[发明专利]基于认证的无线钓鱼接入点检测方法

说明书

一种基于认证的无线钓鱼接入点检测方法，首先在网络中设立用于存储所有合法无线接入点的路由节点信息数据库的认证服务器，然后认证服务器根据客户端的认证请求，将客户端的路由节点信息与数据库中的路由节点信息进行匹配认证，最后将匹配认证结果发送到客户端，本发明能够实现即连则即查，具有实用性，成本较低，能够有效识别无线钓鱼接入点，降低了检测和处理成本，不影响网络中正常业务流量。

技术领域

本发明涉及的是一种网络安全领域的技术，具体是一种基于认证的无线钓鱼接入点检测方法。

背景技术

随着无线接入点(AP)在城市公共场所大规模部署，无线钓鱼接入点成为了无线网络中的严重威胁。无线钓鱼接入点攻击是指攻击者在公共场合架设一个伪装的无线接入点即钓鱼接入点，设置与真实AP完全相同的服务集标识(SSID)，使得受害者误连上无线钓鱼接入点，进一步开展窃取密码和个人敏感信息等攻击。无线钓鱼接入点被定义为不合法的接入点，它并不是由WLAN运营商或管理者设置的。通常情况下，攻击者将主机设备连接入合法授权的，保证钓鱼接入点的流量能够转发到互联网上，受害者可以正常上网察觉不到异常，再利用无线网卡等设备开放仿冒真实AP配置的钓鱼接入点。从网络拓扑上看，攻击者架设的无线网络是WLAN运营商或管理者设置的无线网络的一个子网。

无线钓鱼接入点很难被跟踪发现，因为其启动和关闭具有突然性和随机性，他们获取目标所持续的时间也很短。同时，无线钓鱼接入点是其它很多无线攻击的跳板。现有的无线钓鱼接入点的检测技术，主要是基于无线端的检测技术，但是企业级设备部署和维护成本都很昂贵，在公共场所难以大规模部署。

经过对现有技术的检索发现，中国专利文献号CN102984707A，公开日为2013年03月20日，公开了一种无线网络中钓鱼接入点的识别与处理方法，所述的无线网络包括无线控制器和与无线控制器连接的多个无线AP，所述的识别与处理方法包括：每个无线AP扫描自身的环境信息，并将扫描结果信息上传给无线控制器，无线控制器根据扫描结果信息判断当前无线AP中是否存在钓鱼接入点，若是，则根据钓鱼接入点的类型进行对应的处理。但该技术设置复杂，占用大量系统资源。具体是：其一，该技术需要为每个无线AP配置无线控制器，建网及维护成本高，部署难度大。其二，无线网络中钓鱼接入点的出现时间、地点具有极大的不确定性，并且攻击持续时间短，然而该技术需要在覆盖合法无线网络服务的环境内进行全方位、全天候的扫描，对系统资源造成极大的不必要消耗。其三，无线网络中钓鱼攻击成功的条件之一是受害客户端处在钓鱼接入点的信号强度优于合法授权的无线AP的环境中，攻击者往往选择在合法授权的无线AP信号强度稍弱(或无信号)的地方架设钓鱼接入点，无线AP本身的有效扫描范围有限，一般不能覆盖到其无线信号有效强度范围之外，该技术可能存在识别盲区。

发明内容

本发明针对现有技术存在的上述不足，提出一种基于认证的无线钓鱼接入点检测方法。

本发明是通过以下技术方案实现的：

本发明首先在网络中设立用于存储所有合法无线接入点的路由节点信息数据库的认证服务器，然后认证服务器根据客户端的认证请求，将客户端的路由节点信息与数据库中的路由节点信息进行匹配认证，最后将匹配认证结果发送到客户端。

所述的路由节点信息包括报文到达认证服务器所经历的节点的IP地址及其数量。

所述的认证服务器设置于无线接入点的同一级网络结构层次或上一级网络结构层次。

所述的客户端的路由节点信息以商定格式传送到认证服务器。

所述的客户端和认证服务器之间通过HTTPS连接。

技术效果

与现有技术相比，本发明能够实现即连则即查，具有实用性，成本较低，能够有效识别无线钓鱼接入点，降低了检测和处理成本，不影响网络中正常业务流量。

附图说明