用于设备辅助的服务的安全技术的制作方法

专利名称：用于设备辅助的服务的安全技术的制作方法
用于设备辅助的服务的安全技术其他申请的交叉引用本申请要求以下美国临时专利申请的优先权于2009年1月观日提交的、题为 "SERVICES POLICY COMMUNICATION SYSTEM AND METHOD” 的第 61/206，354 号(代理人卷号RALEP001+)的美国临时专利申请、于2009年2月4日提交的、题为"SERVICES POLICY COMMUNICATION SYSTEM AND METHOD”的第 61/206，944 号(代理人卷号 RALEP002+)的美国临时专利申请、于2009年2月10日提交的、题为"SERVICES POLICY COMMUNICATION SYSTEM AND METHOD”的第61/^207,393号(代理人卷号RALEP003+)的美国临时专利申请、于2009 年 2 月 13 日提交的、题为"SERVICES POLICY COMMUNICATION SYSTEM AND METHOD” 的第 61/207，739号(代理人卷号RALEP004+)的美国临时专利申请、以及于2009年10月15日提交的、题为"SECURITY TECHNIQUES FOR DEVICE ASSISTED SERVICES” 的第 61/252，151 号(代理人卷号RALEP025+)的美国临时专利申请，这些美国临时专利申请以引用的方式被并入本文以用于所有目的。该申请是于2009 年 3 月 2 日提交的、题为"AUTOMATED DEVICE PROVISIONING AND ACTIVATION”的第12/380，780号(代理人卷号RALEP007)共同未决的美国专利申请的部分后续申请，其以引用的方式被并入本文以用于所有目的，并且该申请要求以下美国临时专利申请的优先权于2009年1月28日提交的、题为"SERVICES POLICY COMMUNICATION SYSTEM AND METHOD”的第61Λ06，3 号(代理人卷号RALEP001+)的美国临时专利申请、 于 2009 年 2 月 4 日提交的、题为"SERVICES POLICY COMMUNICATION SYSTEM AND METHOD” 的第61/206，944号(代理人卷号RALEP002+)的美国临时专利申请、于2009年2月10日提交的、题为"SERVICES POLICY COMMUNICATION SYSTEM AND METHOD” 的第 61/207，393 号(代理人卷号RALEP003+)的美国临时专利申请、以及于2009年2月13日提交的、题为 "SERVICES POLICY COMMUNICATION SYSTEM AND METHOD”的第 61Λ07，739 号(代理人卷号 RALEP004+)的美国临时专利申请，这些美国临时专利申请以引用的方式被并入本文以用于所有目的。发明的背景随着大量市场数字通信、应用和内容分发技术的出现，在例如EVDO(演进数据优化)、HSPA (高速分组接入)、LTE (长期演进)、WiMax (微波接入全球互通)、DOCSIS、DSL和 Wi-Fi (无线保真技术)变为用户容量受限的情况下，由于用户容量推动了诸如无线网络、 电缆网络和DSL(数字用户线)网络等很多接入网。在无线的情况下，虽然网络容量将随着诸如ΜΙΜ0(多输入多输出)等新的更高容量的无线的无线接入技术并且随着将来部署的更多的频谱和小区分裂而增加，但是这些容量增益很可能小于满足不断增长的数字联网需求所需的容量增益。类似地，虽然与无线接入网相比，诸如电缆和DSL等有线接入网的每个用户可以具有更高的平均容量，但是有线用户业务消耗习惯正趋向于可以快速地消耗可用的容量并且降低整个网络服务体验的非常高的带宽的应用和内容。因为服务供应商的一些部件的成本随着带宽的增加而提高，因此该趋势也将不利地影响服务供应商的收益。
附图的简要说明在下面的详细描述和附图中，公开了本发明的各种实施方式。

图1图解了根据某些实施方式用于设备辅助的服务的安全的执行环境。图2图解了根据某些实施方式用于设备辅助的服务的另一安全的执行环境。图3图解了根据某些实施方式用于设备辅助的服务的另一安全的执行环境。图4图解了根据某些实施方式用于设备辅助的服务的另一安全的执行环境。图5图解了根据某些实施方式用于设备辅助的服务的另一安全的执行环境。图6图解了根据某些实施方式用于设备辅助的服务的另一安全的执行环境。图7图解了根据某些实施方式用于设备辅助的服务的另一安全的执行环境。图8图解了根据某些实施方式用于设备辅助的服务的另一安全的执行环境。图9图解了根据某些实施方式用于设备辅助的服务的另一安全的执行环境。图10图解了根据某些实施方式用于设备辅助的服务的另一安全的执行环境。图11图解了根据某些实施方式用于设备辅助的服务的另一安全的执行环境。详细说明可以使用多种方式来实现本发明，所述方式包括过程、装置、系统、物质的组成、包含在计算机可读存储介质上的计算机程序产品；和/或处理器，例如被配置为执行存储在耦合到处理器的存储器上的和/或由该存储器提供的指令的处理器。在本说明书中，这些实现或本发明可以采用的任何其它形式可以称作技术。通常，在本发明的范围内，可以改变所公开的过程的步骤的顺序。除非专门声明，否则诸如处理器或存储器等被描述为被配置为执行任务的部件可以实现为被暂时配置为在给定的时间执行该任务的通用部件或者被制造以执行该任务的专用部件。本文所使用的术语“处理器”是指被配置为处理诸如计算机程序指令等数据的一个或多个设备、电路和/或处理内核。下面与图解本发明的原理的附图一起提供本发明的一个或多个实施方式的详细描述。结合这些实施方式对本发明进行了描述，但是本发明不限于任何实施方式。本发明的范围仅由权利要求限制，并且本发明包括大量替换、修改和等价物。为了提供对本发明的全面理解，在下面的描述中阐述了大量具体的细节。为了举例的目的而提供这些细节，并且可以在没有这些具体细节中的一些或全部的情况下根据权利要求来实施本发明。为了清楚起见，没有对与本发明有关的技术领域中已知的技术材料进行详细描述，以便不会使本发明产生不必要的模糊。在某些实施方式中，提供了用于设备辅助的服务的安全技术。在某些实施方式中， 提供了用于设备辅助的服务的安全的服务测量和/或控制执行分区技术。在某些实施方式中，提供了用于设备辅助的服务的安全执行环境。在某些实施方式中，提供了用于设备辅助的服务的安全堆栈。在某些实施方式中，提供了用于设备辅助的服务的安全存储器。在某些实施方式中，提供了用于设备辅助的服务的安全调制解调器(如在该调制解调器/调制解调器驱动器和服务处理器和/或在该设备上的代理，诸如通信设备或中间联网设备之间提供安全通信链接)。在某些实施方式中，提供了用于设备辅助的服务的一个或多个安全监视点。在某些实施方式中，提供了用于设备辅助的服务的带有验证的一个或多个安全监视点(如安全的监视点可以提供在调制解调器中，该调制解调器安全地与CPU/处理器中的安全的执行环境进行通信，该CPU/处理器则可以验证这种服务使用测量)。在某些实施方式中，提供了用于设备辅助的服务的安全总线。在某些实施方式中，提供了用于设备辅助的服务的在CPU/处理器中的安全执行环境。在某些实施方式中，提供了对用于设备辅助的服务的安全执行环境的安全访问(如从该堆栈底部的安全通信，诸如调制解调器驱动器，它要求提供访问受该设备上的服务处理器或安全代理控制的总线的证书，且在该总线上的信号是加密的)。在某些实施方式中，利用各种硬件分区技术(如在该CPU/处理器中的安全存储器、安全调制解调器、安全存储器分区)，提供了用于设备辅助的服务的各种安全执行环境，如本文所描述的。在某些实施方式中，设备辅助的服务(DAS)提供一个或多个的基于设备的服务使用测量、服务使用策略实施、服务使用结账、服务使用控制、以及在各种实施方式中所描述的辅助、替换、和/或增加基于网络的功能的任何一种其他功能。例如，各种DAS实施方式执行下列功能中的一个或多个便利或控制对一个或多个接入服务网络的激活；测量在一个或多个接入网络上的访问和/或服务使用；控制在一个或多个接入网络上的访问和/或服务使用；解释在一个或多个接入网络上的不同类型的服务使用；实施服务质量(QOS)控制、收集和报告QOS流量需求、汇集多设备QOS要求报告以评估总网络QOS需求的测量，和 /或便利QOS资源分配；和/或便利接入网络之间的漫游。如关于各种实施方式如所描述的，有用于DAS的更多的功能和实施方式。在某些实施方式中，执行实现各种DAS实施方式的各种程序/功能元件在本文被称作DAS代理或设备辅助的服务代理，或在某些实施方式中，采用了在特定例子中更具描述性的更具体的术语。在某些实施方式中，设备辅助的服务代理功能包括服务测量和/或服务测量记录和/或服务测量报告(如针对服务控制器、设备、用户、或其它设备代理)和 /或服务测量同步(如在设备和网络之间)。在某些实施方式中，设备辅助的服务代理功能包括服务使用控制和/或服务使用控制策略设定。在某些实施方式中，服务使用控制包括一个或多个网络授权、网络认证、网络许可、访问控制、服务使用活动分类、准许或不准许一个或多个服务使用活动和一个或多个服务使用活动的流量整形。在某些实施方式中，设备辅助的服务代理功能包括下列各项的一个或多个报告服务使用给网络中的QOS控制元件，从网络接收QOS分配，报告QOS分配给网络，和/或与网络中的QOS服务保留元件进行通信。在某些实施方式中，设备辅助的服务代理功能包括基于下列一个或多个标准在该设备上实施的一个或多个QOS服务控制服务使用活动的公平排队，基于分配的服务使用活动的QOS等级的有区别的Q0S，来自网络的对一个或多个服务使用活动的服务使用活动QOS分配，来自网络的对一个或多个服务使用活动的服务使用活动策略的指示。在某些实施方式中，服务控制链接被用于在设备辅助的服务代理和设备控制器之间的通信。在某些实施方式中，该服务控制链接是安全链接(如加密的通信链接)。在某些实施方式中，设备辅助的服务代理功能包括设备辅助的服务系统通信、测量和/或记录和/或报告和/或同步服务测量、观察关于服务控制完整性的通信信息、通信关于服务控制策略指示和/或设置、或更新设备辅助的软件和/或代理设置的信息。在某些实施方式中，设备上的设备辅助的服务包括如下服务测量、服务控制、用户接口和使用报告、用户策略选择、接受策略指令、提供以防止非法侵入、恶意软件、错误的受保护的执行分区、以及其它安全技术。在某些实施方式中，服务器上的设备辅助的服务包括如下一个或多个设置策略、设置配置、安装/升级代理、检查使用与策略、检查代理的正确操作、同步从网络到设备的使用、以及其它验证技术。例如，当检测到在策略执行中的错误时，服务器可以采取进一步观察、检疫或暂停该设备的行动。在某些实施方式中，控制服务器/控制服务网络元件从设备接收服务测量。在某些实施方式中，控制服务器/控制服务网络元件从网络接收服务测量。在某些实施方式中， 控制服务器/控制服务网络元件跨越多个网络设定策略和管理服务(例如，虽然在各个图中只示出了一个调制解调器，但多个调制解调器可以被用于带有连续的服务使用测量、服务控制、QOS控制、UI (用户接口)、用户爱好、用户使用报告、和/或跨不同网络的其它设置 /控制)。在某些实施方式中，流量类型涉及下列中的一个或多个尽力网络流量、实时流量 (例如，诸如VOIP的现场直播声音、现场直播视频等等)，流传输流量、多址传送流量、单址传送流量、点对点流量、文件型、与应用相关的流量、实时流量、具有分配的优先权的流量、 不具有分配的优先权的流量、和用于某个网络的流量。在某些实施方式中，服务使用活动涉及通过设备的服务使用。在某些实施方式中， 服务使用活动可以是一个或多个到接入网络的连接、到网络上的某个目标、URL或地址的连接、通过一个或多个应用到网络的连接、某些类型的流量传输、基于交易的服务类型、基于广告的服务类型、或下列中的一个或多个的结合应用类型、网络目标/地址/URL,流量类型、和交易类型。在某些实施方式中，为保护执行设备辅助的功能的功能的设备辅助的服务代理/ 功能性元件的保护，提供有在CPU(中央处理单元)、APU(辅助的处理器单元)，或另一基于硬件的处理器上的受保护的执行分区。例如，这种在CPU、APU、或其它处理器中的硬件保护的执行分区能力，可以在某些实施方式中与OS软件功能或其它本地模式的软件功能相结合以创建如本文所描述的安全的程序执行分区。在某些实施方式中，术语“主机”用于描述执行设备应用和联网堆栈的硬件、固件和/或软件系统。在某些实施方式中，某些设备辅助的服务代理/功能是在调制解调器的执行分区环境中实施的。图1说明根据某些实施方式用于设备辅助的服务的安全执行环境100(如，用于通信设备)。如图1中所示，设备执行环境包括用于通信设备的程序/功能性元件(如，通信设备可以是中间联网设备，诸如3G/4GWWAN到WLAN桥/路由/网关、超小型基站、DOCSIS 调制解调器、DSL调制解调器、远程访问/备份路由器、以及其它中间网络设备，或移动通信设备，诸如移动电话、PDA、电子书阅读器、音乐设备、娱乐/游戏设备、计算机、膝上型计算机、上网本、平板电脑、家庭网络系统、和/或任何其它的移动通信设备)，所述通信设备利用调制解调器子系统1#(125)通过N#(127)连接到一个或多个接入网络1#(136) —直到 N#(138)。在某些实施方式中，通信设备包括多个程序执行分区。如图1中所示，提供了四个执行分区应用执行分区102，其中，例如应用程序在执行；内核执行分区112，其中，例如较低级的驱动器和基本的低级OS程序在执行；受保护的设备辅助的服务(DAQ执行分区 114(也称作受保护的DAS分区)，其中，在某些实施方式中，设备辅助的服务代理和/或功能的某些或全部在执行；以及调制解调器分区124，其中，例如调制解调程序元件在执行， 以及在某些实施方式中，设备辅助的服务代理和/或功能的某些或全部在执行。在某些实施方式中，这些分区的每一个针对不同的软件功能被优化，每一个都为程序提供了基本的器、CPU或APU或调制解调器处理器执行资源、高级和/或低级0S，存储器管理、文件存储、I/O设备资源(如用户接口(UI)、外围设备等等)、网络通信堆栈、其它设备资源、和/或被要求或用于程序操作的其它资源。这些用于CPU或APU的硬件和软件资源有时在本文称为术语“主机”。如图所示，图1图解了应用执行分区102和内核执行分区112，它们被示出为设备执行环境中的分离的分区。例如，这种分离基于这样的方式，其中在几个不同的流行的操作系统(OS)(如windows、UNIX、Linux、MAC OS、某些移动设备OS、某些嵌入式设备OS、等等) 的背景中，“内核程序”(如驱动器和网络堆栈，等等)在与“应用程序”(如浏览器、文字处理器、用户界面，等等)相比时通常得到支持。在某些实施方式中，没有要求这些功能分离， 而在某些实施方式中，其它功能分离得到支持。如图1中所示，受保护的设备辅助的服务代理，诸如受保护的DAS分区设备辅助的服务代理110，在受保护的DAS分区114中执行，而未保护的设备辅助的服务代理和/或OS 联网堆栈元件和应用(如应用106A到106C)在安全的设备辅助的服务执行分区114外执行，诸如应用分区设备辅助的服务代理104和OS联网堆栈和/或内核分区设备辅助的服务代理108。例如，受保护的DAS分区114可以使得黑客、恶意软件、或系统错误难以损害、攻击或改变该设备(如通信设备)上的设备辅助的服务测量、服务策略实施或服务使用控制操作。在某些实施方式中，受保护的DAS分区114不需要支持对所有程序和OS部件的开放访问，使得保护可以更加容易。同样，如图所示，在应用执行分区102中的总线驱动器116 提供与调制解调器总线102的通信，该调制解调器总线102与调制解调器执行分区124中的总线驱动器121通信。受保护的DAS分区也包括主机服务控制链接118，它便于与如图所示的主机安全信道进行通信。在某些实施方式中，受保护的DAS分区114是在主设备上的受保护的执行分区，该主设备受到主机中的某些配置(如安全的虚拟执行环境或分离的硬件安全功能)支持。例如，这个受保护的执行分区可以用于对设备辅助的服务使能的设备提供增加的服务测量完整性和/或服务控制完整性。在某些实施方式中，如本文所描述的，操作系统(OS)也在为设备辅助的服务的安全操作建立受保护的执行分区中起作用，以及，在某些实施方式中，这个作用由本地软件或固件在安全硬件元件上的运行来实现。在某些实施方式中，负责维护服务控制完整性的DAS代理在受保护的DAS分区114 中执行。例如，受保护的DAS分区设备辅助的服务代理110可以包括下列各项中的一个或多个一个或多个服务使用测量功能；某些或全部由设备辅助的服务系统监视或控制的设备联网堆栈功能；连接到OS联网堆栈以观察或控制堆栈流量的设备驱动器；访问控制完整性功能；服务策略控制功能；服务UI功能；应用识别功能，和/或通过应用、地址/URL和/ 或流量类型的结合以划分服务使用活动的功能；调制解调器总线驱动功能；和/或调制解调数据加密功能以阻止其它未授权的程序通过直接访问堆栈周围的调制解调器来绕过设备辅助的服务测量和/或控制。在某些实施方式中，系统设计员或一套给定的设计准则确定各种描述的设备辅助的代理功能中的哪一个应该在受保护的DAS分区114中执行，以便为系统增强服务控制完整性。在某些实施方式中，设备操作系统提供除了在操作系统中可用的传统安全特性外的受保护的DAS分区114。在某些实施方式中，受保护的DAS分区114提供带有增加的程序执行保护的执行分区，在该执行分区中，例如，服务测量和/或服务控制程序(代理)可以在提供更高的访问控制完整性的模式中执行(如正确的服务使用报告和/或服务测量和 /或带有增强的防护攻击、错误、恶意软件等等的服务控制系统操作)。在某些实施方式中， 硬件辅助的安全执行分区为设备辅助的服务代理功能提供增强的程序执行保护。在某些实施方式中，服务控制链接(如通过主机安全信道150到网络服务控制链接152的主机服务控制链接118)被用于在设备辅助的服务代理和服务控制器122之间的通信。在某些实施方式中，服务控制链接是安全的链接(如加密的通信链接)。在某些实施方式中，加密的安全控制链接可以在网络堆栈(如TCP、HTTP、TLS等等)的较高层上实施， 以及在某些实施方式中，加密的链接可以在网络堆栈中的较低层上实施，诸如IP层或接入网络层(如WWAN设备管理信道或信号层)。在某些实施方式中，服务控制链接安全至少部分地由该设备和服务控制器122之间的加密链接信号提供。在某些实施方式中，服务控制链接安全至少部分地通过在受保护的DAS分区114中运行服务控制链接设备侧程序代理来提供。在某些实施方式中，服务控制链接安全至少部分地通过限制到某种设备辅助的服务代理的服务控制链接的访问来实现，所述设备辅助的服务代理被允许与服务控制器122通信。在某些实施方式中，被允许与服务控制链接进行通信的代理利用加密的通信执行这种通信。在某些实施方式中，加密的通信采用该设备上的安全的代理之间的通信总线完成。在某些实施方式中，在受保护的DAS分区114中执行的用于改变某些设备辅助的服务的处理器代理的操作配置、执行代码、执行指令和/或设置的唯一机制是通过该服务控制链接。在某些实施方式中，在受保护的DAS分区中执行的用于改变任何程序要素的唯一机制是通过服务控制链接，从而只有服务控制器122可以为位于服务测量和/或服务控制执行分区中的代理修改操作或服务策略设置。如图1中所示，在服务控制器122中提供了各种服务器功能。在某些实施方式中， 服务历史服务器158从一个或多个设备DAS代理和/或从可能的基于网络的服务使用数据库的各种资源收集服务使用测量，所述基于网络的服务使用数据库诸如接入网络服务使用 142(如承载收费数据记录(OTR)系统)、专用网络服务使用144(如MVNO或企业网路服务使用记帐系统)、和/或账单、调解服务使用日志、和解(reconciliation) 148(如服务提供商账单或调解系统)。在某些实施方式中，访问控制完整性服务器156被用于比较各种访问控制验证检查以保证设备辅助的服务代理没有被损害。在执行这些完整性检查的访问控制完整性服务器156中使用的各种实施方式，针对各种实施方式进行了描述。某些实施方式包括对基于设备的服务使用测量，与假如期望的服务策略被正确地实施应该得到的服务使用进行比较；将基于设备的服务使用测量与假如期望的服务策略被正确地实施于基于设备的服务使用测量时应该得到的服务使用相比较，所述基于设备的服务使用测量在受保护的 DAS分区114和/或调制解调器执行分区124中执行；将基于网络的服务使用测量与假如期望的服务策略被正确地实施应该得到的服务使用相比较；及将基于网络的服务使用测量与基于设备的服务使用测量相比较。在某些实施方式中，策略控制服务器1 存储可以在设备上实施的各种服务方案的策略设置，以及将合适的策略设置传送到合适的设备DAS代理。在某些实施方式中，例如，通过硬件增强的执行分区和进入受保护的DAS分区114 的安全信道，服务控制器122具有到服务测量、服务控制设置、软件镜像、软件安全状态、和/或其它设置/功能的安全访问。例如，主机安全信道150可以利用公共的/私有的或点对点私有的密钥被加密。同样，例如其它链接安全，可以如本文所描述的被实施。例如，服务器可以保证链接保持为经认证的和信息是有效的。例如，服务控制器可以执行一个或多个下列验证技术将被监视的服务使用与策略相比较、将被监视的服务使用与其它服务使用测量相比较和/或与各种其它的网络服务使用测量结合在一起。在某些实施方式中，受保护的DAS分区114包括如图1中所示的主机服务控制链接118，它配合网络服务控制链接152工作，即它与网络服务控制链接152通信以通过主机安全信道150在服务控制器和主机之间发送和接收安全信息。在某些实施方式中，受保护的DAS分区114仅从服务控制器122接受新的程序镜像，而不从本地程序或磁盘接受新的程序镜像。在某些实施方式中，受保护的DAS分区114不能与其它应用和/或内核程序通信。在某些实施方式中，受保护的DAS分区114也可以与其它应用和/或内核程序通信，但仅仅为了收集信息或设定设置。在某些实施方式中，受保护的DAS分区也可以与其它应用和/或内核程序通信，但仅仅通过受限制的加密的通信总线，该通信总线限制外部程序访问受保护的程序或代理功能，也可以限制在受保护的分区内部的代理接受来自该受保护的分区外的程序的未授权的信息或代码修改。各种其它的安全技术也可以提供DAS执行环境，对本领域的技术人员来说，通过参考此处所描述的实施方式这将是显然的。在某些实施方式中，受保护的DAS分区114通过使用除了由操作系统和/或其它软件提供的其他软件安全特性(如虚拟执行分区)之外或替代物外，可以采用CPU或APU 硬件安全特性来创建。在某些实施方式中，主机硬件安全特性提供有操作系统安全内核操作模式。在某些实施方式中，用于安全的设备辅助的服务执行分区操作的主机硬件安全特性独立于操作系统内核(如，在独立的安全程序区域中的安全程序分区中执行，该安全程序区域不被无法访问该分区的OS和/或软件直接控制)在某些实施方式中，支持受保护的DAS分区114的硬件安全特性包括防止该设备上的其它元件写入和/或读取为设备辅助的服务代理和/或控制链接功能保留的某些存储器区域。在某些实施方式中，这种存储器保护功能通过将存储器定位在安全的硬件分区中来完成，该硬件分区不能被未授权的设备程序元件(例如，在主机CPU中的隔离的存储器空间的单独的库)访问。在某些实施方式中，这种存储器保护功能包括加密到和自存储器的信号，使得只有授权的设备程序元件拥有访问该存储器的相应的加密能力。在某些实施方式中，访问设备辅助的服务代理存储器和/或某些数据元件的机制，通过服务服务控制链接被限制于授权的设备辅助的服务代理和/或服务控制器，使得该设备上的未授权的程序元件不能改变设备辅助的服务代理代码和/或操作。在某些实施方式中，支持受保护的DAS分区114的硬件安全特征包括防止该设备上的未授权元件访问受保护的存储器和/或文件存储器(如“受保护的存储器”，诸如磁盘存储器、非易失性存储器、嵌入式非易失性存储器，诸如NVRAM、闪存或NVR0M，安全地嵌入的非易失性存储器、和/或其它类型的存储器)，它被用于存储设备辅助的服务代理程序。 在某些实施方式中，该受保护的存储器被保持在也执行一个或多个设备辅助的服务代理的安全硬件分区中，使得只有授权的设备辅助的服务代理可以访问该存储器位置。在某些实施方式中，存储在这种受保护的文件存储器中的镜像必须为引导加载程序适当地加密和签名以授权加载设备辅助的服务代理程序到执行存储器中，以及在某些实施方式中，如果该镜像未被正确地签名，那么将产生访问控制完整性错误和/或程序不被加载。在某些实施方式中，这种正确地签名的DAS镜像只能从服务控制器得到。在某些实施方式中，这种DAS 镜像只能由服务控制器加载到受保护的文件存储器中。在某些实施方式中，防止设备上的未授权的元件访问受保护的文件存储器的硬件安全特征，包括加密到和自安全存储器的信号(traffic)，使得仅仅授权的设备程序元件拥有访问该存储器的相应的加密能力。在某些实施方式中，再编程设备辅助的服务代理程序存储的访问或访问权利，通过服务控制链接被限制在服务控制器，使得在该设备上的未授权的程序元件，不能被授权去改变设备辅助的服务代理代码和/或操作。在某些实施方式中，保护设备辅助的服务代理存储器的硬件安全特征包括受保护的DAS分区，其中访问控制完整性代理功能与其它设备程序元件隔离，且安全服务控制链接也以类似的方式被隔离，而访问控制完整性代理扫描由一个或多个设备辅助的服务代理使用以测量和/或控制服务的执行存储器、数据存储器和/或文件存储器。在某些实施方式中，扫描的目的是检测设备辅助的服务代理代码和/或数据的变化。在某些实施方式中， 扫描的目的是检测其他未授权的程序元件或数据，它们可能存在于用于设备辅助的服务代理执行的保留的或受保护的区域中。在某些实施方式中，这种扫描审计的报告通过服务控制链接报告给服务控制器以利用基于云的资源做进一步处理，以识别访问控制完整性的破坏(violation)。在某些实施方式中，访问控制完整性代理功能包括以下功能中的一个或多个散列(hashing)其它设备辅助的安全代理、查询其它设备辅助的安全代理、观察其它设备辅助的安全代理的操作或监视服务测量，以及然后要么在本地设备上评估该结果以确定它们是否属于预先定义的允许参数或经过服务控制链接，发送至少某些结果到服务控制器以供进一步的分析。在某些实施方式中，该扫描审计与扫描的早期版本相比较，以比较代码结构或操作的特性。在某些实施方式中，该扫描审计被与应该存在于DAS代理中的用于代码或操作特性的已知数据库相比较。在某些实施方式中，访问控制完整性代理，或访问控制完整性代理的新版本可以由服务控制器通过安全的服务控制链接下载。例如，在对安全的设备辅助的服务代理的破坏或损害已经发生的情况下，这种技术提供如上描述的设备服务控制安全性状态的实时评估。在某些实施方式中，下载的访问控制完整性代理可以具有与先前下载到该设备上的任何代理不同的配置和/或操作，使得黑客或恶意软件难于或不可能在短时间内欺骗该代理的操作。例如，通过要求该代理在短于欺骗该代理所需的时间的一段时间内将安全评估报告回该服务器，如果设备辅助的服务系统已经被破坏或损害，代理将会要么报告回设备状态的精确评估，要么被黑客或恶意软件阻止，而这两种情况可以提供采取行动所要求的信肩、ο在某些实施方式中，受保护的DAS分区和/或调制解调器执行分区，可以被用于安全地存储某些或全部的设备证书，所述设备证书用于一个或多个的设备组的联合、激活、到该接入网络和/或DAS网络的授权、服务级别、和服务使用记帐和/或计费。在某些实施方式中，该调制解调器子系统也包括增强DAS系统的访问控制完整性的DAS元件。如图1中所示，在某些实施方式中，一个或多个调制解调器，可以包括标记为调制解调器分区DAS代理126的DAS代理功能。调制解调器执行分区124的调制解调器子系统1#(125)的调制解调器执行分区124，包括与调制解调器1 和调制解调器服务控制链接130进行通信(如安全通信，诸如采用加密的通信)的调制解调器分区DAS代理126， 如图所示，调制解调器服务控制链接130又通过调制解调器安全信道1#(132)与网络服务控制链接152通信。同样，调制解调器1 与接入网络1# (136)通信(如安全通信，诸如采用加密的通信)，接入网络1#(136)与接入网络服务使用142和因特网140进行通信，因特网140与专用网络146进行通信，专用网络146与专用网络服务使用144进行通信，如图所示。用于在调制解调器执行分区中执行的DAS代理功能的示例性实施方式包括调制解调器加密和调制解调器服务使用测量。在其它实施方式中，调制解调器执行分区也可以包括较高级别的DAS代理功能，诸如堆栈信号分类、堆栈操作、访问控制、和/或流量控制。 例如，调制解调器执行分区也可以包括完整的服务处理器，它完全能够管理服务使用测量和/或服务控制的所有方面。例如，调制解调器执行分区可以利用许多在受保护的DAS分区的背景中所描述的服务安全实施方式，以增强DAS系统的服务完整性，这对于本领域的普通技术人员来说是显而易见的。例如，在调制解调器上的DAS代理可以用加密和签名的格式存储在调制解调器上的非易失性(NV)存储器上，该调制解调器上的非易失性存储器只有经过从受保护的DAS分区到调制解调器执行分区的网络服务控制链接或本地安全控制链接才是可访问的。如图1中所示，提供了完全不同于主机安全控制信道150的单独的安全的调制解调器控制信道(如，调制解调器安全信道1#(132)到调制解调器安全信道 N#(134))。这个单独的调制解调器控制信道可以在设备的较高网络层或在较低的接入网络层上实现，使得需要接入网络资源的专用通道甚至连接到调制解调器DAS代理126，从而进一步增强与服务控制相关的安全性。在某些实施方式中，受保护的DAS分区提供执行亲本控制(parental control)、 企业WffAN管理控制或漫游控制、和/或在受保护的执行空间的使用报告所要求的DAS代理功能。鉴于本文所描述的DAS实施方式，如何为这些各种的和其它的应用场景实施这种受保护的控制，对于本领域的普通技术人员来说是显而易见的。在某些实施方式中，受保护的DAS分区提供在安全机器的上面运行虚拟机(VM)。 由无需特别许可就可安装的软件可访问的设备应用0S，可以与安全硬件和/或在VM下运行的OS分开。利用这些技术，恶意软件可以在VM OS上被“封存在内”而不是“隔离在外”，如关于本文所描述的各种实施方式所讨论的。在某些实施方式中，在受保护的DAS分区之外的程序/功能性元件与受保护的DAS 分区内的DAS代理之间的通信由安全的加密信道控制。在某些实施方式中，仅仅可以与DAS 代理通信的程序/功能被允许这样做，并且，在某些实施方式中，甚至这些外部程序也不允许修改DAS代理的配置，仅仅允许报告信息和/或接收信息。例如，各种实施方式可以用于通过多个调制解调器连接到多个接入网络，每个调制解调器潜在地与相应于所支持的不同类型的接入网络的不同的DAS策略的集合相关联。 在某些实施方式中，诸如对于3G/4G的调制解调器、WWAN/WLAN调制解调器、以及各种的其它多个调制解调器实施方式，该多个调制解调器也可以提供在同样的多模调制解调器子系统上，而不是提供在不同的调制解调器子系统上。在某些实施方式中，本文描述的各种技术和实施方式，可以被容易地应用到中间联网设备，这对于本领域的普通技术人员来说将是显而易见的。例如，中间联网设备可以包括用于管理、控制和/或测量用于通过中间联网设备与无线网络相通信的一个或多个设备的服务使用的一些或所有的DAS代理，在该中间联网设备中，可以利用本文所描述的各种技术在安全的执行环境或安全的执行分区中执行DAS代理。在某些实施方式中，中间联网设备包括，例如，WWAN/WLAN桥，路由器和网关，带有WWAN/WLAN或WffAN/蓝牙、WWAN/LAN或 WWAN/WPAN功能的蜂窝电话，超小型基站，用于有线接入路由器的备份卡、以及其它形式/ 类型的中间联网设备。图2图解了根据某些实施方式的用于设备辅助的服务的另一安全的执行环境 200。特别地，图2图解的实施方式中DAS代理实际上不代替OS网络堆栈元件，而是一个或多个DAS代理包括接口到网络堆栈中并通过(如，安全地通信)流量信息或往来于堆栈的实际流量的设备驱动器程序。如图2中所示，这些设备驱动器接口构件被标记为OS驱动器框架和接口 208。为DAS代理提供这类架构的示例性OS系统构件包括Windows NDIS和/ 或TDI驱动器、Windows滤波器平台(WFP)，伯克利包滤波器(Berkeley packet filter)、 ipfw(如，可被用于各种0S，诸如Unix、Linux、MAC OS的BSD包滤波器)，和/或执行这些或类似功能的其它平台/程序。虽然这些OS堆栈选项本身并不安全，如果与它们相连接的驱动器如在图2中所图解的，通过在受保护的DAS分区214中执行该驱动器被确保为安全的，那么可以实现更高的总的访问控制完整性/安全性级别。如图2中所示，在受保护的DAS分区214中执行的服务测量和/或策略控制驱动器210代表DAS驱动器，它连接到标明在内核执行分区212中执行的OS驱动器框架和接口 208的OS堆栈设备驱动器接口构件，OS驱动器框架和接口 208与OS堆栈API 207进行通信/连接。同样如图所示，诸如106A到106C的应用在应用执行分区202中执行。在某些实施方式中，服务访问控制完整性通过在网络堆栈外部放置附加的测量点进一步被增强， 因此，例如，如果网络堆栈服务使用报告被非法侵入、侵害、和/或遭受破坏，具有位于该设备上和/或网络中(例如，如图中所示的调制解调器代理226，它提供在该调制解调器中的服务测量点用于测量通过该设备的服务使用，并且也如图所示，利用调制解调器加密225 提供与调制解调器代理226的安全通信)的安全的附加的或备用的服务测量。例如，由显示在图2中的调制解调器代理226、调制解调器加密225、和/或调制解调器总线120功能提供的服务测量，可以在受保护的分区中执行(例如，如图2中所示的调制解调器执行分区 124可以利用本文所描述的各种技术被实施为安全或受保护的分区)。图3图解了根据某些实施方式用于设备辅助的服务的另一安全的执行环境300。 如图所示，某些堆栈元件在内核执行分区312中执行，而某些堆栈元件在受保护的DAS执行分区314中执行。在某些实施方式中，在应用执行分区302中执行的DAS代理104通过截取堆栈信号和采用附加的信号测量和/或滤波，来直接监视和/或控制堆栈信号。本文关于各种实施方式描述了这种技术的例子。如图3中所示，网络堆栈元件308是驻留在内核执行分区312中的OS堆栈元件，而受保护的DAS网络堆栈元件310是驻留在受保护的DAS 执行分区314中的堆栈元件。例如，由于某些或可能全部堆栈网络信号处理驻留在受保护的DAS执行分区314，高级服务控制完整性可以利用这些技术来维持。例如，调制解调器总线驱动器121可以在安全的执行分区中执行，诸如调制解调器执行分区324，它可以利用本文所描述的各种技术被实施为安全的执行分区，或调制解调器总线驱动器121可以在受保护的DAS执行分区314中执行，使得未授权的程序可以通过该调制解调器被阻止访问该接入网络。在某些实施方式中，整个堆栈在受保护的DAS执行分区中执行，仅仅堆栈API在内核执行分区312中执行。各种其它实施方式包括在受保护的DAS执行分区314中实施安全服务测量所需的最小量(如就许多代理和/或功能性而言)，该安全服务测量可以用于确认服务策略实施的完整性(如关于本文所公开的各种其它实施方式所描述的)。对本领域的普通技术人员来说将是显而易见的是，利用本文所描述的各种技术和/或与之相类似的技术，堆栈处理功能的各种结合，可以在安全的主执行分区中被实施，以增强DAS系统的服务测量和/或服务控制完整性。在某些实施方式中，在受保护的DAS执行分区中实施的堆栈元件可以包括堆栈 API、套接协议层、TCP、UDP、在堆栈中的一个或多个点的服务测量、IP层处理，VPN/IPSEC、 PPP、访问控制、流量分类、流量排队、流量路由、流量Q0S、报告给QOS分配服务器的流量需求、报告给QOS服务器的流量统计、流量QOS保留要求包括根据流量类型或应用类型或关于服务器的服务优先权、流量调节、流量统计汇总、流量QOS优先权识别、调制解调器驱动器、 调制解调器数据加密、和/或其它堆栈元件功能或特征。在某些实施方式中，上述讨论的服务控制机制由在服务控制链接上收到的来自服务器或其它授权的网络元件的策略要求控制。在某些实施方式中，设备也向服务器或其它授权的网络元件报告使用测量。在某些实施方式中，该设备也向服务器或其它授权的网络元件报告QOS需求和/或从服务器或其它授权的网络元件接受QOS指令。在某些实施方式中，设备报告流量统计，规划的流量需求、应用使用、规划的QOS需求可以全部报告给服务器或其它授权的网络元件，以便提供正确的数据带宽量和流量优先权给设备，而服务器或其它授权的网络元件从许多不同的设备汇总这种报告以规划整个网络所需要的分配，和做出总的承载信道级或基站级决定、承载信道分配和承载信道QOS分配决定，它们也可以被连接到承载信道供应(provisioning)、或承载信道QOS供应装置、或位于接入网络中的其它授权的网络元件。例如，如对于本领域的普通技术人员来说将是显而易见的，鉴于本文所描述的各种实施方式，附加的安全测量可以被加入某些实施方式以扩大安全的服务分区，例如，包括访问控制完整性检查。例如，除了可以从服务器或其它授权的网络元件接收到的服务控制策略指令外，可以存在中间策略控制代理以作出附加的关于应该实施何等即时的策略的较高级别的决定。如图3中所示，调制解调器控制链接被示出为调制解调器本地信道330，其提供从本地连接到主机服务控制链接118的链接，它依次通过主机安全信道150连接到服务控制器152。这种通信信道也可以被实施或配置成提供加密的通信，以及在某些实施方式中，可以被用作从调制解调器服务控制链接到网络服务控制链接的直接连接的替代方式，如关于其它图和本文所描述的各种实施方式所揭示的。如图3中所示，馈送或与调制解调器总线驱动器121进行通信的最终的堆栈元件， 是位于受保护的DAS执行分区314(在图3中图示为实线)中的受保护的DAS网络堆栈元件310，或在某些实施方式中，可以是位于内核执行分区312(在图3中图示为虚线)中的网络堆栈元件308。在某些实施方式中，这些最终的堆栈元件馈送或与调制解调器子系统125 进行通信。在某些实施方式中，例如，调制解调器子系统125包括加密的链接，使得在受保护的DAS执行分区中的堆栈元件310可以与调制解调器1 进行通信，但其他软件程序或硬件元件不能与调制解调器1 进行通信，例如，因此防止服务测量和/或控制被不适当地绕开或以其他方式被包围。例如并且如上述类似地讨论的，例如调制解调器子系统125，可以包括它自己的利用本文所描述的各种技术的受保护的执行分区。例如，调制解调器保护的执行分区，也可以包括服务测量(如，调制解调器代理2 可以在调制解调器子系统125 中提供这种服务测量点，如上面关于图2所类似地描述的)以增强如同由服务测量所描述的服务控制完整性验证。调制解调器服务测量可以包括在受保护的执行分区中，该执行分区只能被服务控制器122通过调制解调器本地信道133访问，或调制解调器服务测量只能被在受保护的执行分区314中的另一 DAS代理310访问。在某些实施方式中，调制解调器本地信道330被实现为安全信道(如在调制解调器服务控制链接130和主机服务控制链接 118之间的加密的通信信道)。如本文所描述的，调制解调器驱动器可以驻留在被保护的服务执行环境中，或调制解调器信号可以在服务执行环境内被加密。例如，加密设置可以由各种安全控制服务器控制。图4图解了根据某些实施方式用于设备辅助的服务的另一安全的执行环境400。 具体地，图4图解了由在被保护的DAS执行分区414中执行的DAS代理执行的直接堆栈操作选择，包括，如图所示的应用识别代理420、访问控制完整性代理422、策略控制代理424、 策略实施代理426、服务测量/服务监视代理428、调制解调器加密代理430、以及总线驱动器432。例如，策略实施代理似6根据一套服务控制策略执行访问控制和/或信号整形。例如，服务控制策略，可以由服务控制器122或由服务控制器122协调策略控制代理422来设定。如图所示，应用识别代理420与在应用执行分区中执行的各种应用106A到106C进行通信。同样如图所示，在应用执行分区402中执行的各种应用106A到106C与在内核执行分区412中执行的OS堆栈和/或堆栈API 408进行通信。在某些实施方式中，如图所示，被保护的服务测量代理428、调制解调器加密代理 430、调制解调器驱动器代理432、应用标识符代理420、访问控制完整性代理422、以及策略控制代理似4全部在被保护的DAS执行分区414中实施。在某些实施方式中，如对本领域的普通技术人员来说将是显而易见的，这些功能的子集在各种环境下可以在被保护的执行分区中实施，诸如被保护的DAS分区。图4也类似地示出了各种实施方式，它们对于基于网络的服务使用测量和连接到调停或计费系统都是可用的，且应该理解任何或所有这些实施方式和图都可以用于承载网络、MVN0、专用网络、或支持企业IT管理控制、亲本控制(parental control)、多网络控制、 和/或漫游控制的开放网络的环境中。图5图解了根据某些实施方式用于设备辅助的服务的另一安全的执行环境500。 具体地，图5类似于图4，只是图5图解了调制解调器服务控制链接132，它通过网络服务控制链接152(如，通过调制解调器安全信道)直接地连接到服务控制器122。在某些实施方式中，用于DAS的调制解调器控制链接在该本地设备上建立或通过完全不同的控制信道建立，在某些实施方式中，该控制信道提供如本文所描述的增强的安全性(例如，非法侵入该设备上不能被访问的服务使用测量或服务控制是非常困难的)。图6图解了根据某些实施方式用于设备辅助的服务的另一安全的执行环境600。 具体地，图6图解了策略实施代理616和OS堆栈API 608，前者包括在受保护的执行分区614中运行的整个网络堆栈，后者包括在内核执行分区612中的应用识别功能620。图7图解了根据某些实施方式用于设备辅助的服务的另一安全的执行环境700。 具体地，图7图解了 DAS代理，它不替换OS网络堆栈元件，而是一个或多个DAS代理由设备驱动器程序组成，该设备驱动器程序接口到网络堆栈中，且通过通信流量信息或往来于该堆栈的实际流量。这些设备驱动器接口构件被标记为图7中的OS驱动器框架和接口 722， 如类似地在图2中所示出和关于图2所描述的，与OS堆栈API 708 一起，它包括如上面参照图6所类似地讨论的应用标识符功能720，且在内核执行分区712中执行。同样，如图所示，应用分区DAS代理104在应用执行分区702中执行。在图7中的实施方式和显示在图2 中并参照图2所描述的实施方式之间的主要区别是，服务测量代理428、调制解调器加密代理430和调制解调器驱动器代理432在受保护的DAS分区714中执行，如图7中所示。例如，这提供了增强的服务控制安全性，如本文关于各种实施方式所描述的。图8图解了根据某些实施方式用于设备辅助的服务的另一安全的执行环境800。 具体地，图8图解了更简单的实施方式，它类似于图7的实施方式。在图8中，仅仅访问控制完整性代理422和服务测量4 在受保护的DAS分区814中执行，而总线驱动器432和服务测量和/或策略控制器驱动器210在内核执行分区712中执行。这个实施方式说明， 假定该设备上提供了至少一个受保护的服务测量，那么DAS服务控制完整性可以非常高。 例如，如果访问程序代码或控制流量对服务测量代理428以及主机服务控制链接118来说， 除了经过服务控制器122的加密的控制信道之外是不可能的，那么这种简单的配置可以差不多与基于网络的服务测量一样尽可能的安全。这种技术类似地应用于服务测量和控制链接，而服务测量和控制链接类似地在受保护的调制解调器执行分区324中实施，这对于本领域的普通技术人员来说将是显而易见的。在某些实施方式中，例如，万一受保护的DAS分区814被击破或被损坏，访问控制完整性代理422提供附加的安全性。图9图解了根据某些实施方式用于设备辅助的服务的另一安全的执行环境900。 具体地，图9图解了类似于图8的那种实施方式，只是，具体地，除了服务测量在受保护的 DAS分区914中执行外，调制解调器加密代理430也在受保护的DAS分区914中被实施/执行。例如，这防止未授权的软件通过绕开网络堆栈直接到该调制解调器而使服务测量和/ 或服务控制失效。图10图解了根据某些实施方式用于设备辅助的服务的另一安全的执行环境 1000。具体地，图10图解了类似于图9的那种实施方式，只是，具体地，在图10中有在应用执行分区702中执行的附加的应用分区DAS代理104。例如，这说明利用本文描述的各种技术，只要有一些关键的测量和/或控制在受保护的执行分区中被实施，某些DAS代理可以在应用空间中(如，UI代理、策略控制代理、以及如本文所描述的各种其他的DAS代理)被实施，而仍然保持高级别的服务测量和/或控制安全性。图11图解了根据某些实施方式用于设备辅助的服务的另一安全的执行环境 1100。具体地，图11图解了服务器云如何被板上访问控制完整性代理辅助，以检测对其他服务测量和/或控制代理的窜改，或保护服务测量和/或控制系统免遭恶意软件攻击和/ 或以其他方式被包含。如图所示，访问控制完整性代理422在受保护的DAS分区1114内执行，并与文件存储器1130 (例如，持续地维持设备状态和/或其他设置或状态或监视信息) 进行通信。访问控制完整性代理422执行各种访问控制完整性检查功能，例如，如本文关于各种实施方式所描述的，以及在某些实施方式中，配合在安全控制信道上的服务器(如主机安全信道150)。在某些实施方式中，访问控制完整性代理422可以向服务控制器122发送关于其它服务测量和/或控制代理的信息，使得服务控制器122可以确定该代理是否正确地工作，或已经被窜改或以其他方式被损害。例如，这种信息可以包括部分代码、杂乱信号、代码段、与先前镜像相比的代码变化、与历史镜像相比的代码变化、对询问的回应、校验和、操作行为或模式的观察、服务使用、策略实施行为、和/或可以表明设备代理/测量的任何的窜改、损坏、损害的其他信息。在某些实施方式中，访问控制完整性代理422检查操作环境关于恶意软件签名的迹象，或发送应用和/或驱动器信息或关于操作系统的其他信息到服务器，用于进一步处理以检测恶意软件。在某些实施方式中，访问控制完整性代理422 执行在受保护的DAS分区存储器、内核执行分区存储器区域、应用执行分区存储器区域上、 在磁盘存储器区域上或在其他文件存储器区域上的基本操作，以检测已知的恶意软件杂乱信号或签名等等，或访问控制完整性代理422可以发送该杂乱信号到服务器用于与恶意软件数据库进行比较(例如，对已知的恶意软件比较特征、或用于进一步的基于行为或其他安全性/恶意软件检测技术)。在某些实施方式中，DAS系统以对服务控制链接中的失败表现稳健(robust to loss)(如，在WWAN链接上的覆盖范围停歇或者有线链接上的连接中断)的方式被实施。在某些实施方式中，DAS系统以某种对于一个或多个在服务控制器中的服务器元件由于某种原因掉线或失败表现稳健的方式被实施。下列实施方式提供这些技术，如下所述。在某些实施方式中，对于一个或多个设备辅助的服务代理保持服务使用报告记录和/或提供给服务控制器的关于设备服务控制状态的其它报告(如，现有的服务方案设置、 当前的服务使用策略设置、当前的用户参考设置、当前的DAS设置、当前的加密的控制信道和/或本地加密的通信信道关键信息、当前的DAS代理状态报告、当前的DAS代理安全性状态报告、当前的环境服务使用和/或交易记录、当前的服务控制完整性威胁报告、用户状态信息、设备状态信息、应用状态信息、设备位置、设备QOS状态、和/或其他状态和/或设置信息)是有利的。除了存在于该设备上并报告给服务控制器的这种信息外，附加的服务信息可以在服务控制器中得到并被记录，诸如从设备外部接收到的信息和/或设备报告的信息的分析结果(如，基于网络的服务使用测量，设备服务使用分析，设备报告与其它信息的比较，访问控制完整性代理报告的分析，从漫游网络接收到的信息，从亲本控制终端、企业控制终端、虚拟服务提供商控制终端输入到服务控制器的信息，访问网络授权信息，服务完整性破坏级别，和用于正确地测量和/或控制该设备服务的许多其它类型的信息)。例如， 从设备报告的和从设备外部接收到的或得到的信息，它们是充分地定义由维持正确的DAS 系统操作的服务控制器所需的行动所要求的信息，有时在本文称之为“设备服务状态”。在某些实施方式中，服务控制器功能是高度可量测的，并可以在许多硬件和软件平台上被执行(如，在服务器中的不同虚拟机、在数据中心的不同服务器、或位于不同的数据中心的不同服务器)。例如，在这些实施方式中，通过知道过去的设备服务状态和当前的设备服务状态，服务控制器可以被设计使得执行各种服务控制器服务器功能的程序，能够在任何时刻及时地得到正确地管理该设备所必要的所有信息，所述过去和当前的设备服务状态充分地定义为实现正确地维持DAS系统操作，服务控制器需要的下一套行动。通过用这种方式设计系统，如果正在运行服务控制器服务器功能的服务器，由于任何给定的设备有问题而将停止或与该设备断开连接，那么通过分配另一服务控制器服务器功能到该设备，并恢复或修复必要的过去的设备服务状态和必要的当前设备服务状态，另一服务器可以稍后恢复DAS系统的正确操作。例如，这可以如下列所述在某些实施方式中实现。服务控制器将当前的设备服务状态保存到对所有控制器服务器功能都可用的公共数据库中(如，它可以是集中的或分布的)。设备服务状态在每次设备与服务控制器通信时，或在有规律的时间间隔上，或以它们二者的结合的方式被保存。设备保留它的当前和过去的服务状态报告，即使在它们被报告后，至少直到服务控制器给该设备发送一个确认该服务控制器已经保存了给定设备的服务状态的消息。一旦该设备接收到这个关于给定的设备状态报告的保存确认，那么当该设备不再使用它时，不再需要保留那个特别的设备状态报告。这样，如果服务控制器服务器功能停止，那么关于一个或多个报告的设备状态的保存确认，不会被服务控制器传输到该设备， 于是该设备可以保留那个报告。服务器负载平衡器检测到给定的服务控制器服务器功能已经停止，查找正在被那个服务控制器服务器功能所控制的设备，发现有问题的设备是那些设备之一，并重新分配新的服务控制器服务器功能(要么在同一数据中心，要么在另一数据中心)以控制有问题的设备。然后，新近分配的服务控制器服务器功能，恢复记录在服务控制器数据库中的全部过去的设备状态，并被要求正确地管理DAS系统，然后要求该设备传送或重传没有保存在服务控制器数据库中的所有设备状态报告。一旦该设备传送或重传所要求的信息，那么新近分配的服务控制器功能拥有了它正确地管理DAS系统所需的信息，它保存所有报告的设备状态信息，然后发送保存确认到该设备，使得该设备不再需要保留旧的服务状态报告。新近分配的服务控制器服务器功能然后可以利用一套动作恢复DAS 系统操作，该套动作与假如最初的服务控制器服务器功能没有停止，它应当采取的动作相同或非常类似。本领域的普通技术人员将可以理解，上面的技术也可用于适应在该设备和服务控制器之间的连接中的短暂的失败。例如，这种技术为可靠的服务冗余实现跨多个数据中心的分布式服务控制器提供了高度可量测的和稳健的方法。在某些实施方式中，例如， 过去的设备服务状态信息保存在受保护的DAS执行分区和/或调制解调器执行分区，使得它免遭破坏。虽然为了使理解清楚的目的而详细地描述了前面的实施方式，但是本发明不限于所提供的细节。存在很多实现本发明的可替换的方式。所公开的实施方式是示例性的而非限制性的。
权利要求
1.一种系统，其包括通信设备的处理器，其被配置成实施至少部分在安全的执行环境中执行的服务配置文件，以用于辅助控制所述通信设备对无线网络上的服务的使用，其中所述服务配置文件包括多个服务策略设置，且其中所述服务配置文件与服务方案相关，所述服务方案提供到所述无线网络上的所述服务的访问；基于所述服务配置文件监视所述服务的使用；以及基于所监视的所述服务的使用，验证所述服务的使用；所述通信设备的存储器，其耦合到所述处理器并被配置以为所述处理器提供指令。
2.如权利要求1中所述的系统，其中所述服务的使用至少部分地基于以设备为基础的服务使用信息来验证。
3.如权利要求1中所述的系统，其中所述通信设备是移动通信设备或中间联网设备， 且所述服务包括一个或多个基于因特网的服务。
4.如权利要求1中所述的系统，其中所述通信设备包括调制解调器，且所述处理器位于所述调制解调器中。
5.如权利要求1中所述的系统，其中所述通信设备是移动通信设备，所述服务包括一个或多个基于因特网的服务，且其中所述移动通信设备包括下列各项中的一个或多个移动电话、PDA、电子书阅读器、音乐设备、娱乐/游戏设备、计算机、膝上型计算机、上网本、平板电脑和家庭联网系统。
6.如权利要求1中所述的系统，其中所述服务方案允许利用服务功能访问所述服务， 所述服务功能基于下列各项中的一个或多个进行控制时间周期、网络地址、服务类型、内容类型、应用类型、带宽、以及数据使用。
7.如权利要求1中所述的系统，其中所述服务策略设置包括下列各项中的一个或多个访问控制设置、流量控制设置、计费系统设置、带确认的用户通知设置、带同步服务使用信息的用户通知、用户隐私设置、用户喜好设置、认证设置、许可控制设置、应用访问设置、 内容访问设置、交易设置、以及网络或设备管理通信设置。
8.如权利要求1中所述的系统，其中所述安全的执行环境包括受保护的设备辅助的服务执行分区。
9.如权利要求1中所述的系统，其中所述安全的执行环境包括受保护的设备辅助的服务执行分区，且其中所述受保护的设备辅助的服务执行分区至少部分被实施为硬件分区。
10.如权利要求1所述的系统，其中所述安全的执行环境包括受保护的设备辅助的服务执行分区，且其中所述受保护的设备辅助的服务执行分区至少部分被实施为软件分区。
11.如权利要求1所述的系统，其中所述安全的执行环境包括受保护的设备辅助的服务执行分区，且其中所述受保护的设备辅助的服务执行分区至少部分在虚拟机中被实施， 所述虚拟机在所述处理器上执行。
12.如权利要求1所述的系统，其中所述安全的执行环境包括受保护的设备辅助的服务执行分区，并且所述处理器还被配置为在所述受保护的设备辅助的服务执行分区中执行一个或多个设备辅助的服务代理，其中在所述受保护的设备辅助的服务执行分区中执行的所述一个或多个设备辅助的服务代理与执行服务控制器的服务器进行通信。
13.如权利要求1所述的系统，其中所述安全的执行环境包括受保护的设备辅助的服务执行分区，并且所述处理器还被配置为在所述受保护的设备辅助的服务执行分区中执行一个或多个设备辅助的服务代理，其中在所述受保护的设备辅助的服务执行分区中执行的所述一个或多个设备辅助的服务代理包括用于提供服务使用测量的设备代理。
14.如权利要求1所述的系统，其中所述安全的执行环境包括受保护的设备辅助的服务执行分区，并且所述处理器还被配置为在所述受保护的设备辅助的服务执行分区中执行一个或多个设备辅助的服务代理，其中在所述受保护的设备辅助的服务执行分区中执行的所述一个或多个设备辅助的服务代理与执行服务控制器的服务器进行安全的通信，且其中与执行所述服务控制器的服务器进行的所述安全的通信包括加密的通信。
15.如权利要求1所述的系统，其中所述通信设备包括调制解调器，且所述处理器位于所述调制解调器中，以及其中所述安全的执行环境包括利用硬件和/或软件分区实施的安全的调制解调器执行分区，且其中所述处理器还被配置为在所述安全的调制解调器执行分区中执行一个或多个设备辅助的服务代理，其中在所述安全的调制解调器执行分区中执行的所述设备辅助的服务代理与执行服务控制器的服务器进行通信。
16.如权利要求1所述的系统，其中所述通信设备包括调制解调器，且所述处理器位于所述调制解调器中，以及其中所述安全的执行环境包括利用硬件和/或软件分区实施的安全的调制解调器执行分区，且其中所述处理器还被配置为在所述安全的调制解调器执行分区中执行一个或多个设备辅助的服务代理，其中在所述安全的调制解调器执行分区中执行的所述设备辅助的服务代理与执行服务控制器的服务器进行安全的通信，且其中与执行所述服务控制器的服务器进行的所述安全的通信包括加密的通信。
17.如权利要求1所述的系统，其中所述通信设备包括调制解调器，且所述处理器位于所述调制解调器中，以及其中所述安全的执行环境包括利用硬件和/或软件分区实施的安全的调制解调器执行分区，且其中所述处理器还被配置为在所述安全的调制解调器执行分区中执行一个或多个设备辅助的服务代理，其中在所述安全的调制解调器执行分区中执行的一个或多个设备辅助的服务代理包括用于提供服务使用测量的调制解调器代理。
18.如权利要求1中所述的系统，其中所述通信设备的处理器还被配置为在内核执行分区中执行一个或多个设备辅助的服务代理；以及在所述受保护的设备辅助的服务执行分区中执行一个或多个设备辅助的服务代理，其中在所述受保护的设备辅助的服务执行分区中执行的所述一个或多个设备辅助的服务代理与执行服务控制器的服务器进行通信。
19.如权利要求1中所述的系统，其中所述通信设备的处理器还被配置为在应用执行分区中执行一个或多个设备辅助的服务代理；在内核执行分区中执行一个或多个设备辅助的服务代理；以及在所述受保护的设备辅助的服务执行分区中执行一个或多个设备辅助的服务代理，其中在所述受保护的设备辅助的服务执行分区中执行的所述一个或多个设备辅助的服务代理与执行服务控制器的服务器进行通信。
20.如权利要求1中所述的系统，其中所述通信设备的处理器还被配置为 在应用执行分区中执行一个或多个设备辅助的服务代理；在内核执行分区中执行一个或多个设备辅助的服务代理； 在调制解调器执行分区中执行一个或多个设备辅助的服务代理；以及在所述受保护的设备辅助的服务执行分区中执行一个或多个设备辅助的服务代理，其中在所述受保护的设备辅助的服务执行分区中执行的所述一个或多个设备辅助的服务代理与执行服务控制器的服务器进行通信。
21.如权利要求1中所述的系统，其中所述通信设备的处理器还被配置为 在应用执行分区中执行一个或多个设备辅助的服务代理；在内核执行分区中执行一个或多个设备辅助的服务代理； 在调制解调器执行分区中执行一个或多个设备辅助的服务代理；以及在所述受保护的设备辅助的服务执行分区中执行一个或多个设备辅助的服务代理，其中在所述受保护的设备辅助的服务执行分区中执行的所述一个或多个设备辅助的服务代理与执行服务控制器的服务器进行通信，以及其中在所述受保护的设备辅助的执行分区中执行的所述一个或多个设备辅助的服务代理包括下列各项中的一个或多个应用标识符代理、访问控制完整性代理、策略控制代理、策略实施代理、以及服务使用测量代理。
22.如权利要求1中所述的系统，其中所述通信设备的处理器还被配置为 在应用执行分区中执行一个或多个设备辅助的服务代理；在内核执行分区中执行一个或多个设备辅助的服务代理；在调制解调器执行分区中执行一个或多个设备辅助的服务代理，其中所述调制解调器执行分区利用调制解调器本地信道与所述受保护的设备辅助的执行分区进行通信；以及在所述受保护的设备辅助的服务执行分区中执行一个或多个设备辅助的服务代理，其中在所述受保护的设备辅助的服务执行分区中执行的所述一个或多个设备辅助的服务代理与执行服务控制器的服务器进行通信，以及其中在所述受保护的设备辅助的服务执行分区中执行的所述一个或多个设备辅助的服务代理包括下列各项中的一个或多个应用标识符代理、访问控制完整性代理、策略控制代理、策略实施代理、以及服务使用测量代理。
23.如权利要求1中所述的系统，其中所述通信设备的处理器还被配置为 在应用执行分区中执行一个或多个设备辅助的服务代理；在内核执行分区中执行一个或多个设备辅助的服务代理；在调制解调器执行分区中执行一个或多个设备辅助的服务代理，其中所述调制解调器执行分区利用调制解调器本地信道与所述受保护的设备辅助的执行分区进行通信；以及其中在所述调制解调器执行分区中的所述一个或多个设备辅助的服务代理包括服务使用测量代理；以及在所述受保护的设备辅助的服务执行分区中执行一个或多个设备辅助的服务代理，其中在所述受保护的设备辅助的服务执行分区中执行的所述一个或多个设备辅助的服务代理与执行服务控制器的服务器进行通信，以及其中在所述受保护的设备辅助的服务执行分区中执行的所述一个或多个设备辅助的服务代理包括下列各项中的一个或多个应用标识符代理、访问控制完整性代理、策略控制代理、策略实施代理、以及服务使用测量代理。
24.一种方法，其包括实施服务配置文件，所述服务配置文件至少部分在通信设备的处理器的安全的执行环境中执行，以用于辅助控制通信设备对无线网络上的服务的使用，其中所述服务配置文件包括多个服务策略设置，以及其中所述服务配置文件与服务方案相关，所述服务方案提供到所述无线网络上的所述服务的访问；基于所述服务配置文件监视所述服务的使用；以及基于所监视的所述服务的使用，验证所述服务的使用。
25.一种计算机程序产品，所述计算机程序产品包含在计算机可读存储器介质中并包括用于执行以下步骤的计算机指令实施服务配置文件，所述服务配置文件至少部分在通信设备的处理器的安全的执行环境中执行，以用于辅助控制通信设备对无线网络上的服务的使用，其中所述服务配置文件包括多个服务策略设置，以及其中所述服务配置文件与服务方案相关，所述服务方案提供到所述无线网络上的所述服务的访问；基于所述服务配置文件监视所述服务的使用；以及基于所监视的所述服务的使用，验证所述服务的使用。
全文摘要
提供了用于设备辅助的服务的安全技术。在某些实施方式中，提供了安全的服务测量和/或控制执行分区。在某些实施方式中，实施至少部分在通信设备的处理器的安全执行环境中被执行的服务配置文件，用于辅助控制无线网络上的通信设备的服务使用，其中所述服务配置文件包括多个服务策略设置，以及其中所述服务配置文件与服务方案有关，该服务方案提供到该无线网络上的服务的访问；基于所述服务配置文件监视服务的使用；以及基于所监视的服务的使用来校验所述服务的使用。
文档编号H04J3/16GK102342052SQ201080010511
公开日2012年2月1日 申请日期2010年1月27日 优先权日2009年1月28日
发明者格雷戈里·G·罗利 申请人:海德沃特合作I有限公司