专利名称:一种终端安全上网方法和装置的制作方法
技术领域:
本发明涉及到通信领域,特别涉及到一种终端安全上网方法和装置。
背景技术:
由于网络的普及,网络应用越来越多样化,网络病毒也趁机而入,且更新速度远超 过安全厂商病毒库的更新速度,而网络中一台计算机中毒可能感染到网络的其他设备,导 致网络瘫痪。现有的杀毒软件通常是新出一种病毒后再更新杀毒软件,新出病毒和杀毒软件的 更新存在时间差,有一定滞后性,使病毒防护变得极其被动。
发明内容
本发明的主要目的为提供一种终端安全上网方法和装置,通过虚拟工作环境为计 算机提供主动保护。本发明提出一种终端安全上网方法,包括当终端的虚拟工作环境开启时,如果终端发送内网访问请求,拦截内网访问请求; 或者,如果终端发送外网访问请求,允许外网访问;当终端的虚拟工作环境关闭时,如果终端发送内网访问请求,允许内网访问;或 者,如果终端发送外网访问请求,拦截外网访问请求。优选地,所述拦截内网访问请求或允许外网访问之前,开启终端的虚拟工作环境; 所述允许内网访问或拦截外网访问请求之前,关闭终端的虚拟工作环境。优选地,所述关闭终端的虚拟工作环境包括删除虚拟工作环境下所有文件。优选地,所述删除虚拟工作环境下所有文件之前,包括保存虚拟工作环境内文件至一预设的公共目录,该公共目录用于虚拟工作环境和 终端操作系统之间的信息交换,所述信息经过加密保护。优选地,所述虚拟工作环境的开启包括还原终端操作系统;当存在上次退出时没有清除的虚拟工作环境的文件时,删除该文件。优选地,所述拦截外网访问请求包括当所述外网访问请求为网页访问请求,且所述终端没有安装虚拟工作环境时,提 示安装。本发明还提出一种终端安全上网装置,包括第一上网模块,用于当终端的虚拟工作环境开启时,如果终端发送内网访问请求, 拦截内网访问请求;或者,如果终端发送外网访问请求,允许外网访问;第二上网模块,用于当终端的虚拟工作环境关闭时,如果终端发送内网访问请求, 允许内网访问;或者,如果终端发送外网访问请求,拦截外网访问请求。
优选地,终端安全上网装置还包括开启模块,用于开启终端的虚拟工作环境;关闭模块,用于关闭终端的虚拟工作环境。优选地,所述关闭模块包括删除单元,用于删除虚拟工作环境下所有文件。优选地,所述关闭模块还包括保存单元,用于保存虚拟工作环境内文件至一预设的公共目录,该公共目录用于 虚拟工作环境和终端操作系统之间的信息交换,所述信息经过加密保护。优选地,所述开启模块包括还原单元,用于还原终端操作系统;清除单元,用于当存在上次退出时没有清除的虚拟工作环境的文件时,删除该文 件。优选地,第二上网模块具体用于当所述外网访问请求为网页访问请求,且所述终端没有安装虚拟工作环境时,提 示安装。本发明提出的一种终端安全上网方法和装置,通过虚拟工作环境将终端操作系统 与外界隔离,退出时自动清除文件,启动时自动恢复系统,避免了外界对终端操作系统的攻 击,为终端提供了主动防护。
图1为本发明终端安全上网方法一实施例的流程示意图;图2为本发明终端安全上网方法一实施例的系统架构图;图3为本发明终端安全上网方法又一实施例的流程示意图;图4为本发明终端安全上网方法又一实施例中开启虚拟环境的流程示意图;图5为本发明终端安全上网方法又一实施例中关闭虚拟环境的流程示意图;图6为本发明终端安全上网装置一实施例的结构示意图;图7为本发明终端安全上网装置又一实施例的结构示意图;图8为本发明终端安全上网装置又一实施例中开启模块的结构示意图;图9为本发明终端安全上网装置又一实施例中关闭模块的结构示意图。本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施例方式本发明提出的一种终端安全上网方法和装置,通过虚拟工作环境将终端操作系统 与外界隔离,退出时自动清除文件,启动时自动恢复系统。参照图1,提出本发明一种终端安全上网方法一实施例,包括步骤S101,当终端的虚拟工作环境开启时,如果终端发送内网访问请求,拦截内网 访问请求;或者,如果终端发送外网访问请求,允许外网访问;用户首先在终端设置一终端安全上网的装置,该装置可与终端连接或内置于终 端,终端安全上网的装置在终端安装一虚拟工作环境,该虚拟工作环境为终端操作系统文件的重定向,即该虚拟工作环境是在操作系统基础上到主机资源的虚拟化。如图2所示, 虚拟工作环境将终端操作系统与外部应用程序隔离,用户对终端的操作都是在虚拟工作环 境下进行,虚拟工作环境中运行的任何进程所生成的文件或对系统的修改,都是虚拟的,在 终端的操作系统上都是不可见的。虚拟工作环境的生成可以如下在终端的非根分区创建 HOME目录,通过对文件、注册表、进程、组件等进行创建、修改及删除等操作,将用户的操作 都重定向到虚拟工作环境,对于注册表,可只将对HKEY_CURRENT_USER的操作重定向到虚 拟工作环境,其他终端操作系统的注册表项只允许读操作。需要注意的是,虚拟工作环境的 生成不仅限于上述方法,凡本领域技术人员可以考虑到的其它方式也适用于本发明。当终端的虚拟工作环境开启时,如果终端发送内网访问请求,请求访问内网其它 终端时,则可由虚拟工作环境拦截该内网访问请求,禁止访问,避免虚拟工作环境内的病毒 传播到其它终端。如果终端发送外网访问请求,由于虚拟工作环境将终端的操作系统与外 网进行隔离,当外网存在病毒时,只能影响虚拟工作环境,而不能影响终端的操作系统,因 此当虚拟工作环境开启时,可允许访问外网。步骤S102,当终端的虚拟工作环境关闭时,如果终端发送内网访问请求,允许内网 访问;或者,如果终端发送外网访问请求,拦截外网访问请求。当终端的虚拟工作环境关闭时,允许终端访问内网的其它终端。因病毒随着虚拟 工作环境的关闭而清除,此时终端对内网的其它终端的访问是安全的。而如此时终端发送 外网访问请求,由于此时虚拟工作环境关闭导致终端的操作系统处于非隔离状态,因此拦 截外网访问请求。本发明提出的终端安全上网方法,将终端的操作系统和外部隔离,并在终端访问 内网时关闭,提高局域网的安全性。本发明终端安全上网方法一实施例中,步骤S102可包括当外网访问请求为网页访问请求,且终端没有安装虚拟工作环境时,提示安装。本实施例中,可允许访问网页的终端安装虚拟工作环境,为终端上网提供便利。参照图3,提出本发明终端安全上网方法又一实施例,在执行步骤SlOl之前,包 括步骤S100,开启终端的虚拟工作环境。在执行步骤S102之前,包括步骤S103,关闭终端的虚拟工作环境。本实施例中,根据访问需要开启或关闭虚拟工作环境,提高了终端安全上网的灵 活性。参照图4,在上述实施例中,步骤SlOO可包括步骤S1001,还原终端操作系统;步骤S1002,当存在上次退出时没有清除的虚拟工作环境的文件时,删除该文件。虚拟工作环境启动时会自动还原终端操作系统,保证每次启动系统一致性,当检 测到因断电或中毒等异常情况导致上次退出时没有清除的文件时,会自动进行清除。在虚 拟工作环境所做的任何操作,都是在虚拟层进行的,不会直接修改系统,以保证每次启动时 还原到最初的干净无修改系统。参照图5,在上述实施例中,步骤S103可包括
步骤S1031,保存虚拟工作环境内文件至一预设的公共目录,该公共目录用于虚拟 工作环境和终端操作系统之间的信息交换,该信息经过加密保护。步骤S1032,删除虚拟工作环境下所有文件。终端安全上网的装置在虚拟工作环境关闭时将虚拟工作环境下的所有文件删除, 以防止任何病毒,当危险解除后,允许终端访问网络。在关闭虚拟工作环境前,可提醒用户是否将重要文件如下载的文件或者办公文档 放到一预设的公共目录以便在终端操作系统也可以查看。存放于公共目录的信息是经过加 密保护的,虚拟工作环境可通过DLL注入技术对虚拟工作环境的文件进行透明加密,使这 些文件只能在虚拟环境中透明加解密,避免了对于终端操作系统的修改。本实施例中,实现启动虚拟工作环境时自动还原终端操作系统,关闭虚拟工作环 境时清除文件,提高了终端上网安全性。参照图6,提出本发明一种终端安全上网装置一实施例,包括第一上网模块10,用于当终端的虚拟工作环境开启时,如果终端发送内网访问请 求,拦截内网访问请求;或者,如果终端发送外网访问请求,允许外网访问;第二上网模块20,用于当终端的虚拟工作环境关闭时,如果终端发送内网访问请 求,允许内网访问;或者,如果终端发送外网访问请求,拦截外网访问请求。终端安全上网的装置可与终端连接或内置于终端,终端安全上网的装置在终端安 装一虚拟工作环境,该虚拟工作环境为终端操作系统文件的重定向,即该虚拟工作环境是 在操作系统基础上到主机资源的虚拟化。如图2所示,虚拟工作环境将终端操作系统与外 部应用程序隔离,用户对终端的操作都是在虚拟工作环境下进行,虚拟工作环境中运行的 任何进程所生成的文件或对系统的修改,都是虚拟的,在终端的操作系统上都是不可见的。 虚拟工作环境的生成可以如下在终端的非根分区创建HOME目录,通过对文件、注册表、进 程、组件等进行创建、修改及删除等操作,将用户的操作都重定向到虚拟工作环境,对于注 册表,可只将对HKEY_CURRENT_USER的操作重定向到虚拟工作环境,其他终端操作系统的 注册表项只允许读操作。需要注意的是,虚拟工作环境的生成不仅限于上述方法,凡本领域 技术人员可以考虑到的其它方式也适用于本发明。当终端的虚拟工作环境开启时,如果终端发送内网访问请求,请求访问内网其它 终端时,则第一上网模块10拦截该内网访问请求,禁止访问,避免虚拟工作环境内的病毒 传播到其它终端。如果终端发送外网访问请求,由于虚拟工作环境将终端的操作系统与外 网进行隔离,当外网存在病毒时,只能影响虚拟工作环境,而不能影响终端的操作系统,因 此当虚拟工作环境开启时,第一上网模块10可允许访问外网。当终端的虚拟工作环境关闭时,第二上网模块20允许终端访问内网的其它终端。 因病毒随着虚拟工作环境的关闭而清除,此时终端对内网的其它终端的访问是安全的。而 如此时终端发送外网访问请求,由于此时虚拟工作环境关闭导致终端的操作系统处于非隔 离状态,因此第二上网模块20拦截外网访问请求。本发明提出的终端安全上网装置,将终端的操作系统和外部隔离,并在终端访问 内网时关闭,提高局域网的安全性。本发明一种终端安全上网装置一实施例中,第二上网模块20具体用于当外网访问请求为网页访问请求,且终端没有安装虚拟工作环境时,提示安装。
本实施例中,可允许访问网页的终端安装虚拟工作环境,为终端上网提供便利。参照图7,提出本发明一种终端安全上网装置又一实施例,在终端安全上网装置一 实施例中,还包括开启模块30,用于开启终端的虚拟工作环境;关闭模块40,用于关闭终端的虚拟工作环境。本实施例中,根据访问需要开启或关闭虚拟工作环境,提高了终端安全上网的灵 活性。参照图8,在上述实施例中,开启模块30可包括还原单元31,用于还原终端操作系统;清除单元32,用于当存在上次退出时没有清除的虚拟工作环境的文件时,删除该 文件。虚拟工作环境启动时还原单元31会自动还原终端操作系统,保证每次启动系统 一致性,当检测到因断电或中毒等异常情况导致上次退出时没有清除的文件时,清除单元 32会自动进行清除。在虚拟工作环境所做的任何操作,都是在虚拟层进行的,不会直接修改 系统,以保证每次启动时还原到最初的干净无修改系统。参照图9,在上述实施例中,关闭模块40可包括保存单元41,用于保存虚拟工作环境内文件至一预设的公共目录,该公共目录用 于虚拟工作环境和终端操作系统之间的信息交换,该信息经过加密保护。删除单元42,用于删除虚拟工作环境下所有文件。删除单元42在虚拟工作环境关闭时将虚拟工作环境下的所有文件删除,以防止 任何病毒,当危险解除后,允许终端访问网络。在关闭虚拟工作环境前,保存单元41可提醒用户是否将重要文件如下载的文件 或者办公文档放到一预设的公共目录以便在终端操作系统也可以查看。存放于公共目录的 信息是经过加密保护的,虚拟工作环境可通过DLL注入技术对虚拟工作环境的文件进行透 明加密,使这些文件只能在虚拟环境中透明加解密,避免了对于终端操作系统的修改。本实施例中,实现启动虚拟工作环境时自动还原终端操作系统,关闭虚拟工作环 境时清除文件,提高了终端上网安全性。以上所述仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用 本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关 的技术领域,均同理包括在本发明的专利保护范围内。
权利要求
1.一种终端安全上网方法,其特征在于,包括当终端的虚拟工作环境开启时,如果终端发送内网访问请求,拦截内网访问请求;或 者,如果终端发送外网访问请求,允许外网访问;当终端的虚拟工作环境关闭时,如果终端发送内网访问请求,允许内网访问;或者,如 果终端发送外网访问请求,拦截外网访问请求。
2.如权利要求1所述的终端安全上网方法,其特征在于,所述拦截内网访问请求或允 许外网访问之前,开启终端的虚拟工作环境;所述允许内网访问或拦截外网访问请求之前, 关闭终端的虚拟工作环境。
3.如权利要求2所述的终端安全上网方法,其特征在于,所述关闭终端的虚拟工作环 境包括删除虚拟工作环境下所有文件。
4.如权利要求3所述的终端安全上网方法,其特征在于,所述删除虚拟工作环境下所 有文件之前,包括保存虚拟工作环境内文件至一预设的公共目录,该公共目录用于虚拟工作环境和终端 操作系统之间的信息交换,所述信息经过加密保护。
5.如权利要求2所述的终端安全上网方法,其特征在于,所述虚拟工作环境的开启包括还原终端操作系统;当存在上次退出时没有清除的虚拟工作环境的文件时,删除该文件。
6.如权利要求1至5中任一所述的终端安全上网方法,其特征在于,所述拦截外网访问 请求包括当所述外网访问请求为网页访问请求,且所述终端没有安装虚拟工作环境时,提示安装。
7.一种终端安全上网装置,其特征在于,包括第一上网模块,用于当终端的虚拟工作环境开启时,如果终端发送内网访问请求,拦截 内网访问请求;或者,如果终端发送外网访问请求,允许外网访问;第二上网模块,用于当终端的虚拟工作环境关闭时,如果终端发送内网访问请求,允许 内网访问;或者,如果终端发送外网访问请求,拦截外网访问请求。
8.如权利要求7所述的终端安全上网装置,其特征在于,还包括 开启模块,用于开启终端的虚拟工作环境;关闭模块,用于关闭终端的虚拟工作环境。
9.如权利要求8所述的终端安全上网装置,其特征在于,所述关闭模块包括 删除单元,用于删除虚拟工作环境下所有文件。
10.如权利要求9所述的终端安全上网装置,其特征在于,所述关闭模块还包括保存单元,用于保存虚拟工作环境内文件至一预设的公共目录,该公共目录用于虚拟 工作环境和终端操作系统之间的信息交换,所述信息经过加密保护。
11.如权利要求8所述的终端安全上网装置,其特征在于,所述开启模块包括 还原单元,用于还原终端操作系统;清除单元,用于当存在上次退出时没有清除的虚拟工作环境的文件时,删除该文件。
12.如权利要求7至11中任一项所述的终端安全上网装置,其特征在于,第二上网模块 具体用于当所述外网访问请求为网页访问请求,且所述终端没有安装虚拟工作环境时,提示安装。
全文摘要
本发明揭示了一种终端安全上网方法,包括当终端的虚拟工作环境开启时,如果终端发送内网访问请求,拦截内网访问请求;或者,如果终端发送外网访问请求,允许外网访问;当终端的虚拟工作环境关闭时,如果终端发送内网访问请求,允许内网访问;或者,如果终端发送外网访问请求,拦截外网访问请求。本发明还提出相应的装置。本发明提出的一种终端安全上网方法和装置,通过虚拟工作环境将终端操作系统与外界隔离,退出时自动清除文件,启动时自动恢复系统,避免了外界对终端操作系统的攻击,为终端提供了主动防护。
文档编号H04L29/06GK102065100SQ201110000580
公开日2011年5月18日 申请日期2011年1月4日 优先权日2011年1月4日
发明者张武健 申请人:深信服网络科技(深圳)有限公司