用于为与网络连接的设备进行位置确认的方法与流程

本发明涉及用于为与网络连接的设备进行位置确认的方法。本发明此外涉及用于此目的的计算机程序以及装置。

背景技术：

1、从现有技术中已知用于检查计算机网络的各种方法。术语操作系统指纹识别(os-fingerprinting)例如被理解为用于识别网络中的设备的操作系统的方法。这能够通过观察网络中的设备的反应方式实现。用于进行操作系统指纹识别的特别流行的方法是tcp/ip堆栈指纹识别。

2、tcp/ip堆栈指纹识别本身是一种用于远程识别tcp/ip堆栈实现的特征的已知技术。在此，利用以下事实，即tcp协议定义内的特定参数留待实现。不同的操作系统以及同一操作系统的不同版本为这些tcp/ip字段规定不同的标准值，例如：

3、-初始数据包尺寸，英语为initial packet size(16位)，

4、-初始ttl，英语为initial time to live(初始存活时间)(8位)，

5、-窗口尺寸，英语为receive window size(接收窗口尺寸)(16位)，

6、-最大分段尺寸，英语为maximum segment size(16位)，

7、-窗口缩放值，英语为window scale option(窗口缩放选项)(8位)，

8、-“不分段”标记，英语为″don′t fragment“flag(1位)，

9、-“sackok”标记(1位)，

10、-“nop”标记(1位)

11、可以使用这些值的组合来推断远程计算机的操作系统，并且从而使得能够借助于操作系统指纹识别来检查网络。

12、以类似的方式，当客户端发起新连接时(即使该连接不久后又被终止)，应用程序层面上的服务可以返回所谓的标志。ssh在其上运行的ubuntu系统例如将会返回：

13、～nc 192.168.101.139 22

14、ssh-2.0-openssh_5.9p1 debian-5ubuntu1.1

15、通过在应用程序层面上识别这些特征，因此可以借助于服务指纹识别来实现对网络的检查。

16、通常，在网络攻击的侦察阶段中，执行tcp/ip和服务指纹识别，以便确定目标系统的操作系统版本。这又使攻击者能够根据该操作系统版本中的一个或多个已知安全漏洞(只要这样的安全漏洞存在且已知)选择适当的开发。

技术实现思路

1、本发明的主题是具有权利要求1的特征的方法、具有权利要求10的特征的计算机程序以及具有权利要求11的特征的装置。本发明的其他特征和细节从相应的从属权利要求、说明书和附图中得出。在此，结合根据本发明的方法描述的特征和细节当然也结合根据本发明的计算机程序以及根据本发明的装置而适用，并且分别反之亦然，使得关于对各个发明方面的公开始终相互参考或者可以相互参考。

2、根据本发明的方法尤其是可以被使用来为与网络连接的设备进行位置确认。该设备可以例如被实施为家用电器或机器人或车辆等。例如，该设备包括计算机和/或微控制器和/或处理器和/或屏幕。

3、为了与网络连接，该设备此外可以具有网络接口、优选地无线电接口。无线电接口例如是蓝牙或wlan接口等。该设备可以被实施用于实施至少一种安全相关功能，诸如控制车辆或提供设备的防盗保护。在此，也可以有可能的是，该安全相关功能与设备的位置有关。例如，在改变位置时，可以触发防盗保护的警报。因此，在设备处有利地规定，应该重复地验证该设备的位置。

4、根据本发明的方法可以提供一种用于进行位置确认的解决方案。在此情况下可以设置以下步骤，所述步骤优选地依次被实施或以任意顺序被实施，优选地自动地和/或通过至少一个计算机和/或至少部分地通过设备来实施：

5、-确定至少一个初始指纹，其中所述至少一个初始指纹特定于网络中的设备的初始网络环境，并且因此尤其是特定于设备的初始地理位置，其中优选地初始网络环境是在确定初始指纹的时间点的网络环境，其中优选地网络环境由网络中的其他设备组成，

6、-将至少一个所确定的初始指纹储存为参考，优选地储存在设备的非易失性数据存储器中或云中(例如服务器中，其可以经由网络通过数据传输获得初始指纹)，

7、-确定至少一个当前指纹，其中至少一个当前指纹特定于网络中的设备的当前网络环境，并且因此尤其是特定于设备的当前地理位置，

8、-将至少一个所确定的当前指纹与参考进行比较，

9、-至少部分地基于比较来验证设备的地理和/或物理位置，优选地以便验证初始地理位置与当前地理位置一致。

10、根据本发明的方法可以具有以下优点：提供一种用于以少的技术耗费来验证位置的可靠可能性。例如，与在使用许多用于确定方位的传统技术的情况下相比，耗费低得多。

11、相应的指纹可以被实施为数字信息，所述数字信息例如包括特定于网络环境的值和/或说明。例如，相应的指纹还可以包括网络中的至少一个其他设备的标识的列表。相应的指纹相应地也可以被称为网络信息，所述网络信息例如作为文件或数据以非易失性的方式被储存。

12、初始地理位置此外可以是设备的位置，所述位置在确定至少一个初始指纹的时间点是当前的。验证地理位置可以优选地意味着检验当前地理位置是否仍然与初始地理位置一致。换句话说，可以例如因此发生位置的验证，以便确认设备继续地位于在确定初始指纹时该设备所处于的地理位置处。当然，在此情况下，微小的偏差可以被容忍。也可设想的是，以前已经发生通过用于确定方位的另一技术(诸如gps(全球定位系统)对设备确定位置，所述确定位置应该通过验证被确认。

13、尤其是，本发明所基于的思想是：因为网络环境表示用于地理位置的指纹，所以可以根据网络环境来检验位置。在另一地理位置处网络环境是相同的或非常相似在此被假设为非常不可能的。

14、下面，位置确认(英语：location attestation(位置证明))尤其是被称为所连接的设备检验其物理位置的能力。确定物理位置也被称为确定位置。例如，所连接的设备可以经由网络与其他设备连接。网络尤其是计算机网络，并且因此是各种技术的、主要独立的电子设备的联合，其中网络能够实现各个设备彼此的电子通信。在此情况下，通信可以例如通过tcp(transmission control protocol(传输控制协议))和/或ip(intemet protocol(互联网协议))协议进行。tcp是面向连接的数据包交换传输协议，其定义应该以何种方式在网络中的设备之间交换数据。

15、该网络此外可以是互联网或者具有与互联网的连接。相应地，网络还可以具有本地网络、诸如lan(局域网)或wlan(无线局域网)或者被构造为这样的本地网络。此外，可以使用以下技术中的至少一种用于在网络处进行数据传输：以太网、令牌环、powerlan、无线电网络、诸如移动无线电网络、优选地lte或5g、wlan、蓝牙。

16、此外，在网络中可以连接以下网络组件中的至少一个：网关、路由器、交换机、接入点、中继器和网桥。网络可以至少部分地被构造为有线的和/或至少部分地被构造为无线的。

17、该设备可以例如是电子设备，优选地是控制设备，例如用于车辆、或是计算机、或家用电器、或机器人等。此外，该设备可以具有网络接口、例如无线电接口，以便被与网络连接。优选地，将该设备与本地网络连接，在所述本地网络中设置其他设备(例如在家庭中)。通常可以通过网络确定这些其他设备的标识，诸如所提供的服务或操作系统。这些标识的组合可以被使用来确定相应的指纹。位置或网络环境的改变因此引起指纹的改变。根据这种改变的程度，因此可以推断出位置改变。尤其是比较的方法步骤可以确定该改变，其中验证的方法步骤能够确定改变的程度。

18、根据本发明的方法可以例如被使用在高级自动化驾驶领域中，例如用于为车辆的位置进行合理性检查。在机器人技术领域中使用也是可设想的，例如用于在移动机器人、例如割草机的情况下的防盗保护。此外在智能家居领域中使用是可能的，例如用于用户或设备的二因素或三因素认证，其中位置确认可以是因素之一。在移动性领域中，该方法可以例如被使用用于无钥匙进入，和/或在建筑技术领域中用于室内导航。尤其是在这些领域中，根据设备和环境，如基于gps或信标的确定方位之类的传统方法可能具有不足的性能(例如内部空间中或困难地区中的gps)，太耗费(例如gps芯片增加技术耗费)或需要特定的技术(例如强制性地需要蓝牙信标，设备具有蓝牙le无线电)。因此，通过根据本发明的方法可以提出用于在优选地使用tcp用于传输层和/或在应用层上提供已知服务的网络中执行位置确认的替代解决方案。

19、优选地可以规定，指纹的相应确定包括：

20、-对网络中的设备的网络环境执行检查、尤其是扫描、优选地端口扫描，

21、-至少部分地基于所执行的检查的结果来确定指纹。

22、例如，执行以下扫描方法中的至少一种用于扫描：tcp-connect()扫描、tcp-syn扫描、tcp-fin/xmas/null扫描、tcp-idle扫描、udp扫描、ftp-bounce(反弹)扫描、操作系统指纹识别(识别操作系统)、服务识别(也称为服务指纹识别)、tcp/ip堆栈指纹识别。

23、例如可以规定，指纹的相应的确定至少部分地或完全地通过所述设备执行，使得相应的指纹特定于网络中、优选地本地网络中的设备的网络环境。为此，该设备例如具有数据处理装置，所述数据处理装置可以以电子方式与数据存储器连接，以便在其中储存相应的指纹，即尤其是以非易失性方式存储。

24、优选地可以规定，相应的指纹通过以下方式特定于所述设备的网络环境，即相应的指纹包括网络中的至少一个其他设备的至少一个标识，其中优选地所述至少一个标识通过对所述网络环境的检查、优选地扫描被确定。为此，例如可以使用端口扫描器或基于端口扫描器的软件用于扫描。该标识可以例如包括关于操作系统的类型和/或关于相应的其他设备的至少一个服务的信息。

25、此外，在本发明的范围内可以规定，至少部分地基于其他设备的所识别的操作系统和/或在网络中提供的服务来确定至少一个标识，其中为此优选地执行操作系统并且尤其是tcp/ip堆栈指纹识别和/或服务指纹识别。这具有以下优点，即可以可靠地标识网络的环境以及从而也标识地理位置。该方法此外可以具有以下优点：关于osi模型的物理层、数据链路层和网络层是技术独立的。以这种方式可以与设备一起使用所述方法，所述设备支持tcp/ip和/或通过网络提供应用程序层面上的服务(例如ssh、网络服务器等)。

26、可选地，可设想的是，确定至少一个当前指纹和/或比较和/或验证的步骤重复地被执行并且通过位置确认请求被触发。在此，位置确认请求例如可以自动地重复地被触发，例如以与时间相关的方式，和/或通过用户触发和/或经由网络由数据处理装置例如也经由互联网被触发。也可能的是，位置确认请求通过外部的安全相关事件、诸如在割草机机器人情况下的颤动被触发。

27、在另一种可能性中可以规定，通过验证确认要检验的地理位置对应于设备的当前地理位置，其中要检验的地理位置由位置确认请求提供和/或是所述设备在确定初始指纹的时间点的初始地理位置。例如可能的是，设备的确定位置以前已经通过诸如gps(全球定位系统)之类的其他技术发生，所述确定位置应该通过验证被确认。例如，要检验的地理位置可以例如通过位置确认请求包含并且被传送给设备。要检验的位置此外也可以是从前的位置，使得通过位置确认请求仅应该检验设备的位置没有发生改变。

28、根据另一可能性，可以规定，进行配置，其中所述验证根据所述比较评价至少一个当前指纹与参考的一致性，其中通过配置说明在一致性的何种程度上通过验证进行确认：要检验的地理位置对应于设备的当前地理位置。从而可以设置一种阈值或容差，以便不是已经在小的改变(例如更换或省去或添加其他设备)的情况下，位置验证就是否定的。

29、此外，可设想的是，基于验证根据响应配置执行动作，其中所述动作优选地包括：如果通过所述验证进行了确认，则继续所述设备的正常运行，并且否则将所述设备转变为安全运行。响应配置可以例如储存在设备的数据存储器中和/或云中和/或可由用户适配。在响应配置中可以规定执行哪个动作和/或如何配置该动作。

30、计算机程序、尤其是计算机程序产品同样是本发明的主题，所述计算机程序包括指令，在通过计算机实施所述计算机程序时，所述指令促使所述计算机实施根据本发明的方法。因此，根据本发明的计算机程序带来了与参考根据本发明的方法已经详尽地描述的相同的优点。

31、例如实施计算机程序的数据处理装置可以被设置为计算机。计算机可以具有至少一个用于实施计算机程序的处理器。还可以设置非易失性数据存储器，其中储存有计算机程序并且通过处理器可以从所述非易失性数据存储器中读出计算机程序用于实施。

32、被设立用于实施根据本发明的方法的用于进行数据处理的装置同样可以是本发明的主题。

33、计算机可读存储介质同样可以是本发明的主题，所述计算机可读存储介质包括根据本发明的计算机程序。存储介质例如被构造为数据存储器，例如硬盘和/或非易失性存储器和/或存储卡。存储介质可以例如集成到计算机中。

34、此外，根据本发明的方法还可以被实施为计算机实现的方法。