[发明专利]防止误接入接入点设备的方法及装置

说明书

技术领域

本发明涉及无线局域网(Wireless LAN，WLAN)安全技术领域，尤其涉及一种防止误接入接入点(Access Point，AP)设备的方法及装置。

背景技术

由于无线通信开放的传输介质，WLAN的安全性能一直是关注的焦点，目前已制定的WLAN安全机制主要包括三方面：服务集标识符(Service SetIdentifier，SSID)机制、物理地址(MAC)过滤控制机制和有线对等保密(WiredEquivalent Privacy，WEP)机制，下面分别介绍。

一、SSID

WLAN中，首先为多个接入点配置不同的SSID，无线终端必须知道SSID以便在网络中发送和接收数据。若某移动终端企图接入WLAN，AP首先检查无线终端的SSID，符合则允许接入WLAN。

SSID机制在WLAN中实际上为客户端和AP端提供了一个共享密钥，SSID由AP对外广播，非常容易被非法入侵者窃取，通过AP入侵WLAN，甚至非法侵入者亦可伪装为AP，达到欺骗无线终端的目的。

二、MAC地址过滤控制

MAC地址过滤控制是采用硬件控制的机制来实现对接入无线终端的识别。由于无线终端的网卡都具备唯一的MAC地址，因此可以通过检查无线终端数据包的源MAC来识别无线终端的合法性。地址过滤控制方式要求预先在AP服务器中写入合法的MAC地址列表，只有当无线终端的MAC地址和合法的MAC地址列表中的地址匹配时，AP才允许无线终端与之通信，实现物理地址的过滤。

但是由于很多无线网卡支持重新配置MAC地址，因此非法侵入者很可能从开放的无线电波中截获数据帧，分析出合法用户的MAC地址，然后伪装成合法用户，非法接入WLAN，使得网络安全遭到破坏。另外，随着无线终端的增减，MAC地址列表需要随时更新，但是AP设备中的合法MAC地址列表目前大都是手工维护，因此这种方式的扩展能力很差，只适合小型无线网络。另外，这种MAC地址过滤控制方式对普通用户要求比较高，需要用户提供MAC地址，如果用户更换了上网设备，需要重新配置，比较繁琐。

三、WEP

WEP是一种基于RC-4算法的40bit或128bit加密技术，无线终端和AP

可以配置4组WEP密钥，加密传输数据时可以轮流使用，允许加密密钥动态改变。由于WEP机制中所有密钥只能是4组中的一个，因此其实质上还是静态WEP加密。同时AP和它所联系的所有无线终端都使用相同的密钥，使用同一AP的用户也使用相同的密钥，因此会带来如下问题：一旦其中一个用户的密钥泄漏，其他用户的密钥也无法保密了。另外，这种WEP方式对普通用户要求比较高，需要用户配置WEP加密，如果用户更换了上网设备，需要重新配置，比较繁琐。

WLAN系统示意图参见图1。其中，用户上网的过程是：用户通过PPP协议(PPP over Ethernet，PPPOE)拨号，AP设备透传用户报文到非对称数字用户线路(Asymmetric Digital Subscriber Line，ADSL)；宽带接入网关(BRAS设备)终结用户认证报文。

目前WLAN接入过程参见图2。包括以下步骤：

步骤201：无线终端搜索AP；

用户搜索AP的扫描方式有两种：

第一种是通过侦听AP定期发送的Beacon帧来发现网络的被动扫描(Passive Scanning)方式；

第二种是在每个信道上发送探测请求(Probe request)报文，从AP设备的探测回复(Probe Response)报文中获取AP的基本信息的主动扫描(ActiveScanning)方式。

Beacon帧中包含该AP所属的BSS的基本信息以及AP的基本能力等级，其中包括SSID。Probe Response包含的信息与Beacon帧类似。

步骤202：网络侧的BRAS设备或AC控制器利用AP设备透传来的用户报文对无线终端进行合法性验证；

步骤203：鉴权成功后，无线终端通过AP设备与网络侧建立通信连接；

步骤204：无线终端通过AP设备与网络侧进行数据传输。