小块硬件连接到移动设备,并过滤出攻击和恶意代码。使用该块硬件,移动设备可以被更强的安全措施保护,并可能被与由其相关的公司/企业提供的相同安全等级所保护。在一个实施例中,移动安全系统包括:连接机构,用于连接到移动设备的数据端口以及用于与移动设备通信;网络连接模块,用于充当到网络的网关;安全策略,用于确定是否将打算供移动设备使用的内容转发到移动设备;以及安全引擎,用于执行安全策略。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术总地涉及网络安全,更具体地提供了一种用于向移动设备提供 网络安全的系统和方法。
技术介绍
互联网是由政府、大学、非营利组织、公司、及个人所有的数百万单 独的计算机网络的互连。尽管互联网是有价值的信息和娱乐的巨大来源, 但是互联网也已经成为系统损害和系统致命应用代码(诸如,"病毒"、 "间谍软件"、"广告病毒"、"蠕虫"、"特洛伊木马"、及其他恶意 代码)的主要来源。为了保护用户,程序员设计用于阻止恶意代码攻击个人和网络计算机 的计算机和计算机网络安全系统。在大多数方面,网络安全系统已经是相 对成功的。从企业网络内连接到互联网的计算机一般具有两条防线。第一 条防线包括可以作为网络网关的一部分的网络安全系统,其包括防火墙、 反病毒程序、反间谍软件、和内容过滤。第二条防线包括个人机器上的、 一般没有网络安全系统安全且因此对于攻击更脆弱的个人安全软件。通过 组合,第一和第二条防线一起提供相当好的安全保护。但是,当设备在没 有插入网络安全系统的情况下连接到互联网时,该设备失去了其第一条防 线。所以,移动设备(例如,膝上型电脑、桌上型电脑、诸如RIM的 Blackberry的PDA、手机、连接到互联网的任何无线设备等)在企业网络5外移动时对于攻击更脆弱。图1示出了现有技术的示例网络系统100。网络系统100包括分别耦合到企业内联网115的桌上型电脑105和移动设备110。内联网115经由 网络安全系统120 (其作为企业网关的一部分)耦合到不可信的互联网 130。因此,桌上型电脑105和移动设备IIO经由网络安全系统120访问互 联网130。安全管理器125 —般管理网络安全系统120,以确保其包括最 当前的安全保护,从而使得桌上型电脑105和移动设备UO免受恶意代码 的损害。分界线135将可信的企业140和不可信的公共互联网130分开。 由于桌上型电脑105和移动设备IIO都经由网络安全系统120而连接到互 联网130,所以他们都具有两条抵抗来自互联网130的恶意代码的防线 (即,网络安全系统120和位于设备自身上的安全软件)。当然,尽管可 信,内联网115也是恶意代码的来源。图2示出了当移动设备110已经移动到可信企业140外并且重新连接 到不可信的互联网130时的现有技术的示例网络系统200。这可能在用户 旅行时携带移动设备110并在计算机咖啡馆、旅馆、或经由任何不可信的 有线或无线连接将移动设备连接到互联网130时发生。因此,如图所示, 移动设备IIO不再受第一条防线(由网络安全系统120提供)保护,所以 增加了其接收恶意代码的风险。另外,通过物理地将移动设备110带回可 信的企业140中并重新从其中连接,移动设备IIO有将所接收的任意恶意 代码传输到内联网115的风险。随着移动设备的数目和攻击的数目的增加,移动安全变得越来越重 要。这个问题在2005年12月7日到8日在纽约召开的最近的信息安全会 议(recent info-security conference)中得到了强调。但是没有提出完整的 解决方案。需要提供能够提供如企业网络安全系统所提供的网络安全等级的个人 安全装置。
技术实现思路
