专利名称:移动设备上的合作式的恶意软件检测和阻止的制作方法
技术领域:
本公开涉及移动设备上的合作式的恶意软件检测和阻止。
背景技术:
随着移动设备(例如,智能电话和其它这样的无线设备)逐渐普及,更多的用户利 用他们的移动设备来通过互联网访问越来越多不同类型的服务。例如,一种趋势是允许用 户使用移动设备来与银行服务和/或联网站点进行交互。然而,当用户使用移动设备访问 互联网时,会产生许多安全顾虑。尤其是一些网站可能包括恶意软件(malware)和/或间 谍软件(spyware),其可以用于捕获存储在移动设备上的和/或通过移动设备输入的机密 的和/或敏感的信息/数据。
发明内容
从参照附图对符合所要求保护主题的实施例的进行的下列详细描述中,所要求保 护主题的特征和优点将会变得明显,其中
图1示出了根据本公开的移动设备的一个示例性功能框图;图2示出了根据本公开的互相耦合和/或耦合到网络的多个移动设备的一个例 子;图3描绘了根据本公开的一个示例性流程图,其示出了建立用于合作式的安全威 胁检测和阻止的通信;以及图4描绘了根据本公开的一个示例性流程图,其示出了检测、响应和/或告知安全 威胁。尽管将参照示例性实施例进行下列详细描述,然而对于这些实施例的许多替代、 修改和变型对本领域的技术人员来说是显而易见的。
具体实施例方式总体上,本公开描述了一种安全方法和/或系统,其帮助实现在多个移动设备之 间,针对安全威胁检测、阻止和/或通知进行的合作。在每个移动设备中的用于提供安全执 行环境的安全电路中实现了该方法。每个移动设备中的安全存储器为与安全威胁检测、阻 止和/或通知相关联的应用程序和/或数据提供安全存储。包括用户、操作系统、应用程序 和/或恶意程序在内的“非置信方”通常不可以访问安全电路和安全存储器。安全电路和 安全存储器用于提供针对软件攻击的保护、保护用户秘密和/或安全存储。例如,密钥可以 被熔合到安全电路和/或安全存储器中。安全电路用于提供“可信”计算基,即,计算设备 上的用于提供可信的/安全的执行、存储和/或数据信道的安全元件。该方法可以进一步 包括设备之间的安全通信。例如,可以使用本领域技术人员已知的密码技术对设备之间的 通信进行加密。安全威胁可以包括例如恶意程序(“恶意软件”)、个人信息的曝光和/或关键信息的曝光。恶意软件可以包括病毒应用程序、电子邮件病毒、间谍软件、用于使反病毒应用 程序停用的应用程序、和/或用于伪装成网站(例如,银行网站)以便捕获用户密码的应用 程序。恶意软件可以通过使驻留在移动设备上的反病毒应用程序停用来“感染”该移动设 备。例如,恶意软件可以修改反病毒应用程序运转所需的权限,并且/或者删除反病毒应用 程序运转所需的文件和/或进程。在反病毒应用程序被停用之后,恶意软件就可以用病毒 来感染该设备。移动设备可能并不知道它们的“安全环境”。移动设备可能无法阻挡安全威胁,以 及/或者阻止被感染设备传播威胁。安全威胁检测和阻止通常可以依赖于用于监视并且/ 或者采取阻止动作的专用管理控制台和/或管理员。有利地,本文公开的方法和系统提供 了安全执行环境和/或安全存储,其用于允许多个移动设备合作来实现安全威胁检测、阻 止和/或通知,而无需使用专用的管理控制台和/或管理员。如本文所用到的,“移动设备^括能够访问网络(包括互联网)和/或其它移动设 备的任何移动设备。例如,移动设备可以是用于提供无线电话和/或无线互联网接入的“智 能电话”。在另一个例子中,移动设备可以是通常用于提供无线互联网接入以便为用户提供 娱乐、信息和/或基于位置的服务的“移动互联网设备”。移动设备可以包括“超移动PC”、 “上网本”、笔记本电脑和/或其它本领域技术人员已知的设备。移动设备可以支持各种网 络浏览器(例如,但并不限于,用于 Windows 的 hternet Explorer 、Mozilla Firefox 、 Google Chrome 、Apple Safari 和 Opera ,以及用于 Macintosh 的 Apple Safari , Mozilla Firefox 和Opera )和基于网络的应用程序,例如银行/金融应用程序、社交网 络、网络游戏等等。现在转到图1,总体上说明了根据本公开的移动设备的一个示例性功能框图。移动 设备100包括耦合到主存储器120的处理器(“CPU”) 102。处理器可以包括一个或多个核 心处理单元(“核心”)。CPU 102可以包括并且/或者耦合到图形处理单元(“GPU”)104。 CPU 102和/或GPU 104可以耦合到显示控制器110。显示控制器110耦合到屏幕130。GPU 104用于连接显示控制器110以生成在屏幕130上显示的图形图像。显示控制器110用于 向屏幕130绘制图形图像。屏幕130用于向用户显示从显示控制器110接收到的图形,并 且/或者可以用于接收用户输入,例如,触摸。移动设备100可以包括耦合到CPU 102的其 它存储装置和/或驱动器105。例如,其它存储装置可以包括本领域技术人员已知的可移动 介质等等。在一些实施例中,移动设备100可以包括附加的用于接收用户输入的用户接口, 例如,但并不限于,辅助键盘、触摸板和/或键盘。CPU 102用于执行在主存储器120中存储的一个或多个操作系统(“0S”)122、驱 动程序和/或应用程序127。驱动程序可以包括设备驱动程序IM和/或一个或多个用于 从/向移动设备100进行通信的通信驱动程序126。例如,每个通信驱动程序1 可以用于 支持本文描述的一种特定通信协议。应用程序127包括至少一个用于检测恶意软件的安全 威胁检测应用程序128(例如,但并不限于,反病毒应用程序、反间谍软件应用程序等等)。 应用程序127可以包括网络浏览器、银行应用程序、社交网络应用程序和/或本领域技术人 员已知的其它应用程序。主存储器120进一步用于为移动设备100存储与应用程序127相 关联的数据129。例如,数据1 可以包括与反病毒应用程序1 相关联的病毒特征码。CPU 102还耦合到通信系统(“Comm”)140。通信系统140用于提供该移动设备100、网络和/或其它移动设备之间的通信。例如,通信系统140可以包括用于实现从该移 动设备到网络和/或其它移动设备、从网络和/或其它移动设备到该移动设备的无线通信 的发射机和接收机(例如,但并不限于,收发机)。通信系统140可以包括用于通信的一个 或多个适配器(没有示出)。每个适配器可以用于使用相关联的通信协议进行通信,所述通 信协议包括,但并不限于,WiFi、3G、WiMax、蓝牙、NFC(近场通信)和/或其它本领域技术人 员已知的协议。通信可以被加密,并且可以包括加密协议,例如,但并不限于,DES(数据加 密标准)、AES (高级加密标准)、WAP (无线应用协议)、WEP (有线等效保密)和/或其它本 领域技术人员已知的加密协议。通信系统140可以用于提供全球定位,即GPS (全球定位系 统),其可以被用来确定可能的合作设备的位置。移动设备100包括耦合到安全存储器155的安全电路150。在一些实施例中,安全 电路150可以包括安全存储器155。安全存储器155可以包括例如直接存储器存取(DMA)。 安全电路150耦合到CPU 102和主存储器120。安全电路150用于提供安全执行环境,而 安全存储器155则用于为与安全电路150所执行的安全功能相关联的应用程序提供安全存 储。例如,安全功能包括安全应用程序160、加密/解密应用程序162、资源管理器164和/ 或安全应用程序用户接口(“UI”)166。安全应用程序160用于提供安全威胁检测、阻止和/ 或通信。加密/解密应用程序162用于为例如移动设备100和网络和/或其它移动设备之 间的通信提供加密/解密服务。资源管理器164用于方便并且/或者调度在安全电路150 中执行的应用程序。安全应用程序UI 166用于提供用户和安全应用程序160之间的接口。安全存储器155用于为与安全电路150所执行的安全功能相关联的数据提供安全 存储。例如,安全存储器巧5用于为加密/解密应用程序162存储密钥168。安全存储器 1 可以用于存储用户配置设置170,其可以包括响应于检测到恶意软件而将采取的一个 或多个动作。例如,响应包括把移动设备100与网络和/或其它移动设备隔离开(例如,通 过断开与网络和/或其它移动设备之间的任何通信链路)、从移动设备100中移除恶意软 件、停用移动设备100的特定功能和/或资产、暂停在移动设备100上运行的与该恶意软件 相关联的一个或多个进程、通知合作者并且/或者通知本地和/或远程系统管理员。用户 配置设置170可以由移动设备100的供应商进行初始化,并且可以通过与管理员进行合作 来对其进行改变。为了保持安全,可以阻止移动设备的用户独立地改变用户配置设置170。如本文所述,安全存储器155用于存储合作者数据库172。合作者数据库172可以 包括合作者标识符、合作者上可用的(即,活动的)安全威胁检测功能和/或与每个合作者 相关联的通信链路数据。例如,对于每个合作者而言,合作者数据库可以包括对应于通信能 力、安全威胁检测能力、合作者可用性、合作者局限性、合作者病毒特征码(包括最近的更 新)和/或合作者攻击历史的标识符。通信链路数据可以包括通信协议标识符、信道标识 符和/或加密协议标识符。现在转到图2,总体上说明了包括多个移动设备100、202、204和一个网络210的系 统200的一个实施例。移动设备100、202、204中的一个或多个可以耦合到网络210和/或 一个或多个其它的移动设备100、202、204。网络210可以包括多个其它的服务器和/或在 所述其它的服务器之间的多个有线的和无线的互连。多个其它的设备(包括其它的移动设 备)可以耦合到网络210。系统200用于提供一个移动设备(例如,移动设备100)和一个 或多个其它的移动设备202、204之间的耦合。可以经由网络210提供该耦合,并且/或者移动设备100可以耦合到一个或多个其它的移动设备202、204而无需使用网络210,即,移 动设备100可以被“直接地”耦合到一个或多个其它的移动设备202、204。安全电路150、安全存储器155、安全功能和数据用于提供每个合作移动设备100、 202、204之间在安全威胁检测、阻止和/或通信方面进行的合作。例如,“本地”移动设备 (例如,移动设备100)可以与一个或多个合作者(例如,合作移动设备202)建立安全通信 链路。本地移动设备100和合作移动设备202可以建立一个或多个通信链路,所述通信链路 用于提供移动设备100和合作移动设备202之间的安全通信,以便发送关于任一设备100、 202上的安全威胁的信息。例如,本地移动设备100可以检测它自己上的安全威胁。尤其 是,在本地移动设备100的安全电路上运行的安全应用程序160可以监视反病毒应用程序 128以确定是否检测到“异常情况”。“异常情况”包括在移动设备中存在安全威胁(例如, 病毒)和/或安全威胁检测应用程序1 (例如,反病毒应用程序)没有工作或者没有正常 地工作。例如,可以在反病毒应用程序128和安全应用程序160之间实现“心跳”通信,以便 当反病毒应用程序1 在执行时,以预定的时间间隔从反病毒应用程序128向安全应用程 序126提供信号。如果安全应用程序160没有接收到该信号,则反病毒应用程序1 可能 没有正常地工作。在另一个例子中,安全应用程序1 可以向反病毒应用程序1 提供包 括特定特征码的查询。反病毒应用程序1 可以用于对该特征码提供预定的响应。如果安 全应用程序160没有接收到适当的响应,则反病毒应用程序1 可能没有正常地工作。该 特征码可以被存储在安全存储器中。在另一个例子中,安全应用程序160可以用于为反病 毒应用程序1 提供安全执行环境,即,反病毒应用程序可以在该安全环境中执行。如果检测到异常情况,则本地移动设备100可以经由所建立的安全通信链路,向 在合作者数据库172中列出的一个或多个合作者通知该安全威胁。本地移动设备100也可 以通过例如移除安全威胁、断开现有的通信链路、阻止建立附加的通信链路、和/或阻止移 动设备100的一个或多个功能访问移动设备100的其它部分和/或其它合作移动设备202, 来响应在它自身中所检测到的安全威胁。被通知的合作移动设备202也可以响应在移动设备100中检测到的安全威胁。例 如,合作者可以断开与本地移动设备100之间的一个或多个通信链路,并且/或者合作移动 设备202可以对自己进行扫描以确定是否在它自身中检测到安全威胁。因此,系统200用 于提供在多个移动设备100、202、204之间,针对安全威胁检测、阻止和/或通信而进行的合作。由安全应用程序160来监视安全威胁检测应用程序,这可以提供与来自安全威胁 检测应用程序128的检测结果的精确度有关的置信度测量。例如,如果安全威胁检测应用 程序1 正在正常地工作,则安全应用程序160可以检测到该情况,并且“信任”检测结果, 例如,检测到安全威胁或没有检测到安全威胁。如果检测到安全威胁并且安全威胁检测应 用程序1 正在正常地工作,则安全应用程序160可以基于在它的合作者数据库中存储的 数据来向合作移动设备告知该检测到的安全威胁。如果安全威胁检测应用程序1 没有正 常地工作,则安全应用程序160可以检测到该情况,并且不“信任”检测结果。然后,安全应 用程序160可以基于在它的合作者数据库中存储的数据来向合作移动设备告知安全威胁 检测应用程序1 失效。本地移动设备100还可以用于忽略来自没有被包括在合作者数据库172中的远程移动设备的关于安全威胁的通知。换句话说,本地移动设备100可以用于向包括在它的合 作者数据库172中的合作移动设备发出通知,并且/或者接收来自后者的通知。来自未包 括在它的合作者数据库172中的其它移动设备的通知可以被认为是“非置信的”。图3描绘了根据本公开的一个示例性流程图,其示出了建立用于合作式的安全威 胁检测和阻止的通信。可以用安全电路,例如安全电路150和/或在其中工作的安全功能 (例如,被存储在安全存储器中),来执行在该实施例中说明的操作。流程可以始于启动合 作式保护(操作305)。例如,用户可以使用安全应用程序UI 166来启动合作式保护。一旦 被启动,在操作310,移动设备100可以扫描对合作式安全威胁检测、阻止和/或通知感兴 趣的合作者(例如,移动设备202、204等等)。例如,扫描可以包括使用在通信系统140上 运行的至少一个通信适配器和相关联的通信协议来进行发送。根据一个实施例,可以在一 个或多个预定的通信链路而不是通信系统140能够运行的所有的通信链路上执行该扫描。 对预定的通信链路进行扫描可以减轻通信系统140的工作量。扫描可以包括对应于移动设 备100的标识符、关于移动设备100作为合作者的可用性的指示、对应于安全威胁检测能力 的一个或多个标识符(例如,与在移动设备100上执行的每个反病毒应用程序相关联的标 识符)、移动设备100中可用的通信协议、和/或要求可能的合作者(例如,合作移动设备 202、204)做出应答的请求。在操作315,可以确定是否有任何具有期望的安全威胁检测能力的合作者做出应 答。例如,响应于与操作310相关联的扫描,一个可能的合作者可以做出应答。该应答可以 包括对应于该可能的合作者的标识符、关于该可能的合作者作为合作者的可用性的指示、 对应于安全威胁检测能力的一个或多个标识符(例如,与在该可能的合作者上执行的每个 反病毒应用程序和/或在该可能的合作者中可用的通信协议相关联的标识符)。基于该应 答,可以确定该可能的合作者是否具有期望的安全威胁检测能力。例如,移动设备100可以 包括具有可接受的安全威胁检测准则的一个列表的数据库,使用该数据库,可以将接收到 的应答和与在该可能的合作者上执行的每个反病毒应用程序相关联的指示进行比较,以确 定与可能的合作者相关联的安全威胁检测是否是可接受的。如果没有应答或者没有具有期 望的安全威胁检测能力的可能的合作者,则在操作320,可以向用户通知此情况。例如,安全 应用程序UI 166可以被用来在屏幕130上向用户提供指示,其表示没有可用的具有期望的 安全威胁检测能力的合作者。如果没有可用的具有期望的安全威胁检测能力的合作者,则 可以在操作325结束流程。如果至少一个具有期望的安全威胁检测能力的可能的合作者做出了应答,则在操 作330,可以与每个可能的合作者协商通信链路,以确定就安全威胁进行通信所要使用的通 信协议。在操作330,还可以协商是否将使用加密协议以及使用特定的加密协议。操作335包括确定是否加载了与在操作330中协商的通信协议相关联的通信驱动 程序。如本文所述,可以在一个或多个预定的通信链路上执行扫描310。如果用于在操作 310处进行扫描的通信协议与所协商的通信协议相符,则已经加载了通信驱动程序。如果加 载了通信驱动程序,则流程可以进入操作345。如果没有加载一个或多个通信驱动程序(例 如,为传送安全威胁通知而建立的通信链路与用于扫描的预定的通信链路不同),则可以在 操作340处加载与在操作330中协商的通信协议相关联的通信链路。例如,可以从存储装 置/驱动器105中把通信驱动程序加载到主存储器120中,以供CPU 102执行。换句话说,可以协商与扫描所使用的通信链路不同的通信链路(例如,通信适配器和相关联的通信协 议)来告知安全威胁。
在操作345,可以生成/建立关于具有期望的安全威胁检测能力的合作者的数据 库。对于每个合作者,该数据库可以包括与该合作者相关联的标识符和相关联的通信链路 (包括通信适配器及相关联的通信协议)。对于每个合作者,该数据库可以包括对应于安全 威胁检测能力、合作者可用性、合作者局限性、合作者病毒特征码(包括最近的更新)、和/ 或合作者攻击历史的指示。在操作345,可以把该数据库(例如,合作者数据库172)存储在 安全存储器155中。然后,可以在操作325处结束流程。用此方式,移动设备(例如,本地移动设备100)可以扫描合作者(例如,移动设备 202,204),与合作者202、204建立一条或多条通信链路,并且可以建立关于具有期望的安 全威胁检测能力的合作者的数据库172。然后,移动设备100可以与合作者202、204进行合 作,以进行安全威胁检测、阻止和/或通知。尽管操作310指示扫描可能的合作者,但移动设备100也可以接收来自另一个正 在扫描可能的合作者的移动设备(例如,移动设备202、204)的扫描通信。于是,如参考操 作315所述,移动设备100可以对该另一个移动设备202、204做出应答。移动设备100也 可以更新它的合作者数据库172,以便包括该另一个移动设备202、204。用此方式,移动设 备可以扫描合作者,并且/或者应答来自另一个移动设备的扫描,以便建立和/或更新它的 合作者数据库172。图4描绘了根据本公开的一个示例性流程图,其示出了检测、响应和/或告知威 胁。可以用安全电路,例如安全电路150和/或在其中工作的安全功能,来执行在该实施例 中说明的除了操作405以外的操作。流程始于在操作405启动安全威胁检测。例如,反病 毒应用程序128可以被安装在移动设备(例如,移动设备100)上,并且可以开始执行(例 如,在设备通电等等之后)。反病毒应用程序128可以在CPU 102上执行。操作410包括监视本地和/或远程安全威胁。监视本地安全威胁可以包括监视一 个或多个安全威胁检测应用程序(例如,在主处理器102上运行)的工作,以确定在该安全 威胁检测应用程序工作期间,是否检测到异常情况(例如,是否在正常地工作)。例如,在安 全电路150上运行的安全应用程序160可以监视反病毒应用程序128的工作。安全应用程 序160可以用于确定在反病毒应用程序128工作期间,是否检测到异常情况(例如,它是否 成功地开始和结束)。如果反病毒应用程序128被停用并且/或者被破坏,则它无法开始, 并且/或者如果它开始了则无法结束。在另一个例子中,安全应用程序160可以确定反病 毒应用程序128是否正在对电子邮件进行扫描。在该例子中,安全应用程序160可以监视 电子邮件业务量,并且可以确定反病毒应用程序128是否启动来扫描电子邮件以及/或者 确定扫描是否结束。如果反病毒应用程序128没有启动并且/或者没有结束,则它可能被 例如恶意软件破坏和/或停用。例如,如本文所述,为了确定反病毒应用程序是否正在正常 地工作,可以在反病毒应用程序128和安全应用程序160之间提供“心跳”,并且/或者安 全应用程序160可以使用预定的特征码向反病毒应用程序128进行查询。如果没有接收到 “心跳”并且/或者没有接收到对预定特征码的适当的响应,则反病毒应用程序128可能没 有在正常地工作,即,检测到异常情况。监视远程安全威胁可以包括确定是否从合作者202、204接收到表示在合作者202,204中检测到的安全威胁的安全威胁通知。例如,如本文所述,合作者202、204可以使 用经协商的通信链路和/或加密来发送安全威胁通知。移动设备100的通信系统140中对 应的通信适配器可以接收安全威胁通知。可以向安全应用程序160提供该通知,并且如果 该通知被加密,则安全应用程序160可以使用加密/解密应用程序162和适当的加密/解 密密钥168对该通知进行解密。可以基于合作者数据库172来指示适当的加密/解密密钥 168,其存储在安全存储器155中。例如,安全应用程序160可以基于合作者标识符来选择适 当的密钥。安全应用程序160和加密/解密应用程序162均用于在安全电路150中执行。 安全威胁通知可以包括合作者标识符、特定的安全威胁标识符和/或合作者针对该安全威 胁而选择的响应。
在操作415,可以确定是否检测到本地和/或远程安全威胁。例如,如参考操作410 所述,安全应用程序160可以用于监视反病毒应用程序128和/或来自合作者202、204的 通信。基于该监视,安全应用程序160就可以确定是否检测到安全威胁。如果没有检测到 安全威胁,则流程可以回到操作410 (例如,监视本地和/或远程安全威胁)。如果检测到安 全威胁(例如,本地安全威胁和/或远程安全威胁),则流程可以进入操作420。操作420包括对检测到的安全威胁进行响应。移动设备100可以基于在安全存储 器155中存储的用户配置设置170,对检测到的安全威胁采取特定的响应。可能的响应包括 把移动设备100与网络210和/或其它移动设备202、204隔离开、移除本地恶意软件、停用 移动设备100中的特定服务和/或资产(例如,通信端口)、暂停可能正在CPU 102中执行 的一个或多个应用程序和/或特定的进程集合、通知本地和/或远程系统管理员、降低特权 等级、和/或本领域技术人员已知的其它响应。操作425包括确定是否有任何合作者202、204要被通知所检测到的安全威胁。例 如,安全应用程序160可以确定合作者数据库172是否包括任何活动的合作者202、204。如 果不存在活动的合作者,则流程可以回到操作410 (例如,监视本地和/或远程安全威胁)。 如果存在至少一个活动的合作者202、204,则流程可以进入操作430,并且合作者202、204 可以被通知所检测到的安全威胁。例如,安全应用程序160可以为在合作者数据库172中 列出的每个合作者202、204生成安全威胁通知。安全威胁通知可以包括对应于/表示移动 设备100的标识符、表示/对应于所检测到的安全威胁的标识符、和/或对应于针对所检测 到的安全威胁的响应的标识符。可以基于合作者数据库172对安全威胁通知进行加密,并 且使用与合作者数据库172中的每个合作者202、204相关联的通信链路来发送该安全威胁 通知。然后,流程可以回到操作410(例如,监视本地和/或远程安全威胁)。可选地,可以 在所检测到的安全威胁被修复之后发送通知。例如,可以使用加密的通信链路来发送该通 知。总体上,所述系统和/或方法用于帮助实现多个移动设备之间针对安全威胁检 测、阻止和/或通知而进行的合作。所述系统和/或方法总体上包括识别可能的合作者、生 成关于所识别的合作者的数据库,该数据库包括每个合作者的安全威胁检测能力以及与每 个合作者相关联的通信数据。所述系统和/或方法进一步包括监视本地和/或远程安全威 胁、对检测到的安全威胁做出响应、并且/或者向合作者告知所检测到的威胁。用此方式, 一个移动设备可以与其它移动设备合作地检测、告知及响应安全威胁,而无需集中式控制 台和/或网络管理员采取动作。
尽管提供了前述内容作为示例性系统架构和方法,然而对于本公开的修改也是可 能的。例如,主存储器120中的操作系统可以管理系统资源并控制在例如CPU 102上运 行的任务。例如,可以使用Linux 来实现0S,并且/或者OS可以是基于Linux的,例如, Moblin (移动Linux )、Android (在Linux 内核上运行的移动操作系统);可以是基于 Microsoft Windows 的,例如,Microsoft Windows GE ;可以是基于 Apple Mac 的;并且 /或者可以是为在移动设备上使用而设计的另一种操作系统,例如,Symbian,同样,也可以 使用其它的操作系统。如本文所述,通 信协议可以包括WiFi、3G、WiMax、蓝牙和/或NFC。可以使用其它通 信协议。WIFI是Wi-Fi联盟的注册商标。WiFi协议可以遵守或兼容由电气和电子工程师协 会(IEEE)发布的名为“IEEE 802. 11标准”(发布于1997年)的无线标准,例如,802. 11a、 802. lib,802. llg、802. lln,和/或该标准的后续版本。WiMax协议可以遵守或兼容由IEEE 发布的名为“IEEE 802. 16标准”(发布于2001年12月)的无线标准,和/或该标准的后续 版本。3G协议可以遵守或兼容由国际电信联盟在1998年发布的移动电信3GPP规范,和/或 该规范的后续版本。蓝牙协议可以遵守或兼容由IEEE发布的名为“IEEE 802.15.1-2002” 的无线标准,和/或该标准的后续版本。NFC (近场通信)协议可以遵守或兼容ECMA-340标 准和由国际标准化组织的国际电工委员会在2003年12月8日发布的IS0/IEC 18092标准, 和/或这些标准的后续版本。如本文所述,加密协议可以包括DES、AES、WAP、TOP和/或TLS。可以使用其它加密 协议。DES协议可以遵守或兼容由国家标准局(现在的国家标准与技术研究院(“NIST”)) 在1976年发布的名为FIPS标准FIPSPUB 46的数据加密标准,和/或该标准的后续版本。 AES协议可以遵守或兼容由NIST在2001年11月26日发布的名为U. S. FIPS PUB 197(FIPS 197)的高级加密标准,和/或该标准的后续版本。WAP协议可以遵守或兼容由开放移动联 盟在1998年4月发布的名为“WAP 1. 0系列规范”的无线应用协议标准,和/或该标准的后 续版本。WEP( “有线等效保密”)协议可以遵守和兼容IEEE 802. 11标准,和/或该标准的 后续版本。TLS(安全传输层)协议可以遵守和兼容由互联网工程任务组在1999年1月发 布的名为“TLS协议1. 0版本”的标准,和/或该标准的后续版本。其它修改也是可能的。例如,主存储器(例如,主存储器120)可以包括以下类型的 存储器中的一种或多种半导体固件存储器、可编程存储器、非易失性存储器、只读存储器、 电可编程存储器、随机存取存储器、闪速存储器、磁盘存储器和/或光盘存储器。在另一个 例子中,安全存储器(例如,安全存储器155)可以包括以下类型的存储器中的一种或多种 半导体固件存储器、可编程存储器、非易失性存储器、只读存储器、电可编程存储器、随机存 取存储器和/或闪速存储器。附加地或者替代地,主存储器120和/或安全存储器155可 以包括其它的和/或以后开发的类型的计算机可读存储器。本文描述的方法的实施例可以在包括一个或多个存储介质的系统中实现,所述一 个或多个存储介质上单独地或组合地存储有指令,这些指令当由一个或多个处理器执行 时,执行所述方法。这里,处理器可以包括例如处理单元和/或可编程电路。因此,设想根据 本文所述方法的操作可以被分布在多个物理设备上,例如,在处于几个不同物理位置的处 理结构上。存储介质可以包括任何类型的有形介质,例如,任意类型的盘(包括软盘、光盘、 光盘只读存储器(CD-ROM)、可重写光盘(CD-RW)和磁光盘)、半导体器件(例如,只读存储器(ROM)、随机存取存储器(RAM)(例如动态和静态RAM)、可擦可编程只读存储器(EPROM)、 电可擦可编程只读存储器(EEPROM)、闪速存储器)、磁卡或光卡、或者适合存储电子指令的 任何类型的介质。
本文描述的以太网协议可以允许使用传输控制协议/互联网协议(TCP/IP)进 行通信。以太网协议可以遵守或兼容由电气和电子工程师协会(IEEE)发布的名为“IEEE 802. 3标准”(发布于2002年3月)的以太网标准,和/或该标准的后续版本。在本文中的任何实施例中所用到的“电路”可以包括例如单个的或任意组合的硬 连线电路、可编程电路、状态机电路和/或存储由可编程电路执行的指令的固件。根据一个实施例,本公开展示了一种包括安全存储器和安全电路的装置。安全存 储器可以用于容纳包括对应于至少一个合作设备的数据的合作者数据库。安全电路可以用 于监视安全威胁检测应用程序。如果在安全威胁检测应用程序工作期间检测到异常情况, 则安全电路可以进一步用于基于合作者数据库中的数据而使得安全威胁通知被发送到合 作设备。根据另一个实施例,本公开展示了一种包括移动设备的系统。移动设备可以包括 收发机,其用于与至少一个合作设备进行无线通信;主存储器,其包括安全威胁检测应用程 序;处理器,其耦合到主存储器,并且用于执行该安全威胁检测应用程序以检测攻击该移动 设备的恶意程序;安全存储器和安全电路。安全存储器可以用于容纳包括对应于至少一个 合作设备的数据的合作者数据库。安全电路可以用于监视在处理器上运行的安全威胁检测 应用程序的工作。如果在安全威胁检测应用程序工作期间检测到异常情况,则安全电路可 以进一步用于基于合作者数据库中的数据而使得安全威胁通知被发送到合作设备。根据另一个实施例,本公开展示了一种用于在移动设备上进行合作式威胁检测的 方法。该方法可以包括通过移动设备上的安全电路来监视本地和远程安全威胁。当识别出 本地或远程安全威胁时,通过安全电路来执行补救动作以消除安全威胁。当识别出本地安 全威胁时,通过安全电路来识别存储在位于移动设备的安全存储器中的合作者数据库内的 至少一个合作移动设备,并且向该合作移动设备通知该安全威胁。本文使用的术语和表达被用作进行说明而不是进行限制,并且使用这样的术语和 表达并不是要排除所示和所述的特征(或它的一部分)的任何等效物,并且可以理解,在权 利要求范围内进行各种修改都是可能的。相应地,权利要求旨在覆盖所有这样的等效物。本文描述了各种特征、方面和实施例。本领域的技术人员将理解,这些特征、方面 和实施例既容许互相组合,又容许存在变型和修改。因此,本公开应该被认为包含了这样的 组合、变型和修改。
权利要求
1.一种用于在移动设备上进行合作式威胁检测的装置,所述装置包括安全存储器,用于容纳包括对应于至少一个合作设备的数据的合作者数据库;以及安全电路,用于监视安全威胁检测应用程序的工作,其中,如果在所述安全威胁检测应 用程序工作期间所述安全电路检测到异常情况,则所述安全电路还用于基于所述合作者数 据库中的数据而使得安全威胁通知被发送到所述至少一个合作设备。
2.根据权利要求1所述的装置,其中,所述合作者数据库还包括与每个合作设备相关 联的通信链路数据,所述通信链路数据包括通信协议标识符、信道标识符或加密协议标识 符中的至少一个,其中,所述安全电路还用于与所述至少一个合作设备建立安全通信链路, 并且通过所述安全通信链路向所述至少一个合作设备发送所述安全威胁通知。
3.根据权利要求1所述的装置,其中,在主处理器或所述安全电路中的至少一个上执 行所述安全威胁检测应用程序。
4.根据权利要求1所述的装置,其中,所述安全电路还用于识别引发所述安全威胁检 测应用程序中的异常情况的安全威胁,并且其中,所述安全威胁通知包括表示所识别的安 全威胁的信息。
5.根据权利要求1所述的装置,其中,所述安全电路还用于扫描可能的合作移动设备, 并且确定所述可能的合作移动设备是否包括兼容的安全威胁检测应用程序。
6.根据权利要求5所述的装置,其中,当识别出具有所述兼容的安全威胁检测应用程 序的可能的合作设备时,所述安全电路还用于向所述合作者数据库添加表示所述可能的合 作设备的数据。
7.根据权利要求1所述的装置,其中,所述安全电路还用于接收来自受损害的移动设 备的安全威胁通知,并且执行补救动作,其中,所述受损害的移动设备对应于在所述合作者 数据库中列出的一个移动设备,并且其中,所述补救动作包括以下中的至少一个断开所 述移动设备和所述受损害的移动设备之间的通信链路、断开所述移动设备和网络之间的通 信链路、或者对所述移动设备执行扫描以确定所述安全威胁检测应用程序是否在正常地工 作。
8.一种用于在移动设备上进行合作式威胁检测的系统,所述系统包括移动设备,所述 移动设备包括收发机,用于与至少一个合作设备无线地进行通信;主存储器,其包括操作系统;处理器,其耦合到所述主存储器,所述处理器用于执行所述操作系统;安全存储器,用于容纳包括对应于至少一个合作设备的数据的合作者数据库;以及安全电路,用于监视在所述移动设备上执行的安全威胁检测应用程序,其中,如果所述 安全电路检测到异常情况,则所述安全电路还用于基于所述合作者数据库中的数据而使得 安全威胁通知被发送到所述至少一个合作设备。
9.根据权利要求8所述的系统,其中,所述安全威胁检测应用程序包括反病毒应用程序。
10.根据权利要求8所述的系统,其中,所述合作者数据库还包括与每个合作设备相关 联的通信链路数据,所述通信链路数据包括通信协议标识符、信道标识符或加密协议标识 符中的至少一个,其中,所述安全电路还用于与所述至少一个合作设备建立安全通信链路,并且通过所述安全通信链路向所述至少一个合作设备发送所述安全威胁通知。
11.根据权利要求8所述的系统,其中,在主处理器或所述安全电路中的至少一个上执 行所述安全威胁检测应用程序。
12.根据权利要求8所述的系统,其中,所述安全电路还用于识别引发所述异常情况的 安全威胁,并且其中,所述安全威胁通知包括表示所识别的安全威胁的信息。
13.根据权利要求8所述的系统,其中,所述安全电路还用于扫描可能的合作移动设 备,并且确定所述可能的合作移动设备是否包括兼容的安全威胁检测应用程序。
14.根据权利要求13所述的系统,其中,当识别出具有所述兼容的安全威胁检测应用 程序的可能的合作设备时,所述安全电路还用于向所述合作者数据库添加表示所述可能的 合作设备的数据。
15.根据权利要求8所述的系统,其中,所述安全电路还用于接收来自受损害的移动设 备的安全威胁通知,并且执行补救动作,其中,所述受损害的移动设备对应于在所述合作者 数据库中列出的一个移动设备。
16.根据权利要求15所述的系统,其中,所述补救动作包括断开所述移动设备和所述 受损害的移动设备之间的通信链路。
17.一种用于在移动设备上进行合作式威胁检测的方法,所述方法包括通过移动设备上的安全电路来监视本地和远程安全威胁;当识别出本地或远程安全威胁时,通过所述安全电路来执行补救动作以处理所述安全 威胁;并且当识别出本地安全威胁时,通过所述安全电路来识别存储在位于所述移动设备的安全 存储器中的合作者数据库内的至少一个合作移动设备,并且向所述至少一个合作移动设备 通知所述安全威胁。
18.根据权利要求17所述的方法,其中,所述方法还包括扫描可能的合作移动设备;并且确定所述可能的合作移动设备是否包括兼容的安全威胁检测应用程序。
19.根据权利要求18所述的方法,其中,当识别出具有所述兼容的安全威胁检测应用 程序的可能的合作设备时,所述方法还包括向所述合作者数据库添加表示所述可能的合作 设备的数据。
20.根据权利要求17所述的方法,其中,所述补救动作包括以下中的至少一个断开所 述移动设备和所述受损害的移动设备之间的通信链路,或者断开所述移动设备和网络之间 的通信链路。
全文摘要
本公开描述了一种用于在移动设备上进行合作式威胁检测的方法和装置。移动设备可以包括处理器、安全存储器和安全电路。处理器可以耦合到主存储器,并且可以用于执行安全威胁检测应用程序以检测攻击该移动设备的恶意程序。安全存储器可以用于容纳包括对应于至少一个合作设备的数据的合作者数据库。安全电路可以用于确定在处理器上运行的安全威胁检测应用程序是否在正常地工作。如果在安全威胁检测应用程序工作期间检测到异常情况,安全电路可以进一步用于基于合作者数据库中的数据而使得安全威胁通知被发送到合作设备。
文档编号H04W12/00GK102110207SQ201010621530
公开日2011年6月29日 申请日期2010年12月24日 优先权日2009年12月24日
发明者R·普尔纳沙德朗, S·艾斯 申请人:英特尔公司