一種非法ap的防護方法及裝置制造方法
【專利摘要】本發(fā)明公開了一種非法AP的防護方法和裝置��,所述方法包括:檢測與無線客戶端關聯(lián)的AP是否為非法AP����;若所述AP為非法AP��,則在非法AP所在的信道上模擬所述非法AP向所述非法AP上關聯(lián)的所有用戶發(fā)送信道切換指令�����,引導客戶端切換信道到指定的新信道,并仿冒非法AP在相應的信道上提供服務��,防止用戶切回非法AP��。通過本發(fā)明���,能夠消除非法AP的安全隱患����,為用戶提供正常的服務���。
【專利說明】—種非法AP的防護方法及裝置
【技術領域】
[0001]本發(fā)明涉及網(wǎng)絡安全領域,尤其涉及無線局域網(wǎng)(WLAN, Wireless LAN)中一種非法AP防護的方法及裝置����。
【背景技術】
[0002]隨著無線技術的發(fā)展��,無線網(wǎng)絡的安全性成為一個急需解決的問題����。目前,WLAN系統(tǒng)由于設備自身存在安全漏洞��、配置不當或組網(wǎng)結構不合理�、無線空口等問題,會使WLAN系統(tǒng)面臨密碼被盜用����、網(wǎng)路濫用、設備被利用、網(wǎng)絡不可用等安全風險����。典型的安全攻擊有釣魚AP攻擊,攻擊者利用非法AP與DNS欺騙相結合進行無線釣魚�����。以中國電信運營商部署的SSID =ChinaNet為例����,由于ChinaNet未采用任何無線認證和加密手段,因此攻擊者可以通過偽造ChinaNet的Web認證界面并使用自身的AP廣播虛假ChinaNet網(wǎng)絡,進而誤導用戶在釣魚頁面輸入賬號����、口令并進行截獲。
[0003]因此��,急需提出一種非法AP的防護方法����。為能夠解決上述問題��,現(xiàn)有方案一般通過檢測AP定期掃描信道��,并按照一定的過濾條件判斷非法AP的存在并進行告警���,然后對非法AP進行攻擊����。具體的實現(xiàn)方式為:檢測AP仿冒非法AP給客戶端發(fā)送大量的deassociation報文強制用戶解關聯(lián)。但這種方式會造成用戶很快就又再次關聯(lián)非法AP�����。如果要持續(xù)防護就要不停地發(fā)送解關聯(lián)報文強制用戶解關聯(lián)��,這樣既占用空口資源�����,也無法為這些關聯(lián)到非法AP的用戶提供正常的服務��。
【發(fā)明內(nèi)容】
[0004]有鑒于此�����,本發(fā)明提供一種非法AP防護的方法和裝置����,能夠消除非法AP的安全隱患,為無線用戶提供正常的服務。
[0005]為實現(xiàn)本發(fā)明目的�,本發(fā)明實現(xiàn)方案具體如下:
[0006]一種非法AP的防護方法,應用于檢測AP�����,所述檢測AP對信道進行定期掃描���,所述方法包括以下步驟:
[0007]檢測與無線客戶端關聯(lián)的AP是否為非法AP ����;
[0008]若所述AP為非法AP���,則在非法AP所在的信道上模擬所述非法AP向所述非法AP上關聯(lián)的所有用戶發(fā)送信道切換指令���,引導客戶端切換信道到指定的新信道。
[0009]進一步地�,所述檢測AP進一步在指定的信道上仿冒非法AP提供服務,防止用戶切回非法AP����。
[0010]本發(fā)明同時提供一種非法AP的防護裝置,應用于檢測AP����,所述檢測AP對信道進行定期掃描,所述裝置包括:
[0011]檢測單元����,用于檢測與無線客戶端關聯(lián)的AP是否為非法AP ;
[0012]信道引導單元����,用于當所述AP為非法AP時,在非法AP所在的信道上模擬所述非法AP向所述非法AP上關聯(lián)的所有用戶發(fā)送信道切換指令��,引導客戶端切換信道到指定的新信道�。[0013]進一步地,信號服務單元����,用于在指定的信道上仿冒非法AP提供服務,防止用戶切回非法AP���。
[0014]與現(xiàn)有技術相比����,本發(fā)明中��,通過當檢測到非法AP時,模擬非法AP向所述非法AP上關聯(lián)的所有用戶發(fā)送信道切換指令�,引導客戶端切換信道到指定的新信道,并仿冒非法AP在相應的信道上提供服務�,防止用戶切回非法AP。從而解除了無線客戶端和非法AP的關聯(lián)并可以防止無線客戶端再次連接到非法AP���,進而為用戶提供正常的服務�����。
【專利附圖】
【附圖說明】
[0015]圖1為本發(fā)明一種非法AP防護的方法流程示意圖����。
[0016]圖2為頻道切換宣告巾貞(Channel Switch Announcement)的報文格式示意圖�����。
[0017]圖3為頻道切換宣布巾貞(Channel Switch Announcement)的信息元素的格式示意圖����。
[0018]圖4為本發(fā)明一種非法AP防護的邏輯組成圖。
【具體實施方式】
[0019]為實現(xiàn)本發(fā)明目的��,本發(fā)明采用的核心思想為:利用現(xiàn)有技術中WLAN設備支持802.1lh DFS (Dynamic Frequency Selection,動態(tài)頻率選擇)的特性��,當檢測到存在非法AP時,檢測AP通過仿冒非法AP�����,向關聯(lián)在非法AP上的客戶端發(fā)送信道切換指令�����,引導這些客戶端切換到指定信道�,并在新的所述指定信道上仿冒非法AP和客戶端建立連接并為之提供服務�,從而消除非法AP的安全隱患。
[0020]為實現(xiàn)本發(fā)明目的�����,以下結合附圖詳細說明本發(fā)明��。請參考圖1���,為本發(fā)明提供的一種非法AP防護的方法����,應用于無線網(wǎng)絡中非法AP的防護���,所述無線網(wǎng)絡中至少包括有一個檢測AP���,對信道進行定期掃描��,其中���,所述方法包括以下步驟:
[0021]步驟101,檢測與無線客戶端關聯(lián)的AP是否為非法AP����。
[0022]具體地,為了保護WLAN網(wǎng)路的安全性��,在本發(fā)明中���,WLAN網(wǎng)絡中需要設置檢測AP�����,所述檢測AP定期對信道進行掃描�����,具體實現(xiàn)方式為:檢測AP通過信道偵聽�����、主動掃描等監(jiān)測機制定期檢測WLAN網(wǎng)絡中是否存在非法AP����,當檢測到非法AP存在時,確認非法AP所在的信道和BSSID信息���,并保存在本地待用。
[0023]需要說明的是���,所述檢測AP根據(jù)具體的應用場景���,其布置的實現(xiàn)是非常靈活的,即可以由承擔實際數(shù)據(jù)轉發(fā)業(yè)務的合法AP充當��,也可由用于專門檢測的合法AP來充當�����。除此之外��,還可以為合法AP內(nèi)的檢測模塊���,由于此部分不是本發(fā)明重點���,在此不再詳細描述�����。
[0024]步驟102����,若檢測到存在非法AP���,則在非法AP所在的信道上模擬所述非法AP向所述非法AP上關聯(lián)的所有用戶發(fā)送信道切換指令�����,引導客戶端切換信道到指定的信道�����。
[0025]具體地����,在本發(fā)明中,通過利用802.1lh標準中規(guī)定的防干擾機制來解決無線網(wǎng)絡中存在非法AP的問題�。在802.11系列標準的演進過程中,為了避免工作在5GHz頻段的無線通信設備對雷達系統(tǒng)造成干擾���,各國對工作在這些頻率設備的要求除了功率����、頻譜等常規(guī)項目以外���,還特別增加了對動態(tài)頻率選擇(DFS:Dynamic Frequency Selection)特性的要求����。802.1Ih就是針對802.1Ia和802.1ln無線網(wǎng)絡設備在5GHz頻段工作時遇到的信道干擾問題而制定����,其所定義的機制能使基于802.1la和802.1ln的無線系統(tǒng)避免與雷達或其他同類系統(tǒng)中的寬帶技術相干擾�,保障無線通信的暢通。為此����,802.1lh標準中引入了DFS關鍵技術,當工作在5G頻段的WLAN設備���,在工作信道上檢測到雷達信號后�����,必須自動跳開當前信道����,并且必須具備連續(xù)3次以上的自動跳開頻率機能,才能符合認證與使用規(guī)范��。同時��,AP在檢測到雷達信號決定切換信道前����,會向客戶端發(fā)送信道切換通知幀,通知客戶端切換工作信道�。
[0026]由于WLAN設備均支持802.1lh DFS (動態(tài)頻率選擇)的特性,本發(fā)明的核心思想就是借用該特性���,通過檢測AP模擬非法AP身份���,然后在非法AP所在的信道上向非法AP上關聯(lián)的所有用戶客戶端發(fā)送信道切換指令,引導客戶端切換信道到指定的新信道�。因此,當所述步驟101中檢測到非法AP存在時,檢測AP確認非法AP所在的信道和BSSID信息�,并通過偵聽獲取非法AP上關聯(lián)的無線用戶列表,并記錄在本地�。然后,檢測AP根據(jù)所述非法AP所在的信道���、BSSID信息和所述無線用戶列表���,在非法AP所在的信道上模擬所述非法AP向非法AP上關聯(lián)的所有用戶發(fā)送切換信道指令,引導客戶端切換信道到指定的新信道���。進一步地��,當檢測AP檢測到多個非法AP同時存在時�,所述檢測AP進一步在指定的新信道上模擬多個非法AP廣播其BEACON�����,弓I導多個非法AP下的終端都切換到檢測AP上���。
[0027]優(yōu)選地,所述指定的新信道為檢測AP所在的信道��,即檢測AP向客戶端發(fā)送信道切換指令,引導無線客戶端切換信道到自己的信道上�����,當檢測AP和非法AP在同一信道時���,檢測AP可以切換到其他的信道��,同時發(fā)送信道切換指令到與非法AP相連的客戶端�����,引導客戶端也切換到與其對應的信道����。
[0028]優(yōu)選地���,所述信道切換指令是通過頻道切換宣告幀發(fā)送的�,所述頻道切換宣告幀包含引導客戶端切換到所述指定的新信道的編號����。如圖2所示,為頻道切換宣告幀(Channel Switch Announcement)的報文格式示意圖,所述頻道切換宣告巾貞用于通知各個網(wǎng)站的工作站準備切換到指定的新信道��。所述的頻道切換宣告幀,具體是通過Action幀包裝Channel Switch Announcement信息元素來實現(xiàn)�,因此,具備頻道切換宣告元素的所有功能,可以用來指定網(wǎng)絡即將切換至新信道的時間和新信道的編號�����。請進一步參照圖3所示���,為頻道切換宣告巾貞(Channel Switch Announcement)的信息元素的格式,元素中指定了 NewChannel Number字段(即所述指定的信道的編號)和Channel switch count字段(即信道切換的時間)��。所述頻道切換宣告幀中的其他字段為現(xiàn)有的標準格式��,在此不再詳細說明����。
[0029]為了降低用戶反復關聯(lián)到非法AP的可能性�,進一步地,所述方法還包括:
[0030]步驟103���,在所述指定的信道上,模擬所述非法AP廣播Beacon報文���,引導原先關聯(lián)在所述非法AP上的無線客戶端關聯(lián)到所述檢測AP���。
[0031]具體地�����,所述檢測AP引導客戶端切換到指定信道之后���,檢測AP也會切換到所述指定信道,在所述指定信道上��,檢測AP模擬非法AP廣播相應的Beacon報文����,并同時備份非法AP上關聯(lián)的客戶端信息?�?蛻舳私邮盏綑z測AP發(fā)出的信道切換指令之后�,在指定的時間切換到所述指定的信道,在所述指定的信道接收到所述檢測AP廣播的Beacon報文之后�,與檢測AP建立關聯(lián)。當然���,客戶端切換到所述指定的信道之后�����,可能會接收到其他合法AP發(fā)送的Beacon報文并與其他合法AP建立連接���,也可能會與在所述指定的信道上的其他非法AP建立連接�。如果客戶端再次與非法AP建立連接���,則檢測AP將繼續(xù)模擬非法AP發(fā)送信道切換指令到客戶端�,指導客戶端切換到其他信道�。
[0032]當無線客戶端與檢測AP建立關聯(lián)之后,所述檢測AP進一步在該指定的信道上仿冒非法AP提供正常的無線服務��,無線客戶端就可以通過檢測AP進行數(shù)據(jù)報文的收發(fā)���,進入到正常的工作流程�����。如此�����,便能夠解決傳統(tǒng)攻擊非法AP的方法中��,由于仿冒非法AP給客戶端發(fā)送大量的deassociation報文強制用戶解關聯(lián)�,造成用戶很快再次與所述非法AP建立關聯(lián)后不停地發(fā)deassocation報文而占用空口資源�����,最終導致用戶無法得到想要的服務�。
[0033]請參考圖4,本發(fā)明同時提供一種非法AP的防護裝置�,應用于無線網(wǎng)絡中非法AP的防護,其中所述無線網(wǎng)絡中至少包括有檢測AP���,所述檢測AP為合法AP的檢測模塊或者專用的檢測AP�,也可以是承載數(shù)據(jù)轉發(fā)業(yè)務的其他合法AP�,所述檢測AP對信道進行定期掃描,其中����,所述裝置包括:
[0034]檢測單元401,用于檢測與無線客戶端關聯(lián)的AP是否為非法AP ��;
[0035]具體地�����,為了保護WLAN網(wǎng)路的安全性���,在WLAN網(wǎng)絡中設置檢測AP�����,所述檢測AP的檢測單元401定期對信道進行掃描�����,通過信道偵聽����、主動掃描等監(jiān)測機制檢測WLAN網(wǎng)絡中是否存在非法AP,當檢測到非法AP存在時��,確認非法AP所在的信道和BSSID信息���,并保存在本地待用��。
[0036]需要說明的是���,所述檢測AP可以根據(jù)具體的應用場景,其布置的實現(xiàn)可以是非常靈活的�,即可以由承擔實際數(shù)據(jù)轉發(fā)業(yè)務的合法AP充當,也可由用于專門檢測的合法AP來充當。除此之外�,還可以為合法AP的檢測模塊,也可以為專用的檢測AP���,工作在某一信道上,并且在執(zhí)行檢測操作時可以切換到其他信道�����。
[0037]信道引導單元402��,用于當所述AP為非法AP時����,在非法AP所在的信道上模擬所述非法AP向所述非法AP上關聯(lián)的所有用戶發(fā)送信道切換指令,引導客戶端切換信道到指定的信道����。
[0038]具體地,本發(fā)明利用802.1lh標準中規(guī)定的防干擾機制來解決非法AP問題�。在802.11系列標準的演進過程中,為了避免工作在5GHz頻段的無線通信設備對雷達系統(tǒng)造成干擾��,各國對工作在這些頻率設備的要求除了功率����、頻譜等常規(guī)項目以外���,還特別增加了對動態(tài)頻率選擇(DFS:Dynamic Frequency Selection)特性的要求。802.1lh標準就是針對802.1la和802.1ln無線網(wǎng)絡設備在5GHz頻段工作時遇到的信道干擾問題而制定���,其所定義的機制能使基于802.1ln的無線系統(tǒng)避免與雷達或其他同類系統(tǒng)中的寬帶技術相干擾�����,保障無線通信的暢通��。為此��,802.1lh引入DFS關鍵技術�,當工作在5G頻段的WLAN設備��,在工作信道上檢測到雷達信號后�,必須自動跳開當前信道,并且必須具備連續(xù)3次以上的自動跳開頻率機能����,才能符合認證與使用規(guī)范。同時����,AP在檢測到雷達信號決定切換信道前���,會向客戶端發(fā)送信道切換通知幀,通知客戶端切換工作信道�����。由于WLAN設備支持802.1lhDFS (動態(tài)頻率選擇)的特性���,本發(fā)明的核心思想就是借用該特性利用合法檢測AP模擬非法AP身份����,然后在非法AP所在的信道上向非法AP上關聯(lián)的所有用戶發(fā)送信道切換指令�����,引導客戶端切換信道到指定的信道����。因此,當所述檢測單元401檢測到非法AP存在時���,檢測AP確認非法AP所在的信道和BSSID信息��,并通過偵聽獲取非法AP上關聯(lián)的無線用戶列表���,并記錄在本地����。然后����,信道引導單元402根據(jù)所述非法AP所在的信道、BSSID信息和所述無線用戶列表�,在非法AP所在的信道上模擬所述非法AP向非法AP上關聯(lián)的所有用戶發(fā)送切換信道指令,引導客戶端切換信道到指定的信道���,進一步地���,當檢測AP檢測到多個非法AP同時存在時,所述檢測AP進一步在指定的新信道上模擬多個非法AP廣播其BEAC0N�����,引導多個非法AP下的終端都切換到檢測AP上��。[0039]優(yōu)選地��,所述指定的新信道為檢測AP所在的信道,即檢測AP向客戶端發(fā)送信道切換指令��,引導無線客戶端切換信道到自己的信道上����,當檢測AP和非法AP在同一信道時,檢測AP可以切換到其他的信道�����,同時發(fā)送信道切換指令到與非法AP相連的客戶端�,引導客戶端也切換到與其對應的信道。
[0040]優(yōu)選地�����,所述信道切換指令是通過頻道切換宣告幀發(fā)送的����,所述頻道切換宣告幀包含引導客戶端切換到的所述指定的新信道的編號����。如圖2所示,為頻道切換宣告幀(Channel Switch Announcement)的報文格式示意圖,所述頻道切換宣告巾貞用于通知各個網(wǎng)站的工作站準備切換到指定的新信道�����。所述的頻道切換宣告幀,具體是通過Action幀包裝Channel Switch Announcement信息元素來實現(xiàn)����,因此,具備頻道切換宣告元素的所有功能,可以用來指定網(wǎng)絡即將切換至新信道的時間和新信道的編號�。請進一步參照圖3所示,為頻道切換宣告巾貞(Channel Switch Announcement)的信息元素的格式,元素中指定了 NewChannel Number字段(即所述指定的新信道的編號)和Channel switch count字段(即信道切換的時間)�。所述頻道切換宣告幀中的其他字段為現(xiàn)有的標準格式,在此不再詳細說明��。
[0041]Beacon報文廣播單元403�����,用于在所述指定的信道上����,模擬所述非法AP廣播Beacon報文,引導原先關聯(lián)在所述非法AP上的無線客戶端關聯(lián)到所述檢測AP�����。
[0042]具體地�����,所述信道引導單元402引導客戶端切換到指定信道之后,檢測AP也會切換到所述指定信道���,在所述指定信道上��,檢測AP模擬非法AP廣播相應的Beacon ID����,并同時備份非法AP上關聯(lián)的客戶端信息�����?���?蛻舳私邮盏綑z測AP發(fā)出的信道切換指令之后��,在指定的時間切換到所述指定的信道�����,Beacon報文廣播單元403在所述指定的信道接收到所述檢測AP廣播的Beacon報文之后����,與檢測AP建立關聯(lián)���。當然,客戶端切換到所述指定的信道之后��,可能會接收到其他合法AP發(fā)送的Beacon報文并與其他合法AP建立連接��,也可能會與在所述指定的信道上的其他非法AP建立連接���。如果客戶端再次與非法AP建立連接��,則檢測AP模擬非法AP發(fā)送信道切換指令到客戶端���,指導客戶端切換到其他信道。
[0043]信號服務單元�����,用于在指定的信道上仿冒非法AP提供正常的無線服務���,防止用戶切回非法AP�����。
[0044]當無線客戶端與檢測AP建立關聯(lián)之后���,所述信號服務單元在指定的信道上仿冒非法AP提供正常的無線服務�,無線客戶端可以通過檢測AP進行數(shù)據(jù)報文的收發(fā)��,進入到正常的工作流程���。如此�,便能夠解決傳統(tǒng)攻擊非法AP的方法中���,由于仿冒非法AP給客戶端發(fā)送大量的deassociation報文強制用戶解關聯(lián)��,造成用戶很快再次與所述非法AP建立關聯(lián)后不停地發(fā)deassocation報文而占用空口資源�,最終導致用戶無法得到想要的服務���。
[0045]以上所述僅為本發(fā)明的較佳實施例而已�����,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi)�����,所做的任何修改、等同替換�����、改進等���,均應包含在本發(fā)明保護的范圍之內(nèi)��。
【權利要求】
1.一種非法AP的防護方法��,應用于無線網(wǎng)絡中非法AP的防護����,所述無線網(wǎng)絡中至少包括一檢測AP��,所述檢測AP對信道進行定期掃描��,其特征在于���,所述方法包括以下步驟: 檢測與無線客戶端關聯(lián)的AP是否為非法AP ���; 若所述AP為非法AP�,則在非法AP所在的信道上模擬所述非法AP向所述非法AP上關聯(lián)的所有用戶發(fā)送信道切換指令�����,引導客戶端切換信道到指定的信道�����。
2.如權利要求1所述的方法��,其特征在于����,在所述指定的信道上,檢測AP模擬所述非法AP廣播Beacon報文���,引導原先關聯(lián)在所述非法AP上的無線客戶端關聯(lián)到所述檢測AP�。
3.如權利要求1所述的方法�����,其特征在于��,所述檢測AP進一步在指定的信道上仿冒非法AP提供服務,防止用戶切回非法AP���。
4.如權利要求1或2所述的方法,其特征在于����,所述信道切換指令是通過頻道切換宣告幀發(fā)送的,所述頻道切換宣告幀包含引導客戶端切換到的所述指定的新信道的編號��。
5.如權利要求4所述的方法���,其特征在于����,所述指定的新信道為所述檢測AP所在的信道���。
6.一種非法AP的防護裝置����,應用于無線網(wǎng)絡中非法AP的防護�,其特征在于,所述裝置為檢測AP��,對無線網(wǎng)絡的信道進行定期掃描,所述裝置包括: 檢測單元����,用于檢測與無線客戶端關聯(lián)的AP是否為非法AP ; 信道引導單元�,用于當所述AP為非法AP時,在非法AP所在的信道上模擬所述非法AP向所述非法AP上關聯(lián)的所有用戶發(fā)送信道切換指令�,引導客戶端切換信道到指定的信道。
7.如權利要求6所述的裝置���,其特征在于���,所述裝置還包括: Beacon報文廣播單元,用于在所述指定的信道上�,模擬所述非法AP廣播Beacon報文,引導原先關聯(lián)在所述非法AP上的無線客戶端關聯(lián)到所述裝置上�。
8.如權利要求6或7所述的裝置,其特征在于����,所述裝置還包括: 信號服務單元,用于在指定的信道上仿冒非法AP提供服務�����,防止用戶切回非法AP。
9.如權利要求6或所述的裝置��,其特征在于�,所述信道切換指令是通過頻道切換宣告幀發(fā)送的,所述頻道切換宣告幀包含引導客戶端切換到的所述指定的新信道的編號���。
10.如權利要求9所述的裝置,其特征在于���,所述指定的新信道為所述檢測AP所在的信道����。
【文檔編號】H04W12/12GK103888949SQ201210556408
【公開日】2014年6月25日 申請日期:2012年12月19日 優(yōu)先權日:2012年12月19日
【發(fā)明者】鄭濤, 張海濤, 徐國祥, 傅振宇 申請人:杭州華三通信技術有限公司