CN117914510A - 缓解设备配给协议(dpp)网络中的拒绝服务攻击 - Google Patents
缓解设备配给协议(dpp)网络中的拒绝服务攻击 Download PDFInfo
- Publication number
- CN117914510A CN117914510A CN202311194660.3A CN202311194660A CN117914510A CN 117914510 A CN117914510 A CN 117914510A CN 202311194660 A CN202311194660 A CN 202311194660A CN 117914510 A CN117914510 A CN 117914510A
- Authority
- CN
- China
- Prior art keywords
- chirp
- iot device
- dpp
- configurator
- receiving
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000000116 mitigating effect Effects 0.000 title abstract description 14
- 230000004044 response Effects 0.000 claims abstract description 89
- 238000004891 communication Methods 0.000 claims abstract description 58
- 238000000034 method Methods 0.000 claims abstract description 47
- 238000013475 authorization Methods 0.000 claims abstract description 34
- 238000012795 verification Methods 0.000 claims description 16
- 238000012544 monitoring process Methods 0.000 claims description 12
- 238000010586 diagram Methods 0.000 description 26
- 230000008569 process Effects 0.000 description 16
- 230000006870 function Effects 0.000 description 10
- 230000003287 optical effect Effects 0.000 description 9
- 230000005540 biological transmission Effects 0.000 description 7
- 230000003993 interaction Effects 0.000 description 6
- 238000013507 mapping Methods 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- 230000007246 mechanism Effects 0.000 description 5
- 230000010267 cellular communication Effects 0.000 description 4
- 238000012360 testing method Methods 0.000 description 4
- 238000003491 array Methods 0.000 description 3
- 238000013500 data storage Methods 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 101100161473 Arabidopsis thaliana ABCB25 gene Proteins 0.000 description 2
- 235000008694 Humulus lupulus Nutrition 0.000 description 2
- 101100096893 Mus musculus Sult2a1 gene Proteins 0.000 description 2
- 101150081243 STA1 gene Proteins 0.000 description 2
- 230000009471 action Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 230000004927 fusion Effects 0.000 description 2
- 238000012806 monitoring device Methods 0.000 description 2
- 230000000737 periodic effect Effects 0.000 description 2
- 230000001902 propagating effect Effects 0.000 description 2
- 230000000246 remedial effect Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- RYGMFSIKBFXOCR-UHFFFAOYSA-N Copper Chemical compound [Cu] RYGMFSIKBFXOCR-UHFFFAOYSA-N 0.000 description 1
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 230000003044 adaptive effect Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 230000006837 decompression Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000000060 site-specific infrared dichroism spectroscopy Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000010561 standard procedure Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 210000003813 thumb Anatomy 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/141—Denial of service attacks against endpoints in a network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本公开实施例涉及缓解设备配给协议(DPP)网络中的拒绝服务攻击。提供了用于缓解拒绝服务攻击的系统和方法,该拒绝服务攻击可以扰乱将物联网(IoT)设备登入到网络上并确保合法的IoT设备被登入的系统和方法。示例实现包括在接入点(AP)处从设备接收啁啾信号,该啁啾信号包含包括IoT设备的第一公钥的数据散列。在验证第一公钥时,AP基于从认证器接收的第一公钥来生成上下文。该上下文包括用于登入IoT设备的信息,而无需在AP、配置器和认证器之间不进行后续通信。AP可以使用该上下文来响应于啁啾信号,创建和传输认证授权请求。在一些示例中,啁啾表可以由配置器创建,用于追踪服务AP。啁啾表可用于根据需要针对未来的啁啾信号配给AP。
Description
背景技术
物联网(IoT)设备是连接到互联网以向其他设备传输数据的硬件设备。IoT设备的示例可以包括但不限于传感器、执行器、小工具、电器或支持互联网连接的机器。IoT设备通常配备有连接到互联网的互联网协议(在下文中称为“IP”)地址。可以使用诸如设备配给协议(DPP)的协议来执行配给和将IoT设备连接到无线网络。DPP是Wi-Fi联盟颁布的机制,Wi-Fi联盟是全球公司网络,旨在推动全球Wi-Fi的采用。一旦连接到互联网,IoT设备就能够通过无线网络(例如,Wi-Fi网络)传输数据和/或接收控制信号。
附图说明
根据一个或多个不同实现,参考以下附图详细描述了本公开。这些附图仅用于说明目的而提供,并且仅描述了典型或示例实现。
图1是根据本文公开的实现,用于使用设备配给协议(DPP)实现IoT设备到无线网络的登入的系统。
图2示出了描述IoT设备登入的操作序列的消息流程图。
图3示出了描述示例拒绝服务(DoS)攻击的操作序列的消息流程图300。
图4示出了根据本文公开的实现,描述在将IoT设备登入到无线网络时缓解DoS攻击的操作序列的消息流程图。
图5A和图5B示出了根据本文公开的实现,描述用于缓解对无线网络内的多个接入点的DoS攻击的操作序列的消息流程图。
图6是描述根据本文公开的实现,由配置器执行的用于维护DPP啁啾表的操作的方法的流程图。
图7示出了根据本文公开的实现,将监测/测试信息或数据传送到前端网络洞察系统的示例后端网络洞察仪表板系统。
图8是示出根据本文公开的实现,用于缓解网络上的DoS攻击的示例操作的示例流程图。
图9是根据本文公开的实现,可以用于实现DoS攻击缓解的各种特征的示例计算组件。
图10是示出根据本文公开的实现,用于检测网络上的DoS攻击的示例操作的示例流程图。
图11是可以用于实现本公开的DoS检测和缓解的各种特征的示例计算机系统。
这些附图并非详尽无遗,并且不将本公开限于所公开的确切形式。
具体实施方式
当IoT设备(例如,传感器或设备)希望建立网络连通性时,将执行IoT设备配给。IoT设备需要经过认证和配置才能登入网络。一旦通过认证和配置,IoT设备就可以连接到无线网络(例如,Wi-Fi网络)并且执行任何后续登入,例如连接到云平台。
IoT设备的用户界面可能有限或根本不存在,这给IoT设备接入Wi-Fi网络带来了诸多挑战。通常,用户必须从智能电话或单独的计算机手动连接和配置IoT设备。在某些情况下,IoT设备还可能需要无线网络提供方的客户服务代表手动配置IoT设备。对于配给大量IoT设备,这种类型的手动配给是不可取的,因为这将需要数个工时。
此外,在许多情况下,配给机制是不安全的,并且当IoT设备连接到无线网络时,可能存在损害IoT设备中或IoT云平台上的数据的机会。因此,需要一种安全、快速并且用户友好的机制,向IoT设备配给安全凭证,然后使用安全凭证将IoT设备连接到无线网络。
根据本公开的各方面,给出了用于将IoT设备连接到无线网络的示例。在一些示例中,如本文描述的IoT设备的配给和将IoT设备连接到无线网络基于设备配给协议(DPP)。
DPP通过使用经由无线网络中的接入点(AP)与配置器通信的DPP消息来促进未经配给设备的配给,从而克服了登入IoT设备方面的挑战。配置器是向IoT设备配给安全凭证的实体。配置器建立对IoT设备的公共自举(“bootstrapping”)密钥的信任。AP可以作为配置器的代理(即代理设备),并且与认证服务器通信以获取IoT设备的公共自举密钥。然后,在将IoT设备连接到无线网络之前,AP可以使用公共自举密钥对IoT设备进行认证和授权。IoT设备可以基于网络许可经由AP连接到无线网络。
在一些示例中,未经配给的IoT设备的配给可以通过由未经配给的IoT设备传输到AP的DPP存在通知消息(也称为啁啾信号或啁啾)来发起。然而,对DPP存在通知消息的依赖打开了拒绝服务(DoS)攻击的可能性,通过将DPP存在通知消息轰炸到网络上,可以中断DPP网络。DPP存在通知消息包含数据散列,其包括IoT设备的公共自举密钥。即使攻击设备不知道IoT设备的自举密钥,DPP存在通知消息(包括散列)也可以被攻击设备欺骗(“spoof”)。传统上,AP通过向认证服务器发送DPP授权请求消息来响应第一个接收到的DPP存在通知消息,其包括来自DPP存在通知的散列。认证服务器维护包括所有IoT设备的公共自举密钥的啁啾散列的数据库,并且检查该数据库以验证啁啾散列。如果找到匹配,则认证服务器向AP发送IoT设备的公共自举密钥。AP根据公共自举密钥构造DPP认证请求,该DPP认证请求包含从认证服务器获取的公共自举密钥的散列,该DPP认证请求被发送到IoT设备以使用IoT设备才知道的对应私钥进行解码,并且构造DPP认证响应以发送给AP。然而,攻击设备可以发送欺骗的DPP存在通知消息,包括啁啾散列,AP用DPP授权请求来响应该消息。攻击设备无法响应DPP授权请求,因为它不知道IoT设备的私钥;然而,在超时周期过去之前,AP不会响应任何后续的DPP存在通知消息(有效或无效)。因此,有效的IoT设备可能无法配给和登入。此外,攻击设备可以传输重复该过程并且进一步延迟或可能阻止IoT设备登入的多个DPP存在通知消息。
本公开的技术通过改变AP处理接收到的DPP存在通知消息的方式来缓解传统登入过程的上述技术缺陷。根据本文公开的各种实现,AP响应于从认证服务器接收到IoT设备的第一公钥(例如,根据各种实现的公共自举密钥)而生成上下文,作为配给IoT设备的部分。例如,AP可以接收包括数据散列的啁啾信号,数据散列包括IoT设备的第一公钥,并且将啁啾事件消息(例如,指示已经接收到啁啾信号的消息)发送到配置器,配置器配给AP(相同或不同的AP)用于登入与包括在啁啾信号中的散列公共自举密钥相关联的IoT设备。服务AP然后基于啁啾散列从认证服务器接收用于登入相关联的IoT设备的第一公钥。然后,服务AP生成用于与第一公钥(例如,公共自举密钥)对应的IoT设备登入的上下文,该上下文包括实现对应IoT设备登入所需的所有信息。
注意,啁啾信号可能已被AP从相应的IoT设备或欺骗来自该IoT设备的较早啁啾信号的攻击设备接收到。然而,如上所述,攻击设备将不具有IoT的私有自举密钥。
AP使用该上下文通过使用该上下文生成包括第一公钥的散列的认证请求(例如,根据各种实现的DPP认证请求)来响应接收到的啁啾信号。AP响应于接收到的啁啾信号中的每个啁啾信号,将认证请求传送到发送啁啾信号的设备。在从IoT设备接收到啁啾信号的情况下,IoT设备可以使用其第一私钥(例如,私有自举密钥)对认证请求进行解码,并且向AP发送认证响应(例如,在DPP认证请求的情况下,DPP认证响应)。然后,例如,根据DPP协议,AP可以登入到IoT设备。在来自攻击设备的啁啾信号的情况下,攻击设备无法解码散列,并且无法响应。因此,通过响应每个传入的啁啾信号(而不是等待超时周期),即使其啁啾信号同时和/或随后被攻击方发送到AP,IoT设备也可以被登入。在一些实现中,在AP从IoT设备接收到认证响应之后,AP通过抑制发送任何进一步的认证请求和/或报告啁啾事件来忽略包含包括IoT设备的公共自举密钥的数据散列的未来啁啾信号。
在某些情况下,攻击设备或IoT设备可能会通过多个通道跳频,每个通道由不同的AP提供服务。该跳频可以包括在不同的信道上广播啁啾信号,该信号由各个AP接收,AP中的每个AP向配置器发送相应的啁啾事件。如果适用,配置器通过发送啁啾接受消息,同时向其他AP发送啁啾事件拒绝消息,来将AP中的一个AP(本文被称为服务AP)配给为服务啁啾信号。在DPP的单个AP部署中,问题仍然存在,因为攻击方可以用来自多个MAC地址的啁啾消息淹没AP,并且AP无法确定真正的设备。然而,根据本文公开的各种实现,如上所述,接收到啁啾信号的每个AP通过与认证服务器的通信来创建用于啁啾信号的上下文。因此,当服务AP为IoT设备服务(并且忽略进一步的啁啾信号)时,任何其他AP可以类似地忽略来自攻击设备和/或IoT设备的未来啁啾信号。根据示例实现,配置器可以存储啁啾表(在DPP消息的上下文中有时被称为DPP啁啾表),用于追踪哪个AP是服务AP、已经是服务AP并且其中存储了上下文。啁啾表可以用于根据需要为未来啁啾信号的AP提供服务。
本文公开的一些实现可被配置为与可以是基于云的网络洞察系统一起操作或在其权限下操作。根据一些实现的配置器可以是基于云的网络洞察系统的部分,并且可以建立去往/来自网络洞察系统的无线连接,该网络洞察系统进而可以无线连接到网络洞察仪表板系统。也就是说,网络洞察系统可以是连接到配置器或包括配置器的“后端”系统,而网络洞察仪表板系统可以是“前端”系统。后端网络洞察系统可以与配置器和/或AP通信以接收用于监测和追踪网络性能的数据和度量。网络洞察仪表板系统可以接收由后端网络洞察系统收集的关于网络的一个或多个方面的信息或数据,其中AP作为网络的监测或测试方面、在网络上运行的应用等的结果。诸如网络管理员的用户然后可以经由网络洞察仪表板系统来查看或获得这样的信息或数据,例如响应于检测到网络中指示DoS攻击的条件来检测网络上的DoS攻击。可以使用网络洞察仪表板系统来阐述关于用于网络洞察系统检测这种状况的配置的参数(例如,操作参数)或信息。
虽然以下描述是参考DPP消息进行的,但是本公开的范围不应被解释为仅限于DPP的特定协议和/或消息。参考DPP消息被用作其中所公开的技术可用于例如缓解DPP中可能的DoS攻击的潜在来源的特定示例。
图1是根据本文公开的实现,用于使用DPP实现IoT设备到无线网络116的登入的系统100。在一些示例中,系统100可以包括IoT设备102、认证服务器104、一个或多个接入点(AP),诸如AP 106A、106B、106C…106N(以下统称为AP 106)和配置器108。AP 106和配置器108可以经由有线或无线网络彼此通信。在一些实现中,配置器108和AP 106可以共同驻留在同一物理外壳中。例如,配置器108和/或AP 106可以是由它们所提供的服务描述的逻辑实体或功能,并且这些逻辑实体或功能的物理表示或网络部署不需要被限制到物理设备。在初始阶段期间,当IoT设备102未被配给为接入无线网络116时,IoT设备102可以经由AP106使用DPP消息与配置器108通信。一旦被配给,IoT设备102就可以连接到无线网络116。
在示例实现中,系统100可以是分布式设置的部分,例如大学网络或企业网络。在某些情况下,某些企业网络会将IoT设备视为不受信任的设备并且限制网络接入。此类限制可能会限制企业可通过IoT设备实施的应用类型。在一些示例中,如本文描述的由认证服务器104对IoT设备102进行的基于DPP的配给可以确保安全地认证和配置IoT设备102。由认证服务器104进行的基于DPP的配给可以允许用户在将IoT设备102连接到无线网络116之前为其定义接入策略。在各种实现中,配置器108和认证服务器104可以是与企业相关联的云平台的部分。本文使用的术语“网络接入”可以指对诸如无线网络116的无线网络的接入。
无线网络116的示例可以包括但不限于,互联网协议(IP)或非基于IP的无线局域网(WLAN)、城域网络(MAN)、广域网络(WAN)、存储区域网络(SAN)、个人区域网络(PAN)、蜂窝通信网络和互联网。在一些示例中,无线网络116可以包括AP 106以促进数据通信。无线网络上的通信可以根据各种通信协议来执行,例如,但不限于,传输控制协议和互联网协议、用户数据报协议、IEEE 802.11和/或蜂窝通信协议。无线网络116上的通信可以经由无线(例如,Wi-Fi、蜂窝通信、卫星通信、蓝牙等)通信技术来实现。在一些示例中,无线网络116可以经由专用通信链路来启用,专用通信链路包括但不限于经由蓝牙、蜂窝通信、光通信、射频通信等建立的通信链路。
根据一些示例,图1中所示的IoT设备102可以配置有安全凭证,以通过经由AP 106中的一个或多个AP向配置器108传送数据和DPP消息来接入无线网络116。IoT设备102的示例可以包括但不限于,位置标签、活动监测器、所连接的恒温器、监测相机、传感器设备或支持互联网连接的任何电子或机械设备。尽管在图1的系统100中描绘了单个IoT设备102,但是在不限制本公开的范围的情况下,系统100可以包括多于一个的IoT设备。
此外,在一些示例中,认证服务器104可以被实现为独立的服务器,可以是云的部分,或者可以与另一逻辑实体共存。在一些其他示例中,认证服务器104可以被实现为硬件系统/设备,诸如但不限于计算机系统、移动设备、刀片服务器、计算机设备、工作站、存储系统、或融合或超融合系统。在某些其他示例中,认证服务器104可以被实现为软件资源,诸如但不限于软件应用、虚拟机(VM)、容器、容器化应用或容器集。在操作期间,认证服务器104可以促进IoT设备102的认证和/或授权,并且使用DPP管理IoT设备102的登入。DPP是允许使用控制器(例如,配置器108)配给IoT设备102以用于网络接入的标准化协议。
在一些示例中,认证服务器104可以维护IoT设备102的自举信息,以促进IoT设备102的认证和/或授权,并且管理IoT设备102到无线网络116的登入。本文使用的术语“自举信息”可以指诸如但不限于IoT设备102的公共自举密钥的信息。在一些示例中,在制造期间,IoT设备供应方可以在IoT设备中嵌入自举密钥对。IoT设备102的公共自举密钥可以向外部云IoT平台110注册,也可以通过其他方式获取。在一些示例中,认证服务器104可以查询外部云IoT平台110,以获取IoT设备102的自举信息。作为响应,认证服务器104可以从外部云IoT平台110接收公共自举密钥。在一些示例中,自举信息还可以包括无线网络116的扩展服务集标识(ESSID)。
在一些示例中,认证服务器104可以包括用于存储IoT设备102的自举信息的数据库105。数据库105可以周期性地与外部云IoT平台110同步,以接收和更新自举信息。在一些示例中,在IoT设备102的自举信息没有集成到外部云IoT平台110的情况下,可以通过带外手段接收IoT设备102的自举信息。例如,自举信息可以以标记(例如,快速响应(QR)码)的形式存在于IoT设备102上。用户可以使用移动应用扫描标记以接收IoT设备102的公共自举密钥。移动应用可以在认证服务器104处更新IoT设备102的公共自举密钥。
此外,在一些示例中,AP 106可以是无线局域网(WLAN)的部分,并且可以在各个AP106覆盖的区域中向IoT设备102提供无线服务。AP 106的示例可以包括但不限于,路由器、网络交换机、网络网关等。在一些示例中,AP 106中的一个AP可以充当用于将诸如IoT设备102的IoT设备连接到无线网络116的桥。AP 106可以分布在需要网络接入的整个区域中。因此,IoT设备102可以部署在由一个或多个AP 106服务的区域内。
在一些示例中,配置器108可以向IoT设备102配给安全凭证。在一些示例中,配置器108可以使用处理器或微控制器和/或任何其他电子组件、或可以促进各种计算、数据存储和/或数据处理设备或系统来实现。在某些其他示例中,配置器108可以被部署为软件资源,例如,虚拟机(VM)、容器、容器化应用或容器集。配置器108可以建立对IoT设备102的公共自举密钥的信任,并且使用DPP认证协议来认证IoT设备102。结合图2描述关于使用DPP的认证的更多细节。
在操作期间,配置器108可以选择AP作为服务AP,以从无线网络116中的AP 106执行DPP认证协议和DPP配置控制。可以基于接收信号强度指示符(RSSI)和/或AP 106的当前负载来选择服务AP。RSSI可以指示无线网络116在相应的AP 106处的射频(RF)信号强度。在某些系统中,当系统100中存在高密度的AP 106时,配置器108可以选择特定AP来配置具有连接器(即,安全凭证)的IoT设备102。例如,在仓库处的AP的高密度部署中,配置器108可以选择存在于仓库中的登入位置处的AP,以帮助配给用于IoT设备102的连接器。如将理解的,选择适当的AP作为配置器108的代理(例如,服务AP)可以减少将IoT设备102加载到无线网络116所需的时间。
出于说明目的,可以由配置器108基于上述标准中的一个或多个标准来选择AP106B。因此,AP 106B在下文中被称为服务AP 106B。在下文中可互换地使用术语“AP 106B”和“服务AP 106B”,它们指的是由配置器108选择的AP。服务AP 106B可以充当配置器108的代理,用于认证和配置IoT设备102以接入无线网络116。IoT设备102的认证和配置分别使用DPP认证协议和DPP配置协议进行。具体地,服务AP 106B帮助在IoT设备102与配置器108之间交换DPP消息和信息。服务AP 106B通过IoT设备102与服务AP 106B之间的DPP通信信道118与IoT设备102通信。DPP通信信道118是IoT设备102与服务AP 106B之间验证了IoT设备102的公共自举密钥后建立的专用通信介质。单个信道(或小部分可能的信道)可以由AP106预定义为DPP通信信道118。服务AP 106B可以在DPP通信信道118上获得DPP消息。服务AP106B可以充当用于在IoT设备102与配置器108之间传输DPP消息的代理设备。服务AP 106B可以充当认证器,以代表认证服务器104认证IoT设备102。
在一些示例中,AP 106可以包括用于存储用于登入IoT设备的上下文109的相应数据库107。可以利用认证服务器104周期性地更新数据库107,以接收和更新用于登入相应IoT设备的自举信息。例如,作为DPP认证协议的部分,认证服务器104向服务AP 106B传送自举信息。服务AP 106B生成用于登入对应于公共自举密钥的IoT设备的上下文109B,并且将该上下文109B存储在数据库107B中。上下文109B包括对应的IoT设备的配给和登入的所有必要信息。例如,上下文109B可以根据啁啾散列(例如,SHA256(“啁啾”|BR))来索引,并且包括公共自举密钥、扩展服务集标识符(ESSID)、AKM、随机数、DPP协议密钥和能力(例如,作为配置器或登记者)。从认证服务器104接收的公共自举密钥、SSID和认证和密钥管理(AKM,其是802.11报头中的字段,其允许AP通告其正在提供什么类型的安全性并且允许设备在提供多于一个的安全性的情况下选择一个),并且可以用于响应啁啾散列并且构建以下DPP消息。随机数、DPP协议密钥和能力可以由AP 106B生成,以响应啁啾HAS并且构造以下DPP消息。此外,在一些示例中,自举信息可以作为DPP认证过程的部分被提供给剩余AP 106中的一个或多个AP(例如,非服务AP),并且剩余AP 106中的每个AP可以类似地生成用于配给与自举信息相对应的IoT设备的上下文109。
在一些示例中,配置器108可以包括用于存储用于追踪服务于IoT设备的AP的DPP啁啾表(或多个DPP啁啾表)的数据库112。DPP啁啾表可以包括已经接登入络的每个IoT设备的条目。DPP啁啾表可以被提供和更新,以便维护每个IoT设备与当前服务AP、先前已被选择为服务AP的任何AP(称为所服务的AP)以及相邻AP的列表的映射。可以根据诸如其公共自举密钥的散列的标识符来记录IoT设备。在IoT设备(或任何设备)在一个或多个AP 106上的信道频率之间跳变的情况下,配置器108可以访问DPP啁啾表以更新和维护用于选择服务AP的映射。
图2示出了描述用于将IoT设备登入到无线网络的操作序列的消息流程图200。出于说明的目的,将参考图1的系统100来描述消息流程图200。因此,例如,消息流程图200提供用于使IoT设备102能够登入到无线网络116的操作序列。消息流程图200包括系统100中的诸如IoT设备102、认证服务器104、配置器108和服务AP 106B的各种实体之间的交互,分为三个阶段,即——初始建立阶段204、配给阶段206和网络接入阶段208。虽然参考系统100描述了消息流程图200,但是本公开的范围不应被解释为限于图1的系统100的具体细节(例如,AP 106、配置器108、IoT设备102和认证服务器104的数目和布置)。
在初始建立阶段204期间,AP 106B可以被配置为监听在特定通信信道上广播的DPP消息。尽管针对AP 106B描述了初始设置阶段204,但是可以理解,在某些部署中,无线网络116中的数个AP可以配置有相应的DPP连接器以支持DPP通信。例如,在步骤210,AP 106B和配置器108可以使用网络(例如,无线或有线网络)建立通信。此外,在步骤212处,AP 106B可以从配置器108接收配置信息。配置信息可以包括AP 106B的DPP连接器。DPP连接器可以是由配置器108提供给AP 106B的安全凭证。AP 106B可以使用DPP连接器来与IoT设备102建立通信。在示例中,配置信息可以包括与要由AP 106B使用的信道有关的信息。一旦被配置,AP 106B就可以通告其经由DPP通信的能力。在示例中,IoT设备102可以扫描用于从AP 106B通告的信道。类似地,AP 106中的一些或所有AP可以配置有相应的DPP连接器和信道连接性信息以支持DPP通信。
在配给阶段206中,可以授权IoT设备102并且向其配给网络接入所需的安全凭证。IoT设备102可以在通电时或以周期性间隔扫描所有支持的信道,并且周期性地广播DPP存在通知消息。在一些实现中,IoT设备102在一个或多个AP 106上的多个信道频率之间跳变的同时以固定的周期性间隔(例如,在一些示例中为2秒)广播DPP存在通知消息。在一个示例中,DPP存在通知消息可以由802.11动作帧承载。DPP存在通知消息包括散列,该散列包含包括IoT设备102的公共自举密钥的数据。包括公共自举密钥的数据的散列可以是IoT设备102的标识符。例如,包括在存在通知中使用的公共自举密钥的散列被提供为SHA256(“啁啾”|BR),其中BR是公共自举密钥,“啁啾”表示附加数据,并且SHA256是应用于包括公共自举密钥的数据的示例散列函数。而在DPP认证请求中传送的散列被提供为SHA256(BR)。在步骤214处,配置器108可以经由无线网络116中的AP 106从IoT设备102接收符合DPP协议的DPP存在通知消息的列表。由IoT设备102传输的DPP存在通知消息可以由AP 106接收,其中在初始建立阶段204期间配置DPP能力。AP 106可以监听DPP存在通知消息,并且可以向配置器108报告设备啁啾事件。配置器108可以监测这些设备啁啾事件,并且在步骤216处,选择AP(例如,AP 106B)来初始化IoT设备102的DPP通信。
在步骤214检测到IoT设备102的受信公共自举密钥之后,通过在步骤218向认证服务器104发送DPP自举授权请求以检查包括在数据的散列中的公共自举密钥是否被注册,在AP 106B处启动DPP认证协议。服务AP 106B可以使用包括存在于由IoT设备102传输的DPP存在通知消息中的公共自举密钥的数据的散列来生成DPP自举授权请求。例如,AP 106B构造包括在步骤214接收的SHA256(“啁啾”|BR)的DPP自举授权请求。
在步骤220处,认证服务器104可以验证包括在DPP自举授权请求中接收的数据的散列中的公共自举密钥是否向认证服务器104注册。例如,认证服务器104检查数据库105以验证BR已注册。基于自举信息的成功验证,认证服务器104可以认证IoT设备102,并且验证IoT设备102是可以被配给以接入无线网络116的授权(例如,合法)设备。为了验证IoT设备102的公共自举密钥,认证服务器104可以与外部云IoT平台同步,以周期性地接收IoT设备102的公共自举密钥。如果IoT设备102的公共自举密钥向外部云IoT平台110注册,则认证服务器104可以向服务AP 106B传输带有IoT设备102的自举信息(例如,公共自举密钥)和无线网络116的ESSID的肯定的DPP自举授权响应。在一些示例中,服务AP 106B可以接收公共自举密钥以授权IoT设备102。由于认证服务器104维护IoT设备102的公共自举密钥,因此当IoT设备102断开连接并且重新连接到系统100时,可以避免对同一IoT设备102的重复自举。此外,将IoT设备102连接/重新连接到无线网络116不涉及或涉及最少的人工交互。
在步骤222处,服务AP 106B使用来自认证服务器104的公共自举密钥构建DPP认证请求。DPP认证请求包括从认证服务器104接收的公共自举密钥的散列,并且被提供给IoT设备102。IoT设备102可以使用IoT设备102的私有自举密钥来解码认证请求,并且在成功解码认证请求后向AP 106B发送DPP认证响应。例如,DPP认证请求可以包括加密数据,诸如随机数和能力。IoT设备102解密加密数据以取回用于构建DPP认证响应的随机数和能力。在步骤222处,完成DPP认证协议。当在AP 106B处从IoT设备102接收到肯定的DPP授权响应时,AP106B可以完成对IoT设备102的DPP认证。IoT设备102可以在IoT设备102的公共自举密钥验证成功后生成公共网络接入密钥。
在步骤224处,启动DPP配置协议。一旦IoT设备102被服务AP 106B认证,IoT设备102就可以向服务AP 106B发送DPP配置请求。DPP配置请求被发送到服务AP 106B,以接收用于网络接入的IoT设备102的安全凭证。
在步骤226处,使用IoT设备102的公共网络接入密钥,服务AP 106B可以在DPP配置请求未决时为IoT设备102生成连接器(如步骤226所示)。在一些示例中,IoT设备102的连接器可以包括IoT设备102的公共网络接入密钥。在步骤228处,服务AP 106B可以向配置器108传输对连接器签名的请求。在步骤230处,配置器108可以使用配置器108的配置器登录密钥对连接器进行签名,并且将经签名的连接器发送回AP 106B。在步骤232处,通过生成签名的连接器,完成具有安全凭证的IoT设备102的DPP配置,并且可以将签名的连接器提供给IoT设备102,IoT设备102可以使用该签名的连接器来连接到无线网络116。
在其他实施例中,在配置状态期间提供给经认证的IoT设备的凭证可以是密码,具有或不具有用户名,或者其可以是证书。
在步骤234处,服务AP 106B可以向认证服务器104传输DPP身份绑定请求,以将IoT设备102的公有网络接入密钥的散列与IoT设备102的公共自举密钥的散列绑定。IoT设备102的公共网络接入密钥的散列可以被称为IoT设备102的连接器标识符。连接器标识符散列和IoT设备102的公共自举密钥的散列的绑定可以允许认证服务器104在网络接入阶段208期间执行包括DPP所需的公共自举密钥和连接器标识符的数据的散列的附加验证。
在网络接入阶段208期间,IoT设备102可以使用IoT设备102从服务AP 106B接收的连接器经由任何AP 106获得对无线网络116的接入,而不限制本公开的范围。然而,为例说明简单,在图2所示的网络接入阶段208中,IoT设备102被描述为经由服务AP 106B连接到无线网络116。
在步骤236,IoT设备102可以发现任意数目的AP 106并且传输对等方发现请求以及等待对等方发现响应。在一些示例中,IoT设备102可以向AP 106B传输对等方发现请求。对等方发现请求可以包括IoT设备102的连接器(例如,从服务AP 106B接收的签名连接器)。服务AP 106B可以基于配置器108的配置器签名密钥来验证IoT设备102的连接器。在连接器成功验证后,AP 106B可以生成包括连接器标识符的DPP网络接入授权请求,并且将其传输到认证服务器104。
在步骤238,基于IoT设备102的连接器标识符的有效性,认证服务器104可以认证和授权IoT设备102进行网络接入。认证服务器104可以用允许或拒绝形式的DPP网络接入授权响应来响应。认证服务器104可以验证IoT设备102的公共网络接入密钥的散列,并验证IoT设备102的公共自举密钥的散列,以决定允许还是拒绝IoT设备102进行网络接入。基于来自认证服务器104的DPP网络接入授权响应,在步骤240,服务AP 106B可以传送对等方发现响应,该对等方发现响应是对在步骤236处从IoT设备接收的对等方发现请求的响应。
服务AP 106B可以基于从认证服务器104接收的DPP网络接入授权响应来生成对等方发现响应。在步骤240、242和244处,如果认证服务器104允许IoT设备102接入无线网络116,则IoT设备102可以导出成对主密钥(PMK)/PMK身份(PMKID),执行IEEE-802.11认证、关联以及与服务AP 106B的4次握手,以获得对无线网络116的接入。
如将理解的,在本文呈现的示例中,认证服务器104可以提供零接触配给体验,用于向IoT设备102配给安全凭证并且使用安全凭证将IoT设备102连接到无线网络116。当IoT设备102被带入系统100并且通电时,可以执行消息流程图200中描述的操作序列。从给IoT设备102通电到连接到无线网络116的整个过程可以在短时间内完成,而不需要任何人工干预。此外,在一些示例中,一旦IoT设备102连接到无线网络116,就可以连续监测其网络行为。如果检测到任何安全威胁,则可以由监测设备(未示出)通知认证服务器104。对IoT设备102的监测可以包括确定数个参数,诸如与IoT设备102相关联的脆弱性和风险、IoT设备102的所有者、网络行为和操作系统状态。此外,在一些示例中,认证服务器104可以基于可配置策略(稍后描述)来评估来自监测设备的通知,并且可以通过向服务AP 106B发布授权改变(CoA)来改变所连接的IoT设备102的网络接入许可。这有助于快速隔离任何受危害的IoT设备,并且防止安全威胁通过系统100传播。
如上所述,在步骤214处,IoT设备102广播DPP存在通知消息,该消息包含包括IoT设备102的公共自举密钥的数据散列。作为广播的结果,在传输DPP存在通知的信道频率上监听的任何设备和/或个人都可以接收DPP存在通知,包括恶意实体。恶意实体可以获得由IoT设备102合法广播的DPP存在通知,并且使用所获得的DPP存在通知在网络116上执行DoS攻击。例如,恶意实体可以操作攻击设备(例如,另一IoT设备或能够在网络上无线通信的任何设备)来从随机MAC地址生成和传输所获得的DPP存在通知的多次重复,从而轰炸网络116并且阻塞信道频率,使其不能被其他合法IoT设备接入。在配给阶段206期间不能验证向服务AP 106B发送DPP消息的设备的MAC地址,因此系统100不能区分攻击设备和合法的IoT设备,例如IoT设备102。自举认证通常不包括MAC地址。此外,MAC地址本身是可欺骗的,并且至少在步骤214至222处的DPP存在通知消息的认证期间不应被依赖为身份。因此,在自举认证期间,即使提供了MAC地址,它也可能是不受信任的。
图3示出了描述中断图2的配给阶段206的无线网络上的DoS攻击的操作序列的消息流程图300。出于说明的目的,将参考图1的系统100来描述消息流程图300。消息流程图300包括在配给阶段206中遭受DoS攻击的系统100中的各种实体之间的交互,诸如攻击设备302、IoT设备102、认证服务器104、配置器108、以及诸如AP 106B和AP 106中的另一AP。
如上所述,恶意用户可以使用攻击设备302(或另一设备)来收听在网络116上的各种频率的通信信道上广播的DPP消息。具体地,恶意用户可以获取IoT设备102例如在图2的步骤214期间广播的一个或多个DPP存在通知消息,所获得的DPP通知消息包含包括IoT设备102的公共自举密钥的数据的散列。然而,用于获取DPP通告消息的恶意用户和任何设备将无法访问(至少通过DPP消息交换)IoT设备102的私有自举密钥。
随后,如图3所示,恶意用户可以操作攻击设备302执行DoS攻击。在步骤310,攻击设备302扫描所有支持的信道,并且在图2的步骤214处以与IoT设备102相同的方式广播DPP存在通知消息。来自攻击设备302的DPP存在通知消息本文被称为欺骗的DPP存在通知消息,因为其源自无效/攻击设备302。被欺骗的DPP存在通知消息包括数据散列,该散列数据包括IoT设备102的公共自举密钥(例如,在上面的示例中为SHA256(在上面的示例中为啁啾|BR)),并且被广播到AP 106,例如,AP 106B。在一些情况下,攻击设备302可以周期性地并且在一个或多个信道频率上广播欺骗的DPP存在通知消息,从而用来自潜在许多不同MAC地址的大量重复的DPP消息轰炸网络116,从而混淆真实IoT设备的MAC地址。
在步骤312处,配置器108可以经由无线网络116中的AP 106从攻击设备302接收仍然符合DPP协议的DPP存在通知消息。来自攻击设备302的DPP存在通知消息由于欺骗来自IoT设备102的符合并且合法的DPP通知消息而显得合规。DPP存在通知消息由AP 106接收,AP 106向配置器108报告设备啁啾事件。配置器108可以监测这些设备啁啾事件,并且在步骤314处,配置器108可以选择AP(例如,AP 106B)来初始化DPP通信。
在步骤316处,在AP 106B处发起DPP自举认证协议,以建立对包括在DPP存在通知消息中的IoT设备102的公共自举密钥的信任,如以上参考图2所描述的。例如,通过向认证服务器104发送DPP自举授权请求以检查包括在数据的散列中的IoT设备102的公共自举密钥是否被注册来发起DPP自举认证(参见图2的步骤218)。服务AP 106B可以基于由攻击设备302传输的DPP存在通知中存在的散列,使用包括IoT设备102的公共自举密钥的数据的散列来生成DPP自举授权请求。认证服务器104可以基于在DPP自举授权请求中接收的数据的散列来验证公共自举密钥是否被注册。基于对公共自举密钥的成功验证,认证服务器104可以认证DPP存在通知消息,并且验证攻击设备302可以被配给以接入无线网络116(参见图2的步骤220)。在成功验证IoT设备102的公共自举密钥后,认证服务器104向服务AP 106B发送具有IoT设备102的自举信息(即,公共自举密钥)和无线网络116的ESSID的肯定DPP自举授权响应。
在步骤318处,服务AP 106B通过向攻击设备302发送DPP认证请求来向攻击设备302提供从认证服务器104接收的公共自举密钥的散列。攻击设备不具有IoT设备102的私有自举密钥。因此,攻击设备302既不能解码也不能响应DPP认证请求。
然而,配置器108仅在设置的超时时段之后响应相同的啁啾事件。在该超时时段期间,在步骤320处,配置器108拒绝包括相同散列的所有啁啾事件。在示例实现中,时间间隔可以是30秒;然而,本公开不应被解释为限于该特定间隔,因为根据特定应用的需要,可以应用其他间隔。因此,如图3所示,当IoT设备102广播具有包括其公钥的散列的后续DPP通告消息时,这些后续DPP通告消息被配置器108拒绝。结果,阻止合法的IoT设备102获得可以通过其登入IoT设备102的DPP认证请求。
例如,在步骤322和328处,IoT设备102在不同的频率信道上周期性地分别向AP106B和任何其他AP 106广播DPP存在通知消息。在步骤326处,IoT设备102在每个DPP存在通知消息之间等待一段时间。在步骤324和330处,每个AP 106B和AP 106分别向配置器108报告设备啁啾事件。然而,由于来自攻击设备302的欺骗的DPP通告消息,在步骤324和330处的啁啾事件被配置器108经由啁啾事件拒绝消息拒绝,并且IoT设备102不能被登入到网络116。
此外,攻击设备302可以检查AP(例如,AP 106A和/或AP 106)处理和发送DPP认证请求的时间间隔,并且增加欺骗的DPP存在通知消息的速率,以堵塞网络并且进一步耗尽AP资源。此外,攻击可能耗尽配置器108的资源,因为当AP 106接收到DPP存在通知消息时,它不断将啁啾事件消息转发到需要资源来解析和寻址的配置器108。因此,合法的IoT设备102将不会接收到DPP认证请求,并且不会被登入。因此,图3所示的DoS攻击可能导致网络116上的停机和数据丢失。此外,在大型网络部署中,可能很难缩小范围并且定位恶意实体,从而增加停机时间。
图4示出了根据本文公开的实现,描绘在将IoT设备登入到无线网络时用于缓解DoS攻击的操作序列的消息流程图400。因此,例如,消息流程图400提供用于使得能够将IoT设备102登入到无线网络116,同时减轻关于图3所描述的DoS攻击的操作序列。消息流程图400包括在配给阶段406中系统100中的各种实体之间的交互,诸如IoT设备102、认证服务器104、配置器108和服务AP 106B。除了本文所提供的之外,配给阶段406类似于配给阶段206,并且初始设置阶段204和网络接入阶段208如以上结合图2所述那样进行。出于说明的目的,将参考图1的系统100来描述消息流程图400;然而,本公开的范围不应被解释为限于图1的系统100的细节(例如,AP 106、配置器108、IoT设备102和认证服务器104的数目和布置)。
如以上参考图3所描述的,攻击设备302可以获取并且欺骗包括诸如IoT设备102之类的IoT设备的公共自举密钥的散列的DPP通告消息。在步骤410处,攻击设备302扫描所有支持的信道并且广播欺骗的DPP存在通知消息,如上面在图3的步骤310所描述的。欺骗的DPP存在通知消息包含包括IoT设备102的公共自举密钥的数据的散列。
在步骤412处,配置器108可以经由无线网络116中的AP 106接收仍然符合DPP协议的欺骗的DPP存在通知消息。在步骤412处,AP 106接收DPP存在通知消息,其向配置器108报告设备啁啾事件。配置器108可以监测设备啁啾事件,并且在步骤414处,可以选择AP(例如,AP 106B)来初始化DPP通信。在步骤416处,配置器通知服务AP 106B初始化DPP通信。
在步骤418处,在AP 106B处发起DPP自举认证协议,以建立对来自攻击设备302的DPP存在通知消息中包括的IoT设备102的公共自举密钥的信任,例如,如上所述,通过向认证服务器104传输DPP自举授权请求以检查IoT设备102的公共自举密钥是否被注册来发起DPP自举认证(见图2的步骤218)。服务AP 106B可以使用包括在步骤410传输的DPP存在通知消息中存在的IoT设备102的公共自举密钥的数据的散列来生成DPP自举授权请求。认证服务器104可以基于在DPP自举授权请求中接收的数据的散列来验证公共自举被注册。基于对公共自举密钥的成功验证,认证服务器104可以认证DPP存在通知消息,并且验证攻击设备302可以被配给以接入无线网络116(参见图2的步骤220)。在成功验证IoT设备102的公共自举密钥后,认证服务器104向服务AP 106B发送具有IoT设备102的自举信息(例如,公共自举密钥)和无线网络116的ESSID的肯定DPP自举授权响应。
在步骤420处,服务AP 106B基于从认证服务器104接收的自举信息生成上下文,该自举信息存储在数据库(例如,图1的数据库107B)中。具体地,响应于从认证服务器104接收自举认证响应,服务AP 106B使用包括在自举信息中的公共自举密钥创建上下文。该上下文包括用于完成配给阶段206以及与自举信息相对应的在IoT设备(例如,IoT设备102)上的所有必要信息。利用该上下文,AP 106B不需要与配置器108和/或认证服务器104通信来响应后续的DPP存在通知消息。例如,上下文包括指示AP 106B是否需要响应从配置器108接收到的啁啾散列(例如,SHA256(“啁啾”|BR))的第一标志。如果AP 106B没有被选择来响应啁啾散列,则AP应该直接忽略该啁啾。然而,如果选择AP来响应啁啾散列,则AP不需要进一步与配置器108通信。该上下文还可以包括构建的DPP认证请求,因此AP 106B可以利用该DPP认证请求直接响应啁啾HAS,而无需经由与配置器108和/或认证服务器104的通信进行重构。该上下文还可以包括AP 106B已从其接收到相同啁啾散列的MAC的MAC列表。在某些情况下,如果MAC列表的长度超过阈值,则可以推断出DoS攻击。该上下文还可以包括第二标志,该第二标志指示AP是否从合法的IoT设备接收到DPP认证响应(例如,响应于DPP认证请求)。第二标志指示接收到DPP认证响应,AP忽略从其他IoT设备接收的啁啾散列。因此,例如,当AP106B接收到具有相同啁啾散列的后续DPP存在通知消息时,AP 106B可以直接响应DPP认证请求,而无需额外的计算和/或通信,从而减少资源消耗。该上下文可以被引用并且用于响应于随后接收的DPP存在通知消息而登入相应的IoT设备。
在示例实现中,可以通过包括在DPP存在通知消息中的啁啾散列(例如,SHA256(“啁啾”|BR))来索引上下文。该上下文可以包括定义AP 106B是否应该响应于接收到的DPP存在通知(例如,图2中的配置器108做出的决定)的语法或代码。该上下文还可以包括来自认证服务器104的公共自举密钥ESSID。该上下文还可以包括由AP 106B生成的随机数、DPP协议密钥和/或能力。该上下文还可以包括DPP认证请求。
然后,在步骤422处,服务AP 106B向攻击设备302提供包括公共自举密钥的散列的DPP认证请求。在步骤424,由于攻击设备302不具有IoT设备102的私有自举密钥,所以攻击设备302无法解码DPP认证请求并且不(和不能)响应。
随后,在步骤426,例如,如以上结合图2所描述的,IoT设备102广播一个或多个DPP存在通知。在一个示例中,可以由802.11动作帧承载DPP存在通知。在步骤428处,服务AP106B检查数据库以确定是否存在用于登入IoT设备102的上下文。如果不存在上下文(例如,在步骤426是由AP 106B接收的第一DPP存在通知的情况下),则该序列执行如上所述的步骤412至420以创建上下文。如果上下文确实存在,则访问该上下文以取回自举信息并且生成DPP认证请求。在步骤430处,服务AP 106B将DPP认证请求传送到IoT设备102,该DPP认证请求包括包含在上下文中的公共自举密钥的散列。在步骤434处,IoT设备102可以使用其私有自举密钥来解码认证请求,并且在成功解码认证请求后向AP 106B发送DPP认证响应。当从IoT设备102接收到肯定的DPP授权响应时,AP 106B可以在所选择的AP 106B与IoT设备102之间建立DPP通信信道118。IoT设备102可以在IoT设备102的公共自举密钥验证成功后生成公共网络接入密钥。
在步骤438处,如以上参考图2的步骤224所描述的,在步骤440启动DPP配置协议。同时,在步骤432a至432n,攻击设备302(或其他攻击设备)可以广播随后的欺骗的DPP存在通知消息,消息中的每个消息可以包含包括IoT设备102的公钥的数据的散列。类似于步骤428,响应于每个DPP存在通知消息,服务AP 106B检查数据库以确定是否存在用于登入IoT设备102的上下文。由于存在IoT设备102的上下文,在步骤436a至436n,服务AP 106B可以抑制报告啁啾事件。在一些情况下,如上所述,服务AP 106B可以使用该上下文来发送DPP认证请求。虽然在其他情况下,由于针对IoT设备102的上下文的存在并且从IoT设备102接收到服务AP 106B的DPP认证响应,服务AP 106B可以通过抑制发送任何进一步的DPP认证请求来忽略后续的DPP存在通知消息。
因此,消息流程图400以与上面结合图2阐述的相同方式继续,同时忽略存在上下文的任何未来DPP存在通知消息。例如,通过存储包括从认证服务器104接收的自举信息的上下文,在步骤412处,本文公开的实现的服务AP 106B不需要向配置器108报告可能由于较早的啁啾事件而被拒绝的啁啾事件(例如,向AP的啁啾事件拒绝消息)。因此,服务AP 106B能够完成IoT设备102的登入,同时忽略攻击设备,并且可以减轻DoS攻击。
图5A和图5B示出了根据本文公开的实现,描述用于减轻跨多个AP的DoS攻击的操作序列的消息流程图500。消息流程图500提供了一系列操作,用于在攻击设备302在一个或多个AP 106上的多个信道频率之间跳变的情况下,实现IoT设备到无线网络116的登入,同时减轻关于图3描述的DoS攻击。在图5A和图5B的说明性示例中,攻击设备302被示为在AP106B与106A之间跳变,然而,本公开的范围不应被解释为限于细节(例如,所示的AP的数量),并且可以包括在多个AP 106之间跳变。此外,消息流程图500包括在配给阶段期间系统100中的各种实体之间的交互,例如图3的攻击设备302和配置器108、AP 106B和AP 106A。出于说明的目的,将参考图1的系统100来描述消息流程图500;然而,本公开的范围不应被解释为限于图1的系统100的细节(例如,AP 106和配置器108的数目和布置)。
如图5A和图5B所示,配置器108可以维护DPP啁啾表580(也称为啁啾表),用于将根据IoT设备标识符(例如,它们相应的自举密钥的相应散列)记录的IoT设备与当前服务(例如,服务AP)、过去服务/配给了相应IoT设备的AP、以及相邻AP的列表进行映射。例如,如图5A和图5B所示,示例DPP啁啾表580包括用于将AP映射到IoT设备(例如,该示例中的STA)的标识符的条目。表580包括:服务AP列,其包括用于指示用于服务标识符STA的当前选择的AP的字段;所服务的AP列,其包括用于列出先前服务标识符STA的AP的字段;以及相邻AP列中的字段,其列出已经向配置器108报告了啁啾事件的AP,其包括标识符STA。因此,表580将每个相应的IoT设备标识符与服务AP、所服务的AP和相邻AP相关联。在消息流程图500所示的操作期间,DPP啁啾表580被更新为DPP啁啾表580A至580D,并且将统称为DPP啁啾表580。图5A和图5B中所示的表580仅出于说明性目的描绘了单个IoT设备标识符。表580可以包括针对已经向配置器108报告了啁啾事件的每个IoT设备标识符的单独条目。
在消息流程图500中,对于该说明性示例,AP 106A和AP 106B在不同频率上,并且攻击设备302在接收DPP认证请求之前在不同频率上发送DPP啁啾信号(例如,DPP存在通知消息),例如,如上所述参考图3所描述的。在该说明性示例中,为配给阶段提供X秒的超时时段(其中X是为给定应用所需选择的整数),使得如果由服务AP接收的所有DPP啁啾信号都来自非法/无效设备(例如,服务AP未在超时时段内接收到DPP认证响应),则配置器108将选择另一AP来配给由DPP啁啾信号标识的IoT设备。
在步骤510、520和530处,攻击设备302广播如上参考图3所述的DPP啁啾信号。例如,在步骤510和530,在第一信道频率上广播一个或多个欺骗的DPP啁啾信号,其由AP 106B接收。在同一时间段内,在步骤520,攻击设备302在第二信道频率上广播由AP 106A接收的一个或多个欺骗的DPP啁啾信号。欺骗的DPP存在通知消息包括IoT设备的标识符(例如,包括IoT设备的公共自举密钥的数据的散列,被示为“STA”或站)。
在步骤512处,配置器108可以经由AP 106B从攻击设备302接收DPP啁啾信号列表。AP 106B可以监听来自攻击设备302的DPP啁啾信号,并且向配置器108报告设备啁啾事件。配置器108可以监测这些啁啾事件,并且在步骤514处,基于包括在DPP啁啾信号中的IoT设备的标识符来选择AP(例如,AP 106B)来初始化DPP通信。此外,在步骤515处,更新DPP啁啾表580以包括IoT(例如,STA)的标识符,并且选择AP 106B作为服务AP。此外,更新IoT设备的标识符的所服务的AP字段和邻居AP字段以包括AP 106B。
如以上参考图2至图3所描述的,在AP 106B处发起DPP自举认证协议,以建立对包括在DPP啁啾信号中的IoT设备的标识符的信任。基于标识符的成功验证,认证服务器(图5A和图5B中未示出)可以认证DPP啁啾信号,并且验证攻击设备302可以被配给以接入无线网络116。在成功验证标识符后,认证服务器向服务AP 106B传输带有自举信息的肯定的DPP自举授权响应。
在步骤516处,服务AP 106B基于从认证服务器接收的自举信息来生成上下文,例如,如关于图4的步骤420所描述的。具体地,响应于接收到自举认证响应,服务AP 106B使用包括在自举信息中的公共自举密钥来创建上下文。
在步骤518处,服务AP 106B通过发送DPP认证请求将公共自举密钥的散列提供给攻击设备302。攻击设备没有IoT设备的私有自举密钥。因此,攻击设备302不能解码公共自举密钥的散列,并且不能响应DPP认证请求。
如上所述,在步骤520处,攻击设备302在第二信道频率上广播由AP 106A接收的欺骗的DPP啁啾信号。在步骤522处,配置器108经由AP 106A从攻击设备302接收DPP啁啾信号列表。配置器108监测这些啁啾事件,并且在步骤526处,配置器108经由啁啾事件拒绝消息拒绝该啁啾事件,因为它包括已经被配给给AP 106B的IoT设备的标识符。在步骤524处,配置器108基于接收到的具有相同散列的啁啾事件将AP 106A添加到DPP啁啾表中作为邻居AP。
在步骤528处,AP 106A基于接收到的自举信息来生成上下文,例如,如关于图4的步骤420所描述的。例如,AP 106A使用啁啾事件拒绝消息来构建丢弃(或忽略)包含相同啁啾散列的未来DPP啁啾信号的上下文。
在步骤530处,AP 106B从攻击设备302接收在第一信道频率上广播的一个或多个后续DPP啁啾信号。由于在AP 106B处存在上下文,在步骤532处,服务AP 106B通过发送DPP认证请求将公共自举密钥的散列提供给攻击设备302。同样,攻击设备302不能响应DPP认证请求。
在步骤534处,AP 106A从攻击设备302接收在第二信道频率上广播的一个或多个后续DPP啁啾信号。由于在AP 106A处存在上下文并且AP 106A没有被配给用于服务IoT设备,因此在步骤536处,AP 106A忽略DPP啁啾信号,并且抑制发送DPP认证请求或报告啁啾事件。
在超时时段过去之后,在步骤538处,AP 106A和106B从它们各自的数据库中移除该上下文(例如,通过删除该上下文)。然后,响应于在第二时间段期间来自攻击设备302的后续DPP啁啾信号,消息流程图500可以重复。此外,配置器108从DPP啁啾表580(例如,DPP啁啾表580b)中取消选择AP 106B作为服务AP,同时维护来自DPP啁啾表580A的所服务的AP和邻居AP的列表。当清除服务AP时,比较所服务的AP和邻居AP的条目,如果两者具有相同的条目,则清除所服务的AP。否则,如DPP啁啾表580B所示,维护被服务AP条目。
自AP 106B在消息流500的第一次迭代期间超时以来的第二时间段期间,来自AP106B的任何新的啁啾事件将经由啁啾事件拒绝消息而被拒绝。例如,在步骤540处,由AP106B接收DPP啁啾信号,并且在步骤542将其作为啁啾事件报告给配置器108。在步骤546处,配置器108检查DPP啁啾表580,并且验证AP 106B已经被配给用于服务由啁啾事件标识的IoT设备,并且用于该标识符的所服务的AP字段中的AP列表与邻居AP字段中的AP列表不匹配(例如,!=操作符)。结果,在步骤544处,配置器108通过啁啾事件拒绝消息拒绝啁啾事件。在步骤548处,例如如上所述,AP 106B基于接收到的自举信息来生成上下文。
将接受来自另一AP的新的DPP啁啾信号,并且可以更新IoT设备标识符的DPP啁啾表580。例如,在步骤550,AP 106A从攻击设备302接收DPP啁啾信号,并且在步骤552将该啁啾信号报告为啁啾事件。配置器108检查DPP啁啾表580,并且确认AP 106A没有列在用于标识符STA的所服务的AP字段中。配置器108接受啁啾事件,并且在步骤554处,基于包括在DPP啁啾信号中的公共自举密钥的数据的散列,选择AP 106A来初始化DPP通信。在步骤556处,更新DPP啁啾表580以包括作为服务AP的AP 106A并且在所服务的AP字段中列出(参见DPP啁啾表580C)。在步骤558,AP 106A基于例如如上所述接收到的自举信息生成上下文,并且在步骤560向攻击设备302传输DPP认证请求。与前面的情况一样,攻击设备302既不能解码也不能响应DPP认证请求。
在经过第二超时时段之后,在步骤562,AP 106A和106B从它们相应的数据库中移除上下文。在步骤562之后,将接受包括标识符STA的任何新的DPP啁啾信号,因为所服务的AP字段中的AP列表与相邻AP中的AP列表匹配,这清除了所服务的AP字段以重新启动序列(参见DPP啁啾表580D)。因此,例如,在步骤564,在AP 106B处接收到DPP啁啾信号,其向配置器108报告啁啾事件566。此时,邻居AP条目中列出的所有AP都与已配给为服务于所标识的IoT设备的AP匹配。因此,在步骤568处,清除所服务的AP字段,同时维护邻居AP列表。然后,在步骤570处,配置器重新选择AP 106B作为服务AP,并且在步骤572接受啁啾,以基于包括在DPP啁啾信号中的IoT设备的标识符来初始化DPP通信。在步骤574处,AP 106B基于例如如上所述接收到的自举信息来生成上下文,并且在步骤576处向攻击设备302发送DPP认证请求。与前面的情况一样,攻击设备302不能对公共自举密钥的散列进行解码,并且不能响应DPP认证请求。可以在步骤578处重复该序列以根据需要选择不同的AP。
因此,在图5A和图5B所示的示例多AP情况下,所公开的实现可以确保最终能够配给合法的IoT设备。例如,如果AP 106B在第一超时时段期间听到来自合法IoT设备的DPP啁啾信号,则可以在前X秒内配给AP 106B。此外,如果在第二超时时段期间AP 106A听到来自合法IoT设备的DPP啁啾信号,则可以在第二X秒内配给AP 106A。
图6是描述根据本文公开的实现由维护DPP啁啾表的配置器执行的操作的方法600的流程图。方法600提供用于监测和映射无线网络中的服务AP和被服务AP的操作序列,同时设备在多个AP上的多个信道频率之间跳变。具体地,方法600示出了确定是接受还是拒绝经由AP从设备接收的啁啾事件以及更新DPP啁啾表630的操作。方法600包括由诸如配置器108的配置器在配给阶段期间基于与系统100的AP 106的交互来执行的操作。出于说明的目的,将参考图1的系统100来描述方法600;然而,本公开的范围不应被解释为限于图1的系统100的细节(例如,AP 106和配置器108的数目和布置)。
在框602处,配置器108从AP 106(例如,该示例中的AP 106A)接收啁啾事件。例如,如上所述,可以由AP 106中的一个AP响应于接收到DPP啁啾信号来报告啁啾事件。在框604处,例如通过从表中移除任何陈旧的AP(例如,AP在确定的时间长度内没有报告啁啾事件,应该从邻居AP列表中删除该AP并且将该AP列表作为“陈旧AP”来服务)并且将AP 106A添加到与包括在啁啾事件中的IoT设备的标识符相关联的邻居AP字段,来访问和更新DPP啁啾调频表。例如,如图6所示,示例DPP啁啾表630包括用于将AP映射到所标识的IoT设备的条目,诸如其公共自举密钥的散列(例如,在该示例中为STA1)。表630包括具有指示当前正在提供IoT设备的标识符的AP(例如,在该示例中为AP 106B)的字段的服务AP列、具有指示先前已经服务于所标识的IoT设备的任何AP的字段的所服务的AP列、以及具有列出已经报告了包括IoT设备的标识符的啁啾事件的所有已知AP的字段的相邻AP列。因此,表630将IoT设备标识符与服务AP、所服务的AP和相邻AP相关联。在说明性示例中,在框602是报告包括STA1的啁啾事件的AP 106A的第一实例的情况下,在框604将AP 106A添加到邻居AP。
在框606处,配置器108检查DPP啁啾表630中的服务AP字段,以查找在框602接收到的啁啾事件中包括的IoT设备标识符。如果用条目填充服务AP字段(例如,非空),则该方法前进到框608,在框608处,配置器将在服务AP字段中列出的AP与在框602发送啁啾事件的AP进行比较。如果服务AP等于(例如,匹配)发送啁啾事件的AP(例如,该示例中的AP 106A),则在框610处,配置器接受该啁啾事件,并且指示AP 106A基于包括在DPP啁啾信号中的IoT设备的标识符来初始化DPP通信(例如,如参考图5A和图5B的步骤514、554和572所描述的)。否则,在框612处,配置器108拒绝啁啾事件(例如,如参考图5A和图5B的步骤526和544所描述的)。
返回到框606,如果服务AP条目没有用条目填充(例如,空),则该方法前进到框614,在框614,配置器108在IoT设备的标识符的服务AP字段中搜索在框602发送啁啾事件的AP(例如,AP 106A)。如果AP 106A未被列为DPP啁啾表630中的所服务的AP,则配置器108在框616处接受啁啾事件,并且指示AP 106A基于包括在DPP啁啾信号中的公共自举密钥的数据的散列来初始化DPP通信(例如,如参考图5A和图5B的步骤514、554和572所描述的)。此外,在框616,更新DPP啁啾表630以将AP 106A包括在服务AP字段中,并且将与包括在框602处接收的啁啾事件中的IoT设备的标识相关联的服务AP字段包括在服务AP字段中。
如果在框614处,配置器108在IoT设备标识符的服务AP字段中定位AP 106A,则在框618,配置器108将在服务AP字段中列出的AP与在邻居AP字段中列出的AP进行比较。如果条目相同,则在框620,配置器108通过清除被服务AP字段来更新DPP啁啾表630,并且前进到框616。否则,配置器108在框622拒绝啁啾事件,与框612相同。
图7示出了传感器710向前端网络洞察仪表板系统730传送监测/测试信息或数据的示例,其中仪表板736可以经由后端网络洞察系统720在其上或其中例如被实现或呈现给用户。例如,网络(例如,图1的网络116)的所有者或管理员可能对确定网络的当前状态/状态、在其上运行的应用等感兴趣。传感器710可以经由设备网关722连接到后端网络洞察系统720或以其他方式通信地耦合到后端网络洞察系统720(例如,经由有线或无线连接)。传感器710可以例如被实现为配置器(例如,本文描述的配置器108)和/或接入点(例如,本文描述的接入点106)。传感器710可以响应于检测到网络中的某些条件而向后端网络洞察系统720传输监测信息/数据711。然后,后端网络洞察系统720的API网关724可以将监测信息/数据725转发或传输到仪表板系统730。监测或测试信息/数据可以经由仪表板系统730(其可以是计算机、工作站、膝上型计算机或其他计算/处理系统或能够接收和呈现这种信息/数据的组件)的仪表板736呈现给用户。
在传感器710被实现为配置器108的示例情况下,可以利用DPP啁啾表来检测指示对网络116的攻击的情况的发生。例如,如上所述,传感器710可以利用DPP啁啾表来通过标识已经不能成功地登上设备(例如,尚未接收到响应于DPP认证请求的DPP认证响应)的多个AP来检测暗示正在进行DoS攻击的条件。也就是说,传感器710可以使用在与其耦合的数据库中维护的DPP啁啾表来追踪已经被配给以服务IoT设备标识符但在超时时段内没有接收到DPP认证响应的AP的数量。例如,参考图5A和图5B的序列作为示例,AP 106A和106B在没有超时时段的整个序列中没有接收到DPP认证响应,并且结果AP 106A和106B被列出在被服务AP和相邻AP中(例如,根据图6的方法)。如果对于给定IoT标识符条目,在服务AP字段中列出的AP的数目超过设置的AP阈值数目(例如,由用户经由前端网络洞察仪表板系统730配置),则配置器108确定存在指示DoS攻击的条件,并且将检测到的条件的通知传输到前端网络洞察仪表板系统730,其通知用户潜在的DoS攻击。否则,如果AP的数目低于阈值,这可能表明存在其他问题,如信号强度较差。可以根据需要将AP的阈值数目设置为任何正整数以标识攻击。然后,用户可以执行补救操作来定位和解决潜在的攻击。
在另一示例中,传感器710可以被实现为AP 106,并且传感器710可以被配置为追踪以设定的时间单位接收的多个DPP存在通知消息。如果传感器710接收的DPP存在通知消息的数目超过DPP存在通知消息的阈值数目,则传感器710确定存在指示潜在DoS攻击正在进行的条件,并且生成通知以向用户报告检测到的DoS攻击。作为另一示例,当传感器710从阈值数目的不同MAC地址接收相同的DPP存在通知消息(例如,包含相同的啁啾散列)时,传感器710可以确定存在指示潜在DoS攻击的条件。例如,传感器710将通知直接或间接(例如,经由配置器108)传输到后端网络洞察系统720。然后,后端网络洞察系统720将该通知作为信息/数据725转发或传输到仪表板系统730。时间单位和DPP存在通知消息的阈值数目可以由用户通过仪表板系统730来设置。通过从实现为AP 106的一个或多个特定传感器710接收通知,可以将恶意实体(例如,DoS攻击源)的位置缩小到检测到指示攻击的条件的一个或多个AP的位置。
在一些示例中,传感器710可以结合地实现为配置器108和AP106。在这样的配置中,传感器710可以检测多个条件,以更好地帮助用户预测和解决检测到的网络上的DoS攻击。例如,配置器108可以经由DPP啁啾表检测在多个AP上跳频的攻击方,这可能不满足在各个AP处检测攻击的条件。相反,每个AP 106可以在本地(例如,在AP自身上)检测攻击方。因此,传感器710可以一起操作以提供对潜在DoS攻击的网络范围的检测,用户可以标识并且实施补救动作以避免网络中的停机和数据丢失。
图8是示出根据本文公开的实施方式的用于缓解网络上的DoS攻击的示例操作的流程图。图8示出了过程800,其可以被实现为例如存储在图1的接入点106的存储器中的指令,当由一个或多个处理器执行时,执行过程800的操作。
在框802处,AP从配置器接收指示该AP被配给用于登入IoT设备的消息。该消息可以包含包括IoT设备的第一公钥的数据散列(例如,包括公共自举密钥的数据散列,诸如SHA256(“啁啾”)|BR)。可以基于由配置器从AP或另一AP接收到的啁啾事件来接收该消息,该啁啾事件响应于该AP或该另一AP接收到包含包括IoT设备的第一公钥的数据的散列的啁啾信号。例如,啁啾信号可以是DPP存在通知消息,并且从配置器接收的消息可以是接受啁啾事件的DPP初始化消息,如上文关于图2和图4-6所述。AP可以是例如AP 106B,配置器可以是图1的配置器108。AP可以从IoT设备或诸如攻击设备的另一设备接收啁啾信号。
在框804处,基于被配给用于登入IoT设备,AP基于包括IoT设备的第一公钥的数据散列,从认证服务器接收对IoT设备的第一公钥的验证。例如,认证服务器可以是图1的认证服务器104,其可以执行DPP自举认证,如关于图2至图4所描述的。
在框806处,AP基于第一公钥生成上下文。该上下文包括将IoT设备登入到网络上(例如,网络116)所需的信息。例如,上下文可用于登入IoT设备,而无需与配置器和认证器进行后续通信。如上文关于图4和图5所描述的那样生成上下文。
然后,在框808处,AP基于上下文,响应于多个第一啁啾信号中的每个第一啁啾信号而传输授权请求。例如,AP在生成授权请求而不向配置器报告啁啾事件,并且在AP处确定发送授权请求(例如,DPP授权请求),例如,如上面结合图3和图4所描述的。该授权请求包括第一公钥的散列,攻击设备由于缺少对应的第一私钥而无法破译该散列。因此,攻击设备不会发送认证响应。然而,AP可以使用该上下文来响应于接收到后续啁啾信号来发送后续认证请求,并且在具有第一私钥的有效IoT设备的情况下,接收认证响应并且建立与IoT设备的通信信道(例如,DPP通信信道118)。
图9是根据本文公开的实现,可以用于实现DoS攻击缓解的各种特征的示例计算组件。现在参考图9,计算组件900可以是例如服务器计算机、控制器或能够处理数据的任何其他类似计算组件。具体地,图9可以在图1的接入点106中实现。在图9的示例实现中,计算组件900包括硬件处理器902和机器可读存储介质904。
硬件处理器902可以是一个或多个中央处理单元(CPU)、基于半导体的微处理器和/或适合于取回和执行存储在机器可读存储介质904中的指令的其他硬件设备。硬件处理器902可以获取、解码和执行指令,例如指令906至912,以控制用于可用带宽估计的突发预加载的过程或操作。作为取回和执行指令的替代或补充,硬件处理器902可以包括一个或多个电子电路,该一个或多个电子电路包括用于执行一个或多个指令的功能的电子组件,例如现场可编程门阵列(FPGA)、专用集成电路(ASIC)或其他电子电路。
诸如机器可读存储介质的机器可读存储介质可以是包含或存储可执行指令的任何电、磁、光或其他物理存储设备。因此,机器可读存储介质904可以是例如随机存取存储器(RAM)、非易失性RAM(NVRAM)、电可擦除可编程只读存储器(EEPROM)、存储设备、光盘等。在一些实现中,机器可读存储介质904可以是非瞬态存储介质,其中术语“非瞬态”不包括瞬态传播信号。如下文详细描述的,机器可读存储介质904可以用可执行指令编码,例如指令906至912。
硬件处理器902可以执行指令906以从设备接收啁啾信号,该啁啾信号包含包括IoT设备的第一公钥的数据散列(例如,包括公共自举密钥的数据散列,诸如SHA256(“啁啾”|BR)),第一公钥用于与该散列相对应的IoT设备登入。例如,啁啾信号可以是从IoT设备或诸如攻击设备的另一设备接收的DPP存在通知消息。
硬件处理器902可以执行指令908以基于接收到啁啾信号,基于啁啾信号中的散列从认证服务器接收对IoT设备的第一公钥的验证。例如,响应于接收到啁啾信号,硬件处理器902可以执行指令以将啁啾事件传输到配置器。配置器可以接受啁啾事件并且配给硬件处理器902以服务与第一公钥相对应的IoT设备,或者拒绝该啁啾事件。在任一情况下,硬件处理器902可响应于接收到从配置器接收到的对啁啾事件的响应,执行指令以向认证服务器传输密钥授权请求(例如,如以上结合图2和图4所述的自举密钥认证请求)。
硬件处理器902可执行指令910以基于第一公钥生成上下文。该上下文包括将IoT设备登入到网络上(例如,网络116)所需的信息。例如,上下文可以用于自适应IoT设备,而无需与配置器和认证器进行后续通信。如上文关于图4和图5所描述的那样生成上下文。
硬件处理器902可以执行指令912以响应于多个第一啁啾信号中的每个第一啁啾信号,基于上下文来传输授权请求。授权请求包括第一公钥的散列。例如,硬件处理器902可以执行指令来生成授权请求,而无需向配置器报告啁啾事件,并且确定传输授权请求(例如,DPP授权请求),例如,如上面关于图3和图4所描述的。由于攻击设备无法解码包括在授权请求中的散列,因此攻击设备不发送认证响应。然而,硬件处理器902可以执行指令以使用上下文来响应于接收到后续啁啾信号来发送后续认证请求,并且在具有第一私钥的有效IoT设备的情况下,接收认证响应并且建立与IoT设备的通信信道(例如,DPP通信信道118)。
图10是示出根据本文公开的各种实现,用于检测网络上的DoS攻击的示例操作的流程图。图10示出了过程108,其可以被实现为例如存储在图1的配置器108的存储器上的指令,当由一个或多个处理器执行时,该指令执行过程1000的操作。
在框1002处,生成包括用于多个IoT设备标识符的条目的啁啾表。例如,上面结合图5和图6描述的DPP啁啾表。啁啾表的每个条目包括与相应的IoT设备标识符相关联的服务接入点字段、所服务的接入点字段和邻居接入点字段。
在框1004处,配置器108从网络116上的多个AP106接收多个啁啾事件消息,该多个啁啾事件消息响应来自一个或多个设备(例如,IoT设备和/或其他设备)的啁啾信号。每个啁啾信号包括IoT设备的标识符,例如,IoT设备的第一公钥(例如,公共自举密钥)的散列。在一些情况下,啁啾信号可以被攻击设备302欺骗和通信。
在框1006处,配置器108基于参考IoT设备的标识符的啁啾表来确定接受或拒绝多个啁啾事件消息中的每个消息。例如,配置器定位啁啾表中的IoT设备的标识符,并且基于啁啾表来确定是接受还是拒绝由相应AP发送的每个啁啾事件,例如,如上面参考图5和图6所描述的。
在框1008处,配置器通过基于多个啁啾事件填充与IoT设备的标识符相关联的服务接入点字段、所服务的接入点字段和邻居接入点字段来更新啁啾表。例如,如以上结合图5和图6所描述的,利用接入点来更新与啁啾事件中的IoT设备的标识符相关联的字段。
在框1010处,配置器通过监测被服务接入点字段来检测拒绝服务攻击。例如,如以上参考图7所描述的,配置器108检查在啁啾表的服务接入点字段中列出的接入点的数目是否超过接入点的设定阈值数目。在所服务的接入点字段中的数目超过阈值的情况下,配置器确定网络上存在指示DoS攻击的条件。响应于该检测,配置器可以经由前端仪表板系统向用户通知潜在的DoS攻击,例如关于图7所描述的。
图11示出了其中可以实现本文描述的各种实现的示例计算机系统1100的框图。计算机系统1100包括用于传送信息的总线1102或其他通信机制、与总线1102耦合的用于处理信息的一个或多个硬件处理器1104。(多个)硬件处理器1104可以是例如一个或多个通用微处理器。计算机系统1100可以实现为图1的IoT设备102、接入点106、配置器108、认证服务器104等中的一个或多个。
计算机系统1100还包括主存储器1106,诸如随机存取存储器(RAM)、高速缓存和/或其他动态存储设备,其耦合到总线1102,用于存储信息和要由处理器1104执行的指令。主存储器1106还可以用于在要由处理器1104执行的指令的执行期间存储临时变量或其他中间信息。这些指令当存储在处理器1104可访问的存储介质中时,将计算机系统1100呈现为专用机器,该专用机器被定制以执行指令中指定的操作。
计算机系统1100还包括耦合到总线1102的只读存储器(ROM)1108或其他静态存储设备,用于存储处理器1104的静态信息和指令。可以提供诸如磁盘、光盘或USB拇指驱动器(闪存驱动器)等的存储设备1110,并且将其耦合到总线1102,用于存储信息和指令。
计算机系统1100可以经由总线1102耦合到用于向计算机用户显示信息的显示器1112,例如液晶显示器(LCD)(或触摸屏)。包括字母数字键和其他键的输入设备1114耦合到总线1102,用于将信息和命令选择传送到处理器1104。另一类型的用户输入设备是光标控制1116,诸如鼠标、轨迹球或光标方向键,用于向处理器1104传送方向信息和命令选择并且用于控制显示器1112上的光标移动。在一些实现中,可以经由在没有光标的触摸屏上接收触摸来实现与光标控制相同的方向信息和命令选择。
计算系统1100可以包括用户界面模块,以实现可以作为由(多个)计算设备执行的可执行软件代码存储在大容量存储设备中的GUI。该模块和其他模块可以例如包括组件,例如软件组件、面向对象的软件组件、类组件和任务组件、进程、函数、属性、过程、子例程、程序代码段、驱动程序、固件、微代码、电路、数据、数据库、数据结构、表、数组和变量。
一般而言,本文使用的单词“组件”、“引擎”、“系统”、“数据库”、“数据存储”等可以指在硬件或固件中实现的逻辑,或指可能具有以编程语言编写的入口点和出口点的软件指令的集合,编程语言例如是Java、C或C++。软件组件可以被编译和链接成安装在动态链接库中的可执行程序,或者可以用诸如BASIC、Perl或Python的解释编程语言来编写。应当理解,软件组件可以是可从其他组件或其自身调用的,和/或可以响应于检测到的事件或中断而被调用。被配置用于在计算设备上执行的软件组件可以被提供在诸如光盘、数字视频盘、闪存驱动器、磁盘或任何其他有形介质的计算机可读介质上,或者作为数字下载(并且可以最初以压缩或可安装的格式存储,其在执行之前需要安装、解压缩或解密)。这种软件代码可以部分或全部存储在执行计算设备的存储设备上,以供计算设备执行。软件指令可以嵌入诸如EPROM的固件中。还应当理解,硬件组件可以包括连接的逻辑单元,例如门和触发器,和/或可以包括可编程单元,例如可编程门阵列或处理器。
计算机系统1100可以使用定制的硬连线逻辑、一个或多个ASIC或FPGA、固件和/或程序逻辑来实现本文描述的技术,其与计算机系统相结合使计算机系统1100成为专用机器或将其编程为专用机器。根据一个实施例,本文的技术由计算机系统1100响应于(多个)处理器1104执行主存储器1106中包含的一个或多个指令的一个或多个序列而执行。这样的指令可以从诸如存储设备1110的另一存储介质读入主存储器1106。主存储器1106中包含的指令序列的执行使(多个)处理器1104执行本文描述的过程步骤。在备选实现中,可以使用硬连线电路来代替或结合软件指令。
本文使用的术语“非瞬态介质”和类似的术语指的是存储使机器以特定方式操作的数据和/或指令的任何介质。这种非瞬态介质可以包括非易失性介质和/或易失性介质。非易失性介质包括例如光盘或磁盘,诸如存储设备1110。易失性介质包括动态存储器,例如主存储器1106。非瞬态介质的常见形式包括例如,软盘、软盘、硬盘、固态驱动器、磁带或任何其他磁数据存储介质、CD-ROM、任何其他光学数据存储介质、任何具有孔图案的物理介质、RAM、PROM和EPROM、FLASH-EPROM、NVRAM、任何其他存储芯片或盒式磁带、以及它们的联网版本。
非瞬态介质与传输介质不同,但可以与传输介质结合使用。传输介质参与非瞬态介质之间的信息传输。例如,传输介质包括同轴电缆、铜线和光纤,包括构成总线1102的电线。传输介质还可以采用声波或光波的形式,例如在无线电波和红外线数据通信期间生成的那些。
计算机系统1100还包括耦合到总线1102的通信接口1118。网络接口1118提供与连接到一个或多个本地网络的一个或多个网络链路的双向数据通信耦合。例如,通信接口1118可以是综合业务数字网(ISDN)卡、电缆调制解调器、卫星调制解调器或提供到相应类型的电话线的数据通信连接的调制解调器。作为另一示例,网络接口1118可以是局域网(LAN)卡,以提供到兼容的LAN(或与WAN通信的WAN组件)的数据通信连接。还可以实现无线链路。在任何这样的实现中,网络接口1118传输和接收携带表示各种类型信息的数字数据流的电、电磁或光信号。
网络链路通常通过一个或多个网络向其他数据设备提供数据通信。例如,网络链路可以通过本地网络提供到主计算机或到由互联网服务提供方(ISP)操作的数据设备的连接。ISP继而通过现在通常被称为“互联网”的全球分组数据通信网提供数据通信服务。本地网络和互联网两者都使用携带数字数据流的电、电磁或光信号。通过各种网络的信号和在网络链路上并且通过通信接口1118的信号携带去往和来自计算机系统1100的数字数据,它们是传输介质的示例形式。
计算机系统1100可以通过(多个)网络、网络链路和通信接口1118传输消息和接收数据,包括程序代码。在互联网的示例中,服务器可以通过互联网、ISP、本地网络和通信接口1118传输针对应用程序的请求代码。
所接收的代码可以在其被接收时由处理器1104执行,和/或存储在存储设备1110中或其他非易失性存储器中以供稍后执行。
前述部分中描述的每个过程、方法和算法可以实施在由包括计算机硬件的一个或多个计算机系统或计算机处理器执行的代码组件中,并且由其完全地或部分地自动化。一个或多个计算机系统或计算机处理器还可以操作为支持在“云计算”环境中或作为“软件即服务”(SaaS)的相关操作的执行。这些过程和算法可以部分地或全部地在专用电路中实现。上述各种特征和过程可以彼此独立地使用,或者可以以各种方式组合。不同的组合和子组合旨在落入本公开的范围内,并且在一些实现中可以省略某些方法或过程块。本文描述的方法和过程也不限于任何特定序列,并且与其相关的块或状态可以以适当的其他序列来执行,或者可以并行地执行,或者以某种其他方式来执行。可以将块或状态添加到所公开的示例实现中或从中移除。某些操作或过程的执行可以分布在计算机系统或计算机处理器之间,不仅驻留在单个机器内,而且部署在多个机器上。
如本文所使用的,可以利用任何形式的硬件、软件或其组合来实现电路。例如,可以实现一个或多个处理器、控制器、ASIC、PLA、PAL、CPLD、FPGA、逻辑组件、软件例程或其他机制来构成电路。在实现中,本文描述的各种电路可以实现为离散电路,或者所描述的功能和特征可以在一个或多个电路之间部分或全部共享。即使功能的各种特征或元素可以作为单独的电路单独描述或要求保护,但是这些特征和功能可以在一个或多个共同电路之间共享,并且这样的描述不应要求或暗示需要单独的电路来实现这些特征或功能。在使用软件全部或部分实现电路的情况下,可以实现这样的软件以与能够执行针对其描述的功能的计算或处理系统(诸如,计算机系统1100)一起操作。
如本文所使用的,术语“或”可以解释为包含性或排他性意义。此外,单数形式的资源、操作或结构的描述不应被理解为排除复数形式。条件语言,诸如,除其他之外,“可以”、“可”、“能够”或“可能”,除非特别声明,或者在所使用的上下文中以其他方式理解,否则通常旨在传达某些实现包括某些特征、元素和/或步骤,而其他实现不包括。
除非另有明确说明,否则本文档中使用的术语和短语及其变形应被解释为开放性的,而不是限制性的。诸如“常规”、“传统”、“正常”、“标准”、“已知”以及类似含义的术语的形容词不应被解释为将所描述的项目限制在给定时间段或在给定时间可用的项目,而应理解为包括现在或将来任何时候可能可用或已知的常规、传统、正常或标准技术。在某些情况下,出现诸如“一个或多个”、“至少”、“但不限于”或其他类似短语的扩大词和短语,不应被理解为意思是在可能没有这种扩大短语的情况下旨在或要求较窄范围。
Claims (20)
1.一种方法,包括:
由接入点AP从配置器接收指示所述AP被配给用于登入物联网IoT设备的消息,所述消息包含包括所述IoT设备的第一公钥的数据散列,并且响应于所述AP或另一AP接收到包含包括所述IoT设备的所述第一公钥的所述数据散列的啁啾信号,基于由所述配置器从所述AP或所述另一AP接收到另一消息来接收所述消息;
基于被配给用于登入所述IoT设备,由所述AP基于包括所述IoT设备的所述第一公钥的所述数据散列从认证服务器接收所述IoT设备的所述第一公钥的验证;
由所述AP基于所述第一公钥来生成上下文,其中所述上下文包括用于将所述IoT设备登入到网络上而不在所述AP和所述配置器以及所述AP和所述认证器之间进行后续通信的信息;以及
响应于多个第一啁啾信号中的每个第一啁啾信号,由所述AP基于所述上下文来传输认证请求,所述认证请求包括所述第一公钥的所述散列。
2.根据权利要求1所述的方法,还包括:
由所述AP基于所述认证请求中的一个认证请求从所述IoT设备接收认证响应;
由所述AP在接收到所述认证响应之后,接收多个第二啁啾信号;以及
响应于接收到所述认证响应,忽略所述多个第二啁啾信号。
3.根据权利要求2所述的方法,还包括:
由所述AP基于接收到的所述认证响应将所述IoT设备登入到所述网络上。
4.根据权利要求1所述的方法,还包括:
由所述AP从所述IoT设备以外的设备接收所述多个第一啁啾信号中的一个或多个第一啁啾信号;
由所述AP在接收到所述一个或多个第一啁啾信号之后,从所述IoT设备接收所述多个第一啁啾信号中的啁啾信号;
由所述AP基于响应于来自所述IoT设备的所述啁啾信号的授权请求,从所述IoT设备接收认证响应;以及
由所述AP基于接收到的所述认证响应将所述IoT设备登入到所述网络上。
5.根据权利要求1所述的方法,其中由所述AP生成所述上下文是响应于由所述AP从所述认证服务器接收所述IoT设备的所述第一公钥的所述验证。
6.根据权利要求1所述的方法,还包括:
由所述AP从所述IoT设备以外的设备接收包括所述IoT设备的所述第一公钥的所述数据散列的啁啾信号;以及
响应于接收到所述啁啾信号,向所述配置器报告啁啾事件。
7.根据权利要求1所述的方法,还包括:
在超时时段经过之后:
删除所述上下文;
响应于接收后续啁啾信号,向所述配置器报告后续啁啾事件;
接收来自所述配置器的啁啾事件拒绝消息;以及
响应于所述啁啾事件拒绝消息,基于所述第一公钥来生成另一上下文,其中所述另一上下文包括用于将所述IoT设备登入到所述网络上的信息。
8.根据权利要求1所述的方法,其中所述啁啾信号和所述多个第一啁啾信号中的每个第一啁啾信号是设备配给协议DPP存在通知消息。
9.根据权利要求1所述的方法,其中所述第一公钥是公共自举密钥。
10.一种接入点,包括:
存储器,存储指令;以及
一个或多个处理器,其通信地耦合到所述存储器并且被配置为执行存储在所述存储器中的指令以:
从设备接收啁啾信号,所述啁啾信号包含包括物联网IoT设备的第一公钥的数据散列,所述第一公钥用于将所述IoT设备登入到网络上;
基于接收到所述啁啾信号,基于包括所述IoT设备的所述第一公钥的所述数据散列,从认证服务器接收所述IoT设备的所述第一公钥的验证;
基于所述第一公钥来生成上下文,其中所述上下文包括用于将所述IoT设备登入到所述网络上的信息,而无需与所述配置器和所述认证器进行后续通信;以及
响应于多个第一啁啾信号中的每个第一啁啾信号,基于所述上下文来传输认证请求,所述认证请求包括所述第一公钥的所述散列。
11.根据权利要求10所述的接入点,其中所述啁啾信号和所述多个第一啁啾信号中的每个第一啁啾信号是设备配给协议DPP存在通知消息。
12.根据权利要求10所述的接入点,其中所述啁啾信号从所述IoT设备之外的设备接收。
13.根据权利要求10所述的接入点,其中所述一个或多个处理器还被配置为执行所述指令以:
响应于接收到所述啁啾信号,向配置器传输啁啾事件;以及
基于从所述配置器接收到的对所述啁啾事件的响应,向所述认证服务器传输密钥授权请求,
其中来自所述认证服务器的对所述IoT设备的所述第一公钥的所述验证响应于所述密钥授权请求。
14.根据权利要求10所述的接入点,其中所述一个或多个处理器还被配置为执行所述指令以:
基于所述认证请求中的一个认证请求从所述IoT设备接收认证响应;
在接收到所述认证响应之后,接收多个第二啁啾信号;以及
响应于接收到所述认证响应,忽略所述多个第二啁啾信号。
15.根据权利要求10所述的接入点,其中所述一个或多个处理器还被配置为执行所述指令以:
基于接收到的所述认证响应将所述IoT设备登入到所述网络上。
16.根据权利要求10所述的接入点,其中所述一个或多个处理器还被配置为执行所述指令以:
从所述IoT设备之外的设备接收所述多个第一啁啾信号中的一个或多个啁啾信号;
在接收到所述一个或多个第一啁啾信号之后,从所述IoT设备接收所述多个第一啁啾信号中的啁啾信号;
基于响应于来自所述IoT设备的所述啁啾信号的授权请求,从所述IoT设备接收认证响应;以及
基于接收到的所述认证响应将所述IoT设备登入到所述网络上。
17.根据权利要求10所述的接入点,其中响应于从所述认证服务器接收到所述IoT设备的所述第一公钥的所述验证,生成所述上下文。
18.根据权利要求10所述的接入点,其中所述一个或多个处理器还被配置为执行所述指令以:
接收来自所述配置器的啁啾事件拒绝消息;以及
响应于所述啁啾事件拒绝消息,基于所述第一公钥来生成另一上下文,其中所述另一上下文包括用于将所述IoT设备登入到网络上的信息。
19.一种方法,包括:
生成啁啾表,所述啁啾表包括用于多个IoT设备标识符的条目,每个条目包括服务接入点字段、被服务接入点字段和邻居接入点字段;
由配置器从网络上的多个接入点接收多个啁啾事件消息,所述多个啁啾事件消息响应于来自一个或多个设备的啁啾信号,并且各自包括IoT设备的标识符;
由配置器基于参考所述IoT设备的所述标识符的所述啁啾表来确定接受或拒绝所述多个啁啾事件消息中的每个啁啾事件消息;
由配置器基于所述多个啁啾事件,通过填充与所述IoT设备的所述标识符相关联的所述服务接入点字段、所述被服务接入点字段和所述邻居接入点字段来更新所述啁啾表;以及
由配置器通过监测所述被服务接入点字段来检测拒绝服务攻击。
20.根据权利要求19所述的方法,其中检测所述拒绝服务攻击包括:
确定与所述IoT设备的所述标识符相关联的所述啁啾表的所述被服务接入点字段中列出的所述多个接入点中的接入点的数目超过接入点的阈值数目。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US17/968,310 | 2022-10-18 | ||
| US17/968,310 US20240129337A1 (en) | 2022-10-18 | 2022-10-18 | Mitigation of a denial of service attack in a device provisioning protocol (dpp) network |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117914510A true CN117914510A (zh) | 2024-04-19 |
Family
ID=90469458
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311194660.3A Pending CN117914510A (zh) | 2022-10-18 | 2023-09-15 | 缓解设备配给协议(dpp)网络中的拒绝服务攻击 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20240129337A1 (zh) |
| CN (1) | CN117914510A (zh) |
| DE (1) | DE102023126448A1 (zh) |
-
2022
- 2022-10-18 US US17/968,310 patent/US20240129337A1/en active Pending
-
2023
- 2023-09-15 CN CN202311194660.3A patent/CN117914510A/zh active Pending
- 2023-09-28 DE DE102023126448.6A patent/DE102023126448A1/de active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| US20240129337A1 (en) | 2024-04-18 |
| DE102023126448A1 (de) | 2024-04-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11109229B2 (en) | Security for network computing environment using centralized security system | |
| US10630724B2 (en) | Systems and methods for network vulnerability assessment and protection of Wi-fi networks using a cloud-based security system | |
| RU2546610C1 (ru) | Способ определения небезопасной беспроводной точки доступа | |
| RU2691858C2 (ru) | Система и способ автоматического обнаружения устройства, управления устройством и удаленной помощи | |
| US8392712B1 (en) | System and method for provisioning a unique device credential | |
| EP2337307B1 (en) | Secure subscriber identity module service | |
| US8230480B2 (en) | Method and apparatus for network security based on device security status | |
| WO2017210198A1 (en) | Methods and systems for detecting and preventing network connection compromise | |
| US11190510B2 (en) | Two-factor authentication in a cellular radio access network | |
| US11197160B2 (en) | System and method for rogue access point detection | |
| US10623446B1 (en) | Multi-factor authentication for applications and virtual instance identities | |
| WO2007120313A2 (en) | Insider attack defense for network client validation of network management frames | |
| Vanhoef et al. | Operating channel validation: Preventing multi-channel man-in-the-middle attacks against protected Wi-Fi networks | |
| US20180124111A1 (en) | System and method for network entity assisted honeypot access point detection | |
| Jang et al. | Catch me if you can: Rogue access point detection using intentional channel interference | |
| US11336621B2 (en) | WiFiwall | |
| US20220400118A1 (en) | Connecting internet of thing (iot) devices to a wireless network | |
| Chatzisofroniou et al. | Association attacks in ieee 802.11: Exploiting wifi usability features | |
| Mateti | Hacking techniques in wireless networks hacking techniques in wireless networks | |
| US20230276239A1 (en) | Handling unsolicited probe responses | |
| CN117914510A (zh) | 缓解设备配给协议(dpp)网络中的拒绝服务攻击 | |
| CN115623013A (zh) | 一种策略信息同步方法、系统及相关产品 | |
| Santos et al. | Cross-federation identities for IoT devices in cellular networks | |
| Chatzisofroniou et al. | Exploiting WiFi usability features for association attacks in IEEE 802.11: Attack analysis and mitigation controls | |
| Vennam et al. | A Comprehensive Analysis of Fog Layer and Man in the Middle Attacks in IoT Networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication |