WO2018196329A1

WO2018196329A1 - 接入设备、认证服务器、终端设备接入控制方法及系统

Info

Publication number: WO2018196329A1
Application number: PCT/CN2017/109984
Authority: WO
Inventors: 李晓龙
Original assignee: 中兴通讯股份有限公司
Priority date: 2017-04-27
Filing date: 2017-11-08
Publication date: 2018-11-01
Also published as: CN108811043A; CN108811043B; EP3618477A4; EP3618477A1

Abstract

本申请实施例提供了一种接入设备、认证服务器、终端设备接入控制方法及系统；该方法在检测到终端设备根据无线局域网的接入参数请求接入无线局域网时，将获取设备标识，判断终端设备是否为在网设备，根据判断结果的不同，对终端设备执行不同的控制操作，例如，在为在网设备时，直接将终端设备接入，在不是在网设备时，将通过认证服务器进行认证，仅在认证通过时，将终端设备接入；这样，即便提供无线局域网的接入设备的无线参数泄露，非法终端设备在使用无线参数接入无线局域网时，也会因为终端设备认证不通过被拒绝访问，解决了现有无线局域网安全性低的问题。

Description

[根据细则26改正09.11.2017]　接入设备、认证服务器、终端设备接入控制方法及系统

相关申请的交叉引用

本申请基于申请号为201710288872.6、申请日为2017年04月27日的中国专利申请提出，并要求该中国专利申请的优先权，该中国专利申请的全部内容在此引入本申请作为参考。

技术领域

本申请涉及局域网应用领域，尤其涉及一种接入设备、认证服务器、终端设备接入控制方法及系统、计算机存储介质。

背景技术

在现实生活中，存在这样的应用场景，酒店、车站等商家为了满足用户接入WiFi等无线局域网的需求，会设置多个接入设备，这些接入设备提供的WiFi，相互连接及覆盖，实现对场景的无缝覆盖。

这种方法在满足用户接入需求的同时，会存在这样的问题，为了便于用户终端接入WiFi，所有的接入设备使用相同的WiFi名称及密码等无线参数对用户进行认证，WiFi名称及密码一旦泄露，其他人员就可以肆意使用WiFi，影响商家内正常顾客的使用，会给商家带来不必要的网络费用。

申请内容

本申请实施例提供了一种接入设备、认证服务器、终端设备接入控制方法及系统、计算机存储介质，以至少解决现有技术仅使用无线局域网的无线参数对用户进行认证导致的安全性低的问题。

一方面，提供了一种终端设备接入控制方法，包括：

在检测到终端设备接入无线局域网的接入请求后，获取终端设备的设备标识；接入请求为终端设备根据无线局域网的接入参数发起的接入无线局域网的请求；

根据终端设备的设备标识和在网设备的设备标识，判断终端设备是否为在网设备；

对终端设备执行与判断结果对应的控制操作。

一方面，提供了一种终端设备接入控制方法，包括：

获取在网设备的设备标识；

发送在网设备的设备标识至公共局域网的接入设备，公共局域网由至少两个接入设备提供的无线局域网形成。

一方面，提供了一种终端设备接入控制方法，包括：

认证服务器获取在网设备的设备标识，发送在网设备的设备标识至公共局域网的接入设备，公共局域网由至少两个接入设备提供的无线局域网形成；

接入设备在检测到终端设备接入无线局域网的接入请求后，获取终端设备的设备标识，根据终端设备的设备标识和在网设备的设备标识，判断终端设备是否为在网设备；对终端设备执行与判断结果对应的控制操作。

一方面，提供了一种接入设备，包括：通信模块及处理器，其中，

通信模块配置为提供无线局域网，并与终端设备及认证服务器进行通信；

处理器配置为在在检测到终端设备接入无线局域网的接入请求后，获取终端设备的设备标识，根据终端设备的设备标识和在网设备的设备标识，判断终端设备是否为在网设备；对终端设备执行与判断结果对应的控制操作。

一方面，提供了一种认证服务器，包括：认证模块及处理器，其中，

认证模块配置为与接入设备进行通信；

处理器配置为获取在网设备的设备标识，发送在网设备的设备标识至公共局域网的接入设备；公共局域网由至少两个接入设备提供的无线局域网形成。

一方面，提供了一种终端设备接入控制系统，包括：本申请实施例提供的认证服务器，及多个接入设备，多个接入设备的无线局域网形成公共局域网；多个接入设备中的至少一个为本申请实施例提供的接入设备，其中，

认证服务器配置为获取在网设备的设备标识，发送在网设备的设备标识至公共局域网的接入设备；

接入设备配置为在检测到终端设备接入无线局域网的接入请求后，获取终端设备的设备标识，根据终端设备的设备标识和在网设备的设备标识，判断终端设备是否为在网设备；对终端设备执行与判断结果对应的控制操作。

另一方面，提供了一种计算机存储介质，计算机存储介质中存储有计算机可执行指令，计算机可执行指令配置为执行前述的终端设备接入控制方法。

本申请实施例的有益效果：

本申请实施例提供了一种接入设备、认证服务器、终端设备接入控制方法及系统、计算机存储介质，其中，该方法在检测到终端设备根据无线局域网的接入参数请求接入无线局域网时，将获取设备标识，判断终端设备是否为在网设备，根据判断结果的不同，对终端设备执行不同的控制操作，例如，在为在网设备时，直接将终端设备接入，在不是在网设备时，将通过认证服务器进行认证，仅在认证通过时，将终端设备接入；这样，即便提供无线局域网的接入设备的无线参数泄露，非法终端设备在使用无线参数接入无线局域网时，也会因为终端设备认证不通过被拒绝访问，解决了现有接入设备仅认证无线局域网的接入参数存在的接入参数泄露使得非法用户可以随时接入无线局域网导致的无线局域网安全性低的问题。

附图说明

图1为本申请第一实施例提供的终端设备接入控制系统的组网示意图；

图2为本申请第一实施例提供的接入设备的结构框图；

图3为本申请第一实施例提供的终端设备接入控制方法的第一种流程图；

图4为本申请第一实施例提供的终端设备接入控制方法的第二种流程图；

图5为本申请第二实施例提供的终端设备接入控制系统的组网示意图；

图6为本申请第二实施例提供的接入设备的结构框图；

图7为本申请第二实施例提供的认证服务器的结构框图；

图8为本申请第二实施例提供的终端设备接入控制方法的流程图；

图9为本申请第二实施例提供的终端设备接入控制方法在接入设备侧的总体流程图；

图10为本申请第二实施例提供的终端设备接入控制方法在接入设备侧的第二种流程图；

图11为本申请第二实施例提供的终端设备接入控制方法在认证服务器侧的第一种流程图；

图12为本申请第二实施例提供的终端设备接入控制方法在认证服务器侧的第二种流程图；

图13为本申请第三实施例提供的终端设备接入控制系统的组网示意图；

图14为本申请第三实施例提供的终端设备接入控制方法的第一种流程图；

图15为本申请第三实施例提供的终端设备接入控制方法的第二种流程图；

图16为本申请实施例涉及的终端归属无线局域网的确定示意图；

图17为本申请实施例涉及的无线局域网形成公共局域网的示意图；

图18为本申请第二实施例提供的终端设备接入控制方法在接入设备侧的第一种流程图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例只是本申请中一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

本申请主要用于酒店、商场等应用场景，在这些场景中，需要将多个接入设备提供的小范围的无线局域网组成一个大范围的局域网，下文将这个大范围的局域网成为当前局域网，在实际应用中，相邻接入设备所提供的无线局域网的覆盖范围可能会重叠，针对这种现象，本申请提供了一种新的终端设备归属无线局域网的划分方式。

