 B CN105337936 B CN 105337936B
- Authority
- CN
- China
- Prior art keywords
- equipment
- region
- region limited
- authentication information
- access equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000005540 biological transmission Effects 0.000 claims abstract description 10
- 230000000875 corresponding Effects 0.000 claims description 7
- 230000015572 biosynthetic process Effects 0.000 claims description 4
- 238000005755 formation reaction Methods 0.000 claims description 4
- 238000004891 communication Methods 0.000 description 24
- 238000010586 diagram Methods 0.000 description 12
- 238000001514 detection method Methods 0.000 description 9
- 238000000034 method Methods 0.000 description 5
- 238000010276 construction Methods 0.000 description 4
- 239000000203 mixture Substances 0.000 description 3
- 101700050571 SUOX Proteins 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000007639 printing Methods 0.000 description 2
- 230000001131 transforming Effects 0.000 description 2
- 230000003321 amplification Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000003139 buffering Effects 0.000 description 1
- 230000003750 conditioning Effects 0.000 description 1
- 230000003111 delayed Effects 0.000 description 1
- 230000001419 dependent Effects 0.000 description 1
- 235000013399 edible fruits Nutrition 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000006011 modification reaction Methods 0.000 description 1
- 238000003199 nucleic acid amplification method Methods 0.000 description 1
- 230000001702 transmitter Effects 0.000 description 1
Abstract
提供了区域受限网络系统的访问控制方法以及对该区域受限网络系统中的访问设备进行认证的认证方法和认证设备。该区域受限网络系统包括中央控制设备以及至少一个区域受限网络,所述至少一个区域受限网络的每个至少包括一个主节点。该方法包括:检测访问设备进入所述网络系统中的一个区域受限网络;由所述一个区域受限网络中的主节点接收所述访问设备发送的认证信息请求,该认证信息请求用于从所述主节点请求所述访问设备的认证信息;响应于接收到所述认证信息请求,所述一个区域受限网络中的主节点生成并发送所述访问设备的认证信息;以及由所述访问设备接收所述认证信息,并利用所述认证信息向所述中央控制设备请求认证。
Description
技术领域
本发明总体地涉及区域受限网络,更具体地涉及区域受限网络系统的访问控制方法以及对区域受限网络中的访问设备进行认证的认证方法和认证设备。
背景技术
Ad-hoc网络是一种无线的自组织网络,与传统的无线网络相比,它不依赖于任何固定的基础设施和管理中心,而是由一组自主的移动节点临时组成,通过移动节点间的相互协作和自我组织,保持网络连接和实现数据的传递。传统的Ad-hoc网络没有预先定义的(例如人为定义的)边界以限定某个区域,而是通常由网络的最大传输距离来限定。
目前,存在一些限定Ad-hoc网络的区域的技术,在区域受限的ad-hoc(ARA)网络中,每个ARA网络相互独立,在每个ARA网络的限定区域内的访问设备需要经过该网络内的所谓主节点的认证来访问该网络内的资源,并且不能同时保留对外的因特网访问。
发明内容
考虑到以上情况,并且出于通信安全、私密、迅速和便捷等方面的考虑,目前,理光公司针对区域受限网络进行了一些研究,并且提出了针对区域受限网络的网络系统及其访问控制方法。
根据本发明的一个方面,提供了一种区域受限网络系统的访问控制方法,该区域受限网络系统包括中央控制设备以及至少一个区域受限网络,所述至少一个区域受限网络的每个至少包括一个主节点,该方法可以包括:检测访问设备进入所述网络系统中的一个区域受限网络;由所述一个区域受限网络中的主节点接收所述访问设备发送的认证信息请求,该认证信息请求用于从所述主节点请求所述访问设备的认证信息;响应于接收到所述认证信息请求,所述一个区域受限网络中的主节点生成并发送所述访问设备的认证信息;以及由所述访问设备接收所述认证信息,并利用所述认证信息向所述中央控制设备请求认证。
