[0025] 为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例,附图中给出了本发明的较佳实施例。本发明可以以许多不同的形式来实现,并不限于本文所描述的实施例,相反地,提供这些实施例的目的是使对本发明的公开内容的理解更加透彻全面。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0026] 除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本发明。本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别不同对象,而不是用于描述特定顺序。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其他步骤或单元。
[0027] 在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本发明的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
[0028] 实施例一
[0029] 本发明实施例一提供一种检测非法无线接入点(Wireless Access Point,AP)的方法。参阅图1,图示为本发明实施例提供的一种无线网络的网络拓扑示意图。所述无线网络中包括云无线接入控制器(Wireless Access Point Controller,AC)10、若干AP20、和若干无线终端(Station,STA)30。若干AP20由若干合法AP22、AP23、AP24和若干非法AP21组成。云AC10是WLAN的接入控制设备,负责把来自不同AP20的数据进行汇聚并接入有线网络,同时完成AP20的配置管理、无线用户的认证、管理及宽带访问、安全等控制功能。本发明实施例中云AC10具有STA关联动态数据库和配置数据库,其中,STA动态关联数据库用于存储合法AP22、AP23、AP24上报的STA30与所述合法AP22、AP23、AP24建立的关联关系,当STA与所述合法AP22、AP23、AP24解除关联关系后,删除对应的关联关系记录;配置数据库用于存储由云AC10管理的所有合法AP22、AP23、AP24的服务集标识(Service Set Identifier,SSID)。
本发明实施例中,以AP21为非法AP,以AP22为发现者AP为例进行说明。在无线网络中,如果有非法AP21冒充合法AP23,需要及时发现并识别,阻止STA30与非法AP21建立关联关系,或者阻止二者之间进行数据访问。参阅图2,其所示的一种检测非法AP的方法,可以应用于AP20中的任一合法AP22、AP23或者AP24。参阅图4,其所示的一种发现者AP的组成结构,其对应物理实体可以是任一合法的AP22、AP23或者AP24。
[0030] 参阅图2,图示为本发明实施例提供的一种检测非法AP的方法流程图,所述方法包括:
[0031] 步骤S1001:发现者AP22的无线客户端芯片基于IEEE802.11协议扫描附近的AP,收集所述被扫描AP的Beacon帧,获得N个二元组集合,所述每个二元组集合包括一个所述被扫描AP的BSSID标识和SSID标识。
[0032] 在本发明实施例中,需要在现有的AP设备内置一个无线客户端芯片成为发现者AP22,所述无线客户端芯片与发现者AP22的其他硬件模块独立。通过此无线客户端芯片发现者AP22可以接入无线信号覆盖范围内的其他AP。当发现者AP22不启用检测非法AP功能时,默认禁用所述无线客户端芯片,避免对无线发射端信号产生干扰。
[0033] 发现者AP22内置的无线客户端芯片根据IEEE 802.11协议,通过监听并收集附近被扫描AP的Beacon帧,获得若干被扫描AP的BSSID标识及相关的SSID标识。假设获得N个二元组集合S1={BSSID‑1,SSID‑1},…,{BSSID‑n,SSID‑n},其中每个二元组集合包括一个所述被扫描AP的BSSID标识和SSID标识。
[0034] 步骤S1002:发现者AP22上报第一SSID标识集合给云AC,所述第一SSID标识集合包括所述N个被扫描AP的SSID标识。
[0035] 发现者AP22将所收集的SSID标识组成第一SSID标识集合{SSID‑1,…,SSID‑n}上报给云AC10,请求云AC10判断可疑SSID标识。所述第一SSID标识集合包括所述N个被扫描AP的SSID标识。
[0036] 步骤S1003:发现者AP22接收所述云AC10过滤得到的第二SSID标识集合,所述第二SSID标识集合包括N个可疑AP的SSID标识。
[0037] 云AC10将收到的第一SSID标识集合{SSID‑1,…,SSID‑n}与其配置数据库中存储的由云AC10管理的所有合法AP的SSID标识集合{SSID‑1,…,SSID‑m}比较,找到标识相同或相似的第二SSID标识集合S2={SSID‑i,…,SSID‑k},并响应给发现者AP22。通常非法AP使用与合法AP相同或相似的SSID标识蒙蔽用户,使得用户不知不觉中访问了非法AP。因此,通过云AC找出与合法AP的SSID标识相同或相似的SSID标识来圈定可疑的AP,然后,进一步判断可疑AP是否为非法AP。
[0038] 步骤S1004:发现者AP22将所述第二SSID标识集合与所述二元组集合匹配,得到第一BSSID标识集合,所述第一BSSID标识集合包括N个可疑AP的BSSID标识。
[0039] 发现者AP22将所述第二SSID标识集合S2={SSID‑I,…,SSID‑k}与所述二元组集合S1={BSSID‑1,SSID‑1},…,{BSSID‑n,SSID‑n}匹配,得到第一BSSID标识集合S3={BSSID‑i,…,BSSID‑k},所述第一BSSID标识集合S3={BSSID‑I,…,BSSID‑k}包括N个可疑AP的BSSID标识。
[0040] 步骤S1005:发现者AP22的无线客户端芯片基于IEEE802.11协议,向所述第一BSSID标识集合中的一BSSID标识对应的可疑AP发起建立关联关系请求。
[0041] 发现者AP22的无线客户端芯片基于IEEE802.11协议,依次向所述第一BSSID标识集合S3={BSSID‑I,…,BSSID‑k}中的BSSID标识对应的可疑AP发起建立关联关系请求;若建立关联关系失败,则向另一BSSID标识对应的可疑AP发起建立关联关系请求。
[0042] 若BSSID标识对应的可疑AP为开放式,即无加密模式,则发现者AP22可以直接访问对应的AP;否则,发现者AP22需要到AC10获取相应的加密秘钥,才能访问对应的AP。
[0043] 步骤S1006:发现者AP22将自己的MAC地址与所述可疑AP的BSSID标识建立的关联关系上报给所述云AC10,使得所述云AC10根据其建立的STA关联动态数据库判断是否存在相同的关联关系。
[0044] 发现者AP22内置的无线客户端芯片根据IEEE 802.11协议成功接入可疑AP后,将成功接入可疑AP的BSSID标识和自己的MAC地址上报给云AC10,即{MAC,BSSID}二元组,并请求云AC10判定是否存在这一关联关系。
[0045] 云AC10收到发现者AP22上报的{MAC,BSSID}二元组,查询STA关联动态数据库,判断是否存在相同值的二元组,若不存在,则表明当前接入的可疑AP是非法AP;若存在,则表明当前接入的可疑AP是合法AP。所述STA动态关联数据库用于存储合法AP20上报的STA30与所述合法AP20建立的关联关系,当STA与所述合法AP20解除关联关系后,删除对应的关联关系记录。
[0046] 步骤S1007:若存在相同的关联关系,所述发现者AP22接收指示所述可疑AP为合法AP的指令;若不存在相同的关联关系,所述发现者AP22接收指示所述可疑AP为非法AP的指令。
[0047] 若存在相同的关联关系,所述发现者AP22接收云AC下发的指示所述可疑AP为合法AP的指令;若不存在相同的关联关系,所述发现者AP22接收云AC下发的指示所述可疑AP为非法AP的指令。
[0048] 当发现可疑AP为非法AP时,发现者AP通过无线客户端芯片向其进行告警或攻击动作。
[0049] 通过本发明实施例提供的一种检测非法AP的方法,发现者AP通过内置的无线客户户端芯片扫描来自附近AP的Beacon帧,并且关联可疑AP,然后将关联关系与云AC的STA关联动态数据库信息比较,判断可疑AP是否是非法AP。准确识别非法AP,减少了非法AP对无线网络的安全隐患。
[0050] 实施例二
[0051] 本发明实施例二提供一种检测非法AP的系统。参阅图4,图示为本发明实施例所提供的一种检测非法AP的系统组成结构示意图。一种检测非法AP的系统,包括:AC10、发现者AP22、发现者AP22附近的AP21、AP23和AP24。
[0052] 云AC10包括:STA关联动态数据库102和配置数据库104。其中,STA关联动态数据库102,用于存储合法AP上报的STA与合法AP建立的关联关系,当STA与合法AP解除关联关系后,删除对应的关联关系记录。配置数据库,用于存储合法AP的SSID标识。
[0053] 发现者AP22包括:无线客户端芯片222、过滤单元224和检测单元226。
[0054] 无线客户端芯片222,用于基于IEEE802.11协议扫描附近的AP,收集所述被扫描AP的Beacon帧,获得N个二元组集合,所述每个二元组集合包括一个所述被扫描AP的BSSID标识和SSID标识。
[0055] 过滤单元224,用于上报第一SSID标识集合给所述云AC10,所述第一SSID标识集合包括所述N个被扫描AP的SSID标识。云AC10将接收到的所述第一SSID标识集合中的SSID标识与所述配置数据库104中存储的合法AP的SSID标识比较,与所述合法AP的SSID标识相同或相似的SSID标识组成所述第二SSID标识集合,将所述第二SSID标识集合发送给所述发现者AP22的过滤单元224。过滤单元224接收所述云AC10过滤得到的第二SSID标识集合,所述第二SSID标识集合包括N个可疑AP的SSID标识;以及,将所述第二SSID标识集合与所述二元组集合匹配,得到第一BSSID标识集合,所述第一BSSID标识集合包括N个可疑AP的BSSID标识。
[0056] 检测单元226,用于通过无线客户端芯片基于IEEE802.11协议,向所述第一BSSID标识集合中的一BSSID标识对应的可疑AP发起建立关联关系请求;将自己的MAC地址与所述可疑AP的BSSID标识建立的关联关系上报给所述云AC10,使得所述云AC10根据其建立的STA关联动态数据库102判断是否存在相同的关联关系;若存在相同的关联关系,接收所述云AC10下发的指示所述可疑AP为合法AP的指令;若不存在相同的关联关系,接收所述云AC10下发的指示所述可疑AP为非法AP的指令。
[0057] 通过本发明实施例提供的一种检测非法AP的系统,在云AC10上建立STA关联动态数据库,在现有AP中内置无线客服端芯片成为发现者AP,通过发现者AP内置的无线客户户端芯片扫描来自附近AP的Beacon帧,并且关联可疑AP,然后将关联关系与云AC的STA关联动态数据库信息比较,判断可疑AP是否是非法AP。准确识别非法AP,减少了非法AP对无线网络的安全隐患。
[0058] 实施例三
[0059] 本发明实施例三提供一种用于检测非法AP的发现者AP。参阅图4,图示为本发明实施例所提供的一种发现者AP的组成结构示意图。一种发现者AP23,用于检测非法AP,包括:无线客户端芯片232、过滤单元234和检测单元236。
[0060] 无线客户端芯片232,用于基于IEEE802.11协议扫描附近的AP,收集所述被扫描AP的Beacon帧,获得N个二元组集合,所述每个二元组集合包括一个所述被扫描AP的BSSID标识和SSID标识。
[0061] 过滤单元234,用于上报第一SSID标识集合给云AC10,所述第一SSID标识集合包括所述N个被扫描AP的SSID标识。云AC10将接收到的所述第一SSID标识集合中的SSID标识与所述配置数据库104中存储的合法AP的SSID标识比较,与所述合法AP的SSID标识相同或相似的SSID标识组成所述第二SSID标识集合,将所述第二SSID标识集合发送给所述发现者AP23的过滤单元234。接收所述云AC10过滤得到的第二SSID标识集合,所述第二SSID标识集合包括N个可疑AP的SSID标识;以及,将所述第二SSID标识集合与所述二元组集合匹配,得到第一BSSID标识集合,所述第一BSSID标识集合包括N个可疑AP的BSSID标识;以及[0062] 检测单元236,用于通过所述无线客户端芯片232基于IEEE802.11协议,向所述第一BSSID标识集合中的一BSSID标识对应的可疑AP发起建立关联关系请求,若建立关联关系失败,向所述第一BSSID标识集合中的另一BSSID标识对应的可疑AP发起建立关联关系请求;若建立关联关系成功,将自己的MAC地址与所述可疑AP的BSSID标识建立的关联关系上报给所述云AC10,使得所述云AC10根据其建立的STA关联动态数据库102判断是否存在相同的关联关系,所述STA关联动态数据库102用于存储合法AP上报的STA与所述合法AP建立的关联关系,当STA与所述合法AP解除关联关系后,删除对应的关联关系记录。若存在相同的关联关系,接收所述云AC10下发的指示所述可疑AP为合法AP的指令;若不存在相同的关联关系,接收所述云AC10下发的指示所述可疑AP为非法AP的指令。
[0063] 当发现可疑AP为非法AP时,发现者AP23通过无线客户端芯片232向其进行告警或攻击动作。
[0064] 通过本发明实施例提供的一种用于检测非法AP的发现者AP,通过在其内置的无线客户端芯片扫描来自附近AP的Beacon帧,并且关联可疑AP,然后将关联关系与云AC的STA关联动态数据库信息比较,判断可疑AP是否是非法AP。准确识别非法AP,减少了非法AP对无线网络的安全隐患。
[0065] 在本发明所提供的上述实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如,多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。
[0066] 所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
[0067] 以上仅为本发明的实施例,但并不限制本发明的专利范围,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来而言,其依然可以对前述各具体实施方式所记载的技术方案进行修改,或者对其中部分技术特征进行等效替换。凡是利用本发明说明书及附图内容所做的等效结构,直接或间接运用在其他相关的技术领域,均同理在本发明专利保护范围之内。