檢測可疑無線接入點的制作方法
【專利摘要】根據(jù)本發(fā)明的各個方案��,提供了用于檢測通信網(wǎng)絡中的可疑無線接入點的方法和設備���,所述通信網(wǎng)絡包括向客戶端設備(106)�����、(112)提供接入服務的多個無線接入點(110)��、(114)�����。從多個客戶端設備收集與無線接入點相關聯(lián)的身份信息(106)�����、(112)���;(A1)。從客戶端接收聲譽請求(A2)����,所述請求包括可用無線接入點的身份信息(A3)。將接收到的身份信息與所收集的身份信息進行比較(A4)����,以確定可用無線接入點的信任指示(A5)。向客戶端設備發(fā)送可用無線接入點的信任指示(A6)�����。無線接入點可以包括蜂窩無線接入點或基站、無線接入點��、Wi-Fi接入點或毫微微小區(qū)接入點�����。
【專利說明】檢測可疑無線接入點
【技術領域】
[0001]本發(fā)明涉及用于確定為客戶端設備提供接入服務的無線接入點的身份的方法和設備���。具體地��,本發(fā)明涉及用于執(zhí)行可疑無線接入點檢測的方法和設備�����。
【背景技術】
[0002]例如黑客的罪犯熱衷于利用無線接入點�����,使得他們可以惡意地從與該無線接入點連接的客戶端設備竊取敏感信息或對這些客戶端設備實施詐騙���。一些利用無線接入點的方式是假扮為無線接入點,并攻擊與“假冒的”無線接入點連接的客戶端設備�����。罪犯所使用的對客戶端設備的一些最常見的攻擊是所謂的“phishing(網(wǎng)絡釣魚)”或“man-1n-the-middle (中間人)”攻擊。
[0003]客戶端設備可包括或表示用于無線通信的任何設備���?��?稍诒景l(fā)明的特定實施例中使用的客戶端設備的示例是無線設備(例如移動電話����、終端��、智能電話)�、便攜式計算設備(例如膝上型設備�、手持設備、平板設備、上網(wǎng)本�����、計算機���、個人數(shù)字助理)以及可以無線地連接到通信網(wǎng)絡的其他設備。
[0004]無線接入點可以包括或表示用于將客戶端設備無線地連接到通信網(wǎng)絡并為客戶端設備提供接入服務的任何設備����。可在本發(fā)明的特定實施例中使用的無線接入點的示例是無線設備����,例如,無線局域網(wǎng)無線接入點���、W1-Fi接入點�����、無線接入點����、無線電基站�、毫微微小區(qū)基站���、蜂窩或移動基站��、或者基于第二代、第三代、第四代(2G / 3G / 4G)及以上的移動技術或標準(如全球移動通信系統(tǒng)(GSM)��、CDMA-2000�����、通用移動電信系統(tǒng)(UMTS)��、全球微波接入互操作性(WiMAX)、長期演進(LTE)��、高級LTE)的任何其他基站和無線接入點。
[0005]網(wǎng)絡釣魚攻擊通常涉及“攻擊者”通過假扮通信網(wǎng)絡中的可信賴實體(如無線接入點,例如蜂窩基站)來嘗試從客戶端設備的用戶獲取敏感信息�����,例如,用戶名��、密碼、信用卡詳情�����。這種可信賴實體可以是移動電信網(wǎng)絡的蜂窩基站�����,或者甚至是無線局域網(wǎng)的已知W1-Fi接入點�����。在任一情況下��,攻擊者都可以使用其自身的無線接入點(例如�����,流氓的或“假冒”的無線接入點)來假扮為合法的無線接入點����?�?蛻舳嗽O備的用戶在連接到無線接入點時被愚弄將其客戶端設備連接到“假冒”無線接入點而不是可信賴或合法的無線接入點,并因此攻擊者可以獲得對敏感信息的訪問權����。
[0006]中間人攻擊是一種竊聽形式�����,其中���,“攻擊者”與用戶的客戶端設備進行獨立連接����,并擔當客戶端設備與可信賴實體(例如無線接入點或設置是通信網(wǎng)絡上的另一客戶端設備)之間的中繼���。攻擊者可在然后控制或竊聽通信網(wǎng)絡上的用戶通信會話�。在這些攻擊中,攻擊者必須能夠攔截進出客戶端設備的所有消息����,并且可以將新的假冒消息注入到通信會話中�。當攻擊者在未加密無線接入點的接收范圍中時����,這可能是特別簡單明了的���。
[0007]可疑無線接入點可包括或表示具有被認為(但不限于)是以下聲譽的任何無線接入點:未知���、可疑、不可信、不可信賴、黑名單��、潛在流氓或是流氓��。
[0008]在另一示例中,當移動電話與無線接入點(例如�����,移動運營商的基站)連接時���,從移動運營商的網(wǎng)絡取得認證碼�。使用認證碼來允許建立安全的通信會話�����。然而�,移動電話的用戶通常不知道任何移動運營商基站的身份��。他們單純地相信移動電話連接到的基站是其他們的移動運營商���。黑客可以使用他們自身的基站����,并假扮為合法的基站�,使得移動電話的用戶不知情地與黑客的基站(其擔當移動運營商和移動電話之間的中繼)進行連接。這將允許黑客竊聽在移動電話和網(wǎng)絡運營商之間傳遞的分組��,或甚至獲得對移動電話的根訪問權。他們還可能取得用于保護通信會話的安全密鑰��,這將允許黑客偵聽其他人的移動電話��,或使得移動電話以其名義進行呼叫��,并訪問其語音郵件��。毫微微小區(qū)基站變得日益流行���,幾乎所有人都可以建造在“網(wǎng)絡釣魚”��、“中間人”或任何其他惡意攻擊中用來對抗移動運營商的訂戶的便宜的呼叫攔截設備�。
[0009]通常���,客戶端設備(例如��,移動電話)簡單地在設備屏幕上示出移動運營商名稱�。這僅向用戶通知他們連接到移動運營商網(wǎng)絡����,而沒有更多信息��。不存在與他們正在使用來訪問移動運營商網(wǎng)絡的基站的可信賴度有關的指示����。該基站實際上可能是“假冒的”無線接入點��,正被用來執(zhí)行“中間人”攻擊����。其他客戶端設備(例如�,膝上型設備)可以執(zhí)行網(wǎng)絡連接應用,以協(xié)助將客戶端設備無線地連接到咖啡館或機場中的公共W1-Fi接入點����。這種應用通常可向客戶端設備的用戶提供與連接到公共W1-Fi接入點的危險有關的一般性警告����,然而在引導用戶決定W1-Fi接入點是否可信賴方面幾乎沒有提供其他東西。
[0010]如上所述�����,流氓的或“假冒的”無線接入點對于無線地連接到通信網(wǎng)絡的客戶端設備而言是一個嚴重問題����。雖然存在著對在公司基礎設施中檢測可疑無線電接入點的問題的眾多解決方案�,對于在家庭�����、咖啡館�、機場等中檢測可疑或流氓無線接入點的問題,不存在公開已知的解決方案���,在這些地點���,客戶端設備的用戶可能不知情地連接到無線接入點并受到網(wǎng)絡釣魚或目標中間人攻擊的惡意攻擊。
【發(fā)明內(nèi)容】
[0011]本發(fā)明的目標是降低用戶及其客戶端設備暴露于可疑無線接入點的風險��,并避免用戶不知情地將其客戶端設備連接到可疑無線接入點�,特別是流氓無線接入點。本發(fā)明提供了用于執(zhí)行無線接入點檢測的方法和設備�,該方法和設備最小化用戶連接到可疑無線接入點的概率,這進而最小化成為流氓實體的攻擊目標的概率����。
[0012]根據(jù)本發(fā)明的第一方案,提供了用于檢測通信網(wǎng)絡中的可疑無線接入點的方法��,所述通信網(wǎng)絡包括向客戶端設備提供接入服務的多個無線接入點。該方法包括:從多個客戶端設備收集與無線接入點相關聯(lián)的身份信息�,以及從客戶端接收聲譽請求,所述請求包括可用無線接入點的身份信息�。將接收到的身份信息與所收集的身份信息進行比較,以基于所述比較來確定可用無線接入點的信任指示��,以及向客戶端設備發(fā)送信任指示����。
[0013]作為選項���,本發(fā)明還包括:維護所收集的身份信息作為身份信息集合的記錄��,每個身份信息集合與無線接入點中的一個無線接入點相關聯(lián)����。此外����,方法包括試探地確定與每個身份信息集合相關聯(lián)的信任指示。信任指示被設置為信任等級�����,包括可信、未知或不可信至少之一�。可選地�����,進行比較的步驟還包括:將接收到的身份信息與和每個無線接入點相關聯(lián)的身份信息集合進行比較��,以及根據(jù)對應身份信息集合的信任指示來確定可用無線接入點的信任指示�。
[0014]無線接入點包括由以下各項組成的組中的至少一種類型的無線接入點:蜂窩無線接入點或基站(例如,GSM��、LTE����、2G / 3G / 4G或以上的接入點)、W1-Fi接入點���、以及用于將客戶端設備連接到通信網(wǎng)絡的任何其他無線接入點�。
[0015]備選地或附加地��,本發(fā)明還包括:維護可信身份信息的記錄���,其中��,當確定身份信息在一時段是穩(wěn)定的時��,將可信信息添加到記錄����。優(yōu)選地,比較還包括:將接收到的身份信息與所述記錄中存儲的身份信息進行比較�,以確定信任指示?��?蛇x地�����,維護可信信息的記錄包括:在與可信信息的一部分相關聯(lián)的身份信息被確定為在第二時段不穩(wěn)定時,將可信信息的所述一部分從所述記錄中移除����。優(yōu)選地,在接收到的身份信息與所述記錄中存儲的可信信息實質上匹配時��,將可用無線接入點的信譽定義為可信��。
[0016]方法可選地包括:在與接收到的身份信息相關聯(lián)的重要身份信息實質上不同于與所述記錄中存儲的信息相關聯(lián)的對應重要身份信息時�,將可用無線接入點的信任指示確定或定義為不可信或可疑�����。如果與每個無線接入點相關聯(lián)的身份信息的片或部分可被用于充分標識無線接入點��,這些片可被認為是重要的����。重要身份信息可以包括無線接入點的身份代碼����、無線接入點的地址或小區(qū)標識符、無線接入點的硬件標識符��、和/或無線接入點的標識符�����、無線接入點使用的頻率���。備選地或附加地�,重要身份信息可以包括以下至少之一:無線接入點的基站身份代碼���、無線接入點的公共因特網(wǎng)協(xié)議(IP)地址����、無線接入點的媒體訪問控制(MAC)地址、無線接入點的服務集標識符(SSID)�����、無線接入點的小區(qū)標識符��、和/或無線接入點的基站標識符�。
[0017]可選地,方法包括:從客戶端設備之一接收將可用無線接入點指示為不可信或可疑的報告�����,以及將可用無線接入點的信任指示定義為不可信或可疑��。此外���,維護可信身份信息的記錄包括:從所述記錄移除可信信息的與可用無線接入點的身份信息相關聯(lián)的部分。方法還可以可選地包括:向與可用無線接入點相關聯(lián)的客戶端設備發(fā)送可用無線接入點的信任或聲譽指示�����。
[0018]作為選項,方法包括:通過與包括無線接入點的通信網(wǎng)絡不同的第二通信網(wǎng)絡來接收聲譽請求中的一個或更多個�����。優(yōu)選地�����,方法包括使用接收到的與可用無線接入點相關聯(lián)的身份信息來更新所收集的身份信息��。
[0019]根據(jù)本發(fā)明的第二方案�,提供了客戶端設備用來檢測可疑無線接入點的方法。方法包括:檢測向客戶端設備提供接入服務的可用無線接入點���,以及向聲譽系統(tǒng)發(fā)送聲譽請求���,所述聲譽請求包括與可用無線接入點相關聯(lián)的身份信息。從聲譽系統(tǒng)接收與可用無線接入點相關聯(lián)的信任指示���,當信任或聲譽指示將可用無線接入點指示為可信時�,與可用無線接入點連接��,或維持與可用無線接入點的連接�����,和/或當信任或聲譽指示將可用無線接入點指示為可疑時,從可用無線接入點斷開和/或檢測另一可用無線接入點��。
[0020]作為選項�,方法包括:通過與包括可用無線接入點的通信網(wǎng)絡不同的第二通信網(wǎng)絡來發(fā)送聲譽請求。此外�����,方法可以包括以下步驟:在連接到可用無線接入點時檢測對客戶端設備的惡意攻擊�����,以及作為響應���,向聲譽系統(tǒng)發(fā)送將可用無線接入點報告為可疑的其他信息�����?��?蛇x地,方法包括:從聲譽系統(tǒng)接收將可用無線接入點指示為可疑的信譽信息��,以及作為響應�,通知客戶端設備的用戶可用無線接入點是可疑的,或者從可用無線接入點斷開����。
[0021]優(yōu)選地,無線接入點或可用無線接入點的身份信息包括由以下各項組成的組中的至少一個無線接入點參數(shù):無線接入點的公共地址���;無線接入點的硬件標識符或地址����、無線接入點的標識符�����、無線接入點身份代碼或基站身份代碼���、小區(qū)標識符�、通信網(wǎng)絡運營商身份或移動運營商身份���、無線接入點的內(nèi)部因特網(wǎng)協(xié)議“IP”地址或地址范圍�����、無線接入點的公共IP地址�、針對無線接入點的公共IP地址的連接類型、無線接入點類型�、無線接入點的服務集標識符“SSID”、客戶端設備的物理位置�����、無線接入點的無線信號強度�、無線接入點的無線網(wǎng)絡類型、無線接入點的安全設置��、對通過無線接入點發(fā)送聲譽請求的能力進行表示的數(shù)據(jù)���、對在無線接入點上正確解析域名服務器查詢的能力進行表示的數(shù)據(jù)���、對無線接入點的身份或簽名進行表示的信息或數(shù)據(jù)、以及對客戶端設備可用的與無線接入點有關的任何其他可訪問標識信息�。
[0022]根據(jù)本發(fā)明的又一方案,提供了包括一個或更多個服務器的聲譽系統(tǒng)以及客戶端設備��,所述聲譽系統(tǒng)被布置為檢測通信網(wǎng)絡中的可疑無線接入點���,所述通信網(wǎng)絡包括向客戶端設備提供接入服務的多個無線接入點����,以及所述客戶端設備被布置為使用聲譽系統(tǒng)來檢測通信網(wǎng)絡中的可疑無線接入點�。
[0023]根據(jù)本發(fā)明的又一方案,提供了包括計算機程序指令的計算機程序����,當在聲譽系統(tǒng)的一個或更多個處理器上執(zhí)行該計算機程序指令時,該計算機程序指令執(zhí)行所述的檢測可疑無線接入點的方法�����。
[0024]根據(jù)本發(fā)明的另一方案�,提供了包括存儲其上的計算機程序指令的計算機可讀介質,當在客戶端設備的一個或更多個處理器上執(zhí)行該計算機程序指令時��,該計算機程序指令執(zhí)行所述的檢測可疑無線接入點的方法���。
【專利附圖】
【附圖說明】
[0025]圖1示意性地示出了根據(jù)本發(fā)明的實施例的通信系統(tǒng)����;
[0026]圖2是示出根據(jù)本發(fā)明的實施例�,在服務器處執(zhí)行的過程的流程圖;
[0027]圖3是示出根據(jù)本發(fā)明的另一實施例�,在服務器處執(zhí)行的過程的另一流程圖�����;以及
[0028]圖4是示出根據(jù)本發(fā)明的實施例��,在客戶端設備處執(zhí)行的過程的流程圖��。
【具體實施方式】
[0029]為了至少部分克服上述問題和難題����,本文中提出通過可用于客戶端設備的外部無線接入點特性來標識向客戶端設備提供接入服務的無線接入點���。具體地���,可以通過積累或從聲譽系統(tǒng)中的多個客戶端設備收集無線接入點身份信息或聲譽信息來減輕這些問題和難題,聲譽系統(tǒng)可包括一個或更多個聯(lián)網(wǎng)的后端(backend)服務器���。該系統(tǒng)可以通過向客戶端設備發(fā)送與可用無線接入點相關聯(lián)的信任或聲譽指示信息來對客戶端設備關于可用無線接入點的聲譽請求進行響應����。信任或聲譽指示可以包括或表示表示無線接入點的可信賴度或聲譽狀態(tài)的數(shù)據(jù)��,或者與無線接入點相關聯(lián)的信息。
[0030]信任或聲譽指示可以包括但不限于對將無線接入點指示為可信���、未知�、可疑����、不可信、黑名單�����、流氓或潛在流氓的各種信任等級進行表示的數(shù)據(jù)����。雖然可以將信任或聲譽指示設置為可信�����、未知或不可信�,要意識到:信任或聲譽指示可以表示對各種信任等級或信任粒度進行指示的離散或連續(xù)值或概率的范圍。
[0031]可以將用于標識無線接入點的身份信息(也稱為無線接入點身份信息)用來跟蹤無線接入點的行為����,以及確定信任指示或定義無線接入點的聲譽(例如,可信、未知����、不可信、可疑等)�����。身份信息可以包括可用于客戶端設備確定無線接入點的身份和行為的任何信息�。例如,響應于來自客戶端沒備的查詢或連接請求����,無線接入點可以廣播其身份信息(例如,在GSM中�����,向范圍中的所有移動電話廣播基站標識符代碼)或發(fā)送其身份信息�。客戶端設備還可以根據(jù)無線接入點的存在來檢測一些身份信息��,例如���,廣播頻率��、控制和業(yè)務信道���。來自無線接入點的可用于客戶端設備的身份信息可以包括但不限于以下無線接入點參數(shù)或特性中的一個或更多個:
[0032].無線接入點內(nèi)部IP地址范圍�;
[0033].無線接入點的小區(qū)ID或小區(qū)標識符��;
[0034].無線接入點的身份代碼(例如在GSM中��,使用基站身份代碼來唯一地標識基站)���;
[0035]?通信網(wǎng)絡運營商身份(例如,移動運營商身份)�;
[0036].無線接入點憑借其在公共通信網(wǎng)絡(例如�����,因特網(wǎng))上可見的公共IP地址�。當其經(jīng)由無線接入點通過公共通信網(wǎng)絡來發(fā)送時���,可以根據(jù)聲譽請求的IP地址獲得����;
[0037].針對公共IP地址的連接類型(例如���,固定的�、DSL、3G���、UMTS���、LTE, GSM或其他類型的無線接入點等);
[0038].無線接入點類型(例如�,固定的、ad-hoc����、移動的);
[0039].無線接入點的硬件標識符���;
`[0040].無線接入點的基站標識符��;
[0041].無線接入點的基站地址�;
[0042].無線接入點服務集標識符(SSID)和媒體訪問控制地址(MAC地址);
[0043].客戶端設備的物理位置����;
[0044].無線接入點物理位置(例如,如果基站或無線接入點到處移動�����,則可被認為是可疑的);
[0045].無線接入點的無線信號強度(例如��,針對移動電話的基站信號強度�;或者W1-Fi接入點的W1-Fi信號強度);
[0046].無線接入點的網(wǎng)絡類型(例如�,GSM網(wǎng)絡、LTE網(wǎng)絡或W1-Fi網(wǎng)絡類型)����;
[0047]?無線接入點的安全設置(例如,是否使用加密����,使用什么類型的加密或密碼術);
[0048].通過無線接入點發(fā)送聲譽請求的能力�;
[0049].在無線接入點上解析域名服務器(DNS)查詢的能力��;
[0050].在無線接入點上正確解析域名服務器(DNS)查詢的能力,眾所周知的域的地址被解析到該無線接入點��;
[0051].無線接入點是否在頁面中提供某種日志(例如機場),和標識網(wǎng)頁內(nèi)容的簽名(標題、圖像的數(shù)目、表格的數(shù)目、表格中的字段、關鍵字(用戶名、信用卡等));
[0052].無線接入點的年齡(根據(jù)第一客戶端報告);
[0053].無線接入點的連接歷史(成功(hit)次數(shù),每時間間隔的成功次數(shù))���;
[0054]?客戶端設備看到哪些其他SSID或基站ID (距離接近的兩個無線接入點具有相同ID是不尋常的)�。如果用戶在之前僅存在一個具有給定SSID的無線接入點而現(xiàn)在存在兩個具有給定SSID的無線接入點的區(qū)域中請求聲譽,則發(fā)出警報;
[0055]?表示無線接入點的身份或簽名的信息或數(shù)據(jù)(例如,組合起來實際上是唯一標識符的信息集合)��;[0056].無線接入點使用的載波頻率或信道頻率(例如��,業(yè)務信道頻率����、控制信道頻率、廣播信道頻率)�;
[0057].無線接入點使用的物理或邏輯信道集合(例如,業(yè)務信道�����、控制信道����、廣播信道);
[0058].客戶端設備可用于確定無線接入點的身份和行為的任何其他信息等��。
[0059]圖1示意性地示出了通信系統(tǒng)100�����,通信系統(tǒng)100包括與客戶端設備106通信的公共通信網(wǎng)絡102 (例如�����,因特網(wǎng))和第二通信網(wǎng)絡104 (例如�,3G移動網(wǎng)絡)、聲譽系統(tǒng)108��、用于向客戶端設備106或112 (包括多個其他客戶端設備112)提供接入服務的可用無線接入點110�����、以及用于向客戶端設備106或112提供接入服務的多個其他無線接入點114�。無線接入點110和114向客戶端設備106和112提供對公共通信網(wǎng)絡102的訪問服務。無線接入點110和114可以包括但不限于由以下各項組成的組中的至少一種類型的無線接入點:蜂窩無線接入點(例如����,GSM、LTE���、2G / 3G / 4G或以上的接入點)��、基站�、W1-Fi接入點、以及用于將客戶端設備連接到通信網(wǎng)絡的任何其他無線接入點�。
[0060]聲譽系統(tǒng)108包括一個或更多個服務器120,每個服務器120包括彼此連接的發(fā)射機/接收機單元112���、處理器124和存儲器單元或存儲器126����。發(fā)射機/接收機單元112可被配置為通過通信網(wǎng)絡102或第二通信網(wǎng)絡104與多個客戶端設備106和112通信�。存儲器126可被用在收集和存儲數(shù)據(jù)及應用中,以及處理器124可以執(zhí)行應用����,包括用于檢測通信網(wǎng)絡102 (其包括可用無線接入點110和客戶端設備106)中的可疑無線接入點的應用或過程。該一個或更多個服務器120彼此通信�����。聲譽系統(tǒng)108還可以包括用于收集和/或存儲身份信息的數(shù)據(jù)庫128或具有對該數(shù)據(jù)庫128的訪問權��。數(shù)據(jù)庫128還可以包括維護可信信息的記錄或與無線接入點相關聯(lián)的身份信息集合。聲譽系統(tǒng)108還可以包括用于存儲��、處理和訪問所述一個或更多個服務器120���、應用或處理器122所需的數(shù)據(jù)或信息的其他處理資源(例如,神經(jīng)網(wǎng)絡)或存儲介質�����。
[0061]例如����,一個或更多個服務器120可被布置為用于檢測通信網(wǎng)絡102中的可疑無線接入點,其中����,服務器120可包括接收機122、發(fā)射機122����、存儲器126、以及處理邏輯或一個或更多個處理器124���?�?梢詫⑻幚磉壿?24連接到接收機122�,連接到發(fā)射機122,以及連接到存儲器126�。接收機122和處理邏輯124被配置為從多個客戶端設備106和/或112收集與無線接入點110和/或114相關聯(lián)的身份信息。接收機122還被配置為接收來自客戶端設備106的聲譽請求���,該請求包括可用無線接入點110的身份信息�。處理邏輯124包括用于將接收到的身份信息與所收集的身份信息進行比較的比較邏輯��,以及用于基于該比較來確定可用無線接入點110的信任指示的確定邏輯�����。發(fā)射機122被配置為向客戶端設備106發(fā)送信任指示�。
[0062]聲譽系統(tǒng)108包括所述的一個或更多個服務器,該一個或更多個服務器可以與用于存儲和處理所收集的身份信息的數(shù)據(jù)庫128通信�����,該所收集的身份信息被用在確定與無線接入點110和/或114中的每一個相關聯(lián)的信任指示中��。雖然聲譽系統(tǒng)108被示出為一個或更多個服務器120 (可以是后端服務器)����,要意識到的是�����,聲譽系統(tǒng)108可以包含執(zhí)行身份信息的收集和維護并處理用于檢測通信網(wǎng)絡102中的可疑無線接入點的身份信息的包括存儲器��、處理、以及通信硬件和/或軟件在內(nèi)的任何計算系統(tǒng)�����。
[0063]客戶端設備106還包括彼此連接的發(fā)射機/接收機單元130�、處理器132和存儲器134。發(fā)射機/接收機單元130可被配置為與該一個或更多個無線接入點110和114通信���,以獲得對通信網(wǎng)絡102的接入�����,或被配置為通過通信網(wǎng)絡102和/或第二通信網(wǎng)絡104與聲譽系統(tǒng)108通信���。存儲單元或存儲器134可被用在存儲數(shù)據(jù)和應用中,以及處理器可以執(zhí)行應用�,包括用于檢測通信網(wǎng)絡102中的可疑無線接入點的應用或過程。
[0064]具體地�,客戶端設備106可被布置為使用接收機130、發(fā)射機130、存儲器134和處理邏輯或處理器132檢測通信網(wǎng)絡102中的可疑無線接入點���,其中����,處理器132連接到接收機130����,連接到發(fā)射機130,以及連接到存儲器134�。接收機130和處理邏輯132被配置為檢測可用無線接入點110。發(fā)射機130被配置為向聲譽系統(tǒng)108發(fā)送聲譽請求����,聲譽請求包括與可用無線接入點110相關聯(lián)的身份信息。接收機130還被配置為從聲譽系統(tǒng)108接收與可用無線接入點110相關聯(lián)的信任指示�。處理器邏輯132被配置為:在信任指示將可用無線接入點指示為可信時,與可用無線接入點110相連接�����,或維持與可用無線接入點110的連接�。處理器邏輯132還被配置為:在信任指示指示可用無線接入點是可疑的或不可信的時,將客戶端設備106從可用無線接入點110斷開�����,和/或檢測另一可用無線接入點110或 114。
[0065]聲譽系統(tǒng)108積累或收集從多個客戶端設備106和/或112接收到的無線接入點身份信息���??梢栽谝粋€或更多個服務器120的存儲器126或數(shù)據(jù)庫/神經(jīng)網(wǎng)絡128中存儲或處理所收集的身份信息��。具體地���,聲譽系統(tǒng)108執(zhí)行從多個客戶端設備106和112收集與無線接入點110和114相關聯(lián)的身份信息?����?梢杂煽蛻舳嗽O備106和112向聲譽系統(tǒng)108報告與每個無線接入點110和114相關聯(lián)的身份信息��,或者可以將該身份信息包括在來自客戶端設備106和112的聲譽請求中�。
[0066]在從客戶端設備106接收到與可用無線接入點110有關的聲譽請求(包括與可用無線接入點110相關聯(lián)的身份信息的聲譽請求)時,聲譽系統(tǒng)108通過將接收到的身份信息與所收集的身份信息進行比較來確定可用無線接入點110的信任指示�。接收到的身份與所收集的身份信息的比較可由指令、規(guī)則和/或試探的集合來定義��,以確定與可用無線接入點110相關聯(lián)的信任指示是否可信���。具體地���,可以通過來自離散或連續(xù)值的范圍的數(shù)據(jù)來表示信任指示�,該離散或連續(xù)值定義了可用無線接入點的可信賴度���。例如�����,信任指示可被設置為表示信任等級(例如�,可信�����、未知或不可信)的數(shù)據(jù)����。
[0067]比較可簡單地基于接收到的身份信息與所收集的身份信息的匹配或至少部分匹配。備選地����,所收集的身份信息可被布置為定義與可信、未知和/或不可信身份信息相關聯(lián)的身份信息的簽名集合�。比較可以包括:利用簽名來試探地處理接收到的身份信息��,以查找用于檢測接收到的身份信息是涉及可信無線接入點還是涉及可疑無線接入點(例如�����,未知的或是不可信的)的特定屬性和特征��。備選地�,或除上述處理之外����,可以基于神經(jīng)網(wǎng)絡處理來執(zhí)行比較,其中����,向神經(jīng)網(wǎng)絡(其可能已被基于規(guī)則����、試探或時間約束對所收集的身份信息進行了訓練)輸入接收到的身份信息,并輸出與接收到的身份信息是涉及可信無線接入點還是涉及可疑無線接入點有關的信任評估或指示來作為結果�。
[0068]將接收到的身份信息與所收集的身份信息進行比較可包括處理或使用試探規(guī)則的集合來基于接收到的身份信息和所收集的身份信息確定可用無線接入點110是否是可信的。試探規(guī)則可以基于在惡意攻擊(例如�����,網(wǎng)絡釣魚或中間人攻擊)中使用的策略,或一般性地單純基于無線接入點的行為�����。試探規(guī)則被用于分析身份信息�����,以確定無線接入點110和/或114的可能行為��,并標識信任指示或定義每個無線接入點114或可用無線接入點110的聲譽���。試探規(guī)則基于上述身份信息���,并被應用到所收集的身份信息和接收到的身份信息。
[0069]例如�,可以將試探規(guī)則設置為:如果無線接入點被很多用戶使用并具有周知的因特網(wǎng)協(xié)議地址(例如,無線接入點已具有1000個用戶�,并具有與較大或周知的因特網(wǎng)服務提供商相關聯(lián)的IP),則將無線接入點的信任或聲譽指示確定為可信���。在存在與無線接入點相關聯(lián)的所收集的身份信息的較大集合時���,可以標識具有較大數(shù)目用戶的無線接入點�����。此外�����,另一試探規(guī)則可以是:如果無線接入點被標識為要路由通過最終用戶數(shù)字訂戶線路�����,將無線接入點的信任或聲譽指示設置為不可信���,而與用戶的數(shù)目或身份信息集合的大小無關。
[0070]試探規(guī)則的另一示例可被設置為確定通過無線接入點發(fā)送聲譽請求的能力���。如果直到連接到無線接入點110或114的客戶端設備106或112的用戶給出其信用卡詳情之后,無線接入點正常地才允許路由業(yè)務��,但在然后如果無線接入點110或114突然開始傳遞業(yè)務而不要求信用卡信息�����,則可以將其認為是不可信的或是流氓的�。
[0071]可以設置另一規(guī)則來確定在無線接入點上正確解析域名服務器(DNS)查詢的能力�����,眾所周知的域的地址被解析到該無線接入點�。在地址來自眾所周知的域(例如���,bankofamerica.com或facebook.com)時���,并且如果這些地址沒有正確解析到所期望的眾所周知的域,那么無線接入點可能正在執(zhí)行DNS電子欺騙�����,并且可能的中間人攻擊可能正在進行中���,因此可以認為該無線接入點是流氓的或不可信的���。這是DNS “中毒”的示例,其中�����,無線接入點劫持了眾所周知的域的DNS地址或地址。已知機場WLAN使用該技術來顯示其著陸頁面�����,然而這些地址通常是眾所周知的����,并因此可以將機場WLAN無線接入點標記為可信。下面通過示例的方式描述用于確定無線接入點114或可用無線接入點110的信任指示的其他試探規(guī)則�����。
[0072]除了試探規(guī)則之外���,客戶端設備106可以報告無線接入點上的可疑行為��,例如�����,銀行網(wǎng)站的SSL證書未能成功驗證����,這可指示SSL中間人攻擊����。備選地,網(wǎng)站的HTTPS地址可被自動導向至不安全的HTTP地址����,這是另一已知的中間人攻擊策略。在該情況下�,客戶端設備106可以發(fā)送報告,該報告包括與無線接入點相關聯(lián)的身份信息并包括無線接入點可能不可信或是流氓的報告��。
[0073]聲譽系統(tǒng)108可以通過將所收集的身份信息組織或布置到身份信息集合中�����,處理所收集的身份信息�,該身份信息集合可由數(shù)據(jù)庫128表示,或者可以存儲在一個或更多個服務器120的存儲器126中�。可以將每個身份信息集合與所標識的無線接入點相關聯(lián)��。如果與每個無線接入點相關聯(lián)的身份信息的片或部分可被用于充分標識無線接入點�,這些片可被認為是重要的。對于每個無線接入點����,可以對所收集的身份信息進行試探分析�����,并且可以將身份信息集合與無線接入點相關聯(lián)�����,使得每個身份信息集合內(nèi)的身份信息具有彼此對應的�����、至少部分地或完全匹配的最重要的身份信息片(例如�����,小區(qū)ID�����、基站ID��、硬件標識符或地址�����、SSID����、位置信息和/或MAC地址)���。對于與無線接入點相關聯(lián)的標識信息的每個集合����,至少一個或兩個重要的身份信息片應該對應或匹配����。
[0074]可以試探地分析身份信息集合,以確定與各個身份信息集合相關聯(lián)的信任指示�����。對于根據(jù)所收集的身份信息標識的每個無線接入點��,基于應用于身份信息集合的試探規(guī)則和/或客戶端設備報告的其他信息�,將信任指示設置為信任等級(例如�����,可信�、未知�����、不可信)����。在從多個客戶端設備收集到其他身份信息時�,更新和維護身份信息集合。該其他身份信息可以包括與來自客戶端設備106的聲譽請求相關聯(lián)的接收到的身份信息���。在接收到來自客戶端設備106的聲譽請求時����,可以將接收到的可用無線接入點110的身份信息與和各個無線接入點相關聯(lián)的身份信息集合進行比較�����,其中�,根據(jù)對應身份信息集合(例如,最有可能對應于接收到的身份信息的身份信息集合)的信任指示來確定可用無線接入點110的信任指示��。如果不存在對應關系或部分匹配�,則可用無線接入點是未知的或不可信。備選地或附加地�����,對接收到的身份信息和身份信息集合試探地進行分析,以確定可用無線接入點110的信任指示����。
[0075]備選地����,或除將所收集的身份信息組織或布置到與無線接入點相關聯(lián)的身份信息集合中之外,可以基于所收集的身份信息或其集合來維護可信信息記錄或數(shù)據(jù)庫����。在確定身份信息是穩(wěn)定的或在第一時段沒有顯著改變時,可以將可信信息添加到記錄�。將接收到的身份信息與所收集的身份信息進行比較還可以包括:將接收到的身份信息與所述記錄中存儲的身份信息進行比較,以確定可用無線接入點110的信任指示�����。在將接收到的身份信息與記錄中存儲的身份信息進行比較以確定可用無線接入點110的信任指示時�,可以將試探規(guī)則集合應用于可信信息和接收到的身份信息的記錄。
[0076]在任何情況下�����,都確定可用無線接入點的信任指示,并向客戶端設備106發(fā)送表示信任結果或指示的數(shù)據(jù)�。這使得客戶端設備106可以根據(jù)無線接入點110的聲譽被認為是可信的還是可疑的(例如,未知或不可信)�,做出連接或從無線接入點110斷開的明智(informed)決定。取決于該結果�����,客戶端設備106連接或維持其與無線接入點110的連接���,或者從無線接入點110斷開和/或從多個無線接入點114中搜索另一無線接入點以接入到通信網(wǎng)絡102�����。
[0077]如上已經(jīng)簡要描述的�,在客戶端設備106檢測到和/或連接到可用無線接入點110時���,客戶端設備106向聲譽系統(tǒng)108發(fā)送聲譽請求�。聲譽請求包括與可用無線電接入點110相關聯(lián)的身份信息����。可以使用該信息來標識可用無線接入點110,以確定可用無線接入點110的聲譽是可信還是可疑�����?���?梢酝ㄟ^公共通信網(wǎng)絡102來經(jīng)由可用無線接入點110向聲譽系統(tǒng)108發(fā)送包括身份信息的聲譽請求。備選地���,客戶端設備106可以經(jīng)由第二通信網(wǎng)絡104(例如��,通過2G / 3G / 4G或以上的數(shù)據(jù)連接或經(jīng)由SMS)發(fā)送聲譽請求和身份信息,這確保了客戶端設備106的聲譽請求被聲譽系統(tǒng)108接收到(因為如果通過公共通信網(wǎng)絡102發(fā)送�����,其可能被不可信/可疑/流氓無線接入點所攔截�����。)��。
[0078]聲譽系統(tǒng)108從客戶端設備106接收聲譽請求���,聲譽系統(tǒng)108使用其中包含的與可用無線接入點110有關的身份信息來確定系統(tǒng)108之前是否曾聽說過該可用無線接入點110�����,并確定信任指示或將其聲譽定義為可信或可疑��。
[0079]例如�����,可用無線接入點110可能是“免費公共WiFi”��,該“免費公共WiFi”是新的�,并解析到第三代因特網(wǎng)協(xié)議地址(3G IP)的家庭數(shù)字訂戶線路(DSL)因特網(wǎng)協(xié)議(IP)地址。無線接入點110可在初始時具有較低聲譽�����,或被認為是不可信的(即�,被認為是可疑的,例如潛在的流氓無線接入點)�����,直到聲譽系統(tǒng)108已經(jīng)從多個客戶端設備106和/或112接收到與可用無線接入點110相關聯(lián)的足夠量的身份信息��。在從客戶端設備106和/或112接收到與可用無線接入點110相關聯(lián)的更多身份信息時,聲譽系統(tǒng)108可以將其信任或聲譽指示從不可信或可疑(即�����,潛在流氓)“提升”到可信���。[0080]在另一示例中��,可用無線電接入點110可能是家庭�、咖啡館或機場W1-Fi接入點�,其已經(jīng)存在了較長時段,并在該時段具有持久的存在或一致的行為�。可以將較長時段定義為一天或更多天或者一周或更多周的量級�����。當身份信息在該較長時段沒有實質改變時�����,確定持久的存在或一致的行為��。更具體地�,當重要身份信息片(例如,MAC地址��,和/或MAC地址集合(在機場WLAN的情況下)����,和/或公共IP地址)在該較長時段沒有改變(是“穩(wěn)定的”或不變的)或者保持一致或不變時,認為身份信息實質上沒有改變�。亦即,將聲譽系統(tǒng)108報告和收集的相關身份信息確定為在第一時段是穩(wěn)定的或實質上是不變的�。與可用無線接入點110相關聯(lián)的身份信息在第一時段可能未實質改變,這可使得聲譽系統(tǒng)108將可用無線接入點110定義為可信的��,例如��,可用無線接入點110具有“良好”聲譽�����。
[0081]使用與可用無線接入點110和多個無線接入點114相關聯(lián)的身份信息(也稱為無線接入點身份信息)來跟蹤無線接入點Iio和114的行為并定義其聲譽(例如���,可信或可疑)�����。
[0082]關于可用無線接入點110����,聲譽系統(tǒng)108從報告和接收到的聲譽請求取得無線接入點信息(或與無線接入點110相關聯(lián)的身份信息),該報告和接收到的聲譽請求是由可檢測到可用無線接入點110或與可用無線接入點110連接的所述多個客戶端設備106和112發(fā)送的�。聲譽系統(tǒng)108將從可檢測到無線接入點110和114或與無線接入點110和114連接的多個客戶端設備106和112接收多個聲譽請求。由聲譽系統(tǒng)108來收集與這些無線接入點110和114相關聯(lián)的接收到的身份信息���。
[0083]如上所述��,聲譽系統(tǒng)108可以將所收集的身份信息布置或組織到與無線接入點114相關聯(lián)的身份信息集合中��,無線接入點114可包括可用無線接入點110�。備選地或附加地����,聲譽系統(tǒng)108還可以維護可信信息記錄,其中���,當所收集的身份信息中的一些被認為在時段是穩(wěn)定的時�,將該身份信息添加到記錄�����。身份信息集合或記錄可被聲譽系統(tǒng)108的一個或更多個服務器120存儲在數(shù)據(jù)庫126中��。備選地�,可以由神經(jīng)網(wǎng)絡系統(tǒng)126來表示該記錄和/或收集的身份信息,神經(jīng)網(wǎng)絡系統(tǒng)126被使用來處理接收到的身份信息����,以定義各個無線接入點110和/或114的聲譽。
[0084]在另一示例中�,在客戶端設備106檢測到可用無線接入點110或與無線接入點110連接時,從客戶端設備106向聲譽系統(tǒng)108發(fā)送包括可用無線接入點110的身份信息在內(nèi)的聲譽請求��。通過將從客戶端設備110接收到的身份信息與所收集的身份信息進行比較以確定可用無線接入點110的信任指示�,聲譽系統(tǒng)108對與可用無線接入點110相關聯(lián)的聲譽進行定義。備選地���,或除了與所收集的身份信息進行比較之外�����,將接收到的身份信息與可信信息記錄中存儲的身份信息進行比較�����。如果從客戶端設備106接收到的身份信息或從客戶端設備接收到的身份信息中的足夠信息與記錄中存儲的身份信息����、所收集的身份信息、或與各個無線接入點相關聯(lián)的身份信息集合相匹配�����,可以將可用無線接入點110的信任或聲譽指示定義為可信����。否則,可以將可用無線接入點110的信任或聲譽指示確定為可疑或未知���。
[0085]例如��,如果在與記錄中或與無線接入點相關聯(lián)的身份信息集合中存儲的身份信息進行比較時��,重要身份信息(例如�,接收到的身份信息的公共IP和MAC地址)顯著不同��,則聲譽系統(tǒng)108確定無線接入點110的信任指示是未知��、可疑或不可信����。
[0086]聲譽系統(tǒng)108通過向客戶端設備106發(fā)送表示可用無線接入點的信任指示的數(shù)據(jù),來對客戶端設備106進行響應��。如果接收到的包括聲譽的數(shù)據(jù)將可用無線接入點110指示為可信的�,則客戶端設備106可以進行連接或維持其與可用無線接入點110的連接。然而�����,如果接收到的包括聲譽的數(shù)據(jù)將可用無線接入點110指示為未知的����、不可信的或可疑的,則客戶端設備106不應連接到可用無線接入點110�����,或者如果客戶端設備106已經(jīng)連接到了可用無線接入點110����,應該終止客戶端設備106和可用無線接入點110之間的連接。起碼應該警告客戶端設備106的用戶:客戶端設備106可能正連接到未知的���、不可信的�、可疑的或潛在流氓的無線接入點�,或已經(jīng)與其連接。
[0087]聲譽系統(tǒng)108可以通過使用年限來標識可疑無線接入點��。可疑無線接入點通常僅處于區(qū)域中較短持續(xù)時間�����?���?梢允褂迷摃r間信息來向客戶端設備106的用戶發(fā)出與聲稱是基礎設施無線接入點但很少可用或僅可用了較短時段的任何無線接入點有關的警告。
[0088]在客戶端設備106連接到可用無線接入點110的時間期間��,可以基于從其他客戶端設備112接收到的與可用無線接入點110相關聯(lián)的身份信息來定義和改變可用無線接入點110的聲譽�����?��?捎脽o線接入點110的聲譽可能改變�����,因為客戶端設備112之一在與可用無線接入點110連接時向聲譽系統(tǒng)108報告惡意攻擊�����。然后��,聲譽系統(tǒng)108可警告客戶端設備106(以及其已知的其他客戶端設備)可用無線接入點110是可疑的或潛在流氓的無線接入點�。然后,客戶端設備106可以選擇從可用無線接入點110斷開。
[0089]例如�,如果另一客戶端設備報告了 SSL中間人攻擊,或者可用無線接入點110的公共IP地址僅在已經(jīng)進行連接之后被解析����,可以警告連接到可用無線接入點110的客戶端設備�,或者客戶端設備可以被設置為自動切斷與可用無線接入點110的連接。
[0090]為了請求無線接入點110的聲譽���,客戶端設備106需要接入通信網(wǎng)絡���,以向聲譽系統(tǒng)108發(fā)送聲譽請求。例如����,可用無線接入點110可具有著陸頁面和/或啟用了業(yè)務阻斷。在這種情況下����,直到客戶端設備106的用戶已經(jīng)輸入密碼和/或敏感信息(例如,信用卡詳情)以購買因特網(wǎng)時間之后,可用無線接入點110才將允許客戶端設備106進行任何的連接操作��。即使可用無線接入點110可能是可信無線接入點���,客戶端設備106也應該在移交這種敏感信息之前確定該可用無線接入點是可信的��。為了避免過早移交敏感信息�����,客戶端設備106可以通過在不同于可用無線接入點110提供的通信網(wǎng)絡102的通信網(wǎng)絡104上發(fā)送聲譽請求來執(zhí)行無線接入點請求查詢�。通信網(wǎng)絡102可以是可與聲譽系統(tǒng)108通信的移動通信網(wǎng)絡����,例如,經(jīng)由2G / 3G / 4G或以上的數(shù)據(jù)連接或甚至經(jīng)由短消息服務(SMS)的2G / 3G / 4G或以上的網(wǎng)絡����。備選地,客戶端設備106可以通過DNS來將其聲譽請求或查詢越過可用無線接入點110進行隧道傳輸(即使在HTTP被阻斷時����,通常也允許DNS通過)。在從客戶端設備106接收到聲譽請求時�,聲譽系統(tǒng)108可以確定可用無線接入點110的聲譽�,并經(jīng)由上述的通信網(wǎng)絡或路由來發(fā)送其響應��。
[0091]存在著攻擊者可“隱藏”在看起來像是合法命名的無線接入點之后的很多方式�����,例如���,可用無線接入點110可以是合法的。聲譽系統(tǒng)108需要具有可用來標識可疑或流氓無線接入點的能力或試探規(guī)則集合��,該可疑或流氓無線接入點可具有對客戶端設備106的用戶而言看起來合法的唯一名稱���。在這種情況下����,可疑無線接入點(未示出)將不會與可信或真實W1-Fi網(wǎng)絡中的合法可用無線接入點110具有相同的服務集標識符(SSID)��,其中����,聲譽系統(tǒng)知道該可信或真實W1-Fi網(wǎng)絡在該區(qū)域中。備選地����,可疑無線接入點(未示出)將不會與可信或真實移動通信網(wǎng)絡中的合法基站具有相同的基站標識符代碼��??梢曰谠撔袨轭愋蛠泶_定和應用試探規(guī)則�。
[0092]例如,可疑或流氓無線接入點可被命名為“免費公共W1-Fi”��,客戶端設備的不起疑心的用戶可嘗試并與之連接�����。相反��,客戶端設備106可以發(fā)送包括其已經(jīng)檢測到的與可疑無線接入點有關的身份信息的聲譽請求��,身份信息可以包括可疑無線接入點的公共IP地址和SSID�����。試探規(guī)則集合可以包括查看在可疑無線接入點上獲得的公共IP地址���,如果該公共IP地址與某個可信無線接入點(例如��,無線接入點110)相同����,但是SSID不同,則聲譽系統(tǒng)108將可疑無線接入點定義為不可信或可疑����,即,不應該信任該可疑無線接入點���。這是因為可疑無線接入點可能是具有兩個W1-Fi卡的攻擊者����,一個W1-Fi卡訪問合法的可用無線接入點110 (是區(qū)域中的可信W1-Fi連接)�,以及另一 W1-Fi卡提供可疑或流氓無線接入點�����,以允許攻擊者執(zhí)行“中間人”攻擊����。此外,基于確定“免費公共W1-Fi ”或例如“Starbucks”無線接入點是否來自于正常訂戶DSL�����,可以定義另一試探規(guī)則集合,如果該無線接入點來自正常訂戶DSL�,則也不應該信任該無線接入點。
[0093]在接收到來自聲譽系統(tǒng)108的關于客戶端設備106可能正在檢測或與之連接的無線接入點是可疑的或潛在流氓的響應時���,客戶端設備106將需要找到可信無線接入點來連接到�?��?蛻舳嗽O備106可被配置為自動切換到安全的或可信的無線接入點����。除了來自聲譽系統(tǒng)108的將可疑無線接入點指示為可疑的響應之外����,聲譽系統(tǒng)108可以向客戶端設備106發(fā)送對客戶端設備的區(qū)域或位置中具有給定SSID的正確或可信無線接入點進行標識的其他信息?����?蛻舳嗽O備106的用戶可以指示設備的操作系統(tǒng)連接到具有給定SSID的已知可信無線接入點����。備選地,客戶端設備106可以與具有給定SSID的已知可信無線接入點自動連接���。
[0094]備選地���,客戶端設備106包括應用或軟件��,該應用或軟件在被執(zhí)行時�,自動向聲譽系統(tǒng)108發(fā)送與區(qū)域中可用的無線接入點相關聯(lián)的眾多聲譽請求�����。這將從聲譽系統(tǒng)108產(chǎn)生與每個無線接入點的聲譽有關的眾多對應的答復消息或響應����。應用核對來自聲譽系統(tǒng)108的響應,以向用戶提供關于良好的���、已知的、或可信的無線接入點的信息�����。應用可自動隱藏或扣留與具有較低或較壞聲譽(即����,流氓無線接入點)或者具有未知聲譽的那些可疑無線接入點有關的信息����。在另一實施例中�����,應用經(jīng)由無線接入點查詢(例如�����,聲譽請求)和響應來與聲譽系統(tǒng)108通信���,以使得應用可以僅向客戶端設備106的用戶顯示良好的����、已知的��、或可信的無線接入點�,并隱藏具有較壞或未知聲譽的無線接入點。這確保了客戶端設備106的用戶連接到可信無線接入點�。
[0095]在確定可用無線接入點110是否是流氓無線接入點中,聲譽系統(tǒng)108必須知道隨著已知或可信無線接入點的操作而發(fā)生的改變�。可以使用試探規(guī)則集合來協(xié)助聲譽系統(tǒng)108確定在可信無線接入點中發(fā)生的合法改變��。如果聲譽系統(tǒng)108維護可信身份信息記錄(如前所述),在與可信信息的一部分相關聯(lián)的身份信息被確定為在第二時段不穩(wěn)定時����,聲譽系統(tǒng)108還可以將可信信息的該部分從記錄中移除。備選地���,如果與無線接入點相關聯(lián)的身份信息集合中的身份信息被確定為在第二時段不穩(wěn)定���,聲譽系統(tǒng)108可以試探地將與該集合及其信任指示更新為不可信。第二時段可以比第一時段短�,或者比斷定信息是穩(wěn)定的或不變的時段短。
[0096]然而�����,在可信無線接入點因為可信無線接入點的身份信息的合法改變而被認為可疑的時候����,需要避免誤報警。這可能發(fā)生在可信或已知的無線接入點操作者改變硬件或公共IP地址或其他標識因素時��。聲譽系統(tǒng)108或試探規(guī)則集合可被配置為通過使用部分信息匹配來識別和防止這些情況下的誤報警�����。如果所收集的與可用無線接入點有關的身份信息部分發(fā)生改變���,可以將剩余歷史信息認為是可靠的或好的�,并且可以更新聲譽系統(tǒng)108操作的集合��、記錄��、存儲器124或數(shù)據(jù)庫126中的失配信息���。這意味著可用無線接入點110仍然可被認為是可信的或具有“良好的”聲譽�。
[0097]然而���,在身份信息集合或可信信息記錄的維護中�����,可以僅在當身份信息中發(fā)生改變后來自客戶端設備106和112的所有聲譽請求(或無線接入點查詢請求)僅指示新的已更新身份信息的情況下��,聲譽系統(tǒng)108才斷定可用無線接入點110是可信的��。例如���,如果一個身份信息特征發(fā)生改變并且聲譽系統(tǒng)108接收到僅基于新信息的新聲譽請求(或無線接入點查詢請求)��,聲譽系統(tǒng)108可以斷定改變MAC地址或公共IP地址是允許的�。亦即�����,與可用無線接入點相關聯(lián)的身份信息再次被斷定是穩(wěn)定的�����。
[0098]然而�,如果聲譽系統(tǒng)108從相同區(qū)域中的客戶端設備106和112接收到具有新信息和舊信息(例如,新的和舊的公共IP和/或MAC地址)的聲譽請求(無線接入點查詢請求)���,則聲譽系統(tǒng)108應該對聲譽請求(或無線接入點查詢)做出響應:無線接入點110的聲譽是未知����、不可信���、可疑或潛在流氓無線接入點��,因此����,其不應該是可信的���。與可用無線接入點相關聯(lián)的身份信息被認為是不穩(wěn)定的��。
[0099]為了簡潔��,關于聲譽系統(tǒng)108和客戶端設備106描述了以上通信系統(tǒng)100��。要意識到的是�,由聲譽系統(tǒng)108執(zhí)行的可疑W1-Fi檢測過程或方法可位于基于云的系統(tǒng)或云計算布置中����,其中,聲譽系統(tǒng)108的功能分布在基于云的系統(tǒng)或布置內(nèi)���?���?梢栽诰哂胁煌叽绾痛鎯ζ鞯娜舾蓚€或多個服務器���、計算機系統(tǒng)和/或數(shù)據(jù)庫之間共享檢測可疑W1-Fi接入點的過程�。這確保了如果聲譽系統(tǒng)108突然接收來自多個客戶端設備112的多個聲譽請求或單純地可疑無線接入點檢測變得更加流行,基于云的系統(tǒng)可以引導更多的個體處理器���、服務器或數(shù)據(jù)庫來從事于服務和處理進入的聲譽請求和所必需的外出響應��。云計算布置可包括多個服務器和數(shù)據(jù)庫�,用于從多個客戶端設備接收與無線接入點相關聯(lián)的聲譽請求���,存儲和更新接收到的身份信息�����,確定表示相關聯(lián)的無線接入點的聲譽的數(shù)據(jù)��,以及通過網(wǎng)絡向該多個客戶端設備中的每個客戶端設備發(fā)送響應���。
[0100]圖2是示出檢測通信網(wǎng)絡102中的可疑無線接入點的方法的流程圖,通信網(wǎng)絡102包括用于向客戶端設備106和112提供接入服務的無線接入點110和114����。如參考圖1所述,通信網(wǎng)絡102包括可用無線接入點110����、客戶端設備106�����、多個無線接入點112以及多個客戶端設備112����。以下步驟勾畫出了用于檢測通信網(wǎng)絡102中的可疑無線接入點的方法:
[0101]Al.從多個客戶端設備112收集與無線接入點106和114相關聯(lián)的身份信息���。聲譽系統(tǒng)108可以收集和存儲身份信息?�?梢詮亩鄠€源接收和收集身份信息����,例如在來自多個客戶端設備106和/或112的報告中接收,和/或從來自客戶端設備106和/或112的聲譽請求中收集����。進行到步驟A2。
[0102]A2.如果從客戶端設備106接收到聲譽請求����,則進行到步驟A3。否則�����,進行到步驟Al,從多個客戶端設備收集其他身份信息�����。
[0103]A3.從客戶端設備106接收聲譽請求�����。聲譽請求包括可用無線電接入點110的身份信息�����。進行到步驟A4��。
[0104]A4.將接收到的身份信息與所收集的身份信息進行比較�。可以將接收到的身份信息與所布置的身份信息集合進行比較����。進行到步驟A5。
[0105]A5.基于比較來確定可用無線接入點110的信任指示���。進行到步驟A6���。
[0106]A6.向客戶端設備106發(fā)送表示可用無線接入點110的信任指示的數(shù)據(jù)����?��?梢詫⒔邮盏降纳矸菪畔⒉⑷胨占纳矸菪畔?,以用于進一步的布置/處理/存儲�����。進行到步驟Al�����,以進一步收集和/或維護來自多個客戶端設備106和112的其他身份信息��。
[0107]可選地�,在步驟Al中���,可以將所收集的身份信息布置或組織到與無線接入點相關聯(lián)的身份信息集合中�����?�?梢愿鶕?jù)試探算法或規(guī)則來確定針對每個身份信息集合或無線接入點的信任指示���。備選地或附加地��,步驟A6還可以包括:在與接收到的身份信息相關聯(lián)的重要身份信息實質上不同于與可信無線接入點相關聯(lián)的對應重要身份信息時�����,將可用無線接入點110的信任指示確定為不可信����。無線接入點110和114可以包括但不限于由以下各項組成的組中的至少一種類型的無線接入點:蜂窩無線接入點(例如�,GSM、LTE�����、2G / 3G /4G或以上的接入點)�、基站、W1-Fi接入點�、以及用于將客戶端設備連接到通信網(wǎng)絡的任何其他無線接入點。
[0108]如果與每個無線接入點相關聯(lián)的身份信息的片或部分可被用于充分標識無線接入點,這些片可被認為是重要的�。例如,重要身份信息可以包括無線接入點的身份代碼����、無線接入點的地址或小區(qū)標識符、無線接入點的硬件標識符����、和/或無線接入點的標識符。備選地或附加地���,重要身份信息可以包括以下至少之一:無線接入點身份代碼�、基站身份代碼��、無線接入點的公共因特網(wǎng)協(xié)議(IP)地址�、無線接入點的媒體訪問控制(MAC)地址�����、無線接入點的服務集標識符(SSID)�、無線接入點的小區(qū)標識符、和/或無線接入點的基站標識符�。這提供了在與可用無線接入點有關的重要身份信息的特定重要部分發(fā)生改變時快速標識可疑無線接入點的益處。
[0109]步驟Al中收集身份信息可包括:接收來自客戶端設備106或112中的一個客戶端設備的將可用無線接入點110指示為不可信或可疑的報告����,以及將可用無線接入點110的信任或聲譽指示定義為不可信或可疑��?��?蛻舳嗽O備106或112可能已經(jīng)成為了與可用無線接入點110有關的惡意攻擊(例如,phishin或中間人攻擊)的受害者�,以及,通過將此報告給聲譽系統(tǒng)108�����,可因此警告連接到或要連接到可用無線接入點110的其他客戶端設備106和112��。作為響應����,步驟Al還可以包括:響應于該報告,將與可用無線接入點相關聯(lián)的信任指示設置為不可信���。在步驟Al中��,響應于接收該報告���,還可以包括:向與可用無線接入點相關聯(lián)的客戶端設備發(fā)送表示可用無線接入點的信任指示的數(shù)據(jù)��。
[0110]可選地����,步驟A3中的過程可以包括:通過與包括無線接入點114的通信網(wǎng)絡102不相同的第二通信網(wǎng)絡104來接收聲譽請求中的一個或更多個���。這提供了提高聲譽請求被聲譽系統(tǒng)108接收到而不被攻擊者所攔截的可能性這一益處�,這將會允許客戶端設備106安全地從聲譽系統(tǒng)108接收到適當響應�����。步驟Al中的過程還可以包括:利用從客戶端設備106接收到的聲譽請求的身份信息來更新所收集的身份信息���,接收到的身份信息與可用無線接入點110相關聯(lián)����。
[0111]圖3是示出檢測通信網(wǎng)絡102中的可疑無線接入點的方法的另一流程圖��,通信網(wǎng)絡102包括用于向客戶端設備106和112提供接入服務的無線接入點110和114���。如參考圖1所述,通信網(wǎng)絡102包括可用無線接入點110、客戶端設備106�����、多個無線接入點114以及多個客戶端設備112�。以下步驟勾畫出了用于檢測通信網(wǎng)絡102中的可疑無線接入點的方法:
[0112]B1.從多個客戶端設備112收集與無線接入點106和114相關聯(lián)的身份信息。聲譽系統(tǒng)108可以收集和存儲身份信息���??梢詮亩鄠€源接收和收集身份信息��,例如在來自多個客戶端設備106和/或112的報告中接收���,和/或從來自客戶端設備106和/或112的聲譽請求中收集��。進行到步驟B2����,或者與步驟BI同時執(zhí)行步驟B2�����。
[0113]B2.維護可信身份信息記錄�,其中���,當確定身份信息在一時段是穩(wěn)定的時,將可信信息添加到記錄��?����?尚派矸菪畔⒂涗浕谒占纳矸菪畔?,并且可被存儲在數(shù)據(jù)庫128中或并入到神經(jīng)網(wǎng)絡處理結構128中。繼續(xù)進行步驟B3��。
[0114]B3.如果從客戶端設備106接收聲譽請求�����,則進行到步驟B4�。否則,進行到步驟BI和/或B2���,從多個客戶端設備收集并維護其他身份信息�����。
[0115]B4.從客戶端設備106接收聲譽請求����。聲譽請求包括可用無線電接入點110的身份信息�。進行到步驟B5。
[0116]B5.將接收到的身份信息與所述記錄中存儲的身份信息進行比較�����。進行到步驟B6��。
[0117]B6.基于比較�,將可用無線接入點110的信任或聲譽指示定義為可信或可疑。進行到步驟B7��。
[0118]B7.向客戶端設備106發(fā)送表示可用無線接入點110的信任或聲譽指示的數(shù)據(jù)�。可以將接收到的身份信息并入所收集的身份信息��,以用于進一步的處理/存儲�����。進行到步驟BI和/或B2��,以進一步收集和/或維護來自多個客戶端設備106和112的其他身份信
肩���、O
[0119]在步驟B2中���,過程可選地可包括:在與可信信息的一部分相關聯(lián)的身份信息被確定為在第二時段不穩(wěn)定時���,將可信信息的該部分從記錄中移除。
[0120]在步驟B6中�����,過程還可以包括:在接收到的身份信息與記錄中存儲的可信信息實質上匹配時��,將可用無線接入點Iio的聲譽定義為可信�����。備選地或附加地�,步驟B6還可以包括:在與接收到的身份信息相關聯(lián)的重要身份信息實質上不同于與記錄中存儲的可信信息相關聯(lián)的對應重要身份信息時,將可用無線接入點110的聲譽確定為可疑��。無線接入點110和114可以包括但不限于由以下各項組成的組中的至少一種類型的無線接入點:蜂窩無線接入點(例如���,GSM����、LTE、2G / 3G / 4G或以上的接入點)���、基站、W1-Fi接入點��、以及用于將客戶端設備連接到通信網(wǎng)絡的任何其他無線接入點��。
[0121]如果與每個無線接入點相關聯(lián)的身份信息的片或部分可被用于充分標識無線接入點�,這些片可被認為是重要的。例如���,重要身份信息可以包括無線接入點的身份代碼�����、無線接入點的地址或小區(qū)標識符�、無線接入點的硬件標識符����、和/或無線接入點的標識符。備選地或附加地�����,重要身份信息可以包括以下至少之一:無線接入點身份代碼、基站身份代碼�、無線接入點的公共因特網(wǎng)協(xié)議(IP)地址、無線接入點的媒體訪問控制(MAC)地址���、無線接入點的服務集標識符(SSID)�、無線接入點的小區(qū)標識符��、和/或無線接入點的基站標識符��。這提供了在與可用無線接入點有關的重要身份信息的特定重要部分發(fā)生改變時快速標識可疑無線接入點的益處�����。
[0122]步驟BI中收集身份信息可包括:接收來自客戶端設備106或112中的一個客戶端設備的將可用無線接入點110指示為可疑的報告��,以及將可用無線接入點110的聲譽定義為可疑�����?����?蛻舳嗽O備106或112可能已經(jīng)成為了與可用無線接入點110有關的惡意攻擊(例如,phishin或中間人攻擊)的受害者���,以及����,通過將此報告給聲譽系統(tǒng)108����,可因此警告連接到或要連接到可用無線接入點110的其他客戶端設備106和112�����。作為響應�,步驟B2還可以包括:響應于該報告,從記錄中移除可信信息的與可用無線接入點的身份信息相關聯(lián)的部分���。在步驟B2中���,響應于接收該報告,還可以包括:向與可用無線接入點相關聯(lián)的客戶端設備發(fā)送可用無線接入點的聲譽�。
[0123]可選地,步驟B3中的過程可以包括:通過與包括無線接入點114的通信網(wǎng)絡102不相同的第二通信網(wǎng)絡104來接收聲譽請求中的一個或更多個���。這提供了提高聲譽請求被聲譽系統(tǒng)108接收到而不被攻擊者所攔截的可能性這一益處�,這將會允許客戶端設備106安全地從聲譽系統(tǒng)108接收到適當響應。步驟BI中的過程還可以包括:利用從客戶端設備106接收到的聲譽請求的身份信息來更新所收集的身份信息����,接收到的身份信息與可用無線接入點110相關聯(lián)。
[0124]要意識到的是����,可以對上述示例和實施例做出各種修改,和/或上述示例和實施例的一個或更多個特征可以彼此組合�,以實現(xiàn)根據(jù)本發(fā)明的聲譽系統(tǒng)108。
[0125]圖4是示出客戶端設備106執(zhí)行來檢測無線接入點是否是通信網(wǎng)絡102中的可疑無線接入點的方法或過程的流程圖�����。如參考圖1所述����,通信網(wǎng)絡102包括無線接入點110、客戶端設備106�、多個無線接入點114以及多個客戶端設備112。如下勾畫了客戶端設備106執(zhí)行的用于檢測通信網(wǎng)絡102中的可疑無線接入點的步驟:
[0126]Cl.檢測可用無線接入點110�。客戶端設備106可以檢測可用無線接入點110或與可用無線接入點110連接�����。
[0127]C2.向聲譽系統(tǒng)108發(fā)送聲譽請求,聲譽請求包括與可用無線接入點110相關聯(lián)的身份信息���。與可用無線接入點110相關聯(lián)的身份信息可以是客戶端設備106可以檢測到的與可用無線接入點110有關的一個或更多個無線接入點參數(shù)����。除已經(jīng)參考圖1描述的其他參數(shù)之外����,這些參數(shù)可以包括可用無線接入點Iio的公共IP地址�、SSID、MAC地址��。
[0128]C3.客戶端設備106等待對聲譽請求的響應或與可用無線接入點110的信任或聲譽指示相關聯(lián)的任何信息����。同時,客戶端設備106可能已經(jīng)與可用無線接入點110連接�,或者客戶端設備106可以向聲譽系統(tǒng)108發(fā)送其他可用無線接入點的聲譽請求。在從聲譽系統(tǒng)接收到表示與可用無線接入點110相關聯(lián)的信任或聲譽指示的數(shù)據(jù)時�,客戶端設備106執(zhí)行步驟C4。
[0129]C4.客戶端設備檢查信任或聲譽指示是否指示可用無線接入點110是可信的����。如果是可信的���,則方法進行到步驟C5,否則��,進行到步驟C6��。
[0130]C5.客戶端設備106執(zhí)行以下之一:
[0131]a)如果客戶端設備106尚未與可用無線接入點110連接�����,則與可用無線接入點110連接����;或者
[0132]b)維持其與可用無線接入點110的連接,以訪問通信網(wǎng)絡102����。然后,處理進行到步驟C3��,其中�����,由于在聲譽系統(tǒng)108處接收到的可改變可用無線接入點110的聲譽指示的后續(xù)身份信息,可以從聲譽系統(tǒng)108接收與可用無線接入點110的聲譽相關聯(lián)的其他信息���。
[0133]C6.在從聲譽系統(tǒng)108接收到的聲譽指示可用無線接入點110是不可信或可疑的(即����,潛在流氓的)時�����,方法進行到步驟C7�。[0134]C7.客戶端設備106執(zhí)行以下操作:
[0135]a)從可用無線接入點110斷開;和/或
[0136]b)檢測或搜索另一可用無線接入點����,以接入到通信網(wǎng)絡��。
[0137]可選地���,步驟C2可以包括:通過與通信網(wǎng)絡102不同的第二通信網(wǎng)絡104�,從客戶端設備106向聲譽系統(tǒng)108發(fā)送聲譽請求�,通信網(wǎng)絡102包括可用無線接入點110。方法還可以包括:客戶端設備106在連接到可用無線接入點110時檢測對客戶端設備106的惡意攻擊(例如���,網(wǎng)絡釣魚或中間人攻擊)����,以及作為響應,向聲譽系統(tǒng)108發(fā)送將可用無線接入點110報告為可疑的其他信息����。客戶端設備106在檢測到攻擊時可因此警告客戶端設備106的用戶從可用無線接入點110斷開����,或者客戶端設備106可以從可用無線接入點110自動斷開。這會將其他客戶端設備成為來自如今可疑的可用無線接入點110的攻擊的受害者減到最小�����。
[0138]步驟C3可選地可以包括:從聲譽系統(tǒng)108接收與可用無線接入點110相關聯(lián)的其他聲譽信息���。這可發(fā)生在客戶端設備106已經(jīng)連接到可用無線接入點110或已維持其與可用無線接入點110的連接之后����。如果聲譽將可用無線接入點110指示為可疑的��,則作為響應�,通知客戶端設備106的用戶可用無線接入點是可疑的���,或者客戶端設備106自動從可用無線接入點110斷開,并檢測/搜索另一可用無線接入點����,以連接到通信網(wǎng)絡102。
[0139]本文中描述的客戶端設備��、無線接入點����、聲譽系統(tǒng)、服務器和計算系統(tǒng)各自可執(zhí)行通信網(wǎng)絡中的可疑無線接入點檢測�����。這樣的系統(tǒng)的處理器被配置為執(zhí)行基于本文中所述方法和過程的計算機程序指令���,這樣的指令被包含在計算機可讀介質(例如��,存儲器)中??梢詮牧硪挥嬎銠C可讀介質或從另一設備經(jīng)由通信接口將計算機程序指令讀取到存儲器中。存儲器中包含的指令使客戶端設備�����、聲譽系統(tǒng)、服務器或其他這樣的計算機系統(tǒng)的處理器執(zhí)行本文中所述的過程或方法�����。備選地或附加地�,可以使用硬連線電路來替代計算機程序指令或與計算機程序指令組合,以實現(xiàn)符合本發(fā)明的過程和方法��。硬件電路的示例可包括但不限于半導體芯片���、集成電路�����、現(xiàn)場可編程門陣列���、專用集成電路、可電編程集成電路等��。因此�,本發(fā)明不限于硬件電路和/或軟件的任何特定組合。
[0140]具體地��,包括計算機程序代碼裝置或程序指令的計算機程序當在處理器或其他電路上執(zhí)行時,執(zhí)行通過從多個客戶端設備收集與無線接入點相關聯(lián)的身份信息來檢測通信網(wǎng)絡中的可疑無線接入點的步驟�����,該通信網(wǎng)絡包括向客戶端設備提供接入服務的多個無線接入點�����。在接收到來自客戶端設備的包括可用無線接入點的身份信息的聲譽請求時�����,執(zhí)行以下步驟:將接收到的身份信息與所收集的身份信息進行比較�����,以基于比較來確定可用無線接入點的信任指示�,并向客戶端設備發(fā)送可用無線接入點的信任指示。
[0141]此外�����,包括計算機程序代碼裝置或程序指令的計算機程序當在客戶端設備的處理器或其他電路上執(zhí)行時��,執(zhí)行通過檢測可用無線接入點并向聲譽系統(tǒng)發(fā)送包括與可用無線接入點相關聯(lián)的身份信息的聲譽請求來檢測通信網(wǎng)絡中的可疑無線接入點的步驟���,該通信網(wǎng)絡包括向客戶端設備提供接入服務的多個無線接入點����。從聲譽系統(tǒng)接收與可用無線接入點相關聯(lián)的信任或聲譽指示����。計算機程序還執(zhí)行以下步驟:在信任或聲譽指示對可用無線接入點是可信的進行指示時,與可用無線接入點連接�����,或者維持與可用無線接入點的連接�。計算機程序還執(zhí)行以下步驟:在該聲譽指示可用無線接入點是不可信的、未知的或可疑的時��,從可用無線接入點斷開和/或檢測另一可用無線接入點�。[0142]計算機可讀介質可以包括存儲其上的計算機程序指令,當在聲譽系統(tǒng)或其他計算系統(tǒng)的一個或更多個處理器上執(zhí)行時��,該計算機程序指令執(zhí)行本文中所述的檢測通信網(wǎng)絡中的可疑無線接入點的過程或方法步驟���。此外�����,計算機可讀介質包括存儲其上的計算機程序指令��,當在客戶端設備或其他類似設備的一個或更多個處理器上執(zhí)行時���,該計算機程序指令執(zhí)行本文中所述的檢測通信網(wǎng)絡中的可疑無線接入點的過程或方法步驟��。
[0143]雖然通過示例的方式����,已關于各種類型的無線接入點(例如����,W1-Fi接入點)描述了與無線接入點相關聯(lián)的身份信息或無線接入點身份信息,要意識到的是�,本文中描述的這些示例、方法��、設備可應用于其他無線接入點����,例如但不限于:無線接入點、無線電基站�、毫微微小區(qū)基站���、蜂窩或移動基站、或者基于第二代�����、第三代��、第四代(2G / 3G / 4G)及以上的移動技術或標準(如GSM�、CDMA-2000����、UMTS, WiMAX, LTE、高級LTE)的任何其他基站和無線接入點及其等同替代或類似身份信息�、以及用于將客戶端設備連接到通信網(wǎng)絡的任何其他無線接入點。
[0144]本領域技術人員將意識到��,在不背離本發(fā)明的范圍的情況下�,可以對上述實施例進行各種修改和/或可以組合所述實施例的一個或更多個特征。
【權利要求】
1.一種檢測通信網(wǎng)絡中的可疑無線接入點的方法�,所述通信網(wǎng)絡包括向客戶端設備提供接入服務的多個無線接入點,所述方法包括: 從多個客戶端設備收集與無線接入點相關聯(lián)的身份信息���; 從客戶端接收聲譽請求�,所述聲譽請求包括可用無線接入點的身份信息; 將接收到的身份信息與所收集的身份信息進行比較�,以確定可用無線接入點的信任指示;以及 向客戶端設備發(fā)送信任指示����。
2.根據(jù)權利要求1所述的方法,還包括:維護所收集的身份信息作為身份信息集合的記錄��,每個身份信息集合與無線接入點之一相關聯(lián)���。
3.根據(jù)權利要求2所述的方法���,還包括:試探地確定與每個身份信息集合相關聯(lián)的信任指示。
4.根據(jù)權利要求2或3所述的方法�����,其中��,進行比較的步驟還包括:將接收到的身份信息與和每個無線接入點相關聯(lián)的身份信息集合進行比較�,以及根據(jù)對應身份信息集合的信任指示來確定可用無線接入點的信任指示。
5.根據(jù)權利要求1至4中任一項所述的方法����,還包括維護可信身份信息的記錄�����,其中���,在確定身份信息在第一時段是穩(wěn)定的時,將可信信息添加到所述記錄����;進行比較的步驟還包括:將接收到的身份信息與所述記錄中存儲的身份信息進行比較��,以確定信任指示�����。
6.根據(jù)權利要求5所述的方法�����,其中���,維護可信身份信息的記錄包括:在與可信信息的一部分相關聯(lián)的身份信息被確定為在第二時段不穩(wěn)定時����,將可信信息的所述一部分從所述記錄中移除,所述第二時段比所述第一時段短��。`
7.根據(jù)權利要求5或6所述的方法����,還包括:在接收到的身份信息與所述記錄中存儲的可信信息實質上匹配時,將可用無線接入點的信任指示確定為可信��。
8.根據(jù)權利要求5至7中任一項所述的方法�,還包括:在與接收到的身份信息相關聯(lián)的重要身份信息實質上不同于與所述記錄中存儲的可信信息相關聯(lián)的對應重要身份信息時,將可用無線接入點的信任指示確定為不可信或未知��。
9.根據(jù)權利要求8所述的方法�,其中,重要身份信息包括以下至少一項:無線接入點的公共地址��、無線接入點的硬件標識符或地址�、無線接入點的標識符。
10.根據(jù)權利要求9所述的方法�,其中,所述公共地址是公共因特網(wǎng)協(xié)議IP地址或小區(qū)標識符����,所述硬件標識符或地址是MAC地址,和/或所述標識符是服務集標識符SSID或基站標識符����。
11.根據(jù)權利要求2至4中任一項所述的方法��,還包括:在與接收到的身份信息相關聯(lián)的重要身份信息實質上不同于與一個或更多個身份信息集合相關聯(lián)的對應重要身份信息時��,將可用無線接入點的信任指示確定為不可信或未知��。
12.根據(jù)權利要求11所述的方法����,其中���,重要身份信息包括以下至少一項:無線接入點的公共地址、無線接入點的硬件標識符或地址�、無線接入點的標識符。
13.根據(jù)權利要求12所述的方法�����,其中����,所述公共地址是公共因特網(wǎng)協(xié)議IP地址或小區(qū)標識符,所述硬件標識符或地址是MAC地址���,和/或所述標識符是服務集標識符SSID或基站標識符����。
14.根據(jù)權利要求1至13中任一項所述的方法,還包括:從客戶端設備之一接收將可用無線接入點指示為不可信的報告����,以及將可用無線接入點的信任指示確定為不可信。
15.根據(jù)權利要求14所述的方法���,還包括:向與可用無線接入點相關聯(lián)的客戶端設備發(fā)送可用無線接入點的信任指示�����。
16.根據(jù)權利要求15所述的方法����,包括:從客戶端設備之一接收將可用無線接入點指示為不可信的報告��,以及將可用無線接入點的信任指示確定為不可信�����,其中����,維護可信身份信息的記錄包括:從所述記錄移除可信信息的與可用無線接入點的身份信息相關聯(lián)的部分�����。
17.根據(jù)權利要求1至16中任一項所述的方法�,其中�,與每個無線接入點相關聯(lián)的身份信息包括由以下各項組成的組中的至少一個無線接入點參數(shù): 無線接入點的公共地址; 無線接入點的硬件標識符或地址��; 無線接入點的標識符����; 小區(qū)標識符; 基站身份代碼�����; 通信網(wǎng)絡運營商身份���; 無線接入點的內(nèi)部因特網(wǎng)協(xié)議IP地址或地址范圍; 無線接入點的公共IP地址�; 針對無線接入點的公共IP地址的連接類型; 無線接入點類型����; 無線接入點的服務集標識符SSID �����; 客戶端設備的物理位置����; 無線接入點的無線信號強度�����; 無線接入點的無線網(wǎng)絡類型��; 無線接入點的安全設置�����; 對通過無線接入點發(fā)送聲譽請求的能力進行表示的數(shù)據(jù)��; 對在無線接入點上正確解析域名服務器查詢的能力進行表示的數(shù)據(jù)�����; 無線接入點使用的頻率和信道;以及 對無線接入點的身份或簽名進行表示的信息或數(shù)據(jù)��。
18.根據(jù)權利要求1至17中任一項所述的方法�����,其中��,無線接入點包括由以下各項組成的組中的至少一項:蜂窩無線接入點��、基站無線接入點���、W1-Fi接入點��、以及用于將客戶端設備連接到所述通信網(wǎng)絡的任何其他無線接入點�。
19.根據(jù)權利要求1至18中任一項所述的方法�����,還包括:通過與包括無線接入點的所述通信網(wǎng)絡不同的第二通信網(wǎng)絡來接收所述聲譽請求中的一個或更多個�����。
20.根據(jù)權利要求1至19中任一項所述的方法�,還包括:使用接收到的與可用無線接入點相關聯(lián)的身份信息來更新所收集的身份信息。
21.一種客戶端設備檢測通信網(wǎng)絡中的可疑無線接入點的方法��,所述方法包括: 檢測用于向客戶端設備提供接入服務的可用無線接入點���; 向聲譽系統(tǒng)發(fā)送聲譽請求�����,所述聲譽請求包括與可用無線接入點相關聯(lián)的身份信息���; 從聲譽系統(tǒng)接收與可用無線接入點相關聯(lián)的信任指示;當信任指示將可用無線接入點指示為可信時�����,與可用無線接入點連接�,或維持與可用無線接入點的連接;以及 當信任指示將可用無線接入點指示為可疑或不可信時�����,從可用無線接入點斷開和/或檢測另一可用無線接入點����。
22.根據(jù)權利要求21所述的方法�����,還包括:通過與包括可用無線接入點的所述通信網(wǎng)絡不同的第二通信網(wǎng)絡來發(fā)送聲譽請求���。
23.根據(jù)權利要求21或22所述的方法,還包括以下步驟:在客戶端設備連接到可用無線接入點時檢測對客戶端設備的惡意攻擊���,以及作為響應��,向聲譽系統(tǒng)發(fā)送其他信息���,所述其他信息報告可用無線接入點是可疑的或不可信的。
24.根據(jù)權利要求21至23中任一項所述的方法�����,還包括:從聲譽系統(tǒng)接收將可用無線接入點指示為可疑或不可信的信任指示信息��,以及作為響應��,通知客戶端設備的用戶可用無線接入點是可疑的或不可信的����,或者從可用無線接入點斷開����。
25.根據(jù)權利要求21至24中任一項所述的方法�����,其中����,可用無線接入點的身份信息包括由以下各項組成的組中的至少一個無線接入點參數(shù): 無線接入點的公共地址���; 無線接入點的硬件標識符或地址���;` 無線接入點的標識符; 小區(qū)標識符����; 基站身份代碼; 通信網(wǎng)絡運營商身份���; 無線接入點的內(nèi)部因特網(wǎng)協(xié)議IP地址或地址范圍����; 無線接入點的公共IP地址; 針對無線接入點的公共IP地址的連接類型���; 無線接入點類型���; 無線接入點的服務集標識符SSID ; 客戶端設備的物理位置���; 無線接入點的無線信號強度���; 無線接入點的無線網(wǎng)絡類型; 無線接入點的安全設置���; 對通過無線接入點發(fā)送聲譽請求的能力進行表示的數(shù)據(jù)�����; 對在無線接入點上正確解析域名服務器查詢的能力進行表示的數(shù)據(jù)�����; 無線接入點使用的頻率和信道�����;以及 對無線接入點的身份或簽名進行表示的信息或數(shù)據(jù)�����。
26.根據(jù)權利要求21至25中任一項所述的方法����,還包括:維護可用無線接入點和針對可用無線接入點的信任指示的記錄�����,基于發(fā)送與可用無線接入點相關聯(lián)的聲譽請求并基于接收到的可用無線接入點的信任指示來更新所述記錄��。
27.根據(jù)權利要求21至26中任一項所述的方法�����,其中�,無線接入點包括由以下各項組成的組中的至少一項:蜂窩無線接入點、基站無線接入點�����、W1-Fi接入點�、以及用于將客戶端設備連接到所述通信網(wǎng)絡的任何其他無線接入點�。
28.—種在檢測通信網(wǎng)絡中的可疑無線接入點中使用的服務器����,所述通信網(wǎng)絡包括向客戶端設備提供接入服務的多個無線接入點,所述服務器包括: 接收機�、發(fā)射機、存儲器單元和處理邏輯�,所述處理邏輯連接到所述接收機,連接到所述發(fā)射機�,以及連接到所述存儲器單元,其中: 所述接收機和所述處理邏輯被配置為從多個客戶端設備收集與無線接入點相關聯(lián)的身份信息�����; 所述接收機還被配置為接收來自客戶端設備的聲譽請求�,所述聲譽請求包括可用無線接入點的身份信息; 所述處理邏輯包括用于將接收到的身份信息與所收集的身份信息進行比較的比較邏輯��,以及用于基于所述比較來確定可用無線接入點的信任指示的確定邏輯��;以及 所述發(fā)射機被配置為向客戶端設備發(fā)送信任指示����。
29.根據(jù)權利要求28所述的服務器,其中,無線接入點包括由以下各項組成的組中的至少一項:蜂窩無線接入點�、基站無線接入點、W1-Fi接入點�����、以及用于將客戶端設備連接到所述通信網(wǎng)絡的任何其他無線接入點��。
30.一種在檢測通信網(wǎng)絡中的可疑無線接入點中使用的聲譽系統(tǒng)�,所述通信網(wǎng)絡包括向客戶端設備提供接入服務的多個無線接入點,所述聲譽系統(tǒng)包括根據(jù)權利要求28或29所述的與數(shù)據(jù)庫通信的至少一個服務器����,所述數(shù)據(jù)庫用于存儲和處理在確定與每個所述無線接入點相關聯(lián)的信任指示中 使用的所收集的身份信息�����。
31.根據(jù)權利要求30所述的聲譽系統(tǒng)�,其中,無線接入點包括由以下各項組成的組中的至少一項:蜂窩無線接入點���、基站無線接入點�、W1-Fi接入點�、以及無線接入點。
32.—種在檢測通信網(wǎng)絡中的可疑無線接入點中使用的客戶端設備,所述通信網(wǎng)絡包括向客戶端設備提供接入服務的多個無線接入點��,所述客戶端設備包括: 接收機�����、發(fā)射機�、存儲器單元和處理邏輯,所述處理邏輯連接到所述接收機���,連接到所述發(fā)射機����,以及連接到所述存儲器單元�����,其中: 所述接收機和處理邏輯被配置為檢測向客戶端設備提供接入服務的可用無線接入占.所述發(fā)射機被配置為向聲譽系統(tǒng)發(fā)送聲譽請求����,所述聲譽請求包括與可用無線接入點相關聯(lián)的身份信息; 所述接收機還被配置為從聲譽系統(tǒng)接收與可用無線接入點相關聯(lián)的信任指示�����; 所述處理器邏輯被配置為: 當信任指示將可用無線接入點指示為可信時,與可用無線接入點連接���,或維持與可用無線接入點的連接���;以及 當信任指示將可用無線接入點指示為可疑或不可信時,從可用無線接入點斷開和/或檢測另一可用無線接入點��。
33.根據(jù)權利要求32所述的客戶端設備�����,其中��,無線接入點包括由以下各項組成的組中的至少一項:蜂窩無線接入點�����、基站無線接入點�、W1-Fi接入點��、以及用于將客戶端設備連接到通信網(wǎng)絡的任何其他無線接入點�。
34.一種包括存儲其上的計算機程序指令的計算機可讀介質,當在服務器或聲譽系統(tǒng)的一個或更多個處理器上執(zhí)行所述計算機程序指令時�,所述計算機程序指令執(zhí)行根據(jù)權利要求I至20中任一項所述的方法步驟。
35.一種包括存儲其上的計算機程序指令的計算機可讀介質,當在客戶端設備的一個或更多個處理器上執(zhí)行所述計算機程序指令時�����,所述計算機程序指令執(zhí)行根據(jù)權利要求21至27中任一項所述的方法步驟 �。
【文檔編號】H04W12/12GK103891332SQ201280050152
【公開日】2014年6月25日 申請日期:2012年8月7日 優(yōu)先權日:2011年8月12日
【發(fā)明者】麥卡·斯塔博格, 楊諾·尼美拉 申請人:F-賽酷公司