CN109496411B - 一种用于改善网络安全的方法和系统 - Google Patents
一种用于改善网络安全的方法和系统 Download PDFInfo
- Publication number
- CN109496411B CN109496411B CN201780041449.4A CN201780041449A CN109496411B CN 109496411 B CN109496411 B CN 109496411B CN 201780041449 A CN201780041449 A CN 201780041449A CN 109496411 B CN109496411 B CN 109496411B
- Authority
- CN
- China
- Prior art keywords
- access
- iot device
- network
- iot
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/088—Access security using filters or firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/082—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了保护包括物联网设备在内的网络的方法和系统。所述网络设备系统可以调节物联网设备通过因特网与其对应的云服务器通信的能力,例如,当用户(例如,授权用户)请求使用设备时,允许设备连接到其关联的云服务器设备。所述系统可以通过安装在用户客户端设备上的应用程序和/或软件开发工具包与网络外的用户通信(例如,直接地),其中从应用程序或工具包接收的通信(如,访问网络上的一个或多个物联网设备)可以假定来自授权用户。
Description
对相关临时申请的引用
本申请要求于2016年6月2日提交的第62/344,766号美国临时专利申请的权益,其全部公开内容通过引用并入到本申请中。
技术领域
本发明涉及用于改进网络安全性的新方法和系统的实施方案,更具体地,涉及连接到物联网(IoT)设备的网络的安全性。
背景技术
万维网曾经只是连接世界各地的人们的一种数字化手段,现在它已经进化到连接“事物”。物联网本质上是一个物理对象网络,如小工具和汽车,内嵌电子传感器和软件,以及使这些对象能够在互联网上交换数据的网络组件。一些流行的IoT设备包括Wi-Fi摄像机(如Dropcam)和温度传感器。虽然这些设备通常可以增强用户体验,但它们可能对所连接的网络(无论是家庭还是企业)造成安全风险。IoT设备通常被配置为连续地连接到因特网(即关联的云应用服务器),而不管设备是否在实际使用中。如果设备被黑客攻击(例如通过利用其软件中的漏洞),这可能使网络受到未经授权的访问。对于某些设备,连续的因特网连接是合理的,甚至需要达到其预期目的。例如,必须允许温度传感器连续不断地将数据流传输到云端,以更新用户的家庭状况。然而,大多数设备,例如Wi-Fi摄像机,不需要这样的访问—在这些情况下,网络上的设备越多,通常意味着受到攻击的风险就越大;当这些设备不使用时,它们的实时因特网连接除了充当恶意代理进入网络的途径之外没有其他用途。
传统上,网络(包括家庭和企业)通过基于规则的防火墙或虚拟专用网络(VPN)来保护,以阻止对网络上的客户端和IoT设备的未经授权访问。然而,这些解决方案并不是设计用来主动与远程客户端用户通信,也不是基于设备的使用来控制设备对因特网的访问。例如,如果网络只能通过VPN访问,则需要用户使用VPN客户端与网络进行通信。传统的路由器/网关也无法识别IoT设备是仅仅与授权的外部服务器通信,还是被恶意用户入侵。到目前为止,IoT设备和网络安全主要依赖于设备制造商,他们中的许多实现了客户端/设备通信方案而很少强调设备安全性。
发明内容
一般而言,本发明的目的是提高与物联网设备连接的网络的安全性。
根据本发明的示例性实施方案,提供了一种保护网络的方法,并且涉及与至少一个远程服务器相关联的至少一个物联网(“IoT”)设备。所述至少一个IoT设备可通信地耦合到具有至少一个数据处理器的网络设备。该网络设备可以被配置为通过因特网向至少一个IoT设备提供对至少一个远程服务器的条件访问。该方法可以包括在网络设备处从客户端设备接收通信,确定通信是否包含利用至少一个IoT设备之一的请求,当通信包含该请求时,允许该一个IoT设备访问该至少一个远程服务器,否则限制该一个IoT设备访问该至少一个远程服务器。
本发明的其他目的和优点部分是显而易见的,部分可以从说明书中看出,且本发明的范围将在权利要求中指定。
因此,本发明包括结构特征、要素组合和部件布置,以及各个步骤以及这些步骤中的一个或多个相对于其他步骤的关系,所有这些都在以下所述的结构中举例说明,且本发明的范围将在权利要求中指定。
附图说明
以下参考附图更详细地描述本发明的实施例,其中:
图1是根据本发明实施方案的基于网络的安全系统的示例性实现的示意图。
图2和3是示出根据本发明实施方案的用于管理IoT设备对因特网的访问的示例性过程的流程图。
具体实施方式
根据本发明的一个实施方案,提供了一种基于网络的安全系统(如主动对外防火墙)。该系统可以实现为单个或多个应用程序或模块,其被配置为实现本文描述的新型安全方法,并且可以安装在路由器(诸如支持WiFi的路由器)、智能家庭集线器、网络/网关(例如,企业网关)等上。
与现有防火墙相比,该系统可以调节IoT设备(在家庭或办公室网络中)在因特网与其相应的云服务器进行通信的能力。根据一个实施方案,仅当用户(例如,授权用户)请求使用该设备时,该系统才允许设备连接到其相关联的云服务器。在某些实施方案中,系统可以通过安装在用户客户端设备上的应用程序和/或软件开发工具包(SDK)与网络外部的用户(如直接)通信—从应用程序或SDK接收的通信(例如,为了访问网络上的一个或多个IoT设备),可以假定来自授权用户。这有利地消除了对复杂VPN基础设施的需要,并且在VPN解决方案通常很昂贵且难以管理和维护的家庭环境中尤其有用。
根据一个示例性实施方案,该系统可以允许为网络上的所有IoT设备配置因特网访问控制设置。在某些实施方案中,系统可以允许用户配置一个或多个规则来控制IoT设备是否能够访问因特网。在其他实施方案中,该系统可以随时间通过编程方式学习用于控制访问的规则,并且可以实施这些规则来自动阻止和/或取消阻止对设备访问。
例如,用户可以设置一个或多个规则,阻止每个智能家居设备在夜间访问与其关联的云服务器。一个示例性规则可以允许设备仅在网络网关与该网关中配置的可信客户端之间发生(基于规则的)“握手”之后才能连接到因特网。另一示例性规则是,如果从在网络上注册的用户客户端设备接收到访问该设备的请求,则可以解锁IoT设备的阻止。
在某些实施方案中,用户还可以通过单个应用程序(例如,通过单个用户界面)为其所有IoT设备定义个性化设置。这与传统做法形成对比,在传统做法中,每个设备的通信首选项必须通过其自己的设备设置单独管理。在某些实施方案中,该系统还被配置为在任何给定点监视网络的所有授权用户的状态,并且可以检测异常网络活动。
参考图1,网络101(例如,局域网[“LAN”])包括通信耦合于与相应的应用服务器112相关联的一个或多个IoT设备110a和110b(例如,Wi-Fi视频摄像机,Wi-Fi照明设备等)的网络设备102。网络设备102可以包括被配置为控制客户端设备对网络101上的IoT设备的访问的示例性系统。如果所请求的IoT设备处于非活动状态或者如果在预定义的访问规则中不满足条件,则系统可以拒绝访问(例如,对客户端设备130的访问),否则可以准许访问(例如,对客户端设备120的访问)。
根据另一个示例实施方案,该系统只能在用户授权或请求使用该设备时允许每个IoT设备访问因特网(例如,连接到其关联的云服务器)。该系统可以包括两个子系统(例如,可以作为一个或多个算法实现),为IoT设备访问提供一个双因素身份认证过程。第一子系统可以在用户的因特网客户端或客户端设备(例如,智能手机、移动电话、个人计算机、笔记本电脑、平板电脑或类似设备)上实现,并且可以被配置为检测用户使用IoT设备的请求。第二子系统可以在路由器(例如,消费者或商用LAN路由器)上实现,并且可以被配置为管理网络上的IoT设备的因特网访问(例如,通过阻止访问和/或解除阻止访问)。例如,该算法可以限制IoT设备对因特网的访问,除非用户访问与IoT设备相关联的移动应用程序或web服务。
在一个实施方案中,第一子系统可以通过监测与所述的一个或多个IoT设备相关联的一个或多个客户端设备的网络/移动/桌面应用程序(例如,应用程序或web应用)的访问来检测用户请求。用户客户端设备还可以包括一个或多个数据库,其存储有关IoT设备(在家庭或办公室网络上)以及与之关联的任何已安装客户端应用程序的信息。根据一些实施方案,第一子系统可以作为安装在用户的客户端设备上的防病毒软件(AV)的一部分或与之集成来实现。
参考图2,过程200可以实现为用于在客户端设备(例如,客户端设备120)上执行的一个或多个应用和/或模块。过程200可以从步骤202开始,并且可以定期执行。步骤204可以包括获取或检索当前在客户端设备上运行的应用程序(例如,web应用)列表。对于列表中的每个应用程序,都可以识别关联的IoT设备(步骤206)-例如,通过检查或访问客户端设备上或与网络相关联的远程服务器上的数据库-并且一个或多个请求可以从客户端设备传输到网络(步骤208)以获得对IoT设备的访问。例如,可以通过激活IoT设备或以其他方式允许其通过因特网与客户端设备和/或IoT设备的相关应用服务器通信来授予访问权。步骤206和208可以重复执行,直到列表中的所有应用程序都已被考虑(步骤210),然后该过程可以结束。
参考图3,过程300可以实现为用于在网络设备(例如,网络设备102,如路由器)上执行的一个或多个应用程序和/或模块。过程300可以从步骤302开始。步骤304可以包含阻止网络上所有IoT设备的输出流量,除了那些已经预先选择具有连续访问权(例如,由用户列入白名单)的设备之外。在步骤306,该过程可以包括监控或等待来自用户客户端设备(例如,客户端设备120)访问IoT设备的请求(例如,信号)。如果没有从客户端设备接收到请求(在步骤308),则该过程可以包括阻止任何(或所有)先前未阻止的IoT设备(步骤310)。另一方面,如果从客户端设备接收到请求(步骤308),该过程可以包括确定所请求的IoT设备是否在网络(例如LAN)上存在或以其他方式处于活动状态(步骤312)。如果所请求的IoT设备不存在或不以其他方式处于活动状态,则该过程可以返回到步骤306。然而,如果所请求的IoT设备存在或者以其他方式处于活动状态,则该过程可以包括解锁所请求的IoT设备的输出流量(步骤314)和返回步骤306。
应理解的是,在过程200和300中示出的步骤仅仅是说明性的,并且现有的步骤可被修改或省略,可以添加额外的步骤,并且某些步骤的顺序可以改变。
双因素认证过程的一个示例(例如,在用户的网络摄像头[或其它设备]的登录证书已被黑客入侵的情况下,黑客现在可以从该设备获得对实时数据馈送的访问)如下:
·基于路由器的服务或系统监视对IoT设备(以及网络上的其它设备)的因特网访问;
·该系统监视授权用户的客户端设备上的一个或多个应用程序的使用情况;和
·只有授权用户访问与网络摄像头关联的客户端设备上的应用程序时,系统才会临时启用对网络摄像头的因特网访问。以这种方式,尽管具有登录证书,但黑客(未经系统授权)被限制访问该设备。
在一些实施方案中,系统可以被配置为允许对网络摄像头或其他IoT设备进行有限的因特网访问以进行某些通信,例如来自其相关联的云服务器的软件更新,或类似的通信。
本发明的实施方案因此有利地提供了成本有效且用户友好的安全解决方案,其保护网络几乎不需要复杂的防火墙和/或VPN解决方案。在IoT设备和试图远程访问这些设备的用户之间的的附加安全层,包括网络连接设备的有限互联网连接(例如阻止设备访问互联网),降低了遭受不良攻击的风险。如上所述,这对于诸如消费者或办公室网络摄像头之类的设备特别有利-当配备有本发明的实施方案时[例如,在网络中,包括路由器和用户客户端设备],网络摄像头(或其他IoT设备)可以限制互联网访问,即使拥有设备的登录证书,未经授权的非注册用户也无法访问其实时数据源。
如上所述,该系统可以在网络路由器(消费者或企业)上实现。对于传统路由器而言,配置和切换VPN地址对不太懂技术的人来说可能具有挑战性。为了克服这些缺点,该系统可以在预先配置有专用WiFi热点的网络路由器上实现,该WiFi热点支持VPN功能并且在路由器设置期间可激活。这样的路由器可以提供新颖的用户界面,其具有用于创建VPN作为单独的基于位置的热点的选项。
专用VPN热点配置可以包括热点名称和VPN解决方案提供商预设的隐藏DNS地址。当用户完成路由器设置时,路由器会自动创建主WiFi热点以及专用VPN热点。通过这种方式,用户可以通过简单地在主WiFi热点和VPN WiFi热点之间切换来“启用”和/或“禁用”VPN的使用,从而消除了重新配置DNS并重新启动路由器和网络上的所有设备的需要。
该路由器可以创建一个热点,允许访问另一个国家的内容。例如,对于位于美国以外的用户,路由器可以创建允许访问基于美国的内容的US VPN热点-如果用户希望连接到美国的媒体流节目(如Netflix),则用户只需将设备切换到该VPN WiFi热点即可。再如,对于加拿大的家庭,路由器可以创建允许访问基于英国的内容的UK VPN热点-如果家庭中的用户希望访问英国内容,则用户可以切换设备以连接到该VPN WiFi热点。
因此,专用VPN热点提供“本地”WiFi连接以进行安全的例行浏览,并允许用户对于网络上的所有设备利用VPN的益处。这有利地消除了在各个设备上困难和耗时地配置VPN的需要。此外,路由器实现简化了路由器和VPN解决方案的使用,这不仅对用户有益,而且对路由器硬件制造商和VPN解决方案提供商也有益。
应当理解的是,前述的主题可以被具体化为设备、系统、方法和/或计算机程序产品。因此,主题中的一些或全部可以体现为硬件和/或软件(包括固件、驻留软件、微代码、状态机、门阵列等)。此外,该主题还可以采取在计算机可使用或计算机可读的存储介质上的计算机程序产品的形式,该存储介质中含有计算机可使用或计算机可读的程序代码,供指令执行系统使用或与指令执行系统相连接。计算机可用或计算机可读介质可以是任何介质,能够包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备使用或与其结合使用。
计算机可用或计算机可读介质可以是例如电子、磁、光、电磁、红外或半导体系统、装置、设备或传播介质。计算机可读介质可包括计算机存储介质和通信介质。
计算机存储介质包括易失性和非易失性、可移动和不可移动的介质,这些介质以任何方法或技术实现,用于存储计算机可读指令、数据结构、程序模块或其他数据等信息。计算机存储介质包括RAM、ROM、EEPROM、闪存或其他可用于存储信息并且可由指令执行系统访问的存储器技术。
通信介质通常包含计算机可读指令、数据结构、程序模块或包含在经调制的数据信号诸如载波或其它传输机制中的其它数据,并且包括任何信息传递介质(有线或无线)。调制数据信号可以被定义为以对信号中的信息进行编码的方式设置或改变其一个或多个特征的信号。
当主题以计算机可执行指令的一般意义体现时,该实施方案可以包括由一个或多个系统、计算机或其他设备执行的程序模块。通常,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等。通常,程序模块的功能可以根据需要在各种实施方案中组合或分布。
所属领域的技术人员将会理解本文中使用的“因特网”术语是指计算机网络的集合(公共和/或私人),其由一组的标准协议(诸如TCP/IP和HTTP)连接在一起形成一个全球性的分布式网络。虽然该术语旨在表示现在通常称为因特网的术语,但是其还旨在包括将来可能做出的变化,包括对现有协议的改变和添加。
因此可以看出,上述目的,尤其在前面的描述和附图中看出的那些目的有效地实现了,并且由于在不偏离本发明的精神和范围的情况下在上述方法的执行和所述系统构建中可以做出某些改变,在以上描述中包含并且在附图中示出的所有内容应当被解释为示例性的而不是限制性的。
还应当理解,所附权利要求的目的是覆盖此处所述的本发明的所有一般和具体特征,以及在语言上应当认为落入本发明的范围内的对本发明的范围的所有陈述。
Claims (20)
1.一种保护网络的方法,包括与至少一个远程服务器相关联的至少一个物联网(“IoT”)设备,所述至少一个物联网设备通信地耦合到具有至少一个数据处理器的网络设备,所述网络设备被配置为通过因特网向所述至少一个IoT设备提供对所述至少一个远程服务器的条件访问,所述方法包括:
在网络设备处接收来自客户端设备的防病毒应用程序的通信;
通过所述网络设备确定所述通信是否包括访问所述至少一个IoT设备的用户请求;
当通信包括用户请求时:
通过网络设备允许客户端设备访问IoT设备;以及
通过网络设备允许IoT设备访问至少一个远程服务器;
当通信中不存在用户请求时,通过网络设备限制至少一个IoT设备访问至少一个远程服务器。
2.根据权利要求1所述的方法,其中,所述至少一个IoT设备包括网络摄像头或温度传感器的至少一个,所述方法进一步包括当所述用户请求不存在于所述通信中时,限制所述客户端设备访问所述至少一个IoT设备。
3.根据权利要求1所述的方法,其中,所述网络设备包括路由器或智能家居集线器。
4.根据权利要求1所述的方法,其中,所述至少一个远程服务器包括至少一个基于云的服务器。
5.根据权利要求1所述的方法,所述方法进一步包括基于临时允许互联网接入到所述至少一个IoT设备的双因素认证过程来认证所述客户端设备。
6.根据权利要求5所述的方法,其中,所述认证包括确定所述通信与至少一个预先识别的程序相关,所述至少一个预先识别的程序与所述一个IoT设备相关联。
7.根据权利要求6所述的方法,其中,至少一个预先识别的程序与安装在客户端设备上的软件开发工具包(SDK)相关联。
8.根据权利要求1所述的方法,所述方法进一步包括允许所述至少一个IoT设备基于至少一个用户定义的规则访问至少一个远程服务器。
9.根据权利要求8所述的方法,其中,所述至少一个用户定义的规则包括基于一天中的时间的因特网访问控制设置。
10.一种网络设备,其配置为通过因特网向至少一个IoT设备提供对至少一个远程服务器的条件访问,包括:
一种接收器,其被配置为从客户端设备的防病毒应用程序接收通信;和
至少一个数据处理器,其配置为:
确定从客户端设备的防病毒应用程序接收的通信是否包括利用至少一个IoT设备的用户请求;
当通信包括用户请求时,允许客户端设备访问IoT设备;
当通信包括用户请求时,允许至少一个IoT设备访问至少一个远程服务器;
当通信中没有用户请求时,限制至少一个IoT设备访问至少一个远程服务器。
11.根据权利要求10所述的网络设备,其中,所述至少一个IoT设备包括网络摄像头或温度传感器中的至少一个。
12.根据权利要求10所述的网络设备,其中,所述至少一个远程服务器包括至少一个基于云的服务器,所述至少一个数据处理器配置为:当通信中不存在用户请求时,限制客户端设备访问至少一个IoT设备。
13.根据权利要求10所述的网络设备,其中,所述至少一个数据处理器进一步被配置为基于临时允许互联网接入至少一个IoT设备的双因素认证过程来认证所述客户端设备。
14.根据权利要求13所述的网络设备,其中,所述至少一个数据处理器被配置为通过确定所述通信与至少一个预先识别的程序相关来认证所述客户端设备,所述至少一个预先识别的程序与至少一个IoT设备相关联。
15.根据权利要求14所述的网络设备,其中,所述至少一个预先识别的程序与安装在客户端设备上的软件开发工具包(SDK)相关联。
16.根据权利要求10所述的网络设备,其中,所述至少一个数据处理器进一步被配置为允许所述至少一个IoT设备基于至少一个用户定义的规则访问所述至少一个远程服务器。
17.根据权利要求16所述的网络设备,其中,所述至少一个用户定义的规则包括基于一天中的时间的因特网访问控制设置。
18.一种用于保护网络的非暂时性计算机可读介质,该网络包括具有至少一个数据处理器的网络设备,该网络设备通信地耦合到至少一个IoT设备并且被配置为通过因特网向至少一个IoT设备提供对至少一个远程服务器的条件访问,该计算机可读介质包括当由至少一个数据处理器执行时使至少一个数据处理器执行以下操作的指令:
在网络设备处接收来自客户端设备的防病毒应用程序的通信;
确定通信是否包括访问至少一个IoT设备的用户请求;
当通信包括用户请求时,允许客户端设备访问IoT设备;
当通信包括用户请求时,允许至少一个IoT设备访问至少一个远程服务器;当通信没有用户请求时,限制至少一个IoT设备访问至少一个远程服务器。
19.根据权利要求18所述的计算机可读介质,其中所述至少一个IoT设备包括网络摄像头或温度传感器中的至少一个,所述计算机可读介质包括当由所述至少一个数据处理器执行时使所述至少一个数据处理器在通信中没有用户请求时限制所述客户端设备访问所述至少一个IoT设备的指令。
20.根据权利要求18所述的计算机可读介质,其包括当由所述至少一个数据处理器执行时,使所述至少一个数据处理器基于临时允许对所述至少一个IoT设备的互联网访问的双因素认证过程来认证所述客户端设备的指令。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201662344766P | 2016-06-02 | 2016-06-02 | |
| US62/344,766 | 2016-06-02 | ||
| PCT/IB2017/000832 WO2017208079A2 (en) | 2016-06-02 | 2017-05-24 | Method and system for improving network security |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109496411A CN109496411A (zh) | 2019-03-19 |
| CN109496411B true CN109496411B (zh) | 2021-08-10 |
Family
ID=59683606
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780041449.4A Active CN109496411B (zh) | 2016-06-02 | 2017-05-24 | 一种用于改善网络安全的方法和系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10511602B2 (zh) |
| EP (1) | EP3466136B1 (zh) |
| CN (1) | CN109496411B (zh) |
| WO (1) | WO2017208079A2 (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11082837B2 (en) | 2018-01-05 | 2021-08-03 | At&T Intellectual Property I, L.P. | Drop-in probe that facilitates management and configuration of internet of things network connected devices |
| US11153309B2 (en) | 2018-03-13 | 2021-10-19 | At&T Mobility Ii Llc | Multifactor authentication for internet-of-things devices |
| US10645108B2 (en) * | 2018-03-19 | 2020-05-05 | Bank Of America Corporation | Smart Internet of Things (“IoT”) web of trust |
| US11665137B2 (en) * | 2019-03-15 | 2023-05-30 | Mcafee, Llc | Systems, methods, and media for securing connections to Internet of Things devices |
| CA3139017A1 (en) * | 2019-05-29 | 2020-12-03 | Legic Identsystems Ag | System and method of facilitating data communication between an internet of things device and a cloud-based computer system |
| US11924221B2 (en) | 2020-04-04 | 2024-03-05 | Mcafee, Llc | Systems, methods, and media for authorizing external network access requests |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1705940A (zh) * | 2003-11-24 | 2005-12-07 | 微软公司 | 来自外联网的工作站安装的远程应用程序的无缝发现 |
| CN102271132A (zh) * | 2011-07-26 | 2011-12-07 | 北京星网锐捷网络技术有限公司 | 一种访问网络权限的控制方法、系统及客户端 |
| CN103002428A (zh) * | 2011-09-15 | 2013-03-27 | 华为技术有限公司 | 一种物联网终端网络附着的方法及系统 |
| US9094407B1 (en) * | 2014-11-21 | 2015-07-28 | Citrix Systems, Inc. | Security and rights management in a machine-to-machine messaging system |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9736131B2 (en) * | 2013-09-24 | 2017-08-15 | Cellco Partnership | Secure login for subscriber devices |
| US9584482B2 (en) | 2014-03-03 | 2017-02-28 | Qualcomm Connected Experiences, Inc. | Access control lists for private networks of system agnostic connected devices |
| WO2015195976A2 (en) * | 2014-06-18 | 2015-12-23 | Chris Barnard | Application framework for interactive light sensor networks |
| US10135790B2 (en) * | 2015-08-25 | 2018-11-20 | Anchorfree Inc. | Secure communications with internet-enabled devices |
| US10122685B2 (en) * | 2015-08-26 | 2018-11-06 | Tatung Company | Method for automatically establishing wireless connection, gateway device and client device for internet of things using the same |
| US9882894B2 (en) * | 2015-12-15 | 2018-01-30 | Verizon Patent And Licensing Inc. | Secure authentication service |
| US10156842B2 (en) * | 2015-12-31 | 2018-12-18 | General Electric Company | Device enrollment in a cloud service using an authenticated application |
| US10044674B2 (en) * | 2016-01-04 | 2018-08-07 | Afero, Inc. | System and method for automatic wireless network authentication in an internet of things (IOT) system |
| US10284554B2 (en) * | 2016-05-05 | 2019-05-07 | Airwatch, Llc | Systems for providing device-specific access to an e-mail server |
-
2017
- 2017-05-24 EP EP17755227.0A patent/EP3466136B1/en active Active
- 2017-05-24 WO PCT/IB2017/000832 patent/WO2017208079A2/en unknown
- 2017-05-24 US US15/604,206 patent/US10511602B2/en active Active
- 2017-05-24 CN CN201780041449.4A patent/CN109496411B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1705940A (zh) * | 2003-11-24 | 2005-12-07 | 微软公司 | 来自外联网的工作站安装的远程应用程序的无缝发现 |
| CN102271132A (zh) * | 2011-07-26 | 2011-12-07 | 北京星网锐捷网络技术有限公司 | 一种访问网络权限的控制方法、系统及客户端 |
| CN103002428A (zh) * | 2011-09-15 | 2013-03-27 | 华为技术有限公司 | 一种物联网终端网络附着的方法及系统 |
| US9094407B1 (en) * | 2014-11-21 | 2015-07-28 | Citrix Systems, Inc. | Security and rights management in a machine-to-machine messaging system |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2017208079A2 (en) | 2017-12-07 |
| US20170353462A1 (en) | 2017-12-07 |
| EP3466136A2 (en) | 2019-04-10 |
| EP3466136B1 (en) | 2020-10-28 |
| CN109496411A (zh) | 2019-03-19 |
| US10511602B2 (en) | 2019-12-17 |
| WO2017208079A3 (en) | 2018-01-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109496411B (zh) | 一种用于改善网络安全的方法和系统 | |
| US10791506B2 (en) | Adaptive ownership and cloud-based configuration and control of network devices | |
| US10728246B2 (en) | Service driven split tunneling of mobile network traffic | |
| US20210234860A1 (en) | Securing local network traffic using cloud computing | |
| US10389753B2 (en) | Security system and method for internet of things infrastructure elements | |
| US10778775B2 (en) | Control of network connected devices | |
| EP3298527B1 (en) | Secured access control to cloud-based applications | |
| RU2693922C2 (ru) | Система и способ обеспечения безопасности конечных точек | |
| US11589224B2 (en) | Network access control | |
| US11405399B2 (en) | Method of protecting mobile devices from vulnerabilities like malware, enabling content filtering, screen time restrictions and other parental control rules while on public network by forwarding the internet traffic to a smart, secured home router | |
| US9204345B1 (en) | Socially-aware cloud control of network devices | |
| US10623446B1 (en) | Multi-factor authentication for applications and virtual instance identities | |
| US10171504B2 (en) | Network access with dynamic authorization | |
| WO2018197194A1 (en) | Network policy configuration | |
| US20170034216A1 (en) | Authorizing application access to virtual private network resource | |
| JP2016537894A (ja) | 局所/ホームネットワークのためのセキュリティゲートウェイ | |
| EP3876497A1 (en) | Updated compliance evaluation of endpoints | |
| US11363022B2 (en) | Use of DHCP for location information of a user device for automatic traffic forwarding | |
| KR101310631B1 (ko) | 네트워크 접근 제어 시스템 및 방법 | |
| US10419433B2 (en) | Network credentials for wirelessly accessing a LAN via an alternate communications network | |
| US11064544B2 (en) | Mobile communication system and pre-authentication filters | |
| US11743264B2 (en) | Method of protecting mobile devices from vulnerabilities like malware, enabling content filtering, screen time restrictions and other parental control rules while on public network by forwarding the internet traffic to a smart, secured home router | |
| KR20120053197A (ko) | 네트워크 시스템 및 이를 이용한 보안 정책 적용 방법 | |
| Real et al. | Designing an open source IoT Hub: bridging interoperability and security gaps with MQTT and your Android device | |
| WO2017165043A1 (en) | Mac address-bound wlan password |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |