[发明专利]检测非法无线接入点的方法及系统

说明书

技术领域

本发明涉及无线局域网通信技术领域，尤其涉及一种检测非法无线接入点的方法及系统。

背景技术

在公用WIFI网络中，安全问题是一个日益严重的问题，一些非法分子在公用WIFI网络中布置非法AP(AccessPoint，无线接入点)，设置SSID(ServiceSetIdentifier，服务集标识)与公用WIFI合法AP的SSID一致，致使有无线连接需求的STA(终端)被引诱连接到非法AP上，导致严重的网络和信息安全问题。

合法AP通过简单的SSID检测无法准确发现非法AP。如果非法AP的SSID与合法AP的SSID一致，负责检测的合法AP只能通过非法AP的MAC(MediaAccessControl，媒体访问控制)地址来区分这个AP是否为合法AP。但所谓道高一尺，魔高一丈，如果非法AP能够修改MAC地址，把自身的MAC地址修改成一台合法AP的MAC地址，这样的话，合法AP就会将非法AP误认为是一台合法AP。

发明内容

本发明的目的是为解决目前仅通过对比两个无线接入点(AP)的服务集标识(SSID)是否相同来检测AP的合法性，非法AP可通过修改自身的MAC地址伪装成合法AP，导致严重威胁网络和信息安全的技术问题。

为了解决上述技术问题，一方面，本发明提供一种检测非法无线接入点的方法，包括如下步骤：

(1)接入控制服务器通知合法无线接入点对待验证合法性的无线接入点进行合法性检测；

(2)所述合法无线接入点检测收到的来自所述待验证合法性的无线接入点的信标帧和探索响应帧中的服务集标识，若所述服务集标识与所述合法无线接入点的服务集标识不同，则不再继续检测；若所述服务集标识与所述合法无线接入点的服务集标识相同，则继续到下一步；

(3)所述合法无线接入点检测所述信标帧和探索响应帧中是否有供应商特定信息要素，若没有，则所述待验证合法性的无线接入点为非法无线接入点。

进一步地，所述步骤(3)中，若所述信标帧和探索响应帧中有供应商特定信息要素，所述合法无线接入点检测所述供应商特定信息要素中是否有序列号、CPU序列号和验证数，若没有，则所述待验证合法性的无线接入点为非法无线接入点。

进一步地，若所述合法无线接入点检测到所述供应商特定信息要素中有序列号、CPU序列号和验证数，则所述合法无线接入点将所述序列号、CPU序列号、验证数和所述信标帧或探索响应帧的源MAC地址发送至所述接入控制服务器；

所述接入控制服务器收到所述序列号、CPU序列号、验证数和所述MAC地址后，根据验证数生成公式，采用所述序列号、CPU序列号和所述MAC地址计算出第二验证数；

若所述第二验证数＝所述验证数，则所述待验证合法性的无线接入点为合法无线接入点；若所述第二验证数≠所述验证数，则所述待验证合法性的无线接入点为非法无线接入点。

进一步地，所述验证数生成公式为：

验证数＝MAC×f1(x)+SN×f2(x)+CPU_SN×f3(x)；

式中：MAC为待验证合法性的无线接入点发出的信标帧或探索响应帧的源MAC地址；SN为待验证合法性的无线接入点的设备序列号；CPU_SN为待验证合法性的无线接入点的设备中所用CPU的序列号；f1(x)、f2(x)和f3(x)为n次自变量是x的生成函数。

进一步地，所述f1(x)、f2(x)和f3(x)预存于所述接入控制服务器中。

进一步地，所述f1(x)＝1+x²+x⁴+x⁶+x⁷。

另一方面，本发明提供一种检测非法无线接入点的系统，包括设于合法无线接入点中的检测模块，所述检测模块适于在接入控制服务器的控制下检测待验证合法性的无线接入点的合法性；

若所述检测模块检测到的来自所述待验证合法性的无线接入点的信标帧和探索响应帧中的服务集标识与所述合法无线接入点的服务集标识不同，则不再继续检测；若相同，则所述检测模块继续检测所述待验证合法性的无线接入点的信标帧和探索响应帧中是否存在供应商特定信息要素，若不存在，则所述待验证合法性的无线接入点为非法无线接入点。

进一步地，若所述待验证合法性的无线接入点的信标帧和探索响应帧中存在供应商特定信息要素，则所述检测模块继续检测所述供应商特定信息要素中是否存在序列号、CPU序列号和验证数，若不存在，则所述待验证合法性的无线接入点为非法无线接入点。