移動風險評估的制作方法
【專利摘要】從特定端點設(shè)備接收識別由所述特定端點設(shè)備遇見的特定無線接入點的查詢。識別針對所識別的特定無線接入點的預(yù)存在的風險評估數(shù)據(jù),并且將以與所述特定無線接入點相關(guān)聯(lián)的預(yù)評估風險為特征的查詢結(jié)果數(shù)據(jù)發(fā)送到所述特定端點設(shè)備。在一些實例中,基于所述預(yù)存在的風險評估數(shù)據(jù)生成所述查詢結(jié)果數(shù)據(jù)。在一些實例中,預(yù)存在的風險評估數(shù)據(jù)可以是至少部分地由端點設(shè)備執(zhí)行的較早風險評估的結(jié)果,所述端點設(shè)備與所述特定無線接入點連接并且測試所述特定無線接入點。
【專利說明】移動風險評估
[0001]本專利申請按照U.S.C.§ 120要求享有2011年10月17日遞交的發(fā)明名稱為“MOBILE RISK ASSESSMENT”的美國臨時專利申請序列號61/548,194以及2011年10月18日遞交的發(fā)明名稱為“MOBILE RISK ASSESSMENT”的美國臨時專利申請序列號61/548,224的優(yōu)先權(quán),這里以引用的方式分別將其整體并入。
【技術(shù)領(lǐng)域】
[0002]本公開通常涉及計算機安全的領(lǐng)域,并且更加具體地涉及移動計算設(shè)備的安全?!颈尘凹夹g(shù)】
[0003]互聯(lián)網(wǎng)已經(jīng)實現(xiàn)了使全世界范圍內(nèi)不同計算機網(wǎng)絡(luò)的互連。然而,有效地保護和維持穩(wěn)定的計算機和系統(tǒng)的能力,為組件制造商、系統(tǒng)設(shè)計者及網(wǎng)絡(luò)運營商提出了巨大阻礙。由于惡意軟件作者所采用的系列手段的不斷進步,這一阻礙變得更加復(fù)雜。此外,隨著移動計算設(shè)備的迅速增長和普及,計算環(huán)境本身也在發(fā)展,所述移動計算設(shè)備包括能夠使用無線或移動通信網(wǎng)絡(luò)連接到互聯(lián)網(wǎng)的智能電話、平板電腦、膝上型電腦,該無線或移動通信網(wǎng)絡(luò)采用諸如WiF1、WiMAX、3G、4G、CDMA、GSM、LTE等等的技術(shù)。隨著移動或無線使能的計算設(shè)備的數(shù)量的激增,計算機安全提供方正嘗試開發(fā)程序和工具用于管理這些設(shè)備上的安全并且使計算機安全服務(wù)適應(yīng)新發(fā)展的移動計算設(shè)備所具有的安全問題,包括基于網(wǎng)絡(luò)的威脅、移動操作系統(tǒng)和移動應(yīng)用特有的漏洞等等。此外,移動計算設(shè)備的快速部署已經(jīng)引入了連接無線或移動網(wǎng)絡(luò)的新一代用戶,在一些情況下,引入了該部分設(shè)備用戶的較低安全意識。
【專利附圖】
【附圖說明】
[0004]圖1是根據(jù)一個實施例包括一個或多個移動計算設(shè)備的示例通信系統(tǒng)的簡化示意圖;
[0005]圖2是根據(jù)一個實施例包括示例移動風險評估引擎的示例系統(tǒng)的簡化框圖;
[0006]圖3是受危害的無線接入點的示例使用的表示;
[0007]圖4A-4D說明了根據(jù)至少一些實施例評估無線接入點的示例;
[0008]圖5是根據(jù)至少一些實施例的多個無線接入點的評估的示意性表示;
[0009]圖6是根據(jù)至少一些實施例的示例用戶界面的至少局部截屏的說明;
[0010]圖7A-7B是說明與所述系統(tǒng)的至少一些實施例相關(guān)聯(lián)的示例操作的簡化流程圖;
[0011]在各幅圖中相似的附圖標記和名稱指示相似的元素。
【具體實施方式】
[0012]MM
[0013]通常,本說明書中描述的主題的一個方面可以體現(xiàn)在包括一些行為的方法中,這些行為包括從特定端點設(shè)備接收識別由該特定端點設(shè)備遇見的特定無線接入點的查詢,識別針對所識別的特定無線接入點的預(yù)存在的風險評估數(shù)據(jù),并且向所述特定端點設(shè)備發(fā)送以與所述特定無線接入點相關(guān)聯(lián)的預(yù)評估的風險為特征的查詢結(jié)果數(shù)據(jù)。
[0014]進而,在另一通常的方面,可以提供一種系統(tǒng),該系統(tǒng)包括至少一個處理器設(shè)備、至少一個存儲器元件以及無線接入點風險評估器。當由所述處理器執(zhí)行時,所述無線接入點風險評估器能夠從特定端點設(shè)備接收識別由所述特定端點設(shè)備遇見的特定無線接入點的查詢,識別針對所識別的特定無線接入點的預(yù)存在的風險評估數(shù)據(jù),并且向所述特定端點設(shè)備發(fā)送以與所述特定無線接入點相關(guān)聯(lián)的預(yù)評估的風險為特征的查詢結(jié)果數(shù)據(jù)。在一些實例中,所述系統(tǒng)也可以包括適于以包括與由該特定端點設(shè)備接入的無線接入點相關(guān)聯(lián)的風險的一系列設(shè)備屬性為基礎(chǔ)來計算針對該特定端點設(shè)備的風險概要的設(shè)備風險評估工具。
[0015]這些和其它實施例能夠分別可選地包括下列特征中的一個或多個。特定無線接入點的風險評估可以利用特定端點設(shè)備完成??梢越Y(jié)合由該特定端點設(shè)備執(zhí)行的至少一個評估任務(wù)來從該端點設(shè)備接收風險評估反饋數(shù)據(jù)。所接收的風險評估反饋數(shù)據(jù)可以用于確定針對該特定無線接入點的風險概要。在確定風險概要時可以考慮與該特定無線接入點相關(guān)聯(lián)的預(yù)評估風險。所述反饋數(shù)據(jù)可以包括服務(wù)集標識符(SSID)、描述由無線接入點使用的加密的數(shù)據(jù)、醒目頁面信息和無線接入點密碼信息中的至少一個。所述風險評估可以包括特定端點設(shè)備嘗試通過特定無線接入點與受信端點進行通信并且監(jiān)控所嘗試的通過特定無線接入點與受信端點的通信以便評估與特定無線接入相關(guān)聯(lián)的風險。嘗試與受信端點進行通信可以包括嘗試在特定端點設(shè)備和受信端點之間建立安全連接,并且建立所述安全連接可以包括從該受信端點接收期望的信任驗證數(shù)據(jù)??梢约僭O(shè)除了期望的信任認證數(shù)據(jù)以外的數(shù)據(jù)的接收指示該特定無線接入點是不可信的,表明與該特定無線接入點相關(guān)聯(lián)的較高風險。參與特定無線接入點的風險評估可以包括:在特定端點設(shè)備嘗試通過該特定無線接入點與受信端點進行通信之前,促成期望的信任驗證數(shù)據(jù)到該特定端點設(shè)備的傳送。參與特定無線接入點的風險評估可以包括:在特定端點設(shè)備嘗試通過該特定無線接入點與受信端點進行通信之前,對于該特定端點設(shè)備,從多個可用的受信端點設(shè)備中識別該受信端點設(shè)備。
[0016] 進而,實施例可以分別可選地包括下列特征中的一個或多個。可以結(jié)合端點設(shè)備與特定無線接入點的至少一個先前遇見來生成針對所識別的特定無線接入點的預(yù)存在的風險評估數(shù)據(jù)。與特定無線接入點的先前遇見可以例如由除了該特定端點設(shè)備以外的端點設(shè)備實現(xiàn)。針對所識別的特定無線接入點的預(yù)存在的風險評估數(shù)據(jù)可以根據(jù)風險評估記錄進行識別,所述風險評估記錄包括針對由無線使能的端點設(shè)備識別的多個無線接入點的風險評估數(shù)據(jù)。所述查詢可以包括指示特定端點設(shè)備和特定無線接入點中的至少一個的位置的地理位置數(shù)據(jù)。所述查詢結(jié)果數(shù)據(jù)可以至少部分地以針對所識別的特定無線接入點的預(yù)存在的風險評估數(shù)據(jù)和在地理位置數(shù)據(jù)中識別的位置為基礎(chǔ)來生成??梢曰谝唤M設(shè)備屬性來計算針對特定端點設(shè)備的風險概要,所述風險概要包括與由特定端點設(shè)備接入的無線接入點相關(guān)聯(lián)的風險??梢允古c特定無線接入點相關(guān)聯(lián)的風險的圖形指示符呈現(xiàn)在特定端點設(shè)備處??梢酝ㄟ^除了與特定無線接入點相關(guān)聯(lián)的無線網(wǎng)絡(luò)以外的安全連接來發(fā)送查詢。所述安全連接可以通過無線移動寬帶連接和VLAN隧道中的至少一個實現(xiàn)。
[0017]所述特征中的一些或者全部可以是計算機實現(xiàn)的方法或者進一步包括在用于執(zhí)行這一所描述的功能的各自的系統(tǒng)或其它設(shè)備中。在附圖和下文的描述中闡述了本公開的這些和其它特征、方面和實現(xiàn)的細節(jié)。根據(jù)說明書和附圖并且根據(jù)權(quán)利要求書,本公開的其它特征、目標及優(yōu)點將是顯而易見的。
[0018]示例實施例
[0019]圖1是說明計算系統(tǒng)100的示例實現(xiàn)的簡化框圖,該系統(tǒng)100包括能夠接入一個或多個核心網(wǎng)絡(luò)(例如,125)、至少部分為有線的網(wǎng)絡(luò)、互聯(lián)網(wǎng)等等,的多個端點計算設(shè)備(例如,105、110、115、120),包括機器(例如,網(wǎng)頁服務(wù)器130、135)和核心網(wǎng)絡(luò)125中的托管資源。例如,端點計算設(shè)備可以通過一個或多個無線接入網(wǎng)絡(luò)(例如,無線接入網(wǎng)絡(luò)140a、140b、140c、140d、145)來接入核心網(wǎng)絡(luò)125,包括使用各種無線網(wǎng)絡(luò)技術(shù)和協(xié)議的網(wǎng)絡(luò),該無線網(wǎng)絡(luò)技術(shù)和協(xié)議包括WiFi網(wǎng)絡(luò)、移動寬帶網(wǎng)絡(luò)(包括GSM、CDMA、3G、4G、LTE等等)、WiMAX網(wǎng)絡(luò)、藍牙等等。在一些實例中,端點設(shè)備105、110、115、120能夠在多種不同的無線通信環(huán)境中進行通信。例如,端點設(shè)備可以適于在移動寬帶網(wǎng)絡(luò)和WiFi網(wǎng)絡(luò)中進行通?目。
[0020]在該示例計算系統(tǒng)100中,端點計算設(shè)備105、110、115、120能夠通過無線接入網(wǎng)絡(luò)(例如,140a、140b、140c、140d),使用能夠促成通過相對應(yīng)的無線接入網(wǎng)絡(luò)(例如,140a、140b、140c、140d、145)到核心網(wǎng)絡(luò)120的接入的特定無線接入點(如150、155、160、165)來接入核心網(wǎng)絡(luò)125。無線接入點可以包括適于通過無線電信號與一個或多個端點設(shè)備進行無線通信并且將端點設(shè)備連接到有線網(wǎng)絡(luò)連接、路由器或其它網(wǎng)絡(luò)元件或網(wǎng)絡(luò)的一個或多個設(shè)備。無線接入點150、155、160、165本身可以包括無線路由器、通用中繼器、WiFi陣列、無線橋、無線以太網(wǎng)適配器、移動接入點等等。
[0021]隨著在用戶家 中、部署地點、學校、零售店、餐館、咖啡廳、機場、社區(qū)等等中無線使能的端點設(shè)備的激增以及無線接入點的類似擴展,正在引入新的計算機安全威脅和漏洞。在計算系統(tǒng)100的一些實現(xiàn)中,還提供移動安全工具170以便輔助促成無線使能的端點設(shè)備的安全。移動安全工具170可以包括一個或多個計算設(shè)備和軟件模塊,包括使用經(jīng)過移動安全工具170提供的安全功能和服務(wù)的遠離端點設(shè)備或和/或在該端點設(shè)備附近的設(shè)備和軟件。在一些實例中,移動安全工具170可以通過包括無線網(wǎng)絡(luò)的網(wǎng)絡(luò)連接與端點設(shè)備進行通信。在一些實例中,這樣的連接可以被加密或者以其它方式被保護并且允許移動安全工具170將安全信息和服務(wù)上傳、發(fā)送、推送或以其它方式傳送到客戶端端點設(shè)備。在一些實例中,移動安全工具170可以與客戶端端點設(shè)備進行交互并且接收包括安全請求、設(shè)備屬性數(shù)據(jù)、威脅數(shù)據(jù)、反饋數(shù)據(jù)以及移動安全工具170能夠使用的其它信息的數(shù)據(jù),并且結(jié)合經(jīng)過移動安全工具170提供到無線使能的計算設(shè)備(例如,105、110、115、120)的安全服務(wù)和功能而做出響應(yīng)。
[0022]通常,“服務(wù)器”、“客戶端”以及包括用于實現(xiàn)移動安全工具170的設(shè)備的“計算設(shè)備”,可以包括可操作用于接收、傳輸、處理、存儲或管理與軟件系統(tǒng)100相關(guān)聯(lián)的數(shù)據(jù)和信息的電子計算設(shè)備。如在本文檔中使用的,術(shù)語“計算機”、“計算設(shè)備”、“處理器”或“處理設(shè)備”意在包含任何合適的處理設(shè)備。例如,系統(tǒng)100可以使用除了包括服務(wù)器池的服務(wù)器的計算機實現(xiàn)。進而,該計算設(shè)備的任意一個、所有或者一些可以適于執(zhí)行包括Linux、UNIX、Windows Server等等的任何操作系統(tǒng)以及適于虛擬化包括定制和專有操作系統(tǒng)的特定操作系統(tǒng)的執(zhí)行的虛擬機。[0023]服務(wù)器、客戶端和計算設(shè)備(例如,105、110、115、120、150、155、160、165、170)可
以分別包括一個或多個處理器、計算機可讀存儲器以及一個或多個接口的其它特征和硬件。服務(wù)器可以包括任何合適的軟件組件或模塊,或者能夠托管和/或服務(wù)軟件應(yīng)用或服務(wù)(例如,移動安全工具170的服務(wù))的計算設(shè)備,包括分布式的、基于企業(yè)的或基于云的軟件應(yīng)用。例如,服務(wù)器可以配置為托管、服務(wù)或以其它方式管理諸如基于SOA的服務(wù)或者企業(yè)網(wǎng)絡(luò)服務(wù)的網(wǎng)絡(luò)服務(wù)或應(yīng)用,或者與其它企業(yè)服務(wù)接口、協(xié)調(diào)或者取決于該其它企業(yè)服務(wù)的包括集中于安全的應(yīng)用的應(yīng)用。在一些實例中,服務(wù)器、系統(tǒng)、子系統(tǒng)或計算設(shè)備,包括移動安全工具170,可以實現(xiàn)為服務(wù)器的某種組合,該組合能夠被托管在公共計算系統(tǒng)、服務(wù)器、服務(wù)器池或云計算環(huán)境上并且共享包括共享存儲器、處理器和接口的計算資源。
[0024]端點設(shè)備105、110、115、120可以包括臺式機、膝上型電腦和平板計算設(shè)備以及諸如智能電話、個人數(shù)字助理、視頻游戲控制臺、互聯(lián)網(wǎng)使能的電視機和能夠通過一個或多個無線技術(shù)和協(xié)議無線地連接到至少部分為有線的網(wǎng)絡(luò)的其它設(shè)備的其它計算設(shè)備。端點設(shè)備105、110、115、120的屬性在不同設(shè)備之間變化很大,包括操作系統(tǒng)和加載的、安裝的、執(zhí)行的、操作的或?qū)τ谠O(shè)備可訪問的軟件程序的集合。設(shè)備的程序集可以包括操作系統(tǒng)、應(yīng)用、插件、小應(yīng)用程序、虛擬機、機器圖像、驅(qū)動器、可執(zhí)行文件以及能夠由各自的設(shè)備(例如,105、110、115、120)運行、執(zhí)行或以其它方式使用的其它基于軟件的程序。其它設(shè)備屬性也可以包括連接到設(shè)備或者對于設(shè)備可訪問的外圍設(shè)備,以及設(shè)備適于的網(wǎng)絡(luò)技術(shù)的類型。
[0025]每一個端點設(shè)備可以包括至少一個圖形顯示設(shè)備和用戶界面,允許用戶瀏覽系統(tǒng)100中提供的應(yīng)用和其它程序的圖形用戶界面并且與之進行交互。通常,端點設(shè)備可以包括可操用于接收、傳輸、處理和存儲與圖1的軟件環(huán)境相關(guān)聯(lián)的任何合適數(shù)據(jù)的任何電子計算設(shè)備??梢岳斫猓梢源嬖谂c系統(tǒng)100相關(guān)聯(lián)的任意數(shù)量的端點設(shè)備以及位于系統(tǒng)100外部的任意數(shù)量的端點設(shè)備 。進而,不偏離本公開的范圍的情況下,可以適當可互換地使用術(shù)語“客戶端”、“端點設(shè)備”和“用戶”。而且,盡管按照由一個用戶使用來描述每一個端點設(shè)備,但是本公開預(yù)期許多用戶可以使用一臺計算機或者一個用戶可以使用多臺計算機。
[0026]盡管將圖1描述為包含多個元件或者與多個元件相關(guān)聯(lián),但是并不是在本公開的每一個可選實現(xiàn)中都會利用在圖1的系統(tǒng)100內(nèi)說明的所有兀件。此外,本文描述的一個或多個元件可以位于系統(tǒng)100的外部,而在其它實例中,某些元件可以包括在其它描述的元件和在所說明的實現(xiàn)中沒有描述的其它元件中的一個或多個內(nèi)或者作為該其它描述的元件和沒有描述的其它元件中的一個或多個的一部分。進而,圖1中說明的某些元件可以與其它組件進行組合,并且用于除了本文描述的目的以外的可選或附加目的。
[0027]轉(zhuǎn)到圖2。圖2示出了包括移動安全工具205的示例實現(xiàn)的示例系統(tǒng)的簡化框圖200。在圖2中,將移動安全工具205表示在計算環(huán)境內(nèi),該計算環(huán)境包括適于經(jīng)由一個或多個無線接入網(wǎng)絡(luò)140、145接入一個或多個至少部分為有線的網(wǎng)絡(luò)125的至少一個移動端點設(shè)備210,該至少部分為有線的網(wǎng)絡(luò)125包括諸如互聯(lián)網(wǎng)或LAN的核心網(wǎng)絡(luò),并且該至少一個移動端點設(shè)備210包括存在于網(wǎng)絡(luò)125上的諸如網(wǎng)頁服務(wù)器215的其它計算設(shè)備。
[0028]無線使能的端點設(shè)備210可以包括一個或多個處理器218和存儲器元件220,用于執(zhí)行存儲的、下載的或?qū)τ谠O(shè)備210可訪問的軟件。在一些實例中,端點設(shè)備210可以進一步包括移動無線適配器222、無線適配器225、操作系統(tǒng)228、各種程序、應(yīng)用以及包括實現(xiàn)客戶端安全工具230的軟件的其它軟件。無線適配器222可以包括實現(xiàn)無線網(wǎng)絡(luò)接口控制器的軟件組件和硬件組件,所述無線網(wǎng)絡(luò)接口控制器能夠?qū)⒍它c設(shè)備210連接到一個或多個無線的、基于無線電的通信網(wǎng)絡(luò),例如基于WiFi的網(wǎng)絡(luò)(例如,IEEE802.11)、藍牙網(wǎng)絡(luò)、WiMAX網(wǎng)絡(luò)等等。此外,在一些實現(xiàn)中,端點設(shè)備210可以進一步包括允許該端點設(shè)備連接到無線的基于無線電的移動寬帶網(wǎng)絡(luò)的移動無線適配器225,所述網(wǎng)絡(luò)例如使用蜂窩電話聯(lián)網(wǎng)基礎(chǔ)設(shè)施等等,包括采用GSM、CDMA、3G、4G、LTE及其它技術(shù)和協(xié)議的移動網(wǎng)絡(luò)。適配器222、225可以包括用于向并且從接入網(wǎng)絡(luò)140中的無線接入網(wǎng)絡(luò)元件,特別是無線接入點(例如,232、234),發(fā)送和接收無線電信號的天線和其它硬件。
[0029]移動安全工具205也可以包括一個或多個處理器設(shè)備238以及存儲器元件240。移動安全工具205可以包括適于計算無線使能的端點設(shè)備(例如,210)的風險的移動風險評估器235,所述端點設(shè)備包括配置用于通過移動接入網(wǎng)絡(luò)進行通信的端點設(shè)備。移動安全工具205可以結(jié)合有助于計算針對特定端點設(shè)備的暴露風險的一個或多個計算機風險評估任務(wù)的性能而與一個或多個無線使能的端點設(shè)備(例如,210)進行交互。例如,移動安全工具235 (例如,使用移動風險評估器235)能夠與客戶端安全工具230進行交互以便協(xié)調(diào)端點設(shè)備210處的數(shù)據(jù)收集,用于由移動風險評估器235進行的評估。實際上,移動風險評估器235可以包括適于利用由移動風險評估器235提供的風險評估服務(wù)來識別端點設(shè)備210并且與之進行通信的設(shè)備協(xié)調(diào)器255。在一些實例中,移動風險評估器235可以為多個或成組的無線使能的端點設(shè)備提供風險評估服務(wù),例如,基于計算機風險評估服務(wù)的提供方與設(shè)備所有者、管理員、操作者、互聯(lián)網(wǎng)或移動服務(wù)提供方、設(shè)備制造商和/或與特定無線使能的計算設(shè)備相關(guān)聯(lián)的其它實體之間的協(xié)議或合同。
[0030]移動風險評估器235可以基于各種因素或輸入來計算暴露于特定端點設(shè)備的風險。實際上,可以針對特定端點計算不同類型的風險和風險情境,包括動態(tài)改變的風險。風險可以在無線端點設(shè)備210上動態(tài)地改變,特別是在給定它們的便攜式屬性下,當它們從一個物理的、網(wǎng)絡(luò)或計算環(huán)境移動到另一個時??梢允褂蔑L險計算模塊260,例如用于計算包括暴露于特定端點設(shè)備的多種類型的風險的計算機風險。
[0031]作為示例,可以從端點設(shè)備210收集數(shù)據(jù),例如,經(jīng)過描述設(shè)備210的屬性的端點設(shè)備210的安全掃描,例如,使用客戶端安全工具230的數(shù)據(jù)收集引擎242以及結(jié)合該設(shè)備使用的其它數(shù)據(jù)收集工具。例如,特定操作系統(tǒng)(例如,228),對應(yīng)于操作系統(tǒng)228的補丁和更新,以及結(jié)合操作系統(tǒng)228操作的其它程序和應(yīng)用(包括“移動應(yīng)用”),可以連同與操作系統(tǒng)228和在端點設(shè)備210上執(zhí)行、安裝或訪問的其它程序相關(guān)的信息一起被檢測。這樣的信息可以通過移動客戶端設(shè)備210與移動安全工具205進行共享或通信,例如,通過至少部分為安全的網(wǎng)絡(luò)連接,為移動風險評估器235提供用于在確定針對端點設(shè)備210的一個或多個風險概要時使用的數(shù)據(jù)。例如,繼續(xù)當前示例,端點設(shè)備(例如,210)操作系統(tǒng)的屬性可以被評估,例如安裝在操作系統(tǒng)上的補丁或更新,例如,通過發(fā)現(xiàn)針對操作系統(tǒng)的更新和/或補丁的最新集,通過確定針對操作系統(tǒng)的理想版本或更新并且將這些與實際安裝在端點設(shè)備上的進行比較,或者通過識別針對特定操作系統(tǒng)裝置的已知漏洞,等等。在一些實例中,從端點設(shè)備210收集(通過數(shù)據(jù)收集引擎242)的數(shù)據(jù)可以描述過期的、易受安全威脅攻擊的或者以其它方式次優(yōu)的并且將端點設(shè)備暴露于特定已知安全威脅的操作系統(tǒng)屬性,定義針對端點設(shè)備的漏洞。[0032]取決于所識別的安全風險或漏洞的嚴重性和確定為使設(shè)備面對特定的所識別的屬性(或漏洞)集的威脅的嚴重性,風險計算模塊260能夠確定針對端點設(shè)備210的風險概要。所述風險概要可以涉及端點設(shè)備的功能的特定子系統(tǒng)或類別,或者代表面向端點設(shè)備的合計風險。可以將這樣的風險評估計算和結(jié)果的至少一部分傳送到端點設(shè)備210,并且可以由端點設(shè)備210或者在該端點設(shè)備上執(zhí)行的程序(例如,客戶端安全工具230的報告引擎245)渲染,以便向具有補救面向設(shè)備的威脅和漏洞的任務(wù)的用戶或管理員呈現(xiàn)并且傳送風險評估得分、預(yù)測或其它結(jié)果。在一些示例中,可以將使用移動風險評估器235生成的風險評估結(jié)果傳送到第三方設(shè)備,例如由具有管理針對特定設(shè)備或者設(shè)備的子集的安全和風險的任務(wù)的IT人員和其它管理員使用的管理員系統(tǒng)。
[0033]客戶端安全工具230和移動安全工具205可以相互作用并且協(xié)同地操作以便實現(xiàn)用于在評估端點設(shè)備210的風險時使用的一個或多個安全任務(wù)。這樣的任務(wù)可以包括計算機風險和威脅的檢測以及用于處理和減輕所檢測的風險的對策的識別和發(fā)起。多個安全風險潛在地威脅無線使能的端點設(shè)備(例如,210),包括不安全的網(wǎng)絡(luò)連接、惡意軟件、病毒、未授權(quán)的接入、身份和數(shù)據(jù)竊取等等許多其它威脅。進而,面向無線使能的設(shè)備的一些安全風險對于在包括無線接入網(wǎng)絡(luò)(例如,140、145)的無線網(wǎng)絡(luò)環(huán)境中進行通信的設(shè)備可以是特定的。例如,隨著WiFi熱點以及其它無線接入網(wǎng)絡(luò)的激增,作為不講道德的用戶進行傳染、釣魚或者以其它方式危害無線使能的端點設(shè)備的流行工具,流氓無線接入點已經(jīng)出現(xiàn),使這些端口設(shè)備足夠不幸以便嘗試通過流氓無線接入點接入諸如互聯(lián)網(wǎng)的網(wǎng)絡(luò)。
[0034]在一些實現(xiàn)中,移動安全工具205的移動風險評估器235可以包括適于輔助識別和評估涉及無線接入點(例如,232、234)的風險的接入點風險管理器265,所述無線接入點能夠由一個或多個無線使能的端點設(shè)備(例如,210)接入。接入點風險管理器265可以包括提供用于評估特定無線接入點(例如,232、234)的風險的功能的一個或多個模塊。例如,接入點風險管理器265可以包括查詢引擎275、接入點記錄管理器278、接入點評估模塊280、證書管理器281、隧道化代理282等等的其它模塊及其組合。在一些實現(xiàn)中,接入點風險管理器265能夠與接入點協(xié)調(diào)器250進行交互并且協(xié)同地操作,該接入點協(xié)調(diào)器250例如包括有客戶端安全工具230。示例接入點協(xié)調(diào)器250可以在特定的無線使能的端點設(shè)備(例如,210)附近操作并且包括由諸如接入點監(jiān)控器270、接入點風險避免模塊272等等的其它模塊和實現(xiàn)的模塊提供的功能。
[0035]客戶端安全工具230的接入點協(xié)調(diào)器250可以用于監(jiān)控和收集關(guān)于特定端點設(shè)備與一個或多個無線接入點(例如,232、234)的交互的數(shù)據(jù)。例如,無線端點設(shè)備(例如,210)可以通過從相對應(yīng)的無線接入點(例如,232、234)接收信號來檢測特定無線接入網(wǎng)絡(luò)(例如,140a-b)的可用性。在識別給定位置內(nèi)的無線接入點時,接入點協(xié)調(diào)器250可以例如使用接入點監(jiān)控器270與無線接入點進行通信,并且甚至嘗試通過無線接入點連接到有線網(wǎng)絡(luò)125上的服務(wù)器215以便收集與所發(fā)現(xiàn)的無線接入點相關(guān)的數(shù)據(jù)。接入點監(jiān)控器270可以使從各種無線接入點(例如,232、234)收集的數(shù)據(jù)被轉(zhuǎn)發(fā)到移動安全工具205,用于例如由接入點風險管理器265進行處理和評估。
[0036] 接入點風險管理器265可以接收由在多個不同的無線使能的端點設(shè)備(例如,210)上操作的接入點協(xié)調(diào)器收集的描述多個不同的無線接入點(例如,232、234)的屬性和行為的數(shù)據(jù)。根據(jù)從接入點協(xié)調(diào)器250接收到的數(shù)據(jù)(例如,由接入點監(jiān)控器270收集),接入點風險管理器265可以使用接入點記錄管理器278來構(gòu)建描述并記載由端點設(shè)備(例如,210)發(fā)現(xiàn)的無線接入點的屬性的數(shù)據(jù)記錄(例如,無線接入點(WAP)記錄288)。
[0037]由接入點監(jiān)控器270收集的數(shù)據(jù)可以描述特定無線接入點的屬性或行為,所述屬性或行為可以用作預(yù)測性地確定特定無線接入點是被危害的、有危險的或流氓接入點的基礎(chǔ),換言之,該接入點是操作為、看起來操作為或者對作為用于向端點設(shè)備執(zhí)行惡意行為的機制的操作敏感的無線接入點。類似地,由接入點監(jiān)控器270收集的記載與特定無線接入點的一個或多個遇見的數(shù)據(jù)也可以用于預(yù)測性地確定特定無線接入點是理應(yīng)安全的、可靠的、合法的或以其它方式可信的接入點。
[0038]在一些實例中,評估由一個或多個端點設(shè)備收集的數(shù)據(jù)以便確定特定無線接入點的風險概要可以在端點設(shè)備210本身處、在移動安全工具205處(例如,使用接入點評估模塊280)或者端點設(shè)備210和移動安全工具205的組合處執(zhí)行。進而,針對特定無線接入點確定的風險概要不需要是二值的(即,危險或安全)。實際上,在一些實現(xiàn)中,取決于針對特定無線接入點收集的數(shù)據(jù)和所收集的數(shù)據(jù)的量(即,來自幾個監(jiān)控實例),以及所收集的數(shù)據(jù)的一致性,特定無線接入點的風險概要可以被更細致地分級或打分,例如,如從“確定性流氓”到“確定性安全”的連續(xù)變化。
[0039]在一些實現(xiàn)中,客戶端安全工具230 (使用接入點協(xié)調(diào)器250)和移動風險評估器235 (使用接入點風險管理器265)可以協(xié)調(diào)為執(zhí)行與特定無線接入點的精心設(shè)計的交互以便收集來自特定無線接入點的數(shù)據(jù)并且評估該特定無線接入點的安全。例如,端點設(shè)備210可以使用無線適配器222來識別特定無線接入點。為了建立用于執(zhí)行對無線接入點的檢查的受控環(huán)境,客戶端安全工具230可以與接入點風險管理器265協(xié)調(diào)(在一些情況中,是遠程的)以便識別核心網(wǎng)絡(luò)125 上的受信服務(wù)器或端點。例如,受信服務(wù)器或端點可以例如是由移動安全工具205或移動安全工具205的操作者控制的設(shè)備,對于所述移動安全工具205或移動安全工具205的操作者,特定安全令牌、密鑰、證書等等是已知的,以便識別不講道德的行為者是否正在使用所測試的無線接入點來攻擊或危害使用該無線接入點的端點設(shè)備,例如,使用中間人攻擊。進而,證書、令牌、哈希函數(shù)、加密密鑰等等可以被管理用于受信服務(wù)器,例如,使用證書管理器281。
[0040]在嘗試通過處于測試中的特定無線接入點與受信服務(wù)器建立通信時,客戶端安全工具230 (例如,使用接入點監(jiān)控器)可以監(jiān)控被測試的無線接入點的行為??蛻舳税踩ぞ?30可以向移動風險評估器235報告所收集的數(shù)據(jù)。在一些實例中,接入點監(jiān)控器270可以包括用于識別特定無線接入點有可能是流氓或被危害的邏輯,并且接入點監(jiān)控器270的評估可以被傳送到移動安全工具205并且由其進行記錄。在其它實例中,接入點風險管理器265可以使用由客戶端安全工具230報告的數(shù)據(jù)以便訪問(例如,使用接入點評估模塊280)被測試的無線接入點的安全或者確認安全工具230的評估。進而,在一些實例中,接入點風險管理器265可以使用從與特定的被測試的無線接入點的多個遇見報告的數(shù)據(jù)來實現(xiàn)無線接入點的安全的特定確定或評估。
[0041]在一些示例實現(xiàn)中,移動安全工具205可以幫助保護參與特定無線接入點的監(jiān)控或評估的移動客戶端設(shè)備210以使其免受由流氓無線接入點造成的潛在威脅。除了協(xié)調(diào)用于估計無線接入點的受控環(huán)境(例如,使用受信服務(wù)器以便通過無線接入點建立初始通信),移動安全工具205也可以用于進一步幫助使移動客戶端設(shè)備210與威脅隔離。例如,如果確定特定無線接入點受到危害,則移動安全工具205,例如使用隧道化代理282,可以幫助在受危害的無線接入點上協(xié)調(diào)和建立安全VPN隧道,用于由端點設(shè)備210使用。經(jīng)過使用VPN隧道,端點設(shè)備210在享受某一級別的安全的同時,仍然可以使用具有受危害的或流氓無線接入點的無線接入網(wǎng)絡(luò)。此外,也可以建立VPN隧道用于由端點設(shè)備210使用用于在與移動安全工具205進行通信時使用。例如,流氓無線接入點將具有高的動機來阻止或改變在接入點上攔截的來自移動客戶端設(shè)備的數(shù)據(jù),所述移動客戶端設(shè)備嘗試向移動安全工具205傳送接入點的流氓狀態(tài)。因此,能夠?qū)@樣的關(guān)于特定無線接入點(包括受信無線接入點)的狀態(tài)和行為的數(shù)據(jù)的通信進行加密。例如使用VPN隧道,或者經(jīng)過使用不同的無線接入網(wǎng)絡(luò),包括確定為比其它可用的無線接入網(wǎng)絡(luò)更加安全的或受信的無線移動接入網(wǎng)絡(luò)。
[0042]除了促成安全通信信道,例如經(jīng)過結(jié)合特定無線接入點的特定安全或者風險評估的用于由參與的端點設(shè)備使用的VPN連接的建立,移動安全工具205和移動客戶端設(shè)備210也可以基于特定無線接入點的評估來使其它行為和功能變得合適。例如,在一些實現(xiàn)中,由移動安全工具205維持的記載與各種無線接入點(例如,232、234)的先前遇見的記錄288可以用于執(zhí)行特定無線接入點的預(yù)評估查詢。作為說明性示例,端點設(shè)備210可以檢測第一無線接入點232并且向移動安全工具205發(fā)送識別無線接入點232的數(shù)據(jù),例如所檢測的SSID或者針對無線接入點23 2的其它標識符,以及在一些情況中與無線接入點232和/或端點設(shè)備210的地理位置相對應(yīng)的地理位置數(shù)據(jù)。根據(jù)識別無線接入點232的數(shù)據(jù),接入點風險管理器265可以例如使用查詢引擎275來執(zhí)行WAP記錄288的查詢,以便確定先前收集的數(shù)據(jù)是否針對所識別的無線接入點232存在,以及先前收集的數(shù)據(jù)是否指示無線接入點232是否可能是可信的。然后,可以將查詢的結(jié)果轉(zhuǎn)發(fā)到端點設(shè)備210。進而,基于該查詢結(jié)果,端點設(shè)備可以執(zhí)行相對應(yīng)的動作,如,在不檢查無線接入點232的情況下連接到無線接入點232 (例如,基于指示無線接入點232可能是可信的查詢結(jié)果),嘗試評估(例如,與上文所述的移動安全工具205進行協(xié)作和協(xié)調(diào))無線接入點的安全(例如,當查詢結(jié)果指示還沒有針對無線接入點生成記錄時或者當存在關(guān)于無線接入點232的可信性的一些問題時),阻礙端點設(shè)備232連接到無線接入點232的能力(當查詢結(jié)果指示無線接入點最可能是流氓接入點時),以及其它示例。實際上,在一些實例中,移動安全工具205可以評估WAP記錄288的查詢結(jié)果并且向端點設(shè)備210發(fā)送關(guān)于端點設(shè)備210針對所檢測的無線接入點232應(yīng)該采取的動作的建議或指令。
[0043]能夠在給定設(shè)備的風險暴露或安全的更加通常的評估中考慮通過各種無線接入點的評估以及端點設(shè)備與特定無線接入點的交互所收集到的數(shù)據(jù)。例如,例如使用數(shù)據(jù)收集引擎242從端點設(shè)備210收集到的數(shù)據(jù)可以與移動安全工具205共享并且例如由該移動安全工具205維持在設(shè)備記錄290中??梢栽诎ǘ它c設(shè)備與特定的已知無線接入點的交互的其它設(shè)備專用數(shù)據(jù)中考慮從端點設(shè)備210收集到的描述設(shè)備屬性的數(shù)據(jù),以便作為整體生成設(shè)備的合計風險評估(例如,使用風險計算模塊260)。這樣的數(shù)據(jù)可以例如經(jīng)過由客戶端安全工具230進行的設(shè)備的掃描進行收集。在一些實例中,客戶端安全工具(以及移動安全工具205)可以適于支持各種不同的移動操作環(huán)境,包括RM黑莓(QNX)、谷歌安卓、蘋果iOS、微軟Windows電話、諾基亞塞班OS及其它。在一些示例中,客戶端安全工具230可以實現(xiàn)為從受信站點下載或者經(jīng)由應(yīng)用商店發(fā)布的應(yīng)用,例如安卓市場或iTunes??蛻舳税踩ぞ?30(例如,使用數(shù)據(jù)收集引擎242)能夠掃描該設(shè)備。掃描可以包括密鑰庫的完整性檢查、端點設(shè)備內(nèi)并且基于無線接入點的聲譽信息的文件/變化控制或受信代碼執(zhí)行、認證方法的弱化、安全連接協(xié)議、加密方法以及涉及設(shè)備風險或漏洞評估的其它安全任務(wù)。
[0044]由客戶端安全工具230收集的數(shù)據(jù)可以用于設(shè)備的風險評估中。這樣的評估可以例如進一步確定特定端點設(shè)備(或者成組的端點設(shè)備)是否、哪里和/或如何處于危險狀態(tài)。除了暴露于受危害的無線接入點,無線使能的設(shè)備的風險可以考慮許多其它源,包括網(wǎng)絡(luò)威脅、操作系統(tǒng)專用(如228)或應(yīng)用專用的漏洞、弱數(shù)據(jù)加密、不安全連接、釣魚網(wǎng)站等等。此外,在某些條件下針對具有某些屬性的某些設(shè)備記錄各種威脅和風險的設(shè)備記錄290可以例如在其它端點設(shè)備、多端點系統(tǒng)、各類特定端點設(shè)備及其它示例的風險評估中由風險計算模塊260使用。此外,特定端點設(shè)備的風險評估也可以包括存在于端點設(shè)備上或者對于該端點設(shè)備可用的可能對策的考慮和分解。在一些情況中,相關(guān)對策的存在可以在針對端點設(shè)備的風險評分的計算中使用。進而,與移動安全工具205協(xié)同操作的客戶端安全工具230也可以用于補救在端點設(shè)備上檢測到的其它威脅和漏洞,包括目標對策的引入、惡意軟件的去除、軟件更新以及其它工具和動作。
[0045]轉(zhuǎn)到圖3,顯示了受危害的無線接入點310的示例惡意使用的框圖300。例如,說明了一種示例中間人攻擊。示例端點設(shè)備305可以通過無線接入網(wǎng)絡(luò)308與示例無線接入點310進行通信以便接入由核心網(wǎng)絡(luò)312上的示例服務(wù)器315提供的資源和/或服務(wù)。在圖3的特定示例中,端點設(shè)備305可以嘗試參與與服務(wù)器315的事務(wù),所述事務(wù)涉及在與服務(wù)器315已經(jīng)建立了安全會話的幫助下,例如,使用安全套接層(SSL)保護,通過無線接入點310發(fā)送諸如信用卡信息的敏感數(shù)據(jù)。因而,端點設(shè)備305可以期望證書或來自服務(wù)器315的某一其它令牌以便 建立安全會話。惡意的計算設(shè)備320可以控制或以其它方式使用無線接入點310以便窺探無線接入點310上的業(yè)務(wù)。實際上,惡意設(shè)備320可以攔截并且檢測來自端點設(shè)備305的請求與服務(wù)器315的安全連接的請求322。進而,惡意設(shè)備320不是發(fā)送從服務(wù)器315發(fā)送的證書325,而是可以發(fā)送其自己的代理證書330并且通過與端點設(shè)備305建立安全會話來模仿服務(wù)器,誘使設(shè)備305的用戶確信地通過該安全連接共享敏感的個人數(shù)據(jù)。惡意設(shè)備320可以攔截傳輸這樣的數(shù)據(jù)的通信(例如,335)(并且在一些情況中,代理到服務(wù)器315的數(shù)據(jù)以便不引起設(shè)備305的用戶的懷疑)并且偷竊包括在敏感數(shù)據(jù)335中的信息以便在其它潛在的不法行為中使用。
[0046]圖4A-4D說明了根據(jù)至少一些實施例評估無線接入點的示例。實際上,在圖4A-4D的示例中描述的示例方案和技術(shù)可以用于緩解如在圖3的示例中描述的示例攻擊的攻擊。在圖4A中,顯示了說明涉及端點設(shè)備402、無線接入點310、惡意設(shè)備320、接入點監(jiān)控器420和受信服務(wù)器設(shè)備405的示例通信的流程圖400a。端點設(shè)備402,例如被預(yù)定、使用或者以其它方式適于消費由一個或多個安全工具提供的安全服務(wù)的端點設(shè)備402,可以檢測特定無線接入點310并且嘗試使用無線接入點310以便評估無線接入點310的安全。端點設(shè)備與無線接入點310的交互可以例如與無線接入點310的任何其它典型的端點設(shè)備的使用類似地發(fā)展,例如,以便使無線接入點310或者結(jié)合該無線接入點310操作的設(shè)備(例如,320)不能夠警覺到該無線接入點310的安全正在被分析和評估。例如,端點設(shè)備402可以向特定服務(wù)器,服務(wù)器A405,發(fā)送請求,并且嘗試與特定服務(wù)器405建立安全連接。[0047]結(jié)合無線接入點310的評估,端點設(shè)備402能夠以服務(wù)器A作為受信裝置的預(yù)識別為基礎(chǔ),在使用無線接入點310開始其它通信之前刻意地與服務(wù)器A405進行交互。此外,與受信服務(wù)器A405的交互可以被精心設(shè)計以便在至少稍微受控的環(huán)境下接入無線接入點310的風險。例如,將由受信服務(wù)器A405結(jié)合與端點設(shè)備402的安全連接的建立而發(fā)送的特定證書、令牌、加密密鑰、數(shù)字簽名、水印及其它數(shù)據(jù),能夠在端點設(shè)備402嘗試發(fā)起與受信服務(wù)器405的安全會話之前,被預(yù)協(xié)商、預(yù)接入、兌現(xiàn)或以其它方式對于端點設(shè)備402已知。實際上,在一些實例中,受信服務(wù)器405可以在控制之下,或者甚至由與端點設(shè)備402相關(guān)聯(lián)的移動安全工具(例如,圖2中的205)托管。
[0048]因此,端點設(shè)備402可以發(fā)送請求以便通過無線接入點310與受信服務(wù)器405建立安全連接,在這種情況下,例如基于與受信服務(wù)器405的關(guān)系或者熟悉度而期望特定安全證書410將由受信服務(wù)器405返回。繼續(xù)圖4A的示例,期望的證書410可以被惡意設(shè)備320利用受危害的無線接入點310攔截,并且所述惡意設(shè)備320可以嘗試使用其自己的證書330替代期望的證書410以便誘使端點設(shè)備402與惡意設(shè)備建立安全連接并且通過惡意設(shè)備320(例如,如圖3中的示例中)錯誤地路由安全業(yè)務(wù)。然而,在圖4A中的示例中,端點設(shè)備402對證書330而非期望的證書410的接收可以提示該端點設(shè)備懷疑無線接入點310是流氓接入點或者已經(jīng)以其它方式受到危害。因而,端點設(shè)備402可以向接入點風險管理器265報告它的發(fā)現(xiàn)415,用于在對可能受危害的或流氓接入點的入侵編目錄時使用。這樣的報告或反饋數(shù)據(jù)可以通過諸如VPN隧道或者移動寬帶連接的安全連接425傳送到接入點風險管理器265。在端點設(shè)備能夠收集并且傳送到接入點風險管理器265的報告和反饋數(shù)據(jù)當中,端點設(shè)備402可以傳送無線接入點310的身份(例如,SSID或其它標識符)、所提出的報告415的行為或特性的類型、在其附近檢測到無線接入點310的地理位置、無線接入點是否使用加密以及使用了何種類型的加密、是否需要密碼、在與接入點進行連接時是否生成和接收了醒目頁面以及描述相關(guān)無線接入點的屬性和行為的其它數(shù)據(jù)。 [0049]轉(zhuǎn)到圖4B的示例,在一種實現(xiàn)中,在部分特定無線接入點310上的可疑的或不可信行為的發(fā)現(xiàn),例如在圖4A的示例中,可以引起制定對策以便保護受影響的端點設(shè)備并且抵抗由無線接入點310造成的威脅。例如,如上所述,確定特定無線接入點310是不可信的、流氓的或以其它方式受危害的可以觸發(fā)對策,所述對策包括用于在通過特定受危害的無線接入點310的隨后通信435中由端點設(shè)備使用的VPN隧道的建立430。實際上,在一些實例中,能夠至少部分地經(jīng)過與受信服務(wù)器405 (和/或接入點風險管理器265)的通信來建立430所述VPN隧道。通過受危害的無線接入點310的隧道化可以提供用于特定的情形中,例如,當在給定時間沒有其它無線接入點對于特定端點設(shè)備402可用時。在其它實例中,可以提供其它對策,例如阻擋特定的受危害的無線接入點、禁用到被確定為具有較低可信度的無線接入點的自動連接或者到被確定為不太有危險的可選的無線接入點的自動連接。
[0050]現(xiàn)在轉(zhuǎn)到圖4C的示例,在某些實例中,使用特定無線接入點時固有的風險可以被評估以便確定無線接入點可能是安全的、合法的或以其它方式可信的。采取措施之前,可能端點設(shè)備402不知道特定無線接入點針對可信性的聲譽,并且由于它可能是任何其它情況,該端點可以接近無線接入點的評估。例如,端點設(shè)備可以嘗試通過穿過與受信服務(wù)器405的安全連接的建立而評估無線接入點438。這樣的評估可以如圖4A中的示例進行,然而,在這一示例中,期望的證書410被從受信服務(wù)器405返回到端點設(shè)備402,向端點設(shè)備402表明無線接入點435潛在地不是流氓或受危害的接入點。實際上,與在圖4A的示例中相同,在圖4C的示例中的端點設(shè)備402可以向接入點風險管理器265報告它關(guān)于無線接入點438的發(fā)現(xiàn),例如,用于由接入點風險管理器265在輔助對與特定無線接入點438的未來遇見的評估時使用(例如,在下面的圖5的示例中更加詳細描述的)。
[0051]轉(zhuǎn)到圖4D,在一些實現(xiàn)中,在可靠地確定特定無線接入點是安全的或可信的之前,可以確定,對于特定無線接入點的評估(例如,在圖4C的示例中)返回單一的“清晰”結(jié)果是不充分的。例如,在圖4D的示例中,更加復(fù)雜的無線接入點460(結(jié)合無線接入點460或者惡意設(shè)備465的用戶執(zhí)行的惡意設(shè)備465)可以預(yù)期一些端點設(shè)備將在發(fā)送惡意設(shè)備465實際上感興趣捕獲的“現(xiàn)場”數(shù)據(jù)之前嘗試利用“測試”連接來評估無線接入點的可信性。這樣的智能性可以由惡意設(shè)備465 (或者用戶)收集,例如,基于關(guān)于這樣的系統(tǒng)或者該系統(tǒng)的其它熟悉度的先前經(jīng)驗。因此,惡意設(shè)備465可以等待發(fā)起中間人或其它攻擊,直到端點設(shè)備與無線接入點460的連接成熟。例如,惡意設(shè)備可以允許建立特定安全連接的一個或多個第一嘗試以便在沒有干擾的情況下進行,以誘使端點設(shè)備和/或接入點風險管理器假定無線接入點460是安全的。實際上,如在圖4D的示例中所示,初始反饋數(shù)據(jù)445可以從端點設(shè)備402報告到接入點風險管理器265,報告期望的證書410平安無事地從受信服務(wù)器405返回。
[0052] 繼續(xù)圖4D的示例,惡意設(shè)備465可以嘗試釣魚由端點設(shè)備402參與的其它安全通信,假定這樣的嘗試將不被監(jiān)控。例如,代替返回服務(wù)器B470的合法證書450,惡意設(shè)備465可以嘗試模仿服務(wù)器B470并且用其自己的證書330替換證書450。然而,這樣的嘗試也可以利用端點設(shè)備402和接入點風險管理器265進行處理。例如,端點設(shè)備(結(jié)合接入點風險管理器265)可以在無線接入點460的端點402的使用期間進行無線接入點460的多個、周期性評估,而不是僅單次評估特定無線接入點460的可信性。例如,可以對端點設(shè)備通過網(wǎng)絡(luò)312在現(xiàn)場(不涉及評估)事務(wù)中建立安全連接的嘗試做出響應(yīng)并且在該嘗試之前發(fā)起新的風險評估。進而,在這些多個風險評估期間可以采用多個不同的受信服務(wù)器,以使得惡意設(shè)備465不識別與相同受信服務(wù)器的重復(fù)通信并且期望風險評估嘗試。例如,服務(wù)器B470可以是由風險評估系統(tǒng)使用的受信服務(wù)器的第二實例。實際上,在一些實例中,風險評估系統(tǒng)可以使用技術(shù)以便動態(tài)且隨機地循環(huán)所使用的特定受信服務(wù)器,動態(tài)地改變受信服務(wù)器的標識、地址或名稱,開發(fā)與諸如電子商務(wù)平臺的第三方服務(wù)器的受信關(guān)系,可以預(yù)期與該電子商務(wù)平臺的現(xiàn)場事務(wù),使用諸如由僵尸網(wǎng)絡(luò)系統(tǒng)所使用的技術(shù)以便使受信服務(wù)器的身份不可預(yù)測,以及其它示例。因此,能夠檢測并且緩解惡意設(shè)備465通過受危害的無線接入點460對參與的端點設(shè)備402的干擾或發(fā)起對參與的端點設(shè)備402的攻擊的延遲的嘗試。進而,描述無線接入點460的這樣的行為和特性的反饋數(shù)據(jù)455可以由接入點風險管理器265報告或維持。
[0053]也可以使用如上所述的無線接入點評估技術(shù)內(nèi)的其它技術(shù)。利用受危害的無線接入點的更加復(fù)雜的惡意設(shè)備可以利用其它技術(shù)來識別和預(yù)期并且躲避無線接入點風險評估。例如,惡意設(shè)備也可以跟蹤和識別在結(jié)合風險評估的與受信服務(wù)器的精心設(shè)計的交換中使用的循環(huán)的證書或令牌。為了防止無線接入點評估的檢測,在一些實現(xiàn)中,用于建立在端點設(shè)備402和受信服務(wù)器405之間交換的數(shù)據(jù)的連續(xù)認證的證書、令牌、簽名等等的值或類型可以本身是動態(tài)改變的以便不具有重復(fù)值。例如,關(guān)于在特定無線接入點上風險評估的發(fā)起,端點設(shè)備402可以協(xié)調(diào)(例如,利用接入點風險管理器265)將在評估中使用的特定受信服務(wù)器的身份和地址以及應(yīng)該被期望來自受信服務(wù)器的特定的期望證書(或其它令牌等)。按照這一方式,受信服務(wù)器的身份和證書的本質(zhì)可以不斷地改變以便隱藏其在特定無線接入點的風險評估中的參與。與遠程接入點風險管理器265或其它協(xié)調(diào)工具的這樣的協(xié)調(diào)可以例如通過不涉及將要被評估的無線接入點的連接而發(fā)生。例如,特定無線接入點的風險評估的協(xié)調(diào)可以在無線寬帶信道或其它安全連接上完成。進而,盡管特定無線接入點的端點的評估可以是不具有直接移動寬帶或其它連接性的端點的結(jié)果,但是可以提前協(xié)調(diào)風險評估的協(xié)調(diào),例如,當這樣的可選接入網(wǎng)絡(luò)可用時。進而,在一些實現(xiàn)中,在這樣的協(xié)調(diào)是不可能的情況下(例如,由于到安全信道的連接,或者在預(yù)協(xié)調(diào)的受信服務(wù)器處的故障),基于不能夠可靠地評估無線接入網(wǎng)絡(luò)的可信性的確定,可以自動地拒絕到特定無線接入網(wǎng)絡(luò)的接入。
[0054]盡管圖3、4A_4D的示例集中于中間人類型的攻擊并且基于不期望的證書、令牌或其它數(shù)據(jù)的接收來識別流氓接入點,但是可以意識到,這些示例是非限制性示例,在一些情況中,提供這些示例用于說明更加通常的原理。例如,除了基于不期望的證書的接收來評估無線接入點風險,可以基于在通過無線接入點的通信中識別的不一致性,例如不期望的加密類型、不期望的醒目頁面數(shù)據(jù)、不期望的密碼要求及其它示例,來識別特定無線接入點的風險性。進而,也可以考慮用于評估無線接入點的風險性的數(shù)據(jù)集在精確度或完整性方面的置信度。例如,如果描述無線接入點的數(shù)據(jù)集本身是不完整的,或者風險評估的結(jié)果是非決定性的,則評估的可靠性可能具有很小的置信度,并且可以抑制可用于減輕與無線接入點相關(guān)聯(lián)的風險的行為。
[0055]轉(zhuǎn)到圖5,示出了說明示例移動安全工具510與一個或多個無線使能的端點計算設(shè)備505的示例交互的框圖500,該端點計算設(shè)備505用于評估一個或多個無線接入點515、520處的風險。 一個或多個無線接入點(例如,515)可以是流氓無線接入點515,例如,由惡意設(shè)備(如535)用于釣魚或窺探通過無線接入點發(fā)送的數(shù)據(jù)。
[0056]在一個示例中,無線使能的端點設(shè)備505可以在特定位置內(nèi)識別多個無線接入點并且發(fā)起對每一個的風險評估。例如,端點設(shè)備505可以首先評估無線接入點515并且通過向移動安全工具510發(fā)送識別第一無線接入點515的數(shù)據(jù)來開始該評估。數(shù)據(jù)可以包括標識符數(shù)據(jù),例如,無線接入點515的SSID以及其它信息。例如,在一些實現(xiàn)中,SSID可以跨越多個無線接入點被再利用,例如分配到即裝即用的無線接入點的默認或通用的SSID。此外,在一些無線接入點中,SSID可以改變,并且可選的識別數(shù)據(jù)可以用于識別無線接入點。作為示例,其它標識符數(shù)據(jù)以及描述無線接入點的屬性的數(shù)據(jù)可以被識別并且包括在發(fā)送到移動安全工具510的數(shù)據(jù)中,例如與無線接入點的位置相對應(yīng)的地理位置數(shù)據(jù)、無線接入點被接入的一天的時間、由無線接入點使用的醒目頁面數(shù)據(jù)、由無線接入點使用的簽名或握手協(xié)議、由無線接入點使用的加密方法等等。除了或者代替上述數(shù)據(jù),也可以使用多種其它數(shù)據(jù),以便識別特定無線接入點,例如包括接入點的通信信道、BSSID、供應(yīng)商、支持的數(shù)據(jù)率、類型(例如,管理的、未管理的等等)、密鑰等等。
[0057]移動安全工具510可以使用來自由端點設(shè)備505提供的數(shù)據(jù)的第一無線接入點515的識別,以便執(zhí)行針對大量無線接入點評估記錄288和/或其它數(shù)據(jù)(例如,存儲在一個或多個存儲器元件或數(shù)據(jù)結(jié)構(gòu)(例如,285)中,例如數(shù)據(jù)庫、數(shù)據(jù)對象和文件系統(tǒng)等等)的查詢540,以利用端點設(shè)備505或者某一其它端點設(shè)備來識別第一無線接入點515在之前是否已經(jīng)被評估,以及風險評估的結(jié)果是什么。查詢結(jié)果545可以返回到端點設(shè)備505,例如,通過安全連接或通信信道,包括通過無線移動寬帶網(wǎng)絡(luò)145的通信,以便在端點設(shè)備505連接到無線接入點515之前向端點設(shè)備505提供關(guān)于無線接入點515的智能。查詢結(jié)果545可以識別在無線接入點515的先前風險評估中收集的數(shù)據(jù),這允許端點設(shè)備處理該數(shù)據(jù)并且確定無線接入點515的風險性。在其它示例中,移動安全工具510可以結(jié)合WAP記錄288的查詢來確定或識別無線接入點515的風險得分或初步風險評估,并且向端點設(shè)備505提供該初步風險評估。
[0058]此外,由端點設(shè)備識別的每一個無線接入點(例如,515、520)可以被識別并傳送到移動安全工具,以便觸發(fā)WAP記錄288的各自查詢540。例如,除了發(fā)送關(guān)于與無線接入點515的遇見的數(shù)據(jù)538,端點設(shè)備505也可以發(fā)送識別無線接入點520的數(shù)據(jù)538。因此,可以針對由端點設(shè)備505檢測并且對于該端點設(shè)備505可用的多個不同的無線接入點(例如,515、520)返回查詢結(jié)果545。在一些實例中,查詢數(shù)據(jù)545可以用于識別所遇見的無線接入點505的相對安全或可信性。在一些實例中,查詢數(shù)據(jù)545本身可以通信這樣的信息,例如經(jīng)過包括針對無線接入點505識別的風險得分或風險概要。在一些實例中,在遇見(并且評估)無線接入點時,這樣的風險概要(以及查詢結(jié)果545本身)可以基于由各種端點設(shè)備向移動安全工具提供的潛在地成百上千的評估數(shù)據(jù)點。
[0059]在接收到來自移動安全工具510的初步風險評估數(shù)據(jù)或其它查詢結(jié)果545時,端點設(shè)備可以繼續(xù)進行所遇見的無線接入點515、520的評估,在一些情況中,與移動安全工具510、一個或多個受信服務(wù)器405以及其它組件協(xié)作。在一些實現(xiàn)中,所執(zhí)行的風險評估的類型和范圍將至少部分地基于針對無線接入點515、520返回的查詢數(shù)據(jù)545。也可以考慮其它原因和屬性,例如,無線接入點515、520的識別位置。例如,如果與端點設(shè)備和/或所遇見的無線接入點的位置相對應(yīng)的地理位置數(shù)據(jù)指示無線接入點正在公開的空間或位置中操作,該公開的空間 或位置之前被識別為包含一個或多個惡意的或受危害的無線接入點,則可以仍然在每一個所檢測的無線接入點515、520上執(zhí)行大量的風險評估,即使一個或多個所檢測的無線接入點515、520的查詢結(jié)果545指示無線接入點的特定可信性。
[0060]在一些實例中,指示無線接入點的特定可信性或安全的查詢結(jié)果545可以導(dǎo)致較少量的對無線接入點的安全評估檢查,例如以便確認可信的無線接入點(例如,520)的先前所識別的屬性,或者完全地跳過風險評估。在關(guān)于無線接入點的可信性存在某種不確定性的實例中,例如基于指示相沖突的行為或者關(guān)于無線接入點的記錄288的不足(或者完全缺乏)的查詢結(jié)果545。此外,如果查詢結(jié)果545指示特定無線接入點(例如,515)被相信是受危害的,例如基于對無線接入點515的多個評估,則到無線接入點的連接可能被全部拒絕,或者可以執(zhí)行其它評估,例如以便收集關(guān)于無線接入點515的附加的數(shù)據(jù)點并且進一步確認(或者可能質(zhì)疑)無線接入點515的初步風險評估。
[0061]在經(jīng)過與所遇見的無線接入點515、520的交互而完成風險評估任務(wù)525、530時,端點設(shè)備505可以向移動安全工具510發(fā)送反饋數(shù)據(jù)(例如,如圖4A-4D的示例中的反饋數(shù)據(jù)415、440、445、455),傳送從風險評估任務(wù)收集到的數(shù)據(jù)和結(jié)果。轉(zhuǎn)而,移動安全工具510可以使用由端點設(shè)備505報告的最新反饋數(shù)據(jù)來增補其記錄(例如288)。實際上,在一些實例中,由端點設(shè)備505報告的由風險評估任務(wù)525、530產(chǎn)生的反饋數(shù)據(jù)可以改變涉及所評估的無線接入點515、520的未來查詢的結(jié)果。例如,無線接入點515可能基于之前的WAP記錄288已經(jīng)被識別為是潛在可信的,但是無線接入點515的最近風險評估(例如,結(jié)合端點設(shè)備505的遇見和評估)可能已經(jīng)識別了產(chǎn)生被添加到WAP的屬性或行為(例如所嘗試的中間人攻擊),作為妥協(xié),所述反饋數(shù)據(jù)用作用于無線接入點515的隨后預(yù)評估的基礎(chǔ)。
[0062]在一個說明性示例中,用戶可以使用移動智能電話來嘗試連接到機場或另一公共場所內(nèi)的WiFi網(wǎng)絡(luò)。可以檢測到多個可用WiFi網(wǎng)絡(luò)(或者接入點)并且顯示給用戶。在一些實例中,流氓移動接入點可以通過采取表明合法性的名字來引誘不懷疑的用戶使用它們的連接。例如,在達拉斯、德克薩斯沃斯堡機場,流氓無線接入點可以采取名稱“DFW WiFi”,以便(錯誤地)向潛在的用戶表明該接入點由機場的官方人員或其它合法源維持。實際上在一些實例中,流氓無線接入點可以采取(例如,偽造)官方接入點或熱點的精確名稱,以便使用戶通過實際的、發(fā)起的接入點選擇(有時盲目地)流氓接入點。在流氓接入點檢測和/或其它接入點風險評估功能對于端點設(shè)備可用的實例中,例如在一些先前描述的示例中,可以根據(jù)上述原理來評估由端點設(shè)備遇見的無線接入點的可信性。實際上,在其中兩個不同的接入點呈現(xiàn)有相同SSID的示例中,可以確定存在該兩個無線接入點中的一個是流氓的并且正在嘗試模擬另一個的高可能性,產(chǎn)生無線接入點的更加勤奮的風險評估以及報告至少一個流氓接入點在檢測到無線接入點的特定位置(例如,機場)處可能存在的反饋數(shù)據(jù)。實際上,對特定位置處流氓接入點的先前識別可以導(dǎo)致在該位置處(例如,如從GPS或端點設(shè)備的其它地理位置數(shù)據(jù)識別的)檢測到的無線接入點的加強的監(jiān)視。然而,在一些實例中,確定在不同距離處接入點的變化可信性也可以或代替地被確定為很差地反映針對特定接入點的風險評估的置信度。風險評估的精確性的低置信度也引起對接入點的肯定評估的懷疑,在一些實例中,低置信度促成了應(yīng)該避免到無線接入點的連接的總體指示(即,因為在之前被評估為不可信 之后,接入點現(xiàn)在是可信性的這種評估,引起對當前評估的可靠性的懷疑)。
[0063]對現(xiàn)有的無線接入點評估記錄的預(yù)評估查詢和/或在特定位置內(nèi)所檢測的無線接入點的評估做出響應(yīng),可以向端點設(shè)備的用戶呈現(xiàn)(例如,經(jīng)過端點設(shè)備的顯示實體)用戶界面,該用戶界面識別在某一位置中可用的無線接入點,以及所檢測的無線接入點的相對安全或可信性,連同在對每一個所檢測的無線接入點的評估中相對置信度的測度。用戶可以例如使用這一信息,以便評估使用特定無線接入點的風險。例如,用戶可能僅遇見單個可用的無線接入點,或者用戶能夠連接到的單個無線接入點(例如,因為用戶不具有對于其它所檢測的無線接入點的預(yù)訂或密碼),但是可以考慮通過未知的接入網(wǎng)絡(luò)進行連接。
[0064]為了幫助用戶理解用戶設(shè)備(并且通過關(guān)聯(lián)性,用戶自身)面臨的風險,可以利用端點設(shè)備向用戶呈現(xiàn)用戶界面,例如圖6中所示的示例圖形用戶界面(GUI)605的屏幕截圖600。例如,GUI605可以包括由端點設(shè)備在給定時間和位置處檢測到的可用無線網(wǎng)絡(luò)(或接入點)610a-d的列表。進而,可以在列表中呈現(xiàn)無線接入網(wǎng)絡(luò)的名稱以及無線接入網(wǎng)絡(luò)的其它屬性,包括無線接入點(例如,在615a-d處)的信號強度以及該接入點是否被保護或者需要密碼等等(例如,在620a-d處)。此外,一個或多個狀態(tài)指示符(例如,如625a-d的顏色編碼的狀態(tài)指示符)可以呈現(xiàn)在GUI605中以便指示在無線接入點的評估中所確定的可信性和/或置信度。[0065]如上面解釋的,所確定的無線接入點的可信性,包括其顯示的狀態(tài)指示符625a_d,可以根據(jù)在無線接入點上執(zhí)行的風險評估的合計(例如,根據(jù)無線接入點評估記錄的查詢識別)和/或結(jié)合由每一個無線接入點的端點設(shè)備執(zhí)行的風險評估(例如,如圖4A-4D中的示例所示)來確定。在圖6的示例中,狀態(tài)指示符625a-d可以是顏色編碼的,例如,采取交通燈模式,綠色指示符(例如,625a)表明特定無線接入點(例如,610a)是可信的,黃色指示符(例如,625c)表明無線接入點(例如,610c)的可信性正在討論中(例如,610c因為在無線接入點上執(zhí)行了太少的、矛盾的評估或者沒有執(zhí)行評估),或者紅色指示符(例如,625b、625d)表明無線接入點的可信性不可接受地低或存在質(zhì)疑。確定將三個顏色編碼的狀態(tài)指示符中的哪一個分配給無線接入點可以基于針對無線接入點的風險評估得分超過一個或多個閾值。
[0066]在一些實例中,無線接入得分的風險評估得分可以根據(jù)多個因素進行調(diào)整并且取決于特定因素的存在而改變。例如,在圖6的示例中,可以檢測到被稱為“freenetjifi”的第一無線接入點625b,并且基于先前風險評估,通常被確定為具有低風險或高可信度得分(例如,通常向該無線接入點625b提供相對應(yīng)的綠色狀態(tài)指示符)。然而,在圖6的示例中,也提供同樣被稱為freenet_wifi”的第二無線接入點625d。在這樣的實例中,并且在一些實現(xiàn)中,兩個具有相同名稱的無線接入點的存在能夠表明一種高可能性,即具有類似名稱的無線接入點中的一個是嘗試模仿已建立的受信無線接入點的流氓接入點。在一些實例中,流氓無線接入點(例如,625d)可能做了模擬另一無線接入點的足夠好的工作,對于流氓接入點評估技術(shù)來說難于區(qū)分這兩個接入點的身份。因此,假定可以存在具有類似名稱的接入點是流氓的百分之五十的機會,則紅色狀態(tài)指示符625b、625d可以被分配給每一個無線接入點。
[0067]其它示例和實現(xiàn)以及場景能夠落入本文公開的主題的范圍內(nèi)。作為一個實例,并且繼續(xù)圖6的示例,顯示給端點設(shè)備的用戶的GUI605可以自動排序GUI605內(nèi)無線接入點的列表,以便向用戶表明哪一個無線接入點是最期望使用的。這樣的列表可以例如基于哪一個無線接入點具有最高可信的信譽或風險評估得分。在排序列GUI605中的無線接入點時,除了風險評估得分,也可以考慮其它因素。例如,在排序所呈現(xiàn)的列表中的無線接入點時可以考慮信號強度、所使用的加密協(xié)議及其它屬性,等其它示例。也可以生成使用無線接入點評估數(shù)據(jù)的其它⑶I,包括顯示存在于給定端點設(shè)備上的合計風險的特性的⑶I。這樣的基于設(shè)備的風險評估及附屬的GUI,可以包括對暴露于設(shè)備的無線接入點風險的考慮。
[0068]圖7a是說明用于監(jiān)控由無線使能的端點設(shè)備遇見的無線接入點的示例技術(shù)的簡化流程圖700a。至少一個可用無線接入點可以在特定位置中由端點設(shè)備識別705。在一些實例中,在該位置處可以將多個無線接入點識別為可用。可以使用由端點設(shè)備識別的無線接入點來建立710連接,以便促成嘗試715通過無線接入點與受信端點設(shè)備進行通信。可以出于創(chuàng)建用于評估與所識別的無線接入點的使用相關(guān)聯(lián)的風險的至少一些受控環(huán)境的目的來建立與受信端點的通信。實際上,可以至少部分地通過端點設(shè)備來監(jiān)控720與受信端點的所嘗試的通信715,以便促成所識別的無線接入點的風險評估725。在一些實例中,促成風險評估725可以包括執(zhí)行在監(jiān)控720期間返回的數(shù)據(jù)的至少部分分析,或者通過向一個或多個后端工具發(fā)送在監(jiān)控720期間所收集的數(shù)據(jù),用于分析和風險評估,如在上述示例中描述的。[0069]圖7B是說明用于預(yù)評估與所識別的無線接入點相關(guān)聯(lián)的風險的示例技術(shù)的簡化流程圖700b??梢詮臒o線使能的端點設(shè)備接收730查詢,所述無線使能的端點設(shè)備識別由該無線使能的端點遇見的至少一個無線接入點。在一些實例中,可以在端點設(shè)備嘗試連接到無線接入點之前并且結(jié)合評估所識別的無線接入點是否安全以便進行連接的嘗試來接收730所述查詢。對接收730所述查詢做出響應(yīng),可以識別735先前收集的或生成的與所識別的無線接入點相對應(yīng)的風險評估數(shù)據(jù)。在一些實例中,這樣的風險評估數(shù)據(jù)可以是通過對無線接入點多個不同的風險評估積累的數(shù)據(jù)的集合,例如,結(jié)合多個不同的端點設(shè)備的遇見。在其它示例中,可以識別735不存在關(guān)于所識別的無線接入點的風險評估數(shù)據(jù)(例如,因為還沒有完成先前的風險評估或者WAP識別算法失敗或具有低置信度等等)。在任何情況下,對查詢做出響應(yīng),可以將查詢結(jié)果數(shù)據(jù)發(fā)送740到端點設(shè)備,所述結(jié)果數(shù)據(jù)以與特定無線接入點相關(guān)聯(lián)的預(yù)評估風險為特征。這樣的查詢結(jié)果數(shù)據(jù)可以包括所識別的先前風險評估數(shù)據(jù)本身,以先前風險評估數(shù)據(jù)的分析、總結(jié)或評估為特征的數(shù)據(jù),并且甚至可以包括用于與所識別的無線接入點進行交互的指令(即,基于與無線接入點相關(guān)聯(lián)的預(yù)評估的風險,根據(jù)所 識別的先前風險評估數(shù)據(jù)確定)。端點設(shè)備然后可以結(jié)合與無線接入點的交互來使用這一查詢結(jié)果數(shù)據(jù),包括利用與在圖7A的示例中和本說明書的其它部分中描述的那些技術(shù)類似的技術(shù)來監(jiān)控無線接入點。
[0070]盡管利用某些實現(xiàn)和通常相關(guān)聯(lián)的方法描述了本發(fā)明,但是這些實現(xiàn)和方法的修改和變換對于本領(lǐng)域的技術(shù)人員來說是顯而易見的。例如,本文描述的行為可以按照與所描述的順序不同的順序執(zhí)行,并且仍然能夠?qū)崿F(xiàn)期望的效果。作為一個示例,在附圖中闡釋的處理不必要求所示的特定順序或順次順序來實現(xiàn)期望的效果。在某些實現(xiàn)中,多任務(wù)和并行處理可能是有利的。此外,可以支持多種用戶界面布局和功能。此外,盡管上面的描述集中于將上述原理應(yīng)用于定制白名單的生成,但是類似的原理可以應(yīng)用于生成在安全任務(wù)中使用的其它這樣的名單,包括調(diào)整的黑名單。其它變形包括在下列權(quán)利要求的范圍內(nèi)。
[0071]本說明書中描述的主題和操作的實施例可以在數(shù)字電子電路或計算機軟件、固件或硬件中實現(xiàn),包括在本說明書中公開的結(jié)構(gòu)和它們的結(jié)構(gòu)等同物,或者它們中的一個或多個的組合。在本說明書中描述的主題的實施例可以實現(xiàn)為一個或多個計算機程序,即,一個或多個計算機程序指令模塊,在計算機存儲介質(zhì)上編碼用于由數(shù)據(jù)處理裝置執(zhí)行或者用于控制數(shù)據(jù)處理的操作??蛇x地或者另外地,程序指令可以在人工生成的傳播信號上編碼,例如,機器生成的電、光或電磁信號,所述信號生成為編碼用于傳輸?shù)胶线m的接收機裝置用于由數(shù)據(jù)處理裝置執(zhí)行的信息。計算機存儲介質(zhì)可以是或包括在計算機可讀存儲設(shè)備、計算機可讀存儲基板、隨機或序列存取存儲器陣列或設(shè)備、或它們中的一個或多個的組合中。而且,盡管計算機存儲介質(zhì)本身不是傳播信號,但是計算機存儲介質(zhì)可以是編碼在人工生成的傳播信號中的計算機程序指令的源或目的地。所述計算機存儲介質(zhì)也可以是或包括在一個或多個分離的物理組件或介質(zhì)中(例如,多個⑶、光盤或其它存儲設(shè)備),包括分布式軟件環(huán)境或云計算環(huán)境。
[0072]包括核心和接入網(wǎng)絡(luò)的網(wǎng)絡(luò),可以包括一個或多個網(wǎng)絡(luò)元件,所述接入網(wǎng)絡(luò)包括無線接入網(wǎng)絡(luò)。“網(wǎng)絡(luò)元件”可以包含各種類型的路由器、交換機、網(wǎng)關(guān)、橋、負載平衡器、防火墻、服務(wù)器、聯(lián)機服務(wù)節(jié)點、代理、處理器、模塊或任何其它合適的設(shè)備、組件、元件或可操作為在網(wǎng)絡(luò)環(huán)境中交換信息的對象。網(wǎng)絡(luò)元件可以包括合適的處理器、存儲器元件、用于支持(或以其它方式執(zhí)行)與使用處理器用于屏幕管理功能相關(guān)聯(lián)的活動的硬件和/或軟件,如本文列出的。而且,網(wǎng)絡(luò)元件可以包括促成其操作的任何合適的組件、模塊、接口或?qū)ο?。這可以包括允許數(shù)據(jù)或信息的有效交換的合適的算法和通信協(xié)議。
[0073]本說明書中描述的操作可以實現(xiàn)為由數(shù)據(jù)處理裝置對存儲在一個或多個計算機可讀存儲設(shè)備上或者從其它源接收的數(shù)據(jù)執(zhí)行的操作。術(shù)語“數(shù)據(jù)處理裝置”、“處理器”、“處理設(shè)備”和“計算設(shè)備”可以包含用于處理數(shù)據(jù)的所有類型的裝置、設(shè)備和機器,通過示例的方式包括可編程處理器、計算機、片上系統(tǒng)或前述的多個或組合。所述裝置可以包括通用或?qū)S眠壿嬰娐罚?,中央處理單?CPU)、刀鋒、專用集成電路(ASIC)或現(xiàn)場可編程門陣列及其它合適的選項。盡管已經(jīng)將一些處理器和計算設(shè)備描述和/或說明為單個處理器,但是根據(jù)相關(guān)聯(lián)的服務(wù)器的特定需求,也可以使用多個處理器。對單個處理器的引用意味著在可應(yīng)用的情況下包括多個處理器。通常,處理器執(zhí)行指令并且操控數(shù)據(jù),以便執(zhí)行某些操作。除了包括硬件,裝置還可以包括對于正在討論的計算機程序的執(zhí)行環(huán)境的代碼,例如,構(gòu)成處理器固件、協(xié)議棧、數(shù)據(jù)庫管理系統(tǒng)、操作系統(tǒng)、跨平臺運行環(huán)境、虛擬機或它們中的一個或多個的組合的代碼。所述裝置和執(zhí)行環(huán)境可以實現(xiàn)各種不同的計算模型基礎(chǔ)架構(gòu),例如網(wǎng)絡(luò)服務(wù)、分布式計算和網(wǎng)格計算基礎(chǔ)架構(gòu)。
[0074]可 以按照任意形式的程序語言來編寫計算機程序(也被稱為程序、軟件、軟件應(yīng)用、腳本、模塊、(軟件)工具、(軟件)引擎或代碼),包括編譯或解釋語言、聲明或程序語言,并且可以按照任何形式進行部署,包括作為單機程序或者作為適合于在計算環(huán)境中使用的模塊、組件、子例程、對象或其它單元。例如,當執(zhí)行以便至少完成本文描述的處理和操作時,計算機程序可以包括位于有形介質(zhì)上的計算機可讀指令、固件、有線或編程硬件或它們的任意組合。計算機程序可以但不需要與文件系統(tǒng)中的文件相對應(yīng)??梢詫⒊绦虼鎯υ诒3制渌绦蚧驍?shù)據(jù)(例如,存儲在標記語言文檔中的一個或多個腳本)的文件的一部分中,專用于正在討論的程序的單個文件中,或者多個協(xié)調(diào)的文件中(例如,存儲一個或多個模塊、子程序或部分代碼的文件)。計算機程序可以被部署以便在位于一個位置或跨越多個位置分別并且通過通信網(wǎng)絡(luò)互連的一個計算機或多個計算機上執(zhí)行。
[0075]程序可以實現(xiàn)為經(jīng)過各種對象、方法或其它處理實現(xiàn)各種特征和功能的單獨模塊,或者如何合適,可以代替地包括多個子模塊、第三方服務(wù)、組件、庫等等。相反,如果合適,可以將各種組件的特征和功能組合為單個組件。在某些情況中,程序和軟件系統(tǒng)可以實現(xiàn)為復(fù)合的托管應(yīng)用。例如,部分復(fù)合應(yīng)用可以實現(xiàn)為企業(yè)Java組件(EJB)或設(shè)計時間組件,所述組件可以具有將運行時間實現(xiàn)生成到不同的平臺中的能力,所述平臺例如是J2EE(Java2平臺、企業(yè)版)、ABAP (高級商業(yè)應(yīng)用編程)對象或微軟的.NET等等。此外,應(yīng)用可以表示經(jīng)由網(wǎng)絡(luò)(例如,經(jīng)過互聯(lián)網(wǎng))接入并執(zhí)行的基于網(wǎng)絡(luò)的應(yīng)用。進而,可以遠程地存儲、引用或執(zhí)行與特定托管的應(yīng)用或服務(wù)相關(guān)聯(lián)的一個或多個處理。例如,特定托管的應(yīng)用或服務(wù)的一部分可以是與被遠程調(diào)用的應(yīng)用相關(guān)聯(lián)的網(wǎng)絡(luò)服務(wù),而托管的應(yīng)用的另一部分可以是被捆綁用于在遠程客戶端處進行處理的接口對象或代理。而且,在不偏離本公開的范圍的情況下,所托管的應(yīng)用和軟件服務(wù)中的任意一個或全部可以是另一軟件模塊或企業(yè)應(yīng)用(未示出)的孩子或子模塊。另外,所托管的應(yīng)用的部分可以由直接在托管該應(yīng)用的服務(wù)器處工作的用戶執(zhí)行,并且在客戶端處遠程執(zhí)行。
[0076]本說明書中描述的處理和邏輯流可以由執(zhí)行一個或多個計算機程序的一個或多個可編程處理器執(zhí)行,以便通過對輸入數(shù)據(jù)的操作并且生成輸出來執(zhí)行動作。所述處理和邏輯流也可以由專用邏輯電路實現(xiàn),并且裝置也可以實現(xiàn)為專用邏輯電路,所述專用邏輯電路例如是FPGA(場可編程門陣列)或ASIC(專用集成電路)。
[0077]適合于執(zhí)行計算機程序的處理器通過示例的方式包括通用和專用微處理器,以及任意類型的數(shù)字計算機的任意一個或多個處理器。通常,處理器將從只讀存儲器或隨機存取存儲器或兩者接收指令和數(shù)據(jù)。計算機的基本元件是用于根據(jù)指令執(zhí)行動作的處理器以及用于存儲指令和數(shù)據(jù)的一個或多個存儲器設(shè)備。通常,計算機也將包括或有效地耦接為接收來自用于存儲數(shù)據(jù)的諸如磁、磁光盤或光盤的海量存儲器的數(shù)據(jù),或者向該海量存儲器發(fā)送數(shù)據(jù),或兩者。然而,計算機可以不具有這樣的設(shè)備。而且,計算機可以嵌入在另一設(shè)備中,例如,移動電話、個人數(shù)據(jù)助理(PDA)、平板電腦、移動音頻或視頻播放器、游戲控制臺、全球定位系統(tǒng)(GPS)接收機或便攜式存儲設(shè)備(例如,通用串行總線(USB)閃存驅(qū)動),僅舉幾例。適用于存儲計算機程序指令和數(shù)據(jù)的設(shè)備包括所有形式的非易失性存儲器、介質(zhì)和存儲器設(shè)備,通過示例的方式包括半導(dǎo)體存儲器設(shè)備,例如EPROM、EEPROM和閃存設(shè)備;磁盤,例如內(nèi)部硬盤或可移除盤;磁光盤;以及⑶ROM和DVD-ROM盤。處理器和存儲器可以由專用邏輯電路補充或者結(jié)合在該專用邏輯電路中。
[0078]為了提供與用戶的交互,本說明書中描述的主題的實施例可以在具有用于向用戶顯示信息的顯示設(shè)備的計算機上實現(xiàn),所述顯示設(shè)備例如是CRT (陰極射線管)或LCD (液晶顯示器)監(jiān)視器 ,以及用戶可以通過其向計算機提供輸入的鍵盤和諸如鼠標或軌跡球的指向設(shè)備。也可以使用其它類型的設(shè)備來提供與用戶的交互;例如,提供給用戶的反饋可以是任何形式的感官反饋,例如視覺反饋、聽覺反饋或觸覺反饋;并且可以按照任何形式接收來自用戶的輸入,包括聲音、語音或觸覺輸入。此外,計算機可以通過向設(shè)備發(fā)送文檔或從設(shè)備接收文檔來與用戶進行交互,所述設(shè)備包括由用戶使用的遠程設(shè)備。
[0079]本說明書中描述的主題的實施例可以在計算系統(tǒng)中實現(xiàn),所述計算系統(tǒng)包括后端組件,例如,作為數(shù)據(jù)服務(wù)器,或者包括中間件組件,例如,應(yīng)用服務(wù)器,或者包括前端組件,例如,具有圖形用戶界面或網(wǎng)頁瀏覽器的客戶端計算機,通過所述圖形用戶界面或網(wǎng)頁瀏覽器用戶可以與本說明書中描述的主題的實現(xiàn)進行交互,或者一個或多個這樣的后端、中間件或前端組件的任意組合。系統(tǒng)的組件可以由數(shù)字數(shù)據(jù)通信的任意形式或介質(zhì)互連,例如,通信網(wǎng)絡(luò)。通信網(wǎng)絡(luò)的示例包括可操作為促成系統(tǒng)中各種計算組件之間的通信的任意內(nèi)部或外部網(wǎng)絡(luò)、網(wǎng)絡(luò)、子網(wǎng)絡(luò)或它們的組合。網(wǎng)絡(luò)可以例如在網(wǎng)絡(luò)地址之間通信互聯(lián)網(wǎng)協(xié)議(IP)分組、幀中繼幀、異步傳輸模式(ATM)信元、聲音、視頻、數(shù)據(jù)及其它合適的信息。所述網(wǎng)絡(luò)也可以包括一個或多個局域網(wǎng)(LAN)、無線接入網(wǎng)(RAN)、城域網(wǎng)(MAN)、廣域網(wǎng)(WAN)、所有或部分互聯(lián)網(wǎng)、對等網(wǎng)絡(luò)(例如,自組織對等網(wǎng)絡(luò))和/或位于一個或多個位置處的任意其它通信系統(tǒng)或系統(tǒng)。
[0080]所述計算系統(tǒng)可以包括客戶端和服務(wù)器??蛻舳撕头?wù)器通常是遠離于彼此的并且通常經(jīng)過通信網(wǎng)絡(luò)進行交互??蛻舳撕头?wù)器的關(guān)系借助于在各自計算機上運行的并且彼此具有客戶端-服務(wù)器關(guān)系的計算機程序而產(chǎn)生。在一些實施例中,服務(wù)器向客戶端設(shè)備傳輸數(shù)據(jù)(例如,HTML頁面)(例如,用于向與客戶端設(shè)備交互的用戶顯示數(shù)據(jù)或者從該用戶接收用戶輸入)。在客戶端設(shè)備處生成的數(shù)據(jù)(例如,用戶交互的結(jié)果)可以在服務(wù)器處從客戶端設(shè)備接收。[0081]盡管本說明書包含許多具體的實現(xiàn)細節(jié),但是這些不應(yīng)該被解釋為對任何發(fā)明或請求保護的范圍的限制,而是應(yīng)該被解釋為針對特定發(fā)明的特定實施例的特征的描述。本說明書中在分別的實施例的背景下描述的某些特征也可以在單個實施例中被組合實現(xiàn)。相反,在單個實施例的背景下描述的各種特征也可以分別在多個實施例中或者在任意合適的子組合中實現(xiàn)。而且,盡管上文中將特征描述為在某些組合中執(zhí)行并且甚至初始被這樣進行請求保護,但是所請求保護的組合的一個或多個特征在某些情況中可以被從該組合中剔除,并且所請求保護的組合可以涉及子組合或子組合的變形。
[0082]類似地,盡管在附圖中按照特定順序描述了操作,但是這不應(yīng)該被理解為要求按照所示出的特定順序或順次順序來執(zhí)行這樣的操作或者要求執(zhí)行所有示出的操作以便實現(xiàn)期望的結(jié)果。在某些情況下,多任務(wù)和并行處理可能是有利的。而且,在上述實施例中各種系統(tǒng)組件的分離不應(yīng)該被理解為在所有實施例中均要求這樣的分離,并且應(yīng)該被理解為所描述的程序組件和系統(tǒng)通??梢员灰黄鹫显谝粋€單個軟件產(chǎn)品中或被打包為多個軟件產(chǎn)品。
[0083] 因而,已經(jīng)描述了該主題的特定實施例。其它實施例在下列權(quán)利要求的范圍內(nèi)。在一些情況中,在權(quán)利要求中引述的動作可以按照不同的順序執(zhí)行并且仍然能夠?qū)崿F(xiàn)期望的結(jié)果。此外,在附圖中描述的處理不必要求所顯示的特定順序或順次順序來實現(xiàn)期望的結(jié)果=.
【權(quán)利要求】
1.一種方法,包括: 從特定端點設(shè)備接收識別由所述特定端點設(shè)備遇見的特定無線接入點的查詢; 識別針對所識別的特定無線接入點的預(yù)存在的風險評估數(shù)據(jù);并且 向所述特定端點設(shè)備發(fā)送以與所述特定無線接入點相關(guān)聯(lián)的預(yù)評估的風險為特征的查詢結(jié)果數(shù)據(jù)。
2.如權(quán)利要求1所述的方法,進一步包括利用所述特定端點設(shè)備參與所述特定無線接入點的風險評估。
3.如權(quán)利要求2所述的方法,進一步包括結(jié)合由所述特定端點設(shè)備執(zhí)行的至少一個評估任務(wù)而從所述端點設(shè)備接收風險評估反饋數(shù)據(jù)。
4.如權(quán)利要求3所述的方法,進一步包括使用所接收的風險評估反饋數(shù)據(jù)來確定針對所述特定無線接入點的風 險概要。
5.如權(quán)利要求4所述的方法,其中,在所述風險概要的確定中考慮與所述特定無線接入點相關(guān)聯(lián)的所述預(yù)評估的風險。
6.如權(quán)利要求3所述的方法,其中,所述反饋數(shù)據(jù)包括服務(wù)集標識符(SSID)、描述由所述無線接入點使用的加密的數(shù)據(jù)、醒目頁面信息以及無線接入點密碼信息中的至少一個。
7.如權(quán)利要求2所述的方法,其中,所述風險評估包括: 所述特定端點設(shè)備嘗試通過所述特定無線接入點與受信端點進行通信;并且 監(jiān)控所嘗試的通過所述特定無線接入點與所述受信端點的通信以便評估與所述特定無線接入相關(guān)聯(lián)的風險。
8.如權(quán)利要求7所述的方法,其中,嘗試與所述受信端點進行通信包括嘗試在所述特定端點設(shè)備和所述受信端點之間建立安全連接,并且建立所述安全連接包括從所述受信端點接收期望的信任驗證數(shù)據(jù); 其中,除了所述期望的信任驗證數(shù)據(jù)以外的數(shù)據(jù)的接收被認為指示所述特定無線接入點是不可信的,表明與所述特定無線接入點相關(guān)聯(lián)的較高風險。
9.如權(quán)利要求8所述的方法,其中,參與所述特定無線接入點的所述風險評估包括,在所述特定端點設(shè)備嘗試通過所述特定無線接入點與所述受信端點進行通信之前,促成所述期望的信任驗證數(shù)據(jù)到所述特定端點設(shè)備的傳送。
10.如權(quán)利要求7所述的方法,其中,參與所述特定無線接入點的所述風險評估包括,在所述特定端點設(shè)備嘗試通過所述特定無線接入點與所述受信端點進行通信之前,對于所述特定端點設(shè)備,從多個可用的受信端點設(shè)備中識別所述受信端點設(shè)備。
11.如權(quán)利要求1所述的方法,其中,結(jié)合由端點設(shè)備與所述特定無線接入點的至少一個先前遇見來生成針對所識別的特定無線接入點的預(yù)存在的風險評估數(shù)據(jù)。
12.如權(quán)利要求11所述的方法,其中,與所述特定無線接入點的所述先前遇見由除了所述特定端點設(shè)備以外的端點設(shè)備完成。
13.如權(quán)利要求1所述的方法,其中,從包括針對由無線使能的端點設(shè)備識別的多個無線接入點的預(yù)存在的風險評估數(shù)據(jù)的風險評估記錄中識別針對所識別的特定無線接入點的所述預(yù)存在的風險評估數(shù)據(jù)。
14.如權(quán)利要求1所述的方法,其中,所述查詢包括指示所述特定端點設(shè)備和所述特定無線接入點中的至少一個的位置的地理位置數(shù)據(jù)。
15.如權(quán)利要求14所述的方法,進一步包括至少部分地以針對所識別的特定無線接入點的所述預(yù)存在的風險評估數(shù)據(jù)以及在所述地理位置數(shù)據(jù)中識別的位置為基礎(chǔ)來生成所述查詢結(jié)果數(shù)據(jù)。
16.如權(quán)利要求1所述的方法,進一步包括以包括與由所述特定端點設(shè)備接入的無線接入點相關(guān)聯(lián)的風險的一組設(shè)備屬性為基礎(chǔ)來計算針對所述特定端點設(shè)備的風險概要。
17.如權(quán)利要求1所述的方法,進一步包括使與所述特定無線接入點相關(guān)聯(lián)的風險的圖形指示符呈現(xiàn)在所述特定端點設(shè)備處。
18.如權(quán)利要求1所述的方法,其中,通過除了與所述特定無線接入點相關(guān)聯(lián)的無線網(wǎng)絡(luò)以外的安全連接發(fā)送所述查詢。
19.如權(quán)利要求18所述的方法,其中,所述安全連接通過無線移動寬帶連接和VLAN隧道中的至少一個實現(xiàn)。
20.編碼在非暫態(tài)介質(zhì)中的邏輯,包括用于執(zhí)行的代碼并且當由處理器執(zhí)行時操作為執(zhí)行包括下列方面的操作: 從特定端點設(shè)備接收識別由所述特定端點設(shè)備遇見的特定無線接入點的查詢; 識別針對所識別的特定無線接入點的預(yù)存在的風險評估數(shù)據(jù);以及 向所述特定端點設(shè)備發(fā)送以與所述特定無線接入點相關(guān)聯(lián)的預(yù)評估的風險為特征的查詢結(jié)果數(shù)據(jù)。
21.—種系統(tǒng),包括: 至少一個處理器設(shè)備; 至少一個存儲器元件;以及 無線接入點風險評估器,當由所述至少一個處理器設(shè)備執(zhí)行時,所述無線接入點風險評估器適于: 從特定端點設(shè)備接收識別由所述特定端點設(shè)備遇見的特定無線接入點的查詢; 識別針對所識別的特定無線接入點的預(yù)存在的風險評估數(shù)據(jù);并且 向所述特定端點設(shè)備發(fā)送以與所述特定無線接入點相關(guān)聯(lián)的預(yù)評估的風險為特征的查詢結(jié)果數(shù)據(jù)。
22.如權(quán)利要求21所述的系統(tǒng),進一步包括設(shè)備風險評估工具,所述設(shè)備風險評估工具適于以包括與由所述特定端點設(shè)備接入的無線接入點相關(guān)聯(lián)的風險的一組設(shè)備屬性為基礎(chǔ)來計算針對所述特定端點設(shè)備的風險概要。
【文檔編號】H04W24/00GK104025635SQ201280053818
【公開日】2014年9月3日 申請日期:2012年10月16日 優(yōu)先權(quán)日:2011年10月17日
【發(fā)明者】P·G·巴薩瓦帕特納, S·K·加達拉, S·施雷克, D·M·戈爾德施拉格 申請人:邁克菲公司