[发明专利]无线局域网防范非法接入点的方法及系统

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种无线局域网防范非法接入点的方法及系统。

背景技术

无线局域网（WLAN，Wireless Local Area Network）技术是基于IEEE制定的802.11标准建立的。该标准中将无线局域网称为基本服务集（BSS，Basic Service Set），组成BSS的设备被称为站点（STA，Station），并定义了两种组网模式：基础设施模式（Infrastructure BSS）BSS和独立模式（Independent）BSS。在Infrastructure BSS中，有一个STA既有连接到无线局域网的接口，也有连接到有线网络的接口，它被称为接入点（AP），其它STA都要连接到AP上，各STA与有线网络之间的通信，以及各STA之间的通信，都要经过AP中转。而IBSS也被称为ad hoc网络，各STA的地位是平等的，没有AP，它们相互连接，并直接通信。实际组网时大多会采用基础设施模式。

由于WLAN的信号是在空中传输，所以相比有线局域网来说，它面临更多的安全威胁。其中一个比较大的威胁是非法AP。不法分子用很低的成本（只需一个无线网卡）就可以搭建起一个AP，将它放到热点区域，例如咖啡厅，并起一个与合法的无线网络名称相识或者相同的名称，例如ChinaNet-、CMCC-开头的，诱使用户连接上它，并提供虚假的登录页面，获取到用户的帐号和密码等。为了更具欺骗性，不法分子可能会采取中间人攻击方式，在他的电脑上安装两个无线网卡，其中一个配置成AP模式，提供虚假的接入服务；另外一个配置成STA模式，连接到合法AP上；两个网卡进行桥接。这样一来，STA连接到非法AP后，还能正常地上网，但是STA收发的报文全部被截获了，攻击者从中可以分析出用户的很多信息。

要防范非法AP，首先要能检测出非法AP的存在。目前普遍采用的检测方法是基于AP的MAC地址：控制器通过静态配置或者动态学习的方法维护一张合法AP的MAC地址列表，并指定若干个合法AP周期性的进行扫描操作；各合法AP将自己的扫描结果，包括各个邻居AP的MAC地址、信道号等信息，上报给控制器；控制器再将扫描结果与合法AP列表进行比较，如果有AP的MAC地址不在列表中的，就判断它是非法AP。

但是由于无线网络环境是开放的，所以非法AP完全可以通过监听信标帧，获取到某个合法AP的MAC地址等信息，然后将自己的MAC地址等参数修改成与之相同，这样上面的检测方法就失效了。所以需要研究新的方法来应对这种情况。

发明内容

鉴于上述的分析，本发明旨在提供一种无线局域网防范非法接入点的方法及系统，用以解决现有技术中不能防范非法AP将其MAC地址修改为合法的AP的MAC地址进行非法接入的问题。

本发明的目的主要是通过以下技术方案实现的：

一种无线局域网防范非法接入点的方法，包括：

AC控制一个或多个监控端向所有AP发送检测报文，并且所述AC预先通过安全通道告知合法AP收到该检测报文后不进行应答；

所述AC通过所述监控端收到的应答确定所有AP中的非法AP，并控制所述监控端向所述非法AP发送攻击报文。

优选地，所述AC确定非法AP后控制所述监控端向所述非法AP发送攻击报文的步骤具体包括：

所述AC确定非法AP后，随机构造多个假的STA地址，并将上述假的STA地址通过所述安全通道传递给所述监控端，如果所述非法AP冒充了合法AP的STA地址，同时将上述假的STA地址通过所述安全通道传递给所述非法AP冒充的合法AP；

所述AC控制所述监控端使用上述假的STA地址伪造成多个假的STA向所述非法AP发送攻击报文；

所述非法AP冒充的合法AP收到上述攻击报文后，忽略该攻击报文。

优选地，所述监控端为所述AC指定的监控STA或监控AP；

当所述监控端为监控AP时，所述监控AP伪装成STA向所有AP发送检测报文，其中，所述监控AP伪装成STA的MAC地址为所述AC随机构造的；

当所述监控端为监控STA时，所述监控STA的MAC地址为所述AC随机构造的。

优选地，所述检测报文的类型包括：探测请求和/或关联请求。

优选地，所述攻击报文的类型包括：认证请求和/或关联请求。

本发明还提供了一种无线局域网防范非法接入点的系统，包括：