專利名稱:移動(dòng)接入終端安全功能的制作方法
技術(shù)領(lǐng)域:
本發(fā)明總體上涉及無(wú)線通信領(lǐng)域�����,并且更具體地���,涉及為了
阻止惡意行為而對(duì)無(wú)線設(shè)備的外出分組進(jìn)行監(jiān)視和管理��。
背景技術(shù):
隨著移動(dòng)電話網(wǎng)絡(luò)演進(jìn)為利用IP技術(shù)�,它們將變得越來(lái)越容 易受到拒絕服務(wù)攻擊的影響。系統(tǒng)內(nèi)的元件��,即移動(dòng)站�����,可能成為攻 擊的目標(biāo)�����,或者可能經(jīng)由"特洛伊木馬(trojan horses)"的使用而成 為發(fā)起攻擊的代理���。存在在個(gè)人計(jì)算機(jī)中實(shí)現(xiàn)的被稱為反向防火墻 (inverse firewall)的當(dāng)前產(chǎn)品。反向防火墻控制來(lái)自可疑應(yīng)用的外出 或出口IP業(yè)務(wù)�����。反向防火墻的一個(gè)問題是�����,為了使這些應(yīng)用有效�����,要求 終端用戶來(lái)維護(hù)這些應(yīng)用。在主要包括通用計(jì)算機(jī)的傳統(tǒng)IP網(wǎng)絡(luò)中也實(shí)現(xiàn)了反向防火 墻����。這些安裝協(xié)助公司管理員和/或終端用戶來(lái)確保通用計(jì)算機(jī)的安全 運(yùn)作和適當(dāng)使用。如上文所討論的����,這些反向防火墻通常要求終端用 戶來(lái)配置安全策略,即�����,確定哪個(gè)網(wǎng)絡(luò)業(yè)務(wù)是允許的傳輸或者是不允 許的傳輸���。要求終端用戶在移動(dòng)接入終端中維護(hù)該配置是不切實(shí)際的�����。 而且�,該當(dāng)前的方法也不能適應(yīng)網(wǎng)絡(luò)運(yùn)營(yíng)商對(duì)于在接入終端端點(diǎn)處指 定安全策略的需要���。此外����,這些系統(tǒng)僅允許基于設(shè)備和用戶的認(rèn)證。在移動(dòng)設(shè)備 和用戶被認(rèn)證到網(wǎng)絡(luò)之后�����,僅基于使用準(zhǔn)則來(lái)監(jiān)管數(shù)據(jù)會(huì)話���。不存在 對(duì)于適應(yīng)終端用戶的訂閱信息和運(yùn)營(yíng)商的安全策略的惡意行為的篩 選���。而且,不存在以可以阻止在無(wú)線電接入網(wǎng)絡(luò)上發(fā)射惡意業(yè)務(wù)這樣 的方法來(lái)分離移動(dòng)業(yè)務(wù)的功能�。
而且�,隨著移動(dòng)電話技術(shù)逐漸允許終端用戶安裝和運(yùn)行不必
從提供服務(wù)的運(yùn)營(yíng)方所分發(fā)的應(yīng)用,移動(dòng)電話運(yùn)營(yíng)商需要一種機(jī)制來(lái) 禁止未識(shí)別的應(yīng)用在遠(yuǎn)程移動(dòng)電話上運(yùn)行���。這是為了阻止?jié)撛诘挠泻?應(yīng)用將惡意分組始發(fā)到網(wǎng)絡(luò)上����。因此�,出現(xiàn)了對(duì)于克服如上所討論的現(xiàn)有技術(shù)的問題的需要。
發(fā)明內(nèi)容
簡(jiǎn)言之����,根據(jù)本發(fā)明�����,公開了一種用于管理分組數(shù)據(jù)傳輸?shù)?方法����、無(wú)線通信設(shè)備和無(wú)線通信系統(tǒng)��。該方法包括從服務(wù)提供商接收 一組安全策略���。從應(yīng)用接收用以始發(fā)分組數(shù)據(jù)的請(qǐng)求�����。響應(yīng)于接收該 用以始發(fā)分組數(shù)據(jù)的請(qǐng)求����,分析由該服務(wù)提供商所提供的一組安全服 務(wù)�����。該方法還包括響應(yīng)于該分析��,確定該組安全策略是否允許該分組 數(shù)據(jù)被發(fā)射���。響應(yīng)于允許分組數(shù)據(jù)被發(fā)射的該安全策略����,允許該分組 數(shù)據(jù)被發(fā)射到無(wú)線網(wǎng)絡(luò)上。響應(yīng)于不允許該分組數(shù)據(jù)被發(fā)射的該組安 全策略���,阻止該分組數(shù)據(jù)被發(fā)射到無(wú)線網(wǎng)絡(luò)上��。在另一個(gè)實(shí)施例中����,公開了一種用于管理分組數(shù)據(jù)傳輸?shù)臒o(wú) 線通信設(shè)備��。該無(wú)線通信設(shè)備包括存儲(chǔ)器和處理器����,該處理器被通信 地耦合到該存儲(chǔ)器�。該無(wú)線通信設(shè)備還包括安全模塊,該安全模塊被 通信地耦合到該存儲(chǔ)器和該處理器���。該安全模塊適合于從服務(wù)提供商 接收一組安全策略����。從應(yīng)用接收用以始發(fā)分組數(shù)據(jù)的請(qǐng)求。響應(yīng)于接 收用以始發(fā)分組數(shù)據(jù)的請(qǐng)求����,分析由服務(wù)提供商所提供的該組安全策 略。響應(yīng)于該分析�,安全模塊還確定該組安全策略是否允許該分組數(shù) 據(jù)被發(fā)射。響應(yīng)于允許該分組數(shù)據(jù)被發(fā)射的該組安全策略���,允許該分 組數(shù)據(jù)被發(fā)射到無(wú)線網(wǎng)絡(luò)上�����。響應(yīng)于不允許該分組數(shù)據(jù)被發(fā)射的該組 安全策略����,阻止該分組數(shù)據(jù)被發(fā)射到無(wú)線網(wǎng)絡(luò)上�。
在又一個(gè)實(shí)施例中,公開了一種用于管理分組數(shù)據(jù)傳輸?shù)臒o(wú) 線通信系統(tǒng)���。該無(wú)線通信系統(tǒng)包括多個(gè)基站和多個(gè)無(wú)線通信設(shè)備�����。每 個(gè)無(wú)線通信設(shè)備都被通信地耦合到至少一個(gè)基站�����。至少一個(gè)無(wú)線通信 設(shè)備包括安全模塊���,該安全模塊適合于從服務(wù)提供商接收一組安全策 略���。從應(yīng)用接收用以始發(fā)分組數(shù)據(jù)的請(qǐng)求。響應(yīng)于接收用以始發(fā)分組 數(shù)據(jù)的請(qǐng)求�,分析由該服務(wù)提供商所提供的該組安全策略。響應(yīng)于該 分析�,安全模塊還確定該組安全策略是否允許該分組數(shù)據(jù)被發(fā)射。響 應(yīng)于允許該分組數(shù)據(jù)被發(fā)射的該組安全策略�����,允許該分組數(shù)據(jù)被發(fā)射 到無(wú)線網(wǎng)絡(luò)上����。響應(yīng)于不允許該分組數(shù)據(jù)被發(fā)射的該組安全策略����,阻 止該分組數(shù)據(jù)被發(fā)射到無(wú)線網(wǎng)絡(luò)上。本發(fā)明的優(yōu)點(diǎn)之一是可以經(jīng)由服務(wù)提供商來(lái)阻止在移動(dòng)設(shè)
備處始發(fā)的惡意行為���。該常駐安全功能可以駐留在移動(dòng)設(shè)備和網(wǎng)絡(luò)組 件二者中�����。本發(fā)明的另一個(gè)優(yōu)點(diǎn)是移動(dòng)設(shè)備用戶無(wú)需維護(hù)安全策略���,
而是由網(wǎng)絡(luò)運(yùn)營(yíng)商來(lái)維護(hù)該安全策略����。這允許網(wǎng)絡(luò)運(yùn)營(yíng)商遠(yuǎn)程地控制 在移動(dòng)設(shè)備上運(yùn)行的應(yīng)用�����。因此�����,本發(fā)明是授權(quán)網(wǎng)絡(luò)運(yùn)營(yíng)商維護(hù)對(duì)IP 網(wǎng)絡(luò)業(yè)務(wù)的控制�����,并且將攻擊性移動(dòng)設(shè)備與他們的網(wǎng)絡(luò)分隔開���。
在附圖中���,在各個(gè)獨(dú)立視圖中相同的附圖標(biāo)記表示相同的或 功能上相似的元件����,并且附圖和以下的詳細(xì)描述一起被并入說(shuō)明書中 并且形成說(shuō)明書的一部分�,用于進(jìn)一步說(shuō)明各種實(shí)施例以及用于解釋 根據(jù)本發(fā)明的所有的各種原理和優(yōu)點(diǎn)。圖1是圖示根據(jù)本發(fā)明實(shí)施例的無(wú)線通信系統(tǒng)的框圖��;圖2是圖示根據(jù)本發(fā)明實(shí)施例的無(wú)線通信設(shè)備的框圖�����;
