专利名称:移动无线通信设备及其控制方法
技术领域:
本发明涉及一种设备、方法和存储的计算机程序媒体,对于与能够与任一类型的网络进行通信的设备进行接口的有线和无线通信网络,实现了改善的通信网络安全性。
背景技术:
许多现代无线移动通信设备也包括有线连接端口,其能够用于连接到有线网络。同时也可以存在多个可利用的无线通信端口(例如,传统射频(RF),蓝牙,红外线(例如,irda)等)。如果将这些有线和无线的通信端口同时连接到不同的网络,那么该设备可能会构成安全性威胁(例如,由于网络间潜在的网关具有不同的安全等级)。例如,有线网络通常被认为具有与其相关联的、比无线网络更高的安全等级。
不同的有线网络和/或子网络之间感觉到不一致的安全等级也是有可能的。例如,有可能创建被称为“分离隧道效应”的特点,以同时允许来自远程个人计算机的不受阻碍的网络冲浪和公司的虚拟专用网络(VPN)接入。这允许了VPN网关上降低的负载,但是也会允许在客户端操作的应用程序怀有恶意地从因特网将数据包转发到更多有安全意识的企业网络。
在“分离隧道效应”的情况下,人们已经认识到只要客户被连接到VPN,就能够通过关闭分离隧道效应特征,来使某些潜在的危险得以最小化。然而,由移动通信设备同时进行无线和有线连接到具有不同安全级的网络而引起的潜在的安全风险继而又提出了潜在安全的问题。
相关问题在于2002年11月8日提交的题为“SYSTEM AND METHOD OFCONNECTION CONTROL FOR WIRELESS MOBILE COMMUNICATION DEVICE”的早期公共转让的申请60/424,723、而今于2003年10月31日提交的,将Michael G.Kirkup,Herbert A.Little,David Yach命名为发明人的非临时申请10/698,602中得到了解决。
公开的欧洲专利申请EP1,471,692A2公开了一种混合有线和无线通信设备,其向用户提供选择自动操作模式的选项,其中当该设备链接到有线通信网络时,无线通信模块可以自动停用。然而,该选项是为了节省带宽和/或操作能量,而没有被描述为具有任何想要的安全益处。实际上,由于它完全是用户选项,因此它对于确保企业范围的安全利益而言并不可行。
发明内容
提供了一种配备有增强的安全特征的有线/无线移动通信设备,当它连接到有线通信时允许无线通信的自动阻断。如果需要的话,这种增强安全可以依据驻存于设备中的IT策略(例如,由IT管理员下载的)来实现。
具有多个通信端口的移动无线通信设备可以具有计算机驱动控制电路,通过这些多个端口中的任意一个来连接以控制通信。增强的安全子例程能够包括到该控制电路中,并适应于只要连接有线端口来使用,就自动地控制(即“关闭”)至少一个无线通信端口。
在示范性实施例中,有线端口可以是USB端口,而无线端口可以是常规RF收发机电路。然而,无线端口也可以是蓝牙通信电路,红外线或光通信电路,或者任何其他无线端口。同样地,有线端口可以是串行的或并行的,或者任何其他的有线数字数据通信端口。
在示范性实施例中,安全子例程依照IT策略来实现自动控制,该IT策略也可以驻在在控制电路中。这给予了IT管理员设置IT策略的权力,例如,可以启用增强安全特征或者禁用它。
尽管物理端口的控制能够以不同的方式来实现,但是示范性实施例通过对RF收发机API的调用,以及当连接被感测为出现在有线USB端口时暂时禁止其使用(即有效地关“闭”收发机),来实现对RF无线收发机的控制。
本发明可以嵌入到硬件,软件,或硬件和软件的结合中。本发明提供一种方法,通过当为有线通信连接时自动地阻断无线通信,实现无线/有线移动通信设备中的增强的安全。
通过结合附图对以下至少一个实施例的更加详细的描述进行仔细的研究,能够更全面地了解和理解本发明的这些和其他目的及优点,在附图中图1是根据本发明一个示范性实施例的、包括移动无线/有线通信设备的示范性无线电子邮件通信系统的整个系统范围的示意图,该移动无线/有线通信设备具有增强的安全子例程,用以增强驻存IT策略,当连接到有线通信端口时,阻断在另一端口上同时进行的通信;图2是包含于图1的示范性移动无线/有线通信设备内的硬件的简略示意图;图3是可以在图2的设备中使用的,用于增强子例程的计算机软件(即程序逻辑)的示范性简略示意图;和图4是可以在图2的设备中利用的,用于增强USB端口驱动程序子例程的计算机软件(即程序逻辑)的示范性简略示意图。
具体实施例方式
图1是根据本发明的示范性通信系统的概况,其中可以使用无线通信设备100(具有可选择的有线连接端口40)。本领域普通技术人员能够理解存在数百种不同的系统拓扑结构。也可能有消息发送器和接收器。图1所示的简单的示范性系统仅仅是说明性的,并大体上示出了当前最流行的因特网电子邮件环境。
图1示出了电子邮件发送器10、因特网12、消息服务器系统14、无线网关16、无线基础设施18、无线网络20和移动通信设备100。
举例来说,电子邮件发送器10可以连接到位于公司内的、系统用户在其上具有帐户的ISP(因特网服务提供者)上,所述ISP可能连接到局域网(LAN)并连接到因特网12,或者通过诸如美国在线服务公司TM(AOL)的大型ASP(应用服务提供者)而连接到因特网12上。本领域普通技术人员能够理解,图1所示的系统可以替代地连接到除了因特网之外的广域网(WAN)上,尽管电子邮件转发通常是通过如图1所示的因特网连接配置来完成的。
举例来说,消息服务器14可以在公司防火墙内的网络计算机上、ISP或ASP系统之内的计算机等上实施,并且充当电子邮件在因特网12上交换的主要接口。尽管其他消息收发系统可能不需要消息服务器系统14,用于接收和有可能发送电子邮件的移动设备100通常将与消息服务器上的帐户相关联。或许,最常见的两个消息服务器是MicrosoftExchangeTM和Lotus DominoTM。这些产品经常结合路由选择和递送邮件的因特网邮件路由器来使用。由于它们在以下描述的发明中并直接发挥作用,因此在图1中未示出这些中间部件。例如服务器14的消息服务器通常扩展到只是电子邮件发送和接收的范围之外;它们也包括动态数据库存储引擎,具有预先定义的数据库格式,例如日程表、待办列表,任务列表,电子邮件和文档。
无线网关16和基础设施18提供因特网12和无线网络20之间的链路。无线基础结构18确定用于定位给定用户的最可能网络,并在用户在国家或网络之间漫游时跟踪这些用户。接下来,通过无线传输将消息递送给移动设备100,通常以射频(RF),从无线网络20中的基站到移动设备100。该特定网络20实际上可以是任何无线网络,在其上可以与移动通信设备交换消息。
如图1所示,构造的电子邮件消息22可以通过位于因特网12中某处的电子邮件发送器10来发送。该消息22通常使用传统简单邮件传输协议(SMTP)、RFC822报头和多用途因特网邮件扩展(MIME)正文部分来定义该邮件消息的格式。这些技术对于本领域普通技术人员来说是众所周知的。消息22到达消息服务器14,并且一般地存储在消息存储器中。许多已知的消息接发系统支持所谓的“出栈”(pull)消息存取方案,其中移动设备100必须请求所存储的消息由消息服务器转发到移动设备100。某些系统提供这些消息的自动路由选择,这些消息是使用与该移动设备100相关联的特定电子邮件地址来寻址的。在优选的实施例中,当接收到其时,将寻址到与诸如属于移动设备100的用户的家庭计算机或办公室计算机30的主机系统相关联的消息服务器帐户的邮件从消息服务器14重定向到移动设备100。
不管控制消息转发到移动设备100的特定机制,将消息22或者可能是其转换后或重新格式化后的版本发送到无线网关16。无线基础设施18包括一系列到无线网络20的连接。这些连接可以是综合业务数字网(ISDN)、使用在整个因特网中使用的TCP/IP协议的帧中继或T1连接。如在此使用的,术语“无线网络”意欲包括不同类型的网络,其可以是(1)以数据为中心的无线网络,(2)以语音为中心的无线网络和(3)能够在同一物理基站上同时支持语音和数据通信的双模网络。组合的双模网络包括但不限于(1)码分多址接入(CDMA)网络,(2)移动通信特别小组或全球移动通信系统(GSM)和通用分组无线服务(GPRS)网络,以及(3)未来的第三代(3G)网络,如增强数据速率的全局演进(EDGE)和通用移动通信系统(UMTS)。以数据为中心的网络的一些较早的例子包括MobitexTM无线电网络和DataTACTM无线电网络。较早的以语音为中心的数据网络的例子包括个人通信系统(PCS)网络,如GSM,和TDMA系统。
如图1所描绘的,通过天线102进行无线RF通信端口连接。然而,该移动无线/有线通信设备100也具有有线通信端口40,其与有线底座42中的连接匹配,以通过USB线缆44建立到用户台式计算机30的USB端口的有线数字通信链路。正如应当理解的,用户的计算机30也连接到用户的有线办公室网络46(如同消息服务器14一样)。
如图2所描绘的,移动通信设备100包括适当的天线102,用于去往/来自无线网络20的无线通信。提供传统RF、解调/调制和解码/编码电路104。正如本领域技术人员应当理解的,这些电路可以包括许多数字信号处理器(DSP)、微处理器、滤波器、模拟和数字电路等。然而,由于这些电路是本领域所众所周知的,因此不再进一步描述。
移动通信设备100通常也可以包括主控制CPU 106,其在程序存储器108中存储的程序的控制之下来操作(并且其能够访问数据存储器110)。CPU 106也与常规键盘112,显示器114(例如,LCD)和音频换能器或扬声器116进行通信。程序存储器的一部分108a可用于存储增强安全子例程(它也可以与驻存在数据存储器110中的IT策略接口并使用其)。适当的计算机程序可执行代码存储在程序存储器108a的部分中,用以构成以下将描述的增强安全子例程逻辑。
同样如图2所描绘的,CPU 106连接到有线底座USB连接器40(实际上就是USB端口),和/或连接到任意一个或所有附加备用输入/输出无线端口(例如,Irda,蓝牙等)上。正如应当理解的,这些无线端口能够与适当的换能器T1到TN相关联。
无论何时当感测到有线端口的导通性的变化时,如图3所示,在300处进入增强安全子例程。如果如在302所确定的,所感测的变化指示新的连接状态,则在304处访问驻存在控制电路中的当前IT策略(即,在数据存储器110中,如先前由IT管理员下载的)。如在304确定的,当通过该特定有线端口同时进行有线通信的连接时,如果该驻存的IT策略允许所有无线端口同时使用的话,则在306退出该子例程。然而,如果IT策略不允许当连接该特定有线端口来使用时、同时使用所有无线端口的话,那么在306退出该子例程之前,将会在308“关闭”所有不允许的无线端口(针对该特定的有线端口连接)。
如果如在310所确定的,所感测的有线端口连通性的变化表示新的断开状态,那么在306退出该子例程之前,在312,“打开”所有现在允许的无线端口(即,再次根据当前驻存的IT策略)。
如图4所描绘的,在另一示范性实施例中,增强安全子例程构成了在400处所进入的增强USB端口驱动子例程。在此,如果该变化表示已经在402建立了新的连接,则将在404审查当前的IP策略,以查看对于新近连接的USB端口、是否允许同时的RF端口连接。如果允许,则在406退出该子例程。如果不允许,则在408调用RF收发机API,并变更该API以便禁用或“关闭”RF收发机。另一方面,如果所检测的变化对应于如在410确定的USB端口的新的断开状态,则在412调用该无线电API,并且根据IT策略,变更该API以便在406进行的退出该子例程之前,重新启动无线电或者“打开”其。
当典型的“无线”通信设备也通过用户的桌面软件连接到有线计算机网络时,专门地将它同时连接到两个网络上。这两个网络是通常所使用的与用户计算机相关联的无线网络和有线网络,现在(通常暂时地)也连接到所述用户计算机上。某些有安全意识的组织可能会关心信息在有线计算机网络和无线网络之间通过桥接通信设备的可能传输。
现在可以定义IT策略,其允许IT管理员将设备设置为增强安全模式,该模式避免了该问题的发生。增强安全模式也通过在该设备有线连接到计算机时,关闭无线电收发机来解决问题。通过使用USB端口驱动程序,能够确定该设备何时被计算机“列举”,并因而接下来关闭该无线电。然后当设备的有线端口从计算机上断开时,自动地重新打开该无线电。简而言之,当检测到另一物理通道时禁用一个物理通道。蓝牙、USB、irda是这些物理通道的例子。
在一个示范性实施例中,新的增强安全特征可以被描述为“当用底座连接时禁用无线电”。在另一示范性实施例中,它可以是“当用底座连接时禁用蓝牙”。在又一示范性实施例中,它可以是“当用底座连接时同时禁用无线电和蓝牙”。例如,即使用底座连接时,也可能希望使蓝牙一直保持为启用状态,以便仍旧可以允许使用用户耳机。通过使增强安全特征遵照可能的结合和置换的这些细节的IT策略,给予了IT管理员很大的灵活性来定制增强安全模式,以便于给定环境中的最佳使用。
尽管已经结合目前优选的示范性实施例,对本发明进行了描述,但是本领域技术人员应当认识到,能够对这些示范性实施例作出各种变化和修改,而仍然保留本发明的新颖特征和优点。因此,所有这些变化和修改都应包含在所附的权利要求的范围之内。
权利要求
1.一种移动无线通信设备(100),包括多个通信端口,所述多个通信端口包括至少一个无线端口(1,N)和至少一个有线端口(40);计算机驱动控制电路(106),通过所述多个端口中的每一个连接以控制通信;以及至少一个子例程(300,400),包括在所述控制电路中,并且用于当连接有线端口来使用时,自动地控制至少一个无线通信端口的使用,所述设备的特征在于所述子例程包括安全程序逻辑(302-306,402-406),用于对无需用户控制而施加的安全策略作出响应,以便当连接所述至少一个有线端口用于通信时,自动禁用所述至少一个无线端口。
2.根据权利要求1所述的移动无线通信设备,其中所述安全程序逻辑根据驻存在所述控制电路内的IT策略,来实现所述自动控制。
3.根据权利要求2所述的移动无线通信设备,其中所述安全程序逻辑通过调用和利用所述至少一个无线通信端口的API,来实现所述自动控制。
4.根据权利要求1所述的移动无线通信设备,其中所述至少一个有线通信端口包括包含在底座中的USB端口,所述底座用于当所述USB端口有线连接到基本单元时,支持所述移动无线通信设备。
5.根据权利要求1所述的移动无线通信设备,其中所述安全程序逻辑当感测到新的有线连接时,禁用所述无线端口;而当感测到新的有线连接断开时,启用所述无线端口。
6.一种移动无线通信设备(100)的控制方法,所述设备包括多个通信端口,所述多个通信端口包含至少一个无线端口(1,N)和至少一个有线端口(40);计算机驱动控制电路(106),通过所述多个端口中的任一个连接以控制通信;以及至少一个子例程(300,400),包括在所述控制电路中,并且用于当连接有线端口来使用时,自动地控制至少一个无线通信端口的使用,所述方法的特征在于当对无需用户控制而施加的安全策略作出响应,连接所述至少一个有线端口用于通信时,自动禁用所述至少一个无线端口。
7.根据权利要求6所述的方法,其中所述安全程序逻辑依照驻存在所述控制电路内的IT策略,来实现所述自动控制。
8.根据权利要求7所述的方法,其中所述安全程序逻辑通过调用和利用针对所述至少一个无线通信端口的API,来实现所述自动控制。
9.根据权利要求6所述的方法,其中所述至少一个有线通信端口包括包含在底座中的USB端口,该底座用于当该USB端口有线连接到基本单元时,支持所述移动无线通信设备。
10.根据权利要求6所述的方法,其中所述安全程序逻辑当感测到新的有线连接时,禁用所述无线端口;而当感测到新的有线连接断开时,启用所述无线端口。
11.一种数字存储媒体,包含用于控制移动无线通信设备(100)的计算机程序,该设备包括多个通信端口,所述多个通信端口包含至少一个无线端口(1,N)和至少一个有线端口(40);计算机驱动控制电路(106),通过所述多个端口中的任一个连接到控制通信;以及至少一个子例程(300,400),包括在所述控制电路中,并且用于当连接有线端口来使用时,自动地控制至少一个无线通信端口的使用,当执行所述程序时实现了一种方法,其特征在于当对无需用户控制而施加的安全策略作出响应,连接所述至少一个有线端口用于通信时,自动禁用所述至少一个无线端口。
12.根据权利要求11所述的数字存储媒体,其中所述安全程序逻辑依照驻存在所述控制电路内的IT策略,来实现所述自动控制。
13.根据权利要求12所述的数字存储媒体,其中所述安全程序逻辑通过调用和利用针对所述至少一个无线通信端口的API,来实现所述自动控制。
14.根据权利要求11所述的数字存储媒体,其中所述至少一个有线通信端口包括包含在底座中的USB端口,该底座用于当该USB端口有线连接到基本单元时,支持所述移动无线通信设备。
15.根据权利要求11所述的数字存储媒体,其中所述安全程序逻辑当感测到新的有线连接时,禁用所述无线端口;而当感测到新的有线连接断开时,启用所述无线端口。
全文摘要
一种移动无线通信设备,还具有至少一个有线通信端口。通过允许该设备在连接到有线端口时自动禁用一个或多个无线端口,来实现增强安全。这些自动控制的特定组合/置换,可以通过使用驻存在该设备中的IT策略来实现。
文档编号H04L12/24GK1798081SQ200510129109
公开日2006年7月5日 申请日期2005年10月28日 优先权日2004年10月29日
发明者迈克尔·G·柯卡普, 迈克尔·K·布朗, 赫伯特·A·利特尔, 兰·罗伯逊, 迈克尔·S·布朗 申请人:捷讯研究有限公司