專利名稱:用于檢測無線網(wǎng)絡(luò)中的欺騙性接入點(diǎn)的方法、裝置和軟件產(chǎn)品的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及無線網(wǎng)絡(luò),尤其涉及網(wǎng)絡(luò)安全性以及檢測基礎(chǔ)設(shè)施無線網(wǎng)絡(luò)中的欺騙性(rogue)接入點(diǎn)。
背景技術(shù):
諸如無線局域網(wǎng)(WLAN)這樣的無線網(wǎng)絡(luò)的使用變得廣泛起來。另外,網(wǎng)絡(luò)安全性變得越來越重要。無線網(wǎng)絡(luò)提出了重大的網(wǎng)絡(luò)安全性問題。一個這種問題是檢測欺騙性無線站點(diǎn)。
WLAN可以是自組織式(ad hoc)的,這是因?yàn)槿魏握军c(diǎn)可直接與任何其他站點(diǎn)通信,或者也可以具有這樣的一種基礎(chǔ)設(shè)施,在這種基礎(chǔ)設(shè)施中,一個站點(diǎn)只能經(jīng)由接入點(diǎn)(AP)與另一個站點(diǎn)通信。接入點(diǎn)通常耦合到可能是有線或者無線的其他網(wǎng)絡(luò),例如耦合到因特網(wǎng)或內(nèi)聯(lián)網(wǎng)。這個更寬的網(wǎng)絡(luò)在這里被稱為“有線”網(wǎng)絡(luò),并且要理解,此有線網(wǎng)絡(luò)可以是包括其他無線網(wǎng)絡(luò)的互聯(lián)網(wǎng)絡(luò)。
本發(fā)明的一個方面針對解決欺騙性AP的檢測。我們主要關(guān)心兩種類型的欺騙性AP·在未經(jīng)授權(quán)的情況下連接到感興趣的有線網(wǎng)絡(luò)(例如連接到另外的安全LAN)從而可能對安全網(wǎng)絡(luò)造成安全性漏洞的AP。
·沒有連接到感興趣的有線網(wǎng)絡(luò)但卻處于感興趣的無線網(wǎng)絡(luò)(WLAN)的無線電環(huán)境中的AP。這種AP通過接受關(guān)聯(lián),可能干擾感興趣的WLAN,其方式例如是通過妨礙可能的客戶端站點(diǎn)(“客戶端”)訪問其無線網(wǎng)絡(luò)。
欺騙性AP可能是惡意的或者非惡意的欺騙性AP。非惡意AP例如是這樣一種用戶的AP,這種用戶建立起連接到未處于感興趣的無線網(wǎng)絡(luò)中的感興趣的有線網(wǎng)絡(luò)的供個人使用的AP,而沒有故意阻礙檢測。這種用戶很可能會使用開箱即用(out-of-the-box)的默認(rèn)配置。因此,當(dāng)用于感興趣的WLAN的無線電環(huán)境中時,這種非惡意AP的SSID通常不會匹配感興趣的WLAN的SSID。
惡意欺騙性AP是用戶為了獲得對感興趣的有線網(wǎng)絡(luò)(例如安全LAN)的訪問而建立的AP。這種惡意AP可能假冒合法AP的MAC地址。這種惡意AP還可再次設(shè)置諸如功率、信道和SSID之類的參數(shù)以假冒合法AP的那些參數(shù),以便使被檢測到的可能性最小。
由于欺騙性接入點(diǎn),WLAN遭受著幾個潛在的問題的危害。如果尚未在接入點(diǎn)上啟用適當(dāng)?shù)陌踩源胧?,則欺騙性接入點(diǎn)在連接到安全網(wǎng)絡(luò)時可能導(dǎo)致網(wǎng)絡(luò)變得不安全。在設(shè)計良好的WLAN中,接入點(diǎn)通常已被配置為提供一定級別的覆蓋和能力。欺騙性接入點(diǎn)可能通過導(dǎo)致與合法接入點(diǎn)競爭、通過導(dǎo)致與合法接入點(diǎn)沖突、甚至可能通過導(dǎo)致拒絕為合法客戶端站點(diǎn)服務(wù),從而導(dǎo)致這種已計劃的覆蓋和能力的退化。
因此本領(lǐng)域中需要檢測欺騙性AP的方法。
現(xiàn)有技術(shù)的用于檢測欺騙性接入點(diǎn)的方法包括使客戶端報告其他AP上的失敗認(rèn)證嘗試,或者由AP本身檢測失敗認(rèn)證嘗試。例如,已知一種用于報告欺騙性接入點(diǎn)的認(rèn)證告密方法。參見2001年7月27日遞交的Halasz等人的名稱為“ROGUE AP DETECTION”的美國專利申請S/N09/917,122,此專利申請已被轉(zhuǎn)讓給本發(fā)明的受讓人,此處通過引用將其包含進(jìn)來。這種現(xiàn)有技術(shù)方法通常包括以WLAN的適當(dāng)標(biāo)識符(服務(wù)集合標(biāo)識符(SSID))來配置站點(diǎn),以進(jìn)行認(rèn)證嘗試。只有相對于客戶端處于適當(dāng)位置中的欺騙者,即為認(rèn)證嘗試而處于無線電接觸中的欺騙者才能被檢測到。這可能會導(dǎo)致檢測延遲或者根本檢測不到。
其他現(xiàn)有技術(shù)方法包括使用可被攜帶于WLAN覆蓋區(qū)域中的某種類型的嗅探(sniffer)設(shè)備。操作者可周期性地帶著嗅探設(shè)備在WLAN覆蓋區(qū)域中行走,以進(jìn)行測量以便檢索欺騙性AP。例如,參見來自WalnutCreek,CA的WildPackets有限公司的“AiroPeek and Wireless SecurityIdentifying and Locating Rogue Access Points”(2002年9月11日的版本)。
還已知一種用AP作為嗅探器的嗅探技術(shù)。例如,參見來自San Mateo,California的AirWave Wireless有限公司的文獻(xiàn)“AirWave Rogue AccessPoint Detection”(www.airwave.com)。這種AP被管理實(shí)體從中央位置管理。大多數(shù)時候,這種被管理的AP充當(dāng)常規(guī)接入點(diǎn)。當(dāng)進(jìn)行欺騙掃描時,管理實(shí)體向被管理的AP發(fā)出命令,例如SNMP命令,以將其轉(zhuǎn)換成無線嗅探器。被管理的AP掃描其覆蓋半徑內(nèi)的無線電波,以查找所有信道上的流量。然后AP將所有數(shù)據(jù)報告回管理實(shí)體作為蹤跡,并且返回正常操作模式。管理實(shí)體分析來自被管理的AP和崗哨(sentry)設(shè)備的蹤跡,以將檢測到的AP與它的真實(shí)的受管理AP的數(shù)據(jù)庫相比較。但是這種方法要求AP停止正常操作。
已知用于檢測欺騙性AP的現(xiàn)有技術(shù)要求具有到欺騙性AP的連接,例如有線連接。但是,由于欺騙性AP可能是安裝在相鄰位置處的設(shè)備,因此要求有線連接的檢測方法可能不是始終能成功。
從而,需要這樣一種檢測方法,這種檢測方法不一定要求客戶端處于該區(qū)域中,不需要特殊的客戶端配置,也不需要AP停止其正常操作。
發(fā)明內(nèi)容
此處公開了用于檢測欺騙性接入點(diǎn)的方法、裝置和軟件產(chǎn)品。所提出的方法可以非常迅速地自動檢測欺騙性AP并且可以提供粗略位置指示。
在一個實(shí)施例中,該方法包括維護(hù)AP數(shù)據(jù)庫,該AP數(shù)據(jù)庫包括關(guān)于被管理的接入點(diǎn)(AP)和友好AP的信息,友好AP被定義為在被管理的網(wǎng)絡(luò)附近的或者被管理的AP的客戶端(即被管理的客戶端)已知的并且已知不會對被管理的無線網(wǎng)絡(luò)造成問題(例如干擾)的已知AP。該方法還包括向一個或多個被管理的AP發(fā)送掃描請求,所述掃描請求包括以下請求中的一個或多個對于進(jìn)行接收的被管理的AP掃描信標(biāo)和探測響應(yīng)的請求以及對于進(jìn)行接收的被管理的AP請求該其客戶端掃描信標(biāo)和探測響應(yīng)的請求。該方法還包括接收來自進(jìn)行接收的被管理的AP中的至少一個的報告,報告包括關(guān)于由AP所發(fā)送的任何接收到的信標(biāo)或探測響應(yīng)的信息。對于接收到關(guān)于其的信息的每個信標(biāo)或探測響應(yīng),該方法分析報告中接收到的關(guān)于發(fā)送信標(biāo)/探測響應(yīng)的AP的信息,該分析包括斷定發(fā)送所述信標(biāo)或探測響應(yīng)的AP的MAC地址是否匹配AP數(shù)據(jù)庫中的AP的MAC地址,以斷定AP是否是潛在的欺騙性AP或被管理的或友好的AP。
