一种防止STA关联非法AP的方法及系统与流程

本发明属于无线网络(wirelesslocalareanetworks，wlan)领域，尤其涉及一种防止终端关联非法无线接入点(wirelessaccesspoint，ap)的方法及系统。

背景技术：

目前，用户使用移动终端通过wi-fi接入无线网络时，会面临一些安全方面的风险，尤其是当前越来越多的商家提供了免费使用的wi-fi接入，在方便我们使用的同时，同样暴露了越来越多的风险。在所有无线网络接入风险中，危害性最大的一类应该是利用非法ap提供无线网络接入，然后通过钓鱼网站进一步获得用户大量私人信息。具体来说，通过一台非法ap，设置完全相同或相似的服务集标识(servicesetidentifier，ssid)提供免费的上网服务。用户一旦接入这种非法ap，很难查觉到。这种非法ap同样可以通过重定向的方式实现portal门户网页，但他们只是相似的一种钓鱼网页或网站。用户接着继续输入自己账户信息完成认证，非法ap这时就轻松的获得了用户的手机号等账户信息。而危害最大的莫过于，假装认证成功后，用户访问的任何网站都有可能转到指定的钓鱼网站，这包括网上银行、各种电子银行支付网站等，结果造成用户大量的钱财受到损失。

一般情况下，对大多数普通用户来说，很难辨别自己是否接入了一台非法ap。而且用户在不知不觉接入和使用无线网络时，自己的个人信息和钱财就会被泄露。如何防止终端接入无线网络中的非法ap是当前面临的一个难题。

现有技术中，无线网络安全机制，针对非法ap钓鱼网站的安全威胁，通过第三方渠道显示动态密码进行验证。具体来说就是用户在接入无线网络时，在portal页面会显示一串动态密码，并提示用户留意所在场所的媒体显示器也会显示动态密码(一般每一分钟刷新一次)，通过用户比对两个动态密码是否一致，完成合法时可以接入。一般非法ap并不知晓动态密码的生成算法，所以很难生成完全一致的动态密码，从而达到了一定的效果。但这种解决方案也存在一定的漏洞，第三方渠道的媒体显示器也有可能被伪装或非法安装，这样就失去了安全的意义。另一方面，用户体验不太好，有时用户并不太注意也很繁琐，再去判断动态密码的一致性，更坏的情况是如果没有第三方的媒体显示器或由于设备故障等原因无法使用，这些情况会使这一方法失灵，安全威胁依然存在。

此外，现有技术中，有些方案会先建立合法ap的mac地址数据库，利用发现者ap扫描周围的无线信号，抓取无线终端(station，sta)与ap之间的数据报文，经过分析并且与数据库的合法ap的mac地址进行比对，从而判断当前sta正在与非法ap交换数据。但这一方案仍然有一个重大的漏洞，当非法ap的mac地址伪装成与某一个合法ap的mac地址完全一样时，被发现者ap扫描到此非法ap的mac地址后，按工作流程会到服务器中的数据库查询，而得到的结果是合法ap的mac地址，这种方案在此时就失效了，如果何弥补这问题，也是本发明要解决的问题。

技术实现要素：

综上所述，本发明实施例提供一种防止sta关联非法ap的方法及系统，可以有效识别无线网络中的非法ap，从而防止sta关联非法ap。

第一方面，本发明实施例提供一种防止sta关联非法ap的方法，包括：sta扫描无线网络，发现第一无线子网，获取对应第一无线子网的第一业务ssid标识和第一信任ssid标识；所述sta通过所述第一信任ssid标识，发现所述第一无线子网对应的若干ap，获取所述若干ap对应的bssid标识；所述sta通过第一bssid标识关联所述第一无线子网下的第一ap，从所述第一ap上下载第一信任列表，所述第一信任列表包括：第一业务ssid标识和若干bssid标识；所述sta通过第二bssid标识关联所述第一无线子网下的第二ap，从所述第二ap上下载第二信任列表，所述第二信任列表包括：第一业务ssid标识和若干bssid标识；所述sta比较所述下载的第一信任列表和第二信任列表；当所述第一信任列表和所述第二信任列表相同，所述sta从第一或第二信任列表中的若干bssid标识中，选择信号强度较好的bssid标识对应的ap进行关联，从而通过所述第一业务ssid标识访问所述第一无线子网。

进一步的，所述方法还包括：当所述第一信任列表和所述第二信任列表不同，所述sta通过第三bssid标识关联所述第一无线子网下的第三ap，从所述第三ap上下载第三信任列表，所述第三信任列表包括：第一业务ssid标识和若干bssid标识。

进一步的，所述方法还包括：当所述第一信任列表和所述第三信任列表相同，所述sta从所述第一或第三信任列表中的若干bssid标识中，选择信号强度较好的bssid标识对应的ap进行关联，从而通过所述第一业务ssid标识访问所述第一无线子网。

进一步的，所述第一信任列表和所述第二信任列表相同，包括：所述第一信任列表中包含的所述若干bssid标识与所述第二信任列表中包含的所述若干bssid标识相同。

进一步的，所述第一信任列表和所述第二信任列表不同，包括：所述第一信任列表中包含的所述若干bssid标识与所述第二信任列表中包含的所述若干bssid标识不相同。

第二方面，本发明实施例提供一种防止sta关联非法ap的系统，包括：sta和若干归属于第一无线子网的具有相同第一业务ssid标识和第一信任ssid标识的ap，其中，所述sta，用于扫描无线网络，发现第一无线子网，获取对应第一无线子网的第一业务ssid标识和第一信任ssid标识；通过所述第一信任ssid标识，发现所述第一无线子网对应的若干ap，获取所述若干ap对应的bssid标识；sta通过第一bssid标识关联所述第一无线子网下的第一ap，从所述第一ap上下载第一信任列表，所述第一信任列表包括：第一业务ssid标识和若干bssid标识；通过第二bssid标识关联所述第一无线子网下的第二ap，从所述第二ap上下载第二信任列表，所述第二信任列表包括：第一业务ssid标识和若干bssid标识；比较所述下载的第一信任列表和第二信任列表；当所述第一信任列表和所述第二信任列表相同，从第一或第二信任列表中的若干bssid标识中，选择信号强度较好的bssid标识对应的ap进行关联，从而通过所述第一业务ssid标识访问所述第一无线子网。

进一步的，所述sta还用于：当所述第一信任列表和所述第二信任列表不同，通过第三bssid标识关联所述第一无线子网下的第三ap，从所述第三ap上下载第三信任列表，所述第三信任列表包括：第一业务ssid标识和若干bssid标识。

进一步的，所述sta还用于：当所述第一信任列表和所述第三信任列表相同，从所述第一或第三信任列表中的若干bssid标识中，选择信号强度较好的bssid标识对应的ap进行关联，从而通过所述第一业务ssid标识访问所述第一无线子网。

进一步的，所述第一信任列表和所述第二信任列表相同，包括：所述第一信任列表中包含的所述若干bssid标识与所述第二信任列表中包含的所述若干bssid标识相同。

进一步的，所述第一信任列表和所述第二信任列表不同，包括：所述第一信任列表中包含的所述若干bssid标识与所述第二信任列表中包含的所述若干bssid标识不相同。

通过本发明实施例提供的一种防止sta关联非法ap的方法及系统，通过给同一无线子网中的若干ap同时配置两个ssid标识，一个业务ssid标识，一个信任ssid标识。通过信任ssid，sta可以从同一无线子网上的不同ap分别下载信任列表，通过比较两张或两张以上的信任列表，来鉴别哪些ap是合法的，从而通过关联合法的ap来访问无线网络。

附图说明

为了更清楚地说明本发明或现有技术中的方案，下面将对实施例或现有技术描述中所需要使用的附图作一个简单介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例所提供的一种无线网络的网络拓扑示意图；

图2为本发明实施例所提供的一种防止sta关联非法ap的系统组成结构示意图；

图3为本发明实施例所提供的一种防止sta关联非法ap的方法流程示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例,附图中给出了本发明的较佳实施例。本发明可以以许多不同的形式来实现，并不限于本文所描述的实施例，相反地，提供这些实施例的目的是使对本发明的公开内容的理解更加透彻全面。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

除非另有定义，本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的，不是旨在于限制本发明。本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别不同对象，而不是用于描述特定顺序。此外，术语“包括”和“具有”以及它们任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可选地还包括没有列出的步骤或单元，或可选地还包括对于这些过程、方法、产品或设备固有的其他步骤或单元。

在本文中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本发明的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是，本文所描述的实施例可以与其它实施例相结合。

实施例一

本发明实施例一提供一种防止sta关联非法ap的系统。参阅图1，图示为本发明实施例提供的一种无线网络的网络拓扑示意图。所述无线网络中包括需要不同身份认证第一无线子网200和第二无线子网300，每一个无线子网都需要独立的身份验证，只有通过身份验证的用户才可以进入相应的子网络，防止未被授权的用户进入本网络。第一无线子网200和第二无线子网300分别对应不同的ssid标识，分别由若干ap组成整个网络。

在本发明的实施例中，需要给同一无线子网下的若干ap均分别配置两个ssid标识，其中一个为业务ssid标识，另一个为信任ssid标识。业务ssid标识用于sta访问无线子网，信任ssid标识用于sta鉴别业务ssid标识是否为非法ap提供的ssid标识。如图1所示，第一无线子网200中的ap202、ap204、ap206、ap208分别都部署了两个ssid标识，一个业务ssid标识和一个信任ssid标识。第二无线子网300中的ap302、ap304、ap306和ap308也分别都部署了两个ssid标识，一个业务ssid标识和一个信任ssid标识。

当sta希望访问第一无线子网200时，可以通过第一无线子网200的信任ssid标识，关联对应的ap，并且下载一张信任列表，所述信任列表包括<业务ssid标识，若干bssid标识>，同一无线子网下的合法ap提供的信任列表均相同，均为可以访问无线子网的若干合法ap的bssid标识，所述的信任列表为布置此公共wifi的人员设定。非法ap为了伪装自己，通常会仿冒与合法ap相同或相似的业务ssid标识和信任ssid标识，此外，还会将自己的bssid标识加入信任列表中，此时，从非法ap上下载的信任列表就和从合法ap上下载的信任列表不同。通常情况下，一般非法ap，由于布署困难，都是独立ap，无法组成与合法ap相同的廋ap网络。本发明实施例提供的防止sta关联非法ap的系统，正是通过从不同的ap上获取不同的信任列表，通过比对两张或两张以上的信任列表，从两张或两张以上相同的信任列表中，选取信号较好的bssid标识对应的ap进行关联，从而实现安全的访问无线网络。当sta获取了两张不同个信任列表，则需要继续获取其他信任列表，通过比对识别出非法ap，有效防止了sta关联非法ap。

参阅图2，图示为本发明实施例提供的一种防止sta关联非法ap的系统组成结构示意图，如下将详细介绍如何防止sta800关联第一无线子网900中的非法ap。

本发明实施例提供的防止sta关联非法ap的系统包括：sta800和归属于第一无线子网900的具有相同第一业务ssid标识和第一信任ssid标识的第一ap802、第二ap804和第三ap806。

sta800扫描无线网络，发现第一无线子网900，获取对应第一无线子网900的第一业务ssid标识和第一信任ssid标识。sta800通过所述第一信任ssid标识，发现所述第一无线子网900对应的第一ap802、第二ap804和第三ap806，获取所述第一ap802、第二ap804和第三ap806对应的bssid标识分别为“bssid1”、“bssid2”和“bssid3”。

sta800通过第一bssid标识“bssid1”关联所述第一无线子网下的第一ap802，从所述第一ap802上下载第一信任列表，所述第一信任列表包括：第一业务ssid标识和若干bssid标识。在本实施例中，第一信任列表具体为<“第一业务ssid”，“bssid1”，“bssid3”>。

sta800断开与第一ap802的连接，继续通过第二bssid标识“bssid2”关联所述第一无线子网下的第二ap804，从所述第二ap804上下载第二信任列表，所述第二信任列表包括：第一业务ssid标识和若干bssid标识。在本实施例中，第二信任列表具体为<“第一业务ssid”，“bssid1”，“bssid2”>。

sta800比较所述下载的第一信任列表和第二信任列表；此时，发现第一信任列表和第二信任列表不完全相同，即所述第一信任列表中包含的所述若干bssid标识与所述第二信任列表中包含的所述若干bssid标识不相同。说明其中若干bsssid标识对应的ap中包含非法ap，需要进一步去其他ap下载信任列表，从而识别非法ap。

sta800断开与第二ap804的连接，通过第三bssid标识关联所述第一无线子网下的第三ap806，从所述第三ap806上下载第三信任列表，所述第三信任列表包括：第一业务ssid标识和若干bssid标识。在本实施例中，第三信任列表具体为<“第一业务ssid”，“bssid1”，“bssid3”>。

此时，所述第一信任列表和所述第三信任列表相同，即所述第一信任列表中包含的所述若干bssid标识与所述第三信任列表中包含的所述若干bssid标识相同。sta800从所述第一或第三信任列表中的若干bssid标识“bssid1”和“bssid3”中，选择信号强度较好的bssid标识“bssid3”对应的第三ap806进行关联，从而通过所述第一业务ssid标识访问所述第一无线子网900。

经过上述第一信任列表、第二信任列表和第三信任列表的比较，发现bssid标识“bssid2”对应的第二ap804为非法ap。因为只有其自身保存的第二信任列表中包含其对应的bssid标识“bssid2”，而在其他信任列表中没有包含。

通过本发明实施例提供的一种防止sta关联非法ap的系统，通过给同一无线子网中的若干ap同时配置两个ssid标识，一个业务ssid标识，一个信任ssid标识。通过信任ssid，sta可以从同一无线子网上的不同ap分别下载信任列表，通过比较两张或两张以上的信任列表，来鉴别哪些ap是合法的，从而通过关联合法的ap来访问无线网络。

实施例二

本发明实施例二提供一种防止sta关联非法ap的方法。参阅图3，图示为本发明实施例所提供的一种防止sta关联非法ap的方法流程示意图。所述方法可以应用于图2所示的防止sta关联非法ap的系统，如下将结合图1介绍本发明实施例提供的防止sta关联非法ap的方法。

为了实现本发明实施例所提供的方法，首先需要给归属于第一无线子网900的第一ap802、第二ap804和第三ap806，配置相同的第一业务ssid标识和第一信任ssid标识。第一业务ssid标识用于sta800访问无线子网，第一信任ssid标识用于sta800鉴别业务ssid标识是否为非法ap提供的ssid标识。

步骤s1001：sta800扫描无线网络，发现第一无线子网900，获取对应的第一无线子网的第一业务ssid标识和第一信任ssid标识。

步骤s1002：sta800通过所述第一信任ssid标识，发现所述第一无线子网900对应的第一ap802、第二ap804和第三ap806，获取所述第一ap802、第二ap804和第三ap806对应的bssid标识分别为“bssid1”、“bssid2”和“bssid3”。

步骤s1003：sta800通过第一bssid标识“bssid1”关联所述第一无线子网900下的第一ap802，从所述第一ap802上下载第一信任列表，所述第一信任列表包括：第一业务ssid标识和若干bssid标识。

步骤s1004：sta800通过第二bssid标识“bssid2”关联所述第一无线子网900下的第二ap804，从所述第二ap804上下载第二信任列表，所述第二信任列表包括：第一业务ssid标识和若干bssid标识。

步骤s1005：sta800比较所述下载的第一信任列表和第二信任列表。

步骤s1006：当所述第一信任列表和所述第二信任列表相同，例如：第一信任列表具体为<“第一业务ssid”，“bssid1”，“bssid2”>，第二信任列表具体为<“第一业务ssid”，“bssid1”，“bssid2”>，两张信任列表完全相同。sta800从第一或第二信任列表中的若干bssid标识“bssid1”和“bssid2”中，选择信号强度较好的bssid标识“bssid1”对应的第一ap802进行关联，从而通过所述第一业务ssid标识访问所述第一无线子网900。

步骤s1007：当所述第一信任列表和所述第二信任列表不同，例如：第一信任列表具体为<“第一业务ssid”，“bssid1”，“bssid3”>，第二信任列表具体为<“第一业务ssid”，“bssid1”，“bssid2”>,，就需要继续从第三ap806上获信任列表。此时，sta800通过第三bssid标识“bssid3”关联所述第一无线子网下的第三ap806，从所述第三ap806上下载第三信任列表，所述第三信任列表包括：第一业务ssid标识和若干bssid标识。此时，第三信任列表具体为<“第一业务ssid”，“bssid1”，“bssid3”>，所述第一信任列表和所述第三信任列表相同，

步骤s1008：当所述第一信任列表和所述第三信任列表相同，sta800从第一或第三信任列表中的若干bssid标识“bssid1”和“bssid3”中，选择信号强度较好的bssid标识“bssid3”对应的第三ap806进行关联，从而通过所述第一业务ssid标识访问所述第一无线子网900。

经过上述第一信任列表、第二信任列表和第三信任列表的比较，从步骤s1007和步骤s1008的描述来看，发现bssid标识“bssid2”对应的第二ap804为非法ap。因为只有其自身保存的第二信任列表中包含其对应的bssid标识“bssid2”，而在其他信任列表中没有包含。

通过本发明实施例提供的一种防止sta关联非法ap的系方法，通过给同一无线子网中的若干ap同时配置两个ssid标识，一个业务ssid标识，一个信任ssid标识。通过信任ssid，sta可以从同一无线子网上的不同ap分别下载信任列表，通过比较两张或两张以上的信任列表，来鉴别哪些ap是合法的，从而通过关联合法的ap来访问无线网络。

以上仅为本发明的实施例，但并不限制本发明的专利范围，尽管参照前述实施例对本发明进行了详细的说明，对于本领域的技术人员来而言，其依然可以对前述各具体实施方式所记载的技术方案进行修改，或者对其中部分技术特征进行等效替换。凡是利用本发明说明书及附图内容所做的等效结构，直接或间接运用在其他相关的技术领域，均同理在本发明专利保护范围之内。