专利名称:用于无线客户机操作、管理和维护系统的客户端安全管理的制作方法
背景技术:
在资源管理方面,诸如蜂窝电话的手持无线设备通常被认为是网络的末端,并且对这些设备的管理很少或根本没有。例如,使这些设备免于由使用不恰当地安全或不安全无线LAN或WiFi网络的造成恶意入侵的安全保护措施根本就没有存在过。
与此相反,在个人计算机(″PC″)环境中,“终端元件”是带有许多内建安全级别的完善复杂设备(例如,服务器、台式PC、膝上型计算机等等)。在PC环境中,丰富的平台管理模型和实现具有能够更好地服务于管理者和并保护最终用户的安全特性。
这两个环境,即无线和PC世界,通过提供蜂窝通信和计算加强应用程序的新型设备融合在一起。随着日益复杂和昂贵的无线设备中计算和通信功能的融合,对无线世界中的安全特性和安全管理方法的要求也日益迫切。
这样,就需要无线设备具备本地及远程管理这些安全特性并能够检测和阻止入侵的能力。
在说明书的结论部分尤其指出并明确声明了本发明的主题。然而通过参考随后的详细描述并结合阅读附图可以最佳地理解作为组织和操作方法的本发明以及它的对象、特征和优点,所述附图包括图1示出了与无线通信设备相结合的本发明的安全特性;图2根据本发明示出了用于具有对无线客户机进行安全管理的操作、管理和维护(OA&M)块的实施例;图3示出了安全管理系统的安全政策、访问控制和监视器组件;图4示出了安全政策对象和接口的细节;图5是根据本发明示出了对其应用安全管理的多个被管理对象集合级别的框图;图6示出了访问控制的对象和接口的细节;以及图7示出了监视器的对象和接口的细节。
可以理解为了图示的简明,在图中示出的元件不必按比例画出。例如为了描述清楚,某些元件的尺寸可相对于其他元件加以放大。此外出于合适的考虑,可以重复图中的编号用于指明对应的或类似的元件。
具体实施例方式
在随后的描述中将阐明许多特定的细节以对本发明有全面了解。然而本领域普通技术人员应该理解无需这些特定细节也可以实现本发明。在其他的实例中,就不详细描述已知的方法、步骤、组件和电路以避免淡化本发明。
在随后的说明和权利要求中,会使用术语“耦合”和“连接”以及它们的变体。应该理解这些术语并不相互同义。相反地在某些实施例中,“连接”用于指示相互直接物理或电气连接的两个或更多元素。而“耦合”则意味着直接物理或电气连接的两个或更多元素。然而,“耦合”也指不相互直接连接,但仍然相互协作或交互的两个或更多元素。
无线通信设备10具有从一个或多个天线接收或发送调制信号的收发机12。提供模拟前端收发机作为独立射频(RF)集成模拟电路,或者可选地嵌入处理器14作为混合模式集成电路。接收到的调制信号是下变频的滤波信号,并在随后被转换成数字信号。用于由处理器14处理的基带信号的数字数据可以通过接口18转移用于存储器设备20的存储。存储器设备20连接至处理器14用于存储处理器14所需的数据和/或指令。在某些实施例中,存储器设备20可以是易失性存储器,而在可选实施例中,存储器设备20可以是非易失性存储器。
在图1中示出的用于无线通信设备10的体系结构包括可用于无线产品的本发明的安全特性。同样地,处理器14包括用于无线客户机的操作、管理和维护(OA&M)系统16。OA&M表示跨越无线手持平台的广泛功能性分类。操作指为无线通信设备10的最终用户提供服务以及支持这些服务所需的相关功能的活动,所述相关功能诸如(资源和服务的)供应、性能管理、账户管理和记账。管理涉及发出请求服务级别的组件管理,这样就与诸如服务质量(QoS)、性能管理以及可应用通信量管理的概念相关联。维护可以被细分为出错性维护和预防性维护。纠错性维护包括故障检测和恢复,而预防性维护则包括跟踪并警示未决或可能的故障条件并由此重构平台资源。OA&M系统16包括各种管理系统或带有硬件、软件代码以及一个或多个对象以执行希望功能的“管理器”。
为无线通信设备10准备的体系结构也可以在各种其他的应用中使用,其中所声明的主题可以并入微控制器、通用微处理器、数字信号处理器(DSP)、精简指令集计算(RISC)、复杂指令集计算(CISC)以及其他电子组件。OA&M系统16可以并入这些设备并且包括管理平台资源(例如,设备、设备或网络组件、外围设备等等)的分层系统方法。要在无线通信设备10的手持平台上管理的资源通常被称为被管理资源并且在软件中被示例作为被管理对象(MO)。
图2示出了基于其在无线通信设备10内关系而描述的OA&M系统1 6的一个实施例。应该指出OA&M系统16应该位于无线通信设备10上,或者可选地,OA&M系统16的一部分可以常驻于网络上的一个位置。OA&M系统16可以包括账目管理块210、性能管理块212、事件管理块214、配置管理块216、通知管理块218、故障管理块220、被管理对象数据库222和安全管理块224。虽然示出并描述的OA&M系统16具有全部这些块,但是其他实施例可以包括更少的块而不背离本发明所声明的主题。
账目管理块210可以记录记账相关的信息以及结合远程记账功能记录的通信会话细节。
性能管理块212可以为最终用户和商业级别应用定义功能,其中设计商业级别应用以实现局域和网络性能、物理和逻辑配置、预防性维护、服务停机避免以及服务供应商发送质量的测量以及客户机应用操作的最高级别。
事件管理块214提供用于俘获和递送平台事件(诸如被管理对象内任何即时改变)的模型。这些事件是平台监视、性能调节、故障管理、电源管理和建立配置的基础。
配置管理块216为定义并保存配置数据提供各种操作。可以添加数据以创建新资源,删除数据来移除无用资源并且还可修改与现存资源相关联的数据用于资源优化。
通知管理块218可用于分组事件细节并将其递送给感兴趣的系统组件。这些信息例如可包括生成事件的被管理对象(MO)、它的分类和例示、事件时间以及与特定MO、它的功能和与平台内其他(如果可适用)MO之间的关系相关联的可选信息。
故障管理块220可以在提醒和故障出现时检测到它们并且一旦接收就通知其他组件、子系统或管理员;隔离故障并限制故障的影响;使用测试例程、诊断和互相关技术来确定故障原因;使用维护例程(或人类介入)修复或移除故障。
被管理对象数据库222可以包括文件、表格或与OA&M系统1 6的每个被管理对象相对应的其他表示。被管理对象表示由OA&M系统16管理的平台资源。为了帮助理解本发明,应该注意“被管理资源”和“被管理对象”之间的意思差别。被管理资源是在人们希望管理(即创建、修改、发现或检查)的系统内的那些现实物。在某些实施例中,这些被管理资源可以包括各种硬件和软件组件(或其他的部分),例如可具体包括处理器14、存储器设备20、其他半导体设备、操作程序、通信程序、其他软件或固件组件等等。
为了有效管理这些资源,通常可将这些资源具体实现为被管理对象。所以,被管理对象是通常用在软件中对被管理对象的抽象,并表示包含在被管理资源内的数据和关系。
应该注意到虽然可使用单个被管理对象表示单个被管理资源,但在通常情况下并不这样做,因为被管理资源通常很复杂并且需要分解成多个对象。此外,还存在额外的被管理对象,例如用于表示被管理资源组件之间或分开的被管理资源之间的关系。在图5中可以显见这一复杂性。在图4和图6中,上述观点可以帮助理解由1到N的实际被管理对象表示的标记为“MO”的单个块。
本领域普通技术人员显而易见的是被管理对象的形式可以多种多样并且可以在特定的(标准化或专利)方案规则下存在,但是这些实施例都不会影响在此描述的本发明的实践。
根据声明的主题,安全管理块224是OA&M系统16的集成部分并且为无线手持设备提供平台管理安全子系统。安全管理块224通常保护OA&M被管理资源不受篡改或防止其数据被不信任方或未授权控制操作公开。
图3示出了安全管理块224控制下安全管理系统300的三个组件;即安全政策块310、访问控制块312和监视块314。安全政策块310为被管理对象处的被管理资源的验证和加密和被管理对象属性级别制定政策。安全访问控制块312提供访问被管理资源许可的验证、委托和定义的机制。安全监视块314为安全提醒提供报告机制,报告事件(诸如提供被管理对象修改或访问、新的管理验证以及关于获取访问使用的任何安全密钥的信息)。这些提醒的传播依赖于OA&M系统的提醒管理设备。使用无线通信设备10内的这些组件,就可验证资源的信任用户,保护对资源的访问控制以及加密潜在可访问的数据。
现参考图4,根据本发明的一个实施例示出了被管理对象和安全政策块310接口的框图。安全政策块310对被管理对象应用访问控制机制并为被管理对象数据加密开关平台设置政策。用于安全政策块310的应用程序接口(API)是一组用于建立软件应用程序的例程、协议和工具,并且包括安全政策(SecurityPolicy)接口410、安全政策(SecurityPolicy)412、属性安全(AttributeSecurity)414以及被管理对象416(来自配置管理块216)(参见图2)。
安全政策块310允许出于验证和加密的目的调整安全政策,使之可用于与政策对象相关联的整个被管理对象或被管理对象的个体属性。应该注意到单个被管理对象可以是表示被管理资源的被管理对象的集合根。在此情况下,资源的安全管理实际可以在三个粒度级上出现,即被管理对象集合、个体被管理对象和个体被管理对象属性。用于被管理对象或被管理对象集合验证和加密的安全政策可由与被管理对象416相关联的安全政策对象表示。
安全政策412包括用于每个验证和加密的政策属性,这些属性可简单地由“关(Off)”和“开(On)”表示,或者由对特定被管理对象应用更复杂政策的常规表示。安全政策412还包括覆盖用于个人被管理对象的验证加密政策的属性,这些属性指示实施的政策对被管理对象或集合来讲是本地的还是从系统或被管理对象集合处继承的。
对于某些实施例中属性级别上更细致的安全规范,可在使用其自身的验证和加密设置创建个体属性安全对象的属性安全414内列出个体属性。个体设置在任何时候都可被全局政策一并覆盖。被管理对象416可以包括具有创建、初始化、删除、修改和询问能力的名称属性、分类属性、亲子相关和状态属性。
图5是示出了可根据本发明对其应用管理安全的被管理对象集合的多个级别的框图。在图中,每个框代表一个被管理对象。必须使用一个或多个被管理对象来表示被管理资源。在使用多于一个被管理对象表示被管理资源的情况下,被管理对象就以某种方式(诸如由本图中对象之间线条所示)彼此相关联。被管理对象表示的不同实施例可以允许或限制(或不允许或限制)这些关联,例如可以是树形层级关联、循环关联、集合关联或其他关联。本图旨在解释涉及被管理资源表示的本发明应用的不同级别。
图中的示例被管理资源是安装用于在管理平台上运行的服务应用程序。该服务具有记录日志以及核算账目的子功能。椭圆描绘了单个属性540、单个被管理对象530、表示核算账目子功能的被管理对象集合520以及服务应用程序的整个被管理资源510的轮廓,并且还描绘了本发明可用的安全政策(验证和加密)的四个可能应用级别。
当应用于整个服务应用程序514的“根”对象时,安全政策的范围将该政策应用于表示应用程序的整个一组被管理对象集合。当该安全政策用于整个被管理资源的一个诸如524的子集时,这就是单个被管理对象集合政策。而更具体的安全政策可以特定用于敏感的个体被管理对象,诸如534。安全政策最特殊的应用也可出现在单个属性级别,诸如在本示例图中由日志执行被管理对象内的最大日志长度(MaxLogSize)属性544所表示的那样。
图6示出了安全访问控制块312(参见图3)的对象和接口的细节。安全访问控制块312包括所有者接口610、设备所有者列表612、安全控制台(SecurityConsole)接口614、安全控制台616、控制点(ControlPoint)618、访问控制列表(ACL)项目620、证书高速缓存(CertificateCache)622、轮廓管理器(ProfileManager)624和实现许可轮廓作为方便设备的轮廓(Profile)626。安全控制台616接口可以对控制点618的生命周期以及进行控制并系统内ACL项目620对象的创建进行控制。轮廓管理器624接口可以支配集合在单个轮廓626内的多个控制点618。这样,轮廓626和所有相关控制点618和ACL项目620等等可以作为单个项目被接合、定义、安装或移除。可以通过安全政策412(参见图4)及通过安全控制台616的动作的访问控制做出访问控制的决定的组合。
用于所有者接口610的API允许初始安全控制台616变为平台所有者并委托后续权限。如果该设备已经被拥有,则签名失效并不经处理就拒绝请求。所有者接口610内的TakeOwnership()允许安全控制台616获取用于该平台的公共密钥并经由公共签名密钥声明无主的安全知晓设备的所有权。成功TakeOwnership()动作的结果是安全控制台616被列表作为设备所有者(见612中的所有者)。所有者是被授权能够编辑设备访问控制列表(ACL)项目620的控制点618。安全控制台的接口可以为控制点618分配名称并准许它们对被管理资源的许可。一旦准许安全控制台616对设备的所有权,该安全控制台就通过权限委托将所有权准许给其他的安全控制台。
设备所有者612的列表是被许可编辑设备ACL项目620的这些签名密钥的列表或安全无用信息(hash)。默认给予这些签名密钥的每一个完全许可以修改被管理对象。典型地,设备仅有单个所有者。所有者可以根据它们相应的ACL项目620指派被准许少于全部所有者特权的控制点618。该方案允许对被管理资源不同区域的访问分离。
每个ACL项目620包括签名密钥以及一个或多个准许许可。许可可由设备生产商或资源提供商来限定并包括一组允许动作。ACL项目620可以限制授权从一个控制点618委托至另一个并基于时间日期的限制来限制这些授权的有效持续时间。这些特征由ACL项目620中的属性委托、权限和有效性表示。于是,因为可以在制造时间或随后安装诸如设备组件、软件、用户优先权等等的被管理资源,所以可以在ACL项目620内创建响应于管理这些资源权限的项目。
因为无线客户机平台具有受ACL项目620保护的大量资源或属性,所以安全控制台616可以转换ACL项目并使用证书高速缓存622中的证书代替它以准许对控制点618的许可。因为无线通信设备10对这些项目的存储能力有限,所以就高速缓存这些证书并在访问被管理资源时将其与一控制点相关来进行使用。
图7示出了安全监视块314(参见图3)的对象和接口细节。安全监视块314可以包括安全通知(SecurityNotification)接口710、安全通知712、回叫(callback)通知714、提醒对象716和警报718。安全通知712是一种预定点,用于涉及安全报警,维持这些报警集合并为这些报警添加报告功能的安全。安全管理监视功能假设存在OA&M故障和警告管理系统。它提供安全范畴的OA&M通知。由安全通知的应急程度就可料想扣押该报警的能力。安全警报可以在客户机OA&M系统内被定义并经由通过ID和类型跟踪每个警报的报警对象716的列表而被附连至安全监视器。安全通知接口提供报告当前安全子系统警报的机制。通过OA&M报警子系统所呼叫的Notify()回叫来递送警报。
到现在应该显见的是,业已呈现了一种通过保护OA&M被管理资源免于被篡改或保护其数据免于向不信任方或未授权控制操作公开而用于提供无线通信设备内安全保护的方法和体系结构。由本发明提供的保护允许资源的信任用户得到验证,提供对这些资源的访问控制以及为那些是或倾向于是“畅行无阻”的数据提供加密。
本发明的某些关键特性是为处于各个粒度级别的无线客户机设备上的被管理资源定义安全的能力,所述粒度级别包括从整个设备到子系统到软件和硬件组件、服务和应用,直至上述各对象的个体属性。此外,它还包括访问控制管理机制以及用于这些在可以被一次添加给多个被管理资源的轮廓内的被管理资源的加密规范。本发明还包括通过监视系统“健康状况”的能力,而这是通过将其与整个OA&M设备系统内的提醒能力相联系得以实现的。
因为手持设备的相关环境限制,本发明允许这些安全方面通过例如准许验证和加密粒度被有效实现。在无线设备中对添加安全的控制被提供给作为单个被管理资源子部分的特定被管理对象的独立属性。此外,本发明还提供有效管理访问控制表示和管理这些访问控制表示集合的轮廓的机制。
虽然在此示出并描述了本发明的某些特性,但是本领域普通技术人员可以领悟许多修改、代替、改变和等效。因此应该理解所附权利要求意欲覆盖所有这些修改和变换,它们都落在本发明的真正精神之内。
权利要求
1.一种用于无线设备的安全管理,包括用于定义和维护配置数据的配置管理;被管理的对象数据库;以及在所述无线设备中用于保证不同粒度级别上的访问的安全管理。
2.如权利要求1所述的无线设备的安全管理,其特征在于,所述不同的粒度级别包括将安全政策应用于与政策对象相关联的整个被管理的对象数据库。
3.如权利要求1所述的无线设备的安全管理,其特征在于,所述不同的粒度级别包括将安全政策应用于特定的被管理的对象数据库。
4.如权利要求1所述的无线设备的安全管理,其特征在于,所述不同的粒度级别包括将安全政策应用于表示整个被管理资源的特定被管理对象集合。
5.如权利要求1所述的无线设备的安全管理,其特征在于,所述不同的粒度级别包括将安全政策应用于表示被管理资源的子集的特定被管理对象集合。
6.如权利要求1所述的无线设备的安全管理,其特征在于,所述不同的粒度级别包括将安全政策应用于特定的被管理对象。
7.如权利要求1所述的无线设备的安全管理,其特征在于,所述不同的粒度级别包括将安全政策应用于被管理对象的特定属性。
8.如权利要求1所述的无线设备的安全管理,其特征在于,所述安全管理包括对平台资源进行所述管理的分层系统方法。
9.如权利要求8所述的无线设备的安全管理,其特征在于,在所述无线设备上被管理的所述平台资源在软件内被示例作为被管理对象。
10.一种无线设备,包括在所述无线设备上的操作、管理和维护(OA&M)系统,它对被管理对象应用访问控制机制并设置用于被管理对象数据库加密的政策。
11.如权利要求10所述的无线设备,其特征在于,所述OA&M系统常驻于所述无线设备上。
12.如权利要求10所述的无线设备,其特征在于,所述OA&M系统的一部分常驻于所述无线设备上,而另一部分则常驻于网络位置上。
13.如权利要求10所述的无线设备,其特征在于,所述被管理对象数据库的加密包括所述整个被管理对象、特定被管理对象或者被管理对象的特定属性。
14.一种手持设备内的安全系统,包括在所述手持设备上的操作、管理和维护(OA&M)系统,其中所述OA&M系统指定被管理资源的一个或多个所有者。
15.如权利要求14所述的安全系统,其特征在于,所述OA&M系统能够把权限从一个所有者委托给另一个所有者。
16.如权利要求14所述的安全系统,其特征在于,所述OA&M系统具有撤消所有权的能力。
17.如权利要求14所述的安全系统,其特征在于,所述OA&M系统具有指定复杂许可组的能力。
18.如权利要求14所述的安全系统,其特征在于,所述OA&M系统收集在轮廓中表示的所有者规范以同时应用于多个被管理资源。
19.如权利要求14所述的安全系统,其特征在于,所述OA&M系统把特权轮廓和访问控制信息转换为安全证书。
20.一种方法,包括提供在无线设备上的操作、管理和维护(OA&M)系统,其中所述OA&M系统指定被管理资源的一个或多个所有者;以及监视利用所述OA&M系统内的警报能力的安全子系统的健康功能。
21.如权利要求20所述的方法,其特征在于,还包括维护在安全通知内的警报集合以提供关于所述警报的报告。
22.如权利要求20所述的方法,其特征在于,还包括提供在所述无线设备上所述OA&M系统内的安全通知接口以提供报告所述警报的机制。
23.一种在无线设备中用于安全政策的应用程序接口(API),包括允许调整涉及验证和加密的安全政策的安全政策。
24.如权利要求23所述的API,其特征在于,将所述验证和加密应用于与政策对象相关联的整个被管理对象。
25.如权利要求23所述的API,其特征在于,将所述验证和加密应用于与政策对象相关联的被管理对象的个体属性。
全文摘要
一种操作、管理和维护(OA& M)系统16为无线客户机设备10上处于各个粒度级别的被管理资源提供安全,所述粒度级别包括从整个设备到子系统到软件和硬件组件、服务和应用,直至上述各对象的个体属性。
文档编号G06F21/00GK1890667SQ200480036851
公开日2007年1月3日 申请日期2004年12月1日 优先权日2003年12月18日
发明者C·巴尔 申请人:英特尔公司