TWI727503B - 獲取無線網路中攻擊的方法和電子設備 - Google Patents

獲取無線網路中攻擊的方法和電子設備 Download PDF

Info

Publication number
TWI727503B
TWI727503B TW108141594A TW108141594A TWI727503B TW I727503 B TWI727503 B TW I727503B TW 108141594 A TW108141594 A TW 108141594A TW 108141594 A TW108141594 A TW 108141594A TW I727503 B TWI727503 B TW I727503B
Authority
TW
Taiwan
Prior art keywords
attack
broadcast
sta
site
attacking
Prior art date
Application number
TW108141594A
Other languages
English (en)
Other versions
TW202037110A (zh
Inventor
郭明旺
Original Assignee
聯發科技股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 聯發科技股份有限公司 filed Critical 聯發科技股份有限公司
Publication of TW202037110A publication Critical patent/TW202037110A/zh
Application granted granted Critical
Publication of TWI727503B publication Critical patent/TWI727503B/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0631Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0637Modes of operation, e.g. cipher block chaining [CBC], electronic codebook [ECB] or Galois/counter mode [GCM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本發明提供一種獲取無線網路中攻擊的方法,包括:第一網路設備與第二網路設備建立無線通訊;該第一網路設備檢測到該無線網路中的廣播和/或多播攻擊;以及該第一網路設備使用成對金鑰加密訊框向該第二網路設備通知該廣播和/或多播攻擊。

Description

獲取無線網路中攻擊的方法和電子設備
本發明涉及無線通訊技術領域,尤其涉及一種獲取無線網路中攻擊的方法和電子設備。
除非另外指出,否則本部分中描述的方法不是對於本文列出的申請專利範圍的現有技術,並且包含在本部分中方法也未承認是現有技術。
對於根據電氣電子工程師協會(Institute of Electrical and Electronics Engineers,IEEE)802.11規範的無線通訊系統(例如Wi-Fi網路)中的安全通訊,可以使用一種或多種加密(encryption)方法,包括有線等效保密(Wired Equivalent Privacy,WEP) ,臨時金鑰完整性協定(Temporal Key Integrity Protocol,TKIP),高級加密標準(Advanced Encryption Standard,AES)和受保護的管理訊框(Protected Management Frames,PMF)。對於廣播(broadcast ,BC)和/或多播(multicast ,MC)資料訊框(data frame),公共金鑰(例如,組金鑰)可以由接入點(access point,AP)和無線連接到AP的站點(station,STA)共用,並且與AP關聯的基本服務集(basic service set,BSS)中的設備能夠對廣播資料封包(packet)進行加密和解密。通常,與AP關聯的STA在從AP接收BC和/或MC訊框時需要解密BC和MC訊框,並且只有AP會向STA發送BC和/或MC訊框,因為這是基礎設施(infrastructure BSS)的通常用法。因此,任何設備都可能能夠攻擊同一BSS中的其他設備。攻擊設備可能會透過傳輸BC和/或MC訊框來攻擊Wi-Fi BSS,以使BSS中的STA將此類BC和/或MC訊框視為由AP傳輸。
然而,目前在當前的IEEE 802.11標準中沒有考慮到攻擊可能來自BSS內的設備之一以防止這種問題。具體來說,在IEEE 802.11標準的11.4.3.4.4節中,規定“接收者應當丟棄組成MPDU PN值不是連續的MSDU,A-MSDU和MMPDU”和“接收者應當丟棄任何接收到的PN小於或等於重播計數器(replay counter)的MPDU”。但是,該標準當前未解決如何透過重播計數器防止BC和/或MC封包攻擊。另外,在標準中沒有考慮原始的BC和/或MC封包可能在接收STA(接收者)處被丟棄,並且也沒有考慮這種攻擊的任何副作用。
有鑑於此,本發明提供一種獲取無線網路中攻擊的方法和電子設備和電子設備,可以獲取無線網路中的攻擊,以便無線網路中的設備得知攻擊的存在,並便於執行其他的操作或動作。
根據本發明的第一方面,公開一種獲取無線網路中攻擊的方法,包括: 第一網路設備與第二網路設備建立無線通訊; 該第一網路設備檢測到該無線網路中的廣播和/或多播攻擊;以及 該第一網路設備使用成對金鑰加密訊框向該第二網路設備通知該廣播和/或多播攻擊。
根據本發明的第二方面,公開一種獲取無線網路中攻擊的方法,包括: 接入點接收具有等於該接入點的媒體存取控制位址的基本服務集識別碼的廣播和/或多播訊框; 若該廣播和/或多播訊框中的計數器小於當前重播計數器,則該無線網路中攻擊存在廣播和/或多播攻擊。
根據本發明的第三方面,公開一種電子設備,包括處理器和記憶體,該處理器可讀取存儲在該記憶體中的程式碼,以執行本發明的第二方面的所述方法的步驟。
根據本發明的第四方面,公開一種電子設備,包括處理器和記憶體,該處理器可讀取存儲在該記憶體中的程式碼以執行: 與無線網路中的第二網路設備建立無線通訊;檢測到該無線網路中的廣播和/或多播攻擊;以及使用成對金鑰加密訊框向該第二網路設備通知該廣播和/或多播攻擊。
本發明提供的獲取無線網路中攻擊的方法由於包括該第一網路設備使用成對金鑰加密訊框向該第二網路設備通知該廣播和/或多播攻擊。這樣就可以讓無線網路中的設備例如接入點和站點等知道無線網路中存在封包攻擊,這些設備可以根據自身的情況決定如何處理這些封包攻擊,使這些設備具有靈活的處理方式和更多的處理空間及時間。
根據本發明的實施方式涉及與在計數器模式密碼塊鏈接訊息認證協定(Counter Mode Cipher Block Chaining Message Authentication Protocol,CCMP)或啟用TKIP(TKIP-enabled)的無線通訊中檢測和防止廣播封包攻擊和/或多播封包攻擊以及發現(uncovering)發起攻擊的設備(或站點),以斷開攻擊者(攻擊設備或站點)的連接所相關的各種技術,方法,方案和/或解決方案。即,在根據本發明的提出的方案下,可以檢測、通知和防止攻擊,並且可以發現在BSS域(domain)中作為攻擊者的設備(或站點)。如下所述,可以透過與BSS相關聯的AP在AP側實現所提出的方案,並且也可以透過BSS中的每個STA在STA側實現所提出的方案。
在所提出的方案下,在STA側,如果從BSS中的另一個STA(例如,攻擊設備)透過重播檢測(replay detection)接收到許多BC 和/或 MC訊框,則接收STA(接收者)可以將其(另一個STA)視為BC和/或MC封包攻擊(或簡稱為BC和/或MC攻擊,或BC/MC攻擊,或封包攻擊等)的跡象。具體來說,BSS中是否存在BC和/或MC封包攻擊可以透過重播計數器(重播檢測的方式)來發現,例如在原本的AP向STA發送BC和/或MC封包(第一BC和/或MC封包)時,是按照順序依次發送,例如計數器從1開始計數,依次遞增(1,2,3,4,5…);例如計數到5時,此時突然又有其他的BC和/或MC封包(第二BC和/或MC封包)傳輸到該STA,並且計數是重新開始計數的(從1開始計數),而此前的該STA的計數已經計數(接收第一BC和/或MC封包的計數)到例如5(或其他大於1的計數)。此時就可以判定後面收到的其他的BC和/或MC封包(第二BC和/或MC封包)實際上是BC和/或MC封包攻擊;而這種攻擊可以是在BSS中的另一個STA發起的。另外,重播計數器可以設置在AP中,而AP每次向STA傳輸資料或封包等時,會將當前重播計數器的計數發送出去,STA就會知道了當前的計數。當STA發送有其他的計數(計數相對之前的變小或倒退了),STA就認為出現了異常,並且STA可以認為此事出現封包攻擊。本實施例中將介紹採用本發明的方案來找到該發起攻擊的STA。攻擊設備(例如另一個STA)可以連接到公共AP,並且可以偽造具有與AP的媒體存取控制(media access control,MAC)位址相同的傳送(transmit,TX)位址的BC 和/或 MC訊框(BC和/或MC封包)。在接收STA發現有其他的BC和/或MC封包(第二BC和/或MC封包)時(也就是說存在BC和/或MC封包攻擊時),接收STA可以例如透過具有成對金鑰加密(pairwise key encrypted)的單播訊框(unicast frame)來通知AP,從而告訴AP在BSS中存在BC和/或MC封包攻擊(例如其中某個STA或另一個STA偽裝為AP來進行攻擊)。由於使用了成對金鑰加密,該接收STA通知AP時,其他設備例如其他STA無法知道該接收STA發給AP的具體內容。另外,在所提出的方案下,BSS中的每個STA可以在啟用AES (AES-enabled)的模式或啟用TKIP的模式下使用加密與AP與其他STA通訊。通常,在BSS結構下,AP和每個STA可以直接相互通訊,而兩個STA透過AP間接相互通訊(例如,STA 1可以透過STA 1將訊框發送到AP,而AP又將訊框轉發給STA 2,來與STA 2通訊)。此外,每個STA可以診斷答覆檢測並且知道BSS中的BC和/或 MC封包攻擊。例如,利用在給定時段內從特定STA檢測到的攻擊封包的數量,STA可以向AP發送特定訊框(specific frame)以向AP通知BC和/或MC封包攻擊,如上所述的,特定訊框可以是單播資料封包,例如使用成對金鑰加密的單播資料封包或訊框。在一些情況下,STA可以使用具有成對金鑰加密的單播資料封包或訊框來通知AP。此外,AP也可以使用成對金鑰加密訊框向STA通知廣播和/或多播攻擊,AP可以選擇一個STA來通知(例如發送單播訊框或封包來通知),或者選擇複數個STA來通知(選擇複數個時也可以一個個的依次向STA通知)。另外,本發明中所檢測和防止的BC和/或MC封包攻擊可以指:BC封包攻擊和MC封包攻擊中的任意一種或兩種。AP可以傳送BC封包和MC封包的任意一種或兩種,其中BC封包是針對所有STA發出的,MC封包是針對部分STA(數量大於一個)發出的。而封包攻擊可以是指BC封包攻擊和MC封包攻擊中的任意一種或兩種,在一些情況下也可能有單播封包的攻擊。
在所提出的方案下,在AP側,BSS的AP可以接收啟用了CCMP或TKIP加密的BC和/或MC訊框,並且每個BC和/或MC訊框中指示的基本服務集識別碼(BSSID)可以是等於AP的MAC位址。因此,例如,AP可以透過檢查和驗證AES訊框的封包號(packet number,PN)或TKIP訊框的TKIP序列計數器(TKIP sequence counter,TSC)是否大於當前重播計數器來檢測BSS的BC和/或MC封包攻擊。對於AES,它需要PN0,PN1,PN2,PN3,PN4和PN5來檢測重播計數器。對於TKIP,它需要TSC0,TSC1,TSC2,TSC3,TSC4和TSC5來檢測重播計數器。其中,AES訊框的封包號或TKIP訊框的TKIP序列計數器(或CCMP的序列計數器,或其他訊框或協定下的計數器等)可以統稱為計數器。一旦AP知道BC和/或MC訊框已用於BC和/或MC封包攻擊,則AP可以執行一項或多項操作來防止BSS中任何的進一步攻擊。例如,AP可以觸發與BSS相關聯的所有STA的組金鑰(group key)金鑰更新協商(rekey negotiation)。替代地或附加地,AP可以在AP和與BSS相關聯的每個STA之間觸發重播計數器更新(renew)過程。替代地或附加地,AP可以將通知訊框(notification frame)發送到網路管理器以指示BSS受到BC和/或MC封包攻擊。其中網路管理器可以是管理所有連接到該網路管理器的AP的管理器,當其中一個AP得知(之前)與該AP連接的一個或複數個站點或設備為攻擊設備時,則可以將該一個或複數個站點或設備的訊息(例如MAC位址)傳輸給網路管理器,這樣網路管理器就可以通知所有與該網路管理器的AP該一個或複數個站點或設備的訊息,從而拒絕該一個或複數個站點或設備接入到這些AP,以防止攻擊的發生。其中AP向網路管理器發送通知,或者網路管理器向AP發送通知,可以透過通知訊框,或者透過特定訊框,或者其他預設的訊框來進行通知。AP與網路管理器之間可以透過有線的方式進行連接,例如網線或光纖等。
此外,在所提出的方案下,一旦AP知道BC和/或MC訊框用於BC和/或MC封包攻擊,則AP可以與BSS中的一個或複數個STA進行組金鑰金鑰更新協商來作為一種方式,以識別或以其他方式確定BSS中的STA的哪一個(或哪些)可能是攻擊設備,其中該攻擊設備透過使用BC和/或MC封包發起BC和/或MC封包攻擊以攻擊BSS(中的STA)。其中在確定哪一個(或哪些)是攻擊設備時,本發明中採用的是AP與BSS中的部分STA(而不是全部STA)進行組金鑰金鑰更新協商,然後根據協商後的結果來確定攻擊設備可能是哪些STA(或者可以直接確定哪個或哪些是攻擊設備),具體過程下文中將會詳細說明。一旦AP識別出與BSS相關聯的STA中的哪一個(或哪些)STA是攻擊設備,則AP可以將這種攻擊STA與BSS斷開連接,也可以拒絕來自該BSS中的這種攻擊STA。需要說明的是,進行組金鑰金鑰更新協商後,只有選取進行該協商的部分STA可以繼續與AP通訊(只有它們知道更新後的金鑰),其他沒有參與本次組金鑰金鑰更新協商的STA,不知道更新後的金鑰,可能無法接收到AP之後發送的封包等,也無法偽裝為AP向其他STA發送封包攻擊等,或者即使偽裝成AP也由於不知道與其他STA之間的金鑰而無法通訊(也即無法攻擊)。
在所提出的方案下,AP可以在啟用AES的模式或啟用TKIP的模式下使用加密與BSS中的STA進行通訊。因此,AP可以接收具有等於該AP的MAC位址的BSSID的BC和/或MC訊框。如果AP在給定時間段內接收到許多BC和/或MC訊框,當每個這種BC和/或MC訊框均指示BSSID等於AP的MAC位址時,AP可以檢測或以其他方式確定(例如當PN(在AES模式下)或TSC(在TKIP模式下)或其他模式下的計數器大於當前重播計數器時)BSS中存在BC和/或MC封包攻擊。具體來說,AP可以發出BC和/或MC封包或訊框,本發明的方案中,AP還可以接收所發出的BC和/或MC封包或訊框,AP也可以接收其他設備(例如攻擊設備)發出的BC和/或MC封包或訊框。例如,當有設備準備在BSS中發起封包攻擊時,該設備發送的BC和/或MC封包或訊框具有與AP發出的BC和/或MC封包或訊框具有相同的MAC位址。AP在發出自己的BC和/或MC封包或訊框之後,還可以接收BSS中的BC和/或MC封包或訊框,而當AP接收到的BC和/或MC封包或訊框中的計數器(例如PN或TCS等)小於剛剛AP發出自己的BC和/或MC封包或訊框中的計數器(當前重播計數器)時,這就說明有設備發出了封包攻擊,因此AP可以透過接收具有等於該AP的MAC位址的(BSSID的)BC和/或MC訊框來確定BSS中是否存在封包攻擊。另外,當AP接收到的BC和/或MC封包或訊框中的計數器(例如PN或TCS等)等於剛剛AP發出自己的BC和/或MC封包或訊框中的計數器(當前重播計數器)時,也是值得懷疑的,此時極有可能已經存在封包攻擊了,可能還需要進一步的確認。本實施例中可以透過下文描述的方式來確認是否發生了封包攻擊,例如BSS中的STA透過重播檢測的方式發現了封包攻擊,並且STA透過成對金鑰加密訊框或封包向AP通知封包攻擊的發生(以單播封包或訊框的形式發送)。
因此,AP可透過在BSS從STA接收到通知或由AP本身檢測BC和/或MC封包攻擊意識到在BSS中存在 BC和/或MC封包攻擊或在BSS中的BC和/或MC封包攻擊的發生。在僅有單個STA連接到AP的情況下,AP可以開始與STA的組金鑰金鑰更新協商。這是因為攻擊設備不是BSS中的設備(即,AP和單個STA)之一(也就是既不是AP也不是目前的這些STA),並且金鑰更新可能會阻止進一步的攻擊。在有兩個或兩個以上的STA連接到AP的情況下,AP可以開始為所有STA進行(一輪)組金鑰金鑰更新協商,從而改變組金鑰以防止進一步的攻擊。備選地,由於攻擊設備可以是BSS中的STA之一,因此AP可以針對所有STA開始重播計數器更新過程,以防止進一步受到攻擊。
在所提出的方案下,AP可以有意地對與BSS相關聯的部分而不是全部的STA執行組金鑰金鑰更新協商,以發現在STA中的哪個(或哪些)設備可能是(在BSS中)發起或以其他方式實施了攻擊的攻擊設備。一旦識別出來或以其他方式確定了攻擊設備,AP可以將這種攻擊STA與BSS斷開連接,也可以拒絕來自BSS中的這種攻擊STA。 AP可以將特定訊框或其他形式發送到網路管理器,以指示重播檢測和/或已經發現攻擊設備。 AP還可以記錄或以其他方式存儲每個攻擊設備的標識(例如,存儲在黑名單中)。
第1圖示出了示例網路環境100,在其中可以實現根據本發明的各種示例。網路環境100可包括AP 105,由AP 105託管(hosting)的BSS 150,與BSS 150相關聯的複數個STA。在第1圖中所示的示例中,STA#1 110,STA#2 120和STA#3 130可以是在BSS 150中,或以其他方式與BSS 150相關聯。作為非限制性和說明性示例,一旦AP 105意識到BC和/或MC封包攻擊,則AP 105可以與STA#1 110和STA#2 120執行組金鑰金鑰更新協商,而不與STA#3 130執行組金鑰金鑰更新協商。隨後,如果繼續發生相同類型的攻擊,則AP 105可以診斷或以其他方式確定該攻擊是來自STA#1 110或STA#2 120,並且STA#3 130不是攻擊設備。此外,AP 105可以與STA#1 110和STA#3 130進行組金鑰金鑰重新協商,但不與STA#2 120進行組金鑰金鑰更新協商。在仍然繼續發生相同類型的攻擊的情況下,AP 105可能會發現,識別或以其他方式進行攻擊確定STA#1 110是攻擊設備。另外,AP檢測到BSS中(或無線網路中)是否存在封包攻擊,可以透過可信任的STA來通知AP使AP得知或檢測到,或者透過BSS中的其他STA(例如STA#1 110,STA#2 120, STA#3 130)來通知AP使AP得知或檢測到。AP可以告訴所有與AP相連的STA此時存在封包攻擊。
作為另一個非限制性和說明性示例,AP 105可以向BSS 150添加可信任的STA(例如STA#T 140,STA#T 140例如可以是AP 105的擁有者或主人,並且不希望AP 105和與AP 105連接的設備被攻擊),並將STA#T 140和STA#1 110執行第一輪部分組金鑰金鑰更新協商。然後,AP可以將STA#T 140和STA#2 120執行第二輪部分組金鑰金鑰更新協商。這方法可以由AP繼續(例如,將STA#T 140和STA#3 130執行與第三輪部分組金鑰金鑰更新協商),直到發現攻擊設備為止。例如本段的示例中,執行第一輪部分組金鑰金鑰更新協商(將STA#T 140和STA#1 110執行更新),更新後,若(相同類型的)攻擊停止則攻擊設備在STA#2 120和STA#3 130中;若攻擊繼續,則STA#1 110是攻擊設備。假設在第一輪部分組金鑰金鑰更新協商之後攻擊停止,則執行第二輪部分組金鑰金鑰更新協商(將STA#T 140和STA#2 120執行更新),更新後,若攻擊停止則STA#2 130為攻擊設備;若攻擊繼續,則STA#2 120是攻擊設備。若確定STA#3 130為攻擊設備。此時就可以將STA#3 130斷開與AP的連接,將STA#3 130踢出該BSS(將該STA#3 130與AP及其他STA等斷開連接)。其中,STA#T 140可以是預先設定的可信任設備,STA#T 140可以由管理員添加進來用於檢測攻擊設備。此外,其他站點或設備例如STA#1 110,STA#2 120,STA#3 130它們可能接收到了封包攻擊,然而STA#1 110,STA#2 120,STA#3 130也可能是偽裝為AP的攻擊設備,它們是不可信的,無法絕對信任,因此為了準確的檢測到哪個(哪些)是攻擊設備,需要預先設定可信任的設備。當然,在另一實施例中,管理員在確定STA#1 110,STA#2 120,STA#3 130其中具有可信任的設備時,它們其中一個或複數個也可以用作可信任設備,來進行攻擊設備的檢測,以防止攻擊。例如,BSS中具有更多的STA,舉例來說包括STA#1,STA#2,STA#3,STA#5,STA#6,STA#7等等。其中,可以確定STA#1是可信任的設備(例如STA#1是該AP的主人或所有者,其他的STA是訪客),例如STA#1透過重播檢測的方式發現在BSS中存在BC和/或MC封包攻擊,然後STA#1將在BSS中存在BC和/或MC封包攻擊的情況告知AP。STA#1是可信任的設備,自然不會是攻擊設備。AP例如選取STA#1和STA#2進行第一輪部分組金鑰金鑰更新協商,若相同類型的攻擊停止(例如STA#1未再接收到封包攻擊,並且可以告知AP),則攻擊設備在STA#3,STA#5,STA#6,STA#7中;若攻擊繼續(例如STA#1還會接收到封包攻擊,並且可以告知AP),則攻擊設備至少包括STA#2。假設上述第一輪部分組金鑰金鑰更新協商後,相同類型的攻擊停止,也即攻擊設備在STA#3,STA#5,STA#6,STA#7中。接下來就可以選取例如STA#1和STA#3進行第二輪部分組金鑰金鑰更新協商,在第二輪部分組金鑰金鑰更新協商之後,如果相同類型的攻擊停止,則證明攻擊設備在STA#5,STA#6,STA#7中;如果相同類型的攻擊繼續,則證明攻擊設備至少包括STA#3。本實施例中,例如上述第一輪部分組金鑰金鑰更新協商後攻擊繼續,也即攻擊設備至少包括STA#2。之後也可以繼續選取例如STA#1和STA#3進行第二輪部分組金鑰金鑰更新協商,在第二輪部分組金鑰金鑰更新協商之後,若攻擊繼續,則證明攻擊設備至少包括STA#2和STA#3。也就是說,攻擊設備可以是一個或複數個,AP可以一直執行該部分組金鑰金鑰更新協商,以發現所有的攻擊設備。
第2圖示出了根據本發明的實施方式的具有至少示例裝置210(例如為電子裝置)和示例裝置220(例如為電子裝置)的示例系統200。裝置210和裝置220中的每一個可以執行各種功能以實現本文描述的與廣播和多播封包攻擊的檢測和防止有關聯的方案,技術,過程和方法,以發現和斷開無線通訊中的攻擊者,包括所描述的各種方案,具有關於以上描述的各種所提出的設計,概念,方案,系統和方法,以及以上描述也適用於以下描述的過程300。即,裝置210和裝置220中的每一個可以是網路環境100中的AP 105,或STA#1 110,STA#2 120,STA#3 130和STA#T 140之一的示例實現。
裝置210和裝置220中的每一個可以是電子設備(或裝置)的一部分,該電子設備可以是網路設備或STA,諸如可擕式或行動設備,可穿戴設備,無線通訊設備或計算設備。例如,裝置210和裝置220中的每一個可以實現在智慧型電話,智慧手錶,個人數位助理,數位照相機或諸如平板電腦,膝上型電腦或筆記本電腦之類的計算設備中。裝置210和裝置220中的每一個也可以是機器類型的裝置的一部分,該機器類型的裝置可以是諸如不動或固定裝置的IoT裝置,家用裝置,有線通訊裝置或計算裝置。例如,裝置210和裝置220中的每一個都可以在智慧恒溫器,智慧冰箱,智慧門鎖,無線揚聲器或家庭控制中心中實現。當在網路設備中或作為網路設備實現時,裝置210和/或裝置220可以在Wi-Fi網路中的AP中實現。備選地,裝置210和/或裝置220可以在LTE,高級LTE或高級LTE Pro網路中的eNodeB中或在5G網路,NR網路或IoT網路中的gNB或TRP中實現。舉例來說,AP可以是路由器等,STA可以是手機等,當然這僅是為了通俗的理解而舉的例子,並非對本發明的限制。
在一些實施方式中,裝置210和裝置220中的每一個可以以一個或複數個積體電路(integrated-circuit,IC)晶片的形式實現,例如但不限於,一個或複數個單核處理器,一個或複數個多核處理器,或一個或複數個複雜指令集計算(complex-instruction-set-computing,CISC)處理器。在上述各種方案中,裝置210和裝置220中的每一個可以在網路裝置或UE(user equipment)中或作為網路裝置或UE來實現。裝置210和裝置220中的每一個可以分別包括第2圖所示的那些组件中的至少一些,例如分別包括處理器212和處理器222。裝置210和裝置220中的每一個可以進一步包括與本發明的所提出的方案不相關的一個或複數個其他组件(例如,內部電源,顯示裝置和/或使用者界面設備),並且因此,為了簡單和簡潔起見,裝置210和裝置220的這些组件在第2圖中未示出。
一方面,處理器212和處理器222中的每一個可以以一個或複數個單核處理器,一個或複數個多核處理器或一個或複數個CISC處理器的形式實現。即,即使在本文中使用單數術語“處理器”來指代處理器212和處理器222,根據本發明,處理器212和處理器222中的每一個在一些實施方式中可以包括複數個處理器,而在其他實施方式中可以包括單個處理器。另一方面,處理器212和處理器222中的每一個可以以具有電子部件的硬體(以及可選地,固件)的形式實現,該電子部件包括例如但不限於一個或複數個電晶體,一個或複數個二極體,一個或複數個電容器,一個或複數個電阻器,一個或複數個電感器,一個或複數個憶阻器和/或一個或複數個變容二極體,它們配置和佈置為實現根據本發明的特定目的。換句話說,根據本發明的各種實施方式,在至少一些實施方式中,處理器212和處理器222中的每一個是專門設計,配置和佈置為執行特定任務的專用機器,所述特定任務可以包括與檢測和防止廣播和多播封包攻擊有關的那些任務,以發現無線通訊中的攻擊者和將無線通訊中的攻擊者斷開連接。
在一些實施方式中,裝置210還可以包括耦合至處理器212的收發器216。收發器216可以能夠無線地發送和接收資料,封包和訊框。在一些實施方式中,裝置220還可以包括耦合至處理器222的收發器226。收發器226可以包括能夠無線發送和接收資料,封包和訊框的收發器。
在一些實施方式中,裝置210可以進一步包括耦合至處理器212並且能夠由處理器212訪問並在其中存儲資料的記憶體214。在一些實施方式中,裝置220可以進一步包括耦合至處理器222並且能夠由處理器222訪問並在其中存儲資料的記憶體224。記憶體214和記憶體224中的每個可以包括一種隨機存取記憶體(random-access memory,RAM),諸如動態RAM(dynamic RAM,DRAM),靜態RAM(static RAM,SRAM),晶閘管RAM(thyristor RAM,T-RAM)和/或零電容器RAM(zero-capacitor RAM ,Z-RAM)。替代地或附加地,記憶體214和記憶體224中的每一個可以包括一種類型的唯讀記憶體(read-only memory,ROM),諸如遮罩ROM (mask ROM),可程式設計ROM(programmable ROM,PROM),可擦除可程式設計ROM(erasable programmable ROM,EPROM)和/或電性可擦除可程式設計ROM(electrically erasable programmable,EEPROM)。替代地或附加地,記憶體214和記憶體224中的每一個可以包括一種非揮發性隨機存取記憶體(non-volatile random-access memory,NVRAM),諸如快閃記憶體,固態記憶體,鐵電RAM(ferroelectric RAM,FeRAM),磁阻RAM(magnetoresistive RAM,MRAM)和/或相變記憶體。
裝置210和裝置220中的每一個可以是能夠使用根據本發明的各種提出的方​​案彼此通訊的網路設備(或裝置)。出於說明性目的而非限制,在下面提供描述了作為無線網路(例如,基於IEEE 802.11標準的Wi-Fi網路)的裝置210和作為無線網路中的STA的裝置220的能力。值得注意的是,儘管以下描述的示例實現是在UE的上下文中提供的,但是它們可以在基站(base station)中實現並由基站執行。因此,儘管以下示例實現的描述涉及作為第一網路設備(例如,AP或STA)的裝置210,但是同樣適用於作為第二網路設備(例如,與上述第一網路設備對應的STA或AP)的裝置220 。本實施例中,記憶體中可存儲有用於執行的程式碼,處理器讀取該程式碼以執行本發明的方法和步驟。具體來講,AP中的記憶體中可存儲有用於執行的程式碼,AP中的處理器讀取該程式碼以執行本發明的方法和步驟。STA中的記憶體中可存儲有用於執行的程式碼,STA中的處理器讀取該程式碼以執行本發明的方法和步驟。
在根據本發明的各種提出的方​​案下,在無線網路(例如,BSS 150)中作為第一網路設備的裝置210的處理器212可以與作為第二網路設備的裝置220(當然也在無線網路中)建立無線通訊。另外,處理器212可以檢測無線網路中的廣播和/或多播封包攻擊(或廣播和/或多播攻擊),如上所述的,AP和STA可以檢測或獲取無線網路中的封包攻擊。第一網路設備可以是AP,第二網路設備可以是STA;或者,第一網路設備可以STA,第二網路設備可以是AP,此時第一網路設備(STA)可以透過重播檢測的方式獲取到BSS中是否存在封包攻擊,若存在則利用成對金鑰加密訊框告知AP。
此外,第一網路設備可以是AP,處理器212也可以利用成對金鑰加密訊框將攻擊通知給裝置220。第一網路設備可以是AP,第二網路設備可以是STA,此時AP也可以利用成對金鑰加密訊框將存在攻擊的通知發送給STA。
在一些實施方式中,無線通訊可以是啟用CCMP或TKIP的。
在一些實現中,無線網路可以包括基於IEEE 802.11標準的Wi-Fi BSS。另外,第一網路設備可以是BSS中的站點(STA),並且第二網路設備可以是與BSS相關聯的AP。
在一些實施方式中,無線網路可以包括基於IEEE 802.11標準的Wi-Fi BSS。此外,第一網路設備可以是與BSS相關聯的AP,第二網路設備可以是BSS中的站點(STA)。
在一些實現中,第一網路設備可以是AP,處理器212可以使能在BSS中接收具有等於AP的MAC位址的BSSID的廣播和/或多播封包訊框。若廣播和/或多播訊框中的計數器(例如PN或TCS等)小於當前重播計數器(剛剛AP發出自己的BC和/或MC封包或訊框中的計數器),則無線網路中攻擊存在廣播和/或多播封包攻擊。若廣播和/或多播訊框中的計數器大於當前重播計數器,則一般認為目前可能沒有封包攻擊。若廣播和/或多播訊框中的計數器等於當前重播計數器,也是值得懷疑的,此時極有可能已經存在封包攻擊了,可能還需要進一步的確認。例如BSS中的STA透過重播檢測的方式發現了封包攻擊,並且STA透過成對金鑰加密訊框或封包向AP通知封包攻擊的發生。
在一些實施方式中,第一網路設備可以是AP,處理器212可以觸發BSS中的每個站點(STA)執行組金鑰金鑰更新協商或重播計數器更新過程,使得在完成組金鑰金鑰更新協商或重播計數器更新過程之後(或完成時)防止廣播和/或多播封包攻擊(也即一旦完成組金鑰金鑰更新協商或重播計數器更新過程,則即可防止廣播和/或多播封包攻擊)。具體來說,AP在於每個站點(STA)執行組金鑰金鑰更新協商或重播計數器更新過程中,是與每個站點(STA)依次執行更新的,例如,AP先發送單播封包或訊框給第一站點,以告知第一站點更新後的組金鑰或重播計數器已更新;此時其他的站點(例如第二站點等)還不知道更新後的組金鑰,因此這樣可以防止攻擊設備進行攻擊(當第一站點為攻擊設備時)或第一站點被攻擊(當第一站點不是攻擊設備時)。接著,AP會發送單播封包或訊框給第二站點,以告知第二站點更新後的組金鑰或重播計數器已更新;此時其他的站點(例如第三站點等)還不知道更新後的組金鑰(當然第一站點是已知道的),這樣如果第二站點為攻擊設備,則第二站點只能攻擊第一站點而無法攻擊第三站點;如果第二站點不是攻擊設備,則至少保護了第一站點和第二站點暫不會受到攻擊。因此本發明的這種方案可以至少減輕封包攻擊的影響。
在一些實施方式中,第一網路設備可以是AP,處理器212可將BSS中複數個站點中的哪個站點確定為發起廣播和/或多播封包攻擊的攻擊設備(處理器212可以確定BSS中的發起廣播和/或多播封包攻擊的站點或攻擊設備)。另外,基於確定的結果,處理器212可以將攻擊設備(發起攻擊的站點或攻擊站點)與BSS斷開連接,也可以拒絕來自BSS中的攻擊STA(或稱為攻擊設備或發起攻擊的站點)。在一些實施方式中,在確定BSS中的複數個站點中的哪個站點作為發起廣播和/或多播封包攻擊的攻擊設備時,處理器212可以透過使用組金鑰金鑰更新協商來確定BSS中的複數個站點中的哪個站點作為攻擊設備(透過使用組金鑰金鑰更新協商來確定基本服務集中發起廣播或封包攻擊的攻擊設備),以發現複數個站點中的一個或複數個站點作為一個或複數個攻擊設備。其中,確定攻擊設備的過程可以參考上述的方式,具體的,參考第1圖所示,AP 105將STA#T 140和STA#1 110執行第一輪部分組金鑰金鑰更新協商。之後,若攻擊停止則攻擊設備在STA#2 120和STA#3 130中;若攻擊繼續則攻擊設備為STA#1 110。假設第一輪更新之後攻擊停止,也就是說攻擊設備在STA#2 120和STA#3 130中。AP 105將STA#T 140和STA#1 120執行第二輪部分組金鑰金鑰更新協商。之後,若攻擊停止則攻擊設備為STA#3 130;若攻擊繼續則攻擊設備為STA#1 120。其中,攻擊設備可以是一個,也可以是複數個。若攻擊設備為一個,則按照上述方式即可找到該一個攻擊設備。當攻擊設備為複數個時,也可以按照上述方式找到該複數個攻擊設備,例如,假設第一輪更新之後攻擊繼續,則攻擊設備為STA#1 110。接著還可以繼續將STA#T 140和STA#1 120進行第二輪部分組金鑰金鑰更新協商,若攻擊繼續則攻擊設備為STA#1 120。因此該示例中攻擊設備包括STA#1 110和STA#1 120。小結的描述為,向BSS中添加至少一個可信任設備或站點,或者在BSS中選擇至少一個可信任設備或站點,或者在BSS中預設至少一個可信任設備或站點;選取該可信任設備或站點與BSS中的第一設備或站點執行第一輪部分組金鑰金鑰更新協商;然後,根據可信任設備或站點的探測結果(是否還有相同類型的封包攻擊),確定該第一設備或站點是否為攻擊設備(若該可信任設備或站點繼續檢測到該廣播和/或多播攻擊,則該第一設備或站點為攻擊設備,或攻擊設備至少包括該第一設備或站點;該可信任設備或站點未檢測到該廣播和/或多播攻擊,則該第一設備或站點不是攻擊設備,或攻擊設備不包括第一設備或站點);接著,選取該可信任設備或站點與BSS中的第二設備或站點(不同於第一設備或站點)執行第二輪部分組金鑰金鑰更新協商;之後,根據可信任設備或站點的探測結構(是否還有相同類型的封包攻擊),確定該第二設備或站點是否為攻擊設備(若該可信任設備或站點繼續檢測到該廣播和/或多播攻擊,則該第二設備或站點為攻擊設備,或攻擊設備至少包括該第二設備或站點;該可信任設備或站點未檢測到該廣播和/或多播攻擊,則該第二設備或站點不是攻擊設備,或攻擊設備不包括第二設備或站點)。當然,還可以繼續選取該可信任設備或站點與BSS中的第三設備或站點(不同於第一設備或站點及第二設備或站點)執行第三輪部分組金鑰金鑰更新協商;然後,根據可信任設備或站點的探測結果(是否還有相同類型的封包攻擊),確定該第三設備或站點是否為攻擊設備(與上述判斷類似,不再贅述)。採用上述方式即可找到BSS中的攻擊設備。本實施例中,BSS中至少具有一個AP和一個設備或站點,當然也可以為BSS中具有一個AP和兩個設備或站點,或者一個AP和三個設備或站點。當可信任設備或站點為增加或添加到BSS中時,BSS中可以具有一個AP和一個設備或站點或者更多的設備或站點。當可信任設備或站點為在BSS中選擇或預設時,BSS中應該具有一個AP和兩個或以上的設備或站點。上述過程可以由AP和站點實現,具體來說,可以由AP的處理器根據AP的記憶體中的程式碼以及站點的處理器根據站點的記憶體中的程式碼來執行以實現。
在一些實施方式中,第一網路設備可以是AP,處理器212可以用特定訊框或其他形式通知網路管理器以指示發生廣播和/或多播封包攻擊。
在一些實施方式中,第一網路設備可以是AP,處理器212可以用特定訊框或以其他形式通知網路管理器以指示:(a)BSS中的一個或複數個站點已發現為一個或複數個攻擊設備(發起攻擊的站點或攻擊站點),發起了廣播和/或多播封包攻擊,和/或,(b)一個或複數個攻擊設備(發起攻擊的站點或攻擊站點)已斷開連接。其中上述(a)和(b)可以至少選擇一個執行,也即處理器212能夠執行:用第一訊框通知網路管理器以指示發生廣播和/或多播封包攻擊;和/或,用第二訊框通知網路管理器以指示:已發現基本服務集中的站點是發起廣播和/或多播封包攻擊的攻擊設備,以及該攻擊設備已斷開連接。
在一些實施方式中,無線網路可以包括組所有者(group owner)和組用戶端(group client)(GO / GC)對等(peer-to-peer,P2P)無線網路,基於IEEE 802.11標準的獨立基本服務集(independent basic service set,IBSS)無線網路標準,基於IEEE 802.11標準的無線分發系統(Wireless Distribution System,WDS)和網格(Mesh)無線網路,或基於IEEE 802.11標準的受保護的管理訊框(Protected Management Frame,PMF)廣播完整性協定(Broadcast Integrity Protocol,BIP)無線網路。
第3圖示出了根據本發明的實施方式的示例過程300。過程300可以代表實現上述各種所提出的設計,概念,方案,系統和方法的一個方面。更具體地,過程300可以表示所提出的概念和方案的一方面,該概念和方案與檢測和防止廣播和多播封包攻擊有關,以發現無線通訊中的攻擊者和將無線通訊中的攻擊者斷開連接。過程300可以包括框310、320和330中的一個或複數個所示出的一個或複數個操作,動作或功能。儘管圖示為離散的框,但是過程300的各個框可以劃分為另外的框,組合成更少的框,或取消,具體取決於所需的實現。此外,過程300的塊/子塊可以按照第3圖中所示的順序或者替代地以不同的循序執行。過程300的塊/子塊可以反覆運算地執行。過程300可以由裝置210和裝置220或其任何變型實現或在其中實現。僅出於說明性目的且不限制範圍,下面在裝置210作為第一網路設備(例如,AP或STA)以及在裝置220作為第二網路設備(例如,STA或STA)的背景下描述過程300。過程300可以在框310處開始。
在310處,過程300可以涉及作為無線網路(例如BSS 150)中的第一網路設備的裝置210的處理器212與作為第二網路設備的裝置220(當然也在無線網路中)建立無線通訊。過程300可以從310進行到320。
在320處,過程300可以涉及處理器212檢測無線網路中的廣播和/或多播封包攻擊。如上所述的,AP和STA可以檢測或獲取無線網路中的封包攻擊。第一網路設備可以是AP,第二網路設備可以是STA;或者,第一網路設備可以STA,第二網路設備可以是AP,此時第一網路設備(STA)可以透過重播檢測的方式獲取到BSS中是否存在封包攻擊,若存在則利用成對金鑰加密訊框告知AP。過程300可以從320進行到330。
在330處,過程300可涉及處理器212利用成對金鑰加密訊框向裝置220通知攻擊。第一網路設備可以是AP,第二網路設備可以是STA,此時AP也可以利用成對金鑰加密訊框將存在攻擊的通知發送給STA。
在一些實施方式中,無線通訊可以是啟用CCMP或TKIP的。
在一些實施方式中,無線網路可以包括基於IEEE 802.11標準的Wi-Fi BSS。另外,第一網路設備可以是BSS中的站點(STA),並且第二網路設備可以是與BSS相關聯的AP。
在一些實施方式中,無線網路可以包括基於IEEE 802.11標準的Wi-Fi BSS。此外,第一網路設備可以是與BSS相關聯的AP,第二網路設備可以是BSS中的站點(STA)。
在一些實施方式中,第一網路設備可以是AP,過程300可以涉及處理器212使能在BSS中接收具有等於AP的MAC位址的BSSID的廣播和/或多播封包訊框。
在一些實施方式中,第一網路設備可以是AP,過程300可以包括處理器212觸發BSS中的每個站點(STA)執行組金鑰金鑰更新協商或重播計數器更新過程,使得在完成組金鑰金鑰更新協商或重播計數器更新過程之後(或完成時)防止廣播和/或多播封包攻擊(也即一旦完成組金鑰金鑰更新協商或重播計數器更新過程,則即可防止廣播和/或多播封包攻擊)。
在一些實施方式中,第一網路設備可以是AP,過程300可以包括處理器212確定BSS中複數個站點中的哪個站點作為發起廣播和/或多播封包攻擊的攻擊設備(確定BSS中的發起廣播和/或多播封包攻擊的站點)。另外,基於確定的結果,過程300可以包括處理器212將攻擊設備(發起攻擊的站點或攻擊站點)與BSS斷開連接,也可以拒絕來自BSS中的攻擊STA(或稱為攻擊設備或發起攻擊的站點)。在一些實施方式中,在確定BSS中的複數個站點中的哪個站點作為發起廣播和/或多播封包攻擊的攻擊設備時,過程300可以包括處理器212透過使用組金鑰金鑰更新協商來確定BSS中的複數個站點中的哪個站點作為攻擊設備,以發現複數個站點中的一個或複數個站點作為一個或複數個攻擊設備。其中,確定攻擊設備的過程可以參考上述的方式,具體的,參考第1圖所示,AP 105將STA#T 140和STA#1 110執行第一輪部分組金鑰金鑰更新協商。之後,若攻擊停止則攻擊設備在STA#2 120和STA#3 130中;若攻擊繼續則攻擊設備為STA#1 110。假設第一輪更新之後攻擊停止,也就是說攻擊設備在STA#2 120和STA#3 130中。AP 105將STA#T 140和STA#1 120執行第二輪部分組金鑰金鑰更新協商。之後,若攻擊停止則攻擊設備為STA#3 130;若攻擊繼續則攻擊設備為STA#1 120。其中,攻擊設備可以是一個,也可以是複數個。若攻擊設備為一個,則按照上述方式即可找到該一個攻擊設備。當攻擊設備為複數個時,也可以按照上述方式找到該複數個攻擊設備,例如,假設第一輪更新之後攻擊繼續,則攻擊設備為STA#1 110。接著還可以繼續將STA#T 140和STA#1 120進行第二輪部分組金鑰金鑰更新協商,若攻擊繼續則攻擊設備為STA#1 120。因此該示例中攻擊設備包括STA#1 110和STA#1 120。小結的描述為,向BSS中添加至少一個可信任設備或站點,或者在BSS中選擇至少一個可信任設備或站點,或者在BSS中預設至少一個可信任設備或站點;選取該可信任設備或站點與BSS中的第一設備或站點執行第一輪部分組金鑰金鑰更新協商;然後,根據可信任設備或站點的探測結果(是否還有相同類型的封包攻擊),確定該第一設備或站點是否為攻擊設備(若該可信任設備或站點繼續檢測到該廣播和/或多播攻擊,則該第一設備或站點為攻擊設備,或攻擊設備至少包括該第一設備或站點;該可信任設備或站點未檢測到該廣播和/或多播攻擊,則該第一設備或站點不是攻擊設備,或攻擊設備不包括第一設備或站點);接著,選取該可信任設備或站點與BSS中的第二設備或站點(不同於第一設備或站點)執行第二輪部分組金鑰金鑰更新協商;之後,根據可信任設備或站點的探測結構(是否還有相同類型的封包攻擊),確定該第二設備或站點是否為攻擊設備(若該可信任設備或站點繼續檢測到該廣播和/或多播攻擊,則該第二設備或站點為攻擊設備,或攻擊設備至少包括該第二設備或站點;該可信任設備或站點未檢測到該廣播和/或多播攻擊,則該第二設備或站點不是攻擊設備,或攻擊設備不包括第二設備或站點)。當然,還可以繼續選取該可信任設備或站點與BSS中的第三設備或站點(不同於第一設備或站點及第二設備或站點)執行第三輪部分組金鑰金鑰更新協商;然後,根據可信任設備或站點的探測結果(是否還有相同類型的封包攻擊),確定該第三設備或站點是否為攻擊設備(與上述判斷類似,不再贅述)。採用上述方式即可找到BSS中的攻擊設備。本實施例中,BSS中至少具有一個AP和一個設備或站點,當然也可以為BSS中具有一個AP和兩個設備或站點,或者一個AP和三個設備或站點。當可信任設備或站點為增加或添加到BSS中時,BSS中可以具有一個AP和一個設備或站點或者更多的設備或站點。當可信任設備或站點為在BSS中選擇或預設時,BSS中應該具有一個AP和兩個或以上的設備或站點。
在一些實施方式中,第一網路設備可以是AP,過程300可以包括處理器212將特定訊框或其他形式通知網路管理器以指示廣播和/或多播封包攻擊的發生。
在一些實施方式中,第一網路設備可以是AP,過程300可以包括處理器212以特定訊框或其他形式通知網路管理器以指示:(a)BSS中的一個或複數個站點已發現為一個或複數個攻擊設備(發起攻擊的站點或攻擊站點),發起了廣播和/或多播封包攻擊,和/或,(b)一個或複數個攻擊設備(發起攻擊的站點或攻擊站點)已斷開連接。其中上述(a)和(b)可以至少選擇一個執行,也即處理器212能夠執行:用第一訊框通知網路管理器以指示發生廣播和/或多播封包攻擊;和/或,用第二訊框通知網路管理器以指示:已發現基本服務集中的站點是發起廣播和/或多播封包攻擊的攻擊設備,以及該攻擊設備已斷開連接。
在一些實施方式中,無線網路可以包括GO / GC P2P無線網路,基於IEEE 802.11標準的IBSS無線網路,基於IEEE 802.11標準的WDS和網格無線網路或者基於IEEE 802.11標準的PMF BIP無線網路。
先前技術中,僅規定了接收者應當丟棄組成計數不是連續的封包或資料,以及接收者應當丟棄計數小於當前計數的封包或資料。而本發明中,STA在察覺到BSS(或無線網路)中存在封包攻擊時,可以透過使用具有成對金鑰加密的單播資料封包來通知AP,使AP獲取到目前存在封包攻擊的資訊。此外AP還可以將存在封包攻擊的情況例如透過成對金鑰加密封包或訊框告訴BSS(或無線網路)中的其他STA(或者所有STA),從而通知無線網路中存在封包攻擊的情況。這樣就可以讓AP和各個STA知道無線網路中的封包攻擊,這些設備可以根據自身的情況決定如何處理這些封包攻擊,使這些設備具有靈活的處理方式和更多的處理空間及時間。此外,本發明中還可以透過AP檢測與自身MAC位址相等的封包或訊框來確認(或檢測)BSS(或無線網路)中是否存在封包攻擊,這樣AP可以獲取到目前BSS(或無線網路)中是否有封包攻擊,從而無需等待STA來告知AP是否有封包攻擊發生。並且,本發明中還可以透過部分組金鑰金鑰更新協商的方式來找到發起攻擊的攻擊設備(配合可信任設備或站點),這樣就可以準確的知道哪個或哪些設備是攻擊設備,從而可以讓AP及其他STA對其進行處理。並且在找到攻擊設備之後,可以將攻擊設備與AP斷開連接,踢出BSS(或無線網路)之外,這樣就可以防止進一步的攻擊,保護AP和其他STA的安全。因此本發明中不僅可以通知AP和各個STA知道無線網路中的封包攻擊,並且還可以準確的找到攻擊設備,以及將攻擊設備斷開連接,拒絕攻擊設備的接入,防止無線網路中的攻擊發生,從而提升無線網路的安全性。
儘管已經對本發明實施例及其優點進行了詳細說明,但應當理解的是,在不脫離本發明的精神以及申請專利範圍所定義的範圍內,可以對本發明進行各種改變、替換和變更。所描述的實施例在所有方面僅用於說明的目的而並非用於限制本發明。本發明的保護範圍當視所附的申請專利範圍所界定者為准。本領域技術人員皆在不脫離本發明之精神以及範圍內做些許更動與潤飾。
100:網路環境 105:接入點 110:STA#1 120:STA#2 130:STA#3 140:STA#T 200:系統 210、220:裝置 212、222:處理器 214、224:記憶體 216、226:收發器 300:過程 310、320、330:框
第1圖是其中可以實現根據本發明的各種示例的示例網路環境的示圖。 第2圖是根據本發明的實施方式的示例系統的框圖。 第3圖是根據本發明的實施方式的示例過程的流程圖。
100:網路環境
105:接入點
110:STA#1
120:STA#2
130:STA#3
140:STA#T

Claims (13)

  1. 一種獲取無線網路中攻擊的方法,包括:第一網路設備與第二網路設備建立無線通訊;該第一網路設備檢測到該無線網路中的廣播和/或多播攻擊;以及該第一網路設備使用成對金鑰加密訊框向該第二網路設備通知該廣播和/或多播攻擊;還包括:確定該無線網路中發起廣播和/或多播攻擊的攻擊設備;其中,確定該無線網路中發起廣播和/或封包攻擊的攻擊設備包括:選取可信任設備與基本服務集中的第一設備執行第一輪部分組金鑰金鑰更新協商;根據該可信任站點的是否還檢測到該廣播和/或多播攻擊,確定該第一設備是否為攻擊設備。
  2. 如申請專利範圍第1項所述的方法,其中,該無線通訊為啟用計數器模式密碼塊鏈接訊息認證協定或啟用臨時金鑰完整性協定。
  3. 如申請專利範圍第1項所述的方法,其中,該第一網路設備包括在該基本服務集中的站點,該第二網路設備包括與該基本服務集相關聯的接入點。
  4. 如申請專利範圍第1項所述的方法,該第一網路設備包括與該基本服務集相關聯的接入點,該第二網路設備包括在該基本服務集中的站點。
  5. 如申請專利範圍第1項所述的方法,其中,該無線網路包括:基於電氣電子工程師協會802.11標準的Wi-Fi基本服務集,組所有者和組用戶端對等無線網路,基於IEEE 802.11標準的獨立基本服務集無線網路,基於IEEE 802.11標準的無線分配系統和網格無線網路,或基於IEEE 802.11標準的受保護的管理 訊框廣播完整性協定無線網路。
  6. 一種獲取無線網路中攻擊的方法,包括:接入點接收具有等於該接入點的媒體存取控制位址的基本服務集識別碼的廣播和/或多播訊框;若該廣播和/或多播訊框中的計數器小於當前重播計數器,則該無線網路中攻擊存在廣播和/或多播攻擊;確定基本服務集中發起廣播和/或封包攻擊的攻擊設備;其中,確定該基本服務集中發起廣播和/或封包攻擊的攻擊設備包括:選取可信任站點與該基本服務集中的第一站點執行第一輪部分組金鑰金鑰更新協商;根據該可信任站點的是否還檢測到該廣播和/或多播攻擊,確定該第一站點是否為攻擊設備。
  7. 如申請專利範圍第6項所述的方法,還包括:該接入點觸發該基本服務集中的每個站點執行組金鑰金鑰更新協商或重播計數器更新過程,使得在完成組金鑰金鑰更新協商或重播計數器更新過程時防止廣播和/或多播攻擊。
  8. 如申請專利範圍第6項所述的方法,還包括:根據確定的結果:將該攻擊設備與該基本服務集斷開;以及拒絕來自該基本服務集的該攻擊設備。
  9. 如申請專利範圍第6項所述的方法,其中,確定該基本服務集中發起廣播和/或封包攻擊的攻擊設備包括:透過使用組金鑰金鑰更新協商來確定該基本服務集中發起廣播或封包攻擊的攻擊設備。
  10. 如申請專利範圍第6項所述的方法,其中,若該可信任站點繼續 檢測到該廣播和/或多播攻擊,則該第一站點為攻擊設備;若該可信任站點未檢測到該廣播和/或多播攻擊,則該第一站點不是攻擊設備。
  11. 如申請專利範圍第6項所述的方法,還包括:透過通知網路管理器,以指示:發生廣播和/或多播封包攻擊,和/或,已發現基本服務集中的站點是發起廣播和/或多播封包攻擊的攻擊設備以及該攻擊設備已斷開連接。
  12. 一種電子設備,包括處理器和記憶體,該處理器可讀取存儲在該記憶體中的程式碼,以執行如申請專利範圍第6-11項中任一項所述的方法。
  13. 一種電子設備,包括處理器和記憶體,該處理器可讀取存儲在該記憶體中的程式碼,以執行:與無線網路中的第二網路設備建立無線通訊;檢測到該無線網路中的廣播和/或多播攻擊;以及使用成對金鑰加密訊框向該第二網路設備通知該廣播和/或多播攻擊;以及確定該無線網路中發起廣播和/或多播攻擊的攻擊設備;其中,確定該無線網路中發起廣播和/或封包攻擊的攻擊設備包括:選取可信任設備與基本服務集中的第一設備執行第一輪部分組金鑰金鑰更新協商;根據該可信任站點的是否還檢測到該廣播和/或多播攻擊,確定該第一設備是否為攻擊設備。
TW108141594A 2018-11-15 2019-11-15 獲取無線網路中攻擊的方法和電子設備 TWI727503B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US16/192,778 2018-11-15
US16/192,778 US20200162926A1 (en) 2018-11-15 2018-11-15 Detection And Prevention Of Broadcast And Multicast Packet Attacking For Uncovering And Disconnecting Attackers In Wireless Communications

Publications (2)

Publication Number Publication Date
TW202037110A TW202037110A (zh) 2020-10-01
TWI727503B true TWI727503B (zh) 2021-05-11

Family

ID=70709148

Family Applications (1)

Application Number Title Priority Date Filing Date
TW108141594A TWI727503B (zh) 2018-11-15 2019-11-15 獲取無線網路中攻擊的方法和電子設備

Country Status (3)

Country Link
US (1) US20200162926A1 (zh)
CN (1) CN111193705B (zh)
TW (1) TWI727503B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118648316A (zh) * 2023-01-13 2024-09-13 北京小米移动软件有限公司 无线通信方法和无线通信设备

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8122243B1 (en) * 2007-07-23 2012-02-21 Airmagnet, Inc. Shielding in wireless networks
US20140351932A1 (en) * 2013-05-24 2014-11-27 Qualcomm Incorporated Systems and methods for broadcast wlan messages with message authentication

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7082200B2 (en) * 2001-09-06 2006-07-25 Microsoft Corporation Establishing secure peer networking in trust webs on open networks using shared secret device key
US7234063B1 (en) * 2002-08-27 2007-06-19 Cisco Technology, Inc. Method and apparatus for generating pairwise cryptographic transforms based on group keys
US7350077B2 (en) * 2002-11-26 2008-03-25 Cisco Technology, Inc. 802.11 using a compressed reassociation exchange to facilitate fast handoff
CN100414875C (zh) * 2003-09-11 2008-08-27 华为技术有限公司 一种多播/广播中信息完整性保护的方法
US7882349B2 (en) * 2005-01-05 2011-02-01 Cisco Technology, Inc. Insider attack defense for network client validation of network management frames
CN101106449B (zh) * 2006-07-13 2010-05-12 华为技术有限公司 实现多方通信安全的系统和方法
US20090059934A1 (en) * 2007-08-30 2009-03-05 Motorola, Inc. Method and device for providing a bridge in a network
CN101583154B (zh) * 2009-07-07 2011-11-16 杭州华三通信技术有限公司 一种无线局域网中的通信方法及装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8122243B1 (en) * 2007-07-23 2012-02-21 Airmagnet, Inc. Shielding in wireless networks
US20140351932A1 (en) * 2013-05-24 2014-11-27 Qualcomm Incorporated Systems and methods for broadcast wlan messages with message authentication

Also Published As

Publication number Publication date
US20200162926A1 (en) 2020-05-21
CN111193705A (zh) 2020-05-22
TW202037110A (zh) 2020-10-01
CN111193705B (zh) 2022-07-05

Similar Documents

Publication Publication Date Title
US10412083B2 (en) Dynamically generated SSID
US11825303B2 (en) Method for performing verification by using shared key, method for performing verification by using public key and private key, and apparatus
JP6262308B2 (ja) リンク設定および認証を実行するシステムおよび方法
EP3286871B1 (en) Systems, methods, and devices for device credential protection
CN106664561B (zh) 用于确保预关联服务发现安全的系统和方法
US7881475B2 (en) Systems and methods for negotiating security parameters for protecting management frames in wireless networks
US10798082B2 (en) Network authentication triggering method and related device
WO2017049461A1 (zh) 用户设备ue的接入方法、设备及系统
WO2017091959A1 (zh) 一种数据传输方法、用户设备和网络侧设备
CN112154624A (zh) 针对伪基站的用户身份隐私保护
US20150127949A1 (en) System and method for integrated mesh authentication and association
EP3143785B1 (en) Securing device-to-device communication in a wireless network
EP3158827B1 (en) Method for generating a common identifier for a wireless device in at least two different types of networks
TW201733377A (zh) 無線廣域網路無線區域網路聚合保全
JP2014509468A (ja) 無線ネットワーククレデンシャルを帯域外配信するための方法及びシステム
WO2020025138A1 (en) Secured authenticated communication between an initiator and a responder
US11956715B2 (en) Communications method and apparatus
US11019037B2 (en) Security improvements in a wireless data exchange protocol
TWI727503B (zh) 獲取無線網路中攻擊的方法和電子設備
JP6861285B2 (ja) 緊急アクセス中のパラメータ交換のための方法およびデバイス
WO2020147602A1 (zh) 一种认证方法、装置和系统
US20200120493A1 (en) Apparatus and method for communications
Liu et al. Security analysis of camera file transfer over Wi-Fi
WO2017118269A1 (zh) 一种空口标识的保护方法及装置
López et al. Wi-Fi Direct: Lessons learned