专利名称:移动站、基地台及其侦测攻击的方法
技术领域:
本发明涉及无线通信,尤其涉及一种移动站或基地台及其侦测攻击方法。
背景技术:
参阅图l,是无线通信系统的示意图。无线通信系统包括多个基地台1(T、多个移动站
2cr及可能存在的攻击者30。基地台i(r与移动站2cr进行无线通信时,若基地台icr或移动站
2(T收到对方发送的取消关联或取消鉴权的服务帧,则基地台1(T与移动站2(T需要重新关联
、重新鉴权或者发生漫游。
然而,若上述的取消关联或取消鉴权的服务帧是由攻击者30造假并冒充传送的,由于传 统的基地台1(T或移动站2(T无法识别造假的取消关联或取消鉴权的服务帧,则基地台1(T或 移动站2(T会受到造假的取消关联或取消鉴权的服务帧的攻击。故,急需一种侦测造假的取
消关联或取消鉴权的服务帧的攻击的方法。
发明内容
有鉴于此,需提供一种无线局域网络装置,如移动站或基地台,用于侦测造假的取消关 联或取消鉴权的服务帧的攻击。
此外,还需要提供一种无线局域网络装置侦测攻击的方法,用于侦测造假的取消关联或 取消鉴权的服务帧的攻击。
一种移动站,用于与另一个无线局域网络装置进行无线通信。移动站包括侦测模块、地 址判断模块、传输模块及回传判断模块。侦测模块用于侦测媒体访问控制管理协议数据单元
(MAC management protocol data,丽PDU)。地址判断模块用于确定所侦测的丽PDU的来源 地址及目的地址是否与移动站的地址及另一个无线局域网络装置的地址相同,从而判断 丽PDU是否为攻击者冒充移动站传送至另一个无线局域网络装置的帧。传输模块用于当 丽PDU是攻击者冒充移动站传送至另一个无线局域网络装置的帧,则发送目前状态下最高等 级的帧至另一个无线局域网络装置。回传判断模块用于根据是否接收到另一个无线局域网络 装置回传的帧来判断另一个无线局域网络装置是否受到攻击者的攻击。
一种基地台,用于与移动站进行无线通信,基地台包括侦测模块、地址判断模块、传输 模块及回传判断模块。侦测模块用于侦测丽PDU。地址判断模块用于确定所侦测的丽PDU的来 源地址及目的地址是否与基地台地址及移动站地址相同,从而判断丽PDU是否为攻击者冒充基地台传送至移动站的帧。传输模块用于当丽PDU是攻击者冒充基地台传送至移动站的帧时 ,发送目前状态下最高等级的帧至移动站。回传判断模块用于根据是否接收到移动站回传的 帧来判断移动站是否受到攻击者的攻击。
一种无线局域网络装置侦测攻击的方法,无线局域网络装置与另一个无线局域网络装置 进行无线通信,无线局域网络装置侦测攻击的方法包括以下步骤无线局域网络装置侦测 丽PDU;无线局域网络装置根据侦测到的丽PDU的来源地址及目的地址是否与无线局域网络装 置的地址及另一个无线局域网络装置的地址相同,从而判断丽PDU是否为攻击者冒充无线局 域网络装置欲传送至另一个无线局域网络装置的帧;若丽PDU是攻击者冒充无线局域网络装 置欲传送至另一个无线局域网络装置的帧,则无线局域网络装置发送目前状态下最高等级的 帧;无线局域网络装置判断是否接收到另一个无线局域网络装置回传的帧;若接收到另一个 无线局域网络装置回传的帧,则判定无线局域网络装置已被攻击;或若未接收到另一个无线 局域网络装置回传的帧,则判定无线局域网络装置未被攻击。
上述移动站、基地台及无线局域网络装置侦测攻击的方法,用于侦测造假的取消关联或 取消鉴权的服务帧的攻击,可以及时了解网络通信状态。
图l为无线通信系统的示意图。
图2为本发明第一无线局域网络装置的实施环境图及一实施方式的模块图。
图3为本发明侦测攻击的方法一实施方式的流程图。
具体实施例方式
参阅图2,所示本发明第一无线局域网络装置10的实施环境图及一实施方式的模块图。 第一无线局域网络装置10与第二无线局域网络装置20进行无线通信,可分别为基地台与移动 站,移动站与基地台,或二者皆为移动站。在第一无线局域网络装置10与第二无线局域网络 装置20通信的过程中,攻击者30可能会冒充第一无线局域网络装置10传送造假的媒体访问控 制管理协议数据单元(MAC management protocol data unit,丽PDU)至第二无线局i或网络 装置20以攻击第二无线局域网络装置20,使第二无线局域网络20中断与第一无线局域网络装 置10之间鉴权或关联。
在本实施方式中,第一无线局域网络装置10包括侦测模块102、地址判断模块104、传输 模块106及回传判断模块108。
侦测模块102用于侦测丽PDU。在本实施方式中,丽PDU包括取消关联服务帧、取消鉴权 服务帧。地址判断模块l04用于根据侦测模块l02所侦测到的丽PDU的来源地址与目的地址是否与 第一无线局域网络装置10的地址及第二无线局域网络装置20的地址是否相同,从而判断 丽PDU是否为攻击者30冒充所述第一无线局域网络装置10传送给第二无线局域网络装置20的 帧。
传输模块106用于当丽PDU是攻击者30冒充第一无线局域网络装置10传送至第二无线局域 网络装置20的帧时,发送目前状态下最高等级的帧至第二无线局域网络装置20。若丽PDU不 是攻击者30冒充第一无线局域网络装置10传送给第二无线局域网络装置20的帧,则第一无线 局域网络装置10继续侦测丽PDU。在本实施方式中,目前状态包括取消鉴权的状态与取消关 联的状态。传输模块106发送目前状态下最高等级的帧,包括接收到取消关联的服务帧后发 送进行关联的服务帧,及接收到取消鉴权的服务帧后发送进行鉴权的服务帧。
回传判断模块108用于当传输模块106发送目前状态下最高等级的帧后,通过是否接收到 第二无线局域网络装置20回传的帧,判断第二无线局域网络装置20是否受到攻击者30的攻击 。若没有收到第二无线局域网络装置20回传的帧,则回传判断模块108判定第二无线局域网 络装置20没有受到攻击;若收到第二无线局域网络装置20回传的帧,则回传判断模块108判 定第二无线局域网络装置20已经被攻击。
图3为本发明第一无线局域网络装置10侦测攻击的方法一实施方式的流程图。在本实施 方式中,第一无线局域网络装置10侦测攻击的方法是通过图2中的功能模块来实施。
在步骤S300中,第一无线局域网络装置10与第二无线局域网络装置20进行无线通信。同 时在无线局域网络中还可能存在攻击者30,冒充第一无线局域网络装置10传送造假丽PDU至 第二无线局域网络装置20以攻击第二无线局域网络装置20,使第二无线局域网络装置20与第 一无线局域网络装置10之间的鉴权或关联中断。在本发明其它实施方式中,攻击者30也可能 冒充第二无线局域网络装置20传送造假丽PDU至第一无线局域网络装置10以使第一无线局域 网络装置10与第二无线局域网络装置20之间的鉴权或关联中断。
在步骤S302中,侦测模块102侦测丽PDU。在本实施方式中,丽PDU包括取消关联的服务 帧及取消鉴权的服务帧。
在步骤S304中,地址判断模块104判断是否接收到冒充自己的丽PDU。
在本实施方式中,判断是否接收到冒充自己的丽PDU的步骤,是将侦测到的丽PDU的来源 地址及目的地址与第一无线局域网络装置10的地址及第二无线局域网络装置20的地址进行对 比,并据此判断是否接收到冒充自己的丽PDU。若侦测到的丽PDU的来源地址及目的地址与第 一无线局域网络装置l0的地址及第二无线局域网络装置20的地址相同,则判定所述丽PDU是装置10传送至所述第二无线局域网络装置20的帧;若接收到 的丽PDU的来源地址及目的地址与第一无线局域网络装置10的地址及第二无线局域网络装置 20的地址不相同,则判定所述丽PDU不是攻击者30冒充第一无线局域网络装置10传送至所述 第二无线局域网络装置20的帧。
若没有接收到冒充自己的丽PDU,则回到步骤S302,侦测模块102继续侦测丽PDU。 若接收到冒充自己的丽PDU,则在步骤S306中,传输模块206发送目前状态下最高等级的 帧。在本实施方式中,目前状态包括取消鉴权的状态及取消关联的状态。发送目前状态下最 高等级的帧,包括以下步骤若目前的状态是取消鉴权状态,则发送进行鉴权的服务帧;若 目前的状态是取消关联状态,则发送进行关联的服务帧。
在步骤S308中,回传判断模块208判断是否接收到第二无线局域网络装置20回传的帧。 若没有接收到回传的帧,则判定第二无线局域网络装置20未被攻击,回到步骤S302,侦 测模块102继续侦测丽PDU。
若接收到回传的帧,则在步骤S310,回传判断模块208判定第二无线局域网络装置20已 被攻击。
因此,第一无线局域网络装置10成功的侦测造假的取消关联或取消鉴权的服务帧的攻击 ,从而可及时了解网络通信状态。
8
权利要求
1.一种移动站,用于与另一个无线局域网络装置进行无线通信,其特征在于,所述移动站包括侦测模块,用于侦测媒体访问控制管理协议数据单元;地址判断模块,用于确定所侦测的媒体访问控制管理协议数据单元的来源地址及目的地址是否与所述移动站的地址及所述另一个无线局域网络装置的地址相同,从而判断所述媒体访问控制管理协议数据单元是否为攻击者冒充所述移动站传送至所述另一个无线局域网络装置的帧;传输模块,用于当所述媒体访问控制管理协议数据单元是攻击者冒充所述移动站传送至所述另一个无线局域网络装置的帧时,发送目前状态下最高等级的帧至所述另一个无线局域网络装置;及回传判断模块,用于根据是否接收到所述另一个无线局域网络装置回传的帧来判断所述另一个无线局域网络装置是否受到所述攻击者的攻击。
2 如权利要求l所述的移动站,其特征在于,所述媒体访问控制管理协议数据单元包括取消关联的服务帧及取消鉴权的服务帧。
3 如权利要求2所述的移动站,其特征在于,所述目前状态包括取消鉴权的状态及取消关联的状态。
4 如权利要求3所述的移动站,其特征在于,所述传输模块还用于当接收到取消关联的服务帧后发送进行关联的服务帧;或当接收到取消鉴权的服务帧后发送进行鉴权的服务帧。
5 如权利要求l所述的移动站,其特征在于,所述回传判断模块还用于当接收到所述另一个无线局域网络装置回传的帧时判定所述另一个无线局域网络装置已被攻击;及当未接收到所述另一个无线局域网络装置回传的帧,则判定所述另一个无线局域网络装置未被攻击。
6 如权利要求l所述的移动站,其特征在于,所述无线局域网络装置为移动站和基地台其中的一者。
7. 一种基地台,用于与移动站进行无线通信,其特征在于,所述基地台包括侦测模块,用于侦测媒体访问控制管理协议数据单元;地址判断模块,用于确定所侦测的媒体访问控制管理协议数据单元的来源地址及目的地址是否与所述基地台地址及所述移动站地址相同,从而判断所述媒体访问控制管理协议数据单元是否为攻击者冒充所述基地台传送至所述移动站的帧;传输模块,用于当所述媒体访问控制管理协议数据单元是攻击者冒充所述基地台传送至所述移动站的帧时,发送目前状态下最高等级的帧至所述移动站;及回传判断模块,用于根据是否接收到所述移动站回传的帧来判断所述移动站是否受到所述攻击者的攻击。
8.如权利要求7所述的基地台,其特征在于,所述媒体访问控制管理协议数据单元包括取消关联的服务帧及取消鉴权的服务帧。
9.如权利要求8所述的基地台,其特征在于,所述目前状态包括取消鉴权的状态及取消关联的状态。
10.如权利要求9所述的基地台,其特征在于,所述传输模块还用于当接收到取消关联的服务帧后发送进行关联的服务帧;或当接收到取消鉴权的服务帧后发送进行鉴权的服务帧。
11.如权利要求7所述的基地台,其特征在于,所述回传判断模块还用于当接收到所述移动站回传的帧时判定所述移动站已被攻击;及当未接收到所述移动站回传的帧,则判定所述移动站未被攻击。
12. 一种无线局域网络装置侦测攻击的方法,所述无线局域网络装置与另一个无线局域网络装置进行无线通信,其特征在于,所述无线局域网络装置侦测攻击的方法包括以下步骤所述无线局域网络装置侦测媒体访问控制管理协议数据单元;所述无线局域网络装置判断所述侦测的媒体访问控制管理协议数据单元的来源地址及目的地址是否与所述无线局域网络装置的地址及所述另一个无线局域网络装置的地址相同,从而判断所述媒体访问控制管理协议数据单元是否为攻击者冒充所述无线局域网络装置传送至所述另 一个无线局域网络装置的帧;若所述媒体访问控制管理协议数据单元是攻击者冒充所述无线局域网络装置传送至所述另一个无线局域网络装置的帧,所述无线局域网络装置发送目前状态下最高等级的帧至所述另一个无线局域网络装置;及所述无线局域网络装置判断是否接收到所述另一个无线局域网络装置回传的帧;若接收到所述另一个无线局域网络装置回传的帧,则判定所述另一个无线局域网络装置已被攻击;或若未接收到所述另一个无线局域网络装置回传的帧,则判定所述另一个无线局域网络装置未被攻击。
13 如权利要求12所述的无线局域网络装置侦测攻击的方法,其特征在于,所述媒体访问控制管理协议数据单元包括取消关联的服务帧及取消鉴权的服务帧。
14 如权利要求13所述的无线局域网络装置侦测攻击的方法,其特征在于,所述目前状态包括取消鉴权的状态及取消关联的状态。
15 如权利要求14所述的无线局域网络装置侦测攻击的方法,其特征在于,所述发送目前状态下最高等级的帧的步骤包括以下步骤判断目前状态;若目前状态是取消鉴权状态,则发送进行鉴权的服务帧;或若目前的状态是取消关联状态,则发送进行关联的服务帧。
全文摘要
一种移动站,与无线局域网络装置进行无线通信,所述移动站包括侦测模块、地址判断模块、传输模块及回传判断模块。侦测模块用于侦测媒体访问控制管理协议数据单元。地址判断模块用于判断媒体访问控制管理协议数据单元是否为攻击帧。传输模块用于当媒体访问控制管理协议数据单元是攻击帧时,发送目前状态下最高等级的帧至无线局域网络装置。回传判断模块用于根据是否接收到无线局域网络装置置回传的帧来判断无线局域网络装置是否受到攻击。本发明还提供了一种基地台及一种无线局域网络装置侦测攻击的方法。上述移动站、基地台及无线局域网络装置侦测攻击的方法,用于侦测造假的取消关联或取消鉴权的服务帧的攻击,可以及时了解网络通信状态。
文档编号H04L12/28GK101667947SQ200810304369
公开日2010年3月10日 申请日期2008年9月4日 优先权日2008年9月4日
发明者唐正文 申请人:鸿富锦精密工业(深圳)有限公司;鸿海精密工业股份有限公司