圖3是圖示根據(jù)本發(fā)明實(shí)施例的信息處理系統(tǒng)的框圖����;
圖4是圖示根據(jù)本發(fā)明實(shí)施例的初始化用于安全功能的無(wú)線
設(shè)備的過(guò)程的操作流程圖�����;圖5是圖示根據(jù)本發(fā)明實(shí)施例的經(jīng)由無(wú)線設(shè)備處的安全模塊來(lái)管理無(wú)線設(shè)備安全事件的過(guò)程的操作流程圖���;圖6是圖示繼續(xù)圖5的過(guò)程的操作流程圖�;圖7是圖示根據(jù)本發(fā)明實(shí)施例的經(jīng)由無(wú)線設(shè)備處的安全模塊 來(lái)篩選應(yīng)用事件的過(guò)程的操作流程圖;圖8是圖示根據(jù)本發(fā)明實(shí)施例的經(jīng)由無(wú)線設(shè)備處的安全模塊 120來(lái)篩選在無(wú)線設(shè)備處始發(fā)的分組的過(guò)程的操作流程圖����;圖9是圖示根據(jù)本發(fā)明實(shí)施例的初始化駐留在信息處理系統(tǒng)
處的安全模塊的過(guò)程的操作流程圖;圖10是圖示根據(jù)本發(fā)明實(shí)施例的經(jīng)由駐留在信息處理系統(tǒng)
處的安全模塊來(lái)管理安全事件的過(guò)程的操作流程圖�;圖11是繼續(xù)圖10的過(guò)程的操作流程圖;以及
圖12是圖示根據(jù)本發(fā)明實(shí)施例的經(jīng)由駐留在信息處理系統(tǒng)
處的安全模塊來(lái)隔離無(wú)線設(shè)備的過(guò)程的操作流程圖����。
具體實(shí)施例方式按要求,此處公開了本發(fā)明的詳細(xì)實(shí)施例�;然而,應(yīng)當(dāng)理解��, 所公開的實(shí)施例僅僅是本發(fā)明的示例����,其可以以各種形式來(lái)實(shí)施��。因 此,此處公開的特定結(jié)構(gòu)和功能性細(xì)節(jié)不應(yīng)被解釋為限制性的�����,而僅 僅作為權(quán)利要求的基礎(chǔ)����,并且作為用于教導(dǎo)本領(lǐng)域的技術(shù)人員以實(shí)際 上任何適當(dāng)?shù)脑敿?xì)結(jié)構(gòu)來(lái)變化地使用本發(fā)明的代表性基礎(chǔ)����。此外�,此 處所使用的術(shù)語(yǔ)和短語(yǔ)不旨在是限制性的��;而是旨在提供本發(fā)明的可 理解的描述���。將此處所使用的術(shù)語(yǔ)"一"定義為一個(gè)或多于一個(gè)。將此處 所使用的術(shù)語(yǔ)"多個(gè)"定義為兩個(gè)或多于兩個(gè)��。將此處所使用的術(shù)語(yǔ)
"另一個(gè)"定義為至少第二個(gè)或更多�����。將此處所使用的術(shù)語(yǔ)"包括" 和/或"具有"定義為包括(即�,開放式語(yǔ)言)�。將此處所使用的術(shù)語(yǔ)
"耦合"定義為連接,盡管不必是直接地并且不必是機(jī)械地連接����。術(shù)語(yǔ)"無(wú)線通信設(shè)備"旨在廣泛地涵蓋很多不同類型的設(shè)備��,該設(shè)備能夠無(wú)線地接收信號(hào)�,并且可以選擇性地?zé)o線地發(fā)射信號(hào),并 且還可以在無(wú)線通信系統(tǒng)中操作�����。例如��,并且不用于任何限制��,無(wú)線 通信設(shè)備可以包括下列的任何一個(gè)或組合蜂窩電話、移動(dòng)電話���、智 能電話�、雙向無(wú)線電設(shè)備��、雙向?qū)ず魴C(jī)���、無(wú)線消息收發(fā)設(shè)備�����、膝上型/ 計(jì)算機(jī)�、自主網(wǎng)關(guān)�����、本地網(wǎng)關(guān)等����。無(wú)線通信系統(tǒng)根據(jù)本發(fā)明的實(shí)施例,如在圖1中所示�,圖示了示例性無(wú)線 通信系統(tǒng)IOO。圖1示出了無(wú)線通信網(wǎng)絡(luò)102�����,該無(wú)線通信網(wǎng)絡(luò)102經(jīng) 由網(wǎng)關(guān)108將一個(gè)或多個(gè)無(wú)線設(shè)備104與諸如中央服務(wù)器106的信息 處理系統(tǒng)相連接��。無(wú)線網(wǎng)絡(luò)102包括移動(dòng)電話網(wǎng)絡(luò)�����、移動(dòng)文本消息收 發(fā)設(shè)備網(wǎng)絡(luò)���、尋呼機(jī)網(wǎng)絡(luò)等�。此外,圖1的無(wú)線網(wǎng)絡(luò)102的通信標(biāo)準(zhǔn) 包括碼分多址(CDMA)��、時(shí)分多址(TDMA)���、全球移動(dòng)通信系統(tǒng)
(GSM)�、通用分組無(wú)線電服務(wù)(GPRS)、頻分多址(FDMA)�、無(wú) 線LAN (WLAN) 、 WiMAX等�。此外,無(wú)線通信網(wǎng)絡(luò)102還支持文 本消息收發(fā)標(biāo)準(zhǔn)���,例如�����,短消息服務(wù)(SMS)���、增強(qiáng)型消息收發(fā)服務(wù)
(EMS)、多媒體消息收發(fā)服務(wù)(MMS)等。無(wú)線通信網(wǎng)絡(luò)102還允 許無(wú)線設(shè)備104����、 106、 108之間的PoC通信���。無(wú)線網(wǎng)絡(luò)102支持任何數(shù)目的無(wú)線設(shè)備104���。無(wú)線通信設(shè)備 104可以是多模式設(shè)備或單模式設(shè)備。無(wú)線網(wǎng)絡(luò)102的支持包括對(duì)于移 動(dòng)電話�、智能電話、文本消息收發(fā)設(shè)備���、手持計(jì)算機(jī)�、尋呼機(jī)���、傳呼 機(jī)等的支持����。智能電話是以下的組合1)隨身型PC����、手持PC、掌上 PC或個(gè)人數(shù)字助理(PDA),以及(2)移動(dòng)電話��。更一般地��,智能電 話可以是具有支持附加通信服務(wù)的附加應(yīng)用處理能力的移動(dòng)電話���。此外���,無(wú)線設(shè)備104還可以包括本地?zé)o線鏈路(未示出), 該本地?zé)o線鏈路允許無(wú)線設(shè)備104直接地彼此通信�����,而不使用無(wú)線網(wǎng) 絡(luò)102�����。例如��,本地?zé)o線鏈路(未示出)可以被用于PTT通信���。在另 一個(gè)實(shí)施例中,通過(guò)藍(lán)牙��、紅外數(shù)據(jù)接入(IrDA)技術(shù)等來(lái)提供本地?zé)o線鏈路(未示出)。信息處理系統(tǒng)106維護(hù)并且處理用于在無(wú)線網(wǎng) 絡(luò)102上進(jìn)行通信的所有無(wú)線設(shè)備的信息��。無(wú)線通信系統(tǒng)100還包括被通信地耦合到基站控制器112 的一個(gè)或多個(gè)基站IIO�����。在該示例中����,無(wú)線通信設(shè)備IIO經(jīng)由基站110 被通信地耦合到無(wú)線通信網(wǎng)絡(luò)102。此外�����,在該示例中���,信息處理系統(tǒng) 106將無(wú)線設(shè)備104通信地耦合到廣域網(wǎng)絡(luò)114�����、局域網(wǎng)116和公共交 換電話網(wǎng)118��,通過(guò)114�����、 116和118�,信息處理系統(tǒng)106能夠?qū)⒗?多媒文本消息的數(shù)據(jù)發(fā)送到無(wú)線設(shè)備104。在一個(gè)實(shí)施例中���,無(wú)線設(shè)備104和信息處理系統(tǒng)106的每一 個(gè)都包括安全模塊120����、 122��。駐留在無(wú)線設(shè)備104處的安全模塊120 可以被稱為"移動(dòng)常駐安全模塊120"�����。駐留在信息處理系統(tǒng)106處的 安全模塊122可以被稱為"網(wǎng)絡(luò)常駐安全模塊122"����。