一种非法无线接入点的反制方法与流程

本发明涉及通信领域中非法接入点反制技术，具体涉及一种非法无线接入点的反制方法。

背景技术

一个WLAN(无线局域网)中通常包含若干AP(无线接入点)设备和无线终端设备，其中，无线终端设备通过搜索AP释放的无线信号来识别WLAN并接入，由于这种无线信号在环境中是开放的，所以存在非法AP设备能冒充其他AP的无线信号诱导终端设备接入以进行网络攻击，进而造成网络安全隐患。

目前市面上一些AP设备支持对这种非法AP设备进行扫描检测并对其反制的功能，用于阻止或减缓非法AP设备对WLAN的破坏。关于AP设备上扫描和反制功能的实现，目前比较多的是支持用户在某个频段配置信道集，AP设备只在信道集范围内进行扫描和反制工作。开启功能后AP设备会在每个扫描周期在信道集中选择一个信道，调用无线驱动扫描周围的无线环境并收集数据，在扫描结果的基础上识别非法AP设备并对其进行反制。AP设备在每个扫描周期选择一个目标信道的过程需要一种规划方法，目前常见的一种规划方案是采用轮询的方式，即，按顺序逐个取信道集中的信道进行扫描反制工作，遍历完以后再从头开始。

以图1中的配置的信道集为例，共配置了13个信道需要进行扫描和反制，按照上述规划方案，则AP在第一个扫描周期到来时，对信道1进行扫描，在第二个扫描周期到来时，对信道2进行扫描…在第十三个扫描周期到来时，对信道13进行扫描，完成一轮遍历扫描，然后在第十四个扫描周期到来时，再从信道1开始。

此方案存在的缺陷是：假如经过扫描发现只有1、6、11三个信道有无线终端设备工作，其余信道并没有无线终端，则在一轮遍历扫描中，除了信道1、6、11的其它扫描都是无效扫描，整个有效扫描时间仅仅占比23％，浪费了扫描任务资源。从长时间来看，前后扫描同一信道的间隔时间都是等于遍历一轮信道集的时长，换言之，如果信道1、6、11中某个信道存在非法AP，则对非法AP的前后反制间隔时间也是等于遍历一轮信道集的时长，造成反制频率低，反制效果会较差。

技术实现要素：

本发明所要解决的技术问题是：提出一种非法无线接入点的反制方法，解决现有技术中的扫描反制规划方案存在的有效扫描时间占比少、浪费扫描任务资源，反制效果差的问题。

本发明解决上述技术问题采用的技术方案是：

一种非法无线接入点的反制方法，应用于无线接入点设备，其包括以下步骤：

a.在无线接入点设备的工作频段上配置信道集；

b.对信道集中的信道进行一次全扫描，获取各个信道的无线环境参数；

c.根据获取的各个信道的无线环境参数识别各个信道的状态类型，所述状态类型包括静默信道和活跃信道；并统计各个活跃信道上的非法无线接入点的数量；

d.根据各个活跃信道上的非法无线接入点的数量进行下一轮扫描规划；

e.按照扫描规划对相应信道进行扫描，根据扫描结果对扫描到的非法无线接入点进行反制，并更新相应信道的无线环境参数，返回步骤c。

作为进一步优化，步骤b中，所述对信道集中的信道进行一次全扫描是指：

按照扫描周期依次逐一取出信道集中的信道进行扫描，直至信道集中的每一个信道均被扫描一次。

作为进一步优化，步骤c中，所述静默信道是指该信道不是周围无线环境中任何一个无线接入点设备发出的无线射频信号的主信道；所述活跃信道是指该信道至少是周围无线环境中某一个无线接入点设备发出的无线射频信号的主信道。

作为进一步优化，步骤d中，所述根据各个活跃信道上的非法无线接入点的数量进行下一轮扫描规划，具体包括：

d1、统计所有活跃信道中的非法无线接入点的总数量；

d2、计算各个活跃信道中的非法无线接入点的数量在总数量中的占比；

d3、按照各个活跃信道中的非法无线接入点的数量在总数量中的占比分配相应活跃信道在下一轮扫描中所占用的扫描周期的个数；

d4、根据分配的相应活跃信道在下一轮扫描中所占用的扫描周期的个数制定下一轮扫描规划。

作为进一步优化，步骤d3中，所述按照各个活跃信道中的非法无线接入点的数量在总数量中的占比分配相应活跃信道在下一轮扫描中所占用的扫描周期的个数，具体包括：

确定下一轮扫描中对所有活跃信道进行扫描的扫描周期基数；

将各个活跃信道中的非法无线接入点的数量在总量中的占比作为计算权值，将计算权值乘以所述扫描周期基数，获得相应活跃信道在下一轮扫描中所占用的扫描周期的个数。

作为进一步优化，步骤d4中，所述根据分配的相应活跃信道在下一轮扫描中所占用的扫描周期的个数制定下一轮扫描规划，具体包括：

建立下一轮扫描信道队列；

按照相应活跃信道在下一轮扫描中所占用的扫描周期个数对各活跃信道进行降序排列；

根据排列顺序依次循环逐个取出活跃信道入队至所述下一轮扫描信道队列中，直至所有活跃信道在所述下一轮扫描信道队列中的扫描周期个数等于为相应活跃信道分配的扫描周期的个数。

作为进一步优化，步骤d4还包括：在所有活跃信道按照分配的扫描周期个数入队完成后，入队一个静默信道至所述下一轮扫描信道队列中。

作为进一步优化，步骤c还包括：建立静默信道队列，将识别出来的静默信道按照信道号大小升序排列并入队到所述静默信道队列中。

作为进一步优化，所述入队一个静默信道至所述下一轮扫描信道队列中，具体包括：

从静默信道队列中取出当前信道号最小的信道入队至所述下一轮扫描信道队列中。

作为进一步优化，步骤e中，所述按照扫描规划对相应信道进行扫描，具体包括：

根据扫描周期从下一轮扫描信道队列中按照先进先出的原则依次逐个取出相应信道进行扫描。

本发明的有益效果是：

(1)在扫描过程中记录活跃信道中的非法AP设备数量，对非法AP设备数量多的活跃信道，在下一轮扫描中分配更多的扫描周期，从而提高对应信道在一轮扫描中的时间占比，以增加扫描和反制次数，提高对非法AP设备的反制效果；

(2)通过上一轮扫描获得的扫描结果制定下一轮扫描规划，并不断迭代更新，从而能够较快地适应无线环境的变化，当非法AP设备发生信道转移时也能够及时跟进并继续反制，进一步提升对非法AP设备的反制效果。

附图说明

图1为现有技术中的顺序式信道扫描规划方案示意图；

图2为本发明中的非法无线接入点的反制方法流程图；

图3为本发明中对某一无线环境的信道扫描规划示意图；

图4为本发明设计的状态机示意图；

图5为本发明中静默信道队列生成过程示意图。

具体实施方式

本发明旨在提出一种非法无线接入点的反制方法，解决现有技术中的扫描反制规划方案存在的有效扫描时间占比少、浪费扫描任务资源，反制效果差的问题。其核心思想是：通过扫描识别信道的状态以及记录信道中非法AP的数量，在制定下一轮扫描规划时，为非法AP数量多的活跃信道分配更多的扫描周期，从而提高在一轮扫描中的有效扫描时间占比，以此增加对非法AP的扫描反制次数，提高反制效果。

如图2所示，本发明中的非法无线接入点的反制方法包括以下步骤：

1、在无线接入点设备的工作频段上配置信道集：

本步骤中，用户可以在无线接入点设备的工作频段(如2.4G频段或5G频段)配置信道集，在该频段支持的所有信道中，用户可选择部分或者全部信道加入配置的信道集，信道集中的信道即为用户期望进行非法AP扫描反制的目标信道。

2、对信道集中的信道进行一次全扫描，获取各个信道的无线环境参数：

本步骤中，对信道集中的信道进行一次全扫描是指：无线接入点设备按照扫描周期依次逐一取出信道集中的信道通过调用无线驱动扫描周围的无线环境，直至信道集中的每一个信道均被扫描一次。这样可以获取到信道集中的各个信道的无线环境参数。无线环境参数包括信道质量、无线终端设备信息等。

3、根据环境参数区分静默信道和活跃信道，记录活跃信道上的非法AP数量：

本步骤中，无线接入点设备根据获取的各个信道的无线环境参数识别各个信道的状态类型，所述状态类型包括静默信道和活跃信道；并统计各个活跃信道上的非法无线接入点的数量；所述静默信道是指该信道不是周围无线环境中任何一个无线接入点设备发出的无线射频信号的主信道；所述活跃信道是指该信道至少是周围无线环境中某一个无线接入点设备发出的无线射频信号的主信道。一个信道完成扫描后能统计到该信道中作为主信道的所有AP信号数量，当数量不为0则标记为活跃信道，否则标记为静默信道。

4、根据各个活跃信道上的非法无线接入点的数量进行下一轮扫描规划：

本步骤中，为了给存在非法AP数量多的活跃信道提供更多的扫描反制时间，通过各个活跃信道上的非法AP数量的占比来分配在一轮扫描中相应数量的扫描周期。具体而言，包括：

统计所有活跃信道中的非法无线接入点的总数量；

计算各个活跃信道中的非法无线接入点的数量在总数量中的占比；

按照各个活跃信道中的非法无线接入点的数量在总数量中的占比分配相应活跃信道在下一轮扫描中所占用的扫描周期的个数；

根据分配的相应活跃信道在下一轮扫描中所占用的扫描周期的个数制定下一轮扫描规划。

例如：某无线接入点设备当前工作频段下配置的信道集中有1～13信道，经过一次全信道扫描，得知无线环境中的活跃信道为1信道、6信道、8信道和9信道，其他信道没有无线设备，为静默信道；非法AP设备数量及所在信道为：1信道4个，6信道11个，8信道20个，9信道15个。

首先，计算出所有非法AP的总数量：4 11 20 15＝50个；

然后，计算各个活跃信道上的非法AP数量占比：1信道占比4/50＝8％，6信道占比11/50＝22％，8信道占比20/50＝40％，9信道占比15/50＝30％；

接着，确定一个在下一轮中对活跃信道的扫描周期基数，如：将此扫描周期基础确定为10，则表示在下一轮中，无线接入点设备将采用10个扫描周期完成一轮活跃信道扫描。

然后，以计算出来的各个活跃信道上的非法AP数量占比作为权值，乘以下一轮中对活跃信道的扫描周期基数，即可获得为各个活跃信道分配的扫描周期数量：1信道0.8次；6信道2.2次；8信道4次，9信道3次；由于扫描周期数量为整数，可以采用向上/向下取整的方式进行处理，得到最终为各个活跃信道分配的扫描周期数量为：1信道1次，6信道2次，8信道4次，9信道3次。

最后，基于上述为各个活跃信道分配的扫描周期数量来进行下一轮扫描规划：

建立下一轮扫描信道队列；

按照相应活跃信道在下一轮扫描中所占用的扫描周期个数对各活跃信道进行降序排列；经过排列为：8信道4次、9信道3次、6信道2次、1信道1次。

根据排列顺序依次循环逐个取出活跃信道入队至所述下一轮扫描信道队列中，直至所有活跃信道在所述下一轮扫描信道队列中的扫描周期个数等于为相应活跃信道分配的扫描周期的个数：先为8信道分配一个扫描周期入队，接着为9信道分配一个扫描周期入队，接着为6信道分配一个扫描周期入队，接着为1信道分配一个扫描周期入队，接着为8信道分配一个扫描周期入队…以此类推，直至达到各个活跃信道分配的扫描周期数量。

而为了适应无线环境变化，在队列的尾部还需要入队一个静默信道，即每一轮扫描对活跃信道扫描完成后，总是扫描一个静默信道。

经过上述规划，获得的规划方案如图3所示，队列中的信道扫描周期分配如下：

{89618968982}

采用此规划方案，能够让无线接入点设备对非法AP的扫描反制所用时长占比与实际环境中非法AP设备数量和总数量的占比基本一致，活跃信道的总扫描时长占比达到90％以上。

5、按照扫描规划对相应信道进行扫描，根据扫描结果对扫描到的非法无线接入点进行反制，并更新相应信道的无线环境参数，返回步骤3。

本步骤中，按照扫描规划对相应信道进行扫描，具体包括：无线接入点根据扫描周期从下一轮扫描信道队列中按照先进先出的原则依次逐个取出相应信道进行扫描。

按照如图3所示的规划方案，则无线接入点在第一个扫描周期扫描8信道，在第二扫描周期扫描9信道，在第三个扫描周期扫描6信道，在第四个扫描周期扫描1信道，在第五个扫描周期扫描8信道，在第六个扫描周期扫描9信道，在第七个扫描周期扫描6信道…以此类推，直至完成一轮扫描。

另外，在按照扫描规划扫描信道后，根据扫描结果对相应信道的无线环境参数进行更新，再返回步骤3进入迭代过程。从而较快适应无线环境的变化，当非法AP设备发生信道转移时也能及时跟进继续反制。

在具体实施上，本发明中AP的扫描反制的具体工作流程可以通过设计状态机来实现，如图4所示，该状态机包含6种状态：

初始化状态(init状态)：主要任务是生成静默信道队列，当未全信道扫描标记状态时将信道集中所有信道加入静默信道队列，否则只把静默信道加入静默信道队列；

转换准备状态(trans状态)：主要任务是生成活跃信道队列，当未全扫描状态或者扫描到没有活跃信道时，切换到silent状态；处于全信道扫描标记状态且有活跃信道时按信道中非法AP设备数量优先的规划方法计算得出活跃信道队列；

静默信道准备状态(silent状态)：主要任务是识别静默信道队列，如果静默信道队列非空，则取队尾信道转到scan状态进行扫描，完成后信道出队；否则直接切换到init状态；

活跃信道准备状态(active状态)：主要任务是识别活跃信道队列，如果活跃信道队列非空，则取队尾信道转到counter/scan状态进行扫描和反制，完成后信道出队，同时需要更新信道状态；否则直接切换到silent状态；

静默信道扫描状态(scan状态)：主要任务是扫描silent状态传递来的静默信道，并更新信道状态，当静默信道队列为空时标记系统为全信道扫描状态，完成后直接切换到init状态；

活跃信道扫描状态(counter/scan状态)：主要任务是对active状态传递来的活跃信道进行扫描和反制，同时要更新信道状态，完成后直接切换到active状态。

上述六个状态之间的切换过程如下：

①：init状态判断静默信道队列是否为空，是则生成静默信道队列，否则不做其他处理，完成后直接切换到trans状态；

②：trans状态在系统为未全信道扫描标记状态或活跃信道队列为空即没有活跃信道时直接切换到silent状态；

③：silent状态在静默信道队列非空时取队尾信道传递到scan状态进行扫描；

④：scan状态完成信道扫描和状态更新后直接切换到init状态；

⑤：silent状态在静默信道队列为空时直接切换到init状态；

⑥：trans状态在系统为全信道扫描标记状态时且活跃信道队列非空即存在活跃信道时切换到active状态；

⑦：active状态在活跃信道队列非空时取队尾信道传递到counter/scan状态进行扫描反制；

⑧：counter/scan状态在完成扫描反制工作和信道状态更新后直接切换到active状态；

⑨：active状态在活跃信道队列为空即规划任务完成后直接切换到silent状态。

根据上述状态机设计，init状态负责在静默信道队列为空时生成静默信道队列，有两种情况静默信道队列会为空：功能初始化时和静默信道扫描完毕后。功能初始化时，系统处于未全信道扫描标记状态，init状态将用户配置的所有信道集加入静默信道队列，所有信道此时也都是静默信道状态，然后系统在未全信道扫描标记状态下状态机流转将先把所有信道扫描一遍，得到各个信道当前的状态，标记系统为全信道扫描状态，然后重新按信道状态只把静默信道进入静默信道队列；状态机流转过程中静默信道队列取完后，init状态也负责识别所有静默信道然后加入静默信道队列。静默信道队列生成的方式都是按升序入队，即按信道号从小到大进入队列，如图5所示，通过扫描后发现1～13信道中除了1、6和11三个信道有无线设备，其它信道均没有无线设备，则生成的静默信道队列为：

{2345789101213}

在活跃队列的基础上，从静默信道队列中取出当前信道号最小的信道入队至队尾，即为本发明中规划的下一轮信道扫描队列。从而保证了信道集中的每一个信道都能被扫描，且将大部分扫描时间规划给活跃信道，提高扫描的有效时间，也提高了对非法AP的反制频率，进而提高对非法AP反制的质量。