CN107873129B - 用于不受管理的设备的安全服务 - Google Patents
用于不受管理的设备的安全服务 Download PDFInfo
- Publication number
- CN107873129B CN107873129B CN201680038967.6A CN201680038967A CN107873129B CN 107873129 B CN107873129 B CN 107873129B CN 201680038967 A CN201680038967 A CN 201680038967A CN 107873129 B CN107873129 B CN 107873129B
- Authority
- CN
- China
- Prior art keywords
- electronic device
- network service
- network
- request
- routed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012360 testing method Methods 0.000 claims abstract description 70
- 230000004044 response Effects 0.000 claims abstract description 15
- 238000000034 method Methods 0.000 claims description 15
- 230000000903 blocking effect Effects 0.000 claims description 4
- 230000006854 communication Effects 0.000 description 63
- 238000004891 communication Methods 0.000 description 62
- 230000015654 memory Effects 0.000 description 25
- 238000010586 diagram Methods 0.000 description 18
- 239000000872 buffer Substances 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 5
- 230000001413 cellular effect Effects 0.000 description 4
- 235000014510 cooky Nutrition 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000000246 remedial effect Effects 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000004075 alteration Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000037361 pathway Effects 0.000 description 1
- 230000001902 propagating effect Effects 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/50—Testing arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/37—Managing security policies for mobile devices or for controlling mobile applications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本文描述的特定实施例提供了一种网络元件,其可以被配置为从电子设备接收访问网络服务的请求。响应于该请求,网络元件可以向电子设备发送涉及网络服务的数据并且向涉及网络服务的数据添加测试链路。网络元件还可以被配置为确定测试链路是否被成功路由,并且如果测试链路没有被成功路由,则将电子设备分类为不受信的。
Description
对相关申请的交叉引用
本申请在35 U.S.C. §119(e)之下要求2015年6月30日提交给美国专利局的题为“SECURITY SERVICE FOR AN UNMANAGED DEVICE”的美国临时申请号62/186,896以及2015年9月25日提交给美国专利局的题为“SECURITY SERVICE FOR AN UNMANAGED DEVICE”的美国非临时(实用新型)申请号14/866,800的优先权,这两个美国申请整体通过引用并入于此。
技术领域
本公开大体涉及信息安全的领域,并且更具体地涉及用于不受管理的设备的安全服务。
背景技术
网络与云安全的领域在现今社会中已经变得越来越重要。互联网已经使得能够实现遍及世界的不同计算网络的互连。特别地,互联网提供了用于经由各种类型的客户端设备在连接到不同计算机网络的不同用户之间交换数据的介质。在互联网的使用已经转变了商业和个人通信的同时,它也已经被用作用于使恶意操作者获得对计算机和计算机网络的未经授权的访问以及用于敏感信息的有意或无意公开的媒介。
感染主机计算机的恶意软件(“流氓软件”)可能能够执行任何数目的恶意动作,诸如从与主机计算机相关联的业务或个体盗取敏感信息、向其它主机计算机传播和/或在服务攻击的分布式拒绝方面给予帮助、从主机计算机发送出病毒或恶意电子邮件等。因而,存在用于保护计算机和计算机网络免遭通过恶意软件和设备的恶意以及无意的运用的显著管控挑战。此外,互联网当前包括数目快速增多的受管理和根本不受管理的设备和用户,它们利用跨多个设备的信息以及利用许多应用(其中越来越多的应用同样是基于云的)进行工作。作为结果,敏感信息的数据保护变为计算机安全的重要任务,并且安全策略可以管理的施行点越多,保护数据的能力就越好。
附图说明
为了提供本公开及其特征和优点的更全面理解,参照结合附图考虑的以下描述,其中相似的参考标号表示相似的部分,其中:
图1是依照本公开的实施例的用于针对不受管理的设备的安全服务的通信系统的简化框图;
图2是图示了依照实施例的可以与所述通信系统相关联的潜在操作的简化流程图;
图3是图示了依照实施例的可以与所述通信系统相关联的潜在操作的简化流程图;
图4是依照本公开的实施例的用于针对不受管理的设备的安全服务的通信系统的简化框图;
图5是依照本公开的实施例的用于针对不受管理的设备的安全服务的通信系统的简化框图;
图6是依照本公开的实施例的用于针对不受管理的设备的安全服务的通信系统的简化框图;
图7是依照本公开的实施例的用于针对不受管理的设备的安全服务的通信系统的一部分的简化框图;
图8是依照本公开的实施例的用于针对不受管理的设备的安全服务的通信系统的部分的简化框图;
图9是图示了依照实施例的以点对点配置进行布置的示例计算系统的框图;
图10是与本公开的示例ARM生态系统片上系统(SOC)相关联的简化框图;以及
图11是图示了依照实施例的示例处理器核的框图。
附图中的各图未必按照比例绘制,因为它们的尺寸可以显著地变化而没有脱离本公开的范围。
具体实施方式
示例实施例
图1是依照本公开的实施例的用于针对不受管理的设备的安全服务的通信系统100的简化框图。如图1中所图示,通信系统100可以包括电子设备102、云服务104、服务器106、网络108、身份提供商110和测试网络元件112。电子设备102可以包括电子设备名号(reputation)114和显示器116。显示器116可以包括用户接口118。云服务104和服务器106可以各自包括一个或多个网络应用服务120。每一个网络应用服务120可以是由电子设备102的用户通常访问或使用的服务。例如,通过使用电子设备102,用户可以每天或者一天若干次地访问或使用网络应用服务120。电子设备102、云服务104、服务器106、身份提供商110和测试网络元件112可以使用网络108进行通信。网络108可以包括网络服务平台122。网络服务平台122可以包括规则引擎模块124、反向代理模块126、正向代理模块128和电子设备名号数据库130。电子设备名号数据库130可以包括电子设备名号114。
图1的元件可以通过一个或多个接口耦合到彼此,所述一个或多个接口采用任何适合的连接(有线或无线),所述连接为网络(例如,网络108等)通信提供可行通路。附加地,图1的这些元件中的任何一个或多个可以基于特定配置需要而组合或者从架构移除。通信系统100可以包括能够进行传输控制协议/互联网协议(TCP/IP)通信以用于网络中的分组传输或分组接收的配置。在适当的情况下以及基于特定需要,通信系统100还可以与用户数据报协议/IP(UDP/IP)或者任何其它适合的协议结合地进行操作。
为了说明通信系统100的某些示例技术的目的,重要的是要理解通信可以横穿网络环境。以下基本信息可以被视为可以从其恰当地解释本公开的基础。
当前,不受管理的设备以及向那些设备提供安全服务的能力是个挑战。之前,设备通过单个网络链接,并且容易控制该网络上的路由和数据以及向该设备和从该设备传达的路由和数据。现今,一些设备连接到云服务和其它网络(例如,互联网),这使得难以控制从该设备以及向该设备传达的路由和数据。例如,在协作环境中,一些用户使用其自身的设备来访问协作网络的至少一部分,并且业务端管控者可能难以向该设备提供安全服务,因为用户是该设备的所有者和管控者。一些解决方案尝试在技术层面上施行通信量的路由(例如,VPN、DNS、APN、代理等),但是遇到了问题,因为根据定义,不受管理的设备(例如,自带设备(BYOD))意味着业务管控者不能控制受管理的设备本身。网络连接也不是能很好可控制的,因为用户具有登录至各种各样的网络(例如,蜂窝提供商、私人Wi-Fi等)中的能力。所需要的是向不受管理的设备提供安全服务的方式。如果云应用可以在网络中受控制并且然后测试不受管理的设备的行为以及教导和协商不受管理的设备上的期望设置,将是有益的。
如在图1中所概示,用于提供针对不受管理的设备的安全服务的通信系统可以解决这些问题(以及其它问题)。通信系统100可以被配置为使用反向代理来拦截电子设备与一个或多个期望应用的交互并且将嵌入式(通常隐藏式)代码插入在所递送的网络内容(例如,网页)中。所插入的代码可以包括来自测试服务器集合的一个或多个测试链路,其中那些服务器可以是公知的互联网站点以及可能甚至不存在于互联网中的伪随机服务器名称。通信系统100可以被配置为追踪是否通过期望的网络元件来路由去往测试服务器的通信量,所述期望的网络元件确定策略施行点是否为电子设备和测试服务器之间的路线的一部分,并且确定在这些施行点上执行的附加测试;如果所检测的安全态势不满足期望标准,那么可以采取补救动作。补救动作可以包括防止电子设备访问网络的一部分或全部、防止对期望应用的访问、防止对受保护的数据的访问、将电子设备标记为不受信的等等。在高层面上,网络服务平台122可以被配置为使用其位置作为设备102与期望服务120之间的强制安全策略施行点,以便教导用户扩展它可以在设备与任何其它互联网服务之间控制的通信量的数量。
在示例中,通信系统100可以针对期望行为进行测试,也就是说,进行测试以便确定用户是否已经将电子设备(例如,电子设备102)配置为使所有互联网通信量通过安全产品来路由,所述安全产品诸如网络服务平台122。如果否,通信系统100可以被配置为重新引导电子设备的用户以便遵照期望行为(例如,在显示器116上显示关于如何配置电子设备102的指令)。该系统可以使用针对用户很可能使用的已知期望服务(例如,网络应用服务120)的反向代理(例如,通过反向代理模块126)以及链路到“伪随机”网络服务器、公知的服务器或者某一其它预限定的网络元件(例如,测试网络元件112)的隐藏映像,以便测试电子设备是否遵照期望配置。如果电子设备没有遵照期望配置,可以使用消息以便就如何使电子设备顺从来教导或指示用户。如果用户没有使电子设备顺从,那么对期望服务的访问可以变得被禁用。在示例中,如果来自设备的网络通信量穿过网络服务平台122,则该设备可以视为顺从的。通过迫使网络通信量穿过网络服务平台,规则引擎模块124可以加强关于网络通信量以及网络通信量中的数据的规则或策略。例如,规则引擎模块124可以不允许从电子设备102发送被标示为机密的任何文档或者从安全位置发送数据(例如,照片或视频)。
在示例中,以用户友好的方式从不受管理的设备转移来自电子设备的通信量的至少一部分。更具体地,可以使来自电子设备的通信量的至少一部分通过网络元件(例如,网络服务平台122)来路由,所述网络元件被配置为向来自电子设备的通信量应用安全策略。在一种实现中,可以使用用于期望应用的反向代理。期望应用可以是系统的管控者拥有或颁发许可的基于云的应用、由第三方托管的应用以及经常被用户访问的应用(例如,Office365®等)。如果设备当前没有被按照期望进行配置,系统可以引导用户来按照期望配置电子设备。例如,可以在显示器116上显示关于如何使用用户接口118来如由管控者期望的那样配置设备的指令。
通信系统100可以被配置为允许业务管控者传达凭证以便使用身份提供商110(例如,ID代理/联邦服务)向网络应用服务进行登记或者注册。这创建了其中不存在用于使用户登录到期望应用(例如,网络应用服务120)中的便利旁路的系统。此外,反向代理模块126可以位于电子设备前方并且可以访问身份提供商110以便帮助防止用户绕过该系统。
为了分析去往电子设备的互联网通信量并且确保设备按照期望予以配置以及可以施行安全策略,通信系统100可以被配置为测试和确定电子设备是否已经被配置用于使通信量穿过网络服务平台122。为了能够实现测试,通信系统100可以被配置为使用正从网络服务应用120向电子设备传达的数据。可以改变或修改该数据以便将代码(例如,链路或URL)或测试链路注入至正递送给电子设备的数据或页面中。针对数据的改变或修改可以是从特定URL(例如,指向测试网络元件112的URL)加载图像的指令。所注入的数据或测试链路不是重要的,并且牵涉的是哪个服务器或网络元件是无关紧要的,因为系统只是在确定新的服务器请求是否由于顺从用户做出的电子设备上的设置而同样被通过网络服务平台122路由,或者该请求是否由于非顺从用户做出的电子设备上的设置而正绕过网络服务平台122。
在示例中,如果网络服务平台122看到针对之前注入的URL的请求,则电子设备被标记为顺从的或者受信的,并且通过网络服务平台122利用肯定HTTP响应直接地答复该请求,所述肯定HTTP响应没有改变期望服务的用户体验(例如,通过提供透明图像),或者测试链路不是可由电子设备的用户容易标识的。如果网络服务平台122没有接收到测试URL并且测试时间超出,则电子设备被标记为非顺从的或者不受信的,并且直接地向可以存在或者可以不存在的远程测试服务器或测试网络元件发送该请求,使得典型响应将是HTTP错误消息。期望应用的页面上的嵌入式对象可以被示为虚线的或者甚至可以不显示在显示器116上。
在另一个示例中,通信系统100可以配置为记录嵌入在从电子设备请求的网页中的URL。如果网络服务平台122没有看到来自URL的通信量穿过网络服务平台122,则网络服务平台122可以被配置为确定电子设备尚未按照期望予以配置。此外,如果系统没有在网络服务平台122处看到来自网络浏览器的通信量,则可以向电子设备名号数据库130中的电子设备分配不顺从或不受信的分类。在另一个示例中,可以将分类记录在网络跟踪器中或者某种其它可以用于将电子设备分类为非顺从的或不受信的部件中。如果网络服务平台122确实看到通信量,电子设备可以被标记为顺从的或者受信的。如果设备被标记为不顺从的或者不受信的,网络服务平台122可以等待给网络应用服务120的下一请求,并且网络服务平台122可以应用要求用户重新配置电子设备的重新引导,并且如果没有使设备顺从,则威胁夺走对网络应用服务120的访问。
转向图1的基础设施,示出了依照示例实施例的通信系统100。一般地,通信系统100可以实现在任何类型或拓扑的网络中。网络108表示用于接收和传输通过通信系统100传播的信息分组的互连通信路径的一系列点或节点。网络108供应了节点之间的通信接口,并且可以被配置为任何局域网(LAN)、虚拟局域网(VLAN)、广域网(WAN)、无线局域网(WLAN)、城域网(MAN)、内联网、以太网、虚拟私人网络(VPN)、以及促进网络环境中的通信的任何其它适当的架构或系统、或它们的任何适合的组合,包括有线和/或无线通信。
在通信系统100中,包括分组、帧、信号、数据等的网络通信量可以根据任何适合的通信消息收发协议进行发送和接收。适合的通信消息收发协议可以包括多层方案,诸如开放系统互连(OSI)模型、或其任何衍生物或变形(例如,传输控制协议/互联网协议(TCP/IP)、用户数据报协议/IP(UDP/IP))。附加地,通过蜂窝网络的无线电信号通信也可以提供在通信系统100中。可以提供适合的接口和基础设施以便使得能够与蜂窝网络进行通信。
如本文中使用的术语“分组”是指可以在分组交换网络上的源节点与目的地节点之间路由的数据单元。分组包括源网络地址和目的地网络地址。这些网络地址可以是TCP/IP消息收发协议中的互联网协议(IP)地址。如本文中使用的术语“数据”是指任何类型的二元、数值、语音、视频、文本或脚本数据、或者任何类型的源或目标代码、或者以任何适当格式的任何其它适合的信息,这些信息可以从电子设备和/或网络中的一个点传达至另一点。附加地,消息、请求、响应和查询是网络通信量的形式,并且因此可以包括分组、帧、信号、数据等。
在示例实现中,电子设备102、云服务104、服务器106、身份提供商110、测试网络元件112和网络设备平台122是网络元件,它们意欲涵盖网络器具、服务器、路由器、开关、网关、桥、负载均衡器、处理器、模块、或者可操作为在网络环境中交换信息的任何其它适合的设备、组件、元件或对象。网络元件可以包括促进其操作的任何适合的硬件、软件、组件、模块或对象,以及用于在网络环境中接收、传送和/或以其它方式传达数据或信息的合适接口。这可以包括允许数据或信息的有效交换的适当算法和通信协议。
关于与通信系统100相关联的内部结构,电子设备102、云服务104、服务器106、身份提供商110、测试网络元件112和网络设备平台122中的每一个可以包括用于存储要在本文概述的操作中使用的信息的存储器元件。在适当的情况下以及基于特定需要,电子设备102、云服务104、服务器106、身份提供商110、测试网络元件112和网络设备平台122中的每一个可以将信息保持在任何适合的存储器元件(例如,随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程ROM(EPROM)、电气可擦除可编程ROM(EEPROM)、专用集成电路(ASIC)等)、软件、硬件、固件或者任何其它适合的组件、设备、元件或对象中。本文讨论的存储器项目中的任一个应当解读为被涵盖在宽泛的术语“存储器元件”内。此外,在通信系统100中使用、追踪、发送或接收的信息可以提供在任何数据库、寄存器、队列、表格、缓存器、控制列表或其它存储结构中,其全部可以在任何适合的时间表处引用。任何这样的存储选项也可以被包括在如本文使用的宽泛的术语“存储器元件”中。
在某些示例实现中,本文概述的功能可以通过编码在一个或多个有形介质中的逻辑(例如,提供在ASIC中的嵌入式逻辑、数字信号处理器(DSP)指令、要由处理器执行的软件(潜在地包括目标代码和源代码)、或者其它类似机器等)来实现,这可以包括非暂时性计算机可读介质。在这些实例中的一些中,存储器元件可以存储用于本文描述的操作的数据。这包括能够存储软件、逻辑、代码或处理器指令的存储器元件,所述软件、逻辑、代码或处理器指令被执行以便实施本文描述的活动。
在示例实现中,通信系统100的网络元件,诸如电子设备102、云服务104、服务器106、身份提供商110、测试网络元件112和网络设备平台122,可以包括软件模块(例如,规则引擎模块124、反向代理模块126和正向代理模块128)以便达成或者促成如本文所概述的操作。这些模块可以以任何适当的方式合适地组合,这可以是基于特定的配置和/或供应需要。在示例实施例中,这样的操作可以由硬件实施,在这些元件外部实现,或者包括在某一其它网络设备中以便实现所意图的功能性。此外,模块可以实现为软件、硬件、固件或者其任何适合的组合。这些元件还可以包括软件(或往复式软件),其可以与其它网络元件协作以便达成如本文中概述的操作。
附加地,电子设备102、云服务104、服务器106、身份提供商110、测试网络元件112和网络设备平台122中的每一个可以包括处理器,所述处理器可以执行软件或算法以便实施如本文中讨论的活动。处理器可以执行与数据相关联的任何类型的指令以便达成本文中详述的操作。在一个示例中,处理器可以将元件或物品(例如,数据)从一个状态或事物转变为另一个状态或事物。在另一个示例中,本文中概述的活动可以利用固定逻辑或可编程逻辑(例如,由处理器执行的软件/计算机指令)来予以实现,并且本文中标识的元件可以是某种类型的可编程处理器、可编程数字逻辑(例如,现场可编程门阵列(FPGA)、EPROM、EEPROM)或者ASIC,所述ASIC包括数字逻辑、软件、代码、电子指令或者其任何适合的组合。本文描述的潜在的处理元件、模块和机器中的任一种应当被解读为涵盖在宽泛的术语“处理器”内。
电子设备102可以是网络元件,并且例如包括台式计算机、膝上型计算机、移动设备、个人数字助理、智能电话、平板或其它类似的设备。云服务104被配置为向电子设备102提供云服务。云服务104可以一般地被限定为使用作为服务通过网络(诸如互联网)递送的计算资源。典型地,在云基础设施中提供计算、存储和网络资源,有效地将工作负载从本地网络移至云网络。服务器106可以是网络元件,诸如服务器或虚拟服务器,并且可以与想要经由某种网络(例如,网络108)在通信系统100中发起通信的客户端、顾客、端点或者最终用户相关联。术语“服务器”包括用于为客户端的请求服务和/或代表通信系统100内的客户端执行某一计算任务的设备。尽管网络服务平台122在图1中被表示为位于网络108中,但是这仅是用于说明性目的。网络服务平台122可以以任何适合的配置组合或分离。
转向图2,图2是图示了依照实施例的可以与用于不受管理的设备的安全服务相关联的流程200的可能操作的示例流程图。在实施例中,流程200的一个或多个操作可以由网络服务平台122执行。在202处,电子设备请求对网络服务的访问。在204处,该请求由反向代理模块接收。在206处,从身份提供商获取访问所请求的网络服务的链路和凭证。在示例中,将身份联合到网络服务,而同时将该请求从反向代理转发到所述服务。来自该网络服务的响应页面可以由代理接收。在208处,连同链路向所请求的网络服务发送去往测试网络元件的页面再定向(或测试链路)。在210处,系统确定该页面再定向是否被成功执行。如果该页面再定向没有被成功执行,那么将电子设备分类为不受信的,如在212中。如果该页面再定向被成功执行,那么将电子设备分类为受信的,如在214中。
例如,当电子设备请求来自网络应用服务120的数据时,可以将嵌入式链路(例如,链路132,在图7中示出)插入到发送给电子设备102的数据中。嵌入式链路可以是页面再定向,并且如果页面再定向被成功执行,那么将电子设备102分类为受信的,如在214中。可以将网络跟踪器或者某种其它类型的指示符存储在电子设备名号114中以便将电子设备102分类为受信且顺从的或者不受信且非顺从的。电子设备名号114可以仅位于电子设备102中,仅位于网络服务平台122中,位于电子设备102和网络服务平台122二者中,或者位于网络服务平台122可访问的某种其它设备或区域(例如,云服务104、服务器106等)中。
转向图3,图3是图示了依照实施例的可以与用于不受管理的设备的安全服务相关联的流程300的可能操作的示例流程图。在实施例中,流程300的一个或多个操作可以由网络服务平台122执行。在302处,电子设备试图访问网络服务。在304处,系统确定电子设备是否为受信电子设备。如果电子设备是受信电子设备,那么允许对服务的访问,如在306中,如果电子设备不是受信电子设备,那么采取补救动作,如在308中。例如,补救动作可以是关于如何使电子设备受信、拒绝对网络服务的访问等的指令。
转向图4,图4是依照本公开的实施例的用于针对不受管理的设备的安全服务的通信系统100的简化框图。如在图4中图示,电子设备102试图通过网络服务平台122连接到网络应用服务120。反向代理模块126访问身份提供商110以便获取访问网络应用服务120的凭证。来自身份提供商110的凭证可以由反向代理模块126使用以便允许电子设备102访问网络应用服务120。在没有来自身份提供商110的凭证的情况下,电子设备102不能访问网络应用服务120,并且用户不能够绕过网络服务平台122并访问网络应用服务120。反向代理模块126还被配置为拦截电子设备102与网络应用服务120的交互并且将嵌入式隐藏代码插入到所递送的网络内容(例如,网页)中的伪随机服务器。
转向图5,图5是依照本公开的实施例的用于针对不受管理的设备的安全服务的通信系统100的简化框图。为了分析去往电子设备102的互联网通信量,网络服务平台122可以被配置为确定电子设备102是否已经被配置用于使通信量穿过网络服务平台122以便推行安全策略。为了使得能够进行测试,当电子设备102访问网络应用服务120时,网络服务平台122可以被配置为使用由反向代理模块126插入的嵌入式隐藏代码。嵌入式代码可以是去往测试网络元件112的链路。如果电子设备102是顺从的,则去往测试网络元件112的链路将穿过正向代理模块128,如利用路径138示出的。如果电子设备102是不顺从的,则去往测试网络元件112的链路将绕过网络服务平台122并且使用路径140。电子设备102的用户甚至可以没有意识到该链路被执行了。
转向图6,图6是依照本公开的实施例的用于针对不受管理的设备的安全服务的通信系统100的简化框图。如果网络服务平台122看到隐藏代码的执行,例如,去往测试网络元件112的链路,则电子设备名号数据库130可以将电子设备102标记为顺从或受信的。可以通过网络服务平台122利用承载透明图像的肯定HTTP响应来直接地答复该请求。如果网络服务平台122没有接收到去往测试网络元件112的链路并且测试时间超出,则电子设备名号数据库130可以将电子设备102标记为不顺从或不受信的。分类可以记录在网络跟踪器中或者可以用于将电子设备分类为非顺从或不受信的某种其它部件中,并且分类可以存储在电子设备名号114中。在一种实现中,将电子设备分类为顺从或受信的受信网络跟踪器或某种其它部件可以存储在电子设备名号114中,并且如果受信的网络跟踪器或其它分类部件不存在,那么电子设备被认定为不受信的。
在示例中,如果电子设备102是不顺从的并且网络活动没有穿过网络服务平台,嵌入式请求或链路将被直接地发送至测试网络元件112(例如,在路径140上)并且典型的响应可以是HTTP错误消息。期望应用的页面上的嵌入式对象可以被示为虚的,或者甚至可以不显示在显示器116上。由反向代理模块126插入的潜藏代码、链路、URL等并不重要。牵涉的是哪个服务器或网络元件是无关紧要的,因为系统只是在确定针对测试网络元件112的请求或链路是否由于顺从用户做出的电子设备102上的设置而穿过网络服务平台122(例如,在补丁138上)路由,或者该请求是否由于非顺从用户做出的电子设备102上的设置而绕过网络服务平台122(例如,在补丁140上)。
转向图7,图7是依照本公开的实施例的在用于针对不受管理的设备的安全服务的通信系统100中使用的嵌入式或隐藏式链路132的简化示例。链路132可以包括URL 134。URL134可以是用于测试网络元件112的URL。链路132可以嵌入在涉及网络应用服务120的页面或数据中并且被配置为页面再定向。
转向图8,图8是依照本公开的实施例的在用于针对不受管理的设备的安全服务的通信系统100中使用的用户提示136的简化示例。用户提示136可以是显示在显示器116上的再定向消息,并且可以用于在确定电子设备102是非顺从或不受信的时,就如何使电子设备顺从而教导或指令用户。在显示器116上显示用户提示136之后,并且如果没有使电子设备102顺从且电子设备102没有遵照期望的配置,那么对网络应用服务120的访问可以变得被禁用,直至电子设备变为顺从的并且网络通信量通过网络服务平台122路由。
转向图9,图9图示了根据实施例的布置在点对点(PtP)配置中的计算系统900。特别地,图9示出了其中处理器、存储器和输入/输出设备通过很多点对点接口互连的系统。一般地,通信系统100的网络元件中的一个或多个网络元件可以以与计算系统900相同或类似的方式进行配置。
如在图9中图示,系统900可以包括若干处理器,其中为了清楚起见仅示出两个,处理器970和980。尽管示出了两个处理器970和980,但是要理解到,系统900的实施例还可以包括仅一个这样的处理器。处理器970和980可以各自包括执行程序的多个线程的核的集合(即,处理器核974A和974B以及处理器核984A和984B)。核可以被配置为以与上文参照图6-9讨论的类似的方式执行指令代码。每一个处理器970、980可以包括至少一个共享缓存器971、981。共享缓存器971、981可以存储由处理器970、980(诸如,处理器核974和984)的一个或多个组件利用的数据(例如,指令)。
处理器970和980还可以各自包括集成存储器控制器逻辑(MC)972和982以便与存储器元件932和934通信。存储器元件932和/或934可以存储由处理器970和980使用的各种数据。在可替换实施例中,存储器控制器逻辑972和982可以是与处理器970和980分离的分立逻辑。
处理器970和980可以是任何类型的处理器,并且可以分别使用点对点接口电路978和988经由点对点(PtP)接口950来交换数据。处理器970和980可以各自使用点对点接口电路976、986、994和998而经由单独的点对点接口952和954与芯片集990交换数据。芯片集990还可以使用接口电路992而经由高性能图形接口939与高性能图形电路938交换数据,所述接口电路992可以是PtP接口电路。在可替换实施例中,在图9中图示的PtP链路中的任一个或全部PtP链路可以实现为多点总线而不是PtP链路。
芯片集990可以经由接口电路996与总线920通信。总线920可以具有通过总线920通信的一个或多个设备,诸如总线桥918和I/O设备916。经由总线910,总线桥918可以与其它设备通信,诸如键盘/鼠标912(或者其它输入设备,诸如触摸屏、追踪球等)、通信设备926(诸如调制解调器、网络接口设备、或者可以通过计算机网络960通信的其它类型的通信设备)、音频I/O设备914和/或数据存储设备928。数据存储设备928可以存储代码930,所述代码930可以由处理器970和/或980执行。在可替换实施例中,总线架构的任何部分可以利用一个或多个PtP链路实现。
在图9中描绘的计算机系统是可以用于实现本文讨论的各种实施例的计算系统的实施例的示意性图示。将领会到,在图9中描绘的系统的各种组件可以在片上系统(SoC)架构中或者在任何其它适合的配置中组合。例如,本文公开的实施例可以并入到包括移动设备的系统中,所述移动设备诸如智能蜂窝电话、平板电脑、个人数字助理、便携式游戏设备等。将领会到,在至少一些实施例中,可以向这些移动设备提供SoC架构。
转向图10,图10是与本公开的示例ARM生态系统SOC 1000相关联的简化框图。本公开的至少一个示例实现可以包括ARM组件以及用于本文讨论的不受管理设备特征的安全服务。例如,图10的示例可以与任何ARM核(例如,A-9、A-15等)相关联。另外,架构可以是任何类型的平板、智能电话的一部分,包括AndroidTM电话、iPhoneTM、iPadTM、Google NexusTM、Microsoft SurfaceTM、个人计算机、服务器、视频处理组件、膝上型电脑(包括任何类型的笔记本)、UltrabookTM系统、任何类型的启用触控的输入设备等。
在图10的该示例中,ARM生态系统SOC 1000可以包括多个核1006-1007、L2缓存器控制1008、总线接口单元1009、L2缓存器1010、图形处理单元(GPU)1015、互连1002、视频编解码器1020以及液晶显示器(LCD)I/F 1025,它们可以与耦合到LCD的移动行业处理器接口(MIPI)/高清晰度多媒体接口(HDMI)链路相关联。
ARM生态系统SOC 1000还可以包括订户身份模块(SIM)I/F 1030、启动只读存储器(ROM)1035、同步动态随机存取存储器(SDRAM)控制器1040、闪存控制器1045、串行通信接口(SPI)主机1050、适当的电力控制1055、动态RAM(DRAM)1060以及闪存1065。此外,一个或多个示例实施例包括一个或多个通信能力、接口和特征,诸如BluetoothTM 1070、3G调制解调器1075、全球定位系统(GPS)1080和802.11 Wi-Fi 1085的实例。
在操作中,图10的示例可以提供处理能力,连同相对低的功耗,以便使得能够实现各种类型的计算(例如,移动计算、高端数字家庭、服务器、无线基础设施等)。此外,这样的架构可以使得能够实现任何数目的软件应用(例如,AndroidTM、AdobeTM、FlashTM播放器、Java平台标准编辑(Java SE)、JavaFX、Linux、Microsoft Windows嵌入式、Symbian和Ubuntu等)。在至少一个示例实施例中,核处理器可以实现具有耦合的低等待时间层级2缓存器的无序超标量管线。
转向图11,图11图示了根据实施例的处理器核1100。处理器核1100可以是用于任何类型处理器的核,诸如微处理器、嵌入式处理器、数字信号处理器(DSP)、网络处理器或者执行代码的其它设备。尽管在图11中图示了仅一个处理器核1100,但是处理器可以可替换地包括多于一个在图11中图示的处理器核1100。例如,处理器核1100表示参照图9的处理器970和980描述和示出的处理器核974a、974b、984a和984b的一个示例实施例。处理器核1100可以是单线程核,或者对于至少一个实施例而言,处理器核1100可以是多线程的,因为它可以包括每一核多于一个硬件线程上下文(context)(或“逻辑处理器”)。
图11还图示了依照实施例的耦合到处理器核1100的存储器1102。存储器1102可以是如本领域技术人员已知或以其它方式可获得的各种各样的存储器中的任一种(包括存储器层级结构的各种层)。存储器1102可以包括要由处理器核1100执行的代码1104,其可以是一个或多个指令。处理器核1100可以遵循由代码1104指示的指令的程序序列。每一个指令进入前端逻辑1106并且由一个或多个解码器1108处理。解码器可以生成微操作作为其输出,诸如具有预限定格式的固定宽度微操作,或者可以生成反映原始代码指令的其它指令、微指令或控制信号。前端逻辑1106还包括寄存器重命名逻辑1110和调度逻辑1112,其一般地分派资源并且使得与用于执行的指令对应的操作队列化。
处理器核1100还可以包括具有执行单元1116-1到1116-N的集合的执行逻辑1114。一些实施例可以包括专用于特定功能或功能集合的很多执行单元。其它实施例可以包括仅一个执行单元或可以实施特定功能的一个执行单元。执行逻辑1114施行由代码指令指定的操作。
在由代码指令指定的操作的执行完成之后,后端逻辑1118可以使代码1104的指令引退。在一个实施例中,处理器核1100允许无序执行,但是要求指令的有序引退。引退逻辑1120可以采取各种已知形式(例如,重新排序缓冲器等)。以该方式,处理器核1100在代码1104的执行期间转变,至少在由解码器生成的输出、由寄存器重命名逻辑1110利用的硬件寄存器和表格、以及由执行逻辑1114修改的任何寄存器(未示出)方面。
尽管没有在图11中图示,但是处理器可以包括具有处理器核1100的芯片上的其它元件,其中至少一些在本文中参照图9示出和描述。例如,如图9中所示,处理器可以包括存储器控制逻辑连同处理器核1100。处理器可以包括I/O控制逻辑和/或可以包括与存储器控制逻辑集成的I/O控制逻辑。
要注意,利用本文提供的示例,可以在两个、三个或更多的网络元件方面描述交互。然而,这仅出于清楚和示例的目的而完成。在某些情况下,可能更容易的是通过仅引用有限数目的网络元件来描述流程的给定集合的功能性中的一个或多个功能性。应当领会到,通信系统100及其教导是可容易缩放的,并且可以适应大量组件,以及更加复杂/繁琐的布置和配置。相应地,所提供的示例不应当抑制如潜在地应用于众多其它架构的通信系统100的宽泛教示或者限制该通信系统100的范围。
还重要的是要注意,之前的流程图(即,图2和3)中的操作仅图示了可以由通信系统100执行或者在通信系统100内执行的可能相关的场景和模式中的一些场景和模式。这些操作中的一些操作可以在适当的情况下加以删除或移除,或者这些操作可以经过显著地修改或改变,而不脱离本公开的范围。此外,已经将很多这些操作描述为与一个或多个附加操作并发地或者并行地执行。然而,这些操作的时序可以加以明显地更改。已经出于示例和讨论的目的提供了前面的操作流程。通信系统100提供了实质的灵活性,因为可以提供任何适合的布置、年表、配置和时序机制,而不脱离本公开的教导。
尽管已经参照特定布置和配置详细地描述了本公开,但是这些示例配置和布置可以经过明显改变而不脱离本公开的范围。此外,可以基于特定需要和实现组合、分离、消除或添加某些组件。附加地,尽管已经参照促进通信过程的特定元件和操作图示了通信系统100,但是这些元件和操作可以被实现通信系统100的意图功能性的任何适合的架构、协议和/或过程所替换。
众多的其它改变、置换、变形、更改和修改是本领域技术人员可以查明的,并且本公开意图涵盖如落在随附权利要求的范围内的所有这样的改变、置换、变化、更改和修改。为了帮助美国专利与商标局(USPTO)以及附加地在本申请上颁发的任何专利的任何读者解读随附于此的权利要求,申请人想要指出的是,申请人:(a)不意图使随附权利要求中的任一项违反35 U.S.C.章节112的第六段(6),因为它在其提交日就存在,除非在特定权利要求中特别地使用词语“用于…的模块”或者“用于…的步骤”;以及(b)不意图通过说明书中的任何陈述利用没有以其它方式在随附权利要求中反映的任何方式来限制本公开。
其它注释和示例
示例C1是具有一个或多个指令的至少一种机器可读存储介质,所述一个或多个指令在由至少一个处理器执行时使所述至少一个处理器从电子设备接收访问网络服务的请求,响应于该请求而向电子设备发送涉及网络服务的数据并且将至少一个测试链路添加到涉及网络服务的数据,确定测试链路是否被成功路由,以及如果测试链路没有被成功路由,则将电子设备分类为不受信的。
在示例C2中,示例C1的主题可以可选地包括,其中访问网络服务的请求由反向代理模块接收。
在示例C3中,示例C1-C2中任一项的主题可以可选地包括,其中从身份提供商获取访问所请求的网络服务的凭证。
在示例C4中,示例C1-C3中任一项的主题可以可选地包括,其中所述指令在由所述至少一个处理器执行时还使所述至少一个处理器向电子设备传达关于可以如何将电子设备分类为受信的指令。
在示例C5中,示例C1-C4中任一项的主题可以可选地包括,其中所述指令在由所述至少一个处理器执行时还使所述至少一个处理器在测试链路被成功路由的情况下将电子设备分类为受信的。
在示例C6中,示例C1-C5中任一项的主题可以可选地包括,其中所述指令在由所述至少一个处理器执行时还使所述至少一个处理器在将电子设备分类为不受信的情况下阻挡对网络服务的访问。
在示例C7中,示例C1-C6中任一项的主题可以可选地包括,其中测试链路不是电子设备的用户可容易标识的。
在示例C8中,示例C1-C7中任一项的主题可以可选地包括,其中电子设备是不受管理的设备。
在示例A1中,一种装置可以包括网络服务平台,其中网络服务平台被配置为从电子设备接收访问网络服务的请求,响应于该请求而向电子设备发送涉及网络服务的数据并且将至少一个测试链路添加到涉及网络服务的数据,确定测试链路是否被成功路由,以及如果测试链路没有被成功路由,则将电子设备分类为不受信的。
在示例A2中,示例A1的主题可以可选地包括,其中访问网络服务的请求由反向代理模块接收。
在示例A3中,示例A1-A2中任一项的主题可以可选地包括,其中从身份提供商获取访问所请求的网络服务的凭证。
在示例A4中,示例A1-A3中任一项的主题可以可选地包括,其中网络服务平台还被配置为向电子设备传达关于可以如何将电子设备分类为受信的指令。
在示例A5中,示例A1-A4中任一项的主题可以可选地包括,其中网络服务平台还被配置为在测试链路被成功路由的情况下将电子设备分类为受信的。
在示例A6中,示例A1-A5中任一项的主题可以可选地包括,其中网络服务平台还被配置为在将电子设备分类为不受信的情况下阻挡对网络服务的访问。
在示例A7中,示例A1-A6中任一项的主题可以可选地包括,其中测试链路不是电子设备的用户可容易标识的。
在示例A8中,示例A1-A7中任一项的主题可以可选地包括,其中电子设备是不受管理的设备。
示例M1是一种方法,包括从电子设备接收访问网络服务的请求,响应于该请求而向电子设备发送涉及网络服务的数据并且将至少一个测试链路添加到涉及网络服务的数据,确定测试链路是否被成功路由,以及如果测试链路没有被成功路由,则将电子设备分类为不受信的。
在示例M2中,示例M1的主题可以可选地包括,其中访问网络服务的请求由反向代理模块接收。
在示例M3中,示例M1-M2中任一项的主题可以可选地还包括,其中从身份提供商获取访问所请求的网络服务的凭证。
在示例M4中,示例M1-M3中任一项的主题可以可选地还包括,向电子设备传达关于可以如何将电子设备分类为受信的指令。
在示例M5中,示例M1-M4中任一项的主题可以可选地还包括,在测试链路被成功路由的情况下将电子设备分类为受信的。
在示例M6中,示例M1-M5中任一项的主题可以可选地还包括,在将电子设备分类为不受信的情况下阻挡对网络服务的访问。
在示例M7中,示例M1-M6中任一项的主题可以可选地包括,其中测试链路不是电子设备的用户可容易标识的。
示例S1是一种用于提供针对不受管理的设备的安全服务的系统,该系统包括网络服务平台,所述网络服务平台被配置用于从电子设备接收访问网络服务的请求,响应于该请求而向电子设备发送涉及网络服务的数据并且将至少一个测试链路添加到涉及网络服务的数据,确定测试链路是否被成功路由,以及如果测试链路没有被成功路由,则将电子设备分类为不受信的。
在示例S2中,示例S1的主题可以可选地包括,其中从身份提供商获取用于访问所请求的网络服务的凭证。
在示例S3中,示例S1-S2中任一项的主题可以可选地包括,其中网络服务平台还被配置成在将电子设备分类为不受信的情况下阻挡对网络服务的访问。
在示例S4中,示例S1-S3中任一项的主题可以可选地包括,其中网络服务平台还被配置为向电子设备传达指令数据,其中指令数据包括用于在将电子设备分类为不受信的情况下使用户配置电子设备以便被分类为受信的指令。
在示例S5中,示例S1-S4中任一项的主题可以可选地包括,其中网络服务平台还被配置为在页面再定向成功执行的情况下将电子设备分类为受信的。
在示例S6中,示例S1-S5中任一项的主题可以可选地包括,其中访问网络服务的请求由反向代理模块接收。
在示例S7中,示例S1-S6中任一项的主题可以可选地包括,其中从身份提供商获取用于访问所请求的网络服务的链路和凭证。
在示例S8中,示例S1-S7中任一项的主题可以可选地包括,其中电子设备的不受信的分类存储在电子设备上。
示例X1是一种机器可读存储介质,包括机器可读指令以便实现如在示例A1-A7或M1-M7中任一项的方法或装置。示例Y1是包括用于执行示例方法M1-M7中任一项的部件的装置。在示例Y2中,示例Y1的主题可以可选地包括用于执行方法的部件,包括处理器和存储器。在示例Y3中,示例Y2的主题可以可选地包括包含机器可读指令的存储器。
Claims (25)
1.至少一种非暂时性机器可读介质,其包括一个或多个指令,所述指令在由至少一个处理器执行时使所述至少一个处理器:
从电子设备接收访问网络服务的请求;
响应于所述请求而向所述电子设备发送涉及所述网络服务的包括测试链路的数据,其中所述测试链路使所述电子设备执行新请求,所述新请求经由指定路径路由到所述网络服务中的预定义的网络元件;
确定所述新请求是否经由所述指定路径路由到了所述网络服务中的所述预定义的网络元件;以及
基于所述新请求未被路由到所述预定义的网络元件的确定,将所述电子设备分类为不受信的。
2.如权利要求1所述的至少一种非暂时性机器可读介质,其中所述访问网络服务的请求由反向代理模块接收。
3.如权利要求1所述的至少一种非暂时性机器可读介质,其中从身份提供商获取用于访问所请求的网络服务的凭证。
4.如权利要求1所述的至少一种非暂时性机器可读介质,还包括一个或多个指令,所述指令在由所述至少一个处理器执行时还使所述至少一个处理器:
向所述电子设备传达关于如何能够将所述电子设备分类为受信的指令。
5.如权利要求1所述的至少一种非暂时性机器可读介质,还包括一个或多个指令,所述指令在由所述至少一个处理器执行时还使所述至少一个处理器:
基于所述新请求被路由到了所述预定义的网络元件的确定,将所述电子设备分类为受信的。
6.如权利要求1所述的至少一种非暂时性机器可读介质,还包括一个或多个指令,所述指令在由所述至少一个处理器执行时还使所述至少一个处理器:
基于所述电子设备被分类为不受信的,阻挡对所述网络服务的访问。
7.如权利要求1所述的至少一种非暂时性机器可读介质,其中所述测试链路不是所述电子设备的用户可容易标识的。
8.如权利要求1所述的至少一种非暂时性机器可读介质,其中所述电子设备是不受管理的设备。
9.一种用于为不受管理的设备提供安全服务的装置,包括:
网络服务平台,被配置成:
从电子设备接收访问网络服务的请求;
响应于所述请求而向所述电子设备发送涉及所述网络服务的包括测试链路的数据,其中所述测试链路使所述电子设备发布新请求,所述新请求经由指定路径路由到所述网络服务中的预定义的网络元件;
确定所述新请求是否经由所述指定路径路由到了所述网络服务中的所述预定义的网络元件;以及
基于所述新请求未被路由到所述预定义的网络元件的确定,将所述电子设备分类为不受信的。
10.如权利要求9所述的装置,其中所述访问网络服务的请求由反向代理模块接收。
11.如权利要求9所述的装置,其中从身份提供商获取用于访问所请求的网络服务的凭证。
12.如权利要求9所述的装置,其中所述网络服务平台还被配置成:
向所述电子设备传达关于如何能够将所述电子设备分类为受信的指令。
13.如权利要求9所述的装置,其中所述网络服务平台还被配置成:
基于所述新请求被路由到了所述预定义的网络元件的确定,将所述电子设备分类为受信的。
14.如权利要求9所述的装置,其中所述网络服务平台还被配置成:
基于所述电子设备被分类为不受信的,阻挡对所述网络服务的访问。
15.如权利要求9所述的装置,其中所述测试链路不是所述电子设备的用户可容易标识的。
16.如权利要求9所述的装置,其中所述电子设备是不受管理的设备。
17.一种用于为不受管理的设备提供安全服务的方法,包括:
从电子设备接收访问网络服务的请求;
响应于所述请求而向所述电子设备发送涉及所述网络服务的包括测试链路的数据,其中所述测试链路使所述电子设备执行新请求,所述新请求经由指定路径路由到所述网络服务中的预定义的网络元件;
确定所述新请求是否经由所述指定路径路由到了所述网络服务中的所述预定义的网络元件;以及
基于所述新请求未被路由到所述预定义的网络元件的确定,将所述电子设备分类为不受信的。
18.如权利要求17所述的方法,其中所述访问网络服务的请求由反向代理模块接收。
19.如权利要求17所述的方法,其中从身份提供商获取用于访问所请求的网络服务的凭证。
20.如权利要求17所述的方法,还包括:
向所述电子设备传达关于如何能够将所述电子设备分类为受信的指令。
21.如权利要求17所述的方法,还包括:
基于所述新请求被路由到了所述预定义的网络元件的确定,将所述电子设备分类为受信的。
22.如权利要求17所述的方法,还包括:
基于所述电子设备被分类为不受信的,阻挡对所述网络服务的访问。
23.如权利要求17所述的方法,其中所述测试链路不是所述电子设备的用户可容易标识的。
24.一种用于为不受管理的设备提供安全服务的系统,所述系统包括:
网络服务平台,被配置成:
从电子设备接收访问网络服务的请求;
响应于所述请求而向所述电子设备发送涉及所述网络服务的包括测试链路的数据,其中所述测试链路使所述电子设备执行新请求,所述新请求经由指定路径路由到所述网络服务中的预定义的网络元件;
确定所述新请求是否经由所述指定路径路由到了所述网络服务中的所述预定义的网络元件;以及
基于所述新请求未被路由到所述预定义的网络元件的确定,将所述电子设备分类为不受信的。
25.如权利要求24所述的系统,其中从身份提供商获取用于访问所请求的网络服务的凭证。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201562186896P | 2015-06-30 | 2015-06-30 | |
| US62/186896 | 2015-06-30 | ||
| US14/866800 | 2015-09-25 | ||
| US14/866,800 US10554662B2 (en) | 2015-06-30 | 2015-09-25 | Security service for an unmanaged device |
| PCT/US2016/034916 WO2017003616A1 (en) | 2015-06-30 | 2016-05-30 | Security service for an unmanaged device |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| CN107873129A CN107873129A (zh) | 2018-04-03 |
| CN107873129A8 CN107873129A8 (zh) | 2020-09-11 |
| CN107873129B true CN107873129B (zh) | 2021-06-15 |
Family
ID=57609040
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680038967.6A Active CN107873129B (zh) | 2015-06-30 | 2016-05-30 | 用于不受管理的设备的安全服务 |
Country Status (5)
| Country | Link |
|---|---|
| US (3) | US10554662B2 (zh) |
| EP (1) | EP3318042B1 (zh) |
| CN (1) | CN107873129B (zh) |
| GB (1) | GB2555056A (zh) |
| WO (1) | WO2017003616A1 (zh) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10554662B2 (en) | 2015-06-30 | 2020-02-04 | Mcafee, Llc | Security service for an unmanaged device |
| US9942202B2 (en) * | 2015-09-08 | 2018-04-10 | Microsoft Technology Licensing, Llc | Trust status of a communication session |
| US10031741B2 (en) * | 2015-09-30 | 2018-07-24 | International Business Machines Corporation | Upgrade of port firmware and driver software for a target device |
| US10031742B2 (en) * | 2015-09-30 | 2018-07-24 | International Business Machines Corporation | Upgrade of firmware in an interface hardware of a device in association with the upgrade of driver software for the device |
| US10013386B2 (en) | 2015-09-30 | 2018-07-03 | International Business Machines Corporation | Preservation of port control block information related to logins and states of remote ports during a code load in an embedded port |
| US11038869B1 (en) | 2017-05-12 | 2021-06-15 | F5 Networks, Inc. | Methods for managing a federated identity environment based on application availability and devices thereof |
| US11190504B1 (en) * | 2017-05-17 | 2021-11-30 | Amazon Technologies, Inc. | Certificate-based service authorization |
| TWI612463B (zh) * | 2017-05-19 | 2018-01-21 | 華碩電腦股份有限公司 | 觸控方法、電子裝置及非暫態電腦可讀取記錄媒體 |
| US10496460B2 (en) | 2017-11-15 | 2019-12-03 | Bank Of America Corporation | System for technology anomaly detection, triage and response using solution data modeling |
| US10970406B2 (en) * | 2018-05-08 | 2021-04-06 | Bank Of America Corporation | System for mitigating exposure associated with identified unmanaged devices in a network using solution data modelling |
| US11023835B2 (en) | 2018-05-08 | 2021-06-01 | Bank Of America Corporation | System for decommissioning information technology assets using solution data modelling |
| US10977283B2 (en) | 2018-05-08 | 2021-04-13 | Bank Of America Corporation | System for mitigating intentional and unintentional exposure using solution data modelling |
| US10936984B2 (en) | 2018-05-08 | 2021-03-02 | Bank Of America Corporation | System for mitigating exposure associated with identified impacts of technological system changes based on solution data modelling |
| US11349981B1 (en) | 2019-10-30 | 2022-05-31 | F5, Inc. | Methods for optimizing multimedia communication and devices thereof |
| CN111611167B (zh) * | 2020-05-22 | 2023-04-18 | 厦门理工学院 | 基于dsp的嵌入式软件测试方法与系统 |
Family Cites Families (36)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6073142A (en) | 1997-06-23 | 2000-06-06 | Park City Group | Automated post office based rule analysis of e-mail messages and other data objects for controlled distribution in network environments |
| US6574661B1 (en) * | 1997-09-26 | 2003-06-03 | Mci Communications Corporation | Integrated proxy interface for web based telecommunication toll-free network management using a network manager for downloading a call routing tree to client |
| US5987610A (en) | 1998-02-12 | 1999-11-16 | Ameritech Corporation | Computer virus screening methods and systems |
| US6460050B1 (en) | 1999-12-22 | 2002-10-01 | Mark Raymond Pace | Distributed content identification system |
| US6901519B1 (en) | 2000-06-22 | 2005-05-31 | Infobahn, Inc. | E-mail virus protection system and method |
| JP3823929B2 (ja) * | 2002-05-17 | 2006-09-20 | ソニー株式会社 | 情報処理装置、情報処理方法、およびコンテンツ配信装置、コンテンツ配信方法、並びにコンピュータ・プログラム |
| US7451217B2 (en) * | 2002-12-19 | 2008-11-11 | International Business Machines Corporation | Method and system for peer-to-peer authorization |
| US8014804B2 (en) | 2004-05-04 | 2011-09-06 | Agere Systems Inc. | Associating a wireless station with an access point |
| WO2006019143A1 (ja) * | 2004-08-19 | 2006-02-23 | Nippon Telegraph And Telephone Corporation | イベント順序証明方法 |
| GB0520836D0 (en) * | 2005-10-13 | 2005-11-23 | Scansafe Ltd | Remote access to resources |
| US7739744B2 (en) * | 2006-03-31 | 2010-06-15 | Novell, Inc. | Methods and systems for multifactor authentication |
| US8169974B2 (en) * | 2007-04-13 | 2012-05-01 | Hart Communication Foundation | Suspending transmissions in a wireless network |
| FR2935505B1 (fr) * | 2008-08-27 | 2010-10-08 | Yooget | Systeme informatique a serveur d'acces simplifie, et procede correspondant |
| CN101729284A (zh) * | 2008-10-29 | 2010-06-09 | 中兴通讯股份有限公司 | 一种基于设备端主动以实现管理系统中链路轮询的方法 |
| US8392982B2 (en) * | 2009-03-20 | 2013-03-05 | Citrix Systems, Inc. | Systems and methods for selective authentication, authorization, and auditing in connection with traffic management |
| US9369437B2 (en) * | 2010-04-01 | 2016-06-14 | Cloudflare, Inc. | Internet-based proxy service to modify internet responses |
| US8458787B2 (en) | 2010-06-30 | 2013-06-04 | Juniper Networks, Inc. | VPN network client for mobile device having dynamically translated user home page |
| US8966446B1 (en) * | 2010-09-29 | 2015-02-24 | A9.Com, Inc. | Systems and methods of live experimentation on content provided by a web site |
| CN102480490B (zh) * | 2010-11-30 | 2014-09-24 | 国际商业机器公司 | 一种用于防止csrf攻击的方法和设备 |
| US9699168B2 (en) * | 2010-12-13 | 2017-07-04 | International Business Machines Corporation | Method and system for authenticating a rich client to a web or cloud application |
| US9473530B2 (en) * | 2010-12-30 | 2016-10-18 | Verisign, Inc. | Client-side active validation for mitigating DDOS attacks |
| US20120295580A1 (en) * | 2011-05-19 | 2012-11-22 | Boku, Inc. | Systems and Methods to Detect Fraudulent Payment Requests |
| US8873433B2 (en) | 2011-06-28 | 2014-10-28 | Fluke Corporation | Method of determining immediate topology of a network connection |
| CN102368728B (zh) * | 2011-09-20 | 2014-06-11 | 中国人民解放军国防科学技术大学 | 路由协议的自动配置方法及路由设备、授权服务器 |
| US9143530B2 (en) | 2011-10-11 | 2015-09-22 | Citrix Systems, Inc. | Secure container for protecting enterprise data on a mobile device |
| US20140032733A1 (en) | 2011-10-11 | 2014-01-30 | Citrix Systems, Inc. | Policy-Based Application Management |
| CN102668518B (zh) * | 2011-12-02 | 2013-10-02 | 华为技术有限公司 | 一种内容分发网络路由方法、系统和用户终端 |
| CN104205722B (zh) * | 2012-03-28 | 2018-05-01 | 英特尔公司 | 基于设备验证的有条件的有限服务授权 |
| US9736260B2 (en) * | 2012-06-21 | 2017-08-15 | Cisco Technology, Inc. | Redirecting from a cloud service to a third party website to save costs without sacrificing security |
| US20140006618A1 (en) * | 2012-06-29 | 2014-01-02 | William M. Pitts | Method of creating path signatures to facilitate the recovery from network link failures |
| US8713633B2 (en) * | 2012-07-13 | 2014-04-29 | Sophos Limited | Security access protection for user data stored in a cloud computing facility |
| US9819682B2 (en) * | 2013-03-15 | 2017-11-14 | Airwatch Llc | Certificate based profile confirmation |
| US9485221B2 (en) * | 2014-10-23 | 2016-11-01 | International Business Machines Corporation | Selective content cloud storage with device synchronization |
| US10554662B2 (en) | 2015-06-30 | 2020-02-04 | Mcafee, Llc | Security service for an unmanaged device |
| US10084780B2 (en) * | 2015-12-15 | 2018-09-25 | Verizon Patent And Licensing Inc. | Network-based authentication and security services |
| CN112217840B (zh) * | 2020-12-09 | 2021-04-13 | 杭州筋斗腾云科技有限公司 | 分布式网络资源安全访问管理系统及用户端口 |
-
2015
- 2015-09-25 US US14/866,800 patent/US10554662B2/en active Active
-
2016
- 2016-05-30 CN CN201680038967.6A patent/CN107873129B/zh active Active
- 2016-05-30 WO PCT/US2016/034916 patent/WO2017003616A1/en active Application Filing
- 2016-05-30 GB GB1720990.9A patent/GB2555056A/en not_active Withdrawn
- 2016-05-30 EP EP16818420.8A patent/EP3318042B1/en active Active
-
2019
- 2019-12-23 US US16/725,113 patent/US11128626B2/en active Active
-
2021
- 2021-08-18 US US17/405,238 patent/US11641355B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| GB2555056A (en) | 2018-04-18 |
| WO2017003616A1 (en) | 2017-01-05 |
| EP3318042A1 (en) | 2018-05-09 |
| GB201720990D0 (en) | 2018-01-31 |
| CN107873129A (zh) | 2018-04-03 |
| US20200137060A1 (en) | 2020-04-30 |
| EP3318042B1 (en) | 2020-04-08 |
| US10554662B2 (en) | 2020-02-04 |
| US20170006033A1 (en) | 2017-01-05 |
| US20220046020A1 (en) | 2022-02-10 |
| EP3318042A4 (en) | 2018-11-21 |
| US11641355B2 (en) | 2023-05-02 |
| US11128626B2 (en) | 2021-09-21 |
| CN107873129A8 (zh) | 2020-09-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107873129B (zh) | 用于不受管理的设备的安全服务 | |
| US10579544B2 (en) | Virtualized trusted storage | |
| US10176344B2 (en) | Data verification using enclave attestation | |
| CN107409120B (zh) | 检测恶意外设的装置、方法及系统 | |
| CN107980123B (zh) | 敏感数据的保护 | |
| CN107430663B (zh) | 确定用于进程的信誉 | |
| US20160180092A1 (en) | Portable secure storage | |
| US9769186B2 (en) | Determining a reputation through network characteristics | |
| US11032266B2 (en) | Determining the reputation of a digital certificate | |
| JP2017522641A (ja) | マルウェアのトレースおよび検知のためのシステムおよび方法 | |
| US11627145B2 (en) | Determining a reputation of data using a data visa including information indicating a reputation | |
| US10574672B2 (en) | System and method to detect bypass of a sandbox application |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CI02 | Correction of invention patent application |
Correction item: Applicant Correct: MCAFEE, Inc. False: MCAFEE, Inc. Number: 14-01 Volume: 34 Correction item: Applicant Correct: MCAFEE, Inc. False: MCAFEE, Inc. Number: 14-01 Page: The title page Volume: 34 |
|
| CI02 | Correction of invention patent application | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20221122 Address after: Texas, USA Patentee after: MASA ROBRA USA LLC Address before: California, USA Patentee before: MCAFEE, Inc. Effective date of registration: 20221122 Address after: Texas, USA Patentee after: Tiangao Security Software Co.,Ltd. Address before: Texas, USA Patentee before: MASA ROBRA USA LLC |
|
| TR01 | Transfer of patent right |