移動接入終端安全功能的製作方法

2023-08-02 06:57:36 2

專利名稱：移動接入終端安全功能的製作方法
技術領域：
本發明總體上涉及無線通信領域，並且更具體地，涉及為了
阻止惡意行為而對無線設備的外出分組進行監視和管理。
背景技術：
隨著行動電話網絡演進為利用IP技術，它們將變得越來越容 易受到拒絕服務攻擊的影響。系統內的元件，即移動站，可能成為攻 擊的目標，或者可能經由"特洛伊木馬(trojan horses)"的使用而成 為發起攻擊的代理。存在在個人計算機中實現的被稱為反向防火牆 (inverse firewall)的當前產品。反向防火牆控制來自可疑應用的外出 或出口IP業務。反向防火牆的一個問題是，為了使這些應用有效，要求 終端用戶來維護這些應用。在主要包括通用計算機的傳統IP網絡中也實現了反向防火 牆。這些安裝協助公司管理員和/或終端用戶來確保通用計算機的安全 運作和適當使用。如上文所討論的，這些反向防火牆通常要求終端用 戶來配置安全策略，即，確定哪個網絡業務是允許的傳輸或者是不允 許的傳輸。要求終端用戶在移動接入終端中維護該配置是不切實際的。 而且，該當前的方法也不能適應網絡運營商對於在接入終端端點處指 定安全策略的需要。此外，這些系統僅允許基於設備和用戶的認證。在行動裝置 和用戶被認證到網絡之後，僅基於使用準則來監管數據會話。不存在 對於適應終端用戶的訂閱信息和運營商的安全策略的惡意行為的篩 選。而且，不存在以可以阻止在無線電接入網絡上發射惡意業務這樣 的方法來分離移動業務的功能。
而且，隨著行動電話技術逐漸允許終端用戶安裝和運行不必
從提供服務的運營方所分發的應用，行動電話運營商需要一種機制來 禁止未識別的應用在遠程行動電話上運行。這是為了阻止潛在的有害 應用將惡意分組始發到網絡上。因此，出現了對於克服如上所討論的現有技術的問題的需要。

發明內容
簡言之，根據本發明，公開了一種用於管理分組數據傳輸的 方法、無線通信設備和無線通信系統。該方法包括從服務提供商接收 一組安全策略。從應用接收用以始發分組數據的請求。響應於接收該 用以始發分組數據的請求，分析由該服務提供商所提供的一組安全服 務。該方法還包括響應於該分析，確定該組安全策略是否允許該分組 數據被發射。響應於允許分組數據被發射的該安全策略，允許該分組 數據被發射到無線網絡上。響應於不允許該分組數據被發射的該組安 全策略，阻止該分組數據被發射到無線網絡上。在另一個實施例中，公開了一種用於管理分組數據傳輸的無 線通信設備。該無線通信設備包括存儲器和處理器，該處理器被通信 地耦合到該存儲器。該無線通信設備還包括安全模塊，該安全模塊被 通信地耦合到該存儲器和該處理器。該安全模塊適合於從服務提供商 接收一組安全策略。從應用接收用以始發分組數據的請求。響應於接 收用以始發分組數據的請求，分析由服務提供商所提供的該組安全策 略。響應於該分析，安全模塊還確定該組安全策略是否允許該分組數 據被發射。響應於允許該分組數據被發射的該組安全策略，允許該分 組數據被發射到無線網絡上。響應於不允許該分組數據被發射的該組 安全策略，阻止該分組數據被發射到無線網絡上。
在又一個實施例中，公開了一種用於管理分組數據傳輸的無 線通信系統。該無線通信系統包括多個基站和多個無線通信設備。每 個無線通信設備都被通信地耦合到至少一個基站。至少一個無線通信 設備包括安全模塊，該安全模塊適合於從服務提供商接收一組安全策 略。從應用接收用以始發分組數據的請求。響應於接收用以始發分組 數據的請求，分析由該服務提供商所提供的該組安全策略。響應於該 分析，安全模塊還確定該組安全策略是否允許該分組數據被發射。響 應於允許該分組數據被發射的該組安全策略，允許該分組數據被發射 到無線網絡上。響應於不允許該分組數據被發射的該組安全策略，阻 止該分組數據被發射到無線網絡上。本發明的優點之一是可以經由服務提供商來阻止在移動設
備處始發的惡意行為。該常駐安全功能可以駐留在行動裝置和網絡組 件二者中。本發明的另一個優點是行動裝置用戶無需維護安全策略，
而是由網絡運營商來維護該安全策略。這允許網絡運營商遠程地控制 在行動裝置上運行的應用。因此，本發明是授權網絡運營商維護對IP 網絡業務的控制，並且將攻擊性行動裝置與他們的網絡分隔開。


在附圖中，在各個獨立視圖中相同的附圖標記表示相同的或 功能上相似的元件，並且附圖和以下的詳細描述一起被併入說明書中 並且形成說明書的一部分，用於進一步說明各種實施例以及用於解釋 根據本發明的所有的各種原理和優點。圖1是圖示根據本發明實施例的無線通信系統的框圖；圖2是圖示根據本發明實施例的無線通信設備的框圖；
圖3是圖示根據本發明實施例的信息處理系統的框圖；
圖4是圖示根據本發明實施例的初始化用於安全功能的無線
設備的過程的操作流程圖；圖5是圖示根據本發明實施例的經由無線設備處的安全模塊來管理無線設備安全事件的過程的操作流程圖；圖6是圖示繼續圖5的過程的操作流程圖；圖7是圖示根據本發明實施例的經由無線設備處的安全模塊 來篩選應用事件的過程的操作流程圖；圖8是圖示根據本發明實施例的經由無線設備處的安全模塊 120來篩選在無線設備處始發的分組的過程的操作流程圖；圖9是圖示根據本發明實施例的初始化駐留在信息處理系統
處的安全模塊的過程的操作流程圖；圖10是圖示根據本發明實施例的經由駐留在信息處理系統
處的安全模塊來管理安全事件的過程的操作流程圖；圖11是繼續圖10的過程的操作流程圖；以及
圖12是圖示根據本發明實施例的經由駐留在信息處理系統
處的安全模塊來隔離無線設備的過程的操作流程圖。
具體實施例方式按要求，此處公開了本發明的詳細實施例；然而，應當理解， 所公開的實施例僅僅是本發明的示例，其可以以各種形式來實施。因 此，此處公開的特定結構和功能性細節不應被解釋為限制性的，而僅 僅作為權利要求的基礎，並且作為用於教導本領域的技術人員以實際 上任何適當的詳細結構來變化地使用本發明的代表性基礎。此外，此 處所使用的術語和短語不旨在是限制性的；而是旨在提供本發明的可 理解的描述。將此處所使用的術語"一"定義為一個或多於一個。將此處 所使用的術語"多個"定義為兩個或多於兩個。將此處所使用的術語
"另一個"定義為至少第二個或更多。將此處所使用的術語"包括" 和/或"具有"定義為包括(即，開放式語言)。將此處所使用的術語
"耦合"定義為連接，儘管不必是直接地並且不必是機械地連接。術語"無線通信設備"旨在廣泛地涵蓋很多不同類型的設備，該設備能夠無線地接收信號，並且可以選擇性地無線地發射信號，並 且還可以在無線通信系統中操作。例如，並且不用於任何限制，無線 通信設備可以包括下列的任何一個或組合蜂窩電話、行動電話、智 能電話、雙向無線電設備、雙向尋呼機、無線消息收發設備、膝上型/ 計算機、自主網關、本地網關等。無線通信系統根據本發明的實施例，如在圖1中所示，圖示了示例性無線 通信系統IOO。圖1示出了無線通信網絡102，該無線通信網絡102經 由網關108將一個或多個無線設備104與諸如中央伺服器106的信息 處理系統相連接。無線網絡102包括行動電話網絡、移動文本消息收 發設備網絡、尋呼機網絡等。此外，圖1的無線網絡102的通信標準 包括碼分多址(CDMA)、時分多址(TDMA)、全球移動通信系統
(GSM)、通用分組無線電服務(GPRS)、頻分多址(FDMA)、無 線LAN (WLAN) 、 WiMAX等。此外，無線通信網絡102還支持文 本消息收發標準，例如，短消息服務(SMS)、增強型消息收發服務
(EMS)、多媒體消息收發服務(MMS)等。無線通信網絡102還允 許無線設備104、 106、 108之間的PoC通信。無線網絡102支持任何數目的無線設備104。無線通信設備 104可以是多模式設備或單模式設備。無線網絡102的支持包括對於移 動電話、智慧型電話、文本消息收發設備、手持計算機、尋呼機、傳呼 機等的支持。智慧型電話是以下的組合1)隨身型PC、手持PC、掌上 PC或個人數字助理(PDA)，以及(2)行動電話。更一般地，智能電 話可以是具有支持附加通信服務的附加應用處理能力的行動電話。此外，無線設備104還可以包括本地無線鏈路(未示出)， 該本地無線鏈路允許無線設備104直接地彼此通信，而不使用無線網 絡102。例如，本地無線鏈路(未示出)可以被用於PTT通信。在另 一個實施例中，通過藍牙、紅外數據接入(IrDA)技術等來提供本地無線鏈路(未示出)。信息處理系統106維護並且處理用於在無線網 絡102上進行通信的所有無線設備的信息。無線通信系統100還包括被通信地耦合到基站控制器112 的一個或多個基站IIO。在該示例中，無線通信設備IIO經由基站110 被通信地耦合到無線通信網絡102。此外，在該示例中，信息處理系統 106將無線設備104通信地耦合到廣域網絡114、區域網116和公共交 換電話網118，通過114、 116和118，信息處理系統106能夠將例如 多媒文本消息的數據發送到無線設備104。在一個實施例中，無線設備104和信息處理系統106的每一 個都包括安全模塊120、 122。駐留在無線設備104處的安全模塊120 可以被稱為"移動常駐安全模塊120"。駐留在信息處理系統106處的 安全模塊122可以被稱為"網絡常駐安全模塊122"。應該注意，雖然安全模塊122被示出駐留在信息處理系統 106內，但是該安全模塊122可以駐留在被通信地耦合到無線通信網絡 102的任何網絡組件或信息處理系統內。在一個實施例中，安全模塊 120、 122是IP分組防火牆，該IP分組防火牆可以在諸如計算機、第 四代行動電話等的IP網絡端點上實現。然而，安全模塊120、 122不限 於IP分組防火牆或第四代行動電話。這些示例僅被用於說明性的目的。此外，在一個實施例中，設計移動常駐安全模塊120使得不 能由用戶接入。網絡常駐安全模塊122將一個或多個安全策略124實 現在無線設備104中。移動常駐模塊120基於常駐安全策略126 (該常 駐安全策略126已經由網絡常駐安全模塊122來實現)來篩選外出業 務，並且允許或拒絕建立數據會話。在一個示例中，無線設備104從其服務提供商獲得一個或多 個安全策略。在一個實施例中，首先由無線通信網絡102來認證無線設備104。如果該無線設備被認證，例如，被允許由服務提供商來服務，
則登記無線設備104的位置，並且允許設備104從網絡102接收進入 會話。在被認證之後，移動常駐安全模塊120與信息處理系統106通 信，以從服務提供商獲得一個或多個安全策略126。在一個實施例中， 在無線設備104上實現的安全策略126基於用戶訂閱信息和網絡運營 商安全策略。 一旦安全策略126已經在無線設備104上被實現，移動 常駐安全模塊120就準備從其本身向無線通信網絡102的網際協議 ("IP")網絡過濾外出數據。當在無線設備104上的應用128嘗試外出數據會話時，移動 常駐安全模塊120基於在設備104上實現的安全策略126的一個或多 個來篩選該會話嘗試。如果移動常駐安全模塊120確定被請求的數據 會話在安全策略126的參數內，則移動常駐安全模塊120允許通過移 動接入終端的IP棧(未示出)、無線電邏輯、資源等對網絡102建立 數據會話。然而，如果移動常駐安全模塊120確定被請求的數據會話不 滿足該安全策略126，則移動常駐安全模塊120阻止通過IP棧(未示 出)來建立數據會話，並且提醒設備104的用戶和網絡運營商注意該 狀況。網絡常駐安全模塊122登入被拒絕的接入嘗試。在一個實施例 中，網絡運營商還可以改變在無線設備104上實現的安全策略126。例 如，網絡運營商改變被通信地耦合到網絡常駐安全模塊122的安全策 略。對於在改變時已經被認證到網絡102的無線設備104的一個或多 個而言，在信息處理系統106處的移動常駐安全模塊122更新所有認 證的和登記的無線設備104。換言之，網絡常駐安全模塊122檢測在網 絡側上的新的或修改的安全策略124，並且更新在無線設備104處的安 全策略126。對於沒有向網絡102登記的無線設備而言，排隊安全策略 改變，用於一旦無線設備被登記，就將該安全策略分發到該無線設備。在另一個實施例中，無線設備104的移動常駐安全模塊120還可以由網絡運營商來更新。例如，網絡運營商經由網絡常駐安全模 塊122或者經由另一個機制來將更新補丁發射到移動常駐安全模塊
120。信息處理系統106的網絡常駐安全模塊122基於調度參數和無線 設備104的可用性來更新在改變時向網絡102登記的無線設備104。如所能看到的，本發明提供了一種有利的系統，該系統允許 服務提供商阻止無線設備處的惡意行為在網絡上被執行。本發明的另 一個優點是，行動裝置用戶無需維護安全策略，而是由網絡運營商來 維護該安全策略。這允許網絡運營商遠程地控制在行動裝置上運行的 應用。因此，本發明是授權行動網路運營商維護對IP網絡業務的控制， 並且將攻擊性行動裝置與他們的網絡分隔開。
roo4oi無線通信設備圖2是圖示無線設備104的更詳細視圖的框圖。無線設備 104在設備控制器/處理器202的控制下進行操作，該設備控制器/處理 器202控制無線通信信號的發送和接收。在接收模式中，設備控制器 202通過發射/接收開關206來將天線204電耦合到收發機208。收發機 208解碼接收到的信號，並且將那些解碼的信號提供給設備控制器202。在發射模式中，設備控制器202通過發射/接收開關206來 將天線204電耦合到收發機208。設備控制器202根據存儲在存儲器 212中的指令(未示出)來操作收發機。這些指令包括，例如，相鄰小 區測量調度算法。存儲器212還包括安全模塊120和安全策略126。在 一個實施例中，應用128也被存儲在存儲器中。無線設備104還包括 非易失性貯存存儲器216。應該注意，安全模塊120、安全策略126和 應用128的一個或多個也可以被包含在貯存存儲器216中。在該示例中，無線設備104還包括可選的本地無線鏈路218， 該本地無線鏈路218允許無線設備104直接與另一個無線設備進行通 信，而不使用無線網絡(未示出)。例如，由藍牙、紅外數據接入(IrDA)技術等來提供該可選本地無線鏈路218。可選本地無線鏈路218還包括 本地無線鏈路發射/接收模塊220，該本地無線鏈路發射/接收模塊220 允許無線設備104直接與諸如被通信地耦合到個人計算機、工作站等 的無線通信設備的另一個無線通信設備進行通信。圖2的無線設備104進一步包括音頻輸出控制器222，該音 頻輸出控制器222接收來自接收機208或者本地無線鏈路發射/接收模 塊220的解碼的音頻輸出信號。音頻控制器222將接收到的解碼的音 頻信號發送到執行各種調節功能的音頻輸出調節電路224。例如，音頻 輸出調節電路224可以減少噪音或放大信號。揚聲器226接收調節後 的音頻信號，並且允許用戶聽到音頻輸出。音頻輸出控制器222、音頻 輸出調節電路224和揚聲器226還允許生成可聽的警報來向用戶提示 未接呼叫、接收到的消息等。無線設備104進一步包括附加的用戶輸 出接口 228，例如，耳機插孔(未示出)或免提揚聲器(未示出)。無線設備104還包括麥克風230，用於允許用戶將音頻信號 輸入到無線設備104內。聲波由麥克風230來接收並且被轉換成電音 頻信號。音頻輸入調節電路232接收音頻信號，並且對該音頻信號執 行各種調節功能，例如，降噪。音頻輸入控制器234接收調節的音頻 信號，並且將音頻信號的表示發送到設備控制器202。無線設備104還包括鍵盤236，用於允許用戶將信息輸入到 無線設備104內。無線設備104進一步包括照相機238，用於允許用戶 將靜止圖像或視頻圖像捕捉到存儲器214中。此外，無線設備104包 括附加的用戶輸入接口 240，例如，觸控螢幕技術(未示出)、操縱杆(未 示出)或者滾輪(未示出)。在一個實施例中，還包口外圍接口 (未 示出)，用於允許將數據線連接到無線設備104。在本發明的一個實施 例中，數據線的連接允許無線設備104被連接到計算機或印表機。在無線設備104上還包括視覺通知(或指示)接口 242，用於向無線設備104的用戶呈現視覺通知(或視覺指示)，例如顯示器
246上的彩燈序列或發光的一個或多個LED (未示出)。例如，接收到 的多媒體消息可以包括作為消息的一部分的要向用戶顯示的彩燈序 列。替代地，當無線設備104接收到消息或者用戶錯過了呼叫時，通 過在顯示器246上顯示彩燈序列或者單個閃光燈或LED (未示出)， 可以將視覺通知接口 242用作警報。無線設備104還包括觸覺接口 244，用於傳遞振動媒體組件、 觸覺警報等。例如，由無線設備104接收的多媒體消息可以包括視頻 媒體組件，該視頻媒體組件在多媒體消息的重放期間提供振動。在一 個實施例中，在無線設備104的靜音模式期間使用觸覺接口 244來向 用戶提醒進入的呼叫或消息、未接呼叫等。例如，觸覺接口 244允許 這種振動通過振動電機(vibrating motor)等發生。無線設備104還包括用於向無線設備104的用戶顯示信息的 顯示器246和可選全球定位系統(GPS)模塊248。可選GPS模塊248 確定無線設備104的位置和/或速度信息。該模塊248使用GPS衛星系 統來確定無線設備104的位置和/或速度。作為對GPS模塊248的替代， 無線設備104可以包括用於確定無線設備104的位置和/或速度的替代 模塊，例如，使用小區塔三角測量(cell tower triangulation )和輔助GPS 。圖3是圖示根據本發明實施例的信息處理系統106的詳細視 圖的框圖。在一個實施例中，信息處理系統106基於被適當配置的處 理系統，該處理系統適合於實現本發明的示例性實施例。任何被適當 配置的處理系統都類似地能夠由本發明的實施例用作信息處理系統 106，例如，個人計算機、工作站等。信息處理系統106包括計算機302。計算機302具有被通信 地連接到主存儲器306 (例如，易失性存儲器)的、非易失性存儲裝置
16接口 308、終端接口 310和網絡適配器硬體312的處理器304。系統總 線314將這些系統組件互相連接起來。使用非易失性存儲裝置接口 308 來將諸如數據存儲設備316的大容量存儲設備連接到信息處理系統 106。 一種特定類型的數據存儲設備是諸如CD驅動器的計算機可讀介 質，其可以被用來將數據存儲到CD或DVD 318或軟盤(未示出)或 從CD或DVD 318或軟盤(未示出)讀取數據。另一個類型的數據存 儲設備是被配置成支持例如NTFS類型文件系統操作的數據存儲設備。在一個實施例中，主存儲器306包括上文所討論的安全模塊 122和安全策略124。雖然被示作駐留在存儲器306中，但是安全模塊 122可以在信息處理系統106內的硬體中被實現。在一個實施例中，信 息處理系統106利用常規虛擬尋址機制來允許程序表現得像它們具有 對此被處稱為計算機系統存儲器的大的、單個的存儲實體的接入一樣， 而不是對諸如主存儲器306和數據存儲設備216的多個、較小的存儲 實體的接入。注意，此處所使用術語"計算機系統存儲器" 一般地指 信息處理系統106的全部虛擬存儲器。雖然對於計算機302僅圖示了一個CPU 304，但是具有多個 CPU的計算機系統可以被同樣有效地使用。本發明的實施例進一步並 入這樣的接口每一個該接口都包括獨立的、完全編程的微處理器， 該微處理器被用於從CPU 304卸載處理。終端接口 210被用於將一個 或多個終端220直接連接到計算機302，來向計算機302提供用戶接口。 能夠是非智能或完全可編程工作站的這些終端220被用於允許系統管 理員和用戶與瘦客戶端(thin client)進行通信。終端220還能夠由用 戶接口和外圍設備組成，該外圍設備被連接到計算機302並且由在終 端I/F 210中所包括的終端接口硬體來控制，該終端I/F 210包括視頻適 配器和用於鍵盤、指示設備等的接口。根據實施例的作業系統222可以被包括在主存儲器306中， 並且是適當的多任務作業系統，諸如Linux、 UNIX、 Windows XP和Windows Server 2001作業系統。本發明的實施例能夠使用任何其它適 當的作業系統、或內核、或其它適當的控制軟體。本發明的一些實施 例利用諸如面向對象的框架機制的架構，其允許作業系統的組件(未 示出)的指令在位於客戶端內的任何處理器上被執行。網絡適配器硬 件212被用於提供到網絡102的接口。本發明的實施例能夠適用於利 用任何數據通信連接進行工作，包括當前的模擬和/或數位技術或經由 未來的聯網機制。
雖然在全功能計算機系統的上下文中描述了本發明的示例 性實施例，但是本領域的技術人員應當意識到，所述實施例能夠作為 程序產品經由軟盤，例如軟盤218、CD ROM或其它形式的可記錄介質， 或者經由任何類型的電傳輸機制來被分發。
初始化用於無線設備安全功能的無線設備的過程
圖4是圖示初始化用於以上所討論的無線設備安全功能的 無線設備的過程的操作流程圖。具體地，圖4示出了移動駐留功能通 過向其對等網絡常駐功能通知其啟動狀態來開始其初始化程序。圖4的操作流程圖開始於步驟402，並且直接流到步驟404。在步驟404， 無線設備104處的移動常駐安全模塊120向網絡102通知初始化。將 當前的安全策略指紋(如果有)和安全軟體修改級別發射到信息處理 系統106的安全模塊122。在步驟406，安全模塊120確定是否已經從 信息處理系統106處的安全模塊122接收到了更新。
如果該確定結果是否定的，則該控制流到圖5的入口點A (事件處理循環)。如果該確定的結果是肯定的，則在步驟408，安全 模塊120確定接收到的更新是否是對存儲的安全策略126的更新。如 果該確定的結果是肯定的，則在步驟410，移動常駐安全模塊120將策 略更新存儲到本地數據貯存器，例如存儲器212、 216。然後，該控制 流到步驟412。如果該確定的結果是否定的，則在步驟412，移動常駐 安全模塊120確定該更新是否針對安全模塊120本身。如果該確定結果是肯定的，則在步驟414，移動常駐安全模塊120發起關閉並且自動 重新啟動更新的軟體模塊。該控制流返回到步驟402。如果該確定結果 是否定的，則該控制流到圖5的口入點A。
經由安全模塊來管理無線設備事件的過程
圖5和圖6是圖示經由在無線設備104處的移動常駐安全模 塊120來管理無線設備安全事件的過程的操作流程圖。圖5的控制流 在入口點A處進入，並且直接流到步驟502。在步驟502，無線設備 104處的移動常駐安全模塊120從網絡102接收用以改變安全策略126 的請求。例如，在無線設備處的移動常駐安全模塊120可以從在信息 處理系統106處的網絡常駐安全模塊122接收用以改變安全策略126 的請求。在步驟504，移動常駐安全模塊120將應用安全策略提交給諸 如存儲器212、 216的內部數據貯存器。在步驟506，移動常駐安全模 塊120將外出分組安全策略提交到諸如存儲器212、 216的內部數據貯 存器。然後，該控制流在步驟508退出。
在另一個實施例中，在步驟510，移動常駐安全模塊120確 定用戶應用正在嘗試向網絡102發送IP分組。該控制流到圖7的入口 點B (應用篩選邏輯)。在又一個實施例中，在步驟512，移動常駐安 全模塊120確定正在發起的關閉或終止。在步驟514，停止由移動常駐 安全模塊120執行的監視，並且該控制流在步驟514退出。
在步驟602，移動常駐安全模塊120確定用戶正在嘗試將應 用添加到無線設備104。在步驟604，移動常駐安全模塊120向信息處 理系統處的網絡常駐安全模塊122通知應用添加嘗試。在步驟606，移 動常駐安全模塊120確定信息處理系統處的網絡常駐安全模塊122是 否已經允許該應用添加。如果該確定的結果是否定的，則在步驟608， 移動常駐安全模塊120向用戶通知無法添加該應用，並且通知安全違 規已經發生。然後，該控制流在步驟610退出。
如果該確定的結果是肯定的，則在步驟612，移動常駐安全 模塊120用新的應用指紋來更新註冊表。下面是應用指紋的簡短討論。 當終端用戶嘗試將應用添加到無線設備時，移動常駐安全模塊120應 用算法，該算法被設計成提供在可以被執行的所有其它應用中唯一地 識別該應用的結果。該指紋值可以被存儲在無線設備104內的存儲器 的安全區域(註冊表)中。該安全區域無法由其它應用接入，以便於 保護其中所包括的數據的完整性。
當終端用戶嘗試將應用添加或安裝到無線手機上，允許由終 端用戶來執行該應用時，無線設備104提示移動常駐安全模塊120。安 全模塊120查找包括在指紋註冊表中的指紋，並且與從網絡常駐安全 模塊122傳送到設備的安全策略作比較。在一個實施例中，移動常駐 安全模塊120向無線手機提供策略是否允許該應用添加或安裝的指令。該決策點基於由移動常駐安全模塊120所生成的指紋與安全策略的內 容作比較的比較結果。將該比較結果(肯定或否定結果)與存儲在關 於基於肯定或否定結果是否允許安裝的安全策略中的指令作比較。基 於該確定，移動常駐安全模塊120提示無線設備104繼續進行應用添 加或安裝，或者放棄。
在另一個實施例中，網絡常駐安全模塊122使用包括針對無 線設備104的執行來被篩選的應用的許多指紋的註冊表。當網絡常駐 安全模塊122排隊用於向行動裝置分發的安全策略更新時，安全功能 從註冊表收集指紋(加上由運營商設置的存儲的指令，該存儲的指令 用於基於指紋比較來允許或不允許應用執行)；基於該邏輯來生成安 全策略；並且排隊用於傳輸的生成的文件。
在步驟614，移動常駐安全模塊120通知用戶該應用已經被 添加。然後，該控制流在步驟616退出。在另一個實施例中，在步驟 618，移動常駐安全模塊120確定用戶正在嘗試從無線設備104移除應 用。在步驟620，移動常駐安全模塊120從註冊表移除該應用指紋。然後，該控制流在步驟622退出。
經由無線設備安全模塊來篩選應用事件的過程
圖7是圖示經由在無線設備104處的移動常駐安全模塊120 來篩選應用事件的過程的操作流程圖。具體地，圖7圖示了用於允許 或不允許在無線設備104上執行應用的邏輯。圖7的控制流在入口點B 進入，並且直接流到步驟702。在步驟702，響應於確定應用正在嘗試 向網絡102發送IP分組，安全模塊120接入無線設備104處的一個或 多個安全策略126。在步驟704，安全模塊120從註冊表檢索應用指紋。 在步驟706，移動常駐安全模塊120基於安全策略126來確定是否阻斷 應用發送IP分組。如果該確定結果是否定的，則該控制流到圖8的入 口點C。如果該確定的結果是肯定的，則在步驟708，安全模塊120阻 止分組在網絡102上始發，並且提示信息處理系統處的網絡常駐安全 模塊122。然後，該控制流在步驟710退出。
經由無線設備安全模塊來篩選分組的過程
圖8是圖示經由無線設備104處的安全模塊120來篩選在該 無線設備104處始發的分組的過程的操作流程圖。具體地，圖8示出 了用於已經經由應用安全策略來清理以將業務始發到無線接入網絡上 的應用的篩選邏輯。該邏輯通過使用包括在網際協議分組本身中的網 際協議目標地址、傳輸類型、遠程應用埠值等來限制應用可以始發 的業務類型。
圖8的控制流在入口點B處進入，並且直接流到步驟802。 在步驟802，移動常駐安全模塊120接入用於外出分組的安全策略126。 在步驟804，移動常駐安全模塊120確定在接入的策略126中是否阻斷 目的地IP/子網。如果該確定結果是肯定的，則在步驟806，移動常駐 安全模塊120確定該目的地是否被列入黑名單。如果該確定結果是肯 定的，則在步驟814，移動常駐安全模塊120阻止分組始發到網絡102 上，並且提示信息處理系統106處的網絡常駐安全模塊122。如果該確定的結果的是否定的，則該控制流到步驟808。如果在步驟804處的確定是否定的，則在步驟808，移動常 駐安全模塊120確定該傳輸是否是UPD。如果該確定的結果是肯定的， 則在步驟810，移動常駐安全模塊120確定在接入的策略126中是否阻 斷UDP埠。如果該確定的結果是肯定的，則該控制流到步驟814， 其中，移動常駐安全模塊120阻止分組始發到網絡102上，並且提示 信息處理系統106處的網絡常駐安全模塊122。然後，該控制流在步驟 820退出。如果步驟810處的確定的結果是否定的，則在步驟818，移 動常駐安全模塊120允許分組在網絡102上始發。然後，該控制流在 步驟820退出。如果步驟808處的確定的結果是否定的，則在步驟812，移 動常駐安全模塊120確定該傳輸是否是TCP。如果該確定的結果是否 定的，則在步驟814，移動常駐安全模塊120阻止分組始發到網絡102 上，並且提示網絡常駐安全模塊122。然後，該控制流在步驟820退出。 如果該確定結果是肯定的，則在步驟816，移動常駐安全模塊120確定 在接入的策略816中是否阻斷了 TCP埠。如果該確定的結果是肯定 的，則在步驟814，移動常駐安全模塊120阻止分組始發到網絡102上， 並且提示網絡常駐安全模塊122。如果該確定的結果是否定的，則在步 驟818，移動常駐安全模塊120允許分組在網絡102上始發。然後，該 控制流在步驟820退出。初始化在服務提供商側上的安全模塊的過程
圖9是圖示初始化駐留在信息處理系統106處的網絡常駐安 全模塊122的過程的操作流程圖。圖9的操作流程圖開始於步驟902， 並且直接流到步驟904。在步驟904，信息處理系統處的網絡常駐安全 模塊122清理用於被訂閱到網絡102的所有無線設備的統計寄存器。 該控制流到圖10的入口點D。在步驟906，如果網絡常駐安全模塊122 確定已經初始化了終止的關閉，則該控制流在步驟908退出。
經由服務提供商側上的安全模塊來處理事件的過程圖10和11是圖示經由駐留在信息處理系統106處的網絡常 駐安全模塊122來管理安全事件的過程的操作流程圖。具體地，網絡 常駐安全模塊122響應發起對安全策路略改變的行動電話網絡運營商； 發起對遠程手機的行動網路常駐功能更新的行動電話網絡運營商；以 及針對攻擊性行動裝置來監視來自行動電話網絡的設備的進入消息隊 列的行動電話網絡運營商。在本發明的一個典型實施例中，網絡常駐 安全模塊122監控其常駐安全模塊120重複策略違規的無線設備。圖10的控制流在入口點D處進入，並且直接流到步驟 1002、 1008、 1102、 1108或1114。在步驟1002，網絡常駐安全模塊 122確定更新要被發送到移動常駐安全模塊120，並且讀取更新隊列， 獲得無線設備104的地址並且檢索要被發送到無線設備104的更新分 組。在步驟1004，網絡常駐安全模塊122將更新分派到無線設備104。 然後，該控制流在步驟1006退出。在步驟1008，網絡常駐安全模塊122檢測無線設備104已 經違反了安全策略，並且讀取警報隊列，並且獲得該違規的無線設備 的地址。在步驟1010，網絡常駐安全模塊122更新關於攻擊性無線設 備104的寄存器計數。在步驟1012，網絡常駐安全模塊122將統計寄 存器與例如策略違規閾值的運營商所定義的閾值作比較。如果寄存器 大於或等於該閾值，則在步驟1016，網絡常駐安全模塊122發出警告。 在步驟1018，網絡常駐安全模塊122確定是否允許自動隔離。如果該 確定的結果是否定的，則該控制流在步驟1020退出。如果該確定的結 果是肯定的，則該控制流到圖12的入口點E。如果在步驟1012處的比 較指示該寄存器小於該閾值，則該控制流在步驟1014退出。在步驟1102，網絡運營商/服務提供商改變安全策略124。 在步驟1104，網絡常駐安全模塊122將該更新插入具有正常優先級的更新隊列。然後，該控制流在步驟1106退出。在步驟1108，網絡常駐
安全模塊122確定網絡運營商/服務提供商已經更新了移動常駐安全模 塊120。在步驟1110，網絡常駐安全模塊122將該更新插入具有低優 先級的更新隊列。然後，該控制流在步驟1112退出。在步驟1114，網 絡常駐安全模塊122確定網絡運營商/服務提供商已經隔離了無線設備 104。該控制流到圖12的入口點E。經由在服務提供商側上的安全模塊來隔離無線設備的過程
圖12是圖示經由網絡常駐安全模塊122來隔離無線設備 104的過程的操作流程圖。隔離阻止無線設備104將分組始發到網絡 102上。圖12的控制流在入口點E處進入，並且直接流到步驟1202。 在步驟1202，網絡常駐安全模塊122將用於無線設備104的針對外出 分組的安全策略124更新至隔離狀態。在步驟1204，網絡常駐安全模 塊122將策略126插入到具有高優先級的更新隊列。在一個實施例中， 當該設備被置為隔離狀態時，可以向無線設備104的用戶顯示消息。 然後，該控制流在步驟1204退出。非限制性示例雖然已經公開了本發明的特定實施例，但是本領域的普通技 術人員應當理解，在不脫離本發明精神和範圍的條件下，可以對特定 實施例做出改變。因此，本發明的範圍不限於特定實施例，並且希望 所附權利要求涵蓋在本發明範圍內的任何和所有這樣的應用、修改和 實施例。
權利要求
1.一種用於通過無線通信設備來管理分組數據傳輸的方法，所述方法包括從服務提供商接收一組安全策略；從應用接收用以始發分組數據的請求；響應於接收用以始發分組數據的所述請求，分析由所述服務提供商所提供的所述一組安全策略；響應於所述分析，確定所述一組安全策略是否允許所述分組數據被發射；其中，響應於所述一組安全策略允許所述分組數據被發射，允許所述分組數據被發射到無線網絡上；以及其中，響應於所述一組安全策略不允許所述分組數據被發射，阻止所述分組數據被發射到無線網絡上。
2. 根據權利要求l所述的方法，其中，所述分組數據是網際協議 分組數據。
3. 根據權利要求l所述的方法，進一步包括響應於阻止所述分組數據被發射到所述無線網絡上，向駐留在所 述無線網絡上的安全模塊提示所述阻止的分組數據的傳輸。
4. 根據權利要求1所述的方法，其中，所述一組安全策略至少包 括用於發射分組數據的安全策略和與一組應用相關聯的至少一個安全 策略。
5. 根據權利要求l所述的方法，其中，所述阻止進一步包括 分析所述分組數據的目的地；以及 將所述目的地與所述一組安全策略作比較。
6. 根據權利要求1所述的方法，進一步包括 接收用以添加應用的用戶請求；響應於接收所述用戶請求，分析由所述服務提供商所提供的所述 一組安全策略；響應於所述分析，確定所述一組安全策略是否允許所述應用被添加；其中，響應於所述一組安全策略允許所述應用被添加，允許所述應用被添加；以及 其中，響應於所述一組安全策略不允許所述應用被添加， 阻止所述應用被添加。
7. 根據權利要求6所述的方法，進一步包括響應於阻止所述應用被添加，向駐留在所述無線網絡上的安全模 塊提示所述阻止的所述應用的添加。
8. 根據權利要求6所述的方法，其中，允許所述應用被添加進一 步包括生成與所述應用相關聯的唯一識別；以及 將所述唯一識別存儲在安全存儲器中。
9. 一種用於管理分組數據傳輸的無線通信設備，所述無線通信設 備包括存儲器；處理器，所述處理器被通信地耦合到所述存儲器； 安全模塊，所述安全模塊被通信地耦合到所述存儲器和所述處理 器，其中，所述安全模塊適合於從服務提供商接收一組安全策略； 從應用接收用以始發分組數據的請求；響應於接收用以始發分組數據的所述請求，分析由所述服務提供 商所提供的所述一組安全策略；響應於所述分析，確定所述一組安全策略是否允許所述分組數據 被發射；其中，響應於所述一組安全策略允許所述分組數據被發射， 允許所述分組數據被發射到無線網絡上；以及其中，響應於所述一組安全策略不允許所述分組數據被發射， 阻止所述分組數據被發射到無線網絡上。
10. 根據權利要求9所述的無線通信設備，其中，所述安全模塊 進一步適合於響應於阻止所述分組數據被發射到所述無線網絡上，向駐留在所 述無線網絡上的安全模塊提示所述阻止的分組數據的傳輸。
11. 根據權利要求9所述的無線通信設備，其中，所述一組安全 策略至少包括用於發射分組數據的安全策略和與一組應用相關聯的至 少一個安全策略。
12. 根據權利要求9所述的無線通信設備，其中，所述阻止進一步包括分析所述分組數據的目的地；以及 將所述目的地與所述一組安全策略作比較。
13. 根據權利要求9所述的無線通信設備，其中，所述安全模塊進一步適合於接收用以添加應用的用戶請求；響應於接收所述用戶請求，分析由所述服務提供商所提供的所述 一組安全策略；響應於所述分析，確定所述一組安全策略是否允許所述應用被添加；其中，響應於所述一組安全策略允許所述應用被添加， 允許所述應用被添加；以及其中，響應於所述一組安全策略不允許所述應用被添加， 阻止所述應用被添加。
14. 根據權利要求13所述的無線通信設備，其中，所述安全模塊進一步適合於響應於阻止所述應用被添加，向駐留在所述無線網絡上的安全模 塊提示所述阻止的所述應用的添加。
15. —種用於管理分組數據傳輸的無線通信系統，所述無線通信 系統包括 多個基站；多個無線通信設備，其中，每個無線通信設備都被通信地耦合到 至少一個基站，並且其中，至少一個無線通信設備包括安全模塊，所 述安全模塊適合於從服務提供商接收一組安全策略；從應用接收用以始發分組數據的請求；響應於接收用以始發分組數據的所述請求，分析由所述服務提供 商所提供的所述一組安全策略；響應於所述分析，確定所述一組安全策略是否允許所述分組數據 被發射；其中，響應於所述一組安全策略允許所述分組數據被發射， 允許所述分組數據被發射到無線網絡上；以及其中，響應於所述一組安全策略不允許所述分組數據被發射， 阻止所述分組數據被發射到無線網絡上。
16. 根據權利要求15所述的通信系統，其中，所述安全模塊進一 步適合於響應於阻止所述分組數據被發射到所述無線網絡上，向駐留在所 述無線網絡上的安全模塊提示所述阻止的分組數據的傳輸。
17. 根據權利要求15所述的無線通信系統，其中，所述一組安全策略至少包括用於發射分組數據的安全策略和與一組應用相關聯的至 少一個安全策略。
18. 根據權利要求15所述的無線通信系統，其中，所述阻止進一步包括分析所述分組數據的目的地；以及 將所述目的地與所述一組安全策略作比較。
19. 根據權利要求15所述的無線通信系統，其中，所述安全模塊 進一步適合於接收用以添加應用的用戶請求；響應於接收所述用戶請求，分析由所述服務提供商所提供的所述 一組安全策略；響應於所述分析，確定所述一組安全策略是否允許所述應用被添加；其中，響應於所述一組安全策略允許所述應用被添加，允許所述應用被添加；以及 其中，響應於所述一組安全策略不允許所述應用被添加，阻止所述應用被添加。
20. 根據權利要求19所述的無線通信系統，其中，所述安全模塊 進一步適合於響應於阻止所述應用被添加，向駐留在所述無線網絡上的安全模 塊提示所述阻止的所述應用的添加。
全文摘要
提供了一種用於管理分組數據傳輸的方法、無線通信設備和無線通信系統。該方法包括從服務提供商接收一組安全策略(126)。從應用(124)接收用以始發分組數據的請求。響應於接收用以始發分組數據的請求，分析由服務提供商所提供的一組安全策略(126)。該方法還包括，響應於該分析，確定一組安全策略(126)是否允許該分組數據被發射。響應於允許該分組數據被發射的一組安全策略(126)，允許該分組數據被發射到無線網絡(102)上。響應於不允許該分組數據被發射的一組安全策略(126)，阻止該分組數據被發射到無線網絡(102)上。
文檔編號H04L29/06GK101632283SQ200880007969
公開日2010年1月20日 申請日期2008年2月28日 優先權日2007年3月14日
發明者克里斯多福·L·維塔羅斯 申請人:摩託羅拉公司