CN111193705A - 获取无线网络中攻击的方法和电子设备 - Google Patents

获取无线网络中攻击的方法和电子设备 Download PDF

Info

Publication number
CN111193705A
CN111193705A CN201911120837.9A CN201911120837A CN111193705A CN 111193705 A CN111193705 A CN 111193705A CN 201911120837 A CN201911120837 A CN 201911120837A CN 111193705 A CN111193705 A CN 111193705A
Authority
CN
China
Prior art keywords
attack
sta
broadcast
network
station
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201911120837.9A
Other languages
English (en)
Other versions
CN111193705B (zh
Inventor
郭明旺
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
MediaTek Inc
Original Assignee
MediaTek Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by MediaTek Inc filed Critical MediaTek Inc
Publication of CN111193705A publication Critical patent/CN111193705A/zh
Application granted granted Critical
Publication of CN111193705B publication Critical patent/CN111193705B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0631Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0637Modes of operation, e.g. cipher block chaining [CBC], electronic codebook [ECB] or Galois/counter mode [GCM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开一种获取无线网络中攻击的方法,包括:第一网络设备与第二网络设备建立无线通信;所述第一网络设备检测到所述无线网络中的广播和/或多播攻击;以及所述第一网络设备使用成对密钥加密帧向所述第二网络设备通知所述广播和/或多播攻击。这样就可以让无线网络中的设备例如接入点和站点等知道无线网络中存在封包攻击,这些设备可以根据自身的情况决定如何处理这些封包攻击,使这些设备具有灵活的处理方式和更多的处理空间及时间。

Description

获取无线网络中攻击的方法和电子设备
技术领域
本发明涉及无线通信技术领域,尤其涉及一种获取无线网络中攻击的方法和电子设备。
背景技术
除非另外指出,否则本部分中描述的方法不是对于本文列出的权利要求的现有技术,并且包含在本部分中方法也未承认是现有技术。
对于根据电气电子工程师协会(Institute of Electrical and ElectronicsEngineers,IEEE)802.11规范的无线通信***(例如Wi-Fi网络)中的安全通信,可以使用一种或多种加密(encryption)方法,包括有线等效保密(Wired Equivalent Privacy,WEP),临时密钥完整性协议(Temporal Key Integrity Protocol,TKIP),高级加密标准(Advanced Encryption Standard,AES)和受保护的管理帧(Protected ManagementFrames,PMF)。对于广播(broadcast,BC)和/或多播(multicast,MC)数据帧(data frame),公共密钥(例如,组密钥)可以由接入点(access point,AP)和无线连接到AP的站点(station,STA)共享,并且与AP关联的基本服务集(basic service set,BSS)中的设备能够对广播数据封包(packet)进行加密和解密。通常,与AP关联的STA在从AP接收BC和/或MC帧时需要解密BC和MC帧,并且只有AP会向STA发送BC和/或MC帧,因为这是基础设施(infrastructure BSS)的通常用法。因此,任何设备都可能能够攻击同一BSS中的其他设备。攻击设备可能会通过传输BC和/或MC帧来攻击Wi-Fi BSS,以使BSS中的STA将此类BC和/或MC帧视为由AP传输。
然而,目前在当前的IEEE 802.11标准中没有考虑到攻击可能来自BSS内的设备之一以防止这种问题。具体来说,在IEEE 802.11标准的11.4.3.4.4节中,规定“接收者应当丢弃组成MPDU PN值不是连续的MSDU,A-MSDU和MMPDU”和“接收者应当丢弃任何接收到的PN小于或等于重播计数器(replay counter)的MPDU”。但是,该标准当前未解决如何通过重播计数器防止BC和/或MC封包攻击。另外,在标准中没有考虑原始的BC和/或MC封包可能在接收STA(接收者)处被丢弃,并且也没有考虑这种攻击的任何副作用。
发明内容
有鉴于此,本发明提供一种获取无线网络中攻击的方法和电子设备和电子设备,可以获取无线网络中的攻击,以便无线网络中的设备得知攻击的存在,并便于执行其他的操作或动作。
根据本发明的第一方面,公开一种获取无线网络中攻击的方法,包括:
第一网络设备与第二网络设备建立无线通信;
该第一网络设备检测到该无线网络中的广播和/或多播攻击;以及
该第一网络设备使用成对密钥加密帧向该第二网络设备通知该广播和/或多播攻击。
根据本发明的第二方面,公开一种获取无线网络中攻击的方法,包括:
接入点接收具有等于该接入点的媒体访问控制地址的基本服务集标识符的广播和/或多播帧;
若该广播和/或多播帧中的计数器小于当前重播计数器,则该无线网络中攻击存在广播和/或多播攻击。
根据本发明的第三方面,公开一种电子设备,包括处理器和存储器,该处理器可读取存储在该存储器中的程序代码,以执行本发明的第二方面的所述方法的步骤。
根据本发明的第四方面,公开一种电子设备,包括处理器和存储器,该处理器可读取存储在该存储器中的程序代码以执行:
与无线网络中的第二网络设备建立无线通信;检测到该无线网络中的广播和/或多播攻击;以及使用成对密钥加密帧向该第二网络设备通知该广播和/或多播攻击。
本发明提供的获取无线网络中攻击的方法由于包括该第一网络设备使用成对密钥加密帧向该第二网络设备通知该广播和/或多播攻击。这样就可以让无线网络中的设备例如接入点和站点等知道无线网络中存在封包攻击,这些设备可以根据自身的情况决定如何处理这些封包攻击,使这些设备具有灵活的处理方式和更多的处理空间及时间。
附图说明
图1是其中可以实现根据本发明的各种示例的示例网络环境的示图。
图2是根据本发明的实施方式的示例***的框图。
图3是根据本发明的实施方式的示例过程的流程图。
具体实施方式
根据本发明的实施方式涉及与在计数器模式密码块链接消息认证协议(CounterMode Cipher Block Chaining Message Authentication Protocol,CCMP)或启用TKIP(TKIP-enabled)的无线通信中检测和防止广播封包攻击和/或多播封包攻击以及发现(uncovering)发起攻击的设备(或站点),以断开攻击者(攻击设备或站点)的连接所相关的各种技术,方法,方案和/或解决方案。即,在根据本发明的提出的方案下,可以检测、通知和防止攻击,并且可以发现在BSS域(domain)中作为攻击者的设备(或站点)。如下所述,可以通过与BSS相关联的AP在AP侧实现所提出的方案,并且也可以通过BSS中的每个STA在STA侧实现所提出的方案。
在所提出的方案下,在STA侧,如果从BSS中的另一个STA(例如,攻击设备)通过重播检测(replay detection)接收到许多BC和/或MC帧,则接收STA(接收者)可以将其(另一个STA)视为BC和/或MC封包攻击(或简称为BC和/或MC攻击,或BC/MC攻击,或封包攻击等)的迹象。具体来说,BSS中是否存在BC和/或MC封包攻击可以通过重播计数器(重播检测的方式)来发现,例如在原本的AP向STA发送BC和/或MC封包(第一BC和/或MC封包)时,是按照顺序依次发送,例如计数器从1开始计数,依次递增(1,2,3,4,5…);例如计数到5时,此时突然又有其他的BC和/或MC封包(第二BC和/或MC封包)传输到该STA,并且计数是重新开始计数的(从1开始计数),而此前的该STA的计数已经计数(接收第一BC和/或MC封包的计数)到例如5(或其他大于1的计数)。此时就可以判定后面收到的其他的BC和/或MC封包(第二BC和/或MC封包)实际上是BC和/或MC封包攻击;而这种攻击可以是在BSS中的另一个STA发起的。另外,重播计数器可以设置在AP中,而AP每次向STA传输数据或封包等时,会将当前重播计数器的计数发送出去,STA就会知道了当前的计数。当STA发送有其他的计数(计数相对之前的变小或倒退了),STA就认为出现了异常,并且STA可以认为此事出现封包攻击。本实施例中将介绍采用本发明的方案来找到该发起攻击的STA。攻击设备(例如另一个STA)可以连接到公共AP,并且可以伪造具有与AP的媒体访问控制(media access control,MAC)地址相同的传送(transmit,TX)地址的BC和/或MC帧(BC和/或MC封包)。在接收STA发现有其他的BC和/或MC封包(第二BC和/或MC封包)时(也就是说存在BC和/或MC封包攻击时),接收STA可以例如通过具有成对密钥加密(pairwise key encrypted)的单播帧(unicast frame)来通知AP,从而告诉AP在BSS中存在BC和/或MC封包攻击(例如其中某个STA或另一个STA伪装为AP来进行攻击)。由于使用了成对密钥加密,该接收STA通知AP时,其他设备例如其他STA无法知道该接收STA发给AP的具体内容。另外,在所提出的方案下,BSS中的每个STA可以在启用AES(AES-enabled)的模式或启用TKIP的模式下使用加密与AP与其他STA通信。通常,在BSS结构下,AP和每个STA可以直接相互通信,而两个STA通过AP间接相互通信(例如,STA 1可以通过STA 1将帧发送到AP,而AP又将帧转发给STA 2,来与STA 2通信)。此外,每个STA可以诊断答复检测并且知道BSS中的BC和/或MC封包攻击。例如,利用在给定时段内从特定STA检测到的攻击封包的数量,STA可以向AP发送特定帧(specific frame)以向AP通知BC和/或MC封包攻击,如上所述的,特定帧可以是单播数据封包,例如使用成对密钥加密的单播数据封包或帧。在一些情况下,STA可以使用具有成对密钥加密的单播数据封包或帧来通知AP。此外,AP也可以使用成对密钥加密帧向STA通知广播和/或多播攻击,AP可以选择一个STA来通知(例如发送单播帧或封包来通知),或者选择多个STA来通知(选择多个时也可以一个个的依次向STA通知)。另外,本发明中所检测和防止的BC和/或MC封包攻击可以指:BC封包攻击和MC封包攻击中的任意一种或两种。AP可以传送BC封包和MC封包的任意一种或两种,其中BC封包是针对所有STA发出的,MC封包是针对部分STA(数量大于一个)发出的。而封包攻击可以是指BC封包攻击和MC封包攻击中的任意一种或两种,在一些情况下也可能有单播封包的攻击。
在所提出的方案下,在AP侧,BSS的AP可以接收启用了CCMP或TKIP加密的BC和/或MC帧,并且每个BC和/或MC帧中指示的基本服务集标识符(BSSID)可以是等于AP的MAC地址。因此,例如,AP可以通过检查和验证AES帧的封包号(packet number,PN)或TKIP帧的TKIP序列计数器(TKIP sequence counter,TSC)是否大于当前重播计数器来检测BSS的BC和/或MC封包攻击。对于AES,它需要PN0,PN1,PN2,PN3,PN4和PN5来检测重播计数器。对于TKIP,它需要TSC0,TSC1,TSC2,TSC3,TSC4和TSC5来检测重播计数器。其中,AES帧的封包号或TKIP帧的TKIP序列计数器(或CCMP的序列计数器,或其他帧或协议下的计数器等)可以统称为计数器。一旦AP知道BC和/或MC帧已用于BC和/或MC封包攻击,则AP可以执行一项或多项操作来防止BSS中任何的进一步攻击。例如,AP可以触发与BSS相关联的所有STA的组密钥(groupkey)密钥更新协商(rekey negotiation)。替代地或附加地,AP可以在AP和与BSS相关联的每个STA之间触发重播计数器更新(renew)过程。替代地或附加地,AP可以将通知帧(notification frame)发送到网络管理器以指示BSS受到BC和/或MC封包攻击。其中网络管理器可以是管理所有连接到该网络管理器的AP的管理器,当其中一个AP得知(之前)与该AP连接的一个或多个站点或设备为攻击设备时,则可以将该一个或多个站点或设备的消息(例如MAC地址)传输给网络管理器,这样网络管理器就可以通知所有与该网络管理器的AP该一个或多个站点或设备的消息,从而拒绝该一个或多个站点或设备接入到这些AP,以防止攻击的发生。其中AP向网络管理器发送通知,或者网络管理器向AP发送通知,可以通过通知帧,或者通过特定帧,或者其他预设的帧来进行通知。AP与网络管理器之间可以通过有线的方式进行连接,例如网线或光纤等。
此外,在所提出的方案下,一旦AP知道BC和/或MC帧用于BC和/或MC封包攻击,则AP可以与BSS中的一个或多个STA进行组密钥密钥更新协商来作为一种方式,以识别或以其他方式确定BSS中的STA的哪一个(或哪些)可能是攻击设备,其中该攻击设备通过使用BC和/或MC封包发起BC和/或MC封包攻击以攻击BSS(中的STA)。其中在确定哪一个(或哪些)是攻击设备时,本发明中采用的是AP与BSS中的部分STA(而不是全部STA)进行组密钥密钥更新协商,然后根据协商后的结果来确定攻击设备可能是哪些STA(或者可以直接确定哪个或哪些是攻击设备),具体过程下文中将会详细说明。一旦AP识别出与BSS相关联的STA中的哪一个(或哪些)STA是攻击设备,则AP可以将这种攻击STA与BSS断开连接,也可以拒绝来自该BSS中的这种攻击STA。需要说明的是,进行组密钥密钥更新协商后,只有选取进行该协商的部分STA可以继续与AP通信(只有它们知道更新后的密钥),其他没有参与本次组密钥密钥更新协商的STA,不知道更新后的密钥,可能无法接收到AP之后发送的封包等,也无法伪装为AP向其他STA发送封包攻击等,或者即使伪装成AP也由于不知道与其他STA之间的密钥而无法通信(也即无法攻击)。
在所提出的方案下,AP可以在启用AES的模式或启用TKIP的模式下使用加密与BSS中的STA进行通信。因此,AP可以接收具有等于该AP的MAC地址的BSSID的BC和/或MC帧。如果AP在给定时间段内接收到许多BC和/或MC帧,当每个这种BC和/或MC帧均指示BSSID等于AP的MAC地址时,AP可以检测或以其他方式确定(例如当PN(在AES模式下)或TSC(在TKIP模式下)或其他模式下的计数器大于当前重播计数器时)BSS中存在BC和/或MC封包攻击。具体来说,AP可以发出BC和/或MC封包或帧,本发明的方案中,AP还可以接收所发出的BC和/或MC封包或帧,AP也可以接收其他设备(例如攻击设备)发出的BC和/或MC封包或帧。例如,当有设备准备在BSS中发起封包攻击时,该设备发送的BC和/或MC封包或帧具有与AP发出的BC和/或MC封包或帧具有相同的MAC地址。AP在发出自己的BC和/或MC封包或帧之后,还可以接收BSS中的BC和/或MC封包或帧,而当AP接收到的BC和/或MC封包或帧中的计数器(例如PN或TCS等)小于刚刚AP发出自己的BC和/或MC封包或帧中的计数器(当前重播计数器)时,这就说明有设备发出了封包攻击,因此AP可以通过接收具有等于该AP的MAC地址的(BSSID的)BC和/或MC帧来确定BSS中是否存在封包攻击。另外,当AP接收到的BC和/或MC封包或帧中的计数器(例如PN或TCS等)等于刚刚AP发出自己的BC和/或MC封包或帧中的计数器(当前重播计数器)时,也是值得怀疑的,此时极有可能已经存在封包攻击了,可能还需要进一步的确认。本实施例中可以通过下文描述的方式来确认是否发生了封包攻击,例如BSS中的STA通过重播检测的方式发现了封包攻击,并且STA通过成对密钥加密帧或封包向AP通知封包攻击的发生(以单播封包或帧的形式发送)。
因此,AP可通过在BSS从STA接收到通知或由AP本身检测BC和/或MC封包攻击意识到在BSS中存在BC和/或MC封包攻击或在BSS中的BC和/或MC封包攻击的发生。在仅有单个STA连接到AP的情况下,AP可以开始与STA的组密钥密钥更新协商。这是因为攻击设备不是BSS中的设备(即,AP和单个STA)之一(也就是既不是AP也不是目前的这些STA),并且密钥更新可能会阻止进一步的攻击。在有两个或两个以上的STA连接到AP的情况下,AP可以开始为所有STA进行(一轮)组密钥密钥更新协商,从而改变组密钥以防止进一步的攻击。备选地,由于攻击设备可以是BSS中的STA之一,因此AP可以针对所有STA开始重播计数器更新过程,以防止进一步受到攻击。
在所提出的方案下,AP可以有意地对与BSS相关联的部分而不是全部的STA执行组密钥密钥更新协商,以发现在STA中的哪个(或哪些)设备可能是(在BSS中)发起或以其他方式实施了攻击的攻击设备。一旦识别出来或以其他方式确定了攻击设备,AP可以将这种攻击STA与BSS断开连接,也可以拒绝来自BSS中的这种攻击STA。AP可以将特定帧或其他形式发送到网络管理器,以指示重播检测和/或已经发现攻击设备。AP还可以记录或以其他方式存储每个攻击设备的标识(例如,存储在黑名单中)。
图1示出了示例网络环境100,在其中可以实现根据本发明的各种示例。网络环境100可包括AP 105,由AP 105托管(hosting)的BSS 150,与BSS 150相关联的多个STA。在图1中所示的示例中,STA#1 110,STA#2 120和STA#3 130可以是在BSS 150中,或以其他方式与BSS 150相关联。作为非限制性和说明性示例,一旦AP 105意识到BC和/或MC封包攻击,则AP105可以与STA#1 110和STA#2 120执行组密钥密钥更新协商,而不与STA#3 130执行组密钥密钥更新协商。随后,如果继续发生相同类型的攻击,则AP 105可以诊断或以其他方式确定该攻击是来自STA#1 110或STA#2 120,并且STA#3 130不是攻击设备。此外,AP 105可以与STA#1 110和STA#3 130进行组密钥密钥重新协商,但不与STA#2 120进行组密钥密钥更新协商。在仍然继续发生相同类型的攻击的情况下,AP 105可能会发现,识别或以其他方式进行攻击确定STA#1 110是攻击设备。另外,AP检测到BSS中(或无线网络中)是否存在封包攻击,可以通过可信任的STA来通知AP使AP得知或检测到,或者通过BSS中的其他STA(例如STA#1 110,STA#2 120,STA#3130)来通知AP使AP得知或检测到。AP可以告诉所有与AP相连的STA此时存在封包攻击。
作为另一个非限制性和说明性示例,AP 105可以向BSS 150添加可信任的STA(例如STA#T 140,STA#T 140例如可以是AP 105的拥有者或主人,并且不希望AP 105和与AP105连接的设备被攻击),并将STA#T 140和STA#1 110执行第一轮部分组密钥密钥更新协商。然后,AP可以将STA#T 140和STA#2 120执行第二轮部分组密钥密钥更新协商。这方法可以由AP继续(例如,将STA#T 140和STA#3 130执行与第三轮部分组密钥密钥更新协商),直到发现攻击设备为止。例如本段的示例中,执行第一轮部分组密钥密钥更新协商(将STA#T140和STA#1 110执行更新),更新后,若(相同类型的)攻击停止则攻击设备在STA#2 120和STA#3 130中;若攻击继续,则STA#1 110是攻击设备。假设在第一轮部分组密钥密钥更新协商之后攻击停止,则执行第二轮部分组密钥密钥更新协商(将STA#T 140和STA#2 120执行更新),更新后,若攻击停止则STA#2 130为攻击设备;若攻击继续,则STA#2 120是攻击设备。若确定STA#3 130为攻击设备。此时就可以将STA#3 130断开与AP的连接,将STA#3 130踢出该BSS(将该STA#3 130与AP及其他STA等断开连接)。其中,STA#T 140可以是预先设定的可信任设备,STA#T 140可以由管理员添加进来用于检测攻击设备。此外,其他站点或设备例如STA#1 110,STA#2 120,STA#3 130它们可能接收到了封包攻击,然而STA#1 110,STA#2 120,STA#3 130也可能是伪装为AP的攻击设备,它们是不可信的,无法绝对信任,因此为了准确的检测到哪个(哪些)是攻击设备,需要预先设定可信任的设备。当然,在另一实施例中,管理员在确定STA#1 110,STA#2 120,STA#3 130其中具有可信任的设备时,它们其中一个或多个也可以用作可信任设备,来进行攻击设备的检测,以防止攻击。例如,BSS中具有更多的STA,举例来说包括STA#1,STA#2,STA#3,STA#5,STA#6,STA#7等等。其中,可以确定STA#1是可信任的设备(例如STA#1是该AP的主人或所有者,其他的STA是访客),例如STA#1通过重播检测的方式发现在BSS中存在BC和/或MC封包攻击,然后STA#1将在BSS中存在BC和/或MC封包攻击的情况告知AP。STA#1是可信任的设备,自然不会是攻击设备。AP例如选取STA#1和STA#2进行第一轮部分组密钥密钥更新协商,若相同类型的攻击停止(例如STA#1未再接收到封包攻击,并且可以告知AP),则攻击设备在STA#3,STA#5,STA#6,STA#7中;若攻击继续(例如STA#1还会接收到封包攻击,并且可以告知AP),则攻击设备至少包括STA#2。假设上述第一轮部分组密钥密钥更新协商后,相同类型的攻击停止,也即攻击设备在STA#3,STA#5,STA#6,STA#7中。接下来就可以选取例如STA#1和STA#3进行第二轮部分组密钥密钥更新协商,在第二轮部分组密钥密钥更新协商之后,如果相同类型的攻击停止,则证明攻击设备在STA#5,STA#6,STA#7中;如果相同类型的攻击继续,则证明攻击设备至少包括STA#3。本实施例中,例如上述第一轮部分组密钥密钥更新协商后攻击继续,也即攻击设备至少包括STA#2。之后也可以继续选取例如STA#1和STA#3进行第二轮部分组密钥密钥更新协商,在第二轮部分组密钥密钥更新协商之后,若攻击继续,则证明攻击设备至少包括STA#2和STA#3。也就是说,攻击设备可以是一个或多个,AP可以一直执行该部分组密钥密钥更新协商,以发现所有的攻击设备。
图2示出了根据本发明的实施方式的具有至少示例装置210(例如为电子装置)和示例装置220(例如为电子装置)的示例***200。装置210和装置220中的每一个可以执行各种功能以实现本文描述的与广播和多播封包攻击的检测和防止有关联的方案,技术,过程和方法,以发现和断开无线通信中的攻击者,包括所描述的各种方案,具有关于以上描述的各种所提出的设计,概念,方案,***和方法,以及以上描述也适用于以下描述的过程300。即,装置210和装置220中的每一个可以是网络环境100中的AP 105,或STA#1 110,STA#2120,STA#3 130和STA#T 140之一的示例实现。
装置210和装置220中的每一个可以是电子设备(或装置)的一部分,该电子设备可以是网络设备或STA,诸如便携式或移动设备,可穿戴设备,无线通信设备或计算设备。例如,装置210和装置220中的每一个可以实现在智能电话,智慧手表,个人数字助理,数字照相机或诸如平板计算机,膝上型计算机或笔记本计算机之类的计算设备中。装置210和装置220中的每一个也可以是机器类型的装置的一部分,该机器类型的装置可以是诸如不动或固定装置的IoT装置,家用装置,有线通信装置或计算装置。例如,装置210和装置220中的每一个都可以在智慧恒温器,智慧冰箱,智慧门锁,无线扬声器或家庭控制中心中实现。当在网络设备中或作为网络设备实现时,装置210和/或装置220可以在Wi-Fi网络中的AP中实现。备选地,装置210和/或装置220可以在LTE,高级LTE或高级LTE Pro网络中的eNodeB中或在5G网络,NR网络或IoT网络中的gNB或TRP中实现。举例来说,AP可以是路由器等,STA可以是手机等,当然这仅是为了通俗的理解而举的例子,并非对本发明的限制。
在一些实施方式中,装置210和装置220中的每一个可以以一个或多个集成电路(integrated-circuit,IC)芯片的形式实现,例如但不限于,一个或多个单核处理器,一个或多个多核处理器,或一个或多个复杂指令集计算(complex-instruction-set-computing,CISC)处理器。在上述各种方案中,装置210和装置220中的每一个可以在网络装置或UE(user equipment)中或作为网络装置或UE来实现。装置210和装置220中的每一个可以分别包括图2所示的那些组件中的至少一些,例如分别包括处理器212和处理器222。装置210和装置220中的每一个可以进一步包括与本发明的所提出的方案不相关的一个或多个其他组件(例如,内部电源,显示设备和/或使用者界面设备),并且因此,为了简单和简洁起见,装置210和装置220的这些组件在图2中未示出。
一方面,处理器212和处理器222中的每一个可以以一个或多个单核处理器,一个或多个多核处理器或一个或多个CISC处理器的形式实现。即,即使在本文中使用单数术语“处理器”来指代处理器212和处理器222,根据本发明,处理器212和处理器222中的每一个在一些实施方式中可以包括多个处理器,而在其他实施方式中可以包括单个处理器。另一方面,处理器212和处理器222中的每一个可以以具有电子部件的硬件(以及可选地,固件)的形式实现,该电子部件包括例如但不限于一个或多个晶体管,一个或多个二极管,一个或多个电容器,一个或多个电阻器,一个或多个电感器,一个或多个忆阻器和/或一个或多个变容二极管,它们配置和布置为实现根据本发明的特定目的。换句话说,根据本发明的各种实施方式,在至少一些实施方式中,处理器212和处理器222中的每一个是专门设计,配置和布置为执行特定任务的专用机器,所述特定任务可以包括与检测和防止广播和多播封包攻击有关的那些任务,以发现无线通信中的攻击者和将无线通信中的攻击者断开连接。
在一些实施方式中,装置210还可以包括耦合至处理器212的收发器216。收发器216可以能够无线地发送和接收数据,封包和帧。在一些实施方式中,装置220还可以包括耦合至处理器222的收发器226。收发器226可以包括能够无线发送和接收数据,封包和帧的收发器。
在一些实施方式中,装置210可以进一步包括耦合至处理器212并且能够由处理器212访问并在其中存储数据的存储器214。在一些实施方式中,装置220可以进一步包括耦合至处理器222并且能够由处理器222访问并在其中存储数据的存储器224。存储器214和存储器224中的每个可以包括一种随机存取存储器(random-access memory,RAM),诸如动态RAM(dynamic RAM,DRAM),静态RAM(static RAM,SRAM),晶闸管RAM(thyristor RAM,T-RAM)和/或零电容器RAM(zero-capacitor RAM,Z-RAM)。替代地或附加地,存储器214和存储器224中的每一个可以包括一种类型的只读存储器(read-only memory,ROM),诸如屏蔽ROM(maskROM),可程序设计ROM(programmable ROM,PROM),可擦除可程序设计ROM(erasableprogrammable ROM,EPROM)和/或电性可擦除可程序设计ROM(electrically erasableprogrammable,EEPROM)。替代地或附加地,存储器214和存储器224中的每一个可以包括一种非易失性随机存取存储器(non-volatile random-access memory,NVRAM),诸如闪存,固态存储器,铁电RAM(ferroelectric RAM,FeRAM),磁阻RAM(magnetoresistive RAM,MRAM)和/或相变存储器。
装置210和装置220中的每一个可以是能够使用根据本发明的各种提出的方案彼此通信的网络设备(或装置)。出于说明性目的而非限制,在下面提供描述了作为无线网络(例如,基于IEEE 802.11标准的Wi-Fi网络)的装置210和作为无线网络中的STA的装置220的能力。值得注意的是,尽管以下描述的示例实现是在UE的上下文中提供的,但是它们可以在基站(base station)中实现并由基站执行。因此,尽管以下示例实现的描述涉及作为第一网络设备(例如,AP或STA)的装置210,但是同样适用于作为第二网络设备(例如,与上述第一网络设备对应的STA或AP)的装置220。本实施例中,存储器中可存储有用于执行的程序代码,处理器读取该程序代码以执行本发明的方法和步骤。具体来讲,AP中的存储器中可存储有用于执行的程序代码,AP中的处理器读取该程序代码以执行本发明的方法和步骤。STA中的存储器中可存储有用于执行的程序代码,STA中的处理器读取该程序代码以执行本发明的方法和步骤。
在根据本发明的各种提出的方案下,在无线网络(例如,BSS 150)中作为第一网络设备的装置210的处理器212可以与作为第二网络设备的装置220(当然也在无线网络中)建立无线通信。另外,处理器212可以检测无线网络中的广播和/或多播封包攻击(或广播和/或多播攻击),如上所述的,AP和STA可以检测或获取无线网络中的封包攻击。第一网络设备可以是AP,第二网络设备可以是STA;或者,第一网络设备可以STA,第二网络设备可以是AP,此时第一网络设备(STA)可以通过重播检测的方式获取到BSS中是否存在封包攻击,若存在则利用成对密钥加密帧告知AP。
此外,第一网络设备可以是AP,处理器212也可以利用成对密钥加密帧将攻击通知给装置220。第一网络设备可以是AP,第二网络设备可以是STA,此时AP也可以利用成对密钥加密帧将存在攻击的通知发送给STA。
在一些实施方式中,无线通信可以是启用CCMP或TKIP的。
在一些实现中,无线网络可以包括基于IEEE 802.11标准的Wi-Fi BSS。另外,第一网络设备可以是BSS中的站点(STA),并且第二网络设备可以是与BSS相关联的AP。
在一些实施方式中,无线网络可以包括基于IEEE 802.11标准的Wi-Fi BSS。此外,第一网络设备可以是与BSS相关联的AP,第二网络设备可以是BSS中的站点(STA)。
在一些实现中,第一网络设备可以是AP,处理器212可以使能在BSS中接收具有等于AP的MAC地址的BSSID的广播和/或多播封包帧。若广播和/或多播帧中的计数器(例如PN或TCS等)小于当前重播计数器(刚刚AP发出自己的BC和/或MC封包或帧中的计数器),则无线网络中攻击存在广播和/或多播封包攻击。若广播和/或多播帧中的计数器大于当前重播计数器,则一般认为目前可能没有封包攻击。若广播和/或多播帧中的计数器等于当前重播计数器,也是值得怀疑的,此时极有可能已经存在封包攻击了,可能还需要进一步的确认。例如BSS中的STA通过重播检测的方式发现了封包攻击,并且STA通过成对密钥加密帧或封包向AP通知封包攻击的发生。
在一些实施方式中,第一网络设备可以是AP,处理器212可以触发BSS中的每个站点(STA)执行组密钥密钥更新协商或重播计数器更新过程,使得在完成组密钥密钥更新协商或重播计数器更新过程之后(或完成时)防止广播和/或多播封包攻击(也即一旦完成组密钥密钥更新协商或重播计数器更新过程,则即可防止广播和/或多播封包攻击)。具体来说,AP在于每个站点(STA)执行组密钥密钥更新协商或重播计数器更新过程中,是与每个站点(STA)依次执行更新的,例如,AP先发送单播封包或帧给第一站点,以告知第一站点更新后的组密钥或重播计数器已更新;此时其他的站点(例如第二站点等)还不知道更新后的组密钥,因此这样可以防止攻击设备进行攻击(当第一站点为攻击设备时)或第一站点被攻击(当第一站点不是攻击设备时)。接着,AP会发送单播封包或帧给第二站点,以告知第二站点更新后的组密钥或重播计数器已更新;此时其他的站点(例如第三站点等)还不知道更新后的组密钥(当然第一站点是已知道的),这样如果第二站点为攻击设备,则第二站点只能攻击第一站点而无法攻击第三站点;如果第二站点不是攻击设备,则至少保护了第一站点和第二站点暂不会受到攻击。因此本发明的这种方案可以至少减轻封包攻击的影响。
在一些实施方式中,第一网络设备可以是AP,处理器212可将BSS中多个站点中的哪个站点确定为发起广播和/或多播封包攻击的攻击设备(处理器212可以确定BSS中的发起广播和/或多播封包攻击的站点或攻击设备)。另外,基于确定的结果,处理器212可以将攻击设备(发起攻击的站点或攻击站点)与BSS断开连接,也可以拒绝来自BSS中的攻击STA(或称为攻击设备或发起攻击的站点)。在一些实施方式中,在确定BSS中的多个站点中的哪个站点作为发起广播和/或多播封包攻击的攻击设备时,处理器212可以通过使用组密钥密钥更新协商来确定BSS中的多个站点中的哪个站点作为攻击设备(通过使用组密钥密钥更新协商来确定基本服务集中发起广播或封包攻击的攻击设备),以发现多个站点中的一个或多个站点作为一个或多个攻击设备。其中,确定攻击设备的过程可以参考上述的方式,具体的,参考图1所示,AP 105将STA#T 140和STA#1 110执行第一轮部分组密钥密钥更新协商。之后,若攻击停止则攻击设备在STA#2 120和STA#3 130中;若攻击继续则攻击设备为STA#1 110。假设第一轮更新之后攻击停止,也就是说攻击设备在STA#2 120和STA#3 130中。AP 105将STA#T 140和STA#1 120执行第二轮部分组密钥密钥更新协商。之后,若攻击停止则攻击设备为STA#3 130;若攻击继续则攻击设备为STA#1 120。其中,攻击设备可以是一个,也可以是多个。若攻击设备为一个,则按照上述方式即可找到该一个攻击设备。当攻击设备为多个时,也可以按照上述方式找到该多个攻击设备,例如,假设第一轮更新之后攻击继续,则攻击设备为STA#1 110。接着还可以继续将STA#T 140和STA#1 120进行第二轮部分组密钥密钥更新协商,若攻击继续则攻击设备为STA#1 120。因此该示例中攻击设备包括STA#1 110和STA#1 120。小结的描述为,向BSS中添加至少一个可信任设备或站点,或者在BSS中选择至少一个可信任设备或站点,或者在BSS中预设至少一个可信任设备或站点;选取该可信任设备或站点与BSS中的第一设备或站点执行第一轮部分组密钥密钥更新协商;然后,根据可信任设备或站点的探测结果(是否还有相同类型的封包攻击),确定该第一设备或站点是否为攻击设备(若该可信任设备或站点继续检测到该广播和/或多播攻击,则该第一设备或站点为攻击设备,或攻击设备至少包括该第一设备或站点;该可信任设备或站点未检测到该广播和/或多播攻击,则该第一设备或站点不是攻击设备,或攻击设备不包括第一设备或站点);接着,选取该可信任设备或站点与BSS中的第二设备或站点(不同于第一设备或站点)执行第二轮部分组密钥密钥更新协商;之后,根据可信任设备或站点的探测结构(是否还有相同类型的封包攻击),确定该第二设备或站点是否为攻击设备(若该可信任设备或站点继续检测到该广播和/或多播攻击,则该第二设备或站点为攻击设备,或攻击设备至少包括该第二设备或站点;该可信任设备或站点未检测到该广播和/或多播攻击,则该第二设备或站点不是攻击设备,或攻击设备不包括第二设备或站点)。当然,还可以继续选取该可信任设备或站点与BSS中的第三设备或站点(不同于第一设备或站点及第二设备或站点)执行第三轮部分组密钥密钥更新协商;然后,根据可信任设备或站点的探测结果(是否还有相同类型的封包攻击),确定该第三设备或站点是否为攻击设备(与上述判断类似,不再赘述)。采用上述方式即可找到BSS中的攻击设备。本实施例中,BSS中至少具有一个AP和一个设备或站点,当然也可以为BSS中具有一个AP和两个设备或站点,或者一个AP和三个设备或站点。当可信任设备或站点为增加或添加到BSS中时,BSS中可以具有一个AP和一个设备或站点或者更多的设备或站点。当可信任设备或站点为在BSS中选择或预设时,BSS中应该具有一个AP和两个或以上的设备或站点。上述过程可以由AP和站点实现,具体来说,可以由AP的处理器根据AP的存储器中的程序代码以及站点的处理器根据站点的存储器中的程序代码来执行以实现。
在一些实施方式中,第一网络设备可以是AP,处理器212可以用特定帧或其他形式通知网络管理器以指示发生广播和/或多播封包攻击。
在一些实施方式中,第一网络设备可以是AP,处理器212可以用特定帧或以其他形式通知网络管理器以指示:(a)BSS中的一个或多个站点已发现为一个或多个攻击设备(发起攻击的站点或攻击站点),发起了广播和/或多播封包攻击,和/或,(b)一个或多个攻击设备(发起攻击的站点或攻击站点)已断开连接。其中上述(a)和(b)可以至少选择一个执行,也即处理器212能够执行:用第一帧通知网络管理器以指示发生广播和/或多播封包攻击;和/或,用第二帧通知网络管理器以指示:已发现基本服务集中的站点是发起广播和/或多播封包攻击的攻击设备,以及该攻击设备已断开连接。
在一些实施方式中,无线网络可以包括组所有者(group owner)和组客户端(group client)(GO/GC)对等(peer-to-peer,P2P)无线网络,基于IEEE 802.11标准的独立基本服务集(independent basic service set,IBSS)无线网络标准,基于IEEE 802.11标准的无线分发***(Wireless Distribution System,WDS)和网格(Mesh)无线网络,或基于IEEE 802.11标准的受保护的管理帧(Protected Management Frame,PMF)广播完整性协议(Broadcast Integrity Protocol,BIP)无线网络。
图3示出了根据本发明的实施方式的示例过程300。过程300可以代表实现上述各种所提出的设计,概念,方案,***和方法的一个方面。更具体地,过程300可以表示所提出的概念和方案的一方面,该概念和方案与检测和防止广播和多播封包攻击有关,以发现无线通信中的攻击者和将无线通信中的攻击者断开连接。过程300可以包括框310、320和330中的一个或多个所示出的一个或多个操作,动作或功能。尽管图示为离散的框,但是过程300的各个框可以划分为另外的框,组合成更少的框,或取消,具体取决于所需的实现。此外,过程300的块/子块可以按照图3中所示的顺序或者替代地以不同的顺序执行。过程300的块/子块可以迭代地执行。过程300可以由装置210和装置220或其任何变型实现或在其中实现。仅出于说明性目的且不限制范围,下面在装置210作为第一网络设备(例如,AP或STA)以及在装置220作为第二网络设备(例如,STA或STA)的背景下描述过程300。过程300可以在框310处开始。
在310处,过程300可以涉及作为无线网络(例如BSS 150)中的第一网络设备的装置210的处理器212与作为第二网络设备的装置220(当然也在无线网络中)建立无线通信。过程300可以从310进行到320。
在320处,过程300可以涉及处理器212检测无线网络中的广播和/或多播封包攻击。如上所述的,AP和STA可以检测或获取无线网络中的封包攻击。第一网络设备可以是AP,第二网络设备可以是STA;或者,第一网络设备可以STA,第二网络设备可以是AP,此时第一网络设备(STA)可以通过重播检测的方式获取到BSS中是否存在封包攻击,若存在则利用成对密钥加密帧告知AP。过程300可以从320进行到330。
在330处,过程300可涉及处理器212利用成对密钥加密帧向装置220通知攻击。第一网络设备可以是AP,第二网络设备可以是STA,此时AP也可以利用成对密钥加密帧将存在攻击的通知发送给STA。
在一些实施方式中,无线通信可以是启用CCMP或TKIP的。
在一些实施方式中,无线网络可以包括基于IEEE 802.11标准的Wi-Fi BSS。另外,第一网络设备可以是BSS中的站点(STA),并且第二网络设备可以是与BSS相关联的AP。
在一些实施方式中,无线网络可以包括基于IEEE 802.11标准的Wi-Fi BSS。此外,第一网络设备可以是与BSS相关联的AP,第二网络设备可以是BSS中的站点(STA)。
在一些实施方式中,第一网络设备可以是AP,过程300可以涉及处理器212使能在BSS中接收具有等于AP的MAC地址的BSSID的广播和/或多播封包帧。
在一些实施方式中,第一网络设备可以是AP,过程300可以包括处理器212触发BSS中的每个站点(STA)执行组密钥密钥更新协商或重播计数器更新过程,使得在完成组密钥密钥更新协商或重播计数器更新过程之后(或完成时)防止广播和/或多播封包攻击(也即一旦完成组密钥密钥更新协商或重播计数器更新过程,则即可防止广播和/或多播封包攻击)。
在一些实施方式中,第一网络设备可以是AP,过程300可以包括处理器212确定BSS中多个站点中的哪个站点作为发起广播和/或多播封包攻击的攻击设备(确定BSS中的发起广播和/或多播封包攻击的站点)。另外,基于确定的结果,过程300可以包括处理器212将攻击设备(发起攻击的站点或攻击站点)与BSS断开连接,也可以拒绝来自BSS中的攻击STA(或称为攻击设备或发起攻击的站点)。在一些实施方式中,在确定BSS中的多个站点中的哪个站点作为发起广播和/或多播封包攻击的攻击设备时,过程300可以包括处理器212通过使用组密钥密钥更新协商来确定BSS中的多个站点中的哪个站点作为攻击设备,以发现多个站点中的一个或多个站点作为一个或多个攻击设备。其中,确定攻击设备的过程可以参考上述的方式,具体的,参考图1所示,AP 105将STA#T 140和STA#1 110执行第一轮部分组密钥密钥更新协商。之后,若攻击停止则攻击设备在STA#2 120和STA#3 130中;若攻击继续则攻击设备为STA#1 110。假设第一轮更新之后攻击停止,也就是说攻击设备在STA#2 120和STA#3 130中。AP 105将STA#T 140和STA#1 120执行第二轮部分组密钥密钥更新协商。之后,若攻击停止则攻击设备为STA#3 130;若攻击继续则攻击设备为STA#1 120。其中,攻击设备可以是一个,也可以是多个。若攻击设备为一个,则按照上述方式即可找到该一个攻击设备。当攻击设备为多个时,也可以按照上述方式找到该多个攻击设备,例如,假设第一轮更新之后攻击继续,则攻击设备为STA#1 110。接着还可以继续将STA#T 140和STA#1 120进行第二轮部分组密钥密钥更新协商,若攻击继续则攻击设备为STA#1 120。因此该示例中攻击设备包括STA#1 110和STA#1 120。小结的描述为,向BSS中添加至少一个可信任设备或站点,或者在BSS中选择至少一个可信任设备或站点,或者在BSS中预设至少一个可信任设备或站点;选取该可信任设备或站点与BSS中的第一设备或站点执行第一轮部分组密钥密钥更新协商;然后,根据可信任设备或站点的探测结果(是否还有相同类型的封包攻击),确定该第一设备或站点是否为攻击设备(若该可信任设备或站点继续检测到该广播和/或多播攻击,则该第一设备或站点为攻击设备,或攻击设备至少包括该第一设备或站点;该可信任设备或站点未检测到该广播和/或多播攻击,则该第一设备或站点不是攻击设备,或攻击设备不包括第一设备或站点);接着,选取该可信任设备或站点与BSS中的第二设备或站点(不同于第一设备或站点)执行第二轮部分组密钥密钥更新协商;之后,根据可信任设备或站点的探测结构(是否还有相同类型的封包攻击),确定该第二设备或站点是否为攻击设备(若该可信任设备或站点继续检测到该广播和/或多播攻击,则该第二设备或站点为攻击设备,或攻击设备至少包括该第二设备或站点;该可信任设备或站点未检测到该广播和/或多播攻击,则该第二设备或站点不是攻击设备,或攻击设备不包括第二设备或站点)。当然,还可以继续选取该可信任设备或站点与BSS中的第三设备或站点(不同于第一设备或站点及第二设备或站点)执行第三轮部分组密钥密钥更新协商;然后,根据可信任设备或站点的探测结果(是否还有相同类型的封包攻击),确定该第三设备或站点是否为攻击设备(与上述判断类似,不再赘述)。采用上述方式即可找到BSS中的攻击设备。本实施例中,BSS中至少具有一个AP和一个设备或站点,当然也可以为BSS中具有一个AP和两个设备或站点,或者一个AP和三个设备或站点。当可信任设备或站点为增加或添加到BSS中时,BSS中可以具有一个AP和一个设备或站点或者更多的设备或站点。当可信任设备或站点为在BSS中选择或预设时,BSS中应该具有一个AP和两个或以上的设备或站点。
在一些实施方式中,第一网络设备可以是AP,过程300可以包括处理器212将特定帧或其他形式通知网络管理器以指示广播和/或多播封包攻击的发生。
在一些实施方式中,第一网络设备可以是AP,过程300可以包括处理器212以特定帧或其他形式通知网络管理器以指示:(a)BSS中的一个或多个站点已发现为一个或多个攻击设备(发起攻击的站点或攻击站点),发起了广播和/或多播封包攻击,和/或,(b)一个或多个攻击设备(发起攻击的站点或攻击站点)已断开连接。其中上述(a)和(b)可以至少选择一个执行,也即处理器212能够执行:用第一帧通知网络管理器以指示发生广播和/或多播封包攻击;和/或,用第二帧通知网络管理器以指示:已发现基本服务集中的站点是发起广播和/或多播封包攻击的攻击设备,以及该攻击设备已断开连接。
在一些实施方式中,无线网络可以包括GO/GC P2P无线网络,基于IEEE 802.11标准的IBSS无线网络,基于IEEE 802.11标准的WDS和网格无线网络或者基于IEEE 802.11标准的PMF BIP无线网络。
先前技术中,仅规定了接收者应当丢弃组成计数不是连续的封包或数据,以及接收者应当丢弃计数小于当前计数的封包或数据。而本发明中,STA在察觉到BSS(或无线网络)中存在封包攻击时,可以通过使用具有成对密钥加密的单播数据封包来通知AP,使AP获取到目前存在封包攻击的信息。此外AP还可以将存在封包攻击的情况例如通过成对密钥加密封包或帧告诉BSS(或无线网络)中的其他STA(或者所有STA),从而通知无线网络中存在封包攻击的情况。这样就可以让AP和各个STA知道无线网络中的封包攻击,这些设备可以根据自身的情况决定如何处理这些封包攻击,使这些设备具有灵活的处理方式和更多的处理空间及时间。此外,本发明中还可以通过AP检测与自身MAC地址相等的封包或帧来确认(或检测)BSS(或无线网络)中是否存在封包攻击,这样AP可以获取到目前BSS(或无线网络)中是否有封包攻击,从而无需等待STA来告知AP是否有封包攻击发生。并且,本发明中还可以通过部分组密钥密钥更新协商的方式来找到发起攻击的攻击设备(配合可信任设备或站点),这样就可以准确的知道哪个或哪些设备是攻击设备,从而可以让AP及其他STA对其进行处理。并且在找到攻击设备之后,可以将攻击设备与AP断开连接,踢出BSS(或无线网络)之外,这样就可以防止进一步的攻击,保护AP和其他STA的安全。因此本发明中不仅可以通知AP和各个STA知道无线网络中的封包攻击,并且还可以准确的找到攻击设备,以及将攻击设备断开连接,拒绝攻击设备的接入,防止无线网络中的攻击发生,从而提升无线网络的安全性。
本领域的技术人员将容易地观察到,在保持本发明教导的同时,可以做出许多该装置和方法的修改和改变。因此,上述公开内容应被解释为仅由所附权利要求书的界限和范围所限制。

Claims (14)

1.一种获取无线网络中攻击的方法,其特征在于,包括:
第一网络设备与第二网络设备建立无线通信;
所述第一网络设备检测到所述无线网络中的广播和/或多播攻击;以及
所述第一网络设备使用成对密钥加密帧向所述第二网络设备通知所述广播和/或多播攻击。
2.如权利要求1所述的方法,其特征在于,所述无线通信为启用计数器模式密码块链接消息认证协议或启用临时密钥完整性协议。
3.如权利要求1所述的方法,其特征在于,所述第一网络设备包括在所述基本服务集中的站点,所述第二网络设备包括与所述基本服务集相关联的接入点。
4.如权利要求1所述的方法,其特征在于,所述第一网络设备包括与所述基本服务集相关联的接入点,所述第二网络设备包括在所述基本服务集中的站点。
5.如权利要求1所述的方法,其特征在于,所述无线网络包括:基于电气电子工程师协会802.11标准的Wi-Fi基本服务集,组所有者和组客户端对等无线网络,基于IEEE 802.11标准的独立基本服务集无线网络,基于IEEE 802.11标准的无线分配***和网格无线网络,或基于IEEE 802.11标准的受保护的管理帧广播完整性协议无线网络。
6.一种获取无线网络中攻击的方法,其特征在于,包括:
接入点接收具有等于所述接入点的媒体访问控制地址的基本服务集标识符的广播和/或多播帧;
若所述广播和/或多播帧中的计数器小于当前重播计数器,则所述无线网络中攻击存在广播和/或多播攻击。
7.如权利要求6所述的方法,其特征在于,还包括:
所述接入点触发所述基本服务集中的每个站点执行组密钥密钥更新协商或重播计数器更新过程,使得在完成组密钥密钥更新协商或重播计数器更新过程时防止广播和/或多播攻击。
8.如权利要求6所述的方法,其特征在于,还包括:
确定所述基本服务集中发起广播或封包攻击的攻击设备;以及
根据确定的结果:将所述攻击设备与所述基本服务集断开;以及拒绝来自所述基本服务集的所述攻击设备。
9.如权利要求8所述的方法,其特征在于,确定所述基本服务集中发起广播或封包攻击的攻击设备包括:通过使用组密钥密钥更新协商来确定所述基本服务集中发起广播或封包攻击的攻击设备。
10.如权利要求8所述的方法,其特征在于,确定所述基本服务集中发起广播或封包攻击的攻击设备包括:
选取可信任站点与所述基本服务集中的第一站点执行第一轮部分组密钥密钥更新协商;
根据所述可信任站点的是否还检测到所述广播和/或多播攻击,确定所述第一站点是否为攻击设备。
11.如权利要求10所述的方法,其特征在于,若所述可信任站点继续检测到所述广播和/或多播攻击,则所述第一站点为攻击设备;
若所述可信任站点未检测到所述广播和/或多播攻击,则所述第一站点不是攻击设备。
12.如权利要求6所述的方法,其特征在于,还包括:
通过通知网络管理器,以指示:发生广播和/或多播封包攻击,和/或,已发现基本服务集中的站点是发起广播和/或多播封包攻击的攻击设备以及所述攻击设备已断开连接。
13.一种电子设备,其特征在于,包括处理器和存储器,所述处理器可读取存储在所述存储器中的程序代码,以执行如权利要求6-12任一所述的方法。
14.一种电子设备,其特征在于,包括处理器和存储器,所述处理器可读取存储在所述存储器中的程序代码,以执行:
与无线网络中的第二网络设备建立无线通信;检测到所述无线网络中的广播和/或多播攻击;以及使用成对密钥加密帧向所述第二网络设备通知所述广播和/或多播攻击。
CN201911120837.9A 2018-11-15 2019-11-15 获取无线网络中攻击的方法和电子设备 Active CN111193705B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US16/192,778 2018-11-15
US16/192,778 US20200162926A1 (en) 2018-11-15 2018-11-15 Detection And Prevention Of Broadcast And Multicast Packet Attacking For Uncovering And Disconnecting Attackers In Wireless Communications

Publications (2)

Publication Number Publication Date
CN111193705A true CN111193705A (zh) 2020-05-22
CN111193705B CN111193705B (zh) 2022-07-05

Family

ID=70709148

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911120837.9A Active CN111193705B (zh) 2018-11-15 2019-11-15 获取无线网络中攻击的方法和电子设备

Country Status (3)

Country Link
US (1) US20200162926A1 (zh)
CN (1) CN111193705B (zh)
TW (1) TWI727503B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024148616A1 (zh) * 2023-01-13 2024-07-18 北京小米移动软件有限公司 无线通信方法和无线通信设备

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030044020A1 (en) * 2001-09-06 2003-03-06 Microsoft Corporation Establishing secure peer networking in trust webs on open networks using shared secret device key
US20040103282A1 (en) * 2002-11-26 2004-05-27 Robert Meier 802.11 Using a compressed reassociation exchange to facilitate fast handoff
CN1595880A (zh) * 2003-09-11 2005-03-16 华为技术有限公司 一种多播/广播中信息完整性保护的方法
US7234058B1 (en) * 2002-08-27 2007-06-19 Cisco Technology, Inc. Method and apparatus for generating pairwise cryptographic transforms based on group keys
CN101106449A (zh) * 2006-07-13 2008-01-16 华为技术有限公司 实现多方通信安全的***和方法
CN101583154A (zh) * 2009-07-07 2009-11-18 杭州华三通信技术有限公司 一种无线局域网中的通信方法及装置
US20140351932A1 (en) * 2013-05-24 2014-11-27 Qualcomm Incorporated Systems and methods for broadcast wlan messages with message authentication

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7882349B2 (en) * 2003-10-16 2011-02-01 Cisco Technology, Inc. Insider attack defense for network client validation of network management frames
US8122243B1 (en) * 2007-07-23 2012-02-21 Airmagnet, Inc. Shielding in wireless networks
US20090059934A1 (en) * 2007-08-30 2009-03-05 Motorola, Inc. Method and device for providing a bridge in a network

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030044020A1 (en) * 2001-09-06 2003-03-06 Microsoft Corporation Establishing secure peer networking in trust webs on open networks using shared secret device key
US7234058B1 (en) * 2002-08-27 2007-06-19 Cisco Technology, Inc. Method and apparatus for generating pairwise cryptographic transforms based on group keys
US20040103282A1 (en) * 2002-11-26 2004-05-27 Robert Meier 802.11 Using a compressed reassociation exchange to facilitate fast handoff
CN1595880A (zh) * 2003-09-11 2005-03-16 华为技术有限公司 一种多播/广播中信息完整性保护的方法
CN101106449A (zh) * 2006-07-13 2008-01-16 华为技术有限公司 实现多方通信安全的***和方法
CN101583154A (zh) * 2009-07-07 2009-11-18 杭州华三通信技术有限公司 一种无线局域网中的通信方法及装置
US20140351932A1 (en) * 2013-05-24 2014-11-27 Qualcomm Incorporated Systems and methods for broadcast wlan messages with message authentication

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
B. WEIS等: "Group Domain of Interpretation (GDOI) GROUPKEY-PUSH Acknowledgement Message", 《INTERNET ENGINEERING TASK FORCE (IETF) RFC8263》 *
M. BAUGHER等: "Multicast Security (MSEC) Group Key Management Architecture", 《NETWORK WORKING GROUP RFC4046》 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024148616A1 (zh) * 2023-01-13 2024-07-18 北京小米移动软件有限公司 无线通信方法和无线通信设备

Also Published As

Publication number Publication date
TWI727503B (zh) 2021-05-11
CN111193705B (zh) 2022-07-05
US20200162926A1 (en) 2020-05-21
TW202037110A (zh) 2020-10-01

Similar Documents

Publication Publication Date Title
US10674360B2 (en) Enhanced non-access stratum security
EP3286871B1 (en) Systems, methods, and devices for device credential protection
US9843579B2 (en) Dynamically generated SSID
KR102147446B1 (ko) 고속 초기 링크 셋업 동안의 인증을 위한 시스템들, 방법들, 및 장치
US10798082B2 (en) Network authentication triggering method and related device
CN112154624A (zh) 针对伪基站的用户身份隐私保护
EP3143785B1 (en) Securing device-to-device communication in a wireless network
US11082843B2 (en) Communication method and communications apparatus
CN108293259B (zh) 一种nas消息处理、小区列表更新方法及设备
US9491621B2 (en) Systems and methods for fast initial link setup security optimizations for PSK and SAE security modes
KR20180120696A (ko) Wwan-wlan 집성 보안
EP3158827B1 (en) Method for generating a common identifier for a wireless device in at least two different types of networks
US20230014494A1 (en) Communication method, apparatus, and system
JP2014509468A (ja) 無線ネットワーククレデンシャルを帯域外配信するための方法及びシステム
US11956715B2 (en) Communications method and apparatus
US20210014732A1 (en) Rapidly disseminated operational information for wlan management
CN111193705B (zh) 获取无线网络中攻击的方法和电子设备
JP6861285B2 (ja) 緊急アクセス中のパラメータ交換のための方法およびデバイス
CN111465007B (zh) 一种认证方法、装置和***
Liu et al. Security analysis of camera file transfer over Wi-Fi
US20240179529A1 (en) Message transmission method and communication apparatus
Patel et al. A Secure Scalable Authentication Protocol for Access Network Communications using ECC

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant