Результат интеллектуальной деятельности: СПОСОБ И СИСТЕМА ОПРЕДЕЛЕНИЯ ДОВЕРЕННЫХ БЕСПРОВОДНЫХ ТОЧЕК ДОСТУПА УСТРОЙСТВОМ

Область техники

Настоящее изобретение относится к системам и способам определения допустимых для установки подключения беспроводных точек доступа.

Уровень техники

Развитие беспроводных технологий повлияло на возможности доступа к Интернету. Сейчас неуклонно растет число открытых беспроводных точек доступа к сети Интернет, точки доступа располагаются в метро, в торговых центрах, в аэропортах, в библиотеках на улице и т.д.

Беспроводные точки доступа - это беспроводной комплекс приемопередающей аппаратуры, предназначенный для обеспечения беспроводного доступа к уже существующей сети (беспроводной или проводной) или создания новой беспроводной сети. Для передачи информации беспроводные точки доступа используют радиоволны из спектра частот, определенных стандартом, например IEЕЕ 802.11, GPRS, EDGE, HSPA и т.д.

Беспроводные точки доступа в частном случае многофункциональны, многофункциональность беспроводной точки доступа заключается в том, что устройство не только может организовать беспроводную сеть и обеспечить беспроводное подключение ноутбуков, компьютеров, КПК и других устройств локальной сети, но также, за счет различных режимов работы, в состоянии расширить существующую беспроводную сеть, работать в режиме подключения к провайдеру по беспроводной сети, работать в качестве беспроводного моста для соединения двух изолированных друг от друга проводных сетей и т.п.

В свою очередь пользователи устройств, использующие точки доступа, охотно к ним подключаются и используют предоставляемый ими доступ к сети Интернет. Пользователи устройств используют предоставленную возможность для выхода в сеть для общения в социальных сетях, чтения новостей, просмотра почты, совершения банковских операций и т.д.

Следует понимать, что пользователь, подключаясь к подобным точкам, рискует быть обманутым и его деятельность в сети может быть доступна третьим лицам. Поэтому возникла потребность предупреждать пользователя о возможных последствиях использования подобных точек и информировать пользователя о доверенности (или безопасности) выбранной точки доступа.

Из уровня техники известны публикации, которые описывают методы обнаружения подозрительных беспроводных точек доступа. Так, публикация WO 2013023966 определяет уровень доверия к беспроводной точке доступа на основе сравнения накопленной на сервере информации о беспроводных точках доступа с идентификационной информацией точки доступа, полученной от клиентского устройства.

Публикация US 8413213 описывает метод выбора беспроводного устройства для установки соединения, где определяют на коммуникационном устройстве класс безопасности из множества классов безопасности для установки защищенного соединения с одной из доступных точек доступа. Класс безопасности определяется по алгоритму шифрования и методу аутентификации, выбирают на коммуникационном устройстве некоторую точку доступа из множества для установки соединения на основании определенного класса безопасности, при условии, что выбранная точка доступа удовлетворяет определенному классу безопасности. Далее проверяют сервер аутентификации, связанный с выбранной точкой доступа, путем сравнения идентификационных данных о сервере аутентификации с данными, сохраненными ранее. В итоге устанавливают соединение коммуникационного устройства с выбранной точкой доступа.

Из приведенных публикаций видно, что доверие определяется для точек доступа в целом без учета типов сетевых ресурсов, к которым производится подключение устройством. Описываемое далее изобретение позволяет решить указанную задачу.

Раскрытие изобретения

Настоящее изобретение предназначено для автоматического назначения порядка шифрования устройству в корпоративной локальной сети.

Технический результат настоящего изобретения заключается в повышении защищенности сетевого соединения устройства с сетевым ресурсом при использовании беспроводной точки доступа, при наличии более чем одной точки доступа путем определения на устройстве, запрашивающем подключение, допустимых для установки подключения к сетевому ресурсу беспроводных точек доступа.

Система определения на устройстве допустимых для установки подключения беспроводных точек доступа, которая содержит: средство управления, предназначенное для обнаружения доступных беспроводных точек, которые возможно использовать для установки подключения к сетевому ресурсу, получения характеристик обнаруженных доступных беспроводных точек доступа к сети и выбора требуемых характеристик беспроводной точки доступа, при которых допускается установка подключения к сетевому ресурсу, подключение к которому запрошено, при этом выбор требуемых характеристик беспроводной точки доступа зависит от характеристик сетевого ресурса; средство анализа, предназначенное для определения допустимых для установки подключения беспроводных точек доступа среди обнаруженных путем сравнения полученных характеристик обнаруженных точек с требуемыми характеристиками, полученными средством управления; базу данных для хранения требуемых характеристик точек доступа и характеристик обнаруженных точек доступа.

В частном случае система дополнительно содержит средство интерфейса, связанное со средством управления и предназначенное для запроса подключения к сетевому ресурсу.

База данных может располагается как на устройстве, так и удаленно.

Способ определения на устройстве допустимых для установки подключения беспроводных точек доступа, в котором: обнаруживают устройством доступные беспроводные точки доступа к сети; получают характеристики обнаруженных устройством беспроводных точек доступа к сети; выбирают требуемые характеристики беспроводной точки доступа, при которых допускается установка подключения к сетевому ресурсу, подключение к которому запрошено при этом выбор требуемых характеристик беспроводной точки доступа зависит от характеристик сетевого ресурса; определяют на устройстве допустимую для установки подключения беспроводную точку доступа среди обнаруженных путем сравнения полученных характеристик обнаруженных точек с требуемыми характеристиками, полученными ранее.

В частном случае требуемые характеристики беспроводной точки доступа, при которых допускается установка подключения к сетевому ресурсу, получают после запроса подключения устройства к сетевому ресурсу.

В другом частном случае требуемые характеристики беспроводной точки доступа, при которых допускается установка подключения к сетевому ресурсу, получают с заданной периодичностью.

Еще в одном частном случае требуемые характеристики беспроводной точки доступа, при которых допускается установка подключения к сетевому ресурсу, получают по мере обновления требуемых характеристик беспроводной точки доступа на стороне сервера.

В частном случае доступными беспроводными точками являются беспроводные точки доступа, подключение через которые уже было установлено ранее.

Краткое описание чертежей

Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:

Фиг. 1 изображает пример публичной зоны доступа к сети Интернет;

Фиг. 2 изображает способ определения на устройстве допустимых для установки подключения точек доступа;

Фиг. 3 изображает систему определения на устройстве допустимых для установки подключения точек доступа;

Фиг. 4 изображает пример компьютерной системы общего назначения.

Описание вариантов осуществления изобретения

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, необходимыми для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.

На Фиг. 1 приведен пример публичной зоны беспроводного доступа к Интернету при помощи беспроводной точки доступа 101 со стандартом подключения IEEE 802.11 (Wi-Fi). Технология Wi-Fi может обеспечить устройствам 100 доступ к ресурсам сети 105 (сетевым ресурсам) Интернет по протоколу радиодоступа стандарта 802.11хх в радиусе действия точки доступа 101. Публичная зона беспроводного доступа - это территория (помещения вокзала, офиса, учебных аудиторий, кафе и т.д.), покрытая беспроводной сетью Wi-Fi, на которой пользователь, имеющий устройство 100 с беспроводным адаптером стандарта Wi-Fi, может подключиться к сетевым ресурсам 105 посредством, например, сети Интернет. Такими сетевыми ресурсами в частном случае являются устройство или часть информации, хранящаяся на некотором системном компоненте компьютерной системы, к которой может быть осуществлен удаленный доступ с другого компьютера, например, посредством Интернета. Доступ к сетевым ресурсам может быть свободный и ограниченный и осуществляется посредством обращения по сетевому адресу сетевого ресурса, где сетевой адрес является уникальным идентификатором ресурса. Примером адреса может быть IP (Internet Protocol Address) - уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP, например 208.73.211.176, или URL (Uniform Resource Locator) - универсальный указатель сетевого ресурса, который является стандартизированным способом записи адреса ресурса в сети Интернет, например «http://www.kaspersky.com».

В общем случае для организации публичной зоны точка доступа подключается к провайдеру 102, используя один из стандартных способов: технологию ADSL, 3G или локальную сеть Fast Ethernet.

При подключении устройства 100 к сетевым ресурсам 105, используя публичную точку доступа 101, весь сетевой трафик между устройством и сетевым ресурсом 100 идет через данную точку, трафик может содержать и персональные данные. Поэтому если точка скомпрометирована (злоумышленник получил к точке доступа привилегированный доступ), недостаточно защищена или специально создана злоумышленником, злоумышленник 104 получит доступ к трафику, идущему от устройства 100 и к устройству. Поэтому прежде чем установить подключение к сетевому ресурсу 105 через точку доступа 101, важно понимать, насколько точка доступа 101 безопасна, и можно ли ей доверять, т.е. допустимо ли использовать данную точку для передачи конфиденциальных данных без риска, что доступ к этим данным получат третьи лица, эту задачу позволяет решить предлагаемое изобретение.

На Фиг. 2 изображен способ реализации предлагаемого изобретения. На этапе 200 устройство 100 запрашивают подключение к сетевому ресурсу 105. Запросить подключение в частном случае можно путем нажатия на гиперссылку, ссылающуюся на сетевой адрес, введения сетевого адреса в адресную строку браузера и т.д. Далее, на этапе 201, устройство обнаруживает доступные беспроводные точки доступа, которые возможно использовать для выполнения подключения. В частном случае под доступной точкой доступа понимается точка доступа, подключение к сети при помощи которой уже установлено устройством. Устройство осуществляет поиск доступных точек доступа сети, например Wi-Fi, LTE, GSM и обнаруживает доступные точки доступа, которые возможно использовать для выполнения подключения. На этапе 202 получают характеристики обнаруженных устройством точек доступа к сети. Характеристиками в частном случае могут являться технические показатели:

- публичный адрес беспроводной точки доступа;

- идентификатор приемопередающего оборудования или адрес точки доступа;

- идентификационный код базовой станции;

- идентификатор соты;

- идентификатор SSID (Service Set Identification);

- идентификатор BSID (Base Service Set Identification);

- схема управления ключами шифрования (ЕАР, PSK);

- технология защиты сети (WPA, WPA2);

- hidden SSID (для сетей, которые не публикуют свой SSID);

- пропускная способность канала;

- физическое местоположение устройства (улица, сооружение, библиотека, метро и т.д.);

- тип беспроводной сети беспроводной точки доступа;

- идентификатор оператора связи;

- версия прошивки;

- установленный по умолчанию пароль;

- наличие уязвимостей прошивки;

- и т.д.

Также в качестве характеристики точки доступа могут использоваться статистические показатели:

- период функционирования (время, сколько данная точка известна, например серверу безопасности 106);

- наличие инцидентов, связанных с безопасностью (прецеденты похищения данных при подключения к данной точке, например);

- уровень доверия пользователей к точке доступа (может быть получен с сервера безопасности 106);

- частота смены параметров настройки точки доступа (протоколы, пароли, публичные адреса);

- и т.д.

Указанные характеристики устройство получает самостоятельно, например, тип сети, имя сети, используя собственные технические возможности. При невозможности получения всех необходимых характеристик (ограниченность технических возможностей устройства) устройство осуществляет запрос на сервер безопасности 106 по защищенному соединению и, передав идентификационные данные точки 101, в качестве которых могут выступать уникальные технические характеристики или рассчитанный от них хэш, далее устройство 100 от сервера 106 получает необходимые характеристики. Также устройство 100 в частном случае передает серверу 106 сведения о прошивке оборудования, а сервер возвращает информацию о наличии уязвимостей для этой прошивки. Для установки защищенного соединения с сервером безопасности может использоваться одна из обнаруженных точек доступа. Также если точка доступа устройством рассматривалась ранее, устройство в частном случае хранит полученные ранее характеристики.

На этапе 203 получают требуемые характеристики точки доступа, при которых допускается установка подключения к сетевому ресурсу, подключение к которому запрошено. Запрашиваться подключение может к новостному ресурсу, где нет авторизации, соответственно, требования к беспроводной точке доступа одни, связанные в основном с пропускной способностью канала, в другом частном случае устройство обращается к интернет банкингу, в данном случае требования к безопасности точки доступа более жесткие. Требуемые характеристики в частном случае хранятся на устройстве и систематизированы по типам сетевых ресурсов, например:

- сервисы для осуществления финансовых операций;

- сервисы, требующие авторизации;

- файловые и видео хостинга;

- другие ресурсы.

В другом частном случае требуемые характеристики хранятся на сервере безопасности 106.

На заключительном этапе 204 определяют на устройстве допустимые для установки подключения точки доступа среди обнаруженных. Определяют указанные точки, анализируя характеристики обнаруженных точек доступа, путем сравнения характеристик обнаруженных точек доступа с требуемыми характеристиками точки доступа, при которых допускается установка подключения к запрошенному сетевому ресурсу, которые были получены устройством 100 и хранятся локально либо располагаются удаленно, например, на сервере безопасности 106. Анализ в частном случае осуществляется путем попарного сравнения требуемых характеристик с характеристиками, полученными от обнаруженных точек. Например, запрашивается подключение к сетевому ресурсу с адресом «http://superonlinebank.com», требуемые характеристики точки доступа: используемая технология защиты сети WPA или WPA2, популярность точки доступа свыше 2500 уникальных пользователей, пропускная способность свыше 1 Мбит/с. Полученные характеристики - протокол WPA, популярность 200, пропускная способность канала 10 Мбит/с. Попарным сравнением характеристик определяют, что по характеристике популярность текущее значение обнаруженной точки доступа ниже требуемого, поэтому данная точка доступа не является допустимой для установки подключения с запрошенным сетевым ресурсом.

Другой вариант осуществления отражает способ, описанный ниже. В первую очередь устройство обнаруживает доступные беспроводные точки доступа, которые возможно использовать для выполнения подключения, методами, описанными выше. Далее получают характеристики обнаруженных устройством точек доступа к сети и выбирают требуемые характеристики беспроводной точки доступа, при которых допускается установка подключения к сетевому ресурсу, при этом выбор требуемых характеристик беспроводной точки доступа зависит от характеристик сетевого ресурса. Выбор осуществляется, например, на основании категории сетевого ресурса, для подключения к которому планируется использовать точку доступа. Имея характеристики обнаруженной беспроводной точки доступа и требуемые характеристики, определяют на устройстве допустимую для установки подключения беспроводную точку доступа среди обнаруженных путем сравнения полученных характеристик обнаруженных точек с требуемыми характеристиками.

В другом частном случае для сравнения используют коэффициент сетевого ресурса и коэффициент точки доступа, которые получают на основании характеристик. Коэффициент сетевого ресурса, как и коэффициент точки доступа, в частном случае получают одним из перечисленных методов: нейронная сеть, нечеткая логика, суммирование с учетом значимости характеристик. Коэффициент сетевого ресурса, рассчитывают на основании требуемых характеристик, а коэффициент точки доступа на основании полученных характеристик. Далее коэффициент сетевого ресурса сравнивается с коэффициентом точки доступа, полученным на основании полученных характеристик, и если коэффициент сетевого ресурса больше коэффициента точки доступа, точку доступа использовать недопустимо. Например, суммирование с учетом значимости характеристик:

K_s/p=Х₁*K_x1+X₂*K_x2+X₃*K_x3+…+X_n*K_xn, где:

K_s - коэффициент сетевого ресурса;

K_p - коэффициент точки доступа;

X_n - коэффициент значимости;

K_хn - значение характеристики.

Коэффициент значимости отражает важность используемой характеристики, данный коэффициент определяется, например, действующими регламентами по безопасности сетевых соединений организаций (например, для банков), предоставляющих доступ к запрашиваемому сетевому ресурсу. Использование данного коэффициента позволяет учитывать различия в значимости характеристик.

Расчет по представленной методике иллюстрируется нижеописанным примером. Запрашивается подключение к сетевому ресурсу с адресом "http://superonlinebank.com" требуемые характеристики точки доступа: используемый протокол WPA или выше (K_x1), популярность точки доступа свыше 2500 уникальных пользователей, подключавшихся к точке за все время существования точки доступа (K_x2), пропускная способность свыше 1 Мбит/с (K_x3). Определяются значения характеристик: K_x1=1 (WPA), K_x1=2 (WPA2), K_x2=1 (популярность >2500), K_x2=0 (популярность <2500) K_x3=0,1 (пропускная способность 1 Мбит/с). Коэффициенты значимости задаются исходя из требований безопасности сетевых соединений при использовании беспроводных точек доступа, определенные для группы сетевых ресурсов, к которым относится ресурс http://superonlinebank.com, эти коэффициенты в частном случае хранятся на сервере безопасности 106 X₁=3 X₂=1 X₃=1.

Определяют требуемый коэффициент сетевого ресурса:

K_s=Х₁*K_x1+X₂*K_x2+X₃*K_х3=3*1+1*1+1*0,1=4.1

Далее определяют коэффициент точки доступа на основании полученных характеристик, полученные характеристики: протокол WPA, популярность 200, пропускная способность канала 10 Мбит/с:

K_р=X₁*K_x1+X₂*K_х2+X₃*K_x3=3*1+1*0+1*1=4.

Из расчетов видно, что полученный коэффициент точки доступа ниже требуемого коэффициента сетевого ресурса, поэтому обнаруженную точку использовать не допустимо.

В частном случае если беспроводная точка доступа, уже используемая для подключения устройства к сети, признана допустимой, она используется для подключения к запрошенному сетевому ресурсу.

В частном случае требуемые характеристики беспроводной точки доступа устройство получает с заданной периодичностью. Заданная периодичность, например, обусловлена некоторым временным интервалом, с которым устройство 100 обращается к серверу безопасности 106. Периодичность также связана, например, с частотой обновления требуемых характеристик на сервере безопасности 106.

На Фиг. 3 изображена система, реализующая описанный выше способ. Средство интерфейса 300, устройства 100 через средство управления 301 запрашивает доступ к сетевому ресурсу 105. Средство управления 301 устройства 100 обнаруживает доступные беспроводные точки 101, которые возможно использовать для установки подключения к сетевому ресурсу 105. Средство управления 301 получает характеристики обнаруженных ранее беспроводных точек доступа 101 и получает требуемые характеристики точки доступа, при которых допускается установка подключения к сетевому ресурсу 105, подключение к которому запрошено. Средство управления 301 передает средству анализа 302 полученную информацию, средство анализа 302 устройства 100 определяет допустимые для установки подключения точки доступа 101 среди обнаруженных, путем сравнения полученных характеристик обнаруженных точек с требуемыми характеристиками, полученными ранее. База данных 303 используется для хранения информации о характеристиках точек доступа, подключение к которым осуществлялось ранее, и хранит также требуемые характеристики точки доступа, при которых допускается установка подключения к сетевому ресурсу 105. Средство управления 301 в частном случае использует базу данных 303 для получения характеристик обнаруженных точек доступа 101 и требуемых характеристик.

В частном случае реализации изобретения возможна ситуация при которой из обнаруженных точек доступа несколько точек доступа удовлетворяют требуемым характеристикам, поэтому предложено использовать будет беспроводную точку доступа с наибольшим коэффициентом точки доступа.

В частном случае реализации обнаружение допустимых для подключения точек доступа происходит каждый раз при подключении к новому сетевому ресурсу. В том случае если уже используемая точка доступа удовлетворяет требуемым характеристикам, ее продолжают использовать при подключении к новому ресурсу.

Фиг. 4 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26 содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш-карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг.4. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.

В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.