[0046] 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对照附图说明本发明的具体实施方式。显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图,并获得其他的实施方式。
[0047] 如图1所示为本发明提供的无线局域网中非法AP抑制方法一种实施方式流程示意图,具体,在无线局域网中至少包括一个非法AP和至少一个无线AP(这里说的无线AP与非法AP相对,即为合法AP),还包括与无线AP通信连接的云AC。从图中可以看出,在该抑制方法中包括:S10无线AP接收非法AP发送的信标帧(Beacon帧),得到接收非法AP信标帧的无线AP集合;S20在无线AP集合中任意选择一无线AP向非法AP发送关联请求;S30关联成功后,该无线AP向非法AP发送单播报文/管理报文;S40在无线AP集合中任意选择另一无线AP向非法AP发送关联请求,且该无线AP与步骤S20中选定的无线AP相异;S50若非法AP无法响应关联请求,则成功抑制非法AP,停止抑制操作。
[0048] 要说明的是,在本实施方式中,无线AP中内置一无线客户端模块,无线AP通过该无线客户端模块接入无线信号覆盖范围内其他AP设备,实现与非法AP之间的数据通信(包括向非法AP发送关联请求、向非法AP发送单播报文/管理报文等),但是默认禁用该无线客户端模块,以免对无线发射信号端产生干扰。在实际应用中,将客户端中实现该功能的芯片加入无线AP中,与无线AP中其他硬件模块独立。
[0049] 对上述实施方式进行改进得到本实施方式,在本实施方式中,无线局域网中每个无线AP中缓存有非法AP的BSSID信息;以此,非法AP根据IEEE 802.11协议发送信标帧,广播自身的BSSID和SSID名称。之后,该非法AP附近的无线AP接收到该信标帧,并将其上报至云AC,在云AC中生成接收该非法AP信标帧的无线AP集合(该无线AP集合内都为接收到该非法AP信标帧的无线AP);之后,云AC在该无线AP集合中选择一无线AP,通知该无线AP向非法AP发送关联请求,在成功接入非法AP的BSSID之后,无线AP向非法AP以关联速率发送IEEE 802.11的单播报文/管理报文。接着,云AC在无线AP集合中重新选择另一无线AP,同样通知该无线AP向非法AP发送关联请求,此时,若非法AP无法响应无线AP的关联请求,则表明该非法AP已被成功抑制,同样没有办法响应终端发送的关联请求,从而保护了用户个人信息泄漏,为网络管理员定位和排除非法AP赢得了时间。要说明的是,云AC在无线AP集合中选定无线AP的方式,可以是按照无线AP的排列顺序从上至下依次选择,也可以随机任意选定一个无线AP,根据实际情况进行选定。
[0050] 对上述实施方式进行改进得到本实施方式,在本实施方式中,无线局域网中每个无线AP中缓存有非法AP的BSSID信息和接入密钥(即非法AP采用加密方式);与上一实施方式类似的,非法AP根据IEEE 802.11协议发送信标帧,广播自身的BSSID和SSID名称。之后,该非法AP附近的无线AP接收到该信标帧,并将其上报至云AC,在云AC中生成接收该非法AP信标帧的无线AP集合;之后,云AC在该无线AP集合中选择一无线AP,通知该无线AP向非法AP发送关联请求,通过接入密钥成功接入非法AP的BSSID之后,无线AP向非法AP以关联速率发送IEEE 802.11的单播报文/管理报文。接着,云AC在无线AP集合中重新选择另一无线AP,同样通知该无线AP向非法AP发送关联请求,此时,若非法AP无法响应无线AP的关联请求,则表明该非法AP已被成功抑制,同样没有办法响应终端发送的关联请求。
[0051] 对上述实施方式进行改进得到本实施方式,在本实施方式中,该抑制方法中包括:S01云AC从内部存储的非法AP数据库中选择一非法AP;S02将该非法AP的BSSID信息下发至与该非法AP处于同一无线局域网的各无线AP中进行存储;或,将该非法AP的BSSID信息和接入密钥下发至与该非法AP处于同一无线局域网的各无线AP中进行存储;S10无线AP接收非法AP发送的信标帧(Beacon帧),得到接收非法AP信标帧的无线AP集合;S20在无线AP集合中任意选择一无线AP向非法AP发送关联请求;S30关联成功后,该无线AP向非法AP发送单播报文/管理报文;S40在无线AP集合中任意选择另一无线AP向非法AP发送关联请求,且该无线AP与步骤S20中选定的无线AP相异;S50若非法AP无法响应关联请求,则成功抑制非法AP。
[0052] 在本实施方式中,云AC中存储有非法AP数据库,包括非法AP的BSSID信息或各非法AP的BSSID信息及接入密钥。进入工作状态之后,云AC在该非法AP数据库中选定一非法AP,进入后续步骤S10~S50对其进行抑制。在成功抑制了该非法AP之后,重新在非法AP数据中选定另一非法AP进行抑制操作,以此循环,直到非法AP数据库中所有非法AP得到有效抑制,以减少非法AP附近用户被窃取用户资料的风险。
[0053] 对上述实施方式进行改进得到本实施方式,如图2所示,在本实施方式中,该抑制方法中包括:S10无线AP接收非法AP发送的信标帧(Beacon帧),得到接收非法AP信标帧的无线AP集合;S20在无线AP集合中任意选择一无线AP向非法AP发送关联请求;S30关联成功后,该无线AP向非法AP发送单播报文/管理报文;S40在无线AP集合中任意选择另一无线AP向非法AP发送关联请求,且该无线AP与步骤S20中选定的无线AP相异;S50若非法AP无法响应关联请求,则成功抑制非法AP;S60若非法AP响应关联请求,且步骤S40中选择的无线AP与非法AP关联成功;在无线AP集合中任意选择另一无线AP向非法AP发送关联请求,且该无线AP与步骤S20和步骤S40中选定的无线AP相异,直到非法AP无法响应关联请求。
[0054] 在本实施方式中,在步骤S40中云AC选定了另一无线AP,通知该无线AP向非法AP发送关联请求之后,该非法AP响应了该非法AP的关联请求,且关联成功,则表明该非法AP并没有完全得到抑制,则步骤S40中选定的无线AP同样向该非法AP以关联速率发送IEEE 802.11的单播报文/管理报文。之后,云AC再从无线AP集合中选定一无线AP,向该非法AP发送关联请求,以此循环,直到非法AP无法响应关联请求,即非法AP被成功抑制,停止抑制操作。
[0055] 对上述实施方式进行改进得到本实施方式,如图3所示,在本实施方式中,该抑制方法中包括:S10无线AP接收非法AP发送的信标帧(Beacon帧),得到接收非法AP信标帧的无线AP集合;S20在无线AP集合中任意选择一无线AP向非法AP发送关联请求;S30关联成功后,该无线AP向非法AP发送单播报文/管理报文;S40在无线AP集合中任意选择另一无线AP向非法AP发送关联请求,且该无线AP与步骤S20中选定的无线AP相异;S50若非法AP无法响应关联请求,则成功抑制非法AP;S70若非法AP响应关联请求,且步骤S40中选择的无线AP与非法AP关联成功;在无线AP集合中任意选择另一无线AP向非法AP发送关联请求,且该无线AP与步骤S20和步骤S40中选定的无线AP相异,直到无线AP集合中所有无线AP成功关联非法AP。
[0056] 在本实施方式中,在步骤S40中云AC选定了另一无线AP,通知该无线AP向非法AP发送关联请求之后,该非法AP响应了该非法AP的关联请求,且关联成功,则表明该非法AP并没有完全得到抑制,则步骤S40中选定的无线AP同样向该非法AP以关联速率发送IEEE 802.11的单播报文/管理报文。之后,云AC再从无线AP集合中选定一无线AP,向该非法AP发送关联请求,以此循环,直到无线AP集合中所有无线AP成功关联非法AP,即非法AP附近没有其他无线AP能够关联此非法AP,停止抑制操作。
[0057] 如图4所示为本发明提供的无线AP一种实施方式示意图,具体该无线AP110分别与非法AP和云AC120通信连接,从图中可以看出,在该无线AP110中包括:信息收发模块111、关联请求发送模块112以及报文发送模块113,其中,信息收发模块111与报文发送模块113连接。
[0058] 在工作过程中,非法AP附近的无线AP110通过信息收发模块111接收非法AP发送的信标帧并将其上报至云AC120,以此在云AC120中形成无线AP集合,云AC120在该无线AP110中选定一无线AP110之后,通知该无线AP110中的关联请求发送模块112向非法AP发送关联请求;且在通过信息收发模块111接收到非法AP反馈的关联响应消息之后,报文发送模块113向非法AP发送单播报文/管理报文。
[0059] 对上述实施方式进行改进,得到本实施方式,如图5所示,在本实施方式中,无线AP110中还包括一与信息收发模块111连接的第一存储模块114。具体,该信息收发模块111接收云AC120下发的非法AP的BSSID信息或接收到云AC120下发的非法AP的BSSID信息和接入密钥之后,将其缓存到第一存储模块114中,以此,在后续抑制操作中,无线AP110根据该第一存储模块114中存储的信息实现与非法AP的关联操作。
[0060] 如图6所示为本发明提供的无线局域网中非法AP的抑制系统示意图,从图中可以看出,在该抑制系统100中包括至少一个上述无线AP110(如图示中的无线AP1、…、无线APn),还包括云AC120,云AC120与无线AP110通信连接。
[0061] 具体,在该云AC120中包括:第二存储模块121、信息接收模块122、选择模块123以及信息下发模块124,其中,选择模块123分别与第二存储模块121、信息接收模块122以及信息下发模块124连接。
[0062] 云AC120内部的第二存储模块121中存储有各非法AP的BSSID信息或存储各非法AP的BSSID信息及接入密钥;在对非法AP进行抑制之前,选择模块123在该非法AP数据库中选定一非法AP,并通过信息下发模块124将选择的非法AP的BSSID信息下发至与该非法AP处于同一无线局域网的各无线AP110中或将选择模块123选择的非法AP的BSSID信息和接入密钥下发至与该非法AP处于同一无线局域网的各无线AP110中。在该非法AP得到抑制之后,选择模块在非法AP数据库重新选择一非法AP,执行抑制操作,直到所有非法AP得到抑制。
[0063] 在工作过程中,非法AP附近的无线AP110通过信息收发模块111接收非法AP发送的信标帧并将其上报至云AC120,云AC120中的信息接收模块122接收到各无线AP110的上报信息之后,形成无线AP集合。之后,云AC120中的选择模块123在该无线AP110中选定一无线AP110之后,通知该无线AP110中的关联请求发送模块112向非法AP发送关联请求;且在通过信息收发模块111接收到非法AP反馈的关联响应消息之后,报文发送模块113向非法AP发送单播报文/管理报文。接着,云AC120中的选择模块123在无线AP集合中重新选择另一无线AP110,同样通知该无线AP110向非法AP发送关联请求,此时,若非法AP无法响应无线AP110的关联请求,则表明该非法AP已被成功抑制。
[0064] 基于以上对无线局域网中非法AP抑制方法及其系统、及一种无线AP的描述,以下通过一实例对其进行进一步说明:
[0065] 云AC从非法AP数据库按顺序选取第一个非法AP,并该给非法AP的BSSID信息下发给同一无线局域网络中的所有无线AP。无线局域网内所有无线AP收到云AC下发的非法AP的BSSID信息,保存在本地缓存内。
[0066] 之后,非法AP根据IEEE 802.11协议定期发送信标帧,广播自己的BSSID和SSID名称;以此,非法AP附近的无线AP收到信标帧并上报至云AC,形成n个无线AP集合S={AP1,AP2,..,APn}。
[0067] 云AC从无线AP集合中选择AP1并通知其向非法AP发送关联请求,以此AP1内置的无线客户端模块根据IEEE 802.11协议向非法AP发起关联请求。非法AP响应AP1的关联请求,AP1的无线客户端模块成功接入非法AP的BSSID,关联速率为R1;之后,成功关联非法AP的AP1的无线客户端模块向非法AP以关联速率R1发送IEEE 802.11的单播报文。
[0068] 之后,云AC从无线AP集合中选择AP2并通知其向非法AP发送关联请求,以此AP2内置的无线客户端模块根据IEEE 802.11协议向非法AP发起关联请求。
[0069] 若非法AP无法响应关联请求,此时表明非法AP已经得到了抑制。若非法AP响应AP2的内置无线客户端模块的关联请求,则表明抑制还不够,成功关联上非法AP的AP2中的无线客户端模块向非法AP以关联速率R2发送IEEE802.11的单播报文,之后重复执行上述无线AP的选择、关联以及单播报文的发送操作,直到以下两个条件之一满足时,停止操作:1.非法AP无法响应关联请求;2.无线AP集合中的所有AP全部关联上非法AP。
[0070] 该非法AP抑制成功之后,云AC从非法AP数据库按顺序选取第二个非法AP,重复执行以上操作,直到完成所有非法AP得到抑制。
[0071] 应当说明的是,上述实施例均可根据需要自由组合。以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。