在一个实施例中,每个区域受限网络还可以包括区域限定信号发射设备,该区域限定信号发射设备与相应区域受限网络中的主节点相关联并广播用于限定该区域受限网络的区域限定信号。检测访问设备进入所述网络系统中的一个区域受限网络的步骤可以包括检测所述访问设备接收到的该区域受限网络的区域限定信号的信号强度值,当该信号强度值大于第一阈值时,确定该访问设备进入所述一个区域受限网络,以及当该信号强度值小于第二阈值时,确定该访问设备退出所述一个区域受限网络。
在一个实施例中,该认证信息请求可以包括访问设备的设备ID,并且该一个区域受限网络中的主节点响应于接收到所述认证信息请求,基于所述认证信息请求中所包括的设备ID生成所述认证信息。
在一个实施例中,所述访问设备发送的认证信息请求可以由所述区域限定信号发送设备接收并转发到所述一个区域受限网络中的主节点,并且所述主节点发送的认证信息可以由所述区域限定信号发送设备接收并转发到所述访问设备。
在一个实施例中,该方法还可以包括:所述中央控制设备接收所述访问设备的认证请求,从所述一个区域受限网络中的主节点取回所述主节点生成的所述访问设备的认证信息并将其与所述访问设备提供给所述中央控制设备的认证信息进行比较以对所述访问设备进行认证。
在一个实施例中,该方法还可以包括:所述中央控制设备为所述网络系统中的每个区域受限网络生成区域设备服务列表,并且根据所述区域设备服务列表对经过认证的访问设备进行访问控制。
在一个实施例中,每个区域受限网络的区域设备服务列表可以包括该区域受限网络的区域ID、该区域受限网络中的所有设备的设备ID以及每个设备的设备功能列表。
在一个实施例中,当所述访问设备通过所述中央控制设备的认证之后,所述中央控制设备可以通过将所述访问设备添加到相应的区域受限网络的区域设备服务列表中来更新所述区域设备服务列表。
根据本方面的另一方面,提供了一种对访问设备进行认证的认证方法,用于区域受限网络系统,该区域受限网络系统包括至少一个区域受限网络,所述至少一个区域受限网络的每个至少包括一个主节点,该方法可以包括:接收进入所述区域受限网络系统中的一个区域受限网络的访问设备的认证请求,该认证请求包括所述访问设备的认证信息;响应于接收到所述认证请求,从所述一个区域受限网络中的主节点取回该主节点为该访问设备产生的认证信息;以及基于从所述访问设备接收的认证请求中包括的认证信息以及从所述主节点取回的认证信息对所述访问设备进行认证。
根据本发明的另一方面,提供了一种对访问设备进行认证的认证设备,用于区域受限网络系统,该区域受限网络系统包括至少一个区域受限网络,所述至少一个区域受限网络的每个至少包括一个主节点,该认证设备可以包括:接收部件,接收进入所述区域受限网络系统中的一个区域受限网络的访问设备的认证请求,该认证请求包括所述访问设备的认证信息;取回部件,响应于接收到所述认证请求,从所述一个区域受限网络中的主节点取回该主节点为该访问设备产生的认证信息;以及认证部件,基于从所述访问设备接收的认证请求中包括的认证信息以及从所述主节点取回的认证信息对所述访问设备进行认证。
根据本发明的另一方面,提供了一种通信系统,该通信系统可以包括:至少一个区域限定信号发射设备,每个区域限定信号发射设备广播区域限定信号,该区域限定信号限定一个区域受限网络,每个区域限定信号发射设备检测访问设备进入由该区域限定信号发射设备广播的区域限定信号所限定的区域受限网络;至少一个主设备,每个主设备与一个区域限定信号发射设备相关联,并接收与该主设备相关联的区域限定信号发射设备所检测到的访问设备发送的认证信息请求,该认证信息请求用于从该主设备请求所述访问设备的认证信息,并且所述主设备响应于所述认证信息请求而生成所述访问设备的认证信息并将该认证信息发送给所述访问设备;以及中央控制设备,接收所述访问设备的认证请求,基于所述访问设备的认证信息对所述访问设备进行认证。
在一个实施例中,所述区域限定信号发射设备可以检测访问设备接收到的该区域限定信号发射设备所广播的区域限定信号的信号强度值,当该信号强度值大于第一阈值时,确定该访问设备进入该区域限定信号所限定的区域受限网络,以及当该信号强度值小于第二阈值时,确定该访问设备退出该区域受限网络。
根据本申请的实施例,在具有多个区域受限网络的网络通信系统中,由该系统中的中央控制设备集中地控制访问设备对该系统中的任意区域受限网络的资源访问。同时,访问设备可以保持对外的因特网连接。
附图说明
图1是图示根据本发明的示例的区域受限网络系统的示意图。
图2是图示根据本发明的区域受限网络系统的示例访问控制方法的流程图。
图3是图示图2中的示例访问控制方法的序列图。
图4是图示根据本方面的一个实施例的认证帧的示例结构的示意图。
图5是图示图2中的示例访问控制方法的序列图的继续。
图6是图示访问设备访问区域受限网络中的资源的应用实例的示意图。
图7是图示根据本发明的一个实施例的通信系统的系统框图。
图8是图示根据本申请的一个实施例的对访问设备进行认证的认证方法的流程图。
图9是图示根据本申请的一个实施例的对访问设备进行认证的认证设备的功能框图。
图10(a)-(d)分别图示可以应用于本申请的访问设备、中央控制设备、主(从)设备和区域限定信号发射设备的示例结构的结构框图。
具体实施方式
现在将参考附图详细参照本发明的具体实施例。尽管将结合具体实施例描述本发明,但是可以理解,不意图将本发明限于所公开的具体实施例。应注意,在此所述的方法步骤都可以由任何功能块或功能布置来实现,且任何功能块或功能布置可被实现为物理实体或逻辑实体、或者两者的组合。
首先,介绍其中可以实现本发明的实施例的系统框架。
在某些应用场合,比如在办公环境下,在一个网络系统区域内可能存在多个区域受限自组织(ARA)网络,诸如移动电话、平板电脑、笔记本计算机等的移动设备可能需要频繁访问该区域中的不同ARA网络内的资源以及在该区域内的其他数据资源。
例如,参考图1,其图示了根据本发明的示例网络系统的示意图。如图1所示,该网络系统100包括多个区域受限网络120-1、120-2、120-3、120-4(在下文中无需区分各个区域受限网络的情况下,可以将它们统称为区域受限网络120)。移动设备190意图访问任意的区域受限网络120(例如,在图1中示出为120-1)内的资源,为此,其需要根据预定规则加入该区域受限网络120中的会话。
每个ARA网络120包括一个主节点130,并且可以没有从节点或者具有一个或多个从节点140。例如,如图1所示,ARA网络120-1具有主节点130以及多个从节点140-1、140-2和140-3,ARA网络120-2仅具有主节点并且没有从节点,ARA网络120-3具有一个主节点以及一个从节点,等等。一个主节点与一个ARA网络内的区域限定信号发射设备相关联,换句话说,每个ARA网络内仅存在一个主节点。
传统上,每个ARA网络内的主节点管理在该网络内的会话以及维持连接,也就是说,在同一ARA网络内,从节点的连接以及资源访问由主节点控制。
如图1所示,根据本申请的网络系统100还包括中央控制设备150。如上所述,传统上每个ARA网络的资源访问由该网络内的主节点控制。然而,在本申请的网络系统中,对该网络系统内的多个ARA网络的任意一个网络内的资源访问由该中央控制设备150集中地控制,这将在下文中详细描述。
在一个实施例中,例如,该中央控制设备可以是路由器,然而这仅仅是举例,中央控制设备也可以是任何其他适当的设备。该中央控制设备150与每个主节点可以有线或无线地连接,例如在图1中它们之间通过内联网而连接。该中央控制设备150还可以通过有线或无线网络与任意的数据中心160连接,该数据中心可以是本地或远程的数据服务器等等。
关于区域限定网络的组网形成过程以及主节点和从节点的选取,在本申请人的在先专利申请公开No.103813325A中对此进行了详细描述,通过全文引用将该申请合并于本文中。
如在该专利申请中所述,可以采用红外信号(IR)、近场通信(NFC)、超声波、微波等方式来实现ARA网络的区域限定。在本申请中,将采用WiFi带外的无线信号作为限域信号,以下以蓝牙低功耗(BLE)信号为例进行说明,但是本领域技术人员能够理解,在本申请中可以采用任何其他适当的信号作为限域信号。
如图1所示,每个发射BLE信号的基站(BS)与一个主节点130相关联。在一个实施例中,该BLE发射基站可以是嵌入在该主节点内的BLE信号发射设备,如在区域受限网络120-2内的BLE信号发射设备。在另一实施例中,该BLE发射基站可以是一个独立的设备并且通过其他手段(包括但不限于USB延长线直连、串口通信线直连或者无限手段WiFi直连等等)与主节点通信,如在区域受限网络120-1、120-3、120-4内的BLE信号发射设备。由此,在与每个主节点130相关联的BLE基站信号的覆盖范围内形成符合ARA协议的相应区域受限网络120-1、120-2、120-3、120-4。
以上,已经描述了可以实施本发明的实施例的区域受限网络系统的框架,该区域受限网络系统包括中央控制设备以及至少一个区域受限网络,每个区域受限网络至少包括一个主节点。
接下来,将参考图2描述根据本发明的实施例的区域受限网络系统的访问控制方法。如图2所示,该方法控制方法可以包括以下步骤:
步骤S210,检测访问节点进入区域受限网络系统中的一个区域受限网络;
步骤S220,由该区域受限网络中的主节点接收该访问节点发送的认证信息请求,该认证信息请求用于从所述主节点请求所述访问节点的认证信息;
步骤S230,响应于接收到该认证信息请求,该区域受限网络中的主节点生成并发送该访问节点的认证信息;以及
步骤S240由该访问节点接收该认证信息,并利用该认证信息向中央控制设备请求认证。
进一步参考图3以及图5中所示的有关该方法的各步骤的序列图详细描述该方法。
根据该方法,在步骤210中,检测是否存在任何访问设备(即访问节点)进入该区域受限网络系统中的任意区域受限网络范围内。如图3中的序列A所示,在每个区域受限网络中,与主节点相关联的区域限定信号发射设备(例如BLE基站)持续地广播区域限定信号(例如BLE信号)。访问设备可以具有任意适当的信号接收部件以接收该区域限定信号,当移动设备接近区域限定信号发射设备、即接近其所限定的区域受限网络时,通过该访问设备中所包括的检测部件来检测该访问设备接收到的区域限定信号的信号强度,可以确定该访问设备是否进入区域受限网络中。
在一个实施例中,例如,可以采用接收的区域限定信号的RSSI值来判断访问设备是否进入区域受限网络中,如图3中的序列B所示。通常的判断方法是计算所接收的区域限定信号的RSSI值并将其与预定阈值比较来进行判断。然而,在本申请中,可以采用带状判断区域来进行判断。
具体地,可以预先定义该带状区域的第一阈值Vth1和第二阈值Vth2。例如,在一个实施例中,例如,该第一阈值Vth1可以预先设置为-45dBm,该第二阈值Vth2可以预先设置为-55dBm,当然,这仅仅是一个具体示例,本领域技术人员完全可以根据具体应用环境预先设置任何其他适当的第一和第二阈值。
举例而言,当移动设备接收到的BLE基站发射的区域限定信号的RSSI值是-40dBm时,其大于第一阈值Vth1(-45dBm),因此可以判断该移动设备已进入该区域限定信号所限定的区域受限网络内。作为另一例子,当检测到的RSSI值是-60dBm时,其小于第二阈值Vth2(-55dbm),则可以判断该移动设备在该区域受限网络之外。
至于检测到的RSSI值小于第一阈值Vth1但是大于第二阈值Vth2的情况,此区域可以看作是缓冲区,对于检测的RSSI值落入此区域的检测设备,可以保留前一次对其进行边界判断所获得判断结果。
因为在某种程度上而言RSSI值反映了移动设备距离BLE基站的距离,从而该RSSI值的第一和第二阈值定义了一个带状判断区域(在-45dBM和-55dBm之间)。根据本申请的判断方法,只有在访问设备越过了该带状区域的内边界而进入区域受限网络时,才认为该访问设备进入该区域受限网络,并且只有当该访问设备离开该带状区域的外边界时,才认为该移动设备退出该区域受限网络。由此,避免了在单一阈值检测方法中由于区域限定信号的抖动而引起的检测不准确的问题。
当然,在此提出的双阈值检测方法不限于通过RSSI值的检测,也可以应用于任何其他区域受限网络进出的阈值检测方法。
在检测到移动设备进入区域受限网络之后,则触发该移动设备与BLE基站之间的安全通信连接的建立。例如,该通信连接可以包括但不限于P2P通信连接。具体地,该BLE基站广播的BLE信号中可以包括该BLE基站的地址信息,移动设备在接收到该BLE信号后可以解析出该基站的地址信息,从而向该地址发送诸如P2P连接的连接请求,如图3中的序列C所示。响应于接收到该连接请求,BLE基站也可以对进行请求的移动设备进行检测,比如通过与上述类似的双阈值检测方法来分析移动设备的请求信号的RSSI值,从而确定该移动设备是否在该区域受限网络内,如图3中的序列D所示。在BLE基站确定该移动设备已经进入该区域受限网络的范围内之后,向移动设备发送对该连接请求的响应,由此,建立该移动设备与BLE基站之间的P2P连接,如图3中的序列E所示。
可选地,BLE基站在做出连接响应之前可以检查移动设备所发送的信号是否与其自身的信号遵循相同的规范,并且在规范相同的情况下进行响应。否则,不对该连接请求做出响应。
在步骤S210中检测到移动设备进入了一个区域受限网络后,在步骤S220中,移动设备请求认证信息。
具体地,在一个实施例中,在如上所述在该移动设备与BLE基站之间建立安全通信连接之后,移动设备可以通过此通信连接发送认证信息请求,该认证信息请求用于请求由该区域受限网络内的主节点产生的对于该移动设备的认证信息。该请求可以由BLE基站接收(如图3中的序列F所示)并通过类似的安全通信方式将其转发到该主节点(如图3中的序列H所示)。可选地,在每次BLE基站响应于移动设备的请求而进行任何进一步的响应或动作之前,BLE基站可以对移动设备的发送信号(或请求信号)进行诸如RSSI值的类似分析以确定该移动设备是否仍在该基站所限定的区域受限网络内,并且在该移动设备仍在该区域受限网络内的情况下继续进行下一步的动作,如图3中的序列G所示,以下不再赘述。
在步骤S230,响应于接收到该认证信息请求,该主节点产生该移动设备的认证信息。
具体地,在一个实施例中,该验证信息请求中可以包括进行请求的移动设备的设备标识符(ID),并且该主节点响应于从BLE基站转发的该移动设备的认证信息请求,基于该认证信息请求中所包括的该移动设备的设备ID而生成用于该移动设备的认证密钥(如图3中的序列I所示),并将该设备ID和认证密钥的对作为认证信息而发送(如图3中的序列J所示)。
该设备ID是用于在由中央控制设备所控制的所有区域受限网络内唯一地标识当前的访问设备的标识符。在一个简单的例子中,该设备ID可以用字符来表示,比如ARID_XYZ,其中ARID代表访问设备所在的受限区域的标识符,XYZ代表访问设备本身的标识符。在另一例子中,该设备ID可以直接采用访问设备的MAC地址,比如该地址的后16位。当然,这些仅仅是举例,可以采用的设备ID的具体形式不限于此,只要其能够唯一地标识当前访问设备即可。
或者,在另一实施例中,在该访问设备的验证信息请求中不包括该访问设备的设备ID的情况下,该设备ID可以由主节点来指定并将其通知给访问设备。
从而,在获得访问设备的设备ID之后,主节点基于该访问设备的设备ID生成认证密钥。作为一个例子,主节点利用适当的变换函数、例如哈希函数等等对该设备ID进行变换,从而得到认证密钥,即f(Device_ID)=Auth_Key,其中Device_ID表示设备ID,Auth_key表示认证密钥,f(x)是由主节点使用的密钥产生函数。
可选地,为了提高安全性,还可以在该密钥中添加随机数、时间戳等等另外的信息。
由此,主节点基于移动设备的设备ID生成认证信息,将其作为对于该移动设备的认证信息请求的响应而发送。例如,该主节点发送的认证信息可以由BLE基站以安全通信方式接收并将其转发到进行请求的移动设备,如图3中的序列K所示。
在步骤S240,由该访问节点接收该认证信息,并利用该认证信息向中央控制设备请求认证。
具体地,在一个实施例中,访问设备基于接收到的认证信息生成认证帧(AF),如图3中的序列L所示。图4示出了根据一个实施例的认证帧的示例结构。在该例子中,该认证帧包括受限区域标识符(ARID_In或ARID_Out)、所接收的认证信息中包括的移动设备ID和认证密钥、以及可选的认证延时(Time_Out)。
其中,为了指示访问设备是否处于区域受限网络内,并且同时为了支持中央控制设备同时管理多个区域受限网络的特征以便区分访问设备处于哪个区域受限网络内,可以在该认证帧中包括如图4中所示的受限区域标识符ARID_In或ARID_Out,其中该ARID代表受限区域ID,可以是8比特的字符串,此时可以支持255个区域(00000001-11111111),当然区域ID的具体形式不限于此。In或Out代表移动设备进入或退出该ARID所标示的区域受限网络,其可以用一个比特表示,例如“0”表示In并且“1”表示Out,或者反之依然。
如图4所示,可选地,该认证信息还可以包括认证延时(Time_Out),用于规定从移动设备开始请求认证到通过认证的时间间隔,例如可以是2秒,5秒等等,超过该时间间隔,移动设备需要重新发起认证请求。
当然,图4所示的认证帧的结构仅仅是举例,在形成认证帧时,可以将图4所示的各个构成字段放入现有协议的标准帧结构中,当然,该帧结构中可能还包括其他的字段,比如头部字段、尾部校验字段等等,在此不再赘述。
同时,产生了上述认证信息的主节点也根据相同的规则从该认证信息产生认证帧(如图3中的序列M所示),并将其缓存在主节点的缓冲器或存储器中,用于稍后供中央控制设备使用(如图3中的序列N所示)。
在基于接收到的认证信息生成了认证帧之后,访问设备立即向中央控制设备请求认证(如图3中的序列O以及图5中的序列A所示)。在一个实施例中,该访问设备可以经由诸如有线或无线因特网连接或者内联网等的网络连接将该认证请求发送到中央控制设备。该认证请求包括该访问设备所生成的认证帧。
在接收到主节点发送的认证帧之后,中央控制设备解析由访问设备提供的认证帧以获得访问设备的认证信息,如图5中的序列B所示。并且在接收到访问设备的认证请求的同时,中央控制设备就向主节点索取主节点所生成的对于该访问设备的认证帧,如图5中的序列C所示。
在从主节点取回认证帧之后,中央控制设备解析由主节点提供的认证帧以获得主节点生成的访问设备的认证信息,并基于分别由访问设备和主节点提供的认证信息对该访问设备进行认证。该认证过程可以是简单的挑战握手过程,或者也可以是任何其他的标准认证过程,比如PTK、EAP认证过程等等。简言之,当二者的认证信息一致时,访问设备通过中央控制设备的认证;否则,访问设备不通过认证。
