本發明提供一種無線設備的準入和訪問策略控制方法、裝置及系統，該方法包括：在本周期內，通過內核中設置的鉤子函數，截獲由目標終端發送至內核的目標數據報文；基于目標數據報文，獲取認證許可信息；在認證許可信息與本地的認證數據庫匹配，且匹配結果為第一信息的情況下，基于目標數據報文和訪問控制列表，獲取ACL檢查結果，并根據ACL檢查結果處理目標數據報文，以實現在目標終端準入后進行訪問策略控制；其中，訪問控制列表的鏈表順序是基于網絡環境情況設定。本發明提供的無線設備的準入和訪問策略控制方法、裝置及系統，能夠對無線設備的接入認證以及策略控制，進行集中管控，提高接入控制的處理效率，并提高網絡的安全性和可管理性。

技術領域

本發明涉及無線網絡技術領域，尤其涉及一種無線設備的準入和訪問策略控制方法、裝置及系統。

背景技術

目前，無線網絡通信技術(Wi-Fi)是最為普遍應用的無線接入熱點技術。絕大部分的無線接入點(Access Point，AP)均采用Linux操作系統。相比于有線網絡，無線網絡的開放性特征使得其更加容易受到網絡入侵和攻擊。

傳統的Wi-Fi技術包括WEP、WPA、WPA2以及最新的尚未得到規模使用的WPA3。WPA2于2006年正式取代WPA，為目前主流使用的無線安全技術。但在2017年，研究員MathyVanhoef公布了對WPA2的秘鑰重放重裝攻擊KRACK，攻破了WPA2協議。WPA3為了修復WPA2的漏洞而推出，但考慮到上述安全標準的開放性，很難保證其在未來不被發現存在新的漏洞。

現有無線網絡安全技術重點在于解決無線層面的認證和加密，當無線網絡的規模比較大，網絡維護人員很難通過集中管控的方式對各分散的AP設備進行設置和管理。并且在策略控制層面，大部分AP采用基于iptable的方法實現。操作這些iptable需要有很強的專業技術背景，無疑又進一步地降低接入控制的效率。

發明內容

本發明提供一種無線設備的準入和訪問策略控制方法、裝置及系統，用以解決現有技術中無法對AP設備進行集中管控的缺陷，實現在內核的網絡底層放置鉤子函數，對無線設備中收發的網絡報文的高效處理和集中管控。

本發明提供一種無線設備的準入和訪問策略控制方法，包括：

在本周期內，通過內核中設置的鉤子函數，截獲由目標終端發送至所述內核的目標數據報文；

基于所述目標數據報文，獲取認證許可信息；

在所述認證許可信息與本地的認證數據庫匹配，且匹配結果為第一信息的情況下，基于所述目標數據報文和訪問控制列表，獲取ACL檢查結果，并根據所述ACL檢查結果處理所述目標數據報文，以實現在所述目標終端準入后進行訪問策略控制；

其中，所述訪問控制列表的鏈表順序是基于網絡環境情況設定。

根據本發明提供的一種無線設備的準入和訪問策略控制方法，在所述基于所述目標數據報文，獲取認證許可信息之后，還包括：

在所述認證許可信息與本地的認證數據庫不匹配的情況下，向用戶態進程發送通知消息，以使得所述用戶態進程基于所述通知消息，采用認證算法進行認證，并更新所述認證數據庫；

以及，

在所述認證許可信息與本地的認證數據庫匹配，且所述匹配結果為第二信息的情況下，丟棄所述目標數據報文，拒絕所述目標終端的接入。

根據本發明提供的一種無線設備的準入和訪問策略控制方法，所述基于所述目標數據報文，獲取認證許可信息，包括：

基于所述目標數據報文，獲取目標信息；

在所述目標信息通過目標檢測的情況下，通過哈希算法，獲取與所述目標信息對應的認證許可信息；