CN100428721C - 无线局域网中链路连接的切断方法及接入点装置 - Google Patents
无线局域网中链路连接的切断方法及接入点装置 Download PDFInfo
- Publication number
- CN100428721C CN100428721C CNB2006100775532A CN200610077553A CN100428721C CN 100428721 C CN100428721 C CN 100428721C CN B2006100775532 A CNB2006100775532 A CN B2006100775532A CN 200610077553 A CN200610077553 A CN 200610077553A CN 100428721 C CN100428721 C CN 100428721C
- Authority
- CN
- China
- Prior art keywords
- message
- link
- wireless user
- cut
- state
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种链路连接的切断方法,该方法包括:A.AP接收到切断链路连接报文时,确定该报文对应的无线用户,该AP探测该无线用户的链路状态;B.当该无线用户的链路状态非正常时,根据接收到的所述报文,断开该无线用户的WLAN链路连接。本发明还公开了一种AP装置,该装置包括:数据存储模块、通讯模块和控制模块。本发明能够有效地抵御非法无线用户对合法无线用户的攻击。
Description
技术领域
本发明涉及无线局域网(WLAN)技术,尤其涉及WLAN中链路连接的切断方法及接入点(AP)装置。
背景技术
随着电子及通信技术的日益成熟,提供局域网范围内的无线连接服务的WLAN的应用也日渐广泛。电气电子工程协会(IEEE)802.11协议组定义了WLAN的媒体接入控制(MAC)层和物理(PHY)层的相关特性,实现多种速率的接入,并提供多种无线功能。具体而言,IEEE802.11协议实现了2M速率的无线接入;IEEE802.11b协议支持11M速率的无线接入;IEEE802.11g协议以及IEEE802.11a协议则支持54M速率的无线接入;而IEEE802.11n协议则可以支持108M速率的无线接入;802.11i致力于解决802.11的安全问题,定义了无线用户的认证和加密保护;等等。
IEEE802.11协议定义了WLAN的链路层协议,并规定了包括链路扫描(Scanning)阶段、链路认证(Authentication)阶段以及链路连接(Association)阶段等在内的链路协商过程。无线用户在选择WLAN网络后,只有经过上述三个过程的协商,才能够成功地建立符合IEEE802.11协议的WLAN链路连接。
图1示出了现有的WLAN的应用组网示意图。如图1所示,WLAN网络中至少包括AP和作为无线用户的各个Station。其中,AP为作为WLAN服务设备的无线收发设备,其作用在于将来自于诸如因特网(Internet)之类的有线网络的数据转换为无线信号后进行发送,并且将接收到的无线信号转换为有线网络能够识别的数据后转发给有线网络。
通常,AP在自身设置扩展服务集(ESS),每一个ESS均对应一个唯一的ESS服务标识(ESSID),并且AP通过Beacon报文,向WLAN中的所有Station广播ESSID。Station通过被动接收Beacon报文或者主动向AP发送Probe报文,执行链路扫描,获取ESSID,从而发现该Station周围的WLAN服务。当Station需要享受该WLAN服务时,则发起接入WLAN的请求。AP根据预先配置的链路认证算法对Station进行认证,并在认证成功后,Station与AP交互,进行Association阶段的协商。在完成Association协商后,Station就可以接入到该AP提供的WLAN网络中。
图2示出了WLAN中Station的状态示意图。如图2所示,每个Station均具有三种状态(State):State1代表该Station处于未成功认证并且未与WLAN建立连接的状态;State2代表该Station处于成功认证但是未与WLAN建立连接的状态;State3代表该Station处于成功认证并且已与WLAN建立连接的状态。具体而言,当AP首次接收到Station的认证报文时,创建该Station对应的数据结构,用于申请保存该Station信息的内存,使其唯一地对应一个MAC地址,并且此时该Station的状态(State)为State1。在Station成功通过链路认证时,其状态切换到State2。当Station完成与WLAN之间的链路Association过程后,其状态切换到State3,成功接入到了WLAN网络中。
当AP接收到来自于Station的去认证(De-authentication)报文或去连接(Disassociation)报文后,切断该Station与WLAN之间的链路连接。换言之,当Station处于State3时,如果AP接收到去连接报文,则将该Station的状态切换到State2;如果AP接收到去认证报文,则将该Station的状态切换到State1。
采用上述方法对WLAN中的Station进行切断链路连接时,非法无线用户(Rogue Station)可以通过向AP发送仿冒的去连接或者去认证报文,实现对WLAN中合法无线用户的攻击。图3示出了采用现有的切断链路连接方法时非法无线用户对合法无线用户进行攻击的示意图。如图3所示,当合法Station经过步骤301和302与WLAN建立链路连接之后,非法无线用户在步骤303中仿冒该Station,向AP发送去连接或者去认证报文,则在步骤304中,AP接收到仿冒的去认证或者去连接报文后,将该报文的发送方误认为合法的Station,则切断该Station与AP之间的链路连接。这样,合法Station就由State3切换到State2或者State1,从而无法对WLAN网络进行访问,也无法享受WLAN提供的服务。
可见,现有的WLAN中切断链路连接的方法无法抵御非法无线用户对合法无线用户的攻击,使得合法无线用户被WLAN网络错误地断开链路连接。为了继续获得WLAN提供的网络服务,合法无线用户只能通过重新执行IEEE802.11协议规定的三个阶段的协商来再次接入WLAN。因此,现有的WLAN中切断链路连接的方法使得网络服务的质量较低,用户的满意程度较差。
发明内容
有鉴于此,本发明提供一种WLAN中链路连接的切断方法及AP装置,能够抵御非法无线用户对合法无线用户的攻击。
为实现上述目的,本发明提供了一种WLAN中链路连接的切断方法,该方法包括以下步骤:
A.接入点AP接收到切断链路连接报文时,确定该报文对应的已建立无线局域网WLAN链路连接的无线用户,该AP探测该无线用户的链路状态并启动预先设置的安全保护定时器;
B.当所述安全保护定时器运行期间所述AP未接收到所述无线用户的响应,时,判定该无线用户的链路状态非正常,根据接收到的所述报文,断开该无线用户的WLAN链路连接。
其中,步骤A所述确定该报文对应的已建立WLAN链路连接的无线用户包括:
AP根据接收到的切断链路连接报文中的源媒体接入控制MAC地址,在自身查找对应的无线用户,在找到该无线用户时,如果该无线用户处于认证成功并且完成链路连接的状态,则将该无线用户确定为所述报文对应的已建立WLAN链路连接的无线用户。
其中,步骤A所述该AP探测该无线用户的链路状态为:
AP向所述无线用户发送状态探测报文。
其中,所述状态探测报文为符合IEEE802.11协议的报文。
其中,所述符合IEEE802.11协议的报文为:空数据NULL-Data报文。
较佳地,所述步骤B包括:
B11.安全保护定时器到期,若AP在所述安全保护定时器运行期间未接收到来自于所述无线用户的对状态探测报文的响应,则判定所述无线用户的链路状态非正常;
B12.在所述切断链路连接报文为去连接报文时,将所述无线用户转换到认证成功但未完成链路连接的状态,在所述切断链路连接报文为去认证报文时,将所述无线用户转换到认证未成功并且未完成链路连接的状态。
较佳地,步骤B11所述安全保护定时器到期之后,该方法进一步包括:
若AP在所述安全保护定时器运行期间接收到来自于所述无线用户的对状态探测报文的响应,则判定所述无线用户的链路状态为正常,并结束本链路连接切断流程。
较佳地,所述步骤B11之前进一步包括:
AP再次接收到对应于所述无线连接用户的切断链路连接报文,判断AP中是否保存有再次接收到的切断链路报文对应的类型,如果是,则丢弃该报文,并执行步骤B11;否则,将再次接收到的切断链路连接报文记录报文类型后丢弃,而后执行所述步骤B11;
所述判定无线用户的链路状态为正常之后,进一步包括:读取所记录的切断链路报文类型中级别最低的报文类型,并返回执行所述步骤A。
较佳地,所述步骤B包括:
B21.判断AP是否接收到来自于所述无线用户的对状态探测报文的响应,如果是,则安全保护定时器停止计时,并且结束本链路连接切断流程;否则,安全保护定时器到期,判定所述无线用户的链路状态非正常,并执行步骤B22;
B22.在所述切断链路连接报文为去连接报文时,将所述无线用户转换到认证成功但未完成链路连接的状态,在所述切断链路连接报文为去认证报文时,将所述无线用户转换到认证未成功并且未完成链路连接的状态。。
较佳地,所述AP发送状态探测报文之前,该方法进一步包括:AP记录接收到的切断链路连接报文的类型;
所述步骤B12之前,该方法进一步包括:AP根据自身所记录的报文类型确定所述切断链路连接报文为去连接报文或者去认证报文。
本发明还提供了一种AP装置,该装置包括:数据存储模块、通讯模块和控制模块,其中,
数据存储模块用于保存已建立无线局域网WLAN链路连接的无线用户信息;
通讯模块用于接收切断链路连接报文,将接收到的链路连接报文发送给控制模块,在控制模块的指示下,对无线用户的链路状态进行探测,并将探测结果提交给控制模块,以及断开无线用户的链路连接;
控制模块用于根据数据存储模块中保存的无线用户信息,确定来自于通讯模块的切断连接报文对应的无线用户,指示通讯模块对所确定的无线用户进行链路状态的探测,根据通讯模块提交的探测结果,确定该无线用户的链路状态,并在该无线用户的链路状态非正常时,通知通讯模块断开该无线用户的WLAN链路连接。
较佳地,该装置进一步包括:安全保护定时器,该安全保护定时器用于在控制模块的指示下计时,并在计时结束后通知所述控制模块。
应用本发明,WLAN能够抵御非法无线用户对合法无线用户的攻击。具体而言,本发明具有如下有益效果:
本发明中当AP接收到切断链路连接报文时,通过发送诸如空数据报文等状态探测报文,来探测切断链路连接报文对应的Station的链路状态,只有该Station的链路状态非正常时,才断开该Station的WLAN链路连接。这样,能够有效地抵御非法无线用户通过仿冒切断链路连接报文而对合法无线用户进行的攻击,提高网络服务质量。
进一步,本发明中可以使得AP在安全保护定时器计时期间再次接收到针对该Station的切断链路连接报文时,当AP中保存有该切断链路报文对应的类型时,直接丢弃该报文,而当AP中不存在保存有该切断链路连接报文对应的类型时,记录报文类型后进行丢弃,而后在确定该Station受到恶意攻击时,根据记录的报文类型确定是否断开该Station的WLAN链路连接。这样,AP在安全保护期内即使接收到多个相同的切断链路连接报文,也只是进行一次报文类型的记录,并且在首次安全保护期结束之后,针对所记录的报文类型中级别最低的报文类型,重新发送NULL-Data报文。因此,能够有效地防止非法无线用户连续发送多个切断链路连接报文而导致AP不断发送状态探测报文的现象,从而避免对WLAN网络造成的冲击。
另外,本发明利用IEEE802.11协议中的报文实现链路状态的探测,实现简单,可操作性较强。
附图说明
下面将通过参照附图详细描述本发明的示例性实施例,使本领域的普通技术人员更清楚本发明的上述及其它特征和优点,附图中:
图1为WLAN的应用组网示意图;
图2为WLAN中Station的状态示意图;
图3为采用现有的WLAN中链路连接切断方法时非法无线用户攻击合法无线用户的示意图;
图4为本发明WLAN中链路连接切断方法的流程图;
图5为本发明实施例1中链路连接切断方法的流程图;
图6为本发明实施例1中Station受到攻击情况下切断链路连接方法的信令流程图;
图7为本发明实施例2中链路连接切断方法的流程图;
图8为本发明实施例中AP装置的结构示意图。
具体实施方式
为使本发明的目的、技术方案更加清楚明白,以下参照附图并举实施例,对本发明做进一步的详细说明。
本发明为一种链路连接的切断方法,其基本思想是:当AP接收到与已建立WLAN链路连接的无线用户有关的切断链路连接报文时,对该无线用户的状态进行探测,并在该无线用户的链路处于非正常状态时,切断该无线用户的WLAN链路连接。
图4示出了本发明中链路切断方法的流程图。参见图4,该方法包括:
在步骤401中,在AP接收到切断链路连接报文时,确定该切断链路连接报文对应的已建立WLAN链路连接的无线用户,该AP探测该无线用户的链路状态;
在步骤402中,当该无线用户的链路状态非正常时,断开该无线用户的WLAN链路连接。
本发明中,切断链路连接报文至少包括去连接报文和去认证报文,并且AP可以将符合IEEE802.11协议的报文作为状态探测报文,来对无线用户进行链路状态探测。下面以AP采用发送空数据(NULL-Data)报文来探测无线用户的链路状态为例,对依据本发明思想的实施例进行说明。
实施例1
图5示出了本实施例中切断链路连接的方法流程图。参见图5,该方法包括以下步骤:
在步骤501中,作为无线用户的Station正常运行。
在步骤502~503中,判断AP是否接收到去连接报文或者去认证报文,如果是,则根据接收到的报文的源MAC地址查找对应的Station,并继续执行步骤504;否则,返回执行步骤501。
在WLAN中,当Station想要下线时,可以向AP发送去连接报文或者去认证报文,来断开自身与AP之间的WLAN链路连接,并且在发出报文之后不会对接收到的报文做出回应,可以认为此时的Station处于非正常状态。由于每个Station都对应唯一的MAC地址,因此去连接报文和去认证报文的报头中均会携带有源MAC地址,用于表示发出报文的Station。当AP收到去连接报文或去认证报文时,通过该报文的源MAC地址来确定报文的发出方,即AP以源MAC地址为索引,在自身保存的MAC地址中进行检索。
在步骤504~505中,判断是否存在该Station,并且当存在该Station时,判断该Station是否处于State3状态,如果存在该Station且其状态为State3,则继续执行步骤506;否则,按照IEEE802.11协议的规定进行处理,并结束本链路连接切断流程。
当AP在自身保存的MAC地址中查找到与源MAC地址相同的记录时,表明存在与接收到的报文相对应的Station。只有Station处于State3状态时,才可以是成功建立了WLAN链路连接,即该Station处于在线状态,因此,只有处于State3的Station才能够谈及对断开链路连接执行保护处理。
当不存在AP接收到的去连接或者去认证报文对应的Station,或者存在该Station,但它不是处于成功建立链路连接的State3状态时,则根据IEEE802.11协议执行后续操作。例如,AP接收到去认证报文,但是由于该AP的下线而导致未查找到该报文对应的Station时,AP以该报文中的源MAC地址为目的地址,发送去认证报文,以保证该Station能够正常下线。
在步骤506中,AP记录接收到的切断链路连接报文类型,启动安全保护定时器,并向Station发送NULL-Data报文,探测该Station的状态。
本实施例预先设置安全保护定时器,并且该安全保护定时器的计时时长等于本实施例中对Station的安全保护期。在该定时器的计时期间,AP针对该Station进入攻击保护(Attack-Protection)状态。当AP处于攻击保护状态时,如果再次收到对应该Station的去连接或者去认证报文,则判断AP中是否保存有再次接收到的去连接或者去认证报文对应的类型,如果是,则丢弃该报文;否则,将该报文的类型记录下来之后,进行丢弃。而后在本切断链路连接的流程执行完毕之后确定该Station受到攻击的情况下,读取所记录的报文类型中级别最低的报文类型,并确定是否进行链路切断,即从步骤503开始执行。由于去连接报文的级别低于去认证报文,因此在同时存在去连接报文和去认证报文的情况下,AP针对去连接报文重新发送NULL-Data报文,并且在未收到ACK报文时,将Station的状态转换为State2。如果用户实际的要求是转换到State1,用户后续会对自身的状态进行检测,并按照现有协议中的操作执行,最终转换到State1。
例如,AP首次收到的是去认证报文,在安全保护定时器的计时期间收到针对同一Station的去连接报文,而AP中未曾记录有去连接报文,则记录下再次收到的报文类型为去连接报文,并将被记录的报文丢弃。在确定去认证报文为恶意的非法无线用户发出并保持Station的正常运行之后,针对所记录的报文开始执行步骤503~步骤509的操作。
又如,如果在AP首次接收到去认证报文后启动的安全保护期内,接收到更多的去连接报文,则AP只是进行一次去连接报文的报文类型记录,而在首次启动的安全保护期之后,AP只重新发送一次NULL-Data报文进行Station状态的再次探测。
另外,如果在AP首次接收到去认证报文后启动的安全保护期内,又接收到一次去连接报文以及多次去认证报文,则AP只是对去连接和去认证报文各进行一次报文类型记录,并且在首次启动的安全保护期之后,AP只针对去连接报文重新发送NULL-Data报文进行Station状态的再次探测。
可见,在确定首次接收到的去认证或者去连接报文为恶意攻击时,系统只需对再次收到的所有去连接或者去认证报文执行一次处理,即不必针对每一个后续收到的去认证或者去连接报文都发送一次NULL-Data探测报文。从而,此处的丢弃操作在不影响具体功能的情况下实现系统的防攻击保护。
在安全保护定时器开始计时的同时,AP向接收到的去连接或者去认证报文对应的Station发送NULL-Data报文。NULL-Data报文是IEEE802.11协议定义的一种数据报文,其类型为数据报文0x02,子类型为空函数(Nullfunction)0x04。该报文中不包含任何数据。根据IEEE802.11协议,对于处于在线状态的Station而言,如果接收到来自于AP的NULL-Data报文,则返回确认(ACK)报文,用以确认已经收到该NULL-Data报文。
在步骤507~509中,安全保护定时器到期时,判断AP在安全保护定时器的计时期间是否接收到来自于Station的报文,如果是,则返回执行步骤501;否则,根据AP接收到的去连接报文或者去认证报文,断开该Station的WLAN链路连接。
安全保护定时器从启动到停止计时的期间即为AP处于攻击保护状态的期间。如果AP在此次期间接收到Station发来的NULL-Data报文对应的ACK报文或者其他任何报文,则表明该Station处于正常运行状态,它并没有要断开连接的要求,而AP接收到的去连接或者去认证报文则为非法无线用户发出的非法报文,因此AP不对该Station执行任何操作,而是使得该Station保持正常的运行。如果直到安全保护定时器到期时,AP仍未接收到来自于该Station的任何报文,则表明AP接收到的去连接或去认证报文为该Station发出,因此断开该Station的WLAN链路连接。
本实施例中断开Station的WLAN链路连接的方法为:AP从自身读取在步骤506中记录的切断链路连接报文类型,并根据所读取的报文类型对Station进行状态转换。具体而言,如果AP记录的链路连接报文为去连接报文,则将Station由State3转换到State2;如果AP记录的链路连接报文为去认证报文,则将该Station由State3转换到State1。Station无论转换到State1还是State2,均为切断该Station的WLAN链路连接。并且,在Station的状态转换为State1之后,AP删除自身所保存的该Station的结构信息。
至此完成本实施例中的链路连接切断流程。
图6示出了Station受到攻击情况下应用本实施例中切断链路连接方法的信令流程图。如图6所示,当Station通过步骤601中的链路协商后正常运行时,如果AP在步骤602中接收到对应于该Station的去连接报文或者去认证报文,则在步骤603中向该Station发送NULL-Data报文,来探测该Station的状态;由于Station的链路正常,去连接报文或者去认证报文为非法无线用户所发,因此该Station在步骤604中向AP返回对应于NULL-Data报文的ACK报文。此时,AP确认该Station受到攻击,则不对其执行切断链路的操作。
由上述流程可见,本实施例中当AP接收到切断链路连接报文时,通过发送NULL-Data报文等来探测该报文对应的Station的链路状态,只有该Station的链路状态非正常时,才断开该Station的WLAN链路连接。本实施例能够有效地抵御非法无线用户通过仿冒切断链路连接报文而对合法无线用户进行的攻击,提高了网络服务质量。并且,本实施例中如果AP在安全保护定时器计时期间再次接收到针对该Station的切断链路连接报文,直接将此文丢弃,能够有效地防止非法无线用户连续发送多个切断链路连接报文而导致AP不断发送NULL-Data报文的现象,从而避免对WLAN网络造成的冲击。另外,本实施例利用IEEE802.11协议中的NULL-Data报文实现链路状态的探测,实现简单,可操作性较强。
实施例2
图7示出了本实施例中切断链路连接的方法流程图。参见图7,该方法包括以下步骤:
在步骤701中,作为无线用户的Station正常运行。
在步骤702~703中,判断AP是否接收到去连接报文或者去认证报文,如果是,则根据接收到的报文的源MAC地址查找对应的Station,并继续执行步骤704;否则,返回执行步骤701。
在步骤704~705中,判断是否存在该Station并且如果存在,该Station是否处于State3状态,如果存在该Station且其状态为State3,则继续执行步骤706;否则,按照IEEE802.11协议的规定进行处理,并结束本链路连接切断流程。
在步骤706中,AP记录接收到的切断链路连接报文类型,启动预先设置的安全保护定时器,并向Station发送NULL-Data报文,探测该Station的状态。
上述步骤701至706与实施例1中的步骤501至506的操作相同。
在步骤707~710中,判断AP是否接收到来自于Station的报文,如果是,则安全保护定时器停止计时并清零,而后返回执行步骤701;否则,判断安全保护定时器是否到期,在该定时器到期时,根据AP接收到的去连接报文或者去认证报文,断开该Station的WLAN链路连接,在未到期时,返回执行步骤707。
如果AP在安全保护定时器计时期间接收到Station发来的NULL-Data报文对应的ACK报文或者其他任何报文,则表明该Station处于正常运行状态,它并没有要断开链路连接的要求,AP接收到的去连接或者去认证报文则为非法无线用户发出的非法报文,因此AP不对该Station执行任何操作,而是停止安全保护定时器,结束对该Station的安全保护,该Station保持正常的运行。如果直到安全保护定时器到期时,AP仍未接收到来自于该Station的任何报文,则表明AP接收到的去连接或去认证报文为该Station发出,因此断开该Station的WLAN链路连接。
至此,完成本实施例中的链路连接切断流程。
由本实施例的各个步骤可见,本实施例中AP在发出NULL-Data报文之后接收到来自于Station的报文时,直接使得安全保护定时器停止计时并清零,从而AP退出针对该Station的攻击保护状态。这样,AP每次收到去连接或者去认证报文时,都会启动安全保护定时器,进入攻击保护状态,并向该Station发送NULL-Data报文。
本实施例中当AP接收到切断链路连接报文时,通过发送NULL-Data报文等来探测该报文对应的Station的链路状态,只有该Station的链路状态非正常时,才断开该Station的WLAN链路连接。因此本实施例同样能够有效地抵御非法无线用户通过仿冒切断链路连接报文而对合法无线用户进行的攻击,提高网络服务质量。并且,本实施例也是利用IEEE802.11协议中的NULL-Data等报文来实现链路状态的探测,实现简单,可操作性较强。
以上为对依据本发明思想的链路连接切断方法的实施例的描述,下面对能够执行本发明中链路连接切断方法的AP装置进行说明。
图8示出了本发明实施例的AP装置的结构示意图。如图8所示,该AP装置包括:数据存储模块、通讯模块和控制模块,其中,数据存储模块用于保存已建立无线局域网WLAN链路连接的无线用户信息;通讯模块用于接收切断链路连接报文,将接收到的链路连接报文发送给控制模块,在控制模块的指示下,对无线用户的链路状态进行探测,并将探测结果提交给控制模块,以及断开无线用户的链路连接;控制模块用于根据数据存储模块中保存的无线用户信息,确定来自于通讯模块的切断连接报文对应的无线用户,指示通讯模块对所确定的无线用户进行链路状态的探测,根据通讯模块提交的探测结果,确定该无线用户的链路状态,并在该无线用户的链路状态非正常时,通知通讯模块断开该无线用户的WLAN链路连接。
进一步,图8中示出的AP装置还包括:安全保护定时器,该安全保护定时器用于在控制模块的指示下计时,并在计时结束后通知所述控制模块。
这样,利用上述结构AP与Station配合,执行本发明中的链路连接切断方法,有效地抵御非法无线用户对合法无线用户的攻击。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (12)
1、一种链路连接的切断方法,其特征在于,该方法包括:
A.接入点AP接收到切断链路连接报文时,确定该报文对应的已建立无线局域网WLAN链路连接的无线用户,该AP探测该无线用户的链路状态并启动预先设置的安全保护定时器;
B.当所述安全保护定时器运行期间所述AP未接收到所述无线用户的响应时,判定该无线用户的链路状态非正常,根据接收到的所述报文,断开该无线用户的WLAN链路连接。
2、如权利要求1所述的方法,其特征在于,步骤A所述确定该报文对应的已建立WLAN链路连接的无线用户包括:
AP根据接收到的切断链路连接报文中的源媒体接入控制MAC地址,在自身查找对应的无线用户,在找到该无线用户时,如果该无线用户处于认证成功并且完成链路连接的状态,则将该无线用户确定为所述报文对应的已建立WLAN链路连接的无线用户。
3、如权利要求1所述的方法,其特征在于,步骤A所述该AP探测该无线用户的链路状态为:
AP向所述无线用户发送状态探测报文。
4、如权利要求3所述的方法,其特征在于,所述状态探测报文为符合IEEE802.11协议的报文。
5、如权利要求4所述的方法,其特征在于,所述符合IEEE802.11协议的报文为:空数据NULL-Data报文。
6、如权利要求3或4或5所述的方法,其特征在于,所述步骤B包括:
B11.安全保护定时器到期,若AP在所述安全保护定时器运行期间未接收到来自于所述无线用户的对状态探测报文的响应,则判定所述无线用户的链路状态非正常;
B12.在所述切断链路连接报文为去连接报文时,将所述无线用户转换到认证成功但来完成链路连接的状态,在所述切断链路连接报文为去认证报文时,将所述无线用户转换到认证未成功并且未完成链路连接的状态。
7、如权利要求6所述的方法,其特征在于,步骤B11所述安全保护定时器到期之后,该方法进一步包括:
若AP在所述安全保护定时器运行期间接收到来自于所述无线用户的对状态探测报文的响应,则判定所述无线用户的链路状态为正常,并结束本链路连接切断流程。
8、如权利要求7所述的方法,其特征在于,所述步骤B11之前进一步包括:
AP再次接收到对应于所述无线连接用户的切断链路连接报文,判断AP中是否保存有再次接收到的切断链路报文对应的类型,如果是,则丢弃该报文,并执行步骤B11;否则,将再次接收到的切断链路连接报文记录报文类型后丢弃,而后执行所述步骤B11;
所述判定无线用户的链路状态为正常之后,进一步包括:读取所记录的切断链路报文类型中级别最低的报文类型,并返回执行所述步骤A。
9、如权利要求3、4或5所述的方法,其特征在于,所述步骤B包括:
B21.判断AP是否接收到来自于所述无线用户的对状态探测报文的响应,如果是,则安全保护定时器停止计时,并且结束本链路连接切断流程;否则,安全保护定时器到期,判定所述无线用户的链路状态非正常,并执行步骤B22;
B22.在所述切断链路连接报文为去连接报文时,将所述无线用户转换到认证成功但未完成链路连接的状态,在所述切断链路连接报文为去认证报文时,将所述无线用户转换到认证未成功并且未完成链路连接的状态。
10、如权利要求6所述的方法,其特征在于,所述AP发送状态探测报文之前,该方法进一步包括:AP记录接收到的切断链路连接报文的类型;
所述步骤B12之前,该方法进一步包括:AP根据自身所记录的报文类型确定所述切断链路连接报文为去连接报文或者去认证报文。
11、一种接入点AP装置,其特征在于,该装置包括:数据存储模块、通讯模块和控制模块,其中,
数据存储模块用于保存已建立无线局域网WLAN链路连接的无线用户信息;
通讯模块用于接收切断链路连接报文,将接收到的链路连接报文发送给控制模块,在控制模块的指示下,对无线用户的链路状态进行探测,并将探测结果提交给控制模块,以及断开无线用户的链路连接;
控制模块用于根据数据存储模块中保存的无线用户信息,确定来自于通讯模块的切断连接报文对应的无线用户,指示通讯模块对所确定的无线用户进行链路状态的探测,根据通讯模块提交的探测结果,确定该无线用户的链路状态,并在该无线用户的链路状态非正常时,通知通讯模块断开该无线用户的WLAN链路连接。
12、如权利要求11所述的装置,其特征在于,该装置进一步包括:安全保护定时器,该安全保护定时器用于在控制模块的指示下计时,并在计时结束后通知所述控制模块。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2006100775532A CN100428721C (zh) | 2006-04-30 | 2006-04-30 | 无线局域网中链路连接的切断方法及接入点装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2006100775532A CN100428721C (zh) | 2006-04-30 | 2006-04-30 | 无线局域网中链路连接的切断方法及接入点装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1881920A CN1881920A (zh) | 2006-12-20 |
| CN100428721C true CN100428721C (zh) | 2008-10-22 |
Family
ID=37519906
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2006100775532A Expired - Fee Related CN100428721C (zh) | 2006-04-30 | 2006-04-30 | 无线局域网中链路连接的切断方法及接入点装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100428721C (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104254139B (zh) * | 2013-06-25 | 2019-02-19 | 华为终端有限公司 | 一种报文传输方法、系统及站点 |
| CN105356956B (zh) * | 2015-10-22 | 2018-11-27 | 普联技术有限公司 | 无线扩展器与接入点间的通信质量检测方法及装置 |
| CN105635185A (zh) * | 2016-03-25 | 2016-06-01 | 珠海网博信息科技股份有限公司 | 一种wifi环境下防止监听的方法和装置 |
| CN108924842A (zh) * | 2017-03-23 | 2018-11-30 | 华为技术有限公司 | 一种保持关联的方法及无线接入点设备 |
| CN108289299B (zh) | 2017-05-31 | 2020-12-29 | 新华三技术有限公司 | 防止用户下线的方法和装置 |
| CN110418431A (zh) * | 2019-07-26 | 2019-11-05 | 新华三技术有限公司成都分公司 | 一种通信连接的控制方法及装置 |
| CN112822141B (zh) * | 2019-10-31 | 2023-03-31 | 中国电信股份有限公司 | 在wlan中防攻击的方法、装置、用户终端和计算机可读介质 |
| CN111223219A (zh) * | 2019-12-31 | 2020-06-02 | 深圳阜时科技有限公司 | 一种身份识别方法及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1491056A (zh) * | 2002-09-12 | 2004-04-21 | Lg电子株式会社 | 移动通信系统中管理无线承载的方法 |
| US20050262569A1 (en) * | 2004-05-10 | 2005-11-24 | Trusted Network Technologies, Inc. | System, apparatuses, methods and computer-readable media for determining security status of computer before establishing connection thereto first group of embodiments-claim set II |
| US20050268342A1 (en) * | 2004-05-14 | 2005-12-01 | Trusted Network Technologies, Inc. | System, apparatuses, methods and computer-readable media for determining security status of computer before establishing network connection second group of embodiments-claim set II |
| CN1735278A (zh) * | 2004-06-17 | 2006-02-15 | Lg电子株式会社 | 用于会话终止的移动通信系统和方法 |
| CN1756201A (zh) * | 2004-09-28 | 2006-04-05 | 上海贝尔阿尔卡特股份有限公司 | 因特网协议第六版接入网的连接中断检测方法和设备 |
-
2006
- 2006-04-30 CN CNB2006100775532A patent/CN100428721C/zh not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1491056A (zh) * | 2002-09-12 | 2004-04-21 | Lg电子株式会社 | 移动通信系统中管理无线承载的方法 |
| US20050262569A1 (en) * | 2004-05-10 | 2005-11-24 | Trusted Network Technologies, Inc. | System, apparatuses, methods and computer-readable media for determining security status of computer before establishing connection thereto first group of embodiments-claim set II |
| US20050268342A1 (en) * | 2004-05-14 | 2005-12-01 | Trusted Network Technologies, Inc. | System, apparatuses, methods and computer-readable media for determining security status of computer before establishing network connection second group of embodiments-claim set II |
| CN1735278A (zh) * | 2004-06-17 | 2006-02-15 | Lg电子株式会社 | 用于会话终止的移动通信系统和方法 |
| CN1756201A (zh) * | 2004-09-28 | 2006-04-05 | 上海贝尔阿尔卡特股份有限公司 | 因特网协议第六版接入网的连接中断检测方法和设备 |
Non-Patent Citations (1)
| Title |
|---|
| US2005/0268342A1 2005.12.01 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1881920A (zh) | 2006-12-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100428721C (zh) | 无线局域网中链路连接的切断方法及接入点装置 | |
| US7969937B2 (en) | System and method for centralized station management | |
| JP4477882B2 (ja) | 無線ローカル・エリア・ネットワーク中の隠れノードの検出 | |
| US8817788B2 (en) | Wireless communication terminal, method, program, recording medium, and wireless communication system | |
| US8203996B2 (en) | Communication device, wireless communication device, and control method | |
| US7783756B2 (en) | Protection for wireless devices against false access-point attacks | |
| US9125130B2 (en) | Blacklisting based on a traffic rule violation | |
| US10243974B2 (en) | Detecting deauthentication and disassociation attack in wireless local area networks | |
| JP4410070B2 (ja) | 無線ネットワークシステムおよび通信方法、通信装置、無線端末、通信制御プログラム、端末制御プログラム | |
| CN104580152A (zh) | 一种防护wifi钓鱼的保护方法及系统 | |
| WO2008098020A2 (en) | Approach for mitigating the effects of rogue wireless access points | |
| CN102480729A (zh) | 无线接入网中防止假冒用户的方法及接入点 | |
| US8619995B2 (en) | Methods and apparatus related to address generation, communication and/or validation | |
| JP7079994B1 (ja) | Wipsセンサ及びwipsセンサを用いた不正無線端末の侵入遮断方法 | |
| US9444837B2 (en) | Process and devices for selective collision detection | |
| CN106454812A (zh) | 一种数据接收的方法及装置 | |
| US20060133401A1 (en) | Communication apparatus, wireless communication terminal, wireless communication system, and wireless communication method | |
| US8117658B2 (en) | Access point, mobile station, and method for detecting attacks thereon | |
| CN113132993B (zh) | 应用在无线局域网中的数据窃取识别系统及其使用方法 | |
| CN107579955B (zh) | 一种动态主机配置协议监听与防护方法和系统 | |
| JP7473972B2 (ja) | アクセスポイント、通信システム、および、通信方法 | |
| JP4882591B2 (ja) | 無線基地局、無線基地局プログラム及び制御方法 | |
| WO2010066073A1 (zh) | 一种uwb中非安全帧的传输方法、装置和系统 | |
| KR20050049471A (ko) | 침입 탐지 특징을 갖는 무선 근거리 또는 도시권 네트워크및 이와 관한 방법 | |
| TW201112811A (en) | Service network detecting system and method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, 466 Patentee after: NEW H3C TECHNOLOGIES Co.,Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: HANGZHOU H3C TECHNOLOGIES Co.,Ltd. |
|
| CP03 | Change of name, title or address | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20081022 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |