一种非法ap的防护方法及装置制造方法
【专利摘要】本发明公开了一种非法AP的防护方法和装置,所述方法包括:检测与无线客户端关联的AP是否为非法AP;若所述AP为非法AP,则在非法AP所在的信道上模拟所述非法AP向所述非法AP上关联的所有用户发送信道切换指令,引导客户端切换信道到指定的新信道,并仿冒非法AP在相应的信道上提供服务,防止用户切回非法AP。通过本发明,能够消除非法AP的安全隐患,为用户提供正常的服务。
【专利说明】—种非法AP的防护方法及装置
【技术领域】
[0001]本发明涉及网络安全领域,尤其涉及无线局域网(WLAN, Wireless LAN)中一种非法AP防护的方法及装置。
【背景技术】
[0002]随着无线技术的发展,无线网络的安全性成为一个急需解决的问题。目前,WLAN系统由于设备自身存在安全漏洞、配置不当或组网结构不合理、无线空口等问题,会使WLAN系统面临密码被盗用、网路滥用、设备被利用、网络不可用等安全风险。典型的安全攻击有钓鱼AP攻击,攻击者利用非法AP与DNS欺骗相结合进行无线钓鱼。以中国电信运营商部署的SSID =ChinaNet为例,由于ChinaNet未采用任何无线认证和加密手段,因此攻击者可以通过伪造ChinaNet的Web认证界面并使用自身的AP广播虚假ChinaNet网络,进而误导用户在钓鱼页面输入账号、口令并进行截获。
[0003]因此,急需提出一种非法AP的防护方法。为能够解决上述问题,现有方案一般通过检测AP定期扫描信道,并按照一定的过滤条件判断非法AP的存在并进行告警,然后对非法AP进行攻击。具体的实现方式为:检测AP仿冒非法AP给客户端发送大量的deassociation报文强制用户解关联。但这种方式会造成用户很快就又再次关联非法AP。如果要持续防护就要不停地发送解关联报文强制用户解关联,这样既占用空口资源,也无法为这些关联到非法AP的用户提供正常的服务。
【发明内容】
[0004]有鉴于此,本发明提供一种非法AP防护的方法和装置,能够消除非法AP的安全隐患,为无线用户提供正常的服务。
[0005]为实现本发明目的,本发明实现方案具体如下:
[0006]一种非法AP的防护方法,应用于检测AP,所述检测AP对信道进行定期扫描,所述方法包括以下步骤:
[0007]检测与无线客户端关联的AP是否为非法AP ;
[0008]若所述AP为非法AP,则在非法AP所在的信道上模拟所述非法AP向所述非法AP上关联的所有用户发送信道切换指令,引导客户端切换信道到指定的新信道。
[0009]进一步地,所述检测AP进一步在指定的信道上仿冒非法AP提供服务,防止用户切回非法AP。
[0010]本发明同时提供一种非法AP的防护装置,应用于检测AP,所述检测AP对信道进行定期扫描,所述装置包括:
[0011]检测单元,用于检测与无线客户端关联的AP是否为非法AP ;
[0012]信道引导单元,用于当所述AP为非法AP时,在非法AP所在的信道上模拟所述非法AP向所述非法AP上关联的所有用户发送信道切换指令,引导客户端切换信道到指定的新信道。[0013]进一步地,信号服务单元,用于在指定的信道上仿冒非法AP提供服务,防止用户切回非法AP。
[0014]与现有技术相比,本发明中,通过当检测到非法AP时,模拟非法AP向所述非法AP上关联的所有用户发送信道切换指令,引导客户端切换信道到指定的新信道,并仿冒非法AP在相应的信道上提供服务,防止用户切回非法AP。从而解除了无线客户端和非法AP的关联并可以防止无线客户端再次连接到非法AP,进而为用户提供正常的服务。
【专利附图】
【附图说明】
[0015]图1为本发明一种非法AP防护的方法流程示意图。
[0016]图2为频道切换宣告巾贞(Channel Switch Announcement)的报文格式示意图。
[0017]图3为频道切换宣布巾贞(Channel Switch Announcement)的信息元素的格式示意图。
[0018]图4为本发明一种非法AP防护的逻辑组成图。
【具体实施方式】
[0019]为实现本发明目的,本发明采用的核心思想为:利用现有技术中WLAN设备支持802.1lh DFS (Dynamic Frequency Selection,动态频率选择)的特性,当检测到存在非法AP时,检测AP通过仿冒非法AP,向关联在非法AP上的客户端发送信道切换指令,引导这些客户端切换到指定信道,并在新的所述指定信道上仿冒非法AP和客户端建立连接并为之提供服务,从而消除非法AP的安全隐患。
[0020]为实现本发明目的,以下结合附图详细说明本发明。请参考图1,为本发明提供的一种非法AP防护的方法,应用于无线网络中非法AP的防护,所述无线网络中至少包括有一个检测AP,对信道进行定期扫描,其中,所述方法包括以下步骤:
[0021]步骤101,检测与无线客户端关联的AP是否为非法AP。
[0022]具体地,为了保护WLAN网路的安全性,在本发明中,WLAN网络中需要设置检测AP,所述检测AP定期对信道进行扫描,具体实现方式为:检测AP通过信道侦听、主动扫描等监测机制定期检测WLAN网络中是否存在非法AP,当检测到非法AP存在时,确认非法AP所在的信道和BSSID信息,并保存在本地待用。
[0023]需要说明的是,所述检测AP根据具体的应用场景,其布置的实现是非常灵活的,即可以由承担实际数据转发业务的合法AP充当,也可由用于专门检测的合法AP来充当。除此之外,还可以为合法AP内的检测模块,由于此部分不是本发明重点,在此不再详细描述。
[0024]步骤102,若检测到存在非法AP,则在非法AP所在的信道上模拟所述非法AP向所述非法AP上关联的所有用户发送信道切换指令,引导客户端切换信道到指定的信道。
[0025]具体地,在本发明中,通过利用802.1lh标准中规定的防干扰机制来解决无线网络中存在非法AP的问题。在802.11系列标准的演进过程中,为了避免工作在5GHz频段的无线通信设备对雷达系统造成干扰,各国对工作在这些频率设备的要求除了功率、频谱等常规项目以外,还特别增加了对动态频率选择(DFS:Dynamic Frequency Selection)特性的要求。802.1Ih就是针对802.1Ia和802.1ln无线网络设备在5GHz频段工作时遇到的信道干扰问题而制定,其所定义的机制能使基于802.1la和802.1ln的无线系统避免与雷达或其他同类系统中的宽带技术相干扰,保障无线通信的畅通。为此,802.1lh标准中引入了DFS关键技术,当工作在5G频段的WLAN设备,在工作信道上检测到雷达信号后,必须自动跳开当前信道,并且必须具备连续3次以上的自动跳开频率机能,才能符合认证与使用规范。同时,AP在检测到雷达信号决定切换信道前,会向客户端发送信道切换通知帧,通知客户端切换工作信道。
[0026]由于WLAN设备均支持802.1lh DFS (动态频率选择)的特性,本发明的核心思想就是借用该特性,通过检测AP模拟非法AP身份,然后在非法AP所在的信道上向非法AP上关联的所有用户客户端发送信道切换指令,引导客户端切换信道到指定的新信道。因此,当所述步骤101中检测到非法AP存在时,检测AP确认非法AP所在的信道和BSSID信息,并通过侦听获取非法AP上关联的无线用户列表,并记录在本地。然后,检测AP根据所述非法AP所在的信道、BSSID信息和所述无线用户列表,在非法AP所在的信道上模拟所述非法AP向非法AP上关联的所有用户发送切换信道指令,引导客户端切换信道到指定的新信道。进一步地,当检测AP检测到多个非法AP同时存在时,所述检测AP进一步在指定的新信道上模拟多个非法AP广播其BEACON,弓I导多个非法AP下的终端都切换到检测AP上。
[0027]优选地,所述指定的新信道为检测AP所在的信道,即检测AP向客户端发送信道切换指令,引导无线客户端切换信道到自己的信道上,当检测AP和非法AP在同一信道时,检测AP可以切换到其他的信道,同时发送信道切换指令到与非法AP相连的客户端,引导客户端也切换到与其对应的信道。
[0028]优选地,所述信道切换指令是通过频道切换宣告帧发送的,所述频道切换宣告帧包含引导客户端切换到所述指定的新信道的编号。如图2所示,为频道切换宣告帧(Channel Switch Announcement)的报文格式示意图,所述频道切换宣告巾贞用于通知各个网站的工作站准备切换到指定的新信道。所述的频道切换宣告帧,具体是通过Action帧包装Channel Switch Announcement信息元素来实现,因此,具备频道切换宣告元素的所有功能,可以用来指定网络即将切换至新信道的时间和新信道的编号。请进一步参照图3所示,为频道切换宣告巾贞(Channel Switch Announcement)的信息元素的格式,元素中指定了 NewChannel Number字段(即所述指定的信道的编号)和Channel switch count字段(即信道切换的时间)。所述频道切换宣告帧中的其他字段为现有的标准格式,在此不再详细说明。
[0029]为了降低用户反复关联到非法AP的可能性,进一步地,所述方法还包括:
[0030]步骤103,在所述指定的信道上,模拟所述非法AP广播Beacon报文,引导原先关联在所述非法AP上的无线客户端关联到所述检测AP。
[0031]具体地,所述检测AP引导客户端切换到指定信道之后,检测AP也会切换到所述指定信道,在所述指定信道上,检测AP模拟非法AP广播相应的Beacon报文,并同时备份非法AP上关联的客户端信息。客户端接收到检测AP发出的信道切换指令之后,在指定的时间切换到所述指定的信道,在所述指定的信道接收到所述检测AP广播的Beacon报文之后,与检测AP建立关联。当然,客户端切换到所述指定的信道之后,可能会接收到其他合法AP发送的Beacon报文并与其他合法AP建立连接,也可能会与在所述指定的信道上的其他非法AP建立连接。如果客户端再次与非法AP建立连接,则检测AP将继续模拟非法AP发送信道切换指令到客户端,指导客户端切换到其他信道。
[0032]当无线客户端与检测AP建立关联之后,所述检测AP进一步在该指定的信道上仿冒非法AP提供正常的无线服务,无线客户端就可以通过检测AP进行数据报文的收发,进入到正常的工作流程。如此,便能够解决传统攻击非法AP的方法中,由于仿冒非法AP给客户端发送大量的deassociation报文强制用户解关联,造成用户很快再次与所述非法AP建立关联后不停地发deassocation报文而占用空口资源,最终导致用户无法得到想要的服务。
[0033]请参考图4,本发明同时提供一种非法AP的防护装置,应用于无线网络中非法AP的防护,其中所述无线网络中至少包括有检测AP,所述检测AP为合法AP的检测模块或者专用的检测AP,也可以是承载数据转发业务的其他合法AP,所述检测AP对信道进行定期扫描,其中,所述装置包括:
[0034]检测单元401,用于检测与无线客户端关联的AP是否为非法AP ;
[0035]具体地,为了保护WLAN网路的安全性,在WLAN网络中设置检测AP,所述检测AP的检测单元401定期对信道进行扫描,通过信道侦听、主动扫描等监测机制检测WLAN网络中是否存在非法AP,当检测到非法AP存在时,确认非法AP所在的信道和BSSID信息,并保存在本地待用。
[0036]需要说明的是,所述检测AP可以根据具体的应用场景,其布置的实现可以是非常灵活的,即可以由承担实际数据转发业务的合法AP充当,也可由用于专门检测的合法AP来充当。除此之外,还可以为合法AP的检测模块,也可以为专用的检测AP,工作在某一信道上,并且在执行检测操作时可以切换到其他信道。
[0037]信道引导单元402,用于当所述AP为非法AP时,在非法AP所在的信道上模拟所述非法AP向所述非法AP上关联的所有用户发送信道切换指令,引导客户端切换信道到指定的信道。
[0038]具体地,本发明利用802.1lh标准中规定的防干扰机制来解决非法AP问题。在802.11系列标准的演进过程中,为了避免工作在5GHz频段的无线通信设备对雷达系统造成干扰,各国对工作在这些频率设备的要求除了功率、频谱等常规项目以外,还特别增加了对动态频率选择(DFS:Dynamic Frequency Selection)特性的要求。802.1lh标准就是针对802.1la和802.1ln无线网络设备在5GHz频段工作时遇到的信道干扰问题而制定,其所定义的机制能使基于802.1ln的无线系统避免与雷达或其他同类系统中的宽带技术相干扰,保障无线通信的畅通。为此,802.1lh引入DFS关键技术,当工作在5G频段的WLAN设备,在工作信道上检测到雷达信号后,必须自动跳开当前信道,并且必须具备连续3次以上的自动跳开频率机能,才能符合认证与使用规范。同时,AP在检测到雷达信号决定切换信道前,会向客户端发送信道切换通知帧,通知客户端切换工作信道。由于WLAN设备支持802.1lhDFS (动态频率选择)的特性,本发明的核心思想就是借用该特性利用合法检测AP模拟非法AP身份,然后在非法AP所在的信道上向非法AP上关联的所有用户发送信道切换指令,引导客户端切换信道到指定的信道。因此,当所述检测单元401检测到非法AP存在时,检测AP确认非法AP所在的信道和BSSID信息,并通过侦听获取非法AP上关联的无线用户列表,并记录在本地。然后,信道引导单元402根据所述非法AP所在的信道、BSSID信息和所述无线用户列表,在非法AP所在的信道上模拟所述非法AP向非法AP上关联的所有用户发送切换信道指令,引导客户端切换信道到指定的信道,进一步地,当检测AP检测到多个非法AP同时存在时,所述检测AP进一步在指定的新信道上模拟多个非法AP广播其BEAC0N,引导多个非法AP下的终端都切换到检测AP上。[0039]优选地,所述指定的新信道为检测AP所在的信道,即检测AP向客户端发送信道切换指令,引导无线客户端切换信道到自己的信道上,当检测AP和非法AP在同一信道时,检测AP可以切换到其他的信道,同时发送信道切换指令到与非法AP相连的客户端,引导客户端也切换到与其对应的信道。
[0040]优选地,所述信道切换指令是通过频道切换宣告帧发送的,所述频道切换宣告帧包含引导客户端切换到的所述指定的新信道的编号。如图2所示,为频道切换宣告帧(Channel Switch Announcement)的报文格式示意图,所述频道切换宣告巾贞用于通知各个网站的工作站准备切换到指定的新信道。所述的频道切换宣告帧,具体是通过Action帧包装Channel Switch Announcement信息元素来实现,因此,具备频道切换宣告元素的所有功能,可以用来指定网络即将切换至新信道的时间和新信道的编号。请进一步参照图3所示,为频道切换宣告巾贞(Channel Switch Announcement)的信息元素的格式,元素中指定了 NewChannel Number字段(即所述指定的新信道的编号)和Channel switch count字段(即信道切换的时间)。所述频道切换宣告帧中的其他字段为现有的标准格式,在此不再详细说明。
[0041]Beacon报文广播单元403,用于在所述指定的信道上,模拟所述非法AP广播Beacon报文,引导原先关联在所述非法AP上的无线客户端关联到所述检测AP。
[0042]具体地,所述信道引导单元402引导客户端切换到指定信道之后,检测AP也会切换到所述指定信道,在所述指定信道上,检测AP模拟非法AP广播相应的Beacon ID,并同时备份非法AP上关联的客户端信息。客户端接收到检测AP发出的信道切换指令之后,在指定的时间切换到所述指定的信道,Beacon报文广播单元403在所述指定的信道接收到所述检测AP广播的Beacon报文之后,与检测AP建立关联。当然,客户端切换到所述指定的信道之后,可能会接收到其他合法AP发送的Beacon报文并与其他合法AP建立连接,也可能会与在所述指定的信道上的其他非法AP建立连接。如果客户端再次与非法AP建立连接,则检测AP模拟非法AP发送信道切换指令到客户端,指导客户端切换到其他信道。
[0043]信号服务单元,用于在指定的信道上仿冒非法AP提供正常的无线服务,防止用户切回非法AP。
[0044]当无线客户端与检测AP建立关联之后,所述信号服务单元在指定的信道上仿冒非法AP提供正常的无线服务,无线客户端可以通过检测AP进行数据报文的收发,进入到正常的工作流程。如此,便能够解决传统攻击非法AP的方法中,由于仿冒非法AP给客户端发送大量的deassociation报文强制用户解关联,造成用户很快再次与所述非法AP建立关联后不停地发deassocation报文而占用空口资源,最终导致用户无法得到想要的服务。
[0045]以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
【权利要求】
1.一种非法AP的防护方法,应用于无线网络中非法AP的防护,所述无线网络中至少包括一检测AP,所述检测AP对信道进行定期扫描,其特征在于,所述方法包括以下步骤: 检测与无线客户端关联的AP是否为非法AP ; 若所述AP为非法AP,则在非法AP所在的信道上模拟所述非法AP向所述非法AP上关联的所有用户发送信道切换指令,引导客户端切换信道到指定的信道。
2.如权利要求1所述的方法,其特征在于,在所述指定的信道上,检测AP模拟所述非法AP广播Beacon报文,引导原先关联在所述非法AP上的无线客户端关联到所述检测AP。
3.如权利要求1所述的方法,其特征在于,所述检测AP进一步在指定的信道上仿冒非法AP提供服务,防止用户切回非法AP。
4.如权利要求1或2所述的方法,其特征在于,所述信道切换指令是通过频道切换宣告帧发送的,所述频道切换宣告帧包含引导客户端切换到的所述指定的新信道的编号。
5.如权利要求4所述的方法,其特征在于,所述指定的新信道为所述检测AP所在的信道。
6.一种非法AP的防护装置,应用于无线网络中非法AP的防护,其特征在于,所述装置为检测AP,对无线网络的信道进行定期扫描,所述装置包括: 检测单元,用于检测与无线客户端关联的AP是否为非法AP ; 信道引导单元,用于当所述AP为非法AP时,在非法AP所在的信道上模拟所述非法AP向所述非法AP上关联的所有用户发送信道切换指令,引导客户端切换信道到指定的信道。
7.如权利要求6所述的装置,其特征在于,所述装置还包括: Beacon报文广播单元,用于在所述指定的信道上,模拟所述非法AP广播Beacon报文,引导原先关联在所述非法AP上的无线客户端关联到所述装置上。
8.如权利要求6或7所述的装置,其特征在于,所述装置还包括: 信号服务单元,用于在指定的信道上仿冒非法AP提供服务,防止用户切回非法AP。
9.如权利要求6或所述的装置,其特征在于,所述信道切换指令是通过频道切换宣告帧发送的,所述频道切换宣告帧包含引导客户端切换到的所述指定的新信道的编号。
10.如权利要求9所述的装置,其特征在于,所述指定的新信道为所述检测AP所在的信道。
【文档编号】H04W12/12GK103888949SQ201210556408
【公开日】2014年6月25日 申请日期:2012年12月19日 优先权日:2012年12月19日
【发明者】郑涛, 张海涛, 徐国祥, 傅振宇 申请人:杭州华三通信技术有限公司