CN103905416B - 用于向移动设备提供网络安全的系统和方法 - Google Patents

Abstract

小块硬件连接到移动设备，并过滤出攻击和恶意代码。使用该块硬件，移动设备可以被更强的安全措施保护，并可能被与由其相关的公司/企业提供的相同安全等级所保护。在一个实施例中，移动安全系统包括：连接机构，用于连接到移动设备的数据端口以及用于与移动设备通信；网络连接模块，用于充当到网络的网关；安全策略，用于确定是否将打算供移动设备使用的内容转发到移动设备；以及安全引擎，用于执行安全策略。

Description

用于向移动设备提供网络安全的系统和方法

本申请是2006年12月12日提交的名称为“用于向移动设备提供网络安全的系统和方法”的中国专利申请200680052780.8的分案申请。

优先权要求

本申请要求由发明人Shlomo Touboul在2005年12月13日递交的题为“PersonalSecurity Appliance”的第60/750,326号临时专利申请的优先权，其全部内容通过引用被结合于此。

技术领域

本发明总地涉及网络安全，更具体地提供了一种用于向移动设备提供网络安全的系统和方法。

背景技术

互联网是由政府、大学、非营利组织、公司、及个人所有的数百万单独的计算机网络的互连。尽管互联网是有价值的信息和娱乐的巨大来源，但是互联网也已经成为系统损害和系统致命应用代码（诸如，“病毒”、“间谍软件”、“广告病毒”、“蠕虫”、“特洛伊木马”、及其他恶意代码）的主要来源。

为了保护用户，程序员设计用于阻止恶意代码攻击个人和网络计算机的计算机和计算机网络安全系统。在大多数方面，网络安全系统已经是相对成功的。从企业网络内连接到互联网的计算机一般具有两条防线。第一条防线包括可以作为网络网关的一部分的网络安全系统，其包括防火墙、反病毒程序、反间谍软件、和内容过滤。第二条防线包括个人机器上的、一般没有网络安全系统安全且因此对于攻击更脆弱的个人安全软件。通过组合，第一和第二条防线一起提供相当好的安全保护。但是，当设备在没有插入网络安全系统的情况下连接到互联网时，该设备失去了其第一条防线。所以，移动设备（例如，膝上型电脑、桌上型电脑、诸如RIM的Blackberry的PDA、手机、连接到互联网的任何无线设备等）在企业网络外移动时对于攻击更脆弱。

图1示出了现有技术的示例网络系统100。网络系统100包括分别耦合到企业内联网115的桌上型电脑105和移动设备110。内联网115经由网络安全系统120（其作为企业网关的一部分）耦合到不可信的互联网130。因此，桌上型电脑105和移动设备110经由网络安全系统120访问互联网130。安全管理器125一般管理网络安全系统120，以确保其包括最当前的安全保护，从而使得桌上型电脑105和移动设备110免受恶意代码的损害。分界线135将可信的企业140和不可信的公共互联网130分开。由于桌上型电脑105和移动设备110都经由网络安全系统120而连接到互联网130，所以他们都具有两条抵抗来自互联网130的恶意代码的防线（即，网络安全系统120和位于设备自身上的安全软件）。当然，尽管可信，内联网115也是恶意代码的来源。

图2示出了当移动设备110已经移动到可信企业140外并且重新连接到不可信的互联网130时的现有技术的示例网络系统200。这可能在用户旅行时携带移动设备110并在计算机咖啡馆、旅馆、或经由任何不可信的有线或无线连接将移动设备连接到互联网130时发生。因此，如图所示，移动设备110不再受第一条防线（由网络安全系统120提供）保护，所以增加了其接收恶意代码的风险。另外，通过物理地将移动设备110带回可信的企业140中并重新从其中连接，移动设备110有将所接收的任意恶意代码传输到内联网115的风险。

随着移动设备的数目和攻击的数目的增加，移动安全变得越来越重要。这个问题在2005年12月7日到8日在纽约召开的最近的信息安全会议（recent info-securityconference）中得到了强调。但是没有提出完整的解决方案。

需要提供能够提供如企业网络安全系统所提供的网络安全等级的个人安全装置。

发明内容

本发明的实施例使用了连接到移动设备并过滤出攻击和恶意代码的小块硬件。该块硬件可以被称为“移动安全系统”或“个人安全装置”。使用移动安全系统，移动设备可以被更强的安全措施所保护，并且可能与其相关的公司/企业所提供的安全等级相同。

在实施例中，移动安全系统包括：连接机构，用于连接到移动设备的数据端口以及用于与移动设备通信；网络连接模块，用于充当到网络的网关；安全策略，用于确定是否将打算供移动设备使用的内容转发到移动设备；以及安全引擎，用于执行安全策略。

连接机构可以包括USB连接器、PCMCIA连接器、以太网连接器、以及蓝牙通信模块中的至少一种。网络连接模块可以包括执行WiFi、WiMAX、GPRS、GSM、UMTS、CDMA、Generation3、其他手机互联网连接协议等的网络接口卡。安全引擎可以包括反病毒引擎、反间谍软件引擎、防火墙引擎、IPS/IDS引擎、内容过滤引擎、多层安全监控器、字节码监控器、以及URL监控器中的至少一种。安全策略可以基于内容类型、内容来源、内容种类、或用户的历史行为来执行加权风险分析。远程管理模块能够接收安全策略更新、安全引擎更新、以及安全数据更新（包括恶意内容签名）。移动安全系统可以包括能够将更新转发到其他移动安全系统的分发模块、和/和能够存储移动设备的引导扇区的至少一部分以防移动设备的引导扇区被损坏的备份模块。移动安全系统可以包括能够与向导（wizard）通信的远程配置模块，其中，向导与企业网络安全系统通信，该向导能够基本自动地基于企业网络安全系统上的策略和数据生成策略和数据，该远程配置模块能够安装由该向导生成的策略和数据。移动安全系统可以包括在运行时间不能被访问的预引导存储器，该预引导存储器存储移动安全系统的操作系统的至少一部分的副本，该移动安全系统被配置为每当该移动安全系统被重新引导时就加载该操作系统部分。

在另一实施例中，一种方法包括：从可信网络外的移动设备接收网络连接请求；充当代表移动设备到网络的网关；从网络接收打算供移动设备使用的信息；以及根据安全策略确定是否将该信息转发到移动设备。

在另一实施例中，一种移动安全系统包括：用于充当代表可信网络外的移动设备到网络的网关的装置；用于从网络接收打算供移动设备使用的信息的装置；以及用于根据安全策略确定是否将该信息转发到移动设备的装置。

在又一实施例中，一种方法包括：经由无线连接在移动设备上接收互联网流量；在内核级上将该互联网流量重定向到移动安全系统；扫描违反安全策略的互联网流量；清理任何违反安全策略的互联网流量，以生成清洁的互联网流量；以及将清洁的互联网流量发送到移动设备用于执行。

在再一实施例中，一种系统包括：位于移动设备上的无线网络接口卡，用于接收互联网流量；位于移动设备上的内核级重定向器，用于在内核级上将互联网流量重定向到移动安全系统；安全引擎，用于扫描违反安全策略的互联网流量，以及用于清理任何违反安全策略的互联网流量以生成清洁的互联网流量；以及连接机构，用于从内核级重定向器接收重定向的互联网流量，以及用于将清洁的互联网流量发送到移动设备用于执行。

附图说明

图1是第一状态的现有技术网络系统的框图。

图2是第二状态的现有技术网络系统的框图。

图3是根据本发明实施例的网络系统的框图。

图4是示出根据本发明实施例的计算机系统的细节的框图。

图5是示出根据本发明实施例的移动安全系统的细节的框图。

图6是示出根据Microsoft Window的实施例的移动安全系统的细节的框图。

图7是示出根据本发明实施例的智能策略更新系统的细节的框图。

图8是示出针对OSI各层的网络安全措施的细节的框图。

图9是示出用于将安全代码传播到移动安全系统的通信技术的细节的框图。

图10A至图10C是示出根据本发明的多种实施例的用于将移动设备连接到移动安全系统的各种体系结构的框图。

图11是示出移动安全系统上的存储器的分区的框图。

具体实施方式

提供以下描述以使本领域的任何技术人员都可以制造并使用本发明，并且在特定应用及其要求的背景下提供以下描述。本实施例的各种修改对于本领域技术人员来说都是可以想到的，并且本文中限定的一般原则可以在不脱离本发明的精神和范围的条件下被应用于其他实施例和应用。所以，本发明的目的不在于限制于所示的实施例，而在于符合与本文中公开的原则、特征、及教导一致的最宽范围。

本发明的实施例使用了连接到移动设备并过滤出攻击和恶意代码的小块硬件。该块硬件被称为“移动安全系统”或“个人安全装置”。使用移动安全系统，移动设备可以被更强的安全措施所保护，并且可能被与其相关的公司/企业所提供的相同安全等级所保护。

图3示出了根据本发明实施例的网络系统300。网络系统300包括桌上型电脑305、第一移动设备310a、以及第二移动设备310b。第一移动设备310a此时被示出处于企业网络340内，并经由移动安全系统345a耦合到企业的内联网315。桌上型电脑305和第二移动设备310b也处于企业网络340内，但在本实施例中在没有插入诸如移动安全系统345b的移动安全系统345的条件下被耦合到内联网315。内联网315经由网络安全系统320（其可以是企业网关的一部分）被耦合到不可信的互联网330。因此，第一移动设备310a、第二移动设备310b、以及桌上型电脑305经由网络安全系统320访问不可信的互联网330。每一个都可以被位于其上的个人安全系统（未示出）所保护。第三移动设备310c当前处于企业网络340外，并经由移动安全系统345b耦合到不可信的互联网330。第三移动设备310可以被当前正在旅行的可信企业340的员工使用。安全管理器325管理移动安全系统345a、移动安全系统345b、以及网络安全系统320，以确保他们都包括最当前的安全保护。本领域技术人员将明白，同一个的安全管理器不需要管理多种设备。另外，安全管理器可以是用户，并且不需要处于可信企业340内。

分界线335将可信企业340和不可信的、可公共访问的互联网330分开。移动设备310a、310b、310c中的每一个都被统称为移动设备310，尽管他们不需要一样。每个移动安全系统345a和345b都可以被统称为移动安全系统345，尽管他们不需要一样。

如图所示，尽管移动设备310c已经移动出了可信企业340，但是移动设备310c还经由移动安全系统345b连接到不可信的互联网330，所以保留了两条防线（即，移动安全系统345b和位于该设备本身上的安全软件）。在本实施例中，移动安全系统345有效地充当了代表移动设备310c的移动互联网网关。在一个实施例中，移动安全系统345可以是专门用于网络安全的设备。在一个实施例中，每个移动安全系统345都可以支持多个移动设备310（可能仅是注册过的移动设备310，例如，属于企业340的设备）。

每个移动安全系统345（例如，345a、345b）都可以是基于商业硬件（使用Intel的Xscale作核心）、Linux OS和网络服务、以及开源防火墙、IDS/IPS和反病毒保护的微型服务器。移动安全系统345可以基于硬化的嵌入式Linux2.6。

在这个实施例中，由于安全管理器325能够远程地与移动安全系统345b通信，所以IT可以监控和/或更新在移动安全系统345b上执行的安全策略/数据/引擎。安全管理器325可以在中心远程地或直接地管理所有的企业设备。另外，安全管理器325和移动安全系统345可以交互以自动地将企业安全策略翻译为移动安全策略，并可以相应地配置移动安全系统345。由于移动安全系统345可以是从企业340的相关安全策略生成的，所以当前正在移动的移动设备310c可以具有与可信企业340内的设备305/310相同的保护等级。

移动安全系统345可以被设计为添加到现有软件安全上或代替正在移动的移动设备上的所有安全硬件和软件。这些安全应用将优选地在不同OSI层上工作，以提供最大的安全和恶意代码保护，如图8中所示的示例系统所示。在较低的OSI层上工作和仅仅进行TCP/IP分组分析（通过屏蔽防火墙或路由器分组）将会错过病毒和/或蠕虫行为。而且，很多现代病毒使用在比7^th OSI层（应用－HTTP、FTP等）“更高”的等级上执行的移动代码，所以既不能在分组层也不能在应用层上被解译。例如，仅在会话或传输层对恶意Java脚本（包括在HTML页中）应用反病毒分析、试图将签名与分组匹配而不理解内容类型（Java脚本），将不能检测Java脚本的恶意本性。为了提供更强的保护，移动安全系统345可以充当公司型安全装置，并可以基于内容类型和适当的OSI层（或在相似内容被封装在应用层中时“更高”层）来参与不同的安全应用。移动安全系统345可以被配置为在不同的OSI层执行内容分析，例如，从分组层到应用层。将明白，在应用层执行深层检测对于检测恶意内容行为和改进病毒、蠕虫、间谍软件、特洛伊木马等的检测是很关键的。下列软件包可以在移动安全系统345上执行：

·防火墙和VPN－包括有状态和无状态防火墙、NAT、分组过滤和操纵、DOS/DDOS、网络过滤器（netfilter）、将用户移动设备与互联网隔离并在该设备上运行VPN程序等。

·可选的网页加速器和基于Squid的带宽/高速缓冲存储器管理。

·IDS/IPS－基于Snort的入侵检测和预防系统。Snot是一种利用规则驱动语言的开放源代码的网络入侵预防和检测系统，其结合了签名、基于协议和基于异常的检测的优点。

·基于ClamAV的反病毒程序和反间谍软件；附加的AV和AS引擎（例如，McAfee、Kaspersky、Pandamay）可以被提供以获得附加的定购费。

·恶意内容检测－在执行内容分析以在具有签名之前检测恶意内容的敏锐启发（fly heuristics）上。这将是基于规则库和更新的规则的，并且将是由内容决定的扫描。

·URL种类过滤（categorization filtering）－基于诸如Surfcontrol、SmartFilter、或Websense的商业引擎。可以提供70种左右的URL，诸如赌博、成人内容、新闻、网页邮件等。移动设备345可以应用基于URL种类的不同安全策略，例如，对于赌博或承认内容的网站等的更高限制和启发。

图4是示出示例计算机系统400的细节的框图，桌上型电脑305、移动设备310、网络安全系统320、移动安全系统345、以及安全管理器325是该计算机系统的一个实例。计算机系统400包括耦合到通信信道410的处理器405，诸如，微处理器或微处理器。计算机系统400进一步包括分别耦合到通信信道410的输入设备415（诸如，键盘或鼠标）、输出设备420（诸如，阴极射线管显示器）、通信设备425、数据存储设备430（诸如，磁盘）、存储器435（诸如，随机存取存储器（RAM））。通信接口425可以被直接或经由移动安全系统345耦合到诸如互联网的网络。本领域技术人员将明白，尽管数据存储设备430和存储器435被图示为不同的单元，但是数据存储设备430和存储器435可以是同一个单元的多个部分、分散的单元、或虚拟存储器等。

数据存储设备430和/或存储器435可以存储诸如Microsoft Windows XP、IBM OS/2操作系统、MAC OS、UNIX OS、LINUX OS的操作系统440和/或其他程序445。将可以理解，优选实施例可以在不同于以上所述的平台和操作系统上执行。一个实施例可以使用JAVA、C、和/或C++语言、或其他语言写出（可能使用面向对象的编程方法）。

本领域技术人员将明白，计算机系统400还可以包括附加信息，诸如，网络连接、附加存储器、附加处理器、LAN、用于跨越硬件信道传输信息的输入/输出线路、互联网、或内联网等。本领域技术人员将明白，这些程序和数据可以以可选方式被该系统接收并存储。例如，计算机可读存储介质（CRSM）读出器450（诸如，磁盘驱动器、硬盘驱动器、磁光读出器、CPU等）可以耦合到用于读计算机可读存储介质（CRSM）455（诸如，磁盘、硬盘、磁光盘、RAM等）的通信总线410。因此，计算机系统400可以经由CRSM读出器450接收程序和/或数据。另外，将可以理解，本文中使用的术语“存储器”的目的在于覆盖所有数据存储介质，而不论其是永久的还是暂时的。

图5是示出根据本发明实施例的移动安全系统345的细节的框图。移动安全系统345包括：适配器/端口/驱动器505、存储器510、处理器515、存储移动安全系统的操作系统的安全版本或其他应用的预引导闪存/ROM存储模块520、网络连接模块525、安全引擎530、安全策略535、安全数据540、远程管理模块550、分发模块555、以及备份模块560。尽管图示了移动安全系统345内的这些模块，但是本领域技术人员将明白，他们中的很多也可以位于其他地方，例如，位于安全管理器325上或位于与移动安全系统345通信的第三方系统上。移动安全系统345可以为袖珍尺寸的、手持尺寸的、或钥匙链尺寸的壳体，或可以更小。另外，移动安全系统345可以结合在移动设备310中。

适配器/端口/驱动器505包括用于移动安全系统345上的USB、以太网、WiFi、WiMAX、GSM、CDMA、蓝牙、PCMCIA、和/或其他连接数据端口的连接机构。在一个实施例中，适配器/端口/驱动器505能够连接到多个设备310，以为多个设备310提供网络安全。

存储器510和处理器515执行移动安全系统345上的操作系统和应用。在这个示例中，预引导闪存520存储操作系统和应用。在引导时，操作系统和应用被从预引导闪存520加载到存储器510用于执行。由于操作系统和应用被存储在了在运行期间不能被用户访问的预引导闪存520中，所以预引导闪存520中的操作系统和应用是不易破坏的。在存储器510中的操作系统和应用的副本被破坏（例如，被恶意代码破坏）的情况下，操作系统和应用可以在（例如）重启时被重新从预引导闪存520加载到存储器510中。尽管描述了操作系统和应用被存储在预引导闪存520中的情况，但是OS和应用还可以被安全地存储在诸如ROM、PROM、EEPROM等的其他只读存储设备中。

移动安全系统345上的存储器（包括存储器510和预引导闪存520）可以被分成如图11所示的多个区。在每个“硬”重启时，移动安全系统345的引导加载器（位于区域1中）将内核和安全应用（最新的、未改变的副本）从区域1复制到区域2。这使得清洁版本的OS和应用每次都被加载到区域2中。这样，如果专用的移动安全系统345攻击被开发了出来，该攻击将不能感染该系统，因为OS和应用在运行期间被从存储区域1中排除了。另外，到达存储器510的任何攻击将仅可以运行一次，并将在硬重启时消失。触发机制可以被用来在感染检测时自动地重新启动移动安全系统345。

网络连接模块525使网络能够经由包括WiFi、WiMAX、CDMA、GSM、GPRS、以太网、调制解调器等的网络通信硬件/软件连接到例如互联网330或内联网315。例如，如果移动设备310希望经由WiFi连接连接到互联网330，则适配器/端口/驱动器505可以被连接到移动设备310的PCI端口、USB端口、或PCMCIA端口，并且移动安全系统345的网络连接模块525将包括用于连接到无线接入点的WiFi网络接口卡。使用网络连接模块425，移动安全系统345可以作为用于移动设备310的安全网关与网络通信。在图10A至图10C中描述其他连接结构。

安全引擎530基于安全策略535和安全数据540（他们二者都可以由IT管理者开发）执行安全程序。安全引擎530可以包括防火墙、VPN、IPS/IDS、反病毒程序、反间谍软件、恶意内容过滤、多层安全监控器、Java和字节码监控器等。每个安全引擎530都可以具有专用的安全策略535和安全数据540，以指示引擎530可以或不可以允许哪些进程、内容、URL、系统呼叫等。安全引擎530、安全策略535、以及安全数据540可以与网络安全系统320上的引擎、策略、和数据的子集相同，和/或可以从他们开发出来。

为了提供由反病毒程序和反间谍软件提供的更高的安全等级，每个移动安全系统345上的安全引擎530可以执行内容分析和风险估计算法。例如，在OSI层7或其他处的运转，这些算法可以通过由规则引擎和规则更新控制的专用的高风险内容过滤（HRCF）执行。HRCF将基于能够执行深层内容分析以校验真正的内容类型的强大检测库。这是因为很多攻击都隐藏在错误的模仿类型（mime type）内，和/或可以使用复杂的骗局来将文本文件类型呈现为危险的动态脚本或动态X内容类型。HRCF可以与用于基于URL种类的自动规则调整的URL种类安全引擎530结合。在一个实施例中，当风险等级增加时（使用所描述的机构），移动安全系统345可以自动地调整和增加过滤，以从流量中去除更多的动态内容。例如，如果更大的风险被确定，则每块移动代码（例如，Java脚本、VB脚本等）都可以被剥除出去。

用于与公司策略服务器遗留系统结合的三个方面包括：（下面讨论的）规则、LDAP和动态目录、以及记录和报告。在一个实施例中，在安全管理器325上运行的策略引入代理将访问Checkpoint防火墙-1和Cisco PIX防火墙的规则库，并将他们引入本地副本。规则分析模块将处理重要的规则，并将为移动安全系统345提供不确定规则（out-of-box rule）和策略。提出的这个策略将为所有的移动安全系统345提供符合企业340的防火墙策略的最适合的规则。该代理将周期性地运行，以反映任何改变并生成用于移动安全系统345的策略535的更新。LDAP和动态目录可以与目录服务结合，以保持响应与企业的目录定义的移动安全系统345的安全策略535。例如，用于LDAP用户群“G”的企业策略将自动传播到“G”群中的所有的移动安全系统345。移动安全系统345的本地日志和查账索引可以根据记录和报告策略被发送到存储在安全管理器325处的中心日志。使用网络界面，IT能够生成与所有移动设备310用户和他们的互联网经验有关的报告和查账视图，并可以启动将感染的设备携带回企业340。IT将能够经由SYSLOG和SNMP Traps将时间和日志记录转发到遗留管理系统内。

安全引擎530可以执行加权风险分析。例如，安全引擎530可以分析包括从互联网330到达的任意流量在内的HTTP、FTP、SMTP、POP3、IM、P2P等。安全引擎530可以基于每个对象的类型、复杂性、能力的富裕度、对象的来源等来为每个对象分配权重和等级。安全引擎530可以使用已知的危险或已知的安全来源的列表来基于来源分配权重。安全引擎530可以基于来源的种类（例如，赌博来源、成人内容来源、新闻来源、著名公司来源、银行业来源等）来为对象分配权重。安全引擎530可以计算权重，并基于该结果确定允许还是不允许对内容的访问、对脚本的运行、以及对系统的修改等。安全引擎530可以“学习”用户内容（通过对用户访问的一般内容进行预定时间段的分析），并可以相应地创建个人内容简介。个人内容简介可以用于校准在运行时间分析期间分配给内容的权重，以改进精确性并适应对于特定用户特性的加权风险分析。

在一些实施例中，安全引擎530、安全策略535、以及安全数据540可以使能对移动安全系统345的回避。由安全管理器325设置的安全策略535可以包括特殊属性，以在移动设备处于可信企业340外时促使移动设备通过移动安全系统325进行网络连接。所以，如果这些属性被设置为“有效（on）”，则当移动设备310企图在没有移动安全系统345的情况下、并不从可信企业340内开始连接到互联网330时，包括LAN连接、USB网、调制解调器、蓝牙、WiFi等的所有数据传输连接都可以被关闭。移动设备310可以被完全隔离并不能连接到包括互联网330在内的任何网络。

在一个实施例中，为了这个能实现，当首先使用（例如）USB线（用于电源和USB连接创建）连接到移动设备310时，USB即插即用设备驱动器可以被发送到移动设备310中。所安装的驱动器可以是允许用于移动安全系统345的USB网连接的“Linux.inf”。这个连接允许移动安全系统345经由USB端口并使用移动设备310网络连接和附加代码（“连接客户”）来访问互联网330。在Windows示例中，连接客户可以被安装在如图6中所示的每个网络连接的所有网络接口卡上方的移动设备310的NDIS等级。该实施方式将作为NDIS中间层（IM）驱动器或NDIS勾过滤驱动器（NDIS-hooking filter driver）。两种实施方式都是内核级的，所以终端用户不能停止或去除他。当开启移动设备310时，连接客户可能企图连接到可信企业340本地的网络安全系统320或安全管理器325。如果该节点没有被找到（经由VPN的查找被认为没有在本地LAN中找到），则连接客户将假设其从可信企业340外工作并希望找到例如，经由USB网或其他连接机制连接的移动安全系统345。如果移动安全系统345没有被找到，则连接客户可以避免到任何网络连接的任何通信。通过策略定义，这个行为可以被修改为允许经由安装在移动设备310中的VPN到企业340的通信。类似地，在移动安全系统345故障的情况下，所有流量都无效，除了连接到企业340中的VPN外。

将明白，NDIS是在内核级上截取流量的一种可能的实施方式。例如，在另一实施例中，该系统可以勾住Winsok或应用可能在未来的Windows版本中的其他方式。

在移动安全系统345支持多个移动设备310的实施例中，对于每一个移动设备310，安全引擎530、安全策略535、和安全数据540可以不同（例如，基于例如用户偏好或IT决定）。可选地，可以应用对于所有连接的设备310都相同的引擎530、策略535、以及数据540。

远程管理模块550使能与安全管理器325（和/或其他安全管理器）的通信，并使能安全引擎530、安全策略535、包括签名和其他应用的安全数据540的本地更新。在一个实施例中，对安全策略535和数据540的修改可以仅通过安全管理器325进行。移动安全系统345的远程管理模块550可以经由安全连接，从（例如）安全管理器325上的更新职权设备（UAD）接收更新。UAD可以在位于互联网330上的客户IT中心处的更新服务器上运转，以将更新转发给可能不属于负责管理更新的企业540的移动安全系统345。UAD可以在移动安全系统345上运转。安全引擎530更新可以修改反病毒程序引擎DLL等，OS和安全应用更新可以在连接到安全管理器325的同时经由加密和认证的连接从企业540内执行。

安全管理器325可以修改用于对旅行用户进行远程支持的URL黑白列表。在错误肯定的情况下，安全管理器325可以通过回避抢先的启发式安全措施而仍通过防火墙、反病毒程序、IPS/IDS等进行监控来允许对某些URL的访问。附加的远程设备管理特征可以使安全管理器325能够在移动安全系统345上执行远程诊断、访问本地日志、改变配置参数等。安全管理器325可以将任务委托给用于支持的帮助台。

远程管理模块550可以与可以位于安全管理器325或其他系统上的向导（例如，向导745）通信，如图7中所示。下面参考图7描述向导745的细节和远程管理模块550与向导745之间的通信配置的细节。

分发模块555使能更新的分发，例如，通过移动安全系统345的、到N个其他移动安全系统345的更新的分发，例如，包括规则更新的安全策略535的更新、包括签名更新的安全数据540的更新、安全引擎530的更新、应用/OS的更新等。标识更新将转发到的N个其他移动安全系统345的路由表可以被提供给分发模块555，以使系统345能够与系统345通信。更新可以根据安全管理器325设置的策略执行。当转发更新时，分发模块555充当UAD。

每个移动安全系统345都可以周期性地、以预定次数、在登陆时等获取他的路由表和安全信息更新。路由表可以被保持在服务器（例如，安全管理器325或其他移动安全系统345）上。在一个实施例中，移动安全系统345可以接触该服务器，以检索路由表。可选地，该服务器可以将路由表推到移动安全系统345。

分发模块555可以使能快速更新，如图9中所示。当前，所有可获得的商业反病毒程序产品对设备的更新都比病毒的传播慢。为了确保新的病毒攻击不比（例如）签名更新传播得更快，每个移动安全系统345都可以是动态UAD。在一个实施例中，如图9中所示，每个移动安全系统345都负责将签名更新转发到四个其他设备345。本领域技术人员将明白，所有设备345都需要向相同数目的其他设备345转发。多个设备345可以负责向同一设备345的转发。当需要时，被激活的离线设备345可以对用于路由表更新的服务器（例如，安全管理器325）进行调查。

备份模块560可以不断地将移动设备310的引导扇区和系统文件的图像和改变备份到闪存520或另一永久性存储设备中。这样，在包括移动设备310的系统或引导扇区丢失的严重故障情况下，移动安全系统345可以在重新引导期间被识别为CD-ROM，并可以发动备份模块（或独立程序）在移动设备310上恢复引导扇区和系统文件，从而在不需要IT支持的条件下恢复移动设备310。在网络安全系统345支持多个移动设备310的实施例中，备份模块560可以包含用于每个移动设备310的独立的引导扇区和系统文件（如果不同的话）。

图7是示出根据本发明实施例的智能策略更新系统700的细节的框图。系统700包括耦合到网络安全系统320和移动安全系统345的安全管理器325。网络安全系统320包括安全引擎705，该安全引擎包括反病毒程序引擎715、IPS/IDS引擎720、防火墙引擎725、以及其他安全引擎。网络安全系统320还包括安全策略和数据710，该安全策略和数据包括反病毒策略和数据730、IPS/IDS策略和数据735、防火墙策略和数据740、以及其他策略和数据。类似地，移动安全系统345包括反病毒程序引擎755、IPS/IDS引擎760、防火墙引擎765、以及其他引擎。移动安全系统345还包括安全策略和数据535/540，该安全策略和数据包括反病毒安全策略和数据770、IPS/IDS安全策略和数据775、防火墙安全策略和数据780、以及其他安全策略和数据。

安全管理器325可以包括用于基本使能移动安全系统345上的安全引擎530、安全策略535、和安全数据540的自动初始化和可能的动态设立的向导745。在一个实施例中，向导745可以自动加载作为移动安全系统345的安全引擎530和策略和数据535/540的网络安全系统320的所有安全引擎750和策略和数据710。在另一实施例中，向导745可以包括除了无关部件外的所有安全引擎705和策略和数据710，例如，与计帐用的计费软件有关的那些、与仅在网络服务器上运行的网络软件相关的那些。在另一实施例中，引擎530需要被IT管理器加载，而不需要被向导745自动加载。

在一个实施例中，向导745可以确定移动安全系统345是否需要特定的安全引擎530，例如，反病毒程序引擎755、IPS/IDS引擎760、防火墙引擎765等。如果确定如此，则向导745将引擎530加载到移动安全系统345上。然后，向导745将确定哪些策略和数据集（例如，用于反病毒程序引擎755的一些、用于IPS/IDS引擎760的一些、用于防火墙引擎765的一些等）对于移动安全系统345是重要的。然后，向导745将确定网络安全系统320上的反病毒策略和数据730中的哪些与移动安全系统345上的反病毒策略和数据770相关，网络安全系统320上的IPS/IDS策略和数据735中的哪些与移动安全系统345上的IPS/IDS策略和数据775相关，网络安全系统320上的防火墙策略和数据740中的哪些与移动安全系统34上的防火墙策略和数据780相关，以及网络安全系统320上的其他策略和数据中的哪些与移动安全系统345上的策略和数据相关。如上所述，向导745可以确定移动安全系统345上需要所有的安全引擎705还是仅需要一部分。向导745确定是应该转发用于给定引擎类型的所有策略和数据710还是只转发一部分。向导745可以基于由IT管理员开发的规则、基于设立进程期间的逐项选择，来确定哪个相关策略和数据710应该被转发给移动安全系统345。对于向导745可选的，IT管理员可以在没有向导745的移动安全系统345上设立引擎530和策略和数据535/540。

安全管理器325还可以包括更新职权设备750。更新职权设备750可以获取安全系统更新（例如，签名更新），并可以将该更新发送到网络安全系统320和移动安全系统345。本领域技术人员将明白，网络安全系统320的更新和移动安全系统345的更新不需要相同。另外，更新职权设备750可以从安全管理者、安全引擎开发者、反病毒程序专家等获取更新。更新职权设备750可以将该更新转发到所有网络安全系统320和所有移动安全系统345，或可以将路由表转发给所有移动安全系统345并仅将该更新发送给移动安全系统能够345的初始设置。移动安全系统345的初时设置可以以类似于图9所示的过程的P2P方式将更新转发到在路由表中标识的移动安全系统345。如上所述，运转以转发更新的每个移动安全系统345本身充当更新职权设备750。

其他应用也可以包括在移动安全系统345上。例如，用于再现来自现有客户的收入的添加上的应用可以包括一般电子邮件、反垃圾程序、直接且安全的电子邮件传递、信息库（information vault）、安全的Skype、以及其他即时信息发送服务等。

·邮件安全和反垃圾程序－在移动安全系统345（包括以上的网络安全引擎）上实现邮件的中继，以及本地spam quarantine可以通过实时索引（经由在线搜索引擎作弊源（web spam quarries））来实现包括反垃圾程序在内的完整的邮件安全软件套件。用户可以访问该来源，以经由网络界面查阅垃圾消息、释放消息、修改和定制垃圾规则。

·基于邮件中继的直接且安全的电子邮件传递将允许移动安全系统345直接从一个移动安全系统345向另一个移动安全系统345发送用户邮件，而无需在路由邮件服务器中使用。这使得公司用户可以发送无需在互联网中移动的电子邮件，从而在路由中的不同的未知邮件服务器上留下了痕迹和副本。这与使用两个移动安全系统之间的安全管道的能力的结合对于公司是有价值的。在没有这种方法的情况下，人们可以不用访问公司的邮件服务器而通过追捕用于传递消息的中间邮件服务器中的副本来追踪电子邮件交换。

·信息库－仅有被授权的用户可以经由在每个移动安全系统345上执行的网络界面和网络服务器可以获取移动安全系统345上的加密并存储终端用户信息的应用（例如，BOA、Apache等）。

·安全的Skype和其他IM－在移动安全系统345上执行即时消息发送的客户可以保证即时消息发送系统和P2P应用不具有对移动设备310上的数据的访问。添加AC/97的芯片集以在移动安全系统325上提供声音接口可以使用户直接向移动安全系统325讲话和直接从移动安全系统325接收呼叫。

尽管没有示出，但移动安全系统345也可以包括小电池。这个电池可以在运行期间通过USB连接充电、或在任意时间使用电源适配器充电。该电池可以保证适当的关机，例如，当用户从移动安全系统345断开USB线时。这将由将发动应用和系统关机的系统用信号通知。这将确保文件系统的适当状态和闪开文件缓冲器。

需要多层防御和保护能力。这可以由具有以下特点的特殊代码实现：通过不同系统（反病毒程序、IDS/IPS、防火墙、反间谍软件、URL种类等）在不同等级不断监控扫描结果，以构建难题并识别攻击（即使在气没有被每个单独子系统辨别出来）。

移动安全系统345的一个可获得的优点在于他在终端用户旅行时或在家工作时在终端用户上强制执行企业540的策略的能力。由于移动安全系统345使用了与从企业540内连接时相类似的安全引擎和策略，并且由于终端用户不能在没有他（除经由VPN进入企业540外）的情况下访问互联网330，所以，IT能够在企业540的边界线外强制执行他的安全策略。当移动安全系统345的OS充当在他的控制下的终端用户的OS时，该OS可以处于IT的完全监督下。这解决了谁控制什么、以及安全和生产率如何面对最小妥协的问题。

孤立版本的移动安全系统345可以提供相同的功能，并可以经由网络浏览器提供本地管理接口。对于没有IT部门的家庭用户或小办公室有吸引力的是，移动安全系统345使得终端用户可以发动浏览器、连接到移动安全系统345、设置包括修改白黑URL列表的不同策略（更新策略、安全规则等）等。还有机会通过定购为终端用户提供移动安全系统345的远程管理服务。

图10A、10B、和10C示出了根据本发明多种实施例的用于将移动安全系统345连接到移动设备310的三种示例结构。在图10A中，移动设备310经由USB连接1015和1020被耦合到移动安全系统345，并经由NIC卡1005被耦合到互联网330。移动设备310经由他的NIC卡1005从互联网330接收互联网流量。移动设备310上的内核级重定向器1010（例如，经由NDIS、Winsock等）自动地经由USB连接1015和1020将互联网流量重定向到移动安全系统345，该移动安全系统对互联网流量进行扫描和清理，并经由USB连接1015和1020将清洁的互联网流量返回给移动设备310。在图10B中，移动设备310经由USB连接1025和1030被耦合到移动安全系统345。移动安全系统345包括用于从互联网330接收互联网流量的NIC卡1035。移动安全系统345对互联网流量进行扫描和清理，并经由USB连接1025和1030将互联网流量转发到移动设备310。在图10C中，移动设备310经由NIC卡1040和1045被耦合到移动安全系统345。移动安全系统345经由他的NIC卡1045从互联网330接收互联网流量。移动安全系统345对互联网流量进行扫描和清理，并经由NIC卡1040和1045将互联网流量无线转发给移动设备310。其他连接机构也可以。

本发明的优选实施例的上述描述仅通过示例作出，并且在以上描述的教导下可以作出对上述实施例和方法进行其他变形和修改。尽管网络站点被描述为了单独且截然不同的站点，但是本领域技术人员将明白，这些站点可以是一个整体站点的一部分，可以分别包括多个站点的多个部分，或可以包括单个和多个站点的组合。本文中描述的各种实施例可以利用硬件、软件、或他们的组合来实现。为此，可以使用能够实现上述各种功能性设置的任何逻辑类型。可以使用编程的通用数字计算机、使用专用集成电路、或使用互联的传统组件和电路来实现多个组件。连接可以是有线的、无线的、或调制解调器等。本文中描述的这些实施例不用于排他或限制。本发明仅受所附权利要求的限制。

Claims (20)

1.一种移动安全系统，包括：

移动安全系统处理器；

存储操作系统的至少一部分的预引导存储器；

在重新引导所述移动安全系统时从所述预引导存储器接收所述操作系统的所述至少一部分的副本的运行时存储器；

连接机构，用于连接到移动设备的数据端口以及用于与所述移动设备通信，所述移动设备具有不同于所述移动安全系统处理器的移动设备处理器；

网络连接模块，用于充当到网络的网关；

安全策略，用于确定是否将打算供所述移动设备使用的网络数据转发到所述移动设备，所述安全策略被配置以便如果所述网络连接模块与被所述安全策略识别的一个或多个可信网络通信则指引所述移动安全系统以允许所述网络数据在不经所述移动安全系统的所述移动安全系统处理器针对恶意内容扫描的情况下被所述移动设备接收；以及

安全引擎，用于在运行时存储器中执行所述安全策略。

2.如权利要求1所述的移动安全系统，其中，所述连接机构包括USB连接器、PCMCIA连接器、以太网连接器和无线通信模块中的至少一种。

3.如权利要求1所述的移动安全系统，其中，所述网络连接模块包括无线网络接口卡。

4.如权利要求1所述的移动安全系统，其中，所述安全引擎包括反病毒引擎、反间谍软件引擎、防火墙引擎、入侵防御系统/入侵检测系统即IPS/IDS引擎、内容过滤引擎、多层安全监控器、字节码监控器以及URL监控器中的至少一种。

5.如权利要求1所述的移动安全系统，其中，所述安全策略执行加权风险分析。

6.如权利要求5所述的移动安全系统，其中，所述加权风险分析基于内容类型来对风险加权。

7.如权利要求5所述的移动安全系统，其中，所述加权风险分析基于内容来源来对风险加权。

8.如权利要求5所述的移动安全系统，其中，所述加权风险分析基于内容来源种类来对风险加权。

9.如权利要求5所述的移动安全系统，其中，所述加权风险分析基于用户的历史行为来对风险加权。

10.如权利要求1所述的移动安全系统，还包括：能够接收安全策略更新的远程管理模块。

11.如权利要求1所述的移动安全系统，还包括：能够接收安全引擎更新的远程管理模块。

12.如权利要求1所述的移动安全系统，还包括：安全数据和能够接收安全数据更新的远程管理模块。

13.如权利要求1所述的移动安全系统，其中，所述安全数据包括恶意内容签名。

14.如权利要求1所述的移动安全系统，还包括：能够将更新转发到其他移动安全系统的分发模块。

15.如权利要求1所述的移动安全系统，还包括：如果所述移动设备的引导扇区被损坏，能够存储所述移动设备的所述引导扇区的至少一部分的备份模块。

16.如权利要求1所述的移动安全系统，还包括：能够与向导通信的远程配置模块，所述向导与企业网络安全系统通信，所述向导能够基本自动地基于所述企业网络安全系统上的策略和数据生成策略和数据，所述远程配置模块能够安装由所述向导生成的所述策略和数据。

17.如权利要求1所述的移动安全系统，其中所述预引导存储器在运行期间不能被访问，并且其中所述移动安全系统被配置为每当所述移动安全系统被重新引导时就加载所述操作系统的至少一部分。

18.一种用于提供网络安全的方法，所述方法包括：

在具有移动安全系统处理器的移动安全系统的预引导存储器中存储操作系统的至少一部分；

当重新引导所述移动安全系统时，从所述预引导存储器接收所述操作系统的所述至少一部分的副本到运行时存储器中；

当移动设备处于可信网络外时，通过网络连接机构从所述移动设备接收网络连接请求，所述移动设备具有不同于所述移动安全系统处理器的移动设备处理器；

充当代表所述移动设备到网络的网关；

从所述网络接收打算供所述移动设备使用的信息；

基于安全策略确定是否将打算供所述移动设备使用的所述信息转发到所述移动设备，所述安全策略被配置以便如果所述网络连接模块与被所述安全策略识别的一个或多个可信网络通信则指引所述移动安全系统以允许所述信息在不经所述移动安全系统的所述移动安全系统处理器针对恶意内容扫描的情况下被所述移动设备接收；以及

在所述运行时存储器中执行所述安全策略。

19.根据权利要求18所述的方法，其中所述连接机构包括USB连接器、PCMCIA连接器、以太网连接器和无线通信模块中的至少一种。

20.一种用于提供网络安全的系统，所述系统包括：

用于在具有移动安全系统处理器的移动安全系统的预引导存储器中存储操作系统的至少一部分的装置；

用于在重新引导所述移动安全系统时从所述预引导存储器接收所述操作系统的所述至少一部分的副本的运行时存储器装置；

用于在移动设备处于可信网络外时充当代表移动设备到网络的网关的装置，其中所述移动设备具有不同于所述移动安全系统处理器的移动设备处理器；

用于从所述网络接收打算供所述移动设备使用的信息的装置；

用于基于安全策略确定是否将打算供所述移动设备使用的所述信息转发到所述移动设备的装置，所述安全策略被配置以便如果所述网络连接模块与被所述安全策略识别的一个或多个可信网络通信则指引所述移动安全系统以允许所述信息在不经所述移动安全系统的所述移动安全系统处理器针对恶意内容扫描的情况下被所述移动设备接收；以及

用于在所述运行时存储器装置中执行所述安全策略的装置。