一种无线局域网安全接入方法及装置与流程

本发明属于无线局域网(wirelesslocalareanetworks，无线网络)领域，尤其涉及一种无线局域网安全接入方法及装置。

背景技术：

目前，用户使用移动终端通过wi-fi接入无线网络时，会面临一些安全方面的风险，尤其是当前越来越多的商家提供了免费使用的wi-fi接入，在方便我们使用的同时，同样暴露了越来越多的风险。在所有无线网络接入风险中，危害性最大的一类应该是利用非法无线接入点(wirelessaccesspoint，ap)提供无线网络接入，然后通过钓鱼网站进一步获得用户大量私人信息。具体来说，通过一台非法ap，设置完全相同或相似的服务集标识(servicesetdentifir，ssid)提供免费的上网服务。用户一旦接入这种非法ap，很难查觉到。这种非法ap同样可以通过重定向的方式实现portal门户网页，但他们只是相似的一种钓鱼网页或网站。用户接着继续输入自己账户信息完成认证，非法ap这时就轻松的获得了用户的手机号等账户信息。而危害最大的莫过于，假装认证成功后，用户访问的任何网站都有可能转到指定的钓鱼网站，这包括网上银行、各种电子银行支付网站等，结果造成用户大量的钱财受到损失。

一般情况下，对大多数普通用户来说，很难辨别自己是否接入了一台非法ap。而且用户在不知不觉接入和使用无线网络时，自己的个人信息和钱财就会被泄露。如何防止用户接入非法ap是当前面临的一个难题。

现有技术中，无线网络安全机制，针对非法ap钓鱼网站的安全威胁，通过第三方渠道显示动态密码进行验证。具体来说就是用户在接入无线网络时，在portal页面会显示一串动态密码，并提示用户留意所在场所的媒体显示器也会显示动态密码(一般每一分钟刷新一次)，通过用户比对两个动态密码是否一致，完成合法时可以接入。一般非法ap并不知晓动态密码的生成算法，所以很难生成完全一致的动态密码，从而达到了一定的效果。但这种解决方案也存在一定的漏洞，第三方渠道的媒体显示器也有可能被伪装或非法安装，这样就失去了安全的意义。另一方面，用户体验不太好，有时用户并不太注意也很繁琐，再去判断动态密码的一致性，更坏的情况是如果没有第三方的媒体显示器或由于设备故障等原因无法使用，这些情况会使这一方法失灵，安全威胁依然存在。

此外，现有技术中，有些方案会先建立合法ap的mac地址数据库，利用发现者ap扫描周围的无线信号，抓取无线终端(station，sta)与ap之间的数据报文，经过分析并且与数据库的合法ap的mac地址进行比对，从而判断当前sta正在与非法ap交换数据。但这一方案仍然有一个重大的漏洞，当非法ap的mac地址伪装成与某一个合法ap的mac地址完全一样时，被发现者ap扫描到此非法ap的mac地址后，按工作流程会到服务器中的数据库查询，而得到的结果是合法ap的mac地址，这种方案在此时就失效了，如果何弥补这问题，也是本发明要解决的问题。

技术实现要素：

综上所述，本发明实施例提供一种无线局域网安全接入方法及装置，以防止无线局域网中sta接入非法ap的问题，提高sta接入无线局域网的安全性，避免用户个人信息泄露造成的损失。

第一方面，本发明实施例提供一种无线局域网安全接入的方法，应用于电子设备，包括：接收无线网络中合法ap的预登记，建立安全数据库，用于存储所述合法ap的mac地址；动态记录当前合法ap上报的sta与所述合法ap建立的关联信息，建立动态数据库，并将所述sta的mac地址、所述合法ap的mac地址、及两者的关联信息存入所述动态数据库中；通过合法的发现者ap扫描周围的无线信号，抓取被扫描sta与被扫描ap之间交互的数据报文，解析得到所述被扫描sta的mac地址和所述被扫描ap的mac地址及其关联关系；以所述被扫描ap的mac地址为关键字，搜索所述的安全数据库，是否找到相同的mac地址；若找到，以所述被扫描ap的mac地址和所述被扫描sta的mac地址及其关联关系为关键字，搜索所述的动态数据库，是否找到相同的关联关系；若没找到，判断所述被扫描的ap为非法ap。

进一步的，以所述被扫描ap的mac地址和所述被扫描sta的mac地址及其关联关系为关键字，搜索所述的动态数据库，是否找到相同的关联关系，还包括：若找到，判断此被扫描的ap为合法ap。

进一步的，以所述被扫描ap的mac地址为关键字，搜索所述的安全数据库，是否找到相同的mac地址，还包括：若找到，判断所述被扫描的ap为非法ap。

进一步的，当判断所述被扫描的ap为非法ap时，所述发现者ap通过伪造与所述被扫描sta相同的mac地址，向所述判断为非法的ap发送解除关联关系报文，以使得所述判断为非法的ap解除与所述被扫描sta的关联关系。

进一步的，当所述判断为非法的ap解除与所述被扫描sta的关联关系失败，则所述发现者ap发送大量广播数据包占用所述判断为非法的ap的工作信道，阻止所述被扫描sta与其之间的关联关系，使得所述被扫描sta自动放弃使用。

第二方面，本发明实施例提供一种无线局域网安全接入装置，包括：安全数据库、动态数据库、扫描单元和判断单元，其中，所述安全数据库，用于存储合法ap的mac地址；所述动态数据库，用于动态记录当前合法ap上报的sta与所述合法ap建立的关联信息，并将所述sta的mac地址、所述合法ap的mac地址、及两者的关联信息存入所述动态数据库中；所述扫描单元，用于通过合法的发现者ap扫描周围的无线信号，抓取被扫描sta与被扫描ap之间交互的数据报文，解析得到所述被扫描sta的mac地址和所述被扫描ap的mac地址及其关联关系；所述判断单元，用于以所述被扫描ap的mac地址为关键字，搜索所述的安全数据库，是否找到相同的mac地址；若找到，以所述被扫描ap的mac地址和所述被扫描sta的mac地址及其关联关系为关键字，搜索所述的动态数据库，是否找到相同的关联关系；若没找到，判断所述被扫描的ap为非法ap。

进一步的，所述判断单元，还用于以所述被扫描ap的mac地址和所述被扫描sta的mac地址及其关联关系为关键字，搜索所述的动态数据库，是否找到相同的关联关系；若找到，判断所述被扫描的ap为合法ap。

进一步的，所述判断单元，还用于以所述被扫描ap的mac地址为关键字，搜索所述的安全数据库，是否找到相同的mac地址；若没找到，判断所述被扫描的ap为非法ap。

进一步的，所述装置还包括：解除单元，用于当所述判断单元判断所述被扫描的ap为非法ap时，通过所述发现者ap伪造与所述被扫描sta相同的mac地址，向所述判断为非法的ap发送解除关联关系报文，以使得所述判断为非法的ap解除与所述被扫描sta的关联关系。

进一步的，所述解除单元，还用于当所述判断为非法的ap解除与所述被扫描sta的关联关系失败，则通过所述发现者ap发送大量广播数据包占用所述判断为非法的ap的工作信道，阻止所述被扫描sta与其之间的关联关系，使得所述被扫描sta自动放弃使用。

通过本发明实施例提供的一种无线局域网安全接入方法及装置，通过建立存储合法apmac地址的安全数据库和存储当前合法ap上报的sta与所述合法ap建立的关联信息的动态数据库，将发现者ap实时扫描到的sta与ap的mac地址及其关联关系，去安全数据库和动态数据库查询，通过查询结果判断被扫描ap是否为合法ap，从而及时发现非法ap，提高用户通过sta接入无线网络的安全性，避免对用户的个人信息造成泄漏或非法利用。

附图说明

为了更清楚地说明本发明或现有技术中的方案，下面将对实施例或现有技术描述中所需要使用的附图作一个简单介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例所提供的无线局域网的网络拓扑示意图；

图2为本发明实施例所提供的一种无线局域网安全接入方法的流程示意图；

图3为本发明实施例所提供的一种无线局域网安全接入方法的流程示意图；

图4为本发明实施例所提供的一种无线局域网安全接入装置的组成结构示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例,附图中给出了本发明的较佳实施例。本发明可以以许多不同的形式来实现，并不限于本文所描述的实施例，相反地，提供这些实施例的目的是使对本发明的公开内容的理解更加透彻全面。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

除非另有定义，本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的，不是旨在于限制本发明。本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别不同对象，而不是用于描述特定顺序。此外，术语“包括”和“具有”以及它们任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可选地还包括没有列出的步骤或单元，或可选地还包括对于这些过程、方法、产品或设备固有的其他步骤或单元。

在本文中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本发明的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是，本文所描述的实施例可以与其它实施例相结合。

实施例一

本发明实施例一提供一种无线局域网安全接入方法。参阅图1，图示为本发明实施例提供的一种无线局域网wlan的网络拓扑示意图。所述无线局域网络wlan包括无线接入控制器(wirelessaccessponitcontrol，ac)ac10、无线接入点ap20和无线终端sta30。ac10是wlan的接入控制设备，负责把来自不同ap20的数据进行汇聚并接入有线网络，同时完成ap20的配置管理、无线用户的认证、管理及宽带访问、安全等控制功能。在无线局域网wlan中，如果有sta接入非法ap20，需要及时发现并识别，阻止sta30与非法ap建立关联关系，或者无法进行数据访问。参阅图2和图3，其所示的一种无线局网安全接入方法可以应用于无线接入控制器ac10。参阅图4，其所示的一种无线局域网安全接入装置，其对应物理实体可以是无线接入控制器ac10、交换机、或者无线路由器。

参阅图2，图示为本发明实施例提供的一种无线局域网安全接入方法的流程图，所述方法包括：

步骤s1001：接收无线网路中合法ap的预登记，建立安全数据库，用于存储所述合法ap的mac地址。

接收公共场所提供无线服务的合法ap的预登记，建立存储合法ap的mac地址安全数据库。比如安全数据库中存在mac1、mac2、mac3、mac4四个合法的ap的mac地址。

步骤s1002：动态记录当前合法ap上报的sta与所述合法ap建立的关联信息，建立动态数据库，并将所述sta的mac地址、所述合法ap的mac地址、及两者的关联信息存入所述动态数据库中。

记录所有sta与合法ap的动态关联信息并存入动态数据库m2中，当某一用户通过sta接入合法ap后，通过合法ap上报当前sta与此合法ap的关联信息，记录在所述动态数据库中；当sta与合法ap解除关联后，则删除此条记录；比如某一时刻动态数据库内容如下：stamac_a关联apmac1(<mac_a，mac1>)，stamac_b关联apmac2(<mac_b，mac2>)，stamac_c关联apmac3(<mac_c，mac3>)，stamac_d关联apmac4(<mac_d，mac4>)。

步骤s1003：通过合法的发现者ap扫描周围的无线信号，抓取被扫描sta与被扫描ap之间交互的数据报文，解析得到所述被扫描sta的mac地址和所述被扫描ap的mac地址及其关联关系。

其中，合法mac1的ap为发现者ap，在场所的固定点安装后，除了提供正常的无线接入服务，利用射频间隙全频段扫描周围的无线信号；发现者ap抓取到若干被扫描sta与被扫描ap之间交互的数据报文，这些报文可以是：beacon帧、无线关联报文、或者加密的数据报文。

对于beacon帧，发现者ap先从beacon帧获得对应的被扫描ap的mac地址并缓存下来，这些mac地址对应的是可疑ap的集合。

对于无线关联报文，发现者ap通过probe/authentication/associationrequest帧和probe/authentication/associationresponse帧，分别获得被扫描sta的mac地址、被扫描ap的mac地址及其关联关系。

对于加密的数据报文，发现者ap通过对payload加密报文，分别获得被扫描sta的mac地址、被扫描ap的mac地址及其关联关系。

发现者ap通过上述数据集合，可统计并分析出若干组<stamac，apmac>数据，放置在发现者ap的缓存中。

步骤s1004：以被扫描ap的mac地址为关键字，搜索所述的安全数据库，是否找到相同的mac地址；若是，执行步骤s1005；若否，执行步骤s1007。

接收发现者ap上报的<stamac，apmac>数据，以<stamac，apmac>中的ap的mac为关键字，搜索预先建立的安全数据库，是否找到相同的mac地址；若是，执行步骤s1005；若否，执行步骤s1007。

步骤s1005：以被扫描ap的mac地址和被扫描sta的mac地址及其关联关系为关键字，搜索所述的动态数据库，是否找到相同的关联关系；若是，执行步骤s1006；若否，执行步骤s1007。

发现者ap收到安全数据库查找到相同mac地址的消息，则再次以<stamac，apmac>组为关键字发送查询报文，以被扫描ap的mac地址和被扫描sta的mac地址及其关联关系为关键字，搜索所述的动态数据库，是否找到相同的关联关系；若是，执行步骤s1006；若否，执行步骤s1007。

步骤s1006：判断此被扫描的ap为合法ap。

若以被扫描ap的mac地址和被扫描sta的mac地址及其关联关系为关键字，在动态数据库找到相同的关联关系，则判断此被扫描的ap为合法ap，响应查找成功消息给发现者ap。

步骤s1007：判断此被扫描的ap为非法ap。

若以被扫描ap的mac地址为关键字，没有在安全数据库找到相同的mac地址，则表明被扫描的sta接入非法ap，响应查找失败消息给发现者ap。

采用本发明实施例一提供的一种无线局域网安全接入方法，通过建立存储合法apmac地址的安全数据库和存储当前合法ap上报的sta与所述合法ap建立的关联信息的动态数据库，将发现者ap实时扫描到的sta与ap的mac地址及其关联关系，去安全数据库和动态数据库查询，通过查询结果判断被扫描ap是否为合法ap，从而及时发现非法ap。

