泄密防护方法和装置的制造方法

泄密防护方法和装置的制造方法
【技术领域】
[0001]本发明涉及网络技术领域，特别是涉及一种泄密防护方法和装置。
【背景技术】
[0002]随着网络技术的发展，各企业或组织机构往往在内部架设有企业AP (无线AccessPoint，无线接入点)。企业员工通过连接企业AP进行办公，一方面降低了企业对终端的网线布置要求，使员工的工作空间更加开放；另一方面也方便了员工采用BYOD (Bring YourOwn Device，携带自己的设备)在企业办公，提高了企业的生产效率。
[0003]然而由于无线空间的开放性，会出现不法分子模拟出跟企业相同或相似的WLAN (Wireless Local Area Networks，无线局域网络)，建立钓鱼AP。使员工容易误接入钓鱼AP中，从而造成企业机密的泄露。
[0004]传统的防钓鱼AP方法是通过阻止其检测到的所有的终端与不受本企业的无线控制器管理的AP的连接，来防止本企业机密的泄露。然而，由于现在不少企业都处于CBD(Central Business District，中央商务区)中，处于上下两层楼的企业或相同楼层的企业的AP可以侦测到彼此的信号。采用传统的防钓鱼AP方法也会阻止对方企业的终端对对方企业AP的正常连接，造成误判。

