一种网络接入方法及装置与流程

1.本技术涉及通信技术领域，尤其涉及一种网络接入方法及装置。


背景技术：

2.随着无线保真(wireless fidelity，wifi)密码破解工具越来越多，有些密码破解工具直接将wifi密码共享给他人，导致验证wifi密码以提高安全性的方式形同虚设，“蹭网”者无处不在，只要别人知道了wifi密码，就能接入到局域网中，局域网内设备的安全性受到了极大的威胁。
3.目前，常见的防止蹭网的解决方案是采用mac白名单机制，即配置终端设备的mac地址到网关的白名单中，终端设备在接入网关时，网关会检查白名单中是否存在该终端设备的mac地址，如果该终端设备的mac地址存在于白名单中，允许该终端设备接入网络，如果该终端设备的mac地址不在白名单中，不允许该终端设备接入网络。这种方案存在很多缺陷，例如，配置白名单的过程比较复杂，白名单维护起来工作量大，而且，目前的终端基本支持随机的mac地址接入网络，这样会导致已经配置mac地址在白名单的终端设备，下一次以新的mac地址接入网络时无法接入，需要重新将新的mac地址添加至白名单。


技术实现要素：

4.本技术实施例提供一种网络接入方法及装置，以期提供一个用户操作简单、且安全性高的网络接入控制方式。
5.第一方面，本技术提供了一种网络接入方法，该方法应用于接入点ap，该方法包括：当检测到第一终端设备连接至ap时，ap识别第一终端设备的特征信息，ap根据第一终端设备的特征信息，确定第一终端设备所属的设备类别，ap根据第一终端设备所属的设备类别，基于预设的访问策略对第一终端设备访问目标网络的权限进行控制，目标网络包括局域网和/或因特网。
6.基于该方案，ap可以根据连接至ap的终端设备的特征信息识别其所属的类别，基于预设的访问策略对其访问目标网络的权限进行控制，可以为用户提供一个用户操作简单、且安全性高的网络接入控制方式，无需复杂的配置就可以使用，提升用户体验。
7.在一种可能的设计中，ap根据第一终端设备的特征信息，确定第一终端设备所属的设备类别，包括：ap根据第一终端设备的特征信息和第一对应关系，确定第一终端设备所属的设备类别；第一对应关系指示预设的特征信息与预设的设备类别之间的对应关系。如此，ap可以根据第一终端设备的特征信息和第一对应关系，快速确定第一终端设备所属的设备类别。
8.在一种可能的设计中，预设的设备类别包括可信设备类别和不可信设备类别。ap根据第一终端设备所属的设备类别，基于预设的访问策略对第一终端设备访问目标网络的权限进行控制，包括：第一终端设备属于可信设备类别，则ap允许第一终端设备访问目标网络；或者，第一终端设备属于不可信设备类别，则ap向第二终端设备发送第一请求消息，并
根据第二终端设备针对第一请求消息反馈的第一响应消息，对第一终端设备访问目标网络的权限进行控制；其中，第一请求消息用于请求授权第一终端设备访问目标网络。如此，预设的设备类别分为两类，属于可信设备类别的第一终端设备在通过wifi密码接入网络后，可直接访问因特网、以及局域网内的任何设备，无需管理员授权。属于不可信设备类别的第一终端设备在通过wifi密码接入网络后，需要管理员授权，才能访问因特网、以及局域网内的设备。
9.在一种可能的设计中，第一响应消息包括指示授权第一终端设备访问目标网络的信息、或指示拒绝第一终端设备访问目标网络的信息；根据第二终端设备针对第一请求消息反馈的第一响应消息，对第一终端设备访问目标网络的权限进行控制，包括：第一响应消息包括指示授权第一终端设备访问目标网络的信息，则ap允许第一终端设备访问目标网络；或者，第一响应消息包括指示拒绝第一终端设备访问目标网络的信息，则ap拒绝第一终端设备访问目标网络。如此，在不可信设备类别的第一终端设备被授权之后成为可信设备，属于可信设备类别，之后就可以自由访问因特网、以及局域网内的设备，这样可以实现对不可信设备一次授权就可以自由访问目标网络，不用每次访问目标网络都进行授权，可以简化用户操作，提升用户体验。在不可信设备类别的第一终端设备被拒绝授权之后，就无法访问因特网、以及局域网内的设备，这样可以保证安全性。
10.在一种可能的设计中，预设的设备类别包括完全可信设备类别、部分可信设备类别和不可信设备类别；ap根据第一终端设备所属的设备类别，基于预设的访问策略对第一终端设备访问目标网络的权限进行控制，包括：第一终端设备属于完全可信设备类别，则ap允许第一终端设备访问目标网络；或者，第一终端设备属于部分可信设备类别，则ap允许第一终端设备访问因特网和局域网内具有公共属性的设备，并且禁止第一终端设备访问局域网内具有隐私属性的设备；或者，第一终端设备属于不可信设备类别，则ap拒绝第一终端设备访问目标网络。如此，属于完全可信设备类别的第一终端设备在通过wifi密码接入网络后，可直接访问因特网、以及局域网内的任何设备，无需管理员授权，属于部分可信设备类别的第一终端设备在通过wifi密码接入网络后，可直接访问因特网，并且在可信的网络行为上不需要授权，可信的网络行为即访问局域网内具有公共属性的设备。
11.在一种可能的设计中，第一终端设备属于部分可信设备类别，该方法还包括：ap检测到第一终端设备访问局域网内具有隐私属性的设备；ap向第二终端设备发送第二请求消息，第二请求消息用于请求授权第一终端设备访问局域网内具有隐私属性的设备；ap根据第二终端设备反馈的第二响应消息，对第一终端设备进行局域网的访问权限控制。也就是说，属于部分可信设备类别的第一终端设备，一旦出现不可信的网络行为，即访问局域网内的局域网内具有隐私属性的设备，则需要管理员的授权，成为完全可信设备，才能继续该网络行为，从而可以保证局域网内具有公共属性的设备的安全。
12.在一种可能的设计中，第二响应消息包括指示授权第一终端设备访问局域网内具有隐私属性的设备的信息、或指示拒绝第一终端设备访问局域网内具有隐私属性的设备的信息；ap根据第二终端设备反馈的第二响应消息，对第一终端设备进行局域网的访问权限控制，包括：第一响应消息包括指示授权第一终端设备访问局域网内具有隐私属性的设备的信息，则ap允许第一终端设备访问局域网内具有隐私属性的设备的信息；或者，第一响应消息包括指示拒绝第一终端设备访问局域网内具有隐私属性的设备的信息，则ap拒绝第一
终端设备访问局域网内具有隐私属性的设备。如果该属于部分可信设备类别的第一终端设备获得一次授权，就成为完全可信设备，就可以继续访问局域网内具有隐私属性的设备，不需要每次访问具有隐私属性的设备都要管理员授权，用户操作方便；如果该属于部分可信设备类别的第一终端设备未获得授权，则仍旧只能访问因特网和局域网内具有公共属性的设备，不能访问局域网内的局域网内具有隐私属性的设备，从而可以保证局域网内具有公共属性的设备的安全性。
13.第二方面，本技术提供一种网络接入的方法，该方法应用于终端设备，例如上述第二终端设备，该方法包括：第二终端设备接收ap发送的第一请求消息，第一请求消息用于请求授权第一终端设备访问目标网络，第二终端设备向ap发送的第一响应消息，第一响应消息包括指示授权第一终端设备访问目标网络的信息、或指示拒绝第一终端设备访问目标网络的信息。如此，管理员可以在第二终端设备上进行操作，可以有选择性的决定授权或拒绝授权第一终端设备访问目标网络，目标网络包括局域网和/或因特网。
14.在一种可能的设计中，第二终端设备还接收ap发送的第二请求消息，第二请求消息用于请求授权第一终端设备访问局域网内具有隐私属性的设备，第二终端设备向ap发送的第二响应消息，第二响应消息包括指示授权第一终端设备访问局域网内具有隐私属性的设备的信息、或指示拒绝第一终端设备访问局域网内具有隐私属性的设备的信息。如此，管理员可以在第二终端设备上进行操作，可以有选择性的决定授权或拒绝授权第一终端设备访问局域网内具有隐私属性的设备。
15.第三方面，本技术提供一种网络接入装置，该网络接入装置可以是用于通信系统的装置，也可以是用于通信系统中的装置内的芯片或芯片组，其中，用于通信系统的装置可以是终端或接入点。该装置可以包括处理单元和收发单元。当该装置是用于通信系统的装置时，该处理单元可以是处理器，该收发单元可以是收发器；该装置还可以包括存储单元，该存储单元可以是存储器；该存储单元用于存储指令，该处理单元执行该存储单元所存储的指令，以使终端执行上述第一方面或第二方面中相应的功能。当该装置是用于通信系统的内的芯片或芯片组时，该处理单元可以是处理器，该收发单元可以是输入/输出接口、管脚或电路等；该处理单元执行存储单元所存储的指令，以使该装置执行上述第一方面以及第一方面中任一可能的设计中相应的功能，或者，执行上述第二方面以及第二方面中任一可能的设计中相应的功能。该存储单元可以是该芯片或芯片组内的存储单元(例如，寄存器、缓存等)，也可以是用于通信系统的装置内的位于该芯片或芯片组外部的存储单元(例如，只读存储器、随机存取存储器等)。
16.第四方面，本技术还提供一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当其被运行时，使得上述第一方面以及第一方面中任一可能的设计所述的方法被执行，或使得上述第二方面以及第二方面中任一可能的设计所述的方法被执行。
17.第五方面，本技术还提供一种包括指令的计算机程序产品，当其被运行时，使得上述第一方面以及第一方面中任一可能的设计所述的方法被执行，或使得上述第二方面以及第二方面中任一可能的设计所述的方法被执行。
附图说明
18.图1a为本技术适用的一种通信系统的架构示意图；
19.图1b为本技术适用的一种通信系统的架构示意图；
20.图2为本技术提供的一种网络接入方法流程示意图；
21.图3为本技术提供的一种网络接入方法流程示意图；
22.图4为本技术提供的一种网络接入方法流程示意图；
23.图5为本技术提供的一种接入点的结构示意图；
24.图6为本技术提供的一种接入点的结构示意图；
25.图7为本技术适用的一种终端设备的结构示意图。
具体实施方式
26.为了使本技术的目的、技术方案和优点更加清楚，下面将结合附图对本技术作进一步地详细描述。
27.图1a为本技术实施例适用的一种通信系统的架构示意图。
28.如图1a所示，该通信系统可包括接入点(access point，ap)101、至少一个终端设备(图1a以终端设备102和终端设备103为例)以及因特网。因特网例如移动网络，如第五代(fifth-generation，5g)网络、长期演进(long term evolution，lte)网络等。ap101与终端设备102之间、ap101与终端设备103之间均可基于wifi连接进行局域网(wireless local area network，wlan)通信。其中，终端设备103可以是固定位置的，也可以是可移动的。本技术对该通信系统中包括的ap和终端设备的数量不做限定，ap可以与单个终端设备之间进行wlan通信，也可以与多个终端设备之间进行wlan通信。
29.ap(如ap101)也称为无线接入点或热点等，是无线网和有线网之间沟通的桥梁，是组建无线局域网的核心设备。主要用于提供终端设备和有线局域网之间的互相访问，在ap信号覆盖范围内的终端设备可以通过ap进行相互通信。也就是说，ap是终端设备进入有线网络的接入点。ap可部署于家庭、大楼内部以及园区内部，典型覆盖半径为几十米至上百米。当然，也可以部署于户外。ap可以为基站(base station)、演进型基站(evolved nodeb，enodeb)、发送接收点(transmission reception point，trp)、5g通信系统中的下一代基站(next generation nodeb，gnb)、未来通信系统中的基站或无线保真wifi系统中的接入点等；也可以是完成基站部分功能的模块或单元，例如，可以是集中式单元(central unit，cu)，也可以是分布式单元(distributed unit，du)；也可以是路由器；也可以是交换机；也可以是网桥；也可以是无线网关；也可以是终端设备等。本技术对ap所采用的具体技术和具体设备形态不做限定。
30.终端设备(如终端设备102和终端设备103)是连接到无线网络中的通信设备，例如无线通讯芯片、终端设备等；其中，终端设备也可以称为终端、用户设备(user equipment，ue)、移动台、移动终端等。终端设备可以是手机、平板电脑、带无线收发功能的电脑、虚拟现实终端设备、增强现实终端设备、工业控制中的无线终端、无人驾驶中的无线终端、远程手术中的无线终端、智能电网中的无线终端、运输安全中的无线终端、智慧城市中的无线终端、智慧家庭中的无线终端等。本技术对终端设备所采用的具体技术和具体设备形态不做限定。
31.ap与终端设备之间可以通过2.4千兆赫(gigahertz，ghz)的频谱进行通信，也可以通过5ghz的频谱进行通信，还可以通过60ghz的频谱进行通信。本技术对ap和终端设备之间
所使用的频谱资源不做限定。
32.图1a所示的通信系统可应用于智能家庭的wifi网络。当图1a所示的通信系统应用于智能家庭的wifi网络中时，ap 101可为路由器，终端设备102和终端设备103可为智慧家庭中的无线终端，例如手机、平板电脑、笔记本电脑、智能冰箱、智能空调等。一种可能的情况下，有新的无线终端需要接入该智能家庭的wifi网络，例如，客人到访，客人的手机可能需要接入智能家庭的wifi网络。
33.基于图1a，图1b为本技术实施例适用的另一种通信系统的架构示意图。
34.如图1b所示，该通信系统中与路由器连接的终端设备可以包括：管理员设备、已得到管理员授权的设备、未得到管理员授权的设备，其中，管理员设备例如图1b中的手机a，可以为第一次连接路由器的终端设备设置访问网络的权限，已得到管理员授权的设备例如图1b中的文件服务器、打印机、投影仪、摄像头，可以通过路由器访问因特网和局域网内的设备，未得到管理员授权的设备例如手机b，不允许通过路由器访问因特网和局域网内的设备。
35.需要说明的是，本技术所描述的系统架构以及应用场景是为了更加清楚的说明本技术的技术方案，并不构成对本技术提供的技术方案的限定，本领域普通技术人员可知，随着系统架构的演变和新业务场景的出现，本技术提供的技术方案对于类似的技术问题，同样适用。
36.下面对本技术提供的用于解决背景技术中的技术问题的网络接入方法进行详细说明。在下文的介绍中，ap可以是上述图1a中的ap101，终端设备可以是上述图1a中的终端设备102或终端设备103。若图1a所示的通信系统应用于智能家庭的wifi网络，第一终端设备可以是待接入智能家庭的wifi网络的终端设备，例如，到访客人的手机；第二终端设备可以是智能家庭的wifi网络中已被授权接入ap的任一终端设备，例如，主人手机。
37.下面参考图2，为本技术提供的网络接入的方法的流程示意图。如图2所示，该方法流程包括如下步骤：
38.步骤201，当检测到第一终端设备连接至接入点ap时，ap识别第一终端设备的特征信息。
39.该特征信息为第一终端设备使用网络时的行为特征，包括但不限于访问的ip地址的身份信息，访问网络的特征等，例如，特征信息例如为第一终端设备访问的ip地址，又例如为第一终端设备通过huawei hilink接入网络等特征。
40.步骤202，ap根据第一终端设备的特征信息，确定第一终端设备所属的设备类别。
41.一种可能的实施方式中，ap中存储有第一对应关系，第一对应关系包括预设的特征信息与预设的设备类别之间的对应关系。ap可以根据第一终端设备的特征信息和第一对应关系，确定第一终端设备所属的设备类别。
42.本技术实施例中，预设的设备类别可以包括两类：可信设备类别和不可信设备类别，例如，iot设备、已获得管理员授权的手机、电脑等属于可信设备类别，可自由访问网络，未获得管理员授权的手机、电脑等属于不可信设备类别，需要管理员授权才能使用网络。预设的设备类别也可以包括三类：完全可信设备类别、部分可信设备类别和不可信设备类别，例如，iot设备、已获得管理员授权访问局域网内具有隐私属性的手机、电脑等属于完全可信设备类别，可自由访问网络，未获得管理员授权访问局域网内具有隐私属性的设备的手
机、电脑等属于部分可信设备类别，需要管理员授权才能访问局域网内具有隐私属性的设备，蹭网的手机、电脑等属于不可信设备类别，不能访问任何网络，需要管理员授权才能使用网络。
43.以预设的设备类别可以包括两类为例，示例的，例如，ap检测到第一终端设备访问的ip地址，可识别出第一终端设备为手机，第一终端设备未获得授权通过ap访问网络，可将其确定为不可信设备类别。又例如，ap检测到第一终端设备通过huawei hilink接入网络，可识别第一终端设备为iot设备，可将其确定为可信设备类别。
44.下面对管理员进行示例性说明，以ap为华为的路由器为例，用户在购买路由器后第一次使用(也可以是第一次上电)时，要求注册一个华为账号，并且通过“智慧生活”app与路由器绑定，才能继续配置和使用，该用户被定义为管理员，所有的授权需要管理员来操作。当管理员没开启“wifi接入授权”功能时，所有的终端设备，只要输入wifi密码，都可正常使用局域网和因特网。当管理员开启“wifi接入授权”功能时，路由器会开启身份识别功能，对接入的终端设备进行分类：可信设备、部分可信设备、不可信设备。应理解，“wifi接入授权”功能也可以为其它名称，例如“wifi授权”功能、“授权wifi”功能、“授权”功能等，当然也可以为其它名称，此处不作限定。
45.步骤203，ap根据第一终端设备所属的设备类别，基于预设的访问策略对第一终端设备访问目标网络的权限进行控制，目标网络包括局域网和/或因特网。
46.本技术实施例以目标网络包括局域网和因特网为例进行说明。
47.本技术实施例中，局域网包括有线局域网和无线局域网，后文中不再赘述。
48.此处，若预设的设备类别包括可信设备类别和不可信设备类别，预设的访问策略可以包括：属于可信设备类别的终端设备允许访问局域网内任何设备和因特网、属于不可信设备类别的终端设备禁止访问局域网内任何设备和因特网。若预设的设备类别包括完全可信设备类别、部分可信设备类别和不可信设备类别，预设的访问策略可以包括：属于完全可信设备类别的终端设备允许访问局域网内任何设备和因特网、属于部分可信设备类别的终端设备允许访问局域网内具有公共属性的设备和因特网，禁止访问局域网内有公隐私属性的设备，属于不可信设备类别的终端设备禁止访问局域网内任何设备和因特网。
49.上述步骤203有多种可能的实施方式，如下示例性的示出了两种根据第一终端设备所属的设备类别，基于预设的访问策略对第一终端设备访问目标网络的权限进行控制的实施方式。
50.实施方式一，预设的设备类别包括可信设备类别和不可信设备类别，上述步骤203具体可以通过以下方式a1或方式a2实现：
51.方式a1，第一终端设备属于可信设备类别，则ap允许第一终端设备访问目标网络，即ap允许第一终端设备通过ap访问因特网、以及局域网内的任何设备。
52.在方式a1中，属于可信设备类别的第一终端设备在通过wifi密码接入网络后，可直接访问因特网、以及局域网内的任何设备，无需管理员授权。
53.方式a2，第一终端设备属于不可信设备类别，则请求管理员授权第一终端设备访问目标网络，ap可以向第二终端设备发送第一请求消息，第一请求消息用于请求授权第一终端设备访问目标网络。然后ap根据第二终端设备针对第一请求消息反馈的第一响应消息，对第一终端设备访问目标网络的权限进行控制。
54.其中，第二终端设备为具有管理通过所述ap访问目标网络的权限的设备，即管理员使用的终端设备。
55.一种可能的实现方式中，第一响应消息包括指示授权第一终端设备访问目标网络的信息、或指示拒绝第一终端设备访问目标网络的信息。根据第二终端设备针对第一请求消息反馈的第一响应消息，对第一终端设备访问目标网络的权限进行控制，具体可以通过以下方式b1和方式b2实现：
56.方式b1，第一响应消息包括指示授权第一终端设备访问目标网络的信息，则ap允许第一终端设备访问目标网络，也就是说，ap允许第一终端设备通过ap访问因特网、以及局域网内的任何设备。
57.方式b2，第一响应消息包括指示拒绝第一终端设备访问目标网络的信息，则ap拒绝第一终端设备访问目标网络，即ap不允许第一终端设备通过ap访问因特网、以及局域网内的任何设备。
58.在方式a2中，属于不可信设备类别的第一终端设备在通过wifi密码接入网络后，需要管理员授权，才能访问因特网、以及局域网内的设备。在不可信设备类别的第一终端设备被授权之后成为可信设备，属于可信设备类别，之后就可以自由访问因特网、以及局域网内的设备。例如，家庭成员新买一部手机1，手机1第一次连接ap，即被识别为不可信设备，通过方式a2可以实现对不可信设备(即手机1)一次授权就可以自由访问目标网络，不用每次访问都进行授权，可以简化用户操作，提升用户体验。又例如，隔壁住户有人使用手机2蹭网，该手机2通过wifi密码破解工具破解了密码，连接上了ap，即被ap识别为不可信设备，可以通过方式a2拒绝授权该手机2通过ap访问因特网、以及局域网内的任何设备。
59.下面以预设的设备类别包括可信设备类别和不可信设备类别为例，提供一个实现网络接入方法的具体示例。
60.如图3所示，该方法包括如下步骤：
61.步骤301，当检测到第一终端设备连接至接入点ap时，ap识别第一终端设备的特征信息。
62.步骤302，ap根据第一终端设备的特征信息，确定第一终端设备所属的设备类别。
63.其中，步骤301-302的具体实现方式可以参见上述步骤201-202中的相关内容，此处不再赘述。
64.步骤303，第一终端设备是否属于可信设备类别；若是，则执行步骤305；若否，则执行步骤304。
65.此处，若第一终端设备不属于可信设备类别，即第一终端设备属于不可信设备类别，则ap可以通过上述方式a2，请求第二终端设备授权第一终端设备访问目标网络，并根据第二终端设备反馈的响应消息来确定是否被授权，具体实现可参见上述方式a2，此处不再赘述。
66.步骤304，是否被授权访问目标网络；若是，则执行步骤305；若否，则执行步骤306。
67.步骤305，ap允许第一终端设备自由访问目标网络。
68.步骤306，ap禁止第一终端设备访问目标网络。
69.实施方式二，预设的设备类别包括完全可信设备类别、部分可信设备类别和不可信设备类别，上述步骤203具体可以通过以下方式c1或方式c2实现：
70.方式c1，第一终端设备属于完全可信设备类别，则ap允许第一终端设备访问目标网络，即ap允许第一终端设备通过ap访问因特网、以及局域网内的任何设备。
71.在方式c1中，属于完全可信设备类别的第一终端设备在通过wifi密码接入网络后，可直接访问因特网、以及局域网内的任何设备，无需管理员授权。
72.方式c2，第一终端设备属于部分可信设备类别，则ap允许第一终端设备访问因特网和局域网内具有公共属性的设备，并且禁止第一终端设备访问局域网内具有隐私属性的设备。即ap允许第一终端设备通过ap访问因特网、以及局域网内的局域网内具有公共属性的设备，不允许第一终端设备通过ap访问局域网内的局域网内具有隐私属性的设备。
73.其中，具有公共属性的设备例如为iot设备，可以包括但不限于家庭摄像头、智能冰箱、智能音箱、扫地机器人等设置。具有隐私属性的设备例如为存储有敏感信息(例如照片、重要文件等)的设备、涉及到财产安全的设备等，包括但不限于文件服务器、保险箱、笔记本电脑等。
74.一种可能的实现方式中，第一终端设备属于部分可信设备类别，ap检测到第一终端设备访问局域网内具有隐私属性的设备，ap向第二终端设备发送第二请求消息，第二请求消息用于请求授权第一终端设备访问局域网内具有隐私属性的设备，ap根据第二终端设备反馈的第二响应消息，对第一终端设备进行局域网的访问权限控制。其中，第二响应消息包括指示授权第一终端设备访问局域网内具有隐私属性的设备的信息、或指示拒绝第一终端设备访问局域网内具有隐私属性的设备的信息；
75.其中，ap根据第二终端设备反馈的第二响应消息，对第一终端设备进行局域网的访问权限控制，可以通过以下方式d1和方式d2实现：
76.方式d1，第一响应消息包括指示授权第一终端设备访问局域网内具有隐私属性的设备的信息，则ap允许第一终端设备访问局域网内具有隐私属性的设备的信息。
77.方式d2，第一响应消息包括指示拒绝第一终端设备访问局域网内具有隐私属性的设备的信息，则ap拒绝第一终端设备访问局域网内具有隐私属性的设备。
78.在方式c2中，属于部分可信设备类别的第一终端设备在通过wifi密码接入网络后，可直接访问因特网，并且在可信的网络行为上不需要授权，可信的网络行为即访问局域网内具有公共属性的设备。一旦出现不可信的网络行为，则需要管理员的授权，才能继续该网络行为，不可信的网络行为即访问局域网内的局域网内具有隐私属性的设备。在具体实施中，可以由用户选择授权为完全可信设备，或者，只授权访问被请求的具有隐私属性的设备，例如以隐私设备a为例，如果只授权该第一终端设备访问被请求的隐私设备a，那么该第一终端设备还是属于部分可信设备类别，并且只能访问请求的隐私设备a，如果第一终端设备想要访问其他的隐私设备，例如隐私设备b，那么需要再次发起请求，以便在得到授权后访问隐私设备b。
79.如果该属于部分可信设备类别的第一终端设备未获得授权，则仍旧只能访问因特网和局域网内具有公共属性的设备，不能访问局域网内的局域网内具有隐私属性的设备。
80.方式c3，第一终端设备属于不可信设备类别，则ap拒绝第一终端设备访问目标网络，即ap不允许第一终端设备通过ap访问因特网、以及局域网内的任何设备。
81.进一步，ap可以向第二终端设备发送第三请求消息，第三请求消息用于请求授权第一终端设备成为部分可信设备，如果第二终端设备针对该第三请求消息反馈的第三响应
消息包括授权第一终端设备成为部分可信设备，则该第一终端设备可以通过ap访问因特网、以及局域网内的局域网内具有公共属性的设备，不允许通过ap访问局域网内的局域网内具有隐私属性的设备。
82.如果第二终端设备针对该第三请求消息反馈的第三响应消息包括拒绝授权第一终端设备成为部分可信设备，则该第一终端设备可以不能通过ap访问因特网、以及局域网内的任何设备。
83.在方式c3中，属于不可信设备类别的第一终端设备在通过wifi密码接入网络后，需要管理员授权，才能通过ap访问因特网、以及局域网内的具有公共属性的设备。在不可信设备类别的第一终端设备被授权之后成为部分可信设备，属于部分可信设备类别，之后就可以访问因特网、以及局域网内的局域网内具有公共属性的设备，但不允许通过ap访问局域网内的局域网内具有隐私属性的设备。
84.当然，第二终端设备还可以选择为第一终端设备授权的具体权限，例如，授权属于不可信设备类别的终端设备成为部分可信设备，属于部分可信设备类别；又例如，授权属于不可信设备类别的终端设备成为完全可信设备，属于完全可信设备类别；又例如，授权属于部分可信设备类别的终端设备成为完全可信设备，属于完全可信设备类别。
85.基于以上任一实施例，第二终端设备还可以更新或解除已授权的终端设备的权限，例如，针对属于完全可信设备类别的终端设备，降低其权限，使该终端设备属于部分可信设备类别，将其权限更新为：允许访问因特网、以及局域网内的具有公共属性的设备；又例如，针对属于完全可信设备类别的终端设备，降低其权限，使该终端设备属于不可信设备类别，将其权限更新为：不允许访问因特网以及局域网内的任何设备；又例如，针对属于部分可信设备类别的终端设备，降低其权限，使该终端设备属于不可信设备类别，将其权限更新为：不允许访问因特网以及局域网内的任何设备。
86.下面以预设的设备类别包括完全可信设备类别、部分可信设备类别和不可信设备类别为例，提供一个实现网络接入方法的具体示例。
87.如图4所示，该方法包括如下步骤：
88.步骤401，当检测到第一终端设备连接至接入点ap时，ap识别第一终端设备的特征信息。
89.步骤402，ap根据第一终端设备的特征信息，确定第一终端设备所属的设备类别。
90.其中，步骤401-402的具体实现方式可以参见上述步骤201-202中的相关内容，此处不再赘述。
91.步骤403，第一终端设备是否属于完全可信设备类别；若是，则执行步骤409；若否，则执行步骤404。
92.此处，若第一终端设备属于完全可信设备类别，第一终端设备可以访问局域网内的所有设备，也可以访问因特网。若第一终端设备不属于完全可信设备类别，即第一终端设备可能有两种情况：属于部分可信设备类别或属于不可信设备类别，可继续通过步骤404进一步判断。
93.步骤404，第一终端设备是否属于部分可信设备类别；若是，则执行步骤407；若否，则执行步骤405。
94.此处，若第一终端设备属于部分可信设备类别，则第一终端设备可以访问因特网
和局域网内具有公共属性的设备，被禁止访问局域网内具有隐私属性的设备ap，这种情况下，如果第一终端设备访问局域网内具有隐私属性的设备ap，就属于越权访问网络的行为。继续执行步骤407，判断是否有越权访问网络的行为。
95.若第一终端设备不属于部分可信设备类别，也就是说，第一终端设备属于不可信设备类别。
96.步骤405，第一终端设备是否授权访问目标网络；若是，则执行步骤406；若否，则执行步骤413。
97.此处，第一终端设备属于不可信设备类别，可以通过请求授权第一终端设备访问目标网络，若第一终端设备被授权访问目标网络，进行下一步判断被授权为完全可信设备，还是部分可信设备，即进行步骤406。若第一终端设备未被授权访问目标网络，即不能访问因特网和局域网。
98.步骤406，第一终端设备是否授权为完全可信设备；若是，则执行步骤409；若否，则执行步骤407。
99.此处，若步骤405中的属于不可信设备类别的第一终端设备，被授权为完全可信设备，则执行步骤409，即ap可以允许第一终端设备访问外部网络和无线局域网内的任何设备。
100.若步骤405中的属于不可信设备类别的第一终端设备，未授权为完全可信设备，那么，就说明被授权为部分可信设备，第一终端设备可以访问因特网和局域网内具有公共属性的设备，被禁止访问局域网内具有隐私属性的设备ap，这种情况下，如果第一终端设备访问局域网内具有隐私属性的设备ap，就属于越权访问网络的行为。继续执行步骤407，判断是否有越权访问网络的行为。
101.步骤407，第一终端设备是否越权访问网络；若是，则执行步骤408；若否，则执行步骤409。
102.此处，属于部分可信设备类别第一终端设备，若越权访问网络，即访问具有隐私属性的设备，例如访问隐私设备c，可以请求授权访问隐私设备c，管理员可以选择授权第一终端设备访问具有隐私属性的设备(即可以访问局域网内所有的隐私设备)，也可以选择授权第一终端设备访问其请求访问的单个隐私设备，即隐私设备c，还可以选择不授权第一终端设备访问任何隐私设备。
103.步骤408，是否授权访问局域网内具有隐私属性的设备；若是，则执行步骤409；若否，则执行步骤410。
104.步骤409，ap允许第一终端设备自由访问目标网络。
105.步骤410，第一终端设备是否被授权访问单个隐私设备；若是，则执行步骤411；若否，则执行步骤412。
106.步骤411，ap允许第一终端设备访问单个隐私设备。
107.步骤412，ap允许第一终端设备访问因特网和局域网内具有公共属性的设备。
108.步骤413，ap禁止第一终端设备访问目标网络。
109.本技术实施例中，在终端设备接入ap后，可以自动识别出终端设备所属的类别，例如家里的iot等设备自动被识别为可信设备，无需要配置和授权，可使用网络；电脑、手机等，在第一次连接wifi后，只需要通过一次授权操作，管理员点一个授权按钮即可，手机就
可以访问网络；对于管理员没授权的设备，则无任何网络权限。该方案无需管理员用户过于复杂的预配置，可节省维护成本，降低使用门槛，还可以提高内网的网络安全。
110.可以理解的是，为了实现上述实施例中功能，通信设备和服务器包括了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本技术中所公开的实施例描述的各示例的单元及方法步骤，本技术能够以硬件或硬件和计算机软件相结合的形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用场景和设计约束条件。
111.图5和图6为本技术的提供的可能的ap的结构示意图。这些ap可以用于实现上述方法实施例中ap执行的方法，因此也能实现上述方法实施例所具备的有益效果。在本技术中，该ap可以是如图1a所示的ap101，还可以是应用于ap或ap的模块(模块如芯片)。
112.如图5所示，该ap500包括识别模块501、确定模块502和控制模块503。ap500用于实现上述图2、图3或图4中所示的方法实施例中ap的功能。
113.当ap500用于实现图2所示的方法实施例的ap的功能时：识别模块501，用于当检测到第一终端设备连接至接入点ap时，识别所述第一终端设备的特征信息；确定模块502，用于根据所述第一终端设备的特征信息，确定所述第一终端设备所属的设备类别；控制模块503，用于根据所述第一终端设备所属的设备类别，基于预设的访问策略对所述第一终端设备访问目标网络的权限进行控制，所述目标网络包括局域网和因特网。
114.在一种可选的实施方式中，确定模块502，具体用于根据所述第一终端设备的特征信息和第一对应关系，确定所述第一终端设备所属的设备类别；所述第一对应关系包括预设的特征信息与预设的设备类别之间的对应关系。
115.在一种可选的实施方式中，ap500还包括收发模块504，预设的设备类别包括可信设备类别和不可信设备类别；控制模块503，具体用于所述第一终端设备属于可信设备类别，则允许所述第一终端设备访问所述目标网络；或者，所述第一终端设备属于不可信设备类别，收发模块504，用于向第二终端设备发送第一请求消息，并接收第一响应消息，控制模块503，具体用于根据所述第二终端设备针对所述第一请求消息反馈的第一响应消息，对所述第一终端设备访问目标网络的权限进行控制；其中，所述第一请求消息用于请求授权所述第一终端设备访问所述目标网络，所述第二终端设备为具有管理通过ap访问目标网络的权限的设备。
116.在一种可选的实施方式中，所述第一响应消息包括指示授权所述第一终端设备访问所述目标网络的信息、或指示拒绝所述第一终端设备访问所述目标网络的信息；控制模块503，具体用于所述第一响应消息包括指示授权所述第一终端设备访问所述目标网络的信息，则允许所述第一终端设备访问所述目标网络；或者，所述第一响应消息包括指示拒绝所述第一终端设备访问所述目标网络的信息，则拒绝所述第一终端设备访问所述目标网络。
117.在一种可选的实施方式中，所述预设的设备类别包括完全可信设备类别、部分可信设备类别和不可信设备类别；
118.控制模块503，具体用于所述第一终端设备属于完全可信设备类别，则允许所述第一终端设备访问目标网络；或者，所述第一终端设备属于部分可信设备类别，则允许所述第一终端设备访问因特网和所述局域网内具有公共属性的设备，并且禁止所述第一终端设备
访问所述局域网内具有隐私属性的设备；或者，所述第一终端设备属于不可信设备类别，则拒绝所述第一终端设备访问所述目标网络。
119.在一种可选的实施方式中，所述第一终端设备属于部分可信设备类别，识别模块501，还用于检测到所述第一终端设备访问所述局域网内具有隐私属性的设备；收发模块504，还用于向第二终端设备发送第二请求消息，所述第二请求消息用于请求授权所述第一终端设备访问所述局域网内具有隐私属性的设备；所述第二终端设备为具有管理通过所述ap访问目标网络的权限的设备；控制模块503，还用于根据所述第二终端设备反馈的第二响应消息，对所述第一终端设备进行所述局域网的访问权限控制。
120.在一种可选的实施方式中，所述第二响应消息包括指示授权所述第一终端设备访问所述局域网内具有隐私属性的设备的信息、或指示拒绝所述第一终端设备访问所述局域网内具有隐私属性的设备的信息；控制模块503，具体用于所述第一响应消息包括指示授权所述第一终端设备访问所述局域网内具有隐私属性的设备的信息，则允许所述第一终端设备访问所述局域网内具有隐私属性的设备的信息；或者，所述第一响应消息包括指示拒绝所述第一终端设备访问所述局域网内具有隐私属性的设备的信息，则拒绝所述第一终端设备访问所述局域网内具有隐私属性的设备。
121.有关上述识别模块501、确定模块502、控制模块503和收发模块504更详细的描述可以参考图2所示的方法实施例中相关描述直接得到，此处不再一一赘述。
122.应理解，本技术实施例中的识别模块501、确定模块502和控制模块503可以由处理器或处理器相关电路组件实现，收发模块504可以由收发器或收发器相关电路组件实现。
123.基于上述内容和相同构思，如图6所示，本技术还提供一种ap600。该ap600可包括处理器601和收发器602。处理器601和收发器602之间相互耦合。可以理解的是，收发器602可以为接口电路或输入输出接口。可选地，通信设备600还可包括存储器603，用于存储处理器601执行的指令或存储处理器601运行指令所需要的输入数据或存储处理器601运行指令后产生的数据。
124.当通信设备600用于实现图2所示的方法时，处理器601用于执行上述识别模块501、确定模块502、控制模块503的功能，收发器602用于执行上述收发模块504的功能，此处不再一一赘述。
125.下面介绍本技术实施例提供的终端设备的硬件结构。
126.请参考图7，为本技术实施例提供的终端设备200的一种示例的结构示例图。终端设备200可以包括处理器210，外部存储器接口220，内部存储器221，通用串行总线(universal serial bus，usb)接口230，充电管理模块240，电源管理模块241，电池242，天线，无线通信模块250，音频模块260，扬声器260a，音箱接口260b，传感器模块270，按键280，指示器281，显示屏282等。其中传感器模块270可以包括压力传感器270a，陀螺仪传感器270b，磁传感器270c，距离传感器270d，接近光传感器270e，触摸传感器270f，环境光传感器270g等。
127.可以理解的是，本发明实施例示意的结构并不构成对终端设备200的具体限定。在本发明另一些实施例中，终端设备200可以包括比图示更多或更少的部件，或者组合某些部件，或者拆分某些部件，或者不同的部件布置。图示的部件可以以硬件，软件或软件和硬件的组合实现。
128.处理器210可以包括一个或多个处理单元，例如：处理器210可以包括应用处理器(application processor，ap)，调制解调处理器，图形处理器(graphics processing unit，gpu)，图像信号处理器(image signal processor，isp)，控制器，视频编解码器，数字信号处理器(digital signal processor，dsp)，基带处理器，和/或神经网络处理器(neural-network processing unit，npu)等。其中，不同的处理单元可以是独立的器件，也可以集成在一个或多个处理器中。
129.其中，控制器可以是终端设备200的神经中枢和指挥中心。控制器可以根据指令操作码和时序信号，产生操作控制信号，完成取指令和执行指令的控制。
130.处理器210中还可以设置存储器，用于存储指令和数据。在一些实施例中，处理器210中的存储器为高速缓冲存储器。该存储器可以保存处理器210刚用过或循环使用的指令或数据。如果处理器210需要再次使用该指令或数据，可从所述存储器中直接调用。避免了重复存取，减少了处理器210的等待时间，因而提高了系统的效率。
131.在一些实施例中，处理器210可以包括一个或多个接口。接口可以包括集成电路(inter-integrated circuit，i2c)接口，集成电路内置音频(inter-integrated circuit sound，i2s)接口，脉冲编码调制(pulse code modulation，pcm)接口，通用异步收发传输器(universal asynchronous receiver/transmitter，uart)接口，移动产业处理器接口(mobile industry processor interface，mipi)，通用输入输出(general-purpose input/output，gpio)接口，用户标识模块(subscriber identity module，sim)接口，和/或通用串行总线(universal serial bus，usb)接口等。
132.处理器210可以控制执行应用程序代码，以实现本实施例中终端设备200的功能。
133.usb接口230是符合usb标准规范的接口，具体可以是mini usb接口，micro usb接口，usb type c接口等。usb接口230可以用于连接充电器为终端设备200充电，也可以用于终端设备200与外围设备之间传输数据。也可以用于连接音箱，通过音箱播放音频。该接口还可以用于连接其它终端设备，例如ar设备等。
134.可以理解的是，本发明实施例示意的各模块间的接口连接关系，只是示意性说明，并不构成对终端设备200的结构限定。在本发明另一些实施例中，终端设备200也可以采用上述实施例中不同的接口连接方式，或多种接口连接方式的组合。
135.充电管理模块240用于从充电器接收充电输入。其中，充电器可以是无线充电器，也可以是有线充电器。在一些有线充电的实施例中，充电管理模块240可以通过usb接口230接收有线充电器的充电输入。在一些无线充电的实施例中，充电管理模块240可以通过终端设备200的无线充电线圈接收无线充电输入。充电管理模块240为电池242充电的同时，还可以通过电源管理模块241为终端设备200供电。
136.电源管理模块241用于连接电池242，充电管理模块240与处理器210。电源管理模块241接收电池242和/或充电管理模块240的输入，为处理器210，内部存储器221，外部存储器，显示屏282和无线通信模块250等供电。电源管理模块241还可以用于监测电池容量，电池循环次数，电池健康状态(漏电，阻抗)等参数。在其它一些实施例中，电源管理模块241也可以设置于处理器210中。在另一些实施例中，电源管理模块241和充电管理模块240也可以设置于同一个器件中。
137.终端设备200的无线通信功能可以通过天线，无线通信模块250，调制解调处理器
以及基带处理器等实现。
138.天线用于发射和接收电磁波信号。终端设备200中的每个天线可用于覆盖单个或多个通信频带。不同的天线还可以复用，以提高天线的利用率。例如：可以将多个天线中的其中一个天线复用为无线局域网的分集天线。在另外一些实施例中，天线可以和调谐开关结合使用。
139.调制解调处理器可以包括调制器和解调器。其中，调制器用于将待发送的低频基带信号调制成中高频信号。解调器用于将接收的电磁波信号解调为低频基带信号。随后解调器将解调得到的低频基带信号传送至基带处理器处理。低频基带信号经基带处理器处理后，被传递给应用处理器。应用处理器通过音频模块260(不限于扬声器260a，音箱接口260b等)输出声音信号，或通过显示屏282显示图像或视频。在一些实施例中，调制解调处理器可以是独立的器件。在另一些实施例中，调制解调处理器可以独立于处理器210，与无线通信模块250或其它功能模块设置在同一个器件中。
140.无线通信模块250可以提供应用在终端设备200上的包括蓝牙(bluetooth，bt)，无线局域网(wireless local area networks，wlan)(如无线保真(wireless fidelity，wi-fi)网络)，全球导航卫星系统(global navigation satellite system，gnss)，调频(frequency modulation，fm)，近距离无线通信技术(near field communication，nfc)，红外技术(infrared，ir)等无线通信的解决方案。无线通信模块250可以是集成至少一个通信处理模块的一个或多个器件。无线通信模块250经由天线接收电磁波，将电磁波信号调频以及滤波处理，将处理后的信号发送到处理器210。无线通信模块250还可以从处理器210接收待发送的信号，对其进行调频，放大，经天线转为电磁波辐射出去。
141.终端设备200通过gpu，显示屏282，以及应用处理器等实现显示功能。gpu为图像处理的微处理器，连接显示屏282和应用处理器。gpu用于执行数学和几何计算，用于图形渲染。处理器210可包括一个或多个gpu，其执行程序指令以生成或改变显示信息。
142.显示屏282用于显示图像，视频等。例如，终端设备200收到蓝牙设备100的蓝牙广播后，显示屏282显示该蓝牙设备100的配对信息，并提示用户是否需要与该蓝牙设备100进行蓝牙连接。若终端设备200接收到用户用于指示建立与该蓝牙设备100的蓝牙连接的操作后，响应于该操作，在显示屏282上显示与蓝牙设备100建立蓝牙连接的界面。
143.显示屏282包括显示面板。显示面板可以采用液晶显示屏(liquid crystal display，lcd)，有机发光二极管(organic light-emitting diode，oled)，有源矩阵有机发光二极体或主动矩阵有机发光二极体(active-matrix organic light emitting diode的，amoled)，柔性发光二极管(flex light-emitting diode，fled)，miniled，microled，micro-oled，量子点发光二极管(quantum dot light emitting diodes，qled)等。在一些实施例中，终端设备200可以包括一个或多个显示屏282，例如，可以包括2个或4个或者n个显示屏282，n为大于4的正整数。
144.外部存储器接口220可以用于连接外部存储卡，例如micro sd卡，实现扩展终端设备200的存储能力。外部存储卡通过外部存储器接口220与处理器210通信，实现数据存储功能。例如将音乐，视频等文件保存在外部存储卡中。
145.内部存储器221可以用于存储计算机可执行程序代码，所述可执行程序代码包括指令。处理器210通过运行存储在内部存储器221的指令，从而执行终端设备200的各种功能
应用以及数据处理。内部存储器221可以包括存储程序区和存储数据区。其中，存储程序区可存储操作系统，至少一个功能所需的应用程序(比如声音播放功能，图像播放功能等)等。存储数据区可存储终端设备200使用过程中所创建的数据(比如音频数据，电话本等)等。此外，内部存储器221可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件，闪存器件，通用闪存存储器(universal flash storage，ufs)等。
146.终端设备200可以通过音频模块260，扬声器260a，音箱接口260b，以及应用处理器等实现音频功能。
147.音频模块260用于将数字音频信息转换成模拟音频信号输出，也用于将模拟音频输入转换为数字音频信号。音频模块260还可以用于对音频信号编码和解码。在一些实施例中，音频模块260可以设置于处理器210中，或将音频模块260的部分功能模块设置于处理器210中。
148.扬声器260a，也称“喇叭”，用于将音频电信号转换为声音信号。终端设备200可以通过扬声器260a收听音乐或音频。例如，当终端设备200与蓝牙设备100建立蓝牙连接后，扬声器260a可以播放语音提示。
149.按键280包括开机键，音量键等。按键280可以是机械按键。也可以是触摸式按键。终端设备200可以接收按键输入，产生与终端设备200的用户设置以及功能控制有关的键信号输入。
150.指示器281可以是指示灯，可以用于指示充电状态，电量变化，也可以用于指示消息，与蓝牙设备100的连接状态，通知等。
151.在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。计算机程序产品包括一个或多个计算机程序或指令。在计算机上加载和执行计算机程序或指令时，全部或部分地执行本技术实施例的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、网络设备、用户设备或者其它可编程装置。计算机程序或指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，计算机程序或指令可以从一个网站站点、计算机、服务器或数据中心通过有线或无线方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存取的任何可用介质或者是集成一个或多个可用介质的服务器、数据中心等数据存储设备。可用介质可以是磁性介质，例如，软盘、硬盘、磁带；也可以是光介质，例如，数字视频光盘(digital video disc，dvd)；还可以是半导体介质，例如，固态硬盘(solid state drive，ssd)。
152.在本技术的各个实施例中，如果没有特殊说明以及逻辑冲突，不同的实施例之间的术语和/或描述具有一致性、且可以相互引用，不同的实施例中的技术特征根据其内在的逻辑关系可以组合形成新的实施例。
153.本技术中，“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b的情况，其中a，b可以是单数或者复数。在本技术的文字描述中，字符“/”，一般表示前后关联对象是一种“或”的关系。
154.可以理解的是，在本技术的实施例中涉及的各种数字编号仅为描述方便进行的区分，并不用来限制本技术的实施例的范围。上述各过程的序号的大小并不意味着执行顺序
的先后，各过程的执行顺序应以其功能和内在逻辑确定。术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元。方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
155.显然，本领域的技术人员可以对本技术进行各种改动和变型而不脱离本技术的保护范围。这样，倘若本技术的这些修改和变型属于本技术权利要求及其等同技术的范围之内，则本技术也意图包含这些改动和变型在内。