KR101631345B1 - 장치 보조 서비스를 위한 보안 기술 - Google Patents

장치 보조 서비스를 위한 보안 기술 Download PDF

Info

Publication number
KR101631345B1
KR101631345B1 KR1020117019899A KR20117019899A KR101631345B1 KR 101631345 B1 KR101631345 B1 KR 101631345B1 KR 1020117019899 A KR1020117019899 A KR 1020117019899A KR 20117019899 A KR20117019899 A KR 20117019899A KR 101631345 B1 KR101631345 B1 KR 101631345B1
Authority
KR
South Korea
Prior art keywords
service
partition
wireless network
network
agent
Prior art date
Application number
KR1020117019899A
Other languages
English (en)
Other versions
KR20110119763A (ko
Inventor
그레고리 지. 롤리
Original Assignee
헤드워터 파트너스 아이 엘엘씨
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US12/380,780 external-priority patent/US8839388B2/en
Application filed by 헤드워터 파트너스 아이 엘엘씨 filed Critical 헤드워터 파트너스 아이 엘엘씨
Publication of KR20110119763A publication Critical patent/KR20110119763A/ko
Application granted granted Critical
Publication of KR101631345B1 publication Critical patent/KR101631345B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/50Service provisioning or reconfiguring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/37Managing security policies for mobile devices or for controlling mobile applications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Computer And Data Communications (AREA)
  • Telephonic Communication Services (AREA)

Abstract

장치 보조 장치를 위한 보안 기술이 제공된다. 일부 실시예에서, 보안 서비스 계측 및/또는 제어 실행 파티션이 제공된다. 일부 실시예에서, 무선 네트워크 상에서 통신 장치의 서비스 이용의 제어를 할당하기 위해 적어도 부분적으로 통신 장치의 프로세서의 보안 실행 환경에서 실행되는 서비스 프로파일을 이행하되, 서비스 프로파일은 복수의 서비스 정책 세팅을 포함하고, 서비스 프로파일은 무선 네트워크 상에 서비스로의 액세스를 제공하는 서비스 계획과 관련되게 하는 것과, 서비스 프로파일에 기초하여 서비스의 이용을 모니터링하게 하는 것과, 서비스의 상기 모니터링된 이용에 기초하여 상기 서비스의 이용을 검증하게 하는 것을 포함한다.

Description

장치 보조 서비스를 위한 보안 기술{SECURITY TECHNIQUES FOR DEVICE ASSISTED SERVICES}
다른 출원과의 교차 참조
본 출원은, SERVICES POLICY COMMUNICATION SYSTEM AND METHOD라는 제목으로 2009년 1월 28일에 출원된 미국 특허 가출원 제61/206,354호(대리인 관리 번호: RALEP001+), SERVICES POLICY COMMUNICATION SYSTEM AND METHOD라는 제목으로 2009년 2월 4일에 출원된 미국 특허 가출원 제61/206,944호(대리인 관리 번호: RALEP002+), SERVICES POLICY COMMUNICATION SYSTEM AND METHOD라는 제목으로 2009년 2월 10일에 출원된 미국 특허 가출원 제61/207,393호(대리인 관리 번호: RALEP003+), SERVICES POLICY COMMUNICATION SYSTEM AND METHOD 라는 제목으로 2009년 2월 13일에 출원된 미국 특허 가출원 제61/207,739호(대리인 관리 번호: RALEP004+), 및 SECURITY TECHNIQUES FOR DEVICE ASSISTED SERVICES라는 제목으로 2009년 10월 15일에 출원된 미국 특허 가출원 제61/252,151호(대리인 관리 번호: RALEP025+)의 우선권을 주장하며, 이들 문헌은 모든 목적을 위해 참조로서 본 명세서에서 인용된다.
본 출원은, AUTOMATED DEVICE PROVISIONING AND ACTIVATION라는 제목으로 2009년 3월 2일에 출원된 미국 특허 출원 제12/380,780호(대리인 관리 번호: RALEP007)와, SERVICES POLICY COMMUNICATION SYSTEM AND METHOD라는 제목으로 2009년 1월 28일에 출원된 미국 특허 가출원 제61/206,354호(대리인 관리 번호: RALEP001+), SERVICES POLICY COMMUNICATION SYSTEM AND METHOD라는 제목으로 2009년 2월 3일에 출원된 미국 특허 가출원 제61/206,944호(대리인 관리 번호: RALEP002+), SERVICES POLICY COMMUNICATION SYSTEM AND METHOD라는 제목으로 2009년 2월 10일에 출원된 미국 특허 가출원 제61/207,393호(대리인 관리 번호: RALEP003+), 및 SERVICES POLICY COMMUNICATION SYSTEM AND METHOD라는 제목으로 2009년 2월 13일에 출원된 미국 특허 가출원 제61/207,739호(대리인 관리 번호: RALEP004+)의 일부 계속 출원이다.
매스 마켓 디지털 통신, 애플리케이션 및 컨텐츠 배포의 출현과 함께, 무선 네트워크, 케이블 네트워크 및 DSL (Digital Subscriber Line) 네트워크와 같은 많은 액세스 네트워크들은 사용자 용량(user capacity)을 강요받는데, 예를 들어 EVDO(Evolution-Data Optimized), HSPA(High Speed Packet Access), LTE(Long Term Evolution), WiMax(Worldwide Interoperability for Microwave Access), DOCSIS, DSL 및 Wi-Fi(Wireless Fidelity) 무선 네트워크들은 더욱 더 억제되는 사용자 용량이 되고 있다. 무선 경우에 있어서, 무선 네트워크 용량이 MIMO (Multiple-Input Multiple-Output)와 같은 새로운 고용량 무선 라디오 액세스 기술에 따라 증가하고 더 많은 주파수 스펙트럼이 미래에 전개된다 하더라도, 이러한 용량 이득은 증가하는 디지털 네트워킹 요구를 충족시키도록 요구되는 것보다 적을 것 같다.
유사하게, 케이블 및 DSL과 같은 유선 라인 액세스 네트워크가 무선에 비해 사용자마다 더 높은 평균 용량을 가질 수 있다 하더라도, 유선 라인 사용자 서비스 소비 습관은 가용 용량을 급속히 소비할 수 있고 전체적인 네트워크 서비스 경험을 열화시킬 수 있는 매우 높은 대역폭 애플리케이션 및 컨텐츠로 향하는 추세이다. 서비스 제공자 비용의 일부 구성소자들이 증가하는 대역폭을 따라 가기 때문에, 이러한 추세는 또한 서비스 제공자 이득에 부정적으로 영향을 미칠 것이다.
본 발명은 장치 보조 서비스를 위한 보안 기술을 제공하는 것을 목적으로 한다.
본 발명의 일 실시예에 따른 시스템은: 무선 네트워크 상에서 서비스의 통신 장치 이용의 제어를 도와주기 위해 적어도 부분적으로 보안 실행 환경에서 실행되는 서비스 프로파일을 이행하되, 상기 서비스 프로파일은 복수의 서비스 정책 세팅을 포함하고, 상기 서비스 프로파일은 상기 무선 네트워크 상에서 상기 서비스에 대한 액세스를 제공하는 서비스 계획과 관련되고, 상기 서비스 프로파일에 기초하여 상기 서비스의 이용을 모니터링하고, 상기 서비스의 모니터링된 이용에 기초하여 상기 서비스의 이용을 검증하도록 구성되는 통신 장치의 프로세서; 및 상기 프로세서에 결합되고, 상기 프로세서에 지시를 제공하도록 구성되는 상기 통신 장치의 메모리를 포함하는 것을 특징으로 한다.
본 발명의 일 실시예에 따른 방법은: 무선 네트워크 상에서 서비스의 통신 장치 이용의 제어를 도와주기 위해 적어도 부분적으로 통신 장치의 프로세서의 보안 실행 환경에서 실행되는 서비스 프로파일을 이행하는 단계로서, 상기 서비스 프로파일은 복수의 서비스 정책 세팅을 포함하고, 상기 서비스 프로파일은 상기 무선 네트워크 상에서 상기 서비스에 대한 액세스를 제공하는 서비스 계획과 관련되는 단계; 상기 서비스 프로파일에 기초하여 상기 서비스의 이용을 모니터링하는 단계; 및 상기 서비스의 상기 모니터링된 이용에 기초하여 상기 서비스의 이용을 검증하는 단계를 포함하는 것을 특징으로 한다.
본 발명의 일 실시예에 따른 컴퓨터 프로그램 제품은: 컴퓨터로 읽을 수 있는 저장 매체로 구현되고, 무선 네트워크 상에서 서비스의 통신 장치 이용의 제어를 도와주기 위해 적어도 부분적으로 통신 장치의 프로세서의 보안 실행 환경에서 실행되는 서비스 프로파일을 이행하는 단계로서, 상기 서비스 프로파일은 복수의 서비스 정책 세팅을 포함하고, 상기 서비스 프로파일은 상기 무선 네트워크 상에서 상기 서비스에 대한 액세스를 제공하는 서비스 계획과 관련되는 단계; 상기 서비스 프로파일에 기초하여 상기 서비스의 이용을 모니터링하는 단계; 및 상기 서비스의 상기 모니터링된 이용에 기초하여 상기 서비스의 이용을 검증하는 단계를 위한 지시를 포함하는 것을 특징으로 한다.
다양한 실시예가 다음의 상세한 설명 및 첨부한 도면에 개시되어 있다.
도 1은 일부 실시예에 따른 장치 보조 서비스에 대한 보안 실행 환경을 예시하고 있다.
도 2는 일부 실시예에 따른 장치 보조 서비스에 대한 다른 보안 실행 환경을 예시하고 있다.
도 3은 일부 실시예에 따른 장치 보조 서비스에 대한 다른 보안 실행 환경을 예시하고 있다.
도 4는 일부 실시예에 따른 장치 보조 서비스에 대한 다른 보안 실행 환경을 예시하고 있다.
도 5는 일부 실시예에 따른 장치 보조 서비스에 대한 다른 보안 실행 환경을 예시하고 있다.
도 6은 일부 실시예에 따른 장치 보조 서비스에 대한 다른 보안 실행 환경을 예시하고 있다.
도 7은 일부 실시예에 따른 장치 보조 서비스에 대한 다른 보안 실행 환경을 예시하고 있다.
도 8은 일부 실시예에 따른 장치 보조 서비스에 대한 다른 보안 실행 환경을 예시하고 있다.
도 9는 일부 실시예에 따른 장치 보조 서비스에 대한 다른 보안 실행 환경을 예시하고 있다.
도 10은 일부 실시예에 따른 장치 보조 서비스에 대한 다른 보안 실행 환경을 예시하고 있다.
도 11은 일부 실시예에 따른 장치 보조 서비스에 대한 다른 보안 실행 환경을 예시하고 있다.
본 발명은 수많은 방법으로 이행될 수 있으며, 프로세스로서, 장치, 시스템, 물질의 조성, 컴퓨터 판독가능 저장 매체 상에 내장된 컴퓨터 프로그램 제품, 및/또는 메모리에 저장되고 및/또는 그에 의해 제공되는 지시을 실행시키도록 구성된 프로세서와 같은 프로세서를 포함할 수 있다. 이 명세서에서, 이러한 이행, 또는 본 발명이 취할 수 있는 임의의 다른 형태는 기술이라고 지칭될 수 있다. 전반적으로, 개시된 프로세스의 단계들의 순서는 본 발명의 범주 내에서 변경될 수 있다. 별 다른 언급이 없다면, 과제를 수행하도록 구성되는 것으로 설명된 프로세서 또는 메모리와 같은 구성소자는 주어진 시간에 과제를 수행하도록 일시적으로 구성된 일반적인 구성소자 또는 과제를 수행하도록 제조된 특정 구성소자로서 이행될 수 있다. 본 명세서에서 사용되는 바와 같이, 용어 '프로세서'는 컴퓨터 프로그램 지시과 같은 데이터를 처리하도록 구성된 하나 이상의 장치, 회로, 및/또는 프로세싱 코어를 지칭한다.
본 발명의 하나 이상의 실시예에 대한 상세한 설명은 본 발명의 원리를 예시하는 첨부 도면과 함께 아래에서 제공된다. 본 발명은 그러한 실시예와 관련하여 설명되지만, 본 발명은 어떠한 실시예로도 제한되지 않는다. 본 발명의 범주는 특허청구범위에 의해서만 제한되며, 본 발명은 수많은 대안물, 변조물 및 등가물을 포괄한다. 수많은 특정 세부사항은 본 발명의 철저한 이해를 제공하도록 하기 위해 다음의 기재에서 설명된다. 이러한 세부사항은 예시의 목적으로 제공되며, 본 발명은 이러한 특정 세부사항 중 일부 또는 모두가 없이도 특허청구범위에 따라 실시될 수 있다. 명료성을 위해, 본 발명과 관련된 기술 분야에 알려져 있는 기술적 물질은 본 발명이 불필요하게 모호해지지 않도록 하기 위해 상세히 설명되지는 않았다.
일부 실시예에서는, 장치 보조 서비스에 대한 보안 기술이 제공된다. 일부 실시예에서는, 장치 보조 서비스에 대한 보안 서비스 계측(measure) 및/또는 제어 실행 파티션 기술이 제공된다. 일부 실시예에서는, 장치 보조 서비스에 대한 보안 실행 환경이 제공된다. 일부 실시예에서는, 장치 보조 서비스에 대한 보안 스택이 제공된다. 일부 실시예에서는, 장치 보조 서비스에 대한 보안 메모리가 제공된다. 일부 실시예에서는, (예컨대, 통신 장치 또는 중간 네트워킹 장치와 같은 장치 상에서 모뎀/모뎀 드라이버와 서비스 프로세서 및/또는 에이전트 사이에 보안 통신 링크를 제공하는) 장치 보조 서비스에 대한 보안 모뎀이 제공된다. 일부 실시예에서는, 장치 보조 서비스에 대한 하나 이상의 보안 모니터링 지점이 제공된다. 일부 실시예에서는 장치 보조 서비스에 대한 검증을 갖는 하나 이상의 보안 모니터링 지점이 제공된다(예컨대, 보안 모니터링 지점은 그러한 서비스 이용 계측을 검증할 수 있는 CPU/프로세서에서 보안 실행 환경에 안전하게 통신하는 모뎀에 제공될 수 있다). 일부 실시예에서는, 장치 보조 서비스에 대한 보안 버스가 제공된다. 일부 실시예에서는, 장치 보조 서비스에 대한 보안 실행 환경(들)로의 보안 액세스가 제공된다(예컨대, 장치 상에서 서비스 프로세서 또는 보안 에이전트에 의해 제어되는 버스에 액세스하는 데 신용장을 요구하는, 모뎀 드라이버와 같은 스택의 바닥측으로부터의 통신을 안전하게 한다). 일부 실시예에서는 (예컨대, 장치 상에서 서비스 프로세서 또는 보안 에이전트에 의해 제어되는 버스에 액세스하도록 하는 신임장을 요구하고, 버스 상의 트래픽이 암호화되며,) 모뎀 드라이버와 같은 스택의 바닥측으로부터의 통신을 안전하게 하는 장치 보조 서비스에 대한 보안 실행 환경(들)에 대한 보안 액세스가 제공된다. 일부 실시예에서는 장치 보조 서비스에 대한 다양한 보안 실행 환경이 다양한 하드웨어 파티션 기술(예컨대, CPU/프로세서에서 보안 메모리, 보안 모뎀, 보안 메모리 파티션(들))을 이용하여 제공된다.
일부 실시예에서, 장치 기반 서비스 이용 계측, 서비스 이용 정책 이행, 서비스 이용 정산, 서비스 이용 제어, 및 네트워크 기반 기능을 보조하고, 교체하며, 및/또는 증가시키는 다양한 실시예에서 설명되는 그 밖의 기능들 중의 임의의 기능 중 하나 이상을 제공한다. 예를 들어, 다양한 DAS 실시예는 다음의 것 중 하나 이상을 수행한다. 즉, 하나 이상의 액세스 서비스 네트워크에 대한 활성화를 용이하게 하고 제어하고; 하나 이상의 액세스 네트워크 상에서의 액세스 및/또는 서비스 이용을 계측하며; 하나 이상의 액세스 네트워크 상에서의 상이한 타입의 서비스 이용을 설명하고; 서비스 품질(QOS) 제어를 이행하며, QOS 트래픽 수요를 수집하고 보고하며, 다수의 서비스 QOS 요구 보고서를 집합시켜 전체적인 네트워크 QOS 요구의 계측을 평가하고; 및/또는 액세스 네트워크들 사이의 로밍을 용이하게 한다. 다양한 실시예와 관련하여 설명되는 DAS에 대한 기능 및 실시예는 더 많이 있다.
일부 실시예에서, 다양한 DAS 실시예를 이행하도록 하는 기능을 수행하는 다양한 프로그램/기능 구성요소들은 본 명세서에서 DAS 에이전트 또는 장치 보조 서비스 에이전트라고 지칭되며, 또는 일부 실시예에서는 더 많은 특정 용어가 특정 예에서 더욱 서술적이도록 사용된다. 일부 실시예에서, 장치 보조 서비스 에이전트 기능은 서비스 계측 및/또는 서비스 계측 기록 및/또는 (예컨대, 서비스 제어기, 장치, 사용자, 또는 그 밖의 장치 에이전트로의) 서비스 계측 보고서 작성 및/또는 (예컨대, 장치와 네트워크 사이의) 서비스 계측 동기화를 포함한다. 일부 실시예에서, 장치 보조 서비스 에이전트 기능은 서비스 이용 제어 및/또는 서비스 이용 제어 정책 세팅을 포함한다. 일부 실시예에서, 서비스 이용 제어는 네트워크 승인(authorization), 네트워크 인증(authentication), 네트워크 승인(admission), 액세스 제어, 서비스 이용 활동 분류, 하나 이상의 서비스 이용 활동에 대한 하나 이상의 서비스 이용 활동 및 트래픽 형상화의 허용 또는 불허 중 하나 이상을 포함한다.
일부 실시예에서, 장치 보조 서비스 에이전트 기능은, 네트워크 내의 QOS 제어 구성요소로 서비스 이용을 보고하고, 네트워크로부터 QOS 할당을 수신하며, 네트워크로 QOS 할당을 보고하고, 및/또는 네트워크 내의 QOA 서비스 보존 구성요소와 통신하는 것 중 하나 이상을 포함한다. 일부 실시예에서, 장치 보조 서비스 에이전트 기능은 다음의 기준, 즉 서비스 이용 활동의 정당한 큐잉, 할당된 QOS 계층의 서비스 이용 활동에 기초한 차별화된 QOS, 하나 이상의 서비스 이용 활동에 대한 네트워크로부터의 서비스 이용 활동 QOS 할당, 하나 이상의 서비스 이용 활동에 대한 네트워크로부터의 서비스 이용 활동 정책 지령 중 하나 이상의 것에 기초하여 장치 상에서 QOS 서비스 제어를 이행하는 것 중 하나 이상을 포함한다.
일부 실시예에서, 서비스 제어 링크가 장치 보조 서비스 에이전트와 서비스 제어 기사의 통신에 사용된다. 일부 실시예에서, 서비스 제어 링크는 보안 링크(예컨대, 암호화된 통신 링크)이다.
일부 실시예에서, 장치 보조 서비스 에이전트 기능은 장치 보조 서비스 시스템 통신, 서비스 계측의 계측 및/또는 기록 및/또는 보고 및/또는 동기화, 서비스 제어 무결성에 대한 통신 정보의 관찰, 서비스 제어 정책 지시 및/또는 세팅에 대한 정보의 통신, 또는 장치 보조 소프트웨어 및/또는 에이전트 세팅의 업데이트를 포함한다.
일부 실시예에서, 장치 상에서의 장치 보조 서비스는 서비스 계측, 서비스 제어, 사용자 인터페이스 및 이용 보고서 작성, 사용자 정책 옵션, 수락 정책 지시, 해킹, 말웨어(malware), 에러를 방지하도록 제공되는 보호된 실행 파티션, 및 그 밖의 보안 기술을 포함한다. 일부 실시예에서, 서버 상에서의 장치 보조 서비스는 정책을 설정하고, 구성을 설정하며, 에이전트를 설치/업데이트하고, 이용 대 정책을 체크하며, 에이전트의 적절한 동작을 체크하고, 네트워크로부터 장치로의 이용을 동기화시키는 것, 및 그 밖의 검증 기술 중 하나 이상을 포함한다. 예를 들어, 정책 시행 시의 에러가 검출될 때, 서버는 장치를 더 관찰하거나, 검역하거나, 또는 중지시키도록 하는 동작을 수행할 수 있다.
일부 실시예에서, 제어 서버/제어 서비스 네트워크 구성요소는 장치로부터의 서비스 계측을 수신한다. 일부 실시예에서, 제어 서버/제어 서비스 네트워크 구성요소는 네트워크로부터 서비스 계측을 수신한다. 일부 실시예에서, 제어 서버/제어 서비스 네트워크 구성요소는 정책을 설정하고, 다수의 네트워크 전역에 걸쳐서 서비스를 관리한다(예컨대, 하나의 모뎀이 여러 도면에 도시되어 있지만, 다수의 모뎀이 지속적인 서비스 이용 계측, 서비스 제어, QOS 제어, UI(사용자 인터페이스), 사용자 선호도, 사용자 이용 보고서 작성, 및/또는 상이한 네트워크 전역에 걸친 그 밖의 세팅/제어를 갖는 다수의 네트워크에 채용될 수 있다).
일부 실시예에서, 트래픽 타입은 최선형 네트워크 트래픽(best effort network traffic), 실시간 트래픽(예컨대, VOIP와 같은 육성(live voice), 라이브 비디오 등), 스트리밍 트래픽, 멀티-캐스트 트래픽, 유니-캐스트 트래픽, 지점 간 트래픽(point to point traffic), 파일 타입, 애플리케이션과 관련된 트래픽, 실시간 트래픽, 할당된 우선순위를 갖는 트래픽, 특정 네트워크에 대한 트래픽 중 하나 이상의 것과 관련된다.
일부 실시예에서, 서비스 이용 활동은 장치에 의한 서비스의 이용을 지칭한다. 일부 실시예에서, 서비스 이용 활동은 액세스 네트워크로의 접속, 특정 목적지로의 접속, 네트워크 상의 URL 또는 주소, 하나 이상의 애플리케이션에 의한 네트워크로의 접속, 특정 타입의 트래픽의 송신, 일 타입의 거래 기반 서비스, 일 타입의 광고 기반 서비스, 또는 애플리케이션 타입, 네트워크 목적지/주소/URL, 트래픽 타입, 및 거래 타입 중 하나 이상의 것의 조합 중 하나 이상의 것일 수 있다.
일부 실시예에서, 장치 보조 기능을 수행하는 기능을 보호하도록 하는 장치 보조 서비스 에이전트/기능 요소의 보호에는 CPU(중앙 프로세서 유닛), APU(보조 프로세서 유닛), 또는 다른 하드웨어 기반 프로세서 상의 보호된 실행 파티션이 제공된다. 예를 들어, CPU, APU 또는 그 밖의 프로세서에서의 이러한 하드웨어 보호 실행 능력은 본 명세서에서 설명되는 보안 프로그램 실행 파티션을 생성하도록 일부 실시예에서 OS 소프트웨어 기능 또는 그 밖의 원시 모드 소프트웨어 기능과 조합될 수 있다. 일부 실시예에서, 호스트라는 용어는 장치 애플리케이션 및 네트워킹 스택을 실행하는 하드웨어 및 펌웨어 및/또는 소프트웨어 시스템을 지칭하는 데 사용된다. 일부 실시예에서, 장치 보조 서비스 에이전트/기능 중 일부는 모뎀 실행 파티션 환경에서 이행된다.
도 1은 일부 실시예에 따라 장치 보조 서비스를 위한 (예컨대, 통신 장치용) 보안 실행 환경(100)을 예시하고 있다. 도 1에 도시된 바와 같이, 장치 실행 환경은 모뎀 서브시스템 #1(125) 내지 #N(127)을 이용하여 액세스 네트워크 #1 (136) 내지 #N (138) 중 하나 이상의 것에 접속하도록 하는 통신 장치(예컨대, 통신 장치는 WLAN 브리지/라우터/게이트웨이로의 3G/4G WWAN, 펨토 셀(femto cells), DOCSIS 모뎀, DSL 모뎀, 원거리 액세스/백업 라우터 및 그 밖의 중간 네트워크 장치와 같은 중간 네트워킹 장치, 또는 이동전화기, PDA, 전자책 리더(eBook reader), 음악 장치, 오락/게임 장치, 컴퓨터, 랩톱, 넷북, 태블릿, 홈 네트워킹 시스템, 및/또는 임의의 그 밖의 이동 통신 장치)에 대한 프로그램/기능 구성요소를 포함한다. 일부 실시예에서, 통신 장치는 다수의 프로그램 실행 파티션을 포함한다. 도 1에 도시된 바와 같이, 4개의 실행 파티션. 즉 예를 들어 애플리케이션 프로그램이 실행되는 애플리케이션 실행 파티션(102)과, 예를 들어 낮은 레벨의 드라이버 및 기본적인 낮은 레벨의 OS 프로그램이 실행되는 커널 실행 파티션(112)과, 일부 실시예에서 장치 보조 서비스 에이전트 및/또는 기능 중 일부 또는 모두가 실행되는 보호된 장치 보조 서비스(DAS) 실행 파티션(114)(보호된 DAS 파티션이라고도 지칭됨)과, 예를 들어 모뎀 프로그램 구성요소가 실행되고, 일 실시예에서는 장치 보조 서비스 에이전트 및/또는 기능 중 일부 또는 모두가 실행되는 모뎀 실행 파티션(142)이 제공된다. 일부 실시예에서, 이러한 실행 파티션 각각은 상이한 소프트웨어 기능에 대해 최적화되는데, 각각의 소프트웨어 기능은 기본적인 물리적 메모리, 데이터 메모리, CPU 또는 APU 또는 모뎀 프로세서 실행 리소스, 높은 레벨 및/또는 낮은 레벨의 OS, 메모리 관리, 파일 저장, I/O 장치 리소스(예컨대, 사용자 인터페이스(UI), 주변장치 등), 네트워크 통신 스택, 그 밖의 장치 리소스, 및/또는 프로그램의 동작에 요구되거나 사용되는 그 밖의 리소스)를 프로그램에 제공한다. CPU 또는 APU에 대한 이러한 하드웨어 및 소프트웨어 리소스의 수집은 본 명세서에서 때때로 호스트라는 용어로 지칭된다.
도시된 바와 같이, 도 1은 장치 실행 환경 내에서 이격된 파티션으로 도시되는 애플리케이션 실행 파티션(102) 및 커널 실행 파티션(112)을 예시하고 있다. 예를 들어, 이러한 이격은 여러 개의 상이한 대중적 운영체계(OS)(예컨대, 윈도우, 유닉스, 리눅스, MAC OS, 특정 이동 장치 OS, 특정 내장형 장치 OS 등)의 콘텍스트 내에서 "애플리케이션 프로그램"(예컨대, 브라우저, 워드프로세서, 사용자 인터페이스 등)에 비해 "커널 프로그램"(예컨대, 드라이버 및 네트워크 스택 등)이 공통적으로 지원되는 방법에 기초한다. 일부 실시예에서는 이 기능적 이격이 요구되지 않으며, 일부 실시예에서는 그 밖의 기능적 이격이 지원된다.
도 1에 도시된 바와 같이, 보호된 DAS 파티션 장치 보조 서비스 에이전트(110)와 같은 보호된 장치 보조 장치 에이전트는 보호된 DAS 파티션(114)에서 실행되고, 한편으로 보호되지 않은 장치 보조 서비스 에이전트 및/또는 OS 네트워킹 스택 구성요소 및 애플리케이션(예컨대, 애플리케이션(106a 내지 106c)은 보안 장치 보조 서비스 실행 파티션(114)의 외부, 예컨대 애플리케이션 파티션 장치 보조 서비스 에이전트(104) 및 OS 네트워킹 스택 및/또는 커널 파티션 장치 보조 서비스 에이전트(108)에서 실행된다. 예를 들어, 보호된 DAS 파티션(114)은 해커, 말웨어 또는 시스템 에러가 장치(예컨대, 통신 장치) 상에서의 장치 보조 서비스 관리, 서비스 정책 이행 또는 서비스 이용 제어 동작을 절충, 공격 또는 수정하는 것을 더욱 곤란하게 만들 수 있다. 일부 실시예에서, 보호된 DAS 파티션(114)은 보호하기가 더 쉬울 수 있도록 모든 프로그램 및 OS 구성요소로의 개방 액세스를 지원할 필요가 없다. 또한, 도시된 바와 같이, 애플리케이션 실행 파티션(102) 내의 버스 드라이버(116)는 모뎀 실행 파티션(124) 내의 버스 드라이버(121)와 통신하는 모뎀 버스(120)와의 통신을 제공한다. 보호된 DAS 파티션은 또한 도시된 바와 같이 호스트 보안 채널(150)과의 통신을 용이하게 하는 호스트 서비스 제어 링크(118)도 포함한다.
일부 실시예에서, 보호된 DAS 파티션(114)은 호스트에서 특정 구성(예컨대, 보안 가상 실행 환경 또는 개별 하드웨어 보안 기능)에 의해 지원되는 메인 장치 상의 보호된 실행 파티션이다. 예를 들어, 이 보호된 실행 파티션은 추가된 서비스 계측 무결성 및/또는 서비스 제어 무결성을 장치 보조 서비스 인에이블링된 장치로 제공하는 데 이용될 수 있다. 일부 실시예에서, 본 명세서에서 설명되는 바와 같이, 운영체제(OS)는 또한 장치 보조 서비스의 보안 동작을 위한 보호된 실행 파티션을 설립하는 역할을 수행하며, 일부 실시예에서, 이 역할은 보안 하드웨어 구성요소 상에서 동작하는 원시 소프트웨어 또는 펌웨어에 의해 수행된다.
일부 실시예에서, 서비스 제어 부결성을 유지시키는 일을 담당하는 DAS 에이전트는 보호된 DAS 파티션(114)에서 실행된다. 예를 들어, 보호된 DAS 파티션 장치 보조 서비스 에이전트(110)는 하나 이상의 서비스 이용 계측 기능; 장치 보조 서비스 시스템에 의해 모니터링 및/또는 제어되는 장치 네트워킹 스택 기능 중 일부 또는 모두; 스택 트래픽을 관찰하거나 조작하도록 OS 네트워킹 스택으로 인터페이스하는 장치 드라이버; 액세스 제어 무결성 기능; 서비스 정책 제어 기능; 서비스 UI 기능; 애플리케이션 식별 기능, 및/또는 애플리케이션, 주소/URL 및/또는 트래픽 타입의 조합에 의해 서비스 이용 활동을 분류하도록 하는 기능; 모뎀 버스 드라이버 기능; 및/또는 스택 주변에서 모뎀에 직접 액세스함으로써 그 밖의 비승인 프로그램이 장치 보조 서비스 계측 및/또는 제어를 바이패스하지 못하게 하는 모뎀 데이터 암호화 기능 중 하나 이상을 포함할 수 있다. 일부 실시예에서, 시스템 설계자 또는 주어진 세트의 설계 기준은 다양한 설명된 장치 보조 에이전트 기능 중 어떤 것이 시스템을 위한 서비스 제어 무결성을 강화시키기 위해 보호된 DAS 파티션(114)에서 실행되어야 하는지를 판정한다.
일부 실시예에서, 장치 운영체제는 운영체제에서 이용될 수 있는 통상적인 보안 특징 외에도 보호된 DAS 파티션(114)를 제공한다. 일부 실시예에서, 보호된 DAS 파티션(114)은, 예를 들어 서비스 계측 및/또는 서비스 제어 프로그램(에이전트)이 보다 높은 액세스 제어 무결성(예컨대, 적절한 서비스 이용 보고서 작성 및/또는 서비스 계측 및/또는 공격, 에러, 말웨어 등으로부터의 증가된 보호를 갖는 서비스 제어 시스템 동작)을 제공하는 모드에서 실행될 수 있는 증가된 프로그램 실행 보호를 실행 파티션으로 제공한다. 일부 실시예에서, 하드웨어 보조 보안 실행 파티션은 장치 보조 서비스 에이전트 기능에 대한 증가된 프로그램 실행 보호를 제공한다.
일부 실시예에서, 서비스 제어 링크(예컨대, 호스트 보안 채널(150)을 통과하는 네트워크 서비스 제어 링크(152)로의 호스트 서비스 제어 링크(118))는 장치 보조 서비스 에이전트와 서비스 제어기(122) 사이의 통신에 이용된다. 일부 실시예에서, 서비스 제어 링크는 보안 링크(예컨대, 암호화된 통신 링크)이다. 일부 실시예에서, 암호화된 보안 제어 링크는 네트워크 스택(예컨대, TCP, HTTP, TLS 등)의 상위 층 위에 이행될 수 있으며, 일부 실시예에서, 암호화된 링크는 IP 층 또는 액세스 네트워크 층(예컨대, WWAN 장치 관리 채널 또는 시그널링 층)과 같은 네트워크 스택 내의 하위 층 위에 이행될 수 있다. 일부 실시예에서, 서비스 제어 링크 보안성은 적어도 부분적으로 장치와 서비스 제어기(122) 사이의 링크 트래픽을 암호화함으로써 제공된다. 일부 실시예에서, 서비스 제어 링크 보안성은 적어도 부분적으로 보호된 DAS 파티션(114) 내의 서비스 제어 링크 장치 측 프로그램 에이전트를 실행시킴으로써 제공된다. 일부 실시예에서, 서비스 제어 링크 보안성은 적어도 부분적으로 서비스 제어기(122)와 통신하도록 허용된 특정 장치 보조 서비스 에이전트로의 서비스 제어 링크에 대한 액세스를 제한함으로써 달성된다. 일부 실시예에서, 서비스 제어 링크와 통신하도록 허용된 에이전트는 암호화된 통신을 이용하여 그러한 통신을 수행한다. 일부 실시예에서, 암호화된 통신은 장치 상의 보안 에이전트 간 통신 버스로 완수된다. 일부 실시예에서, 동작, 실행 코드, 실행 지시 및/또는 보호된 DAS 파티션(114)에서 실행되는 특정 장치 보조 서비스 프로세서 에어전트의 세팅의 구성을 수정하는 메커니즘만이 서비스 제어 링크를 통과한다. 일부 실시예에서는, 보호된 DAS 파티션(114)에서 실행되는 특정 장치 보조 서비스 프로세서 에이전트의 동작, 실행 코드, 실행 지시 및/또는 세팅의 구성을 수정하기 위한 메커니즘만이, 서비스 제어기(122)만이 서비스 계측 및/또는 서비스 제어 실행 파티션에 위치한 에이전트에 대한 동작 또는 서비스 정책 세팅을 수정할 수 있도록 서비스 제어 링크를 통과한다.
도 1에 도시된 바와 같이, 서비스 제어기(122) 내의 다양한 서버 기능이 제공된다. 일부 실시예에서, 서비스 이력 서버(158)는 장치 DAS 에이전트 중 하나 이상의 것으로부터 및/또는 액세스 네트워크 서비스 이용(142)(예컨대, 캐리어 과금 데이터 기록(CDR) 시스템), 사설 네트워크 서비스 이용(144)(예컨대, MVNO 또는 기업 네트워크 서비스 이용 정산 시스템), 및/또는 요금 청구, 중재 서비스 이용 로그, 조정(148)(예컨대, 서비스 제공자 요금 청구 또는 중재 시스템)과 같은 잠재적 네트워크 기반 서비스 이용 데이터베이스의 다양한 소스로부터 서비스 이용 계측을 수집한다. 일부 실시예에서, 액세스 제어 무결성 서버(156)는 장치 보조 서비스 에이전트가 타협하지 않았음을 보증하도록 하는 다양한 액세스 제어 검증 체크를 비교하는 데 사용된다. 이러한 무결성 체크를 수행하도록 액세스 제어 무결성 서버(156)에서 사용되는 다양한 실시예는 당야한 실시예와 관련하여 설명된다. 일부 실시예는, 바람직한 서비스 정책이 적절히 이행되었다면 결과로서 생겨야 하는 서비스 이용에 대하여 장치 기반 서비스 이용 계측을 비교하는 것과, 보호된 DAS 파티션(114) 및/또는 모뎀 실행 파티션(124)에서 실행되고 있는 장치 기반 서비스 이용 계측로 바람직한 서비스 정책이 적절히 이행되었다면 결과로서 생겨야 하는 서비스 이용에 대하여 장치 기반 서비스 이용 계측을 비교하는 것과, 바람직한 서비스 정책이 적절히 이행되었다면 결과로서 생겨야 하는 서비스 이용에 대하여 네트워크 기반 서비스 이용 계측을 비교하는 것과, 네트워크 기반 서비스 이용 계측을 장치 기반 서비스 이용 계측과 비교하는 것을 포함한다. 일부 실시예에서, 정책 제어 서버(154)는 장치 상에서 이행될 수 있는 다양한 서비스 계획에 대한 정책 세팅을 저장하고, 적절한 정책 세팅을 적절한 장치 DAS 에이전트에 통신한다.
일부 실시예에서, 서버 제어기(122)는, 예를 들어 하드웨어 개선 실행 파티션 및 보호된 DAS 파티션(144) 내로의 보안 채널 덕택에, 서비스 계측, 서비스 제어 세팅, 소프트웨어 이미지, 소프트웨어 보안 상태(들), 및/또는 그 밖의 세팅/기능으로의 보안 액세스를 갖는다. 예를 들어, 호스트 보안 채널(150)은 공개/비밀 또는 지점 간 비밀인 키를 이용하여 암호화될 수 있다. 또한, 그 밖의 링크 보안성은, 예를 들어 본 명세서에서 설명된 바와 같이 이행될 수 있다. 예를 들어, 서버는 링크가 인증된 상태를 유지하고 정보가 유효화된다는 것을 보증할 수 있다. 예를 들어, 서비스 제어기는 다음의 검증 기술, 즉 정책에 대하여 모니터링된 서비스 이용을 비교하는 기술, 그 밖의 서비스 이용 계측에 대하여 모니터링된 서비스 이용을 비교하는 기술, 및/또는 다양한 그 밖의 네트워크 서비스 이용 계측과 조합되는 기술 중 하나 이상을 수행할 수 있다.
일부 실시예에서, 보호된 DAS 파티션(114)은, 조합하여 작업하는, 즉 호스트 보안 채널(150)을 통해 서비스 제어기와 호스트 사이에 보안 메시지를 전송하고 수신하도록 네트워크 서비스 제어 링크(152)와 통신하는 호스트 서비스 제어 링크(118)를 포함한다. 일부 실시예에서, 보호된 DAS 파티션(114)은 서비스 제어기(122)로부터 새로운 프로그램 이미지만을 수락하고, 로컬 프로그램 또는 디스크로부터의 것은 수락하지 않는다. 일부 실시예에서, 보호된 DAS 파티션(114)은 그 밖의 애플리케이션 및/또는 커널 프로그램과 통신할 수 없다. 일부 실시예에서, 보호된 DAS 파티션(114)은 또한 그 밖의 애플리케이션 및/또는 커널 프로그램과 통신할 수 있지만, 오로지 정보를 수집하거나 세팅을 설정할 수 있을 뿐이다. 일부 실시예에서, 보호된 DAS 파티션(114)은 또한 그 밖의 애플리케이션 및/또는 커널 프로그램과 통신하되 오직 보호된 프로그램 또는 에이전트 기능으로의 외부 프로그램 액세스를 제한하는 제한적 암호화된 통신 버스만을 통해서 통신할 수 있고, 또한 보호된 파티션의 내부에 있는 에이전트를 프로그램으로부터의 비승인 정보 또는 코드 수정을 수락하는 것으로부터 보호된 파티션 외부로 제한할 수 있다. 본 명세서에서 설명되는 실시예의 관점에서 당업자에게 자명한 바와 같이, 다양한 보안 기술은 DAS 실행 환경에 제공될 수 있다.
일부 실시예에서, 보호된 DAS 파티션(114)은 운영체제 및/또는 그 밖의 소프트웨어에 의해 제공될 수 있는 그 밖의 소프트웨어 보안 특징(예컨대, 가상 실행 파티션)에 더하여 또는 그에 대한 대안으로 CPU 또는 APU 하드웨어 보안 특징을 이용함으로써 생성된다. 일부 실시예에서, 호스트 하드웨어 보안 특징에는 운영체제 보안 커널 동작 모드가 제공된다. 일부 실시예에서, 보안 장치 보조 서비스 실행 파티션 동작에 이용되는 호스트 하드웨어 보안 특징은 (예컨대, 파티션으로의 액세스를 갖지 않는 OS 및/또는 소프트웨어에 의해 직접 제어되지 않는 개별 보안 프로그램 영역에서 보안 프로그램 파티션 내에 이행되는) 운영체제 커널과는 무관하다.
일부 실시예에서, 보안된 DAS 파티션(114)을 지원하는 하드웨어 보안 특징은 장치 상의 그 밖의 구성요소들이 장치 보조 서비스 에이전트 및/또는 제어 링크 기능을 위해 보존되는 특정 메모리 영역을 기록 및/또는 판독하지 못하게 하는 것을 포함한다. 일부 실시예에서, 이 메모리 보호 기능은 비승인 장치 프로그램 구성요소(예컨대, 호스트 CPU 내의 분리된 메모리 공간의 개별 뱅크)에 의해 액세스될 수 없는 보안 하드웨어 파티션에 메모리를 위치시킴으로써 완수된다. 일부 실시예에서, 이 메모리 보호 기능은 승인된 장치 프로그램 구성요소만이 메모리에 액세스할 대응 암호화 능력을 소유하도록 메모리로의 및 메모리로부터의 트래픽을 암호화하는 것을 포함한다. 일부 실시예에서, 장치 보조 서비스 에이전트 메모리 및/또는 특정 데이터 구성요소에 액세스하도록 하는 메커니즘은, 장치 상의 비승인 프로그램 구성요소가 장치 보조 서비스 에이전트 코드 및/또는 동작을 변경할 수 없도록, 서비스 제어 링크를 통해 승인된 장치 보조 서비스 에이전트 및/또는 서비스 제어기로 제한된다.
일부 실시예에서, 보호된 DAS 파티션(114)을 지원하는 하드웨어 보안 특징은 장치 상의 비승인 구성요소가 장치 보조 서비스 에이전트 프로그램을 저장하는 데 이용되는 보호된 저장소 및/또는 파일 저장소(예컨대, 디스크 저장소, 비휘발성 메모리, NVRAM, 플래시 또는 NVROM과 같은 내장형 비휘발성 메모리, 보안 내장형 비휘발성 메모리, 및/또는 그 밖의 타입의 저장소와 같은 "보호된 저장소")에 액세스하지 못하게 하는 것을 포함한다. 일부 실시예에서, 이 보호된 저장소는 승인된 장치 보조 서비스 에이전트만이 저장소 위치로의 액세스를 갖도록 장치 보조 서비스 에이전트 중 하나 이상을 실행하는 보안 하드웨어 파티션 내에 유지된다. 일부 실시예에서, 이러한 보호된 파일 저장소에 저장된 이미지는 부트 로더(boot loader)가 장치 보조 서비스 에이전트 프로그램을 실행 메모리 내로 로드하는 것을 인가하도록 적절히 암호화되고 서명되어야 하며, 일부 실시예에서는 이미지가 적절히 서명되면, 액세스 제어 무결성 에러가 생성되고 및/또는 프로그램이 로드되지 않는다. 일부 실시예에서, 이러한 적절히 서명된 DAS 이미지는 서비스 제어기로부터만 획득될 수 있다. 일부 실시예에서, 이러한 DAS 이미지는 서비스 제어기에 의해 보호된 파일 저장소 내로만 로드될 수 있다. 일부 실시예에서, 장치 상의 비승인 구성요소들이 보호된 파일 저상소에 액세스하지 못하게 하는 하드웨어 보안 특징은 승인된 장치 프로그램 구성요소들만이 저장소에 액세스하도록 하는 대응 암호화 능력을 소유하도록 보안 저장소로 및 그로부터 모든 트래픽을 암호화하는 것을 포함한다. 일부 실시예에서, 장치 보조 서비스 에이전트 프로그램 저장을 재프로그래밍하도록 하는 액세스 또는 액세스 권리는 서비스 제어 링크를 통해 서비스 제어기로 제한되어, 장치 상의 비승인 프로그램 구성요소들이 장치 보조 서비스 에이전트 코드 및/또는 동작을 변경하도록 승인되지 않는다.
일부 실시예에서, 장치 보조 서비스 에이전트 저장소를 보호하는 하드웨어 보안 특징은 액세스 제어 무결성 에이전트 기능이 그 밖의 장치 프로그램 구성요소로부터 이격되는 보호된 DAS 파티션을 포함하며, 보안 서비스 제어 링크도 유사한 방법으로 이격되며, 액세스 제어 무결성 에이전트는 서비스를 계측 및/또는 제어하도록 하나 이상의 장치 보조 서비스 에이전트에 의해 사용되는 실행 메모리, 데이터 메모리 및/또는 파일 저장소를 스캔한다. 일부 실시예에서, 스캔의 목적은 장치 보조 서비스 에이전트 코드 및또는 데이터로의 변경을 검출하는 것이다. 일부 실시예에서, 스캔의 목적은 장치 보조 서비스 에이전트 실행에 이용되는 보존 또는 보호된 영역에 존재할 수 있는 그 밖의 비승인 프로그램 구성요소 또는 데이터를 검출하는 것이다. 일부 실시예에서, 그러한 스캔 감사의 보고서는 액세스 제어 무결성 위반을 식별하도록 하는 클라우드 기반 리소스의 사용에 의해 추후 프로세싱을 위해 서비스 제어 링크를 통해 서비스 제어기로 보고된다. 일부 실시예에서, 액세스 제어 무결성 에이전트 기능은 그 밖의 장치 보조 보안성 에이전트를 해시(hash)하는 것, 그 밖의 장치 보조 보안성 에이전트에게 질의하는 것, 그 밖의 장치 보조 보안성 에이전트의 독잘을 관찰하거나 서비스 계측을 모니터링하는 것, 장치 상에서 결과를 국부적으로 평가하여 그들이 사전 정의된 허용가능한 파리미터 내에 있는지 아니면 서비스 제어 링크를 통해 추후 분석을 위해 그 결과의 적어도 일부분을 서비스 제어기로 전송하고 있는지를 판정하도록 하는 것 중 하나 이상을 포함한다. 일부 실시예에서, 스캔 감사는 코드 구성 또는 동작 특성을 비교하도록 초기 버전의 스캔과 비교된다. 일부 실시예에서, 스캔 감사는 DAS 에이전트에 존재해야 하는 코드 또는 동작 특성에 대해 알려진 데이터베이스에 비교된다.
일부 실시예에서, 액세스 제어 무결성 에이전트 또는 새로운 버전의 액세스 제어 무결성 에이전트는 보안 서비스 제어 링크를 통해 서비스 제어기에 의해 다운로드될 수 있다. 예를 들어, 이 기술은 보안 장치 보조 서비스 에이전트(들)의 변조 또는 절충이 발생한 이벤트에서 상기에 설명된 바와 같은 장치 서비스 제어 보안성 상태의 실시간 평가를 제공한다. 일부 실시예에서, 다운로드되는 액세스 제어 무결성 에이전트는 해커 또는 말웨어가 짧은 기간 내에 에이전트의 동작을 스푸프(spoof)하는 것이 곤란하거나 불가능하도록 이전에 장치 상에 로드된 임의의 에이전트와는 상이한 구성 및/또는 동작을 가질 수 있다. 예를 들어, 일반적으로 에이전트를 스푸프하는 데 요구되는 것보다 적은 기간 내에 보안성 평가를 서버로 역으로 보고하도록 에이전트에게 요구함으로써, 에이전트는 장치 상태의 정확한 평가를 역으로 보고하거나 해커 또는 말웨어에 의해 차단될 것이며, 이러한 양측 조건 모두는 장치 보조 서비스 시스템이 변조되거나 절충된 경우에 행동을 취하는 데 요구되는 정보를 제공할 수 있다.
일부 실시예에서, 보호된 DAS 파티션 및/또는 모뎀 실행 파티션은 액세스 네트워크 및/또는 DAS 네트워크, 서비스 레벨, 및 서비스 이용 정산 및/또는 요금 청구에 대한 장치 그룹 연관, 활성화, 승인 중 하나 이상의 것에 이용되는 장치 신임장 중 일부 또는 모두를 안전하게 저장하는 데이용될 수 있다.
일부 실시예에서, 모뎀 서브시스템은 또한 DAS 시스템의 액세스 제어 무결성을 강화하는 DAS 구성요소를 포함한다. 도 1에 도시된 바와 같이, 하나 이상의 모뎀은, 일부 실시예에서 모뎀 파티션 DAS 에이전트(128)라고 라벨링된 DAS 에이전트 기능을 포함할 수 있다. 모뎀 실행 파티션(124)의 모뎀 서브시스템 #1(125)은, 도시된 바와 같이, 모뎀(128) 및 모뎀 서비스 제어 링크(130)와 통신(예컨대, 암호화된 통신을 이용하는 것과 같은 보안 통신하되 모뎀 보안 채널#1(134)을 경유하여 네트워크 서비스 제어 링크(152)와 통신하는 모뎀 파티션 DAS 에이전트(126)를 포함한다. 또한, 모뎀(128)은, 도시된 바와 같이, 비밀 네트워크 서비스 이용(144)과 통신하는 사설 네트워크(146)와 통신하는 액세스 네트워크 서비스 이용(142) 및 인터넷(140)과 통신하는 액세스 네트워크 #1(136)과 통신(예컨대, 암호화된 통신을 이용하는 것과 같은 보안 통신)한다.
모뎀 실행 파티션에서 실행되는 DAS 에이전트 기능에 대한 예시적인 실시예는 모뎀 암호화 및 모뎀 서비스 이용 계측을 포함한다. 다른 실시예에서, 모뎀 실행 파티션은 스택 트래픽 분류, 스택 조작, 액세스 제어, 및/또는 트래픽 제어와 같은 상위 레벨 DAS 에이전트 기능도 포함할 수 있다. 예를 들어, 모뎀 실행 파티션은 서비스 이용 계측 및/또는 서비스 제어의 모든 양상을 전체적으로 관리할 수 있는 완전 서비스 프로세서를 포함할 수 있다. 이제, 당업자에게는, 모뎀 실행 파티션이, 예를 들어 DAS 시스템의 서비스 무결성을 증가시키도록, 보호된 DAS 파티션의 콘텍스트에서 설명되는 다수의 서비스 보안 실시예를 채용할 수 있다는 것이 자명할 것이다. 예를 들어, 모뎀 상의 DAS 에이전트는 보호된 DAS 파티션으로부터 모뎀 실행 파티션으로의 네트워크 서비스 제어 링크 또는 로컬 보안 제어 링크에 의해서만 액세스가능한 모뎀 상의 비휘발성(NV) 메모리에 암호화되고 서명된 포맷으로 저장될 수 있다. 도 1에 도시된 바와 같이, 호스트 보안 채널(150)과는 별개인 개별 보안 모뎀 제어 채널(예컨대, 모뎀 보안 채널 #1(132) 내지 모뎀 보안 채널 #N(134))이 제공된다. 이 개별 모뎀 제어 채널은 액세스 네트워크 리소스로의 특별한 액세스가 모뎀 DAS 에이전트(126)에 접속하여 서비스 제어 관련 보안성을 더욱 증가시키는 데 요구되도록 장치의 상위 네트워크 층 위에 또는 하위 액세스 네트워크 층 위에 이행될 수 있다.
일부 실시예에서, 보호된 DAS 파티션은 부모 제어, 기업 WWAN 관리 제어 또는 로밍 제어, 및/또는 보호된 실행 공간에서의 이용 보고서 작성에 요구되는 DAS 에이전트 기능을 수행하는 것을 제공한다. 본 명세서에서 설명되는 DAS 실시예의 관점에서, 이제, 당업자에게는, 그들 다양한 애플리케이션 시나리오 및 그 밖의 애플리케이션 시나리오에 대한 그러한 보호된 제어를 어떻게 이행하는지가 자명할 것이다.
일부 실시예에서, 보호된 DAS 파티션은 보안 머신의 상측에서 가상 머신(virtual machine, VM)을 수행하는 것을 제공한다. 특별한 허용 없이 설치될 수 있는 소프트웨어에 의해 액세스 가능한 장치 애플리케이션 OS는 VM 하에서 실행 중인 보안 하드웨어 및/또는 OS로부터 분리될 수 있다. 이러한 기술을 이용하여, 말웨어는 본 명세서에서 설명되는 다양한 실시예와 관련하여 설명되는 바와 같이 "벽으로 둘러쳐진다(walled out)"기보다는 VM OS 상에 "둘러싸이는("cocooned in") 것일 수 있다.
일부 실시예에서, 보호된 DAS 파티션 내부의 DAS 에이전트에 대하여 보호된 DAS 파티션의 외부에 있는 프로그램/기능 구성요소들 사이의 통신은 보안 암호화된 채널에 의해 제어된다. 일부 실시예에서, DAS 에이전트와 통신하도록 하는 액세스를 갖는 프로그램/기능만이 그렇게 하도록 허용되며, 일부 실시예에서는 이러한 외부 프로그램이 DAS 에이전트 구성을 수정하고, 정보를 보고하기만 하며, 및/또는 정보를 수신하도록 허용되지 않는다.
용되되, 각각의 모뎀은 상이한 타입의 지원되는 액세스 네트워크에 대응하는 상이한 세트의 DAS 서비스 정책과 잠재적으로 관련된다. 일부 실시예에서, 3G/4G 모뎀, WWAN/지무 모뎀, 및 다양한 그 밖의 다수의 모뎀 실시예에 대한 것과 같이, 다수의 모뎀은 상이한 모뎀 서브시스템 상에서보다는 동일한 다중 모드 모뎀 서브시스템 상에 제공될 수 있다.
일부 실시예에서, 본 명세서에서 설명되는 다양한 기술 및 실시예는 중간 네트워킹 장치에 용이하게 적용될 수 있으며, 이는 당업자에게는 자명할 것이다. 에를 들어, 중간 네트워킹 장치는 중간 네트워킹 장치를 통해 무선 네트워크와 통신하는 하나 이상의 장치에 대한 서비스 이용을 관리하고, 제어하며, 및/또는 계측하는 DAS 에이전트 중 일부 또는 모두를 포함할 수 있으며, 이러한 DAS 에이전트는 본 명세서에서 설명되는 다양한 기술을 이용하여 보안 실행 환경 또는 보안 실행 파티션에서 실행될 수 있다. 일부 실시예에서, 중간 네트워킹 장치는, 예를 들어 WWAN/WLAN 브리지, 라우터 및 게이트웨이, WWAN/WLAN 또는 WWAN/블루투스를 이용하는 셀룰러 전화기, WWAN/LAN 또는 WWAN/WPAN 능력, 펨토 셀, 유선 액세스라우터용 백업 카드, 및 중간 네트워킹 장치의 그 밖의 포맷/타입을 포함한다.
도 2는 일부 실시예에 따른 장치 보조 서비스에 대한 다른 보안 실행 환경(200)을 예시하고 있다. 구체적으로, 도 2는 DAS 에이전트가 실제로는 OS 네트워크 스택 구성요소를 교체하지 않지만 그 대신에 하나 이상의 DAS 에이전트가 네트워크 스택 내로 인터페이스하고 트래픽 정보 또는 실제 트래픽을 스택 앞뒤로 전달하는(예컨대, 안전하게 통신하는) 장치 드라이버 프로그램을 포함하는 실시예를 예시하고 있다. 이러한 장치 드라이버 인터페이스 구조는 도 2에 도시된 바와 같이 OS 드라이버 프레임워크 및 인터페이스(208)로 라벨링된다. DAS 에이전트에 대한 이 타입의 아키텍처를 제공하는 예시적인 OS 시스템 구조는 윈ㄷ웅 NDIS 및/또는 TDI 드라이버, 윈도우 필터 플랫폼(WFP), 버클리 패킷 필터, ipf(예컨대, 유닉스, 리눅스, MAC OS와 같은 다양한 OS에 이용될 수 있는 BSD 패킷 필터), 및/또는 이러한 기능 또는 그 밖의 기능을 수행하는 그 밖의 플랫폼/프로그램을 포함한다. 이러한 OS 스택 옵션이 자체에서 안전하지 않지만, 그들과 인터페이스하는 드라이버가 도 2에 예시된 바와 같이 보호된 DAS 파티션(214)에서 드라이버를 실행시킴으로써 안전하게 된다면, 상위의 전체적인 액세스 제어 무결성/보안 레벨이 달성될 수 있다.
도 2에 도시된 바와 같이, 보호된 DAS 파티션(214)에서 실행되는 서비스 계측 및/또는 정책 제어 드라이버(210)는, 커널 실행 파티션(212)에서 실행되며 OS 스택 API(들)(207)와 통신/인터페이스하는 OS 드라이버 프레임워크 및 인터페이스(208)로 라벨링된 OS 스택 장치 드라이버 인터페이스 구조에 인터페이스하는 DAS 드라이버를 나타낸다. 또한 도시된 바와 같이, 애플리케이션(106a 내지 106c)과 같은 애플리케이션은 애플리케이션 실행 파티션(202)에서 실행된다. 일부 실시예에서, 서비스 액세스 제어 무결성은, 예를 들어, 네트워크 스택 서비스 이용 보고서 작성이 해킹, 변조, 및/또는 절충되면, 장치 및/또는 네트워크에 위치하는 보안 추가 또는 백업 서비스 계측(예컨대, 장치에 의한 서비스 이용을 계측하기 위한 모뎀에 서비스 계측 지점을 제공하고, 도시된 바와 같이 모뎀 암호화(225)를 이용하여 모뎀 에이전트(226)와의 보안 통신을 제공하는, 도면에 도시된 모뎀 에이전트(226))이 존재하도록, 네트워크 스택의 외부에 추가 계측 지점을 둠으로써 더 개선된다. 예를 들어, 도 2에 도시된 모뎀 에이전트(226), 모뎀 암호화(225), 및/또는 모뎀 버스(120) 기능에 의해 제공되는 서비스 계측는 보호된 파티션에서 실행될 수 있다(예컨대, 도 2에 도시된 바와 같은 모뎀 실행 파티션(124)은 본 명세서에서 설명된 다양한 기술을 이용하여 보안 또는 보호된 파티션으로서 이행될 수 있다).
도 3은 일부 실시예에 따른 장치 보조 서비스를 위한 다른 보안 실행 환경(300)을 예시하고 있다. 도시된 바와 같이, 일부 스택 구성요소는 커널 실행 파티션(312)에서 실행되며, 일부 스택 구성요소는 보호된 DAS 실행 파티션(314)에서 실행된다. 일부 실시예에서, 애플리케이션 실행 파티션(302)에서 실행되는 DAS 에이전트(104)는 그것을 인터셉트하고 추가 트래픽 계측을 부과하며 및/또는 필터링함으로써 스택 트래픽을 직접적으로 모니터링 및/또는 제어하고 있다. 이러한 기술의 예는 다양한 실시예와 관련하여 본 명세서에서 설명된다. 도 3에 도시된 바와 같이, 네트워크 스택 구성요소(308)는 커널 실행 파티션(312)에 상주하는 OS 스택 구성요소이고, 보호된 DAS 네트워크 스택 구성요소(310)는 보호된 DAS 실행 파티션(314)에 존재하는 스택 구성요소이다. 예를 들어, 스택 네트워크 트래픽 프로세싱 중 일부 또는 잠재적으로 모두가 보호된 DAS 실행 파티션(314)에 상주하면, 상위 레벨의 서비스 제어 무결성은 이러한 기술을 이용하여 유지될 수 있다. 예를 들어, 모뎀 버스 드라이버(121)는 모뎀 실행 파티션(324)과 같이 본 명세서에서 설명되는 다양한 기술을 이용하여 보안 실행 파티션으로 이행될 수 있는 보안 실행 파티션에서 실행될 수 있으며, 또는 모뎀 버스 드라이버(121)는 보호된 실행 파티션(314)에 실행될 수 있어, 비승인 프로그램은 모뎀을 통해 액세스 네트워크에 액세스하는 것으로부터 차단될 수 있다.
일부 실시예에서, 전체 스택은 커널 실행 파티션(312)에서 실행되는 스택 API만을 구비한 보호된 DAS 실행 파티션(314)에서 실행된다. 다양한 그 밖의 실시예는 (예컨대, 본 명세서에서 개시되는 다양한 그 밖의 실시예와 관련하여 설명되는) 서비스 정책 이행의 무결성은 확인하는 데 이용될 수 있는 서비스 계측을 안전하게 하는 데 요구되는 보호된 DAS 실행 파티션(314)에서 (예컨대, 에이전트 및/또는 기능의 수와 관련하여) 최소를 이행하는 것을 수반한다. 스택 프로세싱 기능들의 다양한 조합이, 본 명세서에서 설명되는 다양한 기술 및/또는 이와 유사한 기술을 이용하여 DAS 시스템의 서비스 계측 및/또는 서비스 제어 무결성을 강화하도록 보안 호스트 실행 파티션에서 이행될 수 있다는 것은 당업자에게 자명할 것이다.
일부 실시예에서, 보호된 DAS 실행 파티션에서 이행되는 스택 구성요소는 스택 API, 소켓 층, TCP, UDP, 스택 내의 하나 이상의 지점에서의 서비스 계측, IP 층 프로세싱, VPN/IPSEC, PPP, 액세스 제어, 트래픽 분류, 트래픽 큐잉, 트래픽 라우팅, 트래픽 QOS, QOS할당 서버에게로의 트래픽 수요 보고서 작성, QOS 서버로의 트래픽 통계 보고서 작성, 트래픽 타입이나 애플리케이션 타입이나 서버로의 서비스 우선순위에 의한 것들을 포함하는 트래픽 QOS 보존 요청, 트래픽 조정, 트래픽 통계 집합, 트래픽 QOS 우선순위 식별, 모뎀 드라이버, 모뎀 데이터 암호화, 및/또는 그 밖의 스택 구성요소 기능 또는 특징을 포함할 수 있다.
일부 실시예에서, 전술한 서비스 제어 메커니즘은 서버 또는 그 밖의 승인 네트워크 구성요소로부터 서비스 제어 링크를 통해 수신되는 정책 명령에 의해 제어된다. 일부 실시예에서, 장치는 또한 서버 또는 그 밖의 승인 네트워크 구성요소에게 이용 계측을 보고한다. 일부 실시예에서, 장치는 또한 서버 또는 승인 네트워크 구성요소에게 QOS 수요를 보고하고, 및/또는 서버 또는 그 밖의 승인 네트워크 구성요소로부터 QOS 지시을 수락한다. 일부 실시예에서, 장치 보고서, 트래픽 통계, 투영된 트래픽 수요, 애플리케이션 이용, 투영된 QOS 수요는 모두가 장치에 대한 정당한 양의 데이터 대역폭 및 트래픽 우선순위를 마련할 목적으로 서버 또는 그 밖의 승인된 네트워크 구성요소에게 보고될 수 있으며, 서버 또는 그 밖의 승인 네트워크 구성요소는 많은 상이한 장치로부터의 그러한 보고서를 집합시켜, 전체 네트워크에 걸쳐 필요로 되는 할당을 투영하고 글로벌 베어러 채널 레벨 또는 기지국 레벨 결정 베어러 채널 할당 및 베어러 채널 QOS 할당 결정을 하는데, 이는 베어러 채널 준비 또는 베어러 채널 QOS 준비 장치 또는 액세스 네트워크에 위치하는 그 밖의 승인 네트워크 구성요소 내로 연결될 수 있다.
예를 들어, 본 명세서에서 설명되는 다양한 실시예의 관점으로 보아 당업자에게 자명할 것이지만, 추가 보안 계측는 일부 실시예에서, 예를 들어 액세스 제어 무결성 체크를 포함하는, 보안 서비스 파티션화를 증가시키도록 추가될 수 있다. 예를 들어, 서버 또는 그 밖의 승인 네트워크 구성요소로부터 수신될 수 있는 서비스 제어 정책 지시에 더하여, 중간 정책 제어 에이전트는 정책이 얼마나 빨리 이행되어야 하는가에 대한 추가적인 상위 레벨 결정을 내리도록 제시될 수 있다.
도 3에 도시된 바와 같이, 모뎀 로컬 채널(330)로서 도시된 모뎀 제어 링크는 로컬 접속으로부터 호스트 서비스 제어 링크(118)로 링크를 제공하여, 이어서 호스트 보안 채널(150)을 통해 서비스 제어기(152)에 접속시킨다. 이 통신 채널은 암호화된 통신을 제공하도록 이행되거나 구성될 수 있고, 일부 실시예에서는 그 밖의 도면 및 본 명세서에서 설명되는 다양한 실시예와 관련하여 개시된 모뎀 서비스 제어 링크로부터 네트워크 서비스 제어 링크로의 직접적인 접속에 대한 대안으로서 사용될 수 있다.
도 3에 도시된 바와 같이, 모뎀 버스 드라이버(121)와 피드 또는 통신하는 최종 스택 구성요소는 보호된 DAS 실행 파티션(314)(도 3에서 실선으로 예시됨)에 위치하는 보호된 DAS 네트워크 스택 구성요소(310)이고, 또는 일부 실시예에서는 커널 실행 파티션(312)(도 3에서 점선으로 예시됨)에 위치한 네트워크 스택 구성요소(308)일 수 있다. 일부 실시예에서, 이러한 최종 스택 구성요소는 모뎀 서브시스템(125)과 피드 또는 통신한다. 일부 실시예에서, 모뎀 서브시스템(125)은 보호된 DAS 실행 파티션(314) 내의 스택 구성요소(310)가 모뎀(128)과 통신할 수 있지만 그 밖의 소프트웨어 프로그램 또는 하드웨어 구성요소는 그러할 수 없어서, 예를 들어 서비스 계측 및/또는 제어가 부적절하게 바이패스되거나 그와 달리 절충되지 못하게 할 수 있도록 암호화되는 링크를 포함한다. 예를 들어, 상기와 유사하게 논의된 바와 같이, 모뎀 서브시스템(125)은, 예를 들어 본 명세서에 설명된 다양한 기술을 이용하여 자기 소유의 보호된 실행 파티션을 포함할 수 있다. 모뎀 보호된 실행 파티션은, 서비스 계측에 의해 설명되는 서비스 제어 무결성 검증을 증가시키도록 ,예를 들어 서비스 계측(예컨대, 모뎀 에이전트(226)는 도 2에 관하여 설명된 바와 유사하게 모뎀 서브시스템(125)에 그러한 서비스 계측 지점을 제공할 수 있다)을 포함할 수 있다. 모뎀 서비스 계측는 오로지 서비스 제어기(122)에 의해 모뎀 로컬 채널(330)을 통해 액세스될 수 있는 보호된 실행 파티션에 포함될 수 있으며, 또는 모뎀 서비스 계측는 보호된 실행 파티션(314)에서 오로지 다른 DAS 에이전트(310)에 의해 액세스될 수 있다. 일부 실시예에서, 모뎀 로컬 채널(330)은 보안 채널(예컨대, 모뎀 서비스 제어 링크(130)와 호스트 서비스 제어 링크(118) 사이의 암호화된 통신 채널)로서 이행된다. 본 명세서에 설명된 바와 같이, 모뎀 드라이버는 보호된 서비스 실행 환경에 상주할 수 있고, 또는 모뎀 트래픽은 서비스 실행 환경 내에서 암호화될 수 있다. 예를 들어, 암호화 세팅은 다양한 보안 제어 서버에 의해 제어될 수 있다.
도 4는 일부 실시예에 따른 장치 보조 서비스를 위한 다른 보안 실행 환경(400)을 예시하고 있다. 구체적으로, 도 4는, 도시된 바와 같이, 앱(애플리케이션) 식별 에이전트(420), 액세스 제어 무결성 에이전트(422), 정책 제어 에이전트(424), 정책 이행 에이전트(426), 서비스 계측/서비스 모니터링 에이전트(428), 모뎀 암호화 에이전트(430), 및 버스 드라이버(432)를 포함하는 보호된 DAS 실행 파티션(414)에서 실행되는 DAS에 의해 수행되는 직접적인 스택 조작 옵션을 예시하고 있다. 예를 들어, 정책 이행 에이전트(426)는 서비스 제어 정책의 세트에 따라 액세스 제어 및/또는 트래픽 형상화를 수행한다. 서비스 제어 정책은, 예를 들어 서비스 제어기(122)에 의해 또는 정책 제어 에이전트(422)와 조합하여 서비스 제어기(122)에 의해 설정될 수 있다. 도시된 바와 같이, 앱 식별 에이전트(420)는 애플리케이션 실행 파티션(402)에서 실행되는 다양한 애플리케이션(106a 내지 106c)과 통신한다. 또한 도시된 바와 같이, 애플리케이션 실행 파티션(402)에서 실행되는 다양한 애플리케이션(106a 내지 106c)은 커널 실행 파티션(412)에서 실행되는 OS 스택 및/또는 API(들)(408)와 통신한다.
일부 실시예에서, 보호된 서비스 계측 에이전트(428), 모뎀 암호화 에이전트(430), 모뎀 드라이버 에이전트(432), 애플리케이션 식별자 에이전트(420), 액세스 제어 무결성 에이전트(422) 및 정책 제어 에이전트(424) 모두는 도시된 바와 같이 보호된 DAS 파티션(424)에서 이행된다. 일부 실시예에서, 이러한 기능들의 서브세트가 다양한 환경 내의 보호된 DAS 파티션과 같은 보호된 실행 파티션에서 이행될 수 있다는 것은 당업자에게 자명할 것이다.
도 4는 네트워크 기반 서비스 이용 계측에 이용가능하고 중재 및 요금 청구 시스템에 인터페이스하고 있는 다양한 실시예를 유사하게 도시하고 있으며, 실시예 및 도면 중 임의의 것 또는 모든 것이 캐리어 네트워크, MVNO, 사설 네트워크, 또는 기업 IP 관리자 제어, 부모 제어(parental controls), 다중 네트워크 제어, 및/또는 로밍 제어를 지원하는 개방 네트워크의 콘텍스트에서 채용될 수 있다.
도 5는 일부 실시예에 따른 장치 보조 서비스에 대한 다른 보안 실행 환경(500)을 예시하고 있다. 구체적으로, 도 5는, 도 5가 네트워크 서비스 제어 링크(152)를 통해(예컨대, 모뎀 보안 채널을 통해) 서비스 제어기(122)에 직접 접속되는 모뎀 서비스 제어 링크(132)를 예시하고 있다는 점을 제외하면 도 4와 유사하다. 일부 실시예에서, DAS에 대한 모뎀 제어 링크는 장치 상에 국부적으로 설립되거나 전체적으로 상이한 제어 채널을 통해 설립되는데, 일부 실시예에서 본 명세서에서 논의되는 개선된 보안성을 제공한다(예컨대, 장치 상에서 액세스될 수 없는 서비스 이용 계측 또는 서비스 제어를 해킹하는 것은 매우 어렵다).
도 6은 일부 실시예에 따른 장치 보조 서비스를 위한 다른 보안 실행 환경(600)을 예시하고 있다. 구체적으로, 도 6은 보호된 실행 파티션(614)에서 구동하는 전체 네트워킹 스택을 포함하는 정책 이행 에이전트(616) 및 커널 실행 파티션(612)에서 애플리케이션 식별 기능(620)을 포함하는 OS 스택 API(608)를 포함하는 정책 이행 에이전트(616)를 예시하고 있다.
도 7은 일부 실시예에 따른 장치 보조 서비스에 대한 다른 보안 실행 환경(700)을 예시하고 있다. 구체적으로, 도 7은 OS 네트워크 스택 구성요소를 대체하는 것이 아니라 그 대신에 하나 이상의 DAS 에이전트가 네트워크 스택 내로 인터페이스하고 트래픽 정보 또는 실제 트래픽을 스택의 앞뒤로 전달하는 장치 드라이버 프로그램으로 구성되는DAS 에이전트를 예시하고 있다. 이러한 장치 드라이버 인터페이스 구성은, 도 2와 관련하여 유사하게 도시되고 설명된 바와 같이, 도 6과 관련하여 유사하게 전술된 바와 같이 애플리케이션 기능(720)을 포함하는 OS 스택 API(708)와 함께 OS 드라이버 프레임워크 및 도 7의 인터페이스(722)로 라벨링되며, 커널 실행 파티션(712)에서 실행된다. 또한, 도시된 바와 같이, 애플리케이션 파티션 DAS 에이전트(104)는 애플리케이션 실행 파티션(702)에서 실행된다. 도 7의 실시예와 도 2와 관련하여 도시되고 설명된 실시예 사이의 주요 차이는 서비스 계측 에이전트(428), 모뎀 암호화 에이전트(430) 및 모뎀 드라이버 에이전트(432)가 도 7에 도시된 바와 같이 보호된 DAS 파티션(714)에서 실행된다는 것이다. 예를 들어, 이것은 다양한 실시예와 관련하여 본 명세서에서 설명된 바와 같이 증가된 서비스 제어 보안성을 제공한다.
도 8은 일부 실시예에 따라 장치 보조 서비스를 위한 다른 보안 실행 환경(800)을 예시하고 있다. 구체적으로, 도 8은 도 7의 것과 유사한 보다 간략한 실시예를 예시하고 있다. 도 8에서, 액세스 제어 무결성 에이전트(422) 및 서비스 계측(428)만이 보호된 DAS 파티션(814)에서 실행되고, 버스 드라이버(432) 및 서비스 계측 및/또는 정책 제어 드라이버(210)은 커널 실행 파티션(712)에서 실행된다. 이 실시예는, 적어도 하나의 보호된 서비스 계측이 장치 상에 제공되면, DAS 서비스 제어 무결성이 매우 높을 수 있다는 것을 예시한다. 예를 들어, 서비스 제어기(122)로부터 암호화된 제어 채널을 통하지 않고 서비스 계측 에이전트(428) 및 호스트 서비스 제어 링크(118)에 대한 프로그램 코드 또는 제어 트래픽에 액세스하는 것이 가능하지 않다면, 이 간략한 구성은 네트워크 기반 서비스 계측만큼이나 안전할 수 있다. 이 기술이 보호된 모뎀 실행 파티션(324)에서 유사하게 이행된 서비스 계측 및 제어 링크에 유사하게 적용된다는 것은 당업자에게 자명할 것이다. 일부 실시예에서, 액세스 제어 무결성 에이전트(422)는, 예를 들어 보호된 DAS 파티션(814)이 불이행되거나 절충되는 이벤트 시에 추가 보안성을 제공한다.
도 9는 일부 실시예에 따른 장치 보조 서비스를 위한 다른 보안 실행 환경(900)을 예시하고 있다. 구체적으로, 도 9는, 특히 서비스 계측이 보호된 DAS 파티션(914)에서 실행되고 있다는 것 외에도 메모리 암호화 에이전트(430)가 보호된 DAS 파티션(914)에서 이행/실행된다는 점을 제외하면 도 8의 실시예와 유사한 실시예를 예시한다. 예를 들어, 이것은 모뎀에 직접 네트워크 스택을 일주시킴으로써 비승인 소프트웨어가 서비스 계측 및/또는 서비스 제어를 무효화시키지 못하게 한다.
도 10은 일부 실시예에 따른 장치 보조 서비스에 대한 다른 보안 실행 환경(1000)을 예시하고 있다. 구체적으로, 도 10은, 특히 애플리케이션 실행 파티션(702)에서 실행되는 추가 애플리케이셥 파티션 DAS 에이전트(104)가 있다는 점을 제외하면, 도 9의 실시예와 유사한 유사한 실시예를 예시하고 있다. 예를 들어, 이것은, 본 명세서에서 설명되는 기술을 이용하여 보호된 실행 파티션에서 이행되는 제어 및/또는 몇 개의 키 계측이 있는 한, 높은 레벨의 서비스 계측 및/또는 제어 보안성을 유지하면서 일부 DAS 에이전트가 애플리케이션 공간(예컨대, UI 에이전트, 정책 제어 에이전트, 및 본 명세서에서 설명되는 다양한 그 밖의 DAS 에이전트)에서 이행될 수 있다는 것을 예시한다.
예에 따른 장치 보조 서비스를 위한 다른 보안 실행 환경(1100)을 예시하고 있다. 구체적으로, 도 11은 서버 클라우드가 어떻게 온 보드 액세스 제어 무결성 에이전트에 의해 그 밖의 서비스 계측(들) 및/또는 제어 에이전트(들)로 변조되고 또는 서비스 계측 및/또는 제어 시스템이 말웨어에 의해 공격받지 못하게 하는지 및/또는 절충되는지를 검출하도록 보조될 수 있는지를 예시한다. 도시된 바와 같이, 액세스 제어 무결성 에이전트(422)는 보호된 DAS 파티션(1114) 내에서 실행되며, (예컨대 장치 상태 및/또는 그 밖의 세팅이나 상태를 지속적으로 유지하고 또는 정보를 모니터링하기 위해) 파일 저장소(1130)와 통신한다. 액세스 제어 무결성 에이전트(422)는, 예를 들어 다양한 실시예와 관련하여 본 명세서에서 설명되는 바와 같은 다양한 액세스 제어 무결성 체크 기능을 수행하되, 일 실시예에서는 보안 제어 채널(예컨대, 호스트 보안 채널(150))을 통해 서버와 협력하여 수행한다. 일부 실시예에서, 액세스 제어 무결성 에이전트(422)는 그 밖의 서비스 계측 및/또는 제어 에이전트에 관한 정보를 서비스 제어기(122)로 전송하여, 에이전트가 적절히 작동하고 있는지 아니면 변조되었는지 아니면 그와 달리 절충되는지를 서비스 제어기(122)가 판정할 수 있게 한다. 예를 들어, 이러한 정보는 코드, 해시, 코드 세그먼트, 이전 이미지로부터의 코드 변형, 이력 이미지로부터의 코드 변형, 질의에 대한 응답, 체크섬, 동작 또는 패턴의 관찰, 서비스 이용, 정책 이행 동작, 및/또는 변조, 오류, 및/또는 장치 에이전트/계측 중 임의의 것의 절충을 나타낼 수 있는 그 밖의 정보 중에서의 선택을 포함할 수 있다. 일부 실시예에서, 액세스 제어 무결성 에이전트(422)는 말웨어 서명의 기호에 대한 동작 환경을 체크하거나, 말웨어를 검출하기 위한 추후 프로세싱을 위해 애플리케이션 및/또는 드라이버 정보 또는 동작 환경에 관한 그 밖의 정보를 서버로 전송한다. 일부 실시예에서, 액세스 제어 무결성 에이전트(422)는 보호된 DAS 파티션 메모리, 커널 실행 파티션 메모리 영역, 애플리케이션 실행 파티션 메모리 영역, 디스크 저장 여역 또는 그 밖의 파일 저장 영역 상에서의 기본 동작을 수행하여 알려진 말웨어 해시 또는 서명 등을 검출하며, 또는 액세스 제어 무결성 에이전트(422)는 말웨어 데이터베이스에 대해 비교하기 위해 (예컨대, 알려진 말웨어에 대한 서명에 비교하거나 또는 추후의 행동 기반 또는 그 밖의 보안성/말웨어 검출 기능을 위해) 해시를 서버로 전송할 수 있다.
일부 실시예에서, DAS 시스템은 서비스 제어 링크에서의 손실(예컨대, WWAN 링크 상에서의 커버리지 사용 불능(coverage outages) 또는 유선 링크 상에서의 접속 손실)에 강건한 방법으로 이행된다. 일부 실시예에서, 서비스 제어기 내의 하나 이상의 서버 구성요소들에 강건한 방법으로 이행될 DAS 시스템은 어떠한 이유로든 오프라인으로 되거나 고장난다. 다음의 실시예는 하기에 설명되는 이러한 기술을 용이하게 한다.
일부 실시예에서, 장치 보조 서비스 에이전트 중 하나 이상의 것이 서비스 이용 보고서의 기록 및 장치 서비스 제어 상태(예컨대, 현재 서비스 계획 세팅, 현재 서비스 이용 정책 세팅, 현재 사용자 선호도 세팅, 현재 DAS 세팅, 현재 암호화된 제어 채널 및/또는 로컬 암호화된 통신 채널 키 정보, 현재 DAS 에이전트 상태 보고서, 현재 DAS 에이전트 보안성 상태 보고서, 현재 주변 서비스 이용 및/또는 거래 기록, 현재 서비스 제어 무결성 위협 보고서, 사용자 상태 정보, 장치 상태 정보, 애플리케이션 상태 정보, 장치 위치, 장치 QOS 상태, 및/또는 그 밖의 상태 및/또는 세팅 정보)에 관하여 서비스 제어기로 제공되는 그 밖의 보고서 작성을 유지하는 것이 유리하다. 장치 상에 존재하고 서비스 제어기에게 보고되는 그러한 정보 외에도, 장치 외부로부터 수신된 정보 및/또는 장치 보고된 정보의 분석(예컨대, 네트워크 기반 서비스 이용 계측, 장치 서비스 이용의 분석, 장치 보고서와 그 밖의 정보와의 비교, 액세스 제어 무결성 에이전트 보고서의 분석, 로밍 네트워크로부터 수신된 정보, 부모 제어 단말기로부터 서비스 제어기로 입력되는 정보, 기업 제어 단말기, 가상 서비스 제공자 제어 단말기, 액세스 네트워크 승인 정보, 서비스 무결성 위반 레벨, 및 장치 서비스를 적절하게 계측 및/또는 제어하는 데 이용되는 많은 그 밖의 타입의 정보)와 같은 추가 서비스 정보가 장치 제어기에서 도출되고 기록될 수 있다. 예를 들어, 장치로부터 보고되며, 적절한 DAS 시스템 동작을 유지시키도록 서비스 제어기로부터 요구되는 동작을 충분히 정의하는 데 요구되는 장치 외부로 수신되거나 도출되는 정보는 본 명세서에서 때때로 "장치 서비스 상태"라고 지칭된다.
일부 실시예에서, 서비스 제어기 기능은 고도로 스케일링가능하며, 다수의 하드웨어 및 소프트웨어 플랫폼(예컨대, 서버 내의 상이한 가상 머신, 데이터 센터 내의 상이한 서버, 또는 상이한 데이터 센터에 위치하는 상이한 서버) 상에서 실행될 수 있다. 예를 들어, 이러한 실시예에서, 서비스 제어기는, 서비스 제어기가 DAS 시스템 동작을 적절히 유지하도록 이행하는 데 필요한 다음 동작 세트를 충분히 정의하는 과거 장치 서비스 상태 및 현재 서비스 상태를 알게 함으로써, 다양한 서비스 제어기 서버 기능을 실행하는 프로그램이 소정 순간에 장치를 적절하게 관리하는 데 필요한 모든 정보를 도출할 수 있도록 설계될 수 있다. 이 방법으로 시스템을 설계함으로써, 임의의 주어진 해당 장치를 위하여 서버 제어기 서버 기능을 실행하고 있는 서버가 떨어지거나 장치로부터 분리되게 된다면, 다른 서버는 다른 서비스 제어기 서버 기능을 디바이에 할당하거나 필수적인 과거 장치 서비스 상태 및 필수적인 현재 장치 서비스 상태를 복원함으로써 DAS 시스템의 적절한 동작을 추후에 재개할 수 있다.
예를 들어, 이것은 하기에 설명되는 일부 실시예에서 달성될 수 있다. 서비스 제어기는 현재 장치 서비스 상태를 모든 서비스 제어기 서버 기능에 이용 가능한 공통 데이터베이스(예컨대, 중앙 집중형 또는 분포형일 수 있음) 내에 저장한다. 장치 서비스 상태는 장치가 서비스 제어기와 통신할 때마다 매번 또는 규칙적인 시간 간격으로, 또는 두 가지 방법 모두로 저장된다. 장치는 그것의 현재 및 과거 서비스 상태 보고서를 유지하는데, 적어도 서비스 제어기가 장치에 서비스 제어기가 주어진 장치 서비스 상태를 저장했다는 것을 확인하는 메시지를 보낼 때까지는 그러한 보고서들이 보고된 후에도 유지한다. 일단 장치가 주어진 장치 상태 보고에 대하여 이 저장 확인을 수신하는 경우, 장치가 그것을 추후에 더 사용하지 않는다면 그 특정 장치 상태 보고서를 유지하는 것은 더 이상 요구되지 않는다. 이 방법으로, 서비스 제어기 서버 기능이 떨어지면, 하나 이상의 보고된 장치 상태에 대한 저장 확인은 서버 제어기에 의해 장치로 전송되지 않으며, 장치는 그 보고서를 유지할 수 있다. 서버 로드 밸런서는 주어진 서비스 제어기 서버 기능이 떨어지는 것을 검출하고, 서비스 제어기 서버 기능에 의해 제어되고 있던 장치를 룩업하며, 해당 장치가 그러한 장치들 중 하나였고 (동일한 데이터 센터 내에서 또는 다른 데이터 센터 내에서) 새로운 서비스 제어기 서버 기능을 재할당하여 해당 장치를 제어한다는 것을 알아낸다. 새롭게 할당된 서비스 제어기 서버 기능은서비스 제어기 데이터베이스에 기록되었던 모든 과거 장치 상태를 복구하고, DAS 시스템을 적절히 관리하는 데 요구되며, 장치에게 서비스 제어기 데이터에스에 저장되지 않았던 모든 장치 상태 보고서를 송신하거나 재송신할 것을 요청한다. 일단 장치가 요청된 정보를 송신 또는 재송신하면, 새롭게 할당된 서비스 제어기 기능은 DAS 시스템을 적절하게 관리하는 데 필요하고, 모든 보고된 장치 상태 정보를 저장하며, 저장 확인을 장치에 전송하여 장치가 더 오래 된 서비스 상태 보고서를 더 이상 유지할 필요가 없도록 하게 하는 정보를 갖는다. 새롭게 할당된 서비스 제어기 서버 기능은 그것이 떨어지지 않았다면 오리지널 서비스 제어기 서버 기능에 의해 취해졌던 동작과 동일하거나 매우 유사한 동작 세트와 함께 DAS 시스템 동작을 재개할 수 있다. 당업자라면, 상기 기술이 장치와 서비스 제어기 사이의 접속에서 일시적인 손실을 도모하는 데 이용될 수 있다는 것을 이해할 것이다. 예를 들어, 이러한 기술은 신뢰할 수 있는 서비스 리던던시를 위한 다수의 데이터 센터 전역에서 분포된 서비스 제어기를 이행하는 고도로 스케일가능하고 강건한 접근법을 제공한다. 일부 실시예에서, 과거 장치 서비스 상태 정보는, 예를 들어 그것이 오류로부터 보호되도록, 보호된 DAS 실행 파티션 및/또는 모뎀 실행 파티션에 저장된다.
전술한 실시예가 이해의 명료성을 위해 약간 상세히 설명되고 있지만, 본 발명은 제공된 세부사항으로 제한되지 않는다. 본 발명을 이행하는 많은 대안 방법이 있다. 개시된 실시예는 예시하는 것으로 제한적인 것은 아니다.

Claims (25)

  1. 무선 최종 사용자(end-user) 장치로,
    적어도 제1무선 네트워크 및 제2무선 네트워크를 통해 인터넷 데이터와 통신할 수 있는 하나 이상의 모뎀; 및
    하나 이상의 프로세서를 포함하고,
    상기 하나 이상의 프로세서는,
    상기 장치가 상기 제1무선 네트워크에 접속되었는지를 결정하고,
    상기 장치가 상기 제1무선 네트워크에 접속되었는지에 대한 결정에 기초하여, 적어도 부분적으로 보안 실행 환경에서 실행되는 제1서비스 프로파일을 활성화하고, 상기 제1서비스 프로파일은 제1무선 네트워크를 통한 인터넷 데이터 통신에 대한 액세스를 제어하는 것을 보조하고, 제1서비스 프로파일은 하나 이상의 서비스 정책 세팅을 포함하며,
    상기 제1무선 네트워크를 통해 시도되거나 성공적인 서비스의 이용을 모니터링하도록 구성되는 것을 특징으로 하는 무선 최종 사용자 장치.
  2. 제 1 항에 있어서,
    상기 하나 이상의 프로세서는, 시도되거나 성공적인 서비스의 이용의 모니터링에 관한 정보를 네트워크 구성요소에 전달하도록 더 구성되고, 상기 정보는 서비스 이용 정보를 포함하는 것을 특징으로 하는 무선 최종 사용자 장치.
  3. 제 1 항에 있어서,
    상기 제1서비스 프로파일은, 기간, 네트워크 주소, 서비스 타입, 컨텐츠 타입, 애플리케이션 타입, 대역폭 및 데이터 이용 중 하나 이상에 기초하여 제어되는 서비스 기능(service capabilities)을 갖는 서비스에 대한 액세스를 허용하는 것을 특징으로 하는 무선 최종 사용자 장치.
  4. 제 1 항에 있어서,
    하나 이상의 서비스 정책 세팅은, 액세스 제어 세팅, 트래픽 제어 세팅, 무선 최종 사용자 장치 요금 청구 세팅, 사용자 통지 세팅, 수신확인(acknowledgement) 세팅을 사용한 사용자 통지, 동기화된 서비스 이용 정보 세팅을 갖는 사용자 통지, 사용자 프라이버시 세팅, 사용자 선호도 세팅, 인증 세팅, 승인 제어 세팅, 애플리케이션 액세스 세팅, 컨텐츠 액세스 세팅, 거래 세팅, 네트워크 관리 통신 세팅 또는 장치 관리 통신 세팅 중 하나 이상을 포함하는 것을 특징으로 하는 무선 최종 사용자 장치.
  5. 제 1 항에 있어서,
    상기 보안 실행 환경은 보호된 장치 보조 서비스 실행 파티션을 포함하는 것을 특징으로 하는 무선 최종 사용자 장치.
  6. 제 5 항에 있어서,
    상기 보호된 장치 보조 서비스 실행 파티션은 적어도 부분적으로 하드웨어 파티션으로 구현되는 것을 특징으로 하는 무선 최종 사용자 장치.
  7. 제 5 항에 있어서,
    상기 보호된 장치 보조 서비스 실행 파티션은 적어도 부분적으로 소프트웨어 파티션으로 구현되는 것을 특징으로 하는 무선 최종 사용자 장치.
  8. 제 1 항에 있어서,
    상기 보안 실행 환경은 보호된 장치 보조 서비스 실행 파티션을 포함하고,
    상기 보호된 장치 보조 서비스 실행 파티션은 적어도 부분적으로 통신 장치의 하나 이상의 프로세서 상에서 실행되는 가상 머신(virtual machine)으로 구현되는 것을 특징으로 하는 무선 최종 사용자 장치.
  9. 제 1 항에 있어서,
    상기 보안 실행 환경은 보호된 장치 보조 서비스 실행 파티션을 포함하고,
    상기 하나 이상의 프로세서는,
    상기 보호된 장치 보조 서비스 실행 파티션에서 하나 이상의 장치 보조 서비스 에이전트를 실행시키되, 상기 보호된 장치 보조 서비스 실행 파티션에서 실행되는 상기 하나 이상의 장치 보조 서비스 에이전트는, 서비스 이용 계측을 제공하는 장치 에이전트를 포함하도록 구성되는 것을 특징으로 하는 무선 최종 사용자 장치.
  10. 제 1 항에 있어서,
    상기 보안 실행 환경은 하드웨어 또는 소프트웨어 파티션을 사용하여 구현되는 보안 모뎀 실행 파티션을 포함하고,
    통신 장치의 하나 이상의 프로세서는:
    상기 보안 모뎀 실행 파티션에서 하나 이상의 장치 보조 서비스 에이전트를 실행시키되, 상기 보안 모뎀 실행 파티션에서 실행되는 상기 장치 보조 서비스 에이전트는 서비스 이용 계측을 제공하기 위한 모뎀 에이전트를 포함하도록 더 구성되는 것을 특징으로 하는 무선 최종 사용자 장치.
  11. 제 1 항에 있어서,
    상기 제1무선 네트워크는 로밍 네트워크이고, 제1무선 네트워크를 통해 인터넷 데이터 통신에 대한 액세스를 제어하는 것은, 로밍 네트워크 상에서 인터넷 데이터 통신을 불허 또는 규제하는 것을 포함하는 것을 특징으로 하는 무선 최종 사용자 장치.
  12. 제 1 항에 있어서,
    상기 제1무선 네트워크는 셀룰러 네트워크이고, 제1무선 네트워크를 통해 인터넷 데이터 통신에 대한 액세스를 제어하는 것은, 셀룰러 네트워크 상에서 인터넷 데이터 통신을 불허 또는 규제하는 것을 포함하는 것을 특징으로 하는 무선 최종 사용자 장치.
  13. 제 1 항에 있어서,
    상기 하나 이상의 프로세서는:
    상기 장치가 제2무선 네트워크에 접속되었는지를 결정하고;
    상기 장치가 제2무선 네트워크에 접속되었는지에 대한 결정에 기초하여, 제2서비스 프로파일을 활성화하고, 상기 제2서비스 프로파일은 제2무선 네트워크를 통한 서비스의 통신 장치에 의한 사용의 제어를 보조하고, 상기 제2서비스 프로파일은 제2무선 네트워크를 통한 인터넷 데이터 통신에 대한 액세스를 제어하는 것을 보조하도록 더 구성되는 것을 특징으로 하는 무선 최종 사용자 장치.
  14. 제 1 항에 있어서,
    상기 하나 이상의 프로세서는:
    상기 장치가 제2무선 네트워크에 접속되었는지를 결정하고;
    상기 장치가 제2무선 네트워크에 접속되었는지에 대한 결정에 기초하여 제1서비스 프로파일을 비활성화 또는 활성화시키지 않도록 더 구성되는 것을 특징으로 하는 무선 최종 사용자 장치.
  15. 제1무선 네트워크 및 제2무선 네트워크를 통해 인터넷 데이터를 통신할 수 있는 무선 최종 사용자 장치를 동작하는 방법으로,
    장치가 제1무선 네트워크에 접속되엇는지를 결정하는 단계;
    상기 장치가 제1무선 네트워크에 접속되었는지에 대한 결정에 기초하여, 어도 부분적으로 보안 실행 환경에서 실행되는 제1서비스 프로파일을 활성화하는 단계로, 상기 제1서비스 프로파일은 제1무선 네트워크를 통한 인터넷 데이터 통신에 대한 액세스를 제어하는 것을 보조하고, 제1서비스 프로파일은 하나 이상의 서비스 정책 세팅을 포함하는, 단계; 및
    상기 제1무선 네트워크를 통해 시도되거나 성공적인 서비스의 이용을 모니터링하는 단계를 포함하는 것을 특징으로 하는 무선 최종 사용자 장치를 동작하는 방법.
  16. 삭제
  17. 삭제
  18. 삭제
  19. 삭제
  20. 삭제
  21. 삭제
  22. 삭제
  23. 삭제
  24. 삭제
  25. 삭제
KR1020117019899A 2009-01-28 2010-01-27 장치 보조 서비스를 위한 보안 기술 KR101631345B1 (ko)

Applications Claiming Priority (12)

Application Number Priority Date Filing Date Title
US20635409P 2009-01-28 2009-01-28
US61/206,354 2009-01-28
US20694409P 2009-02-04 2009-02-04
US61/206,944 2009-02-04
US20739309P 2009-02-10 2009-02-10
US61/207,393 2009-02-10
US20773909P 2009-02-13 2009-02-13
US61/207,739 2009-02-13
US12/380,780 US8839388B2 (en) 2009-01-28 2009-03-02 Automated device provisioning and activation
US12/380,780 2009-03-02
US25215109P 2009-10-15 2009-10-15
US61/252,151 2009-10-15

Publications (2)

Publication Number Publication Date
KR20110119763A KR20110119763A (ko) 2011-11-02
KR101631345B1 true KR101631345B1 (ko) 2016-06-17

Family

ID=42395979

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020117019899A KR101631345B1 (ko) 2009-01-28 2010-01-27 장치 보조 서비스를 위한 보안 기술

Country Status (7)

Country Link
EP (4) EP3493505B1 (ko)
KR (1) KR101631345B1 (ko)
CN (1) CN102342052B (ko)
AU (1) AU2010208294A1 (ko)
CA (1) CA2786892C (ko)
NZ (1) NZ594800A (ko)
WO (1) WO2010088275A1 (ko)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9565615B2 (en) * 2012-05-16 2017-02-07 Qualcomm Incorporated Evolved hybrid internet protocol (IP) multimedia subsystem (IMS) architecture
US9294998B2 (en) * 2012-11-12 2016-03-22 T-Mobile Usa, Inc. Optimized resource management in multi-radio access technology devices
CN103442394B (zh) * 2013-08-16 2016-03-09 大唐移动通信设备有限公司 一种网络容量控制方法及装置
GB2514716A (en) * 2013-10-25 2014-12-03 Univ Stellenbosch System and method for monitoring third party access to a restricted item
KR101702771B1 (ko) * 2015-08-26 2017-02-03 (주)에이티솔루션즈 보안운영체제를 이용한 고속 데이터 엔코딩/디코딩 방법
US9641880B1 (en) * 2016-03-15 2017-05-02 Adobe Systems Incorporated Automatically identifying reduced availability of multi-channel media distributors for authentication or authorization
CN107592345B (zh) * 2017-08-28 2020-08-18 中国工商银行股份有限公司 交易限流装置、方法及交易系统
US11570674B1 (en) 2021-04-01 2023-01-31 T-Mobile Usa, Inc. Dynamic management of telecommunication services at user equipment

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060026679A1 (en) 2004-07-29 2006-02-02 Zakas Phillip H System and method of characterizing and managing electronic traffic
US20080127304A1 (en) 1995-02-13 2008-05-29 Ginter Karl L Systems and methods for secure transaction management and electronic rights protection

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1997043761A2 (en) * 1996-05-15 1997-11-20 Intertrust Technologies Corp. Cryptographic methods, apparatus and systems for storage media electronic rights management in closed and connected appliances
EP1117266A1 (en) * 2000-01-15 2001-07-18 Telefonaktiebolaget Lm Ericsson Method and apparatus for global roaming
US20030233580A1 (en) * 2002-05-29 2003-12-18 Keeler James D. Authorization and authentication of user access to a distributed network communication system with roaming features
US7526800B2 (en) * 2003-02-28 2009-04-28 Novell, Inc. Administration of protection of data accessible by a mobile device
US20050177515A1 (en) * 2004-02-06 2005-08-11 Tatara Systems, Inc. Wi-Fi service delivery platform for retail service providers
KR20070078862A (ko) * 2006-01-31 2007-08-03 삼성전자주식회사 오류 처리 가능한 이종 기기간 상호 연동 방법 및 이를이용한 네트워크 장치
US7676673B2 (en) * 2006-04-28 2010-03-09 Bae Systems Information And Electronic Systems Integration Inc. Multi-level secure (MLS) information network
US8031687B2 (en) * 2007-07-13 2011-10-04 Kyocera Corporation Optimized usage of access technology in a multi-mode architecture

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080127304A1 (en) 1995-02-13 2008-05-29 Ginter Karl L Systems and methods for secure transaction management and electronic rights protection
US20060026679A1 (en) 2004-07-29 2006-02-02 Zakas Phillip H System and method of characterizing and managing electronic traffic

Also Published As

Publication number Publication date
EP2392088A1 (en) 2011-12-07
CN102342052A (zh) 2012-02-01
EP3493505A1 (en) 2019-06-05
EP3800860A1 (en) 2021-04-07
EP2392088B1 (en) 2018-12-26
KR20110119763A (ko) 2011-11-02
EP2392088A4 (en) 2016-08-31
EP4120628A1 (en) 2023-01-18
NZ594800A (en) 2013-09-27
EP3800860B1 (en) 2022-08-10
CA2786892C (en) 2017-05-16
EP3493505B1 (en) 2020-10-28
WO2010088275A1 (en) 2010-08-05
CA2786892A1 (en) 2010-08-05
CN102342052B (zh) 2016-01-06
AU2010208294A1 (en) 2011-09-08

Similar Documents

Publication Publication Date Title
US11966464B2 (en) Security techniques for device assisted services
US11405429B2 (en) Security techniques for device assisted services
KR101631345B1 (ko) 장치 보조 서비스를 위한 보안 기술
US10104128B2 (en) Automatically configuring mobile devices and applying policy based on device state
US8402111B2 (en) Device assisted services install
CA2819634C (en) Security, fraud detection, and fraud mitigation in device-assisted services systems
KR101934601B1 (ko) 보안 디바이스 데이터 기록
US20170353500A1 (en) Security policy enforcement for mobile devices based on device state
EP2391952B1 (en) Device assisted services install

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20190530

Year of fee payment: 4