一种针对于无线组网环境中非法AP的检测抑制方法与流程

本发明涉及网络通信技术领域，具体地讲，是涉及一种针对于无线组网环境中非法ap的检测抑制方法。

背景技术：

在现目前的实际应用中，提供wifi上网服务的无线组网环境，通常是由无线接入点ap（accesspoint）和接入控制器ac（accesscontroller）构建。但在这种无线组网环境中，经常会出现一些不受ac管控的未知无线设备来占用无线信道进行数据传输，这种未知无线设备我们通常称之为“非法ap”，由于非法ap及其相关联的无线设备占用了无线信道进行数据传输，便增加了环境中的无线干扰和数据在无线信道中的碰撞，导致正常ap出现无线吞吐量变低，稳定性变差等情况，影响实际使用效果，使正常ap提供的wifi服务质量降低，在一些特殊情况下还会威胁到使用正常ap进行无线上网的用户的网络安全。针对于这种非法ap的存在，提出一种能够检测到非法ap的存在并能有效对其抑制的方法非常有必要，以提高组网环境内的无线性能、稳定性和安全性。

技术实现要素：

针对上述现有技术的不足，本发明提供一种能够提高无线性能、稳定性和安全性的针对于无线组网环境中非法ap的检测抑制方法。

为了实现上述目的，本发明采用的技术方案如下：

一种针对于无线组网环境中非法ap的检测抑制方法，其中所述无线组网环境主要由接入控制器ac和至少一个受所述接入控制器ac管控的无线接入点ap构成，该方法包括如下步骤：

（s1）所述接入控制器ac定期生成一记录在线的并在其管控下的无线接入点ap信息的管控表单，并向该管控表单内记录的无线接入点ap发送非法ap检测指令；

（s2）所述无线接入点ap周期性地侦听该无线组网环境中的无线帧，并在每个周期结束时生成一记录当前接入该无线组网环境的所有无线接入点ap信息的无线连接表单，将之返回给接入控制器ac；

（s3）对比所述管控表单和所述无线连接表单，获得记录有非法ap信息的非法ap表单；

（s4）当所述非法ap表单不为空且在需要时，由所述接入控制器ac发出抑制指令进行抑制，使所述非法ap表单内记录的非法ap的下连无线终端全部断开连接，完成抑制。

具体地，所述管控表单和无线连接表单内所记录的无线接入点ap信息包括服务集标识ssid、mac地址、无线信道、信号强度、下连无线终端数量和下连无线终端mac地址。

具体地，所述步骤（s1）中接入控制器ac发送非法ap检测指令时，从所述管控表单内选择一无线接入点ap作为检测ap，向其发送非法ap检测指令。

具体地，所述步骤（s3）中通过如下方式获得非法ap表单：

对比所述管控表单和所述无线连接表单后，从所述无线连接表单中过滤掉所述管控表单内记录的无线接入点ap信息，剩余的无线接入点ap即为非法ap，由剩余的无线接入点ap信息构成非法ap表单。

进一步地，所述接入控制器ac发出抑制指令进行抑制的具体方法如下：

（s4.1）由所述接入控制器ac指定其管控下的一无线接入点ap为抑制ap，并向其发出抑制指令；

（s4.2）所述抑制ap根据所述非法ap表单所记录的非法ap信息来模拟非法ap，并向非法ap的下连无线终端发送deauth帧和disassoc帧，使这些下连无线终端出现掉线，从而断开与所述非法ap的连接。

更进一步地，在所述步骤（s4）完成抑制后，持续进行步骤（s2）的检测和步骤（s3）的对比，当所获得的非法ap表单内的非法ap没有下连无线终端时，认定为抑制成功。

其中，所述步骤（s4.2）中，所述抑制ap每次模拟一个非法ap进行抑制，当要进行抑制的非法ap有多个时，所述抑制ap依次模拟每个非法ap进行抑制。

具体地，所述步骤（s4）中所述在需要时为

所述非法ap表单内记录的某一或某些非法ap的信号强度超过设定阈值时，

或者，该无线组网环境的网络管理员认为某一或某些非法ap必须进行抑制时；

此时，对这一或这些非法ap选择性地进行抑制。

另外，所述步骤（s3）获得非法ap表单后，对该非法ap表单进行筛选，获得抑制表单，并在所述步骤（s4）中由所述接入控制器ac针对该抑制表单发出抑制指令进行抑制；

其中，对该非法ap表单进行筛选的方法如下：

对所述非法ap表单内记录的非法ap依次进行信号强度检测，当其信号强度超过设定阈值时，将该非法ap信息记录于抑制表单中。

并且，所述抑制表单为空时，不执行所述步骤（s4）。

与现有技术相比，本发明具有以下有益效果：

（1）本发明主要针对于受管控的无线网络，利用无线侦测技术，扫描分析出其中外来的不受管控的接入点，并根据情况对其进行相应抑制，避免这些接入点及其下连终端在网络中消耗过多的无线网络资源而影响正常接入点的无线服务质量，从而优先保障受管控的接入点及其下连终端使用该无线网络服务的稳定性和安全性，并且本发明构思新颖，针对性强，过程简单有效，应用性好，对网络管控较为人性化，具有广泛的应用前景，适合推广应用。

（2）本发明中检测ap基于内部管理权限全面地获取到网内所有ap的无线连接信息，为后续非法ap的认定、其对正常网络的影响程度、以及对其的模拟提供了可靠的数据基础。

（3）本发明在检测和抑制时均专门指定一ap进行，保证在方法执行过程中的可控性和便捷性，而且减小了本发明方法执行中对无线网络正常使用的影响，主要在于ap在进行本发明的检测和抑制方法时就无法同时提供正常的数据传输服务，因此在实际应用中可以将检测ap和抑制ap配置在同一专用ap上，从而专门地保证本组网环境的安全。

（4）本发明在抑制方法的应用上，主要基于相对简便的无线信息获取方式和内容，可以使普通ap摇身变为检测ap和抑制ap，不必额外配置专用设备或预装其他专用软件，也因此不能直接对非法ap及其下连终端进行操作（如控制其主动下线等方式），相对来讲本发明的抑制方法是一种更为柔和的方式，即不断开非法ap的连接而仅使其下连终端无法连接非法ap，这种情况下也可以引导不知情的终端通过合法的受管控的ap使用网络，从另一个角度提高了本无线组网环境的安全性以及终端的使用安全性。

（5）本发明中在检测到非法ap后，主要以其信号强度来判断其对无线组网环境的影响程度，一般来说信号强度越大其占用网络资源越多，通过对这些非法ap进行抑制来保证正常设备的网络使用质量和无线性能，兼顾了人性化的考虑。

附图说明

图1为本发明的流程示意图。

图2为本发明-实施例在检测抑制前的吞吐量测试示意图。

图3为本发明-实施例在检测抑制后的吞吐量测试示意图。

具体实施方式

下面结合附图和实施例对本发明作进一步说明，本发明的实施方式包括但不限于下列实施例。

实施例

如图1至图3所示，该针对于无线组网环境中非法ap的检测抑制方法，其中，所述无线组网环境主要由接入控制器ac和至少一个受所述接入控制器ac管控的无线接入点ap构成，在实际应用中，需要使用本发明方法的网络环境内在接入控制器ac下通常都具有多个无线接入点ap，此时可指定其中一无线接入点ap专门作为检测ap和抑制ap使用。

该方法具体包括如下步骤：

（s1）所述接入控制器ac定期生成一记录在线的并在其管控下的无线接入点ap信息的管控表单，并向该管控表单内记录的受指定的检测ap发送非法ap检测指令；其中所述定期主要是指在检测抑制时期内预设的一个用于更新该管控表单的周期，从而确保管控表单的实时性，进而便于有效准确地进行检测抑制；在更新管控表单时将新加入该网络的受ac管控的ap信息加入该管控表单，对当前周期内离线但之前周期在线的ap信息作剔除或标注离线处理，这点受为该管控表单配置的存储容量限制，根据实际情况决定，但该管控表单在本发明中仅以在线的ap信息为有效信息。

所述管控表单内所记录的无线接入点ap信息至少具有服务集标识ssid、mac地址、无线信道、信号强度、下连无线终端数量和下连无线终端mac地址。若在实际应用中需要使用到其他信息，可以对该管控表单内容进行扩充，如前述需要标注在线离线状态的情况，则可在该管控表单内增加“在线离线状态”信息。

（s2）所述检测ap周期性地侦听该无线组网环境中的无线帧，并在每个周期结束时生成一记录当前接入该无线组网环境的所有无线接入点ap信息的无线连接表单，将之返回给接入控制器ac；

具体地，所述无线连接表单内所记录的无线接入点ap信息也至少包括服务集标识ssid、mac地址、无线信道、信号强度、下连无线终端数量和下连无线终端mac地址，在这些信息项目上与所述管控表单保持一致。其中，ssid、mac地址和无线信道主要用于后续模拟ap，信号强度和无线信道主要用于判断ap对无线网络资源的占用程度，下连无线终端数量和下连无线终端mac地址主要用于查看网络用户对每个ap的关联度。并且这些信息基本都可以从所述侦听的无线帧中提取出来，这样可以在检测ap不用过高权限时也能保证采集信息有用，一定程度上也可以保证网络安全，换句话说，本发明仅通过对这些基本信息的采集和处理即可实现，并且很安全。

（s3）对比所述管控表单和所述无线连接表单，从所述无线连接表单中过滤掉所述管控表单内记录的无线接入点ap信息，剩余的无线接入点ap即为非法ap，由剩余的无线接入点ap信息构成非法ap表单，从而获得记录有非法ap信息的非法ap表单。

此时，对非法ap表单内的非法ap处理在实际应用中存在一些处理分支，主要在于对该非法ap表单的筛选处理上，

其一是对该非法ap表单的内容判定，若该非法ap表单为空，则表示本无线组网环境内没有非法ap，此时不执行后续步骤；若该非法ap表单不为空，则要进一步考虑其内容是否需要进行后续的抑制过程，此时基于本发明中抑制方法的特点考虑，当非法ap的下连无线终端数量均为零时，可以认为是无需抑制，同样可以不执行后续的抑制过程，而当存在非法ap的下连无线终端数量不为零的情况时，可以直接执行后续抑制过程，这种做法在实际应用中相对极端，相比之下较为人性化的处理是继续判定这些非法ap的信号强度，若其信号强度超过设定阈值，则选择性地对这些非法ap进行抑制，若其信号强度没有超过设定阈值，可以不用对其进行抑制，这是系统自动运行的情况；当本无线组网环境的网络管理员介入时，则可根据网络管理员的判定全面或选择性地来对一些非法ap进行抑制；

其二是对该非法ap表单的进一步筛选，即对所述非法ap表单内记录的非法ap依次进行信号强度检测，当其信号强度超过设定阈值时，将该非法ap信息另行记录，由此获得抑制表单，再针对该抑制表单的内容进行抑制；若抑制表单为空，则不执行后续步骤，若该抑制表单内存在记录，则对记录的非法ap进行抑制。

（s4）抑制过程，由所述接入控制器ac发出抑制指令进行抑制，使所述非法ap表单内记录的非法ap的下连无线终端全部断开连接，从而完成抑制，其具体执行过程如下：

（s4.1）由所述接入控制器ac向所述抑制ap发出抑制指令；

（s4.2）所述抑制ap根据前述步骤（s3）选择确定的非法ap信息来模拟该非法ap，并向该非法ap的下连无线终端发送deauth帧和disassoc帧，使这些下连无线终端出现掉线，从而断开与该非法ap的连接；

其中，所述抑制ap每次模拟一个非法ap进行抑制，当要进行抑制的非法ap有多个时，所述抑制ap依次模拟每个非法ap进行抑制。

（s5）最后进行抑制效果确认，即在上述步骤（s4）完成抑制后，再持续进行步骤（s2）的检测和步骤（s3）的对比，制得新的非法ap表单，当所获得的新的非法ap表单内的非法ap没有下连无线终端时，认定为抑制成功，若该新的非法ap表单还存在信号强度超过设定阈值的非法ap，则重复上述抑制过程对其进行抑制。

另外，在实际应用中，还可以在接入控制器ac中配置本发明方法的开关，以便在需要时开启执行本发明方法的整个过程，在不需要时停止本发明方法的执行，不用一直保持执行本发明方法，节约能耗和资源。

本实施例还提供了本发明方法的实验，研究人员在实验室中试验本发明方法的效果，具体如下：

无线组网环境的建设：在总的接入控制器ac下接入2个无线接入点ap1和ap2，ap1为受管控的ap，ap2为非法ap，两个ap配置为相同的无线信道，二者工作时会对对方产生一定的干扰；设定两个无线终端sta1和sta2，sta1连接到ap1作为其下连无线终端，sta2连接到ap2作为其下连无线终端。

实验方法：在sta2上运行软件（一般为ixchariot软件）消耗流量，使ap2和sta2之间产生大量的流量消耗，同时测试ap1和sta1之间的吞吐量。

如图2所示，为没有运行本发明针对非法ap的检测抑制方法时，ap1和sta1之间的吞吐量测试结果示意图，平均值为45.487mbps，在开始的一小段时间和快结束的一段时间内波动较大，同时在中间一些时段具有较大较长的低谷；

如图3所示，为运行本发明针对非法ap的检测抑制方法后，ap1和sta1之间的吞吐量测试结果示意图，平均值为92.281mbps，整体波动比较平稳，整个过程中虽然存在一些低峰值，但缺口很小，呈针状，符合网络传输的自然状态。

图2与图3对比可见，由于执行了本发明方法，导致ap2和sta2之间连接断开，该无线组网环境中就没有了二者之间的大量数据传输，从而提高了ap1与sta1之间的无线性能，相应地，ap1与sta1之间连接和数据传输的稳定性也大大增强。由此可见，本发明对提升无线组网环境内的合法设备性能具有明显效果；在安全性方面，由于断开了非法ap的下连无线终端，普通的wifi使用者不能通过非法ap获得数据传输，能够有效降低来自非法ap的网络安全风险，无论是对本无线组网环境还是普通wif使用者。

上述实施例仅为本发明的优选实施例，并非对本发明保护范围的限制，但凡采用本发明的设计原理，以及在此基础上进行非创造性劳动而作出的变化，均应属于本发明的保护范围之内。