用于监控移动终端上的移动无线接口的方法和装置 |
|||||||
| 申请号 | CN201280048522.8 | 申请日 | 2012-09-05 | 公开(公告)号 | CN103858458B | 公开(公告)日 | 2017-10-20 |
| 申请人 | 德国电信股份有限公司; | 发明人 | 史蒂夫·里博盖德; 马蒂亚斯·兰格; 科林·穆林纳; | ||||
| 摘要 | 用于监控移动终端上的移动无线 接口 的方法和装置,所述移动终端包括基带和应用处理器,所述方法包括以下步骤:在所述应用处理器上执行 操作系统 ;在所述应用处理器上执行虚拟 调制解调器 ,所述调制解调器专 门 地进行所述操作系统和所述基带之间的数据交换并提供所述基带的功能,以便从而获得对数据的 访问 以及以便从而滤除未授权的数据。 | ||||||
| 权利要求 | 1.一种用于监控移动终端上的移动无线接口的方法,所述移动终端包括基带和应用处理器,所述方法包括步骤: |
||||||
| 说明书全文 | 用于监控移动终端上的移动无线接口的方法和装置技术领域背景技术[0004] ·数据锁定 [0005] ·地址空间布局随机化(ASLR),以便更难利用安全间隙。 [0006] 尽管已知通过被劫持的移动电话对移动无线网络的攻击,但是,至今为止,几乎不知道对移动无线网络的基础设施的保护的任何方法。至今为止,移动无线网络运营商仅仅具有在他们的网络中安装SMS过滤器以便能够滤除不需要的SMS消息的选择。相反地,这些攻击已经证实,当前的安全措施旨在保护装置免受攻击,而在较小的程度上针对他们所工作的环境(移动无线网络)。 [0007] 美国专利5,628,030描述了一种作为向多个同时活动的通信应用提供的通信信道的装置的虚拟调制解调器。然后,虚拟调制解调器选择性地将通信应用连接到物理调制解调器。虚拟调节解调器实现抽象调制解调器接口。 [0008] 与此相反,本发明没有公开一种用于多路复用物理调制解调器的方法;相反地,公开一种可以以安全模式监控移动终端对移动终端上的移动无线网络的访问的方法。而且,美国专利5,628,030仅仅涉及台式电脑。 [0009] DE000069925732T2描述了一种具有内置安全固件的移动电话。这描述了一种使得通过无保护的网络对内联网的安全访问成为可能的方法。在这种情况下,以固件或外部硬件模块的形式在移动电话上实现安全层。 [0010] 另一方面,本发明不要求受保护的固件或外部硬件模块。另外,它不描述用于保护通信关系的方法。 [0011] 通过移动电话生成信令消息,并经常将信令消息发送至移动交换中心(MSC)和归属位置寄存器(HLR)。在数据连接的情况下,还涉及GPRS服务支持节点(SGSN)和GPRS网关支持节点(GGSN)。 [0012] 在移动无线网络中,通过所谓的分组数据协议(PDP)发送数据。PDP连接的建立是复杂的过程。移动终端首先发送“GPRS-附着”消息至SGSN。SGSN借助于HLR对移动终端进行授权。然后,生成PDP上下文并将PDP上下文存储在SGSN和GGSN中。PDP上下文特别用于存储关于这次连接的计费、服务质量和IP地址的信息。通过移动无线网络的不同组件进行PDP上下文的管理和交换是非常复杂的。 [0013] 移动终端与移动无线网络的连接通过所谓的基带的组件发生,基带可以由多个单独的组件(例如,基带处理器、无线模块、软件等)组成。这个基带经常包含标准处理器、数字信号处理器(DSP)和无线连接所需的无线组件。在它们可以用于移动无线网络之前,必须通过不同的机构对基带及其组件(例如其上的基带处理器和软件)认证和授权。这个过程是复杂且昂贵的。这是为什么世界上仅有非常少的基带制造商的原因。 [0014] 除了基带之外,移动终端经常还包含所谓的应用处理器。在移动电话的情况下,电话操作系统(例如iOS或Android)在应用处理器上运行。在所谓的UMTS上网棒(stick)的情况下,应用处理器是计算机的处理器。在每种情况下,基带和应用处理器仅在几个地方彼此连接,特别地通过控制信道连接。应用处理器通过这个控制信道借助于控制指令进行通信,以便控制基带。 发明内容[0015] 用于监控移动终端的信令信道的本发明(下文称作虚拟调制解调器)不要求对基带硬件或软件进行任何改变。虚拟调制解调器完全在应用处理器上运行并且具有对基带的专门控制。应用处理器上的现有操作系统不再能够直接访问基带。相反地,虚拟调制解调器为操作系统提供至基带的接口,由此可以监控对基带的所有访问。图1是这个架构的示意图。接口优选地包括两个信道,更多的信道是可能的。在一个实施例中,信道的一个用于控制指令流,信道的第二个用于数据流。 [0016] 具体地,本发明涉及一种用于监控移动终端上的移动无线接口的方法,所述移动终端包括基带和应用处理器。所述方法包括步骤: [0017] 在应用处理器上执行操作系统。在这种情况下,在应用处理器上执行交互应用程序(例如,网络浏览器或照相机)。 [0018] 作为另一步骤,所述方法包括在应用处理器上执行虚拟调制解调器,虚拟调制解调器专门地进行操作系统和基带之间的数据交换并提供基带的功能,以便从而获得对数据的访问以及从而滤除未授权的数据和访问。 [0019] 在优选的形式中,虚拟调制解调器提供虚拟信号信道和虚拟数据信道,其中优选地通过虚拟信号信道传输控制虚拟调制解调器的控制指令。而且,除了其他数据之外,还通过数据信道传输IP数据。语音数据也可以作为基于IP的语音(VoIP)进行传输,基于IP的语音作为IP数据进行传输。 [0020] 在优选实施例中,控制指令过滤器是虚拟调制解调器的组件,监控操作系统和基带之间的控制指令流,并根据规范对控制指令流进行过滤。 [0021] IP过滤器也可以是虚拟调制解调器的组件,以便通过防火墙的实施阻止来自外部或内部的不需要的访问。 [0022] 虚拟调制解调器提供抽象调制解调器接口形式的基带,在其中提供基带的功能和接口。因此,无需对操作系统和硬件进行任何改变,或仅仅需要对操作系统和硬件进行很小的改变。这优选地是软件解决方案。明显地,还可以想到的是提供硬件和软件的组合。 [0023] 虚拟调制解调器还提供基带驱动器,基带驱动器提供至基带的接口。这个驱动器具有与操作系统的驱动器类似或相同的结构,操作系统的驱动器一般直接访问基带。因此,这个驱动器建立与操作系统的基带驱动器的连接。 [0024] 虚拟调制解调器的一个中心组件是控制指令过滤器。这监控和过滤操作系统和基带之间的控制指令流。由此,强化用于与基带相关的信令信道的安全准则。 [0025] IP过滤器组件实施例如阻止来自外部或内部的不需要访问的防火墙。它监控经过它的数据流量并基于确定的规则决定是否让某些网络数据包经过。以这种方式,它尽力阻止未授权的网络访问。防火墙可以在协议级、在端口级、在内容级工作,它可以识别具有特定模式(例如DoS)的攻击并提供有状态的检测。还可以想到的是入侵检测和防御系统。 [0026] 从操作系统的观点来看,虚拟调制解调器的行为像“真实”基带。无需改变现有的操作系统。所需的只是用于新基带的集成的通常适配。 [0027] 使用虚拟调制解调器的本发明例如可以用于以下应用: [0028] ·收费SMS过滤器 [0029] ·收费号码过滤器 [0030] ·保护移动无线基础设施免受基于信令信道的DoS攻击 [0031] ·移动僵尸网络的抑制 [0032] ·更新用于远程维护的访问准则(远程更新) [0033] ·用户定义的规范/对所谓的收费服务的访问准则的更新 [0034] ·不可避免的VPN访问 [0035] ·移动终端上的防火墙 [0036] 与现有技术相比,虚拟调制解调器提供以下改进: [0038] ·无需对现有的移动硬件进行任何修改; [0039] ·保护移动无线网络免受被劫持的移动终端的攻击; [0040] ·过滤直接在移动终端上进行的信令措施,以便避免移动无线网络基础设施的超载; [0041] ·更具有成本效益的使用,因为虚拟调制解调器直接实施在移动终端上,无需对基础设施进行任何改变; [0042] ·昂贵的增值服务(所谓的收费SMS或收费号码)的阻止 [0043] ·数据访问的监控 [0044] 因此,本发明促进 [0045] ·SMS木马的成功阻止 [0046] ·通过SMS对指令和控制信道的探试识别 [0047] ·对移动无线网络运营商的基础设施的DoS攻击是更加复杂的(至少增加700%的注册用户) [0049] 现在提供附图的简要说明。 [0050] 图1示出虚拟调制解调器的概念和层结构; [0051] 图2示出控制指令过滤器的基本方法的流程图。 具体实施方式[0052] 图1示出本发明的移动终端的层结构。操作系统运行在应用处理器上,一般来说,操作系统是真实硬件,但是在个别情况下,它也可以是虚拟化的。 [0053] 在虚拟化的情况下,操作系统(例如Android)运行在虚拟化层(也称作管理程序)上,其中虚拟调制解调器布置在作为虚拟硬件的管理程序中,或者布置在运行在管理程序上的虚拟机器中。操作系统包括应用软件堆栈,用户的应用程序在应用软件堆栈上运行。例如,这个堆栈可以包括被应用程序使用的库和框架。它还提供至操作系统核心的接口。在这个核心内部,存在到虚拟调制解调器的虚拟信号信道和虚拟数据信道,虚拟调制解调器被转换作为基带和操作系统之间的中间层。因此,操作系统仅仅具有通过虚拟调制解调器到基带的通道。虚拟信号信道一般用于发送具有控制虚拟调制解调器的任务的控制指令。当已经设置调制解调器时,通过虚拟数据信道传输数据,例如作为数据流。数据流可以包括会话流,也可以包括网络数据(IP数据)流。然后,对各个数据流应用过滤器(AT指令过滤器和IP过滤器),以便滤除两个方向的未授权或不需要的数据。过滤器是可调的且基于将被滤除的规则或模式。例如,识别恶意软件内容的扫描器或者其他内容过滤器(例如协议过滤器)可以应用于IP过滤器。如上所述,布置在虚拟调制解调器中的是基带驱动器,基带驱动器在必要时将两个流组合并将它们转发至基带/单元。但是,可选地,也可以通过两个独立的信道转发数据。 [0054] 图2示出本发明的应用的示例。 [0055] 在这种情况下,识别和滤除某些攻击。 [0056] 呼叫转移攻击: [0057] 很多被入侵的移动电话不断地改变呼叫转移设置,因此给移动无线网络供应商的基础设置增加重大的负担。 [0058] 应用软件生成改变呼叫转移设置的指令。这个指令通过虚拟信号信道传输到虚拟调制解调器。控制指令过滤器检查用于这个功能的指令/时间单元的授权数量是否已经超过可调阈值,并且若可以,阻止指令,直至开始下个时间间隔。如果授权数量还未超过阈值,将指令转发至基带驱动器并最终从基带发送至移动无线网络。图2示出,如果最后指令的时间加上间隔大于当前时间点,检查计数器;如果计数器超过阈值,阻止消息。否则,转发消息。 [0059] 收费SMS消息: [0060] SMS木马在用户不知情的情况下发送昂贵的收费SMS消息,因此,可以造成对用户的重大经济损失。 [0061] SMS木马通过虚拟信号信道将SMS传输到收费号码。控制指令过滤器关于黑名单/白名单检查是否应发送SMS。如果接收者的号码包含在黑名单中,可以显示适当的警告,并且可选地,可以要求用户的确认。如果用户拒绝传输,SMS消息将被丢弃。例如,可以在线定期更新这些名单。 |
||||||
