用于限制IOT设备中的存储器写入访问的方法与流程

本发明总体上涉及无线通信领域。更具体地说，本发明涉及无线通信网络中通信设备的处理。

背景技术：

当前关于机器类型通信(iot，物联网)设备的愿景通常预测到2020年将有260亿个设备连接到互联网(物联网)。举几个例子，这些设备的范围通常可以从巨大带宽的消耗装置到基于电池、太阳能和/或风能运行并稀疏地报告参数的传感器、致动器和仪表，所述参数如环境参数(例如温度、二氧化碳水平、风和水流、照明条件)、消耗(例如天然气、电力、水、有限资源的利用)、利用(例如由空气污染过滤器处理的量、由水过滤器或处理装置处理的量)、包括移动部件(例如球轴承和链轮)的机器的机器运行时间；或者控制(直接或间接)环境变量(例如通风、照明、温度)或操作(水处理、空气污染处理)。

大多数iot设备通常可以无线连接到互联网，并且通常将是固定的，以及仅在时间上稀疏地发送少量数据，因此电池寿命长达若干年。对于此类应用，已经定义了若干不同的蜂窝标准，例如举几个例子，nb-iot(窄带iot)、emtc(增强型机器类型通信、lte的低功率mtc版本、长期演进)、sigfox、lora(低范围低功率)。

许多iot设备的寿命长度通常计划为10年左右。因此，为了功能正确并保持设备功能为最新，可能需要应用层上的sw(软件)更新或附加sw安装、或固件更新。此外，设备的功能可以取决于地理位置而不同，因此sw更新(或另一重新配置)可以取决于设备的不同地理位置而不同。

许多iot设备通常可能运行无法支持复杂安全性的低功耗处理器。此外，嵌入式iot设备可能在其最后的软件补丁后继续运行数年，甚至可能比其制造商的倒闭还存在得长久。因此，它们因而可能很容易成为可能的黑客攻击的目标。例如，可能会使用iot设备使用分布式拒绝服务(ddos)攻击来破坏关键的基础设施，例如包括蜂窝通信系统。

入侵iot设备的一种方式通常是使用恶意sw重新配置设备。例如，伪造的sw可能会就地理位置、因而其预期用途向iot设备引入错误的功能。

此外，取决于用于iot设备与服务/驻留ap/nw节点之间的连接的无线电接入技术，针对关于重新配置请求的“中间人”攻击的风险可能有所不同。

用于避免iot设备的远程错误重新配置的典型当前策略通常基于“应用层”上的授权，因此对于无线电接入层是透明的(即，独立于无线电接入层的授权)。然而，这种方式通常存在若干缺点，例如，不可能使用蜂窝无线电接入授权/证明方法进行验证，并且通常不可能将固定式ap/nw节点中固有的空间信息用于iot设备位置验证。

因此，需要用于对iot设备的非易失性存储器写入请求进行验证的方法、装置和计算机程序产品。优选地，与当前通常可能的方式相比，这样的方式提供用于验证非易失性存储器写入请求的更高安全性功能的形成。

技术实现要素：

应当强调的是，当在本说明书中使用术语“包括”时，是用来指所提到的特征、整数、步骤或组件的存在，但不排除一个或多个其它特征、整数、步骤、组件或其组群的存在或增加。

一些实施例的目的是至少缓解和/或减轻上述缺点中的至少一些，并提供用于限制对iot设备的存储器写入访问的通信设备和接入节点的方法和装置。

根据第一方面，该目的是通过通信设备的方法来实现的。该通信设备被配置为结合与无线通信网络相关联的接入节点进行操作。

在一些实施例中，通信设备可以是无线通信设备。在一些实施例中，通信设备是无线iot设备。

在一些实施例中，接入节点可以是网络节点、任何类型的接入点(ap)、基站、演进型节点b(enb)、远程服务器、网络小区等。

该方法包括：接收包括写入请求的第一数据分组，该写入请求用于将代码和/或数据写入到在通信设备中包括的非易失性存储器中；以及确定是否接收到包括与该第一数据分组相关联的标识符的第二数据分组。当确定接收到包括该标识符的第二数据分组时，该方法包括：从第二数据分组中提取该标识符，其中，该标识符是无线电接入层参数；确定该标识符是否受信任；当确定该标识符受信任时，确定该标识符是否经过验证；以及当确定该标识符受信任并且经过验证时，接受该写入请求的至少子集。

在一些实施例中，标识符是与所支持的无线电接入网(ran)或小区/接入点(ap)/波束标识有关的全局或本地标识。

在一些实施例中，标识符与服务小区、驻留小区、接入点和网络节点中的至少一个相关联。

关联可以例如是将标识符与物理位置绑定。例如，这可以例如借助于数据库例如通过将小区id映射到位置并通过小区id及其位置将矩阵或列表存储在数据库中来实现。该数据库对于通信设备可以是本地可用的，或者可以借助于例如网络云(或接入节点或远程服务器等)而对该设备可用。

在一些实施例中，标识符可以简单地包括gps位置。例如，gps位置可以已经从例如gps获取，并且在一些实施例中，通信设备可以在自身上包括gps以便找到并验证位置。

因此，标识符可以与某个地点或位置相关联(这些术语在本公开中可以互换使用)。

在一些实施例中，第一数据分组和第二数据分组在一个数据分组中同时被接收。

因此，在一些实施例中，第一数据分组和第二数据分组可以作为分离的数据分组被接收，或者它们可以作为单个数据分组被接收。在一些实施例中，第二数据分组可以在第一数据分组之前被接收。

在一些实施例中，第一数据分组和第二数据分组可以通过不同的网络实体发送(例如第一分组可以通过远程服务器发送，而第二数据分组可以通过网络发送)。在一些实施例中，第一数据分组和第二数据分组可以通过相同的网络实体发送。

在一些实施例中，确定标识符是否受信任包括：确定标识符是否是具有有效签名的已签名认证位置消息。

在一些实施例中，认证位置消息由接入节点、网络节点、接入点和移动运营商核心网中的至少一个签名。

因此，在一些实施例中，有效签名可能意味着认证位置消息必须与某一类型的网络接入节点(例如接入点、基站、网络节点等)相关联。如果它未由这种网络实体签名，则可能是以下指示：未经授权的用户正试图将软件添加到通信设备中，这可能是有害的。

在一些实施例中，确定标识符是否经过验证包括：确定标识符是否包括在预定标识符集中。

在一些实施例中，通信设备可以已从例如远程服务器或受信任的接入节点接收到信息或可以从例如远程服务器或受信任的接入节点获取信息，该受信任的接入节点与被认为是受信任的(即，通信设备可以从其接收更新的)网络实体相关。

该信息可以存储在数据库中，或者存储在通信设备内部的列表中，或者存储在网络云中。

在一些实施例中，该方法还可以包括：基于已签名认证位置消息来确定通信设备的当前位置；以及确定是否可以在与已签名认证位置消息相关联的位置中接受写入请求。

为了增强安全性并减少恶意攻击的风险，可以只在某些受信任的位置执行更新。因此，当接收到写入请求时，通信设备可以确定可以在何处执行写入请求，并将其与同已签名认证消息相关联的位置进行比较。如果仅可以在其中执行写入请求的位置不同于与已签名认证消息相关联的位置，则通信设备不可以接受该写入请求。

通过相同的方式，如果设备接收到写入请求，但是发现它不是出现在可以在其中执行写入请求的位置，则即使更新的源是受信任的，它也不可以执行更新。

在一些实施例中，该方法还可以包括：当确定没有接收到包括与第一数据分组相关联的标识符的第二数据分组时，确定自接收到第一数据分组以来的预定时间段是否已经到期。

预定时间段可以例如被设置为毫秒、秒、分钟、小时、天等，并且可以基于无线通信网络中的安全性要求来确定。例如，如果通信设备的目的很重要，或者始终按预期起作用很关键，则可以将时间段设置在较短的范围(例如毫秒和秒)内。

当确定自接收到第一数据分组以来的预定时间段已经到期时，该方法可以包括拒绝写入请求。

如上所述，在一些实施例中，第一数据分组还可以包括与写入请求可以被接受的位置相关联的信息。

在一些实施例中，该信息还可以本地存储在通信设备上，或者从受信任的网络实体(如，与该通信设备相关联的远程服务器、或接入节点)中获取。

在一些实施例中，该方法还包括：确定标识符是否使得能够在与包括在写入请求中的信息相关联的位置中接受写入请求的至少子集。

例如可能是，写入请求是大量的，并且通信设备仅可以执行它的一部分。因此，取决于标识符，通信设备可以确定是允许其全部还是仅部分地接受写入请求。

在一些实施例中，该方法还包括：在无线通信设备的受信任执行环境和调制解调器处理器中的至少一个中，执行对标识符是否受信任的确定。

受信任执行环境(tee)可以例如是在例如通信设备的cpu或其他/类似类型的控制电路中的硬件实现，例如，确定某个位置是否允许接受写入请求优选不应直接在例如通信设备的应用处理器中进行。这是因为，如果通过某种方式应用处理器感染了恶意代码，则恶意代码可能直接使得能够对通信设备的非易失性存储器进行写入操作。这导致通信设备可能接收到可能损害其功能的软件，并且没有手动交互的情况下，可能无法轻易移除该软件。作为替代，验证应在更受限的区域中进行，例如调制解调器处理器或专用的受信任执行环境，其中安全性更高。

在一些实施例中，写入请求包括存储器写入参数集。

在一些实施例中，存储器写入参数集与软件程序存储器、固件程序存储器、软件配置存储器和固件配置存储器中的至少一个相关联。

因此，写入请求可以包括针对通信设备的软件更新。

在一些实施例中，标识符还可以包括连接标识符。连接标识符与写入请求的发射机相关联，并且确定标识符是否受信任还包括确定连接标识符是否受信任。

此外，如上所述，在一些实施例中，该方法可以包括：基于标识符来确定写入请求是否可以被全部接受、或者写入请求的至少子集是否可以被接受。

在一些实施例中，当确定标识符不受信任时，该方法包括拒绝该写入请求。通过相同的方式，如果确定标识符没有包括在预定标识符集中，则该方法可以包括拒绝写入请求，即使确定该标识符是受信任的。

在一些实施例中，该方法还可以包括：向接入节点或远程服务器节点中的至少一个报告对写入请求的拒绝。

如果接收到写入请求但未接受该写入请求，则可能是因为它是由可能的黑客发出的，并且因此可以使网络知道存在可能的威胁。

在一些实施例中，可以向网络通知由于某种原因写入请求未被接受，并且可能必须在以后的实例中再次被发出。

第二方面是一种接入节点的方法，该接入节点与无线通信网络相关联并且被配置为结合通信设备进行操作。

该方法包括：发送包括写入请求的第一数据分组，该写入请求用于将代码写入到在通信设备中包括的非易失性存储器中；以及在发送第一数据分组的预定时间段内发送第二数据分组。第二数据分组包括与第一数据分组相关联的标识符，其中该标识符是无线电接入层参数。

在一些实施例中，可以划分根据第二方面的方法，使得接入节点执行发送第二数据分组的步骤，以及远程服务器执行发送第一数据分组的步骤。

在一些实施例中，根据第二方面的方法可以全部在远程服务器或网络节点、基站、enb等中执行。

第三方面是一种用于通信设备的装置。该通信设备被配置为结合与无线通信网络相关联的接入节点进行操作。

该装置包括控制电路，该控制电路被配置为引起：接收包括写入请求的第一数据分组，该写入请求用于将代码和/或数据写入到在通信设备中包括的非易失性存储器中；以及引起确定是否接收到包括与该第一数据分组相关联的标识符的第二数据分组。

当确定接收到包括该标识符的第二数据分组时，控制电路还被配置为引起：从第二数据分组中提取该标识符，其中，该标识符是无线电接入层参数；确定该标识符是否受信任；当确定该标识符受信任时，确定该标识符是否经过验证；以及当确定该标识符受信任并且经过验证时，接受该写入请求的至少子集。

第四方面是一种通信设备，该通信设备包括根据第三方面的装置。

第五方面是一种接入节点的装置，该接入节点与无线通信网络相关联并且被配置为结合通信设备进行操作。该装置包括控制电路，该控制电路被配置为引起：发送包括写入请求的第一数据分组，该写入请求用于将代码写入到在通信设备中包括的非易失性存储器中；以及在发送第一数据分组的预定时间段内发送第二数据分组，其中，该第二数据分组包括与第一数据分组相关联的标识符，其中，该标识符是无线电接入层参数。

第六方面是一种接入节点，该接入节点包括根据第五方面的装置。

第七方面是一种计算机程序产品，该计算机程序产品包括非暂时性计算机可读介质。该非暂时性计算机可读介质已经在其中存储了包括程序指令的计算机程序。该计算机程序被配置为可加载到数据处理单元中，该数据处理单元包括与该数据处理单元相关联或与之一体的处理器和存储器。

该计算机程序当被加载到数据处理单元中时，被配置为存储在存储器中，其中，该计算机程序当被加载到处理器中并由处理器运行时，被配置为使处理器执行根据第一方面或第二方面中的任一方面的方法步骤。

在一些实施例中，第二、第三、第四、第五和第六方面可以另外具有与上文针对第一方面所述的各种特征中的任一特征相同或相对应的特征。

此外，在一些实施例中，以上任一方面可以附加地具有与以上针对任一其他方面所述的各种特征中的任一特征相同或相对应的特征。

一些实施例的优点在于，除非确保设备位于安全区域中，否则可以阻止在受限的存储器空间中，例如在固件程序空间的应用中的存储器写入操作。

一些实施例的另一优点是诸如iot设备之类的通信设备将不易受到恶意攻击。

一些实施例的另一优点是增强了整体网络安全性。

附图说明

根据以下参考附图做出的对实施例的详细描述，其他目的、特征和优点将显而易见，在附图中：

图1是示出根据一些实施例的示例方法步骤的流程图；

图2a至图2c是示出根据一些实施例的网络场景的示意图；

图3是示出根据一些实施例的示例方法步骤的流程图；

图4是示出根据一些实施例的示例装置的框图；

图5是示出根据一些实施例的示例装置的框图；

图6是示出根据一些实施例的示例装置的框图；以及

图7是示出根据一些实施例的计算机程序产品的示意图。

具体实施方式

在下文中，将描述其中由于iot设备中的受限写入访问而增强了无线通信网络中的安全性的实施例。

为了实现这个，公开了根据一些实施例的用于通信设备(例如，无线iot设备)的方法，用于验证对诸如iot程序地址空间、应用软件、操作系统(或固件)或配置地址空间的控制程序执行的非易失性存储器地址空间的写入请求。

在一些实施例中，在接收到请求之后，通信设备可以确定服务/驻留小区/ap/nw节点的标识符，并验证小区/ap/nw节点是否受信任和/或有效，以允许非易失性存储器写入配置。

因此，根据一些实施例，iot设备可以基于无线电接入层参数来验证是应当允许还是拒绝重新配置。这样的标识符的示例可以是所使用的全局或本地小区id或rat。然后，通过将该标识符与(在设备中)存储的数据库中的针对受信任/经认证的ap/nw节点的标识符进行比较来进行验证。

在一些实施例中，网络节点(例如，接入节点)发送由网络节点签名的经认证的位置消息。经认证的位置消息可以向iot设备提供值得信任的位置，使用伪造的基站不容易危及该位置。

例如，网络节点(例如，基站)可以例如配备比假定的黑客更受信任的证书。例如，根证书可以被认为比某种支付和颁发根机构颁发的普通证书更值得信赖。

在一些实施例中，在某个接入点/nw节点处仅允许存储器区域的子集。

在一些实施例中，除了经认证/受信任的地理位置之外，iot设备和发送重新配置请求的服务器可以相互认证，以确保请求的真实性。

转到图1，描述了根据一些实施例的通信设备的方法100。

在一些实施例中，通信设备可以是无线通信设备，例如无线iot设备。

例如，通信设备可以是车辆、传感器、移动电话、嵌入有电子产品、软件、传感器、致动器和网络连接性(使设备能够连接并交换数据)等的电子设备。在一些实施例中，通信可以是无线通信设备。在一些实施例中，通信设备可以是固定的或移动的。

在一些实施例中，通信设备被配置为结合与无线通信网络相关联的接入节点进行操作。

接入节点可以例如是网络节点、基站、演进型节点b、接入点、服务器(本地或远程)等。

无线通信网络可以例如是长期演进(lte)通信网络、新的无线电网络、第五代网络，并且可以包括或利用一个或多个不同的无线电接入网。

图1示出了方法100，该方法100从步骤110开始，其中通信设备接收包括写入请求的第一数据分组，该写入请求用于将代码和/或数据写入到在通信设备中包括的非易失性存储器中。

在一些实施例中，写入请求可以在通信设备的应用层上被接收，或者与通信设备的应用层相关联，或者与通信设备的应用层之上的层相关联。

因此，根据一些实施例，写入请求可以在应用层上或在应用层之上的层上被接收。

在一些实施例中，写入请求可以包括存储器写入参数集。在一些实施例中，存储器写入参数集与软件程序存储器、固件程序存储器、软件配置存储器和固件配置存储器中的至少一个相关联。因此，写入请求可以包括针对通信设备的软件更新。

在步骤120中，确定是否接收到包括与第一数据分组相关联的标识符的第二数据分组。

在一些实施例中，当确定没有接收到包括与第一数据分组相关联的标识符的第二数据分组时(自120的否路径)，该方法还可以包括(步骤未示出)确定自接收到第一数据分组以来预定时间段是否已经到期。当确定自接收到第一数据分组以来的预定时间段已经到期时，该方法可以在步骤170中包括拒绝(即，否定)写入请求。

因此，无线通信设备可以接收包括写入请求的第一数据分组，并且可以确定在预定时间段内是否已经接收到包括标识符的第二分组，该标识符告诉该设备是否已经在可接受的位置接收到写入请求。如果否，则这是以下指示：写入请求可能是由未授权实体发出的，因此不应被接受。

在一些实施例中，可以在第二分组之前接收第一分组。在一些实施例中，第二分组可以在第一分组之前被接收。在一些实施例中，在一个数据分组中同时接收第一数据分组和第二数据分组(如包围步骤110和120的虚线所示)。

在一些实施例中，预定时间段可以在毫秒、秒、分钟、小时、天等的范围内。可以基于无线通信网络的灵敏度、网络拓扑、地理参数等来动态地设置时间段。

然而，当确定接收到包括标识符的第二数据分组(自120的是路径)时，该方法在步骤130中包括从第二数据分组中提取该标识符，其中，该标识符是无线电接入层参数。

该标识符可以例如是与无线网络或接入节点的所支持的ran相关或与网络小区/ap/波束标识相关的全局或本地标识。

在一些实施例中，该标识符可以与服务小区、驻留小区、接入点和网络节点中的至少一个相关联。

然后，该方法可以在140处继续，其中，确定该标识符是否受信任，并且当确定该标识符受信任时确定该标识符是否经过验证。

在一些实施例中，方法100可以包括：当确定该标识符不受信任时，立即拒绝该写入请求。

应当注意，第一数据分组的发射机和第二数据分组的发射机可以不必相同。在一些实施例中，第一数据分组可以例如由远程服务器发送，并且第二个数据分组可以由网络节点发送，或反之。

此外，通信设备可以例如在某点已经接收到包括有效标识符的数据库或列表。即，如果通信设备接收到与包括在数据库或列表中的标识符相关联的写入请求，则该设备将处理该写入请求。

此外，在一些实施例中，确定该标识符是否受信任可以包括确定该标识符是否是具有有效签名的已签名认证位置消息。

在一些实施例中，认证位置消息可以例如由接入节点、网络节点、接入点和移动运营商核心网中的至少一个签名。

因此，标识符可以包括将其与某个位置相关的信息，例如通过指定某个写入请求仅在其由某个位置的某个网络实体发出时才可以被接受，而且仅当通信设备发现自己在该位置时才可以被执行。

此外，在一些实施例中，该方法可以包括：在无线通信设备的受信任执行环境和调制解调器处理器中的至少一个中，执行对标识符是否受信任的确定。

例如，如果需要对写入请求进行地理验证，则优选不应直接在通信设备的应用处理器中进行，因为如果应用处理器通过某种方式感染了恶意代码，则恶意代码可能会直接使得能够对非易失性存储器进行写入操作。作为替代，验证应在更受限的区域中进行，例如调制解调器处理器或专用的受信任执行环境。

在一些实施例中，确定标识符是否经过验证可以包括：确定该标识符是否被包括在预定标识符集中。

预定标识符集可以例如已从受信任的远程服务器、或接入节点或任何其他受信任的网络实体向通信设备发出。在一些实施例中，它可以由通信设备例如从网络云、或服务器或接入节点获取。可以从通信设备可以从其接收并可能接受写入请求和/或更新的那些网络节点(例如，ap、enb、基站接入节点、服务器、小区、ran等)指示该预定标识符集。

如果在步骤140中确定标识符是受信任的且经过验证的(自140的是路径)，则该方法可以在步骤150中继续，其中当确定标识符是受信任的且经过验证的时接受写入请求的至少子集。

如上所述，写入请求可能是大量的，并且可能是通信设备仅接受它的一部分，而其余部分则指向其他设备。写入请求可以例如立即被广播到若干通信设备，并且标识符可以指定写入请求的哪个部分是针对每个通信设备的，以及在哪里可以被接受。

如果在步骤140中确定该标识符是不受信任的和/或没有经过验证的(自140的否路径)，则该方法可以在170中继续，其中拒绝该写入请求。

然后该方法可以可选地在步骤180中继续，其中通信设备向接入节点或远程服务器节点中的至少一个报告对该写入请求的拒绝。

例如知道写入请求是否被接受对无线网络或接入节点或远程服务器是有价值的。在一些实施例中，通信设备还可以说明由于什么原因写入请求未被接受。因此，可以使无线网络知道该通信设备是否没有接收到某个更新，或者是否存在对该通信设备的潜在攻击。

在一些实施例中，还可以通过限制通信设备仅在特定位置执行某些更新或写入请求(如上所述)来增强安全性，而与发出者无关。例如，通信设备可以从接入节点接收写入请求、以及在有效标识符集中存在的关联标识符。然而，包括写入请求的第一数据分组还可以包括与写入请求可以被接受的位置相关联的信息。即由于安全性，可能存在以下限制，仅应在受信任的位置(例如，与某个接入节点相关的特定小区)执行由写入请求产生的更新。

因此，该方法还可以包括：基于已签名认证位置消息来确定当前位置通信设备；以及确定是否可以在与已签名认证位置消息相关联的位置中接受写入请求。

在图2a至图2c中示出了根据以上的典型示例场景。在图2a至图2c中，除非另有明确说明，否则相似的数字指相似的实体。

图2a示出了根据一些实施例的无线通信网络。无线通信网络可以与网络云210相关联。网络云210可以例如包括无线电功能管理器(未示出)，并且连接到核心网或远程服务器(未示出)。

两个接入节点221和231可操作地连接到网络云210并与网络云210通信。

接入节点221、231可以例如是结合图1所述的接入节点。

两个网络区域220和230分别与接入节点221和231相关联。网络区域220、230可以例如被包括在与接入节点相关联的网络小区中。在一些实施例中，网络区域220、230可以是网络小区。

在该特定示例中，两个通信设备222和232已经分别进入网络区域220和230。

通信设备222、232可以例如是结合图1所述的通信设备。

应当注意，其他网络配置当然也是可以的，网络云可以例如与更少或更多的接入节点相关联，并且网络中可以存在固定的和移动的若干通信设备。

根据一些实施例，现在可以想象各种场景。例如，通信设备222可以从接入节点221接收包括写入请求的第一数据分组，并且此后不久还接收包括与第一写入请求和接入节点相关联的标识符的第二数据分组(对照方法100)。

当提取该标识符时，通信设备222可以确定该标识符是受信任的，但是它可能不能有效地从该特定接入节点接收更新。例如如果该标识符是由接入节点有效签名的已签名认证位置消息，但不包括在通信设备222的预定标识符集中，则这可以被确定。

因此，即使该特定接入节点221被认为是受信任的源，也不允许通信设备接受来自该特定接入节点221的写入请求。

通过相同的方式，通信设备232已经从接入节点231接收包括写入请求的第一数据分组和包括与第一数据分组和接入节点231相关联的标识符的第二数据分组。

通信设备232还可以确定该标识符是受信任的并且是有效的标识符(例如，通过验证该标识符被包括在设备232的预定标识符集中)，并且因此可以接受该写入请求，或者该写入请求的至少子集。

在一些场景中，可以假设存储器写入操作仅对示例性表示为区域“c”(图中未示出字母c)的地理区域有效，但是与云210相关联的远程服务器和在通信设备222和232中包括的设备应用处理器可能都不知道位置c。在图2a的场景中，区域c可能例如是区域220和230之一。

因此，服务器可以将重新配置请求发送到“所有”设备(在此示例中的222和232)。

适用于图2a的明确示例是与商品运输相关联的iot设备(通信设备)，商品只能在运输之间进行更新。sw配置可以与特定商品有关，并且iot设备可以与例如周期性报告温度的温度计相关联，其中周期性取决于消费者购买的商品的敏感性或价格或服务的运输质量。

然后iot设备可以在接收到写入请求后通过验证在第二数据分组中接收到的并且与到ap/nw节点的通信相关联的标识符来验证写入是否是受信任的且有效的(例如借助于方法100)。在该示例中，针对与接入节点231(位于区域“c”中)通信的设备232接受重新配置，而在与小区220中的接入节点221通信的设备222中拒绝该重新配置。

在另一示例中，iot设备仅当与某种类型的网络(例如蜂窝网络)相关联时才被允许进行这样的存储器写入操作，而针对这样的操作，可以确定无线lan网络太容易被操纵。

因此，写入请求还可以与关于可以在何处接受更新的某些要求相关联。因此，在接受写入请求之前，还可以要求通信设备232确定其是否实际上位于可以全部或部分接受该写入请求的位置。

这在图2b中示出。在图2b中，通信设备232位于网络区域230的外部，但是仍可以从接入节点231接收传输。通信设备232还可以从未知用户或实体240接收传输。实体240可以例如是试图对通信设备进行黑客攻击或使其受到恶意软件攻击的实体。

在一个场景中，通信设备232可能已经接收到包括写入请求的第一数据分组，但是没有接收到包括与第一分组相关联的标识符的第二分组。第一分组可以例如源自实体240，并且可能不知道需要标识符。因此，通信设备232可以丢弃该写入请求，并且可能例如向接入节点231或与云210相关联的远程服务器报告写入请求已被接收但是被拒绝(对照方法100)。

在一些实施例中，通信设备可以避免报告由于缺少的或错误的标识符(即，不受信任)而被拒绝的已拒绝的写入请求，因为它可能向潜在的黑客透露它已被检测到。该报告可以例如被保存并稍后在安全区域中被发送(如果被发送的话)。

在另一场景中，无线设备可能已经接收到包括写入请求的第一数据分组和包括与第一数据分组相关联的标识符的第二数据分组。

当确定标识符是否受信任的且有效的(例如，通过执行方法100)时，通信设备可以发现写入请求源自作为受信任的节点的接入节点231，并且通信设备可以接受来自接入节点231的更新。

然而，当接收到第一分组时，通信设备可能也已经接收到关于可以接受该特定写入请求的位置的信息。

然后，通信设备还可以基于包括在第一数据分组中的信息以及与已签名认证位置消息相关联的信息，验证其可以在某个位置接受由接入节点231发出的写入请求。

因此，通信设备232可以基于已签名认证消息来确定通信设备的当前位置。在图2b的示例场景中，写入请求可以仅在网络区域230内被接受，并且因为通信设备232位于网络区域230的外部，它将丢弃该请求并且可能报告失败的写入请求。

在一些实施例中，如果标识符是受信任的并且经过验证，则通信设备可以在一段时间(例如几小时、几天或几周)内保存该写入请求，直到它发现自己处于可以接受该写入请求的位置。

图2c示出了类似于图2b的示例场景，但是其中通信设备232位于网络区域230内而不是在其外部。如果在这种场景中，通信设备接收包括写入请求的第一数据分组，该写入请求如果由接入节点231接收，则可以在小区230中执行；以及接收包括与第一分组相关联的标识符的第二数据分组，如果该标识符被确定为受信任的且有效的，则该写入请求可以被接受(例如，如先前结合任一前述附图所解释的)。

在一些实施例中，还可以确定该标识符是否使得能够在与该写入请求中包括的信息相关联的位置中接受该写入请求的至少子集。因此，在一些实施例中，可以基于标识符来确定写入请求是否可以被全部接受、或者写入请求的至少子集是否可以被接受。

在一些场景中，通信设备可以从例如远程服务器节点(或接入节点)接收请求，如果该请求被接受，则导致通信设备的应用处理器的存储器写入请求。在一些实施例中，存储器写入请求可以是应用层sw安装或升级或者固件升级。

在一些实施例中，存储器写入请求可以与通信设备的配置数据相关。然后，设备确定与服务/驻留nw节点/ap相关联的标识符。该标识符可以是在连接中使用的全局/本地小区id、apid或rat。在一些实施例中，它可以是由nw节点/ap使用众所周知的消息签名方法签名的特别制作的位置消息。

然后，通信设备例如通过将该标识符与数据库(可以预先在设备中存储)中的允许的/受信任的/有效的标识符进行比较来验证连接。

在一些实施例中，不同的参数存储器写入操作可以具有不同的数据库，因此可以针对一些ap/nw节点允许存储器写入操作的一个子集，而不允许另一子集。

如果至少部分地确认了验证(例如可以是，允许通信设备接受来自发出请求和标识符的接入节点的部分写入请求)，则该设备接受重新配置请求并执行重新配置。

在一些实施例中，如上所述，可以仅针对重新配置请求中的参数/对象的子集确认验证，然后仅执行重新配置的已确认部分。

在一些实施例中，发送重新配置请求的服务器/单元的连接属性或地理位置(或简称标识符)也被包括在由通信设备执行的验证中，例如通过在该请求中发送这样的参数。因此，在一些实施例中，用于该设备和请求重新配置的节点两者的连接需要是受信任的和有效的。

因此，在一些实施例中，标识符包括连接标识符，其中该连接标识符与写入请求的发射机相关联，并且其中确定该标识符是否受信任还包括确定该连接标识符是否受信任。

一些实施例包括一种接入节点的方法，该接入节点与无线通信网络相关联并且被配置为结合通信设备进行操作。

这种方法300在图3中示出。

接入节点可以例如是如结合先前附图中任一个所描述的接入节点。在一些实施例中，接入节点是接入点、网络节点、基站、enb、网络小区、远程服务器、核心网等。

方法300在步骤310中开始，其中发送包括写入请求的第一数据分组，该写入请求用于将代码写入在通信设备中包括的非易失性存储器中(对照方法100的步骤110)。

然后在步骤320中，该方法包括：在发送第一数据分组的预定时间段内发送第二数据分组，其中该第二数据分组包括与第一数据分组相关联的标识符，其中该标识符是无线电接入层参数(对照方法100的步骤120)。

在一些实施例中，第二数据分组可以在第一数据分组之前被发送。在一些实施例中，可以在单个数据分组中发送第一数据分组和第二数据分组。

在一些实施例中，该标识符还包括将该标识符与接入节点相关联的信息以及包括该接入节点的签名的已签名认证位置消息。

在一些实施例中，方法300可以由不同的网络实体来执行。步骤310可以例如由远程服务器执行(如虚线所示，该框对于接入节点可以是可选的)，并且步骤320可以由接入节点执行。

在一些实施例中，步骤310和320可以组合成一个步骤，即，第一和第二数据分组可以作为一个数据分组被发送。

图4示出了根据一些实施例的用于通信设备的示例装置400。该通信设备可以例如是如结合先前附图中任一个所述的通信设备。

通信设备可以被配置为结合与无线通信网络相关联的接入节点进行操作。

接入节点和无线通信设备可以例如是结合先前附图中任一个所描述的接入节点和无线通信设备。

装置400包括控制电路(cntr)410。该控制电路还可以包括收发机(rx/tx)411或与收发机(rx/tx)411相关联，该收发机(rx/tx)411包括用于发送和接收信号的电路。在一些实施例中，控制电路410还可以包括标识符提取器(id)412，该标识符提取器(id)412包括被配置为从接收到的数据分组中提取标识符的电路。在一些实施例中，控制电路410还可以包括确定器(det)413，该确定器(det)413被配置为确定写入请求是否可以被接受。

在一些实施例中，控制电路410被配置为引起以下操作：(例如，通过使收发机411接收)接收包括写入请求的第一数据分组，该写入请求用于将代码和/或数据写入在通信设备中包括的非易失性存储器中(对照方法100的步骤110)。

控制电路还可以被配置为引起(例如，通过使确定器413)确定是否接收到包括与第一数据分组相关联的标识符的第二数据分组(对照方法100的步骤120)。

第二数据分组可以例如集成在第一数据分组内，或者可以在第一数据分组之前或之后被接收。

因此，在一些实施例中，控制电路410被配置为引起在一个数据分组中同时接收第一数据分组和第二数据分组。

当确定接收到包括标识符的第二数据分组时，控制电路410还被配置为引起以下操作：(例如，通过使标识符提取器412)从第二数据分组中提取该标识符，其中，该标识符是无线电接入层参数(对照方法100的步骤130)。

控制电路410还可以被配置为引起以下操作：(例如，通过使确定器413)确定该标识符是否受信任；当确定标识符受信任时，确定该标识符是否经过验证；以及当确定该标识符受信任且经过验证时，接受写入请求的至少子集(对照方法100的步骤140)。

在一些实施例中，控制电路410被配置为引起以下操作：(例如，通过使确定器413)确定该标识符是否与服务小区、驻留小区、接入点和网络节点中的至少一个相关联。

在一些实施例中，控制电路410被配置为通过引起以下操作：(例如，通过使确定器413)确定该标识符是否是具有有效签名的已签名认证位置消息来确定该标识符是否受信任。

在一些实施例中，控制电路410被配置为引起以下操作：通过引起(例如，通过使确定器413)确定该标识符是否包括在预定标识符集中来确定该标识符是否经过验证。

预定标识符集可以例如包括在列表中，该列表被存储在通信设备内部的数据库或存储器(图4中未示出)中。

在一些实施例中，认证位置消息由接入节点、网络节点、接入点和移动运营商核心网中的至少一个签名。

在一些实施例中，控制电路410还被配置为引起以下操作：(例如，通过使确定器413)基于已签名认证位置消息来确定通信设备的当前位置，并确定是否可以在与已签名认证位置消息相关联的位置中接受该写入请求。

在一些实施例中，控制电路410还被配置为：当确定没有接收到包括与第一数据分组相关联的标识符的第二数据分组时引起以下操作：确定自接收到第一数据分组以来的预定时间段是否已经到期。

当确定自接收到第一数据分组以来的预定时间段已经到期时，控制电路被配置为引起拒绝该写入请求(对照方法100的步骤170)。

在一些实施例中，第一数据分组还包括与写入请求可以被接受的位置相关联的信息。

在一些实施例中，控制电路410还被配置为引起以下操作：确定该标识符是否使得能够在与包括在写入请求中的信息相关联的位置中接受该写入请求的至少子集。

在一些实施例中，控制电路410还被配置为引起以下操作：在无线通信设备的受信任执行环境和调制解调器处理器中的至少一个中，执行对该标识符是否受信任的确定。

在一些实施例中，写入请求包括存储器写入参数集。

在一些实施例中，存储器写入参数集与软件程序存储器、固件程序存储器、软件配置存储器和固件配置存储器中的至少一个相关联。

在一些实施例中，该标识符包括连接标识符，其中该连接标识符与写入请求的发射机相关联，并且其中控制电路410被配置为引起以下操作：通过引起(例如，通过使确定器413)确定该连接标识符是否受信任来确定该标识符是否受信任。

在一些实施例中，控制电路410被配置为引起基于该标识符来确定是否该写入请求可以被全部接受、或者该写入请求的至少子集可以被接受。

在一些实施例中，其中当确定该标识符不受信任时，控制电路410被配置为引起拒绝该写入请求。

在一些实施例中，控制电路410还被配置为引起向接入节点或远程服务器节点中的至少一个报告对写入请求的拒绝(对照方法100的步骤180)。

在一些实施例中，装置400可以被包括在诸如结合先前附图中任一个所描述的通信设备中。装置300还可以被配置为执行方法100。

图5示出了根据一些实施例的通信设备的示例装置500。装置500可以例如被组合或包括在装置400内，并且可以被配置为执行如结合图1所述的方法。

装置500包括调制解调器(modem)510，该调制解调器510包括电路或与电路相关联，该电路用于接收和发送信号(对照装置400的rx/tx)。

装置500还可以包括计算机处理单元(cpu)530，该计算机处理单元530还可以包括受信任执行环境(tee)531或者与受信任执行环境(tee)531相关联。

装置500还可以包括易失性存储器(ram)520(例如随机存取存储器)和非易失性存储器(mem)540。

cpu530例如可以是装置400的控制电路410。

图6示出了根据一些实施例的接入节点的装置600。

接入节点可以例如是如结合图1至图3中任一个所描述的接入节点。

接入节点可以与无线通信网络相关联并且被配置为结合通信设备进行操作。

通信设备可以例如是如结合先前附图中任一个所述的通信设备。

无线网络可以例如是如结合图1至图3中任一个所描述的无线网络。

装置600可以包括控制电路(cntr)610。控制电路610还可以包括以下组件或与以下组件相关联：收发机(rx/tx)611，被配置为发送和接收信号；授权器(id)612，被配置为向用于传输的数据分组添加与接入节点和已发出的写入请求相关联的标识符；以及数据分组模块(dp)613，被配置为创建用于传输的数据分组。

在一些实施例中，控制电路610可以被配置为引起以下操作：发送包括写入请求的第一数据分组，该写入请求用于将代码写入在通信设备中包括的非易失性存储器中(例如，通过使dp613创建数据分组，以及使收发机611发送数据分组)(对照方法300的步骤310)。

在一些实施例中，控制电路610可以被配置为引起以下操作：在发送第一数据分组的预定时间段内发送第二数据分组，其中该第二数据分组包括与第一数据分组相关联的标识符，其中该标识符是无线电接入层参数(对照方法300的步骤320)。

在一些实施例中，控制电路610还被配置为引起以下操作：(例如，通过使授权器612)将该标识符与将该标识符与接入节点相关联的信息和包括该接入节点的签名的已签名认证位置消息相关联。

在一些实施例中，装置600可以被包括在接入节点中。

在一些实施例中，接入节点可以例如是结合先前附图中任一个所描述的接入节点中的任一个。

在一些实施例中，装置600被包括在远程服务器中。

利用本文公开的实施例，有可能阻止在受限的存储器空间中(例如，在固件程序空间的应用中)的存储器写入操作，而仅在受信任环境或位置(例如，受信任的rat、nw节点、小区或ap)中被允许，从而减少了恶意代码永久地或以不可控的方式进入设备的风险。如果恶意代码仍然设法在另一地址空间中进入设备，则受信任的地址空间将允许以简单的方式清除(flush)恶意代码，因为它可能在重启时被删除。

因此，在服务于设备(例如iot设备)的无线通信网络中增强了安全性。

随后，根据一些实施例，无线通信网络中的iot设备将比目前受到更好的保护，免受恶意攻击。

图7示出了包括非暂时性计算机可读介质700的计算机程序产品，其中，该非暂时性计算机可读介质700已经在其上存储了包括程序指令的计算机程序。该计算机程序被配置为可加载到数据处理单元710中，该数据处理单元包括与该数据处理单元相关联或与之一体的处理器(proc)730和存储器(mem)720。该计算机程序当被加载到数据处理单元710中时，被配置为存储在存储器720中，其中，该计算机程序当被加载到处理器730中并由处理器730运行时，被配置为使该处理器执行根据本文所述的方法(例如方法100和300)中任一个的方法步骤。

可以用软件或硬件或者其组合来实现所描述的实施例及其等同物。它们可以通过与通信设备相关联或者为一体的通用电路来执行，例如数字信号处理器(dsp)、中央处理单元(cpu)、协处理器单元、现场可编程门阵列(fpga)或其它可编程硬件，或者由专用电路来执行，例如专用集成电路(asic)。所有这些形式预期包括在本公开的范围内。

实施例可以存在于电子装置(例如，无线通信设备)中，所述电子装置包括根据任意实施例的电路/逻辑或执行根据任意实施例的方法。该电子装置可以是例如便携式或手持式移动无线电通信设备、移动无线电终端、移动电话、基站、基站控制器、寻呼机、通信器、电子记事本、智能电话、计算机、笔记本电脑、u盘、插卡、嵌入式驱动器或移动游戏设备。

已经在本文中参考了各种实施例。然而，本领域技术人员应认识到，对所描述的实施例的多种变化仍然会落入权利要求的范围。例如，本文描述的方法实施例通过一特定顺序执行的方法步骤来描述示例方法。然而，应当认识到，在不偏离权利要求的范围的情况下，这些事件顺序可以以另一顺序发生。此外，尽管某些方法步骤已经被描述为顺序执行，但它们可以并行执行。

通过相同的方式，应当注意的是，在实施例的描述中，将功能块划分为特定单元绝不是限制性的。相反，这些划分仅是示例性的。本文描述为一个单元的功能块可以划分为两个或更多个单元。通过相同的方式，在不偏离权利要求的范围的情况下，本文描述为实现为两个或更多个单元的功能块可以实现为单个单元。

在适合的情况下，本文公开的任何实施例的任何特征可以应用于任何其他实施例。同样地，任何实施例的任何优点可以应用于任何其他实施例，反之亦然。

因此，应当理解的是，描述的实施例的细节仅仅是用于示出的目的而不是限制。作为替代，落入权利要求范围内的所有变型都意在被包括在其中。