CN114339756A - 无线设备的准入和访问策略控制方法、装置及系统 - Google Patents
无线设备的准入和访问策略控制方法、装置及系统 Download PDFInfo
- Publication number
- CN114339756A CN114339756A CN202111561961.6A CN202111561961A CN114339756A CN 114339756 A CN114339756 A CN 114339756A CN 202111561961 A CN202111561961 A CN 202111561961A CN 114339756 A CN114339756 A CN 114339756A
- Authority
- CN
- China
- Prior art keywords
- access
- authentication
- target data
- target
- data message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 101
- 238000012545 processing Methods 0.000 claims abstract description 23
- 230000008569 process Effects 0.000 claims description 48
- 238000004422 calculation algorithm Methods 0.000 claims description 47
- 238000001514 detection method Methods 0.000 claims description 42
- 230000006870 function Effects 0.000 claims description 33
- 238000004590 computer program Methods 0.000 claims description 16
- 238000004458 analytical method Methods 0.000 claims description 9
- 230000008859 change Effects 0.000 claims description 6
- 230000000737 periodic effect Effects 0.000 claims description 5
- 230000006854 communication Effects 0.000 description 13
- 238000004891 communication Methods 0.000 description 12
- 238000010586 diagram Methods 0.000 description 10
- 230000009471 action Effects 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 7
- 238000011217 control strategy Methods 0.000 description 4
- 206010048669 Terminal state Diseases 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000002457 bidirectional effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000036039 immunity Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000012797 qualification Methods 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种无线设备的准入和访问策略控制方法、装置及系统,该方法包括:在本周期内,通过内核中设置的钩子函数,截获由目标终端发送至内核的目标数据报文;基于目标数据报文,获取认证许可信息;在认证许可信息与本地的认证数据库匹配,且匹配结果为第一信息的情况下,基于目标数据报文和访问控制列表,获取ACL检查结果,并根据ACL检查结果处理目标数据报文,以实现在目标终端准入后进行访问策略控制;其中,访问控制列表的链表顺序是基于网络环境情况设定。本发明提供的无线设备的准入和访问策略控制方法、装置及系统,能够对无线设备的接入认证以及策略控制,进行集中管控,提高接入控制的处理效率,并提高网络的安全性和可管理性。
Description
技术领域
本发明涉及无线网络技术领域,尤其涉及一种无线设备的准入和访问策略控制方法、装置及系统。
背景技术
目前,无线网络通信技术(Wi-Fi)是最为普遍应用的无线接入热点技术。绝大部分的无线接入点(Access Point,AP)均采用Linux操作系统。相比于有线网络,无线网络的开放性特征使得其更加容易受到网络入侵和攻击。
传统的Wi-Fi技术包括WEP、WPA、WPA2以及最新的尚未得到规模使用的WPA3。WPA2于2006年正式取代WPA,为目前主流使用的无线安全技术。但在2017年,研究员MathyVanhoef公布了对WPA2的秘钥重放重装攻击KRACK,攻破了WPA2协议。WPA3为了修复WPA2的漏洞而推出,但考虑到上述安全标准的开放性,很难保证其在未来不被发现存在新的漏洞。
现有无线网络安全技术重点在于解决无线层面的认证和加密,当无线网络的规模比较大,网络维护人员很难通过集中管控的方式对各分散的AP设备进行设置和管理。并且在策略控制层面,大部分AP采用基于iptable的方法实现。操作这些iptable需要有很强的专业技术背景,无疑又进一步地降低接入控制的效率。
发明内容
本发明提供一种无线设备的准入和访问策略控制方法、装置及系统,用以解决现有技术中无法对AP设备进行集中管控的缺陷,实现在内核的网络底层放置钩子函数,对无线设备中收发的网络报文的高效处理和集中管控。
本发明提供一种无线设备的准入和访问策略控制方法,包括:
在本周期内,通过内核中设置的钩子函数,截获由目标终端发送至所述内核的目标数据报文;
基于所述目标数据报文,获取认证许可信息;
在所述认证许可信息与本地的认证数据库匹配,且匹配结果为第一信息的情况下,基于所述目标数据报文和访问控制列表,获取ACL检查结果,并根据所述ACL检查结果处理所述目标数据报文,以实现在所述目标终端准入后进行访问策略控制;
其中,所述访问控制列表的链表顺序是基于网络环境情况设定。
根据本发明提供的一种无线设备的准入和访问策略控制方法,在所述基于所述目标数据报文,获取认证许可信息之后,还包括:
在所述认证许可信息与本地的认证数据库不匹配的情况下,向用户态进程发送通知消息,以使得所述用户态进程基于所述通知消息,采用认证算法进行认证,并更新所述认证数据库;
以及,
在所述认证许可信息与本地的认证数据库匹配,且所述匹配结果为第二信息的情况下,丢弃所述目标数据报文,拒绝所述目标终端的接入。
根据本发明提供的一种无线设备的准入和访问策略控制方法,所述基于所述目标数据报文,获取认证许可信息,包括:
基于所述目标数据报文,获取目标信息;
在所述目标信息通过目标检测的情况下,通过哈希算法,获取与所述目标信息对应的认证许可信息;
其中,目标检测包括周期变更检测、黑名单检测和克隆攻击检测的一种或者多种,所述目标信息至少包括源MAC地址、物理端口和IP地址中的一种或者多种。
根据本发明提供的一种无线设备的准入和访问策略控制方法,所述认证算法包括国密SM2算法和/或国密SM4算法。
根据本发明提供的一种无线设备的准入和访问策略控制方法,所述内核和所述用户态进程通过Netlink方式进行数据交换。
本发明还提供一种无线设备的准入和访问策略控制装置,包括:
报文截获模块,用于在本周期内,通过内核中设置的钩子函数,截获由目标终端发送至所述内核的目标数据报文;
报文分析模块,用于基于所述目标数据报文,获取认证许可信息;
ACL检查模块,用于在所述认证许可信息与本地的认证数据库匹配,且匹配结果为第一信息的情况下,基于所述目标数据报文和访问控制列表,获取ACL检查结果,并根据所述ACL检查结果处理所述目标数据报文,以实现在所述目标终端准入后进行访问策略控制;
其中,所述访问控制列表的链表顺序是基于网络环境情况设定。
本发明还提供一种无线设备的准入和访问策略控制系统,包括一个或者多个如上所述的无线设备的准入和访问策略控制装置,其特征在于,所述无线设备的准入和访问策略控制装置在网络边缘平行部署。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述无线设备的准入和访问策略控制方法的步骤。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述无线设备的准入和访问策略控制方法的步骤。
本发明还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上述任一种所述无线设备的准入和访问策略控制方法的步骤。
本发明提供的无线设备的准入和访问策略控制方法、装置及系统,本发明实施例基于在内核中设置钩子函数,截获目标数据报文,通过额外设置的认证算法,获取认证许可信息,并在认证通过的情况下,结合额外设置的访问控制列表获取ACL检查结果,通过ACL检查结果,对目标数据报文执行相应的操作,完成目标终端的接入认证过程。能够对无线设备的接入认证以及策略控制,进行集中管控,提高接入控制的处理效率,并提高网络的安全性和可管理性。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的无线设备的准入和访问策略控制方法的流程示意图之一;
图2是本发明提供的用户态进程的结构示意图;
图3是本发明提供的无线设备的准入和访问策略控制方法的流程示意图之二;
图4是本发明提供的无线设备的准入和访问策略控制方法的总流程示意图;
图5是本发明提供的无线设备的准入和访问策略控制装置的结构示意图;
图6是本发明提供的无线设备的准入和访问策略控制系统的结构示意图;
图7是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应当理解,在本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。
术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
图1是本发明提供的无线设备的准入和访问策略控制方法的流程示意图之一。如图1所示,本发明实施例提供的无线设备的准入和访问策略控制方法,包括:步骤101、在本周期内,通过内核中设置的钩子函数,截获由目标终端发送至内核的目标数据报文。
需要说明的是,本发明实施例提供的无线设备的准入和访问策略控制方法的执行主体为无线设备的准入和访问策略控制装置。
目标终端,是指具有无线接入功能的电子设备。该电子设备可以是移动电子设备,也可以为非移动电子设备。示例性的,移动电子设备可以为手机、平板电脑、笔记本电脑、掌上电脑、车载电子设备、可穿戴设备、超级移动个人计算机(ultra-mobile personalcomputer,UMPC)、上网本或者个人数字助理(personal digital assistant,PDA)等,非移动电子设备可以为服务器、网络附属存储器(Network Attached Storage,NAS)、个人计算机(personal computer,PC)、电视机(television,TV)、柜员机或者自助机等,本发明不作具体限定。
在步骤101之前,无线设备的准入和访问策略控制装置的管理人员可以根据该装置的性能,设置与性能相适配的数据处理周期,当本周期结束后,将开启新的一轮IP地址学习。
具体地,在步骤101中,在当前所处的周期内,在无线设备的准入和访问策略控制装置的Linux操作系统的内核中放置一个钩子函数,以在无线设备的准入和访问策略控制装置在网络协议栈对接收到目标数据报文解析之前,截获所有进入内核的目标数据报文。
目标数据报文,是指目标终端向无线设备的准入和访问策略控制装置发送的数据报文,并由无线设备的准入和访问策略控制装置中的内核进行接收,以实现系统资源访问和管理。
本发明实施例对钩子函数的设置位置不作具体限定。
优选地,在Linux内核的netif_receive_skb()函数中设置钩子函数。
其中,netif_receive_skb()函数是主要的接收数据处理函数。所以,在该函数中设置钩子函数,其数据拦截的成功率最高。
步骤102、基于目标数据报文,获取认证许可信息。
具体地,在步骤102中,在无线设备的准入和访问策略控制装置的网络协议栈外部,钩子函数对拦截到的目标数据报文进行分析,获取与该目标数据报文对应的认证许可信息。
认证许可信息,是指终端可以连接至该无线设备的准入和访问策略控制装置所对应的无线网络的唯一凭证。认证许可信息用于提供数据的保密性和完整性,保证数据报文在传输过程中不会被篡改。
步骤103、在认证许可信息与本地的认证数据库匹配,且匹配结果为第一信息的情况下,基于目标数据报文和访问控制列表,获取ACL检查结果,并根据ACL检查结果处理所述目标数据报文,以实现在目标终端准入后进行访问策略控制。
其中,访问控制列表的链表顺序是基于网络环境情况设定。
需要说明的是,认证数据库,是指关联目标终端标识信息和目标终端的认证状态的数据库,该数据库中的认证状态,是由用户态进程执行认证算法得到的结果,并同步至内核的内存中。
认证数据库,用于通过目标终端标识信息,结合数据库中的对应关系,获取目标终端的认证状态。
本发明实施例对认证数据库不作具体限定。
示例性地,采用IPK(Identity Public Key)标识技术,根据目标终端的CID信息,生成一对认证私钥和认证公钥,并将认证公钥预先存储在认证数据库,将认证私钥存储在目标终端,以利用认证公钥和认证私钥实现目标终端的接入认证。
访问控制列表(Access Control Lists,ACL),是指应用在路由器接口的指令列表。访问控制列表中的匹配条件对进站和出站的报文进行过滤处理,用于指示无线设备的准入和访问策略控制装置哪些数据包可以收、哪些数据包需要拒绝。
本发明实施例对ACL的形式和内容不作具体限定。
示例性地,ACL组织为独立的单向链表,其内容包括L1-L4层级的访问策略跟随控制,可以包括MAC源目的地址、以太网类型、IP源目的地址、IP协议类型、TCP/UDP源目的端口号等。
优选地,管理人员可以根据对目标终端的接入需求,对链表中内容的排布顺序进行设置。不同的排布顺序,代表ACL规则的优先级。在进行ACL检查时,一旦匹配了某条规则,则后续规则不再检查。
可选地,当管理人员需要对所有接入的目标终端设置一个公共的接入规则,则可以将属于公共条件的ACL内容,例如,以太网类型、IP源目的地址等,放置到链表的前面。以使得每一个目标终端发送的目标数据报文,只要满足上述公共条件,即可将数据报文成功转发。
可选地,当管理人员需要对所有接入的目标终端设置一个指定的接入规则,则可以将属于指定条件的ACL内容,例如,MAC源目的地址等,放置到链表的前面。以使得在基于该指定条件筛选后,仅对符合MAC源目的地址要求的目标终端发送的目标数据报文进行转发。
无线设备的准入和访问策略控制装置将步骤102分析出的认证许可信息与本地存储的认证数据库进行对比。对比结果有两种:匹配成功和匹配失败。
其中,匹配成功是认证许可信息与本地存储的认证数据库中存储的信息匹配情况,说明该目标数据报文经解算后的信息,是被许可接入的,但是还需要根据在认证数据库中所匹配到的内容,将匹配结果划分为两类:认证通过和认证不通过。
其中,认证通过是指认证许可信息在认证数据库中所匹配到的内容结果为第一信息的情况。说明该目标数据报文对应的目标终端为合法终端,被批准接入,并可以进行下一步的策略控制,以规划好目标终端接入后的权限。
第一信息用于指示该认证许可信息对应的终端为合法终端。第一信息的形式包括但不限于字段为“pass”,本发明实施例对此不作具体限定。
认证不通过是指认证许可信息在认证数据库中所匹配到的内容结果为第二信息的情况。说明该目标数据报文对应的目标终端为非法终端,不被批准接入。
第二信息用于指示该认证许可信息对应的终端为非法终端。第二信息的形式包括但不限于字段为“deny”,本发明实施例对此不作具体限定。
而匹配失败是认证许可信息没有在本地存储的认证数据库中匹配不到任何信息的情况,说明内核中还没有对于该目标终端的认证数据,需要先对其进行认证以获得可以匹配的认证许可信息,再根据匹配结果判断是否允许接入。
具体地,在步骤103中,无线设备的准入和访问策略控制装置将认证许可信息与本地的认证数据库进行对比,若对比结果为认证通过的情况下,说明目标终端完成接入认证,并在准许接入后,再将目标数据报文对照访问控制列表ACL进行逐条分析,直至目标数据报文匹配到ACL中某一规则,并作为该目标数据报文对应的ACL检查结果,则根据该ACL检查结果所指示的规则丢弃目标数据报文,或放行目标数据报文,以完成目标终端在接入后确认其访问权限。
ACL检查结果,是指在ACL链表中,目标数据报文所命中的控制策略规则。ACL检查结果用于过滤出符合对应控制策略规则的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。
本发明实施例对ACL的处理策略不作具体限定。
示例性地,无线设备的准入和访问策略控制装置在内核根据ACL检查结果,获知其对应的ACL动作,结合ACL检查结果和ACL动作,对目标数据报文实施对应处理策略。具体实施方式如下:
(1)存在ACL,且ACL检查结果不为空(即在ACL中查找到了符合匹配条件的规则),对应的ACL动作为“permit”,则允许目标数据报文通过,可以与接入的目标终端建立无线数据传输的连接。
(2)存在ACL,且ACL检查结果不为空,对应的ACL动作为“deny”,则丢弃目标数据报文,不可以与接入的目标终端建立无线数据传输的连接。
(3)ACL中配置规则,但ACL检查结果为空(即未匹配上ACL中的任何规则),对应的ACL动作为“permit”,但功能不生效,按照原转发方式进行转发。
(4)ACL中没有配置规则或者未创建,故ACL检查结果一定为空,对应的ACL动作为“permit”,但功能不生效,按照原转发方式进行转发。
与现有技术中的无线设备的准入和访问策略控制方法不同的是,本发明通过在无线设备的准入和访问策略控制装置的Linux内核中额外设置一个钩子函数,以卡控传输周期内所有的目标数据报文,进而,通过私有化的认证体系和ACL体系,对无线设备中收发的网络报文进行统一、高效处理。
本发明实施例基于在内核中设置钩子函数,截获目标数据报文,通过额外设置的认证算法,获取认证许可信息,并在认证通过的情况下,结合额外设置的访问控制列表获取ACL检查结果,通过ACL检查结果,对目标数据报文执行相应的操作,完成目标终端的接入认证过程。能够对无线设备的接入认证以及策略控制,进行集中管控,提高接入控制的处理效率,并提高网络的安全性和可管理性。
在上述任一实施例的基础上,在基于目标数据报文,获取认证许可信息之后,还包括:在认证许可信息与本地的认证数据库不匹配的情况下,向用户态进程发送通知消息,以使得用户态进程基于通知消息,采用认证算法进行认证,并更新认证数据库。
需要说明的是,通知消息,是指在目标数据报文未通过认证许可时,向用户态进程发送的消息。
本发明实施例对通知消息的携带内容不作具体限定。示例性地,通知消息可以携带未通过认证许可的目标数据报文中,可以唯一区分目标终端的相关消息,例如,可以是源MAC地址、物理端口(包括有线端口和无线端口)等信息等。
具体地,在步骤102之后,无线设备的准入和访问策略控制装置将认证许可信息与本地的认证数据库进行对比,若对比结果为匹配失败的情况下,将可以唯一区分目标终端的相关消息作为通知消息提交至用户态进程,由用户态进程根据通知消息中包含的相关消息,确认目标终端并采用认证算法实施认证过程,并将新的认证结果同步存放至内核,以更新认证数据库。
本发明实施例对用户态进程的实施过程不作具体限定。
示例性地,图2是本发明提供的用户态进程的结构示意图。如图2所示,用户态进程为单进程、多线程的组织架构,其中,主要包括服务器线程、本地局域网数据同步线程和内嵌认证线程。
应用以内嵌认证线程中的终端状态机为核心,在各种外部事件(定时器、终端认证报文、服务器管理报文、网络报文等)驱动下,终端状态机根据事件产生时的状态进行动作和状态切换。
除了终端状态机,内嵌认证线程中的TIP协议模块还负责实现TIP协议。该协议用于实现认证机之间的相互认证及终端认证信息的横向同步,从而实现诸如重复认证免疫、MAC地址克隆攻击防护等安全特性。
内嵌认证线程基于内存数据库实现终端数据的存储以及高效的查找、插入、删除操作。
策略管理模块,负责在终端通过认证后实施服务器下发的策略,从而实现终端对应的策略在边界认证机上的跟随实施。
服务器线程,负责建立和维护边界认证机和中心服务器(ASN)之间的连接以及服务器数据的收发。服务器线程和内嵌认证线程之间通过消息队列交换数据。
终端数据同步线程,负责通过TIP协议实现边界机之间的认证数据的横向同步。
以及,在所述认证许可信息与本地的认证数据库匹配,且所述匹配结果为第二信息的情况下,丢弃所述目标数据报文,拒绝所述目标终端的接入。
具体地,在步骤102之后,无线设备的准入和访问策略控制装置将认证许可信息与本地的认证数据库进行对比,若对比结果为认证不通过的情况下,则认定该目标数据报文为非法的,不准许其通过认证,故直接丢弃目标数据报文。本发明实施例基于在匹配失败的情况下,向用户态进程发送通知消息,由用户态进程完成认证,并将认证结果同步存放到内核中。以及在认证不通过的情况下,直接丢弃目标数据报文,能够对无线设备的接入认证以及策略控制,进行动态的集中管控,提高接入控制的处理效率,并提高网络的安全性和可管理性。
在上述任一实施例的基础上,基于目标数据报文,获取认证许可信息,包括:基于目标数据报文,获取目标信息。
其中,目标信息至少包括源MAC地址、物理端口和IP地址中的一种或者多种。
具体地,在步骤102中,钩子函数从截获的目标数据报文进行解析,获得目标消息。
目标消息,是指能够唯一区分目标终端的相关消息。本发明实施例对目标消息的种类不作具体限定。
可选地,目标消息可以包括源MAC地址。
源MAC地址,即为媒体访问控制,或称为物理地址、硬件地址,用来定义网络设备的位置。在OSI模型中,第三层网络层负责IP地址,第二层数据链路层则负责MAC地址。因此,一个终端会有一个MAC地址,MAC地址是网卡决定的,是固定的。MAC地址采用十六进制数表示,共六个字节(48位)。
可选地,目标消息可以包括物理端口。
物理端口,是指在以太网中,基于TCP协议或UDP协议的通信与上层应用进行通信所使用的端口号,端口号的范围从0到65535,有一些端口号对应有默认功能,比如用于浏览网页服务的80端口,用于FTP服务的21端口,用于MODBUS TCP通信的502端口等等。
可选地,目标消息可以包括源IP地址。
源IP地址,是指发送请求的IP地址。终端在每个网络位置会有一个专属于的IP地址。
在目标信息通过目标检测的情况下,通过哈希算法,获取与目标信息对应的认证许可信息。
其中,目标检测包括周期变更检测、黑名单检测和克隆攻击检测的一种或者多种。
需要说明的是,目标检测,是指处于维护网络安全所设置的检测项目。
具体地,在步骤102中,在无线设备的准入和访问策略控制装置的内核中,利用以目标信息作为主键的哈希算法,查找与其对应的认证许可信息。
示例性地,若目标信息为源MAC地址,则在无线设备的准入和访问策略控制装置的内核中基于MAC地址的哈希算法查找该源MAC地址对应的认证许可信息。
如果没有查找到与源MAC地址对应的认证许可信息,则在步骤103中与本地的认证数据库进行匹配的时候,其匹配结果是匹配失败,需要将该源MAC地址提交给用户态进程,由用户态进程对目标终端(依据目标终端的源MAC地址、端口等信息)实施认证过程。如果查找到与源MAC地址对应的认证许可信息,则在步骤103中与本地的认证数据库进行匹配的时候,若匹配到的结果为“deny”则认定该源MAC地址没有被许可,则丢弃报文。若匹配到的结果为“pass”则认定该源MAC地址通过认证并获得许可,则进一步进行访问控制策略检查,并根据检查结果丢弃或放行报文。
可以理解的是,源MAC地址只是作为一个最优的目标信息。当目标消息不止包括源MAC地址时,也可以将哈希算法,按照对应的目标信息内容进行算法逻辑的设置。
优选地,在钩子函数对截获的目标数据报文解析出目标消息之后,执行目标检测,检测结果有两种:检测合格和检测不合格。
其中,检测合格是指目标数据报文解析出的目标消息通过目标检测,说明该目标数据报文满足网络安全性能,并在此基础上,对目标数据报文执行哈希算法,获取认证许可信息。
检测不合格是指目标数据报文解析出的目标消息未通过目标检测,说明该目标数据报文不满足网络安全性能,并直接丢弃目标数据报文。
本发明实施例对目标检测的内容不作具体限定。
可选地,目标检测可以为周期变更检测,无线设备的准入和访问策略控制装置可以对数据传输周期进行检测,当本周期结束后,将开启新的一轮IP地址学习。
可选地,目标检测可以为黑名单检测,无线设备的准入和访问策略控制装置可以在周期内,将目标数据报文的源MAC地址对照黑名单进行检测。当目标数据报文的源MAC地址出现在黑名单,则丢弃该目标数据报文。当目标数据报文的源MAC地址未出现在黑名单,则将该目标数据报文继续进行其他检测项目。
其中,黑名单按终端的MAC组织独立的黑名单HASH表。黑名单HASH表的添加、删除由应用层进程控制。
可选地,目标检测可以为克隆攻击检测,无线设备的准入和访问策略控制装置可以在周期内,判断目标数据报文的源MAC地址是否为克隆攻击。当目标数据报文的源MAC地址为克隆攻击,则丢弃该目标数据报文。当目标数据报文的源MAC地址不为克隆攻击,则将该目标数据报文继续进行其他检测项目。
优选地,在目标信息均通过周期变更检测、黑名单检测和克隆攻击检测三个测试项目,则获取与源MAC地址对应的认证许可信息。
示例性地,图3是本发明提供的无线设备的准入和访问策略控制方法的流程示意图之二。如图3所示,下面给出一种具体实施过程:
(1)分析报文,如果学习到新的IP或MAC,则通知应用层.
(2)如果MAC在黑名单中,丢弃报文。
(3)如果判断为MAC克隆攻击,丢弃报文。
(4)如果为876D/876E报文(终端认证相关报文),直接转发给应用层。
(5)处于认证PASS状态,进一步对报文进行ACL检查,并根据检查结果进行转发或丢弃。
(6)无ACL时作为PASS处理。
本发明实施例基于截获目标数据报文,解析出目标信息,通过目标信息通过额外设置的哈希算法,获取认证许可信息,进而,结合额外设置的访问控制列表获取ACL检查结果,通过ACL检查结果,对目标数据报文执行相应的操作,完成目标终端的接入认证过程。能够对无线设备的接入认证以及策略控制,进行集中管控,提高接入控制的处理效率,并提高网络的安全性和可管理性。
在上述任一实施例的基础上,认证算法包括国密SM2算法和/或国密SM4算法。
具体地,无线设备的准入和访问策略控制装置的管理人员可以根据实际的需要来进行设定认证算法,以完成认证过程,并将认证结果更新认证数据库。
本发明实施例对认证算法不作具体限定。
优选地,认证算法可以采用国密SM2,或者采用国密SM4,又或者采用国密SM2算法和国密SM4算法的组合算法。
国密SM2算法,是国家密码管理局发布的椭圆曲线公钥密码算法。其计算复杂度为完全指数级,存储空间大幅度低于RSA算法,且秘钥生成速度较RSA算法快百倍以上。
国密SM4算法,是无线局域网标准的分组数据算法。对称加密,密钥长度和分组长度均为128位,其存储空间小于国密SM2算法。
本发明实施例采用国密算法,增强网络安全性。进而,能够对无线设备的接入认证以及策略控制,进行集中管控,提高接入控制的处理效率,并提高网络的安全性和可管理性。
在上述任一实施例的基础上,内核和用户态进程通过Netlink方式进行数据交换。
具体地,在无线设备的准入和访问策略控制装置中,建立用户态进程空间和内核空间的通信连接。
本发明实施例对通信连接的方式不作具体限定。
优选地,内核和用户态进程采用Netlink进行双工通信。即基于Netlink的广播特性,使得用户态进程和内核(收发双方)都有独立的接收和发送能力,允许同时进行双向传输。
本发明实施例对无线设备的准入和访问策略控制装置中内核和用户态进程的通信过程不作具体限定。
示例性地,图4是本发明提供的无线设备的准入和访问策略控制方法的总流程示意图。如图4所示,给出一种无线设备的准入和访问策略控制方法的总流程:
终端的认证由用户态进程410完成。用户态进程410和内核420间通过Netlink实现数据交换。用户态进程410将终端440的认证结果以及和终端440关联的ACL数据同步存放到内核420中。
其中,用户态进程410基于SM2/SM4算法实现对终端的认证。
现有技术中,当网络协议栈430接收到终端报文,直接在网络协议栈430的内部采用Linux的iptable来实现ACL,并执行相应转发。
区别于传统算法,本发明实施例是将访问控制策略存放在内存中并在内核420中,由其中钩子函数截获网络协议栈430接收到终端报文,并进行处理。当报文匹配了某条ACL,则按规则丢弃报文,或放行报文。
这样做的好处是:
(1)集中处理所有的规则,而不是像iptable多点分散处理,效率更好;
(2)有利于集中管控,并和现有的主动安全网络(Active Security Network,ASN)450的规则无缝衔接。
依托主动安全网络450的管理控制服务器,能够从实质上提高安全策略和资源控制的统一性、灵活性和便捷性。
本发明实施例采用Netlink,建立内核和用户态进程之间的全双工通信,能够提高效率,控制简单。进而,通过用户态进程实现和ASN系统的信息交互,进一步实现对无线设备的集中管控,提高接入控制的处理效率,并提高网络的安全性和可管理性。
图5是本发明提供的无线设备的准入和访问策略控制装置的结构示意图。基于上述任一实施例的内容,如图5所示,该装置包括报文截获模块510、报文分析模块520和ACL检查模块530,其中:
报文截获模块510,用于在本周期内,通过内核中设置的钩子函数,截获由目标终端发送至内核的目标数据报文。
报文分析模块520,用于基于目标数据报文,获取认证许可信息。
ACL检查模块530,用于在认证许可信息与本地的认证数据库匹配的情况下,基于目标数据报文和访问控制列表,获取ACL检查结果,并根据ACL检查结果,完成目标终端的接入认证.
其中,访问控制列表的链表顺序是基于网络环境情况设定。
具体地,报文截获模块510、报文分析模块520和ACL检查模块530顺次电连接。
报文截获模块510在当前所处的周期内,在Linux操作系统的内核中放置一个钩子函数,以在无线设备的准入和访问策略控制装置在网络协议栈对接收到目标数据报文解析之前,截获所有进入内核的目标数据报文。
目标数据报文,是指目标终端向无线设备的准入和访问策略控制装置发送的数据报文,并由无线设备的准入和访问策略控制装置中的内核进行接收,以实现系统资源访问和管理。
报文分析模块520的网络协议栈外部,钩子函数对拦截到的目标数据报文进行分析,获取与该目标数据报文对应的认证许可信息。
认证许可信息,是指终端可以连接至该无线设备的准入和访问策略控制装置所对应的无线网络的唯一凭证。认证许可信息用于提供数据的保密性和完整性,保证数据报文在传输过程中不会被篡改。
ACL检查模块530将认证许可信息与本地的认证数据库进行对比,若对比结果为认证通过的情况下,说明目标终端完成接入认证,并在准许接入后,再将目标数据报文对照访问控制列表ACL进行逐条分析,直至目标数据报文匹配到ACL中某一规则,并作为该目标数据报文对应的ACL检查结果,则根据该ACL检查结果所指示的规则丢弃目标数据报文,或放行目标数据报文,以完成目标终端在接入后确认其访问权限。
可选地,该装置还包括认证失败模块,其中:
认证失败模块,用于在认证许可信息与本地的认证数据库不匹配的情况下,向用户态进程发送通知消息,以使得用户态进程基于通知消息,采用认证算法进行认证,并更新认证数据库。
认证失败模块,还用于在所述认证许可信息与本地的认证数据库匹配,且所述匹配结果为第二信息的情况下,丢弃所述目标数据报文,拒绝所述目标终端的接入。
可选地,报文分析模块520包括分析单元和认证单元,其中:
分析单元,用于基于目标数据报文,获取目标信息。
认证单元,用于在目标信息通过目标检测的情况下,通过哈希算法,获取与目标信息对应的认证许可信息。
其中,目标检测包括周期变更检测、黑名单检测和克隆攻击检测的一种或者多种,目标信息至少包括源MAC地址、物理端口和IP地址中的一种或者多种。
可选地,认证算法包括国密SM2算法和/或国密SM4算法。
可选地,内核和用户态进程通过Netlink方式进行数据交换。
本发明实施例提供的无线设备的准入和访问策略控制装置,用于执行本发明上述无线设备的准入和访问策略控制方法,其实施方式与本发明提供的无线设备的准入和访问策略控制方法的实施方式一致,且可以达到相同的有益效果,此处不再赘述。
本发明实施例基于在内核中设置钩子函数,截获目标数据报文,通过额外设置的认证算法,获取认证许可信息,并在认证通过的情况下,结合额外设置的访问控制列表获取ACL检查结果,通过ACL检查结果,对目标数据报文执行相应的操作,完成目标终端的接入认证过程。能够对无线设备的接入认证以及策略控制,进行集中管控,提高接入控制的处理效率,并提高网络的安全性和可管理性。
图6是本发明提供的无线设备的准入和访问策略控制系统的结构示意图。基于上述任一实施例的内容,如图6所示,该系统包括一个或者多个如上的无线设备的准入和访问策略控制装置610,无线设备的准入和访问策略控制装置610在网络边缘平行部署。
具体地,所有无线设备的准入和访问策略控制装置610平行部署在网络边缘,以构成无线设备的准入和访问策略控制系统600,其内嵌认证服务关闭面向网络的端口,并通过预设的同步协议保持认证数据的一致性。
本发明实施例的无线设备的准入和访问策略控制系统600采用分布式边缘计算架构,将多个内嵌认证服务器的无线设备的准入和访问策略控制装置610平行部署在网络边缘。每个无线设备的准入和访问策略控制装置610中的认证服务器打开面向终端的南向接口,关闭面向网络的北向接口,以使每个认证服务器仅负责接入到该无线设备的准入和访问策略控制装置610的终端的认证过程。
本发明实施例基于在内核中设置钩子函数,截获目标数据报文,通过额外设置的认证算法,获取认证许可信息,并在认证通过的情况下,结合额外设置的访问控制列表获取ACL检查结果,通过ACL检查结果,对目标数据报文执行相应的操作,完成目标终端的接入认证过程。能够对无线设备的接入认证以及策略控制,进行集中管控,提高接入控制的处理效率,并提高网络的安全性和可管理性。
图7示例了一种电子设备的实体结构示意图,如图7所示,该电子设备可以包括:处理器(processor)710、通信接口(Communications Interface)720、存储器(memory)730和通信总线740,其中,处理器710,通信接口720,存储器730通过通信总线740完成相互间的通信。处理器710可以调用存储器730中的逻辑指令,以执行无线设备的准入和访问策略控制方法,该方法包括:在本周期内,通过内核中设置的钩子函数,截获由目标终端发送至内核的目标数据报文;基于目标数据报文,获取认证许可信息;在认证许可信息与本地的认证数据库匹配,且匹配结果为第一信息的情况下,基于目标数据报文和访问控制列表,获取ACL检查结果,并根据ACL检查结果处理所述目标数据报文,以实现在目标终端准入后进行访问策略控制;其中,访问控制列表的链表顺序是基于网络环境情况设定。
此外,上述的存储器730中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括计算机程序,计算机程序可存储在非暂态计算机可读存储介质上,所述计算机程序被处理器执行时,计算机能够执行上述各方法所提供的无线设备的准入和访问策略控制方法,该方法包括:在本周期内,通过内核中设置的钩子函数,截获由目标终端发送至内核的目标数据报文;基于目标数据报文,获取认证许可信息;在认证许可信息与本地的认证数据库匹配,且匹配结果为第一信息的情况下,基于目标数据报文和访问控制列表,获取ACL检查结果,并根据ACL检查结果处理所述目标数据报文,以实现在目标终端准入后进行访问策略控制;其中,访问控制列表的链表顺序是基于网络环境情况设定。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各方法提供的无线设备的准入和访问策略控制方法,该方法包括:在本周期内,通过内核中设置的钩子函数,截获由目标终端发送至内核的目标数据报文;基于目标数据报文,获取认证许可信息;在认证许可信息与本地的认证数据库匹配,且匹配结果为第一信息的情况下,基于目标数据报文和访问控制列表,获取ACL检查结果,并根据ACL检查结果处理所述目标数据报文,以实现在目标终端准入后进行访问策略控制;其中,访问控制列表的链表顺序是基于网络环境情况设定。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种无线设备的准入和访问策略控制方法,其特征在于,包括:
在本周期内,通过内核中设置的钩子函数,截获由目标终端发送至所述内核的目标数据报文;
基于所述目标数据报文,获取认证许可信息;
在所述认证许可信息与本地的认证数据库匹配,且匹配结果为第一信息的情况下,基于所述目标数据报文和访问控制列表,获取ACL检查结果,并根据所述ACL检查结果处理所述目标数据报文,以实现在所述目标终端准入后进行访问策略控制;
其中,所述访问控制列表的链表顺序是基于网络环境情况设定。
2.根据权利要求1所述的无线设备的准入和访问策略控制方法,其特征在于,在所述基于所述目标数据报文,获取认证许可信息之后,还包括:在所述认证许可信息与本地的认证数据库不匹配的情况下,向用户态进程发送通知消息,以使得所述用户态进程基于所述通知消息,采用认证算法进行认证,并更新所述认证数据库;
以及,
在所述认证许可信息与本地的认证数据库匹配,且所述匹配结果为第二信息的情况下,丢弃所述目标数据报文,拒绝所述目标终端的接入。
3.根据权利要求1所述的无线设备的准入和访问策略控制方法,其特征在于,所述基于所述目标数据报文,获取认证许可信息,包括:
基于所述目标数据报文,获取目标信息;
在所述目标信息通过目标检测的情况下,通过哈希算法,获取与所述目标信息对应的认证许可信息;
其中,目标检测包括周期变更检测、黑名单检测和克隆攻击检测的一种或者多种,所述目标信息至少包括源MAC地址、物理端口和IP地址中的一种或者多种。
4.根据权利要求2所述的无线设备的准入和访问策略控制方法,其特征在于,所述认证算法包括国密SM2算法和/或国密SM4算法。
5.根据权利要求2所述的无线设备的准入和访问策略控制方法,其特征在于,所述内核和所述用户态进程通过Netlink方式进行数据交换。
6.一种无线设备的准入和访问策略控制装置,其特征在于,包括:
报文截获模块,用于在本周期内,通过内核中设置的钩子函数,截获由目标终端发送至所述内核的目标数据报文;
报文分析模块,用于基于所述目标数据报文,获取认证许可信息;
ACL检查模块,用于在所述认证许可信息与本地的认证数据库匹配,且匹配结果为第一信息的情况下,基于所述目标数据报文和访问控制列表,获取ACL检查结果,并根据所述ACL检查结果处理所述目标数据报文,以实现在所述目标终端准入后进行访问策略控制;
其中,所述访问控制列表的链表顺序是基于网络环境情况设定。
7.一种无线设备的准入和访问策略控制装置,包括一个或者多个如权利要求6所述的无线设备的准入和访问策略控制装置,其特征在于,所述无线设备的准入和访问策略控制装置在网络边缘平行部署。
8.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至5任一项所述无线设备的准入和访问策略控制方法的步骤。
9.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至5任一项所述无线设备的准入和访问策略控制方法的步骤。
10.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至5任一项所述无线设备的准入和访问策略控制方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111561961.6A CN114339756B (zh) | 2021-12-17 | 2021-12-17 | 无线设备的准入和访问策略控制方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111561961.6A CN114339756B (zh) | 2021-12-17 | 2021-12-17 | 无线设备的准入和访问策略控制方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114339756A true CN114339756A (zh) | 2022-04-12 |
| CN114339756B CN114339756B (zh) | 2024-04-26 |
Family
ID=81053366
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111561961.6A Active CN114339756B (zh) | 2021-12-17 | 2021-12-17 | 无线设备的准入和访问策略控制方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114339756B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080244738A1 (en) * | 2007-03-28 | 2008-10-02 | Fujitsu Limited | Access control |
| CN103327025A (zh) * | 2013-06-28 | 2013-09-25 | 北京奇虎科技有限公司 | 网络访问控制方法及装置 |
| WO2019237866A1 (zh) * | 2018-06-12 | 2019-12-19 | 杨力祥 | 一种运行时访问控制方法及计算装置 |
| CN112615829A (zh) * | 2020-12-08 | 2021-04-06 | 北京北信源软件股份有限公司 | 一种终端接入认证方法及系统 |
| CN112906025A (zh) * | 2021-03-03 | 2021-06-04 | 江苏保旺达软件技术有限公司 | 数据库管控方法、装置、设备及存储介质 |
-
2021
- 2021-12-17 CN CN202111561961.6A patent/CN114339756B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080244738A1 (en) * | 2007-03-28 | 2008-10-02 | Fujitsu Limited | Access control |
| CN103327025A (zh) * | 2013-06-28 | 2013-09-25 | 北京奇虎科技有限公司 | 网络访问控制方法及装置 |
| WO2019237866A1 (zh) * | 2018-06-12 | 2019-12-19 | 杨力祥 | 一种运行时访问控制方法及计算装置 |
| CN112615829A (zh) * | 2020-12-08 | 2021-04-06 | 北京北信源软件股份有限公司 | 一种终端接入认证方法及系统 |
| CN112906025A (zh) * | 2021-03-03 | 2021-06-04 | 江苏保旺达软件技术有限公司 | 数据库管控方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114339756B (zh) | 2024-04-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2742711B1 (en) | Detection of suspect wireless access points | |
| US11314614B2 (en) | Security for container networks | |
| US10623446B1 (en) | Multi-factor authentication for applications and virtual instance identities | |
| Islam et al. | An analysis of cybersecurity attacks against internet of things and security solutions | |
| CN103765846A (zh) | 用于互锁主机和网关的系统和方法 | |
| CN108605264B (zh) | 用于网络管理的方法和设备 | |
| EP2790354A1 (en) | Security management system having multiple relay servers, and security management method | |
| WO2019084340A1 (en) | SYSTEM AND METHOD FOR PROVIDING SECURE VLAN IN A WIRELESS NETWORK | |
| Sattar et al. | A stride threat model for 5g core slicing | |
| CN110620773B (zh) | 一种tcp流量隔离方法、装置及相关组件 | |
| CN113904826B (zh) | 数据传输方法、装置、设备和存储介质 | |
| CN106411852B (zh) | 一种分布式终端准入控制方法和装置 | |
| US10021070B2 (en) | Method and apparatus for federated firewall security | |
| CN114697963A (zh) | 终端的身份认证方法、装置、计算机设备和存储介质 | |
| CN110035082B (zh) | 一种交换机准入认证方法、交换机及系统 | |
| KR100819942B1 (ko) | 유무선 네트워크의 검역 및 정책기반 접속제어 방법 | |
| Al-Zewairi et al. | An experimental software defined security controller for software defined network | |
| CN114339756B (zh) | 无线设备的准入和访问策略控制方法、装置及系统 | |
| CN103685134A (zh) | Wlan网络资源访问控制方法及装置 | |
| CN113162922B (zh) | 客户端数据的获取方法及装置、存储介质、电子设备 | |
| US10122686B2 (en) | Method of building a firewall for networked devices | |
| CN115174262A (zh) | 安全访问内部网络的方法、装置及电子设备 | |
| Thompson et al. | A Secured System for Internet Enabled Host Devices | |
| JP2017521954A (ja) | コンピュータ・ネットワーク・インフラストラクチャにおける外部コンピュータシステムのブロック解除方法、そのようなコンピュータ・ネットワーク・インフラストラクチャを有する分散コンピュータネットワーク、およびコンピュータプログラム製品 | |
| Kacic et al. | Malware injection in wireless networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |