CN103916857B - 一种无线接入控制装置和方法 - Google Patents
一种无线接入控制装置和方法 Download PDFInfo
- Publication number
- CN103916857B CN103916857B CN201410135644.1A CN201410135644A CN103916857B CN 103916857 B CN103916857 B CN 103916857B CN 201410135644 A CN201410135644 A CN 201410135644A CN 103916857 B CN103916857 B CN 103916857B
- Authority
- CN
- China
- Prior art keywords
- ssid
- wireless
- pass
- wireless client
- interception
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明提供一种无线接入控制装置和方法。所述方法包括:根据无线客户端的配置指令设置无线接入的拦截标识和可放行服务集标识SSID,所述拦截标识和可放行SSID在初始化时初始化为拦截和空;在拦截标识为拦截状态时,屏蔽无线客户端和无线网卡驱动之间的控制指令,在拦截标识为放行状态且可放行SSID与所述控制指令中携带的SSID相同时,透传所述可放行SSID对应的控制指令。通过本发明的技术方案,能够有效阻止操作系统自带的无线客户端接入网络,从而维护用户的上网安全。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种无线接入控制装置和方法。
背景技术
随着无线技术的发展,越来越多的人们选择使用无线设备接入网络。目前市面上的PC终端,包括台式机、一体机,也都设置有无线客户端,以供用户接入无线网络。
对于PC终端而言,通常会带有两种无线客户端。一种是操作系统自带和/或绑定的无线客户端(以下简称操作系统自带的无线客户端),另一种是其它软硬件厂商,例如PC生产商,提供的第三方无线客户端。用户在首次请求接入无线网络的时候,如果没有指定,这两个无线客户端都会发起无线连接请求,往往谁先成功接入网络,用户就会使用谁进行无线上网。而在用户后续再次进入到之前已经成功连接过的无线网络的覆盖区域时,操作系统自带的无线客户端和第三方无线客户端也都会自动发起无线连接请求。但是,操作系统自带的无线客户端的安全性较差,在实际应用中,一些对安全性要求较高的场所,通常只会允许安全性能较好的第三方无线客户端接入网络。综上,一种控制操作系统自带的无线客户端不能随便接入无线网络的方案是亟待提供的。
发明内容
有鉴于此,本发明提供一种无线接入控制装置和方法。
具体地,本发明是通过如下技术方案实现的:
一种无线接入控制装置,应用在用户终端上,所述装置包括:
配置模块,用于根据无线客户端的配置指令设置无线接入的拦截标识和可放行服务集标识SSID,所述拦截标识和可放行SSID在初始化时初始化为拦截和空;
过滤模块,用于在拦截标识为拦截状态时,屏蔽无线客户端和无线网卡驱动之间的控制指令,在拦截标识为放行状态且可放行SSID与所述控制指令中携带的SSID相同时,透传所述可放行SSID对应的控制指令。
进一步地,所述过滤模块屏蔽无线客户端和无线网卡驱动之间的控制指令的过程包括:拦截无线客户端发送给无线网卡驱动的控制指令或者篡改无线网卡驱动返回给无线客户端的应答结果。
进一步地,所述配置模块根据无线客户端的配置指令设置无线接入的拦截标识和可放行SSID的过程包括:接收到无线客户端在发送控制指令给无线网卡驱动前发送的放行配置指令后,将所述拦截标识设置为放行,并将所述可放行SSID设置为所述放行配置指令中携带的SSID。
进一步地,所述配置模块根据无线客户端的配置指令设置无线接入的拦截标识和可放行SSID的过程包括:接收到无线客户端在断开网络时发送的重置配置指令后,将所述拦截标识设置为拦截,并清空所述可放行SSID。
进一步地,所述控制指令是SSID列表刷新指令。
一种无线接入控制方法,应用在用户终端上,所述方法包括:
根据无线客户端的配置指令设置无线接入的拦截标识和可放行服务集标识SSID,所述拦截标识和可放行SSID在初始化时初始化为拦截和空;
在拦截标识为拦截状态时,屏蔽无线客户端和无线网卡驱动之间的控制指令,在拦截标识为放行状态且可放行SSID与所述控制指令中携带的SSID相同时,透传所述可放行SSID对应的控制指令。
进一步地,所述屏蔽无线客户端和无线网卡驱动之间的控制指令的过程包括:拦截无线客户端发送给无线网卡驱动的控制指令或者篡改无线网卡驱动返回给无线客户端的应答结果。
进一步地,所述根据无线客户端的配置指令设置无线接入的拦截标识和可放行SSID的过程包括:接收到无线客户端在发送控制指令给无线网卡驱动前发送的放行配置指令后,将所述拦截标识设置为放行,并将所述可放行SSID设置为所述放行配置指令中携带的SSID。
进一步地,所述根据无线客户端的配置指令设置无线接入的拦截标识和可放行SSID的过程包括:接收到无线客户端在断开网络时发送的重置配置指令后,将所述拦截标识设置为拦截,并清空所述可放行SSID。
进一步地,所述控制指令是SSID列表刷新指令。
由以上描述可以看出,本发明通过屏蔽操作系统自带的无线客户端和无线网卡驱动之间的控制指令来阻止操作系统自带的无线客户端接入网络,从而维护用户的上网安全。
附图说明
图1是本发明一种实施方式中无线接入控制装置的逻辑结构图;
图2是本发明一种实施方式中无线接入控制方法的流程示意图;
图3是本发明一种实施方式中第三方无线客户端接入无线网络的流程示意图。
具体实施方式
操作系统自带的无线客户端通常是通过其自带的无线服务来实现无线网络接入的。目前,大部分操作系统自带的无线客户端是通过关闭上述无线服务来使得操作系统自带的无线客户端无法扫描到无线网络,从而无法进行无线连接的。但是,仅仅关闭无线服务无法从根本上阻止操作系统自带的无线客户端接入网络。一旦用户再次启用系统的无线服务,比如:重新启动系统,操作系统自带的无线客户端就可以进行无线连接。
针对上述问题,本发明提供一种无线接入控制方案,通过控制无线客户端和无线网卡驱动之间交互的报文来实现对不同无线客户端接入无线网络的权限控制。具体地,无线客户端在接入无线网络,以及为用户提供无线上网服务的整个过程中,无线客户端收发的所有控制指令和数据报文都会通过无线网卡驱动和无线网卡进行交互。本发明设计在无线客户端和无线网卡驱动之间设置控制装置,通过拦截操作系统自带的无线客户端和无线网卡驱动之间交互的控制指令来阻止操作系统自带的无线客户端接入网络。
下面以软件实现为例,详细描述本发明的具体实现。本发明提供一种无线接入控制装置,其运行在用户终端上。作为本发明装置的运行载体,所述用户终端通常至少包括有CPU、内存以及非易失性存储器,当然还可能包括有I/O接口等硬件。请参考图1和图2,所述装置包括有:配置模块以及过滤模块。在一个示例性的实施方案中,该装置在运行过程中执行如下步骤:
步骤101,配置模块根据无线客户端的配置指令设置无线接入的拦截标识和可放行SSID,所述拦截标识和可放行SSID在初始化时初始化为拦截和空。
步骤102,过滤模块在拦截标识为拦截状态时,屏蔽无线客户端和无线网卡驱动之间的控制指令,在拦截标识为放行状态且可放行SSID与所述控制指令中携带的SSID相同时,透传所述可放行SSID对应的控制指令。
为实现本发明目的,需要所述配置模块事先设置无线接入的拦截标识和可放行SSID(Service Set Identifier,服务集标识),所述过滤模块在接收到无线客户端和无线网卡驱动之间的控制指令时,通过当前的拦截标识和可放行SSID来判断是否允许所述控制指令通过。具体地,所述拦截标识包括有:拦截状态和放行状态。拦截状态表示屏蔽控制指令,放行状态表示允许控制指令通过。在实现的时候可以在用户终端的内存中为其预留一个比特位,比如,可以用0来表示拦截状态,用1来表示放行状态。当然本领域技术人员也可以采用其他的方式来标记拦截标识,本发明对此不作特殊限制。所述可放行SSID用来表示允许无线客户端接入的SSID,如果所述控制指令中携带的SSID不同于所述可放行SSID,则说明当前无线客户端请求连接的SSID没有被授权,则屏蔽所述控制指令。
本发明通过屏蔽无线客户端和无线网卡驱动之间交互的控制指令来控制无线客户端接入无线网络的权限,无需屏蔽用户通信的数据报文,实现起来更加简单。具体地,在无线客户端接入无线网络的过程中,无线客户端会定期向无线网卡驱动下发SSID列表获取指令,用以获取覆盖用户终端的所有SSID的信息,比如:SSID名称。无线客户端在发送无线连接请求之前,会先发送SSID列表刷新指令给无线网卡驱动,比如:OID_DOT11_DESIRED_SSID_LIST指令。然后由无线网卡驱动来收集当前存在的最新SSID列表,并返回响应给无线客户端。如果无线客户端想要连接的SSID还存在,那么无线客户端就会发送无线连接请求给无线网卡驱动,请求接入所述SSID对应的无线网络。综上,无线客户端在接入无线网络的过程中和无线网卡驱动交互的控制指令包括有:SSID列表获取指令、SSID列表刷新指令以及无线接入请求指令。在一种优选的实施方式中,本发明所述过滤模块在拦截标识为拦截状态时,屏蔽无线客户端和无线网卡驱动之间控制指令是SSID列表刷新指令。
在具体实现中,所述过滤模块在接收到无线客户端发送给无线网卡驱动的控制指令时,先判断该控制指令是否为SSID列表刷新指令,如果不是,则透传所述控制指令。如果是则查看所述拦截标识。在所述拦截标识是拦截状态时,不用判断SSID,直接屏蔽所述控制指令。具体地,所述过滤模块可以直接将无线客户端发送给无线网卡驱动的SSID列表刷新指令丢弃,这样,无线客户端将无法接收到无线网卡返回的最新SSID列表,进而无法发起无线接入请求。所述过滤模块也可以将所述SSID列表刷新指令转发给无线网卡驱动,然后通过篡改无线网卡驱动返回的SSID列表,比如,将SSID列表清空,以此来实现屏蔽真实的SSID列表。无线客户端在接收到为空的SSID列表后,发现没有自己要发起连接的SSID,从而停止连接。在所述拦截标识是放行状态时,所述过滤模块还需要进一步判断控制指令中携带的SSID是否和已保存的SSID相同,如果相同,则透传所述控制指令。如果不相同,则也会屏蔽所述控制指令。
以上描述本发明的实现原理,在实际应用中,所述拦截标识和可放行SSID在初始化时初始化为拦截和空。为确保第三方无线客户端可以接入无线网络,而操作系统自带的无线客户端无法接入无线网络,需要第三方无线客户端的开发人员预先设置第三方无线客户端在请求发送控制指令给无线网卡驱动之前,先下发配置指令更改所述拦截标识和可放行的SSID。以过滤模块屏蔽的控制指令是SSID列表刷新指令为例,第三方无线客户端在发送SSID列表刷新指令之前,先发送放行配置指令给配置模块,所述放行配置指令中携带有第三方无线客户端想要接入的SSID,所述配置模块根据该放行配置指令,将所述拦截标识设置为放行,并将所述可放行SSID设置为所述放行配置指令中携带的SSID。这样,当过滤模块接收到第三方无线客户端发送SSID列表刷新指令时,发现拦截标识为放行,可放行的SSID和SSID列表刷新指令中携带的SSID相同,就会透传所述SSID列表刷新指令。而操作系统自带的无线客户端不会下发这样的放行配置指令,所以操作系统自带的无线客户端发送的SSID列表刷新指令就会被屏蔽,进而使得操作系统自带的无线客户端无法接入网络。
进一步地,第三方无线客户端在断开网络时,发送的重置配置指令给配置模块,所述配置模块根据该重置配置指令,将所述拦截标识重新设置为拦截,并清空所述可放行SSID。
请参考图3,以用户终端一次实际的上网过程为例描述本发明。
用户开机后,在初始化状态下,所述拦截标识和可放行SSID是拦截和空。操作系统自带的无线客户端和第三方无线客户端都可以通过SSID列表获取指令获取SSID的信息。
操作系统自带的无线客户端想要接入网络时,发送SSID列表刷新指令给过滤模块,此时,过滤模块经查看发现,拦截标识是拦截,直接将操作系统自带的无线客户端发送的SSID列表刷新指令丢弃,或者是通过篡改无线网卡驱动返回的最新SSID列表来阻止操作系统自带的无线客户端接入无线网络。
第三方无线客户端想要接入网络时,会先发送放行配置指令给配置模块。配置模块根据所述放行配置指令,将所述拦截标识设置为放行,并将可放行SSID设置为所述放行配置指令中携带的SSID。然后,第三方无线客户端发送SSID列表刷新指令给过滤模块,过滤模块发现此时拦截标识是放行,且SSID列表刷新指令中携带的第三方无线客户端想要连接的SSID和可放行SSID相同,透传所述SSID列表刷新指令给无线网卡驱动,并将无线网卡驱动响应的最新SSID列表返回给第三方无线客户端。第三方无线客户端进而可以发送无线连接请求给无线网卡驱动,请求接入无线网络。
需要说明的是,在第三方无线客户端接入网络并为用户提供无线上网的过程中,操作系统自带的无线客户端还是可能会自动请求接入网络的。举例来说,如果第三方无线客户端已成功接入SSID1,此时,所述拦截标识是放行,可放行SSID是SSID1。对于操作系统自带的无线客户端而言,在其SSID列表中,SSID1的状态是连接,所以操作系统自带的无线客户端就无法再请求连接SSID1,但是操作系统自带的无线客户端可以请求接入SSID2。操作系统自带的无线客户端发送SSID列表刷新指令给过滤驱动模块,所述过滤驱动模块经查看发现拦截标识是放行状态,但是该SSID列表刷新指令中携带的SSID2不同于可放行SSID1,于是还是会屏蔽该SSID列表刷新指令,使得操作系统自带的无线客户端在第三方无线客户端接入网络期间无法接入网络。
第三方无线客户端在断开网络时,会发送重置配置指令给配置模块。所述配置模块根据所述重置配置指令将所述拦截标识设置为拦截,并清空所述可放行SSID。使得操作系统自带的无线客户端在第三方无线客户端没有接入网络的时候依旧无法接入网络。
由以上描述可以看出,本发明通过屏蔽操作系统自带的无线客户端和无线网卡驱动之间的控制指令来阻止操作系统自带的无线客户端接入网络,从而维护用户的上网安全。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (8)
1.一种无线接入控制装置,应用在用户终端上,其特征在于,所述装置包括:
配置模块,用于根据无线客户端的配置指令设置无线接入的拦截标识和可放行服务集标识SSID,所述拦截标识和可放行SSID在初始化时初始化为拦截和空;
过滤模块,用于在拦截标识为拦截状态时,屏蔽无线客户端和无线网卡驱动之间的控制指令,在拦截标识为放行状态且可放行SSID与所述控制指令中携带的SSID相同时,透传所述可放行SSID对应的控制指令;
所述控制指令是SSID列表刷新指令。
2.根据权利要求1所述的装置,其特征在于,
所述过滤模块屏蔽无线客户端和无线网卡驱动之间的控制指令的过程包括:拦截无线客户端发送给无线网卡驱动的控制指令或者篡改无线网卡驱动返回给无线客户端的应答结果。
3.根据权利要求1所述的装置,其特征在于,
所述配置模块根据无线客户端的配置指令设置无线接入的拦截标识和可放行SSID的过程包括:接收到无线客户端在发送控制指令给无线网卡驱动前发送的放行配置指令后,将所述拦截标识设置为放行,并将所述可放行SSID设置为所述放行配置指令中携带的SSID。
4.根据权利要求1所述的装置,其特征在于,
所述配置模块根据无线客户端的配置指令设置无线接入的拦截标识和可放行SSID的过程包括:接收到无线客户端在断开网络时发送的重置配置指令后,将所述拦截标识设置为拦截,并清空所述可放行SSID。
5.一种无线接入控制方法,应用在用户终端上,其特征在于,所述方法包括:
根据无线客户端的配置指令设置无线接入的拦截标识和可放行服务集标识SSID,所述拦截标识和可放行SSID在初始化时初始化为拦截和空;
在拦截标识为拦截状态时,屏蔽无线客户端和无线网卡驱动之间的控制指令,在拦截标识为放行状态且可放行SSID与所述控制指令中携带的SSID相同时,透传所述可放行SSID对应的控制指令;
所述控制指令是SSID列表刷新指令。
6.根据权利要求5所述的方法,其特征在于,
所述屏蔽无线客户端和无线网卡驱动之间的控制指令的过程包括:拦截无线客户端发送给无线网卡驱动的控制指令或者篡改无线网卡驱动返回给无线客户端的应答结果。
7.根据权利要求5所述的方法,其特征在于,
所述根据无线客户端的配置指令设置无线接入的拦截标识和可放行SSID的过程包括:接收到无线客户端在发送控制指令给无线网卡驱动前发送的放行配置指令后,将所述拦截标识设置为放行,并将所述可放行SSID设置为所述放行配置指令中携带的SSID。
8.根据权利要求5所述的方法,其特征在于,
所述根据无线客户端的配置指令设置无线接入的拦截标识和可放行SSID的过程包括:接收到无线客户端在断开网络时发送的重置配置指令后,将所述拦截标识设置为拦截,并清空所述可放行SSID。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410135644.1A CN103916857B (zh) | 2014-04-04 | 2014-04-04 | 一种无线接入控制装置和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410135644.1A CN103916857B (zh) | 2014-04-04 | 2014-04-04 | 一种无线接入控制装置和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103916857A CN103916857A (zh) | 2014-07-09 |
| CN103916857B true CN103916857B (zh) | 2017-10-17 |
Family
ID=51042171
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410135644.1A Active CN103916857B (zh) | 2014-04-04 | 2014-04-04 | 一种无线接入控制装置和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103916857B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104853414B (zh) * | 2015-06-11 | 2018-06-01 | 联想(北京)有限公司 | 一种控制方法及电子设备 |
| CN107231671A (zh) * | 2017-05-25 | 2017-10-03 | 江苏长顺江波软件科技发展有限公司 | 操作系统只能连接指定无线ap的方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101483515A (zh) * | 2009-02-26 | 2009-07-15 | 杭州华三通信技术有限公司 | Dhcp攻击防护方法和客户端设备 |
| CN101873720A (zh) * | 2010-06-28 | 2010-10-27 | 华为终端有限公司 | 建立无线连接的方法及无线接入设备 |
| CN101895875A (zh) * | 2010-07-29 | 2010-11-24 | 杭州华三通信技术有限公司 | 无线网络中网关设备提供差异化服务的方法及系统 |
| CN201733450U (zh) * | 2010-06-30 | 2011-02-02 | 华为终端有限公司 | 无线接入设备 |
| CN102045361A (zh) * | 2010-12-30 | 2011-05-04 | 中兴通讯股份有限公司 | 一种网络安全处理方法及无线通信装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7444669B1 (en) * | 2000-05-05 | 2008-10-28 | Microsoft Corporation | Methods and systems for providing variable rates of service for accessing networks, methods and systems for accessing the internet |
-
2014
- 2014-04-04 CN CN201410135644.1A patent/CN103916857B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101483515A (zh) * | 2009-02-26 | 2009-07-15 | 杭州华三通信技术有限公司 | Dhcp攻击防护方法和客户端设备 |
| CN101873720A (zh) * | 2010-06-28 | 2010-10-27 | 华为终端有限公司 | 建立无线连接的方法及无线接入设备 |
| CN201733450U (zh) * | 2010-06-30 | 2011-02-02 | 华为终端有限公司 | 无线接入设备 |
| CN101895875A (zh) * | 2010-07-29 | 2010-11-24 | 杭州华三通信技术有限公司 | 无线网络中网关设备提供差异化服务的方法及系统 |
| CN102045361A (zh) * | 2010-12-30 | 2011-05-04 | 中兴通讯股份有限公司 | 一种网络安全处理方法及无线通信装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103916857A (zh) | 2014-07-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10795992B2 (en) | Self-adaptive application programming interface level security monitoring | |
| US9240977B2 (en) | Techniques for protecting mobile applications | |
| US8904511B1 (en) | Virtual firewalls for multi-tenant distributed services | |
| EP3378217A1 (en) | Cross-resource subscription for m2m service layer | |
| CN104363247A (zh) | 一种具有免节省应用的节省流量方法及装置 | |
| US9781090B2 (en) | Enterprise computing environment with continuous user authentication | |
| CN104798355A (zh) | 移动设备管理和安全 | |
| Gomes et al. | Integrating MQTT and ISO/IEEE 11073 for health information sharing in the Internet of Things | |
| CN102761534B (zh) | 实现媒体接入控制层透明代理的方法和装置 | |
| JP2013128327A (ja) | 電子メッセージの拡散を減少させる方法およびシステム | |
| CN102739684A (zh) | 一种基于虚拟IP地址的Portal认证方法及服务器 | |
| CN107528712A (zh) | 访问权限的确定、页面的访问方法及装置 | |
| CN109039792A (zh) | 网络管理设备的管理方法、装置、设备及存储介质 | |
| CN106789486A (zh) | 共享接入的检测方法及装置 | |
| US20080104233A1 (en) | Network communication method and apparatus | |
| CN114024717A (zh) | 应用程序流量的控制方法、装置、设备及存储介质 | |
| CN103916857B (zh) | 一种无线接入控制装置和方法 | |
| CN108989424A (zh) | 一种远程控制的方法和系统 | |
| CN103401936B (zh) | 一种界面共享的处理方法及装置 | |
| US11405293B2 (en) | System and method for managing IT asset inventories using low power, short range network technologies | |
| CN107104846A (zh) | 一种实现资源配置的方法、装置及资源配置中心 | |
| WO2015127114A1 (en) | System and method for interconnecting and enforcing policy between multiple disparate providers of application functionality | |
| CN116915852B (zh) | 一种linux应用程序的透明代理方法及系统 | |
| US20160080498A1 (en) | Scalable Charging System Based On Service-Oriented Architecture | |
| JP4767318B2 (ja) | 端末装置のトラフィックを傍受及び分析する装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |