[发明专利]使用多路径验证的未授权接入点检测

说明书

各种实施例提供用通信装置通过经由不同的网络连接向远程服务器发送多个探测及接收探测回复来实现未授权接入点检测的方法、装置及非暂时性处理器可读存储媒体。各种实施例可包括通信装置，其经由第一网络连接发射寻址到服务器的第一探测，以及经由第二网络连接发射寻址到所述服务器的第二探测。在经由所述第一网络连接接收来自所述服务器的第一探测回复及经由所述第二网络连接服务器接收来自所述服务器的第二探测回复后，所述通信装置即可分析所述所接收的探测回复以确定所述第一网络或所述第二网络的接入点是否为未授权接入点。

背景技术

破坏性或“未授权”网络端装置的存在对数据隐私构成威胁。这些未授权装置可伪装成经授权接入点，监控并路由所接收的网络流量。一旦用户连接到未授权接入点，未授权装置可能会执行各种攻击，例如中间人攻击、域名服务器(DNS)欺骗、流量转发及拒绝服务(DoS)攻击。未授权装置所接收的数据包可能被修改、重新路由到恶意第三方，或完全放弃，从而破坏正常的网络流量模式并将数据暴露到未经授权的人。

越来越多的接入技术使得用户设备能够连接到接入点，从而导致任何给定接入点呈现的攻击矢量的数目稳步增加。Wi-Fi及无线广域网(WWAN)的融合进一步增加了用户连接的数量及复杂性。接入点隐私攻击的其它贡献者是对等无线、软接入点及毫微微小区。这些技术使得各种接入技术可接入动态网络路径，从而增加各个用户设备在检验及验证网络路由完整性方面遇到的困难。需要一些方法来检测位于网络接入路径内的未授权接入点，特别是那些进行中间人攻击的接入点。

发明内容

各种实施例可包括方法、用于实施方法的装置，及非暂时性处理器可读存储媒体，所述非暂时性处理器可读存储媒体存储用于执行用于通过通信装置检测遭入侵的接入点的方法的处理器可执行指令。各种实施例可包括经由与第一网络的第一网络连接从通信装置发射寻址到服务器的第一探测，经由与第二网络的第二网络连接从通信装置发射寻址到服务器的第二探测，经由第一网络连接接收来自服务器的第一探测回复，经由第二网络连接服务器接收来自服务器的第二探测回复，且至少部分地基于第一探测回复及第二探测回复来确定第一网络或第二网络的接入点是否为未授权接入点。

一些实施例可包括响应于确定第一网络或第二网络的接入点为未授权接入点而采取行动。在此类实施例中，采取行动可包含终止与经确定为未授权接入点的第一网络的接入点或第二网络的接入点中的一者的网络连接。

在一些实施例中，至少部分地基于第一探测回复及第二探测回复来确定第一网络或第二网络的接入点是否为未授权接入点可包括分析第一探测回复及第二探测回复，至少部分地基于分析的结果而确定第一探测回复或第二探测回复是否为恶意的，且响应于确定第一探测回复或第二探测回复为恶意的而确定第一网络或第二网络的接入点为未授权接入点。在此类实施例中，分析第一探测回复及第二探测回复可包含将第一探测回复的连接结果及连接参数与第二探测回复的连接结果及连接参数进行比较。在此类实施例中，连接结果可指示在通信装置与服务器之间是否建立了安全连接。在一些实施例中，连接参数可包含安全证书的特性。在一些实施例中，连接参数可包含任何重定向统一资源定位符(URL)的安全级别。在一些实施例中，连接参数可包含域名系统查询及结果的特性。

其它实施例可包含具有处理器的计算装置，所述处理器经配置以执行上面概述的方法的操作。其它实施例可包含具有用于执行上面概述的方法的功能的装置的计算装置。其它实施例包含非暂时性处理器可读存储媒体，其上存储有处理器可执行指令，所述处理器可执行指令经配置以致使计算装置的处理器执行上面概述的方法的操作。

附图说明

并入本文中且构成此说明书的部分的随附图式说明示范性实施例，并与上文所给出的大体描述及下文所给出的详细描述一起用以阐释各种实施例的特征。

图1为适合于与各种实施例一起使用的网络的通信系统框图。

图2为说明根据各种实施例的通信装置的框图。

图3为说明根据各种实施例的通信装置与用于检测遭入侵接入点的网络之间的交互的框图。