一种无线局域网的通信管控方法

文档序号:8002635阅读:352来源:国知局
一种无线局域网的通信管控方法
【专利摘要】本发明公开了一种无线局域网的通信管控方法。本方法为:1)修改阻断设备的网卡驱动,使阻断设备能够以不大于短帧间间隔SIFS发送阻断帧;2)阻断设备扫描周围的无线局域网环境,获取在待阻断信道工作的接入点AP和终端STA的MAC地址;3)阻断设备针对每一信道建立一包含该信道所有待阻断接入点AP和终端STA的MAC地址的信道MAC地址列表;4)对于每一待阻断信道,阻断设备将该信道的信道MAC地址列表中的MAC地址填充至阻断帧的目标地址域后发出。本发明大大提高了涉密单位或地区的信息安全性,且对周围电磁环境的影响小。
【专利说明】一种无线局域网的通信管控方法

【技术领域】
[0001]本发明涉及一种无线局域网的通信管控方法,属于无线通信【技术领域】。
技术背景
[0002]无线局域网,即WLAN (Wireless LAN),是利用无线传输媒介进行通信的网络。由于WLAN具有部署灵活、简单易用的特点,并且可以很好的支持笔记本、平板电脑、手机等便携式终端移动上网的需要,因此迅速在商用市场普及。在广泛应用的同时,WLAN的安全性问题也引起了研究人员的注意。WLAN不仅面临传统有线网络所面临的安全漏洞,其开放性的特点也为其带来了更多的安全隐患。
[0003]有线网络利用双绞线作为传输媒介,其传输信号的边界可控。而WLAN利用2.4GHz或5.8GHz的电磁信号以空气作为传输媒介,其传输信号的边界难以约束和控制。在WLAN信号覆盖范围内,任何人只需借助一台简单的接收设备就可监听到无线信道上的传输内容,未授权用户可以轻易的截获数据,而这种监听行为很难被察觉。同时恶意攻击者可以对截获数据进行处理,通过篡改原始数据、伪装合法身份等技术手段,对网络进行攻击。
[0004]无线局域网技术在我国发展迅速,我国移动通信运营商已在一些区域提供了 WLAN接入服务,其单个接入点(Access Point,简称AP)的服务范围可以达到几公里,而一些党、政、军等重要部门、部位就位于其服务范围内。虽然目前我国已有相关规定禁止在重要部门、部位搭建和使用无线局域网,但一方面很难仅仅通过管理规定达到安全防范的目的,一些泄密事件并非是当事人故意造成的;另一方面对于已位于WLAN公共服务范围内的重要部门、部位,其内部人员可仅通过一个便携上网设备,如手机等,就可以登录互联网,有意或无意的将敏感信息传播出去,这将给我国国家安全带来极大安全隐患。因此,通过技术手段对重要部门、部位内部的无线局域网通信进行阻断是重要而且迫切的需求。
[0005]根据国内外文献资料,有很多方法都可以大幅度降低WLAN吞吐量,提高丢包率,甚至可以完全阻断WLAN通信,这些方法可以分为两种类型:一种是噪声干扰,一种是信令干扰。
[0006]噪声干扰法是通过在WLAN通信频段发射干扰信号,如伪随机序列噪声信号等,降低通信信道的信噪比,使非授权通信方无法正确解码,最终达到阻断非授权通信方通信的目的。
[0007]信令干扰法是在WLAN通信信道上发射满足802.11系列协议的特殊信号,对信道中传输的帧进行攻击或欺骗通信双方,达到阻断非授权通信方通信的效果。目前市面上使用信令干扰法的产品大都是采用发射去认证或去关联帧的方法。阻断设备仿冒AP向终端(Stat1n,简称STA)发射去认证/去关联帧,去认证/去关联帧在802.11协议中属于管理帧,会被接收方无条件接受,因此STA在接收到去认证/去关联帧后,会认为AP已与其断开认证/关联,然后会尝试重新与AP进行认证/关联。由于阻断设备会不断发射去认证/去关联帧,发射间隔远小于认证/关联所需时间,因此STA会维持在重认证/关联的状态,使非授权通信方无法进行通信。同时阻断设备也可以仿冒STA向AP发射去认证/去关联帧,同样可以达到阻断非授权通信方通信的效果。
