用於監控移動終端上的移動無線接口的方法和裝置製造方法
2023-05-29 02:04:16 1
用於監控移動終端上的移動無線接口的方法和裝置製造方法
【專利摘要】用於監控移動終端上的移動無線接口的方法和裝置,所述移動終端包括基帶和應用處理器,所述方法包括以下步驟:在所述應用處理器上執行作業系統;在所述應用處理器上執行虛擬數據機,所述數據機專門地進行所述作業系統和所述基帶之間的數據交換並提供所述基帶的功能,以便從而獲得對數據的訪問以及以便從而濾除未授權的數據。
【專利說明】用於監控移動終端上的移動無線接口的方法和裝置
【技術領域】
[0001]本發明涉及一種用於監控移動終端上的移動無線接口的方法和裝置,特別地涉及一種用於監控AT訪問的虛擬數據機。
【背景技術】
[0002]近年來,已經做出很多努力使得智慧型手機作業系統更加安全。在這個方面,目標是防止用戶遭受攻擊和惡意軟體(木馬、計算機病毒)。這種措施的示例包括:
[0003]?強制訪問控制(MAC),以便能夠限制和監控對敏感資源(例如,位置數據、SMS資料庫、通訊錄)的訪問
[0004].數據鎖定
[0005].地址空間布局隨機化(ASLR),以便更難利用安全間隙。
[0006]儘管已知通過被劫持的行動電話對移動無線網絡的攻擊,但是,至今為止,幾乎不知道對移動無線網絡的基礎設施的保護的任何方法。至今為止,移動無線網絡運營商僅僅具有在他們的網絡中安裝SMS過濾器以便能夠濾除不需要的SMS消息的選擇。相反地,這些攻擊已經證實,當前的安全措施旨在保護裝置免受攻擊,而在較小的程度上針對他們所工作的環境(移動無線網絡)。
[0007]美國專利5,628,030描述了一種作為向多個同時活動的通信應用提供的通信信道的裝置的虛擬數據機。然後,虛擬數據機選擇性地將通信應用連接到物理數據機。虛擬調節解調器實現·抽象數據機接口。
[0008]與此相反,本發明沒有公開一種用於多路復用物理數據機的方法;相反地,公開一種可以以安全模式監控移動終端對移動終端上的移動無線網絡的訪問的方法。而且,美國專利5,628,030僅僅涉及桌上型電腦。
[0009]DE000069925732T2描述了一種具有內置安全固件的行動電話。這描述了一種使得通過無保護的網絡對內聯網的安全訪問成為可能的方法。在這種情況下,以固件或外部硬體模塊的形式在行動電話上實現安全層。
[0010]另一方面,本發明不要求受保護的固件或外部硬體模塊。另外,它不描述用於保護通信關係的方法。
[0011]通過行動電話生成信令消息,並經常將信令消息發送至移動交換中心(MSC)和歸屬位置寄存器(HLR)。在數據連接的情況下,還涉及GPRS服務支持節點(SGSN)和GPRS網關支持節點(GGSN)。
[0012]在移動無線網絡中,通過所謂的分組數據協議(rop)發送數據。PDP連接的建立是複雜的過程。移動終端首先發送「GPRS-附著」消息至SGSN。SGSN藉助於HLR對移動終端進行授權。然後,生成PDP上下文並將PDP上下文存儲在SGSN和GGSN中。PDP上下文特別用於存儲關於這次連接的計費、服務質量和IP位址的信息。通過移動無線網絡的不同組件進行PDP上下文的管理和交換是非常複雜的。
[0013]移動終端與移動無線網絡的連接通過所謂的基帶的組件發生,基帶可以由多個單獨的組件(例如,基帶處理器、無線模塊、軟體等)組成。這個基帶經常包含標準處理器、數位訊號處理器(DSP)和無線連接所需的無線組件。在它們可以用於移動無線網絡之前,必須通過不同的機構對基帶及其組件(例如其上的基帶處理器和軟體)認證和授權。這個過程是複雜且昂貴的。這是為什麼世界上僅有非常少的基帶製造商的原因。
[0014]除了基帶之外,移動終端經常還包含所謂的應用處理器。在行動電話的情況下,電話作業系統(例如iOS或Android)在應用處理器上運行。在所謂的UMTS上網棒(stick)的情況下,應用處理器是計算機的處理器。在每種情況下,基帶和應用處理器僅在幾個地方彼此連接,特別地通過控制信道連接。應用處理器通過這個控制信道藉助於控制指令進行通信,以便控制基帶。
【發明內容】
[0015]用於監控移動終端的信令信道的本發明(下文稱作虛擬數據機)不要求對基帶硬體或軟體進行任何改變。虛擬數據機完全在應用處理器上運行並且具有對基帶的專門控制。應用處理器上的現有作業系統不再能夠直接訪問基帶。相反地,虛擬數據機為作業系統提供至基帶的接口,由此可以監控對基帶的所有訪問。圖1是這個架構的示意圖。接口優選地包括兩個信道,更多的信道是可能的。在一個實施例中,信道的一個用於控制指令流,信道的第二個用於數據流。
[0016]具體地,本發明涉及一種用於監控移動終端上的移動無線接口的方法,所述移動終端包括基帶和應用處理器。所述方法包括步驟:
[0017]在應用處理器上執行作業系統。在這種情況下,在應用處理器上執行交互應用程式(例如,網絡瀏覽器或照相機)。
[0018]作為另一步驟,所述方法包括在應用處理器上執行虛擬數據機,虛擬數據機專門地進行作業系統和基帶之間的數據交換並提供基帶的功能,以便從而獲得對數據的訪問以及從而濾除未授權的數據和訪問。
[0019]在優選的形式中,虛擬數據機提供虛擬信號信道和虛擬數據信道,其中優選地通過虛擬信號信道傳輸控制虛擬數據機的控制指令。而且,除了其他數據之外,還通過數據信道傳輸IP數據。語音數據也可以作為基於IP的語音(VoIP)進行傳輸,基於IP的語音作為IP數據進行傳輸。
[0020]在優選實施例中,控制指令過濾器是虛擬數據機的組件,監控作業系統和基帶之間的控制指令流,並根據規範對控制指令流進行過濾。
[0021]IP過濾器也可以是虛擬數據機的組件,以便通過防火牆的實施阻止來自外部或內部的不需要的訪問。
[0022]虛擬數據機提供抽象數據機接口形式的基帶,在其中提供基帶的功能和接口。因此,無需對作業系統和硬體進行任何改變,或僅僅需要對作業系統和硬體進行很小的改變。這優選地是軟體解決方案。明顯地,還可以想到的是提供硬體和軟體的組合。
[0023]虛擬數據機還提供基帶驅動器,基帶驅動器提供至基帶的接口。這個驅動器具有與作業系統的驅動器類似或相同的結構,作業系統的驅動器一般直接訪問基帶。因此,這個驅動器建立與作業系統的基帶驅動器的連接。
[0024]虛擬數據機的一個中心組件是控制指令過濾器。這監控和過濾作業系統和基帶之間的控制指令流。由此,強化用於與基帶相關的信令信道的安全準則。
[0025]IP過濾器組件實施例如阻止來自外部或內部的不需要訪問的防火牆。它監控經過它的數據流量並基於確定的規則決定是否讓某些網絡數據包經過。以這種方式,它盡力阻止未授權的網絡訪問。防火牆可以在協議級、在埠級、在內容級工作,它可以識別具有特定模式(例如DoS)的攻擊並提供有狀態的檢測。還可以想到的是入侵檢測和防禦系統。
[0026]從作業系統的觀點來看,虛擬數據機的行為像「真實」基帶。無需改變現有的作業系統。所需的只是用於新基帶的集成的通常適配。
[0027]使用虛擬數據機的本發明例如可以用於以下應用:
[0028]?收費SMS過濾器
[0029].收費號碼過濾器
[0030].保護移動無線基礎設施免受基於信令信道的DoS攻擊
[0031]?移動殭屍網絡的抑制
[0032].更新用於遠程維護的訪問準則(遠程更新)
[0033].用戶定義的規範/對所謂的收費服務的訪問準則的更新
[0034]?不可避免的VPN訪問
[0035].移動終端上的防火牆
[0036]與現有技術相比,虛擬數據機提供以下改進:`[0037].根據實施方式,無需對現有的作業系統進行任何修改,或僅需對現有作業系統進行很少的修改;
[0038].無需對現有的移動硬體進行任何修改;
[0039].保護移動無線網絡免受被劫持的移動終端的攻擊;
[0040].過濾直接在移動終端上進行的信令措施,以便避免移動無線網絡基礎設施的超載;
[0041].更具有成本效益的使用,因為虛擬數據機直接實施在移動終端上,無需對基礎設施進行任何改變;
[0042].昂貴的增值服務(所謂的收費SMS或收費號碼)的阻止
[0043]?數據訪問的監控
[0044]因此,本發明促進
[0045].SMS木馬的成功阻止
[0046].通過SMS對指令和控制信道的探試識別
[0047].對移動無線網絡運營商的基礎設施的DoS攻擊是更加複雜的(至少增加700%的註冊用戶)
[0048]?通過關鍵指令的速率限制減小移動無線基礎設施的負載【專利附圖】
【附圖說明】
[0049]現在提供附圖的簡要說明。
[0050]圖1示出虛擬數據機的概念和層結構;
[0051]圖2示出控制指令過濾器的基本方法的流程圖。【具體實施方式】
[0052]圖1示出本發明的移動終端的層結構。作業系統運行在應用處理器上,一般來說,作業系統是真實硬體,但是在個別情況下,它也可以是虛擬化的。
[0053]在虛擬化的情況下,作業系統(例如Android)運行在虛擬化層(也稱作管理程序)上,其中虛擬數據機布置在作為虛擬硬體的管理程序中,或者布置在運行在管理程序上的虛擬機器中。作業系統包括應用軟體堆棧,用戶的應用程式在應用軟體堆棧上運行。例如,這個堆棧可以包括被應用程式使用的庫和框架。它還提供至作業系統核心的接口。在這個核心內部,存在到虛擬數據機的虛擬信號信道和虛擬數據信道,虛擬數據機被轉換作為基帶和作業系統之間的中間層。因此,作業系統僅僅具有通過虛擬數據機到基帶的通道。虛擬信號信道一般用於發送具有控制虛擬數據機的任務的控制指令。當已經設置數據機時,通過虛擬數據信道傳輸數據,例如作為數據流。數據流可以包括會話流,也可以包括網絡數據(IP數據)流。然後,對各個數據流應用過濾器(AT指令過濾器和IP過濾器),以便濾除兩個方向的未授權或不需要的數據。過濾器是可調的且基於將被濾除的規則或模式。例如,識別惡意軟體內容的掃描器或者其他內容過濾器(例如協議過濾器)可以應用於IP過濾器。如上所述,布置在虛擬數據機中的是基帶驅動器,基帶驅動器在必要時將兩個流組合併將它們轉發至基帶/單元。但是,可選地,也可以通過兩個獨立的信道轉發數據。
[0054]圖2示出本發明的應用的示例。
[0055]在這種情況下,識別和濾除某些攻擊。
[0056]呼叫轉移攻擊:
[0057]很多被入侵的行動電話不斷地改變呼叫轉移設置,因此給移動無線網絡供應商的基礎設置增加重大的負擔。
[0058]應用軟體生成改變呼叫轉移設置的指令。這個指令通過虛擬信號信道傳輸到虛擬數據機。控制指令過濾器檢查用於這個功能的指令/時間單元的授權數量是否已經超過可調閾值,並且若可以,阻止指令,直至開始下個時間間隔。如果授權數量還未超過閾值,將指令轉發至基帶驅動器並最終從基帶發送至移動無線網絡。圖2示出,如果最後指令的時間加上間隔大於當前時間點,檢查計數器;如果計數器超過閾值,阻止消息。否則,轉發消肩、O
[0059]收費SMS消息:
[0060]SMS木馬在用戶不知情的情況下發送昂貴的收費SMS消息,因此,可以造成對用戶的重大經濟損失。
[0061]SMS木馬通過虛擬信號信道將SMS傳輸到收費號碼。控制指令過濾器關於黑名單/白名單檢查是否應發送SMS。如果接收者的號碼包含在黑名單中,可以顯示適當的警告,並且可選地,可以要求用戶的確認。如果用戶拒絕傳輸,SMS消息將被丟棄。例如,可以在線定期更新這些名單。
【權利要求】
1.一種用於監控移動終端上的移動無線接口的方法,所述移動終端包括基帶和應用處理器,所述方法包括步驟: 在所述應用處理器上執行作業系統; 在所述應用處理器上執行虛擬數據機,所述虛擬數據機專門地進行所述作業系統和所述基帶之間的數據交換並提供所述基帶的功能,以便從而獲得對數據的訪問以及以便從而濾除未授權的數據。
2.根據前述權利要求所述的方法,其中所述虛擬數據機提供虛擬信令信道和虛擬數據信道,其中優選地通過所述虛擬信令信道傳輸控制所述虛擬數據機的控制指令,通過所述數據信道控制傳輸IP數據。
3.根據前述權利要求所述的方法,其中控制指令過濾器是所述虛擬數據機的組件,所述控制指令過濾器監控所述作業系統和所述基帶之間的控制指令流,並根據規範過濾所述控制指令流;和/或 其中IP過濾器是所述虛擬數據機的組件,以便通過防火牆的實施阻止來自外部或內部的不需要的訪問。
4.根據前述權利要求所述的方法,其中以下組件中的一個或多個用於所述過濾器,以便過濾所述數據: 號碼過濾器; 保護所述移動無線基礎設施不受到基於信令信道的DoS攻擊的過濾器; 抑制移動殭屍網絡的 過濾器; 訪問準則的更新組件,所述訪問準則會被定期更新; 用於用戶定義的規範/對所謂的收費服務的訪問準則的更新的組件; 用於限制VPN訪問的控制組件。
5.根據前述權利要求的一項或多項所述的方法,其中所述虛擬數據機實施其中提供有基帶的功能和接口的基帶。
6.根據前述權利要求所述的方法,其中所述虛擬數據機包括基帶驅動器,所述基帶驅動器提供至所述基帶的接口。
7.一種具有移動無線接口的移動終端,包括: 基帶和應用處理器,其中所述應用處理器包括用於執行作業系統的裝置; 所述應用處理器進一步用於實施虛擬數據機,所述虛擬數據機專門地進行所述作業系統和所述基帶之間的數據交換並提供所述基帶的功能,以便從而獲得對數據的訪問以及以便從而濾除未授權的數據。
8.根據前述權利要求所述的移動終端,其中所述虛擬數據機提供虛擬信令信道和虛擬數據信道,其中優選地通過所述虛擬信令信道傳輸控制所述虛擬數據機的控制指令,通過所述數據信道控制傳輸IP數據。
9.根據前述權利要求所述的移動終端,其中控制指令過濾器是所述虛擬數據機的組件,所述控制指令過濾器監控所述作業系統和所述基帶之間的控制指令流,並根據規範過濾所述控制指令流;和/或 其中IP過濾器是所述虛擬數據機的組件,以便通過防火牆的實施阻止來自外部或內部的不需要的訪問。
10.根據前述權利要求所述的移動終端,其中在所述過濾器中存在以下組件中的一個或多個,以便過濾所述數據: 號碼過濾器; 保護所述移動無線基礎設施不受到基於信令信道的DoS攻擊的過濾器; 抑制移動殭屍網絡的過濾器; 訪問準則的更新組件,所述訪問準則會被定期更新; 用於用戶定義的規範/對所謂的收費服務的訪問準則的更新的組件; 用於限制VPN訪問的控制組件。
11.根據前述權利要求的一項或多項所述的移動終端,其中所述虛擬數據機用於模擬其中提供有基帶的功能和接口的基帶。
12.根據前述權利要求所述的移動終端,其中所述虛擬數據機包括基帶驅動器,所述基帶驅動器提供至 所述基帶的接口。
【文檔編號】H04W12/12GK103858458SQ201280048522
【公開日】2014年6月11日 申請日期:2012年9月5日 優先權日:2011年10月14日
【發明者】史蒂夫·裡博蓋德, 馬蒂亞斯·蘭格, 科林·穆林納 申請人:德國電信股份有限公司