[发明专利]用于向移动设备提供网络安全的系统和方法

说明书

小块硬件连接到移动设备，并过滤出攻击和恶意代码。使用该块硬件，移动设备可以被更强的安全措施保护，并可能被与由其相关的公司/企业提供的相同安全等级所保护。在一个实施例中，移动安全系统包括：连接机构，用于连接到移动设备的数据端口以及用于与移动设备通信；网络连接模块，用于充当到网络的网关；安全策略，用于确定是否将打算供移动设备使用的内容转发到移动设备；以及安全引擎，用于执行安全策略。

本申请是2006年12月12日提交的名称为“用于向移动设备提供网络安全的系统和方法”的中国专利申请200680052780.8的分案申请。

优先权要求

本申请要求由发明人Shlomo Touboul在2005年12月13日递交的题为“PersonalSecurity Appliance”的第60/750,326号临时专利申请的优先权，其全部内容通过引用被结合于此。

技术领域

本发明总地涉及网络安全，更具体地提供了一种用于向移动设备提供网络安全的系统和方法。

背景技术

互联网是由政府、大学、非营利组织、公司、及个人所有的数百万单独的计算机网络的互连。尽管互联网是有价值的信息和娱乐的巨大来源，但是互联网也已经成为系统损害和系统致命应用代码（诸如，“病毒”、“间谍软件”、“广告病毒”、“蠕虫”、“特洛伊木马”、及其他恶意代码）的主要来源。

为了保护用户，程序员设计用于阻止恶意代码攻击个人和网络计算机的计算机和计算机网络安全系统。在大多数方面，网络安全系统已经是相对成功的。从企业网络内连接到互联网的计算机一般具有两条防线。第一条防线包括可以作为网络网关的一部分的网络安全系统，其包括防火墙、反病毒程序、反间谍软件、和内容过滤。第二条防线包括个人机器上的、一般没有网络安全系统安全且因此对于攻击更脆弱的个人安全软件。通过组合，第一和第二条防线一起提供相当好的安全保护。但是，当设备在没有插入网络安全系统的情况下连接到互联网时，该设备失去了其第一条防线。所以，移动设备（例如，膝上型电脑、桌上型电脑、诸如RIM的Blackberry的PDA、手机、连接到互联网的任何无线设备等）在企业网络外移动时对于攻击更脆弱。

图1示出了现有技术的示例网络系统100。网络系统100包括分别耦合到企业内联网115的桌上型电脑105和移动设备110。内联网115经由网络安全系统120（其作为企业网关的一部分）耦合到不可信的互联网130。因此，桌上型电脑105和移动设备110经由网络安全系统120访问互联网130。安全管理器125一般管理网络安全系统120，以确保其包括最当前的安全保护，从而使得桌上型电脑105和移动设备110免受恶意代码的损害。分界线135将可信的企业140和不可信的公共互联网130分开。由于桌上型电脑105和移动设备110都经由网络安全系统120而连接到互联网130，所以他们都具有两条抵抗来自互联网130的恶意代码的防线（即，网络安全系统120和位于设备自身上的安全软件）。当然，尽管可信，内联网115也是恶意代码的来源。

图2示出了当移动设备110已经移动到可信企业140外并且重新连接到不可信的互联网130时的现有技术的示例网络系统200。这可能在用户旅行时携带移动设备110并在计算机咖啡馆、旅馆、或经由任何不可信的有线或无线连接将移动设备连接到互联网130时发生。因此，如图所示，移动设备110不再受第一条防线（由网络安全系统120提供）保护，所以增加了其接收恶意代码的风险。另外，通过物理地将移动设备110带回可信的企业140中并重新从其中连接，移动设备110有将所接收的任意恶意代码传输到内联网115的风险。

随着移动设备的数目和攻击的数目的增加，移动安全变得越来越重要。这个问题在2005年12月7日到8日在纽约召开的最近的信息安全会议（recent info-securityconference）中得到了强调。但是没有提出完整的解决方案。

需要提供能够提供如企业网络安全系统所提供的网络安全等级的个人安全装置。