一种准入控制方法及准入控制装置

摘要

本发明提供一种准入控制方法及准入控制装置，该准入控制方法包括：获取用户的物理位置以及接入设备的物理位置；根据所述接入设备的通信接入，获取所述接入设备的网络接入物理位置；判断所述用户的物理位置、所述接入设备的物理位置及所述接入设备的网络接入物理位置是否一致，若是，则允许所述接入设备接入网络。通过结合用户的物理位置、接入设备物理位置和接入设备网络位置对应的物理位置进行准入判定，符合三者物理位置重合才允许接入设备接入网络，通过多重因素综合判断以避免非法终端接入，提高网络环境的安全性。

说明书

技术领域

本发明涉及上网准入控制技术领域，尤其涉及一种准入控制方法及装置。

背景技术

近年来，随着互联网技术的快速发展，各行业对网络终端接入的合法性要求日益增长。例如，企业网络访客(包括内部访客和外部访客)通过接入网络后，为了安全考虑，通常需要对访客的入网行为进行审核、认证等操作，以限制访客的访问权限。

目前的设备准入方式，对于非哑终端一般采用802.1x或者其他的认证方式(如人为认证)；对于哑终端一般采用MAC(Media Access Control，媒体存取控制)认证或者指纹识别认证的方式。然而这些方式都存在一定的缺陷，存在MAC被仿冒或者用户名密码泄露导致的非法终端接入等问题。

发明内容

本发明的目的在于，针对上述现有技术中的不足，提供准入控制方法、装置、设备及存储介质，结合用户的物理位置、接入设备物理位置和接入设备网络位置对应的物理位置进行准入判定，通过多重因素综合判断以避免非法终端接入。

