CN102077626A - 用于wpan防火墙的系统和方法 - Google Patents
用于wpan防火墙的系统和方法 Download PDFInfo
- Publication number
- CN102077626A CN102077626A CN2009801254106A CN200980125410A CN102077626A CN 102077626 A CN102077626 A CN 102077626A CN 2009801254106 A CN2009801254106 A CN 2009801254106A CN 200980125410 A CN200980125410 A CN 200980125410A CN 102077626 A CN102077626 A CN 102077626A
- Authority
- CN
- China
- Prior art keywords
- wpan
- equipment
- request
- resource
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/088—Access security using filters or firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
- H04W88/04—Terminal devices adapted for relaying to or from another terminal or user
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W92/00—Interfaces specially adapted for wireless communication networks
- H04W92/02—Inter-networking arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本文提供了用于实现无线个人区域网(WPAN)安全性的系统和方法。如本文所公开的,可以针对具备WPAN能力的设备来实现防火墙功能,以控制通过WPAN对设备资源的访问。在一个示例中,可以将WPAN协议扩展为包括低层面访问控制措施,该低层面访问控制措施使得能够在对请求起作用之前分析到和/或来自设备的通信请求。如本文所述的,与设备相关联的WPAN防火墙可以被配置为阻止、监视和/或录入到和/或来自WPAN的相应资源访问。可以使用诸如应用编程界面(API)和/或用户控制界面的机制来配置如本文所述的WPAN防火墙功能。另外,可以提供用于设备所利用的WPAN和一个或多个其它网络的安全策略的横向管理。
Description
技术领域
本主题公开一般地涉及无线联网,并且更具体地,涉及用于无线个人区域网的数据安全的技术。
背景技术
随着对于移动计算设备的全球需求的增加,已经关于用于改善便携式设备之间的通信的技术进行了越来越多的研究。例如,无线通信技术的进步已经使得能够实现,并且使用无线个人区域网(WPAN),其允许少量的设备(例如,多达8个设备)位于彼此紧密接近的位置以参与高数据速率无线通信。
对于WPAN通信,已经采用或提出了诸如蓝牙的各种标准。然而,这些WPAN实施方式具有许多安全缺点。例如,如果攻击者能够成功地建立与目标设备的WPAN连接,则WPAN通常不提供鲁棒的机制来防止攻击者访问并获得存储在目标设备上的敏感信息和/或经由目标设备来恶意地利用WPAN服务。另外,常规WPAN实施方式通常不提供措施来防止具有对设备的物理访问的非设备所有人,诸如共同所有设备的个体操作者或被盗设备的持有人,建立与另一设备的WPAN,并且通过WPAN来在设备外传送敏感信息,或者以其它方式以未授权的方式来利用所建立的WPAN的服务。由于WPAN实施方式的至少这些安全缺点及其公共的恶名,可能潜在地受益于WPAN的使用的很多实体已经不愿意采用它们。因此,需要一种减轻至少上述缺点的网络安全技术。
发明内容
下面提出要求保护的主题的简化概要,以便于提供要求保护的主题的一些方面的基本理解。本概要不是要求保护的主题的广泛概观。既不希望识别要求保护的主题的关键或决定性要素,也不描述要求保护的主题的范围。其唯一的目的是以简化的形式提出要求保护的主题的一些概念作为稍后提出的更详细描述的前序。
本文提供了促进改善的WPAN安全性的系统和方法。更具体地,本文所述的各种方面促进用于具有WPAN能力的设备的防火墙功能的实现,以便于控制通过与设备相关联的一个或多个WPAN对设备资源的访问。例如,由设备利用的WPAN协议可以被扩展为包括低层面访问控制措施,这使得能够在设备对请求起作用之前分析对和/或来自设备的通信请求。在一个示例中,可以定义对于支持WPAN设备的允许的访问集,使得与设备相关联的防火墙阻止对和/或来自没有落入被允许集内的WPAN的所有访问。另外和/或替代地,如本文所述的防火墙可以监视并且登入设备通过WPAN进行的活动。然后,可以使用所登入的WPAN活动来获得关于攻击设备的信息、监视设备的使用和/或用于其它用途。
根据一个方面,可以利用WPAN防火墙功能来控制来自连接WPAN的设备的传入的请求以及用于从设备发起的通过WPAN进行通信的传出的请求。因此,可以另外地使用本文提供的防火墙功能来监视或限制具有对设备的物理访问的人的活动。根据另一方面,可以通过各种手段来配置如本文所述的WPAN防火墙,诸如经由用户控制界面或应用编程界面(API)。在一个示例中,可以将API防火墙控制实现为限制设备的物理用户修改在设备上实现的防火墙的参数的能力。另外,可以利用本文所述的各种方面来横向地调节用于WPAN和由设备利用的一个或多个其它网络的安全策略,其它网络诸如无线广域网(WWAN)或无线局域网(WLAN)。
以下描述和附图详细地阐述了要求保护的主题的特定说明性方面。然而,这些方面仅指示可以采用要求保护的主题的原理的各种方式,并且要求保护的主题意图包括所有这样的方面及其等价物。当结合附图来考虑时,从要求保护的主题的以下详细描述,要求保护的主题的其它优点和特点将变得明显。
附图说明
图1是根据各种方面的用于确保连接到无线网络的设备的安全的系统的框图。
图2是根据各种方面的用于保证系统资源安全的系统的框图。
图3是根据各种方面的用于录入无线网络活动的系统的框图。
图4是根据各种方面的用于配置WPAN防火墙的系统的框图。
图5是根据各种方面的用于管理用于多个网络连接的安全性的系统的框图。
图6图示了常规网络协议模型和蓝牙栈。
图7图示根据各种方面的用于蓝牙栈的防火墙扩展的实施方式。
图8是用于保证WPAN中的资源的安全的方法的流程图。
图9是限制对WPAN连接设备处的受保护资源的访问的方法的流程图。
图10是记录网络活动的方法的流程图。
图11是本文所述的各种方面能够在其中运行的计算系统的框图。
具体实施方式
现在参考附图来描述要求保护的主题,其中,一直使用相同的附图标记来表示类似的元件。在以下描述中,出于解释的目的,阐述了许多特定细节,以便于提供对要求保护的主题的全面理解。然而,可以显而易见的是,可以在没有这些特定细节的情况下实践要求保护的主题。在其它实例中,以框图的形式示出了公知的结构和设备,以便于促进描述要求保护的主题。
如在本申请中使用的术语“组件”、“模块”、“系统”等通常意在指计算机相关实体、硬件、硬件和软件的组合、软件、或在执行中的软件。例如,组件可以是但不限于是在处理器上运行的进程、处理器、对象、可执行的执行的线程、程序和/或计算机。举例来说,在控制器上运行的应用和控制器两者都可以是组件。一个或多个组件可以存在于执行的进程和/或线程内,并且组件可以在一个计算机上局部化和/或分布在两个或更多计算机之间。
此外,可以将要求保护的主题实现为使用标准编程和/或工程技术来产生软件、固件、硬件或其任何组合以控制计算机实现所公开的主题的方法、装置或制品。本文所使用的术语“制品”意在包括可从任何计算机可读设备、载体或介质访问的计算机程序。例如,计算机可读介质可以包括但不限于,磁存储设备(例如,硬盘、软盘、磁带…)、光盘(例如,压缩磁盘(CD)、数字多功能磁盘(DVD)…)、智能卡和闪速存储器设备(例如,卡、棒、键驱动器…)。另外,应认识到,可以采用载波来承载计算机可读电子数据,诸如在发射和接收电子邮件中或在访问诸如因特网或局域网(LAN)的网络中所使用的那些。当然,本领域的技术人员应认识到,在不脱离要求保护的主题的范围或精神的情况下可以对该构造进行许多修改。
