用于保护主机配置消息的方法
【专利摘要】提供了一种用于验证使用例如受信任协议、诸如Hostspot2.0的接入网络的方法、装置和计算机程序产品。在这个方面,提供了一种方法,该方法包括:促使至少一个可用网络被检测。该方法可以进一步包括针对该至少一个所检测的可用网络来确定完全限定域名(FQDN)。该方法可以进一步包括促使在与所确定的FQDN相对应的注册表中的注册表条目被访问,其中该注册表条目包括针对至少一个网络实体的至少一个证书。该方法可以进一步包括验证从所连接的网络所接收的配置信息,其中验证包括确定所接收的配置信息是否用数字证书来签名,该数字证书与所访问的注册表条目中的至少一个证书相对应。
【专利说明】用于保护主机配置消息的方法
【技术领域】
[0001]本发明的一些实施例一般性地涉及通信技术,并且更特别地涉及在无线环境中保护主机配置消息。
【背景技术】
[0002]主机(诸如移动终端)可以被配置为经由互联网协议(IP)版本6(v6)路由器通告(RA)或动态主机配置协议(DHCP) v6消息来接收地址配置信息,然而主机(诸如移动终端)可能不能够验证RA或DHCP消息的合法性。对验证该消息的合法性的这种无能力可能导致攻击,诸如流氓RA攻击。另外,在其中流氓DHCP服务器被使用的实例中,移动终端很可能将不能够确定DHCP服务器是否是为该网络指配IP地址的合法服务器。对验证所指配的IP地址的合法性的无能力可能允许攻击者以他们看来合适的方式错误地配置移动终端,例如,攻击者可能促使移动终端使用错误的源地址或者可能引导被错误配置的路由器/服务器向未检测的移动终端指配不正确的IP地址。在效果上,攻击者可以安排拒绝服务(denial-of-service)攻击和/或用于中间人(man-1n-theniddle)攻击的设置主机的两者。备选地或另外地,当路由器或服务器发送应消息(RA/DHCP_offermessage)而这些RA/DHCP_供应消息泄漏到它们本不应该到的网络段中时,移动终端IP地址错误配置还可能在该路由器或DHCP服务器错误配置的情况中发生。
[0003]另外,服务集标识符(SSID)可信度也是一个问题。例如,对于攻击者而言越来越流行建立起具有如“Sprint”或“ATT”的名称的SSID,并且作为响应,用户可能加入这样的网络,认为它们是受信任的供应商和无线服务。
【发明内容】
[0004]因此根据一个示例实施例提供了一种方法、装置和计算机程序产品,以便验证使用利用诸如HotSpot2.0类型网络部署的网络部署的接入网络。根据一个实施例,移动终端可以针对特定的接入网络(AN)来访问可信网络注册表,诸如HotSpot2.0注册表条目,该可信网络注册表与所发现的接入网络的完全限定域名(FQDN)相对应。使用该可信网络注册表(诸如HotSpot2.0注册表条目),该移动终端可以针对经验证的AN来下载服务提供商记录,该记录可以包括由受信任当局所签名的证书。这些证书还可以识别当前正在经验证的AN上操作的经验证的路由器、DHCP服务器和/或DNS服务器。在一些示例实施例中,使用这些经验证的证书,该移动终端然后可以被配置为验证各种RA、DHCP消息等是合法的,并且进一步地该移动终端可以接入该经验证的AN。
[0005]在这个方面,提供了一种方法,该方法包括:促使至少一个可用网络被检测。该方法可以进一步包括:针对该至少一个所检测的可用网络,确定完全限定域名(FQDN)。该方法可以进一步包括:促使在与所确定的FQDN相对应的注册表中的注册表条目被访问,其中该注册表条目包括用于至少一个网络实体的至少一个证书。该方法可以进一步包括:促使与该至少一个所检测的可用网络的连接。该方法可以进一步包括:验证从所连接的网络所接收的配置信息,其中验证包括确定所接收的配置信息是否用数字证书来签名,该数字证书与所访问的注册表条目中的该至少一个证书相对应。
[0006]一种示例装置可以包括至少一个处理器以及存储计算机程序代码的至少一个存储器,其中该至少一个存储器以及所存储的计算机程序代码被配置为与该至少一个处理器一起促使该装置来促使至少一个可用网络被检测。该至少一个存储器以及所存储的计算机程序代码进一步被配置为与该至少一个处理器一起促使该装置针对该至少一个所检测的可用网络来确定完全限定域名(FQDN)。该至少一个存储器以及所存储的计算机程序代码进一步被配置为与该至少一个处理器一起促使该装置来促使在与所确定的FQDN相对应的注册表中的注册表条目被访问,其中该注册表条目包括用于至少一个网络实体的至少一个证书。该至少一个存储器以及所存储的计算机程序代码进一步被配置为与该至少一个处理器一起促使该装置来促使与该至少一个所检测的可用网络的连接。该至少一个存储器以及所存储的计算机程序代码进一步被配置为与该至少一个处理器一起来促使该装置验证从所连接的网络所接收的配置信息,其中验证包括确定所接收的配置信息是否用数字证书来签名,该数字证书与所访问的注册表条目中的该至少一个证书相对应。
[0007]在进一步的实施例中,提供了一种计算机程序产品,该计算机程序产品包括在其中存储有计算机可读程序指令的至少一个非瞬态计算机可读存储介质,这些计算机可读程序指令包括:被配置为促使至少一个可用网络被检测的程序指令。这些计算机可读程序指令还包括:被配置为针对该至少一个所检测的可用网络来确定完全限定域名(FQDN)的程序指令。这些计算机可读程序指令还包括:被配置为促使在与所确定的FQDN相对应的注册表中的注册表条目被访问的程序指令,其中该注册表条目包括用于至少一个网络实体的至少一个证书。这些计算机可读程序指令还包括:被配置为促使与该至少一个所检测的可用网络的连接的程序指令。这些计算机可读程序指令还包括:被配置为验证从所连接的网络所接收的配置信息的程序指令,其中验证包括确定所接收的配置信息是否用数字证书来签名,该数字证书与所访问的注册表条目中的该至少一个证书相对应。
[0008]一种示例设备可以包括:用于促使至少一个可用网络被检测的装置。该设备还可以包括:用于针对该至少一个所检测的可用网络来确定完全限定域名(FQDN)的装置。该设备还可以包括:用于促使在与所确定的FQDN相对应的注册表中的注册表条目被访问的装置,其中该注册表条目包括用于至少一个网络实体的至少一个证书。该设备还可以包括:用于促使与该至少一个所检测的可用网络的连接的装置。该设备还可以包括:用于验证从所连接的网络所接收的配置信息的装置,其中验证包括确定所接收的配置信息是否用数字证书来签名,该数字证书与所访问的注册表条目中的该至少一个证书相对应。
【专利附图】
【附图说明】
[0009]已经如此一般性地描述了本发明的示例实施例,现在将对附图做出参考,这些附图不一定按比例绘制,并且其中:
[0010]图1是具有可能经历主机配置消息并且可以从本发明的实施例受益的移动终端的系统的示意性表示;
[0011]图2是根据本发明的一个实施例的可以由移动终端来体现的装置的框图;以及
[0012]图3是图示了根据本发明的一个实施例所执行的操作的流程图。【具体实施方式】
[0013]现在将在下文中参考附图更完全地描述本发明,在这些附图中示出了这些发明的一些但不是全部的实施例。事实上,这些发明可以以许多不同的形式来体现并且不应当被解释为限制于本文所阐述的这些实施例;更确切地,这些实施例被提供以使得本公开内容将满足可适用的法律要求。贯穿全文,相似的标号指代相似的元件。
[0014]如在本申请中所使用的,术语“电路”指代下列的所有:(a)仅硬件的电路实施方式(诸如仅模拟和/或数字电路中的实施方式)以及(b)电路和软件(和/或固件)的组合,诸如(如可适用的):(i)(多个)处理器的组合或者(ii)(多个)处理器/软件的部分(包括一起工作以促使装置(诸如移动电话或服务器)执行各种功能的(多个)数字信号处理器、软件、和(多个)存储器)以及(C)需要软件或固件用于操作的电路,诸如(多个)微处理器或(多个)微处理器的一部分,即使该软件或固件不是物理存在的。
[0015]“电路”的这个定义应用至在本申请中对这个术语的所有使用,包括在任何权利要求中。作为进一步的示例,如在本申请中所使用的,术语“电路”还将覆盖仅处理器(或多个处理器)或处理器的一部分以及它的(或它们的)伴随软件和/或固件的实施方式。用于示例并且如果对特定的权利要求元素可适用,术语“电路”还将覆盖用于移动电话的基带集成电路或专用集成电路,或者在服务器、蜂窝网络设备、或其他网络设备中的类似集成电路。
[0016]本发明的示例实施例的方法、装置以及计算机程序产品可以被配置为连同HotSpot2.0网络来操作。当前发明的示例实施例的示例移动终端可以被配置为,促使受信任网络实体(诸如HotSpot2.0注册表)被查询并且然后可以促使实体被下载,该实体可以包括下列非穷举的列表的至少一部分:热点的接入网络(AN)完全限定域名(FQDN) ;AN授权、授权和记账(AAA)服务器认证;以及其他受信任网络单元,诸如HotSpot2.0特定元件,如Hotspot2.0网络实体的信任锚(例如,Hotspot2.0ffiFi根CA)与发送者的(例如,接入网络路由器的)公共密钥之间的认证路径。在这个示例中,发送者可以是生成消息的网络实体(例如,诸如路由器、DHCP服务器、DNS服务器等等的网络实体)。
[0017]在802.11 (其由此通过引用而被并入)中被定义用以下载“热点在线签到提供商列表” L2元素的通用通告服务(GAS)接入网络查询协议(ANQP)过程具有下列内容:
[0018]
【权利要求】
1.一种方法,包括: 促使至少一个可用网络被检测; 针对所述至少一个所检测的可用网络,确定完全限定域名(FQDN); 促使在与所确定的FQDN相对应的注册表中的注册表条目被访问,其中所述注册表条目包括针对至少一个网络实体的至少一个证书; 促使与所述至少一个所检测的可用网络的连接;以及 验证从所连接的网络所接收的配置信息,其中验证包括确定所接收的配置信息是否用数字证书来签名,所述数字证书与所访问的注册表条目中的所述至少一个证书相对应。
2.根据权利要求1所述的方法,其中所访问的注册表条目包括针对服务提供商的路由器、动态主机配置协议(DHCP)服务器或域名系统(DNS)服务器中至少一项的证书。
3.根据权利要求1所述的方法,进一步包括:接收包括来自路由器、DHCP服务器或DNS服务器中至少一项的签名的消息,其中所述签名进一步包括属于移动终端的标识或随机数中的至少一项。
4.根据权利要求1所述的方法,进一步包括:接收包括来自路由器、DHCP服务器或DNS服务器中至少一项的签名的消息,其中所述消息进一步包括被用来签名所述消息的公共密钥的哈希,以依据签名所述消息的服务提供商记录来确定网络实体。
5.根据权利要求1所述的方法,进一步包括:确定所接收的路由器通告、DHCP或DHCPv6消息是否来自经验证的合法网络实体,并且在所接收的消息包含网络单元的有效签名的实例中促使与经验证的 接入网络的连接,所述网络单元被授权给与所述接入网络相关联的至少一个移动终端的IP供应。
6.根据权利要求1所述的方法,其中在网络实体在所述注册表中具有对应的证书、或者网络实体具有由在所述注册表中具有对应的证书的实体所发出的证书的实例中,所述网络实体被授权。
7.根据权利要求1所述的方法,其中IPv6头部选项被定义为通过所指配的IP地址以及属于客户端的标识或随机数而在路由器通告中携带签名。
8.根据权利要求1所述的方法,其中签名包括至少一个字段,其中所述字段中的一个字段包括生成所述数字签名的实体的FQDN。
9.根据权利要求1所述的方法,其中路由器请求包含由所述路由器通告所签名的字段中的链路层地址选项或随机数选项中的至少一个。
10.根据权利要求1所述的方法,其中DHCPV6消息包含被配置为携带哈希和签名的认证选项。
11.根据权利要求1所述的方法,进一步包括:在签名被验证并且存在以下各项之一的实例中接受IP地址配置信息:所述网络实体在所述注册表中具有对应的证书或者所述网络实体具有由在所述注册表中具有对应的证书的实体所发出的证书。
12.一种装置,包括: 处理器,以及 包括软件的存储器,所述存储器与所述软件被配置为与所述处理器一起促使所述装置至少: 促使至少一个可用网络被 检测;针对所述至少一个所检测的可用网络,确定完全限定域名(FQDN); 促使在与所确定的FQDN相对应的注册表中的注册表条目被访问,其中所述注册表条目包括针对至少一个网络实体的至少一个证书; 促使与所述至少一个所检测的可用网络的连接;以及 验证从所连接的网络所接收的配置信息,其中验证包括确定所接收的配置信息是否用数字证书来签名,所述数字证书与所访问的注册表条目中的所述至少一个证书相对应。
13.根据权利要求12所述的装置,其中所访问的注册表条目包括针对服务提供商的路由器、动态主机配置协议(DHCP)服务器或域名系统(DNS)服务器中至少一项的证书。
14.根据权利要求12所述的装置,其中包括计算机程序代码的所述至少一个存储器进一步被配置为与所述至少一个处理器一起促使所述装置:接收包括来自路由器、DHCP服务器或DNS服务器中至少一项的签名的消息,其中所述签名进一步包括属于移动终端的属于移动终端的标识或随机数中的至少一项。
15.根据权利要求12所述的装置,其中包括计算机程序代码的所述至少一个存储器进一步被配置为与所述至少一个处理器一起促使所述装置:接收包括来自路由器、DHCP服务器或DNS服务器中至少一项的签名的消息,其中所述消息进一步包括被用来签名所述消息的公共密钥的哈希,以依据签名所述消息的服务提供商记录来确定网络实体。
16.根据权利要求12所述的装置,其中包括计算机程序代码的所述至少一个存储器进一步被配置为与所述至少一个处理器一起促使所述装置:确定所接收的路由器通告、DHCP或DHCPv6消息是否来自经验证的合法网络实体,并且在所接收的消息包含网络单元的有效签名的实例中促使与经验证的接入网络的连接,所述网络单元被授权给与所述接入网络相关联的至少一个移动终端 的IP供应。
17.根据权利要求12所述的装置,其中在网络实体在所述注册表中具有对应的证书、或者网络实体具有由在所述注册表中具有对应的证书的实体所发出的证书的实例中,所述网络实体被授权。
18.根据权利要求12所述的装置,其中IPv6头部选项被定义为通过所指配的IP地址以及属于客户端的标识或随机数而在路由器通告中携带签名。
19.根据权利要求12所述的装置,其中签名包括至少一个字段,其中所述字段中的一个字段包括生成所述数字签名的实体的FQDN。
20.根据权利要求12所述的装置,其中路由器请求包含由所述路由器通告所签名的字段中的链路层地址选项或随机数选项。
21.根据权利要求12所述的装置,其中DHCPv6消息包含被配置为携带哈希和签名的认证选项。
22.根据权利要求12所述的装置,其中包括计算机程序代码的所述至少一个存储器进一步被配置为与所述至少一个处理器一起促使所述装置:在签名被验证并且存在以下各项之一的实例中接受IP地址配置信息:所述网络实体在所述注册表中具有对应的证书或者所述网络实体具有由在所述注册表中具有对应的证书的实体所发出的证书。
23.一种计算机程序产品,包括: 其上存储有程序代码的至少一个计算机可读非瞬态存储器介质,所述程序代码在由装置执行时促使所述装置至少:促使至少一个可用网络被检测; 针对所述至少一个所检测的可用网络,确定完全限定域名(FQDN); 促使在与所确定的FQDN相对应的注册表中的注册表条目被访问,其中所述注册表条目包括针对至少一个网络实体的至少一个证书; 促使与所述至少一个所检测的可用网络的连接;以及 验证从所连接的网络所接收的配置信息,其中验证包括确定所接收的配置信息是否用数字证书来签名,所述数字证书与所访问的注册表条目中的所述至少一个证书相对应。
24.根据权利要求23所述的计算机程序产品,其中所访问的注册表条目包括针对服务提供商的路由器、动态主机配置协议(DHCP)服务器或域名系统(DNS)服务器中至少一项的证书。
25.根据权利要求23所述的计算机程序产品,进一步包括在由装置执行时促使所述装置至少执行以下操作的程序代码:接收包括来自路由器、DHCP服务器或DNS服务器中至少一项的签名的消息,其中所述签名进一步包括属于移动终端的属于移动终端的标识或随机数中的至少一项。
26.根据权利要求23所述的计算机程序产品,进一步包括在由装置执行时促使所述装置至少执行以下操作的程序代码:接收包括来自路由器、DHCP服务器或DNS服务器中至少一项的签名的消息,其中所述消息进一步包括被用来签名所述消息的公共密钥的哈希,以依据签名所述消息的服务提供商记录来确定网络实体。
27.根据权利要求23所述的计算机程序产品,进一步包括在由装置执行时促使所述装置至少执行以下操作的程序代码:确定所接收的路由器通告、DHCP或DHCPv6消息是否来自经验证的合法网络实体,并 且在所接收的消息包含网络单元的有效签名的实例中促使与经验证的接入网络的连接,所述网络单元被授权给与所述接入网络相关联的至少一个移动终端的IP供应。
28.根据权利要求23所述的计算机程序产品,其中IPv6头部选项被定义为包含消息的签名。
29.根据权利要求23所述的计算机程序产品,其中IPv6头部选项被定义为通过所指配的IP地址以及属于客户端的标识或随机数而在路由器通告中携带签名。
30.根据权利要求23所述的计算机程序产品,其中签名包括至少一个字段,其中所述字段中的一个字段包括生成所述数字签名的实体的FQDN。
31.根据权利要求23所述的计算机程序产品,其中路由器请求包含由所述路由器通告所签名的字段中的链路层地址选项或随机数选项。
32.根据权利要求23所述的计算机程序产品,其中DHCPv6消息包含被配置为携带哈希和签名的认证选项。
33.根据权利要求23所述的计算机程序产品,进一步包括在由装置执行时促使所述装置至少执行以下操作的程序代码:在签名被验证并且存在以下各项之一的实例中接受IP地址配置信息:所述网络实体在所述注册表中具有对应的证书或者所述网络实体具有由在所述注册表中具有对应的证书的实体所发出的证书。
34.一种设备,包括: 用于促使至少一个可用网络被检测的装置;用于针对所述至少一个所检测的可用网络,确定完全限定域名(FQDN)的装置; 用于促使在与所确定的FQDN相对应的注册表中的注册表条目被访问的装置,其中所述注册表条目包括针对至少一个网络实体的至少一个证书; 用于促使与所述至少一个所检测的可用网络的连接的装置;以及 用于验证从所连接的网络所接收的配置信息的装置,其中验证包括确定所接收的配置信息是否用数字证书来签名,所述数字证书与所访问的注册表条目中的所述至少一个证书相对应。
35.根据权利要求34所述的设备,其中所访问的注册表条目包括针对服务提供商的路由器、动态主机配置协议(DHCP)服务器或域名系统(DNS)服务器中至少一项的证书。
36.根据权利要求34所述的设备,进一步包括:用于接收包括来自路由器、DHCP服务器或DNS服务器中至少一项的签名的消息的装置,其中所述签名进一步包括属于移动终端的属于移动终端的标识或随机数中的至少一项。
37.根据权利要求34所述的设备,进一步包括:用于接收包括来自路由器、DHCP服务器或DNS服务器中至少一项的签名的消息的装置,其中所述消息进一步包括被用来签名所述消息的公共密钥的哈希,以依据签名所述消息的服务提供商记录来确定网络实体。
38.根据权利要求34所述的设备,进一步包括:用于接收针对主机的无线电通告的装置,其中所述无线电通告包括证书选项,所述证书选项包含针对用AAA服务器的认证来签名的路由器的证书。
39.根据权利要求34所述的设备,进一步包括:用于确定所接收的路由器通告、DHCP或DHCPv6消息是否来自经验证的合法网络实体并且在所接收的消息包含网络单元的有效签名的实例中促使与经验证的接入 网络的连接的装置,所述网络单元被授权给与所述接入网络相关联的至少一个移动终端的IP供应。
40.根据权利要求34所述的设备,其中IPv6头部选项被定义为通过所指配的IP地址以及属于客户端的标识或随机数而在路由器通告中携带签名。
41.根据权利要求34所述的设备,其中在网络实体在所述注册表中具有对应的证书、或者网络实体具有由在所述注册表中具有对应的证书的实体所发出的证书的实例中,所述网络实体被授权。
42.根据权利要求34所述的设备,其中签名包括至少一个字段,其中所述字段中的一个字段包括生成所述数字签名的实体的FQDN。
43.根据权利要求34所述的设备,其中路由器请求包含由所述路由器通告所签名的字段中的链路层地址选项或随机数选项。
44.根据权利要求34所述的设备,其中DHCPv6消息包含被配置为携带哈希和签名的认证选项。
45.根据权利要求34所述的设备,进一步包括:用于在签名被验证并且存在以下各项之一的实例中接受IP地址配置信息的装置:所述网络实体在所述注册表中具有对应的证书或者所述网络实体具有由在所述 注册表中具有对应的证书的实体所发出的证书。
【文档编号】H04W12/06GK103891329SQ201180074388
【公开日】2014年6月25日 申请日期:2011年10月25日 优先权日:2011年10月25日
【发明者】T·萨沃莱南, B·加伯尔 申请人:诺基亚公司