CN1922583A - 用于移动无线设备的开放因特网安全的方法和装置 - Google Patents
用于移动无线设备的开放因特网安全的方法和装置 Download PDFInfo
- Publication number
- CN1922583A CN1922583A CNA2005800053135A CN200580005313A CN1922583A CN 1922583 A CN1922583 A CN 1922583A CN A2005800053135 A CNA2005800053135 A CN A2005800053135A CN 200580005313 A CN200580005313 A CN 200580005313A CN 1922583 A CN1922583 A CN 1922583A
- Authority
- CN
- China
- Prior art keywords
- internet
- usim
- subscriber
- visit
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/60—Subscription-based services using application servers or record carriers, e.g. SIM application toolkits
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种用于具有移动无线设备的无线通信网络的方法和装置,其中无线通信网络至少部分由向订户提供无线网络服务的无线网络服务提供商控制,无线设备包括能够与无线通信网络通信并且能够连接到因特网的终端,每一终端具有在无线网络服务提供商的控制下的可移除USIM,其中USIM提供给订户用来安装到订户终端中以便控制终端到服务提供商的无线通信网络和到因特网的访问。
Description
技术领域
本发明涉及无线网络中的订户帐户管理,更具体涉及对具备联网能力的无线设备的因特网访问的分布式帐户控制。
背景技术
本发明的分布式帐户控制系统标识了无线通信系统中的特定控制点,无线通信系统将订户连接到其他订户或服务提供商,包括内容提供商和通过因特网的商品和服务的提供商。
本发明的分布式帐户控制系统的订户帐户管理通过在控制点处的访问控制和交易分析而注重于供应因特网连接的无线服务提供商的服务质量问题,其中控制点从典型因特网服务提供商或无线网络服务提供商移除。
随着无线电话从模拟向数字通信网络过渡,消除了对连接最新技术无线电话到万维网(world wide web)的技术壁垒。
但是,无线电话和其他无线设备,特别是便携手持单元,通常缺乏典型计算机能通过陆线连接到因特网的性能。由于小屏幕和低数据传输速率,因特网的优越环境很大程度上对于无线终端来说不可用。甚至,现有标准的实现,诸如WAP,向无线设备递送因特网内容非常慢,这部分是因为只有有限数目的设备能够访问因特网。如果用户数量增加的话,因特网站点的内容提供商将适应于设备的限制,因为内容提供商最终想要得到的是用户而非特定访问设备。
一旦具有因特网连接能力的无线移动设备的用户数量达到阈值,递送适合移动无线终端的内容服务以及产品的因特网站点的数量将会激增。这将导致级联效应,将淹没已经在带宽上受到限制的现有无线通信网络。随着带宽要求的增加,移动设备的服务提供商不采取强力措施的话,服务质量将下降。当语音只是多媒体递送的一部分时,足够口头通信的服务水平将在网络系统中不可行。
针对从1G和2G系统向2.5G和3G系统过渡的移动无线设备中的服务质量问题的许多解决方案,在McGregor等2003年3月20日提交的美国专利申请10/393,600(2004年3月25日公开为US 2004/0058652A1)中进行了描述。在McGregor等的参考文献中,讨论了用于服务提供商和无线移动设备之间任务分配的方法,以便优化订户所体验到的服务质量。
但是,对于具有因特网访问能力的无线移动设备,与因特网供应的访问和递送有关的服务质量问题将不会由因特网内容服务和产品提供商来解决,而是会转嫁于无线服务提供商来解决。为了避免混乱以及服务提供商控制之外的服务质量问题的增加对其的不利影响,必须控制能够上因特网的无线移动设备对因特网的访问。这是通过首先标识因特网网络中的控制点来完成的。
■控制点
控制点位于网络内,在此可以控制因特网访问。控制点很重要,并且根据控制点怎样实现,具有对其深远的技术优点和缺点。为了更好理解控制点,让我们取两个极端的控制点实现方式。在一种极端,3G无线网络可能决定根本不提供任何因特网访问。由于不提供访问,实际上没有安全风险。但是,控制点的另一类型可能是“开放”(open)政策,其中任何端用户都能够访问所有因特网服务和内容。在这个模型中,由于缺乏对用户访问的控制,存在较大的安全风险。在这两个模型之间的多种不同位置上,可以实施控制。这些位置的每一个都称为控制点。
■开放因特网
开放因特网不对订户提供关于他们可以访问或购买那些内容的限制,也没有以任何方式限制用户连接到各种因特网服务的能力。在这个模型中,没有控制点用来管理因特网访问。允许对诸如POP3、SMTP、HTTP的服务及其他服务的访问。在此模型中,如图1所示,开放端用户终端对因特网服务进行无限制的随意消费。在此模型中,对端用户的安全和控制都悬而未决。这意味着,电子邮件、下载的可执行模块以及对终端的进一步的自定义都是允许的,并且对于用户试图在因特网上访问什么没有限制。例如,如果端用户希望访问其POP3电子邮件或者通过SMTP发送电子邮件,将会被允许。而且,允许用户通过HTTP访问所有“Content-Types”(内容类型)。
总之,开放因特网类似于通常通过PC进行基于无代理的因特网浏览。
■开放因特网-网络流
在开放因特网模型中,网络流是基本不被禁止的。终端自由地获取IP地址并通过IP、使用TCP/UDP以及协议到各种协议端口连接,从而消费服务。例如,终端可以包括POP3电子邮件客户端,其被允许连接到POP3(通常是TCP端口110)。不管访问的实际内容是什么,开放因特网模型允许内容消费而无限制。对于其他协议,诸如HTTP(通常是TCP端口80),也是如此。
■门和控制
随着向端终端完全授权对因特网的访问,门(Gate)和控制不会是与模型密切相关的。事实上,这个模型是“开放的”,因为缺乏对端用户终端访问的控制。在此模型中,没有管理端用户使用的控制点。
■帐户管理
没有内容控制,管理订户帐户基于很少的几个可用数据点。这些数据点通常是端用户终端所消费的带宽。因此,对于分组交换数据的结算通常是用于无限制访问的统一收费(以特定比特率)或者对于数据传输按兆字节收费。帐户管理的额外策略可以包括服务等级,其将允许多种不同的端口和协议访问。例如,“白金”级服务可能提供完全无限制的因特网访问,而“黄金”级可能只开放HTTP内容,而限制POP3、SMTP、RTSP、RSVP、NPLS、RDP、UDP、组播-RDP等等。
■内容提供商视角
为了更易于理解开放因特网模型,我们可以从内容提供商的视角来看这个模型。参看图2,图示说明了内容提供商对于开放因特网模型的视角,3G无线基础设施出现作为不受限制地提供服务的渠道。当我们看图2时,可以看出,无线服务提供商真的不太在意内容提供商,因为减少了任何对终端能力的限制。例如,内容提供商不需要担心服务一致、有关QoS、安全等等。本模型中的内容提供商更关注个体设备能力。这些能力通常是在HTTP请求时间通过HTTP“User-Agent:”头标给出的。因此,无线提供商基本上被绕过,为端用户创建了“开放因特网”。
■带宽
作为一个旁注的是,图2真的将3G无线网络转变为“管道”,提供到终端的连接。这个模型清楚地提升了带宽的级别,这对服务提供商来说尤其珍贵。
■围绕开放因特网的技术问题
当部署开放因特网策略时,必须考虑各种技术问题。下面各部分概述了一些较为重要的技术问题。
内容支持
内容消费驱动因特网。端用户消费内容而无论它是简单网页、流视频/音频还是购买商品和服务。由于这样的一个广泛的服务供应排列,对于这些服务的支持将不会是完全包含。
在开放因特网模型中,端用户终端能够导航和查看他们所需的网页,并且消费该站点所提供的任何服务。如果站点没有准备好适当地处理“User-Agent”,则页面或服务将不会适当地呈现。“User-Agent”是HTTP头标请求中的字符串,其标识硬件平台、OS以及做出请求的安装的浏览器版本。这允许服务器端软件格式化页面以便适当显示。
而且,内容类型(Content-Type)将很有可能不被终端平台所理解。“Content-Type”是HTTP头标响应中的字符串,其将附加于该响应的二进制流与用于呈现的给定应用程序关联起来。例如,JPG将是JPEG图像,其可以由浏览器显示。但是,Real-Audio类型可能指示Real Player插件来进行内容呈现。通过PC计算机,不被平台所理解的内容类型通常导致“弹出窗口”,询问用户是否愿意下载用于该内容类型的适当插件。在开放因特网模型中,允许还是不允许动态插件的决定必须是要考虑的。如果对内容支持允许动态插件,将导致终端和配置问题中的进一步的不稳定性,而不会导致论及顾客支持电话。如果不允许插件,内容将不能呈现,结果也会导致拨打支持电话。
使用终端的用户是否将认为“链路断开”是服务提供商的问题不在本讨论的范围之内。“链路断开”(broken links)是因特网术语,用于表示到特定内容的链路找不到了或者不能呈现了。但是,应该注意到,从历史上来看,不良终端确实会带来不良服务的感觉。
一种试图解决这批问题的方法是在终端上提供浏览器,具有给定组的被批准的插件。尽管这样临时消除了问题,但随着软件和因特网技术的快速发展,需要频繁地更新插件。
顾客支持
顾客支持也是技术问题,因为对于将由服务提供商接收到的大量电话而言,由于缺乏内容支持而体验到的错误必须快速得到确认。例如,在显示器上为不能呈现的内容简单地显示X,这并没有传送给支持技术人员来远程解决问题。用于故障的“错误”代码和原因必须预先进行考虑以便加速接收到的电话。
如果做出的决定是允许在终端上进行动态插件安装的话,顾客支持技术人员所必须处理的配置支持也将是各式各样的。
实质上,关于向终端开放因特网的技术问题是围绕向顾客支持技术人员传送有关什么发生故障的通信。随着许多的插件、内容类型、平台版本、OS、浏览器和所有其子系统增加,对电话解决问题的复杂度也极大地增加。
配置
由于向终端开放因特网需要有关将支持什么以及怎样递送该支持的决定(参见“内容支持”),还出现了关于配置的潜在问题。对于终端的配置,现在不仅包括用于简单获取IP地址的所有3G建立信息,而且终端现在具有关于浏览器/应用程序、版本及其所有子系统或其包含的插件方面的复杂度。例如,包含任何技术问题的插件可能为其它内容类型或HTTP服务一起提供服务中断。
开放终端
当开放终端使之自由访问因特网上所有内容时,终端容易受到所有形式的攻击。必须做出更多的努力来确保终端免受攻击,并且最终,终端必须设计为“闪射”(flash)几乎其所有软件来针对攻击提供适当的对策。
内容呈现
当允许动态插件和applet时,向因特网开放信道的一个好处在于,对于端用户来说,内容呈现和服务感受将更好。但是,终端现在将对攻击“开放”。
漫游
漫游自身作为一个技术问题,这是因为当漫游时,终端对于漫游和消费服务还悬而未决。但是,没有漫游环境中合作者之间的清晰政策的话,漫游可能导致服务问题。例如,一个网络具有开放因特网模型以便使用用户希望多的带宽,另一网络计算兆字节,从这样一个网络到另一网络的移动将导致用于帐户管理的复杂公式以及订户和服务提供商之间的混乱与冲突。
通常,在一个服务提供商对于访问提供另外类型控制而其合作服务提供商没有这样的控制时,漫游是有问题的。
反向隧首
隧道是一种技术,由此,一种协议可以将自身包裹在另一种协议中,在另一点上重新露面。例如,如果假定我们具有TCP连接,由此应用程序协议彼此通信,一种协议能够将自身包裹在另一种协议之中,从而为其通过防火墙或保护机制的路线开凿隧道。一种流行技术是其他协议在HTTP上开凿隧道,从而允许这些服务在其他端上露面。HTTP是许多防火墙和检查点通常允许的协议。但是,在HTTP上开凿隧道通常将隐藏潜在的协议。由于开放因特网模型中的终端可以连接到所有类型的服务,黑客们有可能拥有终端并通过反向隧道进入无线网络。此时,黑客将能够尝试从网络内进行服务拒绝(DoS)攻击,或者简单地呈现带宽给终端,但其由于攻击者已经进行的大量业务而失去效用。
一旦在终端上建立反向隧道或远程代理,黑客将还可以“内部”访问网络以便进一步的黑客行为。
劫持空中接口
开放因特网的一个敏感问题是受到用户“劫持”无线电空中接口的威胁。如果黑客能够做到这点,那么将得到网络的免费带宽。由此,黑客将能够NAT他/她的连接,从而对所希望数量的人们的开放网络访问进行打击。这个问题基本上出现在任何机制中;由于是开放因特网模型,如果发生这种情况的话,没有对活动性的检查和平衡。
可执行代码
可执行代码应该留给类似于Sun的J2ME所提供的“沙盒”方法的事物。如果不是这样,将发生对终端的进一步的危害。
电子窃听(侦听)
电子窃听,也称为侦听(sniffing),是一种普遍的攻击方法和安全风险。通过侦听,黑客目的在于收集例如用户ID和密码信息。不幸的是,侦听程序在因特网上是公开可得到的,任何人都可以下载。
电子欺骗
通过侦听收集来的信息可以通过称为电子欺骗(spoofing)的黑客方法加以利用。电子欺骗,作为一种方法,意味着黑客使用别人的IP地址并从其他用户接收分组数据包。换句话说,黑客替换了连接中的正确接收机。
服务拒绝(DoS)
在服务拒绝(DoS)攻击中,黑客的目的不在于收集信息,而在于对其他用户和服务提供商造成损害和不便。
在典型DoS攻击中,黑客生成分发业务,其最坏情况下将堵塞目标服务器,使其不能够再提供服务。其背后的想法是,例如,用请求来填充服务器的服务请求队列,然后忽略服务器发送回的所有确认。因此,服务器占据用于从未发生的进入连接的资源。当连接定时器期满时,资源释放以服务另一连接尝试。当包含连接尝试的缓冲不断被新请求填充时,服务器实际上被这些请求牢牢粘住,而不能够提供“真正的”服务。因特网上还存在许多其他更复杂的DoS攻击,对于DoS攻击有大量工具可用。
DoS攻击在与其他安全威胁相结合时变得有趣起来。例如,反向隧道将开放终端,允许黑客在无线网络内实施DoS攻击。尽管其很大程度上不大可能,但由于这个模型是开放的,黑客可以自由地支配尝试DoS攻击。
病毒和蠕虫
通过在因特网上开放终端直接访问服务,终端易于受到病毒和蠕虫的影响。但是,应该注意到,GGSN和其他设施提供了“专用网络”和防火墙性能,消费所有类型服务的简单事实将导致易受攻击的点。
性能
如果采纳开放因特网,对于网络来说,性能也将是个问题。例如,服务提供商网络将变成更像是端用户的“管道”,将需要连续的战斗来确保性能。
基础设施
由于吞吐量需求将增长,网络上的基础设施的需求也将增长。
服务和内容问题
在开放模型中,端用户可得到所有服务和因特网内容。这将包括任何不适当的内容/服务或非法内容/服务。如果存在对于内容访问的合法性问题的话,开放因特网模型将不能工作。其中的一些问题可能是:
-非法或不适当的内容或服务;
-非法色情内容;
-未授权文件共享,导致绕过任何DRM解决方案;
-版权保护的电影;
-版权保护的音频。
■开放因特网的技术优点
开放因特网的主要技术优点在于系统是开放的。这意味着,不存在控制用户可以访问什么的过程中所需要的附加的软件和系统。与保护基础设施安全相比,这就减少了许多工作。
■结论
开放因特网模型对端用户非常有吸引力。但是,对于服务提供商的技术挑战是非常巨大的。易受攻击性和用于缓冲投资的模型很难交会。通过开放“管道”,端用户自由消费任何服务,终端能够呈现或提供任何服务。开放因特网模型是非常有风险的冒险,因为其危害了新兴无线技术的完整性。
发明内容
通过本说明书中另外提供的控制访问模型,可以大大避免开放因特网模型的问题和安全风险。在所述两种可替换方法中,标识网络中控制点,在控制点可以管理安全门控访问。在所述两种优选实现方式中,通用订户标识模块(USIM)用作对因特网访问和交易分析的控制点。USIM是电路卡,通常在服务提供商的控制之下,安装在无线蜂窝电话中,这里将无线蜂窝电话一般性地称作移动无线终端或移动无线设备。USIM根据订户与无线服务提供商的协议或计划选择性地启用无线设备的性能。USIM是电子电路卡形式的模块,其能够从终端中移除。USIM或USIM卡通常在技术上建立服务提供商和订户的关系,其有关服务提供商可用的无线网络中特定终端硬件的使用。
在管理订户帐户的过程中,通常由第三方制造的终端的特点特征和性能,可能对于订户来说不可用。通过对电路卡的适当设计以及对USIM的编程,无线终端的操作可以得到控制和管理,分析并记录通信交易以便管理订户帐户。
USIM的使用将对因特网访问的管理任务责任从服务提供商分发到订户终端。服务提供商解除了为帐户管理而分析每项通信交易中涉及的许多任务。
由于在用户移动终端处管理因特网访问控制,可以提供不同等级的服务,可以为特定订户帐户计划开发和制作批准站点的白名单和不批准站点的黑名单。
在对优选实施例的详细描述中,描述了两种用于因特网访问的帐户管理方法,使用USIM作为控制门。在管理订户帐户的过程中,USIM提供有,或者可以访问,允许和禁止因特网站点的注册,并且优选包括帐户寄存器,用于计算和记录在访问媒体过程中发生的任何费用,包括内容费用、连接费用、产品和服务费用。通过预先定义订户服务计划,网络访问的服务提供商能够执行对订户使用服务提供商的无线网络来访问因特网的限制。
在考虑说明书中阐述的优选实施例的详细描述后,这些和其他特征将变得十分显然。
附图说明
图1是用于无线移动终端的常规高等级开放因特网的分组交换端的图。
图2是无线移动终端的因特网内容提供商常规视图。
图3是USIM代理因特网的图,因特网访问控制部分地分发给终端USIM。
图4是USIM因特网的图,因特网访问控制主要分发给终端USIM。
具体实施方式
在图2和3的优选实施例中,因特网访问控制和帐户管理都至少部分地分发给终端的USIM。
■USIM代理因特网
具有内容印记的USIM代理因特网
在具有分布式交易分析和访问控制的帐户管理的一个实施例中,用于实施控制点的唯一模型是在内容上印记以内容标识符或CID,其告诉USIM允许或不允许对内容的访问。许多代理允许对插件的程序编码以扩展性能。某些已经这样做的著名公司包括诸如Akamai等公司。Akamai以类似于Squid缓存的事物开始,通过插件扩展其网络的性能。可使用新技术来基于所请求的站点或实际服务/内容而限定内容的分类。由于HTTP 1.0和1.1规范允许附加头标信息,其不会影响两个端点之间的任何事物,新代理将通过为内容项印记以CID来限定内容。CID随后可以分类为具有不同费用的等级。例如,如果端用户将拥有白金服务,他们可能可以访问所有CID分类。USIM随后将协助对各种CID分类的访问或者实际上起“网关”的作用。但是,如果用户拥有的是基本服务的话,他们只能访问基本站点和内容。
图1图示说明了USIM代理因特网。
■门和控制
USIM代理因特网中的主要控制点在两个位置上。第一个是USIM,其包含订户服务等级并且只允许消费具有适当服务等级的内容。另外的控制点是在代理,由此USIM在HTTP头标中发送其CID服务等级,告诉代理USIM可以访问什么样的内容。
■帐户管理
帐户管理是通过从代理服务器分析交易事件来完成的。可以使用附加的代理插件来追踪结算事件并且将其储存以便由订户系统获取进行对订户帐户的管理。由于用户在其服务等级内相对受到约束,这个非实时结算过程应该是可接受的。USIM代理因特网具有特定技术缺点:
■有关USIM代理因特网的技术问题
灵活性
尽管USIM代理因特网系统具有许多很好的优点,但系统中的基本灵活性很低。而且,当希望根本改变或服务供应时,代理软件和USIM有可能都需要进行改变。
基础设施改变
本系统将需要代理系统结合USIM更新的联合部署来协同工作以便提供这个服务。因此,基础设施将必须进行改变以适应该模型。
应用程序支持
并不是所有应用程序都使用HTTP来通信。尽管可以使用SOCKS型代理,但不是所有协议都很好地将自己出借给CID印记。例如,微软的MMS就不提供这样的工具。但是,Real Player的RTSP可以而RDP就不可以。
■技术优点
另一方面,USIM代理因特网具有特定的技术优点:
自然因特网流
组合代理与USIM和CID分类的一个明显的优点在于,其很好地对因特网模型进行建模。代理几乎是任何重要HTTP基础设施的强制性部分,USIM包含端用户证书以及个人化信息。通过将这两个元素进行组合,很好地融合了这两项服务。
可伸缩性
这个解决方案很好地进行伸缩,因为代理可以以传统线性或瀑布方式添加从而服务较大的网络需求。通过保持USIM中的服务等级,端用户自动告诉代理他们可以访问什么类型的内容。这允许代理不用那么努力工作,实际上创建了真正分布式解决方案,因为代理不必“询问”另外的系统来作决定,而是可以相当自主地进行工作。
■结论
USIM代理因特网解决方案是可行的解决方案,因为其真正地采纳因特网技术的最好实践,同时允许用户偏好和证书在USIM中存在。但是,纯USIM解决方案提供类似的具有较少技术问题的性能。不管这是否是实际上实现的,代理和瀑布技术应该整合以节省3G无线网络的整体网络需求。
■USIM因特网
USIM因特网模型
USIM因特网是订户帐户管理系统的另一实施例,使用控制点驻留于USIM中进行因特网访问的模型。USIM因特网是一种驻留在USIM中的技术(例如Java卡Applet程序),USIM是交易分析和访问控制的单独点,其中终端硬件的端用户将需要在此传递这项技术用于服务和内容消费。
如图4所示,USIM因特网访问的简单流在终端受到USIM的控制。
■USIM因特网-网络流
在USIM控制的因特网访问模型中,网络业务流将基本是开放因特网网络流,除了在访问因特网之前,终端将需要通过USAT协议请求USIM的许可。终端在获取IP地址以及使用TCP/UDP通过IP连接到各种协议端口进行因特网服务之前将需要请求许可。例如,USIM可以授权或限制终端的电子邮件客户端到POP3的连接(通常是TCP端口110)。在另一例子中,USIM可以基于内容类型而授权或限制通过HTTP(通常是TCP端口80)到内容(即MP3音频、JPEG视频、H.261视频会议等等)的访问。
USIM流控制的另一优点在于,USM可以限制端用户对特定站点的访问,并且限制对特定内容项的授权(黑名单)。而且,USIM流控制可以促进对其他站点的访问并授权选择特定内容项(白名单)。这都在当前HTTP 1.0和1.1协议规范中得到支持。
■门和控制
在USIM因特网模型中,控制点驻留在USIM中,其某些优点如下:
-所有因特网访问都受到单独一致软件应用程序(例如USIM的Java卡Applet程序)的控制,具有这个单独控制点,将允许各种类型的监控和交易分析的进行。
-端用户可以自由地在其他网络上漫游,而不用管其他漫游网络所采纳的因特网模型是什么。
-端用户可以将其USIM卡交换到其他终端中,保持相同的访问和控制状况。
■帐户管理
在USIM因特网模型中,根据预设的帐户管理协议,交易事件可以在终端通过USIM进行分析,因为所有因特网访问都正通过单一控制点移动。可以在终端上生成并记录帐户报告,以便服务提供商和订户使用。这个模型还将允许端用户在其他网络漫游而准确结算所使用的许可的服务,不用管其他网络所采纳的因特网模型是什么。
■有关USIM因特网的技术问题
安全性
在USIM因特网模型中,控制点驻留在USIM中,并且依赖于USIM的安全性。如果USIM被黑,用于因特网访问的控制点就受到危害。一种解决方案是在终端和USIM之间具有认证流程,以确定USIM的可靠性。
存储
在USIM因特网模型中,应用程序(例如Java卡Applet程序)和访问/帐户信息都储存在USIM上,存储量有限(即128K)。
作为旁注的是,USIM存储(例如访问和帐户信息)可以按需要通过承载独立协议(BIR)、使用逻辑信道动态地得到更新。
■有关USIM因特网的技术优点
实现
下面是关于实现的USIM因特网模型的优点:
-开发。与其他因特网模型相比,USIM因特网模型中的开发较少。
-基础设施。对基础设施的影响小。
-成本。与其他因特网模型相比,USIM因特网模型的成本将显著减少。
可伸缩性
可伸缩性对USIM因特网模型来说将不是问题,因为因特网访问的处理分发给了每一USIM(即分布式处理模型)。
漫游
USIM因特网模型的主要技术优点是漫游。由于控制点驻留在USIM中,端用户可以自由地在其他网络漫游,并且具有与其归属网络相同的因特网访问控制,而不管漫游网络所采纳的因特网模型是什么。
■结论
USIM因特网模型提供因特网访问控制,其节约成本、可伸缩、易于实现并且对网络基础设施的影响小。由于控制点驻留在USIM中,交易分析和访问控制可以触发结算事件,对服务和内容消费可以实时获取并记录。这个模型允许端用户自由地在其他网络上漫游,而不用管漫游网络所采纳的因特网模型是什么。
开放因特网由于没有实现控制的工作而具有吸引力,但是使系统易受攻击。第一解决方案将USIM代理因特网看作是混合模型,其中融合了因特网和无线订户的想法。第二解决方案将USIM因特网模型看作是纯USIM解决方案。这是具有吸引力的,因为所有的访问都在USIM级别受到控制。这是有利的,因为所有个人化、有关个人化的决定、以及访问都在USIM中进行。代理仍可以在该模型中使用,但它们不具有CID。USIM模型还允许对各种其他协议端口的受控访问,诸如微软的MMS或者其他音频和视频服务的RTSP/RDP。
Claims (14)
1.一种用于移动无线设备的开放因特网安全的方法,包括如下步骤:
向移动无线设备提供性能,包括通过至少部分地由无线网络服务提供商控制的无线通信网络连接到因特网的性能;以及
向所述移动无线设备提供USIM,该USIM受到所述无线服务提供商的控制,其中,所述USIM被编程以选择性地启用移动无线设备的特定性能并且控制对因特网的访问。
2.如权利要求1所述的方法,其中,对因特网的访问的控制是由USIM根据预先确定的标准而实施管理的。
3.如权利要求2所述的方法,其中,所述预先确定的标准限定访问批准的因特网网站的列表中的因特网网站。
4.如权利要求2所述的方法,其中,所述预先确定的标准限定访问批准的网页的列表中的网页。
5.如权利要求2所述的方法,其中,所述预先确定的标准限定访问批准的因特网服务。
6.如权利要求2所述的方法,其中,所述预先确定的标准限定访问批准的因特网产品。
7.如权利要求2所述的方法,进一步包括步骤:在因特网内容、服务和产品提供商之间提供中间代理服务,其限定了因特网内容、服务和产品提供商向无线网络服务提供商的订户传输的内容并且对传输的内容印记以内容标识符;
将内容标识符分为不同的类;以及
对订户的USIM编程以允许只访问预先确定的类。
8.如权利要求7所述的方法,其中,所述内容标识符被分类为不同的等级,并且其中,订户的USIM允许根据订户计划而访问所选择的等级。
9.如权利要求8所述的方法,其中,不同等级的费用是不同的,并且根据订户计划中提供的服务等级而提供对所选择等级的访问。
10.如权利要求7所述的方法,包括如下进一步的步骤:对于所选择的订户USIM,分析交易事件,并且对于订户USIM允许到订户的传输进行结算。
11.一种移动无线设备,操作在无线通信网络中,该无线通信网络至少部分地由向订户提供无线网络服务的无线网络服务提供商控制,所述移动无线设备包括:
移动无线终端,具有能够在所述无线通信网络中通信并且能够连接到因特网的电子电路;以及
可移除的电路卡,其可安装在移动无线终端上,所述可移除的电路卡受到无线网络服务提供商的控制,其中,当所述电路卡安装在移动无线终端中时,所述可移除的电路卡提供给所述服务提供商的订户,并且定义订户通过服务提供商的无线通信对服务提供商的无线通信网络的访问以及对因特网的访问。
12.如权利要求11所述的移动无线设备,其中,所述可移除的电路卡包括USIM。
13.如权利要求11所述的移动无线设备,其中,所述可移除的电路卡被编程为选择性地控制到因特网的访问。
14.如权利要求11所述的移动无线设备,其中,所述可移除的电路卡被编程以处理内容标识符,用于阻止对具有特定的预先指定的内容标识符的因特网内容的访问,其中,所述内容标识符是关联于服务提供商而由代理建立的。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US54654204P | 2004-02-20 | 2004-02-20 | |
US60/546,542 | 2004-02-20 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN1922583A true CN1922583A (zh) | 2007-02-28 |
Family
ID=34910786
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2005800053135A Pending CN1922583A (zh) | 2004-02-20 | 2005-02-18 | 用于移动无线设备的开放因特网安全的方法和装置 |
Country Status (6)
Country | Link |
---|---|
US (1) | US20090254974A1 (zh) |
EP (1) | EP1723524A1 (zh) |
CN (1) | CN1922583A (zh) |
AU (1) | AU2005217409A1 (zh) |
CA (1) | CA2560476A1 (zh) |
WO (1) | WO2005083570A1 (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8364778B2 (en) * | 2007-04-11 | 2013-01-29 | The Directv Group, Inc. | Method and system for using a website to perform a remote action on a set top box with a secure authorization |
US9824389B2 (en) | 2007-10-13 | 2017-11-21 | The Directv Group, Inc. | Method and system for confirming the download of content at a user device |
GB2458279A (en) * | 2008-03-11 | 2009-09-16 | Nec Corp | Network access control via mobile terminal gateway |
US20100057583A1 (en) * | 2008-08-28 | 2010-03-04 | The Directv Group, Inc. | Method and system for ordering video content using a link |
US10827066B2 (en) | 2008-08-28 | 2020-11-03 | The Directv Group, Inc. | Method and system for ordering content using a voice menu system |
EP2617218B1 (en) * | 2010-09-14 | 2019-07-10 | Vodafone IP Licensing Limited | Authentication in a wireless access network |
Family Cites Families (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE69231113T2 (de) * | 1991-04-08 | 2001-03-01 | Koninkl Philips Electronics Nv | Speicherverfahren für bibliographische Information über Daten aus einer endlichen Textquelle, und insbesondere Dokumentverbuchungen zur Verwendung in einem Suchsystem für Ganztextdokumente |
US6182141B1 (en) * | 1996-12-20 | 2001-01-30 | Intel Corporation | Transparent proxy server |
US5987606A (en) * | 1997-03-19 | 1999-11-16 | Bascom Global Internet Services, Inc. | Method and system for content filtering information retrieved from an internet computer network |
EP2306662B1 (en) * | 1998-10-05 | 2014-08-27 | Sony Deutschland Gmbh | Random access channel prioritization scheme |
ES2286964T3 (es) * | 2000-04-04 | 2007-12-16 | Sony Deutschland Gmbh | Cambio de clase de servicio de acceso en una canal aleatorio, provocado por un evento. |
EP1311931A4 (en) * | 2000-07-21 | 2006-03-15 | Telemac Corp | VARIOUS VIRTUAL PORTFOLIOS IN RADIO DEVICES |
FR2823408B1 (fr) * | 2001-04-09 | 2003-05-30 | Gemplus Card Int | Procede de transmission de donnees par une station mobile comportant une etape de determination de la mds |
US8549110B2 (en) * | 2001-06-25 | 2013-10-01 | Cinterion Wireless Modules Gmbh | Method for transmitting data |
US20030014659A1 (en) * | 2001-07-16 | 2003-01-16 | Koninklijke Philips Electronics N.V. | Personalized filter for Web browsing |
US7379920B2 (en) * | 2001-12-04 | 2008-05-27 | Gary Leung | System and method for facilitating electronic financial transactions using a mobile telecommunication device |
US7596373B2 (en) * | 2002-03-21 | 2009-09-29 | Mcgregor Christopher M | Method and system for quality of service (QoS) monitoring for wireless devices |
US7218915B2 (en) * | 2002-04-07 | 2007-05-15 | Arris International, Inc. | Method and system for using an integrated subscriber identity module in a network interface unit |
US8060139B2 (en) * | 2002-06-24 | 2011-11-15 | Toshiba American Research Inc. (Tari) | Authenticating multiple devices simultaneously over a wireless link using a single subscriber identity module |
US7336973B2 (en) * | 2002-10-30 | 2008-02-26 | Way Systems, Inc | Mobile communication device equipped with a magnetic stripe reader |
US20040054629A1 (en) * | 2002-09-13 | 2004-03-18 | Sun Microsystems, Inc., A Delaware Corporation | Provisioning for digital content access control |
SE0300670L (sv) * | 2003-03-10 | 2004-08-17 | Smarttrust Ab | Förfarande för säker nedladdning av applikationer |
WO2004086676A1 (en) * | 2003-03-19 | 2004-10-07 | Way Systems, Inc. | System and method for mobile transactions using the bearer independent protocol |
US20050114261A1 (en) * | 2003-11-21 | 2005-05-26 | Chuang Guan Technology Co., Ltd. | Payment system for using a wireless network system and its method |
EP1813073B1 (en) * | 2004-10-29 | 2010-07-21 | Telecom Italia S.p.A. | System and method for remote security management of a user terminal via a trusted user platform |
-
2005
- 2005-02-18 WO PCT/US2005/005318 patent/WO2005083570A1/en active Application Filing
- 2005-02-18 CA CA002560476A patent/CA2560476A1/en not_active Abandoned
- 2005-02-18 AU AU2005217409A patent/AU2005217409A1/en not_active Abandoned
- 2005-02-18 EP EP05713826A patent/EP1723524A1/en not_active Withdrawn
- 2005-02-18 CN CNA2005800053135A patent/CN1922583A/zh active Pending
- 2005-02-18 US US10/590,094 patent/US20090254974A1/en not_active Abandoned
Also Published As
Publication number | Publication date |
---|---|
US20090254974A1 (en) | 2009-10-08 |
AU2005217409A1 (en) | 2005-09-09 |
WO2005083570A1 (en) | 2005-09-09 |
EP1723524A1 (en) | 2006-11-22 |
CA2560476A1 (en) | 2005-09-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10749871B2 (en) | Intelligent management of application connectivity | |
US8831624B2 (en) | Back-channeled packeted data | |
US8095124B2 (en) | Systems and methods for managing and monitoring mobile data, content, access, and usage | |
US9456339B1 (en) | Mobile device monitoring and tracking system | |
JP5362347B2 (ja) | 無線装置でコンテンツ変換を管理する装置および方法 | |
WO2018183793A1 (en) | Attribute-controlled malware detection | |
CN101065940A (zh) | 中继装置、中继方法和程序 | |
CN1476708A (zh) | 使用实时数据用于促进信息交换的商务对商务引擎和系统 | |
US20120240205A1 (en) | Selective internet priority service | |
CN1476697A (zh) | 便于在电信网络和服务提供商之间交换实时信息的装置 | |
CN1836169A (zh) | 在移动电信系统中的自动ip话务优化 | |
CN1263323C (zh) | 基于推技术发送视频信息到移动电话的方法 | |
CN1922583A (zh) | 用于移动无线设备的开放因特网安全的方法和装置 | |
JP2006060811A (ja) | 移動体通信装置のためにスパムメールをフィルタリングする方法 | |
CN1867025A (zh) | 对预付费用户进行计费控制的方法 | |
CN1682510A (zh) | 在通信网络中提供地址保密 | |
CN1871572A (zh) | 将内容绑定到用户 | |
CN1675910A (zh) | 具有禁止与特定网站进行连接的功能的通信终端及其程序 | |
CN1398375A (zh) | 用于认证用户的方法和设备 | |
CN1917700A (zh) | 移动终端定位信息处理的方法 | |
CN1617502A (zh) | 计费方法和通信设备 | |
US7536442B2 (en) | Method, system, and storage medium for providing autonomic identification of an important message | |
CN1823543A (zh) | 移动通信网络中的服务限制 | |
CN1311588A (zh) | 使访问管理者在一个通信网络中授予特权的方法和系统 | |
US20070130285A1 (en) | Electronic apparatus with router device for managing connections |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1104358 Country of ref document: HK |
|
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: WD Ref document number: 1104358 Country of ref document: HK |