此外,词语“示例性”在本文中用来指用作示例、实例或例示。在本文中被描述为“示例性”的任何方面或设计不一定被理解为相对于其它方面或设计是优选或有利的。相反,词语示例性的使用意在以具体的方式提出概念。在本申请中使用的术语“或”意在指包括性“或”而不是排他性“或”。也就是说,除非另外指明,或从上下文明确的,否则“X采用A或B”意在指任何自然包括性置换。也就是说,如果X采用A、X采用B、或X采用A和B二者,则在任何前述实例下,满足“X采用A或B”。另外,在本申请和所附权利要求中使用的冠词“一”通常应被理解为指“一个或多个”,除非另外指明或从上下文可清楚是针对单数形式。
现在参考附图,图1图示了根据本文所述的各种方面的用于保证连接到无线网络的设备的安全的系统100的框图。在一个示例中,系统100可以包括设备110和120,该设备110和120能够通过无线个人区域网(WPAN)130进行通信。应当认识到,设备110和/或120可以是通过WPAN 130进行通信的任何适当设备,诸如移动电话手机和/或头戴式耳机、个人数字助理(PDA)、条形码扫描器、台式或膝上型计算机和/或任何其它适当的固定或移动设备。另外,应认识到WPAN 130可以基于例如由电气和电子工程师协会(IEEE)802.15工作组提供的标准,诸如IEEE 802.15.1标准(例如,蓝牙)和/或任何其它适当的联网标准。此外,虽然系统100仅图示了两个设备110和120,但是任何适当数目的设备都能够参与通过WPAN的通信。
在另一示例中,系统100中的设备110可以具有与之相关联的各种系统资源112,其可以用于通过WPAN 130的通信和/或设备110的其它操作。例如,系统资源112可以包括数据文件、程序、通信服务或简档(例如,文件传送协议(FTP)、对象交换(OBEX)等)、联系人信息(例如,姓名、地址、电话号码等)等。
根据一方面,利用WPAN 130的设备110和/或120能够采用一个或多个常规基本安全特征来通过WPAN 130进行通信。例如,设备110和/或120能够在彼此连接和/或连接到WPAN 130时利用基本设备认证。使用基本认证,设备能够例如在检测到另一设备希望通过WPAN连接到该设备时向用户提供消息和/或用于用户批准的提示。可以另外地和/或替代地实现其它安全措施,诸如在允许通过WPAN在设备之间建立连接之前要求设备之间的个人识别号(PIN)交换。另外,设备110和/或120能够利用活动配对,其中,识别设备集合被给予相对于未识别设备的连接优先级。然而,这些常规安全措施常常作为具有WPAN能力的设备上的可选特征来被提供,并且因此,许多用户选择不使用这些特征,无法防止感觉到麻烦和/或缺少对由于不利用它们而引起的安全风险的理解。此外,这样的基本安全措施可能不可操作为防止来自希望在错误要求下向设备进行认证的所有攻击者的连接,拦截网络万能钥匙,或尽管存在安全措施都通过WPAN建立与设备的连接。
由于常规WPAN通信的本质,一旦连接设备已经通过WPAN建立了对目标设备的连接,则通常为连接设备提供对目标设备的所有资源的完全访问。传统上,不存在可以在通过WAPN 130对另一设备120的现有连接的上下文中保护设备110的系统资源112的鲁棒性机制。因此,关于这些及其它安全牵连的担忧已经使否则将以其他方式受益于WPAN技术的个人和组织之间的这样的技术的实现消沉。
因此,根据一方面,在系统100中操作的设备110可以包括安全组件114,该安全组件114可以用于在经由WPAN 130连接到另一设备120时保证设备110的系统资源112的安全。在一个示例中,安全组件114可以用作相关设备110与WPAN 130之间的防火墙,以基于预配置准则来阻止和/或监视对系统资源112的各种传入和/或传出访问。由于安全组件144可以用于控制在通过WPAN 130连接到关联设备110的另一设备120处对关联设备110的系统资源112的访问,所以可以认识到安全组件114能够减轻传统WPAN实施方式的安全缺点。
根据另一方面,可以以各种方式来配置安全组件114以促进对关联系统资源112的灵活的访问控制。例如,可以提供应用编程界面(API)和/或用户控制界面来允许与安全组件114相关联的设备的所有者控制安全组件114的操作。另外和/或替代地,可以提供一种机制,通过该机制安全组件114的操作可以被配置为匹配在关联设备110处提供的一个或多个其它安全措施的操作,以用于设备110所利用的其它网络连接,诸如无线局域网(WLAN)连接和/或无线广域网(WWAN)连接。
转到图2,图示了根据各种方面的用于保证系统资源112的安全的系统200。如上文相对于系统100描述的,系统资源112可以包括一个或多个文件212、服务214、关于联系人216的信息和/或用于关联的具有网络能力的设备的通信和/或其它功能的任何其它适当资源。如图2所图示的,系统200可以另外包括安全组件114,该安全组件114能够针对通过WPAN进行的未授权使用来保护关联系统资源112。
在一个示例中,安全组件114能够管理涉及系统资源112的传入和传出通信请求二者,以便于管理来自连接WPAN的设备的对系统资源112的传入请求以及来自通过WPAN将系统资源112存储在其上的设备的系统资源112的传出传送。因此,具有存储在其上的敏感信息的设备的所有者能够防止具有对设备的物理访问的设备的非所有者通过WPAN从设备传送敏感信息。这样的非所有者用户的示例可以包括但不限于,丢失或被盗设备的持有人、企业所有和/或队(fleet)所有设备的用户等。
根据一个方面,安全组件114可以包括访问控制组件222,该访问控制组件222分析对系统资源112的请求,并且基于一个或多个预定准则来允许或阻止相应请求。访问控制组件222所利用的准则可以包括,例如,预定义的允许和/或拒绝的通信简档集合、协议、设备地址和/或任何其它适当准则。通过特定示例的方式,访问控制组件222能够分析提供的通信请求的集合,并且使用FTP来拒绝或阻止涉及系统资源112通过WPAN的传送的请求。作为另一特定示例,访问控制组件222被配置为允许仅来自企业服务器的对系统资源112的传入请求,企业服务器管理与系统资源112相关联的设备所属于的一队设备。
根据另一方面,安全组件114可以另外地和/或替代地包括监视组件224,该监视组件224被动地监视涉及关联系统资源112的传入和/或传出通信请求,以便于获得关于各请求的信息。在一个示例中,可以定义一个或多个准则,以使得监视组件224能够基于所定义的准则通过涉及关联系统资源112的WPAN来监视传入和/或传出请求。这些准则可以包括,例如,通信简档集合、协议和/或要监视的设备地址和/或任何其它适当标准。替代地,监视组件224可以被配置为监视涉及关联系统资源112的所有请求。这样做可以例如汇编关于系统资源112被存储在其上的设备的操作的统计信息。然后,可以利用汇编的统计信息来执行用于设备的功率最优化,以检验设备的效率,监视工人生产率和/或用于任何其它适当目的。
现在参考图3,图示了用于录入无线网络活动的系统300。在一个示例中,系统300可以包括能够通过WPAN 130进行通信的设备110。如系统300进一步图示的,设备110可以具有存储在其上和/或以其他方式与之相关联的系统资源112,该设备110可以包括如本文一般描述的服务、信息、和/或其它适当资源。根据一个方面,还可以在设备110处提供安全组件114,以管理通过WPAN 130进行的通信和/或系统资源112的其它用途。
在一个示例中,可以与安全组件114相关联地和/或作为与设备110相关联的独立组件来提供监视组件224,以被动地监视与设备110相关联的系统资源112的传入和/或传出使用。另外地和/或替代地,监视组件224可以将对于系统资源112的传入和/或传出请求录入在访问日志310中。根据一方面,监视组件224可以在访问日志310中记录/汇编关于对系统资源112的相应请求的任何适当信息,诸如相应请求的日期和/或时间、关于进行相应请求的实体的地址和/或其它识别信息、在相应请求中指定的通信简档和/或其它适当信息。监视组件224可以将常见的信息集合记录在访问日志310中用于所有受监视的访问,或者替代地,可以基于一个或多个预定义因素来使用变化的信息集合,因素诸如被监视请求时间、发起者、或受监视的请求的性质和/或其它适当因素。在一个示例中,在汇编访问日志310时,访问日志310可以作为其关联系统资源112的一部分由安全组件114来管理和/或被视为独立于关联系统资源112。在另一示例中,由监视组件224执行的记录可能对于关联设备110和/或经由WPAN 130连接的其他设备的用户而言是透明的,使得不使用户意识到正在进行记录。
根据一方面,监视组件224可以保持用于对关联系统资源112的所有访问的访问日志310,或者替代地,监视组件224可以被配置为仅记录这样的访问的子集。例如,设备110的所有者或用户可以指定授权和/或未授权用户的类别(例如,通过通信简档、发起者身份、访问时间等),并且监视组件224可以被配置为仅记录被分类为未授权的那些访问请求。因此,在涉及对系统资源112的攻击的示例中,可以利用监视组件224来以透明的方式获得并且记录关于攻击及其发起者的信息,使得不使攻击的发起者意识到该攻击正在被记录在访问日志310中。随后,基于访问日志310中记录的信息,可以阻止系统资源112的未授权使用和/或可以采取其它适当行动。
根据另一方面,可以利用由监视组件224汇编的访问日志310来确定用于管理设备110的WPAN使用统计信息,用于在各种应用中用于管理设备110的操作。举例来说,可以监视在预定义的时间段(例如,小时、工作班次、天等)的过程中进行的许多WPAN连接,以促进设备功率使用的分析和/或最优化。作为另一示例,可以利用由监视组件224收集的使用统计信息来监视与设备110相关联的生产率。例如,在其中与监视组件224相关联的设备110是条形码扫描器的非限制性情况下,监视组件224可以在预定时间帧内汇编关于由设备110扫描的项目的数目的数据,并且随后可以将这些数据与基线或预期使用率作比较以确定用户生产率。
转到图4,图示了根据各种方面的用于配置WPAN防火墙的系统400。如图4所示,系统400可以包括安全组件114,安全组件114可以用作WPAN防火墙以保证对关联通信和/或计算资源(例如,系统资源112)的传入和/或传出访问的安全。在一个示例中,安全组件114可以通过基于定义的允许的访问集合420和/或定义的阻止的访问集合430来逐个请求地允许或拒绝对安全资源的访问来管理对安全资源的访问。另外地和/或替代地,安全组件114可以利用集合420和/或430来如上文相对于系统300所述地识别要监视和/或记录的请求。
根据一个方面,防火墙应用编程界面(API)412和/或用户控制界面414可以与安全组件114相关联,以允许一个或多个用户和/或其它实体定义集合420-430和/或WPAN防火墙的操作的其它适当方面。在一个示例中,可以相对于一个或多个通信简档,诸如FTP传送、OBEX传送和/或一个或多个其它适当使用情况,来定义允许的访问集合420和/或阻止的访问集合430。可以定义集合420-430,使得关于特定简档的所有通信请求被允许和/或拒绝,或者替代地,可以基于请求的发起者和/或请求的其它方面来允许和/或拒绝关于特定简档的通信请求。例如,可以利用防火墙API 412和/或用户控制界面414来将安全组件114配置为阻止尝试访问FTP简档的所有连接请求。替代地,在一些情况下,诸如其中请求源于企业服务器的情况,可以允许尝试访问FTP简档的连接请求,并且在其它情况下拒绝该连接请求。在另一示例中,可以基于连接请求的发起者来定义集合420-430。例如,不论所请求的简档如何,都可以利用防火墙API 412和/或用户控制界面414来将安全组件114配置为阻止来自还没有与关联设备配对和/或属于关联设备处的“信任”设备列表的设备的所有连接请求。
根据另一方面,防火墙API 412可以有关联设备的所有者和/或提供商用来定义对于安全组件114的低层面控制,同时可以利用用户控制界面414来促进由防火墙API 412定义的范围内的安全组件114的用户定制。在一个示例中,在防火墙API 412和用户控制界面414之间分布可配置的程度可以基于关联设备的用户的专业技术水平、关联设备的用户与其所有者之间的关系等。例如,具有关于安全配置的较多知识的用户可以由防火墙API 412给定较多的控制以经由用户控制界面414来配置安全组件114。作为另一示例,在用于诸如对所显示的提示进行响应等简单任务的一队终端(例如,为组织所有)并且由该队的所有者来执行终端管理的情况下,可以由防火墙API保持更多的控制,以便于促进终端的整体管理和编程。
作为附加示例,所有者和/或与所有者不同的对用户的设备的其它提供者商可以将防火墙API 412配置为,在设备包含要保护以免由用户进行传出传输的机密信息的情况下保持对安全组件114的操作的基本上高度的控制。例如,安全组件114和关联防火墙API 412可以用于与公司或其它组织相关联的一队设备,其中,利用机密信息来配置设备,使得其用户取法将机密信息传送到设备外面。在这样的示例中,设备可以具有促进其WPAN栈的基本配置的关联界面。设备的用户可能期望利用该界面和/或写入一个或多个程序,以便于通过WPAN从该设备传送机密信息;然而,如本文中一般描述的,可以利用关联安全组件114来防止这样的传送发生。此外,如果安全组件114被配置为利用防火墙PAPI 412作为基本上专用的访问机制,并且使得防火墙API 412成为私有的,则能够认识到,使得即使用户具有关于设备的足够知识及配置设备的通信栈的其基本WPAN功能,设备的用户也不能通过WPAN将机密信息传输到关联设备外面。
根据一个方面,可以利用防火墙API 412来提供多功能、低层面定制,用于安全组件114的操作及其关联的允许和/或拒绝的访问的相应集合420和430。在一个示例中,防火墙API 412可以是可编程的,使得具有对API 412的知识的开发者和/或其它实体能够创建一个或多个应用以配置API 412的操作。可以认识到,防火墙API 412的可编程性能够促进安全组件114的操作中的多功能性,因为开发者和/或另一实体能够写入应用以便调节指定任何可能的管理操作及其组合的API412。在另一示例中,可以与用户控制界面414相结合地利用防火墙API 412,使得防火墙API 412使可以由用户控制的安全组件114的操作的各方面局限于在用户控制界面414中指定的所选择的方面集合。在一个示例中,可以对关联设备的用户隐藏将防火墙API 412,使得用户在没有用于对其进行编程的技术的先验知识的情况下无法修改API 412。因此,可以认识到,由用户控制界面414与防火墙API 412相组合地配置的安全组件114的用户控制在大多数情况下将局限于用户控制界面414中提供的选项。
根据另一方面,可以在关联设备处提供用户控制界面414,以促进由设备的用户进行的安全组件414的高层面定制。在一个示例中,可以利用用户控制界面414来配置安全组件414的程度可以基于防火墙API 412。例如,安全组件114的可能配置的集合可能由防火墙API 412限制为可能组合的子集,并且用户控制界面414能够促进可能性的受限子集内的安全组件114和/或集合420和/或430的配置。在一个示例中,可以通过预期用户可能期望配置的安全组件114的一个或多个方面并且呈现在用户控制界面414内配置那些方面的能力来设计用户控制界面414。
参考图5,图示了用于管理用于多个网络连接的安全的系统500。系统500可以包括设备或终端110,如本文一般描述的,系统500可以具有关联系统资源112。在一个示例中,终端110能够促进通过诸如WPAN 130和/或无线局域网(WLAN)520的多个网络和/或互连网络进行通信。虽然在系统500中未示出,但是除WPAN 130和/或WLAN 520之外或作为其替代,终端110还可以通过任何其它适当的网络来进行通信,诸如有线LAN和/或有线或无线广域网(WAN)。
根据一方面,为了保证终端110所利用的各种网络上的系统资源112的安全,终端110可以利用与网络相对应的相应安全组件,终端设备110通过该网络进行通信。例如,如系统500所示,终端110可以包括WPAN安全组件512以保证通过WPAN连接130的关联系统资源112的安全,和/或包括WLAN安全组件514以保证通过WLAN连接520的系统资源112的安全。可以认识到,可以利用终端110来横向地与多个关联网络进行通信。因此,例如,还可以通过WPAN 130来传送通过WLAN 520传送的资源,反之亦然。
在其中设备使用多个网络的情况下,通常独立地配置用于相应网络的安全措施。因此,例如,可以将WLAN 520配置为用于第一指定的安全水平,而WPAN 130被独立地配置为用于第二指定的安全水平。因此,即使经由WLAN安全组件514来配置WLAN 520,也可以基本上不保证终端110所利用的WPAN连接130的安全。为了减轻该缺点,可以为终端110提供标准化组件516,以跨越由终端110所使用的多个网络之间来标准化安全水平,从而促进跨越终端110所利用的所有网络的统一安全策略。在一个示例中,开发者和/或其它实体可以利用标准化组件516来更全面地管理终端110的安全,因为如果一个或多个非WPAN无线电系统的安全水平被改变,则终端110的WPAN安全可以相应地起作用。可以将标准化组件516设计为响应于用于终端110所利用的其它网络的安全策略的变化而自动地调整WPAN安全组件512,或者替代地,可以将标准化组件516提供为终端110的开发者和/或其它配置实体可以通过其对终端110所利用的安全水平进行标准化的机制。
现在参考图6,图示了常规网络协议模型和蓝牙栈的图602和604。更具体地,图602图示图示了表示七层通信协议的开放式系统互连(OSI)基本参考模型。OSI参考模型被图示为层面,其包括向高层提供服务并从低层接收服务的类似功能组。如图602所示,OSI参考模型包括定义用于通信设备的电和物理规范的物理层、定义用于在通信设备之间的数据传送的机制的数据链路层、促进通过网络进行的设备之间的数据传送(例如,使用网际协议(IP))的网络层、促进用户之间和到上层通信层的透明数据传送(例如,使用传输控制协议(或用户数据报协议(UDP))的传输层、控制设备和/或在其上运行的应用之间的连接的会话层、向一个或多个应用层进程递送信息和/或格式化信息的表示层、以及执行与在设备处运行的应用有关的一个或多个服务的应用层。
图604图示了可以用于根据蓝牙标准和/或任何其它适当标准的用于WPAN通信的通信栈。如图604所示,通信栈可以包括指定通信设备之间的空中接口的无线电协议、指定用于微微网(piconet)连接和寻址的技术的基带协议、管理连接WPAN的设备之间的链路的链路管理器、允许WPAN通信的基本配置并提供对与设备相关联的硬件状态和/或控制寄存器的访问的主机控制界面、在高层应用与低层通信链路之间传送信息的逻辑链路控制和自适应协议(L2CAP)、诸如射频通信(RFCOMM)、服务发现协议(SDP)、FTP、OBEX等的通信服务、以及能够促进利用低层面通信服务的一个或多个应用。
根据一个方面,可以将图604所示的蓝牙栈扩展为包括如图7中的图700所示的防火墙功能。如图700所示,可以通过将用于WPAN通信的蓝牙栈扩展为在主机控制界面层以上并入防火墙来提供用于如本文一般所述的WPAN通信的安全特征。在一个示例中,如图700所示,可以将防火墙置于蓝牙栈的主机控制界面层面以上,以保护L2CAP、服务和在蓝牙栈中提供的应用所利用的系统资源。例如,在逻辑蓝牙连接的过程期间,在通信过程期间,可以潜在地反复实现和/或中断多个连接。如图700所示,由于在蓝牙栈的基带层面和无线电层面以上提供防火墙扩展,所以在图700中提供的防火墙扩展可以允许无线电层面和/或基带层面的WPAN连接。然而,应认识到,为了通过WPAN来传送私密信息,通常要求访问高层面传送服务,诸如FTP和/或OBEX,以及一个或多个适当的传送应用。因此,由于可以在蓝牙栈的服务和/或应用程序以下实现图700所示的防火墙扩展,所以可以认识到,虽然可以在无线电层面和/或基带层面进行了连接,但防火墙可以阻止、监视和/或以其他方式保证连接的安全,该连接请求存在于栈的上方的可用服务列表和/或一个或多个服务的使用。
在一个示例中,可以利用图700所示的防火墙扩展来防止恶意用户经由WPAN连接到设备并且从设备获取文件、联系人信息和/或其它敏感信息。在另一示例中,可以利用所示的防火墙扩展来防止病毒和/或其它有害文件被传送到设备。例如,在诸如电子邮件客户端的应用中,可以向用户呈现实体希望向用户传送文件的通知。然而,在许多情况下,作为通知的主题的文件已经被物理地传送到电子邮件客户端存在于其上的设备,并且有效地仅向用户呈现关于是否接受文件的选择。相反,通过如图700所示地实现防火墙扩展,可以在低层面处保证设备访问的安全,使得阻止文件传送一起发生。
转到图8-10,经由相应动作系列图示了可以根据本文提出的各种特征实现的方法。应认识到,在本文中要求保护的方法不受动作顺序的限制,因为一些动作可能以不同的顺序发生,或者与本文所示和所述的其它动作同时地发生。例如,本领域的技术人员将理解并认识到可以替代地将方法表示为一系列的相互关联的状态或事件,诸如在状态图中。此外,可能不需要所有图示的动作来实现在本文中要求保护的方法。
参考图8,图示了用于保证WPAN(例如,WPAN 130)中的资源(例如,系统资源112)的安全的方法800。在802处,识别受保护设备资源。在804处,识别对通过WPAN在802处识别的受保护设备资源的一个或多个传入和/或传出请求。在806处,分析在804处识别的请求。在808处,基于在806处执行的分析来(例如,由安全组件114)控制对在802处识别的受保护设备资源的在804处识别的请求的访问。
图9图示了使访问局限于连接WPAN的设备(例如,设备110)处的受保护资源的方法900。在902处,识别受保护的设备资源。在904处,识别用于访问在902处识别的受保护资源的不允许的访问(例如,阻止的访问集合430)的类别。在906处,接收对通过WPAN在902处识别的受保护设备资源的传入和/或传出请求。在908处,(例如,由访问控制组件222)阻止接收到的对访问属于在904处定义的不允许的访问的类别的受保护设备资源的请求。
现在参考图10,提供了图示记录网络活动的方法1000的流程图。在1002处,识别要监视的WPAN资源访问的一种或多种类型。在1004处,识别对传入和/或传出WPAN资源访问的请求。在1006处,录入(例如,由监视组件224录入到访问日志310)对在1004处接收到的WPAN资源访问的请求,其属于在1002处识别的受监视WPAN的访问类型。
转到图11,图示了其中可以实现本文所述的各种方面的示例性计算系统或操作环境。本领域的技术人员能够认识到,可以预期各种类型的手持式、便携式及其它计算设备和计算对象以便结合要求保护的主题进行使用,例如,在可能期望地配置网络的任何地方。因此,下文在图11中描述的以下通用计算系统仅仅是其中可以实现要求保护的主题的计算机系统的一个示例。
虽然不要求,但可以部分地经由操作系统来实现要求保护的主题,用于由设备或对象的服务开发商使用,和/或被包括在与要求保护的主题的一个或多个组件相结合地操作的应用软件内。软件可以在计算机可执行指令的一般上下文中进行描述,诸如由诸如客户端工作站、服务器或其它设备的一个或多个计算机执行的程序模块。本领域的技术人员将认识到,还可以用其它计算机系统配置和协议来实践要求保护的主题。
因此,图11图示了其中可以实现要求保护的主题的适当计算系统环境1100的示例,虽然如上文已阐明的,但是计算系统环境1100仅是用于媒体设备的适当计算环境的一个示例,并且并不意在提出关于要求保护的主题的使用或功能范围的任何限制。此外,计算环境1100并不意在提出关于要求保护的主题和在示例性操作环境1100中图示的组件中的任何一个或组合的任何依赖性或要求。
参考图11,用于实现本文所述的各种方面的计算环境1100的示例包括计算机1110形式的通用计算设备。计算机1110的组件可以包括但不限于,处理单元1120、系统存储器1130和将包括系统存储器的各种系统组件耦合到处理单元1120的系统总线1121。系统总线1121可以是多种类型的总线结构中的任何一个,包括存储器总线或存储器控制器、外围总线和本地总线,其使用多种总线架构中的任何一个。
计算机1110可以包括各种计算机可读介质。计算机可读介质可以是可以由计算机1110访问的任何可用介质。举例来说,但非限制性地,计算机可读介质可以包括计算机存储介质和通信介质。计算机存储介质包括以任何方法或技术实现的易失性和非易失性以及可移除和非可移除介质以用于诸如计算机可读指令、数据结构、程序模块或其它数据的信息的存储。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪速存储器或其它存储器技术、CDROM、数字多功能磁盘(DVD)或其它光盘存储器、磁带盒、磁带、磁盘存储或其它磁存储设备、或任何其它介质,其可以用于存储期望的信息并且可以由计算机1110访问。通信介质可以以诸如载波或其它传输机制的调制数据信号来体现计算机可读指令、数据结构、程序模块或其它数据,并且可以包括任何适当的信息递送介质。
系统存储器1130可以包括易失性和/或非易失性存储器形式的计算机存储介质,诸如只读存储器(ROM)和/或随机存取存储器(RAM)。可以在存储器1130中存储基本输入/输出系统(BIOS),包含有助于诸如在启动期间在计算机1110内的元件之间传送信息的基本例程。存储器1130还可以包含可直接由处理单元1120访问和/或当前在处理单元1120上运行的数据和/或程序模块。以非限制性示例的方式,存储器1130还可以包括操作系统、应用程序、其它程序模块和程序数据。
计算机1110还可以包括其它可移除/不可移除、易失性/非易失性计算机存储介质。例如,计算机1110可以包括从不可移除、非易失性磁性介质读取或向其写入的硬盘驱动器;从可移除、非易失性磁盘读取或向其写入的磁盘驱动器和/或从诸如CD-ROM或其它光学介质的可移除、非易失性光盘读取或向其写入的光盘驱动器。可以在示例性操作环境中使用的其它可移除/不可移除、易失性/非易失性计算机存储介质包括但不限于,磁带卡、闪速存储器卡、数字多功能磁盘、数字视频磁带、固态RAM、固态ROM等。硬盘驱动器可以通过诸如接口的不可移除存储器接口被连接到系统总线1121,并且磁盘驱动器或光盘驱动器可以通过诸如接口的可移除存储器接口被连接到系统总线1121。
用户可以通过输入设备将命令和信息输入到计算机1110,输入设备诸如键盘的输入设备或诸如鼠标、跟踪球、触控板和/或其它指示设备。其它输入设备可以包括麦克风、操纵杆、游戏板、卫星碟形天线、扫描仪等。这些和/或其它输入设备可以通过用户输入1140和耦合到系统总线1121的关联接口被连接到处理单元1120,还可以通过诸如并行端口、游戏端口或串行总线(USB)的其它接口和总线结构进行连接。还可以将图形子系统连接到系统总线1121。另外,可以经由诸如输出接口1150的接口将监视器或其它类型的显示设备连接到系统总线1121,系统总线1121可以进一步与视频存储器进行通信。除监视器之外,计算机还可以包括其它外围输出设备,诸如扬声器和/或打印机,其还可以通过输出接口1150进行连接。
计算机1110可以使用对诸如远程计算机1170的一个或多个其它远程计算机的逻辑连接来在联网或分布式环境中进行操作,其可以进一步具有与设备1110不同的介质能力。远程计算机1170可以是个人计算机、服务器、路由器、网络PC、对等设备或其它常见的网络节点和/或任何其它远程介质消费或传输设备,并且可以包括上文相对于计算机1110所述的任何或所有元件。在图11中描绘的逻辑连接包括网络1171,诸如局域网(LAN)或广域网(WAN),但是还可以包括其它网络/总线。这样的联网环境在家庭、办公室、企业范围的计算机网络、内部网和因特网中是普遍的。
当在LAN联网环境中使用时,计算机1110通过网络接口或适配器被连接到LAN 1171。当在WAN联网环境中使用时,计算机1110可以包括通信组件,诸如调制解调器,或者用于建立通过诸如因特网的WAN的通信的其它装置。可以在内部或在外部的诸如调制解调器的通信组件可以经由输入1140处的用户输入接口和/或其它适当机制被连接到系统总线1121。在联网环境中,可以将相对于计算机1110描绘的程序模块或其一部分存储在远程存储器存储设备中。应认识到,所示和所述的网络连接是非限制性示例,并且可以使用在计算机之间建立通信链路的其它装置。
上述已经描述的内容包括要求保护的主题的示例。当然,不可能出于描述要求保护的主题的目的来描述组件或方法的每种可想到的组合,但本领域的普通技术人员可以认识到,可以有许多其它组合和置换。因此,详细描述意在包含落入所附权利要求的精神和范围内的所有这样的替换、修改和变更。
特定地和关于由上述组件、设备、电路、系统等执行的各种功能,除非另外指明,即使在结构上不等效于执行在本文中图示的示例性方面的功能的所公开的结构,用于描述这样的组件的术语(包括对“装置”的引用)意在与执行所述组件(例如,功能等价物)的指定功能的任何组件相对应。在这方面,还将认识到,所述方面包括一种系统和计算机可读介质,其具有用于执行各种方法的动作和/或事件的计算机可执行指令。
另外,虽然已经仅相对于若干实施方式中的一个公开了特定特征,但是可以按期望并且对于任何给定或特定应用而言有利的来将这样的特征与其它实施方式的一个或多个其它特征进行组合。此外,在详细描述或权利要求中使用了术语“包括”及其变体的程度上,这些术语意在以类似于术语“包含”的方式是包括性的。
权利要求书(按照条约第19条的修改)
1.一种设备,包括:
在操作中用于建立连接的无线电装置,所述连接用于无线个人区域网(WPAN)上的通信;
与所述设备相关联的多个系统资源;以及
安全组件,所述安全组件分析用于通过WPAN对与所述设备相关联的所述系统资源进行访问的一个或多个请求,并且至少部分地基于对所述一个或多个请求的分析来防止与所述设备相关联的所述系统资源的未授权使用。
2.根据权利要求1所述的设备,其中,所述安全组件包括:访问控制组件,所述访问控制组件基于一个或多个预定义准则来针对一个或多个请求选择性地拒绝对与所述设备相关联的所述系统资源的访问。
3.根据权利要求1所述的设备,其中,所述安全组件包括:监视组件,所述监视组件监视并且获得与用于对与所述设备相关联的所述系统资源进行访问的相应请求相关的信息。
4.根据权利要求3所述的设备,其中,所述监视组件录入与用于对与所述设备相关联的所述系统资源的未授权使用的请求相关的信息。
5.根据权利要求3所述的设备,其中,所述监视组件进一步汇编与通过WPAN进行的所述设备的使用相关的统计信息。
6.根据权利要求1所述的设备,其中,所述安全组件包括应用编程界面(API),所述应用编程界面(API)促进所述安全组件的配置。
7.根据权利要求6所述的设备,其中,所述API提供与所述安全组件的操作相关的一个或多个用户可控制参数,并且所述安全组件还包括:用户控制界面,所述用户控制界面促进所述用户可控制参数的调整。
8.根据权利要求1所述的设备,其中,所述一个或多个请求包括至少一个传入请求和至少一个传出请求,所述至少一个传入请求用于访问与所述设备相关联的所述系统资源并且是由连接到所述WPAN的另一设备提供的,所述至少一个传出请求用于通过所述WPAN与所述设备相关联的系统资源进行通信。
9.根据权利要求1所述的设备,其中,所述安全组件包括标准化组件,所述标准化组件促进基于由所述设备利用以用于在至少一个其它网络上保证系统资源安全的安全策略而对由所述安全组件利用以用于在所述WPAN上保证与所述设备相关联的系统资源安全的安全策略进行的调整。
10.根据权利要求1所述的设备,其中,所述WPAN是基于蓝牙协议。
11.根据权利要求1所述的设备,其中,所述安全组件包括防火墙,所述被实现在用于通过所述WPAN进行通信的协议栈上,所述防火墙针对应用层面、表示层面或会话层面访问中的至少一个来保证与所述设备相关联的所述系统资源的安全。
12.根据权利要求1所述的设备,其中,与所述设备相关联的所述系统资源包括文件、服务或联系人信息中的至少一个。
13.一种保证在无线个人区域网(WPAN)上的资源的安全的方法,包括:
与具有多个系统资源的设备建立所述WPAN上通信;
识别通过所述WPAN对所述系统资源进行访问的请求;
分析所述请求;以及
至少部分地基于对所述请求的分析来控制通过所述WPAN对所述系统资源的访问。
14.根据权利要求13所述的方法,其中,所述分析的步骤包括:识别与所述系统资源相关联的不允许访问的类别,并且所述控制的步骤包括:拒绝对于访问属于所述不允许访问类别的所述系统资源的相应请求。
15.根据权利要求14所述的方法,其中,所述不允许访问的类别基于下述内容中的至少一个:与请求相关联的通信服务、在请求中指定的信息或请求发起者的身份。
16.根据权利要求13所述的方法,其中,所述分析的步骤包括:识别要被监视的WAPN资源访问的一种或多种类型,并且所述控制的步骤包括:录入属于要被监视的所述WAPN资源访问的所述一种或多种类型的相应已识别请求。
17.根据权利要求13所述的方法,其中,所述分析的步骤包括:识别由应用编程界面(API)提供的一个或多个安全参数,并且所述控制的步骤包括:基于由所述API提供的所述安全参数来控制对所述系统资源的相应已分析请求的访问。
18.根据权利要求17所述的方法,其中,所述分析的步骤还包括:识别由所述API定义的一个或多个用户可定义安全参数和分别与之相关联的用户输入,并且所述控制的步骤还包括:基于由所述API提供的所述安全参数和所述用户输入来控制对所述系统资源的相应已分析请求的访问。
19.根据权利要求13所述的方法,其中,所述控制的步骤包括:至少部分地基于一个或多个安全参数来控制通过所述WPAN的对所述系统资源的相应已分析请求的访问,所述一个或多个安全参数是根据被用于与所述设备操作所基于的所述WPAN不同的网络的安全参数而修改的。
20.一种具有多个系统资源的具有无线个人区域网(WPAN)能力的设备,包括:
用于建立所述WPAN上的通信的装置;
用于识别被保证安全的所述具有WPAN能力的设备的系统资源的装置;
用于接收对于通过WPAN对已识别系统资源的传入访问或传出访问中的至少一个的请求的装置;
用于将接收请求与授权访问集合或未授权访问集合中的至少一个作比较的装置;以及
用于至少部分地基于所述比较来拒绝或录入所述接收请求的装置。
Claims (20)
1.一种用于保证与网络连接的设备的资源安全的系统,包括:
在操作中用于建立连接的设备,所述连接用于无线个人区域网(WPAN)上的通信,所述设备具有与之相关联的系统资源;以及
安全组件,所述安全组件分析用于通过WPAN对与所述设备相关联的所述系统资源进行访问的一个或多个请求,并且至少部分地基于对所述一个或多个请求的分析来防止与所述设备相关联的所述系统资源的未授权使用。
2.根据权利要求1所述的系统,其中,所述安全组件包括:访问控制组件,所述访问控制组件基于一个或多个预定义准则来针对一个或多个请求选择性地拒绝对与所述设备相关联的所述系统资源的访问。
3.根据权利要求1所述的系统,其中,所述安全组件包括:监视组件,所述监视组件监视并且获得与用于对与所述设备相关联的所述系统资源进行访问的相应请求相关的信息。
4.根据权利要求3所述的系统,其中,所述监视组件录入与用于对与所述设备相关联的所述系统资源的未授权使用的请求相关的信息。
5.根据权利要求3所述的系统,其中,所述监视组件进一步汇编与通过WPAN进行的所述设备的使用相关的统计信息。
6.根据权利要求1所述的系统,其中,所述安全组件包括应用编程界面(API),所述应用编程界面(API)促进所述安全组件的配置。
7.根据权利要求6所述的系统,其中,所述API提供与所述安全组件的操作相关的一个或多个用户可控制参数,并且所述安全组件还包括:用户控制界面,所述用户控制界面促进所述用户可控制参数的调整。
8.根据权利要求1所述的系统,其中,所述一个或多个请求包括至少一个传入请求和至少一个传出请求,所述至少一个传入请求用于访问与所述设备相关联的所述系统资源并且是由连接到所述WPAN的另一设备提供的,所述至少一个传出请求用于通过所述WPAN与所述设备相关联的系统资源进行通信。
9.根据权利要求1所述的系统,其中,所述安全组件包括标准化组件,所述标准化组件促进基于由所述设备利用以用于在至少一个其它网络上保证系统资源安全的安全策略而对由所述安全组件利用以用于在所述WPAN上保证与所述设备相关联的系统资源安全的安全策略进行的调整。
10.根据权利要求1所述的系统,其中,所述WPAN是基于蓝牙协议。
11.根据权利要求1所述的系统,其中,所述安全组件包括防火墙,所述被实现在用于通过所述WPAN进行通信的协议栈上,所述防火墙针对应用层面、表示层面或会话层面访问中的至少一个来保证与所述设备相关联的所述系统资源的安全。
12.根据权利要求1所述的系统,其中,与所述设备相关联的所述系统资源包括文件、服务或联系人信息中的至少一个。
13.一种保证在无线个人区域网(WPAN)上资源的安全的方法,包括:
识别用于通过WPAN对受保护设备资源进行访问的一个或多个请求;
分析相应已识别请求;以及
至少部分地基于对所述已识别请求的分析,来控制通过所述WPAN对所述受保护设备资源的相应已分析请求的访问。
14.根据权利要求13所述的方法,其中,所述分析的步骤包括:识别与所述受保护设备资源相关联的不允许访问的类别,并且所述控制的步骤包括:拒绝对于访问属于所述不允许访问类别的所述受保护设备资源的相应请求。
15.根据权利要求14所述的方法,其中,所述不允许访问的类别基于下述内容中的至少一个:与请求相关联的通信服务、在请求中指定的信息、或请求发起者的身份。
16.根据权利要求13所述的方法,其中,所述分析的步骤包括:识别要被监视的WAPN资源访问的一种或多种类型,并且所述控制的步骤包括:录入属于要被监视的所述WAPN资源访问的所述一种或多种类型的相应已识别请求。
17.根据权利要求13所述的方法,其中,所述分析的步骤包括:识别由应用编程界面(API)提供的一个或多个安全参数,并且所述控制的步骤包括:基于由所述API提供的所述安全参数来控制对所述受保护设备资源的相应已分析请求的访问。
18.根据权利要求17所述的方法,其中,所述分析的步骤还包括:识别由所述API定义的一个或多个用户可定义安全参数和分别与之相关联的用户输入,并且所述控制的步骤还包括:基于由所述API提供的所述安全参数和所述用户输入来控制对所述受保护设备资源的相应已分析请求的访问。
19.根据权利要求13所述的方法,其中,所述控制的步骤包括:至少部分地基于一个或多个安全参数来控制通过所述WPAN的对所述受保护设备资源的相应已分析请求的访问,所述一个或多个安全参数是根据被用于与所述设备操作所基于的所述WPAN不同的网络的安全参数而修改的。
20.一种促进与具有无线个人区域网(WPAN)能力的设备相关联的系统资源安全的系统,包括:
用于识别被保证安全的具有WPAN能力的设备的资源的装置;
用于接收对于通过WPAN对已识别资源的传入访问或传出访问中的至少一个的请求的装置;
用于将接收请求与授权访问集合或未授权访问集合中的至少一个作比较的装置;以及
用于至少部分地基于所述比较来拒绝或录入所述请求的装置。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/195,085 US8156544B2 (en) | 2008-08-20 | 2008-08-20 | System and method for a WPAN firewall |
| US12/195,085 | 2008-08-20 | ||
| PCT/US2009/053971 WO2010021954A2 (en) | 2008-08-20 | 2009-08-17 | System and method for a wpan firewall |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102077626A true CN102077626A (zh) | 2011-05-25 |
| CN102077626B CN102077626B (zh) | 2014-11-26 |
Family
ID=41697548
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200980125410.6A Active CN102077626B (zh) | 2008-08-20 | 2009-08-17 | 用于wpan防火墙的系统和方法 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US8156544B2 (zh) |
| EP (1) | EP2316230B1 (zh) |
| KR (1) | KR101236576B1 (zh) |
| CN (1) | CN102077626B (zh) |
| AU (1) | AU2009282998B2 (zh) |
| CA (1) | CA2729289C (zh) |
| WO (1) | WO2010021954A2 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102347955A (zh) * | 2011-11-01 | 2012-02-08 | 杭州依赛通信有限公司 | 一种基于虚拟通道的可靠数据传输协议 |
| CN103457920A (zh) * | 2012-06-04 | 2013-12-18 | 中国科学院声学研究所 | 一种基于重叠网的分布式防火墙安全策略配置方法和系统 |
| CN111625867A (zh) * | 2014-11-26 | 2020-09-04 | 里德爱思唯尔股份有限公司雷克萨斯尼克萨斯分公司 | 用于实现隐私防火墙的系统和方法 |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8156544B2 (en) | 2008-08-20 | 2012-04-10 | Symbol Technologies, Inc. | System and method for a WPAN firewall |
| JP5333076B2 (ja) * | 2009-09-04 | 2013-11-06 | ブラザー工業株式会社 | 無線ネットワークに接続可能なデバイスとコンピュータプログラム |
| EP2724279A4 (en) * | 2011-06-27 | 2015-07-01 | Nokia Corp | SYSTEM, METHOD AND APPARATUS FOR FACILITATING RESOURCE SECURITY |
| US8881258B2 (en) * | 2011-08-24 | 2014-11-04 | Mcafee, Inc. | System, method, and computer program for preventing infections from spreading in a network environment using dynamic application of a firewall policy |
| US9537828B2 (en) | 2012-09-11 | 2017-01-03 | Young Ok Jun | Secure mobile communication relay having firewall function |
| US10089261B2 (en) * | 2016-03-11 | 2018-10-02 | Ca, Inc. | Discriminating dynamic connection of disconnectable peripherals |
| US10467435B1 (en) * | 2018-10-24 | 2019-11-05 | Palantir Technologies Inc. | Approaches for managing restrictions for middleware applications |
| US12095790B2 (en) | 2021-06-29 | 2024-09-17 | 802 Secure, Inc. | Methods and systems to monitor groups of sensory data for malicious behaviors through statistical analysis |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060030263A1 (en) * | 2004-07-15 | 2006-02-09 | Seligmann Doree D | Peer-to-peer neighbor detection for proximity-based command execution |
| CN1790937A (zh) * | 2004-12-17 | 2006-06-21 | 三星电子株式会社 | 提供根据蓝牙个人标识码确定的服务的蓝牙装置和方法 |
| CN1828622A (zh) * | 2006-04-06 | 2006-09-06 | 徐佳晶 | 蓝牙手机遥控电脑的控制系统及操控步骤 |
| US20080043705A1 (en) * | 2006-08-16 | 2008-02-21 | Broadcom Corporation | Systems and Methods for Enabling Coexistence of Multiple Wireless Components Operating in the Same Frequency Band |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7058719B2 (en) * | 2002-07-22 | 2006-06-06 | Ricoh Company, Ltd. | System, computer program product and method for managing and controlling a local network of electronic devices and reliably and securely adding an electronic device to the network |
| ES2420758T3 (es) * | 2002-08-19 | 2013-08-26 | Research In Motion Limited | Sistema y método para un control seguro de los recursos de dispositivos de comunicación móvil inalámbrica |
| ITTO20030010A1 (it) | 2003-01-14 | 2004-07-15 | Pedri Roberta | Cinghia dentata di trasmissione provvista di armatura metallica. |
| US20040143751A1 (en) | 2003-01-17 | 2004-07-22 | Cyrus Peikari | Protection of embedded processing systems with a configurable, integrated, embedded firewall |
| US7591017B2 (en) * | 2003-06-24 | 2009-09-15 | Nokia Inc. | Apparatus, and method for implementing remote client integrity verification |
| KR100640327B1 (ko) * | 2003-11-24 | 2006-10-30 | 삼성전자주식회사 | 고속 개인용 무선 네트워크에서의 브릿지 동작을 위한새로운 프레임 구조와 데이터 전송 방법 |
| US8320880B2 (en) * | 2005-07-20 | 2012-11-27 | Qualcomm Incorporated | Apparatus and methods for secure architectures in wireless networks |
| KR100889731B1 (ko) * | 2006-12-04 | 2009-03-24 | 한국전자통신연구원 | 개인무선통신네트워크에서의 분산방식 매체접근제어의 최적 자원 할당 방법 |
| US7903724B2 (en) * | 2007-01-31 | 2011-03-08 | Broadcom Corporation | RF transceiver device with RF bus |
| US20080196104A1 (en) | 2007-02-09 | 2008-08-14 | George Tuvell | Off-line mms malware scanning system and method |
| US7936734B2 (en) * | 2007-08-16 | 2011-05-03 | Samsung Electronics Co., Ltd. | Portable cellular enhancer |
| KR100962533B1 (ko) * | 2007-12-17 | 2010-06-14 | 한국전자통신연구원 | 개인무선통신 네트워크에서 분산방식 매체접근제어자원할당 방법 및 장치 |
| US8156544B2 (en) | 2008-08-20 | 2012-04-10 | Symbol Technologies, Inc. | System and method for a WPAN firewall |
-
2008
- 2008-08-20 US US12/195,085 patent/US8156544B2/en active Active
-
2009
- 2009-08-17 AU AU2009282998A patent/AU2009282998B2/en active Active
- 2009-08-17 EP EP09791557.3A patent/EP2316230B1/en active Active
- 2009-08-17 KR KR1020107029548A patent/KR101236576B1/ko active IP Right Grant
- 2009-08-17 CN CN200980125410.6A patent/CN102077626B/zh active Active
- 2009-08-17 WO PCT/US2009/053971 patent/WO2010021954A2/en active Application Filing
- 2009-08-17 CA CA2729289A patent/CA2729289C/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060030263A1 (en) * | 2004-07-15 | 2006-02-09 | Seligmann Doree D | Peer-to-peer neighbor detection for proximity-based command execution |
| CN1790937A (zh) * | 2004-12-17 | 2006-06-21 | 三星电子株式会社 | 提供根据蓝牙个人标识码确定的服务的蓝牙装置和方法 |
| CN1828622A (zh) * | 2006-04-06 | 2006-09-06 | 徐佳晶 | 蓝牙手机遥控电脑的控制系统及操控步骤 |
| US20080043705A1 (en) * | 2006-08-16 | 2008-02-21 | Broadcom Corporation | Systems and Methods for Enabling Coexistence of Multiple Wireless Components Operating in the Same Frequency Band |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102347955A (zh) * | 2011-11-01 | 2012-02-08 | 杭州依赛通信有限公司 | 一种基于虚拟通道的可靠数据传输协议 |
| CN103457920A (zh) * | 2012-06-04 | 2013-12-18 | 中国科学院声学研究所 | 一种基于重叠网的分布式防火墙安全策略配置方法和系统 |
| CN103457920B (zh) * | 2012-06-04 | 2016-12-14 | 中国科学院声学研究所 | 一种基于重叠网的分布式防火墙安全策略配置方法和系统 |
| CN111625867A (zh) * | 2014-11-26 | 2020-09-04 | 里德爱思唯尔股份有限公司雷克萨斯尼克萨斯分公司 | 用于实现隐私防火墙的系统和方法 |
| CN111625867B (zh) * | 2014-11-26 | 2024-05-31 | 里德爱思唯尔股份有限公司雷克萨斯尼克萨斯分公司 | 用于实现隐私防火墙的系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2010021954A3 (en) | 2010-06-03 |
| WO2010021954A4 (en) | 2010-07-29 |
| KR101236576B1 (ko) | 2013-02-22 |
| CN102077626B (zh) | 2014-11-26 |
| EP2316230B1 (en) | 2017-12-27 |
| KR20110058745A (ko) | 2011-06-01 |
| US8156544B2 (en) | 2012-04-10 |
| EP2316230A2 (en) | 2011-05-04 |
| CA2729289C (en) | 2013-05-14 |
| AU2009282998A1 (en) | 2010-02-25 |
| AU2009282998B2 (en) | 2013-05-23 |
| US20100050238A1 (en) | 2010-02-25 |
| WO2010021954A2 (en) | 2010-02-25 |
| CA2729289A1 (en) | 2010-02-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102077626B (zh) | 用于wpan防火墙的系统和方法 | |
| EP2068525B1 (en) | Method and system for providing wireless vulnerability management for local area computer networks | |
| US8635661B2 (en) | System and method for enforcing a security policy on mobile devices using dynamically generated security profiles | |
| CN102164148B (zh) | 用于便携式信息设备的组安全 | |
| CN102047262B (zh) | 用于分布式安全内容管理系统的认证 | |
| EP2584809B1 (en) | Associating services to perimeters | |
| CN102365853B (zh) | 用于通过服务控制链路将服务器消息发送给最终用户设备上的设备代理的系统和方法 | |
| US9178915B1 (en) | Cookie preservation when switching devices | |
| US20070294744A1 (en) | System and Method for Remote Security Management of a User Terminal Via a Trusted User Platform | |
| US20080148350A1 (en) | System and method for implementing security features and policies between paired computing devices | |
| CN103959857A (zh) | 管理无线网络中的移动设备应用 | |
| Jansen et al. | Guidelines on cell phone and PDA security | |
| CN103778379A (zh) | 管理设备上的应用执行和数据访问 | |
| Sahd et al. | Mobile technology risk management | |
| CN108419234A (zh) | Wi-Fi热点WPS连接方法和装置 | |
| JP5602124B2 (ja) | スマートフォンを利用したネットワークシステム | |
| Chetan et al. | A middleware for enabling personal ubiquitous spaces | |
| Railkar et al. | 3 Threat analysis and attack modeling for machine-to-machine communication toward Internet of things | |
| JP2008250869A (ja) | 管理システム,管理サーバおよび管理プログラム | |
| Osterhage | Wireless security | |
| Jansen | Guidelines on cell phone and PDA security: recommendations of the National Institute of Standards and Technology | |
| Karygiannis et al. | Security and privacy issues in agent-based location-aware mobile commerce | |
| Minar et al. | A Secured Bluetooth Based Social Network | |
| Thomas | A framework for secure mobile computing in healthcare | |
| Sedov et al. | Security management for ad-hoc networked resource-limited mobile devices |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee | ||
| CP03 | Change of name, title or address |
Address after: American New York Patentee after: MOTOROLA SOLUTIONS INC Address before: American New York Patentee before: Symbol Technologies Inc. |