[发明专利]在外部设备与主机设备间提供数据和设备安全的系统和方法

说明书

技术领域

本发明总地涉及计算机安全，更具体地提供了在外部设备与主机设备 间提供数据和设备安全的系统和方法。

背景技术

因特网是政府、大学、非营利组织、公司和个人所拥有的数百万单个 计算机网络的互连。虽然因特网是有价值信息和娱乐的极佳来源，但是因 特网也变成了诸如“病毒”、“间谍程序”、“广告程序”、“蠕虫”、 “特洛伊木马”和其他恶意代码之类的系统破坏代码和系统致命应用代码 的主要来源。

为了保护用户，程序员设计出用于防止恶意代码攻击个人计算机和网 络计算机两者的计算机安全系统和计算机网络安全系统。就绝大部分而 言，网络安全系统已经相对成功。从企业网内部连接到因特网的计算机通 常具有两道防线。第一道防线包括可以作为网络网关的一部分的网络安全 系统，其包括防火墙、防病毒、防间谍软件和内容过滤。第二道防线包括 单机上的单机安全软件，其通常不如网络安全系统一样安全并且更容易遭 受攻击。组合起来，第一和第二道防线一起提供极佳的安全保护。然而， 当设备连接到因特网而没有居间的网络安全系统时，设备失去其第一道防 线。因此，在企业网外部移动的移动设备(例如，笔记本、台式计算机、 诸如RIM的黑莓之类的PDA、蜂窝电话、任何连接到因特网的无线设 备，等等)更容易遭受攻击。

图1图示出现有技术的示例网络系统100。网络系统100包括各自耦 合到企业内联网115的台式计算机105和移动设备110。内联网115经由 网络安全系统120(其可以是企业网关的一部分)耦合到不受信任的因特 网130。因此，台式计算机105和移动设备110经由网络安全系统120而 访问因特网130。安全管理器125通常管理网络安全系统120以确保其包 括最新的安全保护并从而确保保护台式计算机105和移动设备110免受恶 意代码。分界线135将受信任的企业140和不受信任的公共因特网130隔 开。因为台式计算机105和移动设备110经由网络安全系统120而连接到 因特网130，因此两者都具有抵御来自因特网130的恶意代码的两道防线 (即，网络安全系统120和驻留于设备本身上的安全软件)。当然，虽然 是受信任的，但是内联网115也可以是恶意代码的来源。

图2图示出当移动设备110已经移动到受信任的企业140之外并且重 新连接到不受信任的因特网130时的现有技术的示例网络系统200。或许 当用户在移动时携带移动设备110并且在咖啡馆、旅馆处或者经由任何不 受信任的有线或无线连接而连接到因特网时，这种情况可能会发生。因 此，如图所示，移动设备110不再受第一道防线(受网络安全系统120) 保护并且因而已经增大了其接收恶意代码的风险。另外，通过将移动设备 110的实体带回受信任的企业140并且从受信任的企业140内部进行重新 连接，移动设备110冒着将所接收的任何恶意代码传送到内联网115的风 险。

随着移动设备数目和攻击数目的增长，移动安全变得愈发重要。该问 题近来在2005年12月7日至8日纽约的信息安全会议中得到强调。但是 未给出完整的解决方案。

类似地，当主机设备连接到诸如USB闪存盘、iPod、外部硬盘等的外 部设备时，两方设备都容易接收到恶意代码或者传送私有数据。图11图 示出示例现有技术数据交换系统1100，其包括主机计算机(主机)1105 和外部设备1110。主机1105包括诸如USB端口之类的用于接纳外部设备 1110的外部设备(ED)端口1115。主机1105还包括用于执行枚举和使能 外部设备1110与主机1105之间的通信的ED驱动程序1120。外部设备 1110包括诸如USB插头之类的用于与ED端口1115通信的ED插头。主 机1105和外部设备1110两者都容易收到恶意代码或者传送私有数据。

因此，需要向主机和外部设备提供安全的系统和方法。

发明内容