[发明专利]一种对恶意无线接入点进行反制的方法及装置

说明书

技术领域

本发明涉及网络通信领域，尤其涉及一种对恶意无线接入点进行反制的方法及装置。

背景技术

无线接入点AP（Access Point），将从有线网络（例如Internet）接收到的数据转换成无线信号发送，以及将接收到的无线信号转换成数据并转发到有线网络。恶意无线接入点Rogue AP，指网络中未经授权或者有恶意的AP，它可以是私自接入到网络中的AP、未配置的AP、邻居AP或者攻击者操作的AP。无线访问控制器AC（Access Controller），完成对无线用户的认证/配置/数据转发等功能，起到集中控制的作用。CAPWAP(Control And Provisioning of Wireless Access Points Protocol Specification)为AC与AP间的标准控制协议，使用UDP服务，采用固定的端口号。

参看图1，现有的无线网络采用集中式控制架构，一台AC控制多台AP，AC与AP间通过二层以太网交换机相连。为实现集中控制，AC与每一台AP都会建立CAPWAP隧道，且隧道必须通过有线网络建立。在实际用户组网中，除了公司本身建立的AC以及合法AP的大型无线网络。也有可能有公司或者外部人员携带Rogue AP，接入公司有线网络。由于Rogue AP的信息安全是得不到保障的，所以公司网络的合法AP，如果侦测到Rogue AP的存在，就会马上对其发起攻击，致使其无法工作。

但是，公司网络合法AP的主要任务是提供无线接入服务。一个合法AP往往会同时接入几十个无线客户端，工作非常繁忙。如果由公司网络的合法AP发起攻击，会影响到其提供的无线服务质量。并且如果Rogue AP和公司网络的合法AP不在同一工作信道上，公司网络的合法AP在攻击Rogue AP的时候，还要从工作信道上切换到Rogue AP所在的信道，对公司网络的合法AP本身的工作影响巨大。

发明内容

有鉴于此，本发明的目的是提供一种对恶意无线接入点进行反制的方法及装置，其可以在不影响公司合法AP工作的情况下，对Rogue AP进行反制。

为实现上述目的，本发明提供技术方案如下：

本发明提供一种对恶意无线接入点进行反制的方法，应用于无线控制器AC。

所述方法包括：

当发现存在恶意无线接入点Rogue AP，在所述AC管理的无线接入点AP中查找得到可侦测到所述Rogue AP的合法AP的列表以及所述合法AP关联的无线客户端列表。

将所述Rogue AP的MAC地址通知所述无线客户端列表中的所有无线客户端。

令所述无线客户端列表中的所有无线客户端向所述Rogue AP发起攻击。

进一步，本发明所述发现存在恶意无线接入点Rogue AP包括：

接收公司网络的合法无线接入点AP捕获到的周围邻居AP的列表。

检查每个AP上报的邻居列表，如存在并非所述AC管理的无线接入点AP，则所述AP为Rogue AP。

进一步，本发明所述将所述Rogue AP的MAC地址通知所述无线客户端列表中的所有无线客户端是通过私有扩展字段将所述Rogue AP的MAC地址通知所述无线客户端列表中的所有无线客户端。

进一步，本发明所述无线客户端列表中的所有无线客户端向所述Rogue AP发起攻击是在所述无线客户端空闲的时候，向所述Rogue AP发起攻击。

进一步，本发明还包括：

在检测到所述Rogue AP不存在后，通知所述无线客户端停止攻击。

本发明还提供一种对恶意无线接入点进行反制的装置，应用于无线控制器AC，所述方法包括：

列表获取单元，用于当发现存在恶意无线接入点Rogue AP，在所述AC管理的无线接入点AP中查找得到可侦测到所述Rogue AP的合法AP的列表以及所述合法AP关联的无线客户端列表。

地址通知单元，用于将所述Rogue AP的MAC地址通知所述无线客户端列表中的所有无线客户端。

攻击发起单元，用于令所述无线客户端列表中的所有无线客户端向所述Rogue AP发起攻击。

进一步，本发明所述列表获取单元发现存在恶意无线接入点Rogue AP包括：

接收公司网络的合法无线接入点AP捕获到的周围邻居AP的列表。

检查每个AP上报的邻居列表，如存在并非所述AC管理的无线接入点AP，则所述AP为Rogue AP。