移动通信设备的安全性.pdf

用于与无线网络进行通信的移动通信设备，包括其上存储有数据的电子存储器，连接到该存储器用于访问数据的处理器，连接到该处理器用于与该无线网络和该处理器交换信号的通信子系统，连接的用户输入接口响应于用户操作把用户输入信号发送到该处理器，和与该处理器结合的用于检测触发条件的安全模块并且如果检测触发条件后没有检测到用户迂回操作则自动采取安全操作。

1.  一种用于与无线网络进行通信的移动通信设备，包括：
其上存储有数据的电子存储器；
与所述存储器相连的处理器，用于访问该数据；
与所述处理器相连的通信子系统，用于与所述无线网络和所述处理器交换信号；
相连的用户输入接口，将用户输入信号发送到处理器以响应于用户操作；以及
与处理器相关的安全模块，用于检测触发条件，并且在检测到触发条件后，如果通过用户输入接口没有检测到用户迂回操作，则自动采取安全操作。

2.  根据权利要求1所述的移动通信设备，其特征在于安全操作包括从存储器中擦除所有或选定的数据以保护该数据。

3.  根据权利要求1所述的移动通信设备，其特征在于安全操作包括从存储器中加密所有或选定的数据以保护该数据。

4.  根据权利要求1所述的移动通信设备，其特征在于所述数据包括移动设备在无线网络上成功进行通信所需的服务数据以及所述安全操作包括从存储器中擦除服务数据。

5.  根据权利要求1所述的移动通信设备，其特征在于安全操作包括使该设备与该无线网络通信的能力无效。

6.  根据权利要求1所述的移动通信设备，其特征在于触发条件包括设备和无线网络之间的通信特性与预定阈值的差异。

7.  根据权利要求6所述的移动通信设备，其特征在于通信特性包括设备和无线网络之间的消息传输模式。

8.  根据权利要求1所述的移动通信设备，其特征在于触发条件包括设备在预定时间期限内没有与无线网络进行通信。

9.  根据权利要求1所述的移动通信设备，其特征在于触发条件包括用户输入接口的使用与预定阈值的差异。

10.  根据权利要求9所述的移动通信设备，其特征在于用户输入接口包括键盘或小键盘，以及触发条件包括用户输入接口在预定持续时间内的休止状态。

11.  根据权利要求1所述的移动通信设备，其特征在于在检测到触发条件后，如果在预定的持续时间内没有检测到用户迂回操作，则安全模块采取安全操作。

12.  根据权利要求11所述的移动通信设备，其特征在于在检测到触发条件后，如果在用户采取用户迂回操作的预定尝试次数内没有检测到用户迂回操作，则安全模块采取安全操作。

13.  根据权利要求1所述的移动通信设备，其特征在于用户迂回操作包括通过用户输入接口输入由设备和用户共享的秘密密钥。

14.  根据权利要求1所述的移动通信设备，其特征在于所述设备包括用于向用户发布操作提示的用户输出设备，所述安全模块使一旦检测到触发条件就发布提示。

15.  一种用于为向配置成在无线通信网络上进行通信的无线通信设备提供安全性的方法，包括步骤：
(a)监控触发条件；
(b)在触发条件发生后，在该移动通信设备处监控预定的用户迂回操作；以及
(c)当在触发条件发生后的预定持续时间内未检测到预定的用户迂回操作时，自动采取安全操作来保护存储在移动通信设备上的数据。

16.  根据权利要求15所述的方法，其特征在于存储在移动通信设备上的数据包括移动通信设备在无线通信网络上进行通信所需的服务数据，安全操作包括永久地擦除存储在该移动通信设备上的服务数据。

17.  根据权利要求15所述的方法，其特征在于安全操作包括加密存储在移动通信设备上的至少部分服务数据。

18.  根据权利要求15所述的方法，其特征在于触发条件包括通信设备和无线通信网络之间在预定持续时间内没有通信。

19.  根据权利要求15所述的方法，特征在于包括一旦触发条件发生就提示用户采取操作的步骤。

20.  根据权利要求15所述的方法，特征在于包括监控用户迂回操作尝试的次数，以及在步骤(c)中，如果在预定尝试次数内没有成功的采取用户迂回操作，则还采取安全操作。

21.  根据权利要求15所述的方法，其特征在于在预定持续时间期间，至少暂停该设备的某些通信功能。

22.  一种计算机程序产品，包括计算机可读介质，携带用于为配置成在无线通信网络上进行通信的无线通信设备提供安全性的计算机程序代码装置，所述计算机程序代码装置包括用于以下步骤的装置：
(a)监控触发条件；
(b)在触发条件发生后，在移动通信设备处监控用户迂回操作；以及
(c)当在触发条件发生后的预定持续时间内未检测到用户迂回操作时，自动采取安全操作来保护存储在移动通信设备上的数据。

23.  根据权利要求22所述的产品，其特征在于从物理介质和所传输的信号中选择计算机可读介质。

移动通信设备的安全性
技术领域
本发明涉及移动通信。
背景技术
移动通信设备的移动性导致其有时候会丢失或者被盗。经常地，损失存储在丢失的设备上的信息比损失该设备本身更令人焦虑。例如，在该设备上可能存储有如果被其他人得到会带来危害的敏感的和/或机密的信息。其中，这些敏感信息包括存储的机密性消息，以及所存储的允许第三方电子地伪装成该移动设备合法属于者的通信信息。
在一些移动通信网络中，一旦用户发现他的或她的移动设备丢失，他或她可以联系该网络操作员并且请求向丢失的移动设备发送一个“删除分组”来指导该设备从其存储器中擦除敏感信息。然而，这样的系统需要用户认识到该移动设备丢失以及该移动设备正与该网络通信。如果该用户依靠该设备来通信，则他们可能无法以及时的方式报告其丢失或被盗了。
因此，移动通信设备的安全性值得关注。
发明内容
根据本发明的典型实施例，提供了一种与无线网络进行通信的移动通信设备。该移动通信设备包括其上存储有数据的电子存储器；与该存储器的相连的处理器，用于访问数据；与处理器相连的通信子系统，用于与无线网络和处理器交换信号；相连的用户输入接口，发送用户输入信号到该处理器以响应用户操作；以及与该处理器相关联的安全模块，用于检测触发条件，并且如果在检测到触发条件后没有检测到用户迂回操作，则自动采取安全措施。
根据本发明的另一个典型实施例，提供了一种为配置成在无线通信网络上进行通信的移动通信设备提供安全性的方法，包括步骤：(a)监控触发条件；(b)触发条件出现后，在该移动通信设备上监控用户迂回操作；和(c)在预定条件出现后未检测到该用户迂回操作，自动采取措施来保护存储在该移动通信设备上的数据。
本领域的普通技术人员基于以下本发明的具体实施例的描述并结合附图将清楚的得知本发明的其它方面和特点。
附图说明
现在参考附图，描述仅作为实例的本发明的实施例，其中：
图1是示出了包括应用本发明的移动通信设备的通信系统的方框图；以及
图2是根据本发明实施例的安全过程的流程图。
所有附图中使用相同的参考数字来表示相似的部件和特征。
具体实施方式
现在参考附图，图1是在典型实施例中应用本发明的移动通信设备10的方框图。该移动通信设备10是双向通信设备，至少具有数据并且最好还具有语音通信能力。该设备最好具有在因特网上与其它计算机系统进行通信的能力。依赖于该设备所提供的功能，在不同实施例中，该设备可以是数据通信设备、配置成数据和语音通信的多模式通信设备、移动电话、能用于无线通信的PDA(个人数字助理)、或具有无线调制解调器的计算机系统。
该设备包括通信子系统11，包括接收器12，发射器14，和相关部件，例如一个或多个最好是嵌入式或内置的天线部件16和18；本地振荡器(LO)13；以及处理模块，例如数字信号处理器(DSP)20。通信领域的技术人员显而易见的是，通信子系统11的具体设计将依赖于运行该设备的通信网络。
将天线16通过无线通信网络50接收到的信号输入到接收器12，该接收器可以实现普通接收器功能，例如信号放大、降频变换、滤波、信道选择等，以及在一些实施例中的模数转换。按照类似的方式，DSP20处理要传输的信号，包括例如调制和编码，并且将其输入到发射器14，用于数模转换、升频变换、滤波、放大和经天线18在通信网络50上传输。在某些设备实施例中，天线16和天线18可以是相同的天线而其它的实施例包括针对接收器天线和发射器天线的两种单独的天线系统。
设备10包括控制整个设备操作的微处理器38。该微处理器38与通信子系统11交互作用，而且还进一步与设备子系统交互作用，例如显示器22、闪存24、随机存取存储器(RAM)26、辅助输入/输出(I/O)子系统28、串行端口30、键盘或小键盘32、扬声器34、麦克风36、近程通信子系统40和通常表示为42的其它任何设备子系统。
图1中所示的一些子系统执行通信相关的功能，而其它子系统可以提供“固有的”或设备上的功能。特别地，一些子系统，例如键盘32和显示器22，既可以用于通信相关的功能，如输入文本消息以在通信网络上传送，又可以用于设备固有的功能，如计算器或任务列表。
在一个典型实施例中，微处理器38所使用的操作系统软件54和多种软件应用程序58被存储在例如闪存24的永久存储器中或相似地存储元件中。本领域的技术人员将会理解，可以暂时将操作系统54、特定设备应用程序58或其中的一部分加载到例如RAM26之类的易失性存储器中。设想也可以将所接收的通信信号存储到RAM26中。
除了其操作系统功能之外，微处理器38最好能够在该设备上运行软件应用程序58。控制基本设备操作的一组预定应用程序58，例如至少包括数据和语音通信应用程序，通常在制造过程中被安装在设备10上。也可以通过网络50、辅助I/O子系统28、串行端口30、近程通信子系统40或任何其它适合的子系统42将更多的应用程序加载到设备10上，并且由用户安装到RAM26或由微处理器38运行的非易失性存储器中。应用程序安装中的灵活性增加了设备的功能并且可以提供增强的设备上的功能、通信相关的功能，或者两种兼有。例如，安全通信应用程序使得利用设备10可以完成电子商务功能和其它金融交易。
在数据通信模式中，由通信子系统11来处理例如文本消息或网页下载之类接收到的信号并将其输入到微处理器38，微处理器38能够更好地进一步处理所接收到的信号以输出到显示器22，或者可选地，输出到辅助I/O设备28。例如，设备10的用户也可以使用键盘32并结合显示器22以及可能的辅助I/O设备28编辑邮件消息之类的数据项目。然后，通过通信子系统11在通信网络上发送这样编辑的项目。
通常可以在个人数字助理(PDA)型通信系统中实现图1中的串行端口30，期望与用户的台式计算机(未示出)同步，但串行端口是可选的设备部件。这样的端口30能让用户除了通过无线通信网络之外，还能够通过外部设备或软件应用程序来设置首选项以及通过向设备10提供信息或软件下载来扩展设备的性能。
近程通信子系统40是在设备10和不同的系统或设备之间提供通信的另外部件，不必是相似的设备。例如，子系统40可以包括红外设备和相关的电路和部件，或Bluetooth通信模块，从而提供与相似的允许系统和设备的通信。设备10可以是手持设备。
在典型实施例中，无线网关62适于将从移动通信设备10接收到的数据分组经无线移动网络50路由选择到目的电子邮件信息，或通过无线连接器系统64路由选择到因特网接入服务器68，并且将通过无线连接器系统64从服务器68接收到的数据分组经无线移动网络50路由选择到目的移动通信设备。在典型实施例中，无线移动网络50是向设备10提供无线覆盖的无线分组数据网络(例如Mobitex  或DataTAC)，虽然其可以是任何其它类型的无线网络。根据无线网络50的类型，有必要利用一个向X.25连接提供TCP客户端接入的中间路由机制在TCP无线网关62连接和X.25或IP地址移动网络连接之间来路由数据分组，反之亦然。众所周知，其中，这样的无线机制可以使用NET ID(Data TAC)或FST MAN(Mobitex)以连接到无线移动网络50。
无线网关62在服务器和与无线电子邮件通信和/或因特网接入相关的无线网络之间形成连接或桥接器。特别地，无线网关62连接于无线网络50和包括无线连接器64和目的电子邮件服务器68的硬线数据网络之间。在典型实施例中，无线网关62存储系统配置信息、系统状态数据和存储移动设备10信息的表，并且还包括作为移动设备10和无线网关62之间的接口的无线传输模块。该无线传输模块利用上述的中间路由机制(即为X.25或UDP连接提供TCP客户端接入)与无线移动网络50通信，并且组合经无线移动网络50从移动设备10接收到的数据分组。一旦组合完数据分组，则将其发送到无线传输模块的上层，用于通过无线网关62到无线连接系统64进行处理，并且最终到达目的电子邮件服务器68。无线连接系统64是有线、中枢网络的一部分并且连接到无线网关62。无线连接系统64与无线网关62以及作为唯一地址连接到无线网关的每一个电子消息服务器进行通信。邮件服务器68与无线连接系统64相连，并且在一个实施例中，是一个传统的电子邮件服务器。
移动设备10把服务数据60和其它数据64存储到在一个典型实施例中是闪存24的可擦除不变存储器。在不同的实施例中，服务数据60包括移动设备创建和维护与无线通信网络50之间的通信所需要的信息(无线网络服务数据)和与无线网关62之间的通信所需要的信息(网关服务数据)。其中，其它数据64可以包括用户应用数据，如邮件信息、地址本和联系信息、日历以及日程信息、记事本文件、图像文件、和由用户存储在设备10上的其它普通存储的用户信息。其它数据64也可以包括由无线连接器系统64和服务器68管理的通信层所需要的数据。
为了给丢失或被盗的移动设备10提供安全性，设备10包括安全模块56，其在一个典型实施例中是软件部件，即操作系统54的一部分。在另一个实施例中，安全模块56是从操作系统54分离出来的专门软件应用程序58或是其一部分。安全模块56包括用于配置微处理器38的指令，以使设备10完成图2所示的安全过程200。安全过程200实际上是一个制动开关，其中当一个或多个预定触发条件发生时，其对设备进行配置，以命令用户采取预定的用户迂回或覆盖(override)操作，如果失败，则移动设备10将自动采取主动的安全措施。
在典型实施例中，只要移动设备10是开启的，安全过程200就处于激活状态。如步骤204所示，过程200包括步骤204，检验以查看一个或多个预定触发条件是否已经发生。周期性地执行这种检查步骤，直到触发事件发生。在一个典型实施例中，当移动设备10在一个预定时间期限内没有与无线网络50通信时，触发事件发生。如步骤206所示，当触发事件发生时，设备10提示用户采取迂回操作(步骤206)一例如，在一个实施例中，设备10提示用户通过键盘32输入密码或其它共享的秘密，或在具有语音识别功能的设备10中，通过话筒36输入。在不同的实施例中，除了代替输入密码或其它共享秘密以外，设备10还提示用户采取其它操作或操作组合，例如作为非限制性实例的以下操作：提示用户通过附属于设备10的读卡器来读取载有识别信息的卡；和/或提示用户移动该设备，以便重新创建与无线网络50的通信。在某些实施例中，设备10跳过步骤206并且不主动提示用户采取所需操作，而是在触发事件已经发生后期望采取所需操作。
如步骤208所示，触发事件已经发生之后以及提示用户行动后(在实施例中发出提示的情况下)，设备10然后确定是否采取所需操作。在不同的实施例中，在触发事件已经发生之后，必须在预定时间期限内(例如在“保险”时间内)成功的完成所需迂回操作，和/或在预定的尝试次数内完成动作(如，在三次尝试之内输入密码)，否则，设备10将开始采取预防安全的措施。在一个实施例中，安全模块56引起设备10暂时中止所有或选定的通信功能并且在保险时间内有效地变为不可操作，拒绝除了迂回操作以外的所有尝试的用户操作。因此，在保险时间期间，用户除了采取所需的迂回操作以外没有选择，例如，不能访问存储在设备上的数据或打电话(在能够打电话的设备中)或发送电子邮件(在能够发电子邮件的设备中)。在某些能够打电话的实施例中，在保险时间期间可以允许911呼叫。在可选的实施例中，在保险时间期间完全保留正常的功能。如果在保险时间期间成功地采取了所需的迂回操作，恢复设备的功能，并且安全过程返回到针对下一触发事件的监控(步骤204)。
现在转到步骤210，在预定的保险时间内或尝试限制内用户在步骤208没有成功的采取所需迂回操作的情况下，设备10自动地采取信息保护措施。在一个实施例中，设备10，为了保护存储在设备10上的数据免于落入不道德的人手中或未经授权的使用，安全模块56擦除或消除在设备10的永久和易失性存储器上存储的所有或选定的部分服务数据60。在一个典型实施例中，永久擦除创建和保留设备10和无线网关50之间的通信所需的服务数据60，有效地禁用了移动设备10的通信功能。在某些实施例中，该设备包括无线电话，可以专门保留911紧急服务。在不同的实施例中，也删除或有选择的删除通过无线网关62创建和保留通信所需的服务数据。在不同的实施例中，除了服务数据60以外或代替服务数据60，永久地从移动设备10的存储器中擦除移动设备10上的所有其它数据64的选定部分，包括用户数据如电子邮件消息、联系和地址簿列表、日历和日程信息、记事本文件、图像和文本文件和/或其它用户信息。因此，在步骤210中，在不同的实施例中，删除设备10作为通信设备运行所需的信息，以及删除关于用户秘密的任何文本或其它信息，从而从设备10中删除其中能被其它人用来伪装该设备10的授权用户的信息。在不同的实施例中，步骤210所采取的数据保护安全操作包括加密所有或选定的部分服务数据和/或其它数据，使这样的数据暂时不可用而不是将其删除。在这样的实施例中，设备10具有本地安装的加密引擎，以及存储在设备永久存储器中的用于加密的密钥。在加密过程期间或之后，删除加密密钥，或对其进行加密以保护。一旦被加密，必须从安全的第三方源(如无线网络50和/或无线网关62的操作员)处获得解密密钥来解密数据。
在不同的实施例中，其它预定触发条件在步骤204中是触发事件。例如，在一个实施例中，将用户输入与预定阈值的差异，例如在预定持续时间内没有键盘活动状态，用于触发用户操作的需要，如果没有，则采取信息保护措施。在某些实施例中，触发条件可以是基于通信、设备10的通知或惯用特性或模式的变化。例如，当设备在无线网络业务量上发送或接收的数据分组的量超出预定阈值时，或当通信中使用的基站模式不同于预定阈值时，产生触发条件。如果设备超出了预定的覆盖区，则产生触发条件。在某些实施例中，安全模块根据设备10的正常操作特性来自适应的配置用于确定触发条件的阈值。
上述的本发明的实施例仅用于实例。可选地，本领域技术人员在不背离由所附权利要求所限定的本发明的范围的前提下，可以对特定实施例作出替换、修改和改变。