[发明专利]防止通过私接无线AP上网的方法及装置

说明书

技术领域

本发明涉及网络技术领域，特别是涉及一种防止通过私接无线AP上网的方法及装置。

背景技术

随着网络技术的发展，各企业或组织机构往往在内部架设有企业网。企业网的内网节点可通过企业网网关与外网交互。而随着智能终端的普及，企业网的内网用户为了方便访问外网，通常会购买无线AP（无线Access Point，无线接入点）私自接入企业网。通过将智能终端作为内网节点通过无线接入到私接的无线AP来实现对外网的访问。

私接的无线AP由于缺少安全防护，使企业网存在风险，可能导致重要文件遗失或泄密。例如，员工A在大楼底层私接了无线AP而没有设置访问密码。由于无线信号的穿透性，街边的路人在搜索到该无线AP之后即可轻松接入该企业网，从共享文件夹中盗取重要文件。

为了防止通过私接无线AP上网，传统技术中可通过人工手持无线扫描设备对企业内部扫描来检测并移除私接的无线AP。然而，人工扫描无线AP的方法可能会受到其他无线信号的干扰。例如，楼层之间其他企业网的无线AP的无线信号。

传统技术中，还可通过对交换机的端口进行认证来实现防止通过私接无线AP上网。此种方式在需要增加硬件设备时需要改变网络拓扑结构，且如果一个端口已经通过认证，该端口仍然可以被用来私接无线AP，起不到保护的作用。

因此，传统技术中防止通过私接无线AP上网的方法的安全性不高。

发明内容

基于此，有必要提供一种能提高安全性的防止通过私接无线AP上网的方法。

一种防止通过私接无线AP上网的方法，包括：

获取内网节点发出的数据包；

根据所述数据包获取所述内网节点对应的用户标识；

在所述用户标识不属于白名单时，获取所述数据包的应用层信息特征字；

根据所述应用层信息特征字阻断所述数据包。

在其中一个实施例中，所述数据包包括源IP、源MAC、源活动目录域标识、认证令牌中的至少一种发送者信息；

所述根据所述数据包获取所述内网节点对应的用户标识的步骤为：

根据所述源IP、源MAC、源活动目录域标识、认证令牌中的至少一种发送者信息获取所述内网节点对应的用户标识。

在其中一个实施例中，所述根据所述应用层信息特征字阻断所述数据包的步骤具体为：

判断所述应用层信息特征字是否包括HTTP协议头，若是，则获取所述HTTP协议头的用户代理信息；

判断所述用户代理信息是否对应移动终端信息，若是，则阻断所述数据包。

在其中一个实施例中，所述根据所述应用层信息特征字阻断所述数据包的步骤具体为：

判断所述应用层信息特征字是否对应移动应用信息，若是，则阻断所述数据包。

在其中一个实施例中，所述根据所述应用层信息特征字阻断所述数据包的步骤之后还包括：

将所述用户标识添加到黑名单，并更新与所述用户标识对应的阻断时刻。

在其中一个实施例中，所述获取所述数据包的应用层信息特征字的步骤之前还包括：

判断所述用户标识是否属于黑名单且与距离与所述用户标识对应的阻断时刻的时长是否小于阈值，若所述用户标识属于黑名单且距离所述阻断时刻的时长小于阈值，则阻断所述数据包；否则继续执行所述获取所述数据包的应用层信息特征字的步骤。

在其中一个实施例中，所述将所述用户标识添加到黑名单的步骤之前还包括：

生成与所述用户标识对应的日志记录并存储。

在其中一个实施例中，所述方法还包括：

获取日志记录，获取所述日志记录对应的用户标识，根据所述日志记录通知与所述用户标识对应的用户。

此外，还有必要提供一种能提高安全性的防止通过私接无线AP上网的装置。

一种防止通过私接无线AP上网的装置，包括：

数据包获取模块，用于获取内网节点发出的数据包；

用户标识获取模块，用于根据所述数据包获取所述内网节点对应的用户标识；

白名单判定模块，用于判断所述用户标识是否属于白名单；

特征字获取模块，用于在所述用户标识不属于白名单时，获取所述数据包的应用层信息特征字；

数据包阻断模块，用于根据所述应用层信息特征字阻断所述数据包。

在其中一个实施例中，所述数据包包括源IP、源MAC、源活动目录域标识、认证令牌中的至少一种发送者信息；