專利名稱:接入點監控器、監控非法接入點的方法及系統的制作方法
技術領域:
本發明涉及無線局域網(WLAN,Wireless Local Area Network)無線安全技術,特 別涉及一種接入點(AP,Access Point)監控器、監控非法接入點的方法及系統。
背景技術:
隨著通信網絡技術、尤其是WLAN技術的應用,人們可以通過WLAN技術提供的無需 線纜連接的無線網絡連接方案,在不采用傳統線纜的情況下,方便、快捷地在會議室、醫療 室、教室、自助餐廳、實驗室、辦公室以及在野外進行移動辦公。圖1為現有WLAN無線網絡的系統結構示意圖,參見圖1,該系統包括用戶終端、 AP以及網絡側設備,其中,AP,也稱作無線信號收發器,預先存儲有運營商服務器發送的服務標識符(SSID, Service Set Identifier),每個 AP 具有唯一的 SSID ;用戶終端,具有無線功能,在上電初始化后,搜索所在區域周圍AP的SSID,根據搜 索到的SSID,按照預先設定的策略從搜索到的SSID中選擇一個SSID連接AP,然后在網絡 側設備(運營商的門戶界面)上輸入用戶名和口令登錄,通過互聯網訪問該網絡側設備獲 取所需的信息。現有的WLAN無線網絡,主要還是作為有線網絡的補充,集中在企業或者家庭范圍 這種物理空間上相對隔離性較強的應用環境,用戶接入WLAN無線網絡的安全性主要是通 過網絡側設備對用戶終端進行接入鑒權、數據加密等方式實現。由上述可見,對于網絡側的運營商級的WLAN無線網絡,由于其覆蓋范圍廣、且 WLAN無線網絡的工作頻率段是開放的,所有組織和個人都可以使用該頻率段,因而,網絡側 的安全隱患也較大。例如,如果不法分子通過設置一個非法AP,并設置該非法AP的SSID與 運營商下發至合法AP的SSID相同,再通過技術手段設置一個登錄界面,即可誘騙處于該非 法AP覆蓋范圍內的用戶連接該非法AP,由于用戶通過該非法AP可正常接入無線網絡,因而 并不會察覺到該AP為非法AP,從而使得不法分子可以非法模擬上網環境從而截獲無線網 絡登錄的用戶名和口令,給用戶的使用安全性造成極大的威脅;進一步地,不法分子還可以 通過抓取無線通信數據流量得到用戶的網絡銀行、網上購物、瀏覽網頁等隱私信息。舉例來 說,2004年,一個假冒的中國銀行網站出現在互聯網上以及不久后出現的假冒中國工商銀 行的網站,都通過非法模擬上網環境誘騙銀行卡持有人的賬戶和密碼,給銀行卡持有人造 成了巨大的損失。針對上述WLAN無線網絡側存在的安全隱患,現有技術提出了一種在WLAN無線網 絡內檢測非法AP的方法,在無線局域網內設置多個警察AP,每個警察AP負責對自身覆蓋范 圍內的AP進行安全認證,采用特定的通信機制(警察AP預先與合法AP約定一組身份加密 碼),通過警察AP向自身覆蓋范圍內的AP發送攜帶預先約定的身份加密碼的身份請求報 文,如果該AP為合法AP,則向警察AP回應攜帶預先約定的身份加密碼的身份確認報文,如 果該AP為非法AP,由于不知曉該特定的通信機制,則不回應或回應的身份確認報文不符合
4要求,警察AP通知網管將該不回應或回應的身份確認報文不符合要求的非法AP移除。但上述WLAN無線網絡內檢測非法AP的方法,需增加警察AP以監控自身覆蓋范圍 內的AP身份,警察AP僅與自身覆蓋范圍內的AP之間進行雙向的檢測信息交互,需要為與 每個AP相連的警察AP分配無線資源,但該分配的無線資源僅用于檢測非法AP,并不負責 業務接入點,存在一定的資源浪費;進一步地,警察AP與合法AP之間的通信機制是非公開 的,僅只能使用特定廠家的設備,通用性較差;而且,需要警察AP預先與合法AP進行身份加 密碼協商,當該范圍內新加入AP時,需要分別在警察AP與新加入AP設置身份加密碼,而當 在該區域內刪減合法AP或將合法AP移動至其它小區時,又需要更新該合法AP的身份加密 碼,使得操作繁瑣、使用很不方便。
