专利名称:无线局域网防范非法接入点的方法及系统的制作方法
技术领域:
本发明涉及通信技术领域,尤其涉及一种无线局域网防范非法接入点的方法及系统。
背景技术:
无线局域网(WLAN,Wireless Local Area Network)技术是基于 IEEE 制定的802. 11标准建立的。该标准中将无线局域网称为基本服务集(BSS,Basic Service Set),组成BSS的设备被称为站点(STA,Station),并定义了两种组网模式基础设施模式(Infrastructure BSS) BSS 和独立模式(Independent) BSS。在 Infrastructure BSS 中,有一个STA既有连接到无线局域网的接口,也有连接到有线网络的接口,它被称为接入点(AP),其它STA都要连接到AP上,各STA与有线网络之间的通信,以及各STA之间的通信,都要经过AP中转。而IBSS也被称为ad hoc网络,各STA的地位是平等的,没有AP,它们相互连接,并直接通信。实际组网时大多会采用基础设施模式。由于WLAN的信号是在空中传输,所以相比有线局域网来说,它面临更多的安全威胁。其中一个比较大的威胁是非法AP。不法分子用很低的成本(只需一个无线网卡)就可以搭建起一个AP,将它放到热点区域,例如咖啡厅,并起一个与合法的无线网络名称相识或者相同的名称,例如ChinaNet-、CMCC-开头的,诱使用户连接上它,并提供虚假的登录页面,获取到用户的帐号和密码等。为了更具欺骗性,不法分子可能会采取中间人攻击方式,在他的电脑上安装两个无线网卡,其中一个配置成AP模式,提供虚假的接入服务;另外一个配置成STA模式,连接到合法AP上;两个网卡进行桥接。这样一来,STA连接到非法AP后,还能正常地上网,但是STA收发的报文全部被截获了,攻击者从中可以分析出用户的很多信肩、O要防范非法AP,首先要能检测出非法AP的存在。目前普遍采用的检测方法是基于AP的MAC地址控制器通过静态配置或者动态学习的方法维护一张合法AP的MAC地址列表,并指定若干个合法AP周期性的进行扫描操作;各合法AP将自己的扫描结果,包括各个邻居AP的MAC地址、信道号等信息,上报给控制器;控制器再将扫描结果与合法AP列表进行比较,如果有AP的MAC地址不在列表中的,就判断它是非法AP。但是由于无线网络环境是开放的,所以非法AP完全可以通过监听信标帧,获取到某个合法AP的MAC地址等信息,然后将自己的MAC地址等参数修改成与之相同,这样上面的检测方法就失效了。所以需要研究新的方法来应对这种情况。
发明内容
鉴于上述的分析, 本发明旨在提供一种无线局域网防范非法接入点的方法及系统,用以解决现有技术中不能防范非法AP将其MAC地址修改为合法的AP的MAC地址进行非法接入的问题。本发明的目的主要是通过以下技术方案实现的
一种无线局域网防范非法接入点的方法,包括AC控制一个或多个监控端向所有AP发送检测报文,并且所述AC预先通过安全通道告知合法AP收到该检测报文后不进行应答;所述AC通过所述监控端收到的应答确定所有AP中的非法AP,并控制所述监控端向所述非法AP发送攻击报文。 优选地,所述AC确定非法AP后控制所述监控端向所述非法AP发送攻击报文的步骤具体包括所述AC确定非法AP后,随机构造多个假的STA地址,并将上述假的STA地址通过所述安全通道传递给所述监控端,如果所述非法AP冒充了合法AP的STA地址,同时将上述假的STA地址通过所述安全通道传递给所述非法AP冒充的合法AP ;所述AC控制所述监控端使用上述假的STA地址伪造成多个假的STA向所述非法AP发送攻击报文;所述非法AP冒充的合法AP收到上述攻击报文后,忽略该攻击报文。优选地,所述监控端为所述AC指定的监控STA或监控AP ;当所述监控端为监控AP时,所述监控AP伪装成STA向所有AP发送检测报文,其中,所述监控AP伪装成STA的MAC地址为所述AC随机构造的;当所述监控端为监控 STA时,所述监控STA的MAC地址为所述AC随机构造的。优选地,所述检测报文的类型包括探测请求和/或关联请求。优选地,所述攻击报文的类型包括认证请求和/或关联请求。本发明还提供了一种无线局域网防范非法接入点的系统,包括AC,用于控制一个或多个监控端向所有AP发送检测报文,并且预先通过安全通道告知合法AP收到该检测报文后不进行应答,并通过所述监控端收到的应答确定所有AP中的非法AP,并控制所述监控端向所述非法AP发送攻击报文;所述监控端,用于根据所述AC的指示向所有AP发送检测报文,并将收到的所述应答发送给所述AC,还根据所述AC的指示向所述非法AP发送攻击报文。优选地,所述AC具体用于,控制一个或多个监控端向所有AP发送检测报文,并且预先通过安全通道告知所有合法AP收到该检测报文后不进行应答,根据所述监控端收到的所述应答来确定所有AP中的非法AP,并在确定非法AP后随机构造多个假的STA地址,将上述假的STA地址通过所述安全通道传递给所述监控端,如果所述非法AP冒充了合法AP的STA地址,同时将上述假的STA地址通过所述安全通道传递给所述非法AP冒充的合法AP,并控制所述监控端使用上述假的STA地址伪造成多个假的STA向所述非法AP发送攻击报文;所述监控端具体用于,根据所述AC的指示向所有AP发送检测报文,并将收到的所述应答发送给所述AC,还根据所述AC的指示使用所述AC随机构造多个假的STA地址向所述非法AP发送攻击报文。优选地,所述监控端为所述AC指定的监控STA或监控AP ;当所述监控端为监控AP时,所述监控AP伪装成STA向所有AP发送检测报文,其中,所述监控AP伪装成STA的MAC地址为所述AC随机构造的;当所述监控端为监控STA时,所述监控STA的MAC地址为所述AC随机构造的。
优选地,所述检测报文的类型包括探测请求和/或关联请求。优选地,所述攻击报文的类型包括认证请求和/或关联请求。本发明有益效果如下本发明提供了一种无线局域网防范非法接入点的方法及系统,通过接入点控制器控制监控端向所有AP发送检测报文,合法AP收到该检测报文后不进行应答,而非法AP收到所述检测报文后进行应答,接入点控制器根据所述监控端收到的所述非法AP发送来的所述应答来确定非法AP,并控制所述监控端向所述非法AP发送攻击报文,使所述非法AP不能正常工作。该方法简单,容易实现,通过该方法有效解决了非法AP将其MAC地址修改为合法AP的MAC地址进行非法接入的问题。本发明的其他特征和优点将在随后的说明书中阐述,并且,部分的从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
图1为本发明实施例1的无线局域网防范非法接入点的方法的流程图;图2为本发明实施例1的合法AP检测和攻击非法AP的方法的流程图;图3为本发明实施例1的STA检测和攻击非法AP的方法的流程图。
具体实施例方式
下面结合附图来具体描述本发明的优选实施例,其中,附图构成本申请一部分,并与本发明的实施例一起用于阐释本发明的原理。为了清楚和简化目的,当其可能使本发明的主题模糊不清时,将省略本文所描述的器件中已知功能和结构的详细具体说明。本发明提供的一种无线局域网防范非法接入点的方法及系统中包括站点(STA,Station)、接入点(AP, Access Point)和接入点控制器(AC, Access Point Controller)。实施例1本发明实施例提供了一种无线局域网防范非法接入点的方法,参见图1,该方法包括S101、接入点控制器控制一个或多个监控端向所有AP发送检测报文,并且所述AC预先通过安全通道告知所有合法AP收到该检测报文后不需要进行应答;本发明实施例中的安全通道为所述合法AP与所述AC之间,以及STA与所述AC之间建立的一种安全通道。合法AP与AC间通常是通过有线网络连接的,并且采用CAPWAP协议(见rfc5415)进行交互,此协议要求基于预共享密钥,或者是证书,建立AP和AC间的加密通信通道。而非法AP —般是没有通过有线网络连接上AC的,即使连接了,由于非法AP上没有预共享密钥或证书,也无法建立起加密通信通道,所以只有合法AP与AC间才有安全通道。如果所述监控端是STA,则该STA与合法AP间通过无线信道传输的报文也需要保护,可以让合法AP与STA通过WPA/WPA2密钥协商建立起无线安全通道。本发明实施例中的所述监控端为所述AC指定的监控STA或监控AP。当所述监控端为监控AP时,所述监控AP伪装成STA向所有AP发送检测报文,其中,所述监控AP伪装成STA的MAC地址为所述AC随机构造的;
当所述监控端为监控STA时,所述监控STA的MAC地址为所述AC随机构造的。本发明实施例中的检测报文包括检测周期、探测请求和/或关联请求,以及需要扫描的信道。S102、非法AP收到所述检测报文后进行应答;因为非法AP不知道这是一个检测报文,所以会对该检测报文进行应答。S103、所述AC根据所述监控端收到的所述非法AP发送来的所述应答来确定哪一个AP是非法AP ;S104、所述AC在确定非法AP后,控制所述监控端向所述非法AP发送攻击报文,使所述非法AP不能正常工作。其中,所述攻击报文包括所述非法AP的MAC地址、探测请求和/或关联请求,以及攻击时间的长度。该步骤具体包括所述AC确定非法AP后,随机构造多个假的STA地址,并将上述假的STA地址通过所述安全通道传递给所述监控端,如果所述非法接入点冒充了合法接入点的STA地址,同时将上述假的STA地址通过所述安全通道传递给所述非法接入点冒充的合法接入点;所述AC控制所述监控端使用上述假的STA地址伪造成多个假的STA向所述非法AP发送攻击报文,使所述非法AP不能正常工作;而所述非法AP冒充的合法AP收到上述攻击报文后,忽略该攻击报文,所以其不会受到攻击报文的影响。如图2所示,本发明实施例还提供了一种合法AP执行检测和攻击非法AP的方法,该方法具体包括当启用防范非法AP的功能时,AC上首先选择若干个合法AP作为监控AP,这些监控AP的覆盖范围加起来应该要能涵盖整个无线网络。为简化描述,下面的例子中假定有3个合法AP,AP1 AP3,AC选定APl作为监控AP。假定AP4是非法AP,并且它将自己的MAC地址设置成了与AP2相同。S20UAC随机构造若干个假的STA地址,通过安全通道,传递给所有的合法AP。S202、AC向APl下达开始检测的命令,要求它开始检测非法AP的过程。所述检测命令包括检测周期、检测报文的类型(探测请求和/或关联请求等),以及需要扫描的信道;S203、API按照要求,周期性地构造源地址是某个虚假STA地址的检测报文,采取广播或单播的形式发送(如果是探测请求,可以用广播;如果是关联请求,只能用单播)。AP2和AP3已经知道这是个虚假的STA,不会进行应答。而AP4不知道,发送了应答,把自己暴露了。S204、如果APl收到了应答,就上报给AC。S205、为了减少误判,AC上可作进一步确认。例如,如果应答报文的源地址是某个合法AP的地址,AC可以通过安全通道,要求该合法AP确认,是否真的发送过应答报 文。另外,AC上可以配置一定的规则,忽略某些应答。例如,如果应答报文中包含的无线网络名称不是本运营商的,就忽略掉。当AC确认检测到了非法AP后,可以执行下面的步骤,向非法AP发起攻击,以阻止STA连接到非法AP上。S206、AC随机构造很多假的STA地址,将这些地址通过安全通道传递给监控AP,这里是API。如果非法AP将自己的地址设置成了与某个合法AP相同,则AC还要将假的STA地址传递给被假冒的合法AP,这里是AP2。S207、AC向APl下达发起攻击命令,要求它向非法AP发起攻击。所述攻击命令中包括非法AP的MAC地址、攻击报文的类型(认证请求和/或关联请求等)、攻击时间长度等参数。S208、APl开始向非法AP,即AP4,发起攻击,伪造成很多STA,向非法AP发送攻击报文。一般AP上允许连接的STA数目是有限的,当AP4上的资源都被虚假STA占用时,正常的STA就连不上它了,这正是我们想要的结果。S209、由于AP4将自己的地址设置成与AP2的相同,所以AP2上也会收到攻击报文。由于AC已经将虚假STA的地址告知了 AP2,所以AP2上的无线驱动可以直接将这些报文丢弃,它受到的影响很小。如图3所示,本发明实施例还提供了一种STA执行检测和攻击非法AP的方法,该方法具体包括本发明在无线局域网的覆盖范围内部署若干个监控STA,由它们执行检测和阻止非法AP的工作。通过采用监控STA可以减少对合法AP正常工作的影响。S301、监控STA使用真实的地址关联上某个合法AP,并通过WPA/WPA2密钥协商等方式,建立与合法AP间安全 通道;S302、AC判断上线的是个监控STA,向监控STA下发一个命令,其中包含要假的STA地址,AC同时通过安全通道将伪造的STA地址下发给各合法AP ;S303、AC向监控STA下达检测报文的命令,要求它开始检测过程,所述检测命令中包括检测周期、检测报文的类型(探测请求和/或关联请求等),以及需要扫描的信道;S304、监控STA按照要求,将自己的地址修改为某个伪造的地址,发送检测报文。由于合法AP已经知道这是伪造的地址,不会进行应答;而非法AP不知道,会进行应答,就把自己暴露了;S305、检测过程结束后,监控STA将自己的地址改回真实的地址,重新关联上合法AP,将检测结果上报给AC;S306、为了减少误判,AC上可向非法AP假冒的合法AP发送消息,作进一步确认;S307、确认非法AP后,AC随机构造很多假的STA地址,将这些地址通过安全通道传递给监控STA和被假冒的合法AP,这里是AP2 ;S308、AC向监控STA下达开始攻击命令,要求它向非法AP发起攻击。所述攻击命令中包括所述非法AP的MAC地址、攻击报文的类型(认证请求和/或关联请求等),以及攻击时间的长度;S309、监控STA开始向非法AP,即AP4,发起攻击。它使用虚假的地址,向AP4发送攻击报文;一般AP上允许连接的STA数目是有限的,当AP4上的资源都被虚假STA占用时,其它正常的STA就连不上它了,从而使非法AP不能正常工作。S310、由于AP4将自己的地址设置成与AP2的相同,所以AP2上也会收到攻击报文。由于AC已经将虚假STA的地址告知了 AP2,所以AP2上的无线驱动可以直接将这些报文丢弃,它受到的影响很小。实施例2本发明实施例提供了一种无线局域网防范非法接入点的系统,该系统包括接入点控制器,用于控制一个或多个监控端向所有接入点发送检测报文,并且预先通过安全通道告知所有合法接入点收到该检测报文后不进行应答,根据所述监控端收到的所述应答来确定所有接入点中的非法接入点,并在确定非法接入点后随机构造多个假的STA地址,将上述假的STA地址通过所述安全通道传递给所述监控端,如果所述非法接入点冒充了合法接入点的STA地址,同时将上述假的STA地址通过所述安全通道传递给所述非法接入点冒充的合法接入点,并控制所述监控端使用上述假的STA地址伪造成多个假的STA向所述非法接入点发送攻击报文;监控端,用于根据所述接入点控制器的指示向所有接入点发送检测报文,并将收到的所述应答发送给所述接入点控制器,还根据所述接入点控制器的指示使用所述接入点控制器随机构造多个假的STA地址向所述非法接入点发送攻击报文。本发明实施例中的所述监控端为所述AC指定的监控STA或监控AP。其中,当所述监控端为监控AP时,所述监控AP伪装成STA向所有AP发送检测报文,其中,所述监控AP伪装成STA的MAC地址为所述AC随机构造的;当所述监控端为监控STA时,所述监控STA的MAC地址为所述AC随机构造的。
本发明实施例中的所述检测报文包括检测周期、探测请求和/或关联请求,以及需要扫描的信道。本发明实施例中的所述攻击报文包括所述非法AP的MAC地址、认证请求和/或关联请求,以及攻击时间的长度。综上所述,本发明实施例提供了一种无线局域网防范非法接入点的方法及系统,通过接入点控制器控制监控端向所有AP发送检测报文,合法AP收到该检测报文后不进行应答,而非法AP收到所述检测报文后进行应答,接入点控制器根据所述监控端收到的所述非法AP发送来的所述应答来确定哪一个AP是非法AP,并在确定非法AP后,控制所述监控端向所述非法AP发送攻击报文,使所述非法AP不能正常工作。该方法简单,容易实现,通过该方法有效解决了非法AP将其MAC地址修改为合法AP的MAC地址进行非法接入的问题。以上所述,仅为本发明较佳的具体实施方式
,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书的保护范围为准。
权利要求
1.一种无线局域网防范非法接入点的方法,其特征在于,包括 接入点控制器控制一个或多个监控端向所有接入点发送检测报文,并且所述接入点控制器预先通过安全通道告知合法接入点收到该检测报文后不进行应答; 所述接入点控制器通过所述监控端收到的应答确定所有接入点中的非法接入点,并控制所述监控端向所述非法接入点发送攻击报文。
2.根据权利要求1所述的方法,其特征在于,所述接入点控制器确定非法接入点后控制所述监控端向所述非法接入点发送攻击报文的步骤具体包括 所述接入点控制器确定非法接入点后,随机构造多个假的STA地址,并将上述假的STA地址通过所述安全通道传递给所述监控端,如果所述非法接入点冒充了合法接入点的STA地址,同时将上述假的STA地址通过所述安全通道传递给所述非法接入点冒充的合法接入占. 所述接入点控制器控制所述监控端使用上述假的STA地址伪造成多个假的STA向所述非法接入点发送攻击报文; 所述非法接入点冒充的合法接入点收到上述攻击报文后,忽略该攻击报文。
3.根据权利要求1或2所述的方法,其特征在于,所述监控端为所述接入点控制器指定的监控STA或监控接入点; 当所述监控端为监控接入点时,所述监控接入点伪装成STA向所有接入点发送检测报文,其中,所述监控接入点伪装成STA的MAC地址为所述接入点控制器随机构造的; 当所述监控端为监控STA时,所述监控STA的MAC地址为所述接入点控制器随机构造的。
4.根据权利要求1或2所述的方法,其特征在于,所述检测报文的类型包括探测请求和/或关联请求。
5.根据权利要求1或2所述的方法,其特征在于,所述攻击报文的类型包括认证请求和/或关联请求。
6.一种无线局域网防范非法接入点的系统,其特征在于,包括 接入点控制器,用于控制一个或多个监控端向所有接入点发送检测报文,并且预先通过安全通道告知合法接入点收到该检测报文后不进行应答,并通过所述监控端收到的应答确定所有接入点中的非法接入点,并控制所述监控端向所述非法接入点发送攻击报文;所述监控端,用于根据所述接入点控制器的指示向所有接入点发送检测报文,并将收到的所述应答发送给所述接入点控制器,还根据所述接入点控制器的指示向所述非法接入点发送攻击报文。
7.根据权利要求6所述的系统,其特征在于, 所述接入点控制器具体用于,控制一个或多个监控端向所有接入点发送检测报文,并且预先通过安全通道告知所有合法接入点收到该检测报文后不进行应答,根据所述监控端收到的所述应答来确定所有接入点中的非法接入点,并在确定非法接入点后随机构造多个假的STA地址,将上述假的STA地址通过所述安全通道传递给所述监控端,如果所述非法接入点冒充了合法接入点的STA地址,同时将上述假的STA地址通过所述安全通道传递给所述非法接入点冒充的合法接入点,并控制所述监控端使用上述假的STA地址伪造成多个假的STA向所述非法接入点发送攻击报文;所述监控端具体用于,根据所述接入点控制器的指示向所有接入点发送检测报文,并将收到的所述应答发送给所述接入点控制器,还根据所述接入点控制器的指示使用所述接入点控制器随机构造多个假的STA地址向所述非法接入点发送攻击报文。
8.根据权利要求6或7所述的系统,其特征在于,所述监控端为所述接入点控制器指定的监控STA或监控接入点; 当所述监控端为监控接入点时,所述监控接入点伪装成STA向所有接入点发送检测报文,其中,所述监控接入点伪装成STA的MAC地址为所述接入点控制器随机构造的; 当所述监控端为监控STA时,所述监控STA的MAC地址为所述接入点控制器随机构造的。
9.根据权利要求6或7所述的系统,其特征在于,所述检测报文的类型包括探测请求和/或关联请求。
10.根据权利要求6或7所述的系统,其特征在于,所述攻击报文的类型包括认证请求和/或关联请求。
全文摘要
本发明公开了一种无线局域网防范非法接入点的方法及系统,包括接入点控制器控制一个或多个监控端向所有接入点发送检测报文,并且所述接入点控制器预先通过安全通道告知合法接入点收到该检测报文后不进行应答;所述接入点控制器通过所述监控端收到的应答确定所有接入点中的非法接入点,并控制所述监控端向所述非法接入点发送攻击报文。该方法简单,容易实现,通过该方法有效解决了非法AP将其MAC地址修改为合法AP的MAC地址进行非法接入的问题。
文档编号H04W24/00GK103067922SQ201310027099
公开日2013年4月24日 申请日期2013年1月24日 优先权日2013年1月24日
发明者彭永超, 熊杰, 唐建国 申请人:中兴通讯股份有限公司