【发明内容】

[0005]基于此，有必要针对上述技术问题，提供一种能够减少误判的泄密防护方法和装置。
[0006]—种泄密防护方法，所述方法包括:侦听终端连接非法AP时广播的关联帧或数据帧；根据所述关联帧或数据帧获取所述终端的终端特征；检测所述终端特征是否存在于预设的终端特征库中，若是，则对所述终端实施泄密防护。
[0007]在其中一个实施例中，所述对所述终端实施泄密防护的步骤，包括:向所述终端和所述非法AP发送解关联帧，通过所述解关联帧阻止或中断所述终端连接非法AP。
[0008]在其中一个实施例中，在所述检测所述终端特征是否存在于预设的终端特征库中的步骤之前，所述方法还包括:当侦听到有终端成功连接到合法AP，并且所述终端还通过所述合法AP的身份认证时，获取通过所述合法AP的身份认证的终端的终端特征，将所述通过所述合法AP的身份认证的终端的终端特征存储到所述终端特征库中。
[0009]在其中一个实施例中，所述对所述终端实施泄密防护的步骤，包括:当所述终端已成功连接非法AP时，侦听所述终端与所述非法AP之间传输的无线数据包；将所述无线数据包发送至管理合法AP的无线控制器，使得所述无线控制器能够获取并解析所述无线数据包，并将解析后的无线数据包发送给管理泄密的用户，所述用户根据从所述解析后的无线数据包中获取所述终端使用者信息，通知所述终端使用者断开与所述非法AP的连接。
[0010]在其中一个实施例中，所述无线数据包包括所述非法AP的标识信息、所述终端的终端特征以及所述终端与非法AP之间的交互信息。
[0011]—种泄密防护装置，所述装置包括:终端特征获取模块，用于侦听终端连接非法AP时广播的关联帧或数据帧；根据所述关联帧或数据帧获取所述终端的终端特征；泄密防护模块，用于检测所述终端特征是否存在于预设的终端特征库中，若是，则对所述终端实施泄密防护。
[0012]在其中一个实施例中，所述泄密防护模块用于向所述终端和所述非法AP发送解关联帧，通过所述解关联帧阻止或中断所述终端连接非法AP。
[0013]在其中一个实施例中，所述装置还包括:终端特征存储模块，用于当侦听到有终端成功连接到合法AP，并且所述终端还通过所述合法AP的身份认证时，获取通过所述合法AP的身份认证的终端的终端特征，将所述通过所述合法AP的身份认证的终端的终端特征存储到所述终端特征库中。
[0014]在其中一个实施例中，所述泄密防护模块用于当所述终端已成功连接非法AP时，侦听所述终端与所述非法AP之间传输的无线数据包；将所述无线数据包发送至管理合法AP的无线控制器，使得所述无线控制器能够获取并解析所述无线数据包，并将解析后的无线数据包发送给管理泄密的用户，所述用户根据从所述解析后的无线数据包中获取所述终端使用者信息，通知所述终端使用者断开与所述非法AP的连接。在其中一个实施例中，所述无线数据包包括所述非法AP的标识信息、所述终端的终端特征以及所述终端与非法AP之间的交互信息。
[0015]上述泄密防护方法和装置，通过侦听终端连接非法AP时广播的关联帧或数据帧；根据所述关联帧或数据帧获取所述终端的终端特征；检测所述终端特征是否存在于预设的终端特征库中，若是，则对所述终端实施泄密防护。由于终端特征库中存储的是能够连接合法AP的终端的终端特征，这样，可以只对存在于终端特征库中的终端实施泄密防护，对不在终端特征库中的终端则不实施泄密防护，从而不会影响到不在终端特征库中的终端对非法AP的连接，包括不会影响到其它企业的终端对其AP的连接，减少了误判。
【附图说明】
[0016]图1为一个实施例中泄密防护方法的应用环境图；
[0017]图2为一个实施例中泄密防护方法的流程图；
[0018]图3为另一个实施例中泄密防护方法的应用环境图；
[0019]图4为再一个实施例中泄密防护方法的应用环境图；
[0020]图5为一个实施例中泄密防护装置的结构框图；
[0021]图6为另一个实施例中泄密防护装置的结构框图。
【具体实施方式】
[0022]本发明实施例所提供的泄密防护方法，可应用于如图1所示的环境中。参考图1所示，无线控制器102可以通过有线连接或无线连接方式来集中化控制多个AP，如其中一个AP104。无线控制器102中包含有用于存储终端特征的终端特征库，无线控制器102可以向终端发送信息，还可以接收AP104所传输的数据并对所接收的数据进行分析，得到其具体信息。AP104可以侦听到终端连接其它AP或其自身时，所广播的在其覆盖范围内的关联帧或数据帧，还可以侦听终端已成功连接非法AP时，与非法AP之间传输的无线数据包，另夕卜，AP104还能向终端和其它AP发送信息。其中，该关联帧是指终端在连接AP时发出的，用于接入AP时发出或接收的帧；该数据帧是指终端连上了 AP后，用于传输真实数据时发出的帧。关联帧和数据帧中均包含有终端的终端特征(如终端的MAC (Media Access Control，介质访问控制)地址)。
[0023]例如，无线控制器可以接收AP104所传输的终端特征，检查该终端特征是否存在终端特征库中，并将检查结果返回给AP104。无线控制器102可以接收AP104所传输的将一个完整无线数据包分成的多个无线数据子包，该完整无线数据包中包含了源mac地址、目的mac地址、协议类型和通信信息(如下载文件内容、上传文件内容，网络访问行为)等，并将其拆分成了多个小的无线数据子包，以便于向无线控制器102传输。无线控制器102通过接收该无线数据包所分成的所有无线数据子包，对其解析和组合，可获取到该无线数据包的完整信息，并还能将该完整信息发送至管理信息安全的人员(如法务部门主管)，该管理信息安全的人员可以根据接收到的完整信息来分析此终端是否有泄密行为。
[0024]如图2所示，在一个实施例中，提供了一种泄密防护方法，该方法包括:
[0025]步骤202，侦听终端连接非法AP时广播的关联帧或数据帧。
[0026]本实施例中，非法AP是指不受本地无线控制器管理的AP。举例来说，本企业的无线控制器可以集中管理本企业自身的所有AP，而对于其它企业的AP或者一些钓鱼AP，由于不受本企业无线控制器的管理，因此则视其它企业AP和钓鱼AP为非法AP。另外，对于由本企业终端所创建的wifi热点或随身wifi，若其不受本企业的无线控制器所管理，则同样视为非法AP。而受到本企业无线控制器管理的AP，则视为合法AP。
[0027]具体的，当终端在连接非法AP时广播的关联帧或数据帧处