[发明专利]一种无线移动终端阻断系统及方法

说明书

技术领域

本发明涉及无线网络技术领域，特别涉及一种无线移动终端阻断系统以及无线移动终端阻断方法。

背景技术

Wi-Fi是一种可以将个人电脑、手持设备（如PDA、手机）等终端以无线方式互相连接的技术。无线上网可免去布线的麻烦，而且无线Wi-Fi技术已较为成熟，越来越多的企业和个人使用无线Wi-Fi上网。无线上网带来便利的同时也伴随着安全隐患，一旦无线上网的接入点（Access Point，缩写AP）的入网密码被破解，一些非法的无线移动终端（即非本网络无线接入点合法用户）就可以登录到被破解密码的无线接入点进行蹭网，占用其它设备的上网带宽，甚至盗取通过同一无线接入点上网的其它设备中的敏感信息。

非法的无线移动终端是指不允许接入本无线网络的无线移动终端。为了防止非法的无线移动终端通过无线接入点使用Wi-Fi上网，目前通常采用的方法有白噪声全频段干扰、指定信道射频干扰和NAV信道抢占攻击。白噪声全频段干扰是在无线网络工作频段，采用噪声调频技术干扰整个无线网络工作频段，来达到干扰无线移动终端的正常通信，起到阻断的作用。白噪声全频段干扰能够有效的阻断非法的无线移动终端，但同时也阻断了合法的无线移动终端的正常通信。指定信道射频干扰，其工作原理与白噪声全频段干扰的工作原理类似，只是干扰的范围仅限于指定信道，这样可以保证其它信道的无线通信能够正常工作，但是被干扰的指定信道上连接的合法无线移动终端也会被阻断，以至于无法进行正常通信。无线协议中要求无线移动终端在探测到RTS/CTS数据包之后，利用其中的Duration域设置自己的NAV时间，然后开始倒计时，直到NAV内时间耗尽，在NAV内时间还未结束之前，无线移动终端认为信道处于忙碌状态，既不会向网络中其他无线移动终端发进数据包，也不会尝试去监听信道。NAV信道抢占攻击利用这个理论，伪造Duration域的数值，使其大于正常数据包需要占用信道的时间，以此影响网络的质量和性能，从而达到干扰指定信道下无线移动终端通信的效果。同样的，NAV信道抢占攻击能够阻断指定信道上的非法无线移动终端，但同时也阻断了该信道上的合法无线移动终端。综上所述，上述方法均能有效的阻断和干扰非法无线移动终端的通信，但同时也都存在以下缺陷：

（1）不能自动分析出需要阻断的无线移动终端。

（2）当非法无线移动终端和合法无线移动终端工作在相同信道时，无法保证合法无线移动终端与无线接入点之间的正常通信。

发明内容

本发明的目的在于克服现有技术中所存在的不能自动分析出需要阻断的无线移动终端的不足，提供一种无线移动终端阻断系统，也提供一种阻断无线移动终端的方法。

为了实现上述发明目的，本发明提供了以下技术方案：

一种无线移动终端阻断系统，所述无线移动终端为无线移动终端，包括：

无线移动终端数据包采集模块，用于采集无线网络中传输的无线移动终端数据包；

无线移动终端分析模块，用于分析采集的无线移动终端数据包中包含的无线移动终端信息，并建立无线网络拓扑结构；

白名单判断模块，用于通过对比无线网络拓扑结构与白名单，判断无线移动终端是否需要被阻断；

无线移动终端阻断模块，用于根据判断结果，针对需要被阻断的无线移动终端生成阻断无线移动终端的Deauthentication数据包。

所述白名单存储于白名单判断模块中，白名单中记录有本无线网络中允许的合法的无线移动终端，以及允许无线移动终端接入的无线基本服务集。白名单判断模块将无线网络拓扑结构中的无线移动终端信息与白名单中记录的信息进行对比，即可判断出无线移动终端是否需要被阻断，即通过对比白名单，能够自动分析出需要被阻断的无线移动终端。

所述白名单判断模块将无线移动终端信息与白名单中记录的信息进行对比，判断无线移动终端是否需要被阻断的方法是：先判断无线移动终端是否在白名单中，如果在白名单中则直接返回不阻断表示值，如果不在白名单中则继续判断该无线移动终端所属无线基本服务集是否在白名单中，如果在白名单中则返回不阻断表示值，否则返回阻断表示值。

所述无线移动终端数据包采集模块采用零拷贝技术直接从无线网卡驱动中获取无线移动终端数据包。这样避免数据通过上层其它系统层的过程，使得抓取无线数据包更加及时，有效的提高了无线移动终端数据包抓取的效率，尽量的避免了无线移动终端数据包丢包而不能被获取的情况。

所述无线移动终端分析模块以无线数据包中的MAC地址作为分区条件，将所有无线数据包构建成无线网络拓扑结构。