應(yīng)該注意,雖然安全模塊122被示出駐留在信息處理系統(tǒng) 106內(nèi)���,但是該安全模塊122可以駐留在被通信地耦合到無(wú)線通信網(wǎng)絡(luò) 102的任何網(wǎng)絡(luò)組件或信息處理系統(tǒng)內(nèi)�����。在一個(gè)實(shí)施例中����,安全模塊 120�����、 122是IP分組防火墻�����,該IP分組防火墻可以在諸如計(jì)算機(jī)���、第 四代移動(dòng)電話等的IP網(wǎng)絡(luò)端點(diǎn)上實(shí)現(xiàn)����。然而�����,安全模塊120���、 122不限 于IP分組防火墻或第四代移動(dòng)電話����。這些示例僅被用于說(shuō)明性的目的。此外�����,在一個(gè)實(shí)施例中��,設(shè)計(jì)移動(dòng)常駐安全模塊120使得不 能由用戶接入���。網(wǎng)絡(luò)常駐安全模塊122將一個(gè)或多個(gè)安全策略124實(shí) 現(xiàn)在無(wú)線設(shè)備104中�����。移動(dòng)常駐模塊120基于常駐安全策略126 (該常 駐安全策略126已經(jīng)由網(wǎng)絡(luò)常駐安全模塊122來(lái)實(shí)現(xiàn))來(lái)篩選外出業(yè) 務(wù)�,并且允許或拒絕建立數(shù)據(jù)會(huì)話�。在一個(gè)示例中,無(wú)線設(shè)備104從其服務(wù)提供商獲得一個(gè)或多 個(gè)安全策略�����。在一個(gè)實(shí)施例中���,首先由無(wú)線通信網(wǎng)絡(luò)102來(lái)認(rèn)證無(wú)線設(shè)備104�����。如果該無(wú)線設(shè)備被認(rèn)證����,例如�,被允許由服務(wù)提供商來(lái)服務(wù),
則登記無(wú)線設(shè)備104的位置�����,并且允許設(shè)備104從網(wǎng)絡(luò)102接收進(jìn)入 會(huì)話����。在被認(rèn)證之后,移動(dòng)常駐安全模塊120與信息處理系統(tǒng)106通 信�����,以從服務(wù)提供商獲得一個(gè)或多個(gè)安全策略126���。在一個(gè)實(shí)施例中�, 在無(wú)線設(shè)備104上實(shí)現(xiàn)的安全策略126基于用戶訂閱信息和網(wǎng)絡(luò)運(yùn)營(yíng) 商安全策略����。 一旦安全策略126已經(jīng)在無(wú)線設(shè)備104上被實(shí)現(xiàn)��,移動(dòng) 常駐安全模塊120就準(zhǔn)備從其本身向無(wú)線通信網(wǎng)絡(luò)102的網(wǎng)際協(xié)議 ("IP")網(wǎng)絡(luò)過(guò)濾外出數(shù)據(jù)����。當(dāng)在無(wú)線設(shè)備104上的應(yīng)用128嘗試外出數(shù)據(jù)會(huì)話時(shí)���,移動(dòng) 常駐安全模塊120基于在設(shè)備104上實(shí)現(xiàn)的安全策略126的一個(gè)或多 個(gè)來(lái)篩選該會(huì)話嘗試��。如果移動(dòng)常駐安全模塊120確定被請(qǐng)求的數(shù)據(jù) 會(huì)話在安全策略126的參數(shù)內(nèi)���,則移動(dòng)常駐安全模塊120允許通過(guò)移 動(dòng)接入終端的IP棧(未示出)、無(wú)線電邏輯����、資源等對(duì)網(wǎng)絡(luò)102建立 數(shù)據(jù)會(huì)話。然而�,如果移動(dòng)常駐安全模塊120確定被請(qǐng)求的數(shù)據(jù)會(huì)話不 滿足該安全策略126,則移動(dòng)常駐安全模塊120阻止通過(guò)IP棧(未示 出)來(lái)建立數(shù)據(jù)會(huì)話�,并且提醒設(shè)備104的用戶和網(wǎng)絡(luò)運(yùn)營(yíng)商注意該 狀況。網(wǎng)絡(luò)常駐安全模塊122登入被拒絕的接入嘗試�����。在一個(gè)實(shí)施例 中,網(wǎng)絡(luò)運(yùn)營(yíng)商還可以改變?cè)跓o(wú)線設(shè)備104上實(shí)現(xiàn)的安全策略126��。例 如��,網(wǎng)絡(luò)運(yùn)營(yíng)商改變被通信地耦合到網(wǎng)絡(luò)常駐安全模塊122的安全策 略����。對(duì)于在改變時(shí)已經(jīng)被認(rèn)證到網(wǎng)絡(luò)102的無(wú)線設(shè)備104的一個(gè)或多 個(gè)而言�,在信息處理系統(tǒng)106處的移動(dòng)常駐安全模塊122更新所有認(rèn) 證的和登記的無(wú)線設(shè)備104。換言之�,網(wǎng)絡(luò)常駐安全模塊122檢測(cè)在網(wǎng) 絡(luò)側(cè)上的新的或修改的安全策略124,并且更新在無(wú)線設(shè)備104處的安 全策略126�。對(duì)于沒有向網(wǎng)絡(luò)102登記的無(wú)線設(shè)備而言,排隊(duì)安全策略 改變�,用于一旦無(wú)線設(shè)備被登記,就將該安全策略分發(fā)到該無(wú)線設(shè)備�。在另一個(gè)實(shí)施例中,無(wú)線設(shè)備104的移動(dòng)常駐安全模塊120還可以由網(wǎng)絡(luò)運(yùn)營(yíng)商來(lái)更新�����。例如����,網(wǎng)絡(luò)運(yùn)營(yíng)商經(jīng)由網(wǎng)絡(luò)常駐安全模 塊122或者經(jīng)由另一個(gè)機(jī)制來(lái)將更新補(bǔ)丁發(fā)射到移動(dòng)常駐安全模塊
120。信息處理系統(tǒng)106的網(wǎng)絡(luò)常駐安全模塊122基于調(diào)度參數(shù)和無(wú)線 設(shè)備104的可用性來(lái)更新在改變時(shí)向網(wǎng)絡(luò)102登記的無(wú)線設(shè)備104。如所能看到的�����,本發(fā)明提供了一種有利的系統(tǒng)����,該系統(tǒng)允許 服務(wù)提供商阻止無(wú)線設(shè)備處的惡意行為在網(wǎng)絡(luò)上被執(zhí)行。本發(fā)明的另 一個(gè)優(yōu)點(diǎn)是�,移動(dòng)設(shè)備用戶無(wú)需維護(hù)安全策略,而是由網(wǎng)絡(luò)運(yùn)營(yíng)商來(lái) 維護(hù)該安全策略�。這允許網(wǎng)絡(luò)運(yùn)營(yíng)商遠(yuǎn)程地控制在移動(dòng)設(shè)備上運(yùn)行的 應(yīng)用。因此����,本發(fā)明是授權(quán)移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商維護(hù)對(duì)IP網(wǎng)絡(luò)業(yè)務(wù)的控制, 并且將攻擊性移動(dòng)設(shè)備與他們的網(wǎng)絡(luò)分隔開����。
roo4oi無(wú)線通信設(shè)備圖2是圖示無(wú)線設(shè)備104的更詳細(xì)視圖的框圖。無(wú)線設(shè)備 104在設(shè)備控制器/處理器202的控制下進(jìn)行操作��,該設(shè)備控制器/處理 器202控制無(wú)線通信信號(hào)的發(fā)送和接收����。在接收模式中����,設(shè)備控制器 202通過(guò)發(fā)射/接收開關(guān)206來(lái)將天線204電耦合到收發(fā)機(jī)208���。收發(fā)機(jī) 208解碼接收到的信號(hào)�,并且將那些解碼的信號(hào)提供給設(shè)備控制器202�。在發(fā)射模式中,設(shè)備控制器202通過(guò)發(fā)射/接收開關(guān)206來(lái) 將天線204電耦合到收發(fā)機(jī)208���。設(shè)備控制器202根據(jù)存儲(chǔ)在存儲(chǔ)器 212中的指令(未示出)來(lái)操作收發(fā)機(jī)。這些指令包括����,例如,相鄰小 區(qū)測(cè)量調(diào)度算法����。存儲(chǔ)器212還包括安全模塊120和安全策略126。在 一個(gè)實(shí)施例中���,應(yīng)用128也被存儲(chǔ)在存儲(chǔ)器中�����。無(wú)線設(shè)備104還包括 非易失性貯存存儲(chǔ)器216����。應(yīng)該注意,安全模塊120��、安全策略126和 應(yīng)用128的一個(gè)或多個(gè)也可以被包含在貯存存儲(chǔ)器216中�����。在該示例中����,無(wú)線設(shè)備104還包括可選的本地?zé)o線鏈路218, 該本地?zé)o線鏈路218允許無(wú)線設(shè)備104直接與另一個(gè)無(wú)線設(shè)備進(jìn)行通 信�,而不使用無(wú)線網(wǎng)絡(luò)(未示出)。例如���,由藍(lán)牙��、紅外數(shù)據(jù)接入(IrDA)技術(shù)等來(lái)提供該可選本地?zé)o線鏈路218�����?����?蛇x本地?zé)o線鏈路218還包括 本地?zé)o線鏈路發(fā)射/接收模塊220�����,該本地?zé)o線鏈路發(fā)射/接收模塊220 允許無(wú)線設(shè)備104直接與諸如被通信地耦合到個(gè)人計(jì)算機(jī)����、工作站等 的無(wú)線通信設(shè)備的另一個(gè)無(wú)線通信設(shè)備進(jìn)行通信。圖2的無(wú)線設(shè)備104進(jìn)一步包括音頻輸出控制器222����,該音 頻輸出控制器222接收來(lái)自接收機(jī)208或者本地?zé)o線鏈路發(fā)射/接收模 塊220的解碼的音頻輸出信號(hào)。音頻控制器222將接收到的解碼的音 頻信號(hào)發(fā)送到執(zhí)行各種調(diào)節(jié)功能的音頻輸出調(diào)節(jié)電路224�����。例如�����,音頻 輸出調(diào)節(jié)電路224可以減少噪音或放大信號(hào)��。揚(yáng)聲器226接收調(diào)節(jié)后 的音頻信號(hào)����,并且允許用戶聽到音頻輸出。音頻輸出控制器222����、音頻 輸出調(diào)節(jié)電路224和揚(yáng)聲器226還允許生成可聽的警報(bào)來(lái)向用戶提示 未接呼叫、接收到的消息等��。無(wú)線設(shè)備104進(jìn)一步包括附加的用戶輸 出接口 228���,例如��,耳機(jī)插孔(未示出)或免提揚(yáng)聲器(未示出)�����。無(wú)線設(shè)備104還包括麥克風(fēng)230����,用于允許用戶將音頻信號(hào) 輸入到無(wú)線設(shè)備104內(nèi)����。聲波由麥克風(fēng)230來(lái)接收并且被轉(zhuǎn)換成電音 頻信號(hào)。音頻輸入調(diào)節(jié)電路232接收音頻信號(hào)���,并且對(duì)該音頻信號(hào)執(zhí) 行各種調(diào)節(jié)功能���,例如��,降噪���。音頻輸入控制器234接收調(diào)節(jié)的音頻 信號(hào),并且將音頻信號(hào)的表示發(fā)送到設(shè)備控制器202�����。無(wú)線設(shè)備104還包括鍵盤236�����,用于允許用戶將信息輸入到 無(wú)線設(shè)備104內(nèi)���。無(wú)線設(shè)備104進(jìn)一步包括照相機(jī)238,用于允許用戶 將靜止圖像或視頻圖像捕捉到存儲(chǔ)器214中���。此外��,無(wú)線設(shè)備104包 括附加的用戶輸入接口 240�����,例如�,觸摸屏技術(shù)(未示出)、操縱桿(未 示出)或者滾輪(未示出)���。在一個(gè)實(shí)施例中����,還包口外圍接口 (未 示出)���,用于允許將數(shù)據(jù)線連接到無(wú)線設(shè)備104�����。在本發(fā)明的一個(gè)實(shí)施 例中�,數(shù)據(jù)線的連接允許無(wú)線設(shè)備104被連接到計(jì)算機(jī)或打印機(jī)��。在無(wú)線設(shè)備104上還包括視覺通知(或指示)接口 242���,用于向無(wú)線設(shè)備104的用戶呈現(xiàn)視覺通知(或視覺指示)���,例如顯示器
246上的彩燈序列或發(fā)光的一個(gè)或多個(gè)LED (未示出)�����。例如���,接收到 的多媒體消息可以包括作為消息的一部分的要向用戶顯示的彩燈序 列。替代地�,當(dāng)無(wú)線設(shè)備104接收到消息或者用戶錯(cuò)過(guò)了呼叫時(shí),通 過(guò)在顯示器246上顯示彩燈序列或者單個(gè)閃光燈或LED (未示出)��, 可以將視覺通知接口 242用作警報(bào)��。無(wú)線設(shè)備104還包括觸覺接口 244�,用于傳遞振動(dòng)媒體組件、 觸覺警報(bào)等�。例如,由無(wú)線設(shè)備104接收的多媒體消息可以包括視頻 媒體組件�����,該視頻媒體組件在多媒體消息的重放期間提供振動(dòng)��。在一 個(gè)實(shí)施例中�,在無(wú)線設(shè)備104的靜音模式期間使用觸覺接口 244來(lái)向 用戶提醒進(jìn)入的呼叫或消息��、未接呼叫等。例如�����,觸覺接口 244允許 這種振動(dòng)通過(guò)振動(dòng)電機(jī)(vibrating motor)等發(fā)生���。無(wú)線設(shè)備104還包括用于向無(wú)線設(shè)備104的用戶顯示信息的 顯示器246和可選全球定位系統(tǒng)(GPS)模塊248�?�?蛇xGPS模塊248 確定無(wú)線設(shè)備104的位置和/或速度信息�����。該模塊248使用GPS衛(wèi)星系 統(tǒng)來(lái)確定無(wú)線設(shè)備104的位置和/或速度�。作為對(duì)GPS模塊248的替代, 無(wú)線設(shè)備104可以包括用于確定無(wú)線設(shè)備104的位置和/或速度的替代 模塊���,例如�,使用小區(qū)塔三角測(cè)量(cell tower triangulation )和輔助GPS ��。圖3是圖示根據(jù)本發(fā)明實(shí)施例的信息處理系統(tǒng)106的詳細(xì)視 圖的框圖���。在一個(gè)實(shí)施例中���,信息處理系統(tǒng)106基于被適當(dāng)配置的處 理系統(tǒng)��,該處理系統(tǒng)適合于實(shí)現(xiàn)本發(fā)明的示例性實(shí)施例��。任何被適當(dāng) 配置的處理系統(tǒng)都類似地能夠由本發(fā)明的實(shí)施例用作信息處理系統(tǒng) 106�,例如�����,個(gè)人計(jì)算機(jī)�、工作站等。信息處理系統(tǒng)106包括計(jì)算機(jī)302�。計(jì)算機(jī)302具有被通信 地連接到主存儲(chǔ)器306 (例如,易失性存儲(chǔ)器)的����、非易失性存儲(chǔ)裝置
16接口 308、終端接口 310和網(wǎng)絡(luò)適配器硬件312的處理器304�。系統(tǒng)總 線314將這些系統(tǒng)組件互相連接起來(lái)。使用非易失性存儲(chǔ)裝置接口 308 來(lái)將諸如數(shù)據(jù)存儲(chǔ)設(shè)備316的大容量存儲(chǔ)設(shè)備連接到信息處理系統(tǒng) 106�。 一種特定類型的數(shù)據(jù)存儲(chǔ)設(shè)備是諸如CD驅(qū)動(dòng)器的計(jì)算機(jī)可讀介 質(zhì),其可以被用來(lái)將數(shù)據(jù)存儲(chǔ)到CD或DVD 318或軟盤(未示出)或 從CD或DVD 318或軟盤(未示出)讀取數(shù)據(jù)�����。另一個(gè)類型的數(shù)據(jù)存 儲(chǔ)設(shè)備是被配置成支持例如NTFS類型文件系統(tǒng)操作的數(shù)據(jù)存儲(chǔ)設(shè)備。在一個(gè)實(shí)施例中��,主存儲(chǔ)器306包括上文所討論的安全模塊 122和安全策略124���。雖然被示作駐留在存儲(chǔ)器306中,但是安全模塊 122可以在信息處理系統(tǒng)106內(nèi)的硬件中被實(shí)現(xiàn)�。在一個(gè)實(shí)施例中,信 息處理系統(tǒng)106利用常規(guī)虛擬尋址機(jī)制來(lái)允許程序表現(xiàn)得像它們具有 對(duì)此被處稱為計(jì)算機(jī)系統(tǒng)存儲(chǔ)器的大的��、單個(gè)的存儲(chǔ)實(shí)體的接入一樣��, 而不是對(duì)諸如主存儲(chǔ)器306和數(shù)據(jù)存儲(chǔ)設(shè)備216的多個(gè)�����、較小的存儲(chǔ) 實(shí)體的接入���。注意�����,此處所使用術(shù)語(yǔ)"計(jì)算機(jī)系統(tǒng)存儲(chǔ)器" 一般地指 信息處理系統(tǒng)106的全部虛擬存儲(chǔ)器���。雖然對(duì)于計(jì)算機(jī)302僅圖示了一個(gè)CPU 304����,但是具有多個(gè) CPU的計(jì)算機(jī)系統(tǒng)可以被同樣有效地使用���。本發(fā)明的實(shí)施例進(jìn)一步并 入這樣的接口每一個(gè)該接口都包括獨(dú)立的��、完全編程的微處理器�, 該微處理器被用于從CPU 304卸載處理����。終端接口 210被用于將一個(gè) 或多個(gè)終端220直接連接到計(jì)算機(jī)302,來(lái)向計(jì)算機(jī)302提供用戶接口����。 能夠是非智能或完全可編程工作站的這些終端220被用于允許系統(tǒng)管 理員和用戶與瘦客戶端(thin client)進(jìn)行通信。終端220還能夠由用 戶接口和外圍設(shè)備組成�,該外圍設(shè)備被連接到計(jì)算機(jī)302并且由在終 端I/F 210中所包括的終端接口硬件來(lái)控制,該終端I/F 210包括視頻適 配器和用于鍵盤�、指示設(shè)備等的接口。根據(jù)實(shí)施例的操作系統(tǒng)222可以被包括在主存儲(chǔ)器306中��, 并且是適當(dāng)?shù)亩嗳蝿?wù)操作系統(tǒng)���,諸如Linux�����、 UNIX�����、 Windows XP和Windows Server 2001操作系統(tǒng)���。本發(fā)明的實(shí)施例能夠使用任何其它適 當(dāng)?shù)牟僮飨到y(tǒng)、或內(nèi)核���、或其它適當(dāng)?shù)目刂栖浖?。本發(fā)明的一些實(shí)施 例利用諸如面向?qū)ο蟮目蚣軝C(jī)制的架構(gòu)���,其允許操作系統(tǒng)的組件(未 示出)的指令在位于客戶端內(nèi)的任何處理器上被執(zhí)行�����。網(wǎng)絡(luò)適配器硬 件212被用于提供到網(wǎng)絡(luò)102的接口���。本發(fā)明的實(shí)施例能夠適用于利 用任何數(shù)據(jù)通信連接進(jìn)行工作�,包括當(dāng)前的模擬和/或數(shù)字技術(shù)或經(jīng)由 未來(lái)的聯(lián)網(wǎng)機(jī)制��。
雖然在全功能計(jì)算機(jī)系統(tǒng)的上下文中描述了本發(fā)明的示例 性實(shí)施例����,但是本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)意識(shí)到,所述實(shí)施例能夠作為 程序產(chǎn)品經(jīng)由軟盤�,例如軟盤218、CD ROM或其它形式的可記錄介質(zhì)��, 或者經(jīng)由任何類型的電傳輸機(jī)制來(lái)被分發(fā)���。
初始化用于無(wú)線設(shè)備安全功能的無(wú)線設(shè)備的過(guò)程
圖4是圖示初始化用于以上所討論的無(wú)線設(shè)備安全功能的 無(wú)線設(shè)備的過(guò)程的操作流程圖�����。具體地���,圖4示出了移動(dòng)駐留功能通 過(guò)向其對(duì)等網(wǎng)絡(luò)常駐功能通知其啟動(dòng)狀態(tài)來(lái)開始其初始化程序。圖4的操作流程圖開始于步驟402����,并且直接流到步驟404。在步驟404�, 無(wú)線設(shè)備104處的移動(dòng)常駐安全模塊120向網(wǎng)絡(luò)102通知初始化��。將 當(dāng)前的安全策略指紋(如果有)和安全軟件修改級(jí)別發(fā)射到信息處理 系統(tǒng)106的安全模塊122����。在步驟406���,安全模塊120確定是否已經(jīng)從 信息處理系統(tǒng)106處的安全模塊122接收到了更新�����。
如果該確定結(jié)果是否定的,則該控制流到圖5的入口點(diǎn)A (事件處理循環(huán))��。如果該確定的結(jié)果是肯定的���,則在步驟408�,安全 模塊120確定接收到的更新是否是對(duì)存儲(chǔ)的安全策略126的更新���。如 果該確定的結(jié)果是肯定的�����,則在步驟410��,移動(dòng)常駐安全模塊120將策 略更新存儲(chǔ)到本地?cái)?shù)據(jù)貯存器��,例如存儲(chǔ)器212��、 216����。然后,該控制 流到步驟412���。如果該確定的結(jié)果是否定的����,則在步驟412����,移動(dòng)常駐 安全模塊120確定該更新是否針對(duì)安全模塊120本身。如果該確定結(jié)果是肯定的�,則在步驟414,移動(dòng)常駐安全模塊120發(fā)起關(guān)閉并且自動(dòng) 重新啟動(dòng)更新的軟件模塊�。該控制流返回到步驟402。如果該確定結(jié)果 是否定的����,則該控制流到圖5的口入點(diǎn)A�。
經(jīng)由安全模塊來(lái)管理無(wú)線設(shè)備事件的過(guò)程
圖5和圖6是圖示經(jīng)由在無(wú)線設(shè)備104處的移動(dòng)常駐安全模 塊120來(lái)管理無(wú)線設(shè)備安全事件的過(guò)程的操作流程圖��。圖5的控制流 在入口點(diǎn)A處進(jìn)入��,并且直接流到步驟502�。在步驟502,無(wú)線設(shè)備 104處的移動(dòng)常駐安全模塊120從網(wǎng)絡(luò)102接收用以改變安全策略126 的請(qǐng)求���。例如�,在無(wú)線設(shè)備處的移動(dòng)常駐安全模塊120可以從在信息 處理系統(tǒng)106處的網(wǎng)絡(luò)常駐安全模塊122接收用以改變安全策略126 的請(qǐng)求��。在步驟504�����,移動(dòng)常駐安全模塊120將應(yīng)用安全策略提交給諸 如存儲(chǔ)器212��、 216的內(nèi)部數(shù)據(jù)貯存器����。在步驟506��,移動(dòng)常駐安全模 塊120將外出分組安全策略提交到諸如存儲(chǔ)器212、 216的內(nèi)部數(shù)據(jù)貯 存器����。然后,該控制流在步驟508退出�����。
在另一個(gè)實(shí)施例中��,在步驟510��,移動(dòng)常駐安全模塊120確 定用戶應(yīng)用正在嘗試向網(wǎng)絡(luò)102發(fā)送IP分組�����。該控制流到圖7的入口 點(diǎn)B (應(yīng)用篩選邏輯)�。在又一個(gè)實(shí)施例中,在步驟512���,移動(dòng)常駐安 全模塊120確定正在發(fā)起的關(guān)閉或終止�����。在步驟514���,停止由移動(dòng)常駐 安全模塊120執(zhí)行的監(jiān)視����,并且該控制流在步驟514退出�。
在步驟602,移動(dòng)常駐安全模塊120確定用戶正在嘗試將應(yīng) 用添加到無(wú)線設(shè)備104���。在步驟604���,移動(dòng)常駐安全模塊120向信息處 理系統(tǒng)處的網(wǎng)絡(luò)常駐安全模塊122通知應(yīng)用添加嘗試。在步驟606���,移 動(dòng)常駐安全模塊120確定信息處理系統(tǒng)處的網(wǎng)絡(luò)常駐安全模塊122是 否已經(jīng)允許該應(yīng)用添加���。如果該確定的結(jié)果是否定的,則在步驟608���, 移動(dòng)常駐安全模塊120向用戶通知無(wú)法添加該應(yīng)用,并且通知安全違 規(guī)已經(jīng)發(fā)生��。然后���,該控制流在步驟610退出���。
如果該確定的結(jié)果是肯定的�����,則在步驟612��,移動(dòng)常駐安全 模塊120用新的應(yīng)用指紋來(lái)更新注冊(cè)表�����。下面是應(yīng)用指紋的簡(jiǎn)短討論�。 當(dāng)終端用戶嘗試將應(yīng)用添加到無(wú)線設(shè)備時(shí)�,移動(dòng)常駐安全模塊120應(yīng) 用算法,該算法被設(shè)計(jì)成提供在可以被執(zhí)行的所有其它應(yīng)用中唯一地 識(shí)別該應(yīng)用的結(jié)果�����。該指紋值可以被存儲(chǔ)在無(wú)線設(shè)備104內(nèi)的存儲(chǔ)器 的安全區(qū)域(注冊(cè)表)中�����。該安全區(qū)域無(wú)法由其它應(yīng)用接入�����,以便于 保護(hù)其中所包括的數(shù)據(jù)的完整性。
當(dāng)終端用戶嘗試將應(yīng)用添加或安裝到無(wú)線手機(jī)上����,允許由終 端用戶來(lái)執(zhí)行該應(yīng)用時(shí),無(wú)線設(shè)備104提示移動(dòng)常駐安全模塊120���。安 全模塊120查找包括在指紋注冊(cè)表中的指紋��,并且與從網(wǎng)絡(luò)常駐安全 模塊122傳送到設(shè)備的安全策略作比較���。在一個(gè)實(shí)施例中,移動(dòng)常駐 安全模塊120向無(wú)線手機(jī)提供策略是否允許該應(yīng)用添加或安裝的指令�����。該決策點(diǎn)基于由移動(dòng)常駐安全模塊120所生成的指紋與安全策略的內(nèi) 容作比較的比較結(jié)果���。將該比較結(jié)果(肯定或否定結(jié)果)與存儲(chǔ)在關(guān) 于基于肯定或否定結(jié)果是否允許安裝的安全策略中的指令作比較���。基 于該確定��,移動(dòng)常駐安全模塊120提示無(wú)線設(shè)備104繼續(xù)進(jìn)行應(yīng)用添 加或安裝����,或者放棄。
在另一個(gè)實(shí)施例中�,網(wǎng)絡(luò)常駐安全模塊122使用包括針對(duì)無(wú) 線設(shè)備104的執(zhí)行來(lái)被篩選的應(yīng)用的許多指紋的注冊(cè)表。當(dāng)網(wǎng)絡(luò)常駐 安全模塊122排隊(duì)用于向移動(dòng)設(shè)備分發(fā)的安全策略更新時(shí)���,安全功能 從注冊(cè)表收集指紋(加上由運(yùn)營(yíng)商設(shè)置的存儲(chǔ)的指令��,該存儲(chǔ)的指令 用于基于指紋比較來(lái)允許或不允許應(yīng)用執(zhí)行)���;基于該邏輯來(lái)生成安 全策略;并且排隊(duì)用于傳輸?shù)纳傻奈募?br>
在步驟614�,移動(dòng)常駐安全模塊120通知用戶該應(yīng)用已經(jīng)被 添加。然后��,該控制流在步驟616退出����。在另一個(gè)實(shí)施例中,在步驟 618����,移動(dòng)常駐安全模塊120確定用戶正在嘗試從無(wú)線設(shè)備104移除應(yīng) 用。在步驟620��,移動(dòng)常駐安全模塊120從注冊(cè)表移除該應(yīng)用指紋����。然后,該控制流在步驟622退出��。
經(jīng)由無(wú)線設(shè)備安全模塊來(lái)篩選應(yīng)用事件的過(guò)程
圖7是圖示經(jīng)由在無(wú)線設(shè)備104處的移動(dòng)常駐安全模塊120 來(lái)篩選應(yīng)用事件的過(guò)程的操作流程圖�����。具體地���,圖7圖示了用于允許 或不允許在無(wú)線設(shè)備104上執(zhí)行應(yīng)用的邏輯�。圖7的控制流在入口點(diǎn)B 進(jìn)入��,并且直接流到步驟702�。在步驟702,響應(yīng)于確定應(yīng)用正在嘗試 向網(wǎng)絡(luò)102發(fā)送IP分組�,安全模塊120接入無(wú)線設(shè)備104處的一個(gè)或 多個(gè)安全策略126。在步驟704����,安全模塊120從注冊(cè)表檢索應(yīng)用指紋���。 在步驟706,移動(dòng)常駐安全模塊120基于安全策略126來(lái)確定是否阻斷 應(yīng)用發(fā)送IP分組����。如果該確定結(jié)果是否定的��,則該控制流到圖8的入 口點(diǎn)C��。如果該確定的結(jié)果是肯定的���,則在步驟708,安全模塊120阻 止分組在網(wǎng)絡(luò)102上始發(fā)�����,并且提示信息處理系統(tǒng)處的網(wǎng)絡(luò)常駐安全 模塊122�����。然后,該控制流在步驟710退出����。
經(jīng)由無(wú)線設(shè)備安全模塊來(lái)篩選分組的過(guò)程
圖8是圖示經(jīng)由無(wú)線設(shè)備104處的安全模塊120來(lái)篩選在該 無(wú)線設(shè)備104處始發(fā)的分組的過(guò)程的操作流程圖�����。具體地,圖8示出 了用于已經(jīng)經(jīng)由應(yīng)用安全策略來(lái)清理以將業(yè)務(wù)始發(fā)到無(wú)線接入網(wǎng)絡(luò)上 的應(yīng)用的篩選邏輯����。該邏輯通過(guò)使用包括在網(wǎng)際協(xié)議分組本身中的網(wǎng) 際協(xié)議目標(biāo)地址�����、傳輸類型���、遠(yuǎn)程應(yīng)用端口值等來(lái)限制應(yīng)用可以始發(fā) 的業(yè)務(wù)類型���。
圖8的控制流在入口點(diǎn)B處進(jìn)入,并且直接流到步驟802����。 在步驟802,移動(dòng)常駐安全模塊120接入用于外出分組的安全策略126�。 在步驟804,移動(dòng)常駐安全模塊120確定在接入的策略126中是否阻斷 目的地IP/子網(wǎng)��。如果該確定結(jié)果是肯定的���,則在步驟806�����,移動(dòng)常駐 安全模塊120確定該目的地是否被列入黑名單。如果該確定結(jié)果是肯 定的��,則在步驟814�,移動(dòng)常駐安全模塊120阻止分組始發(fā)到網(wǎng)絡(luò)102 上,并且提示信息處理系統(tǒng)106處的網(wǎng)絡(luò)常駐安全模塊122�����。如果該確定的結(jié)果的是否定的�,則該控制流到步驟808。如果在步驟804處的確定是否定的����,則在步驟808,移動(dòng)常 駐安全模塊120確定該傳輸是否是UPD。如果該確定的結(jié)果是肯定的�, 則在步驟810,移動(dòng)常駐安全模塊120確定在接入的策略126中是否阻 斷UDP端口���。如果該確定的結(jié)果是肯定的�,則該控制流到步驟814�, 其中����,移動(dòng)常駐安全模塊120阻止分組始發(fā)到網(wǎng)絡(luò)102上,并且提示 信息處理系統(tǒng)106處的網(wǎng)絡(luò)常駐安全模塊122���。然后�,該控制流在步驟 820退出���。如果步驟810處的確定的結(jié)果是否定的�,則在步驟818�,移 動(dòng)常駐安全模塊120允許分組在網(wǎng)絡(luò)102上始發(fā)。然后�,該控制流在 步驟820退出。如果步驟808處的確定的結(jié)果是否定的�,則在步驟812���,移 動(dòng)常駐安全模塊120確定該傳輸是否是TCP。如果該確定的結(jié)果是否 定的�,則在步驟814,移動(dòng)常駐安全模塊120阻止分組始發(fā)到網(wǎng)絡(luò)102 上����,并且提示網(wǎng)絡(luò)常駐安全模塊122。然后���,該控制流在步驟820退出�。 如果該確定結(jié)果是肯定的����,則在步驟816�����,移動(dòng)常駐安全模塊120確定 在接入的策略816中是否阻斷了 TCP端口��。如果該確定的結(jié)果是肯定 的���,則在步驟814�����,移動(dòng)常駐安全模塊120阻止分組始發(fā)到網(wǎng)絡(luò)102上�����, 并且提示網(wǎng)絡(luò)常駐安全模塊122����。如果該確定的結(jié)果是否定的,則在步 驟818����,移動(dòng)常駐安全模塊120允許分組在網(wǎng)絡(luò)102上始發(fā)。然后�,該 控制流在步驟820退出。初始化在服務(wù)提供商側(cè)上的安全模塊的過(guò)程
圖9是圖示初始化駐留在信息處理系統(tǒng)106處的網(wǎng)絡(luò)常駐安 全模塊122的過(guò)程的操作流程圖����。圖9的操作流程圖開始于步驟902, 并且直接流到步驟904�����。在步驟904���,信息處理系統(tǒng)處的網(wǎng)絡(luò)常駐安全 模塊122清理用于被訂閱到網(wǎng)絡(luò)102的所有無(wú)線設(shè)備的統(tǒng)計(jì)寄存器�����。 該控制流到圖10的入口點(diǎn)D�����。在步驟906�����,如果網(wǎng)絡(luò)常駐安全模塊122 確定已經(jīng)初始化了終止的關(guān)閉�����,則該控制流在步驟908退出����。
經(jīng)由服務(wù)提供商側(cè)上的安全模塊來(lái)處理事件的過(guò)程圖10和11是圖示經(jīng)由駐留在信息處理系統(tǒng)106處的網(wǎng)絡(luò)常 駐安全模塊122來(lái)管理安全事件的過(guò)程的操作流程圖�。具體地,網(wǎng)絡(luò) 常駐安全模塊122響應(yīng)發(fā)起對(duì)安全策路略改變的移動(dòng)電話網(wǎng)絡(luò)運(yùn)營(yíng)商�; 發(fā)起對(duì)遠(yuǎn)程手機(jī)的移動(dòng)網(wǎng)絡(luò)常駐功能更新的移動(dòng)電話網(wǎng)絡(luò)運(yùn)營(yíng)商;以 及針對(duì)攻擊性移動(dòng)設(shè)備來(lái)監(jiān)視來(lái)自移動(dòng)電話網(wǎng)絡(luò)的設(shè)備的進(jìn)入消息隊(duì) 列的移動(dòng)電話網(wǎng)絡(luò)運(yùn)營(yíng)商�。在本發(fā)明的一個(gè)典型實(shí)施例中���,網(wǎng)絡(luò)常駐 安全模塊122監(jiān)控其常駐安全模塊120重復(fù)策略違規(guī)的無(wú)線設(shè)備。圖10的控制流在入口點(diǎn)D處進(jìn)入��,并且直接流到步驟 1002����、 1008、 1102���、 1108或1114���。在步驟1002,網(wǎng)絡(luò)常駐安全模塊 122確定更新要被發(fā)送到移動(dòng)常駐安全模塊120�����,并且讀取更新隊(duì)列�, 獲得無(wú)線設(shè)備104的地址并且檢索要被發(fā)送到無(wú)線設(shè)備104的更新分 組。在步驟1004�����,網(wǎng)絡(luò)常駐安全模塊122將更新分派到無(wú)線設(shè)備104�����。 然后,該控制流在步驟1006退出���。在步驟1008�,網(wǎng)絡(luò)常駐安全模塊122檢測(cè)無(wú)線設(shè)備104已 經(jīng)違反了安全策略���,并且讀取警報(bào)隊(duì)列�����,并且獲得該違規(guī)的無(wú)線設(shè)備 的地址�。在步驟1010�����,網(wǎng)絡(luò)常駐安全模塊122更新關(guān)于攻擊性無(wú)線設(shè) 備104的寄存器計(jì)數(shù)����。在步驟1012���,網(wǎng)絡(luò)常駐安全模塊122將統(tǒng)計(jì)寄 存器與例如策略違規(guī)閾值的運(yùn)營(yíng)商所定義的閾值作比較����。如果寄存器 大于或等于該閾值,則在步驟1016��,網(wǎng)絡(luò)常駐安全模塊122發(fā)出警告���。 在步驟1018����,網(wǎng)絡(luò)常駐安全模塊122確定是否允許自動(dòng)隔離���。如果該 確定的結(jié)果是否定的�����,則該控制流在步驟1020退出���。如果該確定的結(jié) 果是肯定的,則該控制流到圖12的入口點(diǎn)E�。如果在步驟1012處的比 較指示該寄存器小于該閾值,則該控制流在步驟1014退出�����。在步驟1102,網(wǎng)絡(luò)運(yùn)營(yíng)商/服務(wù)提供商改變安全策略124���。 在步驟1104�����,網(wǎng)絡(luò)常駐安全模塊122將該更新插入具有正常優(yōu)先級(jí)的更新隊(duì)列��。然后���,該控制流在步驟1106退出。在步驟1108�,網(wǎng)絡(luò)常駐
安全模塊122確定網(wǎng)絡(luò)運(yùn)營(yíng)商/服務(wù)提供商已經(jīng)更新了移動(dòng)常駐安全模 塊120。在步驟1110�����,網(wǎng)絡(luò)常駐安全模塊122將該更新插入具有低優(yōu) 先級(jí)的更新隊(duì)列��。然后����,該控制流在步驟1112退出。在步驟1114,網(wǎng) 絡(luò)常駐安全模塊122確定網(wǎng)絡(luò)運(yùn)營(yíng)商/服務(wù)提供商已經(jīng)隔離了無(wú)線設(shè)備 104���。該控制流到圖12的入口點(diǎn)E。經(jīng)由在服務(wù)提供商側(cè)上的安全模塊來(lái)隔離無(wú)線設(shè)備的過(guò)程
圖12是圖示經(jīng)由網(wǎng)絡(luò)常駐安全模塊122來(lái)隔離無(wú)線設(shè)備 104的過(guò)程的操作流程圖����。隔離阻止無(wú)線設(shè)備104將分組始發(fā)到網(wǎng)絡(luò) 102上。圖12的控制流在入口點(diǎn)E處進(jìn)入����,并且直接流到步驟1202。 在步驟1202�����,網(wǎng)絡(luò)常駐安全模塊122將用于無(wú)線設(shè)備104的針對(duì)外出 分組的安全策略124更新至隔離狀態(tài)��。在步驟1204,網(wǎng)絡(luò)常駐安全模 塊122將策略126插入到具有高優(yōu)先級(jí)的更新隊(duì)列。在一個(gè)實(shí)施例中��, 當(dāng)該設(shè)備被置為隔離狀態(tài)時(shí)����,可以向無(wú)線設(shè)備104的用戶顯示消息���。 然后���,該控制流在步驟1204退出����。非限制性示例雖然已經(jīng)公開了本發(fā)明的特定實(shí)施例,但是本領(lǐng)域的普通技 術(shù)人員應(yīng)當(dāng)理解�����,在不脫離本發(fā)明精神和范圍的條件下�,可以對(duì)特定 實(shí)施例做出改變���。因此���,本發(fā)明的范圍不限于特定實(shí)施例���,并且希望 所附權(quán)利要求涵蓋在本發(fā)明范圍內(nèi)的任何和所有這樣的應(yīng)用��、修改和 實(shí)施例����。
權(quán)利要求
1.一種用于通過(guò)無(wú)線通信設(shè)備來(lái)管理分組數(shù)據(jù)傳輸?shù)姆椒?����,所述方法包括從服?wù)提供商接收一組安全策略�;從應(yīng)用接收用以始發(fā)分組數(shù)據(jù)的請(qǐng)求�;響應(yīng)于接收用以始發(fā)分組數(shù)據(jù)的所述請(qǐng)求,分析由所述服務(wù)提供商所提供的所述一組安全策略�;響應(yīng)于所述分析��,確定所述一組安全策略是否允許所述分組數(shù)據(jù)被發(fā)射�;其中��,響應(yīng)于所述一組安全策略允許所述分組數(shù)據(jù)被發(fā)射�,允許所述分組數(shù)據(jù)被發(fā)射到無(wú)線網(wǎng)絡(luò)上��;以及其中���,響應(yīng)于所述一組安全策略不允許所述分組數(shù)據(jù)被發(fā)射����,阻止所述分組數(shù)據(jù)被發(fā)射到無(wú)線網(wǎng)絡(luò)上�����。
2. 根據(jù)權(quán)利要求l所述的方法,其中�,所述分組數(shù)據(jù)是網(wǎng)際協(xié)議 分組數(shù)據(jù)。
3. 根據(jù)權(quán)利要求l所述的方法����,進(jìn)一步包括響應(yīng)于阻止所述分組數(shù)據(jù)被發(fā)射到所述無(wú)線網(wǎng)絡(luò)上,向駐留在所 述無(wú)線網(wǎng)絡(luò)上的安全模塊提示所述阻止的分組數(shù)據(jù)的傳輸����。
4. 根據(jù)權(quán)利要求1所述的方法�,其中���,所述一組安全策略至少包 括用于發(fā)射分組數(shù)據(jù)的安全策略和與一組應(yīng)用相關(guān)聯(lián)的至少一個(gè)安全 策略��。
5. 根據(jù)權(quán)利要求l所述的方法,其中��,所述阻止進(jìn)一步包括 分析所述分組數(shù)據(jù)的目的地����;以及 將所述目的地與所述一組安全策略作比較�����。
6. 根據(jù)權(quán)利要求1所述的方法���,進(jìn)一步包括 接收用以添加應(yīng)用的用戶請(qǐng)求;響應(yīng)于接收所述用戶請(qǐng)求�����,分析由所述服務(wù)提供商所提供的所述 一組安全策略����;響應(yīng)于所述分析�����,確定所述一組安全策略是否允許所述應(yīng)用被添加����;其中,響應(yīng)于所述一組安全策略允許所述應(yīng)用被添加�����,允許所述應(yīng)用被添加���;以及 其中,響應(yīng)于所述一組安全策略不允許所述應(yīng)用被添加����, 阻止所述應(yīng)用被添加���。
7. 根據(jù)權(quán)利要求6所述的方法,進(jìn)一步包括響應(yīng)于阻止所述應(yīng)用被添加��,向駐留在所述無(wú)線網(wǎng)絡(luò)上的安全模 塊提示所述阻止的所述應(yīng)用的添加�����。
8. 根據(jù)權(quán)利要求6所述的方法����,其中,允許所述應(yīng)用被添加進(jìn)一 步包括生成與所述應(yīng)用相關(guān)聯(lián)的唯一識(shí)別���;以及 將所述唯一識(shí)別存儲(chǔ)在安全存儲(chǔ)器中���。
9. 一種用于管理分組數(shù)據(jù)傳輸?shù)臒o(wú)線通信設(shè)備��,所述無(wú)線通信設(shè) 備包括存儲(chǔ)器�����;處理器�����,所述處理器被通信地耦合到所述存儲(chǔ)器��; 安全模塊,所述安全模塊被通信地耦合到所述存儲(chǔ)器和所述處理 器��,其中����,所述安全模塊適合于從服務(wù)提供商接收一組安全策略�; 從應(yīng)用接收用以始發(fā)分組數(shù)據(jù)的請(qǐng)求�;響應(yīng)于接收用以始發(fā)分組數(shù)據(jù)的所述請(qǐng)求����,分析由所述服務(wù)提供 商所提供的所述一組安全策略��;響應(yīng)于所述分析�����,確定所述一組安全策略是否允許所述分組數(shù)據(jù) 被發(fā)射�����;其中�����,響應(yīng)于所述一組安全策略允許所述分組數(shù)據(jù)被發(fā)射�����, 允許所述分組數(shù)據(jù)被發(fā)射到無(wú)線網(wǎng)絡(luò)上�����;以及其中�����,響應(yīng)于所述一組安全策略不允許所述分組數(shù)據(jù)被發(fā)射�����, 阻止所述分組數(shù)據(jù)被發(fā)射到無(wú)線網(wǎng)絡(luò)上�。
10. 根據(jù)權(quán)利要求9所述的無(wú)線通信設(shè)備,其中�,所述安全模塊 進(jìn)一步適合于響應(yīng)于阻止所述分組數(shù)據(jù)被發(fā)射到所述無(wú)線網(wǎng)絡(luò)上,向駐留在所 述無(wú)線網(wǎng)絡(luò)上的安全模塊提示所述阻止的分組數(shù)據(jù)的傳輸��。
11. 根據(jù)權(quán)利要求9所述的無(wú)線通信設(shè)備�,其中,所述一組安全 策略至少包括用于發(fā)射分組數(shù)據(jù)的安全策略和與一組應(yīng)用相關(guān)聯(lián)的至 少一個(gè)安全策略��。
12. 根據(jù)權(quán)利要求9所述的無(wú)線通信設(shè)備���,其中��,所述阻止進(jìn)一步包括分析所述分組數(shù)據(jù)的目的地�;以及 將所述目的地與所述一組安全策略作比較�����。
13. 根據(jù)權(quán)利要求9所述的無(wú)線通信設(shè)備�,其中,所述安全模塊進(jìn)一步適合于接收用以添加應(yīng)用的用戶請(qǐng)求�;響應(yīng)于接收所述用戶請(qǐng)求���,分析由所述服務(wù)提供商所提供的所述 一組安全策略;響應(yīng)于所述分析�����,確定所述一組安全策略是否允許所述應(yīng)用被添加���;其中�,響應(yīng)于所述一組安全策略允許所述應(yīng)用被添加���, 允許所述應(yīng)用被添加����;以及其中���,響應(yīng)于所述一組安全策略不允許所述應(yīng)用被添加���, 阻止所述應(yīng)用被添加。
14. 根據(jù)權(quán)利要求13所述的無(wú)線通信設(shè)備�����,其中,所述安全模塊進(jìn)一步適合于響應(yīng)于阻止所述應(yīng)用被添加���,向駐留在所述無(wú)線網(wǎng)絡(luò)上的安全模 塊提示所述阻止的所述應(yīng)用的添加�����。
15. —種用于管理分組數(shù)據(jù)傳輸?shù)臒o(wú)線通信系統(tǒng),所述無(wú)線通信 系統(tǒng)包括 多個(gè)基站����;多個(gè)無(wú)線通信設(shè)備,其中����,每個(gè)無(wú)線通信設(shè)備都被通信地耦合到 至少一個(gè)基站,并且其中���,至少一個(gè)無(wú)線通信設(shè)備包括安全模塊��,所 述安全模塊適合于從服務(wù)提供商接收一組安全策略�����;從應(yīng)用接收用以始發(fā)分組數(shù)據(jù)的請(qǐng)求���;響應(yīng)于接收用以始發(fā)分組數(shù)據(jù)的所述請(qǐng)求��,分析由所述服務(wù)提供 商所提供的所述一組安全策略�����;響應(yīng)于所述分析���,確定所述一組安全策略是否允許所述分組數(shù)據(jù) 被發(fā)射;其中�����,響應(yīng)于所述一組安全策略允許所述分組數(shù)據(jù)被發(fā)射���, 允許所述分組數(shù)據(jù)被發(fā)射到無(wú)線網(wǎng)絡(luò)上��;以及其中���,響應(yīng)于所述一組安全策略不允許所述分組數(shù)據(jù)被發(fā)射, 阻止所述分組數(shù)據(jù)被發(fā)射到無(wú)線網(wǎng)絡(luò)上����。
16. 根據(jù)權(quán)利要求15所述的通信系統(tǒng)��,其中����,所述安全模塊進(jìn)一 步適合于響應(yīng)于阻止所述分組數(shù)據(jù)被發(fā)射到所述無(wú)線網(wǎng)絡(luò)上��,向駐留在所 述無(wú)線網(wǎng)絡(luò)上的安全模塊提示所述阻止的分組數(shù)據(jù)的傳輸�。
17. 根據(jù)權(quán)利要求15所述的無(wú)線通信系統(tǒng),其中�,所述一組安全策略至少包括用于發(fā)射分組數(shù)據(jù)的安全策略和與一組應(yīng)用相關(guān)聯(lián)的至 少一個(gè)安全策略。
18. 根據(jù)權(quán)利要求15所述的無(wú)線通信系統(tǒng)�����,其中���,所述阻止進(jìn)一步包括分析所述分組數(shù)據(jù)的目的地;以及 將所述目的地與所述一組安全策略作比較�����。
19. 根據(jù)權(quán)利要求15所述的無(wú)線通信系統(tǒng)�����,其中,所述安全模塊 進(jìn)一步適合于接收用以添加應(yīng)用的用戶請(qǐng)求��;響應(yīng)于接收所述用戶請(qǐng)求���,分析由所述服務(wù)提供商所提供的所述 一組安全策略����;響應(yīng)于所述分析��,確定所述一組安全策略是否允許所述應(yīng)用被添加�����;其中�����,響應(yīng)于所述一組安全策略允許所述應(yīng)用被添加�,允許所述應(yīng)用被添加;以及 其中�,響應(yīng)于所述一組安全策略不允許所述應(yīng)用被添加,阻止所述應(yīng)用被添加����。
20. 根據(jù)權(quán)利要求19所述的無(wú)線通信系統(tǒng)�,其中�,所述安全模塊 進(jìn)一步適合于響應(yīng)于阻止所述應(yīng)用被添加,向駐留在所述無(wú)線網(wǎng)絡(luò)上的安全模 塊提示所述阻止的所述應(yīng)用的添加��。
全文摘要
提供了一種用于管理分組數(shù)據(jù)傳輸?shù)姆椒?���、無(wú)線通信設(shè)備和無(wú)線通信系統(tǒng)。該方法包括從服務(wù)提供商接收一組安全策略(126)��。從應(yīng)用(124)接收用以始發(fā)分組數(shù)據(jù)的請(qǐng)求����。響應(yīng)于接收用以始發(fā)分組數(shù)據(jù)的請(qǐng)求,分析由服務(wù)提供商所提供的一組安全策略(126)��。該方法還包括�,響應(yīng)于該分析�����,確定一組安全策略(126)是否允許該分組數(shù)據(jù)被發(fā)射�。響應(yīng)于允許該分組數(shù)據(jù)被發(fā)射的一組安全策略(126),允許該分組數(shù)據(jù)被發(fā)射到無(wú)線網(wǎng)絡(luò)(102)上。響應(yīng)于不允許該分組數(shù)據(jù)被發(fā)射的一組安全策略(126)����,阻止該分組數(shù)據(jù)被發(fā)射到無(wú)線網(wǎng)絡(luò)(102)上。
文檔編號(hào)H04L29/06GK101632283SQ200880007969
公開日2010年1月20日 申請(qǐng)日期2008年2月28日 優(yōu)先權(quán)日2007年3月14日
發(fā)明者克里斯托弗·L·維塔羅斯 申請(qǐng)人:摩托羅拉公司