无线接入的检测方法、装置、电子设备及存储介质与流程

1.本发明涉及网络安全技术领域，具体涉及无线接入的检测方法、装置、电子设备及存储介质。


背景技术：

2.近年来，无线局域网的应用越来越广泛，它具有接入速率高、组网灵活的特点，在传输移动数据方面有着巨大的优势。但是在这快速发展的过程中，无线局域网的安全问题也显得越来越重要。理论上，无线电波范围内的任何一台电脑都可以监听并接入该无线网络。因此，对企业用户来说，如果其无线局域网络的安全措施不够严密，那么就完全有可能被窃听、劫持甚至获取内部信息。为了避免无线局域网络被恶意接入，其安全就显得尤为重要。
3.现有的无线接入检测方法一般是，在连接到无线网络中的终端发出的数据帧中增加额外信息，通过额外信息进行接入检测。然而，这种方式需要对原有数据帧进行改动，且还需要增加额外信息，增加了网络的传输负载，这在网络拥堵的情况下难以及时对无线接入进行检测。


技术实现要素：

4.有鉴于此，本发明实施例提供了一种无线接入的检测方法、装置、电子设备及存储介质，以解决无线接入检测的效率较低的问题。
5.根据第一方面，本发明实施例提供了一种无线接入的检测方法，应用于前台无线接入点，所述前台无线接入点与目标无线接入点对应设置，所述方法包括：
6.接收发送端发送的接入请求；
7.对所述接入请求进行解析确定解析结果，所述解析结果包括当前接入步骤；
8.将所述当前接入步骤与接入过程模板进行匹配，确定匹配结果，所述接入过程模板是基于所述前台无线接入点的认证方式确定的，所述接入过程模板包括接入步骤；
9.当所述匹配结果为接入完成时，将接收到的所述发送端的数据转发至所述目标无线接入点进行处理。
10.本发明实施例提供的无线接入的检测方法，通过设置与目标无线接入点对应的前台无线接入点进行恶意接入检测，只有在前台无线接入点对检测通过之后，才会将数据转发至目标无线接入点进行处理，保证了目标无线接入点的安全性。同时，在前台无线接入点检测过程中，利用接入过程模板对当前接入步骤进行匹配，以对接入过程进行分割，建立连接过程模板消除了不同认证方式之间的差异，提升了检测方法的兼容性，且接入检测所采用的信息均是从接入请求中获得的，无需增加额外信息，无需对原有接入请求进行更改，减少了数据处理量，提高了检测效率。
11.在一些实施方式中，所述解析结果包括发送端地址，所述将所述当前接入步骤与接入过程模板进行匹配，确定匹配结果，包括：
12.获取所述发送端地址对应的接入状态数据，所述接入状态数据包括所述发送端已完成的接入步骤；
13.将所述已完成的接入步骤与所述接入过程模板进行匹配，确定最后一个已完成的接入步骤的下一接入步骤；
14.将所述当前接入步骤与确定出的下一接入步骤进行匹配，确定所述匹配结果。
15.本发明实施提供的无线接入的检测方法，利用接入状态数据对各个发送端地址的接入步骤进行存储，便于后续匹配时能够快速确定出最后一个已完成的接入步骤，提高了检测效率。
16.在一些实施方式中，所述将所述当前接入步骤与确定出的下一接入步骤进行匹配，确定所述匹配结果，包括：
17.当所述当前接入步骤与确定出的下一接入步骤匹配时，向所述发送端发送接入响应并更新所述接入状态数据。
18.本发明实施例提供的无线接入的检测方法，在检测出匹配时向发送端发送接入响应，以提醒发送端进行后续的接入步骤。
19.在一些实施方式中，所述将所述当前接入步骤与确定出的下一接入步骤进行匹配，确定所述匹配结果，包括：
20.当所述当前接入步骤与确定出的下一接入步骤不匹配时，将所述发送端地址加入黑名单并忽略所述接入请求。
21.本发明实施例提供的无线接入的检测方法，在检测出不匹配时将发送端地址接入黑名单，当前台无线接入点在处理高并发接入请求时，将对黑名单中的发送端予以忽略，提高了高并发接入请求下的检测效率。
22.在一些实施方式中，所述解析结果还包括接收端地址，所述将所述已完成的接入步骤与所述接入过程模板进行匹配，确定最后一个已完成的接入步骤的下一接入步骤的步骤之前，包括：
23.将所述接收端地址与所述接入状态数据中的接收端地址进行比较；
24.当所述接收端地址与所述接入状态数据中的接收端地址一致时，执行将所述已完成的接入步骤与所述接入过程模板进行匹配，确定最后一个已完成的接入步骤的下一接入步骤的步骤。
25.本发明实施例提供的无线接入的检测方法，在进行接入步骤的匹配之前，先利用接收端地址进行匹配，只有在接收端地址一致的情况下方可进行接入过程模板的匹配，减少了匹配的数据量，提高了检测效率。
26.在一些实施方式中，所述获取所述发送端地址对应的接入状态数据，包括：
27.利用所述发送端地址查询是否存在对应的接入状态数据；
28.当不存在对应的接入状态数据时，建立所述发送端地址对应的接入状态数据，并向所述发送端发送响应帧，以获得下一个接入步骤；
29.当存在对应的接入状态数据时，提取所述发送端地址对应的接入状态数据。
30.在一些实施方式中，所述接入过程模板的确定方式包括：
31.获取所述前台无线接入点的认证方式；
32.基于所述认证方式的流程，采用键值对的方式建立所述接入过程模板。
33.本发明实施例提供的无线接入的检测方法，采用键值对的方式建立接入过程模板，查找速度快，提高检测效率。同时利用认证方式建立接入过程模板，使得接入过程模板与认证方式一致，能够实现了不同认证方式下检测方式的统一；通过接入请求中数据的复用实现接入检测，也能够不额外增加通信链路的负荷。
34.根据第二方面，本发明实施例提供了一种无线接入的检测装置，应用于前台无线接入点，所述前台无线接入点与目标无线接入点对应设置，所述装置包括：
35.接收模块，用于接收发送端发送的接入请求；
36.解析模块，用于对所述接入请求进行解析确定解析结果，所述解析结果包括当前接入步骤；
37.匹配模块，用于将所述当前接入步骤与接入过程模板进行匹配，确定匹配结果，所述接入过程模板是基于所述前台无线接入点的认证方式确定的，所述接入过程模板包括接入步骤；
38.转发模块，用于当所述匹配结果为接入完成时，将接收到的所述发送端的数据转发至所述目标无线接入点进行处理。
39.根据第三方面，本发明实施例提供了一种电子设备，包括：存储器和处理器，所述存储器和所述处理器之间互相通信连接，所述存储器中存储有计算机指令，所述处理器通过执行所述计算机指令，从而执行第一方面或者第一方面的任意一种实施方式中所述的无线接入的检测方法。
40.根据第四方面，本发明实施例提供了一种计算机可读存储介质，所述计算机可读存储介质存储计算机指令，所述计算机指令用于使所述计算机执行第一方面或者第一方面的任意一种实施方式中所述的无线接入的检测方法。
41.需要说明的是，本发明实施例提供的无线接入的检测装置、电子设备及计算机可读存储介质的相应有益效果，请参见上文无线接入的检测方法的对应有益效果的描述，在此不再赘述。
附图说明
42.为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
43.图1是根据本发明实施例的无线接入检测的场景图；
44.图2是根据本发明实施例的无线接入的检测方法的流程图；
45.图3是根据本发明实施例的无线接入的检测方法的流程图；
46.图4是根据本发明实施例的无线接入的检测装置的结构框图；
47.图5是本发明实施例提供的电子设备的硬件结构示意图。
具体实施方式
48.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是
本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
49.无线局域网目前所面临的威胁主要包括被动窃听与网络流量分析、主动窃听与消息注入、消息删除与拦截、假冒与恶意ap、会话劫持、中间人攻击以及拒绝服务(denial of service，dos)攻击这七大类。在网络中执行802.11中规定的aes的ccmp加密机制可以解决被动窃听与网络流量分析、主动窃听与消息注入、消息删除与拦截；802.11中所提出的rsn解决方案可以消除假冒与恶意ap、会话劫持以及中间人攻击。而对于dos攻击，目前的安全协议并不能提供很好的解决方案，并且由于无线局域网的一些特性使得它既会遭受常规有线网络中的dos攻击，也会遭受一些无线局域网络中特有的dos攻击。
