CN101079741A - 接入点,接入控制器以及监控非法接入的方法 - Google Patents
接入点,接入控制器以及监控非法接入的方法 Download PDFInfo
- Publication number
- CN101079741A CN101079741A CN 200710118183 CN200710118183A CN101079741A CN 101079741 A CN101079741 A CN 101079741A CN 200710118183 CN200710118183 CN 200710118183 CN 200710118183 A CN200710118183 A CN 200710118183A CN 101079741 A CN101079741 A CN 101079741A
- Authority
- CN
- China
- Prior art keywords
- rogue
- monitoring
- legal
- information
- wlan
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种接入点,接入控制器以及监控非法接入的方法,其中,该监控接入点AP,用于无线局域网中,包括:合法AP标识接收单元,用于保存无线局域网中设定的合法AP标识;检测单元,用于在至少一个信道监听无线局域网中的信标帧,并在监听到的信标帧中未包含所述合法AP标识时,确定该信标帧对应的AP为非法AP。本发明的方法和装置,通过在信标帧中增加合法接入点标识,使监控AP能根据该合法接入点标识有效地判断非法AP,同时在判断出非法AP之后,进一步解除无线工作站与非法AP的联系,有效地保证了网络的安全。
Description
技术领域
本发明涉及无线局域网(WLAN),尤其涉及WLAN中接入点,接入控制器以及监控非法接入的方法。
背景技术
无线局域网(WLAN,Wireless local area network)技术是基于电子电气工程师协会(IEEE,Institute of Electrical and Electronics Engineers)提出的802.11媒体接入控制(MAC,Media Access Control)标准,该标准定义了无线工作站(STA,Wireless Station)与接入点(AP,Access Point)之间的空中接口规范。STA是无线网络的客户端,具体的可以是包含有802.11无线网络接口卡的计算机。而AP类似于无线网络中的基站,它能创建一组基本的服务,将大量的STA从无线网络桥接到其他现有的有线网络。STA与AP之间通过公用的无线信道(Channel)进行通信,通常WLAN中都提供多个信道用于通信。
如图1所示,为现有的一种WLAN结构示意图,STA1通过信道1连接到AP1,STA2通过信道6连接到AP2,AP1和AP2在接入控制设备(AC,AccessController)的控制下通过路由器(Router)连接到核心网中;同时,网络中还可以存在以有线方式连接到网络中的有线计算机。
其中,AP周期性性地广播一种被称作信标帧(Beacon)的信号,该信号包含有客户端如何与该AP连接的必要信息,例如服务集标识(SSID,Service SetIdentifier);收到信标帧的STA,可以向AP发送连接请求,使用上述SSID与该AP建立连接,在得到认证(authentication)和建立关联(association)后即可通过该AP接入网络;当AP需要与STA断开连接时,AP向STA发送解除认证帧(Deauthentication Frame),STA在接收到所述解除认证帧后断开与该AP的连接,进而断开与网络的连接。
但是,由于802.11 MAC协议控制消息不安全,WLAN网通常会存在非法AP。非法AP是一种放置在无线局域网中的未经认证的AP,它通过一个伪造的网络接口与STA建立通信链路,潜在地允许任何无线用户不受到质疑地访问无线局域网网络,破坏了企业安全性,并且由于非法AP可以监听用户并通过欺骗方式获取用户的关键数据等,也破坏了企业合法STA的安全性。
通常SSID被用来区分空间区域中存在的多个不同的无线局域网络,如果非法AP广播的SSID与某个合法AP相同,那么STA将无法区分哪个AP是合法的,此时STA通常选择与信号强度最大的AP连接。因此如果无线网络中没用其他的安全措施,非法AP就可以通过增加信号强度与STA建立关联(association)。如图2所示,该图中包括一个工作在信道6上的非法AP,该非法AP的信号强度大于邻近的合法AP1,如果非法AP的SSID与AP1相同,工作站STA2可能选择非法AP作为网络AP,从而被该非法AP监听。
为解决上述问题,防止合法用户与网络中非法AP相连接,现有技术的基本方案是:在无线局域网中散布一些工作在混杂模式(Promiscuous Mode)下的监控AP(Monitor AP),每个监控AP覆盖一定的区域,对所有的信道进行持续的扫描,用于捕获所有的抵达其自身的数据包,并将所述数据包上报给无线局域网的AC,由于所述AC中配置有该无线局域网中基于MAC地址的合法AP的列表,任何通过扫描被检测到的MAC地址不属于该列表里的AP被认为是非法AP。
但是,现有技术的缺点是:由于检测AP是否合法,主要是基于AP的MAC地址,因此,如果非法AP刻意模仿该无线局域网中合法AP的MAC的身份,即非法AP重新配置其硬件MAC地址,使之与合法AP的MAC地址相同时,就不能检测到这样的非法AP的存在。
发明内容
本发明的目的是提供一种接入点,接入控制器以及监控非法接入的方法,有效地消除非法AP的影响。
为了实现上述目的,本发明提供了一种监控接入点AP,用于无线局域网中,其中,包括:
合法AP标识接收单元,用于保存无线局域网中设定的合法AP标识;
检测单元,用于在至少一个信道监听无线局域网中的信标帧,并在监听到的信标帧中未包含所述合法AP标识时,确定该信标帧对应的AP为非法AP。
上述的监控AP,其中,所述检测单元还用以在无线局域网中各个信道上切换分别进行所述信标帧的监听,并在确定非法AP之后保存该非法AP的地址信息以及工作信道信息。
上述的监控AP,其中,检测单元定时在各个信道上是进行切换。
上述的监控AP,其中,还包括网络信息获取单元以及解除认证单元,其中,
网络信息获取单元,用于从该无线局域网的接入控制器AC获取与合法AP建立连接的无线工作站STA信息;
解除认证单元,用于根据网络信息获取单元获取的信息以及检测单元保存的信息,向与非法AP建立连接的无线工作站STA发出认证解除报文。
上述的监控AP,其中,所述解除认证单元包括单播解除认证子单元,广播解除认证子单元以及信息判断单元,其中,
所述单播解除认证子单元,用于以非法AP的MAC地址为源地址向与非法AP建立连接的STA发出单播解认证报文;
所述广播解除认证子单元,用于以非法AP的MAC地址为源地址发出广播解除认证报文;
所述信息判断单元,用于判断非法AP与监控AP工作信道是否相同,若相同,则控制单播解除认证子单元发出单播解除认证报文,否则控制广播解除认证子单元发出广播解除认证报文。
上述的监控AP,其中,还包括:
非法AP信息上报单元,用于将检测单元的保存的非法AP的地址信息以及非法AP的工作信道信息上报给该无线局域网中的AC;
非法AP信息下载单元,用于从AC下载其他监控AP检测到的非法AP的地址信息以及非法AP的工作信道信息,并将之送往检测单元保存。
为了更好的实现上述目的,本发明还提供了一种接入控制器,用于无线局域网中,其中,包括:
合法AP标识发送单元,用于向合法AP及监控AP发送合法AP标识,用以供所述合法AP在信标帧中增加所述合法AP标识,以及供所述监控AP判断其他AP是否为合法AP。
上述的接入控制器,其中,还包括网络信息收集分发单元,用以将所有与合法AP建立连接的STA信息下发给无线局域网中的监控AP。
上述的接入控制器,其中,该网络信息收集分发单元还用以从无线局域网中各个监控AP收集非法AP的地址信息以及非法AP的工作信道信息,并将该些信息汇总给有需要的监控AP。
为了更好的实现上述目的,本发明还提供了一种AP,用于无线局域网中,其中,包括:
合法AP标识接收单元,用于保存无线局域网中设定的合法AP标识;
信标帧发送单元,用于在信标帧中增加所述合法AP标识后在进行广播,以供设置在无线局域网中的监控AP确定本AP为合法AP。
为了更好的实现上述目的,本发明还提供了一种利用监控AP监控非法AP的方法,用于无线局域网中,其中,包括以下步骤:
a.保存无线局域网中设定的合法AP标识;
b.在至少一个信道监听无线局域网中的信标帧,并在监听到的信标帧中未包含所述合法AP标识时,确定该信标帧对应的AP为非法AP。
上述的利用监控AP监控非法AP的方法,其中,所述步骤b还包括在无线局域网中各个信道上切换分别进行所述信标帧的监听,并在确定非法AP之后保存该非法AP的地址信息以及工作信道信息。
上述的利用监控AP监控非法AP的方法,其中,所述在各个信道上是进行切换是定时进行的。
上述的利用监控AP监控非法AP的方法,其中,还包括:步骤b之后的步骤c,从该无线局域网的接入控制器获取与合法AP建立连接的STA信息,并根据获取的与合法AP建立连接的STA信息以及检测单元保存的信息,向与非法AP建立连接的无线工作站发出认证解除报文。
上述的利用监控AP监控非法AP的方法,其中,所述步骤c解除认证过程具体为:判断非法AP与监控AP工作信道是否相同;若相同,以非法AP的MAC地址为源地址向与非法AP建立连接的STA发出单播解认证报文;若不相同,以非法AP的MAC地址为源地址发出广播解除认证报文。
上述的利用监控AP监控非法AP的方法,其中,还包括步骤b之后还包括步骤d:将保存的非法AP的地址信息以及非法AP的工作信道信息上报给该无线局域网中的AC,并用于从AC下载其他监控AP检测到的非法AP的地址信息以及非法AP的工作信道信息,并将之保存。
为了更好的实现上述目的,本发明还提供了一种实施上述方法的专用监控AP,包括内置与所述方法中各步骤对应功能模块的软件以及运行该软件模块必需的硬件。
本发明的方法和装置,通过在信标帧中增加合法接入点标识,使监控AP能根据该合法接入点标识有效地判断非法AP,同时在判断出非法AP之后,进一步解除无线工作站与非法AP的联系,有效地保证了网络的安全。
附图说明
图1为现有一种无线局域网结构示意图;
图2为无线局域网中非法AP的网络入侵的示意图;
图3为本发明的无线局域网中监控非法AP的方法流程图;
图4为本发明实施例的针对非法AP接入的处理方法的流程示意图;
图5为本发明实施例提供的一种扫描模式示意图。
具体实施方式
以下,结合附图详细描述本发明的设备、计算机软件产品及设备。
如图3所示,本发明的无线局域网中监控非法AP的方法,包括下列步骤:
步骤31,在无线局域网中的合法AP广播的信标帧中增加预先设定的合法AP标识;
步骤32,无线局域网的监控AP监听当前信道,判断监听到的信标帧中是否包含所述合法AP标识,如果是,确定当前未检测到非法AP,返回步骤32,否则进入步骤33;
步骤33,广播未包含所述标识的信标帧的AP为非法AP。
如图4所示,所述步骤31可以包括下列步骤:
步骤311,向无线局域网中合法AP发送预设的合法AP标识,并将该合法AP标识发送至能够扫描到所述合法AP的监控AP;其中,步骤311中向合法AP发送预设的标识可以为周期性地发送方式。出于安全性考虑,这个标识可以是一个有一定长度的随机数,由AC来下发给所有合法的AP。一方面非法AP通常都不是被AC管理的AP,无法通过AC的认证,也就没有办法跟AC建立CAPWP隧道,而且AP和AC之间很多情况下是有线连接的,因此非法AP一般没有机会获得这个随机数。当然如果对安全性要求较低,标识可以用其他的一些简单的私有约定的标识。当然,有时候管理员可以预先配置这些标识,这种安全性较高,但需要管理员额外的工作。
步骤312,合法AP在接收到该标识后,在向STA广播的信标帧中的预设位置添加该合法AP标识,当然,非法AP在向STA广播的信标帧中的预设位置不包括合法AP标识。
其中,步骤32中,监控AP监听当前信道为:监控AP定时或不定时地进行信道切换,以监听所有信道上的信标帧;或者在接收合法AP标识的同时,接收相应的合法AP所工作的信道信息,依照该信道信息,将其当前工作的信道调整至该合法AP工作的信道上,以监听该信道上的信标帧。
这里需要指出的是,在无线局域网中可能存在多个合法AP,因此,步骤311可以为,分别向各个合法AP发送预设的不同标识或相同标识,并将所述标识分别发送至能够扫描到的相应合法AP的监控AP,也就是说监控AP要清楚哪些合法标识是什么。
通过以上描述可以有效地检测出与该无线局域网中合法AP工作在相同信道上的非法AP,但是还需要检测出与合法AP工作在不同信道上的非法AP。
为此,基于如上所述,在步骤32之前还可以进一步包括下列步骤:
步骤30,扫描无线局域网中各设备所工作的信道信息,并针对各设备的扫描结果判断各设备所工作的信道信息与无线局域网中预先设定的合法AP工作的信道信息是否一致,如果一致,则执行步骤32;否则,确定该设备为非法AP,当然这个步骤并非是必须的,只是为了更彻底地检测出非法AP。
其中,所述步骤30中,所述信道信息是指信道编号(例如,信道1、信道2...)。即,通过比较信道编号,判断该无线局域网中是否存在与预设的合法AP所工作的信道编号不一致的AP,如果存在,则该AP为非法AP;否则视为合法AP。
通过以上描述可以有效地检测出与合法AP工作在相同信道上的非法AP,以及与合法AP工作在不同信道上的非法AP。但是可能目前有STA正在被非法AP监听,因此需要进一步将与检测出的非法AP相联系的STA解除认证,以防止STA试图通过非法AP接入到该无线局域网络中,或者被非法AP监听。
解除认证分两种情况进行:
第一种情况,如果非法AP工作的信道与需要进行解除认证的监控AP工作信道相同,请参考图4,在所述步骤32和步骤33确定存在非法AP后:首先,各个监控AP将扫描结果上报给AC,然后AC把扫描下发给共享给所有监控AP,扫描的结果应该包括监控AP在哪个信道扫描到什么样的非法AP,非法AP的MAC地址是什么,如表1所示:
表1
| 监控AP ID | 扫描结果 | |
| 非法AP的MAC地址 | 非法AP所在信道 | |
| 1 | A,C | x,z |
| 2 | B | y |
| 3 | C | z |
当然,如果每个监控AP的扫描结果都很精准,并且也不需要AC来协调监控AP解除认证的工作,那么共享这个步骤并不是必须的。举例来说,如果需要监控AP2参与对MAC地址为B的非法AP的解除认证工作,那么本来监控AP2是不知道该非法AP的存在的(可能尚未扫描到),因此需要AC把这个信息通知给它。这样做只是为了保证解除认证更加全面和可靠。
其次,监控AP还需要从AC获取与合法AP建立连接的STA的MAC地址列表,如表2所示:
表2
| 合法AP ID | 与该合法AP建立连接的STA |
| 1 | A,B,C |
| 2 | D,E,F |
| 3 | G,H,I |
根据表1监控AP就可以知道非法AP的工作信道,接下监控AP根据非法AP的MAC地址侦听这个信道上非法AP向某个STA发出的报文,获取这个报文的目的地址---也就是STA的MAC地址。
获得STA的MAC地址后,与表2中记录的MAC地址进行对比,如果这个MAC在表2中不存在,则说明这个STA已经和非法AP建立了连接。
最后,监控AP以非法AP的MAC地址为源地址,以上述STA的MAC为目的地址构造一个单播解除认证报文向STA发送以解除STA与非法AP的连接。
第二种情况,非法AP与监控AP工作在不同的信道:
对于这种情况监控AP直接构造源地址为非法AP的MAC地址的解除认证广播报文向外广播,这样收到该广播报文的STA就会与该非法AP解除连接关系。然而,这种情况下显然仍然可以使用单播解除认证的方式,只不过相对比较复杂,广播是更优的选择。
如上所述的第一种情况采用单播解除认证主要是考虑万一非法AP的MAC与合法的AP(显然监控AP也是合法的)的MAC是一样的,加上如果工作信道相同,如果直接广播可能会导致与合法AP相连的STA也下线。当然如果MAC地址不同,则解决起来就很简单了。而第二种情况下,由于工作信道不同,所以无此顾虑。
在较佳的实施方式中,本发明推荐采用混杂模式部署监控AP,最好是能够做到让监控AP覆盖整个网络,这个覆盖并不要求提供很高的信号覆盖,而是说能够侦听到整个网络的行为,或者说能够覆盖到所有STA一般的活动区域。从表1我们可以看出,监控AP1和监控AP3都监听到了MAC地址为C的非法AP,这样后续的解除认证工作AP1和AP3都可以参与,这样解除认证的成功率将会得到提高,所以一般情况下监控AP越多,覆盖范围越广实施效果越好。
以上详细描述了本发明的无线局域网中监控非法AP的方法,下面详细描述本发明的无线局域网中的接入控制设备AC,监控AP以及一般的合法AP。
1.接入控制设备AC,包括一些对AP认证的单元以及隧道构建的单元,管理控制单元以及转发单元,这些常见的单元作为成熟的现有技术在此不再赘述,基于本发明方法的接入控制设备AC包括:
合法AP标识发送单元,用于向合法AP及监控AP发送预先设定的合法AP标识;一方面供合法AP广播信标帧时加入该标识,另一方面供监控AP在监听到信标帧中包含/未包含相应标识时,确定检测到的AP是合法/非法AP。
如前所述,在无线局域网中可能存在多个合法AP,因此,合法AP标识发送单元可以分别向各个合法AP发送预设的不同标识或相同标识,并将所述标识分别发送至能够扫描到的相应合法AP的监控AP。
其中,合法AP标识发送单元在向合法AP发送的标识为周期性的,所述标识可以为信标帧中预先设定位置的随机数字。此处可以参考方法实施方式部分的阐述。
基于如上方法实施方式的描述,AC还可包括网络信息收集分发单元,用以将所有与合法AP建立连接STA信息下发给无线局域网中的监控AP,同时还可用以从无线局域网中各个监控AP收集非法AP的地址信息以及非法AP的工作信道信息,并将该些信息汇总给有需要的监控AP。这个单元主要用来向监控AP下发表1和表2的信息,正如前面所说的那样表1的内容可能不是必须的,因此本领域技术人员可以清楚地根据方法实施方式的描述确定信息下发单元的软件设计与实际需要对应的,因此并没有额外将之细化为多个逻辑子单元。
2.监控AP,常规设计部分不再赘述,基于本发明处理方法的监控AP包括:
合法AP标识接收单元,用于接收并保存预先设定的合法AP标识;
检测单元,用于监听无线局域网中的信标帧,并在监听到的信标帧中未包含所述合法AP标识时,确定该信标帧对应的AP为非法AP。检测单元还用以在无线局域网中各个信道上切换分别进行所述信标帧的监听,并在监听到非法AP之后保存该非法AP的地址信息以及工作信道信息。这些信息可以是管理员进行网络管理的依据,同时也可以作为后续进一步解除认证处理的依据。
通过以上描述,本发明的监控AP可以有效地检测出与该无线局域网中的合法AP工作在相同信道上的非法AP,但是还需要检测出与合法AP工作在不同信道上的非法AP,因此检测单元更加复杂的设计是定时/不定时切换信道进行上述监听行为(也就是前面所说的信道扫描),这个扫描需要至少获得非法AP的MAC地址并确定该非法AP的工作信道。重要的是不管非法AP的MAC地址是什么都会被检测到。
监控AP还包括网络信息获取单元以及解除认证单元,其中网络信息获取单元用于从该无线局域网的接入控制器(AC)获取与合法AP建立连接的STA信息,解除认证单元,根据网络信息获取单元获取的与合法AP建立连接的STA信息以及检测单元保存的信息,向与非法AP建立连接的无线工作站(STA)发出认证解除报文。更具体来说,所述解除认证单元在逻辑设计上可以包括单播解除认证子单元,广播解除认证子单元以及信息判断单元,其中单播解除认证子单元用于以非法AP的MAC地址为源地址向与非法AP建立连接的STA发出单播解认证报文;所述广播解除认证子单元用于以非法AP的MAC地址为源地址发出广播解除认证报文;信息判断单元用于判断非法AP与监控AP工作信道是否相同,若相同控制单播解除认证子单元发出单播解除认证报文,若不相同控制广播解除认证子单元发出广播解除认证报文。
如果信息判断单元发现非法AP工作的信道与需要进行解除认证的监控AP工作信道相同,则控制单播解除认证子单元执行方法实施方式中解除认证的第一种情况的处理过程;反之则执行第二种情况的处理过程,此处不再重复描述。这种解除认证的机制可以确保合法用户尽可能不受到非法AP的欺骗,同时在解除认证的机制上充分考虑的是否会对合法AP下用户正常业务产生影响,更具体的受益可相应参考方法实施方式的描述。
另外对于监控AP,还可以包括非法AP信息上报单元以及下载单元,用于将检测单元的保存的非法AP的地址信息以及非法AP的工作信道信息上报给该无线局域网中的AC,而非法AP信息下载单元,用于从AC下载其他监控AP检测到的非法AP的地址信息以及非法AP的工作信道信息,并将之送往检测单元保存。正如方法部分所说的那样,监控AP处理需要对自己检测到的非法AP进行解除认证,还可能需要把这些非法AP的信息上报给AC,让AC协调尽可能多的监控AP来进行解除认证工作,从而保证更加全面和可靠的监控效果。
3.对于没有充当监控AP的合法AP,在基于本发明方法的基础上,至少包括:
合法AP标识接收单元,用于接收并保存预先设定的合法AP标识;
信标帧发送单元,用于在信标帧中增加所述合法AP标识后广播。
4.其实在实际应用中有很多监控AP与没有充当监控AP的合法AP通常都是集成设计的,也就是说监控AP同时也是承载无线局域网业务的合法AP,也需要通过在信标帧中增加标识声明自己的合法性,特别是当多个监控AP覆盖区域有重叠的时候。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必须的通用硬件平台的方式来实现,也就是说在设计逻辑上,AC和AP等网络设备作为一个执行上述方法的专用设备,通过在一个通用的硬件平台运行与方法对应的软件来实现本发明的方法。(当然并不排除纯硬件的方式)。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品包括若干指令用以使得一台广义的计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明实施例所述方法。在软件设计上,各个功能模块的设计可与上述方法实施方式各个步骤对应。
以上,是为了使本领域普通技术人员理解本发明,而对本发明所进行的详细描述,但可以想到,在不脱离本发明的权利要求所涵盖的范围内还可以做出其它的变化和修改,这些变化和修改均在本发明的保护范围内。
Claims (17)
1.一种监控接入点AP,用于无线局域网中,其特征在于,包括:
合法AP标识接收单元,用于保存无线局域网中设定的合法AP标识;
检测单元,用于在至少一个信道监听无线局域网中的信标帧,并在监听到的信标帧中未包含所述合法AP标识时,确定该信标帧对应的AP为非法AP。
2.如权利要求1所述的监控AP,其特征在于,所述检测单元还用以在无线局域网中各个信道上切换分别进行所述信标帧的监听,并在确定非法AP之后保存该非法AP的地址信息以及工作信道信息。
3.如权利要求2所述的监控AP,其特征在于,检测单元定时在各个信道上是进行切换。
4.如权利要求2所述的监控AP,其特征在于,还包括网络信息获取单元以及解除认证单元,其中
网络信息获取单元,用于从该无线局域网的接入控制器AC获取与合法AP建立连接的无线工作站STA信息;
解除认证单元,用于根据网络信息获取单元获取的信息以及检测单元保存的信息,向与非法AP建立连接的无线工作站发出认证解除报文。
5.如权利要求4所述的监控AP,其特征在于,所述解除认证单元包括单播解除认证子单元,广播解除认证子单元以及信息判断子单元,其中,
所述单播解除认证子单元,用于以非法AP的MAC地址为源地址向与非法AP建立连接的STA发出单播解认证报文;
所述广播解除认证子单元,用于以非法AP的MAC地址为源地址发出广播解除认证报文;
信息判断子单元,用于判断非法AP与监控AP工作信道是否相同,若相同,则控制单播解除认证子单元发出单播解除认证报文,若不相同,则控制广播解除认证子单元发出广播解除认证报文。
6.如权利要求1所述的监控AP,其特征在于,还包括:
非法AP信息上报单元,用于将检测单元的保存的非法AP的地址信息以及非法AP的工作信道信息上报给该无线局域网中的AC;
非法AP信息下载单元,用于从AC下载其他监控AP检测到的非法AP的地址信息以及非法AP的工作信道信息,并将之送往检测单元保存。
7.一种接入控制器,用于无线局域网中,其特征在于,包括:
合法AP标识发送单元,用于向合法AP及监控AP发送合法AP标识,用以供所述合法AP在信标帧中增加所述合法AP标识,以及供所述监控AP判断其他AP是否为合法AP。
8.如权利要求7所述的接入控制器,其特征在于,还包括网络信息收集分发单元,用以将所有与合法AP建立连接的STA信息下发给无线局域网中的监控AP。
9.如权利要求8所述的接入控制器,其特征在于,该网络信息收集分发单元还用以从无线局域网中各个监控AP收集非法AP的地址信息以及非法AP的工作信道信息,并将该些信息汇总给有需要的监控AP。
10.一种AP,用于无线局域网中,其特征在于,包括:
合法AP标识接收单元,用于保存无线局域网中设定的合法AP标识;
信标帧发送单元,用于在信标帧中增加所述合法AP标识后在进行广播,以供设置在无线局域网中的监控AP确定本AP为合法AP。
11.一种利用监控AP监控非法AP的方法,用于无线局域网中,其特征在于,包括以下步骤:
a.保存无线局域网中设定的合法AP标识;
b.在至少一个信道监听无线局域网中的信标帧,并在监听到的信标帧中未包含所述合法AP标识时,确定该信标帧对应的AP为非法AP。
12.如权利要求11所述的利用监控AP监控非法AP的方法,其特征在于,所述步骤b还包括在无线局域网中各个信道上切换分别进行所述信标帧的监听,并在确定非法AP之后保存该非法AP的地址信息以及工作信道信息。
13.如权利要求12所述的利用监控AP监控非法AP的方法,其特征在于,所述在各个信道上是进行切换是定时进行的。
14.如权利要求12所述的所述的利用监控AP监控非法AP的方法,其特征在于,还包括:步骤b之后的步骤c,从该无线局域网的接入控制器获取与合法AP建立连接的STA信息,并根据获取的与合法AP建立连接的STA信息以及检测单元保存的信息,向与非法AP建立连接的无线工作站发出认证解除报文。
15.如权利要求14所述的利用监控AP监控非法AP的方法,其特征在于,所述步骤c解除认证过程具体为:判断非法AP与监控AP工作信道是否相同;若相同,以非法AP的MAC地址为源地址向与非法AP建立连接的STA发出单播解认证报文;若不相同,以非法AP的MAC地址为源地址发出广播解除认证报文。
16.如权利要求15所述的利用监控AP监控非法AP的方法,其特征在于,步骤b之后还包括步骤d:将保存的非法AP的地址信息以及非法AP的工作信道信息上报给该无线局域网中的AC,并用于从AC下载其他监控AP检测到的非法AP的地址信息以及非法AP的工作信道信息,并将之保存。
17.一种实施权利要求11-16的专用监控AP,包括内置与权利要求11-16所述方法中各步骤对应功能模块的软件以及运行该软件模块必需的硬件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200710118183 CN101079741A (zh) | 2007-06-29 | 2007-06-29 | 接入点,接入控制器以及监控非法接入的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200710118183 CN101079741A (zh) | 2007-06-29 | 2007-06-29 | 接入点,接入控制器以及监控非法接入的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101079741A true CN101079741A (zh) | 2007-11-28 |
Family
ID=38906986
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200710118183 Pending CN101079741A (zh) | 2007-06-29 | 2007-06-29 | 接入点,接入控制器以及监控非法接入的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101079741A (zh) |
Cited By (33)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101820628A (zh) * | 2010-03-10 | 2010-09-01 | 北京傲天动联技术有限公司 | 无线接入点的认证方法 |
| CN101835145A (zh) * | 2010-03-30 | 2010-09-15 | 北京傲天动联技术有限公司 | 基于瘦ap的用户信息管理方法 |
| CN102075939A (zh) * | 2010-12-31 | 2011-05-25 | 华为技术有限公司 | 防止业务盗用的方法、设备和系统 |
| CN102404826A (zh) * | 2011-12-13 | 2012-04-04 | 杭州华三通信技术有限公司 | 一种信道扫描方法和设备 |
| CN103327484A (zh) * | 2013-06-27 | 2013-09-25 | 深圳市共进电子股份有限公司 | 一种无线局域网中清除非法ap的方法 |
| CN103391546A (zh) * | 2013-07-12 | 2013-11-13 | 杭州华三通信技术有限公司 | 一种无线攻击检测及防御装置及其方法 |
| CN103401691A (zh) * | 2013-07-18 | 2013-11-20 | 山东省计算中心 | 一种便携式WiFi设备入侵防范方法 |
| CN103561405A (zh) * | 2013-10-23 | 2014-02-05 | 杭州华三通信技术有限公司 | 一种对恶意无线接入点进行反制的方法及装置 |
| CN103634270A (zh) * | 2012-08-21 | 2014-03-12 | 中国电信股份有限公司 | 识别接入点合法性的方法、系统与接入点鉴别服务器 |
| CN104113842A (zh) * | 2014-07-31 | 2014-10-22 | 北京金山安全软件有限公司 | 识别伪无线网络接入点的方法、装置、服务器及移动终端 |
| CN104378761A (zh) * | 2014-12-05 | 2015-02-25 | 迈普通信技术股份有限公司 | 一种非法接入设备检测方法、设备及系统 |
| CN104580141A (zh) * | 2013-10-29 | 2015-04-29 | 三星Sds株式会社 | 未获授权访问点检测方法及装置 |
| WO2016061965A1 (zh) * | 2014-10-22 | 2016-04-28 | 中兴通讯股份有限公司 | wifi处理方法、系统及终端 |
| CN105610588A (zh) * | 2015-12-18 | 2016-05-25 | 福建星网锐捷网络有限公司 | 一种哑设备的控制方法及装置 |
| CN105635185A (zh) * | 2016-03-25 | 2016-06-01 | 珠海网博信息科技股份有限公司 | 一种wifi环境下防止监听的方法和装置 |
| CN105657713A (zh) * | 2016-03-25 | 2016-06-08 | 珠海网博信息科技股份有限公司 | 一种伪ap检测阻断方法、无线装置及路由器 |
| CN106572464A (zh) * | 2016-11-16 | 2017-04-19 | 上海斐讯数据通信技术有限公司 | 无线局域网中非法ap监测方法及其抑制方法、监测ap |
| CN106792715A (zh) * | 2017-04-14 | 2017-05-31 | 杭州亚古科技有限公司 | 非法无线ap检测方法及装置 |
| CN106851776A (zh) * | 2012-01-21 | 2017-06-13 | 华为终端有限公司 | 一种设备接入网络的方法、接入点、入网设备及系统 |
| CN106851646A (zh) * | 2016-12-31 | 2017-06-13 | 北京红山瑞达科技有限公司 | 一种wifi接入安全检测方法及装置、wifi接入系统 |
| CN106961683A (zh) * | 2017-03-21 | 2017-07-18 | 上海斐讯数据通信技术有限公司 | 一种检测非法ap的方法、系统及发现者ap |
| CN106973401A (zh) * | 2017-03-30 | 2017-07-21 | 深圳市磊科实业有限公司 | 一种针对于无线组网环境中非法ap的检测抑制方法 |
| CN106982434A (zh) * | 2017-03-03 | 2017-07-25 | 上海斐讯数据通信技术有限公司 | 一种无线局域网安全接入方法及装置 |
| CN107548065A (zh) * | 2017-07-24 | 2018-01-05 | 新华三技术有限公司 | 一种检测设备的确定方法、装置、接入控制器及存储介质 |
| CN108235322A (zh) * | 2017-12-28 | 2018-06-29 | 新华三技术有限公司 | 一种无线设备的反制方法及装置 |
| CN108901025A (zh) * | 2018-07-10 | 2018-11-27 | 迈普通信技术股份有限公司 | 一种非法接入点反制方法及反制设备 |
| CN109743733A (zh) * | 2018-12-25 | 2019-05-10 | 上海连尚网络科技有限公司 | 一种无线信号控制方法及设备 |
| CN110115057A (zh) * | 2016-11-15 | 2019-08-09 | 水雾系统股份有限公司 | 用于捕获和/或使用分组来促进故障检测的方法和装置 |
| CN110324861A (zh) * | 2018-03-28 | 2019-10-11 | 华为技术有限公司 | 负载均衡方法、ap设备及终端设备 |
| CN111314917A (zh) * | 2020-02-22 | 2020-06-19 | 深圳市天和通信有限公司 | 一种控制无线终端接入的方法及无线接入点 |
| CN111698766A (zh) * | 2020-06-18 | 2020-09-22 | 深圳市乙辰科技股份有限公司 | 智能组网方法、装置和可读存储介质 |
| CN113473471A (zh) * | 2021-06-21 | 2021-10-01 | 杭州网银互联科技股份有限公司 | 一种阻断无线移动终端接入非法ap的方法 |
| CN114598543A (zh) * | 2019-01-16 | 2022-06-07 | 创新先进技术有限公司 | 网络环境监控方法、系统、装置及电子设备 |
-
2007
- 2007-06-29 CN CN 200710118183 patent/CN101079741A/zh active Pending
Cited By (50)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101820628B (zh) * | 2010-03-10 | 2014-01-29 | 北京傲天动联技术股份有限公司 | 无线接入点的认证方法 |
| CN101820628A (zh) * | 2010-03-10 | 2010-09-01 | 北京傲天动联技术有限公司 | 无线接入点的认证方法 |
| CN101835145A (zh) * | 2010-03-30 | 2010-09-15 | 北京傲天动联技术有限公司 | 基于瘦ap的用户信息管理方法 |
| CN101835145B (zh) * | 2010-03-30 | 2012-11-21 | 北京傲天动联技术有限公司 | 基于瘦ap的用户信息管理方法 |
| CN102075939A (zh) * | 2010-12-31 | 2011-05-25 | 华为技术有限公司 | 防止业务盗用的方法、设备和系统 |
| CN102075939B (zh) * | 2010-12-31 | 2013-04-17 | 华为技术有限公司 | 防止业务盗用的方法、设备和系统 |
| CN102404826B (zh) * | 2011-12-13 | 2014-06-25 | 杭州华三通信技术有限公司 | 一种信道扫描方法和设备 |
| CN102404826A (zh) * | 2011-12-13 | 2012-04-04 | 杭州华三通信技术有限公司 | 一种信道扫描方法和设备 |
| CN106851776A (zh) * | 2012-01-21 | 2017-06-13 | 华为终端有限公司 | 一种设备接入网络的方法、接入点、入网设备及系统 |
| CN106851776B (zh) * | 2012-01-21 | 2020-11-17 | 华为终端有限公司 | 一种设备接入网络的方法、接入点、入网设备及系统 |
| CN103634270A (zh) * | 2012-08-21 | 2014-03-12 | 中国电信股份有限公司 | 识别接入点合法性的方法、系统与接入点鉴别服务器 |
| CN103634270B (zh) * | 2012-08-21 | 2017-06-16 | 中国电信股份有限公司 | 识别接入点合法性的方法、系统与接入点鉴别服务器 |
| CN103327484A (zh) * | 2013-06-27 | 2013-09-25 | 深圳市共进电子股份有限公司 | 一种无线局域网中清除非法ap的方法 |
| CN103391546A (zh) * | 2013-07-12 | 2013-11-13 | 杭州华三通信技术有限公司 | 一种无线攻击检测及防御装置及其方法 |
| CN103391546B (zh) * | 2013-07-12 | 2017-03-15 | 杭州华三通信技术有限公司 | 一种无线攻击检测及防御装置及其方法 |
| CN103401691A (zh) * | 2013-07-18 | 2013-11-20 | 山东省计算中心 | 一种便携式WiFi设备入侵防范方法 |
| CN103401691B (zh) * | 2013-07-18 | 2016-06-08 | 山东省计算中心 | 一种便携式WiFi设备入侵防范方法 |
| CN103561405A (zh) * | 2013-10-23 | 2014-02-05 | 杭州华三通信技术有限公司 | 一种对恶意无线接入点进行反制的方法及装置 |
| CN104580141A (zh) * | 2013-10-29 | 2015-04-29 | 三星Sds株式会社 | 未获授权访问点检测方法及装置 |
| CN104113842B (zh) * | 2014-07-31 | 2017-10-24 | 北京金山安全软件有限公司 | 识别伪无线网络接入点的方法、装置、服务器及移动终端 |
| CN104113842A (zh) * | 2014-07-31 | 2014-10-22 | 北京金山安全软件有限公司 | 识别伪无线网络接入点的方法、装置、服务器及移动终端 |
| CN105592448A (zh) * | 2014-10-22 | 2016-05-18 | 中兴通讯股份有限公司 | wifi处理方法、系统及终端 |
| WO2016061965A1 (zh) * | 2014-10-22 | 2016-04-28 | 中兴通讯股份有限公司 | wifi处理方法、系统及终端 |
| CN104378761A (zh) * | 2014-12-05 | 2015-02-25 | 迈普通信技术股份有限公司 | 一种非法接入设备检测方法、设备及系统 |
| CN105610588A (zh) * | 2015-12-18 | 2016-05-25 | 福建星网锐捷网络有限公司 | 一种哑设备的控制方法及装置 |
| CN105657713A (zh) * | 2016-03-25 | 2016-06-08 | 珠海网博信息科技股份有限公司 | 一种伪ap检测阻断方法、无线装置及路由器 |
| CN105635185A (zh) * | 2016-03-25 | 2016-06-01 | 珠海网博信息科技股份有限公司 | 一种wifi环境下防止监听的方法和装置 |
| US11770314B2 (en) | 2016-11-15 | 2023-09-26 | Juniper Networks, Inc. | Methods and apparatus for capturing and/or using packets to facilitate fault detection |
| CN110115057A (zh) * | 2016-11-15 | 2019-08-09 | 水雾系统股份有限公司 | 用于捕获和/或使用分组来促进故障检测的方法和装置 |
| CN106572464A (zh) * | 2016-11-16 | 2017-04-19 | 上海斐讯数据通信技术有限公司 | 无线局域网中非法ap监测方法及其抑制方法、监测ap |
| CN106851646A (zh) * | 2016-12-31 | 2017-06-13 | 北京红山瑞达科技有限公司 | 一种wifi接入安全检测方法及装置、wifi接入系统 |
| CN106982434A (zh) * | 2017-03-03 | 2017-07-25 | 上海斐讯数据通信技术有限公司 | 一种无线局域网安全接入方法及装置 |
| CN106982434B (zh) * | 2017-03-03 | 2020-02-11 | 上海斐讯数据通信技术有限公司 | 一种无线局域网安全接入方法及装置 |
| CN106961683A (zh) * | 2017-03-21 | 2017-07-18 | 上海斐讯数据通信技术有限公司 | 一种检测非法ap的方法、系统及发现者ap |
| CN106973401A (zh) * | 2017-03-30 | 2017-07-21 | 深圳市磊科实业有限公司 | 一种针对于无线组网环境中非法ap的检测抑制方法 |
| CN106792715B (zh) * | 2017-04-14 | 2019-10-08 | 杭州亚古科技有限公司 | 非法无线ap检测方法及装置 |
| CN106792715A (zh) * | 2017-04-14 | 2017-05-31 | 杭州亚古科技有限公司 | 非法无线ap检测方法及装置 |
| CN107548065A (zh) * | 2017-07-24 | 2018-01-05 | 新华三技术有限公司 | 一种检测设备的确定方法、装置、接入控制器及存储介质 |
| CN108235322A (zh) * | 2017-12-28 | 2018-06-29 | 新华三技术有限公司 | 一种无线设备的反制方法及装置 |
| CN108235322B (zh) * | 2017-12-28 | 2021-06-29 | 新华三技术有限公司 | 一种无线设备的反制方法及装置 |
| CN110324861A (zh) * | 2018-03-28 | 2019-10-11 | 华为技术有限公司 | 负载均衡方法、ap设备及终端设备 |
| CN108901025A (zh) * | 2018-07-10 | 2018-11-27 | 迈普通信技术股份有限公司 | 一种非法接入点反制方法及反制设备 |
| CN108901025B (zh) * | 2018-07-10 | 2021-07-06 | 迈普通信技术股份有限公司 | 一种非法接入点反制方法及反制设备 |
| CN109743733A (zh) * | 2018-12-25 | 2019-05-10 | 上海连尚网络科技有限公司 | 一种无线信号控制方法及设备 |
| CN114598543A (zh) * | 2019-01-16 | 2022-06-07 | 创新先进技术有限公司 | 网络环境监控方法、系统、装置及电子设备 |
| CN114598543B (zh) * | 2019-01-16 | 2023-06-23 | 创新先进技术有限公司 | 网络环境监控方法、系统、装置及电子设备 |
| CN111314917A (zh) * | 2020-02-22 | 2020-06-19 | 深圳市天和通信有限公司 | 一种控制无线终端接入的方法及无线接入点 |
| CN111314917B (zh) * | 2020-02-22 | 2023-06-23 | 深圳市天和通信有限公司 | 一种控制无线终端接入的方法及无线接入点 |
| CN111698766A (zh) * | 2020-06-18 | 2020-09-22 | 深圳市乙辰科技股份有限公司 | 智能组网方法、装置和可读存储介质 |
| CN113473471A (zh) * | 2021-06-21 | 2021-10-01 | 杭州网银互联科技股份有限公司 | 一种阻断无线移动终端接入非法ap的方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101079741A (zh) | 接入点,接入控制器以及监控非法接入的方法 | |
| CN100544279C (zh) | 无线局域网中监控非法接入点的方法、设备及系统 | |
| CN1829177A (zh) | 在无线局域网中接入设备间实现负载均衡的方法 | |
| CN1293730C (zh) | 控制无线局域网系统的多个接入点负载平衡的装置及方法 | |
| CN1925662A (zh) | 共存性基站搜集终端受干扰状态信息的方法 | |
| CN104333862B (zh) | 一种无线局域网细粒度管控方法 | |
| CN1625132A (zh) | 无线网络类型的自动检测 | |
| CN1829179A (zh) | 无线接入装置、无线接入方法以及无线网络 | |
| CN1802013A (zh) | 实现网络服务提供商发现的方法及装置 | |
| CN103004279A (zh) | 用于管理分组数据网络连通性的方法和装置 | |
| CN1645960A (zh) | 无线局域网用户终端重新选择运营网络的交互方法 | |
| CN1852203A (zh) | 一种虚链路建立方法及装置 | |
| CN103037373B (zh) | 一种无线节点阻断系统 | |
| CN1713760A (zh) | 无线装置 | |
| CN102740366A (zh) | 一种实现无线网络接入的方法、装置和系统 | |
| CN1994011A (zh) | 无线传输系统 | |
| CA2621661A1 (en) | Multi-carrier wireless network using flexible fractional frequency reuse | |
| CN1801762A (zh) | 用于通知用户在或不在无线局域网服务区内的系统和方法 | |
| CN1812417A (zh) | 接入点的安全接入协议符合性测试方法及其系统 | |
| CN107995626B (zh) | 一种用于识别无线局域网中wifi信号安全类别的方法和装置 | |
| CN1679310A (zh) | 具有入侵检测特性的无线局域网或城域网和相关方法 | |
| CN1866882A (zh) | 对移动ip用户进行监听的系统和方法 | |
| CN104349325A (zh) | 用于监测伪无线接入点ap的方法及装置 | |
| CN101052192A (zh) | 移动通信系统中的测量上报方法 | |
| CN1852192A (zh) | 一种无线局域网中网络识别的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Open date: 20071128 |