安全地接入所通知的服务制造技术

在一个实施例中，一种方法包括：由端点向网络设备发送对关于可用服务的信息的请求；由端点接收来自网络设备的消息，该消息包括与第一服务提供商相关联的信息；由端点确定第一地址是否被受信第三方证实为与第一服务提供商相关联；如果第一地址被受信第三方证实，则端点利用该信息与第一服务提供商通信；以及响应于利用该信息与第一服务提供商通信，端点通过网络设备接收对来自第一服务提供商的服务的接入。

【技术实现步骤摘要】
【国外来华专利技术】
本公开一般地涉及无线通信。
技术介绍
移动计算的增长引起了从各种位置对服务(例如网络服务)的接入。在许多情形中，这样的位置是可公开接入的(例如无线热点)。用户接入服务可能涉及诸如认证信息(例如，用户名和密码)和/或支付信息(例如，银行账号和信用卡信息)之类的敏感信息通过可公开接入的网络的传输。从公共位置接入服务对于多种攻击而言可能是易受攻击的。例如，攻击可能危及在试图接入服务时传输的敏感信息。又例如，攻击可能使得接入服务的节点被危害。攻击者可能使用中间人攻击。因此，在试图从可公开接入的网络接入服务时存在安全性弱点。附图说明图1示出用于安全地接入所通知的服务的示例性系统。图2示出用于安全地接入所通知的服务的示例性方法。图3示出用于安全的接入所通知的服务的另一示例性方法。图4示出示例性计算机系统。具体实施方式 概沭在一个实施例中，一种方法包括由端点(endpoint)向网络设备发送对关于可用服务的信息的请求；由端点接收来自网络设备的消息，该消息包括与第一服务提供商相关联的信息；由端点确定该信息是否被受信第三方(trusted third party)证实为与第一服务提供商相关联；如果第一地址被受信第三方证实，则端点利用该信息与第一服务提供商通信；以及响应于利用该信息与第一服务提供商通信，端点通过网络设备接收对来自第一服务提供商的服务的接入。描述图1示出用于安全地接入所通知的服务的示例性系统100。系统100包括端点110、网络接入设备120、恶意节点(malicious node) 130、网络140、一个或多个服务提供商150以及一个或多个受信第三方160。在特定实施例中，网络接入设备120向端点110提供通过网络140对由服务提供商150提供的服务的接入，并且端点110利用受信第三方160提供的信息来确定是否接入这些服务。这样的服务可以包括辅助对一个或多个特定网络(可以包括但不需要一定包括网络140)的接入或者与这一个或多个特定网络的通信。例如，服务提供商150可以向端点110提供对因特网的接入。恶意节点130可能试图通过向端点110服务来使得端点110向恶意节点130提供信息。在特定实施例中，网络140是自组织网络、内联网、外联网、虚拟私人网络(VPN)、局域网(LAN)、无线LAN(WLAN)、广域网(WAN)、无线WAN(WffAN)、城域网(MAN)、因特网的一部分、公共交换电话网(PSTN)的一部分、蜂窝电话网络或者另一网络140或两个或更多个这样的网络140的组合。网络140可以包括一个或多个网络140。本公开考虑任何合适的网络140。链路170将端点110耦接到网络接入设备120和恶意节点130，并且将网络接入设备120、服务提供商150和受信第三方耦接到网络140。在特定实施例中，一个或多个链路170各自包括一个或多个有线、无线或光学链路。在特定实施例中，一个或多个链路170各自包括自组织网络、内联网、外联网、VPN、LAN、WLAN、WAN、WffAN, MAN、因特网的一部分、PSTN的一部分、蜂窝电话网络或者另一链路140或两个或更多个这样的链路170的组合。链路170可以包括一个或多个链路170。本公开考虑任何合适的链路170。链路170在整个系统100中不需要一定是相同的。一个或多个第一链路170可以在一个或多个方面不同于一个或多个第二链路170。在特定实施例中，端点110使得端点110处的人能够访问服务提供商150提供的服务。作为示例而非为了限制，端点110可以接入由网络接入设备120提供的无线网络，并且服务提供商150可以向网络接入设备120提供对因特网的接入。结果，端点110可以通过网络接入设备120接入由服务提供商150提供的因特网服务。端点110可以是智能电话(或者称手持电话)、个人数字助理(PDA)、平板计算机系统、上网本、膝上型计算机系统、桌面计算机系统、信息亭计算机系统、这些中的两个或更多个的组合或者任何其他合适的端点 110。端点110可以包括通信模块112(C0M112)。作为示例而非为了限制，COMl 12可以包括一个或多个硬件或软件组件或者两个或更多个这样的组件的组合，用于与网络接入设备120、服务提供商150或者受信第三方160通信。C0M112可以是在接收和处理服务公告时启用或者辅助通信、认证或 验证的耦接到端点110的设备。作为示例而非为了限制，C0M112可以处理在端点110处从网络接入设备120接收的服务公告。该服务公告通知了来自服务提供商150的服务。在特定实施例中，服务公告可以源自与网络接入设备120分离并且可通过网络接入设备120访问的设备。C0M112可以使用受信第三方160提供的证书来认证服务提供商150在所接收的服务公告中的身份。如果服务提供商150通过认证，则COMl 12可以使用服务公告中的信息来联系服务提供商150并接入所通知的服务。在特定实施例中，网络接入设备120辅助对网络140的接入。作为示例而非为了限制，网络接入设备120可以直接或者通过另一设备(例如调制解调器)耦接到网络140。网络接入设备120可以提供端点110所接入的无线网络。因此，在该示例中，网络接入设备120可以利用无线网络从网络140向端点110发送信息并且可以从端点110向网络140发送信息。作为示例而非为了限制，网络接入设备120可以包括一个或多个防火墙、路由器、热点、网关、代理、接入点(AP)、集线器、服务器、适配器或者这些中的两个或更多个的组合。本公开考虑任何合适的网络接入设备120。在特定实施例中，网络接入设备120或者网络140可以包括创建诸如非军事区(DMZ)之类的安全性地区或者安全网络的防火墙或者其他硬件或软件组件。在特定实施例中，恶意节点130可能就好像网络接入设备120在向端点110提供服务一样向端点110提供这些服务。作为示例而非为了限制，恶意节点130可能就好像服务是在由服务提供商150提供的一样来通知提供对因特网的接入的服务。恶意节点130可能向端点Iio传送看起来与一个或多个服务提供商150相关联的虚假信息。作为示例而非为了限制，恶意节点130可以向端点110提供看起来是来自服务提供商150的虚假服务宣告。该虚假服务宣告可以包括地址(例如，统一资源定位符(URL)或者其他地址)，以供端点110跟随该地址来接入所虚假地宣告的服务。如果端点110跟随该地址，则恶意节点130可能试图收集来自端点110的敏感信息，例如金融信息。在特定实施例中，如果端点110跟随该地址，则恶意节点130可能试图在端点110上安装恶意软件(例如，病毒、特洛伊木马或者间谍软件)。恶意节点130可以是智能电话、PDA、平板计算机系统、上网本、膝上型计算机系统、桌面计算机系统或者信息亭计算机系统或者这些中的两个或更多个的组合。本公开考虑任何合适的恶意节点。在特定实施例中，服务提供商150通过网络140提供服务。服务提供商150可以提供的示例性服务包括网络接入服务、因特网接入服务、企业网络服务、媒体访问服务和虚拟私人网络(VPN)服务。服务提供商150可以包括一个或多个防火墙、路由器、热点、网关、代理、接入点、集线器、服务器、适配器或者其他用本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】2010.08.24 US 12/862,1701.一种方法，包括 由端点向网络设备发送对关于可用服务的信息的请求； 由所述端点接收来自所述网络设备的消息，该消息包括与第一服务提供商相关联的信息； 由所述端点确定所述信息是否被受信第三方证实为与所述第一服务提供商相关联； 如果所述信息被所述受信第三方证实，则所述端点与所述第一服务提供商通信；以及响应于与所述第一服务提供商通信，所述端点通过所述网络设备接收对来自所述第一服务提供商的服务的接入。2.如权利要求1所述的方法，其中，所述消息包括第一服务宣告，所述第一服务宣告包括第一服务提供商标识符、第一地址、第一服务描述和第一服务提供商签名。3.如权利要求1所述的方法，其中，确定所述信息是否被受信第三方证实包括 由所述端点利用第一地址来检索与所述受信第三方相关联的受信证书，所述消息包括所述第一地址，所述受信证书包括受信第三方密钥； 由所述端点利用所述受信第三方密胡来认证服务提供商密钥，所述消息包括所述服务提供商密钥；以及 响应于利用所述受信第三方密钥认证了所述服务提供商密钥，验证出与所述第一地址相关联的第一服务提供商标识符是利用所述服务提供商密钥创建的。4.如权利要求1所述的方法，其中 所述受 目第二方是第一受[目第二方； 所述消息包括与所述第一服务提供商相关联的第一服务提供商标识符、与第二服务提供商相关联的信息以及第二服务提供商标识符； 所述端点至少通过以下步骤来确定所述与第一服务提供商相关联的信息是否被受信第三方证实 确定所述第一服务提供商标识符是否与由所述第一受信第三方证实的第一受信标识符相关联；以及 试图验证所述第一受信标识符；并且 所述方法还包括 由所述端点通过以下步骤来确定所述与第二服务提供商相关联的信息是否由第二受信第三方证实 确定所述第二服务提供商标识符是否通过由所述第二受信第三方证实的第二受信标识符而被证实；以及 试图验证所述第二受信标识符； 如果所述与第一服务提供商相关联的信息被所述第一受信第三方证实并且所述与第二服务提供商相关联的信息由所述第二受信第三方证实，则由所述端点向用户呈现所述第一和第二服务提供商标识符；以及 响应于向用户呈现所述第一和第二服务提供商标识符，由所述端点接收对所述第一服务提供商或者所述第二服务提供商的用户选择。5.如权利要求4所述的方法，其中 所述第一受信标识符和所述第二受信标识符是相同的；并且所述第一受信第三方和所述第二受信第三方是相同的。6.如权利要求1所述的方法，其中 所述消息包括与第一地址相关联的第一服务提供商标识符，所述第一服务提供商标识符包括图标； 所述消息包括所述受信第三方的受信标识符，所述受信标识符包括标志型证书；并且 所述受信第三方包括证书机构。7.如权利要求1所述的方法，其中，所述端点与所述第一服务提供商通信包括 从所述端点向所述第一服务提供商提供所请求的信息，所请求的信息包括支付信息； 接收用于对所述服务的接入的凭证；以及 接收用于对所述服务的接入的配置信息。8.如权利要求1所述的方法，还包括 由所述端点接收来自所述网络设备的第二消息，所述第二消息包括服务宣告和服务公告商标识符； 确定所述服务公告商标识符是否被认证为属于服务公告商；以及如果所述服务公告商标识符被认证为属于所述服务公告商，则由所述端点接入由所述服务公告商提供的第二服务。9.如权利要求1所述的方法，还包括 由所述端点接收来自所述网络设备的第二消息，所述第二消息包括服务宣告和服务提供商证书，所述服务宣告包括地址，所述服务提供商证书包括第二密钥； 由所述端点确定所述服务提供商证书是否被第二受信第三方证实； 如果所述服务提供商证书被所述第二受信第三方证实，则由所述端点确定所述服务宣告是否被用所述第二密钥签名；以及 如果所述服务宣告己被用所述第二密钥签名，则由所述端点利用所述地址接入第二服务。10.如权利要求1所述的方法，其中 所述消息包括与所述第一服务提供商相关联的地址；并且 所述端点与所述第一服务提供商通信包括利用所述地址通过以下步骤来通信 由所述端点联系与所述地址相关联的服务器； 在所述端点处接收来自所述服务器的认证信息； 由所述端点来验证所述认证信息；以及 响应于验证出所述认证信息与所述第一地址相一致，从所述端点向所述服务器发送所请求的信息。11.一种计算机可读的非暂态存储介质，其包含在被执行时可用于执行以下操作的软件 向网络设备发送对关于可用服务的信息的请求； 接收来自所述网络设各的消息，该消息包括与第一服务提供商相关联的信息； 确定所述信息是否被受信第三方证实为与所述第一服务提供商相关联； 如果所述信息...

【专利技术属性】
技术研发人员：约瑟夫·A·萨洛韦，大卫·谢尔登·斯蒂芬森，南希·卡姆温恩特，切廷·伊尔索，
申请(专利权)人：思科技术公司，
类型：
国别省市：