防接入伪AP和AP劫持的方法和装置与流程

文档序号:26705895发布日期:2021-09-18 08:13阅读:728来源:国知局
防接入伪AP和AP劫持的方法和装置与流程
防接入伪ap和ap劫持的方法和装置
技术领域
1.本发明涉及通信安全领域,尤其涉及一种防接入伪ap和ap劫持的方法和装置。


背景技术:

2.目前,主流应用的无线网络分为通过公众移动网络实现的无线网络和无线局域网(wlan)两种方式。由于无线局域网具有灵活性、移动性、覆盖范围广、易于扩展等优点,已成为目前广泛应用的无线网络技术之一。其中,接入点(access points,ap)是无线局域网的核心组成部分,是移动终端接入有线网络的接入点。随着5g网络技术的加持,以及客户前置设备(customer premise equipment,cpe)部署方便、快捷的特性,使得很多公共场所都将传统的wifi设备替换为基于蜂窝移动网络的cpe设备,为移动用户和wifi设备等提供便捷的无线网络服务。
3.然而,在当我们方便的利用wlan访问外网时,它也给用户带来了巨大的安全隐患。目前,常见的无线网络攻击方式有如下几种:evil twin attack(邪恶双子攻击,也叫双面恶魔攻击或钓鱼ap)、war driving接入点映射、war chalking(开战标记)和packet sniffing(数据包嗅探攻击),其中,伪ap钓鱼攻击是无线网络中严重的安全威胁之一。
4.攻击者使用与cpe设备相同的服务集标识(service set identifier,ssid)创建一个伪ap,伪装成合法wifi,然后模拟cpe设备当前接入的终端设备(例如终端设备a)向cpe设备发送断开连接的请求以使终端设备a和cpe设备断开连接,当终端设备a与cpe设备之间的连接断开后,终端设备a需要重新与cpe设备建立连接,此时由于其与cpe具有相同的ssid,并且具有更强的信号,因此可以轻易欺骗终端设备a与其进行连接。建立连接之后,攻击者可以替换网页(例如是付费界面),给用户造成经济损失,另外还可以通过连接一定程度上的窃取用户终端设备上的信息(例如是非法获取用户各种登录密码、银行卡信息等敏感信息)。而在安防领域,当终端设备a是监控设备时,将导致监控设备的数据无法实时传输到远程监控平台。


技术实现要素:

5.本技术实施例提供一种防接入伪ap和ap劫持的方法和装置。用于提升ap热点的安全性。
6.第一方面,提供一种防止接入伪ap的方法,所述方法包括:
7.确定无线网络环境中是否存在第二ap;其中,所述第二ap与第一ap的ssid和mac地址相同,所述第一ap为所述终端当前连接的ap;
8.若确定所述无线网络环境中存在所述第二ap,则断开与所述第一ap的连接并广播第一消息,所述第一消息用于通知cpe设备在所述无线网络环境中存在伪ap,所述cpe设备为创建所述第一ap的设备;
9.获取所述cpe设备广播的新的ap配置信息;其中,所述新的ap配置信息是所述cpe设备建立新的wifi热点后广播的所述cpe设备的新的ap配置信息;
10.基于所述新的ap配置信息与所述cpe设备重新建立连接。
11.可选的,所述基于所述新的ap配置信息与所述cpe设备重新建立连接,包括:
12.根据所述新的ap配置信息,确定所述当前无线网络环境中是否存在第三ap;其中,所述第三ap的ssid和mac地址与所述新的ap配置信息中ssid和mac地址相同;
13.在确定不存在所述第三ap时,基于所述新的ap配置信息与所述cpe设备重新建立连接。
14.可选的,所述方法还包括:
15.在确定与所述第一ap断开连接且不存在第二ap时,基于已有的ap配置信息与所述第一ap重新建立连接。
16.可选的,确定无线网络环境中存在第二ap,包括:
17.接收所述cpe设备或其它终端广播的第二消息,所述第二消息用于通知在所述无线网络环境中存在伪ap。
18.第二方面,提供一种防止ap被伪ap劫持的方法,所述方法包括:
19.cpe设备确定无线网络环境中是否存在第二ap,其中,所述第二ap与自身建立的第一ap的ssid和mac地址相同;
20.若确定所述无线网络环境中存在所述第二ap,则断开连接的所有的终端并广播第一消息,所述第一消息用于通知所述终端在所述无线网络环境中存在伪ap;
21.创建新的wifi热点;
22.广播新的ap配置信息到所述终端,以使所述终端基于所述新的ap配置信息与所述cpe设备重新建立连接。
23.可选的,所述创建新的wifi热点并广播新的ap配置信息到所述终端,包括:
24.向云平台发送第一请求,所述第一请求用于向云平台申请新的mac地址;
25.随机生成所述新的ssid;
26.基于所述新的ssid和所述新的mac地址创建新的wifi热点,以及生成所述新的ap配置信息;
27.广播所述新的ap配置信息到所述终端。
28.可选的,cpe设备确定无线网络环境中存在第二ap,还包括:
29.接收所述终端广播的第二消息,所述第二消息指示所述无线网络环境中存在伪ap。
30.第三方面,提供一种防止接入伪ap的装置,所述装置包括:
31.处理模块,用于确定无线网络环境中是否存在第二ap;其中,所述第二ap与第一ap的ssid和mac地址相同,所述第一ap为所述处理模块当前连接的ap;
32.所述处理模块,还用于在确定所述无线网络环境中存在所述第二ap时,断开与所述第一ap的连接;
33.通信模块,用于广播第一消息,所述第一消息用于通知所述cpe设备在所述无线网络环境中存在伪ap,所述cpe设备为创建所述第一ap的设备;
34.所述处理模块,还用于获取所述通信模块接收的所述cpe设备广播的新的ap配置信息;其中,所述新的ap配置信息是所述cpe设备建立新的wifi热点后广播的所述cpe设备的新的ap配置信息;
35.所述处理模块,还用于基于所述新的ap配置信息与所述cpe设备重新建立连接。
36.可选的,所述处理模块,具体用于:
37.根据所述新的ap配置信息,确定所述当前无线网络环境中是否存在第三ap;其中,所述第三ap的ssid和mac地址与所述新的ap配置信息中ssid和mac地址相同;
38.在确定不存在所述第三ap时,基于所述新的ap配置信息与所述cpe设备重新建立连接。
39.可选的,所述处理模块还用于:
40.在确定与所述第一ap断开连接且不存在第二ap时,基于已有的ap配置信息与所述第一ap重新建立连接。
41.可选的,所述通信模块,还用于:
42.接收所述cpe设备或其它终端广播的第二消息,所述第二消息用于通知在所述无线网络环境中存在伪ap。
43.第四方面,提供一种防止ap被伪ap劫持的装置,所述装置包括:
44.处理模块,用于确定无线网络环境中是否存在第二ap,其中,所述第二ap与自身建立第一ap的ssid和mac地址相同;
45.所述处理模块,还用于在确定所述无线网络环境中存在所述第二ap时,断开连接的所有的终端;
46.所述通信模块,还用于广播第一消息,所述第一消息用于通知所述终端在所述无线网络环境中存在伪ap;
47.所述处理模块,还用于创建新的wifi热点;
48.通信模块,用于广播新的ap配置信息到所述终端,以使所述终端基于所述新的ap配置信息与cpe设备重新建立连接。
49.可选的,所述通信模块,具体用于:
50.向云平台发送第一请求,所述第一请求用于向云平台申请新的mac地址;
51.所述处理模块具体用于:随机生成所述新的ssid;基于所述新的ssid和所述新的mac地址创建新的wifi热点,以及生成所述新的ap配置信息;
52.广播所述新的ap配置信息到所述终端。
53.可选的,所述通信模块还用于:
54.接收所述终端广播的第二消息,所述第二消息指示所述无线网络环境中存在伪ap。
55.第五方面,提供一种电子设备,所述电子设备包括:
56.存储器,用于存储程序指令;
57.处理器,用于调用所述存储器中存储的程序指令,按照获得的程序指令执行第一方面或第二方面中任一所述的方法包括的步骤。
58.第六方面,提供一种计算可读存储介质,所述计算可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使计算机执行第一方面或第二方面中任一所述的方法包括的步骤。
59.第七方面,提供一种包含指令的计算机程序产品,当所述计算机程序产品在计算机上运行时,使得计算机执行上述各种可能的实现方式中所描述的防止接入伪ap的方法。
60.在本技术实施例中,终端检测无线网络环境中是否存在与当前连接的第一ap具有相同ssid和mac地址的第二ap;在确定存在第二ap时,则断开与第一ap的连接,并广播无线网络环境中存在伪ap的第一消息,以使cpe设备在确定存在伪ap时建立新的wifi热点并广播新的ap配置信息,其中,cpe设备为创建第一ap的设备;然后获取cpe设备广播的新的ap配置信息;基于新的ap配置信息重新与cpe设备重新建立连接。也就是说,当终端发现当前的无线网络环境中存在伪ap时,立即断开与当前接入的第一ap的连接,并将当前无线网络环境中存在伪ap的信息广播给cpe设备,使得cpe设备可以动态的创建新的热点信息,终端根据cpe设备广播的新的ap配置信息重新与cpe设备建立连接,从而有效防止终端接入伪ap,导致伪ap的攻击失败,提升ap热点的安全性。
附图说明
61.为了更清楚地说明本技术实施例或现有技术中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本技术的一些实施例。
62.图1为本技术实施例提供的一种应用场景示意图;
63.图2为本技术实施例提供的一种防止接入伪ap的方法中终端先检测到第二ap的流程交互图;
64.图3为本技术实施例提供的一种防止接入伪ap的方法中cpe设备先检测到第二ap的流程交互图;
65.图4为本技术实施例提供的防止接入伪ap的装置的结构框图;
66.图5为本技术实施例提供的防止接入ap被伪ap劫持的装置的结构框图;
67.图6为本技术实施例提供的电子设备的结构示意图。
具体实施方式
68.为使本技术的目的、技术方案和优点更加清楚明白,下面将结合本技术实施例中的附图,对本技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本技术一部分实施例,而不是全部的实施例。基于本技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本技术保护的范围。在不冲突的情况下,本技术中的实施例及实施例中的特征可以相互任意组合。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
69.本技术的说明书和权利要求书及上述附图中的术语“第一”和“第二”是用于区别不同对象,而非用于描述特定顺序。此外,术语“包括”以及它们任何变形,意图在于覆盖不排他的保护。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本技术中的“多个”可以表示至少两个,例如可以是两个、三个或者更多个,本技术实施例不做限制。
70.另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,a和/或b,可以表示:单独存在a,同时存在a和b,单独存在b这三种情况。另
外,本文中字符“/”,在不做特别说明的情况下,一般表示前后关联对象是一种“或”的关系。
71.为了便于理解,下面先对本发明实施例的技术背景进行介绍。
72.如前所述,终端在接入伪ap之后,将会给用户造成经济损失以及使得监控设备的数据无法实时传输到远程监控平台。目前,为了防止终端接入伪ap,有一种方案是基于客户端识别伪ap,通过客户端判断无线网络环境中是否存在伪ap,在判断存在伪ap时发出警告,可以提示网络不安全和/或禁止用户连入,和/或将伪ap的ssid以及mac地址发送给网络管理员,或者还可以提取计算该相关系数的两个mac地址,其中一个为伪ap释放wifi信号的物理地址,另一个为伪装成普通用户连接合法ap的用户的mac地址,结合伪ap的信号强度定位该伪ap。也就是说,该方案的主要目的是为了提供一种识别伪ap的方法,但是识别出伪ap之后采取的方案是断开连接,或者将伪ap的相关信息发送给网络管理员,或者定位伪ap,其中,当采取的方案是断开连接时,并没有公开如何恢复连接,或者仅能等伪ap撤销攻击之后才能再次连接,此时,若断开连接的时间较长,那么对于监控设备而言,将可能导致采集的数据由于内存不足而出现部分丢失的情况;当采取的方案是发送给网络管理员或者定位伪ap的目的可能是用于攻击伪ap,但是及时成功攻击伪ap,合法ap的安全性仍然较低。
73.另一种方案是基于双向syn反射的多模型伪ap检测,并在检测到存在钓鱼ap攻击后,采取的技术手段与上述第一方案中采取的技术手段相同。也就是说,目前针对伪ap,其核心方案都是如何识别伪ap,而针对识别到存在伪ap之后的所采取的方案仍待研究。
74.鉴于此,本技术实施例提供了一种防止接入伪ap的方法的方案,该方案中终端在检测到存在伪ap时,断开与第一ap的连接,并广播无线网络中存在伪ap的第一消息,以使cpe设备在确定无线网络环境中存在伪ap时,建立新的wifi热点以及生成新的ap配置信息,并广播新的ap配置信息,然后终端获取cpe设备广播的新的ap配置信息,并基于该新的ap配置信息重新与cpe设备建立连接。也就是说,本方案中终端在确定无线网络环境中存在伪ap时,在断开与第一ap的连接之后,将无线网络中存在伪ap的消息广播给cpe设备,以使cpe设备能够动态的调整ap配置信息,使得cpe设备创建的热点更加安全,不易被锁定。同时也能有效避免终端设备长时间处于没有网络连接的状态,从而导致出现数据丢失的情况。
75.在介绍完本技术实施例的设计思想后,下面对本技术实施例的技术方案能够适用的应用场景做一些简单的介绍,需要说明的是,以下介绍的应用场景仅用于说明本技术实施例而非限定。在具体实施时,可以根据实际需要灵活地应用本技术实施例提供的技术方案。
76.请参见图1所示,图1为本技术实施例的技术方案能够适用的一种应用场景。在该应用场景中,包括终端设备10、cpe设备11、网络设备12、服务器13和伪ap14。其中,终端设备10可以为手机、平板电脑、笔记本电脑和监控设备等wifi设备,下面的实施例中以终端设备10为监控设备进行举例说明。网络设备12可以为基站,且基站可以是通常所用的基站,也可以是演进型基站(evolved node base station,enb),还可以是5g系统中的网络侧设备(例如下一代基站(next generation node base station,gnb)等设备,服务器13可以为云服务器和云平台。
77.需要说明的是,cpe设备11与网络设备12通过蜂窝网络连接,并将4g或5g信号转换为wifi信号,其中,第一ap为cpe设备11的建立的ap,终端设备10可以通过cpe设备11生成的wifi信号与cpe设备11连接。伪ap14可能是攻击者用来欺骗无线用户接入而伪装成合法ap
(例如是第一ap)的伪ap,比如常见的钓鱼ap。钓鱼ap通过仿照正常的ap,搭建一个钓鱼ap,然后通过对合法ap进行拒绝服务攻击或者提供比合法ap更强的信号迫使无线客户端连接到钓鱼ap。无线钓鱼ap具有两个无线网卡,其中一个无线网卡用于将钓鱼ap伪装成合法ap,释放信号,欺骗无线用户连接,进而窃取用户的敏感信息,通常,攻击者将钓鱼ap的ssid、信道、加密方式等相关信息与合法ap的相关信息配置相同;另外一个无线网卡用于伪装成合法用户连接相应的合法ap,将用户的数据转发给合法ap。
78.在本技术实施例中,终端设备10在检测到无线网络环境中存在第二ap时(即存在伪ap14时),断开与第一ap的连接(即断开与cpe设备11的连接),并广播无线网络环境中存在伪ap14的第一消息,cpe设备11在接收到终端设备10广播的第一消息时,向服务器13(例如是云平台)发送用于申请新的mac地址的第一请求,然后随机生成新的ssid,并基于新的ssid和新的mac地址创建新的wifi热点,以及生成新的ap配置信息,并广播新的ap配置信息,终端设备10获取cpe设备11广播的新的ap配置信息,并基于新的ap配置信息与cpe设备11重新建立连接,从而防止终端设备10接入伪ap14,提升ap热点的安全性。其中,ap配置信息包括ssid、mac地址、信道、密码和加密方式等参数。
79.下面结合说明书附图介绍本技术实施例提供的技术方案。
80.在本技术实施例中,监控设备和cpe设备都需要检测无线网络环境中是否存在伪ap,其中,监控设备(例如是监控设备a)确定无线网络环境中是否存在第二ap的方法为:监控设备a在接入第一ap之后,检测当前的无线网络环境中是否存在与第一ap具备相同ssid和mac地址的第二ap,若存在第二ap,则表明当前无线网络环境中存在伪ap,若不存在第二ap,则表明当前无线网络环境中不存在伪ap。
81.具体的,监控设备a可以创建一个线程用于监听当前无线网络环境中是否存在可疑ap,即伪ap。线程启动时,扫描当前无线网络环境,判断是否有ap的ssid和mac地址与当前连接的ap的ssid和mac地址相同,若有,则确定存在伪ap,若没有,则确定不存在伪ap,则间隔第一预设时长之后再次启动线程,对当前的无线网络环境进行扫描。
82.cpe设备确定无线网络环境中是否存在第二ap的方法为:cpe设备检测当前无线网络环境中是否存在与第一ap具备相同ssid和mac地址的第二ap,其中,第一ap为cpe设备的ap。若存在第二ap,则表明当前无线网络环境中存在伪ap,若不存在第二ap,则表明当前无线网络环境中不存在伪ap。
83.具体的,cpe设备可以创建一个线程用于监听当前无线网络环境中是否存在可疑ap,即伪ap。线程启动时,扫描当前无线网络环境,判断是否有ap的ssid和mac地址与当前创建的ap(例如第一ap)的ssid和mac地址相同,若有,则确定存在伪ap,若没有,则确定不存在伪ap,则间隔第二预设时长之后再次启动线程,对当前的无线网络环境进行扫描。
84.在具体的实施过程中,伪ap部署的位置可能距离cpe设备更近,也可能距离监控设备更近,距离越近,接收到伪ap的信号越强,越容易检测到伪ap的存在,因此可能是监控设备先检测到伪ap,也可能是cpe设备先检测到伪ap,以下将以监控设备先检测到伪ap和cpe设备先检测到伪ap的两种情况分别进行介绍。
85.第一种情况:监控设备先检测到第二ap(即伪ap)
86.请参见图2所示,图2为本技术实施例提供的一种防止接入伪ap的方法中监控设备先检测到第二ap的流程交互图。图2所述的方法流程图步骤如下:
87.步骤201:监控设备确定当前无线网络环境中存在第二ap。
88.在本技术实施例中,监控设备确定无线网络环境中存在第二ap,包括两种情况,第一种情况为监控设备检测到当前无线网络环境中存在第二ap,第二种情况为监控设备接收到cpe设备或其其它监控设备广播的第二消息,其中,第二消息为提示当前网络环境中存在伪ap的消息。当通过监控设备自己检测确定无线网络环境中存在第二ap,则执行步骤202,当监控设备通过接收第二消息确定无线网络环境中存在伪ap,则执行步骤205。
89.步骤202:监控设备断开与第一ap之间的连接并广播第一消息。
90.其中,监控设备与第一ap之间的连接可以由监控设备主动断开,也可以由cpe设备剔除。
91.在本技术实施例中,当监控设备(例如是监控设备a)确定当前无线网络环境中存在伪ap时,需要断开第一ap之间的连接,因此监控设备a可以向cpe设备发送断开连接的管理帧(例如向cpe设备发送deassociation或者deauth等管理帧),cpe设备在接收到监控设备a发送的断开连接的管理帧时,将发送断开连接的管理帧的监控设备剔除。例如,当监控设备a需要与第一ap断开连接时,可以向cpe设备发送deauth,cpe设备在接收到监控设备a发送的deauth时,将监控设备a从第一ap中剔除。
92.以及,监控设备a在确定无线网络环境中存在伪ap时,还需要广播第一消息,用于提示其它监控设备和cpe设备在当前无线网络环境中存在,以使其它监控设备向cpe设备发送断开连接的管理帧,或者使cpe设备主动将其它监控设备从第一ap中剔除。
93.在具体的实施过程中,当监控设备检测到存在伪ap时,即断开与第一ap之间的连接,并在当前局域网中广播存在伪ap的消息,使得其它监控设备在与第一ap断开连接之后将不会重新发起与cpe设备之间的连接的请求,从而有效避免监控设备在重连接时接入伪ap,提升网络安全性。
94.步骤203:cpe设备向云平台发送第一请求。
95.在本技术实施例中,当cpe设备确定当前无线网络环境中存在伪ap时,会向云平台发送第一请求消息,申请新的mac地址,cpe设备在接收到云平台配置的新的mac地址时,执行步骤204,若在第三预设时长之后未接收到云平台配置的新的mac地址,则再次执行步骤203。
96.步骤204:cpe设备创建新的wifi热点并广播新的ap配置信息到监控设备。
97.其中,所述监控设备为在检测到伪ap之前与第一ap连接的所有的监控设备。在本技术实施例中,cpe设备随机生成ssid,并基于随机生成新的安全度较高的ssid和接收的新的mac地址创建新的wifi热点,以及生成新的ap配置信息,其中,新的ap配置信息中包括ssid、mac地址、信道、密码进而加密方式等参数。cpe设备在生成新的ap配置信息之后将新的ap配置信息广播到前述所有的监控设备,具体的,cpe设备将新的ap配置信息基于设备间的应用安全协议传输到前述所有的监控设备。
98.步骤205:监控设备获取cpe设备广播的新的ap配置信息。
99.在本技术实施例中,监控设备在确定是由当前无线网络环境中存在伪ap而导致自身与cpe设备之间的连接断开时,若想要与cpe设备重新建立连接,还需要获取cpe设备广播的新的ap配置信息,具体的,监控设备进入monitor模式获取新的ap配置信息。
100.步骤206:监控设备基于新的ap配置信息与cpe设备重新建立连接。
101.在本技术实施例中,监控设备在获取到新的ap配置信息之后,可以基于该新的配置信息重新与cpe设备建立连接。
102.在一种可能的实施方式中,监控设备在基于新的ap配置信息与cpe设备重新建立连接之前,还可以确定当前无线网络环境中是否存在第三ap,所述第三ap的ssid和mac地址与新的ap配置信息中的ssid和mac地址相同,在确定不存在第三ap时,基于新的ap配置信息与cpe设备重新建立连接,若确定存在第三ap,则等待预设时长之后继续检测,直到确定当前无线网络环境中不存在伪时,重新进入monitor模式获取cpe设备最新广播的ap配置信息,并基于最新广播的ap配置信息与cpe设备重新建立连接。
103.在一些其它的实施例中,若伪ap还未伪装成第一ap之前,模拟监控设备(例如监控设备a)向cpe设备发送断开连接的管理帧,cpe在接收到伪ap发送的管理帧时,将剔除监控设备a,此时,监控设备a不知道由于什么原因导致自身与第一ap之间的连接断开了,此时需要与第一ap重新建立连接,因此,为了避免是由于伪ap的攻击导致自身与第一ap断开连接,监控设备a在重新与第一ap建立连接之前还可以检测当前无线网络环境中是否存在所述第二ap,若不存在第二ap,则监控设备a基于已有的ap配置信息与第一ap重新建立连接,若存在第二ap,则等待预设时长之后继续检测,直到确定当前无线网络环境中不存在伪时,重新进入monitor模式获取cpe设备最新广播的ap配置信息,并基于最新广播的ap配置信息与cpe设备重新建立连接。
104.第二种情况:cpe设备先检测到第二ap(即伪ap)
105.请参见图3所示,图3为本技术实施例提供的一种防止接入伪ap的方法中cpe设备先检测到第二ap的流程交互图。图3所述的方法流程图步骤如下:
106.步骤301:cpe设备确定当前无线网络环境中存在第二ap,包括两种情况,第一种情况为cpe设备检测到当前无线网络环境中存在第二ap,第二种情况为cpe设备接收到监控设备广播的第二消息,其中,第二消息为提示当前网络环境中存在伪ap的消息。当cpe设备通过自己检测确定无线网络环境中存在第二ap,则执行步骤302,当cpe设备通过接收第二消息确定无线网络环境中存在伪ap,则执行步骤305。
107.步骤302:cpe设备断开与所有监控设备的连接并广播第一消息。
108.在本技术实施例中,当cpe设备确定当前无线网络环境中存在伪ap时,需要断开与所有监控设备的连接,并广播第一消息,用于提示连接的所有监控设备当前无线网络环境中存在伪ap,使得所有的监控设备在与第一ap断开连接之后将不会重新发起与cpe设备之间的连接的请求,从而有效避免监控设备在重连接时接入伪ap,提升网络安全性。
109.步骤303:cpe设备向云平台发送第一请求。
110.在本技术实施例中,当cpe设备确定当前无线网络环境中存在伪ap时,会向云平台发送第一请求消息,申请新的mac地址,cpe设备在接收到云平台配置的新的mac地址时,执行步骤204,若在第三预设时长之后未接收到云平台配置的新的mac地址,则再次执行步骤203。
111.步骤304:cpe设备创建新的wifi热点并广播新的ap配置信息到监控设备。
112.其中,所述监控设备为在检测到伪ap之前与第一ap连接的所有的监控设备。在本技术实施例中,cpe设备随机生成ssid,并基于随机生成新的安全度较高的ssid和接收的新的mac地址创建新的wifi热点,以及生成新的ap配置信息,其中,新的ap配置信息中包括
ssid、mac地址、信道、密码进而加密方式等参数。cpe设备在生成新的ap配置信息之后将新的ap配置信息广播到前述所有的监控设备,具体的,cpe设备将新的ap配置信息基于设备间的应用安全协议传输到前述所有的监控设备,以使监控设备基于所述新的ap配置信息与cpe设备重新建立连接。
113.步骤305:监控设备获取cpe设备广播的新的ap配置信息。
114.在本技术实施例中,监控设备在确定是由当前无线网络环境中存在伪ap而导致自身与cpe设备之间的连接断开时,若想要与cpe设备重新建立连接,还需要获取cpe设备广播的新的ap配置信息,具体的,监控设备进入monitor模式获取新的ap配置信息。
115.步骤306:监控设备基于新的ap配置信息与cpe设备重新建立连接。
116.在本技术实施例中,监控设备在获取到新的ap配置信息之后,可以基于该新的配置信息重新与cpe设备建立连接。
117.在具体的实施过程中,通过监控设备和cpe设备同时检测无线网络环境中是否存在伪ap设备,可以有效提高伪ap的检测效率,以及通过云平台动态配置mac地址等参数,cpe随机生成ssid等信息,可以有效提升cpe设备的ap热点的安全性,使得ap热点不易被伪ap锁定,从而有效防止终端接入伪ap。
118.基于同一发明构思,本技术实施例提供了一种防止接入伪ap的装置,该防止接入伪ap的装置能够实现前述的防止接入伪ap的方法对应的功能。该防止接入伪ap的装置可以是硬件结构、软件模块、或硬件结构加软件模块。该防止接入伪ap的装置可以由芯片系统实现,芯片系统可以由芯片构成,也可以包含芯片和其他分立器件。请参见图4所示,该防止接入伪ap的装置包括处理模块401和通信模块402。其中:
119.处理模块401,用于确定无线网络环境中是否存在第二ap;其中,所述第二ap与第一ap的ssid和mac地址相同,所述第一ap为所述处理模块401当前连接的ap;
120.所述处理模块401,还用于在确定所述无线网络环境中存在所述第二ap时,断开与所述第一ap的连接;
121.通信模块402,用于广播第一消息,所述第一消息用于通知所述cpe设备在所述无线网络环境中存在伪ap,所述cpe设备为创建所述第一ap的设备;
122.所述处理模块401,还用于获取所述通信模块402接收的所述cpe设备广播的新的ap配置信息;其中,所述新的ap配置信息是所述cpe设备建立新的wifi热点后广播的所述cpe设备的新的ap配置信息;
123.所述处理模块401,还用于基于所述新的ap配置信息与所述cpe设备重新建立连接。
124.在一种可能的实施方式中,所述处理模块401,具体用于:
125.根据所述新的ap配置信息,确定所述当前无线网络环境中是否存在第三ap;其中,所述第三ap的ssid和mac地址与所述新的ap配置信息中ssid和mac地址相同;
126.在确定不存在所述第三ap时,基于所述新的ap配置信息与所述cpe设备重新建立连接。
127.在一种可能的实施方式中,所述处理模块401还用于:
128.在确定与所述第一ap断开连接且不存在第二ap时,基于已有的ap配置信息与所述第一ap重新建立连接。
129.在一种可能的实施方式中,所述通信模块402,还用于:
130.接收所述cpe设备或其它终端广播的第二消息,所述第二消息用于通知在所述无线网络环境中存在伪ap。
131.前述的防止接入伪ap的方法的实施例涉及的各步骤的所有相关内容均可援引到本技术施例中的防止接入伪ap的装置所对应的功能模块的功能描述,在此不再赘述。
132.基于同一发明构思,本技术实施例提供了一种防止ap被伪ap劫持的装置,该防止ap被伪ap劫持的装置能够实现前述的防止ap被伪ap劫持的方法对应的功能。该防止ap被伪ap劫持的装置可以是硬件结构、软件模块、或硬件结构加软件模块。该防止ap被伪ap劫持的装置可以由芯片系统实现,芯片系统可以由芯片构成,也可以包含芯片和其他分立器件。请参见图5所示,该防止ap被伪ap劫持的装置包括处理模块501和通信模块502。其中:
133.处理模块501,用于确定无线网络环境中是否存在第二ap,其中,所述第二ap与自身建立第一ap的ssid和mac地址相同;
134.所述处理模块501,还用于在确定所述无线网络环境中存在所述第二ap时,断开连接的所有的终端;
135.所述通信模块502,还用于广播第一消息,所述第一消息用于通知所述终端在所述无线网络环境中存在伪ap;
136.所述处理模块501,还用于创建新的wifi热点;
137.通信模块502,用于广播新的ap配置信息到所述终端,以使所述终端基于所述新的ap配置信息与cpe设备重新建立连接。
138.在一种可能的实施方式中,所述通信模块502,具体用于:
139.向云平台发送第一请求,所述第一请求用于向云平台申请新的mac地址;
140.所述处理模块501具体用于:随机生成所述新的ssid;基于所述新的ssid和所述新的mac地址创建新的wifi热点,以及生成所述新的ap配置信息;
141.广播所述新的ap配置信息到所述终端。
142.在一种可能的实施方式中,所述通信模块502还用于:
143.接收所述终端广播的第二消息,所述第二消息指示所述无线网络环境中存在伪ap。
144.前述的防止ap被伪ap劫持的方法的实施例涉及的各步骤的所有相关内容均可援引到本技术施例中的防止ap被伪ap劫持的装置所对应的功能模块的功能描述,在此不再赘述。
145.本技术实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,另外,在本技术各个实施例中的各功能模块可以集成在一个处理器中,也可以是单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
146.基于同一发明构思,本技术实施例提供一种电子设备。请参见图6所示,该电子设备包括至少一个处理器601,以及与至少一个处理器连接的存储器602,本技术实施例中不限定处理器601与存储器602之间的具体连接介质,图6中是以处理器601和存储器602之间通过总线600连接为例,总线600在图6中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。总线600可以分为地址总线、数据总线、控制总线等,为便于表
示,图6中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
147.在本技术实施例中,存储器602存储有可被至少一个处理器601执行的指令,至少一个处理器601通过执行存储器602存储的指令,可以执行前述的防止接入伪ap或防止ap被伪ap劫持的方法中所包括的步骤。
148.其中,处理器601是电子设备的控制中心,可以利用各种接口和线路连接整个电子设备的各个部分,通过运行或执行存储在存储器602内的指令以及调用存储在存储器602内的数据,电子设备的各种功能和处理数据,从而对电子设备进行整体监控。可选的,处理器601可包括一个或多个处理单元,处理器601可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器601中。在一些实施例中,处理器601和存储器602可以在同一芯片上实现,在一些实施例中,它们也可以在独立的芯片上分别实现。
149.处理器601可以是通用处理器,例如中央处理器(cpu)、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本技术实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本技术实施例所公开的防止接入伪ap或防止ap被伪ap劫持的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
150.存储器602作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器602可以包括至少一种类型的存储介质,例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(random access memory,ram)、静态随机访问存储器(static random access memory,sram)、可编程只读存储器(programmable read only memory,prom)、只读存储器(read only memory,rom)、带电可擦除可编程只读存储器(electrically erasable programmable read

only memory,eeprom)、磁性存储器、磁盘、光盘等等。存储器602是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。本技术实施例中的存储器602还可以是电路或者其它任意能够实现存储功能的装置,用于存储程序指令和/或数据。
151.通过对处理器601进行设计编程,可以将前述实施例中介绍的防止接入伪ap或防止ap被伪ap劫持的方法所对应的代码固化到芯片内,从而使芯片在运行时能够执行前述的防止接入伪ap或防止ap被伪ap劫持的方法的步骤,如何对处理器601进行设计编程为本领域技术人员所公知的技术,这里不再赘述。
152.基于同一发明构思,本技术实施例还提供一种计算可读存储介质,该计算可读存储介质存储有计算机指令,当该计算机指令在计算机上运行时,使得计算机执行如前述的防止接入伪ap或防止ap被伪ap劫持的方法的步骤。
153.在一些可能的实施方式中,本技术提供的防止接入伪ap或防止ap被伪ap劫持的方法的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在电子设备上运行时,程序代码用于使该检测设备执行本说明书上述描述的根据本技术各种示例性实施方式的防止接入伪ap或防止ap被伪ap劫持的方法中的步骤。
154.本领域内的技术人员应明白,本技术的实施例可提供为方法、系统、或计算机程序
产品。因此,本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd

rom、光学存储器等)上实施的计算机程序产品的形式。
155.本技术是参照根据本技术的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
156.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
157.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
158.显然,本领域的技术人员可以对本技术进行各种改动和变型而不脱离本技术的精神和范围。这样,倘若本技术的这些修改和变型属于本技术权利要求及其等同技术的范围之内,则本技术也意图包含这些改动和变型在内。
当前第1页1 2 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1