[0008]现有的WLAN阻断设备很多仍采用噪声干扰的阻断方法,即在WLAN通信频段内,发射大功率的干扰信号,使接收设备的信噪比降低,出现大面积丢包,以至于无法正常通信。
[0009]干扰信号可以是窄带信号,也可以是宽带信号。使用窄带信号干扰时,需要控制窄带信号快速在WLAN通信频段内扫频,在一段时间内完全扫过目标频段,实现干扰全部目标频段的效果。使用宽带信号干扰时,若干扰信号带宽未完全占满WLAN通信频段,需要多个宽带干扰信号同时工作,或者用一个宽带干扰信号做快速扫频,达到干扰全部频段的目的。
[0010]噪声干扰的方法技术门槛相对较低,实现比较容易,另外设备制作成本较低,在其他很多通信领域也得到广泛应用,如GSM等。
[0011]随着现代通信技术的发展,模拟调制技术逐渐被数字调制技术取代,另外各种扩频技术也广泛采用,使得通信设备可以在较低信噪比的环境中进行通信。
[0012]噪声干扰的方法本质上就是降低通信信号的信噪比,使非授权通信方无法从信道中正确解码,造成通信中断。因此,在调制技术发展的同时,噪声干扰方法的效果大打折扣。
[0013]802.11族协议中,常用的四种模式802.lla/b/g/n,都采用了数字调制技术,以及扩频通信技术。由于802.llg/n模式传输速率较高,因此目前大部分AP通常会默认采用802.llg/n模式,而这两种工作模式都采用OFDM调制方式。OFDM采用直接序列扩频技术,该技术可在调制解调后大幅度提高信噪比,降低丢包率。若采用噪声干扰的方式对工作在802.llg/n模式下的设备进行阻断,需要较高的发射功率才能达到有效阻断的效果,阻断效果较低,并可能会对周围电磁环境产生一定影响。
[0014]按照802.11协议中的规定,终端(STA)在与接入点(AP)进行正常数据通信前,需要首先接入AP。在接入过程中,STA发起请求首先与AP认证,认证成功后再与AP进行关联,关联通过后STA和AP就可以进行通信。在需要停止通信时,与接入过程相反,首先断开关联服务,然后断开认证服务。这时如果STA要与AP通信,需要重新开始接入过程。
[0015]发送去关联/去认证帧的信令干扰法利用802.11协议族中的管理帧:去关联帧(Disassociat1n Frame)和去认证巾贞(Deauthenticat1n Frame)。去关联服务既可以由STA发起,也可以由AP发起。它并不是一个服务请求,而是一个通知。按照协议规定去关联服务不能被已关联的双方拒绝,应被无条件执行。去认证服务与去关联服务类似,它也不是请求而是通知,并不能被通信双方拒绝。由于在接入过程中认证服务要先于关联服务,因此当AP发送去认证帧给已关联的STA时,STA的关联服务也将终止。去关联服务通过发送去关联帧实现,去认证服务通过发送去认证帧实现。
[0016]发送去关联/去认证帧的信令干扰法有很多特色和优点。第一,发送去关联/去认证帧的信令干扰法利用了 802.11协议中的特定帧,其阻断效果与网卡性能有关,只要网卡能够正确解析出阻断设备发出的去关联/去认证帧,就能够起到通信阻断的效果。因此,这种方法比噪声干扰法阻断效率高,可用较小的发射功率达到较大范围内通信阻断的效果。第二,这种方法可以单独对某一个AP或某一个STA实行通信阻断,达到细粒度的通信管控。第三,这种方法虽然是仿冒AP或STA发送去关联/去认证帧,但它不需要对网卡硬件和网卡驱动进行修改,只需要在应用层编程就可实现功能,实现比较简便。
[0017]发送去关联/去认证帧的阻断方法,需要对每一个待阻断AP或STA单独发送去关联/去认证帧,在待阻断的AP或STA不止一个时,需要循环发送各帧。通常发送去关联/去认证帧的阻断方式并不会修改网卡驱动,因此阻断设备在发送去关联/去认证帧时仍然要遵守CSMA/CA机制,即发送帧前要首先监听信道,只有在信道空闲时才发送,此时发送还需要受到退避时间的限制。如果待阻断的设备比较多,在循环发送帧时,循环周期会很长,使待阻断设备在中断关联/认证后,有足够的时间重新连接,进而可以进行短时间正常通信,通信阻断效果大打折扣。


【发明内容】

[0018]针对可能由WLAN引起的重点单位或地区的信息安全问题,本发明提出一种无线局域网的通信管控方法,从而避免非授权通信方进行信息的窃取或相关工作人员失误导致信息泄露。
[0019]从阻断效果看,信令干扰法要优于噪声干扰法。本发明为信令干扰法,旨在解决现有发送去关联/去认证帧的信令干扰法在待阻断AP或STA数量较多时,通信阻断效果急剧下降,无法做到完全阻断通信的缺点。同时,在发送阻断信令时,通过挑选合适的帧,做到兼容802.lla/b/g/n模式,尽可能使阻断信令可以被待阻断设备(S卩非授权通信方,包括各类用户终端STA以及接入点AP)识别,提高阻断效果。另外,还考虑了在单一发射设备进行多信道阻断时,对发送帧的要求。
[0020]本发明技术方案的主要内容:
[0021]一种无线局域网的通信管控方法,其步骤为:
[0022]I)修改阻断设备的网卡驱动,使阻断设备能够以不大于短帧间间隔SIFS发送阻断中贞;
[0023]2)阻断设备扫描周围的无线局域网环境,获取在待阻断信道工作的接入点AP和终端STA的MAC地址;
[0024]3)阻断设备针对每一信道建立一包含该信道所有待阻断接入点AP和终端STA的MAC地址的信道MAC地址列表;
[0025]4)对于每一待阻断信道,阻断设备将该信道的信道MAC地址列表中的MAC地址填充至阻断帧的目标地址域后发出。
[0026]进一步的,修改所述阻断设备的网卡驱动的方法为:修改网卡驱动的空闲信道评估CCA阈值,使阻断设备进行信道状态判断时,认为无线介质始终处于空闲状态;并且减小竞争窗口 CW的取值。
[0027]进一步的,将所述空闲信道评估CCA阈值修改为远大于正常通信时网卡收到信号的能量值;将竞争窗口 CW取值取为所述阻断设备网卡所允许的最小值。
[0028]进一步的,当某一待阻断信道中的接入点AP或终端STA不唯一时,循环使用该信道的信道MAC地址列表中的MAC地址填充阻断帧,然后发送出去。
[0029]进一步的,每次构建的阻断帧在一轮循环中只发送一次。
[0030]进一步的,所述阻断帧为802.11协议中的ACK控制帧。
[0031]进一步的,所述待阻断信道为预先设定好的信道。
[0032]进一步的,所述待阻断信道为根据扫描结果确定的信道。
[0033]进一步的,所述阻断设备伪装成接入点AP或终端STA发送所述阻断帧。
[0034]进一步的,所述无线局域网为满足CSMA/CA机制通信的无线局域网。
[0035]与现有技术相比,本发明的有益效果:
[0036]1.本发明通过信道占用的方式实现对非授权用户通信阻断功能,其阻断效果不会因信道中工作的AP和STA数量的多少而发生变化,通信阻断效果稳定,可以实现完全阻断通信。
[0037]2.本发明使用ACK帧占用信道,ACK帧可被所有设备识别,通信阻断的适用性强;ACK帧较短,可以满足需要阻断设备中的单个无线局域网网卡通过循环切换信道来占用多个信道的需求;利用已在信道中存在的MAC地址填充ACK帧的RA域,防止特殊网卡逃避阻断,增强通信阻断的兼容性,大大提高了涉密单位或地区的信息安全性。
[0038]3.本发明是信令级的阻断,相对于噪声干扰法,它可以以较小的发射功率获得与噪声干扰法同样的通信阻断范围;本发明充分利用了 CSMA/CA机制,以一定时间间隔发送阻断帧,在保证阻断效果的前提下,减少单位时间内的发射次数,进一步降低其对周围电磁环境的影响。

【专利附图】

【附图说明】
[0039]图1为ACK帧格式;
[0040]图2本发明工作流程图。

【具体实施方式】
[0041]本发明为信令干扰,但不同于传统的发送去关联/去认证帧的信令干扰法,而是信令级的信道占用法。这种方法利用了 802.11协议的CSMA/CA机制,在CSMA/CA机制下,发送方在发送前需要先监听信道状态,如果等待一个SIFS (Short Interframe Space,短中贞间间隔)或DIFS (DCF Interframe Space,分布式巾贞间间隔)后(比如:发送数据巾贞前需要等待DIFS,发送ACK帧前需要等待SIFS),信道仍然空闲,则启动一个随机生成回退时间计时器,在计时器递减至零的过程中,如果信道仍然空闲,才开始发送。若在监听信道过程中,发现信道忙,则延迟一段时间,再回到监听状态。本发明阻断设备在信道中持续发送满足802.11协议的帧,并且在发送时并不完全遵守CSMA/CA机制的限制,即两帧之间只固定等待不大于SIFS间隔,从而屏蔽了正常的监听信道过程,也不会等待随机的回退时间。通过持续发送帧,造成信道容量被完全占用,信道中的满足CSMA/CA的非授权通信方通信设备在监听信道时,会认为信道一直处于忙的状态,而无法接管信道发送自己的帧,从而使非授权通信方通信中断,达到阻断非授权通信的目的。这种方法的阻断目标不是某一个AP或STA,而是某个信道,因此其阻断效果不受AP和STA数量的影响。
[0042]阻断设备在硬件实现上使用通用无线局域网网卡,由于厂商在售卖网卡时,只提供了能满足802.11协议正常通信的网卡硬件和软件驱动。因此,为了使网卡不工作在CSMA/CA机制下,本发明需要对阻断设备的网卡驱动进行修改。网卡厂商出于技术保密、执行效率等方面的考虑,往往将网卡部分底层功能固化在硬件芯片上,而不以驱动形式提供,所以很难通过修改驱动的方法改变发送流程,直接跳过CSMA/CA机制,而只能通过修改变量和寄存器值(即修改CCA阈值和CW取值)的方法,屏蔽部分功能,使这部分功能工作在非正常状态,达到不遵守CSMA/CA机制的效果。
[0043]CSMA/CA机制中发送数据前要先监听信道,屏蔽这个功能是通过修改CCA (ClearChannel Assessment,即空闲信道评估)阈值实现的。CCA用于使物理层根据某种条件来判断无线介质是忙或是空闲。802.11协议中规定了网卡物理层至少要满足下面三种CCA实现方式中的一种:
[0044]①能量超过阈值:CCA应在检测到任何超出阈值的能量时报告介质处于忙状态;
[0045]②仅载波侦听:仅当侦听到满足802.11协议的信号时,CCA报告介质处于忙状态,该信号能量可以高于或低于阈值;
[0046]③能量超过阈值时载波侦听:在检测到能量超过阈值的信号时,CCA报告介质处于忙状态。
[0047]本发明选用的网卡采用第一种实现方式。通过修改CCA阈值,使阈值远大于正常通信时网卡收到信号的能量值,这样CCA在做信道状态判断时,会认为介质始终处于空闲状态,只要此时回退时间计数器递减至零,就可以立即发送数据。
[0048]802.11协议中对最小回退时间做出规定,回退时间由以下公式计算:
[0049]回退时间=随机数X时槽时间
[0050]其中,随机数为一个整数,其取值在[0,CW]之间。CW是竞争窗口,其取值应在协议规定的竞争窗口范围内。如果发送方在回退时间内信道一直处于忙,那么会以指数形式增大竞争窗口 CW的值,直至CW值到达最大。标准中规定竞争窗口最小为7,最大为255。时槽时间是由物理层特性规定的,为固定值。
[0051]由于本发明已修改了 CCA阈值,在信道监听时会认为信道始终为空闲状态,所以只需要减小CW的最小值CWmin以减小随机数取值,就可以缩短回退时间。
[0052]可以看到,通过增大CCA阈值,并减小CWmin取值的方法,就可以使网卡在发送帧时摆脱CSMA/CA的限制,以设定的固定时间间隔发送巾贞,这个时间间隔可以远远小于网卡正常工作时的发送间隔。
[0053]在进行信道占用时,选择合适的信号占用信道非常重要。因为如果发射的信号如果没有触发待阻断设备的CSMA/CA机制,那么就起不到占用信道的效果。本发明选择ACK帧,ACK帧是控制帧,它既可以由AP发出也可以由STA发出,同样AP和STA也都能解析ACK帧,这样就不用考虑阻断设备是伪装成AP还是STA 了。ACK帧用于接收方向发送方确认正确收到数据帧。阻断设备在进行阻断时,依靠发送ACK帧来占用信道。
[0054]选择发送ACK帧实现信道占用,主要有以下几个原因:
[0055]第一,ACK是控制帧的一种,帧格式固定,按照协议AP和STA都应能解析ACK帧,
其兼容性较好。
[0056]第二,按照802.11协议,源(Source)在发送完数据帧后,目标(Destinat1n)在等待SIFS后发送ACK。SIFS要小于DIFS,某些网卡的底层功能已固化在硬件中,不支持以SIFS为间隔发送数据帧、管理帧,因为按照协议这些帧在发送前至少要等待DIFS。选择ACK帧就可以避开网卡的限制,以更短的时间间隔发送帧,更充分的占用信道,通信阻断效果更优。
[0057]第三,ACK帧长度较短,MAC头只有10字节,其帧格式如图1所示。按照802.11协议规定发送方在发送数据帧前,至少要等待信道空闲DIFS,这段时间内即使阻断设备不发送任何帧,信道内也不会有数据通信。在用信道占用法进行通信阻断时,可以充分利用这个时间,降低发射频率,提高效率。作为占用信道的帧越短,其发送时间也越短,而DIFS是固定,因此用较短的发射时间获得固定的DIFS,可以进一步提高阻断效率。
[0058]另外,为了提高阻断设备的利用率,有时需要使用阻断设备中的一个无线局域网网卡占用多个信道,阻断设备可以通过使该网卡在一个信道发送帧后切换到另一信道发送,循环往复。发送的帧长度越短,发送时间也越短,该网卡在每个信道驻留的时间也会越短,这样在各信道循环发送一次的周期也将缩短,在某一个信道上发送帧的频率可以提高,以确保阻断效果。而选用ACK帧可以满足这个需求。
[0059]经过理论分析和大量实际测试,本发明选用了 ACK帧来占用信道。阻断设备采用信道占用法的基本流程如图2所示。首先扫描周围的无线局域网环境。然后对扫描得到的各类帧进行分析,从中获取在待阻断信道工作的AP和STA的MAC地址。接着针对每一信道建立一个包含该信道所有AP和STA的MAC地址的列表。第四步,将列表中的MAC地址填充至ACK帧的RA域,如图1所示,RA域为ACK帧的目标地址。第五步,将构建好的ACK帧通过阻断设备的网卡物理层发送到待阻断信道(待阻断信道可以预先设定好,比如只阻断信道I至信道6,无论现在这些信道上有没有设备。也可以由扫描结果确定,比如13个信道中只有信道I上有通信,那么就只阻断信道I。)。当某一待阻断信道中的AP或STA不唯一时,依次用该信道MAC地址列表中的MAC地址填充ACK帧,然后发送出去,该信道MAC地址列表中全部MAC都使用过后,再用第一个MAC地址开始填充,如此往复循环。每次构建的ACK帧在一轮循环中只发送一次。若当待阻断信道中的只有一个AP或STA时,只需要在第五步进行循环,持续发送ACK帧即可。
[0060]本发明中利用在信道中工作的AP和STA的MAC地址来填充ACK帧,而不是用固定的地址或随机地址填充。某些经过特殊设计的设备,将CCA的功能设置为“仅载波侦听”且只对目标地址为自身MAC地址的帧响应。如果用固定的地址或随机地址填充ACK帧在信道上发送,这些设备仍然会认为信道空闲而继续发送自己的数据,致使无法阻断通信。而本发明在扫描信道后,用AP和STA自身的MAC地址来填充ACK帧,使这些通信设备无法分辨ACK帧是否是正常通信中产生的,而必须接受并解析,使其至少等待DIFS后才能发送数据帧,最终达到阻断非授权通信的目的。
【权利要求】
1.一种无线局域网的通信管控方法,其步骤为: 1)修改阻断设备的网卡驱动,使阻断设备能够以不大于短帧间间隔SIFS发送阻断帧; 2)阻断设备扫描周围的无线局域网环境,获取在待阻断信道工作的接入点AP和终端STA的MAC地址; 3)阻断设备针对每一信道建立一包含该信道所有待阻断接入点AP和终端STA的MAC地址的信道MAC地址列表; 4)对于每一待阻断信道,阻断设备将该信道的信道MAC地址列表中的MAC地址填充至阻断帧的目标地址域后发出。
2.如权利要求1所述的方法,其特征在于修改所述阻断设备的网卡驱动的方法为:修改网卡驱动的空闲信道评估CCA阈值,使阻断设备进行信道状态判断时,认为无线介质始终处于空闲状态;并且减小竞争窗口 CW的取值。
3.如权利要求2所述的方法,其特征在于将所述空闲信道评估CCA阈值修改为远大于正常通信时网卡收到信号的能量值;将竞争窗口 CW取值取为所述阻断设备网卡所允许的最小值。
4.如权利要求1所述的方法,其特征在于当某一待阻断信道中的接入点AP或终端STA不唯一时,循环使用该信道的信道MAC地址列表中的MAC地址填充阻断帧,然后发送出去。
5.如权利要求4所述的方法,其特征在于每次构建的阻断帧在一轮循环中只发送一次。
6.如权利要求1或2或3或4所述的方法,其特征在于所述阻断帧为802.11协议中的ACK控制帧。
7.如权利要求1或2或3或4所述的方法,其特征在于所述待阻断信道为预先设定好的信道。
8.如权利要求1或2或3或4所述的方法,其特征在于所述待阻断信道为根据扫描结果确定的信道。
9.如权利要求1或2或3或4所述的方法,其特征在于所述阻断设备伪装成接入点AP或终端STA发送所述阻断帧。
10.如权利要求1所述的方法,其特征在于所述无线局域网为满足CSMA/CA机制通信的无线局域网。
【文档编号】H04W24/00GK104333859SQ201310308882
【公开日】2015年2月4日 申请日期:2013年7月22日 优先权日:2013年7月22日
【发明者】朱海涛, 朱大立, 祁峰, 冯维淼, 范伟 申请人:中国科学院信息工程研究所
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1