用于監(jiān)控移動終端上的移動無線接口的方法和裝置制造方法
【專利摘要】用于監(jiān)控移動終端上的移動無線接口的方法和裝置���,所述移動終端包括基帶和應(yīng)用處理器�,所述方法包括以下步驟:在所述應(yīng)用處理器上執(zhí)行操作系統(tǒng);在所述應(yīng)用處理器上執(zhí)行虛擬調(diào)制解調(diào)器�,所述調(diào)制解調(diào)器專門地進行所述操作系統(tǒng)和所述基帶之間的數(shù)據(jù)交換并提供所述基帶的功能,以便從而獲得對數(shù)據(jù)的訪問以及以便從而濾除未授權(quán)的數(shù)據(jù)�����。
【專利說明】用于監(jiān)控移動終端上的移動無線接口的方法和裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種用于監(jiān)控移動終端上的移動無線接口的方法和裝置�����,特別地涉及一種用于監(jiān)控AT訪問的虛擬調(diào)制解調(diào)器�。
【背景技術(shù)】
[0002]近年來,已經(jīng)做出很多努力使得智能手機操作系統(tǒng)更加安全���。在這個方面����,目標(biāo)是防止用戶遭受攻擊和惡意軟件(木馬�、計算機病毒)。這種措施的示例包括:
[0003]?強制訪問控制(MAC)���,以便能夠限制和監(jiān)控對敏感資源(例如�����,位置數(shù)據(jù)����、SMS數(shù)據(jù)庫�、通訊錄)的訪問
[0004].數(shù)據(jù)鎖定
[0005].地址空間布局隨機化(ASLR),以便更難利用安全間隙�����。
[0006]盡管已知通過被劫持的移動電話對移動無線網(wǎng)絡(luò)的攻擊�,但是,至今為止���,幾乎不知道對移動無線網(wǎng)絡(luò)的基礎(chǔ)設(shè)施的保護的任何方法����。至今為止�����,移動無線網(wǎng)絡(luò)運營商僅僅具有在他們的網(wǎng)絡(luò)中安裝SMS過濾器以便能夠濾除不需要的SMS消息的選擇。相反地�,這些攻擊已經(jīng)證實,當(dāng)前的安全措施旨在保護裝置免受攻擊�����,而在較小的程度上針對他們所工作的環(huán)境(移動無線網(wǎng)絡(luò))����。
[0007]美國專利5,628�����,030描述了一種作為向多個同時活動的通信應(yīng)用提供的通信信道的裝置的虛擬調(diào)制解調(diào)器���。然后��,虛擬調(diào)制解調(diào)器選擇性地將通信應(yīng)用連接到物理調(diào)制解調(diào)器����。虛擬調(diào)節(jié)解調(diào)器實現(xiàn)·抽象調(diào)制解調(diào)器接口����。
[0008]與此相反,本發(fā)明沒有公開一種用于多路復(fù)用物理調(diào)制解調(diào)器的方法;相反地���,公開一種可以以安全模式監(jiān)控移動終端對移動終端上的移動無線網(wǎng)絡(luò)的訪問的方法。而且�,美國專利5,628���,030僅僅涉及臺式電腦���。
[0009]DE000069925732T2描述了一種具有內(nèi)置安全固件的移動電話。這描述了一種使得通過無保護的網(wǎng)絡(luò)對內(nèi)聯(lián)網(wǎng)的安全訪問成為可能的方法��。在這種情況下�����,以固件或外部硬件模塊的形式在移動電話上實現(xiàn)安全層��。
[0010]另一方面�,本發(fā)明不要求受保護的固件或外部硬件模塊。另外�,它不描述用于保護通信關(guān)系的方法。
[0011]通過移動電話生成信令消息����,并經(jīng)常將信令消息發(fā)送至移動交換中心(MSC)和歸屬位置寄存器(HLR)��。在數(shù)據(jù)連接的情況下�����,還涉及GPRS服務(wù)支持節(jié)點(SGSN)和GPRS網(wǎng)關(guān)支持節(jié)點(GGSN)�。
[0012]在移動無線網(wǎng)絡(luò)中�,通過所謂的分組數(shù)據(jù)協(xié)議(rop)發(fā)送數(shù)據(jù)。PDP連接的建立是復(fù)雜的過程���。移動終端首先發(fā)送“GPRS-附著”消息至SGSN�����。SGSN借助于HLR對移動終端進行授權(quán)��。然后����,生成PDP上下文并將PDP上下文存儲在SGSN和GGSN中�。PDP上下文特別用于存儲關(guān)于這次連接的計費、服務(wù)質(zhì)量和IP地址的信息����。通過移動無線網(wǎng)絡(luò)的不同組件進行PDP上下文的管理和交換是非常復(fù)雜的�����。
[0013]移動終端與移動無線網(wǎng)絡(luò)的連接通過所謂的基帶的組件發(fā)生����,基帶可以由多個單獨的組件(例如�����,基帶處理器��、無線模塊����、軟件等)組成���。這個基帶經(jīng)常包含標(biāo)準(zhǔn)處理器����、數(shù)字信號處理器(DSP)和無線連接所需的無線組件��。在它們可以用于移動無線網(wǎng)絡(luò)之前,必須通過不同的機構(gòu)對基帶及其組件(例如其上的基帶處理器和軟件)認(rèn)證和授權(quán)���。這個過程是復(fù)雜且昂貴的�。這是為什么世界上僅有非常少的基帶制造商的原因��。
[0014]除了基帶之外����,移動終端經(jīng)常還包含所謂的應(yīng)用處理器。在移動電話的情況下��,電話操作系統(tǒng)(例如iOS或Android)在應(yīng)用處理器上運行�。在所謂的UMTS上網(wǎng)棒(stick)的情況下,應(yīng)用處理器是計算機的處理器���。在每種情況下����,基帶和應(yīng)用處理器僅在幾個地方彼此連接�����,特別地通過控制信道連接���。應(yīng)用處理器通過這個控制信道借助于控制指令進行通信�,以便控制基帶。
【發(fā)明內(nèi)容】
[0015]用于監(jiān)控移動終端的信令信道的本發(fā)明(下文稱作虛擬調(diào)制解調(diào)器)不要求對基帶硬件或軟件進行任何改變����。虛擬調(diào)制解調(diào)器完全在應(yīng)用處理器上運行并且具有對基帶的專門控制。應(yīng)用處理器上的現(xiàn)有操作系統(tǒng)不再能夠直接訪問基帶���。相反地�����,虛擬調(diào)制解調(diào)器為操作系統(tǒng)提供至基帶的接口,由此可以監(jiān)控對基帶的所有訪問�。圖1是這個架構(gòu)的示意圖。接口優(yōu)選地包括兩個信道�����,更多的信道是可能的��。在一個實施例中��,信道的一個用于控制指令流����,信道的第二個用于數(shù)據(jù)流���。
[0016]具體地,本發(fā)明涉及一種用于監(jiān)控移動終端上的移動無線接口的方法��,所述移動終端包括基帶和應(yīng)用處理器��。所述方法包括步驟:
[0017]在應(yīng)用處理器上執(zhí)行操作系統(tǒng)�。在這種情況下,在應(yīng)用處理器上執(zhí)行交互應(yīng)用程序(例如����,網(wǎng)絡(luò)瀏覽器或照相機)。
[0018]作為另一步驟����,所述方法包括在應(yīng)用處理器上執(zhí)行虛擬調(diào)制解調(diào)器,虛擬調(diào)制解調(diào)器專門地進行操作系統(tǒng)和基帶之間的數(shù)據(jù)交換并提供基帶的功能�,以便從而獲得對數(shù)據(jù)的訪問以及從而濾除未授權(quán)的數(shù)據(jù)和訪問。
[0019]在優(yōu)選的形式中���,虛擬調(diào)制解調(diào)器提供虛擬信號信道和虛擬數(shù)據(jù)信道���,其中優(yōu)選地通過虛擬信號信道傳輸控制虛擬調(diào)制解調(diào)器的控制指令�����。而且�,除了其他數(shù)據(jù)之外����,還通過數(shù)據(jù)信道傳輸IP數(shù)據(jù)。語音數(shù)據(jù)也可以作為基于IP的語音(VoIP)進行傳輸���,基于IP的語音作為IP數(shù)據(jù)進行傳輸��。
[0020]在優(yōu)選實施例中�����,控制指令過濾器是虛擬調(diào)制解調(diào)器的組件,監(jiān)控操作系統(tǒng)和基帶之間的控制指令流��,并根據(jù)規(guī)范對控制指令流進行過濾�����。
[0021]IP過濾器也可以是虛擬調(diào)制解調(diào)器的組件���,以便通過防火墻的實施阻止來自外部或內(nèi)部的不需要的訪問��。
[0022]虛擬調(diào)制解調(diào)器提供抽象調(diào)制解調(diào)器接口形式的基帶����,在其中提供基帶的功能和接口。因此�����,無需對操作系統(tǒng)和硬件進行任何改變���,或僅僅需要對操作系統(tǒng)和硬件進行很小的改變����。這優(yōu)選地是軟件解決方案��。明顯地���,還可以想到的是提供硬件和軟件的組合����。
[0023]虛擬調(diào)制解調(diào)器還提供基帶驅(qū)動器,基帶驅(qū)動器提供至基帶的接口���。這個驅(qū)動器具有與操作系統(tǒng)的驅(qū)動器類似或相同的結(jié)構(gòu)��,操作系統(tǒng)的驅(qū)動器一般直接訪問基帶����。因此���,這個驅(qū)動器建立與操作系統(tǒng)的基帶驅(qū)動器的連接�。
[0024]虛擬調(diào)制解調(diào)器的一個中心組件是控制指令過濾器�����。這監(jiān)控和過濾操作系統(tǒng)和基帶之間的控制指令流����。由此,強化用于與基帶相關(guān)的信令信道的安全準(zhǔn)則��。
[0025]IP過濾器組件實施例如阻止來自外部或內(nèi)部的不需要訪問的防火墻��。它監(jiān)控經(jīng)過它的數(shù)據(jù)流量并基于確定的規(guī)則決定是否讓某些網(wǎng)絡(luò)數(shù)據(jù)包經(jīng)過��。以這種方式���,它盡力阻止未授權(quán)的網(wǎng)絡(luò)訪問��。防火墻可以在協(xié)議級�����、在端口級����、在內(nèi)容級工作����,它可以識別具有特定模式(例如DoS)的攻擊并提供有狀態(tài)的檢測。還可以想到的是入侵檢測和防御系統(tǒng)���。
[0026]從操作系統(tǒng)的觀點來看�����,虛擬調(diào)制解調(diào)器的行為像“真實”基帶��。無需改變現(xiàn)有的操作系統(tǒng)�����。所需的只是用于新基帶的集成的通常適配�。
[0027]使用虛擬調(diào)制解調(diào)器的本發(fā)明例如可以用于以下應(yīng)用:
[0028]?收費SMS過濾器
[0029].收費號碼過濾器
[0030].保護移動無線基礎(chǔ)設(shè)施免受基于信令信道的DoS攻擊
[0031]?移動僵尸網(wǎng)絡(luò)的抑制
[0032].更新用于遠(yuǎn)程維護的訪問準(zhǔn)則(遠(yuǎn)程更新)
[0033].用戶定義的規(guī)范/對所謂的收費服務(wù)的訪問準(zhǔn)則的更新
[0034]?不可避免的VPN訪問
[0035].移動終端上的防火墻
[0036]與現(xiàn)有技術(shù)相比,虛擬調(diào)制解調(diào)器提供以下改進:`[0037].根據(jù)實施方式��,無需對現(xiàn)有的操作系統(tǒng)進行任何修改����,或僅需對現(xiàn)有操作系統(tǒng)進行很少的修改;
[0038].無需對現(xiàn)有的移動硬件進行任何修改����;
[0039].保護移動無線網(wǎng)絡(luò)免受被劫持的移動終端的攻擊;
[0040].過濾直接在移動終端上進行的信令措施����,以便避免移動無線網(wǎng)絡(luò)基礎(chǔ)設(shè)施的超載;
[0041].更具有成本效益的使用�����,因為虛擬調(diào)制解調(diào)器直接實施在移動終端上�����,無需對基礎(chǔ)設(shè)施進行任何改變�����;
[0042].昂貴的增值服務(wù)(所謂的收費SMS或收費號碼)的阻止
[0043]?數(shù)據(jù)訪問的監(jiān)控
[0044]因此����,本發(fā)明促進
[0045].SMS木馬的成功阻止
[0046].通過SMS對指令和控制信道的探試識別
[0047].對移動無線網(wǎng)絡(luò)運營商的基礎(chǔ)設(shè)施的DoS攻擊是更加復(fù)雜的(至少增加700%的注冊用戶)
[0048]?通過關(guān)鍵指令的速率限制減小移動無線基礎(chǔ)設(shè)施的負(fù)載【專利附圖】
【附圖說明】
[0049]現(xiàn)在提供附圖的簡要說明。
[0050]圖1示出虛擬調(diào)制解調(diào)器的概念和層結(jié)構(gòu)�����;
[0051]圖2示出控制指令過濾器的基本方法的流程圖��?�!揪唧w實施方式】
[0052]圖1示出本發(fā)明的移動終端的層結(jié)構(gòu)���。操作系統(tǒng)運行在應(yīng)用處理器上����,一般來說����,操作系統(tǒng)是真實硬件���,但是在個別情況下,它也可以是虛擬化的����。
[0053]在虛擬化的情況下,操作系統(tǒng)(例如Android)運行在虛擬化層(也稱作管理程序)上�����,其中虛擬調(diào)制解調(diào)器布置在作為虛擬硬件的管理程序中���,或者布置在運行在管理程序上的虛擬機器中���。操作系統(tǒng)包括應(yīng)用軟件堆棧,用戶的應(yīng)用程序在應(yīng)用軟件堆棧上運行�。例如,這個堆?�?梢园ū粦?yīng)用程序使用的庫和框架��。它還提供至操作系統(tǒng)核心的接口�����。在這個核心內(nèi)部,存在到虛擬調(diào)制解調(diào)器的虛擬信號信道和虛擬數(shù)據(jù)信道�,虛擬調(diào)制解調(diào)器被轉(zhuǎn)換作為基帶和操作系統(tǒng)之間的中間層。因此�����,操作系統(tǒng)僅僅具有通過虛擬調(diào)制解調(diào)器到基帶的通道�。虛擬信號信道一般用于發(fā)送具有控制虛擬調(diào)制解調(diào)器的任務(wù)的控制指令�����。當(dāng)已經(jīng)設(shè)置調(diào)制解調(diào)器時��,通過虛擬數(shù)據(jù)信道傳輸數(shù)據(jù)���,例如作為數(shù)據(jù)流��。數(shù)據(jù)流可以包括會話流����,也可以包括網(wǎng)絡(luò)數(shù)據(jù)(IP數(shù)據(jù))流��。然后�����,對各個數(shù)據(jù)流應(yīng)用過濾器(AT指令過濾器和IP過濾器),以便濾除兩個方向的未授權(quán)或不需要的數(shù)據(jù)���。過濾器是可調(diào)的且基于將被濾除的規(guī)則或模式���。例如,識別惡意軟件內(nèi)容的掃描器或者其他內(nèi)容過濾器(例如協(xié)議過濾器)可以應(yīng)用于IP過濾器����。如上所述,布置在虛擬調(diào)制解調(diào)器中的是基帶驅(qū)動器���,基帶驅(qū)動器在必要時將兩個流組合并將它們轉(zhuǎn)發(fā)至基帶/單元��。但是����,可選地���,也可以通過兩個獨立的信道轉(zhuǎn)發(fā)數(shù)據(jù)���。
[0054]圖2示出本發(fā)明的應(yīng)用的示例�。
[0055]在這種情況下����,識別和濾除某些攻擊。
[0056]呼叫轉(zhuǎn)移攻擊:
[0057]很多被入侵的移動電話不斷地改變呼叫轉(zhuǎn)移設(shè)置�����,因此給移動無線網(wǎng)絡(luò)供應(yīng)商的基礎(chǔ)設(shè)置增加重大的負(fù)擔(dān)�。
[0058]應(yīng)用軟件生成改變呼叫轉(zhuǎn)移設(shè)置的指令��。這個指令通過虛擬信號信道傳輸?shù)教摂M調(diào)制解調(diào)器���?�?刂浦噶钸^濾器檢查用于這個功能的指令/時間單元的授權(quán)數(shù)量是否已經(jīng)超過可調(diào)閾值���,并且若可以,阻止指令���,直至開始下個時間間隔�����。如果授權(quán)數(shù)量還未超過閾值���,將指令轉(zhuǎn)發(fā)至基帶驅(qū)動器并最終從基帶發(fā)送至移動無線網(wǎng)絡(luò)�����。圖2示出�,如果最后指令的時間加上間隔大于當(dāng)前時間點����,檢查計數(shù)器;如果計數(shù)器超過閾值��,阻止消息����。否則,轉(zhuǎn)發(fā)消肩��、O
[0059]收費SMS消息:
[0060]SMS木馬在用戶不知情的情況下發(fā)送昂貴的收費SMS消息��,因此��,可以造成對用戶的重大經(jīng)濟損失。
[0061]SMS木馬通過虛擬信號信道將SMS傳輸?shù)绞召M號碼�����?�?刂浦噶钸^濾器關(guān)于黑名單/白名單檢查是否應(yīng)發(fā)送SMS�。如果接收者的號碼包含在黑名單中,可以顯示適當(dāng)?shù)木?���,并且可選地,可以要求用戶的確認(rèn)���。如果用戶拒絕傳輸,SMS消息將被丟棄��。例如�,可以在線定期更新這些名單。
【權(quán)利要求】
1.一種用于監(jiān)控移動終端上的移動無線接口的方法�����,所述移動終端包括基帶和應(yīng)用處理器���,所述方法包括步驟: 在所述應(yīng)用處理器上執(zhí)行操作系統(tǒng)���; 在所述應(yīng)用處理器上執(zhí)行虛擬調(diào)制解調(diào)器��,所述虛擬調(diào)制解調(diào)器專門地進行所述操作系統(tǒng)和所述基帶之間的數(shù)據(jù)交換并提供所述基帶的功能�,以便從而獲得對數(shù)據(jù)的訪問以及以便從而濾除未授權(quán)的數(shù)據(jù)�。
2.根據(jù)前述權(quán)利要求所述的方法,其中所述虛擬調(diào)制解調(diào)器提供虛擬信令信道和虛擬數(shù)據(jù)信道�,其中優(yōu)選地通過所述虛擬信令信道傳輸控制所述虛擬調(diào)制解調(diào)器的控制指令,通過所述數(shù)據(jù)信道控制傳輸IP數(shù)據(jù)�。
3.根據(jù)前述權(quán)利要求所述的方法,其中控制指令過濾器是所述虛擬調(diào)制解調(diào)器的組件�,所述控制指令過濾器監(jiān)控所述操作系統(tǒng)和所述基帶之間的控制指令流,并根據(jù)規(guī)范過濾所述控制指令流���;和/或 其中IP過濾器是所述虛擬調(diào)制解調(diào)器的組件�����,以便通過防火墻的實施阻止來自外部或內(nèi)部的不需要的訪問����。
4.根據(jù)前述權(quán)利要求所述的方法�����,其中以下組件中的一個或多個用于所述過濾器,以便過濾所述數(shù)據(jù): 號碼過濾器���; 保護所述移動無線基礎(chǔ)設(shè)施不受到基于信令信道的DoS攻擊的過濾器�; 抑制移動僵尸網(wǎng)絡(luò)的 過濾器��; 訪問準(zhǔn)則的更新組件���,所述訪問準(zhǔn)則會被定期更新��; 用于用戶定義的規(guī)范/對所謂的收費服務(wù)的訪問準(zhǔn)則的更新的組件�; 用于限制VPN訪問的控制組件�����。
5.根據(jù)前述權(quán)利要求的一項或多項所述的方法�����,其中所述虛擬調(diào)制解調(diào)器實施其中提供有基帶的功能和接口的基帶����。
6.根據(jù)前述權(quán)利要求所述的方法,其中所述虛擬調(diào)制解調(diào)器包括基帶驅(qū)動器��,所述基帶驅(qū)動器提供至所述基帶的接口��。
7.一種具有移動無線接口的移動終端���,包括: 基帶和應(yīng)用處理器���,其中所述應(yīng)用處理器包括用于執(zhí)行操作系統(tǒng)的裝置; 所述應(yīng)用處理器進一步用于實施虛擬調(diào)制解調(diào)器�����,所述虛擬調(diào)制解調(diào)器專門地進行所述操作系統(tǒng)和所述基帶之間的數(shù)據(jù)交換并提供所述基帶的功能�,以便從而獲得對數(shù)據(jù)的訪問以及以便從而濾除未授權(quán)的數(shù)據(jù)。
8.根據(jù)前述權(quán)利要求所述的移動終端�,其中所述虛擬調(diào)制解調(diào)器提供虛擬信令信道和虛擬數(shù)據(jù)信道,其中優(yōu)選地通過所述虛擬信令信道傳輸控制所述虛擬調(diào)制解調(diào)器的控制指令����,通過所述數(shù)據(jù)信道控制傳輸IP數(shù)據(jù)。
9.根據(jù)前述權(quán)利要求所述的移動終端���,其中控制指令過濾器是所述虛擬調(diào)制解調(diào)器的組件�,所述控制指令過濾器監(jiān)控所述操作系統(tǒng)和所述基帶之間的控制指令流,并根據(jù)規(guī)范過濾所述控制指令流�;和/或 其中IP過濾器是所述虛擬調(diào)制解調(diào)器的組件,以便通過防火墻的實施阻止來自外部或內(nèi)部的不需要的訪問�����。
10.根據(jù)前述權(quán)利要求所述的移動終端�,其中在所述過濾器中存在以下組件中的一個或多個,以便過濾所述數(shù)據(jù): 號碼過濾器�; 保護所述移動無線基礎(chǔ)設(shè)施不受到基于信令信道的DoS攻擊的過濾器; 抑制移動僵尸網(wǎng)絡(luò)的過濾器����; 訪問準(zhǔn)則的更新組件,所述訪問準(zhǔn)則會被定期更新�; 用于用戶定義的規(guī)范/對所謂的收費服務(wù)的訪問準(zhǔn)則的更新的組件; 用于限制VPN訪問的控制組件���。
11.根據(jù)前述權(quán)利要求的一項或多項所述的移動終端���,其中所述虛擬調(diào)制解調(diào)器用于模擬其中提供有基帶的功能和接口的基帶����。
12.根據(jù)前述權(quán)利要求所述的移動終端��,其中所述虛擬調(diào)制解調(diào)器包括基帶驅(qū)動器��,所述基帶驅(qū)動器提供至 所述基帶的接口���。
【文檔編號】H04W12/12GK103858458SQ201280048522
【公開日】2014年6月11日 申請日期:2012年9月5日 優(yōu)先權(quán)日:2011年10月14日
【發(fā)明者】史蒂夫·里博蓋德, 馬蒂亞斯·蘭格, 科林·穆林納 申請人:德國電信股份有限公司