[发明专利]检测非法接入点设备的方法、系统及接入点设备

说明书

技术领域

本发明涉及计算机技术领域，尤指一种无线网络中检测非法接入点设备的方法、系统及接入点设备。

背景技术

随着无线局域网的广泛应用，能够发射和接收无线网络信号的无线网络设备越来越多。使用802.1x协议的无线网络中的无线客户端，会自动选择选择附近信号最好的无线接入点(Access Point，AP)设备进行连接。因此当附近网络中出现未授权的AP设备时，无线客户端也有可能会就近连接，从而很容易导致敏感数据的泄露。为了保障无线网络通信的安全，避免盗窃企图机密信息的攻击者对无线网络使用者的潜在威胁，对无线网络中的接入点AP设备进行授权配置和有效管理，及时准确的检测出非法接入点设备，以避免无授权AP设备为外来攻击者打开方便之门是非常必要的。

现有检测无线局域网中非法接入点设备方式一般都是在无线局域网中设置具有检测功能的接入点设备，网络管理员通过接入控制器(Access Controller，AC)设置一条或多条检测规则，AC将设置的检测规则下发给具有检测功能的接入点设备，由其根据检测规则，对其他接入无线局域网的接入点设备进行过滤检测。从而检测出无线网络中是否存在未授权AP、AP攻击者、流氓AP、客户端攻击者等非法接入点设备。

当检测到非法设备存在时，采取一定的阻断措施来阻断非法接入点设备接入无线网络，防止授权客户端连接它。

例如：判断非法AP设备的过程如图1所示。首先配置静态攻击地址列表、允许的媒体接入控制(Media Access Control，MAC)地址列表、合法的基本服务集标识符(Basic Service Set Identifier，BSSID)列表等，下发给具有检测功能的AP，将接入点设备的IP地址、MAC地址、BBSID等依次与列表中对应项进行比较，如果IP地址是静态攻击地址列表中的地址，则认为是非法接入点设备；如果不是再比较MAC地址，若是允许的MAC地址则认为是合法接入点设备；如果不是允许的MAC地址则继续比较BSSID，如果不是合法的BSSID则认为是非法接入点设备；否则认为是合法的接入点设备。

当然还可以设置检测其他的规则列表，例如：匹配接入点设备的生产厂商是否是合法的厂商列表中对应的厂商等等。

总而言之，现有技术中检测非法接入点设备的方式，都是通过设置规则列表，将接入点设备的注册项信息与规则列表中对应的注册项进行匹配比较，以确定是否是规则列表中允许或拒绝的接入点设备，这种方式，需要手动在AC设备上配置和更新规则列表，操作麻烦且需要较多的人力资源投入。由于必须依赖预先配置的检测规则，由设置的具有检测功能的AP设备来检测无线网络中其他AP设备的合法性且不能实现检测规则的自动更新和配置，因此在检测规则更新不及时则会导致不能及时、准确的检测出非法AP设备，导致检测的准确性比较低。

发明内容

本发明实施例提供一种检测非法接入点设备的方法、系统及接入点设备，用以解决现有技术中存在非法接入点设备检测必须依赖配置的检测规则、需要较多人力资源投入，以及不能自动配置更新检测规则所导致的检测及时性差、准确率低的问题。

一种检测非法接入点设备的方法，包括：

接收接入控制器周期性下发的成功授权的接入点AP设备的授权信息；

按照设定的发送周期向邻居AP设备发送自身的授权信息，请求邻居AP设备交换授权信息；

若在设定接收周期内接收到邻居AP设备发送的授权信息，且所述邻居AP设备发送的授权信息与所述成功授权的AP设备的授权信息中包含的该邻居AP设备的授权信息相匹配，确认该邻居AP设备为合法的接入点设备；

若在接收周期内未接收到邻居AP设备发送的授权信息，或接收到的邻居AP设备发送的授权信息与所述成功授权的AP设备的授权信息中包含的该邻居AP设备的授权信息不匹配，确认该邻居AP设备为非法的接入点设备。

一种检测非法接入点设备的装置，包括：接收模块、发送模块和确认模块；

所述接收模块，用于接收接入控制器周期性下发的成功授权的接入点AP设备的授权信息，以及接收邻居AP设备发送的授权信息；

发送模块，用于按照设定的发送周期向邻居AP设备发送自身的授权信息，请求邻居AP设备交换授权信息；