CN106687976A - 基于虚拟化的安全设备恢复的系统和方法 - Google Patents
基于虚拟化的安全设备恢复的系统和方法 Download PDFInfo
- Publication number
- CN106687976A CN106687976A CN201580046531.7A CN201580046531A CN106687976A CN 106687976 A CN106687976 A CN 106687976A CN 201580046531 A CN201580046531 A CN 201580046531A CN 106687976 A CN106687976 A CN 106687976A
- Authority
- CN
- China
- Prior art keywords
- equipment
- dmag
- dms
- operating system
- software
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1415—Saving, restoring, recovering or retrying at system level
- G06F11/1433—Saving, restoring, recovering or retrying at system level during software upgrading
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0706—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
- G06F11/0709—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in a distributed system consisting of a plurality of standalone computer nodes, e.g. clusters, client-server systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0706—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
- G06F11/0712—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in a virtual computing platform, e.g. logically partitioned systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
- G06F11/0754—Error or fault detection not based on redundancy by exceeding limits
- G06F11/0757—Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0793—Remedial or corrective actions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1415—Saving, restoring, recovering or retrying at system level
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/128—Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/35—Protecting application or service provisioning, e.g. securing SIM application provisioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/60—Subscription-based services using application servers or record carriers, e.g. SIM application toolkits
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2201/00—Indexing scheme relating to error detection, to error correction, and to monitoring
- G06F2201/815—Virtual
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2101—Auditing as a secondary aspect
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Mathematical Physics (AREA)
- Computing Systems (AREA)
- Debugging And Monitoring (AREA)
Abstract
可以提供一种使用设备上设备管理代理(DMAG)执行设备恢复的系统、方法和/或技术。所述DMAG可以处于可以通过管理程序保护的安全执行环境中和/或可以包括或者具有完全网络堆栈(例如,经由与其相关联的微型操作系统)。设备上的DMAG或其它实体可以接收设备的控制和/或可以确定或检测设备上应用和/或操作系统是否可能未处于正常服务状态。DMAG或其它实体可以基于应用和/或操作系统未处于正常服务状态来发起与DMS的安全会话,如此使得DMS可以确定所述设备是否可能具有潜在软件问题。DMAG或其它实体可以基于设备具有潜在软件问题来设置或建立恢复和/或升级会话(例如,使用安全会话)和/或可以接收软件镜像以进行操作系统和/或应用的刷新。DMAG或其它实体可以发送重新启动请求命令,如此使得设备可以重新启动(例如,以返回至正常服务状态)。
Description
相关申请的交叉引用
本申请要求于2014年7月11日递交的美国临时专利申请No.62/023,774的权益,其通过引用合并于此。
背景技术
通常,现有网络嵌入式设备可以通过可以作为操作系统(OS)上的单独进程运行的设备管理代理而被升级。在这种示例中,对其上内核(诸如主OS内核)的攻击或OS中严重软件错误可能破坏完整系统的功能和/或该系统可能对于对抗软件攻击的安全性不稳健。此外,诸如计算机系统(如个人计算机(PC))的系统可以通过可以在单独地虚拟机中运行的设备管理代理来升级。所述虚拟机可以通过管理程序(hypervisor)来保护。遗憾地是,这种系统可能对于可能受到主动软件攻击威胁的嵌入式设备不稳健。
发明内容
提供用于使用设备上的设备管理代理(DMAG)来执行设备恢复的系统、方法和/或技术。DMAG可以处于可以通过管理程序保护的安全执行环境中和/或可以使用或包括微型操作系统,该微型操作系统可以包括或具有完整网络堆栈。DMAG或设备上的其它实体可以接收设备的控制和/或可以确定或检测设备上的应用和/或操作系统是否可能未处于正常服务状态(例如,在接收这种控制时或之后)。DMAG或其它实体可以基于应用和/或操作系统不处于正常服务状态而发起与DMS的安全会话,如此使得DMS可以确定设备是否可能具有潜在的软件问题。在示例中,这种软件问题可以是应用系统可能已经受到使得应用停止功能或不能按照预期运转的恶意软件感染,可以是由于在对应用系统进行软件升级后的错误(bug)功能可能停止工作,等等。DMAG或其它实体可以基于设备具有潜在软件问题(例如,使用安全会话)设置或建立恢复和/或升级和/或可以接收软件镜像(software image)来对操作系统和/或应用进行刷新。刷新可以包括应用系统(例如,包括操作系统)和/或整个或完整平台软件的重新安装成可以被认定为不具有错误或恶意软件的功能的状态。在一个示例中,DMAG或其它实体可以发送重新启动请求命令,以使得设备可以被重新启动(例如,返回至正常服务)。重新启动请求命令可以被发送和/或在刷新之后设备重新启动(例如,当包括应用系统操作系统的完整应用系统可能已经被重新安装)。此外,在示例中,应用(例如,不是完整应用系统)可以如此处所述的刷新和/或重新安装。在这种示例中,重新启动可以不被执行和/或可以不发生。
在一个示例中,设备上的管理程序、设备上的微型OS和/或DMAG中一者或多者的完整性可以在重新启动期间被验证或核查(例如,响应于重新启动命令请求和重新启动发生)。完整性可以使用安全启动过程和/或安全启动编码来核查。进一步地,诊断命令的集合可以从DMS接收以确定应用和/或操作系统是否可以处于正常服务状态(例如,使得DMAG可以确定所述设备是否可以处于正常服务状态)。而且,在示例中,故障通知可以被提供(例如,发送或接收),该故障通知可以指示过错行为,包括应用和/或操作系统可能不处于正常服务状态。在一个示例中故障通知可以使用DMS被登记和/或存储。此外,根据示例,设备的控制(例如,其执行控制)可以通过设备和/或管理程序经由切换来接收。切换可以从看门狗定时器复位时发生,以使得管理程序和/或设备可以使用看门狗定时器来推动对DMAG的控制。此外,设备上未处于正常服务状态的应用和/或操作系统可以基于从看门狗定时器复位时发生的行为而被确定或检测。在示例中,诸如外部网络连接请求的外部网络请求可以不被接受或可以被拒绝(例如,通过DMAG)和/或外部网络请求可以被发起(例如,通过DMAG)以使得该请求可以针对受限数量的受信任外部管理实体,诸如DMS。
提供发明内容以简化形式来引入概念的选择,其在以下具体实施方式中被进一步描述。该发明内容不旨在标识所要求的主题的关键特征或基础特征,不旨在被用于限制所要求主题的范围。而且,所要求的主题不限制于可以解决本公任何部分注意的一个或多个缺点的于此的示例。
附图说明
可以从通过结合附图的示例给出的以下描述中获得于此公开的实施方式的更加详细的理解。
图1示出包括可以在操作系统(OS)上作为单独进程运行的设备管理代理的嵌入式设备的示例。
图2示出可以包括可以在虚拟机中运行的设备管理代理的系统的示例,其中虚拟机可以通过管理程序保护。
图3示出示例性网络架构或情景。
图4示出可以在于此描述的一个或多个示例中使用的设备管理生命周期或方法的示例。
图5示出可以在于此描述的一个或多个示例中使用的系统架构的示例。
图6示出针对于此描述的一个或多个示例执行设备会的示例。
图7示出针对于此描述的一个或多个示例执行的设备恢复的示例方法的流程图。
图8示出可以在于此描述的一个或多个示例中使用的多核系统的系统架构的示例。
图9-10示出可以实施和/或使用于此用于执行设备恢复的系统和/方法的示例。
图11A描绘一个或多个公开的示例可以被实施和/或可以与于此描述的一个或多个示例使用的示例性通信系统的图示。
图11B描绘了可以在图11A示出的通信系统中使用的示例性无线发射/接收单元(WTRU)的系统图。
图11C描绘了可以在图11A示出的通信中使用的示例性无线电接入网络和示例性核心网络的系统图。
图11D描绘了可以在图11A中示出的通信系统中使用的另一示例性无线电接入网络和示例性核心网络的系统图。
图11E描绘了可以在图11A中所示通信系统中使用的另一示例性无线电接入网络和示例性核心网络的系统图。
具体实施方式
说明性实施方式的详细描述现在可以参考不同附图来描述。尽管该说明书提供可能实施的详细示例,但是应该注意的是细节旨在示例性并不以任何方式限制于此描述的示例的范围。
如于此所述,通常,当前网络嵌入式设备可以通过在普通OS上作为单独进程运行的设备管理代理而被升级。图1示出这种当前网络嵌入式设备2的示例,其可以包括在OS(在片上系统中或(SoC))上作为单独进程运行的设备管理代理4。在这种示例中,对主OS内核6的攻击或主OS中严重软件失败可能破坏系统(例如设备2)的功能。此外,根据示例,可能难以保证所示的大型OS内核的稳健性和安全性。如此,可能期望保持安全关键软件基础处于最小值。例如,严重故障或对OS内核的攻击可能引起设备的手动复位,这可能是昂贵的且浪费时间。
在示例中,可以进一步存在诸如图2所示系统的系统。如图2所示,系统200可以包括设备管理代理202。设备管理代理202可以在管理程序206 保护的单独虚拟机中运行。在对主OS 204的攻击或主OS上严重软件故障可以不影响设备管理功能的意义上,这种系统更加稳健。然而,系统对于嵌入式设备是不稳健的。例如,对于嵌入式设备受到主动软件攻击威胁的情景中是稳健的,以下中的一者或多者可以是有益的和/或可以不通过这种系统来提供。管理程序的软件完整性和设备管理代理可能在启动时间和/或运行时间期间是无法保障的。在这种示例中,可惜地是,设备管理操作可以不通过中央的、更强计算能力来执行,设备管理系统和/或管理程序保护的设备管理代理可以不被配置成从这种中央单元接受控制命令。此外,这种系统(例如,如图2所示)可能对在运行在系统中的主OS上的软件攻击不稳健以及可能不具有“自我修复”机构来从主OS上的严重软件故障恢复。
如此,于此可以提供可以改善这种当前系统和/或嵌入式设备的稳健性的系统和/或方法。例如,于此描述的系统和/或方法可以包括网络嵌入式设备管理系统,其可以对主OS中致命软件故障及对系统的该部分的主动攻击是稳健的。此外,系统和/或方法可以改善在启动时间和/或运行时间期间管理程序和设备管理代理的软件完整性。设备管理操作可以通过中央的、更强计算能力来执行,设备管理系统和/或管理程序保护的设备管理代理可以被配置成从这种中央单元接受控制命令。系统可以对在运行在系统中的主OS上的软件攻击是文件的并且可以具有“自我修复”机制以从主OS上严重软件故障修复。
图3示出示例性通用网络情景或架构(其可以改善稳健性和/或可以提供集中系统和/或管理程序来改善这种稳健性和/或软件完整性)。如图3所示,诸如机器对机器(M2M)设备300(例如,网络嵌入式设备或系统)的设备可以经由诸如因特网304的网络与设备管理后端系统302通信。根据示例,网络嵌入式系统和设备(诸如M2M单元(例如,300))可以正在开始以在具有高安全/保险要求的不同类型的系统中变得重要。如此,期望改善或保障这种系统的文件操作。尤其,对M2M单元可能存在来自基于网络的攻击和/或软件恶意软件的威胁。安全和/保险关键单元可以根据故障、攻击和/或恶意软件来停止功能。根据示例(例如,如果安全和/或保险关键单元由于软件故障或由于攻击停止功能),可能造成可能是严峻的及在一些情况中可能甚至威胁人类生命的后果。
从安全架构角度来看,设备或设备平台可以是M2M安全方案的重要部分。例如,对于可以在真实和实际使用情况情景中工作的设计方案,设备平台的生命周期管理角度可以被使用和/或考虑。
图4示出可以针对一个或多个于此示例使用和/或考虑的设备生命周期角度的示例。如图4所示,1-8可以被执行以及设备可以继续随时间(例如,由n所示)操作。1-8和/或n可以阐释(例如,从安全角度)可以是连接的设备的生命周期的部分的一个或多个功能或动作。如所示,设备的生命可以开始于制造阶段,包括1处的硬件制造及2和3处的软件和配置定制。下一个阶段可以是部署阶段,其中设备可以被定制以能够针对网络操作,这可以决定于和基于或根据其最终客户要求。如所示,一个或多个配置可以在安装时通过4处的物理存在、5处本地的和/或6处远程的从管理服务器被提供、发起、执行等等(例如,以及可以彼此不同)。设备可以然后在操作阶段在7处进行操作。在8处设备可以利用某种规则性停止服务(例如,停止7处的操作)以使得新的软件可以被安装或用于物理维护。设备可以随时间(例如,通过n所示)继续操作和/或可升级的。在设备生命周期角度中,操作阶段中的设备的操作可以被提供和/或保障(例如,在权利安全和/或保险机制在诸如制造和/或部署阶段可以是可用的情况中)。
面向威胁的设备可以被提供、考虑和/或使用。例如,系统中对设备的威胁可能发生。还可能存在对终端用户单元或后端系统的威胁。在示例中,对终端用户单元或后端系统的威胁在于此所述的一个或多个示例中可能不被考虑。根据示例,关于对设备的攻击,于此的系统和/或方法可以考虑基于网络的攻击、基于软件对设备本身的攻击等等(例如,以及可以提供改善的稳健性和/或其软件完整性)。
高可信度安全和保险实施方式或示例可以在于此所述的一个或多个示例中被提供和/或使用。例如,于此描述的高可信度安全和保险实施方式或示例可以用于防御、航空电子、金融部门等。在示例中,这种高可信度和保险实施方式或示例可以具有多个重要的和相当独特的设计要求或请求。例如,设计和实施可以根据诸如通用准则的标准而被评估。对于用于工作的诸如通用准则的标准,评估的目标系统(例如,软件和硬件)可能必须被定义(例如,软件可以提供的功能应该被指定而不具有动态特征,和/或类似地可以使其不易或难以从安全角度来评估)以及足够小以能通过合理努力来评估。其它常规要求或请求可以包括当可能涉及安全和保险时可以特别关注的分段和分离。
例如,在高可信度实施方式或示例中,分离可以转化成物理分割。例如,给定具有不同功能和安全级别的多个模块,每个模块可以被指派诸如CPU的专用硬件组件。这可以创建具有可以是信息流分析可行的清晰界限和接口的分布式系统。可惜地是,对于这种方式还可能存在一个或多个不利。例如,其可能一般导致大规模、复杂的及低效系统,例如,在功率消耗、大小、开发继而制造成本等方面。
用于物理分割的可替代的或另外的示例可以是或可以包括逻辑分割。利用逻辑分割,一个或多个硬件组件可以负责功能以及分离可以通过其它技术来保障,诸如,以软件形式。由于它们的大小和复杂性,这种方案一般可能不被作为单片系统来评估。但是,在诸如利用细致分割和逻辑地分离的示例中,设计、实施及评估这种系统可能是可行的。这样做的一种技术可能使可以使能或施行其它组件的分离的小的信任基础存在。该信任基础可以是分离内核并且可以包括实时OS、微核或类型1管理程序或其等同物。
与所述示例不同,可替代的或另外的进行分离的方式或方法可以使用类型2管理程序或其等同物。不像类型1管理程序,类型2管理程序可以不在硬件上直接运行,但是代替的在主操作系统内核上。这可能意味着类型2管理程序给定的隔离可能比底层操作系统给定的隔离性能更好。通常这种操作系统可以复杂且大型的并且其可能难以对这种系统实际提供高等级隔离安全保障。
在于此的示例中,M2M单元或设备可以利用管理程序保护的设备管理代理(DMAG)来保护。DMAG可以在微型OS上运行。该微型OS可以包括完整的、但微型的网络堆栈以及可以直接访问至少一个网络设备接口。在示例中,完全网络堆栈可以能够设置任意的基于IP的网络与网络对等的连接以及可如于此所述以包括Contiki、TinyOS和/或其它操作系统栈。管理代理(例如,DMAG)可以与设备管理后端服务器或系统或设备管理服务器或系统(例如,DMS)相关联,其可以包括设备独特安全关联,如此使得后端服务器可以是实体,管理代理可以信任该实体并其可以接受至该实体的控制命令和/或来自该实体的控制命令。
图5示出可以利用可以在于此所述微型OS上运行的管理程序的DMAG保护来用于保护M2M设备或单元的示例性高级系统图。如图5所示,诸如M2M单元或设备的设备500可以包括片上系统(SoC)502。SoC 502可以包括可以通过管理程序506保护的DMAG 504。如于此所述,DMAG 504包括和/或运行微型OS 508。DMAG可以控制看门狗定时器510。此外,在示例中,DMAG504可以与DMS 512通信。DMS 512可以是DMAG 504可以信任的并且可以向其发送或从其接收命令或消息的实体。
在示例中,所述系统(例如,可以如图5所示的)还可以包括和/或具有以下中的一者或多者。DMAG可以具有对存储管理单元(MMU)(例如, 530)和/或可以使用的安全看门狗定时器功能(例如,510)的控制。在示例中,可以位于CPU架构中的MMU可以是可以监测系统(例如,M2M单元和/或设备500)中CPU接入的“仲裁器(arbiter)”。MMU可以基于可能正在调用系统的应用或软件的特权模式来授权或拒绝至不同系统地址的访问。通常,在示例中,CPU系统或设备可以至少具有两个“环(ring)”,其中可以在较高或最高特权环上执行的软件或应用可以具有至系统资源的完全访问,而在较低特权环中运行的软件或应用可能不具有对每个系统资源的专有权并且代替地可以具有MMU可以允许其访问的权利或可以访问MMU可以允许其访问的资源。系统的特权部分可以负责配置MMU访问控制规则。
安全看门狗定时器可以复位功能并且与管理程序功能结合可以确保DMAG定期地得到对设备的控制。在示例中,DMAG可以未得到对设备的控制并且看门狗功能可以力控制代理(例如,DMAG)以保证代理可以得到控制。诸如DMAG的代理可以定期地与可以发出系统复位命令的后端服务器联系。
根据示例,在看门狗可能超时之后DMAG或代理可以得到控制。在示例中(例如,如果在看门狗超时之后DMAG可以得到控制),DMAG可以联系可以发出控制命令集以确定看门狗复位的原因以及可以发出可以是设备恢复至功能状态的诸如刷新的复位命令集的DMS。
诸如于此描述的系统或方法(如图5所示)的一个或多个示例可以使能或提供许多嵌入式架构上较便宜设备管理方案,其可以改善稳健性或可以对于主系统上的攻击是稳健的。于此描述的示例性方法的一者或多者可以使能系统(例如,如图5所示),例如,自动地来从软件配置错误或主OS上的软件攻击恢复。
在示例中,可信计算基础(TCB)可以被提供和/或使用。TCB可以是硬件和软件功能的集合,其可以已经被评估以使得系统的用户可以确定(例如,相当确信)这种系统的集合可以正确地运转(例如,可以不具有诸如恶意软件等问题)和/或其可以不具有安全漏洞和/或可以不易受到攻击,这可以是为什么可以被信任和/或TCB。TCB可以是小的并且可以包括受信任的管理程序、微型OS和DMAG。诸如图5所示的系统的其它部分可能是不受信任或非完全受信任而不会危害其功能。这可以不同于可以是依赖于富OS的恢复系统(例如,图1所示)和/或主OS上运行的系统。如此,不同于基于类型1管理程序的方式(例如,如图2所示),管理程序、微型OS和DMAG可以处于受信任侧或可以被信任并且系统的其它部分可以是不受信任的或非完全受信任的。根据示例,管理程序和DMAG的完整性(例如,以确保它们可以被信任)可以通过系统或设备上的安全启动过程而被提供或保障。
此外,诸如繁重设备管理任务的一个或多个设备管理任务可以通过DMS执行。这种繁重任务的示例可以包括但不限于,搜索和检索软件或应用和/或软件或应用配置、诸如病毒扫描和版本检查的先进的设备诊断,等等。如此,于此描述的示例性方法的一者或多者可以从计算和功率需求任务中卸载设备上的潜在计算和功率约束。
于此的示例可以包括具有故障和用于资源约束M2M单元的软件攻击恢复机制。根据该示例,系统可以从服务软件错误或软件攻击恢复,而无需通过本地操作员利用设备的物理访问进行直接人工干预。替代地,远程后端管理系统可以处理恢复而无需物理存在的使用。
于此描述的示例中的一者或多者在实施方式中可以在单CPU嵌入式系统上被提供或使用(例如,如图5和6中所示)。然而,原理可以被延伸至多核嵌入式系统(例如,如图8所示)。此外,原理可以在各种工业或现实生活系统中实施,各种工业或现实生活系统包括,例如诸如如图8所示的风力发电系统的电力系统,如图9所示的诸如食品加工系统的制造系统,等等。
M2M单元设备恢复系统可以包括以下核心功能或动作中的一者或多者。例如,具有精简管理程序的嵌入式系统的分区(例如,以及转而MMU或存储保护单元(MPU))可以被提供以使得主OS可以在隔离的安全执行环境中运行,该安全执行环境可以包括第一虚拟机(VM)、以及并行运行(其它)的DMAG。主OS可以进一步在第二VM中运行,该第二VM可以与隔离的安全执行环境和/或第一VM分离,以使得在安全执行环境中运行的第一VM可以不影响单独运行的第二VM的执行,例如,除非通过定义的管理程序提供的应用程序接口(API),其可以不危害管理程序或设备管理代理的安全。
进一步的,管理程序可以具有对系统上MMU或MPU的控制(例如,完全控制)。例如,管理程序可以确保诸如主OS的系统的不受信任部分可以不具有对以下项中一者或多者的存储访问:安全启动过程使用的启动代码和数据;SoC上看门狗复位定时器;管理程序使用的管理程序代码和数据;微型OS和设备管理代理以及这些实体使用的数据;等等。
在示例中,DMAG和DMS可以具有信任关系。例如,DMAG和DMS可以基于可以用于生物质DMAG和DMS之间的安全通信信道的密钥而具有信任关系。这可以包括嵌入在证书中的公共密钥或共享对称密钥,等等。这些密钥可以被用于设置临时会话密钥保护的DMAG和DMS之间的安全会话。
此外,在示例中,管理程序和DMAG可以利用安全启动过程来启动。在这种示例中,可以位于ROM或闪存中的受信任的启动代码在开动之前可以执行或进行管理程序的完整性核查。受信任的启动代码也可以在管理程序之前执行或进行微型OS和设备管理代理的完整性核查,以使得这些服务可以在受信任的VM中发动。根据示例,完整性核查可能失败。在示例中系统可以不被启动(例如,在完整性核查失败的情况中)和/或恢复DMAG例程(例如,利用对用于设置与DMS的安全会话的密钥材料的访问)可以被开启。恢复DMAG例程可以联系DMS,在一个示例中其可以试图通过刷新来恢复系统。
如于此所述,管理程序可以提供或使用看门狗定时器。看门狗定时器可以被用于维持API至诸如主OS的系统的不受信任部分。管理程序或另一组件可以使能或允许不受信任的OS在可以保持看门狗定时器活动的DMAG中调用例程。看门狗定时器复位也可以发生或被执行。在示例中,(例如,在看门狗定时器复位发生或可以被执行的情况下),专用中断例程可以被唤起以及可以包含或使用DMAG以使得专用中断例程可以进行执行。这种例程可以执行、引起或包括以下中的一者或多者。在例程中,DMAG可以通过设置DMAG和DMS之间的安全通信信道来联系设备管理后端系统。DMS可以使用该安全信道来发出诊断命令集合。在示例中,促使看门狗复位的根源可以不被识别或确定和/或处理。在这种示例中(例如,在促使看门狗复位的根源不能以直接暗示被识别或处理的情况中),DMS可以向设备发送新的软件包并请求刷新系统。一个或多个恢复选项或步骤可以被使用或唤醒以及于此的示例可以不限制于特殊恢复选项。
根据附加示例,具有一些规则性的DMAG可以被提供或给定执行权利。如果这种权利可能没有给定,根据示例,看门狗定时器可以确保DMAG得到该权利。DMAG可以选择联系可以向设备发出挂起设备管理命令的DMS。DMS还可以联系在第一VM(例如,隔离的安全执行环境)上运行的系统以及可以请求其去请求DMAG联系DMS以用于设备管理。这可以通过专用管理程序API调用来进行。
在示例中,可以通过DMAG执行的外部通信可以是与DMS的外部通信。如此,根据示例,DMAG可以发起外部网络请求,该请求可以指向受限数量的受信任的外部设备管理实体,诸如DMS等等。这可以帮助使能或确保DMAG可以免除基于网络的攻击、DoS攻击,等等。此外,在示例中,DMAG(例如,免除诸如外部DoS攻击的外部攻击)可以不接受或可以拒绝外部网络请求,诸如外部网络连接请求。而且,DMAG可以通过来自外部网络实体的会话邀约发起与DMS的通信防止拒绝服务攻击。
图6示出可以通过诸如设备500的系统或设备使用或在其上执行的设备恢复或系统设置或方法的示例。这种设备恢复或系统设置可以示出一个示例性系统或设备试图以及可替代的系统部署可以被使用和/或是可行的。例如,M2M应用服务器(例如,514)可以处于另一设置或示例,是诸如智能电话、平板电脑或PC等等的终端用户设备。图7示出根据于此的一个或多个示例的可以在软件错误或软件攻击中执行或包含的示例性设备恢复过程或方法700。在示例中,过程或方法700可以通过图5和6中示出的系统500来执行。
如所示,在21处,由于软件故障或软件攻击,运行在M2M单元的主OS上的M2M应用(例如,图5的516以及如通过3所示的)可以不按照期望工作(例如,可能未处于正常服务状态)。根据示例,未按照期望工作和/或未处于正常服务状态的系统可以是例如由于网络通信通过M2M单元上的病毒攻击以拒绝服务(DoS)而被停止和/或M2M在一些其它方式的操作被干扰或阻止。该错误行为可以被检测为应用可能不再能够通过M2M应用后端服务器(例如,图6的514及通过2所示的)通过通信信道(例如,图6的518及通过3所示的)与M2M应用通信而被达到。其还可以被检测为通过M2M单元至M2M应用服务器提供的服务中断。
在22处,应用M2M服务器可以通知其可能具有与M2M应用通信或达到的问题或者行为可能不是期望(例如,可以未写处于正常服务状态)的问题。根据示例,应用M2M服务器可以确定问题是否可能是基于网络连通性的(例如,通过pinging附近的M2M单元)。在示例中(例如,在排除问题可以是由于通过pinging附近的M2M单元的网络联通性),M2M服务器可以向DMS发送故障通知(例如,图6的512及通过4所示的),以通知DMS 特殊的M2M单元可能无法按照期望工作。在示例中,可能受制于或可能具有潜在软件故障的特殊的M2M单元可以通过发送M2M单元的唯一ID(例如,在消息或故障通知中)而被指示。
M2M单元应用和/或运行M2M应用的操作系统可能未处于正常服务状态。未处于正常服务状态的应用和/或操作系统可以指示或意味着通过超级调用保持看门狗定时器(例如,图6的510)活动的至DMAG的正常切换可能不发生或不能发生。根据诸如最终由于看门狗复位的示例,DMAG(例如,图6的504及通过5所示的)可以执行或得到执行控制,在23处,以及可以通过程序管理被调度用于执行。如此,DMAG可以得到控制,在23处,当,基于确定,应用和/或OS可能未处于正常服务时。如于此所述(例如,上述),由于看门狗定时器被复位或强迫的复位发生,DMAG可以得到控制(例如,在看门狗定时器可能保持活动)。例如(如,如果看门狗定时器可以通过设备或系统保持活动),看门狗功能可以被执行以及其执行可以使用设备和/或其硬件和管理程序(例如,图6的506)强迫地切换至DMAG,如于此描述的。如此,管理程序和设备可以经由看门狗定时器(例如,其复位)将功能切换至DMAG,例如,如果管理程序和/或设备可以确定系统可以受到危害(例如,应用和/OS可能未处于正常服务状态或可能离开正常服务状态)。根据示例,DMAG可以包括或可以具有信息和/或可以接收指示,切换可能由于看门狗定时器复位已经发生以及因此可能知晓切换由于正常系统中故障而发生。如此,得到对看门狗定时器复位的控制的DMAG可以被DMAG用于确定或检测应用和/OS可能未处于正常服务状态。可替代地或此外,DMAG可以通过超级调用从可以至少部分按照期望来工作的主VM而被调度。
在示例中,在24处,DMAG可以模拟或发起向DMS的安全会话。如此,诸如DTLS或IKE/IPSRC安全连接的安全信道(例如,图6的520及通过6所示的)可以在M2M应用和M2M服务器应用之间被建立(例如,正发起的安全会话可以包括安全信道建立)。根据示例,作为安全信道建立的一部分,M2M单元通过其唯一M2M ID被验证及识别。
在25处,在示例中,DMS可以进一步核查或访问故障通知寄存器以及可以确定或找出特殊的M2M单元是否可能具有潜在的软件问题和/或针对该问题的原因。例如,故障通知可以被接收并被存储在寄存器或表格(例如,与其相关联的存储器)中。在25处DMS可以核查寄存器或表格以确定特殊的诸如单元或设备500的M2M单元是否可能具有软件问题或潜在的软件问题。
在26处,DMS和DMAG可以设置软件恢复和/或升级会话。根据示例,诸如新的软件镜像的软件镜像可以被传递至DMAG或M2M永久性存储介质上的现有备份镜像可以被DMAG用于进行主操作系统和运行在主操作系统上的应用的刷新。
在27处,DMAG可以发出M2M系统(例如,M2M单元或设备)的重新启动请求命令。M2M设备或单元(例如,系统或M2M系统)可以基于所述命令被重新启动。例如,重新启动请求命令可以推动系统(例如,M2M单元或设备500)的硬件重新启动,如此使得系统可以被关闭、复位及清除易失性存储器并且然后可以再次启动。
在28处,微型OS和/或DMAG可以通过可以位于M2M单元上的安全启动过程来核查(例如,在重新启动管理程序的完整性期间)。安全启动代码可以通过物理隔离和/或写保护而免受修改。安全启动代码还可以验证主OS和在主OS上运行的M2M应用的完整性。安全启动过程的示例可以包括但不限于,其中启动代码可以存在于完整性保护存储器(例如,可能对于攻击者难以修改的存储器)和/或其中启动代码可以执行软件或应用块(包括可以在启动期间存入永久性存储器中的操作系统块)的完整性核查的过程。这种完整性核查可以包括以下项中的一者或多者:单向散列函数的核查、数字签名或所谓的消息验证码(MAC)的核查,等等。
在29处,M2M应用可以再次运行。例如,一旦被重新启动或重新启动可以被完成,M2M应用可以再次启动和运行。
在30处(例如可选择地),DMS可以向M2M单元和在M2M单元上运行的应用发出诊断命令的集合以确保其按照期望工作。例如,一旦M2M设备或单元可以被重新启动,DMS可以发出至其的诊断命令的集合。可替代地或此外,M2M应用服务器可以被通知系统(例如,设备或单元)可能已经复位以及其可以被请求核查服务可以再次按照期望运行。
如于此所述,于此的示例可以在单核嵌入式系统上被部署或实施。例如,公开或描述的示例可以按照包括如图5(及图6)所描绘的单核系统上的若干不同方法来实现。根据该实施方式,DMAG可以处于单核系统中微型OS上顶部的分离VM中,分离VM可以与主VM共享主CPU,其中主OS和主应用可以正在运行。在CPU上以特权模式(诸如最高特权模式)运行的管理程序可以提供或可以确保安全关键VM(例如,其中微型OS和DMAG运行)可以被安全地与系统的剩余部分分离。用于该配置的管理程序的示例可以包括,但可以不限于微核OKL4、派克(Pike)OS、SICS微型管理程序等等。系统的保护的VM侧上微型OS的使用可以使能或可以确保OS的安全属性可以通过合理努力利用高可信度等级来验证。在示例中(例如,在相同时间),微型OS可以运行诸如完整网络堆栈的网络堆栈,以使得DMAG可以具有与DMS的可靠通信以便运行恢复会话。可以使用的OS的示例可以包括,但不限于,微型OS、Contiki OS,等等。如上所述,网络堆栈功能可以包括通过设备上合适的可用网络硬件接口设置到网络(例如内部网络或因特网)上的一个或多个任意对等体的因特网协议(IP)连接的功能。
于此描述的示例可以进一步在多核嵌入式系统上部署或实施。例如,于此描述的示例可以在具有多CPU的系统中使用。不同于单CPU系统(例如,图5和6所示),该选项或示例可以使用CPU中一者上的多VM。此外,多VM可以在其它CPU上运行或使用。图8示出多CPU上于此示例的实施的示例。
在M2M单元或设备(例如600)的多核部署中,管理程序(例如,606a-606n)可以在每个核上运行以确保运行在这些核上的不受信任或非完全信任的主OS(一个或多个)可以不访问SoC(例如,601)上的安全关键单元,诸如看门狗定时器(例如,610),和/或可以是中断控制器,和/或可以按照在系统上诸如最高特权CPU模式的特权CPU模式运行的类似地管理程序。这可以采用或可以提供即使多VM可能不在一个或若干核上运行,管理程序仍可以存在于这些核上以不危害系统的安全性。DMAG(例如,604)可以存在于这些核中的一个核上,例如根据图8示例的CPU2上。根据示例,可以不存在任何可以阻止部署于此的示例,以使得多DMAG可以被用于或存在于运行在系统中若干核上的系统中。在这种示例中,在系统中不同DMAG之间可以存在同步机制。
还原会话可以发生。在示例中(例如,当还原会话可以如于此所述发生时),运行在受信任VM上的微型OS和DMAG可以得到、接收或具有至设备的网络资源的唯一访问权利。这可以通过运行在可以给定DMAG诸如专有权的权利的系统中的管理程序来提供或保证(例如,在示例中当通过专用超级调用所请求的)。
可以在该配置(例如,图8中所示)中使用的管理程序的示例可以包括,但可以不限于,微核OKL4、派克OS、可行的SICS微型管理程序(例如,在未来,因为目前其可能无法支持多核),等等。系统的保护的VM侧的微型OS的使用可以提供或确保OS的安全属性可以通过合理努力利用高可信度等级来验证。此外,在示例中,OS可以运行诸如完全网络堆栈的网络堆栈,以使得DMAG可以具有与DMS的可靠通信以便运行恢复会话。可以使用的所述OS的示例可以包括,但可以不限于,微型OS、Contici OS,等等。
图9-10示出其中于此用于执行设备恢复的系统和/或方法可以被实施和/或使用。如图9中所示,控制系统(CS)900和/或风速计902(可以是和/或可以包括如于此所述的M2M单元和/或设备(诸如M2M单元或设备500和/或600)的组件)可以在电力系统中实施和/或与电力系统相关联,电力系统诸如例如在风力涡轮机域904中的风力涡轮机。根据示例,风速计902可以是具有类似于单元或设备500的组件单核风速计并且可以如于此所述的运行DMAG(例如,504)。如所示,在1处,CS 900可能未从风速计902得到准确的风测量。在2处,CS900可以联系DMS(例如,512),该DMS可以负责管理风速计902的并且可以经由诸如因特网906的网络与包括CS900和/或风速计902的风力涡轮机域904通信。在示例中,在2处,CS可以通过发送消息来联系DMS 512和/或类似地可以指示DMS 512风速计902可能具有故障。在3处,DMS 512和风速计902然后可以执行设备恢复(例如,图6的方法)以从故障恢复。例如,在3处,可以位于风速计902中的DMAG(例如,504)可以如于此所述与DMS 512联系和/或通信,例如以便接收和/或发送软件复位消息,和/或类似地从DMS 512,以使得于此诸如DMAG(例如,504)的风速计和/或组件可以被复位、重新启动等等以使其能够从故障恢复并且再次运行。
如图10所示,过程监视系统(PSS)1000可以与可以是和/或可以包括M2M单元和/或设备(诸如于此所述的M2M单元或设备500和/或600)的组件的填充等级传感器1003和/或过程控制单元(PCU)1002通信(例如,经由诸如因特网1006和/或LAN/WLAN 1008的网络)。PCU1002和/或填充等级传感器1003可以在制造系统中实施和/或与制造系统相关联,其中制造系统诸如食品加工系统,例如在食品加工工厂域1004中。根据示例,PCU 1002可以是具有类似于单元或设备600的组件的多核设备或单元并且可以运行于此描述的DMAG(例如,604)。如所示的,在1处,PSS 1000可以接收信息,该信息是填充等级(例如,可以通过填充等级传感器1003和从其监测的)可能未处于期望等级或高于阈值的等级。在2处,PSS 1000(例如,响应于填充等级为处于期望阈值或低于阈值)可以试图或尝试连接至可能正运行DMAG(例如,604)且可能正控制填充等级传感器1003的PCU 1002(例如,或者其退出功率函数)。在示例中,在2处,填充等级因PCU 1002中软件故障可以不是期望的阈值或高于阈值。在3处(例如,响应于未能连接至PCU 1002和/或其未能控制填充等级传感器1003等等),PSS 1000可以与可以响应于管理PCU 1002的DMS 512联系和/或通信并且可以指示其(例如,在消息中)PCU 1002可能具有故障(例如,严重故障)。在4处,DMS512和PCU 1002可以然后执行设备恢复(例如,图6的方法)以从故障恢复。例如,在4处,可以位于PCU 1002中的DMAG(例如,604)可以与于此所述的DMS 512联系和/或通信,和/或类似于从DMS 512,例如接收和/或发送软件复位消息,以使得于此诸如DMAG(例如,604)的PCU和/或组件可以被复位、重新启动和/或类似地使其能够从故障恢复并再次运行。
图11A描绘了可以实施所公开的一个或多个实施方式或示例的示例性通信系统100的图示。通信系统100可以是为多个无线用户提供如语音、数据、视频、消息传递、广播等内容的多址接入系统。该通信系统100通过共享包括无线带宽在内的系统资源来允许多个无线用户访问此类内容。举例来说,通信系统100可以采用一种或多种信道接入方法,例如码分多址(CDMA)、时分多址(TDMA)、频分多址(FDMA)、正交FDMA(OFDMA)、单载波FDMA(SC-FDMA)等等。
如图11A所示,通信系统100可以包括无线发射/接收单元(WTRU)102a、102b、102c、和/或102d(通常或共同地可以被称为WTRU 102),无线电接入网络(RAN)103/104/105,核心网络106/107/109,公共交换电话网络(PSTN)108,因特网110以及其他网络112,但是应该了解,所公开的实施方式设想了任意数量的WTRU、基站、网络和/或网络部件。每一个WTRU102a、102b、102c、和/或102d可以是被配置成在无线环境中工作和/或通信的任意类型的设备。例如,WTRU 102a、102b、102c、和/或102d可以被配置成发射和/或接收无线信号,并且可以包括用户设备(UE)、移动站、固定或移动订户单元、寻呼机、蜂窝电话、个人数字助理(PDA)、智能电话、膝上型计算机、上网本、个人计算机、无线传感器、消费类电子设备等等。
通信系统100还可以包括基站114a和基站114b。每一个基站114a、114b可以是被配置成通过与WTRU 102a、102b、102c、和/或102d中的至少一个无线对接来促使接入一个或多个通信网络的任意类型的设备,所述网络诸如核心网络106/107/109、因特网110和/或网络112。作为示例,基站114a、114b可以是基站收发信台(BTS)、节点B、e节点B、家庭节点B、家庭e节点B、站点控制器、接入点(AP)、无线路由器等等。虽然每一个基站114a、114b都被描述成是单个部件,但是应该了解,基站114a和/或114b可以包括任意数量的互连基站和/或网络部件。
基站114a可以是RAN 103/104/105的一部分,所述RAN 103/104/105还可以包括其他基站和/或网络部件(未显示),例如基站控制器(BSC)、无线电网络控制器(RNC)、中继节点等等。基站114a和/或基站114b可以被配置成在名为小区(未显示)的特定地理区域内部发射和/或接收无线信号。小区可被进一步划分成小区扇区。例如,与基站114a关联的小区可分为三个扇区。由此,在一个实施方式中,基站114a可以包括三个收发信机,也就是说,每一个收发信机对应于小区的一个扇区。在另一个实施方式中,基站114a可以采用多输入多输出(MIMO)技术,由此可以将多个收发信机用于小区的每个扇区。
基站114a和/或114b可以经由空中接口115/116/117来与一个或多个WTRU 102a、102b、102c和/或102d进行通信,该空中接口116可以是任意适当的无线通信链路(例如射频(RF)、微波、红外线(IR)、紫外线(UV)、可见光等等)。所述空中接口115/116/117可以使用任意适当的无线电接入技术(RAT)来建立。
更具体地说,如上所述,通信系统100可以是多址接入系统,并且可以采用一种或多种信道接入方案,例如CDMA、TDMA、FDMA、OFDMA、SC-FDMA等等。举例来说,RAN 103/104/105中的基站114a与WTRU 102a、102b、和/或102c可以实施诸如通用移动电信系统(UMTS)陆地无线电接入(UTRA)之类的无线电技术,并且该技术可以使用宽带CDMA(WCDMA)来建立空中接口115/116/117。WCDMA可以包括诸如高速分组接入(HSPA)和/或演进型HSPA(HSPA+)之类的通信协议。HSPA可以包括高速下行链路分组接入(HSDPA)和/或高速上行链路分组接入(HSUPA)。
在另一个实施方式中,基站114a与WTRU 102a、102b和/或102c可以实施演进型UMTS陆地无线电接入(E-UTRA)之类的无线电技术,该技术可以使用长期演进(LTE)和/或高级LTE(LTE-A)来建立空中接口115/116/117。
在另一实施方式中,基站114a和WTRU 102a、102b和/或102c可以实施无线电技术,该无线电技术诸如IEEE 802.16(全球微波接入互操作性(WiMAX))、CDMA2000、CDMA20001X、CDMA2000EV-DO、临时标准2000(IS-2000)、临时标准95(IS-95)、临时标准856(IS-856)、全球移动通信系统(GSM)、GSM增强数据速率演进(EDGE)、GSM EDGE(GERAN)等。
图11A中的基站114b可以是例如无线路由器、家庭节点B、家庭e节点B或接入点,并且可以使用任意适当的RAT来促成局部区域中的无线连接,例如营业场所、住宅、交通工具、校园等等。在一个实施方式中,基站114b与WTRU 102c、102d可以通过实施诸如IEEE 802.11之类的无线电技术来建立无线局域网(WLAN)。在另一个实施方式中,基站114b与WTRU102c、102d可以通过实施诸如IEEE 802.15之类的无线电技术来建立无线个域网(WPAN)。在再一个实施方式中,基站114b和WTRU 102c、102d可以通过使用基于蜂窝的RAT(例如WCDMA、CDMA2000、GSM、LTE、LTE-A等等)来建立微微小区或毫微微小区。如图1A所示,基站114b可以直接连接到因特网110。由此,基站114b未必需要经由核心网络106来接入因特网110。
RAN 103/104/105可以与核心网络106/107/109通信,所述核心网络106/107/109可以是被配置成向一个或多个WTRU 102a、102b、102c和/或102d提供语音、数据、应用和/或借助网际协议的语音(VoIP)服务的任意类型的网络。例如,核心网络106/107/109可以提供呼叫控制、记账服务、基于移动位置的服务、预付费呼叫、因特网连接、视频分发等等,和/或执行用户验证之类的高级安全功能。虽然在图1A中没有显示,但是应该了解,RAN 103/104/105和/或核心网络106/107/109可以直接或间接地和其他那些与RAN 103/104/105使用相同RAT或不同RAT的RAN进行通信。例如,除了与使用E-UTRA无线电技术的RAN 103/104/105连接之外,核心网络106/107/109还可以与别的使用GSM无线电技术的RAN(未显示)通信。
核心网络106/107/109还可以充当供WTRU 102a、102b、102c和/或102d接入PSTN108、因特网110和/或其他网络112的网关。PSTN 108可以包括提供简易老式电话服务(POTS)的电路交换电话网络。因特网110可以包括使用公共通信协议的全球性互联计算机网络设备系统,所述协议可以是如TCP/IP互连网协议族中的传输控制协议(TCP)、用户数据报协议(UDP)和网际协议(IP)。网络112可以包括由其他服务供应商拥有和/或运营的有线或无线通信网络。例如,网络112可以包括与一个或多个RAN相连的另一个核心网络,所述一个或多个RAN可以与RAN 103/104/105使用相同RAT或不同RAT。
通信系统100中一些或所有WTRU 102a、102b、102c和/或102d可以包括多模能力,例如,WTRU 102a、102b、102c和/或102d可以包括在不同无线链路上与不同无线网络通信的多个收发信机。例如,图1A所示的WTRU102c可以被配置成与使用基于小区的无线电技术的基站114a通信,以及与可以使用IEEE 802无线电技术的基站114b通信。
图11B描绘了在其中一个或多个示例或实施方式可以被实施(例如,其可以具有管理程序和/或可以使用看门狗定时器和/或于此描述的其它示例)的示例性WTRU 102的系统图示。如图11B所示,WTRU 102可以包括处理器118、收发信机120、发射/接收部件122、扬声器/麦克风124、键盘126、显示器/触摸板128、不可移除存储器130、可移除存储器132、电源134、全球定位系统(GPS)芯片组136以及其他外围设备138。应该了解的是,在保持符合实施方式的同时,WTRU 102还可以包括前述部件的任意子组合。而且,实施方式考虑了基站114a和114b、和/或基站114a和114b可以表示的节点可以包括图11B中描绘的及于此描述的某些或所有元件,其中,除了其它之外,节点诸如但不限于收发信台(BTS)、节点B、站点控制器、接入点(AP)、家庭节点B、演进型家庭节点B(e节点B)、家庭演进节点B(HeNB)、家庭演进节点B网关、及代理节点。
处理器118可以是通用处理器、专用处理器、常规处理器、数字信号处理器(DSP)、多个微处理器、与DSP核心关联的一个或多个微处理器、控制器、微控制器、专用集成电路(ASIC)、现场可编程门阵列(FPGA)电路、其他任意类型的集成电路(IC)、状态机等等。处理器118可以执行信号编码、数据处理、功率控制、输入/输出处理和/或其他任意能使WTRU102 在无线环境中工作的功能。处理器118可以耦合至收发信机120,收发信机120可以耦合至发射/接收部件122。虽然图11B将处理器118和收发信机120描述成是独立组件,但是应该了解,处理器118和收发信机120可以集成在一个电子封装或芯片中。
发射/接收部件122可以被配置成经由空中接口115/116/117来传送或接收去往或来自基站(例如基站114a)的信号。举个例子,在一个实施方式中,发射/接收部件122可以是被配置成传送和/或接收RF信号的天线。在另一个实施方式中,作为示例,发射/接收部件122可以是被配置成发射和/或接收IR、UV或可见光信号的发射器/检测器。在再一个实施方式中,发射/接收部件122可以被配置成发射和接收RF和光信号。应该了解的是,发射/接收部件122可以被配置成发射和/或接收无线信号的任意组合。
此外,虽然在图11B中将发射/接收部件122被描述成是单个部件,但是WTRU 102可以包括任意数量的发射/接收部件122。更具体地说,WTRU102可以使用MIMO技术。因此,在一个实施方式中,WTRU 102可以包括两个或更多个经由空中接口115/116/117来传送和接收无线电信号的发射/接收部件122(例如多个天线)。
收发信机120可以被配置成对发射/接收部件122将要传送的信号进行调制,以及对发射/接收部件122接收的信号进行解调。如上所述,WTRU 102可以具有多模能力。因此,收发信机120可以包括允许WTRU 102借助诸如UTRA和IEEE 802.11之类的多种RAT来进行通信的多个收发信机。
WTRU 102的处理器118可以耦合至扬声器/麦克风124、键盘126和/或显示器/触摸板128(例如液晶显示器(LCD)显示单元或有机发光二极管(OLED)显示单元),并且可以接收来自这些部件的用户输入数据。处理器118还可以向扬声器/麦克风124、键盘126和/或显示器/触摸板128输出用户数据。此外,处理器118可以从任意类型的适当的存储器、例如不可移除存储器130和/或可移除存储器132中访问信息,以及将信息存入这些存储器。所述不可移除存储器130可以包括随机存取存储器(RAM)、只读存储器(ROM)、硬盘或是其他任意类型的记忆存储设备。可移除存储器132可以包括订户身份模块(SIM)卡、记忆棒、安全数字(SD)记忆卡等等。在其他实施方式中,处理器118可以从那些并非实际位于WTRU 102的存储器访问信息,以及将数据存入这些存储器,其中举例来说,所述存储器可以位于服务器或家庭计算机(未显示)上。
处理器118可以接收来自电源134的电力,并且可以被配置分发和/或控制用于WTRU 102中的其他组件的电力。电源134可以是为WTRU 102供电的任意适当的设备。举例来说,电源134可以包括一个或多个干电池组(如镍镉(Ni-Cd)、镍锌(Ni-Zn)、镍氢(NiMH)、锂离子(Li-ion)等等)、太阳能电池、燃料电池等等。
处理器118还可以与GPS芯片组136耦合,该芯片组可以被配置成提供与WTRU 102的当前位置相关的位置信息(例如经度和纬度)。作为来自GPS芯片组136的信息的补充或替换,WTRU 102可以经由空中接口115/116接收来自基站(例如基站114a、114b)的位置信息,和/或根据从两个或多个附近基站接收的信号定时来确定其位置。应该了解的是,在保持符合实施方式的同时,WTRU 102可以借助任意适当的定位方法来获取位置信息。
处理器118还可以耦合到其他外围设备138,这其中可以包括提供附加特征、功能和/或有线或无线连接的一个或多个软件和/或硬件模块。例如,外围设备138可以包括加速度计、电子指南针、卫星收发信机、数码相机(用于照片和视频)、通用串行总线(USB)端口、振动设备、电视收发信机、免提耳机、模块、调频(FM)无线电单元、数字音乐播放器、媒体播放器、视频游戏机模块、因特网浏览器等等。
图11C描绘了根据实施方式的RAN 103和核心网络106的系统图示。如上所述,RAN103可以使用UTRA无线电技术并经由空中接口115来与WTRU 102a、102b和/或102c进行通信。RAN 103还可以与核心网络106通信。如图11C所示,RAN 103可以包括节点B 140a、140b和/或140c,节点B 140a、140b、140c都可以包括经由空中接口115与WTRU 102a、102b和/或102c通信的一个或多个收发信机。节点B 140a、140b和/或140c中的每一个都可以与RAN103中的特定小区相关联。RAN 103还可以包括RNC142a和/或142b。应该理解的是,在保持符合实施方式的同时,RAN 103可以包括任何数量的节点B和RNC。
如图11C所示,节点B 140a和/或140b可以与RNC 142a进行通信。此外,节点B 140c可以与RNC 142b进行通信。节点B 140a、140b和/或140c可以经由Iub接口来与相应的RNC142a、142b进行通信。RNC 142a、142b可以经由Iur接口彼此通信。每一个RNC 142a、142b都可以被配置成控制与之相连的相应节点B 140a、140b和/或140c。另外,每一个RNC 142a、142b可被配置成执行或支持其他功能,例如外环功率控制、负载控制、准入控制、分组调度、切换控制、宏分集、安全功能、数据加密等等。
图11C所示的核心网络106可以包括媒体网关(MGW)144、移动交换中心(MSC)146、服务GPRS支持节点(SGSN)148、和/或网关GPRS支持节点(GGSN)150。虽然前述每个部件都被描述成是核心网络106的一部分,但是应该了解,核心网络运营商之外的其他实体也可以拥有和/或运营这其中的任一部件。
RAN 103中的RNC 142a可以经由IuCS接口连接到核心网络106中的MSC 146。MSC146可以连接到MGW 144。MSC 146和MGW 144可以为WTRU 102a、102b和/或102c提供针对PSTN 108之类的电路交换网络的接入,以便促成WTRU 102a、102b和/或102c与传统陆线通信设备间的通信。
RAN 103中的RNC 142a还可以经由IuPS接口连接到核心网络106中的SGSN 148。所述SGSN 148可以连接到GGSN 150。SGSN 148和GGSN 150可以为WTRU 102a、102b和/或102c提供针对因特网110之类的分组交换网络的接入,以便促成WTRU 102a、102b和/或102c与启用IP的设备之间的通信。
如上所述,核心网络106还可以连接到网络112,该网络可以包括其他服务供应商拥有和/或运营的其他有线或无线网络。
图11D描绘了根据实施方式的RAN 104以及核心网络107的系统图示。如上所述,RAN 104可以使用E-UTRA无线电技术并经由空中接口116来与WTRU 102a、102b和/或102c进行通信。RAN 104还可以与核心网络107通信。
RAN 104可以包括e节点B 160a、160b和/或160c,但是应该了解,在保持与实施方式相符的同时,RAN 104可以包括任意数量的e节点B。每一个e节点B 160a、160b和/或160c可以包括一个或多个收发信机,以便经由空中接口116来与WTRU 102a、102b、102c通信。在一个实施方式中,e节点B 160a、160b和/或160c可以实施MIMO技术。由此,举例来说,e节点B160a可以使用多个天线来向WTRU 102a发射无线信号,以及接收来自WTRU 102a的无线信号。
每一个e节点B 160a、160b和/或160c可以关联于特定小区(未显示),并且可以被配置成处理无线电资源管理决策、切换决策、上行链路和/或下行链路中的用户调度等等。如图11D所示,e节点B 160a、160b和/或160c可以经由X2接口彼此通信。
图11D所示的核心网络107可以包括移动性管理网关(MME)162、服务网关164以及分组数据网络(PDN)网关166。虽然上述每一个部件都被描述成是核心网络107的一部分,但是应该了解,核心网络运营商之外的其他实体同样可以拥有和/或运营这其中的任一部件。
MME 162可以经由S1接口来与RAN 104中的每一个e节点B 160a、160b和/或160c相连,并且可以充当控制节点。例如,MME 162可以负责认证WTRU 102a、102b、102c的用户,激活/去激活承载,在WTRU 102a、102b和/或102c的初始附加过程中选择特定服务网关等等。所述MME 162还可以提供控制平面功能,以便在RAN 104与使用了GSM或WCDMA之类的其他无线电技术的其他RAN(未显示)之间执行切换。
服务网关164可以经由S1接口连接到RAN 104中的每一个e节点B160a、160b和/或160c。该服务网关164通常可以路由和转发去往/来自WTRU102a、102b和/或102c的用户数据分组。此外,服务网关164还可以执行其他功能,例如在e节点B间的切换过程中锚定用户面,在下行链路数据可供WTRU 102a、102b和/或102c使用时触发寻呼,管理和存储WTRU 102a、102b和/或102c的上下文等等。
服务网关164还可以连接到PDN网关166,可以为WTRU 102a、102b和/或102c提供针对诸如因特网110之类的分组交换网络的接入,以便促成WTRU 102a、102b和/或102c与启用IP的设备之间的通信。
核心网络107可以促成与其他网络的通信。例如,核心网络107可以为WTRU 102a、102b和/或102c提供针对PSTN 108之类的电路交换网络的接入,以便促成WTRU 102a、102b和/或102c与传统陆线通信设备之间的通信。作为示例,核心网络107可以包括IP网关(例如IP多媒体子系统(IMS)服务器)或与之通信,其中所述IP网关充当了核心网络107与PSTN108之间的接口。此外,核心网络107可以为WTRU 102a、102b、102c提供针对网络112的接入,其中该网络可以包括其他服务供应商拥有和/或运营的其他有线或无线网络。
图11E是根据一实施方式的RAN 105和核心网络109的系统图示。RAN105可以是通过使用IEEE 802.16无线电技术而在空中接口116上与WTRU 102a、102b和/或102c通信的接入服务网络(ASN)。如以下进一步论述的那样,WTRU 102a、102b和/或102c,RAN 105以及核心网络109的不同功能实体之间的通信链路可被定义成参考点。
如图11E所示,RAN 105可以包括基站180a、180b和/或180c以及ASN网关182,但是应该了解,在保持与实施方式相符的同时,RAN 105可以包括任意数量的基站及ASN网关。每一个基站180a、180b和/或180c可以关联于RAN 104中的特定小区(未显示),并且每个基站可以包括一个或多个收发信机,以便经由空中接口117来与WTRU 102a、102b和/或102c进行通信。在一个实施方式中,基站180a、180b和/或180c可以实施MIMO技术。由此,举例来说,基站180a可以使用多个天线来向WTRU 102a发射无线信号,以及接收来自WTRU 102a的无线信号。基站180a、180b和/或180c还可以提供移动性管理功能,例如切换触发、隧道建立、无线电资源管理、业务分类、服务质量(QoS)策略实施等等。ASN网关142可以充当业务量聚集点,并且可以负责寻呼、订户简档缓存、针对核心网络106的路由等等。
WTRU 102a、102b和/或102c与RAN 104之间的空中接口117可被定义成是实施IEEE802.16规范的R1参考点。另外,每一个WTRU 102a、102b和/或102c可以与核心网络109建立逻辑接口(未显示)。WTRU 102a、102b和/或102c与核心网络109之间的逻辑接口可被定义成R2参考点,该参考点可以用于认证、授权、IP主机配置管理和/或移动性管理。
每一个基站180a、180b、和/或180c之间的通信链路可被定义成R8参考点,该参考点包含了用于促成WTRU切换以及基站之间的数据传送的协议。基站180a、180b、和/或180c与ASN网关142之间的通信链路可被定义成R6参考点。所述R6参考点可以包括用于促成基于与每一个WTRU 102a、102b、和/或102c相关联的移动性事件的移动性管理。
如图11E所示,RAN 105可以连接到核心网络109。RAN 105与核心网络109之间的通信链路可以被定义成R3参考点,作为示例,该参考点包含了用于促成数据传送和移动性管理能力的协议。核心网络109可以包括移动IP本地代理(MIP-HA)184、认证、授权、记账(AAA)服务器146以及网关148。虽然前述每个部件都被描述成是核心网络109的一部分,但是应该了解,核心网络运营商以外的实体也可以拥有和/或运营这其中的任一部件。
MIP-HA可以负责IP地址管理,并且可以允许WTRU 102a、102b、102c在不同的ASN和/或不同的核心网络之间漫游。MIP-HA 184可以为WTRU102a、102b、和/或102c提供针对因特网110之类的分组交换网络的接入,以便促成WTRU 102a、102b、和/或102c与启用IP的设备之间的通信。AAA服务器186可以负责用户认证以及支持用户服务。网关188可以促成与其他网络的互通。例如,网关188可以为WTRU 102a、102b、和/或102c提供对于PSTN 108之类的电路交换网络的接入,以便促成WTRU 102a、102b、和/或102c与传统陆线通信设备之间的通信。另外,网关188可以为WTRU 102a、102b、和/或102c提供针对网络112的接入,其中该网络可以包括其他服务供应商拥有和/或运营的其他有线或无线网络。
虽然在图11E中没有显示,但是应该了解,RAN 105可以连接到其他ASN,并且核心网络109可以连接到其他核心网络。RAN 105与其他ASN之间的通信链路可被定义成R4参考点,该参考点可以包括用于协调WTRU102a、102b、和/或102c在RAN 105与其他ASN之间的移动的协议。核心网络109与其他核心网络之间的通信链路可以被定义成R5参考点,该参考点可以包括用于促成归属核心网络与被访核心网络之间互通的协议。
虽然于此可以使用术语设备、UE或WTRU,但是可以及应该理解的是,这些术语的使用可以被交换地使用,并且如此可以不进行区别。
而且,尽管上述按照特殊组合描述了特征和元素,但是本领域技术人员将理解的是每个特征或元素可以被单独使用或以与其它特征和元素的任何组合来使用。此外,于此描述的方法可以在嵌入在计算机可读媒介中由计算机或处理器执行的算机程序、软件或固件中实施。计算机可读媒介的示例包括电子信号(通过有线或无线连接传送)和计算机可读存储媒介。计算机可读媒介的示例包括但不限于只读存储器(ROM)、随机存取存储器(RAM)、寄存器、缓冲存储器、半导体存储设备、内部硬盘盒可移除磁盘之类的磁介质、磁光介质、以及CD-ROM碟片和数字多用途碟片(DVD)之类的光媒介。与软件相关联的处理器可以用于实施在WTRU、UE、终端、基站、RNC或任意主计算机中使用的射频收发信机。
Claims (34)
1.一种使用设备上的设备管理代理DMAG来执行设备恢复的方法,所述DMAG处于被管理程序保护的安全执行环境中,和/或所述DMAG使用设备上具有完全网络堆栈的微型操作系统,所述方法包括:
确定所述设备上应用或操作系统中至少一者是否未处于正常服务状态;
当确定所述设备未处于正常服务状态时接收所述设备的控制;
基于所述应用或操作系统中的至少一者未处于正常服务状态来发起与设备管理服务器DMS的安全会话,如此使得所述DMS被配置成确定所述设备是否具有潜在的软件问题;
基于所述设备具有所述潜在软件问题来设置恢复或升级会话;以及
基于所述设备具有所述潜在软件问题来执行所述操作系统或所述应用中的至少一者的软件镜像的刷新。
2.根据权利要求1所述的方法,该方法进一步包括实行执行重新启动请求命令,如此使得所述设备响应于所述恢复或升级会话以及所述刷新而被重新启动。
3.根据权利要求1所述的方法,该方法进一步包括:
核查所述设备上管理程序、所述设备上微型操作系统和所述设备上的所述DMAG的完整性。
4.根据权利要求3所述的方法,其中在所述恢复或升级会话和刷新之后核查所述完整性。
5.根据权利要求3所述的方法,其中所述完整性被配置成使用安全启动过程和/或安全启动代码来核查。
6.根据权利要求1所述的方法,其中所述软件镜像包括以下项中的至少一者:新的软件镜像或备份软件镜像。
7.根据权利要求1所述的方法,该方法进一步包括从所述DMS接收诊断命令集合以确定所述应用和/或操作系统是否处于所述正常服务状态。
8.根据权利要求1所述的方法,该方法进一步包括:
发送和/或接收所述应用和/或操作系统未处于所述正常服务状态的故障通知;以及
使用所述DMS登记和/或存储所述故障通知。
9.根据权利要求1所述的方法,其中所述设备的控制被配置成响应于看门狗定时器的超期或期满而被接收。
10.根据权利要求1所述的方法,其中所述设备的控制被配置成经由所述设备和/或所述管理程序的切换而被接收。
11.根据权利要求10所述的方法,其中所述切换从看门狗定时器复位发生,如此使得所述管理程序和/或所述设备被配置成使用所述看门狗定时器来推动对所述DMAG的所述控制。
12.根据权利要求11所述的方法,其中所述设备上未处于正常服务状态的所述应用和/或所述操作系统被配置成基于从所述看门狗定时器复位发生的所述切换而被确定或检测。
13.根据权利要求1所述的方法,该方法进一步包括发起指向受限数量的受信任外部管理实体的外部网络请求。
14.根据权利要求13所述的方法,其中所述受限数量的受信任外部管理实体包括所述DMS。
15.根据权利要求1所述的方法,该方法进一步包括拒绝外部网络请求。
16.根据权利要求15所述的方法,其中所述外部网络请求被拒绝以使所述DMAG免受基于网络的攻击。
17.根据权利要求1所述的方法,其中发起所述安全会话包括建立安全信道。
18.一种使用设备上设备管理代理DMAG来执行设备恢复的设备,所述DMAG处于被管理程序保护的安全执行环境中,和/或所述DMAG使用设备上具有完全网络堆栈的微型操作系统,所述设备至少部分被配置成:
确定所述设备上应用或操作系统中至少一者是否未处于正常服务状态;
当确定所述设备未处于所述正常服务状态时接收所述设备的控制;
基于所述应用或操作系统中的至少一者未处于所述正常服务状态来发起与设备管理服务器DMS的安全会话,如此使得所述DMS被配置成确定所述设备是否具有潜在的软件问题;
基于所述设备具有所述潜在软件问题来设置恢复或升级会话;以及
基于所述设备具有所述潜在软件问题来执行所述操作系统或所述应用中的至少一者的软件镜像的刷新。
19.根据权利要求18所述的设备,其中所述设备进一步被配置成实行重新启动请求命令,如此使得所述设备响应于所述恢复或升级会话和所述刷新而被重新启动。
20.根据权利要求18所述的方法,其中所述设备进一步被配置成:
核查所述设备上管理程序、所述设备上微型操作系统、及所述设备上所述DMAG的完整性。
21.根据权利要求20所述的设备,其中在所述恢复或升级恢复和刷新之后核查所述完整性。
22.根据权利要求20所述的设备,其中所述完整性被配置成使用安全启动过程和/或安全启动代码而被核查。
23.根据权利要求18所述的设备,其中所述软件镜像包括以下项中的至少一者:新的软件镜像或备份软件镜像。
24.根据权利要求18所述的设备,其中所述设备进一步被配置成从DMS接收诊断命令集合以确定所述应用和/或操作系统是否处于所述正常服务状态。
25.根据权利要求18所述的设备,其中所述设备进一步被配置成:
发送和接收所述应用和/或操作系统未处于所述正常服务状态的故障通知;以及
使用所述DMS登记和存储所述故障通知。
26.根据权利要求18所述的设备,其中所述设备的控制被配置成响应于看门狗定时器的超时或期满而被接收。
27.根据权利要求18所述的设备,其中所述设备的控制被配置成经由所述设备和/或所述管理程序的切换而被接收。
28.根据权利要求27所述的设备,其中所述切换从看门狗定时器复位发生,如此使得所述管理程序和/或所述设备被配置成使用所述看门狗定时器来推动对所述DMAG的所述控制。
29.根据权利要求27所述的设备,其中所述设备上未处于所述正常服务状态的所述应用和/或所述操作系统被配置成基于从所述看门狗复位发生的所述切换而被确定或检测。
30.根据权利要求18所述的设备,其中所述设备进一步被配置成发起指向受限数量的受信任的外部管理实体的外部网络请求。
31.根据权利要求30所述的设备,其中所述受限数量的受信任的外部管理实体包括所述DMS。
32.根据权利要求18所述的设备,其中所述设备进一步被配置成拒绝外部网络请求。
33.根据权利要求32所述的方法,其中所述外部网络请求被拒绝以使所述DMAG免受基于网络的攻击。
34.根据权利要求18所述的方法,其中发起所述安全会话包括建立安全信道。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201462023774P | 2014-07-11 | 2014-07-11 | |
| US62/023,774 | 2014-07-11 | ||
| PCT/US2015/039965 WO2016007868A1 (en) | 2014-07-11 | 2015-07-10 | Systems and methods for virtualization based secure device |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106687976A true CN106687976A (zh) | 2017-05-17 |
Family
ID=53776960
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580046531.7A Pending CN106687976A (zh) | 2014-07-11 | 2015-07-10 | 基于虚拟化的安全设备恢复的系统和方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20170139777A1 (zh) |
| EP (1) | EP3189461A1 (zh) |
| KR (1) | KR101931455B1 (zh) |
| CN (1) | CN106687976A (zh) |
| WO (1) | WO2016007868A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109391656A (zh) * | 2017-08-09 | 2019-02-26 | 中兴通讯股份有限公司 | 一种设备管理会话的恢复方法、装置、客户端及服务器 |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10584681B2 (en) * | 2014-12-19 | 2020-03-10 | Micro Focus Llc | Automative system management |
| US10546131B2 (en) * | 2015-10-22 | 2020-01-28 | Mcafee, Llc | End-point visibility |
| US20190104415A1 (en) * | 2016-04-01 | 2019-04-04 | Pcms Holdings, Inc. | Internet of things software security configuration |
| JP6585019B2 (ja) | 2016-09-13 | 2019-10-02 | 株式会社東芝 | ネットワーク監視装置、ネットワークシステムおよびプログラム |
| CN108062261B (zh) * | 2016-11-09 | 2021-11-19 | 中标软件有限公司 | 一种Linux桌面操作系统的备份还原的方法 |
| US10402273B2 (en) | 2016-12-14 | 2019-09-03 | Microsoft Technology Licensing, Llc | IoT device update failure recovery |
| US10416991B2 (en) * | 2016-12-14 | 2019-09-17 | Microsoft Technology Licensing, Llc | Secure IoT device update |
| US10997296B2 (en) * | 2017-03-22 | 2021-05-04 | Oracle International Corporation | System and method for restoration of a trusted system firmware state |
| EP3454245A1 (en) | 2017-09-12 | 2019-03-13 | Gemalto Sa | A first communication device configured to communicate using a short range wireless interface with a second communication device for unlocking a boot sequence |
| US11575688B2 (en) * | 2018-05-02 | 2023-02-07 | Sri International | Method of malware characterization and prediction |
| WO2020121051A1 (en) * | 2018-12-15 | 2020-06-18 | Pratik Sharma | Resetting virtual machine with data verification for robust recovery |
| CN111367185B (zh) * | 2018-12-26 | 2024-08-09 | 博西华电器(江苏)有限公司 | 家电控制系统、家电控制方法、存储介质及家电 |
| US11625505B2 (en) * | 2019-08-19 | 2023-04-11 | Microsoft Technology Licensing, Llc | Processor with network stack domain and system domain using separate memory regions |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040153823A1 (en) * | 2003-01-17 | 2004-08-05 | Zubair Ansari | System and method for active diagnosis and self healing of software systems |
| US20100202617A1 (en) * | 2009-02-06 | 2010-08-12 | Dell Products, L.P. | System and Method for Recovery Key Management |
| US20120054540A1 (en) * | 2010-08-25 | 2012-03-01 | Smartsynch, Inc. | System and method for automated unattended recovery for remotely deployed intelligent communication devices |
| WO2013046068A1 (en) * | 2011-09-30 | 2013-04-04 | International Business Machines Corporation | Provisioning of operating systems to user terminals |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8151176B2 (en) * | 2008-11-13 | 2012-04-03 | Lsi Corporation | CPU instruction RAM parity error procedure |
| US8397229B2 (en) * | 2009-01-25 | 2013-03-12 | Netspectrum Inc. | System and methods for migrating independently executing program into and out of an operating system |
| BR112013027073B1 (pt) * | 2011-04-21 | 2021-02-02 | Hewlett-Packard Delopment Company, L.P. | dispositivo de computação, método para fornecer um bios virtual para uma máquina virtual e mídia legível por computador |
| JP5718525B2 (ja) * | 2011-08-15 | 2015-05-13 | エンパイア テクノロジー ディベロップメント エルエルシー | マルチモーダルコンピューティングデバイス |
| US9971617B2 (en) * | 2013-03-15 | 2018-05-15 | Ampere Computing Llc | Virtual appliance on a chip |
| US9940148B1 (en) * | 2013-08-05 | 2018-04-10 | Amazon Technologies, Inc. | In-place hypervisor updates |
| US20150106660A1 (en) * | 2013-10-16 | 2015-04-16 | Lenovo (Singapore) Pte. Ltd. | Controller access to host memory |
-
2015
- 2015-07-10 US US15/325,545 patent/US20170139777A1/en not_active Abandoned
- 2015-07-10 WO PCT/US2015/039965 patent/WO2016007868A1/en active Application Filing
- 2015-07-10 CN CN201580046531.7A patent/CN106687976A/zh active Pending
- 2015-07-10 KR KR1020177003771A patent/KR101931455B1/ko active IP Right Grant
- 2015-07-10 EP EP15745636.9A patent/EP3189461A1/en not_active Withdrawn
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040153823A1 (en) * | 2003-01-17 | 2004-08-05 | Zubair Ansari | System and method for active diagnosis and self healing of software systems |
| US20100202617A1 (en) * | 2009-02-06 | 2010-08-12 | Dell Products, L.P. | System and Method for Recovery Key Management |
| US20120054540A1 (en) * | 2010-08-25 | 2012-03-01 | Smartsynch, Inc. | System and method for automated unattended recovery for remotely deployed intelligent communication devices |
| WO2013046068A1 (en) * | 2011-09-30 | 2013-04-04 | International Business Machines Corporation | Provisioning of operating systems to user terminals |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109391656A (zh) * | 2017-08-09 | 2019-02-26 | 中兴通讯股份有限公司 | 一种设备管理会话的恢复方法、装置、客户端及服务器 |
| CN109391656B (zh) * | 2017-08-09 | 2021-10-08 | 中兴通讯股份有限公司 | 一种设备管理会话的恢复方法、装置、客户端及服务器 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20170029001A (ko) | 2017-03-14 |
| KR101931455B1 (ko) | 2018-12-20 |
| EP3189461A1 (en) | 2017-07-12 |
| WO2016007868A1 (en) | 2016-01-14 |
| US20170139777A1 (en) | 2017-05-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106687976A (zh) | 基于虚拟化的安全设备恢复的系统和方法 | |
| US11653201B2 (en) | Drop-in probe that facilitates management and configuration of internet of things network connected devices | |
| US11490453B2 (en) | Self-organizing device | |
| CN105916133B (zh) | 管理移动设备内集成组件的固件更新的方法、设备和介质 | |
| US10404664B2 (en) | Apparatus and methods for increasing security at edge nodes | |
| US10701098B2 (en) | Mobile risk assessment | |
| US8621551B2 (en) | Safety and management of computing environments that may support unsafe components | |
| US10348755B1 (en) | Systems and methods for detecting network security deficiencies on endpoint devices | |
| US20170364685A1 (en) | Providing security to computing systems | |
| US10419900B2 (en) | Method and apparatus for managing application terminal remotely in wireless communication system | |
| US20190104415A1 (en) | Internet of things software security configuration | |
| US9747442B2 (en) | Preventing malicious instruction execution | |
| US11683218B2 (en) | Compromised network node detection system | |
| US20050216957A1 (en) | Method and apparatus for protecting a remediated computer network from entry of a vulnerable computer system thereinto | |
| JP2022179702A (ja) | rootレベルアクセス攻撃を防止する方法および測定可能なSLAセキュリティおよびコンプライアンスプラットフォーム | |
| US9918185B2 (en) | Machine to machine privacy protection | |
| CN113302962A (zh) | 无线装置的无线电接入能力 | |
| US20110191852A1 (en) | Method to perform a security assessment on a clone of a virtual system | |
| US20220385526A1 (en) | Facilitating localization of faults in core, edge, and access networks | |
| Zhao et al. | Proactive recovery approach for intrusion tolerance with dynamic configuration of physical and virtual replicas | |
| US11900127B2 (en) | Automated recovery of far edge computing infrastructure in a 5G network | |
| US11809562B1 (en) | Operating system kernel analysis to detect a cyber attack |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| AD01 | Patent right deemed abandoned |
Effective date of abandoning: 20210312 |
|
| AD01 | Patent right deemed abandoned |