專利名稱:在蜂窩基礎設施接入信道上防止拒絕服務攻擊的方法和裝置的制作方法
技術領域:
本發(fā)明大體上涉及無線通信系統(tǒng)����,以及更具體地涉及接入這樣的 通信系統(tǒng)的無線移動設備。
背景技術:
隨著計算機操作系統(tǒng)變得標準化以及在市場上流行����,諸如病毒的 惡意代碼開始經由使用多個計算機進行的文件共享或其他文件操作傳 播開來。因為感染文件變得容易通過經過網絡在短時期內跨大量計算 機散布����,所以聯(lián)網和因特網增加了這個問題的復雜性��。
無線通信系統(tǒng)開始采用無線移動設備操作系統(tǒng)�����,該無線移動設備 操作系統(tǒng)類似于通常由計算機采用的那些操作系統(tǒng)����。因此��,伴隨這些 標準化操作系統(tǒng)的優(yōu)點�,出現(xiàn)了諸如病毒的惡意代碼的威脅��。
網站和電子郵件服務器已經經由因特網經受拒絕服務攻擊��,在一 些情況下���,導致操作服務器或使用服務的商務或個體用戶的財務后果���。
通過使用因特網技術和標準化操作系統(tǒng),拒絕服務攻擊可能也變 成對無線通信系統(tǒng)的威脅��,其可能導致很多不期望的財務后果和安全 問題����。 一個潛在的用戶專有問題是,感染病毒的移動電話����,如果由于 病毒感染而被完全禁用,則會阻止用戶進行緊急呼叫�。
圖1是無線網絡的框圖。
圖2是根據各個實施例的移動站的框圖�。
圖3是根據實施例的具有各種應用編程接口的移動站體系結構的
7框圖���。
圖4是示出根據各個實施例的基本操作的流程圖。 圖5是示出根據實施例的網絡控制實體的操作的流程圖�。 圖6是示出根據實施例的移動站的操作的流程圖。 圖7是示出由無線設備來接收和存儲鑒權和完整性(integrity)信 息的流程圖����。
圖8是示出根據一些實施例、對由無線設備接收的維護消息 (maintenance message)進行真實性(authenticity)和完整性檢查的流 程圖����。
圖9是示出根據一些實施例、對由無線設備接收的補丁進行真實 性和完整性檢查的流程圖��。
圖IO是示出根據一些實施例��、由無線設備使用完整性密鑰進行完 整性檢查的進一步細節(jié)的流程圖��。
具體實施例方式
圖1示出無線網絡100���。無線網絡100包括許多基站,諸如基站 103和105����,以及許多控制器實體��,諸如基站控制器101��。每個基站控 制器可以被連接到一個或多個基站����,并提供對該一個或多個基站的控 制����。例如,在圖1中�����,基站控制器101被連接到基站103和105�����,并對 其進行控制��。
移動站107經由任何適合的空中接口與基站進行通信�,該適合的 空中接口諸如但是不限于GSM、 CDMA���、 UMTS等���。在一些實施例中����, 移動站可以例如使用隨機接入控制信道(RACH)來請求接入網絡�����。在 正常操作環(huán)境中��,將例如消息109的接入請求消息傳送到基站103��,以 請求接入以發(fā)起呼叫����。然后,基站103可以向移動站107提供接入信 道����,以便移動站107可以開始(proceed to)進行呼叫。
移動站107通常將能夠與無線電覆蓋內的數個基站進行通信����。然 而,移動站通常將在最佳服務基站上進行呼叫等待(camp on)���,最佳服務基站即對于特定地理位置中的移動站來說��,無線電信號強度或 一些其他信號質量指示或指示組合最佳的基站����。隨著移動站的運動��, 最佳服務基站將隨著時間而變化����。例如,如果移動站107確定基站105 已經變成它的最佳服務器���,則如果移動站用戶期望發(fā)起呼叫�����,移動站
107將向基站105發(fā)送接入請求111��。
接入請求消息以及準許的(granted)接入信道二者都使用空中接 口的資源并由此使用基站的資源��。大量接入請求可能使得基站過載�, 從而使得一些呼叫者受阻而無法接入網絡。因此���,如果例如移動站中 的異常導致移動站107發(fā)送過多數量的接入請求到基站103��,則可能阻 止基站103接收來自其他移動站的接入請求����。結果將是網絡基站上的 拒絕服務攻擊��,該拒絕服務攻擊也可能使得基站控制器101過載����。
在各個實施例中,基站103將注意移動站107是否發(fā)送超出預定 的表示正常移動站行為的限制的接入請求���。如果移動站超出該限制��, 則網絡�,經由基站103或諸如基站105的其他基站��,將發(fā)送維護消息 到移動站107����,以限制它的接入請求�����。
在一些實施例中,基站控制器101可能還包括或連接到數據庫 123�����。數據庫123存儲各個密鑰125���,諸如完整性密鑰��,以及也可以存 儲鑒權證書�����。密鑰125還可以包括用于加密鑒權證書127的各個加密 密鑰�。移動站��,例如移動站119��,可以經由通信鏈路113從網絡接收一 個或多個完整性密鑰115����、 117以及真實性證書121����,并且將該信息存 儲在安全存儲器中��。
圖2是示出根據一些實施例的移動站的主要部件的框圖���。移動站 200包括小鍵盤201����、其他用戶接口 203����、至少一個處理器205以及至 少一個存儲器211。存儲器211具有對于移動站操作系統(tǒng)213����、應用219 和通用文件貯存器221充足的貯存量。存儲器211還可以包括安全存 儲器部件223��,該安全存儲器部件223可以與存儲器211集成����,或在一些實施例中可以是物理獨立的部件。安全存儲器223可以存儲許多密
鑰�����,諸如完整性密鑰227和229,以及還可以存儲諸如證書231的真實 性證書�。此外,安全存儲器223可以存儲許多加密密鑰�����。
移動站200的用戶接口 203可以是用戶接口的組合����,該用戶接口 包括但是不局限于觸摸屏����、語音激活命令輸入以及回轉光標控制。移 動站200具有圖形顯示器225�,該圖形顯示器225還可以具有圖2沒有 示出的專用的處理器和/或存儲器、驅動器等���。移動站200還包括音頻 揚聲器231���。
應該理解,圖2僅用于說明目的以及用于示出根據本公開的移動 站的主要部件��,而不意圖作為限制移動站所需的各個部件及其之間連 接的完整示意圖。因此���,移動站可以包括圖2沒有示出的各個其他部 件����,并且依然落在本公開的范圍內���。
回到圖2���,移動站200也可以包括許多收發(fā)信機,諸如收發(fā)信機 207和209�����。收發(fā)信機207和209可以用于使用各個標準與各個無線網 絡進行通信��,該各個標準諸如但是不局限于GSM��、 IS-95 CDMA�����、 UMTS、 CDMA2000�����、 802.11�、 802,16等。
存儲器211僅僅用于說明目的��,并且可以以各種方式被配置�����,而 依然落在本公開的范圍內��。例如��,存儲器211可以由數個元件構成����, 該數個元件的每一個都耦合到處理器205�。此外,獨立的處理器和存儲 器元件可以專用于特定任務����,諸如提供圖形顯示器上的圖形圖像,或 用于提供操作系統(tǒng)安全性和數據完整性。在任何情況下�����,存儲器211 將至少具有為移動站200提供用于操作系統(tǒng)213�����、應用219和通用文件 貯存器221的貯存的功能�����。
在一些實施例中�����,操作系統(tǒng)213可以包括核或微核217�����,該核或 微核217支持附加的操作系統(tǒng)215���。例如��,在一些實施例中�,操作系統(tǒng)
10215可以是Lhuix,而微核217可以是L4��。在任何情況下�����,對于具有微 核217的實施例來說��,微核217提供根模式或監(jiān)督模式�,其中,可以 移除高級軟件���,諸如操作系統(tǒng)215或操作系統(tǒng)215的部分�����、以及應用 219或應用219的部分���,而留下由微核217完整地提供的操作能力�。
圖3示出根據實施例的移動站體系結構。移動站具有操作系統(tǒng) (OS) 301和安全核303���。 OS 301經由對應的多個應用編程接口 (API) 307與多個應用305通信�。在多個應用和API中,為接入請求(AR) 應用315和其API 313之間���,以及簡單小鍵盤應用309和小鍵盤撥號 API 311����。
在各個實施例中���,如果網絡檢測到從移動站發(fā)送出異常數目的接 入請求��,則網絡將發(fā)送使得移動站重新啟動到安全模式中的消息�,在 安全模式中�,僅僅允許小鍵盤API311和小鍵盤撥號應用309起作用。 所有其他應用305和API 307被禁用���,尤其是接入請求(AR)應用315 和AR API 313被禁用或被限制為僅僅使用鍵盤撥號應用309����。在一些 實施例中�����,使得移動站重啟的網絡消息可以是空中接口物理層指示符�����。
要理解,應用305����、 309和315可以是但是不局限于對象代碼、 JAVA����、 Brew、 Linux����、 Windows、 HTML����、 WAP、腳本文件等����,所述腳 本文件包括JavaScript、 XML腳本�、WML腳本等���。
圖4示出各個實施例的基本操作����。如果網絡檢測到異常,諸如來 自特定移動站的不期望數目的接入請求���,則網絡將發(fā)送維護消息到移 動站�,如框401所示��。該消息可以是如先前討論的經由空中接口的簡 單物理層指示符���。該消息也可以是使用加密的帶符號的消息�。如框403 所示�,移動站將通過重啟進入安全模式來響應該消息。在維護消息帶 有符號的實施例中��,移動站首先將使用例如證書231來驗證維護消息 真實性�,以及將使用諸如完整性密鑰227的完整性密鑰來驗證消息完 整性。在其他實施例中�,可以再次使用例如證書231單獨使用維護消息報頭信息來驗證真實性。該方法���,也就是驗證報頭信息的真實性�����, 在一些實施例中也可以用于驗證軟件補丁的真實性�����。
在一些實施例中�,完整性檢查可以包括單向散列功能,或還可以
包括數據鑒權代碼����,其中,使用完整性密鑰227來確定(formulate)散 列值��。在這樣的實施例中�,移動站將使用完整性密鑰227來計算所接 收的維護消息的散列值。然后���,移動站將比較所計算的散列值和與維 護消息一同被發(fā)送的散列值�����。如果散列值匹配���,移動站將認為維護消 息沒有被破壞并且將繼續(xù)進一步的行為���。
在重啟時�,在框405中,僅僅可以對應于圖3的安全核303的安 全代碼將運行��,而所有其他高級API將關閉��。這些API可以包括但是 不局限于用于對象代碼�、JAVA、 Brew�����、 Linux����、 Windows、 HTML���、 WAP����、腳本文件的API��,腳本文件包括JavaScript、 XML腳本���、WML 腳本等����。移動站的圖形顯示器225可以提供移動站已經進入維護模式 的用戶通知��,以及還可以經由揚聲器231提供聽得見的信號�,諸如但 是不局限于特定音調或嗶嗶聲。
具體地��,在各個實施例中����,如框407中所示,AR應用315和AR API313將被關閉或阻止�����。此外��,在一些實施例中�����,在框409中,安全 核303可以證實(validate)高級代碼和API的真實性以及完整性�����。例 如���,在一些實施例中,如果帶有符號的代碼的完整性沒有受損��,則可 以僅僅允許該帶有符號的代碼運行�。如411中所示,可以從通過網絡 接收到的補丁中刪除�����、修復或重新安裝受損或改變的代碼�����。然后�����,移 動站可以重啟返回到正常操作模式中,如框413中所示�����。
在各個實施例中����,基站或基站控制器或網絡控制器將根據圖5執(zhí) 行。在框501中��,控制實體����,其可以是基站103或基站控制器101,將 確定特定移動站正通過空中接口發(fā)送不期望數目的接入請求���。然后�, 基站103將發(fā)送維護消息503��,該維護消息503具有用于使得移動站重啟進入安全模式的參數���。該參數還可以指示對來自移動站的接入請求 的限制����,諸如但是不局限于在給定時期內允許的接入請求的有限數目。 如討論的�����,維護消息可以是物理層指示符�。在一些實施例中,基站103 也可以發(fā)送軟件補丁���,如框505中所示����。
在圖6的框601中����,移動站接收維護消息���。在框603中��,移動站 將通過重啟進入維護模式或安全模式進行響應���。在重啟時,非小鍵盤 撥號API��,包括但是不局限于藍牙(BT)、AT命令���、通用串行總線(USB) 等���,將被禁用,如框605中所示����。框607表示所有高級功能將被禁用��, 所述高級功能包括但是不局限于JAVA �、 Brew 、 Linux �、 Windows 、 HTML ���、 WAP���、腳本文件等,該腳本文件包括JavaScript�����、 XML腳本、WML腳 本等����。然而,如框607中所示�����,在各個實施例中���,依然允許進行緊急 呼叫(諸如911)的鍵盤撥號所需的任何應用和API�����。
在一些實施例中,網絡也可以發(fā)送軟件補丁����,移動站在框609中 接收該軟件補丁。在框611中���,移動站可以應用該補丁并且重啟進入 正常模式���。
圖7示出移動站接收和存儲安全性信息����,諸如真實性證書和完整 性密鑰����。在一些實施例中,該過程可能作為移動站的提供的一部分而 發(fā)生��,也就是由用戶現(xiàn)場(in the filed)進行移動站部署之前某時發(fā)生���。 然而�,在其他實施例中����,可以如圖1所示經由空中將信息發(fā)送到移動 站,其中�,移動站119可以經由通信鏈路113接收完整性密鑰117和 117以及真實性證書'121。因此�����,在圖7的框701中�����,移動站接收真實 性證書,這些真實性證書可以包括用于維護消息和用于各個軟件補丁 的證書�。如703中所示,移動站將該真實性證書存儲在安全存儲器中��。 在框705中��,移動站還可以接收一個或多個完整性密鑰�,并且如框707 中所示,同樣將完整性密鑰存儲在安全存儲器中����。
圖8和9示出在各個實施例中、分別用于接收維護消息和軟件補丁的移動站通用過程��。在框801中�����,由移動站接收維護消息��,以及在
框803中驗證該維護消息的真實性��。在框805中��,驗證維護消息的完 整性��。類似地�����,對于任何隨后接收的(如框901中所示接收的)軟件 補丁來說���,移動站在框903中驗證補丁真實性����,并且如框905中所示 驗證補丁完整性���。如先前討論的�����,移動站可以存儲證書�,諸如證書231��, 以及密鑰�,諸如完整性密鑰227和229,以用于驗證維護消息和軟件補 丁的真實性和完整性����。
圖IO提供在使用散列功能或數據鑒權代碼的實施例中�����、對維護消 息以及任何隨后的軟件補丁驗證完整性的進一步細節(jié)�����。在這些實施例 中�����,散列值將與維護消息或軟件補丁一同被發(fā)送�����。如框1001中所示���, 移動站將計算散列值。如框1003中所示���,使用完整性密鑰來解密與維 護消息或軟件補丁一同被發(fā)送的散列值���,該完整性密鑰例如完整性密 鑰227或229��。如框1005中所示,將接收的散列值與計算的散列值進 行比較���。如果接收的散列值與計算的散列值匹配����,則如框1007中所示���, 承認維護消息或軟件補丁的完整性����。如果散列值不匹配�,則如框1009 中所示,認為維護消息或軟件補丁無效或受損����。在維護消息驗證失敗 的情況下,移動站將在它的正常操作模式中繼續(xù)��,直到接收到有效維 護消息���,在這樣的情況下�,移動站將重啟進入維護模式。在軟件補丁 驗證失敗的情況下����,移動站將繼續(xù)操作在維護模式中,直到接收到有 效或未受損的軟件補丁�����。
雖然已經示出并描述了各個實施例�,但是要知道,本發(fā)明不局限 于此����。對于本領域技術人員來說,在不偏離所附權利要求限定的本發(fā) 明的精神和范圍的情況下�,能夠進行許多修改、改變��、變化�、替換和 等效。
權利要求
1. 一種在無線通信站中的方法����,該方法包括接收維護消息;響應于所述消息����,重啟進入維護模式�;以及在進行所述重啟時����,禁用非小鍵盤應用編程接口����。
2. 根據權利要求l所述的方法,還包括 在進行所述重啟時�,禁用所有高級功能。
3. 根據權利要求l所述的方法���,還包括 在所述重啟后接收軟件補?�?;以及使用所述軟件補丁來釋放所述維護模式����,并且重啟進入正常操作 模式。
4. 根據權利要求l所述的方法�,還包括 限制由所述無線通信站發(fā)送的接入請求。
5. 根據權利要求4所述的方法�,還包括將接入請求限制為在有限時間間隔上的指定數目的接入請求��。
6. 根據權利要求5所述的方法���,還包括如果經由所述小鍵盤輸入了緊急號碼,則允許接入請求超出所述 指定數目��。
7. 根據權利要求l所述的方法�,還包括驗證所述維護消息的真實性,以及驗證所述維護消息的完整性�����。
8. 根據權利要求7所述的方法�����,其中���,所述驗證完整性還包括 計算對應于所述維護消息的第一散列值���;解密附加到所述維護消息的第二散列值;以及 驗證所述第一散列值與所述第二散列值匹配��。
9. 根據權利要求l所述的方法�����,其中,所述禁用非小鍵盤應用編 程接口的步驟還包括禁用對應于未授權的無線電鏈路�、調制解調器 命令能力和串行總線能力的軟件棧和應用編程接口。
10. 根據權利要求9所述方法�,其中,所述禁用所有高級功能的 步驟還包括禁用Java��、 Brew或Linux應用編程接口中的至少一個���。
11. 根據權利要求9所述的方法,其中��,所述未授權的無線電鏈 路是藍牙���、802.11���、 IrDA、 802.16或HomeRF中的一個�����。
12. 根據權利要求ll所述的方法����,其中��,所述禁用所有高級功能 的步驟還包括禁用JavaScript�����。
13. 根據權利要求1所述的方法����,其中����,所述響應于所述消息重 啟進入維護模式的步驟還包括防止執(zhí)行不帶符號的代碼。
14. 根據權利要求3所述的方法�����,還包括-驗證所述軟件補丁的真實性以及驗證所述軟件補丁的完整性���。
15. 根據權利要求14所述的方法�,其中�,所述驗證所述軟件補丁 的完整性還包括-計算對應于所述軟件補丁的第一散列值; 解密附加到所述軟件補丁的第二散列值�;以及 驗證所述第一散列值與所述第二散列值匹配���。
16. —種無線通信站,包括 收發(fā)信機��;處理器���,耦合到所述收發(fā)信機�����;以及小鍵盤,耦合到所述處理器�����;所述處理器被配置為處理在所述收發(fā)信機處接收的維護消息��;響應于所述消息重啟進入維護模式���;以及在所述重啟時��,禁用除用于所述小鍵盤的應用編程接口之外 的所有應用編程接口����。
17. 根據權利要求16所述的無線通信站,其中��,所述處理器還被 配置為響應于所述維護消息禁用所有高級功能��。
18. 根據權利要求17所述的無線通信站�,其中,所述處理器還被 配置為應用由所述收發(fā)信機接收的軟件補?。灰约霸趹盟鲕浖a丁時釋放所述維護模式����,并且重啟進入正常操 作模式。
19. 根據權利要求18所述的無線通信站���,還包括 安全存儲器部件��,耦合到所述處理器����,所述安全存儲器部件具有至少一個存儲的完整性密鑰和至少一個存儲的證書���。
20. 根據權利要求19所述的無線通信站���,其中�,所述處理器還被 配置為使用所述證書來驗證所述維護消息的真實性����,以及使用所述完整 性密鑰來驗證所述維護消息的完整性。
21. 根據權利要求20所述的無線通信站����,其中,所述處理器還被 配置為通過如下操作使用所述完整性密鑰來驗證所述維護消息的完整 性使用所述完整性密鑰來解密在所述維護消息中包含的被包含散列 值�;根據所述維護消息計算新散列值;將所述被包含散列值與所述新 散列值進行比較���,并且如果所述被包含散列值與所述新散列值匹配����,貝'J確定已經保持了所述維護消息的完整性�。
22. 根據權利要求18所述的無線通信站�����,其中����,所述處理器還被 配置為響應于所述維護消息�����,禁用對應于未授權的無線電鏈路����、調 制解調器命令能力和串行總線能力的軟件棧和應用編程接口����。
23. 根據權利要求22所述的無線通信站,其中���,所述處理器還被 配置為禁用Java�、 Brew或Linux應用編程接口中的至少一個���。
24. 根據權利要求23所述的無線通信站�,其中����,所述未授權的無 線電鏈路是藍牙、802.11�、 IrDA、 802.16或HomeRF中的一個。
25. 根據權利要求24所述的無線通信站��,其中�,所述處理器還被 配置為禁用JavaScript或XML腳本中的至少一個。
26. 根據權利要求25所述的無線通信站����,其中,所述處理器還被 配置為防止在維護模式中執(zhí)行不帶符號的代碼����。
27. —種無線通信站,包括-收發(fā)信機��;以及處理器��,耦合到所述收發(fā)信機����,所述處理器被配置為 處理在所述收發(fā)信機處接收的具有參數的維護消息; 響應于所述消息重啟進入維護模式���;以及 根據所述參數限制由所述收發(fā)信機發(fā)送的接入請求。
28. 根據權利要求27所述的無線通信站��,其中,所述處理器還被配置為根據所述參數限制在一段時間內能夠由所述收發(fā)信機發(fā)送接入請 求的頻率���。
29. 根據權利要求28所述的無線通信站�����,其中�,所述處理器還被配置為如果正在發(fā)起緊急呼叫�,則允許所述收發(fā)信機發(fā)送超出由所述參 數指定的限制的接入請求。
30. 根據權利要求29所述的無線通信站�����,還包括耦合到所述處理器的小鍵盤���,其中����,所述處理器還被配置為僅僅當所述緊急呼叫正從所述小鍵盤被發(fā)起時���,才允許所述收發(fā) 信機發(fā)送超出由所述參數指定的所述限制的接入請求�����。
全文摘要
在各個實施例中��,基站(103)或基站控制器(101)將確定移動站(107)是否正在發(fā)送超出限制的接入請求�����,該限制被預定用來表示正常移動站行為���。如果移動站超出該限制��,則網絡將經由基站(103)或諸如基站(105)的其他基站來發(fā)送維護消息到移動站(107)��,以限制它的接入請求�����。維護消息可以包括指定移動站(107)可以在給定時期內做出的接入請求(109)����、(111)的有限數目的參數�����。移動站(107)還可以被允許發(fā)送接入請求(109)以進行緊急呼叫�����,以及還可以被限制為僅僅當從移動站(107)的小鍵盤發(fā)起緊急呼叫時才發(fā)送接入請求����。
文檔編號H04M3/00GK101449566SQ200780007617
公開日2009年6月3日 申請日期2007年3月1日 優(yōu)先權日2006年3月2日
發(fā)明者丹尼爾·J·德克萊爾, 吉諾·A·斯克里巴諾, 小威廉·P·阿爾貝特 申請人:摩托羅拉公司