CN1783810A - 协作定位无线网络中断开的客户机和欺诈性接入点 - Google Patents

Abstract

描述了用于使用邻近无线设备的协作来获得断开的无线设备和欺诈性无线接入点的位置的方法。中央服务器计算邻近客户机的位置，并使用这些位置来估计断开的客户机的位置。这些技术可以利用IEEE 802.11的发送信标和探测机制来保证，连接的客户机不会为检测断开的客户机而花费不必要的额外开销。还描述了用于通过从邻近设备协作地收集信息并将该信息与一数据库进行比较来检测和定位欺诈性设备的方法。

Description

协作定位无线网络中断开的客户机和欺诈性接入点

相关申请的交叉引用

本申请要求于2004年9月24日提交的，Adya等人所著的名为“SYSTEM ANDMETHOD FOR DIAGNOSING FAULTS IN WIRELESS NETWORKS(在无线网络中诊断故障的系统和方法)”的美国临时专利申请第60/613,055号的优先权，该申请通过整体引用包含在此。本申请相关于2005年1月31日共同提交的，代理参考号为231441和231443的，名为“USING A CONNECTED WIRELESS COMPUTERAS A CONDUIT FOR A DISCONNECTED WIRELESS COMPUTER(使用连接的无线计算机作为断开的无线计算机的导管)”和“DETECTING AND DIAGNOSINGPERFORMANCE PROBLEMS IN A WIRELESS NETWORK THROUGHNEIGHBOR COLLABORATION(通过邻近协作在无线网络中检测和诊断性能问题)”的待决申请，这两个申请皆通过整体引用包含在此。

技术领域

本发明一般涉及网络操作，尤其涉及在无线网络中定位断开的或未授权的设备。

背景技术

无线网络的便利已经引起对无线网络(例如，IEEE802.11网络)的大规模采用。公司、大学、家庭和公共场所以显著的速率部署这些网络。然而，对终端用户和网络管理员，仍旧存在显著数量的“痛处”。用户经历诸多问题，诸如，断断续续的连通性、较差性能、缺乏覆盖范围和认证失败。这些问题的发生是由于各种原因，诸如较差的接入点布局、设备的误配置、硬件和软件错误、无线介质的特性(例如，干扰、传播)和通信量拥塞。用户经常抱怨连通性和性能问题，而期待网络管理员能够在管理公司安全和覆盖范围的同时来诊断这些问题。由于无线介质不可靠的特性和缺乏用于确定这些问题的原因的智能诊断工具，他们的任务尤其困难。

对大规模布置IEEE 802.11网络的公司，存在遍布在众多建筑物上的几千个接入点(AP)。这些网络的问题导致终端用户受挫且该公司的生产力的损失。而且，对每一终端用户抱怨的解决造成对公司IT部门的额外的辅助人员开销；这个开销可能是几十美元且这不包括由于终端用户生产力损失而引起的成本。

相对于无线网络中的其它更明确立场的研究领域，IEEE 802.11基础结构网络中的故障诊断还没有引起研究团体的注意。若干公司尝试提供诊断工具，但是这些产品缺乏诸多所需的特征。例如，它们没有全面地收集和分析数据来确定一个问题的可能原因。而且，大多数的产品一般仅收集来自AP的数据，而忽视了网络的客户机端观点。从客户机观点监视网络的某些产品需要硬件传感器，而部署和维护硬件传感器可能是昂贵的。而且，现有的解决方法一般不提供对断开的客户机的任何支持，即使它们是最需要帮助的。

发明内容

上述问题可以至少部分地由此处所述的用于检测和诊断无线网络中的故障的系统和方法所解决。

下文提出了对本发明的简化的概述，以向读者提供一个基本的理解。该概述不是本发明的详尽或限制性综述。该概述并非被提供来标识本发明的关键的或决定性的元素、描绘本发明的范围、或以任何方式限制本发明的范围。它唯一的目的是以简化的形式提供某些所揭示的概念，作为对下文提出的更详细的描述的引言。

在一个实施例中，此处描述的监视体系结构用于定位变得从无线网络断开的客户机机器。在另一实施例中，该体系结构用于检测企业无线网络中欺诈性或未授权的接入点。

在一实施例中，提供了一种包括计算机可执行指令的计算机可读介质，用于确定断开的无线计算设备的位置，该无线计算设备从基础结构网络中断开，该计算机可执行指令在该断开设备附近的一个或多个连接的无线计算设备上执行，且执行以下步骤：从该断开的设备接收一个或多个信标信号，根据该信标信号记录关于该断开设备的信号强度信息，通知一诊断服务器该断开的设备没有连接至基础结构网络，以及向该诊断服务器发送该信号强度信息用于估计该断开设备的位置，其中，信标信号是由该断开的设备响应于对于该设备没有连接至基础结构网络的判定而发送的。

在另一实施例中，提供了一种包括计算机可执行指令的计算机可读介质，用于确定断开的无线计算设备的位置，该无线计算设备从基础结构网络中断开，且在一个或多个连接至该基础结构网络的无线设备的附近，该计算机可执行指令在一服务器上执行，且执行以下步骤：从一个或多个连接的设备接收关于该断开设备的信号强度信息，计算对一个或多个连接设备的位置的估计，以及使用所计算的估计和接收的信号强度信息来近似该断开设备的位置。

在又一实施例中，提供了一种方法，用于标识基础结构网络中的欺诈性无线接入点，该方法包括以下步骤：接收关于可疑接入点的信息，该信息由一个或多个附近的无线计算设备或接入点收集；将该信息与一接入点数据库进行比较；以及如果该信息与接入点数据库不一致，则将该可疑接入点标识为欺诈性的。

附图说明

尽管所附权利要求以特性描述了本发明的特征，然而结合附图阅读以下详细描述，能够最好地理解本发明及其优点，附图中：

图1是示出按照本发明的一实施例使用的一计算系统的示例性体系结构的简化示意图。

图2是示出按照本发明的一实施例用于定位断开的客户机和欺诈性接入点的示例性无线网络的图示。

图3是示出按照本发明的一实施例用于定位断开的客户机的方法的流程图。

图4是示出按照本发明的一实施例用于协作地获取关于无线网络中的接入点的信息的方法的流程图。

图5是示出按照本发明的一实施例用于确定接入点是否是欺诈性的方法的流程图。

图6是按照本发明的一实施例用于定位断开的客户机和欺诈性接入点的软件组件的示意图。

具体实施方式

现在将参考较佳实施例描述用于定位断开的客户机和检测欺诈性接入点的方法和系统；然而，本发明的方法和系统不如此限制。而且，本领域的技术人员可以容易地理解，此处所述的方法和系统仅是示例性的，且可以进行变化而不背离本发明的精神和范围。在阅读本说明书后，本领域的技术人员可以清楚，前述仅是说明性的而不是限制性的，仅作为示例提出。众多修改和其它说明性实施例都是在本领域的普通技术人员的理解范围之内的，且被预期为落入本发明的范围之内。特别地，尽管此处所提出的众多示例涉及方法操作和系统元件的特定组合，但是应该理解，这些操作和元件可以用其它方式组合来达到相同的目的。仅相对于一实施例讨论的操作、元素和特征不旨在被排斥在其它实施例中的类似角色之外。此外，在权利要求中使用诸如“第一”和“第二”等的序数术语来修改权利要求元素，其自身并不意味着任何优先级、先后次序或一权利要求元素优于另一个的顺序，或执行方法操作的时间顺序，而是仅仅用作将拥有某一名称的一个权利要求元素与拥有同一名称(但没有使用序数术语)的另一元素区分开来以区分权利要求元素的标签。

下面列出当使用和维护公司的无线网络时，用户和网络管理员面对的众多问题。

连通性问题：终端用户抱怨在建筑物的某些区域中不一致的连通性或缺乏连通性。这样的“死角”或“RF漏洞”可以由于弱RF信号、信号的缺乏、环境条件的改变或障碍物而出现。自动定位RF漏洞对无线管理员是关键的；然后他们能够通过重定位AP或增加问题区域中AP的密度，或通过为更好的覆盖范围而调整附近的AP的功率设置来解决该问题。

性能问题：这个类别包括客户机观察到例如低吞吐量或高等待时间的退化的性能的所有情况。可能有存在性能问题的诸多原因，例如由于拥塞造成的通信量速度减慢、由于微波炉或无绳电话造成的RF干扰、多径干扰、由于较差的网络规划或由于配置差的客户机/AP而引起的大的同信道干扰。性能问题也可能作为网络中非无线部分的问题的结果而发生，例如，由于慢速的服务器或代理。从而，对诊断工具而言，能够确定该问题是在无线网络中还是其它地方是有用的。而且，识别无线部分中的原因对允许网络管理员能够更好地供应系统和为终端用户改进体验是重要的。

网络安全：大企业经常使用诸如IEEE 802.1x的解决方案来保护其网络。然而，当员工通过将未授权的AP连接至公司网络的以太网接头而无意识地危及了该网络的安全时，发生IT经理的恶梦场景。该问题通常被称为“欺诈性AP问题”。这些欺诈性AP是无线网络安全最常见且最严重的突破口之一。由于这样的AP的存在，允许外部用户访问公司网络上的资源；这些用户能够泄漏信息或造成其它破坏。而且，欺诈性AP能够造成对附近其它接入点的干扰。通过手动操作检测大型网络中的欺诈性AP是昂贵的且耗时的；因此，抢先检测这样的AP是重要的。

认证问题：根据IT支持组日志，诸多抱怨是关于用户不能够向网络认证他们自己。在由诸如IEEE 802.1x的技术保护的无线网络中，认证失败一般是由于缺少证书或证书过期。由此，检测这样的认证问题和帮助客户机使用有效的证书来进行程序引导是重要的。通过下列详细描述，能够更完整地理解本发明，该详细描述应结合附图来阅读。在本说明书中，同样的标号指本发明的各实施例中类似的元素。尽管不是必需的，但本发明会在诸如由个人计算机执行的过程等计算机可执行指令的通用语境中描述。一般而言，过程包括程序模块、例程、函数、程序、对象、组件、数据结构等，它们执行特定任务或实现特定抽象数据类型。而且，本领域的技术人员可以理解，本发明可以在其它计算机系统配置中实现，包括手持式设备、多处理器系统、基于微处理器或可编程消费者电子产品、网络PC、小型机、大型机等。本发明也可以在分布式计算环境中实现，其中任务由通过通信网络连接的远程处理设备执行。在分布式计算环境中，程序模块可以位于包括存储器存储设备在内的本地和远程计算机存储介质中。术语计算机系统可以用来指诸如可以在分布式计算环境中找到的计算机的系统。

图1示出了可在其上实现本发明的各部分的合适的计算系统环境100的示例。计算系统环境100只是合适的计算环境的一个示例，且不旨在对本发明的使用范围和功能提出任何限制。也不应该把计算环境100解释为对在示例性操作环境100中示出的任一组件或其组合有任何依赖或要求。尽管本发明的一实施例的确包括在示例性操作环境100中示出的每一组件，但是本发明的另一更典型的实施例把非必需组件排除在外，例如，除了网络通信所需的以外的输入/输出设备。

参考图1，用于实现本发明的一个示例性系统包括计算机110形式的通用计算设备。计算机110的组件可以包括，但不限于，处理单元120、系统存储器130和将包括系统存储器在内的各种系统组件耦合至处理单元120的系统总线121。系统总线121可以是若干类型的总线结构中的任一种，包括存储器总线或存储器控制器、外围总线和使用各种总线体系结构中的任一种的局部总线。作为示例，而非限制，这样的体系结构包括工业标准体系结构(ISA)总线、微通道体系结构(MCA)总线、扩展的ISA(EISA)总线、视频电子技术标准协会(VESA)局部总线和外围部件互连(PCI)总线(也被称为Mezzanine总线)。

计算机110通常包括各种计算机可读介质。计算机可读介质可以是能够被计算机110访问到的任何介质，且包括易失性和非易失性介质、可移动和不可移动介质。作为示例，而非限制，计算机可读介质可以包括计算机存储介质和通信介质。计算机存储介质包括以任何方法或技术实现的用于存储诸如计算机可读指令、数据结构、程序模块或其它数据等信息的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括，但不限于，RAM、ROM、EEPROM、闪存或其它存储器技术、CD-ROM、数字多功能盘(DVD)或其它光学存储、磁带盒、磁带、磁盘存储或其它磁性存储设备、或能用于存储所需信息且可以由计算机110访问的任何其它介质。通信介质通常具体化为诸如载波或其它传输机制等已调制数据信号中的计算机可读指令、数据结构、程序模块或其它数据，且包含任何信息传递介质。术语“已调制数据信号”指的是这样一种信号，其一个或多个特征以在信号中编码信息的方式被设定或更改。作为示例，而非限制，通信介质包括有线介质，诸如有线网络或直接线连接，和无线介质，诸如声学、RF、红外线和其它无线介质。上述中任一个的组合也应包括在计算机可读介质的范围之内。

系统存储器130包括易失性或非易失性存储器形式的计算机存储介质，诸如只读存储器(ROM)131和随机存取存储器(RAM)132。基本输入/输出系统133(BIOS)包含有助于诸如启动时在计算机110中元件之间传递信息的基本例程，它通常存储在ROM 131中。RAM 132通常包含处理单元120可以立即访问和/或目前正在操作的数据和/或程序模块。作为示例，而非限制，图1示出了操作系统134、应用程序135、其它程序模块136和程序数据137。

计算机110也可以包括其它可移动/不可移动、易失性/非易失性计算机存储介质。仅作为示例，图1示出了从不可移动、非易失性磁介质中读取或向其写入的硬盘驱动器141，从可移动、非易失性磁盘152中读取或向其写入的磁盘驱动器151，以及从诸如CD ROM或其它光学介质等可移动、非易失性光盘156中读取或向其写入的光盘驱动器155。可以在示例性操作环境中使用的其它可移动/不可移动、易失性/非易失性计算机存储介质包括，但不限于，盒式磁带、闪存卡、数字多功能盘、数字录像带、固态RAM、固态ROM等。硬盘驱动器141通常由不可移动存储器接口，诸如接口140连接至系统总线121，磁盘驱动器151和光盘驱动器155通常由可移动存储器接口，诸如接口150连接至系统总线121。

以上描述和在图1中示出的驱动器及其相关联的计算机存储介质为计算机110提供了对计算机可读指令、数据结构、程序模块和其它数据的存储。例如，在图1中，硬盘驱动器141被示为存储操作系统144、应用程序145、其它程序模块146和程序数据147。注意到这些组件可以与操作系统134、应用程序135、其它程序模块136和程序数据137相同或不同。操作系统144、应用程序145、其它程序模块146和程序数据147在这里被标注了不同的标号是为了说明至少它们是不同的副本。用户可以通过输入设备，诸如图形输入板或电子数字化仪164、麦克风163、键盘162和定点设备161(通常指鼠标、跟踪球或触摸垫)向计算机110输入命令和信息。其它输入设备(未示出)可以包括操纵杆、游戏垫、圆盘式卫星天线、扫描仪等。这些和其它输入设备通常由耦合至系统总线的用户输入接口160连接至处理单元120，但也可以由其它接口或总线结构，诸如并行端口、游戏端口或通用串行总线(USB)连接。监视器191或其它类型的显示设备也经由接口，诸如视频接口190连接至系统总线121。监视器191也可以与触摸屏面板或其类似物等集成。注意，监视器和/或触摸屏面板能够被物理地耦合至其中包括计算设备110的外壳中，诸如在图形输入板类型个人计算机中。另外，诸如计算设备110的计算机也可以包括其它外围输出设备，诸如扬声器197和打印机196，它们可以通过输出外围接口195或其类似物连接。

计算机110可使用至一个或多个远程计算机，诸如远程计算机180的逻辑连接在网络化环境下操作。远程计算机180可以是个人计算机、服务器、路由器、网络PC、对等设备或其它常见网络节点，且通常包括上文相对于计算机110描述的许多或所有元件，尽管在图1中只示出存储器存储设备181。图1中所示逻辑连接包括局域网(LAN)171和广域网(WAN)173，但也可以包括其它网络。这样的网络环境在办公室、企业范围计算机网络、内联网和因特网中是常见的。

当在LAN网络环境中使用时，计算机110通过网络接口或适配器170连接至局域网171。当在WAN网络环境中使用时，计算机110通常包括调制解调器172或用于通过诸如因特网等WAN 173建立通信的其它装置。调制解调器172可以是内部或外部的，它可以通过用户输入接口160或其它合适的机制连接至系统总线121。在网络化环境中，相对于计算机110所描述的程序模块或其部分可以存储在远程存储器存储设备中。作为示例，而非限制，图1示出了远程应用程序185驻留在存储器设备181上。可以理解，所示的网络连接是示例性的，且可以使用在计算机之间建立通信链路的其它手段。具体地，计算机110较佳地包括无线网络接口或无线卡，它们根据IEEE 802.11协议来操作。

在本发明的一实施例中，如图2所示，一种系统包括若干组件。诊断客户机(DC)202是运行在无线客户机器204上的软件。诊断AP(DAP)206运行在接入点208上。诊断服务器(DS)210运行在组织的后端服务器212上。

在本发明的某些实施例中，诊断客户机模块202监视邻近客户机214和AP216的RF环境和话务流。在正常活动中，客户机的无线卡不被置于混杂模式中。DC202使用收集的数据来执行本地故障诊断。取决于各个故障检测机制，该数据的概述较佳地定期被发送给DAP206或DS210。另外，DC202被编程为接受从DAP206或DS210的命令来执行按需数据收集，例如，转换至混杂模式且分析一邻近客户机的性能问题。万一无线客户机204断开了，DC202将数据记录至一本地数据库/文件。该数据可以由DAP206或DS210在将来网络连通性恢复的某一时间分析。

诊断AP206接受来自DC202的诊断消息，将它们与其自己的测量值合并，并向DS210发送概述报告。本发明的某些实施例没有包括诊断AP206。DAP206从DS210中卸载工作。本发明的某些实施例包括传统AP220和DAP206的混合：如果AP是传统AP220，那么其监视功能是由DC202执行的，且其概述功能和检查是在DS210处执行的。

诊断服务器210接受来自DC202和DAP206的数据，且执行适当的分析来检测和诊断不同的故障。DS210也能够访问存储每一AP208的位置的数据库221。网络管理员能够在系统中部署多台DS210来平衡负载，例如，通过将每一AP的MAC地址散列至一特定的DS210。在某些实施例中，诊断服务器210与诸如RADIUS230和Kerberos232服务器等的其它网络服务器交互，来取得客户机授权和用户信息。

参考图2描述的示例性系统支持反应(reactive)和抢先(proactive)监视。在抢先监视中，DC和DAP连续地监视系统：如果DS、DAP或DS检测到一异常，则向网络管理员发出警报来调查。反应监视模式是当辅助人员想要诊断用户抱怨时使用的。该人员能够从DS之一向一特定DC发出指示，来收集和分析用于诊断该问题的数据。

该示例性系统对于电源管理施加了可忽略的额外开销。在下文描述的抢先和反应技术都消耗很少的带宽、CPU或磁盘资源；作为结果，它们对电池消耗的影响可忽略。如图2所示的示例性系统体系结构通过使用DC、DAP和DS支持本发明的各实施例中的若干功能。支持的功能中的某一些包括：定位断开的客户机；帮助断开的客户机；隔离性能问题；以及检测欺诈性接入点。

在本发明的某些实施例中，DAP206是在AP208上的软件修改，从而允许更好的可伸缩性并允许分析AP的性能。优于不需要硬件修改，因此部署该实施例的费用更低了。

客户机器204和接入点208较佳地拥有控制信标和探测的能力。另外，客户机器204较佳地拥有独立地启动基础结构网络(即，成为AP)或特别网络(即，计算机到计算机)的能力；目前市场上可得到的众多无线卡支持这种能力。本发明的某些实施例利用邻近客户机或接入点的存在。通过利用装备了软件“传感器”仪器的邻近客户机和接入点，部署开销可能更低。

后端服务器212较佳地使用一数据库来维护网络中所有接入点的位置。这样的位置数据库较佳地由网络管理员维护。

图2中所示的示例性系统可以根据系统中的客户机和AP的数量来缩放。该系统包括两个共享的资源：DS和DAP。为了防止单个诊断服务器成为潜在的瓶颈，当系统负载增加时较佳地添加额外的DS。而且，某些实施例允许每一个别的DS通过与DC和DAP共享诊断负担来卸载工作；只有在DC和DAP不能诊断问题且分析需要全局观点和附加数据(例如，可能需要从多个DAP获得的信号强度信息来定位断开的客户机)时才使用DS。

类似地，因为DAP是一共享的资源，使它完成额外的工作可能潜在地伤害了所有其相关联的客户机的性能。为了减少DAP上的负载，本发明的某些实施例使用优化技术，由此，如果有任何客户机与其相关联，那么AP不执行主动扫描；相关联的客户机在需要时执行这些操作。AP继续执行对其性能影响可忽略的被动监视活动。如果不存在相关联的客户机，那么AP是空闲的，且它可以执行这些监视操作。该方法保证AP周围的大多数物理区域被监视，而不会伤害AP的性能。

在一实施例中，DC、DAP和DS之间的交互是使用IEEE 802.1x上签署的EAP-TLES证书来保护的。一授权的认证机构(CA)向DC、DAP和DS签发证书；这些证书用来保证这些实体之间的所有通信是相互认证的。一实施例包括用于检测合法用户的恶意行为的已知技术。

在故障诊断系统中自动定位断开的无线客户机的能力，对抢先确定在一部署中的问题区域，例如差覆盖范围或高干扰(定位RF漏洞)，或对于定位可能的故障AP，可能是有用的。在本发明的各实施例中，如果一断开的客户机没有从任何AP听到信标，那么它确定它是在RF漏洞中(而不是由于诸如认证失败等某些其它原因而断开)。为近似地定位断开的客户机(以及因此帮助定位RF漏洞)，各实施例使用称作用于近似位置的双间接(Double Indirection For ApproximatingLocation)，即DIAL技术，这参考图3来描述。

当客户机302在步骤304处发现它被断开，则在步骤306处，它成为AP或启动特别网络并开始发送信标。为了确定该客户机的大致位置，邻近连接的客户机308在步骤310处听取客户机302的信标，且在步骤312处记录这些分组的信号强度(RSSI)。在步骤314处，它们通知DS316，客户机302被断开，并发送所收集的RSSI数据。然后，DS316在步骤318处执行DIAL的第一步来确定连接的客户机的位置：这可以使用文献中任何已知的位置确定技术来完成，诸如P.Bahl和V.N.Padmanabhan在2000年3月，特拉维夫，以色列，IEEE INFOCOM会报中的“RADAR：An Inbuilding RF-based User Location and Tracking System(RADAR：种建筑物内基于RF的用户位置和跟踪系统)”，和由A.Ladd等人在2002年9月，亚特兰大，加蓬，ACMMobiCom会报中的“Robotics-Based Location Sensing usingWireless Ethernet(使用无线以太网的基于机器人学的位置传感)”中所描述的那些技术，这些文献通过整体引用包含在此，此处引用了其讲授的所有内容没有排除其中的任何部分。在步骤320处，DS316使用连接的客户机的位置作为“锚点”，并使用断开的客户机的RSSI数据来估计其大致位置。这一步骤较佳地是使用利用来自多个客户机的RSSI值来确定机器位置的任何方案来执行的，诸如以上的参考文献中所描述的那些技术或任何其它已知方法。因为定位连接的客户机会引起某些错误，因此使用这些锚点来定位断开的客户机可能会进一步增加错误。然而，经验已经显示，这些错误大致在10到12米，这对于估计断开的客户机的位置是可接受的。

转到图4，依照本发明的一实施例，讨论了一种检测欺诈性AP的方法。欺诈性AP是连接至企业或大学网络中的以太网接头处的未授权AP；这样的AP能够导致安全漏洞和不受欢迎的RF和网络负载。欺诈性AP被认为是企业无线LAN的最主要的安全问题。通过使用客户机和(如果可能)AP来监视其周围的环境，本发明的实施例检测欺诈性AP。该方法是让客户机和DAP收集关于邻近接入点的信息，并将该信息发送给DS。当DS接收到关于APX的信息，它检查一AP位置数据库，并确保X是在期望位置和信道中的已注册AP。该方法使用现有的符合IEEE802.11的硬件来检测欺诈性AP。这样足以用作解决目前部署中面对的共同欺诈性AP问题的低成本机制：对众多网络管理员，主要目标是检测员工为实验或便利而无意识地安装的AP。其它实施例可以实现对不符合的欺诈性接入点以及客户机的检测。如果两家公司拥有邻近的无线网络，那么其中另一家公司的接入点较佳地被检测为欺诈性AP。如果该分类是不可接受的，那么两家公司的网络管理员能够共享其AP地址数据库。

每一DC402监视在其附近的分组(在非混杂模式中)，且对它检测到的每一AP404，它向DS406发送一4元组<MAC地址，SSID，信道，RSSI>。本质上，该4元组唯一地标识一特定位置和信道中的AP。为了获得该信息，DC402确定其周围的所有AP404的MAC地址。

DC402能够通过转换成混杂模式并观察数据分组来获取AP404的MAC地址(它能够使用分组中的FromDS和ToDS位来确定哪一个地址属于该AP)。然而，较佳地使用下列方法来达到同样的效果：因为IEEE802.11要求所有的AP在步骤408处定期广播信标，因此DC402在步骤410注意收听信标，且在步骤412处从它能够听到的所有AP中的AP404的信标中获取该MAC地址。已经示出DC402不仅在其信道上听取信标，而且它也可以从重叠信道处听取信标；该性质提高了检测到欺诈性AP的可能性。

为了保证欺诈性AP不会没有被检测出，即使与该AP重叠的任何信道上没有客户机存在，各实施例也使用IEEE802.11协议的主动扫描(Active Scanning)机制：当客户机402(例如，运行在无线计算机或接入点上的诊断客户机)想要找出什么AP404在附近，则客户机402转到11条信道(在802.11b中)中的每一条，且在步骤414处发送探测请求。客户机402等待在步骤416处从听到这些探测请求的所有AP发送的探测响应；从这些响应中，DC在步骤418处获取AP404的MAC地址。每个符合IEEE802.11的AP必须响应这样的请求；在某些芯片组中，没有提供对禁用该功能的控制。较佳地使用一忙碌AP优化，这样仅在没有客户机与之相关联时，由AP执行对该AP附近的主动扫描。在本发明的一实施例中，主动扫描较佳地是按需执行的，例如，在网络管理员通过诊断客户机和诊断接入点传递的请求时。或者，主动扫描是在周期性基础上或根据由网络管理员设置的策略定期执行的。

一旦客户机402收集了AP信息，它在步骤420处向DS406发送4元组。然后，DS406在步骤422处确定该AP是否为欺诈性AP，这在下文更详细描述。

转到图5，当DS在步骤502处从各客户机接收到AP的信息时，它在步骤504处使用诸如上文参考图3所描述的那些方法，使用DIAL，基于这些客户机的位置和来自它们的AP的RSSI值来估计该AP的大致位置。如果在步骤506处，4元组不对应于DS的AP位置数据库中的已知的合法AP，即如果MAC地址在数据库中不存在，或者如果在步骤508处该AP不在预期的位置中，或在步骤510处该SSID不对应于组织中的预期的SSID，那么DS将AP归为欺诈性的。在某些实施例中，如果AP的SSID对应于SOS SSID，那么DS跳过进一步的分析，因为这个AP实际上可以对应于正在执行客户机导管(Client Conduit)协议的连接设置阶段的断开的客户机，该协议如在2005年1月31日共同提交的，代理案卷号231441，Adya等人所著的发明名称为“USING A CONNECTED WIRELESS COMPUTER AS ACONDUIT FOR A DISCONNECTED WIRELESS COMPUTER(使用连接的无线计算机作为断开的无线计算机的导管)”的待决申请中所描述的。信道信息以稍许不同的方式使用。如上所述，如果AP是在一确定的信道上，则可能在重叠信道上听到它。这样，在步骤512处，仅当AP被报告为在不与预期的信道重叠的信道上，它才被归为欺诈性的。如果AP上的信道改变了，DAP较佳地要求DS更新其AP位置数据库(可以回想，DAP和DS之间的通信是被认证的；如果该AP是传统AP，那么管理员能够在AP信道改变时更新该AP位置数据库)。

一欺诈性APR可能试图使用MAC地址电子欺骗来避免被检测出，即，使用对应于一真实APG的MAC地址来发送分组。然而，在本发明的实施例中的DS仍能检测出R，因为R会驻留在与G不同的位置或信道上(如果它是在相同的信道和位置上，则G立即检测出它)。注意到，欺诈性AP即使没有在其信标中广播SSID也能被检测出，因为DC仍能够从信标中获取该AP的MAC地址。这一未授权的AP或者可通过禁止在企业LAN中不广播SSID的AP来检测。

在本发明的实施例中，未授权的AP可以通过在一存在的APX的位置附近对X进行电子欺骗，在组织中发送有效的SSID信标，以及停留在其上没有DC和AP能够偷听到其信标的信道上，来保持短时间内没有被检测出。然而，当一附近的客户机执行主动扫描时，该欺诈性AP可以被检测出。为了检测这一欺诈性AP，DC较佳地每5分钟执行一次这样的扫描。

将注意力转向图6，示出了一种实现的一个实施例的细节。该基本体系结构包括分别运行在客户机、接入点和服务器上的DC、DAP和DS的端口监控程序(daemon)。例如，该系统可以在使用标准商用802.11b卡的MICROSOFTWINDOWS操作系统上实现。在DS上，端口监控程序进程从DAP接受信息。DS从一文件或数据库中读取合法AP的列表。DC或DAP上代码的结构较佳地包括用户级端口监控程序602和内核级驱动程序604和606。这些部分如此构造，使得仅当不能在用户级端口监控程序602中实现该功能或当性能恶化太高时，才将代码添加至内核驱动程序604和606。

在该示例性系统中存在两个内核驱动程序——小型端口(miniport)驱动程序604和中间驱动程序(IM驱动程序)606，诸如MICROSOFT WINDOWS操作系统中的本机WiFi驱动程序。小型端口驱动程序604直接与硬件通信，且提供诸如发送/接收分组、设置信道等的基本功能。它展示了足够的接口，使得如关联、认证等的功能能够在IM驱动程序606中处理。IM驱动程序606支持用于查询诸如当前信道、传输电平、电源管理模式、SSID等的各种参数的多个接口(通过ioctl来展示)。除了允许设置这些参数之外，它允许用户级代码请求主动扫描、与一特定SSID相关联、捕捉分组等。一般而言，它提供对用户级代码的大量的灵活性和控制。

即使在IM驱动程序606中已经存在众多操作，但是本发明的实施例使用修改来展示某些功能并改进特定协议的性能。小型端口驱动器604较佳地被最低程度地修改来向IM驱动程序606展示某些类型的分组。在IM驱动程序606中，较佳地添加以下支持：捕捉分组头部和分组；存储来自所接收的分组的RSSI值；跟踪AP信息；以及对协议效率的内核事件支持。这些修改现在会进一步详细讨论。

捕捉分组头部和分组：本发明的实施例允许设置过滤器，使得仅有某些分组或分组头部被捕捉，例如基于特定MAC地址、分组类型、分组子类型(诸如管理和信标分组)等的过滤器。

存储来自所接收的分组的RSSI值：本发明的实施例获取每个所接收的分组的RSSI值，并维护一称为邻近信息表(NeighborInfo table)的表，它跟踪来自每一邻居(以MAC地址为索引)的RSSI值。给定例如0.25等某一加权因子，使用新值来维护指数的加权平均值。RSSI信息较佳地用于使用DIAL来估计断开的客户机和AP的位置。

跟踪AP信息：在邻近信息表中，各实施例跟踪在其上从一特定MAC地址听到分组的信道、SSID信息(从信标中获得)以及该设备是AP还是站。该信息较佳地被发送到DAP/DS，用于欺诈性AP检测。

对协议效率的内核事件支持：较佳地添加在内核级和用户级代码之间共享的事件。当一“引起注意的”事件发生时，内核触发该事件；这允许某些协议是中断驱动的而不是基于轮询的。

另外，较佳地添加诸多ioctl，以获得或清除上述信息。

在本发明的实施例中，诊断端口监控程序602运行在一设备上，收集信息并实现上述讨论的各种机制，例如，收集AP的MAC地址用于欺诈性AP检测等。如果该设备是AP，那么它与DS和DC传递诊断信息；如果该设备仅是DC，那么它与其相关联的AP通信来传达该诊断信息。在DC上运行的诊断端口监控程序以周期性的间隔，例如每30秒钟，从内核608获取当前的邻近信息表。如果发现了任何新的节点，或如果现有数据显著地改变(例如，客户机的RSSI值被改变了超过2的因子)，则将其发送到DAP。DAP较佳地也维护在MAC地址上索引的类似的表。然而，它仅向DS发送关于断开的客户机和AP的信息；否则，DS会终止对系统中的每个客户机获取更新，使得可伸缩性较差。DAP周期性地(例如，30秒钟)向DS发送关于AP的新的或已改变的信息。而且，如果DAP拥有关于断开的客户机D的任何未决的信息，它立即通知DS，这样该断开的客户机能够及时地被服务。从DC传到DAP和从DAP传到DS的所有消息较佳地作为XML消息发送。从DC传输的样本消息格式如下所示(时间标记被移除)：<DiagPacket Type＝″RSSIInfo″TStamp＝″…″>

<Clients TStamp＝″…″>

    <MacInfo MAC＝″00:40:96:27:dd:cc″RSSI＝″23″

        Channels＝″19″SSID＝″″TStamp＝″…″/>

</Clients>

<Real-APs TStamp＝″…″>

    <MacInfo MAC＝″00:20:a6:4c:c7:85″RSSI＝″89″

        Channels＝″12″SSID＝″UNIV_LAN″TStamp＝″…″/>

    <MacInfo MAC＝″00:20:a6:4c:bb:ad″RSSI＝″7″

        Channels＝″10″SSID＝″EXPER″TStamp＝″…″/>

</Real-APs>

<Disconnected-Clients TStamp＝″…″>

    <MacInfo MAC＝″00:40:96:33:34:3e″RSSI＝″57″

        Channels＝″2048″SSID＝″SOS_764″TStamp＝″…″/>

</Disconnected-Clients></DiagPacket>

如样本消息所示，DC发送关于其它连接的客户机、AP和断开的客户机的信息。对每一这一类实体，它将一机器的MAC地址同RSSI、SSID和指示在其上偷听到特定设备的信道的信道位图一起发送。

考虑到可以应用本发明的原理的众多可能的实施例，应该认识到，此处参考附图所描述的实施例旨在仅是说明性的，且不应该作为对本发明范围的限制。例如，本领域的技术人员可以认识到，可以对所示实施例在排列和细节上进行修改而不背离本发明的精神。尽管本发明是按照软件模块或组件而描述的，本领域的技术人员可以认识到，这可以等效地使用硬件组件代替。从而，如此处所述的本发明构想所有这些实施例都落入所附权利要求书及其等效技术方案的范围之内。

Claims (20)

1.一种包括用于确定第一无线设备的位置的计算机可执行指令的计算机可读介质，所述计算机可执行指令在连接至一基础结构网络且位于所述第一设备附近的一台或多台其它无线设备上执行，且执行以下步骤：

从所述第一设备接收一个或多个信号；

根据所述信号，记录关于所述第一设备的信号强度信息；以及

向诊断服务器发送所述信号强度信息，用于估计所述第一设备的位置，

其中，所述诊断服务器通过执行以下步骤来估计所述第一设备的位置：

接收所发送的信号强度信息；

计算对所述的一台或多台其它无线设备的位置的估计；以及

使用所接收的信号强度信息和所计算的对所述的一台或多台其它无线设备的位置的估计，近似所述第一设备的位置。

2.如权利要求1所述的计算机可读介质，其特征在于，所述信号是信标信号。

3.如权利要求1所述的计算机可读介质，其特征在于，所述信号是由所述第一设备响应于对所述第一设备没有连接至所述基础结构网络的判定而发送的。

4.如权利要求1所述的计算机可读介质，其特征在于，所述第一设备是欺诈性或故障无线接入点。

5.如权利要求1所述的计算机可读介质，其特征在于，所述第一设备的位置接近于约12米的范围内。

6.如权利要求1所述的计算机可读介质，其特征在于，所述第一设备的位置大致对应于RF漏洞。

7.一种包括用于确定第一无线设备位置的计算机可执行指令的计算机可读介质，所述无线设备位于连接至一基础结构网络的一台或多台其它无线设备附近，所述计算机可执行指令在一服务器上运行，且执行以下步骤：

从所述一台或多台其它设备接收关于所述第一设备的信号强度信息；

计算对所述的一台或多台其它无线设备的位置的估计；以及

使用所计算的估计和所接收的信号强度信息，近似所述第一设备的位置。

8.如权利要求7所述的计算机可读介质，其特征在于，所述一台或多台其它设备执行以下步骤：

从所述第一设备接收一个或多个信标信号；

根据所述信标信号，记录关于所述第一设备的信号强度信息；以及

发送所述信号强度信息，用于估计所述第一设备的位置。

9.如权利要求8所述的计算机可读介质，其特征在于，所述信标信号是由所述第一设备响应于对所述第一设备没有连接至所述基础结构网络的判定而发送的。

10.如权利要求7所述的计算机可读介质，其特征在于，所述第一设备是欺诈性或故障无线接入点。

11.如权利要求7所述的计算机可读介质，其特征在于，所述第一设备的位置接近于约12米的范围内。

12.如权利要求7所述的计算机可读介质，其特征在于，所述第一设备的位置大致对应于RF漏洞。

13.一种用于标识基础结构网络中的欺诈性无线接入点的方法，所述方法包括以下步骤：

接收关于一可疑接入点的信息，所述信息由一台或多台附近的无线计算设备或接入点收集；

将所述信息与一接入点数据库进行比较；以及

如果所述信息与所述接入点数据库不一致，则将所述可疑接入点标识为欺诈性接入点。

14.如权利要求13所述的方法，其特征在于，所述信息包括信号强度信息、MAC地址、SSID和信道信息中的一个或多个的组合。

15.如权利要求13所述的方法，其特征在于，所述信息包括一MAC地址，且所述MAC地址是由一台或多台附近的无线设备通过收听所述可疑接入点的信标来获得的。

16.如权利要求13所述的方法，其特征在于，所述信息包括一MAC地址，且所述MAC地址是由一台或多台附近的无线设备通过执行包含以下步骤的一种方法来获得的：

发送一探测请求；

从所述可疑接入点接收一探测响应；以及

从所述探测响应中检索所述MAC地址。

17.如权利要求13所述的方法，其特征在于，所述信息包括信号强度信息，所述方法还包括以下步骤：

使用所接收到的信号强度信息来估计所述可疑接入点的位置；以及

如果所估计出的位置与所述接入点数据库不一致，则将所述可疑接入点标识为欺诈性接入点。

18.如权利要求17所述的方法，其特征在于，估计所述位置包括：

计算对所述附近的无线计算设备或接入点的位置的估计；以及

使用所计算的估计和所接收到的信号强度信息来进一步估计所述可疑接入点的位置。

19.如权利要求13所述的方法，其特征在于，所述信息包括信道信息，所述方法还包括以下步骤：

如果所述可疑接入点在不与所述接入点数据库中所指示的信道重叠的信道上广播，则将其标识为欺诈性接入点。

20.如权利要求13所述的方法，其特征在于，还包括以下步骤：

响应于从一已认验证接入点处接收更新请求，使用新信息来更新所述接入点数据库。

Images