用于检测无线网络中的欺骗性接入点的方法、装置和软件产品的制作方法

专利名称：用于检测无线网络中的欺骗性接入点的方法、装置和软件产品的制作方法
技术领域：
本发明涉及无线网络，尤其涉及网络安全性以及检测基础设施无线网络中的欺骗性(rogue)接入点。
背景技术：
诸如无线局域网(WLAN)这样的无线网络的使用变得广泛起来。另外，网络安全性变得越来越重要。无线网络提出了重大的网络安全性问题。一个这种问题是检测欺骗性无线站点。
WLAN可以是自组织式(ad hoc)的，这是因为任何站点可直接与任何其他站点通信，或者也可以具有这样的一种基础设施，在这种基础设施中，一个站点只能经由接入点(AP)与另一个站点通信。接入点通常耦合到可能是有线或者无线的其他网络，例如耦合到因特网或内联网。这个更宽的网络在这里被称为“有线”网络，并且要理解，此有线网络可以是包括其他无线网络的互联网络。
本发明的一个方面针对解决欺骗性AP的检测。我们主要关心两种类型的欺骗性AP·在未经授权的情况下连接到感兴趣的有线网络(例如连接到另外的安全LAN)从而可能对安全网络造成安全性漏洞的AP。
·没有连接到感兴趣的有线网络但却处于感兴趣的无线网络(WLAN)的无线电环境中的AP。这种AP通过接受关联，可能干扰感兴趣的WLAN，其方式例如是通过妨碍可能的客户端站点(“客户端”)访问其无线网络。
欺骗性AP可能是恶意的或者非恶意的欺骗性AP。非恶意AP例如是这样一种用户的AP，这种用户建立起连接到未处于感兴趣的无线网络中的感兴趣的有线网络的供个人使用的AP，而没有故意阻碍检测。这种用户很可能会使用开箱即用(out-of-the-box)的默认配置。因此，当用于感兴趣的WLAN的无线电环境中时，这种非恶意AP的SSID通常不会匹配感兴趣的WLAN的SSID。
恶意欺骗性AP是用户为了获得对感兴趣的有线网络(例如安全LAN)的访问而建立的AP。这种恶意AP可能假冒合法AP的MAC地址。这种恶意AP还可再次设置诸如功率、信道和SSID之类的参数以假冒合法AP的那些参数，以便使被检测到的可能性最小。
由于欺骗性接入点，WLAN遭受着几个潜在的问题的危害。如果尚未在接入点上启用适当的安全性措施，则欺骗性接入点在连接到安全网络时可能导致网络变得不安全。在设计良好的WLAN中，接入点通常已被配置为提供一定级别的覆盖和能力。欺骗性接入点可能通过导致与合法接入点竞争、通过导致与合法接入点冲突、甚至可能通过导致拒绝为合法客户端站点服务，从而导致这种已计划的覆盖和能力的退化。
因此本领域中需要检测欺骗性AP的方法。
现有技术的用于检测欺骗性接入点的方法包括使客户端报告其他AP上的失败认证尝试，或者由AP本身检测失败认证尝试。例如，已知一种用于报告欺骗性接入点的认证告密方法。参见2001年7月27日递交的Halasz等人的名称为“ROGUE AP DETECTION”的美国专利申请S/N09/917,122，此专利申请已被转让给本发明的受让人，此处通过引用将其包含进来。这种现有技术方法通常包括以WLAN的适当标识符(服务集合标识符(SSID))来配置站点，以进行认证尝试。只有相对于客户端处于适当位置中的欺骗者，即为认证尝试而处于无线电接触中的欺骗者才能被检测到。这可能会导致检测延迟或者根本检测不到。
其他现有技术方法包括使用可被携带于WLAN覆盖区域中的某种类型的嗅探(sniffer)设备。操作者可周期性地带着嗅探设备在WLAN覆盖区域中行走，以进行测量以便检索欺骗性AP。例如，参见来自WalnutCreek，CA的WildPackets有限公司的“AiroPeek and Wireless SecurityIdentifying and Locating Rogue Access Points”(2002年9月11日的版本)。
还已知一种用AP作为嗅探器的嗅探技术。例如，参见来自San Mateo，California的AirWave Wireless有限公司的文献“AirWave Rogue AccessPoint Detection”(www.airwave.com)。这种AP被管理实体从中央位置管理。大多数时候，这种被管理的AP充当常规接入点。当进行欺骗扫描时，管理实体向被管理的AP发出命令，例如SNMP命令，以将其转换成无线嗅探器。被管理的AP扫描其覆盖半径内的无线电波，以查找所有信道上的流量。然后AP将所有数据报告回管理实体作为踪迹，并且返回正常操作模式。管理实体分析来自被管理的AP和岗哨(sentry)设备的踪迹，以将检测到的AP与它的真实的受管理AP的数据库相比较。但是这种方法要求AP停止正常操作。
已知用于检测欺骗性AP的现有技术要求具有到欺骗性AP的连接，例如有线连接。但是，由于欺骗性AP可能是安装在相邻位置处的设备，因此要求有线连接的检测方法可能不是始终能成功。
从而，需要这样一种检测方法，这种检测方法不一定要求客户端处于该区域中，不需要特殊的客户端配置，也不需要AP停止其正常操作。

发明内容
此处公开了用于检测欺骗性接入点的方法、装置和软件产品。所提出的方法可以非常迅速地自动检测欺骗性AP并且可以提供粗略位置指示。
在一个实施例中，该方法包括维护AP数据库，该AP数据库包括关于被管理的接入点(AP)和友好AP的信息，友好AP被定义为在被管理的网络附近的或者被管理的AP的客户端(即被管理的客户端)已知的并且已知不会对被管理的无线网络造成问题(例如干扰)的已知AP。该方法还包括向一个或多个被管理的AP发送扫描请求，所述扫描请求包括以下请求中的一个或多个对于进行接收的被管理的AP扫描信标和探测响应的请求以及对于进行接收的被管理的AP请求该其客户端扫描信标和探测响应的请求。该方法还包括接收来自进行接收的被管理的AP中的至少一个的报告，报告包括关于由AP所发送的任何接收到的信标或探测响应的信息。对于接收到关于其的信息的每个信标或探测响应，该方法分析报告中接收到的关于发送信标/探测响应的AP的信息，该分析包括断定发送所述信标或探测响应的AP的MAC地址是否匹配AP数据库中的AP的MAC地址，以断定AP是否是潜在的欺骗性AP或被管理的或友好的AP。
