[发明专利]防攻击的无线控制系统

说明书

技术领域

本发明涉及无线局域网(WLAN)领域，更具体地说，涉及一种WLAN中基于瘦无线接入点(AP)架构的防攻击无线控制系统。

背景技术

无线接入点(AP，Access Point)也称无线网桥、无线网关。所谓“瘦”AP的传输机制相当于有线网络中的集线器，在无线局域网中不停地接收和传送数据，任何一台装有无线网卡的PC均可通过AP来分享有线局域网络甚至广域网络的资源。理论上，当网络中增加一个无线AP之后，即可成倍地扩展网络覆盖直径，还可使网络中容纳更多的网络设备。每个无线AP基本上都拥有一个以太网接口，用于实现无线与有线的连接。所谓“胖”AP与纯AP不同，除无线接入功能外，一般还具备WAN、LAN两个接口，大多数胖AP还支持DHCP服务器、DNS和MAC地址克隆、VPN接入、防火墙等安全功能。

WLAN的产品架构已经从单一自治的AP(胖AP)演进到由无线控制器(AC)和AP(瘦AP)共同构成的集中控制体系。这种演进的目的是将访问控制将访问控制，包括鉴别、保密通信、移动管理、射频管理等从单一AP上分离，由AC加以集中控制。

CAPWAP协议是Internet工程任务组(IETF，Internet Engineering Task Force)提出的一种WLAN集中控制体系结构框架协议，该协议使AC能够集中控制AP，并且能够对AP的信道/功率/漫游/安全策略等进行统一控制管理。这种架构的特点是成本低，管理简单，网络安全性高。

在现有的采用CAPWAP协议的基于瘦AP架构的WLAN中，AC对capwap发现请求(capwap discovery request)报文进行限速处理，在固定时间内只处理固定个数的capwap发现请求报文，确保不会由于处理大量的capwap发现请求而加大AC性能压力，影响其它业务模块正常运行。

但是这种架构的WLAN无法抵御发现请求DOS攻击。例如，恶意攻击者可向AC发送大量capwap发现请求。AC必须一一处理每条发现请求，从而导致AC无法正常处理来自AP的发现请求，造成AC的性能恶化直至无法工作。

发明内容

本发明的示例性实施例克服了上述的缺点和其他上面没有描述的缺点。同样地，本发明无需克服上述缺点，而且本发明的示例性实施例可以不克服上述的任何问题。

根据本发明的一方面，提供了一种用于瘦AP架构的防攻击无线控制器，包括：协议处理单元，与无线接入点AP按照预定协议进行通信；防攻击单元，通过口令机制来验证AP的注册请求的合法性，更新防攻击表，并将合法的AP的注册请求上送给协议处理单元，其中，所述防攻击表中记录了AP的IP地址、为AP分配的口令以及AP的认证状态。

根据本发明的一方面，还提供了一种用于瘦AP架构的防攻击无线控制系统，包括：DHCP服务器，为AP分配IP地址，在为AP分配IP地址后将AP的信息通知给与AP对应的无线控制器，通知AP向无线控制器发送注册请求；无线控制器，包括：协议处理单元，与无线接入点AP按照预定协议进行通信；防攻击单元，通过口令机制来验证AP的注册请求的合法性，更新用于记录AP合法性状态的防攻击表，并将合法的AP的注册请求上送给协议处理单元，其中，所述防攻击表中记录了AP的IP地址、为AP分配的口令以及AP的认证状态，防攻击单元根据注册请求的口令和认证状态来验证注册请求是否合法；硬件ACL单元，从DHCP服务器获得由DHCP服务器分配了IP地址的AP的信息，并仅允许将该AP所发起的注册请求上送给防攻击单元。

根据本发明的另一方面，还提供了一种防攻击的无线控制系统，包括：DHCP服务器，为无线接入点AP分配IP地址，将在为AP分配IP地址后将AP的信息通知给与AP对应的第一无线控制器，通知AP向所述对应的第一无线控制器发送注册请求；第二无线控制器，用于与通过第一无线控制器验证的AP按照预定协议进行通信；第一无线控制器，包括：防攻击单元，通过口令机制来验证AP的注册请求的合法性，更新用于记录AP合法性状态的防攻击表，并将合法的AP的注册请求上送给第二无线控制器，其中，所述防攻击表中记录了AP的IP地址、为AP分配的口令以及AP的认证状态；硬件ACL单元，从DHCP服务器获得由DHCP服务器分配了IP地址的AP的信息，并仅允许将该AP所发起的注册请求上送给防攻击单元。