为了数据安全性考虑,在访问设备向中央控制设备发送认证请求时或者在中央控制设备从主节点取回认证帧时,可以根据预定协议对发送的内容进行加密,并且中央控制设备在接收到上述内容时可以根据对应的协议对内容进行解密,从而进行接下来的认证过程。
由此,中央控制设备接收该访问设备的认证请求,从该区域受限网络中的主节点取回该主节点生成的该访问设备的认证信息并将其与该访问设备提供给中央控制设备的认证信息进行比较,以对所述访问节点进行认证,并基于认证结果对该访问设备进行访问控制。
例如,如果该访问设备通过了中央控制设备的认证,则允许该访问设备访问其所在的区域受限网络内的资源,如图5的序列D所示。
具体地,在一个实施例中,中央控制设备可以为每个区域受限网络保持区域设备服务列表(ADST,Area Restricted Service Table)。例如,图6的虚线框中示出了区域设备服务列表的一个具体例子。如图6所示,该区域设备服务列表可以包括:受限区域识别符(区域ID)、设备列表以及设备功能列表。其中区域ID用于识别该区域设备服务列表属于哪个区域受限网络,设备列表列出该区域受限网络内的所有设备的设备ID,并且设备功能列表列出该区域受限网络内的每个设备的功能。
该区域设备服务列表ADST可以在区域受限网络的组网形成阶段由中央控制设备建立,并且在该区域受限网络变化(比如从节点加入、从节点退出、主节点变更等等)时而更新。例如,每当有新设备加入一个区域受限网络时,该设备向该区域受限网络内的主节点登记其设备ID以及其服务功能,主节点将其通知给中央控制设备,由此触发中央控制设备对该区域受限网络的ADST的更新,即将该新设备的设备ID和功能添加到该ADST中。返回参考图5,在移动设备经过认证之后,例如,中央控制设备将其添加到其所在的区域(区域ID为00000001)的区域设备服务列表的底部。
因此,当访问设备通过中央控制设备的认证之后,中央控制设备将该访问设备的设备ID及其功能添加到该区域受限网络的ADST中,并且可以将该ADST提供给该访问设备。由此,该访问设备可以从该ADST中选择适当的设备进行访问。
以下参考图6描述ADST的一个具体应用实例。如图6所示,在办公环境下,当访问设备(如图所示的移动电话)进入图中椭圆所示的区域受限网络(区域ID:00000001)时,根据上述的方法200,中央控制设备(AP)对该移动电话进行认证,当该移动电话通过认证之后,中央控制设备可以将该区域受限网络的区域设备服务列表ADST发送给该移动电话,如图中的虚线框所示。其中在该ADST中,MFP_srcb101代表该区域受限网络中的主节点,例如该图的上部分即对该区域受限网络(椭圆区域)的放大图中所示的打印机,如该虚线框左侧的功能列表所示,该MFP_srcb101具有打印、扫描的功能。另外,该列表中还列出了该区域受限网络中的从节点IWB_srcb102的功能。在该移动电话意图进行文件打印的情况下,例如,该移动电话可以从该ADST中选择具有打印功能的设备,例如主节点打印机,从而访问该设备进行文件打印。
仍在该应用实例中,同时回顾图1,如图1所示,中央控制设备(AP)还可以通过因特网等与数据中心连接,因此,进入区域受限网络的移动电话还可以经由AP通过因特网连接来访问该数据中心,比如获取存储在该数据中心处的文件,并且进一步地,该移动设备还可以如上所述访问该区域受限网络中的主节点MFP_srcb101打印机,以便打印从该数据中心获取的文件。
由此可见,根据本申请的区域受限网络的访问控制方法,不但可以由中央控制设备集中地控制多个区域受限网络以保持区域受限的访问,同时还可以保持对外的因特网连接。
需要指出的是,尽管以上在办公环境下描述了本申请的区域受限网络访问控制方法的应用例子,但是本领域技术人员很清楚,该方法的应用不局限于办公环境,当然也可以应用于具有多个区域受限网络的其他场合。
在另一实施例中,可选地,该访问控制方法200还可以包括当达到预定条件时解除对访问设备的授权访问的步骤。例如,该预定条件可以是预定的使用时间,当自从该访问设备被授权访问该ADST中的资源起已经经过该预定使用时间时,该中央控制设备解除对该访问设备的授权访问,并且如果该访问设备需要继续访问该ADST中的资源,则该访问设备需要重新向该中央控制设备请求认证。例如,该预定使用时间可以是5分钟、10分钟或者任何其他合适的时间段。
作为另一例子,该预定条件可以是触发解除授权的预定事件或预定动作。该预定事件可以是例如访问该ADST中的资源达预定时间,比如使用打印机5分钟,使用投影仪30分钟等等。
当然,以上仅仅是该预定条件的具体例子,并且本领域技术人员很清楚,本申请可以采用的用于触发解除授权的预定条件不限于此。当因达到预定条件访问设备被解除授权时,中央控制设备可以从ADST列表中删除有关该访问设备的列表内容。
根据本申请的区域受限网络的访问控制方法200,当检测到访问设备进入一个区域受限网络时,由该区域受限网络内的主节点为其生成认证信息,该访问设备利用主节点生成的认证信息向中央控制设备请求认证。由此,实现了中央控制设备对预定区域内的多个区域受限网络的集中式访问控制。与此同时,访问设备还可以保持对外的因特网访问。
以下,参考图7描述根据本发明的另一实施例的通信系统。图7示出了根据该实施例的通信系统的系统框图。如图7所示,该通信系统700包括:至少一个区域受限网络710-1、710-2以及一个中央控制设备740。
类似于图1中的区域受限网络120-1、120-2、120-3、120-4,每个区域受限网络710-1、710-2(在不需要相互区分的情况下,将其统称为区域受限网络710)包括一个区域限定信号发射设备720-1、720-2(在不需要相互区分的情况下,将其统称为区域限定信号发射设备720)以及与每个区域限定信号发射设备720-1、720-2相关联的一个主设备730-1、730-2(在不需要相互区分的情况下,将其统称为主设备730)。相互关联的一个区域限定信号发射设备720和一个主设备730位于由该区域限定信号发射设备720发射的区域限定信号所限定的一个区域受限网络710内。
换句话说,该通信系统700可以包括至少一个区域限定信号发射设备720、与该至少一个区域限定信号发射设备相关的至少一个主设备730、以及一个中央控制设备740。
每个区域限定信号发射设备720发射区域限定信号,该区域限定信号限定一个区域受限网络,每个区域限定信号发射设备720检测访问设备进入由其发射的区域限定信号所限定的区域受限网络。每个主设备730与一个区域限定信号发射设备相关联,并接收与该主设备730相关联的区域限定信号发射设备720所检测到的访问设备所发送的认证信息请求,该认证信息请求用于从该主设备730请求所述访问设备的认证信息,并且所述主设备730响应于所述认证信息请求而生成所述访问设备的认证信息,并将该认证信息发送给所述访问设备。该中央控制设备740接收所述访问设备的认证请求,基于所述访问设备的认证信息对所述访问设备进行认证。
在一个实施例中,该区域限定信号发射设备检测访问设备接收到的由其广播的区域限定信号的信号强度值,当该信号强度值大于第一阈值时,确定该访问设备进入该区域限定信号所限定的区域受限网络,以及当该信号强度值小于第二阈值时,确定该访问设备退出该区域受限网络。
在一个实施例中,该认证信息请求包括该访问设备的设备ID,并且主设备响应于接收到该认证信息请求,基于该认证信息请求中所包括的设备ID生成认证信息。
在一个实施例中,该访问设备发送的认证信息请求由区域限定信号发送设备接收并转发到该区域受限网络中的主设备,并且该主设备发送的认证信息由该区域限定信号发送设备接收并转发到该访问设备。
在一个实施例中,该中央控制设备接收访问设备的认证请求,从该主节点取回该主节点生成的用于该访问设备的认证信息并将其与该访问设备提供给中央控制设备的认证信息进行比较以对该访问设备进行认证。
在一个实施例中,该中央控制设备为该通信系统中的每个区域受限网络生成区域设备服务列表,并且根据该区域设备服务列表对经过认证的访问设备进行访问控制。
在一个实施例中,每个区域受限网络的区域设备服务列表包括该区域受限网络的区域ID、该区域受限网络中的所有设备的设备ID以及每个设备的设备功能列表。
在一个实施例中,当访问设备通过中央控制设备的认证之后,中央控制设备通过将该访问设备添加到相应的区域受限网络的区域设备服务列表中来更新该区域设备服务列表。
根据本申请的此实施例的通信系统,当检测到访问设备进入该通信系统内的一个区域受限网络时,由该区域受限网络内的主设备为其生成认证信息,该访问设备利用主设备生成的认证信息向该通信系统内的中央控制设备请求认证。由此,实现了中央控制设备对该通信系统内的多个区域受限网络的集中式访问控制。与此同时,在该通信系统中,访问设备还可以保持对外的因特网访问。
类似于图1中的区域受限网络120-1、120-2、120-3、120-4,通信系统700中的每个区域受限网络710-1、710-2可以包括一个或多个从设备或者可以不包括从设备,为了简化,没有在图7中示出任何从设备。
以下,参考图8的流程图描述根据本申请的一个实施例的用于对访问设备进行认证的认证方法。根据此实施例的此认证方法可以用于上述的区域受限网络系统,该区域受限网络系统包括至少一个区域受限网络,每个区域受限网络包括一个主节点,并且可以包括一个或多个从节点或者可以被包括从节点。
如图8所示,该认证方法可以包括以下步骤:
步骤S810,接收进入该区域受限网络系统中的一个区域受限网络的访问设备的认证请求,该认证请求包括访问设备的认证信息;
步骤S820,响应于接收到该认证请求,从该一个区域受限网络中的主节点取回该主节点为该访问设备产生的认证信息;以及
步骤S830,基于从该访问设备接收的认证请求中包括的认证信息以及从该主节点取回的认证信息对该访问设备进行认证。
具体地,在一个实施例中,在步骤S810中接收的访问设备的认证请求中可以包括认证帧,该认证帧是从认证信息形成的,该认证信息是经访问设备请求而由主节点提供给该访问设备的,如上已经描述了访问设备的认证帧的具体形成方式。例如,该认证信息可以包括该访问设备的设备ID以及认证密钥,该认证密钥由该主节点基于该访问设备的设备ID而生成。
在步骤820中,响应于接收到访问设备的认证请求,从该访问设备所处于的区域受限网络中的主节点取回该主节点为该访问设备所生成的认证帧,以上已经给出了主节点为访问设备生成认证帧的详细描述,在此不再赘述。
在步骤S830中,可以通过分别解析从访问设备和从主节点提供的认证帧以获得其中的认证信息,并且通过对解析得到的认证信息进行比较来进行访问节点的认证。例如,如果二者的认证信息一致,则确认访问设备通过认证,否则,访问设备不通过认证。经过认证的访问设备可以访问该区域受限网络中的资源。
该认证方法可以由认证设备进行,该认证设备的一个例子可以是上述的中央控制设备。由此,通过该方法,可以集中地进行对多个区域受限网络中的任意区域受限网络进行访问的访问控制设备的认证,从而集中地进行多个区域受限网络中的访问设备的访问控制。
图9示出了根据本申请的一个实施例的用于进行该认证方法的认证设备的示意性功能框图。如图9所示,该认证设备900可以包括:接收部件910、取回部件920以及认证部件930。
该接收部件910可以配置为接收进入多个区域受限网络中的一个区域受限网络的访问设备的认证请求,该认证请求包括该访问设备的认证信息。该取回部件920可以配置为响应于接收到该认证请求,从该一个区域受限网络中的主节点取回该主节点为该访问设备产生的认证信息。该认证部件930可以配置为基于从该访问设备接收的认证请求中包括的认证信息以及从该主节点取回的认证信息对该访问设备进行认证。
根据此实施例的认证设备,可以集中地对多个区域受限网络中的访问设备进行认证,从而集中地控制多个区域受限网络中的资源访问。
图10(a)-(d)分别示出了可以应用于本申请的访问设备、中央控制设备、主(从)设备和区域限定信号发射设备的示例结构的结构框图。当然,图中仅仅示出了与本申请相关的一些结构特征,这些设备中还可以包括其他构成组件。
如之前所述,主设备或从设备可以是任意的网络设备,如计算机、打印机、扫描仪、投影仪等等。区域限定信号发射设备可以是蓝牙信号基站、IR信号发射设备等等。中央控制设备可以是路由器等等。访问设备可以是任意的移动通信设备,比如移动电话、平板计算机、笔记本计算机等等。
以上已经详细描述了根据本申请的实施例的区域受限网络的访问控制方法以及包括多个区域受限网络的通信系统,其中通过中央控制设备对多个区域受限网络进行集中式访问控制。所采用的控制方法与现有的802.11协议中有关无线认证和授权的标准框架兼容,可以实现在现有的通信设备中。
在以上描述中采用了术语“节点”,其表示在网络结构中的拥有其自己的唯一网络地址的任意设备,如以上的主设备、从设备、访问设备等等都可以称作节点。
本公开中涉及的装置、设备、系统的方框图仅作为例示性的例子,并且不意图要求或暗示必须按照方框图示出的方式进行连接、布置、配置。如本领域技术人员将认识到的,可以按任意方式连接、布置、配置这些装置、设备、系统。诸如“包括”、“包含”、“具有”等等的词语是开放性词汇,指“包括但不限于”,且可与其互换使用。这里所使用的词汇“或”和“和”指词汇“和/或”,且可与其互换使用,除非上下文明确指示不是如此。这里所使用的词汇“诸如”指词组“诸如但不限于”,且可与其互换使用。
本公开中的步骤流程图以及以上方法描述仅作为例示性的例子,并且不意图要求或暗示必须按照给出的顺序进行各个实施例的步骤。如本领域技术人员将认识到的,可以按任意顺序进行以上实施例中的步骤的顺序。诸如“其后”、“然后”、“接下来”等等的词语不意图限制步骤的顺序;这些词语仅用于引导读者通读这些方法的描述。此外,例如使用冠词“一个”、“一”或者“该”对于单数的要素的任何引用不被解释为将该要素限制为单数。
提供所公开的方面的以上描述以使本领域的任何技术人员能够做出或者使用本发明。对这些方面的各种修改对于本领域技术人员而言是非常显而易见的,并且在此定义的一般原理可以应用于其他方面而不脱离本发明的范围。因此,本发明不意图被限制到在此示出的方面,而是按照与在此公开的原理和新颖的特征一致的最宽范围。
Claims (9)
1.一种区域受限网络系统的访问控制方法,该区域受限网络系统包括中央控制设备以及至少一个区域受限网络,所述至少一个区域受限网络的每个至少包括一个主节点,该方法包括:
检测访问设备进入所述网络系统中的一个区域受限网络;
由所述一个区域受限网络中的主节点接收所述访问设备发送的认证信息请求,该认证信息请求用于从所述主节点请求所述访问设备的认证信息;
响应于接收到所述认证信息请求,所述一个区域受限网络中的主节点生成并发送所述访问设备的认证信息;
由所述访问设备接收所述认证信息,并利用所述认证信息向所述中央控制设备请求认证;以及
由所述中央控制设备接收所述访问设备的认证请求,从所述一个区域受限网络中的主节点取回所述主节点生成的所述访问设备的认证信息,并将其与所述访问设备提供给所述中央控制设备的认证信息进行比较,以对所述访问设备进行认证。
2.如权利要求1所述的访问控制方法,其中每个区域受限网络还包括区域限定信号发射设备,该区域限定信号发射设备与相应区域受限网络中的主节点相关联并广播用于限定该区域受限网络的区域限定信号,
其中所述检测访问设备进入所述网络系统中的一个区域受限网络包括检测所述访问设备接收到的该区域受限网络的区域限定信号的信号强度值,当该信号强度值大于第一阈值时,确定该访问设备进入所述一个区域受限网络,以及当该信号强度值小于第二阈值时,确定该访问设备退出所述一个区域受限网络。
3.如权利要求2所述的访问控制方法,其中所述认证信息请求包括所述访问设备的设备ID,并且所述一个区域受限网络中的主节点响应于接收到所述认证信息请求,基于所述认证信息请求中所包括的设备ID生成所述认证信息。
4.如权利要求3所述的访问控制方法,其中所述访问设备发送的认证信息请求由所述区域限定信号发送设备接收并转发到所述一个区域受限网络中的主节点,并且所述主节点发送的认证信息由所述区域限定信号发送设备接收并转发到所述访问设备。
5.如权利要求1所述的访问控制方法,还包括:所述中央控制设备为所述网络系统中的每个区域受限网络生成区域设备服务列表,并且根据所述区域设备服务列表对经过认证的访问设备进行访问控制。
6.如权利要求5所述的访问控制方法,其中每个区域受限网络的区域设备服务列表包括该区域受限网络的区域ID、该区域受限网络中的所有设备的设备ID以及每个设备的设备功能列表。
7.如权利要求6所述的访问控制方法,其中当所述访问设备通过所述中央控制设备的认证之后,所述中央控制设备通过将所述访问设备添加到相应的区域受限网络的区域设备服务列表中来更新所述区域设备服务列表。
8.一种对访问设备进行认证的认证方法,用于区域受限网络系统,该区域受限网络系统包括至少一个区域受限网络,所述至少一个区域受限网络的每个至少包括一个主节点,该方法包括:
接收进入所述区域受限网络系统中的一个区域受限网络的访问设备的认证请求,该认证请求包括所述访问设备的认证信息;
响应于接收到所述认证请求,从所述一个区域受限网络中的主节点取回该主节点为该访问设备产生的认证信息;以及
基于从所述访问设备接收的认证请求中包括的认证信息以及从所述主节点取回的认证信息对所述访问设备进行认证。
9.一种对访问设备进行认证的认证设备,用于区域受限网络系统,该区域受限网络系统包括至少一个区域受限网络,所述至少一个区域受限网络的每个至少包括一个主节点,该认证设备包括:
接收部件,接收进入所述区域受限网络系统中的一个区域受限网络的访问设备的认证请求,该认证请求包括所述访问设备的认证信息;
取回部件,响应于接收到所述认证请求,从所述一个区域受限网络中的主节点取回该主节点为该访问设备产生的认证信息;以及
认证部件,基于从所述访问设备接收的认证请求中包括的认证信息以及从所述主节点取回的认证信息对所述访问设备进行认证。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410327928.0A CN105337936B (zh) | 2014-07-10 | 区域受限网络的访问控制方法、认证方法和认证设备 | |
US14/790,269 US9667625B2 (en) | 2014-07-10 | 2015-07-02 | Access control method, authentication method, and authentication device |
JP2015138073A JP2016018565A (ja) | 2014-07-10 | 2015-07-09 | エリア限定ネットワークのアクセス制御方法、認証方法及び認証装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410327928.0A CN105337936B (zh) | 2014-07-10 | 区域受限网络的访问控制方法、认证方法和认证设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105337936A CN105337936A (zh) | 2016-02-17 |
CN105337936B true CN105337936B (zh) | 2018-06-01 |
Family
ID=
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1665209A (zh) * | 2004-02-26 | 2005-09-07 | 三洋电机株式会社 | 服务器设备、基于网络的设备及程序产品 |
WO2006106393A2 (en) * | 2005-04-04 | 2006-10-12 | Nokia Corporation | Access management in a wireless local area network |
CN103813325A (zh) * | 2012-11-07 | 2014-05-21 | 株式会社理光 | 限定区域自组织网络的网络管理方法、通信设备和系统 |
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1665209A (zh) * | 2004-02-26 | 2005-09-07 | 三洋电机株式会社 | 服务器设备、基于网络的设备及程序产品 |
WO2006106393A2 (en) * | 2005-04-04 | 2006-10-12 | Nokia Corporation | Access management in a wireless local area network |
CN103813325A (zh) * | 2012-11-07 | 2014-05-21 | 株式会社理光 | 限定区域自组织网络的网络管理方法、通信设备和系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9531578B2 (en) | Connecting devices to networks | |
US7403794B2 (en) | Client terminal having a temporary connection establishing unit | |
JP6203985B1 (ja) | 認証証明のセキュアプロビジョニング | |
US20160242033A1 (en) | Communication service using method and electronic device supporting the same | |
US9131373B2 (en) | Dynamic account creation with secured hotspot network | |
US20140075523A1 (en) | Method, apparatus, and computer program product for sharing wireless network credentials | |
JP2016018565A (ja) | エリア限定ネットワークのアクセス制御方法、認証方法及び認証装置 | |
US9961543B2 (en) | Method and apparatus for wireless network authentication and authorization | |
US20120106449A1 (en) | Wireless communication terminal | |
JP2018037978A (ja) | 通信装置、通信方法、及びプログラム | |
JP5206109B2 (ja) | 入退場管理システムおよび無線通信端末 | |
JP6176018B2 (ja) | 無線接続システム、無線端末装置、および、無線接続方法 | |
CN101185253A (zh) | 使用nfc设置设备的无线连通性 | |
WO2016015509A1 (zh) | 用于移动通信系统中的终端认证方法和装置 | |
JP2001345819A (ja) | アクセスポイント装置及びその認証処理方法 | |
CN101262670A (zh) | 移动装置、通信系统及连线建立方法 | |
JP2010050905A (ja) | 無線通信制御方法、無線通信装置及び無線通信制御システム | |
KR20090115292A (ko) | 버튼 방식의 무선 랜 설정 방법 및 장치 | |
WO2017080333A1 (zh) | 上网认证方法、认证服务器及其所在认证系统 | |
KR20150124760A (ko) | 무선 근거리 통신망 기반 인스턴트 커넥션 관리장치 및 방법 | |
WO2016015510A1 (zh) | 用于移动通信系统中的终端认证方法和装置 | |
TWI684378B (zh) | 無線資源分配系統和方法 | |
JP2014072767A (ja) | 通信装置 | |
JP6471039B2 (ja) | 無線通信システムおよび無線端末 | |
CN107707560B (zh) | 认证方法、系统、网络接入设备及Portal服务器 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant |