用于通过切换模式提供无线网络中的安全保护的技术制造技术

提供了用于无线网络的安全保护的技术。接入点以第一模式操作。第一模式是允许对网络资源的访问的操作模式。当以第一模式操作接入点时，对于客户端的安全事件被检测。然后，接入点被从操作的第一模式改变至操作的第二模式。第二模式是操作的受限模式，其限制对网络资源的访问。分析然后可被执行以确定客户端是未授权客户端还是合法客户端。

【技术实现步骤摘要】
【国外来华专利技术】
技术介绍
本专利技术一般地涉及无线通信，并且更具体而言涉及用于响应于安全事件为接入点提供安全保护的技术。随着无线技术和无线网络的出现，对这些网络的攻击已变得更加频繁。攻击包括通过网络的蠕虫传播或者试图登录到接入点并且潜入网络的潜在黑客。当未授权客户端被检测到时，采取行动以阻止用户接入网络。例如，未授权客户端可立即被断开与接入点的连接，以及/或者接入点可立即被断开与交换端口的连接。这样做以确保未授权客户端不能接入网络。这保护了网络；然而，可能发生错误肯定(false positive)，其中客户端被认为是未授权(unauthorized)的，但实际上其可能是合法(valid)客户端。在这些情况下，合法客户端可能被阻止接入网络，这是不希望的。此外，因为未授权客户端被断开与网络的连接，所以难以确定关于客户端的任何信息，诸如它们的身份等。此信息对阻止将来的攻击或捕捉未授权客户端的用户来说可能是有价值的。附图说明图1描绘根据本专利技术的一个实施例的用于提供安全保护的系统。图2描绘根据本专利技术的一个实施例的用于提供安全保护的方法的简化流程图。图3描绘根据本专利技术的一个实施例的用于隔离可疑客户端的方法的简化流程图。图4描绘根据本专利技术的一个实施例的用于实现在图3中所描述的方法的系统。-->具体实施方式图1描绘了根据本专利技术的一个实施例的用于提供安全保护的系统100。如图所示，提供了接入点102、客户端104以及网络106。将会理解的是，可提供任何数量的在系统100中示出的部件。可使用另外的部件。部件可从在图1中示出的部件被修改。客户端104可以是被配置与接入点102通信的任何计算设备。例如，客户端104可包括无线设备，诸如膝上型计算机、蜂窝式电话机、个人数字助理(PDA)、黑莓TM(BlackberryTM)设备、袖珍PC(pocket PC)、寻呼机等。客户端104可通过接入点102访问网络106上的资源。客户端104可被分类为合法客户端或未授权客户端。例如，合法客户端可以是被授权接入网络106的任何客户端。未授权客户端104可以是被确定为不应当被允许接入网络106的任何客户端。例如，可能被确定为未授权的客户端104包括个人、设备或过程，它们尝试诸如黑客、蠕虫、病毒等的不希望的动作。如下面将要描述的，入侵检测系统(IDS)、入侵保护系统(IPS)、异常(anomaly)检测系统等可被用来检测可能的未授权客户端104。接入点102可以是客户端104与其通信以接入网络106的任何接入点。例如，客户端104可能必须登录到接入点102以接入网络106。接入点102包括无线网关、路由器、基站等。本领域的技术人员会认识到接入点102的不同示例。接入点102被配置形成网络106。在一个实施例中，网络106可以是无线网络。然而会理解的是，网络106不被限制为仅是无线网络，并且网络106还可包括有线网络(wire line network)。例如，无线网络可被连接到有线网络。网络106可以是任何网络，诸如无线局域网(WLAN)、广域网、蜂窝式网络等。网络106包括通过接入点102可访问的资源。资源可包括数据服务器，诸如敏感的公司文档被存储于其中的服务器，认证、授权和记帐(AAA)服务器，DNS服务器，HTTP服务器，FTP服务器或者用于企业的任何其他资源(诸如公司网络)。可能不希望未授权客户端访问这些-->资源。因此，本专利技术的实施例为网络106的资源提供安全保护。在一个实施例中，可确定安全事件。引起安全事件的客户端104然后可被确定为可疑的。可疑客户端104可以不被授权接入网络106。然而，在一些情况下，检测技术可能作出错误肯定，其中可疑客户端104实际上被授权接入网络106。当确定安全事件时，希望做调查以确定可疑客户端是未授权客户端还是合法客户端。本专利技术的实施例因此提供用于保护网络106的两种模式。第一模式是正常模式，其中允许通过接入点102接入到网络106。第一模式允许对网络106的资源的合法访问。此模式可以是接入点102在正常条件下(即允许资源访问)操作的模式。第二模式是第二级别接入。此第二级别接入可限制资源的使用或对网络中资源的访问。第二模式相比第一模式，在访问网络106的资源方面允许较小的能力。例如，利用服务质量(QOS)策略的流量可被减缓几乎至停顿，从而可疑客户端104不能有效地执行。可疑客户端104可能不知道它已被检测。例如，可疑客户端104可能感觉它已使网络过载。这给了应用或网络管理员时间来弄清楚可疑客户端104是合法客户端还是未授权客户端，以及任何其他希望的信息，诸如可疑客户端104位于何处。此外，可形成围墙花园(walled garden)，其中可疑客户端104可以仅被允许访问墙内的资源。因此，这保护网络106避免了可疑客户端104。此外，可使用蜜罐(honeypot)。蜜罐是被设置较低安全性的设备，其被与网络资源隔离。蜜罐可被用来收集关于可疑客户端104的信息。当安全事件被检测到时，接入点102被改变至第二模式，而不是有意断开对事件有责任的可疑客户端104。改变至第二模式可以不使可疑客户端104警觉到它们已被检测到。进入第二模式并且可执行对可疑客户端104的分析。如果确定可疑客户端104是未授权客户端，那么对网络106的接入被拒绝。如下所述，还可执行进一步的分析以确定关于未授权客户端104的信息。如果可疑客户端104被确定为合法客户端，那么可疑客户端104被允许进入到网络106。此外，在可疑客户端104被确定为合法之后接入点102可被改回至第一模式。-->图2描绘根据本专利技术的一个实施例的用于提供安全保护的方法的简化流程图200。步骤202以第一模式操作接入点102。第一模式是正常模式，其中网络106的资源是可访问的。这是在其中客户端104被允许以正常方式接入网络106的模式。例如，客户端104可利用证书登录到网络。步骤204检测对于可疑客户端104的安全事件。安全事件可通过各种技术被检测。例如，接入点102使用代理或网络监视器(即入侵检测服务(IDS)/入侵保护服务(IPS)、异常检测等)来识别可疑活动。可疑活动的示例可包括过多的ping、太多的流量、登录到其他网络实体时多次失败的尝试等。步骤206将合法客户端104转换到将会继续以第一模式操作的环境。如此合法客户端104可继续能够访问资源。如本文档来自技高网...

【技术保护点】
一种用于为无线网络提供安全保护的方法，所述方法包括：　以第一模式操作接入点，所述第一模式允许到所述网络的第一级别接入；　当以所述第一模式操作所述接入点时，检测对于可疑客户端的安全事件；　将除所述可疑客户端以外的一个或多个合 法客户端转换到以所述第一模式操作的环境，所述被转换的一个或多个合法客户端仍然具有到所述网络的接入；以及　响应于检测到所述安全事件，从操作的所述第一模式改变至操作的第二模式，所述第二模式允许对所述网络的第二级别接入，所述第二级别接入在允 许接入到所述网络方面比所述第一级别接入更具限制性。

【技术特征摘要】
【国外来华专利技术】US 2006-5-16 11/435,1231.一种用于为无线网络提供安全保护的方法，所述方法包括：
以第一模式操作接入点，所述第一模式允许到所述网络的第一级别接
入；
当以所述第一模式操作所述接入点时，检测对于可疑客户端的安全事
件；
将除所述可疑客户端以外的一个或多个合法客户端转换到以所述第一
模式操作的环境，所述被转换的一个或多个合法客户端仍然具有到所述网
络的接入；以及
响应于检测到所述安全事件，从操作的所述第一模式改变至操作的第
二模式，所述第二模式允许对所述网络的第二级别接入，所述第二级别接
入在允许接入到所述网络方面比所述第一级别接入更具限制性。
2.如权利要求1所述的方法，还包括执行一个或多个动作以确定关于
所述可疑客户端的信息。
3.如权利要求2所述的方法，还包括分析所述信息以确定所述可疑客
户端是未授权客户端还是合法客户端。
4.如权利要求3所述的方法，还包括如果确定出所述可疑客户端是合
法客户端，则从所述第二模式改变至所述第一模式。
5.如权利要求1所述的方法，还包括在从所述第一模式改变至所述第
二模式之后，执行可疑客户端动作。
6.如权利要求5所述的方法，其中所述可疑客户端动作包括从所述接
入点断开所述可疑客户端。
7.如权利要求5所述的方法，其中所述可疑客户端动作包括收集关于
所述可疑客户端的信息。
8.如权利要求5所述的方法，其中所述可疑客户端动作包括减缓对于
所述可疑客户端的流量或者伪造流量。
9.如权利要求5所述的方法，其中所述可疑客户端动作包括确定所述
可疑客户端的物理位置。
10.如权利要求1所述的方法，其中转换除所述可疑客户端以外的所
述一个或多个合法客户端包括将所述一个或多个合法客户端从所述接入点
切换到第二接入点。
11.如权利要求1所述的方法，其中转换除所述可疑客户端以外的所
述一个或多个合法客户端包括在所述接入点将所述一个或多个合法客户端
与所述可疑客户端隔离。
12.如权利要求1所述的方法，其中从所述第一模式改变至所述第二
模式包括将所述接入点从所述第一模式改变至所述第二模式。
13.如权利要求1所述的方法，其中从所述第一模式改变至所述第二
模式包括响应于检测到所述安全事件，将所述可疑客户端转移到被配置为
在操作的所述第二模式中操作的第二设备。
14.如权利要求1所述的方法，其中所述第一模式是允许访问所述网
络的资源的正常操作模式。
15.如权利要求1所述的方法，其中所述网络包括广局域网
(WLAN)。
16.一种接入点，被配置为对无线网络提供安全保护，所述接入点包
括：
被配置为以第一模式来操作所述接入点的逻辑，所述第一模式允许到
所述网络的第一级别接入；
安全事件检测器，其被配置为当以所述第一模式操作所述接入点时，
检测对于可疑客户端的安全事件；
被配置为将除所述可疑客户端以外的一个或多个合法客户端转换到以
所述第一模式操作的环境的逻辑，所述被转换的一个或多个客户端仍然具
有到所述网络的接入；以及
被配置为响应于检测到所述安全事件而从操作的所述第一模式改变至
操作的第二模式的逻辑，...

【专利技术属性】
技术研发人员：简凡帕提尔，杰里米E斯蒂格里兹，什里帕蒂阿查里雅，伊恩傅，
申请(专利权)人：思科技术公司，
类型：发明
国别省市：US[美国]