[发明专利]确定恶意无线接入点的位置的系统和方法

说明书

技术领域

背景技术

随着无线网络的激增，许多组织(例如，企业、大学、医院等等)在有线网络以外，或作为其替换而安装了或准备安装无线网络。此类无线网络据信将提高效率和生产率。但是，无线网络的缺点之一是此类网络的安全性。与通常被包含在组织安全的和受保护的建筑物内的有线网络不同，无线网络的单元(例如，无线接入点[“AP”])可能分散遍及组织的建筑物。

对无线网络安全的一个主要威胁是恶意AP。恶意AP是允许第三方在没有组织许可的情况下访问组织的网络的未经授权的AP。例如，恶意AP可能是出于恶意目的(例如，获得对存储在网络上的组织的数据的访问)而安装的。利用恶意AP的另一个示例是威胁较小的情形：组织的成员(例如，雇员)可能在没有正确授权的情况下将恶意AP连接到组织的网络。换言之，该雇员可能被授权使用组织的网络，但该特定AP的使用可能是未经授权的。例如，如果雇员决定使用他个人的AP以便更方便地访问组织的网络，就可能会发生这种情况。如果AP没有被正确配置成向未经授权的用户提供安全访问，则使用兼容硬件的未经授权的用户也可获得对网络的访问。这在AP覆盖组织建筑物以外的物理区域时可能尤其需要考虑。由此，未经授权的用户无需物理地进入组织的建筑物即可访问网络。

为解决恶意AP的威胁，网络管理员监视网络上的通信。但是，一旦检测到恶意AP，问题就是要定位此恶意AP以便将其移除。寻找恶意AP可能是困难的任务，因为AP可能被隐藏在组织建筑物里的任何地方。例如，恶意AP可能被隐藏在天花板下或者墙壁后。因此，需要一种在组织的建筑物内以高精度(例如，在两英尺内)确定恶意AP的特定位置的系统和方法。

发明概述

本文描述一种确定正在访问通信网络的未经授权的无线接入点(“AP”)的位置的方法和系统。一经通知未经授权的AP的存在，该通信网络的至少三个经授权的AP即启动对未经授权的AP的信标的跟踪。

部分地基于在跟踪信标的跟踪期间所获得的信息来生成跟踪数据记录。跟踪记录可包括每个经授权的AP的位置，以及以下各项中的至少一个，(i)对应于由每个经授权的AP测量的跟踪信标的强度的第一强度数据，以及(ii)对应于跟踪信标到达每个经授权的AP所花的时间周期的第一时间数据。根据以下各项中的至少一个来确定未经授权的AP的位置，(i)跟踪记录，以及(ii)校准记录。校准记录可包括(a)对应于从通信网络内的预定位置发射、并由每个经授权的AP接收的校准信标的强度的第二强度数据、以及对应于校准信标从预定位置到达每个经授权的AP所花的时间周期的第二时间数据这两者中的至少一个，(b)预定位置，以及(c)每个经授权的AP的位置。

附图简述

图1示出根据本发明的系统的示例性实施例；以及

图2示出根据本发明的方法的示例性实施例。

详细描述

图1示出无线网络的示例性实施例，特别地，示出根据本发明的无线局域网(“WLAN”)100。WLAN 100可包括多个经授权的接入点(“AP”)10、20和30。WLAN 100还可包括多个经授权的移动单元MU(例如，MU 1-5)，以及至少一个服务器(例如，服务器70)。AP 10-30可被直接连接到服务器70。WLAN100包括数据库82，它存储关于经授权的设备、经授权的用户、该WLAN的器材的位置等数据。数据库82还可包括关于被明确禁止访问WLAN 100的设备的标识信息。

MU 1经由AP 10-30来访问WLAN 100的各个器材。根据MU 1在特定时间位于何处，MU 1可经由最靠近的AP来访问WLAN 100。每个AP周期性地发送信标信号，它们可被用来确定最靠近的AP。例如，MU 1可确定AP 20是最靠近的AP。因此，MU 1经由AP 20建立与WLAN 100的无线通信，而不是经由AP 10或AP 30。