技術領域

本發明涉及網絡安全領域，尤其涉及無線局域網（WLAN，Wireless?LAN）中一種非法AP防護的方法及裝置。

背景技術

隨著無線技術的發展，無線網絡的安全性成為一個急需解決的問題。目前，WLAN系統由于設備自身存在安全漏洞、配置不當或組網結構不合理、無線空口等問題，會使WLAN系統面臨密碼被盜用、網路濫用、設備被利用、網絡不可用等安全風險。典型的安全攻擊有釣魚AP攻擊，攻擊者利用非法AP與DNS欺騙相結合進行無線釣魚。以中國電信運營商部署的SSID：ChinaNet為例，由于ChinaNet未采用任何無線認證和加密手段，因此攻擊者可以通過偽造ChinaNet的Web認證界面并使用自身的AP廣播虛假ChinaNet網絡，進而誤導用戶在釣魚頁面輸入賬號、口令并進行截獲。

因此，急需提出一種非法AP的防護方法。為能夠解決上述問題，現有方案一般通過檢測AP定期掃描信道，并按照一定的過濾條件判斷非法AP的存在并進行告警，然后對非法AP進行攻擊。具體的實現方式為：檢測AP仿冒非法AP給客戶端發送大量的deassociation報文強制用戶解關聯。但這種方式會造成用戶很快就又再次關聯非法AP。如果要持續防護就要不停地發送解關聯報文強制用戶解關聯，這樣既占用空口資源，也無法為這些關聯到非法AP的用戶提供正常的服務。

發明內容

有鑒于此，本發明提供一種非法AP防護的方法和裝置，能夠消除非法AP的安全隱患，為無線用戶提供正常的服務。

為實現本發明目的，本發明實現方案具體如下：

一種非法AP的防護方法，應用于檢測AP，所述檢測AP對信道進行定期掃描，所述方法包括以下步驟：

檢測與無線客戶端關聯的AP是否為非法AP；

若所述AP為非法AP，則在非法AP所在的信道上模擬所述非法AP向所述非法AP上關聯的所有用戶發送信道切換指令，引導客戶端切換信道到指定的新信道。

進一步地，所述檢測AP進一步在指定的信道上仿冒非法AP提供服務，防止用戶切回非法AP。

本發明同時提供一種非法AP的防護裝置，應用于檢測AP，所述檢測AP對信道進行定期掃描，所述裝置包括：

檢測單元，用于檢測與無線客戶端關聯的AP是否為非法AP；

信道引導單元，用于當所述AP為非法AP時，在非法AP所在的信道上模擬所述非法AP向所述非法AP上關聯的所有用戶發送信道切換指令，引導客戶端切換信道到指定的新信道。

進一步地，信號服務單元，用于在指定的信道上仿冒非法AP提供服務，防止用戶切回非法AP。

與現有技術相比，本發明中，通過當檢測到非法AP時，模擬非法AP向所述非法AP上關聯的所有用戶發送信道切換指令，引導客戶端切換信道到指定的新信道，并仿冒非法AP在相應的信道上提供服務，防止用戶切回非法AP。從而解除了無線客戶端和非法AP的關聯并可以防止無線客戶端再次連接到非法AP，進而為用戶提供正常的服務。

附圖說明

圖1為本發明一種非法AP防護的方法流程示意圖。

圖2為頻道切換宣告幀（Channel?Switch?Announcement）的報文格式示意圖。

圖3為頻道切換宣布幀（Channel?Switch?Announcement）的信息元素的格式示意圖。

圖4為本發明一種非法AP防護的邏輯組成圖。

具體實施方式

為實現本發明目的，本發明采用的核心思想為：利用現有技術中WLAN設備支持802.11h?DFS（Dynamic?Frequency?Selection，動態頻率選擇）的特性，當檢測到存在非法AP時，檢測AP通過仿冒非法AP，向關聯在非法AP上的客戶端發送信道切換指令，引導這些客戶端切換到指定信道，并在新的所述指定信道上仿冒非法AP和客戶端建立連接并為之提供服務，從而消除非法AP的安全隱患。

為實現本發明目的，以下結合附圖詳細說明本發明。請參考圖1，為本發明提供的一種非法AP防護的方法，應用于無線網絡中非法AP的防護，所述無線網絡中至少包括有一個檢測AP，對信道進行定期掃描，其中，所述方法包括以下步驟：

步驟101，檢測與無線客戶端關聯的AP是否為非法AP。