CN103069774B - 安全地接入所通知的服务 - Google Patents
安全地接入所通知的服务 Download PDFInfo
- Publication number
- CN103069774B CN103069774B CN201180040777.5A CN201180040777A CN103069774B CN 103069774 B CN103069774 B CN 103069774B CN 201180040777 A CN201180040777 A CN 201180040777A CN 103069774 B CN103069774 B CN 103069774B
- Authority
- CN
- China
- Prior art keywords
- service provider
- trusted
- service
- party
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
在一个实施例中,一种方法包括:由端点向网络设备发送对关于可用服务的信息的请求;由端点接收来自网络设备的消息,该消息包括与第一服务提供商相关联的信息;由端点确定第一地址是否被受信第三方证实为与第一服务提供商相关联;如果第一地址被受信第三方证实,则端点利用该信息与第一服务提供商通信;以及响应于利用该信息与第一服务提供商通信,端点通过网络设备接收对来自第一服务提供商的服务的接入。
Description
技术领域
本公开一般地涉及无线通信。
背景技术
移动计算的增长引起了从各种位置对服务(例如网络服务)的接入。在许多情形中,这样的位置是可公开接入的(例如无线热点)。用户接入服务可能涉及诸如认证信息(例如,用户名和密码)和/或支付信息(例如,银行账号和信用卡信息)之类的敏感信息通过可公开接入的网络的传输。从公共位置接入服务对于多种攻击而言可能是易受攻击的。例如,攻击可能危及在试图接入服务时传输的敏感信息。又例如,攻击可能使得接入服务的节点被危害。攻击者可能使用中间人攻击。因此,在试图从可公开接入的网络接入服务时存在安全性弱点。
附图说明
图1示出用于安全地接入所通知的服务的示例性系统。
图2示出用于安全地接入所通知的服务的示例性方法。
图3示出用于安全的接入所通知的服务的另一示例性方法。
图4示出示例性计算机系统。
具体实施方式
概述
在一个实施例中,一种方法包括:由端点(endpoint)向网络设备发送对关于可用服务的信息的请求;由端点接收来自网络设备的消息,该消息包括与第一服务提供商相关联的信息;由端点确定该信息是否被受信第三方(trustedthirdparty)证实为与第一服务提供商相关联;如果第一地址被受信第三方证实,则端点利用该信息与第一服务提供商通信;以及响应于利用该信息与第一服务提供商通信,端点通过网络设备接收对来自第一服务提供商的服务的接入。
描述
图1示出用于安全地接入所通知的服务的示例性系统100。系统100包括端点110、网络接入设备120、恶意节点(maliciousnode)130、网络140、一个或多个服务提供商150以及一个或多个受信第三方160。在特定实施例中,网络接入设备120向端点110提供通过网络140对由服务提供商150提供的服务的接入,并且端点110利用受信第三方160提供的信息来确定是否接入这些服务。这样的服务可以包括辅助对一个或多个特定网络(可以包括但不需要一定包括网络140)的接入或者与这一个或多个特定网络的通信。例如,服务提供商150可以向端点110提供对因特网的接入。恶意节点130可能试图通过向端点110服务来使得端点110向恶意节点130提供信息。
在特定实施例中,网络140是自组织网络、内联网、外联网、虚拟私人网络(VPN)、局域网(LAN)、无线LAN(WLAN)、广域网(WAN)、无线WAN(WWAN)、城域网(MAN)、因特网的一部分、公共交换电话网(PSTN)的一部分、蜂窝电话网络或者另一网络140或两个或更多个这样的网络140的组合。网络140可以包括一个或多个网络140。本公开考虑任何合适的网络140。链路170将端点110耦接到网络接入设备120和恶意节点130,并且将网络接入设备120、服务提供商150和受信第三方耦接到网络140。在特定实施例中,一个或多个链路170各自包括一个或多个有线、无线或光学链路。在特定实施例中,一个或多个链路170各自包括自组织网络、内联网、外联网、VPN、LAN、WLAN、WAN、WWAN、MAN、因特网的一部分、PSTN的一部分、蜂窝电话网络或者另一链路140或两个或更多个这样的链路170的组合。链路170可以包括一个或多个链路170。本公开考虑任何合适的链路170。链路170在整个系统100中不需要一定是相同的。一个或多个第一链路170可以在一个或多个方面不同于一个或多个第二链路170。
在特定实施例中,端点110使得端点110处的人能够访问服务提供商150提供的服务。作为示例而非为了限制,端点110可以接入由网络接入设备120提供的无线网络,并且服务提供商150可以向网络接入设备120提供对因特网的接入。结果,端点110可以通过网络接入设备120接入由服务提供商150提供的因特网服务。端点110可以是智能电话(或者称手持电话)、个人数字助理(PDA)、平板计算机系统、上网本、膝上型计算机系统、桌面计算机系统、信息亭计算机系统、这些中的两个或更多个的组合或者任何其他合适的端点110。
端点110可以包括通信模块112(COM112)。作为示例而非为了限制,COM112可以包括一个或多个硬件或软件组件或者两个或更多个这样的组件的组合,用于与网络接入设备120、服务提供商150或者受信第三方160通信。COM112可以是在接收和处理服务公告时启用或者辅助通信、认证或验证的耦接到端点110的设备。作为示例而非为了限制,COM112可以处理在端点110处从网络接入设备120接收的服务公告。该服务公告通知了来自服务提供商150的服务。在特定实施例中,服务公告可以源自与网络接入设备120分离并且可通过网络接入设备120访问的设备。COM112可以使用受信第三方160提供的证书来认证服务提供商150在所接收的服务公告中的身份。如果服务提供商150通过认证,则COM112可以使用服务公告中的信息来联系服务提供商150并接入所通知的服务。
在特定实施例中,网络接入设备120辅助对网络140的接入。作为示例而非为了限制,网络接入设备120可以直接或者通过另一设备(例如调制解调器)耦接到网络140。网络接入设备120可以提供端点110所接入的无线网络。因此,在该示例中,网络接入设备120可以利用无线网络从网络140向端点110发送信息并且可以从端点110向网络140发送信息。作为示例而非为了限制,网络接入设备120可以包括一个或多个防火墙、路由器、热点、网关、代理、接入点(AP)、集线器、服务器、适配器或者这些中的两个或更多个的组合。本公开考虑任何合适的网络接入设备120。在特定实施例中,网络接入设备120或者网络140可以包括创建诸如非军事区(DMZ)之类的安全性地区或者安全网络的防火墙或者其他硬件或软件组件。
在特定实施例中,恶意节点130可能就好像网络接入设备120在向端点110提供服务一样向端点110提供这些服务。作为示例而非为了限制,恶意节点130可能就好像服务是在由服务提供商150提供的一样来通知提供对因特网的接入的服务。恶意节点130可能向端点110传送看起来与一个或多个服务提供商150相关联的虚假信息。作为示例而非为了限制,恶意节点130可以向端点110提供看起来是来自服务提供商150的虚假服务宣告。该虚假服务宣告可以包括地址(例如,统一资源定位符(URL)或者其他地址),以供端点110跟随该地址来接入所虚假地宣告的服务。如果端点110跟随该地址,则恶意节点130可能试图收集来自端点110的敏感信息,例如金融信息。在特定实施例中,如果端点110跟随该地址,则恶意节点130可能试图在端点110上安装恶意软件(例如,病毒、特洛伊木马或者间谍软件)。恶意节点130可以是智能电话、PDA、平板计算机系统、上网本、膝上型计算机系统、桌面计算机系统或者信息亭计算机系统或者这些中的两个或更多个的组合。本公开考虑任何合适的恶意节点。
在特定实施例中,服务提供商150通过网络140提供服务。服务提供商150可以提供的示例性服务包括网络接入服务、因特网接入服务、企业网络服务、媒体访问服务和虚拟私人网络(VPN)服务。服务提供商150可以包括一个或多个防火墙、路由器、热点、网关、代理、接入点、集线器、服务器、适配器或者其他用于通过网络140提供服务的设备。本公开考虑提供任何合适的服务的任何合适的服务提供商150。作为示例而非为了限制,服务提供商150可以提供对因特网的接入。端点110可以从网络接入设备120接收服务公告,该服务公告包含关于服务提供商150的因特网接入服务的信息。端点110可以使用该信息来联系服务提供商150以及接收因特网接入。在特定实施例中,服务提供商150与一个或多个受信第三方160相关联。
在特定实施例中,受信第三方160为端点110验证服务提供商150的身份。作为示例而非为了限制,端点110可以接收使用数字签名来识别服务提供商150的服务公告。受信第三方160可以向端点110提供用于验证数字签名与服务提供商150相关联的证书。受信第三方160可以包括一个或多个防火墙、路由器、网关、代理、服务器、数据库、适配器、密钥分发中心或者其他用于为端点110验证服务提供商150的身份的设备。本公开考虑任何合适的受信第三方160。在特定实施例中,受信第三方160可以是证书机构,例如VERISIGN。受信第三方160可以使用公钥私钥对来对服务提供商150提供的信息进行数字签名或者以其他方式进行认证。受信第三方160可以将端点110已知的或者由网络接入设备120、服务提供商150或者受信第三方160提供给端点110的数字证书用于认证和验证目的。在特定实施例中,受信第三方160可以由端点110的用户受雇于的或者以其他方式相关联的企业所拥有和操作。
在特定实施例中,系统100向端点110提供了通过网络接入设备120来选择并接入由服务提供商150通知的服务的安全方式。作为示例而非为了限制,网络接入设备120可以向端点110传送一个或多个消息,这一个或多个消息包含与一个或多个服务提供商150相关联的一个或多个服务公告或服务宣告。作为示例而非为了限制,网络接入设备120可以传送电气和电子工程帅协会(IEEE)802.11u移动服务公告协议(MSAP)公告,该公告包含与服务提供商150相关联的服务宣告。在特定实施例中,该公告可以源自与网络接入设备120分离并且可通过网络接入设备120访问的设备。这些消息可以包含与服务提供商150相关联的网络地址,端点110可以使用这些网络地址来接入所通知或宣告的服务。这些消息或者这些消息的一些部分也可以通过与一个或多个服务提供商150相关联的一个或多个密钥而被签名。端点110可能试图验证服务公告或服务宣告以帮助确保这些公告是由网络接入设备120代表服务提供商150发送的。端点110可以使用来自一个或多个受信第三方160的一个或多个证书、签名或密钥要验证在对消息进行签名时所使用的密钥对应于服务提供商150。在特定实施例中,这一个或多个证书、签名或密钥可以在接收消息之前存储在端点110处。如果端点110验证出密钥对应于服务提供商150,则端点110然后可以使用这些密钥来试图确定服务提供商150是否具有关于所通知或宣告的服务的经认证信息。端点110然后可以向端点110处的用户呈现选择服务提供商150之一的选项。端点110在向用户呈现该选项时可以使用在服务宣告或服务公告中找到的标志(logo)、图标或者文本。在特定实施例中,标志或者图标可以用诸如图形交换格式(GIF)、便携式网络图形(PNG)或者其他合适格式之类的图形格式来表示。在接收到来自用户的选择之后,端点110可以利用在消息中(例如在服务宣告或者服务公告中)找到的相关地址来接入用户所选择的由服务提供商150提供的服务。在特定实施例中,当接入服务时,端点110可以接收来自该服务的认证信息并且验证该认证信息与服务公告中由服务提供商150签字的信息相一致。
在特定实施例中,端点110可以认证网络接入设备120或者源发该公告的设备。该公告可以包括如下信息:该信息识别被允许通知一个或多个服务的实体。例如,媒体服务提供商可以表明它的服务仅可从特定特许经营店(例如饭店或者咖啡店特许经营店)处的热点接入设备来通知。这样的信息可以在由服务提供商150签名的信息的一部分中。在特定实施例中,端点110可以随后接收通知一服务的消息,并且使用识别被允许通知一个或多个服务的实体的信息来验证从批准的实体接收到的消息。例如,端点110可以接收通知一服务的消息,并且因为端点110先前已将网络接入设备120识别为用于通知该服务的批准实体,所以在验证该消息是从网络接入设备120接收的之后向用户呈现该服务供应。
在特定实施例中,恶意节点130可能试图向端点110供应服务。恶意节点130可能实际上不提供任何服务,而是试图看起来像是服务提供商,例如服务提供商150。恶意节点130可能试图从端点110获得敏感信息,例如认证信息或者金融信息。作为示例而非为了限制,尽管恶意节点130实际上可能提供或者可能不提供所通知的服务,但是恶意节点130可能作为允许接入它所通知的服务的条件而从端点110请求认证信息或者金融信息。
图2示出用于安全地接入所通知的服务的示例性方法200。该方法开始于步骤205,在步骤205,端点从网络接入设备请求关于由一个或多个服务提供商提供的可用服务的信息。在特定实施例中,方法200的步骤可以由以下各项来执行:端点110和COM112(对于被描述为由端点执行的步骤),网络接入设备120(对于被描述为由网络接入设备执行的步骤),恶意节点130(对于被描述为由恶意节点执行的步骤),服务提供商150(对于被描述为由服务提供商执行的步骤),以及受信第三方160(对于被描述为由受信第三方执行的步骤)。在特定实施例中,端点可能在与公共位置(可以包括无线热点)处的网络接入设备通信。其他端点也可以位于与该网络接入设备通信的公共位置处。恶意节点也可能位于该公共位置处并且能够与网络接入设备和端点通信。作为示例而非为了限制,网络接入设备可以提供端点和恶意节点二者都可耦接到的无线或有线网络。在特定实施例中,网络接入设备可以提供公共IEEE802.11无线网络,该网络可以提供Wi-Fi热点。
在步骤210,在特定实施例中,端点可以从网络接入设备接收消息。例如,端点可以接收IEEE802.11u公告,例如MSAP公告。该消息可以包括来自一个或多个服务提供商(例如图1的服务提供商150)的一个或多个服务宣告。这一个或多个服务宣告可以包括关于由服务提供商提供的服务的信息,例如可以接入该服务的地址、关于(一个或多个)服务提供商的身份信息、与(一个或多个)服务提供商相关联的(一个或多个)标识符、关于由(一个或多个)服务提供商提供的(一个或多个)服务的描述或者关于所提供的(一个或多个)服务的配置信息。
在一些情形中,端点可以接收多个消息,每个消息包含关于一个或多个服务提供商的信息。所接收的(一个或多个)消息可以包括用于验证(一个或多个)服务提供商的身份或真实性的信息,例如一个或多个证书、数字签名或者安全性密钥。
在步骤215,在特定实施例中,端点可以根据在步骤210接收的(一个或多个)消息来确定一个或多个受信第三方(例如图1的受信第三方160a和160b)。服务提供商可以由受信第三方来验证或认证。可以使用受信第三方来认证与服务提供商相关联的身份信息,例如名称、图标或者公钥。受信第三方可以提供包括用于认证与服务提供商相关联的身份信息的信息的证书,例如在因特网工程任务组的请求注解3709(IETFRFC3709)中描述的X.509标志型证书。可以使用(一个或多个)消息中包括的一个或多个证书、数字签名或安全性密钥来确定消息中包括受信第三方。在特定实施例中,为了认证或者验证服务提供商的身份,端点可以识别受信第三方。例如,如果端点耦接到公共网络(例如Wi-Fi热点),则恶意节点为了危害该端点或者从该端点接收敏感信息(例如金融信息或者接入凭证),利用有效服务提供商的名称或者标志向该端点发送一个或多个虚假地通知服务的消息。恶意节点可能执行中间人攻击。如下面进一步讨论的,端点可以确定一个或多个第三方以验证或者认证在步骤210接收的(一个或多个)消息中表明的服务提供商的身份。
在步骤220,在特定实施例中,端点可以检索与在步骤215识别的受信第三方相关联的一个或多个证书、数字签名或者安全性密钥。端点可以从本地源(例如本地缓存)或者从远程源(例如服务器)来检索它们。例如,端点可以从诸如VERISIGN之类的证书储藏库来检索证书、公钥或者数字签名。在特定实施例中,证书储藏库可以由企业或者公告服务来提供。
在步骤225,在特定实施例中,一个或多个服务提供商密钥可被端点利用在步骤220检索的信息来认证。例如,在步骤210接收的消息可以包括来自服务提供商的利用该服务提供商的证书、数字签名或者密钥进行了签名或者保护的信息。(一个或多个)服务提供商密钥可以位于在步骤210接收的证书中。受信第三方可以提供如下的认证或者验证:用于对服务提供商信息进行签名或者保护的证书(或者数字签名或密钥)属于该服务提供商。例如,如果因特网服务提供商(ISP)通过网络接入设备通知了服务,则该ISP可以利用公告中所包括的密钥对信息进行数字签名。在步骤220从受信第三方检索的信息可以用于验证或者认证用于对ISP的信息进行签名的密钥属于该ISP。在该步骤可以执行其他形式的验证,例如验证(一个或多个)服务提供商使用的(一个或多个)证书尚未过期并且被正确地签名和格式化。可以使用诸如证书废止列表(CRL)、在线证书状态协议(OCSP)或者基于服务器的证书验证协议(SCVP)之类的技术来验证证书。端点可以使用这些方法中的一个或多个来验证一个或多个证书(例如标志型证书)、数字签名或者密钥。例如,企业或者证书机构可以具有可用来认证或验证服务提供商证书的一个或多个认证服务器。这可能是有利的。例如,恶意节点可能向端点发送消息,假装是ISP。该消息可以包括经数字签名的信息和用于对该信息进行签名的密钥。通过使用来自受信第三方的信息来验证或者认证该密钥是来自合法ISP的,端点可能能够在试图接入恶意节点所通知的服务时避免向恶意节点发送敏感信息。例如,端点可以确定恶意节点所使用的密钥不属于在来自恶意节点的消息中所通知的ISP,并且因此不试图接入由恶意节点提供的服务。在端点在步骤210从多个服务提供商接收公告的情形中,可以为利用服务提供商密钥在步骤225接收的消息中识别的每个服务提供商执行步骤225。
在步骤230,在特定实施例中,在步骤210接收的(一个或多个)消息中的服务提供商信息可被端点利用在步骤225认证的(一个或多个)服务提供商密钥来验证。服务提供商信息可以包括一个或多个地址、标志、图标、标识符、配置指令、约束或者参数。例如,可以使用服务提供商密钥来认证或者验证消息中的地址与关联于服务提供商密钥的服务提供商相关联。在特定实施例中,服务提供商信息可被以数字方式签名,或者可以是在步骤210接收的信息的数字签名部分(例如服务宣告)的一部分。服务提供商信息还可以是由受信第三方验证或认证的信息的一部分。例如,端点可以验证由服务提供商认证的任何信息都与由受信第三方认证的信息相一致。在特定实施例中,服务提供商可以确定哪些实体可以通知服务。结果,端点可以认证公告的发起者以验证该发起者被授权来通知该服务。在另一示例中,端点可以从多个服务提供商接收公告。在步骤230可以验证与已在步骤225对其密钥进行了认证的各个服务提供商相对应的地址。在特定实施例中,如果服务提供商的密钥未能在步骤225通过认证,则其所通知的服务可被端点忽略,并且可以不对该服务提供商执行步骤230。在步骤230通过验证的(一个或多个)地址可以由服务提供商提供,以使得能够接入所通知的服务。例如,地址可以是因特网协议(IP)地址、统一资源定位符(URL)或者统一资源标识符(URI)。
在步骤235,在特定实施例中,端点可以向该端点的用户提供在步骤210接收的(一个或多个)消息中表明的服务提供商的列表。呈现给用户的(一个或多个)服务提供商可以是在步骤225和230对它们的密钥和信息进行了验证的那些服务提供商。它们可被以各种方式呈现给用户,包括使用文本、图形(例如标志和动画)、音频和视频。在特定实施例中,可以使用音频消息向用户呈现服务提供商。在步骤240,端点接收用户对服务提供商的选择。例如,用户可能被呈现了表示可用服务提供商的标志或文本的列表,并且可能已经利用键盘、鼠标、书写板或者触摸屏选择其中之一。在特定实施例中,端点可被配置为在没有步骤240的用户输入的情况下自动选择服务提供商(可以不执行步骤235)。端点可以在没有步骤240的用户输入的情况下使用策略或者规则来自动选择服务提供商。
在步骤245,在特定实施例中,可由端点来联系与在步骤240确定的服务提供商相关联的设备,以接入由该服务提供商通知的服务。例如,端点可以利用与所选择的服务提供商相关联的地址来与所选择的服务提供商的服务器通信。作为另一示例,端点可以进入与设备的网络认证会话以被准许接入网络,例如无线网络。合适的网络认证会话的示例包括IEEE802.1x会话、Wi-Fi受保护接入(WPA和/或WPA2)会话、IEEE802.11i会话或者其他合适的会话。关于这样的网络认证会话的信息可以包括在在步骤210接收的信息中。
在步骤250,在特定实施例中,可由端点来认证服务提供商设备。例如,端点可以利用在步骤225和230中验证了的信息来验证对在步骤245执行的联系作出应答的设备与在步骤240确定的服务提供商相关联。可以使用诸如HTTPS之类的协议来执行步骤250。在特定实施例中,服务提供商设备可以向端点发送认证信息,端点使用该认证信息来认证服务提供商设备。
在步骤255,在特定实施例中,端点可以向在步骤250认证了的服务提供商设备提供所请求的信息。所请求的信息可以是由服务提供商设备请求的。例如,如果端点访问了与服务提供商的服务宣告中的地址相关联的因特网站点,则该站点可以请求诸如以下的信息:用户名称、密码、金融信息(例如,支付方法、对服务包的选择)以及服务类型。在步骤260,在特定实施例中,端点可以接收来自服务提供商的接入信息。该信息可以包括可用于接入由服务提供商提供的服务(在步骤265)的凭证、配置指令或者参数。接入信息可以是对由端点在步骤255提供的所请求的信息的应答。例如,如果所提供的服务是对因特网的接入,则在步骤260接收的接入信息可以包括认证信息、端口信息、cookie信息、加密信息或者代理信息。在特定实施例中,接入信息可以不被端点接收(因此,步骤260可以不被执行)。例如,服务提供商可以基于所请求的信息来确定端点应当能够接入因特网,并且可以使用端点的标识符(例如MAC地址)以使得在无需向端点发送接入消息的情况下端点能够接入因特网。
虽然本公开将图2的方法的特定步骤描述和图示为按特定顺序发生,但是本公开考虑图2的方法的任何合适步骤以任何合适的顺序发生。在特定实施例中,步骤235-240可以在步骤215-230之前执行。例如,端点可以在执行步骤215-230之前向用户呈现在步骤205接收的信息中表明的服务提供商。在端点接收到用户对服务提供商的选择(步骤240)之后,端点可以执行步骤215-230以验证所选择的服务提供商。如果所选择的提供商已被如步骤215-230所述的那样进行了验证,则步骤245-265可被执行,以使得端点接入由所选择的服务提供商提供的服务。此外,虽然本公开描述和图示了执行图2的方法的特定步骤的特定组件,但是本公开考虑执行图2的方法的任何合适步骤的任何合适组件的任何合适组合。
图3示出用于安全地接入所通知的服务的另一示例性方法300。该方法开始于步骤305,在步骤305,端点从网络接入设备接收消息,该消息包含关于由一个或多个服务提供商提供的可用服务的信息。在特定实施例中,方法300的步骤可以由以下各项来执行:端点110和COM112(针对被描述为由端点执行的步骤),网络接入设备120(针对被描述为由网络接入设备执行的步骤),服务提供商150(针对被描述为由服务提供商执行的步骤),以及受信第三方160(针对被描述为由受信第三方执行的步骤)。在特定实施例中,端点可能在与公共位置(可以包括无线热点)处的网络接入设备通信。其他端点也可以位于与该网络接入设备通信的公共位置处。恶意节点也可能位于该公共位置处并且能够与网络接入设备和端点通信。作为示例而非为了限制,网络接入设备可以提供端点和恶意节点二者都可耦接到的无线或有线网络。在特定实施例中,网络接入设备可以提供公共的电气和电子工程师协会(IEEE)802.11无线网络,该网络可以提供Wi-Fi热点。
在步骤305,例如,端点可以接收IEEE802.11u公告,例如MSAP公告。该消息可以包括来自一个或多个服务提供商(例如图1的服务提供商150)的一个或多个服务宣告。这一个或多个服务宣告可以包括关于由服务提供商提供的服务的信息,例如可以接入该服务的地址、关于(一个或多个)服务提供商的身份信息、与(一个或多个)服务提供商相关联的(一个或多个)标识符、关于由(一个或多个)服务提供商提供的(一个或多个)服务的描述或者关于所提供的(一个或多个)服务的配置信息。
在一些情形中,端点可以接收多个消息,每个消息包含关于一个或多个服务提供商的信息。所接收的(一个或多个)消息可以包括用于验证(一个或多个)服务提供商的身份或真实性的信息,例如一个或多个证书、数字签名或者安全性密钥。
在步骤310,在特定实施例中,端点可以确定在步骤305接收的消息中表明的(一个或多个)服务提供商是否是受信的。例如,端点可以确定消息中的服务提供商签名或者密钥是否在先前已被验证。在特定实施例中,上面对图2的步骤215-225的描述提供了端点可能在先前如何验证了服务提供商签名或密钥的示例。作为另一示例,端点可能从受信源(例如端点所关联的企业网络的实体)接收了一个或多个预先批准的服务提供商签名或密钥。端点可以将在步骤305接收的消息中找到的服务提供商签名或者密钥与预先批准的服务提供商签名或者密钥进行比较,并且确定他们是否匹配。
如果端点确定在消息中表明的服务提供商不是受信的,则端点可以不接入与该服务提供商相关联的服务。如果端点确定在消息中表明的服务提供商是受信的,则步骤320可被执行。在特定实施例中,端点可能接收到了多个服务提供商的服务供应。例如,端点可能在步骤305接收到了多个消息,每个消息通知来自服务提供商的至少一个服务,或者在步骤305接收的消息可能包含了来自多个服务提供商的多个服务公告。在这样的情形中,端点可以确定各个服务提供商是否是受信的,并且为已被确定为受信的那些服务提供商进行到步骤320。
在步骤320,在特定实施例中,端点可以确定在步骤305接收的消息中的服务提供商标识符是否被认证为属于在步骤310确定为受信的服务提供商。作为示例而非为了限制,端点可以确定在消息中找到的标识符是否已通过受信服务提供商的数字签名或者密钥而被签名。在特定实施例中,上面对图2的步骤230的描述提供了端点可以如何认证服务提供商标识符的示例。如果服务提供商标识符已通过认证,则服务可被接入(在步骤330)。如果服务提供商标识符未通过认证,则端点可以不接入在步骤305接收的消息中所通知的服务。在步骤330,例如,端点可以通过利用在步骤305接收的消息中的信息联系服务提供商来接入服务。在特定实施例中,上面对图2的步骤235-265的描述提供了端点可以如何执行步骤330的示例。
虽然本公开将图3的方法的特定步骤描述和图示为按特定顺序发生,但是本公开考虑图3的方法的任何合适步骤以任何合适的顺序发生。此外,虽然本公开描述和图示了执行图3的方法的特定步骤的特定组件,但是本公开考虑执行图3的方法的任何合适步骤的任何合适组件的任何合适组合。在特定实施例中,执行图3的步骤可以提供一个或多个优点。例如,图3的步骤可以提供用于接入通过公共网络通知的服务的高效且安全的方式。
图4示出示例性计算机系统400。在特定实施例中,一个或多个计算机系统400执行这里描述或说明的一个或多个方法的一个或多个步骤。在特定实施例中,一个或多个计算机系统400提供这里描述或说明的功能性。在特定实施例中,在一个或多个计算机系统400上运行的软件执行这里描述或说明的一个或多个方法的一个或多个步骤,或者提供这里描述或说明的功能性。特定实施例包括一个或多个计算机系统400的一个或多个部分。
本公开考虑任何合适数目的计算机系统400。本公开考虑采用任何合适的物理形式的计算机系统400。作为示例而非为了限制,计算机系统400可以是嵌入式计算机系统、片上系统(SOC)、单板计算机系统(SBC)(例如,模块化计算机(COM)或者模块化系统(SOM))、桌面计算机系统、膝上型或者笔记本计算机系统、交互式信息亭、大型机、计算机系统网、移动电话、个人数字助理(PDA)、服务器、或者这些中的两个或更多个的组合。在适当情况下,计算机系统400可以包括一个或多个计算机系统400;可以是整体的或者分布式的;可以跨越多个位置;可以跨越多个机器;或者可以驻留在云中,该云可以包括一个或多个网络中的一个或多个云组件。在适当情况下,一个或多个计算机系统400可以在没有实质性的空间或时间限制的情况下执行这里描述或说明的一个或多个方法的一个或多个步骤。作为示例而非为了限制,一个或多个计算机系统400可以实时地或者以批量模式执行这里描述或说明的一个或多个方法的一个或多个步骤。在适当情况下,一个或多个计算机系统400可以在不同时间或者在不同位置执行这里描述或说明的一个或多个方法的一个或多个步骤。
在特定实施例中,计算机系统400包括处理器402、存储器404、存储装置406、输入/输出(I/O)接口408、通信接口410和总线412。虽然本公开描述和图示了具有特定布置形式的特定数目的特定组件的特定计算机系统,但是本公开考虑具有任何合适布置形式的任何合适数目的任何合适组件的任何合适计算机系统。
在特定实施例中,处理器402包括用于执行指令的硬件,例如那些构成计算机程序的指令。作为示例而非为了限制,为了执行指令,处理器402可以从内部寄存器、内部缓存、存储器404或者存储装置406检索(或者取回)这些指令;对它们进行解码和执行;并且然后将一个或多个结果写到内部寄存器、内部缓存、存储器404或者存储装置406。在特定实施例中,处理器402可以包括用于数据、指令或者地址的一个或多个内部缓存。在适当情况下,本公开考虑包括任何合适数目的任何合适内部缓存的处理器402。作为示例而非为了限制,处理器402可以包括一个或多个指令缓存、一个或多个数据缓存以及一个或多个转换后备缓冲器(TLB)。指令缓存中的指令可以是存储器404或者存储装置406中的指令的拷贝,并且指令缓存可以加快处理器402对这些指令的检索。数据缓存中的数据可以是存储器404或者存储装置406中的数据的拷贝以供在处理器402上执行的指令进行操作;在处理器402上执行的先前指令的结果以供在处理器402上执行的后续指令的访问或者供写入到存储器404或者存储装置406;或者其他合适的数据。数据缓存可以加快处理器402的读取或者写入操作。TLB可以加快对处理器402的虚拟地址转换。在特定实施例中,处理器402可以包括用于数据、指令或地址的一个或多个内部寄存器。在适当情况下,本公开考虑包括任何合适数目的任何合适内部寄存器的处理器402。在适当情况下,处理器402可以包括一个或多个算术逻辑单元(ALU);可以是多核心处理器;或者可以包括一个或多个处理器402。虽然本公开描述和图示了特定处理器,但是本公开考虑任何合适的处理器。
在特定实施例中,存储器404包括用于存储供处理器402执行的指令或者供处理器402操作的数据的主存储器。作为示例而非为了限制,计算机系统400可以从存储装置406或者另一个源(例如,另一个计算机系统400)将指令加载到存储器404。处理器402然后可以将指令从存储器404加载到内部寄存器或者内部缓存。为了执行这些指令,处理器402可以从内部寄存器或者内部缓存检索指令并且对它们进行解码。在指令的执行期间或者之后,处理器402可以向内部寄存器或者内部缓存写入一个或多个结果(可以是中间结果或者最终结果)。处理器402然后可以将这些结果中的一个或多个写入到存储器404中。在特定实施例中,处理器402仅执行一个或多个内部寄存器或内部缓存中的或者存储器404中的(与存储装置406或者其他地方相反)指令,并且仅对一个或多个内部寄存器或内部缓冲器中的或者存储器404中的(与存储装置406或者其他地方相反)的数据进行操作。一条或多条存储器总线(可以各自包括地址总线和数据总线)可以将处理器402耦接到存储器404。总线412可以包括一条或多条存储器总线,如下面描述的。在特定实施例中,一个或多个存储器管理单元(MMU)驻留在处理器402与存储器404之间,并且辅助由处理器402所请求的对存储器404的访问。在特定实施例中,存储器404包括随机访问存储器(RAM)。在适当情况下,该RAM可以是易失性存储器。在适当情况下,该RAM可以是动态RAM(DRAM)或者静态RAM(SRAM)。此外,在适当情况下,该RAM可以是单端口的或者多端口的RAM。本公开考虑任何合适的RAM。在适当情况下,存储器404可以包括一个或多个存储器404。虽然本公开描述和图示了特定存储器,但是本公开考虑任何合适的存储器。
在特定实施例中,存储装置406包括用于数据或指令的大容量存储装置。作为示例而非为了限制,存储装置406可以包括HDD、软盘驱动器、闪存、光盘、磁光盘、磁带或者通用串行总线(USB)驱动器或者这些中的两个或更多个的组合。在适当情况下,存储装置406可以在计算机系统400的内部或者外部。在特定实施例中,存储装置406是非易失性的固态存储器。在特定实施例中,存储装置406包括制度存储器(ROM)。在适当情况下,该ROM可以是掩模编程的ROM、可编程ROM(PROM)、可擦除PROM(EPROM)、电可擦除PROM(EEPROM)、电可改写ROM(EAROM)或者闪存或者这些中的两个或更多个的组合。本公开考虑采用任何合适的物理形式的大容量存储装置406。在适当情况下,存储装置406可以包括辅助处理器402与存储装置406之间的通信的一个或多个存储控制单元。在适当情况下,存储装置406可以包括一个或多个存储装置406。虽然本公开描述和图示了特定存储装置,但是本公开考虑任何合适的存储装置。
在特定实施例中,I/O接口408包括提供用于计算机系统400与一个或多个I/O设备之间的通信的一个或多个接口的硬件、软件或者这二者。在适当情况下,计算机系统400可以包括这些I/O设备中的一个或多个。这些I/O设备中的一个或多个可以允许人与计算机系统400之间的通信。作为示例而非为了限制,I/O设备可以包括键盘、键区、监视器、鼠标、打印机、扫描仪、扬声器、静态相机、触笔、写字板、触摸屏、轨迹球、视频相机、另一合适的I/O设备或者这些中的两个或更多个的组合。I/O设备可以包括一个或多个传感器。本公开考虑任何合适的I/O设备以及用于它们的任何合适的I/O接口408。在适当情况下,I/O接口408可以包括能够使得处理器402驱动这些I/O设备中的一个或多个的一个或多个设备或者软件驱动。在适当情况下,I/O接口408可以包括一个或多个I/O接口408。虽然本公开描述和图示了特定的I/O接口,但是本公开考虑任何合适的I/O接口。
在特定实施例中,通信接口410包括提供用于计算机系统400与一个或多个其他计算机系统400或者一个或多个网络之间的通信(例如,基于分组的通信)的一个或多个接口的硬件、软件或者这二者。作为示例而非为了限制,通信接口410可以包括用于与以太网或者其他基于导线的网络通信的网络接口控制器(NIC)或网络适配器,或者用于与诸如WI-FI网络之类的无线网络通信的无线NIC(WNIC)或无线适配器。本公开考虑任何合适的网络以及用于其的任何合适的通信接口410。作为示例而非为了限制,计算机系统400可以与自组织网络、个人区域网(PAN)、局域网(LAN)、广域网(WAN)、城域网(MAN)或者因特网的一个或多个部分或者这些中的两个或更多个的组合。这些网络中的一个或多个的一个或多个部分可以是有线的或者无线的。作为示例,计算机系统400可以与无线PAN(WPAN)(例如,蓝牙WPAN)、WI-FI网络、WI-MAX网络、蜂窝电话网络(例如,全球移动通信系统(GSM)网络)或者其他合适的无线网络或者这些中的一个或多个的组合进行通信。在适当情况下,计算机系统400可以包括用于这些网络中的任意网络的任何合适的通信接口410。在适当情况下,通信接口410可以包括一个或多个通信接口410。虽然本公开描述和图示了特定的通信接口,但是本公开考虑任何合适的通信接口。
在特定实施例中,总线412包括将计算机系统400的组件彼此耦接的硬件、软件或者这二者。作为示例而非为了限制,总线412可以包括加速图形端口(AGP)或者其他图形总线、增强型工业标准体系结构(EISA)总线、前端总线(FSB)、超传输(HYPERTRANSPORT,HT)互连、工业标准体系结构(ISA)总线、无限带宽(INFINIBAND)互连、低管脚数(LPC)总线、存储器总线、微信道体系结构(MCA)总线、外围组件互连(PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(SATA)总线、视频电子标准协会局部(VLB)总线或者其他合适的总线或者这些中的两个或更多个的组合。在适当情况下,总线412可以包括一条或多条总线412。虽然本公开描述和图示了特定的总线,但是本公开考虑任何合适的总线或者互连。
这里,对计算机可读存储介质的提及包括一个或多个有形计算机可读存储介质处理结构。作为示例而非为了限制,在适当情况下,计算机可读存储介质可以包括基于半导体的或者其他集成电路(IC)(例如现场可编程门阵列(FPGA)或者专用IC(ASIC))、硬盘、HDD、混合硬盘驱动器(HHD)、光盘、光盘驱动器(ODD)、磁光盘、磁光盘驱动器、软盘、软盘驱动器(FDD)、磁带、全息存储介质、固态驱动器(SSD)、RAM驱动器、安全数字(SECUREDIGITAL)卡、安全数字驱动器或者其他合适的计算机可读存储介质或者这些中的两个或更多个的组合。这里,对计算机可读存储介质的提及排除了任何不符合35U.S.C.§101下的专利保护的介质。这里,对计算机可读存储介质的提及在如下程度下排除了暂态形式的信号传输(例如,传播的电气或电磁信号本身):它们不符合35U.S.C.§101下的专利保护。
本公开考虑实现任何合适存储的一个或多个计算机可读存储介质。在特定实施例中,在适当情况下,计算机可读存储介质实现处理器402的一个或多个部分(例如,一个或多个内部寄存器或者缓存)、存储器404的一个或多个部分、存储装置406的一个或多个部分或者这些的组合。在特定实施例中,计算机可读存储介质实现RAM或者ROM。在特定实施例中,计算机可读存储介质实现易失性的或者持久的存储器。在特定实施例中,一个或多个计算机可读存储介质包括软件。这里,在适当情况下,对软件的提及可以包括一个或多个应用、字节码、一个或多个计算机程序、一个或多个可执行文件、一个或多个指令、逻辑、机器代码、一个或多个脚本或者源代码,反之亦然。在特定实施例中,软件包括一个或多个应用编程接口(API)。
本公开考虑以任何合适的编程语言或者编程语言的组合而书写或者以其他方式表达的任何合适的软件。在特定实施例中,软件被表达为源代码或者目标代码。在特定实施例中,软件是以较高级别的编程语言表达的,例如C、Perl或者其合适的扩展。在特定实施例中,软件是以较低级别的编程语言表达的,例如汇编语言(或者机器代码)。在特定实施例中,软件是以JAVA表达的。在特定实施例中,软件是以超文本标记语言(HTML)、可扩展标记语言(XML)或者其他合适的标记语言表达的。
本公开包括本领域普通技术人员将会理解的对这里的示例性实施例的所有改变、替换、变动、变更和修改。类似地,在适当情况下,所附权利要求包括本领域普通技术人员将会理解的对这里的示例性实施例的所有改变、替换、变动、变更和修改。此外,所附权利要求中对适用于、布置成、能够、配置成、使能够、可操作来或者可运作来执行特定功能的设备或系统或者设备或系统的组件的提及包括该设备、系统、组件,不管其或者特定功能是否被激活、开启或者解锁,只要该设备、系统或者组件是这样适配、布置、能够、配置、使能够、可操作或者可运作即可。
Claims (19)
1.一种用于安全地接入所通知的服务的方法,包括:
由端点向网络设备发送对关于可用服务的信息的请求;
由所述端点接收来自所述网络设备的消息,该消息包括与第一服务提供商相关联的信息;
由所述端点确定所述信息是否被受信第三方证实为与所述第一服务提供商相关联,确定所述信息是否被受信第三方证实包括:
由所述端点利用第一地址来检索与所述受信第三方相关联的受信证书,所述消息包括所述第一地址,所述受信证书包括受信第三方密钥;
由所述端点利用所述受信第三方密钥来认证服务提供商密钥,所述消息包括所述服务提供商密钥;以及
响应于利用所述受信第三方密钥认证了所述服务提供商密钥,验证出与所述第一地址相关联的第一服务提供商标识符是利用所述服务提供商密钥创建的;
如果所述信息被所述受信第三方证实,则所述端点与所述第一服务提供商通信;以及
响应于与所述第一服务提供商通信,所述端点通过所述网络设备接收对来自所述第一服务提供商的服务的接入。
2.如权利要求1所述的方法,其中,所述消息包括第一服务宣告,所述第一服务宣告包括第一服务提供商标识符、第一地址、第一服务描述和第一服务提供商签名。
3.如权利要求1所述的方法,其中:
所述受信第三方是第一受信第三方;
所述消息包括与所述第一服务提供商相关联的第一服务提供商标识符、与第二服务提供商相关联的信息以及第二服务提供商标识符;
所述端点至少通过以下步骤来确定所述与第一服务提供商相关联的信息是否被受信第三方证实:
确定所述第一服务提供商标识符是否与由所述第一受信第三方证实的第一受信标识符相关联;以及
试图验证所述第一受信标识符;并且
所述方法还包括:
由所述端点通过以下步骤来确定所述与第二服务提供商相关联的信息是否由第二受信第三方证实:
确定所述第二服务提供商标识符是否通过由所述第二受信第三方证实的第二受信标识符而被证实;以及
试图验证所述第二受信标识符;
如果所述与第一服务提供商相关联的信息被所述第一受信第三方证实并且所述与第二服务提供商相关联的信息由所述第二受信第三方证实,则由所述端点向用户呈现所述第一和第二服务提供商标识符;以及
响应于向用户呈现所述第一和第二服务提供商标识符,由所述端点接收对所述第一服务提供商或者所述第二服务提供商的用户选择。
4.如权利要求3所述的方法,其中:
所述第一受信标识符和所述第二受信标识符是相同的;并且
所述第一受信第三方和所述第二受信第三方是相同的。
5.如权利要求1所述的方法,其中:
所述消息包括与第一地址相关联的第一服务提供商标识符,所述第一服务提供商标识符包括图标;
所述消息包括所述受信第三方的受信标识符,所述受信标识符包括标志型证书;并且
所述受信第三方包括证书机构。
6.如权利要求1所述的方法,其中,所述端点与所述第一服务提供商通信包括:
从所述端点向所述第一服务提供商提供所请求的信息,所请求的信息包括支付信息;
接收用于对所述服务的接入的凭证;以及
接收用于对所述服务的接入的配置信息。
7.如权利要求1所述的方法,还包括:
由所述端点接收来自所述网络设备的第二消息,所述第二消息包括服务宣告和服务公告商标识符;
确定所述服务公告商标识符是否被认证为属于服务公告商;以及
如果所述服务公告商标识符被认证为属于所述服务公告商,则由所述端点接入由所述服务公告商提供的第二服务。
8.如权利要求1所述的方法,还包括:
由所述端点接收来自所述网络设备的第二消息,所述第二消息包括服务宣告和服务提供商证书,所述服务宣告包括地址,所述服务提供商证书包括第二密钥;
由所述端点确定所述服务提供商证书是否被第二受信第三方证实;
如果所述服务提供商证书被所述第二受信第三方证实,则由所述端点确定所述服务宣告是否被用所述第二密钥签名;以及
如果所述服务宣告已被用所述第二密钥签名,则由所述端点利用所述地址接入第二服务。
9.如权利要求1所述的方法,其中:
所述消息包括与所述第一服务提供商相关联的地址;并且
所述端点与所述第一服务提供商通信包括利用所述地址通过以下步骤来通信:
由所述端点联系与所述地址相关联的服务器;
在所述端点处接收来自所述服务器的认证信息;
由所述端点来验证所述认证信息;以及
响应于验证出所述认证信息与所述第一地址相一致,从所述端点向所述服务器发送所请求的信息。
10.一种用于安全地接入所通知的服务的设备,包括:
用于向网络设备发送对关于可用服务的信息的请求的装置;
用于接收来自所述网络设备的消息的装置,该消息包括与第一服务提供商相关联的信息;
用于确定所述信息是否被受信第三方证实为与所述第一服务提供商相关联的装置,该装置包括:
用于利用第一地址来检索与所述受信第三方相关联的受信证书的装置,所述消息包括所述第一地址,所述受信证书包括受信第三方密钥;
用于利用所述受信第三方密钥来认证服务提供商密钥的装置,所述消息包括所述服务提供商密钥;以及
用于响应于利用所述受信第三方密钥认证了所述服务提供商密钥,验证出与所述第一地址相关联的第一服务提供商标识符是利用所述服务提供商密钥创建的装置;
用于如果所述信息被所述受信第三方证实,则利用所述信息与所述第一服务提供商通信的装置;以及
用于响应于利用所述信息与所述第一服务提供商通信,通过网络设备接收对来自所述第一服务提供商的服务的接入的装置。
11.如权利要求10所述的设备,其中,所述消息包括第一服务宣告,所述第一服务宣告包括第一服务提供商标识符、第一地址、第一服务描述和第一服务提供商签名。
12.如权利要求10所述的设备,其中:
所述受信第三方是第一受信第三方;
所述消息包括与所述第一服务提供商相关联的第一服务提供商标识符、与第二服务提供商相关联的信息以及第二服务提供商标识符;
用于确定所述与第一服务提供商相关联的信息是否被受信第三方证实的装置包括:
用于确定所述第一服务提供商标识符是否与由所述第一受信第三方证实的第一受信标识符相关联的装置;以及
用于试图验证所述第一受信标识符的装置;并且
所述设备还包括:
用于确定第二地址是否与第二受信第三方相关联的装置,该装置进一步包括:
用于确定所述与第二服务提供商相关联的信息是否由第二受信第三方证实的装置,该装置进一步包括:
用于确定所述第二服务提供商标识符是否通过由所述第二受信第三方证实的第二受信标识符而被证实的装置;以及
用于试图验证所述第二受信标识符的装置;
用于如果所述与第一服务提供商相关联的信息被所述第一受信第三方证实并且所述与第二服务提供商相关联的信息由所述第二受信第三方证实,则向用户呈现所述第一和第二服务提供商标识符的装置;以及
用于响应于向用户呈现所述第一和第二服务提供商标识符,接收对所述第一服务提供商或者所述第二服务提供商的用户选择的装置。
13.如权利要求12所述的设备,其中:
所述第一受信标识符和所述第二受信标识符是相同的;并且
所述第一受信第三方和所述第二受信第三方是相同的。
14.如权利要求10所述的设备,其中:
所述消息包括与第一地址相关联的第一服务提供商标识符,所述第一服务提供商标识符包括图标;
所述消息包括所述受信第三方的受信标识符,所述受信标识符包括标志型证书;并且
所述受信第三方包括证书机构。
15.如权利要求10所述的设备,其中,用于与所述第一服务提供商通信的装置包括:
用于向所述第一服务提供商提供所请求的信息的装置,所请求的信息包括支付信息;
用于接收用于对所述服务的接入的凭证的装置;以及
用于接收用于对所述服务的接入的配置信息的装置。
16.如权利要求10所述的设备,其中,所述设备还包括:
用于接收来自所述网络设备的第二消息的装置,所述第二消息包括服务宣告和服务公告商标识符;
用于确定所述服务公告商标识符是否被认证为属于服务公告商的装置;以及
用于如果所述服务公告商标识符被认证为属于所述服务公告商,则接入由所述服务公告商提供的第二服务的装置。
17.如权利要求10所述的设备,其中,所述设备还包括:
用于接收来自所述网络设备的第二消息的装置,所述第二消息包括服务宣告和服务提供商证书,所述服务宣告包括地址,所述服务提供商证书包括第二密钥;
用于确定所述服务提供商证书是否被第二受信第三方证实的装置;
用于如果所述服务提供商证书被所述第二受信第三方证实,则确定所述服务宣告是否被用所述第二密钥签名的装置;以及
用于如果所述服务宣告已被用所述第二密钥签名,则利用所述地址接入第二服务的装置。
18.如权利要求11所述的设备,其中:
所述消息包括与所述第一服务提供商相关联的地址;并且
用于与所述第一服务提供商通信的装置包括:
用于联系与所述地址相关联的服务器的装置;
用于接收来自所述服务器的认证信息的装置;
用于验证所述认证信息的装置;以及
用于响应于验证出所述认证信息与所述第一地址相一致,向所述服务器发送所请求的信息的装置。
19.一种用于安全地接入所通知的服务的设备,包括:
通信接口;
存储供一个或多个处理器执行的软件的存储器;
耦接到所述存储器的一个或多个处理器,所述处理器在执行所述软件时可用于:
经由所述通信接口向网络设备发送对关于可用服务的信息的请求;
利用所述通信接口从所述网络设备经由所述通信接口接收消息,该消息包括与第一服务提供商相关联的信息;
确定所述信息是否被受信第三方证实为与所述第一服务提供商相关联,确定所述信息是否被受信第三方证实包括:
利用第一地址来检索与所述受信第三方相关联的受信证书,所述消息包括所述第一地址,所述受信证书包括受信第三方密钥;
利用所述受信第三方密钥来认证服务提供商密钥,所述消息包括所述服务提供商密钥;以及
响应于利用所述受信第三方密钥认证了所述服务提供商密钥,验证出与所述第一地址相关联的第一服务提供商标识符是利用所述服务提供商密钥创建的;
如果所述信息被所述受信第三方证实,则经由所述通信接口利用所述信息与所述第一服务提供商通信;以及
响应于利用所述信息与所述第一服务提供商通信,通过所述网络设备经由所述通信接口接收对来自所述第一服务提供商的服务的接入。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/862,170 US8543471B2 (en) | 2010-08-24 | 2010-08-24 | System and method for securely accessing a wirelessly advertised service |
| US12/862,170 | 2010-08-24 | ||
| PCT/US2011/046881 WO2012027089A1 (en) | 2010-08-24 | 2011-08-08 | Securely accessing an advertised service |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103069774A CN103069774A (zh) | 2013-04-24 |
| CN103069774B true CN103069774B (zh) | 2015-12-16 |
Family
ID=44543822
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201180040777.5A Expired - Fee Related CN103069774B (zh) | 2010-08-24 | 2011-08-08 | 安全地接入所通知的服务 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8543471B2 (zh) |
| EP (1) | EP2609722B1 (zh) |
| CN (1) | CN103069774B (zh) |
| WO (1) | WO2012027089A1 (zh) |
Families Citing this family (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8826271B2 (en) | 2010-04-28 | 2014-09-02 | Cavium, Inc. | Method and apparatus for a virtual system on chip |
| US8806196B2 (en) * | 2011-11-04 | 2014-08-12 | Motorola Solutions, Inc. | Method and apparatus for authenticating a digital certificate status and authorization credentials |
| US9351037B2 (en) | 2012-02-07 | 2016-05-24 | Turner Broadcasting System, Inc. | Method and system for contextual advertisement replacement utilizing automatic content recognition |
| KR20130137489A (ko) | 2012-06-07 | 2013-12-17 | 주식회사 케이티 | 서비스 제공 방법 및 시스템 |
| US9094820B2 (en) * | 2012-08-29 | 2015-07-28 | Qualcomm Incorporated | Systems and methods for securely transmitting and receiving discovery and paging messages |
| US9130754B2 (en) | 2012-08-29 | 2015-09-08 | Qualcomm Incorporated | Systems and methods for securely transmitting and receiving discovery and paging messages |
| US8923516B2 (en) | 2012-08-29 | 2014-12-30 | Qualcomm Incorporated | Systems and methods for securely transmitting and receiving discovery and paging messages |
| US9609571B2 (en) | 2012-08-29 | 2017-03-28 | Qualcomm Incorporated | Systems and methods for securely transmitting and receiving discovery and paging messages |
| US9894040B2 (en) | 2012-09-11 | 2018-02-13 | Microsoft Technology Licensing, Llc | Trust services for securing data in the cloud |
| US8959351B2 (en) | 2012-09-13 | 2015-02-17 | Microsoft Corporation | Securely filtering trust services records |
| US9166969B2 (en) * | 2012-12-06 | 2015-10-20 | Cisco Technology, Inc. | Session certificates |
| US20140180835A1 (en) * | 2012-12-20 | 2014-06-26 | Microsoft Corporation | Digital signatures for online advertisement security |
| US9154841B2 (en) | 2012-12-28 | 2015-10-06 | Turner Broadcasting System, Inc. | Method and system for detecting and resolving conflicts in an automatic content recognition based system |
| US9215075B1 (en) | 2013-03-15 | 2015-12-15 | Poltorak Technologies Llc | System and method for secure relayed communications from an implantable medical device |
| WO2014154073A1 (zh) * | 2013-03-25 | 2014-10-02 | 北京奇虎科技有限公司 | 安全访问网址系统及其中的设备和方法 |
| US10432636B2 (en) * | 2013-12-04 | 2019-10-01 | Extreme Networks, Inc. | Securing mDNS in enterprise networks |
| US9294462B2 (en) | 2014-01-15 | 2016-03-22 | Cisco Technology, Inc. | Redirect to inspection proxy using single-sign-on bootstrapping |
| CN104902470B (zh) * | 2015-05-05 | 2018-10-30 | 中国科学院信息工程研究所 | 一种基于动态密钥的无线热点的接入控制方法及系统 |
| US10360529B2 (en) * | 2015-06-30 | 2019-07-23 | Amazon Technologies, Inc. | Shippable network-attached data storage device with updateable electronic display |
| US10244051B2 (en) | 2015-12-13 | 2019-03-26 | Microsoft Technology Licensing, Llc | Cloud metadata discovery API |
| US9699655B1 (en) * | 2016-02-23 | 2017-07-04 | T-Mobile Usa, Inc. | Cellular device authentication |
| US10235211B2 (en) | 2016-04-22 | 2019-03-19 | Cavium, Llc | Method and apparatus for dynamic virtual system on chip |
| US10439814B1 (en) * | 2016-06-29 | 2019-10-08 | Amazon Technologies, Inc. | Resource advertisement and routing via discovery configuration |
| US10701438B2 (en) | 2016-12-31 | 2020-06-30 | Turner Broadcasting System, Inc. | Automatic content recognition and verification in a broadcast chain |
| WO2018194622A1 (en) * | 2017-04-20 | 2018-10-25 | Hewlett-Packard Development Company, L.P. | Service for three-dimensional printing |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1802867A (zh) * | 2001-02-13 | 2006-07-12 | 沃达方集团有限公司 | 经由移动电信网络提供位置相关服务而不泄露用户身份 |
| US7188179B1 (en) * | 2000-12-22 | 2007-03-06 | Cingular Wireless Ii, Llc | System and method for providing service provider choice over a high-speed data connection |
| WO2007080490A1 (en) * | 2006-01-10 | 2007-07-19 | Nokia Corporation | Secure identification of roaming rights prior authentication/association |
| CN101378318A (zh) * | 2008-10-08 | 2009-03-04 | 南京邮电大学 | 开放网络中基于动态可信第三方的身份认证方法 |
| CN101459650A (zh) * | 2007-12-15 | 2009-06-17 | 华为技术有限公司 | 业务路由方法、业务路由器、客户端设备及业务网络系统 |
| WO2009120466A2 (en) * | 2008-03-27 | 2009-10-01 | Cisco Technology, Inc. | Concierge launcher |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE60222871T2 (de) * | 2002-07-01 | 2008-07-24 | Telefonaktiebolaget Lm Ericsson (Publ) | Anordnung und Verfahren zum Schutz von Endbenutzerdaten |
| US20090299836A1 (en) | 2006-04-04 | 2009-12-03 | Joachim Sachs | Radio access system attachment |
| US20090245133A1 (en) | 2008-03-31 | 2009-10-01 | Intel Corporation | Broadcast/multicast based network discovery |
-
2010
- 2010-08-24 US US12/862,170 patent/US8543471B2/en active Active
-
2011
- 2011-08-08 WO PCT/US2011/046881 patent/WO2012027089A1/en active Application Filing
- 2011-08-08 CN CN201180040777.5A patent/CN103069774B/zh not_active Expired - Fee Related
- 2011-08-08 EP EP11751709.4A patent/EP2609722B1/en active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7188179B1 (en) * | 2000-12-22 | 2007-03-06 | Cingular Wireless Ii, Llc | System and method for providing service provider choice over a high-speed data connection |
| CN1802867A (zh) * | 2001-02-13 | 2006-07-12 | 沃达方集团有限公司 | 经由移动电信网络提供位置相关服务而不泄露用户身份 |
| WO2007080490A1 (en) * | 2006-01-10 | 2007-07-19 | Nokia Corporation | Secure identification of roaming rights prior authentication/association |
| CN101459650A (zh) * | 2007-12-15 | 2009-06-17 | 华为技术有限公司 | 业务路由方法、业务路由器、客户端设备及业务网络系统 |
| WO2009120466A2 (en) * | 2008-03-27 | 2009-10-01 | Cisco Technology, Inc. | Concierge launcher |
| CN101378318A (zh) * | 2008-10-08 | 2009-03-04 | 南京邮电大学 | 开放网络中基于动态可信第三方的身份认证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2012027089A1 (en) | 2012-03-01 |
| EP2609722A1 (en) | 2013-07-03 |
| US8543471B2 (en) | 2013-09-24 |
| CN103069774A (zh) | 2013-04-24 |
| US20120054848A1 (en) | 2012-03-01 |
| EP2609722B1 (en) | 2016-10-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103069774B (zh) | 安全地接入所通知的服务 | |
| US10243933B2 (en) | Data processing method and apparatus | |
| AU2011309758B2 (en) | Mobile handset identification and communication authentication | |
| US20190034936A1 (en) | Approving Transactions from Electronic Wallet Shares | |
| CN102047262B (zh) | 用于分布式安全内容管理系统的认证 | |
| KR101482564B1 (ko) | 신뢰성있는 인증 및 로그온을 위한 방법 및 장치 | |
| US20170012786A1 (en) | Creating a digital certificate for a service using a local certificate authority | |
| US11070980B1 (en) | Secondary device authentication proxied from authenticated primary device | |
| KR20140127303A (ko) | 다중 팩터 인증 기관 | |
| CN104205891A (zh) | 虚拟sim卡云平台 | |
| WO2020247311A1 (en) | Systems and methods of an anonymous email relay | |
| CN102694781A (zh) | 基于互联网的安全性信息交互系统及方法 | |
| CN105429991A (zh) | 移动终端高效数据传输方法 | |
| CN104767740A (zh) | 用于来自用户平台的可信认证和接入的方法 | |
| US20240340270A1 (en) | Verified Anonymous Persona for a Distributed Token | |
| KR20200125279A (ko) | 블록 체인기반의 사용자 인증 방법, 시스템 | |
| CN105516111A (zh) | 智能设备实时数据交互方法 | |
| CN105681292B (zh) | 一种利用安全键盘进行网络交易的办法 | |
| Dressel et al. | SecuriCast: zero-touch two-factor authentication using WebBluetooth | |
| CN113806810A (zh) | 认证方法、认证系统、计算设备以及存储介质 | |
| JP2024145923A (ja) | 情報処理システム及びプログラム | |
| CN118400113A (zh) | 基于系统安全检测的信息对接方法、系统、设备和介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20151216 |