专利名称:用于无线入侵检测的基于位置的增强方案的制作方法
技术领域:
本发明广泛地涉及无线局域网的配置。具体而言,本发明涉及配置客 户端设备的无线局域网。更具体而言,本发明涉及利用无线传输介质中的 管理帧来检测对无线局域网的未经授权的接入。
背景技术:
诸如无线局域网(WLAN)之类无线网络的使用变得越来越普遍。随 着WLAN的增多,网络安全性也变得越来越重要。WLAN呈现出重要的 网络安全性关注。
WLAN可以是自组织的(adhoc),其中任意客户端设备(这里称之 为客户端)可以与任意另一客户端直接通信,WLAN或者具有以下基础结 构客户端可以仅经由接入点(AP)与另一客户端通信。特定于WLAN 的问题起因于请求接入各个AP的无线客户端。通常,在WLAN环境的部 署中,AP小区的覆盖被重叠以实现最大RP覆盖来减少没有服务的地点。 无线客户端可以在AP间移动,并因此依赖于它们的位置来改变WLAN的 RF环境。另外,WLAN通常需要随着增大的需求而不断增长,因为越来 越多的客户端需要来自WLAN的服务。扩展WLAN需要重新配置环境, 添加AP以及将AP放在不会与其他AP发生冲突的位置上,否则会使得 WLAN的管理变复杂。
由于无线是开放介质,因此任何人都可以竞争接入并通过信道发送 帧。由于802.11管理帧是在没有任何保护的情况下被发送的,因此攻击者 可以容易地伪装成合法AP,从而像其是正在服务于客户端的AP —样向客 户端发送指示。例如,几乎所有攻击都是从伪装成AP的攻击者通过向客 户端发送解关联(deassociation)或解认证(deauthentication)请求而开始 的。
因此,存在对于有效地保护WLAN并向WLAN管理者提供执行管理 和接入控制判决所需的信息的方法和设备的迫切需要。
发明内容
本发明解决了上述问题,并且通过核实宣称来自一个特定AP的管理 帧是否发源于已知该特定AP所位于的物理位置附近来保护WLAN。因 此,本发明需要攻击者位于它们希望伪装的AP附近,从而允许该AP检 测到伪装的帧并警告WLAN管理员。
在实施例中,WLAN管理员部署新的WLAN,如下所述。在安装硬 件之后,AP与校园上下文管理器(CCM)建立受信关系。无线电参数基 于AP无线电发现测量被自动配置。如果需要,客户端游历被执行以收集 信号强度测量结果,并且无线电参数可以利用这些测量结果被重配置。在 实施例中,当网络首次被安装时,WLAN管理员基于启发式指南放置AP 并在无需任意时间坐标的情况下应用功率。可选地,WLAN管理员可以执 行站点调查来优化AP放置。站点调查的范围可以从利用客户端设备的快 速覆盖检查到利用第三方工具的详细信号强度测量。在放置和加电之后, 每个AP扫描频带以找到可用信道。在实施例中,无线电管理器生成推翻 这些初始设置的网络范围无线电配置。WLAN管理员在WLAN网络管理 器(WNM)接口处发起无线电发现、自动配置和客户端游历测量。AP无 线电发现涉及AP广播信标信号并同时监听来自相邻AP的信标信号。所 产生的AP之间的测量结果被用于生成针对WLAN的初始无线电配置。客 户端游历测量没有伴随位置信息,但是测量结果的集合对应于WLAN覆 盖区域中的特定位置。无线电管理器使用这些测量结果集合来创建测量对 象,所述测量对象包含代表到最强受控AP的路径损耗和来自特定位置处 的不受控源的接收信号强度的数据。可以利用来自客户端游历的附加信息 来针对WLAN生成新的无线电配置。
取决于本发明的实施例,AP的物理位置可以手工配置,或者在发现 或游历调查期间被实现。在正常操作期间,AP的位置不改变,因为一般 而言,不希望AP是移动设备。但是,在存在移动AP的情况下,可以周
期性地执行对WLAN的重调查或手工重配置。 一旦AP的位置通过物理坐 标位置和/或通过其相关的邻居集合被确定,就不希望AP的位置再改变。
签名是针对AP发送的每个管理帧被传递的,并且被用于检查宣称来 自一个特定AP的管理帧是否实际上发源于该预期位置。由于签名对于每 个帧是唯一的,因此存储的信号强度信息的动态本质确保了 WLAN中AP 放置的相当精确的表示。当每个AP发送包含信号强度指示的管理帧时, 该信号强度指示被与记录在无线电管理器的数据库中的AP的信号强度相 比较。如果管理帧的信号强度指示和记录在无线电管理器的数据库中的信 号强度之间存在极大差异,则指示可能存在试图伪装成合法AP的未经授 权的用户。在实施例中,实际验证基于通过检测器检查与AP的信号强度 相耦合的每个管理帧的消息完整性代码(MIC)以断言是否MIC是有效 的,以及检测器是否应该能够检测该AP。
在结合附图阅读以下详细描述之后,本领域技术人员将意识到本发明 的很多其他特征和优点。
图1A和IB示出WLAN中的AP放置以及在无线电发现期间采取的 图2示出一种网络配置,其中根据本发明的实施例引入了无线电测 图3示出包含根据本发明实施例使用的测量模块的示例性接入点设备。
图4示出根据本发明实施例使用的示例性接入无线电管理器设备。
具体实施例方式
当WLAN未被使用时(例如每天早上2点),WLAN管理员在部署 时发起无线电发现并在短暂维护时段期间调度AP无线电发现。AP无线 电发现的结果是在每个AP处的RF干扰快照(snapshot)以及一组指示每 个AP接收每个相邻AP的信号所处的强度级别的信号强度测量结果。针
对图1A,其示出具有AP 1、 AP 2、 AP 3、 AP 4、 AP 5禾n AP 6以及无线 电管理器IO和无线网络管理器(WNM) 14的WLAN配置。当AP根据 本发明执行无线电扫描时,AP不是根据物理位置确定的,而是根据接收 自每个AP的相邻AP的信号强度被映射。换言之,每个AP是根据该AP 根据信号强度可以检测哪些其他AP来描述的。例如,根据本发明,AP4 被限定为AP 1 (50) ; AP 2 (55) ; AP 3 (58) ; AP 5 (56)。在该示 例中,AP6不被AP4所检测,因此未被包括在AP 4的限定中。限定AP 4的值被存储在由无线电管理器IO维护的数据库中。无线电管理器10使 用每个AP的当前发送信号强度级别来计算AP可以检测的每个AP之间 的路径损耗。计算出的路径损耗被保存在数据库中,以表征RP环境,例 如与单个AP相关联的一组802.11台站中(这里称之为BSS)的潜在覆盖 冗余以及在下行链路上的重叠。当相邻AP未被控制时,无线电管理器IO 保存接收到的信号强度。无线电管理器10将所有受控的AP设置为在它 们最高功率级别上进行发送,然后逐步下降通过后续级别以表征每个AP 的真实功率步进。AP无线电发现是按以下事件序列来完成的。无线电管 理器10命令所有AP进行被动扫描以得到预定时间间隔上的RF能量,并 返回结果。该动作被执行以检测不受控的802.11 WLAN台站和干扰者。 无线电管理器10使用AP扫描结果来选择一个用于特定区域中的所有AP 的测试频率。无线电管理器10将特定区域中的所有AP设置为以最大发 送功率在所选频率上发送信标。每个AP被分配一个唯一的信标间隔以使 冲突最小化。无线电管理器10随后命令每个AP报告其与伴随的信号强 度一道接收自其他AP的信标。对于在每个逐步降低的功率级别上进行发 送的AP重复该动作,直到到达最低设置。
针对图1B,校园上下文管理器(CCM) 15可被利用,其与无线电管 理器10、数据库12和WNM 14具有类似能力。在实施例中,CCM 15存 储了针对每个AP的位置信息的数据库。该信息可手工配置,或者基于信 号强度通过游历(walkabout)获得。如图1B所示,AP2检测到的邻居是 AP l和AP 3。类似地,AP 4检测到的邻居只有AP 3和AP 5。在该实施 例中,AP 2和AP 4被用于检测和验证它们能够接收的所有流量。因此,如果AP 4接收到来自AP 1的帧,则怀疑该帧是伪造帧,并且AP 4可以 将AP1作为潜在的欺骗AP报告给CCM15 (或无线电管理器IO)。
在实施例中,在CCM15和所有AP之间建立信任关系。AP发布它们 的被用于保护它们各自的管理帧的唯一密钥。管理帧例如是通过使用密钥 单向散列函数(例如HMAC-SHA1)及其所产生的值来保护的,其中所产 生的值充当消息完整性代码(MIC),该MIC也在管理帧中发送。传感 器AP (例如AP 2和AP 4)可以在接收到管理帧时验证这些管理帧,以 确保其相邻AP没有受到攻击。在实施例中,如果AP 4接收到来自AP 1 的帧,它也可以使用AP 1的密钥来验证该接收到的帧。由于AP可能偶 尔被移动,或者某些AP可以甚至是移动性的,因此MIC的位置跟踪和验 证的组合能够更好地确定是否遭遇到欺骗。
存储在无线电管理器10的数据库中的信息对于检查声称来自特定AP 但实际上发源于预期位置的管理帧也很有用。因为无线电管理器10的数 据库被周期性地更新,因此存储的与个体AP相关联的信号强度信息的动 态本质确保了 WLAN中AP放置的相当精确的表示。当每个AP发送包含 信号强度指示和消息完整性校验(MIC)的管理帧时,该信号强度指示被 与记录在无线电管理器10的数据库中的AP的信号强度相比较。如果管 理帧的信号强度指示与记录在无线电管理器10的数据库中的信号强度之 差在阈值量之外,该差则指示未经授权的用户正在尝试伪装成合法AP的 可能性。在此情况下,可以向WLAN管理员发送警告,以警告管理员在 WLAN上存在攻击的可能性。
在实施例中,无线电管理器10使用测量的信号强度来计算从AP到 AP以及从客户端位置到AP的路径损耗信息。利用该计算出的路径损耗 信息和每个AP的配置功率和信道设置,正在经受黑洞(black hole)的相 邻AP被识别出。
在AP无线电发现和初始无线电配置之后,WLAN管理员可以发起一 个或多个客户端游历。在游历中,人们在手持客户端设备的同时步行通过 覆盖区域,从而可以收集测量结果并报告所有检测到的AP。收集的信息 被用于表征WLAN的RF环境,例如潜在BSS覆盖冗余和下行链路上的重叠。在WNM用户接口处,管理员指定受控AP将向其请求频繁测量 (通常以5秒间隔)的客户端的媒体访问控制(MAC)地址。WLAN管 理员可以选择在AP以最大功率或在正常操作期间使用的级别上进行发送 的情况下进行游历。在游历期间,WLAN管理员不需要长时间停留在特 定位置。客户端测量被快速地执行以允许WLAN管理员继续步行通过所 需覆盖区域。无线电管理器10通过当前服务于客户端20的AP向客户端 设备20发出请求,以指示客户端20执行特定测量。通常,客户端20被 请求测量它在某一时刻在任意给定地点可以检测到的所有信标信号的信号 强度,并返回接收到的信标信号的已记录的信号强度指示(RSSI)值。在 客户端20丢失与所有AP的关联之处,WLAN管理员记录该位置。当 WLAN管理员通过覆盖区域时,正在服务的AP在其客户端从一个BSS 移动到另一BSS时改变。只要客户端20保持在覆盖区域内,正在服务的 AP就继续命令客户端20测量并报告信号强度以及它接收自相邻AP的背 景RP能量。所有测量结果都被传递到无线电管理器10,无线电管理器 10将它们并入到其RF环境数据库12中。数据库12提供用于计算下一无 线电配置的数据。通过执行上述无线电发现和客户端游历,无线电管理器 10能够使WLAN的无线电环境可视化。
在实施例中,WLAN管理员还可以利用802.11嗅探器(sniffer)(例 如可从Kismet Wireless公司获得的)步行通过覆盖区域,以定位在足以在 相邻AP之间导致黑洞问题的信号强度上可被看见的AP。无论如何检测 相邻AP之间的黑洞(通过以步进间隔发送信标信号或者在游历期间使用 802.11嗅探器), 一旦黑洞被检测到,遭遇该问题的AP就通过无线电管 理器10被调整,以指导每个AP改变其信标信号间隔,从而使其相对同 样遭遇黑洞问题的相邻AP被错开。黑洞检测过程可以是迭代过程,并且 在黑洞的每次发生被校正之后被执行。这确保了无论AP选择校正什么信 标间隔,检测到的黑洞问题都没有与不同的相邻AP创建新的黑洞。在优 选实施例中,使得信标信号相对于处在黑洞中的相邻AP偏斜1或2毫秒 就足以防止其间可能发生黑洞的任意扩展时间段。
在正常操作期间,无线电管理器10收集RF统计量并识别特定信号
源。这允许无线电管理器IO监视RF环境,并指示何时出现新AP并粗略 地定位客户端。无线电管理器10可以向AP和客户端请求测量结果以监 视WLANRF环境。这些测量没有游历期间发生得那么频繁,通常间隔一 分钟或多分钟。无线电管理器10通常只让客户端测量没有在服务的信 道,从而允许AP停留在它们正在服务的信道上以更好地服务它们各自的 BSS。
每个无线电配置包括AP信道的参数、AP发射机功率、BSS数据速 率和BSS功率限制。在计算新的无线电配置时,无线电管理器IO可以自 由地选择各种参数组合,或者对于在某些或全部AP上的某些或全部参数 可能局限于特定范围的值。在计算出新的无线电配置之后,无线电管理器 IO量化预期系统性能,然后等待来自WNM 14的指示,该指示可以请求 使用一组新约束的另一配置,或者可以将计算出的无线电参数应用到 WLAN。
在WLAN被部署之后,无线电管理器10继续收集测量结果并监视 WLAN的RJF状态。无线电管理器10向WNM 14警告可能需要无线电重 配置的改变,但是在计算出新的无线电配置并将新的无线电参数应用到 WLAN之前等待来自WNM 14的进一步指示。无线电管理器10的每个动 作都是响应于接收自WNM 14的命令来执行的。这使得WNM 14负责管 理WLAN管理员授予整个系统的重配置自治的程度。WLAN管理员使用 WNM接口来指定无线电参数可被自动改变的条件(如果存在的话)。所 有其他条件都需要针对每个实例的明确的批准。
在优选实施例中,晚间测量被自动执行以检查WLAN的RF状态。这 些测量通常被安排在每天早上(或许在早上2点)运行AP无线电发现的 WNM工作中。在该短暂维护时间(可能持续大约一分钟)期间,WLAN 变得不可用,同时AP改变信道和功率级别。在新的测量结果已被累积之 后,WLAN返回其先前状态并恢复正常操作。无线电管理器IO将新的测 量结果并入其无线电环境数据库中并向WLAN管理员警告任何异常。
无线电管理器10在其在正常操作期间检测到新AP的信标时警告 WNM 14。基于管理员的命令,WNM指导无线电管理器IO让所有新AP
扫描无线电频谱并报告它们的结果。同时,现有的AP和客户端检测新
AP的信标。来自新AP、现有AP和客户端的测量结果的组合提供信息以 重配置WLAN,从而最好地并入新AP。如果需要,WLAN管理员可以在 新AP附近执行另一客户端游历。
在正常操作期间,AP和客户端测量在它们在服务信道上的位置上的 802.11流量负载。在AP处的流量负载通过动态负载均衡被最好地管理。 在客户端位置处的高流量负载可以指示BSS间竞争,该BSS间竞争可以 通过改进的无线电配置来补救。如果客户端报告比其正在服务的AP高得 多的负载,则可能指示来自相邻BSS中的台站(这里还称之为STA)的 竞争。响应于该条件,无线电管理器10安排测量以捕获来自相邻客户端 和/或AP的帧,以识别BSS和对该竞争负责的客户端的数目。该信息被 用于服务两个目的。第一,无线电管理器IO合并并将其发送到WNM 14 以用于性能可视化。第二,该信息可以提示WNM 14让无线电管理器10 通过减小一个BSS中的发送功率或通过重新分配信道来建议新的无线电 配置,该新无线电配置中并入了新信息并且实现了更好的整体性能。
在正常操作期间,AP和客户端(这里统称为台站(STA))在它们 在服务信道上的位置上测量非802.11干扰强度。另外,客户端测量在替 换信道上接收的干扰强度。当无线电管理器IO接收到指示非802.11干扰 的报告时,它将测量结果相关以定位干扰者(如果可能的话)并警告 WNM 14。 WNM 14的响应取决于发报告的STA的数目以及干扰的严重性 和持续时间。如果少量客户端报告适中的干扰,WNM14则可以简单地将 它们的状况告知客户端。如果干扰是持续的、普遍的并且严重的,WNM 14则可以请求无线电管理器10建议新的无线电配置以避开该干扰者。
在正常操作期间,每个客户端可以检测另一客户端相对其被隐藏的状 况。WLAN管理员使用WNM接口来指定何时以及如何对该信息起作 用。这些指令由无线电管理器IO发送到每个AP。客户端可能被指导周期 性地报告隐藏的台站,以使得AP能够通过降低隐藏客户端的准备发送 (RTS)阈值来采取矫正动作。结果,正在服务的AP通过在任一客户端 发送数据之前发布清除发送(CTS)通知来清除信道,这缓解了隐藏节点
问题。
无线电管理器10通过从AP和客户端获得的测量报告来获得WLAN
无线电环境的知识。本发明的实施例引入了五种无线电测量报告信标报
告、帧报告、CCA报告、接收功率指示符(RPI)柱状图和隐藏节点报 告,其中每一种指示特定RF特性或报告特定RP事件。
信标和帧报告标识802.11竞争的源。CCA报告和RPI柱状图报告表 征竞争和干扰的程度。隐藏节点报告标识同一BSS中冲突的台站。
图2示出由本发明实施例引入的无线电测量。如图所示,测量客户端 和一个其他客户端与AP 1相关联,但其中每个客户端都不检测另一客户 端的信号。AP 2足够靠近以被测量客户端检测到。AP 3在范围之外,但 是测量客户端也检测其相关的客户端的中的某些。
测量客户端20-2发布将AP 2标识为802.11竞争的源的信标报告。客 户端20-2发布指示来自另一 BSS中的客户端的竞争的帧报告并将AP 3标 识为BSS接入点。测量客户端20-2由于另一 BSS中的客户端而报告严重 竞争。在接收到该报告之后,无线电管理器10可以请求帧报告,该帧报 告将AP 3标识为竞争帧的目的地。测量客户端20-2发布RPI柱状图报 告,该RPI柱状图报告指示间歇性的非802.11干扰并描述其接收强度的 统计量。测量客户端20-2发布隐藏节点报告,该隐藏节点报告标识其 BSS中的表现为对其隐藏的另一客户端。
CCA和RPI柱状图报告必须实现统计意义,因此利用具有更长持续 时间(例如60秒)的测量结果。信标、帧和隐藏节点报告捕获和概括 802.11帧以识别特定信号源。信标报告利用具有较短持续时间(例如l秒 或更少)的测量结果。帧和隐藏节点报告通常过滤出STA接收的流量的 绝大部分并报告小子集。这些报告利用具有中等到较长持续时间的测量结 果。
图3示出根据本发明实施例的AP。在优选实施例中,AP 1、 2、 3、 4、 5、 6包括处理器28,该处理器28执行用于操作地控制发射机30和接 收机32来执行本发明的无线电测量的软件模块34、 36、 38、 40和42。本 领域技术人员将会知道,在各种实施例中,这些软件模块还可以按照需求
被实现为固件或电路。
信标测量模块34执行测量以获取接收信号强度、邻居AP信标或探 测响应的身份和其他信息,并且生成包含该信息的消息。AP 1、 2、 3、 4、 5、 6发送信标信号以将它们自身标识为相邻设备。在游历和AP发现 期间,信标测量模块34测量AP的无线连通性并表征潜在的BSS下行链 路覆盖。在正常操作期间,信标测量模块34监视已知AP、检测新AP并 粗略地定位客户端。帧测量模块36获得相邻STA的信号强度以及它们相 应的BSS的身份并生成包含该信息的消息。在游历和AP发现期间,帧测 量模块36识别未受控的STA以在无线电配置中避开它们。在正常操作期 间,帧测量模块36识别竞争的邻居STA (受控的或未受控的)。清除信 道评价(CCA)测量模块38测量STA观察忙于802.11流量的信道的时间 分数(fraction)并生成包含该信息的消息。在游历和AP发现期间,CCA 模块38发现已经忙于802.11流量的信道并在无线电配置中避开它。在正 常操作期间,CCA模块38表征在发报告的STA的位置上的802.11竞 争。RPI柱状图测量模块40测量接收强度和非802.11能量的统计量,并 生成包含该信息的消息。在游历和AP发现期间,RPI柱状图测量模块40 发现具有非802.U RF能量的信道以在无线电配置中避开它(如果可能的 话)。在正常操作期间,RPI柱状图测量模块40监视STA以发现新的非 802.11 RF能量并发出警告(如果合适的话)。隐藏节点测量模块42在游 历或AP发现中不使用,但是在正常操作期间,它可以通过使能动态隐藏 台站控制来改善AP性能。由模块34、 36、 38、 40和42生成的消息可以 由发射机30发送到无线电管理器10、被存储在数据库12中以及被传递到 額M 14。
无线电管理器IO可以请求STA在其服务信道或在另一信道上进行测 量。当在服务信道上测量时,STA继续其正常流量处理,同时累积测量结 果。当在非服务信道上测量时,STA必须延迟正常流量,并将其自身专用 于测量,这是因为它不能在两个信道上同时操作。
在AP无线电发现期间,无线电管理器10通常请求AP扫描多个信 道,然后分配一个信道并请求该信道上的信标报告。在客户端游历期间,
无线电管理器10请求游历客户端在服务信道和非服务信道上测量。在正
常操作期间,无线电管理器10请求AP在它们的服务信道上测量并请求
客户端在服务和非服务信道上测量。
无线电管理器10可以请求服务或非服务信道上的信标报告。信标报 告请求测量STA报告信标和探测响应。信标报告可以被任意STA请求, 并且通常包含例如以下信息接收信号强度、发射台站地址、计算出的检 测到的BSS和正在服务的BSS之间的TSF偏移、信标间隔、能力信息、 SSID和支持速率。
信标报告的目的是要发现和监视相邻AP的存在性,无论它们是否受 控于无线电管理器10。这有助于无线电管理器IO表征同信道BSS的重叠 以及下行链路上其他信道BSS的冗余。信标报告在AP无线电发现、客户 端游历和正常操作期间被使用。发射台站地址标识到无线电管理器10的 邻居AP。在实施例中,计算出的TSF偏移允许正在服务的AP安排来自 特定邻居AP的信号强度的简短测量。该信号强度有助于无线电管理器10 评价同信道BSS的重叠以及其他信道BSS的覆盖冗余。如果两个同信道 BSS包含省电客户端,则在实施例中,计算出的TSF偏移被用于指导每个 AP以不太可能与其邻居的流量相冲突的方式来安排其多播流量。
无线电管理器10可以请求在服务或非服务信道上的帧报告。帧报告 可以被任意STA请求。帧报告概括接收自另一 BSS中的STA的每个 802.11帧,并且包括例如以下信息接收信号强度、发射台站地址、接收 台站地址和帧类型与长度。帧报告的目的在于标识属于另一 BSS但位于 正在测量的STA的无线电范围内的STA。它还标识竞争的STA所属的 BSS。该报告有助于表征和监视每个相邻BSS的上行链路RF影响的区 域。这包括受控于无线电管理器10的BSS和不在其控制下的BSS。
无线电管理器10可以请求在服务或非服务信道上的CCA报告。通 常,它被安排成与服务信道上的正常流量处理同时运行,或者与非服务信 道上的其他专用测量并行运行。该报告可以被任意STA所请求。报告包 含CCA忙分数(CCA Busy Fraction) 。 CCA忙分数测量所有分组的累积 持续时间除以测量间隔长度。该值包括成功的分组和错误的分组。值范围
在0-225,其中0代表没有流量,而255代表在100%的时间发生流量。 无线电管理器10可以请求服务或非服务信道上的接收功率指示符 (RPI)柱状图报告。该RPI柱状图报告传达来自非802.11可解码源的 RF能量落入八个不同的接收功率范围中的每一个中的时间期间的相对时 间分数。RPI柱状图报告由于背景噪声和背景信号的组合而提供RF能量 测量,包括其信号无法被正确地解码的非802.11设备和802.11设备。柱 状图有助于无线电管理器IO评价在不同位置上与WLAN竞争的非802.11 可解码RF能量。该信息有助于无线电管理器10确定针对正在测量的 STA附近的每个BSS的最佳信道。
无线电管理器10可以请求来自客户端的隐藏节点报告,作为服务信 道上的同时测量。隐藏节点报告包括由正在测量的客户端没有检测到其确 认的服务AP发送的802.11帧的目的地地址和接收信号强度。隐藏节点报 告的目的在于发现和监视同一 BSS中彼此隐藏的客户端。该报告有助于 无线电管理器10确定每个BSS的最佳发射功率以及针对隐藏节点的适当 的RTS阈值,如果该报告对于在客户端处设置这些阈值有意义的话。
图4示出无线电管理器IO的功能组件。除了上述数据库12之外,无 线电管理器IO还包括处理器50、存储器52、发射机54和接收机56。发 射机54将上述请求传达给AP以及客户端,还将无线电配置信息传达给 WNM 14。接收机56接收来自AP和客户端的上述报告信息,还接收来自 WNM14的指令。
虽然已经详细描述和示出了用于在没有位置信息的情况下管理无线电 环境的方法、计算机程序产品和装置,但是将会理解,在不脱离本发明的 精神的情况下,可以对本发明的各个实施例进行很多修改。
权利要求
1.一种在无线局域网中用于检测未经授权的设备的存在性的方法,该方法包括检测能够从其发送管理帧的相邻设备的存在性;保存每个存在的相邻设备的表示;接收宣称来自检测到的设备之一的管理帧;确定所接收到的管理帧是由未经授权的设备发送的;以及指示所述未经授权的设备的存在性。
2. 如权利要求1所述的方法,其中所述相邻设备包括接入点。
3. 如权利要求1所述的方法,其中所述相邻设备包括台站。
4. 如权利要求1所述的方法,其中检测步骤包括执行无线电发现,以 确定所述相邻设备的个体信号强度。
5. 如权利要求1所述的方法,其中检测相邻设备的存在性的步骤包括 利用每个相邻设备的位置信息来手工配置管理所述相邻设备的设备。
6. 如权利要求1所述的方法,其中游历被执行以确定所述相邻设备的 位置。
7. 如权利要求1所述的方法,其中保存每个存在的相邻设备的表示的 步骤包括保存每个相邻设备的表示以及它的确定的个体信号强度。
8. 如权利要求7所述的方法,其中接收管理帧的步骤包括接收包含信 号强度指示和设备标识符的管理帧。
9. 如权利要求8所述的方法,还包括使来自所述管理帧的所述接入点标识符与所述相邻设备之一匹配; 将来自所述接收到的管理帧的信号强度指示与匹配的相邻设备的确定的信号强度相比较;以及如果所述信号强度指示和所述确定的信号强度之差大于阈值量,则指示存在未经授权的设备。
10. 如权利要求1所述的方法,其中保存每个相邻设备的表示的步骤 包括存储描述每个相邻设备的物理位置的信息。
11. 如权利要求1所述的方法,其中所述相邻设备中的至少一个检测 和验证无线电流量。
12. 如权利要求11所述的方法,其中验证是通过检测接收到的管理帧 中的密钥来执行的,所述密钥对所述相邻设备之一是唯一的。
13. 如权利要求11所述的方法,其中验证是通过检测接收到的管理帧 中的消息完整性校验来执行的。
14. 如权利要求11所述的方法,其中进行检测的相邻设备维护其相邻 设备的位置信息,并通过确定是否可以从被指示为管理帧的源的设备接收 到该管理帧来执行验证。
15. —种无线局域网管理设备,包括用于检测能够从其发送管理帧的相邻设备的存在性的装置; 用于保存每个存在的相邻设备的表示的装置; 用于接收宣称来自检测到的设备之一的管理帧的装置; 用于确定所接收到的管理帧是由未经授权的设备所发送的装置;以及 用于指示所述未经授权的设备的存在性的装置。
16. 如权利要求15所述的无线局域网管理设备,其中相邻设备包括接 入点。
17. 如权利要求15所述的无线局域网管理设备,其中相邻设备包括台站。
18. —种由无线局域网管理设备管理的设备,包括 用于检测能够从其发送管理帧的相邻设备的存在性的装置; 用于保存每个存在的相邻设备的表示的装置; 用于接收宣称来自检测到的设备之一的管理帧的装置; 用于确定所接收到的管理帧是由未经授权的设备所发送的装置;以及 用于指示所述未经授权的设备的存在性的装置。
19. 如权利要求18所述的设备,其中相邻设备包括接入点。
20. 如权利要求18所述的设备,其中相邻设备包括台站。
全文摘要
本发明公开了一种在无线局域网中用于检测未经授权的设备的存在性的方法,该方法包括检测可以从其发送管理帧的相邻设备的存在性;保存每个存在的相邻设备的表示;接收宣称来自所述检测到的设备之一的管理帧;确定所述接收到的管理帧是由未经授权的设备发送的;以及指示所述未经授权的设备的存在性。
文档编号H04M1/66GK101189858SQ200680001657
公开日2008年5月28日 申请日期2006年2月27日 优先权日2005年2月25日
发明者南希·卡姆·温盖特, 杨晓松, 蒂莫西·S·欧尔森, 马克·克里斯彻尔 申请人:思科技术公司