CN106878235B - 访问控制方法、电子设备和介质 - Google Patents
访问控制方法、电子设备和介质 Download PDFInfo
- Publication number
- CN106878235B CN106878235B CN201510920757.7A CN201510920757A CN106878235B CN 106878235 B CN106878235 B CN 106878235B CN 201510920757 A CN201510920757 A CN 201510920757A CN 106878235 B CN106878235 B CN 106878235B
- Authority
- CN
- China
- Prior art keywords
- mobile terminal
- data
- crowdsourcing
- area
- communication device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephone Function (AREA)
- Telephonic Communication Services (AREA)
Abstract
提供了一种访问控制方法和访问控制设备,用于在区域限定网络中控制移动终端对区域电子设备的访问。该区域限定网络包括众包通信装置。所述访问控制方法包括:在所述众包通信装置与所述移动终端之间建立通信连接;获取所述众包通信装置与所述移动终端之间的众包数据;处理所述众包数据以判断移动终端是否满足预设访问条件;在所述移动终端满足预设访问条件的情况中,在所述移动终端与所述区域电子设备之间建立访问链路。
Description
技术领域
本发明涉及通信技术领域,更具体地,涉及一种用于区域限定网络的访问控制方法和电子设备。
背景技术
用户在不同环境中有不同的通信需求。例如,在诸如办公区域、会场等建筑物中,具有利用区域通信技术构筑的无线局域网,用户可以快速便捷地进行大业务量的数据传输。在该无线局域网中,可能仅希望所信任的用户的移动终端利用区域通信技术进行通信,不信任用户的接入可能导致所述限定区域内的信息泄露,从而具有安全隐患。
无线局域网例如是区域限定网络。该区域限定网络可被划分为不同的限定区域,在不同限定区域可能有不同的安全级别,需要用不同的限定信息来实现对应限定区域的安全,并需要用无线信号来指定其边界。当移动终端进入区域限定网时,移动终端需要授权才能访问限定区域内的区域电子设备。移动终端例如为手机、平板计算机、笔记本计算机、个人数字助理等。限定区域内的区域电子设备例如是打印机、扫描仪、投影仪、多功能设备等。
在区域限定网络可利用通过密码验证或基础设施的认证来控制访问权限,从而限制未被授权的用户的通信连接。然而,密码可能被黑客所窃取,例如,在授权用户和无线网络之间广播密码时,密码就可能被截取。恶意用户也可能利用软件伪装来通过基础设施的认证,以非法获得访问权限。然而,在例如办公环境的区域限定网络中,期望服务指导和合适的应用限制。例如,期望以一种与移动终端的用户交互的方式来使用服务,并同时限制允许用户使用的应用功能。因此,期望在无线局域网中感知移动终端的接近并控制移动终端对其中的区域电子设备的访问,从而为用户提供更好的用户体验和安全功能。
发明内容
本公开实施例提供了一种用于访问控制方法和区域电子设备,其能够在区域限定网络中以交互方式感知移动终端的接近、并控制移动终端对区域限定网络中的区域电子设备的访问。
第一方面,本公开的实施例公开了一种访问控制方法,用于在区域限定网络中控制移动终端对区域电子设备的访问,该区域限定网络包括众包通信装置,所述访问控制方法可包括:在所述众包通信装置与所述移动终端之间建立通信连接;获取所述众包通信装置与所述移动终端之间的众包数据;处理所述众包数据以判断移动终端是否满足预设访问条件;在所述移动终端满足预设访问条件的情况中,在所述移动终端与所述区域电子设备之间建立访问链路。
第二方面,本公开的实施例提供了一种用于区域限定网络中的访问控制设备,该区域限定网络包括众包通信装置和区域电子设备,所述访问控制设备包括:接收器,用于获取所述众包通信装置与位于区域限定网络中的移动终端之间的众包数据;存储器,用于存储所述众包通信装置与移动终端之间的众包数据;处理器,用于处理所述众包数据以判断移动终端是否满足预设访问条件,在所述移动终端满足预设访问条件的情况中,产生用于允许所述移动终端访问所述区域电子设备的授权指令;传送器,用于将所述授权指令传送给所述移动终端和区域电子设备中的至少一个。
在根据本公开实施例的访问控制方法和区域电子设备的技术方案中,在区域限定网络布置众包通信装置,基于众包通信装置与移动终端之间的众包数据来判断移动终端的接近,并利用众包数据确定是否授权移动终端访问区域电子设备,这使能够在区域限定网络中以交互方式感知移动终端的接近、并控制移动终端对区域限定网络中的区域电子设备的访问,从而提高了用户体验和安全功能。
附图说明
为了更清楚地说明本公开实施例的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其它的附图。
图1是示意性图示了根据本公开实施例的应用场景。
图2是示意性图示了根据本公开实施例的访问控制方法的流程图。
图3是示意性图示了图2中的在众包通信装置与移动终端之间建立通信连接的步骤的流程图。
图4示意性图示了图2中的获取众包数据的过程的示例。
图5示意性图示了图2中的处理所述众包数据以判断是否满足预设访问条件的操作过程的流程图。
图6是示意性图示了根据本公开实施例的众包通信装置的框图。
图7是示意性图示了根据本公开实施例的第一访问控制设备的框图。
图8示意性图示了图7中的控制器中的模块结构。
图9是示意性图示了根据本公开实施例的第二访问控制设备的框图。
具体实施方式
下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本公开一部分实施例,而不是全部的实施例。
图1是示意性图示了根据本公开实施例的应用场景。在图1中示出了典型的办公区域。该办公区域包括三个限定区域,即限定区域1-3。在各个限定区域之外的区域例如是走道、茶水间等公共区域。限定区域和公共区域构成了区域限定网络。
在公共区域中布置了多个众包通信装置,例如图1所示的蓝牙装置BLE1至BLE7。在每个限定区域中具有打印机、扫描仪、投影仪等区域电子设备,例如图1所示的区域信任站ATS1至ATS3。此外,与区域信任站ATS相关联地设置有用于实现众包通信的众包通信装置,例如蓝牙装置、WiFi装置等,此时可以将众包通信装置至于所述区域信任站ATS之中,或者与区域信任站ATS紧靠地设置众包通信装置。
要注意,这里的众包通信装置的通信范围处于所述区域限定网络中。这样,确保位于所述区域限定网络外的移动终端不能使用其中的区域电子设备,只有进入该区域限定网络内的移动终端才可能使用其中的区域电子设备。
移动终端MS从入口进入区域限定网络之后,例如依次经过蓝牙装置BLE1、BLE2、BLE3等。当移动终端MS进入蓝牙装置的通信范围时,可通过信号交互来确定移动终端MS相对于该蓝牙装置的位置。由于在区域限定网络的不同位置分散地布置了多个蓝牙装置,因此可以通过各个蓝牙装置与移动终端MS交互的众包数据来大致确定移动终端MS在区域限定网络中的位置。例如,在移动终端MS进入限定区域2的过程中,可以基于其与各个众包通信装置之间交互的众包数据来确定其当前位置,并使其能够访问限定区域2中的区域电子设备ATS2,例如使移动终端MS使用区域电子设备ATS2的复印、扫描等功能。
在图1中,将众包通信装置图示为蓝牙装置,其采用蓝牙技术与移动终端通信。这仅仅是示例,众包通信装置还可以采用其它通信技术与移动终端通信,例如采用红外技术、超宽带(UWB,Ultra Wideband)技术、近场通信技术等与移动终端交互,在众包通信装置中所采用的通信技术不构成对本公开实施例的限制。在图1,示出了七个蓝牙装置。但是,众包通信装置的数量不构成对本公开实施例的限制。典型地,当区域限定网络的区域范围大时,可以采用较多的众包通信装置;当区域限定网络的区域范围小时,可以采用较少的众包通信装置。
每个区域电子设备,例如ATS1至ATS3中的任一个,可以是诸如打印机、扫描仪、投影仪的办公设备,其可以与移动终端建立通信连接。在建立通信连接之后,移动终端可以利用该区域电子设备进行打印、扫描、投影等。与区域电子设备关联的众包通信装置也与移动终端之间通信以生成众包数据。也就是说,区域电子设备与进入该限定区域的移动终端进行通信,使得移动终端经由该区域通信设备进行数据传输、资源使用等。区域电子设备可以利用WiFi技术、UWB技术等与移动终端进行通信。具体的通信技术手段不构成对本公开实施例的限制。每个区域电子设备与移动终端的通信覆盖了其所在的限定区域。
移动终端例如是手机、平板计算机、笔记本计算机、车载通信设备等,其具体类型不构成对本公开实施例的限制。在移动终端在区域限定网络中移动的过程中,移动终端与各个众包通信装置进行交互来产生众包数据,基于所述众包数据的数据特征可以判断移动终端相对于区域电子设备的关系,从而能够利用所述众包数据控制移动终端对区域电子设备的访问。
在本公开的实施例中,限定区域指的是可以通过物理方式人为控制和调节其范围的唯一界定的区域。在该限定区域内的移动终端或通信设备相互可以通过各种通信方式进行通信。该限定区域内的移动终端不能利用所述限定区域的区域通信设备与该限定区域外的其他设备进行通信。例如,图1中的限定区域1的信号在通过限定区域2的墙体时被急剧衰减,从而不能在限定区域2内检测到。走道中的蓝牙装置的蓝牙信号(即众包信号)在通过所述限定区域的边界时也可以被急剧衰减。该限定区域是一个物理层的概念。
对于移动终端MS与各个众包通信装置之间的众包数据,可以由区域电子设备进行处理,还控制移动终端的访问权限。替换地,还可以在区域限定网络中设置专用的访问控制设备,例如图1中的众包服务器。为了向访问控制设备传送移动终端MS与众包通信装置之间的通信数据,可以在各个众包通信装置与访问控制设备之间建立专用信道。或者,可以在区域限定网络中设置通信基站、例如图1所示的WiFi设备AP,众包通信装置经由所述WiFi设备AP将众包数据传送到所述众包服务器。
一个或多个限定区域可以构成区域限定网络。在图1所示的区域限定网络中包括三个限定区域。在诸如家庭的区域限定网络中,典型地仅包括一个限定区域。在诸如仓库的其它建筑物中,还可以包括更多的限定区域。因此,区域限定网络中的限定区域的个数可以是一个、两个或更多。
在本公开的实施例,与众包对应的英语词语是Crowdsource,这借用了商业运作中的众包的含义。商业运作中的众包指的是一个公司或机构把过去由员工执行的工作任务,以自由自愿的形式外包给非特定的大众网络来完成。在区域限定网络中,传统上利用区域限定网络中的特定设备来控制限定区域中的区域电子设备与移动终端的通信。然而,在本公开中,区域电子设备与移动终端的通信是基于区域限定网络中的多个众包通信装置来执行的。众包通信装置可以是图1所示的蓝牙装置,还可以是WiFi通信装置、红外装置、近场通信装置等,众包通信装置所采用的通信技术不构成对本公开实施例的限制。利用所述多个众包通信装置与移动终端之间交互的众包数据来获取移动终端在区域限定网络中的信息,并基于该众包数据来控制移动终端对区域电子设备的访问。关于众包通信装置的具体操作和实现,下面将结合图6进一步详细描述。利用所述众包通信装置与移动终端之间的众包数据,可以对区域限定网络中的区域电子设备实现差异化的访问服务,从而为办公环境中的智能互连提供更好的用户体验和安全功能。
图2是示意性图示了根据本公开实施例的访问控制方法200的流程图。该访问控制方法200用于图1所述的区域限定网络,并例如用于控制图1中的移动终端MS对区域电子设备ATS1至ATS3中任一个的访问。如结合图1所描述的,该区域限定网络包括众包通信装置。众包通信装置的位置可以根据区域限定网络和具体需求进行设置。众包通信装置的一部分可以位于区域限定网络的诸如走道的公共区域,例如图1中的蓝牙装置BLE1至BLE7,另一部分可以位于区域限定网络的限定区域中,例如,图1的限定区域1-3的任一个中。此外,在每个限定区域中可以包括多于一个区域限定设备。在同一限定区域的不同区域限定设备的位置接近时,该不同区域限定设备可以与同一众包通信装置相关联。
下文中,为了描述方便,假设每个众包通信装置是蓝牙装置、并采用蓝牙信号与移动终端通信,每个限定区域中具有一个区域电子设备,并且在区域限定网络中设置了众包服务器来对众包数据进行集中控制。
如图2所示,所述访问控制方法200可包括:在所述众包通信装置与所述移动终端之间建立通信连接(S210);获取所述众包通信装置与所述移动终端之间的众包数据(S220);处理所述众包数据以判断移动终端是否满足预设访问条件(S230);在所述移动终端满足预设访问条件的情况中,在所述移动终端与所述区域电子设备之间建立访问链路(S240)。
在S210中,在所述众包通信装置与所述移动终端之间建立通信连接。在移动终端进入区域限定网络中时,移动终端、众包通信装置都处于打开状态。众包通信装置作为观察者处于扫描状态,以扫描是否有移动终端进入其通信范围。例如作为众包通信装置的蓝牙装置处于广播状态。在移动终端中,例如可以安装用于所述区域限定网络的应用程序。该应用程序打开后移动终端发出广播信号,该广播信号是是众包通信装置与移动终端之间的初始连接信号。
对于每个众包通信装置,在扫描到移动终端之后,可以在众包通信装置与移动终端之间直接建立通信;或者,众包通信装置还可以对所扫描到的移动终端进行过滤,在所扫描到的移动终端满足预设的过滤门限时,在众包通信装置与移动终端之间建立通信连接,在所扫描到的移动终端不满足预设的过滤门限时,众包通信装置不与移动终端建立通信连接。对于移动终端的过滤,将在后面进一步描述。
在S220中,获取所述众包通信装置与所述移动终端之间的众包数据。
所述众包数据可以包括移动终端与各个众包通信装置之间的信道数据,例如众包通信装置与所述移动终端之间的接收信号强度指示RSSI,信号功率、信道损耗等。所述信道数据可以由众包通信装置计算、或者由移动终端计算,或者还可以由二者分别计算。
所述众包数据可以包括众包通信装置为移动终端生成的用于移动终端访问区域电子设备的密钥数据Key。该密钥数据Key由众包通信装置生成。如上所述,众包通信装置可位于例如走道的公共区域,还可以位于限定区域中并与区域电子设备关联。在访问所述区域电子设备时,可以利用该密钥数据Key确定移动终端对区域电子设备的访问。这里的众包数据的类型仅仅是示例,在实践中还可以将其它数据作为众包数据。
作为示例,在移动终端MS与蓝牙装置BLE1建立通信连接之后,蓝牙装置BLE1为移动终端MS生成密钥数据Key,并将包括该密钥数据Key的会话请求发送给移动终端MS,然后移动终端MS对所述会话请求做出响应。也就是说,在移动终端与蓝牙装置之间传送众包数据。
在区域限定网络中包括访问控制设备(例如图1中的众包服务器)的情况中,所述信道数据或密钥数据被传送到所述访问控制设备。例如,考虑到限定区域中的通信限制,与区域电子设备相关联的众包通信装置可以利用专用信道将众包数据传送到访问控制设备。对于公共区域中的众包通信装置,在通信距离允许的情况下,众包通信装置可以利用蓝牙信号向集中控制服务器传送众包数据,或者可以利用图1所示的WiFi设备AP将众包数据传送到所述众包服务器。在区域电子设备执行访问控制的情况下,众包通信装置可以直接将众包数据传送到区域电子设备。众包数据的传输方式不构成对本公开实施例的限制。
此外,在众包通信装置向访问控制设备或区域电子设备传送众包数据的过程中,在移动终端与区域限定网络之间可能产生大量的数据。为了减少后面的数据处理量,移动终端可以将所述众包数据中的一部分发送到访问控制设备或区域电子设备。
作为示例,在图1中的移动终端MS与各个蓝牙装置(例如图1中的七个蓝牙装置)建立通信连接之后,移动终端MS以预定的时间间隔测量与各个蓝牙装置之间的RSSI。移动终端获得与七个蓝牙装置之间的众包数据(RSSI_n,Key_n)。RSSI_n是与蓝牙基站BLEn之间的接收信号强度指示,Key_n是蓝牙基站BLEn为移动终端设置的密钥数据,其中n为从1到7的自然数。为了减少数据处理量,移动终端从所述七组数据中选择N组(例如3组)性能靠前的数据。例如,移动终端MS对所述7个RSSI的数值进行从大到小的排序,并例如选择排名在前的三个RSSI的数值,将其和对应的Key发送给访问控制设备或区域电子设备。
每个众包通信装置中也执行类似的操作。蓝牙装置在某个时间点上可能与多个移动终端建立通信连接,并获取多个RSSI和Key。蓝牙装置例如可选择排名在前的三个RSSI和对应密钥数据Key,并将所选择的RSSI和所生成的密钥数据Key传送给访问控制设备或区域电子设备。替换地,所述选择性能在前的众包数据的操作也可以在访问控制设备或区域电子设备中执行。也就是说,在S210中,获取所述众包通信装置与所述移动终端之间的多个众包数据;从所述众包数据中选择性能靠前的预定数目的众包数据。
这里,以众包数据包括接收信号强度指示RSSI和密钥数据Key、并且以RSSI的数值为基础进行排序,这仅仅是示例。在应用中,众包数据还可以包括为其它数据,并且可以基于众包数据中的其它数据进行排序,或者还可以基于众包数据中的不同类型数据的组合进行排序。
下面的表1示出了来自移动终端MS_ID的众包数据。在表1中,示出了移动终端MS_ID在9个时间点上的数据,每个时间点上示出了与三个蓝牙装置之间RSSI和Key的数值。表1中的RSSI可以是由移动终端测试的,也可以是从众包通信装置接收的。表1中的Key的是由蓝牙装置生成并传送给移动终端的。在表1中,第2、4、6列中的RSSI的单位是-dBm,第3、5、7列中的Key是自然数。
表1
时间点 | RSSI1 | Key1 | RSSI2 | Key2 | RSSI3 | Key3 |
1 | -85.46962 | 1 | -60.95773 | 7 | -81.2541 | 1 |
2 | -90.70324 | 7 | -71.71907 | 4 | -72.74132 | 7 |
3 | -71.12335 | 1 | -87.12826 | 7 | -68.45352 | 3 |
4 | -87.42643 | 3 | -99.12324 | 4 | -79.19665 | 7 |
5 | -80.12328 | 1 | -61.13881 | 5 | -73.86894 | 4 |
6 | -69.33936 | 7 | -91.49857 | 9 | -64.15484 | 2 |
7 | -86.7608 | 9 | -67.01765 | 2 | -73.27987 | 4 |
8 | -61.51241 | 7 | -73.16252 | 1 | -73.47701 | 9 |
9 | -69.39413 | 5 | -81.71934 | 7 | -83.10483 | 9 |
下面的表2示出了来自众包通信装置的众包数据。在表2中,示出了移动终端MS_ID在9个时间点上的数据,每个时间点上示出了与蓝牙装置BLE1、2、3之间的RSSI和Key的数值。具体地,第2列是蓝牙装置BLE1的RSSI的数值,第3列是蓝牙装置BLE1的Key的数值。在表2中,RSSI的单位是-dBm,Key的取值是自然数。
表2
时间点 | BLE1 | Key_1 | BLE 2 | Key_2 | BLE3 | Key_3 | … |
1 | -64.07789 | 9 | -82.120355 | 7 | -98.62636449 | 1 | … |
2 | -93.68749 | 5 | -67.384988 | 9 | -63.79860905 | 2 | … |
3 | -76.02943 | 6 | -74.51713 | 5 | -83.78647663 | 6 | … |
4 | -94.4819 | 3 | -88.367453 | 6 | -73.3759603 | 9 | … |
5 | -94.77992 | 7 | -71.190584 | 5 | -82.78126326 | 5 | … |
6 | -70.83295 | 8 | -82.243491 | 1 | -83.30628087 | 5 | … |
7 | -64.4046 | 6 | -97.613469 | 9 | -62.65494246 | 5 | … |
8 | -61.41448 | 3 | -85.145633 | 9 | -60.06844334 | 5 | … |
9 | -89.18361 | 9 | -72.876327 | 9 | -68.35983506 | 6 | … |
关于密钥数据Key的生成,将在后面进一步详细描述。
在S230中,处理所述众包数据以判断移动终端是否满足预设访问条件。
在S220中获取了众包数据之后,在S230中对所述众包数据进行整合。例如,可以确定来自移动终端的众包数据是否与来众包通信装置的众包数据一致。例如,当从表2中的第一行数据中找到与表1中的第一行中的三组基于一致的数据时,二者一致。由于移动终端计算的RSSI与众包通信装置计算的RSSI之间的数值可能会有误差,所以在二者之间的差值小于预定比例时即认为一致。
当从移动终端接收的RSSI和Key与从众包通信装置接收的RSSI和Key不一致时,确定移动终端不处于该区域限定网络,确定不满足预设访问条件。当从移动终端接收的RSSI和Key与从众包通信装置接收的RSSI和Key一致时,确定移动终端处于该区域限定网络。为了判断移动终端是否满足预设访问条件,可以获取所述区域限定网络中的样本访问数据;将所述众包数据与所述样本访问数据进行匹配,以从所述众包数据中找到匹配的众包数据;基于所述匹配的众包数据判断移动终端是否满足预设访问条件。所述样本访问数据是所述移动终端或其它移动终端此前访问网络时接入到区域电子设备所使用的数据。
移动终端在区域限定网络中可能处于移动状态,所以可以得到许多如表1所述的众包数据。在实践中,可以缓存从当前时间向前的9个时间点的数据,例如表1所示的9行众包数据。将每行众包数据与所述样本访问数据进行匹配,以从表1所示的9行众包数据中找到与样本访问数据最接近的一行众包数据。作为示例,可以计算表1中的每行众包数据与样本访问数据之间的欧几里德距离,并将欧几里德距离最小的对应行众包数据作为匹配的众包数据。
在基于所述匹配的众包数据判断移动终端是否满足预设访问条件的过程,可以根据众包数据中的具体数据类型来设置不同的预设访问条件。关于具体的判断操作,下面将进一步详细描述。
在S240中,在所述移动终端满足预设访问条件的情况中,在所述移动终端与所述区域电子设备之间建立访问链路。作为示例,可以基于所述众包通信装置为所述移动终端生成的随机密钥来生成认证输入信息;利用该认证输入信息建立所述移动终端对所述区域电子设备的访问链路。
在移动终端与区域电子设备利用WiFi建立通信连接的情况中,可以利用所述匹配的众包数据中的密钥数据作为认证输入信息,并利用该认证输入信息在移动终端和区域电子设备之间的访问链路。根据WiFi通信协议,该移动终端需要对一随机数执行加密算法,并利用加密算法的结果建立WiFi通信连接。假设匹配的众包数据是表1中的第一行数据,在该第一行数据中包括三个密钥数据,每个密钥数据是随机数据。可以将所述三个密钥数据级联作为WiFi通信中要执行加密算法的随机数,从而将无需专门为WiFi通信产生随机数。
在移动终端与区域电子设备建立通信连接之后,移动终端使用区域电子设备中的相应功能,例如,利用区域电子设备打印、扫描、开电话会议等。
在根据本公开实施例的访问控制方法的技术方案中,在区域限定网络布置众包通信装置,基于众包通信装置与移动终端之间的众包数据来判断移动终端与区域电子设备之间的关系,以确定是否授权移动终端访问区域电子设备。这使能够在区域限定网络中以交互方式感知移动终端的接近、并控制移动终端对区域限定网络中的区域电子设备的访问,从而提高了用户体验和安全功能。
图3是示意性图示了图2中的在众包通信装置与移动终端之间建立通信连接的步骤S210的流程图。如图3所示,在S210中包括:基于所述众包通信装置与所述移动终端之间初始连接信号计算二者之间的信道参数(S211);确定所述信道参数是否满足预定条件(S212);在所述信道参数满足预定条件时(S212中的是),所述众包通信装置与所述移动终端之间建立通信连接(S213);在所述信道参数不满足预定条件时(S212中的否),所述众包通信装置不与所述移动终端之间建立通信连接(S214)。
在图3中,由众包通信装置控制是否与移动终端建立通信连接,并且众包通信装置在S212中利用预定条件对移动终端进行初步过滤,从而避免启动部分移动终端不必要访问操作。例如,当移动终端靠近而没有进入区域限定网络时,尽管区域限定网络中的靠近移动终端的众包通信装置能够检测到该移动终端的存在,但是利用预定条件可以过滤掉该移动终端。
众包通信装置作为观察者处于扫描状态,以扫描是否有移动终端进入其通信范围。例如移动终端处于广播状态,并发出广播信号。该广播信号就是初始连接信号。在S211中,众包通信装置利用初始连接信号可以计算与移动终端之间的信道参数,例如信号衰减、接收信号强度指示RSSI等。这里,以信道参数是接收信号强度指示RSSI进行描述。接收信号强度指示RSSI的数值示例可以参见上面的表1和表2中的第2、4、6列中的数值,其单位是-dBm。
在S212中,将所计算的RSSI与一预设阈值相比较,当所计算的RSSI大于等于预设阈值时,确定满足预定条件;当所计算的RSSI小于预设阈值时,确定不满足预定条件。当RSSI大于等于预设阈值时,说明众包通信装置距离移动终端较近,确定移动终端进入区域限定网络。否则,移动终端可能是在区域限定网络之外的设备。
如前所述,所述区域限定网络可包括例如走道的公共区域和区域电子设备所在的限定区域,对于位于所述公共区域的第一众包通信装置和位于所述限定区域与区域电子设备相关联的第二众包通信装置,可以设置不同的预设阈值。也就是说,不同众包通信装置可以设置不同的过滤条件。
作为示例,假设所有众包通信装置具有相同的发射功率,对于位于公共区域中的第一众包通信装置,当其与所述移动终端之间的接收信号强度指示RSSI大于等于第一阈值时,确定所述信道参数满足预定条件,否则不满足预定条件;然而,对于处于限定区域中的第二众包通信装置,在其与所述移动终端之间的接收信号强度指示RSSI大于等于第二阈值时,确定所述信道参数满足预定条件,该第二阈值可以大于所述第一阈值。在第二阈值大于第一阈值的情况中,为限定区域中的众包通信装置设置了更严格的过滤条件,从而保证限定区域中的区域电子设备的安全使用。此外,根据需要,还可以对于区域限定网络中的每个众包通信装置都设置不同的过滤条件。在信道参数是往返信号衰减的情况中,可以进行类似的处理。
在所述信道参数满足预定条件时,所述众包通信装置与所述移动终端之间建立通信连接。例如,在蓝牙通信技术中,众包通信装置在信道参数满足预定条件时向移动终端发出请求,以与移动终端建立通信连接;在信道参数不满足预定条件时,众包通信装置不向移动终端发出请求。取决于众包通信装置与移动终端之间的通信技术,二者可以采取合适的方式来建立通信连接,这里不再说明。
对于区域限定网络中的每个众包通信装置,都可以按照图2所示的操作与移动终端建立通信连接。
图4示意性图示了图2中的获取众包数据的示例。在图4中,示出了图1中的一个众包通信装置BLE2、移动终端MS、和访问控制设备,并且众包数据为接收信号强度指示RSSI和密钥数据Key。该访问控制设备也可以替换为区域电子设备。
在图4中的S211中,众包通信装置BLE2生成接收信号强度指示RSSI和密钥数据Key。例如,众包通信装置BLE2可以基于来自移动终端MS的信号生成接收信号强度指示RSSI,并且生成用于所述移动终端MS的密钥数据Key。该RSSI用于表征众包通信装置BLE2的接收信号强度,用于判断从移动终端MS到众包通信装置BLE2的反向链路工作状态。该RSSI与移动终端和信标节点之间的距离、信道环境都有关系。众包通信装置BLE2可以随机地生成一取值范围内的自然数作为所述密钥数据Key。也就是说,密钥数据Key是具有取值范围的随机自然数。该密钥数据Key可用于此后的认证和访问。例如,对于BLE2,可以设置取值范围是1到9的自然数。
在图4的S222中,BLE2将所生成的密钥数据Key传送到移动终端MS。作为示例,BLE2可以在图3中的S223中发送请求时,将该密钥数据Key包括在所述请求中。或者,BLE2还可以单独地将该密钥数据Key发送给移动终端MS。
对于区域限定网络中的其它众包通信装置,也都类似地执行图4中的步骤S221和S222。区域限定网络可包括例如走道的公共区域和区域电子设备所在的限定区域。对于位于公共区域的第一众包通信装置和位于限定区域与区域电子设备相关联的第二众包通信装置,可以不同地设置密钥数据Key。第一众包通信装置例如为如图1所示的蓝牙装置BLE1至BLE7,第二众包通信装置例如是在图1的限定区域1、2、3中的众包通信装置。具体地,所述第一众包通信装置可以为所述移动终端生成处于第一取值范围的第一随机密钥;所述第二众包通信装置可以为所述移动终端生成处于第二取值范围的第二随机密钥,该第二取值范围大于所述第一取值范围。例如,第一取值范围是1到9的自然数,第二取值范围例如是101到109的自然数。这样,在S230中,可以将密钥数据Key的取值范围作为执行认证的前提条件。
在S224中,BLE2将所生成的接收信号强度指示RSSI和密钥数据Key传送到访问控制设备。例如,可以在BLE2与访问控制设备建立专用信道,并利用该专门信道传送所述接收信号强度指示RSSI和密钥数据Key;或者,BLE2可以利用蓝牙信号向集中控制服务器传送众包数据,或者可以利用图1所示的WiFi设备AP将众包数据传送到所述访问控制设备。
在S223中,移动终端MS生成RSSI,也可以从众包通信装置中接收RSSI,并将该RSSI和密钥数据Key作为众包数据。
当区域限定网络中的众包通信装置的数目较多时,在S230和S240中通常不需要距离移动终端MS较远的众包通信装置与该移动终端MS之间的众包数据。为了减少后面的数据处理量,移动终端MS在S225中对众包数据执行选择操作。也就是说,移动终端MS可以将与各个众包通信装置的众包数据中的一部分发送到访问控制设备,而不是全部发送。例如,图1中的移动终端MS获得与七个蓝牙装置之间的众包数据之后,可以从所述七组数据中选择N组(例如3组)性能靠前的数据,如上面的表1所示。或者,移动终端MS可以将与各个众包通信装置对应的众包数据都发送到访问控制设备,然后由访问控制设备执行所述选择操作。
在S226中,将所选择的接收信号强度指示RSSI和密钥数据Key发送到访问控制设备。可以在移动终端MS与访问控制设备建立专用信道,并利用该专门信道传送众包数据;或者,BLE2可以利用区域限定网络中的WiFi设备AP将众包数据传送到所述访问控制设备。
此外,在区域限定网络中包括多个移动终端的情况中,在某个时间点上,BLE2可能获取与各个移动终端之间的多组RSSI和Key数据。与S225中的操作类似地,BLE2可以从中选择性能靠前的预定数目的RSSI和Key数据,并在S224中将所选择的RSSI和Key数据传送到访问控制设备。
图5示意性图示了图2中的处理所述众包数据以判断是否满足预设访问条件(图2中的S230)的操作过程的流程图。在图5中,继续以众包数据包括接收信号强度指示RSSI和密钥数据Key为例进行描述。
如图5所示,该S230可包括:确定所述移动终端是否是首次进入所述区域限定网络的新移动终端(S231);在所述移动终端是新移动终端的情况中(S231中的是),估计该新移动终端在所述区域限定网络中的位置(S232);并基于其它移动终端在所估计的位置上的历史众包数据确定样本访问数据(S233);在所述移动终端不是新移动终端的情况中(S231中的否),基于该移动终端的访问所述区域电子设备的历史众包数据确定所述样本访问数据(S234);将所述众包数据与所述样本访问数据进行匹配,以从所述众包数据中找到匹配的众包数据(S235);在所述众包数据包括接收信号强度指示RSSI的情况中,基于该接收信号强度指示计算区域索引(S236);基于该区域索引和索引阈值判断所述移动终端是否满足预设访问条件(S237);在所述众包数据包括密钥数据Key的情况中,基于所述随机密钥的取值范围判断所述移动终端是否满足预设访问条件(S237)。
在图5的步骤S231至S234中,获取所述区域限定网络中的样本访问数据。通常,进入区域限定网络的移动终端可能是首次进入区域限定网络的新移动终端,也可能是曾经进入区域限定网络的老移动终端。对于老移动终端,可以根据其以前访问区域限定网络中的区域电子设备时的众包数据来执行认证,对于新移动终端,要利用步骤S232和S233中的方式来获取样本访问数据。当区域限定网络仅允许老移动终端访问其中的区域电子设备时,可以省略图5中的步骤S231、S232、S233。替换地,当区域限定网络仅允许预设的移动终端访问其中的区域电子设备时,可以直接设置其样本访问数据。
在S231中,在接收到移动终端的众包数据时,可以获取移动终端的标识符,并将移动终端的标识符与区域限定网络中的历史众包数据比对,如果从历史众包数据找到移动终端的标识符,则该移动终端是老移动终端,否则是新移动终端。可以采取现有的或将来出现的各种技术来确定移动终端是否是首次进入所述区域限定网络的新移动终端。
在S231中确定所述移动终端是新移动终端的情况中,在S232中估计该新移动终端在所述区域限定网络中的位置。作为示例,可以利用来自新移动终端的接收信号强度指示RSSI来判断其在区域限定网络中的位置。众包通信装置在区域限定网络中的位置是固定的,利用新移动终端与多个众包通信装置之间的RSSI,可以估计新移动终端相对于各个众包通信装置的位置,从而可以确定新移动终端在区域限定网络中的位置。或者,新移动终端还可以利用定位仪确定自己的位置,并根据需要将其位置数据传送给访问控制设备。
在S233中,确定在新移动终端的位置附近,此前其它移动终端访问区域电子设备所使用的多个历史众包数据,并对其它移动终端访问时所使用的众包数据进行融和(例如,求平均)来获得所述样本访问数据。也就是说,基于其它移动终端访问时区域电子设备时所使用的众包数据获得用于认证新移动终端的样本访问数据。替换地,还可以选择与新移动终端的位置最接近的一组历史访问数据作为该样本访问数据。
对于此前已经访问区域限定网络的移动终端,在S234中基于该移动终端的访问所述区域电子设备的历史众包数据确定所述样本访问数据(S234)。可以选择此前任一次访问区域电子设备所使用的历史众包数据作为所述样本访问数据,也可以将此前访问区域电子设备所使用的历史众包数据的平均值作为所述样本访问数据。
在S235中,将所述众包数据与所述样本访问数据进行匹配,以从所述众包数据中找到匹配的众包数据。假设在S234中获得的样本访问数据是
{(-85.81313,4),(-75.65538,3),(-77.76332,8)}。假设移动终端在当前时间之前获得了如上面的表1所示的9行众包数据,可以计算表1中的每行行众包数据与样本访问数据{(-85.81313,4),(-75.65538,3),(-77.76332,8)}之间的欧几里德距离,并将欧几里德距离最小的对应行的众包数据作为匹配的众包数据。假设最小的欧几里德距离是Smin。
在众包数据包括接收信号强度指示RSSI的情况中,可通过图5中的步骤S236和S237来判断移动终端是否满足预设访问条件。
在S236中,基于该接收信号强度指示计算区域索引ARAIndex。例如,可利用下面的公式(1)来计算区域索引ARAIndex:
ARAIndex=1/(Smin+0.01) 公式(1),
其中,Smin是在S235中计算的最小的欧几里德距离。根据公式(1)可以看出,ARAIndex的值小于100。要注意,替代所述S236,还可以不计算区域索引ARAIndex,而直接利用所述最小的欧几里德距离Smin判断移动终端满足预设访问条件。
在S237中,将该区域索引ARAIndex与一预设的索引阈值Ti相比较来判断所述移动终端是否满足预设访问条件。当区域索引ARAIndex大于等于索引阈值Ti时,判断所述移动终端满足预设访问条件;当区域索引ARAIndex小于索引阈值Ti时,判断所述移动终端不满足预设访问条件。也就是说,对于区域限定网络中的所有区域电子设备,可以设置统一的预设的索引阈值Ti。
替换地,对于区域限定网络中的每个区域电子设备,还可以调整所述预设的索引阈值,以执行差别化的认证方案。例如,在S237中基于该区域索引和索引阈值判断所述移动终端是否满足预设访问条件的过程中,可以利用所述区域电子设备在所述区域限定网络中的权重来调整所述索引阈值Ti;在所述区域索引大于等于调整后的索引阈值Tj的情况下,确定所述移动终端满足所述预设访问条件;在所述区域索引小于调整后的索引阈值Tj的情况下,确定所述移动终端不满足所述预设访问条件。可通过如下的公式(2)来调整索引阈值:
Tj=Ti×(1+Weight_ATS/Sum-Weight) 公式(2)其中,Weight_ATS是移动终端要访问的区域电子设备的权重,Sum_Weight是区域限定网络中的所有区域电子设备的权重之和。以图1的区域限定网络为例,Weight_ATS例如是移动终端要访问的区域电子设备ATS2,Sum_Weight是区域限定网络中的区域电子设备ATS1、ATS2和ATS3的权重之和。根据公式(2)可以看出,Tj大于等于Ti。因此,在调整索引阈值之后,要执行更加严格的认证,并且由于各个区域电子设备的权重不同,则可以为不同的区域电子设备设置不同的认证条件,从而提供差别化的控制。例如,对于区域限定网络中的安全级别高的区域电子设备,可以设置大的权重;对于区域限定网络中的安全级别低的区域电子设备,可以设置小的权重。此外,在区域限定网络中还可以划分不同的子区域,然后对于子区域中的区域电子设备通过所述公式(2)调整索引阈值。此时,公式(2)中的Sum_Weight是该子区域中的区域电子设备的权重之和。
在所述众包数据包括密钥数据Key的情况中,在S238中,基于所述随机密钥的取值范围判断所述移动终端是否满足预设访问条件。如前所述,与区域电子设备相关联的众包通信装置为移动终端生成的密钥数据Key是取值范围为101至109的随机数据,限定区域中的众包通信装置为移动终端生成的密钥数据Key是取值范围为1至9的随机自然数。在S238中,可以判断在S235中的匹配的众包数据(例如,表1中的一行数据)中是否存在任一个大于100的密钥数据。如果存在,则判断移动终端满足预设访问条件,如果不存在,则判断移动终端不满足预设访问条件。在S237和S238中二者中都得到肯定结果时,执行图2中的步骤S240,即在所述移动终端与所述区域电子设备之间建立访问链路。
要注意,图5中利用S237和S238中二者中的操作来判断移动终端是否满足预设访问条件,这仅仅是示例。在实践中,可以利用其中之一来判断移动终端是否满足预设访问条件。
此外,在S231中判断所述移动终端不是新移动终端的情况中,可以计算该移动终端曾经成功访问该区域电子设备的成功率和成功次数;在所计算的成功率和成功次数分别大于等于预设的成功率阈值和预设的成功次数阈值时,判断所述移动终端满足预设访问条件。具体地,例如所述预设的成功率例如是80%,预设的成功次数阈值例如是5次。假设在移动终端在过去的10次访问中有9次成功访问了区域限定网络中的区域电子设备,即成功率是90%,成功次数是9次,则可以判断所述移动终端是可以信任的移动终端,其满足预设访问条件。对于可以信任的移动终端,可以直接前进至步骤S240,而不执行图5中的步骤S232至S238。当利用预设的成功率阈值和预设的成功次数阈值判断移动终端不是可以信任的移动终端时,例如移动终端曾经成功访问该区域电子设备的成功率小于80%,或者成功次数少于5次,可以再执行步骤S234以及此后的操作。要注意,在应用中,可以不执行上面的利用成功率和成功次数来判断移动终端是否是可以信任的移动终端,而直接采用图5的操作来判断。
此外,在访问控制设备中还可以保存在S230的判断过程中的部分中间数据,例如,众包数据与样本访问数据之间的欧几里德距离,基于欧几里德距离中的最小欧几里德距离Smin计算的区域索引ARAIndex,基于接收信号强度指示RSSI等估计的移动终端在区域限定网络中的位置等。下面的表3示出了与表1中的众包数据对应的其它中间数据。
表3
表3中的第1-7列与表1中的相同。表3中的第9列是利用每行中的众包数据与样本众包数据之间的欧几里德距离表征的相似度,表3中的第10列是基于欧几里德距离计算的区域索引ARAIndex,表3中的第11列是移动终端在对应的时间上的位置。
在S230中,可以根据需要适当地生成表3中的数据,还可以生成其它的数据。例如,在图5的S231中判断移动终端是首次进入所述区域限定网络的新移动终端时,在S232中估计该新移动终端在所述区域限定网络中的位置,即获得表3中的第11列的数据;在S233中获取其它移动终端在当前所在的位置附近曾经访问区域电子设备的历史众包数据,并将其作为样本访问数据。在S236中基于接收信号强度指示RSSI计算相似度和区域索引ARAIndex而得到表3中的第9和10列的数据。基于所计算的数据,可以找到最小欧几里德距离Smin和对应的区域索引,并相应地在S237中判断移动终端是否满足预设访问条件。
在S230中判断所述移动终端满足预设访问条件的情况中,前进至图2中的步骤S240,在所述移动终端与所述区域电子设备之间建立访问链路。
下面结合图1的区域限定网络来描述众包通信装置和访问控制设备的结构和操作。
图6是示意性图示了根据本公开实施例的众包通信装置600的框图。众包通信装置600被布置在区域限定网络中。众包通信装置的位置可以根据区域限定网络和具体需求进行设置。众包通信装置可以位于区域限定网络的诸如走道的公共区域,例如图1中的蓝牙装置BLE1至BLE7,或者可以位于区域限定网络的限定区域中、并且与限定区域中的区域电子设备相关联。每个限定区域可以包括多于一个区域限定设备。在同一限定区域的不同区域限定设备的位置接近时,该不同区域限定设备可以与同一众包通信装置相关联。
在移动终端进入区域限定网络时,移动终端和众包通信装置都处于打开状态。众包通信装置作为观察者处于扫描状态,以扫描是否有移动终端进入其通信范围。移动终端尝试与各个众包通信装置建立通信连接。在移动终端中,例如可以安装用于所述区域限定网络的应用程序。该应用程序打开后移动终端发出广播信号,该广播信号是是众包通信装置与移动终端之间的初始连接信号。对于每个众包通信装置,在扫描到移动终端之后,可以在众包通信装置与移动终端之间直接建立通信。
替换在众包通信装置与移动终端之间直接建立通信,众包通信装置还可以对所扫描到的移动终端进行过滤,在所扫描到的移动终端满足预设的过滤门限时,在众包通信装置与移动终端之间建立通信连接。在所扫描到的移动终端不满足预设的过滤门限时,众包通信装置不与移动终端建立通信连接。
如图6所示,众包通信装置600可包括第一通信器件610、信道估计单元620、控制单元630、数据生成单元640、和第二通信器件650。第一通信器件610从移动终端接收初始连接信号。信道估计单元610基于与所述移动终端之间的初始连接信号估计二者之间的信道参数。所述控制单元630用于确定所述信道参数是否满足预定条件,并且在所述信道参数满足预定条件时,控制第一通信器件610与移动终端之间建立通信连接;在所述信道参数不满足预定条件时,控制第一通信器件610不与所述移动终端之间建立通信连接。数据生成单元640在与移动终端建立通信连接之后生成众包数据,该众包数据用于控制移动终端对区域电子设备的访问。第二通信器件650将所生成的众包数据发送到区域限定网络中的访问控制设备。要注意,在众包通信装置与移动终端之间直接建立通信的情况中,众包通信装置600可以不包括信道估计单元620和控制单元630。
众包通信装置600可以控制是否与移动终端建立通信连接,并且利用预定条件对移动终端进行初步过滤,从而避免启动部分移动终端不必要访问操作。例如,当移动终端靠近而没有进入区域限定网络时,尽管区域限定网络中的靠近移动终端的众包通信装置能够检测到该移动终端的存在,但是利用预定条件可以过滤掉该移动终端。
众包通信装置600的信道估计单元620例如利用初始连接信号计算与移动终端之间的信道参数,例如信号衰减、接收信号强度指示RSSI等。这里,以信道参数是接收信号强度指示RSSI进行描述。信道估计单元620可以采用现有的或将来出现的各种方式来计算RSSI,具体的计算方式不构成对本公开实施例的限制。众包通信装置中的控制单元630所计算的RSSI与一预设阈值相比较,当所计算的RSSI大于等于预设阈值时,确定满足预定条件;当所计算的RSSI小于预设阈值时,确定不满足预定条件。当RSSI大于等于预设阈值时,说明众包通信装置距离移动终端较近,确定移动终端进入区域限定网络。否则,移动终端可能是在区域限定网络之外的设备。
不同众包通信装置可以设置不同的过滤条件。区域限定网络可包括例如走道的公共区域和区域电子设备所在的限定区域,对于位于公共区域的第一众包通信装置和位于限定区域与区域电子设备相关联的第二众包通信装置,可以设置不同的预设阈值。作为示例,假设所有众包通信装置具有相同的发射功率,对于位于公共区域中的第一众包通信装置,当其与所述移动终端之间的接收信号强度指示RSSI大于等于第一阈值时,确定所述信道参数满足预定条件,否则不满足预定条件;然而,对于处于限定区域中的第二众包通信装置,在其与所述移动终端之间的接收信号强度指示RSSI大于等于第二阈值时,确定所述信道参数满足预定条件,该第二阈值可以大于所述第一阈值。在第二阈值大于第一阈值的情况中,为限定区域中的众包通信装置设置了更严格的过滤条件,从而保证限定区域中的区域电子设备的安全使用。此外,根据需要,还可以对于区域限定网络中的每个众包通信装置都设置不同的过滤条件。在信道参数是往返信号衰减的情况中,可以进行类似的处理。
在信道参数满足预定条件时,众包通信装置中的第一通信器件610与移动终端之间建立通信连接。例如,在蓝牙通信技术中,众包通信装置中的第一通信器件610在信道参数满足预定条件时向移动终端发出请求,以与移动终端建立通信连接;在信道参数不满足预定条件时,第一通信器件610不向移动终端发出请求。取决于众包通信装置与移动终端之间的通信技术,二者可以采取合适的方式来建立通信连接,这里不再说明。这里所述的过滤操作和建立通信连接的操作可以适用于区域限定网络中的每个众包通信装置。
在与移动终端建立通信连接之后,数据生成单元640生成众包数据,该众包数据用于控制移动终端对区域电子设备的访问。所述众包数据可以包括移动终端与各个众包通信装置之间的信道数据,例如众包通信装置与所述移动终端之间的接收信号强度指示RSSI,信号功率、信道损耗等。所述信道数据可以由众包通信装置计算、或者由移动终端计算,或者还可以由二者分别计算。或者,所述众包数据可以包括众包通信装置为移动终端生成的用于移动终端访问区域电子设备的密钥数据Key。该密钥数据Key由数据生成单元640生成。如上所述,众包通信装置可位于例如走道的公共区域,还可以位于限定区域中并与区域电子设备关联。在访问所述区域电子设备时,可以利用该密钥数据Key确定移动终端对区域电子设备的访问。这里的众包数据的类型仅仅是示例,在实践中还可以将其它数据作为众包数据。
作为示例,在第一通信器件610与移动终端MS与建立通信连接之后,数据生成单元640计算信号强度指示RSSI,还为移动终端生成密钥数据Key。在信道估计单元620计算了信号强度指示RSSI的情况下,数据生成单元640可以从所述信道估计单元620获得该信号强度指示RSSI。该RSSI用于表征众包通信装置BLE2的接收信号强度,用于判断从移动终端MS到众包通信装置BLE2的反向链路工作状态。该RSSI与移动终端和信标节点之间的距离、信道环境都有关系。数据生成单元640也可以计算信号强度指示RSSI。此外,数据生成单元640可以随机地生成一取值范围内的自然数作为所述密钥数据Key。也就是说,密钥数据Key是具有取值范围的随机自然数。该密钥数据Key可用于此后的认证和访问。
区域限定网络可包括例如走道的公共区域和区域电子设备所在的限定区域。对于位于公共区域的众包通信装置和位于限定区域与区域电子设备相关联的众包通信装置,可以不同地设置密钥数据Key。例如,当众包通信装置600位于公共区域时,例如为如图1所示的蓝牙装置BLE1至BLE7,数据生成单元640可以生成处于第一取值范围的第一随机密钥取值作为密钥数据。第一取值范围例如是1到9的自然数。当众包通信装置600位于限定区域时,例如为如图1所示的与ATS1至ATS3中任一个相关联的众包通信装置,数据生成单元640可以生成处于第二取值范围的第二随机密钥作为密钥数据。该第二取值范围大于所述第一取值范围,并且第二取值范围例如是101到109的自然数。
第一通信器件610可以将包括该密钥数据Key的会话请求发送给移动终端,然后移动终端对所述会话请求做出响应。也就是说,在移动终端与众包通信装置之间传送众包数据。或者,第一通信器件610还可以单独地将该密钥数据Key发送给移动终端。
第二通信器件650将所生成的众包数据发送到区域限定网络中的访问控制设备。例如,考虑到限定区域中的通信限制,当众包通信装置600与区域电子设备相关联时,第二通信器件650可以利用专用信道将众包数据传送到访问控制设备。当众包通信装置600位于区域限定网络的公共区域中时,在通信距离允许的情况下,第二通信器件650与第一通信器件610可以是同一器件,其例如可以利用蓝牙信号向访问控制服务器传送众包数据。或者第二通信器件650可以为WiFi通信模块,并利用图1所示的WiFi设备AP将众包数据传送到访问控制设备。在区域电子设备执行访问控制的情况下,第二通信器件650可以直接将众包数据传送到区域电子设备。第二通信器件650的通信方式不构成对本公开实施例的限制。
在众包通信装置600向访问控制设备或区域电子设备传送众包数据的过程中,在移动终端与区域限定网络之间可能产生大量的数据。为了减少后面的数据处理量,众包通信装置600中的控制单元630可以选择所生成的众包数据的一部分,并将所选择的众包数据发送到访问控制设备或区域电子设备。
第一通信器件610在某个时间点上可能与多个移动终端建立通信连接,并相应地生成多组众包数据,每组例如包括RSSI和Key。控制单元630例如可选择排名在前的三个RSSI值和对应密钥数据Key。第二通信器件650将所选择的RSSI值和所生成的密钥数据Key传送给访问控制设备或区域电子设备。第二通信器件650向访问控制设备传送的众包数据可以参见前面的表2和相关的描述。替换地,控制单元630可以不对众包数据执行所述选择操作,而是由访问控制设备对来自众包通信装置的众包数据执行所述选择操作。
移动终端与各个蓝牙装置(例如图1中的七个蓝牙装置)建立通信连接之后,移动终端以预定的时间间隔测量与各个蓝牙装置之间的RSSI。移动终端获得与七个蓝牙装置之间的众包数据(RSSI_n,Key_n)。RSSI_n是与蓝牙基站BLEn之间的接收信号强度指示,Key_n是蓝牙基站BLEn为移动终端设置的密钥数据,其中n为从1到7的自然数。为了减少数据处理量,对于每个测量时间点,移动终端从所述七组数据中选择N组(例如3组)性能靠前的数据。例如,移动终端MS对所述7个RSSI的数值进行从大到小的排序,并例如选择排名在前的三个RSSI的数值,将其和对应的Key发送给访问控制设备或区域电子设备。移动终端向访问控制设备传送的众包数据可以参见前面的表1和相关的描述。
这里,以众包数据包括接收信号强度指示RSSI和密钥数据Key、并且以RSSI的数值为基础进行排序,这仅仅是示例。在应用中,众包数据还可以包括为其它数据,并且可以基于众包数据中的其它数据进行排序,或者还可以基于众包数据中的不同类型数据的组合进行排序。
在根据本公开实施例的如图6所示的众包通信装置的技术方案中,众包通信装置被与移动终端交互以初始过滤移动终端,并且生成与移动终端相关的众包数据,所述众包数据能够用于确定是否允许移动终端访问区域电子设备。这使能够在区域限定网络中以交互方式感知移动终端的接近、并控制移动终端对区域限定网络中的区域电子设备的访问,从而提高了用户体验和安全功能
图7是示意性图示了根据本公开实施例的第一访问控制设备700的框图。该访问控制设备700应用于一区域限定网络,例如图1所述的区域限定网络。访问控制设备700典型地是图1中的众包服务器。或者,该访问控制设备700还可以处于所述区域电子设备,例如ATS1、ATS2、或ATS3中。该访问控制设备700用于控制图1中的移动终端MS对区域电子设备ATS1至ATS3中任一个的访问。访问控制设备700所应用于的区域限定网络包括众包通信装置,例如图1中蓝牙装置。
如图7所示,所述访问控制设备700可包括:接收器710,用于获取所述众包通信装置与位于区域限定网络中的移动终端之间的众包数据;存储器720,用于存储所述众包通信装置与移动终端之间的众包数据;处理器730,用于处理所述众包数据以判断移动终端是否满足预设访问条件,在所述移动终端满足预设访问条件的情况中,产生用于允许所述移动终端访问所述区域电子设备的授权指令;传送器740,用于将所述授权指令传送给所述移动终端和区域电子设备中的至少一个。
接收器710获取所述众包通信装置与位于区域限定网络中的移动终端之间的众包数据。接收器710例如从图6中的第二通信器件650接收众包数据,如上面的表2所示的数据。相应地,接收器710要采用与第二通信器件650对应的通信技术来接收众包数据。例如,接收器710通过专用信道与众包通信装置600中的第二通信器件650通信,并利用该专门信道从众包通信装置接收所述接收信号强度指示RSSI和密钥数据Key。或者,接收器710可以利用蓝牙信号从第二通信器件650接收所述接收信号强度指示RSSI和密钥数据Key,接收器710还可以利用图1所示的WiFi设备AP从第二通信器件650接收众包数据。
此外,接收器710还接收来自移动终端的众包数据,如上面的表1所示的数据。接收器710可以通过专用信道从移动终端MS接收众包数据。或者,专用信道可以利用区域限定网络中的WiFi设备AP从移动终端MS接收众包数据。
处理器730处理所述众包数据以判断移动终端是否满足预设访问条件。例如,在众包通信装置将所生成的全部众包数据传送给接收器710,而没有任何筛选时,控制器730可以从接收器710接收的众包数据中选择性能在前的预定数目的众包数据。对于来自移动终端的众包数据,控制器730也可以从中选择性能在前的预定数目的众包数据。具体的选择方式可以参见前面的描述。这可以减少后续的数据处理量。
处理器730对来自移动终端和众包通信装置的众包数据进行整合。例如,可以确定来自移动终端的众包数据是否与来众包通信装置的众包数据一致。例如,当处理器730从表2中的第一行数据中找到与表1中的第一行中的三组基于一致的数据时,二者一致。由于移动终端计算的RSSI与众包通信装置计算的RSSI之间的数值可能会有误差,所以在二者之间的差值小于预定比例时即认为一致。
当处理器730发现从移动终端接收的RSSI和Key与从众包通信装置接收的RSSI和Key不一致时,确定移动终端不处于该区域限定网络,确定不满足预设访问条件。当处理器730发现从移动终端接收的RSSI和Key与从众包通信装置接收的RSSI和Key一致时,确定移动终端处于该区域限定网络。为了判断移动终端是否满足预设访问条件,处理器730可以获取所述区域限定网络中的样本访问数据;将所述众包数据与所述样本访问数据进行匹配,以从所述众包数据中找到匹配的众包数据;基于所述匹配的众包数据判断移动终端是否满足预设访问条件。所述样本访问数据是所述移动终端或其它移动终端此前访问网络时接入到区域电子设备所使用的数据。
移动终端在区域限定网络中可能处于移动状态,接收器710可以得到许多如表1所述的众包数据。在实践中,在存储器720中可以缓存从当前时间向前的9个时间点的数据,例如表1所示的9行众包数据。控制器730将每行众包数据与所述样本访问数据进行匹配,以从表1所示的9行众包数据中找到与样本访问数据最接近的一行众包数据。作为示例,控制器730可以计算表1中的每行众包数据与样本访问数据之间的欧几里德距离,并将欧几里德距离最小的对应行众包数据作为匹配的众包数据。
在基于所述匹配的众包数据判断移动终端是否满足预设访问条件的过程,控制器730可以根据众包数据中的具体数据类型来设置不同的预设访问条件。
图8示意性图示了图7中的控制器730中的模块结构。如图8所示,该控制器730包括样本模块731、匹配模块732、和判断模块733。样本模块731获取所述区域限定网络中的样本访问数据。匹配模块732将所述众包数据与所述样本访问数据进行匹配,以从所述众包数据中找到匹配的众包数据。判断模块733基于所述匹配的众包数据判断移动终端是否满足预设访问条件。在图8中,继续以众包数据包括接收信号强度指示RSSI和密钥数据Key为例进行描述。
样本模块731获取所述区域限定网络中的样本访问数据。通常,进入区域限定网络的移动终端可能是首次进入区域限定网络的新移动终端,也可能是曾经进入区域限定网络的老移动终端。对于老移动终端,样本模块731可以根据其以前访问区域限定网络中的区域电子设备时的众包数据来执行认证,即基于该移动终端的访问所述区域电子设备的历史众包数据确定所述样本访问数据。对于新移动终端,样本模块731估计该新移动终端在所述区域限定网络中的位置,并基于其它移动终端在所估计的位置上的历史众包数据确定样本访问数据。替换地,当区域限定网络仅允许预设的移动终端访问其中的区域电子设备时,样本模块731可以直接预先设置其样本访问数据。
接收器710在接收到移动终端的众包数据时,可以获取移动终端的标识符。样本模块731将移动终端的标识符与区域限定网络中的历史众包数据比对,如果从历史众包数据找到移动终端的标识符,则该移动终端是老移动终端,否则是新移动终端。样本模块731可以采取现有的或将来出现的各种技术来确定移动终端是否是首次进入所述区域限定网络的新移动终端。
在确定所述移动终端是新移动终端的情况中,样本模块731可以利用来自新移动终端的接收信号强度指示RSSI来判断其在区域限定网络中的位置。众包通信装置在区域限定网络中的位置是固定的,利用新移动终端与多个众包通信装置之间的RSSI,样本模块731可以估计新移动终端相对于各个众包通信装置的位置,从而可以确定新移动终端在区域限定网络中的位置。或者,新移动终端还可以利用定位仪确定自己的位置,并根据需要将其位置数据传送给接收器710,样本模块731从接收器710获取新移动终端的位置。
此后,样本模块731确定在新移动终端的位置附近,此前其它移动终端访问区域电子设备所使用的多个历史众包数据,并对其它移动终端访问时所使用的众包数据进行融和(例如,求平均)来获得所述样本访问数据。也就是说,样本模块731基于其它移动终端访问时区域电子设备时所使用的众包数据获得用于认证新移动终端的样本访问数据。替换地,样本模块731还可以选择与新移动终端的位置最接近的一组历史访问数据作为该样本访问数据。
对于此前已经访问区域限定网络的移动终端,样本模块731可以基于该移动终端的访问所述区域电子设备的历史众包数据确定所述样本访问数据。例如,样本模块731可以选择此前任一次访问区域电子设备所使用的历史众包数据作为所述样本访问数据,也可以将此前访问区域电子设备所使用的历史众包数据的平均值作为所述样本访问数据。
匹配模块732将所述众包数据与所述样本访问数据进行匹配,以从所述众包数据中找到匹配的众包数据。假设样本模块731获得的样本访问数据是{(-85.81313,4),(-75.65538,3),(-77.76332,8)},移动终端在当前时间之前获得了如上面的表1所示的9行众包数据。匹配模块732可以计算表1中的每行行众包数据与样本访问数据{(-85.81313,4),(-75.65538,3),(-77.76332,8)}之间的欧几里德距离,并将欧几里德距离最小的对应行的众包数据作为匹配的众包数据。也就是说,匹配模块732计算众包数据与样本访问数据之间的相似度,并将相似度最大(即欧几里德距离最小)的众包数据作为匹配的众包数据。假设最小的欧几里德距离是Smin。
在所述众包数据包括接收信号强度指示RSSI的情况中,判断模块733基于该接收信号强度指示计算区域索引;基于该区域索引和索引阈值判断所述移动终端是否满足预设访问条件。在所述众包数据包括密钥数据Key的情况中,判断模块733基于所述随机密钥的取值范围判断所述移动终端是否满足预设访问条件。
在所述众包数据包括接收信号强度指示RSSI的情况中,判断模块733例如可利用上面的公式(1)来计算区域索引ARAIndex,并可以参见上面的公式(1)和相关的描述。然后,判断模块733将该区域索引ARAIndex与一预设的索引阈值Ti相比较来判断所述移动终端是否满足预设访问条件。当区域索引ARAIndex大于等于索引阈值Ti时,判断模块733判断所述移动终端满足预设访问条件;当区域索引ARAIndex小于索引阈值Ti时,判断模块733判断所述移动终端不满足预设访问条件。也就是说,对于区域限定网络中的所有区域电子设备,可以设置统一的预设的索引阈值Ti。
替换地,对于区域限定网络中的每个区域电子设备,还可以调整所述预设的索引阈值,以执行差别化的认证方案。例如,判断模块733在基于该区域索引和索引阈值判断所述移动终端是否满足预设访问条件的过程中,可以利用所述区域电子设备在所述区域限定网络中的权重来调整所述索引阈值Ti;在所述区域索引大于等于调整后的索引阈值Tj的情况下,确定所述移动终端满足所述预设访问条件;在所述区域索引小于调整后的索引阈值Tj的情况下,确定所述移动终端不满足所述预设访问条件。关于调整阈值索引的方式可以参见前面的公式(2)和相关的描述。在调整索引阈值之后,要执行更加严格的认证,并且由于各个区域电子设备的权重不同,则可以为不同的区域电子设备设置不同的认证条件,从而提供差别化的控制。例如,对于区域限定网络中的安全级别高的区域电子设备,可以设置大的权重;对于区域限定网络中的安全级别低的区域电子设备,可以设置小的权重。此外,在区域限定网络中还可以划分不同的子区域,然后对于子区域中的区域电子设备通过所述公式(2)调整索引阈值。此时,公式(2)中的Sum_Weight是该子区域中的区域电子设备的权重之和。
要注意,判断模块733还可以不计算区域索引ARAIndex,而直接利用所述最小的欧几里德距离Smin判断移动终端满足预设访问条件。
在所述众包数据包括密钥数据Key的情况中,判断模块733基于所述随机密钥的取值范围判断所述移动终端是否满足预设访问条件。如前所述,与区域电子设备相关联的众包通信装置为移动终端生成的密钥数据Key是取值范围为101至109的随机数据,限定区域中的众包通信装置为移动终端生成的密钥数据Key是取值范围为1至9的随机数据。判断模块733可以判断所述匹配的众包数据(例如,表1中的一行数据)中是否存在任一个大于100的密钥数据。如果存在,则判断移动终端满足预设访问条件,如果不存在,则判断移动终端不满足预设访问条件。当判断模块733基于RSSI和Key二者都判断移动终端满足预设访问条件,产生用于允许所述移动终端访问所述区域电子设备的授权指令,以在所述移动终端与所述区域电子设备之间建立访问链路。
可选地,在样本模块731判断所述移动终端不是新移动终端的情况中,在样本模块731获取样本访问数据之前,判断模块733可以计算该移动终端曾经成功访问该区域电子设备的成功率和成功次数;在所计算的成功率和成功次数分别大于等于预设的成功率阈值和预设的成功次数阈值时,判断所述移动终端满足预设访问条件。假设,所述预设的成功率例如是80%,预设的成功次数阈值例如是5次,在移动终端在过去的10次访问中有9次成功访问了区域限定网络中的区域电子设备,即成功率是90%,成功次数是9次。判断模块733可以判断所述移动终端是可以信任的移动终端,其满足预设访问条件。对于可以信任的移动终端,判断模块733产生用于允许所述移动终端访问所述区域电子设备的授权指令,样本模块731不再获取样本访问数据。当判断模块733利用预设的成功率阈值和预设的成功次数阈值判断移动终端不是可以信任的移动终端时,例如移动终端曾经成功访问该区域电子设备的成功率小于80%,或者成功次数少于5次,样本模块731可以再获取样本访问数据,以及前述的随后的操作。
此外,存储器720还可以保存在判断模块733的判断过程中的部分中间数据,例如,众包数据与样本数据之间的欧几里德距离、区域索引ARAIndex、移动终端在区域限定网络中的位置等。具体存储的数据可以参见上面的表3和相关的描述。
在处理器730执行处理操作的过程中,可以适当地生成表3中的数据,还可以生成其它的数据。例如,在样本模块731判断移动终端是首次进入所述区域限定网络的新移动终端时,样本模块731估计该新移动终端在所述区域限定网络中的位置,即获得表3中的第11列的数据,然后样本模块731获取其它移动终端在当前所在的位置附近曾经访问区域电子设备的历史众包数据,并将其作为样本数据。判断模块733基于接收信号强度指示RSSI计算相似度和区域索引ARAIndex而得到表3中的第9和10列的数据。基于所计算的数据,可以找到最小欧几里德距离Smin和对应的区域索引,并相应地判断移动终端是否满足预设访问条件。
在处理器730判断所述移动终端满足预设访问条件的情况中,生用于允许所述移动终端访问所述区域电子设备的授权指令。发送器740将所述授权指令发送给所述移动终端和区域电子设备中的至少一个,以在所述移动终端与所述区域电子设备之间建立访问链路。
在根据本公开实施例的访问控制设备700的技术方案中,基于众包通信装置与移动终端之间的众包数据来判断移动终端与区域电子设备之间的关系,以确定是否授权移动终端访问区域电子设备。这使能够在区域限定网络中以交互方式感知移动终端的接近、并控制移动终端对区域限定网络中的区域电子设备的访问,从而提高了用户体验和安全功能。
根据访问控制设备700的授权指令,众包通信装置(例如图6中的众包通信装置600)可以基于为所述移动终端生成的随机密钥来生成认证输入信息;并利用该认证输入信息建立所述移动终端对所述区域电子设备的访问链路。也就是说,在移动终端与区域电子设备利用WiFi建立通信连接的情况中,可以利用所述匹配的众包数据的中的密钥数据来作为认证输入信息,并利用该认证输入信息在移动终端和区域电子设备之间的访问链路。根据WiFi通信协议,该移动终端需要对一随机数执行加密算法,并利用加密算法的结果建立WiFi通信连接。假设匹配的众包数据是表1中的第一行数据,在该第一行数据中包括三个密钥数据,每个密钥数据是随机数据。可以将所述三个密钥数据级联作为WiFi通信中要执行加密算法的随机数,从而将无需专门为WiFi通信产生随机数。
在移动终端与区域电子设备建立通信连接之后,移动终端使用区域电子设备中的相应功能,例如,利用区域电子设备打印、扫描、开电话会议等。
图9是示意性图示了根据本公开实施例的第二访问控制设备900的框图。第二访问控制设备900可用于如图1所示的区域限定网络。该区域限定网络可包括众包通信装置和区域电子设备。典型地,第二访问控制设备900可以对应于图1中众包服务器,还可以被实现在区域电子设备中。
如图9所示,所述电子设备900可包括一个或多个处理器910、存储单元920、输入单元930、输出单元940、通信单元950。这些组件通过总线系统970和/或其它形式的连接机构(未示出)互连。应当注意,图9所示的电子设备900的组件和结构只是示例性的,而非限制性的。根据需要,电子设备900也可以具有其他组件和结构,并且例如可以不包括输入单元930、输出单元940等。
处理器910可以是中央处理单元(CPU)或者具有数据处理能力和/或指令执行能力的其它形式的处理单元,并且可以控制第一搜索装置900中的其它组件以执行期望的功能。
存储单元920可以包括一个或多个计算机程序产品,所述计算机程序产品可以包括各种形式的计算机可读存储介质,例如易失性存储器和/或非易失性存储器。所述易失性存储器例如可以包括随机存取存储器(RAM)和/或高速缓冲存储器(cache)等。所述非易失性存储器例如可以包括只读存储器(ROM)、硬盘、闪存等。在所述计算机可读存储介质上可以存储一个或多个计算机程序指令,处理器910可以运行所述程序指令,以实现上述的本公开的实施例的结合图2至图5描述的访问控制方法的各个步骤。在所述计算机可读存储介质中还可以存储各种应用程序和各种数据,例如显示屏幕的工作状态、应用程序的操作状态等。
输入单元930可以是用户用来输入指令的单元,并且可以包括键盘、鼠标、麦克风和触摸屏等中的一个或多个。输出单元940可以向外部(例如用户)输出各种信息(例如图像或声音),并且可以包括显示器、扬声器等中的一个或多个。
通信单元950可以通过网络或其它技术与其它单元(例如个人计算机、服务器、移动台、基站等)通信,所述网络可以是因特网、无线局域网、移动通信网络等。例如,所述通信单元950可包括与众包通信装置、移动终端和区域电子设备中的一个或多个通信的器件。
在本公开实施例的访问控制设备900的技术方案中,基于众包通信装置与移动终端之间的众包数据来判断移动终端的接近,并利用众包数据确定是否授权移动终端访问区域电子设备,这使能够在区域限定网络中以交互方式感知移动终端的接近、并控制移动终端对区域限定网络中的区域电子设备的访问,从而提高了用户体验和安全功能。
注意,在本公开中提及的优点、优势、效果等仅是示例而非限制,不能认为这些优点、优势、效果等是本公开的各个实施例必须具备的。
本公开中涉及的器件、装置、单元的方框图仅作为例示性的例子并且不意图要求或暗示必须按照方框图示出的方式进行连接、布置、配置。如本领域技术人员将认识到的,可以按任意方式连接、布置、配置这些器件、装置、设备、系统。诸如“包括”、“包含”、“具有”等等的词语是开放性词汇,指“包括但不限于”,且可与其互换使用。这里所使用的词汇“或”和“和”指词汇“和/或”,且可与其互换使用,除非上下文明确指示不是如此。这里所使用的词汇“诸如”指词组“诸如但不限于”,且可与其互换使用。
本公开中的步骤流程图以及以上方法描述仅作为例示性的例子并且不意图要求或暗示必须按照给出的顺序进行各个实施例的步骤。如本领域技术人员将认识到的,可以按任意顺序进行以上实施例中的步骤的顺序。诸如“其后”、“然后”、“接下来”等等的词语不意图限制步骤的顺序;这些词语仅用于引导读者通读这些方法的描述。此外,例如使用冠词“一个”、“一”或者“该”对于单数的要素的任何引用不被解释为将该要素限制为单数。
提供所公开的方面的以上描述以使本领域的任何技术人员能够做出或者使用本公开。对这些方面的各种修改对于本领域技术人员而言是非常显而易见的,并且在此定义的一般原理可以应用于其他方面而不脱离本公开的范围。因此,本公开不意图被限制到在此示出的方面,而是按照与在此公开的原理和新颖的特征一致的最宽范围。
为了例示和描述的目的已经给出了以上描述。此外,此描述不意图将本公开的实施例限制到在此公开的形式。尽管以上已经讨论了多个示例方面和实施例,但是本领域技术人员将认识到其某些变型、修改、改变、添加和子组合。
其他例子和实现方式在本公开和所附权利要求的范围和精神内。例如,由于软件的本质,以上所述的功能可以使用由处理器、硬件、固件、硬连线或这些的任意的组合执行的软件实现。实现功能的特征也可以物理地位于各个位置,包括被分发以便功能的部分在不同的物理位置处实现。而且,如在此使用的,包括在权利要求中使用的,在以“至少一个”开始的项的列举中使用的“或”指示分离的列举,以便例如“A、B或C的至少一个”的列举意味着A或B或C,或AB或AC或BC,或ABC(即A和B和C)。此外,措辞“示例的”不意味着描述的例子是优选的或者比其他例子更好。
以上所述,仅为本公开的具体实施方式,但本公开的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本公开揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本公开的保护范围之内。因此,本公开的保护范围应所述以权利要求的保护范围为准。
Claims (12)
1.一种访问控制方法,用于在区域限定网络中控制移动终端对区域电子设备的访问,该区域限定网络包括众包通信装置,所述访问控制方法包括:
在所述众包通信装置与所述移动终端之间建立通信连接;
获取所述众包通信装置与所述移动终端之间的众包数据;
处理所述众包数据以判断移动终端是否满足预设访问条件;
在所述移动终端满足预设访问条件的情况中,在所述移动终端与所述区域电子设备之间建立访问链路,
其中,所述获取所述众包通信装置与所述移动终端之间的众包数据包括:
由所述众包通信装置生成用于所述移动终端的密钥数据;
获取所述众包通信装置与所述移动终端之间的接收信号强度指示RSSI,
其中,所述区域限定网络包括公共区域和限定区域,所述众包通信装置包括位于所述公共区域的第一众包通信装置和位于所述限定区域的第二众包通信装置,所述由所述众包通信装置生成用于所述移动终端的密钥数据包括:
所述第一众包通信装置为所述移动终端生成处于第一取值范围的第一随机密钥;
所述第二众包通信装置为所述移动终端生成处于第二取值范围的第二随机密钥,该第二取值范围大于所述第一取值范围。
2.根据权利要求1的访问控制方法,其中,所述在所述众包通信装置与所述移动终端之间建立通信连接包括:
基于所述众包通信装置与所述移动终端之间初始连接信号计算二者之间的信道参数;
确定所述信道参数是否满足预定条件;
在所述信道参数满足预定条件时,所述众包通信装置与所述移动终端之间建立通信连接。
3.根据权利要求2的访问控制方法,其中,所述区域限定网络包括公共区域和限定区域,所述众包通信装置包括位于所述公共区域的第一众包通信装置和位于所述限定区域的第二众包通信装置,所述确定所述信道参数是否满足预定条件包括:
在第一众包通信装置与所述移动终端之间的接收信号强度指示RSSI大于等于第一阈值时,确定所述信道参数满足预定条件;
在第二众包通信装置与所述移动终端之间的接收信号强度指示RSSI大于等于第二阈值时,确定所述信道参数满足预定条件,该第二阈值大于所述第一阈值。
4.根据权利要求1的访问控制方法,其中,所述获取所述众包通信装置与所述移动终端之间的众包数据包括:
获取所述众包通信装置与所述移动终端之间的多个众包数据;
从所述众包数据中选择性能在前的预定数目的众包数据。
5.根据权利要求1的访问控制方法,其中,所述处理所述众包数据以判断移动终端是否满足预设访问条件包括:
获取所述区域限定网络中的样本访问数据;
将所述众包数据与所述样本访问数据进行匹配,以从所述众包数据中找到匹配的众包数据;
基于所述匹配的众包数据判断移动终端是否满足预设访问条件。
6.根据权利要求5的访问控制方法,其中,所述获取所述区域限定网络中的样本访问数据包括:
确定所述移动终端是否是首次进入所述区域限定网络的新移动终端;
在所述移动终端不是新移动终端的情况中,基于该移动终端的访问所述区域电子设备的历史众包数据确定所述样本访问数据;
在所述移动终端是新移动终端的情况中,估计该新移动终端在所述区域限定网络中的位置,并基于其它移动终端在所估计的位置上的历史众包数据确定样本访问数据。
7.根据权利要求5的访问控制方法,其中,
在所述众包数据包括所述众包通信装置与所述移动终端之间的接收信号强度指示RSSI的情况中,所述基于所述匹配的众包数据判断移动终端是否满足预设访问条件包括:基于该接收信号强度指示计算区域索引;基于该区域索引和索引阈值判断所述移动终端是否满足预设访问条件,
在所述众包数据包括由所述众包通信装置生成的用于所述移动终端的密钥数据的情况中,所述基于所述匹配的众包数据判断移动终端是否满足预设访问条件包括:基于所述随机密钥的取值范围判断所述移动终端是否满足预设访问条件。
8.根据权利要求6的访问控制方法,其中,在所述移动终端不是新移动终端的情况中,在基于该移动终端的访问所述区域电子设备的历史众包数据确定所述样本访问数据的步骤之前,进一步包括:
计算该移动终端曾经成功访问该区域电子设备的成功率和成功次数;
基于所计算的成功率和成功次数分别大于预设的成功率阈值和预设的成功次数阈值时,判断所述移动终端满足预设访问条件,
其中,当所计算的成功率小于预设的成功率阈值或者所计算的成功次数小于预设的成功次数阈值时,执行基于该移动终端的访问所述区域电子设备的历史众包数据确定所述样本访问数据的步骤。
9.根据权利要求7的访问控制方法,其中,所述基于该区域索引和索引阈值判断所述移动终端是否满足预设访问条件包括:
利用所述区域电子设备在所述区域限定网络中的权重来调整所述索引阈值;
在所述区域索引大于等于调整后的索引阈值的情况下,确定所述移动终端满足所述预设访问条件。
10.根据权利要求1的访问控制方法,其中,所述在所述移动终端与所述区域电子设备之间建立访问链路包括:
基于所述众包通信装置为所述移动终端生成的随机密钥来生成认证输入信息;
利用该认证输入信息建立所述移动终端对所述区域电子设备的访问链路。
11.一种用于区域限定网络中的访问控制设备,该区域限定网络包括众包通信装置和区域电子设备,所述访问控制设备包括:
接收器,用于获取所述众包通信装置与位于区域限定网络中的移动终端之间的众包数据;
存储器,用于存储所述众包通信装置与移动终端之间的众包数据;
处理器,用于处理所述众包数据以判断移动终端是否满足预设访问条件,在所述移动终端满足预设访问条件的情况中,产生用于允许所述移动终端访问所述区域电子设备的授权指令;
传送器,用于将所述授权指令传送给所述移动终端和区域电子设备中的至少一个,
其中,所述接收器进一步被配置为接收由所述众包通信装置生成的用于所述移动终端的密钥数据以及所述众包通信装置与所述移动终端之间的接收信号强度指示RSSI,
其中,所述区域限定网络包括公共区域和限定区域,所述众包通信装置包括位于所述公共区域的第一众包通信装置和位于所述限定区域的第二众包通信装置,所述第一众包通信装置为所述移动终端生成处于第一取值范围的第一随机密钥,所述第二众包通信装置为所述移动终端生成处于第二取值范围的第二随机密钥,该第二取值范围大于所述第一取值范围。
12.一种计算机可读存储介质,其上存储一个或多个计算机程序,用于当由处理器执行时,实现权利要求1至10中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510920757.7A CN106878235B (zh) | 2015-12-11 | 2015-12-11 | 访问控制方法、电子设备和介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510920757.7A CN106878235B (zh) | 2015-12-11 | 2015-12-11 | 访问控制方法、电子设备和介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106878235A CN106878235A (zh) | 2017-06-20 |
CN106878235B true CN106878235B (zh) | 2020-05-19 |
Family
ID=59178099
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510920757.7A Active CN106878235B (zh) | 2015-12-11 | 2015-12-11 | 访问控制方法、电子设备和介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106878235B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107426698A (zh) * | 2017-07-28 | 2017-12-01 | 北京囡宝科技有限公司 | 一种区域宣告装置及无线设备区域判定方法 |
CN109803247A (zh) * | 2017-11-16 | 2019-05-24 | 北汽(镇江)汽车有限公司 | 一种车载系统的电话本管理方法及车载系统 |
CN108064436A (zh) * | 2017-11-21 | 2018-05-22 | 深圳市汇顶科技股份有限公司 | 生物识别信息传输建立方法、装置、系统及存储介质 |
CN108960811B (zh) * | 2018-05-29 | 2021-01-15 | 创新先进技术有限公司 | 一种支付方法及客户端 |
CN110505272B (zh) * | 2019-07-12 | 2022-04-29 | 杭州海康威视数字技术股份有限公司 | 一种网络连接建立方法、装置、接收方设备及发送方设备 |
WO2023097527A1 (en) * | 2021-11-30 | 2023-06-08 | Huawei Technologies Co., Ltd. | Method for authentication and related devices |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103813325A (zh) * | 2012-11-07 | 2014-05-21 | 株式会社理光 | 限定区域自组织网络的网络管理方法、通信设备和系统 |
CN103874021A (zh) * | 2014-04-02 | 2014-06-18 | 上海坤士合生信息科技有限公司 | 安全区域识别方法、识别设备及用户终端 |
CN105050118A (zh) * | 2015-07-31 | 2015-11-11 | 腾讯科技(深圳)有限公司 | 连接Wi-Fi热点的方法及装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100263022A1 (en) * | 2008-10-13 | 2010-10-14 | Devicescape Software, Inc. | Systems and Methods for Enhanced Smartclient Support |
-
2015
- 2015-12-11 CN CN201510920757.7A patent/CN106878235B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103813325A (zh) * | 2012-11-07 | 2014-05-21 | 株式会社理光 | 限定区域自组织网络的网络管理方法、通信设备和系统 |
CN103874021A (zh) * | 2014-04-02 | 2014-06-18 | 上海坤士合生信息科技有限公司 | 安全区域识别方法、识别设备及用户终端 |
CN105050118A (zh) * | 2015-07-31 | 2015-11-11 | 腾讯科技(深圳)有限公司 | 连接Wi-Fi热点的方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN106878235A (zh) | 2017-06-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106878235B (zh) | 访问控制方法、电子设备和介质 | |
US8321913B2 (en) | Location based authentication | |
US10069793B2 (en) | Identity verification method, internet of thins gateway device, and verification gateway device using the same | |
US8806202B2 (en) | Position based enhanced security of wireless communications | |
US11140175B2 (en) | Multi-factor authentication with geolocation and short-range communication | |
US9961543B2 (en) | Method and apparatus for wireless network authentication and authorization | |
KR101883682B1 (ko) | 정보 푸싱 방법, 서버, 공유자 클라이언트 및 제3자 클라이언트 | |
US9832648B2 (en) | Access control of geo-fenced services using co-located witnesses | |
US20150281239A1 (en) | Provision of access privileges to a user | |
WO2015066013A1 (en) | Systems and methods for geolocation-based authentication and authorization | |
JP2016524248A (ja) | 身元情報の窃盗又は複製行為から保護する方法及びシステム | |
US11201873B2 (en) | Multi-factor authentication with geolocation and voice command | |
EP1758303B1 (en) | Rogue access point detection and restriction | |
US10769872B2 (en) | Multi-factor authentication with geolocation and short-range communication with indoor-outdoor detection | |
CN112438056A (zh) | 基于设备的接入点关联和物理地址跟踪 | |
CN106330843B (zh) | 用于区域受限访问的系统和方法 | |
JP2024520585A (ja) | 無線侵入防止システムおよびその動作方法 | |
TWI729114B (zh) | 無線區域網路存取控制方法及裝置 | |
Alamleh et al. | Architecture for continuous authentication in location-based services | |
JP6260660B2 (ja) | 位置判断方法、位置判断装置及び電子機器 | |
US20070091858A1 (en) | Method and apparatus for tracking unauthorized nodes within a network | |
EP3895456B1 (en) | Method and system for delivering dedicated services restricted to a predefined service area | |
CN108419236B (zh) | 一种网络连接方法及设备 | |
US9654975B2 (en) | Method and device for authenticating a mobile device | |
KR102598119B1 (ko) | 통신 시스템에서 인증 장치 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |