技术领域
[0001] 本公开涉及具有
传感器数据安全性的移动平台,并且具体地涉及用于对在移动平台上
感知上下文的传感器数据进行保护和验证的系统和方法。
背景技术
[0002] 例如,移动设备和平台(例如,智能电话)越来越多地用于
电子商务(e-commerce)和可以从关于该设备周围的环境的信息中受益的其他应用。所述信息有时被称为上下文数据。通常将可以由与该设备相关联的传感器收集的上下文数据视为是本质上敏感的,并且随着对安全和隐私与日俱增的担忧,移动设备的用户可能不想使上下文数据对于未授权的实体可用。
[0003] 通常,基于加密的安全信道在
操作系统或运行在移动设备上的应用与远程实体(例如,
服务器)之间的无线网络上建立。然而,该方法是易受被称为“中间人”攻击的攻击类型所攻击的,其中,恶意
软件(mal-ware)可以获取对该设备的控制,并且在上下文数据被加密之前获得对上下文数据的
访问。
恶意软件然后可以使上下文数据重定向至未授权的实体(有时被称为监听)或可以在传输至授权的应用或期望的目的地之前
修改上下文数据(有时被称为电子诈骗)。在一些情况中,修改后的(或伪造的)数据可以用于规避安全性限制。
附图说明
[0004] 随着以下具体实施方式继续进行,以及参考附图,所要求保护的主题的
实施例的特征和优势将变得显而易见,在附图中,相同的标记表示相同的部分,以及其中:
[0005] 图1示出了与本公开一致的一个示例性实施例的顶级系统图;
[0006] 图2示出了与本公开一致的一个示例性实施例的
框图;
[0007] 图3示出了与本公开一致的另一示例性实施例的框图;
[0008] 图4示出了系统图,所述系统图示出了在网络中与本公开的示例性实施例一致的平台;以及
[0009] 图5示出了与本公开一致的另一示例性实施例的操作的
流程图。
[0010] 虽然将参考说明性的实施例来进行以下具体实施方式,但其许多替代实施方式、修改和变型对于本领域的技术人员而言将是显而易见的。
具体实施方式
[0011] 概括而言,本公开提供了用于对例如移动平台(例如,智能电话、
平板电脑和膝上型计算机)上的感知上下文的传感器数据进行保护和验证的设备、系统和方法。可以将上下文数据安全地提供给可以基于所述上下文数据来调整策略设置的感知上下文移动应用,例如,
电子商务应用。可以将可信的
执行环境(TEE)提供给访问传感器和其生成的上下文数据的主机安全
驱动器。TEE可以限制对传感器驱动器和来自TEE外部的实体的传感器二者的控制访问和数据访问,TEE外部的实体包括OS
内核、其他模
块和在OS级别以及更高级别的应用处执行的驱动器。安全驱动器可以防止未授权的和/或不安全的应用获得上下文传感器数据。安全驱动器还可以通过使用数字签名或其他加密技术来提供对传递至授权的和/或安全应用的上下文数据的有效性进行验证。感知上下文的传感器可以包括全球
定位系统(GPS)或提供与移动平台相关联的
位置或运动信息的其他传感器。感知上下文传感器的其他示例可以包括:
照相机、麦克
风或可以提供关于移动平台周围的环境的信息的任何其他类型的适当的
环境传感器。
[0012] 所描述的实施例的移动平台通常能够在无线网络上进行无线通信,并且因此提供对术语的以下定义。
[0013] 正如本文所使用的术语接入点(AP),其被定义为具有站(STA)功能并且经由相关联的STA的无线介质(WM)向分布服务提供访问的任何实体。
[0014] 正如本文所使用的术语个人基本服务集控制点(PCP),其被定义为作为毫米波(mm-wave)网络的控制点工作的STA。
[0015] 正如本文所使用的术语无线网络
控制器,其被定义为作为PCP和/或作为无线网络的AP工作的站。
[0016] 正如本文所使用的术语“业务”和/或“业务流”,其被定义为无线设备(例如,STA)之间的数据流和/或流。正如本文所使用的术语“会话”,其被定义为保持或存储在已经建立直接物理链路(例如,不包括转发)的一对站中的状态信息;该状态信息可以描述或定义会话。
[0017] 正本文所使用的术语“无线设备”包括,例如,能够进行无线通信的设备、能够进行无线通信的通信设备、能够进行无线通信的通信站、能够进行无线通信的便携式或非便携式设备等。在某些实施例中,无线设备可以是或可以包括:与计算机集成的
外围设备或附接至计算机的外围设备。在某些实施例中,术语“无线设备”可以可选地包括无线服务。
[0018] 应理解,本
发明可以用于各种应用。虽然本发明不限于所述方面,但本文所公开的
电路和技术可以用于许多装置,例如,无线系统的站等。旨在包括在本发明的范围内的站仅作为示例包括:无线局域网(WLAN)站、无线个域网(WPAN)等。
[0019] 某些实施例可以结合各种设备和系统使用,所述各种设备和系统例如,视频设备、音频设备、视听(A/V)设备、机顶盒(STB)、蓝光光碟(BD)播放器、BD录放机、数字视频光盘(DVD)播放器、高清(HD)DVD播放器、DVD录放机、HD DVD录放机、个人视频录像机(PVR)、广播HD接收机、视频源、音频源、视频接收机、音频接收机、立体声调谐器、广播无线接收机、显示器、平板显示器、个人媒体播放器(PMP)、数字视频摄像机(DVC)、数字音频播放器、扬声器、音频接收机、音频
放大器、数据源、数据接收机、数字照相机(DSC)、个人计算机(PC)、桌面型计算机、移动计算机、膝上型计算机、笔记本计算机、平板计算机、智能电话、
数字电视、服务器计算机、手持式计算机、
手持设备、
个人数字助理(PDA)设备、手持PDA设备、机载设备、非机载设备、混合设备、车辆设备、非车辆设备、移动或便携式设备、消费设备、非移动或非便携式设备、无线通信站、无线通信设备、无线AP、有线或无线路由器、有线或无线
调制解调器、有线网络或无线网络、无线区域网络、无线视域网(WVAN)、局域网(LAN)、WLAN、PAN、WPAN、根据现有的无线HDTM和/或无线千兆联盟(WGA)规范和/或其将来版本和/或衍生版本工作的设备和/或网络、根据现有的IEEE 802.11(IEEE 802.11-2007:无线LAN介质访问控制(MAC)和物理层(PHY)规范)标准和修正案(“IEEE 802.11标准”)、用于全球
微波互联接入(WiMAX)的IEEE 802.16标准、包括长期演进(LTE)和增强版长期演进(LTE-A)的第三代合作伙伴计划(3GPP)和/或其将来版本和/或衍生版本工作的设备和/或网络、成为上面的网络的部分的单元和/或设备、单向和/或双向无线通信系统、蜂窝无线通信系统、无线显示(WiDi)设备、蜂窝电话、无线电话、个人通信系统(PCS)设备、并入无线通信设备的PDA设备、移动或便携式全球定位系统(GPS)设备、并入GPS接收机或收发机或芯片的设备、并入RFID元件或芯片的设备、多输入多输出(MIMO)收发机或设备、单输入多输出(SIMO)收发机或设备、多输入单输出(MISO)收发机或设备、具有一个或多个内置天线和/或外置天线的设备、
数字视频广播(DVB)设备或系统、多标准无线设备或系统、有线或无线手持设备(例如,黑莓、Palm Treo)、无线应用协议(WAP)设备等。
[0020] 某些实施例可以结合一种或多种类型的无线通信
信号和/或系统使用,所述一种或多种类型的无线通信信号和/或系统例如是,射频(RF)、红外(IR)、频分多路复用(FDM)、
正交FDM(OFDM)、时分多路复用(TDM)、时分多址(TDMA)、扩展TDMA(E-TDMA)、通用分组无线业务(GPRS)、扩展GPRS、码分多址(CDMA)、宽带CDMA(WCDMA)、CDMA 2000、单载波CDMA、多载波CDMA、多载波调制(MDM)、离散多音(DMT)、 全球定位系统(GPS)、Wi-Fi、Wi-Max、无线城域网(WMAN)、无线广域网(WWAN)、ZigBeeTM、超宽带(UWB)、全球移动通信系统(GSM)、2G、2.5G、3G、3.5G、增强型
数据速率GSM演进(EDGE)等。其他实施例可以用于各种其他设备、系统和/或网络。
[0021] 一些实施例可以结合适当的有限距离或短距离无线通信网络(例如,“微微网”,例如,无线区域网、WVAN、WPAN等)使用。
[0022] 图1示出了与本公开一致的一个示例性实施例的顶级系统图100。移动平台102被显示为包括:可以通过访问安全模块106从传感器108获得包括上下文数据在内的数据的感知上下文的应用104。访问安全模块106可以被配置为限制传感器访问授权的和/或安全应用。如下面将更详细地描述的,访问安全模块106还可以提供传感器数据验证,并且其可以被配置为在可信的执行环境(TEE)中工作。移动平台102可以为任何类型的移动或无线通信设备,例如,智能电话、桌面型计算机或平板计算机。
[0023] 感知上下文的应用104可以为可以基于上下文数据来调整策略设置的安全或授权的移动应用(例如,电子商务应用)。例如,设备的位置可以影响支付方法或与交易相关联的安全等级。作为另一示例,出于安全考虑,确定设备位于移动的车辆中可以使应用能够对拨号或发短信施加限制。然而另一示例可以包括:对通过应用呈现在设备上的媒体进行的
家长控制和内容分级管理。
[0024] 传感器108可以包括感知上下文的传感器,例如,GPS接收机、
加速计、指南针、
陀螺仪、照相机、麦克风、触摸传感器、
温度传感器、用户认证传感器或可以提供关于在移动平台102周围的环境的信息的其他任何类型的适当的环境传感器。通常将可以由这些类型的传感器提供的上下文数据视为本质上敏感的或私有的,以及因此有利地受到保护以防止未授权的分发。要进一步意识到,还可以验证数据的有效性以减小恶意软件(mal-ware)可能改变呈现给应用的上下文数据以规避安全的可能性。
[0025] 图2示出了与本公开一致的一个示例性实施例的框图200。如下面将详细地描述的,移动平台102被示出为:包括在不安全104a和安全104b变体二者中的感知上下文的应用以及在不安全108a和安全108b变体二者中的传感器。访问安全模块106更详细地被示出为包括传感器访问
框架应用编程
接口(API)202、传感器管理器模块204、TEE
中间件模块206、OS内核208和相关联的驱动器214、TEE访问驱动器210、以及TEE
固件传感器驱动器212。
[0026] 传感器访问框架API 202可以被配置为提供标准化的接口,通过该接口,感知上下文的应用(安全104b和不安全(或旧版本)应用104a二者)可以访问传感器108。在某些实施例中,传感器访问框架API 202可以为基于Java的软件开发工具包(SDK)或基于窗口运行时(WinRT)或超文本
标记语言5(HTML5)的API。
[0027] 安全交易(例如,来自应用104b的
请求和响应)可以通过TEE中间件模块206进行处理,TEE中间件模块206在传感器访问框架API 202与TEE访问驱动器210之间提供附加的接口层。不安全交易(例如,来自应用104a的请求和响应)可以通过传感器管理器模块204进行处理,传感器管理器模块204在传感器访问框架API 202与集成到OS内核208中的非TEE驱动器214之间提供可替代的附加接口层。可以提供传感器管理器模块204和TEE中间件模块206作为在OS内核208外的部件,以促进对这些部件的软件更新,从而在不需要重新安装整个OS 208的情况下来实现新特征和/或漏洞修复,而重新安装整个OS 208通常是更困难并且更耗时的。
[0028] 可以将可以包括例如固件212的可信的执行环境提供给安全上下文传感器108b的传感器驱动器。可以通过可以集成到OS内核208中的TEE访问驱动器210来访问TEE固件传感器驱动器212。TEE固件传感器驱动器212可以检查由应用104b发出的传感器上下文数据的请求,以验证应用安全地接收这样的数据和/或对其进行处理是被授权的。该验证可以通过使用私有/公共秘钥加密、数字签名、密码、证书或任何其他适当的安全技术来完成。同样地,TEE固件传感器驱动器212可以通过使用私有/公共秘钥加密、数字签名、密码、证书或任何其他适当的安全技术来提供对向应用104b发出的传感器上下文数据响应的确认。
[0029] 例如,可信的或安全的感知上下文的应用104b可以请求传感器上下文数据,并且呈现指示应用接收这样的数据是被授权的证书。所述请求和证书可以通过传感器访问框架API 202、TEE中间件模块206、TEE访问驱动器210进行传递,然后传递至TEE固件传感器驱动器212,其中,将在TEE固件传感器驱动器212处将对该证书进行验证。TEE固件传感器驱动器212将控制传感器
硬件以获得所需的数据,并且可以例如在将数据进行备份提供到安全应用104b之前使用安全应用104b可用的公共/私有秘钥组合来对数据进行加密。
[0030] TEE固件传感器驱动器212可以被配置为独立于具有被恶意软件损坏的可能的OS内核208中的驱动器214,来对传感器硬件和传感器数据进行直接访问。由于上下文数据在TEE固件传感器驱动器212内受到保护并且被加密,因此可以防止在平台102上的不可信的或恶意应用或OS服务在传输至预期的安全应用104b之前或在其期间访问或修改所述信息。
[0031] TEE可以被配置为提供安全性和与在TEE外部的移动平台102上的其他实体(例如,OS 208和不可信的应用104a)的隔离。该隔离可以防止外部实体对传感器驱动器212或安全传感器108b行使控制,或防止外部实体获得对传感器驱动器212或安全传感器108b的访问。在某些实施例中,TEE可以包括单独的物理硬件,例如,同与平台102相关联的IC分离的集成电路(IC)。在某些实施例中,TEE可以在与平台102共享的IC内包括单独的控制器或处理器。
在某些实施例中,TEE可以在与平台102共享的控制器或处理器内包括单独的域。可以采用各种技术来安全地隔离TEE,其包括硬件在TEE与平台102之间进行共享的解决方案。这些技术可以包括:与处理器相关联的特许执行模式、与
存储器相关联的访问保护机制和/或使用固件以防止对传感器驱动器212的修改。
[0032] 还可以将旧版本驱动器214集成到OS内核208中,以提供对不安全(或旧版本)传感器108a的访问。为了有助于本文所公开的安全系统的采用和实现,某些实施例可以实现过渡时间段,在过渡时间段期间,旧版本应用和驱动器提供了对与所公开的安全访问技术对应的上下文传感器中的一些或全部的不安全访问。在过渡时间段结束之后,传感器管理器204和/或旧版本驱动器214可以由信息技术(IT)管理员、设备用户或其他授权实体移除或禁用,仅留下到上下文传感器的安全访问路径。
[0033] 图3示出了与本公开一致的另一示例性实施例的框图300。该实施例在大多数方面与上面关于图2所描述的实施例相似,除了提供了传感器外围部件集线器302之外。传感器外围部件集线器302提供了中心点,通过该中心点,大多数或所有安全传感器108b均可以耦合至由TEE处理器或
微控制器304和TEE固件传感器驱动器212所提供的可信执行环境。在该实施例中,被实现为与平台102的其他部件分离的物理硬件的传感器外围部件集线器302为可信的执行环境提供了附加的隔离和安全性。
[0034] 图4示出了系统图400,系统图400示出了在网络中与本公开的示例性实施例一致的平台。平台102可以为移动通信设备,例如,智能电话、平板电脑、膝上型计算设备或被配置为发送或接收无线信号的任何其他设备。平台102可以配置有感知上下文传感器108,并且可以通过可信的执行环境(TEE)212来提供安全访问和验证能
力。在某些实施例中,平台102可以包括:处理器404、存储器406、输入/输出(I/O)系统408、显示器/
键盘或其他类型的
用户界面(UI)402,例如,
触摸屏。任何数量的平台102均可以通过收发机410在可以为无线网络的网络412上发送或接收信号。
[0035] 在某些实施例中,可以在平台102上提供一个或多个
虚拟机(VM)。VM可以共享公共处理器404和存储器406,但关于传感器访问而实现了独立的安全策略。
[0036] 图5示出了与本公开一致的另一示例性实施例的操作流程图500。在操作510处,将一个或多个传感器被配置为提供与移动设备相关联的上下文数据。在操作520处,提供了到传感器驱动器的API。API可以被配置为控制传感器。在操作530处,提供可信的执行环境(TEE)以在移动设备上进行工作。TEE可以被配置为托管传感器驱动器,并且限制对传感器驱动器和对传感器的控制访问和数据访问。在操作540处,通过API来生成对上下文数据的请求。所述请求由与移动设备相关联的应用生成。在操作550处,应用通过API来接收所请求的上下文数据和有效性指示符。在操作560处,应用基于有效性指示符来对所请求的上下文数据进行验证。在操作570处,对与应用相关联的策略进行调整。该调整是基于验证后的上下文数据的。
[0037] 本文所描述的方法的实施例可以在包括一个或多个存储介质的系统中实现,在所述一个或多个存储介质上单独或组合地存储有指令,当由一个或多个处理器执行指令时,履行该方法。在本文中,处理器可以包括例如系统CPU(例如,核处理器)和/或可编程电路系统。由此,本发明是要可以将根据本文所描述的方法的操作分布到多个物理设备,所述多个物理设备例如是,在若干个不同的物理位置处的处理结构。同时,本发明是要可以单独地或以子组合的方式来执行方法操作,正如由本领域的技术人员所理解的。由此,不是每一个流程图的所有的操作均需要被执行,并且本公开明确地主张:这样的操作的子组合是能够进行的,正如由本领域的技术人员所理解的。
[0038] 存储介质可以包括任何类型的有形的介质,例如,包括
软盘、光盘、只读光盘存储器(CD-ROM)、可重写光盘(CD-RW)、数字通用盘(DVD)、和磁光盘在内的任何类型的盘;
半导体设备,例如,
只读存储器(ROM)、诸如动态和静态RAM之类的
随机存取存储器(RAM)、可擦除可编程只读存储器(EPROM)、
电可擦除可编程只读存储器(EEPROM)、闪速存储器、磁卡或光卡;或适用于存储电子指令的任何其他类型的介质。
[0039] 正如本文中的任何实施例所使用的,“电路”可以包括例如单个的或以任何组合形式的硬接线电路、可编程电路、状态机电路和/或存储由可编程电路执行的指令的固件。应用可以被具体化为可以在可编程电路上执行的代码或指令,所述可编程电路例如是主机处理器或其他可编程电路。正如在本文的任何实施例中所使用的,模块可以被具体化为电路。所述电路可以被具体化为集成电路,例如,集成电路芯片。
[0040] 由此,本公开提供了用于安全地将上下文传感器数据提供给移动平台应用的设备、方法和计算机可读存储介质。
[0041] 该方法可以包括:将一个或多个传感器配置为提供上下文数据,所述上下文数据与移动设备相关联。该示例的方法还可以包括:将API提供给传感器驱动器,所述传感器驱动器被配置为控制传感器。该示例的方法可以进一步包括提供在移动设备上工作的TEE,所述TEE被配置为托管传感器驱动器,并且限制对传感器驱动器和对传感器的控制访问和数据访问。该示例的方法可以进一步包括:通过API来生成对上下文数据的请求,该请求由与移动设备相关联的应用生成。该示例的方法可以进一步包括:由该应用通过API来接收所请求的上下文数据和有效性指示符。该示例的方法可以进一步包括:由该应用基于所述有效性指示符来验证所请求的上下文数据。该示例的方法可以进一步包括:基于验证后的上下文数据来调整与该应用相关联的策略。
[0042] 另一示例方法包括前述操作,并且有效性指示符包括数字签名。
[0043] 另一示例方法包括前述操作,并且进一步包括:由传感器驱动器来对所请求的上下文数据进行加密。
[0044] 另一示例方法包括前述操作,并且传感器为加速计、全球定位传感器、指南针、照相机、近距离传感器、麦克风、陀螺仪、触摸传感器、
环境温度传感器、和环境光传感器。
[0045] 另一示例方法包括前述操作,并且上下文数据为设备位置、设备定位、设备运动、用户标识、温度或噪声
水平。
[0046] 另一示例方法包括前述操作,并且策略为
移动商务支付策略、移动商务安全策略、或家长控制媒体查看策略。
[0047] 根据另一方面,提供了一种设备。该设备可以包括:被配置为提供上下文数据的一个或多个传感器,所述上下文数据与设备相关联。该示例的设备还可以包括安全传感器驱动器模块,其被配置为接收上下文数据的请求,以及响应于所述请求,提供上下文数据和相关联的有效性指示符。该示例的设备可以进一步包括在该设备上工作的TEE,所述TEE被配置为托管安全传感器驱动器模块,并且限制对安全传感器驱动器模块和对传感器的控制访问和数据访问。该示例的设备可以进一步包括一个或多个应用模块,其被配置为:生成请求;接收上下文数据;基于有效性指示符来验证上下文数据;以及基于验证后的上下文数据来调整与应用相关联的策略。
[0048] 另一示例设备包括前述部件,并且有效性指示符包括数字签名。
[0049] 另一示例设备包括前述部件,并且安全传感器驱动器模块进一步被配置为对上下文数据进行加密。
[0050] 另一示例设备包括前述部件,并且进一步包括:耦合至每一个传感器的传感器外围部件集线器,所述传感器外围部件集线器包括处理器和用于提供TEE的存储器,以及被配置为存储安全传感器驱动器模块的固件。
[0051] 另一示例设备包括前述部件,并且传感器为加速计、全球定位传感器、指南针、照相机、近距离传感器、麦克风、陀螺仪、触摸传感器、环境温度传感器或环境光传感器。
[0052] 另一示例设备包括前述部件,并且上下文数据为设备位置、设备定位、设备运动、用户标识、温度或噪声水平。
[0053] 另一示例设备包括前述部件,并且策略为移动商务支付策略、移动商务安全策略或家长控制媒体查看策略。
[0054] 根据另一方面,提供了其上存储有指令的至少一个计算机可读存储介质,当由处理器执行所述指令时,使处理器执行正如在上面的示例中所描述的方法的操作。
[0055] 根据另一方面,提供了一种移动通信平台。该移动通信平台可以包括:处理器;耦合至处理器的存储器;耦合至处理器的I/O系统以及耦合至I/O系统的用户界面。该示例的移动通信平台还可以包括耦合至处理器的一个或多个传感器,所述传感器被配置为提供与该平台相关联的上下文数据。该示例的移动通信平台可以进一步包括安全传感器驱动器模块,其被配置为接收上下文数据的请求,响应于所述请求,提供上下文数据和相关联的数字签名。该示例的移动通信平台可以进一步包括在该平台上工作的TEE,所述TEE被配置为托管安全传感器驱动器模块,并且限制对安全传感器驱动器模块和对传感器的控制访问和数据访问。该示例的移动通信平台可以进一步包括一个或多个应用模块,其被配置为:生成请求;接收上下文数据;基于数字签名来验证上下文数据;以及基于验证后的上下文数据来调整与应用相关联的策略。
[0056] 另一示例移动通信平台包括前述部件,并且传感器为加速计、全球定位传感器、指南针、照相机、近距离传感器、麦克风、陀螺仪、触摸传感器、环境温度传感器或环境光传感器。
[0057] 另一示例移动通信平台包括前述部件,并且上下文数据为平台位置、平台定位、平台运动、用户标识、温度或噪声水平。
[0058] 另一示例移动通信平台包括前述部件,并且策略为移动商务支付策略、移动商务安全策略或家长控制媒体查看策略。
[0059] 另一示例移动通信平台包括前述部件,并且该平台为智能电话、膝上型计算设备或平板电脑。
[0060] 另一示例移动通信平台包括前述部件,并且进一步包括多个平台,每一个平台都被配置为在无线网络上进行通信。
[0061] 另一示例移动通信平台包括前述部件,并且用户界面为触摸屏和/或键盘。
[0062] 本文已经采用的术语和表达方式均用作描述的形式而不是限制,并且这样的术语和表达方式的使用并不是要排除所示出的和所描述的特征的任何等效物(或其部分),并且要认识到各种修改在本
权利要求书的范围内是可能的。因此,权利要求书是要涵盖所有这样的等效物。本文描述了各种特征、方面和实施例。正如由本领域的技术人员所理解的,所述特征、方面以及实施例均容许彼此的组合、以及变型和修改。因此,本公开应被视为涵盖这样的组合、变型以及修改。