本专利技术的实施例使用了连接到移动设备并过滤出攻击和恶意代码的小块硬件。该块硬件可以被称为"移动安全系统"或"个人安全装置"。使 用移动安全系统,移动设备可以被更强的安全措施所保护,并且可能与其 相关的公司/企业所提供的安全等级相同。在实施例中,移动安全系统包括连接机构,用于连接到移动设备的 数据端口以及用于与移动设备通信;网络连接模块,用于充当到网络的网 关;安全策略,用于确定是否将打算供移动设备使用的内容转发到移动设 备;以及安全引擎,用于执行安全策略。连接机构可以包括USB连接器、PCMCIA连接器、以太网连接器、 以及蓝牙通信模块中的至少一种。网络连接模块可以包括执行WiFi、 WiMAX、 GPRS、 GSM、 UMTS、 CDMA、 Generation 3、其他手机互联网 连接协议等的网络接口卡。安全引擎可以包括反病毒引擎、反间谍软件引 擎、防火墙引擎、IPS/IDS引擎、内容过滤引擎、多层安全监控器、字节 码监控器、以及URL监控器中的至少一种。安全策略可以基于内容类 型、内容来源、内容种类、或用户的历史行为来执行加权风险分析。远程 管理模块能够接收安全策略更新、安全引擎更新、以及安全数据更新(包 括恶意内容签名)。移动安全系统可以包括能够将更新转发到其他移动安 全系统的分发模块、和/和能够存储移动设备的引导扇区的至少一部分以防 移动设备的引导扇区被损坏的备份模块。移动安全系统可以包括能够与 wizard通信的远程配置模块,其中,wizard与企业网络安全系统通信,该 wizard能够基本自动地基于企业网络安全系统上的策略和数据生成策略和 数据,该远程配置模块能够安装由该wizard生成的策略和数据。移动安全 系统可以包括在运行时间不能被访问的预引导存储器,该预引导存储器存 储移动安全系统的操作系统的至少一部分的副本,该移动安全系统被配置 为每当该移动安全系统被重新引导时就加载该操作系统部分。在另一实施例中, 一种方法包括从可信网络外的移动设备接收网络 连接请求;充当代表移动设备到网络的网关;从网络接收打算供移动设备 使用的信息;以及根据安全策略确定是否将该信息转发到移动设备。在另一实施例中, 一种移动安全系统包括用于充当代表可信网络外 的移动设备到网络的网关的装置;用于从网络接收打算供移动设备使用的信息的装置;以及用于根据安全策略确定是否将该信息转发到移动设备的装置。在又一实施例中, 一种方法包括经由无线连接在移动设备上接收互联网流量;在内核级上将该互联网流量重定向到移动安全系统;扫描违反 安全策略的互联网流量;清理任何违反安全策略的互联网流量,以生成清 洁的互联网流量;以及将清洁的互联网流量发送到移动设备用于执行。在再一实施例中, 一种系统包括位于移动设备上的无线网络接口 卡,用于接收互联网流量;位于移动设备上的内核级重定向器,用于在内 核级上将互联网流量重定向到移动安全系统;安全引擎,用于扫描违反安 全策略的互联网流量,以及用于清理任何违反安全策略的互联网流量以生 成清洁的互联网流量;以及连接机构,用于从内核级重定向器接收重定向 的互联网流量,以及用于将清洁的互联网流量发送到移动设备用于执行。附图说明图1是第一状态的现有技术网络系统的框图。 图2是第二状态的现有技术网络系统的框图。 图3是根据本专利技术实施例的网络系统的框图。 图4是示出根据本专利技术实施例的计算机系统的细节的框图。 图5是示出根据本专利技术实施例的移动安全系统的细节的框图。 图6是示出根据Microsoft Window的实施例的移动安全系统的细节的 框图。图7是示出根据本专利技术实施例的智能策略更新系统的细节的框图。 图8是示出针对OSI各层的网络安全措施的细节的框图。 图9是示出用于将安全代码传播到移动安全系统的通信技术的细节的 框图。图IOA至图IOC是示出根据本专利技术的多种实施例的用于将移动设备连 接到移动安全系统的各种体系结构的框图。具体实施例方式8提供以下描述以使本领域的任何技术人员都可以制造并使用本专利技术, 并且本文档来自技高网...
【技术保护点】
一种移动安全系统,包括: 连接机构,用于连接到移动设备的数据端口以及用于与所述移动设备通信; 网络连接模块,用于充当到网络的网关; 安全策略,用于确定是否将打算供所述移动设备使用的内容转发到所述移动设备;以及 安全引 擎,用于执行所述安全策略。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:什洛莫图布尔,
申请(专利权)人:约吉安全系统公司,
类型:发明
国别省市:IL[以色列]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。