所描述的实施方案阐述了用于管理无线设备的蜂窝无线网络安全的技术,包括基于无线设备的位置执行各种安全动作,观察无线网络实体的通信,并且使用已知移动网络运营商无线网络安全特性分析无线网络实体的行为。
背景技术:
本质上通过开放介质进行传输的无线通信容易遭到窃听。此外,恶意网络实体诸如伪基站可以冒充真实网络实体,以从无线设备获取私人信息,误导无线设备与恶意设备通信,并且/或者使无线设备降级安全设置,从而使无线设备的通信更容易受到窥探。当与蜂窝无线网络相关联时,无线设备可以执行认证和密钥协商(aka)过程并在随后激活蜂窝无线网络的安全上下文,包括建立一组密钥,以用于在无线设备和蜂窝无线网络之间传送的消息的加密和解密以及完整性保护及验证。然而,在对蜂窝无线网络进行安全激活之前,可以以清楚、可读、未加密的格式传送消息,所述消息可能受到观察并且可能被滥用。另外,恶意网络实体可以向无线设备发送消息以将无线设备错误地重定向到较低安全性的无线网络,或者使无线设备泄露私人信息诸如未加密的身份,诸如国际移动用户身份(imsi)、国际移动设备身份(imei)或无线设备的订阅永久标识符(supi)。由于无线设备在安全上下文激活之前无法验证从网络实体(无论是真实的还是恶意的)接收的消息的完整性,因此无线设备易受安全攻击。
技术实现要素:
代表性实施方案阐述了用于管理无线设备例如用户设备(ue)处的蜂窝无线网络安全的技术,包括基于无线设备的位置执行各种安全动作,观察无线网络实体的通信,并且使用已知移动网络运营商无线网络安全特性分析无线网络实体的行为。可以基于无线设备操作的地理区域,并且基于在该地理区域中操作的移动网络运营商(mno)的已知特性调整无线设备所采取的安全动作。为了防止来自恶意网络实体例如伪基站的攻击,无线设备查询在无线设备处维护的mno的安全配置中包括的网络行为模板。该安全配置可以由无线设备从基于网络的服务器获得,并且周期性地刷新并且/或者响应于网络触发事件刷新。无线设备可以基于无线设备的位置和来自安全配置的信息,确定响应于网络触发事件而采取的各种安全动作。由于不同的mno可以使用不同的安全过程,因此无线设备可以基于无线设备正与之通信(或者无线设备可以与之通信的)的mno和无线设备在其中操作的区域来调整安全动作。
无线设备可以识别从网络实体接收的命令何时与mno和/或无线设备在其中操作的区域不一致。在一些实施方案中,无线设备忽略改变网络安全性的网络命令,例如,当网络实体请求没有加密或具有弱加密的连接时,或者当网络实体试图重定向无线设备以使用具有较弱网络安全性的无线通信协议时,或者当网络实体从无线设备请求未加密的身份信息时。在一些实施方案中,无线设备经由无线设备的用户界面提供指示以警告用户所请求的安全性改变或网络实体请求的其他可疑动作。在一些实施方案中,无线设备经由无线设备的用户界面请求确认是否继续实施网络请求的命令。在一些实施方案中,无线设备确定有限期地禁止与网络实体的通信。在一些实施方案中,无线设备确定将条目添加到网络实体的黑名单,并且无限期禁止与无线设备通信或直到该实体从黑名单中移除。在一些实施方案中,当禁止网络实体或将该网络实体列入黑名单时,无线设备停止与该网络实体通信并且扫描另一网络实体与之进行通信。
提供本发明内容的目的仅为概述一些示例性实施方案,以便提供对本文所述主题的一些方面的基本了解。于是,应当了解,上述特征仅为示例,并且不应解释为以任何方式缩窄本文所描述的主题的范围或实质。本文所描述的主题的其它特征、方面和优点将通过以下具体实施方式、附图和权利要求书而变得显而易见。
根据结合以举例的方式示出所述实施方案的原理的附图而进行的以下详细描述,本文所述的实施方案的其他方面和优点将变得显而易见。
附图说明
本公开通过下面结合附图的具体描述将更易于理解,其中类似的附图标记表示类似的结构元件。
图1a示出了根据一些实施方案的被配置为实现本文所述的各种技术的示例性系统的不同部件的框图。
图1b示出了根据一些实施方案的图1a的系统的示例性部件的更详细视图的框图。
图1c示出了根据一些实施方案的受到恶意网络实体攻击的示例性系统的框图。
图2a示出了根据一些实施方案的示例性系统,其中无线设备从第一区域移动到第二区域并且在位于第二区域中时采取安全动作。
图2b示出了根据一些实施方案的示例性系统,其中移动设备从与伪基站通信移动到合法基站并且在离开伪基站附近之后采取安全动作。
图3a和图3b示出了根据一些实施方案的用于基于无线设备的位置确定无线设备要采取的一个或多个安全动作的示例性逻辑。
图4示出了根据一些实施方案的可用于实现本文所述的各种方法的代表性计算设备的详细视图。
具体实施方式
在本部分中提供了根据本发明所述的实施方案的装置和方法的代表性应用。提供这些示例仅是为了添加语境并有助于理解所述实施方案。对于本领域的技术人员因此将显而易见的是,本发明所述的实施方案可在不具有这些具体细节中的一些或全部具体细节的情况下被实施。在其他情况下,未详细描述熟知的工艺步骤,以便避免不必要地模糊本发明所述的实施方案。其他应用也是可能的,使得以下示例不应被视为是限制性的。
一些蜂窝无线系统协议规范包括可能被恶意行为者利用的安全漏洞。各种蜂窝无线系统协议在世界各地使用,并且由不同国家或地区的不同商业实体或移动网络运营商(mno)实施。对蜂窝无线系统协议应用改变以减轻全球已识别的漏洞可能存在问题。一些mno(也称运营商)可能不强调安全性,或者使用与其他mno不同的安全级别。一些mno寻求改进其系统的其他功能,而不是优先应用补丁来解决安全问题。在一些场景中,恶意实体诸如伪基站运营商可以通过使用特别适配的硬件诸如例如试图模仿mno的真实基站所使用的通信协议的伪基站来利用一个或多个漏洞。伪基站运营商在本文中也可称为黑客或恶意行为者。在2017年5月31日提交的标题为“detectionofaroguebasestation”的美国专利申请15/610,230(以下称为“检测申请”)中更详细地描述了伪基站,该专利申请出于所有目的以引用的方式全文并入本文。
代表性的安全问题包括呼叫拦截、短消息服务(sms)拦截、窃听和位置跟踪。在以下互联网url中描述了这些的示例:
·幽灵电话员:https://www.blackhat.com/us-17/briefings/schedule/#ghost-telephonist-link-hijack-exploitations-in-4g-lte-cs-fallback-6405
·窃听:http://conference.hitb.org/hitbsecconf2016ams/sessions/forcing-a-targeted-lte-cellphone-into-an-eavesdropping-network/
·位置跟踪:https://arxiv.org/pdf/1607.05171.pdf
·位置跟踪:https://www.blackhat.com/eu-15/briefings.html#lte-and-imsi-catcher-myths
在一些情况下,可以使用由伪基站广播的参数来检测伪基站,例如,基于来自伪基站的接收的参数与真实基站使用的已知参数的比较。然而,伪基站运营商可以随时间调整广播参数以增加其检测难度。而且,将合法基站错误分类为伪基站的无线设备可能降低无线设备用户的体验,因为即使在该合法基站可用的情况下,并且可提供优于可供通信的另一基站的连接情况下,却可能不使用或避免使用该合法基站。无线设备可以对照已知伪基站数据库和/或已知合法基站的数据库检查作为广播消息之一中的参数包括的基站标识符或mno标识符,以确定所接收的广播消息是合法消息还是潜在假消息。然而,当网络合法基站的参数随时间变化并且合法基站可用于无线设备的数据库信息不是最新的时,无线设备用户仍可能经历负面影响。
在本文呈现的实施方案中,检测到已知的运营商漏洞并且减轻或消除了由此类运营商漏洞造成的潜在危害。将区域感知诸如位置特定的自适应行为应用于伪基站检测。本文提供的逻辑方面的软件变更允许无线设备选择性地规避或绕过一个或多个蜂窝无线协议规范的某些部分的性能。完成特定程序的这种选择性规避或绕过从而避免可能影响无线设备的安全威胁。安全配置由无线设备基于软件包确定,其中软件包周期性地从一个或多个基于网络的服务器下载到无线设备。无线设备确定其位置并且基于与该位置相关联的软件包的一部分,采取安全动作。
在一些实施方案中,基于伪基站的物理限制使用嫌疑度量。对于长期演进(lte)或高级lte(lte-a)蜂窝无线网络,基站可以被称为演进的基站(enodeb或enb),而对于第五代(5g)蜂窝无线网络,基站可以被称为下一代基站(gnodeb或gnb)。在检测申请中详细描述了基于伪基站的物理限制检测伪基站的更多信息。用于检测伪基站的代表性示例可以基于:
·干扰签名,
·信号定时和同步方面,
·处理延迟和周转时间,
·计算和处理限制,以及/或者
·与活动网络的信号级矛盾。
在一些实施方案中,无线设备可以使用补充信息验证广播位置信息。伪基站可广播错误的位置信息。在一些实施方案中,无线设备将滞后应用于位置信息以将当前位置信息与过去的位置信息进行比较。例如,无线设备可忽略突然的位置跳跃,其中位置改变与无线设备接收(和/或确定)先前位置与接收(和/或确定)当前位置之间的时间间隔不一致。因此,黑客的欺骗成本增加了。在一些实施方案中,当无线设备接收(和/或确定)不一致的位置信息时,无线设备可通过无线设备的用户界面询问用户以确定接收的(和/或确定的)当前位置信息是否准确。无线设备可以经由用户界面向用户呈现询问,例如“你在香港吗?是/否”。
在一些实施方案中,无线设备检测到蜂窝无线网络的网络实体已经与无线设备建立起的用于蜂窝无线网络和无线设备之间连接的加密配置的加密异常。无线连接的异常加密示例包括未加密(不加密进行数据传输,其也可以被称为“未加密”传输)或弱加密。弱加密的一个示例是已经发布已知成功攻击(或断码技术)的加密方案。在一些实施方案中,当无线设备检测到弱加密配置(其可包括没有加密的配置)时,无线设备经由无线设备的用户界面向用户提供指示(其也可以被称为用户界面(ui)指示器),以通知用户该弱加密配置。该指示可以警告无线设备的用户未启用与蜂窝无线网络的连接的加密或正使用弱加密设置,并且建议用户不要经由未加密或弱加密的连接发送敏感数据,因为该连接可能易受第三方例如黑客的拦截或窃听。
根据本文所述的各种实施方案,术语“无线通信设备”、“无线设备”、“移动设备”、“移动站”、和“用户设备(ue)”在本文中可互换使用,以描述可能够执行与本公开的各种实施方案相关联的过程的一个或多个普通的消费电子设备。根据各种具体实施,这些消费电子设备中的任一种消费电子设备可涉及:蜂窝电话或智能电话、平板电脑、膝上型计算机、笔记本计算机、个人计算机、上网本计算机、媒体播放器设备、电子书设备、
在一些实施方案中,无线通信设备还可作为无线通信系统的一部分来操作,该无线通信系统可包括也可被称为站、客户端无线设备、或客户端无线通信设备的一组客户端设备,其被互连到接入点(ap)例如作为wlan的一部分,和/或彼此互连例如作为wpan和/或“自组织”无线网络的一部分。在一些实施方案中,客户端设备可为能够经由wlan技术(例如,根据无线局域网通信协议)来进行通信的任何无线通信设备。在一些实施方案中,wlan技术可包括wi-fi(或更一般地,wlan)无线通信子系统或无线电部件,该wi-fi无线电部件可实现电气电子工程师协会(ieee)802.11技术,诸如以下各项中的一者或多者:ieee802.11a;ieee802.11b;ieee802.11g;ieee802.11-2007;ieee802.11n;ieee802.11-2012;ieee802.11ac;或其他目前或未来开发的ieee802.11技术。
另外,应当理解,本文所述的一些ue可被配置作为还能够经由不同的第三代(3g)和/或第二代(2g)rat进行通信的多模无线通信设备。在这些情况下,多模用户设备(ue)可被配置为与提供较低数据速率吞吐量的其他3g传统网络相比更偏好附接到提供较快数据速率吞吐量的lte网络。例如,在一些具体实施中,多模ue可被配置为在lte和lte-a网络以其他方式不可用时回退到3g传统网络,例如演进型高速分组接入(hspa+)网络、或码分多址(cdma)2000演进-仅数据(ev-do)网络。
以下参考图1至图4来论述这些实施方案和其他实施方案;然而,本领域的技术人员将容易地理解,本文相对于这些附图的所给出的详细描述仅出于说明性目的并且不应理解为限制性的。
图1a示出了根据一些实施方案的被配置为实现本文所述的各种技术的示例性系统100的不同部件的框图。更具体地,图1a示出了系统100的高级概述,如图所示,其包括用户设备(ue)111,由不同移动网络运营商(mno)114管理的一组基站112-1至112-n,以及与mno114通信的一组配置服务器116。ue111可以表示移动计算设备(例如
如图1a所示,ue111可以包括处理电路,该处理电路可以包括处理器104和存储器106、嵌入式通用集成电路卡(euicc)108和基带部件110。在一些实施方案中,除了或取代euicc,ue111还包括一个或多个物理用户身份模块(sim)卡(未示出)。ue111的部件协同工作以使ue111能够向ue111的用户提供有用的特征,诸如局部计算、基于位置的服务,以及互联网连接。euicc108可以被配置为存储多个电子sim(esim),用于通过基站112-1至112-n访问不同的mno114。例如,euicc108可以被配置为针对ue111与之关联的不同订阅存储和管理一个或多个mno114的一个或多个esim。为了能够访问由mno提供的服务,可将esim配置给euicc108。在一些实施方案中,euicc108从一个或多个关联的配置服务器116获得一个或多个esim(或者一个或多个esim的更新)。需注意,配置服务器116可由ue111的制造商、mno114、第三方实体等来维护。配置服务器116和euicc108之间(或配置服务器116与euicc108外部的ue111的处理电路例如处理器104之间)的esim数据通信可以使用安全通信信道。
图1b示出了根据一些实施方案的图1a的ue111的特定部件的更详细视图的框图120。如图1b所示,结合存储器106的处理器104可实现被配置为执行应用程序124(例如本地os应用程序和用户应用程序)的主操作系统(os)122。同样如图1b所示,euicc108可被配置为实现euiccos126,该euiccos被配置为管理euicc108的硬件资源(例如,嵌入在euicc108中的处理器和存储器)。euiccos126还可被配置为例如通过启用、禁用、修改或以其他方式执行对euicc108内的esim128的管理并且向基带部件110提供对esim128的访问以将对无线服务的访问提供给ue111,来管理由euicc108存储的esim128。euicc108os可以包括esim管理器130,其可以执行各种esim128的管理功能。根据图1b所示的图示,每个esim128可包括定义esim128的操作方式的多个小应用程序132。例如,小应用程序132中的一个或多个在由基带部件110和euicc108实现时,可被配置为使ue111能够与mno114通信并且向ue111的用户提供有用的特征(例如电话呼叫和互联网)。
同样如图1b所示,ue111的基带部件110可包括基带os134,该基带os被配置为管理基带部件110的硬件资源(例如处理器、存储器、不同的无线电部件等)。根据一些实施方案,基带部件110可以实现基带管理器136,该基带管理器被配置为与euicc108进行交互以与配置服务器116建立安全信道,并且从配置服务器116获取信息(诸如esim数据)以用于管理esim128的目的。基带管理器136可被配置为实现服务138,该基带管理器表示利用包括在euicc108中的被启用esim128的各种小应用程序132而被实例化的软件模块的集合。例如,服务138可被配置为根据在euicc108内被启用的不同esim128来管理ue111和mno114之间的不同连接。
图1c示出了受到恶意网络实体攻击的示例性系统的框图140。该系统包括与示例性真实蜂窝无线网络实体即演进的基站(enb)146通信的ue111,其包括私人信息,诸如通过其可以唯一地识别ue111用户的订阅的未加密订阅永久标识符(supi)142。supi142的示例包括国际移动用户身份(imsi)。ue111和enb146可以经由uu接口进行通信,对于某些消息或者某些时间段诸如在ue111和enb146之间建立安全连接之前,该通信可遭到第三方诸如恶意网络实体154的窃听。在enb146经由安全s1-mme接口连接到核心网的移动性管理实体(mme)148,并且mme148经由安全s6a接口连接到归属用户服务器(hss)150时,enb146可在“未加密”状态发送一些消息至ue111并从其接收一些消息。恶意网络实体154可以模仿来自真实无线网络实体诸如来自enb146和/或来自mme148的通信,并且恶意网络实体154可以请求ue111提供仅应该被发送至真实无线网络实体的信息。例如,恶意网络实体154可以向ue111发送请求身份消息,其可以在不知情的情况下使用包括ue111的未加密supi142在内的身份响应消息对恶意网络实体154做出响应。其他恶意动作可以包括恶意网络实体154向ue111发送消息以使ue111采取可能建立不安全或弱安全连接或降级安全性的动作,诸如切换到使用可能容易受到攻击的不使用加密密码或使用弱加密密码的无线通信协议。
ue111和enb146之间的uu接口易受攻击,其中恶意网络实体154试图从ue111提取信息并且/或者误导ue111降低其安全性。示例性攻击包括:作为csfb过程的一部分,恶意网络实体154发送无线电资源控制(rrc)重定向命令以使ue111转向模仿不具有高级安全措施的无线网络的伪基站(未示出),例如,从4g/5g网络enb/gnb到2g/3g网络。恶意网络实体154还可以通过重新占用错误处理机制操纵ue111例如通过因虚假ue上下文检索失败而请求ue111发送其supi142(imsi),从而获得私人信息。在为ue111和enb146(或者等同地gnb)之间的接入层(as)通信建立安全上下文并且为ue111和mme148之间的非接入层(nas)通信建立安全上下文之前,由ue111接收的消息可能是可疑的并且可能被滥用。图1c示出了连接到lte网络的enb146的ue111,该网络是第五代(5g)的类似架构,其中在ue111和无线网络的网络实体之间建立安全上下文之前,通过下一代基站(gnb)进行通信的ue111也遭受窃听。
图2a示出了在两个不同地理区域之间穿过的无线设备111的示例的示图200。在通过“区域1”指示的第一地理区域中,通过mnox指示的第一移动网络运营商经由第一蜂窝无线网络210提供服务。第一蜂窝无线网络210可以经由连接216与基于网络的服务器212互连,该基于网络的服务器维护可用于向无线设备111提供安全信息的信息的数据库213。在时间t0,无线设备111可以位于区域1中的位置“v”。无线设备111可以是例如智能电话、平板电脑、可穿戴设备(诸如手表)或膝上型计算机。无线设备111沿着路径209从区域1移动到通过“区域2”指示的第二地理区域,其中通过mnoy指示的第二移动网络运营商经由第二蜂窝无线网络220提供服务。在时间t1,无线设备111在位置“w”处通过示意性边界201。随后,无线设备111在时间t2到达区域2中的位置“x”。区域1可以是例如美国,并且区域2可以是例如中国或印度。在另一示例中,区域1可以是美国的一部分,并且区域2可以是美国的不同部分,其中每个区域由不同的mno提供服务。
当在区域1中时,无线设备111可以经由蜂窝无线连接230从mnox的第一蜂窝无线网络210获取服务的访问。可以经由基站218通过蜂窝无线连接230向无线设备111提供mnox的第一蜂窝无线网络210的服务,基站可以在由指示的边界219包围的区域上方提供服务。另一无线设备217还可经由单独的无线连接(未示出)获得对mnox的第一蜂窝无线网络210的服务的访问。mnox的第一蜂窝无线网络210还可包括附加基站例如基站298,其还可以提供对第一蜂窝无线网络210的服务的访问。
在通过位置w处的边界201之后,无线设备111扫描并检测包括基站222在内的mnoy的第二蜂窝无线网络220。无线设备111可以经由与基站222的连接240从mnoy的第二蜂窝无线网络220获得对服务的访问,其中该基站在由指示的边界229包围的覆盖区域上方提供服务。无线设备111周期性地或在事件驱动的基础上刷新由无线设备111维护的安全配置。例如,在一些实施方案中,基于从数据库213经由基于网络的服务器212提供的信息来刷新无线设备111的安全配置(图2a中未明确示出区域2中基于网络的服务器212与mnoy的第二蜂窝无线网络220之间的连接,但是该连接可与mnox的第一蜂窝无线网络210的连接216一样存在)。在一些实施方案中,在全球基础上(例如,在多个区域中,包括在区域1和区域2中)为无线设备111提供对通用数据库213的访问。在一些实施方案中,使用分布在不同地理区域的多个基于网络的服务器212以分布式方式实现数据库213的功能,例如,以提供冗余并避免在经由基于网络的服务器212访问可从数据库213获取的信息时出现单点故障。
图2b示出了示例性场景的示图250,其中无线设备111初始在时间t0和位置v处观察从伪基站258接收的通信链路260信号。然后,无线设备111沿路径259移动并在时间t1到达位置b,其中第一位置v和第二位置b两者都在由mnox的无线网络210的边界219限定的区域内。无线设备111可以检测到无线设备的位置是b,并且基站298由mnox操作。安全条件可能会基于从位置v移动到位置b而发生变化。无线设备111可以确定要执行的安全动作并且随后在位置b处执行该确定的安全动作。该安全动作可包括经由基站298建立与mnox的第一蜂窝无线网络210的连接270,诸如数据连接和/或语音连接。无线设备111可以避免与先前从其接收信号的伪基站258建立数据连接或语音连接。(需注意,通信链路260可以指示由伪基站258发送的信号的接收,但是不需要指示在无线设备111和伪基站258之间建立了连接。)在一些实施方案中,无线设备111基于从伪基站258接收的一个或多个消息并且基于与无线设备111维护的安全配置中包含的信息的比较来确定伪基站258可能并非由其自身所表示,例如,伪装成mnox的基站。在一些实施方案中,无线设备111基于从mnox的基站298接收的一个或多个消息并且基于与无线设备111维护的安全配置中包含的信息的比较来确定基站298是真实的。这样,无线设备可以确定忽略来自伪基站258的通信,并且/或者临时禁止伪基站258一段有限时间段,并且/或者将伪基站258无限期添加到黑名单中(或者直到稍后基于附加信息或随后对伪基站258身份的重新评估而改变)。
图3a示出了根据一些实施方案的用于蜂窝安全性框架的示例性逻辑的示图300。在301处,无线设备111确定位置、识别移动网络运营商(mno)并且/或者经历网络事件。在302处,无线设备111基于所确定的位置、基于mno的身份并且/或者基于网络事件来确定安全动作。
图3b示出了根据一些实施方案的用于蜂窝安全性框架的另外示例性逻辑的示图350。在351处,无线设备111确定无线设备111的位置,该位置表示为r。位置r可表示为例如由无线设备111确定的一组地理坐标(例如,纬度和经度),或者由区域标识符(例如,由蜂窝无线网络的网络实体广播且由无线设备111观察的移动国家代码(mcc))表示。在353处,无线设备111观察基站并识别可经由基站向其提供服务的mno。在354处,在一些实施方案中,无线设备111刷新由无线设备111维护的安全配置。
在355处,无线设备111例如通过从安全配置进行读取和/或解析来获得可在所确定的位置r处应用的mno特性的模板。mno特性的模板可以包括信息记录或数据量,该信息记录或数据量包括用于引导无线设备111关于无线设备111可以在各种条件下采取的各种安全动作的规则。在一些实施方案中,无线设备111通过使用所确定的位置r(例如,移动国家代码(mcc))和/或使用mno的身份(例如,移动网络代码(mnc))索引到安全配置中来访问来自安全配置的信息。
在356处,无线设备111在一些情况下识别网络触发事件(表示为e)的发生。网络触发事件e可以与mno操作的基站相关联,例如基于由基站广播的信息,无线设备111从该基站接收命令以触发事件e。基站可以是与mno相关联的无线网络的真基站。然而,基站也可以是冒充mno的基站的伪基站。可指示基站不是真实的网络触发事件e的示例可以包括命令无线设备111执行电路交换回退(csfb)过程,以从使用加密的4g或5g配置切换为使用不加密或弱加密的第二代(2g)配置(使用2g无线通信协议)。无线设备111在359处响应于网络触发事件e确定要采取的安全动作。无线设备111可以使用从安全配置获得的mno特性的模板,并且在一些实施方案中,结合特定网络触发事件e使用,以确定要采取的安全动作。无线设备111可以评估网络触发事件e并确定由网络触发事件e请求的动作具有源自mno的真实基站的高可能性(例如,等于或高于阈值)还是具有低可能性(例如,低于阈值)(并且因此可能源自冒充mno的真实基站的伪基站)。在示图350中,无线设备111从359分支到指示为360、362、365、369或371的若干不同的可能安全动作中的一者。
在一些情况下,无线设备111在360处忽略从基站接收(或由来自基站的消息指示)的网络命令。例如,在一些实施方案中,当基站请求无线设备111提供无线设备111的未加密身份值(诸如,来自无线设备111的国际移动用户身份(imsi)值或国际移动设备身份(imei)值)时,特别是当预期不需要这种未加密信息时,无线设备111可忽略提供这种信息的网络命令而不是提供信息。在忽略网络命令之后,在一些实施方案中,无线设备111在361处继续经由从其中接收网络命令的基站预占和/或通信,但是没有提供所请求的身份值。
在一些情况下,无线设备111在362处向无线设备111的用户提供警告,例如经由无线设备111的用户界面呈现通知。在一些实施方案中,无线设备111警告用户正在进行或新建立的连接不包括加密因此可能遭受窃听,或者包括可能易受黑客攻击的弱加密。任选地,在363处,无线设备111例如经由在无线设备111的用户界面中进行的输入,请求来自无线设备111的用户的关于是否根据警告通知中呈现的信息继续建立连接或以其他方式继续正在进行的动作的确认。
作为示例,通常期望在家庭蜂窝无线网络上启用的加密的mnox的客户(例如,当在美国操作时)可以漫游到未被家庭蜂窝无线网络覆盖的区域中(例如,中国)的受访蜂窝无线网络。用户可能遇到这样的状况:经由受访蜂窝无线网络建立的连接使用弱加密或没有启用加密(2g服务)。在这种情况下,无线设备111可以检测到这种状况并确定通知无线设备111的用户在受访蜂窝无线网络上未使用通常在家庭蜂窝无线网络上预期的安全特征。无线设备111的用户可以响应于通知警告确定要采取的若干不同动作中的任何动作。例如,无线设备111的用户可以用指示进行响应以正常进行并继续在受访蜂窝无线网络上的连接。另选地,用户还可以通过终止不使用加密或仅使用弱加密的连接来响应来自无线设备111的警告通知。无线设备111的用户还可以通过允许连接继续但同时在连接期间阻止敏感信息的通信来进行响应。虽然提供漫游到不同区域中的不同网络作为示例,但是当在家庭蜂窝无线网络上操作无线设备111时,相同的逻辑可以应用于连接能力变化或意外配置。例如,如果当无线设备111在家庭蜂窝无线网络上操作时,mnox选择性地禁用和/或减弱加密或认证过程,则无线设备111可以警告用户家庭蜂窝无线网络的异常行为。无线设备111可与伪基站258通信,如图2b所示,而不是与mnox的真基站298通信。当禁用加密时,当减弱加密配置时,并且/或者当绕过全部或部分认证过程时,可以向无线设备111的用户通知该行为,并且在一些情况下可以建议该用户采取响应动作。在一些情况下,无线设备111的用户可以确定合法网络运营商是否正在实施不良安全实践。
在一些实施方案中,无线设备111响应于现有或建议的连接配置,经由无线设备111的用户界面提供对安全级别的评估。在一些实施方案中,无线设备111经由通知警告和/或经由用户界面图标向用户通知当前安全级别,同时可以将该当前安全级别与家庭蜂窝无线网络的期望安全级别进行比较。在一些实施方案中,无线设备111提供加密配置的指示,例如正在使用未加密、弱加密或强加密还是建议使用未加密、弱加密或强加密来与基站进行连接。
在一些情况下,无线设备111忽略从基站(也可以称为“小区”)接收的一个或多个网络命令。无线设备111可以确定暂时地(例如,有限期地)或不确定地(例如,无限期地)忽略从基站接收的命令,直到以其他方式改变。无线设备111可以确定忽略从基站接收的所选命令还是所有命令。无线设备111可以评估网络命令以确定基站的恶意活动级别。用于无线设备111忽略基站的动作的示例包括在365处将基站列入黑名单,这可以将基站的指示符添加到无线设备111将不会连接的基站列表中;并且在367处禁止该基站,这可以包括有限期地忽略(例如,忽略十五分钟)来自基站的命令。
在一些情况下,无线设备111在365处例如基于对从基站接收的各种消息进行的评估和/或基于经由数据库查询和/或由无线设备111维护的信息历史获得的信息比较,来确定基站是伪基站的足够高的可能性。在一些实施方案中,无线设备111将基站有限期地置于暂时禁止的基站列表上,并且随后在367处扫描另一个基站,同时忽略来自暂时禁止的基站的任何接收消息。
在一些情况下,无线设备111在369处肯定地确定基站是伪基站,并且将该基站无限期地置于黑名单上。无线设备111随后可以在将所识别的伪基站列入黑名单之后在367处扫描另一个基站。
在一些情况下,无线设备111确定继续与当前基站通信没有风险或有可接受的低风险,并且在371处继续正常行为。在一些实施方案中,正常行为可以包括接受来自基站的寻呼、接受来自基站的呼入呼叫、接受来自基站的短消息服务(sms)消息、与基站进行语音呼叫或建立数据连接(或两者),以及/或者经由基站继续正在进行的语音呼叫和/或数据连接。
代表性实施方案
在一些实施方案中,一种用于管理无线设备的安全的方法包括:无线设备(i)确定无线设备的目前位置r;(ii)观察与移动网络运营商(mno)相关联的基站;(iii)至少部分地基于r和mno,从由无线设备维护的安全配置中获得网络行为模板;(iv)识别网络触发事件e;(v)至少部分地基于行为模板和网络触发事件e来确定安全动作;并且(vi)执行安全动作。
在一些实施方案中,该方法还包括无线设备至少基于在识别mno之后从基于网络的服务器获得的信息来更新由无线设备维护的安全配置。在一些实施方案中,基于网络的服务器由除mno之外的实体维护。在一些实施方案中,基于网络的服务器为多个mno提供信息。在一些实施方案中,基于网络的服务器在全球基础上为mno提供信息。在一些实施方案中,基于网络的服务器在本地基础上为mno提供无线设备在其中操作的区域的信息。在一些实施方案中,网络触发事件e包括由无线设备从基站接收无线电资源控制(rrc)命令。在一些实施方案中,网络触发事件e包括改变无线设备和/或无线设备和基站之间建立(或要建立)的连接的配置的安全设置。在一些实施方案中,网络触发事件e包括将控制平面和/或用户平面的加密能力降低到与mno的无线通信协议不一致的级别。在一些实施方案中,网络触发事件e包括请求关于无线设备的唯一私有信息,诸如无线设备的唯一标识。在一些实施方案中,网络触发事件e包括由无线设备接收在没有用户平面加密的情况下与基站通信的命令。在一些实施方案中,网络触发事件e包括由无线设备接收使用缺少用户平面加密的无线通信协议与第二基站通信的重定向命令。在一些实施方案中,重定向命令与电路交换回退(csfb)过程相关联,以将通信从基站传送到第二基站。在一些实施方案中,安全动作包括经由无线设备的用户界面提供通知警告。在一些实施方案中,安全动作包括经由无线设备的用户界面提供对用于与基站通信的安全设置的指示。在一些实施方案中,安全动作包括忽略向基站提供无线设备的未加密唯一标识符的请求。在一些实施方案中,未加密唯一标识符包括无线设备的国际移动用户标识符(imsi)或国际移动设备标识符(imei)。在一些实施方案中,安全动作包括有限期地禁止与基站连接。在一些实施方案中,安全动作包括将基站的标识符添加到限制无线设备与其通信或建立连接的基站的黑名单。在一些实施方案中,安全动作包括经由基站利用mno进行认证。在一些实施方案中,确定无线设备的目前位置r包括至少部分地基于从以下各项中的一者或多者获得的信息来确定无线设备在其中操作的区域:全球定位系统(gps)卫星、蜂窝无线网络实体或无线局域网接入点。在一些实施方案中,所获得的用于确定无线设备的目前位置r的信息包括从基站获得的移动国家代码(mcc)。在一些实施方案中,该方法还包括无线设备至少部分地基于在由基站广播的消息中接收的移动国家代码(mcc)和/或移动网络代码(mnc)来识别mno。在一些实施方案中,安全动作包括经由无线设备的用户界面提供通知警告,该通知警告指示缺少用户平面加密和/或信号平面加密。
在一些实施方案中,无线设备包括(i)无线电路,该无线电路包括一个或多个天线;以及(ii)处理电路,该处理电路通信地耦接到无线电路并且包括一个或多个处理器以及存储指令的存储器,所述指令在由一个或多个处理器执行时使得无线设备执行包括以下操作的动作:(a)确定无线设备的目前位置r;(b)观察与移动网络运营商(mno)相关联的基站;(c)至少部分地基于r和mno,从由无线设备维护的安全配置中获得网络行为模板;(d)识别网络触发事件e;(e)至少部分地基于行为模板和网络触发事件e来确定安全动作;以及(f)执行安全动作。
在一些实施方案中,由无线设备执行的动作还包括无线设备至少基于在识别mno之后从基于网络的服务器获得的信息来更新由无线设备维护的安全配置。在一些实施方案中,基于网络的服务器由除mno之外的实体维护。在一些实施方案中,基于网络的服务器为多个mno提供信息。在一些实施方案中,基于网络的服务器在全球基础上为mno提供信息。在一些实施方案中,基于网络的服务器在本地基础上为mno提供无线设备在其中操作的区域的信息。在一些实施方案中,网络触发事件e包括由无线设备从基站接收无线电资源控制(rrc)命令。在一些实施方案中,网络触发事件e包括改变无线设备和/或无线设备和基站之间建立(或要建立)的连接的配置的安全设置。在一些实施方案中,网络触发事件e包括将控制平面和/或用户平面的加密能力降低到与mno的无线通信协议不一致的级别。在一些实施方案中,网络触发事件e包括请求关于无线设备的唯一私有信息,诸如无线设备的唯一标识。在一些实施方案中,网络触发事件e包括由无线设备接收在没有用户平面加密的情况下与基站通信的命令。在一些实施方案中,网络触发事件e包括由无线设备接收使用缺少用户平面加密的无线通信协议与第二基站通信的重定向命令。在一些实施方案中,重定向命令与电路交换回退(csfb)过程相关联,以将通信从基站传送到第二基站。在一些实施方案中,安全动作包括经由无线设备的用户界面提供通知警告。在一些实施方案中,安全动作包括经由无线设备的用户界面提供对用于与基站通信的安全设置的指示。在一些实施方案中,安全动作包括忽略向基站提供无线设备的未加密唯一标识符的请求。在一些实施方案中,未加密唯一标识符包括无线设备的国际移动用户标识符(imsi)或国际移动设备标识符(imei)。在一些实施方案中,安全动作包括有限期地禁止与基站连接。在一些实施方案中,安全动作包括将基站的标识符添加到限制无线设备与其通信或建立连接的基站的黑名单。在一些实施方案中,安全动作包括经由基站利用mno进行认证。在一些实施方案中,确定无线设备的目前位置r包括至少部分地基于从以下各项中的一者或多者获得的信息来确定无线设备在其中操作的区域:全球定位系统(gps)卫星、蜂窝无线网络实体或无线局域网接入点。在一些实施方案中,所获得的用于确定无线设备的目前位置r的信息包括从基站获得的移动国家代码(mcc)。在一些实施方案中,由无线设备执行的动作还包括无线设备至少部分地基于在由基站广播的消息中接收的移动国家代码(mcc)和/或移动网络代码(mnc)来识别mno。在一些实施方案中,安全动作包括经由无线设备的用户界面提供通知警告,该通知警告指示缺少用户平面加密和/或信号平面加密。
在一些实施方案中,可配置用于在无线设备中操作的装置包括(i)处理器;以及(ii)存储器,该存储器通信地耦接到处理器并且存储指令,所述指令在由处理器执行时使得无线设备执行包括以下操作的动作:(a)确定无线设备的目前位置r;(b)观察与移动网络运营商(mno)相关联的基站;(c)至少部分地基于r和mno,从由无线设备维护的安全配置中获得网络行为模板;(d)识别网络触发事件e;(e)至少部分地基于行为模板和网络触发事件e来确定安全动作;以及(f)执行安全动作。
在一些实施方案中,由无线设备执行的动作还包括无线设备至少基于在识别mno之后从基于网络的服务器获得的信息来更新由无线设备维护的安全配置。在一些实施方案中,基于网络的服务器由除mno之外的实体维护。在一些实施方案中,基于网络的服务器为多个mno提供信息。在一些实施方案中,基于网络的服务器在全球基础上为mno提供信息。在一些实施方案中,基于网络的服务器在本地基础上为mno提供无线设备在其中操作的区域的信息。在一些实施方案中,网络触发事件e包括由无线设备从基站接收无线电资源控制(rrc)命令。在一些实施方案中,网络触发事件e包括改变无线设备和/或无线设备和基站之间建立(或要建立)的连接的配置的安全设置。在一些实施方案中,网络触发事件e包括将控制平面和/或用户平面的加密能力降低到与mno的无线通信协议不一致的级别。在一些实施方案中,网络触发事件e包括请求关于无线设备的唯一私有信息,诸如无线设备的唯一标识。在一些实施方案中,网络触发事件e包括由无线设备接收在没有用户平面加密的情况下与基站通信的命令。在一些实施方案中,网络触发事件e包括由无线设备接收使用缺少用户平面加密的无线通信协议与第二基站通信的重定向命令。在一些实施方案中,重定向命令与电路交换回退(csfb)过程相关联,以将通信从基站传送到第二基站。在一些实施方案中,安全动作包括经由无线设备的用户界面提供通知警告。在一些实施方案中,安全动作包括经由无线设备的用户界面提供对用于与基站通信的安全设置的指示。在一些实施方案中,安全动作包括忽略向基站提供无线设备的未加密唯一标识符的请求。在一些实施方案中,未加密唯一标识符包括无线设备的国际移动用户标识符(imsi)或国际移动设备标识符(imei)。在一些实施方案中,安全动作包括有限期地禁止与基站连接。在一些实施方案中,安全动作包括将基站的标识符添加到限制无线设备与其通信或建立连接的基站的黑名单。在一些实施方案中,安全动作包括经由基站利用mno进行认证。在一些实施方案中,确定无线设备的目前位置r包括至少部分地基于从以下各项中的一者或多者获得的信息来确定无线设备在其中操作的区域:全球定位系统(gps)卫星、蜂窝无线网络实体或无线局域网接入点。在一些实施方案中,所获得的用于确定无线设备的目前位置r的信息包括从基站获得的移动国家代码(mcc)。在一些实施方案中,由无线设备执行的动作还包括无线设备至少部分地基于在由基站广播的消息中接收的移动国家代码(mcc)和/或移动网络代码(mnc)来识别mno。在一些实施方案中,安全动作包括经由无线设备的用户界面提供通知警告,该通知警告指示缺少用户平面加密和/或信号平面加密。
图4示出了根据一些实施方案的可用于实现本文所述的各种方法的代表性计算设备400的详细视图。具体地讲,该详细视图示出了可以包括在ue111中的各种部件。如图4所示,计算设备400可以包括一个或多个处理器402,所述处理器表示用于控制计算设备400的总体操作的至少一部分的微处理器或控制器。计算设备400还可以包括用户输入设备408,该用户输入设备允许计算设备400的用户与计算设备400进行交互。例如,用户输入设备408可以采取多种形式,诸如按钮、小键盘、拨号盘、触摸屏、音频输入接口、视觉/图像捕获输入接口、传感器数据形式的输入等。更进一步地,计算设备400可以包括可以由一个或多个处理器402控制以向用户显示信息的显示器410。数据总线416可以促进至少存储设备440、一个或多个处理器402和控制器413之间的数据传输。控制器413可以用于通过设备控制总线414来与不同设备进行交互并对其进行控制。计算设备400还可以包括耦接到数据链路412的网络/总线接口411。在无线连接的情况下,网络/总线接口411可以包括无线收发器。
计算设备400还包括可以包括单个磁盘或多个磁盘(例如,硬盘驱动器)的存储设备440,并且包括管理存储设备440内的一个或多个分区的存储管理模块。在一些实施方案中,存储设备440可以包括闪存存储器、半导体(固态)存储器等。计算设备400还可以包括随机存取存储器(ram)420和只读存储器(rom)422。rom422可以存储将以非易失性方式执行的程序、实用程序或进程。ram420可以提供易失性数据存储,并且存储与计算设备400的操作相关的指令。计算设备400还可以包括安全元件(se)450,该安全元件可表示ue111的euicc108。
可单独地或以任何组合方式来使用所述实施方案的各个方面、实施方案、具体实施或特征。可由软件、硬件或硬件与软件的组合来实现所述实施方案的各个方面。所述实施方案还可体现为非暂态计算机可读介质上的计算机可读代码。非暂态计算机可读介质为可存储数据的任何数据存储设备,该数据其后可由计算机系统读取。非暂态计算机可读介质的示例包括只读存储器、随机存取存储器、cd-rom、dvd、磁带、硬盘驱动器、固态驱动器和光学数据存储设备。
在上述描述中,为了解释的目的,所使用的特定命名提供对所述实施方案的彻底理解。然而,对于本领域的技术人员而言将显而易见的是,实践所述实施方案不需要这些具体细节。因此,对特定实施方案的前述描述是出于例示和描述的目的而呈现的。这些描述不旨在被认为是穷举性的或将所述的实施方案限制为所公开的精确形式。对于本领域的普通技术人员而言将显而易见的是,根据上述教导内容,许多修改和变型是可能的。