一种接入控制方法及终端与流程

本发明涉及无线访问控制领域，更具体地说，涉及一种接入控制方法及终端。

背景技术：

无限保真，即Wireless-Fidelity，简称WI-FI，是一种为了改善基于IEEE802.11的无线网路产品之间互通性的网路传输标准。它通过将有线信号转化成高频无线电信号，可以用无线方式使个人电脑、手持设备如IPAD和MOBILE PHONE等终端相互连接。虽然它具有传输速度快、发射信号功率低以及不受布线条件限制等优点，符合社会信息化需要，但是它同时也有传输质量差、数据安全性能低的缺点。

客观地讲，由于当前标准疏忽了对无限管理帧的保护，公共场所无线链路安全性能很低。这种情况下，提供共享资源的无线路由器的访问控制系统很容易遭到伪造的地址解析协议，即Address Resolution Protocol，简称ARP的欺骗。ARP欺骗首先修改媒体访问控制地址，即Media Access Control，简称MAC地址，然后破解有线等效密码协议的密钥，即Wired Equivalent Privacy，简称WEP，通过这种方法，未授权的非法用户可使用ARP欺骗技术绕过MAC地址过滤的访问控制系统，非法获得无线子网络独立身份验证，成功进入访问控制系统的白名单，达到蹭网的目的。

由于公共场所网络所定义的服务对象是处于动态之中的目标群体，访问控制的设置不得不维持一定的开放度，而这种开放规则却无形中创造了非法用户蹭网的“漏洞”。管理员可通过无线路由器的访问控制系统增添MAC地址过滤规则的条目，调整相应的黑名单以手动屏蔽或清除潜在的非法用户。这种访问控制的方法依赖于当前的无线网络控制系统，管理员首先需要自行分辨非法用户，然后手动设置相应的过滤规则。调整过滤规则需要管理员登录无线路由器，每调整一次就需要重新登录进行相应设置，每次设置至少需要管理员手动操作五个步骤，十分耗时费力，因此，过滤规则设置的过程缺少一种相对简单甚至一劳永逸的方法。根据上面提到过的原因，可以判断，通 过手动设置访问控制系统来监察并修补这种“动态漏洞”的方法不是一种高效的访问控制方法。在现实生活中，要求管理员花费相当的时间进行“漏网”维护更加不切实际。

技术实现要素：

为提高实时监控同时修补MAC地址过滤规则漏洞的可操作性，本发明提供了一种动态过滤媒体访问控制地址(MAC地址)的系统和方法。本发明基于现有无线访问控制中手动调控MAC地址过滤规则的方法，针对需要管理员投入相当长的时间、熟悉比较复杂的操作步骤才能对区分非法和合法MAC地址条目的黑白名单进行调控的缺陷，一次性预设接入时间和接入次数的限值，通过名单管理单元和权限单元记录所有MAC地址接入网络的数据，动态判断并自动调整MAC地址的权限位置。这将有利于管理员根据场景个性化地设置服务对象的范围，免除非法用户通过适应静态的MAC地址过滤规则实现蹭网的困扰。同时，无需管理员花费时间精力反复更新无线路由的访问控制系统。

为实现以上创新，本技术发明提供了一种接入控制的方法，其特征在于，所述方法包括：当接收到终端发送的接入请求时，获取接收所述接入请求的第一时间；将所述第一时间与预设的时间范围进行匹配，根据所述匹配结果控制所述终端的接入。

根据权利要求1所述的方法，其特征在于，当接收到终端发送的接入请求时，对所述接入请求进行解析，获取所述终端的媒体访问控制MAC地址。

根据权利要求2所述的方法，其特征在于，将所述第一时间与预设的时间范围进行匹配，根据所述匹配结果控制所述终端的接入包括：当所述第一时间位于所述预设时间范围内时，判断所述MAC地址是否位于预先设置的白名单列表中；当所述预先设置的白名单列表中包括所述MAC地址时，自动认可所述MAC地址所属终端的接入权限；当所述预先设置的白名单列表中不包括所述MAC地址时，将所述MAC地址列入黑名单列表中，拒绝所述MAC地址所属终端的接入。

根据权利要求3所述的方法，其特征在于，将所述第一时间与预设的时间范围进行匹配，根据所述匹配结果控制所述终端的接入还包括：当所述第一时间位于所述预设时间范围外时，判断所述MAC地址是否位于预先设置的白名单列表中；当所述预先设置的白名单列表中包括所述MAC地址时，自动 认可所述MAC地址所属终端的接入权限；当所述预先设置的白名单列表中不包括所述MAC地址时，根据所述MAC地址的接入时间和黑名单列表对所述终端进行接入控制。

根据权利要求4所述的方法，其特征在于，根据所述MAC地址的接入时间和黑名单列表对所述终端进行接入控制包括：判断所述MAC地址是否位于所述黑名单列表中；当所述MAC地址位于所述黑名单列表中，拒绝所述MAC地址所属终端的接入；当所述MAC地址不包括在所述黑名单列表中，将所述MAC地址列入准白名单中列表中，允许所述MAC地址所属的终端接入，并对所述MAC地址的接入时间进行统计。

根据权利要求5所述的方法，其特征在于，根据所述MAC地址的接入时间和黑名单列表对所述终端进行接入控制还包括：当所述准白名单中的MAC地址的接入时间达到预设的时间阈值时，将所述MAC地址列入黑名单，禁止所述MAC地址所属终端的接入。

一种接入控制的终端，其特征在于，包括，名单管理单元、权限管理单元和短信告警单元。

根据权利要求1，所述名单管理单元，其特征在于，包括白名单匹配单元和准白名单推送单元。

根据权利要求2，所述白名单匹配单元，其特征在于，用于判断固定时间区域外接入MAC地址是否具有静态白名单权限、自动标识非法用户和屏蔽接入请求。MAC地址的标识符和接入时间等数据，并发送给权限管理单元。

根据权利要求1，所述权限管理单元，其特征在于，包括权限标识单元和权限变更单元。

根据权利要求5，所述权限标识单元，其特征在于，用于接收MAC地址信息、判断和标识MAC地址的权限。

根据权利要求5，所述权限变更单元，其特征在于，用于接收、修改、发送、清除MAC地址信息和变更MAC地址的权限。

根据权利要求1，所述短信告警单元，其特征在于，包括越权告警单元和激活通知单元。

根据权利要求8，所述越权告警单元，其特征在于，用于接收、提取越权MAC地址信息、编辑短信通知管理员和将越权冻结的MAC地址发送至黑名 单。

根据权利要求8，所述激活通知单元，其特征在于，用于接收管理员激活MAC地址的短信指令，删除越权记录、激活MAC地址的接入权限。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是根据本发明实施例中的整体构架图

图2是根据本发明实施例中的名单管理单元运行方式的流程图

图3是根据本发明实施例中的权限管理单元运行方式的流程图

图4是根据本发明实施例中的短信告警单元运行方式的流程图

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，以下结合附图对本发明作进一步地详细说明。下面结合附图对本发明技术进行说明。

图1为本发明技术在无线访问控制系统中的整体架构示意图。

如图2所示，本发明在处理固定名单权限判断、统计和发送MAC地址信息数据流程的方法如下：

步骤201，无线路由装置接收到终端MAC地址所发出的接入请求；

步骤202，如果在管理员已设置的固定时间区域外，无线路由装置接收到接入请求，白名单匹配单元将接入MAC地址与管理员已设置的静态白名单中的MAC地址进行匹配，当接入MAC地址与静态白名单中的MAC地址相匹配，白名单匹配单元将自动认可MAC地址的接入权限并始终忽略其使用记录；当接入MAC地址在静态白名单中无匹配项，则标识为黑名单中的非法MAC地址，屏蔽其接入请求；

步骤203，如果在管理员已设置的固定时间区域内，无线路由装置接收到接入请求，白名单匹配单元参照静态白名单过滤出没有权限的MAC地址，准白名单推送单元记录、统计上述MAC地址的接入信息，生成准白名单并发送给权限管理单元。准白名单中MAC地址信息的存储格式可以表示为：标示符/接入时间/断开时间/接入次数/累计入网时长。

以上三个步骤，根据管理员的静态白名单和固定时间设置，自动匹配、 判断发出接入请求的MAC地址是否可能为固定的合法用户，同时甄别出不具有任何权限的非法用户，以便对其采取屏蔽措施。其中第三个步骤，作用是生成相对动态的准白名单，方便为潜在的合法用户提供临时接入权限。

如图3所示，本发明在处理权限标识和权限修改流程的方法如下：

步骤301，根据管理员已设置的允许接入最大次数和最大时长数值，权限标识单元判断准白名单中是否有超出预设限制的MAC地址信息记录，接入次数和最大时长两项数据都在预设限制内的MAC地址为合法用户，有一项或两项超出了预设限制的MAC地址为非法用户。权限标识单元对其中合法的和非法的MAC地址分别标注permit.和deny.的标识，可以将标识增加在原有准白名单MAC地址统计信息数据的最后一项。标识后的MAC地址留在权限标识单元接受储存和数据更新，即同一个MAC地址接入次数、单次接入时间逐渐累计。同时将MAC地址后两项信息的更新数据与权限变更单元分享。

步骤302，当准白名单中的一个MAC地址被首次赋予临时使用权限(permit.)时，权限变更单元认为其接入次数的数据为1，随着数据不断更新，数值将越来越接近权限变更单元所监控的临界点，累计入网时间也是如此。同时，可以在本单元读取所称数据时设置为较为快速的读取格式。

步骤303，当上述的两项数据中一项先达到管理员预设的数值，权限变更单元将该MAC地址的标识由permit.改为deny.，同时临时禁止该MAC地址的接入请求和使用权限。

步骤304，权限变更单元还可以监控权限标识单元中MAC地址数据的最小值，当一定记录时间内MAC地址接入次数的数值小于权限变更单元的某预设值，权限变更单元可以自动清除该MAC地址。

以上四个步骤，根据管理员对MAC地址接入次数和累计时长的限制预置，以主动进攻的策略防御潜在非法用户的攻击，在实际中，能有效找到蹭网者和访问控制系统的漏洞，为技术标准的改善提供契机。本流程中所创造的两个单元相互连通，分工明确。权限标识单元用于判断并标识MAC地址的权限，另外有数据统计和存储的功能，而权限变更单元负责监控数据并执行变更权限和冻结权限的动作，另外有自动清除长期不使用其无线服务的失联MAC地址信息记录的功能。

如图4所示，本发明处理权限发生变更的MAC地址的方法如下：

步骤401，当MAC地址的权限发生由permit.到deny.的变更，权限变更单元会同时告知越权告警单元，越权告警单元可以根据收到的简单提醒判断MAC地址的状态和位置，并到权限标识单元中提取所需要的该MAC地址的信息，可以表示为标识符/deny.(临)。

步骤402，越权告警单元进而对提取到的信息进行整理，编辑为短消息发送给管理员，格式可以为：冻结MAC地址/冻结时间+处理意见(短信回复数字1表示解冻，数字0表示屏蔽)。

步骤403，如果管理员认为该MAC地址用户为合法，激活通知单元会受到回复为1的短信，接到该指令后，激活通知单元会立即删除该MAC地址的越权记录、激活其接入权限。

以上三个步骤，实现了机动处理权限变更事件的效果，为管理员判断个别MAC地址合法性的问题提供了证据、选择和时间。同时，也提供了一个短信回复、一键解决个别MAC地址合法性问题的快速途径，大大方便了管理员的实际操作，并减少了访问控制系统误判的概率。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求所述的保护范围为准。