计算机执行动态地址隔离。计算机包括:与应用地址相关联的应用;网络接口,其被耦合用于从外部网络接收传入数据分组并向外部网络发送传出数据分组;网络地址翻译引擎,其被配置用于在应用地址和公开地址之间进行翻译;以及驱动器,用于将传出数据分组自动转发到网络地址翻译引擎以将应用地址翻译成公开地址,并用于将传入数据分组自动转发到网络地址翻译引擎以将公开地址翻译成应用地址。该计算机可以与被配置用于处理网络级别安全性和应用级别安全性两者的防火墙通信。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术一般地涉及计算机安全,更具体而言,提供了用于在外部设备和主机设备 之间提供数据和设备安全的系统和方法。
技术介绍
因特网是政府、大学、非营利组织、公司和个人所拥有的数百万单个计算机网络的 互连。虽然因特网是有价值信息和娱乐的极佳来源,但是因特网也变成了诸如“病毒”、“间 谍程序”、“广告程序”、“蠕虫”、“特洛伊木马”和其他恶意代码之类的系统破坏代码和系统致 命应用代码的主要来源。为了保护用户,程序员设计出用于防止恶意代码攻击个人计算机和网络计算机两 者的计算机安全系统和计算机网络安全系统。就绝大部分而言,网络安全系统已经相对成 功。从企业网内部连接到因特网的计算机通常具有两道防线。第一道防线包括可以作为 网络网关的一部分的网络安全系统,其包括防火墙、防病毒、防间谍软件和内容过滤。第二 道防线包括单机上的单机安全软件,其通常不如网络安全系统一样安全并且更容易遭受攻 击。组合起来,第一和第二道防线一起提供极佳的安全保护。然而,当设备连接到因特网而 没有居间的网络安全系统时,设备失去其第一道防线。因此,在企业网外部移动的移动设备 (例如,笔记本、台式计算机、诸如RIM的黑莓之类的PDA、蜂窝电话、任何连接到因特网的无 线设备,等等)更容易遭受攻击。图1图示出现有技术的示例网络系统100。网络系统100包括各自耦合到企业内 联网115的台式计算机105和移动设备110。内联网115经由网络安全系统120(其可以 是企业网关的一部分)耦合到不受信任的因特网130。因此,台式计算机105和移动设备 110经由网络安全系统120而访问因特网130。安全管理器125通常管理网络安全系统120 以确保其包括最新的安全保护并从而确保保护台式计算机105和移动设备110免受恶意代 码。分界线135将受信任的企业140和不受信任的公共因特网130隔开。因为台式计算机 105和移动设备110经由网络安全系统120而连接到因特网130,因此两者都具有抵御来自 因特网130的恶意代码的两道防线(即,网络安全系统120和驻留于设备本身上的安全软 件)。当然,虽然是受信任的,但是内联网115也可以是恶意代码的来源。图2图示出当移动设备110已经移动到受信任的企业140之外并且重新连接到 不受信任的因特网130时的现有技术的示例网络系统200。或许当用户在移动时携带移动 设备110并且在咖啡馆、旅馆处或者经由任何不受信任的有线或无线连接而连接到因特网 时,这种情况可能会发生。因此,如图所示,移动设备110不再受第一道防线(受网络安全系统120)保护并且因而已经增大了其接收恶意代码的风险。另外,通过将移动设备110的 实体带回受信任的企业140并且从受信任的企业140内部进行重新连接,移动设备110冒 着将所接收的任何恶意代码传送到内联网115的风险。随着移动设备数目和攻击数目的增长,移动安全变得愈发重要。该问题近来在 2005年12月7日至8日纽约的信息安全会议中得到强调。但是未给出完整的解决方案。类似地,当主机设备连接到诸如USB闪存盘、iPod、外部硬盘等的外部设备时,两 方设备都容易接收到恶意代码或者传送私有数据。图11图示出示例现有技术数据交换系 统1100,其包括主机计算机(主机)1105和外部设备1110。主机1105包括诸如USB端口 之类的用于接纳外部设备1110的外部设备(ED)端口 1115。主机1105还包括用于执行枚 举和使能外部设备1110与主机1105之间的通信的ED驱动程序1120。外部设备1110包括 诸如USB插头之类的用于与ED端口 1115通信的ED插头。主机1105和外部设备1110两 者都容易收到恶意代码或者传送私有数据。因此,需要向主机和外部设备提供安全的系统和方法。
技术实现思路
在一个实施例中,本专利技术提供了一种计算机,包含与应用地址相关联的应用;网 络接口,其被耦合用于从外部网络接收传入数据分组并向外部网络发送传出数据分组;网 络地址翻译引擎,其被配置用于在所述应用地址和公开地址之间进行翻译;以及驱动器,用 于将所述传出数据分组自动转发到所述网络地址翻译引擎以将所述应用地址翻译成所述 公开地址,并用于将所述传入数据分组自动转发到所述网络地址翻译引擎以将所述公开地 址翻译成所述应用地址。网络地址翻译引擎可以是驱动器的一部分或是防火墙的一部分。 防火墙可以位于移动安全系统上。网络地址翻译引擎可以被配置为使用动态主机配置协 议。计算机可以被配置为将标识应用的数据分组发送到防火墙,并且防火墙可以被配置为 处理网络级别安全性和应用级别安全性两者。在一个实施例中,本专利技术提供了一种系统,包括网络接口 ;与所述网络接口通信 的防火墙,其被配置为处理网络级别安全性和应用级别安全性两者;以及与所述防火墙通 信的计算机,其具有一个或多个应用,并且被配置为将标识所述一个或多个应用的数据分 组发送到所述防火墙。每个数据分组可以与所述一个或多个应用中的一个应用相关联。每 个数据分组可以包含标识与该数据分组相关联的应用的数据。防火墙可以被配置为使用所 述标识与所述数据分组相关联的应用的数据来处理应用级别安全性,通过从所述数据分组 中删除所述标识应用的数据来创建数据分组子集,并且将所述数据分组子集发送到外部网 络。网络接口可以被配置为从外部网络接收传入数据,并将所述传入数据路由到所述防火 墙。每个应用可以与至少一个地址相关联。防火墙可以被配置为动态地将所述地址与外部 网络相隔离。防火墙可以被配置为通过使用动态助理配置协议来动态地将所述地址与所述 外部网络相隔离。在一个实施例中,本专利技术提供了一种个人计算机中的处理与公开地址相关联的传 入数据的方法,该方法包括从外部网络接收所述数据;将所述公开地址翻译成与应用相 关联的内部地址;分析所述数据以寻找恶意代码;以及如果所述数据不包含恶意代码,则 将所述数据路由到所述应用。所述分析步骤可以包括在网络级别以及应用级别两者上分析所述数据以寻找恶意代码。所述翻译步骤可以使用动态主机配置协议。在一个实施例中,本专利技术提供了一种个人计算机中的处理传出数据的方法,该方 法包括从应用接收传出数据,所述应用与内部地址相关联;将所述内部地址翻译成公开 地址;以及使用所述公开地址将所述传出数据的至少一子集路由到外部网络,从而动态地 将所述内部地址与所述外部网络相隔离。所述翻译步骤可以使用动态主机配置协议。所述 方法还可以包括将所述传出数据配置到一个或多个数据分组中;将所述一个或多个数据 分组中的每一个与所述应用相关联;以及将应用标识数据嵌入到所述一个或多个数据分组 中的每一个中。所述方法还可以包括通过从所述一个或多个数据分组中的每一个中删除所 述应用标识数据来创建一个或多个数据分组子集,其中所述路由步骤包括将所述一个或多 个数据分组子集路由到所述外部网络。附图说明图1是现有技术的网络系统在第一状态下的框图。图2是现有技术的网络系统在第二状态下的框图。图3是根据本专利技术一实施例的网络系统的框图。图4是图示出根据本专利技术一实施例的计算机系统细节的框图。图5是图示出根据本专利技术一实施例的移动安全系统细节的框图。图6是图示出根据微软Window实施例的移动安全系统细节的框图。图7是图示出根据本专利技术本文档来自技高网...
【技术保护点】
一种计算机,包含:与应用地址相关联的应用;网络接口,其被耦合用于从外部网络接收传入数据分组并向外部网络发送传出数据分组;网络地址翻译引擎,其被配置用于在所述应用地址和公开地址之间进行翻译;以及驱动器,用于将所述传出数据分组自动转发到所述网络地址翻译引擎以将所述应用地址翻译成所述公开地址,并用于将所述传入数据分组自动转发到所述网络地址翻译引擎以将所述公开地址翻译成所述应用地址。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:什洛莫图布尔,
申请(专利权)人:约吉安全系统公司,
类型:发明
国别省市:IL[以色列]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。