电子装置和电子装置的控制方法与流程
本公开涉及一种电子装置及其控制方法。更具体地,本公开涉及一种能够验证wi-fi网络的安全性的电子装置及其控制方法。
背景技术:
使用恶意接入点(ap)攻击无线保真(wi-fi)网络日益引起关注。特别地,以诸如调制ap固件、将恶意ap伪装成使用普及服务集标识符(ssid)的正常ap和获取用户信息等方式生成恶意ap的实例已经急剧增加。
已经开发出响应于对wi-fi网络的攻击而验证ap的安全性的技术,但是用于验证经由移动网络从ap接收的证书的相关领域安全验证技术仅可以用于支持该功能的ap。特别地,在通过移动装置来确保在各种环境中使用wi-fi网络的安全性方面存在着局限性。
另外,通过web浏览器经由安全浏览功能提供的基于黑名单的钓鱼网站检测技术的局限性在于,经由ap攻击的内部网络中操作的虚假网站并未登记在黑名单数据库中,因此无法检测。
与wi-fi网络相比,移动网络具有相对较高的安全性,但是缺点在于,其数据发送速度相对慢,并且移动通信费用根据数据发送量的增加而增加。因此,除非可以连接的ap不在范围内,否则用户通常更倾向wi-fi网络。
因此,需要能够通过有效地检测到使用恶意ap进行攻击的中间人(mitm)来验证wi-fi网络的安全性的技术。
技术实现要素:
技术问题
提供了一种能够验证wi-fi网络的安全性的电子装置及其控制方法。
其它的方面将部分地在下面的描述中阐述,并且部分地将从描述中显而易见,或可以通过所呈现的实施方式的实践来了解。
技术方案
根据本公开的一方面,一种电子装置包括:第一通信接口;第二通信接口;存储器,存储器存储至少一个指令;以及处理器,处理器配置为执行至少一个指令以:接收用于访问网站的用户命令;响应于接收到的用户命令,通过经由第一通信接口建立的第一信道来获得与网站的地址相关的第一信息,并且通过经由第二通信接口建立的第二信道从提供网站的服务器获得与网站的地址相关的第二信息;基于第一信息和第二信息相同,维持通过第一信道与服务器进行通信;以及基于第一信息和第二信息不同,终止通过第一信道与服务器进行通信或者根据第二信息通过第一信道与服务器通信。
第一信息和第二信息可以各自包括与用于与服务器进行通信的协议相关的信息。
处理器还可以配置为执行至少一个指令以:基于第一信息中包括超文本发送协议(http)且第二信息中包括安全超文本发送协议(https),根据第二信息通过第一信道与服务器通信。
第一通信接口可以是接入用于wi-fi网络的接入点的通信接口;以及第二通信接口可以是接入用于移动网络的基站的通信接口。
处理器还可以配置为执行至少一个指令以:响应于接收到的用户命令,还通过第一信道获得包括与网站中包括的内容的特征点上的指纹信息有关的第三信息,并且还通过第二信道从服务器获得包括指纹信息的第四信息;基于第三信息和第四信息相同,维持通过第一信道与服务器进行通信;以及基于第三信息和第四信息不同,终止通过第一信道与服务器进行通信。
第一信息和第二信息可以各自包括与网站的域名有关的信息。
电子装置还可以包括:输出接口,其中,处理器还配置为执行至少一个指令以:基于第一信息和第二信息不同,经由输出接口提供询问是否终止通过第一信道与服务器进行通信的通知。
根据本公开的另一方面,一种电子装置的控制方法包括:接收用于访问网站的用户命令;响应于接收到的用户命令,通过经由电子装置的第一通信接口建立的第一信道来获得与网站的地址相关的第一信息,并且通过经由电子装置的第二通信接口建立的第二信道从服务器获得与网站的地址相关的第二信息;基于第一信息和第二信息相同,维持通过第一信道与服务器进行通信;以及基于第一信息和第二信息不同,终止通过第一信道与服务器进行通信或者根据第二信息通过第一信道与服务器通信。
第一信息和第二信息可以各自包括与用于与服务器进行通信的协议相关的信息。
终止通过第一信道与服务器进行通信或根据第二信息通过第一信道与服务器通信可以包括:基于第一信息中包括超文本发送协议(http)且第二信息中包括安全超文本发送协议(https),根据第二信息通过第一信道与服务器通信。
第一信道可以是通过用于wi-fi网络的接入点建立的信道;以及第二信道可以是通过用于移动网络的基站建立的信道。
获得的步骤可以包括:响应于接收到的用户命令,还通过第一信道获得包括与网站中包括的内容的特征点上的指纹信息有关的第三信息,并且还通过第二信道从服务器获得包括指纹信息的第四信息;维持通信的步骤可以包括:基于第三信息和第四信息相同,维持通过第一信道与服务器进行通信;以及终止通信的步骤可以包括:基于第三信息和第四信息不同,终止通过第一信道与服务器进行通信。
第一信息和第二信息各自包括与网站的域名有关的信息。
该方法还包括:基于第一信息和第二信息不同,提供询问是否终止通过第一信道与服务器进行通信的通知。
根据本公开的另一方面,一种非暂时性计算机可读记录介质,包括用于执行电子装置的控制方法的程序,电子装置的控制方法包括:接收用于访问网站的用户命令;响应于接收到的用户命令,通过经由电子装置的第一通信接口建立的第一信道来获得与网站的地址相关的第一信息,并且通过经由电子装置的第二通信接口建立的第二信道从服务器获得与网站的地址相关的第二信息;基于第一信息和第二信息相同,维持通过第一信道与服务器进行通信;以及基于第一信息和第二信息不同,终止通过第一信道与服务器进行通信或者根据第二信息通过第一信道与服务器通信。
第一信息和第二信息可以各自包括与用于与服务器进行通信的协议相关的信息。
终止通过第一信道与服务器进行通信或根据第二信息通过第一信道与服务器通信可以包括:基于第一信息中包括超文本发送协议(http)且第二信息中包括安全超文本发送协议(https),根据第二信息通过第一信道与服务器通信。
第一信道可以是通过用于wi-fi网络的接入点建立的信道;以及第二信道可以是通过用于移动网络的基站建立的信道。
获得的步骤可以包括:响应于接收到的用户命令,还通过第一信道获得包括与网站中包括的内容的特征点上的指纹信息有关的第三信息,并且还通过第二信道从服务器获得包括指纹信息的第四信息;维持通信的步骤可以包括:基于第三信息和第四信息相同,维持通过第一信道与服务器进行通信;以及终止通信的步骤可以包括:基于第三信息和第四信息不同,终止通过第一信道与服务器进行通信。
第一信息和第二信息各自包括与网站的域名有关的信息。
根据本公开的另一方面,一种电子装置的控制方法包括:响应于由服务器提供的访问网站的命令,通过第一信道获得与网站的地址相关的和/或包括网站中包括的内容的特征点上的指纹信息的第一信息,并且通过第二信道从服务器获得与网站的地址相关的和/或包括指纹信息的第二信息;基于第一信息和第二信息相同,维持通过第一信道与服务器进行通信;以及基于第一信息和第二信息不同,终止通过第一信道与服务器进行通信或者根据第二信息通过第一信道与服务器通信。
第一信息和第二信息可以各自包括与用于与服务器进行通信的协议相关的信息。
终止通过第一信道与服务器进行通信或根据第二信息通过第一信道与服务器通信可以包括:基于第一信息中包括超文本发送协议(http)且第二信息中包括安全超文本发送协议(https),根据第二信息通过第一信道与服务器通信。
第一信道可以是通过用于wi-fi网络的接入点建立的信道;以及第二信道可以是通过用于移动网络的基站建立的信道。
第一信息和第二信息各自包括与网站的域名有关的信息。
附图说明
从下面结合附图的描述中,本公开某些实施方式的以上和其它方面、特征和优点将更加显而易见,在附图中:
图1是提供以用于描述根据实施方式的wi-fi网络的安全性确认过程的视图;
图2是示出根据实施方式的电子装置的配置的框图;
图3是一种类型的中间人(mitm)攻击以及对其作出响应的实施方式的视图;
图4是一种类型的中间人(mitm)攻击以及对其作出响应的实施方式的视图;
图5是提供以用于描述另一种类型的mitm攻击以及对其作出响应的实施方式的视图;
图6是提供以用于描述另一种类型的mitm攻击以及对其作出响应的实施方式的视图;
图7是具体示出根据实施方式的电子装置的配置的框图;
图8是根据实施方式的提供安全性警告通知的用户界面的视图;
图9是示出根据实施方式的电子装置的控制方法的视图;以及
图10是示出根据实施方式的以时间序列方式的wi-fi网络的安全性确认过程的顺序图。
具体实施方式
下文中,将参考附图描述本公开的实施方式。然而,可以理解,本公开并不限于下文描述的实施方式,还包括本公开的各种修改、等效物和/或替代方案。关于附图的解释,可以将相似的附图标记用于相似的构成元件。
另外,以下实施方式可以以许多不同的形式进行修改,并且本公开的技术精神的范围不限于以下示例。相反,提供这些实施方式使得本公开将是透彻和完整的,并且将向本领域的技术人员充分地传达技术精神。
本文中所使用的术语是为了描述某些实施方式,而不旨在限制权利要求的范围。除非另有说明,否则单数表述包括复数表述。
在本说明书中,“具有”、“可以具有”、“包括”或“可以包括”等的表述表示对应特征(例如,部件、数量、功能、操作或部分)的存在且不排除附加特征的存在。
在本文件中,诸如“a[和/或]b中的至少一个”或“a[和/或]b中的一个或多个”等的表述包括所列项目的所有可能组合。例如,“a和b中的至少一个”或“a或b中的至少一个”包括以下任一种:(1)至少一个a;(2)至少一个b;或(3)至少一个a和至少一个b。
如本文中所使用的,术语“第一”、“第二”等可以指示各种部件而不论其次序和/或重要性,并且可以用于将一个部件与另一部件区分开来而不限制部件。
如果描述某一元件(例如,第一元件)与另一元件(例如,第二元件)“可以操作或可以通信地联接”或“连接到”另一元件时,则应理解,某一元件可以直接地或通过其它元件(例如,第三元件)连接到另一元件。
另一方面,如果描述某一元件(例如,第一元件)“直接地联接”或“直接地连接”到另一元件(例如,第二元件),则应理解,在某一元件与另一元件之间不存在其它元件(例如,第三元件)。
另外,在本公开中所使用的表述“配置为”可以根据情况与诸如“适合于”、“有能力”、“被设计为”、“适用于”、“被迫”和“能够做”等的其它表述互换使用。同时,术语“配置为”不一定意味着装置在硬件方面“被专门设计为”。
相反,在一些情况下,表述“配置为……的装置”可以意味着装置“能够”与另一装置或部件一起执行操作。例如,短语“配置为执行a、b和c的处理器”可以意味着用于执行相应操作的专用处理器(例如,嵌入式处理器),或者可以通过执行存储在存储器装置中的一个或多个软件程序来执行相应操作的通用处理器(例如,中央处理单元(cpu)或应用处理器)。
诸如“模块”、“单元”、“部分”等的术语用于指代执行至少一个功能或操作的元件,并且这种元件可以实现为硬件或软件,或者硬件和软件的组合。此外,除了多个“模块”、“单元”、“部分”等中的每个需要在单独硬件中实现的情况以外,部件可以集成在至少一个模块或芯片中并在至少一个处理器中实现。
应理解,附图中的各种元件和区域并未按比例示出。因此,本公开的范围不受从附图测绘的相对大小或间距的限制。
根据各种实施方式的电子装置可以包括例如智能电话、平板个人计算机(pc)、台式pc、膝上型pc或可穿戴装置中的至少一种。可穿戴装置可以包括附件型(例如,手表、戒指、手镯、踝链、项链、眼镜、隐形眼镜或头戴式装置(hmd))、织物或服装嵌入型(例如,电子服装);皮肤附着型(例如,皮肤垫或纹身)、或生物可植入电路中的至少一种。
在一些实施方式中,电子装置可以包括例如电视机、数字视频光盘(dvd)播放器、音频播放器、冰箱、空调、吸尘器、烤箱、微波炉、洗衣机、空气净化器、机顶盒、家庭自动化控制面板、安全控制面板、媒体盒(例如,三星家庭影院、苹果tvtm或谷歌tvtm)、游戏机(例如,xboxtm、playstationtm)、电子词典、电子钥匙、摄录像机或电子相框中的至少一种。
在其它实施方式中,电子装置可以包括各种医疗装置(例如,各种便携式医疗测量装置(诸如血糖仪、心率计、血压计或体温测量装置)、磁共振血管成像(mra)、磁共振成像(mri)、计算机断层扫描(ct)或超声波装置等)、导航系统、全球导航卫星系统(gnss)、事件数据记录器(edr)、飞行数据记录器(fdr)、车辆信息娱乐装置、船用电子装备(例如,船用导航装置、陀螺罗盘等)、航空电子装置、安全装置、汽车车头单元、工业或家庭机器人、无人机、自动柜员机(atm)、商店的销售点或物联网(iot)装置(例如,灯泡、传感器、喷洒器装置、火灾报警器、恒温器、路灯、烤面包机、健身器材、热水箱、加热器、锅炉等)中的至少一种。
在下文中,将参考附图详细地描述实施方式,使得本公开所属领域的技术人员可以容易地进行并使用实施方式。
图1是提供以用于描述根据实施方式的wi-fi网络的安全性确认过程的视图。
如图1所示,根据实施方式的电子装置100可以与提供网站的服务器200通信。具体而言,电子装置100可以通过wi-fi网络或移动网络与提供网站的服务器200通信。
电子装置100可以接入wi-fi网络的接入点(ap)100并且建立第一信道以与服务器200进行通信。电子装置100可以通过所建立的第一信道与服务器200进行通信。
另外,电子装置100可以接入移动网络的基站20并且建立第二信道以与服务器200进行通信。电子装置100可以通过建立的第二信道与服务器200进行通信。
下文中描述的实施方式基于通过第二信道获得的信息来确认第一信道的安全性,与第一信道相比第二信道具有相对较高的安全性。然而,应理解,一个或多个其它实施方式并不限于如下情况:第一信道是用于wi-fi网络的信道,并且第二信道是用于移动网络的信道。换句话说,只要可以基于通过第二信道获得的信息来确认第一信道的安全性,则根据各种实施方式的第一信道和第二信道可以是用于各种类型的网络的信道。
在下文中,为了便于描述,假设电子装置100通过经由wi-fi网络的第一信道以及通过经由移动网络的第二信道与服务器200进行通信。
同时,电子装置100可以接收用于访问网站的用户命令。响应于接收到的用户命令,电子装置100可以通过第一信道从提供网站的服务器200获得与网站的地址相关的第一信息,并且通过第二信道从服务器200获得与网站的地址相关的第二信息。
这里,第一信息和第二信息是能够识别网站的信息。该信息是指能够通过对两个信息进行比较来确认通信信道的安全性以与提供相应网站的服务器进行通信的信息。
具体而言,第一信息和第二信息可以是与网站的地址相关的信息。与网站的地址相关的信息可以包括与用于与提供网站的服务器200进行通信的协议相关的信息以及与网站的域名相关的信息中的至少一个。
根据实施方式,与用于与提供网站的服务器200进行通信的协议有关的信息可以包括与服务器200对于电子装置100的超文本发送协议(http)请求的响应有关的信息。例如,当经由第一信道访问域名为www.abc.com的网站和经由第二信道访问域名为www.abc.com的网站时,提供网站的服务器200可以分别通过第一信道和第二信道发送http(例如,http://www.abc.com)响应或http安全(https)(例如,https://www.abc.com)响应。
根据实施方式,电子装置100还可以从服务器200获得网站中包括的内容的特征点上的指纹信息以及与网站地址相关的信息。
通过第一信道和第二信道获得的信息并不限于以上示例,并且各种实施方式可以应用于通过对通过第一信道获得的信息和通过第二信道获得的信息进行比较来确认第一信道的安全性的任何信息。
同时,当通过第一信道获得了第一信息并且通过第二信道获得了第二信息时,电子装置100可以通过基于所获得的第一信息和所获得的第二信号来确认是否发生对第一信道的中间人(mitm)攻击,而确定是否终止通过第一信道与服务器200进行通信。
具体而言,当所获得的第一信息和所获得的第二信息相同时,电子装置100可以维持通过第一信道与服务器200进行通信。当所获得的第一信息和所获得的第二信息不同时,电子装置100可以终止通过第一信道与服务器200进行通信。
换句话说,如果通过第一信道获得的信息和通过安全性相对第一信道更高的第二信道获得的信息相同,则电子装置100可以确定第一信道的安全性已经被验证,并且可以维持通过第一信道与服务器200进行通信。相反,如果通过第一信道获得的信息和通过第二信道获得的信息不同,则电子装置100可以确定已经发生对第一信道的mitm攻击,并且可以终止通过第一信道与服务器200进行通信。
在前述示例中,当提供网站的服务器200通过第一信道发送https(例如,https://www.abc.com)响应且还通过第二信道发送https(例如,https://www.abc.com)响应时,电子装置100可以确定第一信道的安全性得以确认,并且维持通过第一信道与服务器200进行通信。
当提供网站的服务器200通过第一信道发送http(例如,http://www.abc.com)响应且通过第二信道发送https(例如,https://www.abc.com)响应时,电子装置100可以确定已经发生对第一信道的mitm攻击,并且终止通过第一信道与服务器200进行通信。
根据实施方式,电子装置100可以通过基于通过移动网络获得的信息确认对具体接入点100的mitm攻击的发生来验证wi-fi网络的安全性,并且然后通过wi-fi网络与提供网站的服务器200通信。
因此,电子装置100的用户可以使用在一定范围内的移动网络进行wi-fi网络的安全性确认,并且然后可以使用具有相对快的数据发送速度且不会引发根据数据发送量的移动通信费用的wi-fi网络。
图2是示出根据实施方式的电子装置100的配置的框图。
如图2所示,根据实施方式的电子装置100包括第一通信接口110-1、第二通信接口110-2、存储器120以及处理器130。
第一通信接口110-1和第二通信接口110-2全都可以与服务器200进行通信。特别地,第一通信接口110-1和第二通信接口110-2全都可以与提供网站的服务器200进行通信、向服务器200发送用户信息、以及从服务器200接收网站中包括的信息。
在各种实施方式中,第一通信接口110-1可以是用于接入wi-fi网络的接入点的通信接口110,并且第二通信接口110-2可以是用于接入移动网络的基站的通信接口110。同时,下文中的术语通信接口110可以统称为第一通信接口110-1和第二通信接口110-2。
关于电子装置100的至少一个指令可以存储在存储器120中。另外,用于驱动电子装置100的操作系统(o/s)可以存储在存储器120中。根据各种实施方式,存储器120可以存储用于操作电子装置100的各种软件程序或应用程序。存储器120可以包括半导体存储器(诸如闪存)、磁性存储介质(诸如硬盘)等。
具体而言,存储器120可以存储用于操作电子装置100的各种软件模块,并且处理器130(例如,至少一个处理器)可以通过执行存储在存储器120中的各种软件模块来控制电子装置100的操作。换句话说,存储器120可以由处理器130访问,并且可以由处理器130执行对数据的读取、记录、修改、删除、更新等。
应理解,术语存储器120可以用于指代任何易失性或非易失性存储器、处于处理器130附近或其中的rom、ram,或者安装到电子装置100的存储卡(例如,微型sd卡、记忆棒)。
根据各种实施方式,存储器120可以存储与网站的地址相关的第一信息和第二信息,以及包括有关内容的特征点上的指纹信息的第三信息和第四信息等。具体而言,当处理器130通过通信接口110获得与网站的地址相关的第一信息和第二信息以及包括有关内容的特征点上的指纹信息的第三信息和第四信息时,所获得的第一信息、第二信息、第三信息和第四信息可以存储在存储器120中。
处理器130控制电子装置100的整体操作。具体而言,处理器130连接到如上所述的包括第一通信接口110-1、第二通信接口110-2和存储器120的电子装置100的配置,并且通过执行如上所述的存储在存储器120中的至少一个指令来控制电子装置100的整体操作。
处理器130可以通过各种方式来实现。例如,处理器130可以被实现为专用集成电路(asic)、嵌入式处理器、微处理器、硬件控制逻辑、硬件有限状态机(fsm)、数字信号处理器(dsp)等中的至少一个。此外,处理器130可以包括中央处理单元(cpu)、图形处理单元(gpu)、主处理单元(mpu)等中的至少一个。
根据实施方式,处理器130可以通过第一通信接口110-1和第二通信接口110-2与提供网站的服务器200进行通信。
具体而言,处理器130可以通过第一通信接口110-1接入wi-fi网络的接入点,并且建立用于与服务器200进行通信的第一信道。处理器130可以通过所建立的第一信道与服务器200进行通信。
处理器130可以通过经由第二通信接口110-2接入移动网络的基站来建立用于与服务器200进行通信的第二信道。处理器130可以通过所建立的第二信道与服务器200进行通信。
一个或多个实施方式基于通过第二信道获得的信息来确认第一信道的安全性,与第一信道相比第二信道具有相对较高的安全性。然而,应理解,一个或多个其它实施方式并不限于如下情况:第一信道是用于wi-fi网络的信道,并且第二信道是用于移动网络的信道。换句话说,如果可以基于通过第二信道获得的信息来确认第一信道的安全性的限制下,则根据各种实施方式的第一信道和第二信道可以是用于各种类型的网络的信道。
在下文中,为了便于描述,将描述处理器130通过经由wi-fi网络的第一信道以及通过经由移动网络的第二信道执行通信。
处理器130可以接收用于访问网站的用户命令。响应于接收到的用户命令,处理器130可以通过第一信道从提供网站的服务器200获得与网站地址相关的第一信息,并且通过第二信道从服务器200获得与网站相关的第二信息。
这里,第一信息和第二信息可以是能够识别网站的信息,并且能够通过对这两个信息进行来确认用于与提供相应网站的服务器进行通信的通信信道的安全性。
具体而言,第一信息和第二信息可以是与网站地址相关的信息。与网站地址相关的信息可以包括与用于与提供网站的服务器200进行通信的协议有关的信息和与网站的域名有关的信息中的至少一个。
根据实施方式,与用于与提供网站的服务器200进行通信的协议有关的信息可以包括与服务器200对于电子装置100的http请求的响应有关的信息。例如,当经由第一信道访问域名为www.abc.com的网站和经由第二信道访问域名为www.abc.com的网站时,提供网站的服务器200可以分别通过第一信道和第二信道发送http(http://www.abc.com)响应或https(https://www.abc.com)响应。
根据实施方式,处理器130还可以包括与网站地址相关的信息,以及与来自服务器200的网站中包括的内容的特征点有关的指纹信息。
例如,当通过第一信道访问域名为www.xyz.com的网站和通过第二信道访问域名为www.xyz.com的网站时,处理器130可以通过第一信道和第二信道从提供网站的服务器200接收每个网站中包括的内容的特征点上的指纹信息。
这里,指纹信息是指与网站中包括的内容的特征点有关的信息,并且是指与尽管内容被篡改/变更仍维持的唯一特征有关的信息。具体而言,指纹信息可以包括与网页中包括的文本或图像的位置有关的信息。指纹信息还可以包括与网页中包括的文本或图像的颜色有关的唯一信息。
应理解,通过第一信道和第二信道获得的信息并不限于以上示例,并且本公开可以应用于通过对通过第一信道获得的信息和通过第二信道获得的信息进行比较而能够确认第一信道的安全性的任何信息。
例如,通过第一信道获得的信息和通过第二信道获得的信息可以包括与由如上所述的网站提供的多个网页中的至少一个网页中包括的全部内容有关的信息。
当通过第一信道获得了第一信息且通过第二信道获得了第二信息时,处理器130可以通过基于所获得的第一信息和所获得的第二信号来确认是否发生对第一信道的mitm攻击,而确定是否终止通过第一信道与服务器200进行通信。
具体而言,当所获得的第一信息和所获得的第二信息相同时,处理器130可以维持通过第一信道与服务器200进行通信。相反,当所获得的第一信息和所获得的第二信息不同时,处理器130可以终止通过第一信道与服务器200进行通信。
换句话说,如果通过第一信道获得的信息和通过第二信道获得的信息相同,其中与第一信道相比第二信道具有相对较高的安全性,则处理器130可以确定第一信道的安全性已经被验证,并且可以维持通过第一信道与服务器200进行通信。如果通过第一信道获得的信息和通过第二信道获得的信息不同,则处理器130可以确定已经发生对第一信道的mitm攻击,并且终止通过第一信道与服务器200进行通信。
在以上示例中,当提供网站的服务器200通过第一信道发送http(例如,http://www.abc.com)响应并且通过第二信道发送https(例如,https://www.abc.com)响应时,处理器130可以确定已经发生对第一信道的mitm攻击,并且可以终止通过第一信道与服务器200进行通信。
当提供网站的服务器200以相同的方式通过第一信道发送http(例如,http://www.abc.com)响应并且通过第二信道发送http(例如,http://www.abc.com)响应时,处理器130可以确定第一信道的安全性得以确认,并且维持通过第一信道与服务器200进行通信。这种情况与网站中不支持https的情况对应。
当提供网站的服务器200通过第一信道发送https(例如,https://www.abc.com)响应并且还通过第二信道发送https(例如,https://www.abc.com)响应时,处理器130可以确定第一信道的安全性得以确认,并且维持通过第一信道与服务器200进行通信。
当提供网站的服务器200通过第一信道发送https(例如,https://www.abc.com)响应时,这种情况与尚未发生mitm攻击的情况对应。因此,根据实施方式,响应于用于访问网站的用户命令,电子装置100可以通过第一信道获得第一信息并确定所获得的第一信息是否包括服务器200的https响应,并且仅在第一信息不包括服务器200的https响应时才可以通过第二信道获得第二信息。
通过另一示例,当经由第一信道接收包括网站www.xyz.com的指纹信息的第三信息并经由第二信道接收包括www.xyz.com的指纹信息的第四信息时,如果第三信息和第四信息相同,则处理器130可以维持通过第一信道与服务器200进行通信,并且在第三信息和第四信息不同时,处理器130可以终止通过第一信道与服务器200进行通信。
已经描述,如果所获得的第一信息和第二信息不同,则终止与服务器200进行通信。根据又一实施方式,当所获得的第一信息和第二信息不同时,处理器130可以基于第二信息来执行通过第一信道与服务器200的通信。
具体而言,当http包括在第一信息中且https包括在第二信息中时,处理器130可以基于第二信息来通过第一信道与服务器200进行通信。
例如,当提供网站的服务器200通过第一信道发送http(例如,http://www.abc.com)响应并通过第二信道发送https(例如,https://www.abc.com)响应时,处理器130可以将通过第二信道获得的地址信息发送到第一信道的恶意ap,从而确保第一信道的安全性。
根据如上所述的各种实施方式,在通过基于通过安全性可靠的网络的带外信道获得的信息来确认是否已经发生对具体接入点10的mitm攻击而验证wi-fi网络的安全性或完整性之后,电子装置100可以通过wi-fi网络与提供网站的服务器200进行通信。
因此,在确认wi-fi网络的安全性之后,电子装置100的用户可以使用具有相对较快的数据发送速度且不会由于数据发送而产生移动通信费用的wi-fi网络。
在下文中,参考图3至图6,将更具体地描述针对wi-fi网络的接入点的具体类型的mitm攻击以及对其作出响应的各种实施方式。
图3和图4是根据实施方式的一种类型的中间人(mitm)攻击以及对其作出响应的视图。
在诸如因特网的使用tcp/ip网络的通信中,为了防止在客户端100与服务器200之间的数据发送过程中暴露敏感信息,可以对通信会话应用诸如安全套接层(ssl)的密码协议。另外,https而非http用作应用ssl的协议,并且使用https的网页的统一资源定位符(url)以“https://”而非“http://”开始。
当应用ssl时,服务器负载可以增加并且产生验证费用。在这点上,向用户提供不应用ssl的网站或者仅对特定通信会话使用ssl的网站。
当不应用ssl或者仅对特定通信会话应用ssl时,通过mitm攻击,恶意ap10可能会经由wi-fi网络来嗅探或调制通信内容。
图3示出了mitm攻击的示例,并且是描述通过ssl剥离技术进行mitm攻击的过程。
在操作s310中,电子装置100可以使用http来访问由服务器200提供的网站。在操作s320中,mitm可以接收由电子装置100通过恶意接入点10发送的http请求,并将所接收的http请求发送到服务器200。
然后,当需要加密通信时,诸如当由电子装置100的用户执行网站的登录时,在操作s330中,服务器200可以发送https响应,使得可以应用ssl。此时,在操作s340中,mitm可以接收由服务器200通过恶意接入点10发送的https响应,并且可以将所接收的响应调制到http中,并将所接收的响应发送到电子装置100。
此后,接收到带有http响应的调制响应的电子装置100可以在不应用ssl的情况下,通过http向服务器200发送包括用户账户信息等的信息。在这种情况下,mitm可以通过接收由用户发送的信息来执行嗅探。
换句话说,ssl剥离技术是如下技术:当电子装置10与服务器200之间的会话被连接时,mitm窃取并调制由服务器200通过恶意接入点10发送的https响应,以执行与http而非https的通信。
图4是示出对如图3所示的通过ssl剥离技术进行mitm攻击作出响应的实施方式的视图。
如上所述,在操作s410中,电子装置100可以通过经由wi-fi网络发送http请求来访问由服务器200提供的网站;并且在操作s420中,mitm可以接收由服务器200通过恶意接入点10发送的http响应,调制所接收的对http响应的响应,并将所接收的响应发送到电子装置100。
如上所述,通过接入wi-fi网络的接入点10来执行与服务器200的通信。此外,根据实施方式的电子装置100还可以通过接入移动网络的基站20来执行与服务器200的通信。
根据实施方式,电子装置100可以基于通过与wi-fi网络相比安全性相对较高的移动网络获得的信息来确认wi-fi网络的安全性。
如图4所示,电子装置100不仅可以通过wi-fi网络来访问网站,而且在操作s430中,通过经由移动网络发送http请求来访问由服务器200提供的网站。
由于移动运营商运营的封闭网络结构,因而移动网络具有较低的外部可访问性,并且需要通过通用订户身份模块(usim)等来执行认证过程。因此,与wi-fi网络相比,移动网络具有相对较高的安全性。因此,当在操作s440中,在电子装置100经由移动网络访问网站之后,当电子装置100发送https响应使得服务器200可以应用ssl时,mitm难以接收并调制由服务器200发送的https响应。因此,电子装置100可以按原样接收由服务器200发送的https响应。
根据以上描述,根据实施方式的电子装置100可以通过wi-fin网络获得http响应,并通过移动网络获得https响应。在这种情况下,从wi-fi网络获得的信息与从移动网络获得的信息不同,并且电子装置100可以确定已经发生针对wi-fi网络的mitm攻击。因此,在这种情况下,电子装置100可以终止通过当前接入的接入点10与服务器200进行通信。
根据另一实施方式,当(例如,基于)确定已经发生对wi-fi网络的mitm攻击时,如上所述,电子装置100可以基于通过移动网络获得的https响应而经由wi-fi网络与服务器200进行通信。具体而言,电子装置100可以基于包括通过移动网络获得的https响应的地址信息来向恶意接入点10进行发送,从而确保wi-fi网络的安全性。
图5和图6是提供以用于描述根据实施方式的另一种类型的mitm攻击以及对其响应的视图。
图5是mitm攻击的另一示例。其用于描述mitm攻击的钓鱼或嫁接过程的视图。
当在操作s510中电子装置100请求访问由服务器200提供的网站的时,在操作s520中,mitm可以通过诸如地址解析协议(arp)欺骗或域名系统(dns)欺骗的攻击技术,使电子装置100访问由mitm调制的虚假网站而非原始网站。
这里,arp欺骗是一种用于调制arp的技术,arp是连接因特网协议(ip)地址和媒体访问控制(mac)地址的协议。具体而言,arp欺骗是指一种攻击技术,通过调制arp来将要攻击的特定ip地址连接到mitm的虚假网站的mac地址。
dns欺骗是一种用于调制dns的技术,dns是连接域名与ip地址连接的协议。具体而言,dns欺骗是指一种攻击技术,通过调制dns来将要攻击的特定域名连接到虚假网站的ip地址。
当在电子装置100通过包括前述攻击技术的各种攻击技术访问mitm的虚假网站之后电子装置100将用户账户和密码发送到服务器200时,mitm可以通过虚假网站获得用户账户和密码。
图6是对由如图5所示的mitm攻击进行钓鱼或嫁接而作出响应的实施方式的视图。
如上所述,当在操作s610中电子装置100通过wi-fi网络请求访问由服务器200提供的网站时,在操作s620中,mitm可以通过诸如arp欺骗或dns欺骗的攻击技术使电子装置100访问由mitm调制的虚假网站而非原始网站。此后,在操作s630和操作s640中,电子装置100可以从服务器200获得与虚假网站中包括的内容的特征点相关的指纹信息。
如上所述,通过接入wi-fi网络的接入点10执行与服务器200的通信。此外,根据实施方式的电子装置100还可以通过接入移动网络的基站20与服务器200进行通信。
如上所述,在移动网络具有比wi-fi网络更高的安全性的情况下,经由诸如arp欺骗或dns欺骗的技术难以对移动网络进行攻击。
当在操作s650中电子装置100请求通过移动网络访问由服务器200提供的网站时,在操作s660中,可以访问原始网站而非由mitm调制的虚假网站。在操作s670和操作s680中,电子装置100可以从服务器200获得原始网站中包括的内容的特征点上的指纹信息。
指纹信息是指与网站中包括的内容的特性点有关的信息,并且是指与尽管内容被篡改/变更仍维持的唯一特性有关的信息。具体而言,指纹信息可以包括与网页中包括的文本或图像的位置有关的信息。指纹信息还可以包括与网页中包括的文本或图像的颜色有关的唯一信息。
如上所述,根据实施方式的电子装置100可以分别通过wi-fi网络和移动网络来获得指纹信息。在这种情况下,由于通过wi-fi网络获得的信息和通过移动网络获得的信息不同,因此电子装置100可以确定已经发生对wi-fi网络的mitm攻击,并且终止经由当前连接的接入点10与服务器200进行通信。
不同于图6的示例,当尚未发生对wi-fi网络的mitm攻击时,通过wi-fi网络获得的指纹信息和通过移动网络的指纹信息相同,因此电子装置可以确定维持通过当前接入的接入点10与服务器200进行通信。
尽管已经描述用于通过wi-fi网络和移动网络获得指纹信息的实施方式,但是根据另一实施方式,可以分别获得与由网站通过wi-fi网络和移动网络提供的多个网页中的至少一个网页中包括的全部内容有关的信息。在这种情况下,可以基于与通过wi-fi网络获得的全部内容有关的信息和与通过移动网络获得的全部内容有关的信息是否相同来确认wi-fi网络的安全性。
在以上描述中,已经参考图3至图6描述了根据各种实施方式的一种类型的mitm攻击以及对其响应,但是一个或多个其它实施方式并不限于此。换句话说,可以实现各种实施方式以对各种mitm攻击作出响应。
图7是具体地示出根据实施方式的电子装置的配置的框图,并且图8是根据实施方式的提供安全性警告通知的用户界面的视图。
如图7所示,根据实施方式的电子装置100可以包括通信接口110、存储器120和处理器130,并且还可以包括输出接口140和输入接口150。这种配置仅仅是示例性的,并且在各种实施方式中,可以添加或省略一个或多个部件。
通信接口110可以包括wi-fi模块111、蓝牙模块112、无线通信模块113和近场通信(nfc)模块114中的至少一个。
具体而言,wi-fi模块111可以通过wi-fi方法进行通信,并且蓝牙模块112可以通过蓝牙方法进行通信。当使用wi-fi模块111或蓝牙模块112时,可以发送和接收各种连接信息以进行通信连接,诸如服务集标识符(ssid),然后可以发送和接收各种信息。
无线通信模块113可以根据各种通信规范进行通信,诸如ieee、zigbee、第3代(3g)、第3代合作伙伴项目(3gpp)、长期演进(lte)、第5代(5g)等。nfc模块114可以通过nfc方法使用诸如135khz、13.56mhz、433mhz、860至960mhz、2.45ghz等各种rf-id频带中的13.56mhz进行通信。
在各种实施方式中,通信接口110中的第一通信接口110-1可以用于接入wi-fi网络的接入点,并且通信接口110中的第二通信接口110-2可以用于接入移动网络的基站,如已经关于图2所述。
换句话说,第一通信接口110-1可以包括wi-fi芯片111,并且第二通信接口110-2可以包括无线通信芯片113。然而,根据各种实施方式的第一通信接口110-1和第二通信接口110-2并不限于用于具体通信方法的接口。同时,下文中的术语通信接口110将被统称为第一通信接口110-1和第二通信接口110-2。
输出接口140可以输出电子装置100可以执行的各种功能。输出接口140可以包括显示器141、扬声器142和指示器143中的至少一种。
显示器141可以在处理器130的控制下输出图像。例如,显示器141可以在处理器130的控制下输出预先存储在存储器120中的图像。特别地,根据实施方式的显示器141可以显示存储在存储器120中的用户界面。
显示器141可以被实现为液晶显示面板(lcd)、有机发光二极管(oled)显示器等,并且根据使用情况,显示器141可以被实现为柔性显示器、透明显示器等。根据本公开的显示器141并不限于特定类型。
扬声器142可以通过处理器130的控制而输出音频输出,并且指示器143可以通过处理器130的控制而被点亮。
在实施方式中,当通过第一信道获得的第一信息和通过第二信道获得的第二信息不同时,处理器130可以提供询问是否终止通过第一信道与服务器200进行通信的通知。
具体而言,当通过第一信道获得的第一信息和通过第二信道获得的第二信息不同时,处理器130可以确定已经发生对第一信道的mitm攻击。在这种情况下,如上所述,处理器130可以终止通过第一信道与服务器200进行通信,或者可以在终止通信之前提供询问是否要终止通信的通知。
同时,用于询问是否要终止通过第一信道与服务器200进行通信的通知可以通过显示器141作为用户界面810来提供。具体而言,如图8所示,处理器130可以通过显示器141来提供包括诸如“安全性警告”、“您是否要终止与网络wifi1218的连接?”的消息的用户界面810。
处理器130可以通过扬声器142输出询问是否终止通信的语音,并且通过控制使指示器143要被点亮来提供用于第一信道的安全性警告通知。
当如上所述提供安全性警告通知时,电子装置100的用户可以通过如下所述的输入接口150输出用户命令,使得根据用户的选择而通过网络执行与服务器200的通信。
输入接口150接收用于控制电子装置100的整体操作的用户命令。具体而言,输入接口150可以包括相机、麦克风、远程控制信号接收器等。同时,输入接口150可以与显示器141中包括的触摸屏一起实现。
根据实施方式,用户可以通过输入接口150输入用户命令,并且选择网络以与服务器200进行通信。特别地,如上所述,当通过输出接口140提供通知以询问是否终止通过第一信道与服务器200进行通信时,用户可以识别已经发生对第一信道的mitm攻击。因此,用户可以通过输入接口150输入用户命令,并且以主动的方式选择与服务器200进行通信的网络。
具体而言,通过如上所述的用户界面810接收到安全性警告通知的用户可以通过输入接口150输入用户命令以终止与当前连接的接入点的连接。根据图8所示的示例,用户可以选择用户界面810中包括的选择命令中的“是820”以终止与当前连接的接入点的连接,从而输入用户命令以终止与当前连接的接入点的连接。
在这种情况下,另外地,用户可以输入用户命令以经由移动网络执行与服务器200的通信,或者输入至少一个用户命令以访问除了已经发生mitm的接入点外的接入点并执行通过wi-fi网络与服务器200的通信。
尽管如上所述进行了安全性警告通知,但是用户可能希望继续经由已经发生mitm攻击的接入点来执行与服务器200的通信。在这种情况下,用户可以通过输入接口150输入用户命令以维持与当前连接的接入点的连接。
具体而言,如图8所示,用户可以选择用户界面810中包括的选择命令中的“否830”,以便维持与当前连接的接入点的连接。
根据如上所述的安全性警告通知的实施方式,电子装置100的用户可以识别出已经发生对第一信道的mitm攻击,并且可以关注通过当前连接到电子装置100的接入点与服务器的通信。在这种情况下,用户可以通过输入接口150输入用户命令,以主动地选择与服务器200进行通信的网络。
图9是示出根据实施方式的电子装置100的控制方法的视图。
如上所述,根据实施方式的电子装置100可以接入wi-fi网络的接入点,并且建立用于与服务器200进行通信的第一信道。电子装置100可以通过所建立的第一信道来执行与服务器200的通信。
电子装置100可以接入移动网络的基站,并且建立用于与服务器200进行通信的第二信道。电子装置100可以通过所建立的第二信道与服务器20通信。
同时,如图9所示,在操作s910中,根据实施方式的电子装置100可以接收用于访问网站的用户命令。在操作s920中,响应于接收到的用户命令,电子装置100可以通过第一信道从提供网站的服务器200获得与网站的地址相关的第一信息,并且通过第二信道从服务器200获得与网站地址相关的第二信息。
根据实施方式,电子装置100可以通过第一信道访问域名为www.abc.com的网站,类似地通过第二信道访问域名为www.abc.com的网站,并且获得包括通过第一信道提供网站的http(http://www.abc.com)响应或通过第二信道来自提供网站的服务器200的https(https://www.abc.com)响应的信息。
在操作s930中,当通过第一信道获得了第一信息且通过第二信道获得了第二信息时,电子装置100可以确定所获得的第一信息和第二信息是否相同。另外,电子装置100可以通过基于所获得的第一信息和第二信息是否相同来确认是否已经发生对第一信道的mitm攻击,而确定是否维持通过第一信道与服务器200进行通信。
具体而言,如果在操作s930中的结果为“是”,即所获得的第一信息和第二信息相同,则在操作s940中,电子装置100可以维持通过第一信道与服务器200进行通信。如果在操作s930中的结果为“否”,即所获得的第一信息和第二信息不同,则在操作s950中,电子装置100可以终止通过第一信道与服务器200进行通信。
在如上所述的示例中,当(例如,基于)提供网站的服务器200通过第一信道发送https(https://www.abc.com)响应并且还通过第二信道发送https(https://www.abc.com)响应时,电子装置100可以确定第一信道的安全性得以确认,并且维持通过第一信道与服务器200进行通信。
同时,如果(例如,基于)提供网站的服务器200通过第一信道发送http(http://www.abc.com)响应并且通过第二信道发送https(https://www.abc.com)响应,则电子装置100可以确定已经发生对第一信道的mits攻击,并且终止通过第一信道与服务器200进行通信。
根据前述实施方式的电子装置100的控制方法可以被实现为程序并被提供到电子装置100。特别地,包括电子装置100的控制方法的程序可以存储在非暂时性计算机可读介质中并被提供。
具体而言,在包括用于执行电子装置100的控制方法的程序的计算机可读记录介质中,控制方法包括:接收用于访问网站的用户命令;响应于接收到的用户命令,通过第一信道从服务器200获得与网站的地址相关联的第一信息并且通过第二信道从服务器200获得与网站的地址相关联的第二信息;如果第一信息和第二信息相同,则维持与服务器200进行通信;并且如果第一信息与第二信息不同,则终止通过第一信道与服务器200进行通信。
非暂时性计算机可读介质是指半永久性地存储数据而非在极短的时间内存储数据的介质,诸如寄存器、高速缓存器、存储器等,并且可以由设备读取(即,可以由至少一个处理器执行)。详细地,前述各种应用或程序可以存储在非暂时性计算机可读介质中,例如,光盘(cd)、数字多功能盘(dvd)、硬盘、蓝光光盘、通用串行总线(usb)、存储卡、只读存储器(rom)等,并且可以被提供。
图10是示出根据实施方式的以时间序列方式的wi-fi网络的安全性确认过程的顺序图。
如图10所示,根据实施方式的电子装置100可以接入接入点10并且通过wi-fi网络执行与服务器200的通信,并且电子装置100可以通过接入基站20来通过移动网络与服务器200进行通信。
同时,在操作s1010中,根据实施方式的电子装置100可以接收用于访问网站的用户命令。另外,在操作s1015中,电子装置100可以响应于接收到的用户命令而通过接入点10从服务器200请求第一信息,并且在操作s1020中,还通过基站20从服务器200请求第二信息。
当(例如,基于)请求第一信息时,在操作s1025中,服务器200可以识别第一信息;并且在操作s1030中,通过接入点10将第一信息发送到电子装置100。在操作s1035中,装置100可以接收第一信息。当(例如,基于)请求第二信息时,在操作s1040中,服务器200可以识别第二信息;并且在操作s1045中,通过基站20将第二信息发送到电子装置100。在操作s1050中,电子装置100可以接收第二信息。
当(例如,基于)获得了第一信息和第二信息时,在操作s1055中,电子装置100可以确定所获得的第一信息和所获得的第二信息是否相同。另外,在操作s1060中,电子装置100可以通过基于所获得的第一信息与所获得的第二信息是否相同来确认通过当前接入的接入点10的wi-fi网络的安全性,而确定是否终止通过wi-fi网络与服务器200进行通信。
特别地,如果所获得的第一信息和第二信息相同,则电子装置100可以维持通过当前连接的接入点10与服务器200进行通信。然而,如果所获得的第一信息和第二信息不同,则电子装置100可以终止通过当前连接的接入点10与服务器200进行通信。
尽管在上文中已经描述电子装置100与服务器200之间的通信过程是顺序进行的,但是应理解,一个或多个其它实施方式并不限于此。在这点上,在从操作s1015和操作s1020中的请求第一信息和请求第二信息到操作s1035和操作s1050中的接收第一信息和接收第二信息的过程中,并不存在特定的时间序列元素。
根据各种实施方式,电子装置100可以基于通过安全性可靠的网络的带外信道获得的信息来确认是否已经发生针对具体接入点100的mitm攻击,并验证wi-fi网络的完整性或安全性,并且通过wi-fi网络与提供网站的服务器200进行通信。
因此,电子装置100的用户可以使用在该范围内安全性可靠的网络来确认wi-fi网络的安全性。
另外,根据实施方式,当(例如,基于)确定已经发生对wi-fi网络的mitm攻击时,电子装置100可以使得电子装置的用户能够通过提供询问是否终止通信的通知来主动地选择与服务器200执行通信的网络。
另外,根据各种实施方式的部件(例如,模块或程序)中的每个可以包括单个实体或多个实体,并且可以省略上述子部件中的一些子部件,或者在各种实施方式中还可以包括其它子部件。可选地或另外地,一些部件(例如,模块或程序)可以被集成到一个实体中,以执行由各个部件在集成之前所执行的相同或相似功能。
根据各种实施方式的由模块、程序或其它部件执行的操作可以按顺序地、并行、迭代或启发式方式来执行,或者至少一些操作可以按不同次序来执行或被省略,或者可以添加其它操作。
本公开中所使用的术语“单元”或“模块”包括由硬件、软件或固件组成的单元,并且可以与诸如逻辑、逻辑块、部分或电路的术语互换使用。“单元”或“模块”可以是执行一个或多个功能的整体构造部件或其最小单元或部分。例如,模块可以配置为专用集成电路(asic)。
实施方式可以实现为包括存储在可以由机器(例如,计算机)读取的机器可读存储介质中的指令的软件。装置可以从存储介质调用指令并可以根据所调用的指令进行操作,该装置包括电子装置(例如,电子装置100)。
当指令由处理器执行时,处理器可以直接地执行与指令对应的功能,或者在处理器的控制下使用其它部件来执行与指令对应的功能。指令可以包括由编译器或解释器生成或执行的代码。
可以以非暂时性存储介质的形式提供机器可读存储介质。这里,“非暂时性”意味着存储介质不包括信号并且是有形的,但是并不区分数据是永久性地还是临时地存储在存储介质中。
根据一个或多个实施方式,本文中公开的方法可以在计算机程序产品中被提供。计算机程序产品可以作为商品在买卖双方之间进行交易。
计算机程序产品可以以机器可读存储介质(例如,cd-rom)的形式分发,或者通过应用商店(例如,playstore
根据一个或多个实施方式的部件(例如,模块或程序)中的每个均可以由一个或多个对象组成,并且可以省略上述子部件中的一些子部件,或者在实施方式中还可包括其它部件。可选地或另外地,一些部件(例如,模块或程序)可以被集成到一个实体中,以执行由每个相应部件在集成之前所执行的相同或相似功能。
根据实施方式的由模块、程序或另一部件执行的操作可以按顺序、并行、重复或启发式方式来执行,或者至少一些操作可以按不同次序执行、被省略,或者可以添加其它操作。
尽管已经参考本公开的各种实施方式示出并描述了本公开,但是本领域技术人员将理解,在不脱离如由随附权利要求及其等效形式所限定的本公开的精神和范围的情况下,可以对其形式和细节进行各种改变。
- 还没有人留言评论。精彩留言会获得点赞!