專利名稱:通過對設(shè)備的動(dòng)態(tài)地址隔離來提供網(wǎng)絡(luò)和計(jì)算機(jī)防火墻保護(hù)的系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明一般地涉及計(jì)算機(jī)安全�����,更具體而言����,提供了用于在外部設(shè)備和主機(jī)設(shè)備 之間提供數(shù)據(jù)和設(shè)備安全的系統(tǒng)和方法。
背景技術(shù):
因特網(wǎng)是政府�、大學(xué)、非營利組織���、公司和個(gè)人所擁有的數(shù)百萬單個(gè)計(jì)算機(jī)網(wǎng)絡(luò)的 互連��。雖然因特網(wǎng)是有價(jià)值信息和娛樂的極佳來源�����,但是因特網(wǎng)也變成了諸如“病毒”�、“間 諜程序”��、“廣告程序”����、“蠕蟲”、“特洛伊木馬”和其他惡意代碼之類的系統(tǒng)破壞代碼和系統(tǒng)致 命應(yīng)用代碼的主要來源�。為了保護(hù)用戶,程序員設(shè)計(jì)出用于防止惡意代碼攻擊個(gè)人計(jì)算機(jī)和網(wǎng)絡(luò)計(jì)算機(jī)兩 者的計(jì)算機(jī)安全系統(tǒng)和計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)���。就絕大部分而言,網(wǎng)絡(luò)安全系統(tǒng)已經(jīng)相對成 功�。從企業(yè)網(wǎng)內(nèi)部連接到因特網(wǎng)的計(jì)算機(jī)通常具有兩道防線����。第一道防線包括可以作為 網(wǎng)絡(luò)網(wǎng)關(guān)的一部分的網(wǎng)絡(luò)安全系統(tǒng)�,其包括防火墻、防病毒��、防間諜軟件和內(nèi)容過濾�����。第二 道防線包括單機(jī)上的單機(jī)安全軟件�,其通常不如網(wǎng)絡(luò)安全系統(tǒng)一樣安全并且更容易遭受攻 擊。組合起來�,第一和第二道防線一起提供極佳的安全保護(hù)。然而�����,當(dāng)設(shè)備連接到因特網(wǎng)而 沒有居間的網(wǎng)絡(luò)安全系統(tǒng)時(shí)�,設(shè)備失去其第一道防線。因此�,在企業(yè)網(wǎng)外部移動(dòng)的移動(dòng)設(shè)備 (例如,筆記本����、臺式計(jì)算機(jī)����、諸如RIM的黑莓之類的PDA�、蜂窩電話、任何連接到因特網(wǎng)的無 線設(shè)備���,等等)更容易遭受攻擊�。圖1圖示出現(xiàn)有技術(shù)的示例網(wǎng)絡(luò)系統(tǒng)100�����。網(wǎng)絡(luò)系統(tǒng)100包括各自耦合到企業(yè)內(nèi) 聯(lián)網(wǎng)115的臺式計(jì)算機(jī)105和移動(dòng)設(shè)備110����。內(nèi)聯(lián)網(wǎng)115經(jīng)由網(wǎng)絡(luò)安全系統(tǒng)120(其可以 是企業(yè)網(wǎng)關(guān)的一部分)耦合到不受信任的因特網(wǎng)130。因此�����,臺式計(jì)算機(jī)105和移動(dòng)設(shè)備 110經(jīng)由網(wǎng)絡(luò)安全系統(tǒng)120而訪問因特網(wǎng)130��。安全管理器125通常管理網(wǎng)絡(luò)安全系統(tǒng)120 以確保其包括最新的安全保護(hù)并從而確保保護(hù)臺式計(jì)算機(jī)105和移動(dòng)設(shè)備110免受惡意代 碼�����。分界線135將受信任的企業(yè)140和不受信任的公共因特網(wǎng)130隔開���。因?yàn)榕_式計(jì)算機(jī) 105和移動(dòng)設(shè)備110經(jīng)由網(wǎng)絡(luò)安全系統(tǒng)120而連接到因特網(wǎng)130�����,因此兩者都具有抵御來自 因特網(wǎng)130的惡意代碼的兩道防線(即����,網(wǎng)絡(luò)安全系統(tǒng)120和駐留于設(shè)備本身上的安全軟 件)���。當(dāng)然��,雖然是受信任的�����,但是內(nèi)聯(lián)網(wǎng)115也可以是惡意代碼的來源����。圖2圖示出當(dāng)移動(dòng)設(shè)備110已經(jīng)移動(dòng)到受信任的企業(yè)140之外并且重新連接到 不受信任的因特網(wǎng)130時(shí)的現(xiàn)有技術(shù)的示例網(wǎng)絡(luò)系統(tǒng)200�����。或許當(dāng)用戶在移動(dòng)時(shí)攜帶移動(dòng) 設(shè)備110并且在咖啡館�����、旅館處或者經(jīng)由任何不受信任的有線或無線連接而連接到因特網(wǎng) 時(shí)�����,這種情況可能會(huì)發(fā)生�����。因此���,如圖所示�����,移動(dòng)設(shè)備110不再受第一道防線(受網(wǎng)絡(luò)安全系統(tǒng)120)保護(hù)并且因而已經(jīng)增大了其接收惡意代碼的風(fēng)險(xiǎn)�。另外�����,通過將移動(dòng)設(shè)備110的 實(shí)體帶回受信任的企業(yè)140并且從受信任的企業(yè)140內(nèi)部進(jìn)行重新連接,移動(dòng)設(shè)備110冒 著將所接收的任何惡意代碼傳送到內(nèi)聯(lián)網(wǎng)115的風(fēng)險(xiǎn)�����。隨著移動(dòng)設(shè)備數(shù)目和攻擊數(shù)目的增長���,移動(dòng)安全變得愈發(fā)重要。該問題近來在 2005年12月7日至8日紐約的信息安全會(huì)議中得到強(qiáng)調(diào)��。但是未給出完整的解決方案��。類似地�����,當(dāng)主機(jī)設(shè)備連接到諸如USB閃存盤�、iPod、外部硬盤等的外部設(shè)備時(shí)���,兩 方設(shè)備都容易接收到惡意代碼或者傳送私有數(shù)據(jù)����。圖11圖示出示例現(xiàn)有技術(shù)數(shù)據(jù)交換系 統(tǒng)1100����,其包括主機(jī)計(jì)算機(jī)(主機(jī))1105和外部設(shè)備1110�����。主機(jī)1105包括諸如USB端口 之類的用于接納外部設(shè)備1110的外部設(shè)備(ED)端口 1115�����。主機(jī)1105還包括用于執(zhí)行枚 舉和使能外部設(shè)備1110與主機(jī)1105之間的通信的ED驅(qū)動(dòng)程序1120����。外部設(shè)備1110包括 諸如USB插頭之類的用于與ED端口 1115通信的ED插頭���。主機(jī)1105和外部設(shè)備1110兩 者都容易收到惡意代碼或者傳送私有數(shù)據(jù)���。因此,需要向主機(jī)和外部設(shè)備提供安全的系統(tǒng)和方法��。
發(fā)明內(nèi)容
在一個(gè)實(shí)施例中�����,本發(fā)明提供了一種計(jì)算機(jī),包含與應(yīng)用地址相關(guān)聯(lián)的應(yīng)用;網(wǎng) 絡(luò)接口�����,其被耦合用于從外部網(wǎng)絡(luò)接收傳入數(shù)據(jù)分組并向外部網(wǎng)絡(luò)發(fā)送傳出數(shù)據(jù)分組��;網(wǎng) 絡(luò)地址翻譯引擎�,其被配置用于在所述應(yīng)用地址和公開地址之間進(jìn)行翻譯;以及驅(qū)動(dòng)器�,用 于將所述傳出數(shù)據(jù)分組自動(dòng)轉(zhuǎn)發(fā)到所述網(wǎng)絡(luò)地址翻譯引擎以將所述應(yīng)用地址翻譯成所述 公開地址,并用于將所述傳入數(shù)據(jù)分組自動(dòng)轉(zhuǎn)發(fā)到所述網(wǎng)絡(luò)地址翻譯引擎以將所述公開地 址翻譯成所述應(yīng)用地址�����。網(wǎng)絡(luò)地址翻譯引擎可以是驅(qū)動(dòng)器的一部分或是防火墻的一部分�����。 防火墻可以位于移動(dòng)安全系統(tǒng)上��。網(wǎng)絡(luò)地址翻譯引擎可以被配置為使用動(dòng)態(tài)主機(jī)配置協(xié) 議�����。計(jì)算機(jī)可以被配置為將標(biāo)識應(yīng)用的數(shù)據(jù)分組發(fā)送到防火墻�,并且防火墻可以被配置為 處理網(wǎng)絡(luò)級別安全性和應(yīng)用級別安全性兩者����。在一個(gè)實(shí)施例中����,本發(fā)明提供了一種系統(tǒng)����,包括網(wǎng)絡(luò)接口 ;與所述網(wǎng)絡(luò)接口通信 的防火墻��,其被配置為處理網(wǎng)絡(luò)級別安全性和應(yīng)用級別安全性兩者����;以及與所述防火墻通 信的計(jì)算機(jī),其具有一個(gè)或多個(gè)應(yīng)用��,并且被配置為將標(biāo)識所述一個(gè)或多個(gè)應(yīng)用的數(shù)據(jù)分 組發(fā)送到所述防火墻�����。每個(gè)數(shù)據(jù)分組可以與所述一個(gè)或多個(gè)應(yīng)用中的一個(gè)應(yīng)用相關(guān)聯(lián)�。每 個(gè)數(shù)據(jù)分組可以包含標(biāo)識與該數(shù)據(jù)分組相關(guān)聯(lián)的應(yīng)用的數(shù)據(jù)。防火墻可以被配置為使用所 述標(biāo)識與所述數(shù)據(jù)分組相關(guān)聯(lián)的應(yīng)用的數(shù)據(jù)來處理應(yīng)用級別安全性��,通過從所述數(shù)據(jù)分組 中刪除所述標(biāo)識應(yīng)用的數(shù)據(jù)來創(chuàng)建數(shù)據(jù)分組子集�,并且將所述數(shù)據(jù)分組子集發(fā)送到外部網(wǎng) 絡(luò)����。網(wǎng)絡(luò)接口可以被配置為從外部網(wǎng)絡(luò)接收傳入數(shù)據(jù)���,并將所述傳入數(shù)據(jù)路由到所述防火 墻���。每個(gè)應(yīng)用可以與至少一個(gè)地址相關(guān)聯(lián)。防火墻可以被配置為動(dòng)態(tài)地將所述地址與外部 網(wǎng)絡(luò)相隔離�。防火墻可以被配置為通過使用動(dòng)態(tài)助理配置協(xié)議來動(dòng)態(tài)地將所述地址與所述 外部網(wǎng)絡(luò)相隔離。在一個(gè)實(shí)施例中����,本發(fā)明提供了一種個(gè)人計(jì)算機(jī)中的處理與公開地址相關(guān)聯(lián)的傳 入數(shù)據(jù)的方法����,該方法包括從外部網(wǎng)絡(luò)接收所述數(shù)據(jù);將所述公開地址翻譯成與應(yīng)用相 關(guān)聯(lián)的內(nèi)部地址��;分析所述數(shù)據(jù)以尋找惡意代碼��;以及如果所述數(shù)據(jù)不包含惡意代碼���,則 將所述數(shù)據(jù)路由到所述應(yīng)用�。所述分析步驟可以包括在網(wǎng)絡(luò)級別以及應(yīng)用級別兩者上分析所述數(shù)據(jù)以尋找惡意代碼。所述翻譯步驟可以使用動(dòng)態(tài)主機(jī)配置協(xié)議���。在一個(gè)實(shí)施例中���,本發(fā)明提供了一種個(gè)人計(jì)算機(jī)中的處理傳出數(shù)據(jù)的方法,該方 法包括從應(yīng)用接收傳出數(shù)據(jù)��,所述應(yīng)用與內(nèi)部地址相關(guān)聯(lián)���;將所述內(nèi)部地址翻譯成公開 地址��;以及使用所述公開地址將所述傳出數(shù)據(jù)的至少一子集路由到外部網(wǎng)絡(luò)���,從而動(dòng)態(tài)地 將所述內(nèi)部地址與所述外部網(wǎng)絡(luò)相隔離。所述翻譯步驟可以使用動(dòng)態(tài)主機(jī)配置協(xié)議����。所述 方法還可以包括將所述傳出數(shù)據(jù)配置到一個(gè)或多個(gè)數(shù)據(jù)分組中;將所述一個(gè)或多個(gè)數(shù)據(jù) 分組中的每一個(gè)與所述應(yīng)用相關(guān)聯(lián)�;以及將應(yīng)用標(biāo)識數(shù)據(jù)嵌入到所述一個(gè)或多個(gè)數(shù)據(jù)分組 中的每一個(gè)中。所述方法還可以包括通過從所述一個(gè)或多個(gè)數(shù)據(jù)分組中的每一個(gè)中刪除所 述應(yīng)用標(biāo)識數(shù)據(jù)來創(chuàng)建一個(gè)或多個(gè)數(shù)據(jù)分組子集����,其中所述路由步驟包括將所述一個(gè)或多 個(gè)數(shù)據(jù)分組子集路由到所述外部網(wǎng)絡(luò)�。
圖1是現(xiàn)有技術(shù)的網(wǎng)絡(luò)系統(tǒng)在第一狀態(tài)下的框圖��。圖2是現(xiàn)有技術(shù)的網(wǎng)絡(luò)系統(tǒng)在第二狀態(tài)下的框圖����。圖3是根據(jù)本發(fā)明一實(shí)施例的網(wǎng)絡(luò)系統(tǒng)的框圖。圖4是圖示出根據(jù)本發(fā)明一實(shí)施例的計(jì)算機(jī)系統(tǒng)細(xì)節(jié)的框圖����。圖5是圖示出根據(jù)本發(fā)明一實(shí)施例的移動(dòng)安全系統(tǒng)細(xì)節(jié)的框圖。圖6是圖示出根據(jù)微軟Window實(shí)施例的移動(dòng)安全系統(tǒng)細(xì)節(jié)的框圖�����。圖7是圖示出根據(jù)本發(fā)明一實(shí)施例的智能策略更新系統(tǒng)細(xì)節(jié)的框圖����。圖8是圖示出與0SI層有關(guān)的網(wǎng)絡(luò)安全措施細(xì)節(jié)的框圖�。圖9是圖示出用于將安全代碼散發(fā)給移動(dòng)安全系統(tǒng)的通信技術(shù)細(xì)節(jié)的框圖。圖10A-10C是圖示出根據(jù)本發(fā)明各實(shí)施例用于將移動(dòng)設(shè)備連接到移動(dòng)安全系統(tǒng) 的各體系結(jié)構(gòu)的框圖����。圖11是圖示出現(xiàn)有技術(shù)的數(shù)據(jù)交換系統(tǒng)的框圖。圖12是圖示出根據(jù)本發(fā)明一實(shí)施例的安全數(shù)據(jù)交換系統(tǒng)的框圖���。圖13是圖示出根據(jù)本發(fā)明一實(shí)施例的安全設(shè)備細(xì)節(jié)的框圖��。圖14是圖示出根據(jù)本發(fā)明一實(shí)施例的安全系統(tǒng)細(xì)節(jié)的框圖���。圖15是圖示出根據(jù)本發(fā)明另一實(shí)施例的安全數(shù)據(jù)交換系統(tǒng)的框圖�����。圖16是圖示出根據(jù)本發(fā)明一實(shí)施例的主機(jī)與外部設(shè)備間的安全數(shù)據(jù)交換方法的 流程圖�����。圖17是圖示出具有基于硬件的防火墻的現(xiàn)有技術(shù)網(wǎng)絡(luò)系統(tǒng)的框圖����。圖18是圖示出具有基于軟件的防火墻的現(xiàn)有技術(shù)網(wǎng)絡(luò)系統(tǒng)的框圖���。圖19是圖示出根據(jù)本發(fā)明一實(shí)施例的執(zhí)行動(dòng)態(tài)地址隔離的網(wǎng)絡(luò)系統(tǒng)的框圖��。圖20是圖示出具有分離的網(wǎng)絡(luò)和個(gè)人防火墻的現(xiàn)有技術(shù)網(wǎng)絡(luò)系統(tǒng)的框圖���。圖21是根據(jù)本發(fā)明一實(shí)施例的包含混合防火墻的網(wǎng)絡(luò)系統(tǒng)的框圖。圖22是圖示出包含混合防火墻的網(wǎng)絡(luò)系統(tǒng)的框圖,其根據(jù)圖10A所示的本發(fā)明一 實(shí)施例來配置���。圖23是根據(jù)本發(fā)明一實(shí)施例的將數(shù)據(jù)通信從外部網(wǎng)絡(luò)路由到應(yīng)用的方法的流程 圖�����。
