公开了具有中间人攻击防止的远程访问。提供了一种使得能够从第二网络装置对第一网络装置进行远程访问的方法,包括第二装置生成被由第一装置信任的网络服务签名的并且包括第二装置的公钥(的指纹)数据项。作为对等连接的条款的协商的一部分,签名的数据项经由信令服务(SIGS)发送到第一装置。第一装置使用接收的签名的数据项验证它从SIGS接收的条款尚未被SIGS篡改,以防止SIGS执行中间人攻击。还提供了各种网络装置和网络系统。了各种网络装置和网络系统。了各种网络装置和网络系统。
【技术实现步骤摘要】
具有中间人攻击防止的远程访问
[0001]本公开涉及远程网络访问的领域。具体地,本公开涉及当使用中间信令服务以协商两个网络装置之间的对等连接时的远程网络访问的安全,如在例如网络实时连接(WebRTC)中所使用的。
技术介绍
[0002]由于互联网的复杂性,位于不同网络上的两个网络装置可以不总是必要知道如何在不使用中间信令服务的情况下彼此连接。例如,如果两个网络装置已经连接到相同的信令服务但没有彼此连接,则信令服务可以用于在两个网络装置之间中继网络连接信息,使得两个装置可以协商它们自己的对等连接的条款,并且最终建立它们自己的对等连接。
[0003]然而,中间信令服务可能形成所谓的中间人(MITM)攻击的攻击面的一部分。如果信令服务已经被第三方破解,则网络装置之间中继的网络连接信息可能会被篡改,使得例如,一个装置被诱骗成连接到由第三方控制的网络点,而不是直接连接到另一网络装置,同时仍然相信它实际上直接连接到另一网络装置。通过这样做,两个网络装置之间所谓的对等连接可以经由信令服务被秘密地中继,并且第三方可能然后访问或甚至更改网络装置之间发送的潜在敏感数据。
[0004]上述的一个真实世界示例可能例如是用户尝试使用WebRTC对网络摄像机进行远程访问,其中,在可以建立直接的对等连接之前,经常需要信令服务以在用户与网络摄像机之间交换数据。通过破解信令服务,第三方可以获得访问例如来自摄像机的视频馈送,而网络摄像机或用户不会意识到正在进行的入侵。
技术实现思路
[0005]为了至少部分地解决以上认同的当依赖中间信令服务以建立对等连接时潜在的MITM攻击的问题,本公开提供了如在所附独立权利要求中限定的使得能够从第二网络装置对第一网络装置进行远程网络访问的改进的方法,各种改进的网络装置,以及改进的网络系统。其它方面还提供了各种改进的计算机程序和计算机程序产品。在从属权利要求中限定了各种替代实施例。
[0006]根据本公开的第一方面,提供了一种使得能够从第二网络装置对第一网络装置进行远程网络访问的方法。方法包括步骤a):第二网络装置生成包括第二网络装置的公钥和公钥的指纹中的至少一个的数据项。方法包括步骤b):第二网络装置使用网络服务对数据项进行密码签名以生成对应的第一签名的数据项,其中,被网络服务签名的第一签名的数据项可由第一网络装置验证。方法包括步骤c):第一网络装置和第二网络装置经由中间信令服务(SIGS)执行用于建立(在第一网络装置和第二网络装置之间的)对等连接的条款的协商,包括第二网络装置在一个或多个消息中将第一签名的数据项和用于联系第二网络装置的第一网络地址发送到SIGS。协商进一步包括第一网络装置在一个或多个消息中从SIGS接收第二签名的数据项和第二网络地址。方法进一步包括步骤d):第一网络装置使得能够
使用协商的条款通过对等连接从第二网络地址进行远程网络访问,但仅首先在以下步骤之后:d
‑
i)验证(从SIGS接收的)第二签名的数据项被网络服务签名;以及d
‑
ii)使用第二签名的数据项验证(从SIGS接收的)第二网络地址源自第二网络装置(即是用于联系第二网络装置的第一网络地址)并且尚未被SIGS篡改。
[0007]如在本文中所使用的,某事物(例如,消息)的“指纹”可以例如是应用于消息的特定散列函数的结果。通常,“指纹”被认为是一旦指纹和消息已知就可以容易地确认/检查为源自消息的任何事物,但是使得消息可能不单独从指纹中检索到。
[0008]如在本文所使用的,两个网络装置之间的对等连接可以是直接的或间接的,其中,后者包括如果由于例如存在中间网络地址转换(NAT)和/或防火墙服务器而可以不建立在网络装置之间的直接路径,则可以使用一个或多个中间代理服务器以建立对等连接。这样的中间代理服务器例如可以是所谓的使用中继穿越NAT(TURN)服务器,或类似物。说法不同,“直接”应被解释为“尽可能直接”。然而,如在本文中所使用的,真实的对等连接被认为一旦已经建立了对等连接就不需要经由SIGS发送其任何数据,尽管由SIGS执行的成功MITM攻击可能导致两个网络装置错误地相信这样的真实的对等连接仍然已经正确建立。网络服务例如可以是由被第一网络装置信任的第三方提供的服务。这里,“被信任”可以包括例如第一网络装置至少访问网络服务的公钥,并且网络服务使用对应的私钥对数据项(诸如消息,或例如消息的指纹)进行签名。通过这样做,第一网络装置可以通过验证数据项、其签名和公钥是一致的来确认接收的签名的数据项实际上被网络服务签名。这样的公钥密码/签名系统的示例例如是通过Rivest
‑
Shamir
‑
Adleman(RSA)的系统和椭圆曲线密码学(ECC)的系统,尽管当然也可以使用其它等效或类似系统。
[0009]在本文中,“源自第二网络装置”的网络地址应被理解为与在协商对等连接的条款期间由第二网络装置最初提出的网络地址(例如,用于联系第二网络装置的网络地址)相同的网络地址。使用权利要求的语言,这意味着第二网络地址(其是第一网络装置从SIGS接收的)是第一网络地址(其是第二网络装置发送给SIGS)。网络地址不需要直接指向第二网络装置,但也可以是例如朝向第二网络装置的路径上的网络节点的地址。然而,为了“源自第二网络装置”,设想网络地址不应是例如SIGS的地址或针对用于执行MITM攻击的SIGS控制的任何网络节点的地址。
[0010]方法的本公开改进了现有技术,在于作为对等连接的条款协商的一部分,第二网络装置的“个人附属物”(即,公钥)被签名并被提供到第一网络装置。由于签名可以被第一网络装置验证,因此SIGS可以不篡改包括第二网络装置的公钥(或公钥的指纹)的数据项。因此,公钥也可以用于验证SIGS尚未尝试篡改对等连接的协商条款,包括例如提出到第一网络装置以连接到第二网络装置的网络地址。这提供了一种防止SIGS执行MITM攻击的容易的方式,而不需要对第一网络装置或对第二网络装置进行任何实质性修改。第一网络装置可以通过使用预先安装的证书来例如执行网络服务的签名的证实,而无需在执行证实的时刻与例如另一服务器建立的任何连接。
[0011]在方法的一些实施例中,以上的步骤d)可以包括第一网络装置参与对使用从第二网络地址接收的公钥对对等连接进行加密的尝试,并且以上步骤d
‑
i)可以包括第一网络装置验证从第二网络地址接收的公钥和/或从第二网络地址接收的公钥的指纹包括在从SIGS接收的第二签名的数据项中(并且例如是第二网络装置的公钥)。这可能是有益的,在于为
了加密的目的已经存在公钥可用于第二网络装置,并且在于该公钥也可用于防止MITM攻击(而无需生成任何进一步的公钥/私钥对)。
[0012]在方法的一些实施例中,对会话进行加密可以使用数据报传输层安全协议(DTLS)来执行。从第二网络地址接收的公钥例如可以是DTLS公钥。
[0013]在方法的一些实施例中,方法可以包括第二网络装置使用与第二网络装置的第二公钥相关联的本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种使得能够从第二网络装置对第一网络装置进行远程网络访问的方法,包括下述步骤:a)所述第二网络装置生成包括所述第二网络装置的公钥和所述公钥的指纹中的至少一个的数据项;b)所述第二网络装置使用网络服务对所述数据项进行密码签名以生成对应的第一签名的数据项,其中,被所述网络服务签名的所述第一签名的数据项能够由所述第一网络装置验证;c)所述第一网络装置和所述第二网络装置经由中间信令服务SIGS执行用于建立对等连接的条款的协商,包括所述第二网络装置在一个或多个消息中将所述第一签名的数据项和用于连接到所述第二网络装置的第一网络地址发送到所述SIGS,并且包括所述第一网络装置在一个或多个消息中从所述SIGS接收第二签名的数据项和第二网络地址;以及d)所述第一网络装置使得能够使用协商的所述条款通过所述对等连接从所述第二网络地址进行所述远程网络访问,首先在以下步骤之后:d
‑
i)验证所述第二签名的数据项被所述网络服务签名,以及d
‑
ii)使用所述第二签名的数据项验证所述第二网络地址是所述第一网络地址并且尚未被所述SIGS篡改。2.根据权利要求1所述的方法,其中,步骤d)包括所述第一网络装置参与对使用从所述第二网络地址接收的公钥对所述对等连接进行加密的尝试,并且其中,步骤d
‑
ii)包括所述第一网络装置验证从所述第二网络地址接收的所述公钥和/或从所述第二网络地址接收的所述公钥的指纹包括在从所述SIGS接收的所述第二签名的数据项中。3.根据权利要求2所述的方法,其中,所述加密使用数据报传输层安全协议DTLS来执行,并且其中,从所述第二网络地址接收的所述公钥是DTLS公钥。4.根据权利要求1所述的方法,包括所述第二网络装置使用与所述第二网络装置的第二公钥相关联的私钥对发送到所述SIGS的所述一个或多个消息的至少一部分和/或发送到所述SIGS的所述一个或多个消息的所述至少一部分的指纹中的至少一部分进行签名,并且其中,步骤d
‑
ii)包括所述第一网络装置验证从所述SIGS接收的所述一个或多个消息的至少一部分和/或从SIGS接收的所述一个或多个消息的所述至少一部分的指纹中的至少一部分已经使用与包括在所述第二签名的数据项中的公钥相关联的私钥进行了签名。5.根据权利要求1所述的方法,包括使用Web实时连接WebRTC提供所述远程网络访问,其中,所述一个或多个消息至少包括会话描述协议SDP、回答和/或提议,并且所述第一网络地址是交互式连接建立ICE候选。6.根据权利要求5所述的方法,其中,所述数据项是访问令牌、包括所述访问令牌或由所述访问令牌补充,所述访问令牌由所述网络服务提供并且也被所述网络服务签名,以授权和/或认证所述第二网络装置,并且其中,步骤d)包括所述第一网络装置验证所述访问令牌是从所述SIGS接收的所述第二签名的数据项、包括在从所述SIGS接收的所述第二签名的数据项中或补充从所述SIGS接收的所述第二签名的数据项。...
【专利技术属性】
技术研发人员:乔纳斯,
申请(专利权)人:安讯士有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。