[发明专利]基于相位误差漂移范围的全模型伪AP检测方法及检测装置

说明书

本发明公开了一种基于相位误差漂移范围的全模型伪AP检测方法及检测装置，属于通信安全技术领域，该方法包括建立基于相位误差漂移范围的AP指纹库的步骤；依据判定规则对待检测AP进行合法性检测的步骤；对检测出的伪AP进行溯源识别的步骤；通过本发明的方法可实现对全模型的伪AP的精准识别，解决了传统RAP检测方案检测模型局限以及检测率低的问题，达到维护网络安全、保护用户隐私的目的。

技术领域

本发明属于通信安全技术领域，特别涉及一种基于相位误差漂移范围的全模型伪AP检测方法及检测装置。

背景技术

随着无线局域网(WLAN)的广泛使用，其安全问题变得尤为突出和重要。RAP是IEEE802.11无线局域网中长期存在的一种安全威胁。RAP攻击是指攻击者利用802.11协议族本身存在的弱点，仿照合法接入点信息，建立欺诈性接入点，诱骗无线用户连接，从而达到对受害者通信进行监听、操纵、篡改的目的。RAP具有攻击范围广、易实现、难察觉、后果严重的特点，此类攻击每年导致大量的隐私泄露和财产损失事件，使其成为了WLAN中最严重、最泛滥的攻击手段之一。

在实施钓鱼AP攻击时，攻击者通过窃听并“克隆”WLAN中合法AP的SSID、信道、加密方式等相关配置信息，将RAP伪装成合法AP，然后对合法AP进行拒绝服务攻击或者提供比合法AP更高的接收信号强度指示(RSSI)来诱骗无线用户与之连接。一旦有无线设备被RAP欺骗，连接到RAP，受害者所有流量便会被攻击者窃听。攻击者也可通过RAP进行后续攻击，比如，发动中间人攻击窃取受害者的账号密码，进行DNS欺骗攻击，实施按键推测攻击等等。

钓鱼AP攻击模型呈现多样性，共包含四类：串联钓鱼AP模型、并联钓鱼AP攻击模型、替换钓鱼AP攻击、远程钓鱼AP攻击。其中，串联RAP攻击与并联RAP攻击是目前WLAN中最为主要的两种攻击类型。在串联RAP攻击与并联RAP攻击场景中，合法AP与RAP的Wi-Fi信号同时存在。而在替换RAP攻击与远程RAP攻击场景中，无线用户仅能接收RAP发出的钓鱼Wi-Fi信号，而不能接收合法AP信号。当RAP与合法AP共存，并在位置关系上形成串联结构时，此类RAP被定义为串联RAP；当RAP与合法AP共存，并在位置关系上形成并联结构时，此类RAP被定义为并联RAP；替换RAP攻击指的是攻击者通过一系列攻击手段将合法AP服务关闭，并在相同位置启动RAP；远程RAP攻击也称Karma攻击，指的是攻击者在异于合法AP的物理位置，通过伪造合法AP实施的一种RAP攻击。

目前针对钓鱼AP的检测提出了多种方案，如专利CN201210548689.2公开了一种无线网络中钓鱼AP的识别与处理方法，通过每个无线AP上传的自身的BSSID信息、SSID信息、信道信息、beacon间隔信息、vendor信息和相邻AP的位置信息判断是否属于合法AP，但是该方案只适合远程钓鱼AP攻击，不适合检测其他类型RAP攻击，漏报率高、易被攻击者绕过。专利CN201610173358公开了一种伪AP检测阻断方法、无线装置及路由器，通过广播发送Beacon报文，接收周边接入点广播的Beacon报文，判断接收的Beacon报文中携带的SSID与自身接入点的SSID是否相同；判断Beacon报文中是否携带加密字段，当Beacon报文中不存在加密字段时，检测出发送Beacon报文的接入点为伪接入点，但是该方案的实现需要修改现有的通信协议，使得检测成本增加，实用性低。

以上方法虽然能检测出部分模型的钓鱼AP，但是，针对全模型的钓鱼AP的检测尚没有提出高精度解决方案，现有技术对于检测全模型的钓鱼AP攻击存在技术障碍。

CSI是一种细粒度物理层信息，表达了无线通信中从发射机到接收机之间通信链路的信道属性，包含了振幅、相位等信息。经过对收发机之间的相位细信息进行处理，可以得到非线性相位误差，相位误差由两部分原因导致：振荡器生产过程中的细微工艺差别、I/Q不平衡特性(即收发器之间的幅度和相位不匹配)。这两种原因共同作用，导致子载波非线性相位误差的产生，可将其用作无线设备的硬件指纹。