在另一個實(shí)施例中,描述了實(shí)現(xiàn)在無線網(wǎng)絡(luò)的接入點(diǎn)中的方法。該方法包括在AP處接收對于掃描信標(biāo)和探測響應(yīng)的掃描請求,所述請求是從管理一組被管理的AP和被管理的AP的客戶端站點(diǎn)的WLAN管理器接收到的。WLAN的管理包括維護(hù)包含關(guān)于無線網(wǎng)絡(luò)的被管理的AP和友好AP的信息的AP數(shù)據(jù)庫。該AP的方法包括以下之一或二者在AP本身處監(jiān)聽信標(biāo)和探測響應(yīng),或者向與AP相關(guān)聯(lián)的一個或多個客戶端站點(diǎn)發(fā)送對于監(jiān)聽信標(biāo)和探測響應(yīng)的客戶端請求。在客戶端請求被發(fā)送的情況下,該方法包括接收來自向其發(fā)送客戶端請求的客戶端站點(diǎn)中的至少一個的客戶端報告,所述客戶端報告包括關(guān)于從潛在的欺騙性AP接收到的任何信標(biāo)或探測響應(yīng)的信息。該方法還包括向WLAN管理器發(fā)送掃描報告,該掃描報告包括關(guān)于由接收掃描請求的AP從潛在的欺騙性AP接收到的任何信標(biāo)或探測響應(yīng)的信息,或者在客戶端請求被發(fā)送的情況下,包括關(guān)于由任何從其接收到報告的客戶端站點(diǎn)從潛在的欺騙性AP接收到的任何信標(biāo)或探測響應(yīng)的信息。該信息包括潛在的欺騙性AP的MAC地址。
對于在WLAN管理器處接收到關(guān)于其的信息的每個信標(biāo)或探測響應(yīng),WLAN管理器可分析報告中接收到的關(guān)于發(fā)送信標(biāo)或探測響應(yīng)的潛在的欺騙性AP的信息,其中包括斷定潛在的欺騙性AP的MAC地址是否匹配AP數(shù)據(jù)庫中的AP的MAC地址,從而導(dǎo)致斷定潛在的AP是否可能是欺騙性AP。
圖1示出一個簡單網(wǎng)絡(luò),該簡單網(wǎng)絡(luò)包括WLAN管理器,在該WLAN管理器上實(shí)現(xiàn)了本發(fā)明的一個實(shí)施例。
圖2示出了在存在幾個欺騙性AP的情況下圖1的被管理的網(wǎng)絡(luò),并且示出利用本發(fā)明的實(shí)施例可檢測到的欺騙性AP的類型。
圖3示出無線站點(diǎn)300的一個實(shí)施例,該無線站點(diǎn)可以是AP或客戶端站點(diǎn)并且實(shí)現(xiàn)本發(fā)明的一個或多個方面。
圖4的流程圖詳細(xì)包括了根據(jù)本發(fā)明的實(shí)施例的建立、請求和接收掃描報告的步驟。
圖5的流程圖描述了根據(jù)本發(fā)明的實(shí)施例的測量請求消息的示例,該測量請求消息包括對安排被管理AP以指示一個或多個客戶端執(zhí)行掃描并報告結(jié)果的請求。
圖6示出簡單示例性網(wǎng)絡(luò)的每個實(shí)體處的消息傳遞和任務(wù)分派。
圖7示出檢測欺騙性接入點(diǎn)的方法的一個實(shí)施例的流程圖。
具體實(shí)施例方式
這里描述了一種用于檢測包括惡意和非惡意接入點(diǎn)在內(nèi)的欺騙性接入點(diǎn)的方法。將在WLAN的IEEE 802.11標(biāo)準(zhǔn)的場境中描述本發(fā)明。但是,本發(fā)明不限于遵循IEEE 802.11標(biāo)準(zhǔn)的WLAN。
被管理的無線網(wǎng)絡(luò)本發(fā)明的一個實(shí)施例在被管理的無線網(wǎng)絡(luò)中進(jìn)行操作,在所述被管理的無線網(wǎng)絡(luò)中,AP及其客戶端被中央管理實(shí)體所管理。根據(jù)大小和復(fù)雜度,被管理的網(wǎng)絡(luò)或者是一組具有中央控制實(shí)體的AP,或者是具有一組分級控制域的分級結(jié)構(gòu)。每個控制域由在這里被我們稱為管理器的管理實(shí)體所管理。分級層次結(jié)構(gòu)中的級別數(shù)目依賴于網(wǎng)絡(luò)的復(fù)雜度和/或大小,從而不是所有被管理的網(wǎng)絡(luò)都具有所有的控制級別。例如,簡單的被管理網(wǎng)絡(luò)可能只有一個控制級別,其中單個管理實(shí)體控制所有AP。影響控制域的選擇的因素包括以下因素中的一個或多個各種類型的IP子網(wǎng)配置;接入點(diǎn)的無線電鄰近度;客戶端站點(diǎn)漫游樣式;實(shí)時漫游要求;以及網(wǎng)絡(luò)的物理約束(例如園區(qū)、建筑物等等)。
例如,一組分級域包括WLAN園區(qū)控制域,它是在WLAN的無線電、移動性、QoS和安全性方面的綜合控制區(qū)域。一般而言,園區(qū)控制域跨越位于特定地理位置中的企業(yè)園區(qū)。注意,可以讓更高級別的網(wǎng)絡(luò)控制實(shí)體將多個園區(qū)控制域接合在一起。隨著WLAN的擴(kuò)張,它可能增大到以至于單個控制實(shí)體無法處理園區(qū)中的所有AP的智能控制。在這種情況下,WLAN園區(qū)控制域可以被分割成WLAN本地控制域,其中每一個提供WLAN園區(qū)控制域中所見到的功能的子集。WLAN本地控制域例如可以跨越單個建筑物。
WLAN本地控制域可包括一個或多個子網(wǎng)控制域。子網(wǎng)控制域包括單個IP子網(wǎng)或原始虛擬LAN(VLAN)內(nèi)的所有AP。注意,如果不存在WLAN本地控制域,則子網(wǎng)控制域?qū)槐话ㄔ赪LAN園區(qū)控制域內(nèi)。
域被我們稱為管理器的一個或多個管理實(shí)體所控制。由于控制域的分級性質(zhì),相關(guān)聯(lián)的管理器也必然是以分級方式連接的。從而,在上述示例中,我們稱為園區(qū)場境管理器,也被稱為WLAN管理器的控制器是分級層次結(jié)構(gòu)中的場境控制的最高點(diǎn)。WLAN管理器管理無線網(wǎng)絡(luò)的幾個方面,例如安全性,并且在一個實(shí)施例中,授權(quán)網(wǎng)絡(luò)中的一組接入點(diǎn)(我們稱之為被管理的接入點(diǎn)),其中包括維護(hù)AP數(shù)據(jù)庫,該AP數(shù)據(jù)庫包括被管理的AP,例如被管理AP的列表以及與這些AP相關(guān)的某些數(shù)據(jù)。AP數(shù)據(jù)庫還包括關(guān)于WLAN管理器知悉的其他AP的信息。WLAN管理器還管理本發(fā)明的欺騙性AP檢測方面。通常部署單個WLAN管理器來處理企業(yè)園區(qū)內(nèi)的所有無線客戶端。
如果給定WLAN被分割成多個本地控制域,則我們稱為本地場境管理器的管理器提供WLAN分級層次結(jié)構(gòu)中的場境控制的下一個點(diǎn),該點(diǎn)就在WLAN管理器之下。本地場境管理器管理這些本地控制域中的每一個內(nèi)的客戶端場境信息,并且提供幾乎所有與WLAN管理器相同的功能。
在WLAN本地控制域內(nèi),有各種控制管理器,這些管理器處理WLAN的不同方面,例如QoS、客戶端場境傳送以及無線電管理。本發(fā)明關(guān)注無線電管理。
如果不存在本地控制域,則其他控制管理器實(shí)質(zhì)上將會與WLAN管理器在相同的級別上進(jìn)行操作。
我們稱為子網(wǎng)場境管理器的控制器提供WLAN分級層次結(jié)構(gòu)內(nèi)的最低級別的場境控制。在每個子網(wǎng)(或原始VLAN)內(nèi)使用一個子網(wǎng)場境管理器來協(xié)調(diào)用于漫游的客戶端場境傳送。子網(wǎng)場境管理器管理子網(wǎng)內(nèi)的客戶端場境傳送。在一個實(shí)施例中,支持移動IP,而無需對客戶端進(jìn)行任何修改。子網(wǎng)場境管理器與AP聯(lián)合工作,提供代理移動IP服務(wù),并且代表子網(wǎng)內(nèi)的所有客戶端透明地處理所有的移動IP信令要求。
我們稱為無線電管理器的控制器提供對給定的一組AP內(nèi)的無線電環(huán)境的各種方面的智能集中式控制。單個無線電管理器處理給定WLAN本地控制域內(nèi)的所有AP的無線電方面,或者如果不存在本地控制域,則處理WLAN園區(qū)控制域內(nèi)的所有AP的無線電方面。無線電管理器提供以下能力在初始網(wǎng)絡(luò)部署和網(wǎng)絡(luò)擴(kuò)張期間確定整個網(wǎng)絡(luò)的無線電參數(shù)。無線電管理器例如為了檢測欺騙性接入點(diǎn)而集中地協(xié)調(diào)所有的客戶端和AP測量。
本發(fā)明的各方面是實(shí)現(xiàn)在無線電管理器上的,并且利用在無線管理器的控制或引導(dǎo)下進(jìn)行的測量。但是,本發(fā)明不要求有單獨(dú)的無線電管理器實(shí)體。無線電管理器的功能可以被結(jié)合到任何其他實(shí)體中,例如結(jié)合到本地場境管理器中,或者在沒有本地控制域的情況下結(jié)合到WLAN管理器中。此外,這些實(shí)體可以與其他功能相結(jié)合,所述其他功能例如是交換、路由等等。
其他管理實(shí)體可被包括在本地控制域處,或者在沒有本地控制域的情況下被包括在園區(qū)控制域處,例如為任何子網(wǎng)場境管理器提供標(biāo)準(zhǔn)設(shè)備網(wǎng)絡(luò)管理功能的網(wǎng)絡(luò)管理、服務(wù)質(zhì)量(QoS)管理等等。
當(dāng)WLAN被管理時,本發(fā)明的(一般而言WLAN管理的)一個或多個方面使用存儲在我們稱為配置數(shù)據(jù)庫的持久性數(shù)據(jù)庫中的信息。配置數(shù)據(jù)庫是所有的子網(wǎng)場境管理器都可用來保存任何持久性數(shù)據(jù)的倉庫。在一種配置中,單個配置數(shù)據(jù)庫存在于WLAN園區(qū)控制域內(nèi)。配置數(shù)據(jù)庫或者與園區(qū)場境管理器共存,或者外部數(shù)據(jù)庫可以被使用。配置數(shù)據(jù)庫還包括AP數(shù)據(jù)庫,該AP數(shù)據(jù)庫包括關(guān)于被管理的AP以及WLAN管理器知曉的其他AP的信息。
這里參考圖1中所示的簡單網(wǎng)絡(luò)說明本發(fā)明。該網(wǎng)絡(luò)未被劃分成本地控制域。假定所有的管理器都被結(jié)合到可訪問配置數(shù)據(jù)庫的單個管理實(shí)體(WLAN管理器103)中。要理解,WLAN管理器結(jié)合了無線電管理器的功能。在一個實(shí)施例中,WLAN基本上遵循IEEE 802.11標(biāo)準(zhǔn)?;旧献裱囊馑际桥c之兼容。IEEE 802.11標(biāo)準(zhǔn)的某些方面被略作修改,以適應(yīng)本發(fā)明中使用的某些管理方面。此外,網(wǎng)絡(luò)的站點(diǎn)相對準(zhǔn)確地測量接收信號強(qiáng)度。
在一個實(shí)施例中,上述無線網(wǎng)絡(luò)管理實(shí)體中的每一個都實(shí)現(xiàn)為在處理系統(tǒng)上的網(wǎng)絡(luò)操作系統(tǒng)之下運(yùn)行的軟件,所述網(wǎng)絡(luò)操作系統(tǒng)例如是IOS(Cisco系統(tǒng)公司,San Jose California),所述處理系統(tǒng)包括一個或多個處理器并且還實(shí)現(xiàn)其他網(wǎng)絡(luò)功能。從而,包括本發(fā)明的多方面的WLAN管理器可實(shí)現(xiàn)在網(wǎng)絡(luò)交換機(jī)或路由器上。類似地,子網(wǎng)場境管理器可實(shí)現(xiàn)在網(wǎng)絡(luò)交換機(jī)或路由器上。
在圖1中,WLAN管理器103被示為包括處理系統(tǒng)123,該處理系統(tǒng)123包括一個或多個處理器和存儲器121。存儲器121包括致使處理系統(tǒng)123的一個或多個處理器實(shí)現(xiàn)本發(fā)明的在WLAN管理器中實(shí)現(xiàn)的方面的指令。WLAN管理器包括網(wǎng)絡(luò)接125,該網(wǎng)絡(luò)接口125用于耦合到網(wǎng)絡(luò),通常是有線網(wǎng)絡(luò)。在一個實(shí)施例中,WLAN管理器103是網(wǎng)絡(luò)交換機(jī)的一部分。
WLAN管理器103經(jīng)由其網(wǎng)絡(luò)接口125和網(wǎng)絡(luò)(通常是有線網(wǎng)絡(luò))耦合到一組子網(wǎng)場境管理器。一個這種子網(wǎng)場境管理器在圖1中被示為元件105。子網(wǎng)中的所有被管理的AP都向子網(wǎng)場境管理器注冊。例如,在圖1中,名稱為AP1和AP2(分別是107和109)的AP各自是相同的子網(wǎng)的一部分,并且具有去到子網(wǎng)場境管理器105的網(wǎng)絡(luò)連接。于是WLAN管理器103與AP 107和109之間的任何管理通信都經(jīng)由子網(wǎng)場境管理器105。
客戶端站點(diǎn)與AP相關(guān)聯(lián)。從而,在圖1中,AP 107和109各自被示為分別具有相關(guān)聯(lián)的客戶端113、115和117、119。被管理的客戶端指與被管理的AP相關(guān)聯(lián)的客戶端。從而被管理的無線站點(diǎn)或者是被管理的AP,或者是被管理的客戶端。從而,客戶端113、115、117和119是被管理的客戶端。
圖2示出存在幾個欺騙性AP的情況下圖1的被管理網(wǎng)絡(luò),并且示出利用本發(fā)明的實(shí)施例可以檢測到的欺騙性AP的類型。被管理的AP 107和109各自的無線電范圍的大致極限分別由虛線217和219所示。例如,惡意AP被示為具有無線電范圍極限223的AP3203。兩個非惡意的欺騙者被示為標(biāo)號分別是205和209并且分別具有大致無線電范圍極限225和229的AP4和AP6。另一個未被管理的AP被示為具有大致無線電范圍極限227的AP5207。在此示例中,假定AP5位于被管理的AP 107的被管理的客戶端經(jīng)常出入的咖啡館處。從而,欺騙性AP 203與被管理的AP2109的客戶端119處于無線電范圍中。類似地,欺騙性AP4 203與被管理的AP1 107的客戶端115處于無線電范圍中。欺騙性AP6 209處于被管理的AP1 107的范圍中。被管理的客戶端113處于AP5的無線電范圍中而不在其正常被管理AP 107的無線電范圍中,后來返回其被管理AP 107的無線電范圍中。
無線電測量無線網(wǎng)絡(luò)使用MAC層處的為管理目的而設(shè)計、發(fā)送和接收的管理幀。例如,在遵循IEEE 802.11標(biāo)準(zhǔn)的WLAN中,AP定期發(fā)送宣告AP的存在的信標(biāo)幀,即向潛在客戶端廣告AP的服務(wù),以便客戶端可以與AP相關(guān)聯(lián)。類似地,客戶端可發(fā)送探測請求幀,以請求其無線電范圍中的任何AP以探測響應(yīng)幀做出響應(yīng),所述探測響應(yīng)幀以類似于信標(biāo)幀的方式為發(fā)出請求的客戶端(以及處于其無線電范圍中并且能夠接收其信道的任何其他無線電裝置)提供足夠供客戶端決定是否與該AP相關(guān)聯(lián)的信息。
本發(fā)明的多個方面使用來自和/或關(guān)于在AP和/或客戶端站點(diǎn)處接收到的信標(biāo)和探測響應(yīng)的數(shù)據(jù)。這種數(shù)據(jù)的獲得和接收由WLAN管理器103所管理。
被動掃描是指監(jiān)聽信標(biāo)和探測響應(yīng),而不首先發(fā)送探測請求。從而,對于AP,被動掃描是對來自如下信標(biāo)和探測響應(yīng)的信息的監(jiān)聽和記錄,其中的信標(biāo)和探測響應(yīng)是來自發(fā)送這種信標(biāo)和探測響應(yīng)的其他AP的。對于客戶端,被動掃描是對來自如下信標(biāo)和探測響應(yīng)的信息的監(jiān)聽和記錄,其中的信標(biāo)和探測響應(yīng)是來自除了發(fā)送這種信標(biāo)和探測響應(yīng)的客戶端AP外的其他AP的。
使用被動掃描是本發(fā)明的一個重要方面,因?yàn)樗峁┝伺c站點(diǎn)(例如AP)處的正常處理同時的欺騙檢測。
主動掃描是指在監(jiān)控信標(biāo)和探測響應(yīng)之前發(fā)送探測請求。主動和被動掃描可發(fā)生在用于無線通信的同一信道(“服務(wù)”信道)或其他信道(“非服務(wù)”信道)上。對于非服務(wù)信道,通常使用主動掃描。一種方法被我們稱之為遞增式主動掃描,其中站點(diǎn)探測另一個信道。另一種方法被我們稱為完全主動掃描,其中服務(wù)信道被騰空以探測所有信道。大多數(shù)無線網(wǎng)絡(luò)接口設(shè)備都支持一種通常被稱為監(jiān)視器模式的模式,在這種模式中所有信道上的流量都被記錄,這一點(diǎn)可用于完全主動掃描。
圖3示出無線站點(diǎn)300的一個實(shí)施例,該無線站點(diǎn)300可以是AP或客戶端站點(diǎn),并且實(shí)現(xiàn)本發(fā)明的一個或多個方面。雖然諸如站點(diǎn)300這樣的無線站點(diǎn)一般而言是現(xiàn)有技術(shù),但是包括本發(fā)明的多個方面的無線站點(diǎn),例如采取軟件形式的無線站點(diǎn)卻不一定是現(xiàn)有技術(shù)。無線電部分301包括一個或多個天線303,這些天線耦合到包括模擬RF部分和數(shù)字調(diào)制解調(diào)器的無線電收發(fā)器305。從而無線電部分實(shí)現(xiàn)了物理層(PHY)。PHY 301的數(shù)字調(diào)制解調(diào)器耦合到實(shí)現(xiàn)站點(diǎn)的MAC處理的MAC處理器307。MAC處理器307經(jīng)由一個或多個總線連接到主機(jī)處理器313,所述一個或多個總線被象征性地示為單個總線子系統(tǒng)311。主機(jī)處理器包括連接到在此處被示為總線子系統(tǒng)311的一部分的主機(jī)總線的存儲器子系統(tǒng),例如RAM和/或ROM。站點(diǎn)300包括到有線網(wǎng)絡(luò)的接口321。
在一個實(shí)施例中,MAC處理,例如IEEE 802.11MAC協(xié)議是完全實(shí)現(xiàn)在MAC處理器307處的。處理器307包括存儲器,該存儲器存儲指令,這些指令供MAC處理器307用于實(shí)現(xiàn)MAC處理以及在一個實(shí)施例中實(shí)現(xiàn)本發(fā)明所使用的附加處理中的某些或全部。存儲器通常但不一定是ROM,軟件通常采取固件的形式。
MAC處理器被主機(jī)處理器313所控制。在一個實(shí)施例中,MAC處理中的某些在MAC處理器307處實(shí)現(xiàn),某些在主機(jī)處實(shí)現(xiàn)。在這種情況下,主機(jī)313的用于實(shí)現(xiàn)主機(jī)實(shí)現(xiàn)的MAC處理的指令被存儲在存儲器315中。在一個實(shí)施例中,本發(fā)明所使用的附加處理中的某些或全部也由主機(jī)實(shí)現(xiàn)。這些指令被示為存儲器的部分317。
根據(jù)本發(fā)明的一個方面,每個諸如站點(diǎn)300這樣的站點(diǎn)維護(hù)其接收到的信標(biāo)和探測響應(yīng)的數(shù)據(jù)庫。在一種或多種情況下,例如當(dāng)站點(diǎn)確定是否與AP相關(guān)聯(lián)時,信標(biāo)和探測響應(yīng)被存儲在數(shù)據(jù)庫中。在本發(fā)明的多個方面的場境中,作為主動掃描或被動掃描的結(jié)果,在站點(diǎn)處接收到的信標(biāo)和探測響應(yīng)被存儲在數(shù)據(jù)庫中。我們將此數(shù)據(jù)庫稱為信標(biāo)表。如圖3中所示,在一個實(shí)施例中,信標(biāo)表319處于站點(diǎn)的存儲器315中。其他實(shí)施例將信標(biāo)表319存儲在存儲器315外部。站點(diǎn)將信標(biāo)和探測響應(yīng)中的信息存儲在其信標(biāo)表319中,并且還在其接收到信標(biāo)時存儲關(guān)于站點(diǎn)狀態(tài)的附加信息。
根據(jù)本發(fā)明的一個方面,諸如站點(diǎn)300這樣的站點(diǎn)在實(shí)現(xiàn)AP時能夠進(jìn)行被動掃描。根據(jù)本發(fā)明的另一個方面,諸如站點(diǎn)300這樣的站點(diǎn)在實(shí)現(xiàn)客戶端站點(diǎn)時能夠進(jìn)行被動掃描。
由于站點(diǎn)將其接收到的信標(biāo)和探測響應(yīng)存儲在其信標(biāo)表中,因此被動掃描的一種形式包括簡單地報告站點(diǎn)的信標(biāo)表的累積內(nèi)容。注意,另一種實(shí)施例可包括站點(diǎn)在指定時間段中監(jiān)聽并在指定時間段中報告遞增式信標(biāo)表信息。
根據(jù)另一個方面,諸如站點(diǎn)300這樣的站點(diǎn)在實(shí)現(xiàn)AP時能夠進(jìn)行主動掃描,尤其是遞增式主動掃描。為了實(shí)現(xiàn)遞增式主動掃描,AP將其服務(wù)信道騰空,并通過在這個/這些信道上發(fā)送探測請求幀來探測一個或多個信道。AP通過安排無競爭時段(CFP)來防止客戶端傳輸?;蛘撸珹P可通過發(fā)送持續(xù)時間長到足以覆蓋主動掃描時間的未經(jīng)請求的CTS來防止客戶端傳輸。根據(jù)另一個方面,站點(diǎn)300在實(shí)現(xiàn)客戶端時能夠進(jìn)行主動掃描,尤其是遞增式主動掃描。為了實(shí)現(xiàn)遞增式主動掃描,客戶端站點(diǎn)騰空其服務(wù)信道并通過在這個/這些信道上發(fā)送探測請求來探測一個或多個信道。在客戶端的情況下,主動掃描包括報告回探測其他信道的結(jié)果。為了防止來自服務(wù)AP的客戶端傳輸,客戶端必須指示其處于節(jié)電模式?;蛘?,客戶端可使用諸如應(yīng)用操作這樣的特定本地知識來確保AP不會發(fā)送任何定向到客戶端的傳輸。
掃描包括存儲在站點(diǎn)處接收到的來自信標(biāo)和探測響應(yīng)的信息,例如通過在信標(biāo)表中進(jìn)行被動或主動掃描而接收到的。
無線電管理任務(wù)和通信協(xié)議本發(fā)明的多個方面在被管理的AP及其客戶端中使用無線電測量,這尤其是因?yàn)閷π艠?biāo)和探測響應(yīng)的被動和/或主動掃描而引起的。一個實(shí)施例使用添加了發(fā)送功率控制(TPC)和動態(tài)頻率選擇(DFS)的修改后的MAC協(xié)議。這可以是對IEEE 802.11h標(biāo)準(zhǔn)的修改。TPC將發(fā)送功率限制到達(dá)到最遠(yuǎn)的用戶所需的最小值。DFS選擇AP處的無線電信道以使與諸如雷達(dá)之類的其他系統(tǒng)的干擾最小。從而IEEE 802.11h提案提供了功率控制、信道掃描和頻率選擇。但是,發(fā)明人發(fā)現(xiàn)802.11的測量降低了吞吐量。IEEE 802.11h體系結(jié)構(gòu)(2003年6月)使用一對一請求/響應(yīng)機(jī)制,這種機(jī)制效率可能不高。
這里更詳細(xì)描述的另一種實(shí)施例使用了一種協(xié)議,這種協(xié)議與目前提議的802.11協(xié)議的不同之處在于提供了AP處的任務(wù)分派,進(jìn)而提供了客戶端處的任務(wù)分派,以便根據(jù)時間安排自治地執(zhí)行信標(biāo)和探測響應(yīng)的被動和/或主動掃描。
在一個實(shí)施例中,對于檢測到的每個AP,所報告的信息包括關(guān)于檢測的信息,以及關(guān)于或獲得自信標(biāo)/探測響應(yīng)的內(nèi)容的信息。檢測信息包括以下的一個或多個·檢測到的AP的BSSID,例如采取MAC地址的形式。
·接收AP的探測響應(yīng)的信道。
·接收站點(diǎn)的MAC地址。
·信標(biāo)/探測響應(yīng)的接收者的PHY處檢測到的RSSI。
·接收站點(diǎn)的PHY處可獲得的接收到的信標(biāo)/探測響應(yīng)的接收信號質(zhì)量的任何其他量度。
·接收到的其他信標(biāo)。這可幫助定位檢測站點(diǎn)。
所發(fā)送的信標(biāo)/探測響應(yīng)信息包括以下的一個或多個·信標(biāo)或探測響應(yīng)中的SSID。
·信標(biāo)時間(TSF定時器)信息。在一個實(shí)施例中,這是以TSF偏移的形式發(fā)送的,TSF偏移是通過將信標(biāo)/探測響應(yīng)中的時間戳與接收響應(yīng)的被管理AP處或接收響應(yīng)的被管理客戶端處的TSF定時器相比較而確定的。
·接收到的信標(biāo)/探測響應(yīng)中包括的配置參數(shù)。
注意這些信息中的某些超出目前(2003年6月)為IEEE 802.11h提議的那些。另注意雖然IEEE 802.11標(biāo)準(zhǔn)指定在物理層(PHY)處確定相對RSSI值,但是本發(fā)明的一個方面利用了以下事實(shí)許多現(xiàn)代無線電裝置包括了提供相對精確的絕對RSSI測量的PHY。從而,報告包括在接收到的信標(biāo)/探測響應(yīng)的接收者的PHY處檢測到的RSSI。在一個實(shí)施例中,在PHY處檢測到的RSSI被用于根據(jù)路徑損耗確定位置信息。
一個實(shí)施例使用我們稱為WLAN管理器到AP測量協(xié)議的協(xié)議來建立被動和/或主動掃描以及傳輸其報告。根據(jù)此協(xié)議,WLAN管理器可以直接或經(jīng)由一個或多個子網(wǎng)場境管理器向一個或多個被管理的AP發(fā)送我們稱為測量請求消息的消息,或者從一個或多個被管理的AP接收我們稱為測量報告消息的報告消息。消息被封裝在IP分組中,例如封裝在以太網(wǎng)幀或UDP/TCP/IP分組中。在一個實(shí)施例中,以太網(wǎng)被用在子網(wǎng)場境管理器和AP之間,而IP封裝被用于子網(wǎng)間消息。
在測量請求消息要去到子網(wǎng)場境管理器的情況下,測量請求消息包括一個或多個AP可位于其中的測量請求路由選擇列表以及用于這種AP的請求消息。接收測量請求消息的子網(wǎng)場境管理器以用于每個目的地AP的個體測量請求消息的形式將請求消息轉(zhuǎn)發(fā)到路由選擇列表中的每個AP。每個去到AP的測量請求消息包括關(guān)于采取什么動作、如何采取這些動作以及何時采取這些動作的指定并應(yīng)用于AP,并且在一個實(shí)施例中,適用于AP的客戶端中的一個或多個。根據(jù)測量請求消息,AP安排其自己的測量。在一個實(shí)施例中,WLAN管理器到AP測量協(xié)議提供了對指定持續(xù)時間的測量流的請求以及以指定周期率進(jìn)行的循環(huán)。WLAN管理器可請求測量被串行或并行執(zhí)行。
接收測量請求消息的AP安排實(shí)際測量。在一個實(shí)施例中,接收測量請求消息的AP以我們稱為測量請求確認(rèn)消息的消息做出響應(yīng),而在另一個實(shí)施例中,不使用確認(rèn)。
在測量請求消息包括對于一個或多個客戶端的安排的情況下,AP將測量請求消息翻譯成對每個客戶端的測量請求。在一個實(shí)施例中,AP和客戶端之間的測量通信使用遵循IEEE 802.11標(biāo)準(zhǔn)MAC協(xié)議的修改的MAC幀,在這里我們將此修改稱為AP到客戶端測量MAC協(xié)議。
接收測量請求消息的AP周期性地發(fā)送在這里我們稱為測量報告消息的報告消息,該消息包括來自每個執(zhí)行測量的站點(diǎn)的報告。每個站點(diǎn)的報告部分包括執(zhí)行測量的站點(diǎn)的類型(AP、客戶端等等),測量站點(diǎn)的MAC以及實(shí)際測量數(shù)據(jù)。在本發(fā)明中,我們關(guān)注站點(diǎn)處接收到的信標(biāo)和探測響應(yīng)的報告,在一個實(shí)施例中,這種報告包括例如以dBm為單位的接收信號強(qiáng)度(RSSI)、信道、測量持續(xù)時間、BSSID、信標(biāo)/探測響應(yīng)中的TSF信息、接收信標(biāo)/探測響應(yīng)的站點(diǎn)的TSF信息、信標(biāo)間隔、信標(biāo)中包含的能力以及一個或多個其他信息項(xiàng)。
如果不涉及子網(wǎng)場境管理器,則測量報告消息被直接發(fā)送到WLAN管理器。在場境管理器處于去到WLAN管理器的路徑中的情況下,子網(wǎng)場境管理器接收來自其子網(wǎng)中的一組AP的測量報告消息,并且聚集這些消息以形成包括個體報告的聚集報告。然后聚集報告作為測量報告消息被發(fā)送到WLAN管理器。
AP到客戶端測量MAC協(xié)議AP到客戶端測量MAC協(xié)議包括被修改以包括可能被本發(fā)明的一個或多個實(shí)施例使用的附加信息的標(biāo)準(zhǔn)IEEE 802.11的標(biāo)準(zhǔn)幀。遵循AP到客戶端測量MAC協(xié)議的任何標(biāo)準(zhǔn)類型的MAC幀都包括關(guān)于這種遵循的指示。例如,關(guān)聯(lián)請求幀包括指示站點(diǎn)是否支持包括執(zhí)行和報告這里所描述的客戶端測量的能力在內(nèi)的無線電管理的元素。遵循AP到客戶端測量MAC協(xié)議的信標(biāo)幀和探測幀可包括發(fā)送該幀的AP的發(fā)送功率。
來自AP的被我們稱為測量請求幀的幀請求客戶端在所安排的掃描時間進(jìn)行主動或被動掃描,并且在所安排的報告時間做出報告。從客戶端到AP的另一個消息按照時間安排產(chǎn)生回到AP的報告。測量請求幀包括將被響應(yīng)客戶端所使用的標(biāo)識符、指示何時采取動作的時間安排信息以及一個或多個測量報告元素的集合。測量報告元素包括關(guān)于哪類報告被請求的指示,例如來自主動掃描的報告,來自被動掃描的報告或者在沒有任何掃描的情況下的站點(diǎn)的累積信標(biāo)表。
來自客戶端的被我們稱為測量報告幀的幀響應(yīng)于測量請求幀提供報告。報告幀包括提供報告的站點(diǎn)的MAC地址、來自相應(yīng)測量請求幀的標(biāo)識符以及一個或多個測量元素。對于信標(biāo)或探測響應(yīng)的情況,測量元素包括以下的一個或多個信道號碼、測量信標(biāo)/探測響應(yīng)的持續(xù)時間、PHY類型(DSS、5GHz OFDM等等)、信標(biāo)/探測響應(yīng)的RSSI、父TSF(例如客戶端接收到信標(biāo)或探測響應(yīng)時服務(wù)AP的TSF的較低位中的全部或某些)、信標(biāo)/探測響應(yīng)中的TSF以及接收到的信標(biāo)/探測響應(yīng)幀中的一個或多個其他元素。
利用無線電測量進(jìn)行的欺騙性AP檢測欺騙性檢測方法的一個實(shí)施例使用關(guān)于被WLAN管理器107管理的AP和/或客戶端站點(diǎn)所接收到的信標(biāo)和探測響應(yīng)的信息。將利用圖6以示例方式描述該方法,圖6示出WLAN管理器103、子網(wǎng)場境管理器105、子網(wǎng)場境管理器105的子網(wǎng)中的AP 107以及AP 107的客戶端115所執(zhí)行的任務(wù)和消息傳遞。
使用無線電測量的整體方法圖7示出該方法的基本步驟。在步驟703中,WLAN管理器107維護(hù)包括關(guān)于其管理的AP的信息的AP數(shù)據(jù)庫。AP數(shù)據(jù)庫還包括關(guān)于被管理的AP以及關(guān)于位于被管理的網(wǎng)絡(luò)附近的或者已知是被管理的AP的客戶端(即被管理的客戶端)的并且已知不會對被管理的無線網(wǎng)絡(luò)造成問題(即干擾)的已知AP的信息。這些AP被稱為友好AP。友好AP的一個示例是這樣的咖啡店處的一個AP在該咖啡店中,企業(yè)雇員經(jīng)常利用作為被管理的客戶端并且與這個友好AP相關(guān)聯(lián)的計算機(jī)進(jìn)行工作。AP數(shù)據(jù)庫還包括關(guān)于欺騙性AP的信息。在一個實(shí)施例中,AP數(shù)據(jù)庫在配置數(shù)據(jù)庫中,并且不時被自動更新。
存儲在AP數(shù)據(jù)庫中的關(guān)于AP的信息包括從來自這種AP的任何信標(biāo)或探測響應(yīng)幀中獲得的信息,以及關(guān)于AP的任何802.11信息。在一個實(shí)施例中,802.11信息包括最大功率、頻率以及其他802.11參數(shù)。在某個實(shí)施例中,信息還可包括位置信息。在某個實(shí)施例中,每個AP的信息還可包括其他字段,例如用于無線網(wǎng)絡(luò)管理的其他方面的字段。例如,在被管理的網(wǎng)絡(luò)中,有可能AP的無線電設(shè)置被管理,從而WLAN管理器知道AP的無線電設(shè)置。AP的位置也可能是已知的。
本發(fā)明的一個方面將從掃描信標(biāo)或探測響應(yīng)獲得的信息與AP數(shù)據(jù)庫中的信息相比較。比較是對來自被管理的AP(在一個實(shí)施例中是被管理的AP的客戶端)的關(guān)于從潛在的欺騙性AP接收到的信標(biāo)或探測響應(yīng)的信息與存儲在AP數(shù)據(jù)庫中的關(guān)于被管理的AP、友好AP以及已知或可疑欺騙性AP的信息進(jìn)行的。
在一個實(shí)施例中,AP數(shù)據(jù)庫的維護(hù)包括不時更新AP數(shù)據(jù)庫中的信息。更新是自動的,例如只要獲得關(guān)于潛在的欺騙性AP的新信息或者只要改變了AP配置就進(jìn)行更新。
從而,在步驟707中,WLAN管理器向一個或多個被管理的AP發(fā)送一個或多個請求以執(zhí)行掃描。在一個實(shí)施例中,AP所進(jìn)行的掃描是被動掃描。在另一個實(shí)施例中,AP所進(jìn)行的掃描是對潛在欺騙性AP可能在其上進(jìn)行發(fā)送的一個或多個信道的主動掃描。由于欺騙性AP可以位于任何被管理的AP的無線電范圍之外,但仍在被管理的AP的一個或多個客戶端的范圍中,因此在一個實(shí)施例中,對被管理的AP的請求包括請求這種AP的客戶端執(zhí)行掃描的指令。在一個實(shí)施例中,被管理的客戶端所進(jìn)行的掃描是被動掃描。在另一個實(shí)施例中,被管理的客戶端所進(jìn)行的掃描是對潛在的欺騙性AP可能在其上進(jìn)行發(fā)送的一個或多個信道的主動掃描。
作為這種請求的結(jié)果,在步驟707中,WLAN管理器接收來自AP及其客戶端的關(guān)于AP和/或客戶端進(jìn)行的掃描中接收到的任何信標(biāo)和探測響應(yīng)的報告。
在步驟709中,WLAN管理器分析在接收到報告中的關(guān)于發(fā)送接收到的信標(biāo)或探測響應(yīng)的AP的信息,所述分析包括與AP數(shù)據(jù)庫中的信息相比較。分析步驟在下文中更詳細(xì)討論。總而言之,步驟709是用于確定發(fā)送AP是否在AP數(shù)據(jù)庫中。發(fā)送響應(yīng)的AP的MAC地址(BSSID)被用于搜索AP數(shù)據(jù)庫以查找匹配。在一個實(shí)施例中,分析包括將信標(biāo)/探測響應(yīng)中的配置信息與存儲在AP數(shù)據(jù)庫中的關(guān)于被管理的AP的配置的信息相比較。在一個實(shí)施例中,分析還包括使用定時信息。在一個實(shí)施例中,分析還包括使用被管理的AP的已知位置信息以及定時信息來確定潛在欺騙性AP的大致位置,以便進(jìn)一步斷定AP是否可能是欺騙者。分析步驟709的結(jié)果包括將每個AP分類為友好AP或潛在的欺騙性AP。
一個實(shí)施例還包括步驟711,該步驟嘗試定位接收到信標(biāo)和/或探測響應(yīng)的接收站點(diǎn),以嘗試定位一個(或多個)潛在的欺騙性AP,以便進(jìn)一步斷定AP是否可能是欺騙者。一種定位方法使用接收信標(biāo)/探測響應(yīng)的站點(diǎn)處的RSSI以及校準(zhǔn)后的環(huán)境路徑損耗模型,該模型提供各種位置處去到/來自已知位置處的被管理站點(diǎn)的路徑損耗。該方法在下文中以及同時遞交的、發(fā)明人為Kaiser等人、案卷/參考號為CISCO-7391、名稱為“RADIOLOCATION USING PATH LOSS DATA”的未決美國專利申請序列號10/629.384中進(jìn)一步描述,該專利申請已被轉(zhuǎn)讓給了本發(fā)明的受讓人,在這里通過引用將其包含進(jìn)來。
一個實(shí)施例還包括步驟713,該步驟將分析的結(jié)果與一個或多個互補(bǔ)欺騙性AP檢測技術(shù)的結(jié)果相結(jié)合。一個這種互補(bǔ)技術(shù)包括客戶端向服務(wù)AP報告先前與AP進(jìn)行的失敗認(rèn)證嘗試,例如包括通過其MAC地址來識別可疑AP。一個實(shí)現(xiàn)方式使用IEEE 802.1X而不是IEEE 802.11安全性系統(tǒng),根據(jù)該安全性系統(tǒng)客戶端和AP被置于認(rèn)證服務(wù)器數(shù)據(jù)庫中。當(dāng)客戶端認(rèn)證時,會話密鑰被單獨(dú)遞送到客戶端和接入點(diǎn)。當(dāng)客戶端在已經(jīng)向認(rèn)證服務(wù)器認(rèn)證之后卻無法使用會話密鑰時,客戶端檢測到失敗認(rèn)證。客戶端最終與另一個現(xiàn)在已被管理的AP相關(guān)聯(lián),并且經(jīng)由被管理的AP向WLAN管理器報告潛在的欺騙性AP。這種互補(bǔ)方法在2001年7月27日遞交的、發(fā)明人為Halasz等人、名稱為“ROGUE AP DETECTION”的未決美國專利申請S/N 09/917,122中描述,該專利申請已被轉(zhuǎn)讓給了本發(fā)明的受讓人,此處通過引用將其包含進(jìn)來。
利用無線電定位,無線網(wǎng)絡(luò)管理員(負(fù)責(zé)WLAN管理的IT人員;WLAN管理器的用戶)可嘗試物理地定位AP。在定位到AP之后,管理員可將AP分類為欺騙性的、被管理的或友好的,并且利用關(guān)于AP的信息更新WLAN數(shù)據(jù)庫,所述信息中包括對AP的分類欺騙性的、被管理的或友好的。如果是欺騙性AP,則網(wǎng)絡(luò)管理員可發(fā)出警告。
在一個實(shí)施例中,用于判斷AP是友好的還是欺騙性的標(biāo)準(zhǔn)集合由無線網(wǎng)絡(luò)管理員設(shè)置,并且被存儲在配置數(shù)據(jù)庫中。
建立掃描和接收報告圖4的流程圖更詳細(xì)包括了建立、請求和接收掃描報告的步驟705和707。另參見示出每個實(shí)體處的消息傳遞和任務(wù)的圖6。在步驟403中,在WLAN管理器103處,無線網(wǎng)絡(luò)管理員建立一組掃描參數(shù),這些參數(shù)描述如何獲得關(guān)于被管理的AP所接收到的信標(biāo)和探測響應(yīng)的信息,在一個實(shí)施例中,是關(guān)于被管理的客戶端所接收到的信標(biāo)和探測響應(yīng)的信息。該組掃描參數(shù)包括是主動掃描還是被動掃描或者既有主動掃描又有被動掃描,以及如果是主動掃描,則包括用于主動掃描的一個或多個信道。該組參數(shù)還包括掃描間隔,例如關(guān)于執(zhí)行掃描的頻率的時間安排,在一個實(shí)施例中是關(guān)于執(zhí)行掃描的頻率和持續(xù)時間的時間安排。該組參數(shù)還包括對于是AP還是被管理的客戶端還是既有AP又有客戶端要執(zhí)行掃描的指示。
在步驟405中,WLAN管理器103向AP發(fā)送一個或多個測量請求消息,這些測量請求消息指示AP執(zhí)行掃描,和/或在無線網(wǎng)絡(luò)包括一個或多個子網(wǎng)場境管理器的情況下請求其各自的客戶端執(zhí)行掃描,如圖6中所示,該方法包括為每個子網(wǎng)場境管理器形成包括足以供子網(wǎng)場境管理器用來向其AP發(fā)送測量請求消息的信息的測量請求消息。
在步驟407中,子網(wǎng)場境管理器(例如子網(wǎng)場境管理器105)接收測量請求消息,并且從其中的數(shù)據(jù)中形成個體測量請求消息,并且將這些消息發(fā)送到各自的目標(biāo)AP。
在步驟409中,目標(biāo)AP(例如AP 107)接收測量請求消息,從而根據(jù)請求建立任務(wù)分派。任務(wù)分派包括安排AP本身要執(zhí)行的任何掃描,以及在任務(wù)分派包括一個或多個客戶端的掃描的情況下,通過向適當(dāng)客戶端發(fā)送請求幀并接收來自客戶端的報告幀來安排客戶端要執(zhí)行的掃描。在請求包括AP執(zhí)行掃描的情況下,步驟409包括AP 407執(zhí)行測量請求消息中請求的任何被動和/或主動掃描。這種動作是根據(jù)請求消息中的時間安排來執(zhí)行的,例如以安排的間隔周期性地執(zhí)行等等。
在步驟413中,AP根據(jù)測量請求消息中的時間安排周期性地發(fā)送出測量報告消息。如果AP被請求執(zhí)行掃描,則測量報告消息包括關(guān)于AP接收到的信標(biāo)/探測響應(yīng)的信息,如果AP被請求指示其客戶端執(zhí)行掃描,則測量報告消息包括關(guān)于客戶端接收到的信標(biāo)/探測響應(yīng)的信息。這種信息包括來自信標(biāo)/探測響應(yīng)的信息以及關(guān)于接收到信標(biāo)/探測響應(yīng)時站點(diǎn)的狀態(tài)的信息。從而,如圖6中所示,單個請求消息生成來自AP 107的周期性報告。
在步驟413中,每個子網(wǎng)場境管理器(例如子網(wǎng)場境管理器105)接收其子網(wǎng)中的被管理的AP(例如AP 107)根據(jù)測量請求消息中的時間安排而周期性發(fā)送的測量報告消息。子網(wǎng)場境管理器105將測量報告消息聚集成單個聚集測量報告消息,并將測量報告消息發(fā)送到WLAN管理器103。
WLAN管理器直接或經(jīng)由子網(wǎng)場境管理器接收來自AP的測量報告消息。這就是上述的步驟707。
圖5流程圖描述了包括對安排AP以指示一個或多個客戶端執(zhí)行掃描并報告結(jié)果的請求的測量請求消息的示例。圖5中所示的步驟是根據(jù)測量請求消息中的時間安排來周期性的執(zhí)行的。時間安排由AP執(zhí)行,例如由圖6的AP 107執(zhí)行。從而在步驟503中,在所安排的時刻,AP將測量請求幀發(fā)送到一個或多個客戶端,例如客戶端105。在步驟505中,客戶端接收測量請求幀,并根據(jù)請求的內(nèi)容執(zhí)行所請求的任務(wù),例如執(zhí)行被動掃描、一個或多個指定信道上的主動掃描和/或發(fā)送其累積信標(biāo)表。在步驟507中,站點(diǎn)在執(zhí)行所請求的任何掃描之后,向其服務(wù)AP發(fā)送測量報告幀。在步驟509中,AP接收來自被請求的所有客戶端的測量報告幀。
報告的分析現(xiàn)更詳細(xì)討論分析從掃描獲得的信息的步驟709。WLAN管理器將從掃描接收到的關(guān)于特定AP(包括特定AP的信標(biāo)/探測響應(yīng))的信息與AP數(shù)據(jù)庫中的信息相比較。在一個實(shí)施例中,所述比較搜索AP以查找與特定AP的BSSID的匹配。這種比較可能導(dǎo)致與AP數(shù)據(jù)庫中的信息的匹配,并且例如建議特定AP是被管理的AP。但是,有可能特定AP正在假冒被管理的AP。在一個實(shí)施例中,所述比較包括所獲得的一個或多個已知AP參數(shù),例如通常存儲在信標(biāo)/探測響應(yīng)中的IEEE 802.11標(biāo)準(zhǔn)信息中的部分或全部。在被管理的網(wǎng)絡(luò)中,AP參數(shù)中的某些或全部可以由WLAN管理器所設(shè)置或知悉,并且被存儲AP數(shù)據(jù)庫中。這種參數(shù)包括最大功率設(shè)置、頻率和其他標(biāo)準(zhǔn)802.11參數(shù)中的一個或多個,并且還可包括不是IEEE標(biāo)準(zhǔn)的一部分的特定專用字段。對參數(shù)的比較可進(jìn)一步確定特定AP是否可能是欺騙性AP。
在一個實(shí)施例中,分析接收到的關(guān)于特定AP(包括信標(biāo)/探測響應(yīng))的信息還包括分析定時信息以與被管理的或友好的AP所期望的定時信息相比較。所分析的定時信息是信標(biāo)時間(TSF定時器)偏移的定時信息,該信標(biāo)時間偏移是通過將信標(biāo)/探測響應(yīng)中的時間戳與接收響應(yīng)的被管理的AP處的或者接收響應(yīng)的被管理的客戶端處的TSF定時器相比較來確定的。這種分析可能導(dǎo)致得出以下緒論AP不是被管理的AP。
在一個實(shí)施例中,分析接收到的關(guān)于特定AP(包括AP的信標(biāo)/探測響應(yīng))的信息包括利用來自潛在的欺騙性AP的信標(biāo)/探測響應(yīng)在接收者處的RSSI級別。在信標(biāo)/探測響應(yīng)是由被管理的AP檢測到的情況下,被管理的AP的位置將會是已知的,并且與接收到的RSSI一起被用于大致定位潛在的探測器。在信標(biāo)/探測響應(yīng)是由被管理的AP的客戶端檢測到的情況下,定時信息可能導(dǎo)致WLAN管理器推斷某些位置信息。例如,定時信息可提供與和位置已知的被管理AP相關(guān)聯(lián)的客戶端的時間相聯(lián)系的關(guān)于客戶端何時檢測到信標(biāo)/探測響應(yīng)的指示。
從而,RSSI以及被管理的AP和客戶端的位置信息一起被用于大致確定潛在欺騙性AP的位置,從而進(jìn)一步斷定AP是否可能是欺騙性的。例如,這可提供相對于建筑物的最近樓層的位置。
定位潛在的欺騙者一旦潛在欺騙性被識別,甚至被大致定位,例如定位到建筑物的樓層的級別或者在位置已知的AP的無線電范圍內(nèi),本發(fā)明的一個方面就利用接收信號強(qiáng)度信息來進(jìn)一步定位潛在欺騙者。一種定位方法使用接收信標(biāo)/探測響應(yīng)的站點(diǎn)處的RSSI以及校準(zhǔn)后的環(huán)境路徑損耗模型,該模型提供各種位置處去到/來自已知位置處的被管理站點(diǎn)的路徑損耗。該方法在此處被總結(jié),并且在同時遞交的、發(fā)明人為Kaiser等人、案卷/參考號為CISCO-7391、名稱為“RADIOLOCATION USING PATH LOSS DATA”的未決美國專利申請序列號10/629.384中更詳細(xì)描述,該專利申請已被轉(zhuǎn)讓給了本發(fā)明的受讓人,在這里通過引用將其包含進(jìn)來。
在信標(biāo)/探測響應(yīng)被一組被管理AP檢測到的情況下,定位方法包括接受理想路徑損耗模型并利用感興趣的區(qū)域(例如建筑物的樓層)中的被管理的接入點(diǎn)之間的路徑損耗測量來校正理想路徑損耗模型。路徑損耗測量包括WLAN管理器例如在接收欺騙性發(fā)送的信道上獲得來自每個接收探測響應(yīng)/信標(biāo)的接入點(diǎn)的關(guān)于由于每個其他接收點(diǎn)發(fā)送探測響應(yīng)/信標(biāo)而接收到的信號的接收信號強(qiáng)度。各個接入點(diǎn)所進(jìn)行的每次發(fā)送都是以各自的已知發(fā)送功率進(jìn)行的。校準(zhǔn)確定被管理的接入點(diǎn)之間的校準(zhǔn)后的路徑損耗模型。
定位方法還包括測量潛在的欺騙性接入點(diǎn)和被管理的接入點(diǎn)中的至少某些之間的路徑損耗。測量是由這里所描述的信標(biāo)/探測響應(yīng)報告進(jìn)行的。測量包括對于潛在的欺騙性接入點(diǎn)的一組假定發(fā)送功率中的每一個,測量無線網(wǎng)絡(luò)的至少某些接入點(diǎn)處的由于從潛在欺騙性接入點(diǎn)發(fā)送信標(biāo)/探測響應(yīng)而產(chǎn)生的接收信號強(qiáng)度。該方法還包括利用關(guān)于一組假定的發(fā)送功率的測量到的路徑損耗以及校準(zhǔn)后的路徑損耗模型,來確定無線站點(diǎn)的一個或多個可能位置。
在信標(biāo)/探測響應(yīng)在一個或多個客戶端處被檢測到的情況下,客戶端的位置首先被用無線電定位方法的客戶端定位變體所確定。未知位置處的客戶端接收來自感興趣的區(qū)域中的被管理的接入點(diǎn)的信標(biāo)/探測響應(yīng)。信標(biāo)/探測響應(yīng)是以已知發(fā)送功率發(fā)送的。利用來自未知位置處的接收客戶端站點(diǎn)的報告為每個發(fā)送接入點(diǎn)測量路徑損耗。通過將接收路徑損耗分量與校準(zhǔn)后的路徑損耗模型相比較,確定客戶端站點(diǎn)的一個或多個可能的位置。
一旦估計了接收來自潛在的欺騙性AP的信標(biāo)/探測響應(yīng)的客戶端的位置,該方法按AP接收來自潛在欺騙者的發(fā)送的情況的方式繼續(xù)進(jìn)行下去,并且所確定的位置被用作接收客戶端的“已知”位置。
在(客戶端或潛在的接入點(diǎn)的)位置確定中,一個實(shí)施例包括使用一種排斥性似然函數(shù)來提供這樣一個似然分量,該似然分量是已知或確定出的位置處的檢測來自潛在的欺騙性AP的信標(biāo)或探測響應(yīng)的每個站點(diǎn)的位置的函數(shù)。一個實(shí)施例還使用排斥性似然函數(shù)來提供這樣一個似然分量,該似然分量是已知或確定出的位置處的未能檢測到來自潛在的欺騙性AP的信標(biāo)或探測響應(yīng)的每個站點(diǎn)的位置的函數(shù)。在檢測失敗的情況下,未能檢測到的被假定為以特定信號強(qiáng)度進(jìn)行接收,所述特定信號強(qiáng)度例如是站點(diǎn)的接收器的指定接收靈敏度。整體似然是包含性和排斥性似然分量的乘積。為該組假設(shè)的發(fā)送功率中的每一個確定該整體似然。
雖然圖1示出了包括用于子網(wǎng)的子網(wǎng)場境管理器的網(wǎng)絡(luò),但是本發(fā)明的實(shí)施例也在沒有子網(wǎng)場境管理器的網(wǎng)絡(luò)以及被進(jìn)一步劃分成其他控制域的更大的網(wǎng)絡(luò)中進(jìn)行操作。在比圖1中的網(wǎng)絡(luò)更小的網(wǎng)絡(luò)的情況下,諸如圖1這樣的網(wǎng)絡(luò)中的通信是子網(wǎng)場境管理器及其AP之間的,然后在WLAN管理器和AP之間直接執(zhí)行。
雖然在一個實(shí)施例中,在客戶端站點(diǎn)處接收到的每個測量請求幀生成單個測量報告幀。在另一個實(shí)施例中,客戶端站點(diǎn)可執(zhí)行任務(wù)分派,例如安排掃描事件。
應(yīng)當(dāng)意識到,雖然本發(fā)明是在IEEE 802.11標(biāo)準(zhǔn)的場境中被描述的,但是本發(fā)明不限于這種場境,而是可用于各種其他應(yīng)用和系統(tǒng)中,例如其他WLAN標(biāo)準(zhǔn)和其他無線標(biāo)準(zhǔn)。
這里所描述的方法中的每一種的一個實(shí)施例采取在處理系統(tǒng)上執(zhí)行的計算機(jī)程序的形式,所述處理系統(tǒng)例如是作為WLAN管理器的一部分的一個或多個處理器。從而,正如本領(lǐng)域的技術(shù)人員將會意識到的那樣,本發(fā)明的實(shí)施例可被實(shí)現(xiàn)為方法、諸如專用裝置這樣的裝置、諸如數(shù)據(jù)處理系統(tǒng)這樣的裝置或諸如計算機(jī)程序產(chǎn)品這樣的承載介質(zhì)。承載介質(zhì)承載一個或多個用于控制處理系統(tǒng)實(shí)現(xiàn)方法的計算機(jī)可讀代碼段。因此,本發(fā)明的多個方面可采取以下形式方法、完全硬件的實(shí)施例、完全軟件的實(shí)施例或者組合了軟件和硬件方面的實(shí)施例。此外,本發(fā)明可采取承載包含在介質(zhì)中的計算機(jī)可讀程序代碼段的承載介質(zhì)(例如計算機(jī)可讀存儲介質(zhì)上的計算機(jī)程序產(chǎn)品)的形式??墒褂萌魏芜m當(dāng)?shù)挠嬎銠C(jī)可讀介質(zhì),其中包括諸如磁盤或硬盤之類的磁存儲設(shè)備,或者諸如CD-ROM這樣的光存儲介質(zhì)。
將會理解,在一個實(shí)施例中,所討論的方法的步驟是由執(zhí)行存儲在存儲裝置中的指令(代碼段)的處理(即計算機(jī))系統(tǒng)的一個(或多個)適當(dāng)?shù)奶幚砥鱽韴?zhí)行的。還將會理解,本發(fā)明不限于任何特定的實(shí)現(xiàn)方式或編碼技術(shù),本發(fā)明可以用任何用于實(shí)現(xiàn)這里所描述的功能的適當(dāng)技術(shù)來實(shí)現(xiàn)。本發(fā)明不限于任何特定的編程語言或操作系統(tǒng)。
在本說明書中提到“一個實(shí)施例”或“實(shí)施例”是指聯(lián)系實(shí)施例描述的特定特征、結(jié)構(gòu)或特性被包括在本發(fā)明的至少一個實(shí)施例中。從而,在本發(fā)明中各處出現(xiàn)的短語“在一個實(shí)施例中”或“在實(shí)施例中”不一定是指相同實(shí)施例。此外,正如本領(lǐng)域的普通技術(shù)人員易于看出的,在一個或多個實(shí)施例中,特定特征、結(jié)構(gòu)或特性可以以任何適當(dāng)?shù)姆绞奖唤M合。
類似地,應(yīng)當(dāng)意識到,在以上對于本發(fā)明的典型實(shí)施例的描述中,本發(fā)明的各種特征有時被聚集在單個實(shí)施例、附圖或其描述中,以便使公開文本更簡潔,并幫助理解各種創(chuàng)造性方面中的一個或多個。但是,這種公開方法不應(yīng)當(dāng)被解釋為反映了以下意圖要求保護(hù)的發(fā)明要求的特征比每項(xiàng)權(quán)利要求中明確陳述的特征更多。相反,正如以下權(quán)利要求中所反映的,創(chuàng)造性的方面處于前述公開的單個實(shí)施例中的部分特征中。從而,具體實(shí)施方式
之后的權(quán)利要求被明確包含進(jìn)此具體實(shí)施方式
中,其中每項(xiàng)權(quán)利要求獨(dú)立作為本發(fā)明的單獨(dú)實(shí)施例。
這里所引用的所有出版物、專利和專利申請都通過引用被包含進(jìn)來。
從而,雖然已描述了被相信為是本發(fā)明的優(yōu)選實(shí)施例的實(shí)施例,本領(lǐng)域的技術(shù)人員將會意識到可在不脫離本發(fā)明的精神的情況下對其做出其他進(jìn)一步的修改,并且希望要求所有這種變化和修改都落在本發(fā)明的范圍內(nèi)。例如,以上所給出的任何公式都只代表可使用的過程??上蚩驁D中添加功能或從框圖中刪除功能,并且在功能塊之間可交換操作??上蛟诒景l(fā)明的范圍內(nèi)描述的方法添加步驟,或從中刪除步驟。
權(quán)利要求書(按照條約第19條的修改)根據(jù)2006年8月23日 申請日期2004年4月20日 優(yōu)先權(quán)日2003年7月28日
發(fā)明者蒂莫西·S·歐爾森, 達(dá)瑞爾·A·凱瑟爾, 佩曼·D·羅珊 申請人:思科技術(shù)公司