專利名稱：無線主機(jī)侵入檢測(cè)系統(tǒng)的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及無線通信系統(tǒng)，具體地涉及用于在這樣的通信系統(tǒng)中檢測(cè)侵入攻擊的系統(tǒng)和方法。
背景資料在目前的通信網(wǎng)絡(luò)中，通常必須保證完全滿足安全因素，所述安全因素包括來自破壞性攻擊者的有害侵入。為此目的，人們正在努力，并且已經(jīng)致力于找到防止來自惡意并且狡猾的黑客的有害攻擊的方法。每當(dāng)提出新的解決辦法時(shí)，攻擊者就會(huì)尋找抵制它們的方法。
由于依賴光學(xué)和有線介質(zhì)的通信系統(tǒng)已經(jīng)存在很多年，大多數(shù)安全解決方案的開發(fā)都是針對(duì)這些技術(shù)的。但是，隨著無線通信近來迅速的發(fā)展，需要一套致力于這種技術(shù)新的解決方案。
由于無線通信的特性，其易遭受來自信源的攻擊，所述攻擊可以只是竊聽私人談話。一個(gè)這樣的攻擊被稱為中間人攻擊(a man-in-the-middleattack)，這樣命名是因?yàn)槿肭终吣軌蚱垓_被害者的真實(shí)接入點(diǎn)。因?yàn)檫@個(gè)現(xiàn)象，可以欺騙包括蜂窩電話的無線終端從而將其通信與非法接入點(diǎn)或者基站發(fā)生關(guān)聯(lián)。攻擊者隨后將建立到真實(shí)接入點(diǎn)的第二連接，并且在偷聽和可能地操縱數(shù)據(jù)之后，中繼來自被害者的業(yè)務(wù)。
特別地，攻擊者可以強(qiáng)制已經(jīng)連接到合法接入點(diǎn)的無線設(shè)備，使之從合法接入點(diǎn)脫離，并且立即聯(lián)結(jié)到攻擊者本身。所有這一切都是在用戶毫無意識(shí)的情況下發(fā)生的。作為中間人的攻擊者在該位置對(duì)無線用戶發(fā)動(dòng)許多攻擊。
諸如Netstumbler的無線網(wǎng)絡(luò)審查工具在審查期間如果有激活的非法接入點(diǎn)可以將其檢測(cè)到。盡管如此，這類工具沒有設(shè)計(jì)成能保護(hù)無線用戶，因?yàn)樵诖蠖鄶?shù)情況下，用戶不具備辨別通告合法接入點(diǎn)的分組和通告惡意(偽造的)接入點(diǎn)的分組的知識(shí)。事實(shí)上，用戶的目的只不過是聯(lián)結(jié)到任何一個(gè)看起來相當(dāng)合法的可用接入點(diǎn)，以便訪問因特網(wǎng)。
傳統(tǒng)的主機(jī)侵入檢測(cè)系統(tǒng)(IDS)能夠適于監(jiān)控在主機(jī)上或者直接位于接入點(diǎn)上的無線接口。這些解決方案被設(shè)計(jì)成能檢測(cè)深入于主機(jī)本身的攻擊者的信號(hào)。其不能檢測(cè)處于主機(jī)無線接口和接入點(diǎn)之間的威脅。
由Joshua Wright發(fā)表的題為“Detecting Wireless LAN MAC AddressSpoofing”(http://www.polarcove.com/whitepapers/detectwireless.pdf)論文描述了分析由在無線網(wǎng)絡(luò)中欺騙MAC地址的不同的工具所產(chǎn)生的異常。受騙的MAC地址用于發(fā)動(dòng)中間人攻擊。
對(duì)這些異常的認(rèn)識(shí)考慮到對(duì)那些工具產(chǎn)生的受騙業(yè)務(wù)進(jìn)行簡(jiǎn)單檢測(cè)。即使這些檢測(cè)方法在以上標(biāo)識(shí)的論文所描述的特定的攻擊工具的情況下工作，它們也不能被推廣，因?yàn)檫@些方法依賴特定攻擊工具的“設(shè)計(jì)缺陷”。接下來攻擊工具的釋放將被修補(bǔ)，以使當(dāng)前通過特征匹配的字段隨機(jī)化。
現(xiàn)有技術(shù)解決方案沒有設(shè)計(jì)成能夠檢測(cè)發(fā)生在用戶接口和接入點(diǎn)之間的惡意行為。在無線物理層上，現(xiàn)有技術(shù)解決方案沒有處理這個(gè)問題。此外，大多數(shù)現(xiàn)有技術(shù)IDS解決方案僅僅集中在802.11技術(shù)，而本發(fā)明概念上處理包括移動(dòng)電話的所有無線技術(shù)。

發(fā)明內(nèi)容
本發(fā)明提供了用于檢測(cè)通過無線連接可通信地耦合到無線設(shè)備的接入點(diǎn)的異常行為的方法和裝置。特別地，當(dāng)無線設(shè)備保持靜止時(shí)，異常行為是在來自接入點(diǎn)的信號(hào)相對(duì)于無線設(shè)備的明顯變化。這樣的異常行為可以顯示為諸如中間人類型攻擊的惡意操作。所述無線設(shè)備可以包括諸如PDA、膝上型電腦、蜂窩電話的移動(dòng)設(shè)備，以及諸如桌上型PC、游戲站等的其它具有無線網(wǎng)絡(luò)連接的“較少移動(dòng)”的設(shè)備。
因此，根據(jù)本發(fā)明的第一個(gè)方面，提供了一種在無線設(shè)備和接入點(diǎn)之間進(jìn)行無線通信中檢測(cè)異常情況的方法，該方法包括如下步驟檢測(cè)來自接入點(diǎn)的信號(hào)的明顯變化；確定無線設(shè)備是否從早于檢測(cè)的時(shí)間起就保持靜止；以及響應(yīng)于肯定的判定，產(chǎn)生異常情況告警信號(hào)。
在該方法的優(yōu)選實(shí)施例中，來自接入點(diǎn)的信號(hào)中的變化是在強(qiáng)度和/或方向的變化。
根據(jù)本發(fā)明的第二個(gè)方面，提供了一種用于在無線設(shè)備和接入點(diǎn)之間進(jìn)行無線通信中檢測(cè)異常情況的系統(tǒng)，該系統(tǒng)包括用于檢測(cè)在來自接入點(diǎn)的信號(hào)中的明顯變化的裝置；用于確定無線設(shè)備是否從早于檢測(cè)的時(shí)間起就保持靜止的裝置；以及響應(yīng)于肯定的判定，產(chǎn)生異常情況告警信號(hào)的裝置。


現(xiàn)在將參考附圖更詳細(xì)地描述本發(fā)明，附圖示出在會(huì)議連接期間中間人攻擊的例子。
具體實(shí)施例方式
如前面提出的，中間人攻擊是由在無線設(shè)備和無線終端正與之通信的接入點(diǎn)之間攔截(interceding)的攻擊者實(shí)施的。中間人攻擊可以只是引起無線終端的用戶不便，或者更可能地，其可以偷聽以便獲得重要的信息或者提供錯(cuò)誤的信息。
由本發(fā)明提供的解決方案基于以下的原理工作如果用戶的移動(dòng)終端沒有移動(dòng)，接入點(diǎn)應(yīng)該不被感知為移動(dòng)。也就是說，如果用戶知道其移動(dòng)終端靜止不動(dòng)，那么與該終端相關(guān)的接入點(diǎn)沒有理由呈現(xiàn)出通常僅當(dāng)用戶正在移動(dòng)時(shí)才能觀察到的特性。由正在移動(dòng)的移動(dòng)終端感知的明顯的接入點(diǎn)特性是接入點(diǎn)移交；不太明顯的特性是接入點(diǎn)信號(hào)的強(qiáng)度和到達(dá)方向的變化。事實(shí)上，接入點(diǎn)或者BTS、BSS要改變位置，并且仍然由無線網(wǎng)絡(luò)運(yùn)營商保持運(yùn)行是非常不太可能的。因此，下面的假設(shè)是相當(dāng)?shù)乜煽康?，即，如果接入點(diǎn)被感知為移動(dòng)，則某些可疑的事情正在發(fā)生。
本發(fā)明可以在諸如第二代(2G)和第三代(3G)電話移動(dòng)終端中以及在諸如WiFi、WiMax、藍(lán)牙的寬帶技術(shù)方面，和包括特定部署情況的其它無線技術(shù)中獲得應(yīng)用，為了清楚起見，從這里開始，本申請(qǐng)將專門參考WiFi技術(shù)。當(dāng)然，對(duì)于在本發(fā)明(無線通信和安全)領(lǐng)域任何技術(shù)人員來說把本發(fā)明的概念應(yīng)用到其它無線技術(shù)將是顯而易見的。
特別地，位于與合法的接入點(diǎn)不同的位置處的非法接入點(diǎn)的出現(xiàn)將被感知為突然的運(yùn)動(dòng)。這個(gè)事件將被作為可疑的活動(dòng)用信號(hào)通知給用戶，和/或給在主機(jī)上運(yùn)行的任何的安全應(yīng)用程序，和/或經(jīng)由不同的信道給運(yùn)行該接入點(diǎn)的無線網(wǎng)絡(luò)運(yùn)營商。設(shè)想，無線服務(wù)提供商將通用移動(dòng)電信系統(tǒng)(UMTS)和WiFi連接提供給其用戶。在這種情況下，檢測(cè)非法WiFi接入點(diǎn)的WiFi加UMTS電話(使用本發(fā)明的應(yīng)用)可以通過UMTS直接地警告該用戶同時(shí)經(jīng)由諸如短消息服務(wù)(SMS)的消息通知無線網(wǎng)絡(luò)運(yùn)營商。
為了檢測(cè)非法接入點(diǎn)的出現(xiàn)，本發(fā)明取決于兩則信息單元的相關(guān)性(1)用戶移動(dòng)與否？(2)接入點(diǎn)看起來移動(dòng)與否？首先，可以使用若干方法和技術(shù)來確定是否用戶正在移動(dòng)。例如，全球定位系統(tǒng)(GPS)及作為其最新變體的輔助GPS(A-GPS)在包括蜂窩電話(尤其是Motorola i88S)、PDA和膝上型電腦的多種移動(dòng)設(shè)備上正變得普遍可用。這個(gè)定位系統(tǒng)可以直接地用于確定用戶是否正在移動(dòng)或者靜止不動(dòng)。此外，F(xiàn)CC的e911法案要求，在美國蜂窩電話能夠廣播其位置以參與緊急呼叫。如果地理坐標(biāo)隨時(shí)間保持靜止，則移動(dòng)終端是靜止不動(dòng)的。
另一種檢測(cè)無線移動(dòng)終端是否正在移動(dòng)的可能方法是通過移動(dòng)終端上直接可用的第二無線接口。如果移動(dòng)終端的特征在于多于一個(gè)無線接口，則與一個(gè)可用的無線網(wǎng)絡(luò)相關(guān)的定位技術(shù)可用于確定該移動(dòng)終端的位置。尤其是，現(xiàn)今可以采用諸如針對(duì)GSM網(wǎng)絡(luò)的增強(qiáng)的觀察時(shí)間差(EOTD)和針對(duì)CDMA網(wǎng)絡(luò)的高級(jí)前向鏈路三邊測(cè)量(AFLT)的三角測(cè)量技術(shù)來確定移動(dòng)電話的位置而無需依賴于GPS。類似的三角測(cè)量技術(shù)可以被運(yùn)用到WiFi技術(shù)。
此外，本發(fā)明不涉及有關(guān)移動(dòng)終端的地理位置的精確信息。本發(fā)明建議移動(dòng)終端的位置計(jì)算可以是最簡(jiǎn)單并且最實(shí)際的方法以確定移動(dòng)終端是否正在移動(dòng)。因此，如果上述方法中的某些在計(jì)算地理坐標(biāo)方面沒有提供足夠的精確度，其基礎(chǔ)結(jié)構(gòu)和技術(shù)可以很容易地適于解決稍微不同的任務(wù)，即，確定移動(dòng)終端是否正在移動(dòng)。
設(shè)想這樣一種情況，其中3G電話無線基礎(chǔ)結(jié)構(gòu)是被用戶信任的，但是，在移動(dòng)終端上沒有GPS可用。信任的基站信號(hào)的強(qiáng)度和到達(dá)方向可以被監(jiān)控，以確定該移動(dòng)終端何時(shí)移動(dòng)以及何時(shí)靜止不動(dòng)。同時(shí)，通過剩余的(同一移動(dòng)終端的)藍(lán)牙和WiFi接口，接入點(diǎn)信號(hào)的強(qiáng)度和方向?qū)⒈槐O(jiān)控，以檢測(cè)非法接入點(diǎn)的存在。取決于可用的無線接口和網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)，可以潛在地設(shè)計(jì)大量更多的方法以任何想要的精度確定移動(dòng)終端是否正在移動(dòng)。本發(fā)明可以潛在地利用其中一些。
如果終端能夠確定其當(dāng)前不移動(dòng)，則來自與該終端當(dāng)前相關(guān)的接入點(diǎn)的信號(hào)的強(qiáng)度和方向必須保持不變。如前面提到的，諸如信號(hào)強(qiáng)度和/或信號(hào)方向的信號(hào)變化，是移交的指示，所述移交不應(yīng)當(dāng)發(fā)生除非攻擊正在進(jìn)行中。
信號(hào)強(qiáng)度監(jiān)控在所有的WiFi無線卡上已經(jīng)是可用的。檢測(cè)到達(dá)方向(DOA)是一種功能，雖然沒有在商品硬件上得到廣泛使用，但仍然是現(xiàn)今很好理解的工程問題。因此，信號(hào)強(qiáng)度監(jiān)控和DOA功能可以結(jié)合到移動(dòng)技術(shù)中。
總之，如果移動(dòng)終端沒有處于任何移交情況之中，那么來自非法接入點(diǎn)(假冒合法的接入點(diǎn)，但是位于其它地方)的信號(hào)將以不同的強(qiáng)度和/或到達(dá)方向到達(dá)移動(dòng)終端。
在圖1中說明了中間人攻擊的例子。在圖中，設(shè)想聽眾中許多參加者正在通過合法的WiFi連接使用其膝上型電腦或者PDA的會(huì)議室。合法的接入點(diǎn)1的位置緊挨著發(fā)言者。坐在屋子后面的中間人攻擊者可以建立到該合法的接入點(diǎn)1的連接2，然后開始強(qiáng)制指定用戶(受害者)通過先前使用的鏈路3脫離合法的接入點(diǎn)1，并且經(jīng)由鏈路4關(guān)聯(lián)到該攻擊者的偽造接入點(diǎn)。然后，攻擊者可以將該受害者的無線業(yè)務(wù)中繼到該接入點(diǎn)，并且成功地變?yōu)橹虚g人。這種情形將直接被實(shí)施本發(fā)明的解決方案檢測(cè)到。事實(shí)上，由于移動(dòng)終端靜止不動(dòng)，接入點(diǎn)信號(hào)的方向?qū)⑼蝗恢g改變幾乎180度，并且經(jīng)由鏈路4的接入點(diǎn)信號(hào)的強(qiáng)度很有可能也會(huì)改變。受害者的移動(dòng)終端可以容易地使用GPS(5)或者GSM三角測(cè)量(6)確定其當(dāng)前靜止不動(dòng)。這將報(bào)告給該移動(dòng)終端的用戶。
另一個(gè)典型的情況(未示出)可以是家庭無線網(wǎng)絡(luò)，正好停在道路的另一側(cè)的攻擊者(或者好奇的鄰居)悄悄地偷聽所有的家庭無線業(yè)務(wù)。
本發(fā)明能通過使移動(dòng)終端本身關(guān)于接入點(diǎn)聯(lián)結(jié)和分離的任何可用信息發(fā)生關(guān)聯(lián)來增強(qiáng)，以便改善檢測(cè)精度。
本發(fā)明的功能可以用于提高移動(dòng)終端(用戶)對(duì)于其當(dāng)前聯(lián)結(jié)的合法接入點(diǎn)的信任度。本發(fā)明需要的不同的信息段是現(xiàn)今廣泛可用的，某些甚至不需要任何的無線協(xié)議或者基礎(chǔ)結(jié)構(gòu)改進(jìn)。
這種解決方案可以無縫地與任何其他的安全機(jī)制結(jié)合起來，以驗(yàn)證接入點(diǎn)或者保護(hù)無線業(yè)務(wù)的私密性。這將產(chǎn)生更安全的無線應(yīng)用。
以上描述的用于確定移動(dòng)終端是否移動(dòng)的一些方法可以不直接提供特定無線情況需要的精確度。在所有這樣的情況下，可以放心使用用戶對(duì)于該終端正在移動(dòng)與否的事實(shí)的直接反饋。在一個(gè)可選方案中，能修改已經(jīng)可用的技術(shù)(例如，e911)，以更好地支持移動(dòng)終端確定其是否靜止不動(dòng)。
本發(fā)明將提高移動(dòng)通信的安全性。這將有助于提高對(duì)于無線技術(shù)的信任程度，并且因此促進(jìn)其被更多的用戶采用。此外，無線網(wǎng)絡(luò)運(yùn)營商可以直接從如前面描述的能夠報(bào)告任何檢測(cè)的偽造接入點(diǎn)的移動(dòng)終端獲益。
在不久的將來，政府和其他的有關(guān)的安全實(shí)體可以在無線通信設(shè)備和特定的無線基礎(chǔ)結(jié)構(gòu)方面需要特定等級(jí)的安全特性；本發(fā)明可以通過提供偷聽檢測(cè)對(duì)此有所幫助。
雖然已經(jīng)描述和舉例說明了本發(fā)明的特定實(shí)施例，對(duì)于本領(lǐng)域技術(shù)人員來說，在不脫離其基本概念的情況下能夠采用許多變化是顯而易見的。但是，應(yīng)該明白，這樣的變化將屬于由所附的權(quán)利要求限定的本發(fā)明的整個(gè)范圍之內(nèi)。
權(quán)利要求
1.一種在無線設(shè)備和接入點(diǎn)之間檢測(cè)無線通信中異常情況的方法，該方法包括如下步驟a)檢測(cè)來自所述接入點(diǎn)的信號(hào)的明顯變化；b)確定所述無線設(shè)備是否從早于所述檢測(cè)的時(shí)間起就保持靜止；以及c)響應(yīng)于肯定的判定，產(chǎn)生異常情況告警信號(hào)。
2.根據(jù)權(quán)利要求1的方法，其中確定所述無線設(shè)備是否保持靜止的步驟通過使用所述無線設(shè)備中的GPS來確定。
3.根據(jù)權(quán)利要求1的方法，其中確定所述無線設(shè)備是否保持靜止的步驟由所述無線設(shè)備使用三角測(cè)量來確定。
4.根據(jù)權(quán)利要求3的方法，其中對(duì)于GSM，使用增強(qiáng)的觀察時(shí)間差來實(shí)施所述三角測(cè)量。
5.根據(jù)權(quán)利要求3的方法，其中對(duì)于CDMA，使用高級(jí)前向鏈路三邊測(cè)量來實(shí)施所述三角測(cè)量。
6.根據(jù)權(quán)利要求1的方法，其中確定所述無線設(shè)備是否保持靜止的步驟是使用信任的基站的信號(hào)的強(qiáng)度和方向來確定的。
7.根據(jù)權(quán)利要求1的方法，其中確定所述無線設(shè)備是否保持靜止的步驟是通過詢問所述無線設(shè)備的用戶來確定的。
8.根據(jù)權(quán)利要求1的方法，其中來自所述接入點(diǎn)的所述信號(hào)中的明顯變化是信號(hào)強(qiáng)度的變化。
9.根據(jù)權(quán)利要求1的方法，其中來自所述接入點(diǎn)的所述信號(hào)中的明顯變化是信號(hào)方向的變化。
10.根據(jù)權(quán)利要求1的方法，其中來自所述接入點(diǎn)的所述信號(hào)中的明顯變化是信號(hào)強(qiáng)度和信號(hào)方向的變化。
11.根據(jù)權(quán)利要求1的方法，其中所述異常情況告警信號(hào)是通過給所述無線設(shè)備用戶的消息產(chǎn)生的。
12.根據(jù)權(quán)利要求1的方法，其中所述異常情況告警信號(hào)是通過給所述無線設(shè)備上的安全應(yīng)用程序的通知產(chǎn)生的。
13.根據(jù)權(quán)利要求1的方法，其中所述異常情況告警信號(hào)是通過給接入點(diǎn)運(yùn)營商的消息產(chǎn)生的。
14.一種用于在無線設(shè)備和接入點(diǎn)之間檢測(cè)無線通信中的異常情況的系統(tǒng)，該系統(tǒng)包括用于檢測(cè)在所述接入點(diǎn)的位置的明顯變化的裝置；用于確定所述無線設(shè)備是否從早于檢測(cè)的時(shí)間起就保持靜止的裝置；以及響應(yīng)于肯定的判定，用于產(chǎn)生異常情況告警信號(hào)的裝置。
15.根據(jù)權(quán)利要求14的系統(tǒng)，其中來自所述接入點(diǎn)的信號(hào)中的變化是由信號(hào)強(qiáng)度監(jiān)控器檢測(cè)的信號(hào)強(qiáng)度的變化。
16.根據(jù)權(quán)利要求14的系統(tǒng)，其中來自所述接入點(diǎn)的信號(hào)中的變化是由到達(dá)方向技術(shù)檢測(cè)的信號(hào)方向的變化。
17.根據(jù)權(quán)利要求16的系統(tǒng)，其中所述到達(dá)方向技術(shù)包括所述無線設(shè)備中的GPS。
18.根據(jù)權(quán)利要求16的系統(tǒng)，其中所述到達(dá)方向技術(shù)包括通過所述無線設(shè)備的三角測(cè)量。
19.根據(jù)權(quán)利要求14的系統(tǒng)，其中所述告警信號(hào)是給所述無線設(shè)備用戶的消息。
20.根據(jù)權(quán)利要求14的系統(tǒng)，其中所述告警信號(hào)是給所述無線設(shè)備上安全應(yīng)用程序的通知。
21.根據(jù)權(quán)利要求14的系統(tǒng)，其中所述告警信號(hào)是給接入點(diǎn)運(yùn)營商的消息。
全文摘要
本發(fā)明描述了在無線通信系統(tǒng)中檢測(cè)和處理中間人攻擊的系統(tǒng)和方法。本發(fā)明基于以下的原理工作如果移動(dòng)終端是靜止的，對(duì)于與其通信的接入點(diǎn)來說，應(yīng)該沒有理由移交該連接。從合法接入點(diǎn)到非法接入點(diǎn)的移交能通過以下來檢測(cè)整個(gè)移交過程的發(fā)生，或者只是通過檢測(cè)來自接入點(diǎn)的信號(hào)中的變化，該變化是信號(hào)強(qiáng)度或者到達(dá)方向。這表示攻擊的開始。一旦檢測(cè)到這樣的中間人攻擊，采用適當(dāng)?shù)母婢僮鳌?br> 文檔編號(hào)H04L12/26GK1835462SQ20061007740
公開日2006年9月20日 申請(qǐng)日期2006年3月1日 優(yōu)先權(quán)日2005年3月1日
發(fā)明者E·瓊斯 申請(qǐng)人:阿爾卡特公司