专利名称:接入点监控器、监控非法接入点的方法及系统的利记博彩app
技术领域:
本发明涉及无线局域网(WLAN,Wireless Local Area Network)无线安全技术,特 别涉及一种接入点(AP,Access Point)监控器、监控非法接入点的方法及系统。
背景技术:
随着通信网络技术、尤其是WLAN技术的应用,人们可以通过WLAN技术提供的无需 线缆连接的无线网络连接方案,在不采用传统线缆的情况下,方便、快捷地在会议室、医疗 室、教室、自助餐厅、实验室、办公室以及在野外进行移动办公。图1为现有WLAN无线网络的系统结构示意图,参见图1,该系统包括用户终端、 AP以及网络侧设备,其中,AP,也称作无线信号收发器,预先存储有运营商服务器发送的服务标识符(SSID, Service Set Identifier),每个 AP 具有唯一的 SSID ;用户终端,具有无线功能,在上电初始化后,搜索所在区域周围AP的SSID,根据搜 索到的SSID,按照预先设定的策略从搜索到的SSID中选择一个SSID连接AP,然后在网络 侧设备(运营商的门户界面)上输入用户名和口令登录,通过互联网访问该网络侧设备获 取所需的信息。现有的WLAN无线网络,主要还是作为有线网络的补充,集中在企业或者家庭范围 这种物理空间上相对隔离性较强的应用环境,用户接入WLAN无线网络的安全性主要是通 过网络侧设备对用户终端进行接入鉴权、数据加密等方式实现。由上述可见,对于网络侧的运营商级的WLAN无线网络,由于其覆盖范围广、且 WLAN无线网络的工作频率段是开放的,所有组织和个人都可以使用该频率段,因而,网络侧 的安全隐患也较大。例如,如果不法分子通过设置一个非法AP,并设置该非法AP的SSID与 运营商下发至合法AP的SSID相同,再通过技术手段设置一个登录界面,即可诱骗处于该非 法AP覆盖范围内的用户连接该非法AP,由于用户通过该非法AP可正常接入无线网络,因而 并不会察觉到该AP为非法AP,从而使得不法分子可以非法模拟上网环境从而截获无线网 络登录的用户名和口令,给用户的使用安全性造成极大的威胁;进一步地,不法分子还可以 通过抓取无线通信数据流量得到用户的网络银行、网上购物、浏览网页等隐私信息。举例来 说,2004年,一个假冒的中国银行网站出现在互联网上以及不久后出现的假冒中国工商银 行的网站,都通过非法模拟上网环境诱骗银行卡持有人的账户和密码,给银行卡持有人造 成了巨大的损失。针对上述WLAN无线网络侧存在的安全隐患,现有技术提出了一种在WLAN无线网 络内检测非法AP的方法,在无线局域网内设置多个警察AP,每个警察AP负责对自身覆盖范 围内的AP进行安全认证,采用特定的通信机制(警察AP预先与合法AP约定一组身份加密 码),通过警察AP向自身覆盖范围内的AP发送携带预先约定的身份加密码的身份请求报 文,如果该AP为合法AP,则向警察AP回应携带预先约定的身份加密码的身份确认报文,如 果该AP为非法AP,由于不知晓该特定的通信机制,则不回应或回应的身份确认报文不符合
4要求,警察AP通知网管将该不回应或回应的身份确认报文不符合要求的非法AP移除。但上述WLAN无线网络内检测非法AP的方法,需增加警察AP以监控自身覆盖范围 内的AP身份,警察AP仅与自身覆盖范围内的AP之间进行双向的检测信息交互,需要为与 每个AP相连的警察AP分配无线资源,但该分配的无线资源仅用于检测非法AP,并不负责 业务接入点,存在一定的资源浪费;进一步地,警察AP与合法AP之间的通信机制是非公开 的,仅只能使用特定厂家的设备,通用性较差;而且,需要警察AP预先与合法AP进行身份加 密码协商,当该范围内新加入AP时,需要分别在警察AP与新加入AP设置身份加密码,而当 在该区域内删减合法AP或将合法AP移动至其它小区时,又需要更新该合法AP的身份加密 码,使得操作繁琐、使用很不方便。
发明内容
有鉴于此,本发明的主要目的在于提出一种AP监控器,避免资源浪费、提高监控 非法AP的通用性、降低操作的复杂性。本发明的另一目的在于提出一种监控非法AP的方法,避免资源浪费、提高监控非 法AP的通用性、降低操作的复杂性。本发明的再一目的在于提出一种监控非法AP的系统,避免资源浪费、提高监控非 法AP的通用性、降低操作的复杂性。为达到上述目的,本发明提供了一种AP监控器,该AP监控器包括身份信息收集 模块、合法AP身份信息存储模块以及身份信息处理模块,其中,身份信息收集模块,用于接收外部AP发送的监测身份信息,发送至身份信息处理 模块;合法AP身份信息存储模块,用于存储合法AP身份信息;身份信息处理模块,用于接收监测身份信息,如果合法AP身份信息存储模块存储 的合法AP身份信息中不包含所述监测身份信息,判断所述监测身份信息对应的AP为非法 AP。所述合法AP身份信息包括合法AP的SSID信息和MAC地址信息。所述合法AP身份信息进一步包括合法AP工作频率信息、和/或,合法AP覆盖范 围信息。所述监测身份信息包括周围AP的服务标识符SSID信息和媒体接入控制层MAC 地址信息;所述身份信息处理模块判断合法AP的SSID信息和MAC地址信息中不包含所述周 围AP的服务标识符SSID信息和媒体接入控制层MAC地址信息,所述周围AP的服务标识符 SSID信息和媒体接入控制层MAC地址信息对应的AP为非法AP。所述监测身份信息进一步包括周围AP的工作频率信息、和/或,信号强度信息;所述身份信息处理模块在判断所述监测身份信息对应的AP为非法AP后,进一步 用于根据接收的周围AP的信号强度信息以及预先存储的合法AP覆盖范围信息,计算具有 该信号强度的非法AP距离合法AP的距离、和/或,进一步用于根据接收的周围AP的工作 频率信息以及预先存储的合法AP工作频率信息,如果该非法AP的工作频率与预先存储的 所有合法AP的工作频率不相同,将该非法AP的工作频率信息通知网管人员。
一种监控非法接入点AP的系统,该系统包括AP监控器和多个AP,其中,AP监控器,用于接收AP发送的监测身份信息,如果预先存储的合法AP身份信息中 不包含该监测身份信息,判断该监测身份信息对应的AP为非法AP ;AP,用于按照预先设置的时间周期触发监测自身覆盖区域内的AP,并获取自身覆 盖区域内AP的身份信息,形成监测身份信息,向AP监控器发送。所述合法AP身份信息包括合法AP的SSID信息、MAC地址信息以及合法AP覆盖 范围信息;所述监测身份信息包括周围AP的服务标识符SSID信息、媒体接入控制层MAC地
址信息以及信号强度信息;所述AP监控器判断预先存储的合法AP的SSID信息和MAC地址信息中不包含相 应接收的周围AP的服务标识符SSID信息和媒体接入控制层MAC地址信息,则该周围AP的 服务标识符SSID信息和媒体接入控制层MAC地址信息对应的AP为非法AP,并根据接收的 周围AP的信号强度信息以及预先存储的合法AP覆盖范围信息,计算具有该信号强度的非 法AP距离合法AP的距离。一种监控非法接入点AP的方法,包括AP监控器和多个AP,该方法包括AP按照预先设置的时间周期触发监测自身覆盖区域内的AP,并获取自身覆盖区 域内AP的身份信息,形成监测身份信息,向AP监控器发送;AP监控器接收AP发送的监测身份信息,如果预先存储的合法AP身份信息中不包 含该监测身份信息,判断该监测身份信息对应的AP为非法AP。所述合法AP身份信息包括合法AP的SSID信息、MAC地址信息以及合法AP覆盖 范围信息;所述监测身份信息包括周围AP的服务标识符SSID信息、媒体接入控制层MAC 地址信息以及信号强度信息;所述AP监控器接收AP发送的监测身份信息,如果预先存储的合法AP身份信息中 不包含该监测身份信息,判断该监测身份信息对应的AP为非法AP的步骤包括所述AP监控器判断预先存储的合法AP的SSID信息和MAC地址信息中不包含相 应接收的周围AP的服务标识符SSID信息和媒体接入控制层MAC地址信息,则该周围AP的 服务标识符SSID信息和媒体接入控制层MAC地址信息对应的AP为非法AP,并根据接收的 周围AP的信号强度信息以及预先存储的合法AP覆盖范围信息,计算具有该信号强度的非 法AP距离合法AP的距离。由上述的技术方案可见,本发明提供的一种接入点监控器、监控非法接入点的方 法及系统,
图1为现有WLAN无线网络的系统结构示意图。图2为本发明实施例AP监控器的结构示意图。图3为本发明实施例监控非法AP的系统结构示意图。图4为本发明实施例监控非法AP的方法流程示意图。图5为本发明实施例监控非法AP的方法具体流程示意图。
具体实施例方式为使本发明的目的、技术方案和优点更加清楚,下面将结合附图及具体实施例对 本发明作进一步地详细描述。现有技术中,都设置了专用的监控单元,通过AP与监控单元之间的特殊通讯机制 实现检测,而这种通讯机制是私有非公开的。因此,设备的选择性受到了限制。因而,本发明实施例中,在WLAN标准上进行拓展,利用现有合法AP具有对周围 WLAN无线网络环境的监测功能,当激活合法AP的监测功能后,AP周期性地扫描自身覆盖区 域内的AP,获取自身覆盖区域内AP的身份信息并上报AP监控器,AP监控器将接收的AP身 份信息与预先存储的合法AP身份信息进行匹配,从而获取非法AP身份信息。图2为本发明实施例AP监控器的结构示意图,参见图2,该AP监控器包括身份 信息收集模块、合法AP身份信息存储模块以及身份信息处理模块,其中,身份信息收集模块,用于接收外部AP发送的监测身份信息,发送至身份信息处理 模块;本实施例中,监测身份信息包括周围AP的SSID信息和媒体接入控制层(MAC, Medium Access Control)地址信息。实际应用中,监测身份信息还可以包括周围AP的工作频率信息、和/或,信号强
度{曰息等。合法AP身份信息存储模块,用于存储合法AP身份信息;本实施例中,AP监控器预先存储有全网运营商建设的所有AP的相关身份信息。也 就是说,AP监控器是全网所有AP的数据库。本实施例中,合法AP身份信息包括合法AP的SSID信息和MAC地址信息。实际应用中,合法AP身份信息还可以包括合法AP工作频率信息、和/或,合法AP 覆盖范围信息等信息。身份信息处理模块,用于接收监测身份信息,如果合法AP身份信息存储模块存储 的合法AP身份信息中不包含该监测身份信息,判断该监测身份信息对应的AP为非法AP。较佳地,AP监控器设置在无线网络侧,设置在无线网络侧的AP监控器,可以是独 立的物理设备,也可以设置在基站中(现有与AP通过无线网络相连的基站)。本实施例中,通过将监测身份信息与合法AP身份信息进行比较匹配,这样,对于 将AP的SSID设置为与运营商下发至合法AP的SSID相同的非法AP来说,虽然其SSID与 合法AP的SSID相同,但由于该非法AP的MAC地址信息与合法AP的MAC地址信息不相匹 配,则不能通过安全认证。实际应用中,身份信息处理模块在确定非法AP后,还可以进一步根据接收的周围 AP的信号强度信息以及预先存储的合法AP覆盖范围信息,计算具有该信号强度的非法AP 距离合法AP的距离,从而可以迅速定位该非法AP的位置以便网管人员及时采取措施。此外,身份信息处理模块在确定非法AP后,也可以根据接收的周围AP的工作频率 信息以及预先存储的合法AP工作频率信息,如果该非法AP的工作频率与预先存储的所有 合法AP的工作频率不相同,则网管人员也可以直接针对该非法AP的工作频率采取相应的 措施,有关采取的措施的描述可参见相关的技术文献,在此不再赘述。图3为本发明实施例监控非法AP的系统结构示意图,参见图3,该系统包括AP监控器和多个AP,其中,AP监控器,用于接收AP返回的监测身份信息,如果预先存储的合法AP身份信息中 不包含该监测身份信息,判断该监测身份信息对应的AP为非法AP ;AP,用于按照预先设置的时间周期触发监测自身覆盖区域内的AP,并获取自身覆 盖区域内AP的身份信息,形成监测身份信息,向AP监控器发送。本实施例中,预先设置的时间周期由运营商根据实际需要进行设置,AP按照预先 设置的时间周期,周期性地扫描自身覆盖区域内的AP,获取AP身份信息。监测身份信息包 括自身覆盖区域内各AP的身份信息;当然,也可以包含自身AP的身份信息。本实施例中,合法AP身份信息包括合法AP的SSID信息、MAC地址信息以及合法 AP覆盖范围信息;监测身份信息包括周围AP的服务标识符SSID信息、媒体接入控制层 MAC地址信息以及信号强度信息;则AP监控器判断预先存储的合法AP的SSID信息和MAC地址信息中不包含相应接收 的周围AP的服务标识符SSID信息和媒体接入控制层MAC地址信息,则该周围AP的服务标 识符SSID信息和媒体接入控制层MAC地址信息对应的AP为非法AP,并根据接收的周围AP 的信号强度信息以及预先存储的合法AP覆盖范围信息,计算具有该信号强度的非法AP距 离合法AP的距离。由上述实施例可见,本发明实施例的AP监控器以及监控非法AP的系统,AP按照预 先设置的时间周期触发监测自身覆盖区域内的AP,利用具有的对周围WLAN无线网络环境 的监测功能,监测自身覆盖区域内的AP,并获取自身覆盖区域内AP的身份信息,形成监测 身份信息,向AP监控器发送,AP监控器如果确定预先存储的合法AP身份信息中不包含接收 的监测身份信息,则该监测身份信息对应的AP为非法AP。这样,由于AP监控器与AP之间 进行单向信息交互,AP可以利用原有的无线资源发送向AP监控器发送监测身份信息,不需 要为AP监控器分配无线资源,节约了无线资源,提高了系统无线资源的利用率;进一步地, AP向AP监控器发送监测身份信息的通信机制是公开的,AP监控器的通用性强;而且,监控 非法AP的过程为自动监控,自动获取非法AP信息,可操作性强;此外,当系统中存在非法 AP,即使该非法AP没有周期性向AP监控器上报相关信息,AP监控器也可以从其他合法AP 上报的监测身份信息中,发现所有与运营商设置的SSID相同的AP,过滤筛选出非法AP,获 取非法AP信息并及时有针对性地到现场进行处理,保障了用户的合法权益,避免用户信息 泄密,提升了用户感知,提高了用户接入无线网络的安全性。下面再对监控非法AP的方法进行描述。图4为本发明实施例监控非法AP的方法流程示意图,参见图4,该流程包括步骤401,AP按照预先设置的时间周期触发监测自身覆盖区域内的AP,并获取自 身覆盖区域内AP的身份信息,形成监测身份信息,向AP监控器发送;步骤402,AP监控器接收AP发送的监测身份信息,如果预先存储的合法AP身份信 息中不包含该监测身份信息,判断该监测身份信息对应的AP为非法AP。本实施例中,合法AP身份信息包括合法AP的SSID信息、MAC地址信息以及合 法AP覆盖范围信息,监测身份信息包括周围AP的服务标识符SSID信息、媒体接入控制层 MAC地址信息以及信号强度信息;则步骤402包括AP监控器判断预先存储的合法AP的SSID信息和MAC地址信息中不包含相应接收的周围AP的服务标识符SSID信息和媒体接入控制层MAC地址信息,则该周围AP的服务标 识符SSID信息和媒体接入控制层MAC地址信息对应的AP为非法AP,并根据接收的周围AP 的信号强度信息以及预先存储的合法AP覆盖范围信息,计算具有该信号强度的非法AP距 离合法AP的距离。图5为本发明实施例监控非法AP的方法具体流程示意图,参见图5,该流程包括步骤501,将全网运营商所建设的AP身份信息存储至AP监控器;本步骤中,AP身份信息包括AP的名称、AP覆盖范围、AP工作频率、AP的SSID以 及MAC地址等信息。步骤502,AP按照预先设置的时间周期触发监测自身覆盖区域内的AP,并获取自 身覆盖区域内AP的身份信息,形成监测身份信息,向AP监控器发送;本步骤中,AP监控器每隔预先设置的时间周期,接收自身区域内各个AP采集上报 的监测身份信息(各AP无线网络环境的数据),监测身份信息包括AP监控器自身区域内 各AP覆盖区域内的AP(周围AP)的SSID、MAC地址、工作频率、信号强度等信息。步骤503,AP监控器接收各AP发送的监测身份信息,形成全网所有AP的无线环境 拓扑图,从全网所有AP的无线环境拓扑图中获取第一 AP清单;本步骤中,从全网所有AP的无线环境拓扑图上,分拣出AP的SSID与运营商设置 的SSID相一致的所有AP的身份信息,例如,身份信息包括该AP是哪个AP的相邻AP,该AP 的SSID、MAC地址、工作频率等信息,得到一个第一 AP清单。步骤504,将第一 AP清单与AP监控器存储的全网运营商所建设的AP身份信息进 行比较;本步骤中,第一 AP清单组成了一个AP的集合,定义为集合A。从预先存储的全网 运营商所建设的AP身份信息中整理出全网所有合法AP的身份信息,如物理地址等,定义为
集合B0步骤505,获取非法AP清单。本步骤中,将集合A与集合B进行安全判断,则所有在集合A但不在集合B中的 AP,就是非法AP。 实际应用中,AP监控器还可整理出非法AP是在哪个合法AP的周围以及距离合法 AP的距离。将获取的非法AP组成一个非法AP清单,包括各非法AP的MAC地址、在哪个合法 AP周围、工作频率和信号强度等信息。这样,通过无线扫描筛选出SSID与运营商一致的所 有AP的信息,与合法的AP集合做比较,整理出未授权使用运营商SSID的非法AP。以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在 本发明的精神和原则之内,所作的任何修改、等同替换以及改进等,均应包含在本发明的保 护范围之内。
9
权利要求
1.一种接入点AP监控器,其特征在于,该AP监控器包括身份信息收集模块、合法AP 身份信息存储模块以及身份信息处理模块,其中,身份信息收集模块,用于接收外部AP发送的监测身份信息,发送至身份信息处理模块;合法AP身份信息存储模块,用于存储合法AP身份信息;身份信息处理模块,用于接收监测身份信息,如果合法AP身份信息存储模块存储的合 法AP身份信息中不包含所述监测身份信息,判断所述监测身份信息对应的AP为非法AP。
2.如权利要求1所述的AP监控器,其特征在于,所述合法AP身份信息包括合法AP的 SSID信息和MAC地址信息。
3.如权利要求2所述的AP监控器,其特征在于,所述合法AP身份信息进一步包括合 法AP工作频率信息、和/或,合法AP覆盖范围信息。
4.如权利要求1至3任一项所述的AP监控器,其特征在于,所述监测身份信息包括 周围AP的服务标识符SSID信息和媒体接入控制层MAC地址信息;所述身份信息处理模块判断合法AP的SSID信息和MAC地址信息中不包含所述周围AP 的服务标识符SSID信息和媒体接入控制层MAC地址信息,所述周围AP的服务标识符SSID 信息和媒体接入控制层MAC地址信息对应的AP为非法AP。
5.如权利要求4所述的AP监控器,其特征在于,所述监测身份信息进一步包括周围 AP的工作频率信息、和/或,信号强度信息;所述身份信息处理模块在判断所述监测身份信息对应的AP为非法AP后,进一步用于 根据接收的周围AP的信号强度信息以及预先存储的合法AP覆盖范围信息,计算具有该信 号强度的非法AP距离合法AP的距离、和/或,进一步用于根据接收的周围AP的工作频率 信息以及预先存储的合法AP工作频率信息,如果该非法AP的工作频率与预先存储的所有 合法AP的工作频率不相同,将该非法AP的工作频率信息通知网管人员。
6.一种监控非法接入点AP的系统,其特征在于,该系统包括AP监控器和多个AP,其中,AP监控器,用于接收AP发送的监测身份信息,如果预先存储的合法AP身份信息中不包 含该监测身份信息,判断该监测身份信息对应的AP为非法AP ;AP,用于按照预先设置的时间周期触发监测自身覆盖区域内的AP,并获取自身覆盖区 域内AP的身份信息,形成监测身份信息,向AP监控器发送。
7.如权利要求6所述的系统,其特征在于,所述合法AP身份信息包括合法AP的SSID信息、MAC地址信息以及合法AP覆盖范围 fn息;所述监测身份信息包括周围AP的服务标识符SSID信息、媒体接入控制层MAC地址信 息以及信号强度信息;所述AP监控器判断预先存储的合法AP的SSID信息和MAC地址信息中不包含相应接 收的周围AP的服务标识符SSID信息和媒体接入控制层MAC地址信息,则该周围AP的服务 标识符SSID信息和媒体接入控制层MAC地址信息对应的AP为非法AP,并根据接收的周围 AP的信号强度信息以及预先存储的合法AP覆盖范围信息,计算具有该信号强度的非法AP 距离合法AP的距离。
8.一种监控非法接入点AP的方法,其特征在于,包括AP监控器和多个AP,该方法包括AP按照预先设置的时间周期触发监测自身覆盖区域内的AP,并获取自身覆盖区域内 AP的身份信息,形成监测身份信息,向AP监控器发送;AP监控器接收AP发送的监测身份信息,如果预先存储的合法AP身份信息中不包含该 监测身份信息,判断该监测身份信息对应的AP为非法AP。
9.如权利要求8所述的方法,其特征在于,所述合法AP身份信息包括合法AP的SSID 信息、MAC地址信息以及合法AP覆盖范围信息;所述监测身份信息包括周围AP的服务标 识符SSID信息、媒体接入控制层MAC地址信息以及信号强度信息;所述AP监控器接收AP发送的监测身份信息,如果预先存储的合法AP身份信息中不包 含该监测身份信息,判断该监测身份信息对应的AP为非法AP的步骤包括所述AP监控器判断预先存储的合法AP的SSID信息和MAC地址信息中不包含相应接 收的周围AP的服务标识符SSID信息和媒体接入控制层MAC地址信息,则该周围AP的服务 标识符SSID信息和媒体接入控制层MAC地址信息对应的AP为非法AP,并根据接收的周围 AP的信号强度信息以及预先存储的合法AP覆盖范围信息,计算具有该信号强度的非法AP 距离合法AP的距离。
全文摘要
本发明公开了一种接入点AP监控器。包括用于接收外部AP发送的监测身份信息,发送至身份信息处理模块的身份信息收集模块、用于存储合法AP身份信息的合法AP身份信息存储模块以及用于接收监测身份信息,如果合法AP身份信息存储模块存储的合法AP身份信息中不包含所述监测身份信息,判断所述监测身份信息对应的AP为非法AP的身份信息处理模块。本发明还公开了一种监控非法AP的方法及系统。应用本发明,可以避免无线资源浪费、监控非法AP的通用性强、操作的复杂性低以及提高用户接入无线网络的安全性。
文档编号H04W24/00GK102075934SQ20091023840
公开日2011年5月25日 申请日期2009年11月19日 优先权日2009年11月19日
发明者倪鸣, 唐武军, 孙和, 张立朋, 黄丛伟 申请人:中国移动通信集团江苏有限公司