一种无线局域网内检测非法无线接入点的方法.pdf

本发明涉及一种无线局域网内检测非法无线接入点(Wireless AP)的方法，在无线局域网内设置有多个警察AP和多个接入AP，所述警察AP检测覆盖范围内的接入AP，并要求接入AP回应检测请求，根据回应信息判断接入AP的合法身份。对于非法接入的AP，无法回复身份确认信息，警察AP通知网管将其拆除，从而可以保证无线局域网的安全。

1.  一种无线局域网内检测非法无线接入点的方法，无线局域网中包括若干个警察AP和若干个接入AP，每个警察AP覆盖范围内的具有若干个接入AP，该方法包括如下步骤：
1)警察AP周期性地搜索并联接接入AP；
2)警察AP向搜索到的接入AP发出身份请求报文；
3)如果是合法接入AP，收到身份请求报文后，向警察回复身份确认报文；
4)警察AP收集每个接入AP发出的身份信息报文；
5)警察AP对有身份信息报文发出的AP，标识为合法接入AP；将接入AP身份信息汇报网管；
6)对在规定时间内不能发出身份确认报文的AP，标识为非法AP；
7)警察AP对标识为非法的接入AP，向网管发出告警，将非法AP的名称，MAC等识别信息告知网管。

2.  如权利要求1所述的无线局域网内检测非法无线接入点的方法，其特征在于：警察AP为站点模式。

3.  如权利要求1所述的无线局域网内检测非法无线接入点的方法，其特征在于：在步骤6中，警察AP重发两次身份请求报文，如果仍然没有收到回复，标识为非法接入AP。

4.  如权利要求1所述的无线局域网内检测非法无线接入点的方法，其特征在于：在步骤7中，警察AP同时告知网管自己的名称和位置。

5.  如权利要求1所述的无线局域网内检测非法无线接入点的方法，其特征在于：警察AP固定在某地，负责固定区域的设备检测。

6.  如权利要求1所述的无线局域网内检测非法无线接入点的方法，其特征在于：警察AP是一个移动手持设备，可在不同的位置进行搜索检测。

7.  如权利要求1所述的无线局域网内检测非法无线接入点的方法，其特征在于：如果在整个无线网中，系统如果支持WPA，并能提供认证服务器，在接入AP和警察AP上启用WPA的认证方式。

8.  如权利要求1所述的无线局域网内检测非法无线接入点的方法，其特征在于：如果在整个无线网中，系统如果支持WPA，但不能提供认证服务器，在接入AP和警察AP启用WPA-PSK的认证方式。

9.  如权利要求1所述的无线局域网内检测非法无线接入点的方法，其特征在于：如果在整个无线网中，系统不支持WPA，在接入AP和警察AP上启用WEP加密算法。

10.  如权利要求1所述的无线局域网内检测非法无线接入点的方法，其特征在于：警察AP身份请求报文至少包括如下信息：接入AP MAC地址；警察AP MAC地址；身份加密编号；加密的AP SSID。

11.  如权利要求11所述的无线局域网内检测非法无线接入点的方法，其特征在于：接入AP身份确认报文至少包括如下信息：警察AP MAC地址；接入AP MAC地址；身份加密编号；加密的AP SSID。

12.  如权利要求12所述的无线局域网内检测非法无线接入点的方法，其特征在于：身份加密编号是接入AP和警察AP事先双方约定的一组身份加密码，要求双方在设定时，编号和加密码一一对应，双方交互时不可选用同样编号的加密码。

13.  一种无线接入系统，包括若干个警察AP和若干个接入AP，每个警察AP覆盖范围内的具有若干个接入AP，警察AP包括：
周期性地向其覆盖范围内的接入AP发出身份请求报文的身份请求报文发送装置；
收集每个接入AP回复的身份确认信息报文的身份确认报文收集装置；
将有身份信息报文发出的接AP标识为合法接入AP以及将在规定时间内不能发出身份确认报文的AP标识为非法AP的接入AP确认装置；
将合法接入AP身份信息汇报网管的以及将非法AP的名称、MAC等信息告知网管的信息汇报装置；
接入AP包括：
收到身份请求报文后，回复身份确认报文的身份确认报文回复装置。

14.  一种警察AP，其信号覆盖范围内具有若干个接入AP，包括：
周期性地向接入AP发出身份请求报文的身份请求报文发送装置；
收集每个接入AP回复的身份确认信息报文的身份确认报文收集装置；
将有身份信息报文发出的接AP标识为合法接入AP以及将在规定时间内不能发出身份确认报文的AP，标识为非法AP的接入AP确认装置；
将合法接入AP身份信息汇报网管的以及将非法AP的名称，MAC等信息告知网管的信息汇报装置。

一种无线局域网内检测非法无线接入点的方法
技术领域
本发明涉及通讯领域，尤其涉及无线局域网内对非法接入的无线接入点(Wireless Access Point)进行检测并发现的方法。
背景技术
随着计算机技术和网络技术的蓬勃发展，网络在各行各业的应用越来越广。有线网络以其传输速度高，产品的品牌及数量众多和技术发展速度快等优点，在市场上有着较高的知名度和市场份额。然而，随着无线网络在技术上的成熟，产品种类的不断增加和产品成本下降，未来几年，无线网在全世界将有较大的发展。无线局域网应用越来越多，它将扩展有线局域网或在某些情况下取而代之。可以预期，在信息无所不在的未来时代，无线网将依靠其无法比拟的灵活性、可移动性和极强的可扩容性，使人们真正享受到简单、方便、快捷的无线上网。
现有的无线局域网给我们带来接入和使用的方便同时，安全性就是我们需要考虑的重点。在一些布有无线网络的公司周围，非法之徒对空中数据的截获并进行分析，这是现在无线协议非常担心的问题，因此，就会不断的有加密算法和协议的推出。在我们通常使用中，我们的安全设置都是只考虑我们选择的接入点是安全的前提下。如中国发明专利申请第02139361号、第02139508号及第01145395号就揭露了宽带无线IP系统移动终端的安全接入方法，其基于公钥证书机制，当移动终端MT登录至无线接入点AP时必须进行身份认证，若认证成功，则无线接入点AP允许移动终端MT接入，否则拒绝其登录。当成功接入后，双方均在本地由自己的私钥与对方的公钥产生会话密钥，依此对数据报文进行加解密传输。该发明在无线局域网中，依据证书进行身份认证，从而实现移动终端的接入控制与通信保密。不仅完成了移动终端的接入控制，而且实现了WLAN的通信保密功能。
但是，我们不可以排除，如果有一天有一个非法的AP被接入到无线局域网中，这时，如果我们不小心接入了这个AP，那么上述的加密就是徒劳的，数据将没有一点机密和隐私可言。任何商业机密和个人隐私都将被这个非法的AP传送到他的持有者那里。所以有必要提出一种方法，保证接入到无线局域网的AP是合法的，而使非法的AP无法接入到局域网中。
发明内容
本发明的目的在于针对上述现有技术的缺陷，提出一种在无线局域网内对非法接入的无线接入点(Wireless Access Point)进行检测并发现的方法，以保证无线局域网的安全。
本发明无线局域网中包括若干个警察AP和若干个接入AP，每个警察AP覆盖范围内的具有若干个接入AP，无线局域网内检测非法无线接入点的方法，方法包括如下步骤：
1)  察AP周期性地搜索并联接接入AP；
2)  警察AP向搜索到的接入AP发出身份请求报文；
3)  如果是合法接入AP，收到身份请求报文后，向警察回复身份确认报文；
4)  警察AP收集每个接入AP发出的身份信息报文；
5)  警察AP对有身份信息报文发出的AP，标识为合法接入AP；将接入AP身份信息汇报网管；
6)  对在规定时间内不能发出身份确认报文的AP，标识为非法AP；
7)  警察AP对标识为非法的接入AP，向网管发出告警，将非法AP的名称，MAC等识别信息告知网管。
管理员根据非法AP的名称，MAC等识别信息可以方便面找到非法接入AP并拆除，从而确保无线网络的安全。
图1为本发明硬件设备的网络拓扑图。
图2为接入AP向警察AP身份汇报的流程图。
图3为警察AP身份请求报文格式示意图，其中A表示身份加密编号。
图4为接入AP身份响应报文格式示意图，其中A表示身份加密编号。
请参阅图1，本发明的无线局域网中包括两种无线接入点(AP)，即警察AP1和警察AP1覆盖范围内的若干接入AP2，接入AP2能够按照要求发布自身的身份信息，警察AP1收集这些信息并进行判别，确认局域网内每个接入AP2身份的合法性。警察AP1会周期性的扫描它的覆盖范围，并会与扫描到的接入AP2进行一次协议交互，如果交互成功则是合法接入AP，他将记录数据作为备份，如果交互不成功，则判定可能为非法AP，并向网管发出告警。这样，在一个局域网内，如果接入AP2都支持身份的汇报，并适当的放置几个具有收集汇报信息的警察AP1，当有非法AP接入时，将会被一个或多个警察AP1发现，并同时发出告警。这样很容易定位非法AP的位置范围，以便管理员找到并拆除非法AP。
其具体判断流程请参阅图2：
1)  警察AP1作为站点模式(Station mode)和接入AP2进行802.11协商，周期性地搜索并联接接入AP2；
2)  警察AP1向接入AP2发出身份请求报文，要求接入AP2回复自己的身份信息；
3)  如果是合法接入AP2，收到身份请求报文后，回复身份确认报文到警察AP1；
4)  警察AP1收集每个接入AP2发出的身份信息报文；
5)  警察AP1对有身份信息报文发出地AP2，标识为合法接入AP2；将接入AP2身份信息汇报网管；
6)  对在规定时间内不能发出身份确认报文的接入AP，重发两次身份请求报文，如果仍然没有收到回复，标识为非法AP；
7)  对标识为非法的接入AP2，向网管发出告警，并告知网管自己的名称和位置(如果有)，开且将非法AP的名称，MAC(Media AccessControl，介质访问控制)地址等识别信息告知网管；
8)  网管收到告警，显示给管理员，管理员分析数据确定非法接入AP的位置，将非法接入AP排除。
以上的判断可分为两个部分实现，一个是接入AP2，另一种是警察AP1。两种AP同时部署在一个局域网内，所承担的责任各不相同。接入AP2功能是完成原有的接入功能，但能按规定发出合法身份的报文；警察AP1功能是扫描接入AP2，分析接入AP2合法性，发现非法势头入AP并进行上报。
本发明通过警察AP1对其监测的无线网络主动进行扫描，并对可扫描到的接入AP2进行关联和通信。警察AP1通过标准的802.11协议与接入AP2进行关联，以及通过私有的通信协议进行状态获取。在警察AP1内，维护着所有可扫描到的接入AP2的状态数据表。一定周期内警察AP1向网管汇报其检测到的接入AP2的状态信息。
警察AP1放在多个接入AP2重叠覆盖的范围内，这样有效的减少警察AP1的数量。由于每个警察AP1所需管理的接入AP2受到覆盖范围的限制，管理数目不会太多，可以保证扫描周期在几分钟内。此发明解决的是对非法接入网络的设备进行搜索，他可以是一个固定在某地的警察AP1，负责固定区域的设备检测；当然也可以是一个移动手持设备，让用户在不同的位置进行搜索检测。
由于本发明的承载协议仍然是无线的802.11，因此，安全的要求尤为重要。在具体实施中，采用基于802.11i的WPA(Wi-Fi保护访问，Wi-FiProtected Access)认证或WPA-PSK(Wi-Fi保护访问预共享密码，Wi-FiProtected Access Pre-shared Key)的认证。关于这两种认证对设备的具体要求如下：
1)如果在整个无线网中，系统如果支持WPA，并能提供认证服务器，在接入AP2和警察AP1上启用WPA的认证方式；
2)如果在整个无线网中，系统如果支持WPA，但不能提供认证服务器，在接入AP2和警察AP1启用WPA-PSK的认证方式；
3)如果在整个无线网中，系统不支持WPA，接入AP2和警察AP1上启用WEP(有线等效隐私，Wired Equivalent Privacy)加密算法。
在警察AP1与接入AP2身份信息交互中，我们采用了一组私有协议来完成。请参如图3，警察AP1发出的身份请求报文包括如下信息：
1)  接入AP MAC地址；
2)  警察AP MAC地址；
3)  协议类型；
4)  报文类型；
5)  身份加密编号；
6)  加密的AP SSID(服务集标识符)。
请参如图4，接入AP2回复的身份确认报文包括如下信息：
1)  警察AP MAC地址；
2)  接入AP MAC地址；
3)  协议类型；
4)  报文类型；
5)  身份加密编号；
6)  加密的AP SSID。
在上述信息中，身份加密编号是接入AP2和警察AP1事先双方约定的一组身份加密码，可以至少为3组，也可以是更多。要求双方在设定时，编号和加密码一一对应。但是，要求双方交互时不可选用同样编号的加密码。这样无论是接入AP2还是警察AP1在收到此类型报文后，可以进一步认定报文的合法性。