[发明专利]防接入伪AP和AP劫持的方法和装置

说明书

本申请实施例提供一种防接入伪AP和AP劫持的方法和装置。用于提升AP热点的安全性。所述方法包括：确定无线网络环境中是否存在第二AP；其中，第二AP与第一AP的SSID和mac地址相同，第一AP为终端当前连接的AP；若确定无线网络环境中存在所述第二AP，则断开与第一AP的连接并广播第一消息，第一消息用于通知CPE设备在所述无线网络环境中存在伪AP，所述CPE设备为创建第一AP的设备；获取CPE设备广播的新的AP配置信息；其中，新的AP配置信息是CPE设备建立新的WiFi热点后广播的CPE设备的新的AP配置信息；基于新的AP配置信息与CPE设备重新建立连接。

技术领域

本发明涉及通信安全领域，尤其涉及一种防接入伪AP和AP劫持的方法和装置。

背景技术

目前，主流应用的无线网络分为通过公众移动网络实现的无线网络和无线局域网(WLAN)两种方式。由于无线局域网具有灵活性、移动性、覆盖范围广、易于扩展等优点，已成为目前广泛应用的无线网络技术之一。其中，接入点(Access Points，AP)是无线局域网的核心组成部分，是移动终端接入有线网络的接入点。随着5G网络技术的加持，以及客户前置设备(Customer Premise Equipment，CPE)部署方便、快捷的特性，使得很多公共场所都将传统的WiFi设备替换为基于蜂窝移动网络的CPE设备，为移动用户和WiFi设备等提供便捷的无线网络服务。

然而，在当我们方便的利用WLAN访问外网时，它也给用户带来了巨大的安全隐患。目前，常见的无线网络攻击方式有如下几种：Evil Twin Attack(邪恶双子攻击，也叫双面恶魔攻击或钓鱼AP)、War Driving接入点映射、War Chalking(开战标记)和PacketSniffing(数据包嗅探攻击)，其中，伪AP钓鱼攻击是无线网络中严重的安全威胁之一。

攻击者使用与CPE设备相同的服务集标识(Service Set Identifier，SSID)创建一个伪AP，伪装成合法WiFi，然后模拟CPE设备当前接入的终端设备(例如终端设备A)向CPE设备发送断开连接的请求以使终端设备A和CPE设备断开连接，当终端设备A与CPE设备之间的连接断开后，终端设备A需要重新与CPE设备建立连接，此时由于其与CPE具有相同的SSID，并且具有更强的信号，因此可以轻易欺骗终端设备A与其进行连接。建立连接之后，攻击者可以替换网页(例如是付费界面)，给用户造成经济损失，另外还可以通过连接一定程度上的窃取用户终端设备上的信息(例如是非法获取用户各种登录密码、银行卡信息等敏感信息)。而在安防领域，当终端设备A是监控设备时，将导致监控设备的数据无法实时传输到远程监控平台。

发明内容

本申请实施例提供一种防接入伪AP和AP劫持的方法和装置。用于提升AP热点的安全性。

第一方面，提供一种防止接入伪AP的方法，所述方法包括：

确定无线网络环境中是否存在第二AP；其中，所述第二AP与第一AP的SSID和mac地址相同，所述第一AP为所述终端当前连接的AP；

若确定所述无线网络环境中存在所述第二AP，则断开与所述第一AP的连接并广播第一消息，所述第一消息用于通知CPE设备在所述无线网络环境中存在伪AP，所述CPE设备为创建所述第一AP的设备；

获取所述CPE设备广播的新的AP配置信息；其中，所述新的AP配置信息是所述CPE设备建立新的WiFi热点后广播的所述CPE设备的新的AP配置信息；

基于所述新的AP配置信息与所述CPE设备重新建立连接。

可选的，所述基于所述新的AP配置信息与所述CPE设备重新建立连接，包括：

根据所述新的AP配置信息，确定所述当前无线网络环境中是否存在第三AP；其中，所述第三AP的SSID和mac地址与所述新的AP配置信息中SSID和mac地址相同；