專利名稱:用于提供網(wǎng)絡(luò)安全的便攜式安全設(shè)備和方法
技術(shù)領(lǐng)域:
本公開總地涉及網(wǎng)絡(luò)安全領(lǐng)域���,并且特別涉及用于提供對操作在非安全網(wǎng)絡(luò)環(huán)境中的用戶設(shè)備的安全因特網(wǎng)訪問的系統(tǒng)、方法和計算機(jī)程序產(chǎn)品����。
背景技術(shù):
盡管在計算機(jī)和網(wǎng)絡(luò)安全領(lǐng)域取得了顯著的進(jìn)步,但是安全威脅的數(shù)量仍然持續(xù)增長�。網(wǎng)絡(luò)罪犯正在開發(fā)新類型的惡意軟件�,諸如病毒�����、木馬和蠕蟲�,來從計算機(jī)、移動電話和其他使用有線��、無線或蜂窩網(wǎng)絡(luò)訪問因特網(wǎng)的電子設(shè)備中竊取個人和機(jī)密信息�����。一些常見的安全威脅包括瀏覽器劫持�����、鍵擊記錄(keylogging)和網(wǎng)絡(luò)嗅探��。瀏覽器劫持惡意軟件可訪問瀏覽器文件并竊取其中所存儲的用于各種網(wǎng)站的用戶個人驗證信息��,諸如登錄名和口令�����。鍵盤記錄器(keylogger)攔截用戶的鍵盤輸入來獲得用戶鍵入的數(shù)據(jù),諸如驗證信息和其他私有數(shù)據(jù)��。網(wǎng)絡(luò)嗅探器(也被稱為數(shù)據(jù)包分析器)對公共(或開放)網(wǎng)絡(luò)上的數(shù)據(jù)流量攔截和分析�,并因此可以訪問通過網(wǎng)絡(luò)傳輸?shù)膫€人或機(jī)密數(shù)據(jù)。諸如防火墻�、反病毒應(yīng)用程序、主動防御機(jī)制��、云檢測技術(shù)和其他的已知計算機(jī)和網(wǎng)絡(luò)安全解決方案具有局限性�����,且常常無法對操作在諸如公共網(wǎng)絡(luò)的非安全網(wǎng)絡(luò)環(huán)境中的用戶設(shè)備提供充分的安全保障�,其中用戶設(shè)備和通過此類非安全網(wǎng)絡(luò)從這些設(shè)備傳入和傳出的數(shù)據(jù)面臨著竊聽和其他形式的數(shù)據(jù)竊取。因此�����,需要適用于非安全網(wǎng)絡(luò)環(huán)境的可靠的網(wǎng)絡(luò)安全系統(tǒng)
發(fā)明內(nèi)容
本申請披露了用于在非安全網(wǎng)絡(luò)環(huán)境中提供安全因特網(wǎng)訪問的系統(tǒng)��、方法和計算機(jī)程序產(chǎn)品�����。在一個示范性實施例中����,所述系統(tǒng)包括便攜式安全設(shè)備���,所述便攜式安全設(shè)備提供對操作在非安全(例如,公共)無線網(wǎng)絡(luò)中的用戶設(shè)備的安全因特網(wǎng)訪問��,所述用戶設(shè)備諸如筆記本或平板計算機(jī)����。在一個示范性實施例中,所述安全設(shè)備包括用于建立與所述用戶設(shè)備的第一安全直接無線連接的無線網(wǎng)絡(luò)模塊����。所述安全設(shè)備還可包括另一個用于建立通過所述無線網(wǎng)絡(luò)到安全服務(wù)器的第二安全網(wǎng)絡(luò)連接的網(wǎng)絡(luò)模塊,所述安全服務(wù)器提供對所述用戶設(shè)備的因特網(wǎng)訪問���。在一個示范性實施例中��,所述安全設(shè)備提供不同的因特網(wǎng)訪問應(yīng)用程序�����,諸如因特網(wǎng)瀏覽器和電郵應(yīng)用程序�,其可用于取代所述用戶設(shè)備的非安全應(yīng)用程序以通過所述第一和第二安全網(wǎng)絡(luò)連接為所述用戶設(shè)備訪問Web資源���。在另一個示范性實施例中�,所述安全設(shè)備包括安全數(shù)據(jù)輸入用戶接口��,諸如鍵盤���,其可取代所述用戶設(shè)備的非安全數(shù)據(jù)輸入接口由所述設(shè)備用戶用來輸入用戶驗證數(shù)據(jù)用于訪問所需的Web資源���。
在一個示范性實施例中,所述安全設(shè)備經(jīng)配置以在非安全網(wǎng)絡(luò)環(huán)境中提供網(wǎng)絡(luò)安全���。特別是����,所述安全設(shè)備建立與用戶設(shè)備的第一安全無線網(wǎng)絡(luò)連接�。所述第一安全無線網(wǎng)絡(luò)可以是私有無線網(wǎng)絡(luò)。使用所述第一安全無線連接�����,所述安全設(shè)備激活所述用戶設(shè)備上的安全代理��。所述安全代理經(jīng)配置以識別并從所述用戶設(shè)備中檢索由所述用戶設(shè)備用來連接到因特網(wǎng)的第二網(wǎng)絡(luò)配置設(shè)置��。所述第二網(wǎng)絡(luò)配置設(shè)置可以是由所述用戶設(shè)備用來連接到因特網(wǎng)的最后的配置設(shè)置�。所述第二網(wǎng)絡(luò)可以是非安全的公共無線��、有線或蜂窩網(wǎng)絡(luò)���。使用接收到的網(wǎng)絡(luò)配置設(shè)置,所述安全設(shè)備建立到安全服務(wù)器的第二安全網(wǎng)絡(luò)連接��,所述安全服務(wù)器提供對因特網(wǎng)的訪問����。所述安全服務(wù)器可以是虛擬專用網(wǎng)(VPN)服務(wù)器。隨后�����,所述安全設(shè)備通過所述第一網(wǎng)絡(luò)連接從所述用戶設(shè)備接收指向因特網(wǎng)上目的地的數(shù)據(jù)傳輸���。所述安全設(shè)備通過所述第二網(wǎng)絡(luò)連接將所接收到的數(shù)據(jù)轉(zhuǎn)發(fā)到所述安全服務(wù)器�。所述安全服務(wù)器轉(zhuǎn)而將所述接收到的數(shù)據(jù)轉(zhuǎn)發(fā)到所述目的地��。以此方式��,所述安全服務(wù)器具有用于所述用戶設(shè)備的因特網(wǎng)網(wǎng)關(guān)的功能�����。在另一個示范性實施例中,所述安全設(shè)備經(jīng)配置以在非安全網(wǎng)絡(luò)環(huán)境中提供對用戶設(shè)備的安全因特網(wǎng)訪問�����。在激活后��,所述安全設(shè)備建立與用戶設(shè)備的第一安全網(wǎng)絡(luò)連接���。所述安全設(shè)備激活所述用戶設(shè)備上的安全代理。所述代理經(jīng)配置以訪問所述用戶設(shè)備的視頻模塊用于顯示來自所述安全設(shè)備的視頻信號�����。隨后��,所述安全設(shè)備建立與安全服務(wù)器的第二安全網(wǎng)絡(luò)連接����,所述安全服務(wù)器提供到因特網(wǎng)的訪問。接下來�����,在所述安全設(shè)備上激活因特網(wǎng)瀏覽器���、電郵應(yīng)用程序或其他通信應(yīng)用程序用于通過所述第二網(wǎng)絡(luò)連接和所述安全服務(wù)器訪問因特網(wǎng)上的Web資源��。所述安全設(shè)備通過所述第二網(wǎng)絡(luò)連接將用戶驗證數(shù)據(jù)傳輸?shù)剿霭踩?wù)器用于訪問所述Web資源�����。所述驗證數(shù)據(jù)可由用戶通過設(shè)備鍵盤輸入�����?����?商娲?��,所述驗證數(shù)據(jù)可以已經(jīng)存儲并從所述安全設(shè)備的存儲器中檢索出來�。最后�,所述安全設(shè)備通過所述第一網(wǎng)絡(luò)連接以視頻信號的方式傳輸瀏覽器相關(guān)數(shù)據(jù)、Web資源相關(guān)數(shù)據(jù)和用戶驗證數(shù)據(jù)用于在所述用戶設(shè)備上顯示����。在另一個示范性實施例中,所述安全設(shè)備經(jīng)配置以管理用戶授權(quán)信息用于訪問各種Web資源。所述安全設(shè)備存儲有多個有利于與多個分別具有不同操作系統(tǒng)的用戶設(shè)備通信的操作系統(tǒng)代理���。所述安全設(shè)備還存儲有不同的用戶驗證數(shù)據(jù)集合用于由用戶設(shè)備訪問多個Web資源����。然后�,所述安全設(shè)備通過安全無線網(wǎng)絡(luò)與用戶設(shè)備連接并激活與所連接的用戶設(shè)備的操作系統(tǒng)相對應(yīng)的適當(dāng)`的操作系統(tǒng)代理用于與所述用戶設(shè)備通信�。此外,所述安全設(shè)備連接到VPN服務(wù)器�,其提供對所述用戶設(shè)備的因特網(wǎng)訪問。所述安全設(shè)備選擇與由所述用戶設(shè)備所請求的Web資源相關(guān)聯(lián)的適當(dāng)?shù)挠脩趄炞C數(shù)據(jù)集合并向所述VPN服務(wù)器傳輸所選擇的用戶驗證數(shù)據(jù)集合和Web資源請求��,所述VPN服務(wù)器使用用戶驗證數(shù)據(jù)從遠(yuǎn)程Web服務(wù)器獲得所請求的Web資源�����。在另一個示范性實施例中��,所述安全設(shè)備經(jīng)配置以動態(tài)改變用于用戶設(shè)備的網(wǎng)絡(luò)安全設(shè)置�����。特別是��,所述安全設(shè)備使用部署于所述用戶設(shè)備上的安全代理從所述用戶設(shè)備收集系統(tǒng)硬件和軟件信息。所述安全設(shè)備隨后基于所收集到的硬件和軟件信息來評定所述用戶設(shè)備的安全特性���。所述安全設(shè)備還獲得本地?zé)o線網(wǎng)絡(luò)的網(wǎng)絡(luò)配置設(shè)置并基于所述網(wǎng)絡(luò)配置設(shè)置評定所述無線網(wǎng)絡(luò)的安全特性����。接下來���,所述安全設(shè)備基于所述用戶設(shè)備的安全特性和所述無線網(wǎng)絡(luò)的安全特性來選擇用于所述用戶設(shè)備的網(wǎng)絡(luò)訪問安全設(shè)置����。如果在隨后的某一時間���,所述安全設(shè)備檢測到所述用戶設(shè)備的安全特性或所述無線網(wǎng)絡(luò)的安全特性中的改變��,則所述安全設(shè)備基于所述用戶設(shè)備的安全特性或所述無線網(wǎng)絡(luò)的安全特性中的改變來動態(tài)改變所述用戶設(shè)備的所述安全設(shè)置�。以上對示范性實施例的簡要概括用于提供對本發(fā)明的基本理解����。此概括并不是本發(fā)明設(shè)想的所有方面的寬泛概述,并且既不意圖確定所有實施例的重要或關(guān)鍵要素也不意圖描繪任何或所有實施例的范圍�����。其唯一的目的在于以簡要的形式提出一個或多個實施例,作為本發(fā)明下面更為詳細(xì)的描述的前序���。為了實現(xiàn)前述事項�����,一個或多個實施例包括在權(quán)利要求書中描述和特別指出的特征��。
附圖并入此說明書中并構(gòu)成其中的一部分����,示出了本發(fā)明的一個或多個示范性實施例并與詳細(xì)的描述一起用于解釋實施例的原理和實現(xiàn)方案��。在附圖中圖1示出了根據(jù)一個示范性實施例的用于安全網(wǎng)絡(luò)通信的系統(tǒng)的網(wǎng)絡(luò)部署示意圖���。圖2示出了根據(jù)一個示范性實施例的安全設(shè)備的框圖。圖3示出了根據(jù)一個示范性實施例的在非安全網(wǎng)絡(luò)環(huán)境中由安全設(shè)備提供安全因特網(wǎng)訪問的方法的流程圖����。圖4示出了根據(jù)一個示范性實施例的由安全設(shè)備進(jìn)行安全管理和輸入用戶驗證信息的方法的流程圖。圖5示出了根據(jù)另一個示范性實施例的在非安全網(wǎng)絡(luò)環(huán)境中由安全設(shè)備提供安全因特網(wǎng)訪問的方法的流程圖 �����。圖6示出了根據(jù)一個示范性實施例的由安全設(shè)備動態(tài)改變網(wǎng)絡(luò)安全設(shè)置的方法的流程圖。圖7示出了根據(jù)一個示范性實施例的計算機(jī)系統(tǒng)的框圖����。
具體實施例方式本文在用于在非安全網(wǎng)絡(luò)環(huán)境中提供安全通信的系統(tǒng)、方法和計算機(jī)程序產(chǎn)品的上下文環(huán)境中描述了本發(fā)明的示范性實施例���。本領(lǐng)域的普通技術(shù)人員將認(rèn)識到下列描述僅是說明性的而并非意圖以任何方式進(jìn)行限制����。從本公開受益的本領(lǐng)域技術(shù)人員將容易地想到其他的實施例?���,F(xiàn)在將對在附圖中示出的本發(fā)明示范性實施例的實現(xiàn)方案詳細(xì)地做出說明。貫穿附圖和下面的描述將盡可能使用相同的參考標(biāo)記指代相同或相似的對象����。圖1示出了本發(fā)明可用于其中的非安全網(wǎng)絡(luò)環(huán)境的一個示例。一般來說�,非安全網(wǎng)絡(luò)環(huán)境可包括公共無線局域網(wǎng)(WLAN) 130,其使用W1-Fi技術(shù)���,并且一般可用于咖啡店����、機(jī)場和其他公共場所??商娲兀前踩W(wǎng)絡(luò)環(huán)境可包括諸如以太網(wǎng)的有線LAN��,諸如藍(lán)牙的無線個人局域網(wǎng)絡(luò)��,或者諸如GSM��、CDMA�����、LTE的蜂窩網(wǎng)絡(luò)��,或者其他類型的私有或公共網(wǎng)絡(luò)��。在一個示范性實施例中�����,網(wǎng)絡(luò)130提供對用戶設(shè)備110的免費或者付費的因特網(wǎng)訪問�����,所述用戶設(shè)備110諸如個人計算機(jī)����、筆記本計算機(jī)、平板計算機(jī)�、移動電話或其他通信設(shè)備。通過網(wǎng)絡(luò)130�,用戶設(shè)備110可訪問存在于遠(yuǎn)程Web (萬維網(wǎng))服務(wù)器140上的Web資源145,其包括但不限于網(wǎng)站(Website)�、電郵、音頻����、視頻和數(shù)據(jù)文件,所述遠(yuǎn)程Web服務(wù)器140諸如連接到因特網(wǎng)的應(yīng)用程序服務(wù)器�����、電郵服務(wù)器���、數(shù)據(jù)庫服務(wù)器或其他類型的數(shù)據(jù)存儲設(shè)備�����。為了訪問Web資源145���,用戶設(shè)備110通過網(wǎng)絡(luò)130和其他中間網(wǎng)絡(luò)建立與Web服務(wù)器140的因特網(wǎng)協(xié)議連接120���,諸如TCP/IP、UDP等等�����。但是��,由于網(wǎng)絡(luò)130是非安全的�,通過網(wǎng)絡(luò)130建立的連接120 —般也是非安全的,并因此會遭受竊聽或網(wǎng)絡(luò)罪犯的其他安全攻擊���。此外���,用戶設(shè)備110可能也是不安全的,例如被瀏覽器劫持程序�����、鍵盤記錄器或其他可能進(jìn)一步危及私有信息安全的惡意軟件所感染���,所述私有信息諸如登錄名和口令,其在用戶設(shè)備110上被存儲或由終端用戶100輸入并且通過網(wǎng)絡(luò)130傳輸�����。對于用戶設(shè)備110和網(wǎng)絡(luò)130的安全存在許多其他可能威脅。為了確保在用戶設(shè)備110上所存儲或輸入的私有信息的安全�����,以及確保通過非安全網(wǎng)絡(luò)130發(fā)送到和來自用戶設(shè)備110的通信的安全��,終端用戶100可使用本發(fā)明的便攜式安全設(shè)備160����。取代使用通過網(wǎng)絡(luò)130的非安全連接120,安全設(shè)備160被設(shè)計為建立與用戶設(shè)備110的第一直接安全無線連接150a����。該連接150a可使用WAP、WAP2����、WEP2、TKIP或其他安全無線網(wǎng)絡(luò)協(xié)議��。安全設(shè)備160還建立與遠(yuǎn)程安全服務(wù)器170的第二安全連接150b�����。服務(wù)器170可包括但不限于諸如Kaspersky VPN的虛擬專用網(wǎng)(VPN)服務(wù)器。第二安全連接150b可包括通過非安全網(wǎng)絡(luò)130和其他介于中間的網(wǎng)絡(luò)的VPN隧道����。在其他實施例中,安全連接150b可使用HTTP Secure (安全HTTP��,HTTPS)或其他類型的安全標(biāo)準(zhǔn)或?qū)S械木W(wǎng)絡(luò)協(xié)議���。 在一個示范性實施例中����,安全服務(wù)器170具有因特網(wǎng)訪問網(wǎng)關(guān)的功能�����,其通過第一安全連接150a和第二安全連接150b提供對用戶設(shè)備110的因特網(wǎng)訪問���。例如���,用戶設(shè)備110可通過第一安全連接150a發(fā)送Web資源請求到安全設(shè)備160。安全設(shè)備160通過第二安全連接150b將該請求轉(zhuǎn)發(fā)到安全服務(wù)器170�。安全服務(wù)器170識別和聯(lián)系Web服務(wù)器140來檢索所請求的Web資源145并通過第二安全連接150b和第一安全連接150a將該Web資源145返回到用戶設(shè)備110����。除了提供因特網(wǎng)訪問以外�,在一個示范性實施例中����,安全服務(wù)器170還可對發(fā)送到和來自用戶設(shè)備110的數(shù)據(jù)流量掃描病毒或其他惡意軟件的存在。因此���,使用連接150a和150b�����,安全設(shè)備160在非安全網(wǎng)絡(luò)環(huán)境130中提供對用戶設(shè)備110的安全因特網(wǎng)訪問�����。圖2描述了本發(fā)明安全設(shè)備的示范性實施例的框圖��。安全設(shè)備160可為便攜式電子設(shè)備�����,其包括諸如Intel Core 2處理器或諸如此類的CPU 205�、隨機(jī)存取存儲器(RAM)210、硬盤驅(qū)動器215�、可充電電池220、一個或多個諸如USB端口�����、Firewire���、eSATA的用于通信和/或給設(shè)備160充電的通信端口 225��、鍵盤230或其他數(shù)據(jù)輸入設(shè)備以及諸如IXD顯示器的可選顯示器235����。在一個示范性實施例中�,安全設(shè)備160可具有硬化的(hardened)操作系統(tǒng)240,諸如硬化的Lmux 操作系統(tǒng)、Unix 操作系統(tǒng)�����、Android 操作系統(tǒng)或其他具有增強的安全特征的專有操作系統(tǒng)��,所述增強的安全特征諸如安全策略����、強制訪問控制策略�����、入侵檢測系統(tǒng)和由關(guān)注安全的操作系統(tǒng)所提供的其他標(biāo)準(zhǔn)特征。盡管在本發(fā)明的不同實施例中不要求使用硬化的操作系統(tǒng)240����,但使用硬化的操作系統(tǒng)240為設(shè)備160提供了抵御入侵攻擊的增強安全保障。在一個示范性實施例中����,安全設(shè)備160還可包括一個或多個無線網(wǎng)絡(luò)模塊250a和250b,諸如W1-Fi 網(wǎng)絡(luò)接口卡��、諸如GSM�、CDMA或LTE的蜂窩網(wǎng)絡(luò)卡、藍(lán)牙卡��、以太網(wǎng)卡或其他類型的有線或無線網(wǎng)絡(luò)適配器�����。例如�����,設(shè)備160可使用諸如W1-Fi 網(wǎng)絡(luò)適配器的網(wǎng)絡(luò)模塊250a來建立與用戶設(shè)備110的相應(yīng)無線網(wǎng)絡(luò)適配器的第一安全連接150a。在一個示范性實施例中����,安全設(shè)備160和用戶設(shè)備110可使用例如W1-Fi直連標(biāo)準(zhǔn)來建立彼此之間的直接(也稱為ad-hoc)ff1-Fi連接。在另一個實施例中�,安全設(shè)備160可經(jīng)配置以作為W1-Fi接入點進(jìn)行操作,用戶設(shè)備110使用標(biāo)準(zhǔn)IEEE 802. 11機(jī)制連接到所述安全設(shè)備160��。在一個示范性實施例中��,安全設(shè)備160可包括多個不同的操作系統(tǒng)代理(未示出)����,所述多個不同的操作系統(tǒng)代理有利于與分別采用不同的操作系統(tǒng)的多個用戶設(shè)備110的通信,所述不同的操作系統(tǒng)例如Windows操作系統(tǒng)�、Unix操作系統(tǒng)、Mac操作系統(tǒng)���、Android操作系統(tǒng)��、Symbian操作系統(tǒng)和其他類型的操作系統(tǒng)���。在建立與新的用戶設(shè)備110的第一安全連接150a期間,安全設(shè)備160可確定運行在用戶設(shè)備110上的操作系統(tǒng)并激活相應(yīng)的操作系統(tǒng)代理用于與該用戶設(shè)備110的操作系統(tǒng)通信�。該操作系統(tǒng)代理可執(zhí)行以下功能驗證用戶設(shè)備110和安全設(shè)備160���、建立連接150a并通過此連接傳輸視頻信號、收集網(wǎng)絡(luò)安全信息以及評定用戶設(shè)備110和網(wǎng)絡(luò)130的安全風(fēng)險���。在另一個示范性實施例中��,取代在安全設(shè)備160上使用操作系統(tǒng)代理或除在安全設(shè)備160上使用操作系統(tǒng)代理以外,終端用戶100可在用戶設(shè)備110上安裝安全設(shè)備160的安全代理(未示出)�。安全代理有利于建立安全連接150a以及有利于發(fā)送到和來自安全設(shè)備160的數(shù)據(jù)傳輸。在一個示范性實施例中���,安全代理可實現(xiàn)基于約束條件和基于屬性的安全系統(tǒng)用于控制用戶設(shè)備110的軟件組件的交互��,例如����,如在共同所有的專利號為7�,386,885和7�����,730�����,535的美國專利中所披露的,其全部內(nèi)容通過援引加入而并入本申請中����。
在一個不范性實施例中,安全設(shè)備160可使用另一個網(wǎng)絡(luò)模塊250b來通過網(wǎng)絡(luò)130建立與安全服務(wù)器170的第二安全連接150b��。在另一個實施例中�����,安全設(shè)備160可使用同一個網(wǎng)絡(luò)模塊250a來建立第二安全連接150b����。不管對于哪種情況,根據(jù)一個示范性實施例����,安全設(shè)備160均可經(jīng)配置以從可用的無線網(wǎng)絡(luò)130搜索無線電信號以便連接到網(wǎng)絡(luò)130。在另一個示范性實施例中����,安全設(shè)備160可經(jīng)配置以從用戶設(shè)備110獲得由設(shè)備110用來連接到因特網(wǎng)的最后的已知的網(wǎng)絡(luò)配置設(shè)置,其有可能是非安全連接120的配置�����。具體而言,安全設(shè)備160可通過第一安全連接150a向部署在用戶設(shè)備110上的安全代理發(fā)送從用戶設(shè)備110獲得網(wǎng)絡(luò)配置設(shè)置并將其發(fā)送給安全設(shè)備160的請求����。使用該網(wǎng)絡(luò)配置設(shè)置,安全設(shè)備160可連接到網(wǎng)絡(luò)130并建立與安全服務(wù)器170的第二安全連接150b�。如上面所指出的,第二安全連接150b可以是VPN隧道���。已經(jīng)建立安全連接150a和150b之后�����,終端用戶100可使用用戶設(shè)備110的因特網(wǎng)瀏覽器應(yīng)用程序或電郵應(yīng)用程序(未示出)通過具有用于用戶設(shè)備110的因特網(wǎng)訪問網(wǎng)關(guān)的功能的安全設(shè)備160和安全服務(wù)器170來訪問諸如Web頁面或電郵賬戶的Web資源145。以此方式���,安全設(shè)備160保護(hù)通過公共網(wǎng)絡(luò)130發(fā)送到和來自用戶設(shè)備110的通信免遭竊聽和其他網(wǎng)絡(luò)安全攻擊��。但是����,用戶設(shè)備110及其內(nèi)部的應(yīng)用程序可能已經(jīng)被諸如瀏覽器劫持或鍵盤記錄器的惡意軟件所感染�����,并因此,由終端用戶100鍵入用戶設(shè)備110或保存在用戶設(shè)備110的存儲器中的諸如用戶名�、口令和其他私有信息的個人用戶數(shù)據(jù)會遭到竊取。為了阻止對個人信息的竊取�����,安全設(shè)備160可包括其自己的諸如例如Firefox 或Google Chrome 的因特網(wǎng)瀏覽器應(yīng)用程序的安全軟件應(yīng)用程序245����,諸如Microsoft Outlook 的電郵應(yīng)用程序,以及諸如Kaspersky 因特網(wǎng)安全或Kaspersky
反病毒程序的反病毒應(yīng)用程序����;根據(jù)一個示范性實施例,這些應(yīng)用程序可取代用戶設(shè)備110的不安全瀏覽器和電郵應(yīng)用程序來訪問Web資源145��。應(yīng)用程序245可在安全連接150a和150b建立時被自動激活�����??商娲兀璧膽?yīng)用程序245可由終端用戶100通過顯示在內(nèi)置顯示器235上的應(yīng)用程序選擇菜單使用鍵盤230來激活。在一個示范性實施例中�����,可以在安全設(shè)備160的內(nèi)置顯示器235上顯示所激活應(yīng)用程序245的圖形用戶界面(GUI)�����。但是��,在優(yōu)選實施例中����,可將所激活應(yīng)用程序245的GUI以視頻格式,例如作為流視頻文件�,傳輸?shù)接脩粼O(shè)備110的安全代理用于在用戶設(shè)備110的內(nèi)置監(jiān)視器上顯示,其可視區(qū)的大小往往大于安全設(shè)備160的顯示器235��。以此方式�����,應(yīng)用程序245在安全設(shè)備160上運行����,但在用戶設(shè)備110上顯示。另外�,既然應(yīng)用程序245執(zhí)行在安全設(shè)備160上并且以視頻格式傳輸所有與該應(yīng)用程序相關(guān)聯(lián)的數(shù)據(jù)用于在用戶設(shè)備110上顯示,因此由應(yīng)用程序245所使用或顯示的任何個人信息均不會被位于用戶設(shè)備110上的惡意軟件所攔截和分析�。另外,在一個示范性實施例中�����,終端用戶100可使用安全設(shè)備110的內(nèi)置鍵盤230來輸入諸如用戶名和口令的驗證信息���,這對于使用諸如電郵應(yīng)用程序或者部署于用戶設(shè)備110上的類似應(yīng)用程序的應(yīng)用程序245來訪問Web資源145來說可能是必要的����。在另一個示范性實施例中���,可以由因特網(wǎng)瀏覽器應(yīng)用程序245或安全設(shè)備160上的專用口令管理應(yīng)用程序來存儲所要求的驗證信息�����。而在另一個示范性實施例中��,諸如數(shù)字證書的驗證信息可從動態(tài)口令牌(e-token)獲得��,所述動態(tài)口令牌可通過USB端口 225連接到設(shè)備160���。事實上�����,根據(jù)一個示范性實施例�,一個USB端口 225可專用于動態(tài)口令牌和其他類型的外部安全設(shè)備��,而另一個USB端口 225可用于電池充電����、通信和其他功能。在一個不范性實施例中�����,可由安全設(shè)備160通過安全服務(wù)器170向Web服務(wù)器140傳輸驗證信息以便獲得Web資源145��。同時����,在一個示范性實施例中�����,可以將相同的驗證信息以視頻格式傳輸?shù)接脩粼O(shè)備110的安全代理用于在用戶設(shè)備110的內(nèi)置監(jiān)視器上顯示。通過安全服務(wù)器170將所獲得的Web資源145傳輸?shù)秸埱筮@些資源的應(yīng)用程序245并隨后由安全設(shè)備160以圖形格式轉(zhuǎn)發(fā)給用戶設(shè)備110用于在用戶設(shè)備110的監(jiān)視器上顯示��。此夕卜�,由于應(yīng)用程序245執(zhí)行在安全設(shè)備160上并且包括驗證數(shù)據(jù)和所請求的Web資源在內(nèi)的所有與該應(yīng)用程序相關(guān)聯(lián)的數(shù)據(jù)均用于以視頻格式傳輸?shù)接脩粼O(shè)備110,因此由應(yīng)用程序245所使用或顯示的任何私有或機(jī)密信息均不會被位于用戶設(shè)備110上的惡意軟件所分析�。而在另一個示范性實施例中,除瀏覽器和電郵應(yīng)用程序以外��,安全設(shè)備160還可包括反病毒應(yīng)用程序245��,諸如Kaspersky 因特網(wǎng)安全程序或Kaspersky 反病毒程序��。反病毒應(yīng)用程序245可經(jīng)配置以自動對傳輸?shù)接脩粼O(shè)備110的Web資源145掃描病毒���、木馬���、蠕蟲和其他類型的惡意軟件。反病毒應(yīng)用程序245的另一個好處是它可由安全服務(wù)器170自動更新�����,所述安全服務(wù)器170可維持最新的可用反病毒定義數(shù)據(jù)庫��。在一個示范性實施例中���,反病毒應(yīng)用程序245可在每次安全設(shè)備160連接到安全服務(wù)器170時檢查更新���。在另一個實施例中�, 安全服務(wù)器170可使用例如推送(Push)技術(shù)將最新的可用反病毒定義推送到安全設(shè)備160����。在另一個示范性實施例中,安全設(shè)備160可具有各種安全特征�����,保護(hù)安全設(shè)備160及其中所存儲的信息免遭外部安全攻擊或未經(jīng)授權(quán)的訪問��。例如����,該設(shè)備可包括篡改檢測程序,其可為反病毒應(yīng)用程序245的組件��,可操作以檢測任何對安全設(shè)備160的RAM 210或硬盤驅(qū)動器215的未授權(quán)的嘗試訪問��。如果檢測到安全攻擊��,該程序可自動刪除存儲在硬盤驅(qū)動器215上的全部用戶個人信息����,諸如用戶驗證數(shù)據(jù)。此外�,該程序可終止與用戶設(shè)備110和安全服務(wù)器170的全部安全連接150a和150b。而且���,安全設(shè)備160可將自己臨時鎖定����,且僅當(dāng)輸入由設(shè)備制造商分配給安全設(shè)備160的合法所有者的唯一授權(quán)密碼時被解鎖��。此外���,可向安全服務(wù)器170發(fā)送安全攻擊的通知�����。而且�,萬一安全設(shè)備160丟失或被盜��,安全設(shè)備160的終端用戶100可通知安全服務(wù)器170��,并且安全服務(wù)器將向安全設(shè)備160發(fā)送信號����,所述信號將在安全設(shè)備160下一次被激活時禁用該安全設(shè)備160���。在一個示范性實施例中,安全設(shè)備160可被用來動態(tài)配置用于非安全網(wǎng)絡(luò)環(huán)境的安全設(shè)置�。例如,安全設(shè)備160基于例如網(wǎng)絡(luò)130的類型(例如���,是否是私有或公共��、有線���、無線或蜂窩網(wǎng)絡(luò)等)來自動指定不同的安全設(shè)置。此外��,安全設(shè)置可基于用戶設(shè)備110的硬件或軟件配置(例如�,操作系統(tǒng)類型、存在操作系統(tǒng)安全補丁���、存在諸如反病毒程序或防火墻的安全應(yīng)用程序和其他安全相關(guān)配置)來進(jìn)行設(shè)置��。如果安全設(shè)備160確定網(wǎng)絡(luò)130和用戶設(shè)備110是不安全的��,則安全設(shè)備可要求終端用戶100使用安全設(shè)備的內(nèi)置因特網(wǎng)瀏覽器245來取代安裝在 用戶設(shè)備110上的瀏覽器����,并且要求來自安全設(shè)備的經(jīng)保護(hù)鍵盤230的輸入來取代用戶設(shè)備HO的本地數(shù)據(jù)輸入設(shè)備。在其他實施例中���,如果用戶想要把用戶安全設(shè)備160僅僅作為從用戶設(shè)備110到安全服務(wù)器170的安全連接載體,則安全設(shè)備160可經(jīng)配置以不激活視頻通道和應(yīng)用程序245����。而在另一個示范性實施例中,可基于用戶設(shè)備操作于其中的網(wǎng)絡(luò)環(huán)境的改變(例如����,從公共網(wǎng)絡(luò)過渡到私有網(wǎng)絡(luò)),以及基于用戶設(shè)備110本身的改變(例如�����,在用戶設(shè)備上檢測到惡意軟件)����,來動態(tài)改變安全設(shè)置。一般來說�,在各種示范性實施例中,安全設(shè)備160可提供以下安全特征通過非安全的公共有線��、無線或蜂窩網(wǎng)絡(luò)130建立經(jīng)保護(hù)的連接,例如VPN��、WAP�、WAP2、WEP2和HTTPS�。口令管理能力一將口令存儲在安全設(shè)備160上而不需要在非安全用戶設(shè)備110上存儲口令�。在安全設(shè)備160上運行因特網(wǎng)應(yīng)用程序并且僅僅向用戶設(shè)備110傳送視頻輸出。通過使用具有集成數(shù)據(jù)輸入設(shè)備的安全設(shè)備160來提高用戶驗證數(shù)據(jù)的安全��,所述集成數(shù)據(jù)輸入設(shè)備諸如鍵盤�����,用于通過安全的安全設(shè)備160而不是通過非安全的用戶設(shè)備110輸入口令和其他用戶驗證數(shù)據(jù)�����。以上述方式�����,安全設(shè)備160在非安全網(wǎng)絡(luò)環(huán)境130中提供綜合的網(wǎng)絡(luò)和數(shù)據(jù)安全保障����。尤其是���,通過非安全網(wǎng)絡(luò)130的數(shù)據(jù)傳輸不會被網(wǎng)絡(luò)嗅探器或數(shù)據(jù)包分析器所分析,因為傳入和傳出用戶設(shè)備110的數(shù)據(jù)被加密并通過安全連接150a和150b傳輸�;諸如登錄名和口令的用戶個人驗證數(shù)據(jù)不會被盜,因為其由安全應(yīng)用程序245所存儲���,所述安全應(yīng)用程序245在安全設(shè)備160上由硬化的操作系統(tǒng)240所安全運行�����;并且最后,用戶的數(shù)據(jù)輸入不會被鍵盤記錄器或其他惡意軟件所攔截或分析��,因為數(shù)據(jù)是通過安全設(shè)備160的經(jīng)保護(hù)的鍵盤230輸入的��。本發(fā)明安全設(shè)備還具有其他好處�����,其將從下面對安全設(shè)備的操作方法的描述中看出�。圖3描述了使用本發(fā)明的安全設(shè)備來提供對操作在非安全網(wǎng)絡(luò)環(huán)境中的用戶設(shè)備的安全的因特網(wǎng)訪問的方法的一個示范性實施例。在步驟310由終端用戶100激活后��,安全設(shè)備160在步驟320使用其第一無線網(wǎng)絡(luò)模塊250a建立與用戶設(shè)備110的第一直接安全無線連接150a。在步驟330�����,安全設(shè)備使用第二無線網(wǎng)絡(luò)模塊250b搜索任何可用的公共無線網(wǎng)絡(luò)130�,并且如果發(fā)現(xiàn)這樣的網(wǎng)絡(luò),則使用第二無線網(wǎng)絡(luò)模塊250b連接到網(wǎng)絡(luò)130���。在步驟340��,安全設(shè)備160通過公共網(wǎng)絡(luò)130建立與安全服務(wù)器170的第二安全連接150b�����。安全服務(wù)器170經(jīng)配置以經(jīng)由安全設(shè)備160提供對用戶設(shè)備110的因特網(wǎng)訪問���。在步驟350,安全設(shè)備160通過第一安全連接150a從用戶設(shè)備160的因特網(wǎng)瀏覽器或電郵應(yīng)用程序來接收對Web資源145的請求����。在步驟360,安全設(shè)備160通過第二安全連接150b將該請求傳送給安全服務(wù)器170����。安全服務(wù)器170可操作以通過連接155從Web服務(wù)器140請求Web資源145����。安全服務(wù)器170在將接收到的Web資源145傳送給安全設(shè)備160之前,可對其進(jìn)行病毒掃描��。在步驟370從安全服務(wù)器170接收所請求的Web資源145之后�,安全設(shè)備160在步驟380將該所請求的Web資源145傳送給用戶設(shè)備110。以此方式����,安全設(shè)備160在非安全網(wǎng)絡(luò)環(huán)境130中提供對用戶設(shè)備110的安全的因特網(wǎng)訪問。圖4描述了通過本發(fā)明的安全設(shè)備來安全管理和輸入用戶驗證信息的方法的一個示范性實施例��。在步驟410由終端用戶100激活后����,安全設(shè)備160在步驟420建立與用戶設(shè)備110的第一直接安全無線連接150a��。在步驟430����,安全設(shè)備搜索任何可用的公共無線網(wǎng)絡(luò)130,并且如果發(fā)現(xiàn)這樣的網(wǎng)絡(luò)�����,則連接到網(wǎng)絡(luò)130。在步驟440�,安全設(shè)備160通過公共網(wǎng)絡(luò)130建立與安全 服務(wù)器170的第二安全連接150b。在步驟450����,終端用戶100激活用戶設(shè)備110上的因特網(wǎng)瀏覽器、電郵應(yīng)用程序或其他通信應(yīng)用程序�,其通過第一安全連接150a向安全設(shè)備160發(fā)送Web資源請求。在步驟460�,終端用戶110使用安全設(shè)備160的安全鍵盤230鍵入與所激活的應(yīng)用程序或所請求的Web資源145相關(guān)聯(lián)的用戶驗證信息,諸如用戶名和口令�。可替代地�����,安全設(shè)備160激活口令管理應(yīng)用程序245�����,其從安全設(shè)備160的永久存儲部215中檢索與所激活的應(yīng)用程序或所請求的Web資源145相關(guān)聯(lián)的用戶驗證信息��。在步驟470�,安全設(shè)備160將Web資源請求連同用戶驗證信息一起通過第二安全連接150b傳送給安全服務(wù)器170。安全服務(wù)器170使用用戶驗證信息來從Web服務(wù)器140獲得所請求的Web資源145�。在從安全服務(wù)器170接收所請求的Web資源145之后����,安全設(shè)備160在步驟480將該Web資源145傳送給用戶設(shè)備110�。圖5描述了使用本發(fā)明的安全設(shè)備來提供對操作在非安全網(wǎng)絡(luò)環(huán)境中的用戶設(shè)備的安全的因特網(wǎng)訪問的方法的另一個示范性實施例。在步驟510由終端用戶100激活后���,安全設(shè)備160在步驟520建立與用戶設(shè)備110的第一直接安全無線連接150a����。該連接150a可以是安全設(shè)備160的無線網(wǎng)絡(luò)模塊之一與用戶設(shè)備110的無線網(wǎng)絡(luò)模塊250a之間的直接無線連接���。隨后���,在一個示范性實施例中,安全設(shè)備160可以在步驟530激活用戶設(shè)備110的安全代理�,其在步驟540從用戶設(shè)備110收集最后所使用的網(wǎng)絡(luò)配置設(shè)置。該網(wǎng)絡(luò)配置設(shè)置可以被安全設(shè)備160用于在步驟550使用同一個網(wǎng)絡(luò)模塊250a或者使用其他無線或蜂窩網(wǎng)絡(luò)模塊250b連接到非安全網(wǎng)絡(luò)130�。如果在用戶設(shè)備110上沒有先前的網(wǎng)絡(luò)配置設(shè)置是可用的�,則終端用戶100可使用用戶設(shè)備110上的安全代理來手動設(shè)定網(wǎng)絡(luò),或者安全設(shè)備160可使用常規(guī)技術(shù)來搜索可用的無線或蜂窩網(wǎng)絡(luò)�����。在步驟560,安全設(shè)備160通過網(wǎng)絡(luò)130建立到安全服務(wù)器170的第二安全連接150b�。第二安全連接150b可以為VPN隧道。在一個示范性實施例中���,在步驟570��,安全設(shè)備160可以啟動安裝在安全設(shè)備160上的因特網(wǎng)瀏覽器應(yīng)用程序或者另一個因特網(wǎng)訪問應(yīng)用程序245�����。如果安全設(shè)備160具有集成的顯示器235�����,則可在該顯示器上顯示應(yīng)用程序245的⑶I�。如果安全設(shè)備160不具有顯示器��,則設(shè)備160可在步驟580通過第一安全連接150a設(shè)定與用戶設(shè)備110上的安全代理的視頻通道���,并且通過第一安全無線連接150a在視頻通道上將該應(yīng)用程序245的⑶I作為諸如MPEG2或其他流視頻格式的視頻信號傳輸給用戶設(shè)備110上的安全代理�����。安全代理可經(jīng)配置以從安全設(shè)備160接收該視頻信號并在用戶設(shè)備110的監(jiān)視器上對其加以重現(xiàn)��。在一個示范性實施例中����,在步驟590,終端用戶100可使用安全設(shè)備160的鍵盤230來在瀏覽器應(yīng)用程序245中鍵入Web資源145的URL地址����。所輸入的URL地址可以顯示在安全設(shè)備160的內(nèi)置顯示器235上,或者以視頻信號的方式傳輸給用戶設(shè)備110上的安全代理用于顯示在用戶設(shè)備110的監(jiān)視器上��。在另一個示范性實施例中��,用戶可以使用用戶設(shè)備110的鍵盤來鍵入所需的URL地址�����,在此情況下�,安全代理將所輸入的數(shù)據(jù)通過第一安全連接150a傳輸給安全設(shè)備160。安全設(shè)備160通過第二安全連接150b將對此Web資源145的請求傳輸給安全服務(wù)器170�����,所述安全服務(wù)器170訪問因特網(wǎng)以從Web服務(wù)器140獲得所請求的Web資源145�。安全設(shè)備160可在內(nèi)置顯示器235上顯示應(yīng)用程序245的界面以及所獲得的Web資源��。可替代地�����,安全設(shè)備160可將應(yīng)用程序245的界面以及所獲得的Web資源145以視頻信號的方式���,通過第一安全網(wǎng)絡(luò)連接150a使用視頻通道來傳輸以在用戶設(shè)備110的監(jiān)視器上顯示���。圖6描述了使用本發(fā)明的安全設(shè)備來動態(tài)改變網(wǎng)絡(luò)安全設(shè)置的方法的一個示范性實施例。在步驟610由終端用戶100激活后����,安全設(shè)備160在步驟620搜索或從用戶設(shè)備110獲得用于可用無線網(wǎng)絡(luò)130的配置設(shè)置。在步驟630�,安全設(shè)備160評定可用無線本地局域網(wǎng)的安全特性,例如是否是私有或公共網(wǎng)絡(luò)�����、是否是無線或蜂窩網(wǎng)絡(luò)�����、是否使用諸如WEP的安全網(wǎng)絡(luò)協(xié)議以及其他安全相關(guān)的特性����。在步驟640�,安全設(shè)備160建立與用戶設(shè)備110的第一直接安全無線連接150a���。在步驟650�����,安全設(shè)備160獲得和評定用戶設(shè)備160的硬件和軟件的安全特性���,包括但不限于操作系統(tǒng)的類型(例如,關(guān)注或者不關(guān)注安全的操作系統(tǒng))��、存在操作系統(tǒng)安全補丁�、存在例如反病毒應(yīng)用程序或防火墻的安全應(yīng)用程序及其他安全相關(guān)的配置設(shè)置?��?梢允褂貌渴鹪谟脩粼O(shè)備110上的安全代理來獲得關(guān)于用戶設(shè)備110的這一信息���。在步驟660,安`全設(shè)備160基于對網(wǎng)絡(luò)130和用戶設(shè)備110的安全特性的評定結(jié)果來為用戶設(shè)備110選擇適當(dāng)?shù)陌踩渲?����。在一個示范性實施例中,該安全設(shè)置可包括高安全�����、中安全和低安全設(shè)置����。在步驟670�����,如果網(wǎng)絡(luò)130和用戶設(shè)備110都被確定為不安全的(例如��,網(wǎng)絡(luò)130是非安全的公共網(wǎng)絡(luò)并且用戶設(shè)備110不具有打過安全補丁的操作系統(tǒng)或反病毒應(yīng)用程序)��,則安全設(shè)備160可為用戶設(shè)備110選擇高安全設(shè)置�。在此情況下,安全設(shè)備160可建立到安全服務(wù)器170的安全連接150a和150b����。安全設(shè)備160還可激活因特網(wǎng)瀏覽器或電郵應(yīng)用程序245并指令部署在用戶設(shè)備110上的安全代理停用用戶設(shè)備110上的因特網(wǎng)瀏覽器、電郵應(yīng)用程序或其他因特網(wǎng)訪問應(yīng)用程序����。安全設(shè)備160還可激活其內(nèi)置鍵盤230用于與激活的瀏覽器和電郵應(yīng)用程序一起使用����。安全設(shè)備還可以建立用于以視頻信號的方式傳輸瀏覽器或電郵相關(guān)數(shù)據(jù)的視頻通道����,以在用戶設(shè)備160的監(jiān)視器上顯示。此外�����,安全設(shè)備可激活反病毒應(yīng)用程序245�,以對發(fā)送到和來自用戶設(shè)備110的數(shù)據(jù)流量進(jìn)行病毒掃描。因此�����,高安全設(shè)置為抵御網(wǎng)絡(luò)攻擊和可能感染用戶設(shè)備110的任何惡意軟件提供了最大可能的保護(hù)�。在步驟680,如果僅是網(wǎng)絡(luò)130和用戶設(shè)備110之一被確定是安全的(例如��,網(wǎng)絡(luò)130是非安全的公共網(wǎng)絡(luò)�,但用戶設(shè)備110具有打過安全補丁的操作系統(tǒng)和/或更新的反病毒應(yīng)用程序),則安全設(shè)備160可為用戶設(shè)備110選擇中安全設(shè)置�。在此情況下����,安全設(shè)備160可通過網(wǎng)絡(luò)130建立到安全服務(wù)器170的安全連接150a和150b���。安全設(shè)備160可允許使用用戶設(shè)備HO的因特網(wǎng)瀏覽器����、電郵應(yīng)用程序或其他因特網(wǎng)訪問應(yīng)用程序來通過安全服務(wù)器170訪問因特網(wǎng)���。但是,安全設(shè)備160可要求終端用戶100使用安全設(shè)備160的內(nèi)置鍵盤230來輸入與所激活的應(yīng)用程序相關(guān)聯(lián)的任何用戶驗證數(shù)據(jù)��。安全設(shè)備160還可建立用于對發(fā)送到和來自用戶設(shè)備110的用戶驗證和其他私有數(shù)據(jù)進(jìn)行傳輸?shù)囊曨l通道���。因此��,中安全設(shè)置為用戶設(shè)備110提供了抵御網(wǎng)絡(luò)攻擊的保護(hù)以及提供了在網(wǎng)絡(luò)130上傳輸個人和機(jī)密數(shù)據(jù)的保護(hù)�。在步驟690�,如果網(wǎng)絡(luò)130和用戶設(shè)備110均被確定是安全的(例如,網(wǎng)絡(luò)130是安全的私有網(wǎng)絡(luò)并且用戶設(shè)備110具有打過安全補丁的操作系統(tǒng)和/或更新的反病毒應(yīng)用程序)����,則安全設(shè)備160可為用戶設(shè)備110選擇低安全設(shè)置�。在此情況下���,安全設(shè)備160可通過網(wǎng)絡(luò)130建立到安全服務(wù)器170的安全連接150a和150b�。安全設(shè)備160可允許使用用戶設(shè)備110的因特網(wǎng)瀏覽器��、電郵應(yīng)用程序或其他因特網(wǎng)訪問應(yīng)用程序來通過安全服務(wù)器170訪問因特網(wǎng)���。另外���,安全設(shè)備160可允許終端用戶100使用用戶設(shè)備110的鍵盤來輸入與所激活的應(yīng)用程序相關(guān)聯(lián)的任何用戶驗證數(shù)據(jù)。因此��,低安全設(shè)置提供了抵御網(wǎng)絡(luò)130上攻擊的保護(hù)�。在步驟695,安全設(shè)備160可監(jiān)視網(wǎng)絡(luò)130或用戶設(shè)備110的配置的任何改變����,并基于用戶設(shè)備操作于其中的網(wǎng)絡(luò)環(huán)境的改變(例如,從公共網(wǎng)絡(luò)過渡到私有網(wǎng)絡(luò))或用戶設(shè)備本身的任何改變(例如�,在用戶設(shè)備上或者在傳入和傳出該設(shè)備的數(shù)據(jù)中檢測到惡意軟件),來動態(tài)改變網(wǎng)絡(luò)安全設(shè)置����。檢測到此類改變之后���,安全設(shè)備160在步驟660動態(tài)選擇適當(dāng)?shù)陌踩O(shè)置。圖7描述了可用于實現(xiàn)本發(fā)明安全設(shè)備的計算機(jī)系統(tǒng)5的示范性實施例����。該系統(tǒng)5可包括網(wǎng)絡(luò)服務(wù)器、個人計算機(jī)����、筆記本、平板電腦����、智能電話或其他類型的數(shù)據(jù)處理/計算/通信設(shè)備�����。該系統(tǒng)5可以包 括通過系統(tǒng)總線10連接的一個或多個處理器15�����、存儲器20��、一個或多個硬盤驅(qū)動器30��、光驅(qū)35、串行端口 40�����、圖形卡45�����、聲卡50和網(wǎng)卡55�。系統(tǒng)總線10可以為幾種類型的總線結(jié)構(gòu)中的任何一種,包括使用各種已知總線架構(gòu)中的任何一種的存儲器總線或存儲器控制器����、外圍總線和局部總線。處理器15可以包括一個或多個InteP Core 2 Quad 2.33GHz處理器或其他類型的微處理器��。系統(tǒng)存儲器20可以包括只讀存儲器(R0M)21和隨機(jī)存取存儲器(RAM)23��。存儲器20可以實現(xiàn)為DRAM(動態(tài)RAM)����、EPR0M、EEPR0M����、閃存或其他類型的存儲器架構(gòu)���。ROM 21存儲基本輸入/輸出系統(tǒng)22(BI0S),該基本輸入/輸出系統(tǒng)22含有幫助在系統(tǒng)5的組件之間傳遞信息的基本例程���,諸如在啟動期間�。RAM 23存儲操作系統(tǒng)24 (OS)����,諸如WilldOW廣XP或其他類型操作系統(tǒng),該操作系統(tǒng)24負(fù)責(zé)在系統(tǒng)5中管理和協(xié)調(diào)進(jìn)程以及分配和共享硬件資源��。系統(tǒng)存儲器20還存儲應(yīng)用程序和程序25���,諸如因特網(wǎng)瀏覽器應(yīng)用程序、電郵客戶端應(yīng)用程序以及反病毒應(yīng)用程序��。存儲器20還存儲由程序25使用的各種運行時數(shù)據(jù)26��。系統(tǒng)5可以進(jìn)一步包括諸如SATA磁性硬盤驅(qū)動器(HDD)的硬盤驅(qū)動器30以及用于讀或?qū)懼T如⑶-ROM��、DVD-ROM或其他光學(xué)介質(zhì)的可移動光盤的光盤驅(qū)動器35���。驅(qū)動器30和35及其相關(guān)聯(lián)的計算機(jī)可讀介質(zhì)提供了對計算機(jī)可讀指令���、數(shù)據(jù)結(jié)構(gòu)�����、應(yīng)用程序以及實現(xiàn)本申請所公開的算法和方法的程序模塊/子例程的非易失性存儲���。盡管示例性的系統(tǒng)5采用磁盤和光盤,本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解��,在該系統(tǒng)的替代實施例中�����,還可以使用可存儲系統(tǒng)5可訪問數(shù)據(jù)的其他類型的計算機(jī)可讀介質(zhì)���,諸如磁帶盒��、閃存卡�、數(shù)字視頻盤���、RAM�����、ROM���、EPROM以及其他類型的存儲器�。系統(tǒng)5進(jìn)一步包括諸如通用串行總線(USB)的多個串行端口 40���,其用于連接諸如鍵盤���、鼠標(biāo)、觸控板及其他類型的數(shù)據(jù)輸入設(shè)備75��。串行端口 40還可以用來連接諸如打印機(jī)��、掃描儀及其他類型的數(shù)據(jù)輸出設(shè)備80以及諸如外部數(shù)據(jù)存儲設(shè)備等的其他外圍設(shè)備85���。系統(tǒng)5還可以包括諸如nVidia‘K: GeForcek' GT 240M或其他視頻卡的圖形卡45�,其用于與監(jiān)視器60或其他視頻再現(xiàn)設(shè)備接口�����。系統(tǒng)5還可以包括聲卡50��,其用于經(jīng)由內(nèi)部或外部揚聲器65再現(xiàn)聲音�。此外,系統(tǒng)5可以包括網(wǎng)卡55�,諸如以太網(wǎng)、WiF1�、GSM、藍(lán)牙或其他有線���、無線或蜂窩網(wǎng)絡(luò)接口����,其用于將系統(tǒng)5連接至諸如因特網(wǎng)的網(wǎng)絡(luò)70�����。在各種實施例中����,本申請所描述的算法和方法可以實現(xiàn)于硬件、軟件����、固件或者其任意組合中。如果在軟件中實現(xiàn)�,這些功能可以作為一個或者多個指令或者代碼在非暫時性計算機(jī)可讀介質(zhì)上存儲。計算機(jī)可讀介質(zhì)既包括計算機(jī)存儲介質(zhì)也包括通信介質(zhì),所述通信介質(zhì)有利于從一個地方向另一個地方傳遞計算機(jī)程序���。存儲介質(zhì)可以是能夠被計算機(jī)訪問的任何可用的介質(zhì)��。作為示例而非限制�����,這種計算機(jī)可讀介質(zhì)可包括RAM��、R0M��、EEPR0M�����、CD-ROM或其他光盤存儲����、磁盤存儲或其他磁性存儲設(shè)備����、或者任何能夠用于以指令或者數(shù)據(jù)結(jié)構(gòu)的形式承載或者存儲所需的程序代碼并且可被計算機(jī)訪問的其他介質(zhì)。另外�,任何連接都可以被稱為計算機(jī)可讀介質(zhì)。例如����,如果使用同軸電纜、光纜����、雙絞線、數(shù)字用戶線(DSL)�����、或者諸如紅外���、射頻和微波這類無線技術(shù)從網(wǎng)站����、服務(wù)器或者其他遠(yuǎn)程信源傳輸軟件��,那么均包括在介質(zhì)的定義中�����。為了清楚起見��,本申請沒有示出并描述實施例的所有常規(guī)特征。應(yīng)該理解的是�,在任何這種實際的實現(xiàn)方案的開發(fā)中,為了達(dá)到開發(fā)者的特定目標(biāo)����,必須做出大量特定于實現(xiàn)方案的決定,而且��,這些特定目標(biāo)會因?qū)崿F(xiàn)方案的不同和開發(fā)者的不同而變化����。應(yīng)該理解的是,這種開發(fā)工作可能是復(fù)雜且費時的��,但不論如何��,對于受益于本公開的本領(lǐng)域普通技術(shù)人員而目���,都將是常規(guī)的工程任務(wù)��。
而且�,可以理解的是��,本申請使用的措辭和術(shù)語用于描述而非限制的目的���,以使本說明書的術(shù)語或者措辭可由本領(lǐng)域技術(shù)人員根據(jù)本申請?zhí)岢龅慕虒?dǎo)和指導(dǎo)結(jié)合相關(guān)領(lǐng)域技術(shù)人員的知識做出解釋����。而且���,除非像這樣明確地予以闡述����,否則說明書中或者權(quán)利要求中的任何術(shù)語都并非意圖表示不常見的或者特殊的意思����。本申請公開的各種實施例包括本申請通過圖示方式提到的已知組件的現(xiàn)在和將來已知的等同物。而且���,盡管已經(jīng)示出和說明了實施例和應(yīng)用程序�,但對受益于本公開內(nèi)容的本領(lǐng)域技術(shù)人員來說顯而易見的是�����,在不脫離所公開的發(fā)明構(gòu)思的情況下�,除本申請所提到以外的其他修改例都是可能的。
權(quán)利要求
1.一種用于提供網(wǎng)絡(luò)安全的方法�,所述方法包括 建立與用戶設(shè)備的第一安全直接無線網(wǎng)絡(luò)連接�; 使用已建立的第一網(wǎng)絡(luò)連接來從所述用戶設(shè)備檢索所述用戶設(shè)備用來連接到因特網(wǎng)的第二網(wǎng)絡(luò)配置設(shè)置���; 使用接收到的網(wǎng)絡(luò)配置設(shè)置來建立到安全服務(wù)器的第二安全網(wǎng)絡(luò)連接�; 通過所述第一網(wǎng)絡(luò)連接從所述用戶設(shè)備接收指向所述因特網(wǎng)上目的地的數(shù)據(jù)傳輸����;以及 通過所述第二網(wǎng)絡(luò)連接將接收到的數(shù)據(jù)傳輸?shù)剿霭踩?wù)器,其中所述安全服務(wù)器將所述接收到的數(shù)據(jù)轉(zhuǎn)發(fā)到所述目的地���。
2.根據(jù)權(quán)利要求1所述的方法�����,其中建立第一網(wǎng)絡(luò)連接包括 激活所述用戶設(shè)備上的安全代理�����,其中所述安全代理經(jīng)配置以識別和從所述用戶設(shè)備檢索所述第二網(wǎng)絡(luò)配置設(shè)置���。
3.根據(jù)權(quán)利要求2所述的方法,其中所述第二網(wǎng)絡(luò)配置設(shè)置為所述用戶設(shè)備用來連接到所述因特網(wǎng)的最后的配置設(shè)置��。
4.根據(jù)權(quán)利要求1所述的方法���,其中所述安全服務(wù)器為虛擬專用網(wǎng)服務(wù)器��。
5.根據(jù)權(quán)利要求1所述的方法���,其中所述第一無線網(wǎng)絡(luò)為私有無線網(wǎng)絡(luò)����。
6.根據(jù)權(quán)利要求1所述的方法�,其中所述第二網(wǎng)絡(luò)為非安全公共網(wǎng)絡(luò)��。
7.根據(jù)權(quán)利要求1所述的方法�����,其中所述第二網(wǎng)絡(luò)至少部分為無線或蜂窩網(wǎng)絡(luò)�。
全文摘要
本申請公開了用于在諸如公共無線網(wǎng)絡(luò)的非安全網(wǎng)絡(luò)環(huán)境中提供對用戶設(shè)備的安全因特網(wǎng)訪問的系統(tǒng)、方法和計算機(jī)程序產(chǎn)品�����。該系統(tǒng)包括便攜式安全設(shè)備���,經(jīng)配置以建立與用戶設(shè)備的第一安全直接無線連接和通過公共無線網(wǎng)絡(luò)到安全服務(wù)器的第二安全網(wǎng)絡(luò)連接��,所述安全服務(wù)器提供因特網(wǎng)訪問�����。安全設(shè)備提供因特網(wǎng)瀏覽器和電郵應(yīng)用程序���,其可用于取代用戶設(shè)備的非安全應(yīng)用程序來通過第一和第二安全網(wǎng)絡(luò)連接訪問Web資源����。此外�����,安全設(shè)備包括安全鍵盤�����,其可取代用戶設(shè)備的非安全鍵盤而由設(shè)備用戶用來輸入用戶驗證數(shù)據(jù)用于訪問所需Web資源��。
文檔編號H04L29/06GK103051601SQ20121036262
公開日2013年4月17日 申請日期2012年9月25日 優(yōu)先權(quán)日2011年9月30日
發(fā)明者安德烈·P·多克瓦羅夫, 帕維爾·V·達(dá)金, 謝爾蓋·Y·戈洛瓦諾夫, 伊戈爾·I·索門科夫, 德米特里·A·庫拉基尼, 阿列克謝·Y·沃伊托夫斯基, 尤金·V·卡斯佩爾斯基 申請人:卡巴斯基實驗室封閉式股份公司