限制和防止来自病毒攻击和恶意软件的配对尝试

摘要

一种方法、设备和系统，其限制和防止来自另一无线通信设备的配对尝试的、对无线通信设备的病毒攻击和恶意软件。在将第一设备耦合至第二设备的传输路径中包括开关，其中第二设备尝试与第一无线通信设备进行配对。检测器耦合至传输路径，其在第一设备和第二设备之间的配对通信协议中检测第二无线通信设备的地址。计数器耦合至检测器，其对第二设备的配对尝试进行计数。比较电路将该配对尝试与所选数目N进行比较。比较电路向开关发送信号，以便在尝试次数等于或者大于数目N时将其打开，阻断连接，由此防止第一设备接收到病毒攻击和恶意软件。

说明书

本申请以2006年6月30日提交的名为“Restricting and Preventing Pairing Attempts from Virus Attack and Malicious Software”的美国专 利申请No.11/477,462为基础并要求其优先权，通过引用在此并入该 申请的全部内容。

技术领域

本发明涉及无线通信系统、方法和设备。更具体地，本发明涉及 限制和防止来自病毒攻击和恶意软件的配对尝试的无线通信系统、方 法和设备。

背景技术

包括蜂窝网络、短程网络、局域网等在内的移动无线通信(特别 是蓝牙连接建立)受制于处于配对状态时在文件传送期间的病毒攻击 和恶意软件。蓝牙连接建立(如2004年11月4日发布的蓝牙规范第 2版第1-4卷中所述，在此通过引用将其全部并入)经常是以如下方 式来实现的：询问用户是接受连接还是拒绝该连接。尽管该功能是意 在防止未知的和为受权的设备与用户设备建立连接，但是未知设备上 的病毒软件可以利用无线空中接口上的连接尝试来持续地攻击用户 设备，从而扩散到尽可能多的设备。厌烦拒绝重复的连接尝试的用户 最终可能被引诱而接受一次该尝试，以停止其自己设备上重复的用户 询问。由此，病毒软件可能“成功地”安装在其自己的设备上。

在很多无线蓝牙设备上可见的当前实现的一个问题在于，用户界 面可能被连接尝试阻塞，只留给用户接受或者拒绝连接尝试的选项， 而阻止用户使用设备的任何其他功能。特别是，用户无法进入菜单来 关闭蓝牙以便停止连接尝试。仅剩的选项是：离开发起连接尝试的设 备的接收区域。然而，该选项并不总是可行的，并且用户通常并不知 道为了避免未知的连接尝试应当向哪个方向走。

而且，在接受文件传送之前，没有办法利用移动终端来做任何事。 在文件传送和安装完成或者说攻击结束之前，用户可能无法进入菜 单。通知弹出菜单占用了用户界面(UI)，并且接受或者拒绝的其他 功能无法完成。如果选择了接受(是)，则恶意病毒软件(SW)得 以进入，如果选择了拒绝(否)，将重复地出现相同的弹出菜单。

本领域所需要的是对无线通信中的连接建立过程进行修改，其 中，终端具有如下机制：检测和拒绝病毒攻击；标识攻击者和地址， 创建和存储攻击者禁止条目的拒绝列表；以及建立禁止连接尝试的时 段，从而使用户无需像现有技术状态中那样通过关闭系统来避免攻 击。

与移动设备和病毒攻击有关的现有技术包括：

A.美国专利申请20050081051公开了一种用于缓解自传播电子 邮件病毒的方法、系统和程序。接收将具有文件附件的电子邮件消息 发送给预期接收者的请求。将预期接收者的特性与针对文件附件的最 大接收者限制进行比较。如果预期接收者的特性超过了针对文件附件 的最大接收者限制，则在发送电子邮件消息之前请求发送者授权。请 求发送者授权，使得如果病毒试图通过发送电子邮件消息来进行自传 播，则减轻该尝试。

现有技术无法解决或者提供如下问题的解决方案：在不像现有技 术中那样关闭设备的情况下，防止配对移动设备之间的文件传送中的 病毒攻击。

发明内容

在一个实施方式中，无线RF通信系统包括至少一对终端，其通 常是链接到基站的移动电话，其中由基站控制器(BSC)为基站服务。 控制器耦合至服务于各种通信网络的互联网，通信网络包括公共交换 电话网(PSTN)、内联网等。一个终端对于其他终端而言是未知的， 并且希望与其他终端配对。在一些情况下，未知终端希望使用蓝牙配 对协议(在2004年11月4日发布的蓝牙规范第二版，EDR，第4卷 的189页中描述)来向其他终端传送病毒(通常是恶意软件)，本发 明的实现将限制来自未知终端的配对尝试的数目。出于此目的，确定 被拒绝的配对尝试的数目。根据用户拒绝来自某个设备或者任意设备 的配对尝试的数目，该设备将决定自动拒绝配对尝试，优选地并不通 知用户。例如，如果用户针对到来的连接请求三次按下了“配对控制” 功能，终端将阻止进一步的连接请求。将获取终端地址，并将其存储 在将被拒绝配对的终端拒绝列表中。另一实现将仅阻止来自进行尝试 的终端的连接请求。然而，在此类恶意连接尝试中可以轻易地伪造蓝 牙设备ID，因此未知终端在每次新尝试时改变其身份。备选地，在 另一实现中，在3次拒绝之后，用户终端将阻止任何连接尝试。如果 用户随后希望建立无线连接，用户可以在蓝牙菜单中再次开启蓝牙连 接。附加的菜单条目将允许该功能。备选地，可以使用用户可定义的 计时器来定义拒绝进一步连接尝试的时段。例如，在3次拒绝未知终 端之后，接收终端将不会接受更多的连接尝试。同时，计时器将启动， 并且设置为例如15分钟。在15分钟过后，“配对控制”功能将会接 受进一步的连接尝试并且将其呈现给用户。作为又一备选，可以在接 收终端进行3次拒绝之后完全关闭蓝牙。

本发明的一方面是一种无线通信终端，其中，假设另一终端没有 在该终端维护的拒绝列表上，则该终端接受与另一终端的配对。

另一方面是一种无线通信终端，其包括配对控制机制，当其响应 于连接请求而被用户重复开启时(例如，3次)，其使得该终端继续 以及阻止连接请求。

另一方面是一种无线通信终端，其中在接受配对的连接请求之 后，配对控制机制在该配对设备的多次安装尝试之后禁止安装所配对 设备中的软件。

另一方面是一种无线通信终端，包括定时器机制，其与配对控制 机制相结合，允许用户定义在多长时间的时段内将拒绝进一步连接尝 试。

另一方面是一种无线通信终端，其用于限制由蓝牙或者IEEE 802.11或者局域网(例如，无线局域网(WLAN))所服务的未知终 端的配对尝试。

另一方面是一种无线通信终端，其在针对未知设备的配对请求而 阻止了连接请求之后，阻止终端显示器上的弹出式通知。

附图说明

本发明的这些以及其他方面、优点和实施方式将在下文参考附图 对优选实施方式的描述中进行描述，其中：

图1是位于基站覆盖范围内的、用于在终端之间建立配对状态以 便在其之间进行数据传送的移动终端的表示，其中，一个终端对其他 终端而言是未知的，并且并入了本发明的原理；

图2是图1的终端中所包括的功能性硬件的表示；

图3是安装在图1的终端中以用于实现本发明的方面的软件的表 示；

图4是用于在图1的终端中建立配对状态的流程图；

图5是根据图1的原理在多次尝试之后阻止未知终端尝试与终端 建立配对状态的连接请求的流程图。

图5A是图1的终端中的重置和定时器机制的表示，其用于阻止 未知终端设备尝试与该终端建立配对状态的连接请求。

具体实施方式

图1公开了系统100，其用于将至少两个终端102和104(通常 是标准移动电话)进行配对并且建立用于该终端的配对状态，从而使 其能够按照需要来交换数据、语音等。配对在蓝牙规范supra第4卷 第189页以及第3卷第251-252页中描述。定义了两个过程。由于设 备在此前并不共享共同的链接关键码(link key)，因此或者是用户以 明确目的在两个蓝牙设备之间创建安全的关系而发起配对或者绑定 过程、并且输入密码(pass key)，或者是在所建立的过程期间请求 用户输入密码。在第一种情况中，认为用户通过输入密码来执行绑定。 在第二种情况中，认为用户使用密码来进行认证。

在一个实施方式中，终端102和104可以通过无线连接109直接 配对。备选地，终端可以链接至基站106，并且经由蜂窝连接(例如， 按照GSM标准)108¹和108²来配对。基站106依次可以耦合至基站 控制器110，以允许设备102和104经由分布式信息网络112(例如， 连接至公共交换电话网(PSTN)114的互联网)以及其他外网或内网 (未示出)来与无线网络108和109外部的其他通信设备配对。

图2公开了终端102和104中安装的用于实现配对过程的功能性 单元200。由电源201驱动的总线带202服务于该功能性单元。中央 处理单元204(通常是微处理器)执行在实现配对过程中用于在终端 之间建立通信的协议。存储器206存储用于在实现配对过程中用于终 端操作的软件和数据。I/O电路208经由耦合至天线(未示出)的通 信接口210来接收输入并提供输出射频(RF)信号。通信接口使得终 端102和104能够使用蓝牙或者IEEE 802.11或者其他无线通信协议 来进行通信。小键盘212包括标准的移动电话键，包括选择、连接、 挂断、滚动等键。所选择的键可以用于多个目的，特别是在多次激活 时。在目前情况下，可以将选择键用作配对过程的“接受键”。当将 挂断键激活了选定的数目时，可以将挂断键用作配对过程的“拒绝 键”。备选地，可以使用其功能显示在显示器214中的软键来接受或 者拒绝配对过程。显示器214提供由处理器或者用户生成的信息、或 者与通过键盘选择来访问包括实现配对过程的可用菜单或者选项有 关的信息的表示。当未知终端进行访问该终端的重复尝试时，配对控 制电路216自动激活或者由用户激活以拒绝配对连接，以作为可能的 病毒或者恶意软件传送的防范。配对控制电路在图5A中示出，将在 此后进行描述。

图3公开了存储器206中安装的用于操作终端以及实现配对过程 的软件300。该软件包括用于执行有用任务(诸如文字处理、表单、 数据库管理等)的各种应用程序302以及与配对过程相关的过程。可 选的蜂窝通信协议304使得终端能够通过例如全球系统移动(GSM)、 通用分组无线服务(GPRS)等蜂窝通信系统来进行通信。短程通信 协议306(通常是蓝牙或者IEEE 802.11)使得终端能够在近距离(例 如，3米到100米)彼此直接通信，并且能够建立和参与Ad Hoc短 程网络。安全性程序308包括生成：(i)在实现配对过程中使用的密 码；(ii)拒绝配对的设备(由源或者地址表示)的列表；(iii)具 有某个尝试数目的、先前尝试连接该用户设备的设备(由源或者地址 表示)的列表，以及执行或者提供服务的信令功能单元；以及(iv) 标识经证实进行了配对的设备的列表，其使得用户能够选择用于配对 的设备。操作系统310管理处理器204来执行用户设备的配对和其他 功能。

图4描述了用于在图1的配对设备102和104之间建立配对连接 的标准配对过程400。在配对过程中，在查询和寻呼之后，在步骤402 中启动服务发现协议(SDP)以找到设备配对的另一设备。在步骤404 中执行链接建立过程310，以便在设备之间建立物理链接。在步骤406 中，无线链接所涉及的两个配对设备输入相同的个人标识号(PIN)。 当两个配对设备不具有共同的链接关键码时，链接管理器(LM)发 起者在步骤408中向其他设备或者响应者设备发送链接管理协议 (LMP)以及协议数据单元(PDU)。响应者设备在步骤410中回应 LMP接受的PDU。在步骤412中，两个设备都根据PIN、随机数以 及蓝牙地址(BD_ADDDR)来计算初始化关键码(K_init)。当两个设 备都已经计算了K_init时，创建链接关键码。然而，如果响应者拒绝配 对，将具有错误码“不允许配对”的LMP未接受的PDU发送至发起 者。使用所创建的链接关键码，在步骤414中执行链接建立过程。在 步骤416中执行链接建立过程，以便在设备之间建立信道或者逻辑链 接。此后在步骤418中，执行连接建立过程，以便在设备之间建立连 接。在来自设备之一的连接请求与来自另一设备的连接确认之间，可 以执行认证过程，并且配对过程在步骤420中结束。只要用户已经生 成了其正确的PIN码，两个设备可以生成链接关键码，其可以存储在 设备存储器中，以在设备每次尝试与其他配对设备进行通信时允许设 备跳过认证和认证过程。

图5描述了无线设备用来限制来自未知无线设备的配对尝试数目 以及避免来自未知设备的病毒或恶意软件或二者的可能传送的过程 500。在步骤502中，未知无线设备尝试通过蓝牙或者IEEE 801.11 等通信协议来发起与用户无线设备的配对过程。在步骤504中，用户 设备通过访问本地或者远程存储器以显示设备、终端等的拒绝列表来 对询问设备进行响应，这些设备、终端由于安全性原因或者其他原因 而被该用户无线设备或者其他无线设备认定并且拒绝配对。进行决策 506，以确定配对尝试的源是否在拒绝列表上。“是”的情况发起过 程的步骤508，以便将终端从该未知终端断开，并且过程在步骤510 中退出。决策506的“否”的情况发起决策512，以确定是否接受该 配对尝试。在步骤514中，根据配对设备不在拒绝列表上并且配对尝 试的数目小于所选数目，“是”的情况批准与该未知设备的连接。步 骤516中，“否”的情况将配对尝试存储在本地或者远程存储器中的 尝试列表中，该列表指明尝试但是未连接的配对请求的源。配对尝试 的数目是针对每个未知设备而分别确定的。备选地，配对尝试的数目 针对所有未知设备而累计地确定。在步骤518中，对未知设备的尝试 配对但是没有连接的数目进行计数。在一个实施方式中，通过仅对顺 序发生的被拒绝配对尝试进行计数来对配对尝试的数目进行计数。在 另一实施方式中，通过对特定时段内发生的被拒绝配对尝试进行计数 来对配对尝试的数目进行计数。在另一实施方式中，执行决策520以 确定尝试但是未连接的列表是否包含超过了用于任何所列设备的所 选阈值“N”的配对尝试。“否”的情况在步骤511中结束该过程。 “是”的情况在步骤522中将所列的设备添加到拒绝列表中，此后在 步骤510中结束过程。

图5A公开了图2的配对控制电路216，其用于限制未知无线设 备550连接用户无线设备552的配对尝试。配对控制电路包括开关设 备554，其响应于经由OR门的多个输入，并且通常是关闭的。开关 耦合至传输路径556，传输路径556将用户无线设备552耦合至尝试 经由蓝牙或者IEEE801.11或者其他无线网络的标准配对过程来与用 户设备进行配对的未知无线设备550。检测器558通过BT地址来检 测未知或者配对设备的身份，其中BT地址包括在未知无线设备尝试 与用户设备建立连接以交换信息时从该未知无线设备到用户设备的 连接信号中。检测器558连接至计数器560，并且将检测信号提供给 计数器和处理器204(图2)。处理器被编程为：根据检测电路所提 供的信号来更新拒绝列表504(图5)或者尝试连接列表516(图5)。 计数器560响应于检测信号，并且对未知设备发送给用户设备550的 连接尝试信号进行计数。计数器将输出提供给标准比较电路561。存 储在比较电路中的是由用户选择、并由处理器从存储器206(图2) 提供的尝试数目N。处理器还根据检测电路提供的尝试连接信号的源 或者BT地址来利用来自更新的拒绝列表504(图5)或者尝试连接列 表516(图5)的未知设备的先前尝试数目来更新比较电路。当输入 到比较电路的计数使得计数超过了用于所标识或者未知设备550的数 目N时，比较电路向开关554中的闩锁(latch)(未示出)提供信号 562，这使得开关的闩锁开路并且阻断耦合设备550和552的传输路 径，避免病毒或者恶意软件向用户设备的可能传送。备选地，针对第 二设备或者配对设备而计数的、并且被提供给比较电路的配对尝试的 数目可以是那些顺序发生的被拒绝的配对尝试。或者，被计数并且被 提供给比较电路的配对尝试的数目可以是那些在某时段内发生的被 拒绝的配对尝试。

而且，开关554可以经由连接563开路，连接563是通过用户多 次(通常是3次)致动键盘212(图2)上的“拒绝键”而激活的。 键致动使得处理器204访问存储器中的安全性软件308(图3)，以 便向开关中的闩锁(未示出)传输信号，从而闩锁开路传输路径556。 由比较电路和拒绝键传输给开关的信号二者都被提供给处理器，处理 器访问存储器206(图2)中的安全性软件，以阻止对用户的关于配 对尝试的弹出式通知。

还可以将对开关的比较信号562和拒绝信号563提供给定时器 564，在选定的时间间隔之后，定时器提供信号565以重置闩锁并且 闭合开关554，以允许用户设备耦合至希望与该用户设备配对的其他 已知设备和未知设备。

对于相关领域的技术人员而言易见的是，可以对形式和细节进行 各种改变，而不背离本发明的精神和范围。因此，本发明的宽度和范 围不应受限于任何上述示例性实施方式，而是仅按照所附权利要求及 其等同项来限定。