CN102428675B - 便携式安全计算网络 - Google Patents
便携式安全计算网络 Download PDFInfo
- Publication number
- CN102428675B CN102428675B CN201080021894.2A CN201080021894A CN102428675B CN 102428675 B CN102428675 B CN 102428675B CN 201080021894 A CN201080021894 A CN 201080021894A CN 102428675 B CN102428675 B CN 102428675B
- Authority
- CN
- China
- Prior art keywords
- computing devices
- trusted computing
- equipment
- trusted
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/76—Proxy, i.e. using intermediary entity to perform cryptographic operations
Abstract
如在这里所提供的,当使用不可信网络连接时,通过连接到具有可信网络连接的可信计算机,能够为远程机器创建安全的在线环境。代理服务器被安装在第一计算设备上,并且为第一设备和便携式存储设备生成共享加密密钥。在连接到不可信网络的第二计算设备(例如,远程设备)与第一计算设备之间启动连接,这包括使用第二计算设备从(例如,附着于第二设备)便携式存储设备中启动代理服务器协议。在第一与第二设备之间的安全连接使用加密密钥来创建。
Description
背景技术
离家旅行的人们时常希望在离家的时候(例如,使用膝上型计算机或其他的计算机相关的设备)利用计算机相关的服务。例如,旅行者可以利用能够提供对应用(程序)的访问并通常允许他们连接到网络或因特网的伴随膝上型计算机。在咖啡馆看到若干个顾客访问店内的无线接入点(WAP)以连接到网络或因特网并不是罕见的。此外,某些位置提供由旅行者或顾客使用的计算机,诸如机场计算机亭或网吧,在那儿用户能够利用计算机来访问网络或因特网。自然地,当人们利用外国(例如,未在家中或可信网站上)WAP或终端来访问因特网时,他们正通过不可信网络(例如,不是由用户设立并控制的可信网络)进行连接。
发明内容
提供这个概述部分来以简化形式介绍下面在具体描述部分中进一步描述的概念的选择。这个概述部分并不打算标识所请求保护主题的关键因素或基本特征,也不打算用于限制所请求保护主题的范围。
在诸如旅馆或机场中的公共接入点之类的不可信网络上发送和接收的数据能够被恶意用户(例如,黑客,身份窃贼)嗅探(例如,检测和拦截)。进一步,诸如驾驶攻击(例如,使用计算设备而驾车四处搜索无线接入点(WAP))之类的恶意技术能够用于在不安全网络上嗅探和窃取数据。
通常,访问因特网或者从其家用计算机(或某种其他的可信设备)发送信息的个人使用其信任的安全网络(例如,已与之建立在先的信任关系)。然而,用户时常旅行而远离其可信计算机(例如,或可信计算机组,诸如家庭、工作等等),并希望在远离的时候访问在线服务。例如,当在机场的时候,商务旅行者可能希望从公司的企业网电子邮件服务器访问其电子邮件。但是,在这个示例中,使用公共信息亭计算机(例如,或公共无线接入点(WAP))来访问其电子邮件则呈现其中可能通过不可信网络而发送潜在敏感数据的情形。
当前的和在先的使用不可信网络连接来创建安全的在线网络连接的解决方案包括虚拟专用网(VPN)。但是,VPN通常要求人们在将用于连接到VPN的机器上安装VPN客户机,诸如用于连接到企业VPN的膝上型计算机。进一步,VPN通常包括(通过VPN)连接到单个网络点以便访问数据或在线活动的一台或多台远程计算机。
在这里披露允许个人例如使用便携式存储设备来创建特设VPN的技术和系统。例如,用户可能能够在其(例如,远程地)随身携带的计算设备(例如,膝上型计算机、计算机终端、智能电话/设备等等)与利用至网络的可信连接的可信计算设备(例如,家用或工作PC)之间建立安全连接。以这种方式,例如,VPN客户机不需要被安装在远程机器上,并且用户可以连接到由该用户设立的多个可信计算机之一。
在一个实施例中,通过连接到与可信网络相连接的可信计算设备,能够为连接到不可信网络的计算设备创建安全的在线环境。在使用一个或多个可信网络(例如,与可信ISP的安全连接)用于在线访问的一组可信计算设备中的第一计算设备(例如,家用PC)上能够安装代理服务器。进一步,能够为第一计算设备和便携式存储设备生成一个或多个加密密钥,诸如非对称或对称密钥。当用户远离其可信计算设备时,例如,能够从访问不可信网络(WAP)的第二计算设备(例如,连接到无线接入点(WAP)的膝上型计算机)启动与第一计算设备的联系,其中使用第二计算设备在不可信网络上从便携式存储设备启动代理服务器协议。此外,诸如通过使用对称密钥来交换数据,使用共享加密密钥在第二计算设备与第一计算设备之间能够创建安全连接。
为了实现前述的和相关的目的,以下的描述和附图阐述某些说明性的方面和实施方式。这些仅指示其中可以采用一个或多个方面的各种方式中的几种方式。本披露内容的其他方面、优点和新颖的特征当结合附图进行考虑时从以下的具体描述中将变得显而易见。
附图说明
图1是其中远程设备可以通过不可信网络而连接到因特网以及可信设备使用可信连接来连接的示例环境的图示。
图2是用于使用连接到可信网络的可信计算设备为连接到不可信网络的计算设备创建安全在线环境的示例方法的流程图。
图3是示出方法的一部分的一个实施例的流程图,其中可以设立将用于为远程用户创建安全在线环境的可信机器。
图4是用户能够用于从远程位置创建安全连接的方法的一部分的示例实施例的流程图。
图5是用于使用连接到可信网络的可信计算设备为连接到不可信网络的计算设备创建安全在线环境的示例系统的组件框图。
图6是用于使用连接到可信网络的可信计算设备在连接到不可信网络的计算设备之间创建安全连接的示例系统的一个实施例。
图7是包括被配置成体现在这里阐述的一个或多个规定的处理器可执行指令的示例计算机可读介质的图示。
图8示出其中可以实现在这里阐述的一个或多个规定的示例计算环境。
具体实施方式
现在参考附图来描述所请求保护的主题,其中相同的参考数字始终用于指示相同的元素。在以下的描述中,为了解释的目的,阐明许多具体细节,以便提供所请求保护主题的全面理解。但是,所请求保护的主题可以在没有这些具体细节的情况下进行实践,这可能是显然的。在其他的实例中,为了便于描述所请求保护的主题,结构和设备以框图形式进行显示。
可以设想一种方法,其为可能正尝试通过不可信网络而发送或接收数据的用户提供数据安全性。如果用户在远离该用户的当前位置中具有连接到一个或多个可信网络的一个或多个可信计算机(例如,用户位于第一位置中,而可信计算机位于第二位置中),例如,当用户正尝试通过不可信网络而接入因特网时,能够利用可信计算机来提供数据安全性。
作为一个示例,在图1中示出示例环境100,其中诸如位于咖啡店的用户的膝上计算机、位于旅馆的智能电话以及位于机场信息亭的计算机终端之类的远程设备102可能通过不可信网络106而连接到因特网104。在这个示例中,不可信网络可能是尚未由设备102的用户设立的网络。诸如公共场所中的无线接入点之类的不可信网络可能遭受恶意用户110嗅探和检索通过网络106或发送至连接到不可信网络106的设备102的数据108或从该设备102发送的数据108。
在一个实施例中,该设备本身也可能是不可信设备,例如,诸如访问公共网络的公共终端(例如,位于机场信息亭、公共图书馆、酒店商务休息室或网吧)。在这个实施例中,恶意用户110可能能够监视设备102的用户的活动和/或尝试检索通过不可信网络106发送的数据108。
图2是用于使用连接到可信网络的可信计算设备为连接到不可信网络的计算设备创建安全在线环境的示例方法200的流程图。该示例方法200开始于202,并且在204,牵涉在来自连接到一个或多个可信网络进行诸如因特网接入或企业电子邮件检索之类的在线访问的一组可信计算设备的第一计算设备上安装代理服务器。
在一个实施例中,在可信设备上设立代理服务器可以允许可信设备充当从连接的客户机发送的数据请求、诸如对来自因特网的信息的请求的中间人(gobetween)。例如,在图1中,用户可以采用通过可信网络连接114而连接到因特网104的一组可信设备112。在这个示例中,能够在一个或多个可信设备112上设立代理服务器,以致其能够充当希望连接到因特网104的客户机(例如,设备102)的中间人。
在206,能够为第一计算设备和便携式存储设备生成共享加密密钥。例如,如果加密密钥允许连接的计算设备使用加密的数据来通信,那么通过将存储设备连接到可信计算机,能够在连接到可信网络的可信计算机(例如,第一计算设备)和便携式存储设备(例如,USB闪存驱动器、SIM卡或SD闪存卡)中生成和存储这些共享密钥。
在一个实施例中,共享加密密钥可以包括非对称加密密钥对中的公钥或来自便携式存储设备的公钥,例如,其中为第一计算设备生成公钥-私钥对。在这个实施例中,私钥能够被存储在第一计算设备上,并且公钥能够被写入(被存储在)便携式存储设备(共享)。在另一个实施例中,加密密钥可以包括对称加密密钥,其中密钥(例如,加密和解密密钥)可以代表用于加密和解密数据的在第一计算设备与便携式存储设备之间共享的秘密。在一个实施例中,使用共享加密密钥可以允许创建共享的一次性口令(例如,随机数(nonce)),其中共享的一次性口令能够是用于创建安全环境的在连接的设备之间共享的秘密。
在208,在示例方法200中,访问不可信网络的第二计算设备联系第一计算设备。联系第一计算设备包括:在210,通过不可信网络,使用第二计算设备从便携式存储设备启动代理服务器协议。例如,用户可以将其无线启用的膝上型计算机带到无线热点(例如,提供对公共无线网络的访问以进行在线访问的位置),希望在热点通过使用无线接入点(WAP)而连接到因特网。
在一个实施例中,例如,用户可以将便携式存储设备连接到其膝上型计算机。在这个实施例中,便携式存储设备能够启动代理服务器协议,从而允许膝上型计算机连接第一计算设备,诸如其家用PC,其能够充当代理服务器,用于该膝上型计算机进行在线通信。在一个实施例中,例如,启动代理服务器协议可以允许膝上型计算机使用安全超文本传输协议(HTTPS)连接到其家用PC。在另一个实施例中,代理服务器协议可以利用IPSec,诸如用于安全企业连接,或代理服务器协议可以利用IPV6,诸如其中第二计算设备可以是智能电话。
将意识到:设备之间的代理不限于任何特定协议,从而允许利用不同的网络。例如,虽然HTTPS由于效率的原因而可能并不是理想的,但是大多数的防火墙允许使用这个协议来代理数据。因此,它能够有效地用于安全连接。然而,在这里描述的技术和系统不限于任何特定的用于代理的协议,并且本领域技术人员可以设计出备用协议用于这个目的。
将进一步意识到:虽然上述的实施例描述使用第二计算设备以客户机-服务器关系来联系第一计算设备,但是在这里描述的技术并不限于这些实施例。意识到:本领域技术人员可以为该代理关系设计出替代的技术。例如,多个设备(例如,家用PC、工作PC、个人膝上型计算机等等)可以被用作可信代理机器来创建某种可信的一组机器。例如,在一个实施例中,该组中的任何设备可以使用该组中的任何其他设备作为代理,从而允许许多设备通过许多其他设备中的任何一个或多个设备来连接。
在212,在第二计算设备与第一计算设备之间使用共享加密密钥能够创建安全连接(例如,安全隧道)。在一个实施例中,加密密钥交换能够发生在第一计算设备与便携式存储设备之间。例如,因为便携式存储设备与第一计算设备诸如在上述的206已建立信任关系,所以交换密钥能够导致在第一与第二计算设备之间安全隧道的创建。例如,在这个实施例中,交换密钥能够允许在这些设备之间传送的数据被加密,从而减少潜在的恶意用户使用他们可能已从不可信网络窃取的数据。在另一个实施例中,交换密钥可以允许创建能够被用作可信设备之间的共享秘密的一次性口令(例如,随机数),从而创建安全连接。
在第二计算设备与第一计算设备之间已创建了安全连接之后,该示例方法在214结束。
图3是示出其中可以设立将被用于为远程用户创建安全在线环境的可信机器的方法的一部分的一个实施例300的流程图。该方法的示例实施例300开始于302,并且在304,牵涉将便携式存储设备附着于连接到可信网络的可信机器。例如,个人可以利用一台或多台可信机器进行在线访问(例如,因特网接入),诸如其家用PC、工作PC和/或位于可信位置上的另一机器。通常,这些可信机器被连接到可信网络,诸如具有安全性以减少恶意用户窃取数据的网络和/或可能已由用户设立的网络。
在306,代理服务器能够从便携式存储设备被安装到可信机器上。在这个实施例中,便携式存储设备可以是USB闪存驱动器,例如,其包括设立可信设备以便用作安全代理所需要的应用程序和数据。例如,可信设备能够被设立为代理服务器,以充当使用不可信网络的第二设备(例如,膝上型计算机、移动电话等等)和因特网之间的中间人。
在308,能够为可信设备和便携式存储设备生成加密密钥。通常,为了提供在设备之间传送的数据的加密,在相应的设备上生成和安装一个或多个共享加密密钥。在这个实施例中,能够生成公用和专用非对称加密密钥,其中在310,相应的设备存储私钥,并在312,相应的(配对)公钥在另一个设备上进行存储(共享)。
例如,为可信设备生成加密密钥对;私钥被存储在可信设备中,而公钥被写入便携式存储设备。进一步,在这个示例中,为便携式存储设备生成加密密钥对;私钥被存储在便携式存储设备上,而公钥被写入可信设备。这允许相应的设备使用公钥来相互发送加密数据,并具有由接收设备使用相应的私钥解密的数据。以这种方式,只有那些具有私钥的设备能够解密通过不可信网络发送的数据,从而减少恶意用户使用窃取数据。
在314,在这个实施例300中,在已安装了代理服务器并生成了加密密钥之后,可信机器被设立,以充当安全代理,因此便携式存储设备能够从可信机器中去耦(uncouple)。时常,个人可能具有其信任的一台以上的计算机,诸如工作和家用计算机以及位于其他可信位置中的计算机。在这个实施例中,例如,在316,如果用户具有另一可信设备,在304,便携式存储设备能够与那个可信机器进行耦合,以便将它设立为安全代理机器。否则,如果用户没有更多的可信计算设备可用,该方法的示例实施例300在318结束。
图4是用户能够用于从远程位置创建安全连接的方法的一部分的示例实施例400的流程图。该方法的此部分的示例实施例400开始于402,并牵涉将便携式存储设备连接到远程计算设备,而用户正利用该远程计算设备连接到不可信网络。
例如,如图1所示,用户可能希望使用计算设备102通过不可信网络106、诸如使用位于公共WAP上的无线启用的膝上型计算机或智能电话/设备、或者公用计算机来远程地(例如,在远离可信计算机或可信网络的同时)连接到因特网104。在这个实施例中,例如,用户可以将USB闪存驱动器插入膝上型计算机或公用计算机或者将SIM卡或SD卡插入智能电话/设备。
在406,如果用户已设立一个以上的可信机器来充当代理服务器,诸如在图3的300,则在408他们可以选择连接到集中式重定向网站。在一个实施例中,集中式重定向网站可以是基于因特网的网站,例如,用户通过注册机器位置以及其他的规范、诸如IP地址而能够将一组“可信”机器与该网站相关联。在另一实施例中,集中式重定向网站可以是运行在用户能够在线连接的网络上的应用程序,其包括有关用户的可信机器组的信息。作为一个示例,在图1的100,用户可能已设立了多个利用可信网络114连接到因特网的可信计算机112。
在410,例如,集中式重定向网站能够从一组先前由用户设立为代理服务器的可信计算设备中定位希望的可信机器。在一个实施例中,“希望的”机器可以包括这样的机器,其具有希望的(例如,最快的)连接速度至用户正用于连接到集中式重定向网站的远程机器。进一步,“希望的”机器可以包括在邻近度(proximity)方面(例如,在地理上,或者根据在连接网络中的节点之间的跳数)与远程机器是“最接近”的机器。此外,“希望的”机器可以包括具有特定程序、文件、安全协议或这些元素、连接速度和邻近度的某种组合的机器。在一个实施例中,用户可能能够预先选择用于定位“希望的”机器的偏好,和/或可以在连接到集中式重定向网站时在空中(on-the-fly)选择它们。
在414,与连接到可信网络的可信计算设备的联系被启动。在一个实施例中,在406,如果用户仅具有一台可信机器被设立为代理服务器,或者他们选择特定机器,例如,可以利用那台机器通过不可信网络来启动联系。在另一实施例中,从远程机器到希望的可信机器的连接通过不可信网络从集中式重定向网站被重定向到可信机器。
在414,从连接到用户的远程机器的便携式存储设备中启动代理服务器协议。以这种方式,在一个实施例中,通过不可信网络连接到可信机器的远程机器之间的业务能够根据代理服务器协议来过滤。在这个实施例300中,在416,在远程机器与可信机器之间通过不可信网络、使用三路安全套接字层(SSL)(例如,时常称为传输层安全(TLS)握手)来建立安全连接。
例如,诸如在图3的300,便携式存储设备与可信机器已具有在该可信机器被设立为代理服务器时建立的信任关系。附着于远程机器的便携式设备能够使用远程机器来启动代理服务器协议,其对应于在该可信机器上设立的代理服务器。以这种方式,握手能够发生在便携式设备、远程机器以及使用代理服务器协议来建立连接的可信机器之间。
在一个实施例中,当由远程机器通过不可信网络、诸如发送数据给网站而提出请求时,该请求能够在便携式设备上使用共享加密密钥来加密,并通过不可信网络被发送至可信机器。因为可信机器共享加密密钥,所以它能够解密该请求,从而在不可信网络上在远程机器与可信机器之间创建安全连接。
在一个方面,例如,被设立为用于第二计算设备的代理服务器的第一计算设备能够用于代理往来于在线服务和网站(例如,因特网)的数据业务。以这种方式,用于连接到不可信网络的第二计算设备的数据业务能够通过连接到可信网络的第一计算设备来代理。
在一个实施例中,在这个方面,来自第二计算设备的出站数据业务能够被加密并通过不可信网络来发送,其中在不可信网络中它通过第一计算设备被代理、被解密并被发送到可信网络。进一步,来自可信网络的用于第二计算设备的入站数据业务能够通过第一计算设备被代理、被加密并通过不可信网络被发送至第二计算设备。以这种方式,例如,可以被发送至因特网以及可以从因特网发送的数据(例如,诸如商家网站上的交易)在通过不可信网络进行发送时被加密。
在一个实施例中,代理数据业务能够包括:通过代理网际协议族(TCP/IP)中的应用层协议来路由传送(route)数据业务。在TCP/IP中,应用层包括使用网际协议(IP)网络在机器之间建立连接的进程-进程通信的方法和协议。在一个示例中,代理服务器能够通过在超文本传输协议(HTTP)层上为应用层代理来酌情路由传送业务。
在另一实施例中,代理数据业务能够包括:通过代理网际协议族(TCP/IP)中的传输层协议来路由传送数据业务。传输层负责将诸如来自应用层的应用数据封装到数据分组中,以便传输到网络结构,而网络结构随后可以将它们发送到目的地主机。在一个示例中,代理服务器能够通过在传输控制协议(TCP)层上为传输层代理来酌情路由传送业务。
在另一实施例中,便携式存储设备(例如,USB闪存驱动器)可以被设立,以使得它自己显现为至第二计算设备(例如,在无线热点上使用的膝上型计算机)的网络连接。在这个实施例中,例如,第二计算设备可能不需要客户机设备连接到网络,它能够使用便携式存储设备中的网络连接。作为另一示例,已被设置为识别这些设备之间的代理关系的一个或多个应用程序可以直接与便携式存储设备通信,从而知道那是被代理的网络。
可以设计这样的系统,其允许用户在被连接到诸如公共无线接入点(WAP)或公用计算机终端(例如,在机场信息亭)之类的不可信网络的同时与诸如因特网或企业网之类的在线环境安全地交互。图5是用于使用连接到可信网络的可信计算设备为连接到不可信网络的计算设备创建安全在线环境的示例系统500的组件框图。
示例系统500包括代理服务器安装器504,其被配置成在第一计算设备502上安装代理服务器。第一计算设备502来自一组使用一个或多个可信网络进行网络访问的可信计算设备。在一个实施例中,该组可信计算设备能够包括被用户信任的一个或多个计算机,例如,这些计算机被可信源设立和/或保持,以便减少恶意攻击。进一步,例如,该组可信计算机连接到也被用户信任的网络,其中用于减少恶意攻击的安全性被保持。
该示例系统500进一步包括加密密钥生成器506,其被配置成为第一计算设备502和便携式存储设备514生成一个或多个共享加密密钥。例如,加密密钥生成器506能够生成可以被存储在用户的可信计算机和USB闪存驱动器上的共享加密密钥,以致在可信计算机与闪存驱动器之间的数据业务能够由相应的设备进行加密和解密。
共享加密密钥的一个实施例可以包括公用和专用非对称密钥对,其中公钥-私钥对为相应的设备、诸如可信计算机和闪存驱动器而生成,并且公钥与相应的其他设备进行共享(例如,闪存驱动器获得可信计算机的公钥,并且反之亦然)。共享加密密钥的另一实施例可以包括对称密钥。例如,对称密钥被写入两个设备,诸如被写入可信计算机和闪存驱动器。例如,数据业务使用对称密钥来加密和解密,其中一次性口令(例如,随机数)被生成为共享秘密,以虑及将在设备之间建立的安全信任关系。
示例系统500进一步包括被部署在便携式存储设备514上的安全连接生成器516。安全连接生成器516被配置成使用代理服务器协议、通过不可信网络508从第二计算设备512启动与第一计算设备502的联系。该安全连接生成器516包括代理服务器启动器518,其被配置成使用连接的第二计算设备512、从便携式存储设备514启动代理服务器协议,其中第二计算设备访问不可信网络508。
以这种方式,在一个实施例中,便携式存储设备514能够被附着于第二计算设备512,并且代理服务器启动器518能够在安全连接生成器516已通过不可信网络508联系第一计算设备502之后启动代理服务器协议。作为一个示例,不可信网络508可以包括连接到因特网550的公共无线接入点(WAP)。在这个示例中,安全连接生成器516能够使用第二计算设备512而连接到因特网550上、使用不可信网络508的第一计算设备502。
安全连接生成器516进一步被配置成在不可信网络508上、使用加密密钥在第二计算设备512与第一计算设备502之间创建安全连接。在一个实施例中,安全连接生成器516能够使用由代理服务器启动器518启动的代理服务器协议在第二计算设备512与第一计算设备502(以及存储设备514)之间启动SSL三路握手(three-wayhandshake)。
作为一个示例,因为便携式存储设备514与第一计算设备502具有包括先存在的信任关系的共享加密密钥,所以安全连接能够在连接的计算机502与512之间在不可信网络508上通过加密数据业务来建立。以这种方式,在一个实施例中,在第二计算设备512与第一计算设备502之间新创建的安全连接能够用于通过正使用可信网络510的第一计算设备502为正使用不可信网络508的第二计算设备代理数据业务,诸如因特网请求。在这个实施例中,例如,因特网数据请求能够通过可信网络510被传送至因特网550并从因特网550被传送至可信机器502,而且以加密形式被传送至第二计算机512以及从第二计算机512进行传送。
在另一实施例中,存储设备514可以包括例如用于在无线网络上通信的无线通信组件(例如,无线天线)。在这个实施例中,第二计算设备512能够将存储设备514用作网络适配器。以这种方式,例如,存储设备514能够通过可信网络510为安全连接代理数据业务。
图6是用于使用连接到可信网络的可信计算设备在连接到不可信网络的计算设备之间创建安全连接的示例系统的一个实施例600。在这个实施例600中,便携式存储设备514包括代理服务器安装器504、加密密钥生成器506以及安全连接生成器516,而安全连接生成器又包括代理服务器启动器,如上所述。
以这种方式,例如,便携式存储设备能够被附着于用户所信任的一组计算设备中的相应计算机622、624与626(例如,第一计算设备),并使用可信连接来连接到网络,诸如因特网636,并被用于在计算机622、624和626上安装代理服务器。进一步,在被附着的同时,加密密钥对能够为相应的计算机622、624和626而生成,并与便携式存储设备514进行共享(并且反之亦然)。
在示例实施例600中,用户可以在远离其一组可信计算机622、624和626旅行时随身携带便携式存储设备514。当用户希望在公共位置访问在线服务(例如,使用在WAP上的膝上型计算机或在网吧的公用计算机终端)时,他们能够将便携式存储设备514附着于正通过不可信连接632访问网络(例如,通过WAP访问因特网)的第二机器620,以便在第二机器620与可信计算机622、624和626之一之间创建安全连接。
在这个实施例600中,该示例系统包括在线集中式重定向器628,其被配置成有助于将第二计算设备620连接到希望的可信计算设备622。在线集中式重定向器628的一个示例可以是被配置成设立来帮助将连接重定向至可信计算机的网站。另一个示例可以包括在网络上运行的有助于连接重定向的应用程序。将意识到:在这里描述的系统并不限于这些实施例,并且预料本领域的技术人员可以设计替换的集中式重定向组件和技术。
在线集中式重定向器628包括定位器642,其被配置成从该组可信计算设备622、624和626中定位希望的可信计算设备622。例如,希望的设备622可以包括对于第二计算设备620具有希望的连接速度和/或邻近度的设备。以这种方式,在这个示例中,定位器能够基于用户预先安排的偏好或由集中式重定向器628设立的默认偏好从该组设备622、624和626中选择可信设备622。
在线集中式重定向器628进一步包括被配置成将连接632从第二计算设备620重定向640到希望的可信计算设备622的连接重定向器644。在这个实施例中,例如,第二计算机620连接到集中式重定向器628;并且连接重定向器644将那个连接重定向到被定位器642识别的希望的可信计算机622。以这种方式,例如,能够在第二计算机620与可信计算机622之间通过因特网636来建立632连接。
此外,在示例系统的这个实施例600中,例如,第二计算机620可能希望向网站630发送请求,以便在线购买物品。该请求能够在第二计算机620上使用插入计算机620中的存储设备514上的加密密钥来加密。该请求638能够通过不可信连接632作为加密数据被发送至可信计算机622(例如,通过因特网636),从而减少潜在的恶意用户使用窃取的数据。可信计算机622能够使用共享加密密钥来解密该请求,并通过可信网络连接634将该请求转发到网站630。
还一个实施例牵涉计算机可读介质,其包括被配置成实现在这里介绍的技术之中的一种或多种技术的处理器可执行指令。在图7中示出可以采用这些方式来设计的示例计算机可读介质,其中实施方式700包括计算机可读介质708(例如,CD-R、DVD-R或硬盘驱动器的盘片),在其上面是编码的计算机可读数据706。这个计算机可读数据706又包括一组计算机指令704,其被配置成根据在这里阐述的一个或多个原理来操作。在一个这样的实施例702中,例如,处理器可执行指令704可以被配置成执行诸如图2的示例方法200之类的方法。在另一个这样的实施例中,例如,处理器可执行指令704可以被配置成实现诸如图5的示例系统500之类的系统。本领域的普通技术人员可以设计出许多这样的计算机可读媒体,其被配置成根据在这里介绍的技术来操作。
虽然以特定于结构特征和/或方法动作的语言描述了主题,但是将明白:在所附的权利要求书中定义的主题不一定局限于上述的具体特征或动作。相反,上述的具体特征和动作被披露为实现这些权利要求的示例形式。
如在这个申请中所使用的,术语“组件”、“模块”、“系统”、“接口”等等一般用于指示计算机相关的实体、或硬件、硬件与软件的组合、软件或运行中的软件。例如,组件可以是但不限于在处理器上运行的过程、处理器、对象、可执行程序、运行的线程、程序和/或计算机。举例来说,在控制器上运行的应用程序以及控制器二者可以是组件。一个或多个组件可以驻留在过程和/或运行的线程内,并且组件可以被定位于一台计算机上和/或被分布在两台或更多台计算机之间。
此外,所请求保护的主题可以被实现为方法、设备或制品,其使用标准编程和/或工程技术来产生软件、固件、硬件或其任何组合,从而控制计算机来实现所披露的主题。如在这里使用的术语“制品”旨在包含从任何计算机可读设备、载体或媒体中可访问的计算机程序。当然,本领域技术人员将认识到:在不脱离所请求保护的主题的范围或精神的情况下,可以对这种配置进行许多修改。
图8和随后的讨论提供用于实现在这里阐述的一个或多个规定的实施例的合适计算环境的简短的一般性描述。图8的操作环境仅仅是合适操作环境的一个示例,并且不打算对于该操作环境的使用或功能的范围建议任何限制。示例计算设备包括但不限于:个人计算机、服务器计算机、手持或膝上型设备、移动设备(诸如移动电话、个人数字助理(PDA)、媒体播放器等等)、多处理器系统、消费类电子设备、迷你型计算机、大型计算机、包括任何上面的系统或设备的分布式计算环境等等。
虽然不作要求,但是在“计算机可读指令”由一个或多个计算设备执行的一般情况下描述实施例。计算机可读指令可以经由计算机可读媒体(如下所述)进行分布。计算机可读指令可以被实现为执行特定任务或实现特定抽象数据类型的程序模块,诸如功能、对象、应用编程接口(API)、数据结构等等。通常,在各种环境中可以根据需要来组合或分布这些计算机可读指令的功能。
图8示出包括被配置成实现在这里提供的一个或多个实施例的计算设备812的系统810的示例。在一种配置中,计算设备812包括至少一个处理单元816和存储器818。取决于计算设备的确切配置和类型,存储器818可以是易失性的(例如,诸如RAM)、非易失性的(例如,诸如ROM、闪速存储器等等)或这二者的某种组合。在图8中利用虚线814示出这种配置。
在其他的实施例中,设备812可以包括附加的特征和/或功能。例如,设备812也可以包括(例如,可拆卸的和/或不可拆卸的)附加存储设备,这包括但不限于:磁存储设备、光存储设备等等。在图8中利用存储设备820示出这样的附加存储设备。在一个实施例中,用于实现在这里提供的一个或多个实施例的计算机可读指令可以位于存储设备820中。存储设备820也可以存储用于实现操作系统、应用程序等等的其他计算机可读指令。例如,计算机可读指令可以被加载到存储器818中,以便由处理单元816运行。
如在这里使用的术语“计算机可读媒体”包括计算机存储媒体。计算机存储媒体包括在用于存储诸如计算机可读指令或其他数据之类的信息的任何方法或技术中实现的易失性和非易失性的、可拆卸和不可拆卸的媒体。存储器818和存储设备820是计算机存储媒体的示例。计算机存储媒体包括但不限于RAM、ROM、EEPROM、闪速存储器或其他存储技术、CD-ROM、数字多用途碟片(DVD)或其他光存储设备、磁带盒、磁带、磁盘存储设备或其他磁存储设备或者能够用于存储希望的信息且能够被设备812访问的任何其他的介质。任何这样的计算机存储媒体可以是设备812的一部分。
设备812也可以包括允许设备812与其他设备通信的一个或多个通信连接826。一个或多个通信连接826可以包括但不限于调制解调器、网络接口卡(NIC)、集成网络接口、射频发射机/接收机、红外端口、USB连接或用于将计算设备812连接到其他计算设备的其他接口。一个或多个通信连接826可以包括有线连接或无线连接。一个或多个通信连接826可以发送和/或接收通信媒体。
术语“计算机可读媒体”可以包括通信媒体。通信媒体通常在诸如载波或其他传输机制之类的“调制的数据信号”中体现计算机可读指令或其他数据,并且包括任何信息传递媒体。术语“调制的数据信号”可以包括这样的信号,该信号的特性之中的一个或多个特性利用在该信号中编码信息的方式进行设置或改变。
设备812可以包括一个或多个输入设备824,诸如键盘、鼠标、笔、语音输入设备、触摸输入设备、红外相机、视频输入设备和/或任何其他输入设备。在设备812中也可以包括一个或多个输出设备822,诸如一个或多个显示器、扬声器、打印机和/或任何其他的输出设备。一个或多个输入设备824以及一个或多个输出设备822可以经由有线连接、无线连接或其任何组合被连接到设备812。在一个实施例中,另一个计算设备中的输入设备或输出设备可以被用作计算设备812的一个或多个输入设备824或者一个或多个输出设备822。
计算设备812的组件可以利用诸如总线之类的各种互连来连接。这样的互连可以包括外围组件互连(PCI),诸如PCIExpress、通用串行总线(USB)、火线(IEEE1394)、光学总线结构等等。在另一实施例中,计算设备812的组件可以通过网络来互连。例如,存储器818可以包括位于利用网络互联的不同物理位置中的多个物理存储单元。
本领域技术人员将认识到:用于存储计算机可读指令的存储设备可以被分布在网络上。例如,通过网络828可访问的计算设备830可以存储用于实现在这里提供的一个或多个实施例的计算机可读指令。计算设备812可以访问计算设备830以及下载一部分或所有的计算机可读指令来运行。作为选择,计算设备812可以根据需要下载计算机可读指令块,或者某些指令可以在计算设备812上运行,而某些指令可以在计算设备830上运行。
在这里提供实施例的各种操作。在一个实施例中,所描述的一个或多个操作可以构成存储在一个或多个计算机可读媒体上的计算机可读指令,其中如果由计算设备运行的话,这些指令将导致计算设备执行所描述的操作。用于描述某些或所有操作的顺序不应该被解释成暗示这些操作必定是顺序相关的。得益于此描述的本领域技术人员将意识到替换的排序。进一步,将明白:不是所有的操作都一定出现在这里提供的每一个实施例中。
此外,词“示例”在这里用于表示用作示例、实例或例证。在这里被描述为“示例”的任何方面或设计不一定被解释成优于其他的方面或设计。相反,词“示例”的使用打算以具体的方式来介绍概念。如在这个申请中使用的,术语“或”打算表示包含性的“或”而非排他性的“或”。换言之,除非另外指明或者从上下文中是清楚的,否则“X采用A或B”旨在表示任何的自然包容置换。即,如果X采用A;X采用B;或X采用A和B二者,那么在任何前述实例中满足“X采用A或B”。此外,除非另外指明或者从上下文中清楚其涉及单数形式,否则在这个申请以及所附的权利要求书中使用的冠词“一”和“一个”一般可以被解释成表示“一个或多个”的意思。
此外,虽然本披露内容相对于一个或多个实现方式进行显示和描述了,但是对于本领域的技术人员来说,通过阅读和理解这个说明书以及附图,等效的替换和修改将发生。本披露内容包括所有这样的修改和替换,并且仅利用随后的权利要求书的范围来限制。特别地,对于由上述组件(例如,元件、资源等等)执行的各种功能,除非另外指明,否则用于描述这样的组件的术语用于与执行所述组件的特定功能的任何组件相对应(例如,在功能上是等效的),即使在结构上不等效于所披露的在这里示出的该披露内容的示例实现方式中执行功能的结构。此外,虽然本披露内容的特定特征可能已对照若干实现方式中的仅仅一种实现方式进行披露了,但是这样的特征可以与其他实施方式的一个或多个其他特征进行组合,其中这样的组合对于任何给定的或特定的应用而言可能是希望的和有利的。此外,对于在具体描述或权利要求书中使用术语“包括”、“具有”、“有”、“带有”或其变体的程度,这样的术语打算以类似于术语“包括”的方式而是包括在内的。
Claims (12)
1.一种用于使用连接到可信网络的可信计算设备为连接到不可信网络的计算设备创建安全在线环境的方法,包括:
在使用一个或多个可信网络进行在线访问的一组可信计算设备中的第一可信计算设备上从便携式存储设备安装代理服务器;
为第一可信计算设备和便携式存储设备生成一个或多个共享加密密钥;
从访问不可信网络的第二计算设备启动与第一可信计算设备的联系,其包括使用第二计算设备通过不可信网络从便携式存储设备启动代理服务器协议;
使用共享加密密钥在第二计算设备与第一可信计算设备之间创建安全连接;以及
通过正使用可信网络的第一可信计算设备为正使用不可信网络的第二计算设备代理数据业务。
2.权利要求1的方法,包括:
从便携式存储设备在该组可信计算设备中的相应可信计算设备上安装代理服务器;以及
为便携式存储设备以及该组可信计算设备中的相应可信计算设备生成一个或多个共享加密密钥。
3.权利要求2的方法,启动与该组可信计算设备中的第一可信计算设备的联系包括:从该组可信计算设备中选择希望的可信计算设备。
4.权利要求2的方法,启动与该组可信计算设备中的第一可信计算设备的联系包括:
第二计算设备连接到在线集中式重定向网站;
在线集中式重定向网站从该组可信计算设备中定位希望的可信计算设备;以及
在线集中式重定向网站将连接从第二计算设备重定向到希望的可信计算设备。
5.权利要求3或4的方法,希望的可信计算设备包括提供至第二计算设备的希望的邻近度以及希望的连接速度的可信计算设备。
6.权利要求1的方法,为第二计算设备代理数据业务包括:
通过第一可信计算设备将来自第二计算设备的出站数据业务代理至可信网络;以及
通过第一可信计算设备将来自可信网络的入站数据业务代理至第二计算设备。
7.权利要求1的方法,为第一可信计算设备和便携式存储设备生成一个或多个共享加密密钥包括:
为第一可信计算设备生成公钥/私钥对;
将私钥存储在第一可信计算设备上;以及
将公钥写入便携式存储设备。
8.一种用于使用连接到可信网络的可信计算设备为连接到不可信网络的计算设备创建安全在线环境的系统,包括:
代理服务器安装器,其被配置成在使用一个或多个可信网络进行网络访问的一组可信计算设备中的第一可信计算设备上从便携式存储设备安装代理服务器;
加密密钥生成器,其被配置成为第一可信计算设备和便携式存储设备生成一个或多个共享加密密钥;和
被部署在便携式存储设备上的安全连接生成器,其包括被配置成使用第二计算设备从便携式存储设备启动代理服务器协议的代理服务器启动器,其中第二计算设备访问不可信网络,并且安全连接生成器被配置成:
使用代理服务器协议,通过不可信网络从第二计算设备启动与第一可信计算设备的联系;
通过不可信网络,使用共享加密密钥在第二计算设备与第一可信计算设备之间创建安全连接;以及
通过正使用可信网络的第一可信计算设备为正使用不可信网络的第二计算设备代理数据业务。
9.权利要求8的系统,代理服务器安装器和加密密钥生成器被部署在便携式存储设备上。
10.权利要求8的系统,包括被配置成有助于将第二计算设备连接到希望的可信计算设备的在线集中式重定向器,其包括:
定位器,其被配置成从该组可信计算设备中定位希望的可信计算设备;以及
连接重定向器,其被配置成将连接从第二计算设备重定向到希望的可信计算设备。
11.权利要求10的系统,该组可信计算设备被配置成提供由在线集中式重定向器使用的联系信息。
12.权利要求10的系统,希望的可信计算设备被部署在与第二计算设备相距希望的距离上,并且被配置成提供希望的连接速度。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/468948 | 2009-05-20 | ||
| US12/468,948 US8732451B2 (en) | 2009-05-20 | 2009-05-20 | Portable secure computing network |
| PCT/US2010/034436 WO2010135108A2 (en) | 2009-05-20 | 2010-05-11 | Portable secure computing network |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102428675A CN102428675A (zh) | 2012-04-25 |
| CN102428675B true CN102428675B (zh) | 2015-11-25 |
Family
ID=43125347
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201080021894.2A Active CN102428675B (zh) | 2009-05-20 | 2010-05-11 | 便携式安全计算网络 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US8732451B2 (zh) |
| EP (1) | EP2433388B1 (zh) |
| JP (1) | JP5546628B2 (zh) |
| KR (1) | KR101667438B1 (zh) |
| CN (1) | CN102428675B (zh) |
| BR (1) | BRPI1014372A2 (zh) |
| RU (1) | RU2011147014A (zh) |
| WO (1) | WO2010135108A2 (zh) |
Families Citing this family (80)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003058879A1 (en) | 2002-01-08 | 2003-07-17 | Seven Networks, Inc. | Secure transport for mobile communication network |
| US7917468B2 (en) | 2005-08-01 | 2011-03-29 | Seven Networks, Inc. | Linking of personal information management data |
| US7292198B2 (en) | 2004-08-18 | 2007-11-06 | Ruckus Wireless, Inc. | System and method for an omnidirectional planar antenna apparatus with selectable elements |
| US7193562B2 (en) | 2004-11-22 | 2007-03-20 | Ruckus Wireless, Inc. | Circuit board having a peripheral antenna apparatus with selectable antenna elements |
| US7358912B1 (en) | 2005-06-24 | 2008-04-15 | Ruckus Wireless, Inc. | Coverage antenna apparatus with selectable horizontal and vertical polarization elements |
| US7893882B2 (en) | 2007-01-08 | 2011-02-22 | Ruckus Wireless, Inc. | Pattern shaping of RF emission patterns |
| US8438633B1 (en) | 2005-04-21 | 2013-05-07 | Seven Networks, Inc. | Flexible real-time inbox access |
| WO2006136660A1 (en) | 2005-06-21 | 2006-12-28 | Seven Networks International Oy | Maintaining an ip connection in a mobile network |
| US8009644B2 (en) | 2005-12-01 | 2011-08-30 | Ruckus Wireless, Inc. | On-demand services by wireless base station virtualization |
| US7769395B2 (en) | 2006-06-20 | 2010-08-03 | Seven Networks, Inc. | Location-based operations and messaging |
| US9071583B2 (en) | 2006-04-24 | 2015-06-30 | Ruckus Wireless, Inc. | Provisioned configuration for automatic wireless connection |
| EP2013758B1 (en) | 2006-04-24 | 2016-08-03 | Ruckus Wireless, Inc. | Dynamic authentication in secured wireless networks |
| US9769655B2 (en) | 2006-04-24 | 2017-09-19 | Ruckus Wireless, Inc. | Sharing security keys with headless devices |
| US8805425B2 (en) | 2007-06-01 | 2014-08-12 | Seven Networks, Inc. | Integrated messaging |
| US8364181B2 (en) | 2007-12-10 | 2013-01-29 | Seven Networks, Inc. | Electronic-mail filtering for mobile devices |
| US9002828B2 (en) | 2007-12-13 | 2015-04-07 | Seven Networks, Inc. | Predictive content delivery |
| US8862657B2 (en) | 2008-01-25 | 2014-10-14 | Seven Networks, Inc. | Policy based content service |
| US20090193338A1 (en) | 2008-01-28 | 2009-07-30 | Trevor Fiatal | Reducing network and battery consumption during content delivery and playback |
| US8787947B2 (en) | 2008-06-18 | 2014-07-22 | Seven Networks, Inc. | Application discovery on mobile devices |
| US8078158B2 (en) | 2008-06-26 | 2011-12-13 | Seven Networks, Inc. | Provisioning applications for a mobile device |
| US8909759B2 (en) | 2008-10-10 | 2014-12-09 | Seven Networks, Inc. | Bandwidth measurement |
| US8838783B2 (en) | 2010-07-26 | 2014-09-16 | Seven Networks, Inc. | Distributed caching for resource and mobile network traffic management |
| CA2806527A1 (en) | 2010-07-26 | 2012-02-09 | Seven Networks, Inc. | Mobile network traffic coordination across multiple applications |
| US9413558B2 (en) * | 2010-08-31 | 2016-08-09 | Hewlett-Packard Development Company, L.P. | Communicating between electronic devices using a portable storage device |
| US20120079122A1 (en) * | 2010-09-24 | 2012-03-29 | Research In Motion Limited | Dynamic switching of a network connection based on security restrictions |
| US9160693B2 (en) | 2010-09-27 | 2015-10-13 | Blackberry Limited | Method, apparatus and system for accessing applications and content across a plurality of computers |
| US8843153B2 (en) | 2010-11-01 | 2014-09-23 | Seven Networks, Inc. | Mobile traffic categorization and policy for network use optimization while preserving user experience |
| WO2012060995A2 (en) | 2010-11-01 | 2012-05-10 | Michael Luna | Distributed caching in a wireless network of content delivered for a mobile application over a long-held request |
| US8484314B2 (en) | 2010-11-01 | 2013-07-09 | Seven Networks, Inc. | Distributed caching in a wireless network of content delivered for a mobile application over a long-held request |
| WO2012071384A2 (en) | 2010-11-22 | 2012-05-31 | Michael Luna | Optimization of resource polling intervals to satisfy mobile device requests |
| EP2661697B1 (en) | 2011-01-07 | 2018-11-21 | Seven Networks, LLC | System and method for reduction of mobile network traffic used for domain name system (dns) queries |
| US20120271903A1 (en) | 2011-04-19 | 2012-10-25 | Michael Luna | Shared resource and virtual resource management in a networked environment |
| GB2505585B (en) | 2011-04-27 | 2015-08-12 | Seven Networks Inc | Detecting and preserving state for satisfying application requests in a distributed proxy and cache system |
| WO2012149216A2 (en) | 2011-04-27 | 2012-11-01 | Seven Networks, Inc. | Mobile device which offloads requests made by a mobile application to a remote entity for conservation of mobile device and network resources and methods therefor |
| EP2705429B1 (en) | 2011-05-01 | 2016-07-06 | Ruckus Wireless, Inc. | Remote cable access point reset |
| EP2737732A4 (en) | 2011-07-27 | 2015-02-18 | Seven Networks Inc | MOBILE DEVICE USE CONTROL IN A MOBILE NETWORK BY A DISTRIBUTED PROXY SYSTEM |
| EP2737742A4 (en) | 2011-07-27 | 2015-01-28 | Seven Networks Inc | AUTOMATIC PRODUCTION AND DISTRIBUTION OF GUIDELINES INFORMATION ON MOBILE MOBILE TRANSPORT IN A WIRELESS NETWORK |
| US8930492B2 (en) | 2011-10-17 | 2015-01-06 | Blackberry Limited | Method and electronic device for content sharing |
| US8918503B2 (en) | 2011-12-06 | 2014-12-23 | Seven Networks, Inc. | Optimization of mobile traffic directed to private networks and operator configurability thereof |
| EP2789138B1 (en) | 2011-12-06 | 2016-09-14 | Seven Networks, LLC | A mobile device and method to utilize the failover mechanisms for fault tolerance provided for mobile traffic management and network/device resource conservation |
| GB2498064A (en) | 2011-12-07 | 2013-07-03 | Seven Networks Inc | Distributed content caching mechanism using a network operator proxy |
| WO2013086447A1 (en) | 2011-12-07 | 2013-06-13 | Seven Networks, Inc. | Radio-awareness of mobile device for sending server-side control signals using a wireless network optimized transport protocol |
| WO2013090212A1 (en) | 2011-12-14 | 2013-06-20 | Seven Networks, Inc. | Mobile network reporting and usage analytics system and method using aggregation of data in a distributed traffic optimization system |
| GB2499306B (en) | 2012-01-05 | 2014-10-22 | Seven Networks Inc | Managing user interaction with an application on a mobile device |
| US9203864B2 (en) | 2012-02-02 | 2015-12-01 | Seven Networks, Llc | Dynamic categorization of applications for network access in a mobile network |
| WO2013116852A1 (en) | 2012-02-03 | 2013-08-08 | Seven Networks, Inc. | User as an end point for profiling and optimizing the delivery of content and data in a wireless network |
| US8756668B2 (en) | 2012-02-09 | 2014-06-17 | Ruckus Wireless, Inc. | Dynamic PSK for hotspots |
| US10186750B2 (en) | 2012-02-14 | 2019-01-22 | Arris Enterprises Llc | Radio frequency antenna array with spacing element |
| US9634403B2 (en) | 2012-02-14 | 2017-04-25 | Ruckus Wireless, Inc. | Radio frequency emission pattern shaping |
| US9015809B2 (en) | 2012-02-20 | 2015-04-21 | Blackberry Limited | Establishing connectivity between an enterprise security perimeter of a device and an enterprise |
| US8646074B1 (en) * | 2012-03-14 | 2014-02-04 | Symantec Corporation | Systems and methods for enabling otherwise unprotected computing devices to assess the reputations of wireless access points |
| US9092610B2 (en) * | 2012-04-04 | 2015-07-28 | Ruckus Wireless, Inc. | Key assignment for a brand |
| US8812695B2 (en) | 2012-04-09 | 2014-08-19 | Seven Networks, Inc. | Method and system for management of a virtual network connection without heartbeat messages |
| WO2013155208A1 (en) | 2012-04-10 | 2013-10-17 | Seven Networks, Inc. | Intelligent customer service/call center services enhanced using real-time and historical mobile application and traffic-related statistics collected by a distributed caching system in a mobile network |
| US9009525B1 (en) * | 2012-06-07 | 2015-04-14 | Western Digital Technologies, Inc. | Methods and systems for NAS device pairing and mirroring |
| WO2014011216A1 (en) | 2012-07-13 | 2014-01-16 | Seven Networks, Inc. | Dynamic bandwidth adjustment for browsing or streaming activity in a wireless network based on prediction of user behavior when interacting with mobile applications |
| JP5946374B2 (ja) * | 2012-08-31 | 2016-07-06 | 株式会社富士通エフサス | ネットワーク接続方法および電子機器 |
| US9161258B2 (en) | 2012-10-24 | 2015-10-13 | Seven Networks, Llc | Optimized and selective management of policy deployment to mobile clients in a congested network to prevent further aggravation of network congestion |
| US20140177497A1 (en) | 2012-12-20 | 2014-06-26 | Seven Networks, Inc. | Management of mobile device radio state promotion and demotion |
| US9241314B2 (en) | 2013-01-23 | 2016-01-19 | Seven Networks, Llc | Mobile device with application or context aware fast dormancy |
| US8874761B2 (en) | 2013-01-25 | 2014-10-28 | Seven Networks, Inc. | Signaling optimization in a wireless network for traffic utilizing proprietary and non-proprietary protocols |
| US8750123B1 (en) | 2013-03-11 | 2014-06-10 | Seven Networks, Inc. | Mobile device equipped with mobile network congestion recognition to make intelligent decisions regarding connecting to an operator network |
| US9065765B2 (en) | 2013-07-22 | 2015-06-23 | Seven Networks, Inc. | Proxy server associated with a mobile carrier for enhancing mobile traffic management in a mobile network |
| RU2583710C2 (ru) * | 2013-07-23 | 2016-05-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ обеспечения конфиденциальности информации, используемой во время операций аутентификации и авторизации, при использовании доверенного устройства |
| US9213820B2 (en) * | 2013-09-10 | 2015-12-15 | Ebay Inc. | Mobile authentication using a wearable device |
| CN104168565A (zh) * | 2014-08-13 | 2014-11-26 | 韩洪慧 | 一种非可信无线网络环境下智能终端安全通讯的控制方法 |
| WO2016129863A1 (en) | 2015-02-12 | 2016-08-18 | Samsung Electronics Co., Ltd. | Payment processing method and electronic device supporting the same |
| US9913193B2 (en) * | 2015-02-20 | 2018-03-06 | Qualcomm Incorporated | Access point steering |
| US10193700B2 (en) | 2015-02-27 | 2019-01-29 | Samsung Electronics Co., Ltd. | Trust-zone-based end-to-end security |
| EP3262582B1 (en) | 2015-02-27 | 2021-03-17 | Samsung Electronics Co., Ltd. | Electronic device providing electronic payment function and operating method thereof |
| KR102460459B1 (ko) | 2015-02-27 | 2022-10-28 | 삼성전자주식회사 | 전자 장치를 이용한 카드 서비스 방법 및 장치 |
| US10574745B2 (en) | 2015-03-31 | 2020-02-25 | Western Digital Technologies, Inc. | Syncing with a local paired device to obtain data from a remote server using point-to-point communication |
| CN104902481B (zh) * | 2015-06-30 | 2019-05-21 | 北京奇虎科技有限公司 | 一种可以免流量的安全接管方法 |
| US10033712B2 (en) * | 2015-12-09 | 2018-07-24 | Google Llc | Network security based on proximity |
| US10261921B2 (en) * | 2016-02-19 | 2019-04-16 | Rajnarine Brigmohan | Universal secure platform virtualization system and method thereof |
| CN106453291B (zh) * | 2016-09-29 | 2020-02-21 | 恒大智慧科技有限公司 | 一种电子签批用户管理方法及系统 |
| KR102348078B1 (ko) * | 2018-01-12 | 2022-01-10 | 삼성전자주식회사 | 사용자 단말 장치, 전자 장치, 이를 포함하는 시스템 및 제어 방법 |
| DE102018132970A1 (de) * | 2018-10-10 | 2020-04-16 | Bayerische Motoren Werke Aktiengesellschaft | Verfahren und Vorrichtung zur Isolation von sensiblem nichtvertrauenswürdigem Programmcode auf mobilen Endgeräten |
| CN110109684B (zh) * | 2019-04-04 | 2023-06-09 | 平安科技(深圳)有限公司 | 区块链节点管理代理服务安装方法、电子装置及存储介质 |
| CN114553428B (zh) * | 2022-01-11 | 2023-09-22 | 北京三快在线科技有限公司 | 一种可信验证系统、装置、存储介质及电子设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1725227A (zh) * | 2004-07-19 | 2006-01-25 | 索尼德国有限责任公司 | 操作装置网络的方法 |
| US20060080545A1 (en) * | 2004-10-12 | 2006-04-13 | Bagley Brian B | Single-use password authentication |
| US20080092181A1 (en) * | 2006-06-13 | 2008-04-17 | Glenn Britt | Methods and apparatus for providing virtual content over a network |
Family Cites Families (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6178505B1 (en) * | 1997-03-10 | 2001-01-23 | Internet Dynamics, Inc. | Secure delivery of information in a network |
| US7111172B1 (en) * | 1999-07-19 | 2006-09-19 | Rsa Security Inc. | System and methods for maintaining and distributing personal security devices |
| US7124189B2 (en) * | 2000-12-20 | 2006-10-17 | Intellisync Corporation | Spontaneous virtual private network between portable device and enterprise network |
| US7353380B2 (en) | 2001-02-12 | 2008-04-01 | Aventail, Llc, A Subsidiary Of Sonicwall, Inc. | Method and apparatus for providing secure streaming data transmission facilities using unreliable protocols |
| US7882555B2 (en) * | 2001-03-16 | 2011-02-01 | Kavado, Inc. | Application layer security method and system |
| US7099917B2 (en) * | 2001-04-18 | 2006-08-29 | Openwave Systems Inc. | Method of providing a proxy server based service to a communications device on a network |
| US20020162021A1 (en) * | 2001-04-30 | 2002-10-31 | Audebert Yves Louis Gabriel | Method and system for establishing a remote connection to a personal security device |
| US7228438B2 (en) | 2001-04-30 | 2007-06-05 | Matsushita Electric Industrial Co., Ltd. | Computer network security system employing portable storage device |
| US6986047B2 (en) | 2001-05-10 | 2006-01-10 | International Business Machines Corporation | Method and apparatus for serving content from a semi-trusted server |
| US6970918B2 (en) * | 2001-09-24 | 2005-11-29 | International Business Machines Corporation | System and method for transcoding support of web content over secure connections |
| AU2003239343A1 (en) | 2002-05-01 | 2003-11-17 | Bruce Eric Ross | System for configuring client computers to a secure host using smart cards |
| US20050160161A1 (en) * | 2003-12-29 | 2005-07-21 | Nokia, Inc. | System and method for managing a proxy request over a secure network using inherited security attributes |
| US7373661B2 (en) * | 2005-02-14 | 2008-05-13 | Ethome, Inc. | Systems and methods for automatically configuring and managing network devices and virtual private networks |
| US20090199009A1 (en) | 2005-06-07 | 2009-08-06 | Pei Yen Chia | Systems, methods and computer program products for authorising ad-hoc access |
| US8028329B2 (en) * | 2005-06-13 | 2011-09-27 | Iamsecureonline, Inc. | Proxy authentication network |
| JP2009512018A (ja) | 2005-10-06 | 2009-03-19 | シー・サム,インコーポレイテッド | トランザクションサービス |
| US8434147B2 (en) * | 2005-11-07 | 2013-04-30 | International Business Machines Corporation | Method, system and program product for remotely verifying integrity of a system |
| US7444670B2 (en) * | 2006-03-21 | 2008-10-28 | International Business Machines Corporation | Method and apparatus for migrating a virtual TPM instance and preserving uniqueness and completeness of the instance |
| US9419955B2 (en) | 2006-03-28 | 2016-08-16 | Inventergy Inc. | System and method for carrying trusted network provided access network information in session initiation protocol |
| US9141819B2 (en) * | 2006-11-08 | 2015-09-22 | International Business Machines Corporation | Encrypted tape access control via challenge-response protocol |
| US8255696B2 (en) * | 2007-05-01 | 2012-08-28 | Microsoft Corporation | One-time password access to password-protected accounts |
| IL187492A0 (en) * | 2007-09-06 | 2008-02-09 | Human Interface Security Ltd | Information protection device |
| US9112702B2 (en) * | 2009-04-29 | 2015-08-18 | Microsoft Technology Licensing, Llc | Alternate authentication |
-
2009
- 2009-05-20 US US12/468,948 patent/US8732451B2/en active Active
-
2010
- 2010-05-11 EP EP10778114.8A patent/EP2433388B1/en active Active
- 2010-05-11 KR KR1020117027558A patent/KR101667438B1/ko active IP Right Grant
- 2010-05-11 CN CN201080021894.2A patent/CN102428675B/zh active Active
- 2010-05-11 BR BRPI1014372A patent/BRPI1014372A2/pt not_active Application Discontinuation
- 2010-05-11 JP JP2012511889A patent/JP5546628B2/ja not_active Expired - Fee Related
- 2010-05-11 WO PCT/US2010/034436 patent/WO2010135108A2/en active Application Filing
- 2010-05-11 RU RU2011147014/08A patent/RU2011147014A/ru not_active Application Discontinuation
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1725227A (zh) * | 2004-07-19 | 2006-01-25 | 索尼德国有限责任公司 | 操作装置网络的方法 |
| US20060080545A1 (en) * | 2004-10-12 | 2006-04-13 | Bagley Brian B | Single-use password authentication |
| US20080092181A1 (en) * | 2006-06-13 | 2008-04-17 | Glenn Britt | Methods and apparatus for providing virtual content over a network |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2433388B1 (en) | 2017-03-29 |
| WO2010135108A2 (en) | 2010-11-25 |
| KR101667438B1 (ko) | 2016-10-18 |
| JP5546628B2 (ja) | 2014-07-09 |
| EP2433388A2 (en) | 2012-03-28 |
| RU2011147014A (ru) | 2013-05-27 |
| CN102428675A (zh) | 2012-04-25 |
| EP2433388A4 (en) | 2014-07-23 |
| BRPI1014372A2 (pt) | 2016-04-05 |
| US8732451B2 (en) | 2014-05-20 |
| JP2012527830A (ja) | 2012-11-08 |
| KR20120026499A (ko) | 2012-03-19 |
| WO2010135108A3 (en) | 2011-02-03 |
| US20100299518A1 (en) | 2010-11-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102428675B (zh) | 便携式安全计算网络 | |
| US11750589B2 (en) | System and method for secure application communication between networked processors | |
| JP2019204519A (ja) | ポータル認証 | |
| US8634771B2 (en) | Simple peer-to-peer network formation | |
| RU2542911C2 (ru) | Установление однорангового сеанса с малым временем ожидания | |
| US9819679B1 (en) | Hardware assisted provenance proof of named data networking associated to device data, addresses, services, and servers | |
| JP2018534852A (ja) | デバイス間のセキュアアソシエーションのためのインターネット鍵交換(ike) | |
| CN107172001B (zh) | 网站代理服务器的控制方法及装置、密钥代理服务器 | |
| US8019879B2 (en) | Wireless communications systems and wireless communications methods | |
| CN106878133A (zh) | 报文转发方法及装置 | |
| JP3833652B2 (ja) | ネットワークシステム、サーバ装置、および認証方法 | |
| US11012430B1 (en) | User equipment relay mediated network channels with blockchain logging | |
| CN111726328B (zh) | 用于对第一设备进行远程访问的方法、系统以及相关设备 | |
| US20080092206A1 (en) | Security protocol control apparatus and security protocol control method | |
| JP2008219643A (ja) | 携帯端末装置、携帯電話機、vpn接続システム、vpn接続方法、およびプログラム | |
| US20220278966A1 (en) | Secure Virtual Personalized Network with Preconfigured Wallets | |
| US10367848B2 (en) | Transmitting relay device identification information in response to broadcast request if device making request is authorized | |
| EP2748715B1 (en) | Techniques for accessing logical networks via a programmatic service call | |
| JP3911697B2 (ja) | ネットワーク接続機器、ネットワーク接続方法、ネットワーク接続用プログラムおよびそのプログラムを記憶した記憶媒体 | |
| US20220278967A1 (en) | Verified Anonymous Persona for a Distributed Token | |
| JP3796496B2 (ja) | セキュリティ管理装置、方法、及び、プログラム | |
| CN114239010A (zh) | 一种多节点分布式认证方法、系统、电子设备及介质 | |
| CN116155480A (zh) | 临床试验的远程监查方法及装置、电子设备、存储介质 | |
| CN111797417A (zh) | 文件的上传方法和装置、存储介质及电子装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: MICROSOFT TECHNOLOGY LICENSING LLC Free format text: FORMER OWNER: MICROSOFT CORP. Effective date: 20150616 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20150616 Address after: Washington State Applicant after: Micro soft technique license Co., Ltd Address before: Washington State Applicant before: Microsoft Corp. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |