專利名稱:用于設(shè)備輔助的服務(wù)的安全技術(shù)的制作方法
用于設(shè)備輔助的服務(wù)的安全技術(shù)其他申請(qǐng)的交叉引用本申請(qǐng)要求以下美國(guó)臨時(shí)專利申請(qǐng)的優(yōu)先權(quán)于2009年1月觀日提交的��、題為 "SERVICES POLICY COMMUNICATION SYSTEM AND METHOD” 的第 61/206����,354 號(hào)(代理人卷號(hào)RALEP001+)的美國(guó)臨時(shí)專利申請(qǐng)��、于2009年2月4日提交的、題為"SERVICES POLICY COMMUNICATION SYSTEM AND METHOD”的第 61/206,944 號(hào)(代理人卷號(hào) RALEP002+)的美國(guó)臨時(shí)專利申請(qǐng)�、于2009年2月10日提交的�、題為"SERVICES POLICY COMMUNICATION SYSTEM AND METHOD”的第61/^207,393號(hào)(代理人卷號(hào)RALEP003+)的美國(guó)臨時(shí)專利申請(qǐng)�����、于2009 年 2 月 13 日提交的����、題為"SERVICES POLICY COMMUNICATION SYSTEM AND METHOD” 的第 61/207,739號(hào)(代理人卷號(hào)RALEP004+)的美國(guó)臨時(shí)專利申請(qǐng)�、以及于2009年10月15日提交的、題為"SECURITY TECHNIQUES FOR DEVICE ASSISTED SERVICES” 的第 61/252�����,151 號(hào)(代理人卷號(hào)RALEP025+)的美國(guó)臨時(shí)專利申請(qǐng)����,這些美國(guó)臨時(shí)專利申請(qǐng)以引用的方式被并入本文以用于所有目的。該申請(qǐng)是于2009 年 3 月 2 日提交的�����、題為"AUTOMATED DEVICE PROVISIONING AND ACTIVATION”的第12/380�,780號(hào)(代理人卷號(hào)RALEP007)共同未決的美國(guó)專利申請(qǐng)的部分后續(xù)申請(qǐng),其以引用的方式被并入本文以用于所有目的�,并且該申請(qǐng)要求以下美國(guó)臨時(shí)專利申請(qǐng)的優(yōu)先權(quán)于2009年1月28日提交的、題為"SERVICES POLICY COMMUNICATION SYSTEM AND METHOD”的第61Λ06����,3 號(hào)(代理人卷號(hào)RALEP001+)的美國(guó)臨時(shí)專利申請(qǐng)、 于 2009 年 2 月 4 日提交的��、題為"SERVICES POLICY COMMUNICATION SYSTEM AND METHOD” 的第61/206��,944號(hào)(代理人卷號(hào)RALEP002+)的美國(guó)臨時(shí)專利申請(qǐng)�����、于2009年2月10日提交的�����、題為"SERVICES POLICY COMMUNICATION SYSTEM AND METHOD” 的第 61/207,393 號(hào)(代理人卷號(hào)RALEP003+)的美國(guó)臨時(shí)專利申請(qǐng)�����、以及于2009年2月13日提交的���、題為 "SERVICES POLICY COMMUNICATION SYSTEM AND METHOD”的第 61Λ07����,739 號(hào)(代理人卷號(hào) RALEP004+)的美國(guó)臨時(shí)專利申請(qǐng)����,這些美國(guó)臨時(shí)專利申請(qǐng)以引用的方式被并入本文以用于所有目的。發(fā)明的背景隨著大量市場(chǎng)數(shù)字通信�、應(yīng)用和內(nèi)容分發(fā)技術(shù)的出現(xiàn),在例如EVDO(演進(jìn)數(shù)據(jù)優(yōu)化)�����、HSPA (高速分組接入)����、LTE (長(zhǎng)期演進(jìn))、WiMax (微波接入全球互通)、DOCSIS��、DSL和 Wi-Fi (無(wú)線保真技術(shù))變?yōu)橛脩羧萘渴芟薜那闆r下�����,由于用戶容量推動(dòng)了諸如無(wú)線網(wǎng)絡(luò)��、 電纜網(wǎng)絡(luò)和DSL(數(shù)字用戶線)網(wǎng)絡(luò)等很多接入網(wǎng)����。在無(wú)線的情況下���,雖然網(wǎng)絡(luò)容量將隨著諸如ΜΙΜ0(多輸入多輸出)等新的更高容量的無(wú)線的無(wú)線接入技術(shù)并且隨著將來(lái)部署的更多的頻譜和小區(qū)分裂而增加�����,但是這些容量增益很可能小于滿足不斷增長(zhǎng)的數(shù)字聯(lián)網(wǎng)需求所需的容量增益�����。類似地���,雖然與無(wú)線接入網(wǎng)相比,諸如電纜和DSL等有線接入網(wǎng)的每個(gè)用戶可以具有更高的平均容量,但是有線用戶業(yè)務(wù)消耗習(xí)慣正趨向于可以快速地消耗可用的容量并且降低整個(gè)網(wǎng)絡(luò)服務(wù)體驗(yàn)的非常高的帶寬的應(yīng)用和內(nèi)容��。因?yàn)榉?wù)供應(yīng)商的一些部件的成本隨著帶寬的增加而提高�,因此該趨勢(shì)也將不利地影響服務(wù)供應(yīng)商的收益。
附圖的簡(jiǎn)要說(shuō)明在下面的詳細(xì)描述和附圖中���,公開了本發(fā)明的各種實(shí)施方式�����。
圖1圖解了根據(jù)某些實(shí)施方式用于設(shè)備輔助的服務(wù)的安全的執(zhí)行環(huán)境�����。圖2圖解了根據(jù)某些實(shí)施方式用于設(shè)備輔助的服務(wù)的另一安全的執(zhí)行環(huán)境�。圖3圖解了根據(jù)某些實(shí)施方式用于設(shè)備輔助的服務(wù)的另一安全的執(zhí)行環(huán)境�����。圖4圖解了根據(jù)某些實(shí)施方式用于設(shè)備輔助的服務(wù)的另一安全的執(zhí)行環(huán)境�����。圖5圖解了根據(jù)某些實(shí)施方式用于設(shè)備輔助的服務(wù)的另一安全的執(zhí)行環(huán)境��。圖6圖解了根據(jù)某些實(shí)施方式用于設(shè)備輔助的服務(wù)的另一安全的執(zhí)行環(huán)境。圖7圖解了根據(jù)某些實(shí)施方式用于設(shè)備輔助的服務(wù)的另一安全的執(zhí)行環(huán)境����。圖8圖解了根據(jù)某些實(shí)施方式用于設(shè)備輔助的服務(wù)的另一安全的執(zhí)行環(huán)境。圖9圖解了根據(jù)某些實(shí)施方式用于設(shè)備輔助的服務(wù)的另一安全的執(zhí)行環(huán)境�。圖10圖解了根據(jù)某些實(shí)施方式用于設(shè)備輔助的服務(wù)的另一安全的執(zhí)行環(huán)境。圖11圖解了根據(jù)某些實(shí)施方式用于設(shè)備輔助的服務(wù)的另一安全的執(zhí)行環(huán)境�����。詳細(xì)說(shuō)明可以使用多種方式來(lái)實(shí)現(xiàn)本發(fā)明���,所述方式包括過(guò)程、裝置�、系統(tǒng)、物質(zhì)的組成��、包含在計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)上的計(jì)算機(jī)程序產(chǎn)品�;和/或處理器,例如被配置為執(zhí)行存儲(chǔ)在耦合到處理器的存儲(chǔ)器上的和/或由該存儲(chǔ)器提供的指令的處理器�����。在本說(shuō)明書中����,這些實(shí)現(xiàn)或本發(fā)明可以采用的任何其它形式可以稱作技術(shù)����。通常����,在本發(fā)明的范圍內(nèi),可以改變所公開的過(guò)程的步驟的順序�。除非專門聲明,否則諸如處理器或存儲(chǔ)器等被描述為被配置為執(zhí)行任務(wù)的部件可以實(shí)現(xiàn)為被暫時(shí)配置為在給定的時(shí)間執(zhí)行該任務(wù)的通用部件或者被制造以執(zhí)行該任務(wù)的專用部件����。本文所使用的術(shù)語(yǔ)“處理器”是指被配置為處理諸如計(jì)算機(jī)程序指令等數(shù)據(jù)的一個(gè)或多個(gè)設(shè)備、電路和/或處理內(nèi)核�。下面與圖解本發(fā)明的原理的附圖一起提供本發(fā)明的一個(gè)或多個(gè)實(shí)施方式的詳細(xì)描述。結(jié)合這些實(shí)施方式對(duì)本發(fā)明進(jìn)行了描述�,但是本發(fā)明不限于任何實(shí)施方式。本發(fā)明的范圍僅由權(quán)利要求限制�,并且本發(fā)明包括大量替換、修改和等價(jià)物�。為了提供對(duì)本發(fā)明的全面理解,在下面的描述中闡述了大量具體的細(xì)節(jié)��。為了舉例的目的而提供這些細(xì)節(jié)����,并且可以在沒(méi)有這些具體細(xì)節(jié)中的一些或全部的情況下根據(jù)權(quán)利要求來(lái)實(shí)施本發(fā)明��。為了清楚起見�����,沒(méi)有對(duì)與本發(fā)明有關(guān)的技術(shù)領(lǐng)域中已知的技術(shù)材料進(jìn)行詳細(xì)描述�����,以便不會(huì)使本發(fā)明產(chǎn)生不必要的模糊�。在某些實(shí)施方式中�����,提供了用于設(shè)備輔助的服務(wù)的安全技術(shù)��。在某些實(shí)施方式中���, 提供了用于設(shè)備輔助的服務(wù)的安全的服務(wù)測(cè)量和/或控制執(zhí)行分區(qū)技術(shù)。在某些實(shí)施方式中�,提供了用于設(shè)備輔助的服務(wù)的安全執(zhí)行環(huán)境。在某些實(shí)施方式中�,提供了用于設(shè)備輔助的服務(wù)的安全堆棧��。在某些實(shí)施方式中�,提供了用于設(shè)備輔助的服務(wù)的安全存儲(chǔ)器�。在某些實(shí)施方式中,提供了用于設(shè)備輔助的服務(wù)的安全調(diào)制解調(diào)器(如在該調(diào)制解調(diào)器/調(diào)制解調(diào)器驅(qū)動(dòng)器和服務(wù)處理器和/或在該設(shè)備上的代理���,諸如通信設(shè)備或中間聯(lián)網(wǎng)設(shè)備之間提供安全通信鏈接)�。在某些實(shí)施方式中�����,提供了用于設(shè)備輔助的服務(wù)的一個(gè)或多個(gè)安全監(jiān)視點(diǎn)�。在某些實(shí)施方式中,提供了用于設(shè)備輔助的服務(wù)的帶有驗(yàn)證的一個(gè)或多個(gè)安全監(jiān)視點(diǎn)(如安全的監(jiān)視點(diǎn)可以提供在調(diào)制解調(diào)器中���,該調(diào)制解調(diào)器安全地與CPU/處理器中的安全的執(zhí)行環(huán)境進(jìn)行通信�����,該CPU/處理器則可以驗(yàn)證這種服務(wù)使用測(cè)量)��。在某些實(shí)施方式中����,提供了用于設(shè)備輔助的服務(wù)的安全總線。在某些實(shí)施方式中���,提供了用于設(shè)備輔助的服務(wù)的在CPU/處理器中的安全執(zhí)行環(huán)境���。在某些實(shí)施方式中,提供了對(duì)用于設(shè)備輔助的服務(wù)的安全執(zhí)行環(huán)境的安全訪問(wèn)(如從該堆棧底部的安全通信��,諸如調(diào)制解調(diào)器驅(qū)動(dòng)器�,它要求提供訪問(wèn)受該設(shè)備上的服務(wù)處理器或安全代理控制的總線的證書,且在該總線上的信號(hào)是加密的)���。在某些實(shí)施方式中���,利用各種硬件分區(qū)技術(shù)(如在該CPU/處理器中的安全存儲(chǔ)器、安全調(diào)制解調(diào)器���、安全存儲(chǔ)器分區(qū)),提供了用于設(shè)備輔助的服務(wù)的各種安全執(zhí)行環(huán)境��,如本文所描述的���。在某些實(shí)施方式中�,設(shè)備輔助的服務(wù)(DAS)提供一個(gè)或多個(gè)的基于設(shè)備的服務(wù)使用測(cè)量、服務(wù)使用策略實(shí)施����、服務(wù)使用結(jié)賬、服務(wù)使用控制���、以及在各種實(shí)施方式中所描述的輔助��、替換�、和/或增加基于網(wǎng)絡(luò)的功能的任何一種其他功能���。例如��,各種DAS實(shí)施方式執(zhí)行下列功能中的一個(gè)或多個(gè)便利或控制對(duì)一個(gè)或多個(gè)接入服務(wù)網(wǎng)絡(luò)的激活��;測(cè)量在一個(gè)或多個(gè)接入網(wǎng)絡(luò)上的訪問(wèn)和/或服務(wù)使用���;控制在一個(gè)或多個(gè)接入網(wǎng)絡(luò)上的訪問(wèn)和/或服務(wù)使用;解釋在一個(gè)或多個(gè)接入網(wǎng)絡(luò)上的不同類型的服務(wù)使用���;實(shí)施服務(wù)質(zhì)量(QOS)控制�、收集和報(bào)告QOS流量需求��、匯集多設(shè)備QOS要求報(bào)告以評(píng)估總網(wǎng)絡(luò)QOS需求的測(cè)量,和 /或便利QOS資源分配�����;和/或便利接入網(wǎng)絡(luò)之間的漫游��。如關(guān)于各種實(shí)施方式如所描述的���,有用于DAS的更多的功能和實(shí)施方式��。在某些實(shí)施方式中��,執(zhí)行實(shí)現(xiàn)各種DAS實(shí)施方式的各種程序/功能元件在本文被稱作DAS代理或設(shè)備輔助的服務(wù)代理����,或在某些實(shí)施方式中���,采用了在特定例子中更具描述性的更具體的術(shù)語(yǔ)��。在某些實(shí)施方式中��,設(shè)備輔助的服務(wù)代理功能包括服務(wù)測(cè)量和/或服務(wù)測(cè)量記錄和/或服務(wù)測(cè)量報(bào)告(如針對(duì)服務(wù)控制器、設(shè)備�、用戶�����、或其它設(shè)備代理)和 /或服務(wù)測(cè)量同步(如在設(shè)備和網(wǎng)絡(luò)之間)���。在某些實(shí)施方式中,設(shè)備輔助的服務(wù)代理功能包括服務(wù)使用控制和/或服務(wù)使用控制策略設(shè)定����。在某些實(shí)施方式中,服務(wù)使用控制包括一個(gè)或多個(gè)網(wǎng)絡(luò)授權(quán)�����、網(wǎng)絡(luò)認(rèn)證�、網(wǎng)絡(luò)許可、訪問(wèn)控制����、服務(wù)使用活動(dòng)分類、準(zhǔn)許或不準(zhǔn)許一個(gè)或多個(gè)服務(wù)使用活動(dòng)和一個(gè)或多個(gè)服務(wù)使用活動(dòng)的流量整形���。在某些實(shí)施方式中�,設(shè)備輔助的服務(wù)代理功能包括下列各項(xiàng)的一個(gè)或多個(gè)報(bào)告服務(wù)使用給網(wǎng)絡(luò)中的QOS控制元件,從網(wǎng)絡(luò)接收QOS分配����,報(bào)告QOS分配給網(wǎng)絡(luò),和/或與網(wǎng)絡(luò)中的QOS服務(wù)保留元件進(jìn)行通信�。在某些實(shí)施方式中,設(shè)備輔助的服務(wù)代理功能包括基于下列一個(gè)或多個(gè)標(biāo)準(zhǔn)在該設(shè)備上實(shí)施的一個(gè)或多個(gè)QOS服務(wù)控制服務(wù)使用活動(dòng)的公平排隊(duì)���,基于分配的服務(wù)使用活動(dòng)的QOS等級(jí)的有區(qū)別的Q0S����,來(lái)自網(wǎng)絡(luò)的對(duì)一個(gè)或多個(gè)服務(wù)使用活動(dòng)的服務(wù)使用活動(dòng)QOS分配��,來(lái)自網(wǎng)絡(luò)的對(duì)一個(gè)或多個(gè)服務(wù)使用活動(dòng)的服務(wù)使用活動(dòng)策略的指示��。在某些實(shí)施方式中��,服務(wù)控制鏈接被用于在設(shè)備輔助的服務(wù)代理和設(shè)備控制器之間的通信�。在某些實(shí)施方式中,該服務(wù)控制鏈接是安全鏈接(如加密的通信鏈接)���。在某些實(shí)施方式中�,設(shè)備輔助的服務(wù)代理功能包括設(shè)備輔助的服務(wù)系統(tǒng)通信���、測(cè)量和/或記錄和/或報(bào)告和/或同步服務(wù)測(cè)量��、觀察關(guān)于服務(wù)控制完整性的通信信息��、通信關(guān)于服務(wù)控制策略指示和/或設(shè)置�、或更新設(shè)備輔助的軟件和/或代理設(shè)置的信息���。在某些實(shí)施方式中��,設(shè)備上的設(shè)備輔助的服務(wù)包括如下服務(wù)測(cè)量�����、服務(wù)控制�����、用戶接口和使用報(bào)告�����、用戶策略選擇�����、接受策略指令�����、提供以防止非法侵入���、惡意軟件�、錯(cuò)誤的受保護(hù)的執(zhí)行分區(qū)�����、以及其它安全技術(shù)���。在某些實(shí)施方式中�,服務(wù)器上的設(shè)備輔助的服務(wù)包括如下一個(gè)或多個(gè)設(shè)置策略�����、設(shè)置配置�、安裝/升級(jí)代理、檢查使用與策略����、檢查代理的正確操作��、同步從網(wǎng)絡(luò)到設(shè)備的使用���、以及其它驗(yàn)證技術(shù)。例如����,當(dāng)檢測(cè)到在策略執(zhí)行中的錯(cuò)誤時(shí)����,服務(wù)器可以采取進(jìn)一步觀察、檢疫或暫停該設(shè)備的行動(dòng)�。在某些實(shí)施方式中,控制服務(wù)器/控制服務(wù)網(wǎng)絡(luò)元件從設(shè)備接收服務(wù)測(cè)量�。在某些實(shí)施方式中,控制服務(wù)器/控制服務(wù)網(wǎng)絡(luò)元件從網(wǎng)絡(luò)接收服務(wù)測(cè)量��。在某些實(shí)施方式中�����, 控制服務(wù)器/控制服務(wù)網(wǎng)絡(luò)元件跨越多個(gè)網(wǎng)絡(luò)設(shè)定策略和管理服務(wù)(例如�����,雖然在各個(gè)圖中只示出了一個(gè)調(diào)制解調(diào)器,但多個(gè)調(diào)制解調(diào)器可以被用于帶有連續(xù)的服務(wù)使用測(cè)量�����、服務(wù)控制�、QOS控制、UI (用戶接口)�����、用戶愛好���、用戶使用報(bào)告��、和/或跨不同網(wǎng)絡(luò)的其它設(shè)置 /控制)��。在某些實(shí)施方式中�����,流量類型涉及下列中的一個(gè)或多個(gè)盡力網(wǎng)絡(luò)流量�����、實(shí)時(shí)流量 (例如��,諸如VOIP的現(xiàn)場(chǎng)直播聲音���、現(xiàn)場(chǎng)直播視頻等等)�,流傳輸流量��、多址傳送流量�����、單址傳送流量��、點(diǎn)對(duì)點(diǎn)流量�����、文件型��、與應(yīng)用相關(guān)的流量�、實(shí)時(shí)流量���、具有分配的優(yōu)先權(quán)的流量�����、 不具有分配的優(yōu)先權(quán)的流量���、和用于某個(gè)網(wǎng)絡(luò)的流量��。在某些實(shí)施方式中�,服務(wù)使用活動(dòng)涉及通過(guò)設(shè)備的服務(wù)使用���。在某些實(shí)施方式中�����, 服務(wù)使用活動(dòng)可以是一個(gè)或多個(gè)到接入網(wǎng)絡(luò)的連接���、到網(wǎng)絡(luò)上的某個(gè)目標(biāo)����、URL或地址的連接、通過(guò)一個(gè)或多個(gè)應(yīng)用到網(wǎng)絡(luò)的連接、某些類型的流量傳輸�、基于交易的服務(wù)類型����、基于廣告的服務(wù)類型�、或下列中的一個(gè)或多個(gè)的結(jié)合應(yīng)用類型、網(wǎng)絡(luò)目標(biāo)/地址/URL,流量類型��、和交易類型����。在某些實(shí)施方式中����,為保護(hù)執(zhí)行設(shè)備輔助的功能的功能的設(shè)備輔助的服務(wù)代理/ 功能性元件的保護(hù),提供有在CPU(中央處理單元)�、APU(輔助的處理器單元)�,或另一基于硬件的處理器上的受保護(hù)的執(zhí)行分區(qū)��。例如,這種在CPU����、APU、或其它處理器中的硬件保護(hù)的執(zhí)行分區(qū)能力����,可以在某些實(shí)施方式中與OS軟件功能或其它本地模式的軟件功能相結(jié)合以創(chuàng)建如本文所描述的安全的程序執(zhí)行分區(qū)。在某些實(shí)施方式中���,術(shù)語(yǔ)“主機(jī)”用于描述執(zhí)行設(shè)備應(yīng)用和聯(lián)網(wǎng)堆棧的硬件����、固件和/或軟件系統(tǒng)����。在某些實(shí)施方式中,某些設(shè)備輔助的服務(wù)代理/功能是在調(diào)制解調(diào)器的執(zhí)行分區(qū)環(huán)境中實(shí)施的���。圖1說(shuō)明根據(jù)某些實(shí)施方式用于設(shè)備輔助的服務(wù)的安全執(zhí)行環(huán)境100(如�,用于通信設(shè)備)�。如圖1中所示,設(shè)備執(zhí)行環(huán)境包括用于通信設(shè)備的程序/功能性元件(如����,通信設(shè)備可以是中間聯(lián)網(wǎng)設(shè)備,諸如3G/4GWWAN到WLAN橋/路由/網(wǎng)關(guān)��、超小型基站���、DOCSIS 調(diào)制解調(diào)器���、DSL調(diào)制解調(diào)器、遠(yuǎn)程訪問(wèn)/備份路由器��、以及其它中間網(wǎng)絡(luò)設(shè)備�,或移動(dòng)通信設(shè)備��,諸如移動(dòng)電話���、PDA、電子書閱讀器����、音樂(lè)設(shè)備、娛樂(lè)/游戲設(shè)備����、計(jì)算機(jī)、膝上型計(jì)算機(jī)���、上網(wǎng)本�、平板電腦���、家庭網(wǎng)絡(luò)系統(tǒng)��、和/或任何其它的移動(dòng)通信設(shè)備)�����,所述通信設(shè)備利用調(diào)制解調(diào)器子系統(tǒng)1#(125)通過(guò)N#(127)連接到一個(gè)或多個(gè)接入網(wǎng)絡(luò)1#(136) —直到 N#(138)��。在某些實(shí)施方式中���,通信設(shè)備包括多個(gè)程序執(zhí)行分區(qū)。如圖1中所示�,提供了四個(gè)執(zhí)行分區(qū)應(yīng)用執(zhí)行分區(qū)102,其中��,例如應(yīng)用程序在執(zhí)行�����;內(nèi)核執(zhí)行分區(qū)112�,其中����,例如較低級(jí)的驅(qū)動(dòng)器和基本的低級(jí)OS程序在執(zhí)行��;受保護(hù)的設(shè)備輔助的服務(wù)(DAQ執(zhí)行分區(qū) 114(也稱作受保護(hù)的DAS分區(qū))����,其中,在某些實(shí)施方式中��,設(shè)備輔助的服務(wù)代理和/或功能的某些或全部在執(zhí)行�;以及調(diào)制解調(diào)器分區(qū)124��,其中�,例如調(diào)制解調(diào)程序元件在執(zhí)行�, 以及在某些實(shí)施方式中,設(shè)備輔助的服務(wù)代理和/或功能的某些或全部在執(zhí)行�。在某些實(shí)施方式中,這些分區(qū)的每一個(gè)針對(duì)不同的軟件功能被優(yōu)化��,每一個(gè)都為程序提供了基本的器��、CPU或APU或調(diào)制解調(diào)器處理器執(zhí)行資源��、高級(jí)和/或低級(jí)0S�����,存儲(chǔ)器管理���、文件存儲(chǔ)�����、I/O設(shè)備資源(如用戶接口(UI)�、外圍設(shè)備等等)、網(wǎng)絡(luò)通信堆棧�、其它設(shè)備資源、和/或被要求或用于程序操作的其它資源��。這些用于CPU或APU的硬件和軟件資源有時(shí)在本文稱為術(shù)語(yǔ)“主機(jī)”���。如圖所示����,圖1圖解了應(yīng)用執(zhí)行分區(qū)102和內(nèi)核執(zhí)行分區(qū)112�,它們被示出為設(shè)備執(zhí)行環(huán)境中的分離的分區(qū)��。例如����,這種分離基于這樣的方式,其中在幾個(gè)不同的流行的操作系統(tǒng)(OS)(如windows�、UNIX、Linux���、MAC OS����、某些移動(dòng)設(shè)備OS、某些嵌入式設(shè)備OS���、等等) 的背景中�����,“內(nèi)核程序”(如驅(qū)動(dòng)器和網(wǎng)絡(luò)堆棧����,等等)在與“應(yīng)用程序”(如瀏覽器����、文字處理器、用戶界面���,等等)相比時(shí)通常得到支持�。在某些實(shí)施方式中�,沒(méi)有要求這些功能分離, 而在某些實(shí)施方式中���,其它功能分離得到支持�。如圖1中所示�,受保護(hù)的設(shè)備輔助的服務(wù)代理����,諸如受保護(hù)的DAS分區(qū)設(shè)備輔助的服務(wù)代理110���,在受保護(hù)的DAS分區(qū)114中執(zhí)行�,而未保護(hù)的設(shè)備輔助的服務(wù)代理和/或OS 聯(lián)網(wǎng)堆棧元件和應(yīng)用(如應(yīng)用106A到106C)在安全的設(shè)備輔助的服務(wù)執(zhí)行分區(qū)114外執(zhí)行�����,諸如應(yīng)用分區(qū)設(shè)備輔助的服務(wù)代理104和OS聯(lián)網(wǎng)堆棧和/或內(nèi)核分區(qū)設(shè)備輔助的服務(wù)代理108���。例如,受保護(hù)的DAS分區(qū)114可以使得黑客��、惡意軟件����、或系統(tǒng)錯(cuò)誤難以損害、攻擊或改變?cè)撛O(shè)備(如通信設(shè)備)上的設(shè)備輔助的服務(wù)測(cè)量�����、服務(wù)策略實(shí)施或服務(wù)使用控制操作��。在某些實(shí)施方式中,受保護(hù)的DAS分區(qū)114不需要支持對(duì)所有程序和OS部件的開放訪問(wèn)�����,使得保護(hù)可以更加容易�����。同樣��,如圖所示����,在應(yīng)用執(zhí)行分區(qū)102中的總線驅(qū)動(dòng)器116 提供與調(diào)制解調(diào)器總線102的通信,該調(diào)制解調(diào)器總線102與調(diào)制解調(diào)器執(zhí)行分區(qū)124中的總線驅(qū)動(dòng)器121通信�����。受保護(hù)的DAS分區(qū)也包括主機(jī)服務(wù)控制鏈接118�����,它便于與如圖所示的主機(jī)安全信道進(jìn)行通信�。在某些實(shí)施方式中,受保護(hù)的DAS分區(qū)114是在主設(shè)備上的受保護(hù)的執(zhí)行分區(qū)��,該主設(shè)備受到主機(jī)中的某些配置(如安全的虛擬執(zhí)行環(huán)境或分離的硬件安全功能)支持。例如�,這個(gè)受保護(hù)的執(zhí)行分區(qū)可以用于對(duì)設(shè)備輔助的服務(wù)使能的設(shè)備提供增加的服務(wù)測(cè)量完整性和/或服務(wù)控制完整性。在某些實(shí)施方式中�����,如本文所描述的�����,操作系統(tǒng)(OS)也在為設(shè)備輔助的服務(wù)的安全操作建立受保護(hù)的執(zhí)行分區(qū)中起作用����,以及,在某些實(shí)施方式中����,這個(gè)作用由本地軟件或固件在安全硬件元件上的運(yùn)行來(lái)實(shí)現(xiàn)�����。在某些實(shí)施方式中�,負(fù)責(zé)維護(hù)服務(wù)控制完整性的DAS代理在受保護(hù)的DAS分區(qū)114 中執(zhí)行。例如���,受保護(hù)的DAS分區(qū)設(shè)備輔助的服務(wù)代理110可以包括下列各項(xiàng)中的一個(gè)或多個(gè)一個(gè)或多個(gè)服務(wù)使用測(cè)量功能���;某些或全部由設(shè)備輔助的服務(wù)系統(tǒng)監(jiān)視或控制的設(shè)備聯(lián)網(wǎng)堆棧功能����;連接到OS聯(lián)網(wǎng)堆棧以觀察或控制堆棧流量的設(shè)備驅(qū)動(dòng)器�;訪問(wèn)控制完整性功能;服務(wù)策略控制功能��;服務(wù)UI功能���;應(yīng)用識(shí)別功能��,和/或通過(guò)應(yīng)用�、地址/URL和/ 或流量類型的結(jié)合以劃分服務(wù)使用活動(dòng)的功能�;調(diào)制解調(diào)器總線驅(qū)動(dòng)功能;和/或調(diào)制解調(diào)數(shù)據(jù)加密功能以阻止其它未授權(quán)的程序通過(guò)直接訪問(wèn)堆棧周圍的調(diào)制解調(diào)器來(lái)繞過(guò)設(shè)備輔助的服務(wù)測(cè)量和/或控制��。在某些實(shí)施方式中����,系統(tǒng)設(shè)計(jì)員或一套給定的設(shè)計(jì)準(zhǔn)則確定各種描述的設(shè)備輔助的代理功能中的哪一個(gè)應(yīng)該在受保護(hù)的DAS分區(qū)114中執(zhí)行,以便為系統(tǒng)增強(qiáng)服務(wù)控制完整性��。在某些實(shí)施方式中,設(shè)備操作系統(tǒng)提供除了在操作系統(tǒng)中可用的傳統(tǒng)安全特性外的受保護(hù)的DAS分區(qū)114�。在某些實(shí)施方式中,受保護(hù)的DAS分區(qū)114提供帶有增加的程序執(zhí)行保護(hù)的執(zhí)行分區(qū)�����,在該執(zhí)行分區(qū)中��,例如���,服務(wù)測(cè)量和/或服務(wù)控制程序(代理)可以在提供更高的訪問(wèn)控制完整性的模式中執(zhí)行(如正確的服務(wù)使用報(bào)告和/或服務(wù)測(cè)量和 /或帶有增強(qiáng)的防護(hù)攻擊��、錯(cuò)誤��、惡意軟件等等的服務(wù)控制系統(tǒng)操作)�����。在某些實(shí)施方式中���, 硬件輔助的安全執(zhí)行分區(qū)為設(shè)備輔助的服務(wù)代理功能提供增強(qiáng)的程序執(zhí)行保護(hù)�����。在某些實(shí)施方式中,服務(wù)控制鏈接(如通過(guò)主機(jī)安全信道150到網(wǎng)絡(luò)服務(wù)控制鏈接152的主機(jī)服務(wù)控制鏈接118)被用于在設(shè)備輔助的服務(wù)代理和服務(wù)控制器122之間的通信����。在某些實(shí)施方式中,服務(wù)控制鏈接是安全的鏈接(如加密的通信鏈接)�����。在某些實(shí)施方式中�,加密的安全控制鏈接可以在網(wǎng)絡(luò)堆棧(如TCP、HTTP����、TLS等等)的較高層上實(shí)施, 以及在某些實(shí)施方式中���,加密的鏈接可以在網(wǎng)絡(luò)堆棧中的較低層上實(shí)施��,諸如IP層或接入網(wǎng)絡(luò)層(如WWAN設(shè)備管理信道或信號(hào)層)�����。在某些實(shí)施方式中�,服務(wù)控制鏈接安全至少部分地由該設(shè)備和服務(wù)控制器122之間的加密鏈接信號(hào)提供���。在某些實(shí)施方式中��,服務(wù)控制鏈接安全至少部分地通過(guò)在受保護(hù)的DAS分區(qū)114中運(yùn)行服務(wù)控制鏈接設(shè)備側(cè)程序代理來(lái)提供�����。在某些實(shí)施方式中�,服務(wù)控制鏈接安全至少部分地通過(guò)限制到某種設(shè)備輔助的服務(wù)代理的服務(wù)控制鏈接的訪問(wèn)來(lái)實(shí)現(xiàn),所述設(shè)備輔助的服務(wù)代理被允許與服務(wù)控制器122通信���。在某些實(shí)施方式中��,被允許與服務(wù)控制鏈接進(jìn)行通信的代理利用加密的通信執(zhí)行這種通信�。在某些實(shí)施方式中���,加密的通信采用該設(shè)備上的安全的代理之間的通信總線完成��。在某些實(shí)施方式中���,在受保護(hù)的DAS分區(qū)114中執(zhí)行的用于改變某些設(shè)備輔助的服務(wù)的處理器代理的操作配置、執(zhí)行代碼�、執(zhí)行指令和/或設(shè)置的唯一機(jī)制是通過(guò)該服務(wù)控制鏈接。在某些實(shí)施方式中,在受保護(hù)的DAS分區(qū)中執(zhí)行的用于改變?nèi)魏纬绦蛞氐奈ㄒ粰C(jī)制是通過(guò)服務(wù)控制鏈接�,從而只有服務(wù)控制器122可以為位于服務(wù)測(cè)量和/或服務(wù)控制執(zhí)行分區(qū)中的代理修改操作或服務(wù)策略設(shè)置��。如圖1中所示�����,在服務(wù)控制器122中提供了各種服務(wù)器功能�。在某些實(shí)施方式中, 服務(wù)歷史服務(wù)器158從一個(gè)或多個(gè)設(shè)備DAS代理和/或從可能的基于網(wǎng)絡(luò)的服務(wù)使用數(shù)據(jù)庫(kù)的各種資源收集服務(wù)使用測(cè)量��,所述基于網(wǎng)絡(luò)的服務(wù)使用數(shù)據(jù)庫(kù)諸如接入網(wǎng)絡(luò)服務(wù)使用 142(如承載收費(fèi)數(shù)據(jù)記錄(OTR)系統(tǒng))�����、專用網(wǎng)絡(luò)服務(wù)使用144(如MVNO或企業(yè)網(wǎng)路服務(wù)使用記帳系統(tǒng))���、和/或賬單��、調(diào)解服務(wù)使用日志����、和解(reconciliation) 148(如服務(wù)提供商賬單或調(diào)解系統(tǒng))�����。在某些實(shí)施方式中,訪問(wèn)控制完整性服務(wù)器156被用于比較各種訪問(wèn)控制驗(yàn)證檢查以保證設(shè)備輔助的服務(wù)代理沒(méi)有被損害����。在執(zhí)行這些完整性檢查的訪問(wèn)控制完整性服務(wù)器156中使用的各種實(shí)施方式,針對(duì)各種實(shí)施方式進(jìn)行了描述�����。某些實(shí)施方式包括對(duì)基于設(shè)備的服務(wù)使用測(cè)量��,與假如期望的服務(wù)策略被正確地實(shí)施應(yīng)該得到的服務(wù)使用進(jìn)行比較�����;將基于設(shè)備的服務(wù)使用測(cè)量與假如期望的服務(wù)策略被正確地實(shí)施于基于設(shè)備的服務(wù)使用測(cè)量時(shí)應(yīng)該得到的服務(wù)使用相比較�,所述基于設(shè)備的服務(wù)使用測(cè)量在受保護(hù)的 DAS分區(qū)114和/或調(diào)制解調(diào)器執(zhí)行分區(qū)124中執(zhí)行;將基于網(wǎng)絡(luò)的服務(wù)使用測(cè)量與假如期望的服務(wù)策略被正確地實(shí)施應(yīng)該得到的服務(wù)使用相比較��;及將基于網(wǎng)絡(luò)的服務(wù)使用測(cè)量與基于設(shè)備的服務(wù)使用測(cè)量相比較�����。在某些實(shí)施方式中�,策略控制服務(wù)器1 存儲(chǔ)可以在設(shè)備上實(shí)施的各種服務(wù)方案的策略設(shè)置��,以及將合適的策略設(shè)置傳送到合適的設(shè)備DAS代理����。在某些實(shí)施方式中�����,例如��,通過(guò)硬件增強(qiáng)的執(zhí)行分區(qū)和進(jìn)入受保護(hù)的DAS分區(qū)114 的安全信道�����,服務(wù)控制器122具有到服務(wù)測(cè)量�����、服務(wù)控制設(shè)置�、軟件鏡像�、軟件安全狀態(tài)、和/或其它設(shè)置/功能的安全訪問(wèn)����。例如�����,主機(jī)安全信道150可以利用公共的/私有的或點(diǎn)對(duì)點(diǎn)私有的密鑰被加密�����。同樣����,例如其它鏈接安全����,可以如本文所描述的被實(shí)施。例如���,服務(wù)器可以保證鏈接保持為經(jīng)認(rèn)證的和信息是有效的����。例如�,服務(wù)控制器可以執(zhí)行一個(gè)或多個(gè)下列驗(yàn)證技術(shù)將被監(jiān)視的服務(wù)使用與策略相比較、將被監(jiān)視的服務(wù)使用與其它服務(wù)使用測(cè)量相比較和/或與各種其它的網(wǎng)絡(luò)服務(wù)使用測(cè)量結(jié)合在一起���。在某些實(shí)施方式中����,受保護(hù)的DAS分區(qū)114包括如圖1中所示的主機(jī)服務(wù)控制鏈接118,它配合網(wǎng)絡(luò)服務(wù)控制鏈接152工作�����,即它與網(wǎng)絡(luò)服務(wù)控制鏈接152通信以通過(guò)主機(jī)安全信道150在服務(wù)控制器和主機(jī)之間發(fā)送和接收安全信息���。在某些實(shí)施方式中,受保護(hù)的DAS分區(qū)114僅從服務(wù)控制器122接受新的程序鏡像�,而不從本地程序或磁盤接受新的程序鏡像。在某些實(shí)施方式中����,受保護(hù)的DAS分區(qū)114不能與其它應(yīng)用和/或內(nèi)核程序通信。在某些實(shí)施方式中��,受保護(hù)的DAS分區(qū)114也可以與其它應(yīng)用和/或內(nèi)核程序通信����,但僅僅為了收集信息或設(shè)定設(shè)置。在某些實(shí)施方式中�����,受保護(hù)的DAS分區(qū)也可以與其它應(yīng)用和/或內(nèi)核程序通信,但僅僅通過(guò)受限制的加密的通信總線����,該通信總線限制外部程序訪問(wèn)受保護(hù)的程序或代理功能,也可以限制在受保護(hù)的分區(qū)內(nèi)部的代理接受來(lái)自該受保護(hù)的分區(qū)外的程序的未授權(quán)的信息或代碼修改����。各種其它的安全技術(shù)也可以提供DAS執(zhí)行環(huán)境,對(duì)本領(lǐng)域的技術(shù)人員來(lái)說(shuō)����,通過(guò)參考此處所描述的實(shí)施方式這將是顯然的。在某些實(shí)施方式中��,受保護(hù)的DAS分區(qū)114通過(guò)使用除了由操作系統(tǒng)和/或其它軟件提供的其他軟件安全特性(如虛擬執(zhí)行分區(qū))之外或替代物外�����,可以采用CPU或APU 硬件安全特性來(lái)創(chuàng)建����。在某些實(shí)施方式中,主機(jī)硬件安全特性提供有操作系統(tǒng)安全內(nèi)核操作模式����。在某些實(shí)施方式中���,用于安全的設(shè)備輔助的服務(wù)執(zhí)行分區(qū)操作的主機(jī)硬件安全特性獨(dú)立于操作系統(tǒng)內(nèi)核(如,在獨(dú)立的安全程序區(qū)域中的安全程序分區(qū)中執(zhí)行�,該安全程序區(qū)域不被無(wú)法訪問(wèn)該分區(qū)的OS和/或軟件直接控制)在某些實(shí)施方式中,支持受保護(hù)的DAS分區(qū)114的硬件安全特性包括防止該設(shè)備上的其它元件寫入和/或讀取為設(shè)備輔助的服務(wù)代理和/或控制鏈接功能保留的某些存儲(chǔ)器區(qū)域�����。在某些實(shí)施方式中���,這種存儲(chǔ)器保護(hù)功能通過(guò)將存儲(chǔ)器定位在安全的硬件分區(qū)中來(lái)完成���,該硬件分區(qū)不能被未授權(quán)的設(shè)備程序元件(例如���,在主機(jī)CPU中的隔離的存儲(chǔ)器空間的單獨(dú)的庫(kù))訪問(wèn)����。在某些實(shí)施方式中���,這種存儲(chǔ)器保護(hù)功能包括加密到和自存儲(chǔ)器的信號(hào)���,使得只有授權(quán)的設(shè)備程序元件擁有訪問(wèn)該存儲(chǔ)器的相應(yīng)的加密能力��。在某些實(shí)施方式中�����,訪問(wèn)設(shè)備輔助的服務(wù)代理存儲(chǔ)器和/或某些數(shù)據(jù)元件的機(jī)制��,通過(guò)服務(wù)服務(wù)控制鏈接被限制于授權(quán)的設(shè)備輔助的服務(wù)代理和/或服務(wù)控制器�����,使得該設(shè)備上的未授權(quán)的程序元件不能改變?cè)O(shè)備輔助的服務(wù)代理代碼和/或操作�。在某些實(shí)施方式中���,支持受保護(hù)的DAS分區(qū)114的硬件安全特征包括防止該設(shè)備上的未授權(quán)元件訪問(wèn)受保護(hù)的存儲(chǔ)器和/或文件存儲(chǔ)器(如“受保護(hù)的存儲(chǔ)器”�,諸如磁盤存儲(chǔ)器�、非易失性存儲(chǔ)器、嵌入式非易失性存儲(chǔ)器��,諸如NVRAM���、閃存或NVR0M����,安全地嵌入的非易失性存儲(chǔ)器、和/或其它類型的存儲(chǔ)器)�����,它被用于存儲(chǔ)設(shè)備輔助的服務(wù)代理程序���。 在某些實(shí)施方式中���,該受保護(hù)的存儲(chǔ)器被保持在也執(zhí)行一個(gè)或多個(gè)設(shè)備輔助的服務(wù)代理的安全硬件分區(qū)中,使得只有授權(quán)的設(shè)備輔助的服務(wù)代理可以訪問(wèn)該存儲(chǔ)器位置��。在某些實(shí)施方式中����,存儲(chǔ)在這種受保護(hù)的文件存儲(chǔ)器中的鏡像必須為引導(dǎo)加載程序適當(dāng)?shù)丶用芎秃灻允跈?quán)加載設(shè)備輔助的服務(wù)代理程序到執(zhí)行存儲(chǔ)器中,以及在某些實(shí)施方式中���,如果該鏡像未被正確地簽名,那么將產(chǎn)生訪問(wèn)控制完整性錯(cuò)誤和/或程序不被加載����。在某些實(shí)施方式中,這種正確地簽名的DAS鏡像只能從服務(wù)控制器得到�。在某些實(shí)施方式中����,這種DAS 鏡像只能由服務(wù)控制器加載到受保護(hù)的文件存儲(chǔ)器中�。在某些實(shí)施方式中,防止設(shè)備上的未授權(quán)的元件訪問(wèn)受保護(hù)的文件存儲(chǔ)器的硬件安全特征���,包括加密到和自安全存儲(chǔ)器的信號(hào)(traffic)����,使得僅僅授權(quán)的設(shè)備程序元件擁有訪問(wèn)該存儲(chǔ)器的相應(yīng)的加密能力����。在某些實(shí)施方式中,再編程設(shè)備輔助的服務(wù)代理程序存儲(chǔ)的訪問(wèn)或訪問(wèn)權(quán)利��,通過(guò)服務(wù)控制鏈接被限制在服務(wù)控制器���,使得在該設(shè)備上的未授權(quán)的程序元件��,不能被授權(quán)去改變?cè)O(shè)備輔助的服務(wù)代理代碼和/或操作�����。在某些實(shí)施方式中�,保護(hù)設(shè)備輔助的服務(wù)代理存儲(chǔ)器的硬件安全特征包括受保護(hù)的DAS分區(qū),其中訪問(wèn)控制完整性代理功能與其它設(shè)備程序元件隔離��,且安全服務(wù)控制鏈接也以類似的方式被隔離���,而訪問(wèn)控制完整性代理掃描由一個(gè)或多個(gè)設(shè)備輔助的服務(wù)代理使用以測(cè)量和/或控制服務(wù)的執(zhí)行存儲(chǔ)器����、數(shù)據(jù)存儲(chǔ)器和/或文件存儲(chǔ)器�����。在某些實(shí)施方式中�,掃描的目的是檢測(cè)設(shè)備輔助的服務(wù)代理代碼和/或數(shù)據(jù)的變化。在某些實(shí)施方式中���, 掃描的目的是檢測(cè)其他未授權(quán)的程序元件或數(shù)據(jù)����,它們可能存在于用于設(shè)備輔助的服務(wù)代理執(zhí)行的保留的或受保護(hù)的區(qū)域中�����。在某些實(shí)施方式中�,這種掃描審計(jì)的報(bào)告通過(guò)服務(wù)控制鏈接報(bào)告給服務(wù)控制器以利用基于云的資源做進(jìn)一步處理,以識(shí)別訪問(wèn)控制完整性的破壞(violation)�。在某些實(shí)施方式中,訪問(wèn)控制完整性代理功能包括以下功能中的一個(gè)或多個(gè)散列(hashing)其它設(shè)備輔助的安全代理���、查詢其它設(shè)備輔助的安全代理��、觀察其它設(shè)備輔助的安全代理的操作或監(jiān)視服務(wù)測(cè)量����,以及然后要么在本地設(shè)備上評(píng)估該結(jié)果以確定它們是否屬于預(yù)先定義的允許參數(shù)或經(jīng)過(guò)服務(wù)控制鏈接���,發(fā)送至少某些結(jié)果到服務(wù)控制器以供進(jìn)一步的分析����。在某些實(shí)施方式中�����,該掃描審計(jì)與掃描的早期版本相比較���,以比較代碼結(jié)構(gòu)或操作的特性����。在某些實(shí)施方式中,該掃描審計(jì)被與應(yīng)該存在于DAS代理中的用于代碼或操作特性的已知數(shù)據(jù)庫(kù)相比較�。在某些實(shí)施方式中,訪問(wèn)控制完整性代理��,或訪問(wèn)控制完整性代理的新版本可以由服務(wù)控制器通過(guò)安全的服務(wù)控制鏈接下載�。例如,在對(duì)安全的設(shè)備輔助的服務(wù)代理的破壞或損害已經(jīng)發(fā)生的情況下���,這種技術(shù)提供如上描述的設(shè)備服務(wù)控制安全性狀態(tài)的實(shí)時(shí)評(píng)估���。在某些實(shí)施方式中,下載的訪問(wèn)控制完整性代理可以具有與先前下載到該設(shè)備上的任何代理不同的配置和/或操作�����,使得黑客或惡意軟件難于或不可能在短時(shí)間內(nèi)欺騙該代理的操作���。例如�����,通過(guò)要求該代理在短于欺騙該代理所需的時(shí)間的一段時(shí)間內(nèi)將安全評(píng)估報(bào)告回該服務(wù)器�����,如果設(shè)備輔助的服務(wù)系統(tǒng)已經(jīng)被破壞或損害�,代理將會(huì)要么報(bào)告回設(shè)備狀態(tài)的精確評(píng)估�,要么被黑客或惡意軟件阻止,而這兩種情況可以提供采取行動(dòng)所要求的信肩���、ο在某些實(shí)施方式中�����,受保護(hù)的DAS分區(qū)和/或調(diào)制解調(diào)器執(zhí)行分區(qū)����,可以被用于安全地存儲(chǔ)某些或全部的設(shè)備證書����,所述設(shè)備證書用于一個(gè)或多個(gè)的設(shè)備組的聯(lián)合、激活�����、到該接入網(wǎng)絡(luò)和/或DAS網(wǎng)絡(luò)的授權(quán)���、服務(wù)級(jí)別�����、和服務(wù)使用記帳和/或計(jì)費(fèi)���。在某些實(shí)施方式中�,該調(diào)制解調(diào)器子系統(tǒng)也包括增強(qiáng)DAS系統(tǒng)的訪問(wèn)控制完整性的DAS元件�。如圖1中所示,在某些實(shí)施方式中�,一個(gè)或多個(gè)調(diào)制解調(diào)器,可以包括標(biāo)記為調(diào)制解調(diào)器分區(qū)DAS代理126的DAS代理功能�。調(diào)制解調(diào)器執(zhí)行分區(qū)124的調(diào)制解調(diào)器子系統(tǒng)1#(125)的調(diào)制解調(diào)器執(zhí)行分區(qū)124,包括與調(diào)制解調(diào)器1 和調(diào)制解調(diào)器服務(wù)控制鏈接130進(jìn)行通信(如安全通信����,諸如采用加密的通信)的調(diào)制解調(diào)器分區(qū)DAS代理126, 如圖所示���,調(diào)制解調(diào)器服務(wù)控制鏈接130又通過(guò)調(diào)制解調(diào)器安全信道1#(132)與網(wǎng)絡(luò)服務(wù)控制鏈接152通信����。同樣����,調(diào)制解調(diào)器1 與接入網(wǎng)絡(luò)1# (136)通信(如安全通信����,諸如采用加密的通信)���,接入網(wǎng)絡(luò)1#(136)與接入網(wǎng)絡(luò)服務(wù)使用142和因特網(wǎng)140進(jìn)行通信,因特網(wǎng)140與專用網(wǎng)絡(luò)146進(jìn)行通信��,專用網(wǎng)絡(luò)146與專用網(wǎng)絡(luò)服務(wù)使用144進(jìn)行通信���,如圖所示��。用于在調(diào)制解調(diào)器執(zhí)行分區(qū)中執(zhí)行的DAS代理功能的示例性實(shí)施方式包括調(diào)制解調(diào)器加密和調(diào)制解調(diào)器服務(wù)使用測(cè)量��。在其它實(shí)施方式中����,調(diào)制解調(diào)器執(zhí)行分區(qū)也可以包括較高級(jí)別的DAS代理功能��,諸如堆棧信號(hào)分類�����、堆棧操作、訪問(wèn)控制��、和/或流量控制��。 例如�����,調(diào)制解調(diào)器執(zhí)行分區(qū)也可以包括完整的服務(wù)處理器�,它完全能夠管理服務(wù)使用測(cè)量和/或服務(wù)控制的所有方面。例如����,調(diào)制解調(diào)器執(zhí)行分區(qū)可以利用許多在受保護(hù)的DAS分區(qū)的背景中所描述的服務(wù)安全實(shí)施方式,以增強(qiáng)DAS系統(tǒng)的服務(wù)完整性�����,這對(duì)于本領(lǐng)域的普通技術(shù)人員來(lái)說(shuō)是顯而易見的�����。例如�����,在調(diào)制解調(diào)器上的DAS代理可以用加密和簽名的格式存儲(chǔ)在調(diào)制解調(diào)器上的非易失性(NV)存儲(chǔ)器上,該調(diào)制解調(diào)器上的非易失性存儲(chǔ)器只有經(jīng)過(guò)從受保護(hù)的DAS分區(qū)到調(diào)制解調(diào)器執(zhí)行分區(qū)的網(wǎng)絡(luò)服務(wù)控制鏈接或本地安全控制鏈接才是可訪問(wèn)的�����。如圖1中所示���,提供了完全不同于主機(jī)安全控制信道150的單獨(dú)的安全的調(diào)制解調(diào)器控制信道(如��,調(diào)制解調(diào)器安全信道1#(132)到調(diào)制解調(diào)器安全信道 N#(134))�。這個(gè)單獨(dú)的調(diào)制解調(diào)器控制信道可以在設(shè)備的較高網(wǎng)絡(luò)層或在較低的接入網(wǎng)絡(luò)層上實(shí)現(xiàn)���,使得需要接入網(wǎng)絡(luò)資源的專用通道甚至連接到調(diào)制解調(diào)器DAS代理126,從而進(jìn)一步增強(qiáng)與服務(wù)控制相關(guān)的安全性��。在某些實(shí)施方式中�����,受保護(hù)的DAS分區(qū)提供執(zhí)行親本控制(parental control)��、 企業(yè)WffAN管理控制或漫游控制�、和/或在受保護(hù)的執(zhí)行空間的使用報(bào)告所要求的DAS代理功能。鑒于本文所描述的DAS實(shí)施方式,如何為這些各種的和其它的應(yīng)用場(chǎng)景實(shí)施這種受保護(hù)的控制���,對(duì)于本領(lǐng)域的普通技術(shù)人員來(lái)說(shuō)是顯而易見的�。在某些實(shí)施方式中�����,受保護(hù)的DAS分區(qū)提供在安全機(jī)器的上面運(yùn)行虛擬機(jī)(VM)�����。 由無(wú)需特別許可就可安裝的軟件可訪問(wèn)的設(shè)備應(yīng)用0S�����,可以與安全硬件和/或在VM下運(yùn)行的OS分開��。利用這些技術(shù)�,惡意軟件可以在VM OS上被“封存在內(nèi)”而不是“隔離在外”,如關(guān)于本文所描述的各種實(shí)施方式所討論的��。在某些實(shí)施方式中�,在受保護(hù)的DAS分區(qū)之外的程序/功能性元件與受保護(hù)的DAS 分區(qū)內(nèi)的DAS代理之間的通信由安全的加密信道控制。在某些實(shí)施方式中�,僅僅可以與DAS 代理通信的程序/功能被允許這樣做,并且,在某些實(shí)施方式中�����,甚至這些外部程序也不允許修改DAS代理的配置��,僅僅允許報(bào)告信息和/或接收信息���。例如��,各種實(shí)施方式可以用于通過(guò)多個(gè)調(diào)制解調(diào)器連接到多個(gè)接入網(wǎng)絡(luò)�����,每個(gè)調(diào)制解調(diào)器潛在地與相應(yīng)于所支持的不同類型的接入網(wǎng)絡(luò)的不同的DAS策略的集合相關(guān)聯(lián)�。 在某些實(shí)施方式中�,諸如對(duì)于3G/4G的調(diào)制解調(diào)器��、WWAN/WLAN調(diào)制解調(diào)器��、以及各種的其它多個(gè)調(diào)制解調(diào)器實(shí)施方式�����,該多個(gè)調(diào)制解調(diào)器也可以提供在同樣的多模調(diào)制解調(diào)器子系統(tǒng)上,而不是提供在不同的調(diào)制解調(diào)器子系統(tǒng)上��。在某些實(shí)施方式中����,本文描述的各種技術(shù)和實(shí)施方式,可以被容易地應(yīng)用到中間聯(lián)網(wǎng)設(shè)備���,這對(duì)于本領(lǐng)域的普通技術(shù)人員來(lái)說(shuō)將是顯而易見的�。例如�,中間聯(lián)網(wǎng)設(shè)備可以包括用于管理、控制和/或測(cè)量用于通過(guò)中間聯(lián)網(wǎng)設(shè)備與無(wú)線網(wǎng)絡(luò)相通信的一個(gè)或多個(gè)設(shè)備的服務(wù)使用的一些或所有的DAS代理�����,在該中間聯(lián)網(wǎng)設(shè)備中����,可以利用本文所描述的各種技術(shù)在安全的執(zhí)行環(huán)境或安全的執(zhí)行分區(qū)中執(zhí)行DAS代理。在某些實(shí)施方式中��,中間聯(lián)網(wǎng)設(shè)備包括���,例如����,WWAN/WLAN橋,路由器和網(wǎng)關(guān)����,帶有WWAN/WLAN或WffAN/藍(lán)牙、WWAN/LAN或 WWAN/WPAN功能的蜂窩電話�,超小型基站,用于有線接入路由器的備份卡���、以及其它形式/ 類型的中間聯(lián)網(wǎng)設(shè)備���。圖2圖解了根據(jù)某些實(shí)施方式的用于設(shè)備輔助的服務(wù)的另一安全的執(zhí)行環(huán)境 200。特別地����,圖2圖解的實(shí)施方式中DAS代理實(shí)際上不代替OS網(wǎng)絡(luò)堆棧元件,而是一個(gè)或多個(gè)DAS代理包括接口到網(wǎng)絡(luò)堆棧中并通過(guò)(如��,安全地通信)流量信息或往來(lái)于堆棧的實(shí)際流量的設(shè)備驅(qū)動(dòng)器程序��。如圖2中所示�����,這些設(shè)備驅(qū)動(dòng)器接口構(gòu)件被標(biāo)記為OS驅(qū)動(dòng)器框架和接口 208��。為DAS代理提供這類架構(gòu)的示例性O(shè)S系統(tǒng)構(gòu)件包括Windows NDIS和/ 或TDI驅(qū)動(dòng)器��、Windows濾波器平臺(tái)(WFP)�,伯克利包濾波器(Berkeley packet filter)、 ipfw(如�����,可被用于各種0S����,諸如Unix、Linux�、MAC OS的BSD包濾波器),和/或執(zhí)行這些或類似功能的其它平臺(tái)/程序��。雖然這些OS堆棧選項(xiàng)本身并不安全�����,如果與它們相連接的驅(qū)動(dòng)器如在圖2中所圖解的��,通過(guò)在受保護(hù)的DAS分區(qū)214中執(zhí)行該驅(qū)動(dòng)器被確保為安全的����,那么可以實(shí)現(xiàn)更高的總的訪問(wèn)控制完整性/安全性級(jí)別�����。如圖2中所示���,在受保護(hù)的DAS分區(qū)214中執(zhí)行的服務(wù)測(cè)量和/或策略控制驅(qū)動(dòng)器210代表DAS驅(qū)動(dòng)器,它連接到標(biāo)明在內(nèi)核執(zhí)行分區(qū)212中執(zhí)行的OS驅(qū)動(dòng)器框架和接口 208的OS堆棧設(shè)備驅(qū)動(dòng)器接口構(gòu)件��,OS驅(qū)動(dòng)器框架和接口 208與OS堆棧API 207進(jìn)行通信/連接�����。同樣如圖所示�����,諸如106A到106C的應(yīng)用在應(yīng)用執(zhí)行分區(qū)202中執(zhí)行�����。在某些實(shí)施方式中����,服務(wù)訪問(wèn)控制完整性通過(guò)在網(wǎng)絡(luò)堆棧外部放置附加的測(cè)量點(diǎn)進(jìn)一步被增強(qiáng), 因此�����,例如�����,如果網(wǎng)絡(luò)堆棧服務(wù)使用報(bào)告被非法侵入�����、侵害�����、和/或遭受破壞�,具有位于該設(shè)備上和/或網(wǎng)絡(luò)中(例如,如圖中所示的調(diào)制解調(diào)器代理226���,它提供在該調(diào)制解調(diào)器中的服務(wù)測(cè)量點(diǎn)用于測(cè)量通過(guò)該設(shè)備的服務(wù)使用���,并且也如圖所示,利用調(diào)制解調(diào)器加密225 提供與調(diào)制解調(diào)器代理226的安全通信)的安全的附加的或備用的服務(wù)測(cè)量�。例如��,由顯示在圖2中的調(diào)制解調(diào)器代理226���、調(diào)制解調(diào)器加密225、和/或調(diào)制解調(diào)器總線120功能提供的服務(wù)測(cè)量�,可以在受保護(hù)的分區(qū)中執(zhí)行(例如,如圖2中所示的調(diào)制解調(diào)器執(zhí)行分區(qū) 124可以利用本文所描述的各種技術(shù)被實(shí)施為安全或受保護(hù)的分區(qū))��。圖3圖解了根據(jù)某些實(shí)施方式用于設(shè)備輔助的服務(wù)的另一安全的執(zhí)行環(huán)境300����。 如圖所示,某些堆棧元件在內(nèi)核執(zhí)行分區(qū)312中執(zhí)行����,而某些堆棧元件在受保護(hù)的DAS執(zhí)行分區(qū)314中執(zhí)行。在某些實(shí)施方式中����,在應(yīng)用執(zhí)行分區(qū)302中執(zhí)行的DAS代理104通過(guò)截取堆棧信號(hào)和采用附加的信號(hào)測(cè)量和/或?yàn)V波,來(lái)直接監(jiān)視和/或控制堆棧信號(hào)���。本文關(guān)于各種實(shí)施方式描述了這種技術(shù)的例子����。如圖3中所示,網(wǎng)絡(luò)堆棧元件308是駐留在內(nèi)核執(zhí)行分區(qū)312中的OS堆棧元件�,而受保護(hù)的DAS網(wǎng)絡(luò)堆棧元件310是駐留在受保護(hù)的DAS 執(zhí)行分區(qū)314中的堆棧元件�。例如,由于某些或可能全部堆棧網(wǎng)絡(luò)信號(hào)處理駐留在受保護(hù)的DAS執(zhí)行分區(qū)314���,高級(jí)服務(wù)控制完整性可以利用這些技術(shù)來(lái)維持�。例如��,調(diào)制解調(diào)器總線驅(qū)動(dòng)器121可以在安全的執(zhí)行分區(qū)中執(zhí)行����,諸如調(diào)制解調(diào)器執(zhí)行分區(qū)324,它可以利用本文所描述的各種技術(shù)被實(shí)施為安全的執(zhí)行分區(qū)�����,或調(diào)制解調(diào)器總線驅(qū)動(dòng)器121可以在受保護(hù)的DAS執(zhí)行分區(qū)314中執(zhí)行���,使得未授權(quán)的程序可以通過(guò)該調(diào)制解調(diào)器被阻止訪問(wèn)該接入網(wǎng)絡(luò)��。在某些實(shí)施方式中�,整個(gè)堆棧在受保護(hù)的DAS執(zhí)行分區(qū)中執(zhí)行,僅僅堆棧API在內(nèi)核執(zhí)行分區(qū)312中執(zhí)行����。各種其它實(shí)施方式包括在受保護(hù)的DAS執(zhí)行分區(qū)314中實(shí)施安全服務(wù)測(cè)量所需的最小量(如就許多代理和/或功能性而言),該安全服務(wù)測(cè)量可以用于確認(rèn)服務(wù)策略實(shí)施的完整性(如關(guān)于本文所公開的各種其它實(shí)施方式所描述的)�。對(duì)本領(lǐng)域的普通技術(shù)人員來(lái)說(shuō)將是顯而易見的是,利用本文所描述的各種技術(shù)和/或與之相類似的技術(shù)�����,堆棧處理功能的各種結(jié)合�,可以在安全的主執(zhí)行分區(qū)中被實(shí)施,以增強(qiáng)DAS系統(tǒng)的服務(wù)測(cè)量和/或服務(wù)控制完整性��。在某些實(shí)施方式中��,在受保護(hù)的DAS執(zhí)行分區(qū)中實(shí)施的堆棧元件可以包括堆棧 API�、套接協(xié)議層、TCP���、UDP��、在堆棧中的一個(gè)或多個(gè)點(diǎn)的服務(wù)測(cè)量����、IP層處理,VPN/IPSEC�、 PPP、訪問(wèn)控制���、流量分類�、流量排隊(duì)����、流量路由���、流量Q0S���、報(bào)告給QOS分配服務(wù)器的流量需求、報(bào)告給QOS服務(wù)器的流量統(tǒng)計(jì)��、流量QOS保留要求包括根據(jù)流量類型或應(yīng)用類型或關(guān)于服務(wù)器的服務(wù)優(yōu)先權(quán)���、流量調(diào)節(jié)����、流量統(tǒng)計(jì)匯總���、流量QOS優(yōu)先權(quán)識(shí)別����、調(diào)制解調(diào)器驅(qū)動(dòng)器、 調(diào)制解調(diào)器數(shù)據(jù)加密�����、和/或其它堆棧元件功能或特征��。在某些實(shí)施方式中���,上述討論的服務(wù)控制機(jī)制由在服務(wù)控制鏈接上收到的來(lái)自服務(wù)器或其它授權(quán)的網(wǎng)絡(luò)元件的策略要求控制����。在某些實(shí)施方式中�����,設(shè)備也向服務(wù)器或其它授權(quán)的網(wǎng)絡(luò)元件報(bào)告使用測(cè)量�����。在某些實(shí)施方式中�,該設(shè)備也向服務(wù)器或其它授權(quán)的網(wǎng)絡(luò)元件報(bào)告QOS需求和/或從服務(wù)器或其它授權(quán)的網(wǎng)絡(luò)元件接受QOS指令���。在某些實(shí)施方式中,設(shè)備報(bào)告流量統(tǒng)計(jì)���,規(guī)劃的流量需求���、應(yīng)用使用、規(guī)劃的QOS需求可以全部報(bào)告給服務(wù)器或其它授權(quán)的網(wǎng)絡(luò)元件�����,以便提供正確的數(shù)據(jù)帶寬量和流量?jī)?yōu)先權(quán)給設(shè)備���,而服務(wù)器或其它授權(quán)的網(wǎng)絡(luò)元件從許多不同的設(shè)備匯總這種報(bào)告以規(guī)劃整個(gè)網(wǎng)絡(luò)所需要的分配,和做出總的承載信道級(jí)或基站級(jí)決定�、承載信道分配和承載信道QOS分配決定,它們也可以被連接到承載信道供應(yīng)(provisioning)�、或承載信道QOS供應(yīng)裝置、或位于接入網(wǎng)絡(luò)中的其它授權(quán)的網(wǎng)絡(luò)元件�。例如,如對(duì)于本領(lǐng)域的普通技術(shù)人員來(lái)說(shuō)將是顯而易見的���,鑒于本文所描述的各種實(shí)施方式�����,附加的安全測(cè)量可以被加入某些實(shí)施方式以擴(kuò)大安全的服務(wù)分區(qū)����,例如,包括訪問(wèn)控制完整性檢查�。例如,除了可以從服務(wù)器或其它授權(quán)的網(wǎng)絡(luò)元件接收到的服務(wù)控制策略指令外�,可以存在中間策略控制代理以作出附加的關(guān)于應(yīng)該實(shí)施何等即時(shí)的策略的較高級(jí)別的決定。如圖3中所示����,調(diào)制解調(diào)器控制鏈接被示出為調(diào)制解調(diào)器本地信道330,其提供從本地連接到主機(jī)服務(wù)控制鏈接118的鏈接���,它依次通過(guò)主機(jī)安全信道150連接到服務(wù)控制器152���。這種通信信道也可以被實(shí)施或配置成提供加密的通信,以及在某些實(shí)施方式中���,可以被用作從調(diào)制解調(diào)器服務(wù)控制鏈接到網(wǎng)絡(luò)服務(wù)控制鏈接的直接連接的替代方式����,如關(guān)于其它圖和本文所描述的各種實(shí)施方式所揭示的。如圖3中所示��,饋送或與調(diào)制解調(diào)器總線驅(qū)動(dòng)器121進(jìn)行通信的最終的堆棧元件��, 是位于受保護(hù)的DAS執(zhí)行分區(qū)314(在圖3中圖示為實(shí)線)中的受保護(hù)的DAS網(wǎng)絡(luò)堆棧元件310���,或在某些實(shí)施方式中����,可以是位于內(nèi)核執(zhí)行分區(qū)312(在圖3中圖示為虛線)中的網(wǎng)絡(luò)堆棧元件308����。在某些實(shí)施方式中,這些最終的堆棧元件饋送或與調(diào)制解調(diào)器子系統(tǒng)125 進(jìn)行通信�。在某些實(shí)施方式中,例如����,調(diào)制解調(diào)器子系統(tǒng)125包括加密的鏈接��,使得在受保護(hù)的DAS執(zhí)行分區(qū)中的堆棧元件310可以與調(diào)制解調(diào)器1 進(jìn)行通信����,但其他軟件程序或硬件元件不能與調(diào)制解調(diào)器1 進(jìn)行通信�,例如��,因此防止服務(wù)測(cè)量和/或控制被不適當(dāng)?shù)乩@開或以其他方式被包圍����。例如并且如上述類似地討論的,例如調(diào)制解調(diào)器子系統(tǒng)125����,可以包括它自己的利用本文所描述的各種技術(shù)的受保護(hù)的執(zhí)行分區(qū)。例如���,調(diào)制解調(diào)器保護(hù)的執(zhí)行分區(qū)��,也可以包括服務(wù)測(cè)量(如���,調(diào)制解調(diào)器代理2 可以在調(diào)制解調(diào)器子系統(tǒng)125 中提供這種服務(wù)測(cè)量點(diǎn),如上面關(guān)于圖2所類似地描述的)以增強(qiáng)如同由服務(wù)測(cè)量所描述的服務(wù)控制完整性驗(yàn)證��。調(diào)制解調(diào)器服務(wù)測(cè)量可以包括在受保護(hù)的執(zhí)行分區(qū)中�����,該執(zhí)行分區(qū)只能被服務(wù)控制器122通過(guò)調(diào)制解調(diào)器本地信道133訪問(wèn)���,或調(diào)制解調(diào)器服務(wù)測(cè)量只能被在受保護(hù)的執(zhí)行分區(qū)314中的另一 DAS代理310訪問(wèn)�。在某些實(shí)施方式中,調(diào)制解調(diào)器本地信道330被實(shí)現(xiàn)為安全信道(如在調(diào)制解調(diào)器服務(wù)控制鏈接130和主機(jī)服務(wù)控制鏈接 118之間的加密的通信信道)�。如本文所描述的,調(diào)制解調(diào)器驅(qū)動(dòng)器可以駐留在被保護(hù)的服務(wù)執(zhí)行環(huán)境中��,或調(diào)制解調(diào)器信號(hào)可以在服務(wù)執(zhí)行環(huán)境內(nèi)被加密��。例如��,加密設(shè)置可以由各種安全控制服務(wù)器控制�。圖4圖解了根據(jù)某些實(shí)施方式用于設(shè)備輔助的服務(wù)的另一安全的執(zhí)行環(huán)境400。 具體地���,圖4圖解了由在被保護(hù)的DAS執(zhí)行分區(qū)414中執(zhí)行的DAS代理執(zhí)行的直接堆棧操作選擇�,包括���,如圖所示的應(yīng)用識(shí)別代理420�����、訪問(wèn)控制完整性代理422、策略控制代理424���、 策略實(shí)施代理426���、服務(wù)測(cè)量/服務(wù)監(jiān)視代理428�、調(diào)制解調(diào)器加密代理430��、以及總線驅(qū)動(dòng)器432��。例如����,策略實(shí)施代理似6根據(jù)一套服務(wù)控制策略執(zhí)行訪問(wèn)控制和/或信號(hào)整形。例如�����,服務(wù)控制策略�,可以由服務(wù)控制器122或由服務(wù)控制器122協(xié)調(diào)策略控制代理422來(lái)設(shè)定。如圖所示�����,應(yīng)用識(shí)別代理420與在應(yīng)用執(zhí)行分區(qū)中執(zhí)行的各種應(yīng)用106A到106C進(jìn)行通信�����。同樣如圖所示,在應(yīng)用執(zhí)行分區(qū)402中執(zhí)行的各種應(yīng)用106A到106C與在內(nèi)核執(zhí)行分區(qū)412中執(zhí)行的OS堆棧和/或堆棧API 408進(jìn)行通信����。在某些實(shí)施方式中,如圖所示���,被保護(hù)的服務(wù)測(cè)量代理428�、調(diào)制解調(diào)器加密代理 430���、調(diào)制解調(diào)器驅(qū)動(dòng)器代理432��、應(yīng)用標(biāo)識(shí)符代理420����、訪問(wèn)控制完整性代理422�、以及策略控制代理似4全部在被保護(hù)的DAS執(zhí)行分區(qū)414中實(shí)施。在某些實(shí)施方式中���,如對(duì)本領(lǐng)域的普通技術(shù)人員來(lái)說(shuō)將是顯而易見的��,這些功能的子集在各種環(huán)境下可以在被保護(hù)的執(zhí)行分區(qū)中實(shí)施�����,諸如被保護(hù)的DAS分區(qū)�����。圖4也類似地示出了各種實(shí)施方式���,它們對(duì)于基于網(wǎng)絡(luò)的服務(wù)使用測(cè)量和連接到調(diào)停或計(jì)費(fèi)系統(tǒng)都是可用的���,且應(yīng)該理解任何或所有這些實(shí)施方式和圖都可以用于承載網(wǎng)絡(luò)��、MVN0���、專用網(wǎng)絡(luò)、或支持企業(yè)IT管理控制�、親本控制(parental control)、多網(wǎng)絡(luò)控制����、 和/或漫游控制的開放網(wǎng)絡(luò)的環(huán)境中。圖5圖解了根據(jù)某些實(shí)施方式用于設(shè)備輔助的服務(wù)的另一安全的執(zhí)行環(huán)境500�。 具體地�,圖5類似于圖4��,只是圖5圖解了調(diào)制解調(diào)器服務(wù)控制鏈接132��,它通過(guò)網(wǎng)絡(luò)服務(wù)控制鏈接152(如���,通過(guò)調(diào)制解調(diào)器安全信道)直接地連接到服務(wù)控制器122����。在某些實(shí)施方式中��,用于DAS的調(diào)制解調(diào)器控制鏈接在該本地設(shè)備上建立或通過(guò)完全不同的控制信道建立���,在某些實(shí)施方式中�����,該控制信道提供如本文所描述的增強(qiáng)的安全性(例如���,非法侵入該設(shè)備上不能被訪問(wèn)的服務(wù)使用測(cè)量或服務(wù)控制是非常困難的)。圖6圖解了根據(jù)某些實(shí)施方式用于設(shè)備輔助的服務(wù)的另一安全的執(zhí)行環(huán)境600���。 具體地�����,圖6圖解了策略實(shí)施代理616和OS堆棧API 608�����,前者包括在受保護(hù)的執(zhí)行分區(qū)614中運(yùn)行的整個(gè)網(wǎng)絡(luò)堆棧����,后者包括在內(nèi)核執(zhí)行分區(qū)612中的應(yīng)用識(shí)別功能620����。圖7圖解了根據(jù)某些實(shí)施方式用于設(shè)備輔助的服務(wù)的另一安全的執(zhí)行環(huán)境700。 具體地�,圖7圖解了 DAS代理,它不替換OS網(wǎng)絡(luò)堆棧元件���,而是一個(gè)或多個(gè)DAS代理由設(shè)備驅(qū)動(dòng)器程序組成���,該設(shè)備驅(qū)動(dòng)器程序接口到網(wǎng)絡(luò)堆棧中,且通過(guò)通信流量信息或往來(lái)于該堆棧的實(shí)際流量��。這些設(shè)備驅(qū)動(dòng)器接口構(gòu)件被標(biāo)記為圖7中的OS驅(qū)動(dòng)器框架和接口 722���, 如類似地在圖2中所示出和關(guān)于圖2所描述的�����,與OS堆棧API 708 一起��,它包括如上面參照?qǐng)D6所類似地討論的應(yīng)用標(biāo)識(shí)符功能720�����,且在內(nèi)核執(zhí)行分區(qū)712中執(zhí)行�����。同樣��,如圖所示����,應(yīng)用分區(qū)DAS代理104在應(yīng)用執(zhí)行分區(qū)702中執(zhí)行。在圖7中的實(shí)施方式和顯示在圖2 中并參照?qǐng)D2所描述的實(shí)施方式之間的主要區(qū)別是��,服務(wù)測(cè)量代理428�����、調(diào)制解調(diào)器加密代理430和調(diào)制解調(diào)器驅(qū)動(dòng)器代理432在受保護(hù)的DAS分區(qū)714中執(zhí)行,如圖7中所示���。例如�����,這提供了增強(qiáng)的服務(wù)控制安全性����,如本文關(guān)于各種實(shí)施方式所描述的���。圖8圖解了根據(jù)某些實(shí)施方式用于設(shè)備輔助的服務(wù)的另一安全的執(zhí)行環(huán)境800。 具體地�����,圖8圖解了更簡(jiǎn)單的實(shí)施方式�,它類似于圖7的實(shí)施方式。在圖8中��,僅僅訪問(wèn)控制完整性代理422和服務(wù)測(cè)量4 在受保護(hù)的DAS分區(qū)814中執(zhí)行��,而總線驅(qū)動(dòng)器432和服務(wù)測(cè)量和/或策略控制器驅(qū)動(dòng)器210在內(nèi)核執(zhí)行分區(qū)712中執(zhí)行�����。這個(gè)實(shí)施方式說(shuō)明, 假定該設(shè)備上提供了至少一個(gè)受保護(hù)的服務(wù)測(cè)量��,那么DAS服務(wù)控制完整性可以非常高��。 例如��,如果訪問(wèn)程序代碼或控制流量對(duì)服務(wù)測(cè)量代理428以及主機(jī)服務(wù)控制鏈接118來(lái)說(shuō)���, 除了經(jīng)過(guò)服務(wù)控制器122的加密的控制信道之外是不可能的���,那么這種簡(jiǎn)單的配置可以差不多與基于網(wǎng)絡(luò)的服務(wù)測(cè)量一樣盡可能的安全。這種技術(shù)類似地應(yīng)用于服務(wù)測(cè)量和控制鏈接���,而服務(wù)測(cè)量和控制鏈接類似地在受保護(hù)的調(diào)制解調(diào)器執(zhí)行分區(qū)324中實(shí)施�,這對(duì)于本領(lǐng)域的普通技術(shù)人員來(lái)說(shuō)將是顯而易見的���。在某些實(shí)施方式中�����,例如����,萬(wàn)一受保護(hù)的DAS分區(qū)814被擊破或被損壞,訪問(wèn)控制完整性代理422提供附加的安全性�。圖9圖解了根據(jù)某些實(shí)施方式用于設(shè)備輔助的服務(wù)的另一安全的執(zhí)行環(huán)境900。 具體地����,圖9圖解了類似于圖8的那種實(shí)施方式,只是����,具體地,除了服務(wù)測(cè)量在受保護(hù)的 DAS分區(qū)914中執(zhí)行外���,調(diào)制解調(diào)器加密代理430也在受保護(hù)的DAS分區(qū)914中被實(shí)施/執(zhí)行。例如�����,這防止未授權(quán)的軟件通過(guò)繞開網(wǎng)絡(luò)堆棧直接到該調(diào)制解調(diào)器而使服務(wù)測(cè)量和/ 或服務(wù)控制失效���。圖10圖解了根據(jù)某些實(shí)施方式用于設(shè)備輔助的服務(wù)的另一安全的執(zhí)行環(huán)境 1000��。具體地���,圖10圖解了類似于圖9的那種實(shí)施方式���,只是,具體地���,在圖10中有在應(yīng)用執(zhí)行分區(qū)702中執(zhí)行的附加的應(yīng)用分區(qū)DAS代理104�����。例如�����,這說(shuō)明利用本文描述的各種技術(shù)�����,只要有一些關(guān)鍵的測(cè)量和/或控制在受保護(hù)的執(zhí)行分區(qū)中被實(shí)施����,某些DAS代理可以在應(yīng)用空間中(如��,UI代理、策略控制代理����、以及如本文所描述的各種其他的DAS代理)被實(shí)施,而仍然保持高級(jí)別的服務(wù)測(cè)量和/或控制安全性��。圖11圖解了根據(jù)某些實(shí)施方式用于設(shè)備輔助的服務(wù)的另一安全的執(zhí)行環(huán)境 1100����。具體地,圖11圖解了服務(wù)器云如何被板上訪問(wèn)控制完整性代理輔助���,以檢測(cè)對(duì)其他服務(wù)測(cè)量和/或控制代理的竄改�,或保護(hù)服務(wù)測(cè)量和/或控制系統(tǒng)免遭惡意軟件攻擊和/ 或以其他方式被包含�����。如圖所示����,訪問(wèn)控制完整性代理422在受保護(hù)的DAS分區(qū)1114內(nèi)執(zhí)行�,并與文件存儲(chǔ)器1130 (例如,持續(xù)地維持設(shè)備狀態(tài)和/或其他設(shè)置或狀態(tài)或監(jiān)視信息) 進(jìn)行通信����。訪問(wèn)控制完整性代理422執(zhí)行各種訪問(wèn)控制完整性檢查功能�,例如�,如本文關(guān)于各種實(shí)施方式所描述的,以及在某些實(shí)施方式中�����,配合在安全控制信道上的服務(wù)器(如主機(jī)安全信道150)�。在某些實(shí)施方式中,訪問(wèn)控制完整性代理422可以向服務(wù)控制器122發(fā)送關(guān)于其它服務(wù)測(cè)量和/或控制代理的信息��,使得服務(wù)控制器122可以確定該代理是否正確地工作�����,或已經(jīng)被竄改或以其他方式被損害�。例如,這種信息可以包括部分代碼���、雜亂信號(hào)���、代碼段、與先前鏡像相比的代碼變化�、與歷史鏡像相比的代碼變化���、對(duì)詢問(wèn)的回應(yīng)、校驗(yàn)和���、操作行為或模式的觀察�����、服務(wù)使用���、策略實(shí)施行為、和/或可以表明設(shè)備代理/測(cè)量的任何的竄改���、損壞��、損害的其他信息�����。在某些實(shí)施方式中��,訪問(wèn)控制完整性代理422檢查操作環(huán)境關(guān)于惡意軟件簽名的跡象��,或發(fā)送應(yīng)用和/或驅(qū)動(dòng)器信息或關(guān)于操作系統(tǒng)的其他信息到服務(wù)器��,用于進(jìn)一步處理以檢測(cè)惡意軟件����。在某些實(shí)施方式中���,訪問(wèn)控制完整性代理422 執(zhí)行在受保護(hù)的DAS分區(qū)存儲(chǔ)器����、內(nèi)核執(zhí)行分區(qū)存儲(chǔ)器區(qū)域���、應(yīng)用執(zhí)行分區(qū)存儲(chǔ)器區(qū)域上��、 在磁盤存儲(chǔ)器區(qū)域上或在其他文件存儲(chǔ)器區(qū)域上的基本操作�,以檢測(cè)已知的惡意軟件雜亂信號(hào)或簽名等等��,或訪問(wèn)控制完整性代理422可以發(fā)送該雜亂信號(hào)到服務(wù)器用于與惡意軟件數(shù)據(jù)庫(kù)進(jìn)行比較(例如���,對(duì)已知的惡意軟件比較特征���、或用于進(jìn)一步的基于行為或其他安全性/惡意軟件檢測(cè)技術(shù))。在某些實(shí)施方式中���,DAS系統(tǒng)以對(duì)服務(wù)控制鏈接中的失敗表現(xiàn)穩(wěn)健(robust to loss)(如���,在WWAN鏈接上的覆蓋范圍停歇或者有線鏈接上的連接中斷)的方式被實(shí)施��。在某些實(shí)施方式中���,DAS系統(tǒng)以某種對(duì)于一個(gè)或多個(gè)在服務(wù)控制器中的服務(wù)器元件由于某種原因掉線或失敗表現(xiàn)穩(wěn)健的方式被實(shí)施。下列實(shí)施方式提供這些技術(shù)��,如下所述��。在某些實(shí)施方式中����,對(duì)于一個(gè)或多個(gè)設(shè)備輔助的服務(wù)代理保持服務(wù)使用報(bào)告記錄和/或提供給服務(wù)控制器的關(guān)于設(shè)備服務(wù)控制狀態(tài)的其它報(bào)告(如,現(xiàn)有的服務(wù)方案設(shè)置�、 當(dāng)前的服務(wù)使用策略設(shè)置、當(dāng)前的用戶參考設(shè)置����、當(dāng)前的DAS設(shè)置、當(dāng)前的加密的控制信道和/或本地加密的通信信道關(guān)鍵信息�、當(dāng)前的DAS代理狀態(tài)報(bào)告、當(dāng)前的DAS代理安全性狀態(tài)報(bào)告�����、當(dāng)前的環(huán)境服務(wù)使用和/或交易記錄�、當(dāng)前的服務(wù)控制完整性威脅報(bào)告、用戶狀態(tài)信息����、設(shè)備狀態(tài)信息、應(yīng)用狀態(tài)信息����、設(shè)備位置、設(shè)備QOS狀態(tài)�、和/或其他狀態(tài)和/或設(shè)置信息)是有利的。除了存在于該設(shè)備上并報(bào)告給服務(wù)控制器的這種信息外����,附加的服務(wù)信息可以在服務(wù)控制器中得到并被記錄,諸如從設(shè)備外部接收到的信息和/或設(shè)備報(bào)告的信息的分析結(jié)果(如�,基于網(wǎng)絡(luò)的服務(wù)使用測(cè)量,設(shè)備服務(wù)使用分析�����,設(shè)備報(bào)告與其它信息的比較���,訪問(wèn)控制完整性代理報(bào)告的分析�,從漫游網(wǎng)絡(luò)接收到的信息,從親本控制終端�、企業(yè)控制終端、虛擬服務(wù)提供商控制終端輸入到服務(wù)控制器的信息�����,訪問(wèn)網(wǎng)絡(luò)授權(quán)信息��,服務(wù)完整性破壞級(jí)別�,和用于正確地測(cè)量和/或控制該設(shè)備服務(wù)的許多其它類型的信息)。例如�����, 從設(shè)備報(bào)告的和從設(shè)備外部接收到的或得到的信息��,它們是充分地定義由維持正確的DAS 系統(tǒng)操作的服務(wù)控制器所需的行動(dòng)所要求的信息����,有時(shí)在本文稱之為“設(shè)備服務(wù)狀態(tài)”。在某些實(shí)施方式中�,服務(wù)控制器功能是高度可量測(cè)的,并可以在許多硬件和軟件平臺(tái)上被執(zhí)行(如,在服務(wù)器中的不同虛擬機(jī)�����、在數(shù)據(jù)中心的不同服務(wù)器����、或位于不同的數(shù)據(jù)中心的不同服務(wù)器)�����。例如��,在這些實(shí)施方式中�,通過(guò)知道過(guò)去的設(shè)備服務(wù)狀態(tài)和當(dāng)前的設(shè)備服務(wù)狀態(tài),服務(wù)控制器可以被設(shè)計(jì)使得執(zhí)行各種服務(wù)控制器服務(wù)器功能的程序�����,能夠在任何時(shí)刻及時(shí)地得到正確地管理該設(shè)備所必要的所有信息���,所述過(guò)去和當(dāng)前的設(shè)備服務(wù)狀態(tài)充分地定義為實(shí)現(xiàn)正確地維持DAS系統(tǒng)操作���,服務(wù)控制器需要的下一套行動(dòng)。通過(guò)用這種方式設(shè)計(jì)系統(tǒng),如果正在運(yùn)行服務(wù)控制器服務(wù)器功能的服務(wù)器����,由于任何給定的設(shè)備有問(wèn)題而將停止或與該設(shè)備斷開連接,那么通過(guò)分配另一服務(wù)控制器服務(wù)器功能到該設(shè)備�,并恢復(fù)或修復(fù)必要的過(guò)去的設(shè)備服務(wù)狀態(tài)和必要的當(dāng)前設(shè)備服務(wù)狀態(tài),另一服務(wù)器可以稍后恢復(fù)DAS系統(tǒng)的正確操作�。例如,這可以如下列所述在某些實(shí)施方式中實(shí)現(xiàn)���。服務(wù)控制器將當(dāng)前的設(shè)備服務(wù)狀態(tài)保存到對(duì)所有控制器服務(wù)器功能都可用的公共數(shù)據(jù)庫(kù)中(如�����,它可以是集中的或分布的)��。設(shè)備服務(wù)狀態(tài)在每次設(shè)備與服務(wù)控制器通信時(shí)�,或在有規(guī)律的時(shí)間間隔上����,或以它們二者的結(jié)合的方式被保存。設(shè)備保留它的當(dāng)前和過(guò)去的服務(wù)狀態(tài)報(bào)告��,即使在它們被報(bào)告后����,至少直到服務(wù)控制器給該設(shè)備發(fā)送一個(gè)確認(rèn)該服務(wù)控制器已經(jīng)保存了給定設(shè)備的服務(wù)狀態(tài)的消息���。一旦該設(shè)備接收到這個(gè)關(guān)于給定的設(shè)備狀態(tài)報(bào)告的保存確認(rèn),那么當(dāng)該設(shè)備不再使用它時(shí)�,不再需要保留那個(gè)特別的設(shè)備狀態(tài)報(bào)告。這樣��,如果服務(wù)控制器服務(wù)器功能停止���,那么關(guān)于一個(gè)或多個(gè)報(bào)告的設(shè)備狀態(tài)的保存確認(rèn)��,不會(huì)被服務(wù)控制器傳輸?shù)皆撛O(shè)備, 于是該設(shè)備可以保留那個(gè)報(bào)告��。服務(wù)器負(fù)載平衡器檢測(cè)到給定的服務(wù)控制器服務(wù)器功能已經(jīng)停止��,查找正在被那個(gè)服務(wù)控制器服務(wù)器功能所控制的設(shè)備���,發(fā)現(xiàn)有問(wèn)題的設(shè)備是那些設(shè)備之一��,并重新分配新的服務(wù)控制器服務(wù)器功能(要么在同一數(shù)據(jù)中心�,要么在另一數(shù)據(jù)中心)以控制有問(wèn)題的設(shè)備�。然后,新近分配的服務(wù)控制器服務(wù)器功能,恢復(fù)記錄在服務(wù)控制器數(shù)據(jù)庫(kù)中的全部過(guò)去的設(shè)備狀態(tài)���,并被要求正確地管理DAS系統(tǒng)���,然后要求該設(shè)備傳送或重傳沒(méi)有保存在服務(wù)控制器數(shù)據(jù)庫(kù)中的所有設(shè)備狀態(tài)報(bào)告。一旦該設(shè)備傳送或重傳所要求的信息����,那么新近分配的服務(wù)控制器功能擁有了它正確地管理DAS系統(tǒng)所需的信息,它保存所有報(bào)告的設(shè)備狀態(tài)信息��,然后發(fā)送保存確認(rèn)到該設(shè)備�����,使得該設(shè)備不再需要保留舊的服務(wù)狀態(tài)報(bào)告��。新近分配的服務(wù)控制器服務(wù)器功能然后可以利用一套動(dòng)作恢復(fù)DAS 系統(tǒng)操作�,該套動(dòng)作與假如最初的服務(wù)控制器服務(wù)器功能沒(méi)有停止,它應(yīng)當(dāng)采取的動(dòng)作相同或非常類似����。本領(lǐng)域的普通技術(shù)人員將可以理解,上面的技術(shù)也可用于適應(yīng)在該設(shè)備和服務(wù)控制器之間的連接中的短暫的失敗��。例如,這種技術(shù)為可靠的服務(wù)冗余實(shí)現(xiàn)跨多個(gè)數(shù)據(jù)中心的分布式服務(wù)控制器提供了高度可量測(cè)的和穩(wěn)健的方法���。在某些實(shí)施方式中�,例如�, 過(guò)去的設(shè)備服務(wù)狀態(tài)信息保存在受保護(hù)的DAS執(zhí)行分區(qū)和/或調(diào)制解調(diào)器執(zhí)行分區(qū),使得它免遭破壞�����。雖然為了使理解清楚的目的而詳細(xì)地描述了前面的實(shí)施方式����,但是本發(fā)明不限于所提供的細(xì)節(jié)。存在很多實(shí)現(xiàn)本發(fā)明的可替換的方式���。所公開的實(shí)施方式是示例性的而非限制性的。
權(quán)利要求
1.一種系統(tǒng)�����,其包括通信設(shè)備的處理器�����,其被配置成實(shí)施至少部分在安全的執(zhí)行環(huán)境中執(zhí)行的服務(wù)配置文件,以用于輔助控制所述通信設(shè)備對(duì)無(wú)線網(wǎng)絡(luò)上的服務(wù)的使用�,其中所述服務(wù)配置文件包括多個(gè)服務(wù)策略設(shè)置,且其中所述服務(wù)配置文件與服務(wù)方案相關(guān)�,所述服務(wù)方案提供到所述無(wú)線網(wǎng)絡(luò)上的所述服務(wù)的訪問(wèn);基于所述服務(wù)配置文件監(jiān)視所述服務(wù)的使用�;以及基于所監(jiān)視的所述服務(wù)的使用,驗(yàn)證所述服務(wù)的使用�;所述通信設(shè)備的存儲(chǔ)器,其耦合到所述處理器并被配置以為所述處理器提供指令�����。
2.如權(quán)利要求1中所述的系統(tǒng)���,其中所述服務(wù)的使用至少部分地基于以設(shè)備為基礎(chǔ)的服務(wù)使用信息來(lái)驗(yàn)證��。
3.如權(quán)利要求1中所述的系統(tǒng)���,其中所述通信設(shè)備是移動(dòng)通信設(shè)備或中間聯(lián)網(wǎng)設(shè)備, 且所述服務(wù)包括一個(gè)或多個(gè)基于因特網(wǎng)的服務(wù)���。
4.如權(quán)利要求1中所述的系統(tǒng)���,其中所述通信設(shè)備包括調(diào)制解調(diào)器�,且所述處理器位于所述調(diào)制解調(diào)器中�����。
5.如權(quán)利要求1中所述的系統(tǒng)��,其中所述通信設(shè)備是移動(dòng)通信設(shè)備��,所述服務(wù)包括一個(gè)或多個(gè)基于因特網(wǎng)的服務(wù)��,且其中所述移動(dòng)通信設(shè)備包括下列各項(xiàng)中的一個(gè)或多個(gè)移動(dòng)電話�、PDA、電子書閱讀器�����、音樂(lè)設(shè)備�����、娛樂(lè)/游戲設(shè)備��、計(jì)算機(jī)��、膝上型計(jì)算機(jī)����、上網(wǎng)本、平板電腦和家庭聯(lián)網(wǎng)系統(tǒng)��。
6.如權(quán)利要求1中所述的系統(tǒng)����,其中所述服務(wù)方案允許利用服務(wù)功能訪問(wèn)所述服務(wù), 所述服務(wù)功能基于下列各項(xiàng)中的一個(gè)或多個(gè)進(jìn)行控制時(shí)間周期���、網(wǎng)絡(luò)地址���、服務(wù)類型、內(nèi)容類型�����、應(yīng)用類型�、帶寬、以及數(shù)據(jù)使用�。
7.如權(quán)利要求1中所述的系統(tǒng),其中所述服務(wù)策略設(shè)置包括下列各項(xiàng)中的一個(gè)或多個(gè)訪問(wèn)控制設(shè)置�、流量控制設(shè)置、計(jì)費(fèi)系統(tǒng)設(shè)置�����、帶確認(rèn)的用戶通知設(shè)置、帶同步服務(wù)使用信息的用戶通知����、用戶隱私設(shè)置、用戶喜好設(shè)置���、認(rèn)證設(shè)置����、許可控制設(shè)置����、應(yīng)用訪問(wèn)設(shè)置、 內(nèi)容訪問(wèn)設(shè)置����、交易設(shè)置、以及網(wǎng)絡(luò)或設(shè)備管理通信設(shè)置�����。
8.如權(quán)利要求1中所述的系統(tǒng)�,其中所述安全的執(zhí)行環(huán)境包括受保護(hù)的設(shè)備輔助的服務(wù)執(zhí)行分區(qū)。
9.如權(quán)利要求1中所述的系統(tǒng)�,其中所述安全的執(zhí)行環(huán)境包括受保護(hù)的設(shè)備輔助的服務(wù)執(zhí)行分區(qū),且其中所述受保護(hù)的設(shè)備輔助的服務(wù)執(zhí)行分區(qū)至少部分被實(shí)施為硬件分區(qū)����。
10.如權(quán)利要求1所述的系統(tǒng),其中所述安全的執(zhí)行環(huán)境包括受保護(hù)的設(shè)備輔助的服務(wù)執(zhí)行分區(qū)����,且其中所述受保護(hù)的設(shè)備輔助的服務(wù)執(zhí)行分區(qū)至少部分被實(shí)施為軟件分區(qū)。
11.如權(quán)利要求1所述的系統(tǒng)����,其中所述安全的執(zhí)行環(huán)境包括受保護(hù)的設(shè)備輔助的服務(wù)執(zhí)行分區(qū),且其中所述受保護(hù)的設(shè)備輔助的服務(wù)執(zhí)行分區(qū)至少部分在虛擬機(jī)中被實(shí)施����, 所述虛擬機(jī)在所述處理器上執(zhí)行。
12.如權(quán)利要求1所述的系統(tǒng)�,其中所述安全的執(zhí)行環(huán)境包括受保護(hù)的設(shè)備輔助的服務(wù)執(zhí)行分區(qū),并且所述處理器還被配置為在所述受保護(hù)的設(shè)備輔助的服務(wù)執(zhí)行分區(qū)中執(zhí)行一個(gè)或多個(gè)設(shè)備輔助的服務(wù)代理����,其中在所述受保護(hù)的設(shè)備輔助的服務(wù)執(zhí)行分區(qū)中執(zhí)行的所述一個(gè)或多個(gè)設(shè)備輔助的服務(wù)代理與執(zhí)行服務(wù)控制器的服務(wù)器進(jìn)行通信。
13.如權(quán)利要求1所述的系統(tǒng),其中所述安全的執(zhí)行環(huán)境包括受保護(hù)的設(shè)備輔助的服務(wù)執(zhí)行分區(qū)����,并且所述處理器還被配置為在所述受保護(hù)的設(shè)備輔助的服務(wù)執(zhí)行分區(qū)中執(zhí)行一個(gè)或多個(gè)設(shè)備輔助的服務(wù)代理,其中在所述受保護(hù)的設(shè)備輔助的服務(wù)執(zhí)行分區(qū)中執(zhí)行的所述一個(gè)或多個(gè)設(shè)備輔助的服務(wù)代理包括用于提供服務(wù)使用測(cè)量的設(shè)備代理��。
14.如權(quán)利要求1所述的系統(tǒng)�����,其中所述安全的執(zhí)行環(huán)境包括受保護(hù)的設(shè)備輔助的服務(wù)執(zhí)行分區(qū)�����,并且所述處理器還被配置為在所述受保護(hù)的設(shè)備輔助的服務(wù)執(zhí)行分區(qū)中執(zhí)行一個(gè)或多個(gè)設(shè)備輔助的服務(wù)代理���,其中在所述受保護(hù)的設(shè)備輔助的服務(wù)執(zhí)行分區(qū)中執(zhí)行的所述一個(gè)或多個(gè)設(shè)備輔助的服務(wù)代理與執(zhí)行服務(wù)控制器的服務(wù)器進(jìn)行安全的通信���,且其中與執(zhí)行所述服務(wù)控制器的服務(wù)器進(jìn)行的所述安全的通信包括加密的通信。
15.如權(quán)利要求1所述的系統(tǒng)�,其中所述通信設(shè)備包括調(diào)制解調(diào)器,且所述處理器位于所述調(diào)制解調(diào)器中���,以及其中所述安全的執(zhí)行環(huán)境包括利用硬件和/或軟件分區(qū)實(shí)施的安全的調(diào)制解調(diào)器執(zhí)行分區(qū)��,且其中所述處理器還被配置為在所述安全的調(diào)制解調(diào)器執(zhí)行分區(qū)中執(zhí)行一個(gè)或多個(gè)設(shè)備輔助的服務(wù)代理��,其中在所述安全的調(diào)制解調(diào)器執(zhí)行分區(qū)中執(zhí)行的所述設(shè)備輔助的服務(wù)代理與執(zhí)行服務(wù)控制器的服務(wù)器進(jìn)行通信�����。
16.如權(quán)利要求1所述的系統(tǒng)�,其中所述通信設(shè)備包括調(diào)制解調(diào)器����,且所述處理器位于所述調(diào)制解調(diào)器中,以及其中所述安全的執(zhí)行環(huán)境包括利用硬件和/或軟件分區(qū)實(shí)施的安全的調(diào)制解調(diào)器執(zhí)行分區(qū)���,且其中所述處理器還被配置為在所述安全的調(diào)制解調(diào)器執(zhí)行分區(qū)中執(zhí)行一個(gè)或多個(gè)設(shè)備輔助的服務(wù)代理���,其中在所述安全的調(diào)制解調(diào)器執(zhí)行分區(qū)中執(zhí)行的所述設(shè)備輔助的服務(wù)代理與執(zhí)行服務(wù)控制器的服務(wù)器進(jìn)行安全的通信,且其中與執(zhí)行所述服務(wù)控制器的服務(wù)器進(jìn)行的所述安全的通信包括加密的通信�����。
17.如權(quán)利要求1所述的系統(tǒng)�,其中所述通信設(shè)備包括調(diào)制解調(diào)器,且所述處理器位于所述調(diào)制解調(diào)器中�����,以及其中所述安全的執(zhí)行環(huán)境包括利用硬件和/或軟件分區(qū)實(shí)施的安全的調(diào)制解調(diào)器執(zhí)行分區(qū),且其中所述處理器還被配置為在所述安全的調(diào)制解調(diào)器執(zhí)行分區(qū)中執(zhí)行一個(gè)或多個(gè)設(shè)備輔助的服務(wù)代理�,其中在所述安全的調(diào)制解調(diào)器執(zhí)行分區(qū)中執(zhí)行的一個(gè)或多個(gè)設(shè)備輔助的服務(wù)代理包括用于提供服務(wù)使用測(cè)量的調(diào)制解調(diào)器代理。
18.如權(quán)利要求1中所述的系統(tǒng)���,其中所述通信設(shè)備的處理器還被配置為在內(nèi)核執(zhí)行分區(qū)中執(zhí)行一個(gè)或多個(gè)設(shè)備輔助的服務(wù)代理�;以及在所述受保護(hù)的設(shè)備輔助的服務(wù)執(zhí)行分區(qū)中執(zhí)行一個(gè)或多個(gè)設(shè)備輔助的服務(wù)代理�,其中在所述受保護(hù)的設(shè)備輔助的服務(wù)執(zhí)行分區(qū)中執(zhí)行的所述一個(gè)或多個(gè)設(shè)備輔助的服務(wù)代理與執(zhí)行服務(wù)控制器的服務(wù)器進(jìn)行通信。
19.如權(quán)利要求1中所述的系統(tǒng)�,其中所述通信設(shè)備的處理器還被配置為在應(yīng)用執(zhí)行分區(qū)中執(zhí)行一個(gè)或多個(gè)設(shè)備輔助的服務(wù)代理;在內(nèi)核執(zhí)行分區(qū)中執(zhí)行一個(gè)或多個(gè)設(shè)備輔助的服務(wù)代理�����;以及在所述受保護(hù)的設(shè)備輔助的服務(wù)執(zhí)行分區(qū)中執(zhí)行一個(gè)或多個(gè)設(shè)備輔助的服務(wù)代理���,其中在所述受保護(hù)的設(shè)備輔助的服務(wù)執(zhí)行分區(qū)中執(zhí)行的所述一個(gè)或多個(gè)設(shè)備輔助的服務(wù)代理與執(zhí)行服務(wù)控制器的服務(wù)器進(jìn)行通信�。
20.如權(quán)利要求1中所述的系統(tǒng)�����,其中所述通信設(shè)備的處理器還被配置為 在應(yīng)用執(zhí)行分區(qū)中執(zhí)行一個(gè)或多個(gè)設(shè)備輔助的服務(wù)代理�����;在內(nèi)核執(zhí)行分區(qū)中執(zhí)行一個(gè)或多個(gè)設(shè)備輔助的服務(wù)代理; 在調(diào)制解調(diào)器執(zhí)行分區(qū)中執(zhí)行一個(gè)或多個(gè)設(shè)備輔助的服務(wù)代理���;以及在所述受保護(hù)的設(shè)備輔助的服務(wù)執(zhí)行分區(qū)中執(zhí)行一個(gè)或多個(gè)設(shè)備輔助的服務(wù)代理���,其中在所述受保護(hù)的設(shè)備輔助的服務(wù)執(zhí)行分區(qū)中執(zhí)行的所述一個(gè)或多個(gè)設(shè)備輔助的服務(wù)代理與執(zhí)行服務(wù)控制器的服務(wù)器進(jìn)行通信�����。
21.如權(quán)利要求1中所述的系統(tǒng)�,其中所述通信設(shè)備的處理器還被配置為 在應(yīng)用執(zhí)行分區(qū)中執(zhí)行一個(gè)或多個(gè)設(shè)備輔助的服務(wù)代理;在內(nèi)核執(zhí)行分區(qū)中執(zhí)行一個(gè)或多個(gè)設(shè)備輔助的服務(wù)代理�; 在調(diào)制解調(diào)器執(zhí)行分區(qū)中執(zhí)行一個(gè)或多個(gè)設(shè)備輔助的服務(wù)代理;以及在所述受保護(hù)的設(shè)備輔助的服務(wù)執(zhí)行分區(qū)中執(zhí)行一個(gè)或多個(gè)設(shè)備輔助的服務(wù)代理��,其中在所述受保護(hù)的設(shè)備輔助的服務(wù)執(zhí)行分區(qū)中執(zhí)行的所述一個(gè)或多個(gè)設(shè)備輔助的服務(wù)代理與執(zhí)行服務(wù)控制器的服務(wù)器進(jìn)行通信�����,以及其中在所述受保護(hù)的設(shè)備輔助的執(zhí)行分區(qū)中執(zhí)行的所述一個(gè)或多個(gè)設(shè)備輔助的服務(wù)代理包括下列各項(xiàng)中的一個(gè)或多個(gè)應(yīng)用標(biāo)識(shí)符代理��、訪問(wèn)控制完整性代理���、策略控制代理���、策略實(shí)施代理��、以及服務(wù)使用測(cè)量代理�����。
22.如權(quán)利要求1中所述的系統(tǒng)�,其中所述通信設(shè)備的處理器還被配置為 在應(yīng)用執(zhí)行分區(qū)中執(zhí)行一個(gè)或多個(gè)設(shè)備輔助的服務(wù)代理�����;在內(nèi)核執(zhí)行分區(qū)中執(zhí)行一個(gè)或多個(gè)設(shè)備輔助的服務(wù)代理��;在調(diào)制解調(diào)器執(zhí)行分區(qū)中執(zhí)行一個(gè)或多個(gè)設(shè)備輔助的服務(wù)代理����,其中所述調(diào)制解調(diào)器執(zhí)行分區(qū)利用調(diào)制解調(diào)器本地信道與所述受保護(hù)的設(shè)備輔助的執(zhí)行分區(qū)進(jìn)行通信;以及在所述受保護(hù)的設(shè)備輔助的服務(wù)執(zhí)行分區(qū)中執(zhí)行一個(gè)或多個(gè)設(shè)備輔助的服務(wù)代理���,其中在所述受保護(hù)的設(shè)備輔助的服務(wù)執(zhí)行分區(qū)中執(zhí)行的所述一個(gè)或多個(gè)設(shè)備輔助的服務(wù)代理與執(zhí)行服務(wù)控制器的服務(wù)器進(jìn)行通信�����,以及其中在所述受保護(hù)的設(shè)備輔助的服務(wù)執(zhí)行分區(qū)中執(zhí)行的所述一個(gè)或多個(gè)設(shè)備輔助的服務(wù)代理包括下列各項(xiàng)中的一個(gè)或多個(gè)應(yīng)用標(biāo)識(shí)符代理���、訪問(wèn)控制完整性代理��、策略控制代理�、策略實(shí)施代理����、以及服務(wù)使用測(cè)量代理。
23.如權(quán)利要求1中所述的系統(tǒng)��,其中所述通信設(shè)備的處理器還被配置為 在應(yīng)用執(zhí)行分區(qū)中執(zhí)行一個(gè)或多個(gè)設(shè)備輔助的服務(wù)代理�����;在內(nèi)核執(zhí)行分區(qū)中執(zhí)行一個(gè)或多個(gè)設(shè)備輔助的服務(wù)代理���;在調(diào)制解調(diào)器執(zhí)行分區(qū)中執(zhí)行一個(gè)或多個(gè)設(shè)備輔助的服務(wù)代理,其中所述調(diào)制解調(diào)器執(zhí)行分區(qū)利用調(diào)制解調(diào)器本地信道與所述受保護(hù)的設(shè)備輔助的執(zhí)行分區(qū)進(jìn)行通信��;以及其中在所述調(diào)制解調(diào)器執(zhí)行分區(qū)中的所述一個(gè)或多個(gè)設(shè)備輔助的服務(wù)代理包括服務(wù)使用測(cè)量代理���;以及在所述受保護(hù)的設(shè)備輔助的服務(wù)執(zhí)行分區(qū)中執(zhí)行一個(gè)或多個(gè)設(shè)備輔助的服務(wù)代理���,其中在所述受保護(hù)的設(shè)備輔助的服務(wù)執(zhí)行分區(qū)中執(zhí)行的所述一個(gè)或多個(gè)設(shè)備輔助的服務(wù)代理與執(zhí)行服務(wù)控制器的服務(wù)器進(jìn)行通信�����,以及其中在所述受保護(hù)的設(shè)備輔助的服務(wù)執(zhí)行分區(qū)中執(zhí)行的所述一個(gè)或多個(gè)設(shè)備輔助的服務(wù)代理包括下列各項(xiàng)中的一個(gè)或多個(gè)應(yīng)用標(biāo)識(shí)符代理����、訪問(wèn)控制完整性代理��、策略控制代理����、策略實(shí)施代理、以及服務(wù)使用測(cè)量代理��。
24.一種方法���,其包括實(shí)施服務(wù)配置文件���,所述服務(wù)配置文件至少部分在通信設(shè)備的處理器的安全的執(zhí)行環(huán)境中執(zhí)行,以用于輔助控制通信設(shè)備對(duì)無(wú)線網(wǎng)絡(luò)上的服務(wù)的使用����,其中所述服務(wù)配置文件包括多個(gè)服務(wù)策略設(shè)置�����,以及其中所述服務(wù)配置文件與服務(wù)方案相關(guān)�,所述服務(wù)方案提供到所述無(wú)線網(wǎng)絡(luò)上的所述服務(wù)的訪問(wèn)��;基于所述服務(wù)配置文件監(jiān)視所述服務(wù)的使用���;以及基于所監(jiān)視的所述服務(wù)的使用�����,驗(yàn)證所述服務(wù)的使用���。
25.一種計(jì)算機(jī)程序產(chǎn)品,所述計(jì)算機(jī)程序產(chǎn)品包含在計(jì)算機(jī)可讀存儲(chǔ)器介質(zhì)中并包括用于執(zhí)行以下步驟的計(jì)算機(jī)指令實(shí)施服務(wù)配置文件�,所述服務(wù)配置文件至少部分在通信設(shè)備的處理器的安全的執(zhí)行環(huán)境中執(zhí)行��,以用于輔助控制通信設(shè)備對(duì)無(wú)線網(wǎng)絡(luò)上的服務(wù)的使用�,其中所述服務(wù)配置文件包括多個(gè)服務(wù)策略設(shè)置,以及其中所述服務(wù)配置文件與服務(wù)方案相關(guān)����,所述服務(wù)方案提供到所述無(wú)線網(wǎng)絡(luò)上的所述服務(wù)的訪問(wèn)�����;基于所述服務(wù)配置文件監(jiān)視所述服務(wù)的使用����;以及基于所監(jiān)視的所述服務(wù)的使用����,驗(yàn)證所述服務(wù)的使用。
全文摘要
提供了用于設(shè)備輔助的服務(wù)的安全技術(shù)���。在某些實(shí)施方式中��,提供了安全的服務(wù)測(cè)量和/或控制執(zhí)行分區(qū)����。在某些實(shí)施方式中�,實(shí)施至少部分在通信設(shè)備的處理器的安全執(zhí)行環(huán)境中被執(zhí)行的服務(wù)配置文件,用于輔助控制無(wú)線網(wǎng)絡(luò)上的通信設(shè)備的服務(wù)使用����,其中所述服務(wù)配置文件包括多個(gè)服務(wù)策略設(shè)置,以及其中所述服務(wù)配置文件與服務(wù)方案有關(guān),該服務(wù)方案提供到該無(wú)線網(wǎng)絡(luò)上的服務(wù)的訪問(wèn)����;基于所述服務(wù)配置文件監(jiān)視服務(wù)的使用;以及基于所監(jiān)視的服務(wù)的使用來(lái)校驗(yàn)所述服務(wù)的使用�����。
文檔編號(hào)H04J3/16GK102342052SQ201080010511
公開日2012年2月1日 申請(qǐng)日期2010年1月27日 優(yōu)先權(quán)日2009年1月28日
發(fā)明者格雷戈里·G·羅利 申請(qǐng)人:海德沃特合作I有限公司