无线通信设备的指纹识别的方法和设备的制作方法

专利名称：无线通信设备的指纹识别的方法和设备的制作方法
技术领域：
本发明一般地涉及设备指纹识别并尤其涉及无线通信设备的指纹识别。
背景技术：
本节旨在向读者介绍技术的各个方面，其可能与在下面描述和/或要求的本发明的各个方面相关。相信这种讨论有助于为读者提供背景信息，以便更好的理解本发明的各个方面。因此，应理解，应以这个角度来阅读这些语句，而不是对现有技术的认可。为了本发明的目的，设备指纹识别意味着收集有关设备的信息以便表征它。这个过程产生签名，也称为指纹，它以紧凑的形式描述了该设备的观测到的特征。如果所产生的签名足够特别，它可以被用来识别该设备。描述将集中在实现被称为信息技术IEEE标准——系统间电信和信息交换——局域网和城域网一特定要求第11部分:无线局域网媒体访问控制(MAC)和物理层(PHY)规范；简称IEEE802.11并且定义在IEEEStd802.11-1999 (在下文称为802.11)的无线通信标准的指纹识别设备上。例如，这个标准为WiFi所使用。然而，可以理解的是，本发明也可以用于指纹识别实现如像ALOHA那样的其它合适的通信技术的设备。正如已经提过的，设备指纹识别使得能够识别设备，这种识别是独立于该设备所声称的身份的。802.11设备指纹识别的一个主要应用是防止媒体访问控制(MAC)地址欺骗。这指非法占用另一台设备的MAC地址以从其授权中受益的行为。在一些场景中，防止MAC地址欺骗非常重要:开放式无线网络，如热点通常执行基于MAC地址的访问控制，以保证只有合法的客户端站点(如已购买因特网访问权的设备)连接到接入点。然后，攻击者可能会想通过欺骗合法`设备的MAC地址窃取合法设备的会话。相反，接入点可能受到攻击:像AirSnarf和RawFakeAP的工具使得攻击者能够设立非法接入点，它可以使客户端站点连接到假冒AP而不是真正的AP。良好的指纹识别方法应该能够检测上述攻击以便能够采取对策。事实上，甚至在由密钥保护的无线网络(例如W1-Fi保护访问(WPA))中使用指纹签名验证也是有意义的。被动的指纹识别方法可在基于密钥的认证机制之前用作附加信任层，它可以检测出未经授权的设备，从而使得主动的、可能更易于受到攻击且昂贵的基于密钥的认证机制变得无意义。指纹识别也可以在无线认证机制之后使用，以控制使得只有授权设备在网络中。事实上，因为有几个用户自愿分发他们的W1-Fi密钥的正常情况，密钥可能泄漏。例如，当邀请朋友并允许他的笔记本电脑访问家庭网络时。虽然这个场景既常见又简单，它也危及了家庭网络；之后从受邀的笔记本电脑或朋友泄漏的密钥可能会滥用地重新连接。最后，存在允许黑客破解WEP协议的工具，其众所周知是不安全的，并且目前有试图发现WPA密钥的现有服务，例如WPA Cracker。现有技术包括了许多通过分析网卡和/或驱动程序的实现方式特性用于指纹识别无线设备的解决方案。Franklin等人在网卡搜索可用的无线网络的“主动扫描期”中描述了驱动程序的特性。该搜索过程在关于发送探测请求的频率和顺序的802.11标准中未进行足够的规定。因此，每家制造商在此期间实施其自己的算法和定时器。参见J.Franklin, D.McCoy, P.Tabriz, V.Neagoe, J.V.Randwyk 和 D.Sicker 在 2006 年 8 月的 ProceedingsUsenix Security06 上的((PassiveData Link Layer802.1lffireless Device DriverFingerprinting》。这种被动指纹识别技术的主要缺点是它只在无线协议开始的较短和特定的时间段内有效。类似的解决方案可以在D.C.C.Loh, C.Y.Cho, C.P.Tan和R.S.Lee2008年4月在WiSec’08 的《Identifying Unique Devices through Wireless Fingerprinting》中找到。Gopinath等人证明了由于实现方式特性使得802.11网卡呈现出非常不同的性能。他们测试了一组诸如随机退避定时器和虚拟载波侦听(NAV机制)的802.11特征。作者指出，所观测到的性能的不同可用于指纹识别网卡的供应商和型号。参见K.Gaopinath, P.Bhagwat和K.Gopinath2006年9月在Proceedings of ACM WiNTECH’06上的《An EmpiricalAnalysis of Heterogeneity in IEEE802.1lMAC Protocol Implementations and ItsImplications》。然而,该论文并未进一步分析这方面,只是仅仅呈现实验结果。Bratus等人提出了一种利用上述工作并执行无线客户端站点和接入点的实际指纹识别的方法。根据他们的方法，发送畸形(malformed)的或非标准的刺激巾贞(stimulusframe)到待被指纹识别的该设备，并且将决策树应用到该设备的响应或性能上以便指纹识别该供应商 / 制造商。参见 S.Bratus, C.Cornelius, D.Kotz 和 D.Peebles2008 年 3 月在Proceedings of ACM WiSec' 08 上的《Active Behavioral Fingerprinting of WirelessDeVices》。这种技术的主要缺点是它是主动的，而不是被动的。Cache提出了两种用于指纹识别设备的网卡和驱动程序的方法；参见J.Cache2006年的硕士论文《Fingerprinting802.llDevices》;第一种方法是主动的并使用802.11关联重定向机制，其即使在802.11标准中已经有很详细的规定，在测试的无线网卡中也是不受太多限制地实施。其结果是，每个无线网卡在这个阶段表现不同从而形成特征。第二种方法是被动的并且是基于对802.11数据和管理帧的持续时间字段值的分析。每个无线网卡计算持续时间字段略有不同，产生不同的持续时间值。上文所有方法的共同点是，它们不能在使用相同的网卡和驱动程序的两个设备之间进行区分。因此，这些方法可能会例如不能用于检测MAC地址欺骗，更不用说识别该设备。与上文的论文对比，Pang等人讨论了 802.11的隐私含义。他们的论文中强调，当使用802.11时用户不是匿名的，因为该协议使用允许用户跟踪的全局唯一标识符(即MAC地址)。即使屏蔽该标识符一例如，通过临时改变地址一仍然可以通过观测802.11协议中的一组参数(用作隐性标识符)来跟踪用户。作者在四个隐性标识符(即网络目的地、802.11探测中公布网络名称、802.11配置选项和广播帧的大小)上运用朴素贝叶斯分类器。甚至当流量是加密的时，所述四个参数中的三个也是适用的。使用繁忙热点测试跟踪，他们可以以90 %的准确率识别出64 %的用户。

其他现有技术文件处理无线接入点(AP)的指纹识别。Jana等人计算接入点的时钟脉冲相位差(clock skew)以识别它们。使用包含在由AP发出的信标/探测响应帧中的时间戳计算时钟脉冲相位差。重放(replay)该时钟脉冲相位差的攻击者受制于如改变信标发送的实际时间的DIFS (分布协调功能帧间间隔)的802.11协议定时器。由于不能从驱动程序(在其中实施攻击)层面访问这些定时器，时间戳和接收时间不对应，这改变了测得的时钟脉冲相位差。他们提出的方法能够测量这些差异并因此检测出攻击。参见S.Jana和
S.K.Kasera2008 年 9 月在 Proceedings of ACM MobiCom08 上的《On Fast and AccurateDetection of Unauthorized Wireless Access Points Using Clock Skews》。C.Arackaparambil等人改进了 Jana等人成果并提出了获得更精确的时钟测量的新方法。他们还成功欺骗AP，使得通过Jana等人使用的方法难以将其与“真正的”AP区分。他们的方法利用无线网卡自动与所连接的AP同步(这使得该无线网卡具有与AP相同的时钟脉冲相位差)的事实。这使得通过与攻击前的AP相关联可以更容易地欺骗AP。参见 C.ArackaparambiI, S.Bratus, A.Shubina 和 D.Kotz2010 年 3 月在 Proceedings of ACMWiSeclO上的《On the Reliability of Wireless Fingerprinting Using Clock Skews》。然而,Jana等人和Arackaparambil等人的方法只适用于接入点，因为他们需要包括在802.11信标帧中的时间戳，而该信标帧只会被接入点发送，而不被客户端站点发送。最后，为了完整性，两篇论文处理了 MAC地址欺骗的问题，但不涉及任何指纹识别。这两篇论文检测802.11帧序列号的不连续性以检测潜在的地址欺骗。参见J.Wright2003 年的技术报告《Detecting Wireless LAN MAC Address Spoofing》以及在F.Gua和 T.Chiueh2005 年 9 月在Proceedings of RAID2005 上的《Sequence Number-BasedMAC Address Spoof Detection》。因此，应理解，需要能够进行被动指纹识别和单独识别无线设备的解决方案。本发明提供了这样的解决方案。

发明内容
在第一方面，本发明涉及指纹识别至少一个在信道上发送帧中数据的无线设备的方法，其中在该信道上连续发送 帧。侦听该信道的设备接收接续前一帧的当前帧；测量从前一帧的接收结束到当前帧的接收结束的到达间隔时间；如果可能的话，获取传输当前帧的无线设备的身份；并且如果获得了该身份，将到达间隔时间存储在与获得的身份对应的无线设备的到达间隔时间到达间隔时间集合中以便为该无线设备生成指纹。在第一个优选实施例中，该设备将到达间隔时间集合布置成构成无线设备指纹的直方图。有利的是，将直方图按百分频率分布表示。同样有利的是，直方图包括对应于由用于在该信道上通信的标准定义的特定时间的直条(bin)。该标准有利地是IEEE802.11，特别是IEEE802.llg，并且第一直条对应于短帧间间隔(SIFS)，第二直条对应于分布协调功能帧间间隔(DIFS)减去SIFS，以及至少第三和第四直条，每一个对应于一个时隙CaSlotTime)长度。在第二个优选实施例中，将所获得的指纹与存储的指纹比较，并且所述无线设备识别为其存储的指纹与所获得的指纹最类似的设备。有利的是，使用相似性度量来确定所述类似。在第二方面，本发明涉及用于指纹识别至少一个在信道上发送帧中数据的无线设备的设备，其中在该信道上连续发送帧。该设备包括用于侦听该信道的部件；用于接收接续前一帧的当前帧的部件；用于测量从之前接收帧的接收结束到当前帧的接收结束的到达间隔时间的部件；如果可能的话，用于获取发送当前帧的无线设备的身份的部件；以及如果获得了该身份，将到达间隔时间存储在与获得的身份对应的无线设备的到达间隔时间到达间隔时间集合中以便为该无线设备生成指纹的部件。在第一个优选实施例中，该设备还包括将到达间隔时间集合布置成构成无线设备指纹的直方图的部件。有利的是，该布置部件还用于将直方图按百分频率分布表示。在第二个优选实施例中，该设备还包括将所获得的指纹与存储的指纹进行比较，并且将所述无线设备确认为存储的指纹与所获得的指纹最类似的设备的部件。


现在将通过非限制性的实例的方式参照附图将描述本发明的优选的特征，附图中:图1示出可以运用本发明的示例性的无线网络；图2示出根据本发明的优选实施例的示例性监测站点；图3示出根据本发明的优选实施例的网络流量监测的实例；图4示出根据本发明的优选实施例的指纹识别方法的流程图；以及图5示出由本发明的优选实施例所产生的示例性的指纹。
具体实施方式
图1示出可以运用本发明的示例性的无线网络100。无线网络100包括接入点(AP)IlO和多个客户端设备120A-D (其可以是共同指代为120)。APllO适于与客户端设备120通信并且，例如，向它们提供因特网接入。本发明的一个突出的有创造性的想法是监测网络流量并为每个发送无线设备发送的帧测量帧的到达间隔时间。由监测站点(其可以是APllO或客户端设备120)捕获的(SP接收的)无线跟踪(wireless trace)以中贞序列p0, -",Pn给出。中贞Pi的接收结束时间用表示(其中n)，并且根据接收时间帧按增序排列(即Vi。帧？1是由发送装置Si发送，发送装置对于具有不包括发送装置地址或发送地址的帧类型的帧(如ACK帧和允许发送(clear-to-send)巾贞)被认为是未知的；在后者的情况下，Si=Iiulltj对每个巾贞Pi,测量间隔即帧Pp1的接收结束时间和之后的帧Pi的接收结束时间之差。之后将测得的时间间隔Ti添加到发送装置Si的集合I (Si)，其中I (Si)表示为发送设备Si测得的到达间隔时间集合。11 (Si) I是设备Si的观测结果的数量。为了收集跟踪 ，监测站点具有在感兴趣的802.11信道上以监测模式侦听的标准802.11无线网卡就足够了。应理解，本发明的方法是完全被动的；不会产生额外的流量。例如，可以在监测设备上使用所谓的pcap库(参见TCPDump和Libpcap ；http://tcpdump.0rg)来生成捕获跟踪。可以看出，此监测设置的要求非常少。图2示出根据本发明的优选实施例的示例性监测站点。监测站点200包括如802.11无线网卡的无线接口 210，至少一个处理器220 (以下称“处理器”)以及存储器230。如将在下文进一步详述的，无线接口 210适于监测无线流量，处理器220适于通过测量帧到达间隔时间并检测发送装置来分析监测到的流量，存储器230适于存储诸如设备指纹的数据。处理器220还适于比较接收到的流量以便识别发送设备。只详细介绍为理解本发明所必需的特征；应理解，监测站点200还包括内部连接以及可能的例如另外的(基于有线的)通信接口和用户接口。图3示出根据本发明的优选实施例的网络流量监测的实例。四个客户端设备120已通过监测设备200加入网络100中。图3中，忽略传播时间，因为对网络中的较短的距离来说它几乎为零；因此一帧被示为恰好在它被发送时到达。还应理解，通常在该网络中在给定时间(即在该设备使用的信道上)只发送单个帧(或不发送巾贞);因此，在该信道上有若干连续的帧。首先，设备A120A发送数据帧直到h时刻。然而，由于监测设备200没有捕获任何一个前面的帧，因此它无法计算到达间隔时间。然后设备B120B发送在时刻t2结束的确认(ACK)。监测设备200可以计算到达间隔时间T2，但它不能确定发送装置，因此未设置S2(即null)并且忽略到达间隔时间。设备A120A之后发送另一数据帧，在t3结束。监测设备200计算到达间隔时间T3=t3-t2并设置s3=A。同样,设备C120C发送发送请求(RTS)使计算得到T4=t4-t3以及S4=C ；以及设备D120D发送 数据帧使计算得到T5=t5-t4以及s5=D。此时，I(A)= {T3}，I (B) = {null}, I(C) = {T4}，I(D) = {T5}。当然，通常会有更多的被捕获的帧，但为清楚起见其数量一直保持在最低限度。应理解，这些集合I(Si)实际上是相应设备的指纹(记住这些集合通常包括更多的观测结果)。然而，如将在下文进一步详述，当用直方图表示时，指纹更易于可视化和比较。监测站点200使用这些测量结果来为每个发出站点生成到达间隔时间直方图。每个直方图包括直条(bin) Iv ".Κ，其中每个直条对应于若干到达间隔时间的一个时间间隔。直条h中的观测结果的数量表示为(其中OS j<k)。然后将直方图转换成百分频率分布，其中直条N的百分频率是Pfm/| I (S) |。之后可将无线设备S的签名定义为Sig(S)= { Pi; Vj E O < j < k } 0应当注意，两个设备在一个信道上同时开始发送帧是有风险的，会导致出错的帧。在这种情况下，由标准所定义的载波监听多路访问/冲突避免(CSMA/CA)机制使得传输设备“退避”并稍后重传。至少有两个关于监测站点200应如何处理出错的帧的实施例。第一个实施例是在计算后续一帧的到达间隔时间时从出错的帧的接收结束开始执行测量；在一个变型中，忽略出错的帧本身的到达间隔时间，而在另一变型中，如果能得到其身份，为每个发送设备计数此到达间隔时间。第二实施例是简单地忽略出错的帧并将最新的“正确”的(即未出错的)帧视为下一个“正确”的帧的前一帧。图4示出总结了刚刚描述的指纹识别方法的流程图。监测站点200从侦听410信道开始。当它接收420 —帧时，它测量430从前一帧的接收结束到当前帧的接收结束的到达间隔时间。如果可能的话，它还获取440帧的发送装置的身份。如果获得了这个身份，则将到达间隔时间存储450在该发送装置的直方图中。只要被视为合适的就一直重复该步骤。对整个信道或对特定的发送设备来说，虽然指纹识别有利地是连续不间断的，但它也可以限制在某段时间内，例如，限制在特定的时间段内或特定数量的接收的帧内。直方图直条优选地与一些由相关联的通信协议定义的时间间隔一致。例如，图3中示出的实例的直方图直条有利地对应于由802.11标准定义的时间间隔，该标准要求在发送前，发出站点对通信信道进行一定时间的侦听以判断它是否是空闲的。发出站点在此期间不发送任何帧。除了在前面提到过的DIFS，802.11也定义了时间间隔短帧间间隔(SIFS)并为每个时隙设置了长度。精确的值依赖于802.11的变型；在IEEEStd802.ll -2007 标准中(本文“802.llg”)，SIFS=IOu s’ DIFS=28 u s 并且时隙大小为aSlotTime=9us0 SIFS是在其期间信道必须空闲并且被用于最高的优先级传输或被使用所谓的虚拟载波侦听机制保留该信道的站点使用的最短的时间间隔。DIFS是信道必须为使用所谓的随机退避过程的站点保持空闲的最小时间间隔。然而，正如所发生的那样，站点在DIFS加上若干倍aSlotTime的时刻发送帧。使用这些时间产生的直方图具有大小为SIFS的第一直条Iv大小为DIFS-SIFS的第二直条Id1以及之后所有大小为aSlottime的直条 b2......bk。图5示出直条沿X轴方向和密度(即百分频率)沿y轴方向的示例性的直方图510和520。仅看一眼直方图510和520就足以看出他们有很大的不同；因此指纹也是不同的。例如，直方图510有两个明显的峰，而直方图520只有一个。还应注意，X轴上的刻度的是相同的，但是，顶部直方图510上的y轴从0到0.05变化，底部直方图520上的y轴从0到
0.01变化。技术人员会注意到，对帧的接收结束的测量，测量了发出站点的空闲时段和发送时段两者。首先看发送时段，发送装置通过发送所谓的物理层会聚协议(PLCP)前导码和报头开始发送。这些在用于物理层上的同步。持续时间和大小取决于所使用的传输速率以及物理层的特性，这在一定程度上依赖于无线网卡和其驱动程序。然后，发送装置发送帧的有效载荷，其传输持续时间取决于传输速率和有效载荷的大小。另外，帧类型、无线网卡的设置以及生成帧数据的应用影响帧的大小。因此，帧的传输持续时间取决于无线网卡的混合特性以及生成该帧中的数据的应用。由于这种依赖，直方图中生成了一些具有明显特征的图案和峰。如果是在一帧的接收开始时做出测量，则只是测量空闲时间，即发出站点在发送前等待的时间。仅基于 这种测量的签名使得区分所监测的无线站点的子集成为可能。无线驱动程序和无线网卡中这一时段的实施的具体情况会影响到直方图。因此，空闲时段的持续时间主要取决于无线网卡及其驱动程序。仅基于此测量的签名将无法区分两个使用相同的无线网卡和驱动程序的设备。应注意，Berger-Sabbatel等人也使用到达间隔时间直方图，但他们却将其用于评估802.11设备的性能，而不是用于指纹识别。此外，他们的测量只适用于没有或只有受控的背景流量的完全受控的环境。参见G.Berger-Sabbatel, Y.Grunenberger, M.Heusse, F.Rousseau和A.Duda2007年10月在法国格勒诺布尔LIG实验室做出的研究报告〈〈Interarrival Histograms:A Method for Measuring Transmission Delaysin802.1IWLANs》。迄今为止，描述集中于为设备生成指纹。这一生成也被称为学习阶段，在此期间用指纹填充参考数据库。监测设备200在存储器230中存储所生成的签名，即参考数据库。因此，可以获得所有已知无线设备refi的直方图Sig (refi)。参考数据库由此从一个或多个训练数据集(它可以是全部的无线跟踪或其子集)中生成，根据其为每个在该跟踪上出现的源地址计算直方图。技术人员将会理解，攻击者可能污染训练数据集，在这种情况下，指纹可能损坏。
这些指纹通常用在随后的检测阶段使用，在此期间，监测设备将未知的无线设备与参考数据库中的指纹相匹配。技术人员将理解“未知”仅仅意味着在参考数据库中有可能有该未知设备的指纹，但监测设备还需要识别出该未知设备；未知设备当然也可以是完全未知的，例如如果监测设备在之前从未遇到它的情况。在检测阶段，分析另一称为验证数据集的更多的无线跟踪以便为称为候选设备的、出现在该跟踪中的所有设备提取签名Sig(Candi)15将每个候选设备的签名与参考数据库的签名相比较。使用下文中进一步描述的至少一种相似性度量来执行该比较。这为每个候选设备生成相似性矢量〈sinv sim2...，simN>,其中Simi代表相比于设备refi的参考签名，未知设备的签名Sig (Candi)的相似性。对于每一个候选设备，解决下面两个问题可能是有趣的:接近(proximity)和识别。接近测试并不试图准确识别候选设备。取而代之的是，指纹算法返回相似性Simi小于阈值TV的参考设备标识符的集合。这使得能够通过使用两个准确性度量:真阳性率(TPR)和假阳性率(FPR)来对该方法进行微调。TPR是为其返回的集合包含该候选设备的实际身份的参考数据库已知的候选无线设备的比例。FPR是该算法为其返回非空身份集合的参考数据库未知的候选无线设备的比例。识别测试的前提是接近测试返回参考设备标识符的集合并且在这个集合中包含有候选身份。基于由之前测试返回的相似性矢量，挑选出具有最大相似性的参考设备。这个测试的合适的准确性度量表示为检测比，即已被正确识别的无线设备的比例。当然，有许多不 同的可供使用的相似性度量。将在下文描述三个这样的相似性度量。Sig(rei)={Prefj; Vj}表示设备 ref 的参考签名并且Sig(cand)={ Pcandj； Vj }表示设备cand的候选签名。第一个相似性度量是基于LI距离的标准LI相似性:發(ccmd),Si髮〔re/)+) = 1- —如果两个签名是相同的，则该值等于I ;相反，如果两个签名完全相反，该值等于
O0这是一个标准且非常简单并且表现相当不错的度量。第二个相似性度量是基于X 2测试的X 2相似性:
k&P Sirnj;.(Sig(cand), Sig(re/)) = 1- "V --^
Pj0 fet^再次地，如果两个签名是相同的，则该值等于I。然而，第二相似性度量有可能小于0，即负的。因此，在严格意义上，它不是相似性度量，但它依然表现良好。特别是，由于进行了平方，这种相似性度量为一些大的差异提供了相比于很多小差异的更多的权重，并且当Pref,j很小时，也给予差异较多的重要性。第三个相似性度量是基于Jaccard距离的Jaccard相似性。

=
权利要求
1.一种指纹识别至少一个在信道上发送帧中数据的无线设备(120)的方法，其中在该信道上连续发送帧，该方法包括以下步骤在侦听该信道的设备(200)中 接收(420)接续前一巾贞的当前巾贞； 测量(430)从前一帧的接收结束到当前帧的接收结束的到达间隔时间； 如果可能的话，获取(440)发送当前帧的无线设备的身份；以及 如果获得了该身份，将到达间隔时间存储(450)在与获得的身份对应的无线设备(120)的到达间隔时间集合中以便为该无线设备生成指纹。
2.如权利要求I的方法，进一步包括将到达间隔时间集合布置成构成无线设备(120)的指纹的直方图(510，520)的步骤。
3.如权利要求2的方法，进一步包括将直方图(510，520)按百分频率分布表示的步骤。
4.如权利要求2的方法，其中所述直方图包括对应于由用于在该信道上通信的标准定义的特定时间的直条。
5.如权利要求4的方法，其中该标准是IEEE802.11。
6.如权利要求5的方法，其中该标准是IEEE802.llg。
7.如权利要求5的方法，其中第一直条对应于短帧间间隔(SIFS)，第二直条对应于分布协调功能帧间间隔(DIFS)减去SIFS，以及至少第三和第四直条，每一个对应于一个时隙CaSlotTime)长度。
8.如权利要求I的方法，进一步包括以下步骤 将所获得的指纹与存储的指纹比较；以及 将所述无线设备(120)识别为其存储的指纹与所获得的指纹最类似的设备。
9.如权利要求8的方法，其中使用相似性度量来确定类似。
10.一种用于指纹识别至少一个在信道上发送帧中数据的无线设备(120)的设备(200)，其中在该信道上连续发送帧，该设备(200)包括 用于侦听该信道的部件(210)； 用于接收接续前一巾贞的当前巾贞的部件(210)； 用于测量从之前接收帧的接收结束到当前帧的接收结束的到达间隔时间的部件(220)； 如果可能的话，如果可能的话，用于获取发送当前帧的无线设备的身份的部件(220);以及 如果获得了该身份，用于将到达间隔时间存储在与获得的身份对应的无线设备(120)的到达间隔时间集合中以便为该无线设备(120)生成指纹的部件(230)。
11.如权利要求10的设备，进一步包括用于将到达间隔时间集合布置成构成无线设备(120)的指纹的直方图(510， 520)的部件。
12.如权利要求11的设备，所述布置部件进一步用于将直方图(510，520)按百分频率分布表不。
13.如权利要求10的设备，进一步包括 将所获得的指纹与存储的指纹比较以及将所述无线设备(120)识别为其存储的指纹与所获得的指纹最类似的设备的部件(220)。
全文摘要
一种用于指纹识别无线设备(120)的方法和使用设备的指纹来识别无线设备的方法。监测站点(200)侦听(410)信道。对于每一个接收到的帧，该站点测量(430)从前一个接收到的帧的结束到当前帧的结束的到达间隔时间。如果可能的话，该站点获取(440)该帧的发送装置的身份。如果发送装置已知，则该站点将到达间隔时间存储(450)在发送装置的直方图中；该直方图成为该发送装置的指纹。对设备的识别通过获取未知发送装置的多个到达间隔时间然后使用合适的相似性度量将它们与存储的指纹匹配开始。本发明特别适用于IEEE802.11并且例如可用于检测所谓的MAC欺骗以及作为识别协议的附加层。
文档编号H04W12/12GK103229528SQ201180056879
公开日2013年7月31日 申请日期2011年11月23日 优先权日2010年11月25日
发明者O.希恩, C.纽曼, S.昂诺 申请人:汤姆逊许可公司