CN108476213A - 用以检测并丢弃在无线装置上以空中方式接收的潜在危险的有效负载的装置 - Google Patents
用以检测并丢弃在无线装置上以空中方式接收的潜在危险的有效负载的装置 Download PDFInfo
- Publication number
- CN108476213A CN108476213A CN201680078005.3A CN201680078005A CN108476213A CN 108476213 A CN108476213 A CN 108476213A CN 201680078005 A CN201680078005 A CN 201680078005A CN 108476213 A CN108476213 A CN 108476213A
- Authority
- CN
- China
- Prior art keywords
- ota
- layer
- filter rule
- protocol stacks
- payload
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 claims abstract description 37
- 238000003860 storage Methods 0.000 claims description 22
- 238000004891 communication Methods 0.000 claims description 15
- 238000009434 installation Methods 0.000 claims description 15
- 238000001914 filtration Methods 0.000 claims description 13
- 238000010295 mobile communication Methods 0.000 claims description 8
- 230000007774 longterm Effects 0.000 claims description 5
- 238000004519 manufacturing process Methods 0.000 claims description 5
- 230000006870 function Effects 0.000 description 10
- 238000012545 processing Methods 0.000 description 10
- 230000008569 process Effects 0.000 description 6
- 230000009471 action Effects 0.000 description 5
- 230000001413 cellular effect Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- KLDZYURQCUYZBL-UHFFFAOYSA-N 2-[3-[(2-hydroxyphenyl)methylideneamino]propyliminomethyl]phenol Chemical compound OC1=CC=CC=C1C=NCCCN=CC1=CC=CC=C1O KLDZYURQCUYZBL-UHFFFAOYSA-N 0.000 description 1
- 241000256844 Apis mellifera Species 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 201000001098 delayed sleep phase syndrome Diseases 0.000 description 1
- 208000033921 delayed sleep phase type circadian rhythm sleep disease Diseases 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 239000011521 glass Substances 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000005389 magnetism Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000008707 rearrangement Effects 0.000 description 1
- 230000006798 recombination Effects 0.000 description 1
- 238000005215 recombination Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
- 230000008054 signal transmission Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明的方面涉及一种用于安装一或多个滤波规则的方法,其包括:接收所述滤波规则;和将所述滤波规则安装到移动网络调制解调器中,其中每一滤波规则能够与空中OTA协议栈的层相关联并且规定有效负载的类型和针对所述有效负载的一或多个条件。
Description
相关申请案的交叉引用
本申请案主张2016年1月22日提交的标题为“用以检测并丢弃在无线装置上以空中方式接收的潜在危险的有效负载的装置(DEVICE TO DETECT AND DROP POTENTIALLYDANGEROUS PAYLOADS RECEIVED OVER-THE-AIR ON WIRELESS DEVICES)”的美国专利申请案第15/004,844号的优先权益,所述美国专利申请案以引用的方式并入本文中。
技术领域
本文中所揭示的标的物大体上涉及电子装置,且特定来说,涉及用于对移动网络调制解调器中的空中有效负载进行滤波的设备、系统和方法。
背景技术
具有移动网络接入(例如,对全球移动通信系统“GSM”网络、码分多址接入“CDMA”网络、通用移动电信系统“UMTS”网络、CDMA2000网络或长期演进“LTE”网络等等的接入)的无线装置易受针对空中(OTA)协议栈的攻击。恶意OTA有效负载如果被移动网络调制解调器接收并进行处理,则可能利用OTA协议栈(协议栈可为GSM协议栈、CDMA协议栈、UMTS协议栈、CDMA2000协议栈、LTE协议栈等)的弱点,且因此可在移动网络调制解调器中或包括移动网络调制解调器的无线装置中致使合法操作者/用户不想要的行为。已知移动网络调制解调器可提供全OTA协议栈的实施方案,且可能能够解析传入OTA有效负载并可将其拆分成协议栈的不同层处的有效负载。
然而,归因于移动网络标准的不同解读和实施,OTA有效负载也有可能在无任何恶意意图的情况下致使移动网络调制解调器和/或包括移动网络调制解调器的无线装置的不稳定性和/或防止正常起作用。
发明内容
本发明方面涉及一种用于安装一或多个滤波规则的方法,其包括:接收所述滤波规则;和将所述滤波规则安装到移动网络调制解调器中,其中每一滤波规则可与空中(OTA)协议栈的层相关联并且规定有效负载的类型和针对所述有效负载的一或多个条件。
本发明的另一方面涉及一种装置,其包括:移动网络调制解调器;存储器;和处理器,其耦合到所述存储器,所述处理器用以:接收一或多个滤波规则,和将所述滤波规则安装到所述移动网络调制解调器中,其中每一滤波规则可与空中(OTA)协议栈的层相关联并且规定有效负载的类型和针对所述有效负载的一或多个条件。
本发明的又一方面涉及一种用于安装一或多个滤波规则的设备,其包括:用于接收所述滤波规则的装置;和用于将所述滤波规则安装到移动网络调制解调器中的装置,其中每一滤波规则可与空中(OTA)协议栈的层相关联并且规定有效负载的类型和针对所述有效负载的一或多个条件。
本发明的又一方面涉及一种包括代码的非暂时性计算机可读媒体,所述代码在由处理器执行时致使所述处理器执行一种方法,所述方法包括:接收一或多个滤波规则;和将所述滤波规则安装到移动网络调制解调器中,其中每一滤波规则可与空中(OTA)协议栈的层相关联并且规定有效负载的类型和针对所述有效负载的一或多个条件。
附图说明
图1是说明其中可实践本发明的实施例的示范性装置的框图。
图2是说明根据本发明的实施例可使用的实例组件的框图。
图3是说明包括LTE OTA协议栈的实例协议架构的图式。
图4是说明实例滤波规则的图式。
图5是说明用于将滤波规则安装到移动网络调制解调器中的实例方法的流程图。
图6是说明用于对传入的OTA有效负载进行滤波的实例方法的流程图。
具体实施方式
在以下针对本发明的具体实施例的描述和相关图式中揭示本发明的方面。可在不脱离本发明的范围的情况下设计替代性实施例。另外,将不会详细描述本发明的众所周知的元件,或将省略所述元件,以免混淆本发明的相关细节。
词语“示范性”在本文中用于意指“充当实例、例子或说明”。在本文中被描述为“示范性”的任何实施例未必被理解为比其它实施例优选或有利。同样,术语“实施例”并不要求所有实施例均包含所论述特征、优势或操作模式。
本文中所使用的术语仅仅是为了描述特定实施例的目的,且并不希望限制本发明的实施例。如本文中所使用,除非上下文另外清楚地指示,否则单数形式“一”和“所述”希望还包括复数形式。将进一步理解,术语“包括”和/或“包含”在本文中使用时指定所陈述的特征、整数、步骤、操作、元件和/或组件的存在,但并不排除一或多个其它特征、整数、步骤、操作、元件、组件和/或其群组的存在或添加。
此外,在将由例如计算装置(例如,服务器或装置)的元件执行的动作序列方面描述许多实施例。将认识到,本文中所描述的各种动作可由特定电路(例如,专用集成电路)执行、由正由一或多个处理器执行的程序指令执行或由两者的组合执行。另外,可认为本文中所描述的这些动作序列完全体现于任何形式的计算机可读存储媒体内,所述计算机可读存储媒体中存储有一组对应的计算机指令,所述计算机指令在被执行时将致使相关联的处理器执行本文中所描述的功能性。因此,本发明的各种方面可以多种不同形式来实施,所述形式全都已经考虑在所主张的标的物的范围内。另外,对于本文中所描述的实施例中的每一个来说,任何此类实施例的对应形式可在本文中被描述为(例如)“被配置成执行所描述的动作的逻辑”。
图1是说明其中可实践本发明的实施例的示范性装置100的框图。装置100可包含一或多个处理器101、存储器105、I/O控制器125和网络接口110。装置100还可包含耦合到一或多个总线或信号线的数个装置传感器,所述总线或信号线进一步耦合到处理器101。应了解,装置100还可包含显示器120、用户接口(例如,键盘、触摸屏或类似装置)、电源装置121(例如,电池),以及通常与电子装置相关联的其它组件。在一些实施例中,装置100可为移动或非移动装置。本文中可互换地使用“处理器”和“数据处理单元”。
装置(例如,装置100)可包含传感器,例如环境光传感器(ALS)135、加速计140、陀螺仪145、磁力计150、温度传感器151、气压传感器155、红色-绿色-蓝色(RGB)色彩传感器152、紫外(UV)传感器153、UV-A传感器、UV-B传感器、指南针、接近度传感器167、近场通信(NFC)169和/或全球定位系统(GPS)传感器160。在一些实施例中,多个摄像机集成到装置或可接入装置。举例来说,移动装置可具有至少一前部和后部安装的相机。在一些实施例中,其它传感器也可具有多个安装或版本。
存储器105可耦合到处理器101以存储指令供处理器101执行。在一些实施例中,存储器105为非暂时性的。存储器105还可存储一或多个模型或模块以实施下文描述的实施例。存储器105还可存储来自整合的或外部的传感器的数据。
网络接口110也可耦合到数个无线子系统115(例如,蓝牙166、Wi-Fi 111、蜂窝161或其它网络)以发射和接收穿过无线链路来往于无线网络的数据流,或可为用于直接连接到网络(例如,因特网、以太网或其它有线或无线系统)的有线接口。移动装置可包含连接到一或多个天线的一或多个局域网收发器。局域网收发器包括适当的装置、硬件和/或软件,以用于与无线AP通信和/或检测去往无线AP/来自无线AP的信号通信,和/或与网络内的其它无线装置直接通信。在一个方面,局域网收发器可包括适合于与一或多个无线接入点通信的Wi-Fi(802.11x)通信系统。
装置100还可包含可连接到一或多个天线的一或多个广域网收发器。广域网收发器包括用于与网络内的其它无线装置通信和/或检测来往于所述其它无线装置的信号的合适装置、硬件和/或软件。在一个方面中,广域网收发器可包括适合与无线基站的CDMA网络通信的CDMA通信系统;然而,在其它方面中,无线通信系统可包括另一类型的蜂窝电话网络或毫微微小区,例如TDMA、LTE、高级LTE、WCDMA、UMTS、4G、5G或GSM。另外,可使用任何其它类型的无线连网技术,例如WiMAX(802.16)、超宽带、紫蜂(ZigBee)、无线USB等。
因此,装置100可为:移动装置、无线装置、蜂窝电话、个人数字助理、移动计算机、可穿戴装置(例如,头戴式显示器、虚拟现实眼镜等)、机器人导航系统、平板计算机、个人计算机、手提式计算机或具有处理能力的任何类型的装置。如本文中所使用,移动装置可为可配置以获取从一或多个无线通信装置或网络发射的无线信号以及将无线信号发射到一或多个无线通信装置或网络的任何便携式或可移动装置或机器。因此,借助实例但非限制,装置100可包含无线电装置、蜂窝式电话装置、计算装置、个人通信系统装置,或其它相似的配备可移动无线通信的装置、器具或机器。上述各者的任何可操作组合也视为“移动装置”。
移动装置可以使用RF信号(例如,2.4GHz、3.6GHz和4.9/5.0GHz带)和用于调制RF信号和交换信息分组的标准化协议(例如,IEEE 802.11x)与多个无线AP无线地通信。
应了解,如下文将描述的本发明的实施例可通过装置的处理器101和/或装置的其它电路和/或其它装置经由执行例如存储在存储器105或其它元件中的指令而实施。特定地,装置的电路,包含但不限于处理器101,可在程序、例程的控制下或在用以执行根据本发明的实施例的方法或过程的指令的执行下操作。举例来说,此类程序可实施于固件或软件中(例如存储在存储器105和/或其它位置中)且可由处理器例如处理器101和/或装置的其它电路实施。此外,应了解,术语处理器、微处理器、电路、控制器等可指能够执行逻辑、命令、指令、软件、固件、功能性等的任何类型的逻辑或电路。
此外,应了解,本文中描述的一些或所有功能、引擎或模块可由装置本身执行,且/或本文中描述的一些或所有功能、引擎或模块可由通过I/O控制器125或网络接口110(无线方式或有线方式)连接到装置的另一系统执行。因此,一些和/或所有功能可由另一系统执行,且结果或中间计算可被传送回到装置。在一些实施例中,此另一装置可包括被配置成实时或接近实时地处理信息的服务器。在一些实施例中,另一装置被配置成例如基于装置的已知配置预先确定结果。此外,图1中说明的元件中的一或多个可从装置100省略。举例来说,可以在一些实施例中省略传感器130-165中的一或多个。
本发明的实施例涉及将滤波规则安装于移动网络调制解调器中,其中每一滤波规则可与空中(OTA)协议栈层相关联并且规定有效负载的类型和针对有效负载的一或多个条件。此外,实施例涉及使传入的OTA有效负载与滤波规则匹配,并且基于所述滤波规则丢弃所述有效负载而无需更新或改变移动网络调制解调器的固件。在一个实施例中,所述滤波规则可为特定于层的。换句话说,每一滤波规则可与协议栈的不同层当中的特定层相关联。并且可将挂钩添加到协议栈以获得对协议栈的每一层处的有效负载的接入。
因此,在每一层处,可使所述层的有效负载与相关联于所述层的滤波规则(如果存在的话)匹配。在一个实施例中,可使用伯克利(Berkeley)分组滤波器根据滤波规则找出匹配的有效负载。如果与所述层相关联的滤波规则中的一个指示应丢弃有效负载,则可丢弃所述层的有效负载。可从任何进一步处理中移除丢弃的有效负载。
在一个实施例中,可从移动网络调制解调器移除(清空)滤波规则,使得如果不正确地构建的滤波规则阻止移动网络调制解调器正常起作用,那么可使其效应快速逆向。
在一个实施例中,滤波规则可由服务提供商或装置制造商编译到二进制规则集文件中。规则集文件可由其创造者以数字方式签名以确保其可信度。规则集文件可无线地或以其它方式传送到无线装置,并且可由无线装置安装到移动网络调制解调器中。可通过例如移动站调制解调器“MSM”接口(MI)达成滤波规则的安装。安装的滤波规则可存储在永久性存储装置中,例如,移动网络调制解调器内的安全文件系统(SFS)。应了解,所述规则可存储在永久性存储装置中,所述永久性存储装置未必需要是固定的且可在MPSS或APSS中,如将描述。
参考图2,框图200说明根据本发明的实施例可使用的实例组件。应用程序处理器子系统(APSS)210和调制解调器处理器子系统(MPSS)220可为装置100内的组件,如上文所描述。特定来说,APSS 210可包括装置100的处理器101和存储器105。APSS 210可运行高级操作系统(HLOS),例如安卓、iOS或Windows Phone等。MPSS 220可包括装置100的无线子系统115内的蜂窝式调制解调器模块161,所述蜂窝式调制解调器模块可另外包括例如基带处理器和SFS。MPSS 220包括全OTA协议栈的实施方案,且能够解析传入的OTA有效负载并将其拆分成协议栈的不同层处的有效负载。在HLOS的控制下,APSS 210可经由例如装置100的总线与MPSS 220通信。在一个实施例中,APSS 210可使用MI(例如,经由在MPSS 220上运行的MI服务和在APSS 210上运行的MI客户端)与MPSS 220通信。
因此,在一个实施例中,运行HLOS的APSS 210可从服务提供商或装置制造商接收包括滤波规则的二进制规则集文件。APSS 210接着可使用MI将滤波规则安装到MPSS 220中。滤波规则可在不改变或更新MPSS 220的固件的情况下安装到MPSS 220中。
滤波规则可为特定于层的。换句话说,每一滤波规则可与协议栈的不同层当中的特定层相关联。一旦安装滤波规则,MPSS 220便可使每一层处的有效负载与相关联于所述层的滤波规则(如果存在的话)匹配。在MPSS 220内,可将挂钩添加到协议栈以获得对协议栈的与至少一个滤波规则相关联的每一层处的有效负载的接入。因此,可通过使用挂钩接入协议栈的一或多个层处的有效负载。可使用任何用于使有效负载与滤波规则匹配的方法。在一个实施例中,MPSS 220可使用伯克利分组滤波器根据滤波规则找出匹配的有效负载。如果与所述层相关联的滤波规则中的一个指示应丢弃有效负载,则MPSS 220可丢弃所述层的有效负载。MPSS 220可从任何进一步处理中移除丢弃的有效负载。
在一个实施例中,APSS 210可例如响应于用户输入而移除(清空)已安装于MPSS220中的滤波规则,使得如果不正确地构建的滤波规则阻止MPSS 220正常起作用,那么可使其效应快速逆向。应了解,移除滤波规则可等效于安装空规则集。
参考图3,示出说明包括LTE OTA协议栈的实例协议架构300的图式。虽然仅示出了LTE协议栈,但本发明不限于所述LTE协议栈。本发明的实施例可适于与其它OTA协议栈一起使用,所述OTA协议栈例如GSM协议栈、CDMA协议栈、UMTS协议栈、CDMA2000协议栈等。一般来说,与LTE协议栈一样,OTA协议栈包括三个层:层1(物理层)、层2(数据链路层)和层3(网络层)。在图3中,包括LTE协议栈的协议架构300展示为具有三个层:层1、层2和层3。层1(L1)是最低层级且实施各个物理层信号处理功能。层1可在本文中被称作物理层306。层2(L2)308在物理层306上方且负责装置100与基站(例如,eNodeB)之间经由物理层306的链路。L2层308为控制平面和用户平面所共有且包含媒体接入控制(MAC)子层310、无线电链路控制(RLC)子层312和分组数据汇聚协议(PDCP)314子层,所述多个子层终止于网络侧eNodeB处。虽然未示出,但装置100可具有在L2层308上方的数个上部层,包含终止于网络侧分组数据网络(PDN)网关处的网络层(例如,IP层),以及终止于连接的另一端(例如,远端用户设备、服务器等)处的应用程序层。PDCP子层314提供不同无线电承载与逻辑信道之间的多路复用。PDCP子层314还提供用于上部层数据分组的标头压缩以减小无线电发射开销,通过加密数据分组通过安全性,且通过对eNodeB之间的用户设备件的切换支持。RLC子层812提供上层数据分组的分段与重组、丢失数据分组的重新发射以及数据分组的重新排序以补偿归因于混合自动重复请求(HARQ)而引起的无序接收。MAC子层310提供逻辑信道与传输信道之间的多路复用。MAC子层310还负责在用户设备件当中分配一个小区中的各种无线电资源(例如,资源块)。MAC子层310还负责HARQ操作。层3(L3)318在层2 308上方且负责分组转发,包含经由中间路由器的路由。层3 318可包括无线电资源控制(RRC)子层316以及控制平面中的非接入层(NAS)子层320和用户平面中的IP层(未示出)。RRC子层316提供连接建立和释放功能、系统信息广播、无线承载建立、重配置和释放、RRC连接移动性程序、寻呼通知和释放以及外环功率控制等。NAS子层320用以管理通信会话的建立以及用于在其移动时维持与用户设备的连续通信。
根据本发明的实施例,OTA协议栈可指协议架构的层2和层3的控制平面内的协议栈。因此,取图3中所示的LTE协议栈作为实例,滤波规则可与MAC子层310、RLC子层312、PDCP子层314、RRC子层316或NAS子层320中的一或多个相关联。应了解,在下文不同上下文内,可替代地使用术语“层”和“子层”,且选择或不选择所述任一术语未必表示任何实际的意义差异。
参考图4,示出说明实例滤波规则的图式400。每一规则可至少指示协议栈的特定(子)层、消息识别码(即,有效负载的类型),以及合法有效负载应符合的条件。因此,在与滤波规则相关联的层内,如果消息识别码所识别的有效负载不符合条件,那么将根据滤波规则丢弃所述有效负载。虽然本文中所描述的实例规则与GSM协议栈有关,但应了解,本发明的实施例不受任何特定移动网络OTA协议栈限制。如图4中所见,实例规则410与层3内的层MN_CM(移动网络呼叫管理)相关联。其指示对于类型MN_CM_REJ的有效负载,当以十进制表示时,从命令式区段的第16字节开始的8位如果被视为无正负号8位整数,则应小于或等于30。类似地,规则420与层3内的层无线电资源(RR)相关联。其指示对于类型RR_DATA的有效负载,从命令式区段的第7字节开始的8位如果被视为无正负号8位整数,则应小于或等于247。此外,规则430与层MN_CM相关联。其指示对于类型MN_CM_DATA的有效负载,从命令式区段的第2字节开始的16位如果被视为无正负号16位整数,则应小于或等于2。
参考图5,示出说明用于将一或多个滤波规则安装到移动网络调制解调器中的实例方法500的流程图。在框510处,可接收一或多个滤波规则。所述滤波规则可呈经编译二进制规则集文件的形式,且可从服务提供商或装置制造商接收所述滤波规则。所述规则集文件可由其创造者以数字方式签名以确保其可信度。在框520处,可将滤波规则安装到移动网络调制解调器中。可在不更新或改变移动网络调制解调器的固件的情况下,实现所述安装。在一个实施例中,可使用MI安装滤波规则。安装的滤波规则可存储在SFS中的移动网络调制解调器内。任选地,可在不正确地构建的滤波规则致使移动网络调制解调器发生故障的情况下,移除安装的滤波规则。应了解,所述规则可存储在永久性存储装置中,所述永久性存储装置未必需要是固定的且可在MPSS或APSS中。
滤波规则可为特定于层的。换句话说,每一滤波规则可与协议栈的不同层当中的特定层相关联。此外,每一滤波规则可规定有效负载的类型和针对所述类型的有效负载的条件。
参考图6,示出说明用于对传入的OTA有效负载进行滤波的实例方法600的流程图。在框610处,可解析传入的OTA有效负载并将其拆分成协议栈的不同层处的有效负载。在框620处,在协议栈的与至少一个滤波规则相关联的每一层处,可使所述层的有效负载与相关联于所述层的滤波规则匹配。可将挂钩添加到协议栈以获得对协议栈的每一层处的有效负载的接入。此外,可使用伯克利分组滤波器根据滤波规则找出匹配的有效负载。在框630处,可基于滤波规则丢弃有效负载。如果与所述层相关联的滤波规则中的一个指示应丢弃有效负载,则可丢弃所述层的有效负载。可从任何进一步处理中移除丢弃的有效负载。
本发明的一个实施例涉及一种装置,其包括移动网络调制解调器;存储器;和处理器,其耦合到所述存储器,所述处理器用以:接收一或多个滤波规则,以及将滤波规则安装到所述移动网络调制解调器中,其中每一滤波规则与空中(OTA)协议栈的层相关联并且规定有效负载的类型和针对所述有效负载的一或多个条件。
因此,通过使用本文中所描述的本发明的实施例,可将滤波规则安装到移动网络调制解调器中,且可基于所述滤波规则发现恶意的或者存在问题的OTA有效负载并将其丢弃。使用特定于层的规则减小规则的复杂性并减少所需的处理资源,并且使用于不具有任何相关联规则的层的开销保持为最小值。可在不正确地构建的规则阻止移动网络调制解调器正常起作用的情况下,容易地移除所述规则。
应了解,先前描述的本发明的方面可结合装置100的处理器101对指令(例如,应用程序)的实行来实施,如先前所描述。特定地,装置的电路,包含但不限于处理器,可在应用程序、程序、例程的控制下或在用以执行根据本发明的实施例的方法或过程(例如,图5和6的过程)的指令的执行下操作。举例来说,此类程序可实施于固件或软件中(例如,存储在存储器和/或其它位置中)且可由处理器和/或装置的其它电路实施。此外,应了解,术语处理器、微处理器、电路、控制器等是指能够执行逻辑、命令、指令、软件、固件、功能性等的任何类型的逻辑或电路。
本文中所描述的方法可结合例如无线广域网(WWAN)、无线局域网(WLAN)、无线个人局域网(WPAN)等各种无线通信网络实施。术语“网络”和“系统”常常可互换地使用。WWAN可为码分多址(CDMA)网络、时分多址(TDMA)网络、频分多址(FDMA)网络、正交频分多址(OFDMA)网络、单载波频分多址(SC-FDMA)网络等。CDMA网络可实施一或多种无线电接入技术(RAT),例如cdma2000、宽带CDMA(W-CDMA)等。cdma2000包含IS-95、IS-2000和IS-856标准。TDMA网络可实施全球移动通信系统(GSM)、数字高级移动电话系统(D-AMPS)或某一其它RAT。GSM和W-CDMA描述于来自名称为“第三代合作伙伴计划”(3GPP)的组织的文献中。cdma2000描述于来自名称为“第3代合作伙伴计划2”(3GPP2)的组织的文献中。3GPP和3GPP2文档可公开获得。WLAN可为IEEE 802.11x网络,并且WPAN可为蓝牙网络、IEEE 802.15x或某一其它类型的网络。所述技术还可结合WWAN、WLAN和/或WPAN的任何组合来实施。
本文中呈现的实例方法、设备或制品可整体或部分地实施以在移动通信装置中使用或结合移动通信装置使用。如本文中所使用,“移动装置”、“移动通信装置”、“手持式装置”、“平板计算机”等或此类术语的多种形式可互换使用,并且可指能够根据一或多个通信协议通过经由合适的通信网络无线传输或接收信息而通信并且可不时地具有改变的定位或位置的任何种类专用计算平台或装置。作为说明,专用移动通信装置可包含(例如)蜂窝式电话、卫星电话、智能电话、热图或无线电图产生工具或装置、观测信号参数产生工具或装置、个人数字助理(PDA)、手提式计算机、个人娱乐系统、电子书阅读器、平板个人计算机(PC)、个人音频或视频装置、个人导航单元等等。然而,应了解,这些仅仅是与可用于促进或支持本文中所描述的一或多个过程或操作的移动装置相关的说明性实例。
取决于具体应用,本文中所描述的方法可以不同方式且以不同配置实施。举例来说,此类方法可连同软件一起以硬件、固件和/或其组合实施。在硬件实施方案中,举例来说,处理单元可实施于一或多个专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理装置(DSPD)、可编程逻辑装置(PLD)、现场可编程门阵列(FPGA)、处理器、控制器、微控制器、微处理器、电子装置、被设计成执行本文中所描述的功能的其它装置单元或其组合内。
本文中所描述的存储媒体可包括一级、二级和/或三级存储媒体。一级存储媒体可包含存储器,例如随机存取存储器和/或只读存储器。二级存储媒体可以包含大容量存储装置,例如磁性或固态硬盘驱动器。三级存储媒体可包含可装卸式存储媒体,例如磁盘或光盘、磁带、固态存储装置等。在某些实施方案中,存储媒体或其部分可以操作方式收纳或可以其它方式配置以耦合到计算平台的其它组件,例如处理器。
在至少一些实施方案中,本文中所描述的存储媒体的一或多个部分可存储信号,所述信号表示通过存储媒体的特定状态表达的数据和/或信息。举例来说,表示数据和/或信息的电子信号可“存储”在存储媒体(例如,存储器)的一部分中,所述存储是通过影响或改变存储媒体的此类部分的状态以将数据和/或信息表示成二进制信息(例如,一和零)。因而,在特定实施方案中,用以存储表示资料和/或信息的信号的存储媒体的所述部分的状态的此类改变构成存储媒体到不同状态或内容的变换。
在先前的详细描述中,已阐述众多特定细节以提供对所主张的标的物的透彻理解。然而,所属领域的技术人员将理解,可在没有这些特定细节的情况下实践所主张的标的物。在其它情况下,未详细描述所属领域的一般技术人员将已知的方法或设备以免混淆所主张的标的物。
在对存储在特定设备或专用计算装置或平台的存储器内的二进制数字电子信号的运算的算法或符号表示方面,已呈现先前详细描述的一些部分。在此特定说明书的上下文中,术语“特定设备”等包含通用计算机(一旦其经编程以依据来自程序软件的指令执行特定功能)。算法描述或符号表示是信号处理或有关技术的技术人员用来向所属领域的其它技术人员传达其工作的实质内容的技术的实例。本文中的算法一般被视为产生期望结果的操作或类似信号处理的自一致序列。在此上下文中,操作或处理涉及对物理量的物理操控。通常(但并非必然如此),此类量可采用能够作为表示信息的电子信号而存储、传送、组合、比较或另外控制的电或磁性信号的形式。已证实主要出于常见使用的原因而时常方便的是将这些信号称为位、数据、值、元素、符号、字符、项、编号、数字、信息等。然而,应理解,所有这些或类似术语应与适当物理量相关联且仅为方便的标记。
除非另外确切地说明,否则如从以下论述显而易见,应了解,贯穿本说明书,利用例如“处理”、“计算(computing)”、“计算(calculating)”、“识别”、“确定”、“建立”、“获得”等等的术语的论述是指例如专用计算机或类似专用电子计算装置的特定设备的动作或过程。因此,在本说明书的上下文中,专用计算机或类似专用电子计算装置能够操控或变换信号,所述信号通常表示为在专用计算机或类似专用电子计算装置的存储器、寄存器或其它信息存储装置、发射装置或显示装置内的物理电子量或磁性量。在此特定专利申请案的上下文中,术语“特定设备”可包含通用计算机(一旦其经编程以依据来自程序软件的指令执行具体功能)。
贯穿本说明书对“一个实例”、“实例”、“某些实例”或“示范性实施方案”的提及意味关于特征和/或实例描述的特定特征、结构或特性可包含在所主张的标的物的至少一个特征和/或实例中。因此,短语“在一个实例中”、“实例”、“在某些实例中”或“在一些实施方案中”或其它相似短语在贯穿本说明书的各处的出现未必都指同一特征、实例和/或限制。此外,所述特定特征、结构或特性可在一或多个实例和/或特征中组合。
虽然已说明且描述目前视为实例特征的内容,但所属领域的技术人员应理解,在不脱离所主张的标的物的情况下可进行各种其它修改且可用等效物取代。另外,在不脱离本文所描述的中心概念的情况下,可进行许多修改以使特定情形适合于所主张的标的物的教示。因此,希望所主张的标的物不限于所揭示的特定实例,而此类所主张的标的物还可包含属于所附权利要求书和其等效物的范围内的所有方面。
Claims (30)
1.一种用于安装一或多个滤波规则的方法,其包括:
接收所述滤波规则;和
将所述滤波规则安装到移动网络调制解调器中,其中每一滤波规则与空中OTA协议栈的层相关联并且规定有效负载的类型和针对所述有效负载的一或多个条件。
2.根据权利要求1所述的方法,其进一步包括:
解析传入的OTA有效负载并将所述传入的OTA有效负载拆分成所述OTA协议栈的不同层处的有效负载;
在所述OTA协议栈的与至少一个滤波规则相关联的每一层处,使所述层的有效负载与相关联于所述层的所述滤波规则匹配;和
基于所述滤波规则,丢弃OTA有效负载。
3.根据权利要求2所述的方法,其中将挂钩添加到所述OTA协议栈以获得对所述OTA协议栈的一或多个层处的OTA有效负载的接入。
4.根据权利要求2所述的方法,其中在所述OTA协议栈的每一层处,使用分组滤波器使所述层的所述有效负载与相关联于所述层的所述滤波规则匹配。
5.根据权利要求1所述的方法,其中所述OTA协议栈是全球移动通信系统GSM协议栈、码分多址接入CDMA协议栈、通用移动电信系统UMTS协议栈、CDMA2000协议栈或长期演进LTE协议栈中的一个。
6.根据权利要求1所述的方法,其中经编译二进制规则集文件包括所述滤波规则,且其中所述二进制规则集文件由服务提供商或装置制造商提供且能够以数字方式签名。
7.根据权利要求1所述的方法,其中在不改变所述移动网络调制解调器的固件的情况下实现所述滤波规则的所述安装。
8.根据权利要求1所述的方法,其中使用移动站调制解调器MSM接口MI执行所述滤波规则的所述安装。
9.根据权利要求1所述的方法,其中所述安装的滤波规则存储在永久性存储装置中。
10.根据权利要求1所述的方法,其进一步包括从所述移动网络调制解调器移除所述安装的滤波规则。
11.一种装置,其包括:
移动网络调制解调器;
存储器;和
处理器,其耦合到所述存储器,所述处理器用以:
接收一或多个滤波规则,和
将所述滤波规则安装到所述移动网络调制解调器中,其中每一滤波规则与空中OTA协议栈的层相关联并且规定有效负载的类型和针对所述有效负载的一或多个条件。
12.根据权利要求11所述的装置,其中所述处理器进一步用以:
解析传入的OTA有效负载并将所述传入的OTA有效负载拆分成所述OTA协议栈的不同层处的有效负载,
在所述OTA协议栈的与至少一个滤波规则相关联的每一层处,使所述层的有效负载与相关联于所述层的所述滤波规则匹配;和
基于所述滤波规则,丢弃OTA有效负载。
13.根据权利要求12所述的装置,其中将挂钩添加到所述OTA协议栈以获得对所述OTA协议栈的一或多个层处的OTA有效负载的接入。
14.根据权利要求12所述的装置,其中在所述OTA协议栈的每一层处,使用分组滤波器使所述层的所述有效负载与相关联于所述层的所述滤波规则匹配。
15.根据权利要求11所述的装置,其中所述OTA协议栈是全球移动通信系统GSM协议栈、码分多址接入CDMA协议栈、通用移动电信系统UMTS协议栈、CDMA2000协议栈或长期演进LTE协议栈中的一个。
16.根据权利要求11所述的装置,其中经编译二进制规则集文件包括所述滤波规则,且其中所述二进制规则集文件由服务提供商或装置制造商提供且能够以数字方式签名。
17.根据权利要求11所述的装置,其中在不改变所述移动网络调制解调器的固件的情况下实现所述滤波规则的所述安装。
18.根据权利要求11所述的装置,其中使用移动站调制解调器MSM接口MI执行所述滤波规则的所述安装。
19.根据权利要求11所述的装置,其中所述安装的滤波规则存储在永久性存储装置中。
20.根据权利要求11所述的装置,其中所述处理器进一步用以从所述移动网络调制解调器移除所述安装的滤波规则。
21.一种用于安装一或多个滤波规则的设备,其包括:
用于接收所述滤波规则的装置;和
用于将所述滤波规则安装到移动网络调制解调器中的装置,其中每一滤波规则与空中OTA协议栈的层相关联并且规定有效负载的类型和针对所述有效负载的一或多个条件。
22.根据权利要求21所述的设备,其进一步包括:
用于解析传入的OTA有效负载并将所述传入的OTA有效负载拆分成所述OTA协议栈的不同层处的有效负载的装置;
在所述OTA协议栈的与至少一个滤波规则相关联的每一层处,用于使所述层的有效负载与相关联于所述层的所述滤波规则匹配的装置;和
用于基于所述滤波规则,丢弃OTA有效负载的装置。
23.根据权利要求22所述的设备,其中将挂钩添加到所述OTA协议栈以获得对所述OTA协议栈的一或多个层处的OTA有效负载的接入。
24.根据权利要求22所述的设备,其中在所述OTA协议栈的与至少一个滤波规则相关联的每一层处,使用分组滤波器使所述层的所述有效负载与相关联于所述层的所述滤波规则匹配。
25.根据权利要求21所述的设备,其中所述OTA协议栈是全球移动通信系统GSM协议栈、码分多址接入CDMA协议栈、通用移动电信系统UMTS协议栈、CDMA2000协议栈或长期演进LTE协议栈中的一个。
26.一种包括代码的非暂时性计算机可读媒体,所述代码在由处理器执行时致使所述处理器实施一种方法,所述方法包括:
接收一或多个滤波规则;和
将所述滤波规则安装到移动网络调制解调器中,其中每一滤波规则与空中OTA协议栈的层相关联并且规定有效负载的类型和针对所述类型的有效负载的条件。
27.根据权利要求26所述的非暂时性计算机可读媒体,其进一步包括用于以下操作的代码:
解析传入的OTA有效负载并将所述传入的OTA有效负载拆分成所述OTA协议栈的不同层处的有效负载;
在所述OTA协议栈的与至少一个滤波规则相关联的每一层处,使所述层的有效负载与相关联于所述层的所述滤波规则匹配;和
基于所述滤波规则,丢弃OTA有效负载。
28.根据权利要求27所述的非暂时性计算机可读媒体,其中将挂钩添加到所述OTA协议栈以获得对所述OTA协议栈的一或多个层处的OTA有效负载的接入。
29.根据权利要求27所述的非暂时性计算机可读媒体,其中在所述OTA协议栈的与至少一个滤波规则相关联的每一层处,使用分组滤波器使所述层的所述有效负载与相关联于所述层的所述滤波规则匹配。
30.根据权利要求26所述的非暂时性计算机可读媒体,其中所述OTA协议栈是全球移动通信系统GSM协议栈、码分多址接入CDMA协议栈、通用移动电信系统UMTS协议栈、CDMA2000协议栈或长期演进LTE协议栈中的一个。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/004,844 | 2016-01-22 | ||
| US15/004,844 US20170214658A1 (en) | 2016-01-22 | 2016-01-22 | Device to detect and drop potentially dangerous payloads received over-the-air on wireless devices |
| PCT/US2016/068416 WO2017127217A1 (en) | 2016-01-22 | 2016-12-22 | Device to detect and drop potentially dangerous payloads received over-the-air on wireless devices |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108476213A true CN108476213A (zh) | 2018-08-31 |
Family
ID=57822064
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680078005.3A Pending CN108476213A (zh) | 2016-01-22 | 2016-12-22 | 用以检测并丢弃在无线装置上以空中方式接收的潜在危险的有效负载的装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20170214658A1 (zh) |
| EP (1) | EP3406064A1 (zh) |
| CN (1) | CN108476213A (zh) |
| WO (1) | WO2017127217A1 (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060206936A1 (en) * | 2005-03-11 | 2006-09-14 | Yung-Chang Liang | Method and apparatus for securing a computer network |
| CN101902804A (zh) * | 2009-05-27 | 2010-12-01 | 宏碁股份有限公司 | 无线通信装置及其省电方法和封装包过滤方法 |
| CN102104565A (zh) * | 2009-12-17 | 2011-06-22 | 深圳富泰宏精密工业有限公司 | 调制解调器及电源节省方法 |
| CN102346825A (zh) * | 2010-07-21 | 2012-02-08 | 三星Sds株式会社 | 提供基于片上系统的反恶意软件服务的装置和方法 |
| US20120042375A1 (en) * | 2009-04-09 | 2012-02-16 | Samsung Sds Co., Ltd. | System-on-chip malicious code detection apparatus and application-specific integrated circuit for a mobile device |
| CN102769703A (zh) * | 2012-07-17 | 2012-11-07 | 青岛海信移动通信技术股份有限公司 | 手机终端及防火墙监控方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020144150A1 (en) * | 2001-04-03 | 2002-10-03 | Hale Douglas Lavell | Providing access control via the layer manager |
| CN101951595A (zh) * | 2010-08-23 | 2011-01-19 | 中兴通讯股份有限公司 | 空口引导设置处理方法及系统 |
| TW201230842A (en) * | 2011-01-05 | 2012-07-16 | Wistron Corp | An on-the-air (OTA) personalizing method, computer program product and communication device for the method |
-
2016
- 2016-01-22 US US15/004,844 patent/US20170214658A1/en not_active Abandoned
- 2016-12-22 WO PCT/US2016/068416 patent/WO2017127217A1/en active Application Filing
- 2016-12-22 CN CN201680078005.3A patent/CN108476213A/zh active Pending
- 2016-12-22 EP EP16826833.2A patent/EP3406064A1/en not_active Withdrawn
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060206936A1 (en) * | 2005-03-11 | 2006-09-14 | Yung-Chang Liang | Method and apparatus for securing a computer network |
| US20120042375A1 (en) * | 2009-04-09 | 2012-02-16 | Samsung Sds Co., Ltd. | System-on-chip malicious code detection apparatus and application-specific integrated circuit for a mobile device |
| CN101902804A (zh) * | 2009-05-27 | 2010-12-01 | 宏碁股份有限公司 | 无线通信装置及其省电方法和封装包过滤方法 |
| CN102104565A (zh) * | 2009-12-17 | 2011-06-22 | 深圳富泰宏精密工业有限公司 | 调制解调器及电源节省方法 |
| CN102346825A (zh) * | 2010-07-21 | 2012-02-08 | 三星Sds株式会社 | 提供基于片上系统的反恶意软件服务的装置和方法 |
| CN102769703A (zh) * | 2012-07-17 | 2012-11-07 | 青岛海信移动通信技术股份有限公司 | 手机终端及防火墙监控方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2017127217A1 (en) | 2017-07-27 |
| US20170214658A1 (en) | 2017-07-27 |
| EP3406064A1 (en) | 2018-11-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104756545B (zh) | 用于samog承载管理的系统和方法 | |
| CN104272672B (zh) | 向虚拟覆盖网络流量提供服务 | |
| CN101951404B (zh) | 一种用于移动通讯设备终端的下载方法及其装置 | |
| CN102860117B (zh) | 通信系统、通信终端、通信设备、通信控制方法 | |
| US20150229563A1 (en) | Packet forwarding method and network access device | |
| CN101473296A (zh) | Usb无线网络驱动器 | |
| EP2963990B1 (en) | Method and apparatus for connecting to packet data networks in wireless communication system | |
| EP2501101A1 (en) | SOC-Based Device for Packet Filtering and Packet Filtering Method thereof | |
| CN109429216A (zh) | 安全元件操作系统更新通知 | |
| US8856271B2 (en) | Data accessing method used for customer premises equipment, and customer premises equipment | |
| TWI667899B (zh) | 電子設備及用於通訊的方法 | |
| WO2021147665A1 (zh) | 一种选择网络切片的方法及电子设备 | |
| CN106231586A (zh) | 一种多卡终端及其通信方法 | |
| CN108605373A (zh) | 用于提供网络共享服务的方法和电子装置 | |
| CN111200677A (zh) | 折叠式的终端设备和控制壳体开合的方法 | |
| WO2016123822A1 (zh) | 传输数据的方法、装置及终端 | |
| CN110366229A (zh) | 一种无线网络连接方法、装置、设备及系统 | |
| CN108369445A (zh) | 唤醒分割架构的级联触摸 | |
| CN107682916B (zh) | 一种搜网连接适配方法、装置及计算机可读存储介质 | |
| CN103856936B (zh) | 一种更新移动终端时间的方法及装置 | |
| US20180013888A1 (en) | Call Collision Processing Method for Terminal Device, and Terminal Device | |
| CN108476213A (zh) | 用以检测并丢弃在无线装置上以空中方式接收的潜在危险的有效负载的装置 | |
| CN105072026A (zh) | 物联网网关通信系统 | |
| CN105451220B (zh) | 用于在漫游期间选择ip类型的方法和装置 | |
| CN104053132A (zh) | 一种信息号码识别的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20180831 |