专利名称:无线网络中的欺骗接入点检测的制作方法
技术领域:
本发明涉及通信网络,特别涉及无线网络中的欺骗接入点检测。
背景技术:
无线网是全球电信市场中正快速增长的一个部分。在典型的无线(无线电)系统中,由一系列互相连接的无线电台或基站为移动用户提供服务,这些无线电台或基站每一个覆盖特定的地理区域。基站被连接到并受控于移动交换中心(MSC),移动交换中心又依次连接到有线(陆地线路)公共交换电话网(PSTN)。移动用户配备有便携式或移动(车载)电话单元,其总体上被称为移动台。基站代表进入点或网络接入点(AP)。
困扰无线通信系统的严重问题是欺骗,这导致了对于相应网络和业务提供商的大量资金流失。为了解决这一问题,无线网络使用加密用于维护基于空中链路交换的信息的机密性。但是加密不能完全解决非授权移动台接入网络窃取业务(例如欺骗性的使用移动标识号码、“漫游者”欺骗、移动台“克隆”)。开发并安装了多种验证和识别系统以避免这些欺骗类型。因此,大多数用于保证无线系统中通信安全的工具在登记、呼叫发起和呼叫接收时执行认证来识别移动台的身份。由于认证和加密都需要远程(访问)网络和归属网络(其中MS具有永久性注册)间的通信,从而获取特定移动信息,因而MS的认证是一个复杂和精密的任务。
除移动欺骗外,如今最有挑战性的一个IT安全问题是非法(欺骗)无线AP的检测和清除,这些通常称为“欺骗接入点(AP)”。欺骗AP由怀有恶意的攻击者建立,目的是简单地拒绝到网络的接入,或者向它们吸引业务量并从用户获取敏感信息。这可以使公司的有用资源对于临时的窥探者或犯罪的黑客在攻击范围内开放。
现有的无线协议没有提供用于确定AP是否是合法AP或欺骗AP的认证机制,攻击者利用了这一弱点。例如,当802.11MS试图连接到给定网络时,其对环境进行扫描并寻找位于附近的AP,自动选择最好的可用AP并与其连接,例如Windows XP自动连接到可能在邻近范围内的最好连接。在这一点上,无线协议包括认证移动台的方式,而不是AP。由于这一行为,一个组织的授权客户机可连接到来自邻近组织的AP。尽管邻近AP并没有有意地吸引该客户机,但这些联系会暴露敏感数据。该问题的存在已经由Niemi和Nyberg对GSM网络进行了证明(UMTS Security,Wiley,2003),并由Johnston和Walker对IEEE 802.16网络进行了证明(IEEE Security andPrivacy Magazine,2004第2卷第40~48页的Overview of IEEE 802.16Security)。
欺骗AP检测是包含两个步骤的过程,该过程开始于发现网络中AP的存在,然后识别其是否为欺骗AP。现有的发现AP存在的方法可分为无线电频率(RF)扫描、AP扫描或者使用有线输入。RF扫描适用于WLAN,通过在有线网范围内设置RF传感器实现。这些传感器主要由重复使用的(repurposed)AP构成,这些AP仅执行分组捕获和分析、检测工作在该区域内的任何无线设备、并可向WLAN管理员告警。但是,欺骗AP可设置在死区,其没有被传感器覆盖,因而除非加入更多的传感器,否则不会被发现。同时,这些固定的传感器不能检测定向的欺骗AP。
AP扫描意味着部署能够具有扫描设备的AP以发现在附近区域内工作的所有AP。尽管这是非常有用的特征,但很少有AP厂商在他们的产品中实施该功能。此外,能够具有AP扫描的AP的能力被限制在非常短的范围,工作在该覆盖区域之外的欺骗AP将不会被注意到。
通常,网络管理软件使用有线侧输入技术来发现AP,其可检测连接到LAN(例如SNMP、Telnet、Cisco发现协议CDP等)的设备。该方法是可靠的,并且已经证明其可检测到LAN内任何位置的AP而不考虑其物理位置无关。此外,无线网络管理系统(NMS)可另外长期监控这些AP的状态和可用性。该方法的局限是不支持各自网络管理软件的任何AP将不会被网络管理软件注意到。
一旦发现了AP,下一个步骤是识别其是否为欺骗AP,这不是简单的任务。一个主要的难点由攻击方法取决于网络类型的事实提出。在WiFi/802.11网络中,其使用载波监听多路访问,攻击者必须捕获合法AP的身份从而使用合法AP的身份建立消息。一旦其捕获到了这样的授权身份,欺骗AP等待直到介质空闲,然后向MS发送消息。
在本地平面上,通过某些管理员解决这一问题,其使用具有用于授权AP的授权MAC地址、厂商、媒体类型或信道的的预配置列表,并提供工具,该工具可对任何最新检测到的属于授权AP范围外的AP进行自动告警。例如,M.K Chirumamilla等在2003年IEEE有关通信的国际会议(ICC)第492-496页题为“Agent Based Intrusion Detection and Response Systemfor Wireless LAN”的论文中描述了这样的技术。该论文建议对于在注册AP的列表中的成员,检查从AP的信标中提取的MAC地址。不能分辨MAC地址就解释为欺骗AP攻击。但是该方法容易受到MAC地址欺骗的攻击。此外,列表必须被更新并且有时会过期,因而是不可靠的。
此外,在WiMax/802.16接入网背景下似乎没有解决欺骗AP检测。WiMax/802.16是下一代无线接入网技术,其更加快速(速度达到每秒70M比特),提供了约超过50km距离内的网络覆盖,提供了更好的业务质量并比以前的无线技术更加安全。未来的WiMax产品将支持移动无线连接,例如,Intel计划到2006年在笔记本电脑中,和到2007年在移动电话中加入WiMax。考虑到未来WiMax市场潜在的市场大小,以及当前在网络安全上攻击增长的趋势,欺骗AP检测的问题成为了安全WiMax通信的重要方面。
然而,欺骗AP攻击对于这些网络是重要的威胁。为了成功,攻击者必须首先装备从合法AP获取到的身份,并与合法AP在同一时间发送。攻击者也必须发送到达目标MS的信号,即经由比从该区域内任何合法AP接收到的信号更强的接收信号强度(RSS)。在这种情况下,MS接收器在该强大的非法信号出现时自动地减小了其增益,减小到合法信号表现为背景噪声这样的一个点。两个信号间实际的强度差别取决于接收器灵敏度。
此外,使用该技术,移动台和AP的相互认证是可选的,并且发生在网络接入处理之后。同样,物理层上不存在安全。这样,在WiMax/802.16接入网的MS和AP间的对话过程中,欺骗AP攻击可发生在多个点上。
其它建立AP合法性的方法包括由Beyah等人在题为“Rogue AccessPoint Detection using Temporal Traffic Characteristics”中提出的方法,该文章公开在2004年IEEE全球电信会议(GLOBECOM)会议录的第2271-2275页。该文章提出了一种基于网络业务量时间特性分析的方法。其基于这样的假设无线业务量比有线业务量更加随机。但是,在Beyah等文章中描述的方法提出了通过业务量图的可视检查来发现欺骗AP,并且不是自动的。此外,对业务量特性的假设在实际网络中很难识别。
大体上,现有的检测欺骗AP的方案是昂贵的、初布的并容易避开。因此,无线网络需要有效的方法来检测欺骗AP,从而避免恶意攻击。
发明内容
本发明的目的是提供一种用于在无线接入网中检测欺骗AP的系统,全部或部分减轻现有欺骗AP检测系统的缺点。
因此,本发明提供了一种用于在无线接入网中检测欺骗接入点(AP)的方法,包括a)在所述无线接入网的所述每个AP上为服务区域内的所有AP保持AP数据;b)从在所述服务区域内漫游的移动台(MS)请求从服务中的AP切换到所述服务区域内多个候选AP中的一个;c)在MS上收集来自所有所述候选AP的AP存在信息,并向所述正在服务的AP报告所述AP存在信息;d)在所述正在服务的AP上确定所述AP存在信息是否与所述正在服务的AP上保持的所述AP数据一致;以及e)只要所述AP存在信息与所述AP数据不一致,则识别所述欺骗AP。
根据本发明的另一个方面,提供了一种用于在无线接入网中检测欺骗接入点(AP)的方法,包括i)准备Voronoi图,其可将对应于服务区域的平面分为多个凸多边形,每个多边形包括代表所述服务区域内的AP位置的生成点,并且给定多边形内的每个点到其生成点比到任何其它点更近;及ii)为每个多边形计算所述相应凸区域的任何点和Voronoi图内每个其它生成点之间的最小距离和最大距离,并存储所述最小和最大距离。
进一步地,本发明旨在提供一种用于在无线接入网中检测欺骗接入点(AP)的方法,包括p)在所述无线接入网的每个AP上为服务区域内的所有AP保持AP数据;r)在所述服务区域内漫游的移动台(MS)上收集数据集,该数据集包括所述服务区域内的所有AP的接收信号强度(RSS)数据,并向所述正在服务的AP报告所述数据集;s)在所述正在服务的AP上确定所述数据集内的所述RSS数据是否与在所述正在服务的AP上保持的所述AP数据一致;及t)当所述数据集内的所述RSS数据与所述AP数据不一致时,识别所述欺骗AP。
本发明的方法有利地解决了现有无线系统安全中的弱点,并可用于任何无线技术,与欺骗AP的信号范围无关。特别地,根据本发明的系统可结合有新的WiMax设备。同时,根据本发明的系统和方法使AP在切换阶段内检测部署在邻近区域内的欺骗AP,而不使用定向天线及大范围的传感器。
本发明的另一个优点是其使得MS作为移动传感器操作来检测欺骗AP。移动设备可在连接装置上检测并报告AP信号。因此,由于它们的移动性会消除检测范围上的死区。使用本发明甚至能够检测定向的欺骗AP。
通过以下优选实施例更具体的说明,本发明前述及其它目的、特征及优点将更加明显,如附图中所示,这里图1例示了简单的无线网,其包括根据本发明实施例的移动台;图2表示了在切换阶段期间欺骗接入点检测方法的流程图,该方法是精确的解决方案;图3表示了在图2的流程图上如何确定信号的一致性,(a)上表示了一致的信号,(b)上表示了不一致的信号;图4表示了在切换阶段期间欺骗接入点检测方法的流程图,该方法是快速测试解决方案;及图5表示了在通信进行的同时欺骗接入点检测方法的流程图。
具体实施例方式
本发明基于来自移动台(MS)的接收信号强度(RSS)报告中的一致性确定接入点(AP)对于无线网络的合法性。特别地,其使得MS在合法AP的帮助下在切换阶段和/或在通信进行的同时识别欺骗AP。一旦MS与合法AP通信,本发明也涉及使用MS作为移动传感器。
术语“切换”在这里指从一个AP到另一个的处理中普遍公认的交换呼叫而不会中断通信的操作。该过程用于用户向/从相应覆盖区域移动时为MS提供无缝业务。在切换期间,欺骗AP可伪装为合法AP,从而移动用户会失去与接入网的连接。术语“通信”在这里用于指MS通过所选的AP接入到网络后,MS和远程实体间的信息交换。
无线接入网包括多个AP,提供到漫游无线MS的连接。这些AP在单独的主干网络上连接在一起,该主干网络用于交换通信信息。通过设计,每个MS尽力通过具有最强RSS的AP得到连接。由于同一AP和两个MS间的距离非常可能不同,并且由于MS具有最大可能不同的灵敏度,该由MS对特定AP测量的RSS值与每个MS相关。
图1概略地表示了无线接入网150,其包括根据本发明实施例的MS。该例子中的网络包括合法AP10和10’、欺骗AP100和在这些站的覆盖区域之间移动的MS5。合法AP基于可信物理网络150互相连接,并可同时接入到如200所示的有线网络。应当注意,在MS5和AP10的结构图上仅例示了与本发明有关的单元。
已知的,AP和移动台配置有收发器13和13’,其具有接收器16和发射器20(仅对于MS5进行了表示),用于在MS和AP间基于接口11和11’实现双向通信,以及单独的处理器15和17。处理器15和17一般性地例示了相应MS5和AP10的全部功能,即在网络200上实现移动台和AP间的数据通信及信令,包括建立连接、切换、数据传递(通信)及其它不同样与本发明相关的功能。
此外,接入网中的全部合法AP10和10’还装配有邻居数据库12,其存储有用于接入网150中所有AP的位置数据,或者至少最近的邻居的位置。AP位置数据可以用任何已知的方式确定,例如通过骨干网协议或通过配置。所述位置信息以例如表格的形式保存在邻居数据库12中,其中每一行提供AP标识符(MAC地址、AP下标)、相应AP的位置,及有效各向同性辐射功率(EIRP);其它关于各个邻居的控制信息也可以保存在该表中。我们假设这些信息是可信的。
根据本发明,AP还装配有AP位置估算单元14,其基于从移动台接收到的信息计算当前AP位置数据,该移动台例如在AP10的覆盖区域内漫游的MS5。可以不同方式及在过程中的不同呼叫阶段(切换或/和通信)确定AP位置,如结合图2-5所描述的。然后将当前的AP位置数据与存储器12中存储的位置数据进行比较。如果数据一致,则认为该AP合法。如果不一致,则在附近存在欺骗AP。
MS5装配有AP扫描器19,用于检测从相应区域内的AP接收到的信号的信号强度(接收信号强度RSS)。扫描器19表示为独立的单元,当然,其可以是接收器16的一部分。在如下面讨论的移动传感器的操作中,移动台维持数据库22,其收集与扫描器19检测到的AP有关的RSS和方向信息。除执行的建立/终止连接、对连接进行切换及随之发出信令的一般任务外,处理器15还从扫描器19收集AP信息,并将其存储在数据库22中。在发射器20上取出该信息以向AP报告移动台当前用于接入(正在服务的AP)。由于站点是移动的,这些能力使得MS在接入网中作为移动传感器工作。结果,攻击者不能通过使用定向天线简单地对抗该检测方法。
根据本发明,MS在这样的时间间隔内对正向其提供服务的AP做出命令,其中在该时间间隔内MS扫描频率并评估该区域内可用AP的RSS,这被称为扫描时间间隔。正在服务的AP基于MS的当前位置使用从数据库12中取出的推荐的AP标识符回复这一扫描间隔命令。在扫描间隔期间,MS测量推荐的AP的RSS。例如,通过对在帧前同步信号期间获得的信号强度进行平均获得RSS。当扫描器18收集到所有的测量时,MS向正在服务的AP发送报告,该报告包括与该测量的RSS配对的相应AP的身份。
根据本发明,欺骗AP检测可发生在移动台呼叫的切换阶段和/或发生在通信进行的同时。对于切换阶段期间的欺骗AP检测,目标是保证切换期间从候选AP接收到的信号与那些候选AP的实际位置一致。当通信进行时,目标是检测并报告该区域内所有AP的存在,在该方式中,MS在接入网中作为移动传感器工作。
应当理解,本发明不限于用于检测欺骗AP的RSS的处理。可以使用任何提供在MS的漫游区域内操作的AP的指示的其它存在信息,以及移动台能够收集并向正在服务的AP报告的存在信息。
在切换阶段的欺骗AP检测图2表示了在切换阶段内欺骗AP检测方法的流程图,该方法是“精确的解决方案”。假设,图1的MS5连接到无线150以通过网络200与固定台通信。同时,我们假设MS5使用AP10作为当前AP,并且当其离开AP10的覆盖区域时,其搜索能够从AP10无缝接管该连接的预期AP。如步骤30所见到的,MS5向AP10报告所有指示能够接管当前由正在服务的AP10执行的接入功能的AP。
然后在步骤31,在正在服务的AP上使用RSS测量以对于MS和相应AP间的信号计算实际路径损耗。使用来自数据库12的候选AP的EIRP、由MS在步骤30报告的用于该AP的RSS以及EQ1确定该实际路径损耗E=EIRP-RSS-GrEQ1这里Gr是MS的接收天线增益。
如上面所指出的,正在服务的AP得知预先存储在数据库12中的合法AP的位置。在某些情况中,AP也可以得知MS的当前位置。例如,如果MS配备有GPS,则MS可向正在服务的AP提供其位置。在这种情况下,MS和候选APi之间的距离di可用于估算预期路径的损耗。这种情况沿着图2的判定框32的“是”分支表示。
根据2001年Prentice Hall出版社,S.Rappaport和T.Rappaport的著作“Wireless CommunicationsPrinciples and Practice”第二版,以dB表示的路径损耗L(d)作为以米表示的距离d的函数,该路径损耗是遵循正态分布的随机变量,由EQ2给出L(d)=L‾(d0)+10νlog(dd0)+Xσ---EQ2]]>d0表示到候选AP的发射器的参考距离。在该距离上计算的平均损耗是 值ν表示路径损耗指数,其范围从1.5到6。该路径损耗指数捕获这样的速率,信号强度按该速率衰减,并使用抽样来确定。Xσ为高斯分布随机变量,以dB表示,具有零平均值和标准偏移σ。该距离然后用于计算L(d),如步骤33所示。
已知L(d)和E间的差异小于或等于具有95%可能性的2σ。这一事实是根据正态分布的标准表得出的。因此,认为处于攻击时,计算的有效AP到MS的路径损耗大大小于平均的理论上的AP到MS的路径损耗,是合理的。因此,用于确定候选AP是否合法的测试变为|L(d)-E|≤2σ EQ3使用该技术,错误否定的比率大约为2.5%。错误肯定的比率依赖于攻击者成功所需要的附加RSS。此外,如果AP使用扇区化天线,则MS的方位角必须在AP的扇区之内。如果这些测试失败(如果AP合法这很不可能),则应认为对于该AP报告的信号是反常的。
如果EQ3的测试没有被满足,即判定框34的“否”分支,其意味着相应AP是一个欺骗AP,正在服务的基站在步骤35向NMS警告该欺骗AP的存在。如果EQ3中的测试指示AP合法,即,判定框34的“是”分支,这意味着从MS接收到的RSS数据是一致的,切换阶段可选择任何新报告的AP,如步骤36所示。正在服务的AP然后在步骤37执行到步骤36中选择的相应候选AP的切换。
如果不知道MS的位置,即仅知道候选AP的位置,则路径损耗的估算变得更加复杂,如判定框32的“否”分支所示。在这种情况下,如步骤38所示,优选地使用信号强度的几何表示来进行计算。取决于相应预期AP的测量数,MS的近似位置可表示为圆盘、环面、圆盘的扇区、环面的扇区、线段等。给出损耗L,对数正态阴影模型可用于计算距离估计d
d=d010L(do)-L10ν---EQ4]]>损耗L和距离d都是随机变量。从MS到候选AP的实际距离在最小值dmin和最大值dmax之间的间隔之内的可能性大于或等于95%。使用EQ5计算最小和最大距离dmin=d010L(d0)-L-2σ10ν]]>dmax=d010L(d0)-L+2σ10ν---EQ5]]>以上EQ5遵循这一事实,即95%的时间内测量到的路径损耗和平均路径损耗的最大差别是2σdB。因此可假设MS95%的可能性位于由候选AP的位置(s,y)为中心,半径为dmin和dmax的环面所定义的区域内。在这种情况下,需要校准阶段来确定平均短距离损耗 路径损耗指数ν及标准偏离σ。
回到图2,随着在步骤30对于每个候选AP的RSS的接收,正在服务的AP在步骤31使用EQ1确定有效损耗。使用EQ4估算MS到APi的距离di,该EQ4具有用作预期损耗(L=E)的有效损耗值。每个APi定义以相应位置(xi,yi)为中心,半径为di,min和di,max的环面Ai。
也如图3的例子所示,在步骤39基于环面的交集评估信号一致性。如果对于所有候选AP的环面具有非空的交集,如图3(a)所示,就表示存在这样的区域(交集),其中MS看起来可位于该区域,因为对于临近区域内的AP接收到的RSS是一致的。
在步骤38可仅使用di,max值进一步简化检测。每个AP同时定义半径为di,max,中心为位置(xi,yi)的圆盘Di。图3例示了一般情况和非一般情况的例子。在一般情况中,圆盘具有非空交集,以及与MS应位于的共同区域一致的信号报告。在反常情况中,攻击者使用充分强的RSS模仿AP2。这导致了错误的解释,即接收器更接近实际上的AP2。信号报告与MS应位于的共同区域不一致。
如果AP使用扇区化天线,则应证实扇区的交集代替环面和圆盘。
如以上所指出的,为了揭露欺骗AP,AP10的AP位置估算单元14对于相应候选AP执行在步骤38计算出的所有几何表示(环面、环或扇区等)的交集,如步骤39所示。可通过求解一系列等式来得到用于每个AP的位置的解(xi,yi)来实现圆盘、环面和扇区交集的验证。
如果几何表示的交集不是空的,即判定框39的“是”分支,这表示从MS接收到的RSS数据是一致的,并且切换阶段可选择任何新报告的AP,如步骤36所示。现在,可处理切换,并且最近的候选AP是新的正在服务的AP。图3(a)表示了当信号一致时的例子。
另一方面,如果信号不一致,如图3(b)所示,即判定框39的“否”分支,AP将向网络管理系统(未示)发出告警信号,如步骤40所示。为了确定哪一个预期AP是欺骗AP,正在服务的AP试图确定具有非空交集的几何表示的最大基数子集。假设列表中仅有一个欺骗AP,则从该列表简单选择一个AP并移出,如步骤41所示,在步骤42再次计算剩余几何表示的公共交集。如果该公共交集仍为空,替换该列表中的相关AP,并从初始列表移出另一AP。重复步骤41-42直到信号一致,在这种情况下,最后移出的AP是欺骗AP,如步骤25所示。如果距离不一致,则可在任何时间完全拒绝切换。
应当注意确定哪个AP引入了距离上的差异的其它方式。例如可以从该列表同时移出两个或多个AP,而不是一个,或者正在服务的AP可以使用某些选择标准来选择从列表移出AP的顺序等。这些测量可以例如试图加速欺骗AP检测处理,或者更精确地识别欺骗AP等。
由于必须在通信切换期内完成欺骗AP的检测,可以使用更快速的方案。虽然这种快速方案不是十分精确,但可以结合精确方案来使用以消除某些最坏的欺骗。该快速方案依赖于使用Voronoi图的预处理步骤。该图将具有n个生成点的平面划分成凸多边形,这样每个多边形精确地包含一个生成点,给定多边形内的每个点到其自己的生成点比到任何其它生成点更近。使用可信AP的已知位置作为生成点。当网络拓扑固定时,相应Voronoi图是不变的,并且能够以时间复杂性0(nlogn)预先计算。
图4表示了在切换阶段欺骗AP检测方法的流程图,这是一种快速检测方案。在步骤43,正在服务的AP计算代表预存储在存储器12中的AP位置的点的Voronoi图。如循环44-47所示,对于Voronoi图的凸区域,AP计算该凸区域的任何点和每个其它生成点之间的最小和最大距离。该距离存储在每个凸区域的数据库12中。
如图2所示的实施例中,MS在步骤47向正在服务的AP报告每个候选AP的RSS。在步骤48,基于这些AP的特征和测量到的RSS,AP计算MS的当前位置和候选AP间的近似距离。这些近似值定义了距离范围。在步骤49,正在服务的AP识别被认为与MS的当前位置最接近的候选APi。最短距离di使得正在服务的AP确定相应的Voronoi图上的凸区域,其中该MS应该在该区域内。接下来,在步骤51,AP确定在步骤45对于APi确定的距离范围是否与在步骤49计算出的距离一致。如果距离相符,则执行判定框51的“是”分支,然后在步骤61执行切换。否则,为了更精确的确定当前仍执行精确方案。
如果不相符,即判定框51的“否”分支,如步骤53所示,AP向接入网的网络管理系统发出告警。然后,正在服务的AP试图确定具有一致距离的AP的最大候选子集。假设该区域内仅有一个欺骗AP,在步骤55随机选择并移出一个AP。例如,其可以是在步骤49识别出的最接近的候选AP。在步骤57,像以前一样确定当前与MS最接近的候选基站,并识别用于该新的最接近候选AP的相应凸多边形。如果在判定框59距离不一致,则再次替换选择的AP并移出另一个AP;重复步骤55、57和59,直到距离一致。在这种情况下,在步骤25,将最后移出的AP识别为欺骗AP。总之,如果距离不一致,可以在任何时候拒绝切换。
应当注意,可以使用确定哪个AP引入了距离差异的其它方法。例如可以从列表中同时移出两个或多个AP,而不是一个,或者正在服务的AP可以使用某些选择标准来选择从列表中移出AP的顺序等等。这些策略可试图例如加速欺骗AP检测的进程,或者更精确的识别欺骗AP等等。
在通信进行的同时检测欺骗AP图5表示了在通信进行的同时欺骗AP检测方法的流程图。一旦移动用户已经与合法AP建立了通信,该AP可希望检测任何由移动用户报告的潜在的欺骗AP。在这种情况下,MS成为了尽力检测接入网中的欺骗AP的移动传感器。显然,在连接阶段不存在快速检测的实际需要,因而,检测过程可以离线于AP-移动用户的通信建立进行。
在步骤50,移动台从该区域内的所有AP收集RSS,并向正在服务的AP报告该信息。应当注意,如图5的流程图上的虚线所示,当移动台在AP的服务区内漫游时,继续执行步骤50。该报告包括由MS对于相应区域内的所有AP收集到的信息,并可周期性的产生,或者当正在服务的AP请求时产生;可以同样想象其它安排。这些信息包括至少具有相应AP的标识和相应的RSS(例如AP1-RSS1;AP2-RSS2......APn-RSSn)的数据集。也可以记录收集相应数据集的时间。
在步骤52,对于移动用户报告的每个数据集,正在服务的AP计算移动用户的近似位置。基于相应候选AP的特征和移动用户接收到的信号强度执行确定。可以如前使用几何表示来代表与AP相关的MS的近似位置,如圆盘、环面、圆盘扇区、环面扇区、线段。
接下来,正在服务的AP对于给定的数据集确定从MS接收到的RSS是否与其在相应区域内合法AP的消息一致。在步骤52,通过计算所有几何表示的交集来执行这一点。如果交集不为空,这表示从MS接收到的给定数据集的信号一致,没有报告的AP认为是欺骗AP。如判定框56的“是”分支所示,对于MS报告的每个数据集重复步骤50和56。
另一方面,如果给定数据集中的信号不一致,如判定框56的“否”分支所示,在步骤58,正在服务的AP向网络管理系统发出告警。然后,如以上所描述地,正在服务的AP试图通过确定具有非空交集的几何表示的最大候选子集来确定欺骗AP的身份。
每个合法AP使用该方法来监控接入网。如果给定AP被报告的太过频繁,并最终由太多的AP被报告,中央网络管理从而执行并要求接入网中的所有合法AP将相应的AP标识为处于危险。此外,网络管理系统通过合法AP可下载MS中处于危险AP标识的黑名单。然后,AP和MS可执行某些安全策略,例如仅在没有其它可能时使用处于危险的AP。
权利要求
1.一种用于在无线接入网中检测欺骗接入点(AP)的方法,包括a)在所述无线接入网的所述每个接入点上保持服务区内所有接入点的接入点数据;b)从所述服务区内漫游的移动台(MS)请求从正在服务的接入点切换到所述服务区内多个候选接入点之一;c)在所述移动台上,从所有所述候选接入点收集接入点存在信息,并向所述正在服务的接入点报告所述接入点存在信息;d)在所述正在服务的接入点上,确定所述接入点存在信息是否与所述正在服务的接入点上保持的所述接入点数据一致;及e)只要所述接入点存在信息和所述接入点数据不一致就识别所述欺骗接入点。
2.如权利要求1的方法,其中,对于每个所述候选接入点,所述接入点存在信息包括接收信号强度(RSS)数据,该数据与相应接入点标识(ID)相关。
3.如权利要求1的方法,其中,对于所述服务区内的每个候选接入点,所述接入点数据包括所述相应接入点的标识(ID),所述标识与接入点位置数据和所述相应接入点的有效各向同性辐射功率(EIRP)相关。
4.如权利要求2的方法,其中步骤d)包括准备具有所述移动台和所述相应候选接入点之间的每条路径的列表;对于该列表中的每条路径,确定所述移动台的当前位置和所述候选接入点之间的距离;基于所述距离计算预期的路径损耗;及基于所述候选接入点的相应接收信号强度和有效各向同性辐射功率计算实际路径损耗。
5.如权利要求4的方法,其中使用扫描器确定所述距离。
6.如权利要求4的方法,其中步骤d)进一步包括将所述实际路径损耗和所述预期路径损耗进行比较,并将所述实际路径损耗和所述预期路径损耗不一致的候选接入点识别为所述欺骗接入点。
7.如权利要求4的方法,进一步包括如果所述预期路径损耗与所述实际路径损耗一致,建议所述移动台使用所述候选接入点。
8.如权利要求2的方法,其中步骤d)包括d1)准备具有所述移动台和所述相应候选接入点之间每条路径的列表;对于该列表中的每条路径,d2)基于所述候选接入点的相应接收信号强度和有效各向同性辐射功率计算实际路径损耗;及d3)基于所述实际路径损耗,估算所述移动台的假定的当前位置和所述候选接入点间的距离。
9.如权利要求8的方法,进一步包括确定所述移动台的所述假定的当前位置是否与所述接入点数据一致。
10.如权利要求9的方法,进一步包括如果所述移动台的所述假定的当前位置与所述接入点数据一致,则建议所述移动台使用任何所述候选接入点。
11.如权利要求9的方法,进一步包括,如果所述移动台的所述假定的当前位置与所述接入点数据不一致,则e1)随机选择候选接入点,并从所述列表移出所述选择的候选接入点;e2)确定在不使用所述选择的候选接入点的所述接收信号强度数据情况下重新计算的所述估算距离是否与所述接入点数据一致;及e3)如果所述预期路径损耗与所述实际路径损耗一致,则建议所述移动台使用除所述选择的候选接入点之外的任何所述候选接入点。
12.如权利要求11的方法,进一步包括使用来自所述列表的另一接入点替换所述选择的候选接入点,并重复步骤e2)和e3),直到所述预期路径损耗与所述实际路径损耗一致。
13.如权利要求8的方法,其中在最小距离和最大距离间估算所述移动台的所述假定的当前位置。
14.如权利要求13的方法,其中步骤d3)包括推选所述估算距离等于所述移动台和所述候选接入点间的实际当前距离的概率;根据所述概率和所述实际路径损耗计算所述最小和最大距离;及对于所有所述路径,提供所述最小和最大距离的几何表示。
15.如权利要求14的方法,其中所述几何表示包括多个环面,其中每个候选接入点位于相应环面的中心,该环面的半径分别等于所述最小和最大距离。
16.如权利要求14的方法,其中所述几何表示包括多个圆盘,其中每个候选接入点位于相应圆盘的中心,相应圆盘的半径等于所述最大距离。
17.如权利要求14的方法,其中对于装配有扇区化天线的候选接入点,所述几何表示包括多个扇区。
18.如权利要求14的方法,其中步骤d)包括确定所述几何表示是否具有非空交集,所述非空交集表示所述移动台可能位于该交集区域内。
19.一种用于在无线接入网内检测欺骗接入点(AP)的方法,包括i)准备Voronoi图,该图将对应于服务区的平面划分为多个凸多边形,每个多边形包括代表接入点在所述服务区内的位置的生成点,并且在给定多边形内,每个点到其生成点比到任何其它生成点更近;及ii)对于每个多边形计算所述相应凸区域内任何点和所述Voronoi图内每个其它生成点间的最小距离和最大距离,并存储所述最小和最大距离。
20.如权利要求19的方法,进一步包括iii)从在所述服务区内漫游的移动台(MS)请求从正在服务的接入点切换到所述服务区内多个候选接入点中的一个;iv)基于由所述移动台收集的接入点存在信息确定每个所述候选接入点和所述移动台间的近似距离;v)从所述近似距离确定最短距离,并基于所述最短距离识别最近的候选接入点;vi)在所述Voronoi图上识别对应于所述最短距离的凸多边形;及vii)确定在步骤iv)对所述最近的接入点计算出的所述近似距离是否与在步骤ii)对于所述最近的候选接入点计算出的最小和最大距离一致。
21.如权利要求20的方法,其中候选接入点的所述接入点存在信息包括与相应候选接入点的标识相关的接收信号强度(RSS)数据。
22.如权利要求21的方法,进一步包括viii)只要所述近似距离与所述最近的候选接入点的最小和最大距离不一致,就识别所述欺骗接入点。
23.如权利要求22的方法,其中步骤viii)包括j)选择候选接入点并从所述Voronoi图移出所述选择的候选接入点;k)从所述近似距离确定新的最短距离,并基于所述新的最短距离识别新的最近的候选接入点;l)在所述Voronoi图上识别对应于所述新的最短距离的新凸多边形;及m)确定所述近似距离是否与对于所述新的最近的候选接入点计算出的最小和最大距离一致;和n)如果所述近似距离与对所述新的最近的候选接入点计算出的最小和最大距离一致,则建议所述移动台使用除所述选择的候选接入点之外的任何所述候选接入点。
24.如权利要求22的方法,进一步包括使用另一候选接入点替换所述选择的候选接入点;及重复步骤j)到n),直到所述新的最近的候选接入点的近似距离与所述最小和最大距离一致。
25.如权利要求20的方法,进一步包括如果所述近似距离和所述最小和最大距离一致,使所述移动台执行到所述最近的候选接入点的切换。
26.一种用于在无线接入网内检测欺骗接入点(AP)的方法,包括p)在所述无线接入网的每个接入点上保持服务区内所有接入点的接入点数据;r)在所述服务区内漫游的移动台(MS)上收集数据集,该数据集包括所述服务区内所有接入点的接收信号强度(RSS)数据,并向所述正在服务的接入点报告所述数据集;s)在所述正在服务的接入点上确定所述数据集内的所述接收信号强度数据是否与在所述正在服务的接入点上保持的所述接入点数据一致;及t)只要所述数据集内的所述接收信号强度数据与所述接入点数据不一致,就识别所述欺骗接入点。
27.如权利要求26的方法,其中,对于所述服务区内的每个接入点,所述接入点数据包括所述相应接入点的标识(ID),所述标识与接入点位置数据和所述相应接入点的有效各向同性辐射功率(EIRP)相关。
28.如权利要求26的方法,其中,对于所述服务区内的所有接入点,所述数据集包括每个所述接入点的标识和所述接收信号强度数据。
29.如权利要求26的方法,其中步骤s)包括,对于所述数据集s1)准备具有所述移动台和所述相应候选接入点之间每条路径的列表;对于该列表中的每条路径,s2)基于所述相应候选接入点的相应有效各向同性辐射功率和接收信号强度计算实际路径损耗;s3)基于所述实际路径损耗估算所述移动台的假定的当前位置和所述相应候选接入点之间的距离;s4)确定所述移动台的所述假定的当前位置是否与所述接入点数据一致;及s5)如果所述移动台的所述假定的当前位置与所述接入点数据一致,则建议所述移动台使用任何所述相应候选接入点。
30.如权利要求26的方法,其中步骤t)包括,对于所述数据集将所述预期路径损耗与所述实际路径损耗进行比较,如果所述预期路径损耗和所述实际路径损耗不一致,则将候选接入点识别为所述欺骗接入点。
31.如权利要求26的方法,进一步包括如果对于所有路径,所述预期的路径损耗与所述实际路径损耗一致,则建议所述移动台使用所述数据集内的任何所述候选接入点。
全文摘要
一种检测欺骗接入点(AP)的方法,该方法防止到通信网所提供业务的未授权无线接入。移动台(MS)向正在服务的AP报告其移动区域内所有AP的信号强度(RSS)。正在服务的AP基于该RSS报告中认识到的不一致性检测欺骗AP,该RSS报告是在切换阶段或者在通信进行的同时估算的。
文档编号H04B7/26GK1972520SQ20061017287
公开日2007年5月30日 申请日期2006年10月8日 优先权日2005年10月5日
发明者J-M·罗伯特, M·巴尔博 申请人:阿尔卡特公司