[发明专利]用于通过切换模式提供无线网络中的安全保护的技术

说明书

本申请是申请日为2007年4月26日、题为“用于通过切换模式提供无线网络中的安全保护的技术”的中国发明专利申请No.200780009832.8(PCT国际申请PCT/US2007/010235)的分案申请。

背景技术

本发明一般地涉及无线通信，并且更具体而言涉及用于响应于安全事件为接入点提供安全保护的技术。

随着无线技术和无线网络的出现，对这些网络的攻击已变得更加频繁。攻击包括通过网络的蠕虫传播或者试图登录到接入点并且潜入网络的潜在黑客。

当未授权客户端被检测到时，采取行动以阻止用户接入网络。例如，未授权客户端可立即被断开与接入点的连接，以及/或者接入点可立即被断开与交换端口的连接。这样做以确保未授权客户端不能接入网络。这保护了网络；然而，可能发生错误肯定(false positive)，其中客户端被认为是未授权(unauthorized)的，但实际上其可能是合法(valid)客户端。在这些情况下，合法客户端可能被阻止接入网络，这是不希望的。此外，因为未授权客户端被断开与网络的连接，所以难以确定关于客户端的任何信息，诸如它们的身份等。此信息对阻止将来的攻击或捕捉未授权客户端的用户来说可能是有价值的。

附图说明

图1描绘根据本发明的一个实施例的用于提供安全保护的系统。

图2描绘根据本发明的一个实施例的用于提供安全保护的方法的简化流程图。

图3描绘根据本发明的一个实施例的用于隔离可疑客户端的方法的简化流程图。

图4描绘根据本发明的一个实施例的用于实现在图3中所描述的方法的系统。

具体实施方式

图1描绘了根据本发明的一个实施例的用于提供安全保护的系统100。如图所示，提供了接入点102、客户端104以及网络106。将会理解的是，可提供任何数量的在系统100中示出的部件。可使用另外的部件。部件可从在图1中示出的部件被修改。

客户端104可以是被配置与接入点102通信的任何计算设备。例如，客户端104可包括无线设备，诸如膝上型计算机、蜂窝式电话机、个人数字助理(PDA)、黑莓^TM(Blackberry^TM)设备、袖珍PC(pocket PC)、寻呼机等。客户端104可通过接入点102访问网络106上的资源。

客户端104可被分类为合法客户端或未授权客户端。例如，合法客户端可以是被授权接入网络106的任何客户端。未授权客户端104可以是被确定为不应当被允许接入网络106的任何客户端。例如，可能被确定为未授权的客户端104包括个人、设备或过程，它们尝试诸如黑客、蠕虫、病毒等的不希望的动作。如下面将要描述的，入侵检测系统(IDS)、入侵保护系统(IPS)、异常(anomaly)检测系统等可被用来检测可能的未授权客户端104。

接入点102可以是客户端104与其通信以接入网络106的任何接入点。例如，客户端104可能必须登录到接入点102以接入网络106。接入点102包括无线网关、路由器、基站等。本领域的技术人员会认识到接入点102的不同示例。

接入点102被配置形成网络106。在一个实施例中，网络106可以是无线网络。然而会理解的是，网络106不被限制为仅是无线网络，并且网络106还可包括有线网络(wire line network)。例如，无线网络可被连接到有线网络。

网络106可以是任何网络，诸如无线局域网(WLAN)、广域网、蜂窝式网络等。网络106包括通过接入点102可访问的资源。资源可包括数据服务器，诸如敏感的公司文档被存储于其中的服务器，认证、授权和记帐(AAA)服务器，DNS服务器，HTTP服务器，FTP服务器或者用于企业的任何其他资源(诸如公司网络)。可能不希望未授权客户端访问这些资源。因此，本发明的实施例为网络106的资源提供安全保护。

在一个实施例中，可确定安全事件。引起安全事件的客户端104然后可被确定为可疑的。可疑客户端104可以不被授权接入网络106。然而，在一些情况下，检测技术可能作出错误肯定，其中可疑客户端104实际上被授权接入网络106。当确定安全事件时，希望做调查以确定可疑客户端是未授权客户端还是合法客户端。

本发明的实施例因此提供用于保护网络106的两种模式。第一模式是正常模式，其中允许通过接入点102接入到网络106。第一模式允许对网络106的资源的合法访问。此模式可以是接入点102在正常条件下(即允许资源访问)操作的模式。