發明內容
有鑒于此,本發明的主要目的在于提出一種AP監控器,避免資源浪費、提高監控 非法AP的通用性、降低操作的復雜性。本發明的另一目的在于提出一種監控非法AP的方法,避免資源浪費、提高監控非 法AP的通用性、降低操作的復雜性。本發明的再一目的在于提出一種監控非法AP的系統,避免資源浪費、提高監控非 法AP的通用性、降低操作的復雜性。為達到上述目的,本發明提供了一種AP監控器,該AP監控器包括身份信息收集 模塊、合法AP身份信息存儲模塊以及身份信息處理模塊,其中,身份信息收集模塊,用于接收外部AP發送的監測身份信息,發送至身份信息處理 模塊;合法AP身份信息存儲模塊,用于存儲合法AP身份信息;身份信息處理模塊,用于接收監測身份信息,如果合法AP身份信息存儲模塊存儲 的合法AP身份信息中不包含所述監測身份信息,判斷所述監測身份信息對應的AP為非法 AP。所述合法AP身份信息包括合法AP的SSID信息和MAC地址信息。所述合法AP身份信息進一步包括合法AP工作頻率信息、和/或,合法AP覆蓋范 圍信息。所述監測身份信息包括周圍AP的服務標識符SSID信息和媒體接入控制層MAC 地址信息;所述身份信息處理模塊判斷合法AP的SSID信息和MAC地址信息中不包含所述周 圍AP的服務標識符SSID信息和媒體接入控制層MAC地址信息,所述周圍AP的服務標識符 SSID信息和媒體接入控制層MAC地址信息對應的AP為非法AP。所述監測身份信息進一步包括周圍AP的工作頻率信息、和/或,信號強度信息;所述身份信息處理模塊在判斷所述監測身份信息對應的AP為非法AP后,進一步 用于根據接收的周圍AP的信號強度信息以及預先存儲的合法AP覆蓋范圍信息,計算具有 該信號強度的非法AP距離合法AP的距離、和/或,進一步用于根據接收的周圍AP的工作 頻率信息以及預先存儲的合法AP工作頻率信息,如果該非法AP的工作頻率與預先存儲的 所有合法AP的工作頻率不相同,將該非法AP的工作頻率信息通知網管人員。
一種監控非法接入點AP的系統,該系統包括AP監控器和多個AP,其中,AP監控器,用于接收AP發送的監測身份信息,如果預先存儲的合法AP身份信息中 不包含該監測身份信息,判斷該監測身份信息對應的AP為非法AP ;AP,用于按照預先設置的時間周期觸發監測自身覆蓋區域內的AP,并獲取自身覆 蓋區域內AP的身份信息,形成監測身份信息,向AP監控器發送。所述合法AP身份信息包括合法AP的SSID信息、MAC地址信息以及合法AP覆蓋 范圍信息;所述監測身份信息包括周圍AP的服務標識符SSID信息、媒體接入控制層MAC地
址信息以及信號強度信息;所述AP監控器判斷預先存儲的合法AP的SSID信息和MAC地址信息中不包含相 應接收的周圍AP的服務標識符SSID信息和媒體接入控制層MAC地址信息,則該周圍AP的 服務標識符SSID信息和媒體接入控制層MAC地址信息對應的AP為非法AP,并根據接收的 周圍AP的信號強度信息以及預先存儲的合法AP覆蓋范圍信息,計算具有該信號強度的非 法AP距離合法AP的距離。一種監控非法接入點AP的方法,包括AP監控器和多個AP,該方法包括AP按照預先設置的時間周期觸發監測自身覆蓋區域內的AP,并獲取自身覆蓋區 域內AP的身份信息,形成監測身份信息,向AP監控器發送;AP監控器接收AP發送的監測身份信息,如果預先存儲的合法AP身份信息中不包 含該監測身份信息,判斷該監測身份信息對應的AP為非法AP。所述合法AP身份信息包括合法AP的SSID信息、MAC地址信息以及合法AP覆蓋 范圍信息;所述監測身份信息包括周圍AP的服務標識符SSID信息、媒體接入控制層MAC 地址信息以及信號強度信息;所述AP監控器接收AP發送的監測身份信息,如果預先存儲的合法AP身份信息中 不包含該監測身份信息,判斷該監測身份信息對應的AP為非法AP的步驟包括所述AP監控器判斷預先存儲的合法AP的SSID信息和MAC地址信息中不包含相 應接收的周圍AP的服務標識符SSID信息和媒體接入控制層MAC地址信息,則該周圍AP的 服務標識符SSID信息和媒體接入控制層MAC地址信息對應的AP為非法AP,并根據接收的 周圍AP的信號強度信息以及預先存儲的合法AP覆蓋范圍信息,計算具有該信號強度的非 法AP距離合法AP的距離。由上述的技術方案可見,本發明提供的一種接入點監控器、監控非法接入點的方 法及系統,
圖1為現有WLAN無線網絡的系統結構示意圖。圖2為本發明實施例AP監控器的結構示意圖。圖3為本發明實施例監控非法AP的系統結構示意圖。圖4為本發明實施例監控非法AP的方法流程示意圖。圖5為本發明實施例監控非法AP的方法具體流程示意圖。
具體實施例方式為使本發明的目的、技術方案和優點更加清楚,下面將結合附圖及具體實施例對 本發明作進一步地詳細描述。現有技術中,都設置了專用的監控單元,通過AP與監控單元之間的特殊通訊機制 實現檢測,而這種通訊機制是私有非公開的。因此,設備的選擇性受到了限制。因而,本發明實施例中,在WLAN標準上進行拓展,利用現有合法AP具有對周圍 WLAN無線網絡環境的監測功能,當激活合法AP的監測功能后,AP周期性地掃描自身覆蓋區 域內的AP,獲取自身覆蓋區域內AP的身份信息并上報AP監控器,AP監控器將接收的AP身 份信息與預先存儲的合法AP身份信息進行匹配,從而獲取非法AP身份信息。圖2為本發明實施例AP監控器的結構示意圖,參見圖2,該AP監控器包括身份 信息收集模塊、合法AP身份信息存儲模塊以及身份信息處理模塊,其中,身份信息收集模塊,用于接收外部AP發送的監測身份信息,發送至身份信息處理 模塊;本實施例中,監測身份信息包括周圍AP的SSID信息和媒體接入控制層(MAC, Medium Access Control)地址信息。實際應用中,監測身份信息還可以包括周圍AP的工作頻率信息、和/或,信號強
度{曰息等。合法AP身份信息存儲模塊,用于存儲合法AP身份信息;本實施例中,AP監控器預先存儲有全網運營商建設的所有AP的相關身份信息。也 就是說,AP監控器是全網所有AP的數據庫。本實施例中,合法AP身份信息包括合法AP的SSID信息和MAC地址信息。實際應用中,合法AP身份信息還可以包括合法AP工作頻率信息、和/或,合法AP 覆蓋范圍信息等信息。身份信息處理模塊,用于接收監測身份信息,如果合法AP身份信息存儲模塊存儲 的合法AP身份信息中不包含該監測身份信息,判斷該監測身份信息對應的AP為非法AP。較佳地,AP監控器設置在無線網絡側,設置在無線網絡側的AP監控器,可以是獨 立的物理設備,也可以設置在基站中(現有與AP通過無線網絡相連的基站)。本實施例中,通過將監測身份信息與合法AP身份信息進行比較匹配,這樣,對于 將AP的SSID設置為與運營商下發至合法AP的SSID相同的非法AP來說,雖然其SSID與 合法AP的SSID相同,但由于該非法AP的MAC地址信息與合法AP的MAC地址信息不相匹 配,則不能通過安全認證。實際應用中,身份信息處理模塊在確定非法AP后,還可以進一步根據接收的周圍 AP的信號強度信息以及預先存儲的合法AP覆蓋范圍信息,計算具有該信號強度的非法AP 距離合法AP的距離,從而可以迅速定位該非法AP的位置以便網管人員及時采取措施。此外,身份信息處理模塊在確定非法AP后,也可以根據接收的周圍AP的工作頻率 信息以及預先存儲的合法AP工作頻率信息,如果該非法AP的工作頻率與預先存儲的所有 合法AP的工作頻率不相同,則網管人員也可以直接針對該非法AP的工作頻率采取相應的 措施,有關采取的措施的描述可參見相關的技術文獻,在此不再贅述。圖3為本發明實施例監控非法AP的系統結構示意圖,參見圖3,該系統包括AP監控器和多個AP,其中,AP監控器,用于接收AP返回的監測身份信息,如果預先存儲的合法AP身份信息中 不包含該監測身份信息,判斷該監測身份信息對應的AP為非法AP ;AP,用于按照預先設置的時間周期觸發監測自身覆蓋區域內的AP,并獲取自身覆 蓋區域內AP的身份信息,形成監測身份信息,向AP監控器發送。本實施例中,預先設置的時間周期由運營商根據實際需要進行設置,AP按照預先 設置的時間周期,周期性地掃描自身覆蓋區域內的AP,獲取AP身份信息。監測身份信息包 括自身覆蓋區域內各AP的身份信息;當然,也可以包含自身AP的身份信息。本實施例中,合法AP身份信息包括合法AP的SSID信息、MAC地址信息以及合法 AP覆蓋范圍信息;監測身份信息包括周圍AP的服務標識符SSID信息、媒體接入控制層 MAC地址信息以及信號強度信息;則AP監控器判斷預先存儲的合法AP的SSID信息和MAC地址信息中不包含相應接收 的周圍AP的服務標識符SSID信息和媒體接入控制層MAC地址信息,則該周圍AP的服務標 識符SSID信息和媒體接入控制層MAC地址信息對應的AP為非法AP,并根據接收的周圍AP 的信號強度信息以及預先存儲的合法AP覆蓋范圍信息,計算具有該信號強度的非法AP距 離合法AP的距離。由上述實施例可見,本發明實施例的AP監控器以及監控非法AP的系統,AP按照預 先設置的時間周期觸發監測自身覆蓋區域內的AP,利用具有的對周圍WLAN無線網絡環境 的監測功能,監測自身覆蓋區域內的AP,并獲取自身覆蓋區域內AP的身份信息,形成監測 身份信息,向AP監控器發送,AP監控器如果確定預先存儲的合法AP身份信息中不包含接收 的監測身份信息,則該監測身份信息對應的AP為非法AP。這樣,由于AP監控器與AP之間 進行單向信息交互,AP可以利用原有的無線資源發送向AP監控器發送監測身份信息,不需 要為AP監控器分配無線資源,節約了無線資源,提高了系統無線資源的利用率;進一步地, AP向AP監控器發送監測身份信息的通信機制是公開的,AP監控器的通用性強;而且,監控 非法AP的過程為自動監控,自動獲取非法AP信息,可操作性強;此外,當系統中存在非法 AP,即使該非法AP沒有周期性向AP監控器上報相關信息,AP監控器也可以從其他合法AP 上報的監測身份信息中,發現所有與運營商設置的SSID相同的AP,過濾篩選出非法AP,獲 取非法AP信息并及時有針對性地到現場進行處理,保障了用戶的合法權益,避免用戶信息 泄密,提升了用戶感知,提高了用戶接入無線網絡的安全性。下面再對監控非法AP的方法進行描述。圖4為本發明實施例監控非法AP的方法流程示意圖,參見圖4,該流程包括步驟401,AP按照預先設置的時間周期觸發監測自身覆蓋區域內的AP,并獲取自 身覆蓋區域內AP的身份信息,形成監測身份信息,向AP監控器發送;步驟402,AP監控器接收AP發送的監測身份信息,如果預先存儲的合法AP身份信 息中不包含該監測身份信息,判斷該監測身份信息對應的AP為非法AP。本實施例中,合法AP身份信息包括合法AP的SSID信息、MAC地址信息以及合 法AP覆蓋范圍信息,監測身份信息包括周圍AP的服務標識符SSID信息、媒體接入控制層 MAC地址信息以及信號強度信息;則步驟402包括AP監控器判斷預先存儲的合法AP的SSID信息和MAC地址信息中不包含相應接收的周圍AP的服務標識符SSID信息和媒體接入控制層MAC地址信息,則該周圍AP的服務標 識符SSID信息和媒體接入控制層MAC地址信息對應的AP為非法AP,并根據接收的周圍AP 的信號強度信息以及預先存儲的合法AP覆蓋范圍信息,計算具有該信號強度的非法AP距 離合法AP的距離。圖5為本發明實施例監控非法AP的方法具體流程示意圖,參見圖5,該流程包括步驟501,將全網運營商所建設的AP身份信息存儲至AP監控器;本步驟中,AP身份信息包括AP的名稱、AP覆蓋范圍、AP工作頻率、AP的SSID以 及MAC地址等信息。步驟502,AP按照預先設置的時間周期觸發監測自身覆蓋區域內的AP,并獲取自 身覆蓋區域內AP的身份信息,形成監測身份信息,向AP監控器發送;本步驟中,AP監控器每隔預先設置的時間周期,接收自身區域內各個AP采集上報 的監測身份信息(各AP無線網絡環境的數據),監測身份信息包括AP監控器自身區域內 各AP覆蓋區域內的AP(周圍AP)的SSID、MAC地址、工作頻率、信號強度等信息。步驟503,AP監控器接收各AP發送的監測身份信息,形成全網所有AP的無線環境 拓撲圖,從全網所有AP的無線環境拓撲圖中獲取第一 AP清單;本步驟中,從全網所有AP的無線環境拓撲圖上,分揀出AP的SSID與運營商設置 的SSID相一致的所有AP的身份信息,例如,身份信息包括該AP是哪個AP的相鄰AP,該AP 的SSID、MAC地址、工作頻率等信息,得到一個第一 AP清單。步驟504,將第一 AP清單與AP監控器存儲的全網運營商所建設的AP身份信息進 行比較;本步驟中,第一 AP清單組成了一個AP的集合,定義為集合A。從預先存儲的全網 運營商所建設的AP身份信息中整理出全網所有合法AP的身份信息,如物理地址等,定義為
集合B0步驟505,獲取非法AP清單。本步驟中,將集合A與集合B進行安全判斷,則所有在集合A但不在集合B中的 AP,就是非法AP。 實際應用中,AP監控器還可整理出非法AP是在哪個合法AP的周圍以及距離合法 AP的距離。將獲取的非法AP組成一個非法AP清單,包括各非法AP的MAC地址、在哪個合法 AP周圍、工作頻率和信號強度等信息。這樣,通過無線掃描篩選出SSID與運營商一致的所 有AP的信息,與合法的AP集合做比較,整理出未授權使用運營商SSID的非法AP。以上所述僅為本發明的較佳實施例而已,并非用于限定本發明的保護范圍。凡在 本發明的精神和原則之內,所作的任何修改、等同替換以及改進等,均應包含在本發明的保 護范圍之內。
9
權利要求
1.一種接入點AP監控器,其特征在于,該AP監控器包括身份信息收集模塊、合法AP 身份信息存儲模塊以及身份信息處理模塊,其中,身份信息收集模塊,用于接收外部AP發送的監測身份信息,發送至身份信息處理模塊;合法AP身份信息存儲模塊,用于存儲合法AP身份信息;身份信息處理模塊,用于接收監測身份信息,如果合法AP身份信息存儲模塊存儲的合 法AP身份信息中不包含所述監測身份信息,判斷所述監測身份信息對應的AP為非法AP。
2.如權利要求1所述的AP監控器,其特征在于,所述合法AP身份信息包括合法AP的 SSID信息和MAC地址信息。
3.如權利要求2所述的AP監控器,其特征在于,所述合法AP身份信息進一步包括合 法AP工作頻率信息、和/或,合法AP覆蓋范圍信息。
4.如權利要求1至3任一項所述的AP監控器,其特征在于,所述監測身份信息包括 周圍AP的服務標識符SSID信息和媒體接入控制層MAC地址信息;所述身份信息處理模塊判斷合法AP的SSID信息和MAC地址信息中不包含所述周圍AP 的服務標識符SSID信息和媒體接入控制層MAC地址信息,所述周圍AP的服務標識符SSID 信息和媒體接入控制層MAC地址信息對應的AP為非法AP。
5.如權利要求4所述的AP監控器,其特征在于,所述監測身份信息進一步包括周圍 AP的工作頻率信息、和/或,信號強度信息;所述身份信息處理模塊在判斷所述監測身份信息對應的AP為非法AP后,進一步用于 根據接收的周圍AP的信號強度信息以及預先存儲的合法AP覆蓋范圍信息,計算具有該信 號強度的非法AP距離合法AP的距離、和/或,進一步用于根據接收的周圍AP的工作頻率 信息以及預先存儲的合法AP工作頻率信息,如果該非法AP的工作頻率與預先存儲的所有 合法AP的工作頻率不相同,將該非法AP的工作頻率信息通知網管人員。
6.一種監控非法接入點AP的系統,其特征在于,該系統包括AP監控器和多個AP,其中,AP監控器,用于接收AP發送的監測身份信息,如果預先存儲的合法AP身份信息中不包 含該監測身份信息,判斷該監測身份信息對應的AP為非法AP ;AP,用于按照預先設置的時間周期觸發監測自身覆蓋區域內的AP,并獲取自身覆蓋區 域內AP的身份信息,形成監測身份信息,向AP監控器發送。
7.如權利要求6所述的系統,其特征在于,所述合法AP身份信息包括合法AP的SSID信息、MAC地址信息以及合法AP覆蓋范圍 fn息;所述監測身份信息包括周圍AP的服務標識符SSID信息、媒體接入控制層MAC地址信 息以及信號強度信息;所述AP監控器判斷預先存儲的合法AP的SSID信息和MAC地址信息中不包含相應接 收的周圍AP的服務標識符SSID信息和媒體接入控制層MAC地址信息,則該周圍AP的服務 標識符SSID信息和媒體接入控制層MAC地址信息對應的AP為非法AP,并根據接收的周圍 AP的信號強度信息以及預先存儲的合法AP覆蓋范圍信息,計算具有該信號強度的非法AP 距離合法AP的距離。
8.一種監控非法接入點AP的方法,其特征在于,包括AP監控器和多個AP,該方法包括AP按照預先設置的時間周期觸發監測自身覆蓋區域內的AP,并獲取自身覆蓋區域內 AP的身份信息,形成監測身份信息,向AP監控器發送;AP監控器接收AP發送的監測身份信息,如果預先存儲的合法AP身份信息中不包含該 監測身份信息,判斷該監測身份信息對應的AP為非法AP。
9.如權利要求8所述的方法,其特征在于,所述合法AP身份信息包括合法AP的SSID 信息、MAC地址信息以及合法AP覆蓋范圍信息;所述監測身份信息包括周圍AP的服務標 識符SSID信息、媒體接入控制層MAC地址信息以及信號強度信息;所述AP監控器接收AP發送的監測身份信息,如果預先存儲的合法AP身份信息中不包 含該監測身份信息,判斷該監測身份信息對應的AP為非法AP的步驟包括所述AP監控器判斷預先存儲的合法AP的SSID信息和MAC地址信息中不包含相應接 收的周圍AP的服務標識符SSID信息和媒體接入控制層MAC地址信息,則該周圍AP的服務 標識符SSID信息和媒體接入控制層MAC地址信息對應的AP為非法AP,并根據接收的周圍 AP的信號強度信息以及預先存儲的合法AP覆蓋范圍信息,計算具有該信號強度的非法AP 距離合法AP的距離。
全文摘要
本發明公開了一種接入點AP監控器。包括用于接收外部AP發送的監測身份信息,發送至身份信息處理模塊的身份信息收集模塊、用于存儲合法AP身份信息的合法AP身份信息存儲模塊以及用于接收監測身份信息,如果合法AP身份信息存儲模塊存儲的合法AP身份信息中不包含所述監測身份信息,判斷所述監測身份信息對應的AP為非法AP的身份信息處理模塊。本發明還公開了一種監控非法AP的方法及系統。應用本發明,可以避免無線資源浪費、監控非法AP的通用性強、操作的復雜性低以及提高用戶接入無線網絡的安全性。
文檔編號H04W24/00GK102075934SQ20091023840
公開日2011年5月25日 申請日期2009年11月19日 優先權日2009年11月19日
發明者倪鳴, 唐武軍, 孫和, 張立朋, 黃叢偉 申請人:中國移動通信集團江蘇有限公司