WO2014094483A1 - WiFi设备的访问控制方法及WiFi设备 - Google Patents

Abstract

本发明实施例公开了WiFi设备的访问控制方法及WiFi设备，其中所述方法可包括：在所述WiFi设备的用户层接收基于服务集标识SSID的访问WiFi设备的访问请求，所述访问请求包括访问所述WiFi设备的管理界面WEBUI的请求；在所述WiFi设备的用户层判断所述接收的访问请求的标签是否与预先为禁止访问所述WiFi设备的SSID设定的标签之一相同，如果判断为是，则拒绝所述访问请求，如果判断为否，则接受所述访问请求。由此，可通过简单的方式实现WiFi设备的访问控制。

Description

WiFi设备的访问控制方法及 WiFi设备

本申请要求于 2012年 12月 18日提交中国专利局、 申请号为 201210551879.X中国专利申请的优先权， 其全部内容通过引用结合在本申 请中。

技术领域 本发明涉及无线通信领域，尤其涉及 WiFi设备的访问控制方法及 WiFi 设备。 背景技术 随着 WiFi产品的普及， 用户对 WiFi访问的需求不断增加， 当 WiFi支 持多 WiFi服务集标识（ Multi Service Set Identifier, Multi-SSID )时， 需要 对每个 SSID的权限进行管理， 比如，可允许 SSID1关联的终端用户可以登 录 WiFi的管理界面 WEBUI, 并进行终端参数配置， 而不允许 SSID2关联 的终端用户访问 WiFi的管理界面 WEBUI。

目前， 对 Multi-SSID进行管理的方案如下：

当有终端用户发起 WEBUI访问请求时， WiFi产品中的应用模块根据 动态主机配置协议 ( Dynamic Host Configuration Protocol, DHCP )模块上 报的网络互连协议地址 ( Internet Protocol , IP )地址与介质访问控制（ Media Access Control , MAC )地址的对应关系， 获取当前发起 WEBUI访问请求 的终端用户的 MAC地址， 并调用 WiFi查询接口获取不允许访问 WEBUI 的 SSID (比如， SSID2 )关联的终端用户的 MAC地址列表，判断所述 MAC 地址列表中是否包含有当前发起 WEBUI访问请求的终端用户的 MAC地 址， 如果包含， 则拒绝用户对 WEBUI的访问请求， 如果不包含， 则响应用 户对 WEBUI的访问请求。

但是， 该方案尚存在如下不足之处：

每次用户试图访问 WEBUI时， 都要查询 IP/MAC对应关系表， 并调用 WiFi查询接口获取不允许访问 WEBUI的 SSID (比如， SSID2 ) 关联的所 有终端用户的 MAC地址列表， 判断所述 MAC地址列表中是否包含有当前 发起 WEBUI访问请求的终端用户的 MAC地址 , 效率低下。 发明内容 本发明实施例提供 WiFi设备的访问控制方法及 WiFi设备， 可通过简 单的方式实现 WiFi设备的访问控制。

本发明第一方面提供一种 WiFi设备的访问控制方法， 可包括： 在所述 WiFi设备的用户层接收基于服务集标识 SSID的访问 WiFi设备 的访问请求 , 所述访问请求包括访问所述 WiFi设备的管理界面 WEBUI的 请求；

在所述 WiFi设备的用户层判断所述接收的访问请求的标签是否与预先 为禁止访问所述 WiFi设备的 SSID设定的标签之一相同， 如果判断为是， 则拒绝所述访问请求， 如果判断为否， 则接受所述访问请求。

结合第一方面， 在第一种可能的实现方式中， 在所述 WiFi设备的用户 层接收基于服务集标识 SSID的访问 WiFi设备的访问请求之前，还可包括： 在所述 WiFi设备的内核层获取多 WiFi服务集标识 Multi-SSID中禁止 访问所述 WiFi设备的 SSID所在接口的索引值；

当在所述 WiFi设备的内核层接收到基于服务器标识 SSID的访问 WiFi 设备的访问请求时，判断所述访问请求所基于的服务集标识 SSID所在接口 的索引值是否为禁止访问所述 WiFi设备的 SSID所在接口的索引值之一； 如果判断为是,在所述 WiFi设备的内核层为基于所述服务器标识 SSID 的所述访问请求添加预先设定标签， 并将添加了预先设定标签的访问请求 发送给所述 WiFi设备的用户层， 如果判断为否， 在所述 WiFi设备内核层 不为基于所述服务器标识 SSID的所述访问请求添加预先设定标签，并将未 添加预先设定标签的访问请求发送给所述 WiFi设备的用户层。

结合第一方面或第一方面的第一种可能的实现方式， 在第二种可能的 实现方式中， 在所述 WiFi设备的用户层接收基于服务集标识 SSID的访问 WiFi设备的访问请求之前， 还包括：

在所述 WiFi设备的用户层为禁止访问所述 WiFi设备的 SSID设定对应 的标签。 本发明第二方面提供一种 WiFi设备， 可包括：

第一接收模块， 用于在所述 WiFi设备的用户层接收基于服务集标识 SSID的访问 WiFi设备的访问请求， 所述访问请求包括访问所述 WiFi设备 的管理界面 WEBUI的请求；

第一判断模块， 用于在所述 WiFi设备的用户层判断所述接收的访问请 求的标签是否与预先为禁止访问所述 WiFi设备的 SSID设定的标签之一相 同；

第一访问控制模块， 用于当所述第一判断模块的判断结果为是时， 拒 绝所述访问请求， 当所述第一判断模块的判断结果为否时， 接受所述访问 请求。

结合第二方面， 在第一种可能的实现方式中， 本发明的 WiFi设备还可 包括：

获取模块， 用于在所述 WiFi设备的内核层获取多 WiFi服务集标识 Multi-SSID中禁止访问所述 WiFi设备的 SSID所在接口的索引值；

第二接收模块， 用于在所述 WiFi设备的内核层接收基于服务器标识 SSID的访问 WiFi设备的访问请求；

第二判断模块， 用于当所述第二接收模块接收到基于服务器标识 SSID 的访问 WiFi设备的访问请求时， 判断所述访问请求所基于的服务集标识 SSID所在接口的索引值是否为禁止访问所述 WiFi设备的 SSID所在接口的 索引值之一；

第二访问控制模块， 用于当所述第二判断模块的判断结果为是时， 在 内核层为基于所述服务器标识 SSID的所述访问请求添加预先设定标签，并 将添加了预先设定标签的访问请求发送给所述第一接收模块， 当所述第二 判断模块的判断结果为否时，在内核层不为基于所述服务器标识 SSID的所 述访问请求添加预先设定标签， 并将未添加预先设定标签的访问请求发送 给所述第一接收模块。

结合第二方面或第二方面的第一种可能的实现方式， 在第二种可能的 实现方式中， 本发明的 WiFi设备还可包括：

设定模块， 用于在所述 WiFi设备的用户层为禁止访问所述 WiFi设备 的 SSID设定对应的标签。

本发明第三方面提供一种 WiFi设备， 可包括存储器和处理器， 所述存 储器中存储有指定程序， 所述处理器调用所述存储器中所存储的程序， 以 执行如下步骤：

在所述 WiFi设备的用户层接收基于服务集标识 SSID的访问 WiFi设备 的访问请求 , 所述访问请求包括访问所述 WiFi设备的管理界面 WEBUI的 请求；

在所述 WiFi设备的用户层判断所述接收的访问请求的标签是否与预先 为禁止访问所述 WiFi设备的 SSID设定的标签之一相同， 如果判断为是， 则拒绝所述访问请求， 如果判断为否， 则接受所述访问请求。

结合第三方面， 在第一种可能的实现方式中， 所述处理器在所述 WiFi 设备的用户层判断所述接收的访问请求的标签是否与预先为禁止访问所述 WiFi设备的 SSID设定的标签之一相同之前， 还执行如下步骤：

在所述 WiFi设备的内核层获取多 WiFi服务集标识 Multi-SSID中禁止 访问所述 WiFi设备的 SSID所在接口的索引值；

当在所述 WiFi设备的内核层接收到基于服务器标识 SSID的访问 WiFi 设备的访问请求时，判断所述访问请求所基于的服务集标识 SSID所在接口 的索引值是否为禁止访问所述 WiFi设备的 SSID所在接口的索引值之一； 如果判断为是,在所述 WiFi设备的内核层为基于所述服务器标识 SSID 的所述访问请求添加预先设定标签， 并将添加了预先设定标签的访问请求 发送给所述 WiFi设备的用户层， 如果判断为否， 在所述 WiFi设备内核层 不为基于所述服务器标识 SSID的所述访问请求添加预先设定标签，并将未 添加预先设定标签的访问请求发送给所述 WiFi设备的用户层。

结合第三方面或第三方面的第一种可能的实现方式， 在第二种可能的 实现方式中， 所述处理器在所述 WiFi设备的用户层接收基于的服务集标识 SSID的访问 WiFi设备的访问请求之前， 还执行如下步骤：

在所述 WiFi设备的用户层为禁止访问所述 WiFi设备的 SSID设定对应 的标签。

由上可见， 在本发明的一些可行的实施方式中， 在所述 WiFi设备的用 户层接收基于服务集标识 SSID的访问 WiFi设备的访问请求， 所述访问请 求包括访问所述 WiFi设备的管理界面 WEBUI的请求；在所述 WiFi设备的 用户层判断所述接收的访问请求的标签是否与预先为禁止访问所述 WiFi设 备的 SSID设定的标签之一相同， 如果判断为是， 则拒绝所述访问请求， 如 果判断为否， 则接受所述访问请求。 由此可知， 本发明实施例仅通过标签 即可对访问 WiFi设备的访问请求进行管理， 有效降低了查询 IP/MAC对应 表和不允许访问 WEBUI的 SSID关联的用户的 MAC表的处理时间， 提升 了处理效率。 另外， 本发明实施例基于 SSID管理访问， 而不是基于用户的 MAC地址管理访问， 则用户发生变化时， 用户权限设置仍不会出错； 另外 本发明实施例避免了用户设置静态 IP时， 造成的网络安全隐患， 提升了用 户体验。 附图说明 图 1为本发明的 WiFi设备的访问控制方法的一实施例的流程示意图。 图 2 为本发明的 WiFi设备的访问控制方法的另一实施例的流程示意 图。

图 3为本发明的 WiFi设备的一实施例的结构组成示意图。

图 4为本发明的 WiFi设备的另一实施例的结构组成示意图。

图 5为本发明的 WiFi设备的另一实施例的结构组成示意图。

具体实施方式 为使本发明的目的、 技术方案和优点更加清楚， 下面将结合附图对本 发明作进一步地详细描述。

图 1为本发明的 WiFi设备的访问控制方法的一实施例的流程示意图。 如 图 1所示， 本发明实施例的方法包括：

步骤 S110, 在所述 WiFi设备的用户层接收基于服务集标识 SSID的访 问 WiFi设备的访问请求， 所述访问请求包括访问所述 WiFi设备的管理界 面 WEBUI的请求； 步骤 Sill , 在所述 WiFi设备的用户层判断所述接收的访问请求的标签 是否与预先为禁止访问所述 WiFi设备的 SSID设定的标签之一相同， 如果判 断为是， 则执行步骤 S112; 如果判断为否， 则执行步骤 S122。

步骤 S112, 拒绝所述访问请求。

步骤 S122, 接受所述访问请求。

具体实现中， 本发明实施例的用户层可以包括平台层、 协议层及应用 层。 本发明实施例的内核层可以包括操作系统部分。

具体实现中， 步骤 S110所接收的访问请求可为登录或维护 WiFi设备的 管理界面的访问请求， 所述访问请求可为超文本传输协议（ Hyper Text Transfer Protocol, HTTP )才艮文， 文件传输协议 ( File Transfer Protocol, FTP ) 等。

具体实现中， 可预先通过防火墙设置流程在所述 WiFi设备的用户层为 禁止访问所述 WiFi设备的 SSID设定对应的标签和访问请求过滤规则。比如， 假设禁止访问所述 WiFi设备的 SSID为 SSID2 ,则可在所述 WiFi设备的用户层 调用 SetSSID2AccessRule (自定义的函数名， 可根据需要设定为其他名称） 函数来设置防火墙规则， 该函数可根据使能 /去使能参数， 插入或者删除访 问请求过滤规则，比如设定的过滤规则可为，拒绝标签为 Oxfffl的访问请求。 则当 wifi工作在 Multi-SSID模式时， 在步骤 S111 , 在所述 WiFi设备的用户层 判断接收的访问请求的标签， 如果标签是 Oxfffl , 则丟弃（即拒绝访问）， 否则正常转发（即接受访问）。

在本发明的一些可行的实施方式中， 在所述 WiFi设备的用户层接收基 于服务集标识 SSID的访问 WiFi设备的访问请求， 所述访问请求包括访问 所述 WiFi设备的管理界面 WEBUI的请求；在所述 WiFi设备的用户层判断 所述接收的访问请求的标签是否与预先为禁止访问所述 WiFi设备的 SSID 设定的标签之一相同， 如果判断为是， 则拒绝所述访问请求， 如果判断为 否， 则接受所述访问请求。 本发明实施例仅通过标签即可对访问 WiFi设备 的访问请求进行管理， 有效降低了查询 IP/MAC 对应表和不允许访问 WEBUI的 SSID关联的用户的 MAC表的处理时间， 提升了处理效率。 另 外， 本发明实施例基于 SSID管理访问， 而不是基于用户的 MAC地址管理 访问， 则用户发生变化时， 用户权限设置仍不会出错； 另外本发明实施例 避免了用户设置静态 IP时， 造成的网络安全隐患， 提升了用户体验。

图 2为本发明的 WiFi设备的访问控制方法的一实施例的流程示意图。 其 在图 1实施例的基石出上， 增加了 WiFi设备内核层的相关处理流程， 如图 2所 示， 本发明实施例的方法包括：

步骤 S210 , 在所述 WiFi 设备的内核层获取多 WiFi 服务集标识 Multi-SSID中禁止访问所述 WiFi设备的 SSID所在接口的索引值。

步骤 S211 , 在所述 WiFi设备的内核层接收基于服务器标识 SSID的访 问 WiFi设备的访问请求。

步骤 S212,在所述 WiFi设备的内核层判断所述访问请求所基于的服务 集标识 SSID所在接口的索引值是否为禁止访问所述 WiFi设备的 SSID所在 接口的索引值之一， 如果判断为是， 执行步骤 S213; 如果判断为否， 执行 步骤 S223。

步骤 S213 , 在所述 WiFi设备的内核层为基于所述服务器标识 SSID的所 述访问请求添加预先设定标签， 并将添加了预先设定标签的访问请求发送 给所述 WiFi设备的用户层。

步骤 S223 , 在所述 WiFi设备内核层不为基于所述服务器标识 SSID的所 述访问请求添加预先设定标签， 并将未添加预先设定标签的访问请求发送 给所述 WiFi设备的用户层。

步骤 S214, 在所述 WiFi设备的用户层接收基于的服务集标识 SSID的 访问 WiFi设备的访问请求， 所述访问请求包括访问所述 WiFi设备的管理 界面 WEBUI的请求；

步骤 S215 , 在所述 WiFi设备的用户层判断所述接收的访问请求的标签 是否与预先为禁止访问所述 WiFi设备的 SSID设定的标签之一相同， 如果判 断为是， 则执行步骤 S216; 如果判断为否， 则执行步骤 S236。

步骤 S216, 拒绝所述访问请求。

步骤 S236, 接受所述访问请求。

具体实现中， 在所述 WiFi设备的用户层可为访问所述 WiFi设备的各 SSID设置访问权限， 尤其对于禁止访问所述 WiFi设备的 SSID需要设置其 禁止访问 WiFi设备。比如，假设禁止访问所述 WiFi设备的 SSID为 SSID2, 则可在用户层 wlan— api.c文件中新增 EnableSsid2AccessUI (自定义的接口 名称， 可根据需要设定为其他名称）接口供用户层的应用模块调用， 则用 户层的应用模块可通过该函数传递使能 /去使能参数记录该 SSID的权限值， 默认记录的参数为禁止访问，即禁止基于 SSID2发送访问 WiFi设备的访问 请求。 并根据使能 /去使能参数来判断是否在用户层向 ssid2 Proc文件 (自 定义的文件名称， 可根据需要设定为其他名称） 中写入 SSID2所在接口的 索引值， 如接口 ethl的索引值 ifmdex值； 若参数是 SSID2禁止访问 WiFi 设备， 则需向 ssid2 Proc文件中写入 SSID2所在接口的索引值， 若参数是 SSID2允许访问 WiFi设备， 则需向 ssid2 Proc文件中写入非法值， 即非任 何接口的索引值。

因此，在步骤 S210,则可在所述 WiFi设备的内核层通过读取 ssid2 Proc 文件中的接口索引值来获取禁止访问所述 WiFi设备的 SSID2的接口的索引 值。

在步骤 S211和 S212, 当在所述 WiFi设备的内核层接收到基于服务器 标识 SSID的访问 WiFi设备的访问请求时， 在内核层将所述访问请求向用 户层转发之前， 在所述 WiFi设备的内核层判断所述访问请求所基于的服务 集标识 SSID所在接口的索引值是否为禁止访问所述 WiFi设备的 SSID所在 接口的索引值之一， 如果判断为是， 执行步骤 S213; 如果判断为否， 执行 步骤 S223。 仍结合前述例子， 则在步骤 S212, 在内核转发流程中， 通过判 断（比如在 br_input.c文件的 br_pass— frame— up(struct sk— buff *skb)函数中判 断） 当前转发设备接口的索引值 ifindex是否与 ssid2 Proc文件中获取到的 ifmdex相等， 如果转发设备接口的索引值 ifmdex和 ssid2 Proc文件中获取 的值相等， 则在步骤 S213 , 为基于所述服务器标识 SSID2的访问请求添加 预先设定标签（比如， 添加的标签为 Oxfffl ), 如果转发设备接口的索引值 ifmdex和 ssid2 Proc文件中获取的值不相等， 则跳过添加标签的操作， 执行 标准的流程而直接转发访问请求。