为实现上述目的，本发明实施例采用的技术方案如下：

本发明实施例的第一方面，提供一种准入控制方法，包括：

获取用户的物理位置以及接入设备的物理位置；

根据所述接入设备的通信接入，获取所述接入设备的网络接入物理位置；

判断所述用户的物理位置、所述接入设备的物理位置及所述接入设备的网络接入物理位置是否一致，若是，则允许所述接入设备接入网络。

优选地，所述方法还包括：

若所述用户的物理位置、所述接入设备的物理位置及所述接入设备的网络接入物理位置不一致，触发异常接入告警。

优选地，所述获取用户的物理位置以及接入设备的物理位置，包括：

预先分别为所述用户及所述接入设备配置定位模块；

根据所述用户的定位模块及所述接入设备的定位模块，获取所述用户的物理位置以及所述接入设备的物理位置；

其中，所述定位模块采用UWB的定位基站和微标签、RFID的微标签或者定位软件中的一种。

优选地，所述根据所述接入设备的通信接入，获取所述接入设备的网络接入物理位置，包括：

通过所述接入设备的接入网络以获得所述接入设备的数据；

根据获得的所述接入设备的数据，获取所述接入设备的网络位置；

根据所述准入的网络位置，获取所述接入设备的网络接入物理位置。

优选地，在允许所述接入设备接入网络之前，所述方法还包括：

获取用户的生物特征；

根据预先存储的用户的生物特征信息判断所述用户是否为白名单用户，若是，则允许所述接入设备接入网络。

本发明实施例的第二方面，提供一种准入控制装置，包括：

第一获取模块，用于获取用户的物理位置以及接入设备的物理位置；

第二获取模块，用于根据所述接入设备的通信接入，获取所述接入设备的网络接入物理位置；

第一处理模块，用于判断所述用户的物理位置、所述接入设备的物理位置及所述接入设备的网络接入物理位置是否一致，若是，则允许所述接入设备接入网络。

优选地，所述装置还包括：

第二处理模块，用于若所述用户的物理位置、所述接入设备的物理位置及所述接入设备的网络接入物理位置不一致，触发异常接入告警。

优选地，所述第一获取模块包括：

配置模块，用于预先分别为所述用户及所述接入设备配置定位模块；

获取子模块，用于根据所述用户的定位模块及所述接入设备的定位模块，获取所述用户的物理位置以及所述接入设备的物理位置；

其中，所述定位模块采用UWB的定位基站和微标签、RFID的微标签或者定位软件中的一种。

优选地，所述第二获取模块包括：

获得模块，用于通过所述接入设备的接入网络以获得所述接入设备的数据；

第三处理模块，用于根据获得的所述接入设备的数据，获取所述接入设备的网络位置；

第四处理模块，用于根据所述准入的网络位置，获取所述接入设备的网络接入物理位置。

优选地，所述装置还包括：

第三获取模块，用于获取用户的生物特征；

第五处理模块，用于根据预先存储的用户的生物特征信息，判断所述用户是否为白名单用户，若是，则允许所述接入设备接入网络。

本发明实施例的第三方面，提供一种准入控制设备，包括：至少一个处理器和存储器；所述存储器存储计算机程序；所述至少一个处理器执行所述存储器存储的计算机程序，以实现上述的准入控制方法。

本发明实施例的第四方面，提供一种计算机可读存储介质，该计算机可读存储介质中存储有计算机程序，所述计算机程序被执行时实现上述的准入控制方法。

本发明实施例提供的技术方案中的准入控制方法，通过结合用户的物理位置、接入设备物理位置和接入设备网络位置对应的物理位置进行准入判定，符合三者物理位置重合才允许接入设备接入网络，通过多重因素综合判断以避免非法终端接入，提高网络环境的安全性。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本发明实施例提供的一种准入控制方法的流程图；

图2为本发明实施例提供的准入控制网络拓扑图；

图3为本发明实施例提供的一种准入控制装置的结构示意图；

图4为本发明实施例提供的一种准入控制设备的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。

因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。需要说明的是，在不冲突的情况下，本发明的实施例中的各个特征可以相互结合，结合后的实施例依然在本发明的保护范围内。

本发明的准入控制方法应用于中心控制器，该中心控制器用于管控区域网络内(如公司的局域网)的所有接入设备，对于待接入设备需要进行验证。本发明的准入控制方法从网络获取的位置信息和通过定位设备获取的位置信息进行判断，对于可疑的用户、接入设备位置以及物理位置不重合的情况进行准入控制。参照图1和图2，本发明准入控制方法包括如下步骤：

S101、获取用户的物理位置以及接入设备的物理位置。

在该实施例中，通过定位模块获取用户以及接入设备的物理位置，该定位模块与中心控制器通信连接，中心控制器通过定位模块获取的定位信息，可以获得用户的物理位置以及接入设备的物理位置。

具体地，预先分别为用户及接入设备配置定位模块，根据所述用户的定位模块及所述接入设备的定位模块，获取所述用户的物理位置以及所述接入设备的物理位置。其中，该定位模块可以采用UWB(Ultra Wide Band，超宽带)的定位基站和微标签、RFID(RadioFrequency Identification，射频识别)的微标签或者定位软件中的一种。

在一实施例中，用户和接入设备的物理位置通过UWB定位基站与微标签来获得，即在用户和接入设备上分别配置微标签，微标签通过与UWB定位基站通信而获得用户和接入设备的物理位置，UWB定位基站与中心控制器通信连接，从而将用户和接入设备的物理位置信息发送给中心控制器。

在又一实施例中，用户和接入设备的物理位置通过RFID的微标签来获得，即在用户和接入设备上分别配置RFID微标签，在预设物理位置配置有RFID识别装置，通过RFID微标签与RFID识别装置的射频设别而获得用户和接入设备的物理位置，RFID识别装置与中心控制器通信连接，从而将用户和接入设备的物理位置信息发送给中心控制器。

在另一实施例中，用户还可以通过随身携带的电子设备中安装的定位软件进行物理位置定位，接入设备可以通过安装于接入设备的定位软件进行物理位置定位，用户携带的电子设备及接入设备可以与中心控制器通信连接，从而将用户和接入设备的物理位置信息发送给中心控制器。

当然，在其他实施例中，用户也可以通过打卡、指纹验证或人脸识别验证等方式进行物理位置验证。

S102、根据所述接入设备的通信接入，获取所述接入设备的网络接入物理位置。

在该实施例中，通过接入设备与控制区域内网络进行通信接入，可以根据网络接入点获取网络接入位置。具体地，通过所述接入设备的接入网络以获得所述接入设备的数据；根据获得的所述接入设备的数据，获取所述接入设备的网络位置；根据所述准入的网络位置，获取所述接入设备的网络接入物理位置。

