[发明专利]一种校园网环境下无线访问接入点合法性的识别方法

说明书

本发明公布了一种校园网环境下无线访问接入点合法性的识别方法，当移动智能终端连接到校园网后，运行验证客户端；验证客户端通过HTTPS向网关服务器发出验证AP合法性的请求；网关服务器收到该请求后，得到该请求的来源IP地址，并基于该IP地址，和验证客户端配合，验证移动智能终端连接的AP是否合法。利用本发明提供的技术方案，使得移动智能终端在连接到校园网时，可以在不依赖AP物理参数的情况下，便捷地通过验证客户端准确地识别出所连接的AP是否合法，从而避免因连接到非法AP而导致用户数据泄露和信息安全被损害。

技术领域

本发明涉及网络安全连接技术，尤其涉及种校园网环境下的无线访问接入点(Wireless Access Point，简称AP)是否合法的识别方法。

背景技术

在校园网环境下，移动智能终端可通过学校网络管理部门部署的校园网AP(称为合法AP)连接到校园网，进而访问校园网资源。用户进入校园网覆盖的区域后，在移动智能终端上搜索无线局域网，选择校园网的SSID并连接后，移动智能终端即可接入校园网。在移动智能终端连接到校园网的过程中，存在一个安全隐患：如果有不良企图的人将假冒校园网SSID的非法的无线访问接入点(AP)放置到校园中，那么用户有可能在不知情的情况下将自己的移动智能终端连接到该假冒AP上，造成用户数据泄露，甚至导致用户利益受损。

近年来，一些识别假冒AP的方法被提出，比如，专利CN103648094A和CN201710182847记载了基于AP的BSSID或者MAC地址来进行识别的技术。但是，非法AP能够通过仿冒合法AP的BSSID和MAC逃避这类方法的检查。文献(JANA S,KASERA S K.On fast andaccurate detection of unauthorized wireless access points using clock skews[J].IEEETransactions on Mobile Computing,2010,9(3):449–462.；REISING D R,TEMPLE M,JACKSON J.Authorized and rogue device discrimination usingdimensionally reduced RF-DNA fingerprints[J].IEEE Transactions on InformationForensics and Security,2015,10(6):1180–1192.)记载了基于数据包的物理特征来识别非法AP的方法，但是，这种方法实施较为复杂，并不适用于校园网环境。

发明内容

为了克服上述现有技术的不足，本发明提供了一种校园网环境下无线访问接入点(AP)是否合法的识别方法，使得在校园网环境下，不依赖AP的物理参数的情况下，通过验证客户端(验证客户端可运行于智能手机、笔记本电脑、iPad等智能移动终端设备上)识别非法的AP。

本发明提供的技术方案是：

一种校园网环境下无线访问接入点合法性的识别方法，当移动智能终端连接到校园网后，运行验证客户端；验证客户端通过HTTPS向网关服务器发出验证AP合法性的请求；网关服务器收到该请求后，得到该请求的来源IP地址，并基于该IP地址，和验证客户端配合，验证移动智能终端连接的AP是否合法。

针对上述校园网环境下非法无线访问接入点的识别方法，具体地：在网关服务器上，存在校园网的IP地址集合，记为A；当移动智能终端连接到校园网AP后，启动验证客户端，并执行如下操作：

1)验证客户端获取移动智能终端的IP地址(记为ip1)；

2)验证客户端以HTTPS方式访问网关服务器，并通过服务器证书，确保网关服务器的合法性；如果证书合法，则执行下一步；如果证书不合法，则表明要访问的网关服务器有问题，不是可信的服务器，无法执行下一步，验证失败，结束操作；