技術領域

本發明涉及通信網絡技術領域，尤其涉及一種檢測非法無線接入點的方法、裝置及系統。

背景技術

隨著網絡技術的不斷發展，為了擴大數據的通信傳輸范圍，而不只是限制到有線傳輸，故出現了采用無線接入點（Access?Point，AP）來覆蓋一個無線區域，使得在此無線區域下連接對應的AP就能進行網絡的傳輸。但是同時出現了網絡安全性的問題。具體表現為：有非法AP出現在該無線覆蓋區域內，并且仿冒該無線覆蓋區域對應的AP的服務集標識（Service?Set?Identifier，SSID），導致用戶可能接入到該非法AP中，使得信息出現外泄現象。

針對仿冒AP獲取機密信息這一現象，現有技術中通常由特定AP對無線網絡中的所有AP進行間隔掃描，或者單獨部署一個特定AP對無線網絡中的所有AP進行全程監控，以便于掃描到非法AP。其中，特定AP獲取無線空口的無線報文幀，然后判斷獲取到的無線報文幀對應的AP是否在管轄范圍內。當某一個無線報文幀對應的AP不在管轄范圍內時，通過識別規則或者通過人工確認該不在管轄范圍內的AP為惡意非法AP。在特定AP確認惡意非法AP之后，向該惡意非法AP通過廣播信道發送去認證（deauth）幀或去關聯（disassoc）幀，強制連接該惡意非法AP的用戶下線，已達到防止信息外泄的問題。

現有技術中在確定惡意非法AP之后，采用特定AP通過廣播信道向連接該惡意非法AP的用戶發送deauth幀或disassoc幀，強制連接該惡意非法AP的用戶下線的方法。然而用戶在被迫下線之后會自動進行重新連接，因此需要特定AP定時、且持續的發送deauth幀或disassoc幀來強制連接該AP的用戶下線，所以在用戶后續連接該惡意非法AP的過程中仍然會出現信息的外泄。

發明內容

本發明的實施例提供一種檢測非法無線接入點的方法、裝置及系統，用于一定程度上解決信息外泄的問題。

第一方面，本發明的實施例提供一種檢測非法無線接入點的方法，包括：

認證客戶端通過操作系統應用程序接口API獲取連接無線信號的基礎服務集標識BSSID；

所述認證客戶端將所述連接無線信號的BSSID與合法BSSID列表進行比對，所述合法BSSID列表包括各個合法無線接入點AP空口的BSSID；

當所述連接無線信號的BSSID不存在在所述合法BSSID列表中，所述認證客戶端確定所述連接無線信號的BSSID對應的AP為非法AP；

所述認證客戶端生成提示消息，所述提示消息用于說明所述連接無線信號的BSSID對應的AP為非法AP。

在第一種可能的實施例中，結合第一方面，所述各個合法AP空口的BSSID的信息來源于網絡管理器。

在第二種可能的實施例中，結合第一方面中的第一種可能的實施例，在所述認證客戶端將所述連接無線信號的BSSID與合法BSSID列表進行比對之前，所述方法還包括：

所述認證客戶端接收所述網絡管理器發送的所述合法BSSID列表，所述合法BSSID列表為以下兩種列表中的任意一種：所述網絡管理器首次制作的BSSID列表和所述網絡管理器制作的更新后的合法BSSID列表。

在第三種可能的實施例中，結合第一方面中的第一種可能的實施例，在所述認證客戶端將所述連接無線信號的BSSID與合法BSSID列表進行比對之前，所述方法還包括：

所述認證客戶端接收所述網絡管理器發送的所述各個合法AP空口的BSSID；

所述認證客戶端將接收的所述各個合法AP空口的BSSID制成所述合法BSSID列表。

在第四種可能的實施例中，結合第一方面中的第一種可能的實施例，在所述認證客戶端將所述連接無線信號的BSSID與合法BSSID列表進行比對之前，所述方法還包括：

所述認證客戶端接收所述網絡管理器發送的新的合法AP空口的BSSID；

所述認證客戶端將已有的各個合法AP空口的BSSID以及所述新的合法AP空口的BSSID制成更新后的合法BSSID列表。

在第五種可能的實施例中，結合第一方面中的上述任一種可能的實施例，所述認證客戶端部署在用戶設備UE上。

第二方面，本發明的實施例提供另一種檢測非法無線接入點的方法，包括：

網絡管理器獲取各個合法無線接入點AP空口的基礎服務集標識BSSID；