内置用户管理功能的无线路由器、 系统及其组网方法 技术领域 本发明涉及无线路由网络, 特别涉及一种内置用户管理功能的无线路由器、 系统 及其组网方法。
背景技术 无线路由器 (Wireless Router) 好比将单纯性无线接入点 (AP) 和宽带路由器合 二为一的扩展型产品, 它可以与 ADSL MODEM 或 CABLE MODEM 直接相连, 也可以上联交换机 接入普通的局域网, 具备单纯性无线 AP 所有功能如支持 DHCP 客户端、 支持 VPN、 防火墙、 支 持 WEP 加密等等, 而且还包括了网络地址转换 (NAT) 功能, 可支持局域网用户的网络连接共 享。可实现家庭无线网络中的 Internet 连接共享, 实现 ADSL 和小区宽带的无线共享接入。
目前, 全国的家庭宽带用户普遍使用了无线路由器, 其无线网络信号可以覆盖住 宅的各个角落, 将家用的 ADSL 宽带资源用无线 WiFi 网络进行延伸, 用户可以在家里的任何 地方使用无线设备实现互联网访问。由于无线信号可能泄漏到住宅外面, 为了确保授权用 户才能访问 Wifi 网络, 目前的家用路由器普遍使用了 WEP、 WPA 等加密方式, 用户可以设置 网络密码来防止未授权用户的接入。
也有用户希望和租户、 邻居共享无线网络, 共同分享接入带宽, 这种情况下一般的 做法是把无线网络的访问密码告诉邻居。 但是现有的家用路由器一般只支持物理层的加密 技术 (WEP、 WPA 等 ), 要么是允许接入, 要么就是拒绝访问, 而无法基于访问时长或流量来实 现访问控制。
目前已有实现精确访问控制的成熟方案, 但是成本远高于家用路由器, 一般只有 电信运营商或大中型企业采用。大型的 WiFi 网络的组网思想是 : 在一个很广的地理范围 内, 布置许多的无线接入点, 通过交换机和网线将这些接入点连接成一个统一的无线网络, 让用户通过用户名和密码进行访问, 并实现精确的计费和审计等操作。其组网设备包含无 线接入点 AP、 无线控制器 AC、 接入 / 汇聚交换机、 互联网出口路由器、 门户服务器、 Radius 接 入认证服务器等等。
对于大型无线 WiFi 网络而言, 虽然其技术完善、 可控制性强、 可靠性高, 可以实现 访问控制、 认证计费和审计等功能, 但是它的系统结构复杂, 建造成本较高, 并且需要系统 集成商的参与才能完成建设。并且, 为了维持网络的连续运行, 认证服务器需要 24 小时开 机, 网络运行维护的成本较高。
对于一些中小型的企业, 以及想在局域范围内提供 WiFi 网络服务的业主而言, 难 以承受网络的建设和运营维护的支出, 他们希望有一种简单的方式来实现搭建无线网络。 而目前还没有这样的技术方案来满足这个需求。
发明内容
为了让中小型企业、 家庭带宽用户等能够低成本的搭建无线网络, 不需要集成商 参与, 不需要建设结构复杂的无线 wifi 网络, 在一定的物理范围内实现互联网的无线访问, 本发明的首要目的是提供内置用户管理功能的无线路由器及系统, 路由器内置账号管 理功能, 能够提供用户认证、 访问授权控制功能, 可以按照访问时长和流量两种方式进行访 问控制。
本发明的另一目的是提供内置用户管理功能的无线路由器的组网方法, 该方法不 需要专门配置专用的认证服务器和 radius 服务器等, 网络配置方法简单, 有一定网络基础 的人都可以完成无线网络的组建, 组网成本低廉。
本发明采用以下技术方案来实现上述目的 : 内置用户管理功能的无线路由器, 包 括局域网以太网接口、 广域网以太网接口和无线网络模块, 还包括 : 账户数据存储器, 用于 存储无线网络访问用户信息 ; 以及账户认证管理模块, 用于在用户连上无线网络后向用户 推送登录页面, 并调用所述账户数据存储器所存储的无线网络访问用户信息对用户身份进 行认证 ; 其中账户认证管理模块分别与无线网络模块、 账户数据存储器及广域网以太网接 口连接, 局域网以太网接口与广域网以太网接口连接 ; 所述无线网络访问账户信息包括用 户名、 账户级别、 访问权限有效期及剩余流量 ; 所述账户认证管理模块工作在主用模式或从 属模式 ; 在主用模式下账户认证管理模块用于控制无线网络接入、 用户身份认证、 账户信息 逻辑判断及网络流量通路开关 ; 在从属模式下账户认证管理模块关闭账号信息逻辑判断功 能, 用于用户身份认证、 转发账号信息、 转发网络流量, 在收到工作在主用模式的路由器的 账户认证管理模块返回的指令后允许或拒绝用户的接入。 基于上述内置用户管理功能的无线路由器的无线路由系统, 包括局域网交换机, 以及分别与局域网交换机连接的一个主用路由器、 至少一个从属路由器 ; 所述主用路由器 为内置用户管理功能的无线路由器, 且账户认证管理模块工作在主用模式 ; 所述从属路由 器为内置用户管理功能的无线路由器, 且账户认证管理模块工作在从属模式。
基于上述无线路由系统的组网方法, 绑定从属路由器和主用路由器, 包括以下步 骤:
S11、 用路由器的管理员账户登录待配置的无线路由器, 进入账户认证管理模块的 配置界面 ; 路由器默认工作在主用模式 ;
S12、 路由器的配置页面提供主用和从属两个配置选项, 若选择主用模式, 则路由 器不改变默认配置, 若选择从属模式, 则进入 S13 ;
S13、 从属路由器的配置页面提示用户输入主用路由器的 IP 地址, 在管理员输入 合法地址信息并确认后, 从属路由器将尝试去搜索有线局域网范围内的主用路由器 ;
S14、 从属路由器在局域网内寻找主用路由器, 如果连接成功则进入 S15, 如果无法 寻找到主用路由器则提示用户重新输入 IP 地址 ;
S15、 提示用户输入主用路由器的账号密码, 将登录信息提交给主用路由器的认证 管理模块 ;
S16、 主用路由器判断用户输入的账号密码是否正确, 如果正确则进入 S17, 如果错 误则提示用户重新输入账号密码 ;
S17、 主用路由器记录从属路由器的硬件序列号、 IP 地址, 完成主用路由器和从属 路由器之间的绑定, 在完成绑定后, 从属路由器的账户信息存储器将被屏蔽禁用 ;
用户登录从属路由器实现网络访问的处理流程, 包括以下步骤 :
S21、 从属路由器的无线网络模块对外广播 SSID 信息 ;
S22、 用户设备搜索到 SSID 信息, 实现到从属路由器无线网络模块的物理连接 ;
S23、 用户设备启用浏览器, 输入任意网址, 启动数据连接, 向从属路由器的账户认 证管理模块发送访问请求 ;
S24、 从属路由器的账户认证管理模块收到用户的访问请求, 返回认证登录页面给 浏览器 ;
S25、 输入用户的账号信息, 提交账号信息给从属路由器的账户认证管理模块 ; 所 述账号信息包括用户名和密码 ;
S26、 从属路由器的账户认证管理模块向主用路由器的账户认证管理模块提交账 号信息 ;
S27、 主用路由器的账户认证管理模块向账户数据存储器发起账户信息访问请 求;
S28、 主用路由器的账户数据存储器返回账户信息, 主用路由器的账户认证管理模 块对用户是否具有访问权限进行判断处理 ;
S29、 如果具有访问权限, 则主用路由器的账户认证管理模块向从属路由器的账户 认证管理模块返回验证信息 ; S210、 从属路由器的账户认证管理模块通过无线网络模块向用户设备返回验证成 功信息, 并同时开通网络访问权限 ;
用户登录主用路由器的处理流程, 包括以下步骤 :
S31、 主用路由器的无线网络模块对外广播 SSID 信息 ;
S32、 用户设备搜索到 SSID 信息, 实现到无线网络模块的物理连接 ;
S33、 用户设备启用浏览器, 输入任意网址, 启动数据连接, 向主用路由器的账户认 证管理模块发送访问请求 ;
S34、 主用路由器的账户认证管理模块收到用户的访问请求, 返回认证登录页面给 浏览器 ;
S35、 输入用户的账号信息, 提交账号信息给主用路由器的账户认证管理模块 ; 所 述账号信息包括用户名和密码 ;
S36、 主用路由器的账户认证管理模块向主用路由器的账户数据存储器发起账户 信息访问请求 ;
S37、 主用路由器的账户数据存储器返回账户信息, 主用路由器的账户认证管理模 块对用户是否具有访问权限进行判断处理 ;
S38、 如果具有访问权限, 则主用路由器的账户认证管理模块通过无线网络模块向 用户设备返回验证成功信息, 并同时开通网络访问权限。
具体地, 步骤 S28 或步骤 S37 所述的账户认证管理模块对用户是否具有访问权限 的判断, 包括以下步骤 :
S281、 认证管理模块收到用户的访问请求, 访问请求包含用户名和密码 ;
S282、 认证管理模块首先检查所属的无线路由器工作在主用模式还是从属模式, 如果是从属模式, 则进入步骤 S283, 如果是主用模式, 则进入步骤 S286 ;
S283、 从属路由器登录局域网中的主用路由器的认证管理模块 ;
S284、 从属路由器转发用户的访问请求给主用路由器 ;
S285、 主用路由器的认证管理模块获得访问请求后, 进入步骤 S286 的逻辑处理 ;
S286、 由主用路由器的认证管理模块执行判断, 首先通过与主用路由器的账户数 据存储器返回的数据进行比对, 判断用户名和密码是否匹配, 如果匹配则进入步骤 S287, 如 果不匹配则重新返回登录页面给用户, 提示用户重新输入账号信息 ;
S287、 主用路由器的认证管理模块判断访问用户是否是管理员账户, 如果是, 则直 接允许访问, 如果不是, 则进入步骤 S288 ;
S288、 主用路由器的认证管理模块判断访问用户是否在访问权限有效期内, 如果 是, 则允许访问, 如果不是, 则进入步骤 S289 ;
S289、 主用路由器的认证管理模块判断访问用户是否有剩余流量, 如果是, 则允许 访问, 如果不是, 拒绝用户的访问请求。
与现有的无线路由器相比, 本发明的优点及有益效果是 :
1、 生产成本低廉 : 与普通的家用路由器相比, 它只是增加了账户认证管理模块和 账户数据存储器。 账户认证管理模块可以基于已有的处理器、 内存等硬件资源, 用程序代码 实现 ; 账户数据存储器可以通过在已有的 Flash 闪存上划出专门分区来实现。 其处理器、 存 储器、 硬件模块资源均可利用现有的硬件平台, 制造生产成本低廉。 2、 内置账户管理功能, 而不需要专门配置认证接入服务器 : 使用者可以简单方便 的进行用户管理, 可以灵活的给不同的无线网络用户配置访问权限, 适合中小型企业和家 庭宽带用户使用。组网者可以方便的提供有偿的网络接入服务, 管理员只需要在收到访问 用户的款项后给他设置相应的时长或流量数值即可。
3、 联网功能 : 本路由器支持主用和从属的工作模式, 基于该模式, 组网者可以方便 的将几十上百个路由器用以太网交换机进行互联, 组建一个热点数量可观的无线网络, 为 较大的地理区域提供无线网络服务。而用户只需要一个账号, 就可以在较大的物理范围内 实现网络访问。
4、 路由器组网后负载能力较强 : 在本发明的组网方案中, 主用路由器只需要验证 用户的访问权限, 并不需要处理用户流量, 在组网规模较大、 用户登录认证频繁的情况下, 可以选择关闭主用路由器自身的无线网络, 主用路由器只用来处理用户认证工作。
