專利名稱:接入點(diǎn)監(jiān)控器�����、監(jiān)控非法接入點(diǎn)的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及無線局域網(wǎng)(WLAN,Wireless Local Area Network)無線安全技術(shù)���,特 別涉及一種接入點(diǎn)(AP��,Access Point)監(jiān)控器����、監(jiān)控非法接入點(diǎn)的方法及系統(tǒng)。
背景技術(shù):
隨著通信網(wǎng)絡(luò)技術(shù)���、尤其是WLAN技術(shù)的應(yīng)用��,人們可以通過WLAN技術(shù)提供的無需 線纜連接的無線網(wǎng)絡(luò)連接方案��,在不采用傳統(tǒng)線纜的情況下���,方便��、快捷地在會議室��、醫(yī)療 室���、教室�����、自助餐廳、實(shí)驗(yàn)室、辦公室以及在野外進(jìn)行移動辦公�����。圖1為現(xiàn)有WLAN無線網(wǎng)絡(luò)的系統(tǒng)結(jié)構(gòu)示意圖��,參見圖1�,該系統(tǒng)包括用戶終端、 AP以及網(wǎng)絡(luò)側(cè)設(shè)備���,其中,AP,也稱作無線信號收發(fā)器����,預(yù)先存儲有運(yùn)營商服務(wù)器發(fā)送的服務(wù)標(biāo)識符(SSID�, Service Set Identifier)�,每個(gè) AP 具有唯一的 SSID ;用戶終端��,具有無線功能��,在上電初始化后���,搜索所在區(qū)域周圍AP的SSID���,根據(jù)搜 索到的SSID,按照預(yù)先設(shè)定的策略從搜索到的SSID中選擇一個(gè)SSID連接AP�,然后在網(wǎng)絡(luò) 側(cè)設(shè)備(運(yùn)營商的門戶界面)上輸入用戶名和口令登錄,通過互聯(lián)網(wǎng)訪問該網(wǎng)絡(luò)側(cè)設(shè)備獲 取所需的信息?,F(xiàn)有的WLAN無線網(wǎng)絡(luò),主要還是作為有線網(wǎng)絡(luò)的補(bǔ)充�����,集中在企業(yè)或者家庭范圍 這種物理空間上相對隔離性較強(qiáng)的應(yīng)用環(huán)境�����,用戶接入WLAN無線網(wǎng)絡(luò)的安全性主要是通 過網(wǎng)絡(luò)側(cè)設(shè)備對用戶終端進(jìn)行接入鑒權(quán)����、數(shù)據(jù)加密等方式實(shí)現(xiàn)�。由上述可見�,對于網(wǎng)絡(luò)側(cè)的運(yùn)營商級的WLAN無線網(wǎng)絡(luò),由于其覆蓋范圍廣�����、且 WLAN無線網(wǎng)絡(luò)的工作頻率段是開放的�,所有組織和個(gè)人都可以使用該頻率段,因而�����,網(wǎng)絡(luò)側(cè) 的安全隱患也較大���。例如���,如果不法分子通過設(shè)置一個(gè)非法AP,并設(shè)置該非法AP的SSID與 運(yùn)營商下發(fā)至合法AP的SSID相同�,再通過技術(shù)手段設(shè)置一個(gè)登錄界面,即可誘騙處于該非 法AP覆蓋范圍內(nèi)的用戶連接該非法AP���,由于用戶通過該非法AP可正常接入無線網(wǎng)絡(luò)��,因而 并不會察覺到該AP為非法AP��,從而使得不法分子可以非法模擬上網(wǎng)環(huán)境從而截獲無線網(wǎng) 絡(luò)登錄的用戶名和口令����,給用戶的使用安全性造成極大的威脅�����;進(jìn)一步地����,不法分子還可以 通過抓取無線通信數(shù)據(jù)流量得到用戶的網(wǎng)絡(luò)銀行、網(wǎng)上購物�����、瀏覽網(wǎng)頁等隱私信息�。舉例來 說,2004年��,一個(gè)假冒的中國銀行網(wǎng)站出現(xiàn)在互聯(lián)網(wǎng)上以及不久后出現(xiàn)的假冒中國工商銀 行的網(wǎng)站��,都通過非法模擬上網(wǎng)環(huán)境誘騙銀行卡持有人的賬戶和密碼�,給銀行卡持有人造 成了巨大的損失���。針對上述WLAN無線網(wǎng)絡(luò)側(cè)存在的安全隱患,現(xiàn)有技術(shù)提出了一種在WLAN無線網(wǎng) 絡(luò)內(nèi)檢測非法AP的方法����,在無線局域網(wǎng)內(nèi)設(shè)置多個(gè)警察AP,每個(gè)警察AP負(fù)責(zé)對自身覆蓋范 圍內(nèi)的AP進(jìn)行安全認(rèn)證����,采用特定的通信機(jī)制(警察AP預(yù)先與合法AP約定一組身份加密 碼),通過警察AP向自身覆蓋范圍內(nèi)的AP發(fā)送攜帶預(yù)先約定的身份加密碼的身份請求報(bào) 文���,如果該AP為合法AP��,則向警察AP回應(yīng)攜帶預(yù)先約定的身份加密碼的身份確認(rèn)報(bào)文�����,如 果該AP為非法AP�,由于不知曉該特定的通信機(jī)制����,則不回應(yīng)或回應(yīng)的身份確認(rèn)報(bào)文不符合
4要求,警察AP通知網(wǎng)管將該不回應(yīng)或回應(yīng)的身份確認(rèn)報(bào)文不符合要求的非法AP移除。但上述WLAN無線網(wǎng)絡(luò)內(nèi)檢測非法AP的方法���,需增加警察AP以監(jiān)控自身覆蓋范圍 內(nèi)的AP身份���,警察AP僅與自身覆蓋范圍內(nèi)的AP之間進(jìn)行雙向的檢測信息交互,需要為與 每個(gè)AP相連的警察AP分配無線資源�����,但該分配的無線資源僅用于檢測非法AP�����,并不負(fù)責(zé) 業(yè)務(wù)接入點(diǎn)�����,存在一定的資源浪費(fèi)�����;進(jìn)一步地���,警察AP與合法AP之間的通信機(jī)制是非公開 的,僅只能使用特定廠家的設(shè)備,通用性較差����;而且,需要警察AP預(yù)先與合法AP進(jìn)行身份加 密碼協(xié)商����,當(dāng)該范圍內(nèi)新加入AP時(shí),需要分別在警察AP與新加入AP設(shè)置身份加密碼��,而當(dāng) 在該區(qū)域內(nèi)刪減合法AP或?qū)⒑戏ˋP移動至其它小區(qū)時(shí)����,又需要更新該合法AP的身份加密 碼,使得操作繁瑣�����、使用很不方便����。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的主要目的在于提出一種AP監(jiān)控器����,避免資源浪費(fèi)、提高監(jiān)控 非法AP的通用性、降低操作的復(fù)雜性���。本發(fā)明的另一目的在于提出一種監(jiān)控非法AP的方法�,避免資源浪費(fèi)�、提高監(jiān)控非 法AP的通用性、降低操作的復(fù)雜性���。本發(fā)明的再一目的在于提出一種監(jiān)控非法AP的系統(tǒng)��,避免資源浪費(fèi)���、提高監(jiān)控非 法AP的通用性�����、降低操作的復(fù)雜性����。為達(dá)到上述目的,本發(fā)明提供了一種AP監(jiān)控器�����,該AP監(jiān)控器包括身份信息收集 模塊、合法AP身份信息存儲模塊以及身份信息處理模塊�����,其中���,身份信息收集模塊�,用于接收外部AP發(fā)送的監(jiān)測身份信息����,發(fā)送至身份信息處理 模塊;合法AP身份信息存儲模塊�����,用于存儲合法AP身份信息�;身份信息處理模塊,用于接收監(jiān)測身份信息���,如果合法AP身份信息存儲模塊存儲 的合法AP身份信息中不包含所述監(jiān)測身份信息�����,判斷所述監(jiān)測身份信息對應(yīng)的AP為非法 AP��。所述合法AP身份信息包括合法AP的SSID信息和MAC地址信息����。所述合法AP身份信息進(jìn)一步包括合法AP工作頻率信息、和/或�����,合法AP覆蓋范 圍信息�。所述監(jiān)測身份信息包括周圍AP的服務(wù)標(biāo)識符SSID信息和媒體接入控制層MAC 地址信息;所述身份信息處理模塊判斷合法AP的SSID信息和MAC地址信息中不包含所述周 圍AP的服務(wù)標(biāo)識符SSID信息和媒體接入控制層MAC地址信息���,所述周圍AP的服務(wù)標(biāo)識符 SSID信息和媒體接入控制層MAC地址信息對應(yīng)的AP為非法AP���。所述監(jiān)測身份信息進(jìn)一步包括周圍AP的工作頻率信息、和/或�,信號強(qiáng)度信息��;所述身份信息處理模塊在判斷所述監(jiān)測身份信息對應(yīng)的AP為非法AP后�����,進(jìn)一步 用于根據(jù)接收的周圍AP的信號強(qiáng)度信息以及預(yù)先存儲的合法AP覆蓋范圍信息���,計(jì)算具有 該信號強(qiáng)度的非法AP距離合法AP的距離��、和/或�����,進(jìn)一步用于根據(jù)接收的周圍AP的工作 頻率信息以及預(yù)先存儲的合法AP工作頻率信息���,如果該非法AP的工作頻率與預(yù)先存儲的 所有合法AP的工作頻率不相同�����,將該非法AP的工作頻率信息通知網(wǎng)管人員����。
一種監(jiān)控非法接入點(diǎn)AP的系統(tǒng)���,該系統(tǒng)包括AP監(jiān)控器和多個(gè)AP���,其中,AP監(jiān)控器�,用于接收AP發(fā)送的監(jiān)測身份信息,如果預(yù)先存儲的合法AP身份信息中 不包含該監(jiān)測身份信息���,判斷該監(jiān)測身份信息對應(yīng)的AP為非法AP �;AP,用于按照預(yù)先設(shè)置的時(shí)間周期觸發(fā)監(jiān)測自身覆蓋區(qū)域內(nèi)的AP�����,并獲取自身覆 蓋區(qū)域內(nèi)AP的身份信息�,形成監(jiān)測身份信息,向AP監(jiān)控器發(fā)送��。所述合法AP身份信息包括合法AP的SSID信息�����、MAC地址信息以及合法AP覆蓋 范圍信息����;所述監(jiān)測身份信息包括周圍AP的服務(wù)標(biāo)識符SSID信息、媒體接入控制層MAC地
址信息以及信號強(qiáng)度信息����;所述AP監(jiān)控器判斷預(yù)先存儲的合法AP的SSID信息和MAC地址信息中不包含相 應(yīng)接收的周圍AP的服務(wù)標(biāo)識符SSID信息和媒體接入控制層MAC地址信息�,則該周圍AP的 服務(wù)標(biāo)識符SSID信息和媒體接入控制層MAC地址信息對應(yīng)的AP為非法AP,并根據(jù)接收的 周圍AP的信號強(qiáng)度信息以及預(yù)先存儲的合法AP覆蓋范圍信息����,計(jì)算具有該信號強(qiáng)度的非 法AP距離合法AP的距離�。一種監(jiān)控非法接入點(diǎn)AP的方法�����,包括AP監(jiān)控器和多個(gè)AP�����,該方法包括AP按照預(yù)先設(shè)置的時(shí)間周期觸發(fā)監(jiān)測自身覆蓋區(qū)域內(nèi)的AP�,并獲取自身覆蓋區(qū) 域內(nèi)AP的身份信息,形成監(jiān)測身份信息����,向AP監(jiān)控器發(fā)送;AP監(jiān)控器接收AP發(fā)送的監(jiān)測身份信息�,如果預(yù)先存儲的合法AP身份信息中不包 含該監(jiān)測身份信息,判斷該監(jiān)測身份信息對應(yīng)的AP為非法AP�����。所述合法AP身份信息包括合法AP的SSID信息�����、MAC地址信息以及合法AP覆蓋 范圍信息;所述監(jiān)測身份信息包括周圍AP的服務(wù)標(biāo)識符SSID信息���、媒體接入控制層MAC 地址信息以及信號強(qiáng)度信息���;所述AP監(jiān)控器接收AP發(fā)送的監(jiān)測身份信息,如果預(yù)先存儲的合法AP身份信息中 不包含該監(jiān)測身份信息���,判斷該監(jiān)測身份信息對應(yīng)的AP為非法AP的步驟包括所述AP監(jiān)控器判斷預(yù)先存儲的合法AP的SSID信息和MAC地址信息中不包含相 應(yīng)接收的周圍AP的服務(wù)標(biāo)識符SSID信息和媒體接入控制層MAC地址信息����,則該周圍AP的 服務(wù)標(biāo)識符SSID信息和媒體接入控制層MAC地址信息對應(yīng)的AP為非法AP�����,并根據(jù)接收的 周圍AP的信號強(qiáng)度信息以及預(yù)先存儲的合法AP覆蓋范圍信息,計(jì)算具有該信號強(qiáng)度的非 法AP距離合法AP的距離。由上述的技術(shù)方案可見��,本發(fā)明提供的一種接入點(diǎn)監(jiān)控器、監(jiān)控非法接入點(diǎn)的方 法及系統(tǒng)����,
圖1為現(xiàn)有WLAN無線網(wǎng)絡(luò)的系統(tǒng)結(jié)構(gòu)示意圖。圖2為本發(fā)明實(shí)施例AP監(jiān)控器的結(jié)構(gòu)示意圖����。圖3為本發(fā)明實(shí)施例監(jiān)控非法AP的系統(tǒng)結(jié)構(gòu)示意圖。圖4為本發(fā)明實(shí)施例監(jiān)控非法AP的方法流程示意圖��。圖5為本發(fā)明實(shí)施例監(jiān)控非法AP的方法具體流程示意圖�����。
具體實(shí)施例方式為使本發(fā)明的目的����、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合附圖及具體實(shí)施例對 本發(fā)明作進(jìn)一步地詳細(xì)描述?�,F(xiàn)有技術(shù)中����,都設(shè)置了專用的監(jiān)控單元,通過AP與監(jiān)控單元之間的特殊通訊機(jī)制 實(shí)現(xiàn)檢測����,而這種通訊機(jī)制是私有非公開的。因此����,設(shè)備的選擇性受到了限制���。因而,本發(fā)明實(shí)施例中���,在WLAN標(biāo)準(zhǔn)上進(jìn)行拓展���,利用現(xiàn)有合法AP具有對周圍 WLAN無線網(wǎng)絡(luò)環(huán)境的監(jiān)測功能,當(dāng)激活合法AP的監(jiān)測功能后�����,AP周期性地掃描自身覆蓋區(qū) 域內(nèi)的AP����,獲取自身覆蓋區(qū)域內(nèi)AP的身份信息并上報(bào)AP監(jiān)控器,AP監(jiān)控器將接收的AP身 份信息與預(yù)先存儲的合法AP身份信息進(jìn)行匹配�����,從而獲取非法AP身份信息�。圖2為本發(fā)明實(shí)施例AP監(jiān)控器的結(jié)構(gòu)示意圖,參見圖2��,該AP監(jiān)控器包括身份 信息收集模塊、合法AP身份信息存儲模塊以及身份信息處理模塊�����,其中����,身份信息收集模塊�,用于接收外部AP發(fā)送的監(jiān)測身份信息,發(fā)送至身份信息處理 模塊���;本實(shí)施例中���,監(jiān)測身份信息包括周圍AP的SSID信息和媒體接入控制層(MAC, Medium Access Control)地址信息��。實(shí)際應(yīng)用中��,監(jiān)測身份信息還可以包括周圍AP的工作頻率信息�、和/或,信號強(qiáng)
度{曰息等���。合法AP身份信息存儲模塊����,用于存儲合法AP身份信息;本實(shí)施例中���,AP監(jiān)控器預(yù)先存儲有全網(wǎng)運(yùn)營商建設(shè)的所有AP的相關(guān)身份信息��。也 就是說���,AP監(jiān)控器是全網(wǎng)所有AP的數(shù)據(jù)庫。本實(shí)施例中���,合法AP身份信息包括合法AP的SSID信息和MAC地址信息��。實(shí)際應(yīng)用中��,合法AP身份信息還可以包括合法AP工作頻率信息�����、和/或����,合法AP 覆蓋范圍信息等信息���。身份信息處理模塊��,用于接收監(jiān)測身份信息�����,如果合法AP身份信息存儲模塊存儲 的合法AP身份信息中不包含該監(jiān)測身份信息����,判斷該監(jiān)測身份信息對應(yīng)的AP為非法AP�����。較佳地�����,AP監(jiān)控器設(shè)置在無線網(wǎng)絡(luò)側(cè)��,設(shè)置在無線網(wǎng)絡(luò)側(cè)的AP監(jiān)控器��,可以是獨(dú) 立的物理設(shè)備���,也可以設(shè)置在基站中(現(xiàn)有與AP通過無線網(wǎng)絡(luò)相連的基站)��。本實(shí)施例中�,通過將監(jiān)測身份信息與合法AP身份信息進(jìn)行比較匹配,這樣�,對于 將AP的SSID設(shè)置為與運(yùn)營商下發(fā)至合法AP的SSID相同的非法AP來說,雖然其SSID與 合法AP的SSID相同���,但由于該非法AP的MAC地址信息與合法AP的MAC地址信息不相匹 配����,則不能通過安全認(rèn)證���。實(shí)際應(yīng)用中����,身份信息處理模塊在確定非法AP后���,還可以進(jìn)一步根據(jù)接收的周圍 AP的信號強(qiáng)度信息以及預(yù)先存儲的合法AP覆蓋范圍信息��,計(jì)算具有該信號強(qiáng)度的非法AP 距離合法AP的距離�����,從而可以迅速定位該非法AP的位置以便網(wǎng)管人員及時(shí)采取措施����。此外,身份信息處理模塊在確定非法AP后����,也可以根據(jù)接收的周圍AP的工作頻率 信息以及預(yù)先存儲的合法AP工作頻率信息,如果該非法AP的工作頻率與預(yù)先存儲的所有 合法AP的工作頻率不相同�,則網(wǎng)管人員也可以直接針對該非法AP的工作頻率采取相應(yīng)的 措施,有關(guān)采取的措施的描述可參見相關(guān)的技術(shù)文獻(xiàn)���,在此不再贅述�。圖3為本發(fā)明實(shí)施例監(jiān)控非法AP的系統(tǒng)結(jié)構(gòu)示意圖���,參見圖3,該系統(tǒng)包括AP監(jiān)控器和多個(gè)AP�����,其中���,AP監(jiān)控器��,用于接收AP返回的監(jiān)測身份信息�,如果預(yù)先存儲的合法AP身份信息中 不包含該監(jiān)測身份信息,判斷該監(jiān)測身份信息對應(yīng)的AP為非法AP �����;AP����,用于按照預(yù)先設(shè)置的時(shí)間周期觸發(fā)監(jiān)測自身覆蓋區(qū)域內(nèi)的AP,并獲取自身覆 蓋區(qū)域內(nèi)AP的身份信息���,形成監(jiān)測身份信息���,向AP監(jiān)控器發(fā)送。本實(shí)施例中��,預(yù)先設(shè)置的時(shí)間周期由運(yùn)營商根據(jù)實(shí)際需要進(jìn)行設(shè)置����,AP按照預(yù)先 設(shè)置的時(shí)間周期,周期性地掃描自身覆蓋區(qū)域內(nèi)的AP�,獲取AP身份信息。監(jiān)測身份信息包 括自身覆蓋區(qū)域內(nèi)各AP的身份信息�;當(dāng)然,也可以包含自身AP的身份信息。本實(shí)施例中����,合法AP身份信息包括合法AP的SSID信息、MAC地址信息以及合法 AP覆蓋范圍信息�����;監(jiān)測身份信息包括周圍AP的服務(wù)標(biāo)識符SSID信息�����、媒體接入控制層 MAC地址信息以及信號強(qiáng)度信息�����;則AP監(jiān)控器判斷預(yù)先存儲的合法AP的SSID信息和MAC地址信息中不包含相應(yīng)接收 的周圍AP的服務(wù)標(biāo)識符SSID信息和媒體接入控制層MAC地址信息����,則該周圍AP的服務(wù)標(biāo) 識符SSID信息和媒體接入控制層MAC地址信息對應(yīng)的AP為非法AP��,并根據(jù)接收的周圍AP 的信號強(qiáng)度信息以及預(yù)先存儲的合法AP覆蓋范圍信息�����,計(jì)算具有該信號強(qiáng)度的非法AP距 離合法AP的距離����。由上述實(shí)施例可見�,本發(fā)明實(shí)施例的AP監(jiān)控器以及監(jiān)控非法AP的系統(tǒng)���,AP按照預(yù) 先設(shè)置的時(shí)間周期觸發(fā)監(jiān)測自身覆蓋區(qū)域內(nèi)的AP�����,利用具有的對周圍WLAN無線網(wǎng)絡(luò)環(huán)境 的監(jiān)測功能����,監(jiān)測自身覆蓋區(qū)域內(nèi)的AP����,并獲取自身覆蓋區(qū)域內(nèi)AP的身份信息,形成監(jiān)測 身份信息���,向AP監(jiān)控器發(fā)送����,AP監(jiān)控器如果確定預(yù)先存儲的合法AP身份信息中不包含接收 的監(jiān)測身份信息��,則該監(jiān)測身份信息對應(yīng)的AP為非法AP。這樣���,由于AP監(jiān)控器與AP之間 進(jìn)行單向信息交互��,AP可以利用原有的無線資源發(fā)送向AP監(jiān)控器發(fā)送監(jiān)測身份信息����,不需 要為AP監(jiān)控器分配無線資源����,節(jié)約了無線資源,提高了系統(tǒng)無線資源的利用率�����;進(jìn)一步地�, AP向AP監(jiān)控器發(fā)送監(jiān)測身份信息的通信機(jī)制是公開的,AP監(jiān)控器的通用性強(qiáng)�����;而且����,監(jiān)控 非法AP的過程為自動監(jiān)控,自動獲取非法AP信息�,可操作性強(qiáng);此外����,當(dāng)系統(tǒng)中存在非法 AP,即使該非法AP沒有周期性向AP監(jiān)控器上報(bào)相關(guān)信息,AP監(jiān)控器也可以從其他合法AP 上報(bào)的監(jiān)測身份信息中���,發(fā)現(xiàn)所有與運(yùn)營商設(shè)置的SSID相同的AP��,過濾篩選出非法AP���,獲 取非法AP信息并及時(shí)有針對性地到現(xiàn)場進(jìn)行處理,保障了用戶的合法權(quán)益�,避免用戶信息 泄密,提升了用戶感知����,提高了用戶接入無線網(wǎng)絡(luò)的安全性。下面再對監(jiān)控非法AP的方法進(jìn)行描述�����。圖4為本發(fā)明實(shí)施例監(jiān)控非法AP的方法流程示意圖�,參見圖4����,該流程包括步驟401����,AP按照預(yù)先設(shè)置的時(shí)間周期觸發(fā)監(jiān)測自身覆蓋區(qū)域內(nèi)的AP,并獲取自 身覆蓋區(qū)域內(nèi)AP的身份信息���,形成監(jiān)測身份信息���,向AP監(jiān)控器發(fā)送;步驟402�����,AP監(jiān)控器接收AP發(fā)送的監(jiān)測身份信息�����,如果預(yù)先存儲的合法AP身份信 息中不包含該監(jiān)測身份信息�����,判斷該監(jiān)測身份信息對應(yīng)的AP為非法AP����。本實(shí)施例中,合法AP身份信息包括合法AP的SSID信息�、MAC地址信息以及合 法AP覆蓋范圍信息,監(jiān)測身份信息包括周圍AP的服務(wù)標(biāo)識符SSID信息�、媒體接入控制層 MAC地址信息以及信號強(qiáng)度信息;則步驟402包括AP監(jiān)控器判斷預(yù)先存儲的合法AP的SSID信息和MAC地址信息中不包含相應(yīng)接收的周圍AP的服務(wù)標(biāo)識符SSID信息和媒體接入控制層MAC地址信息�����,則該周圍AP的服務(wù)標(biāo) 識符SSID信息和媒體接入控制層MAC地址信息對應(yīng)的AP為非法AP�,并根據(jù)接收的周圍AP 的信號強(qiáng)度信息以及預(yù)先存儲的合法AP覆蓋范圍信息,計(jì)算具有該信號強(qiáng)度的非法AP距 離合法AP的距離���。圖5為本發(fā)明實(shí)施例監(jiān)控非法AP的方法具體流程示意圖����,參見圖5����,該流程包括步驟501,將全網(wǎng)運(yùn)營商所建設(shè)的AP身份信息存儲至AP監(jiān)控器���;本步驟中����,AP身份信息包括AP的名稱、AP覆蓋范圍�����、AP工作頻率�����、AP的SSID以 及MAC地址等信息�����。步驟502�����,AP按照預(yù)先設(shè)置的時(shí)間周期觸發(fā)監(jiān)測自身覆蓋區(qū)域內(nèi)的AP�,并獲取自 身覆蓋區(qū)域內(nèi)AP的身份信息,形成監(jiān)測身份信息���,向AP監(jiān)控器發(fā)送���;本步驟中�,AP監(jiān)控器每隔預(yù)先設(shè)置的時(shí)間周期���,接收自身區(qū)域內(nèi)各個(gè)AP采集上報(bào) 的監(jiān)測身份信息(各AP無線網(wǎng)絡(luò)環(huán)境的數(shù)據(jù))��,監(jiān)測身份信息包括AP監(jiān)控器自身區(qū)域內(nèi) 各AP覆蓋區(qū)域內(nèi)的AP(周圍AP)的SSID、MAC地址���、工作頻率����、信號強(qiáng)度等信息�。步驟503,AP監(jiān)控器接收各AP發(fā)送的監(jiān)測身份信息��,形成全網(wǎng)所有AP的無線環(huán)境 拓?fù)鋱D����,從全網(wǎng)所有AP的無線環(huán)境拓?fù)鋱D中獲取第一 AP清單;本步驟中��,從全網(wǎng)所有AP的無線環(huán)境拓?fù)鋱D上���,分揀出AP的SSID與運(yùn)營商設(shè)置 的SSID相一致的所有AP的身份信息���,例如����,身份信息包括該AP是哪個(gè)AP的相鄰AP�����,該AP 的SSID�、MAC地址、工作頻率等信息���,得到一個(gè)第一 AP清單�。步驟504��,將第一 AP清單與AP監(jiān)控器存儲的全網(wǎng)運(yùn)營商所建設(shè)的AP身份信息進(jìn) 行比較���;本步驟中�,第一 AP清單組成了一個(gè)AP的集合����,定義為集合A。從預(yù)先存儲的全網(wǎng) 運(yùn)營商所建設(shè)的AP身份信息中整理出全網(wǎng)所有合法AP的身份信息,如物理地址等����,定義為
集合B0步驟505,獲取非法AP清單�����。本步驟中����,將集合A與集合B進(jìn)行安全判斷��,則所有在集合A但不在集合B中的 AP��,就是非法AP����。 實(shí)際應(yīng)用中,AP監(jiān)控器還可整理出非法AP是在哪個(gè)合法AP的周圍以及距離合法 AP的距離����。將獲取的非法AP組成一個(gè)非法AP清單,包括各非法AP的MAC地址����、在哪個(gè)合法 AP周圍�����、工作頻率和信號強(qiáng)度等信息��。這樣���,通過無線掃描篩選出SSID與運(yùn)營商一致的所 有AP的信息,與合法的AP集合做比較���,整理出未授權(quán)使用運(yùn)營商SSID的非法AP�。以上所述僅為本發(fā)明的較佳實(shí)施例而已�,并非用于限定本發(fā)明的保護(hù)范圍。凡在 本發(fā)明的精神和原則之內(nèi)���,所作的任何修改����、等同替換以及改進(jìn)等��,均應(yīng)包含在本發(fā)明的保 護(hù)范圍之內(nèi)�。
9
權(quán)利要求
1.一種接入點(diǎn)AP監(jiān)控器,其特征在于,該AP監(jiān)控器包括身份信息收集模塊����、合法AP 身份信息存儲模塊以及身份信息處理模塊,其中���,身份信息收集模塊�,用于接收外部AP發(fā)送的監(jiān)測身份信息�����,發(fā)送至身份信息處理模塊��;合法AP身份信息存儲模塊���,用于存儲合法AP身份信息;身份信息處理模塊����,用于接收監(jiān)測身份信息,如果合法AP身份信息存儲模塊存儲的合 法AP身份信息中不包含所述監(jiān)測身份信息���,判斷所述監(jiān)測身份信息對應(yīng)的AP為非法AP��。
2.如權(quán)利要求1所述的AP監(jiān)控器�����,其特征在于���,所述合法AP身份信息包括合法AP的 SSID信息和MAC地址信息��。
3.如權(quán)利要求2所述的AP監(jiān)控器��,其特征在于���,所述合法AP身份信息進(jìn)一步包括合 法AP工作頻率信息、和/或�,合法AP覆蓋范圍信息。
4.如權(quán)利要求1至3任一項(xiàng)所述的AP監(jiān)控器�����,其特征在于����,所述監(jiān)測身份信息包括 周圍AP的服務(wù)標(biāo)識符SSID信息和媒體接入控制層MAC地址信息;所述身份信息處理模塊判斷合法AP的SSID信息和MAC地址信息中不包含所述周圍AP 的服務(wù)標(biāo)識符SSID信息和媒體接入控制層MAC地址信息�����,所述周圍AP的服務(wù)標(biāo)識符SSID 信息和媒體接入控制層MAC地址信息對應(yīng)的AP為非法AP。
5.如權(quán)利要求4所述的AP監(jiān)控器���,其特征在于���,所述監(jiān)測身份信息進(jìn)一步包括周圍 AP的工作頻率信息、和/或��,信號強(qiáng)度信息��;所述身份信息處理模塊在判斷所述監(jiān)測身份信息對應(yīng)的AP為非法AP后��,進(jìn)一步用于 根據(jù)接收的周圍AP的信號強(qiáng)度信息以及預(yù)先存儲的合法AP覆蓋范圍信息�,計(jì)算具有該信 號強(qiáng)度的非法AP距離合法AP的距離、和/或��,進(jìn)一步用于根據(jù)接收的周圍AP的工作頻率 信息以及預(yù)先存儲的合法AP工作頻率信息����,如果該非法AP的工作頻率與預(yù)先存儲的所有 合法AP的工作頻率不相同�����,將該非法AP的工作頻率信息通知網(wǎng)管人員。
6.一種監(jiān)控非法接入點(diǎn)AP的系統(tǒng)�����,其特征在于�����,該系統(tǒng)包括AP監(jiān)控器和多個(gè)AP�,其中,AP監(jiān)控器�,用于接收AP發(fā)送的監(jiān)測身份信息,如果預(yù)先存儲的合法AP身份信息中不包 含該監(jiān)測身份信息�,判斷該監(jiān)測身份信息對應(yīng)的AP為非法AP ;AP�,用于按照預(yù)先設(shè)置的時(shí)間周期觸發(fā)監(jiān)測自身覆蓋區(qū)域內(nèi)的AP,并獲取自身覆蓋區(qū) 域內(nèi)AP的身份信息��,形成監(jiān)測身份信息�����,向AP監(jiān)控器發(fā)送���。
7.如權(quán)利要求6所述的系統(tǒng)�,其特征在于,所述合法AP身份信息包括合法AP的SSID信息�����、MAC地址信息以及合法AP覆蓋范圍 fn息���;所述監(jiān)測身份信息包括周圍AP的服務(wù)標(biāo)識符SSID信息�、媒體接入控制層MAC地址信 息以及信號強(qiáng)度信息�����;所述AP監(jiān)控器判斷預(yù)先存儲的合法AP的SSID信息和MAC地址信息中不包含相應(yīng)接 收的周圍AP的服務(wù)標(biāo)識符SSID信息和媒體接入控制層MAC地址信息��,則該周圍AP的服務(wù) 標(biāo)識符SSID信息和媒體接入控制層MAC地址信息對應(yīng)的AP為非法AP���,并根據(jù)接收的周圍 AP的信號強(qiáng)度信息以及預(yù)先存儲的合法AP覆蓋范圍信息�,計(jì)算具有該信號強(qiáng)度的非法AP 距離合法AP的距離�����。
8.一種監(jiān)控非法接入點(diǎn)AP的方法�,其特征在于�����,包括AP監(jiān)控器和多個(gè)AP,該方法包括AP按照預(yù)先設(shè)置的時(shí)間周期觸發(fā)監(jiān)測自身覆蓋區(qū)域內(nèi)的AP�,并獲取自身覆蓋區(qū)域內(nèi) AP的身份信息,形成監(jiān)測身份信息��,向AP監(jiān)控器發(fā)送�;AP監(jiān)控器接收AP發(fā)送的監(jiān)測身份信息,如果預(yù)先存儲的合法AP身份信息中不包含該 監(jiān)測身份信息���,判斷該監(jiān)測身份信息對應(yīng)的AP為非法AP����。
9.如權(quán)利要求8所述的方法�,其特征在于,所述合法AP身份信息包括合法AP的SSID 信息����、MAC地址信息以及合法AP覆蓋范圍信息;所述監(jiān)測身份信息包括周圍AP的服務(wù)標(biāo) 識符SSID信息��、媒體接入控制層MAC地址信息以及信號強(qiáng)度信息�;所述AP監(jiān)控器接收AP發(fā)送的監(jiān)測身份信息,如果預(yù)先存儲的合法AP身份信息中不包 含該監(jiān)測身份信息�����,判斷該監(jiān)測身份信息對應(yīng)的AP為非法AP的步驟包括所述AP監(jiān)控器判斷預(yù)先存儲的合法AP的SSID信息和MAC地址信息中不包含相應(yīng)接 收的周圍AP的服務(wù)標(biāo)識符SSID信息和媒體接入控制層MAC地址信息,則該周圍AP的服務(wù) 標(biāo)識符SSID信息和媒體接入控制層MAC地址信息對應(yīng)的AP為非法AP����,并根據(jù)接收的周圍 AP的信號強(qiáng)度信息以及預(yù)先存儲的合法AP覆蓋范圍信息,計(jì)算具有該信號強(qiáng)度的非法AP 距離合法AP的距離����。
全文摘要
本發(fā)明公開了一種接入點(diǎn)AP監(jiān)控器。包括用于接收外部AP發(fā)送的監(jiān)測身份信息���,發(fā)送至身份信息處理模塊的身份信息收集模塊���、用于存儲合法AP身份信息的合法AP身份信息存儲模塊以及用于接收監(jiān)測身份信息,如果合法AP身份信息存儲模塊存儲的合法AP身份信息中不包含所述監(jiān)測身份信息�,判斷所述監(jiān)測身份信息對應(yīng)的AP為非法AP的身份信息處理模塊。本發(fā)明還公開了一種監(jiān)控非法AP的方法及系統(tǒng)���。應(yīng)用本發(fā)明��,可以避免無線資源浪費(fèi)��、監(jiān)控非法AP的通用性強(qiáng)�����、操作的復(fù)雜性低以及提高用戶接入無線網(wǎng)絡(luò)的安全性����。
文檔編號H04W24/00GK102075934SQ20091023840
公開日2011年5月25日 申請日期2009年11月19日 優(yōu)先權(quán)日2009年11月19日
發(fā)明者倪鳴, 唐武軍, 孫和, 張立朋, 黃叢偉 申請人:中國移動通信集團(tuán)江蘇有限公司