技術領域

本發明屬于無線上網安全加密技術領域，涉及無線局域網(WLAN，Wireless?Local?Area?Network)中用戶(Station，STA)和無線接入點(AccessPoint，AP)之間的鏈路安全，尤其涉及一種用戶STA和無線接入點AP之間防止網絡資源被盜用所采取的非法用戶探測的方法。

背景技術

無線局域網WLAN提供了一種局域網的無線連接服務，AP(無線接入點)是無線局域網中的無線收發設備，用于將從有線網絡，比如因特網Internet中接收到的數據轉換成無線信號發送，將接收到的無線信號轉換成數據并轉發到有線網絡。

如圖1所示，STA(用戶)可以經由鏈接AP(無線接入點)接入無線網絡。在不含有radius服務器認證的無線局域網絡中，對于用戶的身份驗證大多是靠加密算法，比如WEP(Wired?Equivalent?Privacy，有線等效保密)、WPA(Wi-Fi?Protected?Access)、WPA2等來實現的，但對于加密算法，總是有被破解的時候，并且將破解方法廣泛傳播。

隨著無線局域網(WLAN)越來越廣泛的被使用，WEP、WPA、WPA2等加密算法相繼被破解，造成用戶合法的網絡資源被盜用，導致網絡質量下降，而對于網絡分布稍大，無線接入點數量較多的地方，這種現象尤其明顯。就目前來看，尚沒有特別有效的保護無線網絡資源被盜用的方法出現。

發明內容

本發明目的在于提供一種無線接入點保護合法用戶接入的方法，解決了現有技術中合法用戶網絡資源被盜用，網絡質量下降等問題。

為了解決現有技術中的這些問題，本發明提供的技術方案是：

一種無線接入點保護合法用戶接入的方法，其特征在于所述方法包括無線接入點循環與用戶間傳輸心跳保持幀進行用戶認證，通過心跳保持幀的內容檢查用戶是否為合法用戶；當用戶合法時不做處理；當用戶不合法或規定時間內不響應心跳保持幀時強制用戶下線。

優選的，所述心跳保持幀包括心跳保持請求幀、心跳保持響應幀；所述方法包括以下步驟：

步驟A1：無線接入點向用戶發送心跳保持請求幀；

步驟A2：開啟了心跳保持功能的用戶接受心跳保持請求幀后，對心跳保持請求幀進行識別，然后將自身信息加密后發送心跳保持響應幀給無線接入點；

步驟A3：無線接入點收到用戶發送的心跳保持響應幀后，識別響應幀中特定標識，并根據用戶信息是否符合作出處理：當用戶信息符合時不做處理；當用戶信息不符合或用戶在一定時間內未發送心跳保持響應幀，則判定其為掉線或者不能識別心跳保持請求幀，強制用戶下線；繼續循環。

優選的，所述心跳保持請求幀或心跳保持響應幀的循環間隔時間由用戶指定，可以是3～15分鐘；所述無線接入點內設置定時器，當無線接入點接受到合法用戶的心跳保持響應幀后，定時器重新計時。定時器的作用在于間隔一定時間重新驗證一次用戶身份，以保證在驗證的循環性。

優選的，所述方法中心跳保持請求幀或心跳保持響應幀均使用IEEE802.11標準的幀格式，且其管理幀字段的子類型采用未被定義的0110或0111作為判別不同的幀類型的標識。當然，這里不僅僅是這兩種子類型，其它的子類型也可以起到作用，如使用類似方法僅僅更改定義字段。

優選的，所述心跳保持請求幀采用IEEE?802.11標準的幀格式，其管理幀字段中的子類型為未被定義的0110作為判別不同的幀類型的標識來探測非法用戶。

優選的，所述心跳保持響應幀采用IEEE?802.11標準的幀格式，其管理幀字段中的子類型為未被定義的0111作為判別不同的幀類型的標識來響應無線接入點的請求。

優選的，所述心跳保持請求幀將經過加密的標識碼放入IEEE?802.11管理幀的幀主體中形成含有加密的、含有特有的標識的請求幀。

優選的，所述心跳保持請求幀的加密方法是將無線接入點中現有時間以及日期，轉換為二進制數，將其插空填入將要發給的用戶的MAC地址中，之后放入幀主體中，發送給用戶，用戶如果能正確識別此幀，則要回送用戶當前時間以及日期的相同計算結果，由無線接入點判定，如果解密后的時間在無線接入點允許的范圍內，則判定為用戶合法，否則強制用戶下線。