CN101595694B - 用于无线网络的入侵预防系统 - Google Patents
用于无线网络的入侵预防系统 Download PDFInfo
- Publication number
- CN101595694B CN101595694B CN200880003064XA CN200880003064A CN101595694B CN 101595694 B CN101595694 B CN 101595694B CN 200880003064X A CN200880003064X A CN 200880003064XA CN 200880003064 A CN200880003064 A CN 200880003064A CN 101595694 B CN101595694 B CN 101595694B
- Authority
- CN
- China
- Prior art keywords
- security context
- context information
- wap
- wireless
- ips
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
在一个实施例中,一种方法包括以下步骤:接收与无线网络基础结构组件和无线客户端之间的连接相关的安全性上下文信息,其中,安全性上下文信息至少包括无线客户端的标识,并且其中,安全性上下文信息对与连接相关联的任何安全性协议进行标识;基于安全性上下文信息对连接进行验证;以及将安全性上下文信息发送给一个或多个检测无线接入点。
Description
技术领域
本发明一般地涉及无线网络。
背景技术
随着来自广泛背景和纵向产业的用户已经将无线LAN(WLAN)技术带进它们的家庭、办公室,甚至逐渐带进公共空域,这一技术的商用已经被打破。这一转折点不仅突出了早一代系统的局限,也突出了WLAN技术现在在全世界人的工作和生活中扮演的正在转变的角色。实际上,WLAN正迅速从传统网络变为关键业务网络(Business Criticalnetworks)。用户日益依赖WLAN来提高他们通信和应用的时效性和生产力,并且在这样做的过程中,需要网络更好的可视性、安全性、管理和性能。
IEEE(电气与电子工程师协会)802.11标准提供用于允许用户无线连接到网络并且访问在此提供的基本业务的指南。近年来,越加明显的是:鉴于如今大量的敏感信息是通过网络来传送的,安全性和受控访问是必需的。
传统上,无线联网的、更具体而言是层2和802.11 MAC协议的安全性和受控访问方面的努力致力于保护发送的数据内容而非预防会话中断。换而言之,先前的努力仅致力于保护所发送数据内容的敏感性,而非致力于保护对会话完整性和质量进行控制的管理帧分组的发送。
管理帧保护(MFP)一般是指结合由接入点和/或无线客户端发送的无线管理帧(例如,信标、认证请求、重新关联(re-association)请求、取消认证请求、取消关联(disassociation)请求等)、使用通常作为信息元素(IE)附加的消息完整性检查(MIC)。通常有两种用于管理帧保护(MFP)的途径(approach)。第一种途径检测可能的攻击。该方法是完全基于基础结构(infrastructure)的,因为,对无线接入点进行扫描将观测到其它(数据)无线接入点和无线客户端之间的通信交换,以检测到欺骗性的管理帧。接入点以使得相邻接入点能够验证管理帧并且检测到欺骗性帧的方式,通过它们的管理帧来包括诸如消息完整性检查之类的签名。当相邻接入点接收到管理帧时,获得接入点发送该帧的密钥,并且使用该密钥验证该管理帧。
第二种途径预防攻击。这种途径是基于无线接入点-无线客户端的,这是因为给定的无线接入点和无线客户端使用被附加在无线管理帧上的消息完整性检查(MIC)对彼此的管理帧进行验证(例如,验证介质访问控制(MAC)地址)。在对网络的关联和认证期间,无线客户端和接入点交换一个或多个MFP会话密钥,MFP会话密钥可以用来产生并且验证无线管理帧上所附加的MIC。
假定认为这些方法的不同途径相互排斥到这种程度:如果无线客户端是受MFP-客户端保护的,则到该无线客户端的管理帧将不会也受MFP-基础结构保护。这是因为它们不具有在接入点和客户端之间产生的密钥,对无线接入点进行扫描由于管理帧保护机制而无法对交换的内容(例如MIC)进行分析。尽管预防途径事实上更强大,但是它因为不能利用额外的对无线接入点进行的扫描而失去了检测途径的某些优点。
附图说明
图1A示出无线局域网(WLAN)系统中的示例组件。
图1B示出包括中央控制器的示例分级无线网络。
图1C示出可以用来实现中央控制器的示例硬件系统。
图2示出可以用来实现入侵预防系统(IPS)服务器的示例硬件系统。
图3示出可以用来实现无线接入点的示例硬件系统。
图4示出由无线网络基础结构执行的示例方法。
图5示出由IPS执行的示例方法。
图6示出在检测无线接入点处执行的示例方法。
图7示出在无线接入点处执行的示例方法。
具体实施方式
A.概览
