CN102804829A - 用于避免欺骗接入点的拒绝服务攻击的方法和装置 - Google Patents
用于避免欺骗接入点的拒绝服务攻击的方法和装置 Download PDFInfo
- Publication number
- CN102804829A CN102804829A CN2009801600927A CN200980160092A CN102804829A CN 102804829 A CN102804829 A CN 102804829A CN 2009801600927 A CN2009801600927 A CN 2009801600927A CN 200980160092 A CN200980160092 A CN 200980160092A CN 102804829 A CN102804829 A CN 102804829A
- Authority
- CN
- China
- Prior art keywords
- access point
- fail safe
- deadlock
- configuration
- activates
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/108—Source integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/126—Anti-theft arrangements, e.g. protection against subscriber identity module [SIM] cloning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/08—Access point devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
提供了用于避免欺骗接入点的拒绝服务攻击的方法和装置。一种方法可以包括至少部分地基于包括在所接收的、由接入点发送的安全性模式命令消息中的完整性保护信息来尝试验证所述接入点的接入层安全性的激活,其中已经与所述接入点建立了无线电连接。该方法还可以包括检测安全性激活死锁的出现。该方法还可以包括确定已经出现关于所述接入点的预定数目的安全性激活死锁。该方法又可以包括至少部分地基于已经出现关于所述接入点的预定数目的安全性激活死锁的确定来将所述接入点标识为欺骗接入点。还提供了对应的装置。
Description
技术领域
本发明的实施方式总体上涉及通信技术,并且更具体地涉及用于避免欺骗接入点的拒绝服务攻击的方法和装置。
背景技术
现代的通信时代已经带来了有线网络和无线网络的极大发展。在消费者需求的带动下,计算机网络、电视网络以及电话网络正在经历前所未有的技术发展。无线和移动联网技术解决了有关的消费者需求,同时提供信息传输的更多灵活性和即时性并且向用户提供了便利。伴随着网络的发展,已经利用无线网络提供的、用以促进移动计算的特征开发了移动计算设备。结果,移动通信设备和无线网络被客户广泛使用来支持用于个人和商业目的的移动计算。
然而,由于无线通信已经成为客户日常个人和专业生活的组成部分,因此恶意方有时尝试破坏移动通信服务。在这方面,恶意方可以通过使用欺骗基站来产生移动通信设备上的拒绝服务攻击,该欺骗基站配置用于尝试维持与移动通信设备的连接而不向设备提供全面网络服务。
发明内容
因此提供了用于通过欺骗接入点来避免欺骗接入点拒绝服务攻击的方法、装置和计算机程序产品。在这方面,提供的方法、装置和计算机程序产品可以向计算设备、计算设备用户和网络操作者提供若干优势。本发明的实施方式提供了配置用于确定在尝试验证接入点的接入层安全性激活失败之后出现安全性激活死锁的终端。本发明的实施方式还提供了配置用于在出现预定数目的、关于接入点的安全性激活死锁之后将该接入点标识为欺骗接入点,从而使得终端可以自主地释放与基站的无线电连接并且选择另一接入点。本发明的一些实施方式提供了黑名单,在出现预定数目的安全性激活死锁之后将接入点添加至该黑名单,从而使得终端将来将不再尝试与该黑名单上的接入点连接。因此,本发明的实施方式缓和了欺骗接入点拒绝服务攻击。
在第一示例实施方式中,提供了一种方法,其包括至少部分地基于包括在所接收的、由接入点发送的安全性模式命令消息中的完整性保护信息来尝试验证该接入点的接入层安全性的激活,其中已经与该接入点建立无线电连接。此实施方式的方法进一步包括检测安全性激活死锁的出现。此实施方式的方法附加地包括确定关于该接入点的预定数目的安全性激活死锁已经出现。此实施方式的方法还包括至少部分地基于已经出现了关于接入点的预定数目的安全性激活死锁的确定来将该接入点标识为欺骗接入点。
在另一示例实施方式中,提供了一种装置。此实施方式的装置包括至少一个处理器和存储了计算机程序代码的至少一个存储器,其中至少一个存储器和所存储的计算机程序代码配置用于与至少一个处理器一起使得装置至少部分地基于包括在所接收的、由接入点发送的安全性模式命令消息中的完整性保护信息来至少尝试验证该接入点接入层安全性的激活,其中无线电连接已经与该接入点建立。至少一个存储器和所存储的计算机程序代码配置用于与至少一个处理器一起还使得此实施方式的装置检测安全性激活死锁的出现。至少一个存储器和所存储的计算机程序代码配置用于与至少一个处理器一起附加地使得此实施方式的装置确定关于该接入点的预定数目的安全性激活死锁已经出现。至少一个存储器和所存储的计算机程序代码配置用于与至少一个处理器一起还使得此实施方式的装置至少部分地基于已经出现了关于接入点的预定数目的安全性激活死锁的确定来将该接入点标识为欺骗接入点。
在另一示例实施方式中,提供了一种计算机程序产品。计算机程序产品包括其中存储有计算机可读程序指令的至少一个计算机可读存储介质。该计算机可读程序指令可以包括多个程序指令。虽然在此发明内容中程序指令是经排序的,但是应当理解本发明内容仅是出于示例的目的并且该顺序仅是用于概括该计算机程序产品。该示例顺序不以任何方式限制相关联计算机程序指令的实施。此实施方式的第一程序指令配置用于至少部分地基于包括在所接收的、由接入点发送的安全性模式命令消息中的完整性保护信息来尝试验证该接入点的接入层安全性的激活,其中无线电连接已经与该接入点建立。此实施方式的第二程序指令配置用于检测安全性激活死锁的出现。此实施方式的第三程序指令配置用于确定关于该接入点的预定数目的安全性激活死锁已经出现。此实施方式的第四程序指令配置用于至少部分地基于已经出现了关于接入点的预定数目的安全性激活死锁的确定来将该接入点标识为欺骗接入点。
在另一示例实施方式中,提供了一种装置,该装置包括用于至少部分地基于包括在所接收的、由接入点发送的安全性模式命令消息中的完整性保护信息来尝试验证该接入点的接入层安全性的激活的装置,其中无线电连接已经与该接入点建立。此实施方式的装置还包括用于检测安全性激活死锁的出现的装置。此实施方式的装置还包括用于确定关于该接入点的预定数目的安全性激活死锁已经出现的装置。此实施方式的装置还包括用于至少部分地基于已经出现了关于接入点的预定数目的安全性激活死锁的确定来将该接入点标识为欺骗接入点的装置。
前面的概要仅仅被提供来概括本发明的一些示例性实施方式,从而提供对于本发明的一些方面的基本理解。因此应当认识到,前面描述的示例性实施方式仅仅是示例,并且不应当被解释为以任何方式缩窄本发明的范围或精神。应当认识到,除了这里所概括的那些实施方式之外,本发明的范围涵盖许多潜在的实施方式,下面将进一步描述其中的一些。
附图说明
在如上概括性地描述了本发明的实施方式之后,下面将参照附图,附图不一定是按比例绘制的,并且其中:
图1图示了根据本发明示例性实施方式用于避免欺骗接入点的拒绝服务攻击的系统;
图2是根据本发明示例性实施方式的移动终端的示意框图;
图3图示了根据本发明示例性实施方式的、可以在终端与接入点之间根据用于避免欺骗接入点的拒绝服务攻击的示例性方法交换信号的信号传输图;
图4图示了根据示例性方法的流程图,该示例性方法用于根据本发明示例性实施方式的避免欺骗接入点的拒绝服务攻击;
图5图示了根据示例性方法的流程图,该示例性方法用于根据本发明示例性实施方式的避免欺骗接入点的拒绝服务攻击;
图6图示了根据示例性方法的流程图,该示例性方法用于根据本发明示例性实施方式的避免欺骗接入点的拒绝服务攻击;以及
图7图示了根据示例性方法的流程图,该示例性方法用于维护受信接入点的白名单以根据本发明示例性实施方式避免欺骗接入点的拒绝服务攻击。
具体实施方式
下面将参照附图更加详细地描述本发明的一些实施方式,在附图中示出了本发明的一些而非所有实施方式。实际上,本发明可以按照许多不同形式来体现并且不应当被解释成限制到这里所阐述的实施方式;相反,这些实施方式被提供来使得本公开内容将满足适用的法律要求。相同的附图标记贯穿全文指代相同的元件。
如这里所使用的,术语‘电路’指代(a)仅硬件的电路实现(即采用模拟电路和/或数字电路的实现);(b)电路与计算机程序产品(包括存储于一个或者多个计算机可读存储器上的软件和/或固件指令,这些指令一起工作以使装置执行在此描述的一个或者多个功能)的组合;以及(c)操作所需的软件或者固件(即使软件或者固件并非物理上存在)的电路(诸如例如微处理器或者微处理器的部分)。‘电路’的这一限定适用于在此对这一术语的所有使用(包括在任何权利要求中)。作为又一示例,如在此所用的,术语‘电路’也包括如下实现,该实现包括一个或者多个处理器和/或其部分以及附带的软件和/或固件。作为另一示例,如在此所用的术语‘电路’也包括例如用于移动电话的基带集成电路或者应用处理器集成电路或者在服务器、蜂窝网络设备、其它网络设备和/或其它计算设备中的相似集成电路。
图1图示了用于根据本发明示例性实施方式的避免欺骗接入点的拒绝服务攻击的系统100的框图。如这里使用的,“示例性”仅意味着示例,并且就此而言表示针对本发明的一个示例实施方式,从而不应当以任何方式解释为缩小本发明的范围或精神。应当理解,本发明的范围除了这里所示和所述的实施方式还包括许多潜在的实施方式。因此,虽然图1图示了用于避免欺骗接入点的拒绝服务攻击的系统配置的一个示例,但是许多其他配置也可以用于实施本发明的实施方式。
这里参考特定的联网技术,诸如根据第三代合作伙伴项目(3GPP)标准的长期演进(LTE)或演进的通用陆地无线接入网(E-UTRAN),应当理解对特定联网技术的参考仅是出于根据本发明的一个实施方式示例的目的,并且本发明的实施方式可以应用于其他联网技术。类似地,在根据特定联网技术中使用的术语来参考针对装置、组件、消息、信号、协议等的术语的情形中,应当理解参考仅出于示例的目的而不以任何方式限制特定联网技术。
在至少一些实施方式中,系统100包括一个或多个终端102和一个或多个接入点104。接入点104可以包括基站、节点B、演进节点B和/或配置用于与终端102建立无线电连接的其他网络接入点。接入点104可以附加地包括网络小区(例如,E-UTRAN)的组件和/或与其通信。终端102可以体现为台式计算机、膝上型计算机、移动终端、移动计算机、移动电话、移动通信设备、游戏设备、数字相机/录像机、音频/视频播放器、电视设备、无线电接收器、数字视频记录器、指向设备、任何其组合和/或配置用于与接入点104建立无线电连接的其他设备。在示例性实施方式中,如图2中所示,终端102体现为移动终端。
在这方面,图2示出了代表根据本发明的实施方式的终端102的一个实施方式的移动终端10的方框图。但是应当理解的是,所示出并且在下文中描述的移动终端10仅仅是说明可以实施并且/或者受益于本发明的实施方式的一种类型的终端102,因此不应当被视为限制本发明的范围。虽然出于举例的目的示出了电子设备的若干实施方式并且将在下文中进行描述,但是其他类型的电子设备(诸如移动电话、移动计算机、便携式数字助理(PDA)、寻呼机、膝上型计算机、台式计算机、游戏装置、电视以及其他类型的电子系统)也可以采用本发明的实施方式。
如图所示,移动终端10可以包括与发送器14和接收器16进行通信的天线12(或多个天线12)。该移动终端还可以包括控制器20或其他(多个)处理器,其分别向发送器提供信号和从接收器接收信号。这些信号可以包括根据适用的蜂窝系统的空中接口标准和/或根据任意种不同的有线或无线联网技术的信令信息,该有线或无线联网技术包括(但不限于)无线保真(Wi-Fi)、无线局域网(WLAN)技术(诸如电气和电子工程师协会(IEEE)802.11、802.16)等等。此外,这些信号还可以包括语音数据、用户生成的数据、用户请求的数据等等。在这方面,该移动终端可以能够利用一种或更多种空中接口标准、通信协议、调制类型、接入类型等等进行操作。更具体来说,该移动终端可以能够根据多种第一代(1G)、第二代(2G)、2.5G、第三代(3G)通信协议、第四代(4G)通信协议、互联网协议多媒体子系统(IMS)通信协议(例如会话发起协议(SIP))等等进行操作。例如,该移动终端可以能够根据2G无线通信协议IS-136(时分多址(TDMA))、全球移动通信系统(GSM)、IS-95(码分多址(CDMA))等等进行操作。此外,该移动终端例如可以能够根据2.5G无线通信协议通用分组无线电服务(GPRS)、增强数据GSM环境(EDGE)等等进行操作。此外,该移动终端例如可以能够根据3G无线通信协议,诸如通用移动电信系统(UMTS)、码分多址2000(CDMA2000)、宽带码分多址(WCDMA)、时分同步码分多址(TD-SCDMA)等等进行操作。该移动终端可以附加地能够根据3.9G无线通信协议,诸如长期演进(LTE)或演进型通用地面无线接入网(E-UTRAN)等等进行操作。此外,该移动终端例如可以能够根据第四代(4G)无线通信协议等等以及未来可能开发的类似无线通信协议进行操作。
如双模式或更高模式电话(数字/模拟或TDMA/CDMA/模拟电话)一样,一些窄带高级移动电话系统(NAMPS)以及全接入通信系统(TACS)移动终端也可以受益于本发明的实施方式。此外,移动终端10可以能够根据无线保真(Wi-Fi)或全球微波接入互操作性(WiMAX)协议进行操作。
应当理解的是,控制器20可以包括用于实施移动终端10的音频/视频以及逻辑功能的电路。例如,控制器20可以包括数字信号处理器设备、微处理器设备、模拟-数字转换器、数字-模拟转换器等等。可以根据其对应的能力在这些设备之间分配移动终端的控制和信号处理功能。控制器可以附加地包括内部话音编码器(VC)20a、内部数据调制解调器(DM)20b等等。此外,控制器可以包括用以操作可被存储在存储器中的一个或更多软件程序的功能。例如,控制器20可以能够操作诸如web浏览器之类的连接性程序。连接性程序可以允许移动终端10根据某种协议(诸如无线应用协议(WAP)、超文本传输协议(HTTP)等等)发送及接收web内容(诸如基于位置的内容)。移动终端10可以能够使用传输控制协议/互联网协议(TCP/IP)在因特网或其他网络上发送及接收web内容。
移动终端10还可以包括用户接口,该用户接口例如包括可以可操作地耦合到控制器20的耳机或扬声器24、振铃22、麦克风26、显示器28、用户输入接口等等。在这方面,控制器20可以包括配置用于控制用户接口中一个或多个元件的至少一些功能的用户接口电路,该元件诸如扬声器24、振铃22、麦克风26、显示器28等等。控制器20和/或包括控制器20的用户接口电路可以配置用于通过存储在控制器20可访问的存储器(例如,易失性存储器40、非易失性存储器42等)上的计算机程序指令(例如,软件和/或固件)来控制用户接口一个或多个元件的一个或多个功能。虽然没有示出,但是移动终端可以包括用于为与该移动终端关联的各种电路(诸如用以提供机械振动以作为可检测的输出的电路)供电的电池组。用户输入接口可以包括允许移动终端接收数据的设备,诸如小键盘30、触摸显示器(未示出)、操纵杆(未示出)和/或其他输入设备。在包括小键盘的实施方式中,该小键盘可以包括数字键(0-9)和有关按键(#、*)和/或用于操作移动终端的其他按键。
如图2中所示,移动终端10还可以包括一个或更多用于共享和/或获得数据的装置。例如,移动终端可以包括短距离射频(RF)收发器和/或查询器64,从而可以根据RF技术与电子设备共享数据和/或从中获得数据。移动终端可以包括其他短距离收发器,诸如红外(IR)收发器66、利用由BluetoothTM特殊兴趣组开发的BluetoothTM品牌无线技术进行操作的BluetoothTM(BT)收发器68、无线通用串行总线(USB)收发器70等等。BluetoothTM收发器68可以能够根据超低功率BluetoothTM技术(例如WibreeTM)无线电标准进行操作。在这方面,移动终端10(特别是短距离收发器)可以能够向该移动终端附近(例如10米内)的电子设备发送数据和/或从其接收数据。虽然没有示出,但是该移动终端可以能够根据多种无线联网技术向电子设备发送数据和/或从其接收数据,该无线联网技术包括无线保真(Wi-Fi)、诸如IEEE 802.11、IEEE 802.16技术之类的WLAN技术等等。
移动终端10可以包括存储器,诸如订户身份模块(SIM)38、可移动用户身份模块(R-UIM)等等,该存储器可以存储与移动订户有关的信息元素。除了SIM之外,该移动终端还可以包括其他可移除和/或固定存储器。移动终端10可以包括易失性存储器40和/或非易失性存储器42。例如,易失性存储器40可以包括随机存取存储器(RAM)(其中包括动态和/或静态RAM)、芯片上或芯片外高速缓冲存储器等等。非易失性存储器42可以是嵌入式和/或可移除的,其例如可以包括只读存储器、闪存、磁性存储设备(例如硬盘、软盘驱动器、磁带等等)、光盘驱动器和/或介质、非易失性随机存取存储器(NVRAM)等等。与易失性存储器40一样,非易失性存储器42可以包括用于临时存储数据的高速缓存区域。存储器可以存储一个或更多软件程序、指令、信息、数据等等,其可以被移动终端使用来执行该移动终端的各项功能。例如,存储器可以包括标识符,诸如国际移动设备标识(IMEI)代码,其能够唯一地标识移动终端10。
现在返回图1,在一种示例性实施方式中,终端102包括用于执行这里所描述的各项功能的各种装置,诸如处理器120、存储器122、通信接口124、用户接口126和安全策略单元128。这里所描述的终端102的这些装置例如可以被体现为电路、硬件元件(例如适当编程的处理器、组合逻辑电路等等)、包括存储在计算机可读介质(例如存储器122)上并且可由适当配置的处理设备(例如处理器120)执行的计算机可读程序指令(例如软件或固件)的计算机程序产品或者其某种组合。
处理器120例如可以被体现为多种装置,其包括具有伴随的(多个)数字信号处理器的一个或多个微处理器、不具有伴随的数字信号处理器的一个或多个处理器、一个或更多协处理器、一个或多个多核处理器、一个或多个控制器、处理电路、一台或更多台计算机、包括诸如ASIC(专用集成电路)或FPGA(现场可编程门阵列)之类的集成电路的各种其他处理元件或者它们的一些组合。相应地,虽然在图1中被示出为单个处理器,但是在一些实施方式中,处理器120包括多个处理器。多个处理器可以适于彼此通信,并且可以一起配置用于执行这里所描述的终端102的一项或更多项功能。在终端102体现为移动终端10的实施方式中,处理器120可以体现为控制器20或者包括控制器20。在一个示例性实施方式中,处理器120配置用于执行存储在存储器122中或者以其他方式可由处理器120所访问的指令。这些指令在由处理器120执行时可以使得终端102执行这里所描述的终端102的一项或更多项功能。因此,不管是由硬件或软件方法还是由其组合配置,处理器120可以包括能够在相应地被配置时根据本发明的实施方式执行操作的实体。因此,例如当处理器120被体现为ASIC、FPGA等时,处理器120可以包括专门配置的硬件以用于实施这里所描述的一项或更多项操作。备选地,作为另一示例,当处理器120被体现为指令(诸如可以存储在存储器122中的指令)的执行器时,该指令可以专门配置处理器120以执行这里所描述的一项或更多项算法和操作。
存储器122例如可以包括易失性和/或非易失性存储器。虽然在图1中被示出为单个存储器,但是存储器122可以包括多个存储器。存储器122可以包括易失性存储器、非易失性存储器或它们的一些组合。在这方面,存储器122例如可以包括硬盘、随机存取存储器、高速缓冲存储器、闪存、压缩盘只读存储器(CD-ROM)、数字通用盘只读存储器(DVD-ROM)、光盘、配置用于存储信息的电路或它们的一些组合。在终端102体现为移动终端10的实施方式中,存储器122可以包括易失性存储器40和/或非易失性存储器42。存储器122可以配置用于存储信息、数据、应用、指令等等,以便允许终端102根据本发明的实施方式实施各项功能。例如,在至少一些实施方式中,存储器122配置用于缓冲输入数据以供处理器120处理。附加地或备选地,在至少一些实施方式中,存储器122配置用于存储程序指令以供处理器120执行。存储器122可以按照静态和/或动态信息的形式存储信息。所存储的该信息可以由安全策略单元128在执行其功能的过程中存储和/或使用。
通信接口124可以体现为任何设备或装置,其可以在电路、硬件、包括存储在计算机可读介质(例如存储器122)上并且由处理设备(例如处理器120)执行的计算机可读程序指令的计算机程序产品、或者其配置用于从系统100的实体(诸如接入点104)接收数据和/或向其发送数据的组合中体现。在这方面,通信接口124可以配置用于建立与接入点104的无线电连接。在至少一个实施方式中,通信接口124至少部分地体现为或者以其他方式由处理器120控制。在这方面,通信接口124可以例如通过总线与处理器120通信。通信接口124例如可以包括天线、发送器、接收器、收发器和/或用于允许与系统100的一个或多个实体进行通信的支持硬件或软件。通信接口124可以配置用于利用可以被用于系统100的各个实体之间的通信的任何协议来接收和/或发送数据。通信接口124可以附加地例如经由总线与存储器122、用户接口126和/或安全策略单元128进行通信。
用户接口126可以与处理器120通信以接收用户输入的指示和/或向用户提供听觉、视觉、机械或其他输出。因此,用户接口126例如可以包括键盘、鼠标、游戏杆、显示器、触摸屏显示器、麦克风、扬声器和/或其他输入/输出机制。用户接口126可以诸如经由总线与存储器122、通信接口124和/或安全策略单元128进行通信。
安全策略单元128可以体现为多种装置,诸如电路、硬件、包括存储在计算机可读介质(例如存储器122)上并且由处理设备(例如处理器120)执行的计算机可读程序指令的计算机程序产品或者它们的一些组合,并且在一个实施方式中体现为或者以其他方式由处理器120控制。在安全策略单元128与处理器120分开体现的实施方式中,安全策略单元128可以与处理器120进行通信。安全策略单元128还可以例如经由总线与存储器122、通信接口124或用户接口126中的一个或多个进行通信。
通信接口124可以配置用于与接入点104建立无线电连接,诸如无线电资源控制(RRC)连接。该无线电连接的建立可以根据终端102和/或接入点104配置用于实施的任意网络标准或协议。在一个实施方式中,通信接口124配置用于根据LTE标准建立与接入点104的无线电连接(例如,RRC连接)。
安全策略单元128可以配置用于选择接入点104以建立无线电连接,例如RRC连接。在建立无线电连接之后,接入点104可以向终端102传输安全模式命令(SMC)消息,其中该消息可以由通信接口124接收。应当理解“SMC消息”通过示例的方式使用并且不以任何方式针对任何一个联网标准进行限制,因此在这里提到SMC消息的情况中,根据其他联网标准传输的类似消息在如这里所用SMC消息的范围内。SMC消息可以包括供终端102使用的完整性保护信息以验证接入点104的接入层安全性的激活。完整性保护信息例如可以包括消息鉴权码(MAC)和/或供安全策略单元128使用的其他完整性保护信息以验证SMC消息的完整性保护以及验证接入点104的接入层安全性测量的激活。接入层安全性测量例如可以包括用于在终端102和接入点104之间通信中使用的完整性保护和加密。
安全策略单元128可以配置用于从终端102接收的SMC消息中提取完整性保护信息,并且尝试验证完整性保护信息以便验证接入点104的接入层安全性的激活。当安全性激活失败时(例如,当安全策略单元128无法验证完整性保护信息时),安全策略单元128可以配置用于使得通信接口124向接入点104传输安全性模式失败消息。应当理解,“安全性模式失败消息”通过示例的方式使用并且不以任何方式针对任意一个联网标准进行限制,因此在这里提到安全性模式失败消息的情况中,根据其他联网标准传输的类似消息在如这里所用安全性模式失败消息的范围内。
根据各种联网标准(诸如LTE标准),接入点104可以指定用于在接收安全性模式失败消息之后释放与终端102的无线电连接。然而,配置用于在终端102上启动服务攻击的拒绝的欺骗接入点104可能并不释放无线电连接。附加或备选地,欺骗接入点104可以在每次终端102与接入点104建立无线电连接时向终端102传输包括无效完整性保护信息的SMC消息。因此,本发明的实施方式提供了多种解决方案用于缓和欺骗访问点104的这种拒绝服务攻击。
当安全策略单元128无法验证接入点104的接入层安全性的激活时,在本发明的一些实施方式中安全策略单元128配置用于检测安全性激活死锁的出现以便缓和服务攻击的潜在拒绝的作用。在这方面,安全策略单元128可以配置用于在等待接入点104在向该接入点104传输安全性模式失败消息之后释放无线电连接时检测安全性激活死锁的出现。为了检测安全性激活死锁,安全策略单元128可以配置用于响应于向该接入点104传输安全性模式失败消息而设置死锁计时器。响应该传输设置死锁计时器可以包括与传输安全性模式失败消息同时地设置死锁计时器、在传输安全性模式失败消息之后设置死锁计时器、在接收到由接入点104传输的确认接收了安全性模式失败消息的确认之后设置死锁计时器等。死锁计时器可以被设置成运行预定时间周期(例如,死锁周期),在该预定时间周期之后死锁计时器将期满。安全策略单元128可以配置用于当接入点104在死锁计时器期满之后没有释放与终端102的无线电连接时检测已经出现安全性激活死锁。
在安全策略单元128检测安全性激活死锁的出现时,安全策略单元128可以配置用于调节与接入点104的标识相关联的计数器值,该计数器值指示了已经出现的、关于该接入点的安全性激活死锁数目。例如,该计数器值可以存储关于该接入点已经出现的安全性激活死锁的数目,并且安全策略单元128可以配置用于响应于检测关于接入点的安全性激活死锁的出现而增加计数器值。在另一示例中,计数器值可以存储等于预定数目和已经出现的、关于该接入点的安全性激活死锁的数目之间差的值,并且安全策略单元128可以配置用于响应于检测关于接入点的安全性激活死锁的出现而减少计数器值。应当理解,提供这些示例仅出于示例的目的而不以任何方式进行限制,并且安全策略单元128可以配置用于以其他方式调整计数器值并且计数器值可以以其他方式指示已经出现的、关于该接入点的安全性激活死锁的数目。计数器值可以存储在存储器122中。如果没有与接入点104相关联的先前存在的计数器值,则安全策略单元128可以配置用于生成新的计数器值并且适当地设置该值(例如,将该值设置到1以表示出现了一个关于接入点104的安全性激活死锁)。可以根据安全策略单元128配置用于所施加的确保计数器值刷新的策略来清除和/或重置存储在存储器122中的计数器值。例如,安全策略单元128可以配置用于周期地、在终端102重新供电之后、在针对计数器值记录的最后一个安全性激活死锁之后的预定时间量和/或其他策略来重置计数器值。
在本发明的一些实施方式中,安全策略单元128进一步配置用于确定已经出现关于接入点104的预定数目的安全性激活死锁。在这方面,安全策略单元128可以配置用于确定针对接入点104的计数器值是否具有与预定数目的预定关系以确定是否出现关于接入点104的预定数目的安全性激活死锁。例如,如果计数器值存储了已经出现的安全性激活死锁的数目并且在出现安全性激活死锁之后由安全策略单元128增加,则安全策略单元128可以配置用于确定计数器值是否等于预定数目。在另一示例中,如果安全策略单元128将计数器值设置到预定数目的初始值并且在出现安全性激活死锁之后减少该计数器值,则安全策略单元128可以配置用于确定该计数器值是否等于零。然而应当理解,这些示例仅提供作为示例并不通过任何方式进行限制,并且安全策略单元128可以配置用于将计数器值设置到其他初始值,在出现安全性激活死锁之后以其他方式调整计时器值,以及确定计数器值是否具有与预定数目的其他预定关系。如果安全策略单元128确定已经出现预定数目的安全性激活死锁,则安全策略单元128可以配置用于至少部分地基于该确定将接入点标识为欺骗接入点。安全策略单元128可以配置用于使得通信接口124自主地释放与欺骗接入点的无线电连接,并且防止与标识为欺骗接入点的接入点104将来建立无线电连接。
在一些实施方式中,安全策略单元128配置用于维持被标识为欺骗接入点的接入点104的黑名单。安全策略单元128可以配置用于将该黑名单存储到存储器122中。当选择要连接的接入点时(例如,基于测量报告或其他标准),安全策略单元128可以配置用于当选择要连接的接入点104时不选择黑名单中的接入点104。安全策略单元128可以配置用于根据安全策略单元128配置用于施加的策略来清除黑名单和/或从黑名单中移除接入点104。例如,安全策略单元128可以配置用于在终端102重新供电之后清除黑名单。在另一示例中,安全策略单元128可以配置用于在向黑名单添加了接入点104起已经逝去预定时间量之后从黑名单移除接入点104。
当安全策略单元128将接入点104标识为欺骗接入点时,安全策略单元128可以进一步配置用于当选择用于与之建立连接的新接入点104时忽视由欺骗接入点104向终端102提供的邻近接入点104的任何列表。在这方面,安全策略单元128可以通过鼓励终端102选择要连接的另一欺骗接入点来缓和欺骗接入点104对终端102拒绝服务的任何尝试。
在一些实施方式中,安全策略单元128进一步配置用于维护受信接入点104的白名单(诸如可以存储在存储器122中)。当安全策略单元128成功验证接入点104的接入层安全性的激活时(例如,包括在所接收SMC消息中的完整性保护信息被验证为有效),安全策略单元128可以向白名单添加该接入点104。安全策略单元128可以配置用于根据安全策略单元128配置用于施加的策略来清除白名单和/或从白名单中移除接入点104。例如,安全策略单元128可以配置用于在终端102重新供电之后清除白名单。在另一示例中,安全策略单元128可以配置用于在向白名单添加了接入点104起逝去预定时间量之后从白名单中移除接入点104。在另一示例中,安全策略单元128可以配置用于如果安全策略单元128稍后将接入点104标识为欺骗接入点则从白列表中移除接入点104。安全策略单元128可以配置用于如果接入点104在白名单中,则即便已经出现预定数目的、关于接入点104的安全性激活死锁也不向黑名单添加该接入点104。
图3图示了根据本发明示例性实施方式的、可以在终端与接入点之间根据用于避免欺骗接入点拒绝服务攻击的示例性方法交换信号的信号传输图。在操作300处,通信接口124可以接收接入点104传输的SMC消息。安全策略单元128继而可以至少部分地基于包括在所接收的、由接入点发送的安全性模式命令消息中的完整性保护信息来尝试验证该接入点的接入层安全性的激活。当安全策略单元128验证接入层安全性的激活失败时,在操作310处,安全策略单元128可以配置用于向接入点104传输安全性模式失败消息。操作320可以包括安全策略单元128启动死锁计时器。安全策略单元128继而可以在死锁计时器期满之后在操作330处确定已经出现的安全性激活死锁。
图4图示了根据示例性方法的流程图,用于根据本发明的示例性实施方式避免欺骗接入点的拒绝服务攻击。在这方面,图4图示了可以由安全策略单元128执行的操作。该方法可以包括在操作400处安全策略单元128尝试验证与其建立无线电连接的接入点104的接入层安全性的激活。操作410可以包括安全策略单元128检测安全性激活死锁的出现。安全策略单元128继而可以在操作420处确定已经出现关于接入点104的预定数目的安全性激活死锁。操作430可以包括安全策略单元128将接入点104标识为欺骗接入点。安全策略单元128继而可以在操作440处使得通信接口124自主地释放与接入点104的无线电连接,然后可以选择另一接入点104并建立与该选定接入点104的连接。然而应当理解,本发明的实施方式不限于图4中所示以及上文所述步骤的顺序。因此,例如安全策略单元128可以配置用于在检测出现安全性激活死锁之后(例如,在操作420之前和/或在操作430之前)的任意点使得释放与该接入点104的无线电连接。
图5图示了根据示例性方法的流程图,用于根据本发明的示例性实施方式避免欺骗接入点的拒绝服务攻击。在这方面,图5图示了可以由安全策略单元128执行的操作。操作500可以包括安全策略单元128尝试验证与其建立无线电连接的接入点104的接入层安全性的激活。在操作510处,安全策略单元128继而可以在验证接入层安全性的激活失败之后使得向接入点104传输安全性模式失败消息。操作520可以包括安全策略单元128响应于安全性模式失败消息的传输而设置死锁计时器。在操作530处,安全策略单元128继而可以在死锁计时器期满之后检测安全性激活死锁的出现(例如,在死锁计时器期满之后接入点104没有释放无线电连接)。操作540可以包括安全策略单元128增加计数器值,该计数器值指示了已经出现的、关于接入点104的安全性激活死锁的数目。在操作550处,安全策略单元128继而可以确定计数器值是否等于预定数目。在操作560处,当安全策略单元128确定计数器值等于预定数目时,安全策略单元128可以向黑名单添加该接入点104。应当理解,操作540-560仅通过示例的方式提供并且不以任何方式进行限制,增量是安全策略单元128如何可以配置用于响应于确定安全性激活死锁的出现而调整计数器值的一个示例。在其他实施方式中,例如安全策略单元128可以将计数器值初始设置到预定数目并且在每次出现安全性激活死锁之后减少计数器值直到计数器到达零,然后安全策略单元128可以向黑名单添加该接入点。操作570可以包括安全策略单元128使得自主地释放与接入点104的无线电连接。在操作580处,安全策略单元128继而可以使得接入点104的空闲模式选择不在黑名单中,诸如根据在终端102上实现的选择策略(例如,至少部分地基于测量报告)。如果接入点104没有在黑名单中,则选定的接入点104可以包括与其刚刚释放无线电连接相同的接入点104。然而应当理解,本发明的实施方式不限于图5中所示以及上文所述步骤的顺序。例如,安全策略单元128可以配置用于在检测安全性激活死锁出现之后的任意点使得释放与接入点104的无线电连接。因此,操作570可以在操作640之后的任意点出现并且不限于在操作550之后出现。
图6图示了根据示例性方法的流程图,用于根据本发明的示例性实施方式避免欺骗接入点的拒绝服务攻击。在这方面,图6图示了可以由终端102执行的操作。操作600可以包括终端102与接入点104建立无线电连接(例如,RRC连接)。在操作610处,终端102继而可以接收由接入点104传输的安全性模式命令消息。操作620可以包括终端102至少部分地基于包括在SMC消息中的完整性保护信息来尝试验证接入点104的接入层安全性的激活。在操作630处,终端102继而可以在尝试验证接入层安全性的激活失败之后向接入点104发送安全性模式失败消息。操作640可以包括终端102检测安全性激活死锁的出现。在操作650处,终端102继而可以确定已经出现关于接入点104的预定数目的安全性激活死锁。操作660可以包括终端102向黑名单添加接入点104。在操作670处,终端102继而可以自主地释放与接入点104的无线电连接。操作680可以包括终端102选择没有在黑名单中的接入点并且与该选定接入点建立连接。然而应当理解,本发明的实施方式不限于图6中所示以及上文所述步骤的顺序。例如,终端102可以配置用于在检测安全性激活死锁的出现之后的任意点自主地释放与接入点104的无线电连接。因此,操作670可以出现在操作640之后的任意点并且不限于在操作660之后出现。
图7图示了根据示例性方法的流程图,用于根据本发明的示例性实施方式避免欺骗接入点的拒绝服务攻击。操作700可以包括安全策略单元128成功地验证了接入点104的接入层安全性的激活。在操作710处,安全策略单元128继而可以向受信接入点的白名单添加该接入点104。
图4至图7是根据本发明的示例性实施方式的系统、方法和计算机程序产品的流程图。应当理解的是,所述流程图的每个方框或步骤和流程图中的方框组合都可以通过多种措施来实施,诸如硬件和/或包括其上存储有计算机可读程序指令的一个或更多计算机可读介质的计算机程序产品。例如,这里所描述的一个或更多规程可以通过计算机程序指令的计算机程序产品来体现。在这方面,体现这里所描述的规程的(多个)计算机程序产品可以由移动终端、服务器或其他计算设备的一个或更多存储器设备存储并且由计算设备中的处理器执行。在一些实施方式中,构成体现前面所描述的规程的(多个)计算机程序产品的计算机程序指令可以由多个计算设备的存储器设备存储。应当认识到,任何此类计算机程序产品都可以被加载到计算机或其他可编程设备上以便产生一台机器,从而使得包括在计算机或其他可编程设备上执行的指令的计算机程序产品产生用于实施在(多个)流程图方框或步骤中指定的功能的装置。此外,所述计算机程序产品可以包括其上可以存储计算机程序指令的一个或更多计算机可读存储器,从而所述一个或更多计算机可读存储器可以指导计算机或其他可编程设备按照特定方式运作,从而所述计算机程序产品构成实施在(多个)流程图方框或步骤中指定的功能的制造产品。一个或更多计算机程序产品的计算机程序指令也可以被加载到计算机或其他可编程设备上,从而使得在计算机或其他可编程设备上执行一系列操作步骤,以便产生计算机实施的处理,从而在计算机或其他可编程设备上执行的指令提供用于实施流程图方框或步骤中指定功能的步骤。
相应地,流程图的方框或步骤支持用于执行指定的功能的装置组合以及用于执行指定的功能的步骤组合。还应当理解的是,所述流程图的一个或更多方框或步骤以及流程图中的方框或步骤组合可以通过执行指定的功能或步骤的基于专用硬件的计算机系统或者专用硬件与(多个)计算机程序产品的组合来实施。
可以通过许多方式来实施前面描述的功能。例如,可以采用实施前面描述的每一项功能的任何适当装置来实施本发明的实施方式。在一个实施方式中,一个适当配置的处理器可以提供本发明的所有或一部分元件。在另一实施方式中,本发明的所有或一部分元件可以由计算机程序产品配置并且在其控制下操作。用于执行本发明的实施方式的方法的计算机程序产品包括计算机可读存储介质(诸如非易失性存储介质)以及体现在计算机可读存储介质中的计算机可读程序代码部分(诸如一系列计算机指令)。
继而因此,本发明的一些实施方式向计算设备、计算设备用户和网络操作者提供了若干优势。本发明的实施方式提供了配置用于确定验证接入点的接入层安全性的激活失败之后出现安全性激活死锁的终端。本发明的实施方式还提供了配置用于在出现预定数目的、关于接入点的安全性激活死锁之后将接入点标识为欺骗接入点的终端,使得该终端可以自主地释放与该接入点的连接并且选择另一接入点。本发明的一些实施方式提供了在出现预定数目的安全性激活死锁之后向其添加接入点的黑名单,使得终端将不再尝试将来与黑名单中的接入点连接。因此,本发明的实施方式缓和了欺骗接入点的拒绝服务攻击。
受益于在前面的描述和附图中给出的教导,本发明的相关领域内的技术人员将会想到这里所阐述的本发明的许多修改和其他实施方式。因此应当理解的是,本发明的实施方式不限于所公开的具体实施方式,并且应当把修改和其他实施方式包括在所附权利要求书的范围内。此外,虽然前面的描述和相关联的附图在元件和/或功能的特定示例性组合的情境中描述了示例性实施方式,但是应当认识到,在不背离所附权利要求书的范围的情况下,可以由替换实施方式提供元件和/或功能的不同组合。在这方面,例如还设想到可以在其中一些所附权利要求中阐述不同于前面明确描述的元件和/或功能组合。虽然在这里采用了的特定术语,但其仅是以一般性和描述性的意义来使用的,而不是为了进行限制。
Claims (20)
1.一种方法,包括:
至少部分地基于包括在所接收的、由接入点发送的安全性模式命令消息中的完整性保护信息来尝试验证所述接入点的接入层安全性的激活,其中已经与所述接入点建立了无线电连接;
检测安全性激活死锁的出现;
确定已经出现关于所述接入点的预定数目的安全性激活死锁;以及
至少部分地基于已经出现关于所述接入点的预定数目的安全性激活死锁的确定来将所述接入点标识为欺骗接入点。
2.根据权利要求1所述的方法,其中将所述接入点标识为欺骗接入点包括向黑名单添加所述接入点,从而使得当所述接入点在所述黑名单上时将不尝试与所述接入点的将来连接。
3.根据权利要求1所述的方法,其中检测所述安全性激活死锁的出现包括在向所述接入点传输安全性模式失败消息之后、在等待所述接入点释放所述无线电连接时检测已经出现死锁。
4.根据权利要求3所述的方法,其中检测所述安全性激活死锁的出现包括:
响应于向所述接入点传输所述安全性模式失败消息而设置死锁计时器;以及
当所述死锁计时器期满之后所述接入点还没有释放所述无线电连接时,检测已经出现安全性激活死锁。
5.根据权利要求3所述的方法,进一步包括调整指示在检测所述安全性激活死锁之后已经出现的、关于所述接入点的安全性激活死锁的数目;以及
其中确定已经出现关于所述接入点的预定数目的安全性激活死锁包括确定所述计数器值具有与所述预定数目的预定关系。
6.根据权利要求1所述的方法,进一步包括使得在将所述接入点标识为欺骗接入点之后与不同接入点建立无线电连接。
7.根据权利要求1所述的方法,进一步包括维护先前已经验证具有激活接入层安全性的接入点的白名单,其中当选择接入点时优选给予所述白名单中的接入点。
8.一种装置,包括至少一个处理器和存储了计算机程序代码的至少一个存储器,其中所述至少一个存储器和存储的计算机程序代码配置用于与所述至少一个处理器一起使得所述装置至少用于:
至少部分地基于包括在所接收的、由接入点发送的安全性模式命令消息中的完整性保护信息来尝试验证所述接入点的接入层安全性的激活,其中已经与所述接入点建立了无线电连接;
检测安全性激活死锁的出现;
确定已经出现关于所述接入点的预定数目的安全性激活死锁;以及
至少部分地基于已经出现关于所述接入点的预定数目的安全性激活死锁的确定来将所述接入点标识为欺骗接入点。
9.根据权利要求8所述的装置,其中所述至少一个存储器和存储的计算机程序代码配置用于与所述至少一个处理器一起使得所述装置通过向黑名单添加所述接入点来将所述接入点标识为欺骗接入点,从而使得当所述接入点在所述黑名单上时将不尝试与所述接入点的将来连接。
10.根据权利要求8所述的装置,其中所述至少一个存储器和存储的计算机程序代码配置用于与所述至少一个处理器一起使得所述装置通过在向所述接入点传输安全性模式失败消息之后,在等待所述接入点释放所述无线电连接时检测已经出现的死锁来检测所述安全性激活死锁的出现。
11.根据权利要求10所述的装置,其中所述至少一个存储器和存储的计算机程序代码配置用于与所述至少一个处理器一起使得所述装置通过下列步骤检测所述安全性激活死锁的出现:
响应于向所述接入点传输所述安全性模式失败消息而设置死锁计时器;以及
当所述死锁计时器期满之后所述接入点还没有释放所述无线电连接时,检测已经出现安全性激活死锁。
12.根据权利要求10所述的装置,其中所述至少一个存储器和存储的计算机程序代码配置用于与所述至少一个处理器一起进一步使得所述装置调整计数器值,所述计数器值指示在检测所述安全性激活死锁之后已经出现的、关于所述接入点的安全性激活死锁的数目;以及
其中所述至少一个存储器和存储的计算机程序代码配置用于与所述至少一个处理器一起使得所述装置确定已经出现关于所述接入点的预定数目的安全性激活死锁包括确定所述计数器值具有与所述预定数目的预定关系。
13.根据权利要求8所述的装置,其中所述至少一个存储器和存储的计算机程序代码配置用于与所述至少一个处理器一起进一步使得所述装置在将所述接入点标识为欺骗接入点之后与不同接入点建立无线电连接。
14.根据权利要求8所述的装置,其中所述至少一个存储器和存储的计算机程序代码配置用于与所述至少一个处理器一起进一步使得所述装置维护先前已经验证具有激活接入层安全性的接入点的白名单,其中当选择接入点时优选给予所述白名单中的接入点。
15.根据权利要求8所述的装置,其中所述装置包括移动电话、包括用户接口电路的移动电话和存储在所述至少一个存储器的一个或多个上的用户接口软件或者在其上体现;其中所述用户接口电路和用户接口软件配置用于:
通过使用显示器促进所述移动电话的至少某些功能的用户控制;以及
使得所述移动电话的用户接口的至少一部分显示在显示器上以促进所述移动电话的至少某些功能的用户控制。
16.一种计算机程序产品,包括其中存储有计算机可读程序指令的至少一个计算机可读存储介质,所述计算机可读程序指令包括:
配置用于至少部分地基于包括在所接收的、由接入点发送的安全性模式命令消息中的完整性保护信息来尝试验证所述接入点的接入层安全性的激活的程序指令,其中已经与所述接入点建立了无线电连接;
配置用于检测安全性激活死锁的出现的程序指令;
配置用于确定已经出现关于所述接入点的预定数目的安全性激活死锁的程序指令;以及
配置用于至少部分地基于已经出现关于所述接入点的预定数目的安全性激活死锁的确定来将所述接入点标识为欺骗接入点的程序指令。
17.根据权利要求16所述的计算机程序产品,其中配置用于将所述接入点标识为欺骗接入点的程序指令包括配置用于向黑名单添加所述接入点的程序指令,使得当所述接入点在所述黑名单上时将不尝试与所述接入点的将来连接。
18.根据权利要求16所述的计算机程序产品,其中配置用于检测所述安全性激活死锁的出现的程序指令包括配置用于在向所述接入点传输安全性模式失败消息之后,在等待所述接入点释放所述无线电连接时检测已经出现死锁的程序指令。
19.根据权利要求16所述的计算机程序产品,进一步包括配置用于使得在将所述接入点标识为欺骗接入点之后与不同接入点建立无线电连接的程序指令。
20.根据权利要求16所述的计算机程序产品,进一步包括配置用于维护先前已经验证具有激活接入层安全性的接入点的白名单程序指令,其中当选择接入点时优选给予所述白名单中的接入点。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/IB2009/052723 WO2010150052A2 (en) | 2009-06-24 | 2009-06-24 | Methods and apparatuses for avoiding denial of service attacks by rogue access points |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102804829A true CN102804829A (zh) | 2012-11-28 |
Family
ID=43385685
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009801600927A Pending CN102804829A (zh) | 2009-06-24 | 2009-06-24 | 用于避免欺骗接入点的拒绝服务攻击的方法和装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20120096519A1 (zh) |
| EP (1) | EP2446654A2 (zh) |
| CN (1) | CN102804829A (zh) |
| WO (1) | WO2010150052A2 (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104123498A (zh) * | 2014-07-18 | 2014-10-29 | 广州金山网络科技有限公司 | 一种安卓系统Activity的安全性确定方法及装置 |
| CN104580152A (zh) * | 2014-12-03 | 2015-04-29 | 中国科学院信息工程研究所 | 一种防护wifi钓鱼的保护方法及系统 |
| CN104703184A (zh) * | 2015-02-12 | 2015-06-10 | 中山大学 | 一种安全的WiFi热点信息发布方法 |
| CN105191355A (zh) * | 2013-03-19 | 2015-12-23 | 高通股份有限公司 | 用于提供接入终端中的uicc与处理器之间的支持uicc作出的异步命令处理的接口的方法和装置 |
| CN105636048A (zh) * | 2014-11-04 | 2016-06-01 | 中兴通讯股份有限公司 | 一种终端及其识别伪基站的方法、装置 |
| CN107404723A (zh) * | 2016-05-20 | 2017-11-28 | 北京小米移动软件有限公司 | 一种接入基站的方法和装置 |
| WO2019095746A1 (zh) * | 2017-11-17 | 2019-05-23 | 中兴通讯股份有限公司 | 拒绝接入方法、装置及系统、存储介质和处理器 |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101895962A (zh) * | 2010-08-05 | 2010-11-24 | 华为终端有限公司 | Wi-Fi接入方法、接入点及Wi-Fi接入系统 |
| EP2846586B1 (en) * | 2013-09-06 | 2018-11-28 | Fujitsu Limited | A method of accessing a network securely from a personal device, a corporate server and an access point |
| US10085328B2 (en) | 2014-08-11 | 2018-09-25 | RAB Lighting Inc. | Wireless lighting control systems and methods |
| US10531545B2 (en) | 2014-08-11 | 2020-01-07 | RAB Lighting Inc. | Commissioning a configurable user control device for a lighting control system |
| US10039174B2 (en) | 2014-08-11 | 2018-07-31 | RAB Lighting Inc. | Systems and methods for acknowledging broadcast messages in a wireless lighting control network |
| EP3035740A1 (en) * | 2014-12-19 | 2016-06-22 | Gemalto M2M GmbH | Method for operating a wireless communication device in a cellular network |
| CN105163368A (zh) * | 2015-07-31 | 2015-12-16 | 腾讯科技(深圳)有限公司 | 一种无线网络接入方法和装置 |
| CN106713061B (zh) * | 2015-11-17 | 2020-12-01 | 阿里巴巴集团控股有限公司 | 监测攻击报文的方法、系统及装置 |
| CN105517101A (zh) * | 2015-12-09 | 2016-04-20 | 广东顺德中山大学卡内基梅隆大学国际联合研究院 | Wi-Fi热点SSID信息的分类显示方法及系统 |
| CN108293259B (zh) * | 2015-12-28 | 2021-02-12 | 华为技术有限公司 | 一种nas消息处理、小区列表更新方法及设备 |
| US10051473B2 (en) | 2016-08-12 | 2018-08-14 | Apple Inc. | Secure connection release and network redirection |
| DE102017214126B4 (de) * | 2016-08-12 | 2020-12-31 | Apple Inc. | Sichere Verbindungsfreigabe und Netzwerkumleitung |
| CN106412915A (zh) * | 2016-10-31 | 2017-02-15 | 宇龙计算机通信科技(深圳)有限公司 | 伪无线接入点识别方法及系统 |
| US10492071B1 (en) | 2018-10-31 | 2019-11-26 | Hewlett Packard Enterprise Development Lp | Determining client device authenticity |
| US10972508B1 (en) * | 2018-11-30 | 2021-04-06 | Juniper Networks, Inc. | Generating a network security policy based on behavior detected after identification of malicious behavior |
| US11240006B2 (en) * | 2019-03-25 | 2022-02-01 | Micron Technology, Inc. | Secure communication for a key exchange |
Family Cites Families (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2002343424A1 (en) * | 2001-09-28 | 2003-04-14 | Bluesocket, Inc. | Method and system for managing data traffic in wireless networks |
| CA2479166A1 (en) * | 2002-03-27 | 2003-10-09 | International Business Machines Corporation | Methods apparatus and program products for wireless access points |
| US20040078598A1 (en) * | 2002-05-04 | 2004-04-22 | Instant802 Networks Inc. | Key management and control of wireless network access points at a central server |
| US7068999B2 (en) * | 2002-08-02 | 2006-06-27 | Symbol Technologies, Inc. | System and method for detection of a rogue wireless access point in a wireless communication network |
| US7316031B2 (en) * | 2002-09-06 | 2008-01-01 | Capital One Financial Corporation | System and method for remotely monitoring wireless networks |
| US7295119B2 (en) * | 2003-01-22 | 2007-11-13 | Wireless Valley Communications, Inc. | System and method for indicating the presence or physical location of persons or devices in a site specific representation of a physical environment |
| US7295524B1 (en) * | 2003-02-18 | 2007-11-13 | Airwave Wireless, Inc | Methods, apparatuses and systems facilitating management of airspace in wireless computer network environments |
| US7453840B1 (en) * | 2003-06-30 | 2008-11-18 | Cisco Systems, Inc. | Containment of rogue systems in wireless network environments |
| US7257107B2 (en) * | 2003-07-15 | 2007-08-14 | Highwall Technologies, Llc | Device and method for detecting unauthorized, “rogue” wireless LAN access points |
| US7286515B2 (en) * | 2003-07-28 | 2007-10-23 | Cisco Technology, Inc. | Method, apparatus, and software product for detecting rogue access points in a wireless network |
| US7882349B2 (en) * | 2003-10-16 | 2011-02-01 | Cisco Technology, Inc. | Insider attack defense for network client validation of network management frames |
| US7558960B2 (en) * | 2003-10-16 | 2009-07-07 | Cisco Technology, Inc. | Network infrastructure validation of network management frames |
| KR100628325B1 (ko) * | 2004-12-20 | 2006-09-27 | 한국전자통신연구원 | 무선 네트워크에 대한 공격을 탐지하기 위한 침입 탐지센서 및 무선 네트워크 침입 탐지 시스템 및 방법 |
| US8132018B2 (en) * | 2005-06-30 | 2012-03-06 | Intel Corporation | Techniques for password attack mitigation |
| US7486666B2 (en) * | 2005-07-28 | 2009-02-03 | Symbol Technologies, Inc. | Rogue AP roaming prevention |
| US8230221B2 (en) * | 2005-08-15 | 2012-07-24 | Telefonaktiebolaget L M Ericsson (Publ) | Routing advertisement authentication in fast router discovery |
| US7716740B2 (en) * | 2005-10-05 | 2010-05-11 | Alcatel Lucent | Rogue access point detection in wireless networks |
| US8023478B2 (en) * | 2006-03-06 | 2011-09-20 | Cisco Technology, Inc. | System and method for securing mesh access points in a wireless mesh network, including rapid roaming |
| US7809354B2 (en) * | 2006-03-16 | 2010-10-05 | Cisco Technology, Inc. | Detecting address spoofing in wireless network environments |
| JP4229148B2 (ja) * | 2006-07-03 | 2009-02-25 | 沖電気工業株式会社 | 不正アクセスポイント接続阻止方法、アクセスポイント装置及び無線lanシステム |
| US20080250500A1 (en) * | 2007-04-05 | 2008-10-09 | Cisco Technology, Inc. | Man-In-The-Middle Attack Detection in Wireless Networks |
-
2009
- 2009-06-24 US US13/378,247 patent/US20120096519A1/en not_active Abandoned
- 2009-06-24 WO PCT/IB2009/052723 patent/WO2010150052A2/en active Application Filing
- 2009-06-24 EP EP09838033A patent/EP2446654A2/en not_active Withdrawn
- 2009-06-24 CN CN2009801600927A patent/CN102804829A/zh active Pending
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105191355A (zh) * | 2013-03-19 | 2015-12-23 | 高通股份有限公司 | 用于提供接入终端中的uicc与处理器之间的支持uicc作出的异步命令处理的接口的方法和装置 |
| CN105191355B (zh) * | 2013-03-19 | 2018-11-16 | 高通股份有限公司 | 用于支持接入终端处的uicc作出的异步命令处理的方法和装置 |
| CN104123498B (zh) * | 2014-07-18 | 2017-12-05 | 广州猎豹网络科技有限公司 | 一种安卓系统Activity的安全性确定方法及装置 |
| CN104123498A (zh) * | 2014-07-18 | 2014-10-29 | 广州金山网络科技有限公司 | 一种安卓系统Activity的安全性确定方法及装置 |
| CN105636048A (zh) * | 2014-11-04 | 2016-06-01 | 中兴通讯股份有限公司 | 一种终端及其识别伪基站的方法、装置 |
| CN105636048B (zh) * | 2014-11-04 | 2021-02-09 | 中兴通讯股份有限公司 | 一种终端及其识别伪基站的方法、装置 |
| CN104580152A (zh) * | 2014-12-03 | 2015-04-29 | 中国科学院信息工程研究所 | 一种防护wifi钓鱼的保护方法及系统 |
| CN104703184A (zh) * | 2015-02-12 | 2015-06-10 | 中山大学 | 一种安全的WiFi热点信息发布方法 |
| CN104703184B (zh) * | 2015-02-12 | 2018-08-14 | 中山大学 | 一种安全的WiFi热点信息发布方法 |
| CN107404723A (zh) * | 2016-05-20 | 2017-11-28 | 北京小米移动软件有限公司 | 一种接入基站的方法和装置 |
| CN107404723B (zh) * | 2016-05-20 | 2020-08-21 | 北京小米移动软件有限公司 | 一种接入基站的方法和装置 |
| WO2019095746A1 (zh) * | 2017-11-17 | 2019-05-23 | 中兴通讯股份有限公司 | 拒绝接入方法、装置及系统、存储介质和处理器 |
| RU2746890C1 (ru) * | 2017-11-17 | 2021-04-21 | Зтэ Корпорейшн | Способ, устройство и система отклонения доступа, носитель информации и процессор |
| US11516727B2 (en) | 2017-11-17 | 2022-11-29 | Zte Corporation | Access rejection method, apparatus and system, and storage medium and processor |
| US11716673B2 (en) | 2017-11-17 | 2023-08-01 | Zte Corporation | Access rejection method, apparatus and system, and storage medium and processor |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2446654A2 (en) | 2012-05-02 |
| WO2010150052A3 (en) | 2011-04-07 |
| US20120096519A1 (en) | 2012-04-19 |
| WO2010150052A2 (en) | 2010-12-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102804829A (zh) | 用于避免欺骗接入点的拒绝服务攻击的方法和装置 | |
| TWI311013B (en) | System and method for preventing use of a wireless device | |
| EP3039897B1 (en) | Adaptive security indicator for wireless devices | |
| CN101548503B (zh) | 为移动操作环境提供安全的应用程序间通信 | |
| EP2449748B1 (en) | Systems, methods, and apparatuses for ciphering error detection and recovery | |
| TW202110225A (zh) | 用以處理非公共網路中無完整性保護拒絕訊息之方法及設備 | |
| CN102318386B (zh) | 向网络的基于服务的认证 | |
| US9363672B2 (en) | Method and network node device for controlling the run of technology specific push-button configuration sessions within a heterogeneous or homogenous wireless network and heterogeneous or homogenous wireless network | |
| JP2016541082A (ja) | 接続管理方法、装置、電子設備、プログラム、及び記録媒体 | |
| WO2015061566A1 (en) | Peer based authentication | |
| WO2012094399A2 (en) | Method and system for out-of-band delivery of wireless network credentials | |
| JP2021534662A (ja) | 無線通信ネットワークにおける非アクセス階層通信の保護 | |
| CN113302962A (zh) | 无线装置的无线电接入能力 | |
| WO2018136087A1 (en) | Multiple remote attestation service for cloud-based systems | |
| US20150358334A1 (en) | Method for authenticating a client program by a remote data processing system | |
| EP2907330B1 (en) | Method and apparatus for disabling algorithms in a device | |
| US10536443B2 (en) | Licensing authentication via intermediary | |
| WO2017209885A1 (en) | Communications security systems and methods | |
| JP5246029B2 (ja) | 無線通信システム | |
| EP3163488B1 (en) | Message sender authentication | |
| WO2018014555A1 (zh) | 数据传输控制方法及装置 | |
| WO2019060308A1 (en) | ENHANCED AUTHENTICATION ASSISTED BY PEERS | |
| TW201933904A (zh) | 支援無線網路切換的可靠伺服管理方法以及裝置 | |
| Sivakumaran | Security and Privacy in Bluetooth Low Energy | |
| US20230112126A1 (en) | Core network transformation authenticator |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20121128 |