专利名称:用于通过切换模式提供无线网络中的安全保护的技术的制作方法
用于通过切换模式提供无线网络中的安全保护的技术背景技术本发明一般地涉及无线通信,并且更具体而言涉及用于响应于安全事 件为接入点提供安全保护的技术。随着无线技术和无线网络的出现,对这些网络的攻击已变得更加频 繁。攻击包括通过网络的蠕虫传播或者试图登录到接入点并且潜入网络的 潜在黑客。当未授权客户端被检测到时,采取行动以阻止用户接入网络。例如, 未授权客户端可立即被断开与接入点的连接,以及/或者接入点可立即被断 开与交换端口的连接。这样做以确保未授权客户端不能接入网络。这保护了网络;然而,可能发生错误肯定(false positive),其中客户端被认为是 未授权(unauthorized)的,但实际上其可能是合法(valid)客户端。在这 些情况下,合法客户端可能被阻止接入网络,这是不希望的。此外,因为 未授权客户端被断开与网络的连接,所以难以确定关于客户端的任何信 息,诸如它们的身份等。此信息对阻止将来的攻击或捕捉未授权客户端的 用户来说可能是有价值的。
图1描绘根据本发明的一个实施例的用于提供安全保护的系统。 图2描绘根据本发明的一个实施例的用于提供安全保护的方法的简化 流程图。图3描绘根据本发明的一个实施例的用于隔离可疑客户端的方法的简 化流程图。图4描绘根据本发明的一个实施例的用于实现在图3中所描述的方法 的系统。
具体实施方式
图1描绘了根据本发明的一个实施例的用于提供安全保护的系统100。如图所示,提供了接入点102、客户端104以及网络106。将会理解 的是,可提供任何数量的在系统100中示出的部件。可使用另外的部件。 部件可从在图1中示出的部件被修改。客户端104可以是被配置与接入点102通信的任何计算设备。例如, 客户端104可包括无线设备,诸如膝上型计算机、蜂窝式电话机、个人数 字助理(PDA)、黑莓TM (Blackberry )设备、袖珍PC (pocket PC)、 寻呼机等。客户端104可通过接入点102访问网络106上的资源。客户端104可被分类为合法客户端或未授权客户端。例如,合法客户 端可以是被授权接入网络106的任何客户端。未授权客户端104可以是被 确定为不应当被允许接入网络106的任何客户端。例如,可能被确定为未 授权的客户端104包括个人、设备或过程,它们尝试诸如黑客、蠕虫、病 毒等的不希望的动作。如下面将要描述的,入侵检测系统(IDS)、入侵 保护系统(IPS)、异常(anomaly)检测系统等可被用来检测可能的未授 权客户端104。接入点102可以是客户端104与其通信以接入网络106的任何接入 点。例如,客户端104可能必须登录到接入点102以接入网络106。接入 点102包括无线网关、路由器、基站等。本领域的技术人员会认识到接入 点102的不同示例。接入点102被配置形成网络106。在一个实施例中,网络106可以是 无线网络。然而会理解的是,网络106不被限制为仅是无线网络,并且网 络106还可包括有线网络(wire line network)。例如,无线网络可被连接 到有线网络。网络106可以是任何网络,诸如无线局域网(WLAN)、广域网、蜂 窝式网络等。网络106包括通过接入点102可访问的资源。资源可包括数 据服务器,诸如敏感的公司文档被存储于其中的服务器,认证、授权和记 帐(AAA)服务器,DNS服务器,HTTP服务器,FTP服务器或者用于企 业的任何其他资源(诸如公司网络)。可能不希望未授权客户端访向这些资源。因此,本发明的实施例为网络106的资源提供安全保护。在一个实施例中,可确定安全事件。引起安全事件的客户端104然后 可被确定为可疑的。可疑客户端104可以不被授权接入网络106。然而, 在一些情况下,检测技术可能作出错误肯定,其中可疑客户端104实际上 被授权接入网络106。当确定安全事件时,希望做调査以确定可疑客户端 是未授权客户端还是合法客户端。本发明的实施例因此提供用于保护网络106的两种模式。第一模式是 正常模式,其中允许通过接入点102接入到网络106。第一模式允许对网 络106的资源的合法访问。此模式可以是接入点102在正常条件下(即允 许资源访问)操作的模式。第二模式是第二级别接入。此第二级别接入可限制资源的使用或对网 络中资源的访问。第二模式相比第一模式,在访问网络106的资源方面允 许较小的能力。例如,利用服务质量(QOS)策略的流量可被减缓几乎至 停顿,从而可疑客户端104不能有效地执行。可疑客户端104可能不知道 它己被检测。例如,可疑客户端104可能感觉它己使网络过载。这给了应 用或网络管理员时间来弄清楚可疑客户端104是合法客户端还是未授权客 户端,以及任何其他希望的信息,诸如可疑客户端104位于何处。此外,可形成围墙花园(walled garden),其中可疑客户端104可以 仅被允许访问墙内的资源。因此,这保护网络106避免了可疑客户端 104。此外,可使用蜜罐(honeypot)。蜜罐是被设置较低安全性的设备, 其被与网络资源隔离。蜜罐可被用来收集关于可疑客户端104的信息。当安全事件被检测到时,接入点102被改变至第二模式,而不是有意 断开对事件有责任的可疑客户端104。改变至第二模式可以不使可疑客户 端104警觉到它们己被检测到。进入第二模式并且可执行对可疑客户端 104的分析。如果确定可疑客户端104是未授权客户端,那么对网络106 的接入被拒绝。如下所述,还可执行进一步的分析以确定关于未授权客户 端104的信息。如果可疑客户端104被确定为合法客户端,那么可疑客户 端104被允许进入到网络106。此外,在可疑客户端104被确定为合法之 后接入点102可被改回至第一模式。8图2描绘根据本发明的一个实施例的用于提供安全保护的方法的简化流程图200。步骤202以第一模式操作接入点102。第一模式是正常模 式,其中网络106的资源是可访问的。这是在其中客户端104被允许以正 常方式接入网络106的模式。例如,客户端104可利用证书登录到网络。步骤204检测对于可疑客户端104的安全事件。安全事件可通过各种 技术被检测。例如,接入点102使用代理或网络监视器(即入侵检测服务 (IDS) /入侵保护服务(IPS)、异常检测等)来识别可疑活动。可疑活动 的示例可包括过多的ping、太多的流量、登录到其他网络实体时多次失败 的尝试等。步骤206将合法客户端104转换到将会继续以第一模式操作的环境。 如此合法客户端104可继续能够访问资源。如下面将被更详细地描述的, 合法客户端104可被切换到第二接入点,或者可与可疑客户端104分隔 开。步骤208然后将接入点102的模式从第一模式改变至第二模式。第二 模式提供对网络106中资源的受限访问,或者是网络隔离模式。步骤210然后执行被用来分析可疑客户端104是未授权客户端还是合 法客户端的动作。例如,可生成故障,其在管理站中是可见的,并且还被 提供给电子邮件、寻呼机等。在此步骤后,关于可疑客户端104的详情可 被用来确定它是否是合法客户端。例如,管理站可利用DNS査找(lookup) 来确定可疑客户端104的身份而自动确定客户端104是否是未授权客 户端。此外,管理站可试图弄清楚登录使用可疑客户端104的用户。用户 的身份可被用来确定用户是否被授权接入网络。此外,网络管理员可去到接入点102,确定接入点102被连接在其中 的交换机,并査明关于可疑客户端104的详情。管理员可能要花费时间来 得到详情以确定可疑客户端104是否被允许接入网络106。因此,延迟可 疑客户端104可能是重要的。因此,当安全事件被确定时通过切换至第二 模式而不是断开客户端104,提供了用于分析的时间。在一个实施例中, 在此期间通过对经由接入点104的流量进行限速和/或通过用墙把可疑客户 端104隔开而限制接入。如果确定出可疑客户端104是未授权客户端,那么可以捕捉关于可疑 客户端104的信息。例如,送至客户端104的/从客户端104发送的一些流 量可被捕捉明可疑客户端104正在做什么,或者任何其他取证 (forensic)证据可被收集。对分析的类型和被用来收集信息的技术的进一 步详情将在下面被更详细地描述。图3描绘根据本发明的一个实施例的用于隔离可疑客户端104的方法 的简化流程图300。在此方法中,可疑客户端104不从可疑客户端104试 图登录的接入点102移出。在另一个实施例中,可疑客户端104可被移至 在其中可执行分析的另一个设备。此过程将在下面被更详细地描述。方法假设接入点102正以第一模式操作,并且安全事件被检测到。当 安全事件被检测到时,步骤302确定除可疑客户端104以外的客户端是否 可被移至另一个接入点102。在一个实施例中,希望将可疑客户端104保 持在同一接入点102上。这可使得可疑客户端104更难以确定它已被检测 为可疑客户端。在一些情况下,如果可疑客户端104知道它已被检测,那 么它可断开与接入点102的连接,以及不允许任何进一步的信息被收集。如果其他客户端104不可被移至另一个接入点102,那么步骤304执 行分隔以将其他客户端与可疑客户端104区别开。分隔可包括对其他客户 端使用识别符。例如,识别符可与来自其他客户端104的通信相关联。因 此,带有这些识别符的通信可被允许在网络106上进行。然而,对可疑客 户端104的识别符可被添加到通信,并且那些通信不被传递到网络106。 过程然后接着进行至步骤310。如果其他客户端可被移至另一个接入点102,那么步骤306将其他客 户端104移至另一个接入点102。将其他用户移至另一个接入点102还允 许接入点102在分析及识别可疑客户端104方面投入更多的资源。此外, 可疑客户端104无法检测到其他客户端104移至另一个接入点102,并且 因此仍然不可确定它己被检测出。步骤308将接入点102的模式从第一模式改变至第二模式。步骤310 执行动作以确定可疑客户端104是未授权客户端还是合法客户端。图4描绘根据本发明的一个实施例的用于实现在图3中所描述的方法的系统400。如图所示,提供了一个可疑客户端104-1和两个其他合法客 户端104-2。可疑客户端104-1和客户端104-2正与接入点102通信。接入点102包括检测器402、转移模块404以及分析器406。这些可 以以软件、硬件或其任何组合的形式被实现。检测器402被配置来检测安全事件。例如,检测器402可包括入侵检 测系统,当某些安全事件发生时,入侵检测系统发送警报。当安全事件被 确定出时,转移模块404被配置为与其他客户端104-2通信,以促使将它 们移至另一个接入点102-2。本领域的技术人员会理解客户端104-2可以怎 样被移至接入点102-2。客户端104-2的移动被执行,而可疑客户端104-1 检测不到转移。分析器406然后被配置来执行确定客户端104-1是未授权客户端还是 授权用户的动作。图4示出被保持在接入点102上的可疑客户端104。在另一个实施例 中,可疑客户端104可被重新路由到另一个设备。例如,围墙花园或另一 个接入点102可被用来分析可疑客户端104-1。在此情况下,当安全事件 被检测到时,可疑客户端104-1被重新路由到如上所述正以第二模式操作 的设备。该设备可以是以第二模式运行的接入点102,诸如以第二模式运 行的蜜罐。如上所述,执行动作以分析可疑客户端104-1的方法然后被执 行。以下是当接收到安全事件时可执行的动作的示例。如上所述,可执行 动作以确定可疑客户端是未授权的还是合法的。接入点102可将所有其他 不违法的客户端104移至不同的接入点102。负载平衡可被使用来平衡带 给其他接入点102的负载。在接入点102上流量然后被减缓。 一个示例是当可疑客户端104正利 用ftp内部地将大文件从数据服务器转移到实验室。太多的流量可能引发 警报,但这可能是合法的流量。QOS策略可被应用以减缓流量,这样可能 允许网络管理员有足够的时间来分析流量是否是合法的并且相应地作出反 应。例如,接入点102可被改回至第一模式。接入点102然后捕捉/监视调试流量用于取证登录分析。信息可被转发至或被隧道传送(tunnel)至IDS/IPS/检查引擎或应用,用于另外的分析。如果可疑客户端104正在进行被动探听(passive snooping),那么接 入点102还可模拟伪流量以迷惑可疑客户端104。这可将可疑客户端104 保持在接入点102上。此外,接入点102和邻近的接入点102可进入到"三角测量 (triangulation)"模式,该模式试图估算可疑客户端104的物理位置。这 可利用射频(RF)功率三角测量技术而被执行。近似的物理位置然后会被 报告给网络管理员、被存储或者被标识在网络地图/示图上。如果可疑客户端104及其流量被确定为是未授权的(即对网络106、 其他客户端或服务相当有害),那么接入点102可最终向可疑客户端104 发送断开信号。以另外的方式,接入点102可维持连接并且然后拖住可疑 客户端104直到它可被物理地定位。如果可疑客户端104被确定为合法客 户端,那么接入点102可回到第一模式。本发明的实施例提供了很多优点。例如,安全取证以及识别、定位和 阻止可疑客户端104、入侵者或攻击的可能性被改进。这通过将可疑客户 端104保持在接入点102上,同时以限制客户端104确定它已被检测的能 力的方式来执行分析,而被改进。此外,本发明的实施例可通过以受管理的方式处理安全事件而限制错 误肯定和错误否定(false negative)。例如,错误肯定可通过不立即断开 与可疑客户端104的连接而被管理。进一步,以第二模式执行分析来确定 可疑客户端是未授权用户还是授权用户。此外,本发明的实施例可在集中式体系结构上或在自洽体系结构上被 实现。尽管本发明已参考其具体实施例被描述,但是这些实施例仅是示例性 的,并且对本发明不是限制性的。任何合适的编程语言可被用来实现本发明的实施例的例程,该编程语 言包括C、 C++、 Java、汇编语言等。不同的编程技术诸如过程性的编程 技术或面向对象的编程技术可被使用。例程可在单个处理设备或多个处理 器上执行。尽管步骤、操作或计算可以以具体顺序被呈现,但是此顺序在不同实施例中可被改变。在一些实施例中,在此说明书中被示为顺序性的 多个步骤可被同时执行。在此描述的操作的顺序可被另一个过程中断、挂起(suspend)或以其他方式控制,该过程诸如操作系统、内核等。例程可 在操作系统环境中操作,或者作为占用所有系统处理的独立例程而操作, 或者作为系统处理的实质部分而操作。功能可在硬件、软件或二者的组合 中被执行。除非另外声明,否则功能还可整个地或部分地被手动执行。在此的描述中,提供了很多具体详情,诸如部件和/或方法的示例,以 提供对本发明的实施例的透彻理解。然而相关领域的技术人员会意识到, 本发明的实施例可在没有一个或多个具体详情的情况下被实践,或者可在 具有其他装置、系统、组件、方法、部件、材料、部分和/或其他的情况下 被实践。在其他示例中,公知的结构、材料或操作未被详细地具体示出或 描述,以避免掩盖本发明的实施例的方面。出于本发明的实施例的目的"计算机可读介质"可以是任何介质,该 介质通过与指令执行系统、装置、系统或设备相连接或者与指令执行系 统、装置、系统或设备有关而可以包含、存储、通信、传播或运输用于使 用的程序。计算机可读介质可以是,仅作为示例但不被限制,电子的、磁 的、光学的、电磁的、红外的或半导体的系统、装置、系统、设备、传播 介质或计算机存储器。本发明的实施例可以以控制逻辑的形式在软件或硬件或二者的组合中 被实现。控制逻辑可被存储在信息存储介质中,诸如计算机可读介质,作 为多个指令,该指令适合于指导信息处理设备执行在本发明的实施例中公 开的一系列步骤。基于在此提供的本发明和教导,本领域的一般技术人员 会理解实现本发明的其他方式和/或方法。"处理器"或"过程"包括处理数据、信号或其他信息的任何人、硬 件和/或软件系统、机制或部件。处理器可包括具有多用途中央处理单元、 多个处理单元、专用电路用于实现功能的系统,或者其他系统。处理不需 被限制在一个地理位置,或者有时间的限制。例如,处理器可以"实时" 地、"脱机"地、以"批模式"等等来执行其功能。处理的部分可在不同 的时间和在不同的位置被不同的(或相同的)处理系统执行。13此说明书通篇提及"一个实施例"、"实施例"或"具体实施例"意 思是,所描述的与实施例有关的特定的特征、结构或特性被包括在本发明 的至少一个实施例中,并且未必被包括在所有实施例中。因此,词组"在 一个实施例中"、"在实施例中"或"在具体实施例中"分别出现在此说 明书通篇多个地方,并未必指相同的实施例。此外,本发明的任何具体实 施例的特定的特征、结构或特性可以与一个或多个其他实施例以任何合适 的方式被组合。将被理解的是,对在此描述和例示的本发明的实施例的其 他变化和修改鉴于在此的教导是可以的,并且将被认为是本发明的精神和 范围的部分。本发明的实施例可通过利用程序化的多用途数字计算机来实现,通过 利用应用,具体的集成电路,可编程逻辑器件,现场可编程门阵列,光学的、化学的、生物的、量子的或纳米工程(nanoengineered)系统、部件和 机制可被使用。总的说来,本发明的实施例的功能可通过本领域所知的任 何装置被实现。分布式的或联网的系统、部件和电路可被使用。数据的通 信或转移可以是有线的、无线的或由任何其他装置进行。还会被理解的是,在绘图/图表中所描绘的一个或多个元素在某些情况 下还可以以更分离的或更集成的方式被实现,或者甚至被移除或者被使得 不可操作的,这样根据特定应用是有用的。实现可被存储在机器可读介质 中的程序或代码以允许计算机执行任何上述的方法,这还在本发明的精神 和范围之内。此外,绘图/图表中的任何信号箭头应当被认为仅是示例性的,而不是 限制性的,除非另外具体注释出。此外,在此使用的术语"或" 一般希望 是"和/或"的意思,除非另外指出。部件或步骤的组合也被认为是被注意 到的,其中并未详细描述被预见为提供分离或组合的能力的术语。如在此的描述中以及权利要求通篇所使用的,"一"、"一个"和 "该"包括复数指代,除非上下文明确另外规定。此外,如在此的描述中 以及权利要求通篇所使用的,"中"的意思包括"中"和"上",除非上 下文明确另外规定。对本发明的例示实施例的上述描述,包括摘要中所描述的内容,不希望是穷尽的或者将本发明限制到在此公开的准确形式。虽然本发明的具体 实施例和示例仅出于示例性目的在此被描述,但是在本发明的精神和范围 内多种等同修改是可以的,如相关领域的技术人员会意识到并理解的。如 所指出的,鉴于对本发明的例示实施例的上述描述可对本发明进行这些修 改,并且这些修改将被包括在本发明的精神和范围内。因此,虽然本发明参考其特定实施例已在此被描述,但是自由的修 改、多种改变和替代被希望在上述发明中,并且会被理解的是,在一些示 例中本发明的实施例的一些特征会被使用而不对其他特征进行相应的使 用,在不脱离所阐述的本发明的范围和精神的情况下。因此,可进行很多 修改以使特定情形或材料适合于本发明的基本范围和精神。希望本发明不 被限制到权利要求中所用的特定术语,并且/或者希望本发明不被限制到被 公开为考虑用于执行此发明的最佳模式的特定实施例,但是希望本发明会 包括落在权利要求的范围内的任何并且所有的实施例及等同物。以上描述是示例性的但不是限制性的。基于对本发明的述评本发明的 很多变化对于本领域的技术人员会变得清楚。因此,本发明的范围不应当 参考以上描述来确定,而应当参考权利要求和它们的全部范围或等同物来 确定。
权利要求
1.一种用于为无线网络提供安全保护的方法,所述方法包括以第一模式操作接入点,所述第一模式允许到所述网络的第一级别接入;当以所述第一模式操作所述接入点时,检测对于可疑客户端的安全事件;将除所述可疑客户端以外的一个或多个合法客户端转换到以所述第一模式操作的环境,所述被转换的一个或多个合法客户端仍然具有到所述网络的接入;以及响应于检测到所述安全事件,从操作的所述第一模式改变至操作的第二模式,所述第二模式允许对所述网络的第二级别接入,所述第二级别接入在允许接入到所述网络方面比所述第一级别接入更具限制性。
2. 如权利要求1所述的方法,还包括执行一个或多个动作以确定关于 所述可疑客户端的信息。
3. 如权利要求2所述的方法,还包括分析所述信息以确定所述可疑客 户端是未授权客户端还是合法客户端。
4. 如权利要求3所述的方法,还包括如果确定出所述可疑客户端是合 法客户端,则从所述第二模式改变至所述第一模式。
5. 如权利要求1所述的方法,还包括在从所述第一模式改变至所述第 二模式之后,执行可疑客户端动作。
6. 如权利要求5所述的方法,其中所述可疑客户端动作包括从所述接 入点断开所述可疑客户端。
7. 如权利要求5所述的方法,其中所述可疑客户端动作包括收集关于 所述可疑客户端的信息。
8. 如权利要求5所述的方法,其中所述可疑客户端动作包括减缓对于 所述可疑客户端的流量或者伪造流量。
9. 如权利要求5所述的方法,其中所述可疑客户端动作包括确定所述 可疑客户端的物理位置。
10. 如权利要求1所述的方法,其中转换除所述可疑客户端以外的所 述一个或多个合法客户端包括将所述一个或多个合法客户端从所述接入点 切换到第二接入点。
11. 如权利要求1所述的方法,其中转换除所述可疑客户端以外的所 述一个或多个合法客户端包括在所述接入点将所述一个或多个合法客户端 与所述可疑客户端隔离。
12. 如权利要求1所述的方法,其中从所述第一模式改变至所述第二 模式包括将所述接入点从所述第一模式改变至所述第二模式。
13. 如权利要求1所述的方法,其中从所述第一模式改变至所述第二 模式包括响应于检测到所述安全事件,将所述可疑客户端转移到被配置为 在操作的所述第二模式中操作的第二设备。
14. 如权利要求1所述的方法,其中所述第一模式是允许访问所述网 络的资源的正常操作模式。
15. 如权利要求1所述的方法,其中所述网络包括广局域网 CWLAN) o
16. —种接入点,被配置为对无线网络提供安全保护,所述接入点包括被配置为以第一模式来操作所述接入点的逻辑,所述第一模式允许到 所述网络的第一级别接入;安全事件检测器,其被配置为当以所述第一模式操作所述接入点时, 检测对于可疑客户端的安全事件;被配置为将除所述可疑客户端以外的一个或多个合法客户端转换到以 所述第一模式操作的环境的逻辑,所述被转换的一个或多个客户端仍然具 有到所述网络的接入;以及被配置为响应于检测到所述安全事件而从操作的所述第一模式改变至 操作的第二模式的逻辑,所述第二模式允许到所述网络的第二级别接入, 其中所述第二级别在允许接入到所述网络方面比所述第一模式更具限制 性。
17. 如权利要求16所述的接入点,还包括被配置为执行一个或多个动作以确定关于所述可疑客户端的信息的逻辑。
18. 如权利要求17所述的接入点,还包括被配置为分析所述信息以确 定所述可疑客户端是未授权客户端还是合法客户端的逻辑。
19. 如权利要求18所述的接入点,还包括被配置为如果确定出所述可 疑客户端是合法客户端,则从所述第二模式改变至所述第一模式的逻辑。
20. 如权利要求16所述的接入点,还包括被配置为在从所述第一模式 改变至所述第二模式之后,执行可疑客户端动作的逻辑。
21. 如权利要求20所述的接入点,其中所述可疑客户端动作包括从所 述接入点断开所述可疑客户端。
22. 如权利要求20所述的接入点,其中所述可疑客户端动作包括收集 关于所述可疑客户端的信息。
23. 如权利要求20所述的接入点,其中所述可疑客户端动作包括减缓 对于所述可疑客户端的流量或者伪造流量。
24. 如权利要求20所述的接入点,其中所述可疑客户端动作包括确定 所述可疑客户端的物理位置。
25. 如权利要求20所述的接入点,其中所述可疑客户端动作包括从所 述接入点断开所述可疑客户端。
26. 如权利要求16所述的接入点,其中被配置为转换除所述可疑客户 端以外的所述一个或多个合法客户端的逻辑包括被配置为将所述一个或 多个合法客户端从所述接入点切换到第二接入点的逻辑。
27. 如权利要求16所述的接入点,其中被配置为转换除所述可疑客户 端以外的所述一个或多个合法客户端转换的逻辑包括被配置为在所述接 入点将所述一个或多个合法客户端与所述可疑客户端隔离的逻辑。
28. 如权利要求16所述的接入点,其中被配置为从所述第一模式改变 至所述第二模式的逻辑包括将所述接入点从所述第一模式改变至所述第 二模式。
29. 如权利要求16所述的接入点,其中被配置为从所述第一模式改变至所述第二模式的逻辑包括响应于检测到所述安全事件,将所述可疑客户端转移到被配置为在操作的第二模式中操作的第二设备。
30. 如权利要求16所述的接入点,其中所述第一模式是允许访问所述 网络的资源的正常操作模式。
31. 如权利要求16所述的接入点,其中所述网络包括广局域网 CWLAN) c
32. —种系统,被配置为对无线网络提供安全保护,所述接入点包括对于所述无线网络的多个接入点,其中, 一个接入点被配置为以第一模式操作,所述第一模式允许到所述网络的第一级别接入;当以所述第一模式操作所述接入点时,检测在所述一个或多个客 户端中对于可疑客户端的安全事件;将除所述可疑客户端以外的一个或多个合法客户端转换到以所述 第一模式操作的环境,所述被转换的一个或多个客户端仍然具有到所述网 络的接入;以及响应于检测到所述安全事件,从操作的所述第一模式改变至操作 的第二模式,所述第二模式允许到所述网络的第二级别接入,所述第二级 别接入比所述第一级别接入更具限制性。
33. 如权利要求32所述的系统,其中所述第一模式是允许访问所述网 络的资源的正常操作模式。
全文摘要
提供了用于无线网络的安全保护的技术。接入点以第一模式操作。第一模式是允许对网络资源的访问的操作模式。当以第一模式操作接入点时,对于客户端的安全事件被检测。然后,接入点被从操作的第一模式改变至操作的第二模式。第二模式是操作的受限模式,其限制对网络资源的访问。分析然后可被执行以确定客户端是未授权客户端还是合法客户端。
文档编号G06F11/00GK101405698SQ200780009832
公开日2009年4月8日 申请日期2007年4月26日 优先权日2006年5月16日
发明者什里帕蒂·阿查里雅, 伊恩·傅, 杰里米·E·斯蒂格里兹, 简凡·帕提尔 申请人:思科技术公司