专利名称:用于向移动设备提供网络安全的系统和方法
技术领域:
本发明总地涉及网络安全,更具体地提供了一种用于向移动设备提供 网络安全的系统和方法。
背景技术:
互联网是由政府、大学、非营利组织、公司、及个人所有的数百万单 独的计算机网络的互连。尽管互联网是有价值的信息和娱乐的巨大来源, 但是互联网也已经成为系统损害和系统致命应用代码(诸如,"病毒"、 "间谍软件"、"广告病毒"、"蠕虫"、"特洛伊木马"、及其他恶意 代码)的主要来源。
为了保护用户,程序员设计用于阻止恶意代码攻击个人和网络计算机 的计算机和计算机网络安全系统。在大多数方面,网络安全系统已经是相 对成功的。从企业网络内连接到互联网的计算机一般具有两条防线。第一 条防线包括可以作为网络网关的一部分的网络安全系统,其包括防火墙、 反病毒程序、反间谍软件、和内容过滤。第二条防线包括个人机器上的、 一般没有网络安全系统安全且因此对于攻击更脆弱的个人安全软件。通过 组合,第一和第二条防线一起提供相当好的安全保护。但是,当设备在没 有插入网络安全系统的情况下连接到互联网时,该设备失去了其第一条防 线。所以,移动设备(例如,膝上型电脑、桌上型电脑、诸如RIM的 Blackberry的PDA、手机、连接到互联网的任何无线设备等)在企业网络
5外移动时对于攻击更脆弱。
图1示出了现有技术的示例网络系统100。网络系统100包括分别耦
合到企业内联网115的桌上型电脑105和移动设备110。内联网115经由 网络安全系统120 (其作为企业网关的一部分)耦合到不可信的互联网 130。因此,桌上型电脑105和移动设备IIO经由网络安全系统120访问互 联网130。安全管理器125 —般管理网络安全系统120,以确保其包括最 当前的安全保护,从而使得桌上型电脑105和移动设备UO免受恶意代码 的损害。分界线135将可信的企业140和不可信的公共互联网130分开。 由于桌上型电脑105和移动设备IIO都经由网络安全系统120而连接到互 联网130,所以他们都具有两条抵抗来自互联网130的恶意代码的防线 (即,网络安全系统120和位于设备自身上的安全软件)。当然,尽管可 信,内联网115也是恶意代码的来源。
图2示出了当移动设备110已经移动到可信企业140外并且重新连接 到不可信的互联网130时的现有技术的示例网络系统200。这可能在用户 旅行时携带移动设备110并在计算机咖啡馆、旅馆、或经由任何不可信的 有线或无线连接将移动设备连接到互联网130时发生。因此,如图所示, 移动设备IIO不再受第一条防线(由网络安全系统120提供)保护,所以 增加了其接收恶意代码的风险。另外,通过物理地将移动设备110带回可 信的企业140中并重新从其中连接,移动设备IIO有将所接收的任意恶意 代码传输到内联网115的风险。
随着移动设备的数目和攻击的数目的增加,移动安全变得越来越重 要。这个问题在2005年12月7日到8日在纽约召开的最近的信息安全会 议(recent info-security conference)中得到了强调。但是没有提出完整的 解决方案。
需要提供能够提供如企业网络安全系统所提供的网络安全等级的个人 安全装置。
发明内容
本发明的实施例使用了连接到移动设备并过滤出攻击和恶意代码的小块硬件。该块硬件可以被称为"移动安全系统"或"个人安全装置"。使 用移动安全系统,移动设备可以被更强的安全措施所保护,并且可能与其 相关的公司/企业所提供的安全等级相同。
在实施例中,移动安全系统包括连接机构,用于连接到移动设备的 数据端口以及用于与移动设备通信;网络连接模块,用于充当到网络的网 关;安全策略,用于确定是否将打算供移动设备使用的内容转发到移动设 备;以及安全引擎,用于执行安全策略。
连接机构可以包括USB连接器、PCMCIA连接器、以太网连接器、 以及蓝牙通信模块中的至少一种。网络连接模块可以包括执行WiFi、 WiMAX、 GPRS、 GSM、 UMTS、 CDMA、 Generation 3、其他手机互联网 连接协议等的网络接口卡。安全引擎可以包括反病毒引擎、反间谍软件引 擎、防火墙引擎、IPS/IDS引擎、内容过滤引擎、多层安全监控器、字节 码监控器、以及URL监控器中的至少一种。安全策略可以基于内容类 型、内容来源、内容种类、或用户的历史行为来执行加权风险分析。远程 管理模块能够接收安全策略更新、安全引擎更新、以及安全数据更新(包 括恶意内容签名)。移动安全系统可以包括能够将更新转发到其他移动安 全系统的分发模块、和/和能够存储移动设备的引导扇区的至少一部分以防 移动设备的引导扇区被损坏的备份模块。移动安全系统可以包括能够与 wizard通信的远程配置模块,其中,wizard与企业网络安全系统通信,该 wizard能够基本自动地基于企业网络安全系统上的策略和数据生成策略和 数据,该远程配置模块能够安装由该wizard生成的策略和数据。移动安全 系统可以包括在运行时间不能被访问的预引导存储器,该预引导存储器存 储移动安全系统的操作系统的至少一部分的副本,该移动安全系统被配置 为每当该移动安全系统被重新引导时就加载该操作系统部分。
在另一实施例中, 一种方法包括从可信网络外的移动设备接收网络 连接请求;充当代表移动设备到网络的网关;从网络接收打算供移动设备 使用的信息;以及根据安全策略确定是否将该信息转发到移动设备。
在另一实施例中, 一种移动安全系统包括用于充当代表可信网络外 的移动设备到网络的网关的装置;用于从网络接收打算供移动设备使用的信息的装置;以及用于根据安全策略确定是否将该信息转发到移动设备的装置。
在又一实施例中, 一种方法包括经由无线连接在移动设备上接收互
联网流量;在内核级上将该互联网流量重定向到移动安全系统;扫描违反 安全策略的互联网流量;清理任何违反安全策略的互联网流量,以生成清 洁的互联网流量;以及将清洁的互联网流量发送到移动设备用于执行。
在再一实施例中, 一种系统包括位于移动设备上的无线网络接口 卡,用于接收互联网流量;位于移动设备上的内核级重定向器,用于在内 核级上将互联网流量重定向到移动安全系统;安全引擎,用于扫描违反安 全策略的互联网流量,以及用于清理任何违反安全策略的互联网流量以生 成清洁的互联网流量;以及连接机构,用于从内核级重定向器接收重定向 的互联网流量,以及用于将清洁的互联网流量发送到移动设备用于执行。
图1是第一状态的现有技术网络系统的框图。 图2是第二状态的现有技术网络系统的框图。 图3是根据本发明实施例的网络系统的框图。 图4是示出根据本发明实施例的计算机系统的细节的框图。 图5是示出根据本发明实施例的移动安全系统的细节的框图。 图6是示出根据Microsoft Window的实施例的移动安全系统的细节的 框图。
图7是示出根据本发明实施例的智能策略更新系统的细节的框图。 图8是示出针对OSI各层的网络安全措施的细节的框图。 图9是示出用于将安全代码传播到移动安全系统的通信技术的细节的 框图。
图IOA至图IOC是示出根据本发明的多种实施例的用于将移动设备连 接到移动安全系统的各种体系结构的框图。
具体实施例方式
8提供以下描述以使本领域的任何技术人员都可以制造并使用本发明, 并且在特定应用及其要求的背景下提供以下描述。本实施例的各种修改对 于本领域技术人员来说都是可以想到的,并且本文中限定的一般原则可以 在不脱离本发明的精神和范围的条件下被应用于其他实施例和应用。所 以,本发明的目的不在于限制于所示的实施例,而在于符合与本文中公开 的原则、特征、及教导一致的最宽范围。
本发明的实施例使用了连接到移动设备并过滤出攻击和恶意代码的小 块硬件。该块硬件被称为"移动安全系统"或"个人安全装置"。使用移 动安全系统,移动设备可以被更强的安全措施所保护,并且可能被与其相 关的公司/企业所提供的相同安全等级所保护。
图3示出了根据本发明实施例的网络系统300。网络系统300包括桌 上型电脑305、第一移动设备310a、以及第二移动设备310b。第一移动设 备310a此时被示出处于企业网络340内,并经由移动安全系统345a耦合 到企业的内联网315。桌上型电脑305和第二移动设备310b也处于企业网 络340内,但在本实施例中在没有插入诸如移动安全系统345b的移动安 全系统345的条件下被耦合到内联网315。内联网315经由网络安全系统 320 (其可以是企业网关的一部分)被耦合到不可信的互联网330。因此, 第一移动设备310a、第二移动设备310b、以及桌上型电脑305经由网络安 全系统320访问不可信的互联网330。每一个都可以被位于其上的个人安 全系统(未示出)所保护。第三移动设备310c当前处于企业网络340外, 并经由移动安全系统345b耦合到不可信的互联网330。第三移动设备310 可以被当前正在旅行的可信企业340的员工使用。安全管理器325管理移 动安全系统345a、移动安全系统345b、以及网络安全系统320,以确保他 们都包括最当前的安全保护。本领域技术人员将明白,同一个的安全管理 器不需要管理多种设备。另外,安全管理器可以是用户,并且不需要处于 可信企业340内。
分界线335将可信企业340和不可信的、可公共访问的互联网330分 开。移动设备310a、 310b、 310c中的每一个都被统称为移动设备310,尽 管他们不需要一样。每个移动安全系统345a和345b都可以被统称为移动安全系统345,尽管他们不需要一样。
如图所示,尽管移动设备310c已经移动出了可信企业340,但是移动 设备310c还经由移动安全系统345b连接到不可信的互联网330,所以保 留了两条防线(即,移动安全系统345b和位于该设备本身上的安全软 件)。在本实施例中,移动安全系统345有效地充当了代表移动设备310c 的移动互联网网关。在一个实施例中,移动安全系统345可以是专门用于 网络安全的设备。在一个实施例中,每个移动安全系统345都可以支持多 个移动设备310 (可能仅是注册过的移动设备310,例如,属于企业340 的设备)。
每个移动安全系统345 (例如,345a、 345b)都可以是基于商业硬件 (使用Intel的Xscale作核心)、Linux OS和网络服务、以及开源防火 墙、IDS/IPS和反病毒保护的微型服务器。移动安全系统345可以基于硬 化的嵌入式Linux 2.6。
在这个实施例中,由于安全管理器325能够远程地与移动安全系统 345b通信,所以IT可以监控和/或更新在移动安全系统345b上执行的安全 策略/数据/引擎。安全管理器325可以在中心远程地或直接地管理所有的 企业设备。另外,安全管理器325和移动安全系统345可以交互以自动地 将企业安全策略翻译为移动安全策略,并可以相应地配置移动安全系统 345。由于移动安全系统345可以是从企业340的相关安全策略生成的, 所以当前正在移动的移动设备310c可以具有与可信企业340内的设备 305/310相同的保护等级。
移动安全系统345可以被设计为添加到现有软件安全上或代替正在移 动的移动设备上的所有安全硬件和软件。这些安全应用将优选地在不同 OSI层上工作,以提供最大的安全和恶意代码保护,如图8中所示的示例 系统所示。在较低的OSI层上工作和仅仅进行TCP/IP分组分析(通过屏 蔽防火墙或路由器分组)将会错过病毒和/或蠕虫行为。而且,很多现代病 毒使用在比7th OSI层(应用一HTTP、 FTP等)"更高"的等级上执行的 移动代码,所以既不能在分组层也不能在应用层上被解译。例如,仅在会 话或传输层对恶意Java脚本(包括在HTML页中)应用反病毒分析、试
10图将签名与分组匹配而不理解内容类型(Java脚本),将不能检测Java脚 本的恶意本性。为了提供更强的保护,移动安全系统345可以充当公司型 安全装置,并可以基于内容类型和适当的OSI层(或在相似内容被封装在 应用层中时"更高"层)来参与不同的安全应用。移动安全系统345可以 被配置为在不同的OSI层执行内容分析,例如,从分组层到应用层。将明 白,在应用层执行深层检测对于检测恶意内容行为和改进病毒、蠕虫、间 谍软件、特洛伊木马等的检测是很关键的。下列软件包可以在移动安全系 统345上执行
防火墙和VPN—包括有状态和无状态防火墙、NAT、分组过滤和 操纵、DOS/DDOS、网络过滤器(netfilter)、将用户移动设备与互联网隔 离并在该设备上运行VPN程序等。
可选的网页加速器和基于Squid的带宽/高速缓冲存储器管理。
IDS/IPS-基于Snort的入侵检测和预防系统。Snot是一种利用规则 驱动语言的开放源代码的网络入侵预防和检测系统,其结合了签名、基于 协议和基于异常的检测的优点。
基于ClamAV的反病毒程序和反间谍软件;附加的AV和AS引擎 (例如,McAfee、 Kaspersky、 Pandamay)可以被提供以获得附加的定购 费。
恶意内容检测_在执行内容分析以在具有签名之前检测恶意内容的 敏锐启发(fly heuristics)上。这将是基于规则库和更新的规则的,并且将 是由内容决定的扫描。
URL禾中类过滤(categorization filtering) —基于诸如SurfControl、 Smart Filter、或Websense的商业引擎。可以提供70种左右的URL,诸如 赌博、成人内容、新闻、网页邮件等。移动设备345可以应用基于URL 种类的不同安全策略,例如,对于赌博或承认内容的网站等的更高限制和 启发。
图4是示出示例计算机系统400的细节的框图,桌上型电脑305、移 动设备310、网络安全系统320、移动安全系统345、以及安全管理器325 是该计算机系统的一个实例。计算机系统400包括耦合到通信信道410的处理器405,诸如,Intel Pentium⑧微处理器或Motorola Power PC⑧微处理 器。计算机系统400进一步包括分别耦合到通信信道410的输入设备415
(诸如,键盘或鼠标)、输出设备420 (诸如,阴极射线管显示器)、通 信设备425、数据存储设备430 (诸如,磁盘)、存储器435 (诸如,随机 存取存储器(RAM))。通信接口 425可以被直接或经由移动安全系统 345耦合到诸如互联网的网络。本领域技术人员将明白,尽管数据存储设 备430和存储器435被图示为不同的单元,但是数据存储设备430和存储 器435可以是同一个单元的多个部分、分散的单元、或虚拟存储器等。
数据存储设备430和/或存储器435可以存储诸如Microsoft Windows XP、 IBM OS/2操作系统、MAC OS、 UNIX OS 、 LINUX OS的操作系统 440和/或其他程序445。将可以理解,优选实施例可以在不同于以上所述 的平台和操作系统上执行。 一个实施例可以使用JAVA、 C、和/或C十+语 言、或其他语言写出(可能使用面向对象的编程方法)。
本领域技术人员将明白,计算机系统400还可以包括附加信息,诸 如,网络连接、附加存储器、附加处理器、LAN、用于跨越硬件信道传输 信息的输入/输出线路、互联网、或内联网等。本领域技术人员将明白,这 些程序和数据可以以可选方式被该系统接收并存储。例如,计算机可读存 储介质(CRSM)读出器450 (诸如,磁盘驱动器、硬盘驱动器、磁光读 出器、CPU等)可以耦合到用于读计算机可读存储介质(CRSM) 455
(诸如,磁盘、硬盘、磁光盘、RAM等)的通信总线410。因此,计算机 系统400可以经由CRSM读出器450接收程序和/或数据。另外,将可以 理解,本文中使用的术语"存储器"的目的在于覆盖所有数据存储介质, 而不论其是永久的还是暂时的。
图5是示出根据本发明实施例的移动安全系统345的细节的框图。移 动安全系统345包括适配器/端口/驱动器505、存储器510、处理器 515、存储移动安全系统的操作系统的安全版本或其他应用的预引导闪存 /ROM存储模块520、网络连接模块525、安全引擎530、安全策略535、 安全数据540、远程管理模块550、分发模块555、以及备份模块560。尽 管图示了移动安全系统345内的这些模块,但是本领域技术人员将明白,他们中的很多也可以位于其他地方,例如,位于安全管理器325上或位于
与移动安全系统345通信的第三方系统上。移动安全系统345可以为袖珍 尺寸的、手持尺寸的、或钥匙链尺寸的壳体,或可以更小。另外,移动安 全系统345可以结合在移动设备310中。
适配器/端口/驱动器505包括用于移动安全系统345上的USB、以太 网、WiFi、 WiMAX、 GSM、 CDMA、蓝牙、PCMCIA、和/或其他连接数 据端口的连接机构。在一个实施例中,适配器/端口/驱动器505能够连接 到多个设备310,以为多个设备310提供网络安全。
存储器510和处理器515执行移动安全系统345上的操作系统和应 用。在这个示例中,预引导闪存520存储操作系统和应用。在引导时,操 作系统和应用被从预引导闪存520加载到存储器510用于执行。由于操作 系统和应用被存储在了在运行期间不能被用户访问的预引导闪存520中, 所以预引导闪存520中的操作系统和应用是不易破坏的。在存储器510中 的操作系统和应用的副本被破坏(例如,被恶意代码破坏)的情况下,操 作系统和应用可以在(例如)重启时被重新从预引导闪存520加载到存储 器510中。尽管描述了操作系统和应用被存储在预引导闪存520中的情 况,但是OS和应用还可以被安全地存储在诸如ROM、 PROM、 EEPROM 等的其他只读存储设备中。
移动安全系统345上的存储器(包括存储器510和预引导闪存520)
可以被分成以下多个区
(i)只读存储器 在运行期间不访问
4
一—
35
(2) OS、内核和
安全应用的副本
(3)运行环境
(4)附加的用于应 用数据、日志文件 等的存储在每个"硬"重启时,移动安全系统345的引导加载器(位于区域1
中)将内核和安全应用(最新的、未改变的副本)从区域1复制到区域
2。这使得清洁版本的0S和应用每次都被加载到区域2中。这样,如果专 用的移动安全系统345攻击被开发了出来,该攻击将不能感染该系统,因 为OS和应用在运行期间被从存储区域1中排除了。另外,到达存储器 510的任何攻击将仅可以运行一次,并将在硬重启时消失。触发机制可以 被用来在感染检测时自动地重新启动移动安全系统345。
网络连接模块525使网络能够经由包括WiFi、 WiMAX、 CDMA、 GSM、 GPRS、以太网、调制解调器等的网络通信硬件/软件连接到例如互 联网330或内联网315。例如,如果移动设备310希望经由WiFi连接连接 到互联网330,则适配器/端口/驱动器505可以被连接到移动设备310的 PCI端口、 USB端口、或PCMCIA端口,并且移动安全系统345的网络连 接模块525将包括用于连接到无线接入点的WiFi网络接口卡。使用网络 连接模块425,移动安全系统345可以作为用于移动设备310的安全网关 与网络通信。在图10A至图10C中描述其他连接结构。
安全引擎530基于安全策略535和安全数据540 (他们二者都可以由 IT管理者开发)执行安全程序。安全引擎530可以包括防火墙、VPN、 IPS/IDS、反病毒程序、反间谍软件、恶意内容过滤、多层安全监控器、 Java和字节码监控器等。每个安全引擎530都可以具有专用的安全策略 535和安全数据540,以指示引擎530可以或不可以允许哪些进程、内 容、URL、系统呼叫等。安全引擎530、安全策略535、以及安全数据540 可以与网络安全系统320上的引擎、策略、和数据的子集相同,和/或可以 从他们开发出来。
为了提供由反病毒程序和反间谍软件提供的更高的安全等级,每个移 动安全系统345上的安全引擎530可以执行内容分析和风险估计算法。例 如,在OSI层7或其他处的运转,这些算法可以通过由规则引擎和规则更 新控制的专用的高风险内容过滤(HRCF)执行。HRCF将基于能够执行 深层内容分析以校验真正的内容类型的强大检测库。这是因为很多攻击都 隐藏在错误的模仿类型(mime type)内,和/或可以使用复杂的骗局来将
14文本文件类型呈现为危险的动态脚本或动态X内容类型。HRCF可以与用 于基于URL种类的自动规则调整的URL种类安全引擎530结合。在一个 实施例中,当风险等级增加时(使用所描述的机构),移动安全系统345 可以自动地调整和增加过滤,以从流量中去除更多的动态内容。例如,如 果更大的风险被确定,则每块移动代码(例如,Java脚本、VB脚本等) 都可以被剥除出去。
用于与公司策略服务器遗留系统结合的三个方面包括(下面讨论 的)规则、LDAP和动态目录、以及记录和报告。在一个实施例中,在安 全管理器325上运行的策略引入代理将访问Checkpoint防火墙-1和Cisco PIX防火墙的规则库,并将他们引入本地副本。规则分析模块将处理重要 的规则,并将为移动安全系统345提供不确定规则(out-of-box rule)和策 略。提出的这个策略将为所有的移动安全系统345提供符合企业340的防 火墙策略的最适合的规则。该代理将周期性地运行,以反映任何改变并生 成用于移动安全系统345的策略535的更新。LDAP和动态目录可以与目 录服务结合,以保持响应与企业的目录定义的移动安全系统345的安全策 略535。例如,用于LDAP用户群"G"的企业策略将自动传播到"G"群 中的所有的移动安全系统345。移动安全系统345的本地日志和查账索引 可以根据记录和报告策略被发送到存储在安全管理器325处的中心日志。 使用网络界面,IT能够生成与所有移动设备310用户和他们的互联网经验 有关的报告和査账视图,并可以启动将感染的设备携带回企业340。 IT将 能够经由SYSLOG禾n SNMP Traps将时间和日志记录转发到遗留管理系统 内。
安全引擎530可以执行加权风险分析。例如,安全引擎530可以分析 包括从互联网330到达的任意流量在内的HTTP、 FTP、 SMTP、 POP3、 IM、 P2P等。安全引擎530可以基于每个对象的类型、复杂性、能力的富 裕度、对象的来源等来为每个对象分配权重和等级。安全引擎530可以使 用已知的危险或已知的安全来源的列表来基于来源分配权重。安全引擎 530可以基于来源的种类(例如,赌博来源、成人内容来源、新闻来源、 著名公司来源、银行业来源等)来为对象分配权重。安全引擎530可以计算权重,并基于该结果确定允许还是不允许对内容的访问、对脚本的运
行、以及对系统的修改等。安全引擎530可以"学习"用户内容(通过对
用户访问的一般内容进行预定时间段的分析),并可以相应地创建个人内 容简介。个人内容简介可以用于校准在运行时间分析期间分配给内容的权 重,以改进精确性并适应对于特定用户特性的加权风险分析。
在一些实施例中,安全引擎530、安全策略535、以及安全数据540 可以使能对移动安全系统345的回避。由安全管理器325设置的安全策略 535可以包括特殊属性,以在移动设备处于可信企业340外时促使移动设 备通过移动安全系统325进行网络连接。所以,如果这些属性被设置为 "有效(on)",则当移动设备310企图在没有移动安全系统345的情况 下、并不从可信企业340内开始连接到互联网330时,包括LAN连接、 USB网、调制解调器、蓝牙、WiFi等的所有数据传输连接都可以被关 闭。移动设备310可以被完全隔离并不能连接到包括互联网330在内的任 何网络。
在一个实施例中,为了这个能实现,当首先使用(例如)USB线(用 于电源和USB连接创建)连接到移动设备310时,USB即插即用设备驱 动器可以被发送到移动设备310中。所安装的驱动器可以是允许用于移动 安全系统345的USB网连接的"Linux.inf"。这个连接允许移动安全系统 345经由USB端口并使用移动设备310网络连接和附加代码("连接客 户")来访问互联网330。在Windows示例中,连接客户可以被安装在如 图6中所示的每个网络连接的所有网络接口卡上方的移动设备310的 NDIS等级。该实施方式将作为NDIS中间层(IM)驱动器或NDIS勾过滤 驱动器(NDIS-hooking filter driver)。两种实施方式都是内核级的,所以 终端用户不能停止或去除他。当开启移动设备310时,连接客户可能企图 连接到可信企业340本地的网络安全系统320或安全管理器325。如果该 节点没有被找到(经由VPN的查找被认为没有在本地LAN中找到),则 连接客户将假设其从可信企业340外工作并希望找到例如,经由USB网或 其他连接机制连接的移动安全系统345。如果移动安全系统345没有被找 到,则连接客户可以避免到任何网络连接的任何通信。通过策略定义,这个行为可以被修改为允许经由安装在移动设备310中的VPN到企业340的 通信。类似地,在移动安全系统345故障的情况下,所有流量都无效,除 了连接到企业340中的VPN外。
将明白,NDIS是在内核级上截取流量的一种可能的实施方式。例 如,在另一实施例中,该系统可以勾住Winsok或应用可能在未来的 Windows版本中的其他方式。
在移动安全系统345支持多个移动设备310的实施例中,对于每一个 移动设备310,安全引擎530、安全策略535、和安全数据540可以不同 (例如,基于例如用户偏好或IT决定)。可选地,可以应用对于所有连接 的设备310都相同的引擎530、策略535、以及数据540。
远程管理模块550使能与安全管理器325 (和/或其他安全管理器)的 通信,并使能安全引擎530、安全策略535、包括签名和其他应用的安全 数据540的本地更新。在一个实施例中,对安全策略535和数据540的修 改可以仅通过安全管理器325进行。移动安全系统345的远程管理模块 550可以经由安全连接,从(例如)安全管理器325上的更新职权设备 (UAD)接收更新。UAD可以在位于互联网330上的客户IT中心处的更 新服务器上运转,以将更新转发给可能不属于负责管理更新的企业540的 移动安全系统345。 UAD可以在移动安全系统345上运转。安全引擎530 更新可以修改反病毒程序引擎DLL等,OS和安全应用更新可以在连接到 安全管理器325的同时经由加密和认证的连接从企业540内执行。
安全管理器325可以修改用于对旅行用户进行远程支持的URL黑白 列表。在错误肯定的情况下,安全管理器325可以通过回避抢先的启发式 安全措施而仍通过防火墙、反病毒程序、IPS/IDS等进行监控来允许对某 些URL的访问。附加的远程设备管理特征可以使安全管理器325能够在 移动安全系统345上执行远程诊断、访问本地日志、改变配置参数等。安 全管理器325可以将任务委托给用于支持的帮助台。
远程管理模块550可以与可以位于安全管理器325或其他系统上的 wizard (例如,wizard745)通信,如图7中所示。下面参考图7描述 wizard745的细节和远程管理模块550与wizard745之间的通信配置的细
17节。
分发模块555使能更新的分发,例如,通过移动安全系统345的、到 N个其他移动安全系统345的更新的分发,例如,包括规则更新的安全策 略535的更新、包括签名更新的安全数据540的更新、安全引擎530的更 新、应用/OS的更新等。标识更新将转发到的N个其他移动安全系统345 的路由表可以被提供给分发模块555,以使系统345能够与系统345通 信。更新可以根据安全管理器325设置的策略执行。当转发更新时,分发 模块555充当UAD。
每个移动安全系统345都可以周期性地、以预定次数、在登陆时等获 取他的路由表和安全信息更新。路由表可以被保持在服务器(例如,安全 管理器325或其他移动安全系统345)上。在一个实施例中,移动安全系 统345可以接触该服务器,以检索路由表。可选地,该服务器可以将路由 表推到移动安全系统345。
分发模块555可以使能快速更新,如图9中所示。当前,所有可获得 的商业反病毒程序产品对设备的更新都比病毒的传播慢。为了确保新的病 毒攻击不比(例如)签名更新传播得更快,每个移动安全系统345都可以 是动态UAD。在一个实施例中,如图9中所示,每个移动安全系统345都 负责将签名更新转发到四个其他设备345。本领域技术人员将明白,所有 设备345都需要向相同数目的其他设备345转发。多个设备345可以负责 向同一设备345的转发。当需要时,被激活的离线设备345可以对用于路 由表更新的服务器(例如,安全管理器325)进行调査。
备份模块560可以不断地将移动设备310的引导扇区和系统文件的图 像和改变备份到闪存520或另一永久性存储设备中。这样,在包括移动设 备310的系统或引导扇区丢失的严重故障情况下,移动安全系统345可以 在重新引导期间被识别为CD-ROM,并可以发动备份模块(或独立程序) 在移动设备310上恢复引导扇区和系统文件,从而在不需要IT支持的条件 下恢复移动设备310。在网络安全系统345支持多个移动设备310的实施 例中,备份模块560可以包含用于每个移动设备310的独立的引导扇区和 系统文件(如果不同的话)。图7是示出根据本发明实施例的智能策略更新系统700的细节的框 图。系统700包括耦合到网络安全系统320和移动安全系统345的安全管 理器325。网络安全系统320包括安全引擎705,该安全引擎包括反病毒 程序引擎715、 IPS/IDS引擎720、防火墙引擎725、以及其他安全引擎。 网络安全系统320还包括安全策略和数据710,该安全策略和数据包括反 病毒策略和数据730、 IPS/IDS策略和数据735、防火墙策略和数据740、 以及其他策略和数据。类似地,移动安全系统345包括反病毒程序引擎 755、 IPS/IDS引擎760、防火墙引擎765、以及其他引擎。移动安全系统 345还包括安全策略和数据535/540,该安全策略和数据包括反病毒安全策 略和数据770、 IPS/IDS安全策略和数据775、防火墙安全策略和数据 780、以及其他安全策略和数据。
安全管理器325可以包括用于基本使能移动安全系统345上的安全引 擎530、安全策略535、和安全数据540的自动初始化和可能的动态设立 的wizard745。在一个实施例中,wizard745可以自动加载作为移动安全系 统345的安全引擎530和策略和数据535/540的网络安全系统320的所有 安全引擎750和策略和数据710。在另一实施例中,wizard745可以包括除 了无关部件外的所有安全引擎705和策略和数据710,例如,与计帐用的 计费软件有关的那些、与仅在网络服务器上运行的网络软件相关的那些。 在另一实施例中,引擎530需要被IT管理器加载,而不需要被wizard745 自动加载。
在一个实施例中,wizard745可以确定移动安全系统345是否需要特定 的安全引擎530,例如,反病毒程序引擎755、 IPS/IDS引擎760、防火墙 引擎765等。如果确定如此,则wizard745将引擎530加载到移动安全系 统345上。然后,wizard745将确定哪些策略和数据集(例如,用于反病毒 程序引擎755的一些、用于IPS/IDS引擎760的一些、用于防火墙引擎 765的一些等)对于移动安全系统345是重要的。然后,wizard745将确定 网络安全系统320上的反病毒策略和数据730中的哪些与移动安全系统 345上的反病毒策略和数据770相关,网络安全系统320上的IPS/IDS策略 和数据735中的哪些与移动安全系统345上的IPS/IDS策略和数据775相关,网络安全系统320上的防火墙策略和数据740中的哪些与移动安全系 统34上的防火墙策略和数据780相关,以及网络安全系统320上的其他策 略和数据中的哪些与移动安全系统345上的策略和数据相关。如上所述, wizard745可以确定移动安全系统345上需要所有的安全引擎705还是仅需 要一部分。wizard745确定是应该转发用于给定引擎类型的所有策略和数 据710还是只转发一部分。wizard745可以基于由IT管理员开发的规则、 基于设立进程期间的逐项选择,来确定哪个相关策略和数据710应该被转 发给移动安全系统345。对于wizard745可选的,IT管理员可以在没有 wizard745的移动安全系统345上设立引擎530和策略和数据535/540。
安全管理器325还可以包括更新职权设备750。更新职权设备750可 以获取安全系统更新(例如,签名更新),并可以将该更新发送到网络安 全系统320和移动安全系统345。本领域技术人员将明白,网络安全系统 320的更新和移动安全系统345的更新不需要相同。另外,更新职权设备 750可以从安全管理者、安全引擎开发者、反病毒程序专家等获取更新。 更新职权设备750可以将该更新转发到所有网络安全系统320和所有移动 安全系统345,或可以将路由表转发给所有移动安全系统345并仅将该更 新发送给移动安全系统能够345的初始设置。移动安全系统345的初时设 置可以以类似于图9所示的过程的P2P方式将更新转发到在路由表中标识 的移动安全系统345。如上所述,运转以转发更新的每个移动安全系统 345本身充当更新职权设备750。
其他应用也可以包括在移动安全系统345上。例如,用于再现来自现 有客户的收入的添加上的应用可以包括一般电子邮件、反垃圾程序、直接 且安全的电子邮件传递、信息库(information vault)、安全的Skype、以 及其他即时信息发送服务等。
邮件安全和反垃圾程序一在移动安全系统345 (包括以上的网络安 全引擎)上实现邮件的中继,以及本地spam quarantine可以通过实时索引 (经由在线搜索引擎作弊源(web spam quarries))来实现包括反垃圾程 序在内的完整的邮件安全软件套件。用户可以访问该来源,以经由网络界 面查阅垃圾消息、释放消息、修改和定制垃圾规则。
20 基于邮件中继的直接且安全的电子邮件传递将允许移动安全系统
345直接从一个移动安全系统345向另一个移动安全系统345发送用户邮 件,而无需在路由邮件服务器中使用。这使得公司用户可以发送无需在互 联网中移动的电子邮件,从而在路由中的不同的未知邮件服务器上留下了 痕迹和副本。这与使用两个移动安全系统之间的安全管道的能力的结合对 于公司是有价值的。在没有这种方法的情况下,人们可以不用访问公司的 邮件服务器而通过追捕用于传递消息的中间邮件服务器中的副本来追踪电 子邮件交换。
信息库一仅有被授权的用户可以经由在每个移动安全系统345上执 行的网络界面和网络服务器可以获取移动安全系统345上的加密并存储终 端用户信息的应用(例如,BOA、 Apache等)。
安全的Skype和其他IM—在移动安全系统345上执行即时消息发 送的客户可以保证即时消息发送系统和P2P应用不具有对移动设备310上 的数据的访问。添加AC/97的芯片集以在移动安全系统325上提供声音接 口可以使用户直接向移动安全系统325讲话和直接从移动安全系统325接 收呼叫。
尽管没有示出,但移动安全系统345也可以包括小电池。这个电池可 以在运行期间通过USB连接充电、或在任意时间使用电源适配器充电。该 电池可以保证适当的关机,例如,当用户从移动安全系统345断开USB线 时。这将由将发动应用和系统关机的系统用信号通知。这将确保文件系统 的适当状态和闪开文件缓冲器。
需要多层防御和保护能力。这可以由具有以下特点的特殊代码实现 通过不同系统(反病毒程序、IDS/IPS、防火墙、反间谍软件、URL种类 等)在不同等级不断监控扫描结果,以构建难题并识别攻击(即使在气没 有被每个单独子系统辨别出来)。
移动安全系统345的一个可获得的优点在于他在终端用户旅行时或在 家工作时在终端用户上强制执行企业540的策略的能力。由于移动安全系 统345使用了与从企业540内连接时相类似的安全引擎和策略,并且由于 终端用户不能在没有他(除经由VPN进入企业540夕卜)的情况下访问互
21联网330,所以,IT能够在企业540的边界线外强制执行他的安全策略。 当移动安全系统345的OS充当在他的控制下的终端用户的OS时,该OS 可以处于IT的完全监督下。这解决了谁控制什么、以及安全和生产率如何 面对最小妥协的问题。
孤立版本的移动安全系统345可以提供相同的功能,并可以经由网络 浏览器提供本地管理接口 。对于没有IT部门的家庭用户或小办公室有吸引 力的是,移动安全系统345使得终端用户可以发动浏览器、连接到移动安 全系统345、设置包括修改白黑URL列表的不同策略(更新策略、安全规 则等)等。还有机会通过定购为终端用户提供移动安全系统345的远程管 理服务。
图10A、 10B、和10C示出了根据本发明多种实施例的用于将移动安 全系统345连接到移动设备310的三种示例结构。在图10A中,移动设备 310经由USB连接1015和1020被耦合到移动安全系统345,并经由NIC 卡1005被耦合到互联网330。移动设备310经由他的NIC卡1005从互联 网330接收互联网流量。移动设备310上的内核级重定向器1010 (例如, 经由NDIS、 Winsock等)自动地经由USB连接1015和1020将互联网流 量重定向到移动安全系统345,该移动安全系统对互联网流量进行扫描和 清理,并经由USB连接1015和1020将清洁的互联网流量返回给移动设备 310。在图10B中,移动设备310经由USB连接1025和1030被耦合到移 动安全系统345。移动安全系统345包括用于从互联网330接收互联网流 量的NIC卡1035。移动安全系统345对互联网流量进行扫描和清理,并经 由USB连接1025和1030将互联网流量转发到移动设备310。在图IOC 中,移动设备310经由NIC卡1040和1045被耦合到移动安全系统345。 移动安全系统345经由他的NIC卡1045从互联网330接收互联网流量。 移动安全系统345对互联网流量进行扫描和清理,并经由NIC卡1040和 1045将互联网流量无线转发给移动设备310。其他连接机构也可以。
本发明的优选实施例的上述描述仅通过示例作出,并且在以上描述的 教导下可以作出对上述实施例和方法进行其他变形和修改。尽管网络站点 被描述为了单独且截然不同的站点,但是本领域技术人员将明白,这些站点可以是一个整体站点的一部分,可以分别包括多个站点的多个部分,或 可以包括单个和多个站点的组合。本文中描述的各种实施例可以利用硬 件、软件、或他们的组合来实现。为此,可以使用能够实现上述各种功能 性设置的任何逻辑类型。可以使用编程的通用数字计算机、使用专用集成 电路、或使用互联的传统组件和电路来实现多个组件。连接可以是有线 的、无线的、或调制解调器等。本文中描述的这些实施例不用于排他或限 制。本发明仅受所附权利要求的限制。
权利要求
1.一种移动安全系统,包括连接机构,用于连接到移动设备的数据端口以及用于与所述移动设备通信;网络连接模块,用于充当到网络的网关;安全策略,用于确定是否将打算供所述移动设备使用的内容转发到所述移动设备;以及安全引擎,用于执行所述安全策略。
2. 如权利要求1的移动安全系统,其中,所述连接机构包括USB连接 器、PCMCIA连接器、以太网连接器、以及无线通信模块中的至少一种。
3. 如权利要求1的移动安全系统,其中,所述网络连接模块包括无线 网络接口卡。
4. 如权利要求1的移动安全系统,其中,所述安全引擎包括反病毒引 擎、反间谍软件引擎、防火墙引擎、IPS/IDS引擎、内容过滤引擎、多层 安全监控器、字节码监控器、以及URL监控器中的至少一种。
5. 如权利要求1的移动安全系统,其中,所述安全策略执行加权风险 分析。
6. 如权利要求5的移动安全系统,其中,所述加权风险分析基于内容 类型来对风险加权。
7. 如权利要求5的移动安全系统,其中,所述加权风险分析基于内容 来源来对风险加权。
8. 如权利要求5的移动安全系统,其中,所述加权风险分析基于内容 来源种类来对风险加权。
9. 如权利要求5的移动安全系统,其中,所述加权风险分析基于用户 的历史行为来对风险加权。
10. 如权利要求1的移动安全系统,还包括能够接收安全策略更新 的远程管理模块。
11. 如权利要求1的移动安全系统,还包括能够接收安全引擎更新的远程管理模块。
12. 如权利要求1的移动安全系统,还包括安全数据和能够接收安全数据更新的远程管理模块。
13. 如权利要求1的移动安全系统,其中,所述安全数据包括恶意内容签名。
14. 如权利要求1的移动安全系统,还包括能够将更新转发到其他移动安全系统的分发模块。
15. 如权利要求1的移动安全系统,还包括如果所述移动设备的引导扇区被损坏,能够存储所述移动设备的所述引导扇区的至少一部分的备份模块。
16. 如权利要求1的移动安全系统,还包括能够与wizard通信的远程配置模块,所述wizard与企业网络安全系统通信,所述wizard能够基本自动地基于所述企业网络安全系统上的策略和数据生成策略和数据,所述远程配置模块能够安装由所述wizard生成的所述策略和数据。
17. 如权利要求1的移动安全系统,还包括在运行期间不能被访问的预引导存储器,所述预引导存储器存储所述移动安全系统的操作系统的至少一部分的副本,所述移动安全系统被配置为每当所述移动安全系统被重新引导时就加载所述操作系统部分。
18. —种方法,包括当移动设备处于可信网络外时,从所述移动设备接收网络连接请求;充当代表所述移动设备到网络的网关;从所述网络接收打算供所述移动设备使用的信息;以及根据安全策略确定是否将所述信息转发到所述移动设备。
19. 一种系统,包括用于在移动设备处于可信网络外时充当代表所述移动设备到网络的网关的装置;用于从所述网络接收打算供所述移动设备使用的信息的装置;以及用于根据安全策略确定是否将所述信息转发到所述移动设备的装置。
20. —种方法,包括经由无线连接在移动设备上接收互联网流量;在内核级上将所述互联网流量重定向到移动安全系统;扫描违反安全策略的互联网流量;清理任何违反所述安全策略的互联网流量,以生成清洁的互联网流 量;以及将所述清洁的互联网流量发送到所述移动设备用于执行。
21.—种系统,包括在移动设备上的无线网络接口卡,用于接收互联网流量;在所述移动设备上的内核级重定向器,用于在内核级上将所述互联网 流量重定向到移动安全系统;安全引擎,用于扫描违反安全策略的互联网流量,以及用于清理任何 违反所述安全策略的互联网流量以生成清洁的互联网流量;以及连接机构,用于从所述内核级重定向器接收重定向的互联网流量,以 及用于将所述清洁的互联网流量发送到所述移动设备用于执行。
全文摘要
小块硬件连接到移动设备,并过滤出攻击和恶意代码。使用该块硬件,移动设备可以被更强的安全措施保护,并可能被与由其相关的公司/企业提供的相同安全等级所保护。在一个实施例中,移动安全系统包括连接机构,用于连接到移动设备的数据端口以及用于与移动设备通信;网络连接模块,用于充当到网络的网关;安全策略,用于确定是否将打算供移动设备使用的内容转发到移动设备;以及安全引擎,用于执行安全策略。
文档编号G06F21/22GK101496025SQ200680052780
公开日2009年7月29日 申请日期2006年12月12日 优先权日2005年12月13日
发明者什洛莫·图布尔 申请人:约吉安全系统公司