CN1588878A - 一种无线局域网内检测非法无线接入点的方法 - Google Patents
一种无线局域网内检测非法无线接入点的方法 Download PDFInfo
- Publication number
- CN1588878A CN1588878A CN 200410053445 CN200410053445A CN1588878A CN 1588878 A CN1588878 A CN 1588878A CN 200410053445 CN200410053445 CN 200410053445 CN 200410053445 A CN200410053445 A CN 200410053445A CN 1588878 A CN1588878 A CN 1588878A
- Authority
- CN
- China
- Prior art keywords
- police
- identity
- message
- wlan
- local area
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明涉及一种无线局域网内检测非法无线接入点(Wireless AP)的方法,在无线局域网内设置有多个警察AP和多个接入AP,所述警察AP检测覆盖范围内的接入AP,并要求接入AP回应检测请求,根据回应信息判断接入AP的合法身份。对于非法接入的AP,无法回复身份确认信息,警察AP通知网管将其拆除,从而可以保证无线局域网的安全。
Description
技术领域
本发明涉及通讯领域,尤其涉及无线局域网内对非法接入的无线接入点(Wireless Access Point)进行检测并发现的方法。
背景技术
随着计算机技术和网络技术的蓬勃发展,网络在各行各业的应用越来越广。有线网络以其传输速度高,产品的品牌及数量众多和技术发展速度快等优点,在市场上有着较高的知名度和市场份额。然而,随着无线网络在技术上的成熟,产品种类的不断增加和产品成本下降,未来几年,无线网在全世界将有较大的发展。无线局域网应用越来越多,它将扩展有线局域网或在某些情况下取而代之。可以预期,在信息无所不在的未来时代,无线网将依靠其无法比拟的灵活性、可移动性和极强的可扩容性,使人们真正享受到简单、方便、快捷的无线上网。
现有的无线局域网给我们带来接入和使用的方便同时,安全性就是我们需要考虑的重点。在一些布有无线网络的公司周围,非法之徒对空中数据的截获并进行分析,这是现在无线协议非常担心的问题,因此,就会不断的有加密算法和协议的推出。在我们通常使用中,我们的安全设置都是只考虑我们选择的接入点是安全的前提下。如中国发明专利申请第02139361号、第02139508号及第01145395号就揭露了宽带无线IP系统移动终端的安全接入方法,其基于公钥证书机制,当移动终端MT登录至无线接入点AP时必须进行身份认证,若认证成功,则无线接入点AP允许移动终端MT接入,否则拒绝其登录。当成功接入后,双方均在本地由自己的私钥与对方的公钥产生会话密钥,依此对数据报文进行加解密传输。该发明在无线局域网中,依据证书进行身份认证,从而实现移动终端的接入控制与通信保密。不仅完成了移动终端的接入控制,而且实现了WLAN的通信保密功能。
但是,我们不可以排除,如果有一天有一个非法的AP被接入到无线局域网中,这时,如果我们不小心接入了这个AP,那么上述的加密就是徒劳的,数据将没有一点机密和隐私可言。任何商业机密和个人隐私都将被这个非法的AP传送到他的持有者那里。所以有必要提出一种方法,保证接入到无线局域网的AP是合法的,而使非法的AP无法接入到局域网中。
发明内容
本发明的目的在于针对上述现有技术的缺陷,提出一种在无线局域网内对非法接入的无线接入点(Wireless Access Point)进行检测并发现的方法,以保证无线局域网的安全。
本发明无线局域网中包括若干个警察AP和若干个接入AP,每个警察AP覆盖范围内的具有若干个接入AP,无线局域网内检测非法无线接入点的方法,方法包括如下步骤:
1) 察AP周期性地搜索并联接接入AP;
2) 警察AP向搜索到的接入AP发出身份请求报文;
3) 如果是合法接入AP,收到身份请求报文后,向警察回复身份确认报文;
4) 警察AP收集每个接入AP发出的身份信息报文;
5) 警察AP对有身份信息报文发出的AP,标识为合法接入AP;将接入AP身份信息汇报网管;
6) 对在规定时间内不能发出身份确认报文的AP,标识为非法AP;
7) 警察AP对标识为非法的接入AP,向网管发出告警,将非法AP的名称,MAC等识别信息告知网管。
管理员根据非法AP的名称,MAC等识别信息可以方便面找到非法接入AP并拆除,从而确保无线网络的安全。
附图说明
图1为本发明硬件设备的网络拓扑图。
图2为接入AP向警察AP身份汇报的流程图。
图3为警察AP身份请求报文格式示意图,其中A表示身份加密编号。
图4为接入AP身份响应报文格式示意图,其中A表示身份加密编号。
具体实施方式
请参阅图1,本发明的无线局域网中包括两种无线接入点(AP),即警察AP1和警察AP1覆盖范围内的若干接入AP2,接入AP2能够按照要求发布自身的身份信息,警察AP1收集这些信息并进行判别,确认局域网内每个接入AP2身份的合法性。警察AP1会周期性的扫描它的覆盖范围,并会与扫描到的接入AP2进行一次协议交互,如果交互成功则是合法接入AP,他将记录数据作为备份,如果交互不成功,则判定可能为非法AP,并向网管发出告警。这样,在一个局域网内,如果接入AP2都支持身份的汇报,并适当的放置几个具有收集汇报信息的警察AP1,当有非法AP接入时,将会被一个或多个警察AP1发现,并同时发出告警。这样很容易定位非法AP的位置范围,以便管理员找到并拆除非法AP。
其具体判断流程请参阅图2:
1) 警察AP1作为站点模式(Station mode)和接入AP2进行802.11协商,周期性地搜索并联接接入AP2;
2) 警察AP1向接入AP2发出身份请求报文,要求接入AP2回复自己的身份信息;
3) 如果是合法接入AP2,收到身份请求报文后,回复身份确认报文到警察AP1;
4) 警察AP1收集每个接入AP2发出的身份信息报文;
5) 警察AP1对有身份信息报文发出的AP2,标识为合法接入AP2;将接入AP2身份信息汇报网管;
6) 对在规定时间内不能发出身份确认报文的接入AP,重发两次身份请求报文,如果仍然没有收到回复,标识为非法AP;
7) 对标识为非法的接入AP2,向网管发出告警,并告知网管自己的名称和位置(如果有),开且将非法AP的名称,MAC(Media AccessControl,介质访问控制)地址等识别信息告知网管;
8) 网管收到告警,显示给管理员,管理员分析数据确定非法接入AP的位置,将非法接入AP排除。
以上的判断可分为两个部分实现,一个是接入AP2,另一种是警察AP1。两种AP同时部署在一个局域网内,所承担的责任各不相同。接入AP2功能是完成原有的接入功能,但能按规定发出合法身份的报文;警察AP1功能是扫描接入AP2,分析接入AP2合法性,发现非法势头入AP并进行上报。
本发明通过警察AP1对其监测的无线网络主动进行扫描,并对可扫描到的接入AP2进行关联和通信。警察AP1通过标准的802.11协议与接入AP2进行关联,以及通过私有的通信协议进行状态获取。在警察AP1内,维护着所有可扫描到的接入AP2的状态数据表。一定周期内警察AP1向网管汇报其检测到的接入AP2的状态信息。
警察AP1放在多个接入AP2重叠覆盖的范围内,这样有效的减少警察AP1的数量。由于每个警察AP1所需管理的接入AP2受到覆盖范围的限制,管理数目不会太多,可以保证扫描周期在几分钟内。此发明解决的是对非法接入网络的设备进行搜索,他可以是一个固定在某地的警察AP1,负责固定区域的设备检测;当然也可以是一个移动手持设备,让用户在不同的位置进行搜索检测。
由于本发明的承载协议仍然是无线的802.11,因此,安全的要求尤为重要。在具体实施中,采用基于802.11i的WPA(Wi-Fi保护访问,Wi-FiProtected Access)认证或WPA-PSK(Wi-Fi保护访问预共享密码,Wi-FiProtected Access Pre-shared Key)的认证。关于这两种认证对设备的具体要求如下:
1)如果在整个无线网中,系统如果支持WPA,并能提供认证服务器,在接入AP2和警察AP1上启用WPA的认证方式;
2)如果在整个无线网中,系统如果支持WPA,但不能提供认证服务器,在接入AP2和警察AP1启用WPA-PSK的认证方式;
3)如果在整个无线网中,系统不支持WPA,接入AP2和警察AP1上启用WEP(有线等效隐私,Wired Equivalent Privacy)加密算法。
在警察AP1与接入AP2身份信息交互中,我们采用了一组私有协议来完成。请参如图3,警察AP1发出的身份请求报文包括如下信息:
1) 接入AP MAC地址;
2) 警察AP MAC地址;
3) 协议类型;
4) 报文类型;
5) 身份加密编号;
6) 加密的AP SSID(服务集标识符)。
请参如图4,接入AP2回复的身份确认报文包括如下信息:
1) 警察AP MAC地址;
2) 接入AP MAC地址;
3) 协议类型;
4) 报文类型;
5) 身份加密编号;
6) 加密的AP SSID。
在上述信息中,身份加密编号是接入AP2和警察AP1事先双方约定的一组身份加密码,可以至少为3组,也可以是更多。要求双方在设定时,编号和加密码一一对应。但是,要求双方交互时不可选用同样编号的加密码。这样无论是接入AP2还是警察AP1在收到此类型报文后,可以进一步认定报文的合法性。
Claims (14)
1.一种无线局域网内检测非法无线接入点的方法,无线局域网中包括若干个警察AP和若干个接入AP,每个警察AP覆盖范围内的具有若干个接入AP,该方法包括如下步骤:
1)警察AP周期性地搜索并联接接入AP;
2)警察AP向搜索到的接入AP发出身份请求报文;
3)如果是合法接入AP,收到身份请求报文后,向警察回复身份确认报文;
4)警察AP收集每个接入AP发出的身份信息报文;
5)警察AP对有身份信息报文发出的AP,标识为合法接入AP;将接入AP身份信息汇报网管;
6)对在规定时间内不能发出身份确认报文的AP,标识为非法AP;
7)警察AP对标识为非法的接入AP,向网管发出告警,将非法AP的名称,MAC等识别信息告知网管。
2.如权利要求1所述的无线局域网内检测非法无线接入点的方法,其特征在于:警察AP为站点模式。
3.如权利要求1所述的无线局域网内检测非法无线接入点的方法,其特征在于:在步骤6中,警察AP重发两次身份请求报文,如果仍然没有收到回复,标识为非法接入AP。
4.如权利要求1所述的无线局域网内检测非法无线接入点的方法,其特征在于:在步骤7中,警察AP同时告知网管自己的名称和位置。
5.如权利要求1所述的无线局域网内检测非法无线接入点的方法,其特征在于:警察AP固定在某地,负责固定区域的设备检测。
6.如权利要求1所述的无线局域网内检测非法无线接入点的方法,其特征在于:警察AP是一个移动手持设备,可在不同的位置进行搜索检测。
7.如权利要求1所述的无线局域网内检测非法无线接入点的方法,其特征在于:如果在整个无线网中,系统如果支持WPA,并能提供认证服务器,在接入AP和警察AP上启用WPA的认证方式。
8.如权利要求1所述的无线局域网内检测非法无线接入点的方法,其特征在于:如果在整个无线网中,系统如果支持WPA,但不能提供认证服务器,在接入AP和警察AP启用WPA-PSK的认证方式。
9.如权利要求1所述的无线局域网内检测非法无线接入点的方法,其特征在于:如果在整个无线网中,系统不支持WPA,在接入AP和警察AP上启用WEP加密算法。
10.如权利要求1所述的无线局域网内检测非法无线接入点的方法,其特征在于:警察AP身份请求报文至少包括如下信息:接入AP MAC地址;警察AP MAC地址;身份加密编号;加密的AP SSID。
11.如权利要求11所述的无线局域网内检测非法无线接入点的方法,其特征在于:接入AP身份确认报文至少包括如下信息:警察AP MAC地址;接入AP MAC地址;身份加密编号;加密的AP SSID。
12.如权利要求12所述的无线局域网内检测非法无线接入点的方法,其特征在于:身份加密编号是接入AP和警察AP事先双方约定的一组身份加密码,要求双方在设定时,编号和加密码一一对应,双方交互时不可选用同样编号的加密码。
13.一种无线接入系统,包括若干个警察AP和若干个接入AP,每个警察AP覆盖范围内的具有若干个接入AP,警察AP包括:
周期性地向其覆盖范围内的接入AP发出身份请求报文的身份请求报文发送装置;
收集每个接入AP回复的身份确认信息报文的身份确认报文收集装置;
将有身份信息报文发出的接AP标识为合法接入AP以及将在规定时间内不能发出身份确认报文的AP标识为非法AP的接入AP确认装置;
将合法接入AP身份信息汇报网管的以及将非法AP的名称、MAC等信息告知网管的信息汇报装置;
接入AP包括:
收到身份请求报文后,回复身份确认报文的身份确认报文回复装置。
14.一种警察AP,其信号覆盖范围内具有若干个接入AP,包括:
周期性地向接入AP发出身份请求报文的身份请求报文发送装置;
收集每个接入AP回复的身份确认信息报文的身份确认报文收集装置;
将有身份信息报文发出的接AP标识为合法接入AP以及将在规定时间内不能发出身份确认报文的AP,标识为非法AP的接入AP确认装置;
将合法接入AP身份信息汇报网管的以及将非法AP的名称,MAC等信息告知网管的信息汇报装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100534452A CN100502300C (zh) | 2004-08-05 | 2004-08-05 | 一种无线局域网内检测非法无线接入点的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100534452A CN100502300C (zh) | 2004-08-05 | 2004-08-05 | 一种无线局域网内检测非法无线接入点的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1588878A true CN1588878A (zh) | 2005-03-02 |
| CN100502300C CN100502300C (zh) | 2009-06-17 |
Family
ID=34602860
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004100534452A Expired - Fee Related CN100502300C (zh) | 2004-08-05 | 2004-08-05 | 一种无线局域网内检测非法无线接入点的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100502300C (zh) |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100555950C (zh) * | 2006-04-28 | 2009-10-28 | 鸿富锦精密工业(深圳)有限公司 | 接入点识别系统及方法 |
| CN101075899B (zh) * | 2006-05-19 | 2010-05-26 | 鸿富锦精密工业(深圳)有限公司 | 无线装置及其鉴别管理帧的方法 |
| CN102014459A (zh) * | 2010-11-25 | 2011-04-13 | 中国联合网络通信集团有限公司 | 无线接入控制方法和装置 |
| CN102025526A (zh) * | 2009-09-18 | 2011-04-20 | 华为技术有限公司 | 一种防止上网欺骗的方法、装置和系统 |
| CN101102246B (zh) * | 2006-07-03 | 2011-11-09 | 冲电气工业株式会社 | 不正当接入点连接阻止方法、接入点装置和无线lan系统 |
| CN102438238A (zh) * | 2011-12-28 | 2012-05-02 | 武汉虹旭信息技术有限责任公司 | 一种在集中式wlan环境中检测非法ap的方法 |
| CN102752756A (zh) * | 2012-06-08 | 2012-10-24 | 深信服网络科技(深圳)有限公司 | 防止通过私接无线ap上网的方法及装置 |
| CN103139778A (zh) * | 2013-03-25 | 2013-06-05 | 北京奇虎科技有限公司 | 无线局域网接入系统及方法 |
| CN104486362A (zh) * | 2014-12-31 | 2015-04-01 | 广东顺德中山大学卡内基梅隆大学国际联合研究院 | 一种WiFi热点描述信息的获取方法及系统 |
| CN104580141A (zh) * | 2013-10-29 | 2015-04-29 | 三星Sds株式会社 | 未获授权访问点检测方法及装置 |
| CN104703181A (zh) * | 2013-12-09 | 2015-06-10 | 重庆重邮信科通信技术有限公司 | 一种接入节点认证方法及终端 |
| CN106028327A (zh) * | 2016-05-19 | 2016-10-12 | 徐美琴 | 一种通过认证服务器实现热点安全的方法 |
| CN106165506A (zh) * | 2013-07-19 | 2016-11-23 | 英特尔公司 | 非法接入点的识别 |
| CN107277771A (zh) * | 2017-07-06 | 2017-10-20 | 杭州敦崇科技股份有限公司 | 一种基于无线定位的非法ap检测抑制技术 |
| CN107294977A (zh) * | 2017-06-28 | 2017-10-24 | 迈普通信技术股份有限公司 | Wi‑Fi安全连接的方法及装置 |
| CN108648297A (zh) * | 2018-04-28 | 2018-10-12 | 深圳市元征科技股份有限公司 | 设备检测方法及装置、存储介质、电子设备 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110087244A (zh) * | 2019-04-29 | 2019-08-02 | 新华三技术有限公司 | 一种信息获取方法和装置 |
-
2004
- 2004-08-05 CN CNB2004100534452A patent/CN100502300C/zh not_active Expired - Fee Related
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100555950C (zh) * | 2006-04-28 | 2009-10-28 | 鸿富锦精密工业(深圳)有限公司 | 接入点识别系统及方法 |
| CN101075899B (zh) * | 2006-05-19 | 2010-05-26 | 鸿富锦精密工业(深圳)有限公司 | 无线装置及其鉴别管理帧的方法 |
| CN101102246B (zh) * | 2006-07-03 | 2011-11-09 | 冲电气工业株式会社 | 不正当接入点连接阻止方法、接入点装置和无线lan系统 |
| CN102025526A (zh) * | 2009-09-18 | 2011-04-20 | 华为技术有限公司 | 一种防止上网欺骗的方法、装置和系统 |
| CN102014459B (zh) * | 2010-11-25 | 2013-11-06 | 中国联合网络通信集团有限公司 | 无线接入控制方法和装置 |
| CN102014459A (zh) * | 2010-11-25 | 2011-04-13 | 中国联合网络通信集团有限公司 | 无线接入控制方法和装置 |
| CN102438238A (zh) * | 2011-12-28 | 2012-05-02 | 武汉虹旭信息技术有限责任公司 | 一种在集中式wlan环境中检测非法ap的方法 |
| CN102752756A (zh) * | 2012-06-08 | 2012-10-24 | 深信服网络科技(深圳)有限公司 | 防止通过私接无线ap上网的方法及装置 |
| CN103139778B (zh) * | 2013-03-25 | 2017-02-08 | 北京奇虎科技有限公司 | 无线局域网接入系统及方法 |
| CN103139778A (zh) * | 2013-03-25 | 2013-06-05 | 北京奇虎科技有限公司 | 无线局域网接入系统及方法 |
| CN106165506A (zh) * | 2013-07-19 | 2016-11-23 | 英特尔公司 | 非法接入点的识别 |
| CN104580141A (zh) * | 2013-10-29 | 2015-04-29 | 三星Sds株式会社 | 未获授权访问点检测方法及装置 |
| CN104703181A (zh) * | 2013-12-09 | 2015-06-10 | 重庆重邮信科通信技术有限公司 | 一种接入节点认证方法及终端 |
| CN104486362A (zh) * | 2014-12-31 | 2015-04-01 | 广东顺德中山大学卡内基梅隆大学国际联合研究院 | 一种WiFi热点描述信息的获取方法及系统 |
| CN106028327A (zh) * | 2016-05-19 | 2016-10-12 | 徐美琴 | 一种通过认证服务器实现热点安全的方法 |
| CN107294977A (zh) * | 2017-06-28 | 2017-10-24 | 迈普通信技术股份有限公司 | Wi‑Fi安全连接的方法及装置 |
| CN107277771A (zh) * | 2017-07-06 | 2017-10-20 | 杭州敦崇科技股份有限公司 | 一种基于无线定位的非法ap检测抑制技术 |
| CN108648297A (zh) * | 2018-04-28 | 2018-10-12 | 深圳市元征科技股份有限公司 | 设备检测方法及装置、存储介质、电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100502300C (zh) | 2009-06-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100502300C (zh) | 一种无线局域网内检测非法无线接入点的方法 | |
| Bahl et al. | Enhancing the security of corporate Wi-Fi networks using DAIR | |
| CN1783810B (zh) | 用于确定无线设备位置的方法 | |
| US7760654B2 (en) | Using a connected wireless computer as a conduit for a disconnected wireless computer | |
| Agarwal et al. | An efficient scheme to detect evil twin rogue access point attack in 802.11 Wi-Fi networks | |
| US20040177253A1 (en) | Automated and secure digital mobile video monitoring and recording | |
| EP1554837A2 (en) | System and method for remotely monitoring wirless networks | |
| WO2005009002A1 (en) | System and method for securing networks | |
| CN1679310A (zh) | 具有入侵检测特性的无线局域网或城域网和相关方法 | |
| KR102323712B1 (ko) | Wips 센서 및 wips 센서를 이용한 불법 무선 단말의 침입 차단 방법 | |
| CN101595694A (zh) | 用于无线网络的入侵预防系统 | |
| CN110677435A (zh) | 监控信息安全控制系统及监控管理系统 | |
| CN102143492A (zh) | Vpn连接建立方法、移动终端、服务器 | |
| CN111405548B (zh) | 一种钓鱼wifi的检测方法及装置 | |
| Meng et al. | Building a wireless capturing tool for WiFi | |
| US8122243B1 (en) | Shielding in wireless networks | |
| CN1697370A (zh) | 一种无线局域网移动终端申请证书的方法 | |
| Ma et al. | RAP: Protecting commodity wi-fi networks from rogue access points | |
| CN1700636A (zh) | 无线局域网移动终端申请证书的方法及证书管理系统 | |
| Issac et al. | The art of war driving and security threats-a Malaysian case study | |
| CN101917718B (zh) | 无线城域网实体退出网络的方法和系统 | |
| Yim et al. | The evidence collection of DoS attack in WLAN by using WLAN forensic profiling system | |
| Kalbasi et al. | Wireless security in UAE: A survey paper | |
| Thakur et al. | Review on RAP: Protecting Wi-Fi Networks from Rogue Access Points | |
| Yip | A Practical guide to understanding wireless networking concepts, security protocols, attack, and safer deployment schemes |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090617 Termination date: 20190805 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |