防攻擊的無線控制系統的製作方法

2023-12-04 12:08:16

專利名稱：防攻擊的無線控制系統的製作方法
技術領域：
本發明涉及無線區域網(WLAN)領域，更具體地說，涉及一種WLAN中基於瘦無線接 入點(AP)架構的防攻擊無線控制系統。
背景技術：
無線接入點(AP，ACCeSS Point)也稱無線網橋、無線網關。所謂「瘦」AP的傳輸機 制相當於有線網絡中的集線器，在無線區域網中不停地接收和傳送數據，任何一臺裝有無 線網卡的PC均可通過AP來分享有線區域網路甚至廣域網絡的資源。理論上，當網絡中增加 一個無線AP之後，即可成倍地擴展網絡覆蓋直徑，還可使網絡中容納更多的網絡設備。每 個無線AP基本上都擁有一個乙太網接口，用於實現無線與有線的連接。所謂「胖」 AP與純 AP不同，除無線接入功能外，一般還具備WAN、LAN兩個接口，大多數胖AP還支持DHCP服務 器、DNS和MAC地址克隆、VPN接入、防火牆等安全功能。WLAN的產品架構已經從單一自治的AP(胖AP)演進到由無線控制器(AC)和AP(瘦 AP)共同構成的集中控制體系。這種演進的目的是將訪問控制將訪問控制，包括鑑別、保密 通信、移動管理、射頻管理等從單一 AP上分離，由AC加以集中控制。CAPWAP 協議是 Internet 工程任務組(IETF，Internet Engineering Task Force) 提出的一種WLAN集中控制體系結構框架協議，該協議使AC能夠集中控制AP，並且能夠對 AP的信道/功率/漫遊/安全策略等進行統一控制管理。這種架構的特點是成本低，管理 簡單，網絡安全性高。在現有的採用CAPWAP協議的基於瘦AP架構的WLAN中，AC對capwap發現請求 (capwap discovery request)報文進行限速處理，在固定時間內只處理固定個數的capwap 發現請求報文，確保不會由於處理大量的capwap發現請求而加大AC性能壓力，影響其它業 務模塊正常運行。但是這種架構的WLAN無法抵禦發現請求DOS攻擊。例如，惡意攻擊者可向AC發 送大量capwap發現請求。AC必須一一處理每條發現請求，從而導致AC無法正常處理來自 AP的發現請求，造成AC的性能惡化直至無法工作。

發明內容
本發明的示例性實施例克服了上述的缺點和其他上面沒有描述的缺點。同樣地， 本發明無需克服上述缺點，而且本發明的示例性實施例可以不克服上述的任何問題。根據本發明的一方面，提供了一種用於瘦AP架構的防攻擊無線控制器，包括協 議處理單元，與無線接入點AP按照預定協議進行通信；防攻擊單元，通過口令機制來驗證 AP的註冊請求的合法性，更新防攻擊表，並將合法的AP的註冊請求上送給協議處理單元， 其中，所述防攻擊表中記錄了 AP的IP位址、為AP分配的口令以及AP的認證狀態。根據本發明的一方面，還提供了一種用於瘦AP架構的 防攻擊無線控制系統，包 括DHCP伺服器，為AP分配IP位址，在為AP分配IP位址後將AP的信息通知給與AP對應的無線控制器，通知AP向無線控制器發送註冊請求；無線控制器，包括協議處理單元，與 無線接入點AP按照預定協議進行通信；防攻擊單元，通過口令機制來驗證AP的註冊請求 的合法性，更新用於記錄AP合法性狀態的防攻擊表，並將合法的AP的註冊請求上送給協議 處理單元，其中，所述防攻擊表中記錄了 AP的IP位址、為AP分配的口令以及AP的認證狀 態，防攻擊單元根據註冊請求的口令和認證狀態來驗證註冊請求是否合法；硬體ACL單元， 從DHCP伺服器獲得由DHCP伺服器分配了 IP位址的AP的信息，並僅允許將該AP所發起的 註冊請求上送給防攻擊單元。根據本發明的另一方面，還提供了一種防攻擊的無線控制系統，包括DHCP服務 器，為無線接入點AP分配IP位址，將在為AP分配IP位址後將AP的信息通知給與AP對 應的第一無線控制器，通知AP向所述對應的第一無線控制器發送註冊請求；第二無線控制 器，用於與通過第一無線控制器驗證的AP按照預定協議進行通信；第一無線控制器，包括 防攻擊單元，通過口令機制來驗證AP的註冊請求的合法性，更新用於記錄AP合法性狀態的 防攻擊表，並將合法的AP的註冊請求上送給第二無線控制器，其中，所述防攻擊表中記錄 了 AP的IP位址、為AP分配的口令以及AP的認證狀態；硬體ACL單元，從DHCP伺服器獲得 由DHCP伺服器分配了 IP位址的AP的信息，並僅允許將該AP所發起的註冊請求上送給防 攻擊單元。根據本發明的另一方面，還提供了一種防攻擊的無線控制系統，包括第二無線控 制器，用於與通過第一無線控制器驗證的AP按照預定協議進行通信；第一無線控制器，包 括防攻擊單元，通過口令機制來驗證無線接入點AP的註冊請求的合法性，更新用於記錄 AP合法性狀態的防攻擊表，並將合法的AP的註冊請求發送給第二無線控制器，其中，所述 防攻擊表中記錄了 AP的IP位址、為AP分配的口令以及AP的認證狀態。


通過下面結合附圖對實施例的詳細描述，本發明的上述和/或其他方面將會變得 清楚和更容易理解，其中圖1是示出根據本發明實施例的無線控制器(AC)的結構模型的示意圖。圖2是根據本發明實施例的無線控制器的結構模型的另一示意圖。圖3示出的是根據本發明實施例的基於路由器架構的防攻擊系統及其操作步驟 的示意圖。圖4示出的是根據本發明實施例的基於交換機的防攻擊系統及其操作步驟的示 意圖。圖5是示出根據本發明實施例的基於交換機的集群模型的防攻擊系統及其操作 的示意圖。圖6是示出根據本發明實施例的基於路由器的集群模型的防攻擊系統及其操作 的示意圖。
具體實施例方式下面將參照附圖詳細描述根據本發明實施例的基於瘦AP架構的防攻擊方法。在 整個附圖中，相同的標號用於表示相同或相似的部分。為了清楚和簡明，會省略已知功能和結構的詳細描述以避免使得本發明的主題模糊。圖1是示出根據本發明實施例的無線控制器(AC)的結構模型的示意圖。根據本 發明的AC —般可基於交換機或者路由器架構。如圖1所示，基於交換機架構的AC的結構 從上至下包括五層應用層、OS協議棧層、驅動層、收包中斷層和交換晶片層。報文從最底 層逐層上報。如果是嵌入式系統，則應用層可融入OS協議棧中。基於路由器架構的AC相 對於基於交換機架構只是少了最底層的交換晶片。對於特定的協議處理，AC的結構可以簡化為如圖2所示的結構示意圖。如圖2所 示，基於交換機架構的AC包括協議處理單元、協議防攻擊單元和硬體訪問控制列表(ACL) 單元。其中，硬體ACL單元的功能由交換晶片完成。協議防攻擊單元在收包中斷層中實現。 協議處理單元(以下簡稱為防攻擊單元)在應用層或OS協議棧層中實現。相對於基於交 換機架構的AC，基於路由器架構的AC可以不包括硬體ACL單元。在本發明中，WLAN的組網 形式可包括兩種模型單機模型和集群模型。每一種模型都可包括基於交換機的架構和基 於路由器的架構。下面將分別介紹基於交換機和路由器的單機模型的防攻擊系統以及基於 交換機和路由器的集群模型的防攻擊系統。圖3示出的是根據本發明實施例的基於路由器架構的防攻擊系統及其操作步驟的示意圖。圖3的防攻擊系統包括AP和AC。在以下說明中，AP與AC之間採用CAPWAP協 議進行通信。應理解，雖然本發明以CAPWAP協議作為示例進行描述，但是本領域的技術人 員應理解本發明可應用於使用其他無線通信協議進行通信的AP和AC架構。如圖3所示，根據本發明實施例的AC包括協議處理單元和防攻擊單元。其中，協 議處理單元用於按照預定的CAPWAP協議處理與AP交換的通信數據。防攻擊單元通過口令 (challenge)機制來驗證AP的合法性，更新用於記錄AP合法性狀態的防攻擊表，並將合法 的AP的通信請求上送給協議處理單元。也就是說，僅當AP的通信請求通過了防攻擊單元 的驗證之後，才將註冊請求上送給協議處理單元並按照協議進行處理。下面將詳細介紹根 據本發明實施例的基於路由器架構的防攻擊系統的操作。首先，在步驟110，AP向AC發起用於註冊的capwap發現請求(capwapdiscovery request)。接下來，在步驟120，AC的防攻擊單元使用口令機制來驗證該AP的capwap發現請 求的合法性，並更新防攻擊表。下面將具體地介紹根據本發明實施例的口令機制和防攻擊表。防攻擊單元上保存了一個防攻擊表(表A)，該表格初始為空，表項內容包括請求 者IP位址、請求者口令(challenge)和認證狀態。請求者IP指示向AC發送capwap發現 請求的IP位址。在本實施例中，請求者口令是AC為請求者分配的隨機數字。當然，本領域 的技術人員應理解，可以採用其他口令機制來驗證請求者的合法性。認證狀態指示請求者 的認證狀態，其值可表示未認證、認證中和已認證。表 A 防攻擊單元接收到capwap發現請求之後，檢查該請求中是否攜帶了 口令，即，是 否攜帶了隨機數。如果防攻擊單元確定capwap發現請求中沒有攜帶口令，則防攻擊單元 使用capwap發現請求的源IP位址來查找表A。如果沒有查找到與該源IP位址對應的表 項，則生成與該請求的源IP對應的表項，將其認證狀態設置為未認證，並設置一個超時時 間(例如，3秒)。防攻擊單元隨機生成一個隨機數作為口令，並在步驟130向請求者AP回 復capwap發現響應(capwap discovery response),其中，在該響應中包括該隨機數。如果 超過設置的時間之後AP沒有重新發送攜帶口令的capwap發現請求，即，該表項的認證狀態 未變為「認證中」，則防攻擊單元刪除該表項。如果防攻擊單元檢查到與請求的源IP位址相 應的表項，則執行以下操作(1)如果該表項的狀態為「未認證」或「認證中」，則根據策略，防攻擊單元可選擇 丟棄該capwap發現請求或將該請求上送給協議處理單元。由於防攻擊表中已經存在與該 源IP位址對應的表項，則證明該IP位址已經發送過請求，這個請求可能是AP超時重發的 請求，也有可能是攻擊者偽裝成AP發送的請求。因此，可根據管理員的策略選擇丟棄或者 上送該請求。(2)如果該表項的狀態是「已認證」，則防攻擊單元丟棄該capwap發現請求(此時 與該源IP位址對應的AP已經通過認證，可認為該請求是非法的)。如果防攻擊單元檢查到capwap請求攜帶了口令，則防攻擊單元使用發送請求者 的源IP查找表A。如果在防攻擊表中沒有查找到與請求者IP對應的表項，則防攻擊單元丟 棄該capwap發現請求。如果在表A中找到了與該源IP對應的表項，則防攻擊單元執行與 下表對應的操作。表 B 從上表可以看出，當表項的狀態為「未認證」時，防攻擊單元檢查口令是否匹配。如 果匹配，則進行到步驟150，防攻擊單元將capwap發現請求上送協議處理單元，修改認證狀 態為「認證中」，並設定一超時時間(例如，30秒)。若超過此超時時間之後協議處理單元沒 有通知防攻擊單元已經與AP建立了通信，即，認證狀態未變為「已認證」，則協議處理單元 通知防攻擊單元刪除此表項。如果不匹配，則丟棄capwap發現請求。而當表項的狀態不是 「未認證」時(即，處於「認證中」和「已認證」時)，防攻擊單元不檢查口令是否匹配，直接丟 棄該capwap發現請求。通過以上處理，可以抵禦攻擊者模擬AP地址進行的capwap發現請求DOS攻擊。接下來，在AP接收到攜帶口令的capwap發現響應之後，解析該響應並提取其中的 隨機數，並在步驟140重新發送攜帶的隨機數的capwap發現請求到AC。然後，防攻擊單元重複步驟120中的驗證過程，並在步驟150將通過了 口令驗證的 capwap發現請求上送到協議處理單元。AC的協議處理單元接收到capwap發現請求之後，按照capwap協議(RFC5415)與 AP進行正常的協議交互。此時，當AP進入rim (運行)狀態之後，在步驟160，AC的協議處 理單元向防攻擊單元下發指令，將防攻擊表中與AP對應的表項的認證狀態修改為已認證。最後，如果AC檢測到AP異常下線，或者AC指示AP重啟後，在步驟170，AC的協議 處理單元向防攻擊單元下發指令以刪除防攻擊表中與AP對應的表項。圖4示出的是根據本發明實施例的基於交換機的防攻擊系統及其操作步驟的示 意圖。與圖3的WLAN結構不同，圖4中的瘦AP架構的WLAN包括AP、DHCP伺服器和AC。 AC除了圖3所示的協議處理單元和防攻擊單元之外，還包括硬體ACL單元。硬體ACL單元 用於從DHCP伺服器獲得合法的AP的IP位址，並允許合法的AP發起註冊請求。DHCP服務 器可以與AC位於同一物理實體上。DHCP伺服器在其相應地址池中配置如表C所示的AC地 址映射表，其中，關鍵字為DHCP option 60信息。一般情況下，AP與AC為同一廠家，一個 廠家的AC只能管理自己廠家的AP。通過如表C所示的AC地址映射表，可保證當同一個廠 家的AP向DHCP伺服器申請地址成功之後，DHCP伺服器能夠將申請成功的消息通知同一廠家的AC。表C 在通常情況下，AC的協議處理單元向硬體ACL單元下發一條ACL，指示硬體ACL單 元丟棄capwap發現請求報文。這樣的目的在於保證AC只接收預定源地址的capwap發現 請求報文，從而可抵禦攻擊者進行源地址變化的攻擊。下面將參照圖4詳細描述根據本發 明實施例的基於交換機的防攻擊系統及其操作。首先，在步驟210，AP 將 DHCP 發現請求(DHCP discovery request)發送到 DHCP 伺服器。在該請求中攜帶了 DHCP option 60。根據RFC21329. 13規範，DHCP option 60可 以被DHCP客戶端用來做為辨識供貨商與DHCP客戶端的兼容性識別。DHCP伺服器收到DHCP發現請求後，在步驟215，DHCP伺服器向AP回復DHCP要約 (DHCP offer)。在收到DHCP要約之後，在步驟220，AP向DHCP伺服器發送DHCPrequest請求以請 求DHCP伺服器為其分配IP位址，在該請求中攜帶了 DHCPoption 60，此處的DHCP option 60的內容與步驟210中的DHCP發現請求攜帶的DHCP option 60的內容一致。DHCP伺服器收到DHCP request後，解析出DHCP option 60中的信息，使用DHCP option 60的信息查找AC地址映射表。如果查到與DHCP option 60對應的AC地址列表，則 將該AC地址列表以私有格式封裝到DHCP option 43中，為AP分配IP位址(記為AP-IP)， 在步驟225向AP回應DHCP ACK並在下一步進入步驟230 ；如果未查到，則只分配IP位址 而不攜帶DHCP option43，並在步驟225回應DHCP ACK,下一步進入步驟240。在步驟230，DHCP伺服器向AC地址列表中每個AC都發送AP申請地址成功的通 知，通知內容包括AP的MAC地址和IP位址。本發明不對通知使用的方式進行具體限定。例 如，如果DHCP伺服器與AC在一個物理實體上，通知方式可以是函數調用、進程間通信等方 式；如果二者在不同的物理實體上，通知方式可以是遠過程調用(RPC)、自定義協議等。在步驟235，AC的協議處理單元收到DHCP伺服器的通知後，向硬體ACL單元下發 一條ACL，允許接收源地址為AP-IP的capwap發現請求報文。在步驟240，AP向AC發起capwap發現請求。注意，AP可以通過解析步驟225中 的DHCP option 43得到AC地址，也可以通過其它方式得到AC地址，這裡不做限定。在步 驟245，硬體ACL單元檢查capwap發現請求，如果該發現請求的IP位址和MAC地址與步驟 230中DHCP通知的IP位址和MAC地址匹配，則將該capwap發現請求上送到防攻擊單元。通過以上處理，AC從DHCP獲取了合法AP的IP位址，可以允許AP發起註冊請求。即，只接收這個AP的capwap發現請求，其它源地址的capwap發現請求報文均被丟棄，從而可以抵禦攻擊者進行源地址變化的capwap發現請求DOS攻擊。接下來，防攻擊單元按照與圖3類似的處理對AP進行進一步驗證。防攻擊單元通 過與AP執行口令機制來驗證AP的合法性，僅將通過驗證的AP的capwap發現請求上送給 協議處理單元，並根據無線接入點的驗證結果來更新防攻擊表。與圖3不同的是，每次的 capwap發現請求還必須通過硬體ACL單元的檢查。具體地，在步驟250，防攻擊單元根據AP的認證狀態和capwap發現請求攜帶的口 令是否與防攻擊表中的口令匹配來確定是否丟棄capwap發現請求，並更新防攻擊表。如果 capwap請求中沒有攜帶口令，則在步驟255，防攻擊單元根據防攻擊表中是否存在與該請 求的源IP位址對應的表項以及表項的認證狀態來確定是否丟棄該請求，或者向請求者AP 回復包含了分配的口令的capwap發現響應。然後，在步驟260，AP接收到攜帶口令的capwap發現響應之後，解析該響應並提取 其中的口令，並將攜帶的口令的capwap發現請求重新發送到AC。然後，在步驟265，硬體ACL單元再次檢查capwap發現請求，將capwap發現請求上 送到防攻擊單元。在步驟270，防攻擊單元重複步驟250以將通過驗證的capwap發現請求上送給協 議處理單元。AC的協議處理單元接收到capwap發現請求之後，按照capwap協議(RFC5415)與 AP進行正常的協議交互。隨後的處理步驟275、280與圖3的實施例中的步驟160、170相 同，因此將不再進行描述。下面將參照圖5和圖6描述根據本發明實施例的集群模型的防攻擊系統及其操作 過程。其中，圖5是示出根據本發明實施例的基於交換機的集群模型的防攻擊系統及其操 作的示意圖，圖6是示出根據本發明實施例的基於路由器的集群模型的防攻擊系統及其操 作的示意圖。如圖5所示，根據本發明實施例的集群模型的AC設備包括兩種類型，一種是防攻 擊AC，另一種是普通AC。防攻擊AC包括防攻擊單元和硬體ACL單元。通常，一個防攻擊AC 可以與多個普通AC對應。也就是說，將多個AC的防攻擊功能集中於一個AC上，從而使得 WLAN的組網成本降低。防攻擊AC僅使通過驗證的AP的capwap發現請求發送到普通AC。 普通AC被初始設置為不允許任何AP接入。在圖5中僅示出了一個普通AC。但是本領域的 技術人員應理解，防攻擊AC可以與多個普通AC協調工作。首先，在步驟310-325，AP與DHCP伺服器執行與圖4的步驟210-225相同的操作。 與圖4中的單機模型不同的是，在本實施例中，DHCP伺服器中的AC地址映射表保存的是防 攻擊AC的地址列表而不是普通AC的地址列表。在步驟310，AP將DHCP發現請求發送到DHCP伺服器。在該請求中攜帶了 DHCP option 60。在步驟315，DHCP伺服器向AP回復DHCP要約。在收到DHCP要約之後，在步驟 320，AP向DHCP伺服器發送DHCP request請求以請求DHCP伺服器為其分配IP位址，在該 請求中攜帶了與步驟310相同的DHCP option 60。DHCP伺服器收到DHCP request後，解析出DHCP option 60中的信息，使用DHCP option 60的信息查找AC地址映射表。如果查到與DHCP option 60對應的AC地址列表，則將該AC地址列表以私有格式封裝到DHCP option 43中，為AP分配IP位址(記為AP-IP)， 在步驟320向AP回應DHCP ACK並在下一步進入步驟325 ；如果未查到，則只分配IP位址 而不攜帶DHCP option43，並在步驟320回應DHCPACK，而下一步AP執行步驟340。在步驟330，DHCP伺服器向防攻擊AC發送AP申請地址成功的通知，在該通知中包 括 AP的IP位址和MAC地址等信息。在步驟335，防攻擊AC向其防攻擊單元下發一條ACL，允許接收源地址為與DHCP 伺服器通知的IP位址對應的AP的capwap發現請求報文。接下來，在步驟340，AP向防攻擊AC發起capwap發現請求。在步驟345，防攻擊AC的硬體ACL單元檢查capwap發現請求，如果該發現請求的 IP位址和MAC地址與步驟330中DHCP通知的IP位址和MAC地址匹配，則將該capwap發現 請求上送到防攻擊單元。防攻擊單元接收到capwap發現請求之後，防攻擊單元使用chanlIenge機 制來驗 證AP的合法性，將合法的AP通知給普通AC，並更新防攻擊表。具體地，在步驟350，防攻擊單元接收到capwap發現請求之後，執行與下表D對應 的動作。表D 首先，防攻擊單元確定該請求是否攜帶了口令。如果沒有攜帶口令，則防攻擊單元 根據防攻擊表中是否存在與該請求的源IP位址對應的表項以及表項的認證狀態來確定是 否丟棄該請求，或者在步驟355向請求者AP回復包含了分配的口令的capwap發現響應。如果攜帶了口令，則防攻擊單元使用該請求的源IP位址查找防攻擊表。如果沒有 在防攻擊表中找到該IP位址，則丟棄該capwap發現請求。如果在防攻擊表中找到了該IP位址的表項並且該表項的認證狀態是「未認證」， 則確定口令是否匹配；如果匹配，則防攻擊單元向該IP位址的AP回復capwap發現響應，通 知AP重新向普通AC註冊，將認證狀態修改為「認證中」，並設置超時時間，如果超過此超時 時間認證狀態仍未變為「已認證」，則從防攻擊表中刪除該AP的表項，通知普通AC禁止該AP 接入；如果不匹配，則丟棄capwap發現請求。可通過capwap消息元素或者私有消息元素來 通知AP，從而AP在接收到該響應之後向普通AC重新發起註冊請求。接下來，在步驟360，AP接收到攜帶口令的capwap發現響應之後，解析該響應並提 取其中的口令，並將攜帶的口令的capwap發現請求重新發送到防攻擊AC。然後，在步驟365，硬體ACL單元檢查capwap發現請求，將capwap發現請求上送 到防攻擊單元。防攻擊單元重複步驟350來驗證AP的合法性，並在步驟370將通過驗證的 capwap發現請求發送給普通AC並通知AP重新向普通AC註冊。普通AC接收到capwap發現請求之後，在步驟375與AP完成註冊過程。接下來， 在步驟380，普通AC和AP按照capwap協議(RFC5415)進行正常的協議交互。隨後，當AP進入運行狀態之後，在步驟385，普通AC向防攻擊AC下發指令將防攻 擊表中與AP對應的表項的認證狀態值修改為已認證。 最後，如果AC檢測到AP異常下線，或者AC指示AP重啟後，在步驟390，普通AC向 防攻擊AC下發指令以刪除防攻擊表中與AP對應的表項。 圖6示出的是根據本發明實施例的根據本發明實施例的基於路由器的集群模型 的防攻擊系統及其操作。與圖3中示出的單機模型不同，根據本發明實施例的基於路由器 的集群模型的防攻擊系統中的AC包括防攻擊AC和普通AC。防攻擊AC中包括防攻擊單元， 其執行與圖3中的防攻擊單元類似的操作，不同的是，該防攻擊單元將通過驗證的capwap 發現請求發送給普通AC中的協議處理單元。普通AC初始被設置為不允許任何AP接入。
在步驟410，AP向防攻擊AC發送capwap發現請求。
接下來，在步驟415，防攻擊AC使用口令機制來驗證該AP的capwap發現請求的合 法性，並更新防攻擊表。防攻擊AC接收到capwap發現請求之後，檢查該請求中是否攜帶了 口令，即，是否 攜帶了隨機數。如果防攻擊AC確定capwap發現請求中沒有攜帶口令，則防攻擊AC根據防 攻擊表中是否存在與該請求的源IP位址對應的表項以及表項的認證狀態來確定是否丟棄 該請求，或者向請求者AP回復包含了分配的口令的capwap發現響應。如果超過設置的時 間之後AP沒有重新發送攜帶口令的capwap發現請求，即，該表項的認證狀態未變為「認證 中」，則防攻擊單元刪除該表項。如果請求攜帶了口令，則防攻擊AC使用發送請求者的源IP查找表A。如果在防攻 擊表中沒有查找到與請求者IP對應的表項，則防攻擊AC丟棄該capwap發現請求。如果在 表A中找到了與該源IP對應的表項，則防攻擊AC執行與表D對應的操作當表項的狀態為「未認證」時，防攻擊AC檢查口令是否匹配。如果匹配，則防攻擊 AC向該IP位址的AP回復capwap發現響應，通知AP重新向普通AC註冊，將認證狀態修改 為「認證中」，並設置超時時間，如果超過此超時時間認證狀態仍未變為「已認證」，則從防攻 擊表中刪除該AP的表項，通知普通AC禁止該AP接入；如果不匹配，則丟棄capwap發現請 求。當表項的狀態不是「未認證」時(即，處於「認證中」和「已認證」時)，防攻擊單元
不檢查口令是否匹配，直接丟棄該capwap發現請求。在AP接收到攜帶口令的capwap發現響應之後，解析該響應並提取其中的隨機數， 並在步驟430重新發送攜帶的隨機數的capwap發現請求到AC。然後，防攻擊AC重複步驟415中的驗證過程，在步驟440將通過了 口令驗證的AP 的信息通知給普通AC。 接下來，在步驟450，AP向普通AC重新發起註冊請求，完成註冊過程。在步驟460， AP與普通AC按照capwap協議進行正常的協議交互。當AP進入運行狀態之後，在步驟470， 普通AC向防攻擊AC下發指令將防攻擊表中與AP對應的表項的認證狀態值修改為已認證。 最後，如果AC檢測到AP異常下線，或者AC指示AP重啟後，在步驟480，普通AC向防攻擊 AC下發指令以刪除防攻擊表中與AP對應的表項。 雖然已經參照本發明的若干示例性實施例示出和描述了本發明，但是本領域的技 術人員將理解，在不脫離權利要求及其等同物限定的本發明的精神和範圍的情況下，可以 在形式和細節上做出各種改變。
權利要求
一種防攻擊的無線控制器，包括協議處理單元，與無線接入點AP按照預定協議進行通信；防攻擊單元，通過口令機制來驗證AP的註冊請求的合法性，更新防攻擊表，並將合法的AP的註冊請求上送給協議處理單元，其中，所述防攻擊表中記錄了AP的IP位址、為AP分配的口令以及AP的認證狀態。
2.如權利要求1所述的無線控制器，其中，所述口令是由防攻擊單元生成的隨機數。
3.如權利要求1所述的無線控制器，其中，AP的認證狀態包括未認證、認證中和已認 證，防攻擊單元僅對攜帶了 口令並且處於未認證狀態的註冊請求進行驗證。
4.如權利要求3所述的無線控制器，其中，如果AP的註冊請求中沒有攜帶口令並且防 攻擊表中不存在與該AP對應的表項，則防攻擊單元為該AP分配口令，並將包含該口令的響 應發送回到AP以通知AP重新發送註冊請求。
5.如權利要求4所述的無線控制器，其中，如果防攻擊單元在發送了所述響應的預定 時間之後沒有接收到AP重新發送的註冊請求，則防攻擊單元從防攻擊表中刪除與該AP相 關的表項。
6.如權利要求1所述的無線控制器，其中，在AP的註冊請求被上送給協議處理單元之 後，防攻擊單元將AP的認證狀態修改為認證中，如果在預定時間之後該AP的認證狀態未改 變為已認證，則防攻擊單元刪除防攻擊表中與該AP對應的表項。
7.如權利要求6所述的無線控制器，其中，在AP與無線控制器建立通信之後，如果無線 控制器檢測到AP異常下線，或者無線控制器指示AP重啟後，協議處理單元向防攻擊單元下 發指令以刪除防攻擊表中與AP對應的表項。
8.如權利要求1所述的無線控制器，還包括硬體ACL單元，從DHCP伺服器獲得由DHCP伺服器分配了 IP位址的AP的信息，並僅允 許將該AP所發起的註冊請求上送給防攻擊單元。
9.一種防攻擊的無線控制系統，包括DHCP伺服器，為AP分配IP位址，在為AP分配IP位址後將AP的信息通知給與AP對應 的無線控制器，通知AP向無線控制器發送註冊請求；無線控制器，包括協議處理單元，與無線接入點AP按照預定協議進行通信；防攻擊單元，通過口令機制來驗證AP的註冊請求的合法性，更新用於記錄AP合法性狀 態的防攻擊表，並將合法的AP的註冊請求上送給協議處理單元，其中，所述防攻擊表中記 錄了 AP的IP位址、為AP分配的口令以及AP的認證狀態；硬體ACL單元，從DHCP伺服器獲得由DHCP伺服器分配了 IP位址的AP的信息，並僅允 許將該AP所發起的註冊請求上送給防攻擊單元。
10.如權利要求9所述的無線控制系統，其中，DHCP伺服器通過AP攜帶的option60 消息查找與AP對應的無線控制器的地址列表。
11.一種防攻擊的無線控制系統，包括DHCP伺服器，為無線接入點AP分配IP位址，將在為AP分配IP位址後將AP的信息通 知給與AP對應的第一無線控制器，通知AP向所述對應的第一無線控制器發送註冊請求；第一無線控制器，包括防攻擊單元，通過口令機制來驗證AP的註冊請求的合法性，更新用於記錄AP合法性狀 態的防攻擊表，並將合法的AP的註冊請求上送給第二無線控制器，其中，所述防攻擊表中 記錄了 AP的IP位址、為AP分配的口令以及AP的認證狀態；硬體ACL單元，從DHCP伺服器獲得由DHCP伺服器分配了 IP位址的AP的信息，並僅允許將該AP所發起的註冊請求上送給防攻擊單元；第二無線控制器，用於與通過第一無線控制器驗證的AP按照預定協議進行通信。
12.如權利要求11所述的無線控制系統，其中，DHCP伺服器通過AP攜帶的option60 消息查找與AP對應的第一無線控制器的地址列表，獲取與AP對應的第一無線控制器的地 址。
13.一種防攻擊的無線控制系統，包括 第一無線控制器，包括防攻擊單元，通過口令機制來驗證無線接入點AP的註冊請求的合法性，更新用於記錄 AP合法性狀態的防攻擊表，並將合法的AP的註冊請求發送給第二無線控制器，其中，所述 防攻擊表中記錄了 AP的IP位址、為AP分配的口令以及AP的認證狀態；第二無線控制器，用於與通過第一無線控制器驗證的AP按照預定協議進行通信。
14.如權利要求13所述的無線控制系統，其中，DHCP伺服器通過AP攜帶的option60 消息查找與AP對應的第一無線控制器的地址列表，獲取與AP對應的第一無線控制器的地 址。
全文摘要
提供了一種防攻擊的無線控制系統，包括DHCP伺服器，為AP分配IP位址，在為AP分配IP位址後將AP的信息通知給與AP對應的無線控制器，通知AP向無線控制器發送註冊請求；無線控制器，通過口令機制來驗證AP的註冊請求的合法性，更新用於記錄AP合法性狀態的防攻擊表，並將合法的AP的註冊請求上送給協議處理單元；硬體ACL單元，從DHCP伺服器獲得由DHCP伺服器分配了IP位址的AP的信息，並僅允許將該AP所發起的註冊請求上送給防攻擊單元。
文檔編號H04L29/12GK101841813SQ20101014074
公開日2010年9月22日 申請日期2010年4月7日 優先權日2010年4月7日
發明者劉靖非, 範成龍 申請人:北京傲天動聯技術有限公司