具体的，如图16所示，接入设备1与接入设备2分别提供无线局域网1及无线局域网2部分相互重叠，在重叠区域内，无线局域网范围连线构成归属无线局域网的分界，在区域A范围内的终端设备a归属无线局域网1，在区域B内的终端设备b归属无线局域网2；这种终端设备归属无线局域网的划分方式简单。

具体的，如图17所示，接入设备1、接入设备2、接入设备3及接入设备4分别提供无线局域网1、无线局域网2、无线局域网3及无线局域网 4，无线局域网1、无线局域网2、无线局域网3及无线局域网4相互之后重叠或者覆盖之后，形成公共局域网C；针对接入设备1来说，接入设备2、接入设备3及接入设备4就是形成公共局域网的其他接入设备，针对认证服务器来说，确定的公共局域网C的接入设备包括接入设备1、接入设备2、接入设备3及接入设备4。

在实际应用中，本申请涉及的第一预定时长和第二预定时长可以根据经验及需要设置，例如第一预定时长可以设定为正常用户从第一无线局域网范围步行到第二无线局域网范围的时间，一般为10分钟，而第二预定时长可以设定为正常用户外出办事的时间，如24小时等。

在实际应用中，本申请涉及的设备标识是指唯一可以确定用户身份的参数，如设备的MAC地址(Media Access Control地址，媒体访问控制地址)，设备内SIM(Subscriber Identity Module，用户身份识别卡)卡对应的手机号等。

在实际应用中，本申请涉及的在网设备是指已经接入当前局域网所范围的接入设备提供的小范围的无线局域网的设备，那么对应的，终端设备为在网设备，代表着终端设备发生了由公共局域网C中无线局域网1切换到无线局域网2等的切换行为，或者短暂(小于第二预定时长)离开公共局域网C后重新返回的重新接入局域网的行为，而终端设备不是在网设备，代表着终端设备第一次接入公共局域网C中无线局域网的行为，超时(大于第二预定时长)离开公共局域网C后重新返回的重新接入局域网的行为。

在实际应用中，本申请涉及的在网设备的设备标识的实现，可以是通过设置合法用户的方式，其中，设置合法用户的方式是指设置一些用户为合法用户，这些用户的设备标识记为合法用户的设备标识，而在网设备的设备标识就是特指合法用户的设备标识，其具体实现如下文描述，不再详细赘述。

现通过具体实施方式结合附图的方式对本申请做出进一步的诠释说明。

第一实施例：

图1为本申请第一实施例提供的终端设备接入控制系统的组网示意图，由图1可知，本实施例提供的终端设备接入控制系统包括：多个接入设备，多个接入设备的无线局域网形成公共局域网；其中，接入设备之间直接或者间接通过第三方设备通信，进行数据交互；

接入设备配置为提供无线局域网；在检测到终端设备接入无线局域网的接入请求后，获取终端设备的设备标识，判断设备标识是否为在网设备的设备标识，若是，则将终端设备接入无线局域网，为终端设备提供无线接入服务，其中，接入请求为终端设备根据无线局域网的接入参数，如网络名称及接入密码等，发起的接入无线局域网的请求。这样，本申请提供的方法与现有技术相比，至少存在这样的优点：在认证终端设备的接入请求后，还需要认证终端设备的设备标识，仅在设备标识为允许接入的设备标识时，才会将终端设备接入，这样，即便提供无线局域网的接入设备的无线参数泄露，非法终端设备在使用无线参数接入无线局域网时，也会因为设备不在网设备的设备标识被拒绝访问，解决了现有接入设备仅认证无线局域网的接入参数存在的接入参数泄露使得非法用户可以随时接入无线局域网导致的无线局域网安全性低的问题。

图2为本申请第一实施例提供的接入设备的结构框图，由图2可知，本实施例提供的接入设备包括：网络局域网模块21、接入控制模块22及服务提供模块23，其中，

网络局域网模块21配置为提供无线局域网；

接入控制模块22配置为在检测到终端设备接入无线局域网的接入请求后，获取终端设备的设备标识，判断设备标识是否为为在网设备的设备标识，若是，则触发服务提供模块23将终端设备接入无线局域网；接入请求为终端设备根据无线局域网的接入参数发起的接入无线局域网的请求；

服务提供模块23配置为将终端设备接入无线局域网，为终端设备提供无线接入服务。

在一些实施例中，上述实施例中的接入设备还包括存储模块，其中：

存储模块配置为存储合法用户信息列表，合法用户信息列表包括至少一条合法用户信息项，合法用户信息项包括合法用户的设备标识及资源使用信息，资源使用信息包括终端上网流量、终端上网时长中的至少一种；

接入控制模块22配置为调用合法用户信息列表，在合法用户信息列表中，查找与设备标识匹配的合法用户信息项；若查找到与设备标识匹配的合法用户信息项，则设备标识为符合预设规则的设备标识；若没有查找到与设备标识匹配的合法用户信息项，则设备标识不为在网设备的设备标识。

在一些实施例中，上述实施例中的接入控制模块22在为终端设备提供无线接入服务之后，还配置为：检测终端设备是否离开无线局域网；在检测到终端设备离开无线局域网后，判断是否在第一预定时长内接收到终端接入信息，其中，终端接入信息为形成公共局域网的其他接入设备在为终端设备提供无线接入服务后生成的信息，公共局域网由至少两个接入设备提供的无线局域网形成；若没有接收到终端接入信息，则认为终端设备离开公共局域网，并判断终端设备是否在第二预定时长内重新接入公共局域网；若未重新接入公共局域网，则删除合法用户信息列表中设备标识匹配的合法用户信息项，将更新后的合法用户信息列表，直接或者通过第三方设备，发送至形成公共局域网的其他接入设备。

在一些实施例中，上述实施例中的接入控制模块22在判断是否在第一预定时长内接收到终端接入信息之后，还配置为：若在第一预定时长内接收到终端接入信息，则更新资源使用信息，并将更新后的资源使用信息，直接或者通过第三方设备，发送至形成公共局域网的其他接入设备；或者，接入控制模块在判断终端设备是否在第二预定时长内重新接入当前局域网之后，还用于：若在第二预定时长内重新接入当前局域网，则更新资源使用信息，并将更新后的资源使用信息，直接或者通过第三方设备，发送至形成公共局域网的其他接入设备。

在一些实施例中，上述实施例中的接入控制模块22在判断设备标识是否为在网设备的设备标识之后，还配置为：若设备标识不为在网设备的设备标识，则获取终端设备的身份认证信息；对身份认证信息进行认证；若认证通过，则允许终端设备接入无线局域网。在实际应用中，身份认证信息需要携带公共局域网的提供者为合法用户分别的身份认证参数，如酒店前台为客人配置的登录账号及登录密码，可以用来识别用户身份，进而判断用户是不是合法用户，这些登录账号及登录密码并不是接入设备(如路由器)提供的无线局域网(WiFi)的接入账号及密码。

在一些实施例中，当上述实施例中的接入设备包括存储模块时，接入控制模块22在允许终端设备接入无线局域网之后，还配置为：获取终端设备的资源使用信息；将终端设备的设备标识及资源使用信息对应存储为一条合法用户信息项，并更新至合法用户信息列表中；将更新后的合法用户信息列表，直接或者通过第三方设备，发送至形成公共局域网的其他接入设备。

图3为本申请第一实施例提供的终端设备接入控制方法的第一种流程图，由图3可知，本实施例提供的终端设备接入控制方法包括：

S301：在检测到终端设备接入无线局域网的接入请求后，获取终端设备的设备标识；接入请求为终端设备根据无线局域网的接入参数发起的接入无线局域网的请求；

S302：判断设备标识是否为在网设备的设备标识；若是，则执行步骤 S303，若否，则执行步骤S305；

S303：将终端设备接入无线局域网；

S304：为终端设备提供无线接入服务。

在一些实施例中，如图3所示，上述实施例中的方法在步骤S302之后，还包括：

S305：若设备标识不是在网设备的设备标识，则获取终端设备的身份认证信息；

S306：对身份认证信息进行认证；若认证通过，则执行步骤S307；若认证失败，则执行S308；

S307：将终端设备接入无线局域网；

S308：拒绝终端设备接入无线局域网。

在一些实施例中，当调用合法用户信息列表时，如图3所示，上述实施例中的方法在步骤S307之后，还包括：

S309：获取终端设备的资源使用信息；

S310：将终端设备的设备标识及资源使用信息对应存储为一条合法用户信息项，并更新至合法用户信息列表中；

S311：将更新后的合法用户信息列表，直接或者通过第三方设备，发送至形成公共局域网的其他接入设备。

在一些实施例中，上述实施例中的步骤S302包括：

调用合法用户信息列表，合法用户信息列表包括至少一条合法用户信息项，合法用户信息项包括合法用户的设备标识及资源使用信息，资源使用信息包括终端上网流量、终端上网时长中的至少一种；

在合法用户信息列表中，查找与设备标识匹配的合法用户信息项；

若查找到与设备标识匹配的合法用户信息项，则设备标识为在网设备的设备标识；

若没有查找到与设备标识匹配的合法用户信息项，则设备标识不为在网设备的设备标识。

图4为本申请第一实施例提供的终端设备接入控制方法的第二种流程图，由图4可知，本实施例提供的终端设备接入控制方法在为终端设备提供无线接入服务(S304或者S307)之后，还包括：

S401：周期性的检测终端设备是否离开无线局域网；若离开，则执行S402，若未离开，则返回执行S401；

S402：在检测到终端设备离开无线局域网后，判断是否在第一预定时长内接收到终端接入信息，其中，终端接入信息为形成公共局域网的其他接入设备在为终端设备提供无线接入服务后生成的信息；若没有接收到终端接入信息，则认为终端设备离开公共局域网，执行步骤S403，若在第一预定时长内接收到终端接入信息，则执行步骤S405；

S403：判断终端设备是否在第二预定时长内重新接入当前局域网；若未重新接入公共局域网，则执行步骤S404；若在第二预定时长内重新接入公共局域网，则执行步骤S407；

S404：删除合法用户信息列表中设备标识匹配的合法用户信息项，将更新后的合法用户信息列表，直接或者通过第三方设备，发送至形成公共局域网的其他接入设备。

在一些实施例中，如图4所示，上述实施例中的方法在S402之后还包括：

S405：若在第一预定时长内接收到终端接入信息，则更新资源使用信息；

S406：将更新后的资源使用信息，直接或者通过第三方设备，发送至形成公共局域网的其他接入设备。

在一些实施例中，如图4所示，上述实施例中的方法在S403之后还包括：

S407：若在第二预定时长内重新接入当前局域网，则更新资源使用信息；

S408：将更新后的资源使用信息，直接或者通过第三方设备，发送至形成公共局域网的其他接入设备。

第二实施例：

图5为本申请第二实施例提供的终端设备接入控制系统的组网示意图，由图5可知，本实施例提供的终端设备接入控制系统包括：认证服务器、多个接入设备，多个接入设备的无线局域网形成一个公共局域网，接入设备之间直接或者间接通信，进行数据交互；其中

认证服务器用于用于获取在网设备的设备标识，发送在网设备的设备标识至公共局域网的接入设备；

接入设备用于在检测到终端设备接入无线局域网的接入请求后，获取终端设备的设备标识，根据终端设备的设备标识和在网设备的设备标识，判断终端设备是否为在网设备；对终端设备执行与判断结果对应的控制操作。

在实际应用中，当接入设备判断终端设备是否为在网设备的判断结果为否，则获取终端设备的身份认证信息，发送身份认证信息至认证服务器；

此时，认证服务器还用于对身份认证信息进行认证，并发送认证结果至接入设备；

接入设备还用于在认证结果为认证通过时，将终端设备接入无线局域网，并为终端设备提供无线接入服务。

图6为本申请第二实施例提供的接入设备的结构框图，由图6可知，本实施例提供的接入设备包括：通信模块61及处理器62，其中，

通信模块61配置为提供无线局域网，并与终端设备及认证服务器进行通信；

处理器62配置为在检测到终端设备接入无线局域网的接入请求后，获取终端设备的设备标识，根据终端设备的设备标识和在网设备的设备标识，判断终端设备是否为在网设备；对终端设备执行与判断结果对应的控制操作；接入请求为终端设备根据无线局域网的接入参数发起的接入无线局域网的请求。

在一些实施例中，上述实施例中的处理器62配置为判断终端设备是否为在网设备，若否，则获取终端设备的身份认证信息，发送身份认证信息至认证服务器，接收认证服务器返回的认证结果，在认证结果为认证通过时，将终端设备接入无线局域网，并为终端设备提供无线接入服务。

在一些实施例中，上述实施例中的通信模块61配置为接收认证服务器下发的合法用户信息列表，合法用户信息列表包括至少一条合法用户信息项，合法用户信息项包括合法用户的设备标识；处理器62配置为将合法用户的设备标识作为在网设备的设备标识。此时，处理器62配置为调用合法用户信息列表，在合法用户信息列表中，查找与终端设备的设备标识匹配的合法用户信息项，若查找到与设备标识匹配的合法用户信息项，则终端设备为在网设备，若没有查找到与设备标识匹配的合法用户信息项，则终端设备不是在网设备。在实际应用中，合法用户信息项包括合法用户的设备标识及资源使用信息，资源使用信息包括终端上网流量、终端上网时长中的至少一种，这样，处理器62可以根据资源使用信息为终端设备提供无线接入服务。

在一些实施例中，上述实施例中的处理器62还配置为在为终端设备提供无线接入服务之后，检测终端设备是否离开无线局域网；在检测到终端设备离开无线局域网后，判断通信模块61是否在第一预定时长内接收到认证服务器转发的终端接入信息，其中，终端接入信息为形成公共局域网的其他接入设备在为终端设备提供无线接入服务后生成的信息，公共局域网由至少两个接入设备提供的无线局域网形成；若没有接收到终端接入信息，则认为终端设备离开当前局域网，通过通信模块向认证服务器发送用户离网消息，用户离网消息用于触发认证服务器判断终端设备是否在第二预定时长内重新接入公共局域网；若通过通信模块接收到认证服务器反馈的新合法用户信息列表，则将存储的合法用户信息列表替换为新合法用户信息列表。

在一些实施例中，上述实施例中的接入设备包括：通信总线、通信单元、处理器、存储器及存储在存储器上并可在处理器上运行的计算机程序，其中，

通信总线配置为实现通信单元、处理器及存储器之间的通信连接；

通信单元配置为提供无线局域网，并与终端设备及认证服务器进行通信；

处理器配置为执行计算机程序，以实现以下步骤：

在检测到终端设备接入无线局域网的接入请求后，获取终端设备的设备标识；

根据来自认证服务器的在网设备的设备标识，判断终端设备是否为在网设备；

若否，则获取终端设备的身份认证信息，发送身份认证信息至认证服务器；

接收认证服务器返回的认证结果，在认证结果为认证通过时，将终端设备接入无线局域网，并为终端设备提供无线接入服务。

在一些实施例中，上述实施例中的处理器还配置为执行计算机程序，以实现以下步骤：

接收认证服务器下发的合法用户信息列表；

将合法用户的设备标识作为在网设备的设备标识；

调用合法用户信息列表，在合法用户信息列表中，查找与终端设备的设备标识匹配的合法用户信息项；

若查找到与设备标识匹配的合法用户信息项，则终端设备为在网设备，若没有查找到与设备标识匹配的合法用户信息项，则终端设备不是在网设备。

在为终端设备提供无线接入服务之后，检测终端设备是否离开无线局域网；

在检测到终端设备离开无线局域网后，判断通信模块是否在第一预定时长内接收到终端接入信息，其中，终端接入信息为形成公共局域网的其他接入设备在为终端设备提供无线接入服务后生成的信息，公共局域网由至少两个接入设备提供的无线局域网形成；

若没有接收到终端接入信息，则认为终端设备离开公共局域网，通过通信模块向认证服务器发送用户离网消息，用户离网消息用于触发认证服务器判断终端设备是否在第二预定时长内重新接入公共局域网；

若通过通信模块接收到认证服务器反馈的新合法用户信息列表，则将存储的合法用户信息列表替换为新合法用户信息列表。

在一些实施例中，本申请实施例还提供了一种计算机可读存储介质，计算机可读存储介质存储有一个或者多个程序，一个或者多个程序可被执行，以实现以下步骤：

在一些实施例中，上述实施例中的一个或者多个程序可被执行，以实现以下步骤：

接收认证服务器下发的合法用户信息列表；

将合法用户的设备标识作为在网设备的设备标识；

图7为本申请第二实施例提供的认证服务器的结构框图，由图7可知，本实施例提供的认证服务器包括：认证模块71及处理器72，其中，

认证模块71配置为与接入设备进行通信；

处理器72配置为获取在网设备的设备标识，发送在网设备的设备标识至公共局域网的接入设备；公共局域网由至少两个接入设备提供的无线局域网形成；其中，在网设备的设备标识用于接入设备在接收到终端设备接入无线局域网的接入请求后，对获取到的终端设备的设备标识进行认证，并仅在终端设备为在网设备时，将终端设备接入无线局域网，并为终端设备提供无线接入服务，在终端设备不是在网设备时，将通过认证服务器进行认证，仅在认证通过时，将终端设备接入；接入请求为终端设备根据无线局域网的接入参数发起的接入无线局域网的请求，公共局域网由至少两个接入设备提供的无线局域网形成。

在一些实施例中，上述实施例中的处理器72配置为：确定形成公共局域网的接入设备；构建包括至少一条合法用户信息项的合法用户信息列表，合法用户信息项包括合法用户的设备标识；发送合法用户信息列表至接入设备。在实际应用中，为了便于接入设备为终端设备提供接入服务，合法用户信息项包括合法用户的设备标识及资源使用信息，资源使用信息包括终端上网流量、终端上网时长中的至少一种。

在一些实施例中，上述实施例中的处理器72在发送合法用户信息列表至接入设备之后，还配置为：通过认证模块接收接入设备发送的用户离网消息；判断用户离网消息对应的终端设备是否在第二预定时长内重新接入公共局域网；若否，则删除合法用户信息列表中设备标识匹配的合法用户信息项，生成新合法用户信息列表；发送新合法用户信息列表至接入设备。

在一些实施例中，上述实施例中的认证模块71配置为：接收管理人员配置的合法用户的设备标识，作为在网设备的设备标识；和/或，接收接入设备发送的身份认证信息，对身份认证信息进行认证，若认证通过，则将身份认证信息对应的设备标识作为在网设备的设备标识。

在一些实施例中，上述实施例中的认证服务器包括：通信总线、通信单元、处理器、存储器及存储在存储器上并可在处理器上运行的计算机程序，其中，

通信单元配置为与接入设备进行通信；

处理器配置为执行计算机程序，以实现以下步骤：

获取在网设备的设备标识；

发送在网设备的设备标识至公共局域网的接入设备；公共局域网由至少两个接入设备提供的无线局域网形成。

在一些实施例中，上述实施例中的处理器还用于执行计算机程序，以实现以下步骤：

确定形成公共局域网的接入设备；

构建包括至少一条合法用户信息项的合法用户信息列表，合法用户信息项包括合法用户的设备标识及资源使用信息，资源使用信息包括终端上网流量、终端上网时长中的至少一种；

发送合法用户信息列表至接入设备。

在发送合法用户信息列表至接入设备之后，接收接入设备发送的用户离网消息；

判断用户离网消息对应的终端设备是否在第二预定时长内重新接入公共局域网；

若否，则删除合法用户信息列表中设备标识匹配的合法用户信息项，生成新合法用户信息列表；

发送新合法用户信息列表至接入设备。

接收管理人员配置的合法用户的设备标识，作为在网设备的设备标识；

和/或，

接收接入设备发送的身份认证信息，对身份认证信息进行认证，若认证通过，则将身份认证信息对应的设备标识作为在网设备的设备标识。

获取在网设备的设备标识；

确定形成公共局域网的接入设备；

发送合法用户信息列表至接入设备。

发送新合法用户信息列表至接入设备。

和/或，

图8为本申请第二实施例提供的终端设备接入控制方法的流程图，由图8可知，本实施例提供的终端设备接入控制方法包括：

S801：认证服务器获取在网设备的设备标识，发送在网设备的设备标识至公共局域网的接入设备，公共局域网由至少两个接入设备提供的无线局域网形成；

S802：接入设备在检测到终端设备接入无线局域网的接入请求后，获取终端设备的设备标识，根据终端设备的设备标识和在网设备的设备标识，判断终端设备是否为在网设备；对终端设备执行与判断结果对应的控制操作。

图9为本申请第二实施例提供的终端设备接入控制方法在接入设备侧的总体流程图，由图9可知，本实施例提供的终端设备接入控制方法在接入设备侧的体现包括：

S901：在检测到终端设备接入无线局域网的接入请求后，获取终端设备的设备标识；

S902：根据终端设备的设备标识和在网设备的设备标识，判断终端设备是否为在网设备；

S903：对终端设备执行与判断结果对应的控制操作。

图18为本申请第二实施例提供的终端设备接入控制方法在接入设备侧的第一种流程图，由图18可知，本实施例提供的终端设备接入控制方法在接入设备侧的体现包括：

S901：在检测到终端设备接入无线局域网的接入请求后，获取终端设备的设备标识；接入请求为终端设备根据无线局域网的接入参数发起的接入无线局域网的请求；

S902：根据在网设备的设备标识，判断终端设备是否为在网设备；若是，则执行S904，若不是，则执行S905；

S904：将终端设备接入无线局域网，为终端设备提供无线接入服务；

S905：获取终端设备的身份认证信息，发送身份认证信息至认证服务器；

S906：接收认证服务器返回的认证结果，在认证结果为认证通过时，将终端设备接入无线局域网，并为终端设备提供无线接入服务。

在图18中，步骤S904至步骤S906即是步骤S903的具体内容。

由图18可知，在一些实施例中，上述实施例中的方法，在步骤S902之前，还包括：

S900：接收认证服务器下发的合法用户信息列表，合法用户信息列表包括至少一条合法用户信息项，合法用户信息项包括合法用户的设备标识，将合法用户的设备标识作为在网设备的设备标识；在实际应用中，合法用户信息项还包括合法用户的资源使用信息，资源使用信息包括终端上网流量、终端上网时长中的至少一种。

在一些实施例中，上述实施例中的步骤S902包括：

若查找到与设备标识匹配的合法用户信息项，则终端设备为在网设备；若没有查找到与设备标识匹配的合法用户信息项，则终端设备不是在网设备。

图10为本申请第二实施例提供的终端设备接入控制方法在接入设备侧的第二种流程图，由图10可知，本实施例提供的终端设备接入控制方法在接入设备侧的体现在为终端设备提供无线接入服务(S904及S906)之后，还包括：

S1001：周期性的检测终端设备是否离开无线局域网；若离开，则执行S1002，若未离开，则返回执行S1001；

S1002：在检测到终端设备离开无线局域网后，判断是否在第一预定时长内接收到认证服务器转发的终端接入信息，终端接入信息为形成公共局域网的其他接入设备在为终端设备提供无线接入服务后生成的信息；若没有接收到终端接入信息，则执行S1003，若接收到终端接入信息，则执行S1006；

S1003：若没有接收到终端接入信息，则认为终端设备离开公共局域网，向认证服务器发送用户离网消息，用户离网消息用于触发认证服务器判断终端设备是否在第二预定时长内重新接入公共局域网；

S1004：等待第二预定时长，判断是否接收到新合法用户信息列表；若接收到新合法用户信息列表，则执行S1005，若没有接收到新合法用户信息列表，则执行S1007；

S1005：若接收到认证服务器反馈的新合法用户信息列表，则将存储的合法用户信息列表替换为新合法用户信息列表；

S1006：若接收到终端接入信息，则认为该用户终端在第一预定时长内重新接入公共局域网的其他无线局域网，维持合法用户信息列表；

S1007：若接收到认证服务器侧的响应消息之后，仍没有接收到新合法用户信息列表，则认为该用户终端在第二预定时长内重新接入公共局域网，维持合法用户信息列表。

图11为本申请第二实施例提供的终端设备接入控制方法在认证服务器侧的第一种流程图，由图11可知，本实施例提供的终端设备接入控制方法在认证服务器侧的体现包括：

S1101：获取在网设备的设备标识；在网设备的设备标识用于接入设备在接收到终端设备接入无线局域网的接入请求后，对终端设备是否为在网设备进行认证；

S1102：发送在网设备的设备标识至公共局域网的接入设备，公共局域网由至少两个接入设备提供的无线局域网形成。

在一些实施例中，上述实施例中的步骤S1101包括：

和/或，

接收接入设备发送的身份认证信息，对身份认证信息进行认证，若认证通过，则将用户认证信息对应的设备标识作为在网设备的设备标识。

在一些实施例中，上述实施例中的步骤S1102包括：

确定形成公共局域网的接入设备；

构建包括至少一条合法用户信息项的合法用户信息列表，合法用户信息项包括合法用户的设备标识；在实际应用中，合法用户信息项还包括合法用户的资源使用信息，资源使用信息包括终端上网流量、终端上网时长中的至少一种；

发送合法用户信息列表至接入设备。

图12为本申请第二实施例提供的终端设备接入控制方法在认证服务器侧的第二种流程图，由图12可知，本实施例提供的终端设备接入控制方法在认证服务器侧的体现在发送合法用户信息列表至接入设备(步骤S1102)之后，还包括：

S1201：周期性的判断是否接收到接入设备发送的用户离网消息；若是，则执行S1202：若否，则返回执行S1201；

S1202：判断用户离网消息对应的终端设备是否在第二预定时长内重新接入公共局域网；若否，则认为该用户终端设备离开了公共局域网，执行S1203，若是，则认为该用户终端设备重新加入公共局域网，则执行S1205；

S1203：若否，则删除合法用户信息列表中设备标识匹配的合法用户信息项，生成新合法用户信息列表；

S1204：发送新合法用户信息列表至接入设备；

S1205：向接入设备返回响应。

第三实施例：

现结合具体应用场景、以接入设备为CPE(Customer Premise Equipment，客户终端设备)设备为例，对本申请做进一步的诠释说明。

随着互联网的快速发展，CPE设备作为一种较为便携式的通讯终端得到了广泛的应用，但CPE通常作为较狭小环境中(如家庭、小型咖啡馆等)使用的设备，并且CPE设备通常相对比较独立不具有统一管理的特性，尤其是在对多用户接入时，只要这些用户具有当前CPE的认证信息就可以登入，安全性较差，这些认证信息在CPE上就可以被更改，当有多个CPE进行组网的时候，则显得力不从心了。针对这些问题，本实施例提出了一种基于radius(remote authentication dial in user service，远程用户拨号认证系统)认证的管理CPE用户接入的方法。

具体的，如图13所示，本实施例提供的管理控制系统包括：一个radius服务器(即上述实施例涉及的认证服务器)，多个CPE设备(即上述实施例涉及的接入设备)以及多个用户的终端设备，其中，

在radius服务器中运行有传统的认证服务进程及总控进程，其中，认证服务进程用于监听各个CPE设备传输过来的AAA(Authentication、Authorization、Accounting，认证、鉴权、计费)认证信息。同时radius服务器上运行一个总控进程，此进程负责控制所有的CPE设备用户信息数据，当用户信息经过认证服务进程认证通过之后，认证服务进程触发总控进程，总控进程利用VLAN技术(按IP组播划分，是一种VLAN的定义，即认为一个组播组就是一个VLAN，这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性)将组建组播信息发送到组网内的各个CPE中。

总控进程用于调度所有的CPE设备消息处理，总控所有的事件处理。

服务器离网计时器：此计时器运行于服务器中，服务器中的总控进程收到CPE监控进程(运行于CPE设备中)发送的某用户终端离网消息之后，启动此计时器，当此计时器达到设定值之后，则总控进程会在局域网内广播消息，删除所有CPE设备中此用户终端的用户信息。如果在此时间内收到CPE设备广播的用户终端重新接入的消息，则关闭计时器。

CPE设备中运行radius client(认证客户端)，当终端用户A登录到CPE设备时，将输入登录用户名，密码(此用户名，密码，将由网络管理员统一管理，网络管理员需设置不同的用户名参数，给予其不同/相同的上网时间，上网流量等信息)

CPE设备中运行CPE监控进程，所有CPE设备当收到radius服务器中总控进程发送的组播报文消息后，解析此报文消息获得登录用户的参数信息，列表(即本申请涉及的合法用户信息列表)下表1所示，其中设备MAC(Media Access Control，媒体访问控制)地址为设备唯一标识，User_name为终端登录用户名，passwpord为密码，traffic为此用户登录剩余流量，单位为兆(M)，time为此用户登录剩余时间，单位是分钟(min)。

设备MAC	User_name	passwpord	Traffic(M)	Time(mins)
00-23-5A-15-99-42	iPhone-A	123456	50	#(不限制)
6E-2F-4C-16-24-89	iPhone-B	Admin	#(不限制)	60
9B-2A-1B-42-72-63	iPhone-C	Mima	45	38

表1

CPE离网定时器，运行于CPE设备中，用于计算用户终端离开本设备WIFI网络的时间是否大于第一预设时长，如果第一预设时长内未收到局域网内其余CPE设备广播的用户终端接入信息，则会触发CPE设备的CPE监控进程发送终端设备离网消息给radius服务器的总控进程。

多CPE设备对流量及时间的统一处理：

对于流量，网络管理员首先设置各终端设备的初始流量并通过radius服务器上的总控进程在局域网内广播消息通知所有的CPE设备。CPE设备获得此消息后初始化并将指此用户的参数更新到合法用户信息列表中。CPE设备利用linux防火墙iptables流量统计能力对接入网络的所有终端设备的流量进行统一监控，设置流量上限，其数值等于traffic中的对应值，(1)当用户流量超过时则断开网络，并通过CPE监控进程在局域网内广播通知，告知所有CPE设备将其用户信息中的traffic值置零。(2)当用户断开CPE-1时且此时流量未超限，则CPE-1中的监控进程读取此时间内iptables进程所监控用户使用的流量，更新用户信息参数表，并通过监控进程利用VLAN在局域网中进行报文广播，其余CPE设备收到广播信息后更新用户参数表，当此用户进入其余CPE覆盖范围时，则会按照更新后的用户信息参数表中的流量进行上限设置，计流等操作。

对于时间，网络管理员首先设置各终端设备的初始上网时间并通过radius服务器上的总控进程在局域网内广播消息触发所有的CPE设备，CPE设备获得此消息后初始化并将指此用户的参数更新到合法用户信息列表中。此时每个CPE设备都会针对此用户启动一个定时器，但此定时器处于wait状态，当用户实际接入网内某个CPE设备(如CPE-1)时，此CPE设备启动定时器，(1)如果时间到，则监控进程通知设备关闭此用户的链接。(2)如果时间未到，情况1：用户离开CPE-1的覆盖范围，进入CPE-2的WIFI覆盖范围，监控模块收到CPE-2广播的终端接入信息，发送暂停消息给CPE计时器，计时器停止并触发监控进程更新合法用户信息列表，之后监控进程在局域网内广播更新消息，通知所有CPE设备更新合法用户信息列表。CPE-2设备启动自身的计时器开始计时。情况2：用户离开此局域网，CPE-1在一定时间内未收到其余CPE设备广播的此用户接入消息，则关闭计时器，并发送上报用户离网消息以及更新后的用户参数列表信息给radius服务器，radius服务器启动此用户的挂起定时器。情况3：用户重新进入此局域网，接入的CPE设备同样发送用户名密码的认证请求给radius服务器，radius服务器关闭挂起定时器，发送认证通过信息以及用户参数列表给所有的CPE设备进行参数列表的更新，此用户接入的CPE设备则启动计时器开启进行上网时间统计。

用户在大局域网中不同小WIFI范围的切换：

(1)用户当首次进入此局域网中时(假设先进入CPE-1设备的WIFI覆盖范围)，用户终端首先通过WIFI设备的SSID以及WIFI密码这种传统形式链接到CPE-1设备WIFI，但此时CPE设备并不将用户终端进行联网，而是显示认证页面，要求用户终端设备输入用户名密码等进行认证，CPE-1设备将此用户名密码传输到radius服务器中进行认证，如果认证未通过，则radius服务器认证服务进程触发总控进程局域网广播消息，通知所有CPE屏蔽此用户终端。如果认证通过radius服务器认证服务进程触发总控进程在局域网内广播消息，此消息中具有此用户终端的参数信息表中的参数信息(即终端MAC地址、登录用户名、密码、剩余上网流量、剩余上网时间)，所有的CPE设备收到此消息信息之后将更新自己的参数信息列表。对于CPE-1则认证通过开启此用户的上网权限，并根据此用户是依据流量上网还是时间上网来进行权限监控。

(2)当此用户在局域网内进行移动，由CPE-1的WIFI覆盖范围，切换到CPE-2的WIFI覆盖范围时，此处的覆盖范围并不是很精确，中间必然会存在交叉地带。当CPE-2的WIFI信号强于CPE-1的WIFI覆盖信号，此时此终端将接入CPE-2的WIFI信号，CPE-2的设备与用户终端链接成功后，会在局域网内发送广播消息请求此用户终端的用户参数信息，CPE-1收到此广播消息后，会将之前的统计的剩余流量以及剩余时间等参数信息列表发送给CPE-2设备。CPE-2设备会更新用户参数信息表并开始对此用户的上网时间以及流量进行监控统计。

(3)当此用户离开局域网时，由CPE-2的WIFI覆盖范围移出，此种情况，CPE-2设备在一定时间内(此时间即目前WIFI通用的断开时间)，未发现此用户终端且没有收到其余局域网内CPE设备广播的用户终端接入消息，则认为此用户已离开局域网发送信息给radius服务器，radius服务器则将此用户挂起并开启一个挂起定时器，当此用户在此定时器到时之前未从新接入局域网内的CPE设备，则认为用户离开，将发送广播信息，清除所有CPE设备上的此用户信息。

(4)当此用户重新进入局域网时，操作步骤类似步骤(1)，同样需重新登录用户名密码，CPE发送此用户名密码进行认证，radius服务器认证时，通过广播消息通知所有CPE获取此用户的参数信息表。

在上述描述的基础上，现结合图14及15对本申请的具体实现进行描述。

图14是用户终端流量计费上网流程图，由图14可知，本方法包括：

S1401：网络管理员对将要接入的用户终端在服务器上进行参数配置，通过认证服务进程配置允许接入的用户名密码、总控进程配置此用户的参数信息(MAC地址、用户名、密码、剩余上网流量)。

S1402：终端设备接入局域网，获取设备标识；

用户终端通过CPE-1设备(以此为例，可以是组网内的任意CPE设备)，首先接入CPE-1设备的WIFI，获取设备标识；

S1403：判断用户终端是否为新接入的用户终端；本步骤主要是根据各接入设备维护的合法用户设备标识列表实现；若是新设备，则执行S1404；若终端设备之前短暂离开了局域网，在服务器离网计时器的时间内重返局域网，CPE设备会首先在自身的合法用户信息列表中查找，认为该设备终端不是新设备，则执行S1415；

S1404：获取用户名及密码；

此时CPE-1显示认证页面，提示终端用户输入需要认证的用户名密码(即网络管理员给此用户配置的用户名、密码)；

S1405：认证是否是合法用户；若认证通过，则执行S1406；若认证未通过，则执行S1414；

CPE-1设备中的radius client将此用户名密码信息上传服务器，通过radius服务器进行AAA认证；

S1406:如果radius服务器中的认证服务进程认证通过，则首先触发服务器中的总控进程。总控进程查询网络管理员配置的此用户终端的参数信息并将此参数信息在局域网内进行广播。所有CPE设备的监控进程接收到广播消息后，会更新自己的用户参数信息表，其中CPE-1设备，则利用防火墙功能，放开此用户，使此终端设备能够进行网络接入。并利用防火墙的计流量功能对此用户进行上网流量统计，实时对比参数信息表。

S1407-S1409:当CPE设备统计的此用户终端上网流量小于剩余上网流量且用户直接从此局域网内的任意CPE设备的WIFI覆盖范围移出。CPE-1设备会启动此用户的离网计时器，此计时器时间(长短等于第一预设时长)内，未收到别的CPE广播的用户接入消息，则监控进程发送用户离网消息给服务器。服务器总控进程接收到CPE发送的用户离网消息后，启动服务器离网计时器(长短等于第二预设时长)，计算此用户终端离开局域网的时间，如果规定时间到期内收到网内CPE广播的此终端入网消息，则关闭计时器。如果时间到期却未收到CPE广播的终端入网消息，则总控进程广播用户离网确认消息，触发网内所有的CPE设备删除用户信息列表中此终端的信息，则结束。

S1410-S1413:当CPE设备统计的此用户终端上网流量小于剩余上网流量且用户从CPE-1设备的WIFI覆盖范围移动至CPE-2设备的WIFI覆盖范围。CPE-1设备会启动一个离网定时器，其此时CPE-2设备会接收到设备发送的WIFI接入请求，WIFI模块发送认证请求给CPE-2设备的监控进程，监控进程查询自身的用户信息列表。如果存在，CPE-2设备的监控进程在局域网内广播此用户终端的接入消息。局域网内的CPE-1的设备(其余设备的忽略此消息)监控进程接收到此用户终端的接入信息之后。关闭此用户终端在CPE-1上的流量统计及上网权限，关闭离网定时器。更新用户信息列表中的剩余流量，发送包含更新后的用户信息列表消息给CPE-2设备。CPE-2设备接收到CPE-1发送来的包含用户信息的消息，则首先更新自身的用户状态消息列表。之后打开此用户的上网权限，利用防火墙的计流量功能对此用户进行上网流量统计，实时对比参数信息表。

S1414:服务器中的认证服务进程认证未通过，则通知CPE设备不允许此用户终端进行接入。

S1415-S1416:通知服务器关闭离网计时器；允许入网并开启流量计费。

这里，如果终端设备之前短暂离开了局域网，在服务器离网计时器的时间内重返局域网，CPE设备会首先在自身的合法用户信息列表中查找如果存在则不需要认证用户名密码，直接进入步骤S1416(等同于S1406)。

S1417-S1419:当CPE设备统计的此用户终端上网流量大于等于剩余上网流量时，则CPE关闭此终端用户的上网权限，监控进程触发服务器总控进程此终端用户流量超限，总控进程通知所有局域网内的CPE，删除此用户信息列表，此用户下线。

图15是用户终端时间计费上网流程图，由图15可知，本方法包括：

S1501:网络管理员对将要接入的用户终端在服务器上进行参数配置，通过认证服务进程配置允许接入的用户名密码，总控进程配置此用户的参数信息(MAC地址、用户名、密码、剩余上网时间)。

S1502：终端设备接入局域网，获取设备标识；

S1503：判断用户终端是否为新接入的用户终端；本步骤主要是根据各接入设备维护的合法用户设备标识列表实现；若是新设备，则执行S1504；若终端设备之前短暂离开了局域网，在服务器离网计时器的时间内重返局域网，CPE设备会首先在自身的合法用户信息列表中查找，认为该设备终端不是新设备，则执行S1515；

S1504：获取用户名及密码；

S1505：radius服务器认证是否是合法用户；若认证通过，则执行S1506；若认证未通过，则执行S1514；

CPE-1设备中的radius client将此用户名密码信息上传服务器，通过radius服务器中的认证服务进程进行AAA认证；

S1506:如果认证通过，则radius服务器中的认证服务进程首先触发服务器中的总控进程。总控进程查询网络管理员配置的此用户终端的参数信息(mac地址、用户名、密码、剩余上网时间)并将此参数信息在局域网内进行广播。所有CPE设备的监控进程接收到广播消息后，会更新自己的用户参数信息表，其中CPE-1设备，则利用防火墙功能，放开此用户，使此终端设备能够进行网络接入。并启动上网计时器对此用户进行接入时间计时，并实时对比参数信息表。

S1507-S1509:当CPE设备统计的此用户终端上网时间小于剩余上网时间且用户直接从此局域网内的任意CPE设备的WIFI覆盖范围移出。CPE-1设备会启动此用户的离网计时器，此计时器时间内，未收到别的CPE广播的用户接入消息，则监控进程发送用户离网消息给服务器。服务器总控进程接收到CPE发送的用户离网消息后，启动服务器离网计时器，计算此用户终端离开局域网的时间，如果时间到期内收到网内CPE广播的此终端入网消息则关闭计时器。如果时间到期却未收到CPE广播的终端入网消息，则总控进程广播用户离网确认消息，通知网内所有的CPE设备删除用户信息列表中此终端的信息，则结束。

S1510-S1513:当CPE设备统计的此用户终端上网时间小于剩余上网时间且用户从CPE-1设备的WIFI覆盖范围移动至CPE-2设备的WIFI覆盖范围。CPE-1设备会启动离网定时器，此时CPE-2设备会接收到设备发送的 WIFI接入请求，WIFI模块发送认证请求给CPE-2设备的监控进程，监控进程查询自身的用户信息列表。如果存在。CPE-2设备的监控进程在局域网内广播此用户终端的接入消息。局域网内的CPE-1的设备(其余设备的忽略此消息)监控进程接收到此用户终端的接入信息之后。关闭此用户终端在CPE-1上的时间统计及上网权限，关闭离网定时器。更新用户信息列表中的剩余上网时间，发送包含更新后的用户信息列表消息给CPE-2设备。CPE-2设备接收到CPE-1发送来的包含用户信息的消息，则首先更新自身的用户状态消息列表。之后打开此用户的上网权限，上网计时器对此用户进行接入时间计时，实时对比参数信息表。

S1514:服务器中的radius server认证未通过，则通知CPE-1设备不允许此用户终端进行接入。

S1515-S1516:通知服务器关闭离网计时器；允许入网并开启流量计费。

这里，如果终端设备之前短暂离开了局域网，在服务器离网计时器的时间内重返局域网，CPE设备会首先在自身的合法用户信息列表中查找如果存在则不需要认证用户名密码，直接进入步骤S1516(等同于S1506)。

S1517-S1519:当CPE设备统计的此用户终端上网时间大于等于剩余上网时间时，则CPE关闭此终端用户的上网权限，CPE监控进程通知服务器的总控进程此终端用户流量超限，总控进程通知所有局域网内的CPE，删除此用户信息列表，此用户下线。

综上可知，通过本申请实施例的实施，至少存在以下有益效果：

本申请实施例提供了一种接入设备、认证服务器、终端设备接入控制方法及系统，其中，该方法在检测到终端设备根据无线局域网的接入参数请求接入无线局域网时，将获取设备标识，判断终端设备是否为在网设备，根据判断结果的不同，对终端设备执行不同的控制操作，例如，在为在网设备时，直接将终端设备接入，在不是在网设备时，将通过认证服务器进行认证，仅在认证通过时，将终端设备接入；这样，即便提供无线局域网的接入设备的无线参数泄露，非法终端设备在使用无线参数接入无线局域网时，也会因为终端设备认证不通过被拒绝访问，解决了现有接入设备仅认证无线局域网的接入参数存在的接入参数泄露使得非法用户可以随时接入无线局域网导致的无线局域网安全性低的问题。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上仅是本申请的具体实施方式而已，并非对本申请做任何形式上的限制，凡是依据本申请的技术实质对以上实施方式所做的任意简单修改、等同变化、结合或修饰，均仍属于本申请技术方案的保护范围。

工业实用性

本申请实施例的技术方案，在检测到终端设备根据无线局域网的接入参数请求接入无线局域网时，将获取设备标识，判断终端设备是否为在网设备，根据判断结果的不同，对终端设备执行不同的控制操作，例如，在为在网设备时，直接将终端设备接入，在不是在网设备时，将通过认证服务器进行认证，仅在认证通过时，将终端设备接入；这样，即便提供无线局域网的接入设备的无线参数泄露，非法终端设备在使用无线参数接入无线局域网时，也会因为终端设备认证不通过被拒绝访问，解决了现有接入设备仅认证无线局域网的接入参数存在的接入参数泄露使得非法用户可以随时接入无线局域网导致的无线局域网安全性低的问题。

Claims

一种终端设备接入控制方法，包括：

在检测到终端设备接入无线局域网的接入请求后，获取所述终端设备的设备标识；

根据所述终端设备的设备标识和在网设备的设备标识，判断所述终端设备是否为在网设备；

对所述终端设备执行与判断结果对应的控制操作。
如权利要求1所述的终端设备接入控制方法，其中，所述对所述终端设备执行与判断结果对应的控制操作包括：

当所述判断结果为所述终端设备为在网设备时，将所述终端设备接入所述无线局域网，并为所述终端设备提供无线接入服务。
如权利要求1所述的终端设备接入控制方法，其中，所述对所述终端设备执行与判断结果对应的控制操作还包括：

当所述判断结果为所述终端设备不为在网设备时，获取所述终端设备的身份认证信息，发送所述身份认证信息至所述认证服务器；

接收所述认证服务器返回的认证结果，在所述认证结果为认证通过时，将所述终端设备接入所述无线局域网，并为所述终端设备提供无线接入服务。
如权利要求1至3任一项所述的终端设备接入控制方法，其中，在判断所述终端设备是否为在网设备之前，还包括：

接收认证服务器下发的合法用户信息列表，所述合法用户信息列表包括至少一条合法用户信息项，所述合法用户信息项包括合法用户的设备标识；

将所述合法用户的设备标识作为所述在网设备的设备标识。
如权利要求4所述的终端设备接入控制方法，其中，在为所述终端设备提供无线接入服务之后，还包括：

检测所述终端设备是否离开所述无线局域网；

在检测到所述终端设备离开所述无线局域网后，判断是否在第一预定时长内接收到所述认证服务器转发的终端接入信息，其中，所述终端接入信息为形成公共局域网的其他接入设备在为所述终端设备提供无线接入服务后生成的信息，所述公共局域网由至少两个接入设备提供的无线局域网形成；

若没有接收到所述终端接入信息，则认为所述终端设备离开所述公共局域网，向所述认证服务器发送用户离网消息，所述用户离网消息用于触发所述认证服务器判断所述终端设备是否在第二预定时长内重新接入所述公共局域网；

若接收到所述认证服务器反馈的新合法用户信息列表，则将存储的所述合法用户信息列表替换为所述新合法用户信息列表。
一种终端设备接入控制方法，包括：

获取在网设备的设备标识；

发送所述在网设备的设备标识至公共局域网的接入设备，所述公共局域网由至少两个接入设备提供的无线局域网形成。
如权利要求6所述的终端设备接入控制方法，其特征在，所述发送所述在网设备的设备标识至公共局域网的各接入设备包括：

确定形成所述公共局域网的接入设备；

构建包括至少一条合法用户信息项的合法用户信息列表，所述合法用户信息项包括合法用户的设备标识；

发送所述合法用户信息列表至所述接入设备。
如权利要求7所述的终端设备接入控制方法，其中，在发送所述合法用户信息列表至所述接入设备之后，还包括：

接收接入设备发送的用户离网消息；

判断所述用户离网消息对应的终端设备是否在第二预定时长内重新接入所述公共局域网；

若否，则删除所述合法用户信息列表中所述设备标识匹配的合法用户信息项，生成新合法用户信息列表；

发送所述新合法用户信息列表至所述接入设备。
如权利要求6至8任一项所述的终端设备接入控制方法，其中，所述在网设备的设备标识包括：

接收管理人员配置的合法用户的设备标识，作为所述在网设备的设备标识；

和/或，

接收接入设备发送的身份认证信息，对所述身份认证信息进行认证，若认证通过，则将所述用户认证信息对应的设备标识作为所述在网设备的设备标识。
一种终端设备接入控制方法，包括：

认证服务器获取在网设备的设备标识，发送所述在网设备的设备标识至公共局域网的接入设备，所述公共局域网由至少两个接入设备提供的无线局域网形成；

所述接入设备在检测到终端设备接入无线局域网的接入请求后，获取所述终端设备的设备标识，根据所述终端设备的设备标识和所述在网设备的设备标识，判断所述终端设备是否为在网设备；对所述终端设备执行与判断结果对应的控制操作。
一种接入设备，包括：通信模块及处理器，其中，

所述通信模块配置为提供无线局域网，并与终端设备及认证服务器进行通信；

所述处理器配置为在检测到终端设备接入无线局域网的接入请求后，获取所述终端设备的设备标识，根据所述终端设备的设备标识和在网设备的设备标识，判断所述终端设备是否为在网设备，对所述终端设备执行与判断结果对应的控制操作。
如权利要求11所述的接入设备，其中，所述通信模块配置为接收认证服务器下发的合法用户信息列表，所述合法用户信息列表包括至少一条合法用户信息项，所述合法用户信息项包括合法用户的设备标识，将所述合法用户的设备标识作为所述在网设备的设备标识。
如权利要求11或12所述的接入设备，其中，所述处理器还配置为在为所述终端设备提供无线接入服务之后，检测所述终端设备是否离开所述无线局域网；在检测到所述终端设备离开所述无线局域网后，判断所述通信模块是否在第一预定时长内接收到认证服务器转发的终端接入信息，其中，所述终端接入信息为形成公共局域网的其他接入设备在为所述终端设备提供无线接入服务后生成的信息，所述公共局域网由至少两个接入设备提供的无线局域网形成；若没有接收到所述终端接入信息，则认为所述终端设备离开所述公共局域网，通过所述通信模块向所述认证服务器发送用户离网消息，所述用户离网消息用于触发所述认证服务器判断所述终端设备是否在第二预定时长内重新接入所述公共局域网；若通过所述通信模块接收到所述认证服务器反馈的新合法用户信息列表，则将存储的所述合法用户信息列表替换为所述新合法用户信息列表。
一种认证服务器，包括：认证模块及处理器，

所述认证模块配置为与接入设备进行通信；

所述处理器配置为获取在网设备的设备标识，发送所述在网设备的设备标识至公共局域网的接入设备；所述公共局域网由至少两个接入设备提供的无线局域网形成。
如权利要求14所述的认证服务器，其中，所述处理器配置为：确定形成所述公共局域网的接入设备；构建包括至少一条合法用户信息项的合法用户信息列表，所述合法用户信息项包括合法用户的设备标识；发送所述合法用户信息列表至所述接入设备。
如权利要求15所述的认证服务器，其中，所述处理器在发送所述合法用户信息列表至所述接入设备之后，还配置为：接收接入设备发送的用户离网消息；判断所述用户离网消息对应的终端设备是否在第二预定时长内重新接入所述公共局域网；若否，则删除所述合法用户信息列表中所述设备标识匹配的合法用户信息项，生成新合法用户信息列表；发送所述新合法用户信息列表至所述接入设备。
如权利要求14至16任一项所述的认证服务器，其中，所述认证模块配置为：接收管理人员配置的合法用户的设备标识，作为所述在网设备的设备标识；和/或，接收接入设备发送的身份认证信息，对所述身份认证信息进行认证，若认证通过，则将所述身份认证信息对应的设备标识作为所述在网设备的设备标识。
一种终端设备接入控制系统，包括：如权利要求14至17任一项所述的认证服务器，及多个接入设备，所述多个接入设备的无线局域网形成公共局域网；所述多个接入设备中的至少一个为如权利要求11至13任一项所述的接入设备，其中，

所述认证服务器配置为获取在网设备的设备标识，发送所述在网设备的设备标识至公共局域网的接入设备；

所述接入设备配置为在检测到终端设备接入无线局域网的接入请求后，获取所述终端设备的设备标识，根据所述终端设备的设备标识及所述在网设备的设备标识，对所述终端设备执行与判断结果对应的控制操作。
一种计算机存储介质，所述计算机存储介质中存储有计算机可执行指令，该计算机可执行指令配置为执行权利要求1-5任一项所述的终端设备接入控制方法，或者权利要求6-9任一项所述的终端设备接入控制方法，或者权利要求10所述的终端设备接入控制方法。