本发明专利技术公开了一种在无线局域网中用于检测未经授权的设备的存在性的方法,该方法包括:检测可以从其发送管理帧的相邻设备的存在性;保存每个存在的相邻设备的表示;接收宣称来自所述检测到的设备之一的管理帧;确定所述接收到的管理帧是由未经授权的设备发送的;以及指示所述未经授权的设备的存在性。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术广泛地涉及无线局域网的配置。具体而言,本专利技术涉及配置客户端设备的无线局域网。更具体而言,本专利技术涉及利用无线传输介质中的管理帧来检测对无线局域网的未经授权的接入。
技术介绍
诸如无线局域网(WLAN)之类无线网络的使用变得越来越普遍。随着WLAN的增多,网络安全性也变得越来越重要。WLAN呈现出重要的网络安全性关注。WLAN可以是自组织的(ad hoc),其中任意客户端设备(这里称之为客户端)可以与任意另一客户端直接通信,WLAN或者具有以下基础结构:客户端可以仅经由接入点(AP)与另一客户端通信。特定于WLAN的问题起因于请求接入各个AP的无线客户端。通常,在WLAN环境的部署中,AP小区的覆盖被重叠以实现最大RF覆盖来减少没有服务的地点。无线客户端可以在AP间移动,并因此依赖于它们的位置来改变WLAN的RF环境。另外,WLAN通常需要随着增大的需求而不断增长,因为越来越多的客户端需要来自WLAN的服务。扩展WLAN需要重新配置环境,添加AP以及将AP放在不会与其他AP发生冲突的位置上,否则会使得WLAN的管理变复杂。由于无线是开放介质,因此任何人都可以竞争接入并通过信道发送帧。由于802.11管理帧是在没有任何保护的情况下被发送的,因此攻击者可以容易地伪装成合法AP,从而像其是正在服务于客户端的AP一样向客户端发送指示。例如,几乎所有攻击都是从伪装成AP的攻击者通过向客户端发送解关联(deassociation)或解认证(deauthentication)请求而开始的。-->因此,存在对于有效地保护WLAN并向WLAN管理者提供执行管理和接入控制判决所需的信息的方法和设备的迫切需要。
技术实现思路
本专利技术解决了上述问题,并且通过核实宣称来自一个特定AP的管理帧是否发源于已知该特定AP所位于的物理位置附近来保护WLAN。因此,本专利技术需要攻击者位于它们希望伪装的AP附近,从而允许该AP检测到伪装的帧并警告WLAN管理员。在实施例中,WLAN管理员部署新的WLAN,如下所述。在安装硬件之后,AP与校园上下文管理器(CCM)建立受信关系。无线电参数基于AP无线电发现测量被自动配置。如果需要,客户端游历被执行以收集信号强度测量结果,并且无线电参数可以利用这些测量结果被重配置。在实施例中,当网络首次被安装时,WLAN管理员基于启发式指南放置AP并在无需任意时间坐标的情况下应用功率。可选地,WLAN管理员可以执行站点调查来优化AP放置。站点调查的范围可以从利用客户端设备的快速覆盖检查到利用第三方工具的详细信号强度测量。在放置和加电之后,每个AP扫描频带以找到可用信道。在实施例中,无线电管理器生成推翻这些初始设置的网络范围无线电配置。WLAN管理员在WLAN网络管理器(WNM)接口处发起无线电发现、自动配置和客户端游历测量。AP无线电发现涉及AP广播信标信号并同时监听来自相邻AP的信标信号。所产生的AP之间的测量结果被用于生成针对WLAN的初始无线电配置。客户端游历测量没有伴随位置信息,但是测量结果的集合对应于WLAN覆盖区域中的特定位置。无线电管理器使用这些测量结果集合来创建测量对象,所述测量对象包含代表到最强受控AP的路径损耗和来自特定位置处的不受控源的接收信号强度的数据。可以利用来自客户端游历的附加信息来针对WLAN生成新的无线电配置。取决于本专利技术的实施例,AP的物理位置可以手工配置,或者在发现或游历调查期间被实现。在正常操作期间,AP的位置不改变,因为一般而言,不希望AP是移动设备。但是,在存在移动AP的情况下,可以周-->期性地执行对WLAN的重调查或手工重配置。一旦AP的位置通过物理坐标位置和/或通过其相关的邻居集合被确定,就不希望AP的位置再改变。签名是针对AP发送的每个管理帧被传递的,并且被用于检查宣称来自一个特定AP的管理帧是否实际上发源于该预期位置。由于签名对于每个帧是唯一的,因此存储的信号强度信息的动态本质确保了WLAN中AP放置的相当精确的表示。当每个AP发送包含信号强度指示的管理帧时,该信号强度指示被与记录在无线电管理器的数据库中的AP的信号强度相比较。如果管理帧的信号强度指示和记录在无线电管理器的数据库中的信号强度之间存在极大差异,则指示可能存在试图伪装成合法AP的未经授权的用户。在实施例中,实际验证基于通过检测器检查与AP的信号强度相耦合的每个管理帧的消息完整性代码(MIC)以断言是否MIC是有效的,以及检测器是否应该能够检测该AP。在结合附图阅读以下详细描述之后,本领域技术人员将意识到本专利技术的很多其他特征和优点。附图说明图1A和1B示出WLAN中的AP放置以及在无线电发现期间采取的测量。图2示出一种网络配置,其中根据本专利技术的实施例引入了无线电测量。图3示出包含根据本专利技术实施例使用的测量模块的示例性接入点设备。图4示出根据本专利技术实施例使用的示例性接入无线电管理器设备。具体实施方式当WLAN未被使用时(例如每天早上2点),WLAN管理员在部署时发起无线电发现并在短暂维护时段期间调度AP无线电发现。AP无线电发现的结果是在每个AP处的RF干扰快照(snapshot)以及一组指示每个AP接收每个相邻AP的信号所处的强度级别的信号强度测量结果。针-->对图1A,其示出具有AP 1、AP 2、AP 3、AP 4、AP 5和AP 6以及无线电管理器10和无线网络管理器(WNM)14的WLAN配置。当AP根据本专利技术执行无线电扫描时,AP不是根据物理位置确定的,而是根据接收自每个AP的相邻AP的信号强度被映射。换言之,每个AP是根据该AP根据信号强度可以检测哪些其他AP来描述的。例如,根据本专利技术,AP 4被限定为AP 1(50);AP 2(55);AP 3(58);AP 5(56)。在该示例中,AP 6不被AP 4所检测,因此未被包括在AP 4的限定中。限定AP4的值被存储在由无线电管理器10维护的数据库中。无线电管理器10使用每个AP的当前发送信号强度级别来计算AP可以检测的每个AP之间的路径损耗。计算出的路径损耗被保存在数据库中,以表征RF环境,例如与单个AP相关联的一组802.11台站中(这里称之为BSS)的潜在覆盖冗余以及在下行链路上的重叠。当相邻AP未被控制时,无线电管理器10保存接收到的信号强度。无线电管理器10将所有受控的AP设置为在它们最高功率级别上进行发送,然后逐步下降通过后续级别以表征每个AP的真实功率步进。AP无线电发现是按以下事件序列来完成的。无线电管理器10命令所有AP进行被动扫描以得到预定时间间隔上的RF能量,并返回结果。该动作被执行以检测不受控的802.11 WLAN台站和干扰者。无线电管理器10使用AP扫描结果来选择一个用于特定区域中的所有AP的测试频率。无线电管理器10将特定区域中的所有AP设置为以最大发送功率在所选频率上发送信标。每个AP被分配一个唯一的信标间隔以使冲突最小化。无线电管理器10随后命令每个AP报告其与伴随的信号强度一道接收自其他AP的信标。对于在每个逐步降低的功率级别上进行发送的AP重复该动作,直到到达最低设置。针对图1B,校园上下文管理器(CCM)15可被利用,其与无线电管理器10、数据库12和WNM 14具有类似能力。在实施例本文档来自技高网...
【技术保护点】
一种在无线局域网中用于检测未经授权的设备的存在性的方法,该方法包括: 检测能够从其发送管理帧的相邻设备的存在性; 保存每个存在的相邻设备的表示; 接收宣称来自检测到的设备之一的管理帧; 确定所接收到的管理帧是由未经授权的设备发送的;以及 指示所述未经授权的设备的存在性。
【技术特征摘要】
【国外来华专利技术】US 2005-2-25 11/066,0091.一种在无线局域网中用于检测未经授权的设备的存在性的方法,该方法包括:检测能够从其发送管理帧的相邻设备的存在性;保存每个存在的相邻设备的表示;接收宣称来自检测到的设备之一的管理帧;确定所接收到的管理帧是由未经授权的设备发送的;以及指示所述未经授权的设备的存在性。2.如权利要求1所述的方法,其中所述相邻设备包括接入点。3.如权利要求1所述的方法,其中所述相邻设备包括台站。4.如权利要求1所述的方法,其中检测步骤包括执行无线电发现,以确定所述相邻设备的个体信号强度。5.如权利要求1所述的方法,其中检测相邻设备的存在性的步骤包括利用每个相邻设备的位置信息来手工配置管理所述相邻设备的设备。6.如权利要求1所述的方法,其中游历被执行以确定所述相邻设备的位置。7.如权利要求1所述的方法,其中保存每个存在的相邻设备的表示的步骤包括保存每个相邻设备的表示以及它的确定的个体信号强度。8.如权利要求7所述的方法,其中接收管理帧的步骤包括接收包含信号强度指示和设备标识符的管理帧。9.如权利要求8所述的方法,还包括:使来自所述管理帧的所述接入点标识符与所述相邻设备之一匹配;将来自所述接收到的管理帧的信号强度指示与匹配的相邻设备的确定的信号强度相比较;以及如果所述信号强度指示和所述确定的信号强度之差大于阈值量,则指示存在未经授权的设备。10.如权利要求1所述的方法,其中保存每个相邻设备的表示的步骤包括存...
【专利技术属性】
技术研发人员:南希卡姆温盖特,马克克里斯彻尔,蒂莫西S欧尔森,杨晓松,
申请(专利权)人:思科技术公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。