[发明专利]防止通过私接无线AP上网的方法及装置

权利要求书

1.一种防止通过私接无线AP上网的方法，包括：

获取内网节点发出的数据包；

根据所述数据包获取所述内网节点对应的用户标识；

在所述用户标识不属于白名单时，获取所述数据包的应用层信息特征字；

根据所述应用层信息特征字阻断所述数据包。

2.根据权利要求1所述的防止通过私接无线AP上网的方法，其特征在于，所述数据包包括源IP、源MAC、源活动目录域标识、认证令牌中的至少一种发送者信息；

所述根据所述数据包获取所述内网节点对应的用户标识的步骤为：

根据所述源IP、源MAC、源活动目录域标识、认证令牌中的至少一种发送者信息获取所述内网节点对应的用户标识。

3.根据权利要求1所述的防止通过私接无线AP上网的方法，其特征在于，所述根据所述应用层信息特征字阻断所述数据包的步骤具体为：

判断所述应用层信息特征字是否包括HTTP协议头，若是，则获取所述HTTP协议头的用户代理信息；

判断所述用户代理信息是否对应移动终端信息，若是，则阻断所述数据包。

4.根据权利要求1所述的防止通过私接无线AP上网的方法，其特征在于，所述根据所述应用层信息特征字阻断所述数据包的步骤具体为：

判断所述应用层信息特征字是否对应移动应用信息，若是，则阻断所述数据包。

5.根据权利要求1所述的防止通过私接无线AP上网的方法，其特征在于，所述根据所述应用层信息特征字阻断所述数据包的步骤之后还包括：

将所述用户标识添加到黑名单，并更新与所述用户标识对应的阻断时刻。

6.根据权利要求5所述的防止通过私接无线AP上网的方法，其特征在于，所述获取所述数据包的应用层信息特征字的步骤之前还包括：

判断所述用户标识是否属于黑名单且与距离与所述用户标识对应的阻断时刻的时长是否小于阈值，若所述用户标识属于黑名单且距离所述阻断时刻的时长小于阈值，则阻断所述数据包；否则继续执行所述获取所述数据包的应用层信息特征字的步骤。

7.根据权利要求5所述的防止通过私接无线AP上网的方法，其特征在于，所述将所述用户标识添加到黑名单的步骤之前还包括：

生成与所述用户标识对应的日志记录并存储。

8.根据权利要求5所述的防止通过私接无线AP上网的方法，其特征在于，所述方法还包括：

获取日志记录，获取所述日志记录对应的用户标识，根据所述日志记录通知与所述用户标识对应的用户。

9.一种防止通过私接无线AP上网的装置，其特征在于，包括：

数据包获取模块，用于获取内网节点发出的数据包；

用户标识获取模块，用于根据所述数据包获取所述内网节点对应的用户标识；

白名单判定模块，用于判断所述用户标识是否属于白名单；

特征字获取模块，用于在所述用户标识不属于白名单时，获取所述数据包的应用层信息特征字；

数据包阻断模块，用于根据所述应用层信息特征字阻断所述数据包。

10.根据权利要求9所述的防止通过私接无线AP上网的装置，其特征在于，所述数据包包括源IP、源MAC、源活动目录域标识、认证令牌中的至少一种发送者信息；

所述用户标识获取模块还用于根据所述源IP、源MAC、源活动目录域标识、认证令牌中的至少一种发送者信息获取所述内网节点对应的用户标识。

11.根据权利要求9所述的防止通过私接无线AP上网的装置，其特征在于，所述数据包阻断模块还用于判断所述应用层信息特征字是否包括HTTP协议头，若是，则获取所述HTTP协议头的用户代理信息，在所述用户代理信息对应移动终端信息时阻断所述数据包。

12.根据权利要求9所述的防止通过私接无线AP上网的装置，其特征在于，所述数据包阻断模块还用于在所述应用层信息特征字对应移动应用信息时阻断所述数据包。

13.根据权利要求9所述的防止通过私接无线AP上网的装置，其特征在于，还包括黑名单更新模块，用于将所述用户标识添加到黑名单，并更新与所述用户标识对应的阻断时刻。