WO2020029498A1

WO2020029498A1 - 一种终端验证方法、ap设备、终端及系统

Info

Publication number: WO2020029498A1
Application number: PCT/CN2018/120744
Authority: WO
Inventors: 李伟
Original assignee: 西安易朴通讯技术有限公司
Priority date: 2018-08-07
Filing date: 2018-12-12
Publication date: 2020-02-13
Also published as: CN109151818A; DE112018007211T5; US11582606B2; US20210021996A1; CN109151818B

Abstract

本发明公开了一种终端验证方法、AP设备、终端及系统，其中AP设备为加密式AP设备，该方法包括：接收第一终端发送的连接请求；连接请求包括第一终端的标识信息；根据第一终端的标识信息查询授权列表；所述授权列表包括位于预设免密范围内的终端的标识信息；在授权列表中包括第一终端的标识信息时，向第一终端返回授权应答；授权应答用于指示第一终端与AP设备建立网络连接。AP设备可以不验证位于免密范围之内的第一终端减少了WLAN覆盖范围内需要进行身份验证的第一终端的数量，从而降低了身份验证对AP设备的资源消耗，同时使WLAN的使用更加便捷。

Description

一种终端验证方法、AP设备、终端及系统

本申请要求在2018年08月07日提交中国专利局、申请号为201810889475.9、发明名称为“一种终端验证方法、AP设备、终端及系统”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及无线通信技术领域，尤其涉及一种终端验证方法、AP设备、终端及系统。

背景技术

随着通信技术的发展，无线局域网(wireless local area networks，WLAN)的使用越来越普遍。WLAN的实现需要接入点(access point，AP)设备的参与，AP设备与有线网络连接，使得在AP设备无线信号覆盖范围内的终端可以通过AP设备接入有线网络，从而使终端实现了无线上网。

然而，为了提高WLAN的安全性，终端通常需要通过AP设备的身份验证之后，才可以通过AP设备接入有线网络。在AP设备的无线信号覆盖范围内存在较多终端时，对终端的身份验证会过多消耗AP设备的运行资源，影响WLAN网络的质量。同时，对终端进行身份验证时，多需要终端用户在终端中输入验证密钥，使得WLAN的使用过于繁琐。

因此，现有WLAN中终端验证方法过于繁琐，便捷性还有待进一步提高。

发明内容

本发明提供一种终端验证方法、AP设备、终端及系统，用以提高WLAN中终端验证的便捷性。

第一方面，本发明实施例提供一种终端验证方法，应用于无线局域网WLAN中的接入点AP设备，所述AP设备为加密式AP设备，所述方法包括：

接收第一终端发送的连接请求；所述连接请求包括所述第一终端的标识信息；根据所述第一终端的标识信息查询授权列表；所述授权列表包括位于预设免密范围内的终端的标识信息；在所述授权列表中包括所述第一终端的标识信息时，向所述第一终端返回授权应答；所述授权应答用于指示所述第一终端与所述AP设备建立网络连接。

采用上述方案，AP设备在根据授权列表确定第一终端位于预设免密范围之内时，可以不验证位于免密范围之内的第一终端而直接向第一终端返回授权应答，减少了WLAN覆盖范围内需要进行身份验证的第一终端的数量，从而降低了身份验证对AP设备的资源消耗，同时使WLAN的使用更加便捷。

可选的，所述方法还包括：

周期性发送广播信号；所述广播信号用于指示第一终端确定接收到的所述广播信号的定位特征，并向所述AP设备返回定位应答；所述定位应答包括所述第一终端的标识信息及所述定位特征；所述第一终端为任一接收到所述广播信号的终端；接收所述定位应答，并在根据所述定位应答中的定位特征，确定所述第一终端位于所述免密范围之内且所述授权列表中不存在所述第一终端的标识信息时，在所述授权列表中添加所述第一终端的标识信息。

可选的，在所述授权列表中添加所述第一终端的标识信息之后，还包括：

向所述第一终端发送认证应答。

向位于免密范围内的第一终端发送认证应答，可以使第一终端确定自身具有连接AP设备的权限。

可选的，在所述授权列表中未包括所述第一终端的标识信息时，确认所述第一终端验证未通过；

或，向所述第一终端发送验证指令；所述验证指令用于指示所述第一终端返回验证密钥；根据所述第一终端返回的验证密钥对所述第一终端进行验证。

在第一终端位于免密范围之外时，直接确认第一终端验证未通过可以提高AP设备的安全性。而在第一终端位于免密范围之外时，通过验证密钥对第一终端进行验证可以使位于免密范围外的合法终端也能够使用WLAN。

可选的，还包括：

接收所述第一终端发送的上网信号；所述上网信号是所述第一终端与所述AP设备建立连接后向所述AP设备发送的；所述上网信号中包括所述第一终端的标识信息；

在确定所述授权列表中包括所述第一终端的标识信息后，向所述第一终端返回接收应答。

可选的，所述定位特征包括信号的接收强度和接收角度。

可选的，所述免密范围是通过边界函数表示的；所述边界函数用于表征位于所述免密范围的边界处所述广播信号的接收强度与接收角度之间的关系；

所述方法还包括：

发送所述广播信号；

接收多个采样设备根据所述广播信号返回的定位应答；

确定所述多个采样设备返回的定位应答中，所述接收强度满足预设强度的定位应答；

根据所述接收强度满足所述预设强度的定位应答中的接收强度和接收角度，确定所述免密范围的边界函数。

所述方法还包括：

发送所述广播信号；

接收多个采样设备根据所述广播信号返回的定位应答；所述多个采样设备位于所述免密范围的预设边界；

根据所述多个采样设备返回的定位应答中的接收强度和接收角度，确定所述免密范围的边界函数。

可选的，所述AP设备是根据所述第一终端所返回的定位应答中的定位特征与所述边界函数之间的函数关系确定所述终端是否位于所述免密范围之内的。

第二方面，本发明实施例提供一种终端验证方法，应用于无线局域网WLAN中的终端，所述WLAN还包括加密式AP设备，所述方法包括：

向目标AP设备发送连接请求；所述连接请求包括所述终端的标识信息；

接收所述目标AP设备返回的授权应答；所述授权应答是所述目标AP设备在确定授权列表中包括所述终端的标识信息时，向所述终端返回的；所述授权列表包括位于所述AP设备的预设免密范围内的终端的标识信息；

根据所述授权应答，与所述目标AP设备建立网络连接。

可选的，还包括：

在接收到任一AP设备发送的广播信息时，确定所述广播信息的定位特征；

向所述AP设备返回定位应答；所述定位应答包括所述定位特征和所述终端的标识信息。

可选的，还包括：

在同时收到多个AP设备发送的认证应答时，确定多个认证应答中信号强度最强的AP设备为所述目标AP设备；所述认证应答是所述AP设备根据所述定位应答确定所述终端位于所述预设免密范围后，向所述终端发送的；

向所述目标AP设备发送所述连接请求。

可选的，根据所述授权应答，与所述目标AP设备建立网络连接之后，还包括：

向所述目标AP设备发送上网信号；所述上网信号包括所述终端的标识信息；

在预设等待时间之后未收到所述目标AP设备返回的接收应答时，重新确定目标AP设备。

第三方面，本发明实施例提供一种AP设备，所述AP设备为加密式AP设备，包括：收发模块和处理模块；

所述收发模块，用于接收第一终端发送的连接请求；所述连接请求包括所述第一终端的标识信息；

所述处理模块，用于根据所述第一终端的标识信息查询授权列表；所述授权列表包括位于预设免密范围内的终端的标识信息；在所述授权列表中包括所述第一终端的标识信息时，向所述第一终端返回授权应答；所述授权应答用于指示所述第一终端与所述AP设备建立网络连接。

可选的，所述收发模块还用于：

周期性发送广播信号；所述广播信号用于指示第一终端确定接收到的所述广播信号的定位特征，并向所述AP设备返回定位应答；所述定位应答包括所述第一终端的标识信息及所述定位特征；所述第一终端为任一接收到所述广播信号的终端；

所述处理模块，还用于通过所述收发模块接收所述定位应答，并在根据所述定位应答中的定位特征，确定所述第一终端位于所述免密范围之内且所述授权列表中不存在所述第一终端的标识信息时，在所述授权列表中添加所述第一终端的标识信息。

可选的，所述处理模块还用于：

通过所述收发模块向所述第一终端发送认证应答。

可选的，所述处理模块还用于：

在所述授权列表中未包括所述第一终端的标识信息时，确认所述第一终端验证未通过；或，通过所述收发模块向所述第一终端发送验证指令；所述验证指令用于指示所述第一终端返回验证密钥；根据所述第一终端返回的验证密钥对所述第一终端进行验证。

可选的，所述收发模块还用于：

接收所述第一终端发送的上网信号；所述上网信号是所述第一终端与所述AP设备建立网络连接后向所述AP设备发送的；所述上网信号中包括所述第一终端的标识信息；

所述处理模块，还用于在确定所述授权列表中包括所述第一终端的标识信息后，通过所述收发模块向所述第一终端返回接收应答。

可选的，所述广播信号的定位特征包括所述广播信号的接收强度和接收角度。

所述收发模块还用于：

发送所述广播信号；接收多个采样设备根据所述广播信号返回的定位应答；

所述处理模块还用于：

确定所述多个采样设备返回的定位应答中，所述接收强度满足预设强度的定位应答；根据所述接收强度满足所述预设强度的定位应答中的接收强度和接收角度，确定所述免密范围的边界函数。

所述收发模块还用于：

发送所述广播信号；接收多个采样设备根据所述广播信号返回的定位应答；所述多个采样设备位于所述免密范围的预设边界；

所述处理模块还用于：

可选的，所述处理模块是根据所述第一终端所返回的定位应答中的定位特征与所述边界函数之间的函数关系确定所述终端是否位于所述免密范围之内的。

第四方面，本发明实施例提供一种终端，应用于无线局域网WLAN中的终端，所述WLAN还包括加密式AP设备，所述终端包括：收发模块和处理模块；

所述收发模块，用于向目标AP设备发送连接请求；所述连接请求包括所述终端的标识信息；接收所述目标AP设备返回的授权应答；所述授权应答是所述目标AP设备在确定授权列表中包括所述终端的标识信息时，向所述终端返回的；所述授权列表包括位于所述AP设备的预设免密范围内的终端的标识信息；

所述处理模块，用于根据所述授权应答，与所述目标AP设备建立网络连接。

可选的，所述处理模块还用于：

在所述收发模块接收到任一AP设备发送的广播信息时，确定所述广播信息的定位特征；通过所述收发模块向所述AP设备返回定位应答；所述定位应答包括所述定位特征和所述终端的标识信息。

可选的，所述处理模块还用于：

在所述收发模块同时收到多个AP设备发送的认证应答时，确定多个认证应答中信号强度最强的AP设备为所述目标AP设备；所述认证应答是所述AP设备根据所述定位应答确定所述终端位于所述预设免密范围后，向所述终端发送的；通过所述收发模块向所述目标AP设备发送所述连接请求。

可选的，所述收发模块还用于：

所述处理模块还用于：

第五方面，本发明实施例提供一种AP设备，包括：存储器、收发器和处理器；

所述存储器，用于存储程序指令；

所述处理器，用于调用所述存储器中存储的程序指令，按照获得的程序通过所述收发器执行如上述第一方面中任一项所述的方法。

第六方面，本发明实施例提供一种终端，包括：存储器、收发器和处理器；

所述存储器，用于存储程序指令；

所述处理器，用于调用所述存储器中存储的程序指令，按照获得的程序通过所述收发器执行如上述第二方面中任一项所述的方法。

第七方面，本发明实施例提供一种系统，包括如上述第五方面中任一项所述的AP设备，和/或，如上述第六方面中任一项所述的终端。

第八方面，本发明实施例提供一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算程序，所述计算机程序包括所述计算机可执行指令，当所述计算机可执行指令被计算机执行时，使所述计算机执行本发明实施例所提供的终端验证方法。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种WLAN系统架构示意图；

图2为本发明实施例提供的一种终端验证方法流程示意图；

图3为本发明实施例提供的一种授权列表维护方法流程示意图；

图4为本发明实施例提供的一种具体的终端验证流程示意图；

图5为本发明实施例提供的一种多AP覆盖区域示意图；

图6为本发明实施例提供的一种免密范围示意图；

图7为本发明实施例提供的一种免密范围示意图；

图8为本发明实施例提供的一种免密范围示意图；

图9为本发明实施例提供的一种免密范围示意图；

图10为本发明实施例提供的一种AP设备结构示意图；

图11为本发明实施例提供的一种终端结构示意图；

图12为本发明实施例提供的一种AP设备结构示意图；

图13为本发明实施例提供的一种终端结构示意图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

图1为本发明实施例提供的一种WLAN系统架构示意图，如图1所示，该系统包括AP设备，该AP设备为加密式AP设备，可以对请求接入WLAN的终端进行身份验证。在本发明实施例中，AP设备的信号覆盖范围(S0)内包括预设的免密范围(S1)，该免密范围是根据AP设备接收到的采样设备的采样信号的定位特征预先确定的。

基于图1所示的系统架构，本发明实施例提供一种终端验证方法，图2为本发明实施例提供的一种终端验证方法流程示意图。如图2所示，主要包括以下步骤：

S201：接收终端发送的连接请求；连接请求包括终端的标识信息。

S202：根据终端的标识信息查询授权列表；授权列表包括位于预设免密范围内的终端的标识信息。

S203：在授权列表中包括终端的标识信息时，向终端返回授权应答；授权应答用于指示终端与AP设备建立网络连接。

其中，终端为AP设备运行过程中，能够向AP设备请求网络服务的终端，如被用户所使用的手机、平板电脑、可穿戴智能设备等。AP设备在接收到终端发送的连接请求后，可以根据终端的标识信息查询授权列表，以确定终端是否位于预设的免密范围内。其中，终端的标识信息可以是终端的网络协议(Internet Protocol，IP)地址，也可以是终端的媒体接入控制(Medium Access Control，MAC)地址等。AP设备在根据授权列表确定终端位于预设免密范围之内时，可以不验证位于免密范围之内的终端而直接向终端返回授权应答，减少了WLAN覆盖范围内需要进行身份验证的终端的数量，从而降低了身份验证对AP设备的资源消耗，同时使WLAN的使用更加便捷。

基于上述实施例，本发明实施例提供了一种AP设备维护授权列表的方法，其具体过程如图3所示，为本发明实施例提供的一种授权列表维护方法流程示意图，主要包括以下步骤：

S301：AP设备周期性发送广播信号。

S302：第一终端接收广播信号，并确定广播信号的定位特征；第一终端为任一收到AP设备所发送的广播信号的终端。

S303：第一终端向AP设备返回定位应答；定位应答中包括定位特征和第一终端的标识信息。

S304：AP设备接收定位应答，并根据定位应答中的定位特征确定第一终端是否位于预设的免密范围之内；若是，则执行S305；若否，则执行S306。

S305：判断授权列表中是否已存在第一终端设备的标识信息；若是，则执行S306；若否，则执行S307。

S306：结束。

S307：在授权列表中增加第一终端的标识信息。

在上述实施例中，广播信号的定位特征是由AP设备所采用的定位方法确定的。例如，AP设备可以采用到达角度测距(AngleofArrival，AOA)定位方案，此时广播信号的定位特征为第一终端接收广播信号的接收角度。又例如，AP设备也可以采用到达时间差(Time Difference of Arrival，TDOA)定位方案，此时广播信号的定位特征为第一终端接收广播信号的接收时间差。还例如，AP设备也可以采用到达时间(Time of Arrival，TOA)定位方案，此时广播信号的定位特征为第一终端接收广播信号的接收时间。在一种可行的实现方式中，AP设备可以采用接收信号强度(Received Signal Strength Indication，RSSI)定位方案，在此情况下，广播信号的定位特征为第一终端接收广播信号的接收强度和接收角度。

RSSI定位方案根据信号的衰落模型推算而来，其基本的计算公式如公式一所示：

PL＝-Gr-Gt+20Log(4*PI*R/λ) (公式一)

其中，PL为空间的无线信号强度衰减量，Gr为接收天线的增益，Gt为发射天线的增益，R为AP设备与终端之间的距离，λ为信号的波长。

在S304中，AP设备根据公式一所示的无线信号强度衰减量与距离的关系，以及第一终端所返回的定位应答中广播信号的接收强度，便可以确定广播信号的强度衰减量，进而确定第一终端距离AP设备的距离。同时，AP设备还可以根据定位应答中广播信号的接收角度，从而确定第一终端相对于AP设备的方向，通过极坐标定位的方法便可以确定出第一终端相对于AP设备的位置。极坐标定位对定位区域的形状没有要求，其可以用于椭圆形区域、矩形区域、不规则区域等等不同形状的定位区域中各个点的定位，因此非常适用于本申请中免密范围内终端的定位。对于三维空间，同样可以基于球坐标定位获取终端的位置，其过程与极坐标定位类似，可在极坐标定位方法的基础上实现，本申请不再一一赘述。

在AP设备根据终端信号的接收强度对终端进行定位时，由于广播信号的强度可能会出现波动，从而导致定位结果出现误差。在一种可行的实现方式中，AP设备根据一定采样时间内连续接收的多个第一终端所返回的定位应答中广播信号的接收强度，根据高斯分布概率模型对多个接收强度进行拟合，并根据拟合结果确定广播信号的接收强度在采样时间内的平均值和标准差，进而利用广播信号的接收强度的平均值、标准差和公式一对第一终端进行定位。由于任一通信信号的强度分布一般服从高斯分布概率模型，因此，对于同一环境下的同一个第一终端，其接收广播信号的接收强度理论上也服从高斯分布，根据高斯分布概率模型对同一第一终端所确定的同一广播信号的多个接收强度进行拟合，从而确定的平均值和标准差更能反映广播信号的接收强度的真实情况，从而可以获得更精确的定位结果。

RSSI定位方法，适用于微波信号，由于大多数终端采用微波通信，因此RSSI定位更适用于对终端的定位。

在S305中，AP设备在确定第一终端位于免密范围之后，还会进一步确定授权列表中是否已包括第一终端的标识信息。若授权列表中不存在该第一终端的标识信息，则在授权列表中添加该第一终端的标识信息。

在具体实施过程中，授权列表可以只包括位于免密范围之内的第一终端的标识信息，因此，在S305中，若AP设备确定第一终端位于免密范围之外，则直接执行S306，结束对第一终端的认证。

在另一种可行的实现方式中，授权列表还包括位于免密范围之外的第一终端，以及各第一终端的标识信息。此时，授权列表可以如下表一所示：

表一

终端标识	位置免密	授权状态
MAC a	1	1
MAC b	0	0
MAC c	0	1
……		……

如表一所示，授权列表包括终端标识、位置免密及授权状态，其中，位置免密为1时，表示终端位于免密范围内，位置免密为0时，表示终端位于免密范围之外；授权状态为1时，表示终端具有与AP设备建立网络连接的权限，授权状态为0时，表示终端没有与AP设备建立网络连接的权限。

具体的，如上表一，终端a的终端标识为MAC a，其位于免密范围之内，因此具有与AP设备建立网络连接的权限。终端b的终端标识为MAC b，其位于免密范围之外，且不具有与AP设备建立网络连接的权限，但仍会被加入授权列表中。

可选的，AP设备在根据授权列表确定终端位于免密范围以外时，如图1中UE2，AP设备至少可以采用以下两种方式对终端进行处理：

方式一：直接确认终端验证未通过。采用这种方式，AP设备直接拒绝免密范围以外的终端接入WLAN，可以提高WLAN的安全性。

方式二：向终端发送验证指令；终端收到验证指令后，会向AP设备返回验证密钥；AP设备进而根据终端返回的验证密钥对终端进行验证。如表一中，MAC c所对应的终端c，虽然位于免密范围之外，但仍具有与AP设备建立网络连接的权限。

基于方式二，本发明实施例提供一种具体的终端验证流程以供说明。图4为本发明实施例提供的一种具体的终端验证流程示意图，如图4所示，主要包括以下步骤：

S401：终端向AP设备发送连接请求，连接请求中包括该终端的标识信息。

例如，该终端为终端b，则连接请求中还包括终端b的MAC地址MAC b。

S402：AP设备根据授权列表确定终端是否位于免密范围之内，若是，则执行S403；若否，则执行S404。

例如，AP设备在收到终端b发送的连接请求后，根据表一所示的授权列表，可以确定终端b位于免密范围之外，因此接下来将执行S404。而AP设备在收到终端a发送的连接请求后，根据表一所示的授权列表，可以确定终端a位于免密范围之内，因此接下来将执行S403。

S403：向终端返回授权应答。

S404：向终端返回验证指令。

S405：终端收到验证指令后，生成验证密钥。

例如，验证密钥可以是预先注册的账号密码，也可以是如手机验证码之类的动态密码等。

S406：终端将验证密钥发送给AP设备。

S407：AP设备根据验证密钥对终端进行验证，若验证通过，则执行S408；若验证未通过，则执行S410。

S408：向终端返回授权应答。

S409：更新授权列表中终端的授权状态。

例如，表一所示的授权列表中终端b原始的授权状态为“0”(未授权)，在终端b通过验证密钥验证通过后，将授权列表中终端b的授权状态更新为 “1”(授权)。

S410：结束。

通过上述方式二，不仅可以对位于免密范围之内的终端不进行验证，以降低AP设备的资源消耗，提高WLAN的使用体验，还可以对位于免密范围以外的终端采用常规的密钥验证方式进行验证，使位于免密范围以外的合法终端也可以与AP设备建立连接，从而接入WLAN。

在一种可行的实现方式中，AP设备在确定第一终端位于免密范围之后，还会向第一终端返回认证应答，如图3中S308所示。第一终端可以根据所接收到的认证应答，确定与之建立网络连接的目标AP设备，并向该目标AP设备发送连接请求。

具体实施过程中，终端可能同时位于多个AP设备的免密范围之内，如图5所示，为本发明实施例提供的一种多AP覆盖区域示意图，图5中，UE3同时位于AP1、AP2和AP3的免密范围之内，因此，UE3会同时收到AP1、AP2和AP3的广播信号并分别向这三个AP设备返回定位应答，之后，UE3将会同时收到AP1、AP2和AP3的认证应答。在一种可行的实现方式中，终端在同时收到多个AP设备发送的认证应答时，还可以确定多个认证应答中信号强度最强的认证应答所对应的AP设备为目标AP设备，并向目标AP设备发送连接请求。例如，图5中AP1所返回的认证应答的信号强度最强，则UE3便可以确定AP1为目标AP设备，并向AP1发送连接请求，从而与AP1建立网络连接。可选的，UE3在与AP1建立连接后，将会一直保持与AP1的连接，并不会因为AP1所发送的信号强度减弱而切换AP，以提高网络稳定性并降低终端系统的功耗。例如图5中，UE3在图中位置与AP1建立连接后，将会一直保持与AP1之间的连接，直到其向点A移动的过程中移动出AP1的免密范围。

终端在与AP设备建立网络连接后，便可以通过AP设备访问有线网络。终端在接入WLAN后，向AP设备发送上网信号，由AP设备将上网信号中包含的信息转发至有线网络。在具体实施过程中，对于移动终端而言，其有可能在于AP设备连接之后又移动出了AP设备的免密范围。因此，AP设备将持续对与其建立网络连接的终端进行定位，若终端移动出了免密范围，便会更新授权列表中该终端的授权状态。同时，AP设备在收到任一终端发送的上网信号后，还可以根据上网信号中所包括的终端的标识信息查询授权列表，在根据授权列表确定该终端仍具有权限时，向终端返回接收应答，以使终端能够确定AP设备接收到了终端发送的上网信号。在根据授权列表确定该终端不再具有权限时，AP设备可以停止向有线网络转发上网信号中包含的信息以及向终端发送接收应答，在一种可行的实现方式中，还可以向终端发送验证指令，以对终端发起密钥验证等等。

基于此，终端在向AP设备发送了上网信号之后，还可以判断在预设等待时间内是否有收到AP设备返回的接收应答，若没有收到或收到了AP设备返回的验证指令，则可以确定该AP设备不再为终端提供上网服务。此时，终端可以根据其它AP设备返回的认证应答，重新确定目标AP设备并向其发送连接请求。

在本发明实施例中，免密范围是通过边界函数标识的，而边界函数可以根据AP设备接收到的采样设备返回的定位应答中的定位特征确定。其中，边界函数用于表征位于免密范围的边界处的广播信号的接收强度与接收角度之间的关系。在具体实施过程中，采样设备可以是目前市场上的一种或几种常见品牌的终端。为了避免采样设备与实际使用时的终端之间确定定位特征的差异，还可以为边界函数设定一定的误差范围，以适应不同品牌终端与采样设备之间的差异。

通常情况下，在确定免密范围的边界函数时，采样设备的数量越多，后续判断终端是否位于免密范围的判断结果便越准确。本发明实施例提供以下两种可行的确定免密范围的方法以对免密范围进行说明。

方法一：基于强度

AP设备周期性发送广播信号；接收多个采样设备根据广播信号返回的定位应答；根据预设强度，确定多个采样设备返回的定位应答中，广播信号的接收强度满足预设强度的定位应答；根据广播信号的接收强度满足预设强度的定位应答中接收强度和接收角度，确定免密范围的边界函数。

采用上述方法所确定的免密范围的边界处，采样设备所接收的广播信号的接收强度相同。如图6所示，为本发明实施例提供的一种免密范围示意图，理想情况下，采用上述方法所确定的免密范围为一圆形区域，因此，利用采样设备1、采样设备2和采样设备3三个采样设备既可以确定免密范围。在实际使用过程中，由于各个方向的信号衰减可能不一致，所确定的免密范围也可能不是一个规则的圆形区域，AP设备接收的边界处采样设备所发送的定位应答中广播信号的接收强度仍旧相同。

AP设备在确定了免密范围的边界后，可以分别保存各个边界处的采样设备的极坐标。一般可采用数组(STA-num，AP-num，MAC，RSSI_avg，Theta(θ)，RSSI_dev，Add_info，……)的形式保存，其中，数组中各个元素的含义可以如下表一所示。

表一

在一种可行的实现方式中，AP设备还可以根据免密范围边界处采样设备所返回的定位应答中的接收强度和接收角度，确定免密范围的边界函数。边界函数用于表征位于免密范围的边界处的采样设备所接收的广播信号的接收强度与接收角度之间的关系，从而可以用来根据第一终端所返回的定位应答中的定位特征判断第一终端是否位于免密范围之内。当然，上述接收强度也可以是根据高斯分布确定的平均值或标准差，本申请对此不再赘述。

方法二：基于预设边界线

AP设备发送广播信号；之后，接收多个采样设备返回的定位应答，其中，采样设备被设置于免密范围的预设边界；根据多个采样设备范湖的定位应答中的接收强度和接收角度，确定免密范围的边界函数；边界函数用于表征位于免密范围的边界处的采样设备所接收的广播信号的接收强度与接收角度之间的关系。

免密范围的边界线所围成的免密范围的形状可以为任意形状，如，其可以为图7所示的椭圆形免密区域，也可以为图8所示的矩形免密区域，还可以为图9所示的不规则区域。例如，用户想要设置某一商场内部为免密范围时，便可以按着商场的区域形状为免密范围的预设边界线。在实际应用中，方法二相较于方法一的应用方式更加灵活，普适性更高。但是，方法二由于其不规则性，需要更多的采样设备提高免密范围的精确度。在具体实施时，可以结合实际应用情况灵活使用两种确定免密范围的方法。

AP设备可以采用如方法一中表一所示的数据，或者，边界函数保存免密范围边界线上采样设备的定位应答中接收强度和接收角度之间的关系，具体实施可参考方法一，不再赘述。

采用上述方法一或者方法二，可获得用于表征位于免密范围的边界处的采样设备所发送的定位应答中广播信号的接收强度与接收角度之间的关系的边界函数。AP设备在确定任一终端是否位于免密范围之内时，可以直接根据该终端所返回的定位应答中的定位特征与边界函数之间的函数关系确定终端是否位于免密范围之内，从而省去了计算终端具体位置的过程，加快了AP设备的响应速度。

基于相同的技术构思，本发明实施例提供一种AP设备，该AP设备为加密式AP设备。图10为本发明实施例提供的一种AP设备结构示意图，该AP设备可以实现上述任一实施例提供的终端验证方法。如图10所示，AP设备 1000包括：收发模块1001和处理模块1002，其中：

所述收发模块1001，用于接收第一终端发送的连接请求；所述连接请求包括所述第一终端的标识信息；

所述处理模块1002，用于根据所述第一终端的标识信息查询授权列表；所述授权列表包括位于预设免密范围内的终端的标识信息；在所述授权列表中包括所述第一终端的标识信息时，向所述第一终端返回授权应答；所述授权应答用于指示所述第一终端与所述AP设备建立网络连接。

可选的，所述收发模块1001还用于：

所述处理模块1002，还用于通过所述收发模块1001接收所述定位应答，并在根据所述定位应答中的定位特征，确定所述第一终端位于所述免密范围之内且所述授权列表中不存在所述第一终端的标识信息时，在所述授权列表中添加所述第一终端的标识信息。

可选的，所述处理模块1002还用于：

通过所述收发模块1001向所述第一终端发送认证应答。

可选的，所述处理模块1002还用于：

在所述授权列表中未包括所述第一终端的标识信息时，确认所述第一终端验证未通过；或，通过所述收发模块1001向所述第一终端发送验证指令；所述验证指令用于指示所述第一终端返回验证密钥；根据所述第一终端返回的验证密钥对所述第一终端进行验证。

可选的，所述收发模块1001还用于：

所述处理模块1002，还用于在确定所述授权列表中包括所述第一终端的标识信息后，通过所述收发模块1001向所述第一终端返回接收应答。

所述收发模块1001还用于：

所述处理模块1002还用于：

所述收发模块1001还用于：

所述处理模块1002还用于：

可选的，所述处理模块1002是根据所述第一终端所返回的定位应答中的定位特征与所述边界函数之间的函数关系确定所述终端是否位于所述免密范围之内的。

基于相同的技术构思，本发明实施例提供一种终端，该终端应用于无线局域网WLAN中，该WLAN还包括加密式AP设备。图11为本发明实施例提供的一种终端结构示意图，该终端可以实现上述任一实施例提供的终端验证方法。如图11所示，终端1100包括：收发模块1101和处理模块1102，其中：

所述收发模块1101，用于向目标AP设备发送连接请求；所述连接请求包括所述终端的标识信息；接收所述目标AP设备返回的授权应答；所述授权应答是所述目标AP设备在确定授权列表中包括所述终端的标识信息时，向所述终端返回的；所述授权列表包括位于所述AP设备的预设免密范围内的终端的标识信息；

所述处理模块1102，用于根据所述授权应答，与所述目标AP设备建立网络连接。

可选的，所述处理模块1102还用于：

在所述收发模块1101接收到任一AP设备发送的广播信息时，确定所述广播信息的定位特征；通过所述收发模块1101向所述AP设备返回定位应答；所述定位应答包括所述定位特征和所述终端的标识信息。

可选的，所述处理模块1102还用于：

在所述收发模块1101同时收到多个AP设备发送的认证应答时，确定多个认证应答中信号强度最强的AP设备为所述目标AP设备；所述认证应答是所述AP设备根据所述定位应答确定所述终端位于所述预设免密范围后，向所述终端发送的；通过所述收发模块1101向所述目标AP设备发送所述连接请求。

可选的，所述收发模块1101还用于：

所述处理模块1102还用于：

基于相同的技术构思，本发明实施例还提供一种AP设备。图12为本发明实施例提供的一种AP设备结构示意图。图12中AP设备包括处理器1200，用于读取存储器1220中的程序，执行上述任一实施例提供的终端验证方法。

在图12中，总线接口可以包括任意数量的互联的总线和桥，具体由处理器1200代表的一个或多个处理器和存储器1220代表的存储器的各种电路链接在一起。总线接口还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口提供接口。收发器1210可以是多个元件，即包括发送器和接收器，提供用于在传输介质上与各种其他装置通信的单元。

处理器1200负责管理总线接口和通常的处理，存储器1220可以存储处理器1200在执行操作时所使用的数据。

可选的，处理器1200可以是CPU(中央处埋器)、ASIC(Application Specific Integrated Circuit，专用集成电路)、FPGA(Field－Programmable Gate Array，现场可编程门阵列)或CPLD(Complex Programmable Logic Device，复杂可编程逻辑器件)。

基于相同的技术构思，本发明实施例提供一种终端，图13为本发明实施例提供的一种终端结构示意图。图13中终端包括处理器1300，用于读取存储器1320中的程序，按照获得的程序通过收发器1310执行上述任一实施例提供的终端认证方法。

基于相同的技术构思，本发明实施例提供一种WLAN系统，包括如上述任一实施例提供的AP设备，和/或，如上述任一项实施例提供的终端。

基于相同的技术构思，本发明实施例提供一种计算机程序产品，该计算机程序产品包括存储在非暂态计算机可读存储介质上的计算程序，计算机程序包括所述计算机可执行指令，当计算机可执行指令被计算机执行时，使计算机执行上述任一实施例提供的终端验证方法。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims

一种终端验证方法，其特征在于，应用于无线局域网WLAN中的接入点AP设备，所述AP设备为加密式AP设备，所述方法包括：

接收终端发送的连接请求；所述连接请求包括所述终端的标识信息；

根据所述终端的标识信息查询授权列表；所述授权列表包括位于预设免密范围内的终端的标识信息；

在所述授权列表中包括所述终端的标识信息时，向所述终端返回授权应答；所述授权应答用于指示所述终端与所述AP设备建立网络连接。
如权利要求1所述的方法，其特征在于，所述方法还包括：

周期性发送广播信号；所述广播信号用于指示第一终端确定接收到的所述广播信号的定位特征，并向所述AP设备返回定位应答；所述定位应答包括所述第一终端的标识信息及所述定位特征；所述第一终端为任一接收到所述广播信号的终端；

接收所述定位应答，并在根据所述定位应答中的定位特征，确定所述第一终端位于所述免密范围之内且所述授权列表中不存在所述第一终端的标识信息时，在所述授权列表中添加所述第一终端的标识信息。
如权利要求2所述的方法，其特征在于，在所述授权列表中添加所述第一终端的标识信息之后，还包括：

向所述第一终端发送认证应答。
如权利要求1所述的方法，其特征在于，所述方法还包括：

在所述授权列表中未包括所述第一终端的标识信息时，确认所述第一终端验证未通过；

或，向所述第一终端发送验证指令；所述验证指令用于指示所述第一终端返回验证密钥；根据所述第一终端返回的验证密钥对所述第一终端进行验证。
如权利要求1所述的方法，其特征在于，还包括：

接收所述第一终端发送的上网信号；所述上网信号是所述第一终端与所述AP设备建立网络连接后向所述AP设备发送的；所述上网信号中包括所述第一终端的标识信息；

在确定所述授权列表中包括所述第一终端的标识信息后，向所述第一终端返回接收应答。
如权利要求2至5任一项所述的方法，其特征在于，所述广播信号的定位特征包括所述广播信号的接收强度和接收角度。
如权利要求6所述的方法，其特征在于，所述免密范围是通过边界函数表示的；所述边界函数用于表征位于所述免密范围的边界处所述广播信号的接收强度与接收角度之间的关系；

所述方法还包括：

发送所述广播信号；

接收多个采样设备根据所述广播信号返回的定位应答；

确定所述多个采样设备返回的定位应答中，所述接收强度满足预设强度的定位应答；

根据所述接收强度满足所述预设强度的定位应答中的接收强度和接收角度，确定所述免密范围的边界函数。
如权利要求6所述的方法，其特征在于，所述免密范围是通过边界函数表示的；所述边界函数用于表征位于所述免密范围的边界处所述广播信号的接收强度与接收角度之间的关系；

所述方法还包括：

发送所述广播信号；

接收多个采样设备根据所述广播信号返回的定位应答；所述多个采样设备位于所述免密范围的预设边界；

根据所述多个采样设备返回的定位应答中的接收强度和接收角度，确定所述免密范围的边界函数。
如权利要求7或8所述的方法，其特征在于，所述AP设备是根据所述第一终端所返回的定位应答中的定位特征与所述边界函数之间的函数关系确定所述终端是否位于所述免密范围之内的。
一种终端验证方法，其特征在于，应用于无线局域网WLAN中的终端，所述WLAN还包括加密式AP设备，所述方法包括：

向目标AP设备发送连接请求；所述连接请求包括所述终端的标识信息；

接收所述目标AP设备返回的授权应答；所述授权应答是所述目标AP设备在确定授权列表中包括所述终端的标识信息时，向所述终端返回的；所述授权列表包括位于所述AP设备的预设免密范围内的终端的标识信息；

根据所述授权应答，与所述目标AP设备建立网络连接。
如权利要求10所述的方法，其特征在于，还包括：

在接收到任一AP设备发送的广播信息时，确定所述广播信息的定位特征；

向所述AP设备返回定位应答；所述定位应答包括所述定位特征和所述终端的标识信息。
如权利要求11所述的方法，其特征在于，还包括：

在同时收到多个AP设备发送的认证应答时，确定多个认证应答中信号强度最强的AP设备为所述目标AP设备；所述认证应答是所述AP设备根据所述定位应答确定所述终端位于所述预设免密范围后，向所述终端发送的；

向所述目标AP设备发送所述连接请求。
如权利要求12所述的方法，其特征在于，根据所述授权应答，与所述目标AP设备建立网络连接之后，还包括：

向所述目标AP设备发送上网信号；所述上网信号包括所述终端的标识信息；

在预设等待时间之后未收到所述目标AP设备返回的接收应答时，重新确定目标AP设备。
一种AP设备，其特征在于，所述AP设备为加密式AP设备，包括：收发模块和处理模块；

所述收发模块，用于接收第一终端发送的连接请求；所述连接请求包括所述第一终端的标识信息；

所述处理模块，用于根据所述第一终端的标识信息查询授权列表；所述授权列表包括位于预设免密范围内的终端的标识信息；在所述授权列表中包括所述第一终端的标识信息时，向所述第一终端返回授权应答；所述授权应答用于指示所述第一终端与所述AP设备建立网络连接。
一种终端，其特征在于，应用于无线局域网WLAN中的终端，所述WLAN还包括加密式AP设备，所述终端包括：收发模块和处理模块；

所述收发模块，用于向目标AP设备发送连接请求；所述连接请求包括所述终端的标识信息；接收所述目标AP设备返回的授权应答；所述授权应答是所述目标AP设备在确定授权列表中包括所述终端的标识信息时，向所述终端返回的；所述授权列表包括位于所述AP设备的预设免密范围内的终端的标识信息；

所述处理模块，用于根据所述授权应答，与所述目标AP设备建立网络连接。
如权利要求15所述的终端，其特征在于，所述处理模块还用于：

在所述收发模块接收到任一AP设备发送的广播信息时，确定所述广播信息的定位特征；通过所述收发模块向所述AP设备返回定位应答；所述定位应答包括所述定位特征和所述终端的标识信息。
如权利要求16所述的终端，其特征在于，所述处理模块还用于：

在所述收发模块同时收到多个AP设备发送的认证应答时，确定多个认证应答中信号强度最强的AP设备为所述目标AP设备；所述认证应答是所述AP设备根据所述定位应答确定所述终端位于所述预设免密范围后，向所述终端发送的；通过所述收发模块向所述目标AP设备发送所述连接请求。
如权利要求17所述的终端，其特征在于，所述收发模块还用于：

向所述目标AP设备发送上网信号；所述上网信号包括所述终端的标识信息；

所述处理模块还用于：

在预设等待时间之后未收到所述目标AP设备返回的接收应答时，重新确定目标AP设备。
一种AP设备，其特征在于，包括：存储器、收发器和处理器；

所述存储器，用于存储程序指令；

所述处理器，用于调用所述存储器中存储的程序指令，按照获得的程序通过所述收发器执行如权利要求1至9中任一项所述的方法。
一种终端，其特征在于，包括：存储器、收发器和处理器；

所述存储器，用于存储程序指令；

所述处理器，用于调用所述存储器中存储的程序指令，按照获得的程序通过所述收发器执行如权利要求10至13中任一项所述的方法。
一种系统，其特征在于，包括如权利要求14所述的AP设备，和/或，如权利要求15至18中任一项所述的终端。
一种计算机程序产品，其特征在于，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算程序，所述计算机程序包括所述计算机可执行指令，当所述计算机可执行指令被计算机执行时，使所述计算机执行权利要求1至9中任一权利要求所述的终端验证方法，和/或，如权利要求10至13中任一项所述的终端验证方法。