识别无线网络的可信服务集标识符制造技术

公开了用于识别无线网络的可信SSID的技术。在与包括服务集标识符(SSID)的无线网络建立连接之前，在无线站(STA)处从与无线网络相关联的接入点(AP)接收网络消息。STA识别网络消息中的加密的标识符。STA验证加密的标识符，并作为响应而确定AP对应于可信的无线网络。在STA处将SSID指定为可信的。STA处将SSID指定为可信的。STA处将SSID指定为可信的。

【技术实现步骤摘要】
【国外来华专利技术】识别无线网络的可信服务集标识符


[0001]本公开中呈现的实施例总体涉及无线通信。更具体地，本文公开的一个或多个实施例涉及识别无线网络的可信服务集标识符(SSID)或可疑SSID。

技术介绍

[0002]WiFi网络通常使用SSID进行识别。对于访问新位置或使用新WiFi网络的终端用户来说，区分恶意SSID和可信SSID可能非常困难。存在用户将错误地连接到恶意网络的风险，这对用户和相关联的实体(例如，用户的雇主或其他人)产生了安全风险。
[0003]例如，当终端用户到达新位置(例如，酒店、机场、咖啡店等)时，用户可能会看到针对WiFi网络通告的许多不同SSID。用户的WiFi实用程序(例如，在他们的智能手机、平板电脑或计算机中的WiFi实用程序)可能会显示各种看似相似的名称，这些名称中的一些是合法的，并且这些名称中的一些是恶意的。此外，某些恶意SSID可能被专门命名以冒充合法网络，从而使用户更加难以识别合法网络。
附图说明
[0004]为了能够详细理解本公开的以上记载的特征的方式，可以通过参考实施例来对以上简要概括的本公开进行更具体的描述，这些实施例中的一部分在所附附图中被示出。然而，应当注意，所附附图示出了典型的实施例，因此不应该被认为是限制性的；其他等效的实施例被考虑。
[0005]图1示出了根据一个实施例的WiFi网络的可信和恶意SSID的列表。
[0006]图2示出了根据一个实施例的与WiFi网络连接的无线站。
[0007]图3是示出根据一个实施例的无线STA和无线接入点的框图。
[0008]图4是根据一个实施例的用于识别WiFi网络的可信SSID的流程图。
[0009]图5是根据一个实施例的用于验证SSID认证数据的流程图。
[0010]图6示出了根据一个实施例的WiFi网络的可信和恶意SSID的视觉相似列表。
[0011]图7示出了根据一个实施例在WiFi网络的可信和恶意SSID列表中识别可信SSID。
[0012]图8是根据一个实施例的用于在WiFi网络的可信和恶意SSID的视觉相似列表中识别可信SSID的流程图。
[0013]图9示出了根据一个实施例的对有监督机器学习模型的生成和更新。
[0014]为了便于理解，在可能的地方使用了相同的附图标记来表示附图中公共的相同元件。考虑了在一个实施例中公开的元件在没有特定记载的情况下可以有益地用于其他实施例中。
具体实施方式
[0015]概述
[0016]实施例包括一种识别无线网络的可信SSID的方法。该方法包括在与包括服务集标
识符(SSID)的无线网络建立连接之前，在无线站(STA)处从与该无线网络相关联的接入点(AP)接收网络消息。该方法还包括在该STA处识别网络消息中的加密的标识符。该方法还包括在该STA处验证该加密的标识符，并且作为响应而确定该AP对应于可信的无线网络。该方法还包括在该STA处将该SSID指定为可信的。
[0017]实施例还包括一种STA，该STA包括处理器和存储有程序的存储器，该程序当在处理器上执行时执行操作。该操作包括在与包括SSID的无线网络建立连接之前，从与该无线网络相关联的AP接收网络消息。该操作还包括识别该网络消息中的加密的标识符。该操作还包括验证该加密的标识符，并作为响应而确定该AP对应于可信的无线网络。该操作还包括将该SSID指定为可信的。
[0018]实施例还包括一种STA，该STA包括处理器和存储有程序的存储器，该程序当在处理器上执行时执行操作。该操作包括在与无线网络建立连接之前，从第一AP接收第一网络消息，该第一网络消息标识与第一无线网络相关联的第一SSID。该操作还包括从第二AP接收第二网络消息，该第二网络消息标识与第二无线网络相关联的第二SSID。该操作还包括确定该第一SSID的第一视觉表示和该第二SSID的第二视觉表示之间的视觉相似性。该操作还包括基于确定的视觉相似性将该第二SSID指定为可疑的。
[0019]示例实施例
[0020]本文公开的一个或多个实施例涉及用于无线站(STA)(例如，用户设备)验证所通告的SSID的真实性的技术。例如，在一个实施例中，供应商特定的属性字段可以在信标或探测响应中提供，并被无线接入点(AP)使用以向希望加入WiFi网络的STA通告认证的信息。希望加入WiFi网络的STA可以使用所通告的信息来验证(例如，通过公共密钥密码法)AP的真实性。只有通过了验证，STA才能加入网络，否则可以向用户提供警告。
[0021]在一个实施例中，该验证可以以几种不同的方式进行。在一个示例中，STA可以使用由供应商提供的白名单和密钥信息(例如，在由供应商(如连锁酒店)提供的移动APP中)。在另一示例中，STA可以使用开放漫游(OpenRoaming)或另一可信第三方来验证与可疑SSID相关联的AP的真实性。作为另一示例，STA可以使用可信供应商(例如，基于位置的平台，如Cisco DNA Spaces)来识别密钥材料并验证AP。
[0022]此外，在一个实施例中，STA可以使用机器学习(ML)来帮助用户识别可信SSID。例如，STA可以使用ML来识别看起来接近已知可信网络但实际上不同的SSID，并且可以阻止用户加入这些SSID。在一个实施例中，这结合对可信SSID的识别来进行。在该实施例中，可信SSID被识别并且用户被鼓励加入这些网络(例如，使用肯定的标志或图形指示符)，同时可疑SSID也被识别并且用户被阻止加入这些网络(例如，使用否定的标志或图形指示符)。替代地或附加地，可以使用ML技术而不识别可信SSID。例如，具有相似名称的多个SSID可被识别，并且用户可被提供谨慎加入这些SSID中的任一个的警告或鼓励。
[0023]在一个实施例中，可以使用计算机视觉技术来识别可信SSID。例如，恶意实体通常会创建看起来与可信SSID相似但使用不同底层字符的SSID。恶意行为者可能将字母“O”替换为数字“0”，可能将字母“I”替换为数字“1”，或者可能包括额外的空格、下划线或用户难以在视觉上识别的其他字符。计算机视觉技术可用于检查所通告的SSID的图形图像，并且可以(例如，通过比较图像)识别在视觉上看起来相似但使用不同的底层字符的SSID。这些SSID可以被标记为可疑的、已移除的、或另外已识别为潜在恶意的。在一个实施例中，ML可
以与计算机视觉技术一起使用来识别可疑(或可信)的SSID。
[0024]图1示出了根据一个实施例的WiFi网络的可信和恶意SSID的列表100。在一个实施例中，用户正在访问酒店并且被呈现潜在WiFi网络的多个SSID。例如，SSID 102(“HOTEL”)可以标识酒店员工使用的WiFi网络，而SSID 104(“HOTEL
‑
GUEST”)标识供客人使用的有效WiFi网络。但SSID 106(“H0TEL
‑
GUEST”)包括代替字母“O”的数字“0”，其可标识恶意或本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种识别无线网络的可信服务集标识符(SSID)的方法，包括：在与包括SSID的无线网络建立连接之前，在无线站(STA)处从与所述无线网络相关联的接入点(AP)接收网络消息；在所述STA处识别所述网络消息中的加密的标识符；在所述STA处验证所述加密的标识符，并作为响应而确定所述AP对应于可信的无线网络；以及在所述STA处将所述SSID指定为可信的。2.根据权利要求1所述的方法，其中，在所述STA处验证所述加密的标识符包括：在所述STA处的本地存储装置中识别与所述SSID相关联的密钥，并使用所述密钥对所述加密的标识符进行解密。3.根据权利要求2所述的方法，还包括基于以下项中的至少一个验证解密的标识符：所述STA的位置、所述AP的位置、与所述STA相关联的地址、或与所述AP相关联的地址。4.根据前述权利要求中任一项所述的方法，其中，在所述STA处验证所述加密的标识符包括：发送开放漫游查询；接收开放漫游响应；以及确定所述开放漫游响应有效。5.根据权利要求4所述的方法，其中，发送开放漫游查询包括：从所述STA通过所述AP向开放漫游服务器发送加密消息。6.根据权利要求4所述的方法，其中，发送开放漫游查询包括：从所述STA使用蜂窝提供商网络向开放漫游服务器发送消息。7.根据前述权利要求中任一项所述的方法，其中，在所述STA处验证所述加密的标识符包括：识别与所述AP相关联的可信供应商；使用与所述可信供应商相关联的密钥对所述加密的标识符进行解密；以及验证解密的标识符，其中，所述加密的标识符是由所述可信供应商生成的。8.根据权利要求7所述的方法，其中，与所述可信供应商相关联的所述密钥由与所述可信供应商相关联的服务递送到所述STA。9.根据权利要求7至8中任一项所述的方法，其中，验证解密的标识符包括：验证所述AP的位置。10.一种无线站(STA)，被配置为：在与包括服务集标识符(SSID)的无线网络建立连接之前，从与所述无线网络相关联的接入点(AP)接收网络消息；识别所述网络消息中的加密的标识符；验证所述加密的标识符，并作为响应而确定所述AP对应于可信的无线网络；以及将所述SSID指定为可信的。11.根据权利要求10所述的STA，其中，验证所述加密的标识符包括在所述STA处的本地存储装置中识别与所述SSID相关联的密钥；以及使用所述密钥对所述加密的标识符进行解密。
12.根据权利要求11所述的STA，还被配置为基于以下项中的至少一个验证解密的标识符：所述STA的位置、所述AP的位置、与所述STA相关联的地址、或与所述AP相关联的地址。13.根据权利要求10至12中任一项所述的STA，其中，验证所述加密的标识符包括：发送开放漫游查询；接收开放漫游响应；以及确定所述开放漫游响应有效。14.根据权利要求13所述的STA，其中，发送开放漫游查询包括：从所述STA通过所述AP向开放漫游服务器发送加密消息。15.根据权利要求13所述的STA，其中，发送开放漫游查询包括：从所述STA使用蜂窝提供商网络向开放漫游服务器发送消息。16.根据权利要求10至15中任一项所述的STA，其中，验证所述加密的标识符包括：识别与所述AP相关联的可信供应商；使用与所述可信供应商相关联的密钥对所述加密的标识符进行解密；以及验证解密的标识符，其中，所述加密的标识符是由所述可信供应商生成的。17.根据权利要求16所述的STA，其中，与所述可信供应商相关联的所述密钥由与所述可信供应商...

【专利技术属性】
技术研发人员：杰伊，
申请(专利权)人：思科技术公司，
类型：发明
国别省市：