本发明具体实施例提供一种入侵预防系统(IPS),其中,IPS和检测无线接入点交换与无线网络基础结构和特定无线客户端之间的通信相关的安全性上下文信息。在一种实现方式中,无线网络基础结构确定安全性上下文信息,并且还对在无线网络基础结构和无线客户端之间的连接或通信交换中使用的任何安全性协议进行标识,安全性上下文信息可以包括无线接入点标识(例如,BSSID)、无线客户端标识(例如,MAC地址)。之后,无线网络基础结构将安全性上下文信息发送给IPS。IPS可以基于安全性上下文信息确定无线网络基础结构和无线客户端之间的连接是否有效,并且之后可以应用恰当的策略(例如,拒绝或接受连接)。之后,IPS将安全性上下文信息发送给检测无线接入点。基于安全性上下文信息,给定的检测无线接入点可以对未加密的帧进行分析和验证,并且对加密帧的内容进行解密和分析。这样,检测无线接入点可以基于安全性上下文信息更优地过滤通信交换,并且将报告发回IPS和恰当的数据无线接入点。在一种实现方式中,检测无线接入点可以将采样帧发送给数据无线接入点,以使得数据无线接入点可以确定所述帧是否合法。
B.示例无线网络系统体系结构
B.1.网络拓扑
图1A示出无线局域网(WLAN)系统中的示例组件。在本发明的特定实施例中,该系统包括入侵预防系统(IPS)服务器20、认证授权与计费(AAA)服务器21、位置服务器22、中央控制器42、局域网(LAN)30、路由器32、数据无线接入点50a、50b和50c以及检测无线接入点51a、51b和51c。LAN 30是通过交换机(或交换机阵列)和/或诸如网桥之类的网络装置来实现的。
在一种实现方式中,检测无线接入点51可以是与数据网络分离的覆盖(overlay)网络的一部分。在一种实现方式中,检测无线接入点51是专门的一组用作检测器的无线接入点。在一种实现方式中,检测无线接入点51也可以和数据无线接入点50相同,但是具用用于入侵预防的独立的逻辑功能。
如图1A所示,这些网络元件被可操作地连接到网络52。在一种实现方式中,网络52一般是指包括一个或多个中间网络装置(例如,路由器、交换机等)的诸如LAN、WAN等之类的计算机网络,该计算机网络虑及(allow for)IPS服务器20与无线客户端之间经由无线接入点50的消息发送。当然,网络52可以包括各种网段、发送技术和组件,例如陆地WAN链路、卫星链路、光纤链路和蜂窝链路。网络52也可以是校园LAN。LAN 30可以是LAN、通过以太网交换机(未示出)实现的LAN网段,或具有连接了无线接入点50的多个端口的交换机阵列。无线接入点50通常经由以太网链路被连接到交换机端口;然而,也可以采用其它链路层连接协议或通信手段。图1A示出本发明可在其中进行操作的一个可能的网络环境。然而,其它实现方式也是可以的。例如,尽管IPS服务器20被示为在另一LAN或LAN网段上,但是它可以和无线接入点50共址(co-located)。
无线接入点50可操作用于与远程无线客户端装置60a和60b进行无线通信。在一种实现方式中,无线接入点50实现IEEE 802.11WLAN规范中指定的无线网络协议;当然,也可以使用其它无线网络协议。无线接入点50可以是自治的或者所谓的“胖”无线接入点,或者是结合无线交换机进行操作的轻量级无线接入点(参见图1B)。此外,网络基础结构还可以包括无线LAN解决方案引擎(WLSE)或另一无线网络管理系统。在某些实现方式中,网络基础结构可以包括一个或多个可操作用于管理一个或多个无线交换机和接入点的无线控制系统(WCS)节点。WLSE和WCS由加利福尼亚州圣何塞的思科系统(Cisco Systems)公司提供。
虽然在某个具体的实施例中在此所述的入侵预防系统(IPS)功能是可以驻留在IPS服务器20中的逻辑功能,但是IPS功能可以驻留在任何恰当的无线网络基础结构节点中,例如在中央控制器中、在分布的自治无线接入点中等。
B.2.中央控制器
图1B示出根据本发明一中实现方式的包含中央控制器70的示例分级无线网络。在一种实现方式中,中央控制器70可以被实现为无线域服务器(WDS),或者,被实现为无线交换机。如果中央控制器70是用WDS实现的,则中央控制器70可操作用于与自治的或所谓的“胖”无线接入点进行通信。如果中央控制器70被实现为无线交换机,则中央控制器70可操作用于与轻量级无线接入点进行通信并且对无线协议和网络管理信息进行处理。如图1B所示,中央控制器70可以直接连接到一个或多个接入点50。可替代地,如图1A所示,中央控制器42可以通过交换和/或路由的网络环境被可操作地连接到一个或多个接入点。
图1C示出示例硬件系统100,硬件系统100可以用来实现中央控制器70。如图1C所示,在一种实现方式中,中央控制元件每个都包括交换功能或结构(fabric)102,交换功能或结构102包括用于连接到网络52的网络接口104a(例如,以太网适配器)和用于连接到无线接入点的网络接口104b、104c和104d。该交换功能或结构被实现为辅助到接入元件的连接。在一种实现方式中,中央控制器70还包括:处理器106、存储器108、存储器108中所存储的一个或多个软件模块,可操作地连接这些组件的系统总线110,所述一个或多个软件模块包含用于执行在此所述的功能的指令。中央控制元件可以可选地包括管理网络接口112,管理网络接口112虑及出于诸如配置和诊断接入目的的管理访问。在其它实现方式中,中央控制器70包括单个的网络接口。
B.3.入侵预防系统服务器
图2示出示例硬件系统200,硬件系统200可以用来实现IPS服务器20。在其它实现方式中,IPS服务器20的功能可以合并到中央控制器70中。在一种实现方式中,硬件系统200包括:处理器202、高速缓冲存储器204,和致力于在此所述的功能的一个或多个软件应用和驱动。此外,硬件系统200包括高性能输入/输出(I/O)总线206和标准I/O总线208。主桥(host bridge)210将处理器202耦合到高性能I/O总线206,其中,I/O总线桥212将两条总线206和208耦合到彼此。系统存储器214和网络/通信接口216耦合到总线206。硬件系统200还可以包括视频存储器(未示出)和被耦合到视频存储器的显示装置。海量存储装置(mass storage)218和I/O端口220耦合到总线208。硬件系统200可以可选地包括耦合到总线208的键盘和点选装置(未示出)。总之,希望这些元件表示宽范畴的计算机硬件系统,包括但不限于基于由加利福尼亚州圣克拉拉的英特尔公司制造的Pentium
处理器以及任何其它合适的处理器的通用计算机系统。
以下更详细地描述硬件系统200的元件。具体地,网络接口216在硬件系统200和任何宽范围网络之间提供通信,所述网络例如是以太网(例如,IEEE 802.3)网络等。海量存储装置218为用于执行以上所述在系统控制器中实现的功能的数据和程序指令提供永久存储,而系统控制器214(例如,DRAM)在所述数据和程序指令被处理器202执行时为它们提供临时存储。I/O端口220是提供附加的外围装置之间的通信的一个或多个串行和/或并行通信端口,所述串行和/或并行通信端口被耦合到硬件系统200。
硬件系统200可以包括各种系统体系架构,并且硬件系统200的各种组件可以被重新布置。例如,高速缓冲存储器204可以和处理器202集成在单片上。可替代地,可以将高速缓冲存储器204和处理器202打包到一起作为“处理器模块”,同时将处理器202称为“处理器核心”。而且,本发明的某些实现方式可能既不需要也不包括所有以上组件。例如,被示出为耦合到标准I/O总线208的外围装置可以耦合到高性能I/O总线206。此外,在某些实现方式中,可以仅存在单条总线,同时将硬件系统200的组件耦合到这单条总线上。而且,硬件系统200可以包括附加组件,例如附加的处理器、存储装置或存储器。
如上所述,在一种实现方式中,在此所述的IPS服务器20的操作被实现为由硬件系统200运行的一系列软件例程。这些软件例程包括要被硬件系统中的处理器执行的多个或一系列指令,所述处理器例如是处理器202。最初,这一系列指令被存储在例如海量存储装置218的存储装置上。然而,这一系列指令可以被存储在任何适当的存储介质上,所述存储介质例如是磁盘、CD-ROM、ROM、EEPROM等。而且,这一系列指令不需要被本地存储,并且可以经由网络/通信接口216从诸如网络上的服务器之类的远程存储装置被接收。所述指令从诸如海量存储装置218之类的存储装置被复制到存储器214中,并且之后被处理器202访问和执行。
操作系统对硬件系统200的操作进行管理和控制,包括到软件应用(未示出)的数据输入和来自软件应用的数据输出。操作系统提供系统的硬件组件和正在系统上被执行的软件应用之间的接口。根据本发明一个实施例,操作系统是可从沃什湾的雷德蒙的微软公司(MicrosoftCorporation)获得的Windows
95/98/NT/XP操作系统。然而,可以利用诸如Apple Macintosh Operating System、UNIX操作系统、LINUX操作系统等之类的其它适当操作系统来使用本发明,Apple Macintosh OperatingSystem可以从加州库珀蒂诺的苹果电脑公司获得。
B.4.无线接入点
图3示出示例硬件系统300,硬件系统300可以用来实现无线接入点50。在一种实现方式中,无线接入点300包括:处理器310、存储器312、用于与LAN的通信的网络接口314(例如,802.3接口)、用于存储WLAN信息的高速缓冲存储器316、持久性存储器318、用于与一个或多个无线客户端60进行无线通信的无线网络接口320(例如,IEEE 802.11WLAN接口)和将这些组件进行互连的系统总线322。无线接入点50还可以包括软件模块(包含动态主机配置协议(DHCP)客户端,透明桥接、轻量级接入点协议(LWAPP)、Cisco
发现协议(CDP)模块、无线接入点模块、简单网络管理协议(SNMP)功能等等,和持久性存储器318(例如,硬盘驱动器、闪存、EEPROM等)中的装置驱动(例如,网络和WLAN接口驱动)。在启动时,这些软件组件被装载到系统存储器312中并且之后被处理器310访问并执行。
在一种实现方式中,检测无线接入点可以操作用于检测帧、对照一个或多个规则过滤它们、收集统计数字,并且将信息传递给IPS。并日,检测无线接入点可以包括与以上相同的硬件配置。在一种实现方式中,检测无线接入点可以以混杂模式(promiscuous mode)运行来对所检测到的无线帧进行处理和检验。而且,在一种实现方式中,检测无线接入点可以对照无线客户端的安全性上下文进行过滤。
C.安全性上下文和IPS整合
如以下结合图4-8更详细描述的,入侵预防系统通过将管理帧保护和入侵预防系统更紧密地整合并且交换与特定无线客户端相关的安全性上下文信息,既检测了攻击又预防了攻击。如以下更详细所述,无线网络基础结构将安全性上下文信息发送给IPS,IPS进而对连接进行验证并且将安全性上下文信息发送给检测无线接入点。安全性上下文信息使得检测无线接入点能够基于所述安全性上下文信息对无线网络基础结构和无线客户端之间的通信交换执行智能过滤。在检测无线接入点处过滤所检测到的无线帧降低了诸如IPS服务器之类的其它系统上的负荷和误报(falsepositives),这是因为可以将不引起安全问题的帧过滤掉。
图4示出由无线网络基础结构执行的示例方法。如上所述,可以在诸如中央控制、无线接入点等之类的任何恰当的无线基础结构节点处执行以下功能中的任何功能。如图4所示,无线网络基础结构首先与无线客户端建立连接(402)。接着,无线网络基础结构和无线客户端建立安全性上下文(404)。在一种实现方式中,建立安全性上下文一般包括对用于无线网络基础结构和无线客户端之间的连接的无线安全机制的选择和执行。例如,如上所述,所使用的无线安全机制的范围可以从没有安全性到有线等效加密(WEP)、无线保真(Wi-Fi)保护访问(WPA1和WPA2)、IEEE 802.1x等。在一种实现方式中,所使用的无线安全机制可以包括与WEP的结合使用的临时密钥完整性协议(TKIP),或高级加密标准(AES)。
安全性上下文也可以包括无线接入点和无线客户端的各种选项、参数、属性和能力(或当前配置)。例如,在一种实现方式中,无线网络基础结构可以使用802.1x密钥管理或预共享密钥(PSK)。在一种实现方式中,无线网络基础结构可以使用客户端管理帧保护(MFP)或基础结构MFP。在一种实现方式中,客户端MFP可以包括在用于使用消息完整性检查(MIC)来保护所有管理帧的密钥上达成一致的无线客户端和无线接入点。基础结构MFP可以包括信标、探针,和正从包含另一MIC的无线接入点发送的管理帧。
接着,无线网络基础结构通知IPS(406)。在一种实现方式中,无线网络基础结构可以将安全性上下文通知给IPS,安全性上下文可以包括无线客户端标识(例如,MAC地址、IP地址、所指派的EAP身份等等)、无线接入点标识(例如,BSSID),并且对安全性上下文的一个或多个属性进行标识,所述属性例如是无线网络基础结构和无线客户端之间的通信交换中所使用的任何安全性协议。在一种实现方式中,无线网络基础结构也可以将诸如虚拟LAN(VLAN)ID或基本服务器设置ID(BSSID)之类的访问控制列表(ACL)信息发送给IPS服务器。在一种实现方式中,无线网络基础结构也可以将用于保护管理帧的MFP会话密钥发送给IPS802.11客户端。
图5示出由入侵预防系统(IPS)执行的示例方法。在一种实现方式中,IPS功能驻留在IPS服务器20中。然而,如上所述,IPS功能可以驻留在任何恰当的无线基础结构节点处,所述无线基础结构节点例如是中央控制器70、无线接入点50等。如图5所示,IPS首先接收连接通知,连接通知包括安全性上下文信息(502)。
接着,IPS判定连接是否有效(504)。例如,如果IPS最近已经接收到用于同一无线客户端的安全性上下文信息(表明该无线客户端当前正被连接在另一无线接入点处),则该连接可能是无效的。然而,这也可能表明该无线客户端已经漫游。在一种实现方式中,管理帧可以包括被添加的加密块和签名块,其中,签名块可以对管理帧进行验证以确保它是由可信无线接入点或无线客户端发送的。如果IPS判定该连接无效,则之后IPS可以应用恰当的策略(506)。例如,如果IPS没有看见之前的安全性上下文(例如,无线客户端不再连接到旧的无线接入点),则该连接可能是有效的。因此,IPS可以应用这样的策略:拒绝对旧的无线接入点的访问并且接受对新的无线接入点的访问。如果IPS看见之前的安全性上下文,则IPS服务器可以一概地或者经由新的安全性上下文中所标识的无线接入点来拒绝对无线客户端的网络访问。在一种实现方式中,之后,IPS可以将该事件记入日志并且通知网络管理员。在一种实现方式中,该日志可以用来开发新的攻击签名。在一种实现方式中,这样的攻击签名的产生可以是自动化的(例如由IPS产生),以增强IPS功能。
在一种实现方式中,如果连接有效,则IPS将连接通知发送给检测无线接入点(508)。如上所述,所述连接通知包括安全性上下文,安全性上下文包括无线接入点标识、无线客户端标识,并且对在无线网络基础结构和无线客户端之间的通信交换中使用的任何安全性协议进行标识。在一种实现方式中,IPS还发送密钥,以使得检测无线接入点可以观测到过滤处理期间通信交换的内容,并且因此更优地进行检测并且随后将问题报告给IPS。
图6示出检测无线接入点处实现的示例方法。如图6所示,检测无线接入点51首先从IPS接收连接通知(602)。接着,检测无线接入点51将连接通知信息存储在活动关联表格(active association table)中(604)。在一种实现方式中,活动关联表格使得检测无线接入点能够对数据接入点和无线客户端之间的新的输入流量以及关联保持跟踪。检测无线接入点51之后接收帧(606)。在一种实现方式中,检测无线接入点可以利用从IPS接收到的密钥来对通信交换的内容进行解密和观测。之后,检测无线接入点51判定该帧是否与包含无线接入点的BSSID的安全性上下文信息相匹配(608)。在一种实现方式中,由于检测无线接入点具有必要的密钥,所以检测无线接入点可以对签名进行认证。在一种实现方式中,检测无线接入点可以接收两个客户端MFP密钥(即,一个加密密钥和一个签名密钥)。如果该帧与安全性上下文信息相匹配,则检测无线接入点51可以将该帧处理为“好”分组(610)。如果不匹配,则之后检测无线接入点51可以应用由IPS确定的策略(612)。例如,检测无线接入点51可以将该事件作为策略冲突(violation)记入日志,并且将该事件报告给IPS和/或数据无线客户端应当连接的无线接入点50。在一种实现方式中,检测无线接入点可以将样本帧发送给数据无线接入点。如以下结合图7更详细所述,数据无线接入点可以判定所述帧是否合法。
图7示出当在图6中的上述处理中检测到坏帧时,在无线接入点50处执行的示例方法。如图7所示,在(数据)无线接入点从检测无线接入点接收到50个帧之后,无线接入点首先判定所传送/接收的无线客户端地址是否有效(702)。例如,无线接入点50可以判定密码组是否正确(例如,该帧在应当受到保护时是否受到保护)、序列号是否正确(例如,是否没有错乱(out-of-order))等。如果接收到的地址有效,则无线接入点应用由IPS确定的恰当的策略(704)。
如果接收到的地址有效,则之后无线接入点50对用于数据帧和管理帧两者的加密进行验证(706)。例如,无线接入点可以识别帧类型,判定该帧是否被加密和/或被签名。无线接入点也可以对重放计数器(replaycounter)和加密密钥进行验证。在一种实现方式中,管理帧可以包括被添加的加密块和签名块,其中,签名块可以对管理帧进行校验以确保它是由可信无线接入点或无线客户端发送的。如果加密验证失败(708),则无线接入点应用恰当的IPS策略(706)。
如果加密验证成功,该帧是来自无线接入点的(710),该帧是管理帧(712),发射机是BSSID(712),并且基础结构MPF被打开(turnon)(714),则无线接入点判定MIC是否存在(716)。此刻,如果MIC不存在,则存在MFP策略冲突,并且之后无线接入点如上所述应用基础结构MFP策略(718)。
根据如上所述的实现方式,检测无线接入点51从IPS接收的安全性上下文信息使得检测无线接入点51能够基于该安全性上下文更准确地产生用于IPS的信息(例如,标识实际的攻击),从而在较少误报的情况下执行更准确和智能的过滤,以及导致用于混合的环境和更宽的网络防御的更好的策略增强。智能过滤也减少了检测无线接入点和IPS之间的流量。
已经参考特定实施例说明了本发明。例如,尽管本发明实施例被描述为结合IEEE 802.11网络进行操作,但是也可以结合任何适当的无线网络环境来使用本发明。其它实施例将对本技术领域技术人员而言是显而易见的。因此不希望本发明受到限制,除非是所附权利要求所指示的。
Claims (12)
1.一种用于无线网络的入侵预防的设备,包括:
用于在入侵预防系统处接收与无线网络基础结构组件和无线客户端之间的连接相关的安全性上下文信息的装置,其中,所述安全性上下文信息至少包括所述无线客户端的标识,并且其中,所述安全性上下文信息对与所述连接相关联的任何安全性协议进行标识,并且所述安全性上下文信息包括用于保护管理帧的管理帧保护会话密钥;
用于在所述入侵预防系统处基于所述安全性上下文信息对所述连接进行验证的装置;以及
用于在所述连接是有效的情况下将所述安全性上下文信息从所述入侵预防系统发送给一个或多个远程检测无线接入点以使得所述一个或多个远程检测无线接入点能够利用所述会话密钥对受保护的管理帧进行解密和观测的装置。
2.根据权利要求1所述的设备,其中,所述多个检测无线接入点可操作用于基于所述安全性上下文信息的一个或多个属性来执行过滤功能。
3.根据权利要求1所述的设备,还包括用于对受保护的管理帧进行验证的装置。
4.根据权利要求1所述的设备,其中,所述检测无线接入点还可操作用于至少部分基于所述安全性上下文对所接收到的无线帧进行处理。
5.根据权利要求1所述的设备,还包括用于基于对所述连接的验证来应用恰当的策略的装置。
6.一种用于无线网络的入侵预防的方法,包括以下步骤:
在入侵预防系统处接收与无线网络基础结构组件和无线客户端之间的连接相关的安全性上下文信息,其中,所述安全性上下文信息至少包括所述无线客户端的标识,并且其中,所述安全性上下文信息对与所述连接相关联的任何安全性协议进行标识,并且所述安全性上下文信息包括用于保护管理帧的管理帧保护会话密钥;
在所述入侵预防系统处基于所述安全性上下文信息对所述连接进行验证;以及
在所述连接是有效的情况下将所述安全性上下文信息从所述入侵预防系统发送给一个或多个远程检测无线接入点以使得所述一个或多个远程检测无线接入点能够利用所述会话密钥对受保护的管理帧进行解密和观测。
7.根据权利要求6所述的方法,其中,所述多个检测无线接入点可操作用于基于所述安全性上下文信息的一个或多个属性来执行过滤功能。
8.根据权利要求6所述的方法,还包括对受保护的管理帧进行验证的步骤。
9.根据权利要求6所述的方法,还包括至少部分基于所述安全性上下文对所接收到的无线帧进行处理的步骤。
10.根据权利要求6所述的方法,还包括基于对所述连接的验证来应用恰当的策略的步骤。
11.一种用于无线网络的入侵预防的系统,包括:
入侵预防系统(IPS);
一个或多个数据无线接入点,所述一个或多个数据无线接入点可操作用于将与无线网络基础结构组件和无线客户端之间的连接相关的安全性上下文信息发送给所述IPS,其中所述安全性上下文信息至少包括所述无线客户端的标识并且对与所述连接相关联的任何安全性协议进行标识,所述安全性上下文信息包括用于保护管理帧的管理帧保护会话密钥;以及
相对于所述IPS是远程的一个或多个检测无线接入点,所述一个或多个检测无线接入点可操作用于从所述IPS接收所述安全性上下文信息并且利用所述会话密钥对受保护的管理帧进行解密和观测,
其中,所述IPS可操作用于从所述一个或多个数据无线接入点接收所述安全性上下文信息,基于所述安全性上下文信息对所述连接进行验证,并且在所述连接是有效的情况下将所述安全性上下文信息发送给所述一个或多个检测无线接入点。
12.根据权利要求11所述的系统,其中,所述一个或多个检测无线接入点可操作用于基于所述安全性上下文信息的一个或多个属性来执行过滤功能。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/668,206 US8254882B2 (en) | 2007-01-29 | 2007-01-29 | Intrusion prevention system for wireless networks |
| US11/668,206 | 2007-01-29 | ||
| US11/668206 | 2007-01-29 | ||
| PCT/US2008/051605 WO2008094782A1 (en) | 2007-01-29 | 2008-01-22 | Intrusion prevention system for wireless networks |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101595694A CN101595694A (zh) | 2009-12-02 |
| CN101595694B true CN101595694B (zh) | 2012-07-18 |
Family
ID=39669479
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200880003064XA Active CN101595694B (zh) | 2007-01-29 | 2008-01-22 | 用于无线网络的入侵预防系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8254882B2 (zh) |
| EP (1) | EP2127247B1 (zh) |
| CN (1) | CN101595694B (zh) |
| WO (1) | WO2008094782A1 (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8094634B2 (en) * | 2007-09-06 | 2012-01-10 | Polytechnic Institute Of New York University | Sender and/or helper node modifications to enable security features in cooperative wireless communications |
| US8359470B1 (en) * | 2009-07-20 | 2013-01-22 | Sprint Communications Company L.P. | Increased security during network entry of wireless communication devices |
| GB2511779A (en) * | 2013-03-13 | 2014-09-17 | Knightsbridge Portable Comm Sp | Data Security Device |
| US9755943B2 (en) | 2013-08-08 | 2017-09-05 | Cisco Technology, Inc. | Location based technique for detecting devices employing multiple addresses |
| EP3078219B1 (en) * | 2013-12-04 | 2021-04-21 | Nokia Technologies Oy | Access point information for wireless access |
| EP3248325A1 (en) * | 2015-01-22 | 2017-11-29 | Entit Software LLC | Session key repository |
| EP3366020B1 (en) * | 2015-10-20 | 2021-02-24 | Hewlett-Packard Enterprise Development LP | Sdn controller assisted intrusion prevention systems |
| CN106506546B (zh) * | 2016-12-21 | 2020-04-07 | 北京奇虎测腾科技有限公司 | 一种ap风险检测的方法和装置 |
| US10671723B2 (en) | 2017-08-01 | 2020-06-02 | Sap Se | Intrusion detection system enrichment based on system lifecycle |
| US11316877B2 (en) * | 2017-08-01 | 2022-04-26 | Sap Se | Intrusion detection system enrichment based on system lifecycle |
| US20210211467A1 (en) * | 2020-04-02 | 2021-07-08 | Intel Corporation | Offload of decryption operations |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020174335A1 (en) * | 2001-03-30 | 2002-11-21 | Junbiao Zhang | IP-based AAA scheme for wireless LAN virtual operators |
| US7042852B2 (en) * | 2002-05-20 | 2006-05-09 | Airdefense, Inc. | System and method for wireless LAN dynamic channel change with honeypot trap |
| US7246156B2 (en) * | 2003-06-09 | 2007-07-17 | Industrial Defender, Inc. | Method and computer program product for monitoring an industrial network |
| US7295831B2 (en) * | 2003-08-12 | 2007-11-13 | 3E Technologies International, Inc. | Method and system for wireless intrusion detection prevention and security management |
| US20050086465A1 (en) * | 2003-10-16 | 2005-04-21 | Cisco Technology, Inc. | System and method for protecting network management frames |
| US7558960B2 (en) * | 2003-10-16 | 2009-07-07 | Cisco Technology, Inc. | Network infrastructure validation of network management frames |
| WO2006069604A1 (en) | 2004-12-30 | 2006-07-06 | Telecom Italia S.P.A. | Method and system for detecting attacks in wireless data communication networks |
| FI20050491A0 (fi) * | 2005-05-09 | 2005-05-09 | Nokia Corp | Järjestelmä varmenteiden toimittamiseksi viestintäjärjestelmässä |
-
2007
- 2007-01-29 US US11/668,206 patent/US8254882B2/en active Active
-
2008
- 2008-01-22 CN CN200880003064XA patent/CN101595694B/zh active Active
- 2008-01-22 WO PCT/US2008/051605 patent/WO2008094782A1/en active Application Filing
- 2008-01-22 EP EP08728015.2A patent/EP2127247B1/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN101595694A (zh) | 2009-12-02 |
| US20080184331A1 (en) | 2008-07-31 |
| EP2127247A1 (en) | 2009-12-02 |
| WO2008094782A1 (en) | 2008-08-07 |
| EP2127247B1 (en) | 2017-03-15 |
| US8254882B2 (en) | 2012-08-28 |
| EP2127247A4 (en) | 2014-10-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101595694B (zh) | 用于无线网络的入侵预防系统 | |
| EP2547134B1 (en) | Improved subscriber authentication for unlicensed mobile access signaling | |
| US7316031B2 (en) | System and method for remotely monitoring wireless networks | |
| US7574202B1 (en) | System and methods for a secure and segregated computer network | |
| EP1958365B1 (en) | Network client validation of network management frames | |
| MX2007008998A (es) | Proporcion de seguridad en una red de acceso movil no autorizada. | |
| CN113518312B (zh) | 一种通信方法、装置及系统 | |
| CN109995769B (zh) | 一种多级异构跨区域的全实时安全管控方法和系统 | |
| US7761085B2 (en) | Mobile station, system, network processor and method for use in mobile communications | |
| EP1303968B1 (en) | System and method for secure mobile communication | |
| Ma et al. | Security Access in Wireless Local Area Networks | |
| Makhlouf et al. | Intrusion and anomaly detection in wireless networks | |
| Harasymchuk et al. | Security analysis of LTE technology | |
| JP2005086656A (ja) | 認証判定ブリッジ、プログラム、無線lan通信システム及び無線lan通信方法 | |
| CN117956450A (zh) | 一种通信公网与通信专网的协作通信方法和系统 | |
| CN116471590A (zh) | 终端接入方法、装置及鉴权服务功能网元 | |
| Yip | A Practical guide to understanding wireless networking concepts, security protocols, attack, and safer deployment schemes | |
| Ma et al. | Security Architecture Framework | |
| Kizza et al. | Security in Wireless Systems | |
| Yarali et al. | Identifying and Mitigating Security and Privacy Threats in Modern Telecommunciation Infrastructure |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |