无线接入网中防止假冒用户的方法及接入点

1.一种无线接入网中防止假冒用户的方法，其特征在于，包括：
建立一个或多个虚拟接入点，其中，所述虚拟接入点具有与其相对应的基本服务集标识BSSID；
根据终端的MAC地址将所述终端连接到一个虚拟接入点，并对所述终端进行认证；
对于通过认证的合法终端，将所述合法终端的MAC地址与所述合法终端连接的虚拟接入点的BSSID进行绑定，确定所述合法终端与所述虚拟接入点的绑定关系；
根据所述绑定关系转发所述合法终端发送的数据帧，丢弃假冒终端发送的数据帧；
其中，所述根据终端的MAC地址将所述终端连接到一个虚拟接入点包括：
在所述终端需要连接到虚拟接入点时，根据所述终端的MAC地址判断是否有与所述终端的MAC地址相同的终端连接到该虚拟接入点；
在判断没有与所述终端的MAC地址相同的终端连接到该虚拟接入点的情况下，将所述终端连接到该虚拟接入点；
在判断该虚拟接入点存在与所述终端的MAC地址相同的终端的情况下，拒绝将所述终端连接到该虚拟接入点，并将所述终端连接到其他没有与所述终端的MAC地址相同的终端连接的虚拟接入点上。
2.如权利要求1所述的方法，其特征在于，所述方法还包括：
建立一张终端授权状态表，其中，所述终端授权状态表中包括：IP地址、MAC地址、BSSID、以及授权状态，所述授权状态包括：受限、已授权、以及禁止。
3.如权利要求2所述的方法，其特征在于，在所述终端断开连接时，所述方法还包括：
根据所述终端授权状态表，检查是否有与所述终端匹配的MAC地址和BSSID的条目存在，如果存在所述条目，则检查所述条目的授权状态是否为已授权；
如果所述条目的授权状态为已授权，则延迟断开连接，并设置一个预定时间，如果所述条目的授权状态不是已授权，则立即断开连接；
在所述预定时间到时后，检查所述终端是否仍然在线，如果在线，则保持连接，否则，断开连接。
4.如权利要求2所述的方法，其特征在于，所述对于通过认证的合法终端，将所述合法终端MAC地址与所述合法终端连接的虚拟接入点的BSSID进行绑定包括：
根据所述所述终端授权状态表，判断是否有与所述合法终端的MAC地址和BSSID都匹配的条目，如果有，则将该条目的授权状态修改为已授权，并保存相应的IP地址；
根据所述终端授权状态表，判断是否有与所述合法终端的MAC地址匹配，与所述合法终端的BSSID不匹配的条目，如果有，则将该条目的授权状态修改为禁止。
5.如权利要求2所述的方法，其特征在于，所述根据所述绑定关系转发所述合法终端发送的数据帧，丢弃假冒终端发送的数据帧包括：
根据所述终端授权状态表，判断是否有与所述合法终端的MAC地址与BSSID都匹配的条目，如果有，则判断所述合法终端的报文中的源IP地址与该条目中的IP地址是否匹配；
如果IP地址匹配，则判断该条目中的授权状态；
在判断所述授权状态为已授权时，则转发所述报文，在判断所述授权状态为禁止时，则丢弃所述报文，在判断所述授权状态为受限时，进一步判断所述报文中的目的IP是否在允许的地址范围内，如果在允许的地址范围内，则转发所述报文，如果不在允许的地址范围内，则丢弃所述报文。
6.一种接入点，其特征在于，包括：
第一建立模块，用于建立一个或多个虚拟接入点，其中，所述虚拟接入点具有与其相对应的基本服务集标识BSSID；
连接模块，用于根据终端的MAC地址将所述终端连接到一个虚拟接入点；
认证模块，用于对所述终端进行认证；
第二建立模块，用于对于通过认证的合法终端，将所述合法终端的MAC地址与所述合法终端连接的虚拟接入点的BSSID进行绑定，确定所述合法终端与所述虚拟接入点的绑定关系；
处理模块，用于根据所述绑定关系转发所述合法终端发送的数据帧，丢弃假冒终端发送的数据帧；
其中，所述连接模块具体包括：
第一判断子模块，用于在所述终端需要连接到虚拟接入点时，根据所述终端的MAC地址判断是否有与所述终端的MAC地址相同的终端连接到该虚拟接入点；
接入子模块，用于在所述第一判断子模块判断没有与所述终端的MAC地址相同的终端连接到该虚拟接入点的情况下，将所述终端连接到该虚拟接入点在所述第一判断子模块判断该虚拟接入点存在与所述终端的MAC地址相同的终端的情况下，拒绝将所述终端连接到该虚拟接入点，并将所述终端连接到其他没有与所述终端的MAC地址相同的终端连接的虚拟接入点上。
7.如权利要求6所述的接入点，其特征在于，所述接入点还包括：
状态表建立模块，用于建立一张终端授权状态表，其中，所述终端授权状态表中包括：
IP地址、MAC地址、BSSID、以及授权状态，所述授权状态包括：受限、已授权、以及禁止；
断开连接处理模块，用于在所述终端断开连接时，根据所述终端授权状态表，检查是否有与所述终端匹配的MAC地址和BSSID的条目存在，如果存在所述条目，则检查所述条目的授权状态是否为已授权；如果所述条目的授权状态为已授权，则延迟断开连接，并设置一个预定时间，如果所述条目的授权状态不是已授权，则立即断开连接；在所述预定时间到时后，检查所述终端是否仍然在线，如果在线，则保持连接，否则，断开连接。
8.如权利要求7所述的接入点，其特征在于，
所述第二建立模块具体用于：根据所述终端授权状态表，判断是否有与所述合法终端的MAC地址和BSSID都匹配的条目，如果有，则将该条目的授权状态修改为已授权，并保存相应的IP地址；根据所述终端授权状态表，判断是否有与所述合法终端的MAC地址匹配，与所述合法终端的BSSID不匹配的条目，如果有，则将该条目的授权状态修改为禁止；
所述处理模块具体用于：根据所述终端授权状态表，判断是否有与所述合法终端的MAC地址与BSSID都匹配的条目，如果有，则判断所述合法终端的报文中的源IP地址与该条目中的IP地址是否匹配；如果IP地址匹配，则判断该条目中的授权状态；在判断所述授权状态为已授权时，则转发所述报文，在判断所述授权状态为禁止时，则丢弃所述报文，在判断所述授权状态为受限时，进一步判断所述报文中的目的IP是否在允许的地址范围内，如果在允许的地址范围内，则转发所述报文，如果不在允许的地址范围内，则丢弃所述报文。

无线接入网中防止假冒用户的方法及接入点\n技术领域\n[0001] 本发明涉及移动通讯领域，特别是涉及一种无线接入网中防止假冒用户的方法及接入点。\n背景技术\n[0002] 目前，在网络运营商搭建的802.11无线接入网中，常用的一种认证方式是网络(Web)认证。这种方式要求接入点(Access Point，简称为AP)公告成开放系统，在用户终端上不需要输入密码就可以连接上AP，并可动态获取到IP地址。但是，此时用户终端访问网络是受限的，只能访问限定的几个地址，例如，域名系统(domain name system，简称为DNS)服务器、门户网站(WebPortal)服务器等。当用户打开浏览器，访问任何页面时，会被重向到Web Portal服务器，Web Portal服务器会向用户推送一个Web登录页面，提示用户输入用户名和密码。如果用户预先在营业厅开通过相应业务，可直接输入开通业务时申请到的用户名和密码。如果没有，可以输入自己的手机号码，通过手机接收到一个临时的用户名和密码。当用户通过认证后，就可正常使用各种业务了。\n[0003] 采用web认证方式的优点是用户终端上不需要下载安装定制的客户端软件，使用浏览器就可以完成登录过程。缺点是，用户终端与AP间交互的空中报文通常是不加密的，存在安全隐患，其中比较严重的一种就是假冒用户。假冒用户使用空中抓包工具，抓取其他用户终端与AP交互的空中报文，得到已通过认证的合法终端的MAC地址、IP地址等信息。\n然后将自己的无线网卡的MAC地址、IP地址修改成合法终端的。这样，假冒终端发出的报文实际与合法终端发送出去的没有什么区别了，AP上区分不出来，假冒终端就可以不经过认证，就使用合法终端才能使用的业务了。假冒用户产生的费用会被算到合法用户的账户中，损害合法用户的利益，也会损害运营商的利益。\n[0004] 在相关技术中，无线接入网中其它常用的认证方式还有预共享密钥和802.1x认证。采用这两种认证方式的无线接入网，大多数会对空中传送的报文进行加密，如果不加密，也会存在假冒用户的问题。\n[0005] 目前，在有线接入网络中，防止假冒用户通常是采用网络协议\n(InternetProtocol，简称为IP)地址+介质访问控制(Medium/MediaAccess Control，简称为MAC)地址绑定物理端口的方法。即用户通过认证后，交换机将终端的IP地址+MAC地址(或者仅IP或MAC地址)与其连接的物理端口绑定在一起，如果从其它物理端口进来具有相同IP地址或MAC地址的报文，都会被认为是非法的，会被丢弃。但是，实现上述方法有一个前提条件：合法终端与假冒终端是连接在不同的物理端口。即使报文的源MAC和IP地址相同，也可以通过进来的物理端口，判断出是哪个终端发出的报文。\n[0006] 而在无线接入网中，AP与有线接入网络中的交换机是有区别的。AP工作的无线信道可以看作是一个物理端口，一般一个AP任意时刻只能工作在1个或2个无线信道上(有的AP支持802.11a/b/g，可同时工作在2.4G和5G的信道)，所以AP只有1个或2个物理端口。合法终端和假冒终端都是通过同一个物理端口连接到AP的，所以IP+MAC绑定物理端口的方法，在无线接入网络中并不适用。因此，目前急需一种能够适用于无线接入网的防止假冒用户的方法。\n发明内容\n[0007] 本发明提供一种无线接入网中防止假冒用户的方法及接入点，以解决现有技术在无线接入网中在空中传送的报文不加密的情况下无法防止假冒用户的问题。\n[0008] 本发明提供一种无线接入网中防止假冒用户的方法，包括：\n[0009] 建立一个或多个虚拟接入点，其中，虚拟接入点具有与其相对应的基本服务集标识BSSID；\n[0010] 根据终端的MAC地址将终端连接到一个虚拟接入点，并对终端进行认证；\n[0011] 对于通过认证的合法终端，将合法终端的IP地址和/或MAC地址与合法终端连接的虚拟接入点的BSSID进行绑定，确定合法终端与虚拟接入点的绑定关系；\n[0012] 根据绑定关系转发合法终端发送的数据帧，丢弃假冒终端发送的数据帧。\n[0013] 本发明还提供了一种接入点，包括：\n[0014] 第一建立模块，用于建立一个或多个虚拟接入点，其中，虚拟接入点具有与其相对应的基本服务集标识BSSID；\n[0015] 连接模块，用于根据终端的MAC地址将终端连接到一个虚拟接入点；\n[0016] 认证模块，用于对终端进行认证；\n[0017] 第二建立模块，用于对于通过认证的合法终端，将合法终端的IP地址和/或MAC地址与合法终端连接的虚拟接入点的BSSID进行绑定，确定合法终端与虚拟接入点的绑定关系；\n[0018] 处理模块，用于根据绑定关系转发合法终端发送的数据帧，丢弃假冒终端发送的数据帧。\n[0019] 本发明有益效果如下：\n[0020] 通过建立VAP，将合法终端的IP+MAC绑定VAP，解决了现有技术在无线接入网中在空中传送的报文不加密的情况下无法防止假冒用户的问题，能够实现在802.11无线接入网中防止假冒用户的目的，保护了合法用户和运营商的利益。\n附图说明\n[0021] 图1是本发明实施例的无线接入网中防止假冒用户的方法的流程图；\n[0022] 图2是本发明实施例的AP防止假冒用户处理的示意图；\n[0023] 图3是本发明实施例的调用钩子函数的信令流程图；\n[0024] 图4是本发明实施例的调用连接建立钩子函数的流程图；\n[0025] 图5是本发明实施例的调用连接断开钩子函数的流程图；\n[0026] 图6是本发明实施例的调用认证结束钩子函数的流程图；\n[0027] 图7是本发明实施例的调用转发钩子函数的流程图；\n[0028] 图8是本发明实施例的接入点的结构示意图。\n具体实施方式\n[0029] 如上所述，有线接入网中常采用IP+MAC绑定物理端口的方法防止假冒用户，但此方法在无线接入网中并不适用。为了解决现有技术在无线接入网中在空中传送的报文不加密的情况下无法防止假冒用户的问题，本发明提供了一种无线接入网中防止假冒用户的方法及接入点，针对802.11无线接入网的特点，提出了IP+MAC绑定VAP的方法，实现了在\n802.11无线接入网中防止假冒用户的目的。以下结合附图以及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不限定本发明。\n[0030] 方法实施例\n[0031] 根据本发明的实施例，提供了一种无线接入网中防止假冒用户的方法，图1是本发明实施例的无线接入网中防止假冒用户的方法的流程图，如图1所示，根据本发明实施例的无线接入网中防止假冒用户的方法包括如下处理：\n[0032] 步骤101，建立一个或多个虚拟接入点，其中，虚拟接入点具有与其相对应的基本服务集标识(Basic Service Set Identifier，简称为BSSID)；\n[0033] 也就是说，AP上建立多个VAP，多个VAP工作在相同的信道，具有相同的服务集标识(Service Set Identifier，简称为SSID)，但是有不同的BSSID。这些VAP都会向外发送beacon帧，携带有不同的BSSID，在终端接收到beacon帧后，可以根据携带的BSSID确定是不同的VAP发出的，可以让终端认为beacon帧是由多个AP发出的。\n[0034] 步骤102，根据终端的MAC地址将终端连接到一个虚拟接入点，并对终端进行认证；\n[0035] 在步骤102中，将终端连接到一个虚拟接入点需要进行如下处理：1、在终端需要连接到虚拟接入点时，根据终端的MAC地址判断是否已有与此终端的MAC地址相同的终端连接到该虚拟接入点；2、在判断没有与此终端的MAC地址相同的终端连接到该虚拟接入点的情况下，允许此终端连接到该虚拟接入点；3、在判断该虚拟接入点已存在与此终端的MAC地址相同的终端的情况下，拒绝将此终端连接到该虚拟接入点，迫使此终端连接到其它虚拟接入点上(即，其他没有与该终端的MAC地址相同的终端连接的虚拟接入点)。\n[0036] 在无线网络中，连接很容易断开，先连接上的终端不一定就是合法终端。因此，当终端要连接到某个VAP时，AP需要检查是否已有相同MAC地址的终端连接到此VAP，如果有，则拒绝此终端连接到此VAP，然后此终端会自动尝试连接其它具有相同SSID的VAP，从而迫使假冒终端与合法终端连接到不同的VAP上。\n[0037] 步骤103，对于通过认证的合法终端，将合法终端的IP地址和/或MAC地址与合法终端连接的虚拟接入点的BSSID进行绑定，确定合法终端与虚拟接入点的绑定关系；\n[0038] 需要说明的是，终端发出的802.11数据帧头标中，携带有BSSID。由于合法终端与假冒终端是连接到不同的VAP，所以它们发出的帧中包含的BSSID不同，AP可以根据BSSID区分出是哪个终端发出的帧。\n[0039] 优选地，在实际应用中，还可以建立一张终端授权状态表，其中，终端授权状态表中包括：IP地址、MAC地址、BSSID、以及授权状态，授权状态包括：受限、已授权、以及禁止。\n[0040] 在步骤103中，对于通过认证的合法终端，将合法终端的IP地址和/或MAC地址与合法终端连接的虚拟接入点的BSSID进行绑定包括如下处理：1、根据终端授权状态表，判断是否有与合法终端的MAC地址和BSSID都匹配的条目，如果有，则将该条目的授权状态修改为已授权，并保存相应的IP地址；2、根据终端授权状态表，判断是否有与合法终端的MAC地址匹配，但与合法终端的BSSID不匹配的条目，如果有，则将该条目的授权状态修改为禁止。\n[0041] 步骤104，根据绑定关系转发合法终端发送的数据帧，丢弃假冒终端发送的数据帧。\n[0042] 在步骤104中，根据绑定关系转发合法终端发送的数据帧，丢弃假冒终端发送的数据帧包括如下处理：1、根据终端授权状态表，判断是否有与合法终端的MAC地址与BSSID都匹配的条目，如果有，则判断合法终端的报文中的源IP地址与该条目中的IP地址是否匹配；2、如果IP地址匹配，则判断该条目中的授权状态；3、在判断授权状态为已授权时，则转发报文，在判断授权状态为禁止时，则丢弃报文，在判断授权状态为限制时，进一步判断报文中的目的IP是否在允许的地址范围内，如果在允许的地址范围内，则转发报文，如果不在允许的地址范围内，则丢弃报文。\n[0043] 也就是说，当合法终端通过Web认证后，AP将其IP/MAC地址与其连接的VAP绑定在一起。这样，合法终端发出的帧中包含的BSSID与绑定的VAP的BSSID相同，被允许通过；\n而假冒终端发送的帧，由于其包含的BSSID与绑定的VAP的BSSID不一致，会被AP丢弃，从而起到了防止假冒终端的作用。\n[0044] 此外，在终端断开连接时，还包括如下处理：1、根据终端授权状态表，检查是否有与终端匹配的MAC地址和BSSID的条目存在，如果存在条目，则检查条目的授权状态是否为已授权；2、如果条目的授权状态为已授权，则延迟断开连接，并设置一个预定时间，如果条目的授权状态不是已授权，则立即断开连接；3、在预定时间到时后，检查终端是否仍然在线，如果在线，则保持连接，否则，断开连接。\n[0045] 以下结合附图，对本发明实施例的上述技术方案进行详细的说明。\n[0046] 图2是本发明实施例的AP防止假冒用户处理的示意图，如图2所示，AP的无线接入模块用于实现与无线终端建立连接、断开连接，以及检测终端是否仍然保持连接等功能；AP的报文转发模块用于实现将从无线网络接收到的报文转发到有线网络，或者反过来，将从有线网络接收到的报文转发到无线网络。AP的Web Portal认证模块用于实现Web portal认证流程。\n[0047] AP的防假冒模块用于实现区分、判断、阻止假冒终端的功能。是根据本发明实施例的技术方案，在AP中新增的模块，防假冒模块主要用于：1、收到建立连接的请求时，检查是否已有相同MAC的终端连接到同一VAP，如果有，则拒绝连接；2、收到断开连接的请求时，检查终端是否在线，以防此请求是来自于假冒终端；3、Web portal认证通过后，建立IP地址、MAC地址与VAP的绑定关系。4、在转发报文时，根据IP+MAC与VAP的绑定关系，判断是否允许转发。\n[0048] 此外，防假冒模块还维护了一张终端授权状态表，表中条目格式为：。其中，授权状态的值有三种：受限、已授权和禁止。受限，是指只允许终端访问DHCP服务器、DNS服务器、Webportal服务器等；已授权，是指允许终端正常访问外部网络；禁止，是指禁止转发此终端的报文。\n[0049] 需要说明的是，在实际应用中，防假冒模块的上述功能表现成一系列钩子函数，包括：认证结束钩子函数、WLAN-EAH转发钩子函数、ETH-WLAN转发钩子函数、连接建立钩子函数、以及连接断开钩子函数。上述钩子函数被其它各模块在适当时候调用。图3是本发明实施例的调用钩子函数的信令流程图，如图3所示，包括如下处理：\n[0050] 步骤1，终端与AP进行交互，AP调用连接建立钩子函数，实现802.11连接过程；\n[0051] 步骤2，终端与DHCP服务器进行交互，动态获取IP地址。从此时开始，在转发终端发出的和发往终端的报文时，AP分别会调用WLAN-EAH转发钩子函数和ETH-WLAN转发钩子函数；\n[0052] 步骤3，终端与Web portal服务器交互，进行Web portal认证后，AP调用认证结束钩子函数；\n[0053] 步骤4，认证成功后，终端访问外部网络；\n[0054] 步骤5，终端与AP进行交互，AP调用连接断开钩子函数，实现802.11断开连接过程。\n[0055] 根据802.11协议，建立无线连接的过程包括探测、认证、关联三个步骤。在收到认证帧时，无线接入模块会调用防假冒模块的连接建立钩子函数，传递的参数是终端的MAC地址，以及其连接的VAP的BSSID，图4是本发明实施例的调用连接建立钩子函数的流程图，如图4所示，包括如下处理：\n[0056] 步骤401，搜索终端授权状态表，检查是否有MAC地址、BSSID都匹配的条目存在；\n[0057] 步骤402，如果有，则向终端发送一个状态码为37的Authentication帧，拒绝其认证请求；\n[0058] 步骤403，如果没有，则在终端授权状态表中添加一个条目，将初始的授权状态设置为受限，因为终端这时还没获得IP地址，将初始的IP地址设置为0。\n[0059] 如图3所示，在终端断开连接时，会发送Disassociation或者Deauthentication。\n这时，无线接入模块会调用防假冒模块的连接断开钩子函数，传递的参数是终端的MAC地址，以及其连接的VAP的BSSID。图5是本发明实施例的调用连接断开钩子函数的流程图，如图5所示，包括如下处理：\n[0060] 步骤501，搜索终端授权状态表，检查是否有MAC地址、BSSID匹配的条目存在。\n[0061] 步骤502，如果有匹配条目，检查其授权状态是否为已授权。\n[0062] 步骤503，如果匹配条目的授权状态是已授权，则延迟断开连接，启动一个定时器；\n否则，立即断开连接。\n[0063] 步骤504，定时器到期后，检查终端是否仍然在线，如果是，则仍然保持连接状态，否则，断开连接。\n[0064] 需要说明的是，有时假冒终端在收到拒绝认证请求的Authentication帧后，会发送Deauthentication帧。如果AP收到后，当作是正常终端发出的Deauthentication帧处理，立即断开连接，就会影响到正常终端。因此需要要延迟断开连接，检查终端是否真的断开连接。\n[0065] 当Web portal认证结束时，如果认证通过，则调用认证结束钩子函数，传递的参数是终端的IP地址、MAC地址、BSSID等，图6是本发明实施例的调用认证结束钩子函数的流程图，如图6所示，包括如下处理：\n[0066] 步骤601，如果认证没有通过，直接返回；\n[0067] 步骤602，搜索终端授权状态表，检查是否有MAC地址、BSSID都匹配的条目；\n[0068] 步骤603，如果有匹配的条目，则将条目的授权状态改为已授权，并保存IP地址；\n[0069] 步骤604，搜索终端授权状态表，检查是否有MAC地址匹配，但BSSID不匹配的条目；\n[0070] 步骤605，如果有这样的条目，则认为是假冒终端，将该条目的授权状态改为禁止。\n[0071] 终端连接上后，在转发报文时，防假冒模块的转发钩子函数会被调用到，传递的参数是报文的IP地址、MAC地址以及收发报文使用的VAP，图7是本发明实施例的调用转发钩子函数的流程图，如图7所示，包括如下处理：\n[0072] 步骤701，搜索终端授权状态表，检查是否有MAC地址、BSSID都匹配的条目；\n[0073] 步骤702，如果有，再将报文中的源IP地址与条目中的IP地址比较。如果IP地址相等，或者条目中的IP地址是全0，都认为是匹配的；\n[0074] 步骤703，如果IP地址也是匹配的，再检查授权状态。如果是已授权，则允许转发；\n如果是禁止，则丢弃报文；\n[0075] 步骤704，如果状态是受限，还要检查目的IP是否在允许的地址范围内。如果不在，则丢弃报文。否则允许转发。\n[0076] 由于BSSID是802.11帧中才包含的，而以太帧中没有。为了能在有线侧也能区分是从哪个终端的报文，可以在转发报文时，采取将不同的BSSID映射成不同的VID，或者MAC地址转换、IP地址转换等方法。\n[0077] 需要说明的是，本发明实施例的技术方案可以只建立一个VAP，而防假冒模块中只保留连接建立和连接断开钩子函数。这种简化方案的缺点是，它认为先连接上的就是合法终端，后连接的就是假冒终端，而实际上可能出现相反的情况，如果出现了，就会错误地拒绝合法终端的连接，所以不推荐采用上述技术方案。\n[0078] 装置实施例\n[0079] 根据本发明的实施例，提供了一种接入点，图8是本发明实施例的接入点的结构示意图，如图8所示，根据本发明实施例的接入点包括：第一建立模块80、连接模块81、认证模块82、第二建立模块83、处理模块84，需要说明的是，本发明实施例中的连接模块81相当于图2中的无线接入模块，认证模块82相当于图2中的Web Portal认证模块，处理模块84中的一些功能相当于图2中的报文转发模块，第一建立模块80、第二建立模块83、以及处理模块84中的另一些功能相当于图2中的防假冒模块。以下对本发明实施例的各个模块进行详细的说明。\n[0080] 第一建立模块80用于建立一个或多个虚拟接入点，其中，所述虚拟接入点具有与其相对应的基本服务集标识BSSID；\n[0081] 也就是说，第一建立模块80在AP上建立多个VAP，多个VAP工作在相同的信道，具有相同的服务集标识(Service Set Identifier，简称为SSID)，但是有不同的BSSID。这些VAP都会向外发送beacon帧，携带有不同的BSSID，在终端接收到beacon帧后，可以根据携带的BSSID确定是不同的VAP发出的，可以让终端认为beacon帧是由多个AP发出的。\n[0082] 连接模块81用于根据终端的MAC地址将所述终端连接到一个虚拟接入点；\n[0083] 具体地，连接模块81包括：\n[0084] 第一判断子模块，用于在所述终端需要连接到虚拟接入点时，根据所述终端的MAC地址判断是否有与所述终端的MAC地址相同的终端连接到该虚拟接入点；接入子模块，用于在所述第一判断子模块判断没有与所述终端的MAC地址相同的终端连接到该虚拟接入点的情况下，将所述终端连接到该虚拟接入点在所述第一判断子模块判断该虚拟接入点存在与所述终端的MAC地址相同的终端的情况下，拒绝将所述终端连接到该虚拟接入点，并将所述终端连接到其他没有与所述终端MAC地址相同的终端的虚拟接入点上。\n[0085] 在无线网络中，连接很容易断开，先连接上的终端不一定就是合法终端。因此，当终端要连接到某个VAP时，AP需要检查是否已有相同MAC地址的终端连接到此VAP，如果有，则拒绝此终端连接到此VAP，然后此终端会自动尝试连接其它具有相同SSID的VAP，从而迫使假冒终端与合法终端连接到不同的VAP上。\n[0086] 认证模块82用于对所述终端进行认证；\n[0087] 第二建立模块83用于对于通过认证的合法终端，将所述合法终端的IP地址和/或MAC地址与所述合法终端连接的虚拟接入点的BSSID进行绑定，确定所述合法终端与所述虚拟接入点的绑定关系；\n[0088] 需要说明的是，终端发出的802.11数据帧头标中，携带有BSSID。由于合法终端与假冒终端是连接到不同的VAP，所以它们发出的帧中包含的BSSID不同，AP可以根据BSSID区分出是哪个终端发出的帧。\n[0089] 优选地，在实际应用中，根据本发明实施例的接入点还包括：\n[0090] 状态表建立模块，用于建立一张终端授权状态表，其中，所述终端授权状态表中包括：IP地址、MAC地址、BSSID、以及授权状态，所述授权状态包括：受限、已授权、以及禁止；\n[0091] 具体地，终端授权状态表中条目格式为：。\n其中，授权状态的值有三种：受限、已授权和禁止。受限，是指只允许终端访问DHCP服务器、DNS服务器、Web portal服务器等；已授权，是指允许终端正常访问外部网络；禁止，是指禁止转发此终端的报文。\n[0092] 第二建立模块83具体用于：根据所述所述终端授权状态表，判断是否有与所述合法终端的MAC地址和BSSID都匹配的条目，如果有，则将该条目的授权状态修改为已授权，并保存相应的IP地址；根据所述终端授权状态表，判断是否有与所述合法终端的MAC地址匹配，与所述合法终端的BSSID不匹配的条目，如果有，则将该条目的授权状态修改为禁止；\n[0093] 处理模块84用于根据所述绑定关系转发所述合法终端发送的数据帧，丢弃假冒终端发送的数据帧。\n[0094] 处理模块84具体用于：根据所述终端授权状态表，判断是否有与所述合法终端的MAC地址与BSSID都匹配的条目，如果有，则判断所述合法终端的报文中的源IP地址与该条目中的IP地址是否匹配；如果IP地址匹配，则判断该条目中的授权状态；在判断所述授权状态为已授权时，则转发所述报文，在判断所述授权状态为禁止时，则丢弃所述报文，在判断所述授权状态为限制时，进一步判断所述报文中的目的IP是否在允许的地址范围内，如果在允许的地址范围内，则转发所述报文，如果不在允许的地址范围内，则丢弃所述报文。\n[0095] 也就是说，当合法终端通过Web认证后，处理模块84将其IP/MAC地址与其连接的VAP绑定在一起。这样，合法终端发出的帧中包含的BSSID与绑定的VAP的BSSID相同，被允许通过；而假冒终端发送的帧，由于其包含的BSSID与绑定的VAP的BSSID不一致，会被AP丢弃，从而起到了防止假冒终端的作用。\n[0096] 此外，本发明实施例的技术方案还可以包括：断开连接处理模块，用于在所述终端断开连接时，根据所述终端授权状态表，检查是否有与所述终端匹配的MAC地址和BSSID的条目存在，如果存在所述条目，则检查所述条目的授权状态是否为已授权；如果所述条目的授权状态为已授权，则延迟断开连接，并设置一个预定时间，如果所述条目的授权状态不是已授权，则立即断开连接；在所述预定时间到时后，检查所述终端是否仍然在线，如果在线，则保持连接，否则，断开连接。\n[0097] 需要说明的是，在实际应用中，第一建立模块80、第二建立模块83、以及处理模块\n84中的另一些功能表现成一系列钩子函数，包括：认证结束钩子函数、WLAN-EAH转发钩子函数、ETH-WLAN转发钩子函数、连接建立钩子函数、以及连接断开钩子函数。上述钩子函数被其它各模块在适当时候调用。具体的调用时机和调用处理流程可以参照上述方法实施例的图3至图7进行理解，在此不再赘述。\n[0098] 需要说明的是，由于BSSID是802.11帧中才包含的，而以太帧中没有。为了能在有线侧也能区分是从哪个终端的报文，可以在转发报文时，采取将不同的BSSID映射成不同的VID，或者MAC地址转换、IP地址转换等方法。\n[0099] 本发明实施例的技术方案可以只建立一个VAP，而防假冒模块中只保留连接建立和连接断开钩子函数。这种简化方案的缺点是，它认为先连接上的就是合法终端，后连接的就是假冒终端，而实际上可能出现相反的情况，如果出现了，就会错误地拒绝合法终端的连接，所以不推荐采用上述技术方案。\n[0100] 本发明实施例通过建立VAP，将合法终端的IP+MAC绑定VAP，解决了现有技术在无线接入网中在空中传送的报文不加密的情况下无法防止假冒用户的问题，能够实现在\n802.11无线接入网中防止假冒用户的目的，保护了合法用户和运营商的利益。\n[0101] 尽管为示例目的，已经公开了本发明的优选实施例，本领域的技术人员将意识到各种改进、增加和取代也是可能的，因此，本发明的范围应当不限于上述实施例。