[发明专利]无线设备的准入和访问策略控制方法、装置及系统

说明书

本发明提供一种无线设备的准入和访问策略控制方法、装置及系统，该方法包括：在本周期内，通过内核中设置的钩子函数，截获由目标终端发送至内核的目标数据报文；基于目标数据报文，获取认证许可信息；在认证许可信息与本地的认证数据库匹配，且匹配结果为第一信息的情况下，基于目标数据报文和访问控制列表，获取ACL检查结果，并根据ACL检查结果处理目标数据报文，以实现在目标终端准入后进行访问策略控制；其中，访问控制列表的链表顺序是基于网络环境情况设定。本发明提供的无线设备的准入和访问策略控制方法、装置及系统，能够对无线设备的接入认证以及策略控制，进行集中管控，提高接入控制的处理效率，并提高网络的安全性和可管理性。

技术领域

本发明涉及无线网络技术领域，尤其涉及一种无线设备的准入和访问策略控制方法、装置及系统。

背景技术

目前，无线网络通信技术(Wi-Fi)是最为普遍应用的无线接入热点技术。绝大部分的无线接入点(Access Point，AP)均采用Linux操作系统。相比于有线网络，无线网络的开放性特征使得其更加容易受到网络入侵和攻击。

传统的Wi-Fi技术包括WEP、WPA、WPA2以及最新的尚未得到规模使用的WPA3。WPA2于2006年正式取代WPA，为目前主流使用的无线安全技术。但在2017年，研究员MathyVanhoef公布了对WPA2的秘钥重放重装攻击KRACK，攻破了WPA2协议。WPA3为了修复WPA2的漏洞而推出，但考虑到上述安全标准的开放性，很难保证其在未来不被发现存在新的漏洞。

现有无线网络安全技术重点在于解决无线层面的认证和加密，当无线网络的规模比较大，网络维护人员很难通过集中管控的方式对各分散的AP设备进行设置和管理。并且在策略控制层面，大部分AP采用基于iptable的方法实现。操作这些iptable需要有很强的专业技术背景，无疑又进一步地降低接入控制的效率。

发明内容

本发明提供一种无线设备的准入和访问策略控制方法、装置及系统，用以解决现有技术中无法对AP设备进行集中管控的缺陷，实现在内核的网络底层放置钩子函数，对无线设备中收发的网络报文的高效处理和集中管控。

本发明提供一种无线设备的准入和访问策略控制方法，包括：

在本周期内，通过内核中设置的钩子函数，截获由目标终端发送至所述内核的目标数据报文；

基于所述目标数据报文，获取认证许可信息；

在所述认证许可信息与本地的认证数据库匹配，且匹配结果为第一信息的情况下，基于所述目标数据报文和访问控制列表，获取ACL检查结果，并根据所述ACL检查结果处理所述目标数据报文，以实现在所述目标终端准入后进行访问策略控制；

其中，所述访问控制列表的链表顺序是基于网络环境情况设定。

根据本发明提供的一种无线设备的准入和访问策略控制方法，在所述基于所述目标数据报文，获取认证许可信息之后，还包括：

在所述认证许可信息与本地的认证数据库不匹配的情况下，向用户态进程发送通知消息，以使得所述用户态进程基于所述通知消息，采用认证算法进行认证，并更新所述认证数据库；

以及，

在所述认证许可信息与本地的认证数据库匹配，且所述匹配结果为第二信息的情况下，丢弃所述目标数据报文，拒绝所述目标终端的接入。

根据本发明提供的一种无线设备的准入和访问策略控制方法，所述基于所述目标数据报文，获取认证许可信息，包括：

基于所述目标数据报文，获取目标信息；

在所述目标信息通过目标检测的情况下，通过哈希算法，获取与所述目标信息对应的认证许可信息；