CN1835462A - 无线主机侵入检测*** - Google Patents

Abstract

本发明描述了在无线通信***中检测和处理中间人攻击的***和方法。本发明基于以下的原理工作：如果移动终端是静止的，对于与其通信的接入点来说，应该没有理由移交该连接。从合法接入点到非法接入点的移交能通过以下来检测：整个移交过程的发生，或者只是通过检测来自接入点的信号中的变化，该变化是信号强度或者到达方向。这表示攻击的开始。一旦检测到这样的中间人攻击，采用适当的告警操作。

Description

无线主机侵入检测***

发明领域

本发明涉及无线通信***，具体地涉及用于在这样的通信***中检测侵入攻击的***和方法。

背景资料

在目前的通信网络中，通常必须保证完全满足安全因素，所述安全因素包括来自破坏性攻击者的有害侵入。为此目的，人们正在努力，并且已经致力于找到防止来自恶意并且狡猾的黑客的有害攻击的方法。每当提出新的解决办法时，攻击者就会寻找抵制它们的方法。

由于依赖光学和有线介质的通信***已经存在很多年，大多数安全解决方案的开发都是针对这些技术的。但是，随着无线通信近来迅速的发展，需要一套致力于这种技术新的解决方案。

由于无线通信的特性，其易遭受来自信源的攻击，所述攻击可以只是窃听私人谈话。一个这样的攻击被称为中间人攻击(a man-in-the-middleattack)，这样命名是因为入侵者能够欺骗被害者的真实接入点。因为这个现象，可以欺骗包括蜂窝电话的无线终端从而将其通信与非法接入点或者基站发生关联。攻击者随后将建立到真实接入点的第二连接，并且在偷听和可能地操纵数据之后，中继来自被害者的业务。

特别地，攻击者可以强制已经连接到合法接入点的无线设备，使之从合法接入点脱离，并且立即联结到攻击者本身。所有这一切都是在用户毫无意识的情况下发生的。作为中间人的攻击者在该位置对无线用户发动许多攻击。

诸如Netstumbler的无线网络审查工具在审查期间如果有激活的非法接入点可以将其检测到。尽管如此，这类工具没有设计成能保护无线用户，因为在大多数情况下，用户不具备辨别通告合法接入点的分组和通告恶意(伪造的)接入点的分组的知识。事实上，用户的目的只不过是联结到任何一个看起来相当合法的可用接入点，以便访问因特网。

传统的主机侵入检测***(IDS)能够适于监控在主机上或者直接位于接入点上的无线接口。这些解决方案被设计成能检测深入于主机本身的攻击者的信号。其不能检测处于主机无线接口和接入点之间的威胁。

由Joshua Wright发表的题为“Detecting Wireless LAN MAC AddressSpoofing”( http://www.polarcove.com/whitepapers/detectwireless.pdf)论文描述了分析由在无线网络中欺骗MAC地址的不同的工具所产生的异常。受骗的MAC地址用于发动中间人攻击。

对这些异常的认识考虑到对那些工具产生的受骗业务进行简单检测。即使这些检测方法在以上标识的论文所描述的特定的攻击工具的情况下工作，它们也不能被推广，因为这些方法依赖特定攻击工具的“设计缺陷”。接下来攻击工具的释放将被修补，以使当前通过特征匹配的字段随机化。

现有技术解决方案没有设计成能够检测发生在用户接口和接入点之间的恶意行为。在无线物理层上，现有技术解决方案没有处理这个问题。此外，大多数现有技术IDS解决方案仅仅集中在802.11技术，而本发明概念上处理包括移动电话的所有无线技术。

发明内容

本发明提供了用于检测通过无线连接可通信地耦合到无线设备的接入点的异常行为的方法和装置。特别地，当无线设备保持静止时，异常行为是在来自接入点的信号相对于无线设备的明显变化。这样的异常行为可以显示为诸如中间人类型攻击的恶意操作。所述无线设备可以包括诸如PDA、膝上型电脑、蜂窝电话的移动设备，以及诸如桌上型PC、游戏站等的其它具有无线网络连接的“较少移动”的设备。

因此，根据本发明的第一个方面，提供了一种在无线设备和接入点之间进行无线通信中检测异常情况的方法，该方法包括如下步骤：检测来自接入点的信号的明显变化；确定无线设备是否从早于检测的时间起就保持静止；以及响应于肯定的判定，产生异常情况告警信号。

在该方法的优选实施例中，来自接入点的信号中的变化是在强度和/或方向的变化。

根据本发明的第二个方面，提供了一种用于在无线设备和接入点之间进行无线通信中检测异常情况的***，该***包括：用于检测在来自接入点的信号中的明显变化的装置；用于确定无线设备是否从早于检测的时间起就保持静止的装置；以及响应于肯定的判定，产生异常情况告警信号的装置。

附图说明

现在将参考附图更详细地描述本发明，附图示出在会议连接期间中间人攻击的例子。

具体实施方式

如前面提出的，中间人攻击是由在无线设备和无线终端正与之通信的接入点之间拦截(interceding)的攻击者实施的。中间人攻击可以只是引起无线终端的用户不便，或者更可能地，其可以偷听以便获得重要的信息或者提供错误的信息。

由本发明提供的解决方案基于以下的原理工作：如果用户的移动终端没有移动，接入点应该不被感知为移动。也就是说，如果用户知道其移动终端静止不动，那么与该终端相关的接入点没有理由呈现出通常仅当用户正在移动时才能观察到的特性。由正在移动的移动终端感知的明显的接入点特性是接入点移交；不太明显的特性是接入点信号的强度和到达方向的变化。事实上，接入点或者BTS、BSS要改变位置，并且仍然由无线网络运营商保持运行是非常不太可能的。因此，下面的假设是相当地可靠的，即，如果接入点被感知为移动，则某些可疑的事情正在发生。

本发明可以在诸如第二代(2G)和第三代(3G)电话移动终端中以及在诸如WiFi、WiMax、蓝牙的宽带技术方面，和包括特定部署情况的其它无线技术中获得应用，为了清楚起见，从这里开始，本申请将专门参考WiFi技术。当然，对于在本发明(无线通信和安全)领域任何技术人员来说把本发明的概念应用到其它无线技术将是显而易见的。

特别地，位于与合法的接入点不同的位置处的非法接入点的出现将被感知为突然的运动。这个事件将被作为可疑的活动用信号通知给用户，和/或给在主机上运行的任何的安全应用程序，和/或经由不同的信道给运行该接入点的无线网络运营商。设想，无线服务提供商将通用移动电信***(UMTS)和WiFi连接提供给其用户。在这种情况下，检测非法WiFi接入点的WiFi加UMTS电话(使用本发明的应用)可以通过UMTS直接地警告该用户同时经由诸如短消息服务(SMS)的消息通知无线网络运营商。

为了检测非法接入点的出现，本发明取决于两则信息单元的相关性：

(1)用户移动与否？

(2)接入点看起来移动与否？

首先，可以使用若干方法和技术来确定是否用户正在移动。例如，全球定位***(GPS)及作为其最新变体的辅助GPS(A-GPS)在包括蜂窝电话(尤其是Motorola i88S)、PDA和膝上型电脑的多种移动设备上正变得普遍可用。这个定位***可以直接地用于确定用户是否正在移动或者静止不动。此外，FCC的e911法案要求，在美国蜂窝电话能够广播其位置以参与紧急呼叫。如果地理坐标随时间保持静止，则移动终端是静止不动的。

另一种检测无线移动终端是否正在移动的可能方法是通过移动终端上直接可用的第二无线接口。如果移动终端的特征在于多于一个无线接口，则与一个可用的无线网络相关的定位技术可用于确定该移动终端的位置。尤其是，现今可以采用诸如针对GSM网络的增强的观察时间差(EOTD)和针对CDMA网络的高级前向链路三边测量(AFLT)的三角测量技术来确定移动电话的位置而无需依赖于GPS。类似的三角测量技术可以被运用到WiFi技术。

此外，本发明不涉及有关移动终端的地理位置的精确信息。本发明建议移动终端的位置计算可以是最简单并且最实际的方法以确定移动终端是否正在移动。因此，如果上述方法中的某些在计算地理坐标方面没有提供足够的精确度，其基础结构和技术可以很容易地适于解决稍微不同的任务，即，确定移动终端是否正在移动。

设想这样一种情况，其中3G电话无线基础结构是被用户信任的，但是，在移动终端上没有GPS可用。信任的基站信号的强度和到达方向可以被监控，以确定该移动终端何时移动以及何时静止不动。同时，通过剩余的(同一移动终端的)蓝牙和WiFi接口，接入点信号的强度和方向将被监控，以检测非法接入点的存在。取决于可用的无线接口和网络基础结构，可以潜在地设计大量更多的方法以任何想要的精度确定移动终端是否正在移动。本发明可以潜在地利用其中一些。

如果终端能够确定其当前不移动，则来自与该终端当前相关的接入点的信号的强度和方向必须保持不变。如前面提到的，诸如信号强度和/或信号方向的信号变化，是移交的指示，所述移交不应当发生除非攻击正在进行中。

信号强度监控在所有的WiFi无线卡上已经是可用的。检测到达方向(DOA)是一种功能，虽然没有在商品硬件上得到广泛使用，但仍然是现今很好理解的工程问题。因此，信号强度监控和DOA功能可以结合到移动技术中。

总之，如果移动终端没有处于任何移交情况之中，那么来自非法接入点(假冒合法的接入点，但是位于其它地方)的信号将以不同的强度和/或到达方向到达移动终端。

在图1中说明了中间人攻击的例子。在图中，设想听众中许多参加者正在通过合法的WiFi连接使用其膝上型电脑或者PDA的会议室。合法的接入点1的位置紧挨着发言者。坐在屋子后面的中间人攻击者可以建立到该合法的接入点1的连接2，然后开始强制指定用户(受害者)通过先前使用的链路3脱离合法的接入点1，并且经由链路4关联到该攻击者的伪造接入点。然后，攻击者可以将该受害者的无线业务中继到该接入点，并且成功地变为中间人。这种情形将直接被实施本发明的解决方案检测到。事实上，由于移动终端静止不动，接入点信号的方向将突然之间改变几乎180度，并且经由链路4的接入点信号的强度很有可能也会改变。受害者的移动终端可以容易地使用GPS(5)或者GSM三角测量(6)确定其当前静止不动。这将报告给该移动终端的用户。

另一个典型的情况(未示出)可以是家庭无线网络，正好停在道路的另一侧的攻击者(或者好奇的邻居)悄悄地偷听所有的家庭无线业务。

本发明能通过使移动终端本身关于接入点联结和分离的任何可用信息发生关联来增强，以便改善检测精度。

本发明的功能可以用于提高移动终端(用户)对于其当前联结的合法接入点的信任度。本发明需要的不同的信息段是现今广泛可用的，某些甚至不需要任何的无线协议或者基础结构改进。

这种解决方案可以无缝地与任何其他的安全机制结合起来，以验证接入点或者保护无线业务的私密性。这将产生更安全的无线应用。

以上描述的用于确定移动终端是否移动的一些方法可以不直接提供特定无线情况需要的精确度。在所有这样的情况下，可以放心使用用户对于该终端正在移动与否的事实的直接反馈。在一个可选方案中，能修改已经可用的技术(例如，e911)，以更好地支持移动终端确定其是否静止不动。

本发明将提高移动通信的安全性。这将有助于提高对于无线技术的信任程度，并且因此促进其被更多的用户采用。此外，无线网络运营商可以直接从如前面描述的能够报告任何检测的伪造接入点的移动终端获益。

在不久的将来，政府和其他的有关的安全实体可以在无线通信设备和特定的无线基础结构方面需要特定等级的安全特性；本发明可以通过提供偷听检测对此有所帮助。

虽然已经描述和举例说明了本发明的特定实施例，对于本领域技术人员来说，在不脱离其基本概念的情况下能够采用许多变化是显而易见的。但是，应该明白，这样的变化将属于由所附的权利要求限定的本发明的整个范围之内。

Claims (21)

1.一种在无线设备和接入点之间检测无线通信中异常情况的方法，该方法包括如下步骤：

a)检测来自所述接入点的信号的明显变化；

b)确定所述无线设备是否从早于所述检测的时间起就保持静止；以及

c)响应于肯定的判定，产生异常情况告警信号。

2.根据权利要求1的方法，其中确定所述无线设备是否保持静止的步骤通过使用所述无线设备中的GPS来确定。

3.根据权利要求1的方法，其中确定所述无线设备是否保持静止的步骤由所述无线设备使用三角测量来确定。

4.根据权利要求3的方法，其中对于GSM，使用增强的观察时间差来实施所述三角测量。

5.根据权利要求3的方法，其中对于CDMA，使用高级前向链路三边测量来实施所述三角测量。

6.根据权利要求1的方法，其中确定所述无线设备是否保持静止的步骤是使用信任的基站的信号的强度和方向来确定的。

7.根据权利要求1的方法，其中确定所述无线设备是否保持静止的步骤是通过询问所述无线设备的用户来确定的。

8.根据权利要求1的方法，其中来自所述接入点的所述信号中的明显变化是信号强度的变化。

9.根据权利要求1的方法，其中来自所述接入点的所述信号中的明显变化是信号方向的变化。

10.根据权利要求1的方法，其中来自所述接入点的所述信号中的明显变化是信号强度和信号方向的变化。

11.根据权利要求1的方法，其中所述异常情况告警信号是通过给所述无线设备用户的消息产生的。

12.根据权利要求1的方法，其中所述异常情况告警信号是通过给所述无线设备上的安全应用程序的通知产生的。

13.根据权利要求1的方法，其中所述异常情况告警信号是通过给接入点运营商的消息产生的。

14.一种用于在无线设备和接入点之间检测无线通信中的异常情况的***，该***包括：

用于检测在所述接入点的位置的明显变化的装置；

用于确定所述无线设备是否从早于检测的时间起就保持静止的装置；以及

响应于肯定的判定，用于产生异常情况告警信号的装置。

15.根据权利要求14的***，其中来自所述接入点的信号中的变化是由信号强度监控器检测的信号强度的变化。

16.根据权利要求14的***，其中来自所述接入点的信号中的变化是由到达方向技术检测的信号方向的变化。

17.根据权利要求16的***，其中所述到达方向技术包括所述无线设备中的GPS。

18.根据权利要求16的***，其中所述到达方向技术包括通过所述无线设备的三角测量。

19.根据权利要求14的***，其中所述告警信号是给所述无线设备用户的消息。

20.根据权利要求14的***，其中所述告警信号是给所述无线设备上安全应用程序的通知。

21.根据权利要求14的***，其中所述告警信号是给接入点运营商的消息。

Images