未授权访问点探测系统及方法、用于其的用户终端及计算机程序与流程

实施例涉及未授权(rouge)ap(accesspoint，访问点)探测系统及方法、用于其的用户终端及计算机程序。
背景技术：
：：由于近距离无线技术和无线装备的发达，无线网络的速度、可用性等正在提高，随着装备的价格下降、大小逐渐减小，无线网络的使用范围从家庭到企业正在快速扩大。最近，由于智能手机(smartphone)的普及，在家庭、公共场所、公司等多样的地方，正在利用路由器提供通过wi-fi的ap(accesspoint，访问点)，通信趋势正在从原有的有线网络向无线网络快速变化。可是，在无线网络中，由于将空气用作传输介质的服务特性上的原因，存在许多薄弱点，随着无线网络日益成为我们实际生活的重要通信工具，威胁无线通信技术的安全问题成为直接关系到生活的威胁。在以无线通信为对象的攻击中，有未授权(rogue)ap攻击、通信窃听、拒绝服务攻击、中间人攻击等。特别是黑客等攻击者可在网络中假扮为正常ap或可欺骗周边正常用户的未授权访问点攻击，是构成最大威胁的安全问题。图1a是显示正常的ap连接状态的概念图，图1b是显示未授权访问点连接状态的概念图。如果参照图1a，在正常连接状态下，智能手机或平板电脑(tablet)等用户终端1利用诸如wi-fi的无线lan(localareanetwork，局域网)信号而与ap2进行通信连接，从而能够与以互联网为介质的外部服务器3执行通信。但是，如果参照图1b，当存在利用具有2个无线接口的无线笔记本电脑等而假扮正常ap的未授权访问点2'时，通过未授权访问点2'，正常ap2的无线lan区域恶意扩张。如果用户无法获知已经接入未授权访问点2'而传输数据，则攻击者可以通过未授权访问点2'，掠取向正常ap2的用户数据。但是，从普通用户立场而言，却存在并不容易检测未授权访问点2'的设置与否或准确位置的问题。为了解决这种问题，已开发了在企业等的内部网络中构建解决方案，对网络装备相关信息进行数据库化，从而可以发现未授权访问点的wips(wirelessintrusionpreventionsystem，无线入侵防御系统)或nac(networkaccesscontrol，网络访问控制)等制品。但是，所述制品需要在内部网络中预先安装另外的传感器或网络装备，因而存在的缺点是不能象个别用户的计算机或移动装置一样，不是应用于预先定义的网络环境，而是应用于流动性位置。【现有技术文献】【专利文献】(专利文献1)公开专利公报第10-2011-0019067号技术实现要素：技术问题根据本发明的一个方面，可以提供一种未授权访问点探测系统及方法、用于其的用户终端及计算机程序，能够容易地探测用户终端当前连接的ap(accesspoint，访问点)是否为未授权(rogue)ap，不仅是企业，在家庭或公共场所利用无线网络的普通个人用户也能够利用，能够应对未知形态的攻击。技术方案一个实施例的未授权(rogue)ap(accesspoint，访问点)探测系统包括：用户终端，其构成得参照基于url(uniformresourcelocator，统一资源定位符)接入探测的未授权访问点数据库，探测接入的ap是否为未授权访问点，当在所述未授权访问点数据库中未查询到所述接入的ap的信息时，还利用预先设置的服务器的ssl(securesocketslayer，安全套接层)认证证书有效性信息、接入的web页的电子签名信息或接入的网关(gateway)的mac(mediaaccesscontrol，介质访问控制)地址收集信息中一个以上的信息，决定所述接入的ap是否为未授权访问点；及探测服务器，其构成得与所述用户终端共享所述未授权访问点数据库。在一个实施例中，所述探测服务器还构成得基于多个装置利用与所述装置及所述装置接入的ap对应的一次性url来尝试接入所述探测服务器而生成的接入日志信息，生成所述未授权数据库。在一个实施例中，所述用户终端还构成得为了生成所述未授权数据库，利用包括所述用户终端的信息及所述用户终端接入的ap的信息的一次性url，尝试接入所述探测服务器。在一个实施例中，所述用户终端还构成得收集所述用户终端接入的网关的mac地址，当在广播域(broadcastingdomain)内收集了多个相同的mac地址时，决定为所述接入的ap是未授权访问点。一个实施例的具备未授权访问点探测功能的用户终端包括：通信模块，其构成得接入ap并收发数据，从探测服务器接收基于url接入探测的未授权访问点数据库；及探测模块，其构成得参照所述未授权访问点数据库，检测所述用户终端接入的ap是否为未授权访问点，当在所述未授权访问点数据库中未检查到所述接入的ap的信息时，还利用预先设置的服务器的ssl认证证书有效性信息、接入的web页的电子签名信息或网关的mac地址收集信息中一个以上的信息，决定所述接入的ap是否为未授权访问点。在一个实施例中，所述通信模块还构成得为了生成所述未授权数据库，利用包括所述用户终端的信息及所述用户终端接入的ap的信息的一次性url，尝试接入所述探测服务器。在一个实施例中，所述探测模块还构成得收集接入的网关的mac地址，当在广播域内收集了多个相同的mac地址时，决定为所述接入的ap是未授权访问点。在一个实施例中，所述探测模块还构成得尝试ssl连接到所述预先设置的服务器，当对所述预先设置的服务器的ssl连接失败或所述预先设置的服务器的ssl认证证书有效性未验证时，决定为所述接入的ap是未授权访问点。在一个实施例中，所述探测模块还构成得存储预先设置的web页地址及所述web页的电子签名，通过所述接入的ap，下载所述预先设置的web页，当下载的所述web页的电子签名与存储的电子签名不一致时，决定为所述接入的ap是未授权访问点。一个实施例的用于未授权访问点探测的探测服务器包括：web服务器，其作为web服务器，构成得生成与多个装置利用与所述装置及所述装置接入的ap对应的一次性url而尝试接入所述web服务器的结果相应的接入日志信息；数据库管理系统，其构成得以所述接入日志信息为基础，生成基于url接入探测的未授权访问点数据库；及通信服务器，其构成得将所述未授权访问点数据库提供给用户终端。在一个实施例中，所述数据库管理系统还构成得在所述接入日志信息中检索利用所述一次性url的多次接入记录，从而生成所述未授权访问点数据库。一个实施例的未授权访问点探测方法包括：用户终端接入ap的步骤；所述用户终端从探测服务器接收基于url接入探测的未授权访问点数据库的步骤；所述用户终端参照所述未授权访问点数据库，检测接入的ap是否为未授权访问点的步骤；及当在所述未授权访问点数据库中未查询到所述接入的ap的信息时，所述用户终端还利用预先设置的服务器的ssl认证证书有效性信息、接入的web页的电子签名信息或接入的网关的mac地址收集信息中一个以上的信息，决定所述接入的ap是否为未授权访问点的步骤。一个实施例的未授权访问点探测方法在所述接收未授权访问点数据库的步骤之前，还包括：所述用户终端为了生成所述未授权数据库，利用包括所述用户终端的信息及所述接入的ap的信息的一次性url，尝试接入所述探测服务器的步骤。在一个实施例中，所述决定接入的ap是否为未授权访问点的步骤包括：收集所述用户终端接入的网关的mac地址的步骤；及当在广播域内收集了多个相同的mac地址时，决定为所述接入的ap是未授权访问点。在一个实施例中，所述决定接入的ap是否为未授权访问点的步骤包括：所述用户终端尝试ssl连接到所述预先设置的服务器的步骤；及当对所述预先设置的服务器的ssl连接失败或所述预先设置的服务器的ssl认证证书有效性未验证时，决定为所述接入的ap是未授权访问点的步骤。在一个实施例中，所述用户终端存储预先设置的web页地址及所述web页的电子签名，所述决定接入的ap是否为未授权访问点的步骤包括：通过所述接入的ap，下载所述预先设置的web页的步骤；及当下载的所述web页的电子签名与存储的电子签名不一致时，决定为所述接入的ap是未授权访问点的步骤。又一实施例的未授权访问点探测方法包括：探测服务器生成与多个装置利用与所述装置及所述装置接入的ap对应的一次性url而尝试接入所述探测服务器的结果相应的接入日志信息的步骤；所述探测服务器以所述接入日志信息为基础，生成基于url接入探测的未授权访问点数据库的步骤；及所述探测服务器将所述未授权访问点数据库提供给用户终端的步骤。就一个实施例的未授权访问点探测方法而言，所述生成未授权访问点数据库的步骤包括：在所述接入日志信息中，检索利用所述一次性url的多次接入记录，从而生成所述未授权访问点数据库的步骤。一个实施例的计算机程序用于与硬件结合而实施前述的实施例的未授权访问点探测方法，可以存储于计算机可读介质。发明效果根据本发明一个方面的未授权(rogue)ap(accesspoint，访问点)探测系统及方法，能够通过利用一次性url(uniformresourcelocator)的接入探测，检测具有未知形态的未授权访问点的存在，进而具有能够检测arp(addressresolutionprotocol，地址解析协议)欺骗(spoofing)攻击的优点。另外，根据本发明一个方面的未授权访问点探测系统及方法，摆脱以往为了探测未授权访问点而需要传感器等外部装置的方式，在诸如个别用户的智能手机(smartphone)或平板电脑(tablet)等的装置中，用户无需外部装置及他人的帮助便执行未授权访问点探测，从而能够防止个人信息泄露。无线ap是生活中物与物、物与人通过无线网络而连接并收发信息的物联网(internetofthings；iot)时代所不可或缺的，本发明一个方面的未授权访问点探测技术提供安全的无线网络环境，从而具有能够有助于搞活iot所需终端、平台及服务的优点。附图说明图1a是显示正常的ap(accesspoint，访问点)连接状态的概念图。图1b是显示未授权(rogue)ap连接状态的概念图。图2是一个实施例的未授权访问点探测系统的概念图。图3是一个实施例的未授权访问点探测系统的用户终端及探测服务器的概略性框图。图4是一个实施例的未授权访问点探测方法的顺序图。图5是又一实施例的未授权访问点探测方法的顺序图。附图标记说明1:用户终端2:ap4:探测服务器11:通信模块12:探测模块41:通信服务器42:dbms43:web服务器44:dns服务器具体实施方式下面参照附图，对本发明的实施例进行详细说明。图2是一个实施例的未授权(rogue)ap(accesspoint，访问点)探测系统的概念图。如果参照图2，本实施例的未授权访问点探测系统包括用户终端1及探测服务器4。实施例的未授权访问点探测系统可以具有全部为硬件，或部分为硬件、部分为软件的方面。例如，未授权访问点探测系统的用户终端1及探测服务器4可以统称以电子通信方式收发及/或处理特定格式及内容的数据的硬件装置及与此相关的软件。在本说明书中，“部(unit)”、“模块(module)”、“终端”、“装置”或“系统”等术语指称硬件及借助于相应硬件而驱动的软件的组合。例如，硬件可以为包含cpu(centralprocessingunit，中央处理器)或其他处理器(processor)的数据处理设备。另外，借助于硬件而驱动的软件可以指称运行中的进程、客体(object)、执行文件(executable)、执行线程(threadofexecution)、应用程序(application或app)及程序(program)等。用户终端1通过ap2与有线及/或无线网络5通信连接。用户终端1与ap2之间的连接可以为无线连接。例如，ap2可以为能够发生wi-fi等无线lan(localareanetwork，局域网)信号的有线无线路由器或搭载有无线lan功能的笔记本电脑等，用户终端1通过无线lan信号接入ap2，从而能够执行通过有线及/或无线网络5的通信。另外，用户终端1可以通过有线及/或无线网络5而在与探测服务器4通信的同时运转。有线及/或无线网络5可以为客体与客体可以联网的能够实现任意通信方法的任意网络，不限定于特定通信方式。例如，有线及/或无线网络5可以是能够以选自由无线lan、man(metropolitanareanetwork，城域网)、gsm(globalsystemformobilenetwork，全球移动通信系统)、edge(enhanceddatagsmenvironment，增强型数据gsm环境)、hsdpa(highspeeddownlinkpacketaccess，高速下行链路分组接入)、w-cdma(widebandcodedivisionmultipleaccess，宽带码分多址)、cdma(codedivisionmultipleaccess，码分多址)、tdma(timedivisionmultipleaccess，时分多址)、蓝牙(bluetooth)、无线个域网协议(zigbee)、voip(voiceoverinternetprotocol，互联网语音传输协议)、lteadvanced(长期演进技术升级版)、ieee802.16m、wirelessman-advanced、hspa+、3gpplongtermevolution(lte，长期演进技术)、mobilewimax(ieee802.16e，移动式全球互通微波存取)、umb(formerlyev-dorev.c)、flash-ofdm、iburstandmbwa(ieee802.20)systems、hiperman、beam-divisionmultipleaccess(bdma)、wi-max(worldinteroperabilityformicrowaveaccess，微波存取全球互通)及超声波通信构成的组的一种以上通信方法进行通信的网络。探测服务器4构成得与用户终端1共享未授权访问点数据库。在本发明的实施例中，未授权访问点数据库至少部分地基于url(uniformresourcelocator，统一资源定位符)接入探测，由探测服务器4生成并提供给用户终端1。对于利用url接入探测而生成未授权访问点数据库的具体过程，后面将参照图3进行详细叙述。另一方面，探测服务器4可以从用户终端1接收与用户终端1接入的ap2相关的信息，基于接收的信息，决定相应ap2是否为未授权访问点。当决定为相应ap2是未授权访问点时，探测服务器4可以更新未授权访问点数据库，以便反映相应结果。另外，探测服务器4将更新的未授权访问点数据库提供给用户终端1，从而能够使用户终端1不接入未授权访问点。用户终端1作为要执行未授权访问点探测的用户所使用的装置，指称能通过无线lan而接入ap2的任意装备。例如，用户终端1可以为诸如智能手机(smartphone)的移动通信终端、个人计算机、笔记本电脑、pda(个人数字助理)、平板电脑(tablet)或用于iptv等的机顶盒(set-topbox)，但不限于此。另外，用户终端1可以利用多样的操作系统(operatingsystem；os)而运转，例如，可以利用microsoftwindows、osx、linux等台式计算机操作系统或appleios、googleandroid、windowsmobile等移动(mobile)装置操作系统进行运转，但不限于此。用户终端1构成得与探测服务器4共享未授权访问点数据库。另外，用户终端1也可以更新未授权访问点数据库，更新的数据库可以在用户终端1与探测服务器4之间同步。未授权访问点数据库的同步既可以周期性及/或非周期性地自动实现，或者，也可以对应于利用用户终端1的用户输入而手动实现。用户终端1可以查询未授权访问点数据库，从而决定当前接入的ap2是否为未授权访问点。例如，各个ap2具有固有的ssid(servicesetidentification，服务集标识)及bssid(basicservicesetidentification，基本服务集标识)，未授权访问点数据库可以包括预先判明为未授权访问点的ap的ssid及/或bssid。通过查询当前接入的ap2的ssid或bssid是否包含于未授权访问点数据库，从而用户终端1无需另外的外部装置，即可检测当前接入的ap2是否为未授权访问点。在一个实施例中，未授权访问点数据库中还可以包含未授权访问点的ipinternetprotocol地址、第一公认ip地址、web日志等。进一步地，在一个实施例中，未授权访问点数据库也可以还包括与分析的ap相关的gps(globalpositioningsystem，全球定位系统)值、os信息、供应商(vendor)信息、认证加密方式、接入国家、接入设备、接入方式等的信息。但是，这只是示例，未授权访问点数据库中可以包含的ap相关信息并非限定于前述内容。在当前接入的ap2的信息未包含于未授权访问点数据库时，用户终端1可以构成得还利用预先设置的既定服务器的ssl(securesocketslayer，安全套接层)认证证书有效性信息、接入的web页的电子签名信息或接入的网关的mac(mediaaccesscontrol，介质访问控制)地址收集信息中一个以上的信息，决定当前接入的ap2是否为未授权访问点。另外，在当前接入的ap2的信息未包含于未授权访问点数据库时，用户终端1也可以构成得还利用ap2的ssid、密码设置与否、跳跃点(hop)网关(gateway)地址、管理页散列(hash)值、dns(domainnamesystem，域名系统)询问(query)应答地址、os(operatingsystem，操作系统)扫描值及混杂(promiscuous)模式与否中一个以上的信息，决定当前接入的ap2是否为未授权访问点。后面将参照图3，对用户终端1利用前述各个信息的未授权访问点探测的具体过程进行详细叙述。图3是一个实施例的未授权访问点探测系统的用户终端及探测服务器的概略性框图。在图3中，图示了用户终端1及探测服务器4分别包括多个部、模块、服务器及系统等。但是，附图中图示的各部、模块、服务器或系统并非要指称必须相互物理上区别的独立硬件，可以将各个装置按所述装置执行的功能而在概念上进行区分。例如，用户终端1可以是构成得借助于微处理器及由其运行的软件而体现多个功能的一个计算装置。但并非限定于此，例如，探测服务器4包括的各服务器或系统由构成得相互间收发数据的另外的装置构成，探测服务器4也可以指称囊括这些装置的装置群。如果参照图3，在一个实施例中，探测服务器4包括通信服务器41、数据库管理系统(databasemanagementsystem；dbms)42及web服务器(webserver)43。dbms42生成未授权访问点数据库并存储。通信服务器41执行的功能是将dbms42中存储的未授权访问点数据库传输给用户终端1，或者/还执行将从用户终端1接收的未授权访问点数据库存储于dbms42。web服务器43作为用于供用户终端1等多个装置接入的服务器，必要时是指包含web应用服务器(webapplicationserver；was)的概念。在本发明的实施例中，web服务器43及dbms42构成得至少部分地基于url接入探测而生成未授权访问点数据库。具体而言，诸如用户终端1的相对于探测服务器4的客户端(client)装置均构成得利用与相应装置相应的一次性url，尝试接入web服务器43。例如，在所述装置尝试接入web服务器43的url中，可以包含有[相应装置信息]、[随机值]及[装置接入的ap信息]。随机值是用于使一次性url不重复所需的任意数字及/或字符串。url中包含的装置信息作为固有地赋予相应装置的值，可以为ip地址或mac地址等。另外，url中包含的ap信息可以为ip地址、mac地址、ssid及/或bssid等，但不限于此。各个装置构成得利用所述url，只尝试接入web服务器43一次。如果装置利用所述url而尝试接入web服务器43，则web服务器43中虽然不存在与相应url相应的页，但由于接入尝试而在web服务器43中生成接入日志(log)信息。探测服务器4的dbms42基于所述接入日志信息，生成基于url接入探测的未授权访问点数据库。例如，dbms42在接入日志中检索利用相同url的多次接入尝试，从而可以对未授权访问点进行特定。在所述过程中使用的url是一次性的，因而如果有利用一次性url的多次接入尝试，那么，第二次之后的接入尝试可以推定为是利用从用户终端1霸占url的未授权访问点而实现的。另外，dbms42还检索是否有此彼相异的设备或位置(即，ip地址)利用相同url的接入尝试，从而利用相同url的第二次之后的接入尝试可视为是利用未授权访问点实现的，并对未授权访问点进行特定。通信服务器41将根据前述过程生成的基于url接入探测的未授权访问点数据库传输给用户终端1，使用户终端1可以以此为基础，检索当前接入的或要接入的ap是否为未授权访问点。另一方面，在一个实施例中，web服务器43从用户终端1的url探测部127接收包含用户终端1接入的ap信息的url，分析对相应url的web未授权，确认是否有来自攻击者的url接入。当有来自攻击者的url接入时，web服务器43将代表与接收的url对应的ap是未授权访问点的信息传递给通信服务器41。然后，通信服务器41更新dbms42的未授权访问点数据库，以便添加相应ap，另外，可以将更新的未授权访问点数据库传输给用户终端1。在一个实施例中，探测服务器4还包括dns服务器44。dns服务器44具有既定的域名(domain)及ip地址，dns服务器44的ip地址预先传输给用户终端1的dns询问比较部125。然后，当用户终端1通过接入的ap而向dns服务器44的域传输了询问时，接入的ap如果为未授权访问点，则作为应答而发送与dns服务器44实际ip地址相异的ip地址，由此，dns询问比较部125可以探测为当前接入的ap是未授权访问点。在一个实施例中，用户终端1包括通信模块11及探测模块12。通信模块11接入提供无线lan信号的ap(图中未示出)，另外，通过ap，用户终端1提供可以与探测服务器4收发数据的功能。例如，通信模块11可以包括智能手机或平板电脑等移动装置具备的wi-fi模块，或者pc或笔记本电脑等具备的无线lan卡。探测模块12可以参照未授权访问点数据库，探测用户终端1接入的ap是否为未授权访问点。另外，在当前接入的ap的信息未包含于未授权访问点数据库时，可以还利用特定服务器的ssl认证证书有效性信息、接入的web页的电子签名信息或接入的网关的mac地址收集信息中一个以上的信息，决定当前接入的ap是否为未授权访问点。为此，在一个实施例中，探测模块12还包括ssl验证部131、电子签名验证部132及网关mac地址验证部133中一种以上。ssl验证部131在用户终端接入ap的状态下，向预先指定的特定服务器尝试ssl连接。当ssl连接失败时，ssl验证部131可以决定为当前接入的ap是未授权访问点。当ssl连接成功时，ssl验证部131验证连接的服务器的ssl认证证书的有效性与否，即使连接成功，但当ssl认证证书无效时，可以决定为当前接入的ap是未授权访问点。验证ssl认证证书的有效性的具体过程可以通过与认证机构的通信而执行，这是本发明
技术领域：
：中所熟知的，因而省略详细说明。电子签名验证部132预先存储特定web页地址及与此相应的电子签名。在用户终端接入ap的状态下，电子签名验证部132下载所述特定web页，通过判断下载的web页的电子签名是否与预先存储的电子签名一致，确认web页是否伪造变造。如果电子签名彼此不一致，则电子签名验证部132可以决定为当前接入的ap是未授权访问点。电子签名可以由多样的形态构成，例如，可以根据rsa(rivestshamiradlemanalgorithm，非对称密钥算法)对数据的sha(securehashalgorithm，安全散列算法)-256散列(hash)值进行签名而获得，但不限于此。另外，电子签名也可以根据base64编码(encoding)进行编码并存储。网关mac地址验证部133是用于检测arp(addressresolutionprotocol，地址解析协议)欺骗(spoofing)攻击的部分。网关mac地址验证部133在用户终端上，在未授权访问点探测所需的应用程序(应用小程序)运行后，周期性及/或非周期性地多次收集用户终端接入的网关的mac地址。例如，网关mac地址验证部133可以从用户终端的arp缓存表(cachetable)收集对用户终端的收发数据包产生影响的广播域(broadcastingdomain)内的装置的mac地址。在无网络攻击的状态下，如此收集的装置的mac地址均应不同。因此，网关mac地址验证部133在用户终端接入ap的状态下，收集网关的mac地址，当广播域内收集了多个相同的mac地址时，可以决定为当前接入的ap是未授权访问点。当在未授权访问点数据库中查询到当前接入的ap的信息时，探测模块12可以还利用以上说明的各部131～133的探测结果中一种以上，自行决定当前接入的ap是否为未授权访问点。进一步地，探测模块12可以还利用用户终端1接入的ap的ssid、密码设置与否、跳跃点网关地址、管理页散列值、dns询问应答地址、os扫描值及混杂模式与否中一个以上的信息，决定当前接入的ap2是否为未授权访问点。为此，在一个实施例中，探测模块12还包括重复ssid探测部121、认证与否探测部122、跳跃点网关ip比较部123、管理页比较部124、dns询问比较部125、os扫描部126、url(uniformresourcelocator，统一资源定位符)探测部127及模式探测部128中一种以上。重复ssid探测部121探测用户终端1周边的ap的ssid中是否有与当前接入的ap的ssid重复者。当有bssid相同且ssid重复的ap时，可以判断为存在相应ap是未授权访问点的可能性。认证与否探测部122探测用户终端1当前接入的ap是否设置了密码。可以判断为存在未设置密码的ap是未授权访问点的可能性。跳跃点网关ip比较部123利用通过路由跟踪(traceroute)的网络诊断，收集用户终端1周边ap的跳跃点网关ip地址，当存在收集的跳跃点网关ip中有3个相同跳跃点网关ip的ap时，可以判断为存在所述ap是未授权访问点的可能性。管理页比较部124在用户终端1最初接入特定ap时，存储了相应ap的管理页的散列(hash)值，稍后如果用户终端1再次接入相应ap，则探测管理页散列值是否与预先存储的散列值相同。在管理页的散列值已变更的情况下，可以判断为存在是未授权访问点的可能性。在一个实施例中，管理页比较部124中存储的散列值也可以构成得在既定期间(例如，15日)后自动删除。dns询问比较部125可以从探测服务器4接收关于预先决定的dns服务器的ip地址并存储，在连接于探测对象ap的状态下，接收对所述预先决定的dns服务器的询问应答ip地址，探测接收的ip地址是否与预先存储的ip地址相同。当对dns服务器的询问应答地址与预先存储的ip地址相异时，可以决定为当前用户终端1接入的ap是未授权访问点。os扫描部126以扫描值形式接收用户终端1当前接入的os的种类。当扫描结果为kalilinux或backtrack时，或当无法扫描时，可以判断为存在当前接入的ap是未授权访问点的可能性。url探测部127可以生成包括用户终端1当前接入的ap信息及用户终端1信息的url，传输给探测服务器4，从探测服务器4接收探测服务器4利用所述url探测当前用户终端1接入的ap是否为未授权访问点的结果。如果用户终端1接入的ap是未授权访问点，则当攻击者接入相应url时，相应清单作为关于url的web日志(weblog)而存留。另外，web日志中留有攻击者的用户代理(user-agent)信息。因此，探测服务器4分析关于url的web日志，从而用户终端1可以判断与相应url相关的ap是否为未授权访问点。模式探测部128探测用户终端1当前接入的ap是否在以混杂(promiscuous)模式进行通信。当ap为混杂模式时，可以判断为是未授权访问点的可能性高。探测模块12可以还利用以上说明的各部121～128的探测结果中一种以上，自行决定当前接入的ap是否为未授权访问点。例如，dns询问比较部125获得对预先设置的dns服务器的询问应答ip的结果，当获得的ip与预先已知的dns服务器的ip相异时，可以决定为当前接入的ap是未授权访问点。另外，url探测部127生成包括ap信息及用户终端1信息的url并传输，结果，当针对相应url发生2次以上的接入时，可以决定为用户终端1当前接入的ap是未授权访问点。或者，当模式探测部128探测为当前接入的ap为混杂模式时，可以决定为当前接入的ap是未授权访问点。在一个实施例中，探测模块12可以将重复ssid探测部121、认证与否探测部122、跳跃点网关ip比较部123、管理页比较部124及os扫描部126各个的探测结果，根据既定的变换规则，变换成未授权访问点诊断分数，将变换的各未授权访问点诊断分数之和与预先决定的阀值进行比较，从而决定当前接入的ap是否为未授权访问点。例如，(i)当前接入的ap与bssid相同且有重复的ssid时，(ii)ap未设置密码时，(iii)探测到相同的3个跳跃点网关ip时，(iv)ap的管理页散列值与以前相比发生变更时，及(v)os扫描值为kalilinux或backtrack时或无法os探测时，可以分别赋予(i)30分、(ii)20分、(iii)50分、(iv)20分及(v)40分的未授权访问点诊断分数。当所述(i)～(v)中有不满足的条件时，针对相应条件赋予0分。在(i)～(v)中合算如此赋予的未授权访问点诊断分数，当合算的结果超过阀值70分时，探测模块12可以决定为当前接入的ap是未授权访问点。但是，这只是示例，用于对各条件的结果进行综合的变换方式及未授权访问点分数的阀值等不限于前述内容。根据以上过程，如果决定为特定ap是未授权访问点，则用户终端1的探测模块12可以将相应ap的信息(例如，ssid或bssid等)添加于未授权访问点数据库，更新未授权访问点数据库。另外，用户终端1的通信模块11可以将更新的未授权访问点数据库传输给探测服务器4，从而使探测服务器4的未授权访问点数据库也获得更新。图4作为一个实施例的未授权访问点探测方法的顺序图，图4所示的未授权访问点探测方法对应于在用户终端上进行的动作。如果参照图4，首先，用户终端可以接入无线ap、s11。对无线ap的接入既可以在用户终端上自动进行，或者，也可以根据用户的选择而手动进行。另外，当存在用户终端过去接入相应无线ap的记录时，如果相应无线ap为可使用状态，则用户终端也可以自动接入相应ap。用户终端利用包括用户终端的信息及用户终端接入的无线ap的信息的一次性url，尝试接入探测服务器，以便能够在探测服务器中生成基于url接入探测的未授权访问点数据库s12。探测服务器可以通过利用了所述一次性url的接入日志信息，生成未授权访问点数据库。图4中图示了在ap接入过程s11之后立即进行生成接入日志所需的接入尝试过程s12，但这只是示例，生成接入日志所需的接入尝试过程s12也可以按其他任意顺序执行。用户终端可以接入探测服务器，接收未授权访问点数据库s13。例如，用户接入无线ap后，作为对用于未授权访问点探测的应用程序(或应用小程序)运行的响应，可以实现未授权访问点数据库的接收。另外，用户终端也可以构成得当用户终端接入无线ap时，自动运行用于未授权访问点探测的应用程序(或应用小程序)。在本实施例中，作为未授权访问点探测过程的第一过程，记载了接收未授权访问点数据库的步骤s13。但这只是示例，在其他实施例中，未授权访问点数据库的接收也可以与是否实施未授权访问点探测无关地周期性及/或非周期性地进行。例如，无需在用户终端上进行另外的用户输入，后台便可以自动实现未授权访问点数据库的接收。在一个实施例的未授权访问点探测方法中，在未授权访问点探测过程开始前，也可以首先还执行探测是否通过ap正常实现网络连接的步骤(图中未示出)。例如，用户终端通过无线ap，向探测服务器发送预先决定的询问信号，当从探测服务器接收了对所述询问信号的应答信号时，视为正常实现通过无线ap的网络连接，接着开始未授权访问点探测过程。然后，用户终端可以在未授权访问点数据库中查询当前接入的ap，从而探测当前接入的ap是否为未授权访问点s14。未授权访问点数据库包含判明为未授权访问点的ap的ssid及/或bssid等，用户终端在未授权访问点数据库中查询当前接入的ap的ssid或bssid，从而能够探测当前接入的ap是否为未授权访问点。查询结果，在当前接入的ap包含于未授权访问点数据库时s15，用户终端构成得不接入未授权访问点，而是选择其他ap、s16。用户终端也可以构成得使其他ap的选择既可以由用户终端自动实现，或者将要求选择其他ap的用户接口显示于用户终端，从而由用户直接选择其他ap。另一方面，查询结果s15，在当前接入的ap未包含于未授权访问点数据库时，用户终端可以利用预先设置的特定服务器的ssl认证证书有效性信息、接入的web页的电子签名信息及网关的mac地址收集信息中一种以上，决定当前用户终端接入的ap是否为未授权访问点s17。进一步地，在一个实施例中，用户终端可以还利用接入的ap的ssid、密码设置与否、跳跃点网关地址、管理页散列值、dns询问应答地址、os扫描值及混杂模式与否中一个以上的信息，决定当前用户终端接入的ap是否为未授权访问点s18。在用户终端上利用前述信息探测未授权访问点的过程，与前面参照图3而叙述的实施例相同，因此，为了避免说明的重复而省略详细说明。所述步骤s17,s18的探测结果，如果决定为当前接入的ap是未授权访问点s19，则用户终端构成得不接入未授权访问点，而是选择其他ap、s16。另一方面，当在所述步骤s17,s18的探测结果中，决定为当前接入的ap不是未授权访问点时s19，用户终端可以保持与相应ap的连接，从而使用户可以通过相应ap而接入网络s20。图5作为又一实施例的未授权访问点探测方法的顺序图，图5所示的未授权访问点探测方法对应于在探测服务器上进行的动作。如果参照图5，首先，探测服务器为了生成基于url接入探测的未授权访问点数据库，可以从多个装置，接收利用了一次性url的接入尝试s21。此时，在接入尝试所使用的url中，包含尝试接入的装置的信息及相应装置接入的ap的信息。在探测服务器中，不存在与所述一次性url相应的页，因而接入本身未正常实现，但在探测服务器中，生成与接入尝试结果相应的接入日志信息s22。探测服务器可以以所述接入日志信息为基础，生成基于url接入探测的未授权访问点数据库。例如，探测服务器在接入日志中检索利用了相同的一次性url的多次接入记录s23，当存在利用相同的一次性url，在相异装置及/或位置的多次接入尝试时，视为借助于未授权访问点而掠取url，可以利用相应url中包含的信息，生成未授权访问点数据库，以便定义未授权访问点s24。然后，探测服务器将生成的未授权访问点数据库传输给用户终端s25。所述传输过程既可以是探测服务器生成整个未授权访问点数据库并传输给用户终端，或者，也可以是在用户终端上已经存在未授权访问点数据库的状态下，将基于url接入探测而生成的数据集传输给用户终端。在一个实施例中，探测服务器还构成得从用户终端接收对未授权访问点的探测结果s26，以接收的信息为基础，更新探测服务器的未授权访问点数据库s27。从用户终端接收的探测结果可以是用户终端以特定服务器的ssl认证证书有效性信息、接入的web页的电子签名信息及/或接入的网关的mac地址收集信息为基础探测的。进一步地，从用户终端接收的探测结果也可以是还利用ap的ssid、密码设置与否、跳跃点网关地址、管理页散列值、dns询问应答地址、os扫描值、及/或混杂模式与否中一个以上的信息而探测的。以上说明的实施例的未授权访问点探测方法，其动作可以至少部分地以计算机程序体现，记录于计算机可读记录介质。在所述记录介质中记录有由用于体现未授权访问点探测方法的动作的命令构成的程序。例如，本发明的一个实施例可以以能够在诸如智能手机或平板电脑的用户终端或探测服务器上执行未授权访问点探测方法的应用程序(或应用小程序)的形态体现。另外，所述记录介质包括计算机可读数据能够存储的任意种类的记录装置。例如，在计算机可读记录介质中，可以有rom、ram、cd-rom、磁带、软磁盘、光数据存储装置等。另外，计算机可读记录介质也可以分布于以网络连接的计算机系统，计算机可读代码以分布方式存储、运行。用于体现实施例的功能性命令、代码及代码片段(segment)是本实施例所属
技术领域：
：的技术人员可以容易地理解的。以上考查的本发明虽然以附图中图示的实施例为参考进行了说明，但这只不过是示例而已，只要是相应领域的技术人员便会理解，可以由此导出多样的变形及实施例的变形。但这种变形应视为在本发明的技术保护范围内。因此，本发明的真正的技术保护范围应根据附带的专利要求书的技术思想确定。当前第1页12当前第1页12