CN108134996A - 一种非法无线接入点的检测及阻断方法 - Google Patents

一种非法无线接入点的检测及阻断方法 Download PDF

Info

Publication number
CN108134996A
CN108134996A CN201711405183.5A CN201711405183A CN108134996A CN 108134996 A CN108134996 A CN 108134996A CN 201711405183 A CN201711405183 A CN 201711405183A CN 108134996 A CN108134996 A CN 108134996A
Authority
CN
China
Prior art keywords
access point
channel
detection
itself
equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201711405183.5A
Other languages
English (en)
Inventor
方立飞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
VOLANS TECHNOLOGY DEVELOPMENT Corp
Original Assignee
VOLANS TECHNOLOGY DEVELOPMENT Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by VOLANS TECHNOLOGY DEVELOPMENT Corp filed Critical VOLANS TECHNOLOGY DEVELOPMENT Corp
Priority to CN201711405183.5A priority Critical patent/CN108134996A/zh
Publication of CN108134996A publication Critical patent/CN108134996A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种非法无线接入点的检测及阻断方法,包括以下步骤:A、周期性检测设备自身所处工作信道,在一个偏离工作信道的周期内,需检测一个非设备自身所处信道以获得设备周围接入点的列表;B、得到与自身SSID相同的接入点,并通过动态加密方法判断与自身SSID相同的接入点的合法性;C、若接入点为非法接入点则进入接入点阻断步骤。该方法简单有效,避免了非法接入点漏检的情况,提高用户使用网络的安全性,保证已接入工作站的通信不受影响。

Description

一种非法无线接入点的检测及阻断方法
技术领域
本发明涉及网络安全技术领域,具体涉及一种非法无线接入点的检测及阻断方法。
背景技术
当前几乎所有的公共场所都会提供免费的WiFi服务,譬如机场、车站、商场、咖啡厅等等。在这些场所,一些非法用户提供与场所WiFi SSID相同的接入点,诱导用户接入,从而获取用户信息、侵犯用户隐私,甚至控制用户设备,这些接入点被称作非法接入点。
这种非法接入点之所以能够诱导用户接入,原理在于IEEE80211协议规定的无线接入点被发现的两种方式。在被动方式中,STA在所支持的信道列表里不断切换,等待Beacon的到来。在主动方式中,工作站在所支持的信道列表中不断切换,并主动发出ProbeRequest帧,并等待Probe Response帧。这两种方式都能获取到空间中无线接入点的信息,但却没有真伪区分,只要SSID名称相同,用户就有很大机会接入非法的接入点。
当前非法AP检测的方法有多种,其均采用单信道检测,即仅对设备自身所在信道的接入点进行检测,但是,其对接入点的检测不够全面,易导致漏检等情况。
发明内容
本发明为了解决上述技术问题提供一种非法无线接入点的检测及阻断方法。
本发明通过下述技术方案实现:
一种非法无线接入点的检测及阻断方法,包括以下步骤:
A、周期性地偏离设备自身所处的工作信道,在一个偏离工作信道的周期内,需检测一个非设备自身所处信道以获得设备周围的接入点的列表;
B、得到与自身SSID相同的接入点,并通过动态加密方法判断与自身SSID相同的接入点的合法性;
C、若接入点为非法接入点则进入接入点阻断步骤。
本方案通过对多信道接入点的检测,扩展了信道检测范围,避免了非法接入点漏检的情况,提高用户使用网络的安全性。在多信道检测时,周期性的对设备自身所处信道进行检测,且在一个偏离工作信道的周期内,仅检测一个非设备自身所处信道,使得对非设备自身所处信道的检测不影响已接入的工作站的数据通信。通过动态加密的方法对接入点合法性进行判断,不易被模拟、被破解,安全性高。现有技术中,对非工作信道的其它信道SSID的检测都是一次扫描所有合法信道,并没有分离成一个一个信道进行检测。而分离成一个一个信道进行检测时,已经接入用户无法使用或可能掉线。或者为了避免技术上实现的难度,额外新增一个专用无线芯片进行检测,当然这样也增加了成本。而采用本方法,不仅可避免成本的增加,在检测过程中,即可避免已经接入用户无法使用或掉线的情况,实现对接入点的全面检测,提高设备的安全性。
作为优选,步骤A具体为:
在一个偏离工作信道的周期开始时发起工作信道偏离检测,偏离检测的工作信道为与设备自身所处信道不同的合法信道,并检测当前接入工作站收发空闲时间;当检测到工作站处于收发空闲时间,则向该偏离检测的合法信道发送Probe Request帧并接收该工作信道的回应;若在一个偏离工作信道的周期均没有检测到工作站处于收发空闲时间,则在该信道检测周期结束前无条件执行。在执行偏离检测时,在工作站收发空闲时间执行,使对工作站的数据通信的影响降到最小。
作为优选,所述通过动态加密方法判断与自身SSID相同的接入点的合法性的具体方法为:
广播发送Beacon报文或单播Probe Response帧,所述Beacon报文或ProbeResponse帧包括合法的设备的SSID,携带一种加密字段,所述加密字段中包括设备自身的MAC地址与TSF;此处Probe Response帧即为对Probe Request帧的回应帧;合法的设备在广播发送的Beacon报文或单播的Probe Response帧中携带加密字段;
接收与自身SSID相同的接入点广播的Beacon报文或Probe Response帧;
解密接收到的Beacon报文或Probe Response帧中的加密字段并与该设备自身的MAC地址与TSF做比较,若不一致,则判定为非法接入点。
现有非法接入点的判断方法很多,如跟据Beacon报文信息中MAC地址是否为厂商专用MAC来判断,这是最容易被破解的方式,只要克隆MAC地址前三个字节即可;又比如跟据固化到硬件中的MAC和SN合成加密数据,放入Beacon报文中,通过这些字段进行真伪判断,检测时先解密,并从庞大的SN数据库中进行匹配,而且所有SN必须先存储在本地,如果有新的合法SN,而本地SN库却没有更新,就无法匹配。而本方案的加密字段采用设备自身的MAC地址与TSF生成加密字段,TSF即Timing Synchronization Function,是一个时刻变化的以微秒为单位的定时器,包含在Beacon或Probe Response帧中,所以生成的加密字段也是时刻变化着,可以避免不法分子直接克隆加密字段,放入Beacon与Probe Response帧中,让检测结果不准确。
作为优选,所述接入点阻断步骤包括:
非法接入点的信道与设备自身所处工作信道不同,则向已经接入合法接入点的工作站发送信道切换宣告的管理帧,以便于向非法接入点所在信道切换,已接入的工作站不会断开连接;
信道切换成功后,定期以非法接入点的MAC地址广播disassoc帧并检测当前信道的非法接入点是否依然存在,若不存在,则回到步骤A;若存在,则继续非法接入点的MAC地址广播disassoc帧。Disassoc即去关联。
现有的接入点阻断方法很多,如在工作站端阻断,又如连接非法接入点连接以占用该非法接入口等,其方法复杂。本方案提供的阻断方法简单有效,不必单独给每个接入非法接入点的工作站发送De-Authentication报文。这样的好处是已经接入的工作站会自动断开,未接入的工作站再也接入不了,而不需要去侦听非法接入点的数据通信,分析出已接入非法接入点的工作站,且对自身工作站的数据通讯也不产生任何影响。
进一步的,所述管理帧包括所要切换的信道编号和信道切换倒计时。
本发明与现有技术相比,至少具有如下的优点和有益效果:
1、本发明通过对多信道接入点的检测,扩展了信道检测范围,避免了非法接入点漏检的情况,提高用户使用网络的安全性。
2、本发明在一个偏离工作信道的周期内,仅检测一个非设备自身所处信道,使得对非设备自身所处信道的检测不影响已接入的工作站的数据通信,保证已接入工作站的通信不受影响。
3、本发明通过动态加密的方法对接入点合法性进行判断,不易被模拟、被破解,安全性高。
4、本发明利用信道切换宣告,向非法接入点所在信道切换,并定期以非法接入点MAC向周围广播disassoc帧来实施阻断,方法简单有效,对自身工作站的数据通讯也不产生任何影响。
附图说明
图1为本发明的流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下面结合实施例和附图,对本发明作进一步的详细说明,本发明的示意性实施方式及其说明仅用于解释本发明,并不作为对本发明的限定。
实施例1
如图1所示的一种非法无线接入点的检测及阻断方法,包括以下步骤:
A、周期性地偏离设备自身所处的工作信道,在一个偏离工作信道的周期内,需检测一个非设备自身所处信道以获得设备周围的接入点的列表;即每个偏离工作信道的周期即要检测设备自身所处信道,也要检测一个非设备自身所处信道,通过多个周期完成设备自身所处信道以及所有非设备自身所处信道的检测以获得设备周围所有合法信道的接入点列表;
B、得到与自身SSID相同的接入点,并通过动态加密方法判断与自身SSID相同的接入点的合法性;
C、若接入点为非法接入点则进入接入点阻断步骤。
实施例2
合法的无线接入点服务启动之后,工作站通过被动或主动方式发现该服务。对用户来说,服务集标识,即SSID,是其能识别的唯一标志。这时合法无线接入点自身的SSID已经是确定的。
基于上述实施例的原理,本实施例公开一具体实施例。
在一个偏离工作信道的周期开始时发起工作信道偏离检测,偏离检测的工作信道为与设备自身所处信道不同的合法工作信道,偏离检测的工作信道优先采用顺序循环的方式,并检测当前接入工作站收发空闲时间。
当检测到工作站处于收发空闲时间,则向该偏离检测的合法信道发送ProbeRequest帧并接收该工作信道的回应;若在一个偏离工作信道的周期均没有检测到工作站处于收发空闲时间,则在该信道检测周期结束前无条件向该偏离检测的工作信道发送Probe Request帧并接收该工作信道的回应。一般Beacon帧是每100ms发一次,如果在一个Beacon帧发出第95ms时,偏离当前工作信道,由于检测一个信道需要10ms,所以可能会引起Beacon丢失,这样可能会引起接入用户掉线。为解决上述问题,偏离工作信道的时机,会在Beacon帧刚发出去时决定,以免Beacon帧在信道偏离时丢失。
以2.4G频段、该偏离工作信道的周期以20秒、发送Probe Request帧等待回应时间为10毫秒为例,该空闲时间指有多少毫秒没有工作站的收发数据,譬如,10ms时间没有工作站的收发数据,这10ms的时间是偏离工作信道,到其它合法但非工作信道发出ProbeRequest后的等待时间,等待时间用来接收Probe Response,可以调整,如5~15毫秒,不建议过长,这样会影响接入用户的使得体验,也不建议过短,这样对Probe Response帧接收不完全。执行全部信道检测需要13个这样的周期,由于有一个信道为设备自身工作信道,所有只需12次偏离工作信道的周期,即12个20秒即可完成所有信道的轮询检测,因此,总共偏离工作信道的时间为120毫秒,与正常工作占比仅为1/2000,对工作站正常使用的影响微乎其微。偏离工作信道的周期最好不要小于1秒,最大不超过60秒,否则检测时间过长。接收该工作信道的回应时间最短不要少于5毫秒,最长不要超过30毫秒,因为一般的Beacon时槽设置为100毫秒。
通过上述步骤,获得周围接入点的列表,通过自身SSID名称过滤掉无效的接入点,即SSID名不同的接入点。对于与自身SSID相同的接入点,其可能为与设备自身工作信道相同,也可能与设备自身工作信道不同,其均可以通过动态加密方法判断其合法性。
对于与设备自身工作信道相同的接入点:
同现有技术相同的广播发送Beacon报文,Beacon报文携带设备自身的SSID和加密字段;不同的是,加密字段包括设备自身的MAC地址与TSF;
接收与自身SSID相同的接入点广播的Beacon报文;
解密接收Beacon报文中的加密字段并与设备自身的MAC地址与TSF做比较,若不一致,则判定为非法接入点。
对于与设备自身工作信道不同的接入点:
单播发送Probe Response帧,Probe Response帧携带合法设备的SSID和加密字段,加密字段同样包括设备自身的MAC地址与TSF;
接收与自身SSID相同的接入点广播的ProbeResponse帧;
解密接收到的Probe Response帧中的加密字段并与设备自身的MAC地址与TSF做比较,若不一致,则判定为非法接入点。
检测到非法接入点后,停止工作信道偏离检测,则进入接入点阻断步骤。针对与设备自身工作信道不同的接入点,向已经接入合法接入点的工作站发送信道切换宣告的管理帧,管理帧中包含新的信道编号和信道切换倒计时,以便于向非法接入点所在信道切换时,已接入的工作站不会断开连接。当信道切换成功后,仅通过Beacon和Probe Response检测当前非法接入的存在。
信道切换成功后,定期以非法接入点的MAC地址广播disassoc帧,通过以非法接入点的MAC向所以用户发出断开连接的帧,按照协议规定,工作站需要断开连接,不必单独给每个接入非法接入点的工作站发送De-Authentication报文。这样已经接入的工作站会自动断开,未接入的工作站再也接入不了,而不需要去侦听非法接入点的数据通信,分析出已接入非法接入点的工作站,且对自身工作站的数据通讯也不产生任何影响。
检测当前信道的非法接入点是否依然存在,具体的,当检测到非法接入点的Beacon帧消失一段时间,或没有Probe Response回应时,则回到工作信道偏离检测;反之,则继续非法接入点的MAC地址广播disassoc帧。一般来说Beacon时槽为100毫秒,Beacon消失1分钟会有600个Beacon帧丢失。此处的一段时间最好大于1分钟,以免非法接入点在进行系统重启。
采用本实施例的方法能够让非工作信道的无线非法接入点更容易被检测出来,且不易被破解,并保证已接入工作站的通信不受影响。用更简单的阻断方式阻断工作站对非法接入点的接入操作。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (5)

1.一种非法无线接入点的检测及阻断方法,其特征在于,包括以下步骤:
A、周期性地偏离设备自身所处的工作信道,在一个偏离工作信道的周期内,需检测一个非设备自身所处信道以获得设备周围的接入点的列表;
B、得到与自身SSID相同的接入点,并通过动态加密方法判断与自身SSID相同的接入点的合法性;
C、若接入点为非法接入点则进入接入点阻断步骤。
2.根据权利要求1所述的一种非法无线接入点的检测及阻断方法,其特征在于,步骤A具体为:
在一个偏离工作信道的周期开始时发起工作信道偏离检测,偏离检测的信道为与设备自身所处信道不同的合法信道,并检测当前接入工作站收发空闲时间;
当检测到工作站处于收发空闲时间,则向该次偏离的合法信道发送Probe Request帧并接收该信道的回应;若在一个偏离工作信道的周期均没有检测到工作站处于收发空闲时间,则在该信道检测周期结束前无条件执行。
3.根据权利要求1所述的一种非法无线接入点的检测及阻断方法,其特征在于,所述通过动态加密方法判断与自身SSID相同的接入点的合法性的具体方法为:
广播发送Beacon报文或单播Probe Response帧,所述Beacon报文或Probe Response帧包括合法的设备的SSID,携带一种加密字段,所述加密字段中包括设备自身的MAC地址与TSF;
接收与自身SSID相同的接入点广播的Beacon报文或Probe Response帧;
解密接收到的Beacon报文或Probe Response帧中的加密字段并与该设备自身的MAC地址与TSF做比较,若不一致,则判定为非法接入点。
4.根据权利要求1所述的一种非法无线接入点的检测及阻断方法,其特征在于,所述接入点阻断步骤包括:
非法接入点的信道与设备自身所处工作信道不同,则向已经接入合法接入点的工作站发送信道切换宣告的管理帧,以便于向非法接入点所在信道切换;
信道切换成功后,定期以非法接入点的MAC地址广播disassoc帧并检测当前信道的非法接入点是否依然存在,若不存在,则回到步骤A;若存在,则继续非法接入点的MAC地址广播disassoc帧。
5.根据权利要求4所述的一种非法无线接入点的检测及阻断方法,其特征在于,所述管理帧包括所要切换的信道编号和信道切换倒计时。
CN201711405183.5A 2017-12-22 2017-12-22 一种非法无线接入点的检测及阻断方法 Pending CN108134996A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711405183.5A CN108134996A (zh) 2017-12-22 2017-12-22 一种非法无线接入点的检测及阻断方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711405183.5A CN108134996A (zh) 2017-12-22 2017-12-22 一种非法无线接入点的检测及阻断方法

Publications (1)

Publication Number Publication Date
CN108134996A true CN108134996A (zh) 2018-06-08

Family

ID=62391476

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711405183.5A Pending CN108134996A (zh) 2017-12-22 2017-12-22 一种非法无线接入点的检测及阻断方法

Country Status (1)

Country Link
CN (1) CN108134996A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108901025A (zh) * 2018-07-10 2018-11-27 迈普通信技术股份有限公司 一种非法接入点反制方法及反制设备
CN109922498A (zh) * 2019-04-29 2019-06-21 四川英得赛克科技有限公司 一种采用单无线热点监测技术的无线热点监测装置及其方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080250498A1 (en) * 2004-09-30 2008-10-09 France Telecom Method, Device a Program for Detecting an Unauthorised Connection to Access Points
CN103888949A (zh) * 2012-12-19 2014-06-25 杭州华三通信技术有限公司 一种非法ap的防护方法及装置
CN105657713A (zh) * 2016-03-25 2016-06-08 珠海网博信息科技股份有限公司 一种伪ap检测阻断方法、无线装置及路由器
CN106102068A (zh) * 2016-08-23 2016-11-09 大连网月科技股份有限公司 一种非法无线接入点检测与攻击方法及装置
CN106131849A (zh) * 2016-06-23 2016-11-16 深圳市百米生活股份有限公司 一种用于无线网中非法ap的检测与阻断方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080250498A1 (en) * 2004-09-30 2008-10-09 France Telecom Method, Device a Program for Detecting an Unauthorised Connection to Access Points
CN103888949A (zh) * 2012-12-19 2014-06-25 杭州华三通信技术有限公司 一种非法ap的防护方法及装置
CN105657713A (zh) * 2016-03-25 2016-06-08 珠海网博信息科技股份有限公司 一种伪ap检测阻断方法、无线装置及路由器
CN106131849A (zh) * 2016-06-23 2016-11-16 深圳市百米生活股份有限公司 一种用于无线网中非法ap的检测与阻断方法
CN106102068A (zh) * 2016-08-23 2016-11-09 大连网月科技股份有限公司 一种非法无线接入点检测与攻击方法及装置

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108901025A (zh) * 2018-07-10 2018-11-27 迈普通信技术股份有限公司 一种非法接入点反制方法及反制设备
CN108901025B (zh) * 2018-07-10 2021-07-06 迈普通信技术股份有限公司 一种非法接入点反制方法及反制设备
CN109922498A (zh) * 2019-04-29 2019-06-21 四川英得赛克科技有限公司 一种采用单无线热点监测技术的无线热点监测装置及其方法
CN109922498B (zh) * 2019-04-29 2023-12-05 四川英得赛克科技有限公司 一种采用单无线热点监测技术的无线热点监测装置及其方法

Similar Documents

Publication Publication Date Title
US7783756B2 (en) Protection for wireless devices against false access-point attacks
US8340672B2 (en) Wireless network synchronization of cells and client devices on a network
EP3082354B1 (en) Location privacy protection methods and devices
EP2713671B1 (en) Method and apparatus for repeater wi-fi protected setup connections
US11805411B2 (en) Establishing connections between WiFi access points and wireless devices via light fidelity access points
US7343411B2 (en) Method and system for secure management and communication utilizing configuration network setup in a WLAN
US8654679B2 (en) Communication apparatus, control method thereof, and computer program
CN101141259A (zh) 防止误接入接入点设备的方法及装置
CA2604843A1 (en) System and method for utilizing a wireless communication protocol in a communications network
CN105933895A (zh) Wifi入网配置数据的传输方法、智能设备及智能终端
KR101382525B1 (ko) 무선 네트워크 보안 시스템
US8428516B2 (en) Wireless ad hoc network security
JP2007306312A (ja) 無線通信接続システム
KR20140035600A (ko) 무선 침입방지 동글 장치
SE541045C2 (en) A system and method for network entity assisted honeypot access point detection
CN108134996A (zh) 一种非法无线接入点的检测及阻断方法
US7293289B1 (en) Apparatus, method and computer program product for detection of a security breach in a network
KR20100027529A (ko) 무선랜 침입 방지 시스템 및 방법
KR100874015B1 (ko) 무선랜 침입 방지 시스템 및 방법
Perkov et al. Recent advances in GSM insecurities
CN106878989B (zh) 一种接入控制方法及装置
KR101557857B1 (ko) 무선침입방지시스템의 탐지장치
KR101940722B1 (ko) 개방형 와이파이 존에서 사용자 단말기를 위한 통신 보안 제공 방법
US20230129553A1 (en) Broadcast of intrusion detection information
KR102374657B1 (ko) 무선 침입방지 시스템 검출 장치 및 이를 이용한 무선 침입방지 시스템 신호 회피 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20180608