在另一个实施例中，描述了实现在无线网络的接入点中的方法。该方法包括在AP处接收对于扫描信标和探测响应的扫描请求，所述请求是从管理一组被管理的AP和被管理的AP的客户端站点的WLAN管理器接收到的。WLAN的管理包括维护包含关于无线网络的被管理的AP和友好AP的信息的AP数据库。该AP的方法包括以下之一或二者在AP本身处监听信标和探测响应，或者向与AP相关联的一个或多个客户端站点发送对于监听信标和探测响应的客户端请求。在客户端请求被发送的情况下，该方法包括接收来自向其发送客户端请求的客户端站点中的至少一个的客户端报告，所述客户端报告包括关于从潜在的欺骗性AP接收到的任何信标或探测响应的信息。该方法还包括向WLAN管理器发送扫描报告，该扫描报告包括关于由接收扫描请求的AP从潜在的欺骗性AP接收到的任何信标或探测响应的信息，或者在客户端请求被发送的情况下，包括关于由任何从其接收到报告的客户端站点从潜在的欺骗性AP接收到的任何信标或探测响应的信息。该信息包括潜在的欺骗性AP的MAC地址。
对于在WLAN管理器处接收到关于其的信息的每个信标或探测响应，WLAN管理器可分析报告中接收到的关于发送信标或探测响应的潜在的欺骗性AP的信息，其中包括断定潜在的欺骗性AP的MAC地址是否匹配AP数据库中的AP的MAC地址，从而导致断定潜在的AP是否可能是欺骗性AP。


图1示出一个简单网络，该简单网络包括WLAN管理器，在该WLAN管理器上实现了本发明的一个实施例。
图2示出了在存在几个欺骗性AP的情况下图1的被管理的网络，并且示出利用本发明的实施例可检测到的欺骗性AP的类型。
图3示出无线站点300的一个实施例，该无线站点可以是AP或客户端站点并且实现本发明的一个或多个方面。
图4的流程图详细包括了根据本发明的实施例的建立、请求和接收扫描报告的步骤。
图5的流程图描述了根据本发明的实施例的测量请求消息的示例，该测量请求消息包括对安排被管理AP以指示一个或多个客户端执行扫描并报告结果的请求。
图6示出简单示例性网络的每个实体处的消息传递和任务分派。
图7示出检测欺骗性接入点的方法的一个实施例的流程图。
具体实施例方式
这里描述了一种用于检测包括恶意和非恶意接入点在内的欺骗性接入点的方法。将在WLAN的IEEE 802.11标准的场境中描述本发明。但是，本发明不限于遵循IEEE 802.11标准的WLAN。
被管理的无线网络本发明的一个实施例在被管理的无线网络中进行操作，在所述被管理的无线网络中，AP及其客户端被中央管理实体所管理。根据大小和复杂度，被管理的网络或者是一组具有中央控制实体的AP，或者是具有一组分级控制域的分级结构。每个控制域由在这里被我们称为管理器的管理实体所管理。分级层次结构中的级别数目依赖于网络的复杂度和/或大小，从而不是所有被管理的网络都具有所有的控制级别。例如，简单的被管理网络可能只有一个控制级别，其中单个管理实体控制所有AP。影响控制域的选择的因素包括以下因素中的一个或多个各种类型的IP子网配置；接入点的无线电邻近度；客户端站点漫游样式；实时漫游要求；以及网络的物理约束(例如园区、建筑物等等)。
例如，一组分级域包括WLAN园区控制域，它是在WLAN的无线电、移动性、QoS和安全性方面的综合控制区域。一般而言，园区控制域跨越位于特定地理位置中的企业园区。注意，可以让更高级别的网络控制实体将多个园区控制域接合在一起。随着WLAN的扩张，它可能增大到以至于单个控制实体无法处理园区中的所有AP的智能控制。在这种情况下，WLAN园区控制域可以被分割成WLAN本地控制域，其中每一个提供WLAN园区控制域中所见到的功能的子集。WLAN本地控制域例如可以跨越单个建筑物。
WLAN本地控制域可包括一个或多个子网控制域。子网控制域包括单个IP子网或原始虚拟LAN(VLAN)内的所有AP。注意，如果不存在WLAN本地控制域，则子网控制域将会只被包括在WLAN园区控制域内。
域被我们称为管理器的一个或多个管理实体所控制。由于控制域的分级性质，相关联的管理器也必然是以分级方式连接的。从而，在上述示例中，我们称为园区场境管理器，也被称为WLAN管理器的控制器是分级层次结构中的场境控制的最高点。WLAN管理器管理无线网络的几个方面，例如安全性，并且在一个实施例中，授权网络中的一组接入点(我们称之为被管理的接入点)，其中包括维护AP数据库，该AP数据库包括被管理的AP，例如被管理AP的列表以及与这些AP相关的某些数据。AP数据库还包括关于WLAN管理器知悉的其他AP的信息。WLAN管理器还管理本发明的欺骗性AP检测方面。通常部署单个WLAN管理器来处理企业园区内的所有无线客户端。
如果给定WLAN被分割成多个本地控制域，则我们称为本地场境管理器的管理器提供WLAN分级层次结构中的场境控制的下一个点，该点就在WLAN管理器之下。本地场境管理器管理这些本地控制域中的每一个内的客户端场境信息，并且提供几乎所有与WLAN管理器相同的功能。
在WLAN本地控制域内，有各种控制管理器，这些管理器处理WLAN的不同方面，例如QoS、客户端场境传送以及无线电管理。本发明关注无线电管理。
如果不存在本地控制域，则其他控制管理器实质上将会与WLAN管理器在相同的级别上进行操作。
我们称为子网场境管理器的控制器提供WLAN分级层次结构内的最低级别的场境控制。在每个子网(或原始VLAN)内使用一个子网场境管理器来协调用于漫游的客户端场境传送。子网场境管理器管理子网内的客户端场境传送。在一个实施例中，支持移动IP，而无需对客户端进行任何修改。子网场境管理器与AP联合工作，提供代理移动IP服务，并且代表子网内的所有客户端透明地处理所有的移动IP信令要求。
我们称为无线电管理器的控制器提供对给定的一组AP内的无线电环境的各种方面的智能集中式控制。单个无线电管理器处理给定WLAN本地控制域内的所有AP的无线电方面，或者如果不存在本地控制域，则处理WLAN园区控制域内的所有AP的无线电方面。无线电管理器提供以下能力在初始网络部署和网络扩张期间确定整个网络的无线电参数。无线电管理器例如为了检测欺骗性接入点而集中地协调所有的客户端和AP测量。
本发明的各方面是实现在无线电管理器上的，并且利用在无线管理器的控制或引导下进行的测量。但是，本发明不要求有单独的无线电管理器实体。无线电管理器的功能可以被结合到任何其他实体中，例如结合到本地场境管理器中，或者在没有本地控制域的情况下结合到WLAN管理器中。此外，这些实体可以与其他功能相结合，所述其他功能例如是交换、路由等等。
其他管理实体可被包括在本地控制域处，或者在没有本地控制域的情况下被包括在园区控制域处，例如为任何子网场境管理器提供标准设备网络管理功能的网络管理、服务质量(QoS)管理等等。
当WLAN被管理时，本发明的(一般而言WLAN管理的)一个或多个方面使用存储在我们称为配置数据库的持久性数据库中的信息。配置数据库是所有的子网场境管理器都可用来保存任何持久性数据的仓库。在一种配置中，单个配置数据库存在于WLAN园区控制域内。配置数据库或者与园区场境管理器共存，或者外部数据库可以被使用。配置数据库还包括AP数据库，该AP数据库包括关于被管理的AP以及WLAN管理器知晓的其他AP的信息。
这里参考图1中所示的简单网络说明本发明。该网络未被划分成本地控制域。假定所有的管理器都被结合到可访问配置数据库的单个管理实体(WLAN管理器103)中。要理解，WLAN管理器结合了无线电管理器的功能。在一个实施例中，WLAN基本上遵循IEEE 802.11标准。基本上遵循的意思是与之兼容。IEEE 802.11标准的某些方面被略作修改，以适应本发明中使用的某些管理方面。此外，网络的站点相对准确地测量接收信号强度。
在一个实施例中，上述无线网络管理实体中的每一个都实现为在处理系统上的网络操作系统之下运行的软件，所述网络操作系统例如是IOS(Cisco系统公司，San Jose California)，所述处理系统包括一个或多个处理器并且还实现其他网络功能。从而，包括本发明的多方面的WLAN管理器可实现在网络交换机或路由器上。类似地，子网场境管理器可实现在网络交换机或路由器上。
在图1中，WLAN管理器103被示为包括处理系统123，该处理系统123包括一个或多个处理器和存储器121。存储器121包括致使处理系统123的一个或多个处理器实现本发明的在WLAN管理器中实现的方面的指令。WLAN管理器包括网络接125，该网络接口125用于耦合到网络，通常是有线网络。在一个实施例中，WLAN管理器103是网络交换机的一部分。
WLAN管理器103经由其网络接口125和网络(通常是有线网络)耦合到一组子网场境管理器。一个这种子网场境管理器在图1中被示为元件105。子网中的所有被管理的AP都向子网场境管理器注册。例如，在图1中，名称为AP1和AP2(分别是107和109)的AP各自是相同的子网的一部分，并且具有去到子网场境管理器105的网络连接。于是WLAN管理器103与AP 107和109之间的任何管理通信都经由子网场境管理器105。
客户端站点与AP相关联。从而，在图1中，AP 107和109各自被示为分别具有相关联的客户端113、115和117、119。被管理的客户端指与被管理的AP相关联的客户端。从而被管理的无线站点或者是被管理的AP，或者是被管理的客户端。从而，客户端113、115、117和119是被管理的客户端。
图2示出存在几个欺骗性AP的情况下图1的被管理网络，并且示出利用本发明的实施例可以检测到的欺骗性AP的类型。被管理的AP 107和109各自的无线电范围的大致极限分别由虚线217和219所示。例如，恶意AP被示为具有无线电范围极限223的AP3203。两个非恶意的欺骗者被示为标号分别是205和209并且分别具有大致无线电范围极限225和229的AP4和AP6。另一个未被管理的AP被示为具有大致无线电范围极限227的AP5207。在此示例中，假定AP5位于被管理的AP 107的被管理的客户端经常出入的咖啡馆处。从而，欺骗性AP 203与被管理的AP2109的客户端119处于无线电范围中。类似地，欺骗性AP4 203与被管理的AP1 107的客户端115处于无线电范围中。欺骗性AP6 209处于被管理的AP1 107的范围中。被管理的客户端113处于AP5的无线电范围中而不在其正常被管理AP 107的无线电范围中，后来返回其被管理AP 107的无线电范围中。
无线电测量无线网络使用MAC层处的为管理目的而设计、发送和接收的管理帧。例如，在遵循IEEE 802.11标准的WLAN中，AP定期发送宣告AP的存在的信标帧，即向潜在客户端广告AP的服务，以便客户端可以与AP相关联。类似地，客户端可发送探测请求帧，以请求其无线电范围中的任何AP以探测响应帧做出响应，所述探测响应帧以类似于信标帧的方式为发出请求的客户端(以及处于其无线电范围中并且能够接收其信道的任何其他无线电装置)提供足够供客户端决定是否与该AP相关联的信息。
本发明的多个方面使用来自和/或关于在AP和/或客户端站点处接收到的信标和探测响应的数据。这种数据的获得和接收由WLAN管理器103所管理。
被动扫描是指监听信标和探测响应，而不首先发送探测请求。从而，对于AP，被动扫描是对来自如下信标和探测响应的信息的监听和记录，其中的信标和探测响应是来自发送这种信标和探测响应的其他AP的。对于客户端，被动扫描是对来自如下信标和探测响应的信息的监听和记录，其中的信标和探测响应是来自除了发送这种信标和探测响应的客户端AP外的其他AP的。
使用被动扫描是本发明的一个重要方面，因为它提供了与站点(例如AP)处的正常处理同时的欺骗检测。
主动扫描是指在监控信标和探测响应之前发送探测请求。主动和被动扫描可发生在用于无线通信的同一信道(“服务”信道)或其他信道(“非服务”信道)上。对于非服务信道，通常使用主动扫描。一种方法被我们称之为递增式主动扫描，其中站点探测另一个信道。另一种方法被我们称为完全主动扫描，其中服务信道被腾空以探测所有信道。大多数无线网络接口设备都支持一种通常被称为监视器模式的模式，在这种模式中所有信道上的流量都被记录，这一点可用于完全主动扫描。
图3示出无线站点300的一个实施例，该无线站点300可以是AP或客户端站点，并且实现本发明的一个或多个方面。虽然诸如站点300这样的无线站点一般而言是现有技术，但是包括本发明的多个方面的无线站点，例如采取软件形式的无线站点却不一定是现有技术。无线电部分301包括一个或多个天线303，这些天线耦合到包括模拟RF部分和数字调制解调器的无线电收发器305。从而无线电部分实现了物理层(PHY)。PHY 301的数字调制解调器耦合到实现站点的MAC处理的MAC处理器307。MAC处理器307经由一个或多个总线连接到主机处理器313，所述一个或多个总线被象征性地示为单个总线子系统311。主机处理器包括连接到在此处被示为总线子系统311的一部分的主机总线的存储器子系统，例如RAM和/或ROM。站点300包括到有线网络的接口321。
在一个实施例中，MAC处理，例如IEEE 802.11MAC协议是完全实现在MAC处理器307处的。处理器307包括存储器，该存储器存储指令，这些指令供MAC处理器307用于实现MAC处理以及在一个实施例中实现本发明所使用的附加处理中的某些或全部。存储器通常但不一定是ROM，软件通常采取固件的形式。
MAC处理器被主机处理器313所控制。在一个实施例中，MAC处理中的某些在MAC处理器307处实现，某些在主机处实现。在这种情况下，主机313的用于实现主机实现的MAC处理的指令被存储在存储器315中。在一个实施例中，本发明所使用的附加处理中的某些或全部也由主机实现。这些指令被示为存储器的部分317。
根据本发明的一个方面，每个诸如站点300这样的站点维护其接收到的信标和探测响应的数据库。在一种或多种情况下，例如当站点确定是否与AP相关联时，信标和探测响应被存储在数据库中。在本发明的多个方面的场境中，作为主动扫描或被动扫描的结果，在站点处接收到的信标和探测响应被存储在数据库中。我们将此数据库称为信标表。如图3中所示，在一个实施例中，信标表319处于站点的存储器315中。其他实施例将信标表319存储在存储器315外部。站点将信标和探测响应中的信息存储在其信标表319中，并且还在其接收到信标时存储关于站点状态的附加信息。
根据本发明的一个方面，诸如站点300这样的站点在实现AP时能够进行被动扫描。根据本发明的另一个方面，诸如站点300这样的站点在实现客户端站点时能够进行被动扫描。
由于站点将其接收到的信标和探测响应存储在其信标表中，因此被动扫描的一种形式包括简单地报告站点的信标表的累积内容。注意，另一种实施例可包括站点在指定时间段中监听并在指定时间段中报告递增式信标表信息。
根据另一个方面，诸如站点300这样的站点在实现AP时能够进行主动扫描，尤其是递增式主动扫描。为了实现递增式主动扫描，AP将其服务信道腾空，并通过在这个/这些信道上发送探测请求帧来探测一个或多个信道。AP通过安排无竞争时段(CFP)来防止客户端传输。或者，AP可通过发送持续时间长到足以覆盖主动扫描时间的未经请求的CTS来防止客户端传输。根据另一个方面，站点300在实现客户端时能够进行主动扫描，尤其是递增式主动扫描。为了实现递增式主动扫描，客户端站点腾空其服务信道并通过在这个/这些信道上发送探测请求来探测一个或多个信道。在客户端的情况下，主动扫描包括报告回探测其他信道的结果。为了防止来自服务AP的客户端传输，客户端必须指示其处于节电模式。或者，客户端可使用诸如应用操作这样的特定本地知识来确保AP不会发送任何定向到客户端的传输。
扫描包括存储在站点处接收到的来自信标和探测响应的信息，例如通过在信标表中进行被动或主动扫描而接收到的。
无线电管理任务和通信协议本发明的多个方面在被管理的AP及其客户端中使用无线电测量，这尤其是因为对信标和探测响应的被动和/或主动扫描而引起的。一个实施例使用添加了发送功率控制(TPC)和动态频率选择(DFS)的修改后的MAC协议。这可以是对IEEE 802.11h标准的修改。TPC将发送功率限制到达到最远的用户所需的最小值。DFS选择AP处的无线电信道以使与诸如雷达之类的其他系统的干扰最小。从而IEEE 802.11h提案提供了功率控制、信道扫描和频率选择。但是，发明人发现802.11的测量降低了吞吐量。IEEE 802.11h体系结构(2003年6月)使用一对一请求/响应机制，这种机制效率可能不高。
这里更详细描述的另一种实施例使用了一种协议，这种协议与目前提议的802.11协议的不同之处在于提供了AP处的任务分派，进而提供了客户端处的任务分派，以便根据时间安排自治地执行信标和探测响应的被动和/或主动扫描。
在一个实施例中，对于检测到的每个AP，所报告的信息包括关于检测的信息，以及关于或获得自信标/探测响应的内容的信息。检测信息包括以下的一个或多个·检测到的AP的BSSID，例如采取MAC地址的形式。
·接收AP的探测响应的信道。
·接收站点的MAC地址。
·信标/探测响应的接收者的PHY处检测到的RSSI。
·接收站点的PHY处可获得的接收到的信标/探测响应的接收信号质量的任何其他量度。
·接收到的其他信标。这可帮助定位检测站点。
所发送的信标/探测响应信息包括以下的一个或多个·信标或探测响应中的SSID。
·信标时间(TSF定时器)信息。在一个实施例中，这是以TSF偏移的形式发送的，TSF偏移是通过将信标/探测响应中的时间戳与接收响应的被管理AP处或接收响应的被管理客户端处的TSF定时器相比较而确定的。
·接收到的信标/探测响应中包括的配置参数。
注意这些信息中的某些超出目前(2003年6月)为IEEE 802.11h提议的那些。另注意虽然IEEE 802.11标准指定在物理层(PHY)处确定相对RSSI值，但是本发明的一个方面利用了以下事实许多现代无线电装置包括了提供相对精确的绝对RSSI测量的PHY。从而，报告包括在接收到的信标/探测响应的接收者的PHY处检测到的RSSI。在一个实施例中，在PHY处检测到的RSSI被用于根据路径损耗确定位置信息。
一个实施例使用我们称为WLAN管理器到AP测量协议的协议来建立被动和/或主动扫描以及传输其报告。根据此协议，WLAN管理器可以直接或经由一个或多个子网场境管理器向一个或多个被管理的AP发送我们称为测量请求消息的消息，或者从一个或多个被管理的AP接收我们称为测量报告消息的报告消息。消息被封装在IP分组中，例如封装在以太网帧或UDP/TCP/IP分组中。在一个实施例中，以太网被用在子网场境管理器和AP之间，而IP封装被用于子网间消息。
在测量请求消息要去到子网场境管理器的情况下，测量请求消息包括一个或多个AP可位于其中的测量请求路由选择列表以及用于这种AP的请求消息。接收测量请求消息的子网场境管理器以用于每个目的地AP的个体测量请求消息的形式将请求消息转发到路由选择列表中的每个AP。每个去到AP的测量请求消息包括关于采取什么动作、如何采取这些动作以及何时采取这些动作的指定并应用于AP，并且在一个实施例中，适用于AP的客户端中的一个或多个。根据测量请求消息，AP安排其自己的测量。在一个实施例中，WLAN管理器到AP测量协议提供了对指定持续时间的测量流的请求以及以指定周期率进行的循环。WLAN管理器可请求测量被串行或并行执行。
接收测量请求消息的AP安排实际测量。在一个实施例中，接收测量请求消息的AP以我们称为测量请求确认消息的消息做出响应，而在另一个实施例中，不使用确认。
在测量请求消息包括对于一个或多个客户端的安排的情况下，AP将测量请求消息翻译成对每个客户端的测量请求。在一个实施例中，AP和客户端之间的测量通信使用遵循IEEE 802.11标准MAC协议的修改的MAC帧，在这里我们将此修改称为AP到客户端测量MAC协议。
接收测量请求消息的AP周期性地发送在这里我们称为测量报告消息的报告消息，该消息包括来自每个执行测量的站点的报告。每个站点的报告部分包括执行测量的站点的类型(AP、客户端等等)，测量站点的MAC以及实际测量数据。在本发明中，我们关注站点处接收到的信标和探测响应的报告，在一个实施例中，这种报告包括例如以dBm为单位的接收信号强度(RSSI)、信道、测量持续时间、BSSID、信标/探测响应中的TSF信息、接收信标/探测响应的站点的TSF信息、信标间隔、信标中包含的能力以及一个或多个其他信息项。
如果不涉及子网场境管理器，则测量报告消息被直接发送到WLAN管理器。在场境管理器处于去到WLAN管理器的路径中的情况下，子网场境管理器接收来自其子网中的一组AP的测量报告消息，并且聚集这些消息以形成包括个体报告的聚集报告。然后聚集报告作为测量报告消息被发送到WLAN管理器。
AP到客户端测量MAC协议AP到客户端测量MAC协议包括被修改以包括可能被本发明的一个或多个实施例使用的附加信息的标准IEEE 802.11的标准帧。遵循AP到客户端测量MAC协议的任何标准类型的MAC帧都包括关于这种遵循的指示。例如，关联请求帧包括指示站点是否支持包括执行和报告这里所描述的客户端测量的能力在内的无线电管理的元素。遵循AP到客户端测量MAC协议的信标帧和探测帧可包括发送该帧的AP的发送功率。
来自AP的被我们称为测量请求帧的帧请求客户端在所安排的扫描时间进行主动或被动扫描，并且在所安排的报告时间做出报告。从客户端到AP的另一个消息按照时间安排产生回到AP的报告。测量请求帧包括将被响应客户端所使用的标识符、指示何时采取动作的时间安排信息以及一个或多个测量报告元素的集合。测量报告元素包括关于哪类报告被请求的指示，例如来自主动扫描的报告，来自被动扫描的报告或者在没有任何扫描的情况下的站点的累积信标表。
来自客户端的被我们称为测量报告帧的帧响应于测量请求帧提供报告。报告帧包括提供报告的站点的MAC地址、来自相应测量请求帧的标识符以及一个或多个测量元素。对于信标或探测响应的情况，测量元素包括以下的一个或多个信道号码、测量信标/探测响应的持续时间、PHY类型(DSS、5GHz OFDM等等)、信标/探测响应的RSSI、父TSF(例如客户端接收到信标或探测响应时服务AP的TSF的较低位中的全部或某些)、信标/探测响应中的TSF以及接收到的信标/探测响应帧中的一个或多个其他元素。
利用无线电测量进行的欺骗性AP检测欺骗性检测方法的一个实施例使用关于被WLAN管理器107管理的AP和/或客户端站点所接收到的信标和探测响应的信息。将利用图6以示例方式描述该方法，图6示出WLAN管理器103、子网场境管理器105、子网场境管理器105的子网中的AP 107以及AP 107的客户端115所执行的任务和消息传递。
使用无线电测量的整体方法图7示出该方法的基本步骤。在步骤703中，WLAN管理器107维护包括关于其管理的AP的信息的AP数据库。AP数据库还包括关于被管理的AP以及关于位于被管理的网络附近的或者已知是被管理的AP的客户端(即被管理的客户端)的并且已知不会对被管理的无线网络造成问题(即干扰)的已知AP的信息。这些AP被称为友好AP。友好AP的一个示例是这样的咖啡店处的一个AP在该咖啡店中，企业雇员经常利用作为被管理的客户端并且与这个友好AP相关联的计算机进行工作。AP数据库还包括关于欺骗性AP的信息。在一个实施例中，AP数据库在配置数据库中，并且不时被自动更新。
存储在AP数据库中的关于AP的信息包括从来自这种AP的任何信标或探测响应帧中获得的信息，以及关于AP的任何802.11信息。在一个实施例中，802.11信息包括最大功率、频率以及其他802.11参数。在某个实施例中，信息还可包括位置信息。在某个实施例中，每个AP的信息还可包括其他字段，例如用于无线网络管理的其他方面的字段。例如，在被管理的网络中，有可能AP的无线电设置被管理，从而WLAN管理器知道AP的无线电设置。AP的位置也可能是已知的。
本发明的一个方面将从扫描信标或探测响应获得的信息与AP数据库中的信息相比较。比较是对来自被管理的AP(在一个实施例中是被管理的AP的客户端)的关于从潜在的欺骗性AP接收到的信标或探测响应的信息与存储在AP数据库中的关于被管理的AP、友好AP以及已知或可疑欺骗性AP的信息进行的。
在一个实施例中，AP数据库的维护包括不时更新AP数据库中的信息。更新是自动的，例如只要获得关于潜在的欺骗性AP的新信息或者只要改变了AP配置就进行更新。
从而，在步骤707中，WLAN管理器向一个或多个被管理的AP发送一个或多个请求以执行扫描。在一个实施例中，AP所进行的扫描是被动扫描。在另一个实施例中，AP所进行的扫描是对潜在欺骗性AP可能在其上进行发送的一个或多个信道的主动扫描。由于欺骗性AP可以位于任何被管理的AP的无线电范围之外，但仍在被管理的AP的一个或多个客户端的范围中，因此在一个实施例中，对被管理的AP的请求包括请求这种AP的客户端执行扫描的指令。在一个实施例中，被管理的客户端所进行的扫描是被动扫描。在另一个实施例中，被管理的客户端所进行的扫描是对潜在的欺骗性AP可能在其上进行发送的一个或多个信道的主动扫描。
作为这种请求的结果，在步骤707中，WLAN管理器接收来自AP及其客户端的关于AP和/或客户端进行的扫描中接收到的任何信标和探测响应的报告。
在步骤709中，WLAN管理器分析在接收到报告中的关于发送接收到的信标或探测响应的AP的信息，所述分析包括与AP数据库中的信息相比较。分析步骤在下文中更详细讨论。总而言之，步骤709是用于确定发送AP是否在AP数据库中。发送响应的AP的MAC地址(BSSID)被用于搜索AP数据库以查找匹配。在一个实施例中，分析包括将信标/探测响应中的配置信息与存储在AP数据库中的关于被管理的AP的配置的信息相比较。在一个实施例中，分析还包括使用定时信息。在一个实施例中，分析还包括使用被管理的AP的已知位置信息以及定时信息来确定潜在欺骗性AP的大致位置，以便进一步断定AP是否可能是欺骗者。分析步骤709的结果包括将每个AP分类为友好AP或潜在的欺骗性AP。
一个实施例还包括步骤711，该步骤尝试定位接收到信标和/或探测响应的接收站点，以尝试定位一个(或多个)潜在的欺骗性AP，以便进一步断定AP是否可能是欺骗者。一种定位方法使用接收信标/探测响应的站点处的RSSI以及校准后的环境路径损耗模型，该模型提供各种位置处去到/来自已知位置处的被管理站点的路径损耗。该方法在下文中以及同时递交的、发明人为Kaiser等人、案卷/参考号为CISCO-7391、名称为“RADIOLOCATION USING PATH LOSS DATA”的未决美国专利申请序列号10/629.384中进一步描述，该专利申请已被转让给了本发明的受让人，在这里通过引用将其包含进来。
一个实施例还包括步骤713，该步骤将分析的结果与一个或多个互补欺骗性AP检测技术的结果相结合。一个这种互补技术包括客户端向服务AP报告先前与AP进行的失败认证尝试，例如包括通过其MAC地址来识别可疑AP。一个实现方式使用IEEE 802.1X而不是IEEE 802.11安全性系统，根据该安全性系统客户端和AP被置于认证服务器数据库中。当客户端认证时，会话密钥被单独递送到客户端和接入点。当客户端在已经向认证服务器认证之后却无法使用会话密钥时，客户端检测到失败认证。客户端最终与另一个现在已被管理的AP相关联，并且经由被管理的AP向WLAN管理器报告潜在的欺骗性AP。这种互补方法在2001年7月27日递交的、发明人为Halasz等人、名称为“ROGUE AP DETECTION”的未决美国专利申请S/N 09/917,122中描述，该专利申请已被转让给了本发明的受让人，此处通过引用将其包含进来。
利用无线电定位，无线网络管理员(负责WLAN管理的IT人员；WLAN管理器的用户)可尝试物理地定位AP。在定位到AP之后，管理员可将AP分类为欺骗性的、被管理的或友好的，并且利用关于AP的信息更新WLAN数据库，所述信息中包括对AP的分类欺骗性的、被管理的或友好的。如果是欺骗性AP，则网络管理员可发出警告。
在一个实施例中，用于判断AP是友好的还是欺骗性的标准集合由无线网络管理员设置，并且被存储在配置数据库中。
建立扫描和接收报告图4的流程图更详细包括了建立、请求和接收扫描报告的步骤705和707。另参见示出每个实体处的消息传递和任务的图6。在步骤403中，在WLAN管理器103处，无线网络管理员建立一组扫描参数，这些参数描述如何获得关于被管理的AP所接收到的信标和探测响应的信息，在一个实施例中，是关于被管理的客户端所接收到的信标和探测响应的信息。该组扫描参数包括是主动扫描还是被动扫描或者既有主动扫描又有被动扫描，以及如果是主动扫描，则包括用于主动扫描的一个或多个信道。该组参数还包括扫描间隔，例如关于执行扫描的频率的时间安排，在一个实施例中是关于执行扫描的频率和持续时间的时间安排。该组参数还包括对于是AP还是被管理的客户端还是既有AP又有客户端要执行扫描的指示。
在步骤405中，WLAN管理器103向AP发送一个或多个测量请求消息，这些测量请求消息指示AP执行扫描，和/或在无线网络包括一个或多个子网场境管理器的情况下请求其各自的客户端执行扫描，如图6中所示，该方法包括为每个子网场境管理器形成包括足以供子网场境管理器用来向其AP发送测量请求消息的信息的测量请求消息。
在步骤407中，子网场境管理器(例如子网场境管理器105)接收测量请求消息，并且从其中的数据中形成个体测量请求消息，并且将这些消息发送到各自的目标AP。
在步骤409中，目标AP(例如AP 107)接收测量请求消息，从而根据请求建立任务分派。任务分派包括安排AP本身要执行的任何扫描，以及在任务分派包括一个或多个客户端的扫描的情况下，通过向适当客户端发送请求帧并接收来自客户端的报告帧来安排客户端要执行的扫描。在请求包括AP执行扫描的情况下，步骤409包括AP 407执行测量请求消息中请求的任何被动和/或主动扫描。这种动作是根据请求消息中的时间安排来执行的，例如以安排的间隔周期性地执行等等。
在步骤413中，AP根据测量请求消息中的时间安排周期性地发送出测量报告消息。如果AP被请求执行扫描，则测量报告消息包括关于AP接收到的信标/探测响应的信息，如果AP被请求指示其客户端执行扫描，则测量报告消息包括关于客户端接收到的信标/探测响应的信息。这种信息包括来自信标/探测响应的信息以及关于接收到信标/探测响应时站点的状态的信息。从而，如图6中所示，单个请求消息生成来自AP 107的周期性报告。
在步骤413中，每个子网场境管理器(例如子网场境管理器105)接收其子网中的被管理的AP(例如AP 107)根据测量请求消息中的时间安排而周期性发送的测量报告消息。子网场境管理器105将测量报告消息聚集成单个聚集测量报告消息，并将测量报告消息发送到WLAN管理器103。
WLAN管理器直接或经由子网场境管理器接收来自AP的测量报告消息。这就是上述的步骤707。
图5流程图描述了包括对安排AP以指示一个或多个客户端执行扫描并报告结果的请求的测量请求消息的示例。图5中所示的步骤是根据测量请求消息中的时间安排来周期性的执行的。时间安排由AP执行，例如由图6的AP 107执行。从而在步骤503中，在所安排的时刻，AP将测量请求帧发送到一个或多个客户端，例如客户端105。在步骤505中，客户端接收测量请求帧，并根据请求的内容执行所请求的任务，例如执行被动扫描、一个或多个指定信道上的主动扫描和/或发送其累积信标表。在步骤507中，站点在执行所请求的任何扫描之后，向其服务AP发送测量报告帧。在步骤509中，AP接收来自被请求的所有客户端的测量报告帧。
报告的分析现更详细讨论分析从扫描获得的信息的步骤709。WLAN管理器将从扫描接收到的关于特定AP(包括特定AP的信标/探测响应)的信息与AP数据库中的信息相比较。在一个实施例中，所述比较搜索AP以查找与特定AP的BSSID的匹配。这种比较可能导致与AP数据库中的信息的匹配，并且例如建议特定AP是被管理的AP。但是，有可能特定AP正在假冒被管理的AP。在一个实施例中，所述比较包括所获得的一个或多个已知AP参数，例如通常存储在信标/探测响应中的IEEE 802.11标准信息中的部分或全部。在被管理的网络中，AP参数中的某些或全部可以由WLAN管理器所设置或知悉，并且被存储AP数据库中。这种参数包括最大功率设置、频率和其他标准802.11参数中的一个或多个，并且还可包括不是IEEE标准的一部分的特定专用字段。对参数的比较可进一步确定特定AP是否可能是欺骗性AP。
在一个实施例中，分析接收到的关于特定AP(包括信标/探测响应)的信息还包括分析定时信息以与被管理的或友好的AP所期望的定时信息相比较。所分析的定时信息是信标时间(TSF定时器)偏移的定时信息，该信标时间偏移是通过将信标/探测响应中的时间戳与接收响应的被管理的AP处的或者接收响应的被管理的客户端处的TSF定时器相比较来确定的。这种分析可能导致得出以下绪论AP不是被管理的AP。
在一个实施例中，分析接收到的关于特定AP(包括AP的信标/探测响应)的信息包括利用来自潜在的欺骗性AP的信标/探测响应在接收者处的RSSI级别。在信标/探测响应是由被管理的AP检测到的情况下，被管理的AP的位置将会是已知的，并且与接收到的RSSI一起被用于大致定位潜在的探测器。在信标/探测响应是由被管理的AP的客户端检测到的情况下，定时信息可能导致WLAN管理器推断某些位置信息。例如，定时信息可提供与和位置已知的被管理AP相关联的客户端的时间相联系的关于客户端何时检测到信标/探测响应的指示。
从而，RSSI以及被管理的AP和客户端的位置信息一起被用于大致确定潜在欺骗性AP的位置，从而进一步断定AP是否可能是欺骗性的。例如，这可提供相对于建筑物的最近楼层的位置。
定位潜在的欺骗者一旦潜在欺骗性被识别，甚至被大致定位，例如定位到建筑物的楼层的级别或者在位置已知的AP的无线电范围内，本发明的一个方面就利用接收信号强度信息来进一步定位潜在欺骗者。一种定位方法使用接收信标/探测响应的站点处的RSSI以及校准后的环境路径损耗模型，该模型提供各种位置处去到/来自已知位置处的被管理站点的路径损耗。该方法在此处被总结，并且在同时递交的、发明人为Kaiser等人、案卷/参考号为CISCO-7391、名称为“RADIOLOCATION USING PATH LOSS DATA”的未决美国专利申请序列号10/629.384中更详细描述，该专利申请已被转让给了本发明的受让人，在这里通过引用将其包含进来。
在信标/探测响应被一组被管理AP检测到的情况下，定位方法包括接受理想路径损耗模型并利用感兴趣的区域(例如建筑物的楼层)中的被管理的接入点之间的路径损耗测量来校正理想路径损耗模型。路径损耗测量包括WLAN管理器例如在接收欺骗性发送的信道上获得来自每个接收探测响应/信标的接入点的关于由于每个其他接收点发送探测响应/信标而接收到的信号的接收信号强度。各个接入点所进行的每次发送都是以各自的已知发送功率进行的。校准确定被管理的接入点之间的校准后的路径损耗模型。
定位方法还包括测量潜在的欺骗性接入点和被管理的接入点中的至少某些之间的路径损耗。测量是由这里所描述的信标/探测响应报告进行的。测量包括对于潜在的欺骗性接入点的一组假定发送功率中的每一个，测量无线网络的至少某些接入点处的由于从潜在欺骗性接入点发送信标/探测响应而产生的接收信号强度。该方法还包括利用关于一组假定的发送功率的测量到的路径损耗以及校准后的路径损耗模型，来确定无线站点的一个或多个可能位置。
在信标/探测响应在一个或多个客户端处被检测到的情况下，客户端的位置首先被用无线电定位方法的客户端定位变体所确定。未知位置处的客户端接收来自感兴趣的区域中的被管理的接入点的信标/探测响应。信标/探测响应是以已知发送功率发送的。利用来自未知位置处的接收客户端站点的报告为每个发送接入点测量路径损耗。通过将接收路径损耗分量与校准后的路径损耗模型相比较，确定客户端站点的一个或多个可能的位置。
一旦估计了接收来自潜在的欺骗性AP的信标/探测响应的客户端的位置，该方法按AP接收来自潜在欺骗者的发送的情况的方式继续进行下去，并且所确定的位置被用作接收客户端的“已知”位置。
在(客户端或潜在的接入点的)位置确定中，一个实施例包括使用一种排斥性似然函数来提供这样一个似然分量，该似然分量是已知或确定出的位置处的检测来自潜在的欺骗性AP的信标或探测响应的每个站点的位置的函数。一个实施例还使用排斥性似然函数来提供这样一个似然分量，该似然分量是已知或确定出的位置处的未能检测到来自潜在的欺骗性AP的信标或探测响应的每个站点的位置的函数。在检测失败的情况下，未能检测到的被假定为以特定信号强度进行接收，所述特定信号强度例如是站点的接收器的指定接收灵敏度。整体似然是包含性和排斥性似然分量的乘积。为该组假设的发送功率中的每一个确定该整体似然。
虽然图1示出了包括用于子网的子网场境管理器的网络，但是本发明的实施例也在没有子网场境管理器的网络以及被进一步划分成其他控制域的更大的网络中进行操作。在比图1中的网络更小的网络的情况下，诸如图1这样的网络中的通信是子网场境管理器及其AP之间的，然后在WLAN管理器和AP之间直接执行。
虽然在一个实施例中，在客户端站点处接收到的每个测量请求帧生成单个测量报告帧。在另一个实施例中，客户端站点可执行任务分派，例如安排扫描事件。
应当意识到，虽然本发明是在IEEE 802.11标准的场境中被描述的，但是本发明不限于这种场境，而是可用于各种其他应用和系统中，例如其他WLAN标准和其他无线标准。
这里所描述的方法中的每一种的一个实施例采取在处理系统上执行的计算机程序的形式，所述处理系统例如是作为WLAN管理器的一部分的一个或多个处理器。从而，正如本领域的技术人员将会意识到的那样，本发明的实施例可被实现为方法、诸如专用装置这样的装置、诸如数据处理系统这样的装置或诸如计算机程序产品这样的承载介质。承载介质承载一个或多个用于控制处理系统实现方法的计算机可读代码段。因此，本发明的多个方面可采取以下形式方法、完全硬件的实施例、完全软件的实施例或者组合了软件和硬件方面的实施例。此外，本发明可采取承载包含在介质中的计算机可读程序代码段的承载介质(例如计算机可读存储介质上的计算机程序产品)的形式。可使用任何适当的计算机可读介质，其中包括诸如磁盘或硬盘之类的磁存储设备，或者诸如CD-ROM这样的光存储介质。
将会理解，在一个实施例中，所讨论的方法的步骤是由执行存储在存储装置中的指令(代码段)的处理(即计算机)系统的一个(或多个)适当的处理器来执行的。还将会理解，本发明不限于任何特定的实现方式或编码技术，本发明可以用任何用于实现这里所描述的功能的适当技术来实现。本发明不限于任何特定的编程语言或操作系统。
在本说明书中提到“一个实施例”或“实施例”是指联系实施例描述的特定特征、结构或特性被包括在本发明的至少一个实施例中。从而，在本发明中各处出现的短语“在一个实施例中”或“在实施例中”不一定是指相同实施例。此外，正如本领域的普通技术人员易于看出的，在一个或多个实施例中，特定特征、结构或特性可以以任何适当的方式被组合。
类似地，应当意识到，在以上对于本发明的典型实施例的描述中，本发明的各种特征有时被聚集在单个实施例、附图或其描述中，以便使公开文本更简洁，并帮助理解各种创造性方面中的一个或多个。但是，这种公开方法不应当被解释为反映了以下意图要求保护的发明要求的特征比每项权利要求中明确陈述的特征更多。相反，正如以下权利要求中所反映的，创造性的方面处于前述公开的单个实施例中的部分特征中。从而，具体实施方式
之后的权利要求被明确包含进此具体实施方式
中，其中每项权利要求独立作为本发明的单独实施例。
这里所引用的所有出版物、专利和专利申请都通过引用被包含进来。
从而，虽然已描述了被相信为是本发明的优选实施例的实施例，本领域的技术人员将会意识到可在不脱离本发明的精神的情况下对其做出其他进一步的修改，并且希望要求所有这种变化和修改都落在本发明的范围内。例如，以上所给出的任何公式都只代表可使用的过程。可向框图中添加功能或从框图中删除功能，并且在功能块之间可交换操作。可向在本发明的范围内描述的方法添加步骤，或从中删除步骤。
权利要求书(按照条约第19条的修改)根据2006年8月23日 申请日期2004年4月20日 优先权日2003年7月28日
发明者蒂莫西·S·欧尔森, 达瑞尔·A·凯瑟尔, 佩曼·D·罗珊 申请人:思科技术公司