则在步骤 S225, 在所述 WiFi设备的用户层判断接收的访问请求的标签， 如果标签是 Oxfffl , 则丟弃（即拒绝访问）， 否则正常转发（即接受访问）。 由上可见， 在本发明的一些可行的实施方式中， 在所述 WiFi设备的用 户层接收基于的服务集标识 SSID的访问 WiFi设备的访问请求， 所述访问 请求包括访问所述 WiFi设备的管理界面 WEBUI的请求；在所述 WiFi设备 的用户层判断所述接收的访问请求的标签是否与预先为禁止访问所述 WiFi 设备的 SSID设定的标签之一相同， 如果判断为是， 则拒绝所述访问请求， 如果判断为否， 则接受所述访问请求。 由此可知， 本发明实施例仅通过标 签即可对访问 WiFi设备的访问请求进行管理， 有效降低了查询 IP/MAC对 应表和不允许访问 WEBUI的 SSID关联的用户的 MAC表处理时间， 提升 处理效率。 另外， 本发明实施例基于 SSID 管理访问， 而不是基于用户的 MAC地址管理访问， 则用户发生变化时， 用户权限设置仍不会出错； 另外 本发明实施例避免了用户设置静态 IP时， 造成的网络安全隐患， 提升用户 体验。 备的装置实施例。图 3为本发明的 WiFi设备的一实施例的结构组成示意图。 如图 3所示， 本发明实施例的 WiFi设备可包括： 第一接收模块 31、 第一判 断模块 32以及第一访问控制模块 33 , 其中：

第一接收模块 31 ,用于在所述 WiFi设备的用户层接收基于服务集标识 SSID的访问 WiFi设备的访问请求， 所述访问请求包括访问所述 WiFi设备 的管理界面 WEBUI的请求；

第一判断模块 32,用于在所述 WiFi设备的用户层判断所述接收的访问 请求的标签是否与预先为禁止访问所述 WiFi设备的 SSID设定的标签之一 相同；

第一访问控制模块 33，用于当所述第一判断模块 32的判断结果为是时， 拒绝所述访问请求， 当所述第一判断模块 32的判断结果为否时， 接受所述 访问请求。

具体实现中， 第一接收模块 31接收的访问请求可为登录或维护 WiFi设 备的管理界面的访问请求， 所述访问请求可为超文本传输协议（Hyper Text Transfer Protocol, HTTP )才艮文， 文件传输协议 ( File Transfer Protocol, FTP ) 等。 具体实现中， 本发明实施例的 WiFi设备还可包括设定模块 34, 用于预 先在所述 WiFi设备的用户层为禁止访问所述 WiFi设备的 SSID设定对应的标 签过滤规则。 比如， 设定模块可预先通过防火墙设置流程在所述 WiFi设备 的用户层为禁止访问所述 WiFi设备的 SSID设定对应的标签和访问请求过滤 规则。 比如， 假设禁止访问所述 WiFi设备的 SSID为 SSID2, 则所述设定模块 可在所述 WiFi设备的用户层调用 SetSSID2AccessRule (自定义的函数名， 可 根据需要设定为其他名称） 函数来设置防火墙规则， 该函数可根据使能 /去 使能参数， 插入或者删除访问请求过滤规则， 比如假设， 设定的过滤规则 可为， 拒绝标签为 Oxfffl的访问请求， 则当 wifi工作在 Multi-SSID模式时， 第 一判断模块 32在所述 WiFi设备的用户层判断接收的访问请求的标签， 如果 标签是 Oxfffl , 则丟弃 (即拒绝访问）， 否则正常转发 (即接受访问）。

由上可见， 在本发明的一些可行的实施方式中， 在所述 WiFi设备的用 户层接收基于的服务集标识 SSID的访问 WiFi设备的访问请求， 所述访问 请求包括访问所述 WiFi设备的管理界面 WEBUI的请求；在所述 WiFi设备 的用户层判断所述接收的访问请求的标签是否与预先为禁止访问所述 WiFi 设备的 SSID设定的标签之一相同， 如果判断为是， 则拒绝所述访问请求， 如果判断为否， 则接受所述访问请求。 由此可知， 本发明实施例仅通过标 签即可对访问 WiFi设备的访问请求进行管理， 有效降低了查询 IP/MAC对 应表和不允许访问 WEBUI的 SSID关联的用户的 MAC表的处理时间， 提 升了处理效率。 另外， 本发明实施例基于 SSID管理访问， 而不是基于用户 的 MAC地址管理访问， 则用户发生变化时， 用户权限设置仍不会出错； 另 外本发明实施例避免了用户设置静态 IP时， 造成的网络安全隐患， 提升了 用户体验。

图 4为本发明的 WiFi设备的另一实施例的结构组成示意图。 如图 4所 示， 本发明实施例的 WiFi设备可包括： 获取模块 41、 第二接收模块 42、 第二判断模块 43、 第二访问控制模块 44、 设定模块 45、 第一接收模块 46、 第一判断模块 32、 第一访问控制模块 33 , 其中：

获取模块 41 , 用于在所述 WiFi设备的内核层获取多 WiFi服务集标识 Multi-SSID中禁止访问所述 WiFi设备的 SSID所在接口的索引值。 第二接收模块 42,用于在所述 WiFi设备的内核层接收基于服务器标识 SSID的访问 WiFi设备的访问请求。

第二判断模块 43 ,用于当所述第二接收模块 42接收到基于服务器标识 SSID的访问 WiFi设备的访问请求时， 判断所述访问请求所基于的服务集 标识 SSID所在接口的索引值是否为禁止访问所述 WiFi设备的 SSID所在接 口的索引值之一。

第二访问控制模块 44 ,用于当所述第二判断模块 43的判断结果为是时， 在内核层为基于所述服务器标识 SSID的所述访问请求添加预先设定标签， 并将添加了预先设定标签的访问请求发送给所述第一接收模块， 当所述第 二判断模块 43的判断结果为否时，在内核层不为基于所述服务器标识 SSID 的所述访问请求添加预先设定标签， 并将未添加预先设定标签的访问请求 发送给所述第一接收模块 46。

设定模块 45 ,用于预先在所述 WiFi设备的用户层为禁止访问所述 WiFi 设备的 SSID设定对应的标签。

第一接收模块 46,用于在所述 WiFi设备的用户层接收基于服务集标识 SSID的访问 WiFi设备的访问请求， 所述访问请求包括访问所述 WiFi设备 的管理界面 WEBUI的请求。

第一判断模块 47,用于在所述 WiFi设备的用户层判断所述接收的访问 请求的标签是否与预先为禁止访问所述 WiFi设备的 SSID设定的标签之一 相同。

第一访问控制模块 48 ,用于当所述第一判断模块 47的判断结果为是时， 拒绝所述访问请求， 当所述第一判断模块 47的判断结果为否时， 接受所述 访问请求。

具体实现中， 在所述 WiFi设备的用户层可为访问所述 WiFi设备的各 SSID设置访问权限， 尤其对于禁止访问所述 WiFi设备的 SSID需要设置其 禁止访问 WiFi设备。比如，假设禁止访问所述 WiFi设备的 SSID为 SSID2, 则可在用户层 wlan— api.c文件中新增 EnableSsid2AccessUI (自定义的接口 名称， 可根据需要设定为其他名称）接口供用户层的应用模块调用， 则用 户层的应用模块可通过该函数传递使能 /去使能参数记录该 SSID的权限值， 默认记录的参数为禁止访问，即禁止基于 SSID2发送访问 WiFi设备的访问 请求。 并根据使能 /去使能参数来判断是否在用户层向 ssid2 Proc文件 (自 定义的文件名称， 可根据需要设定为其他名称） 中写入 SSID2所在接口的 索引值， 如接口 ethl的索引值 ifmdex值； 若参数是 SSID2禁止访问 WiFi 设备， 则需向 ssid2 Proc文件中写入 SSID2所在接口的索引值， 若参数是 SSID2允许访问 WiFi设备， 则需向 ssid2 Proc文件中写入非法值， 即非任 何接口的索引值。

因此， 本发明实施例中获取模块 41可在所述 WiFi设备的内核层通过 读取用户层的 ssid2 Proc文件获取禁止访问所述 WiFi设备的 SSID2的接口 的索引值。上述在 ssid2 Proc文件中写入 SSID2所在接口的索引值只是一个 简单举例， 在其他一些实施例中， 可通过其他方式从用户层传递 SSID所在

WiFi设备的 SSID(不限于 SSID2,包括所有禁止访问所述 WiFi设备的 SSID ) 所在接口的索引值。

第二接收模块 42 在所述 WiFi设备的内核层接收到基于服务器标识 SSID的访问 WiFi设备的访问请求时， 在内核层将所述访问请求向用户层 转发之前， 通过第二判断模块 43在所述 WiFi设备的内核层判断所述访问 请求所基于的服务集标识 SSID 所在接口的索引值是否为禁止访问所述 WiFi设备的 SSID所在接口的索引值之一。 仍以 SSID2为例进行说明， 第 二判断模块 43可通过判断（比如在 br— input.c文件的 br_pass— frame— up(struct sk_buff *skb)函数中判断） 当前转发 SSID的接口的索引值 ifmdex是否与 ssid2 Proc文件中获取到的 ifmdex相等， 如果转发 SSID的接口的索引值 ifmdex和 ssid2 Proc文件中获取的值相等， 第二访问控制模块 44为基于所 述服务器标识 SSID2的访问请求添加预先设定标签（由设定模块 45预先设 定标签， 比如， 标签为 Oxfffl ; 设定模块 45与上一实施例中的设定模块 34 的功能相同， 在此不进行赞述）， 如果转发 SSID的接口的索引值 ifindex和 ssid2 Proc文件中获取的值不相等， 则跳过添加标签操作， 执行标准的流程 而直接转发访问请求。

则第一接收模块 46在用户层则能接收到来自第二访问控制模块 44发送 的访问请求， 以及第一判断模块 47在所述 WiFi设备的用户层判断接收的访 问请求的标签， 如果标签是 Oxfffl时， 则丟弃（即拒绝访问）， 否则正常转 发（即接受访问）。

由上可见， 在本发明的一些可行的实施方式中， 在所述 WiFi设备的用 户层接收基于的服务集标识 SSID的访问 WiFi设备的访问请求， 所述访问 请求包括访问所述 WiFi设备的管理界面 WEBUI的请求；在所述 WiFi设备 的用户层判断所述接收的访问请求的标签是否与预先为禁止访问所述 WiFi 设备的 SSID设定的标签之一相同， 如果判断为是， 则拒绝所述访问请求， 如果判断为否， 则接受所述访问请求。 由此可知， 本发明实施例仅通过标 签即可对访问 WiFi设备的访问请求进行管理， 有效降低了查询 IP/MAC对 应表和不允许访问 WEBUI的 SSID关联的用户的 MAC表处理时间， 提升 处理效率。 另外， 本发明实施例基于 SSID 管理访问， 而不是基于用户的 MAC地址管理访问， 则用户发生变化时， 用户权限设置仍不会出错； 另外 本发明实施例避免了用户设置静态 IP时， 造成的网络安全隐患， 提升用户 体验。

图 5为本发明的 WiFi设备的另一实施例的结构组成示意图。 如图 5所 示， 本发明实施例的 WiFi设备可包括存储器 51和处理器 52, 所述存储器 51中存储有指定程序，所述处理器 52调用所述存储器 51中所存储的程序， 以执行如下步骤：

在所述 WiFi设备的用户层接收基于的服务集标识 SSID 的访问 WiFi 设备的访问请求 ,所述访问请求包括访问所述 WiFi设备的管理界面 WEBUI 的请求；

在所述 WiFi设备的用户层判断所述接收的访问请求的标签是否与预先 为禁止访问所述 WiFi设备的 SSID设定的标签之一相同， 如果判断为是， 则拒绝所述访问请求， 如果判断为否， 则接受所述访问请求。

在一些可行的实施方式中， 所述处理器 52在所述 WiFi设备的用户层 判断所述接收的访问请求的标签是否与预先为禁止访问所述 WiFi设备的 SSID设定的标签之一相同之前， 还执行如下步骤：

在所述 WiFi设备的内核层获取多 WiFi服务集标识 Multi-SSID中禁止 访问所述 WiFi设备的 SSID所在接口的索引值；

当在所述 WiFi设备的内核层接收到基于服务器标识 SSID的访问 WiFi 设备的访问请求时，判断所述访问请求所基于的服务集标识 SSID所在接口 的索引值是否为禁止访问所述 WiFi设备的 SSID所在接口的索引值之一； 如果判断为是,在所述 WiFi设备的内核层为基于所述服务器标识 SSID 的所述访问请求添加预先设定标签， 并将添加了预先设定标签的访问请求 发送给所述 WiFi设备的用户层， 如果判断为否， 在所述 WiFi设备内核层 不为基于所述服务器标识 SSID的所述访问请求添加预先设定标签，并将未 添加预先设定标签的访问请求发送给所述 WiFi设备的用户层。

在一些可行的实施方式中， 所述处理器 52在所述 WiFi设备的用户层 接收基于的服务集标识 SSID的访问 WiFi设备的访问请求之前， 还执行如 下步骤：

预先在所述 WiFi设备的用户层为禁止访问所述 WiFi设备的 SSID设定 对应的标签。

以上所列举的仅为本发明较佳实施例而已， 当然不能以此来限定本发 明之权利范围， 因此依本发明权利要求所作的等同变化， 仍属本发明所涵 盖的范围。

Claims

权利要求

1、 一种 WiFi设备的访问控制方法， 其特征在于， 包括：

在所述 WiFi设备的用户层接收基于服务集标识 SSID的访问 WiFi设备 的访问请求 , 所述访问请求包括访问所述 WiFi设备的管理界面 WEBUI的 请求；

在所述 WiFi设备的用户层判断所述接收的访问请求的标签是否与预先 为禁止访问所述 WiFi设备的 SSID设定的标签之一相同， 如果判断为是， 则拒绝所述访问请求， 如果判断为否， 则接受所述访问请求。

2、 如权利要求 1所述的 WiFi设备的访问控制方法， 其特征在于， 在 所述 WiFi设备的用户层接收基于服务集标识 SSID的访问 WiFi设备的访问 请求之前， 还包括：

在所述 WiFi设备的内核层获取多 WiFi服务集标识 Multi-SSID中禁止 访问所述 WiFi设备的 SSID所在接口的索引值；

当在所述 WiFi设备的内核层接收到基于服务器标识 SSID的访问 WiFi 设备的访问请求时，判断所述访问请求所基于的服务集标识 SSID所在接口 的索引值是否为禁止访问所述 WiFi设备的 SSID所在接口的索引值之一； 如果判断为是,在所述 WiFi设备的内核层为基于所述服务器标识 SSID 的所述访问请求添加预先设定标签， 并将添加了预先设定标签的访问请求 发送给所述 WiFi设备的用户层， 如果判断为否， 在所述 WiFi设备内核层 不为基于所述服务器标识 SSID的所述访问请求添加预先设定标签，并将未 添加预先设定标签的访问请求发送给所述 WiFi设备的用户层。

3、 如权利要求 1或 2所述的 WiFi设备的访问控制方法， 其特征在于， 在所述 WiFi设备的用户层接收基于服务集标识 SSID的访问 WiFi设备的访 问请求之前， 还包括：

在所述 WiFi设备的用户层为禁止访问所述 WiFi设备的 SSID设定对应 的标签。

4、 一种 WiFi设备， 其特征在于， 包括：

第一接收模块， 用于在所述 WiFi设备的用户层接收基于服务集标识 SSID的访问 WiFi设备的访问请求， 所述访问请求包括访问所述 WiFi设备 的管理界面 WEBUI的请求；

第一判断模块， 用于在所述 WiFi设备的用户层判断所述接收的访问请 求的标签是否与预先为禁止访问所述 WiFi设备的 SSID设定的标签之一相 同；

第一访问控制模块， 用于当所述第一判断模块的判断结果为是时， 拒 绝所述访问请求， 当所述第一判断模块的判断结果为否时， 接受所述访问 请求。

5、 如权利要求 4所述的 WiFi设备， 其特征在于， 还包括：

获取模块， 用于在所述 WiFi设备的内核层获取多 WiFi服务集标识 Multi-SSID中禁止访问所述 WiFi设备的 SSID所在接口的索引值；

第二接收模块， 用于在所述 WiFi设备的内核层接收基于服务器标识 SSID的访问 WiFi设备的访问请求；

第二判断模块， 用于当所述第二接收模块接收到基于服务器标识 SSID 的访问 WiFi设备的访问请求时， 判断所述访问请求所基于的服务集标识 SSID所在接口的索引值是否为禁止访问所述 WiFi设备的 SSID所在接口的 索引值之一；

第二访问控制模块， 用于当所述第二判断模块的判断结果为是时， 在 内核层为基于所述服务器标识 SSID的所述访问请求添加预先设定标签，并 将添加了预先设定标签的访问请求发送给所述第一接收模块， 当所述第二 判断模块的判断结果为否时，在内核层不为基于所述服务器标识 SSID的所 述访问请求添加预先设定标签， 并将未添加预先设定标签的访问请求发送 给所述第一接收模块。

6、 如权利要求 4或 5所述的 WiFi设备， 其特征在于， 还包括： 设定模块， 用于在所述 WiFi设备的用户层为禁止访问所述 WiFi设备 的 SSID设定对应的标签。

7、 一种 WiFi设备， 其特征在于， 包括存储器和处理器， 所述存储器 中存储有指定程序， 所述处理器调用所述存储器中所存储的程序， 以执行 如下步骤：

在所述 WiFi设备的用户层接收基于服务集标识 SSID的访问 WiFi设备 的访问请求 , 所述访问请求包括访问所述 WiFi设备的管理界面 WEBUI的 请求；

在所述 WiFi设备的用户层判断所述接收的访问请求的标签是否与预先 为禁止访问所述 WiFi设备的 SSID设定的标签之一相同， 如果判断为是， 则拒绝所述访问请求， 如果判断为否， 则接受所述访问请求。

8、 如权利要求 7所述的 WiFi设备， 其特征在于， 所述处理器在所述 WiFi设备的用户层判断所述接收的访问请求的标签是否与预先为禁止访问 所述 WiFi设备的 SSID设定的标签之一相同之前， 还执行如下步骤：

在所述 WiFi设备的内核层获取多 WiFi服务集标识 Multi-SSID中禁止 访问所述 WiFi设备的 SSID所在接口的索引值；

当在所述 WiFi设备的内核层接收到基于服务器标识 SSID的访问 WiFi 设备的访问请求时，判断所述访问请求所基于的服务集标识 SSID所在接口 的索引值是否为禁止访问所述 WiFi设备的 SSID所在接口的索引值之一； 如果判断为是,在所述 WiFi设备的内核层为基于所述服务器标识 SSID 的所述访问请求添加预先设定标签， 并将添加了预先设定标签的访问请求 发送给所述 WiFi设备的用户层， 如果判断为否， 在所述 WiFi设备内核层 不为基于所述服务器标识 SSID的所述访问请求添加预先设定标签，并将未 添加预先设定标签的访问请求发送给所述 WiFi设备的用户层。

9、 如权利要求 7或 8所述的 WiFi设备， 其特征在于， 所述处理器在 所述 WiFi设备的用户层接收基于的服务集标识 SSID的访问 WiFi设备的访 问请求之前， 还执行如下步骤：

在所述 WiFi设备的用户层为禁止访问所述 WiFi设备的 SSID设定对应 的标签。