专利名称:具有安全驱动程序的外围设备的制作方法
技术领域:
本发明一般涉及计算机系统,并且尤其涉及具有安全驱动程序的外围设备。
背景技术:
近年来蜂窝式电话(cellular telephone,以下简称为移动电话)已有更为流行的趋势。移动电话可称为所谓″移动站″或″移动终端″的一种实例。除了移动电话之外,移动站可采用各种不同的形式,包括具有移动通讯能力的计算机(例如,笔记本计算机)。
在蜂窝通讯网络和移动站之间可经由空中接口(air interface)提供电讯服务,例如,通过无线电的频率。其特色为每一位用户的移动站指定一个唯一的国际移动用户识别码(IMSI)。在任何时候,一个有效移动站可通过空中接口和一个或多个基站进行通讯。基站依序接受基站控制器的管理,亦为习知的无线电网络控制器。基站控制器和其基站含基站系统。基站控制器的基站系统经由控制节点(control node)连接至核心电信网络,例如,公用交换电话网络(PSTN)。一种类型的标准移动通讯方法为全球移动通讯系统(GSM)。GSM提供特定功能的标准以及各种服务类型的接口。GSM系统可传输声音和数据信号。
多个移动站之间可共享一个特定的基站。由于无线电频道为一种有限的资源,故利用时分多重访问和频分多重访问(TDMA/FDMA)将频宽分开。FDMA将最大频宽(例如,25MHz)区分成124个间隔200kHz的载波频率。一个特定的基站可指定一个或多个载波频率。每个载波频率再依序分成时隙(time slots)。在基站和移动站之间的有效通话期间,从移动站上传至基站时,基站指定频率、及功率位准予该移动设备。从基站向移动站下传时,基站亦以特定的频率及时隙进行通讯。
GSM中定义的时间基本单位称为突发脉冲周期(burst period),其持续15/26微秒(ms)(或约0.577ms)。集合8个突发脉冲周期组成为一个TDMA帧(120/26ms,或约4.615ms),其即为定义逻辑频道(logicalchannels)的基本单位。一个物理频道(physical channel)定义为每帧一个突发脉冲周期。通过相对突发脉冲周期的数目和位置定义其单独的频道(individual channels)。
每个信息帧具有8个突发脉冲周期的GSM帧集合成一个超帧(superframes)(例如,集合51个信息帧),包括通话信息(trafficinformation)(即声音或数据信号)及控制信息(control irformation)。
控制信息传输于超帧构造内所定义的公用频道(commonchannels)。公用频道可被闲置模式(idle mode)和专属模式(dedicatedmode)的移动站所访问。在接收或向外通话时,移动站的闲置模式使用公用频道交换信号数据而将其改变成专属模式。已在专属模式内的移动站可监控周围的基站以进行交递和接收其它数据。
公用频道包括广播控制频道(BCCH),可连续广播包括基站识别系统(base stationidentity)、频率分配(frequency allocation)、跳频序列(frequency-hoppingsequences)的信息;频率校正频道(FCCH)和同步频道(SCH),其可通过定义突发脉冲周期的范围及时隙数(即,GSM网络内的每个蜂窝恰可广播FCCH和SCH,其在TDMA帧内传输于时隙数0)而使移动站和蜂窝的时隙构造同步;随机访问频道(RACH),移动站利用其进行网络访问的请求;寻呼频道(PCH),其于来电时做为提醒移动站之用;以及允许访问频道(AGCH),其收到RACH请求之后指定独立专用控制频道(SDCCH)予移动站以访问信号(即,获得专属频道)。
为了安全上的理由,GSM数据以加密的形式进行传输。由于任何人均可从无线传输媒体上进行访问,故移动网络上的验证(authentication)为一项重要课题。验证包括移动站和基站。每个移动站装设有一个用户识别模块(SIM)卡。每位客户指定一密钥(secret key)。密钥的复本储存于SIM卡内,而另一密钥的复本则储存于通讯网路上可被基站取得的保护数据库内。在进行验证时,基站产生随机数目并将其传至移动站。移动站利用一随机数目并配合密钥和加密算法(ciphering algorithm)(例如A3)而产生信号反应,并将其传回至基站。如果移动站的信号反应符合网络的计算时,即可确认该用户。基站利用密钥传输加密数据至移动站。同理,移动站利用密钥传输加密数据至基站。在移动站收到传输信号并经解密之后,移动站可决定其各种控制数据,包括指定的功率发射强度、频率和时隙。
一般根据层来说明通讯系统。携带信号通过传输媒体负责传输真正的数据的第一层称之为物理层(PHY)。此物理层集中数字数据,以及根据特定的传输体系为基础产生调制波形(modulated waveform)。在GSM中,该物理层产生传输波形以及在移动站指定的传输时隙期间进行传输。同理,物理层的接收部分在指定的接收时隙期间识别朝向移动站的资料。
处理物理层所接收的数字数据以识别其所含的数据的第二层称之为协议层(protocol layer)。例如,在GSM系统中的数据解密为一种协议层的功能。应注意,祗有在协议层解密和处理之后才能识别出物理层的操作参数的改变。虽然此特殊的相互依赖性在纯硬件中运行通常不会造成问题,但当全部或部分的协议层于软件中运行时可能造成问题。
某种计算机系统,特别是手提笔记型计算机,可能配备有无线调制解调器。调制解调器科技的趋势涉及软件调制解调器的应用,其利用软件子程序运行传统硬件调制解调器的一些实时功能。由于软件调制解调器的硬件的复杂性较其相对的硬件为低,故其价格通常较低并且更具弹性。例如,以软件运行部分或全部的协议层的解密和处理。
软件系统,例如个人计算机系统,以软件驱动程序在操作系统环境内运行接口控制软件。这些驱动程序负责和硬件装置沟通的工作,以及在操作系统内以特许层次进行操作。其它软件应用程序则不影响该驱动程序。然而,由于驱动程序并且受其它驱动程序的保护,故可能发生影响驱动程序操作的各种问题,例如,通过损坏其操作。这些影响可能导因于意外事故,或可能由于故意的入侵所造成。一个损坏(或增添)的驱动程序可能导致计算机之外的其它问题,例如造成电话线或无线电频道被使用、操作外围设备、或删除重要的数据。
由于控制移动站传输操作的物理层的操作参数为受协议层的软件所控制,故计算机程序或病毒可能控制该移动站,并且在其指定的时隙外意外或故意地进行传输。无线通讯网路为通过网络架构的共享,例如,蜂窝状网络(cellular network)。移动站必需遵循″通行规则″,否则其可能造成网络上的干扰。
如果移动站的某种功能为软件所控制,则程序设计师可决定GSM控制帧如何被译码以及发射机模块如何被引发。于是可写出病毒,并散布于网络以渗透该以软件为基础的移动站。然后,在一个特定的时间,该病毒可直接控制移动站及进行连续或间断的发送,此类的病毒设计可以随机发动或不发动以回避侦测,掠夺通信供货商的一部分或全部的可用频宽,并且甚至可能造成网络完全的瘫痪。该类攻击可能仅影响每个单元的极少数装置(即,可少至一个)而完全瘫痪该单元。
伴随移动站的共享网络架构而来的安全上问题依威胁程度可区分成三个层次防篡改(tamper-proof)、非防篡改(non-tamperproof)、和类别闯入(class break)。首先,在硬件/固件(例如移动电话)运行时,由于必需取得个别的装置并加以修改,故最不易受到篡改(即,防篡改)。在另一方面,由于黑客可以联接到纯软件的调试器环境,所以软件架构的解决方案容易被篡改(即,非防篡改)。最后,易受篡改的系统如果和其它所有系统相类似时,该篡改可散布到大量其它类似的系统,故最易受到″类别闯入″。
软件无线调制解调器不但易受到类别闯入,并且亦可在众装置中从因特网通讯协议(IP)相同层次或其它可携式编码访问机制取得其密码。许多软件无线调制解调器可整合入计算机而和网络或因特网相结合。上述的结合使软件更易受篡改和控制。
利用软件运行其它通讯协议的通讯装置亦可能受到上述问题的影响,但有不同程度和层次的结果。例如,利用语音频带调制解调器(V.90)、非对称数字用户线(ADSL)调制解调器、家用电话网络(HomePNA)等铜用户线的通讯装置的软件调制解调器可能受到攻击,而导致用户回响的瘫痪或不当使用。例如,一群受影响的软件调制解调器可能受到拒绝服务攻击(denial of service attack)而连续对预定的号码进行发话及淹没目的网络地址。软件调制解调器亦可被用于阻止在用户回路的向外呼叫或进入呼叫,或瓦解家用电话网络的通讯。其它在软件中运行的无线通讯装置,例如,无线网络装置,亦可被侵占而瓦解无线网络上的通讯。
本发明可直接克服一种或多种上述所说明的问题,或至少可减少其所造成的影响。
发明内容
本发明的一个方面为包含外围设备及连接于该外围设备的处理器组(processor complex)的计算机系统。该处理器组可加载包含用于与该外围设备接口接合的程序指令的安全驱动程序。该外围设备可以是通讯装置,诸如软件调制解调器。
本发明的另一个方面是用于保护软件驱动程序的方法。该方法包含将安全驱动程序储存于计算机系统内。该安全驱动程序包含用于与外围设备接口接合的程序指令。该方法更包含加载该安全驱动程序及使用该安全驱动程序而与该外围设备接口接合。该外围设备可以是通讯装置,诸如软件调制解调器。
虽然本发明易于做各种修正及替换的形式,但本发明的特定的实施例已经通过在附图中的例子而呈现并且在此详细描述。然而,应该要了解的是,特定的实施例的在此描述并非意在限定本发明于该特定的披露形式,相反地,本发明意在包括落在由附加的权利要求范围所定义的本发明的精神及范围内的所有的修正、等同及替换。
本发明可通过参考下列说明配合其附图而获得了解,其相同组件有相同的组件编号,附图的说明如下图1为依据本发明的一个实施例的通讯系统的简化的方块图;图2为图1的通讯系统内的用户站的例示性计算机的简化方块图;以及图3为依据本发明的另一个实施例的用于保护软件驱动程序的方法的简化流程图。
具体实施例方式
下述说明本发明特定的具体例。为了清楚之便,并非所有特性均说明于该具体例中。需注意,在发展任何此实际具体例的过程中,为了达到开发商特定的需求,必需做出许多运行上的特殊的决定,例如,符合系统相关和商业相关的限制,因而使其有不同的运行过程。此外,需注意,其发展过程可能非常复杂和耗时,但对熟习本技术者的例行的工作而言均可受惠于此揭示参考图1,该图提供通讯系统10的方块图。该通讯系统10包含经由通讯频道40与中心站30通讯的用户站20。在该实施例中,该用户站20为使用软件调制解调器50而依据诸如GSM的无线通讯协议来通讯的移动计算装置。该中心站30可以是能够服务多个用户的共享式基站。虽然本发明所描述是在无线的环境中实现,但该应用并不限定于此方面。上述披露可以应用于使用软件实现的通讯协议的其它通讯环境中(例如V.90、ADSL、HomePNA、无线LAN等等)。再者,上述披露亦可应用于在任何外围设备上提供安全驱动程序。
用户站20可包括各种计算装置,诸如桌上型计算机、笔记本计算机、个人数据助理(PDA)等等。为了便于说明的目的,该用户站20被描述为该系统实现在笔记本计算机上。该软件调制解调器50可以为内建资源。对于本领域普通技术人员应了解的是,该软件调制解调器50包含实现于硬件上的物理层(PHY)70及实现于软件上的协议层80。虽然其它协议也可以使用,为了便于说明的目的,该软件调制解调器50的功能将描述为该软件调制解调器可以用于GSM通讯协议的实现上。
物理层70将数字传输讯号转换成为模拟传输波形并且将进入的模拟接收波形转换成为数字接收讯号。对于传输讯号而言该协议层80的输出为对于零Hz载波(亦即无载波(carrierless)讯号)调制的传输″正在广播(on-air)″信息。该物理层70依据由中心站30与用户站20通讯所指定的时隙、频率及功率强度而分配混频(混频亦可以称为向上转换(upconverting))由该协议层80所产生的无载波传输讯号以产生由该物理层70所传输的实际的模拟波形。
中心站30对于刚进入的数据亦传送时隙及频率分配给该用户站20。进入的模拟接收波形基于指定的时隙及频率参数经过取样及向下转换(downconverted)以重新建立无载波(亦即对于零Hz调制)接收波形。协议层80接收来自物理层70的无载波接收波形并且执行基频(baseband)处理、解密及解码以产生该接收数据。
因此,指定的时隙、频率、和功率强度(即,仅作为数据的传输)称之为控制码(control codes)。用于运行软件调制解调器50的特定算法说明于特定的产业标准的中(例如,GSM标准)并且为本领域普通技术人员所详知,为清楚和利于说明的便,故除非其根据本发明经过改良,否则在此不多赘述。
现参照图2,该图提供实行于计算机100内的用户站20的方块图。此计算机100包含处理器组110。为清楚和易于了解之便,并未对所有处理器组110的组件进行详细的说明。其细节已为本领域普通技术人员所详知,其可能根据不同的计算机供货商和微处理器类型而有所不同。典型的处理器组110视特定的用途应包括微处理器、高速缓存、系统存储器、系统总线、图形控制器、以及其它装置。
此处理器组110连接至外设总线120,例如,外设组件接口(PCI)总线。典型的处理器组110内的桥接器单元(bridge unit)[即,北桥芯片(north bridge)]为连接该系统总线至其外设总线120。南桥芯片(southbridge)150为连接至其外设总线120。此南桥芯片150以低接脚数(LPC)总线160为接口其安置一个系统基本输入输出系统(BIOS)存储器170,一个通用串行总线(USB)180可作为各种接口设备的接口(例如,键盘、鼠标、打印机、扫描仪)(未显示),增强整合驱动电子(EIDE)总线190做为硬盘驱动器200和只读光驱(CD-ROM)驱动器(未显示)的接口,以及整合数据总线(IPB)210。
IPB总线210可控制软件调制解调器50的硬件部分。在此具体实施例中,该软件调制解调器50受控于扩展通讯(ACR)卡215。扩展通讯卡215和整合数据总线210的规格说明书可从ACR Special Interest Group(ACRSIGORG)处获得。该软件调制解调器50包含物理硬件单元220及收发器230。在此具体的实施例中,该收发器230适合传输及接收GSM讯号。因此,该物理硬件单元220及该收发器230形成该物理层70(参考图1)。
处理器组110执行编码于安全调制解调器驱动程序240内的程序指令。因此,该处理器组110及该安全调制解调器驱动程序240实现该协议层80(参考图1)的功能。为了避免意外的程序损坏或蓄意的入侵,该安全调制解调器驱动程序240在计算机100的初始化期间由安全位置加载。因此,若病毒感染该安全调制解调器驱动程序240,则该病毒将于下一次该计算机初始化及该安全调制解调器驱动程序240重新加载的时候被有效地消除。提供安全调制解调器驱动程序240具有各种可能的方式。用于该安全调制解调器驱动程序240的程序代码可以使用硬件安全、软件安全或硬件及软件安全两者的组合来保护。
一个实施例的第一个例子说明软件安全方法如何可以实现。许多档案安全技术在该领域中是已知的。例示性的技术包含公开密钥及私有密钥的使用以及散列(hash)以产生数字签名。在公开密钥密码系统中,每个使用者具有两个互补式密钥,公开展示的密钥及私有密钥。每个密钥开启另一个密钥锁定的程序代码。知道该公开密钥并无助于该对应的私有密钥的推算。该公开的密钥可以公开及广为散播。在此种应用的情况下,该安全调制解调器驱动程序240可以使用该调制解调器或计算机系统厂商的私有密钥以数字式签名。对于厂商的公开密钥可以通过该计算机100(例如在系统BIOS内存170中、在硬式磁盘驱动器200上或在ACR卡215的储存装置上)储存并且在许可能够使用该调制解调器50之前用于认证该安全调制解调器驱动程序240。该厂商的公开密钥仅有用于解密以该厂商的对应私有密钥所加密的数据。若该安全调制解调器驱动程序240例如已经由病毒所更改,则认证将失败。
用于保护安全调制解调器驱动程序240的硬件技术包含储存该安全调制解调器驱动程序240于受保护的程序储存装置中。例如,该安全调制解调器驱动程序240可以储存于系统BIOS内存170中(例如使用非易失性闪存)并且在计算机10的初始化期间载入系统内存内。在某些计算机系统中,更新该系统BIOS内存170(例如闪存)仅可以使用认证的更新资料来执行。因此,只有由该厂商所数字签名的更新文件可以用于更新该系统BIOS 170。其它系统使用密码保护该系统BIOS 170的安全。因为该安全调制解调器驱动程序240储存于该保护的系统BIOS170,因此将不易于任意篡改。另一种硬件技术可包含储存该安全调制解调器驱动程序240于该ACR卡215上的非易失性储存装置250中。该储存装置250可以使用篡改防护围篱来保护并且可能需要认证档案或密码用以更新。例如,认证密钥可以具备用于安全调制解调器驱动程序240的软件更新。另外,该认证密钥可以由该中心站30经由该通讯频道40来提供。在另一个实施例中,使用者可以经由因特网连接发送该软件更新给服务提供者。若该软件更新受到确认,该服务提供者经由该因特网连接可以提供认证密钥。此种确认亦可以经由通讯频道来实行。
即使特定的硬件保护技术由于物理篡改而存在着风险,但类别闯入错误将可以避免。整个实现于硬件中的其它移动装置,诸如移动电话,可能易于通过个别的物理篡改而存在着风险,但是相应的代价及此类攻击的有限的篡改单元密度使得该物理篡改未必具有实质上的影响。
参照图3,该图提供用于保护软件驱动程序的方法的流程图。在方块300中,安全驱动程序储存于计算机系统中。储存该安全驱动程序可包含数字签名该安全驱动程序或储存该安全驱动程序于安全程序储存装置中。在方块310中,该安全驱动程序由该计算机系统加载。例如,该计算机系统在初始化或开机过程期间可加载该安全驱动程序。在方块320中,该安全驱动程序将用于与外围设备接口接合。该外围设备可包含如同上文所述的软件调制解调器或任何外围设备,对于该外围设备,安全驱动程序希望能够避免可能负面地影响该计算机系统或外围设备的运作的无心或蓄意的篡改。
上文所揭露的该特定的实施例仅为说明之用,同时本发明可以以不同但等同的方式做修正及实行,对于本领域普通技术人员在了解在此所陈述的优点后将是显而易见的。进一步,本发明并非意在限定在此所显示的设计或架构的细节,而该限定将于权利要求的范围中描述。因此很明显地在上文所揭露的该特定的实施例可以经过更改或修正并且所有此类的变化皆属于本发本的范围及精神之内。
权利要求
1.一种计算机系统(100),包括外围设备(215);以及连接至该外围设备(215)的处理器组(110),该处理器组可加载包含用于与该外围设备接口接合的程序指令的安全驱动程序(240)。
2.根据权利要求1所述的计算机系统(100),其中该外围设备(215)包括适合经由通讯频道(40)传送数据的物理层硬件(220),该物理层硬件(220)适合解调进入的模拟讯号以产生数字接收讯号,以及调制数字传输讯号以产生模拟传输讯号,且该安全驱动程序(240)包含用于实现协议层(80)的程序指令以解码该数字接收讯号及编码该数字传输讯号。
3.根据权利要求1所述的计算机系统(100),其中该安全驱动程序(240)包括数字签名文件,且该处理器组(110)适合接收来自该计算机系统及该通讯频道(40)中的至少一个程序储存装置(170,250)内用于认证该数字签名文件的公开密钥。
4.根据权利要求1所述的计算机系统(100),进一步包括适合储存该安全驱动程序(240)的安全程序储存装置(170,250)。
5.根据权利要求4所述的计算机系统(100),其中该安全程序储存装置(170,250)是通过认证密钥及密码的其中至少一者来保护。
6.一种用于保护软件驱动程序(240)的方法,包括储存安全驱动程序(240)于计算机系统(100)中,该安全驱动程序(240)包含用于接口接合外围设备(215)的程序指令;加载该安全驱动程序(240);以及使用该安全驱动程序(240)接口接合该外围设备(215)。
7.根据权利要求6所述的方法,其中该外围设备(215)更包括一通讯装置(50),该安全驱动程序(240)包含用于实现通讯协议的程序指令,且该方法更包括基于在该安全驱动程序(240)内的该程序指令经由通讯频道(40)传送数据。
8.根据权利要求6所述的方法,其中储存该安全驱动程序(240)包括储存数字签名文件,且该方法进一步包括接收来自该计算机系统(100)及连接至该计算机系统(100)的通讯频道(40)中的至少一个程序储存装置(170,250)内用于认证该数字签名文件的公开密钥。
9.根据权利要求6所述的方法,其中储存该安全驱动程序(240)包括将该安全驱动程序(240)储存在该外围设备(215)及该计算机系统(100)至少一者之中的安全程序储存装置(170,250)。
10.根据权利要求9所述的方法,其中将该安全驱动程序(240)储存于该安全程序储存装置(170,250)中包括通过认证密钥及密码的其中至少一者以保护该安全程序储存装置(170,250)。
全文摘要
本发明提供一种计算机系统,包含外围设备及连接至该外围设备的处理器组。该处理器组可加载包含用于与该外围设备接口接合的程序指令的安全驱动程序。本发明提供一种用于保护软件驱动程序的方法,该方法包含将安全驱动程序储存于计算机系统中。该安全驱动程序包含用于与外围设备接口接合的程序指令。该方法更包含加载该安全驱动程序;以及使用该安全驱动程序与该外围设备接口接合。该外围设备可以是通讯装置,诸如软件调制解调器。
文档编号H04L29/06GK1535528SQ02813771
公开日2004年10月6日 申请日期2002年6月12日 优先权日2001年7月9日
发明者T·L·考尔, D·W·史密斯, R·施密特, G·S·斯特劳金, B·C·巴尼斯, M·巴克利, T L 考尔, 史密斯, 巴尼斯, 斯特劳金, 死, 芴 申请人:先进微装置公司