50.dos攻击中最为常见的是关联洪水攻击，这类攻击最为显著的特点就是在无线局域网络的接入阶段进行高并发操作，使得无线局域网接入点(ap)超出工作负荷，最终导致拒绝服务。关联洪水攻击，全称即关联洪水(泛洪)攻击，通常被简称为asso攻击，是无线网络拒绝服务攻击的一种形式。它试图通过利用大量模仿的和伪造的无线客户端关联来填充ap的客户端关联表，从而达到淹没ap的目的。在802.11层，共享解密身份验证有缺陷，很难再用。仅有的其他备选项就是开放身份验证(空身份验证)，该身份验证依赖于较高级别的身份验证，如802.1x或vpn。开放身份验证允许任何客户端通过身份验证然后关联。利用这种漏洞的攻击者可以通过创建多个到达已连接或已关联的客户端来模仿很多客户端，从而淹没目标ap的客户端关联表。客户端关联表溢出后，合法客户端将无法再关联，于是拒绝服务攻击即告完成。
51.目前在无线局域网络的接入阶段已经存在一些方法可以进行安全检测，比如：连接无线接入点的终端(sta)在向ap发送请求认证时会获取构造puzzle的参数，认证成功后，在关联阶段，sta需要携带puzzle解答，ap验证请求中携带的puzzle解答后决定是否接入该sta从而实现了对sta接入的合法性进行检查，避免了sta的恶意接入。或者，通过在连接模型中增加标签和密钥管理中心(kdc)来实现sta和ap之间信息的双向校验，来约束sta在接入过程中的行为，避免对ap的恶意攻击。
52.但是上述方式都需要在sta的数据帧中增加额外信息，并且需要sta进行计算，这就增加了sta的计算负荷以及网络的传输负载，这在网络拥堵的情况下存在一定劣势。
53.基于此，本发明实施例提供了一种无线接入的检测方法，该检测方法是通过前台无线接入点对接入请求进行分析，只有在前台无线接入点确认某发送端接入完成之后，才会将该发送端的数据转发至目标无线接入点。其中，前台无线接入点与目标无线接入点对应设置。
54.例如，图1示出了无线接入检测的一种可选应用场景。目标ap为真实的无线接入点，前台ap与目标ap对应设置。在无线网络中，sta所有的接入请求是通过前台ap进行分析处理，之后在前台ap对sta检测通过之后，前台ap才会将该sta的数据转发至目标ap。其中，前台ap通过利用接入与认证方式对应的接入过程模板对接入请求进行分析，只有在接入请求与接入过程模板匹配时，才会确定发出该接入请求的发送端接入检测通过。所述的接入过程模板是用于表示接入认证的几个步骤，例如，认证方式a对应的认证步骤依次为a-b-c-d，那么，在接收到接入请求之后，将接入请求中的当前接入步骤与接入过程模板进行匹配，确定是否能够匹配上，从而确定发送该接入请求的sta是合法sta还是恶意sta。
55.关于无线接入的检测方法的具体处理过程将在下文中进行详细描述。
56.根据本发明实施例，提供了一种无线接入的检测方法实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。
57.在本实施例中提供了一种无线接入的检测方法，用于上述的前台ap中，图2是根据本发明实施例的无线接入的检测方法的流程图，如图2所示，该流程包括如下步骤：
58.s11，接收发送端发送的接入请求。
59.发送端(sta)在接入无线接入点(目标ap)时，需要先向前台ap发送接入请求，由于前台ap是与目标ap对应的，因此，前台ap能够接收到发送端发送的接入请求。对于不同的接入认证方式，若需要完成一次完整的无线接入，则需要经过多次的交互，每次交互时发送端向前台ap发送相应的数据帧，以表示当前进行到哪一个接入步骤。
60.s12，对接入请求进行解析确定解析结果。
61.其中，所述解析结果包括当前接入步骤。
62.前台ap对接收到的接入请求进行解析，例如，对前台ap对接入请求的相应字段进行解析，确定当前接入步骤。
63.s13，将当前接入步骤与接入过程模板进行匹配，确定匹配结果。
64.其中，所述接入过程模板是基于所述前台无线接入点的认证方式确定的，所述接入过程模板包括接入步骤。
65.如上文所述，接入过程模板是与前台ap的认证方式对应的，表示的是无线接入所需要经过的几个步骤。即，对接入过程进行分割，得到相应的接入步骤，并依据接入步骤之间的逻辑进行存储，得到接入过程模板。
66.前台ap在得到当前接入步骤时，将当前接入步骤与接入过程模板进行匹配，确定在接入过程模板中是否存在当前接入步骤，或者，依据接入步骤之间的顺序，当前是否应该执行到当前接入步骤，等等。若当前接入步骤无法与接入过程模板匹配，则能够确认该发送端为恶意sta；若当前接入步骤能够与接入过程模板匹配，则确认当前接入步骤是否为接入过程的最后一个步骤，若为最后一个步骤，则表示接入过程完成；若不是最后一个步骤，则向发送端发送接入响应，以获得下一个接入步骤。
67.关于该步骤具体将在下文中进行详细描述。
68.s14，当匹配结果为接入完成时，将接收到的发送端的数据转发至目标无线接入点进行处理。
69.如上文所述，若当前接入步骤为接入过程的之后一个步骤，且能够与接入过程模板匹配，则表示接入完成。前台ap将接收到的发送端的数据转发至目标ap进行处理。具体地，当sta和ap进行数据交互时，前台ap会根据sta的mac地址去检查对应的接入状态，只有sta处于接入完成状态时，该sta的数据包才会被前台ap转发至目标ap。如果该sta的接入状态不属于连接完成，或者不存在该数据结构，那么该数据将会被忽略。
70.本实施例提供的无线接入的检测方法，通过设置与目标无线接入点对应的前台无线接入点进行恶意接入检测，只有在前台无线接入点对检测通过之后，才会将数据转发至目标无线接入点进行处理，保证了目标无线接入点的安全性。同时，在前台无线接入点检测
过程中，利用接入过程模板对当前接入步骤进行匹配，以对接入过程进行分割，建立连接过程模板消除了不同认证方式之间的差异，提升了检测方法的兼容性，且接入检测所采用的信息均是从接入请求中获得的，无需增加额外信息，无需对原有接入请求进行更改，减少了数据处理量，提高了检测效率。
71.在本实施例中提供了一种无线接入的检测方法，用于上述的前台ap中，图3是根据本发明实施例的无线接入的检测方法的流程图，如图3所示，该流程包括如下步骤：
72.s21，接收发送端发送的接入请求。
73.详细请参见图2所示实施例的s11，在此不再赘述。
74.s22，对接入请求进行解析确定解析结果。
75.其中，所述解析结果包括当前接入步骤以及发送端地址。
76.详细请参见图2所示实施例的s12，在此不再赘述。
77.s23，将当前接入步骤与接入过程模板进行匹配，确定匹配结果。
78.其中，所述接入过程模板是基于所述前台无线接入点的认证方式确定的，所述接入过程模板包括接入步骤。
79.具体地，上述s23包括：
80.s231，获取发送端地址对应的接入状态数据。
81.其中，所述接入状态数据包括发送端已完成的接入步骤。
82.在前台ap中存储有多个接入状态数据，接入状态数据与发送端地址对应。因此，前台ap利用发送端地址即可从多个接入状态数据中查询到对应的接入状态数据。
83.接入状态数据用于表示发送端已经完成的接入步骤，例如，存储在前台ap中的sta接入状态数据的数据结构为：
84.{sta的mac地址：[ap的mac地址，已完成的步骤]}
[0085]
该数据结构为一个字典数据类型，字典的键为sta的mac地址，值为一个列表，列表的第一个元素为ap的mac地址，列表的第二个元素为一个链表，其中记录了该sta在接入过程中已经完成的步骤。其中，sta的mac地址来源于接入请求，若接入请求采用的是802.11帧的形式，那么，802.11帧中的address2表示的是sta的mac地址，802.11帧中的address1表示的是ap的mac地址。
[0086]
在一些实施方式中，上述s231包括：
[0087]
(1)利用发送端地址查询是否存在对应的接入状态数据。
[0088]
(2)当不存在对应的接入状态数据时，建立发送端地址对应的接入状态数据，并向发送端发送响应帧，以获得下一个接入步骤。
[0089]
(3)当存在对应的接入状态数据时，提取发送端地址对应的接入状态数据。
[0090]
前台ap在获取到接入请求之后，利用接入请求的解析结果中的发送端地址进行接入状态数据的查询，以确定接入请求是否为新接入请求。若该接入请求为新接入请求，前台ap需要在内存中建立该sta的接入状态数据结构，之后向sta发送响应帧；若对于处于接入过程中的计入请求，前台ap需要根据sta的mac地址获取到该sta的接入状态数据。
[0091]
s232，将已完成的接入步骤与接入过程模板进行匹配，确定最后一个已完成的接入步骤的下一接入步骤。
[0092]
如上文所述，接入过程模板表示的接入过程的步骤，接入状态数据表示的是已完
成的接入步骤。基于此，前台ap将接入状态数据中的最优一个已完成的接入步骤与接入过程模板进行匹配，确定最后一个已完成的接入步骤的下一接入步骤。
[0093]
s233，将当前接入步骤与确定出的下一接入步骤进行匹配，确定匹配结果。
[0094]
其中，上述s232中得到的最后一个已完成的接入步骤的下一接入步骤，是从接入过程模板中确定的。前台ap将当前接入步骤与该确定出的下一接入步骤进行匹配，确定两者是否能够匹配，得到相应的匹配结果。
[0095]
当当前接入步骤与确定出的下一接入步骤匹配时，向发送端发送接入响应并更新所述接入状态数据。当当前接入步骤与确定出的下一接入步骤不匹配时，将发送端地址加入黑名单并忽略接入请求。
[0096]
具体地，根据接入过程模板，判断当前接入步骤是否是已完成接入步骤的最后一步的下一步，若符合模板则给与响应，不符合则丢弃。对于不符合接入过程模板的sta，前台ap会记录下该sta的mac地址，并建立黑名单机制，当前台ap在处理高并发接入请求时，将对黑名单中的sta予以忽略。
[0097]
在检测出匹配时向发送端发送接入响应，以提醒发送端进行后续的接入步骤。在检测出不匹配时将发送端地址接入黑名单，当前台无线接入点在处理高并发接入请求时，将对黑名单中的发送端予以忽略，提高了高并发接入请求下的检测效率。
[0098]
在一些实施方式中，解析结果还包括接收端地址，基于此，上述s232之前还包括：
[0099]
(1)将接收端地址与接入状态数据中的接收端地址进行比较。
[0100]
(2)当接收端地址与接入状态数据中的接收端地址一致时，执行将已完成的接入步骤与所述接入过程模板进行匹配，确定最后一个已完成的接入步骤的下一接入步骤的步骤。
[0101]
对于处于接入过程中的请求，前台ap需要根据sta的mac地址获取到该sta的接入状态数据。首先判断接入请求中的接收端地址是否与接入状态数据中列表的第一个值相等，如果不等则直接丢弃，相等的话才会执行将已完成的接入步骤与所述接入过程模板进行匹配，确定最后一个已完成的接入步骤的下一接入步骤的步骤。
[0102]
在进行接入步骤的匹配之前，先利用接收端地址进行匹配，只有在接收端地址一致的情况下方可进行接入过程模板的匹配，减少了匹配的数据量，提高了检测效率。
[0103]
s24，当匹配结果为接入完成时，将接收到的发送端的数据转发至目标无线接入点进行处理。
[0104]
详细请参见图2所示实施例的s14，在此不再赘述。
[0105]
本实施例提供的无线接入的检测方法，利用接入状态数据对各个发送端地址的接入步骤进行存储，便于后续匹配时能够快速确定出最后一个已完成的接入步骤，提高了检测效率。
[0106]
在一些实施方式中，接入过程模板的确定方式包括：
[0107]
(1)获取前台无线接入点的认证方式。
[0108]
(2)基于认证方式的流程，采用键值对的方式建立接入过程模板。
[0109]
在无线接入检测之前，需要为目标ap搭建一个前台ap用来接收接入请求，并隐藏目标ap。对于已经存在的目标ap，前台ap需要与目标ap拥有相同的名称、认证方式和密码，这样对于原有连接到此ap的sta来说实现无感切换。对于新建的目标ap，前台ap可以选择全
新的名称、认证方式和密码，sta在通过前台ap验证之后，前台ap将该请求完全转发给目标ap即可。
[0110]
根据前台ap的认证方式建立接入过程模板，包括但不限于认证、关联、四次握手等过程。该模板的格式为字典型，具体如下：
[0111]
{已完成步骤：下一步骤}
[0112]
其中，字典的键为已完成步骤，当sta进行接入时，前台ap可以快速判断出sta在接入时当前步骤是否为上一步骤的下一步骤以及在收到取消关联或者取消认证请求时，当前sta是否已经完成接入流程。
[0113]
采用键值对的方式建立接入过程模板，查找速度快，提高检测效率。同时利用认证方式建立接入过程模板，使得接入过程模板与认证方式一致，能够实现了不同认证方式下检测方式的统一；通过接入请求中数据的复用实现接入检测，也能够不额外增加通信链路的负荷。
[0114]
作为本实施例的一个具体应用实例，所述的无线接入的检测方法包括：
[0115]
步骤1：为目标ap搭建一个前台ap用来接收接入请求，并隐藏目标ap，建立模式如图1所示。在图1中，具体的角色包含目标ap、前台ap、合法sta以及恶意sta。其中目标ap只和前台ap进行交互，目标ap在公开网络中不可见。外部sta可以检测到前台ap，无线局域网的连接模板和数据结构处理都在前台ap中进行。
[0116]
步骤2：根据前台ap的认证方式建立接入过程模板，包括但不限于认证、关联、四次握手等过程。本实施例中，目标ap采用wep认证方式，得出本实施例中前台ap的接入过程模板为：
[0117]
{空：未认证未关联}
[0118]
{未认证未关联：认证未关联}
[0119]
{认证未关联：已认证已关联}
[0120]
{已认证已关联：数据交换}
[0121]
步骤3：根据建立的接入过程模板，设计存储在前台ap中的sta接入状态数据的数据结构为：
[0122]
{sta的mac地址:[ap的mac地址,已完成的步骤]}
[0123]
该结构为一个字典数据类型，字典的键为sta的mac地址，值为一个列表，列表的第一个元素为ap的mac地址，列表的第二个元素为一个链表，其中记录了该sta在接入过程中已经完成的步骤。sta的mac地址来源于802.11帧中的address2，ap的mac地址来源于802.11帧中的address1。
[0124]
步骤4：对前台ap对接收到的sta接入请求帧进行处理。在本实施例中，假设ap的mac地址为：00-01-6c-06-a6-29，sta的mac地址为：00-01-6c-06-a6-28。当sta为新接入请求时，根据sta的mac地址是无法再内存中找到相应的数据结构，此时定义前一个状态为“空”，并在前台ap内存中建立对应的数据结构：
[0125]
{00-01-6c-06-a6-28:[00-01-6c-06-a6-29,空]}
[0126]
此时根据模板进行匹配，由于ap收到的是认证请求帧，所以当前的状态为“未认证未关联”，根据该sta的mac地址可以查到，前一个状态为“空”，根据模板匹配出下一个状态为“未认证未关联”，所以是合法状态，如果认证通过则给sta发送认证响应，并修改数据结
构为：
[0127]
{00-01-6c-06-a6-28:[00-01-6c-06-a6-29,空-》未认证未关联]}
[0128]
如果验证失败，则发送对应认证失败响应，但不修改接入状态数据。
[0129]
对于恶意请求，根据模板规则也可以很好的匹配出来，对于不符合接入过程模板的sta，前台ap会记录下mac地址，并建立黑名单机制，当前台ap在处理高并发接入请求时，将对黑名单中的sta予以忽略。
[0130]
对于完成接入请求的sta，前台会将其数据转发至目标ap实现数据交互。
[0131]
步骤5：当sta和ap进行数据交互时，前台ap会根据sta的mac去检查对应的状态，只有sta处于接入完成状态时，该sta的数据包才会被前台ap转发至目标ap。在本实施例中，只有接入状态数据的结构的形式为：
[0132]
{00-01-6c-06-a6-28:[00-01-6c-06-a6-29,空-》未认证未关联-》认证未关联-》已认证已关联-》数据交换]}时，才允许sta和目标ap进行数据交互。如果该sta的接入状态不属于连接完成，或者不存在该sta对应的接入状态数据，那么该数据将会被忽略。
[0133]
该方法通过对无线局域网的接入过程进行切割，建立连接过程模板消除了不同认证方式之间的差异，提升了检测方法的兼容性。为目标ap增加前台ap进一步提升了无线局域网络的安全性，对真实网络起到了一定的保护作用。同时对802.11帧中数据进行复用，降低了网络载荷，使得方法的可用性更好，避免在网络负荷较高的情况下，加大通信时延。该方法适用于无线局域网络中恶意接入的检测，该检测方法既实现了不同认证方式下检测方式的统一，也能够不额外增加通信链路的负荷。
[0134]
在本实施例中还提供了一种无线接入的检测装置，该装置用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。如以下所使用的，术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。
[0135]
本实施例提供一种无线接入的检测装置，应用于前台无线接入点，所述前台无线接入点与目标无线接入点对应设置，如图4所示，该装置包括：
[0136]
接收模块31，用于接收发送端发送的接入请求；
[0137]
解析模块32，用于对所述接入请求进行解析确定解析结果，所述解析结果包括当前接入步骤；
[0138]
匹配模块33，用于将所述当前接入步骤与接入过程模板进行匹配，确定匹配结果，所述接入过程模板是基于所述前台无线接入点的认证方式确定的，所述接入过程模板包括接入步骤；
[0139]
转发模块34，用于当所述匹配结果为接入完成时，将接收到的所述发送端的数据转发至所述目标无线接入点进行处理。
[0140]
在一些实施方式中，所述解析结果包括发送端地址，匹配模块33包括：
[0141]
获取单元，用于获取所述发送端地址对应的接入状态数据，所述接入状态数据包括所述发送端已完成的接入步骤；
[0142]
第一匹配单元，用于将所述已完成的接入步骤与所述接入过程模板进行匹配，确定最后一个已完成的接入步骤的下一接入步骤；
[0143]
第二匹配单元，用于将所述当前接入步骤与确定出的下一接入步骤进行匹配，确
定所述匹配结果。
[0144]
在一些实施方式中，第一匹配单元包括：
[0145]
第一匹配子单元，用于当所述当前接入步骤与确定出的下一接入步骤匹配时，向所述发送端发送接入响应并更新所述接入状态数据。
[0146]
在一些实施方式中，第一匹配单元包括：
[0147]
第二匹配子单元，用于当所述当前接入步骤与确定出的下一接入步骤不匹配时，将所述发送端地址加入黑名单并忽略所述接入请求。
[0148]
在一些实施方式中，所述解析结果还包括接收端地址，匹配模块33包括：
[0149]
比较单元，用于将所述接收端地址与所述接入状态数据中的接收端地址进行比较；
[0150]
执行单元，用于当所述接收端地址与所述接入状态数据中的接收端地址一致时，执行将所述已完成的接入步骤与所述接入过程模板进行匹配，确定最后一个已完成的接入步骤的下一接入步骤的步骤。
[0151]
在一些实施方式中，获取单元包括：
[0152]
查询子单元，用于利用所述发送端地址查询是否存在对应的接入状态数据；
[0153]
建立子单元，用于当不存在对应的接入状态数据时，建立所述发送端地址对应的接入状态数据，并向所述发送端发送响应帧，以获得下一个接入步骤；
[0154]
提取子单元，用于当存在对应的接入状态数据时，提取所述发送端地址对应的接入状态数据。
[0155]
在一些实施方式中，所述接入过程模板的确定方式包括：
[0156]
获取所述前台无线接入点的认证方式；
[0157]
基于所述认证方式的流程，采用键值对的方式建立所述接入过程模板。
[0158]
本实施例中的无线接入的检测装置是以功能单元的形式来呈现，这里的单元是指asic电路，执行一个或多个软件或固定程序的处理器和存储器，和/或其他可以提供上述功能的器件。
[0159]
上述各个模块的更进一步的功能描述与上述对应实施例相同，在此不再赘述。
[0160]
本发明实施例还提供一种电子设备，具有上述图4所示的无线接入的检测装置。
[0161]
请参阅图5，图5是本发明可选实施例提供的一种电子设备的结构示意图，如图5所示，该电子设备可以包括：至少一个处理器41，例如cpu(central processing unit，中央处理器)，至少一个通信接口43，存储器44，至少一个通信总线42。其中，通信总线42用于实现这些组件之间的连接通信。其中，通信接口43可以包括显示屏(display)、键盘(keyboard)，可选通信接口43还可以包括标准的有线接口、无线接口。存储器44可以是高速ram存储器(random access memory，易挥发性随机存取存储器)，也可以是非不稳定的存储器(non-volatile memory)，例如至少一个磁盘存储器。存储器44可选的还可以是至少一个位于远离前述处理器41的存储装置。其中处理器41可以结合图4所描述的装置，存储器44中存储应用程序，且处理器41调用存储器44中存储的程序代码，以用于执行上述任一方法步骤。
[0162]
其中，通信总线42可以是外设部件互连标准(peripheral component interconnect，简称pci)总线或扩展工业标准结构(extended industry standard architecture，简称eisa)总线等。通信总线42可以分为地址总线、数据总线、控制总线等。
为便于表示，图5中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。
[0163]
其中，存储器44可以包括易失性存储器(英文：volatile memory)，例如随机存取存储器(英文：random-access memory，缩写：ram)；存储器也可以包括非易失性存储器(英文：non-volatile memory)，例如快闪存储器(英文：flash memory)，硬盘(英文：hard disk drive，缩写：hdd)或固态硬盘(英文：solid-state drive，缩写：ssd)；存储器44还可以包括上述种类的存储器的组合。
[0164]
其中，处理器41可以是中央处理器(英文：central processing unit，缩写：cpu)，网络处理器(英文：network processor，缩写：np)或者cpu和np的组合。
[0165]
其中，处理器41还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(英文：application-specific integrated circuit，缩写：asic)，可编程逻辑器件(英文：programmable logic device，缩写：pld)或其组合。上述pld可以是复杂可编程逻辑器件(英文：complex programmable logic device，缩写：cpld)，现场可编程逻辑门阵列(英文：field-programmable gate array，缩写：fpga)，通用阵列逻辑(英文：generic array logic,缩写：gal)或其任意组合。
[0166]
可选地，存储器44还用于存储程序指令。处理器41可以调用程序指令，实现如本技术任一实施例中所示的无线接入的检测方法。
[0167]
本发明实施例还提供了一种非暂态计算机存储介质，所述计算机存储介质存储有计算机可执行指令，该计算机可执行指令可执行上述任意方法实施例中的无线接入的检测方法。其中，所述存储介质可为磁碟、光盘、只读存储记忆体(read-only memory，rom)、随机存储记忆体(random access memory，ram)、快闪存储器(flash memory)、硬盘(hard disk drive，缩写：hdd)或固态硬盘(solid-state drive，ssd)等；所述存储介质还可以包括上述种类的存储器的组合。
[0168]
虽然结合附图描述了本发明的实施例，但是本领域技术人员可以在不脱离本发明的精神和范围的情况下做出各种修改和变型，这样的修改和变型均落入由所附权利要求所限定的范围之内。