其中，接入设备接入网络的方式可以包括物理连接(即与通信接口连接)或者通信连接(如无线网等)。获得的数据可以通过从网络设备(如AC/AP或者交换机、路由器、或者基站位置等)获取数据来得到接入设备所接入的网络位置。网络位置所对应的网络物理位置是通过预先获取并存储，中心控制器根据接入设备所接入的网络位置即可以通过查询获取到网络接入物理位置。

S103、判断所述用户的物理位置、所述接入设备的物理位置及所述接入设备的网络接入物理位置是否一致，若是，则允许所述接入设备接入网络。

在该实施例中，只有用户的物理位置、接入设备的物理位置及接入设备的网络接入物理位置重合，才认为这个接入设备或者说这个用户的接入行为是一个正常的接入行为。

此外，在允许所述接入设备接入网络之前，本发明准入控制方法还包括：获取用户的生物特征；根据预先存储的用户的生物特征信息判断所述用户是否为白名单用户，若是，则允许所述接入设备接入网络。

该实施例中，所获取用户的生物特征包括指纹、人脸、虹膜等生物特征。具体地，可以在物理位置增加摄像机、识别装置等设备捕捉人物特征，以判断人和标签的对应关系是否正确。

进一步地，所述方法还包括：若所述用户的物理位置、所述接入设备的物理位置及所述接入设备的网络接入物理位置不一致，触发异常接入告警，通过异常告警可以及时提醒管理人员对于异常接入的进行处理，以保证网络环境的安全。

本发明实施例提供的技术方案中的准入控制方法，通过结合用户的物理位置、接入设备物理位置和接入设备网络位置对应的物理位置进行准入判定，符合三者物理位置重合才允许接入设备接入网络，通过多重因素综合判断以避免非法终端接入，提高网络环境的安全性。

基于上述的准入控制方法，本发明还提供了一种准入控制装置，参照图3结合图2，该准入控制装置包括：

第一获取模块301，用于获取用户的物理位置以及接入设备的物理位置；

第二获取模块302，用于根据所述接入设备的通信接入，获取所述接入设备的网络接入物理位置；

第一处理模块303，用于判断所述用户的物理位置、所述接入设备的物理位置及所述接入设备的网络接入物理位置是否一致，若是，则允许所述接入设备接入网络。

在一些实施例中，该装置还包括：

第二处理模块，用于若所述用户的物理位置、所述接入设备的物理位置及所述接入设备的网络接入物理位置不一致，触发异常接入告警。

在一些实施例中，所述第一获取模块301包括：

配置模块，用于预先分别为所述用户及所述接入设备配置定位模块；

获取子模块，用于根据所述用户的定位模块及所述接入设备的定位模块，获取所述用户的物理位置以及所述接入设备的物理位置；

其中，所述定位模块采用UWB的定位基站和微标签、RFID的微标签或者定位软件中的一种。

在一些实施例中，所述第二获取模块302包括：

获得模块，用于通过所述接入设备的接入网络以获得所述接入设备的数据；

第三处理模块，用于根据获得的所述接入设备的数据，获取所述接入设备的网络位置；

第四处理模块，用于根据所述准入的网络位置，获取所述接入设备的网络接入物理位置。

在一些实施例中，所述装置还包括：

第三获取模块，用于获取用户的生物特征；

第五处理模块，用于根据预先存储的用户的生物特征信息，判断所述用户是否为白名单用户，若是，则允许所述接入设备接入网络。

图4是本发明的一种准入控制设备的结构示意图，如图4所示，该准入控制设备包括：至少一个处理器和存储器；所述存储器存储计算机程序；所述至少一个处理器执行所述存储器存储的计算机程序，以实现上述实施例提供的准入控制方法。

本发明再一实施例还提供了一种计算机可读存储介质，该计算机可读存储介质中存储有计算机程序，所述计算机程序被执行时实现上述的准入控制方法。

本领域内的技术人员应明白，本发明实施例的实施例可提供为方法、装置、或计算机程序产品。因此，本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明实施例是参照根据本发明实施例的方法、电子设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理电子设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理电子设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理电子设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理电子设备上，使得在计算机或其他可编程电子设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程电子设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明实施例的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者电子设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者电子设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者电子设备中还存在另外的相同要素。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。