CN111742533A - 具有访问检查点的网关 - Google Patents
具有访问检查点的网关 Download PDFInfo
- Publication number
- CN111742533A CN111742533A CN201980015509.4A CN201980015509A CN111742533A CN 111742533 A CN111742533 A CN 111742533A CN 201980015509 A CN201980015509 A CN 201980015509A CN 111742533 A CN111742533 A CN 111742533A
- Authority
- CN
- China
- Prior art keywords
- access
- resource
- aprt
- access proxy
- interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
在一个示例中公开了一种在内联网上操作的网关装置,包括:硬件平台;以及访问代理引擎,其在硬件平台上操作并且被配置为:拦截传入分组;确定传入分组是定向到内联网资源的访问接口的访问请求;呈现访问检查点接口;接收认证输入响应;验证认证输入响应;以及提供对设备的访问接口的重新定向。
Description
相关申请的交叉引用
本申请要求题为“GATEWAY WITH ACCESS CHECKPOINT”的2018年2月26日提交的美国实用新型专利申请No.15/905,606的优先权权益,该美国实用新型专利申请通过引用以其整体并入本文中。
技术领域
本公开总体上涉及家庭网络安全领域,并且尽管不是排他地但更特别地涉及用于向网关提供访问检查点的系统和方法。
背景技术
“物联网”(IoT)是宽松地指代在社会中开始变得无处不在的许多“智能”设备的术语。例如,这些设备可以出现在家庭或办公室自动化方案中。IoT包括物理设备和嵌入有电子器件、软件、传感器和执行器的其他物品。因为这些设备和物品还包括网络连接,所以它们可以收集数据并且与其他设备、物品和计算机交换数据。
发明内容
在示例中,公开了一种在内联网上操作的网关装置,包括:硬件平台;以及访问代理引擎,其在硬件平台上操作并且被配置为:拦截传入分组;确定传入分组是定向到内联网资源的访问接口的访问请求;呈现访问检查点接口;接收认证输入响应;验证认证输入响应;以及提供对设备的访问接口的重新定向。
本公开的实施例
以下公开内容提供了用于实现本公开的不同特征的许多不同的实施例或示例。为了简化本公开,下面描述组件和布置的具体示例。当然,这些仅仅是示例,并且不旨在是限制性的。此外,本公开可以在各种示例中重复参考标号和/或字母。该重复是出于简单性和清楚性的目的,并且其本身不决定所讨论的各种实施例和/或配置之间的关系。不同的实施例可以具有不同的优点,并且任何实施例都不一定要求特定的优点。
随着在家庭的日益增长量的连接的IoT设备,安全性正在成为没有技术专长的用户的挑战。同时,家庭网关或路由器正在成为使本地网络操作和安全性集中的公共点。但是IoT设备被损害的风险(例如,被僵尸网络或数据泄露)仍然很高,因为IoT设备可能未被定期打补丁,并且家庭用户通常不是安全专家。那些用户可能不知道用于使能网络的设备的默认或弱登录凭证,并且可能缺乏用于减轻这些安全漏洞的技术专长。
用户可以通过改变默认或弱访问凭证手动配置每个设备来保护家庭设备。例如,“开箱即用(out of the box)”设备可以连接到有线或无线家庭网络,并且经由动态主机名称配置协议(DHCP)接收因特网协议(IP)地址,诸如“192.168.1.27”。然后,用户可以打开网络浏览器,并且将“https://192.168.1.27/login.html”输入到地址栏中,并且呈现有登录页面。该登录页面可能具有弱默认登录凭证,诸如“用户名称:管理员”和“密码:管理员”。在用户输入这些默认凭证之后,他可以进入管理门户,在那里他可以执行包括将默认的弱登录凭证改变为更安全的凭证的多个管理任务。
该配置可以要求诸如因特网协议(IP)地址、管理接口、配对程序和网络配置之类事物的技术知识。如果用户缺乏该知识,则他可能无法成功地配置和保护他的IoT设备。
许多现有的访问控制解决方案基于网络中每个设备的隔离凭证挑战。换言之,如果要求登录接口,则特定设备的制造商为该设备提供登录接口。如果用户希望登录到诸如IP相机的设备,则用户访问指向该设备的网络地址(诸如统一资源定位符(URL)),并且经由制造商提供的登录接口登录到该设备中。
一些制造商在默认情况下使用默认、标准化、空白或其他不安全的登录凭证。这可以降低制造这些设备的成本,因为每个制造的设备都具有相同的登录凭证。这些制造商预计,终端用户在设置设备时将把默认登录凭证改变为一些更安全的凭证。但是如果用户未能这样做,则设备可能暴露于潜在的攻击者。该问题可能被许多制造商使用相同或相似的默认登录凭证连同相似的访问接口这一事实加剧。
替代地,可以经由具有接入点(AP)隔离的路由器来配置设备,这允许设备连接到因特网,但不具有连接到其他本地设备的能力。该配置减轻了一些风险,但没有消除设备在本地网络外部受到损害的问题。此外,AP隔离不是普通终端用户将执行的事物,因为它要求技术知识。AP隔离也可能不适用于要求因特网和本地网络接入二者的设备。
本说明书的家庭网关的实施例降低了IoT设备被攻击者损害的风险,而同时为终端用户维持可接受的便利性和透明性水平。特别地,实施例提供在用户与潜在的弱IoT设备交互之前由家庭网关路由器实施的访问安全检查点,所述潜在的弱IoT设备包括可能仍然具有默认登录凭证或者可能以其他方式被标记为敏感的设备。
在一个实施例中,家庭网关路由器检测并且保护网络中潜在的弱设备。这可以包括检测新添加的设备并且为该设备设置适当的访问规则。这还可以包括拦截对这些设备中的资源的传入访问请求,并且添加访问检查点规则,所述访问检查点规则可以根据如下三个主要分析向量来被配置:会话、上下文和严重性。
实施例降低了家庭设备被针对弱登录接口的攻击者损害的概率。家庭网关可以分析传入的资源访问请求,并且在授予对设备资源的访问之前提供分层的认证检查点。此外,不管目标设备的能力如何,家庭网关都可以具有通过访问检查点来实施访问策略的能力。这对于遗留设备尤其可以是有益的,所述遗留设备可能缺乏任何安全机制,或者可能作为事后想法附添了安全性。
当任何用户尝试访问IoT设备的资源(例如,IP相机的登录接口)时,路由器拦截呼叫(例如,经由超文本传输协议(HTTP)或HTTP安全(HTTPS))并且基于当前访问上下文确定该请求是否要求介入。如果要求介入,则路由器返回访问检查点资源,所述访问检查点资源要求用户向路由器本身进行认证。例如,用户可能要求输入路由器用户名和密码。注意到,路由器用户名和密码是非限制性示例,并且在其他情况下,路由器可以被配置为要求每设备的用户名和密码组合,以避免单点故障。此外,如果期望附加的安全性,则进一步的认证可以包括双因素认证、生物认证或与设备的期望安全性一致的任何其他安全机制。
在用户已经成功地进行认证并且通过访问检查点之后,例如通过将用户定向到设备登录页面,路由器重新定向到原始IoT设备资源。在一些情况下,用户然后可能被要求输入设备的默认或弱登录凭证。在其他实施例中,一旦用户被成功地认证到家庭网关,家庭网关就可以输入那些凭证,并且因此将用户直接发送到设备的管理接口。该分层访问可以由附接到特定访问上下文的会话来定规则,这平衡了用户的便利性与维护设备的合理安全级别的考虑。
本文中描述的家庭网关的实施例将“卫士访问控制(lifeguard accesscontrol)”添加到潜在的弱IoT设备资源,诸如HTTP登录接口。因此,即使用户不改变默认凭证,攻击也具有小得多的可能性。同时,因为访问检查点考虑了当前的网络环境(作为非限制性示例,例如是会话、请求、资源的源点和严重性),所以解决方案适应于用户的便利性,同时维持附加的安全性。例如,如果用户在一小时内访问相同资源三次,则访问检查点可以仅在第一次被激活。这减少了路由器在用户与IoT设备之间的交互过程中引入的摩擦。
因为访问检查点由家庭网关管理,所以可能的是设置和实施不同的策略,所述不同的策略在目标设备上可能甚至不可用。例如,基本或遗留设备可能缺少登录接口并且完全没有安全性,或者可能仅有不具有控制的简单登录接口,诸如可以执行多次不成功的登录尝试。通过充当这些设备与访问请求之间的中介,家庭网关可以当拦截访问请求时提供该附加的安全性,从而跨所有家庭设备之上添加一致的安全协议。
当家庭网关接收到传入请求时,路由器分析该请求以确定该请求是否为访问请求(例如,该请求定向到已知的登录资源)。家庭网关通过例如检查请求和资源内容来确定该请求是否为访问接口,作为非限制性示例,所述资源内容可以包括资源路径(例如,192.168.1.27/main/login.HTML)、超文本标记语言(HTML)标签(例如,用户登录和/或密码字段)、资源类型和参数以及HTTP报头和端口。当传入请求被分类为访问接口请求时,资源可以被添加到访问代理规则表(APRT)。因此,进一步的访问请求可能不一定要求分析的重复。
作为非限制性示例,访问和配置接口的其他实施例包括安全外壳(SSH)、远程登录和共享桌面、诸如X11或远程桌面协议(RDP)。
此外,本说明书的实施例可以包括发现功能,其中新添加的IoT资源被自动发现并且针对弱或默认登录凭证进行检查。例如,这可以通过确定设备已经被新附接到网络并且扫描该设备的公共或已知登录接口来完成。例如,可以扫描设备的公共接口,诸如login.html、login.aspx、login.php、main.html、main.aspx、main.php、default.html、default.aspx、default.php或其他常用名称。如果这样的访问接口是可用的,则可以扫描页面的登录字段,并且家庭网关可以尝试经由公共或标准化的凭证来登录,所述公共或标准化的凭证诸如是空白登录凭证、具有“admin”作为用户名和密码二者的登录凭证、具有用户名“admin”和密码“password”的凭证,或者其中用户名是设备名称并且密码是“admin”、“password”或空白的凭证。这些仅作为非限制性示例被提供,并且可以使用其他默认或公共凭证。一旦发现这些,就可以将条目添加到APRT,使得在用户第一次登录时该接口准备好使用。在一些实施例中,用户可以将是否自动扫描新设备或者是否仅在第一次访问请求时配置新设备指定为配置选项。
表1是可以在家庭网关的实施例中使用的APRT的示例。表1中的字段包括资源、设备、会话、严重性和策略。
表1. 示例APRT条目。
资源字段可以标识针对登录接口在特定设备上可用的资源。例如,这些可以指定将特定的访问请求标识为登录请求的路径、接口或端口号。
设备字段例如依据名称和IP地址二者来标识设备。设备字段还可以包括媒体访问控制(MAC)地址,如果合期望的是维持跨IP地址中改变的一致性,则媒体访问控制(MAC)地址可以是有用的。
会话字段可以是其中存储现有会话的会话标识符的字段。如上面讨论的,会话可以包括超时(timeout),该超时可以具有默认值和/或可以是用户可配置的。例如,会话可以维持一个小时,在该时间期间,访问资源的用户不需要继续向家庭网关认证来继续访问资源。
严重性字段可以是指示对设备的未授权访问的潜在危害或严重性的定标器。严重性字段可能有助于制定策略,所述策略诸如是所需认证的强度、会话的可用性和/或长度以及可能影响安全性的其他因素。这可以包括策略字段。在一个示例中,较高的严重性数字指示较高的风险,并且因此可能对应于较高的安全要求。较低的严重性指示较低的风险,并且因此可能对应于较低的安全要求。
策略字段可以指示用于资源的策略。例如,可以定义具有默认安全要求和默认会话长度的默认策略。对于更高的严重性设备,可以指定更大的安全要求,诸如在特定时间内锁定对设备的访问之前不成功登录尝试的最大次数,以及最大会话时间。策略还可以包括位置策略,例如,设备是否可以仅经由本地网络、仅经由外联网或经由二者来访问。
在请求已经被肯定地分类为访问请求之后,家庭网关拦截对资源的请求,并且存储其信息以稍后重新定向到资源。然后,家庭网关返回访问检查点接口。例如,访问检查点可以例如是由路由器用来登录到网络管理面板中的相同接口。然而,这是非限制性的示例,并且也可以使用每设备的访问检查点。访问检查点可以要求用户在继续访问目标资源之前进行认证。
一旦用户在访问检查点处成功地认证,路由器就可以重新定向到用户尝试达到的原始资源。在一些实施例中,APRT可能已经在其中存储了用于资源的已知登录凭证,在这种情况下,家庭网关可以对设备执行认证。这可以为用户去除额外的步骤,尽管这是可选的,因为在某些情况下,合期望的是提供多层访问,其中用户必须既向家庭网关又向设备本身进行认证。
在重新定向用户之后,家庭网关为资源创建会话令牌,并且将会话令牌存储在例如APRT中。会话令牌可以包括特定的访问范围(例如,仅限本地访问)和到期策略(例如,一小时)。虽然范围保持相同,但是家庭网关可以使用会话令牌来验证用户与资源之间的进一步交互,使得访问检查点不重复地呈现给用户。例如,如果用户需要在一小时内访问IP相机三次,则访问检查点仅在第一次被呈现。如果访问范围改变(例如,从外联网进入的访问尝试),则路由器可能使会话令牌无效,并且该过程可能重置以拦截请求并且将用户重新定向到访问检查点。
因为访问检查点由家庭网关管理,所以家庭网关可以实现和实施不同的策略。这些策略可以指示不成功登录尝试的数量、最大会话时间、本地内联网相对于外联网访问策略或类似物。因此,即使被访问的设备不支持安全策略,访问检查点也可以向用户透明地供应策略。注意到,如这里以及遍及本说明书和所附权利要求书中使用的“内联网”应当被宽泛地理解为包括特定实体或企业的、或者可以由特定实体或企业管理的任何网络或网络组合。内联网的一个属性是它与外部“外联网”(例如因特网)的划分。在常见的实践中,内联网由一个或多个网关控制,所述一个或多个网关将内联网与外联网划分。内联网内的设备可以比单独驻留在外联网上的设备对内联网具有相对更多特权的访问。然而,注意到,划分不需要是绝对的。例如,在外联网上操作的用户可以使用虚拟专用网络(VPN)客户端来代理进入网络,并且因此可以获得全部或部分内联网特权,尽管最初从外联网进行操作。
可选地,家庭网关也可以尝试预填充表,而不是等待每个传入的请求被分析。在该方案中,系统尝试发现网络上的所有设备和相关联资源。对于每个资源,系统可以使用公共默认或弱凭证的字典来模拟若干次登录。该过程可能定期地被执行,但是具有低频率,使得登录策略不中断。作为另一个选项,该过程可以当家庭网关首次连接到家庭网络时被执行,并且然后可以仅当在网络上发现新设备时被重复。如果登录策略中断,则中断的设备资源可以被标记为具有高严重性,并且被添加到APRT。模拟登录尝试的该过程可以类似于自动化工具如何工作来执行。
应当注意到,贯穿本说明书,家庭网络和家庭自动化仅作为非限制性和说明性的示例被提供。本文中描述的IoT设备作为示例被提供,并且可以使用其他IoT设备。此外,提供家庭网关作为本说明书教导的实施例的说明性示例。然而,该示例旨在是非限制性的。本说明书的教导也可以应用于企业或其他网络,并且本文中讨论的示例应当被理解为包括这样的替代实施例。
现在将参考各图更特别地描述用于向网关提供访问检查点的系统和方法。应当注意到,贯穿各图,某些附图标号可以重复,以指示特定的设备或块跨各图完全或基本上一致。然而,这不旨在暗示所公开的各种实施例之间的任何特定关系。在某些示例中,元素的种类可以由特定的参考标号(“窗口小部件10”)指代,而该种类的单独属类或示例可以由连字符标号(“第一特定窗口小部件10-1”和“第二特定窗口小部件10-2”)指代。
图1是根据本说明书的一个或多个示例的家庭网络100的网络级图解。在图1的示例中,家庭网络100可以是具有提供家庭自动化或其他服务的各种物联网(IoT)设备的“智能家庭”。本文中提供家庭网络100作为可以采用本说明书的教导并且从中受益的系统的说明性和非限制性示例。但是应当注意的是,该教导也可以适用于许多其他实体,作为非限制性示例,所述许多其他实体包括企业、数据中心、电信提供商、政府实体或其他组织。
在家庭网络100内,一个或多个用户120操作一个或多个客户端设备110。为了简单起见,这里图示了单个用户120和单个客户端设备110,但是家庭或企业可以具有多个用户,所述多个用户中的每个用户可以具有多个设备。
客户端设备110可以经由家庭网络170通信地彼此耦合并且通信地耦合到其他网络资源。作为非限制性示例,家庭网络170可以是在一个或多个合适的联网协议上操作的任何合适的网络或一个或多个网络的组合,其包括(可选地经由代理、虚拟机或其他类似的安全机制访问的)局域网、内联网、虚拟网络、广域网、无线网络、蜂窝网络或因特网。家庭网络170还可以包括一个或多个服务器、防火墙、路由器、交换机、安全器具、反病毒服务器或其他网络设备,其可以是在客户端设备110上运行的单用途器具、虚拟机、容器或功能。
在该图示中,为了简单起见,家庭网络170被示为单个网络,但是在一些实施例中,家庭网络170可以包括任何数量的网络,诸如连接到因特网的一个或多个内联网。家庭网络170还可以经由外联网络172提供对诸如因特网之类的外联网络的访问。外联网络172可以类似地是任何合适类型的网络。
家庭网络170可以经由家庭网关108连接到因特网,家庭网关108可以除了其他事物之外尤其负责在家庭网络172与外联网络170之间提供逻辑边界。家庭网络170还可以提供诸如动态主机配置协议(DHCP)、网关服务、路由器服务和交换服务之类的服务,并且可以充当跨家庭边界104的安全门户。
家庭网络100还可以包括多个分立的IoT设备,所述多个分立的IoT设备在当代实践中有规律地增加。例如,家庭网络100可以包括用于控制照明132、恒温器或其他环境控制器134、家庭安全系统136和任何数量的其他设备140的IoT功能。作为说明性和非限制性示例,其他设备140可以包括网络附加存储装置(NAS)、计算机、打印机、智能电视、智能冰箱、智能真空清洁器和其他器具以及网络连接的车辆。
家庭网络100可以跨家庭边界104与外联网络172通信。家庭边界104可以表示物理、逻辑或其他边界。外联网络172可以包括例如网站、服务器、网络协议和其他基于网络的服务。在一个示例中,攻击者180(或其他类似的恶意或疏忽行为者)也连接到外联网络172。安全服务提供商190可以向家庭网络100提供服务,所述服务诸如是安全软件、安全更新、网络器具或类似物。例如,McAfee公司提供了可以用于保护家庭网络100的一套全面的安全服务。
用户120和家庭网络100的目标可能是要成功地操作客户端设备110和IoT设备,而不受攻击者180或不想要的安全对象干扰。在一个示例中,攻击者180是恶意软件作者,其目标或目的是要例如通过将恶意对象182注入客户端设备110来引起恶意危害或损害。一旦恶意对象182获得对客户端设备110的访问,它就可以尝试执行诸如用户120的社交工程、对客户端设备110的基于硬件的攻击、修改存储装置150(或易失性存储器)、修改客户端应用112(其可以在存储器中运行)或获得对家庭资源的访问之类的工作。此外,攻击者也可以针对IoT对象。IoT对象可以引入新的安全挑战,因为它们可能是高度异构的,并且在一些情况下可能在最小或无安全考虑的情况下被设计。就这些设备具有安全性而言,它可以作为事后想法被添加。因此,在一些情况下,IoT设备可以为攻击者180表示针对家庭网络170运用的新的攻击载体(vector)。
恶意危害或损害可以采取如下形式:在客户端设备110上安装根程序病毒包或其他恶意软件来篡改系统、安装间谍软件或广告软件来收集个人和商业数据、丑化网站、操作诸如垃圾邮件服务器之类的僵尸网络或者简单地骚扰和侵扰用户120。因此,攻击者180的一个目的可能是在一个或多个客户端设备110或所描述的任何IoT设备上安装他的恶意软件。如贯穿本说明书使用的,恶意的软件(“恶意软件(malware)”)包括被配置为提供不想要的结果或做不想要的工作的任何安全对象。在许多情况下,恶意软件对象将是可执行对象,其作为非限制性示例包括病毒、特洛伊木马、僵尸、根程序病毒包(rootkit)、后门、蠕虫、间谍软件、广告软件、翻译软件、拨号器、有效载荷、恶意浏览器助手对象、跟踪cookie、存记器或被设计成采取潜在不想要的动作的类似对象,所述潜在不想要的动作作为非限制性示例包括:数据破坏、隐蔽数据收集、浏览器劫持、网络代理或重新定向、隐蔽跟踪、数据存记、键盘存记、对移除的过度或故意障碍、接触收获和未授权的自传播。
在企业情况下,攻击者180还可能想要实施行业或其他间谍活动,诸如窃取机密或专有数据、窃取身份或获得对企业资源的未授权访问。因此,攻击者180的策略还可以包括尝试获得对一个或多个客户端设备110的物理访问并在没有授权的情况下操作它们,使得有效的安全策略也可以包括针对防止这样的访问的规定。
在另一个示例中,软件开发者可能不明确具有恶意意图,但是可能开发了带来安全风险的软件。例如,公知且经常被利用的安全缺陷是所谓的缓冲区溢出,在这种情况下,恶意用户能够在输入表单中输入过长的字符串,并且从而获得在计算设备上执行任意指令或以提升的特权进行操作的能力。例如,缓冲区溢出可能是例如不良的输入验证或使用不安全库的结果,并且在许多情况下出现在不明显的上下文中。因此,尽管不是恶意的,但是开发者向应用储存库贡献软件或者对IoT设备进行编程可能无意地为攻击者180提供攻击载体。撰写不良的应用也可能引起固有的问题,诸如崩溃、数据丢失或其他不合期望的行为。因为这样的软件本身可能是合期望的,所以对于开发者而言偶尔提供修复如他们变得已知的漏洞的更新或补丁可以是有益的。然而,从安全性角度来看,这些更新和补丁本质上是新对象,必须对它们本身进行验证。
家庭网络100可以与安全服务提供商190签约或订阅安全服务提供商190,安全服务提供商190可以提供安全服务、更新、反病毒定义、补丁、产品和服务。McAfee®公司是这样的安全服务提供商的非限制性示例,其提供全面的安全性和反病毒解决方案。在一些情况下,安全服务提供商190可以包括威胁情报能力,诸如由McAfee公司提供的全球威胁情报(GTITM)数据库。安全服务提供商190可以通过在新的候选恶意对象出现在客户端网络上时对它们进行分析并且将它们表征为恶意或良性来更新其威胁情报数据库。
其他考虑可以包括父母保护他们的孩子免受不合期望内容影响的期望,所述不合期望内容作为非限制性示例诸如是色情,广告软件,间谍软件,不适合年龄的内容,某些政治、宗教或社会运动的宣传,或者用于讨论非法或危险活动的论坛。
图2是图示根据本说明书的一个或多个示例的诸如智能家庭的家庭网络的附加特征的框图。在图2的示例中,多个IoT设备206通信地耦合到家庭网关208。家庭网关208服务内联网270,并且还可以将内联网270通信地耦合到外联网272。内联网270可以通过防火墙212与外联网272分离,防火墙212可以是单独的器具,或者可以是家庭网关208的内置功能。
在该示例中,现有的IoT设备206-1、206-2和206-3已经存在并且配置在网络上。家庭网关208可以具有如本文中图示的APRT,APRT可以包括用于当用户尝试访问IoT设备206的登录接口时提供认证的规则。家庭网关208还可以提供例如端口转发,由此IoT设备206的某些访问接口经由外联网272可访问。因此,例如,通过将某些端口转发到IoT设备206-2,家庭网关208使得未连接到家庭网关208的用户能够控制那些IoT设备的功能。例如,这可以被用于使得用户可以在工作时设置恒温器或改变照明,以便当她到家时,家里处于舒适的状况。因此,家庭网关208可以服务来自内联网270和外联网272二者的传入请求。
注意到,在一些示例中,家庭网关208可以被配置为在对内联网270和外联网272的传入请求之间进行区分。这在制定用于某些登录接口的策略中可以是有用的。例如,一些接口可以仅经由内联网270可访问,其他接口可以仅经由外联网272可访问,并且其他接口可以经由任一个可访问。此外,可以放置附加的限制、诸如上下文敏感的限制,使得来自外联网272的传入请求可以仅在特定时间期间以及仅在特定条件下是可准许的。许多其他配置也是可能的。
还在该图中图示的是新的IoT设备206-4。家庭网关208可以被配置为周期性地扫描内联网270以便新添加的设备,使得当发现新添加的设备时,它可以自动配置那些设备。然而,在一些情况下,家庭网关208提供其他特征,诸如可以具有DHCP服务器的路由器。因此,当新设备经由DHCP来请求地址时,家庭网关208可以替代地利用该机会来配置该设备。如上面讨论的,配置新设备可以采取例如使用公共访问接口、默认密码和默认用户名的字典来填充APRT的形式。
图3是图示根据本说明书的一个或多个示例的硬件平台300的框图。硬件平台300可以表示任何合适的计算设备。在各种实施例中,作为非限制性示例,“计算设备”可以是或包括计算机、工作站、服务器、大型机、虚拟机(无论是仿真的还是在“裸机”管理程序上)、网络器具、容器、IoT设备、嵌入式计算机、嵌入式控制器、嵌入式传感器、个人数字助理、膝上型计算机、蜂窝电话、IP电话、智能电话、平板计算机、可转换平板计算机、计算器具、接收器、可穿戴计算机、手持式计算器或用于处理和通信数据的任何其他电子、微电子或微机电设备。任何计算设备都可以被指定为网络上的主机。每个计算设备可以将其自身称为“本地主机”,而其外部的任何计算设备都可以被指定为“远程主机”。
在某些实施例中,图1中图示的客户端设备110、家庭网关108和IoT设备都可以是运行在诸如硬件平台300的硬件平台上的设备的示例。图3呈现了可以被包括在硬件平台中的许多可能元素的视图,但是应当理解到,并非所有这些元素在每个平台中都是必要的,并且平台也可以包括其他元素。例如,外围接口340可以是在用户级设备中用于提供输入和输出的基本组件,而在严格地经由联网协议通信的虚拟化服务器或硬件器具中,它可能是完全不必要的。
作为说明性示例,硬件平台300提供经由一个或多个总线(诸如系统总线370-1和存储器总线370-3)连接到存储器320和其他系统资源的处理器310。
硬件平台300的其他组件包括存储装置350、网络接口360和外围接口340。该架构仅作为示例被提供,并且旨在是非排他性和非限制性的。此外,所公开的各种部分仅旨在是逻辑划分,并且不需要一定表示物理上分离的硬件和/或软件组件。某些计算设备例如在单个物理存储器设备中提供主存储器320和存储装置350,并且在其他情况下,存储器320和/或存储装置350在功能上跨许多物理设备之上分布。在虚拟机或管理程序的情况下,可以以在虚拟化层之上运行的软件或固件的形式来提供全部或部分功能,以提供所公开的逻辑功能,并且诸如存储器、存储装置和加速器之类的资源可以被分解(即,位于跨数据中心的不同物理位置中)。在其他示例中,诸如网络接口360的设备可以仅提供对执行其逻辑操作所必要的最少硬件接口,并且可以依赖于软件驱动程序来提供附加的必要逻辑。因此,本文中公开的每个逻辑块宽泛地旨在包括一个或多个逻辑元件,所述一个或多个逻辑元件被配置并且可操作用于提供该块的公开的逻辑操作。如贯穿本说明书所使用的,“逻辑元件”可以包括硬件、外部硬件(数字、模拟或混合信号)、软件、往复软件、服务、驱动、接口、组件、模块、算法、传感器、组件、固件、硬件、指令、微代码、可编程逻辑或可以协调以实现逻辑操作的对象。
在各种示例中,“处理器”可以包括可操作来执行指令的逻辑元件的任何组合——无论是从存储器加载的、还是直接在硬件中实现的,所述“处理器”作为非限制性示例包括微处理器、数字信号处理器、现场可编程门阵列、图形处理单元、可编程逻辑阵列、专用集成电路或虚拟机处理器。在某些架构中,可以提供多核处理器,在这种情况下,处理器310可以被视为多核处理器的仅一个核,或者可以酌情被视为整个多核处理器。在一些实施例中,还可以为专用或支持功能提供一个或多个协处理器。
处理器310可以经由系统总线370-1通信地耦合到设备。如贯穿本说明书所使用的,“总线”包括任何有线或无线互连线、网络、连接、束、单总线、多总线、纵横制网络、单级网络、多级网络或可操作来在计算设备的部件之间或在计算设备之间承载数据、信号或功率的其他传导介质。应当注意到,这些使用仅作为非限制性示例而被公开,并且一些实施例可以省略前述总线中的一个或多个,而其他实施例可以采用附加的或不同的总线。常见的总线包括基于行业标准的外围组件互连(PCI)和PCI express(PCIe)。然而,系统总线370-1不限于此,并且可以包括任何其他类型的总线。此外,随着互连发展,系统总线与网络结构之间的区别有时变得模糊。例如,如果节点被分解,则对一些资源的访问可以通过结构提供,仅举几例,所述结构作为非限制性示例可以是或包括Intel® Omni-Path™架构(OPA)、TrueScale™、超路径互连(UPI)(以前称为QPI或KTI)、光纤通道、以太网、以太网光纤通道(FCoE)、InfiniBand、PCI、PCIe或光纤。
在示例中,处理器310经由存储器总线370-3通信地耦合到存储器320,存储器总线370-3可以是例如直接存储器存取(DMA)总线,尽管其他存储器架构也是可能的,所述其他存储器架构包括其中存储器320经由系统总线370-1或一些其他总线与处理器310通信的架构。在相同或替代的实施例中,存储器总线370-3可以包括远程直接存储器访问(RDMA),其中处理器310经由DMA或类似DMA的接口访问分解的存储器资源。
为了简化本公开,存储器320被公开为单个逻辑块,但是在物理实施例中可以包括任何合适的一个或多个易失性或非易失性存储器技术的一个或多个块,其包括例如双数据速率随机存取存储器(DDR RAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、持久性随机存取存储器(PRAM)、或其他类似的持久性快速存储器、高速缓存、层1(L1)或层2(L2)存储器、片上存储器、寄存器、闪存、只读存储器(ROM)、光学介质、虚拟存储器区、磁性或磁带存储器或类似物。在某些实施例中,存储器320可以包括相对低时延的易失性主存储器,而存储器350可以包括相对较高时延的非易失性存储器。然而,存储器320和存储装置350不需要是物理上分离的设备,并且在一些示例中可以简单地表示功能的逻辑分离。还应当注意到,尽管作为非限制性示例公开了DMA,但是DMA不是与本说明书一致的仅有协议,并且其他存储器架构是可用的。
存储装置350可以是任何种类的存储器320,或者可以是单独的设备。存储装置350可以包括一个或多个非暂时性计算机可读介质,所述一个或多个非暂时性计算机可读介质作为非限制性示例包括硬盘驱动器、固态驱动器、外部存储装置、微代码、硬件指令、独立磁盘冗余阵列(RAID)、网络附加存储装置(NAS)、光存储装置、磁带驱动器、备份系统、云存储或前述的任何组合。存储装置350可以是或可以在其中包括一个或多个数据库或存储在其他配置中的数据,并且可以包括操作软件的存储副本,诸如操作系统322以及操作代理324、加速器330或其他引擎的软件部分(如果有的话)。许多其他配置也是可能的,并且旨在包含在本说明书的宽泛范围内。
如有必要,硬件平台300可以包括适当的操作系统,诸如Microsoft Windows、Linux、安卓、Mac OSX、Apple iOS、Unix或类似物。前述中的一些可能与其他设备相比更经常地用在一种类型的设备上。例如,台式计算机或工程工作站可能更有可能使用MicrosoftWindows、Linux、Unix或Mac OSX中的一个。通常是一种便携式的现成设备的笔记本电脑具有较少的定制选项,可能更有可能运行Microsoft Windows或Mac OSX。移动设备可能更有可能运行安卓或iOS。然而,这些示例不旨在进行限制。此外,硬件平台300可以被配置用于虚拟化或容器化,在这种情况下,它还可以提供管理程序、虚拟化平台、虚拟机管理器(VMM)、协调器、容器化平台或其他基础设施,以提供分配资源方面的灵活性。
可以提供网络接口360来将硬件平台300通信地耦合到有线或无线网络或结构。如贯穿本说明书所使用的“网络”可以包括可操作来在计算设备内或计算设备之间交换数据或信息的任何通信性平台,其作为非限制性示例包括局域网、交换结构、自组织本地网络、向计算设备提供电子交互能力的因特网架构、普通老式电话系统(POTS)(其可以由所述计算设备使用来执行交易,在所述交易中它们可以由人类操作者协助,或者在所述交易中它们可以手动地将数据键入电话或其他合适的电子装备)、在系统中的任何两个节点之间提供通信接口或交换的任何分组数据网络(PDN)、或者任何局域网(LAN)、城域网(MAN)、广域网(WAN)、无线局域网(WLAN)、虚拟专用网(VPN)、内联网、或者促进网络或电话环境中的通信的任何其他适当的架构或系统。
操作代理324是一个或多个计算引擎,其可以包括一个或多个非暂时性计算机可读介质,所述一个或多个非暂时性计算机可读介质上存储有可操作来指令处理器提供操作功能的可执行指令。在适当的时间——诸如在引导硬件平台300时、或者在来自操作系统322或用户或安全管理员的命令时,处理器310可以从存储装置350检索操作代理324(或其软件部分)的副本,并且将其加载到存储器320中。处理器310然后可以迭代地执行操作代理324的指令,以提供期望的方法或功能。
如贯穿本说明书所使用的,“引擎”包括相似或不同种类的一个或多个逻辑元件的任何组合,其可操作用于并且被配置为执行由引擎提供的一个或多个方法。在一些情况下,引擎可以包括被设计为实行方法或其部分的专用集成电路、被编程为提供功能的现场可编程门阵列(FPGA)、其他可编程逻辑和/或可操作来指令处理器执行所述方法的软件指令。在一些情况下,引擎可以作为“守护进程”进程、后台进程、终止和驻留程序、服务、系统扩展、控制面板、启动程序、基本输入/输出系统(BIOS)子例程或者在具有或没有直接用户交互的情况下操作的任何类似程序来运行。在某些实施例中,一些引擎可以在与保护环架构中的环0、1或2相关联的“驱动程序空间”中以提升的特权运行。作为非限制性示例,引擎还可以包括其他硬件和软件,其包括配置文件、注册表项、应用编程接口(API)和交互式或用户模式软件。
外围接口340可以被配置为与连接到硬件平台300的任何辅助设备对接,但是所述辅助设备不一定是硬件平台300的核心架构的部分。外围设备可以可操作以向硬件平台300提供扩展功能,并且可以完全依赖于或可以不完全依赖于硬件平台300。在一些情况下,外围设备凭其自身能力可以是计算设备。作为非限制性示例,外围设备可以包括输入和输出设备,诸如显示器、终端、打印机、键盘、鼠标、调制解调器、数据端口(例如,串行、并行、通用串行总线(USB)、火线或类似物)、网络控制器、光学介质、外部存储装置、传感器、换能器、执行器、控制器、数据采集总线、相机、麦克风、扬声器或外部存储装置。
在一个示例中,外围设备包括显示适配器342、音频驱动器344和输入/输出(I/O)驱动器346。显示适配器342可以被配置为提供人类可读的视觉输出,诸如命令行接口(CLI)或图形桌面,所述图形桌面诸如是Microsoft Windows、Apple OSX桌面或基于Unix/LinuxX Window系统的桌面。作为非限制性示例,显示适配器342可以以任何合适的格式提供输出,诸如同轴输出、复合视频、分量视频、视频图形阵列(VGA)、或者诸如数字视觉接口(DVI)或高清晰度多媒体接口(HDMI)之类的数字输出。在一些示例中,显示适配器342可以包括硬件图形卡,其可以具有其自己的存储器和其自己的图形处理单元(GPU)。音频驱动器344可以为可听声音提供接口,并且在一些示例中可以包括硬件声卡。作为非限制性示例,可以以模拟音频格式(诸如3.5mm立体声插孔)、分量(“RCA”)立体声或以数字音频格式(诸如S/PDIF、AES3、AES47、HDMI、USB、蓝牙或Wi-Fi音频)来提供声音输出。
图4是根据本说明书的一个或多个示例的家庭网关400的框图。家庭网关400在硬件平台402上操作,该硬件平台402可以包括例如在图3的硬件平台300中图示的一些或所有元件。
在硬件平台402上操作的是包括例如防火墙404、路由和交换功能424的各种家庭网关功能,以及DHCP服务器428。注意到,这些在这里被图示为家庭网关的部分,并且通常被包括在这样的家庭网关中。但是这些应当被理解为非限制性的示例。在其他实施例中,特别是在企业环境中,对于这些功能中的一些或全部而言通常由执行单个功能的专用硬件或虚拟器具来提供。
DHCP服务器428可以包括DHCP预约表432,并且可以动态地将IP地址分配给连接在内联网络上的各种主机。注意到,仅作为非限制性示例提供了DHCP服务器428,并且包括自分配的IP地址和静态IP地址分配的其他配置是可能的。使用DHCP预约表432的一个益处是,主机可以基于其不改变的媒体访问控制(MAC)地址被一致地分配相同的IP地址。这在APRT针对其规则依赖于IP地址的情况下可以是有用的。然而,注意到,这是非限制性的示例。在其他示例中,APRT可以基于MAC地址,或者可以将MAC地址对应于IP地址,并且因此可以能够随着IP地址分配改变而动态地自更新。
路由和交换功能424是家庭网关的常见功能,并且被提供来基于特定的端口转发或端口分配规则将流量从入口接口引导到出口接口。这样的路由和交换功能在本领域中被很好地理解。
防火墙404是类似的公知功能,其将内联网流量与外联网流量隔离。防火墙404可以采用端口转发规则412,端口转发规则412在一些实施例中可以用于将某些端口转发到目的地设备,使得它们可以处理传入流量。例如,这在对于特定设备的登录接口经由外联网(诸如因特网)可访问合期望的情况下可以是有用的。
访问代理引擎416是如结合图3描述的引擎。访问代理引擎416采用访问代理规则表420,并且提供用于拦截传入流量请求并且将它们标识为访问请求的逻辑,所述访问请求定向到网络中的IoT设备。例如,访问代理引擎416可以基于HTML标签、HTTP或HTTPS端口、URL或将请求标识为设备访问请求的其他数据,将传入请求标识为设备访问请求。
除了符合本说明书的其他方法之外,访问代理引擎416可以被配置为执行诸如图5的方法500和图6的方法600之类的方法或功能。
在一些实施例中,访问代理引擎416可以被提供为在一个或多个有形的、非暂时性的计算机可读存储介质上提供的软件或固件程序,所述一个或多个有形的、非暂时性的计算机可读存储介质上存储有用于对处理器或其他可编程设备进行编程以实行功能的指令、微代码或其他数据。还注意到,可以由单独的硬件、处理器、协处理器、ASIC、FPGA或任何其他合适的硬件和/或软件设备来提供访问代理引擎416。
图5是根据本说明书的一个或多个示例的方法500的流程图。方法500可以由任何合适的设备或逻辑功能来执行,所述任何合适的设备或逻辑功能例如包括如图4中图示的访问代理引擎416。
图5图示了扫描、标识和配置网络上发现的新IoT设备的方法。这可能是周期性扫描的结果,或者可能是在它经由DHCP或经由其他方式请求IP地址时标识新设备的结果。
在框508中,系统检测到已经添加了新的IoT设备,如框504中所示。
在框512中,系统可以探测新设备的访问接口。如上面讨论的,这可以是经由公共访问接口的字典,其包括可以为那些接口提供的公共用户名和密码组合。这可以包括探测HTML、可扩展标记语言(XML)、PHP、ASP或具有如常用的“索引”、“默认”、“主”或类似的名称的其他类似数据结构。也可以尝试公共的用户名和密码组合。在一些情况下,系统可以具有对包括已知默认用户名和密码组合的数据库的访问。例如,诸如图1的安全服务提供商190的安全服务提供商可以维护这样的数据库,在这种情况下,系统可以向安全服务提供商查询已知的用户名和密码组合,或者特定设备和型号的可能的用户名和密码组合。
在判定框516中,系统确定是否发现了已知接口。如果没有发现已知接口,则在框520中,系统可以向用户提示输入。例如,这可以允许用户查阅产品资料或其他资源来标识默认用户名和密码。还注意到,在一些情况下,默认用户名和密码可能不是必需的,例如,如果期望分层的访问结构的话,其中用户向家庭网关认证并且然后单独地向设备认证。
一旦系统通过自动化探测或经由用户输入而具有需求的信息,则在框524中,系统为该特定访问接口配置访问接口代理。
在框528中,系统例如在APRT 532中存储接口代理规则。
在框598中,该方法完成。
图6是图示根据本说明书的一个或多个示例的方法600的流程图,该方法600可以例如由访问代理引擎416或者其他合适的硬件或软件来执行。
在框608中开始,系统拦截传入访问请求604。这可以例如当用户尝试访问特定设备上的资源时发生。
在判定框612中,系统确定正被访问的资源是否为已知资源,例如,在APRT中已经具有现有条目的资源。
如果这是已知资源,则在框620中,系统确定是否存在针对该资源的现有会话令牌。例如,如果用户最近已经访问了资源,则可能存在现有会话,这可能意味着此时不存在向家庭网关认证的需要。如果存在现有会话令牌,则在判定框632中,系统确定当前访问范围是否与现有会话兼容。例如,如果会话是在内联网内建立的,并且当前访问来自外联网,则访问可能不兼容。
如果访问范围与会话兼容,则在框644中,系统重新定向到原始资源,并且在框698中,该方法完成。
返回到判定框620和632,如果不存在现有会话令牌或者访问范围与会话不兼容,则在框628中,系统提供访问检查点接口,例如,要求用户如本文中所述向家庭网关认证。
回到判定框612,如果当前资源不是已知资源,则在判定框616中,系统确定这是否为用于拦截的候选资源。如果这不是候选资源,则在框644中,用户被重新定向到原始资源,并且在框698中,该方法完成。
然而,如果这是候选资源,则在框624中,可以将该资源的条目添加到APRT。
在框628中,这可能在资源已经被添加到APRT之后、或在确定了不存在现有会话令牌之后、或当前访问与现有会话不兼容而遇到,系统向用户提供访问检查点接口。这可能要求用户输入凭证,诸如用于登录到家庭网关本身中的凭证。取决于上下文、严重性和其他因素,认证强度或认证方法可能变化。例如,对于更敏感的资源,可能要求双因素认证、生物认证、令牌认证或其他比简单用户名和密码更强的认证。此外,在不太严重的一些情况下,可以使用路由器的用户名和密码,而对于更严肃或更严重的资源,可以要求可以具有更强的安全要求的单独用户名和密码。
在框636中,确定的是用户是否已经成功地通过检查点控制,无论在该环境中需要什么。如果不是,则控制可以返回到框628。然而,注意到,在一些实施例中,太多不成功的访问请求可能导致闭锁(lockout),这可能在诸如一分钟、十分钟、一小时、24小时或一些其他时间之类的一定量的时间之后超时。
返回到框636,如果用户成功地通过检查点控制,则在框640中,系统创建针对该资源的会话令牌。如果用户随着时间推移继续访问资源,这可以易于稍后对资源的访问。
在框644中,用户被重新定向到原始资源,并且在框698中,该方法完成。
前述概述了本文中公开的主题的一个或多个实施例的特征。提供这些实施例是为了使得本领域普通技术人员(PHOSITA)能够更好地理解本公开的各个方面。某些良好理解的术语以及基本技术和/或标准可以被引用,而无需详细描述。预计PHOSITA将拥有或具有对那些技术和标准中足以实践本说明书教导的背景知识或信息的访问。
PHOSITA将领会到,他们可以容易地将本公开用作设计或修改其他过程、结构或变型的基础,以实行与本文中引入的实施例相同的目的和/或实现相同的优点。PHOSITA还将领会到,这样的等同构造不脱离本公开的精神和范围,并且在不脱离本公开的精神和范围的情况下,他们可以在本文中做出各种改变、替换和变更。
在前面的描述中,比针对实践所附权利要求所严格必需的更详细地描述一些或所有实施例的某些方面。这些细节仅作为非限制性示例、出于提供所公开实施例的上下文和说明的目的被提供。这样的细节不应当被理解为是必需的,并且也不应当被“解读进”权利要求中作为限制。短语可以指代“实施例”或“多个实施例”。这些短语以及对实施例的任何其他引用应当被宽泛地理解为指代一个或多个实施例的任何组合。此外,在特定“实施例”中公开的若干个特征也可以仅跨多个实施例散布。例如,如果在“实施例”中公开了特征1和特征2,则实施例A可以具有特征1但缺少特征2,而实施例B可以具有特征2但缺少特征1。
本说明书可以提供以框图形式的说明,其中某些特征在单独的框中公开。这些应当被宽泛地理解为公开了各种特征如何互操作,但不旨在暗示那些特征必须必定体现在单独的硬件或软件中。此外,在单个框在相同框中公开了多于一个特征的情况下,那些特征不需要必定体现在相同的硬件和/或软件中。例如,在某些情况下,计算机“存储器”可以分布或映射在多级高速缓存或本地存储器、主存储器、电池供电的易失性存储器以及各种形式的持久性存储器(诸如硬盘、存储服务器、光盘、磁带驱动器或类似物)之间。在某些实施例中,一些组件可以被省略或合并。在一般意义上,各图中描绘的布置在其表示中可以更合逻辑,而物理架构可以包括这些元件的各种排列、组合和/或混合。无数可能的设计配置可以用于实现本文中概述的操作目标。因此,相关联的基础设施具有无数的替换布置、设计选择、设备可能性、硬件配置、软件实现和装备选项。
本文中可以提及计算机可读介质,其可以是有形的和非暂时性的计算机可读介质。如在本说明书中和贯穿权利要求书所使用的,“计算机可读介质”应当被理解为包括相同或不同类型的一个或多个计算机可读介质。作为非限制性示例,计算机可读介质可以包括光盘驱动器(例如,CD/DVD/蓝光光盘)、硬盘驱动器、固态驱动器、闪存或其他非易失性介质。计算机可读介质还可以包括介质,所述介质诸如是只读存储器(ROM)、被配置为实行所期望指令的FPGA 或ASIC、用于对FPGA 或ASIC进行编程以实行所期望指令的存储指令、可以在硬件中被集成到其他电路中的知识产权(IP)块、或者在处理器(诸如微处理器、数字信号处理器(DSP)、微控制器)上直接编码到硬件或微代码中的指令、或者在适当的情况下并且基于特定需求的任何其他合适的组件、设备、元件或对象中的指令。本文中的非暂时性存储介质明确地旨在包括被配置为提供所公开的操作或使得处理器执行所公开的操作的任何非暂时性专用或可编程硬件。
贯穿本说明书和权利要求书,各种元件可以“通信地”、“电地”、“机械地”或以其他方式彼此“耦合”。这样的耦合可以是直接的点对点耦合,或者可以包括中间设备。例如,两个设备可以经由促进通信的控制器通信地彼此耦合。设备可以经由中间设备、诸如信号升压器、分压器或缓冲器电地彼此耦合。机械耦合的设备可以被间接机械地耦合。
本文中公开的任何“模块”或“引擎”可以指代或包括软件、软件堆栈、硬件、固件和/或软件的组合、被配置为实行引擎或模块的功能的电路、或如上面公开的任何计算机可读介质。在适当的情况下,这样的模块或引擎可以在硬件平台上提供或者与硬件平台结合提供,所述硬件平台可以包括硬件计算资源,诸如处理器、存储器、存储装置、互连、网络和网络接口、加速器或其他合适的硬件。这样的硬件平台可以作为单个单片设备(例如,以PC尺寸的形式)被提供,或者将一些或部分功能分布(例如,高端数据中心中的“复合节点”,其中计算、存储器、存储装置和其他资源可以被动态分配,并且不需要在彼此本地)。
本文中可以公开了流程图、信号流图解或示出以特定次序执行的操作的其他图示。除非另外明确指出,或者除非在特定的上下文中要求,否则该次序应当被理解为仅仅是非限制性的示例。此外,在一个操作被示为跟随另一个操作的情况下,也可能发生其他介入操作,所述其他介入操作可以是相关的或者不相关的。一些操作也可以同时或并行执行。在一个操作被称为“基于”或“根据”另一个项目或操作的情况下,这应当被理解为暗示该操作至少部分地基于或至少部分地根据另一个项目或操作。这不应当被解释为暗示该操作仅基于或排他地基于、或者仅根据或排他地根据该另一个项目或操作。
本文中公开的任何硬件元件的全部或部分可以容易地在包括中央处理单元(CPU)封装的片上系统(SoC)中提供。SoC表示将计算机或其他电子系统的组件集成到单个芯片中的集成电路(IC)。因此,例如,可以在SoC中全部或部分地提供客户端设备或服务器设备。SoC可以包含数字、模拟、混合信号和射频功能,所述功能中的全部都可以在单个芯片衬底上提供。其他实施例可以包括多芯片模块(MCM),所述多芯片模块(MCM)具有位于单个电子封装内的多个芯片,并且被配置为通过电子封装彼此紧密地交互。
在一般意义上,任何适当配置的电路或处理器都可以执行与数据相关联的任何类型的指令,以实现本文中详述的操作。本文中公开的任何处理器可以将元素或制品(例如,数据)从一个状态或事物变换到另一个状态或事物。此外,在处理器中被跟踪、发送、接收或存储的信息可以基于特定的需求和实现而在任何数据库、寄存器、表、高速缓存、队列、控制列表或存储结构中提供,所述信息中的全部都可以在任何合适的时间框架内被引用。本文中公开的任何存储器或存储元件应当酌情被解释为包含在宽泛术语“存储器”和“存储装置”内。
实现本文中描述的全部或部分功能的计算机程序逻辑以各种形式体现,包括但不限于源代码形式、计算机可执行形式、机器指令或微代码、可编程硬件和各种中间形式(例如,由汇编器、编译器、链接器或定位器生成的形式)。在示例中,源代码包括一系列计算机程序指令,所述计算机程序指令以用于与各种操作系统或操作环境一起使用的诸如目标代码之类的各种编程语言、汇编语言或高级语言(诸如OpenCL、FORTRAN、C、C++、JAVA或HTML),或者以硬件描述语言(诸如Spice、Verilog和VHDL)来实现。源代码可以定义和使用各种数据结构和通信消息。源代码可以以计算机可执行形式(例如,经由注释器),或者源代码可以(例如,经由翻译器、汇编器或编译器)被转换成计算机可执行形式,或者转换成诸如字节码之类的中间形式。在适当的情况下,前述的任何一个都可以用来构建或描述适当的分立或集成电路,无论是顺序的、组合的、状态机的还是其他的。
在一个示例实施例中,可以在相关联的电子设备的板上实现各图的任何数量的数字电路。该板可以是通用电路板,其可以容纳电子设备的内部电子系统的各种组件,并且进一步为其他外围设备提供连接器。基于特定的配置需要、处理需求和计算设计,任何合适的处理器和存储器都可以适当地耦合到板。注意到,在本文中提供的众多示例的情况下,可以依据两个、三个、四个或更多个电子组件来描述交互。然而,仅仅为了清楚和示例的目的而这样做。应当领会到,该系统可以以任何合适的方式被合并或重新配置。沿着相似的设计替代方案,各图中图示的任何组件、模块和元件可以以各种可能的配置来组合,所有这些都在本说明书的宽泛范围内。
本领域的技术人员可以确定众多其他的改变、替换、变化、变更和修改,并且本公开旨在涵盖如落入所附权利要求的范围内的所有这样的改变、替换、变化、变更和修改。为了帮助美国专利商标局(USPTO)以及附加地本申请中发布的任何专利的任何读者在解释附于其的权利要求中,申请人希望注意到,申请人:(a)不旨在所附权利要求中的任何援引《U.S.C.》第35条第112节(前AIA)的第六(6)段或同一节(后AIA)的第(f)段,因为其在本申请提交之日存在,除非在特定权利要求中专门使用了词语“用于……的装置”或“用于……的步骤”;和(b)不旨在通过说明书中的任何陈述以否则未明确地反映在所附权利要求中的任何方式限制本公开。
示例实现
在一个示例中公开了一种在内联网上操作的网关装置,包括:硬件平台;以及访问代理引擎,其在硬件平台上操作并且被配置为:拦截传入分组;确定传入分组是定向到内联网资源的访问接口的访问请求;呈现访问检查点接口;接收认证输入响应;验证认证输入响应;以及提供对设备的访问接口的重新定向。
进一步公开了示例1的网关装置,进一步包括访问代理规则表(APRT),其包括将资源与主机设备和资源的安全策略相互关联的数据。
进一步公开了示例2的网关装置,其中APRT进一步包括针对资源存储的登录凭证,其中访问代理引擎被配置为在提供重新定向之前执行登录动作。
进一步公开了示例2的网关装置,其中访问代理引擎进一步被配置为将资源标识为在APRT中具有现有条目的已知资源。
进一步公开了示例2的网关装置,其中,访问代理引擎进一步被配置为确定资源在APRT中不具有现有条目,以及在APRT中创建针对资源的条目。
进一步公开了示例2的网关装置,其中APRT进一步包括严重性字段,其中严重性字段对应于资源的安全策略的严格性。
进一步公开了示例1的网关装置,其中访问代理引擎进一步被配置为建立用于访问资源的会话。
进一步公开了示例7的网关装置,其中,访问代理引擎进一步被配置为接收对于资源的第二访问请求,以及确定存在对于资源的现有会话。
进一步公开了示例8的网关装置,其中访问代理引擎被配置为在确定请求在现有会话的范围内之后在不呈现访问检查点接口的情况下提供重新定向。
进一步公开了示例8的网关装置,其中,访问代理引擎进一步被配置为确定当前请求在现有会话的范围之外,以及呈现访问检查点接口。
进一步公开了示例1-10中任一个的网关装置,其中,访问代理引擎进一步被配置为周期性地扫描内联网以获得新设备,以及为找到的任何新设备添加访问代理规则表(APRT)条目。
进一步公开了示例1-10中任一个的网关装置,其中,访问代理引擎进一步被配置为确定新设备已经被添加到内联网,以及为新设备添加访问代理规则表(APRT)条目。
进一步公开了示例1-12中任一个的网关装置,其中访问代理引擎进一步被配置为通过测试公共凭证的字典来尝试标识用于新设备的认证凭证。
进一步公开了示例1-12中任一个的网关装置,其中访问代理引擎进一步被配置为通过向凭证服务查询可能的凭证来尝试标识用于新设备的认证凭证。
进一步公开了示例1-14中任一个的网关装置,其中资源是物联网(IoT)设备。
还公开了一个或多个有形的、非暂时性的计算机可读存储介质,其上存储有用于指令设备提供访问代理引擎的指令,所述访问代理引擎被配置为:拦截传入分组;确定传入分组是定向到内联网资源的访问接口的访问请求;呈现访问检查点接口;接收认证输入响应;验证认证输入响应;以及提供对设备的访问接口的重新定向。
进一步公开了示例16的一个或多个有形的、非暂时性的计算机可读存储介质,其中,所述指令进一步用于提供访问代理规则表(APRT),所述访问代理规则表(APRT)包括将资源与主机设备和资源的安全策略相互关联的数据。
进一步公开了示例17的一个或多个有形的、非暂时性的计算机可读存储介质,其中APRT进一步包括针对资源存储的登录凭证,其中访问代理引擎被配置为在提供重新定向之前执行登录动作。
进一步公开了示例17的一个或多个有形的、非暂时性的计算机可读存储介质,其中访问代理引擎进一步被配置为将资源标识为在APRT中具有现有条目的已知资源。
进一步公开了示例17的一个或多个有形的、非暂时性的计算机可读存储介质,其中,访问代理引擎进一步被配置为确定资源在APRT中不具有现有条目,以及在APRT中创建针对资源的条目。
进一步公开了示例17的一个或多个有形的、非暂时性的计算机可读存储介质,其中APRT进一步包括严重性字段,其中严重性字段对应于资源的安全策略的严格性。
进一步公开了示例16的一个或多个有形的、非暂时性的计算机可读存储介质,其中访问代理引擎进一步被配置为建立用于访问资源的会话。
进一步公开了示例22的一个或多个有形的、非暂时性的计算机可读存储介质,其中,访问代理引擎进一步被配置为接收对于资源的第二访问请求,以及确定存在对于资源的现有会话。
进一步公开了示例23的一个或多个有形的、非暂时性的计算机可读存储介质,其中访问代理引擎被配置为在确定请求在现有会话的范围内之后在不呈现访问检查点接口的情况下提供重新定向。
进一步公开了示例23的一个或多个有形的、非暂时性的计算机可读存储介质,其中,访问代理引擎进一步被配置为确定当前请求在现有会话的范围之外,以及呈现访问检查点接口。
进一步公开了示例16-25中任一个的一个或多个有形的、非暂时性的计算机可读存储介质,其中访问代理引擎进一步被配置为周期性地扫描内联网以获得新设备,以及为找到的任何新设备添加访问代理规则表(APRT)条目。
进一步公开了示例16-25中任一个的一个或多个有形的、非暂时性的计算机可读存储介质,其中访问代理引擎进一步被配置为确定新设备已经被添加到内联网,以及为新设备添加访问代理规则表(APRT)条目。
进一步公开了示例16-27中任一个的一个或多个有形的、非暂时性的计算机可读存储介质,其中,访问代理引擎进一步被配置为通过测试公共凭证的字典来尝试标识用于新设备的认证凭证。
进一步公开了示例16-27中任一个的一个或多个有形的、非暂时性的计算机可读存储介质,其中访问代理引擎进一步被配置为通过向凭证服务查询可能的凭证来尝试标识用于新设备的认证凭证。
进一步公开了示例16-29中任一个的一个或多个有形的、非暂时性的计算机可读存储介质,其中资源是物联网(IoT)设备。
还公开了一种提供网关设备的计算机实现的方法,包括:拦截传入分组;确定传入分组是定向到内联网资源的访问接口的访问请求;呈现访问检查点接口;接收认证输入响应;验证认证输入响应;以及向设备的访问接口提供重新定向。
进一步公开了示例31的方法,进一步包括提供访问代理规则表(APRT),所述访问代理规则表(APRT)包括将资源与主机设备和资源的安全策略相互关联的数据。
进一步公开了示例32的方法,进一步包括存储资源的登录凭证,以及在提供重新定向之前执行登录动作。
进一步公开了示例32的方法,进一步包括将资源标识为在APRT中具有现有条目的已知资源。
进一步公开了示例32的方法,进一步包括确定资源在APRT不具有现有条目,以及在APRT中创建针对资源的条目。
进一步公开了示例32的方法,其中APRT进一步包括严重性字段,其中严重性字段对应于资源的安全策略的严格性。
进一步公开了示例31的方法,进一步包括建立用于访问资源的会话。
进一步公开了示例37的方法,进一步包括接收对于资源的第二访问请求,以及确定存在对于资源的现有会话。
进一步公开了示例38的方法,进一步包括在确定请求在现有会话的范围内之后在不呈现访问检查点接口的情况下提供重新定向。
进一步公开了示例38的方法,进一步包括确定当前请求在现有会话的范围之外,以及呈现访问检查点接口。
进一步公开了示例31-40中任一个的方法,进一步包括周期性地扫描内联网以获得新设备,以及为找到的任何新设备添加访问代理规则表(APRT)条目。
进一步公开了示例31-40中任一个的方法,进一步包括确定新设备已经被添加到内联网,以及为新设备添加访问代理规则表(APRT)条目。
进一步公开了示例31-42中任一个的方法,进一步包括通过测试公共凭证的字典来尝试标识用于新设备的认证凭证。
进一步公开了示例31-42中任一个的方法,进一步包括通过向凭证服务查询可能的凭证来尝试标识用于新设备的认证凭证。
进一步公开了示例31-44中任一个的方法,其中资源是物联网(IoT)设备。
进一步公开了一种装置,包括用于执行示例31-45中任一个的方法的装置。
进一步公开了示例46的装置,其中用于执行方法的装置包括处理器和存储器。
进一步公开了示例47的装置,其中存储器包括机器可读指令,所述机器可读指令当被执行时,使得所述装置执行示例31-45中任一个的方法。
进一步公开了示例47-48中任一个的装置,其中所述装置是计算系统。
进一步公开了包括指令的至少一个计算机可读介质,指令当被执行时,实现如示例31-49中任一个所说明的方法或获得如示例31-49中任一个所说明的装置。
附图说明
当与附图一起阅读以下详细描述时,从以下详细描述中最好地理解本公开。强调的是,根据行业中的标准惯例,各种特征不一定按比例绘制,并且仅用于图示目的。在无论显式地还是隐式地示出比例的情况下,它仅提供了一个说明性示例。在其他实施例中,为了讨论的清楚性,各种特征的尺寸可以任意地增加或减小。
图1是根据本说明书的一个或多个示例的家庭网络的框图。
图2是图示根据本说明书的一个或多个示例的诸如智能家庭的家庭网络的附加特征的框图。
图3是图示根据本说明书的一个或多个示例的硬件平台的框图。
图4是根据本说明书的一个或多个示例的家庭网关的框图。
图5是根据本说明书的一个或多个示例的扫描、标识和配置在网络上发现的新IoT设备的方法的流程图。
图6是图示根据本说明书的一个或多个示例的方法的流程图,该方法可以例如由访问代理引擎或者其他合适的硬件或软件来执行。
Claims (25)
1.一种在内联网上操作的网关装置,包括:
硬件平台;以及
访问代理引擎,其在硬件平台上操作并且被配置为:
拦截传入分组;
确定传入分组是定向到内联网资源的访问接口的访问请求;
呈现访问检查点接口;
接收认证输入响应;
验证认证输入响应;以及
提供对设备的访问接口的重新定向。
2.根据权利要求1所述的网关装置,进一步包括访问代理规则表(APRT),其包括将资源与主机设备和资源的安全策略相互关联的数据。
3.根据权利要求2所述的网关装置,其中APRT进一步包括针对资源存储的登录凭证,其中访问代理引擎被配置为在提供重新定向之前执行登录动作。
4.根据权利要求2所述的网关装置,其中访问代理引擎进一步被配置为将资源标识为在APRT中具有现有条目的已知资源。
5.根据权利要求2所述的网关装置,其中,访问代理引擎进一步被配置为确定资源在APRT中不具有现有条目,以及在APRT中创建针对资源的条目。
6.根据权利要求2所述的网关装置,其中APRT进一步包括严重性字段,其中严重性字段对应于资源的安全策略的严格性。
7.根据权利要求1所述的网关装置,其中访问代理引擎进一步被配置为建立用于访问资源的会话。
8.根据权利要求7所述的网关装置,其中,访问代理引擎进一步被配置为接收对于资源的第二访问请求,以及确定存在对于资源的现有会话。
9.根据权利要求8所述的网关装置,其中访问代理引擎被配置为在确定请求在现有会话的范围内之后在不呈现访问检查点接口的情况下提供重新定向。
10.根据权利要求8所述的网关装置,其中,访问代理引擎进一步被配置为确定当前请求在现有会话的范围之外,以及呈现访问检查点接口。
11.根据权利要求1所述的网关装置,其中,访问代理引擎进一步被配置为周期性地扫描内联网以获得新设备,以及为找到的任何新设备添加访问代理规则表(APRT)条目。
12.根据权利要求1所述的网关装置,其中,访问代理引擎进一步被配置为确定新设备已经被添加到内联网,以及为新设备添加访问代理规则表(APRT)条目。
13.根据权利要求1所述的网关装置,其中访问代理引擎进一步被配置为通过测试公共凭证的字典来尝试标识用于新设备的认证凭证。
14.根据权利要求1所述的网关装置,其中访问代理引擎进一步被配置为通过向凭证服务查询可能的凭证来尝试标识用于新设备的认证凭证。
15.根据权利要求1所述的网关装置,其中资源是物联网(IoT)设备。
16.一个或多个有形的、非暂时性的计算机可读存储介质,其上存储有用于指令设备提供访问代理引擎的指令,所述访问代理引擎被配置为:
拦截传入分组;
确定传入分组是定向到内联网资源的访问接口的访问请求;
呈现访问检查点接口;
接收认证输入响应;
验证认证输入响应;以及
提供对设备的访问接口的重新定向。
17.根据权利要求16所述的一个或多个有形的、非暂时性的计算机可读存储介质,其中,所述指令进一步用于提供访问代理规则表(APRT),所述访问代理规则表(APRT)包括将资源与主机设备和资源的安全策略相互关联的数据。
18.根据权利要求17所述的一个或多个有形的、非暂时性的计算机可读存储介质,其中,APRT进一步包括针对资源存储的登录凭证,其中访问代理引擎被配置为在提供重新定向之前执行登录动作。
19.根据权利要求17所述的一个或多个有形的、非暂时性的计算机可读存储介质,其中访问代理引擎进一步被配置为将资源标识为在APRT中具有现有条目的已知资源。
20.根据权利要求17所述的一个或多个有形的、非暂时性的计算机可读存储介质,其中,访问代理引擎进一步被配置为确定资源在APRT中不具有现有条目,以及在APRT中创建针对资源的条目。
21.根据权利要求17所述的一个或多个有形的、非暂时性的计算机可读存储介质,其中APRT进一步包括严重性字段,其中严重性字段对应于资源的安全策略的严格性。
22.根据权利要求16所述的一个或多个有形的、非暂时性的计算机可读存储介质,其中访问代理引擎进一步被配置为建立用于访问资源的会话。
23.一种提供网关设备的计算机实现的方法,包括:
拦截传入分组;
确定传入分组是定向到内联网资源的访问接口的访问请求;
呈现访问检查点接口;
接收认证输入响应;
验证认证输入响应;以及
向设备的访问接口提供重新定向。
24.根据权利要求23所述的方法,进一步包括提供访问代理规则表(APRT),所述访问代理规则表(APRT)包括将资源与主机设备和资源的安全策略相互关联的数据。
25.根据权利要求24所述的方法,进一步包括存储资源的登录凭证,以及在提供重新定向之前执行登录动作。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/905,606 US10728218B2 (en) | 2018-02-26 | 2018-02-26 | Gateway with access checkpoint |
| US15/905606 | 2018-02-26 | ||
| PCT/US2019/019335 WO2019165336A1 (en) | 2018-02-26 | 2019-02-25 | Gateway with access checkpoint |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111742533A true CN111742533A (zh) | 2020-10-02 |
| CN111742533B CN111742533B (zh) | 2023-05-09 |
Family
ID=67684846
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980015509.4A Active CN111742533B (zh) | 2018-02-26 | 2019-02-25 | 具有访问检查点的网关 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US10728218B2 (zh) |
| EP (1) | EP3759886B1 (zh) |
| CN (1) | CN111742533B (zh) |
| WO (1) | WO2019165336A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11558355B2 (en) | 2018-02-26 | 2023-01-17 | Mcafee, Llc | Gateway with access checkpoint |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10972314B2 (en) * | 2019-06-25 | 2021-04-06 | Honeywell International Inc. | Gateway device for a fire control system |
| DE102019209888A1 (de) * | 2019-07-04 | 2021-01-07 | BSH Hausgeräte GmbH | System und Verfahren zur Authentifizierung an einem Gerät |
| CN113014530B (zh) * | 2019-12-19 | 2023-06-13 | 中国航发上海商用航空发动机制造有限责任公司 | Arp欺骗攻击防范方法及系统 |
| US11509629B2 (en) * | 2020-06-26 | 2022-11-22 | Calyptix Security Corporation | Securing access to network devices utilizing two factor authentication and dynamically generated temporary firewall rules |
| US11792192B2 (en) * | 2020-07-31 | 2023-10-17 | The Adt Security Corporation | Automatic network configuration for security devices |
| US11381604B2 (en) | 2020-08-03 | 2022-07-05 | Bank Of America Corporation | Resilient self-detection of malicious exfiltration of sensitive data |
| US20230308467A1 (en) * | 2022-03-24 | 2023-09-28 | At&T Intellectual Property I, L.P. | Home Gateway Monitoring for Vulnerable Home Internet of Things Devices |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6463474B1 (en) * | 1999-07-02 | 2002-10-08 | Cisco Technology, Inc. | Local authentication of a client at a network device |
| US20060143699A1 (en) * | 2003-02-05 | 2006-06-29 | Nippon Telegraph And Telephone Corporation | Firewall device |
| CN101262368A (zh) * | 2008-03-17 | 2008-09-10 | 中兴通讯股份有限公司 | 家庭网关路由模式连接配置的方法及装置 |
| CN201252570Y (zh) * | 2008-08-29 | 2009-06-03 | 公安部第三研究所 | 一种安全网关客户端装置 |
| US20120084349A1 (en) * | 2009-12-30 | 2012-04-05 | Wei-Yeh Lee | User interface for user management and control of unsolicited server operations |
| CN102694704A (zh) * | 2012-05-08 | 2012-09-26 | 北京邮电大学 | 一种家庭网关及其区分用户身份的方法 |
| CN104580233A (zh) * | 2015-01-16 | 2015-04-29 | 重庆邮电大学 | 一种物联网智能家居安全网关系统 |
| US20150256514A1 (en) * | 2014-03-07 | 2015-09-10 | Microsoft Corporation | Automatic detection of authentication methods by a gateway |
| CN104969231A (zh) * | 2013-03-05 | 2015-10-07 | 英特尔公司 | 安全挑战辅助的密码代理 |
| US9450944B1 (en) * | 2015-10-14 | 2016-09-20 | FullArmor Corporation | System and method for pass-through authentication |
| US20170063815A1 (en) * | 2015-06-10 | 2017-03-02 | Mcafee, Inc. | Sentinel appliance in an internet of things realm |
| US20170289184A1 (en) * | 2016-03-31 | 2017-10-05 | Intel Corporation | Adaptive internet of things edge device security |
Family Cites Families (59)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7821926B2 (en) * | 1997-03-10 | 2010-10-26 | Sonicwall, Inc. | Generalized policy server |
| US6185567B1 (en) | 1998-05-29 | 2001-02-06 | The Trustees Of The University Of Pennsylvania | Authenticated access to internet based research and data services |
| US6799177B1 (en) | 1999-05-05 | 2004-09-28 | Verizon Corporate Services Group Inc. | Systems and methods for securing extranet transactions |
| US6842460B1 (en) * | 2001-06-27 | 2005-01-11 | Nokia Corporation | Ad hoc network discovery menu |
| US20110301982A1 (en) * | 2002-04-19 | 2011-12-08 | Green Jr W T | Integrated medical software system with clinical decision support |
| US8397988B1 (en) | 2002-08-09 | 2013-03-19 | Britesmart Llc | Method and system for securing a transaction using a card generator, a RFID generator, and a challenge response protocol |
| US7624422B2 (en) * | 2003-02-14 | 2009-11-24 | Preventsys, Inc. | System and method for security information normalization |
| US20050021980A1 (en) * | 2003-06-23 | 2005-01-27 | Yoichi Kanai | Access control decision system, access control enforcing system, and security policy |
| US7761863B2 (en) * | 2004-06-08 | 2010-07-20 | Covia Labs, Inc. | Method system and data structure for content renditioning adaptation and interoperability segmentation model |
| US8272032B2 (en) * | 2004-11-10 | 2012-09-18 | Mlb Advanced Media, L.P. | Multiple user login detection and response system |
| US8074259B1 (en) * | 2005-04-28 | 2011-12-06 | Sonicwall, Inc. | Authentication mark-up data of multiple local area networks |
| CN100477650C (zh) * | 2005-09-30 | 2009-04-08 | 华为技术有限公司 | 下一代网络中的ip互通网关及其实现ip域互通的方法 |
| US20070288247A1 (en) * | 2006-06-11 | 2007-12-13 | Michael Mackay | Digital life server |
| WO2008148180A1 (en) * | 2007-06-04 | 2008-12-11 | Bce Inc. | Methods and systems for validating online transactions using location information |
| US8600776B2 (en) * | 2007-07-03 | 2013-12-03 | Eingot Llc | Records access and management |
| US9619616B2 (en) * | 2007-07-03 | 2017-04-11 | Eingot Llc | Records access and management |
| US8359467B2 (en) * | 2007-07-07 | 2013-01-22 | Hewlett-Packard Development Company, L.P. | Access control system and method |
| US20110087888A1 (en) * | 2009-10-13 | 2011-04-14 | Google Inc. | Authentication using a weak hash of user credentials |
| US20110142234A1 (en) * | 2009-12-15 | 2011-06-16 | Michael Leonard Rogers | Multi-Factor Authentication Using a Mobile Phone |
| US20120084348A1 (en) * | 2009-12-30 | 2012-04-05 | Wei-Yeh Lee | Facilitation of user management of unsolicited server operations |
| US20120084151A1 (en) * | 2009-12-30 | 2012-04-05 | Kozak Frank J | Facilitation of user management of unsolicited server operations and extensions thereto |
| US20120078727A1 (en) * | 2009-12-30 | 2012-03-29 | Wei-Yeh Lee | Facilitation of user management of unsolicited server operations via modification thereof |
| US8843998B2 (en) * | 2011-06-27 | 2014-09-23 | Cliqr Technologies, Inc. | Apparatus, systems and methods for secure and selective access to services in hybrid public-private infrastructures |
| US9749291B2 (en) | 2011-07-15 | 2017-08-29 | International Business Machines Corporation | Securing applications on public facing systems |
| KR20130046155A (ko) * | 2011-10-27 | 2013-05-07 | 인텔렉추얼디스커버리 주식회사 | 클라우드 컴퓨팅 서비스에서의 접근제어 시스템 |
| US9549333B2 (en) * | 2012-06-01 | 2017-01-17 | Turk Telekomunikasyon A.S. | Method and device for monitoring and measurement of Wi-Fi internet services |
| US9465942B1 (en) * | 2013-04-08 | 2016-10-11 | Amazon Technologies, Inc. | Dictionary generation for identifying coded credentials |
| US9590884B2 (en) | 2013-07-03 | 2017-03-07 | Facebook, Inc. | Native application hotspot |
| US9396319B2 (en) | 2013-09-30 | 2016-07-19 | Laird H. Shuart | Method of criminal profiling and person identification using cognitive/behavioral biometric fingerprint analysis |
| US9294462B2 (en) * | 2014-01-15 | 2016-03-22 | Cisco Technology, Inc. | Redirect to inspection proxy using single-sign-on bootstrapping |
| US10616180B2 (en) * | 2014-06-20 | 2020-04-07 | Zscaler, Inc. | Clientless connection setup for cloud-based virtual private access systems and methods |
| US10375024B2 (en) * | 2014-06-20 | 2019-08-06 | Zscaler, Inc. | Cloud-based virtual private access systems and methods |
| US10114939B1 (en) * | 2014-09-22 | 2018-10-30 | Symantec Corporation | Systems and methods for secure communications between devices |
| US9967351B2 (en) * | 2015-01-31 | 2018-05-08 | Splunk Inc. | Automated service discovery in I.T. environments |
| US9961062B2 (en) * | 2015-07-21 | 2018-05-01 | Sap Se | Centralized authentication server for providing cross-domain resources via a rest-based tunnel |
| US9930034B2 (en) * | 2015-07-29 | 2018-03-27 | International Business Machines Corporation | Authenticating applications using a temporary password |
| US10397331B2 (en) * | 2016-01-29 | 2019-08-27 | General Electric Company | Development platform for industrial internet applications |
| US10623376B2 (en) * | 2016-01-29 | 2020-04-14 | Zenedge, Inc. | Qualifying client behavior to mitigate attacks on a host |
| US10397235B2 (en) * | 2016-02-01 | 2019-08-27 | General Electric Company | Event processing via industrial asset cloud computing system |
| US10327185B2 (en) * | 2016-03-18 | 2019-06-18 | Parallel Wireless, Inc. | IuGW architecture with RTP localization |
| WO2017182348A1 (en) * | 2016-04-21 | 2017-10-26 | Philips Lighting Holding B.V. | Systems and methods for authenticating wireless modules |
| US20220029965A1 (en) * | 2016-05-18 | 2022-01-27 | Zscaler, Inc. | Scaling private application access support per client |
| DE112016006827T5 (de) * | 2016-07-01 | 2019-03-07 | Intel Corporation | Gruppenverwaltung in rekonfigurierbaren maschine-zu-maschine-systemen |
| US10609180B2 (en) * | 2016-08-05 | 2020-03-31 | At&T Intellectual Property I, L.P. | Facilitating dynamic establishment of virtual enterprise service platforms and on-demand service provisioning |
| KR102633995B1 (ko) * | 2016-08-22 | 2024-02-06 | 삼성전자 주식회사 | 무선 통신 시스템에서, 단말과 써드 파티 서버 간의 인증 요청 방법 및, 이를 위한 단말 및 네트워크 슬라이스 인스턴스 관리 장치 |
| US20180095439A1 (en) * | 2016-10-03 | 2018-04-05 | Rouzbeh Karbasian | Universal device communication and configuration |
| US10523678B2 (en) * | 2016-10-25 | 2019-12-31 | Sean Dyon | System and method for architecture initiated network access control |
| US10333963B2 (en) * | 2016-10-28 | 2019-06-25 | Corax Cyber Security, Inc. | Identifying a vulnerability of an asset of a network infrastructure to mitigate |
| US10484369B2 (en) * | 2016-10-31 | 2019-11-19 | Ncr Corporation | Voice authentication via secondary device |
| EP3934203A1 (en) * | 2016-12-30 | 2022-01-05 | INTEL Corporation | Decentralized data storage and processing for iot devices |
| US10164983B2 (en) * | 2017-01-20 | 2018-12-25 | Verizon Patent And Licensing Inc. | Distributed authentication for internet-of-things resources |
| EP3501155B1 (en) * | 2017-01-27 | 2023-06-07 | Telefonaktiebolaget LM Ericsson (publ) | Secondary authentication of a user equipment |
| US10616067B2 (en) * | 2017-06-27 | 2020-04-07 | Amazon Technologies, Inc. | Model and filter deployment across IoT networks |
| US11350360B2 (en) * | 2017-06-27 | 2022-05-31 | Amazon Technologies, Inc. | Generating adaptive models for IoT networks |
| US10482258B2 (en) * | 2017-09-29 | 2019-11-19 | Nxp Usa, Inc. | Method for securing runtime execution flow |
| US10104077B1 (en) * | 2017-10-06 | 2018-10-16 | Xage Security, Inc. | Enabling multitenant data access on a single industrial network |
| US10681085B2 (en) * | 2017-10-16 | 2020-06-09 | International Business Machines Corporation | Quick transport layer security/secure sockets layer connection for internet of things devices |
| US11012495B1 (en) * | 2018-01-09 | 2021-05-18 | EMC IP Holding Company LLC | Remote service credentials for establishing remote sessions with managed devices |
| US10728218B2 (en) | 2018-02-26 | 2020-07-28 | Mcafee, Llc | Gateway with access checkpoint |
-
2018
- 2018-02-26 US US15/905,606 patent/US10728218B2/en active Active
-
2019
- 2019-02-25 CN CN201980015509.4A patent/CN111742533B/zh active Active
- 2019-02-25 EP EP19756785.2A patent/EP3759886B1/en active Active
- 2019-02-25 WO PCT/US2019/019335 patent/WO2019165336A1/en unknown
-
2020
- 2020-06-23 US US16/908,971 patent/US11558355B2/en active Active
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6463474B1 (en) * | 1999-07-02 | 2002-10-08 | Cisco Technology, Inc. | Local authentication of a client at a network device |
| US20060143699A1 (en) * | 2003-02-05 | 2006-06-29 | Nippon Telegraph And Telephone Corporation | Firewall device |
| CN101262368A (zh) * | 2008-03-17 | 2008-09-10 | 中兴通讯股份有限公司 | 家庭网关路由模式连接配置的方法及装置 |
| CN201252570Y (zh) * | 2008-08-29 | 2009-06-03 | 公安部第三研究所 | 一种安全网关客户端装置 |
| US20120084349A1 (en) * | 2009-12-30 | 2012-04-05 | Wei-Yeh Lee | User interface for user management and control of unsolicited server operations |
| CN102694704A (zh) * | 2012-05-08 | 2012-09-26 | 北京邮电大学 | 一种家庭网关及其区分用户身份的方法 |
| CN104969231A (zh) * | 2013-03-05 | 2015-10-07 | 英特尔公司 | 安全挑战辅助的密码代理 |
| US20150256514A1 (en) * | 2014-03-07 | 2015-09-10 | Microsoft Corporation | Automatic detection of authentication methods by a gateway |
| CN104580233A (zh) * | 2015-01-16 | 2015-04-29 | 重庆邮电大学 | 一种物联网智能家居安全网关系统 |
| US20170063815A1 (en) * | 2015-06-10 | 2017-03-02 | Mcafee, Inc. | Sentinel appliance in an internet of things realm |
| US9450944B1 (en) * | 2015-10-14 | 2016-09-20 | FullArmor Corporation | System and method for pass-through authentication |
| US20170289184A1 (en) * | 2016-03-31 | 2017-10-05 | Intel Corporation | Adaptive internet of things edge device security |
| WO2017172210A1 (en) * | 2016-03-31 | 2017-10-05 | Intel Corporation | Adaptive internet of things edge device security |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11558355B2 (en) | 2018-02-26 | 2023-01-17 | Mcafee, Llc | Gateway with access checkpoint |
Also Published As
| Publication number | Publication date |
|---|---|
| US20190268307A1 (en) | 2019-08-29 |
| EP3759886B1 (en) | 2024-01-10 |
| US10728218B2 (en) | 2020-07-28 |
| EP3759886A1 (en) | 2021-01-06 |
| EP3759886A4 (en) | 2021-11-03 |
| US11558355B2 (en) | 2023-01-17 |
| US20200322314A1 (en) | 2020-10-08 |
| WO2019165336A1 (en) | 2019-08-29 |
| CN111742533B (zh) | 2023-05-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111742533B (zh) | 具有访问检查点的网关 | |
| US10795994B2 (en) | Detecting ransomware | |
| US12057959B2 (en) | Device identification | |
| US11711345B2 (en) | Split tunnel-based security | |
| US11632254B2 (en) | Home or enterprise router-based secure domain name services | |
| US11362999B2 (en) | Client-only virtual private network | |
| US20210400057A1 (en) | Detection of ransomware | |
| US11917080B2 (en) | Secure attestation of endpoint capability | |
| US11444944B2 (en) | Privacy and security enabled domain name system with optional zero-touch provisioning | |
| US20200327222A1 (en) | Behavioral User Security Policy | |
| US11610020B2 (en) | Securing sensitive user data stored locally by an application | |
| US11100225B2 (en) | Scanning of encrypted zip files | |
| US11599675B2 (en) | Detecting data leakage to websites accessed using a remote browsing infrastructure | |
| US11930359B2 (en) | Wireless access point with multiple security modes | |
| US11463440B2 (en) | Cloud-based shared security cache | |
| EP3314499B1 (en) | Temporary process deprivileging | |
| US11411991B2 (en) | User activity-triggered URL scan |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |