本发明专利技术公开了一种无线局域网的通信管控方法。本方法为:1)修改阻断设备的网卡驱动,使阻断设备能够以不大于短帧间间隔SIFS发送阻断帧;2)阻断设备扫描周围的无线局域网环境,获取在待阻断信道工作的接入点AP和终端STA的MAC地址;3)阻断设备针对每一信道建立一包含该信道所有待阻断接入点AP和终端STA的MAC地址的信道MAC地址列表;4)对于每一待阻断信道,阻断设备将该信道的信道MAC地址列表中的MAC地址填充至阻断帧的目标地址域后发出。本发明专利技术大大提高了涉密单位或地区的信息安全性,且对周围电磁环境的影响小。
【技术实现步骤摘要】
本专利技术涉及,属于无线通信
。 技术背景 无线局域网,即WLAN (Wireless LAN),是利用无线传输媒介进行通信的网络。由于WLAN具有部署灵活、简单易用的特点,并且可以很好的支持笔记本、平板电脑、手机等便携式终端移动上网的需要,因此迅速在商用市场普及。在广泛应用的同时,WLAN的安全性问题也引起了研究人员的注意。WLAN不仅面临传统有线网络所面临的安全漏洞,其开放性的特点也为其带来了更多的安全隐患。 有线网络利用双绞线作为传输媒介,其传输信号的边界可控。而WLAN利用2.4GHz或5.8GHz的电磁信号以空气作为传输媒介,其传输信号的边界难以约束和控制。在WLAN信号覆盖范围内,任何人只需借助一台简单的接收设备就可监听到无线信道上的传输内容,未授权用户可以轻易的截获数据,而这种监听行为很难被察觉。同时恶意攻击者可以对截获数据进行处理,通过篡改原始数据、伪装合法身份等技术手段,对网络进行攻击。 无线局域网技术在我国发展迅速,我国移动通信运营商已在一些区域提供了 WLAN接入服务,其单个接入点(Access Point,简称AP)的服务范围可以达到几公里,而一些党、政、军等重要部门、部位就位于其服务范围内。虽然目前我国已有相关规定禁止在重要部门、部位搭建和使用无线局域网,但一方面很难仅仅通过管理规定达到安全防范的目的,一些泄密事件并非是当事人故意造成的;另一方面对于已位于WLAN公共服务范围内的重要部门、部位,其内部人员可仅通过一个便携上网设备,如手机等,就可以登录互联网,有意或无意的将敏感信息传播出去,这将给我国国家安全带来极大安全隐患。因此,通过技术手段对重要部门、部位内部的无线局域网通信进行阻断是重要而且迫切的需求。 根据国内外文献资料,有很多方法都可以大幅度降低WLAN吞吐量,提高丢包率,甚至可以完全阻断WLAN通信,这些方法可以分为两种类型:一种是噪声干扰,一种是信令干扰。 噪声干扰法是通过在WLAN通信频段发射干扰信号,如伪随机序列噪声信号等,降低通信信道的信噪比,使非授权通信方无法正确解码,最终达到阻断非授权通信方通信的目的。 信令干扰法是在WLAN通信信道上发射满足802.11系列协议的特殊信号,对信道中传输的帧进行攻击或欺骗通信双方,达到阻断非授权通信方通信的效果。目前市面上使用信令干扰法的产品大都是采用发射去认证或去关联帧的方法。阻断设备仿冒AP向终端(Stat1n,简称STA)发射去认证/去关联帧,去认证/去关联帧在802.11协议中属于管理帧,会被接收方无条件接受,因此STA在接收到去认证/去关联帧后,会认为AP已与其断开认证/关联,然后会尝试重新与AP进行认证/关联。由于阻断设备会不断发射去认证/去关联帧,发射间隔远小于认证/关联所需时间,因此STA会维持在重认证/关联的状态,使非授权通信方无法进行通信。同时阻断设备也可以仿冒STA向AP发射去认证/去关联帧,同样可以达到阻断非授权通信方通信的效果。 现有的WLAN阻断设备很多仍采用噪声干扰的阻断方法,即在WLAN通信频段内,发射大功率的干扰信号,使接收设备的信噪比降低,出现大面积丢包,以至于无法正常通信。 干扰信号可以是窄带信号,也可以是宽带信号。使用窄带信号干扰时,需要控制窄带信号快速在WLAN通信频段内扫频,在一段时间内完全扫过目标频段,实现干扰全部目标频段的效果。使用宽带信号干扰时,若干扰信号带宽未完全占满WLAN通信频段,需要多个宽带干扰信号同时工作,或者用一个宽带干扰信号做快速扫频,达到干扰全部频段的目的。 噪声干扰的方法技术门槛相对较低,实现比较容易,另外设备制作成本较低,在其他很多通信领域也得到广泛应用,如GSM等。 随着现代通信技术的发展,模拟调制技术逐渐被数字调制技术取代,另外各种扩频技术也广泛采用,使得通信设备可以在较低信噪比的环境中进行通信。 噪声干扰的方法本质上就是降低通信信号的信噪比,使非授权通信方无法从信道中正确解码,造成通信中断。因此,在调制技术发展的同时,噪声干扰方法的效果大打折扣。 802.11族协议中,常用的四种模式802.lla/b/g/n,都采用了数字调制技术,以及扩频通信技术。由于802.llg/n模式传输速率较高,因此目前大部分AP通常会默认采用802.llg/n模式,而这两种工作模式都采用OFDM调制方式。OFDM采用直接序列扩频技术,该技术可在调制解调后大幅度提高信噪比,降低丢包率。若采用噪声干扰的方式对工作在802.llg/n模式下的设备进行阻断,需要较高的发射功率才能达到有效阻断的效果,阻断效果较低,并可能会对周围电磁环境产生一定影响。 按照802.11协议中的规定,终端(STA)在与接入点(AP)进行正常数据通信前,需要首先接入AP。在接入过程中,STA发起请求首先与AP认证,认证成功后再与AP进行关联,关联通过后STA和AP就可以进行通信。在需要停止通信时,与接入过程相反,首先断开关联服务,然后断开认证服务。这时如果STA要与AP通信,需要重新开始接入过程。 发送去关联/去认证帧的信令干扰法利用802.11协议族中的管理帧:去关联帧(Disassociat1n Frame)和去认证巾贞(Deauthenticat1n Frame)。去关联服务既可以由STA发起,也可以由AP发起。它并不是一个服务请求,而是一个通知。按照协议规定去关联服务不能被已关联的双方拒绝,应被无条件执行。去认证服务与去关联服务类似,它也不是请求而是通知,并不能被通信双方拒绝。由于在接入过程中认证服务要先于关联服务,因此当AP发送去认证帧给已关联的STA时,STA的关联服务也将终止。去关联服务通过发送去关联帧实现,去认证服务通过发送去认证帧实现。 发送去关联/去认证帧的信令干扰法有很多特色和优点。第一,发送去关联/去认证帧的信令干扰法利用了 802.11协议中的特定帧,其阻断效果与网卡性能有关,只要网卡能够正确解析出阻断设备发出的去关联/去认证帧,就能够起到通信阻断的效果。因此,这种方法比噪声干扰法阻断效率高,可用较小的发射功率达到较大范围内通信阻断的效果。第二,这种方法可以单独对某一个AP或某一个STA实行通信阻断,达到细粒度的通信管控。第三,这种方法虽然是仿冒AP或STA发送去关联/去认证帧,但它不需要对网卡硬件和网卡驱动进行修改,只需要在应用层编程就可实现功能,实现比较简便。 发送去关联/去认证帧的阻断方法,需要对每一个待阻断AP或STA单独发送去关联/去认证帧,在待阻断的AP或STA不止一个时,需要循环发送各帧。通常发送去关联/去认证帧的阻断方式并不会修改网卡驱动,因此阻断设备在发送去关联/去认证帧时仍然要遵守CSMA/CA机制,即发送帧前要首先监听信道,只有在信道空闲时才发送,此时发送还需要受到退避时间的限制。如果待阻断的设备比较多,在循环发送帧时,循环周期会很长,使待阻断设备在中断关联/认证后,有足够的时间重新连接,进而可以进行短时间正常通信,通信阻断效果大打折扣。
技术实现思路
针对可能由WLAN引起的重点单位或地区的信息安全问题,本专利技术提出,从而避免非授权通信方进行信息的窃取或相关工作人员失误导致本文档来自技高网...
【技术保护点】
一种无线局域网的通信管控方法,其步骤为:1)修改阻断设备的网卡驱动,使阻断设备能够以不大于短帧间间隔SIFS发送阻断帧;2)阻断设备扫描周围的无线局域网环境,获取在待阻断信道工作的接入点AP和终端STA的MAC地址;3)阻断设备针对每一信道建立一包含该信道所有待阻断接入点AP和终端STA的MAC地址的信道MAC地址列表;4)对于每一待阻断信道,阻断设备将该信道的信道MAC地址列表中的MAC地址填充至阻断帧的目标地址域后发出。
【技术特征摘要】
1.一种无线局域网的通信管控方法,其步骤为: 1)修改阻断设备的网卡驱动,使阻断设备能够以不大于短帧间间隔SIFS发送阻断帧; 2)阻断设备扫描周围的无线局域网环境,获取在待阻断信道工作的接入点AP和终端STA的MAC地址; 3)阻断设备针对每一信道建立一包含该信道所有待阻断接入点AP和终端STA的MAC地址的信道MAC地址列表; 4)对于每一待阻断信道,阻断设备将该信道的信道MAC地址列表中的MAC地址填充至阻断帧的目标地址域后发出。2.如权利要求1所述的方法,其特征在于修改所述阻断设备的网卡驱动的方法为:修改网卡驱动的空闲信道评估CCA阈值,使阻断设备进行信道状态判断时,认为无线介质始终处于空闲状态;并且减小竞争窗口 CW的取值。3.如权利要求2所述的方法,其特征在于将所述空闲信道评估CCA阈值修改为远大于正常通信时网卡收到信号的能量值;将竞...
【专利技术属性】
技术研发人员:朱海涛,朱大立,祁峰,冯维淼,范伟,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。