圖24是根據(jù)本發(fā)明一實(shí)施例的將數(shù)據(jù)通信從應(yīng)用路由到外部網(wǎng)絡(luò)的方法的流程 圖���。圖25是根據(jù)本發(fā)明一實(shí)施例的將數(shù)據(jù)通信從外部網(wǎng)絡(luò)路由到應(yīng)用的方法的流程 圖。圖26是根據(jù)本發(fā)明一實(shí)施例的將數(shù)據(jù)通信從應(yīng)用路由到外部網(wǎng)絡(luò)的方法的流程 圖�。
具體實(shí)施例方式以下描述是為了使得本領(lǐng)域任何技術(shù)人員能夠作出和使用本發(fā)明而提供的,并且是在特定應(yīng)用和其要求的環(huán)境下提供的���。在不脫離本發(fā)明精神和范圍的情況下�����,對實(shí)施例 的各種修改對本領(lǐng)域技術(shù)人員而言是可能的���,并且在此定義的一般原理可被應(yīng)用于這些以 及其他實(shí)施例和應(yīng)用。因此���,本發(fā)明并非旨在限于所示實(shí)施例,而是將符合與在此公開的原 理、特征和教導(dǎo)相一致的最廣范圍����。本發(fā)明的一個(gè)實(shí)施例使用一部小型硬件,該部硬件連接到移動(dòng)設(shè)備并且濾除攻擊 和惡意代碼����。該部硬件可被稱作“移動(dòng)安全系統(tǒng)”或者“個(gè)人安全裝置”。利用該移動(dòng)安全 系統(tǒng)�����,移動(dòng)設(shè)備可以受到其所關(guān)聯(lián)于的公司/企業(yè)所提供的相同水平安全以及更高安全的 保護(hù)�。圖3圖示出根據(jù)本發(fā)明一實(shí)施例的網(wǎng)絡(luò)系統(tǒng)300。網(wǎng)絡(luò)系統(tǒng)300包括臺式計(jì)算機(jī) 305���、第一移動(dòng)設(shè)備310a和第二移動(dòng)設(shè)備310b���。第一移動(dòng)設(shè)備310a被圖示為此時(shí)位于企業(yè) 網(wǎng)340內(nèi)并且經(jīng)由移動(dòng)安全系統(tǒng)345a耦合到企業(yè)的內(nèi)聯(lián)網(wǎng)315。臺式計(jì)算機(jī)305和第二移 動(dòng)設(shè)備310b也位于企業(yè)網(wǎng)340內(nèi)但是在該實(shí)施例中在沒有諸如移動(dòng)安全系統(tǒng)345b之類的 居間移動(dòng)安全系統(tǒng)345的情況下耦合到內(nèi)聯(lián)網(wǎng)315�。內(nèi)聯(lián)網(wǎng)315經(jīng)由網(wǎng)絡(luò)安全系統(tǒng)320 (其 可以是企業(yè)網(wǎng)關(guān)的一部分)而耦合到不受信任的因特網(wǎng)330。因此���,第一移動(dòng)設(shè)備310a�����、第 二移動(dòng)設(shè)備310b和臺式計(jì)算機(jī)305經(jīng)由網(wǎng)絡(luò)安全系統(tǒng)320訪問不受信任的因特網(wǎng)330��。每 個(gè)還可以受駐留于其上的個(gè)人安全系統(tǒng)(未示出)保護(hù)���。第三移動(dòng)設(shè)備310c當(dāng)前位于企 業(yè)網(wǎng)340外部并且經(jīng)由移動(dòng)安全系統(tǒng)345b耦合到不受信任的因特網(wǎng)330�。第三移動(dòng)設(shè)備 310可能正由當(dāng)前正在旅行的受信任企業(yè)340的雇員使用����。安全管理器325管理移動(dòng)安全 系統(tǒng)345a、移動(dòng)安全系統(tǒng)345b和網(wǎng)絡(luò)安全系統(tǒng)320以確保它們包括最新的安全保護(hù)�。本領(lǐng) 域技術(shù)人員將認(rèn)識到同一安全管理器無需管理各設(shè)備。另外�����,安全管理器可以是用戶并且 無需位于受信任企業(yè)340內(nèi)���。分界線335將受信任企業(yè)340和不受信任的可以公共訪問的因特網(wǎng)330隔開���。移 動(dòng)設(shè)備310a、310b和310c中的每一個(gè)可被總稱為移動(dòng)設(shè)備310�,盡管它們無需相同����。每個(gè) 移動(dòng)安全系統(tǒng)345a和345b可被總稱為移動(dòng)安全系統(tǒng)345�,盡管它們無需相同����。如圖所示,雖然移動(dòng)設(shè)備310c已經(jīng)移動(dòng)到受信任企業(yè)340外部��,但是移動(dòng)設(shè)備 310c經(jīng)由移動(dòng)安全系統(tǒng)345b連接到不受信任的因特網(wǎng)330并因而保留了兩道防線(S卩���,移 動(dòng)安全系統(tǒng)345b和駐留在設(shè)備本身上的安全軟件)�。在本實(shí)施例中���,移動(dòng)安全系統(tǒng)345有 效地為移動(dòng)設(shè)備310c充當(dāng)了移動(dòng)因特網(wǎng)網(wǎng)關(guān)���。在一個(gè)實(shí)施例中,移動(dòng)安全系統(tǒng)345可以是 專用于網(wǎng)絡(luò)安全的設(shè)備�。在一個(gè)實(shí)施例中,每個(gè)移動(dòng)安全系統(tǒng)345可以支持多個(gè)移動(dòng)設(shè)備 310����,并且可以只支持登記過的移動(dòng)設(shè)備310��,例如那些屬于企業(yè)340的移動(dòng)設(shè)備310��。
每個(gè)移動(dòng)安全系統(tǒng)345(例如�,345a�����、345b)可以是基于商用硬件(用因特爾的 Xscale作為核心)�����、LinuX OS和網(wǎng)絡(luò)服務(wù)以及開源防火墻����、IDS/IPS和防病毒保護(hù)的微型服 務(wù)器。移動(dòng)安全系統(tǒng)345可以基于硬件化的嵌入式Linux 2.6�����。在該實(shí)施例中�,因?yàn)橄到y(tǒng)管理器325能夠遠(yuǎn)程地與移動(dòng)安全系統(tǒng)345b通信,因此IT可以監(jiān)視并且/或者更新在移動(dòng)安全系統(tǒng)345b上實(shí)現(xiàn)的安全策略/數(shù)據(jù)/引擎�。安全 管理器325可以遠(yuǎn)程地或者直接地集中管理所有企業(yè)設(shè)備。另外��,系統(tǒng)管理器325和移動(dòng) 安全系統(tǒng)345可以進(jìn)行交互,以便將企業(yè)安全策略自動(dòng)地轉(zhuǎn)換為移動(dòng)安全策略并相應(yīng)地配 置移動(dòng)安全系統(tǒng)345�����。因?yàn)橐苿?dòng)安全系統(tǒng)345可以根據(jù)企業(yè)340的相關(guān)安全策略而生成����,因 此當(dāng)前正在旅行的移動(dòng)設(shè)備310c可以具有與位于受信任企業(yè)340內(nèi)的設(shè)備305/310相同 水平的保護(hù)�����。移動(dòng)安全系統(tǒng)345可被設(shè)計(jì)為對現(xiàn)有軟件安全的添加�,或者可被設(shè)計(jì)為替換旅行 移動(dòng)設(shè)備上的所有安全硬件和軟件。這些安全應(yīng)用將優(yōu)選工作在不同的OSI層上�,以便提 供最大的安全和惡意代碼檢測,如在圖8所示示例系統(tǒng)中示出的����。在更低的OSI層上工作并 且僅進(jìn)行TCP/IP分組分析(通過篩選防火墻或者路由器分組)將漏掉病毒和/或蠕蟲行 為。另外����,許多現(xiàn)代病毒使用在比OSI第7層更高的層級(應(yīng)用_HTTP、FTP�,等等)上實(shí)現(xiàn) 的移動(dòng)代碼并因而在分組層或應(yīng)用層處無法被解譯��。例如���,對惡意Java腳本(其被包括在 HTML頁面中)僅在會(huì)話層或傳輸層處應(yīng)用防病毒分析、試圖使簽名(signature)與分組相 匹配并且不明白內(nèi)容類型(Java腳本)將不會(huì)檢測到Java腳本的惡意性�����。為了提供更好 的保護(hù)���,移動(dòng)安全系統(tǒng)345可以充當(dāng)公司級安全裝置并且基于內(nèi)容類型和適當(dāng)OSI層(或 者甚至“更高的”層��,如果內(nèi)容被封裝在應(yīng)用層中的話)加入不同安全應(yīng)用����。移動(dòng)安全系統(tǒng) 345可被配置為執(zhí)行不同OSI層處的內(nèi)容分析����,例如,從分組層次到應(yīng)用層次�。將認(rèn)識到在 應(yīng)用層次執(zhí)行深度檢測對于檢測惡意內(nèi)容行為和改善對病毒、蠕蟲�����、間諜軟件、特洛伊木馬 等的檢測而言是至關(guān)重要的���。以下軟件包可被實(shí)現(xiàn)在移動(dòng)安全系統(tǒng)345上·防火墻和VPN-包括狀態(tài)防火墻和無狀態(tài)防火墻����、NAT�、分組過濾和操縱、DOS/ DD0S����、網(wǎng)絡(luò)過濾器�����,使用戶移動(dòng)設(shè)備與因特網(wǎng)隔離并且在設(shè)備上運(yùn)行VPN程序��,等等����。·可選的web加速器和基于Squid的帶寬/緩存管理���?���!?IDS/IPS-基于Snort的入侵檢測和預(yù)防系統(tǒng)。Snort是利用規(guī)則驅(qū)動(dòng)型語言的 開源網(wǎng)絡(luò)入侵預(yù)防和檢測系統(tǒng)����,其結(jié)合了簽名檢測、基于協(xié)議的檢測和基于異常的檢測的 益處��。 基于ClamAV的防病毒和防間諜軟件��;可以因?yàn)轭~外的訂閱費(fèi)而提供額外的AV和 AS 弓丨擎,例如��,McAfee�、Kaspersky、Pandamay0·惡意內(nèi)容檢測_執(zhí)行用于檢測具有簽名前的惡意內(nèi)容的內(nèi)容分析的實(shí)時(shí)啟發(fā)式 技術(shù)�。這將基于規(guī)則基礎(chǔ)和更新的規(guī)則并且將會(huì)是內(nèi)容依賴型掃描。.URL 分類過濾-基于商業(yè)引擎�����,例如 SurfControl����、SmartFiIters 或者 Websense。 可以提供大約70類URL,例如賭博�、成人內(nèi)容、新聞��、web郵件�����,等等��。移動(dòng)設(shè)備345可以基 于URL類別來應(yīng)用不同的安全策略�����,例如����,針對賭博或者成人內(nèi)容web站點(diǎn)等應(yīng)用更高的限 制和啟發(fā)式技術(shù)�����。圖4是圖示出示例計(jì)算機(jī)系統(tǒng)400的細(xì)節(jié)的框圖�,各個(gè)臺式計(jì)算機(jī)305、移動(dòng)設(shè)備 310�����、網(wǎng)絡(luò)安全系統(tǒng)320、網(wǎng)絡(luò)安全系統(tǒng)345和安全管理器325可以是其實(shí)例�。計(jì)算機(jī)系統(tǒng)400包括諸如英特爾Pentium 微處理器或者摩托羅拉Power PC 微處理器之類的耦合到 通信通道410的處理器405。計(jì)算機(jī)系統(tǒng)400還包括各自耦合到通信通道410的諸如鍵盤 或者鼠標(biāo)之類的輸入設(shè)備415�����、諸如陰極射線管顯示器之類的輸出設(shè)備420��、通信設(shè)備425����、 諸如磁盤之類的數(shù)據(jù)存儲設(shè)備430和諸如隨機(jī)存取存儲器(RAM)之類的存儲器435。通信 接口 425可以直接地或者經(jīng)由移動(dòng)安全系統(tǒng)345而耦合到諸如因特網(wǎng)之類的網(wǎng)絡(luò)�。本領(lǐng)域 技術(shù)人員將認(rèn)識到,雖然數(shù)據(jù)存儲設(shè)備430和存儲器435被圖示為不同的單元�,但是數(shù)據(jù)存 儲設(shè)備430和存儲器435可以是同一單元的多個(gè)部分、分布式單元���、虛擬存儲器�����,等等��。數(shù)據(jù)存儲設(shè)備430和/或存儲器435可以存儲諸如微軟Windows XP�、IBM OS/2操 作系統(tǒng)、MAC OS��、UNIX OS���、LINUX OS之類的操作系統(tǒng)440和/或其他程序445��。將會(huì)認(rèn)識 到�,優(yōu)選實(shí)施例也可被實(shí)現(xiàn)在與所述那些平臺和操作系統(tǒng)不同的平臺和操作系統(tǒng)上�。一個(gè) 實(shí)施例可以是使用JAVA、C和/或C++語言或者可能使用面對對象編程方法的其他編程語 言來編寫的�����。本領(lǐng)域技術(shù)人員將認(rèn)識到計(jì)算機(jī)系統(tǒng)400還可以包括額外的組件���,例如用于跨硬 件通道����、因特網(wǎng)或者內(nèi)聯(lián)網(wǎng)等傳送信息的網(wǎng)絡(luò)連接���、額外存儲器��、額外處理器�、LAN��、輸入/ 輸出線路�。本領(lǐng)域技術(shù)人員還將認(rèn)識到可以以其它方式接收程序和數(shù)據(jù)并將其存儲在系統(tǒng) 中。例如�����,諸如磁盤驅(qū)動(dòng)器���、硬盤驅(qū)動(dòng)器�、磁光讀取器��、CPU等的計(jì)算機(jī)可讀存儲介質(zhì)(CRSM) 讀取器450可被耦合到通信總線410�,用于讀取諸如磁盤、硬盤�����、磁光盤����、RAM等的計(jì)算機(jī)可 讀存儲介質(zhì)(CRSM) 455�。因此���,計(jì)算機(jī)系統(tǒng)400可以經(jīng)由CRSM讀取器450接收程序和/或 數(shù)據(jù)����。另外���,將認(rèn)識到這里的術(shù)語“存儲器”旨在覆蓋所有的數(shù)據(jù)存儲介質(zhì)��,無論是永久的 還是臨時(shí)的��。圖5是圖示出根據(jù)本發(fā)明一實(shí)施例的移動(dòng)安全系統(tǒng)345的細(xì)節(jié)的框圖����。移動(dòng)安全 系統(tǒng)345包括適配器/端口 /驅(qū)動(dòng)器505��、存儲器515����、存儲移動(dòng)安全系統(tǒng)的安全版本的操作 系統(tǒng)和其他應(yīng)用的預(yù)引導(dǎo)閃存/ROM存儲模塊520、網(wǎng)絡(luò)連接模塊525����、安全引擎530、安全策 略535��、安全數(shù)據(jù)540�����、遠(yuǎn)程管理模塊550��、分發(fā)模塊555和備份模塊560��。雖然這些模塊被 圖示為位于移動(dòng)安全系統(tǒng)345內(nèi)�����,但是本領(lǐng)域技術(shù)人員將認(rèn)識到這些模塊中的許多模塊可 以位于別處���,例如�����,安全管理器325上或者與移動(dòng)安全系統(tǒng)345通信的第三方系統(tǒng)上��。移動(dòng) 安全系統(tǒng)345可以位于口袋大小的��、手持大小的或者鑰匙鏈大小的外殼中�����,或者可能更小�。 另外,移動(dòng)安全系統(tǒng)345可被結(jié)合在移動(dòng)設(shè)備310中��。適配器/端口 /驅(qū)動(dòng)器505包括用于USB���、以太網(wǎng)�����、WiFi�、WiMAX����、GSM、CDMA�、藍(lán)牙、 PCMCIA和/或移動(dòng)安全系統(tǒng)345上的其他連接數(shù)據(jù)端口的連接機(jī)制(包括軟件��,例如驅(qū)動(dòng) 程序)�����。在一個(gè)實(shí)施例中,適配器/端口 /驅(qū)動(dòng)器505可能能夠連接到多個(gè)設(shè)備310����,以便 向多個(gè)設(shè)備310提供網(wǎng)絡(luò)安全�。存儲器510和處理器515執(zhí)行移動(dòng)安全系統(tǒng)345上的操作系統(tǒng)和應(yīng)用。在該示例 中�,預(yù)引導(dǎo)閃存520存儲操作系統(tǒng)和應(yīng)用。在引導(dǎo)時(shí)���,操作系統(tǒng)和應(yīng)用被從預(yù)引導(dǎo)閃存520 載入存儲器510以供執(zhí)行���。因?yàn)椴僮飨到y(tǒng)和應(yīng)用存儲在用戶無法在運(yùn)行時(shí)訪問的預(yù)引導(dǎo)閃 存520中,預(yù)引導(dǎo)閃存520中的操作系統(tǒng)和應(yīng)用是不可破壞的����。如果存儲器510中的操作 系統(tǒng)和應(yīng)用的副本例如被惡意代碼破壞,那么操作系統(tǒng)和應(yīng)用例如在重啟時(shí)可被從預(yù)引導(dǎo) 閃存520重新載入存儲器510中�。雖然被描述為存儲在預(yù)引導(dǎo)閃存520中,但是0S和應(yīng)用 也可被安全地存儲在諸如ROM�、PROM、EEPR0M等之類的其他只讀存儲設(shè)備中���。(2) OS��、內(nèi)核和 (3)運(yùn)行時(shí)環(huán)境(4)用于應(yīng)用數(shù)據(jù)����、日志
安全應(yīng)用的副本文件等的額外存儲裝置每當(dāng)“硬”重啟時(shí),移動(dòng)安全系統(tǒng)345的引導(dǎo)加載器(駐留在區(qū)域1處)將內(nèi)核和安全應(yīng)用(全新未改變副本)從區(qū)域1復(fù)制到區(qū)域2��。這使得純凈版本的OS和應(yīng)用每次被 載入?yún)^(qū)域2���。這樣�����,如果特定移動(dòng)安全系統(tǒng)345攻擊被形成�,那么該攻擊將無法感染系統(tǒng)����, 這是因?yàn)樵谶\(yùn)行時(shí)期間阻止OS和應(yīng)用訪問存儲區(qū)域1。另外�,到達(dá)了存儲器510的任何攻 擊將僅能夠運(yùn)行一次并且在硬啟動(dòng)時(shí)將消失?�?商峁┰诟腥緳z測時(shí)自動(dòng)重啟移動(dòng)安全系統(tǒng) 345的觸發(fā)機(jī)制�。網(wǎng)絡(luò)連接模塊525使能經(jīng)由包括機(jī)?1、11獻(xiàn)乂����、〔0獻(xiàn)、6511�����、6 1 �、以太網(wǎng)��、調(diào)制解調(diào) 器等在內(nèi)的網(wǎng)絡(luò)通信硬件/軟件到因特網(wǎng)330或者內(nèi)聯(lián)網(wǎng)315的網(wǎng)絡(luò)連接�。例如,如果移 動(dòng)設(shè)備310希望經(jīng)由WiFi連接而連接到因特網(wǎng)330�����,那么適配器/端口 /驅(qū)動(dòng)器505可被 連接到移動(dòng)設(shè)備310的PCI端口��、USB端口或者PCMCIA端口����,并且移動(dòng)安全系統(tǒng)345的網(wǎng) 絡(luò)連接模塊525可以包括用于連接到無線接入點(diǎn)的WiFi網(wǎng)絡(luò)接口卡。使用網(wǎng)絡(luò)連接模塊 525����,移動(dòng)安全系統(tǒng)345可以作為移動(dòng)設(shè)備310的安全網(wǎng)關(guān)與網(wǎng)絡(luò)通信��。其他連接體系結(jié)構(gòu) 在圖10A-10C中描述�����。安全引擎530基于安全策略535并基于安全數(shù)據(jù)540來執(zhí)行安全程序���,安全策略 535和安全數(shù)據(jù)540兩者都可由IT管理器形成。安全引擎530可以包括防火墻���、VPN���、IPS/ IDS、防病毒�、防間諜軟件、惡意內(nèi)容過濾�、多層安全監(jiān)視器、Java和字節(jié)碼監(jiān)視器等�����。每個(gè) 安全引擎530可以具有專用的安全策略535和安全數(shù)據(jù)540來指示引擎530可以允許或者 不可以允許哪個(gè)過程��、內(nèi)容、URL�����、系統(tǒng)呼叫等��。安全引擎530�����、安全策略535和安全數(shù)據(jù)540 可以與網(wǎng)絡(luò)安全系統(tǒng)320上的引擎��、策略和數(shù)據(jù)相同���、可以是網(wǎng)絡(luò)安全系統(tǒng)320上的引擎、 策略和數(shù)據(jù)的子集�、并且/或者根據(jù)網(wǎng)絡(luò)安全系統(tǒng)320上的引擎、策略和數(shù)據(jù)形成��。為了提供由防病毒和防間諜軟件所提供的更高安全水平���,每個(gè)移動(dòng)安全系統(tǒng)345 上的安全引擎350可以實(shí)現(xiàn)內(nèi)容分析和風(fēng)險(xiǎn)評估算法��。例如工作在0SI第7層及以上(封 裝在第7層內(nèi)的移動(dòng)代碼)工作���,這些算法可由專用的高風(fēng)險(xiǎn)內(nèi)容過濾(HRCF)執(zhí)行�,HRCF 可由規(guī)則引擎和規(guī)則更新來控制�����。HRCF將基于強(qiáng)大的檢測庫�,該檢測庫可以執(zhí)行深度內(nèi)容 分析以驗(yàn)證真實(shí)內(nèi)容類型。這是因?yàn)樵S多攻擊隱藏在錯(cuò)誤的mime類型中并且/或者可以移動(dòng)安全系統(tǒng)345上的存儲器(包括存儲器510和預(yù)引導(dǎo)閃存520)可被劃分為 如下區(qū)域(1)只讀存儲器
在運(yùn)行時(shí)期間不可存取使用復(fù)雜的計(jì)策將文本文件類型提供給危險(xiǎn)的活動(dòng)腳本或者ActiveX內(nèi)容類型�。HRCF可以 與URL分類安全引擎530集成,用于基于URL類別的自動(dòng)規(guī)則調(diào)整����。在一個(gè)實(shí)施例中,當(dāng)風(fēng) 險(xiǎn)水平增大(使用所述機(jī)制)時(shí)�����,移動(dòng)安全系統(tǒng)345可以自動(dòng)地調(diào)整并增加過濾以從流量 中去除更多活動(dòng)內(nèi)容�����。例如�,如果更大的風(fēng)險(xiǎn)被確定,那么每條移動(dòng)代碼(例如Java腳本����、 VB腳本����,等等)可被剝離��。要與公司策略服務(wù)器舊有系統(tǒng)相集成的三個(gè)方面包括規(guī)則�����、LDAP和活動(dòng)目錄���、以 及日志記錄和報(bào)告��,如下面討論的�。在一個(gè)實(shí)施例中�,在安全管理器25上運(yùn)行的策略導(dǎo)入 代理將訪問Checkpoint防火墻-I和思科PIX防火墻的規(guī)則庫并將它們導(dǎo)入本地副本�����。規(guī) 則分析模塊將處理重要規(guī)則并且將為移動(dòng)安全系統(tǒng)345提供立即可用(out-of-the-box) 的規(guī)則和策略����。該提議策略將給所有移動(dòng)安全系統(tǒng)345提供符合企業(yè)340的防火墻策略的 最適合規(guī)則����。代理將周期性地運(yùn)行以反映任何變化并為移動(dòng)安全系統(tǒng)345策略535生成更 新����。LDAP和活動(dòng)目錄可被與目錄服務(wù)集成,以維護(hù)響應(yīng)于企業(yè)的目錄定義的移動(dòng)安全系統(tǒng) 345安全策略535�。例如,LDAP用戶群組“G”的公司策略可以自動(dòng)傳播到“G”群組中的所有 移動(dòng)安全系統(tǒng)345���?����?梢愿鶕?jù)日志記錄和報(bào)告策略將移動(dòng)安全系統(tǒng)345的本地日志和審計(jì) 線索發(fā)送到存儲在安全管理器325處的中央日志���。使用web接口,IT可能能夠生成與所有 移動(dòng)設(shè)備310用戶��、它們的因特網(wǎng)體驗(yàn)有關(guān)的報(bào)告和審計(jì)視圖�����,并且試圖將受感染的設(shè)備 帶回企業(yè)340����。IT能 夠?qū)⑹录腿罩居涗浗?jīng)由SYSLOG和SNMP陷阱轉(zhuǎn)發(fā)到舊有管理系統(tǒng)����。安全引擎530可以執(zhí)行加權(quán)風(fēng)險(xiǎn)分析����。例如,安全引擎530可以分析HTTP��、FTP���、 SMTP���、P0P3、IM��、P2P等����,包括從因特網(wǎng)330到達(dá)的任何流量���。安全引擎530可以基于每個(gè)對 象的類型�����、復(fù)雜度�、能力豐富度、對象源等為其分配權(quán)重和等級�����。安全引擎530可以使用已 知危險(xiǎn)源或者已知安全源的列表��、基于源來分配權(quán)重���。安全引擎530可以基于源的類別(例 如��,賭博源�、成人內(nèi)容源���、新聞源�、知名公司源��、銀行業(yè)源�����,等等)給對象分配權(quán)重。安全引擎 530可以計(jì)算權(quán)重�,并且基于結(jié)果來判定是允許還是不允許對內(nèi)容的訪問、要允許的腳本�、 要發(fā)生的系統(tǒng)修改,等等����。系統(tǒng)引擎530可以“學(xué)習(xí)”用戶內(nèi)容(通過在預(yù)定時(shí)間段內(nèi)分析 用戶所訪問的一般內(nèi)容)并且相應(yīng)地可以創(chuàng)建個(gè)人內(nèi)容簡檔。個(gè)人內(nèi)容簡檔可用于校正在 運(yùn)行時(shí)分析期間分配給內(nèi)容的權(quán)重以提高精確度并針對特定用戶特性來修改經(jīng)加權(quán)的風(fēng) 險(xiǎn)分析��。在一些實(shí)施例中����,安全引擎530、安全策略535和安全數(shù)據(jù)540可以使得能夠繞過 移動(dòng)安全系統(tǒng)345��。由安全管理器325設(shè)置的安全策略535可以包括一特殊屬性��,該屬性 在位于受信任企業(yè)340外部時(shí)強(qiáng)迫網(wǎng)絡(luò)連接通過移動(dòng)安全系統(tǒng)325����。因此,如果該屬性被 設(shè)置為“開啟”�,那么當(dāng)移動(dòng)設(shè)備310在沒有移動(dòng)安全系統(tǒng)345的情況下試圖連接到因特網(wǎng) 330并且不是從受信任企業(yè)340內(nèi)部連接到因特網(wǎng)330時(shí)����,包括LAN連接���、USB網(wǎng)絡(luò)、調(diào)制解 調(diào)器��、藍(lán)牙�����、WiFi等在內(nèi)的所有數(shù)據(jù)傳送連接可被關(guān)閉����。移動(dòng)設(shè)備310可被完全隔離并且 無法連接到包括因特網(wǎng)330在內(nèi)的任何網(wǎng)絡(luò)。在一個(gè)實(shí)施例中���,為了使得能夠這樣��,當(dāng)首次使用例如USB線纜(兼為了電力和 USB連接創(chuàng)建)將移動(dòng)安全系統(tǒng)345連接到移動(dòng)設(shè)備310時(shí)�����,USB即插即用設(shè)備驅(qū)動(dòng)程序?qū)?被發(fā)送到移動(dòng)設(shè)備310中���。所安裝的驅(qū)動(dòng)程序可以是“Linux, inf”�����,其允許用于移動(dòng)安全系 統(tǒng)345的USB網(wǎng)絡(luò)連接�。該連接使得移動(dòng)安全系統(tǒng)345能夠經(jīng)由USB端口并且使用移動(dòng)設(shè) 備310網(wǎng)絡(luò)連接加上額外代碼(“連接客戶端”)來訪問因特網(wǎng)330��。在Windows示例中�����,連接客戶端可被安裝在圖6所示的每個(gè)網(wǎng)絡(luò)連接的所有網(wǎng)絡(luò)接口卡以上的移動(dòng)設(shè)備310的NDIS處����。實(shí)現(xiàn)方式將是作為NDIS中間件(IM)驅(qū)動(dòng)程序或者NDIS掛接過濾驅(qū)動(dòng)程序。兩種實(shí)現(xiàn)方式都可以處于內(nèi)核層次�,使得最終用戶無法將其停止或去除。當(dāng)啟動(dòng)移動(dòng)設(shè)備310時(shí)���,連接客戶端可以試圖在受信任企業(yè)340內(nèi)本地地連接到安全管理器325或者網(wǎng)絡(luò)安全系統(tǒng)320����。如果節(jié)點(diǎn)未被找到(經(jīng)由VPN找到被看作未在本地LAN中找到)�����,那么連接客戶端將認(rèn)為其工作在受信任企業(yè)340之外并且預(yù)期找到例如經(jīng)由USB網(wǎng)絡(luò)或者其他連接機(jī)制相連的移動(dòng)安全系統(tǒng)345。如果移動(dòng)安全系統(tǒng)345未被找到���,那么連接客戶端可以避免到任何網(wǎng)絡(luò)連接的任何通信。通過策略定義��,該行為可以修改為允許經(jīng)由安裝在移動(dòng)設(shè)備310中的VPN到企業(yè)340的通信��。類似地�����,在移動(dòng)安全系統(tǒng)345發(fā)生故障的情況下���,除了到企業(yè) 340的VPN連接之外的所有流量可被禁用�。將認(rèn)識到NDIS是在內(nèi)核層次攔截流量的一種可能實(shí)現(xiàn)方式�����。例如�,在另一實(shí)施例中,系統(tǒng)可以掛接(hook) Winsock或者應(yīng)用未來Windows版本中可能存在的其他方式��。在移動(dòng)安全系統(tǒng)345支持多個(gè)移動(dòng)設(shè)備310的實(shí)施例中,安全引擎530�����、安全策略535和安全數(shù)據(jù)540對于每個(gè)移動(dòng)設(shè)備310而言可能是不同的(例如����,基于例如用戶偏好或者IT決定)?����;蛘呖梢詾樗邢噙B的設(shè)備310應(yīng)用相同的引擎530���、策略535和數(shù)據(jù)540�����。遠(yuǎn)程管理模塊550使能與安全管理器325 (和/或其他安全管理器)的通信�����,并且使能對安全引擎530���、安全策略535�、安全數(shù)據(jù)540的包括簽名和其他應(yīng)用在內(nèi)的本地更新��。在一個(gè)實(shí)施例中���,僅可以通過安全管理器325來修改安全策略535和數(shù)據(jù)540�����。移動(dòng)安全系統(tǒng)345的遠(yuǎn)程管理模塊550可以經(jīng)由安全連接從例如安全管理器325上的更新頒發(fā)設(shè)備(UAD)接收更新。UAD可以在位于因特網(wǎng)330上的客戶IT中心處的更新服務(wù)器上工作����,以便將更新轉(zhuǎn)發(fā)給可能不屬于負(fù)責(zé)管理更新的企業(yè)540的移動(dòng)安全系統(tǒng)345。UAD可以在移 動(dòng)安全系統(tǒng)345上工作���。安全引擎530的更新可以修改防病毒引擎的DLL等���。OS和安全應(yīng) 用的更新僅可以在經(jīng)由經(jīng)加密并且經(jīng)認(rèn)證的連接連接到安全管理器325時(shí)從企業(yè)540內(nèi)部實(shí)現(xiàn)。安全管理器325可以修改URL的黑名單和白名單���,用于對旅行用戶的遠(yuǎn)程支持����。在錯(cuò)誤肯定的情況下,安全管理器325可以通過繞過前攝啟發(fā)式安全但是仍然通過防火墻�����、防病毒��、IPS/IDS等進(jìn)行監(jiān)視���,來允許對某些URL的訪問�。額外的遠(yuǎn)程設(shè)備管理特征可以使得安全管理器325能夠?qū)σ苿?dòng)安全系統(tǒng)345執(zhí)行遠(yuǎn)程診斷���、訪問本地日志�����、改變配置參數(shù)����,等等���。安全管理器325可以向用于支持的幫助臺指派任務(wù)�����。遠(yuǎn)程管理模塊550可以與向?qū)?例如��,向?qū)?45)通信����,向?qū)?45可以如圖7所示位于安全管理器325上,或者位于其他系統(tǒng)上����。下面參考圖7來描述向?qū)?45的細(xì)節(jié)以及遠(yuǎn)程管理模塊550與向?qū)?45之間的通信方案的細(xì)節(jié)。分發(fā)模塊555使得能夠通過移動(dòng)安全系統(tǒng)345向N個(gè)其他移動(dòng)安全系統(tǒng)345分發(fā)更新��,例如���,包括規(guī)則更新在內(nèi)的安全策略535的更新、包括簽名更新在內(nèi)的安全數(shù)據(jù)540的更新����、安全引擎530的更新、應(yīng)用/OS的更新�����,等等�。標(biāo)識更新所要轉(zhuǎn)發(fā)到的N個(gè)其他移動(dòng)安全系統(tǒng)345的路由表可被提供給分發(fā)模塊555��,以便使能系統(tǒng)345到系統(tǒng)345的通信�����。更新可以根據(jù)由安全管理器325設(shè)置的策略來實(shí)現(xiàn)����。當(dāng)轉(zhuǎn)發(fā)更新時(shí)��,分發(fā)模塊555充當(dāng)UAD���。每個(gè)移動(dòng)安全系統(tǒng)345可以周期性地�����、在預(yù)定時(shí)間���、在登錄時(shí)等獲得其具有安全信息更新的路由表。路由器可被保持在服務(wù)器上�����,例如安全管理器325或者另一移動(dòng)安全系統(tǒng)345。在一個(gè)實(shí)施例中����,移動(dòng)安全系統(tǒng)345可以聯(lián)系服務(wù)器來檢索路由表?���;蛘撸?wù)器可以將路由表推送到移動(dòng)安全系統(tǒng)345����。分發(fā)模塊555可以使能如圖9所示的快速更新。目前����,所有可用的商業(yè)防病毒產(chǎn)品更新設(shè)備的速度不比病毒傳播更快。為了確保新的病毒攻擊不會(huì)傳播得例如比簽名更新 更快�����,每個(gè)移動(dòng)安全系統(tǒng)345可以是活動(dòng)的UAD�����。在一個(gè)實(shí)施例中���,如圖9所示�����,每個(gè)移動(dòng)安 全系統(tǒng)345負(fù)責(zé)將簽名更新轉(zhuǎn)發(fā)給四個(gè)其他設(shè)備345����。如本領(lǐng)域技術(shù)人員將認(rèn)識到的���,所 有設(shè)備345需要向相同數(shù)目的其他設(shè)備345進(jìn)行轉(zhuǎn)發(fā)��。多個(gè)設(shè)備345可以負(fù)責(zé)向同一設(shè)備 345進(jìn)行轉(zhuǎn)發(fā)�����。必要時(shí)����,被激活的離線設(shè)備345可以針對路由表更新來輪詢服務(wù)器��,如安全 管理器325��。許多其他更新技術(shù)也是可能的��。備份模塊560可以不斷地將移動(dòng)設(shè)備310的引導(dǎo)扇區(qū)和系統(tǒng)文件的鏡像和變化備 份到閃存520中,或者備份到另一永久性存儲設(shè)備中��。這樣����,在發(fā)生包括移動(dòng)設(shè)備310的系 統(tǒng)或者引導(dǎo)扇區(qū)的丟失在內(nèi)的嚴(yán)重故障的情況下,移動(dòng)安全系統(tǒng)345在重新引導(dǎo)期間可被 識別為CD-ROM并且可以啟動(dòng)備份模塊(或者另一程序)來恢復(fù)移動(dòng)設(shè)備310上的引導(dǎo)扇 區(qū)和系統(tǒng)文件����,從而恢復(fù)移動(dòng)設(shè)備310而無需IT支持。在網(wǎng)絡(luò)安全系統(tǒng)345支持多個(gè)移動(dòng) 設(shè)備310的實(shí)施例中���,如果每個(gè)移動(dòng)設(shè)備310是不同的���,那么備份模塊560可以包含針對每 個(gè)移動(dòng)設(shè)備310的不同引導(dǎo)扇區(qū)和系統(tǒng)文件。圖7是圖示出根據(jù)本發(fā)明一實(shí)施例的智能策略更新系統(tǒng)700的細(xì)節(jié)的框圖�����。系統(tǒng) 700包括耦合到網(wǎng)絡(luò)安全系統(tǒng)320并耦合到移動(dòng)安全系統(tǒng)345的安全管理器325�。網(wǎng)絡(luò)安 全系統(tǒng)320包括安全引擎705,安全引擎705包括防病毒引擎715���、IPS/IDS引擎720、防火 墻引擎725,以及其他安全引擎�。網(wǎng)絡(luò)安全系統(tǒng)320還包括安全策略和數(shù)據(jù)710,安全策略 和數(shù)據(jù)710包括防病毒策略和數(shù)據(jù)730����、IPS/IDS策略和數(shù)據(jù)735、防火墻策略和數(shù)據(jù)740��, 以及其他策略和數(shù)據(jù)���。類似地��,移動(dòng)安全系統(tǒng)345包括防病毒引擎755�、IPS/IDS引擎760�、 防火墻引擎765,以及其他引擎���。移動(dòng)安全系統(tǒng)345還包括安全策略和數(shù)據(jù)535/540�,安全 策略和數(shù)據(jù)535/540包括防病毒安全策略和數(shù)據(jù)770�、IPS/IDS安全策略和數(shù)據(jù)775、防火 墻安全策略和數(shù)據(jù)780��,以及其他安全策略和數(shù)據(jù)��。安全管理器325包括向?qū)?45,用于使能對移動(dòng)安全系統(tǒng)345上的安全引擎530�、 安全策略535和安全數(shù)據(jù)540的基本自動(dòng)的初始設(shè)置以及可能的動(dòng)態(tài)設(shè)置。在一個(gè)實(shí)施例 中�,向?qū)?45可以將網(wǎng)絡(luò)安全系統(tǒng)320的所有安全引擎705以及策略和數(shù)據(jù)710自動(dòng)加載 作為移動(dòng)安全系統(tǒng)345上的安全引擎530以及策略和數(shù)據(jù)535/540。在另一實(shí)施例中��,向 導(dǎo)745可以包括除已知不相關(guān)的那些(例如���,與結(jié)算所使用的記帳軟件有關(guān)的那些�����、與僅在 web服務(wù)器上運(yùn)行的web軟件有關(guān)的那些�,等等)之外的所有安全引擎705以及策略和數(shù)據(jù) 710���。在另一實(shí)施例中�����,引擎530將需要由IT管理器加載�,并且將不由向?qū)?45自動(dòng)加載���。在一個(gè)實(shí)施例中�,向?qū)?wizard) 745可以確定移動(dòng)安全系統(tǒng)345是否需要特定的 安全引擎530,例如�����,防病毒引擎755����、IPS/IDS引擎760��、防火墻引擎765等�����。如果確定需要����, 那么向?qū)?45將把引擎530加載到移動(dòng)安全系統(tǒng)345上。向?qū)?45然后將確定哪些策略和 數(shù)據(jù)集(例如�,用于防病毒引擎755的一些、用于IPS/IDS引擎760的一些��,等等)對移動(dòng) 安全系統(tǒng)345而言是重要的���。向?qū)?45然后將確定網(wǎng)絡(luò)安全系統(tǒng)320上的哪些防病毒策略 和數(shù)據(jù)730與移動(dòng)安全系統(tǒng)345上的防病毒策略和數(shù)據(jù)770相關(guān)�����、網(wǎng)絡(luò)安全系統(tǒng)320上的 哪些IPS/IDS策略和數(shù)據(jù)735與移動(dòng)安全系統(tǒng)345上的IPS/IDS策略和數(shù)據(jù)775相關(guān)���、網(wǎng)絡(luò)安全系統(tǒng)320上的哪些防火墻策略和數(shù)據(jù)740與移動(dòng)安全系統(tǒng)345上的防火墻策略和數(shù) 據(jù)780相關(guān)���,以及網(wǎng)絡(luò)安全系統(tǒng)320上的哪些其他防病毒策略和數(shù)據(jù)730與移動(dòng)安全系統(tǒng) 345上的策略和數(shù)據(jù)相關(guān)。如上所述��,向?qū)?45可以確定移動(dòng)安全系統(tǒng)345上是需要所有安 全引擎705還是需要僅一子集�����。向?qū)?45可以確定是應(yīng)當(dāng)轉(zhuǎn)發(fā)給定引擎類型的所有策略和 數(shù)據(jù)710還是應(yīng)當(dāng)轉(zhuǎn)發(fā)僅一子集�����。向?qū)?45可以基于由IT管理器形成的規(guī)則���、基于設(shè)置過 程期間的逐項(xiàng)選擇等來確定應(yīng)當(dāng)將哪些相關(guān)策略和數(shù)據(jù)710轉(zhuǎn)發(fā)給移動(dòng)安全系統(tǒng)345�����。作 為向?qū)?45的替代�����,IT管理器可以在沒有向?qū)?45的情況下設(shè)置移動(dòng)安全系統(tǒng)345上的引 擎530以及策略和數(shù)據(jù)535/540��。安全管理器325還可以包括更新頒發(fā)設(shè)備750���。更新頒發(fā)設(shè)備750可以獲取安全 系統(tǒng)更新(例如,簽名更新)并且可以將這些更新發(fā)送給網(wǎng)絡(luò)安全系統(tǒng)320并發(fā)送給移動(dòng) 安全系統(tǒng)345��。本領(lǐng)域技術(shù)人員將認(rèn)識到對網(wǎng)絡(luò)安全系統(tǒng)320的更新和對移動(dòng)安全系統(tǒng)345 的更新無需相同��。另外����,更新頒發(fā)設(shè)備750可以從安全管理器、安全引擎開發(fā)者�、防病毒專 家等獲取更新。更新頒發(fā)設(shè)備750可以將更新轉(zhuǎn)發(fā)給所有的網(wǎng)絡(luò)安全系統(tǒng)320和所有的移 動(dòng)安全系統(tǒng)345��,并且可以將路由表轉(zhuǎn)發(fā)給所有的移動(dòng)安全系統(tǒng)345并且將更新僅轉(zhuǎn)發(fā)給 初始集合的移動(dòng)安全系統(tǒng)345��。初始集合的移動(dòng)安全系統(tǒng)345可以以類似于圖9所示過程 的P2P方式將更新轉(zhuǎn)發(fā)給在路由表中標(biāo)識出的移動(dòng)安全系統(tǒng)345����。 如上所示����,用來轉(zhuǎn)發(fā)更新 的每個(gè)移動(dòng)安全系統(tǒng)345本身充當(dāng)更新頒發(fā)設(shè)備750�����。其他應(yīng)用可被包括在移動(dòng)安全系統(tǒng)345上�����。例如�,針對來自現(xiàn)有客戶的經(jīng)常收入 的附加應(yīng)用可以包括一般的電子郵件、防垃圾郵件�、直接且安全的電子郵件遞送、信息保險(xiǎn) 庫���、安全的skype和其他即時(shí)消息傳送服務(wù)�,等等�����?��!る娮余]件安全和防垃圾郵件-在移動(dòng)安全系統(tǒng)345 (包括上面的web安全引擎) 上的郵件中繼和本地垃圾郵件隔離區(qū)(基于SendMail或者類似過程)可以實(shí)現(xiàn)包括具 有實(shí)時(shí)索引(經(jīng)由在線web垃圾郵件來源)的防垃圾郵件的完整郵件安全套件(SMTP和 P0P3)�。用戶可以經(jīng)由web接口來訪問隔離區(qū),以便檢閱垃圾郵件消息�����、釋放消息����、修改和定 制垃圾郵件規(guī)則等?��!せ卩]件中繼的直接且安全的電子郵件遞送將使得移動(dòng)安全系統(tǒng)345能夠?qū)⒂?戶電子郵件直接從一個(gè)移動(dòng)安全系統(tǒng)345發(fā)送到另一個(gè)移動(dòng)安全系統(tǒng)345而不使用沿途的 郵件服務(wù)器。這使得公司用戶能夠發(fā)送如下電子郵件���,該電子郵件無需在因特網(wǎng)中傳送從 而不會(huì)在沿途的不同未知郵件服務(wù)器上留下痕跡和副本�。這種方法與在兩個(gè)移動(dòng)安全系統(tǒng) 之間使用安全管道的能力相組合對公司是有價(jià)值的�。在沒有這種方法的情況下,用戶可以 通過在曾用于遞送消息的中間郵件服務(wù)器中追蹤到拷貝來跟蹤電子郵件交換�����,而無需訪問 企業(yè)的郵件服務(wù)器����。 信息保險(xiǎn)庫(information vault)-移動(dòng)安全系統(tǒng)345上用于加密并存儲最終用 戶信息的應(yīng)用可以經(jīng)由在每個(gè)移動(dòng)安全系統(tǒng)345上實(shí)現(xiàn)的web接口和web服務(wù)器(例如����, BOA���、Apache����,等等)僅對授權(quán)用戶可用���?�!ぐ踩腟kype和其他IM-在移動(dòng)安全系統(tǒng)345上實(shí)現(xiàn)即時(shí)消息傳送客戶端可以 保證保證即時(shí)消息傳送系統(tǒng)或者P2P應(yīng)用無法訪問移動(dòng)設(shè)備310上的數(shù)據(jù)�。添加AC/97芯 片組以在移動(dòng)安全系統(tǒng)325上提供聲音接口可以使得用戶能夠直接對移動(dòng)安全系統(tǒng)325說 話和直接從移動(dòng)安全系統(tǒng)325接收呼叫���。
雖然未示出���,但是小型電池可與移動(dòng)安全系統(tǒng)345包括在一起。該電池可以在運(yùn) 行時(shí)期間通過USB連接來充電��,或者在任何時(shí)候使用電源適配器來充電����。電池可以例如在 用戶斷開來自移動(dòng)安全系統(tǒng)345的USB線纜時(shí)保證正確關(guān)閉��。其將被將啟動(dòng)應(yīng)用和系統(tǒng)關(guān) 閉的系統(tǒng)用信號通知�����。這將保證文件系統(tǒng)的正確狀態(tài)并用閃存存儲打開文件緩沖器��。要求多層防御和檢測能力���。這可以通過特殊代碼來完成,該特殊代碼不斷地監(jiān)視不同層次處由不同系統(tǒng)(防病毒����、IDS/IPS�����、防火墻�����、防間諜軟件�、URL類別����,等等)進(jìn)行的掃 描結(jié)果��,以構(gòu)造難題并識別攻擊����,即使該攻擊未被各個(gè)單獨(dú)子系統(tǒng)辨認(rèn)出。通過這樣做�,移 動(dòng)安全系統(tǒng)345將維持在企業(yè)540內(nèi)提供的安全水平,并且在某些情況下甚至提高在企業(yè) 540內(nèi)提供的安全水平��。移動(dòng)安全系統(tǒng)345的一個(gè)可用益處是其在最終用戶正在旅行或者從家里工作時(shí) 對最終用戶實(shí)施企業(yè)540的策略的能力����。因?yàn)橐苿?dòng)安全系統(tǒng)345使用與當(dāng)從企業(yè)540內(nèi) 部連接時(shí)類似的安全引擎和策略并且因?yàn)樽罱K用戶沒有它無法訪問因特網(wǎng)330(除了經(jīng)由 VPN連接而連接到企業(yè)540中之外),因此IT可能能夠在企業(yè)540的邊界之外實(shí)施其安全 策略�。OS可以處于IT的全面監(jiān)督之下,而移動(dòng)安全系統(tǒng)345的OA充當(dāng)在其控制之下的最 終用戶OS��。這解決了由誰來控制來控制什么以及安全性和生產(chǎn)率如何面對最小妥協(xié)的問 題����。單機(jī)版本的移動(dòng)安全系統(tǒng)345可以提供相同的功能,并且可以經(jīng)由web瀏覽器來 提供本地管理接口�����。對家庭用戶和缺乏IT部門的小型辦公室有吸引力的是,移動(dòng)安全系統(tǒng) 345使得最終用戶能夠啟動(dòng)瀏覽器�����、連接到移動(dòng)安全系統(tǒng)345�����、設(shè)置不同的策略(更新策略����、 安全規(guī)則等,包括修改URL白名單和URL黑名單)���,等等��。還有機(jī)會(huì)通過訂閱給最終用戶提 供移動(dòng)安全系統(tǒng)345的遠(yuǎn)程管理服務(wù)�����。圖10AU0B和IOC圖示出根據(jù)本發(fā)明各實(shí)施例的將移動(dòng)安全系統(tǒng)345連接到移動(dòng) 設(shè)備310的三種示例體系結(jié)構(gòu)。在圖IOA中����,移動(dòng)設(shè)備310經(jīng)由USB連接1015和1020而 耦合到移動(dòng)安全系統(tǒng)345并經(jīng)由NIC卡1005而耦合到因特網(wǎng)330����。移動(dòng)設(shè)備310經(jīng)由其 NIC卡1005從因特網(wǎng)330接收因特網(wǎng)流量����。移動(dòng)設(shè)備310上的內(nèi)核級重定向器1010(例 如,經(jīng)由NDIS�、Wins0Ck等等)將因特網(wǎng)流量經(jīng)由USB連接1015和1020自動(dòng)重定向到移動(dòng) 安全系統(tǒng)345,移動(dòng)安全系統(tǒng)345對因特網(wǎng)流量進(jìn)行掃描����、清理并將清理后的因特網(wǎng)流量經(jīng) 由USB連接1015和1020返回到移動(dòng)設(shè)備310。在圖IOB中�,移動(dòng)設(shè)備310經(jīng)由USB連接 1025和1030而耦合到移動(dòng)安全系統(tǒng)345。移動(dòng)安全系統(tǒng)345包括用于接收來自因特網(wǎng)330 的因特網(wǎng)流量的NIC卡1035����。移動(dòng)安全系統(tǒng)345對因特網(wǎng)流量進(jìn)行掃描、清理并且將因特 網(wǎng)流量經(jīng)由USB連接1025和1030轉(zhuǎn)發(fā)給移動(dòng)設(shè)備310���。在圖IOC中�����,移動(dòng)設(shè)備310經(jīng)由 NIC卡1040和1045而耦合到移動(dòng)安全系統(tǒng)345����。移動(dòng)安全系統(tǒng)345經(jīng)由其NIC卡1045接 收來自因特網(wǎng)330的因特網(wǎng)流量。移動(dòng)安全系統(tǒng)345對因特網(wǎng)流量進(jìn)行掃描��、清理并且將 因特網(wǎng)流量經(jīng)由NIC卡1040和1045無線地轉(zhuǎn)發(fā)給移動(dòng)設(shè)備310��。其他連接體系結(jié)構(gòu)也是 可能的����。圖12是圖示出根據(jù)本發(fā)明一實(shí)施例的安全數(shù)據(jù)交換系統(tǒng)1200的框圖。安全數(shù)據(jù) 交換系統(tǒng)1200包括經(jīng)由安全設(shè)備1210而耦合到外部設(shè)備1110的主機(jī)計(jì)算機(jī)(主機(jī))1205���。 主機(jī)1205可以包括筆記本���、臺式計(jì)算機(jī)、PDA�����、移動(dòng)電話��,或者其他基于處理器的設(shè)備��。外 部設(shè)備1110可以是具有存儲器的任何外部設(shè)備�����,例如USB驅(qū)動(dòng)器��、外部硬盤驅(qū)動(dòng)器���、PDA���、音樂播放器、蜂窩電話����,等等。安全設(shè)備1210經(jīng)由ED端口 1225(USB�、串行、并行���、火線��、以 太網(wǎng)����、WiFi、WiMAX����、GSM、藍(lán)牙���、PCMCIA和/或其他連接)和ED插頭1230 (USB����、串行�、并行、 火線�、以太網(wǎng)、WiFi���、WiMAX�����、GSM��、CDMA�����、藍(lán)牙���、PCMCIA和/或其他連接)而可通信地耦合到 主機(jī)1205。外部設(shè)備1110經(jīng)由ED端口 1235 (USB��、串行����、并行、火線���、以太網(wǎng)�����、WiFi�、WiMAX�、 GSM、CDMA����、藍(lán)牙、PCMCIA和/或其他連接)和ED插頭1120 (USB、串行����、并行、火線��、以太網(wǎng)����、 WiFi、WiMAX�����、GSM�����、CDMA�����、藍(lán)牙����、PCMCIA和/或其他連接)而可通信地耦合到安全設(shè)備1210���。 ED端口 1225和ED插頭1230組合的連接器類型可以不同于ED端口 1235和ED插頭1120 組合的連接器類型。在一個(gè)實(shí)施例中����,所有的端口 1225/1235和插頭1230/1120都是USB。 雖然插頭1120/1230被圖示為公的并且端口 1225/1235被示出為母的����,但是本領(lǐng)域技術(shù)人 員將認(rèn)識到反過來也是可能的(插頭1120/1230可以是母的并且端口 1225/1235可以是公 的)����。主機(jī)1205包括用于執(zhí)行枚舉并且使能與安全設(shè)備1210的通信的ED驅(qū)動(dòng)程序1220。類似地���,安全設(shè)備1210包括用于執(zhí)行枚舉并且使能與外部設(shè)備1110的通信的ED驅(qū) 動(dòng)程序1245��。在一個(gè)實(shí)施例中����,安全設(shè)備1210包括能夠?qū)嵤┤缦掳踩呗缘目删幊逃布b置 用來保護(hù)免受諸如病毒�����、間諜軟件、廣告軟件��、特洛伊木馬等的惡意代碼并且用來保護(hù)免于 傳送私有數(shù)據(jù)的安全策略���。在一個(gè)實(shí)施例中�����,安全設(shè)備1210被配置為保護(hù)外部設(shè)備1110 或者主機(jī)1205中的僅一個(gè)���。參考圖13和14提供了安全設(shè)備1210的額外細(xì)節(jié)。圖13是圖示出根據(jù)本發(fā)明一實(shí)施例的安全設(shè)備1210的細(xì)節(jié)的框圖����。安全設(shè)備 1210包括諸如英特爾Pentium. 微處理器或者摩托羅拉PowerPC 微處理器之類的耦合到 通信通道1315的處理器405。安全設(shè)備1210還包括各自耦合到通信通道1315的ED插頭 1230���、ED端口 1235�����、通信接口 1310����、諸如EEPROM之類的存儲裝置1320,以及諸如隨機(jī)存取 存儲器(RAM)或者只讀存儲器(ROM)之類的存儲器1325�。通信接口 1310可以耦合到諸如 因特網(wǎng)之類的網(wǎng)絡(luò)。本領(lǐng)域技術(shù)人員將認(rèn)識到����,雖然存儲裝置1320和存儲器1325被圖示為 不同的單元,但是存儲裝置1320和存儲器1325可以是同一單元的多個(gè)部分���、分布式單元���、 虛擬存儲器��,等等��。這里的術(shù)語“存儲器”旨在覆蓋所有的數(shù)據(jù)存儲介質(zhì)�,無論是永久的還 是臨時(shí)的。本領(lǐng)域技術(shù)人員將認(rèn)識到安全設(shè)備1210可以包括額外的組件��,例如用于跨硬件 通道、因特網(wǎng)或者內(nèi)聯(lián)網(wǎng)等傳送信息的網(wǎng)絡(luò)連接�、額外存儲器���、額外處理器��、LAN�、輸入/輸 出線路。如圖所示�,存儲器1325可以存儲諸如微軟Windows XP、IBM OS/2操作系統(tǒng)�、MAC OS、UNIX OS��、LINUX OS等的操作系統(tǒng)1330�。將會(huì)認(rèn)識到,優(yōu)選實(shí)施例也可被實(shí)現(xiàn)在與所述 那些平臺和操作系統(tǒng)不同的平臺和操作系統(tǒng)上�。一個(gè)實(shí)施例可以是使用JAVA、C和/或C++ 語言或者可能使用面對對象編程方法的其他編程語言來編寫的����。存儲器1325還存儲ED驅(qū) 動(dòng)程序1245和安全系統(tǒng)1335。ED驅(qū)動(dòng)程序1245可以包括標(biāo)準(zhǔn)外部設(shè)備1110的標(biāo)準(zhǔn)驅(qū)動(dòng) 程序和私有外部設(shè)備1110的私有驅(qū)動(dòng)程序�����。ED驅(qū)動(dòng)程序1245可以經(jīng)由ED插頭而被傳送 到存儲器1325上�����。安全系統(tǒng)1335包括用于對主機(jī)1205與外部設(shè)備1110間的數(shù)據(jù)傳送動(dòng) 作實(shí)施安全策略的代碼�。圖14是圖示出根據(jù)本發(fā)明一實(shí)施例的安全系統(tǒng)1335的細(xì)節(jié)的框圖�����。安全系統(tǒng) 1335包括安全管理器1405�����、安全引擎1410����、安全策略1415��,以及安全數(shù)據(jù)1420��。
在一個(gè)實(shí)施例中��,安全管理器1405包括用于執(zhí)行枚舉的代碼���,即以便識別外部設(shè) 備1110或者外部設(shè)備1110的類型并且識別能夠在安全設(shè)備1210與外部設(shè)備1110之間建 立通信的相對應(yīng)的ED驅(qū)動(dòng)程序1245。安全管理器1405還包括基于安全策略1415和安全 數(shù)據(jù)1420來控制各個(gè)安全引擎1410的執(zhí)行的代碼����,以便評估數(shù)據(jù)傳送請求或者其他設(shè)備 請求。另外�,安全管理器1405包括用于與主機(jī)1205通信的代碼�,主機(jī)1205將是數(shù)據(jù)傳送 和/或其他請求的源��。 在一個(gè)實(shí)施例中����,安全引擎1410包括基于安全策略1415和安全數(shù)據(jù)1420來保護(hù) 主機(jī)1205與外部設(shè)備1110之間的數(shù)據(jù)傳送的代碼。安全引擎1410可以包括防火墻�����、防病 毒����、防間諜軟件、惡意內(nèi)容過濾�、多層安全監(jiān)視器、Java和字節(jié)碼監(jiān)視器等�。安全引擎1410 還可以包括用于實(shí)施數(shù)據(jù)隱私策略1415的數(shù)據(jù)隱私模塊。每個(gè)安全引擎1410可以具有專 用的安全策略1415和安全數(shù)據(jù)1420�����,來指示請求傳送的數(shù)據(jù)可以包含哪個(gè)過程���、URL��、系統(tǒng) 呼叫��、內(nèi)容���、ID等�����,或者指示所請求傳送的數(shù)據(jù)是否被看作不可傳送(或者因沒有諸如密碼 和ID之類的額外安全措施而不能傳送)�����。為了提供更高的安全水平����,安全引擎1410可以實(shí)現(xiàn)內(nèi)容分析和風(fēng)險(xiǎn)評估算法����。安 全引擎1410可以基于每個(gè)傳送對象的類型、復(fù)雜度�����、能力豐富度���、源等為其分配權(quán)重和等 級��。安全引擎1410可以使用已知危險(xiǎn)源或者已知安全源的列表����、基于源來分配權(quán)重���。安全 引擎1410可以基于源的類別(例如��,賭博源�、成人內(nèi)容源����、新聞源、知名公司源���、銀行業(yè)源�����, 等等)給對象分配權(quán)重����。安全引擎1410可以計(jì)算權(quán)重,并且基于結(jié)果來確定是允許還是不 允許對內(nèi)容的訪問���、要允許的腳本��、要發(fā)生的系統(tǒng)修改�,等等���。安全引擎1410可以“學(xué)習(xí)”用 戶內(nèi)容(通過在預(yù)定時(shí)間段內(nèi)分析用戶所訪問的一般內(nèi)容)并且相應(yīng)地可以創(chuàng)建個(gè)人內(nèi)容 簡檔��。個(gè)人內(nèi)容簡檔可用于校正在運(yùn)行時(shí)分析期間分配給內(nèi)容的權(quán)重以提高精確度并針對 特定用戶特性來修改經(jīng)加權(quán)的風(fēng)險(xiǎn)分析��。因此�,當(dāng)接收到來自主機(jī)1205的數(shù)據(jù)傳送和/或其他請求時(shí)����,安全管理器1405將 基于安全策略1415啟動(dòng)適當(dāng)?shù)陌踩?410。例如��,安全策略1415可被配置為不允許特 定的ActiveX控件被從主機(jī)1205加載到外部設(shè)備1110上�。安全策略1415可被配置為不 允許從主機(jī)1205上的私有文件夾到外部設(shè)備1110的數(shù)據(jù)傳送。安全管理器1405將啟動(dòng) 適當(dāng)?shù)陌踩?410以確保這些示例安全策略1415得到滿足���。另外��,安全引擎1410可以 使用安全數(shù)據(jù)1420�����,安全數(shù)據(jù)1420可以包括惡意ActiveX控件的定義文件����、私有文件夾的 位置�����,等等����。雖然未示出,但是安全系統(tǒng)1335可以包括額外組件�,例如上面參考圖5討論的具 有OS和應(yīng)用的預(yù)引導(dǎo)閃存520、遠(yuǎn)程管理模塊550�、分發(fā)模塊555以及備份模塊560。其他 組件也是可能的��。圖15是圖示出根據(jù)本發(fā)明另一實(shí)施例的安全數(shù)據(jù)交換系統(tǒng)1500的框圖��。安全數(shù) 據(jù)交換系統(tǒng)1500包括經(jīng)由安全設(shè)備1505上的ED插頭1515和主機(jī)1520上的第一 ED端口 1525而可通信地耦合到主機(jī)1520的安全設(shè)備1505。安全數(shù)據(jù)交換系統(tǒng)1500還包括經(jīng)由 外部設(shè)備1110上的ED插頭1120和主機(jī)1520上的第二 ED端口 1535而可通信地耦合到主 機(jī)1520的外部設(shè)備1110�����。因?yàn)橥獠吭O(shè)備1110不是被直接耦合到安全設(shè)備1505�,因此安全設(shè)備1505不是在 物理上攔截外部設(shè)備1110與主機(jī)1520之間的數(shù)據(jù)傳送請求。因此�����,在該實(shí)施例中�,主機(jī)1520包括重定向驅(qū)動(dòng)程序1530,該重定向驅(qū)動(dòng)程序1530被配置為重定向外部設(shè)備1110與 主機(jī)1520之間的數(shù)據(jù)傳送請求����,而不管數(shù)據(jù)傳送方向。在一個(gè)實(shí)施例中���,安全設(shè)備1505可 被配置為保護(hù)外部設(shè)備1110或主機(jī)1520中的僅一個(gè)�。另外����,在一個(gè)實(shí)施例中,安全設(shè)備 1505不包含任何ED驅(qū)動(dòng)程序����,例如ED驅(qū)動(dòng)程序1245���。在一個(gè)實(shí)施例中��,如果安全設(shè)備1505未被耦合到主機(jī)1520���,那么主機(jī)1520使用ED驅(qū)動(dòng)程序1540來與外部設(shè)備1110通信���。在一個(gè)實(shí)施例中,主機(jī)1520被配置為在安全設(shè) 備1505被耦合到主機(jī)1520之前不與外部設(shè)備1110通信�����。在一個(gè)實(shí)施例中����,主機(jī)1520僅 當(dāng)采取了額外的安全措施(例如接收到密碼和ID)時(shí)才使用ED驅(qū)動(dòng)程序1540與外部設(shè)備 1110通信,或者在安全設(shè)備1505被耦合到主機(jī)1520之前使用ED驅(qū)動(dòng)程序1540與外部設(shè) 備1110通信���。在一個(gè)實(shí)施例中���,主機(jī)1520在安全設(shè)備1505連接到ED端口 1525時(shí)可以執(zhí)行對 安全設(shè)備1505的枚舉�。當(dāng)識別出安全設(shè)備1505或者安全設(shè)備1505的類型時(shí)�����,主機(jī)1520 可以啟動(dòng)重定向驅(qū)動(dòng)1530��,以便將所有數(shù)據(jù)傳輸請求或者來自所有其他ED端口 1535的其 他外部設(shè)備1110請求轉(zhuǎn)發(fā)給安全設(shè)備1505�����。在一個(gè)實(shí)施例中���,重定向驅(qū)動(dòng)程序1530僅接 受來自安全設(shè)備1505的傳送請求���,安全設(shè)備1505作為代理而提供外部設(shè)備1110的請求。 在一個(gè)實(shí)施例中���,重定向驅(qū)動(dòng)程序1530僅在安全設(shè)備1505已經(jīng)進(jìn)行其檢查并且給予其授 權(quán)之后執(zhí)行從外部設(shè)備1110接收到的數(shù)據(jù)傳送請求���。其他協(xié)議也是可能的。圖16是圖示出根據(jù)本發(fā)明一實(shí)施例的主機(jī)與外部設(shè)備之間的安全數(shù)據(jù)交換方法 1600的流程圖��。方法1600在步驟1605開始���,安全設(shè)備1505在步驟1605中被連接到主機(jī) 1520的第一 ED端口 1525����。外部設(shè)備1110在步驟1610中被連接到主機(jī)1520的第二 ED端 口 1535。主機(jī)1520在步驟1615中執(zhí)行枚舉技術(shù)�����,來識別安全設(shè)備1505和外部設(shè)備1110 并安裝適當(dāng)?shù)尿?qū)動(dòng)程序1530/1540以便使能與安全設(shè)備1505和外部設(shè)備1110的通信�。重 定向驅(qū)動(dòng)程序1530在步驟1620中接收從主機(jī)1520到外部設(shè)備1110或者從外部設(shè)備1110 到主機(jī)1520數(shù)據(jù)傳送請求��。重定向驅(qū)動(dòng)程序1530在步驟1625中將數(shù)據(jù)傳送請求轉(zhuǎn)發(fā)給 安全設(shè)備1505��,安全設(shè)備1505在步驟1630中對數(shù)據(jù)傳送請求實(shí)施其安全策略(防病毒���、 防間諜軟件���、防廣告軟件、數(shù)據(jù)隱私���,等等)�。安全設(shè)備1505在步驟1635中確定數(shù)據(jù)傳送 請求是否通過安全策略���。如果通過��,那么安全設(shè)備1505在步驟1640中授權(quán)數(shù)據(jù)傳送請求 并且主機(jī)1520在步驟1645中執(zhí)行數(shù)據(jù)傳送請求����。如果未通過,那么安全設(shè)備1505在步驟 1650中拒絕數(shù)據(jù)傳送請求����。方法1600然后結(jié)束。將會(huì)認(rèn)識到����,在一個(gè)實(shí)施例中,安全設(shè)備1210/1505可被實(shí)現(xiàn)為主機(jī)1205/1520的 一部分���,例如被實(shí)現(xiàn)在主機(jī)1205和1520的外殼中并且/或者實(shí)現(xiàn)為由主機(jī)1205/1520執(zhí) 行的安全過程��。動(dòng)態(tài)隔離圖17示出具有基于硬件的防火墻的現(xiàn)有技術(shù)網(wǎng)絡(luò)系統(tǒng)1700�����。網(wǎng)絡(luò)系統(tǒng)1700包括 內(nèi)部計(jì)算機(jī)1705a和1705b�,第一網(wǎng)絡(luò)接口卡(NIC) 1710,執(zhí)行網(wǎng)絡(luò)地址翻譯(NAT)的基于 硬件的防火墻1715���,第二 NIC 1720����,外部網(wǎng)絡(luò)1725 (例如因特網(wǎng))以及外部計(jì)算機(jī)1730a 和 1730b��。防火墻1715是基于硬件的防火墻�,例如Check Point Fff-I或CiscoPIX。防火墻 使用兩個(gè)不同的網(wǎng)絡(luò)端口(第一 NIC 1710和第二NIC 1720)將內(nèi)部計(jì)算機(jī)1705a和1705b與外部網(wǎng)絡(luò)1725相分離和隔離����。防火墻1715使用網(wǎng)絡(luò)地址翻譯(NAT)來將內(nèi)部計(jì)算機(jī) 1705a的因特網(wǎng)協(xié)議(IP)地址(記作IP地址χ)和內(nèi)部計(jì)算機(jī)1705b的IP地址(記作IP 地址y)翻譯成公開IP地址z,從而隱藏內(nèi)部計(jì)算機(jī)1705a和1705b的IP地址�����。防火墻 1715對內(nèi)部計(jì)算機(jī)1705a和1705b的媒體訪問控制(MAC)地址進(jìn)行類似的翻譯�。網(wǎng)絡(luò)系統(tǒng)1700提供比在內(nèi)部計(jì)算機(jī)1705a和1705b本身上運(yùn)行的基于PC軟件的防火墻(例如微軟Windows個(gè)人防火墻和Check PointZoneAlarm)更高級別的安全性�,這 是因?yàn)榛赑C軟件的防火墻沒有隱藏內(nèi)部計(jì)算機(jī)的IP和MAC地址。圖18示出具有基于軟件的防火墻的現(xiàn)有技術(shù)網(wǎng)絡(luò)系統(tǒng)1800��。網(wǎng)絡(luò)系統(tǒng)1800包括 外部網(wǎng)絡(luò)1805 (例如因特網(wǎng))���,一個(gè)或多個(gè)NIC 1810 (記作1810a�����、1810b�、· · · 1810η),充當(dāng) 第2層(數(shù)據(jù)鏈路層)和第3層(網(wǎng)絡(luò)層)之間的接口的網(wǎng)絡(luò)驅(qū)動(dòng)器接口規(guī)范(NDIS)驅(qū) 動(dòng)器1815���,中間驅(qū)動(dòng)器1820 (例如微軟Windows操作系統(tǒng)中的MINIPort)��,基于軟件的防火 墻1825���,操作系統(tǒng)1830,以及一個(gè)或多個(gè)應(yīng)用1835 (記作1835a���、1835b��、. . . 1835m)����。操作 系統(tǒng)1830包含TCP/IP協(xié)議族1840����。在操作中����,中間驅(qū)動(dòng)器1820將從NIC 1810和NDIS驅(qū)動(dòng)器1815到達(dá)的流量定向 到基于軟件的防火墻1825��?;谲浖姆阑饓?825決定如何處理該流量(允許、拒絕或丟 棄)���,并僅準(zhǔn)許被允許的流量前進(jìn)到操作系統(tǒng)1830�����。網(wǎng)絡(luò)系統(tǒng)1800沒有使用基于硬件的防火墻���。在任意給定時(shí)間,只需要使用NIC 1810中的一個(gè)����。但是���,(對外部網(wǎng)絡(luò)1805而言可視的)NIC1810的IP和MAC地址是被應(yīng)用 1835查看并使用的相同的IP和MAC地址(S卩�,在應(yīng)用1835和外部網(wǎng)絡(luò)1805之間不存在地 址隔離)��。圖19示出根據(jù)本發(fā)明一實(shí)施例的執(zhí)行動(dòng)態(tài)地址隔離的網(wǎng)絡(luò)系統(tǒng)1900。網(wǎng) 絡(luò)系統(tǒng)1900包括外部網(wǎng)絡(luò)1905(例如因特網(wǎng))��,一個(gè)或多個(gè)NIC 1910(記作1910a�����、 1910b���、··· 1910η)�,充當(dāng)?shù)?層(數(shù)據(jù)鏈路層)和第3層(網(wǎng)絡(luò)層)之間的接口的NDIS驅(qū) 動(dòng)器1915�,中間驅(qū)動(dòng)器1920,基于軟件或基于硬件的防火墻1925�����,操作系統(tǒng)1930����,和一個(gè)或 多個(gè)應(yīng)用1935 (記作1935a、1935b���、· · · 1935m)�。操作系統(tǒng)1930包含TCP/IP協(xié)議族1940����。 中間驅(qū)動(dòng)器1920包括NAT引擎1945����,該NAT引擎1945包含針對IP和MAC地址的翻譯表�。NIC 1910、NDIS驅(qū)動(dòng)器1915����、中間驅(qū)動(dòng)器1920、防火墻1925���、操作系統(tǒng)1930和應(yīng) 用1935可以被安裝在移動(dòng)設(shè)備310中��。防火墻1925可以是通過通用串行總線(USB)連 接�、無線連接或另一網(wǎng)絡(luò)有線連接被連接到中間驅(qū)動(dòng)器1920的外部防火墻1925���。例如����,防 火墻1925可以是移動(dòng)安全系統(tǒng)345的一部分��。在操作中����,中間驅(qū)動(dòng)器1920接收從NIC 1910和NDIS驅(qū)動(dòng)器1915到達(dá)的所有數(shù)據(jù)分組,并將每個(gè)數(shù)據(jù)分組路由到NAT引擎1945��。NAT引擎1945使用動(dòng)態(tài)主機(jī)配置協(xié)議 (DHCP)動(dòng)態(tài)地將應(yīng)用1935的IP地址與外部網(wǎng)絡(luò)1905相隔離�����。如圖19所示�,動(dòng)態(tài)NAT弓丨 擎1945在與NIC相接口的同時(shí)將應(yīng)用1935的IP地址(IP地址χ)翻譯到一不同的IP地 址(IP地址ζ),并在向操作系統(tǒng)1930發(fā)送數(shù)據(jù)時(shí)將IP地址ζ翻譯回IP地址χ�����。因此��,中 間驅(qū)動(dòng)器1920將IP地址ζ提供到外部網(wǎng)絡(luò)1905��,同時(shí)將IP地址χ與外部網(wǎng)絡(luò)相隔離����。如 果需要,NAT引擎1945對MAC地址執(zhí)行類似翻譯�。如圖所示,NAT引擎1945是中間驅(qū)動(dòng)器 1920的一部分�����。但是,本領(lǐng)域技術(shù)人員將認(rèn)識到���,NAT引擎1945可以位于別處�,例如在移動(dòng) 安全系統(tǒng)345上�����、作為防火墻1925的一部分���,等等���。
在NAT引擎1945翻譯IP地址之后,中間驅(qū)動(dòng)器1920將每個(gè)數(shù)據(jù)分組定向到防火 墻1925�����。防火墻1925決定如何處理每個(gè)數(shù)據(jù)分組(允許�、拒絕或丟棄),并僅準(zhǔn)許被允許 的數(shù)據(jù)分組前進(jìn)到操作系統(tǒng)1930��。中間驅(qū)動(dòng)器1920將每個(gè)允許的數(shù)據(jù)分組從防火墻1925 接收回來,并將每個(gè)允許的數(shù)據(jù)分組路由到應(yīng)用1935�����。
對于外出數(shù)據(jù)分組��,中間驅(qū)動(dòng)器1920從應(yīng)用1935接收每個(gè)數(shù)據(jù)分組�����,并將每個(gè)數(shù) 據(jù)分組路由到NAT引擎1945���。NAT引擎1945按上述方式翻譯與數(shù)據(jù)分組相關(guān)聯(lián)的IP和/ 或MAC地址。中間驅(qū)動(dòng)器1920隨后從NAT引擎1945接收回每個(gè)數(shù)據(jù)分組(包含翻譯后的 IP和/或MAC地址)�,并將每個(gè)數(shù)據(jù)分組路由到外部網(wǎng)絡(luò)1905。這樣一來���,網(wǎng)絡(luò)系統(tǒng)1900能夠?qū)?nèi)部計(jì)算機(jī)/應(yīng)用的IP和MAC地址與外部網(wǎng)絡(luò) 1905相隔離�,同時(shí)不需要使用基于硬件的防火墻或多于一個(gè)OTC����。即使防火墻缺少多于一 個(gè)NIC,網(wǎng)絡(luò)隔離和分離也能夠?qū)崿F(xiàn)�。因此,移動(dòng)安全系統(tǒng)345和移動(dòng)設(shè)備310之間的連接可以在使用NAT和DHCP的原 理的同時(shí)被實(shí)現(xiàn),從而雖然連接到外部網(wǎng)絡(luò)的設(shè)備看到不同的物理IP和MAC地址����,但是在 移動(dòng)設(shè)備310上運(yùn)行的最終用戶應(yīng)用將“看到”受保護(hù)的虛擬IP和MAC地址。本發(fā)明提供 了具有兩個(gè)網(wǎng)絡(luò)端口(內(nèi)部和外部)的基于硬件的防火墻為移動(dòng)設(shè)備提供的類似保護(hù)和IP 隱藏�����,但是無需使用基于硬件的防火墻以及兩個(gè)或更多個(gè)網(wǎng)絡(luò)端口��。圖23是根據(jù)本發(fā)明一實(shí)施例的將數(shù)據(jù)通信從外部網(wǎng)絡(luò)(例如外部網(wǎng)絡(luò)1905)路 由到應(yīng)用(例如應(yīng)用1935)的方法2300的流程圖�����。在步驟2305中���,NIC(例如NIC 1910) 從外部網(wǎng)絡(luò)接收數(shù)據(jù)通信���。指定外部IP地址和外部MAC地址的數(shù)據(jù)被嵌入在該數(shù)據(jù)通信 中。在步驟2310中����,數(shù)據(jù)通信被路由到中間驅(qū)動(dòng)器(例如中間驅(qū)動(dòng)器1920),該中間驅(qū)動(dòng)器 進(jìn)而將數(shù)據(jù)通信路由到NAT引擎(例如NAT引擎1945)��。NAT引擎包含針對IP和MAC地址 的翻譯表。在步驟2315中���,NAT引擎使用DHCP將嵌入在數(shù)據(jù)通信中的外部IP和MAC地址翻 譯成內(nèi)部IP和MAC地址����。NAT引擎隨后用內(nèi)部IP和MAC地址來替換數(shù)據(jù)通信中的外部IP 和MAC地址���。這樣一來,內(nèi)部計(jì)算機(jī)/應(yīng)用的IP和MAC地址與外部網(wǎng)絡(luò)相隔離���。在步驟2320中�����,中間驅(qū)動(dòng)器將數(shù)據(jù)通信路由到防火墻(例如防火墻1925)�����。在步 驟2325中��,防火墻分析數(shù)據(jù)通信以尋找惡意代碼����。在步驟2330中,防火墻決定如何處理數(shù) 據(jù)通信�。如果發(fā)現(xiàn)數(shù)據(jù)通信包含惡意代碼,方法2300則前進(jìn)至步驟2335��。在步驟2335中�, 防火墻丟棄數(shù)據(jù)通信并防止其前進(jìn)到應(yīng)用。方法2300隨后結(jié)束��。如果沒有發(fā)現(xiàn)數(shù)據(jù)通信包含惡意代碼���,方法2300則前進(jìn)到步驟2340���。在步驟2340 中,防火墻允許數(shù)據(jù)通信��。中間驅(qū)動(dòng)器從防火墻接收回?cái)?shù)據(jù)通信��,并將數(shù)據(jù)通信路由到應(yīng) 用����。方法2300隨后結(jié)束。圖24是根據(jù)本發(fā)明一實(shí)施例將數(shù)據(jù)通信從應(yīng)用(例如應(yīng)用1935)路由到外部網(wǎng) 絡(luò)(例如外部網(wǎng)絡(luò)1905)的方法2400的流程圖�����。在步驟2405中,應(yīng)用啟動(dòng)數(shù)據(jù)通信��。應(yīng) 用可以在數(shù)據(jù)通信中嵌入指定內(nèi)部IP地址和內(nèi)部MAC地址的數(shù)據(jù)��。在其他實(shí)施例中�����,內(nèi)部 IP地址和內(nèi)部MAC地址可以由操作系統(tǒng)(例如操作系統(tǒng)1930)嵌入�����。在步驟2410中��,數(shù)據(jù)通信被路由到中間驅(qū)動(dòng)器(例如中間驅(qū)動(dòng)器1920)�����,中間驅(qū)動(dòng) 器進(jìn)而將數(shù)據(jù)通信路由到NAT引擎(例如NAT引擎1945)���。NAT引擎包含針對IP和MAC地 址的翻譯表。在步驟2415中����,NAT引擎使用DHCP將嵌入在數(shù)據(jù)通信中的內(nèi)部IP和MAC地址翻譯成外部IP和MAC地址��。NAT引擎隨后用外部IP和MAC地址來替換數(shù)據(jù)通信中的內(nèi) 部IP和MAC地址��。這樣一來�,內(nèi)部計(jì)算機(jī)/應(yīng)用的IP和MAC地址與外部網(wǎng)絡(luò)相隔離����。 在步驟2420中,內(nèi)部驅(qū)動(dòng)器經(jīng)由NIC (例如NIC 1910)將數(shù)據(jù)通信路由到外部網(wǎng) 絡(luò)����。方法2400隨后結(jié)束?���;旌戏阑饓D20示出具有分離的網(wǎng)絡(luò)和個(gè)人防火墻的現(xiàn)有技術(shù)網(wǎng)絡(luò)系統(tǒng)2000。網(wǎng)絡(luò)系統(tǒng) 2000包括外部網(wǎng)絡(luò)2005 (例如因特網(wǎng))���、網(wǎng)絡(luò)防火墻2010和個(gè)人計(jì)算機(jī)2015 (記作2015a���、 2015b等等)。網(wǎng)絡(luò)防火墻2010可以位于外部設(shè)備或計(jì)算機(jī)上��。網(wǎng)絡(luò)防火墻2010包含第一 NIC 2020��、NAT網(wǎng)關(guān)2025和第二 NIC 2030。每個(gè)個(gè)人計(jì)算機(jī)2015包含個(gè)人防火墻2035 (記 作2035a�、2035b等等)以及應(yīng)用2040 (記作2040a、2040b等等)�。在操作中,網(wǎng)絡(luò)防火墻2010使用NAT網(wǎng)關(guān)2025將個(gè)人計(jì)算機(jī)2015a的IP地址 (記作IP地址X)和個(gè)人計(jì)算機(jī)2015b的IP地址(記作IP地址y)翻譯成公開IP地址z����, 并因此隱藏個(gè)人計(jì)算機(jī)2015的IP地址。網(wǎng)絡(luò)防火墻2010對個(gè)人計(jì)算機(jī)2015的MAC地址 執(zhí)行類似翻譯��。網(wǎng)絡(luò)防火墻2010還執(zhí)行安全措施����,例如防病毒、防間諜軟件����、防廣告軟件等 等�。由于網(wǎng)絡(luò)防火墻2010在網(wǎng)絡(luò)中比個(gè)人防火墻2035更早,因此其可以在惡意代碼進(jìn)入 系統(tǒng)2000之前停止它�。但是,由于網(wǎng)絡(luò)防火墻2010是應(yīng)用不敏感的并且處于信息棧的較 低層�,因此其針對惡意代碼檢測的處理受到限制。個(gè)人防火墻2035也執(zhí)行安全措施�,例如防病毒��、防間諜軟件�、防廣告軟件等等����。由 于個(gè)人防火墻2035是應(yīng)用敏感的并且處于信息棧的較高層,因此其對于惡意代碼檢測的 處理可以更全面和集中�。圖21示出根據(jù)本發(fā)明一實(shí)施例的具有混合防火墻2110的網(wǎng)絡(luò)系統(tǒng)2100。網(wǎng)絡(luò) 系統(tǒng)2100包括外部網(wǎng)絡(luò)2105 (例如因特網(wǎng))��、混合網(wǎng)絡(luò)/個(gè)人防火墻2110和個(gè)人計(jì)算機(jī) 2115(記作 2115a,2115b 等等)���?���;旌戏阑饓?110可以位于外部設(shè)備或計(jì)算機(jī)上����。在其他實(shí)施例中,混合防火墻 2110可以位于移動(dòng)安全系統(tǒng)345上���,如圖10A-10C所示�?;旌戏阑饓?110包含第一 NIC 2120�、NAT 引擎 2125 和第二 NIC 2130����。每個(gè)個(gè)人計(jì)算機(jī)2115包含代理2135(記作2135a、2135b等等)和一個(gè)或多個(gè)應(yīng) 用2140 (記作2140a����、2140b等等)。如圖21所示��,網(wǎng)絡(luò)系統(tǒng)2100僅包含兩臺個(gè)人計(jì)算機(jī) 2115��,但是在其他實(shí)施例中����,網(wǎng)絡(luò)系統(tǒng)2100可以包含多于兩臺個(gè)人計(jì)算機(jī)。在操作中���,混合防火墻2110使用包含針對IP和MAC地址的翻譯表的NAT引擎2125 將個(gè)人計(jì)算機(jī)2115a的IP地址(記作IP地址χ)和個(gè)人計(jì)算機(jī)2115b的IP地址(記作IP 地址y)翻譯成公開IP地址z,從而隱藏個(gè)人計(jì)算機(jī)的IP地址����。混合防火墻2110對個(gè)人計(jì) 算機(jī)2115的MAC地址執(zhí)行類似翻譯���?;旌戏阑饓?110能夠執(zhí)行網(wǎng)絡(luò)防火墻和個(gè)人防火墻安全措施兩者。由于混合防 火墻2110處在與傳統(tǒng)的網(wǎng)絡(luò)防火墻2035相同的層級上�,因此其可以在惡意代碼進(jìn)入系統(tǒng) 2100之前停止它。此外�����,由于混合防火墻2110是應(yīng)用敏感的��,因此混合防火墻2110可以執(zhí) 行傳統(tǒng)的個(gè)人防火墻2035的處理�����。為了使得混合防火墻2110成為應(yīng)用敏感的�,代理2135將數(shù)據(jù)分組發(fā)送到混合防 火墻2110,其中每個(gè)分組包含標(biāo)識與該分組相關(guān)聯(lián)的應(yīng)用2140的數(shù)據(jù)����。由于每個(gè)分組包含標(biāo)識與該分組相關(guān)聯(lián)的應(yīng)用2140的數(shù)據(jù),混合防火墻2110可以充當(dāng)個(gè)人防火墻2035來處 理應(yīng)用級別上的安全性����。然后,混合防火墻2110可以通過提取出應(yīng)用標(biāo)識數(shù)據(jù)而將數(shù)據(jù)分 組的一子集發(fā)送到外部網(wǎng)絡(luò)2105。圖22示出根據(jù)圖IOA的本發(fā)明實(shí)施例配置的包含混合防火墻2210的網(wǎng)絡(luò)系統(tǒng) 2200����。網(wǎng)絡(luò)系統(tǒng)2200包括外部網(wǎng)絡(luò)2205 (例如因特網(wǎng))、混合網(wǎng)絡(luò)/個(gè)人防火墻2210和移 動(dòng)設(shè)備2215�。混合防火墻2210可以位于在衣袋大小�、手持大小、鑰匙鏈大小或可能更小的外殼中的外部設(shè)備上����。混合防火墻2210包含ED插頭2245 (例如USB插頭)�,用于與包含在移 動(dòng)設(shè)備2215中的ED端口 2230 (例如USB端口)通信?���;旌戏阑饓?210還包含NAT引擎 2225。在其他實(shí)施例中���,混合防火墻2210可以被安裝在移動(dòng)設(shè)備2215中��,或通過無線或另 一網(wǎng)絡(luò)有線連接被連接到移動(dòng)設(shè)備2215����。移動(dòng)設(shè)備2215包含NIC 2220�、ED端口 2230、代理2235�����、一個(gè)或多個(gè)應(yīng)用2240和 中間驅(qū)動(dòng)器2250 (例如在微軟Windows操作系統(tǒng)中的MINIPort)�����。如圖22所示�����,網(wǎng)絡(luò)系統(tǒng) 2200僅包含一個(gè)移動(dòng)設(shè)備2215和混合防火墻2210�����,但是在其他實(shí)施例中���,網(wǎng)絡(luò)系統(tǒng)2200 可以包含多于一個(gè)移動(dòng)設(shè)備和混合防火墻����。在操作中���,中間驅(qū)動(dòng)器2250將從NIC 2220到達(dá)的流量經(jīng)由ED端口 2230和ED 插頭2245定向到混合防火墻2210��?���;旌戏阑饓?210決定如何處理流量(允許、拒絕或丟 棄)�����,并且僅準(zhǔn)許被允許的流量前進(jìn)到應(yīng)用2240���?��;旌戏阑饓?210使用包含針對IP和MAC地址的翻譯表的NAT引擎2225將移動(dòng) 設(shè)備2215的IP地址翻譯成公開IP地址,并因此隱藏移動(dòng)設(shè)備2215的IP地址��?�;旌戏阑?墻2210對移動(dòng)設(shè)備2215的MAC地址執(zhí)行類似翻譯���。應(yīng)用2240可以將數(shù)據(jù)分組經(jīng)由ED端口 2230和ED插頭2235發(fā)送到混合防火墻 2210以傳輸?shù)酵獠烤W(wǎng)絡(luò)2205�����。代理2235將標(biāo)識應(yīng)用2240的數(shù)據(jù)與被發(fā)送到混合防火墻 2210的數(shù)據(jù)分組相關(guān)聯(lián)���。每個(gè)分組因此包含標(biāo)識與該分組相關(guān)聯(lián)的應(yīng)用2240的數(shù)據(jù)。由 于每個(gè)分組包含標(biāo)識與該分組相關(guān)聯(lián)的應(yīng)用2240的數(shù)據(jù)�,因此混合防火墻2210可以充當(dāng) 個(gè)人防火墻來處理應(yīng)用安全性。圖25是根據(jù)本發(fā)明一實(shí)施例將數(shù)據(jù)通信從外部網(wǎng)絡(luò)(例如外部網(wǎng)絡(luò)2105或 2205)路由到應(yīng)用(例如應(yīng)用2140或2240)的方法2500的流程圖�。在步驟2505中,NIC (例 如NIC 2120或2220)接收來自外部網(wǎng)絡(luò)的數(shù)據(jù)通信�����。指定外部IP地址和外部MAC地址的 數(shù)據(jù)被嵌入在數(shù)據(jù)通信中��。在步驟2510中����,數(shù)據(jù)通信被路由到混合網(wǎng)絡(luò)/個(gè)人防火墻(例 如防火墻2110或2210),該防火墻包含NAT引擎(例如NAT引擎2125或2225)���,該NAT引 擎包含針對IP和MAC地址的翻譯表���。混合防火墻處在與傳統(tǒng)的網(wǎng)絡(luò)防火墻相同的層級上 并且是應(yīng)用敏感的�����。在步驟2515中,NAT引擎使用DHCP將嵌入在數(shù)據(jù)通信中的外部IP和MAC地址翻 譯成內(nèi)部IP和MAC地址����。NAT引擎隨后用內(nèi)部IP和MAC地址替換數(shù)據(jù)通信中的外部IP和 MAC地址。這樣一來���,內(nèi)部計(jì)算機(jī)/應(yīng)用的IP和MAC地址被與外部網(wǎng)絡(luò)相隔離�����。在步驟2520中�,混合防火墻將數(shù)據(jù)通信與應(yīng)用相關(guān)聯(lián)�����?��;旌戏阑饓谙惹坝稍?防火墻接收的包含應(yīng)用標(biāo)識信息的數(shù)據(jù)分組來執(zhí)行該關(guān)聯(lián)���。在步驟2525中,混合防火墻分析數(shù)據(jù)通信以尋找惡意代碼��。由于混合防火墻處在與傳統(tǒng)的網(wǎng)絡(luò)防火墻相同的層級上,因此其可以在惡意代碼到達(dá)計(jì)算機(jī)(例如計(jì)算機(jī)2115 或2215)之前停止它����。此外,由于混合防火墻是應(yīng)用敏感的���,因此混合防火墻可以執(zhí)行傳統(tǒng) 的個(gè)人防火墻用于處理應(yīng)用級別安全性的功能。在步驟2530中��,防火墻決定如何處理數(shù)據(jù)通信��。如果發(fā)現(xiàn)數(shù)據(jù)通信包含惡意代 碼����,則方法2500前進(jìn)到步驟2535。在步驟2535中�,防火墻丟棄數(shù)據(jù)通信并防止其前進(jìn)到應(yīng) 用。方法2500隨后結(jié)束�。如果發(fā)現(xiàn)數(shù)據(jù)通信不包含惡意代碼,方法2500則前進(jìn)到步驟2540�����。在步驟2540 中�,防火墻允許數(shù)據(jù)通信���,并且數(shù)據(jù)通信被路由到應(yīng)用。方法2500隨后結(jié)束���。圖26是根據(jù)本發(fā)明一實(shí)施例的將數(shù)據(jù)通信從應(yīng)用(例如應(yīng)用2140或2240)路由 到外部網(wǎng)絡(luò)(例如外部網(wǎng)絡(luò)2105或2205)的方法2600的流程圖����。在步驟2605中���,應(yīng)用啟 動(dòng)數(shù)據(jù)通信����。應(yīng)用可以在 數(shù)據(jù)通信中嵌入指定內(nèi)部IP地址和內(nèi)部MAC地址的數(shù)據(jù)���。在其 他實(shí)施例中�,內(nèi)部IP地址和內(nèi)部MAC地址可以由操作系統(tǒng)或運(yùn)行在計(jì)算機(jī)上的代理(例如 代理2135或2235)來嵌入����。在步驟2610中,標(biāo)識應(yīng)用的數(shù)據(jù)被嵌入到數(shù)據(jù)通信中�。該步驟可以由應(yīng)用、操作 系統(tǒng)或運(yùn)行在計(jì)算機(jī)上的代理(例如代理2135或2235)來執(zhí)行��。在一個(gè)實(shí)施例中,運(yùn)行在 與應(yīng)用相同的計(jì)算機(jī)上的代理創(chuàng)建數(shù)據(jù)分組��,每個(gè)分組包含標(biāo)識與該分組相關(guān)聯(lián)的應(yīng)用的 數(shù)據(jù)�����。由于每個(gè)分組包含標(biāo)識與該分組相關(guān)聯(lián)的應(yīng)用的數(shù)據(jù)����,因此下游混合防火墻(例如 防火墻2110或2210)可以充當(dāng)個(gè)人防火墻來處理應(yīng)用級別安全性。在步驟2615中���,數(shù)據(jù)通信被路由到包含NAT引擎(例如NAT引擎2125或2225) 的混合網(wǎng)絡(luò)/個(gè)人防火墻,所述NAT引擎包含針對IP和MAC地址的翻譯表����。混合防火墻處 于與傳統(tǒng)的網(wǎng)絡(luò)防火墻相同的層級上并且是應(yīng)用敏感的�����。在步驟2620中�����,混合防火墻從數(shù)據(jù)通信中提取并刪除應(yīng)用標(biāo)識信息。在步驟2625 中���,NAT引擎使用DHCP將嵌入到數(shù)據(jù)通信中的內(nèi)部IP和MAC地址翻譯成外部IP和MAC地 址��。NAT引擎隨后將外部IP和MAC地址替換數(shù)據(jù)通信中的內(nèi)部IP和MAC地址����。這樣一來����, 內(nèi)部計(jì)算機(jī)/應(yīng)用的IP和MAC地址與外部網(wǎng)絡(luò)相隔離。在步驟2630中����,數(shù)據(jù)通信(減去標(biāo)識應(yīng)用的數(shù)據(jù)、內(nèi)部IP地址和內(nèi)部MAC地址) 被經(jīng)由NIC(例如NIC 2120或2220)路由到外部網(wǎng)絡(luò)���。方法2600隨后結(jié)束����。上面對本發(fā)明優(yōu)選實(shí)施例的描述僅是通過示例方式����,并且考慮到上面的教導(dǎo)����,對 上述實(shí)施例和方法的其他變更和修改是可能的��。雖然網(wǎng)絡(luò)站點(diǎn)被描述為單獨(dú)并且不同的站 點(diǎn)����,但是本領(lǐng)域技術(shù)人員將認(rèn)識到這些站點(diǎn)可以是完整站點(diǎn)的一部分、可以各自包括多個(gè) 站點(diǎn)的多個(gè)部分����,或者可以包括單個(gè)和多個(gè)站點(diǎn)的組合。在此提出的各種實(shí)施例可以利用 硬件���、軟件或者其任何所需組合來實(shí)現(xiàn)�。而且��,能夠?qū)崿F(xiàn)在此提出的各種功能的任何類型的 邏輯可被利用��。組件可以利用經(jīng)編程的通用數(shù)字計(jì)算機(jī)�����、利用專用集成電路��、或者利用互連 的傳統(tǒng)組件和電路的網(wǎng)絡(luò)來實(shí)現(xiàn)���。連接可以是有線的���、無線地、調(diào)制解調(diào)器�����,等等�。在此描 述的實(shí)施例并非旨在是窮盡無遺或是限制性的。本發(fā)明僅受所附權(quán)利要求限制��。
權(quán)利要求
一種計(jì)算機(jī)����,包含與應(yīng)用地址相關(guān)聯(lián)的應(yīng)用;網(wǎng)絡(luò)接口����,其被耦合用于從外部網(wǎng)絡(luò)接收傳入數(shù)據(jù)分組并向外部網(wǎng)絡(luò)發(fā)送傳出數(shù)據(jù)分組;網(wǎng)絡(luò)地址翻譯引擎��,其被配置用于在所述應(yīng)用地址和公開地址之間進(jìn)行翻譯;以及驅(qū)動(dòng)器��,用于將所述傳出數(shù)據(jù)分組自動(dòng)轉(zhuǎn)發(fā)到所述網(wǎng)絡(luò)地址翻譯引擎以將所述應(yīng)用地址翻譯成所述公開地址��,并用于將所述傳入數(shù)據(jù)分組自動(dòng)轉(zhuǎn)發(fā)到所述網(wǎng)絡(luò)地址翻譯引擎以將所述公開地址翻譯成所述應(yīng)用地址�����。
2.如權(quán)利要求1所述的計(jì)算機(jī)�����,其中所述網(wǎng)絡(luò)地址翻譯引擎是所述驅(qū)動(dòng)器的一部分�����。
3.如權(quán)利要求1所述的計(jì)算機(jī)�,其中所述網(wǎng)絡(luò)地址翻譯引擎是防火墻的一部分。
4.如權(quán)利要求3所述的計(jì)算機(jī)����,其中所述防火墻位于移動(dòng)安全系統(tǒng)上�。
5.如權(quán)利要求1所述的計(jì)算機(jī),其中所述網(wǎng)絡(luò)地址翻譯引擎被配置為使用動(dòng)態(tài)主機(jī)配 置協(xié)議�。
6.如權(quán)利要求1所述的計(jì)算機(jī),其中所述計(jì)算機(jī)被配置為將標(biāo)識所述應(yīng)用的數(shù)據(jù)分組 發(fā)送到防火墻,并且所述防火墻被配置為處理網(wǎng)絡(luò)級別安全性和應(yīng)用級別安全性兩者�。
7.一種系統(tǒng),包括 網(wǎng)絡(luò)接口 ��;與所述網(wǎng)絡(luò)接口通信的防火墻����,其被配置為處理網(wǎng)絡(luò)級別安全性和應(yīng)用級別安全性兩 者;以及與所述防火墻通信的計(jì)算機(jī)����,其具有一個(gè)或多個(gè)應(yīng)用,并且被配置為將標(biāo)識所述一個(gè) 或多個(gè)應(yīng)用的數(shù)據(jù)分組發(fā)送到所述防火墻���。
8.如權(quán)利要求7所述的系統(tǒng)�,其中每個(gè)數(shù)據(jù)分組與所述一個(gè)或多個(gè)應(yīng)用中的一個(gè)應(yīng)用相關(guān)聯(lián)��;并且 每個(gè)數(shù)據(jù)分組包含標(biāo)識與該數(shù)據(jù)分組相關(guān)聯(lián)的應(yīng)用的數(shù)據(jù)�����。
9.如權(quán)利要求8所述的系統(tǒng)����,其中所述防火墻被配置為使用標(biāo)識與所述數(shù)據(jù)分組相關(guān) 聯(lián)的應(yīng)用的所述數(shù)據(jù)來處理應(yīng)用級別安全性�����,通過從所述數(shù)據(jù)分組中刪除標(biāo)識應(yīng)用的所述 數(shù)據(jù)來創(chuàng)建數(shù)據(jù)分組子集�,并且將所述數(shù)據(jù)分組子集發(fā)送到外部網(wǎng)絡(luò)���。
10.如權(quán)利要求7所述的系統(tǒng)���,其中所述網(wǎng)絡(luò)接口被配置為從外部網(wǎng)絡(luò)接收傳入數(shù)據(jù), 并將所述傳入數(shù)據(jù)路由到所述防火墻��。
11.如權(quán)利要求7所述的系統(tǒng)�����,其中 每個(gè)應(yīng)用與至少一個(gè)地址相關(guān)聯(lián)���;并且所述防火墻被配置為動(dòng)態(tài)地將所述地址與外部網(wǎng)絡(luò)相隔離���。
12.如權(quán)利要求11所述的系統(tǒng),其中所述防火墻被配置為通過使用動(dòng)態(tài)主機(jī)配置協(xié)議 來動(dòng)態(tài)地將所述地址與所述外部網(wǎng)絡(luò)相隔離���。
13.一種個(gè)人計(jì)算機(jī)中的處理與公開地址相關(guān)聯(lián)的傳入數(shù)據(jù)的方法��,該方法包括 從外部網(wǎng)絡(luò)接收所述數(shù)據(jù)�;將所述公開地址翻譯成與應(yīng)用相關(guān)聯(lián)的內(nèi)部地址�; 分析所述數(shù)據(jù)以尋找惡意代碼;以及如果所述數(shù)據(jù)不包含惡意代碼����,則將所述數(shù)據(jù)路由到所述應(yīng)用。
14.如權(quán)利要求13所述的方法�,其中所述分析步驟包括在網(wǎng)絡(luò)級別以及應(yīng)用級別兩 者上分析所述數(shù)據(jù)以尋找惡意代碼。
15.如權(quán)利要求13所述的方法����,其中所述翻譯步驟使用動(dòng)態(tài)主機(jī)配置協(xié)議。
16.一種個(gè)人計(jì)算機(jī)中的處理傳出數(shù)據(jù)的方法��,該方法包括 從應(yīng)用接收傳出數(shù)據(jù)���,所述應(yīng)用與內(nèi)部地址相關(guān)聯(lián)���;將所述內(nèi)部地址翻譯成公開地址;以及使用所述公開地址將所述傳出數(shù)據(jù)的至少一子集路由到外部網(wǎng)絡(luò)����,從而動(dòng)態(tài)地將所述 內(nèi)部地址與所述外部網(wǎng)絡(luò)相隔離�����。
17.如權(quán)利要求16所述的方法����,其中所述翻譯步驟使用動(dòng)態(tài)主機(jī)配置協(xié)議�����。
18.如權(quán)利要求16所述的方法���,還包括將所述傳出數(shù)據(jù)配置到一個(gè)或多個(gè)數(shù)據(jù)分組中�; 將所述一個(gè)或多個(gè)數(shù)據(jù)分組中的每一個(gè)與所述應(yīng)用相關(guān)聯(lián)���;以及 將應(yīng)用標(biāo)識數(shù)據(jù)嵌入到所述一個(gè)或多個(gè)數(shù)據(jù)分組中的每一個(gè)中��。
19.如權(quán)利要求18所述的方法����,還包括通過從所述一個(gè)或多個(gè)數(shù)據(jù)分組中的每一個(gè)中刪除所述應(yīng)用標(biāo)識數(shù)據(jù)來創(chuàng)建 一個(gè)或多個(gè)數(shù)據(jù)分組子集�,其中所述路由步驟包括將所述一個(gè)或多個(gè)數(shù)據(jù)分組子集路由到所述外部網(wǎng)絡(luò)。
全文摘要
計(jì)算機(jī)執(zhí)行動(dòng)態(tài)地址隔離。計(jì)算機(jī)包括與應(yīng)用地址相關(guān)聯(lián)的應(yīng)用�;網(wǎng)絡(luò)接口,其被耦合用于從外部網(wǎng)絡(luò)接收傳入數(shù)據(jù)分組并向外部網(wǎng)絡(luò)發(fā)送傳出數(shù)據(jù)分組����;網(wǎng)絡(luò)地址翻譯引擎�����,其被配置用于在應(yīng)用地址和公開地址之間進(jìn)行翻譯��;以及驅(qū)動(dòng)器���,用于將傳出數(shù)據(jù)分組自動(dòng)轉(zhuǎn)發(fā)到網(wǎng)絡(luò)地址翻譯引擎以將應(yīng)用地址翻譯成公開地址�,并用于將傳入數(shù)據(jù)分組自動(dòng)轉(zhuǎn)發(fā)到網(wǎng)絡(luò)地址翻譯引擎以將公開地址翻譯成應(yīng)用地址����。該計(jì)算機(jī)可以與被配置用于處理網(wǎng)絡(luò)級別安全性和應(yīng)用級別安全性兩者的防火墻通信。
文檔編號G06F21/24GK101802837SQ200880019264
公開日2010年8月11日 申請日期2008年6月1日 優(yōu)先權(quán)日2007年5月30日
發(fā)明者什洛莫·圖布爾 申請人:約吉安全系統(tǒng)公司