CN106961683B - 一种检测非法ap的方法、系统及发现者ap - Google Patents
一种检测非法ap的方法、系统及发现者ap Download PDFInfo
- Publication number
- CN106961683B CN106961683B CN201710170797.3A CN201710170797A CN106961683B CN 106961683 B CN106961683 B CN 106961683B CN 201710170797 A CN201710170797 A CN 201710170797A CN 106961683 B CN106961683 B CN 106961683B
- Authority
- CN
- China
- Prior art keywords
- ssid
- cloud
- bssid
- aps
- suspicious
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/08—Access restriction or access information delivery, e.g. discovery data delivery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/16—Discovering, processing access restriction or access information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明属于无线网络领域,涉及一种检测非法AP的方法、系统及发现者AP,所述方法包括:发现者AP的无线客户端芯片基于IEEE802.11协议扫描附近的AP,收集所述被扫描AP的Beacon帧,获得被扫描AP的BSSID标识和SSID标识;所述发现者AP通过云AC过滤得到可疑AP的BSSID标识;所述无线客户端芯片再通过与可疑AP建立关联关系,将所述关联关系发送至云AC验证所述可疑AP是否为非法AP。通过本发明实施例提供的一种检测非法AP的方法、系统及发现者AP,可以准确识别非法AP,减少了非法AP对无线网络的安全隐患。
Description
技术领域
本发明属于无线网络(Wireless Local Area Networks,WLAN)领域,尤其涉及一种检测非法无线接入点(Wireless Access Point,AP)的方法、系统及发现者AP。
背景技术
目前,用户使用移动终端通过Wi-Fi接入无线网络时,会面临一些安全方面的风险,尤其是当前越来越多的商家提供了免费使用的Wi-Fi接入,在方便我们使用的同时,同样暴露了越来越多的风险。在所有无线网络接入风险中,危害性最大的一类应该是利用非法AP提供无线网络接入,然后通过钓鱼网站进一步获得用户大量私人信息。具体来说,通过一台非法AP,设置完全相同或相似的服务集标识(Service Set Identifier,SSID)提供免费的上网服务。用户一旦接入这种非法AP,很难查觉到。这种非法AP同样可以通过重定向的方式实现Portal门户网页,但他们只是相似的一种钓鱼网页或网站。用户接着继续输入自己账户信息完成认证,非法AP这时就轻松的获得了用户的手机号等账户信息。而危害最大的莫过于,假装认证成功后,用户访问的任何网站都有可能转到指定的钓鱼网站,这包括网上银行、各种电子银行支付网站等,结果造成用户大量的钱财受到损失。
一般情况下,对大多数普通用户来说,很难辨别自己是否接入了一台非法AP。而且用户在不知不觉接入和使用无线网络时,自己的个人信息和钱财就会被泄露。如何检测无线网络中的非法AP是当前面临的一个难题。
现有技术中,无线网络安全机制,针对非法AP钓鱼网站的安全威胁,通过第三方渠道显示动态密码进行验证。具体来说就是用户在接入无线网络时,在Portal页面会显示一串动态密码,并提示用户留意所在场所的媒体显示器也会显示动态密码(一般每一分钟刷新一次),通过用户比对两个动态密码是否一致,完成合法时可以接入。一般非法AP并不知晓动态密码的生成算法,所以很难生成完全一致的动态密码,从而达到了一定的效果。但这种解决方案也存在一定的漏洞,第三方渠道的媒体显示器也有可能被伪装或非法安装,这样就失去了安全的意义。另一方面,用户体验不太好,有时用户并不太注意也很繁琐,再去判断动态密码的一致性,更坏的情况是如果没有第三方的媒体显示器或由于设备故障等原因无法使用,这些情况会使这一方法失灵,安全威胁依然存在。
此外,现有技术中,有些方案会先建立合法AP的MAC地址数据库,利用发现者AP扫描周围的无线信号,抓取无线终端(Station,STA)与AP之间的数据报文,经过分析并且与数据库的合法AP的MAC地址进行比对,从而判断当前STA正在与非法AP交换数据。但这一方案仍然有一个重大的漏洞,当非法AP的MAC地址伪装成与某一个合法AP的MAC地址完全一样时,被发现者AP扫描到此非法AP的MAC地址后,按工作流程会到服务器中的数据库查询,而得到的结果是合法AP的MAC地址,这种方案在此时就失效了,如果何弥补这问题,也是本发明要解决的问题。
发明内容
综上所述,本发明实施例提供一种检测非法AP的方法、系统及发现者AP,可以检测出无线网络中的非法AP,消除无线网络中非法AP对用户带来的安全隐患。
第一方面,本发明实施例提供一种检测非法AP的方法,包括:发现者AP的无线客户端芯片基于IEEE802.11协议扫描附近的AP,收集所述被扫描AP的Beacon帧,获得N个二元组集合,所述每个二元组集合包括一个所述被扫描AP的基本服务集标识(Basic Service SetIdentifier,BSSID)和SSID标识;所述发现者AP上报第一SSID标识集合给云无线接入控制器(Wireless Access Point Controller,AC),所述第一SSID标识集合包括所述N个被扫描AP的SSID标识;所述发现者AP接收所述云AC过滤得到的第二SSID标识集合,所述第二SSID标识集合包括N个可疑AP的SSID标识;所述发现者AP将所述第二SSID标识集合与所述二元组集合匹配,得到第一BSSID标识集合,所述第一BSSID标识集合包括N个可疑AP的BSSID标识;所述发现者AP的无线客户端芯片基于IEEE802.11协议,向所述第一BSSID标识集合中的一BSSID标识对应的可疑AP发起建立关联关系请求;所述发现者AP将自己的MAC地址与所述可疑AP的BSSID标识建立的关联关系上报给所述云AC,使得所述云AC根据其建立的STA关联动态数据库判断是否存在相同的关联关系;若存在相同的关联关系,所述发现者AP接收指示所述可疑AP为合法AP的指令;若不存在相同的关联关系,所述发现者AP接收指示所述可疑AP为非法AP的指令。
进一步的,所述云AC建立的所述STA关联动态数据库用于存储合法AP上报的STA与所述合法AP建立的关联关系,当STA与所述合法AP解除关联关系后,删除对应的关联关系记录。
进一步的,所述步骤:所述发现者AP接收所述云AC过滤得到的第二SSID标识集合,具体包括:所述云AC将接收到的所述第一SSID标识集合中的SSID标识与其配置数据库中存储的合法AP的SSID标识比较,与所述合法AP的SSID标识相同或相似的SSID标识组成所述第二SSID标识集合,将所述第二SSID标识集合发送给所述发现者AP。
进一步的,所述步骤:所述发现者AP的无线客户端芯片基于IEEE802.11协议,向所述第一BSSID标识集合中的一BSSID标识对应的可疑AP发起建立关联关系请求,还包括:若建立关联关系失败,所述发现者AP的无线客户端芯片基于IEEE802.11协议,向所述第一BSSID标识集合中的另一BSSID标识对应的可疑AP发起建立关联关系请求。
第二方面,本发明实施例提供一种检测非法AP的系统,包括:云AC和发现者AP,其中,所述云AC包括:STA关联动态数据库,用于存储合法AP上报的STA与所述合法AP建立的关联关系,当STA与所述合法AP解除关联关系后,删除对应的关联关系记录;
所述发现者AP包括:无线客户端芯片、过滤单元和检测单元;其中,所述无线客户端芯片,用于基于IEEE802.11协议扫描附近的AP,收集所述被扫描AP的Beacon帧,获得N个二元组集合,所述每个二元组集合包括一个所述被扫描AP的BSSID标识和SSID标识;所述过滤单元,用于上报第一SSID标识集合给所述云AC,所述第一SSID标识集合包括所述N个被扫描AP的SSID标识;接收所述云AC过滤得到的第二SSID标识集合,所述第二SSID标识集合包括N个可疑AP的SSID标识;以及,将所述第二SSID标识集合与所述二元组集合匹配,得到第一BSSID标识集合,所述第一BSSID标识集合包括N个可疑AP的BSSID标识;所述检测单元,用于通过无线客户端芯片基于IEEE802.11协议,向所述第一BSSID标识集合中的一BSSID标识对应的可疑AP发起建立关联关系请求;将自己的MAC地址与所述可疑AP的BSSID标识建立的关联关系上报给所述云AC,使得所述云AC根据其建立的STA关联动态数据库判断是否存在相同的关联关系;若存在相同的关联关系,接收所述云AC下发的指示所述可疑AP为合法AP的指令;若不存在相同的关联关系,接收所述云AC下发的指示所述可疑AP为非法AP的指令。
进一步的,所述云AC还包括:配置数据库,用于存储合法AP的SSID标识。
进一步的,所述云AC过滤得到的第二SSID标识集合,具体包括:所述云AC将接收到的所述第一SSID标识集合中的SSID标识与所述配置数据库中存储的合法AP的SSID标识比较,与所述合法AP的SSID标识相同或相似的SSID标识组成所述第二SSID标识集合,将所述第二SSID标识集合发送给所述发现者AP的过滤单元。
第三方面,本发明实施例提供一种发现者AP,用于检测非法AP,包括:无线客户端芯片,用于基于IEEE802.11协议扫描附近的AP,收集所述被扫描AP的Beacon帧,获得N个二元组集合,所述每个二元组集合包括一个所述被扫描AP的BSSID标识和SSID标识;过滤单元,用于上报第一SSID标识集合给云AC,所述第一SSID标识集合包括所述N个被扫描AP的SSID标识;接收所述云AC过滤得到的第二SSID标识集合,所述第二SSID标识集合包括N个可疑AP的SSID标识;以及,将所述第二SSID标识集合与所述二元组集合匹配,得到第一BSSID标识集合,所述第一BSSID标识集合包括N个可疑AP的BSSID标识;以及,检测单元,用于通过所述无线客户端芯片基于IEEE802.11协议,向所述第一BSSID标识集合中的一BSSID标识对应的可疑AP发起建立关联关系请求;将自己的MAC地址与所述可疑AP的BSSID标识建立的关联关系上报给所述云AC,使得所述云AC根据其建立的STA关联动态数据库判断是否存在相同的关联关系;若存在相同的关联关系,接收所述云AC下发的指示所述可疑AP为合法AP的指令;若不存在相同的关联关系,接收所述云AC下发的指示所述可疑AP为非法AP的指令。
进一步的,所述云AC建立的所述STA关联动态数据库用于存储合法AP上报的STA与所述合法AP建立的关联关系,当STA与所述合法AP解除关联关系后,删除对应的关联关系记录。
进一步的,所述过滤单元接收所述云AC过滤得到的第二SSID标识集合,所述第二SSID标识集合包括N个可疑AP的SSID标识,具体包括:所述云AC将接收到的所述第一SSID标识集合中的SSID标识与其配置数据库中存储的合法AP的SSID标识比较,与所述合法AP的SSID标识相同或相似的SSID标识组成所述第二SSID标识集合,将所述第二SSID标识集合发送给所述发现者AP的过滤单元。
进一步的,所述检测单元还用于,当通过所述无线客户端芯片基于IEEE802.11协议,向所述第一BSSID标识集合中的一BSSID标识对应的可疑AP发起建立关联关系请求失败,向所述第一BSSID标识集合中的另一BSSID标识对应的可疑AP发起建立关联关系请求。
通过本发明实施例提供的一种检测非法AP的方法、系统及发现者AP,通过在AP中内置了一个无线客户端芯片成为发现者AP,发现者AP通过扫描来自附近AP的Beacon帧关联可疑AP,然后将关联关系与云AC的STA关联动态数据库信息比较,判断可疑AP是否是非法AP。准确识别非法AP,减少了非法AP对无线网络的安全隐患。
附图说明
为了更清楚地说明本发明或现有技术中的方案,下面将对实施例或现有技术描述中所需要使用的附图作一个简单介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例所提供的无线网络的网络拓扑示意图;
图2为本发明实施例所提供的一种检测非法AP的方法流程示意图;
图3为本发明实施例所提供的一种检测非法AP的系统组成结构示意图;
图4为本发明实施例所提供的一种发现者AP的组成结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例,附图中给出了本发明的较佳实施例。本发明可以以许多不同的形式来实现,并不限于本文所描述的实施例,相反地,提供这些实施例的目的是使对本发明的公开内容的理解更加透彻全面。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本发明。本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别不同对象,而不是用于描述特定顺序。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其他步骤或单元。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本发明的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
实施例一
本发明实施例一提供一种检测非法无线接入点(Wireless Access Point,AP)的方法。参阅图1,图示为本发明实施例提供的一种无线网络的网络拓扑示意图。所述无线网络中包括云无线接入控制器(Wireless Access Point Controller,AC)10、若干AP20、和若干无线终端(Station,STA)30。若干AP20由若干合法AP22、AP23、AP24和若干非法AP21组成。云AC10是WLAN的接入控制设备,负责把来自不同AP20的数据进行汇聚并接入有线网络,同时完成AP20的配置管理、无线用户的认证、管理及宽带访问、安全等控制功能。本发明实施例中云AC10具有STA关联动态数据库和配置数据库,其中,STA动态关联数据库用于存储合法AP22、AP23、AP24上报的STA30与所述合法AP22、AP23、AP24建立的关联关系,当STA与所述合法AP22、AP23、AP24解除关联关系后,删除对应的关联关系记录;配置数据库用于存储由云AC10管理的所有合法AP22、AP23、AP24的服务集标识(Service Set Identifier,SSID)。本发明实施例中,以AP21为非法AP,以AP22为发现者AP为例进行说明。在无线网络中,如果有非法AP21冒充合法AP23,需要及时发现并识别,阻止STA30与非法AP21建立关联关系,或者阻止二者之间进行数据访问。参阅图2,其所示的一种检测非法AP的方法,可以应用于AP20中的任一合法AP22、AP23或者AP24。参阅图4,其所示的一种发现者AP的组成结构,其对应物理实体可以是任一合法的AP22、AP23或者AP24。
参阅图2,图示为本发明实施例提供的一种检测非法AP的方法流程图,所述方法包括:
步骤S1001:发现者AP22的无线客户端芯片基于IEEE802.11协议扫描附近的AP,收集所述被扫描AP的Beacon帧,获得N个二元组集合,所述每个二元组集合包括一个所述被扫描AP的BSSID标识和SSID标识。
在本发明实施例中,需要在现有的AP设备内置一个无线客户端芯片成为发现者AP22,所述无线客户端芯片与发现者AP22的其他硬件模块独立。通过此无线客户端芯片发现者AP22可以接入无线信号覆盖范围内的其他AP。当发现者AP22不启用检测非法AP功能时,默认禁用所述无线客户端芯片,避免对无线发射端信号产生干扰。
发现者AP22内置的无线客户端芯片根据IEEE 802.11协议,通过监听并收集附近被扫描AP的Beacon帧,获得若干被扫描AP的BSSID标识及相关的SSID标识。假设获得N个二元组集合S1={BSSID-1,SSID-1},…,{BSSID-n,SSID-n},其中每个二元组集合包括一个所述被扫描AP的BSSID标识和SSID标识。
步骤S1002:发现者AP22上报第一SSID标识集合给云AC,所述第一SSID标识集合包括所述N个被扫描AP的SSID标识。
发现者AP22将所收集的SSID标识组成第一SSID标识集合{SSID-1,…,SSID-n}上报给云AC10,请求云AC10判断可疑SSID标识。所述第一SSID标识集合包括所述N个被扫描AP的SSID标识。
步骤S1003:发现者AP22接收所述云AC10过滤得到的第二SSID标识集合,所述第二SSID标识集合包括N个可疑AP的SSID标识。
云AC10将收到的第一SSID标识集合{SSID-1,…,SSID-n}与其配置数据库中存储的由云AC10管理的所有合法AP的SSID标识集合{SSID-1,…,SSID-m}比较,找到标识相同或相似的第二SSID标识集合S2={SSID-i,…,SSID-k},并响应给发现者AP22。通常非法AP使用与合法AP相同或相似的SSID标识蒙蔽用户,使得用户不知不觉中访问了非法AP。因此,通过云AC找出与合法AP的SSID标识相同或相似的SSID标识来圈定可疑的AP,然后,进一步判断可疑AP是否为非法AP。
步骤S1004:发现者AP22将所述第二SSID标识集合与所述二元组集合匹配,得到第一BSSID标识集合,所述第一BSSID标识集合包括N个可疑AP的BSSID标识。
发现者AP22将所述第二SSID标识集合S2={SSID-I,…,SSID-k}与所述二元组集合S1={BSSID-1,SSID-1},…,{BSSID-n,SSID-n}匹配,得到第一BSSID标识集合S3={BSSID-i,…,BSSID-k},所述第一BSSID标识集合S3={BSSID-I,…,BSSID-k}包括N个可疑AP的BSSID标识。
步骤S1005:发现者AP22的无线客户端芯片基于IEEE802.11协议,向所述第一BSSID标识集合中的一BSSID标识对应的可疑AP发起建立关联关系请求。
发现者AP22的无线客户端芯片基于IEEE802.11协议,依次向所述第一BSSID标识集合S3={BSSID-I,…,BSSID-k}中的BSSID标识对应的可疑AP发起建立关联关系请求;若建立关联关系失败,则向另一BSSID标识对应的可疑AP发起建立关联关系请求。
若BSSID标识对应的可疑AP为开放式,即无加密模式,则发现者AP22可以直接访问对应的AP;否则,发现者AP22需要到AC10获取相应的加密秘钥,才能访问对应的AP。
步骤S1006:发现者AP22将自己的MAC地址与所述可疑AP的BSSID标识建立的关联关系上报给所述云AC10,使得所述云AC10根据其建立的STA关联动态数据库判断是否存在相同的关联关系。
发现者AP22内置的无线客户端芯片根据IEEE 802.11协议成功接入可疑AP后,将成功接入可疑AP的BSSID标识和自己的MAC地址上报给云AC10,即{MAC,BSSID}二元组,并请求云AC10判定是否存在这一关联关系。
云AC10收到发现者AP22上报的{MAC,BSSID}二元组,查询STA关联动态数据库,判断是否存在相同值的二元组,若不存在,则表明当前接入的可疑AP是非法AP;若存在,则表明当前接入的可疑AP是合法AP。所述STA动态关联数据库用于存储合法AP20上报的STA30与所述合法AP20建立的关联关系,当STA与所述合法AP20解除关联关系后,删除对应的关联关系记录。
步骤S1007:若存在相同的关联关系,所述发现者AP22接收指示所述可疑AP为合法AP的指令;若不存在相同的关联关系,所述发现者AP22接收指示所述可疑AP为非法AP的指令。
若存在相同的关联关系,所述发现者AP22接收云AC下发的指示所述可疑AP为合法AP的指令;若不存在相同的关联关系,所述发现者AP22接收云AC下发的指示所述可疑AP为非法AP的指令。
当发现可疑AP为非法AP时,发现者AP通过无线客户端芯片向其进行告警或攻击动作。
通过本发明实施例提供的一种检测非法AP的方法,发现者AP通过内置的无线客户户端芯片扫描来自附近AP的Beacon帧,并且关联可疑AP,然后将关联关系与云AC的STA关联动态数据库信息比较,判断可疑AP是否是非法AP。准确识别非法AP,减少了非法AP对无线网络的安全隐患。
实施例二
本发明实施例二提供一种检测非法AP的系统。参阅图4,图示为本发明实施例所提供的一种检测非法AP的系统组成结构示意图。一种检测非法AP的系统,包括:AC10、发现者AP22、发现者AP22附近的AP21、AP23和AP24。
云AC10包括:STA关联动态数据库102和配置数据库104。其中,STA关联动态数据库102,用于存储合法AP上报的STA与合法AP建立的关联关系,当STA与合法AP解除关联关系后,删除对应的关联关系记录。配置数据库,用于存储合法AP的SSID标识。
发现者AP22包括:无线客户端芯片222、过滤单元224和检测单元226。
无线客户端芯片222,用于基于IEEE802.11协议扫描附近的AP,收集所述被扫描AP的Beacon帧,获得N个二元组集合,所述每个二元组集合包括一个所述被扫描AP的BSSID标识和SSID标识。
过滤单元224,用于上报第一SSID标识集合给所述云AC10,所述第一SSID标识集合包括所述N个被扫描AP的SSID标识。云AC10将接收到的所述第一SSID标识集合中的SSID标识与所述配置数据库104中存储的合法AP的SSID标识比较,与所述合法AP的SSID标识相同或相似的SSID标识组成所述第二SSID标识集合,将所述第二SSID标识集合发送给所述发现者AP22的过滤单元224。过滤单元224接收所述云AC10过滤得到的第二SSID标识集合,所述第二SSID标识集合包括N个可疑AP的SSID标识;以及,将所述第二SSID标识集合与所述二元组集合匹配,得到第一BSSID标识集合,所述第一BSSID标识集合包括N个可疑AP的BSSID标识。
检测单元226,用于通过无线客户端芯片基于IEEE802.11协议,向所述第一BSSID标识集合中的一BSSID标识对应的可疑AP发起建立关联关系请求;将自己的MAC地址与所述可疑AP的BSSID标识建立的关联关系上报给所述云AC10,使得所述云AC10根据其建立的STA关联动态数据库102判断是否存在相同的关联关系;若存在相同的关联关系,接收所述云AC10下发的指示所述可疑AP为合法AP的指令;若不存在相同的关联关系,接收所述云AC10下发的指示所述可疑AP为非法AP的指令。
通过本发明实施例提供的一种检测非法AP的系统,在云AC10上建立STA关联动态数据库,在现有AP中内置无线客服端芯片成为发现者AP,通过发现者AP内置的无线客户户端芯片扫描来自附近AP的Beacon帧,并且关联可疑AP,然后将关联关系与云AC的STA关联动态数据库信息比较,判断可疑AP是否是非法AP。准确识别非法AP,减少了非法AP对无线网络的安全隐患。
实施例三
本发明实施例三提供一种用于检测非法AP的发现者AP。参阅图4,图示为本发明实施例所提供的一种发现者AP的组成结构示意图。一种发现者AP23,用于检测非法AP,包括:无线客户端芯片232、过滤单元234和检测单元236。
无线客户端芯片232,用于基于IEEE802.11协议扫描附近的AP,收集所述被扫描AP的Beacon帧,获得N个二元组集合,所述每个二元组集合包括一个所述被扫描AP的BSSID标识和SSID标识。
过滤单元234,用于上报第一SSID标识集合给云AC10,所述第一SSID标识集合包括所述N个被扫描AP的SSID标识。云AC10将接收到的所述第一SSID标识集合中的SSID标识与所述配置数据库104中存储的合法AP的SSID标识比较,与所述合法AP的SSID标识相同或相似的SSID标识组成所述第二SSID标识集合,将所述第二SSID标识集合发送给所述发现者AP23的过滤单元234。接收所述云AC10过滤得到的第二SSID标识集合,所述第二SSID标识集合包括N个可疑AP的SSID标识;以及,将所述第二SSID标识集合与所述二元组集合匹配,得到第一BSSID标识集合,所述第一BSSID标识集合包括N个可疑AP的BSSID标识;以及
检测单元236,用于通过所述无线客户端芯片232基于IEEE802.11协议,向所述第一BSSID标识集合中的一BSSID标识对应的可疑AP发起建立关联关系请求,若建立关联关系失败,向所述第一BSSID标识集合中的另一BSSID标识对应的可疑AP发起建立关联关系请求;若建立关联关系成功,将自己的MAC地址与所述可疑AP的BSSID标识建立的关联关系上报给所述云AC10,使得所述云AC10根据其建立的STA关联动态数据库102判断是否存在相同的关联关系,所述STA关联动态数据库102用于存储合法AP上报的STA与所述合法AP建立的关联关系,当STA与所述合法AP解除关联关系后,删除对应的关联关系记录。若存在相同的关联关系,接收所述云AC10下发的指示所述可疑AP为合法AP的指令;若不存在相同的关联关系,接收所述云AC10下发的指示所述可疑AP为非法AP的指令。
当发现可疑AP为非法AP时,发现者AP23通过无线客户端芯片232向其进行告警或攻击动作。
通过本发明实施例提供的一种用于检测非法AP的发现者AP,通过在其内置的无线客户端芯片扫描来自附近AP的Beacon帧,并且关联可疑AP,然后将关联关系与云AC的STA关联动态数据库信息比较,判断可疑AP是否是非法AP。准确识别非法AP,减少了非法AP对无线网络的安全隐患。
在本发明所提供的上述实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如,多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
以上仅为本发明的实施例,但并不限制本发明的专利范围,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来而言,其依然可以对前述各具体实施方式所记载的技术方案进行修改,或者对其中部分技术特征进行等效替换。凡是利用本发明说明书及附图内容所做的等效结构,直接或间接运用在其他相关的技术领域,均同理在本发明专利保护范围之内。
Claims (11)
1.一种检测非法AP的方法,其特征在于,包括:
发现者AP的无线客户端芯片基于IEEE802.11协议扫描附近的AP,收集被扫描AP的Beacon帧,获得二元组集合,所述二元组集合包括N1个所述被扫描AP的BSSID标识和SSID标识;
所述发现者AP上报第一SSID标识集合给云AC,所述第一SSID标识集合包括所述N1个被扫描AP的SSID标识;
所述发现者AP接收所述云AC过滤得到的第二SSID标识集合,所述第二SSID标识集合包括N个可疑AP的SSID标识;
所述发现者AP将所述第二SSID标识集合与所述二元组集合匹配,得到第一BSSID标识集合,所述第一BSSID标识集合包括N个可疑AP的BSSID标识;
所述发现者AP的无线客户端芯片基于IEEE802.11协议,向所述第一BSSID标识集合中的一BSSID标识对应的可疑AP发起建立关联关系请求;
所述发现者AP将自己的MAC地址与所述可疑AP的BSSID标识建立的关联关系上报给所述云AC,使得所述云AC根据其建立的STA关联动态数据库判断是否存在相同的关联关系,所述云AC建立的所述STA关联动态数据库用于存储合法AP上报的STA与所述合法AP建立的关联关系;
若存在相同的关联关系,所述发现者AP接收指示所述可疑AP为合法AP的指令;若不存在相同的关联关系,所述发现者AP接收指示所述可疑AP为非法AP的指令。
2.根据权利要求1所述的方法,其特征在于,当STA与所述合法AP解除关联关系后,删除对应的关联关系记录。
3.根据权利要求1所述的方法,其特征在于,所述步骤:所述发现者AP接收所述云AC过滤得到的第二SSID标识集合,具体包括:所述云AC将接收到的所述第一SSID标识集合中的SSID标识与其配置数据库中存储的合法AP的SSID标识比较,与所述合法AP的SSID标识相同或相似的SSID标识组成所述第二SSID标识集合,将所述第二SSID标识集合发送给所述发现者AP。
4.根据权利要求1所述的方法,其特征在于,所述步骤:所述发现者AP的无线客户端芯片基于IEEE802.11协议,向所述第一BSSID标识集合中的一BSSID标识对应的可疑AP发起建立关联关系请求,还包括:
若建立关联关系失败,所述发现者AP的无线客户端芯片基于IEEE802.11协议,向所述第一BSSID标识集合中的另一BSSID标识对应的可疑AP发起建立关联关系请求。
5.一种检测非法AP的系统,其特征在于,包括:云AC和发现者AP,其中,所述 云AC包括:
STA关联动态数据库,用于存储合法AP上报的STA与所述合法AP建立的关联关系,当STA与所述合法AP解除关联关系后,删除对应的关联关系记录;
所述发现者AP包括:无线客户端芯片、过滤单元和检测单元;其中,
所述无线客户端芯片,用于基于IEEE802.11协议扫描附近的AP,收集所述被扫描AP的Beacon帧,获得二元组集合,所述二元组集合包括N1个所述被扫描AP的BSSID标识和SSID标识;
所述过滤单元,用于上报第一SSID标识集合给所述云AC,所述第一SSID标识集合包括所述N1个被扫描AP的SSID标识;接收所述云AC过滤得到的第二SSID标识集合,所述第二SSID标识集合包括N个可疑AP的SSID标识;以及,将所述第二SSID标识集合与所述二元组集合匹配,得到第一BSSID标识集合,所述第一BSSID标识集合包括N个可疑AP的BSSID标识;
所述检测单元,用于通过无线客户端芯片基于IEEE802.11协议,向所述第一BSSID标识集合中的一BSSID标识对应的可疑AP发起建立关联关系请求;将自己的MAC地址与所述可疑AP的BSSID标识建立的关联关系上报给所述云AC,使得所述云AC根据其建立的STA关联动态数据库判断是否存在相同的关联关系;若存在相同的关联关系,接收所述云AC下发的指示所述可疑AP为合法AP的指令;若不存在相同的关联关系,接收所述云AC下发的指示所述可疑AP为非法AP的指令。
6.根据权利要求5所述的系统,其特征在于,所述云AC还包括:
配置数据库,用于存储合法AP的SSID标识。
7.根据权利要求6所述的系统,其特征在于,所述云AC过滤得到的第二SSID标识集合,具体包括:所述云AC将接收到的所述第一SSID标识集合中的SSID标识与所述配置数据库中存储的合法AP的SSID标识比较,与所述合法AP的SSID标识相同或相似的SSID标识组成所述第二SSID标识集合,将所述第二SSID标识集合发送给所述发现者AP的过滤单元。
8.一种发现者AP,用于检测非法AP,其特征在于,包括:
无线客户端芯片,用于基于IEEE802.11协议扫描附近的AP,收集所述被扫描AP的Beacon帧,获得二元组集合,所述二元组集合包括N1个所述被扫描AP的BSSID标识和SSID标识;
过滤单元,用于上报第一SSID标识集合给云AC,所述第一SSID标识集合包括所述N1个被扫描AP的SSID标识;接收所述云AC过滤得到的第二SSID标识集合,所述第二 SSID标识集合包括N个可疑AP的SSID标识;以及,将所述第二SSID标识集合与所述二元组集合匹配,得到第一BSSID标识集合,所述第一BSSID标识集合包括N个可疑AP的BSSID标识;以及
检测单元,用于通过所述无线客户端芯片基于IEEE802.11协议,向所述第一BSSID标识集合中的一BSSID标识对应的可疑AP发起建立关联关系请求;将自己的MAC地址与所述可疑AP的BSSID标识建立的关联关系上报给所述云AC,使得所述云AC根据其建立的STA关联动态数据库判断是否存在相同的关联关系,所述云AC建立的所述STA关联动态数据库用于存储合法AP上报的STA与合法AP建立的关联关系;若存在相同的关联关系,接收所述云AC下发的指示所述可疑AP为合法AP的指令;若不存在相同的关联关系,接收所述云AC下发的指示所述可疑AP为非法AP的指令。
9.根据权利要求8所述的AP,其特征在于,当STA与所述合法AP解除关联关系后,删除对应的关联关系记录。
10.根据权利要求8所述的AP,其特征在于,所述过滤单元接收所述云AC过滤得到的第二SSID标识集合,所述第二SSID标识集合包括N个可疑AP的SSID标识,具体包括:所述云AC将接收到的所述第一SSID标识集合中的SSID标识与其配置数据库中存储的合法AP的SSID标识比较,与所述合法AP的SSID标识相同或相似的SSID标识组成所述第二SSID标识集合,将所述第二SSID标识集合发送给所述发现者AP的过滤单元。
11.根据权利要求8所述的AP,其特征在于,所述检测单元还用于,当通过所述无线客户端芯片基于IEEE802.11协议,向所述第一BSSID标识集合中的一BSSID标识对应的可疑AP发起建立关联关系请求失败,向所述第一BSSID标识集合中的另一BSSID标识对应的可疑AP发起建立关联关系请求。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710170797.3A CN106961683B (zh) | 2017-03-21 | 2017-03-21 | 一种检测非法ap的方法、系统及发现者ap |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710170797.3A CN106961683B (zh) | 2017-03-21 | 2017-03-21 | 一种检测非法ap的方法、系统及发现者ap |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106961683A CN106961683A (zh) | 2017-07-18 |
| CN106961683B true CN106961683B (zh) | 2021-07-02 |
Family
ID=59471325
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710170797.3A Active CN106961683B (zh) | 2017-03-21 | 2017-03-21 | 一种检测非法ap的方法、系统及发现者ap |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106961683B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107896372A (zh) * | 2017-11-07 | 2018-04-10 | 河南溯源通信科技有限公司 | 一种钓鱼热点检测方法、装置与路由器 |
| CN108430063B (zh) * | 2018-04-13 | 2021-11-19 | 上海尚往网络科技有限公司 | 一种用于监测无线局域网中arp欺骗的方法与设备 |
| CN111698766B (zh) * | 2020-06-18 | 2020-12-04 | 深圳市乙辰科技股份有限公司 | 智能组网方法、装置和可读存储介质 |
| CN112105029B (zh) * | 2020-08-07 | 2022-07-12 | 新华三技术有限公司 | 一种反制非法设备的方法及设备 |
| CN113708989A (zh) * | 2021-07-31 | 2021-11-26 | 新华三技术有限公司成都分公司 | 一种检测ap的方法、检测ap的装置和ap |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI307232B (en) * | 2006-06-09 | 2009-03-01 | Hon Hai Prec Ind Co Ltd | Wireless local area network with protection function and method for preventing attack |
| CN101079741A (zh) * | 2007-06-29 | 2007-11-28 | 杭州华三通信技术有限公司 | 接入点,接入控制器以及监控非法接入的方法 |
| CN105101396B (zh) * | 2014-04-29 | 2019-01-25 | 国基电子(上海)有限公司 | 无线接入点以及无线连接方法 |
| CN105792216B (zh) * | 2016-05-18 | 2019-08-02 | 上海交通大学 | 基于认证的无线钓鱼接入点检测方法 |
| CN106507363B (zh) * | 2017-01-06 | 2019-04-02 | 北京锐云通信息技术有限公司 | 一种发现钓鱼接入点的方法 |
-
2017
- 2017-03-21 CN CN201710170797.3A patent/CN106961683B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN106961683A (zh) | 2017-07-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106961683B (zh) | 一种检测非法ap的方法、系统及发现者ap | |
| EP3906652B1 (en) | Protecting a telecommunications network using network components as blockchain nodes | |
| RU2546610C1 (ru) | Способ определения небезопасной беспроводной точки доступа | |
| US8782745B2 (en) | Detection of unauthorized wireless access points | |
| CN107197456B (zh) | 一种基于客户端的识别伪ap的检测方法及检测装置 | |
| CN106572464B (zh) | 无线局域网中非法ap监测方法及其抑制方法、监测ap | |
| CN107948974B (zh) | 一种WiFi安全认证方法 | |
| US20070186276A1 (en) | Auto-detection and notification of access point identity theft | |
| CN105681272B (zh) | 一种移动终端钓鱼WiFi的检测与抵御方法 | |
| US20190387408A1 (en) | Wireless access node detecting method, wireless network detecting system and server | |
| CN106060072B (zh) | 认证方法以及装置 | |
| US11337067B2 (en) | Systems and methods for providing wireless access security by interrogation | |
| CN106982430B (zh) | 一种基于用户使用习惯的Portal认证方法及系统 | |
| KR20160099182A (ko) | 무선 디바이스에 대한 보안 서비스 제공 방법 및 장치 | |
| Jang et al. | Catch me if you can: Rogue access point detection using intentional channel interference | |
| Chen et al. | Enhancing Wi-Fi Device Authentication Protocol Leveraging Channel State Information | |
| CN106982434B (zh) | 一种无线局域网安全接入方法及装置 | |
| Lovinger et al. | Detection of wireless fake access points | |
| CN111405548B (zh) | 一种钓鱼wifi的检测方法及装置 | |
| Kim et al. | A technical survey on methods for detecting rogue access points | |
| KR20150041407A (ko) | 신뢰 액세스포인트 접속 장치 및 방법 | |
| KR101186873B1 (ko) | 시그니쳐 기반 무선 침입차단시스템 | |
| Setiadji et al. | Lightweight method for detecting fake authentication attack on Wi-Fi | |
| Liu et al. | Attack behavioural analysis and secure access for wireless access point (AP) in open system authentication | |
| CN109379744B (zh) | 伪基站识别方法、装置及通信终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20201201 Address after: Room 10242, No. 260, Jiangshu Road, Xixing street, Binjiang District, Hangzhou City, Zhejiang Province Applicant after: Hangzhou Jiji Intellectual Property Operation Co.,Ltd. Address before: 201616 Shanghai city Songjiang District Sixian Road No. 3666 Applicant before: Phicomm (Shanghai) Co.,Ltd. |
|
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20210526 Address after: 321015 12b12-1, building 4, Wanda Plaza, duohu street, Jindong District, Huzhou City, Zhejiang Province Applicant after: Jinhua Zhizhen communication equipment Co.,Ltd. Address before: Room 10242, No. 260, Jiangshu Road, Xixing street, Binjiang District, Hangzhou City, Zhejiang Province Applicant before: Hangzhou Jiji Intellectual Property Operation Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230810 Address after: 313000 room 1019, Xintiandi commercial office, Yishan street, Wuxing District, Huzhou, Zhejiang, China Patentee after: Huzhou YingLie Intellectual Property Operation Co.,Ltd. Address before: 321015 12b12-1, building 4, Wanda Plaza, duohu street, Jindong District, Huzhou City, Zhejiang Province Patentee before: Jinhua Zhizhen communication equipment Co.,Ltd. |