一种无线网络环境下智能设备接入和权限控制方法

本发明属于计算机安全技术领域，涉及一种无线网络环境下智能设备接入和权限控制方法。

Wi-Fi联盟公布的数据显示，全球Wi-Fi用户超过7亿，Wi-Fi热点数超过75万个。特别是中国的Wi-Fi采用率正不断攀升，三大运营商均投入巨资建设Wi-Fi热点，In-Stat预计，到2010年底，中国的热点数量有望达到28.5万处。2009年，中国市场共上市近700万部Wi-Fi手机，这一数字有望在2013年达到9700万部。

无论周围是否存在Wi-Fi网络或热点，用户都可以直接在笔记本、手机、平板电脑、打印机等设备间迅速建立连接，从而开启丰富的应用世界，包括内容共享、同步、打印、游戏等。这一创新的技术就是Wi-Fi直连，其设备测试已于今年10月底启动，构成Wi-Fi直连可互操作性测试套件的首批设备已超过10款，它们来自Atheros、博通、Intel、Realtek等公司。

非法接入，带宽盗用，假冒AP，WEP破解工具……这些安全问题一直伴随着无线网络，关于无线网络的安全问题，也是一个讨论了很长时间的话题，但是似乎大部分的目光都集中在了硬件厂商及行业组织身上，大家讨论更多的是诸如WEP存在漏洞，802.11i标准尚待统一等话题。由于是在开放的无线环境中进行通信，周围的隐蔽攻击和阅读器一样也有可能获得应答器上的数据信息，这就构成了对安全和隐私的威胁。

鉴于此，有必要设计一种无线网络环境下智能设备接入和权限控制方法以解决上述问题。

本发明所要解决的技术问题是提供一种无线网络环境下智能设备接入和权限控制方法，用于保护处于无线环境中的数据信息，防止信息泄密。同时保证无线网络环境下的智能设备安全，方便资源分配和管理。

为了解决上述技术问题，本发明采用如下技术方案：一种无线网络环境下智能设备接入和权限控制方法，包括以下步骤：

1)智能设备申请网络接入；

2)设备认证中心验证该智能设备的设备身份证；若无设备身份证，则该智能设备被隔离到未验证的网络区域，并获得设备认证中心发送的申请码；如有设备身份证，则接入已验证的网络区域；所述设备身份证预设置了权限等级；

3)无设备身份证的智能设备利用设备认证中心发送的申请码获得设备身份证；利用该设备身份证接入已验证的网络区域；

4)接入已验证的网络区域的智能设备提出访问其他设备的请求；

5)设备管理中心将该智能设备的设备身份证与待访问的其他设备的设备身份证进行对比，判断该智能设备的设备身份证的权限等级是否高于待访问的其他设备的设备身份证的权限等级，若是，允许访问；若否，拒绝访问。

优选地，所述设备身份证与智能设备的硬件地址绑定，同时与一个或多个使用者绑定。

优选地，所述设备身份证是一种多维码图片。

优选地，所述设备身份证是一种加壳的多维码图片。

优选地，所述设备身份证等级采用金字塔模型，底层权限等级小于高层权限等级，同层的智能设备相互访问或者高层智能设备访问低层智能设备。

优选地，所述步骤3)中无设备身份证的智能设备利用设备认证中心发送的申请码获得设备身份证具体步骤如下：

a.设备使用者登录设备管理中心，填写申请码；

b.设备管理中心的管理员选择是否通过申请并授予相应的权限等级；

c.设备管理中心根据该智能设备的类别、智能设备的权限等级和智能设备使用者的身份信息生产设备身份证，并发送给该智能设备。

优选地，所述访问的相关日志使用者使用智能设备的开始时间和结束时间。

具体的，本发明中第一次接入无线网络环境下的设备将被隔离到未验证设备的区域，并获得设备认证中心发送的申请码。设备的使用人以申请人的身份登陆设备认证中心，提交申请码。管理员在设备管理中心通过申请后，该设备将和使用人绑定，并重新连接至已验证设备区。在已验证设备区中，通过验证的设备可以凭设备身份证访问其他设备，只有访问方的设备身份证级别高于或等于被访问方，访问才会被允许。设备管理中心将通过设备身份证记 录使用者使用设备的开始时间和结束时间等。

本发明能保证wifi环境的网络的内部安全和智能设备的使用安全，同时又能让企事业单位的管理员有效了解内部设备的使用情况，方便资源分配和管理。

图1是本发明的智能设备间的访问流程图。

图2是本发明中智能设备间访问流程图。

图3是本发明中设备身份证等级模型图。

本发明所要解决的技术问题是提供一种无线网络环境中智能设备的管理方法，包括以下步骤：

1)智能设备申请网络接入；

2)设备认证中心验证该智能设备的设备身份证；若无设备身份证，则该智能设备被隔离到未验证的网络区域，并获得设备认证中心发送的申请码；如有设备身份证，则接入已验证的网络区域；所述设备身份证预设置了权限等级；

3)无设备身份证的智能设备利用设备认证中心发送的申请码获得设备身份证；利用该设备身份证接入已验证的网络区域；

4)接入已验证的网络区域的智能设备提出访问其他设备的请求；

5)设备管理中心将该智能设备的设备身份证与待访问的其他设备的设备身份证进行对比，判断该智能设备的设备身份证的权限等级是否高于待访问的其他设备的设备身份证的权限等级，若是，允许访问；若否，拒绝访问。

具体的：请参照图1所示，

I、设备认证中心将研制申请接入网络的智能设备的设备身份证，如果没有设备身份证的智能设备将会被接入未验证的的网络区域，和已验证的设备网络区域隔离。并发送给该设备一个申请码。

II、设备使用者可以登录设备管理中心，填写申请码，申请设备认证。

III、设备认证中心将会把申请发送到设备管理中心，管理员可以选择是否通过申请。并 授予相应的权限等级。

IV、设备管理中心收到通过申请的通知后，会根据该设备的类别、设备的权限等级和设备使用者的身份等信息生产设备身份证，并发送给智能设备。

V、智能设备收到设备身份证后，设备认证中心将会把该设备加入到已验证网络。

设备间访问认证的工作流程见附图2.具体如下：

I、访问方设备向设备管理中心申请访问

II、设备管理中心对比双方的设备身份证，如访问方的设备身份证等级高于或等于被访问方，则允许访问，反之拒绝访问。

III、设备管理中心记录该访问的相关日志。

设备身份证等级模型如图3所示，采用金字塔模型，底层权限小于高层权限，同层等级的设备可以相互访问，高层设备可以访问低层设备。

本文所述的设备身份证是一种具有外壳(加壳)的多维码图片，每一维度记录一种信息：如使用者、设备类型、设备权限等。所颁发的设备身份证与设备硬件地址绑定，同时与使用者(一个或多个)进行绑定。其外壳只有设备管理中心和设备认证中心能够打开，其他任何形式的访问和操作均无效。

加壳其实是利用特殊的算法，对EXE、DLL文件里的资源进行压缩、加密。类似WINZIP的效果，只不过这个压缩之后的文件，可以独立运行，解压过程完全隐蔽，都在内存中完成。它们附加在原程序上通过Windows加载器载入内存后，先于原始程序执行，得到控制权，执行过程中对原始程序进行解密、还原，还原完成后再把控制权交还给原始程序，执行原来的代码部分。加上外壳后，原始程序代码在磁盘文件中一般是以加密后的形式存在的，只在执行时在内存中还原，这样就可以比较有效地防止破解者对程序文件的非法修改，同时也可以防止程序被静态反编译。

本发明的优点是：通过加壳的多维码身份证，保护了无线网中的智能设备的安全，防止无线网内部的非法设备接入引起的信息泄密和安全隐患。同时，保障了设备与设备间的访问安全，方便优化网络资源分配。

可以理解的是，虽然本发明已以较佳实施例披露如上，然而上述实施例并非用以限定本发明。对于任何熟悉本领域的技术人员而言，在不脱离本发明技术方案范围情况下，都可利用上述揭示的技术内容对本发明技术方案作出许多可能的变动和修饰，或修改为等同变化的 等效实施例。因此，凡是未脱离本发明技术方案的内容，依据本发明的技术实质对以上实施例所做的任何简单修改、等同变化及修饰，均仍属于本发明技术方案保护的范围内。