与现有主流的无线组网模式相比, 本发明的优点及有益效果是 :
1、 不需要专业系统集成商的加入。不需要专门配置专用的认证服务器和 radius 服务器等, 网络配置方法简单, 有一定网络基础的人都可以按照提示页面完成无线网络的 组建。
2、 组网成本低廉。只需要以普通家用路由器的价格采购若干台便可, 不需要像主 流的方案那样采购专用的昂贵的 AC、 AP 设备和服务器硬件。
3、 运营维护成本低廉。不需要投入专业的维护人员, 不需要支付额外电费以维持 服务器硬件的运行。
附图说明
图 1 是本发明无线路由器结构示意图 ; 图 2 是账户数据存储器的数据结构图 ; 图 3 是路由器的网络组网结构示意图 ;图 4 是从属路由器和主用路由器之间的绑定流程图 ; 图 5 是单路由器 / 主用路由器对用户登录的处理流程图 ; 图 6 是集群组网体系中的从属路由器对用户登录的处理流程图 ; 图 7 是账户认证管理模块根据数据处理流程对用户是否具有访问权限的判断流程图。 具体实施方式
下面结合实施例及附图对本发明作进一步详细的描述, 但本发明的实施方式不限 于此。
实施例
如图 1 所示, 本发明设计了一种无线路由器, 和普通的无线路由器一样具有局域 网以太网接口、 广域网以太网接口和无线网络模块。本无线路由器在其内部增加了两个功 能模块 : 账户认证管理模块、 账户数据存储器, 其中账户认证管理模块分别与无线网络模 块、 账户数据存储器及广域网以太网接口连接, 局域网以太网接口与广域网以太网接口连 接。
账户认证管理模块的主要功能是 : 在用户连上无线网后向用户推送登录页面, 并 对用户身份信息进行认证, 在判断用户输入了正确的账户信息后, 该模块将允许用户访问 互联网。
该模块具有主用 (Master) 和从属 (Slave) 两种工作模式。在主用模式下, 账户认 证管理模块将具备 : 提供认证页面、 账号信息逻辑判断、 网络流量通路开关等功能。主用路 由器将作为整个无线网络接入控制的核心, 将对组网范围内的网络接入进行控制。在从属 模式下, 账户认证管理模块的账号信息逻辑判断功能将关闭, 该模块将只提供认证页面, 提 供账号信息和网络流量的转发功能, 在收到网络中主用账户认证管理模块返回的指令后, 允许或拒绝用户的接入。对应的, 从属路由器将作为一个普通的无线网络节点。
账户数据存储器存储了无线网络访问用户的信息, 该信息将被账户认证管理模块 所调用, 作为认证授权的依据, 该信息可以进行实时更新, 记录用户网络访问的参数。
如图 2 所示, 无线网络访问用户的信息包含如下字段 :
1、 账户序列号 : 作为账户索引查询的编码 ;
2、 用户名 : 用户在注册的时候, 可以自主选择合适的用户名 ;
3、 账户级别 : 分管理员用户和普通用户, 管理员用户可以直接登录, 访问无限制, 而普通用户的访问权限由管理员设定, 可以根据时间进行授权, 也可以根据数据流量进行 授权 ;
4、 密码 : 用密文存储的用户密码, 可以由管理员进行重置恢复为默认密码 ;
5、 访问权限有效期 : 如果管理员授权某个用户在某时间段内可以访问, 则可以配 置访问权限的有效期 ; 如果用户是根据流量进行授权的, 则该项可以设置为 NULL, 意为时 间条件不满足, 直接根据流量来确定访问权限 ;
6、 剩余流量 : 管理员可以给用户设定可用的剩余流量数值 ; 用户每次访问结束 后, 路由器将记录其访问流量数据, 并对剩余流量字段的数值进行相应的调减, 该数值为 0 后, 用户将无法访问互联网, 需要联系管理员进行重新设置。如果用户是根据访问时间进行授权的, 则该项可以设置为 NULL, 意为流量条件不满足, 需根据时间有效期来确定访问权 限。
用户通过该路由器实现网络访问的流程 ( 呈现给用户的流程 ) 是 :
1、 用户打开电脑或者智能手机的 wifi 网络功能, 找到本路由器的 SSID 并连接上 去;
2、 用户打开浏览器输入任何网址, 将转入本路由器的登录页面 ;
3、 用户输入用户名和密码后点击登录, 路由器完成认证授权后, 返回给用户成功 登录的页面 ;
4、 用户保留浏览器的登录页面, 打开新的浏览窗口即可访问互联网。
如果用户是初次连接使用本路由器的, 在他打开浏览器输入任何地址后, 将出现 登录页面, 页面中有提示 “注册” 的按钮, 用户点击该按钮进入注册页面, 进行注册, 用户设 定用户名、 密码和验证码等信息, 完成注册。注册页面同时会显示管理员的联系方式 ( 住宅 地址、 手机号码、 即时通讯工具号码等等 ), 用户可以联系管理员, 让管理员对个人账户进行 充值操作。充值的方法可以是设置一定时间的有效期, 也可以是设定一定的数据流量。
如图 3 所示, 在利用该路由器进行组合联网的时候, 管理员需要对无线网络中的 各个路由器进行配置。网络的组网者可以将每个路由器的 “广域网以太网接口” 通过交换 机进行互联, 使得每个路由器之间都可以实现互访。 在配置无线网络的过程中, 首先应该指定其中一台路由器为主用 (Master) 路由 器, 所有用户的数据均存储在它的账户数据存储器中。网络中的其他路由器均需配置为从 属 (Slave) 路由器, 管理员需要在从属路由器上进行配置和登记, 完成从属和主用路由器 之间的绑定。从属路由器和主用路由器之间的绑定流程, 如图 4 所示 :
1、 用管理员账号登录待配置的无线路由器, 进入账户认证管理模块的配置界面, 路由器默认工作在主用模式 ;
2、 路由器的配置页面提供主用和从属两个配置选项, 若选择主用模式, 则路由器 不改变默认配置, 进入步骤 6, 若选择从属模式, 则进入步骤 3 ;
3、 路由器的配置页面提示用户输入主用路由器的 IP 地址, 在管理员输入合法地 址信息并确认后, 路由器将在有线局域网范围内搜索主用路由器 ;
4、 从属路由器在局域网内寻找主用路由器, 如果连接成功则进入步骤 5, 如果无法 寻找到主用路由器则提示用户重新输入 IP 地址 ;
5、 提示用户输入主用路由器的账号密码, 将登录信息提交给主用路由器的认证管 理模块 ;
6、 主用路由器判断用户输入的账号密码是否正确, 如果正确则进入步骤 7, 如果错 误则提示用户重新输入账号密码 ;
7、 主用路由器记录从属路由器的硬件序列号、 IP 地址, 完成主用路由器和从属路 由器之间的绑定, 在完成绑定后, 从属路由器的账号信息存储器将被屏蔽禁用, 该路由器只 对账号信息进行转发 ; 所有的网络访问均以主用路由器的数据为准。
如果用户在使用网络的过程中, 更改了主用路由器的 IP 地址, 则网络管理员需要 登录从属路由器进行重新设置。如果只是主用路由器的 admin 密码改变, 由于主用和从属 之间的绑定关系是依据路由器的硬件序列号的, 因此在从属路由器上不需要重新设置。若
是从属路由器若发生 IP 地址变更, 则需要重新进行登录配置。
参见图 5, 对于本发明的路由器而言, 在单个路由器组网, 或者是在集群组网的主 用路由器中, 用户登录全过程的处理流程是 :
1、 路由器的无线网络模块对外广播 SSID 信息 ;
2、 用户设备搜索到 SSID 信息, 实现到无线网络模块的物理连接 ;
3、 用户启用设备的浏览器, 输入任意网址, 启动数据连接, 向账户认证管理模块发 送访问请求 ;
4、 账户认证管理模块收到用户的访问请求, 返回认证登录页面给用户浏览器 ;
5、 用户输入账号信息, 点击登录按钮, 提交账号信息给账户认证管理模块 ; 所述账 号信息包括用户名和密码 ;
6、 账户认证管理模块向账户数据存储器发起账户信息访问请求 ;
7、 账户数据存储器返回账户信息, 账户认证管理模块根据数据处理流程对用户是 否具有访问权限进行判断处理 ;
8、 如果具有访问权限, 则账户认证管理模块通过无线网络模块向用户设备返回验 证成功页面, 并同时开通网络访问权限 ; 9、 用户开启新的浏览器页面, 即可获得互联网访问权限。
参见图 6, 在集群组网体系的从属路由器中, 用户登录全过程的处理流程是 :
1、 从属路由器的无线网络模块对外广播 SSID 信息 ;
2、 用户设备搜索到 SSID 信息, 实现到从属路由器无线网络模块的物理连接 ;
3、 用户设备启用浏览器, 输入任意网址, 启动数据连接, 向从属路由器的账户认证 管理模块发送访问请求 ;
4、 从属路由器的账户认证管理模块收到用户的访问请求, 返回认证登录页面给用 户浏览器 ;
5、 输入用户的账号信息, 提交账号信息给从属路由器的账户认证管理模块 ;
6、 从属路由器的账户认证管理模块向主用路由器的账户认证管理模块提交用户 的账号信息 ;
7、 主用路由器的账户认证管理模块向账户数据存储器发起账户信息访问请求 ;
8、 主用路由器的账户数据存储器返回账户信息, 账户认证管理模块对用户是否具 有访问权限进行判断处理 ;
9、 如果具有访问权限, 则主用路由器的账户认证管理模块向从属路由器的账户认 证管理模块返回验证信息 ;
10、 从属路由器的账户认证管理模块向无线网络模块返回验证成功信息, 并同时 开通网络访问权限 ;
11、 从属路由器的无线网络模块向用户浏览器返回验证成功页面 ;
12、 用户开启新的浏览器页面, 即可获得互联网访问权限。
如图 7 所示, 账户认证管理模块根据数据处理流程对用户是否具有访问权限进行 判断处理, 其逻辑判断流程如下 :
1、 认证管理模块收到用户的访问请求, 访问请求包含用户名和密码等信息 ;
2、 认证管理模块首先检查所属的无线路由器工作在主用模式还是从属模式, 如果
是主用模式, 则进入步骤 6, 如果是从属模式, 则进入步骤 3 ;
3、 从属路由器登录局域网中的主用路由器的认证管理模块 ;
4、 从属路由器转发用户的访问请求给主用路由器 ;
5、 主用路由器的认证管理模块获得用户的访问请求数据后, 进入步骤 6 的逻辑处 理;
6、 由主用路由器的认证管理模块执行判断, 首先通过与主用路由器的账户数据存 储器返回的数据进行比对, 判断用户名和密码是否匹配, 如果匹配则进入步骤 7, 如果不匹 配则重新返回登页面给用户, 提示用户重新输入账号信息 ;
7、 主用路由器的账户认证管理模块判断访问用户是否是管理员账户, 如果是, 则 直接允许访问, 如果不是, 则进入步骤 8 ;
8、 主用路由器的账户认证管理模块判断访问用户是否在访问权限有效期内, 如果 是, 则允许访问, 如果不是, 则进入步骤 9 ;
9、 主用路由器的账户认证管理模块判断访问用户是否有剩余流量, 如果是, 则允 许访问, 如果不是, 说明用户既不是管理员, 访问有效期已过期, 且没有剩余流量供使用, 将 拒绝用户的访问请求。 上述实施例为本发明较佳的实施方式, 但本发明的实施方式并不受上述实施例的 限制, 其他的任何未背离本发明的精神实质与原理下所作的改变、 修饰、 替代、 组合、 简化, 均应为等效的置换方式, 都包含在本发明的保护范围之内。