一種防護(hù)wifi釣魚的保護(hù)方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信技術(shù)領(lǐng)域��,具體涉及一種防護(hù)wifi釣魚的保護(hù)方法及系統(tǒng)��。
【背景技術(shù)】
[0002]基于IEEE802.11協(xié)議的無線局域網(wǎng)技術(shù)又稱為wifi��,從辦公室到咖啡廳��,從圖書館到休閑娛樂場所�,wifi隨處可見。wifi由無線接入點(diǎn)(Wireless Access Point����,簡稱AP)和無線網(wǎng)卡組成�����,AP是有線局域網(wǎng)和無線局域網(wǎng)之間的連接,因此任何一臺(tái)裝有無線網(wǎng)卡的電腦均可通過AP去分享有線局域網(wǎng)甚至廣域網(wǎng)絡(luò)的資源�。但無線空間傳播通道的開放性使得信號很容易受到攔截并遭受攻擊,無線接入點(diǎn)AP攻擊是指公共場所攻擊者私自假設(shè)一個(gè)偽裝的無線接入點(diǎn)AP���,設(shè)置于被攻擊接入點(diǎn)相同的服務(wù)組標(biāo)識(shí)符�����,使得受害者誤連接偽裝的AP�����,如此�����,偽裝的AP可以攻擊受害者并竊取賬號密碼等重要資料����。
[0003]目前�����,針對防止wifi釣魚的保護(hù)技術(shù)幾乎沒有���。而其檢測方法有以下幾種:第一種是基于有線端的分析流經(jīng)網(wǎng)關(guān)的網(wǎng)絡(luò)流量�����,通過分析包間隔到達(dá)時(shí)間或者檢測傳輸控制協(xié)議(Transmiss1n Control Protocol����,TCP)流量中連續(xù)的確認(rèn)(Acknowledgement�,ACK)請求/應(yīng)答到達(dá)時(shí)間和TCP流量中的往返時(shí)間,基于載波偵聽多路訪問(Carrier SenseMultiple Access with Collis1n Avoidance,CSMA/CA)機(jī)制和半雙工信道的物理性質(zhì)來檢測無線釣魚AP ;第二種是利用時(shí)鐘偏差技術(shù)通過收集AP的信標(biāo)幀和探頭響應(yīng)消息根據(jù)IEEE802.11協(xié)議中的定時(shí)同步功能來得到時(shí)鐘偏差���,如果AP的時(shí)鐘偏差值與數(shù)據(jù)庫中儲(chǔ)存的偏差值不一樣��,則判定為偽AP�����。
[0004]以上方法雖然從理論上可以檢測出偽AP,但方法一假設(shè)了無線連接能力達(dá)不到有線水平����,事實(shí)上�����,由于不同的網(wǎng)絡(luò)類型��、帶寬以及擁塞程度����,基于有線端的統(tǒng)計(jì)并不是最佳的�����,另外���,噪聲干擾對此方法的影響很大�����。方法二中需要先收集AP數(shù)據(jù)幀的時(shí)鐘偏差來建立相應(yīng)數(shù)據(jù)庫再進(jìn)行比較�����,對新增加的安全AP容易造成誤判����。而且這種方案是十分昂貴的,且即使檢測出偽AP��,由于時(shí)效性存在�,也不能對無線終端進(jìn)行實(shí)時(shí)保護(hù)�����。
【發(fā)明內(nèi)容】
[0005]針對現(xiàn)有技術(shù)的缺陷��,本發(fā)明提供一種防護(hù)wifi釣魚的保護(hù)方法及系統(tǒng)�,能夠?qū)σ苿?dòng)終端連接無線接入點(diǎn)進(jìn)行實(shí)時(shí)檢測保護(hù),有效避免了利用無線AP竊用重要資料的安全隱患����。
[0006]第一方面,本發(fā)明提供了一種防護(hù)wifi釣魚的保護(hù)方法��,所述方法包括:
[0007]檢測與終端連接的無線接入點(diǎn)AP的AP參數(shù)���,并根據(jù)所述AP參數(shù)判斷所述AP是否在預(yù)設(shè)的白名單中����;
[0008]若所述AP不在所述白名單中,則將所述白名單中第一個(gè)AP的AP參數(shù)修改為與終端連接的所述AP的AP參數(shù)�,使得終端與所述AP斷開連接;
[0009]恢復(fù)所述第一個(gè)AP的AP參數(shù)��,并重新關(guān)聯(lián)所述終端至新的AP�����,直至所述AP為所述白名單中的AP��。
[0010]優(yōu)選地�,所述檢測與終端連接的無線接入點(diǎn)AP的AP參數(shù)的步驟前,所述方法還包括:
[0011]對一定范圍內(nèi)的AP進(jìn)行檢測����,并將經(jīng)過檢測的AP及參數(shù)存儲(chǔ)于數(shù)據(jù)庫的白名單中。
[0012]優(yōu)選地�����,所述重新關(guān)聯(lián)所述終端至新的AP�,直至所述AP為所述白名單中的AP����,包括:
[0013]判斷與終端連接的新的AP的AP參數(shù)是否在所述白名單中����,若不在,則斷開所述終端與所述AP的連接���;
[0014]重復(fù)所述終端與AP的連接與斷開�����,直至與所述終端連接的AP為所述白名單中的AP0
[0015]優(yōu)選地,所述使得終端與所述AP斷開連接的步驟后�����,所述方法還包括:
[0016]判斷終端與AP斷開的次數(shù)是否超過了預(yù)設(shè)值���,若是�,則發(fā)送斷開無線連接的報(bào)警提醒���。
[0017]優(yōu)選地��,所述AP參數(shù)包括服務(wù)集標(biāo)識(shí)SSID����、硬件MAC地址及密碼。
[0018]第二方面��,本發(fā)明提供了一種防護(hù)wifi釣魚的保護(hù)系統(tǒng)���,所述系統(tǒng)包括:
[0019]判定單元�,用于檢測與終端連接的AP的AP參數(shù)����,并根據(jù)所述AP參數(shù)判斷所述AP是否在預(yù)設(shè)的白名單中;
[0020]修改單元�,用于將所述白名單中第一個(gè)AP的AP參數(shù)修改為與終端連接的所述AP的AP參數(shù),使得終端與所述AP斷開連接����;
[0021]檢測單元,用于恢復(fù)所述第一個(gè)AP的AP參數(shù)��,并重新關(guān)聯(lián)所述終端至新的AP��,直至所述AP為所述白名單中的AP���。
[0022]優(yōu)選地���,所述系統(tǒng)還包括:
[0023]白名單預(yù)設(shè)單元��,用于對一定范圍內(nèi)的AP進(jìn)行檢測�,并將經(jīng)過檢測的AP及參數(shù)存儲(chǔ)于數(shù)據(jù)庫的白名單中��。
[0024]優(yōu)選地�,所述檢測單元,具體用于:
[0025]判斷與終端連接的新的AP的AP參數(shù)是否在所述白名單中����,若不在,則斷開所述終端與所述AP的連接�;
[0026]重復(fù)所述終端與AP的連接與斷開,直至與所述終端連接的AP為所述白名單中的AP0
[0027]優(yōu)選地����,所述系統(tǒng)還包括:
[0028]閾值單元�����,用于判斷終端與AP斷開的次數(shù)是否超過了預(yù)設(shè)值��;
[0029]報(bào)警單元,用于發(fā)送斷開無線連接的報(bào)警提醒���。
[0030]優(yōu)選地����,所述AP參數(shù)包括SSID���、MAC地址及密碼��。
[0031]由上述技術(shù)方案可知���,本發(fā)明提供一種防護(hù)wifi釣魚的保護(hù)方法及系統(tǒng),能夠?qū)σ苿?dòng)終端連接無線接入點(diǎn)進(jìn)行實(shí)時(shí)檢測保護(hù)�����,有效避免了利用無線AP竊用重要資料的安全隱患�。
【附圖說明】
[0032]為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹�,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例��,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)的前提下�,還可以根據(jù)這些圖獲得其他的附圖。
[0033]圖1是無線傳輸系統(tǒng)的結(jié)構(gòu)示意圖����;
[0034]圖2是本發(fā)明一實(shí)施例提供的防護(hù)wifi釣魚的保護(hù)方法的流程示意圖;
[0035]圖3是本發(fā)明另一實(shí)施例提供的防護(hù)wifi釣魚的保護(hù)方法的流程示意圖���;
[0036]圖4是本發(fā)明一實(shí)施例提供的防護(hù)wifi釣魚的保護(hù)系統(tǒng)的結(jié)構(gòu)示意圖����。
【具體實(shí)施方式】
[0037]下面將結(jié)合本發(fā)明實(shí)施例中的附圖��,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚�、完整地描述,顯然��,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例����,而不是全部的實(shí)施例?�;诒景l(fā)明中的實(shí)施例��,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例���,都屬于本發(fā)明保護(hù)的范圍�。
[0038]無線傳輸系統(tǒng)也稱為無線橋接器�,其結(jié)構(gòu)如圖1所示,兩條有線網(wǎng)絡(luò)通過扮演無線橋接器角色的基站彼此相連���。從客戶端傳送至服務(wù)器的幀經(jīng)過802.11無線傳輸系統(tǒng)�����,該無線幀的源地址與目的地地址依然對應(yīng)到客戶端與服務(wù)器的地址�����。不過����,這些真可以區(qū)分無線介質(zhì)中幀的發(fā)送與接收端���,對于由客戶端送至服務(wù)器的幀而言����,發(fā)送端就是客戶端的接入點(diǎn),而接收端就是服務(wù)器的接收點(diǎn)�。將來源地與傳送幀分開的好處是當(dāng)服務(wù)器的接入點(diǎn)送出必要的802.11響應(yīng)給對方的接入點(diǎn)時(shí),不會(huì)產(chǎn)生對有線鏈路層的干擾�����。
[0039]而無線接入點(diǎn)的接入過程如下:
[0040]一�、掃描過程:
[0041]在使用任何網(wǎng)絡(luò)之前,首先必須找出網(wǎng)絡(luò)的存在����,在無線傳輸系統(tǒng)中,工作站在加入任何兼容網(wǎng)絡(luò)之前必須經(jīng)過識(shí)別�����,掃描分為被動(dòng)掃描和主動(dòng)掃描�����,得到以下參數(shù):BSSType����、BSSID、SSID����、ScanType、ChannelList��、ProbeDelay> MinChannelTime 與MaxChannelTime 0
[0042]二�����、加入網(wǎng)絡(luò):
[0043]掃描結(jié)果匯總之后�����,工作站即可選擇其中一個(gè)基礎(chǔ)服務(wù)結(jié)合(Basic ServiceSet�,簡稱BSS)加入。加入網(wǎng)絡(luò)相當(dāng)于拿起武器建立在關(guān)聯(lián)的操作之前�����,必須經(jīng)過身份驗(yàn)證以及形成關(guān)聯(lián)之前才可以訪問網(wǎng)絡(luò)�����。通常用來決定加入哪個(gè)網(wǎng)絡(luò)的判斷標(biāo)準(zhǔn)時(shí)功率電平和信號強(qiáng)度等等���,外人無法強(qiáng)行一個(gè)工作站在何時(shí)加入某一個(gè)網(wǎng)絡(luò)����,因?yàn)榇瞬僮魃婕暗秸{(diào)整內(nèi)部參數(shù)以配合所選BSS要求的參數(shù)。此外�����,工作站害的匹配PHY參數(shù)��,此參數(shù)用來保證該BSS的任何傳送操作均會(huì)在正確的信道中進(jìn)行�����。
[0044]802.11要求工作站在傳送幀之前必須進(jìn)行身份驗(yàn)證���,預(yù)加入某個(gè)網(wǎng)絡(luò)的工作站進(jìn)行驗(yàn)證�,但是網(wǎng)絡(luò)端沒有義務(wù)對工作站證明自己的身份�����,這正是漏洞所在���,不少非法用戶利用這點(diǎn)偽造移動(dòng)接入點(diǎn)進(jìn)行竊取用戶資料�。
[0045]三����、關(guān)聯(lián)操作:
[0046]—旦完成身份驗(yàn)證���,工作站就可以跟蹤接入點(diǎn)進(jìn)行關(guān)聯(lián),以便獲得網(wǎng)絡(luò)的完全訪問權(quán)��,此過程目的在于記錄每個(gè)移動(dòng)式工作站的位置�,以便將傳送給移動(dòng)式工作站的幀傳送給正確的接入點(diǎn)�,形成關(guān)聯(lián)之后在該工作站上注冊,以便使得發(fā)送給該移動(dòng)式工作站的幀才會(huì)轉(zhuǎn)送給其所屬的接入點(diǎn)���,其中一種注冊方式是發(fā)送一個(gè)ARP信號��,讓改工作站的MAC地址得以跟與接入點(diǎn)連接的交換端口形成關(guān)聯(lián)�。
[0047]四