专利名称:在无线局域网中检测未被授权的站的制作方法
技术领域:
本发明总地涉及无线局域网。更具体地,本发明涉及在一个无线局域网中检测一个未被授权的站。
背景技术:
通常计算机通过有线局域网(LAN)彼此通信。但是,随着对诸如膝上型计算机,个人数字助理等移动计算机需求的增加,无线局域网(WLAN)已经发展为使计算机之间通过使用如无线电信号,红外线信号等的无线媒介传输来彼此通信的方式。
为了促进无线局域网之间以及与有线局域网之间的互用性,发展了作为WLAN的国际标准的IEEE802.11标准。通常,IEEE802.11标准为用户设计成与IEEE802有线局域网相同的接口,但允许数据通过无线媒介传输。
虽然WLAN比有线局域网提供给用户更大的移动性,但通过WLAN进行通信的安全性由于在有线局域网中是不存在的种种原因而不同。例如,一个未授权的站能扫描通过WLAN传输的信号来获取有关WLAN的信息。这种类型的网络入侵就是通常众所周知的“war driving”行为。
发明内容
在本发明的一个实施例中,通过接收在无线局域网中的一个检测器的探测请求而检测在无线局域网中的一个未被授权的站,其中由一个站通过无线局域网传输探测请求帧。在检测器中分析接收到的探测请求以确定传输探测请求帧的站是否是一个未被授权的站。
本发明通过参考以下结合附图的详细描述可以最好的理解,其中相同的部分用相同的数字表示图1显示了一个实例性的OSI七层模型;图2显示了在一个无线局域网(WLAN)中实例性的拓展服务组;图3示出了在一个WLAN中各个状态站的实例性流程图;
图4显示了发送一个探测请求帧的站的实例性实施例;图5显示了一个检测未被授权的站和/或“war driving”行为的实例性过程;和图6显示了另一个检测未被授权的站和/或“war driving”行为的实例性过程。
具体实施例方式
为了提供对本发明更为全面的理解,以下描述阐明了各种特定的细节,例如特定的配置,参数,实例等。然而,可以理解的是,这样的描述并未试图限制本发明的范围,而是试图提供对优选实施例的更好的描述。
参考图1所示的实例性的OSI七层模型,其代表一个根据各自代表的功能分成多层的网络系统的抽象模型。具体地,这七层包括对应于第一层的物理层102、对应于第二层的数据链路层104、对应于第三层的网络层106、对应于第四层的传输层108、对应于第五层的对话层110、对应于第六层的表示层112,和对应于第七层的应用层114。在OSI模型中每层仅直接与紧邻的上层或下层交互,而且不同的计算机100和116仅在物理层102就能够直接地彼此通信。但是,不同的计算机100和116使用公共协议能够高效地在相同的层中通信。例如,在一个优选实施例中,计算机100能在应用层114通过将一帧从计算机100的应用层114通过该应用层下面的每一层传递直到物理层102而与计算机116通信。该帧接着传递到计算机116的物理层102并通过物理层102上面的每一层传递直到计算机116的应用层114。
无线局域网(WLAN)的IEEE802.11标准运行在数据链路层104,其对应于如上所述的OSI七层模型的第二层。由于IEEE802.11运行在OSI七层模型的第二层,因此第三层以及以上各层根据使用与IEEE802有线LAN相同的协议运行。此外,第三层以及以上各层不会察觉到网络实际上在第二层和以下各层传输数据。因此,第三层以及以上各层能同样地运行在IEEE802有线LAN和IEEE802.11WLAN中。而且,用户能使用相同的接口,而跟所使用的是有线LAN还是WLAN无关。
参考图2,描述了一个实例性的拓展服务组200,其根据IEEE802.11标准形成一个WLAN,具有基本服务组(BSS)206、208和210。每个BSS可以包括一个接入点(AP)202和站204。站204是用来连接到WLAN的元件,其可以是移动、便携式、固定等,并能被作为网络适配器或网络接口卡。例如,站204可以是膝上型计算机、个人数字助理等。此外,站204能支持诸如验证、去验证、私用、数据传输等的站服务。
每个站204能通过例如在WLAN发射器和接收器之间发送一个无线电或红外线信号的空中链路而直接与AP202通信。每个AP202都能支持如上所述的站服务,并还能支持分布式服务,例如关联、去关联、分布、集成等。因此,AP202能在它的BSS206、208和210中与站204通信,并且通过称之为分布系统的媒介212与其它AP202通信,该分布系统形成WLAN的中枢。该分布系统212可以包括有线和无线连接。
参考图2和3,在目前的IEEE802.11标准中,为了成为BSS206、208、或210的一部分,每个站204必须被验证并与一个AP202相关联。因此,参考图3,站204开始于状态1(300),在该状态1中站204未被验证并且与AP202无关联。在状态1(300)中,站204仅仅使用一个有限数量的帧类型,例如允许站204定位并验证到一个AP202等的帧类型。
如果站204成功地验证306到一个AP202,那么站204就晋升到状态2(302),在该状态2中站204被验证但并未与AP202关联。在状态2(302)中,站204可以使用有限数量的帧类型,例如允许站204和一个AP202相关联等的帧类型。
如果站204接着成功地与AP202关联或再关联308,那么站204就晋升到状态3(304),在该状态3中站204被验证并与AP202关联。在状态3(304)中,站204能使用任何帧类型来与AP202和在WLAN中的其它站204通信。如果站204接收到了一个去关联通知310,那么站204就被转变回状态2。此外,如果站204接着接收到一个去验证通知312,那么站204就转变回状态1。在IEEE802.11标准中,站204能被同时验证到不同的AP202,但在任何时候只能与一个AP202关联。
在参考图2,一旦站204被验证并与AP202关联,站204就能与在WLAN中的其它站204通信。具体地,站204能发送一个包含源地址、基本服务组识别地址(BSSID)和目标地址的消息给与其关联的AP202。AP202接着将该消息分配给按照在消息中的目标地址指定的站204。这样的目标地址能够在相同的BSS206、208或210,或在通过分布系统212连接到该AP202的其它BSS206、208或210中指定一个站204。
虽然图2描述了一个拓展服务组200,其具有三个BSS206、208和210,其中每个BSS均包括三个站204,但可以理解的是,拓展服务组200能包括任何数量的BSS206、208,和210,其中每个BSS也可包括任何数量的站204。
在当前的IEEE802.11标准中,在站204能与AP202关联之前,站204首先定位AP202。参考图4,根据当前的IEEE802.11标准,站204能传输一个探测请求帧400。探测请求帧400可以包括各种元素域,例如服务组识别地址(SSID)、支持的比率等。当AP202接收一个探测请求帧400时,它传输一个探测响应帧402。探测请求帧402可以包括各种元素域,例如时间戳(timestamp)、信标间隔、容量信息、SSID、支持的比率、信道等。
如果站204是一个授权的站,那就意味着它被授权从AP202获取服务,它能使用在探测响应帧402中的信息来开始验证或与AP202关联的过程。如果站204是一个未被授权的站并且AP202是一个不安全的接入点,那就意味着没有安全措施来阻止未授权使用,未被授权的站也能与AP202关联。可选地,如果站204是一个未被授权的站,那么它能简单地存储从探测响应帧402获取的信息。此外,探测响应帧402的接收能告知一个已存在AP202的未被授权的站,其接着可以被公开或以其它不期望的方式使用。
如以前所叙述的,以这种方式获取有关AP202的信息就是通常所说的“wardriving”。一种典型的war driving的应用是使用具有无线网卡和天线的膝上型计算机或类似的便携式设备,并逐个试图扫描WLAN信号。
参考图4,在一个优选实施例中,配置检测器404来确定站204是否是一个未被授权的站。更具体地,配置检测器404来检测来自站204的“war driving”行为。
在当前实施例中,检测器404接收在AP202和站204之间的传输。检测器404接着为“war driving”行为分析从站204来的传输。
参考图5,用来检测一个未被授权的站的典型过程,更具体地,描述了一个从事“war driving”行为的未被授权的站。参考图4,在步骤500(图5),检测器404接收从站204发送的探测请求帧400。在步骤502(图5),检测器404接着为表现出“war driving”行为的特性而分析探测请求帧400。在步骤504(图5),如果检测到“war driving”行为,那么检测器404就提供一个警告。
参考图6,描述了一个实例性的用来检测“war driving”行为的过程。参考图4,在步骤600(图6),检查探测请求帧400来确定它是否有一个零长度的SSID。在步骤602(图6),检查探测请求帧400来确定它是否仅有一个SSID信息元素域而无其它域。在步骤604(图6),在传输完探测响应帧402之后,检测器404确定站204是否没有继续进行验证或关联请求。
参考图6,在一个实施例中,如果在步骤600、602、604中的确定是肯定的,那就意味着确定探测请求帧400有一个零长度的SSID并且仅有SSID信息元素域,和站204(图4)没有继续进行验证或关联请求,因而确定站204是一个未被授权的站和/或从事了“war driving”行为。
参考图4,以上所述的用来检测未被授权的站和/或从事“war driving”行为的实例性的过程可以使用安装在检测器404中的软件和/或硬件来执行。在一个实施例中,检测器404是在无线局域网中的一个站。此外,站可以是移动的、便携式、固定的等。例如,站可以是一个膝上型计算机、个人数字助理等,此外,用户可以把站作为一个诊断工具使用,管理员可以把站作为一个管理工具使用等,以便评估在WLAN中的通信质量。
本实施例的优点之一是包括允许检测器404被动地为未被授权的站和/或“war driving”行为而监视WLAN。通过以这种方式被动地监视WLAN,检测器404能检测在WLAN中的未被授权的站和/或“war driving”行为而无需加重AP202负担、消耗带宽、或干扰在WLAN上的业务。
虽然本发明结合特定的实施例、实例、和应用来描述,但很明显的是,对本领域的技术人员来说,在不背离本发明的情况下各种修改和变化都是可以的。
权利要求
1.一种用来在无线局域网中检测未被授权的站的方法,包括在无线局域网中的检测器处接收探测请求帧,其中探测请求帧是通过无线局域网由站传输的;和分析在检测器处接收到的探测请求帧来确定传输该探测请求帧的站是否是一个未被授权的站。
2.如权利要求1的方法,进一步包括在接入点接收探测请求帧;和从该接入点发送一个探测响应帧。
3.如权利要求2的方法,其中探测请求帧具有服务组识别地址(SSID),并且其中分析该探测请求帧包括检查探测请求帧以确定SSID的长度是否为零;检查探测请求帧以确定探测请求帧是否仅具有SSID信息元素域;和确定传输探测请求帧的站是否响应探测响应帧而没有继续进行验证或者授权。
4.如权利要求1的方法,其中分析探测请求帧包括确定传输探测请求帧的站是否从事了war driving行为。
5.如权利要求4的方法,其中确定站是否从事了war driving行为包括确定探测请求帧是否具有一个长度为零的服务组识别地址(SSID);确定探测请求帧是否仅有一个SSID信息元素域;和确定传输探测请求帧的站是否响应从接入点发送的探测响应帧而没有继续进行验证或者授权。
6.如权利要求1的方法,其中探测请求帧是从在OSI模型中网络层以下接收的。
7.如权利要求1的方法,其中根据IEEE802.11标准发送和接收探测请求帧。
8.如权利要求1的方法,其中检测器是在无线局域网中的一个站。
9.一种检测在无线局域网中从事war driving行为的未被授权的站的方法,该方法包括在检测器中接收从一个站发送的一个探测请求帧;和在检测器中分析探测请求帧来确定发送探测请求帧的站是否是一个未被授权的站。
10.如权利要求9的方法,其中分析探测请求帧包括确定探测请求帧是否具有一个长度为零的服务组识别地址(SSID);确定探测请求帧是否仅有一个SSID信息元素域;和确定该站是否响应从接入点发送的探测响应帧而没有继续进行验证或者授权。
11.如权利要求10的方法,进一步包括如果一个站发送的探测请求帧具有一个零长度的SSID、该探测请求帧仅具有一个SSID信息元素帧,以及该站响应探测响应帧而没有继续进行验证或者授权,则确定该站是未经授权的站。
12.如权利要求10的方法,进一步包括如果一个站发送的探测请求帧具有一个零长度的SSID、该探测请求帧仅具有一个SSID信息元素帧,以及该站响应探测响应帧而没有继续进行验证或者授权,则确定该站从事了war driving行为。
13.一种检测在无线局域网中从事war driving行为的未被授权的站的方法,该方法包括在无线局域网中接收由站所发送的一个探测请求帧;在无线局域网中接收由接入点所发送的一个探测响应帧,其中该探测请求帧是为响应探测请求帧而发送的;和确定是否探测请求帧具有一个长度为零的服务组识别地址(SSID),探测请求帧仅有一个SSID信息元素域,和发送该探测请求帧的站响应探测响应帧而没有继续进行验证或者授权。
14.一种检测在无线局域网中的未被授权的站的系统,包括配置一个接入点来发送一个探测响应帧来响应从一个站发送的探测请求帧;和配置一个检测器来接收从站发送的探测请求帧;和分析该探测请求帧来确定该站是否是一个未被授权的站。
15.如权利要求14的系统,其中配置该检测器来分析探测请求帧来确定该探测请求帧是否具有一个长度为零的服务组识别地址(SSID);分析探测请求帧来确定该探测请求帧是否仅有一个SSID信息元素域;和确定该站是否响应探测响应帧而没有继续进行验证或者授权。
16.如权利要求15的系统,其中配置检测器,如果该探测请求帧具有一个零长度的SSID、该探测请求帧仅具有一个SSID信息元素帧,以及该站响应探测响应帧而没有继续进行验证或者授权,则检测器确定该站是一个未经授权的站。
17.如权利要求15的系统,其中配置检测器,如果该探测请求帧具有一个零长度的SSID、该探测请求帧仅具有一个SSID信息元素帧,以及该站响应探测响应帧而没有继续进行验证或者授权,则检测器确定该站从事了war driving行为。
18.如权利要求14的方法,其中检测器是一个在无线局域网中的站。
19.一种包含计算机可执行代码的计算机可读存储介质,用来通过让计算机执行以下的指令来检测在一个无线局域网中的一个未被授权的站在检测器中接收从站发送的一个探测请求帧;和在检测器中分析探测请求帧来确定该站是否是一个未被授权的站。
20.如权利要求19的计算机可读存储介质,其中分析该探测请求帧包括确定探测请求帧是否具有一个长度为零的服务组识别地址(SSID);确定探测请求帧是否仅有一个SSID信息元素域;和确定该站是否响应从接入点发送的探测响应帧而没有继续进行验证或者授权。
21.如权利要求20的计算机可读存储介质,进一步包括如果该探测请求帧具有一个零长度的SSID、该探测请求帧仅具有一个SSID信息元素帧,以及该站响应探测响应帧而没有继续进行验证或者授权,则确定该站是未经授权的站。
22.如权利要求20的计算机可读存储介质,进一步包括如果该探测请求帧具有一个零长度的SSID、该探测请求帧仅具有一个SSID信息元素帧,以及该站响应探测响应帧而没有继续进行验证或者授权,则确定该站从事war driving行为。
全文摘要
在无线局域网中探测请求帧(400)通过无线局域网由站传输。在无线局域网中的检测器(404)中接收该探测请求帧。分析接收到的探测请求帧来确定传输该探测请求帧的站是否是一个未被授权的站。
文档编号H04L12/28GK1647063SQ03807586
公开日2005年7月27日 申请日期2003年3月28日 优先权日2002年4月4日
发明者管家琪, 吴建智, 区子由 申请人:空气磁体公司