CN100502300C - 一种无线局域网内检测非法无线接入点的方法 - Google Patents
一种无线局域网内检测非法无线接入点的方法 Download PDFInfo
- Publication number
- CN100502300C CN100502300C CNB2004100534452A CN200410053445A CN100502300C CN 100502300 C CN100502300 C CN 100502300C CN B2004100534452 A CNB2004100534452 A CN B2004100534452A CN 200410053445 A CN200410053445 A CN 200410053445A CN 100502300 C CN100502300 C CN 100502300C
- Authority
- CN
- China
- Prior art keywords
- access point
- police
- access
- wireless
- wlan
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明涉及一种无线局域网内检测非法无线接入点(Wireless AP)的方法,在无线局域网内设置有多个警察AP和多个接入AP,所述警察AP检测覆盖范围内的接入AP,并要求接入AP回应检测请求,根据回应信息判断接入AP的合法身份。对于非法接入的AP,无法回复身份确认信息,警察AP通知网管将其拆除,从而可以保证无线局域网的安全。
Description
技术领域
本发明涉及通讯领域,尤其涉及无线局域网内对非法接入的无线接入点(Wireless Access Point)进行检测并发现的方法。
背景技术
随着计算机技术和网络技术的蓬勃发展,网络在各行各业的应用越来越广。有线网络以其传输速度高,产品的品牌及数量众多和技术发展速度快等优点,在市场上有着较高的知名度和市场份额。然而,随着无线网络在技术上的成熟,产品种类的不断增加和产品成本下降,未来几年,无线网在全世界将有较大的发展。无线局域网应用越来越多,它将扩展有线局域网或在某些情况下取而代之。可以预期,在信息无所不在的未来时代,无线网将依靠其无法比拟的灵活性、可移动性和极强的可扩容性,使人们真正享受到简单、方便、快捷的无线上网。
现有的无线局域网给我们带来接入和使用的方便同时,安全性就是我们需要考虑的重点。在一些布有无线网络的公司周围,非法之徒对空中数据的截获并进行分析,这是现在无线协议非常担心的问题,因此,就会不断的有加密算法和协议的推出。在我们通常使用中,我们的安全设置都是只考虑我们选择的接入点是安全的前提下。如中国发明专利申请第02139361号、第02139508号及第01145395号就揭露了宽带无线IP系统移动终端的安全接入方法,其基于公钥证书机制,当移动终端MT登录至无线接入点AP时必须进行身份认证,若认证成功,则无线接入点AP允许移动终端MT接入,否则拒绝其登录。当成功接入后,双方均在本地由自己的私钥与对方的公钥产生会话密钥,依此对数据报文进行加解密传输。该发明在无线局域网中,依据证书进行身份认证,从而实现移动终端的接入控制与通信保密。不仅完成了移动终端的接入控制,而且实现了WLAN的通信保密功能。
但是,我们不可以排除,如果有一天有一个非法的AP被接入到无线局域网中,这时,如果我们不小心接入了这个AP,那么上述的加密就是徒劳的,数据将没有一点机密和隐私可言。任何商业机密和个人隐私都将被这个非法的AP传送到他的持有者那里。所以有必要提出一种方法,保证接入到无线局域网的AP是合法的,而使非法的AP无法接入到局域网中。
发明内容
本发明的目的在于针对上述现有技术的缺陷,提出一种在无线局域网内对非法接入的无线接入点(Wireless Access Point)进行检测并发现的方法,以保证无线局域网的安全。
本发明无线局域网中包括若干个警察AP和若干个接入AP,每个警察AP覆盖范围内的具有若干个接入AP,无线局域网内检测非法无线接入点的方法,方法包括如下步骤:
1)察AP周期性地搜索并联接接入AP;
2)警察AP向搜索到的接入AP发出身份请求报文;
3)如果是合法接入AP,收到身份请求报文后,向警察回复身份确认报文;
4)警察AP收集每个接入AP发出的身份信息报文;
5)警察AP对有身份信息报文发出的AP,标识为合法接入AP;将接入AP身份信息汇报网管;
6)对在规定时间内不能发出身份确认报文的AP,标识为非法AP;
7)警察AP对标识为非法的接入AP,向网管发出告警,将非法AP的名称,MAC等识别信息告知网管。
管理员根据非法AP的名称,MAC等识别信息可以方便面找到非法接入AP并拆除,从而确保无线网络的安全。
附图说明
图1为本发明硬件设备的网络拓扑图。
图2为接入AP向警察AP身份汇报的流程图。
图3为警察AP身份请求报文格式示意图,其中A表示身份加密编号。
图4为接入AP身份响应报文格式示意图,其中A表示身份加密编号。
具体实施方式
请参阅图1,本发明的无线局域网中包括两种无线接入点(AP),即警察AP1和警察AP1覆盖范围内的若干接入AP2,接入AP2能够按照要求发布自身的身份信息,警察AP1收集这些信息并进行判别,确认局域网内每个接入AP2身份的合法性。警察AP1会周期性的扫描它的覆盖范围,并会与扫描到的接入AP2进行一次协议交互,如果交互成功则是合法接入AP,他将记录数据作为备份,如果交互不成功,则判定可能为非法AP,并向网管发出告警。这样,在一个局域网内,如果接入AP2都支持身份的汇报,并适当的放置几个具有收集汇报信息的警察AP1,当有非法AP接入时,将会被一个或多个警察AP1发现,并同时发出告警。这样很容易定位非法AP的位置范围,以便管理员找到并拆除非法AP。其具体判断流程请参阅图2:
1)警察AP1作为站点模式(Station mode)和接入AP2进行802.11协商,周期性地搜索并联接接入AP2;
2)警察AP1向接入AP2发出身份请求报文,要求接入AP2回复自己的身份信息;
3)如果是合法接入AP2,收到身份请求报文后,回复身份确认报文到警察AP1;
4)警察AP1收集每个接入AP2发出的身份信息报文;
5)警察AP1对有身份信息报文发出的AP2,标识为合法接入AP2;将接入AP2身份信息汇报网管;
6)对在规定时间内不能发出身份确认报文的接入AP,重发两次身份请求报文,如果仍然没有收到回复,标识为非法AP;
7)对标识为非法的接入AP2,向网管发出告警,并告知网管自己的名称和位置(如果有),并且将非法AP的名称,MAC(Media AccessControl,介质访问控制)地址等识别信息告知网管;
8)网管收到告警,显示给管理员,管理员分析数据确定非法接入AP的位置,将非法接入AP排除。
以上的判断可分为两个部分实现,一个是接入AP2,另一种是警察AP1。两种AP同时部署在一个局域网内,所承担的责任各不相同。接入AP2功能是完成原有的接入功能,但能按规定发出合法身份的报文;警察AP1功能是扫描接入AP2,分析接入AP2合法性,发现非法势头入AP并进行上报。
本发明通过警察AP1对其监测的无线网络主动进行扫描,并对可扫描到的接入AP2进行关联和通信。警察AP1通过标准的802.11协议与接入AP2进行关联,以及通过私有的通信协议进行状态获取。在警察AP1内,维护着所有可扫描到的接入AP2的状态数据表。一定周期内警察AP1向网管汇报其检测到的接入AP2的状态信息。
警察AP1放在多个接入AP2重叠覆盖的范围内,这样有效的减少警察AP1的数量。由于每个警察AP1所需管理的接入AP2受到覆盖范围的限制,管理数目不会太多,可以保证扫描周期在几分钟内。此发明解决的是对非法接入网络的设备进行搜索,他可以是一个固定在某地的警察AP1,负责固定区域的设备检测;当然也可以是一个移动手持设备,让用户在不同的位置进行搜索检测。
由于本发明的承载协议仍然是无线的802.11,因此,安全的要求尤为重要。在具体实施中,采用基于802.11i的WPA(Wi-Fi保护访问,Wi-FiProtected Access)认证或WPA-PSK(Wi-Fi保护访问预共享密码,Wi-FiProtected Access Pre-shared Key)的认证。关于这两种认证对设备的具体要求如下:
1)如果在整个无线网中,系统如果支持WPA,并能提供认证服务器,在接入AP2和警察AP1上启用WPA的认证方式;
2)如果在整个无线网中,系统如果支持WPA,但不能提供认证服务器,在接入AP2和警察AP1启用WPA-PSK的认证方式;
3)如果在整个无线网中,系统不支持WPA,接入AP2和警察AP1上启用WEP(有线等效隐私,Wired Equivalent Privacy)加密算法。
在警察AP1与接入AP2身份信息交互中,我们采用了一组私有协议来完成。请参如图3,警察AP1发出的身份请求报文包括如下信息:
1)接入AP MAC地址;
2)警察AP MAC地址;
3)协议类型;
4)报文类型;
5)身份加密编号;
6)加密的AP SSID(服务集标识符)。
请参如图4,接入AP2回复的身份确认报文包括如下信息:
1)警察AP MAC地址;
2)接入AP MAC地址;
3)协议类型;
4)报文类型;
5)身份加密编号;
6)加密的AP SSID。
在上述信息中,身份加密编号是接入AP2和警察AP1事先双方约定的一组身份加密码,可以至少为3组,也可以是更多。要求双方在设定时,编号和加密码一一对应。但是,要求双方交互时不可选用同样编号的加密码。这样无论是接入AP2还是警察AP1在收到此类型报文后,可以进一步认定报文的合法性。
Claims (12)
1.一种无线局域网内检测非法无线接入点的方法,无线局域网中包括若干个警察接入点和若干个接入接入点,每个警察接入点覆盖范围内具有若干个接入接入点,该方法包括如下步骤:
1)警察接入点周期性地搜索并联接接入接入点;
2)警察接入点向搜索到的接入接入点发出身份请求报文;
3)如果是合法接入接入点,收到身份请求报文后,向警察回复身份确认报文;
4)警察接入点收集每个接入接入点发出的身份信息报文;
5)警察接入点对有身份信息报文发出的接入接入点,标识为合法接入接入点;将合法接入接入点身份信息汇报网管;
6)对在规定时间内不能发出身份确认报文的接入接入点,标识为非法接入接入点;
7)警察接入点对标识为非法的接入接入点,向网管发出告警,将非法接入接入点的名称,MAC等识别信息告知网管。
2.如权利要求1所述的无线局域网内检测非法无线接入点的方法,其特征在于:警察接入点为站点模式。
3.如权利要求1所述的无线局域网内检测非法无线接入点的方法,其特征在于:在步骤6)中,警察接入点重发两次身份请求报文,如果仍然没有收到回复,标识为非法接入接入点。
4.如权利要求1所述的无线局域网内检测非法无线接入点的方法,其特征在于:在步骤7中,警察接入点同时告知网管自己的名称和位置。
5.如权利要求1所述的无线局域网内检测非法无线接入点的方法,其特征在于:警察接入点固定在某地,负责固定区域的设备检测。
6.如权利要求1所述的无线局域网内检测非法无线接入点的方法,其特征在于:警察接入点是一个移动手持设备,可在不同的位置进行搜索检测。
7.如权利要求1所述的无线局域网内检测非法无线接入点的方法,其特征在于:如果在整个无线网中,系统如果支持Wi-Fi保护访问,并能提供认证服务器,在接入接入点和警察接入点上启用Wi-Fi保护访问的认证方式。
8.如权利要求1所述的无线局域网内检测非法无线接入点的方法,其特征在于:如果在整个无线网中,系统支持Wi-Fi保护访问,但不能提供认证服务器,在接入接入点和警察接入点启用Wi-Fi保护访问预共享密码的认证方式。
9.如权利要求1所述的无线局域网内检测非法无线接入点的方法,其特征在于:如果在整个无线网中,系统不支持Wi-Fi保护访问,在接入接入点和警察接入点上启用有线等效隐私加密算法。
10.如权利要求1所述的无线局域网内检测非法无线接入点的方法,其特征在于:警察接入点身份请求报文至少包括如下信息:接入接入点MAC地址;警察接入点MAC地址;身份加密编号;加密的接入点服务集标识符。
11.如权利要求1所述的无线局域网内检测非法无线接入点的方法,其特征在于:接入接入点身份确认报文至少包括如下信息:警察接入点MAC地址;接入接入点MAC地址;身份加密编号;加密的接入点服务集标识符。
12.如权利要求10或11所述的无线局域网内检测非法无线接入点的方法,其特征在于:身份加密编号是接入接入点和警察接入点事先双方约定的一组身份加密码,要求双方在设定时,编号和加密码一一对应,双方交互时不可选用同样编号的加密码。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB2004100534452A CN100502300C (zh) | 2004-08-05 | 2004-08-05 | 一种无线局域网内检测非法无线接入点的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB2004100534452A CN100502300C (zh) | 2004-08-05 | 2004-08-05 | 一种无线局域网内检测非法无线接入点的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1588878A CN1588878A (zh) | 2005-03-02 |
CN100502300C true CN100502300C (zh) | 2009-06-17 |
Family
ID=34602860
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB2004100534452A Expired - Fee Related CN100502300C (zh) | 2004-08-05 | 2004-08-05 | 一种无线局域网内检测非法无线接入点的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN100502300C (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110087244A (zh) * | 2019-04-29 | 2019-08-02 | 新华三技术有限公司 | 一种信息获取方法和装置 |
Families Citing this family (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100555950C (zh) * | 2006-04-28 | 2009-10-28 | 鸿富锦精密工业(深圳)有限公司 | 接入点识别系统及方法 |
CN101075899B (zh) * | 2006-05-19 | 2010-05-26 | 鸿富锦精密工业(深圳)有限公司 | 无线装置及其鉴别管理帧的方法 |
JP4229148B2 (ja) * | 2006-07-03 | 2009-02-25 | 沖電気工業株式会社 | 不正アクセスポイント接続阻止方法、アクセスポイント装置及び無線lanシステム |
CN102025526B (zh) * | 2009-09-18 | 2014-06-11 | 华为技术有限公司 | 一种防止上网欺骗的方法、装置和系统 |
CN102014459B (zh) * | 2010-11-25 | 2013-11-06 | 中国联合网络通信集团有限公司 | 无线接入控制方法和装置 |
CN102438238A (zh) * | 2011-12-28 | 2012-05-02 | 武汉虹旭信息技术有限责任公司 | 一种在集中式wlan环境中检测非法ap的方法 |
CN102752756A (zh) * | 2012-06-08 | 2012-10-24 | 深信服网络科技(深圳)有限公司 | 防止通过私接无线ap上网的方法及装置 |
CN103139778B (zh) * | 2013-03-25 | 2017-02-08 | 北京奇虎科技有限公司 | 无线局域网接入系统及方法 |
EP3022975A4 (en) * | 2013-07-19 | 2017-03-22 | Intel Corporation | Identification of rogue access points |
KR101534476B1 (ko) * | 2013-10-29 | 2015-07-07 | 삼성에스디에스 주식회사 | 비인가 액세스 포인트 탐지 방법 및 장치 |
CN104703181A (zh) * | 2013-12-09 | 2015-06-10 | 重庆重邮信科通信技术有限公司 | 一种接入节点认证方法及终端 |
CN104486362A (zh) * | 2014-12-31 | 2015-04-01 | 广东顺德中山大学卡内基梅隆大学国际联合研究院 | 一种WiFi热点描述信息的获取方法及系统 |
CN106028327A (zh) * | 2016-05-19 | 2016-10-12 | 徐美琴 | 一种通过认证服务器实现热点安全的方法 |
CN107294977A (zh) * | 2017-06-28 | 2017-10-24 | 迈普通信技术股份有限公司 | Wi‑Fi安全连接的方法及装置 |
CN107277771A (zh) * | 2017-07-06 | 2017-10-20 | 杭州敦崇科技股份有限公司 | 一种基于无线定位的非法ap检测抑制技术 |
CN108648297A (zh) * | 2018-04-28 | 2018-10-12 | 深圳市元征科技股份有限公司 | 设备检测方法及装置、存储介质、电子设备 |
-
2004
- 2004-08-05 CN CNB2004100534452A patent/CN100502300C/zh not_active Expired - Fee Related
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110087244A (zh) * | 2019-04-29 | 2019-08-02 | 新华三技术有限公司 | 一种信息获取方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
CN1588878A (zh) | 2005-03-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN100502300C (zh) | 一种无线局域网内检测非法无线接入点的方法 | |
JP3702812B2 (ja) | 無線lanシステムにおける認証方法と認証装置 | |
JP4475377B2 (ja) | 無線通信システム、共通鍵管理サーバ、および無線端末装置 | |
CN101112039B (zh) | 用于临时接入无线网络的外部装置的无线网络系统和通信方法 | |
US7565529B2 (en) | Secure authentication and network management system for wireless LAN applications | |
EP2355585B1 (en) | Connecting wireless communications, wireless communications terminal and wireless communications system | |
EP1760945A2 (en) | Wireless LAN security system and method | |
CN103139768B (zh) | 融合无线网络中的认证方法以及认证装置 | |
CN102075934A (zh) | 接入点监控器、监控非法接入点的方法及系统 | |
EP1887730A1 (en) | Apparatus and method for managing stations associated with WPA-PSK wireless network | |
CN100574222C (zh) | 通信设备和通信方法 | |
CN102143492B (zh) | Vpn连接建立方法、移动终端、服务器 | |
KR102323712B1 (ko) | Wips 센서 및 wips 센서를 이용한 불법 무선 단말의 침입 차단 방법 | |
CN107396350A (zh) | 基于sdn‑5g网络架构的sdn组件间安全保护方法 | |
CN101822084A (zh) | 无线基站装置及无线基站装置入网方法 | |
KR101807523B1 (ko) | 무선 통신 시스템에서 무선 망 제공자를 확인하기 위한 장치 및 방법 | |
CN105530612A (zh) | 一种使用智能移动终端接入室外设备WiFi的认证方法及系统 | |
KR101692917B1 (ko) | 홈 IoT 기기 보안 관리 장치 및 방법 | |
CN101877852B (zh) | 用户接入控制方法和系统 | |
CN102215483A (zh) | 依照wps协议进行协商的方法和装置 | |
JP4574122B2 (ja) | 基地局、および、その制御方法 | |
KR20030018219A (ko) | 무선 랜에서의 인증 제공을 위한 로그인 id 인증 방법및 시스템 | |
US8122243B1 (en) | Shielding in wireless networks | |
Meng et al. | Building a wireless capturing tool for WiFi | |
JP6621146B2 (ja) | 通信装置、通信端末、通信システム、通信制御方法および通信制御プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090617 Termination date: 20190805 |
|
CF01 | Termination of patent right due to non-payment of annual fee |