[发明专利]用于检测欺骗无线接入点的方法

说明书

背景技术

电气和电子工程师协会（“IEEE”）在IEEE 802.11工作组中建立了无线局域网（“WLAN”）标准。该标准产生了与小规模无线网络的开发和实现以及大规模无线网络的讨论相关的各种活动。在没有物理有线连接的情况下连接至网络的计算机用户（尤其是具有便携式计算机的那些计算机用户）负担得起的便利仅是促使无线网络通信普及的因素之一。可以容易地将无线联网添加至现有有线网络。例如，简单地将无线接入点（AP）连接至交换机端口允许无线设备接入该网络，例如广域网（WAN）或局域网（LAN）。

无线网络带来了一般在有线网络中不会遇到的安全性风险。缺省地，无线AP通常不启用安全性特征。在无线AP处不具有安全性屏障的情况下，无线客户端可以简单地获得对网络的接入。未授权（即，欺骗）无线AP可以连接至网络，使有线网络暴露至覆盖区中的任何无线客户端的未授权访问并可能影响有线和无线网络的性能。因此，网络相对容易经由无线连接而受损害。

为了最小化有线网络的风险，期望定位和禁用欺骗AP。通常，找到欺骗AP可能是困难的任务。

附图说明

图1是根据本发明的实施例的网络系统的拓扑框图。

图2是根据本发明的实施例的网络系统的另一拓扑框图。

图3是根据本发明的实施例的发送经标记的网络通信的处理流程图。

图4是根据本发明的实施例的检测欺骗无线接入点的处理流程图。

图5是根据本发明的实施例的示例分组交换机的框图。

具体实施方式

欺骗无线接入点（AP）可以使无线网络和与之耦合的有线网络暴露于未授权访问。可以标识欺骗AP、检测欺骗AP、并将欺骗AP与有线网络隔离。一个或多个不安全无线网络可以例如由无线网络的受控节点确定。与不安全无线网络相关联的无线接入点（AP）可以被标识为欺骗AP。通过该欺骗AP来建立与不安全无线网络的连接。可以产生包括为了指示分组的路径包括欺骗AP而指定的标记的分组，并将该分组发送至该欺骗AP。

该分组由有线网络的边缘网络设备接收。如果该分组中的字段与为了指示分组的路径包括欺骗接入点（AP）而指定的网络地址标记相匹配，则过滤该分组。在过滤时，确定有线网络上的位置。该位置将有线网络连接至从其接收到该分组的欺骗AP。还可以确定欺骗AP的地址。可以将欺骗AP与有线网络隔离。

图1是根据本发明的实施例的网络系统100的拓扑框图。系统100包括网络管理器10、受控有线网络15、网络交换机11、网络交换机12、无线接入点32a、32b、32c（统称为无线接入点32）、欺骗无线接入点（欺骗AP）50和受控无线客户端40。

网络管理器10被配置为规划、部署、管理和/或监视网络，例如无线局域网（WLAN）。网络管理器10经由受控有线网络15以操作方式耦合至网络交换机11和网络交换机12。网络管理器10与网络交换机11和12之间的连接可以包括多个网络段、传输技术和组件。

网络交换机11经由受控有线网络15以操作方式耦合至网络管理器10。网络交换机11包括无线接入点32所连接至的多个端口。在一个实施例中，无线接入点32被布置在无线客户端中央的物理位置处。网络交换机11是边缘设备。如这里所使用，边缘设备是处于有线网络的边缘处的网络交换机、路由器或其他网络设备。客户端设备经由边缘端口直接连接至边缘设备。如这里所使用，边缘端口是边缘设备的客户端连接端口。

网络交换机12经由受控有线网络15以操作方式耦合至网络管理器10。网络交换机12包括多个端口，其中至少一个端口连接至欺骗AP 50。网络交换机12也是边缘设备。

在一个实施例中，网络交换机11和/或网络交换机12被配置为从受控设备（即，受控无线客户端或受控无线AP）接收经标记的网络通信，使用经标记的网络通信来检测欺骗AP，并将欺骗AP与受控有线网络15隔离。网络交换机11和/或网络交换机12还可以被配置为将对欺骗AP的检测记入日志。

无线接入点32以操作方式耦合至网络交换机11。无线接入点32被配置为将无线客户端连接至无线网络。无线接入点32中的一个或多个是受控接入点（受控AP）。如这里所使用，受控接入点是作为被欺骗AP损害的受控有线网络的一部分的无线AP。