CN103250401A - 安全装置数据记录 - Google Patents

安全装置数据记录 Download PDF

Info

Publication number
CN103250401A
CN103250401A CN2011800542033A CN201180054203A CN103250401A CN 103250401 A CN103250401 A CN 103250401A CN 2011800542033 A CN2011800542033 A CN 2011800542033A CN 201180054203 A CN201180054203 A CN 201180054203A CN 103250401 A CN103250401 A CN 103250401A
Authority
CN
China
Prior art keywords
network
processor
ddr
service
certain embodiments
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN2011800542033A
Other languages
English (en)
Inventor
格雷戈里·G·罗利
阿里雷札·莱斯尼亚
迈克尔·J·塞宾
詹姆斯·拉文
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Headwater Partners I LLC
Original Assignee
Headwater Partners I LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Headwater Partners I LLC filed Critical Headwater Partners I LLC
Publication of CN103250401A publication Critical patent/CN103250401A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices

Abstract

本发明提供安全装置数据记录(DDR)。在一些实施例中,一种用于安全DDR的系统包括:一个无线通信装置的一个处理器,该无线通信装置用于与无线网络进行无线通信,其中该处理器被配置有一个安全执行环境,并且其中该安全执行环境被配置成:监控该无线通信装置与该无线网络的服务使用;并且生成所监控的该无线通信装置与该无线网络的服务使用的多个装置数据记录,其中每个装置数据记录与一个唯一序列顺序标识符相关联;以及一个存储器,该存储器联接至该处理器并且被配置成为该处理器提供指令。在一些实施例中,该安全执行环境定位在一个应用处理器中、在一个调制解调器处理器中和/或在一个用户识别模块(SIM)中。

Description

安全装置数据记录
发明背景
随着大容量市场数字通信和内容发布的出现,许多接入网络如无线网络、电缆网络以及DSL(数字用户线)网络迫切要求用户容量,而例如EVDO(演进数据优化)、HSPA(高速分组接入)、LTE(长期演进)、WiMAX(全球微波互联接入)以及Wi-Fi(无线保真)无线网络变得越来越受到用户容量的限制。尽管无线网络容量将随着新的更高容量的无线射频接入技术(如MIMO(多输入多输出))并且随着未来所部署的更多的频谱而增长,这些容量增益可能会小于满足增长的数字联网要求的需求。 
类似地,尽管有线线路接入网络(如电缆和DSL)可以具有每用户更高的平均容量,有线线路用户服务消费习惯正趋向非常高的带宽应用,这些带宽应用可以迅速地消耗可用容量并且使总体网络服务体验降级。因为服务提供商成本的一些组件随着增长的带宽而增加,所以这个趋势还将对服务提供商的利润造成负面影响。 
附图简要说明
在以下详细说明和附图中披露本发明的各种实施例。 
图1展示了根据一些实施例的一个先进无线服务平台端到端DDR报告和处理系统的高级图解。 
图2展示了根据一些实施例的用于引导、执行并且更新DDR固件的一个过程。 
图3展示了根据一些实施例的一个APU实现方式中的一个安全嵌入式DDR处理器的一种架构。 
图4展示了根据一些实施例的一个APU实现方式中的一个安全嵌入式DDR处理器连同一个调制解调器总线驱动器的另一种架构。 
图5展示了根据一些实施例的一个APU实现方式中的一个安全嵌入式DDR处理器连同一个调制解调器总线驱动器的另一种架构。 
图6展示了根据一些实施例的一个MPU实现方式中的一个安全嵌入式DDR处理器的一种架构。 
图7展示了根据一些实施例的一个MPU实现方式中的一个安全嵌入式DDR处理器的另一种架构。 
图8展示了根据一些实施例的一个APU中的一个安全嵌入式DDR处理器和一个MPU实现方式中的一个数据通路安全验证器(DPSV)的一种架构。 
图9展示了根据一些实施例的一个用户识别模块(SIM)中的一个安全嵌入式DDR处理器和一个MPU实现方式中的一个数据通路安全验证器(DPSV)的一种架构。 
图10展示了根据一些实施例的一个用户识别模块(SIM)中的一个安全嵌入式DDR处理器和一个MPU实现方式中的一个数据通路安全验证器(DPSV)的另一种架构。 
图11展示了根据一些实施例的一个用户识别模块(SIM)中的一个安全嵌入式DDR处理器和一个MPU实现方式中的一个数据通路安全验证器(DPSV)的另一种架构。 
图12展示了根据一些实施例的一个安全引导顺序流程图。 
图13展示了根据一些实施例的在安全与不安全存储区域之间传递DDR服务处理器邮箱消息的功能图。 
图14展示了根据一些实施例的一个DDR处理器服务控制器会话认证和验证的流图。 
图15展示了根据一些实施例的用于实施装置辅助服务(DAS)的安全装置数据记录的流图。 
图16展示了根据一些实施例的一个先进无线服务平台端到端DDR报告和处理系统。 
详细说明
本发明可以多种方式来实施,这些方式包括如过程;装置;系统;物质的组合;具体体现在计算机可读存储媒介上的计算机程序产品;和/或处理器,如被配置成执行存储在联接至该处理器的存储器上的和/或由该存储器所提供的指令的一个处理器。在本说明书中,这些实现方式或本发明可以采取的任何其他形式可以被称为技术。总体上,所披露的过程的步骤的顺序在本发明的范围内是可以改变的。除非另有说明,被描述为被配置成执行一项任务的一个组件(如一个处理器或一个存储器)可以被实施为:临时地被配置成以一个给定时间来执行该项任务的一个通用组件或被制造成执行该项任务的一个具体的组件。如在此使用的,术语“处理器”是指被配置成处理数据(如计算机程序指令)的一个或多个装置、电路、和/或处理核。 
下文与附图一起提供了对本发明的阐释本发明的原理的一个或多个实施例进行的详细说明。本发明是结合此类实施例进行描述的,但本发明并不限于任何实施例。本发明的范围仅受到权利要求的限制,并且本发明包括多种替代方案、修改以及等效物。以下说明书中提出许多具体的细节,以便提供对本发明的充分的理解。提供这些细节是为了示例的目的,并且可以根据权利要求来实践本发明而无需这些具体的细节中的一些或所有。为了清晰的目的,未详细描述本技术领域已知的与本发明相关的技术材料,以便使得本发明不会不必要地晦涩。 
在一些实施例中,提供了安全装置数据记录(DDR)。在一些实施例中,提供了用于装置辅助服务的安全DDR。在一些实施例中,提供了用于装置辅助服务的安全DDR来用于一个无线通信装置的服务使用监控(例如,基于固件的网络服务使用的监控,如基于一个源地址、端口地址、目的地址、目的端口以及协议的一个5元组)。在一些实施例中,提供了用于装置辅助服务的安全DDR来用于一个无线通信装置的一个无线连接和其他输入/输出(I/O)连接或端口的服务使用监控(例如,基于固件的网络服务使用的监控,如基于一个源地址、端口地址、目的地址、目的端口以及协议的一个5元组)。在一些实施例中,一种用于安全DDR的系统包括:一个无线通信装置的一个处理器,该无线通信装置用于与无线网络进行无线通信,其中该处理器被配置有一个安全执行环境,并且其中该安全执行环境被配置成:监控该无线通信装置与该无线网络的服务使用;并且生成所监控的该无线通信装置与该无线网络的服务使用的多个装置数据记录,其中每个装置数据记录与一个唯一序列顺序标识符相关联;以及一个存储器,该存储器联接至该处理器并且被配置成为该处理器提供指令。在一些实施例中,一种用于安全DDR的系统包括:一个无线通信装置的一个处理器,该无线通信装置用于与无线网络进行无线通信,其中该处理器被配置有一个安全执行环境,该安全执行环境被配置成:监控该无线通信装置与这些网络和该装置的I/O连接(这些网络和该装置的I/O连接包括但不限于:广域无线网络(例如,第二代、第三代、第四代等)、WiFi网络或连接、USB网络或连接、以太网络或连接、火线连接、蓝牙连接、近场通信(NFC)连接或另一个I/O连接或端口)中的一个或多个的服务使用;并且生成所监控的该无线通信装置与该无线网络的服务使用的多个装置数据记录,其中每个装置数据记录与一个唯一序列顺序标识符相关联;以及一个存储器,该存储器联接至该处理器并且被配置成为该处理器提供多个指令。在一些实施例中,包括该安全DDR处理器的该安全执行环境定位在一个应用处理器中、在一个调制解调器处理器中和/或在一个用户识别模块(SIM)中。 
在所披露的实施例中的许多实施例中,一个安全装置数据记录处理系统作用于在该装置的一个广域无线网络连接(例如,第二代、第三代或第四代连接)或一个广域无线调制解调器(例如,第二代、第三代或第四代调制解调器)上流动的通信。如本领域的普通技术人员将会理解的,该安全装置数据记录处理系统还可以作用于在一个或多个另外的I/O网络、连接、端口或调制解调器(例如,WiFi网络、连接、端口、或调制解调器;USB网络、连接、端口、或调制解调器;以太网络、连接、端口、或调制解调器;火线网络、连接、端口、或调制解调器;蓝牙网络、连接、端口或调制解调器;近场通信(NFC)网络、连接、端口或调制解调器;或另一个I/O连接、端口、或调制解调器)上流动的通信。 
在一些实施例中,一种用于安全DDR的系统包括:一个无线通信装置的一个处理器,该无线通信装置用于与无线网络进行无线通信,其中该处理器被配置有一个安全执行环境,并且其中该安全执行环境被配置成:监控该无线通信装置与该无线网络(并且可能地是该装置的一个或多个另外的I/O连接)的服务使用;并且生成所监控的该无线通信装置与该无线网络(并且可能地是该装置的一个或多个另外的I/O连接)的服务使用的多个装置数据记录,其中每个装置数据记录是装置数据记录的一个有序序列中的一个,其中每个顺序的装置数据记录提供对在由该装置数据记录所跨越的一个服务使用间隔内的服务使用的一个记账,并且其中每个装置数据记录与一个受保护的唯一序列顺序标识符相关联;以及一个存储器,该存储器联接至该处理器并且被配置成为该处理器提供多个指令。以这种方式,一个装置无线接入网络连接(或其他I/O端口通信连接)上的通信活动被安全地监控并且被报告给一个网络服务器以供用于进一步处理,以便确定是否正在正确地强制执行装置接入服务策略,或以便确定该装置操作环境中的恶意软件是否正在接入该网络(或其他I/O连接端口)。在一些实施例中,包括该安全DDR处理器的该安全执行定位在一个应用处理器中、在一个调制解调器处理器中和/或在一个用户识别模块(SIM)中。 
在一些实施例中,用于将安全装置数据记录递送至一个网络服务器以供用于进一步分析和处理的一个通信通道包括一个安全消息接收反馈回路,并且如果该安全消息反馈回路被中断,则检测到并且作用于一个装置环境安全错误状况。在一些实施例中,使用一个签名的或加密的通信通道将装置数据记录的该有序序列的传递至一个服务控制器。在一些实施例中,该服务控制器观察这些装置数据记录以便确定遵守一个基于装置的接入网络(或其他I/O连接或端口)接入策略。在一些实施例中,该服务控制器还观察装置数据记录的该有序序列的完整性,以便确定装置数据记录是否已经被窜改或省略。在一些实施例中,如果该服务处理器确定这些装置数据记录未被窜改或省略,则该服务控制器发送回一个签名的或加密的装置数据记录接收消息。在一些实施例中,如果该服务处理器确定这些装置数据记录已经被窜改或省略,则该服务控制器发送回一个错误消息或不会发送回一个签名的或加密的装置数据记录接收消息。在一些实施例中,如果在一定时间段内、或在一定数量的被传输的装置数据记录内、或在一定量的被处理的通信信息内,用于安全DDR的该系统从该服务控制器接收一个错误消息、或没有接收一个签名的或加密的装置数据记录接收消息,那么(i)可以生成一个装置配置错误消息以递送至一个安全管理员或服务器,或(ii)用于该无线通信装置的这些无线网络连接(或其他I/O连接或端口)中的一个或多个被或者阻止或者被限制于一个预定义的安全目的地集。以这种方式,如果一个装置服务处理器、该装置操作环境、装置操作系统或装置软件被窜改的方式为产生不遵守预期的策略或所允许的策略的无线网络(或其他I/O端口)接入服务使用特性,则可以生成一个装置配置错误消息,或可以限制或阻止装置无线网络接入(或其他I/O连接接入)。这类实施例在保护基于装置的网络接入(或I/O控制)中会是有用的,并且在识别已经被窜改的装置软件或出现在该装置上的任何恶意软件中也会是有用的。在一些实施例中,无线网络接入(或其他I/O接入)上的限制导致接入足以允许对该装 置配置错误状况进行进一步分析或故障检测的一个有限数量的网络目的地或资源。 
以下各项中披露用于提供装置辅助服务(DAS)的各种技术:于2009年3月2日提交、作为美国公开申请号2010/0192212被公开、标题为“自动装置配置及激活(AUTOMATED DEVICE PROVISIONING AND ACTIVATION)”的共同待决的美国专利申请号12/380,780(代理人案号RALEP007);于2010年1月27日提交、作为美国公开申请号2010/0197266被公开、标题为“装置辅助CDR创建、聚合、调解及计费(DEVICE ASSISTED CDR CREATION,AGGREGATION,MEDIATION AND BILLING)”的共同待决的美国专利申请号12/695,019(代理人案号RALEP022);以及于2010年1月27日提交、作为美国公开申请号2010/0199325被公开、标题为“用于装置辅助服务的安全技术(SECURITY TECHNIQUES FOR DEVICE ASSISTED SERVICES)”的共同待决的美国专利申请号12/694,445(代理人案号RALEP025),这些专利申请出于所有目的通过引用结合在此。 
在一些实施例中,如在此参照各种实施例所描述的,提供了一个DDR处理器用于无线通信装置(例如,用于辅助无线通信装置的无线网络服务使用的装置辅助服务(DAS)的实现方式,这些无线通信装置如一个移动电话、智能电话、膝上计算机、PDA、游戏装置、音乐装置、平板电脑、计算机和/或具有无线通信接入的任何其他装置)。在一些实施例中,提供了一个安全DDR处理器(例如,在一个安全执行环境中实施/执行)。在一些实施例中,使用在此所描述的各种技术来保护一个DDR处理器。在一些实施例中,该DDR处理器包括一个DDR生成器。在一些实施例中,该DDR处理器生成多个DDR。在一些实施例中,该DDR处理器向一个网元(例如,一个服务控制器、DDR网络存储系统和/或另一个网元)报告多个DDR。在一些实施例中,该安全DDR处理器向一个装置单元/功能报告这些DDR,该装置单元/功能在一个报告(例如,或多个服务处理器报告)中聚合这些DDR(例如,并且可以包括其他服 务使用和/或其他信息),该报告被传递至一个网元。在一些实施例中,生成并且向一个网元传递多个DDR连同多个服务处理器报告。在一些实施例中,使用在此所描述的各种技术来保护一个DDR处理器。 
在一些实施例中,如在此参照各种实施例所描述的,多个DDR包括装置辅助和/或基于装置的监控的服务使用(例如,基于各种标准,如针对一个指定的时间间隔和/或事件)。在一些实施例中,定期地报告多个DDR。在一些实施例中,基于一个事件和/或来自一个网元(例如,一个服务控制器或另一个网元/功能)的一个请求来报告多个DDR。在一些实施例中,多个DDR被传递至一个装置服务处理器(例如,或另一个装置单元/功能),该装置服务处理器聚合这类DDR并且定期地提供包括这类DDR的服务使用报告或基于一个请求和/或一个事件提供这类服务使用报告。在一些实施例中,每个DDR包括一个唯一标识符(例如,一个唯一序列标识符)。在一些实施例中,使用这些唯一标识符可以检测到一个丢失的DDR(例如,与每个DDR相关联的序列计数和/或时间戳信息允许对一个潜在可疑的服务使用事件进行检测,如使用该序列计数和/或时间戳信息确定的一个丢失、延迟的和/或破解的装置数据记录,并且在检测到该可疑的服务使用事件时可以执行响应性/改正性活动,如在此描述的)。在一些实施例中,如果在一定时间段内未接收到一个DDR,那么一个接入控制器被激活以限制网络接入直至正确地生成并且报告多个DDR(例如,一个网元(如一个服务控制器)向该装置发送一个保活的信号以实施超时时段以用于验证来自该装置的正确地生成并且验证的多个DDR的接收,并且如果在一个指定的时间段内未接收到该保活信号,那么该基于装置的受保护的接入控制器可以实施受限制的网络接入控制功能)。 
在一些实施例中,提供了如在此参照各种实施例所描述的一个DDR网络存储系统。在一些实施例中,提供了一个服务控制器,该服务控制器包括该DDR网络存储系统和一个DDR调和功能(例如,用于对DDR记录和/或DDR报告或其他基于装置和/或基于网络的服务使用报告 (如多个CDR、微型CDR和/或IPDR或其他服务使用报告)进行调和)。在一些实施例中,一个基于网络的调和功能将多个DDR(例如,多个聚合的DDR和/或DDR报告)与一个或多个基于网络的服务使用度量进行调和。在一些实施例中,该基于网络的调和功能将多个DDR与两个或更多个基于网络的服务使用度量进行调和。在一些实施例中,该基于网络的调和功能将多个DDR与两个或更多个基于网络的服务使用度量(例如,包括业务量相关事件(如NBS和/或QoS)的基于CDR、FDR、IPDR、DPI的度量和/或其他基于网络的服务使用度量)进行调和。在一些实施例中,该基于网络的调和功能将两个或更多个基于装置的服务使用度量(例如,DDR、服务处理器报告、和/或包括业务量相关事件(如NBS和/或QoS)的其他基于装置的服务使用度量)与一个基于网络的服务使用度量进行调和。在一些实施例中,该基于网络的调和功能将两个或更多个基于装置的服务使用度量与两个或更多个基于网络的服务使用度量进行调和。在一些实施例中,该基于网络的调和功能对两个或更多个基于装置的服务使用度量进行调和,其中这些基于装置的服务使用度量之一受到保护(例如,被认为是基于在此所描述的(如用于安全DDR的)各种技术而受到保护和/或信任的),并且其他基于装置的服务使用度量中的一个或多个未受到保护(例如,未完全受信任的,如由未在一个安全执行环境中实施的一个服务处理器所生成的一个服务处理器报告)。在一些实施例中,该调和功能基于各种不同的报告格式进行调和,这些报告格式如由基于不同装置和网络的各种服务使用度量所使用的时间度量间隔、度量单位、和/或其他不同的标准。 
在一些实施例中,提供了如在此参照各种实施例所描述的一个安全接入控制器。在一些实施例中,该DDR处理器包括该安全接入控制器。在一些实施例中,该安全接入控制器确保具有DAS的一个无线通信装置不会具有开放的网络接入,直至和/或除非该装置正确地生成了并且报告了多个安全DDR。 
在一些实施例中,该DDR处理器包括如在此参照各种实施例所描述的受到保护的一个网络忙碌状态(NBS)监控和报告功能。在一些实施例中,一个网元聚合从来自同一扇区和/或来自在服务附近内的不同扇区的一个或多个无线通信装置所接收到的NBS信息,并且建立或者相同的网络忙碌状态规则(例如,接入控制、收费以及通知)和/或正确地改变现有的NBS规则。 
在一些实施例中,提供了一个受保护的引导顺序。在一些实施例中,该受保护的引导顺序确保该DDR处理器受到保护并且在向该无线通信装置提供开放的网络接入控制之前正确地生成DDR。在一些实施例中,该受保护的引导顺序包括使用该安全接入控制器来限制网络接入,直至完成了该受保护的引导顺序。在一些实施例中,该安全引导顺序包括验证DDR ACK和接收帧。 
在一些实施例中,提供了用于与无线网络进行无线通信的一个无线通信装置的一个处理器,其中该处理器被配置有一个安全软件或固件指令执行环境,并且其中该安全软件或固件指令执行环境中的一个程序被配置成:监控该无线通信装置与该无线网络的服务使用;生成所监控的该无线通信装置与该无线网络的服务使用的多个装置数据记录(DDR),其中这些装置数据记录是所监控的服务使用的安全装置数据记录,其中每个装置数据记录形成装置数据记录的一个有序序列的一部分,其中每个顺序的装置数据记录提供在由该装置数据记录所跨越的一个服务使用间隔内的服务使用的一个记账,并且其中每个装置数据记录与同样受保护的一个唯一序列顺序标识符相关联。 
在一些实施例中,当该装置在该网络上活跃时,装置数据记录的该序列形成装置服务使用的一个连续的并且不中断的报告。在一些实施例中,该安全软件或固件指令执行环境被定位并且被配置成使得仅可以通过一个数据通路接入该网络,该数据通路由该安全软件或固件指令执行环境中的程序监控。在一些实施例中,该安全软件或固件指令执行环 境定位在一个调制解调器处理器(例如,MPU)中。在一些实施例中,该安全软件或固件指令执行环境定位在一个应用处理器(例如,APU)中。在一些实施例中,该安全软件或固件指令执行环境定位在一个用户识别模块(SIM)(例如,SIM卡)中。在一些实施例中,该安全软件或固件指令执行环境定位在一个APU、MPU和/或SIM的一个组合中。 
在一些实施例中,使用在此所描述的各种密码技术,如使用以下各项中的一项或多项来保护这些装置数据记录:加密、数字签名以及完整性检查。 
在一些实施例中,定位在一个安全执行环境中的一个DDR处理器被配置成:将装置数据记录的一个序列传递至如一个网元(例如,一个服务控制器)内的一个装置数据记录存储功能,其中与该唯一序列标识符结合的该多个安全装置数据记录提供可追溯性,以便识别一个或多个使用记录是否已经被窜改或从被传输至该存储功能的数据记录的该序列省略。在一些实施例中,该唯一序列标识符包括以下各项中的一项或多项:序列计数、时间戳、开始时间指示器、终止时间指示器、相连时间间隔标识符,并且聚合在记录的开始或结束时的使用计数、参考时间、或在该记录开始或结束时的经过时间。 
在一些实施例中,一个新装置数据记录的生成由以下各项中的一项或多项确定:一个预定的时间、经过时间段、自上一报告的经过时间段、对自上一报告的经过时间段的最大限制、聚合数据使用的一个或多个方面的量、自上一报告的数据使用的一个或多个方面的量、自上一报告的数据使用的一个或多个方面的最大限制、对生成一个DDR的一个请求、对在传输之前含有或处理DDR信息所需要的存储器或存储介质的最大量的一个限制、装置接通电源或切断电源、调制解调器或装置子系统接通电源或切断电源、调制解调器或装置子系统进入或离开一个省电状态、使用一个网元或服务器进行的装置或装置子系统认证、或一个检测到的事件,该检测到的事件由一个或多个服务使用活动或对一个服务使 用记录窜改或欺骗事件的检测或到一个新网络忙碌状态的转变和/或QoS业务量事件来触发。 
在一些实施例中,DDR处理器、服务处理器或另一个基于装置的单元/功能基于以下各项中的一项或多项来传输DDR:最大时间增量、最大服务使用增量、来自服务处理器的轮询和/或来自服务控制器的轮询。在一些实施例中,建立关于DDR传输的一个最大时间增量以确保一旦发生服务控制器认证则极少或没有服务可以被劫持。在一些实施例中,受限制的网络服务活动集的至少一部分包括对该服务控制器或其他网元的接入,该接入是管理以下能力所必需的:一旦该服务控制器使用该服务处理器进行认证并且符合安全DDR生成器的正确操作,该装置就接入该网络。在一些实施例中,该受限制的网络服务活动集的至少一部分包括对一个最小的漫游网络服务活动集的接入,该接入是启动一个漫游网络认证该装置的接入特权的过程所需要的。在一些实施例中,该受限制的网络服务活动集的至少一部分包括对一个最小的漫游网络服务活动集的接入,该接入是启动一个企业网认证该装置的接入特权的过程所需要的。在一些实施例中,该受限制的网络服务活动集的至少一部分包括对一个最小的漫游网络服务活动集的接入,该接入是启动一个MVNO网络认证该装置的接入特权的过程所需要的。在一些实施例中,更允许的服务活动集的至少一部分是可供用于接入可供在一个漫游网络上使用的这些服务的至少一个子集。在一些实施例中,该更允许的服务活动集的至少一部分是可供用于接入可供在一个MVNO网络上使用的这些服务的至少一个子集。在一些实施例中,该更允许的服务活动集的至少一部分是可供用于接入可供在一个企业网上使用的这些服务的至少一个子集。 
在一些实施例中,装置数据记录服务使用信息包括对以下各项中的一项或多项的测量:语音服务(例如,VOIP)使用记录;文本服务使用记录;数据网络服务使用记录;数据网络流数据记录;数据网络通用、聚合或批量服务使用记录;至少部分地按照远端目的地分类的服务使用;至少部分地按照第3层网络通信信息(如IP地址或ATM地址)分类的 服务使用记录;至少部分地按照第4层网络通信信息(如IP地址和端口组合)分类的服务使用;可与基于网络的流数据记录(如基于网络的FDR、CDR或IPDR)相比的数据网络服务使用记录;至少部分地按照当日时间分类的服务使用;至少部分地按照地理位置分类的服务使用;至少部分地按照服务该装置的有源网络分类的服务使用;至少部分地按照连接至该装置的一个漫游网络分类的服务使用;至少部分地按照网络忙碌状态或网络拥塞分类的服务使用;至少部分地按照QoS分类的服务使用,至少部分地按照第7层网络通信信息(如服务器名称、域名、URL、引用者主机或应用服务流信息)分类的服务使用;至少部分地按照网络通信协议(如TCP、UDP、DNS、SMTP、IMAP、POP、FTP、HTTP、HTML、VOIP)分类的服务使用;至少部分地按照应用程序名或由操作系统所分配的应用标识符或应用程序捕获或请求服务所特有的另一个应用标识符(例如,装置用户标识符,如一个基于安卓的装置上的安卓用户ID)分类的服务使用;以及至少部分地按照服务活动分类的服务使用。 
在一些实施例中,定位在该安全执行环境中的DDR处理器被配置成向一个网元(例如,定位在该网络中的存储功能)发送这些装置数据记录。在一些实施例中,定位在该安全执行环境中的DDR处理器被配置成:在安全软件或固件指令执行环境与定位在该网络中的存储功能(例如,一个网元,如一个服务控制器)之间提供一个安全通信通道,其中该通信通道安全协议被配置成避免窜改这些安全装置数据记录(DDR)。在一些实施例中,定位在该安全执行中的DDR处理器被配置成:使用一个网元(例如,一个服务控制器)执行一个认证序列或过程,其中一个安全装置数据记录序列启动消息被发送至一个网络目的地,然后进行认证协议交换序列以便在传输这些安全数据记录之前认证该网元。 
在一些实施例中,定位在安全执行环境中的DDR处理器被配置成执行以下各项:向一个网元发送该装置数据记录序列(例如,经由一个安全通道);实施一个安全接入控制器以便将网络接入限制于可供使用的网络目的地的一个预定的子集;从一个可信网元(例如,或者直接从 该网元或者从该装置上的将这些安全消息从该网元转发至该安全执行环境中的该DDR处理器的另一个功能)接收一个安全消息;如果接收了一个经过验证(例如,正确地被保护并且被配置)的确认一个或多个安全装置数据记录的接收或确认一个接入网络认证序列的消息,那么该安全接入控制器允许对该网络进行不受限制的或受到较少限制的接入;如果未接收到一个经过验证的确认一个或多个安全装置数据记录的接收或确认一个接入网络认证序列的消息,那么该安全接入控制器将接入限制于一个预定的网络目的地或功能集,直至接收到一个经过验证的确认一个或多个安全装置数据记录的接收或确认一个接入网络认证序列的消息。 
在一些实施例中,定位在安全执行环境中的DDR处理器被配置有一个接入控制器,如果一个预定的最大量的时间在以下各项之间经过:确认一个或多个安全装置数据记录的接收或一个认证序列的一个第一消息被安全执行环境中的DDR处理器接收的时间与确认一个或多个安全装置数据记录的接收或一个认证序列的一个第二消息被该安全执行环境中的该DDR处理器接收的时间,或一个或多个安全装置数据记录由该安全执行环境中的该DDR处理器发送的时间与确认一个或多个安全装置数据记录的接收或一个认证序列的一个消息被该安全执行环境中的DDR处理器接收的时间,则该接入控制器将接入限制于一个预定的网络目的地或功能集;并且该接入控制器否则允许对该网络进行不受限制或受到较少限制的接入。 
在一些实施例中,定位在安全执行环境中的DDR处理器被配置成:通过首先将装置数据记录发送至定位在该装置上的一个第二程序功能(该第二程序功能然后将该装置数据记录转发至定位在该网络中的装置数据记录存储功能),来向定位在该网络中的装置数据记录存储功能发送该装置数据记录。在一些实施例中,定位在该安全执行环境中的DDR处理器被配置成除了安全装置数据记录序列之外还提供一个第二服务使用报告序列。在一些实施例中,另一个客户端功能/单元(例如,一个服务处理器功能/单元或代理)被配置成除了该安全装置数据记录序列之外 还提供一个第二服务使用报告序列。在一些实施例中,该第二服务使用报告序列包括至少部分地与这些安全装置数据记录不同的服务使用分类。在一些实施例中,装置数据使用分类之间的差异至少部分地包括:一个记录包括以下各项中的一项或多项:应用信息、第7层网络信息、服务流相关联信息、用户定义的输入信息、网络忙碌状态信息、有源网络信息或其他信息,而另一个数据则不包括。 
在一些实施例中,定位在安全执行环境中的DDR处理器被配置成以一种允许对这两个记录进行简化的调和的方式来发送该装置数据记录序列和该第二装置数据记录序列。在一些实施例中,定位在该安全执行环境中的该DDR处理器被配置成用以下方式来提供该第二服务使用报告序列:提供由这些第二服务使用报告中的一个或多个所跨越的一个测量间隔开始时间和终止时间与由这些安全装置数据记录中的一个或多个所跨越的测量间隔的近似对齐。 
一些实施例中,定位在安全执行环境中的DDR处理器被配置成:基于对无线通信装置与无线通信网络的服务使用的监控,创建并且记录网络性能的表征;分析网络性能的这些表征,并且将这些性能表征归纳成一个或多个网络性能统计,该一个或多个网络性能统计以摘要形式表征该网络在被装置经历时的性能水平或拥塞水平;生成包括在不同时间所创建的这些网络性能统计的一个序列的多个网络性能报告消息;其中这些网络性能报告消息是受保护的网络性能报告;并且将这些受保护的网络性能报告发送至定位该网络中的存储功能。 
在一些实施例中,被配置为一个装置数据记录存储和处理功能、用于与一个无线网络进行无线通信的一个网络装置的一个处理器,该无线网络与多个无线通信装置处于无线通信,而每个无线装置包括一个安全装置数据记录生成器,其中该网络装置的该处理器被进一步配置成:在该多个安全装置数据记录处理器中的每一个与该网络装置之间提供多个单独的安全通信通道,其中通信通道安全协议被配置以便使得可以检 测到对这些装置数据记录的窜改;在这些安全通信通道上从这些安全装置数据记录处理器中的每一个接收多个装置数据记录,其中该多个安全装置数据记录是所监控的该无线通信装置与该无线网络的服务使用的服务使用记录,并且其中每个装置数据记录形成装置数据记录的一个有序的序列的一部分,其中每个序列的装置数据记录提供对在由该装置数据记录所跨越的服务使用间隔内的服务使用的一个不间断的记账,并且其中服务数据记录的该序列形成对装置服务使用的一个相连的并且不间断的报告,并且其中每个装置数据记录与一个唯一的序列顺序标识符相关联;提供一个装置数据记录存储功能,其中存储每个装置的装置数据记录序列;针对每个装置,分析所存储的装置数据记录的序列以确定这些装置数据记录中的一个或多个是否已经通过以下验证而被破解:该服务使用记录中的信息根据该安全通信通道协议被正确地配置;针对每个装置,通过确定该聚合序列的这些安全相连序列标识符是否全部出现在该序列中来确定这些装置数据记录中的一个或多个是否已经从初始地从该装置被传输的装置数据记录序列被移除或阻止;并且如果任何装置数据记录已经被破解、延迟或移除,则设置那个装置的一个欺骗检测标志以便限制网络接入,并且还给网络装置或一个网络管理员发出信号以采取进一步行动。 
在一些实施例中,包括在该装置数据记录序列中的这些安全装置数据记录包括一个安全网络性能报告,该安全网络性能报告表征在该安全装置数据记录生成时的网络性能或拥塞。在一些实施例中,该装置数据记录序列至少部分地被用作服务使用的一个记录,该记录形成用于计算一个服务使用账单的业务逻辑或规则中的一个输入因子。在一些实施例中,该装置数据记录序列至少部分地被用作服务使用的一个记录,该记录形成用于确定是否正在正确地强制执行一个或多个装置接入网络服务策略的业务逻辑或规则中的一个输入因子。在一些实施例中,该装置数据记录序列至少部分地被用作服务使用的一个记录,该记录形成在更 新一个终端用户服务使用通知消息、服务使用通知显示或服务购买消息触发事件中的一个输入因子。 
在一些实施例中,该网络装置处理器被进一步配置成从一个第二装置程序功能接收一个装置数据记录序列,该第二装置程序功能在从该安全装置数据记录生成器接收装置数据记录之后转发该装置数据记录。在一些实施例中,该网络装置处理器被进一步配置成从一个第二装置程序功能接收一个第二服务使用数据记录序列。在一些实施例中,这两个装置数据记录序列拥有在同一(或近似地同一或重叠的)时间跨度内至少部分地(例如,分类参数、第3/4层和/或第7层的使用)不同的服务使用分类。在一些实施例中,该网络装置处理器被进一步配置成将这两个数据记录序列进行比较并且确定服务使用报告的这两个序列彼此相匹配是否达到在一个可允许的容许极限内。 
在一些实施例中,一个或多个安全装置数据记录可以伴随包括在DDR报告中的从服务处理器接收的相应的第7层分类信息(例如,域名、应用程序标识符、HTTP信息、关联分类和/或如在此所描述的其他信息)与5元组分类信息(例如,源地址、端口地址、目的地址、目的端口以及协议),这些信息例如可以被发送至服务控制器(例如,或另一个网元),以便使用在此所描述的各种技术来辅助服务使用调和和/或验证。在一些实施例中,使用该第7层分类信息和该5元组分类信息的这些服务使用调和和/或验证操作中的一个或多个在客户端中本地执行(例如,在一个安全执行区域中)。在一些实施例中,使用该第7层分类信息和该5元组分类信息的这些服务使用调和和/或验证操作中的一个或多个在该客户端中本地执行(例如,在一个安全执行区域中),并且使用该第7层分类信息和该5元组分类信息的这些服务使用调和和/或验证操作中的一个或多个在该网络中执行(例如,在一个或多个网元,如该服务控制器处)。 
在一些实施例中,匹配标准的一部分是确定服务使用报告的这两个序列在所报告的网络性能水平或网络拥塞水平上是否相匹配。在一些 实施例中,容许极限是基于在由这两个数据记录序列所跨越的使用间隔内的总数据使用。 
在一些实施例中,该网络装置处理器被进一步配置成识别第二服务使用记录序列中的一个或多个分类范畴的服务使用的量,该服务使用可以与该安全装置数据记录序列中的一个或多个分类范畴的服务使用进行调和。在一些实施例中,分类范畴调和中的一个标准包括确定服务使用报告的这两个序列在所报告的网络性能水平或网络拥塞水平上是否相匹配。 
在一些实施例中,网络装置处理器被进一步配置成识别来自第二服务使用记录序列的服务使用的量,该量不可以与安全装置数据记录序列中的已知服务使用分类进行调和。在一些实施例中,分类范畴调和中的一个标准包括确定服务使用报告的这两个序列在所报告的网络性能水平或网络拥塞水平上是否相匹配。 
在一些实施例中,一个最小容许极限被强加于在第二服务使用记录序列中的一个或多个分类范畴的服务使用的量、相对量或百分比上,该一个或多个分类范畴可以与该安全装置数据记录序列中的一个或多个分类范畴相匹配或相关。在一些实施例中,在不符合该最小容许极限时,设置那个装置的一个欺骗检测错误标志以便限制网络接入,并且还给网络装置或一位网络管理员发信号以采取进一步行动。 
在一些实施例中,一个最大容许极限被强加于第二服务使用记录序列中的一个或多个分类范畴服务使用的量、相对量或百分比上,该一个或多个分类范畴不可以与安全装置数据记录序列中的一个或多个分类范畴相匹配或相关。在一些实施例中,在超过该最大容许极限时,设置那个装置的一个欺骗检测错误标志以便限制网络接入,并且还给网络装置或一位网络管理员发信号以采取进一步行动。 
在一些实施例中,该网络装置处理器被进一步配置成确定由该安全装置数据记录序列所跨越的服务使用报告在预定的容许极限内是否与 意图在适当地方的一个或多个装置服务使用强制执行策略相符合。在一些实施例中,如果超过了这些容许极限,则设置那个装置的一个欺骗检测错误标志以便限制网络接入,并且还给网络装置或一位网络管理员发信号以采取进一步行动。在一些实施例中,该网络装置处理器被进一步配置成:确定由第二装置服务使用报告序列所跨越的服务使用报告在预定的容许极限内是否与意图在适当地方的一个或多个装置服务使用强制执行策略相符合。在一些实施例中,如果超过了这些容许极限,则设置那个装置的一个欺骗检测错误标志以便限制网络接入,并且还给网络装置或一位网络管理员发信号以采取进一步行动。 
在一些实施例中,该网络装置处理器被进一步配置成向在一个安全软件或固件指令执行环境中运行的多个装置程序中的每一个提供一个或多个安全消息,其中这些安全消息或者确认一个或多个安全装置数据记录的接收或者确认一个接入网络认证序列。在一些实施例中,该网络装置处理器被进一步配置成针对每个装置发送一系列的安全消息,该系列的安全消息直接或含蓄地命令在一个安全软件或固件指令执行环境中运行的这些程序,以便允许对在一个安全软件或固件指令执行环境中运行的程序进行不受限制的或受到较少限制的网络接入达一个时间段,该时间段是或者预定的或者在来自该网络装置处理器的一个消息中是指定的。在一些实施例中,该网络装置处理器被进一步配置成针对每个装置发送一个安全消息,该安全消息指示在一个安全软件或固件指令执行环境中运行的程序,以便将网络接入限制于一个预定的网络目的地或功能集。 
在一些实施例中,提供一个安全网络忙碌状态(NBS)监控和报告。在一些实施例中,该安全NBS监控和报告促进NBS收费和控制强制执行。在一些实施例中,用于与一个无线网络进行无线通信的一个无线通信装置的一个处理器,其中该处理器被配置有一个安全软件或固件指令执行环境,并且其中该安全执行环境中的一个DDR处理器被配置成:监控该无线通信装置与该无线网络的服务使用;基于对该无线通信装置 与该无线通信网络的服务使用的监控,创建并且记录网络性能的表征;分析网络性能的这些表征并且将这些性能表征归纳成一个或多个网络性能统计,该一个或多个网络性能统计提供该网络在由该装置经历时的性能水平或拥塞水平的指示;生成包括在不同时间所创建的这些网络性能统计的一个序列的多个网络性能报告消息;其中这些网络性能报告消息是受保护的网络性能报告;并且将这些受保护的网络性能报告发送至定位在该网络中的存储功能。 
在一些实施例中,对网络忙碌状态或网络拥塞的度量是通过观察以下各项中的一项或多项而形成的:网络接入尝试的数量、接入成功的数量、接入失败的数量、接入尝试与接入成功之间的延迟、网络吞吐量数据速率、数据差错率、分组差错率、分组重复率、单向或往返延迟、单向或往返延迟抖动、TCP业务量延时参数、TCP窗口参数、调制解调器通道质量、调制解调器通道功率、调制解调器通道信噪比、调制解调器空中数据速率,或网络吞吐量数据速率vs.调制解调器空中数据速率,以及该网络的子网络(该装置被连接至该子网络)。 
在一些实施例中,对服务使用的这些度量是从观察由装置用户的服务使用所生成的网络业务量来获得的。在一些实施例中,服务使用的这些度量是从以下内容获得的:在该装置与一个网络功能之间传递一个或多个网络业务量序列;并且使用包括这些网络业务量序列的服务使用监控的子集来创建并且记录网络性能的表征。 
在一些实施例中,被配置为一个装置安全网络性能记录存储和处理器功能、用于与一个无线网络进行无线通信的一个网络装置的一个处理器,该无线网络与多个无线通信装置处于无线通信,而每个无线装置包括一个安全网络性能记录生成器,其中该网络装置的该处理器被进一步配置成:在该多个安全网络性能记录生成器中的每一个与该网络装置之间提供单独的安全通信通道,其中通信通道安全协议被配置以便使得可以检测到对该安全网络性能记录的窜改;在该安全通信通道上从这些 安全网络性能记录生成器中的每一个接收多个安全网络性能记录,其中该多个安全网络性能记录是网络性能统计,这些网络性能统计提供该网络由该装置经历时的性能水平或拥塞水平的指示;提供其中存储每个装置的安全网络性能记录序列的一个装置安全网络性能记录功能;确定该网络的子网络(每个装置被连接至该子网络),并且分析从连接至同一子网络的多个装置接收的这些安全网络性能记录,以便确定该子网络的性能水平或拥塞水平的一个聚合表征,并且执行同一操作以确定连接至该网络的其他子网络的性能水平或拥塞水平的一个聚合表征;存储被表征的每个子网络的性能水平或拥塞水平的聚合表征的结果,并且使得所存储的结果可供用于其他网络装置或功能;并且如果任何装置数据记录已经被破解、延迟或移除,则设置那个装置的一个欺骗检测错误标志以便限制网络接入,并且还给网络装置或一位网络管理员发信号以采取进一步行动。 
在一些实施例中,提供了一个网络性能表征系统。在一些实施例中,该网络性能表征系统包括用于与一个无线网络进行无线通信的一个无线通信装置的一个处理器,其中该处理器被配置有一个安全软件或固件指令执行环境,并且其中该安全软件或固件指令执行环境中的一个程序被配置成:在该装置与一个网络装置之间传递多个业务量序列,其中这些业务量序列是受保护的;并且基于以下各项中的一项或多项启动每个业务量序列:一个预定的时间或时间间隔,出现在该装置上的、并且作为对从该网络装置传递的一个消息的一个响应的一个服务使用事件或服务使用状况;并且该安全执行环境中的与该程序处于安全通信的网络装置的一个处理器(例如,DDR处理器)被配置成:监控该无线通信装置与该无线网络的服务使用之间的该多个安全业务量序列;使用这些安全业务量序列的监控结果,创建并且记录网络性能的表征;分析网络性能的这些表征并且将这些性能表征归纳成一个或多个网络性能统计,该一个或多个网络性能统计提供该网络由该装置经历时的性能水平或拥塞水平的指示;生成包括在不同时间所生成的这些网络性能统计的一个序 列的多个网络性能报告;其中这些网络性能报告存储在一个网络性能报告存储功能中;并且使得该网络性能报告存储功能可供用于其他网络装置或功能。 
在一些实施例中,DDR应用于以下活动中的一项或多项:服务计费、服务控制和/或接入控制;服务使用测量(例如,对服务使用的防欺骗的并且可调节的装置测量);验证所监控的服务使用;验证服务使用控制策略在该装置上正确地实施;以及性能监控和/或测量的一个来源。 
在一些实施例中,基于一个配置的时间间隔;基于一个配置的使用大小(例如,一个装置的或基于其他标准的缓冲区大小限制或预定义的大小限制);在调制解调器资源达到一个预定义的阈值(例如,使用阈值,如内存用完或接近存储器的一个阈值限制使用)时;为响应来自在无线通信装置的一个应用处理器上执行的一个服务处理器的一个请求;为响应来自一个服务控制器的一个请求(例如,或者直接或者间接地通过在该无线通信装置的一个应用/通用处理器上执行的一个服务处理器),DDR被传递至一个网元。 
在一些实施例中,提供一个调和过程以用于对多个装置数据记录和所监控的无线通信装置的服务处理器使用报告进行调和,以便验证所报告的所监控的无线通信装置中的每一个的服务使用,该调和过程包括以下各项中的一项或多项:对来自该多个所监控的无线通信装置中的每一个的所接收的装置数据记录和服务处理器使用报告进行调和达一个预定义的时间段,或基于对每个所接收的服务处理器使用报告与相关联的装置数据记录的一个比较、或基于一个预定义的服务使用量/批量使用量、或基于一个预定义的时间段、或基于一个服务策略验证设置来进行该调和;验证所监控的无线通信装置未被窜改或破解(例如,丢失、被修改、延迟和/或未调和的DDR或在容差之外的所接收的微CDR与DDR之间的偏差);验证所监控的无线通信装置的服务使用遵守一个相关联的服务策略和/或服务计划;验证所监控的无线通信装置正确地实施一个相关联 的服务策略/服务计划的一个业务量控制策略达一个时间段(例如,QoS、NBS、节流);使用所接收的多个装置数据记录和所监控的无线通信装置中的每一个的服务处理器使用报告,验证所接收的服务使用度量的精确度。在一些实施例中,说明达同步所监控时间段的所接收的装置数据记录与服务生成器使用报告之间的差异的容差阈值(例如,固定的量、基于百分比)包括以下各项中的一项或多项:一个服务提供商配置的容差、在所接收的装置数据记录和/或不可以与已知服务活动相关联的服务使用中的未分类的服务使用的调和过程中的一个配置的容差、内容分布网络服务的重定向的服务使用活动和/或其他可能的偏差和/或变化。 
在一些实施例中,一个调和引擎执行以下各项中的一项或多项:确定一种或多种模式来说明随时间(例如,训练期、使用启发法的周期性细化)的同步错误或业务量分类错误;确定所接收的装置数据记录在策略服务使用活动(例如,反DNS查找、白名单或爬行者软件)内是否正确地相关联;在所接收的多个装置数据记录上执行类似于一个服务处理器分类(例如,第7层服务使用活动分类,如在微CDR/uCDR中所报告的)的一个分类操作,然后将所接收的多个装置数据记录使用分组成由服务处理器所使用的服务使用活动分类;确定每个服务活动分类的服务处理器使用报告的服务使用度量,然后确定可以通过对所接收的装置数据记录的服务使用度量进行分类来验证的每个服务使用活动的一个百分比;实施调和的自适应环境技术(例如,使用基于阈值的比较技术,例如,通过DDR和对用于分组分类的反DNS的使用,然后使用所允许的主机赞助服务的使用vs.所有白名单中的主机名、vs.所有未知主机名、vs.同步错误容差的比率,执行一个比较(使用错误的可接受的百分比)并且识别潜在的欺骗场景;为以下分类的服务中的一项或多项执行调和:是服务计分区类定义的一部分的赞助服务、用户(例如,开放接入)服务、运营商服务、网络防护服务(例如,可以被分类为背景并且然后被延迟以便保护网络带宽/资源用于前景/较高优先服务的服务);并且使用一个第三服务使用度量(例如,基于网络的CDR、FDR和/或IPDR)进 行调和。在一些实施例中,一个或多个安全装置数据记录可以伴随包括在DDR报告中的从服务处理器接收的对应的第7层分类信息(例如,域名、应用标识符、HTTP信息、关联分类和/或如在此所描述的其他信息)与5元组分类信息(例如,源地址、端口地址、目的地址、目的端口以及协议),这些信息例如可以被发送至服务控制器(例如,或另一个网元),以便使用在此所描述的各种技术来辅助服务使用调和和/或验证。 
在一些实施例中,DDR包括以下各项中的一项或多项:包括一个源地址、端口地址、目的地址、目的端口以及一个协议(例如,入站和出站)和字节计数的5元组分类信息,和说明以下各项中的一项或多项的容差阈值:使用测量偏差、时间同步偏差和/或由服务处理器利用在DDR处理器分类器中不可使用的信息(例如,该DDR处理器中的应用信息、关联信息、更简单的分类实现方式/算法等)而被分类的信息。在一些实施例中,这些服务处理器使用报告包括未包括在所接收的装置数据记录中的以下各项中的一项或多项:第7层所监控的服务使用信息(例如,域名、应用标识符、HTTP信息、关联分类和/或如在此所描述的其他信息),并且仅有一定百分比的所接收的装置数据记录被识别为与一个服务使用活动相关联的业务量,并且针对每个服务使用活动而提供了根据活动而发生变化的未分类的业务量的一个公差(例如,在CNN非常广泛时,亚马逊(Amazon)是“关闭的”),其中所有未分类的公差的和不超过未分类的所接收的装置数据记录信息的总数,并且放松该容差达一个第一时间间隔并且紧缩该容差达一个第二时间间隔,其中该第二时间间隔比该第一时间间隔长。在一些实施例中,一个或多个安全装置数据记录可以伴随包括在DDR报告中的从服务处理器接收的对应的第7层分类信息(例如,域名、应用标识符、HTTP信息、关联分类和/或如在此所描述的其他信息)与5元组分类信息(例如,源地址、端口地址、目的地址、目的端口以及协议),这些信息例如可以被发送至服务控制器(例如,或另一个网元),以便使用在此所描述的各种技术来辅助服务使用调和和/或验证。 
先进的无线服务平台(AWSP)
在一些实施例中,提供了一个先进的无线服务平台(AWSP)。在一些实施例中,如在此参照各种实施例所描述的,AWSP提供支持现有服务并且还提供无线网络(例如,第四代、第三代和/或第二代网络)的各种新的互联网和数据服务能力的一个提高的联网技术平台。在一些实施例中,如在此参照各种实施例所描述的,无线装置、一个或多个处理器、固件(例如,如在此参照各种实施例所描述的,DDR固件)以及软件在用于收费、接入控制以及服务通知的无线网络服务策略中提供一个增强的作用以实施AWSP。 
在一些实施例中,如在此参照各种实施例所描述的,AWSP支持用于消费者、企业以及机器对机器市场的一个广泛范围的服务、装置以及应用。在一些实施例中,AWSP支持包括以下各项的各种装置类型:第四代和第三代智能电话、第四代和第三代功能电话、第四代和第三代USB软件狗和卡片串、第四代到WiFi和第三代到WiFi网桥装置、第四代和第三代笔记本和上网本计算装置、第四代和第三代平板计算装置、第四代和第三代消费电子产品装置(例如,摄像机、个人导航装置、音乐播放器以及家用功率计),以及机器对机器装置(例如,具有最小用户接口(UI)能力的各种类型的消费和工业装置,如地理定位跟踪装置、停靠表以及自动售货机)。 
在一些实施例中,AWSP包括一个装置数据记录(DDR)处理器。在一些实施例中,该DDR处理器包括集成至一个AWSP兼容处理器(例如,如通过一个无线运营商AWSP芯片组验证程序,与AWSP兼容、支持AWSP、被认可用于和/或被验证用于AWSP的一个处理器或一组处理器)内的一个安全硬件执行环境中的固件。在一些实施例中,如在此参照各种实施例所描述的,该AWSP兼容处理器被验证以使该处理器合格用于在AWSP上的正确服务递送。 
在一些实施例中,提供了一个DDR固件开发工具包(DDR FDK)。在一些实施例中,该DDR FDK包括固件代码(例如,用C语言编写的)、详细的DDR处理器说明书、详细的芯片组安全执行环境(SEE)说明书、DDR处理器芯片组测试标准,以及DDR处理器芯片组验证程序。例如,一个被认可的芯片组伙伴可以将该DDR固件集成至一个芯片组验证装置(CCD)以用于一个或多个被认可的或被验证的程序(例如,已经在一个AWSP芯片组验证程序下被认可或被验证的芯片组)。在一些实施例中,该CCD包括用于一个智能电话/功能电话装置的一个被认可的芯片组伙伴芯片组板级支持包(BSP),该板级支持包包括提交给该AWSP芯片组验证程序的芯片组。在一些实施例中,该CCD包括一个智能电话/功能电话装置,该智能电话/功能电话装置包括提交给该AWSP芯片组验证程序的被认可的芯片组伙伴芯片组。在一些实施例中,支持各种操作系统(OS)(例如,Linux、安卓、苹果、微软、Palm/HP、塞班、和/或各种其他操作系统和/或平台)。 
在一些实施例中,增强的功能性包括一个服务处理器(SP)内核程序和应用程序的集成。在一些实施例中,除了DDR固件之外,还提供了一个服务处理器软件开发工具包(SP SDK)。在一些实施例中,该SP SDK包括用于将该SP SDK内核程序和应用软件集成至如在此参照各种实施例所描述的一个装置OEM中的软件和描述性信息。在一些实施例中,使用被验证以用于无线运营商的网络上的操作的一个相互适合的WWAN无线调制解调器芯片组,一个被认可的芯片组伙伴CCD连接至或者无线运营商的第三代(EVDO/UMTS)网络或者无线运营商的第四代LTE网络上。 
DDR处理器综述
在一些实施例中,DDR处理器被实施在嵌入在或者一个应用处理器单元(APU)或者一个调制解调器处理器单元(MPU)中的安全固件内。在一些实施例中,该DDR处理器被提供为在制造时由一个OEM 安装的装置固件构造的一部分。在一些实施例中,该DDR处理器检测输入和输出IP数据包并且收集各种统计(例如,装置数据记录(DDR))。在一些实施例中,一个DDR部分地是沿一个IP流的被传输数据的或被消耗的服务使用的量的一个记录。在一些实施例中,一个IP流是由一个源地址、目的地址、源端口、目的端口以及协议类型指定的。在一些实施例中,安全装置数据记录还可以伴随从服务处理器接收的相对应的第7层分类信息(例如,域名、应用标识符、HTTP信息、关联分类和/或如在此所描述的其他信息)与一个IP流(例如,源地址、端口地址、目的地址、目的端口以及协议)。在一些实施例中,如在此参照各种实施例所描述的,DDR还包括网络服务使用的其他类型的分类。在一些实施例中,如在此参照各种实施例所描述的,DDR还包括关于或基于网络服务使用的各种统计。在一些实施例中,如在此参照各种实施例所描述的,DDR用于在家用和漫游网络状况两者下的第二代、第三代以及第四代无线网络以用于各种服务使用记账、接入控制以及服务策略强制执行验证功能。 
图1示出根据一些实施例的一个先进的无线服务平台端到端DDR报告和处理系统的高级图解。在图1中,显示四个DDR实现选项用于将一个DDR处理器(例如,DDR处理器固件和/或功能性)安全地嵌入至一个APU芯片组或一个MPU芯片组中。下文高级地并且在以下章节中更详细地描述这三个选项中的每一个。 
在一些实施例中,一个无线通信装置包括一个安全执行环境中的一个DDR处理器114。在一些实施例中,该DDR处理器114包括如在此参照各种实施例所描述的一个DDR生成器功能(例如,用于生成安全DDR的功能,这些DDR可以被报告至该装置中的另一个单元/功能和/或一个网元/功能,如一个服务控制器122)。提供了各种架构用于在一个安全执行环境中实施该DDR处理器。 
如所示出的,装置架构101在一个数据通路安全区140(例如,定位在一个应用/通用处理器单元(APU)中)中包括DDR处理器114。 使用一个服务处理器应用程序112监控应用程序130(例如,基于服务使用的监控)。使用一个服务处理器内核程序113监控内核程序132。一个操作系统(OS)134驻留在用于网络接入的一个网络堆栈136上方,该DDR处理器114监控为该网络堆栈的通过一个调制解调器总线驱动器和物理总线142的任何网络接入。如所示出的,通过一个第三代或第四代调制解调器150分别向一个第三代或第四代网络104提供第三代或第四代无线网络接入。在此下文更详细地描述这个装置架构和类似装置架构。 
如所示出的,装置架构102在一个数据通路安全区143(例如,定位在一个调制解调器处理器单元(MPU)中)中包括DDR处理器114。除了在装置架构102中该数据通路安全区143定位在第三代或第四代调制解调器151中之外,装置架构102类似于装置架构101。使用该DDR处理器114来监控通过调制解调器总线驱动器和物理总线149和调制解调器I/O156、经由该调制解调器151的网络通信的通过一个调制解调器数据通路和信号处理器154的任何网络接入。在此下文更详细地描述这个装置架构和类似装置架构。 
如所示出的,装置架构103在一个数据通路安全区145(例如,定位在一个APU或另一个处理器/存储器如一张SIM卡中))中包括DDR处理器114。除了以下之外,装置架构103类似于装置架构101:在装置架构103中该APU的调制解调器总线驱动器和物理总线不需要处于一个安全区内,并且相反一个数据通路安全验证器152包括在该MPU中的数据通路安全区147中,以便将网络接入限制于仅已经由APU内的该DDR处理器114监控的业务量。在此下文更详细地描述这个装置架构和类似装置架构。 
如所示出的,装置架构103A在一个数据通路安全区918(例如,已定位SIM913)中包括DDR处理器114。除了在装置架构103A中(如同在装置架构103中)存在两个数据通路安全区之外,装置架构103A类似于装置架构101和102。数据通路安全区143定位在第三代或第四代调 制解调器151中,并且数据通路安全区918定位在SIM 913上。在装置架构103A中,调制解调器总线驱动器和物理总线149不需要处于一个安全区内,并且相反一个数据通路安全验证器152包括在该MPU中的数据通路安全区143中,以便将网络接入限制于仅已经由SIM 913内的该DDR处理器114监控的业务量。在此下文更详细地描述这个装置架构和类似装置架构。装置架构103 A使得一位运营商具有对这些DDR处理器功能性的完全控制,因为SIM在工业中被认为是该装置上的一个“运营商所拥有的”实体。 
如本领域的普通技术人员将会理解的,DDR处理器114可以嵌入在具有一个同伴MPU的任何其他功能处理器的一个安全区中以强制执行网络接入。在这类功能处理器中可以嵌入的DDR处理器114包括例如视频处理器、音频处理器、显示处理器、定位(例如,GPS)处理器、以及其他特殊用途的处理器连同通用处理器,如数字信号处理器(DSP)、微处理器等。 
在一些实施例中,如所示出的,提供了一个服务控制器122。在一些实施例中,服务控制器122被提供为一个AWSP网络服务器云系统。在一些实施例中,服务控制器122被提供为一个AWSP网络服务器云系统,该AWSP网络服务器云系统用于执行以下各项中的一项或多项:收集装置服务使用报告;管理基于装置的网络服务策略的某些方面;查明网络(例如,一个或多个无线网络)上的各种基站的网络忙碌状态(NBS);管理配置在该一个或多个装置(例如,一个或多个无线通信装置)上的用户通知和服务计划选择UI处理;以及管理服务欺骗检测的某些方面。在一些实施例中,如所示出的,该服务控制122包括一个安全DDR处理、使用调和以及欺骗检测功能124。在一些实施例中,该服务控制器122向网络服务使用报告系统180传递所监控的服务使用(例如,基于已处理并且已调和安全DDR的已调和服务使用)。在一些实施例中,所报告的服务使用被聚合并且被传递至网络计费系统190(例如,用于为所报告的服务使用计费)。 
在一些实施例中,该服务控制器122与AWSP系统的各种基于装置的单元进行通信。在一些实施例中,该服务控制器122与AWSP系统的各种基于装置的单元(这些单元包括以下:DDR处理器114和一个服务处理器)进行通信。在一些实施例中,该服务处理器112包括一个应用服务处理器112(例如,一个应用空间或框架空间程序)和一个内核服务处理器113(例如,一个内核空间或驱动器空间程序)。在一些实施例中,该应用服务处理器112和该内核服务处理器113在一个装置(例如,一个无线通信装置)的一个应用处理器单元(APU)上的一个OS分区中执行或执行。在一些实施例中,该服务处理器并不是总体上处于一个安全执行区域中。 
在一些实施例中,如在此参照各种实施例所描述的,该服务处理器执行包括以下各项的运营商网络的各种功能:收集网络忙碌状态(NBS)信息、服务使用分类和报告、某些网络服务策略强制执行功能和/或某些用户通知功能以及漫游接入策略强制执行功能。在一些实施例中,该服务处理器还记入并且报告装置服务使用信息,该装置服务使用信息辅助一位运营商(例如,一项无线网络服务或其他服务的一位服务提供商)确定如何向用户提供优化的服务、信息和/或内容。 
在一些实施例中,DDR处理器114向服务控制器122传递DDR。在一些实施例中,该DDR处理器114经由互联网、运营商网络和/或其他网络向该服务控制器122传递DDR。在一些实施例中,该DDR处理器114不会直接将DDR发送至该服务控制器122,该DDR处理器114却反而将这些DDR转发至该服务处理器。该服务处理器然后将这些DDR(并且在一些实施例中,连同另外的服务使用报告和/或其他服务策略管理和由该服务处理器生成或接收的用户通知通信)转发或转播至该服务控制器122。 
例如,即使服务处理器可以由该系统内的该OS和/或其他安全单元来保护,APU OS执行环境总体上并不被认为是安全的或可信的。另外, 该DDR处理器114至该服务处理器之间的网络数据通路总体上不被认为是安全的或可信的,并且该服务处理器与该服务控制器122之间的数据通路总体上也不被认为是安全的或可信的。因此,在一些实施例中,该DDR处理器114和该服务控制器122使用密码技术来提供从该DDR处理器114至该服务控制器122的一个安全链路。在一些实施例中,基于如在此参照各种实施例所描述的各种实现方式和技术,该DDR处理器144被认为是安全的并且可信的。在一些实施例中,在此参照各种实施例描述用于以下的各种技术:在一个网络数据通路上保护由该DDR处理器114执行的服务使用监控和控制,并且保护从该DDR处理器114至该服务控制器122的DDR报告通道。 
在一些实施例中,如下文所描述的,采用DDR处理器114内的一个安全接入控制器功能以确保:如果该DDR流被窜改或阻止,那么由该DDR处理器114所管理的该装置网络接入数据通路连接被限制于仅管理该DDR处理器114与该服务控制器12进行的通信所需要的那些网络目的地。在一些实施例中,该DDR处理器114内的该接入控制器功能从该服务控制器122接收反馈以限制接入或允许完全接入。例如,受限制的接入列表(例如,主机名、IP地址和/或一个接入列表的其他标识符的一个列表)可以被或者预先配置在该DDR处理器SEE内或者通过如在此更详细地所描述的安全通路而被配置。 
在一些实施例中,来自该DDR处理器114的多个DDR的一个安全、可靠并且可信传输是由包括以下各项的DDR报告技术所提供的:(1)安全地加载并且在一个安全执行环境(SEE)中执行DDR处理器固件;(2)保护该DDR处理器至无线调制解调器天线连接(例如,一个第三代或第四代网络调制解调器天线连接)之间的数据通路以防止欺骗性软件或固件形成绕过DDR处理器数据通路处理的多个数据通路;(3)以保护这些DDR不被窜改或被重放的一种方式对从该DDR处理器114传输至该服务控制器122的这些DDR进行完整性检查;(4)并且与一个唯一DDR报告序列标识符集和认证会话保活计时器相结合的、位于该DDR 处理器114与该服务控制器122之间的一个认证处理被用于维持并且验证该DDR处理器114与该服务控制器122之间的安全连接。例如,如果该DDR处理器114与该服务控制器122之间的该安全会话或DDR记录的流通被中断,那么该DDR处理器114中的安全接入控制功能可以限制接入通向这些网络目的地的调制解调器数据通路,该接入是在该DDR处理器114与该服务控制器122之间重建一个已安全认证的会话所必需的。 
在一些实施例中,如在此参照各种实施例类似地所描述的,DDR处理器114还包括一个安全网络忙碌状态监控器功能(例如,NBS监控器)。在一些实施例中,该NBS监控器记入并且报告各种网络和调制解调器性能参数,并且还计算并且报告网络拥塞(在此被称为网络忙碌状态(NBS))的一个度量。在一些实施例中,该NBS是一个度量,该度量指示网络拥塞在一个给定测量时间间隔内在一个给定基站扇区处的水平。在一些实施例中,所有这个信息包括在一个网络忙碌状态报告(NBSR)中,该NBSR是经由该服务处理器112发送至该服务控制器122的这些DDR消息报告的一部分。 
安全图像编程、安全引导、安全执行及安全固件更新综述
在一些实施例中,DDR处理器系统包括应用处理器单元(APU)或调制解调器芯片组内的一个专用的安全执行环境(SEE)。在一些实施例中,如在此所描述的,该SEE提供DDR的一个安全、可信生成。下文描述根据一些实施例的该SEE的基本功能性。 
在一些实施例中,该SEE是不能由任何外部程序、总线或装置端口接入的一个安全存储器执行分区。在一些实施例中,该安全存储器执行分区包括代码空间和数据空间。在一些实施例中,一个安全引导加载器在该SEE内执行。在一些实施例中,允许在该SEE中执行的仅有的其他代码图像是安全图像,意思是这些安全图像是其签名由该安全引导加载器验证的数字签名图像。在一些实施例中,在装置制造时,该安全引导加载器被规划至芯片上SEE中的非易失性存储器中。例如,该安全引 导加载器可以从非易失性存储器提取一个安全图像并且以一种可信并且安全的方式将该安全图像安装在该SEE中。在一些实施例中,该安全引导加载器是能够将一个图像加载至该SEE中的仅有的单元。 
在一些实施例中,DDR处理器114被实施为一个安全图像。下文描述使用该安全引导加载器将该DDR处理器图像安装至该SEE中。如本领域的普通技术人员鉴于在此描述的这些实施例将会清楚的,可以类似地安装其他安全图像。 
在一些实施例中,DDR处理器图像是由装置OEM数字地签名的。例如,该安全引导加载器可以使用一个引导加载器验证密钥来验证该签名,并且如果该签名是无效的,则拒绝该图像。在一些实施例中,该引导加载器验证密钥是嵌入在该安全引导加载器图像内的一个2048比特的RSA公开密钥。 
在一些实施例中,已签名DDR处理器图像被存储在芯片上非易失性存储器中。在一些实施例中,该已签名DDR处理器图像被存储在芯片外非易失性存储器中(例如,如果这些芯片组的芯片上存储容量受到太多约束而不能存储这个图像)。 
图2根据一些实施例示出对DDR固件进行引导、执行以及更新的一个过程。如图2中所示,在210,在该装置引导时,该安全引导加载器从非易失性存储器提取该DDR处理器图像,将其安装在SEE中并且执行该DDR处理器图像。在一些实施例中,在安装过程中并且在执行之前,该安全引导加载器使用引导加载器验证密钥来验证该DDR处理器图像的数字签名。如在此参照各种实施例所描述的,如果该签名是无效的,则执行不会发生并且经由服务处理器向服务控制器发送一个错误消息,并且该安全引导加载器试图后退至一个先前存储的图像。 
在一些实施例中,从非安全OS堆栈单元至由该DDR处理器监控并且控制的这个或这些调制解调器的数据通路必须进入该SEE中并且被使得对于该DDR处理器来说是可供使用的,如在图2中220所示。如 在此参照各种实施例所描述的,一旦去往该调制解调器的这些OS堆栈数据被传递至SEE存储器中,则该安全DDR处理器程序分析并且作用于去往该调制解调器的这些数据。在一些实施例中,该DDR处理器包括从该SEE至该调制解调器数据通路的一个安全数据接口,这样使得不存在可以绕过该SEE(例如,来避免于到该DDR处理器的检测和/或监控)的任何数据通路。安全执行分区和数据接口解决方案的示例包括:一个可信API、ARM信任区、英特尔智能和安全、或一个自定义解决方案或具体的专有解决方案,如来自特定芯片组的一个芯片组供应商。 
在一些实施例中,一个通信通道(例如,一个DDR邮箱)提供位于在SEE中执行的DDR处理器程序至在非安全OS环境(例如,应用空间或用户空间)中执行的一个服务处理器应用程序之间的通信,如在图2中230所示。用于提供该DDR邮箱的示例技术包括使用以下各项的共享存储器:位于APU与MPU之间的调制解调器总线驱动器(例如,USB接口)内的DMA通道、逻辑通道(例如,端点),以及在位于该APU与MPU之间的一个已经存在的逻辑通道之上的搭载通道。 
在一些实施例中,该DDR处理器固件图像被更新,如在图2中240所示。在一些实施例中,该DDR处理器固件图像使用由芯片组供应商所支持的OEM过程来更新,以用于对向装置OEM所提供的芯片组非易失性存储器固件图像进行一次或多次无线电上(OTA)和网络上(OTN)更新。在一些实施例中,或者在初始加电周期过程中、在离开省电状态时和/或可以用安全的方式来执行下载的任何其他时间,该DDR处理器连同由该安全引导加载器所加载的其他芯片组安全固件驱动器被存储。在一些实施例中,该DDR处理器需要足够的非易失性存储空间以容纳至少两个图像:当前正在运行的一个图像和一个新下载的图像(例如,每个图像可以具有一个指定的最大大小,如0.5MB或另一个大小限制)。在一些实施例中,该安全引导加载器包括一个固件图像交换机,以便一旦完成下载就使用该新图像。例如,该图像交换机功能可以包括一个后退系统,如果该新图像具有一个无效的签名、或如果如由包括在每个图 像内的修订版本号所指示,该新图像与该当前图像相比更旧,则该回退系统切换回至当前图像。该当前图像可以保留至少直至该新图像已经由该安全引导加载器接受。 
DDR处理器实现方式实施方案综述
可以使用安全嵌入式DDR固件(例如,在AWSP芯片组中)的不同配置来提供DDR处理器,如在此根据各种实施例所描述的,这些安全嵌入式DDR固件包括在一个APU实现方式、MPU实现方式以及一个结合的APU/MPU实现方式中。本领域的普通技术人员鉴于在此所描述的各种实施例还将会理解可以提供用于提供安全嵌入式DDR固件的类似的和各种其他安全分区配置。 
在一些实施例中,使用至该APU芯片组SEE和非易失性存储器中的一个集成来提供DDR处理器,该集成如在装置架构101中所示出的一个APU实现方式,在该装置架构中DDR处理器114和一个调制解调器总线驱动器和物理总线142被实施在数据通路安全区140中(如图1中所示)。该DDR处理器直接地在该调制解调器驱动器数据通路处理功能下方并且在该调制解调器总线驱动器数据通路处理功能(例如,典型地是USB驱动器、SDIO驱动器或类似总线驱动器功能)上方被安全地实施在第二代、第三代或第四代调制解调器数据通路上。例如,使用这种途径,在该DDR处理器下方通过该调制解调器总线驱动器并且通过该第二代、第三代或第四代网络调制解调器的整个数据通路可以被保护,以便防止绕过DDR处理器数据通路处理的多个数据通路。 
在一些实施例中,使用至该第二代、第三代或第四代MPU芯片组SEE和非易失性存储器中的一个集成来提供DDR处理器,该集成如装置架构102中所示出的一个MPU实现方式,在该装置架构中DDR处理器114和一个调制解调器数据通路和信号处理154被实施在一个数据通路安全区143中(如图1中所示)。该DDR处理器仅在该调制解调器总系驱动器和逻辑通道接口下方被安全地实施在该第二代、第三代或第 四代调制解调器数据通路上。例如,使用这种途径,在该DDR处理器下方、通向该第二代、第三代或第四代网络的整个数据通路可以被保护,以便防止绕过该DDR处理器数据通路处理的多个数据通路。 
在一些实施例中,使用至该APU芯片组SEE和非易失性存储器中的一个集成来提供DDR处理器,该集成如装置架构103中所示出的一个APU和MPU实现方式,在该装置架构中DDR处理器114被实施在数据通路安全区145中,并且一个数据通路安全验证器152和调制解调器数据通路和信号处理154被实施在一个数据通路安全区147中(如图1中所示)。该DDR处理器被安全地实施在该第二代、第三代或第四代调制解调器数据通路的在OS堆栈下方并且在调制解调器总系驱动器上方的某处上。例如,使用这种途径,而不是保护在该DDR处理器下方、通过该调制解调器总线驱动器并且通过该第二代、第三代或第四代网络调制解调器的整个数据通路,通过对在该DDR处理器与一个数据通路安全验证器(DPSV)152功能之间流动的这些数据进行完整性检查来保护该DDR处理器与该调制解调器无线网络接入连接之间的数据通路。未正确地被记账并且进行完整性检查的任何数据通路信息不会被引导至无线网络连接或从该无线网络连接被引导。例如,这种途径消除了对安全APU固件、硬件以及除了该DDR处理器本身之外的数据通路单元的需要。 
应用处理器上的嵌入式DDR处理器实现方式
在一些实施例中,将DDR处理器嵌入在一个应用处理器单元(APU)(例如,智能电话APU或其他无线通信装置APU)中提供在无线网络数据通路(例如,第二代/第三代/第四代无线网络数据通路或其他装置I/O连接或端口)中的一个单一安全DDR处理器定位,该无线网络数据通路提供服务使用监控和对多个无线调制解调器的接入控制。同样,该APU实现方式途径可以允许APU芯片组供应商(这些供应商可能并不必需具有WAN调制解调器组件或技术)遵守在此所描述的各种AWSP技术来实施解决方案。此外,该APU实现方式途径总体上更易于允许 OTA和OTN固件针对如在此所描述的APU实现方式进行更新(例如,可能更加复杂将这些OTA和OTN固件提供在某些MPU实现方式中)。许多所披露的实施例描述其中该DDR作用于流通通过一个或多个广域网网络、连接或调制解调器的通信的DDR APU实现方式。如本领域的普通技术人员将会理解的,一个安全装置数据记录处理系统的APU实施例还可以作用于在一个或多个另外的I/O网络、连接、端口或调制解调器(例如,WiFi网络、连接、端口或调制解调器;USB网络、连接、端口或调制解调器;以太网络、连接、端口或调制解调器;火线网络、连接、端口或调制解调器;蓝牙网络、连接、端口或调制解调器;近场通信(NFC)网络、连接、端口或调制解调器;或其他I/O连接、端口或调制解调器)上流通的通信。 
参照如图1中所示的装置架构101,如以上类似地所描述的,DDR处理器嵌入至APU芯片组SEE和非易失性存储器中。连同DDR处理器SEE,显示为数据通路安全区140的安全数据通路环境包括DDR处理器114和调制解调器总线驱动器和物理总线142。例如,假设通向该调制解调器的该调制解调器总线驱动器和该物理总线被保护防范试图绕过该DDR处理器114的欺骗性软件或硬件(例如,或以其他方式是该欺骗性软件或硬件所不可接入的),该调制解调器本身(例如,第三代调制解调器或第四代调制解调器150)不需要被保护。具体地,该DDR处理器114直接地在该调制解调器驱动器数据通路处理功能下方并且在该调制解调器总线驱动器数据通路处理功能(例如,典型地是USB驱动器、SDIO驱动器或类似总线驱动器功能)上方被安全地实施在第二代、第三代或第四代调制解调器数据通路上。在一些实施例中,在该DDR处理器114下方、通过该调制解调器总线驱动器并且通过该第二代、第三代或第四代调制解调器的整个数据通路被保护,以便防止绕过该DDR处理器数据通路处理的多个数据通路。在一些实施例中,在装置网络连接或I/O端口上经由该数据通路处理功能(例如,典型地是一个USB驱动器、SDIO驱动器、以太网驱动器、火线驱动器、WiFi驱动器、蓝牙驱动器,或近 场通信驱动器)从该装置传递的所有信息在其穿过DDR处理器区块时被观察(并且有可能被处理以应用策略)、被分类或被报告。因此,在一些实施例中,该调制解调器总线驱动器或者在该DDR SEE中或者在其自己的SEE中被保护,或该调制解调器总线驱动器代码和数据通路必须是该APU上的可能绕过该DDR处理器114的软件或硬件所不可接入的。 
图3展示了根据一些实施例的一个APU实现方式中的一个安全嵌入式DDR处理器的一种架构。具体地,图3示出了根据一些实施例的一个基于APU的解决方案内的主要功能单元,其中DDR处理器114与其他APU安全程序一起驻留在APU的SEE中,并且该DDR处理器通向服务处理器应用程序112的通信通道经由一个共享邮箱(例如,一个共享存储器)。图3还示出了通向存在安全引导代码的非易失性存储器的一个接口(例如,用于软件下载)以确保所有安全代码都是在一个下载被认为是完成的之前经过验证的第一数字签名。在一些实施例中,该数据通路是一个分离的接口,在该接口中数据帧被发送至该安全环境,以便在除了控制有限的或无限的网络接入之外,DDR处理器获得接入并且执行DDR使用度量。 
参照图3,一个APU可以逻辑地分区至APU芯片组应用程序302、APU芯片组内核程序304以及显示为APU安全执行环境306的一个安全执行环境(SEE)中。该APU安全执行环境306与一个网元/功能(例如,服务控制器122和/或一个或多个其他单元/功能)进行通信(例如,使用如在此所描述的那些的安全通信技术)。在一些实施例中,如在此所描述的,安全程序非易失性(NV)存储器340包括OS/OEM安全装置系统程序文件342、安全DDR处理器程序文件346以及APU安全装置系统程序文件348,这些程序文件可以由有待在代码执行可以发生之前下载至该SEE存储器中的驻留在该APU安全执行环境(SEE)306中的安全引导加载器提取。 
APU芯片组应用程序302包括用户应用程序130、服务处理器应用程序112(例如,如在此所描述的,用于执行不需要在内核中实施的各种服务处理器功能),以及OEM应用程序310。APU芯片组内核程序304包括OEM内核程序312、服务处理器内核程序113(例如,如在此所描述的,用于执行优选地在该内核中实施的各种服务处理器功能)、APU系统内核程序314,以及APU装置驱动器和其他BSP内核程序316。如同样所示出的,如本领域的普通技术人员将会清楚的,OS 134包括用户/应用空间和内核空间实施的部分。网络接入(例如,第三代或第四代无线网络接入)是通过驻留在如所示出的内核空间304中的APU网络堆栈装置驱动器318来传递的。 
APU SEE 306包括用于执行/存储安全DDR处理器程序326的一个安全执行存储器322、APU安全装置系统程序(例如,调制解调器总线驱动器、调制解调器驱动器)328,以及OS/OEM安全装置系统程序330。如在此所描述的,该APU SEE 306还包括用于验证该安全执行存储器322中的该安全DDR处理器程序326和/或其他安全程序的一个程序签名验证器332。如所示出的,该APU SEE 306还包括NV存储器I/O 334。如在此所描述的,该APU SEE 306还包括用于实施安全执行引导过程和安全更新过程的一个安全执行引导加载器和更新器(例如,安全机载的NVRAM)336。 
在一些实施例中,用于任何用户或内核模式应用或服务的网络数据通路324从APU联网堆栈装置驱动器318传递并且使用安全DDR处理器程序326来监控。 
如在此进一步所描述的,安全DDR处理器程序326使用一个DDR邮箱功能和如所示出的经由DDR邮箱数据320的通信通道与服务处理器应用程序112进行通信。在一些实施例中,该DDR邮箱功能使用在此所描述的各种技术提供一个安全通信通道。在一些实施例中,该DDR邮箱功能用于向该服务处理器应用程序112传递使用安全DDR处理器程 序326针对所监控的网络服务使用而生成的安全DDR。在一些实施例中,该服务处理器应用程序112向一个网元/功能(如该服务控制器122)传递这些安全DDR。在一些实施例中,该服务处理器应用程序112以一个服务处理器报告(例如,如在此所描述的,该报告包括基于以下各项的基于装置的微型CDR/uCDR:所监控的服务使用、服务处理器应用程序112和/或服务处理器内核程序113,如基于应用的监控/基于第7层或应用层的监控)向一个网元/功能(如该服务控制器122)传递这些安全DDR。在一些实施例中,该服务处理器应用程序112以一个服务处理器报告来传递这些安全DDR达重叠的和/或共同的时间段/间隔(例如,以下时间段/间隔:促进由服务控制器或其他网元/功能进行的对基于两个DAS辅助服务使用度量的装置辅助服务使用监控的调和)。 
图4展示了根据一些实施例的一个APU实现方式中的一个安全嵌入式DDR处理器连同一个调制解调器总线驱动器的另一种架构。具体地,图4示出了关于DDR处理器114连同一个调制解调器总线驱动器428(例如,第二代、第三代或第四代调制解调器总线驱动器)如何可以在一个APU安全操作环境中实施。如所示出的,DDR处理器114监控正在转至该调制解调器总线驱动器428(例如,USB驱动器/控制器)并且从该调制解调器总线驱动器出发的多个IP数据包,该调制解调器总线驱动器经由一个安全数据通路430向用于使用一个第二代/第三代/第四代调制解调器440进行无线接入的一个调制解调器总线432提供无线网络接入。在一些实施例中,DDR处理器114监控正在转至装置I/O驱动器(例如,典型地是一个USB驱动器、第二代/第三代/第四代调制解调器驱动器、SDIO驱动器、以太网驱动器、火线驱动器、WiFi驱动器、蓝牙驱动器,或近场通信驱动器)并且从该装置I/O驱动器出发的多个IP数据包,该装置I/O驱动器经由具有安全DDR数据通路处理或监控的一个数据通路提供装置I/O接入。 
如以上类似地所描述的,该安全执行引导加载器和更新器336将DDR处理器114和调制解调器总线驱动器图像从非易失性(NV)存储器 334加载至SEE内的显示为DDR安全执行存储器420的执行存储器中来执行(例如,在使用安全程序签名验证器332进行代码签名验证之前)。DDR处理器114和调制解调器总线驱动器图像以及其他安全图像都是有待在它们被执行之前进行签名验证的安全引导加载的部分。 
如所示出的,DDR处理器位于与第二代、第三代或第四代调制解调器数据通路对齐,并且OS堆栈与第二代、第三代或第四代网络之间的所有业务量由DDR处理器114监控。提供了在DDR安全执行环境(SEE)420与内核中的非安全OS堆栈之间进行桥接的DDR处理器OS堆栈数据通路接口424。同样,提供了类似地将DDR处理器114连接至由调制解调器总线驱动器428所供给的调制解调器数据通路的DDR处理器调制解调器数据通路接口426。在一些实施例中,一致地提供在该数据通路上并且不仅是一个复制/监控/终止功能的DDR处理器114还实施一个接入控制器功能以维持网络接入的完整性,例如,如在此所描述的,在以下事件中:这些DDR报告被窜改或被阻止到达服务控制器122、或DDR处理器114被窜改、或服务处理器112被窜改。 
如同样所示出的,提供了实施一个邮箱功能以在安全DDR SEE420与非安全服务处理器应用112之间传递DDR邮箱数据320的DDR处理器邮箱接口422。如本领域的普通技术人员鉴于在此描述的各种实施例将会清楚的,该DDR邮箱功能可以用多种方式来实施。 
在一些实施例中,DDR处理器和USB驱动器在应用处理器芯片组上的一个安全环境(如DDR安全执行存储器420)中执行。在一些实施例中,该安全环境确保没有未经授权的能力来替换或修改DDR处理器代码或调制解调器总线驱动器/控制器代码(例如,一个USB驱动器/控制器或另一个装置I/O驱动器/控制器,如一个第二代/第三代/第四代调制解调器驱动器/控制器、SDIO驱动器/控制器、以太网驱动器/控制器、火线驱动器/控制器、WiFi驱动器/控制器、蓝牙驱动器/控制器,或近场通信驱动器/控制器)。在一些实施例中,该安全环境还确保从DDR处理器 至物理调制解调器总线驱动器(例如,USB端口、以太网端口、火线端口、WiFi端口、蓝牙端口、NFC端口,或另一个I/O总线端口)的数据通路与该安全环境外面的固件隔离。也就是说,该安全环境外面的固件不具有影响该DDR处理器的精确统计信息收集的能力。在一些实施例中,该安全环境进一步确保除了该DDR处理器之外的代码不具有接入敏感加密存储(如密钥)的能力。例如,这可以包括屏蔽敏感存储免于调试监控器和/或其他监控/接入活动或技术。如本领域的普通技术人员还将会清楚的,APU固件(不仅该DDR处理器)必须被保护并且不包括可以被用于允许未经授权的接入的漏洞或缺陷。例如,一个常见攻击是缓冲区溢出,其中一个破译者选择致使一个未检查的缓冲区超过其限制、导致非计划中的该破译者可以采用的行为的输入。 
存在可以用于符合如以上所描述的这些要求的APU芯片组SEE实施技术的各种示例。例如,可以提供具有可升级的固件(例如,包括DDR处理器)的一个常规CPU。该固件可以存储在非易失性(NV)存储器中,或可以存储在闪存中,其中该闪存可以被编程/以新的或升级的固件被更新。该固件可以在制造时并且通过提供一个遵守安全环境的设计而被安装。需要严格的质量保证测试以确保漏洞不太可能提供用于危害该安全环境的一种装置。一个新的固件图像仅在其具有一个有效的数字签名时可以被接受以用于安装。可以包括版本控制检查以防止回滚至较旧的版本。使签名和版本有效的固件驻留在也可以可升级的固件中。如另一个示例,可以提供一个安全分区的CPU,如一个ARM信任区或英特尔智能和安全(例如,或包括潜在的供应商自定义安全环境CPU分区技术的另一个适合的替代物)。DDR处理器、调制解调器总线驱动器(例如,一个USB驱动器/控制器或另一个装置I/O驱动器/控制器,如一个第二代/第三代/第四代调制解调器驱动器/控制器、SDIO驱动器/控制器、以太网驱动器/控制器、火线驱动器/控制器、WiFi驱动器/控制器、蓝牙驱动器/控制器,或近场通信驱动器/控制器),以及任何干预代码可以在安全分区(如信任区的(例如,或智能和安全的)安全模式)中执行。一 个安全引导程序强制执行以下要求:DDR处理器、调制解调器总线驱动器(例如,一个USB驱动器/控制器或另一个装置I/O驱动器/控制器,如一个第二代/第三代/第四代调制解调器驱动器/控制器、SDIO驱动器/控制器、以太网驱动器/控制器、火线驱动器/控制器、WiFi驱动器/控制器、蓝牙驱动器/控制器,或近场通信驱动器/控制器),以及任何干预代码可以包括在一个数字签名的、版本控制的代码图像中。以这类途径,硬件防火墙可以屏蔽加密存储免于正常模式固件。同样,这些硬件防火墙确保正常模式固件不能窜改DDR处理器与物理调制解调器总线驱动器(例如,USB端口)之间的数据通路,从而防止干扰如在此所描述的服务使用测量数据和/或统计信息收集。 
图5展示了根据一些实施例的一个APU实现方式中的一个安全嵌入式DDR处理器连同一个调制解调器总线驱动器的另一种架构。具体地,除了如图5中所示出的,第二代/第三代或第四代调制解调器410的APU堆栈驱动器定位在DDR安全执行存储器420而不是APU内核空间404中之外,图5类似于图4。 
调制解调器处理器上的嵌入式DDR处理器实现方式
在一些实施例中,在一个MPU实现方式中,DDR处理器驻留在具有其他安全调制解调器数据通路处理代码和硬件功能的调制解调器处理器中。例如,在一个基于MPU的安全DDR处理器实现方式中,一旦调制解调器总线驱动器接口下方的数据通路被保护,则非法闯入该装置以创建通过绕过该DDR处理器来到达网络的一个数据通路是相对困难的。同样,对于一些MPU芯片组家族来说,与在不具有标准硬件安全分区特征(如ARM信任区和英特尔智能和安全)的一些APU家族中实施相同功能相比,实施一个安全执行环境、安全引导加载器以及安全非易失性存储器可能是更直截了当的。此外,一个MPU实现方式与在一个APU实现方式的情况下相比与OS可能具有较少的交互。在具有一个MPU实现方式的一些实施例中,DDR处理器114驻留在一个无线广域网 调制解调器(如一个第二代、第三代或第四代调制解调器)中,或在如以下的一个局域或个人区域调制解调器中:USB调制解调器、以太网调制解调器、火线调制解调器、WiFi调制解调器、蓝牙调制解调器、NFC调制解调器,或另一个I/O调制解调器。所描述的实施例中许多是用于具有无线广域网调制解调器的MPU实现方式的,但是,如本领域的普通技术人员将会理解的,在不脱离本披露的范围的情况下,包含其他I/O装置调制解调器的其他变体是有可能的。 
然而,也应当观察到:在一个MPU DDR处理器实现方式中,调制解调器处理器环境可以不具有与一个APU解决方案相同的性能和安全执行存储空间的CPU。通过设计并且优化DDR处理器固件可以减轻这个显著的缺点,这样使得代码存储容量是小的并且CPU性能要求适合于一个典型地相对低功率的调制解调器处理器芯片组CPU。同样,如以上所提及,与通过某些APU芯片组供应商和它们的OEM所达到的相比,OTA和OTN更新过程可以更复杂。 
图6展示了根据一些实施例的一个MPU实现方式中的一个安全嵌入式DDR处理器的一种架构。具体地,图6显示包括一个嵌入式DDR处理器和从该DDR处理器至数据通路安全区中的网络的调制解调器数据通路的一个MPU实现方式。以这种途径,该DDR处理器114嵌入至安全执行环境(SEE)604和调制解调器芯片组(例如,第三代或第四代MPU芯片组)的安全执行存储器630中。如所示出的,为确保欺骗性软件或固件不能绕过该DDR处理器,该数据通路安全区包括该DDR处理器114连同出现在该DDR处理器与天线之间的调制解调器数据通路处理以及调制解调器信号处理。在一些实施例中,该DDR处理器114被安全地实施在该第三代或第四代调制解调器数据通路上、仅在调制解调器总线驱动器610和逻辑通道接口下方,并且在该DDR处理器114下方通向该第三代或第四代网络的整个数据通路被保护,以便防止绕过该DDR处理器数据通路处理的多个数据通路。 
类似于以上所论述的基于APU的途径,图6示出一个基于调制解调器的解决方案内的主要功能区块,在该解决方案中该DDR处理器114,连同其他安全调制解调器代码634、DDR下方调制解调器联网协议代码636以及DDR下方调制解调器数据通路处理638驻留在该调制解调器的SEE中,该DDR处理器经由网络数据通路632监控服务使用,并且通向服务处理器应用程序的该DDR处理器的通信通道经由一个共享邮箱(例如,由一个USB端点服务)。这个接口可以或者使用一个分离的逻辑通信通道或者搭载在APU与MPU之间的一个已经存在的逻辑通信通道之上。在一些实施例中,DDR邮箱数据320的接收者是服务处理器应用代码。 
如图6中同样所示出的,通向存在安全引导代码的非易失性存储器的接口(例如,用于软件/固件下载/更新)确保:所有安全代码都是在认为完成下载之前经过验证的第一数字签名。该数据通路是一个分离的接口,在该接口中数据帧被发送至安全环境,以便DDR处理器在除了控制有限的或无限的网络接入之外获得接入并且执行DDR使用测量。 
调制解调器芯片组非安全执行环境602包括一个调制解调器总线通信驱动器610。在一些实施例中,还提供了用于调制解调器数据通路业务量622和DDR上方调制解调器数据通路处理624的一个逻辑通信通道。在一些实施例中,一个逻辑通信通道用于调制解调器控制设置和状态报告612、调制解调器状态数据614、调制解调器控制数据616、调制解调器诊断数据618,以及其他未受保护的调制解调器功能620。 
图7展示了根据一些实施例的一个MPU实现方式中的一个安全嵌入式DDR处理器的另一种架构。具体地,图7示出了DDR处理器114如何被实施在一个MPU安全操作环境中,在该MPU安全操作环境中,通过第三代或第四代调制解调器网络处理和信号处理的数据通路被保护,以便使天线免于来自除了该DDR处理器之外的软件或固件的接入。在一些实施例中,安全引导加载器过程如以上类似地所描述地来操作。 
如所示出的,如在此类似地所描述的,APU芯片组应用程序702包括传递至服务处理器应用程序112的DDR邮箱数据710。如所示出的,APU芯片组内核程序704包括:服务处理器内核程序113,连同用于经由调制解调器总线718与调制解调器芯片组非安全执行环境706的第三代或第四代调制解调器总线驱动器722进行通信的第三代/第四代调制解调器的APU堆栈接口712、其他调制解调器的APU堆栈接口714、第三代或第四代调制解调器总线驱动器716。 
在一些实施例中,如在此参照各种实施例类似地所描述的,该DDR处理器114与允许安全网络/服务使用测量和/或接入控制的数据通路一致。在一些实施例中,提供了在该DDR安全执行环境(SEE)与调制解调器芯片组非安全执行环境706中的(潜在地)非安全的调制解调器总线驱动器接口722之间进行桥接的一个DDR处理器OS堆栈数据接口(IF)728。如同样所示出的,提供了将该DDR处理器114类似地连接至出现在该DDR与天线之间的该调制解调器数据通路处理和调制解调器信号处理740的一个DDR处理器调制解调器数据通路接口730。如在此所描述的,一致地在该数据通路上并且不仅是一个复制/监控/终止功能的DDR如同该DDR处理器一样还根据一些实施例实施一个接入控制器功能以维持以下事件中的网络接入的完整性:在以下事件中:这些DDR报告被窜改或被阻止到达服务控制器、或该DDR处理器被窜改、或该服务处理器被窜改。 
如同样所示出的,提供了在安全DDR SEE 725与非安全服务处理器应用程序112之间传递数据的一个邮箱功能。具体地,一个DDR处理器邮箱接口(IF)724与一个DDR邮箱720(其定位在调制解调器芯片组非安全执行环境706中)处于通信中。如所示出的,DDR邮箱数据710显示为被提供至该非安全服务处理器应用程序112,该DDR邮箱数据通过经由该调制解调器总线驱动器722和该调制解调器总线718的调制解调器通信通路而被提供。该DDR处理器邮箱接口(IF)724与该DDR处理器114处于通信中并且被定位在该DDR SEE 725中。如本领域的普 通技术人员鉴于在此描述的各种实施例将会清楚的,该邮箱功能可以用多种方式来实施。如以上参照各种基于APU的实施例类似地所描述的,根据一些实施例,安全区域包括在该DDR处理器下方的所有数据通路处理,并且不存在绕过该DDR处理器的通过该调制解调器至该网络的任何数据通路。 
在一些实施例中,DDR处理器在基于MPU的实施例中的一个安全环境中执行,如以上参照基于APU的实施例类似地所描述的。在一些实施例中,该安全环境确保没有未经授权的替换或修改DDR处理器代码的能力。在一些实施例中,该安全环境还确保从所述DDR处理器至天线的数据通路与该安全环境外部的固件隔离。也就是说,该安全环境外部的固件不具有影响该DDR处理器的精确统计信息收集的能力。在一些实施例中,该安全环境进一步确保除了该DDR处理器之外的代码不具有接入敏感加密存储(如密钥)的能力。例如,这可以包括屏蔽敏感存储免于调试监控器和/或其他监控/接入活动或技术。如本领域的普通技术人员还将会清楚的,MPU固件(不仅该DDR处理器)必须被保护并且不包括可以被用于允许未经授权的接入的漏洞或缺陷。例如,一个常见攻击是缓冲区溢出,其中一个破译者选择致使一个未检查的缓冲区超过其限制、导致非计划中的该破译者可以采用的行为的输入。 
这些MPU实施例中的安全执行环境(SEE)实现方式的示例包括以上类似地所描述的这些APU实施例中的各种安全执行环境(SEE)实现方式的这些示例。 
与调制解调器处理器上的数据通路安全验证器结合的应用处理器上的嵌入式DDR处理器实现方式
在一些实施例中,DDR处理器嵌入在SEE APU芯片组中,并且一个数据通路安全验证器(DPSV)嵌入在MPU芯片组中,如图1的装置架构103中所示的。例如,该DPSV可以使用加密技术来在高安全DDR处理器与调制解调器网络天线连接之间实现一个安全并且可信数据通 路。这防止欺骗软件或固件与该网络之间的一个数据连接而无需保护DPSV单元上方的调制解调器总线、物理调制解调器总线以及调制解调器数据通路单元。通过在该DDR处理器与该DPSV之间建立一个安全通信通道,创建了一个安全通道绑定,这样使得通过成功地获得接入调制解调器总线接口,只有由该DDR处理器安全地处理过的网络数据通路流可以到达无线接入网络的第三代或第四代调制解调器连接(即使欺骗性软件或固件绕过该DDR处理器)。在欺骗性软件或固件绕过该DDR处理器并且通过调制解调器传递有意的非安全数据通路信息的情况下,该DPSV阻止未由该DDR处理器处理和加密地保护的这些网络数据通路。 
图8根据一些实施例展示了一个APU中的一个安全嵌入式DDR处理器和一个MPU实现方式中的一个数据通路安全验证器(DPSV)的一种架构。具体地,如图8中所示,DDR处理器114嵌入至APU芯片组SEE中,并且在此被称为数据通路安全验证器(DPSV)836的一个第二伴随固件图像嵌入至MPU芯片组SEE(例如,一个第三代或第四代MPU芯片组SEE)中。如同样所示出的,为确保欺骗性软件或固件不能绕过该DDR处理器,存在两个数据通路安全区:一个仅包括该DDR处理器并且第二个包括该DPSV连同出现在该DDR与该天线之间的调制解调器数据通路处理和调制解调器信号处理(例如,这个第二数据通路安全区类似于DDR处理器的一个仅有调制解调器的实现方式的数据通路安全区)。 
如以上提及的,这种途径不需要保护APU第三代或第四代调制解调器总线驱动器和物理总线。例如,一些供货商和/或芯片组供应商(例如,AWSP APU芯片组供应商)可以考虑与保护该DDR处理器SEE与该调制解调器天线连接之间的数据通路相比,更容易创建两个固件图像和两个数据通路安全区。与基于APU实现方式的途径相比较时,APU的固件是在某种程度上被简化的并且可以消除涉及保护该调制解调器总线驱动器的安全设计工作。与基于MPU实现方式的途径相比较时,调制解调器固件同样是简化的。例如,在一些APU芯片组架构中,保护从该 DDR处理器到该调制解调器总线驱动器、调制解调器物理总线以及该调制解调器本身的数据通路可能是困难的。同样,在一些MPU芯片组中,如以上类似地所论述的,可能存在对简化或减小该MPU上所需要的安全固件程序图像的大小的一种需要。更简单并且更小的固件可以减小所需要的更新的频率或可能完全地消除这些更新。在此所描述的APU DDR处理器和MPU DPSV实现方式途径将该MPU上所需要的固件减小至该DPSV。这允许在该APU上通过该DDR处理器实施更复杂的数据通路处理,其中(i)安全固件执行存储器典型地较大并且CPU性能典型地较高,并且(ii)固件更新系统典型地更有能力并且更灵活。然而,该APU DDR处理器和MPU DPSV实现方式途径也存在缺点。主要缺点是固件总体上必须嵌入在无线网络芯片组(MPU)和装置应用处理器(APU)芯片组二者中。 
如图8中所示,一个第一SEE 810在该APU芯片组上实施,该APU芯片组包括DDR处理器114,该DDR处理器用于使用OS堆栈数据通路接口和/或调制解调器数据通路接口818来保护地监控来自用于第二代/第三代/第四代调制解调器的APU堆栈驱动器806的通信,如在此类似地所描述的。一个第二SEE 832实施在该MPU芯片组上,该MPU芯片组包括数据通路安全验证(DPSV)程序836。如所示出的,该DPSV836坐落在调制解调器的数据通路上。例如,该DPSV功能可以是相当简单的:该DPSV 836仅传递由DDR处理器114处理并且确认的数据通路信息。该DPSV 836绑定至DDR处理器114,这样使得该DPSV 836知道DDR处理器数据通路的机密会话密钥并且可以接收来自DDR处理器114的确认。在此提供用于以下各项的各种技术:DDR处理器114如何将一个安全数据通路通道绑定至该DPSV 836和该DPSV 836如何确保正在正确地监控并且处理所有第三代或第四代调制解调器网络服务使用。 
参照APU SEE 810,在此参照各种实施例类似地描述一个程序签名验证器820、非易失性存储器I/O 822以及安全执行引导加载器和更新器824。该APU SEE 810还包括一个DDR安全执行存储器812。如所示 出的,该DDR安全执行存储器812包括DDR处理器114,该DDR处理器用于监控穿过OS堆栈数据通路接口816和调制解调器数据通路接口818的数据通路,该调制解调器数据通路接口用于经由调制解调器总线驱动器826与调制解调器总线818进行数据通路通信。如所示出并且如在此类似地所描述的,该DDR安全执行存储器812还包括一个DDR处理器邮箱接口,该DDR处理器邮箱接口用于从DDR处理器114向服务处理器应用程序112提供DDR邮箱数据810。类似地,DPSV 836使用DPSV邮箱接口842作为一个通信通道以认证DDR处理器114并且建立有待用于两者之间的消息完整性检查的一个机密会话密钥。在此描述用于实施DDR处理器114与DPSV 836之间的安全绑定的各种技术。 
在一些实施例中,DDR处理器在基于APU的实施例中的一个安全环境中执行,如以上参照基于APU的实施例类似地所描述的。在一些实施例中,该安全环境确保没有未经授权的替换或修改DDR处理器代码的能力。在一些实施例中,该安全环境进一步确保:除了该DDR处理器之外的代码不具有接入敏感加密存储(如密钥)的能力。例如,这可以包括屏蔽敏感存储免于调试监控器和/或其他监控/接入活动或技术。如本领域的普通技术人员还将会清楚的,APU固件(不仅该DDR处理器)必须被保护并且不包括可以被用于允许未经授权的接入的漏洞或缺陷。例如,一个常见攻击是缓冲区溢出,其中一个破译者选择致使一个未检查的缓冲区超过其限制、导致非计划中的该破译者可以采用的行为的输入。 
类似地,在一些实施例中,DPSV在一个安全环境中执行。在一些实施例中,该安全环境确保没有未经授权的替换或修改DPSV代码的能力。在一些实施例中,该安全环境进一步确保除了该DPSV之外的代码不具有接入敏感加密存储(如密钥)能力。在一些实施例中,该安全环境进一步确保任何代码都不具有干扰该DPSV的正确加密功能和该DPSV与该DDR处理器之间的通信的能力。例如,这可以包括屏蔽敏感存储免于调试监控器和/或其他监控/接入活动或技术。如本领域的普通技术人员还将会清楚的,MPU固件(不仅该DPSV)必须被保护并且不包 括可以被用于允许未经授权的接入的漏洞或缺陷。例如,一个常见攻击是缓冲区溢出,其中一个破译者选择致使一个未检查的缓冲区超过其限制、导致非计划中的该破译者可以采用的行为的输入。 
在一些实施例中,如在此所描述的,该APU包括一个数据通路处理器(DPP),该DPP包括DDR处理器功能,该DPP在一个APU SEE中受保护。在一些实施例中,该APU DPP还包括其他服务监控、控制以及通知功能。在一些实施例中,调制解调器包括一个数据通路安全验证器(DPSV),该数据通路安全验证器保护该APU DPP与调制解调器网络数据通路之间的通路,这样使得仅该DPP可以在该调制解调器上传输,即使其他软件、固件、总线或端口可以接入该调制解调器。在一些实施例中,如本领域普通技术人员鉴于在此所描述的各种实施例将会清楚的,通过在此所描述的这些技术和/或类似或其他技术中的一种或多种,该调制解调器DPSV绑定至该APU DPP。例如,该APU DPP可以被提供在通向调制解调器网络连接的一个保护的数据通路中(该装置上的软件、固件、总线或端口不能绕过该保护的数据通路)。这可以是经由硬件设计的一个硬件连线的数据通路、或用该APU DPP下方的所有这些数据通路单元的一个安全固件或软件执行环境所保护的一个数据通路。该APU DPP和调制解调器交换公开密钥和/或数字证书,并且然后执行一个密钥交换过程来认证彼此,这导致一个机密共享的会话密钥将会被用作消息完整性检查的基准。 
一旦在APU DPP与DSPV之间建立了该机密共享会话密钥,那么该APU DPP使用该会话密钥来将一个完整性检查附加在有待传输的每一帧上,并且该调制解调器使用该会话密钥来使该完整性检查生效。该调制解调器仅允许传输具有一个有效的完整性检查的帧,并且该调制解调器阻止不包括一个有效的完整性检查的帧,意味着仅被该APU DPP处理的帧得以传输。类似地,该调制解调器DPSV使用该会话密钥来将一个完整性检查附加至每个被接收帧,并且该APU DPP使用该会话来在该会话被发送至更高层(例如,应用层等)之前使该完整性检查生效。 
在一些实施例中,按顺序排列DPSV与DPP之间的调制解调器下行数据通路消息。在一些实施例中,APU DPP上行消息包括下行序列信息,这样使得调制解调器DPSV可以证实APU DPP正在接收所有下行包,并且如果不是,那么该调制解调器DPSV可以通知该APU DPP、通知服务控制器和/或采取行动,如限制接入和/或其他适当的行动。 
如在此参照各种实施例所描述的,在一些实施例中,APU DPP生成多个安全DDR并且以一种按序的并且安全的方式将这些安全DDR传递至服务控制器。 
在一些实施例中,服务处理器应用和/或服务处理器内核程序通知APU DPP关于哪些套接字/流属于哪些应用(例如,可以或应当与用于基于应用的服务使用监控、计费和/或控制的应用相关联),这样使得该APU DPP知道哪个应用在生成或接收业务量,以便辅助应用分类标签用于收费、业务量控制和/或用户通知策略。 
在一些实施例中,APU DPP执行多种功能。在一些实施例中,该APU DPP可以执行DDR处理器功能。该APU DPP可以执行收费代理(CA)和/或策略决定代理(PDA)的这些服务监控功能中的任何或所有功能。该APU DPP可以计数所有网络业务量,并且在一些示例中,依据应用和/或目的地、NBS、当日时间、活跃网络和/或各种其他标准对业务量进行分类,如在此所描述的。该APU DPP可以生成收费记录。该APU DPP可以将收费记录传递至该服务控制器(例如,或另一个网络收费功能)和/或装置通知UI。 
在一些实施例中,APU DPP执行接入控制器功能。例如,该APU DPP可以命令服务处理器应用和/或内核程序或者允许、或者阻止/取消一个应用或目的该应用或目的、或使该应用或目的地成为背景。通过操纵对网络的应用接入或通过拦截应用程序引导/开始序列、或通过暂停/恢复该应用,该服务处理器应用和/或内核程序可以或者允许/阻止一个应用或者使该应用成为背景。通过对OS中的应用管理功能(例如,如安卓活动 管理器和/或服务管理器功能)进行改编程序或拦截,该服务处理器应用和/或内核程序可以执行拦截功能。该APU DPP或者命令服务处理器应用/内核程序来控制应用和/或业务量,或者直接在DPP中控制业务量。该APU DPP可以执行如在此参照各种实施例所描述的策略强制执行功能。 
在一些实施例中,该APU DPP可以执行NBS监控器功能和/或报告功能。例如,该APU DPP可以检测NBS、调制解调器性能参数、链路中所包含的网络资产和/或地理定位信息。 
在一些实施例中,APU DPP从具有“安全”ping循环系统的网络获得网络时间以验证网络时间戳未被拦截或延迟。例如,该APU DPP可以或者具有一个本机可靠时钟或者可以在每次开始和/或停止一个报告时执行一个ping循环。 
这些APU DDR处理器和MPU DPSV实施例中的安全执行环境(SEE)实现方式的示例包括以上类似地所论述的这些APU实施例中的各种安全执行环境(SEE)实现方式的这些示例。以下还列出具体的示例。示例可商购的APU包括以下各项:基于Intel Atom(例如Z5xx、Z6xx、D4xx、D5xx系列)的解决方案与包括TPM支持的因特尔可信执行技术;和基于ARM的解决方案与ARM可信区架构。示例APU说明书要求还可以包括:公用硬件安全区块(例如,AES、DES、RSA、Diffie-Hellman、SHA,以及一个随机数生成器)。示例可商购的MPU包括以下各项:基于EVDO芯片组的解决方案(例如,基于ARM 11的CPU架构,包括ARM可信区架构与许多公用硬件加密区块);基于HSPA芯片组的解决方案(例如,基于Snapdragon/ARM的CPU架构,包括ARM可信区架构与许多公用硬件加密区块);以及基于LTE芯片组的解决方案(例如,基于Snapdragon/ARM的CPU架构,包括ARM可信区架构与许多公用硬件加密区块)。 
图9展示了根据一些实施例的一个用户识别模块(SIM)中的一个安全嵌入式DDR处理器和一个MPU实现方式中的一个数据通路安全 验证器(DPSV)的一种架构。具体地,如图9中所示,DDR处理器114嵌入至一个SIM SEE 918中,并且数据通路安全验证器(DPSV)936嵌入至MPU芯片组SEE 932(例如,一个第三代或第四代MPU芯片组SEE)中。如所示出的,来自该APU的数据通信,如在此类似地所描述的包括邮箱功能的那些使用SIM总线驱动器911(该SIM总线驱动器使用调制解调器和SIM总线912)进行通信。 
如图9中所示,一个第一SEE 918在一个SIM 913中实施,该第一SEE包括DDR处理器114,该DDR处理器用于使用OS堆栈数据通路接口924和/或调制解调器数据通路接口926来保护地监控从调制解调器和SIM总线912至SIM总线驱动器916的通信,如在此类似地所描述的。如在此所描述的,类似地提供了一个邮箱功能,该邮箱功能使用如所示出的DDR处理器邮箱接口922、DDR邮箱数据914以及DDR邮箱数据910。 
如图9中同样所示出的,使用如在此所描述的调制解调器SIM数据安全验证器936来监控经由调制解调器和SIM总线913至第三代/第四代调制解调器总线驱动器934和信号处理元件938的数据通路通信。该调制解调器SIM数据安全验证器936在如所示出的调制解调器芯片组/MPU 930的一个调制解调器芯片组SEE 932中实施。另外,存在向APU提供通信通道的一个DPSV邮箱842(该通信通道的最终目的地是该SIM内的DDR处理器),以用于有待用作消息完整性检查的基准的机密会话密钥的认证和建立。 
在一些实施例中,该SIM包括一个数据通路处理器(DPP),该DPP使在SIM SEE中受保护的DDR功能嵌入。例如,该SIM DPP还可以包括其他服务监控、控制以及通知功能。在一些实施例中,调制解调器包括一个数据通路安全验证器(DPSV),该数据通路安全验证器保护该SIM DPP与调制解调器网络数据通路之间的通路,这样使得仅该DPP 可以在该调制解调器上传输,即使其他软件、固件、总线或端口可以接入该调制解调器。 
在一些实施例中,如本领域的普通技术人员鉴于在此所描述的各种实施例将会清楚的,通过以下技术和/或类似或其他技术中的一种,该调制解调器DPSV绑定至该SIM DPP。 
例如,该SIM DPP可以被提供在通向调制解调器网络连接的一个保护的数据通路中(该装置上的软件、固件、总线或端口不能绕过该调制解调器网络连接)。该保护的数据通路可以是经由硬件设计的一个硬件连线的数据通路、或用该SIM DPP下方的所有这些数据通路单元的一个安全固件或软件执行环境所保护的一个数据通路。在一些实施例中,使用各种安全通信技术(如在此所描述的那些)来保护该DPSV 936与DDR处理器114之间的通信。在一些实施例中,该DPSV具有对该DPSV的公开密钥对的真实性进行证明的一个唯一的私人/公用密钥和一个数字证书(cert)。该DDR处理器具有对该DDR处理器的公开密钥的真实性进行证明的一个唯一的私人/公用密钥对和一个数字证书(cert)。该DPSV和该DDR处理器交换公开密钥和cert,然后执行彼此认证并且导致一个机密的、共享的会话密钥的一个密钥交换过程。该DDR处理器接收来自装置OS联网堆栈的上行网络数据流,并且该DDR处理器使用该会话密钥将一个完整性检查附加至该DDR处理器发送至该DPSV的每个上行数据消息。该DPSV阻止不具有来自该DDR处理器的一个有效的完整性检查的任何上行数据通路信息,并且通知该DDR处理器其正在接收无效的上行数据,这样使得该DDR处理器可以通知服务控制器一个可能的欺骗事件。该DPSV接收下行网络数据流,并且该DPSV使用该会话密钥将一个完整性检查附加至该DPSV发送至该DDR处理器的每个下行数据消息。例如,按顺序排列每个下行数据消息,这样使得数据消息在没有被该DDR处理器检测到的情况下不会被阻止或重演。如果该DDR处理器接收具有一个无效的完整性检查的一个下行数据消息,则该DDR处理器拒绝该消息并且通知该服务控制器一个可能的欺骗事件。该DDR处理器 确认其发送至该DPSV的下一个上行数据中的每个未被拒绝的下行数据消息。如果该DPSV停止接受下行数据消息确认,那么该DPSV阻止下行网络数据流并且通知该DDR处理器,这样使得该DDR处理器可以通知该服务控制器一个可能的欺骗事件。如在此参照各种实施例所描述的,该DDR处理器通过该服务处理器保护地向该服务控制器发送DDR报告。 
在一些实施例中,按顺序排列DPSV与DPP之间的调制解调器下行数据通路消息。在一些实施例中,SIM DPP上行消息包括下行序列信息,这样使得调制解调器DPSV可以证实该SIM DPP正在接收所有下行包,并且如果不是,那么该调制解调器DPSV可以通知该SIM DPP、通知服务控制器和/或采取行动,如限制接入和/或另一个或另一些适当的行动。 
在一些实施例中,SIM-MPU接口是一个物理接口(例如,一根总线)。在一些实施例中,该SIM-MPU接口是一个逻辑接口(例如,经由不可信APU)。在一些实施例中,该SIM在逻辑上是嵌入至任何装置处理单元(例如,一个SIM、视频处理器、音频处理器、显示处理器等)中的一个独立的安全硬件模块(例如,一个安全执行环境的一部分)。 
在一些实施例中,一个SIM和MPU交换包括若干组件。在一些实施例中,该MPU和该SIM各自具有其自己的具有一个证书的公开/私人加密密钥对。在一些实施例中,该MPU和SIM使用一个密钥交换协议来交换密钥。在一些实施例中,这个密钥交换通过位于该MPU与该SIM之间的一个物理总线发生。在一些实施例中,这个密钥交换通过一根逻辑总线(例如,经由不可信APU)发生。这类密钥交换协议是本领域中众所周知的并且在此不进行描述。在一些实施例中,该MPU和SIM在已经使用证书相互认证这些密钥之后,它们建立一个共享的会话密钥。在一些实施例中,该MPU和SIM将一个传输计数值初始化至零、将一个接收计数值初始化至零、将一个最大传输计数值初始化至一个整数N,并且将一个最大接收计数值初始化至一个整数M。在一些实施例中,M 和N的值是相同的。在一些实施例中,M和N的值是取决于实现方式的并且可以基于该MPU的接收和传输数据包处理能力来确定。例如,通过选择M为3并且选择N为2,该SIM区块期望在不超过三个被接收数据包之后并且不迟于在两个被传输数据包之后从该MPU获得一个ACK帧;否则,该SIM推断出已经出现了欺骗并且通知一个网元。 
在一些实施例中,该MPU针对每个流出的数据包向该SIM发送仅该传输帧的一个相关部分,以便降低SIM处理要求。在一些实施例中,这些传输帧的相关部分包括一个报头、传输计数以及一个完整性检查。在一些实施例中,该报头包括如以下各项中的一项或多项的信息:源地址和目的地址、源端口和目的端口、一个协议标签以及一个按字节的包长度。在一些实施例中,该传输计数数出被传输帧和使每个传输帧增量。在一些实施例中,通过对该会话密钥、报头以及该传输计数中的一个或多个进行杂凑来确定该完整性检查。 
在一些实施例中,MPU还针对每个流入的数据包向SIM发送仅该接收帧的一个相关部分。在一些实施例中,这些接收帧的相关部分包括一个报头、接收计数以及一个完整性检查。在一些实施例中,该报头与该传输帧报头相同(例如,以下各项中的一项或多项:源地址和目的地址、源端口和目的端口、一个协议标签以及一个按字节的包长度)。在一些实施例中,该接收计数使每个被接收帧增量。在一些实施例中,通过对该会话密钥、报头以及传输计数中的一个或多个进行杂凑来确定该完整性检查。 
在一些实施例中,该帧确认(例如,ACK)是最大传输计数、最大接收计数以及完整性检查的和。在一些实施例中,该最大传输计数被设置为(传输计数+N),其中传输计数是来自最新的传输帧的传输计数。在一些实施例中,该最大接收计数被设置为(接收计数+M),其中接收计数是来自最新的被接收帧的接收计数。在一些实施例中,通过对该会 话密钥、最大传输计数以及最大接收计数中的一个或多个进行杂凑来确定该完整性检查。 
在一些实施例中,MPU与SIM之间的接口是一个逻辑接口(例如,经由不可信APU)。在一些实施例中,在传输侧,该APU仅向该SIM发送传输帧(例如,以下各项中的一项或多项:源地址和目的地址、源端口和目的端口、一个协议标签以及一个按字节的包长度)。在一些实施例中,该SIM向该APU发送回该传输计数、该最大接收计数(例如,接收计数+M)以及一个完整性检查。在一些实施例中,该SIM针对每一个被传输帧使传输计数的值增量。在一些实施例中,通过对该会话密钥、该报头、该传输帧计数和该最大接收计数中的一个或多个进行杂凑,该SIM确定该完整性检查。在一些实施例中,该APU将该报头和帧主体附加至SIM递送的传输计数、最大接收计数以及该完整性检查,并且向该MPU发送结果。在一些实施例中,该MPU仅一次一个地传输通过该完整性检查的这些帧。在一些实施例中,该MPU可以不使用一个最大传输计数。 
在一些实施例中,MPU与SIM之间的接口是一个逻辑接口(例如,经由不可信APU)。在一些实施例中,在接收侧,该MPU仅向该APU发送报头(例如,以下各项中的一项或多项:源地址和目的地址、源端口和目的端口、一个协议标签以及一个按字节的包长度)、接收计数、一个完整性检查以及该帧主体。在一些实施例中,针对每一个被接收数据包对该接收计数进行增量。在一些实施例中,通过对该会话密钥、该报头以及该接收计数中的一个或多个进行杂凑来确定该完整性检查。在一些实施例中,该APU仅向该SIM发送该报头(例如,以下各项中的一项或多项:源地址和目的地址、源端口和目的端口、一个协议标签以及一个按字节的包长度)、该接收计数以及该完整性检查。在一些实施例中,在获得SIM证实返回之前,该MPU可以处理多于一个单一接收帧。在一些实施例中,如在此所描述的,该SIM ACK帧(例如,最大接收计数的指示)搭载至该帧上。 
在一些实施例中,MPU向SIM发送整个数据帧,并且在传输侧并且在接收侧,该SIM附加有待验证的一个完整性检查。在一些实施例中,DPSV引擎将该完整性检查添加至这些数据帧并且将这些数据帧发送至该SIM。在这类实施例中,该SIM与该APU交互,并且该SIM(DDR处理器)是处于数据交换的中间。 
在一些实施例中,在每个传输帧中,MPU增加该传输计数的量,并且将那个值与如从最新的帧确认获得的最大传输计数的值进行对比。在一些实施例中,如果该传输计数大于该最大传输计数,则该MPU确定该SIM未在接收有效的传输帧数据。在一些实施例中,在确定该SIM未在接收有效的传输帧数据之后,该MPU通知一个网元(例如,一个可信实体,如一个服务控制器)已经出现一个欺骗。 
在一些实施例中,如果MPU在一个帧确认中检测到一个无效的完整性检查,或如果SIM在一个传输帧上检测到一个无效的完整性检查,则该MPU或该SIM确定恶意行为正在发生。在一些实施例中,在该MPU或该SIM确定恶意行为正在发生时,该MPU或该SIM通知一个网元(例如,一个可信实体,如一个服务控制器)已经发生一个欺骗。在一些实施例中,如果该MPU或该SIM未确定恶意行为正在发生,则该SIM使用来自该传输帧的报头来更新DDR数据收集并且向该网元报告这些结果。 
在一些实施例中,在每个接收帧中,MPU增加该接收计数的量,并且将那个值与如从最新的帧确认获得的最大传输计数的值进行对比。在一些实施例中,如果该接收计数大于该最大接收计数,则该MPU确定该SIM未在接收有效的接收帧数据。在一些实施例中,在确定该SIM未在接收有效的接收帧数据之后,该MPU通知一个网元(例如,一个可信实体,如一个服务控制器)已经出现一个欺骗。 
在一些实施例中,如果MPU在一个帧确认中检测到一个无效的完整性检查,或如果SIM在一个接收帧上检测到一个无效的完整性检查, 则该MPU或该SIM确定恶意行为正在发生。在一些实施例中,在该MPU或该SIM确定恶意行为正在发生时,该MPU或该SIM通知一个网元(例如,一个可信实体,如一个服务控制器)已经发生一个欺骗。在一些实施例中,如果该MPU或该SIM未确定恶意行为正在发生,则该SIM使用来自该接收帧的报头来更新DDR数据收集并且向该网元报告这些结果。 
如在此参照各种实施例所描述的,在一些实施例中,SIM DPP生成多个安全DDR并且以一种按序的并且安全的方式将这些安全DDR传递至服务控制器。 
在一些实施例中,服务处理器应用和/或服务处理器内核程序通知SIM DPP哪些套接字/流属于哪些应用,这样使得该SIM DPP知道哪一个应用正在生成或接收业务量,以便辅助应用分类标签用于收费、业务量控制以及通知策略。 
在一些实施例中,如在此所描述的,SIM DPP执行多种功能。例如,该SIM DPP可以执行这些DDR处理器功能。该SIM DPP可以执行收费代理(CA)和/或策略决定代理(PDA)的这些服务监控功能中的任何或所有功能。该SIM DPP计数所有网络业务量,并且在一些示例中,该SIM DPP还依据应用和/或目的地、NBS、当日时间(TOD)、主动网络和/或各种其他标准对业务量进行分类。该SIM DPP可以生成收费记录。该SIM DPP可以将收费记录传递至该服务控制器(例如,或另一个网络收费功能)和/或装置通知UI。 
如另一个示例,SIM DPP可以执行各种接入控制器功能。该SIM DPP可以命令服务处理器应用和/或内核程序或者允许、阻止/取消一个应用或目的该应用或目的、或者使该应用或目的地成为背景。通过操纵对网络的应用接入或通过拦截应用程序引导/开始序列、或根据中止/继续该应用,该服务处理器应用和/或内核程序可以允许、阻止/取消一个应用、或使该应用成为背景。通过对OS中的应用管理功能(例如,如安卓活动 管理器和/或服务管理器功能)进行重编程序或拦截,该服务处理器应用和/或内核程序可以执行拦截功能。如一个示例,该SIM DPP可以或者命令该服务处理器应用/内核程序来控制该应用和/或业务量,或者可以直接在DDP中控制业务量。该SIM DPP还可以执行如在此所描述的策略强制执行功能。 
如另一个示例,SIM DPP可以执行NBS监控和/或报告功能。该SIM DPP可以检测NBS、调制解调器性能参数、链路中所包含的网络资产以及地理定位。 
如另一个示例,SIM DPP可以从具有“安全”ping循环系统的网络获得一个网络时间以验证网络时间戳未被拦截或延迟。例如,该SIM DPP可以或者具有本机可靠时钟或者可以在每次开始和/或停止一个报告时执行ping循环。 
图10示出根据一些实施例的一个用户识别模块(SIM)中的一个安全嵌入式DDR处理器和一个MPU实现方式中的一个数据通路安全验证器(DPSV)的另一种架构。在一些实施例中,所希望的可能是将DDR处理器定位在一个独立式芯片组上,该独立式芯片组附接至APU或MPU芯片组,如一张SIM卡。图10根据一些实施例展示了这样一个实现方式。例如,一个嵌入式DDR处理器可以实施在与一个数据通路安全验证器(DPSV)结合的一个智能电话APU芯片组上,该数据通路安全验证器实施在一个第三代或第四代无线调制解调器芯片组上。 
在一些实施例中,如图10中所示出的,其中该DDR处理器实施在SIM卡(例如,或另一个独立式安全芯片组)上,通过在APU上提供一个数据通路逻辑通道转发功能并且在服务控制器与该DDR处理器之间提供一个邮箱数据通信功能以在一根SIM数据总线上进行连接,不需要位于DDR处理器与调制解调器DPSV之间的一个硬件或固件安全数据通路。另外,向该服务控制器的该DDR处理器报告可以不用在一个硬件辅助安全执行环境(SEE)中受到保护的APU上的这些系统单元进行保护。 
参照图10,如以上参照图9类似地所描述的,如所示出的,安全DDR处理器114定位在SIM上的SIM安全执行环境1040的DDR安全执行存储器1042中。除了在APU芯片组内核程序1004中将一个APU SIM向调制解调器总线转发功能1012和一个APU总线驱动器功能1014添加至该APU(如图10中所示出的)之外,该APU的架构类似于图9中所示出并且以上参照图9所论述的架构。如以上参照图9类似地所描述的,一个安全DPSV 1026定位在调制解调器的调制解调器芯片组SEE1024中,该调制解调器用于使用第三代/第四代调制解调器数据通路和信号处理单元1028监控来自第三代/第四代调制解调器总线驱动器的通信。然而,与图9相比,在图10中,该MPU和SIM是经由独立的通信总线与该APU进行通信的分离的硬件或芯片组。具体地,如所示出的,使用第三代/第四代调制解调器总线驱动器1022至APU调制解调器总线驱动器1014和APU SIM至调制解调器总线转发功能1012,该MPU与该APU经由调制解调器总线1018进行通信。如所示出的,使用SIM总线驱动器1032至SIM总线驱动器1010,该SIM与该APU经由SIM总线1016进行通信。同样,该DPSV使用DPSV邮箱842作为通信通道来认证该SIM中的DDR处理器114,其中该连接建立在该APU内。如所示出的,该APU具有两个通信通道;与DDR处理器的一个第一通信通道和与该DPSV的一个第二通信通道。 
在一些实施例中,如所示出的,在SIM总线1016上位于APU上的服务处理器DDR邮箱910与SIM上的DDR邮箱1034之间创建一个第一逻辑通信通道,并且这支持使用DDR处理器邮箱接口1044至DDR邮箱数据1034至SIM总线驱动器1032的服务处理器(例如,服务处理器应用程序112和/或服务处理我内核程序113)与该DDR处理器114之间的通信。如同样所示出的,在该SIM总线1016上位于OS联网堆栈与该DDR处理器114之间创建一个第二逻辑数据通道,并且这是旨在用于使用OS堆栈数据通路接口1046至SIM总线驱动器1032的与第三代或第四代网络的所有OS联网堆栈通信的逻辑通道。在该SIM DDR处理器 114与该调制解调器DPSV 1026之间创建一个第三逻辑通信通道。如同样所示出的,这个第三逻辑通信通道是通过在以下各项之间转发数据形成的:定位在该SIM上的该SIM总线接口(例如,调制解调器数据接口1048至SIM总线驱动器1032)、定位在该APU上的该SIM总线驱动器1010、定位在该APU上的该SIM至调制解调器总线转发功能1012、定位在该APU上的该调制解调器总线驱动器1014以及定位在该调制解调器上的该调制解调器总线接口1022。 
在一些实施例中,使用各种安全通信技术(如在此所描述的那些)来保护DPSV 1026与DDR处理器114之间的通信。在一些实施例中,该DPSV具有对该DPSV的公开密钥对的真实性进行证明的一个唯一的私人/公用密钥对和一个数字证书(cert)。该DDR处理器具有对该DDR处理器的公开密钥的真实性进行证明的一个唯一的私人/公用密钥对和一个数字证书(cert)。该DPSV和该DDR处理器交换公开密钥和cert,然后执行彼此认证并且导致一个机密的、共享的会话密钥的一个密钥交换过程。该DDR处理器接收来自装置OS联网堆栈的上行网络数据流,并且该DDR处理器使用该会话密钥将一个完整性检查附加至该DDR处理器发送至该DPSV的每个上行数据消息。该DPSV阻止不具有来自该DDR处理器的一个有效的完整性检查的任何上行数据通路信息,并且通知该DDR处理器其正在接收无效的上行数据,这样使得该DDR处理器可以通知服务控制器一个可能的欺骗事件。该DPSV接收下行网络数据流,并且该DPSV使用该会话密钥将一个完整性检查附加至该DPSV发送至该DDR处理器的每个下行数据消息。例如,按顺序排列每个下行数据消息,这样使得数据消息在没有被该DDR处理器检测到的情况下不会被阻止或重演。如果该DDR处理器接收具有一个无效的完整性检查的一个下行数据消息,则该DDR处理器拒绝该消息并且通知该服务控制器一个可能的欺骗事件。该DDR处理器确认其发送至该DPSV的下一个上行数据中的每个未被拒绝的下行数据消息。如果该DPSV停止接受下行数据消息确认,那么该DPSV阻止下行网络数据流并且通知该DDR处理器,这 样使得该DDR处理器可以通知该服务控制器一个可能的欺骗事件。如在此参照各种实施例所描述的,该DDR处理器通过该服务处理器保护地向该服务控制器发送DDR报告。 
在一些实施例中,从DDR处理器向服务控制器传输的这些DDR检查过完整性的并且以不会被窜改或重放的一种方式按顺序排列。与一组唯一DDR报告序列标识符和认证会话保活计时器相结合、位于该DDR处理器与该服务控制器之间的一个认证过程用于维持并且证实该DDR处理器与该服务控制器之间的安全连接。如果该DDR处理器与该服务控制器之间的该安全会话或DDR记录的流通被中断,那么该DDR处理器中的接入控制功能限制第三代或第四代调制解调器数据通路对这些网络目的地的接入,该接入是在该DDR与该服务控制器之间重建一个安全认证的会话所必需的。 
图11展示了根据一些实施例的一个用户识别模块(SIM)中的一个安全嵌入式DDR处理器和一个MPU实现方式中的一个数据通路安全验证器(DPSV)的另一种架构。除了(如所示出的)提供一个SIM数据通路接口1110用于来自该SIM与MPU上的第三代或第四代调制解调器总线驱动器934的直接通信之外,图11类似于图9。如在此针对包括邮箱功能的APU类似地所描述的、使用SIM数据通路接口1110至调制解调器总线驱动器934进行通信的那些,如所示出的,SIM通信使用调制解调器总线1112经由调制解调器总线驱动器911和用于第三代或第四代调制解调器的APU堆栈接口906与APU进行通信。 
如本领域的普通技术人现在鉴于在此所描述这些实施例将会清楚的,在一些实施例中,可以使用这些或类似技术提供包括DDR处理器的各种其他位置的各种其他架构。 
如本领域的普通技术人现在鉴于在此所描述这些实施例将会清楚的,在一些实施例中,可以使用这些或类似技术提供包括DDR处理器和/或DPSV的各种其他位置的各种其他架构。 
例如,DDR处理器(例如和/或服务处理器的各种被保护单元)可以定位在包括在网络堆栈中处于更高水平的网络接入策略强制执行的各种其他位置中(例如,在各种安全操作环境中)。具体地,由该服务处理器所执行的没有硬件安全的某些功能可以定位在硬件保护执行存储器中。这类功能可以包括第三代和第四代网络数据通路处理和使用报告功能、第三代和第四代网络应用接入管理和使用报告功能,以及第三代和第四代服务用户通知和顾客活动状态功能。 
图16展示了其中安全执行环境(在图16中被称为数据通路安全区140或SEE)包括安全服务处理器单元1604的一个实施例。图16示出用于编号#1至#N的各种装置I/O端口(例如,可能地包括但不限于第二代、第三代、第四代、WiFi、以太网、USB、火线、蓝牙,以及NFC)的许多I/O调制解调器250。调制解调器总线驱动器和物理层总线142定位在该安全执行环境(数据通路安全区140)中,并且因此该安全执行环境保护安全服务处理器单元1604和位于安全服务处理器单元1604与这些装置I/O端口之间的数据通路。在一些实施例中,安全服务处理器单元1604包括该服务处理器的希望受到保护以免于恶意软件或未经授权的用户窜改或配置改变的这些部分,这些部分包括但不限于对以下各项负责的这些安全服务处理器单元:策略强制执行、I/O端口通信活动监控和报告、I/O端口通信控制或业务量控制、应用策略监控、应用控制、应用接入控制或业务量控制、网络目的地监控和报告、网络目的地接入控制或业务量控制,以及装置环境监控和完整性验证。图16中同样示出网络堆栈136处于该安全执行环境中,但是总体上不是所有的这些网络堆栈功能需要在该安全执行环境中实施,其条件是在安全服务处理器单元1604中的监控点和I/O调制解调器250下方的数据通路受到保护(例如,未经授权的数据通路接入是不可用的或不被允许的)。在图16中所示出的实施例中,安全服务处理器单元1604与网络堆栈136交互,以便实施在此所描述的各种I/O端口活动监控和控制功能。非安全服务处理器单元1602同样被包括但不限于用户接口单元。 
在一些实施例中,使用安全执行环境分区技术,大的部分或整个服务处理器功能性在APU或MPU中的硬件安全执行环境中实施。在一些实施例中,使用安全CPU分区技术,大的部分或整个服务处理器功能性在该APU或MPU中的硬件安全执行环境中实施。如一个示例实施例,可以在一个安全执行环境内执行的服务处理器功能包括策略强制执行行动,这些策略强制执行行动根据存储在如以下各项的安全执行环境中的一个策略指令集:用于第二代、第三代或第四代网络(和/或I/O其他端口,如以太网络、WiFi、USB、火线、蓝牙或NFC)中的一个或多个的管理策略,其中该策略管理可以包括应用软件接入管理、应用软件业务量处理、应用软件接入监控和报告,或应用软件接入服务记账和报告。如另一个示例实施例,可以在一个安全执行环境内执行的安全服务处理器单元功能包括用于一个或多个应用程序的管理策略,其中该策略根据存储在该安全执行环境中的一个策略指令集指定是否阻止、允许或压制这些应用软件。如另一个示例实施例,可以在一个安全执行环境内执行的安全服务处理器单元功能包括用于一个或多个应用软件的管路策略,其中该策略包括应用软件活动监控和报告或操作环境监控或报告(例如,监控安全状态或该装置操作环境中存在恶意软件)。如另一个示例实施例,可以在一个安全执行环境内执行的安全服务处理器单元功能包括用于一个或多个网络目的地或资源(可以包括网站、域、URL、IP和/或TCP地址、服务器名称、其他装置或内容来源)的管理策略,其中该策略包括接入管理、业务量控制、接入监控或接入服务记账。如另一个示例实施例,可以在一个安全执行环境内执行的安全服务处理器单元功能包括用于一个或多个漫游接入网络的管理策略。如另一个示例实施例,可以在一个安全执行环境内执行的安全服务处理器单元功能包括监控和报告一个或多个装置连接(包括一个第二代、第三代、第四代和/或其他I/O端口中的一个或多个)上的通信活动。在一些实施例中,可以在一个安全执行环境内执行的安全服务处理器单元功能包括监控、分类(例如,识别与该I/O端口活动相关联的应用软件和/或网络目的地)和报告在一 个或多个连接(包括一个第二代、第三代、第四代和/或其他I/O端口中的一个或多个)上的通信活动。在一些实施例中,如在此所描述的,通过经由一个安全通信链路将这个策略指令集传递至该安全服务处理器单元,定位在该网络中的一个服务控制器提供存储在该安全执行环境中的这些策略指令。在一些实施例中,涉及报告的这些策略强制执行行动可以包括经由进入如在此所描述的安全执行环境中的一个安全通信链路将这些报告发送至定位在该网络中的一个服务控制器,以便用于对这些报告进行进一步处理。在一些实施例中,经由进入该安全执行环境中的一个安全通信链路将这些报告发送至定位该网络中的一个服务控制器可以包括在此所描述的已认证安全排序和接收协议。 
如另一个示例实施例,可以在一个安全执行环境内执行的安全服务处理器单元功能可以包括以下各项中的一项或多项:(i)一个安全应用管理器,该安全应用管理器识别与一个特定的应用或一个特定组的应用向关联的业务量,以便区别地管理第二代、第三代以及第四代应用接入策略(例如,允许、阻止、压制、推迟稍后的传输,应用一个给定的QoS水平)或服务使用记账(和/或对由一个或多个其他I/O端口所进行的应用接入进行的记账,这些其他I/O端口如以太网、WiFi、USB、火线、蓝牙或NFC)中的一项或多项;(ii)一个安全应用管理器,该安全应用管理器识别一个应用软件何时尝试运行并且基于一个应用策略集来确定允许该应用软件运行还是不允许该应用软件运行;(iii)一个安全应用管理器,根据由该服务控制器所设置的网络接入策略和在该装置上确定的网络忙碌状态,该安全应用管理器区别地管路第三代和第四代应用接入(和/或对一个或多个其他I/O端口进行的应用接入或服务使用记账);以及(iv)第三代和第四代网络业务量,这些第三代和第四代网络业务量根据应用标识符、第7层目的地连同第3/4层目的地以及网络忙碌状态而被分类并且被处理。在一些实施例中,可以通过以下来增强对这类服务处理器功能的保护:(i)以在此所披露的各种操作环境技术配置该安全执行环境,以便使得该服务处理器实现免于针对较低水平的堆栈处理器(例如, 在此所描述的DDR处理器SEE实施例)而描述的非法闯入和恶意软件的一个类似的保护等级;(ii)保护或保护位于该DDR处理器(例如和/或该服务处理器的单元)与调制解调器天线连接之间的数据通路免于由装置恶意软件所进行的绕过或窜改;并且(iii)提供足够安全的或受保护的存储器和足够安全的执行环境CPU周期,以便执行这些更加尖端的数据通路处理功能。 
在一些实施例中,位于一个基于网络的服务控制器与一个基于装置的安全服务处理器单元之间的一个安全通信用于一个或多个I/O端口(例如,包括但不限于第二代、第三代、第四代、太网络、WiFi、USB、火线、蓝牙或NFC的一个I/O端口)的安全服务处理器单元活动监控记录的安全(或可信)递送,该基于装置的安全服务处理器单元在连接至广域网的一个装置上的一个安全执行环境中操作,其中该安全通信包括一个安全消息接收反馈回路。在一些实施例中,如果该安全消息反馈回路被中断,则检测并且作用于一个安全服务处理器单元安全通信通道错误状况。在一些实施例中,使用一个签名的或加密的通信通道,将安全服务处理器单元I/O活动报告的一个有序序列传递至一个服务控制器,并且如果该有序序列被中断或被窜改,则检测并且作用于一个安全服务处理器单元安全通信通道错误状况。在一些实施例中,该服务控制器观察安全服务处理器单元I/O活动报告的该有序序列的完整性,以便确定装置数据记录是否已经被窜改或省略。在一些实施例中,如果该安全服务处理器单元确定这些I/O活动监控记录未被窜改或省略,则该服务控制器发送回一个签名的或加密的I/O活动监控记录接收消息。在一些实施例中,如果该安全服务处理器单元确定一个I/O活动监控记录已经被窜改或省略,则该服务控制器发送回一个错误消息或不会发送回一个签名的或加密的I/O活动监控记录接收消息。在一些实施例中,如果在一定时间段内或在一定数量的被传输I/O活动监控记录内或一定量的被处理的通信信息内,该安全服务处理器单元从该服务控制器接收一个错误消息、或没有接收一个签名的或加密的I/O活动监控记录接收消息,那么(i)生成一 个装置配置错误消息以用于到一个安全管理员或服务器的递送和/或(ii)该无线通信装置的这些无线网络连接或其他I/O连接或端口中的一个或多个或者被阻止或者局限于一个预定义的安全目的地集。以这种方式,如果一个装置安全服务处理器单元、该装置操作环境、装置操作系统或装置软件以一种方式被窜改,其方式为产生不遵守预期的策略或所允许的策略的无线网络或其他I/O端口接入服务使用特性,则可以生成一个装置配置错误消息,或可以限制或阻止装置无线网络接入或其他I/O连接接入。这类实施例在保护基于装置的网络接入(或I/O控制)中可能是有用的,并且在识别已经被窜改的装置软件或出现在该装置上的任何恶意软件中也可能是有用的。在一些实施例中,无线网络接入或其他I/O接入上的局限导致对足以允许对该装置配置错误状况进行进一步分析或故障检测的一个有限数量的网络目的地或资源的接入。 
在一些实施例中,安全服务处理器单元(该安全服务处理器单元在一个安全执行环境内执行并且经由包括一个安全消息接收反馈回路的一个安全通信链路与一个服务控制进行通信)观察装置应用和/或I/O端口活动并且生成以下装置活动报告中的一项或多项:服务使用报告、包括服务使用分类的服务使用报告、应用服务使用报告、网络目的地服务使用报告、包括网络类型标识符的服务使用报告、包括定位标识符的服务使用报告、应用接入监控报告、应用接入服务记账报告、应用活动监控报告、装置操作环境监控报告。 
在一些实施例中,安全服务处理器单元(该安全服务处理器单元在一个安全执行环境内执行并且经由包括一个安全消息接收反馈回路的一个安全通信链路与一个服务控制进行通信)观察装置应用和/或I/O端口活动并且生成一个漫游网络服务使用报告。 
在一些实施例中,服务控制器观察这些安全服务处理器单元I/O活动记录,以便确定该装置是否遵守一个服务控制器策略状况。在一些实施例中,确定该装置是否遵守该服务控制器策略状况包括验证该装置 安全服务处理器单元正在正确地实施一个装置策略。在一些实施例中,正在被验证的装置策略是一个网络接入服务策略强制执行集。在一些实施例中,被验证的装置策略是包括一个网络接入服务计划策略强制执行集的一个网络接入服务策略强制执行集,该网络接入服务计划策略强制执行集包括用于以下各项中的一项或多项的一个策略集:网络接入控制或业务量控制、网络应用控制、网络目的地控制、网络收费或记账,以及网络服务使用通知。在一些实施例中,被验证的装置策略是否是该装置应用活动是根据一个预定义的策略集的(例如,确定正在接入该网络或其他I/O端口的这些应用软件是否都是被允许的应用软件,或根据所期望的策略行为来确定接入该网络或其他I/O端口的这些应用软件是否正在运转)。在一些实施例中,该装置策略验证包括该装置正在接入经批准的网络还是未经批准的网络。在一些实施例中,该装置策略验证包括该装置是正在经由一个或多个被允许的无线连接或其他I/O端口传递指定的内容,还是正在未被允许的一个或多个无线网络或I/O端口上传递指定的内容。在一些实施例中,该装置策略验证包括该装置是正在经由一个被允许的安全链路在一个或多个无线连接或其他I/O端口上传递指定的内容,还是正在一个不安全的链路上传递指定的内容。在一些实施例中,该装置策略验证包括该装置是正在从一个被允许的位置还是从一个未被允许的位置进行传递。在一些实施例中,该装置策略验证包括该装置操作环境监控报告是否指示该装置操作环境免于任何恶意软件或错误的操作状况。 
在一些实施例中,安全服务处理器单元1604在定位在一张SIM卡上的一个安全执行环境(数据通路安全区140)内实施。如本领域的普通技术人员将会理解的,仅通过用这些安全服务处理器单元替换DDR处理器114并且改变这些实施例说明书,涉及图9、图10以及图11所描述的各种实施例和相关联的披露促进安全服务处理器单元1604在一张SIM卡上的实施。这允许尖端装置广域网接入控制或收费功能(如在各种安 全服务处理器单元实施例的内容中所描述)在可以由一个网络操作员控制并且分布的一张SIM卡上实施。 
现在针对DDR处理器功能操作的各种方面提供另外的实施例。 
DDR固件安装、安全证书配置及更新
图12展示了根据一些实施例的一个安全引导顺序流程图。在一些实施例中,在1202,在进行一个重置和/或接通电源时,该系统(例如,APU、SIM和/或MPU,在无线通信装置中,DDR嵌入在无论哪一个上)通过在1204执行一个安全引导(例如,执行安全引导代码)来开始。作为该安全引导的一部分,执行一个初始化例程以配置系统参数(例如,配置寄存器以确保安全区域,如HW/固件防火墙存储器)以便建立安全/正常区域边缘和多个接口。该安全引导代码还具有对可信根的接入权,该可信根对所有其他固件/软件是隐藏的。在1206,执行一个公开密钥证书验证步骤,其中该安全引导下载并且验证其自己的公开密钥(例如,使用一个杂凑技术),并且然后在1206下载所有安全代码的公开密钥。在1208,在允许下载正常软件例程之前,该安全引导继续下载并且验证/证实每一个安全软件包的数字签名(例如,包括DDR处理器,该DDR处理器包括一个DDR生成器)。例如,这可以使用构建在该可信根上的一条可信链来执行。在1210,该安全引导确定所有签名是否被正确地证实。如果任何数字签名未通过,那么该安全引导如在1212所示出的静止状态中保持循环,直至该安全引导得到重置(如在1202所示出的)(例如,看门狗计时器期满)和/或该平台闪现出一个新图像。如果所有这些数字签名都被正确地证实,那么该安全引导在1214以其他下载(例如,包括应用程序)继续。在1216,继续正常操作并且完成该安全引导。在1218,确定是否存在一个新图像。如果没有,那么正常操作在1216继续。在下载新安全软件图像(例如,存储在具有一个“安全”标志设置的闪存的新区域中的图像)时,并且该系统可以返回至恢复状态,以便使得该 安全引导读出该新图像(例如,基于该标志)并且在该图像变成当前图像之前证实该图像的数字签名。 
服务处理器与DDR处理器之间的邮箱通信通道
图13展示了根据一些实施例的用于在安全与不安全存储区域之间传递DDR服务处理器邮箱消息的功能图。在一些实施例中,提供了位于DDR处理器1314与服务处理器1312之间的一个逻辑通信通道,以便向服务控制器(例如,经由该服务处理器的通信代理)发送安全DDR消息(例如,DDR消息束)。在一些实施例中,位于在此所描述的各种实施例中,这个逻辑通信通道被称为DDR邮箱数据功能单元/区块。例如,为了易于实施,可以假定该DDR处理器不具有其自己的一个IP地址,因此使用这个逻辑通道,通过该服务处理器,仅可以将该DDR处理器的消息发送至该服务控制器。该逻辑通道可以基于共享存储器(例如,正常区域)架构,该共享存储器架构显示为正常区域共享存储器1310。如在此参照各种实施例所描述的,这些DDR消息被加密并且仅可以由该服务控制器来解密。这个逻辑通道还可以用于服务控制器向下发送新DDR软件更新。 
在一些实施例中,其中DDR处理器定位在APU中,那么使用该APU的直接存储器存取(DMA)引擎,共享存储器可以经由服务处理器和DDR处理器二者而被接入。 
在一些实施例中,其中DDR处理器定位在MPU中,那么一个调制解调器接口被提供来支持一个另外的逻辑通道(例如,第二代/第三代/第四代的USB端点)以满足这个要求,在一些实施例中,该逻辑通道搭载在提供位于该APU与该MPU之间的控制通道的一个现有配置和状态通道之上。 
DDR处理器记录生成器
在一些实施例中,一个DDR报告跨越一个测量周期。测量周期总体上是连续的,意思是下一个周期在当前周期结束后立即开始,而周 期之间没有业务量下降。在一个周期开始时,删除所有先前DDR。在该周期过程中,因为每个被观察IP流在DDR的表中创建一个入口,所以该表扩大。在或者DDR存储超过一个预定义的阈值时,或在或者由服务处理器请求一个DDR报告时,该周期结束。横跨功率循环和电池牵引,未发送至该服务处理器应用程序的DDR数据保留在存储器中。 
在一些实施例中,在测量周期结束时,DDR报告由DDR处理器准备并且被发送至服务处理器。例如,各种安全通信和/或加密技术可以用来确保保持该报告的内容私人并且确保服务控制器将会检测到对该DDR报告的任何窜改。 
在一些实施例中,该报告还包括识别该测量周期的开始和结束的时间戳。经由与该服务控制器的一个周期交换,校准并且确认时间戳,以便确保该DDR处理器时基未发生变化。数据压缩用于使该报告的大小最小化。 
在一些实施例中,每个DDR报告消息包括一个唯一顺序标识符,该唯一顺序标识符允许该服务控制器来确定任何DDR是否已经从该序列阻止。该报告由该服务处理器存储以用于随后转发至该服务控制器。横跨功率循环和电池牵引,由该服务处理器存储的数据保留在存储器中。 
在一些实施例中,该DDR处理器驻留在调制解调器中,在该调制解调器中,该安全DDR使用报告然后被发送至该服务处理器(例如,该服务处理器内的通信代理)以便被发送至该服务控制器。 
DDR处理器接入控制器
图14展示了根据一些实施例的一个DDR处理器服务控制器会话认证和验证的流程图。在一些实施例中,DDR处理器包括一个接入控制器功能(例如,接入控制器)。在一些实施例中,在重置和/或接通电源时,一个DDR处理器接入控制功能(如该接入控制器)限制网络接入(例如,对仅包括某些运营商/无线服务提供商服务的一些预配置的IP地址和/或主机名的接入)。 
在一些实施例中,该接入控制器确保该服务处理器正确地向该服务控制器递送DDR。如果该DDR流被分区或被窜改,那么该接入控制器阻止蜂窝(例如,或受管理的WiFi)无线网络接入直至恢复正确的DDR流。在一些实施例中,该网络接入限制仅适用于具有由网络操作员维持并且管理的网络接入服务的网络。例如,这个功能对于不是由该网络操作者管理的WiFi接入来说可能是屏蔽的。 
在一些实施例中,一旦一个调制解调器经由AAA被认证(例如,经由一个PPP会话),或者在初始接通电源之后和/或在从省电恢复之后,该接入控制器限制有限的网络接入(例如,基于IP地址/主机名和/或其他标准的设置),直至该接入控制器从该服务控制器获得反馈以允许开放接入。同样,在业务量正在运行并且该DDR处理器发送DDR记录/报告时,该接入控制器不断地期望接收安全DDR ACK帧以允许开放接入,否则接入控制器再次进入一个限制接入状态。 
现在参照图14,在重置和/或初始接通电源或在一个省电模式之后进行接通电源时,该过程开始,如在1402所示。在1404,该接入控制器将网络接入限制于有限的流(例如,预配置或配置在安全区域内的。在1406,该接入控制器等待来自该服务控制器的反馈以开放网络接入。在1408,确定是否从该服务控制器接收到该反馈。如果没有,那么该过程返回至1406以继续等待来自该服务控制器的反馈。如果接收到该反馈(例如,并且该受保护服务控制器反馈被正确地验证和/或证实,如在此所描述的),那么该接入控制器开放网络接入并且在1410开始发送DDR报告。在1412,确定是否接收到一个DDR ACK帧以响应这样或这类DDR报告。如果没有,那么该过程返回至1404并且网络接入受到限制。如果接收到该DDR ACK帧(例如,并且该受保护DDR ACK帧被正确地验证和/或证实,如在此所描述的),那么该接入控制器继续维持开放网络接入并且在1414继续发送DDR报告。 
DDR处理器网络忙碌状态(NBS)监控器
在一些实施例中,网络忙碌状态(NBS)监控器是DDR处理器中的一个安全固件程序单元,该安全固件程序单元监控、记录关于网络忙碌状态的信息(例如,或网络拥塞状态)和/或安全地向服务控制器报告该信息,以用于存储、网络拥塞分析和/或服务收费和控制器策略安全目的。例如,该NBS监控器可以执行SEE内的以下功能中的一项或多项:日志活跃网络信息(例如,活跃网络类型、家用/漫游、当前运营商、基站和/或基站扇区);监控网络接入尝试和成功;监控网络速度;监控往返延迟;监控分组差错率;监控调制解调器性能参数(例如,RF通道、RF信号强度和可变性、SNR、原始调制解调器位差错率和/或通道带宽);实施算法以对网络的繁忙状态进行分类;并且报告DDR内的网络忙碌状态史。 
绑定并且保护DDR处理器与服务控制器之间的安全通信通道
在一些实施例中,如以下所描述的,提供了绑定并且保护DDR处理器与服务控制器之间的安全通信通道。该DDR处理器具有对该DDR处理器的公开密钥的真实性进行证明的一个唯一的私人/公用密钥对和一个数字证书(cert)。该服务控制器具有一个唯一私人/公开密钥对。该服务控制器的共有密钥是众所周知的并且包括在DDR处理器代码图像中。该DDR处理器将其公开密钥和cert发送至该服务控制器,并且这两个执行彼此认证并且导致一个机密的、共享的会话密钥的一个密钥交换过程。该DDR处理器使用该会话密钥来:对该DDR处理器发送至该服务控制器的DDR报告进行加密并且将一个完整性检查附加至该DDR处理器发送至该服务控制器的消息。该服务控制器使用该会话密钥将一个完整性检查附加至该服务控制器发送至该DDR处理器的消息。 
如本领域的普通技术人员鉴于在此所描述的各种实施例现在将会清楚的,各种其他安全通信和加密技术可以用于提供绑定并且保护该DDR处理器与该服务控制器之间的安全通信。 
绑定并且保护APU/MPU实现方式中的DDR处理器与DPSV之间的安全通信通道
在一些实施例中,如以下所描述的,提供了在一个APU/MPU实现方式中的绑定并且保护DDR处理器与DPSV之间的安全通信通道。该DPSV具有对其公开密钥的真实性进行证明的一个唯一的私人/公开密钥对和一个数字证书(cert)。该DDR处理器具有对其公开密钥的真实性进行证明的一个唯一的私人/公用密钥对和一个数字证书(cert)。该DPSV和该DDR处理器交换公开密钥和cert,然后执行彼此认证并且导致一个机密的、共享的会话密钥的一个密钥交换过程。该DDR处理器接收来自装置OS联网堆栈的上行网络数据流,并且该DDR处理器使用该会话密钥将一个完整性检查附加至该DDR处理器发送至该DPSV的每个上行数据消息。该DPSV阻止不具有来自该DDR处理器的一个有效的完整性检查的任何上行数据通路信息,并且通知该DDR处理器其正在接收无效的上行数据,这样使得该DDR处理器可以通知服务控制器一个可能的欺骗事件。该DPSV接收下行网络数据流,并且该DPSV使用该会话密钥将一个完整性检查附加至该DPSV发送至该DDR处理器的每个下行数据消息。按顺序排列每个下行数据消息,这样使得数据消息在没有被该DDR处理器检测到的情况下不会被阻止或重演。如果该DDR处理器接收具有一个无效的完整性检查的一个下行数据消息,则该DDR处理器拒绝该消息并且通知该服务控制器一个可能的欺骗事件。该DDR处理器确认其发送至该DPSV的下一个上行数据中的每个未被拒绝的下行数据消息。如果该DPSV停止接受下行数据消息确认,那么该DPSV阻止下行网络数据流并且通知该DDR处理器,这样使得该DDR处理器可以通知该服务控制器一个可能的欺骗事件。如在此所描述的,该DDR处理器通过该服务处理器安全地向该服务控制器发送DDR报告。从该DDR处理器向该服务控制器传输的这些DDR经过完整性检查并且以不会被窜改或重放的一种方式按顺序排列。与一组唯一DDR报告序列标识符和认证会话保活计时器相结合、位于该DDR处理器与该服务控制器之间的一个认证过程 用于维持并且证实该DDR处理器与该服务控制器之间的安全连接。如果该DDR处理器与该服务控制器之间的该安全会话或DDR记录的流通被中断,那么该DDR处理器中的接入控制功能限制第二代、第三代或第四代调制解调器数据通路对这些网络目的地的接入,该接入是在该DDR与该服务控制器之间重建一个安全认证的会话所必需的。 
如本领域的普通技术人员鉴于在此所描述的各种实施例现在将会清楚的,各种其他安全通信和加密技术可以用于提供一个APU/MPU实现方式中的绑定并且保护位于该DDR处理器与该DPSV之间的安全通信通道。 
DDR处理器的OEM编程的安全要求
在一些实施例中,提供了用于DDR处理器的代码签名。具体地,DDR处理器代码图像是由装置OEM数字地签名的。由安全引导加载器使用嵌入在安全引导加载器代码图像中的一个固定的公开密钥来验证该签名。这将一个安全代码签名装置强加于该OEM操作的安全要求,该安全代码签名装置保存该固定的签名密钥的安全。该OEM确保仅经授权的人员能够接入该代码签名的装置,并且确保他们仅针对合法的DDR处理器图像而这样做。 
在一些实施例中,提供了用于DDR处理器装置私人密钥的一个随机数种子。具体地,在制造装置时,分配了称为DDR装置密钥的一个私人/公开密钥对。该DDR装置密钥对于每个装置来说是唯一的并且用于建立至服务控制器的一个安全通信链路。例如,该DDR装置密钥可以是具有一个1024比特模量、1024比特库以及一个128比特私人指数的一个Diffie-Hellman密钥对。该DDR装置密钥的私人指数(DDR装置私人密钥)对于每个装置来说是唯一的,并且存储在(例如)该SEE中的128比特的芯片上非易失性存储器(例如,OTP存储器)中。该模量和库对于所有装置来说是常见的,并且嵌入在该DDR处理器图像内。该DDR装置密钥的公开部分(例如,DDR装置公开密钥)不是永久性存储的; 相反,该DDR装置密钥的公开部分是由该DDR处理器使用该模量、库以及私人指数估算出来的。该DDR处理器包括一个工厂初始化例程,该工厂初始化例程在该装置在工厂被初始化或被测试时执行。该工厂初始化例程生成该DDR装置私人密钥并且将该DDR装置私人密钥编程至该SEE的该非易失性存储器中。该DDR装置私人密钥从未离开该装置并且仅是该DDR处理器可接入的。该工厂初始化例程计算该DDR装置公开密钥并且向工厂测试器导出该DDR装置公开密钥。例如,该工厂测试器可以提供一个128比特的随机字符串,该128比特的随机字符串被该工厂初始化例程用作一个种子以生成该DDR装置私人密钥。这需要该工厂测试器包括或具有对一个高质量随机位源的接入权。可以使用各种适合的方法,如以一个硬件随机源的输出接种的140-2(“确定性随机数生成器”)。 
在一些实施例中,在制造装置时,称为DDR装置Cert的一个数字证书被分配给该装置。该DDR装置Cert对于每个装置来说是唯一的并且用于建立至该服务控制器的一个安全通信链路。该DDR装置Cert的内容包括该DDR装置公开密钥。该DDR装置Cert通过发出证书权威而内签名,并且在建立一个安全链路时,该签名由该服务控制器验证。该DDR装置Cert不是敏感信息,并且例如可以被存储在或者芯片上或者芯片外非易失性存储器中。该OEM针对由该工厂初始化例程所导出的DDR装置公开密钥发出一个DDR装置Cert,该DDR装置Cert将该OEM操作的安全要求强加于一个证书权威(CA)或具有对该证书权威的接入权。如果该OEM选择接入一个外包的CA,那么该OEM的主要责任是确保仅经授权的人员能够请求证书,并且确保这些人仅针对具有由FI例程合法地导出的DDR装置公开密钥的装置而这样做。如果该OEM选择操作一个CA,则该OEM具有另外的责任:维持该CA的安全,确切地,保留签写证书的CA的固定的密钥的安全。 
如本领域的普通技术人员鉴于在此描述的各种实施例现在将会清楚的,各种其他保安技术可以用于该DDR处理器的OEM编程或可能是该DDR处理器的OEM编程所需要的。 
图15展示了根据一些实施例的用于实施装置辅助服务(DAS)的安全服务数据记录的流程图。在1502,过程开始。在1504,监控一个无线通信装置与一个无线网络的服务使用(例如,使用基于DAS的监控技术,如包括在此所描述的用于实施安全DDR的各种技术)。在1506,生成所监控的该无线通信装置与该无线网络的服务使用的安全装置数据记录。在一些实施例中,每个装置数据记录是装置数据记录的一个有序序列中的一个,其中每个顺序的装置数据记录提供对在由该装置数据记录所跨越的一个服务使用间隔内的服务使用的一个记账,并且每个装置数据记录与一个受保护的唯一序列顺序标识符相关联。在1508,使用在此所描述的各种调和和验证技术来对这些装置数据记录(DDR)进行调和和验证。例如,这些DDR可以使用该唯一序列顺序标识符(例如,和各种其他基于完整性检查的技术,如在此参照各种实施例所描述)来验证。如另一个示例,通过与服务处理器报告(例如,第7层分类报告)对比和/或通过与基于网络的服务使用报告(例如,网络流记录,如CDR或IPDR),这些DDR可以与服务处理器报告进行调和,如在此参照各种实施例所描述。在1510,该过程结束(例如,并且可以重复进行继续的服务使用监控)。 
示例性服务策略验证组合
在一些实施例中,一个通信装置包括:一个或多个通信I/O端口,该一个或多个I/O端口中的至少一个是一个广域网连接端口;存储器,该存储器用于存储一个装置通信活动策略;一个安全执行环境,该安全执行环境是用户应用软件所不可接入的;一个一个或多个安全数据通路处理代理,该一个或多个安全数据通路处理代理被配置成:在该安全环境中执行;监控一个或多个装置I/O端口上的装置数据通信活动;生成汇总 该装置通信活动的一个方面的一个装置数据记录,该方面提供适用于验证一个装置策略强制执行客户端正在正确地实施该装置通信活动策略的信息;并且经由在该广域网连接端口上的一个可信通信链路向一个网元传递该装置数据记录;以及一个可信数据通路,该可信数据通路位于该一个或多个安全数据通路处理代理与装置用户应用软件所不能接入的该一个或多个I/O端口之间。在一些实施例中,该数据通路是可信的,因为可检测到对该数据通路上的数据的窜改或改变。在一些实施例中,在没有检测的情况下,该数据通路上的中间单元不能改变或窜改这些数据。在一些实施例中,该数据通路是可信的,因为在该数据通路上所发送的数据是已签名的。在一些实施例中,该一个或多个安全数据通路处理器代理与该一个或多个I/O端口之间的该可信数据通路被进一步配置成通过加密来保护通信。 
在这样一些实施例中,该可信通信链路包括一个安全消息接收反馈回路。 
在一些实施例中,该一个或多个安全数据通路处理代理被进一步配置成限制一个或多个装置I/O端口的接入,并且如果该安全消息接收反馈回路显示一个错误,那么该一个或多个安全数据通路处理代理限制一个或多个装置I/O端口的接入。在一些实施例中,对一个或多个装置I/O端口的接入的限制允许与一个网元进行通信,该网元被配置成在存在一个安全消息接收反馈回路错误状况时给该装置提供错误处理服务。 
在一些实施例中,该通信装置从一个网元接收该装置通信活动策略。在一些实施例中,该装置通信活动策略包括一个应用活动监控策略。在一些实施例中,该装置通信活动策略包括一个网络目的地、地址或资源监控策略。 
在一些实施例中,适用于验证该装置策略强制执行客户端正在正确地实施该装置通信活动策略的信息包括:一个或多个装置I/O端口的通信活动记录。 
在一些实施例中,该安全执行环境和该一个或多个安全数据通路处理代理定位在由一个应用处理器所控制的一个安全执行分区中。在一些实施例中,该安全执行环境和该一个或多个安全数据通路处理代理定位在由一个操作系统或安全分区软件所控制的一个安全执行分区中。在一些实施例中,该安全执行环境和该一个或多个安全数据通路处理代理定位在由一个调制解调器处理器所控制的一个安全执行分区中。在一些实施例中,该安全执行环境和该一个或多个安全数据通路处理代理定位在一张SIM卡上。 
在一些实施例中,该广域网是一个无线网络,并且适用于验证该装置策略强制执行客户端正在正确地实施该装置通信活动策略的信息包括装置无线网络使用记录。 
在一些实施例中,该广域网是一个无线网络,并且该装置通信活动策略包括用于该无线网络的一个网络接入控制策略。在这样一些实施例中,该无线网络接入控制策略是在该装置上操作的一个或多个应用软件的一个一个或多个控制策略集。在一些实施例中,该无线网络接入控制策略是以下各项的一个或多个具体接入控制策略的一个集:在该无线网络上可接入的一个或多个网络目的地、地址或资源。在一些实施例中,该无线网络是一个漫游网络,并且该网络接入控制策略定义以下策略:对于一个装置漫游网络连接状况来说是具体的并且与一个家用网络连接状况是不同的。 
在一些实施例中,该广域网是一个无线网络,并且该装置通信活动策略包括用于该无线网络的一个网络接入服务使用记账策略。在这样一些实施例中,该网络接入服务使用记账策略是在该装置上操作的一个或多个应用软件的一个一个或多个服务使用记账策略集。在一些实施例中,该网络接入服务使用记账策略是以下各项的一个或多个服务使用记账策略集:在该无线网络上可接入的一个或多个网络目的地、地址或资源。在一些实施例中,该无线网络是一个漫游网络,并且该网络接入服 务使用记账策略定义以下服务使用记账策略:针对一个装置漫游网络连接状况并且不同于一个家用网络连接状况。在这样一些实施例中,该装置通信活动策略进一步包括:从一位装置用户请求一个接入网络服务成本确认或付款指示,并且如果该用户未提供一个服务成本确认或付款指示,则限制装置漫游网络接入特权。 
在一些实施例中,一个网络系统包括:存储器,该存储器被配置成存储一个装置通信活动策略;在一个广域网上与一个一个或多个安全数据通路处理代理的一个可信通信链路;在该广域网上与一个装置策略强制执行客户端的一个通信链路;以及一个策略验证处理器,该策略验证处理器被配置成:(i)存储这些装置数据记录;(ii)在该可信通信链路上从一个通信装置接收装置数据记录,这些装置数据记录包含汇总该装置通信活动的一个方面的信息,该方面提供适用于验证该装置策略强制执行客户端正在正确地实施该装置通信活动策略的信息;(iii)分析包含在该装置数据记录中的信息以确定该装置策略强制执行客户端是否正在正确地实施该装置通信活动策略;并且(iv)如果该分析指示该装置策略强制执行客户端未正在正确地实施该装置通信活动策略,则采取一个错误处理行动。 
在这样一些实施例中,该可信通信链路包括一个安全消息接收反馈回路。在一些实施例中,该网络系统进一步包括一个错误处理处理器,该错误处理处理器在存在一个错误状况时检测该安全消息接收反馈回路、以标志向一个管理员或错误跟踪系统标出该错误状况,并且与该装置进行通信以分析该错误或向一位装置用户提供错误消息。 
在一些实施例中,该网络系统向该装置传递该装置通信活动策略。在一些实施例中,该装置通信活动策略包括一个应用活动监控策略。在一些实施例中,该装置通信活动策略包括一个网络目的地、地址或资源监控策略。 
在一些实施例中,使用验证该装置策略强制执行客户端正在正确地实施该装置通信活动策略的信息包括:一个或多个装置I/O端口的通信活动记录。 
在一些实施例中,该广域网是一个无线网络,并且适用于验证该装置策略强制执行客户端正在正确地实施该装置通信活动策略的信息包括装置无线网络使用记录。 
在一些实施例中,该广域网是一个无线网络,并且该装置通信活动策略包括用于该无线网络的一个网络接入控制策略。在这样一些实施例中,该无线网络接入控制策略是在该装置上操作的一个或多个应用软件的一个一个或多个控制策略集。在一些实施例中,该无线网络接入控制策略是以下各项的一个一个或多个具体接入控制策略集:在该无线网络上可接入的一个或多个网络目的地、地址或资源。在一些实施例中,该无线网络是一个漫游网络,并且该网络接入控制策略定义以下策略:针对一个装置漫游网络连接状况并且不同于一个家用网络连接状况。 
在一些实施例中,该广域网是一个无线网络,并且该装置通信活动策略包括用于该无线网络的一个网络接入服务使用记账策略。在这样一些实施例中,该网络接入服务使用记账策略是在该装置上操作的一个或多个应用软件的一个一个或多个服务使用记账策略集。在一些实施例中,该网络接入服务使用记账策略是以下各项的一个或多个服务使用记账策略集:在该无线网络上可接入的一个或多个网络目的地、地址或资源。在一些实施例中,该无线网络是一个漫游网络,并且该网络接入服务使用记账策略定义以下服务使用记账策略:针对一个装置漫游网络连接状况并且不同于一个家用网络连接状况。 
使用接收反馈回路的示例性组合 
在一些实施例中,一个通信装置包括:一个或多个I/O端口,该一个或多个I/O端口中的至少一个是一个广域网连接端口;用户应用软件所不能接入的一个安全执行环境;一个或多个安全数据通路处理代理, 该一个或多个安全数据通路处理器代理被配置成:(i)在该安全环境中执行;(ii)监控这些I/O端口中的一个或多个的通信活动;(iii)生成汇总该装置I/O端口通信活动的一个方面的一个装置数据记录;(iv)在该广域网连接端口上经由一个可信通信链路向一个网元传递该装置数据记录,该可信通信链路包括一个安全消息接收反馈回路,其中该一个或多个安全数据通路处理器代理从该网元接收数据记录的一个成功传输接收,这些数据记录被成功地传输至该网元并且由该网元来验证;(v)跟踪被传输装置数据记录和从该网元所接收的成功的传输接收;并且(vi)如果在将该装置数据记录在该可信通信链路上发送至该网元之后,在一个指定的事件间隔内未接收到相对应的被传输装置数据记录的一个或多个成功的传输接收,那么限制一个或多个装置I/O端口的接入;以及一个安全数据通路,该安全数据通路位于该一个或多个安全数据通路处理代理与装置用户应用软件所不能接入的该一个或多个I/O端口之间。在这样一些实施例中,对一个或多个装置I/O端口的接入的限制仍允许该通信装置与一个网元进行通信,该网元被配置成在存在一个安全消息接收反馈回路错误状况时给该装置提供错误处理服务。在这样一些实施例中,该指定的事件间隔包括一个时间段、许多被传输的记录,或许多与该网元进行的通信。 
在一些实施例中,该安全执行环境和一个或多个安全数据通路处理代理定位在由一个应用处理器所控制的一个安全执行分区中。在一些实施例中,该安全执行环境和一个或多个安全数据通路处理代理定位在由一个调制解调器处理器所控制的一个安全执行分区中。在一些实施例中,该安全执行环境和一个或多个安全数据通路处理代理定位在一张SIM卡上。 
在一些实施例中,汇总在该装置数据记录中的该装置I/O端口通信活动的方面包括装置应用接入活动的一个综述。在一些实施例中,汇总在该装置数据记录中的该装置I/O端口通信活动的方面包括装置网络接入活动的一个综述。在一些实施例中,汇总在该装置数据记录中的该装置I/O端口通信活动的方面包括装置内容通信活动的一个综述。 
在一些实施例中,一个网络系统包括:出于接收装置数据记录目的在一个广域网上与一个一个或多个安全数据通路处理代理的一个可信通信链路,这些装置数据记录包括该装置I/O端口通信或的一个方面的一个汇总,该可信通信链路包括一个安全消息接收反馈回路,其中该基于网络的系统将数据记录的一个成功的传输接收传输至该一个或多个安全数据通路处理器代理,这些数据记录被该基于网络的系统成功地接收并且验证;以及一个存储系统,该存储系统存储这些装置数据记录。在一些实施例中,该网络系统进一步包括一个错误处理处理器,该错误处理处理器在存在一个错误状况时检测该安全消息接收反馈回路,并且在检测一个错误之后,以标志向一个管理员或错误跟踪系统标出该错误状况。在一些实施例中,该网络系统进一步包括一个系统,该系统在一个错误状况过程中与该装置进行通信,以便分析该错误状况或向一位装置用户提供错误消息。 
在一些实施例中,该网络系统进一步包括一个装置数据记录分析器,该装置数据记录分析器被配置成:(i)存储包括可允许的装置I/O端口通信行为的一个装置I/O端口通信活动策略;(ii)将装置数据记录与该I/O端口通信活动策略进行比较;并且(iii)在这些装置数据记录指示在该I/O端口通信活动策略中所指定的行为限制之外的I/O端口通信活动时,声明一个I/O端口活动错误状况。 
在一些实施例中,汇总在该装置数据记录中的该装置I/O端口通信活动的方面包括装置应用接入活动的一个综述。在一些实施例中,汇总在该装置数据记录中的该装置I/O端口通信活动的方面包括装置网络接入活动的一个综述。在一些实施例中,汇总在该装置数据记录中的该装置I/O端口通信活动的方面包括装置内容通信活动的一个综述。 
使用SIM卡的示例性组合 
在一些实施例中,一个通信装置包括:一个或多个通信I/O端口,该一个或多个通信I/O端口包括至少一个广域网连接端口;存储器,该存 储器用于存储一个装置通信活动策略;以及一张SIM卡,该SIM卡被配置有:(i)用户应用软件所不可接入的一个安全执行环境;(ii)一个或多个安全数据通路处理器代理,该一个或多个安全数据通路处理器代理被配置成在该安全执行环境中执行并且作用于与这些I/O端口中的一个或多个的装置数据通路通信,以便强制执行该装置通信活动策略;以及(iii)一个可信数据通路链路,该可信数据通路链路用于从该一个或多个安全数据通路处理代理至一个或多个通信I/O端口调制解调器的数据通路通信,该一个或多个I/O端口调制解调器包括用户应用软件所不可接入的一个安全调制解调器处理器执行环境。在一些实施例中,该一个或多个安全数据通路处理器代理被进一步配置有:在该广域网连接端口上至一个网元的一个可信通信链路。 
在这样一些实施例中,该装置通信活动策略是一个装置I/O端口通信报告策略,并且该一个或多个安全数据通路处理代理被进一步配置成:(i)监控和/或报告在该一个或多个I/O端口上进行的通信活动;(ii)创建汇总该通信活动的装置数据记录;并且(iii)在该可信通信链路上将这些装置数据记录传输至该网元。在一些实施例中,对通信活动的该监控和/或报告包括监控数据使用。在一些实施例中,对数据使用的监控和/或报告包括与该数据使用相关联的对被接入的这些网络目的地进行的一个分类。在一些实施例中,对数据使用的监控和/或报告包括对生成该数据使用的这些装置应用进行的一个分类。在一些实施例中,监控通信活动包括监控漫游服务使用。在一些实施例中,监控通信活动包括监控一个或多个QoS类别的服务使用。在一些实施例中,监控通信活动包括监控语音使用。 
在一些实施例中,该服务处理器被进一步配置成集中来自装置代理的应用信息。 
在一些实施例中,该装置通信活动策略是装置I/O端口通信控制策略,并且该服务处理器被进一步配置成:(i)监控在该一个或多个I/O 端口进行的通信活动;并且(ii)在该一个或多个I/O端口强制执行I/O端口通信策略。 
在一些实施例中,该通信控制策略指定用于一个或多个网络目的地的一个控制策略。在一些实施例中,该通信控制策略指定用于一个或多个装置应用的一个控制策略。在一些实施例中,该通信控制策略指定用于一个漫游网络的一个控制策略。在一些实施例中,该通信控制策略指定用于一个QoS服务类别的一个控制策略。 
在一些实施例中,该一个或多个安全数据通路处理代理与该一个或多个I/O端口调制解调器之间的该可信数据通路通信通过以一个共享的密钥进行签名或加密而受到保护。在一些实施例中,该一个或多个安全数据通路处理代理被进一步配置有:在该广域网连接端口上至一个网元的一个可信通信链路,并且该共享的密钥是从该网元获得的。 
尽管为了理解清晰的目的,已经相当详细地描述了前述的实施例,本发明不限制于所提供的这些细节。存在实施本发明的许多可替代的方式。所披露的实施例是说明性的而不是限制性的。 

Claims (28)

1.一种通信装置,包括:
一个或多个通信输入/输出(I/O)端口,该一个或多个通信I/O端口中的至少一个是一个广域网端口,该广域网端口被配置成将该通信装置连接至广域网;
存储器,该存储器被配置成存储一个装置通信活动策略;
一个安全执行环境,该安全执行环境被配置成是用户应用软件所不可接入的;
一个或多个安全数据通路处理代理,被配置成:
在该安全执行环境中执行,
监控通过该一个或多个通信I/O端口中的至少一个的一个装置数据通信活动,
生成一个装置数据记录,该装置数据记录包括关于通过该一个或多个通信I/O端口中的至少一个的该装置数据通信活动的信息,该信息被配置成辅助一个网元根据该装置通信活动策略确定该通信装置是正在操作还是已经在操作,并且
在一个可信通信链路上将该装置数据记录发送至该网元,该可信通信链路位于该一个或多个数据通路处理代理与该网元之间;以及
一个可信数据通路,该可信数据通路位于该一个或多个数据通路处理代理与该广域网端口之间。
2.如权利要求1所述的通信装置,其中根据该装置通信活动策略确定该通信装置是正在操作还是已经在操作包括确定该通信装置上的一个策略强制执行客户端是否正在正确地实施该装置通信活动策略。
3.如权利要求1所述的通信装置,其中该可信通信链路包括一个安全消息接收反馈回路。
4.如权利要求3所述的通信装置,其中该一个或多个安全数据通路处理代理进一步被配置成基于来自该安全消息接收反馈回路的信息限制通过该一个或多个通信I/O端口中的至少一个的、由该通信装置进行的数据传输或数据接收。
5.如权利要求4所述的通信装置,其中该至少一个受限制的装置I/O端口被配置成与一个网元进行通信,该网元被配置成在存在一个安全消息接收反馈回路错误状况时为该通信装置提供多个错误处理指令。
6.如权利要求1所述的通信装置,进一步被配置成从一个网元接收该装置通信活动策略。
7.如权利要求1所述的通信装置,其中被配置成辅助一个网元根据该装置通信活动策略确定该通信装置是正在操作还是已经在操作的该信息包括该一个或多个通信I/O端口中的至少一个的多个通信活动记录。
8.如权利要求1所述的通信装置,其中该装置通信活动策略包括一个应用程序活动监控策略。
9.如权利要求1所述的通信装置,其中该装置通信活动策略包括被配置成监控一个网络目的地、一个地址或一个资源的一个策略。
10.如权利要求1所述的通信装置,其中该安全执行环境和该一个或多个安全数据通路处理代理定位在由一个应用处理器控制的一个安全执行分区中。
11.如权利要求1所述的通信装置,其中该安全执行环境和该一个或多个安全数据通路处理代理定位在由一个操作系统或安全分区软件控制的一个安全执行分区中。
12.如权利要求1所述的通信装置,其中该安全执行环境和该一个或多个安全数据通路处理代理定位在由一个调制解调器处理器控制的一个安全执行分区中。
13.如权利要求1所述的通信装置,其中该安全执行环境和该一个或多个安全数据通路处理代理定位在一张SIM卡上。
14.如权利要求1所述的通信装置,其中该广域网是一个无线网络,并且被配置成辅助一个网元根据该装置通信活动策略确定该通信装置是正在操作还是已经在操作的该信息包括一个装置无线网络服务使用记录。
15.如权利要求1所述的通信装置,其中该广域网是一个无线网络,并且该装置通信活动策略包括用于该无线网络的一个网络接入控制策略。
16.如权利要求15所述的通信装置,其中该无线网络接入控制策略包括用于一个或多个应用的一个或多个控制策略,该一个或多个应用在该通信装置上操作或能够在该通信装置上操作。
17.如权利要求15所述的通信装置,其中该无线网络接入控制策略包括用于可在该无线网络上接入的一个或多个网络目的地、地址或资源的一个或多个接入控制策略。
18.如权利要求15所述的通信装置,其中该无线网络是一个漫游网络,并且该网络接入控制策略包括用在该通信装置处于一个漫游状况时的一个第一控制策略和用在该通信装置不处于该漫游状况时的一个第二控制策略。
19.如权利要求1所述的通信装置,其中该广域网是一个无线网络,并且该装置通信活动策略包括用于该无线网络的一个网络接入服务使用记账策略。
20.如权利要求19所述的通信装置,其中该网络接入服务使用记账策略包括用于在该通信装置上运行的一个或多个应用的一个或多个服务使用记账策略。
21.如权利要求19所述的通信装置,其中该网络接入服务使用记账策略包括一个或多个服务使用记账策略,该一个或多个服务使用记账策略与可在该无线网络上接入的一个或多个网络目的地、地址或资源相关联。
22.如权利要求19所述的通信装置,其中该无线网络是一个漫游网络,并且该网络接入服务使用记账策略定义用在该通信装置处于一个漫游状况时的一个第一使用记账策略和用在该通信装置不处于该漫游状况时的一个第二使用记账策略。
23.如权利要求22所述的通信装置,其中该第一使用记账策略被配置成:
从一位装置用户请求一个接入网络服务成本确认或付款指示,并且
如果该装置用户未提供该服务成本确认或付款指示,则限制该通信装置接入该漫游网络。
24.一种通信装置,包括:
一个或多个通信输入/输出(I/O)端口,该一个或多个通信I/O端口中的至少一个是一个广域网端口,该广域网端口被配置成将该通信装置连接至广域网;
一个安全执行环境,该安全执行环境被配置成是用户应用软件所不可接入的;
一个或多个安全数据通路处理代理,被配置成:
在该安全执行环境中执行,
监控通过该一个或多个通信I/O端口中的至少一个的一个装置数据通信活动,
生成一个装置数据记录,该装置数据记录包括关于通过该一个或多个通信I/O端口中的该至少一个的该装置数据通信活动的信息,
在一个可信通信链路上将该装置数据记录发送至该网元,该可信通信链路位于该一个或多个数据通路处理代理与该网元之间,
监控由该网元在该可信通信链路上所发送的通信,并且
如果在将该装置数据记录在该可信通信链路上发送至该网元之后的一个指定的事件间隔内,该一个或多个安全数据通路处理代理于在该可信通信链路上从该网元所发送的这些通信中未检测到一个安全消息接收,则限制接入该一个或多个通信I/O端口中的该至少一个;以及
一个可信数据通路,该可信数据通路位于该一个或多个数据通路处理代理与该广域网端口之间。
25.如权利要求24所述的通信装置,其中该指定的事件间隔包括一个时间段、许多被传输的记录、或与该网元进行的许多通信。
26.一种通信装置,包括:
一个或多个通信输入/输出(I/O)端口,该一个或多个通信I/O端口中的至少一个是一个广域网端口,该广域网端口被配置成将该通信装置连接至广域网;
存储器,该存储器被配置成存储一个装置通信活动策略;以及
一张SIM卡,包括:
一个安全执行环境,该安全执行环境被配置成是用户应用软件所不可接入的,
一个或多个安全数据通路处理代理,被配置成:
在该安全执行环境中执行,
监控通过该一个或多个通信I/O端口中的至少一个的一个数据通信活动,并且
基于所监控的数据通信活动,采取一个行动以便辅助强制执行该装置通信活动策略,以及
一个可信数据通路,该可信数据通路位于该服务处理器与一个或多个I/O端口调制解调器之间,该一个或多个I/O端口调制解调器包括一个安全调制解调器处理器执行环境,该安全调制解调器处理器执行环境被配置成是用户应用软件所不可接入的。
27.一种网络系统,包括:
存储器,该存储器被配置成存储一个装置通信活动策略;以及
一个策略验证处理器,被配置成:
在一个可信通信链路上接收一个装置数据记录,该可信通信链路位于该网络系统与一个通信装置上的一个装置数据记录生成器之间,该装置数据记录包括关于由该通信装置进行的一个数据通信活动的信息,该信息被配置成辅助该策略验证处理器根据该装置通信活动策略确定该通信装置是正在操作还是已经在操作,
基于该装置数据记录,根据该装置通信活动策略确定该通信装置是正在操作还是已经在操作,并且
在根据该装置通信活动策略确定该通信装置不是正在操作或尚未操作时,启动一个错误处理行动。
28.如权利要求27所述的网络系统,其中根据该装置通信活动策略确定该通信装置是正在操作还是已经在操作包括确定该通信装置上的一个策略强制执行客户端是否正在正确地实施该装置通信活动策略。
CN2011800542033A 2010-09-28 2011-09-28 安全装置数据记录 Pending CN103250401A (zh)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US38724710P 2010-09-28 2010-09-28
US61/387,247 2010-09-28
US42072710P 2010-12-07 2010-12-07
US61/420,727 2010-12-07
PCT/US2011/053791 WO2012050933A1 (en) 2010-09-28 2011-09-28 Secure device data records

Publications (1)

Publication Number Publication Date
CN103250401A true CN103250401A (zh) 2013-08-14

Family

ID=45938646

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2011800542033A Pending CN103250401A (zh) 2010-09-28 2011-09-28 安全装置数据记录

Country Status (9)

Country Link
EP (1) EP2622835A4 (zh)
JP (1) JP2014500989A (zh)
KR (1) KR101934601B1 (zh)
CN (1) CN103250401A (zh)
AU (1) AU2011314086A1 (zh)
BR (1) BR112013006890A2 (zh)
CA (1) CA2813026C (zh)
MX (1) MX2013003624A (zh)
WO (1) WO2012050933A1 (zh)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107111597A (zh) * 2015-06-01 2017-08-29 华为技术有限公司 用于动态地控制基于需求收费的网络中的客户流量的方法和设备
CN108140094A (zh) * 2015-07-20 2018-06-08 英特尔公司 用于安全可信i/o访问控制的技术
CN108886528A (zh) * 2016-04-08 2018-11-23 黑莓有限公司 用于根据多个供应技术之一供应设备的管理对象
CN109783124A (zh) * 2017-11-14 2019-05-21 慧荣科技股份有限公司 认证固件数据的数据储存装置与数据储存方法
CN110362427A (zh) * 2019-06-26 2019-10-22 苏州浪潮智能科技有限公司 一种镜像文件的处理方法、系统、bmc及可读存储介质
US10721362B2 (en) 2015-06-01 2020-07-21 Huawei Technologies Co., Ltd. Method and apparatus for customer service management for a wireless communication network
CN111742300A (zh) * 2017-12-21 2020-10-02 赛峰电子与防务公司 用于控制复杂电子组件的运行的方法
CN113268443A (zh) * 2021-06-09 2021-08-17 北京车和家信息技术有限公司 Smi总线通信方法、装置、电子设备和介质
US11184289B2 (en) 2015-06-01 2021-11-23 Huawei Technologies Co., Ltd. Systems and methods for managing network traffic with a network operator

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130301830A1 (en) 2012-05-08 2013-11-14 Hagai Bar-El Device, system, and method of secure entry and handling of passwords
CN103390124B (zh) * 2012-05-08 2017-12-15 阿姆有限公司 安全输入和处理口令的设备、系统和方法
CN103532759B (zh) * 2013-10-17 2017-06-09 重庆邮电大学 面向云服务的聚合流的接纳控制方法
GB2525018B (en) * 2014-04-10 2016-06-22 Facebook Inc Wireless data transfer
EP3091467A1 (en) 2015-05-05 2016-11-09 Gemalto Sa Secure element with shared memories, for a multi-image owner device
KR101915236B1 (ko) 2016-11-24 2019-01-14 주식회사 한컴엠디에스 스마트 팩토리를 위한 통합 보안 관리 시스템
JP6814984B2 (ja) * 2019-10-02 2021-01-20 パナソニックIpマネジメント株式会社 署名生成装置、署名検証装置、署名生成方法及び署名検証方法
JP7428049B2 (ja) 2020-03-30 2024-02-06 大日本印刷株式会社 デバイス、セキュアエレメント及びデバイスのセキュアブート方法
CN115086053A (zh) * 2022-06-23 2022-09-20 支付宝(杭州)信息技术有限公司 用于识别伪装设备的方法和系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1398093A (zh) * 2002-01-26 2003-02-19 深圳市朗科科技有限公司 用于数据处理系统的无线数据通信方法及装置
US20090068984A1 (en) * 2007-09-06 2009-03-12 Burnett R Alan Method, apparatus, and system for controlling mobile device use
US20100191576A1 (en) * 2009-01-28 2010-07-29 Gregory G. Raleigh Verifiable device assisted service usage billing with integrated accounting, mediation accounting, and multi-account

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1117266A1 (en) * 2000-01-15 2001-07-18 Telefonaktiebolaget Lm Ericsson Method and apparatus for global roaming
US20010044786A1 (en) * 2000-03-14 2001-11-22 Yoshihito Ishibashi Content usage management system and method, and program providing medium therefor
JP2001331446A (ja) * 2000-05-24 2001-11-30 Nippon Telegr & Teleph Corp <Ntt> セキュアエージェント実現方法とセキュアエージェントシステムとセキュアエージェント管理装置
US7076237B2 (en) * 2004-08-05 2006-07-11 International Business Machines Corporation Traffic shaping of cellular service consumption through delaying of service completion according to geographical-based pricing advantages
US7174174B2 (en) * 2004-08-20 2007-02-06 Dbs Communications, Inc. Service detail record application and system
JP5208138B2 (ja) * 2007-03-06 2013-06-12 スペクトラム ブリッジ, インコーポレイテッド スペクトル管理のシステム及び方法
JP2009110334A (ja) * 2007-10-31 2009-05-21 Mitsubishi Electric Corp 端末及びセキュリティシステム及び端末プログラム及びセキュリティ情報管理方法
EP2259203A4 (en) * 2008-03-26 2011-05-25 Fujitsu Ltd INFORMATION PROCESSING DEVICE, VIRUS MANAGEMENT EQUIPMENT, AND METHOD OF DISINFECTING VIRUSES
US8671438B2 (en) * 2008-04-04 2014-03-11 Cello Partnership Method and system for managing security of mobile terminal
US8391834B2 (en) 2009-01-28 2013-03-05 Headwater Partners I Llc Security techniques for device assisted services

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1398093A (zh) * 2002-01-26 2003-02-19 深圳市朗科科技有限公司 用于数据处理系统的无线数据通信方法及装置
US20090068984A1 (en) * 2007-09-06 2009-03-12 Burnett R Alan Method, apparatus, and system for controlling mobile device use
US20100191576A1 (en) * 2009-01-28 2010-07-29 Gregory G. Raleigh Verifiable device assisted service usage billing with integrated accounting, mediation accounting, and multi-account

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107111597A (zh) * 2015-06-01 2017-08-29 华为技术有限公司 用于动态地控制基于需求收费的网络中的客户流量的方法和设备
US10721362B2 (en) 2015-06-01 2020-07-21 Huawei Technologies Co., Ltd. Method and apparatus for customer service management for a wireless communication network
US11184289B2 (en) 2015-06-01 2021-11-23 Huawei Technologies Co., Ltd. Systems and methods for managing network traffic with a network operator
US11240644B2 (en) 2015-06-01 2022-02-01 Huawei Technologies Co., Ltd. Method and apparatus for dynamically controlling customer traffic in a network under demand-based charging
CN108140094A (zh) * 2015-07-20 2018-06-08 英特尔公司 用于安全可信i/o访问控制的技术
CN108140094B (zh) * 2015-07-20 2022-05-13 英特尔公司 用于安全可信i/o访问控制的技术
CN108886528A (zh) * 2016-04-08 2018-11-23 黑莓有限公司 用于根据多个供应技术之一供应设备的管理对象
CN109783124A (zh) * 2017-11-14 2019-05-21 慧荣科技股份有限公司 认证固件数据的数据储存装置与数据储存方法
CN111742300A (zh) * 2017-12-21 2020-10-02 赛峰电子与防务公司 用于控制复杂电子组件的运行的方法
CN111742300B (zh) * 2017-12-21 2022-04-05 赛峰电子与防务公司 用于控制复杂电子组件的运行的方法和系统
CN110362427A (zh) * 2019-06-26 2019-10-22 苏州浪潮智能科技有限公司 一种镜像文件的处理方法、系统、bmc及可读存储介质
CN113268443A (zh) * 2021-06-09 2021-08-17 北京车和家信息技术有限公司 Smi总线通信方法、装置、电子设备和介质

Also Published As

Publication number Publication date
JP2014500989A (ja) 2014-01-16
EP2622835A1 (en) 2013-08-07
BR112013006890A2 (pt) 2020-06-02
EP2622835A4 (en) 2014-05-07
AU2011314086A1 (en) 2013-04-04
KR101934601B1 (ko) 2019-01-02
CA2813026C (en) 2018-02-27
MX2013003624A (es) 2013-12-02
WO2012050933A1 (en) 2012-04-19
CA2813026A1 (en) 2012-04-19
KR20130114663A (ko) 2013-10-18

Similar Documents

Publication Publication Date Title
CN103250401A (zh) 安全装置数据记录
US11665186B2 (en) Communications device with secure data path processing agents
US8725123B2 (en) Communications device with secure data path processing agents
TWI690173B (zh) 供安全性監控虛擬網路功能用的安全個人化之技術
US10028144B2 (en) Security techniques for device assisted services
US9924366B2 (en) Platform validation and management of wireless devices
US20140075567A1 (en) Service Processor Configurations for Enhancing or Augmenting System Software of a Mobile Communications Device
EP3267709B1 (en) Security, fraud detection, and fraud mitigation in device-assisted services systems
US20140289794A1 (en) Communications device with secure data path processing agents
US20230125134A1 (en) Communications Device with Secure Data Path Processing Agents
CN102342052B (zh) 用于设备辅助的服务的安全技术
Guidry et al. A trusted computing architecture for secure substation automation
Guidry et al. Techniques for securing substation automation systems
Mitra et al. Internet of Things (IoT) security reference architecture-an ANT-centric study
CN103038652B (zh) 用于保护网络容量的装置辅助服务
CN114884963A (zh) 数字证书的管理方法和管理装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C02 Deemed withdrawal of patent application after publication (patent law 2001)
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20130814