專利名稱:對(duì)無(wú)線網(wǎng)絡(luò)中的接入點(diǎn)進(jìn)行動(dòng)態(tài)測(cè)量和重分類的制作方法
對(duì)無(wú)線網(wǎng)絡(luò)中的接入點(diǎn)進(jìn)行動(dòng)態(tài)測(cè)量和重分類
本發(fā)明要求2005年7月25日提交的美國(guó)專利申請(qǐng)No. 11/188,564的 優(yōu)先權(quán),該申請(qǐng)的發(fā)明人為Stieglitz等���,題為DYNAMICALLY MEASURING AND RE-CLASSIFYING ACCESS POINTS IN A WIRELESS NETWORK,案巻號(hào)/文獻(xiàn)號(hào)為No. CISCO10744,該申請(qǐng)被轉(zhuǎn)讓給本發(fā)明 的受讓人���。美國(guó)專利申請(qǐng)No. 11/188,564的內(nèi)容通過(guò)引用被結(jié)合于此。
本發(fā)明是2005年2月25日提交的美國(guó)專利申請(qǐng)No. 11/066,009的繼 續(xù)申請(qǐng)���,并且要求該申請(qǐng)的優(yōu)先權(quán)�,該申請(qǐng)的發(fā)明人為Winget等,題為 LOCATION BASED ENHANCEMENTS FOR WIRELESS INTRUSION DETECTION,案巻號(hào)/文獻(xiàn)號(hào)為No. CISCO-9838,該申請(qǐng)被轉(zhuǎn)讓給本發(fā)明 的受讓人��。美國(guó)專利申請(qǐng)No. 11/066,009的內(nèi)容通過(guò)引用被結(jié)合于此�。
背景技術(shù):
本發(fā)明涉及無(wú)線網(wǎng)絡(luò),更具體地說(shuō)�����,涉及對(duì)基礎(chǔ)設(shè)施無(wú)線局域網(wǎng)系統(tǒng) (WLAN)中的接入點(diǎn)的屬性進(jìn)行測(cè)量并且對(duì)其重分類的方法��。
WLAN近來(lái)變得日益流行�����,尤其是遵循IEEE 802.11標(biāo)準(zhǔn)的WLAN�。 這種標(biāo)準(zhǔn)提供了自組織網(wǎng)絡(luò),其中任意無(wú)線臺(tái)站可以直接與任意其他無(wú)線 臺(tái)站通信����,這種標(biāo)準(zhǔn)還提供了基礎(chǔ)設(shè)施網(wǎng)絡(luò)��,其中被稱作接入點(diǎn)(AP)的 一個(gè)臺(tái)站充當(dāng)一組客戶端臺(tái)站的基站����。因此�, 一個(gè)AP形成一個(gè)小區(qū)�,在 該小區(qū)中其任意客戶端臺(tái)站(或者轉(zhuǎn)發(fā)器)可以與該AP通信。任意客戶 端臺(tái)站都僅經(jīng)由它到另一個(gè)客戶端臺(tái)站或者到網(wǎng)絡(luò)的任意部分(例如���,可 以被連接到接入點(diǎn)之一的有線網(wǎng)絡(luò))的接入點(diǎn)通信��。
WLAN允許公司將網(wǎng)絡(luò)的好處擴(kuò)展到移動(dòng)勞力�,并且無(wú)線地派送新的 聯(lián)網(wǎng)服務(wù)和應(yīng)用��。公司在布署無(wú)線網(wǎng)絡(luò)時(shí)面臨的挑戰(zhàn)之一是安全性�,包括 防止"外來(lái)"無(wú)線設(shè)備作為欺詐接入點(diǎn)連接到公司的網(wǎng)絡(luò)。
WLAN特有的一些安全性問(wèn)題是由于無(wú)線客戶端臺(tái)站請(qǐng)求接入到各種
AP而引起的��。通常����,在WLAN環(huán)境的布署中,AP小區(qū)覆蓋被重疊來(lái)實(shí) 現(xiàn)最大的RF覆蓋��,以減小非服務(wù)點(diǎn)��。無(wú)線客戶端臺(tái)站在AP之間移動(dòng), 從而根據(jù)它們的位置改變WLAN的RF環(huán)境�。另外,WLAN通常被要求隨 著由于越來(lái)越多的客戶端臺(tái)站要求來(lái)自WLAN所服務(wù)而增長(zhǎng)的需求而增 大��。擴(kuò)充WLAN要求配置裝備��、添加AP���,以及將AP置于不與其他AP 相沖突的位置中或者不以其他方式使管理WLAN復(fù)雜化的位置中�。
因?yàn)闊o(wú)線是一種開(kāi)放介質(zhì)���,所以任何人都可以爭(zhēng)取接入并且通過(guò)無(wú)線 信道發(fā)送信息�����。
無(wú)線網(wǎng)絡(luò)一般使用MAC層的管理幀�,這種幀被設(shè)計(jì)��、發(fā)送和接收來(lái) 用于管理目的���。例如���,在遵循IEEE 802.1標(biāo)準(zhǔn)的WLAN中,AP定期發(fā)送 聲明該AP的存在的信標(biāo)幀����,即,向潛在的客戶端通告該AP的服務(wù)����,使 得客戶端可以與該AP相關(guān)聯(lián)。類似地���,客戶端可以發(fā)送探查請(qǐng)求幀����,該 幀請(qǐng)求其無(wú)線電范圍內(nèi)的任何AP利用探查響應(yīng)幀作出響應(yīng)�,該幀以與信 標(biāo)幀類似的方式,向請(qǐng)求客戶端(以及在其無(wú)線電范圍內(nèi)并且能夠接收其 信道的任意其他頻率器件)提供信息使得客戶端足以判斷是否與該AP相 關(guān)聯(lián)���。
IEEE 802.11管理幀一般在沒(méi)有任何保護(hù)的情況下被發(fā)送���,最近已提議 了一些管理幀保護(hù)方法。利用不受保護(hù)的管理幀����,攻擊者從而可以容易地 偽裝合法的AP,發(fā)送指示到客戶端臺(tái)站,如同其是服務(wù)于該客戶端臺(tái)站 的AP —樣��。例如�,幾乎所有攻擊都是開(kāi)始于攻擊者通過(guò)發(fā)送解關(guān)聯(lián)或者 去認(rèn)證請(qǐng)求到客戶端臺(tái)站來(lái)偽裝AP。
因此��,需要一種方法和裝備����,用來(lái)有效地保護(hù)WLAN,并且向 WLAN管理者提供進(jìn)行管理和接入控制判決所需的信息����。具體而言,因?yàn)?WLAN的許多客戶不控制哪種類型的設(shè)備可以連接到有線以太網(wǎng)和無(wú)線網(wǎng) 絡(luò)��,這種客戶正面臨對(duì)是否���、何時(shí)和如何在它們的環(huán)境中布署接入點(diǎn)進(jìn)行 控制的困難挑戰(zhàn)��。用戶常常會(huì)插入未經(jīng)批準(zhǔn)的無(wú)線接入點(diǎn)��,來(lái)遞送未經(jīng)企 業(yè)批準(zhǔn)和/或從企業(yè)信息技術(shù)部門不能獲得的無(wú)線網(wǎng)絡(luò)�����。較少發(fā)生但是值得 關(guān)注的是�,網(wǎng)絡(luò)攻擊者有時(shí)可能從不同的位置在不同的時(shí)刻將接入點(diǎn)置于 企業(yè)網(wǎng)絡(luò)內(nèi)部,利用該未經(jīng)批準(zhǔn)的接入點(diǎn)來(lái)獲得對(duì)企業(yè)網(wǎng)絡(luò)的智能接入���。 也被稱作無(wú)線侵入檢測(cè)系統(tǒng)(WIDS)的欺詐接入點(diǎn)檢測(cè)系統(tǒng)
(RAPDS)是公知的,并且用于管理無(wú)線RF安全性的某些方面���。這種系 統(tǒng)的多個(gè)方面包括檢測(cè)��、定位�����、報(bào)警��,并且在理想情況下關(guān)閉它們的網(wǎng)絡(luò) 上的欺詐接入點(diǎn)的能力����。這些系統(tǒng)一般利用對(duì)接入點(diǎn)進(jìn)行分類的分層模 型�����,接入點(diǎn)類別有已知且受管理的AP (在這里稱作受,遭乂P)��、在受管 理網(wǎng)絡(luò)附近的已知AP、或者對(duì)受管理AP的客戶端(即�����,受管理客戶端) 已知的AP����,己知不會(huì)給受管理無(wú)線網(wǎng)絡(luò)帶來(lái)問(wèn)題(例如,干擾)的AP���。 這樣的AP被稱作^^好^尸���。友好AP的一個(gè)示例是在咖啡店中的AP,其 中企業(yè)的雇員通常利用作為被管理客戶端并且與該友好AP相關(guān)聯(lián)的計(jì)算 機(jī)來(lái)工作��。最后���,還存在未知的和/或己知"欺詐"的AP (在這里總稱為 襲,j尸)�。
在下面的具體實(shí)施方式
部分給出了對(duì)一些欺詐AP檢測(cè)方法的概述����。 這些欺詐AP檢測(cè)系統(tǒng)所缺乏的是根據(jù)AP的行為改變將AP分類和重 分類成分類方案中的類別之一的動(dòng)態(tài)能力。
作為一個(gè)示例����,比較聰明的攻擊者可能利用已知的欺詐AP檢測(cè)系統(tǒng) 來(lái)將接入點(diǎn)放置到企業(yè)網(wǎng)絡(luò)附近����,期望隨著時(shí)間流逝����,該接入點(diǎn)會(huì)被標(biāo)記 為"友好AP"。這種攻擊者然后可以將該接入點(diǎn)移動(dòng)到企業(yè)網(wǎng)絡(luò)內(nèi)部�����, 然后利用該接入點(diǎn)作為"特洛依木馬"�����,從而避免利用一般的欺詐AP檢 測(cè)系統(tǒng)的檢測(cè)�。
因此�����,在本領(lǐng)域中需要一種方法��,用來(lái)執(zhí)行測(cè)量�、無(wú)線電掃描�、以及 對(duì)已被分類到受管理無(wú)線網(wǎng)絡(luò)中的接入點(diǎn)進(jìn)行重分類�。
發(fā)明內(nèi)容
本發(fā)明的一個(gè)方面是利用全范圍的主動(dòng)空中檢測(cè)、定位和測(cè)量系統(tǒng)���, 來(lái)主動(dòng)����、動(dòng)態(tài)地對(duì)所有已知的已發(fā)現(xiàn)的受管理或者已被分類的接入點(diǎn)進(jìn)行 重分類���。
具體而言�����,這里描述了方法��、裝置和攜帶計(jì)算機(jī)可讀代碼段的載波介 質(zhì)����,所述計(jì)算機(jī)可讀代碼段指示處理系統(tǒng)中的至少一個(gè)處理器執(zhí)行該方 法���。該方法用于包括至少一個(gè)接入點(diǎn)的無(wú)線網(wǎng)絡(luò)中��。該方法包括不定期地
對(duì)無(wú)線網(wǎng)絡(luò)的至少一個(gè)已分類接入點(diǎn)的集合中的每個(gè)接入點(diǎn)的至少一個(gè)M 性的第一集合進(jìn)行測(cè)量���。該方法還包括基于接入點(diǎn)的至少一個(gè)屬性的第— 集合的至少一個(gè)功能�,對(duì)每個(gè)接入點(diǎn)進(jìn)行重分類�����,該屬性的第二集合包括 屬性的第一集合���。至少一個(gè)接入點(diǎn)的集合根據(jù)一組AP類別被分類����,并—卩. 被重分類到所述AP類別之一中��。 通過(guò)利用本發(fā)明��,可以實(shí)現(xiàn)
1. 提高的安全性����。
2. 減少錯(cuò)誤確定����。
3 . 對(duì)欺詐接入點(diǎn)的攻擊自動(dòng)自防護(hù)。
檢測(cè)和將接入點(diǎn)分類成例如欺詐接入點(diǎn)的任何無(wú)線欺詐AP檢測(cè)系統(tǒng)
都可以使用本發(fā)明的實(shí)施例�����。
從下面的描述和附圖中,將清楚其他方面和特征��。
圖1示出了實(shí)現(xiàn)了本發(fā)明多個(gè)方面的包括WLAN管理器和AP的簡(jiǎn)化 受管理網(wǎng)絡(luò)�����;
圖2示出了可以是AP或者客戶端臺(tái)站的實(shí)現(xiàn)了本發(fā)明一個(gè)或多個(gè)方 面的無(wú)線臺(tái)站的一個(gè)實(shí)施例的簡(jiǎn)化框圖���。
圖3示出了用于利用在已知的例如受管理的AP處接收到的信號(hào)強(qiáng)度 確定潛在的欺詐AP的位置的方法的一個(gè)實(shí)施例�����。
圖4示出了確定是否對(duì)一個(gè)或多個(gè)接入點(diǎn)重分類的一個(gè)實(shí)施例����。
具體實(shí)施例方式
這里描述了方法�����、系統(tǒng)和載波介質(zhì)中的軟件程序��,用來(lái)利用主動(dòng)無(wú)線 臺(tái)站檢測(cè)、臺(tái)站定位和無(wú)線電測(cè)量�,以對(duì)所有已知"友好"接入點(diǎn)、受管 理接入點(diǎn)���、新發(fā)現(xiàn)的接入點(diǎn)�����、欺詐接入點(diǎn)���,或者以其他方式被分類的接入 點(diǎn)重新分類。
體層券
將參考代表性無(wú)線網(wǎng)絡(luò)來(lái)對(duì)本發(fā)明進(jìn)行描述��,所述代表性無(wú)線網(wǎng)絡(luò)基
本遵循正EE 802.11標(biāo)準(zhǔn)�����,例如�����,802.11a�����、 802.11b����、 802.11g或者當(dāng)前已 預(yù)見(jiàn)到的標(biāo)準(zhǔn),例如�,802.11n?;咀裱囊馑际桥c之兼容。假設(shè)本說(shuō)明 書(shū)的讀者能夠接觸到定義這些標(biāo)準(zhǔn)的文檔��,并且定義這些標(biāo)準(zhǔn)的所有文檔 都為了一切目的通過(guò)引用被結(jié)合于此��。在這里所討論的示例中����,要被無(wú)線 網(wǎng)絡(luò)覆蓋的區(qū)域被劃分成多個(gè)小區(qū),每個(gè)小區(qū)具有一個(gè)接入點(diǎn)(AP)��???戶端被與特定的接入點(diǎn)相關(guān)聯(lián),并且可以經(jīng)由該接入點(diǎn)實(shí)現(xiàn)去往和來(lái)自該 網(wǎng)絡(luò)的通信��。
圖1示出了本發(fā)明的實(shí)施例可以被應(yīng)用到的代表性無(wú)線通信網(wǎng)絡(luò) 100��。示出了五個(gè)接入點(diǎn)API (111) �、 AP2 (112) 、 AP3 (113) 、 AP4 (114)和AP5 (115)��。每個(gè)AP可以具有若干個(gè)相關(guān)聯(lián)的客戶端(未示 出)�����。在一個(gè)實(shí)施例中�����,每個(gè)AP是受管理無(wú)線網(wǎng)絡(luò)的一部分�,就每個(gè)AP 與受管理無(wú)線網(wǎng)絡(luò)的管理實(shí)體通信而言,該AP是受管理AP����。
取決于大小和復(fù)雜度,受管理網(wǎng)絡(luò)是具有中央控制實(shí)體的一組AP��, 或者具有最終被耦合到一組AP的一組層級(jí)控制域的層級(jí)結(jié)構(gòu)����。每個(gè)控制 域被一個(gè)管理實(shí)體管理,該管理實(shí)體在這里稱之為管理器��。層級(jí)中的級(jí)別 數(shù)目取決于網(wǎng)絡(luò)的復(fù)雜度和/或大小��,因此并非所有受管理的網(wǎng)絡(luò)都具有所 有控制級(jí)別�。例如,簡(jiǎn)單的受管理網(wǎng)絡(luò)可能僅具有一個(gè)控制級(jí)別�,該控制 級(jí)別具有對(duì)所有AP進(jìn)行控制的單個(gè)管理實(shí)體。影響對(duì)控制域的選擇的因 素包括以下一個(gè)或多個(gè)各種類型的IP子網(wǎng)配置�;接入點(diǎn)的無(wú)線電鄰近 度;客戶端臺(tái)站漫游模式��;實(shí)時(shí)漫游需求����;以及網(wǎng)絡(luò)的物理約束(例如, 園區(qū)��、建筑等等)��。
在一個(gè)實(shí)施例中�����,受管理AP具有若干個(gè)性質(zhì)��,包括精確地測(cè)量其接 收到的功率電平的能力���,在這里被稱作無(wú)線電信號(hào)強(qiáng)度指示(RSSI)���。受 管理的AP還具有接收來(lái)自WLAN管理器的指示��,以便根據(jù)所接收到的指 令以信道數(shù)的方式設(shè)置其發(fā)送功率和發(fā)送頻率的能力��。
IEEE 802.11標(biāo)準(zhǔn)的一些方面稍稍被修改來(lái)適應(yīng)受管理AP的一些管理 方面�。在一個(gè)實(shí)施例中��,諸如受管理AP之類的網(wǎng)絡(luò)的受管理的臺(tái)站能夠 相對(duì)準(zhǔn)確地測(cè)量所接收到的信號(hào)強(qiáng)度(在這里稱作接收信號(hào)強(qiáng)度指示�����,或
者RSSI)�����。受管理接入點(diǎn)還以己知的發(fā)送功率進(jìn)行發(fā)送����。
至于關(guān)于無(wú)線電管理的更多信息,參見(jiàn)2004年1月28日提交的美國(guó) 專利申請(qǐng)No. 10/766,174����,該申請(qǐng)的發(fā)明人為Olson等,題為A METHOD, APPARATUS, AND SOFTWARE PRODUCT FOR DETECTING ROGUK ACCESS POINTS IN A WIRELESS NETWORK,該申請(qǐng)被轉(zhuǎn)讓給本發(fā)明的 受讓人����,并且通過(guò)引用結(jié)合于此。
在本說(shuō)明書(shū)中�,假設(shè)存在被稱作『^47V,湮器/W的單個(gè)管理實(shí)體。 WLAN管理器103對(duì)無(wú)線網(wǎng)絡(luò)的若干個(gè)方面進(jìn)行管理����,在一個(gè)實(shí)施例中包 括生成無(wú)線電計(jì)劃,所述無(wú)線電計(jì)劃包括分配每個(gè)AP的發(fā)送功率和發(fā)送 信道���。在其他實(shí)施例中��,也可以包括被稱作7廚J:70f,湮器的管理實(shí) 體����,每個(gè)子網(wǎng)上下文管理器控制單個(gè)子網(wǎng)或者虛擬局域網(wǎng)(VLAN)的-些方面�����。子網(wǎng)上下文管理器例如可以將來(lái)自WLAN管理器103的指令中 繼到其子網(wǎng)或者VLAN中的所有受管理AP�����。但是��,在這里示出的實(shí)施例 中,子網(wǎng)上下文管理器的功能由WLAN管理器實(shí)現(xiàn)�����。其他實(shí)施例在具有 不同管理級(jí)別的層級(jí)中可以具有不同數(shù)目的級(jí)別����。至于關(guān)于無(wú)線電管理的 更多信息,參見(jiàn)2004年1月28日提交的美國(guó)專利申請(qǐng)No. 10/766,174�����,該 申請(qǐng)的發(fā)明人為Olson等�����,題為A METHOD, APPARATUS, AND SOFTWARE PRODUCT FOR DETECTING ROGUE ACCESS POINTS IN A WIRELESS NETWORK,該申請(qǐng)被轉(zhuǎn)讓給本發(fā)明的受讓人��,并且通過(guò)引用 結(jié)合于此�。
注意,在這里所述的實(shí)施例中位于WLAN管理器103內(nèi)的被稱作無(wú) 錄冶^^^的控制器提供對(duì)給定AP集合內(nèi)的無(wú)線電環(huán)境的各個(gè)方面的智 能集中化控制���。單個(gè)無(wú)線電管理器根據(jù)管理結(jié)構(gòu)中的分層的數(shù)目(例如��, 是否存在本地控制域和/或園區(qū)控制域)�����,處理給定WLAN "本地控制 域"或者WLAN "園區(qū)控制域"中的所有AP的無(wú)線電方面���。無(wú)線電管理 器提供在最初網(wǎng)絡(luò)布署和網(wǎng)絡(luò)擴(kuò)展期間確定網(wǎng)絡(luò)范圍內(nèi)的無(wú)線電參數(shù)的能 力,這給稱作無(wú)線電計(jì)劃���。無(wú)線電管理器集中地協(xié)調(diào)所有客戶端和AP測(cè) 量����,以便例如檢測(cè)欺詐接入點(diǎn)��。
在一個(gè)實(shí)施例中��,WLAN管理器103對(duì)網(wǎng)絡(luò)中的受管理接入點(diǎn)的集合授權(quán)���,這包括維護(hù)被稱作魔 11#^ ,的數(shù)據(jù)庫(kù)�����,配置數(shù)據(jù)庫(kù)包含諸如分配 頻率和發(fā)送功率的無(wú)線電計(jì)劃之類的配置參數(shù)和諸如到其控制下的AP的 信標(biāo)間隔之類的其他配置參數(shù)��。配置數(shù)據(jù)庫(kù)還包括AP J^;^,�, AP數(shù)據(jù)庫(kù)
包括關(guān)于受管理AP的信息,例如�����,受管理AP的列表和關(guān)于這些AP的- 些數(shù)據(jù)����,例如,AP的位置和AP能夠以其發(fā)送的功率��,以及對(duì)AP的任意 分類�。WLAN管理器103提供對(duì)給定的AP集合內(nèi)的無(wú)線電環(huán)境的各個(gè)方 面的集中化控制,包括執(zhí)行測(cè)量來(lái)獲得路徑損耗����,以及利用這些路徑損耗 信息項(xiàng)來(lái)確定AP和/或客戶端的位置,并且進(jìn)一步確定無(wú)線電計(jì)劃���,所述 無(wú)線電計(jì)劃包括網(wǎng)絡(luò)范圍內(nèi)的無(wú)線電參數(shù)��,例如�,在初始網(wǎng)絡(luò)布署和網(wǎng)絡(luò) 擴(kuò)展期間的發(fā)送功率和信道���。
作為一個(gè)示例�����,在一個(gè)實(shí)施例中���,路徑損耗信息是通過(guò)一次或多次預(yù) 排(walkthrough)獲得的�����,而在另一個(gè)實(shí)施例中,路徑損耗信息也是或者 可替換地是通過(guò)在AP之間自動(dòng)執(zhí)行路徑損耗測(cè)量獲得的�����。例如��,參見(jiàn)—卜. 述美國(guó)專利申請(qǐng)10/766,174和2004年1月28日提交的美國(guó)專利申請(qǐng)No. 10/629,384���,該申請(qǐng)題為"RADIOLOCATION USING A PATH LOSS DATA",發(fā)明人為Kaiser等�,案巻號(hào)/文獻(xiàn)號(hào)No. CISCO-7391 �����,該申請(qǐng)被 轉(zhuǎn)讓給本發(fā)明的受讓人,并且通過(guò)引用結(jié)合于此���。
注意��,本發(fā)明并不要求存在單個(gè)WLAN管理器實(shí)體��。這里所述的功 能可以被結(jié)合到例如在本地層級(jí)的任何其他管理實(shí)體中��,或者由被稱作無(wú) 線電管理器的對(duì)WLAN的無(wú)線電方面進(jìn)行控制的分離的管理器所結(jié)合��。 此外���,這些管理實(shí)體中的任意一個(gè)都可以被與其他功能組合,所述其他功 能例如是交換���、路由選擇等等��。
現(xiàn)在參考圖1���,示出了一個(gè)簡(jiǎn)單的受管理網(wǎng)絡(luò)。包括無(wú)線電計(jì)劃生成 之類的所有管理功能都假設(shè)被結(jié)合在能夠訪問(wèn)AP數(shù)據(jù)庫(kù)的單個(gè)管理實(shí)體 中�,g口, WLAN管理器103�。
在一個(gè)實(shí)施例中���,WLAN管理器103包括具有一個(gè)或多個(gè)處理器的處 理系統(tǒng)123和存儲(chǔ)器121。存儲(chǔ)器121被示為包括指令127�,指令127使處 理系統(tǒng)123的一個(gè)或多個(gè)處理器實(shí)現(xiàn)本發(fā)明的WLAN管理方面,包括生 成網(wǎng)絡(luò)的無(wú)線電計(jì)劃���,包括以發(fā)送信道的形式分配頻率�、以及向每個(gè)接入 點(diǎn)分配發(fā)送功率����。WLAN管理指令127還包括這里所述的無(wú)線電測(cè)量方 面,無(wú)線電測(cè)量方面用于無(wú)線電計(jì)劃�,還用于將AP分類成受管理AP、其 他類型的AP��,其他類型的AP包括可疑的欺詐AP��。存儲(chǔ)器121也被示為 包括指令129�,指令129使處理系統(tǒng)123的一個(gè)或多個(gè)處理器實(shí)現(xiàn)這里所 述的本發(fā)明的欺詐AP檢測(cè)和動(dòng)態(tài)重分類方面��。本領(lǐng)域技術(shù)人員應(yīng)當(dāng)清 楚�,并非所有如此實(shí)現(xiàn)這些方面的這些程序同時(shí)都在存儲(chǔ)器中。但是����,它 們被示為在存儲(chǔ)器中�,以便保持描述的簡(jiǎn)單性�����。
WLAN管理器103還維護(hù)配置數(shù)據(jù)庫(kù)131��,以及配置數(shù)據(jù)庫(kù)131中的 AP數(shù)據(jù)庫(kù)133����。
WLAN管理器103包括用于耦合到網(wǎng)絡(luò)的網(wǎng)絡(luò)接口 125,這一般是通 過(guò)有線或者其他方式連接的����。在一個(gè)實(shí)施例中,WLAN管理器103是網(wǎng)絡(luò) 交換機(jī)的一部分����,并且在網(wǎng)絡(luò)操作系統(tǒng)控制下操作,所述網(wǎng)絡(luò)操作系統(tǒng)在 這種情形中是IOS操作系統(tǒng)(Cisco Systems, Inc., San Jose, California)����。
WLAN管理器103經(jīng)由其網(wǎng)絡(luò)接口 125和網(wǎng)絡(luò)(一般是有線網(wǎng)絡(luò))被 耦合到一組受管理AP:分別具有標(biāo)號(hào)lll����,��, 115的API,���, AP5。
圖2示出了可以是AP或者客戶端臺(tái)站并且實(shí)現(xiàn)本發(fā)明的一個(gè)或多個(gè) 無(wú)線電測(cè)量方面的無(wú)線臺(tái)站200的一個(gè)實(shí)施例�����。盡管諸如臺(tái)站200之類的 無(wú)線臺(tái)站一般屬于現(xiàn)有技術(shù)�,但是例如以軟件形式包括本發(fā)明多個(gè)方面并 且可以理解用來(lái)實(shí)現(xiàn)本發(fā)明多個(gè)方面的任何特定管理幀的無(wú)線臺(tái)站不一定 是現(xiàn)有技術(shù)。無(wú)線電部分201包括被耦合到無(wú)線電收發(fā)機(jī)205的一個(gè)或多 個(gè)天線203��,無(wú)線電收發(fā)機(jī)205包括模擬RF部分和數(shù)字調(diào)制解調(diào)器���。無(wú)線 電部分從而實(shí)現(xiàn)物理層(PHY) ����。 PHY 201的數(shù)字調(diào)制解調(diào)器被耦合到實(shí) 現(xiàn)該臺(tái)站的MAC處理的MAC處理器207�。 MAC處理器207經(jīng)由一條或 多條總線(象征性地示作單總線子系統(tǒng)211)被連接到主機(jī)處理器213����。 主機(jī)處理器包括存儲(chǔ)器子系統(tǒng)��,例如被連接到主機(jī)總線的RAM和/或 ROM,存儲(chǔ)器子系統(tǒng)在這里被示作總線子系統(tǒng)211的一部分。臺(tái)站200包 括到有線網(wǎng)絡(luò)的接口 221��。
在一個(gè)實(shí)施例中�,MAC處理(例如IEEE 802.11 MAC協(xié)議)完全在 MAC處理器207處實(shí)現(xiàn)����。處理器207包括存儲(chǔ)器209,存儲(chǔ)器209存儲(chǔ)用
于MAC處理器207實(shí)現(xiàn)MAC處理以及在一個(gè)實(shí)施例中由本發(fā)明使用的 額外的處理中的一些或全部的指令����。存儲(chǔ)器一般是但是不一定是ROM, 軟件一般處于固件形式。
MAC處理器由主機(jī)處理器213控制�����。在一個(gè)實(shí)施例中�, 一些MAC處 理在MAC處理器207處實(shí)現(xiàn)��,而一些在主機(jī)處實(shí)現(xiàn)。在這種情形中�,用 于主機(jī)213實(shí)現(xiàn)由主機(jī)實(shí)現(xiàn)的MAC處理的指令(代碼)被存儲(chǔ)在存儲(chǔ)器 215中。在一個(gè)實(shí)施例中�����,由本發(fā)明使用的額外處理中的一些或全部也由 主機(jī)實(shí)現(xiàn)����。這些指令被示作存儲(chǔ)器的一部分217。
根據(jù)本發(fā)明的一個(gè)方面�,諸如臺(tái)站200之類的每個(gè)臺(tái)站維護(hù)其接收到 的信標(biāo)和探査響應(yīng)的數(shù)據(jù)庫(kù)�。信標(biāo)和探査響應(yīng)在一種或多種環(huán)境下(例 如,在臺(tái)站確定出是否與AP相關(guān)聯(lián)時(shí))被存儲(chǔ)在數(shù)據(jù)庫(kù)中����。在本發(fā)明的 多個(gè)方面的上下文中,在臺(tái)站處接收到的信標(biāo)和探査響應(yīng)作為主動(dòng)掃描或 者被動(dòng)掃描的結(jié)果而被存儲(chǔ)在數(shù)據(jù)庫(kù)中���。這種數(shù)據(jù)庫(kù)被稱作信標(biāo)表�����。如圖 2所示����,在一個(gè)實(shí)施例中�����,信標(biāo)表219在臺(tái)站的存儲(chǔ)器215中����。其他實(shí)施 例將信標(biāo)表219存儲(chǔ)在存儲(chǔ)器215外部。臺(tái)站將關(guān)于信標(biāo)和探查響應(yīng)的信 息存儲(chǔ)在其信標(biāo)表219中��,并且在其接收到信標(biāo)時(shí)還存儲(chǔ)關(guān)于該臺(tái)站的狀 態(tài)的額外信息����。
根據(jù)本發(fā)明的一個(gè)方面,諸如臺(tái)站200之類的臺(tái)站在實(shí)現(xiàn)AP時(shí)能夠 執(zhí)行被動(dòng)掃描����。根據(jù)本發(fā)明的另一個(gè)方面,諸如臺(tái)站200之類的臺(tái)站在實(shí) 現(xiàn)客戶端臺(tái)站時(shí)能夠執(zhí)行被動(dòng)掃描��。
因?yàn)榕_(tái)站在其信標(biāo)表中存儲(chǔ)其已接收到的信標(biāo)和探査響應(yīng)�����,所以一種 形式的被動(dòng)掃描包括僅報(bào)告該臺(tái)站的信標(biāo)表的累積內(nèi)容。注意�����, 一種備選 實(shí)施例可能包括該臺(tái)站在特定時(shí)段中進(jìn)行偵聽(tīng)�����,并且在該特定時(shí)段中報(bào)告 遞增的信標(biāo)表信息�����。
根據(jù)又一個(gè)實(shí)施例�,諸如臺(tái)站200之類的臺(tái)站在實(shí)現(xiàn)AP時(shí)能夠主動(dòng) 掃描,尤其是遞增主動(dòng)掃描���。為了執(zhí)行遞增主動(dòng)掃描��,AP騰空其服務(wù)信 道����,并且通過(guò)在一條或多條信道上發(fā)送探查請(qǐng)求幀來(lái)探查一條或多條信 道�。AP通過(guò)對(duì)競(jìng)爭(zhēng)自由周期(CFP)進(jìn)行調(diào)度來(lái)防止客戶端發(fā)送?���;蛘?��, AP可以通過(guò)發(fā)送未被請(qǐng)求的CTS幀���,該幀持續(xù)足夠長(zhǎng)的時(shí)間來(lái)覆蓋主動(dòng)
掃描時(shí)間�,從而防止客戶端發(fā)送����。根據(jù)又一個(gè)實(shí)施例,臺(tái)站200在實(shí)現(xiàn)客 戶端時(shí)能夠主動(dòng)掃描���,尤其是遞增主動(dòng)掃描��。為了實(shí)現(xiàn)遞增主動(dòng)掃描��,客 戶端臺(tái)站騰空其服務(wù)信道�����,通過(guò)在一條或多條信道上發(fā)送探查請(qǐng)求幀來(lái)探 査一條或多條信道���。在客戶端的情況下,主動(dòng)掃描包括報(bào)告探察其他(一 條或多條)信道的結(jié)果。為了防止客戶端從服務(wù)AP發(fā)送��,客戶端必須指 示其正處于省電模式����。或者��,客戶端可以使用諸如應(yīng)用操作之類的具體的
本地知識(shí)���,來(lái)確保AP將不發(fā)送任何在客戶端處指示的發(fā)送�����。
掃描包括在信標(biāo)表中存儲(chǔ)來(lái)自通過(guò)被動(dòng)或主動(dòng)掃描而在臺(tái)站處接收到 的信標(biāo)和探查響應(yīng)的信息�。 箭詐^p檢漱系統(tǒng)
如上面的背景技術(shù)部分所述���,欺詐接入點(diǎn)檢測(cè)系統(tǒng)(RAPDS)是已知 的�,用于管理無(wú)線RF安全性的一些方面����。取決于具體系統(tǒng),RAPDS利用 一種或多種空中(over-the-air)和/或通過(guò)以太網(wǎng)局域網(wǎng)(LAN)技術(shù)來(lái)檢 測(cè)接入點(diǎn)的存在���,并且區(qū)分所檢測(cè)到的接入點(diǎn)是否是欺詐接入點(diǎn)��。這些系 統(tǒng)包括用來(lái)例如利用MAC地址���、利用配置�、利用RSSI�����、利用位置���、利 用IP地址屬性等等,將接入點(diǎn)分類成一組類別之一的方法�,所述類別例如 是受管理AP、友好AP或者(類似)欺詐AP����。
用于檢測(cè)欺詐接入點(diǎn)的已知方法包括使客戶端報(bào)告其他AP上的失敗 的認(rèn)證嘗試,或者由AP自身檢測(cè)失敗的認(rèn)證嘗試�。例如,認(rèn)證泄密方法 是已知用于報(bào)告欺詐接入點(diǎn)的方法�。參見(jiàn)2001年7月27日提交的Halasz 等人的美國(guó)專利申請(qǐng)S/N 09/917,122 ,該申請(qǐng)題為"ROGUE AP DETECTION"����,被轉(zhuǎn)讓給本申請(qǐng)的受讓人�,并且通過(guò)引用結(jié)合于此�����。這 種現(xiàn)有方法一般包括利用適當(dāng)?shù)腤LAN標(biāo)識(shí)符(服務(wù)集標(biāo)識(shí)符 (SSID))對(duì)臺(tái)站進(jìn)行配置��,來(lái)進(jìn)行認(rèn)證嘗試。僅在到客戶端的合適的位 置中(即�,在嘗試認(rèn)證時(shí)具有無(wú)線電接觸)的欺詐可以被檢測(cè)出。這可能 導(dǎo)致延遲的檢測(cè)或者根本檢測(cè)不出��。
其他己知的欺詐檢測(cè)方法包括利用可以在WLAN覆蓋區(qū)域中攜帶的 某些類型的嗅探設(shè)備�����。攜帶嗅探設(shè)備的操作員周期性地在WLAN覆蓋區(qū) 域中行走�����,進(jìn)行測(cè)量來(lái)搜索欺詐AP���。例如參見(jiàn),來(lái)自WildPackets�����, Inc.,
17Walnut Greek, CA白勺"AiroPeek and Wireless Security: Identifying and Locating Rogue Access Points" (2002年9月11日的版本)。
另一種已知的嗅探技術(shù)是利用AP作為嗅探設(shè)備�����。例如參見(jiàn)�����,來(lái)fi AirWave Wireless, Inc., San Mateo, California (www.airwave.com)白勺文檔 "AirWave Rogue Access Point Detection"���。這種AP由管理實(shí)體從中央位 置管理。大多時(shí)候����,這種受管理的AP充當(dāng)常規(guī)接入點(diǎn)。在正執(zhí)行欺詐掃 描時(shí)�,管理實(shí)體發(fā)出命令(例如SNMP命令)到該受管理AP,將其轉(zhuǎn)換 成無(wú)線嗅探設(shè)備�����。受管理AP對(duì)其覆蓋半徑內(nèi)的無(wú)線電波進(jìn)行掃描��,尋找 所有信道上的流量。AP然后將所有數(shù)據(jù)報(bào)告回管理實(shí)體作為跟蹤數(shù)據(jù)��, 然后返回到正常工作模式���。管理實(shí)體對(duì)來(lái)自受管理AP和崗哨設(shè)備的跟蹤 數(shù)據(jù)進(jìn)行分析���,將檢測(cè)到的AP與其可信的受管理AP的數(shù)據(jù)庫(kù)進(jìn)行比 較。但是��,這種方法要求AP暫停正常操作�����。
另一種已知的欺詐AP檢測(cè)技術(shù)要求到欺詐AP的連接�����,例如有線連 接���。但是���,因?yàn)槠墼pAP可能是安裝在鄰近位置處的設(shè)備,所以要求有線 連接的檢測(cè)方法可能不會(huì)總是成功�����。
用于檢測(cè)甚至定位欺詐接入點(diǎn)的方法和裝置的一種示例在2004年1 月28日提交的發(fā)明人為Olson等的共同未決美國(guó)專利申請(qǐng)No.:10/766,174 中有所描述,該申請(qǐng)題為"A METHOD, APPARATUS, AND SOFTWARE PRODUCT FOR DETECTING ROGUE ACCESS POINTS IN A WIRELESS NETWORK"�,案巻號(hào)/文獻(xiàn)號(hào)No. CISCO-6592,該申請(qǐng)被轉(zhuǎn)讓給本發(fā)明 的受讓人�。美國(guó)專利申請(qǐng)No. 10/766,174的內(nèi)容通過(guò)引用被結(jié)合于此。這 里的這些發(fā)明在這里單獨(dú)或者總地被稱作"我們的欺詐檢測(cè)發(fā)明"����。
我們的欺詐檢測(cè)發(fā)明美國(guó)專利申請(qǐng)No. 10/766,174描述了由AP進(jìn)行 的被動(dòng)和/或主動(dòng)掃描如何在WLAN管理器103指示下使AP接收信標(biāo)和 探查響應(yīng),而其又使WLAN管理器103利用被動(dòng)或主動(dòng)掃描檢測(cè)到的并 且被報(bào)告回WLAN管理器103的信標(biāo)和/或探查響應(yīng)來(lái)識(shí)別潛在的欺詐 AP���。被動(dòng)掃描的意思是在不首先發(fā)送探査請(qǐng)求的情況下偵聽(tīng)信標(biāo)和探杳響 應(yīng)�����。利用被動(dòng)掃描是本發(fā)明的一個(gè)重要方面,這是因?yàn)槠涮峁┝嗽谂_(tái)站處 (例如�����,在AP處)與正常處理并發(fā)的欺詐檢測(cè)����。主動(dòng)掃描的意思是在偵
聽(tīng)信標(biāo)和探查響應(yīng)之前發(fā)送探查請(qǐng)求�����。主動(dòng)掃描和被動(dòng)掃描二者都可以在 用于無(wú)線通信的同一信道("服務(wù)"信道)或者其他信道("非服務(wù)"信 道)上發(fā)生�。對(duì)于非服務(wù)信道��, 一般使用主動(dòng)掃描��。
根據(jù)欺詐檢測(cè)發(fā)明的一個(gè)變體����,WLAN管理器103接收來(lái)自受管理 AP的關(guān)于在該受管理AP處接收到的信標(biāo)或探查響應(yīng)的任何發(fā)送的報(bào)告, 包括潛在的欺詐AP發(fā)送的那些�。根據(jù)欺詐檢測(cè)發(fā)明的另一個(gè)變體, WLAN管理器103接收來(lái)自受管理AP的關(guān)于在該受管理AP的一個(gè)或多 個(gè)客戶端處接收到的信標(biāo)或探查響應(yīng)的任何發(fā)送的報(bào)告��,包括潛在的欺詐 AP發(fā)送的那些����。WLAN管理器103接收來(lái)自其受管理AP的報(bào)告,并且利 用這些報(bào)告例如通過(guò)查找WLAN數(shù)據(jù)庫(kù)來(lái)確定該潛在的欺詐臺(tái)站是否可 能是欺詐臺(tái)站��。在一個(gè)版本中�����,該分析包括確認(rèn)發(fā)送了信標(biāo)或探查響應(yīng)的 AP的MAC地址是否與AP數(shù)據(jù)庫(kù)中的AP的MAC地址匹配,來(lái)確認(rèn)該 AP是潛在的欺詐AP�、或者受管理AP、或者友好AP����。欺詐AP的近似位 置(例如,精確到在例如建筑的樓層之類的感興趣區(qū)域內(nèi)或者甚至更精 細(xì))是根據(jù)關(guān)于接收信標(biāo)或探查響應(yīng)的受管理AP的位置的知識(shí)確定的����, 或者是根據(jù)關(guān)于接收信標(biāo)或者探查響應(yīng)的受管理客戶端的位置的推測(cè)知識(shí) 確定的。
在一個(gè)實(shí)施例中���,報(bào)告給AP管理器(或者對(duì)AP進(jìn)行分類的其他實(shí) 體)的信息對(duì)于每個(gè)檢測(cè)到的AP包括關(guān)于該檢測(cè)的信息��、關(guān)于信標(biāo)/探査 響應(yīng)的內(nèi)容的信息或者從信標(biāo)/探査響應(yīng)的內(nèi)容獲得的信息���。檢測(cè)信息包括 以下之一或者多種-
例如MAC地址形式的被檢測(cè)到的AP的BSSID。
在其上接收到來(lái)自AP的任何信標(biāo)或探查響應(yīng)的信道�。
接收臺(tái)站的MAC地址�����。
在接收方的PHY處檢測(cè)到的信標(biāo)/探查響應(yīng)的信號(hào)強(qiáng)度,例如 RSSI��。
在接收臺(tái)站的PHY處可獲得的接收到的信標(biāo)/探查響應(yīng)的接收信
號(hào)質(zhì)量的任何其他測(cè)量�����。
從其他AP接收到的信標(biāo)和探查響應(yīng)����。這可能有助于定位檢測(cè)臺(tái)
站。
所發(fā)送的信標(biāo)/探查響應(yīng)信息包括以下之一或多種 信標(biāo)或探査響應(yīng)中的SSID�����。
信標(biāo)時(shí)間(TSF時(shí)間)信息��。在一個(gè)實(shí)施例中����,這是以通過(guò)將
信標(biāo)/探查響應(yīng)中的時(shí)間戳與接收該響應(yīng)的受管理AP處的或者 接收該響應(yīng)的受管理客戶端處的TSF定時(shí)器進(jìn)行比較所確定的 TSF偏移的形式發(fā)送的。
在接收到的信標(biāo)/探査響應(yīng)中包括的配置參數(shù)�����。
注意���,這種信息中的一些超出了正EE 802.11h 2003年6月所建議的����。 還要注意,盡管IEEE 802.11標(biāo)準(zhǔn)指定在物理層(PHY)處確定相對(duì)RSSI 的值�����,但是本發(fā)明的一個(gè)方面利用了下述事實(shí)許多調(diào)制解調(diào)器頻率器件 包括提供相對(duì)準(zhǔn)確的絕對(duì)RSSI測(cè)量的PHY��。因此�����,這些報(bào)告包括在接收 方的PHY處檢測(cè)到的接收到的信標(biāo)/探査響應(yīng)的RSSI���。在一個(gè)實(shí)施例中����, 在PHY處檢測(cè)到的RSSI被用來(lái)根據(jù)路徑損耗確定位置信息����。
在WLAN管理器103處接收到的信息的一部分是在接收來(lái)自潛在的 欺詐AP的信標(biāo)或探查響應(yīng)的臺(tái)站處的RSSI。這些接收到的信號(hào)強(qiáng)度或者 更具體地說(shuō)AP之間的路徑損耗根據(jù)我們的欺詐檢測(cè)發(fā)明的一個(gè)方面被用 來(lái)提供路徑損耗圖���,然后進(jìn)一步定位潛在的欺詐AP����。
用于確定其發(fā)送功率未知的潛在的欺詐AP的位置的方法的一個(gè)實(shí)施 例通過(guò)顯示一組發(fā)送功率的可能性輪廓來(lái)確定可能的位置���,例如�,作為位 置的函數(shù)的可能性����。該組發(fā)送功率包括可能的發(fā)送功率。
圖3示出了該方法的基本步驟�。在步驟303中,WLAN管理器103對(duì) 包括關(guān)于其管理的AP的信息的AP數(shù)據(jù)庫(kù)進(jìn)行維護(hù)���。AP數(shù)據(jù)庫(kù)還包括關(guān) 于受管理AP的信息�,以及關(guān)于在受管理網(wǎng)絡(luò)附近的己知AP或受管理AP 的客戶端(或受管理客戶端)已知的AP的信息��,和已知不會(huì)對(duì)受管理無(wú) 線網(wǎng)絡(luò)帶來(lái)問(wèn)題(例如��,干擾)的AP的信息�����。這些AP被稱作友好AP。 友好AP的一個(gè)示例是咖啡店里的AP����,在咖啡店中,企業(yè)雇員通常利用作 為受管理客戶端并且被與友好AP相關(guān)聯(lián)的計(jì)算機(jī)進(jìn)行工作����。AP數(shù)據(jù)庫(kù)還 包括關(guān)于欺詐AP的信息。在一個(gè)實(shí)施例中���,AP數(shù)據(jù)庫(kù)在配置數(shù)據(jù)庫(kù)中�����,
并且不定期地被自動(dòng)更新��。
AP數(shù)據(jù)庫(kù)中存儲(chǔ)的關(guān)于AP的信息包括來(lái)自這樣的AP的任何信標(biāo)或
者探査響應(yīng)幀的信息����,以及關(guān)于該AP的任何802.11信息�。在一個(gè)實(shí)施例 中,802.11信息包括最大功率���、頻率和其他802.11參數(shù)��。在一些實(shí)施例 中��,信息還可以包括位置信息��。在一些實(shí)施例中�,每個(gè)AP的信息可能還 包括其他字段�,例如,用于無(wú)線網(wǎng)絡(luò)管理的其他方面的字段��。例如�,在受 管理網(wǎng)絡(luò)中,可能是AP的無(wú)線電設(shè)置被管理�����,并且從而WLAN管理器 103 了解該AP的無(wú)線電設(shè)置�。也可以知道AP的位置。
本發(fā)明的一個(gè)方面將從信標(biāo)或探査響應(yīng)的掃描獲得的信息與AP數(shù)據(jù) 庫(kù)中的信息相比較���。該比較是關(guān)于來(lái)自受管理AP的信息的����,并且在一個(gè) 實(shí)施例中�����,是關(guān)于來(lái)自受管理的AP的客戶端的信息的。該信息是關(guān)于從 潛在的欺詐AP接收到的信標(biāo)或探查響應(yīng)的�����,同時(shí)AP數(shù)據(jù)庫(kù)中存儲(chǔ)的信 息是關(guān)于受管理AP�����、友好AP����、以及已知或可疑的欺詐AP的。
在一個(gè)實(shí)施例中���,對(duì)AP數(shù)據(jù)庫(kù)進(jìn)行維護(hù)包括不定期地更新AP數(shù)據(jù) 庫(kù)中的信息�。該更新是例如無(wú)論何時(shí)只要獲得了關(guān)于潛在的欺詐AP的新 信息或者無(wú)論何時(shí)只要AP配置被改變就自動(dòng)執(zhí)行���。
因此��,在步驟305中�,WLAN管理器103將一個(gè)或多個(gè)請(qǐng)求發(fā)送到一 個(gè)或多個(gè)受管理AP來(lái)實(shí)現(xiàn)掃描�����。在一個(gè)實(shí)施例中,由AP執(zhí)行的掃描是 被動(dòng)掃描�。在另一個(gè)實(shí)施例中,由AP執(zhí)行的掃描是對(duì)其中潛在的欺詐AP 可能正進(jìn)行發(fā)送的一條或多條信道的主動(dòng)掃描�。因?yàn)槠墼pAP可能在任何 受管理AP的無(wú)線電范圍之外,但是仍在受管理AP的一個(gè)或多個(gè)客戶端 的范圍中�,因此在一個(gè)實(shí)施例中�����,對(duì)受管理AP的請(qǐng)求包括請(qǐng)求這種AP 客戶端執(zhí)行掃描的指示�����。在一個(gè)實(shí)施例中�����,由受管理客戶端執(zhí)行的掃描是 被動(dòng)掃描�����。在另一個(gè)實(shí)施例中�����,由受管理客戶端執(zhí)行的掃描是對(duì)其中潛在 的欺詐AP可能正在進(jìn)行發(fā)送的一條或多條信道的主動(dòng)掃描。
作為這種請(qǐng)求的結(jié)果�,在步驟307中,WLAN管理器103接收來(lái)自 AP和它們的客戶端的關(guān)于在AP和/或客戶端的掃描中接收到的任何信標(biāo) 和探查響應(yīng)的報(bào)告�。
在步驟309中,WLAN管理器103對(duì)在接收到的報(bào)告中獲得的關(guān)于發(fā)
送了這些接收到的信標(biāo)或探查響應(yīng)的AP的信息進(jìn)行分析���,這種分析包括
與AP數(shù)據(jù)庫(kù)中的信息相比較����。步驟309用于確定發(fā)送AP是否在AP數(shù)據(jù) 庫(kù)中��。發(fā)送了響應(yīng)的AP的MAC地址(BSSID)被用來(lái)在AP數(shù)據(jù)庫(kù)中搜 索匹配�。在一個(gè)實(shí)施例中,該分析包括將信標(biāo)/探査響應(yīng)中的配置信息與 AP數(shù)據(jù)庫(kù)中存儲(chǔ)的關(guān)于受管理AP的配置的信息相比較����。在一個(gè)實(shí)施例 中,該分析還包括利用定時(shí)信息�����。在一個(gè)實(shí)施例中,該分析還包括使用受 管理AP的已知位置信息和定時(shí)信息來(lái)確定潛在的欺詐AP的大約位置���, 以便進(jìn)一步確認(rèn)該AP是否可能是欺詐AP����。步驟309中的分析的結(jié)果包括 將每個(gè)AP分類成友好AP或者潛在的欺詐AP�。
一個(gè)實(shí)施例還包括步驟311,該步驟試圖定位接收信標(biāo)和/或探查響應(yīng) 的接收臺(tái)站���,以便嘗試定位(一個(gè)或多個(gè))潛在的欺詐AP來(lái)進(jìn)一步確認(rèn) 該AP是否可能是欺詐AP����。 一種定位方法利用在接收信標(biāo)/探査響應(yīng)的臺(tái) 站處的RSSI����,以及向/從在已知位置處的受管理臺(tái)站提供各個(gè)位置處的路 徑損耗的環(huán)境的經(jīng)校準(zhǔn)路徑損耗模型��。 一種這樣的方法在題為 "RADIOLOCATION USING PATH LOSS DATA"的美國(guó)專利申請(qǐng)No. 10/629,384中有所描述��,該申請(qǐng)的發(fā)明人為Kaiser等���,案巻號(hào)/文獻(xiàn)號(hào)為 CISCO-7391�,該申請(qǐng)被轉(zhuǎn)讓給本發(fā)明的受讓人,并且通過(guò)引用被結(jié)合于 此��。
一個(gè)實(shí)施例還包括步驟313���,該步驟將分析結(jié)果與一種或多種補(bǔ)充欺 詐AP檢測(cè)技術(shù)的結(jié)果組合�。 一種這樣的補(bǔ)充技術(shù)包括客戶端向服務(wù)AP 報(bào)告失敗的與AP的先前的認(rèn)證嘗試���,例如��,包括利用其MAC地址標(biāo)識(shí) 出可疑的AP�。 一種實(shí)現(xiàn)方式利用基于IEEE 802.il安全性系統(tǒng)的IEEE 802.1X,客戶端和AP根據(jù)IEEE 802.1X被置于認(rèn)證服務(wù)器數(shù)據(jù)庫(kù)中�。在 客戶端認(rèn)證時(shí),會(huì)話密鑰被分別遞送到客戶端和接入點(diǎn)����。客戶端在其己利 用認(rèn)證服務(wù)器認(rèn)證之后不能使用該會(huì)話密鑰時(shí)檢測(cè)到失敗的認(rèn)證����。客戶端 最終與另一個(gè)當(dāng)前的受管理AP相關(guān)聯(lián)���,并且經(jīng)由該受管理AP向WLAN 管理器103報(bào)告潛在的欺詐AP����。這種補(bǔ)充方法在2001年7月27日提交的 題為"ROGUE AP DETECTIONI"的未決美國(guó)專利申請(qǐng)S/N 09/917,122中 有所描述,該申請(qǐng)的發(fā)明人為Halasz等�����,該申請(qǐng)被轉(zhuǎn)讓給本發(fā)明的受讓
人���,并且通過(guò)引用被結(jié)合于此��。
利用無(wú)線電定位�����,無(wú)線網(wǎng)絡(luò)管理員(負(fù)責(zé)WLAN管理的IT人員��;
WLAN管理器103的用戶)可以嘗試物理定位AP����。在定位了該AP之 后��,管理員可以將該AP分類成欺詐的��、受管理的或者友好的��,然后利用 關(guān)于該AP的信息更新WLAN數(shù)據(jù)庫(kù)�,所述信息包括其被分類成欺詐的、 受管理的或友好的��。如果是欺詐AP�,則網(wǎng)絡(luò)管理員可以發(fā)出報(bào)警。
在一個(gè)實(shí)施例中��,用來(lái)確定AP是友好的還是欺詐的的標(biāo)準(zhǔn)的集合由 無(wú)線網(wǎng)絡(luò)管理員設(shè)置��,并且被存儲(chǔ)在配置數(shù)據(jù)庫(kù)中�。
在分類時(shí)也可以使用補(bǔ)充技術(shù),來(lái)進(jìn)一步評(píng)估檢測(cè)出的潛在的欺詐 AP實(shí)際上是欺詐AP的概率����。
作為用于定位可疑欺詐AP的補(bǔ)充技術(shù)的一個(gè)示例,該方法可以包括 確定可疑AP被連接到的交換機(jī)端口��。定位可疑欺詐AP被連接到的交換 機(jī)端口的方法是已知的����。例如,基于相關(guān)的方案是已知的�����,該方案包括將 (潛在的)欺詐AP的有線側(cè)的MAC地址與IEEE 802.11 MAC地址相 關(guān)。 一旦這些MAC地址被相關(guān)�����,則然后可以搜索邊沿交換機(jī)來(lái)定位MAC 地址�����。MAC地址也可以從與潛在的欺詐AP相關(guān)聯(lián)的客戶端臺(tái)站捕獲����,并 且這種捕獲地址也可以被用來(lái)搜索邊沿交換機(jī)以定位AP。
基于相關(guān)的方法和類似的方法存在一些缺點(diǎn)����,并且在不包括網(wǎng)絡(luò)地址 翻譯(NAT)功能時(shí)通常不能工作。
2005年3月3日提交的發(fā)明人為Olson等人的美國(guó)專利申請(qǐng)No. 11/073,317描述了可以被用于成功地定位交換機(jī)端口的技術(shù)�����,該申請(qǐng)題為 METHOD AND APPARATUS FOR LOCATING ROGUE ACCESS POINT SWITCH PORTS IN A WIRELESS NETWORK RELATED PATENT APPLICATINOS,案巻號(hào)/文獻(xiàn)號(hào)為No. CISCO-9772,該申請(qǐng)被轉(zhuǎn)讓給本 發(fā)明的受讓人��,并且通過(guò)引用結(jié)合于此��。 一個(gè)版本包括與潛在的欺詐AP 相關(guān)聯(lián)的專門的客戶端作為客戶端���,并且通過(guò)該(潛在的)欺詐AP向 WLAN管理器103發(fā)送發(fā)現(xiàn)分組��。如果接收到發(fā)現(xiàn)分組�,則欺詐AP然后 被連接到網(wǎng)絡(luò)����,并且其交換機(jī)端口然后可以被定位。美國(guó)專利申請(qǐng)No. 11/073,317還包括用于如果必要的化禁用欺詐AP的交換機(jī)端口的方法�。
圖4示出了本發(fā)明一個(gè)方面的方法實(shí)施例400的流程圖。該方法包
括��,在403中����,維護(hù)被分類成例如包括受管理AP、友好AP和(潛在的) 欺詐AP的一組分類的AP的數(shù)據(jù)庫(kù)���。該方法包括�����,在405中���,不定期地 對(duì)無(wú)線網(wǎng)絡(luò)的由至少一個(gè)已分類的接入點(diǎn)構(gòu)成的集合中的每個(gè)接入點(diǎn)的至 少一種屬性的第一集合進(jìn)行測(cè)量���。該方法還包括,在407中�,基于由接入 點(diǎn)的至少一種屬性構(gòu)成的第二集合的至少一個(gè)函數(shù),對(duì)每個(gè)接入點(diǎn)重新分 類����,該屬性的第二集合包括屬性的第一集合。
具體而言�����,重分類由指示接入點(diǎn)的屬性的第二集合中的改變的至少一 個(gè)函數(shù)觸發(fā)����。
因此,本發(fā)明的一個(gè)方面對(duì)已分類的AP動(dòng)態(tài)地重分類��,例如����,分類 成受管理WLAN系統(tǒng)中的所有接入點(diǎn)(例如,AP數(shù)據(jù)庫(kù)中的AP)中的 受管理AP�、友好AP、或者欺詐AP之一。具體而言����,本發(fā)明的一個(gè)方面 基于檢測(cè)到接入點(diǎn)的一種或多種屬性的函數(shù)的改變��,實(shí)時(shí)地對(duì)接入點(diǎn)動(dòng)態(tài) 重分類�。
在一個(gè)版本中,重分類是根據(jù)作為WLAN管理器103中的參數(shù)的時(shí) 間調(diào)度設(shè)置的�����。在另一版本中���,重分類是由檢測(cè)到接入點(diǎn)的以下屬性中的 至少一種的顯著改變而被觸發(fā)的�。在特定版本中�,當(dāng)以下屬性中的多于一 種改變時(shí),觸發(fā)重分類的這種改變的量被設(shè)置為比在僅以下設(shè)置中的一種 屬性改變時(shí)觸發(fā)所需的小���。此外��,在又一個(gè)版本中�����,重分類根據(jù)可設(shè)置的 時(shí)間調(diào)度發(fā)生����,并且進(jìn)一步由于檢測(cè)到接入點(diǎn)的以下屬性中的至少一種的 顯著改變而發(fā)生。
在一個(gè)實(shí)施例中��,對(duì)于特定AP�����,觸發(fā)重分類的屬性如下 1.檢測(cè)到在特定AP處從其他鄰近AP接收到的分組的RSSI的改 變��。在一個(gè)實(shí)施例中�����,AP數(shù)據(jù)庫(kù)存儲(chǔ)到該AP數(shù)據(jù)庫(kù)中的其他AP的 RSSI�。假設(shè)在AP數(shù)據(jù)庫(kù)中存在N個(gè)已知的AP,并且假設(shè)特定AP是第k 個(gè)AP�����, 1《kSN���。用RSSIk���,j(t)表示在由t表示的當(dāng)前時(shí)刻處在第k個(gè)AP處 從第i個(gè)AP接收到的RSSI�,其中fc^i�����, lSk,&N��。在一個(gè)實(shí)施例中����,檢測(cè) 到RSSI的表示為fk,Rss!(RSSIk,!(t),…����,RSSIk,N(t))的函數(shù)的比表示為 ThreshkR細(xì)的量大的改變�����。即���,如果�����, 對(duì)于任意的k ����, 1《k《N, Afk��,R細(xì)(RSSIk山…����,RSSIk,N)》Threshk,RSSI�����, 其中Afk�����,Rss尸fk,Rss!(RSSIk,i(t),…����,RSSIk,N(t))-fk,R細(xì)(RSSIk,!(t-At)���,…��,RSSIk,N(t-△t))��,則事件被觸發(fā)����。
在一個(gè)實(shí)施例中,t-At是最近一次利用RSSI進(jìn)行評(píng)估的時(shí)間����。 在另一個(gè)實(shí)施例中,AP數(shù)據(jù)庫(kù)存儲(chǔ)從已知AP到特定AP的路徑損 耗�����。在此情況下����,再次假設(shè)在AP數(shù)據(jù)庫(kù)中存在N個(gè)已知的AP���,并且假 設(shè)特定AP是第k個(gè)AP��, 1SkSN����。用PLk,i(t)表示從第i個(gè)AP到第k個(gè)AP 的路徑損耗,其中k^i�, lSk,i^N。在一個(gè)實(shí)施例中��,檢測(cè)到從表示為t-At 的前一時(shí)間起到表示為t的當(dāng)前時(shí)刻處�,路徑損耗的表示為 fk,PL(PLk,"t),...,PLk��,N(t))的函數(shù)的比表示為Threshk,PL量大的改變���。艮卩��,如 果�����,
對(duì)于任意的k �����, 1《k《N���, Afk,PL(PLk山…,PLk,N)》Threshk,PL,其中
△fk,PL= fk,PL(PLw(t),…,PLk,N(t))-fk,PL(PLk�,!(t-At)�,…,PLk,N(t-At》��,則事件被觸發(fā)��。
在一個(gè)實(shí)施例中���,t-At是最近一次利用路徑損耗進(jìn)行評(píng)估的時(shí)間���。
2.在受管理接入點(diǎn)的情形中,可以使用對(duì)新的或不同的配置設(shè)置 (例如在計(jì)劃參數(shù)的值中表示的)的檢測(cè)�。在受管理網(wǎng)絡(luò)中,WLAN管理 器103針對(duì)每個(gè)受管理接入點(diǎn)確定一組無(wú)線電計(jì)劃參數(shù)���,包括作為RF計(jì) 劃的一部分的AP的工作信道和發(fā)送功率設(shè)置。還可以包括其他參數(shù)��,例 如���,天線增益設(shè)置����,數(shù)據(jù)速率等�����。例如,在WLAN管理器運(yùn)行IOS (Cisco Systems, Inc., San Jose����, CA)的實(shí)施例中,特定受管理AP的 IOS行命令show running-config提供了該AP的當(dāng)前配置設(shè)置的列表����。
假設(shè)對(duì)于特定AP存在np個(gè)計(jì)劃參數(shù),并且還假設(shè)該特定AP是第k 個(gè)AP���, 1SkSN����。用Pk,i(t)表示在時(shí)刻t處的第i個(gè)參數(shù)�����,lS"np���。在一個(gè)實(shí) 施例中��,表示為Threshp,k的閾值被與從較早的At之前的時(shí)刻的值到時(shí)刻t 的參數(shù)的表示為fk���,P(Pw(t),…,Pk����,np(t))的函數(shù)的改變相比較�����。即��,如果���,
對(duì)于任意的k �����, 1《k《N�, Afk,p(Pk山…�,Pk,np) 2 Threshk,p,其中Afk,P= fk���,p(Pk,i (t),... ,Pk,np(t))-fk,p(Pkit-At),…,Pk,np(t-At)),則事件被觸發(fā)���。
在一個(gè)實(shí)施例中����,t-At是最近一次利用參數(shù)進(jìn)行評(píng)估的時(shí)間����。
參見(jiàn)上面針對(duì)這里所用的一些參數(shù)的欺詐接入點(diǎn)確定的討論。
3. 諸如發(fā)送定時(shí)或者數(shù)據(jù)路徑損耗之類的RF參數(shù)/行為可以被用來(lái) 觸發(fā)事件��。參見(jiàn)上面針對(duì)路徑損耗改變的討論。類似地,函數(shù)和閾值改變
可以被設(shè)計(jì)來(lái)觸發(fā)作為來(lái)自鄰近AP的發(fā)送定時(shí)的函數(shù)的重分類�。例如���, 參見(jiàn)2004年3月18日提交的共同轉(zhuǎn)讓美國(guó)專利申請(qǐng)No. 10/803,367,該申 請(qǐng)發(fā)明人為Crawford等����,題為RADIOLOCATION IN A WIRELESS NETWORK USING TIME DIFFERENCE OF ARRIVAL,該發(fā)明描述了一 種接入點(diǎn),該接入點(diǎn)包括用于確定從鄰近接入點(diǎn)到達(dá)該接入點(diǎn)的時(shí)間的方 法����。美國(guó)專利申請(qǐng)No. 10/803,367的內(nèi)容通過(guò)引用結(jié)合于此���。
再次假設(shè)在AP數(shù)據(jù)庫(kù)中存在N個(gè)己知的AP,并且假設(shè)特定AP是第 k個(gè)AP, 1Sk2N。用Tk,i(t)表示在表示為t的某一時(shí)刻從第i個(gè)AP到第k 個(gè)AP的發(fā)送時(shí)刻����,k#i�, lSk,KN,并且考慮從較早時(shí)刻(t-At)的改變�。 在一個(gè)實(shí)施例中,檢測(cè)出發(fā)送時(shí)間的表示為fk,T(Tk,Kt),…�,T^(t))的函數(shù)的 比表示為Threshk,T的量大的改變����。注意,如果�����,
對(duì)于任意的k �, 1《k《N, Afk���,T(Tw�,..., Tk,N)》Threshk,T �����,其中 Afk,T(Tk��,b…,Tk����,N"fk,T(Tw(t),…,Tk,N(t)Kk,T(Tk乂t-At),…,Tk,N(t-At))����,則事件被 觸發(fā)。
在一種實(shí)施例中��,t-At是最近一次利用發(fā)送時(shí)間進(jìn)行評(píng)估的時(shí)間���。
4. 檢測(cè)新的網(wǎng)絡(luò)地址改變或者AP的數(shù)據(jù)幀的改變可以觸發(fā)事件�����。
5. 已知諸如WLAN管理器103之類的WLAN管理器中的網(wǎng)絡(luò)管理軟 件包括用于發(fā)現(xiàn)接入點(diǎn)的有線發(fā)現(xiàn)方法���。例如��,己知利用Cisco發(fā)現(xiàn)協(xié)議
(來(lái)自Cisco Systems, Inc., San Jose, California的"CDP")的"線內(nèi) (in the wire)"檢測(cè)和其他有線側(cè)發(fā)現(xiàn)方法����。 一般而言, 一種或多種協(xié)議 被用來(lái)檢測(cè)LAN中連接的設(shè)備��,包括SNMP�、 Telnet��、 Cisco發(fā)現(xiàn)協(xié)議 (Cisco Systems, Inc., San Jose����, California),等等����。有線側(cè)發(fā)現(xiàn)方法的 組合非常可靠��,并且證明其可以檢測(cè)出WLAN中任何位置處的AP����,而不 管其物理位置���。重分類可以在新AO這樣被發(fā)現(xiàn)時(shí)發(fā)生。
6. 在AP先前位于已知位置的情形中檢測(cè)顯著位置改變可以觸發(fā)重分 類�。許多WLAN管理器,例如�����,WLAN管理器103包括基于一種或多種
方法的位置確定方法�����。例如�����,參見(jiàn)上述題為"RADIOLOCATION USING A PATH LOSS DATA"的美國(guó)專利申請(qǐng)No. 10/629,384��,該申請(qǐng)公開(kāi)了一 種利用路徑損耗的方法���。還參見(jiàn)上述題為RADIOLOCATION IN A WIRELESS NETWORK USING TIME DIFFERENCE OF ARRIVAL的美國(guó) 專利申請(qǐng)No. 10/803,367�����。
再次假設(shè)在AP數(shù)據(jù)庫(kù)中存在N個(gè)己知的AP��,并且假設(shè)特定AP是第 k個(gè)AP���, 1S1^N����。用Xk(t)表示在時(shí)刻t處所確定的第k askSN)個(gè)AP的 位置����,并且考慮從較早時(shí)間(t-At)的改變,在一個(gè)實(shí)施例中��,檢測(cè)出表 示為fk���,x(Xk)的(一個(gè)或多個(gè))位置的函數(shù)比表示為Threshk,x的量大的改 變���。即����,如果,
對(duì)于任意的k��, 1《k《N, Mk,x(Xk) ^Threshk���,x�����,其中Afk,x(Xk) 二 fk,X(Xk(t))-fk,x(Xk(t-At))�,則事件被觸發(fā)�����。
在替換實(shí)施例中�����,位置改變被結(jié)合到包括這種設(shè)施的那些AP中的路 徑損耗和/或發(fā)送時(shí)間的函數(shù)中�����。
在替換實(shí)施例中�����,不是函數(shù)改變被檢測(cè)到,而是特定值的改變的函數(shù) 被檢測(cè)到��。例如���,在位置的情形中��,再次用X"t)表示在時(shí)刻t處所確定的 第k個(gè)AP的位置�,1《k《N����,并且考慮從較早的時(shí)間(t-At)的改變。在 一個(gè)實(shí)施例中�����,位置改變的函數(shù)被估計(jì)�����。由AX"t)表示從時(shí)刻t-At到ti的 改變��,例如���,AXk(t)=Xk(t)-Xk(t-At)。考慮函數(shù)Fk,x(AXk(t))����,并且令Thrk,x
為閾值。貝IJ�����,如果����,
對(duì)于任意的k, 1《k《N���, Fk,x(AXk)^rhrk,x��,則事件被觸發(fā)�。
注意���, 一些檢測(cè)標(biāo)準(zhǔn)是可以被配置來(lái)實(shí)時(shí)發(fā)生的測(cè)量值�,例如�����,在一 些配置中是位置改變,而其他可以在調(diào)度的時(shí)間發(fā)生�,例如,AP有線網(wǎng) 絡(luò)位置和地址的"線內(nèi)"重發(fā)現(xiàn)����。在一種實(shí)施例中,重分類既利用實(shí)時(shí)變 化參數(shù)實(shí)時(shí)發(fā)生也可以按照調(diào)度時(shí)間在調(diào)度估計(jì)之后發(fā)生��。
為了有助于減少這種方法可能存在的錯(cuò)誤確定的程度�����,本發(fā)明還利用 AP分類的匯聚"信任水平"����。因此,對(duì)于Nc個(gè)標(biāo)準(zhǔn)(其中每一個(gè)都是根 據(jù)對(duì)于標(biāo)準(zhǔn)Cj (1《j《Nc)表示為fkj()的各個(gè)函數(shù)的改變(該改變表示為 △fkj())所確定的)�����,對(duì)于一組N個(gè)AP中的第k個(gè)AP (1《k《N)的匯
27
聚信任水平Qk����,該匯聚信任水平是函數(shù)
其中,akij�, 1^^Nc表示對(duì)于對(duì)重分類觸發(fā)作出貢獻(xiàn)的第k個(gè)接入 點(diǎn),用于每個(gè)獨(dú)立的基于參數(shù)的函數(shù)的加權(quán)值�����。ak,j���, l^^Nc, 1《k^N包括 使fkj()函數(shù)具有相同比例和單位所要求的任何縮放����。表示為Threshk"的 閾值是針對(duì)第k個(gè)AP定義的�,并且因此在一個(gè)實(shí)施例中,對(duì)于一組N個(gè) AP中的第k個(gè)AP����, lSk^N,如果�,
對(duì)于任意的k, 1《k《N�����,込=fx,K)277^《e ��,則重分類被觸發(fā)�����。
這種加權(quán)方法通過(guò)改變加權(quán)方案,例如�,對(duì)于被分類/發(fā)現(xiàn)/重分類為 可能的欺詐AP的AP (即,對(duì)于k的多個(gè)值)隨時(shí)間改變c^�, 1《《NC, 的值�,從而可以降低"錯(cuò)誤確定"的可能性。即�,用來(lái)確定匯聚信任水平 的加權(quán)值取決于接入點(diǎn)的最近分類。這種重分類被用戶執(zhí)行為友好的�����,即 使在生成調(diào)整的新條件下也如此。即, 一些自校正方面被內(nèi)建到動(dòng)態(tài)分類 中���,使得不同的測(cè)量值可以針對(duì)在AP分類中它們的預(yù)測(cè)的成功率而被加 權(quán)。
應(yīng)當(dāng)理解,盡管在IEEE 802.il標(biāo)準(zhǔn)的上下文中描述了本發(fā)明��,但是 本發(fā)明不限于這種上下文��,并且可以被用在各種其他應(yīng)用和系統(tǒng)中���,例如 在遵循其他標(biāo)準(zhǔn)并且用于其他應(yīng)用的其他無(wú)線網(wǎng)絡(luò)中����,包括例如其他 WLAN標(biāo)準(zhǔn)和其他無(wú)線網(wǎng)絡(luò)標(biāo)準(zhǔn)�?����?梢园膽?yīng)用包括IEEE 802.11無(wú)線 LAN和鏈路����、無(wú)線以太網(wǎng)、HIPERLAN2�����、歐洲技術(shù)標(biāo)準(zhǔn)協(xié)會(huì)(ETSI)寬 帶無(wú)線接入網(wǎng)(BRAN)��、以及多媒體移動(dòng)接入通信(MMAC)系統(tǒng)����、無(wú) 線局域網(wǎng)、本地多點(diǎn)分布式服務(wù)(LMDS) IF帶����、無(wú)線數(shù)字視頻���、無(wú)線 USB鏈路、無(wú)線IEEE 1394鏈路���、TDMA分組頻率器件�、低成本點(diǎn)對(duì)點(diǎn)鏈 路����、語(yǔ)音IP便攜式"蜂窩電話"(無(wú)線因特網(wǎng)電話),等等�。
這里所述的方法在一個(gè)實(shí)施例中可由包括一個(gè)或多個(gè)處理器的機(jī)器執(zhí) 行,所述處理器接受包含指令的代碼段�。對(duì)于這里所述的任意方法,在指 令被該機(jī)器執(zhí)行時(shí)�,該機(jī)器執(zhí)行該方法。能夠執(zhí)行指定要由機(jī)器執(zhí)行的動(dòng) 作的一組指令(順序的或者其他)的任何機(jī)器都被包括進(jìn)來(lái)�����。因此����, 一種典型的機(jī)器可由包括一個(gè)或多個(gè)處理器的典型的處理系統(tǒng)簡(jiǎn)化。每個(gè)處理 器可以包括CPU、圖形處理單元和可編程DSP單元中的一個(gè)或多個(gè)���。處
理系統(tǒng)還可以包括存儲(chǔ)器子系統(tǒng)���,存儲(chǔ)器子系統(tǒng)包括主RAM和/或靜態(tài) RAM和/或ROM。還可以包括用于在組件之間通信的總線子系統(tǒng)��。如果處 理系統(tǒng)要求顯示器����,則可以包括這種顯示器���,例如�,液晶顯示器(LCD) 或陰極射線管(CRT)顯示器��。如果要求手工數(shù)據(jù)輸入���,則處理系統(tǒng)也可 以包括輸入設(shè)備���,例如,諸如鍵盤之類的字母數(shù)字輸入單元���、諸如鼠標(biāo)之 類的點(diǎn)選控制設(shè)備等等中的一種或多種�。這里所使用的術(shù)語(yǔ)存儲(chǔ)器單元也 包括諸如盤驅(qū)動(dòng)單元之類的存儲(chǔ)系統(tǒng)。在某些配置中���,處理系統(tǒng)可以包括 聲音輸出設(shè)備�,以及網(wǎng)絡(luò)接口設(shè)備�����。存儲(chǔ)器子系統(tǒng)因此包括載波介質(zhì)����,載 波介質(zhì)承載包括用于在由處理系統(tǒng)執(zhí)行時(shí)執(zhí)行這里所述的方法中的一個(gè)或 多個(gè)的指令的機(jī)器可讀代碼段(例如,軟件)����。軟件可以存儲(chǔ)在硬盤中, 或者可以完全或至少部分存儲(chǔ)在RAM中和/或在計(jì)算機(jī)系統(tǒng)對(duì)其進(jìn)行執(zhí)行 時(shí)存儲(chǔ)在處理器中����。因此,存儲(chǔ)器和處理器也組成承載機(jī)器可讀代碼的載 波介質(zhì)��。
在替換實(shí)施例中�����,機(jī)器作為單獨(dú)的設(shè)備工作,或者可以被連接(例如 聯(lián)網(wǎng))到聯(lián)網(wǎng)布署的其他機(jī)器��,機(jī)器可以在服務(wù)器-客戶端臺(tái)站網(wǎng)絡(luò)環(huán)境中 作為服務(wù)器或者客戶端臺(tái)站工作��,或者作為對(duì)等或分布式網(wǎng)絡(luò)環(huán)境中的對(duì) 等機(jī)器工作�����。機(jī)器可以是個(gè)人計(jì)算機(jī)(PC)���、平板電腦����、機(jī)頂盒
(STB)�、個(gè)人數(shù)字助理(PDA)���、蜂窩電話����、web設(shè)備�、網(wǎng)絡(luò)路由器���、 交換機(jī)或網(wǎng)橋、或者能夠執(zhí)行一組指令(順序的或者其他的)的任何機(jī) 器��,其中所述指令指定要由該機(jī)器執(zhí)行的動(dòng)作�����。
注意��,盡管一些(個(gè))圖僅示出了單個(gè)處理器和存儲(chǔ)代碼的單個(gè)存儲(chǔ) 器�����,但是�,本領(lǐng)域技術(shù)人員將理解上述許多組件被包括在其中,盡管為了 避免模糊了創(chuàng)造性方面而未明確地示出或者描述�。例如,盡管僅示出了單 個(gè)機(jī)器�,但是術(shù)語(yǔ)"機(jī)器"還應(yīng)當(dāng)被理解為包括獨(dú)立或聯(lián)合執(zhí)行一組(或 者多組)指令來(lái)實(shí)現(xiàn)這里所述的方法中的任意一種或多種的機(jī)器的任何集 合。
因此�����,這里所述的方法中的每種的一個(gè)實(shí)施例處于在處理系統(tǒng)上執(zhí)行
的計(jì)算機(jī)程序的形式��,所述處理系統(tǒng)例如是作為接入點(diǎn)和/或WLAN管理
器的一個(gè)或多個(gè)處理器。因此�,本領(lǐng)域技術(shù)人員將理解,本發(fā)明的實(shí)施例 可以被實(shí)現(xiàn)為方法�、諸如專用裝置之類的裝置、諸如數(shù)據(jù)處理系統(tǒng)之類的 裝置��,或者載波介質(zhì)����,例如,計(jì)算機(jī)程序產(chǎn)品���。載波介質(zhì)承載用于控制處 理系統(tǒng)來(lái)實(shí)現(xiàn)方法的一段或多段計(jì)算機(jī)可讀代碼段�。因此�,本發(fā)明的多個(gè) 方面可以采用以下形式方法、完全硬件實(shí)施例���、完全軟件實(shí)施例,或者 組合了軟件和硬件方面的實(shí)施例���。此外��,本發(fā)明還可以采用承載在介質(zhì)中 實(shí)現(xiàn)的計(jì)算機(jī)可讀程序代碼段的載波介質(zhì)(例如����,計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)上 的計(jì)算機(jī)程序產(chǎn)品)的形式。
軟件還可以經(jīng)由網(wǎng)絡(luò)接口通過(guò)網(wǎng)絡(luò)被發(fā)送或接收��。盡管在示例性實(shí)施 例中載波介質(zhì)被示作單個(gè)介質(zhì)�,但是術(shù)語(yǔ)"載波介質(zhì)"應(yīng)當(dāng)被理解為包括 存儲(chǔ)一組或多組指令的單個(gè)介質(zhì)或多個(gè)介質(zhì)(例如,集中式或分布式數(shù)據(jù) 庫(kù)�����,和/或關(guān)聯(lián)緩存和服務(wù)器)�����。術(shù)語(yǔ)"載波介質(zhì)"還應(yīng)當(dāng)被理解為包括能 夠存儲(chǔ)�����、編碼或承載由機(jī)器執(zhí)行并且使該機(jī)器實(shí)現(xiàn)本發(fā)明的任意一種或多 種方法的一組指令���。載波介質(zhì)可以采用多種形式�����,包括但不限于非易失性 介質(zhì)����、易失性介質(zhì)和傳輸介質(zhì)。非易失性介質(zhì)包括例如光����、磁盤,以及磁 光盤����。易失性介質(zhì)包括動(dòng)態(tài)存儲(chǔ)器,例如����,主存儲(chǔ)器。傳輸介質(zhì)包括同軸 線纜��、銅纜和光纖�����,包括包含總線子系統(tǒng)在內(nèi)的線路��。傳輸介質(zhì)也可以采 用聲波或光波的形式�����,例如����,在無(wú)線電波和紅外數(shù)據(jù)通信期間生成的那 些。例如�,術(shù)語(yǔ)"載波介質(zhì)"因此應(yīng)當(dāng)被理解為包括但不限于固態(tài)存儲(chǔ) 器、光和磁介質(zhì)�,以及載波信號(hào)。
應(yīng)當(dāng)理解�,這里所討論的方法步驟在一個(gè)實(shí)施例中是由執(zhí)行存儲(chǔ)設(shè)備 中存儲(chǔ)的指令(代碼段)的處理(即����,計(jì)算機(jī))系統(tǒng)的合適的處理器(或 者多個(gè)處理器)執(zhí)行的。還應(yīng)當(dāng)理解��,本發(fā)明不限于任何具體的實(shí)現(xiàn)方式 或者編程技術(shù)�����,并且本發(fā)明可以用實(shí)現(xiàn)這里所述的功能的任何合適的技術(shù) 實(shí)現(xiàn)�。本發(fā)明不限于任何具體的編程語(yǔ)言或操作系統(tǒng)。
在整個(gè)說(shuō)明書(shū)中����,提到"一個(gè)實(shí)施例"或"實(shí)施例"意思是結(jié)合在本 發(fā)明的至少一個(gè)實(shí)施例中包括的實(shí)施例描述的特定特征�����、結(jié)構(gòu)或特性���。因 此,在整個(gè)說(shuō)明書(shū)中多個(gè)地方出現(xiàn)術(shù)語(yǔ)"在一個(gè)實(shí)施例中"或"在實(shí)施例
中"不一定全指同一個(gè)實(shí)施例����。此外,特定特征���、結(jié)構(gòu)或特性在一個(gè)或多 個(gè)實(shí)施例中可以以任何適當(dāng)?shù)姆绞奖唤M合��,本領(lǐng)域技術(shù)人員從本公開(kāi)將清 楚lt匕點(diǎn)���。
類似地,應(yīng)當(dāng)理解�,在上面對(duì)本發(fā)明的示例性實(shí)施例的描述中,本發(fā) 明的各種特征有時(shí)被一起分組到單個(gè)實(shí)施例�、附圖或者其描述中,以使公 開(kāi)流暢并且有助于對(duì)各個(gè)創(chuàng)造性方面中的一個(gè)或多個(gè)的理解�����。但是�,本公 開(kāi)的該方法不應(yīng)當(dāng)被解釋為反映出這樣的意圖所要求的發(fā)明要求比在每 項(xiàng)權(quán)利要求中明確引用的特征多的特征。相反���,如下面的權(quán)利要求書(shū)所反 映的�����,創(chuàng)造性方面在于比前面公開(kāi)的單個(gè)實(shí)施例的全部特征少的特征���。因 此,具體實(shí)施方式
之后的權(quán)利要求書(shū)因此而被明確地結(jié)合到具體實(shí)施方式
中��,其中每項(xiàng)權(quán)利要求自身作為本發(fā)明的一個(gè)獨(dú)立的實(shí)施例���。
此外�,盡管這里所述的一些實(shí)施例包括其他實(shí)施例中包括的一些特征 而不是其他特征�����,但是不同實(shí)施例的特征的組合也在本發(fā)明的范圍內(nèi)�����,并 且形成不同的實(shí)施例,本領(lǐng)域技術(shù)人員將理解這一點(diǎn)���。例如�����,在所附權(quán)利 要求書(shū)中��,所要求的實(shí)施例中的任意實(shí)施例可以以任何組合方式被使用�。
此外�, 一些實(shí)施例在這里被描述為可由計(jì)算機(jī)系統(tǒng)的處理器或者由實(shí) 現(xiàn)功能的其他裝置實(shí)現(xiàn)的方法或者方法的元素的組合。因此�����,利用必要的 指令用于實(shí)現(xiàn)這種方法或方法的元素的處理器形成用于實(shí)現(xiàn)該方法和方法 的元素的裝置�����。此外����,這里所述的裝置實(shí)施例的元素是用于實(shí)現(xiàn)由該元素 實(shí)現(xiàn)的用于實(shí)現(xiàn)本發(fā)明的功能的裝置的示例��。
這里所使用的"IEEE 802.11標(biāo)準(zhǔn)的變體"意思是IEEE 802.11標(biāo)準(zhǔn)的 變體或提議的變體�����。變體是在標(biāo)準(zhǔn)的語(yǔ)句或者對(duì)標(biāo)準(zhǔn)的提議修改中定義的 版本��。
注意,接入點(diǎn)在不同的上下文中也被稱作基站和小區(qū)臺(tái)�����。 這里所引用的所有公開(kāi)�����、專利和專利申請(qǐng)都通過(guò)引用從而被結(jié)合進(jìn)來(lái)��。
在所附權(quán)利要求書(shū)和這里的描述中�����,術(shù)語(yǔ)"包含"��、"組成"或者 "其包含"中的任意一個(gè)都是開(kāi)放式術(shù)語(yǔ)���,意思是至少包括所跟隨的元素 和/或特征中但是不排除其他�。因此,術(shù)語(yǔ)"包含"在權(quán)利要求中被使用時(shí)
不應(yīng)當(dāng)被解釋為對(duì)其后列出的裝置或元素或步驟的限制�����。例如�,語(yǔ)句"-
種設(shè)備包含A和B"的范圍不應(yīng)當(dāng)被限制為僅由元件A和B組成的設(shè)備。
這里所使用的術(shù)語(yǔ)"包括"或者"其包括"也是開(kāi)放式術(shù)語(yǔ)��,意思是至少 包括跟隨該術(shù)語(yǔ)的元素/特征�,但是不排除其他。因此���,包括是具有的同義 詞����,意思是包含�。
類似地,應(yīng)當(dāng)注意到�����,術(shù)語(yǔ)"耦合"在被用在權(quán)利要求中時(shí)不應(yīng)當(dāng)被
解釋為僅限于直接連接����。因此���,語(yǔ)句"設(shè)備A耦合到設(shè)備B"的范圍不應(yīng) 當(dāng)被限于其中設(shè)備A的輸出被直接連接到設(shè)備B的輸出的設(shè)備或系統(tǒng)。其 意思是在A的輸出和B的輸入之間存在一條路徑�����,該路徑可以是包括其他 設(shè)備或裝置的路徑�。
因此,盡管描述了本發(fā)明的優(yōu)選實(shí)施例���,但是本領(lǐng)域技術(shù)人員將汄識(shí) 到在不脫離本發(fā)明的精神的情況下,可以對(duì)其作出其他和進(jìn)一步的修改���, 并且是要要求落入本發(fā)明的范圍內(nèi)的所有這種改變和修改�。例如�,上面給 出的任何公式都僅是可以使用的過(guò)程的代表。功能可以被添加到框圖或者 從框圖刪除��,并且操作可以在功能塊之間互換��。步驟可以被添加到在本發(fā) 明的范圍內(nèi)描述的方法����,或者從這些方法刪除��。
權(quán)利要求
1.一種無(wú)線網(wǎng)絡(luò)中的方法����,該無(wú)線網(wǎng)絡(luò)包括至少一個(gè)接入點(diǎn)(“AP”)���,該方法包括不定期地對(duì)所述無(wú)線網(wǎng)絡(luò)中的至少一個(gè)已分類接入點(diǎn)的集合中的每個(gè)接入點(diǎn)的由至少一個(gè)屬性構(gòu)成的第一集合進(jìn)行測(cè)量�����;以及基于所述接入點(diǎn)的由至少一個(gè)屬性構(gòu)成的第二集合的至少一個(gè)函數(shù)對(duì)每個(gè)接入點(diǎn)進(jìn)行重分類��,屬性的第二集合包括屬性的第一集合�����,其中��,所述至少一個(gè)接入點(diǎn)的集合根據(jù)一組AP類別被分類�����,并且其中所述重分類是分類到所述AP類別之一中��。
2. 如權(quán)利要求1所述的方法��,其中���,所述重分類是由指示所述接入點(diǎn) 的屬性的第二集合中的一個(gè)或多個(gè)屬性的顯著改變的至少一個(gè)函數(shù)觸發(fā) 的�����。
3. 如權(quán)利要求2所述的方法�����,其中���,所述重分類是由指示所述接入點(diǎn) 的屬性的第二集合中的一個(gè)或多個(gè)屬性被改變了至少一個(gè)相應(yīng)的預(yù)設(shè)閾值 的顯著改變的至少一個(gè)函數(shù)觸發(fā)的���。
4. 如權(quán)利要求3所述的方法�,其中���,所述重分類是由所述接入點(diǎn)的屬 性的第二集合中的一個(gè)或多個(gè)屬性中的任意一個(gè)被改變了一個(gè)相應(yīng)的預(yù)設(shè) 閾值的改變觸發(fā)的��。
5. 如權(quán)利要求2到4中任意一個(gè)所述的方法��,其中��,其顯著改變觸發(fā) 了重分類的所述接入點(diǎn)的屬性的第二集合包括檢測(cè)到在特定AP處從其他鄰近AP接收到的分組的RSSI改變����; 在AP已被分類為受管理接入點(diǎn)的情形中,檢測(cè)到新的或不同的配置 設(shè)置���;檢測(cè)RF參數(shù)的顯著改變���,所述RF參數(shù)包括以下一個(gè)或多個(gè)去往或來(lái)自其他AP的發(fā)送定時(shí),以及去往或來(lái)自其他AP的路徑損耗�����; 檢測(cè)AP的新的網(wǎng)絡(luò)地址改變�; 檢測(cè)AP的數(shù)據(jù)成幀的顯著改變;以及 在AP先前位于己知位置的情形中檢測(cè)顯著的位置改變�。
6. 如前述權(quán)利要求中任意一個(gè)所述的方法,其中����,所述接入點(diǎn)的至少 一個(gè)屬性的第二集合的至少一個(gè)函數(shù)是時(shí)間,使得所述重分類是根據(jù)預(yù)設(shè) 的時(shí)間調(diào)度執(zhí)行的。
7. 如前述權(quán)利要求中任意一個(gè)所述的方法��,其中�,所述接入點(diǎn)的一個(gè) 或多個(gè)屬性的第一集合包括以下至少一個(gè)線內(nèi)無(wú)線臺(tái)站檢測(cè); 所述臺(tái)站的確定的位置��;在所述接入點(diǎn)處對(duì)來(lái)自其他AP的信號(hào)的無(wú)線電信號(hào)強(qiáng)度的測(cè)量值����;以及所述接入點(diǎn)的去往和/或來(lái)自所述無(wú)線網(wǎng)絡(luò)的一個(gè)或多個(gè)其他無(wú)線臺(tái)站 的確定的發(fā)送定時(shí)。
8. 如前述權(quán)利要求中任意一個(gè)所述的方法����,其中,所述無(wú)線網(wǎng)絡(luò)是受 管理的無(wú)線網(wǎng)絡(luò)�����,并且其中所述AP類別的集合包括受管理AP���、友好AP 和欺詐AP。
9. 如權(quán)利要求8所述的方法��,其中�,所述無(wú)線網(wǎng)絡(luò)的接入點(diǎn)的類別被 存儲(chǔ)在數(shù)據(jù)庫(kù)中,并且該數(shù)據(jù)庫(kù)在耦合到所述無(wú)線網(wǎng)絡(luò)的每個(gè)受管理AP 的無(wú)線管理器中被維護(hù)。
10. 如前述權(quán)利要求中任意一個(gè)所述的方法�,其中,所述無(wú)線網(wǎng)絡(luò)遵循801.11標(biāo)準(zhǔn)或者其變體之一���, 其中�,所述對(duì)AP執(zhí)行重分類是基于以下至少一個(gè)執(zhí)行的 該AP的BSSID; 在其上接收到來(lái)自該AP的任意信標(biāo)或探查響應(yīng)的信道���; 接收信標(biāo)或探查響應(yīng)的臺(tái)站的MAC地址��; 在接收臺(tái)站的物理層處檢測(cè)到的所述信標(biāo)或探查響應(yīng)的信號(hào)強(qiáng)度���; 在接收臺(tái)站的物理層處可獲得的接收到的信標(biāo)或探査響應(yīng)的接收信號(hào)質(zhì)量的任意其他測(cè)量值;和/或 從其他AP接收到的信標(biāo)和探査響應(yīng)���, 并且����,其中��,從AP接收到的信標(biāo)或探查響應(yīng)包括以下一個(gè)或多個(gè) 所述信標(biāo)或探査響應(yīng)中的SSID; 信標(biāo)時(shí)間(TSF定時(shí)器)信息����。在一個(gè)實(shí)施例中,這是以通過(guò) 將所述信標(biāo)/探査響應(yīng)中的時(shí)間戳與接收該響應(yīng)的受管理AP處 的或者接收該響應(yīng)的受管理客戶端處的TSF定時(shí)器進(jìn)行比較所 確定的TSF偏移的形式發(fā)送的;禾口/或 接收到的信標(biāo)/探查響應(yīng)中包括的配置參數(shù)�����。
11. 如前述權(quán)利要求中任意一個(gè)所述的方法�,還包括針對(duì)每個(gè)AP確定匯聚信任水平,這種信任水平是指示所述參數(shù)的第二集合中的一個(gè)或多個(gè)參數(shù)的改變的函數(shù)的加權(quán)和�。
12. 如權(quán)利要求ll所述的方法,其中�,所述加權(quán)被用來(lái)根據(jù)所述接入 點(diǎn)的最近類別來(lái)確定匯聚信任水平。
13. —種承載一段或者多段計(jì)算機(jī)可讀代碼段的載波介質(zhì)�,所述計(jì)算 機(jī)可讀代碼段指示處理系統(tǒng)的至少一個(gè)處理器執(zhí)行一種無(wú)線網(wǎng)絡(luò)中的方法,該無(wú)線網(wǎng)絡(luò)包括至少一個(gè)接入點(diǎn)("AP")����,該方法包括不定期地對(duì)所述無(wú)線網(wǎng)絡(luò)中的至少一個(gè)已分類接入點(diǎn)的集合中的每個(gè)接入點(diǎn)的由至少一個(gè)屬性構(gòu)成的第一集合進(jìn)行測(cè)量;以及基于所述接入點(diǎn)的由至少一個(gè)屬性構(gòu)成的第二集合的至少一個(gè)函數(shù)對(duì)每個(gè)接入點(diǎn)進(jìn)行重分類�����,屬性的第二集合包括屬性的第一集合�����,其中����,所述至少一個(gè)接入點(diǎn)的集合根據(jù)一組AP類別被分類,并且其中所述重分類是分類到所述AP類別之一中��。
14. 如權(quán)利要求13所述的載波介質(zhì)�,其中,所述重分類是由指示所述 接入點(diǎn)的屬性的第二集合中的一個(gè)或多個(gè)屬性的顯著改變的至少一個(gè)函數(shù) 觸發(fā)的�。
15. 如權(quán)利要求14所述的載波介質(zhì),其中���,所述重分類是由指示所述 接入點(diǎn)的屬性的第二集合中的一個(gè)或多個(gè)屬性被改變了至少一個(gè)相應(yīng)的預(yù) 設(shè)閾值的顯著改變的至少一個(gè)函數(shù)觸發(fā)的�。
16. 如權(quán)利要求15所述的載波介質(zhì)��,其中�����,所述重分類是由所述接入 點(diǎn)的屬性的第二集合中的一個(gè)或多個(gè)屬性中的任意一個(gè)被改變了一個(gè)相應(yīng) 的預(yù)設(shè)閾值的改變觸發(fā)的�。
17. 如權(quán)利要求14到16中任意一個(gè)所述的載波介質(zhì),其中����,其顯著改變觸發(fā)了重分類的所述接入點(diǎn)的屬性的第二集合包括檢測(cè)到在特定AP處從其他鄰近AP接收到的分組的RSSI改變; 在AP已被分類為受管理接入點(diǎn)的情形中�,檢測(cè)到新的或不同的配置 設(shè)置�����;檢測(cè)RF參數(shù)的顯著改變���,所述RF參數(shù)包括以下一個(gè)或多個(gè) 去往或來(lái)自其他AP的發(fā)送定時(shí),以及去往或來(lái)自其他AP的路徑損耗��; 檢測(cè)AP的新的網(wǎng)絡(luò)地址改變���; 檢測(cè)AP的數(shù)據(jù)成幀的顯著改變���;以及 在AP先前位于已知位置的情形中檢測(cè)顯著的位置改變。
18. 如權(quán)利要求13到17中任意一個(gè)所述的載波介質(zhì)�����,其中��,所述接入點(diǎn)的至少一個(gè)屬性的第二集合的至少一個(gè)函數(shù)是時(shí)間����,使得所述重分類 是根據(jù)預(yù)設(shè)的時(shí)間調(diào)度執(zhí)行的。
19. 如權(quán)利要求13到18中任意一個(gè)所述的載波介質(zhì)���,其中�����,所述接入點(diǎn)的一個(gè)或多個(gè)屬性的第一集合包括以下至少一個(gè)線內(nèi)無(wú)線臺(tái)站檢測(cè)�; 所述臺(tái)站的確定的位置�����;在所述接入點(diǎn)處對(duì)來(lái)自其他AP的信號(hào)的無(wú)線電信號(hào)強(qiáng)度的測(cè)量值���;以及所述接入點(diǎn)的去往和/或來(lái)自所述無(wú)線網(wǎng)絡(luò)的一個(gè)或多個(gè)其他無(wú)線臺(tái)站 的確定的發(fā)送定時(shí)���。
20. 如權(quán)利要求13到19中任意一個(gè)所述的載波介質(zhì),其中��,所述無(wú) 線網(wǎng)絡(luò)是受管理的無(wú)線網(wǎng)絡(luò)���,并且其中所述AP類別的集合包括受管理 AP��、友好AP和欺詐AP�����。
21. 如權(quán)利要求20所述的載波介質(zhì)����,其中,所述無(wú)線網(wǎng)絡(luò)的接入點(diǎn)的 類別被存儲(chǔ)在數(shù)據(jù)庫(kù)中���,并且該數(shù)據(jù)庫(kù)在耦合到所述無(wú)線網(wǎng)絡(luò)的每個(gè)受管 理AP的無(wú)線管理器中被維護(hù)�����。
22. 如權(quán)利要求13到21中任意一個(gè)所述載波介質(zhì)�, 其中�����,所述無(wú)線網(wǎng)絡(luò)遵循801.11標(biāo)準(zhǔn)或者其變體之一��, 其中�,所述對(duì)AP執(zhí)行重分類是基于以下至少一個(gè)執(zhí)行的 該AP的BSSID; 在其上接收到來(lái)自該AP的任意信標(biāo)或探查響應(yīng)的信道; 接收信標(biāo)或探査響應(yīng)的臺(tái)站的MAC地址���; 在接收臺(tái)站的物理層處檢測(cè)到的所述信標(biāo)或探查響應(yīng)的信號(hào)強(qiáng)度�; 在接收臺(tái)站的物理層處可獲得的接收到的信標(biāo)或探查響應(yīng)的接收信號(hào)質(zhì)量的任意其他測(cè)量值���;和/或 從其他AP接收到的信標(biāo)和探査響應(yīng)���, 并且��,其中��,所述從其他AP接收到的信標(biāo)和探查響應(yīng)包括以下一個(gè)或多個(gè) 所述信標(biāo)或探查響應(yīng)中的SSID; 信標(biāo)時(shí)間(TSF定時(shí)器)信息。在一個(gè)實(shí)施例中�,這是以通過(guò) 將所述信標(biāo)/探査響應(yīng)中的時(shí)間戳與接收該響應(yīng)的受管理AP處 的或者接收該響應(yīng)的受管理客戶端處的TSF定時(shí)器進(jìn)行比較所 確定的TSF偏移的形式發(fā)送的;和/或 接收到的信標(biāo)/探查響應(yīng)中包括的配置參數(shù)�����。
23. 如權(quán)利要求13到22所述的任意一個(gè)所述的載波介質(zhì)��,還包括 針對(duì)每個(gè)AP確定匯聚信任水平�,這種信任水平是指示所述參數(shù)的第二集合中的一個(gè)或多個(gè)參數(shù)的改變的函數(shù)的加權(quán)和。
24. 如權(quán)利要求23所述的載波介質(zhì)��,其中���,所述加權(quán)被用來(lái)根據(jù)所述 接入點(diǎn)的最近類別來(lái)確定匯聚信任水平����。
25. —種無(wú)線網(wǎng)絡(luò)中的裝置,該無(wú)線網(wǎng)絡(luò)包括至少一個(gè)接入點(diǎn) ("AP")��,該裝置包括用于不定期地對(duì)所述無(wú)線網(wǎng)絡(luò)中的至少一個(gè)已分類接入點(diǎn)的集合中的 每個(gè)接入點(diǎn)的由至少一個(gè)屬性構(gòu)成的第一集合進(jìn)行測(cè)量的裝置�����;以及用于基于所述接入點(diǎn)的由至少一個(gè)屬性構(gòu)成的第二集合的至少一個(gè)函 數(shù)對(duì)每個(gè)接入點(diǎn)進(jìn)行重分類的裝置��,屬性的第二集合包括屬性的第一集 合��,其中�,所述至少一個(gè)接入點(diǎn)的集合根據(jù)一組AP類別被分類,并且其 中所述重分類是分類到所述AP類別之一中�。
26. 如權(quán)利要求25所述的裝置,其中��,所述用于重分類的裝置是由指 示所述接入點(diǎn)的屬性的第二集合中的一個(gè)或多個(gè)屬性的顯著改變的至少一 個(gè)函數(shù)觸發(fā)來(lái)進(jìn)行重分類的��。
27. 如權(quán)利要求25到26所述的裝置���,還包括用于針對(duì)每個(gè)AP確定匯聚信任水平的裝置���,這種信任水平是指示所 述參數(shù)的第二集合中的一個(gè)或多個(gè)參數(shù)的改變的函數(shù)的加權(quán)和。
28. 如權(quán)利要求27所述的裝置,其中����,所述加權(quán)被用來(lái)根據(jù)所述接入 點(diǎn)的最近類別來(lái)確定匯聚信任水平。
全文摘要
一種方法�����、裝置和載波介質(zhì)��,該載波介質(zhì)承載用于指示處理器執(zhí)行該方法的計(jì)算機(jī)只讀代碼段�。該方法用在包括至少一個(gè)接入點(diǎn)的無(wú)線網(wǎng)絡(luò)中。該方法包括不定期地對(duì)該無(wú)線網(wǎng)絡(luò)中的至少一個(gè)已分類接入點(diǎn)的集合中的每個(gè)接入點(diǎn)(111-115)的至少一個(gè)屬性的第一集合進(jìn)行測(cè)量(405)�。該方法還包括基于接入點(diǎn)的至少一個(gè)屬性的第二集合的至少一個(gè)函數(shù)對(duì)每個(gè)接入點(diǎn)進(jìn)行重分類(407)��,該屬性的第二集合包括所述屬性的第一集合�。至少一個(gè)接入點(diǎn)的集合根據(jù)一組AP類別被分類,并且其中所述重分類是分類到所述AP類別之一中�����。
文檔編號(hào)H04W84/12GK101099134SQ200680001658
公開(kāi)日2008年1月2日 申請(qǐng)日期2006年2月6日 優(yōu)先權(quán)日2005年2月25日
發(fā)明者佩曼·D·羅珊, 杰里米·斯蒂格里茲, 蒂莫西·S·歐爾森 申請(qǐng)人:思科技術(shù)公司