本發(fā)明涉及無線訪問控制領(lǐng)域，更具體地說，涉及一種接入控制方法及終端。

背景技術(shù)：

無限保真，即Wireless-Fidelity，簡稱WI-FI，是一種為了改善基于IEEE802.11的無線網(wǎng)路產(chǎn)品之間互通性的網(wǎng)路傳輸標(biāo)準(zhǔn)。它通過將有線信號轉(zhuǎn)化成高頻無線電信號，可以用無線方式使個人電腦、手持設(shè)備如IPAD和MOBILE PHONE等終端相互連接。雖然它具有傳輸速度快、發(fā)射信號功率低以及不受布線條件限制等優(yōu)點，符合社會信息化需要，但是它同時也有傳輸質(zhì)量差、數(shù)據(jù)安全性能低的缺點。

客觀地講，由于當(dāng)前標(biāo)準(zhǔn)疏忽了對無限管理幀的保護(hù)，公共場所無線鏈路安全性能很低。這種情況下，提供共享資源的無線路由器的訪問控制系統(tǒng)很容易遭到偽造的地址解析協(xié)議，即Address Resolution Protocol，簡稱ARP的欺騙。ARP欺騙首先修改媒體訪問控制地址，即Media Access Control，簡稱MAC地址，然后破解有線等效密碼協(xié)議的密鑰，即Wired Equivalent Privacy，簡稱WEP，通過這種方法，未授權(quán)的非法用戶可使用ARP欺騙技術(shù)繞過MAC地址過濾的訪問控制系統(tǒng)，非法獲得無線子網(wǎng)絡(luò)獨立身份驗證，成功進(jìn)入訪問控制系統(tǒng)的白名單，達(dá)到蹭網(wǎng)的目的。

由于公共場所網(wǎng)絡(luò)所定義的服務(wù)對象是處于動態(tài)之中的目標(biāo)群體，訪問控制的設(shè)置不得不維持一定的開放度，而這種開放規(guī)則卻無形中創(chuàng)造了非法用戶蹭網(wǎng)的“漏洞”。管理員可通過無線路由器的訪問控制系統(tǒng)增添MAC地址過濾規(guī)則的條目，調(diào)整相應(yīng)的黑名單以手動屏蔽或清除潛在的非法用戶。這種訪問控制的方法依賴于當(dāng)前的無線網(wǎng)絡(luò)控制系統(tǒng)，管理員首先需要自行分辨非法用戶，然后手動設(shè)置相應(yīng)的過濾規(guī)則。調(diào)整過濾規(guī)則需要管理員登錄無線路由器，每調(diào)整一次就需要重新登錄進(jìn)行相應(yīng)設(shè)置，每次設(shè)置至少需要管理員手動操作五個步驟，十分耗時費力，因此，過濾規(guī)則設(shè)置的過程缺少一種相對簡單甚至一勞永逸的方法。根據(jù)上面提到過的原因，可以判斷，通 過手動設(shè)置訪問控制系統(tǒng)來監(jiān)察并修補這種“動態(tài)漏洞”的方法不是一種高效的訪問控制方法。在現(xiàn)實生活中，要求管理員花費相當(dāng)?shù)臅r間進(jìn)行“漏網(wǎng)”維護(hù)更加不切實際。

技術(shù)實現(xiàn)要素：

為提高實時監(jiān)控同時修補MAC地址過濾規(guī)則漏洞的可操作性，本發(fā)明提供了一種動態(tài)過濾媒體訪問控制地址(MAC地址)的系統(tǒng)和方法。本發(fā)明基于現(xiàn)有無線訪問控制中手動調(diào)控MAC地址過濾規(guī)則的方法，針對需要管理員投入相當(dāng)長的時間、熟悉比較復(fù)雜的操作步驟才能對區(qū)分非法和合法MAC地址條目的黑白名單進(jìn)行調(diào)控的缺陷，一次性預(yù)設(shè)接入時間和接入次數(shù)的限值，通過名單管理單元和權(quán)限單元記錄所有MAC地址接入網(wǎng)絡(luò)的數(shù)據(jù)，動態(tài)判斷并自動調(diào)整MAC地址的權(quán)限位置。這將有利于管理員根據(jù)場景個性化地設(shè)置服務(wù)對象的范圍，免除非法用戶通過適應(yīng)靜態(tài)的MAC地址過濾規(guī)則實現(xiàn)蹭網(wǎng)的困擾。同時，無需管理員花費時間精力反復(fù)更新無線路由的訪問控制系統(tǒng)。

為實現(xiàn)以上創(chuàng)新，本技術(shù)發(fā)明提供了一種接入控制的方法，其特征在于，所述方法包括：當(dāng)接收到終端發(fā)送的接入請求時，獲取接收所述接入請求的第一時間；將所述第一時間與預(yù)設(shè)的時間范圍進(jìn)行匹配，根據(jù)所述匹配結(jié)果控制所述終端的接入。

根據(jù)權(quán)利要求1所述的方法，其特征在于，當(dāng)接收到終端發(fā)送的接入請求時，對所述接入請求進(jìn)行解析，獲取所述終端的媒體訪問控制MAC地址。

根據(jù)權(quán)利要求2所述的方法，其特征在于，將所述第一時間與預(yù)設(shè)的時間范圍進(jìn)行匹配，根據(jù)所述匹配結(jié)果控制所述終端的接入包括：當(dāng)所述第一時間位于所述預(yù)設(shè)時間范圍內(nèi)時，判斷所述MAC地址是否位于預(yù)先設(shè)置的白名單列表中；當(dāng)所述預(yù)先設(shè)置的白名單列表中包括所述MAC地址時，自動認(rèn)可所述MAC地址所屬終端的接入權(quán)限；當(dāng)所述預(yù)先設(shè)置的白名單列表中不包括所述MAC地址時，將所述MAC地址列入黑名單列表中，拒絕所述MAC地址所屬終端的接入。

根據(jù)權(quán)利要求3所述的方法，其特征在于，將所述第一時間與預(yù)設(shè)的時間范圍進(jìn)行匹配，根據(jù)所述匹配結(jié)果控制所述終端的接入還包括：當(dāng)所述第一時間位于所述預(yù)設(shè)時間范圍外時，判斷所述MAC地址是否位于預(yù)先設(shè)置的白名單列表中；當(dāng)所述預(yù)先設(shè)置的白名單列表中包括所述MAC地址時，自動 認(rèn)可所述MAC地址所屬終端的接入權(quán)限；當(dāng)所述預(yù)先設(shè)置的白名單列表中不包括所述MAC地址時，根據(jù)所述MAC地址的接入時間和黑名單列表對所述終端進(jìn)行接入控制。

根據(jù)權(quán)利要求4所述的方法，其特征在于，根據(jù)所述MAC地址的接入時間和黑名單列表對所述終端進(jìn)行接入控制包括：判斷所述MAC地址是否位于所述黑名單列表中；當(dāng)所述MAC地址位于所述黑名單列表中，拒絕所述MAC地址所屬終端的接入；當(dāng)所述MAC地址不包括在所述黑名單列表中，將所述MAC地址列入準(zhǔn)白名單中列表中，允許所述MAC地址所屬的終端接入，并對所述MAC地址的接入時間進(jìn)行統(tǒng)計。

根據(jù)權(quán)利要求5所述的方法，其特征在于，根據(jù)所述MAC地址的接入時間和黑名單列表對所述終端進(jìn)行接入控制還包括：當(dāng)所述準(zhǔn)白名單中的MAC地址的接入時間達(dá)到預(yù)設(shè)的時間閾值時，將所述MAC地址列入黑名單，禁止所述MAC地址所屬終端的接入。

一種接入控制的終端，其特征在于，包括，名單管理單元、權(quán)限管理單元和短信告警單元。

根據(jù)權(quán)利要求1，所述名單管理單元，其特征在于，包括白名單匹配單元和準(zhǔn)白名單推送單元。

根據(jù)權(quán)利要求2，所述白名單匹配單元，其特征在于，用于判斷固定時間區(qū)域外接入MAC地址是否具有靜態(tài)白名單權(quán)限、自動標(biāo)識非法用戶和屏蔽接入請求。MAC地址的標(biāo)識符和接入時間等數(shù)據(jù)，并發(fā)送給權(quán)限管理單元。

根據(jù)權(quán)利要求1，所述權(quán)限管理單元，其特征在于，包括權(quán)限標(biāo)識單元和權(quán)限變更單元。

根據(jù)權(quán)利要求5，所述權(quán)限標(biāo)識單元，其特征在于，用于接收MAC地址信息、判斷和標(biāo)識MAC地址的權(quán)限。

根據(jù)權(quán)利要求5，所述權(quán)限變更單元，其特征在于，用于接收、修改、發(fā)送、清除MAC地址信息和變更MAC地址的權(quán)限。

根據(jù)權(quán)利要求1，所述短信告警單元，其特征在于，包括越權(quán)告警單元和激活通知單元。

根據(jù)權(quán)利要求8，所述越權(quán)告警單元，其特征在于，用于接收、提取越權(quán)MAC地址信息、編輯短信通知管理員和將越權(quán)凍結(jié)的MAC地址發(fā)送至黑名 單。

根據(jù)權(quán)利要求8，所述激活通知單元，其特征在于，用于接收管理員激活MAC地址的短信指令，刪除越權(quán)記錄、激活MAC地址的接入權(quán)限。

附圖說明

此處所說明的附圖用來提供對本發(fā)明的進(jìn)一步理解，構(gòu)成本申請的一部分，本發(fā)明的示意性實施例及其說明用于解釋本發(fā)明，并不構(gòu)成對本發(fā)明的不當(dāng)限定。在附圖中：

圖1是根據(jù)本發(fā)明實施例中的整體構(gòu)架圖

圖2是根據(jù)本發(fā)明實施例中的名單管理單元運行方式的流程圖

圖3是根據(jù)本發(fā)明實施例中的權(quán)限管理單元運行方式的流程圖

圖4是根據(jù)本發(fā)明實施例中的短信告警單元運行方式的流程圖

具體實施方式

為使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚，以下結(jié)合附圖對本發(fā)明作進(jìn)一步地詳細(xì)說明。下面結(jié)合附圖對本發(fā)明技術(shù)進(jìn)行說明。

圖1為本發(fā)明技術(shù)在無線訪問控制系統(tǒng)中的整體架構(gòu)示意圖。

如圖2所示，本發(fā)明在處理固定名單權(quán)限判斷、統(tǒng)計和發(fā)送MAC地址信息數(shù)據(jù)流程的方法如下：

步驟201，無線路由裝置接收到終端MAC地址所發(fā)出的接入請求；

步驟202，如果在管理員已設(shè)置的固定時間區(qū)域外，無線路由裝置接收到接入請求，白名單匹配單元將接入MAC地址與管理員已設(shè)置的靜態(tài)白名單中的MAC地址進(jìn)行匹配，當(dāng)接入MAC地址與靜態(tài)白名單中的MAC地址相匹配，白名單匹配單元將自動認(rèn)可MAC地址的接入權(quán)限并始終忽略其使用記錄；當(dāng)接入MAC地址在靜態(tài)白名單中無匹配項，則標(biāo)識為黑名單中的非法MAC地址，屏蔽其接入請求；

步驟203，如果在管理員已設(shè)置的固定時間區(qū)域內(nèi)，無線路由裝置接收到接入請求，白名單匹配單元參照靜態(tài)白名單過濾出沒有權(quán)限的MAC地址，準(zhǔn)白名單推送單元記錄、統(tǒng)計上述MAC地址的接入信息，生成準(zhǔn)白名單并發(fā)送給權(quán)限管理單元。準(zhǔn)白名單中MAC地址信息的存儲格式可以表示為：標(biāo)示符/接入時間/斷開時間/接入次數(shù)/累計入網(wǎng)時長。

以上三個步驟，根據(jù)管理員的靜態(tài)白名單和固定時間設(shè)置，自動匹配、 判斷發(fā)出接入請求的MAC地址是否可能為固定的合法用戶，同時甄別出不具有任何權(quán)限的非法用戶，以便對其采取屏蔽措施。其中第三個步驟，作用是生成相對動態(tài)的準(zhǔn)白名單，方便為潛在的合法用戶提供臨時接入權(quán)限。

如圖3所示，本發(fā)明在處理權(quán)限標(biāo)識和權(quán)限修改流程的方法如下：

步驟301，根據(jù)管理員已設(shè)置的允許接入最大次數(shù)和最大時長數(shù)值，權(quán)限標(biāo)識單元判斷準(zhǔn)白名單中是否有超出預(yù)設(shè)限制的MAC地址信息記錄，接入次數(shù)和最大時長兩項數(shù)據(jù)都在預(yù)設(shè)限制內(nèi)的MAC地址為合法用戶，有一項或兩項超出了預(yù)設(shè)限制的MAC地址為非法用戶。權(quán)限標(biāo)識單元對其中合法的和非法的MAC地址分別標(biāo)注permit.和deny.的標(biāo)識，可以將標(biāo)識增加在原有準(zhǔn)白名單MAC地址統(tǒng)計信息數(shù)據(jù)的最后一項。標(biāo)識后的MAC地址留在權(quán)限標(biāo)識單元接受儲存和數(shù)據(jù)更新，即同一個MAC地址接入次數(shù)、單次接入時間逐漸累計。同時將MAC地址后兩項信息的更新數(shù)據(jù)與權(quán)限變更單元分享。

步驟302，當(dāng)準(zhǔn)白名單中的一個MAC地址被首次賦予臨時使用權(quán)限(permit.)時，權(quán)限變更單元認(rèn)為其接入次數(shù)的數(shù)據(jù)為1，隨著數(shù)據(jù)不斷更新，數(shù)值將越來越接近權(quán)限變更單元所監(jiān)控的臨界點，累計入網(wǎng)時間也是如此。同時，可以在本單元讀取所稱數(shù)據(jù)時設(shè)置為較為快速的讀取格式。

步驟303，當(dāng)上述的兩項數(shù)據(jù)中一項先達(dá)到管理員預(yù)設(shè)的數(shù)值，權(quán)限變更單元將該MAC地址的標(biāo)識由permit.改為deny.，同時臨時禁止該MAC地址的接入請求和使用權(quán)限。

步驟304，權(quán)限變更單元還可以監(jiān)控權(quán)限標(biāo)識單元中MAC地址數(shù)據(jù)的最小值，當(dāng)一定記錄時間內(nèi)MAC地址接入次數(shù)的數(shù)值小于權(quán)限變更單元的某預(yù)設(shè)值，權(quán)限變更單元可以自動清除該MAC地址。

以上四個步驟，根據(jù)管理員對MAC地址接入次數(shù)和累計時長的限制預(yù)置，以主動進(jìn)攻的策略防御潛在非法用戶的攻擊，在實際中，能有效找到蹭網(wǎng)者和訪問控制系統(tǒng)的漏洞，為技術(shù)標(biāo)準(zhǔn)的改善提供契機(jī)。本流程中所創(chuàng)造的兩個單元相互連通，分工明確。權(quán)限標(biāo)識單元用于判斷并標(biāo)識MAC地址的權(quán)限，另外有數(shù)據(jù)統(tǒng)計和存儲的功能，而權(quán)限變更單元負(fù)責(zé)監(jiān)控數(shù)據(jù)并執(zhí)行變更權(quán)限和凍結(jié)權(quán)限的動作，另外有自動清除長期不使用其無線服務(wù)的失聯(lián)MAC地址信息記錄的功能。

如圖4所示，本發(fā)明處理權(quán)限發(fā)生變更的MAC地址的方法如下：

步驟401，當(dāng)MAC地址的權(quán)限發(fā)生由permit.到deny.的變更，權(quán)限變更單元會同時告知越權(quán)告警單元，越權(quán)告警單元可以根據(jù)收到的簡單提醒判斷MAC地址的狀態(tài)和位置，并到權(quán)限標(biāo)識單元中提取所需要的該MAC地址的信息，可以表示為標(biāo)識符/deny.(臨)。

步驟402，越權(quán)告警單元進(jìn)而對提取到的信息進(jìn)行整理，編輯為短消息發(fā)送給管理員，格式可以為：凍結(jié)MAC地址/凍結(jié)時間+處理意見(短信回復(fù)數(shù)字1表示解凍，數(shù)字0表示屏蔽)。

步驟403，如果管理員認(rèn)為該MAC地址用戶為合法，激活通知單元會受到回復(fù)為1的短信，接到該指令后，激活通知單元會立即刪除該MAC地址的越權(quán)記錄、激活其接入權(quán)限。

以上三個步驟，實現(xiàn)了機(jī)動處理權(quán)限變更事件的效果，為管理員判斷個別MAC地址合法性的問題提供了證據(jù)、選擇和時間。同時，也提供了一個短信回復(fù)、一鍵解決個別MAC地址合法性問題的快速途徑，大大方便了管理員的實際操作，并減少了訪問控制系統(tǒng)誤判的概率。

以上所述，僅為本發(fā)明的具體實施方式，但本發(fā)明的保護(hù)范圍并不局限于此，任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)，可輕易想到變化或替換，都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此，本發(fā)明的保護(hù)范圍應(yīng)以權(quán)利要求所述的保護(hù)范圍為準(zhǔn)。