专利名称:基于用户-服务器的无线侵入检测的系统和方法
技术领域:
本发明涉及无线局域网(WLAN)。本发明尤其涉及检测未经授权接入或试图接入无线局域网络的方法。
WLAN的巨大成功使它成为受黑客(称为“无线黑客”)欢迎的目标,黑客正在积极地开发攻击和入侵WLANs的新方法。新的WLAN黑客工具以惊人的速度被公布在因特网上。许多行业调查显示WLAN的安全是大多数考虑使用WLAN的公司首席信息官所最关心的。不幸的是,当今的WLAN安全方案不是有漏洞就是未经证明的。
在本申请的受让人所有的、并通过引用被包含与此的于2000年3月17日提交的序列号为09/528,697的共同待批的申请中,描述了一种遵循IEEE标准802.11的协议、但使用RF端口(也称为“接入端口”)和单元控制器的组合来执行经典802.11数据通信系统的接入点的功能的系统。较低层的MAC功能由RF端口执行,而较高层的MAC功能,包括关联和漫游功能,则由单元控制器执行。如这里所使用的术语“接入点”旨在包括常规的接入点,诸如遵循IEEE标准802.11的协议并且执行所有MAC功能的接入点、以及如在所包括的共同待批的申请中所描述的与单元控制器协同工作的RF端口。
在本申请的受让人所有的、并通过引用被包含与此的于2003年10月6日提交的序列号为10/679,524的共同待批的申请中,描述了一种应用于无线局域数据通信网络的系统,其中移动单元和接入点通信,并且其中系统被安排为利用发射器所发射的信号来定位发射器。将经授权的发射器和位置相关的数据库被维持。在接触点处检测所选信号,与所选信号对应的用于定位信号源的位置数据被记录。使用位置数据来定位信号源,并将信号源位置与数据库中的对应位置作比较。如果信号源位置与对应的数据库位置不一致,则发出警报。
本发明的一个目的是提供一种改进的用于检测未经授权接入或试图接入WLAN的系统和方法。
发明概要根据本发明,提供了一种用于检测未经授权使用无线局域网的方法,其中无线局域网具有和至少一个接入点通信的至少一个移动单元。在移动单元处积累第一网络话务数据。为接入点积累第二网络话务数据。第一和第二话务数据被传送到计算机并在计算机中被相互关联,以标识不相关联的话务数据。当不相关联的话务数据超过通信数据的阈值部分时,发信号通知警报情况。
在本发明的另一实施例中,一种用于检测未经授权使用无限局域网的系统包括移动单元、接入点和服务器计算机,其中第一网络话务数据由移动单元积累,第二网络话务数据由接入点积累,并且第一和第二网络话务数据被传送给服务器计算机。服务器计算机将话务数据相互关联以标识任何不相关联的话务数据,并且在所述不相关联的话务数据超过某个阈值时发信号通知警报情况。
第一话务数据可包括移动单元的发送消息数,发送消息的目标地址,移动单元的接收消息数,接收消息的源地址,移动单元与接入点的关联请求的记录,解除关联事务的记录,移动单元接收到的广播和组播帧的数目、或是认证请求的记录。第二话务数据可包括接入点的发送消息数,发送消息的目标地址,接入点的接收消息数,接收消息的源地址,移动单元与接入点的关联请求的记录,解除关联事务的记录,接入点发送的广播和组播帧的数目、或是认证请求的记录。可在周期性的间隔,或是响应于从计算机发来的命令信号向计算机发送话务数据。
根据本发明,在具有处理器和无线电、并被配置成与计算机通信的移动单元中提供了改进。移动单元的处理器被配置成积累代表与连接到计算机的接入点的通信的话务数据,并将所积累的话务数据发送给计算机。
为了更好地理解本发明,以及本发明其它和进一步的目的,要结合附图来参考以下描述,并且本发明的范围将在所附权利要求书中指出。
附图简述
图1是示出了可在其中实施本发明的方法的无线局域网络的框图。
图2是示出了根据本发明的改进的移动单元的实施例的框图。
发明内容
参照图1,示出了具有服务器12的无线局域网10,服务器12经有线网络14与多个接入点16相连接。网络10可根据诸如IEEE标准802.11等标准协议操作,以在移动单元18和服务器12之间提供无线网络数据通信。
本发明提供了一种检测有入侵者正在使用或试图使用系统的方法。根据本方法,话务数据在移动单元18和数据接入点16处被积累,移动单元18和数据接入点16可包括单元控制器和RF端口,如所收录的共同待批的申请中所描述的。理想情况下数据与特定消息和管理信号相关并且可被相互关联。例如,在理想情况下,移动接入点16发送的消息数应该等于移动单元18接收的消息数,反之亦然。
在根据本发明的方法的一个配置中,接入点16可积累代表发送给每个移动单元18并被移动单元18确认的消息数的数据。在移动单元18处,接收到的和被确认的消息数作为话务数据被积累。由接入点16积累的话务数据和由移动单元18积累的话务数据周期地通过数据通信经无线和有线网络10、14被发送给计算机12以作分析。在一可选配置中,侵入服务器22可接收来自计算机12的话务数据并对此执行分析。为了分析数据,将试图将接入点16所发送的消息与这些消息所定址到的移动单元18所接收并确认的消息相互关联。
以类似方式,移动单元可积累代表由移动单元18发送给接入点16的消息的话务数据,并且接入点可积累代表接入点16已接收到并已确认的来自每个移动单元18的话务数据。这些话务数据被发送到计算机12或侵入服务器22以作分析。
如果经由网络发送的消息与网络的授权单元接收到的消息间有明显差距,例如有10%以上的消息不能被相互关联,则计算机12或侵入服务器22将发出信号通知可能已发生系统入侵。这将意味着入侵者20已经发送或确认了信号以伪装为系统的授权用户。需要注意的是这个10%的阈值只是为示范目的而提供的,而最有效的阈值将主要取决于无线网络的配置。在本发明的系统和方法的另一个示例性实施例中,阈值不一定是固定值,而是可根据由于噪声、分组冲突等引起的话务损耗来动态地调整。
可以对整个系统或者对单个收发器进行相关性评估。如果评估是基于单个收发器进行,则话务数据可包括接收到的每个消息的源地址和所发送的每个消息的目标地址。此外,可用标识在其处收集了数据的收发器的分组(诸如802.11系统的BSS ID等)来向计算机12或侵入服务器22发送话务数据。通过这些信息,计算机12或侵入服务器22可以将每个完成的分组(例如,已被确认的分组)的源与目标相互关联。
在本发明的方法的变更方案中,分析可集中在可能用于入侵企图的某些类型的消息上。例如,移动单元可将由移动单元18发送的每个关联请求作为话务数据来记录。此外,移动单元18可在话务数据中记录关于是否已对每个关联请求准许认证或关联的信息。移动单元18可以记录解除关联事务,这对于测试中间人(man-in-the-middle)类型的入侵是特别重要的。
为了关联话务数据,每个接入点16可以存储和发送与从移动单元18接收的关联请求对应的话务数据、代表关联或认证的准许的事件、以及由接入点执行的解除关联事务。在根据本发明的系统和方法的示例性实施例中可被收集的其它事件包括登录企图,登录失败,重试,所发送的试探请求,所接收试探请求,所发送/接收的组播整数,所发送/接收的广播帧数,所发送/接收的数据话务量等。需要注意的是本发明的范围不限于仅收集这些数据类别的系统和方法,如本领域的普通技术人员将会理解。
在根据本发明的方法的另一配置中,移动单元18可以记录能够指示有入侵者20正试图进入系统的事件。一种此类事件是广播或组播消息,其中入侵者20试图表现为一个接入点。这些消息可以作为话务数据被记录,而接入点16记录与可信的广播及组播消息相对应的话务数据。所记录的话务数据被发送到计算机12或侵入服务器22以作相互关联。
话务数据可以在预置的周期间隔(例如每个小时)被发送到计算机12或侵入服务器22。在移动单元18的情形中,话务数据可以只在移动单元与接入点相关联时被发送。在此情形中,作为解除关联功能的一部分,移动单元18可以在关联结束时发送话务数据。
在一种替换配置中,可在自计算机12或入侵服务器22接收到命令消息时即发送话务数据。
在另一种替换配置中,侵入服务器22可动态地就要收集哪些数据统计量对移动单元18和/或接入点16发出指令。
在又一种替换配置中,可使用安全协议来将话务数据发送到计算机12或侵入服务器22。在优选实施例中,所用协议可为安全套接字层协议(SSL),然而本发明并不限于采用这种协议。
图2示出了在实施本发明的方法时可使用的移动单元18的框图。该移动单元包括用于发送和接收数据分组的无线电24,用于根据诸如IEEE标准802.11等数据通信协议来控制无线电的处理器30。该移动单元包括只读存储器34和随机存取存储器32,它们可以是包括处理器30的微机的一部分,或是数字信号处理器的一部分。只读存储器34包括用于操作处理器30的程序指令,包括用于在随机存取存储器32中积累话务数据的指令等。处理器30还与诸如便携式计算机、电话或者个人数字助理等主机系统28相对接。
虽然已经描述了本发明的优选实施例,然而本领域的技术人员可认识到,可以对本发明作出其它和进一步的改变和修改而不会背离本发明的精神实质,并且旨在保护落在本发明的实际范围之内的所有这些改变和修改。
权利要求
1.一种用于检测未经授权的对无线局域网的使用的方法,所述无线局域网具有与至少一个接入点通信的至少一个移动单元,所述方法包括在移动单元处积累第一网络话务数据;在接入点处积累第二网络话务数据;将所述第一和第二话务数据发送给计算机;以及在所述计算机中将所述第一和第二话务数据相互关联,以标识不相关联的话务数据,并在所述不相关联的话务数据超过所述话务数据的阈值部分时发信号通知警报情况。
2.如权利要求1所述的方法,其特征在于,所述第一话务数据包括所述移动单元的发送消息数。
3.如权利要求2所述的方法,其特征在于,所述第一话务数据包括所述发送消息的目标地址。
4.如权利要求1所述的方法,其特征在于,所述第一话务数据包括所述移动单元的接收消息数。
5.如权利要求4所述的方法,其特征在于,所述第一话务数据包括所述接收消息的源地址。
6.如权利要求1所述的方法,其特征在于,所述第一话务数据包括所述移动单元与所述接入点的关联请求的记录。
7.如权利要求1所述的方法,其特征在于,所述第一话务数据包括解除关联事务的记录。
8.如权利要求1所述的方法,其特征在于,所述第一话务数据包括所述移动单元所接收的广播和组播帧数。
9.如权利要求1所述的方法,其特征在于,所述第一话务数据包括认证请求的记录。
10.如权利要求1所述的方法,其特征在于,所述第二话务数据包括所述接入点的发送消息数。
11.如权利要求10所述的方法,其特征在于,所述第二话务数据包括所述发送消息的目标地址。
12.如权利要求1所述的方法,其特征在于,所述第二话务数据包括所述接入点的接收消息数。
13.如权利要求10所述的方法,其特征在于,所述第二话务数据包括所述接收消息的源地址。
14.如权利要求1所述的方法,其特征在于,所述第二话务数据包括移动单元与所述接入点的关联请求的记录。
15.如权利要求1所述的方法,其特征在于,所述第二话务数据包括解除关联事务的记录。
16.如权利要求1所述的方法,其特征在于,所述第二话务数据包括所述接入点所发送的广播和组播帧数。
17.如权利要求1所述的方法,其特征在于,所述第二话务数据包括认证请求的记录。
18.如权利要求1所述的方法,其特征在于,所述的将所述话务数据发送给计算机的步骤在周期基础上被重复。
19.如权利要求1所述的方法,其特征在于,所述的将所述话务数据发送给计算机的步骤是响应于来自所述计算机的命令信号而执行的。
20.一种检测未经授权的对无线局域网的使用的方法,所述无线局域网具有与至少一个接入点通信的至少两个移动单元,所述方法包括在第一移动单元处积累第一网络话务数据;在第二移动单元处积累第二网络话务数据;将所述第一和第二话务数据发送给计算机;以及在所述计算机中将所述第一和第二话务数据相互关联,以标识不相关的话务数据,并在所述不相关联的话务数据超过所述话务数据的阈值部分时发信号通知警报情况。
21.在具有处理器和用于与计算机通信的无线电的移动单元中的改进,其中所述处理器被配置成积累代表与所述计算机相连接的接入点通信的话务数据,从而将所积累的话务数据作为消息发送给所述计算机。
22.一种用于检测未经授权的对无线局域网的使用的系统,包括至少一个移动单元;至少一个接入点;以及至少一个服务器计算机,其特征在于,由所述至少一个移动单元积累第一网络话务数据,由所述至少一个接入点积累第二网络话务数据,所述第一和第二网络话务数据被发送给所述至少一个服务器计算机,所述第一和第二网络话务数据由所述至少一个服务器计算机相互关联,以标识不相关联的话务数据,以及当所述不相关联的话务数据超过阈值时,发信号通知警报情况。
全文摘要
描述了一种用于检测未经授权使用无线局域网的系统和方法,其中网络包括与至少一个接入点通信的移动单元。在移动单元处积累第一网络话务数据。在接入点处积累第二网络话务数据。第一和第二话务数据被传送给计算机,并由计算机相互关联以标识不相关联的话务数据。当不相关联的话务数据超过阈值时,发信号通知警报情况。
文档编号H04M1/66GK1930860SQ200580007905
公开日2007年3月14日 申请日期2005年3月11日 优先权日2004年3月15日
发明者H·A·王 申请人:讯宝科技公司