管制终端识别及管理方法、装置、无线接入点设备与流程

本发明涉及通信领域，具体涉及一种管制终端识别及管理方法、装置、无线接入点设备。

背景技术：

随着智能终端的广泛应用以及无线网络的普及，WiFi(Wireless-Fidelity)越来越成为人们生活中不可缺少的环境，公共场所、办公场所和家庭网络设备越来越多地使用WLAN(Wireless Local Area Networks)AP(Access Point,无线接入点)技术获取互联网服务。而人们对应自我终端设备的安全意识也越来越强，这就要求无线接入点能够提供安全有效的密钥和接入服务。目前一些限制终端利用一些非法软件，可以通过某些技术手段获取到接入密钥，从而顺利接入无线接入点，从而分享网络流量。该情况在家庭和商业无线接入点都普遍存在，对无线接入点持有者造成极大的损失和风险。但目前，并无有效的方法可以自动识别出哪些终端是限制终端并进而对其采取相应的管制。为了针对上述问题，目前针对无线接入点只能是手动设置黑白名单，并手动设置为黑名单中的终端将无法接入，只有手动将终端该从黑名单中删除，方可实现该接入终端的接入。

对于上述方法，由于目前限制终端使用网络上有很多获取无线接入点密钥的非法软件，可以通过软件轮询尝试获取到无线接入点密钥，从而非法接入到该热点，免费的使用流量；这对这类限制终端由于目前并无自动识别方法，因此仅靠手动识别和添加限制终端的方式实现难度大，滞后性强，很难保证无线接入点设备的权益，且操作过程繁琐。

技术实现要素：

本发明要解决的主要技术问题是，提供一种管制终端识别及管理方法、装置、无线接入点设备，解决现有无法自动识别限制终端并对限制终端进行自动管理的问题。

为解决上述技术问题，本发明提供一种管制终端识别方法，包括：

获取终端尝试密码接入无线接入点设备的失败次数；

将所述失败次数和预设的管制阈值进行比较，根据比较结果判断所述终端是否为需要管理的管制终端；其中所述管制阈值为预设的终端尝试密码接入失败的次数。

在本发明的一种实施例中，所述管制阈值包括第一管制阈值，所述管制终端包括可疑终端，所述根据比较结果判断所述终端是否为非法终端包括：

判断所述失败次数是否大于等于所述第一管制阈值，如是，判断所述终端为可疑终端。

在本发明的一种实施例中，所述管制阈值还包括大于所述第一管制阈值的第二管制阈值，所述管制终端包括非法终端；所述根据比较结果判断所述终端是否为非法终端还包括：

判断所述失败次数大于所述第一管制阈值后，继续获取所述失败次数，当所述失败次数大于等于所述第二管制阈值时，判断所述终端为非法终端。

在本发明的一种实施例中，将所述失败次数与所述第一管制阈值进行比较时，所述失败次数为第一预设时间段内，所述终端尝试密码接入连续失败的次数，或所述终端尝试密码接入累积失败的次数；

将所述失败次数与所述第二管制阈值进行比较时，所述失败次数为第二预设时间段内，所述终端尝试密码接入连续失败的次数，或所述终端尝试密码接入累积失败的次数；所述第二预设时间段大于等于所述第一预设时间段。

在本发明的一种实施例中，所述失败次数为所述终端尝试密码接入连续失败的次数，或所述终端尝试密码接入累积失败的次数。

为了解决上述问题，本发明还提供了一种非法终端管理方法，包括：

采用如权利要求1-5任一项所述的管制终端识别方法识别当前尝试密码接入无线接入点设备的管制终端；

当识别出有管制终端时，对识别出的管制终端根据预设的管理规则进行处理。

在本发明的一种实施例中，当识别出的管制终端为可疑终端时，对所述管制终端根据预设的管理规则进行处理包括：

将所述可疑终端加入灰名单中，并对所述灰名单中的终端采用第一管理规则进行管理。

在本发明的一种实施例中，所述第一管理规则包括：

禁止所述灰名单中的可疑终端接入所述无线接入点设备，或在所述灰名单中的可疑终端接入所述无线接入点设备后，限制所述可疑终端的流量和/或连接时长。

在本发明的一种实施例中，所述第一管理规则还包括：

对所述灰名单中的可疑终端继续进行监测，当监测到该可疑终端连续N次输入正确密码或累计M次输入正确密码时，将该可疑终端改判为合法终端，从所述灰名单中删除所述可疑终端；所述N大于等于2，小于等于5；所述M大于等于2，小于等于10。

在本发明的一种实施例中，当识别出的管制终端为非法终端时，对所述管制终端根据预设的管理规则进行处理包括：

将所述非法终端加入黑名单中，并对所述黑名单中的非法终端采用第二管 理规则进行管理。

在本发明的一种实施例中，所述第二管理规则包括：禁止所述黑名单中的非法终端接入所述无线接入点设备。

为了解决上述问题，本发明还提供了一种管制终端识别装置，包括：

统计模块，用于统计终端尝试密码接入无线接入点设备的失败次数；

处理模块，用于将所述失败次数和预设的管制阈值进行比较，根据比较结果判断所述终端是否为管制终端；其中所述管制阈值为预设的终端尝试密码接入失败的次数。

在本发明的一种实施例中，所述处理模块包括第一判断子模块，所述管制阈值包括第一管制阈值，所述管制终端包括可疑终端；

所述第一判断子模块用于判断所述失败次数是否大于等于所述第一管制阈值，如是，判断所述终端为可疑终端。

在本发明的一种实施例中，所述处理模块还包括第二判断子模块，所述管制阈值还包括大于所述第一管制阈值的第二管制阈值，所述管制终端包括非法终端；

所述第二判断子模块用于判断所述失败次数是否大于等于所述第二管制阈值，如是，判断所述终端为非法终端。

为了解决上述问题，本发明还提供了一种管制终端管理装置，包括获取模块和管理模块；

所述获取模块用于获取如权利要求12-14任一项所述的管制终端识别装置识别出的当前尝试密码接入无线接入点设备的管制终端；

所述管理模块用于对所述获取模块获取的管制终端根据预设的管理规则进行处理。

在本发明的一种实施例中，所述管理模块包括第一管理子模块，用于当所述管制终端为可疑终端时，将所述终端加入灰名单中，并对所述灰名单中的终端采用第一管理规则进行管理。

在本发明的一种实施例中，所述管理模块包括第二管理子模块，用于当所述管制终端为非法终端时，将所述终端加入黑名单中，并对所述黑名单中的终端采用第二管理规则进行管理。

为了解决上述问题，本发明还提供了一种无线接入点设备，包括如上所述的管制终端识别装置和如上所述的管制终端管理装置；所述管制终端识别装置用于从当前尝试密码接入所述无线接入点设备的终端中识别非法终端；

所述管制终端管理装置用于对所述管制终端识别装置识别出的管制终端根据预设的管理规则进行处理。

本发明的有益效果是：

本发明提供的管制终端识别及管理方法、装置、无线接入点设备，可通过获取终端尝试密码接入无线接入点设备的失败次数，根据获取的失败次数和预设的管制阈值进行比较，根据比较结果判断终端是否为需要额外进行管理的管制终端，因此可以实现管制终端的自动识别；进而可根据预设的管理规则对这类管制终端进行管理，避免管制终端自由接入无线接入点设备损害合法用户权益。且本发明提供的上述管制终端识别及管理方案实现简单、准确率高、且能及时对识别出的限制终端进行管理，能在较大程度上提升用户体验的满意度。

附图说明

图1为本发明实施例一提供的管制终端识别方法流程示意图；

图2为本发明实施例一提供的限制终端管理方法流程示意图；

图3为本发明实施例二提供的管制终端识别装置结构示意图；

图4为图3中处理模块的结构示意图；

图5为本发明实施例二提供的限制终端管理装置结构示意图；

图6为图5中管理模块的结构示意图；

图7为本发明实施例三提供的限制终端管理方法流程示意图。

具体实施方式

本发明可通过自动获取终端尝试密码接入无线接入点设备的失败次数，根据获取的失败次数识别出需要额外进行管理的管制终端，进而根据预设的管理规则对这类管制终端进行管理，提升合法终端的接入质量和安全，防止这类管制终端(也即上述尝试密码接入失败次数大于等于预设的一定次数，也即管制阈值的这类终端)自由使用流量和信息共享。且本发明提供的方案实现简单、准确率高、及时性好，能大大提升用户体验的满意度。下面通过具体实施方式结合附图对本发明作进一步详细说明。

实施例一：

本实施例中，对限制终端的处理包括两个阶段，第一个阶段即从向无线接入点设备发起连接的终端中识别出需要进行管理的管制终端；第二个阶段即为对第一个阶段识别出的管制终端进行管理。下面分别对上述两个阶段进行示例说明。

请参见图1所示，本实施例中提供的管制终端识别方法的过程包括：

步骤101：获取终端尝试密码接入无线接入点设备的失败次数；

步骤102：将获取的该终端的失败次数和预设的管制阈值进行比较，根据比较结果确定该终端是否为管制终端。

也即本实施例图1提供了根据终端向无线接入点设备尝试密码接入的失败 次数自动识别出哪些终端为需要额外管理的限制终端，填补了如何自动识别限制终端的技术空白；且该方案实现简单，识别准确率高，占用资源少。

本实施例中，可以认定凡是失败次数大于等于预设的管制阈值的终端都为限制终端。但是为了提升管理的准确性和灵活性，本实施例还可对限制终端进行进一步分级，例如可根据其尝试连接的失败次数情况对限制终端分为可疑终端和非法终端；其中可疑终端可以定性为尝试且失败了一定次数的终端，但该失败次数还不足以认定为构成恶意入侵，但有恶意入侵连接的嫌疑；非法终端则是指尝试且失败了较多次数的终端，且该失败次数足以认定为构成恶意入侵。本实施例中针对可疑终端设置失败次数判定阈值为第一管制阈值，对应非法终端设置失败次数判定阈值为第二管制阈值；一般情况下第二管制阈值大于第一管制阈值，此时，上述步骤102中将获取的该终端的失败次数和预设的管制阈值进行比较的过程包括：

可先将获取的终端失败次数与第一管制阈值进行比较，如大于等于第一管制阈值，则判断该终端为可疑终端；

在判断该终端为可疑终端后，继续获取该终端的失败次数，并将获取的失败次数与第二管制阈值进行比较，当失败次数大于等于第二管制阈值时，则判定该终端为非法终端。

本实施例中，获取终端失败次数的方式可以采用以下任意方式：

方式一：失败次数为终端尝试密码接入连续失败的次数，或终端尝试密码接入累积失败的次数；这种方式可不计时间，获取的是终端的历史失败次数；例如当失败次数为终端尝试密码接入连续失败的次数时，对应的第一管制阈值可设置为10次，对应的第二管制阈值可设置为30次或35次等等；又例如失败次数为终端尝试密码接入累积失败的次数时，对应的第一管制阈值可设置为15 或20次，对应的第二管制阈值可设置为40次或50次等等；也即本实施例中各阈值的具体取值可根据当前的实际应用场景灵活选择设置。

方式二：判断终端是否为可疑终端时，获取的失败次数为第一预设时间段内，终端尝试密码接入连续失败的次数，或终端尝试密码接入累积失败的次数；

判断终端为非法终端时，获取的失败次数为第二预设时间段内，终端尝试密码接入连续失败的次数，或终端尝试密码接入累积失败的次数；第二预设时间段大于第一预设时间段。

例如，判断是否为可疑终端时，获取在第一预设时间段10秒这一时间段内终端尝试密码接入连续失败的次数是否大于等于第一管制阈值10次，或获取在10秒这一时间段内终端尝试密码接入累计失败的次数是否大于等于第一管制阈值20次；判断终端是否为非法终端时，获取在第一预设时间段15或20秒这一时间段内终端尝试密码接入连续失败的次数是否大于等于第二管制阈值30次，或获取在15或20秒这一时间段内终端尝试密码接入累计失败的次数是否大于等于第二管制阈值35次。

应当理解的是，本实施例中的第一预设时间段也可与第二于是时间段相等。此时则是取在相同时间段内失败次数较多的终端为非法终端。

在本实施例中，对于判定为非法终端中的终端，则不再进行自动改判，除非管理员或用户手动对其进行改判；而对于判定为可疑终端的终端，则可根据一定的改判规则将其改判为合法终端，这样可以增加限制终端控制的灵活性和准确性，避免误判导致终端被判为限制终端的情况。例如，该改判规则具体可为：

应当理解的是，本实施例中的改判规则并不限于上述规则，例如也可根据管理员或用户下发的指令进行相应的改判。

通过上述过程获取到限制终端后，即可根据预设的管理规则对相应的限制终端进行处理。该过程请参见图2所示，包括：

步骤201：通过上述方法识别出当前尝试密码接入无线接入点设备的限制终端；

步骤202：对识别出的限制终端根据预设的管理规则进行处理。

本实施例中，未对限制终端进行分级时，则对于所有限制终端可以采用统一的管理规则进行处理，例如直接全部加入黑名单，并禁止连接无线接入点设备。但本实施例为了进一步提升管理的准确定和灵活性，可采用上述分级管理的方式，将限制终端分为可疑终端和非法终端，其中：

当识别出的终端为可疑终端时，对该限制终端根据预设的管理规则进行处理包括：将该可疑终端加入灰名单中，并对灰名单中的可疑终端采用第一管理规则进行管理。

当识别出的终端为非法终端时，对该限制终端根据预设的管理规则进行处理包括：将非法终端加入黑名单中，并对黑名单中的非法终端采用第二管理规则进行管理。

本实施例中将终端加入灰名单和黑名单中具体可通过将终端的唯一识别信息加入灰名单和黑名单中，例如将终端的MAC地址加入灰名单和黑名单中。

本实施例中的第一管理规则包括：禁止灰名单中的可疑终端接入无线接入点设备，或在灰名单中的可疑终端接入到无线接入点设备时，限制该可疑终端的流量和/或连接时长。

本实施例中的第二管理规则包括：禁止黑名单中的非法终端接入无线接入点设备；由于非法终端对用户的影响会比较大，因此可直接禁止其接入。当然，根据具体应用场景，可以采用类似第一管理规则中不禁止其接入，而是在其接 入后限制其流量和/或连接时长，可采用更为严格的方式限制也可。

另外，本实施例中的第一管理规则还可包括对灰名单中的可疑终端继续进行监测，当监测到该可疑终端连续N次输入正确密码或累计M次输入正确密码时，将该可疑终端改判为合法终端，从灰名单中删除所述可疑终端；本实施例中N和M的取值理论上都可以去大于等于2的任意一个值，例如可设定N大于等于2，小于等于5，具体的例如N等于2、3或5；又例如设定M大于等于2，小于等于10，具体的例如N等于2、3、5、8或10。通过上述方式可将可疑终端从灰名单中删除后，进而允许该终端正常接入。

本实施例中，当被判定为可疑终端或非法终端的终端向无线接入点设备发起连接时，还可向该终端反馈相应的通知消息，通知其被判定为可疑终端或非法终端，禁止其连接或即时接入也会限制其流量和/或连接时长。例如，可采用802.11帧通知，帧头(Mac header)的Type字段，管理帧的Subtype值0000～1001是Reserved，目前并未使用，在本实施例中，该预留字段被用于携带标识信息；对于标识信息，约定但不限于0000、0001分别代表用户灰名单和用户黑名单，若检测到控制帧中标识信息为0000，用于告知终端目前该终端已经被纳入灰名单中，禁止其连接或即时接入也会限制其流量和/或连接时长；若检测到控制帧中的标示信息为0001，用于告知终端目前该终端已经被纳入黑名单中，禁止其连接。

实施例二：

本实施例提供了一种管制终端识别装置，请参见图3所示，其包括：

统计模块31，用于统计终端尝试密码接入无线接入点设备的失败次数；

处理模块32，用于将统计模块31获取的失败次数和预设的管制阈值进行比较，根据比较结果判断终端是否为限制终端。

本实施例中，可以认定凡是失败次数大于等于预设的管制阈值的终端都为限制终端。但是为了提升管理的准确性和灵活性，本实施例还可对限制终端进行进一步分级，例如可根据其尝试连接的失败次数情况对限制终端分为可疑终端和非法终端。此时，请参见图4所示，本实施例中的处理模块32包括第一判断子模块321，管制阈值包括第一管制阈值；

第一判断子模块321用于判断获取的终端的失败次数是否大于等于第一管制阈值，如是，判定终端为可疑终端。

处理模块32还包括第二判断子模块322，管制阈值还包括大于第一管制阈值的第二管制阈值；

第二判断子模块322用于判断获取的终端的失败次数是否大于等于第二管制阈值，如是，判断终端为非法终端。

本实施例中，统计模块31获取终端失败次数的方式可以采用以下任意方式：

方式一：失败次数为终端尝试密码接入连续失败的次数，或终端尝试密码接入累积失败的次数；这种方式可不计时间，统计模块31获取的是终端的历史失败次数；例如当失败次数为终端尝试密码接入连续失败的次数时，对应的第一管制阈值可设置为10次，对应的第二管制阈值可设置为30次或35次等等；又例如失败次数为终端尝试密码接入累积失败的次数时，对应的第一管制阈值可设置为15或20次，对应的第二管制阈值可设置为40次或50次等等；也即本实施例中各阈值的具体取值可根据当前的实际应用场景灵活选择设置。

方式二：判断终端是否为可疑终端时，统计模块31获取的失败次数为第一预设时间段内，终端尝试密码接入连续失败的次数，或终端尝试密码接入累积失败的次数；

判断终端为非法终端时，统计模块31获取的失败次数为第二预设时间段内， 终端尝试密码接入连续失败的次数，或终端尝试密码接入累积失败的次数；第二预设时间段大于第一预设时间段。

例如，判断是否为可疑终端时，获取在第一预设时间段10秒这一时间段内终端尝试密码接入连续失败的次数是否大于等于第一管制阈值10次，或获取在10秒这一时间段内终端尝试密码接入累计失败的次数是否大于等于第一管制阈值20次；判断终端是否为非法终端时，获取在第一预设时间段15或20秒这一时间段内终端尝试密码接入连续失败的次数是否大于等于第二管制阈值30次，或获取在15或20秒这一时间段内终端尝试密码接入累计失败的次数是否大于等于第二管制阈值35次。

应当理解的是，本实施例中的第一预设时间段也可与第二于是时间段相等。此时则是取在相同时间段内失败次数较多的终端为非法终端。

请参见图5所示，本实施例还提供了一种限制终端管理装置，包括获取模块61和管理模块62；

获取模块61用于通过如图3-4所示的管制终端识别装置获取当前尝试密码接入无线接入点设备的终端中的限制终端；

管理模块62用于对获取模块61获取的限制终端根据预设的管理规则进行处理。

请参见图6所示，本实施例中的管理模块62包括第一管理子模块621和灰名单设置子模块622。灰名单设置模块622用于设置灰名单，包括设置灰名单中允许存储的最大终端数等规则；第一管理子模块621用于当管制终端识别装置识别出的终端为可疑终端时，将该终端加入灰名单中，并对灰名单中的终端采用第一管理规则进行管理；

管理模块62还包括第二管理子模块623和黑名单设置子模块624。黑名单 设置子模块624用于设置黑名单，包括设置黑名单中允许存储的最大终端数等规则；第二管理子模块623用于当管制终端识别装置识别出的终端为非法终端时，将该终端加入黑名单中，并对黑名单中的终端采用第二管理规则进行管理。

本实施例中的第一管理规则包括：禁止灰名单中的可疑终端接入无线接入点设备，或在灰名单中的可疑终端接入到无线接入点设备时，限制该终端的流量和/或连接时长。本实施例中的第一管理规则还可包括对于灰名单中的可疑终端继续进行监测，当监测到该可疑终端连续N次输入正确密码或累计M次输入正确密码时，将该可疑终端改判为合法终端，从灰名单中删除所述可疑终端；本实施例中N和M的取值理论上都可以去大于等于2的任意一个值。

本实施例中的第二管理规则包括：禁止黑名单中的终端接入无线接入点设备；由于非法终端对用户的影响会比较大，因此可直接禁止其接入。当然，根据具体应用场景，可以采用类似第一管理规则中不禁止其接入，而是在其接入后限制其流量和/或连接时长，可采用更为严格的方式限制也可。

应当理解的是，本实施例上述的管制终端识别装置和限制终端管理装置可以设置于任意无线接入点设备上，使得无线接入点设备可以通过该管制终端识别装置从当前尝试密码接入的终端中识别出限制终端，并通过该限制终端管理装置对识别出的限制终端根据上述管理规则进行处理。放置限制终端恶意蹭网，有效保证合法终端的网络安全。

实施例三：

为了更好的理解本发明，下面结合一个具体的应用场景为示例进行说明。

假设为无线接入点设备按实施例一中的方式设置好灰名单、黑名单以及对对应的管理规则，并按照实施例一中的方式对限制终端进行管理；且灰名单和黑名单中存储的是限制终端的MAC地址，获取终端失败次数采用获取终端连续 失败次数为例。当无线接入点设备重新启动，有终端尝试接入时，其管理过程请参见图7所示，包括：

步骤801：无线接入点设备启动；

步骤802：判断当前尝试密码接入的终端是否已在灰名单中，如是，转至步骤809；如否，转至步骤803；

步骤803：判断当前尝试密码接入的终端是否已在黑名单中，如是，转至步骤812；否则，转至步骤804：

步骤804：获取该终端连续尝试接入无线接入点设备的失败次数；

步骤805：判断失败次数是否大于等于第一管制阈值，如是，转至步骤806；否则，转至步骤813；

步骤806：将该终端的MAC地址加入灰名单中；

步骤807：继续获取该终端连续尝试接入无线接入点设备的失败次数；

步骤808：如失败次数大于等于第二管制阈值，将其MAC地址加入黑名单中。

步骤809：监测该终端连续输入密码的正确次数以及失败次数；

步骤810：判断正确次数是否大于等于预设N值，如是，转至步骤811；否则，转至步骤807；

步骤811：将该终端的MAC地址从灰名单中删除，允许其接入。

步骤812：向终端发送通知禁止其接入无线接入点设备。

步骤813：允许终端正常接入无线接入点设备。

可见，本发明可通过记录终端尝试接入失败的次数将不同的终端存储到不同的名单中，并采用对应的管理规则进行管理，可防止恶意蹭网终端的接入，能有效保证合法终端的网络安全。

以上内容是结合具体的实施方式对本发明所作的进一步详细说明，不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干简单推演或替换，都应当视为属于本发明的保护范围。