参阅图3，图示为本发明实施例提供的一种无线局域网安全接入方法的流程图，接续图2，所述方法还包括：

步骤s1008：当判断被扫描的ap为非法ap时，所述发现者ap通过伪造与所述被扫描sta相同的mac地址，向所述判断为非法的ap发送解除关联关系报文，以使得所述判断为非法的ap解除与所述被扫描sta的关联关系。

发现者ap通过伪造以被扫描sta相同mac地址，向所述判断为非法的ap发送解除关联关系报文，所述判断为非法ap收到伪造的解除关联关系报文，则解除此被扫描sta的关联关系。若此被扫描的sta再次关联所述判断为非法的ap，可以再发送伪造的解除关联关系报文，一般三次以上解除关联后，被扫描sta不会再关联此被判断为非法ap。

步骤s1009：当所述判断为非法的ap解除与所述被扫描sta的关联关系失败，则所述发现者ap发送大量广播数据包占用所述判断为非法的ap的工作信道，阻止所述被扫描sta与其之间的关联关系，使得所述被扫描sta自动放弃使用。

执行上述步骤s1008，如果仍然没有解除，则发现者ap发送大量广播数据包占用所述判断为非法的ap的工作信道，这时网络一般延时会变的异常大，上网速率会很慢，用户一般会自动放弃使用非法无线网络。

采用本发明实施例一提供的一种无线局域网安全接入方法，当发现非法ap时，可以通过发现者ap及时解除或阻止sta与判断为非法的ap建立关联关系，避免用户接入非法的无线网络，造成个人信息的泄露或经济损失。

实施例二

本发明实施例二提供一种无线局域网安全接入装置。参阅图4，图示为本发明实施例所提供的一种无线局域网安全接入装置的组成结构示意图。一种无线局域网安全接入装置，包括：安全数据库202、动态数据库204、扫描单元206、判断单元208和解除单元210。

安全数据库202，用于存储合法ap的mac地址。

动态数据库204，用于动态记录当前合法ap上报的sta与所述合法ap建立的关联信息，并将所述sta的mac地址、所述合法ap的mac地址、及两者的关联信息存入所述动态数据库中。

扫描单元206，用于通过合法的发现者ap扫描周围的无线信号，抓取被扫描sta与被扫描ap之间交互的数据报文，解析得到所述被扫描sta的mac地址和所述被扫描ap的mac地址及其关联关系。

判断单元208，用于以所述被扫描ap的mac地址为关键字，搜索所述的安全数据库，是否找到相同的mac地址；若没找到，判断所述被扫描的ap为非法ap；若找到，以所述被扫描ap的mac地址和所述被扫描sta的mac地址及其关联关系为关键字，搜索所述的动态数据库，是否找到相同的关联关系；若找到，判断所述被扫描的ap为合法ap；若没找到，判断所述被扫描的ap为非法ap。

解除单元210，用于当所述判断单元判断所述被扫描的ap为非法ap时，通过所述发现者ap伪造与所述被扫描sta相同的mac地址，向所述判断为非法的ap发送解除关联关系报文，以使得所述判断为非法的ap解除与所述被扫描sta的关联关系。此外，当所述判断为非法的ap解除与所述被扫描sta的关联关系失败，则通过所述发现者ap发送大量广播数据包占用所述判断为非法的ap的工作信道，阻止所述被扫描sta与其之间的关联关系，使得所述被扫描sta自动放弃使用。

采用本发明实施例一提供的一种无线局域网安全接入装置，通过建立存储合法apmac地址的安全数据库和存储当前合法ap上报的sta与所述合法ap建立的关联信息的动态数据库，将发现者ap实时扫描到的sta与ap的mac地址及其关联关系，去安全数据库和动态数据库查询，通过查询结果判断被扫描ap是否为合法ap，从而及时发现非法ap。此外，还可以进一步通过发现者ap解除或者阻止sta与判断为非法的ap建立的关联关系，保证sta接入合法的无线网络，保护用户个人信息不被泄露，避免由于个人信息泄露造成的损失。

在本发明所提供的上述实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如，多个模块或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。

所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。

以上仅为本发明的实施例，但并不限制本发明的专利范围，尽管参照前述实施例对本发明进行了详细的说明，对于本领域的技术人员来而言，其依然可以对前述各具体实施方式所记载的技术方案进行修改，或者对其中部分技术特征进行等效替换。凡是利用本发明说明书及附图内容所做的等效结构，直接或间接运用在其他相关的技术领域，均同理在本发明专利保护范围之内。