CN106559790A - 伪无线接入点的检测方法、设备以及系统 - Google Patents
伪无线接入点的检测方法、设备以及系统 Download PDFInfo
- Publication number
- CN106559790A CN106559790A CN201510621440.3A CN201510621440A CN106559790A CN 106559790 A CN106559790 A CN 106559790A CN 201510621440 A CN201510621440 A CN 201510621440A CN 106559790 A CN106559790 A CN 106559790A
- Authority
- CN
- China
- Prior art keywords
- terminal
- request
- credible
- accessed
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种伪无线接入点的检测方法、设备以及系统,涉及互联网安全技术领域。该方法包括:监测装置监测终端向AP发起的接入请求,响应于终端向AP发起的接入请求,向服务器发送终端请求接入的AP的标识信息和终端信息,终端信息包括终端请求接入AP时所处的位置信息;服务器根据终端请求接入的AP的标识信息和终端信息以及可信AP部署信息判决终端请求接入的AP的真伪,可信AP部署信息包括已部署的可信AP的地理位置信息及其无线信号最大辐射距离;服务器向监测装置发送判决结果,监测装置根据判决结果指示终端是否连接其请求接入的AP。本发明可以实现对伪AP的有效识别,解决运营级WiFi服务的安全问题。
Description
技术领域
本发明涉及互联网安全技术领域,特别涉及一种伪无线接入点的检测方法、服务器、识别装置、监测装置以及系统。
背景技术
随着互联网技术和市场的不断发展,WiFi(Wireless Fidelity,无线保真)已成为一种应用极其广泛的用户终端接入技术。
根据应用场景不同,目前WiFi服务主要分为四大类:家庭WiFi、企业内部WiFi、商业场所WiFi和公共服务场所WiFi等,其中家庭和企业内部的WiFi服务多由家庭或企业内部自建自营,一般均通过网络安全密钥对WiFi服务访问进行安全保护,防止非授权的用户使用WiFi服务;而商业场所和公共服务场所的WiFi服务,却因其庞大的客户群体、灵活的商业模式及丰厚的潜在商业价值,吸引了各类WiFi服务提供商投资建设WiFi基础设施并向访客免费提供,这种WiFi服务使用的便利性也恰恰为不法攻击者创造了便利条件,其通过架设非法无线接入点让不知情的用户接入网络以盗取用户上网账号密码等隐私用户信息,给用户的信息安全带来了极大隐患。
目前,这种对这种伪AP(Wireless Access Point,无线接入点)的识别与处理技术还很有限,仅有的一些技术主要靠移动终端在无线信号扫描阶段获取的AP的SSID(Service Set Identifier,服务集标识)和MAC(Media Access Control,媒体访问控制)地址作为主要识别信息,通过服务器端的比对来判决AP的真伪,并将该判决信息反馈给移动终端,移动终端做出连接还是断开无线信号的处理。这种方法存在以下问题:
如果伪AP将其MAC地址和SSID改成与可信AP一样的MAC和SSID,该方法将难以识别孰真孰伪,但这种情况对于攻击者来讲很容易实施,尤其在一个没有部署可信AP的区域上更容易实施,这样用户安全及隐私保护仍然存在极大风险。
发明内容
本发明实施例所要解决的一个技术问题是:如何更加有效的检测伪AP。
根据本发明实施例的一个方面,提供的一种伪无线接入点的检测方法,包括:
服务器接收监测装置发送的终端请求接入的无线接入点AP的标识信息和终端信息,其中,终端信息包括终端请求接入AP时所处的位置信息;
服务器根据终端请求接入的AP的标识信息和终端信息以及可信AP部署信息判决终端请求接入的AP的真伪,其中,可信AP部署信息包括已部署的可信AP的地理位置信息及其无线信号最大辐射距离;
服务器向监测装置发送判决结果,以便监测装置根据判决结果指示终端是否连接其请求接入的AP。
根据本发明实施例的第二个方面,提供的一种伪无线接入点的检测方法,包括:
识别装置接收服务器发送的验证请求,验证请求用于进一步验证终端请求接入的AP的真伪,其中,验证请求包括终端请求接入的AP的标识信息、终端的MAC地址信息、和终端发起接入请求的时间信息;
识别装置查询可信AP上记录的终端的连接信息,其中,被查询的可信AP的标识信息与验证请求中携带的终端请求接入的AP的标识信息相同;
如果在终端发起接入请求的时间有与验证请求携带的MAC地址相同的终端向该可信AP发起接入请求,则识别装置判定终端请求接入的AP为真AP,否则,判定终端请求接入的AP为伪AP;
识别装置将验证结果发送至服务器。
根据本发明实施例的第三个方面,提供的一种伪无线接入点的检测方法,包括:
监测装置监测终端向AP发起的接入请求;
监测装置响应于终端向AP发起的接入请求,向服务器发送终端请求接入的AP的标识信息和终端信息,以便服务器判决终端请求接入的AP的真伪并返回判决结果,其中,终端信息包括终端请求接入AP时所处的位置信息,或者终端信息包括终端请求接入AP时所处的位置信息、终端的MAC地址信息、终端发起接入请求的时间信息;
监测装置根据服务器的判决结果指示终端是否连接其请求接入的AP。
根据本发明实施例的第四个方面,提供的一种伪无线接入点的检测服务器,包括:
信息接收单元,用于接收监测装置发送的终端请求接入的无线接入点AP的标识信息和终端信息,其中,终端信息包括终端请求接入AP时所处的位置信息;
识别单元,用于根据终端请求接入的AP的标识信息和终端信息以及可信AP部署信息判决终端请求接入的AP的真伪,其中,可信AP部署信息包括已部署的可信AP的地理位置信息及其无线信号最大辐射距离;
结果发送单元,用于向监测装置发送判决结果,以便监测装置根据判决结果指示终端是否连接其请求接入的AP。
根据本发明实施例的第五个方面,提供的一种伪无线接入点的识别装置,包括:
验证请求接收单元,用于接收服务器发送的验证请求,验证请求用于进一步验证终端请求接入的AP的真伪,其中,验证请求包括终端请求接入的AP的标识信息、终端的MAC地址信息、和终端发起接入请求的时间信息;
信息查询单元,用于查询可信AP上记录的终端的连接信息,其中,被查询的可信AP的标识信息与验证请求中携带的终端请求接入的AP的标识信息相同;
判断单元,用于判断在终端发起接入请求的时间是否有与验证请求携带的MAC地址相同的终端向该可信AP发起接入请求,如果有,则判定终端请求接入的AP为真AP,否则,判定终端请求接入的AP为伪AP;
验证结果发送单元,用于将验证结果发送至服务器。
根据本发明实施例的第六个方面,提供的一种伪无线接入点的监测装置,包括:
无线接入监控单元,用于监测终端向AP发起的接入请求;
识别请求上报单元,用于响应于终端向AP发起的接入请求,向服务器发送终端请求接入的AP的标识信息和终端信息,以便服务器判决终端请求接入的AP的真伪并返回判决结果,其中,终端信息包括终端请求接入AP时所处的位置信息,或者终端信息包括终端请求接入AP时所处的位置信息、终端的MAC地址信息和终端发起接入请求的时间信息;
识别结果处理单元,用于根据服务器的判决结果指示终端是否连接其请求接入的AP。
根据本发明实施例的第七个方面,提供的一种伪无线接入点的检测系统,包括:前述任一项实施例的服务器和前述任一项实施例的监测装置;监测装置设置在终端内或者独立于终端设置。
在一个实施例中,检测系统还包括:前述任一项实施例的识别装置,识别装置设置在可信AP内或者独立于可信AP设置。
本发明至少具有以下优点:
通过引入终端的地理位置信息,确定终端请求接入AP时所处位置是否有可信AP部署,进而判决终端请求接入的AP的真伪,可以实现对伪AP的有效识别,并大限度降低终端接入AP的安全风险,解决运营级WiFi服务的安全问题。
通过以下参照附图对本发明的示例性实施例的详细描述,本发明的其它特征及其优点将会变得清楚。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1示出根据本公开的示例性实施例的伪无线接入点的检测方法的流程示意图。
图2示出根据本公开的另一种示例性实施例的伪无线接入点的检测方法的流程示意图。
图3示出根据本公开的又一种示例性实施例的伪无线接入点的检测方法的流程示意图。
图4示出根据本公开的示例性实施例的伪无线接入点的检测服务器的结构示意图。
图5示出根据本公开的另一种示例性实施例的伪无线接入点的检测服务器的结构示意图。
图6示出根据本公开的又一种示例性实施例的伪无线接入点的检测服务器的结构示意图。
图7示出根据本公开的示例性实施例的伪无线接入点的识别装置的结构示意图。
图8示出根据本公开的另一种示例性实施例的伪无线接入点的识别装置的结构示意图。
图9示出根据本公开的示例性实施例的伪无线接入点的监测装置的结构示意图。
图10示出根据本公开的示例性实施例的伪无线接入点的检测系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
针对现有技术中只根据AP的SSID和MAC地址不能有效识别AP的真伪的问题,提出本方案。
下面结合图1对本发明一个实施例的伪无线接入点的检测方法进行描述。
图1为本发明伪无线接入点的检测方法一个实施例的流程图。如图1所示,该实施例的方法包括:
步骤S102,监测装置监测终端向AP发起的接入请求,响应于终端向AP发起的接入请求,向服务器发送终端请求接入的AP的标识信息和终端信息,相应的,服务器接收监测装置发送的终端请求接入的无线接入点AP的标识信息和终端信息。
其中,终端请求接入的AP的标识信息例如包括该AP的SSID、MAC地址等。终端信息至少包括终端请求接入AP时所处的位置信息,进一步还可以包括终端的MAC地址信息和终端发起接入请求的时间信息等。
其中,终端的地理位置信息可以采用例如以经纬度标示的绝对地理位置的方式:例如(205.39,57.94),但不限于所举示例。终端例如可以是手机等移动终端。
一种示例性的方法,监测装置可以按照预先定义的顺序组合向服务器发送终端请求接入的AP的标识信息和终端信息。
步骤S104,服务器根据终端请求接入的AP的标识信息和终端信息以及可信AP部署信息判决终端请求接入的AP的真伪。
其中,可信AP部署信息例如包括已部署的可信AP的SSID、MAC地址、地理位置信息及其无线信号最大辐射距离等。
步骤S106,服务器向监测装置发送判决结果,监测装置根据判决结果指示终端是否连接其请求接入的AP。
具体的,如果服务器的判决结果为终端请求接入的AP为真AP,则监测装置指示终端接入该AP;如果服务器的判决结果为终端请求接入的AP为伪AP,则监测装置指示终端不接入该AP;如果服务器的判决结果为终端请求接入的AP为可疑AP,则监测装置指示终端连接有风险。
上述方法,通过引入终端的地理位置信息,确定终端请求接入AP时所处位置是否有可信AP部署,进而判决终端请求接入的AP的真伪,可以实现对伪AP的有效识别,并大限度降低终端接入AP的安全风险,解决运营级WiFi服务的安全问题。
针对步骤S104,本发明还提出了判决终端请求接入的AP的真伪的一些示例性的方法,具体如下:
判决情况一:服务器根据终端请求接入AP时所处的位置信息以及可信AP的地理位置信息及其无线信号最大辐射距离,确定终端请求接入AP时所处位置是否有可信AP部署,如果终端请求接入AP时所处位置没有可信AP部署,并且终端请求接入的AP的SSID与任一可信AP的SSID相同,则服务器将终端请求接入的AP判决为伪AP。
该情况为终端请求接入AP时所处位置并没有部署可信AP,然而终端请求接入的AP的SSID与任一可信AP的SSID相同,则表明终端请求接入的AP伪造了可信AP的SSID。从而实现了对非邻近区域伪AP的快速识别。
判决情况二:服务器根据终端请求接入AP时所处的位置信息以及可信AP的地理位置信息及其无线信号最大辐射距离,确定终端请求接入AP时所处位置是否有可信AP部署,如果终端请求接入AP时所处位置有可信AP部署,并且终端请求接入的AP的SSID与任一可信AP的SSID相同,并且终端请求接入的AP的MAC地址与该可信AP的MAC地址不同,则服务器将终端请求接入的AP判决为伪AP。
该情况表明虽然终端请求接入的AP所处位置有可信AP部署,但并不是服务器记录的可信AP,而是伪造了可信AP的SSID。从而可以解决邻近区域伪造MAC的伪AP的识别问题。
判决情况三:终端请求接入的AP的SSID与可信AP的SSID均不同,则服务器将终端请求接入的AP判决为可疑AP。
该情况下,无论终端请求接入的AP的MAC地址是否与任一可信AP相同或者所处的位置是否有可信AP部署,服务器均识别为可疑AP。由于终端请求接入的AP的SSID与可信AP的SSID均不同,可能存在该AP并不在服务器记录的范围内的情况,并不一定为伪AP,因此,服务器将该AP判决为可疑AP。
判决情况四:服务器根据终端请求接入AP时所处的位置信息以及可信AP的地理位置信息及其无线信号最大辐射距离,确定终端请求接入AP时所处位置是否有可信AP部署,如果终端请求接入AP时所处位置有可信AP部署,并且终端请求接入的AP的SSID与任一可信AP的SSID相同,并且终端请求接入的AP的MAC地址与该可信AP的MAC地址相同,则服务器无法确定该AP的真伪,可以向识别装置发送验证请求,以便识别装置根据验证请求进一步识别终端请求接入的AP的真伪。
该情况表明服务器判断终端请求接入AP符合为真AP的条件,但仍无法确定该AP的真伪,为确保判决结果的准确性,服务器将请求识别装置进一步判断。从而可以解决邻近区域的伪AP的有效识别问题。
上述对终端请求接入的AP的SSID、MAC地址以及终端请求接入AP时所处的位置的判断并不限于某种特定的顺序,可以同时进行也可以异步进行。
上述判决情况一、二、四,均需要确定终端请求接入AP时所处位置是否有可信AP部署,一种示例性的确定终端请求接入AP时所处位置是否有可信AP部署方法如下:
服务器选择与终端请求接入AP时所处的位置最接近的可信AP的部署位置,以该可信AP的部署位置为中心,以该可信AP对应的无线信号最大辐射距离为半径向外延展,若在延展的整个区域范围内均无法包含终端请求接入AP时所处的位置,则认为终端请求接入AP时所处的位置不在可信AP的物理区域范围内,否则,认为终端请求接入AP时所处的位置在可信AP的物理区域范围内。
另一种示例性的确定终端请求接入AP时所处位置是否有可信AP部署方法如下:
服务器以终端请求接入AP时所处的位置为中心,选择所有可信AP的无线信号最大辐射距离中最大的距离为半径向外延展,若在延展的整个区域范围内均没有部署可信AP,则认为终端请求接入AP时所处的位置不在可信AP的物理区域范围内,否则,认为终端请求接入AP时所处的位置在可信AP的物理区域范围内。
上述判决情况四,为进一步准确识别终端请求接入的AP的真伪,服务器可以请求识别装置进行进一步验证,下面结合图2描述该情形。
图2为本发明伪无线接入点的检测方法另一个实施例的流程图。如图2所示,该方法包括:
步骤S202,监测装置响应于终端向AP发起的接入请求,向服务器发送终端请求接入的AP的SSID、MAC地址和终端请求接入AP时所处的位置、终端的MAC地址、终端发起接入请求的时间,相应的,服务器接收监测装置发送的终端请求接入的无线接入点AP的标识信息和终端信息。
步骤S204,服务器根据终端请求接入AP时所处的位置信息以及可信AP部署信息判断终端请求接入AP时所处位置有可信AP部署。
步骤S206,服务器判断出终端请求接入的AP的SSID、MAC地址与任一可信AP的SSID、MAC地址相同。需要进一步验证AP的真伪,然后执行步骤S208。
步骤S208,服务器向识别装置发送验证请求。
步骤S210,识别装置接收服务器发送的验证请求,进一步验证终端请求接入的AP的真伪,其中,验证请求包括终端请求接入的AP的标识信息、终端的MAC地址信息、和终端发起接入请求的时间信息。
其中,终端的MAC地址信息、和终端发起接入请求的时间信息为监测装置监测到终端发起接入请求时向服务器发送的。
具体的,识别装置查询可信AP上记录的终端的连接信息,其中,被查询的可信AP的标识信息与验证请求中携带的终端请求接入的AP的标识信息相同;如果在终端发起接入请求的时间有与验证请求携带的MAC地址相同的终端向该可信AP发起接入请求,则识别装置判定终端请求接入的AP为真AP,否则,判定终端请求接入的AP为伪AP。
步骤S212,识别装置将验证结果发送至服务器。
步骤S214,服务器向监测装置发送判决结果,监测装置根据判决结果指示终端是否连接其请求接入的AP。
步骤S204和步骤S206的判断顺序并不限于本实施例描述的顺序,可以同时进行,也可以按照其他顺序进行。
上述方法扩展了终端发起接入请求的时间这一识别条件,进一步通过与已部署的可信AP的交互,实现了对在可信AP部署的邻近区域范围内伪造SSID和MAC地址的伪AP的有效识别。
在识别出伪AP之后,可以对伪AP进行处理。本发明还提供一种对伪AP的处理方法,下面结合图3进行描述。
图3为本发明伪无线接入点的检测方法又一个实施例的流程图。如图3所示,该方法在步骤S102、S104之后还包括:
步骤S308,如果服务器将终端请求接入的AP判决为伪AP,则服务器向识别装置发送处理伪AP指令,其中,处理伪AP指令包括伪AP的SSID、MAC地址和执行处理的可信AP的MAC地址。
其中,伪AP的SSID、MAC地址用于可信AP确定干扰目标,执行处理的可信AP的MAC地址用于识别装置向特定的可信AP发送干扰伪AP的信息。
其中,服务器可以采用预先设置的规则选择执行处理的可信AP,例如选择距离终端地理位置最近的若干个可信AP,或者选择所有可信AP等,但不限于所举示例。
步骤S310,识别装置接收服务器发送的处理伪AP指令,并根据处理伪AP指令指示可信AP发送干扰伪AP的信息。
其中,可信AP发送的干扰伪AP的信息包括伪造的连接探测帧、探测响应帧、解除关联帧、伪造解除认证帧中至少一种。该四种帧例如可以按顺序组合依次发送,也可以只发送其中的某一种或几种帧。
根据本发明实施例的另一个方面,提供的一种伪无线接入点的检测服务器,下面结合图4对该服务器的结构进行描述。
图4为本发明伪无线接入点的检测服务器一个实施例的结构图。如图4所示,该服务器400包括:
信息接收单元402,用于接收监测装置发送的终端请求接入的无线接入点AP的标识信息和终端信息,其中,终端信息包括终端请求接入AP时所处的位置信息。
识别单元404,用于根据终端请求接入的AP的标识信息和终端信息以及可信AP部署信息判决终端请求接入的AP的真伪,其中,可信AP部署信息包括已部署的可信AP的地理位置信息及其无线信号最大辐射距离。
结果发送单元406,用于向监测装置发送判决结果,以便监测装置根据判决结果指示终端是否连接其请求接入的AP。
其中,终端请求接入的AP的标识信息例如包括该AP的SSID、MAC地址;可信AP部署信息例如还包括已部署的可信AP的SSID、MAC地址。
其中,识别单元404包括位置判断子单元4041和第一识别子单元4042;或者,识别单元404包括位置判断子单元4041和第二识别子单元4043;或者,识别单元404包括位置判断子单元4041和第三识别子单元4044;或者,识别单元404包括第四识别子单元4045。
位置判断子单元4041,用于根据终端请求接入AP时所处的位置信息以及可信AP的地理位置信息及其无线信号最大辐射距离,确定终端请求接入AP时所处位置是否有可信AP部署。
第一识别子单元4042,用于如果位置判断子单元4041判断终端请求接入AP时所处位置没有可信AP部署,则判断终端请求接入的AP的SSID是否与任一可信AP的SSID相同,如果是,则将终端请求接入的AP判决为伪AP。
第二识别子单元4043,用于如果位置判断子单元4041判断终端请求接入AP时所处位置有可信AP部署,则判断是否存在终端请求接入的AP的SSID与任一可信AP的SSID相同,并且终端请求接入的AP的MAC地址与该可信AP的MAC地址不同的情况,如果是,则将终端请求接入的AP判决为伪AP。
第三识别子单元4044,用于如果位置判断子单元4041判断终端请求接入AP时所处位置有可信AP部署,则判断是否存在终端请求接入的AP的SSID与任一可信AP的SSID相同,并且终端请求接入的AP的MAC地址与该可信AP的MAC地址相同的情况,如果是,则需要进一步验证终端请求接入AP的真伪。
第四识别子单元4045,用于判断终端请求接入的AP的SSID是否与可信AP的SSID均不同,如果是,则将终端请求接入的AP判决为可疑AP。
一种示例性实施方式,位置判断子单元4041,用于选择与终端请求接入AP时所处的位置最接近的可信AP的部署位置,以该可信AP的部署位置为中心,以该可信AP对应的无线信号最大辐射距离为半径向外延展,若在延展的整个区域范围内均无法包含终端请求接入AP时所处的位置,则认为终端请求接入AP时所处的位置不在可信AP的物理区域范围内,否则,认为终端请求接入AP时所处的位置在可信AP的物理区域范围内。
另一种示例性实施方式,位置判断子单元4041,用于以终端请求接入AP时所处的位置为中心,选择所有可信AP的无线信号最大辐射距离中最大的距离为半径向外延展,若在延展的整个区域范围内均没有部署可信AP,则认为终端请求接入AP时所处的位置不在可信AP的物理区域范围内,否则,认为终端请求接入AP时所处的位置在可信AP的物理区域范围内。
为进一步准确识别终端请求接入的AP的真伪,服务器可以请求识别装置进行进一步验证,下面结合图5对本发明另一个实施例的伪无线接入点的检测服务器进行描述。
图5为本发明伪无线接入点的检测服务器另一个实施例的结构图。如图5所示,识别单元404还包括:
验证请求子单元4046,用于接收第三识别子单元4044的指示向识别装置发送验证请求,以便识别装置根据验证请求进一步识别AP的真伪,并接收识别装置返回的验证结果,其中,验证请求包括终端请求接入的AP的标识信息、终端的MAC地址信息、和终端发起接入请求的时间信息。
其中,终端的MAC地址信息、终端发起接入请求的时间信息为监测装置监测到终端发起接入请求时向信息接收单元402发送的。
下面结合图6对本发明又一个实施例的伪无线接入点的检测服务器进行描述。
图6为本发明伪无线接入点的检测服务器又一个实施例的结构图。如图6所示,服务器400还包括:
伪AP处理单元608,用于如果识别单元404将终端请求接入的AP判决为伪AP,则向识别装置发送处理伪AP指令,以便识别装置根据处理伪AP指令指示可信AP发送干扰伪AP的信息,其中,处理伪AP指令包括伪AP的SSID、MAC地址和执行处理的可信AP的MAC地址。
根据本发明实施例的又一个方面,提供的一种伪无线接入点的识别装置,下面结合图7对该识别装置的结构进行描述。
图7为本发明伪无线接入点的识别装置一个实施例的结构图。如图7所示,识别装置700包括:
验证请求接收单元702,用于接收服务器发送的验证请求,验证请求用于进一步验证终端请求接入的AP的真伪,其中,验证请求包括终端请求接入的AP的标识信息、终端的MAC地址信息、和终端发起接入请求的时间信息。
信息查询单元704,用于查询可信AP上记录的终端的连接信息,其中,被查询的可信AP的标识信息与验证请求中携带的终端请求接入的AP的标识信息相同。
判断单元706,用于判断在终端发起接入请求的时间是否有与验证请求携带的MAC地址相同的终端向该可信AP发起接入请求,如果有,则判定终端请求接入的AP为真AP,否则,判定终端请求接入的AP为伪AP。
验证结果发送单元708,用于将验证结果发送至服务器。
下面图8对伪无线接入点的识别装置进行进一步描述。
图8为本发明伪无线接入点的识别装置另一个实施例的结构图。如图8所示,识别装置700还包括:
处理执行单元810,用于接收服务器发送的处理伪AP指令,并根据处理伪AP指令指示可信AP发送干扰伪AP的信息,其中,处理伪AP指令包括伪AP的SSID、MAC地址和执行处理的可信AP的MAC地址;
其中,可信AP发送的干扰伪AP的信息包括伪造的连接探测帧、探测响应帧、解除关联帧、伪造解除认证帧中至少一种。
根据本发明实施例的又一个方面,提供的一种伪无线接入点的监测装置,下面结合图9对该监测装置的结构进行描述。
图9为本发明伪无线接入点的监测装置一个实施例的结构图。如图9所示,监测装置900包括:
无线接入监控单元902,用于监测终端向AP发起的接入请求;
识别请求上报单元904,用于响应于终端向AP发起的接入请求,向服务器发送终端请求接入的AP的标识信息和终端信息,以便服务器判决终端请求接入的AP的真伪并返回判决结果,其中,终端信息包括终端请求接入AP时所处的位置信息,或者终端信息包括终端请求接入AP时所处的位置信息、终端的MAC地址信息、终端发起接入请求的时间信息。
识别结果处理单元906,用于根据服务器的判决结果指示终端是否连接其请求接入的AP。
具体的,识别结果处理单元906,用于:如果服务器的判决结果为终端请求接入的AP为真AP,则指示终端接入该AP;或者,如果服务器的判决结果为终端请求接入的AP为伪AP,则指示终端不接入该AP;或者,如果服务器的判决结果为终端请求接入的AP为可疑AP,则指示终端连接有风险。
根据本发明实施例的又一个方面,提供的一种伪无线接入点的检测系统,下面结合图10对该检测系统的结构进行描述。
图10为本发明伪无线接入点的检测系统一个实施例的结构图。如图10所示,检测系统1000包括:前述任一项实施例的服务器400和前述任一项实施例的监测装置900,监测装置900设置于终端内或为独立于终端设置(图中未示出独立于终端设置的情况)。进一步的,如图10所示,检测系统1000还包括:前述任一项实施例的识别装置700;识别装置700设置在可信AP内或者独立于可信AP设置(图中未示出独立于可信AP设置的情况);
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (22)
1.一种伪无线接入点的检测方法,其特征在于,包括:
服务器接收监测装置发送的终端请求接入的无线接入点AP的标识信息和终端信息,所述终端信息包括终端请求接入AP时所处的位置信息;
服务器根据终端请求接入的AP的标识信息和终端信息以及可信AP部署信息判决终端请求接入的AP的真伪,所述可信AP部署信息包括已部署的可信AP的地理位置信息及其无线信号最大辐射距离;
服务器向监测装置发送判决结果,以便监测装置根据判决结果指示终端是否连接其请求接入的AP。
2.根据权利要求1所述的方法,其特征在于,其中,
所述终端请求接入的AP的标识信息包括该AP的服务集标识SSID和媒体访问控制MAC地址;
所述可信AP部署信息还包括已部署的可信AP的SSID和MAC地址;
所述服务器根据终端请求接入的AP的标识信息和终端信息以及可信AP部署信息判决终端请求接入的AP的真伪包括:
服务器根据终端请求接入AP时所处的位置信息以及可信AP的地理位置信息及其无线信号最大辐射距离,确定终端请求接入AP时所处位置是否有可信AP部署;
如果终端请求接入AP时所处位置没有可信AP部署,并且终端请求接入的AP的SSID与任一可信AP的SSID相同,则服务器将终端请求接入的AP判决为伪AP;
或者,如果终端请求接入AP时所处位置有可信AP部署,并且终端请求接入的AP的SSID与任一可信AP的SSID相同,并且终端请求接入的AP的MAC地址与该可信AP的MAC地址不同,则服务器将终端请求接入的AP判决为伪AP。
3.根据权利要求2所述的方法,其特征在于,其中,服务器采用以下方法确定终端请求接入AP时所处位置是否有可信AP部署:
服务器选择与终端请求接入AP时所处位置最接近的可信AP的部署位置,以该可信AP的部署位置为中心,以该可信AP对应的无线信号最大辐射距离为半径向外延展,若在延展的整个区域范围内没有包含所述终端请求接入AP时所处的位置,则认为终端请求接入AP时所处位置没有可信AP部署,否则,认为终端请求接入AP时所处位置有可信AP部署。
4.根据权利要求1所述的方法,其特征在于,
所述终端信息还包括终端的MAC地址信息和终端发起接入请求的时间信息;
所述服务器根据终端请求接入的AP的标识信息和终端信息以及可信AP部署信息判决终端请求接入的AP的真伪包括:
服务器根据终端请求接入AP时所处的位置信息以及可信AP的地理位置信息及其无线信号最大辐射距离,确定终端请求接入AP时所处位置是否有可信AP部署;
如果终端请求接入AP时所处位置有可信AP部署,并且终端请求接入的AP的SSID与任一可信AP的SSID相同,并且终端请求接入的AP的MAC地址与该可信AP的MAC地址相同,则服务器向识别装置发送验证请求,以便识别装置根据验证请求进一步识别终端请求接入的AP的真伪,并接收识别装置返回的验证结果,所述验证请求包括终端请求接入的AP的标识信息、终端的MAC地址信息、和终端发起接入请求的时间信息。
5.根据权利要求1所述的方法,其特征在于,
所述服务器根据终端请求接入的AP的标识信息和终端信息以及可信AP部署信息判决终端请求接入的AP的真伪包括:
如果终端请求接入的AP的SSID与可信AP的SSID均不同,则服务器将终端请求接入的AP判决为可疑AP。
6.根据权利要求1-5任一项所述的方法,其特征在于,还包括:
如果服务器将终端请求接入的AP判决为伪AP,则服务器向识别装置发送处理伪AP指令,以便识别装置根据处理伪AP指令指示可信AP发送干扰伪AP的信息,所述处理伪AP指令包括伪AP的SSID、MAC地址和执行处理的可信AP的MAC地址。
7.一种伪无线接入点的检测方法,其特征在于,包括:
识别装置接收服务器发送的验证请求,所述验证请求用于进一步验证终端请求接入的AP的真伪,所述验证请求包括终端请求接入的AP的标识信息、终端的MAC地址信息、和终端发起接入请求的时间信息;
识别装置查询可信AP上记录的终端的连接信息,其中,被查询的可信AP的标识信息与所述验证请求中携带的终端请求接入的AP的标识信息相同;
如果在终端发起接入请求的时间有与所述验证请求携带的MAC地址相同的终端向该可信AP发起接入请求,则识别装置判定终端请求接入的AP为真AP,否则,判定终端请求接入的AP为伪AP;
识别装置将验证结果发送至服务器。
8.根据权利要求7所述的方法,其特征在于,还包括:
识别装置接收服务器发送的处理伪AP指令,并根据处理伪AP指令指示可信AP发送干扰伪AP的信息,所述处理伪AP指令包括伪AP的SSID、MAC地址和执行处理的可信AP的MAC地址;
其中,可信AP发送的干扰伪AP的信息包括伪造的连接探测帧、探测响应帧、解除关联帧、伪造解除认证帧中至少一种。
9.一种伪无线接入点的检测方法,其特征在于,包括:
监测装置监测终端向AP发起的接入请求;
监测装置响应于终端向AP发起的接入请求,向服务器发送终端请求接入的AP的标识信息和终端信息,以便服务器判决终端请求接入的AP的真伪并返回判决结果,所述终端信息包括终端请求接入AP时所处的位置信息,或者所述终端信息包括终端请求接入AP时所处的位置信息、终端的MAC地址信息、终端发起接入请求的时间信息;
监测装置根据服务器的判决结果指示终端是否连接其请求接入的AP。
10.根据权利要求9所述的方法,其特征在于,监测装置根据服务器的判决结果指示终端是否连接其请求接入的AP包括:
如果服务器的判决结果为终端请求接入的AP为真AP,则监测装置指示终端接入该AP;
或者,如果服务器的判决结果为终端请求接入的AP为伪AP,则监测装置指示终端不接入该AP;
或者,如果服务器的判决结果为终端请求接入的AP为可疑AP,则监测装置指示终端连接有风险。
11.一种伪无线接入点的检测服务器,其特征在于,包括:
信息接收单元,用于接收监测装置发送的终端请求接入的无线接入点AP的标识信息和终端信息,所述终端信息包括终端请求接入AP时所处的位置信息;
识别单元,用于根据终端请求接入的AP的标识信息和终端信息以及可信AP部署信息判决终端请求接入的AP的真伪,所述可信AP部署信息包括已部署的可信AP的地理位置信息及其无线信号最大辐射距离;
结果发送单元,用于向监测装置发送判决结果,以便监测装置根据判决结果指示终端是否连接其请求接入的AP。
12.根据权利要求11所述的服务器,其特征在于,
所述终端请求接入的AP的标识信息包括该AP的服务集标识SSID和媒体访问控制MAC地址;
所述可信AP部署信息还包括已部署的可信AP的SSID和MAC地址中;
所述识别单元包括位置判断子单元,所述识别单元还包括第一识别子单元和/或第二识别子单元;
所述位置判断子单元,用于根据终端请求接入AP时所处的位置信息以及可信AP的地理位置信息及其无线信号最大辐射距离,确定终端请求接入AP时所处位置是否有可信AP部署;
所述第一识别子单元,用于如果所述位置判断子单元判断终端请求接入AP时所处位置没有可信AP部署,则判断终端请求接入的AP的SSID是否与任一可信AP的SSID相同,如果是,则将终端请求接入的AP判决为伪AP;
所述第二识别子单元,用于如果所述位置判断子单元判断终端请求接入AP时所处位置有可信AP部署,则判断是否存在终端请求接入的AP的SSID与任一可信AP的SSID相同,并且终端请求接入的AP的MAC地址与该可信AP的MAC地址不同的情况,如果是,则将终端请求接入的AP判决为伪AP。
13.根据权利要求12所述的服务器,其特征在于,
所述位置判断子单元,用于选择与终端请求接入AP时所处的位置最接近的可信AP的部署位置,以该可信AP的部署位置为中心,以该可信AP对应的无线信号最大辐射距离为半径向外延展,若在延展的整个区域范围内没有包含所述终端请求接入AP时所处的位置,则认为终端请求接入AP时所处位置没有可信AP部署,否则,认为终端请求接入AP时所处位置有可信AP部署。
14.根据权利要求11所述的服务器,其特征在于,所述终端信息还包括终端的MAC地址信息和终端发起接入请求的时间信息;
所述识别单元包括位置判断子单元、第三识别子单元和验证请求子单元;
所述位置判断子单元,用于根据终端请求接入AP时所处的位置信息以及可信AP的地理位置信息及其无线信号最大辐射距离,确定终端请求接入AP时所处位置是否有可信AP部署;
所述第三识别子单元,用于如果所述位置判断子单元判断终端请求接入AP时所处位置有可信AP部署,则判断是否存在终端请求接入的AP的SSID与任一可信AP的SSID相同,并且终端请求接入的AP的MAC地址与该可信AP的MAC地址相同的情况,如果是,则指示所述验证请求子单元向识别装置发送验证请求;
所述验证请求子单元,用于接收所述第三识别子单元的指示向识别装置发送验证请求,以便识别装置根据验证请求进一步识别终端请求接入的AP的真伪,并接收识别装置返回的验证结果,所述验证请求包括终端请求接入的AP的标识信息、终端的MAC地址信息、和终端发起接入请求的时间信息。
15.根据权利要求11所述的服务器,其特征在于,所述识别单元包括第四识别子单元;
所述第四识别子单元,用于判断终端请求接入的AP的SSID是否与可信AP的SSID均不同,如果是,则将终端请求接入的AP判决为可疑AP。
16.根据权利要求11-15任一项所述的服务器,其特征在于,还包括:
伪AP处理单元,用于如果所述识别单元将终端请求接入的AP判决为伪AP,则向识别装置发送处理伪AP指令,以便识别装置根据处理伪AP指令指示可信AP发送干扰伪AP的信息,所述处理伪AP指令包括伪AP的SSID、MAC地址和执行处理的可信AP的MAC地址。
17.一种伪无线接入点的识别装置,其特征在于,包括:
验证请求接收单元,用于接收服务器发送的验证请求,所述验证请求用于进一步验证终端请求接入的AP的真伪,所述验证请求包括终端请求接入的AP的标识信息、终端的MAC地址信息、和终端发起接入请求的时间信息;
信息查询单元,用于查询可信AP上记录的终端的连接信息,其中,被查询的可信AP的标识信息与所述验证请求中携带的终端请求接入的AP的标识信息相同;
判断单元,用于判断在终端发起接入请求的时间是否有与所述验证请求携带的MAC地址相同的终端向该可信AP发起接入请求,如果有,则判定终端请求接入的AP为真AP,否则,判定终端请求接入的AP为伪AP;
验证结果发送单元,用于将验证结果发送至服务器。
18.根据权利要求17所述识别装置,其特征在于,还包括:
处理执行单元,用于接收服务器发送的处理伪AP指令,并根据处理伪AP指令指示可信AP发送干扰伪AP的信息,所述处理伪AP指令包括伪AP的SSID、MAC地址和执行处理的可信AP的MAC地址;
其中,可信AP发送的干扰伪AP的信息包括伪造的连接探测帧、探测响应帧、解除关联帧、伪造解除认证帧中至少一种。
19.一种伪无线接入点的监测装置,其特征在于,包括:
无线接入监控单元,用于监测终端向AP发起的接入请求;
识别请求上报单元,用于响应于终端向AP发起的接入请求,向服务器发送终端请求接入的AP的标识信息和终端信息,以便服务器判决终端请求接入的AP的真伪并返回判决结果,所述终端信息包括终端请求接入AP时所处的位置信息,或者所述终端信息包括终端请求接入AP时所处的位置信息、终端的MAC地址信息和终端发起接入请求的时间信息;
识别结果处理单元,用于根据服务器的判决结果指示终端是否连接其请求接入的AP。
20.根据权利要求19所述的监测装置,其特征在于,
所述识别结果处理单元,用于:
如果服务器的判决结果为终端请求接入的AP为真AP,则指示终端接入该AP;
或者,如果服务器的判决结果为终端请求接入的AP为伪AP,则指示终端不接入该AP;
或者,如果服务器的判决结果为终端请求接入的AP为可疑AP,则指示终端连接有风险。
21.一种伪无线接入点的检测系统,其特征在于,包括:权利要求11-16任一项所述的服务器和权利要求19或20所述的监测装置;所述监测装置设置在终端内或者独立于终端设置。
22.根据权利要求21所述的检测系统,其特征在于,还包括:权利要求17或18所述的识别装置,所述识别装置设置在可信AP内或者独立于可信AP设置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510621440.3A CN106559790B (zh) | 2015-09-25 | 2015-09-25 | 伪无线接入点的检测方法、设备以及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510621440.3A CN106559790B (zh) | 2015-09-25 | 2015-09-25 | 伪无线接入点的检测方法、设备以及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106559790A true CN106559790A (zh) | 2017-04-05 |
| CN106559790B CN106559790B (zh) | 2019-11-15 |
Family
ID=58414439
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510621440.3A Active CN106559790B (zh) | 2015-09-25 | 2015-09-25 | 伪无线接入点的检测方法、设备以及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106559790B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107294977A (zh) * | 2017-06-28 | 2017-10-24 | 迈普通信技术股份有限公司 | Wi‑Fi安全连接的方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1972520A (zh) * | 2005-10-05 | 2007-05-30 | 阿尔卡特公司 | 无线网络中的欺骗接入点检测 |
| JP5497942B1 (ja) * | 2013-05-29 | 2014-05-21 | 春佳 西守 | コンピュータプログラム |
| CN103856957A (zh) * | 2012-12-04 | 2014-06-11 | 航天信息股份有限公司 | 探测无线局域网中仿冒ap的方法和装置 |
-
2015
- 2015-09-25 CN CN201510621440.3A patent/CN106559790B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1972520A (zh) * | 2005-10-05 | 2007-05-30 | 阿尔卡特公司 | 无线网络中的欺骗接入点检测 |
| US20100142709A1 (en) * | 2005-10-05 | 2010-06-10 | Alcatel | Rogue access point detection in wireless networks |
| CN103856957A (zh) * | 2012-12-04 | 2014-06-11 | 航天信息股份有限公司 | 探测无线局域网中仿冒ap的方法和装置 |
| JP5497942B1 (ja) * | 2013-05-29 | 2014-05-21 | 春佳 西守 | コンピュータプログラム |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107294977A (zh) * | 2017-06-28 | 2017-10-24 | 迈普通信技术股份有限公司 | Wi‑Fi安全连接的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106559790B (zh) | 2019-11-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104902500B (zh) | 无线网络设备与无线接入设备的自动连接方法及系统 | |
| US8782745B2 (en) | Detection of unauthorized wireless access points | |
| CN107197456B (zh) | 一种基于客户端的识别伪ap的检测方法及检测装置 | |
| CN106789851A (zh) | 身份验证方法、系统、业务服务器和验证服务器 | |
| CN105450614B (zh) | 一种服务器账户登录方法、装置以及系统 | |
| CN111130930B (zh) | 双网卡检测方法和装置 | |
| CN105933353A (zh) | 安全登录的实现方法及系统 | |
| CN105162768A (zh) | 检测钓鱼Wi-Fi热点的方法及装置 | |
| CN105939326A (zh) | 处理报文的方法及装置 | |
| CN104717296A (zh) | 社交交互方法、装置、终端以及系统 | |
| CN104822145B (zh) | 一种识别伪基站短信的方法、装置和系统 | |
| CN106060072B (zh) | 认证方法以及装置 | |
| CN111123388B (zh) | 房间摄像装置的检测方法、装置及检测设备 | |
| CN107241292B (zh) | 漏洞检测方法及装置 | |
| CN106559783A (zh) | 一种对wifi网络的认证方法、装置和系统 | |
| CN102227115A (zh) | 一种限制用户访问的方法和装置 | |
| CN106330828A (zh) | 网络安全接入的方法、终端设备及认证服务器 | |
| KR20150026587A (ko) | 신규 기기로부터의 로그인 알림 기능 제공 장치, 방법 및 컴퓨터 판독 가능한 기록 매체 | |
| CN108123961A (zh) | 信息处理方法、装置及系统 | |
| CN106685891A (zh) | 一种接入网络的认证方法及装置 | |
| CN107135506B (zh) | 一种portal认证方法、装置及系统 | |
| CN107480530A (zh) | 安全检测的方法、装置、系统以及服务器 | |
| US20210029543A1 (en) | Method and device for authenticating device using wireless lan service | |
| CN113114669B (zh) | 基于网关数据的goip网关识别方法、装置、设备及存储介质 | |
| CN112153645B (zh) | 防蹭网方法和装置、路由器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |