專利名稱:自動(dòng)控制計(jì)算機(jī)與通信網(wǎng)絡(luò)之間的訪問(wèn)的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及用于提高數(shù)據(jù)通信系統(tǒng)中安全性的裝置和方法����,具體來(lái)講��,涉及阻止來(lái)自計(jì)算機(jī)或服務(wù)器的入侵以及對(duì)通信網(wǎng)絡(luò)的不受歡迎的訪問(wèn)����。
背景技術(shù):
計(jì)算機(jī)和通信網(wǎng)絡(luò)的現(xiàn)代應(yīng)用日益需要將幾乎所有計(jì)算機(jī),包括家用或辦公用計(jì)算機(jī)始終連接到網(wǎng)絡(luò)�����、尤其是因特網(wǎng)�。“始終”聯(lián)網(wǎng)的優(yōu)點(diǎn)有許多�,例如快速訪問(wèn)因特網(wǎng)上的可用信息�、無(wú)明顯延遲地接收和發(fā)送電子郵件的能力以及通知例如傳真?zhèn)魉?�、因特網(wǎng)呼叫等其它輸入消息�。但是,大量信息流結(jié)合具有網(wǎng)絡(luò)連接的大部分計(jì)算機(jī)已經(jīng)增加了通信網(wǎng)絡(luò)和各計(jì)算機(jī)的脆弱性����。系統(tǒng)的脆弱性的實(shí)例包括各種計(jì)算機(jī)病毒的破壞性影響、“黑客”入侵公司和政府計(jì)算機(jī)系統(tǒng)���、通過(guò)監(jiān)視經(jīng)由因特網(wǎng)的匯款盜用信用卡/銀行帳戶以及對(duì)重要商業(yè)信息的越權(quán)存取���。最近出現(xiàn)的另一種對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的濫用是在不了解擁有者的情況下使用公司的服務(wù)器或某人的家庭計(jì)算機(jī)來(lái)存儲(chǔ)和分發(fā)文件。這通常是由入侵者為了他們自己不必提供存儲(chǔ)容量和/或存儲(chǔ)及分發(fā)可疑或非法字符�、例如未授權(quán)的音樂(lè)或影片副本而進(jìn)行的。一種特別危險(xiǎn)且具欺騙性的病毒是所謂的特洛伊木馬和蠕蟲(chóng)病毒��。這種病毒通常在電子郵件或取自因特網(wǎng)的文件中進(jìn)入計(jì)算機(jī)���。在計(jì)算機(jī)中�����,病毒程序可例如向因特網(wǎng)地址發(fā)送文件和/或信息��、如密碼���。然后����,入侵者可使用特洛伊木馬發(fā)送的信息來(lái)訪問(wèn)計(jì)算機(jī)����,并且由于病毒已經(jīng)為入侵者提供了所有相關(guān)信息,因此這種入侵看似對(duì)該計(jì)算機(jī)的授權(quán)存取�。
當(dāng)前入侵計(jì)算機(jī)或服務(wù)器的嘗試往往包括使用許多病毒以及使用獲取對(duì)目標(biāo)的訪問(wèn)權(quán)甚至對(duì)目標(biāo)的控制的其它方法���。這種破壞性程序包可包括一個(gè)關(guān)閉防病毒及病毒告警軟件的病毒�、一個(gè)尋找獲取對(duì)計(jì)算機(jī)的訪問(wèn)權(quán)的方法的程序以及又一個(gè)查找密碼����、用戶名和地址的程序。
目前���,許多計(jì)算機(jī)都配備了攝像頭���、話筒或其它通信裝置�,通常用于能夠通過(guò)因特網(wǎng)進(jìn)行語(yǔ)音和圖像通信�����。如果入侵者例如通過(guò)利用特洛伊木馬獲得對(duì)這種配置的計(jì)算機(jī)的控制權(quán)����,則入侵者會(huì)相當(dāng)容易地使用例如計(jì)算機(jī)話筒來(lái)竊聽(tīng)和記錄計(jì)算機(jī)所在房間內(nèi)發(fā)生的談話。這顯然可用于間諜及其它形式的犯罪活動(dòng)�。
解決當(dāng)今通信網(wǎng)絡(luò)中安全性問(wèn)題的主要方法是通過(guò)使用“防火墻”。防火墻通常結(jié)合代理服務(wù)器及過(guò)濾技術(shù)���、如狀態(tài)監(jiān)視過(guò)濾器的使用來(lái)降低不受歡迎的訪問(wèn)及病毒攻擊的可能性��。有關(guān)公用的流行安全措施的全面說(shuō)明��,參見(jiàn)例如“Datakommunikation i praktiken”第20章(Kent Mayer����,Pagina.sc 2001)����。雖然在許多方式中有效�,但防火墻需要由技術(shù)人員不斷更新及維護(hù)以便保持可接受的保護(hù)等級(jí)�。這在工時(shí)及升級(jí)設(shè)備方面既費(fèi)時(shí)又昂貴。對(duì)于較小的企業(yè)以及對(duì)于希望讓自己的家庭計(jì)算機(jī)連接到網(wǎng)絡(luò)上的人們���,防火墻的安裝���、尤其是對(duì)它們的維護(hù)可能費(fèi)用過(guò)高或者過(guò)于復(fù)雜,從而無(wú)法在經(jīng)濟(jì)上被認(rèn)為是合理的�。
另一個(gè)安全性區(qū)域在內(nèi)部網(wǎng)絡(luò)、即所謂的內(nèi)聯(lián)網(wǎng)中���。機(jī)構(gòu)的內(nèi)聯(lián)網(wǎng)可通過(guò)防火墻來(lái)防止外部攻擊����。但是�,不想讓每個(gè)人都看到的信息通常在機(jī)構(gòu)內(nèi)創(chuàng)建并在其中共享���。在內(nèi)聯(lián)網(wǎng)中����,瀏覽或復(fù)制他人的工作通常相當(dāng)容易���。
因此��,雖然防火墻及相關(guān)代理服務(wù)器和過(guò)濾技術(shù)的引入和廣泛使用已經(jīng)極大地提高了通信網(wǎng)絡(luò)中的安全性等級(jí)�����,但需要進(jìn)一步提高安全性的解決方案�����。至少小型團(tuán)體和家庭用戶沒(méi)有這種解決方案��,因?yàn)闆](méi)有安裝和維護(hù)基于防火墻的安全系統(tǒng)所需的經(jīng)濟(jì)經(jīng)濟(jì)手段或技術(shù)能力�����。
發(fā)明概述本發(fā)明的一個(gè)目的是提供用于提高連接到通信網(wǎng)絡(luò)的計(jì)算機(jī)和/或服務(wù)器的安全性的方法和裝置�����,它克服了先有技術(shù)的缺陷��。
本發(fā)明的另一個(gè)目的是降低計(jì)算機(jī)以及連接到其上的輸入/輸出裝置被用于間諜活動(dòng)的風(fēng)險(xiǎn)�����。
這些目的通過(guò)如權(quán)利要求1、3和14定義的方法��,通過(guò)如權(quán)利要求16定義的裝置��,以及通過(guò)如權(quán)利要求29定義的系統(tǒng)來(lái)實(shí)現(xiàn)���。
本發(fā)明人進(jìn)行的��、應(yīng)該視作本發(fā)明的組成部分的一個(gè)重要發(fā)現(xiàn)在于���,計(jì)算機(jī)或服務(wù)器連接到網(wǎng)絡(luò)的時(shí)段的長(zhǎng)度與它們對(duì)入侵的脆弱性極為相關(guān)。通過(guò)始終聯(lián)網(wǎng)�,計(jì)算機(jī)可能會(huì)受到黑客的連續(xù)攻擊,由于對(duì)密碼���、代碼和加密的破解往往是一個(gè)費(fèi)時(shí)的過(guò)程���,因此對(duì)目標(biāo)計(jì)算機(jī)或計(jì)算機(jī)系統(tǒng)的無(wú)限制訪問(wèn)往往是入侵者“成功”的先決條件。通過(guò)減少連接網(wǎng)絡(luò)的時(shí)段�����,入侵者獲得對(duì)計(jì)算機(jī)的訪問(wèn)權(quán)及控制權(quán)的可能性會(huì)明顯減少�。另外,查找要攻擊的實(shí)體也是費(fèi)時(shí)的過(guò)程�,以及通過(guò)不始終聯(lián)網(wǎng)、即在通信網(wǎng)絡(luò)上不會(huì)始終被“看到”�����,也降低了被定位為受關(guān)注的入侵實(shí)體的可能性����。
阻止來(lái)自外部的攻擊是不充分的。還必須阻止來(lái)自內(nèi)部的攻擊����、例如特洛伊或蠕蟲(chóng)類型的病毒進(jìn)行的攻擊。如果計(jì)算機(jī)連接到數(shù)據(jù)通信網(wǎng)絡(luò)的時(shí)間減少��,則這種類型的病毒發(fā)出信息的風(fēng)險(xiǎn)明顯減少���。如上所述����,入侵通常涉及多種方法和不同類型的病毒���。下面以特洛伊或蠕蟲(chóng)類型的病毒為例�,因?yàn)樗鼈兪潜娝苤⑶业玫匠浞钟涗浀牟《?��。這些將視作示范性的�,并且本發(fā)明的用途不限于此���。
因此����,本發(fā)明的目的是以不給用戶帶來(lái)任何明顯不便或者不妨礙計(jì)算機(jī)及其應(yīng)用程序的性能的方式��,使計(jì)算機(jī)或服務(wù)器連接到網(wǎng)絡(luò)的時(shí)間為最少����。
如果在例如計(jì)算機(jī)的典型家庭使用中,沒(méi)有采取其它任何安全性措施���,則以上所述是非常重要的��。但是���,在利用安全性裝置、如防火墻的系統(tǒng)中,減少連接到網(wǎng)絡(luò)的時(shí)間的原理也將限制黑客攻擊的可能性���,從而提高安全性。
另外����,如果計(jì)算機(jī)/服務(wù)器沒(méi)有在延長(zhǎng)的時(shí)間內(nèi)聯(lián)網(wǎng),則可有效地防止把網(wǎng)絡(luò)計(jì)算機(jī)或服務(wù)器用于存儲(chǔ)和/或分發(fā)文件的上述未經(jīng)確認(rèn)的用法����。該計(jì)算機(jī)/服務(wù)器完全不是潛在入侵者的關(guān)注目標(biāo)。
在根據(jù)本發(fā)明的方法和裝置中���,計(jì)算機(jī)與通信網(wǎng)絡(luò)之間的訪問(wèn)設(shè)置成與用戶活動(dòng)有關(guān)����。具體來(lái)講���,用戶活動(dòng)定義為計(jì)算機(jī)與至少一個(gè)輸入/輸出裝置之間的信號(hào)活動(dòng)���。
根據(jù)本發(fā)明的另一個(gè)方面,輸入/輸出裝置分類為主要輸入/輸出裝置和輔助輸入/輸出裝置�����。到輔助輸入/輸出裝置的連接設(shè)置成與用戶活動(dòng)相關(guān)。
本發(fā)明提供的一個(gè)優(yōu)點(diǎn)在于����,計(jì)算機(jī)訪問(wèn)通信網(wǎng)絡(luò)的時(shí)段明顯減少。
本發(fā)明提供的另一個(gè)優(yōu)點(diǎn)在于�,如果以前已經(jīng)嘗試過(guò)不受歡迎的網(wǎng)絡(luò)訪問(wèn),則網(wǎng)絡(luò)訪問(wèn)控制器禁止對(duì)網(wǎng)絡(luò)的訪問(wèn)�。
又一個(gè)優(yōu)點(diǎn)在于,為用戶提供關(guān)閉對(duì)通信網(wǎng)絡(luò)的訪問(wèn)的可能性�����。
另一個(gè)優(yōu)點(diǎn)在于�,輔助輸入/輸出裝置可暫時(shí)斷開(kāi)連接。
附圖簡(jiǎn)介現(xiàn)在參照附圖詳細(xì)描述本發(fā)明���,附圖中
圖1a是示意圖�,說(shuō)明根據(jù)本發(fā)明的網(wǎng)絡(luò)訪問(wèn)控制器的使用���;圖1b是框圖��,說(shuō)明根據(jù)本發(fā)明的一個(gè)實(shí)施例的網(wǎng)絡(luò)訪問(wèn)控制器���;圖2是說(shuō)明本發(fā)明一個(gè)實(shí)施例的流程圖���;圖3是說(shuō)明本發(fā)明一個(gè)實(shí)施例的流程圖;圖4是說(shuō)明本發(fā)明一個(gè)實(shí)施例的流程圖�����;圖5是說(shuō)明本發(fā)明一個(gè)實(shí)施例的流程圖��。
本發(fā)明詳細(xì)說(shuō)明在參照?qǐng)D1a所述的本發(fā)明的第一實(shí)施例中�,根據(jù)本發(fā)明的裝置(以下稱作網(wǎng)絡(luò)訪問(wèn)控制器)控制從計(jì)算機(jī)到通信網(wǎng)絡(luò)以及從通信網(wǎng)絡(luò)到計(jì)算機(jī)的訪問(wèn)�。計(jì)算機(jī)100連接到各種輸入/輸出裝置,例如鍵盤105��、鼠標(biāo)110和屏幕112���。本領(lǐng)域的技術(shù)人員理解����,可以有大量不同類型的輸入/輸出裝置�,包括攝像頭、話筒��、游戲桿、打印機(jī)����、數(shù)字化器、掃描儀和揚(yáng)聲器���,以及以上所述應(yīng)該視作許多應(yīng)用中常用的實(shí)例�。計(jì)算機(jī)100通常通過(guò)標(biāo)準(zhǔn)接口125和電纜130連接到通信網(wǎng)絡(luò)120����。根據(jù)本發(fā)明,網(wǎng)絡(luò)連接經(jīng)由網(wǎng)絡(luò)訪問(wèn)控制器135來(lái)進(jìn)行���。網(wǎng)絡(luò)訪問(wèn)控制器135還分別通過(guò)電纜140����、145和150連接到一個(gè)或多個(gè)輸入/輸出裝置如鍵盤105����、鼠標(biāo)110和屏幕112。不同單元之間的連接已通過(guò)電纜表示���。本領(lǐng)域的技術(shù)人員非常清楚�����,短距離無(wú)線電如藍(lán)牙和IR等其它類型的通信方法也可有利地用于互連這些單元���。網(wǎng)絡(luò)連接以及網(wǎng)絡(luò)類型可以是許多不同類型�����,包括局域網(wǎng)(LAN)、無(wú)線局域網(wǎng)(W-LAN)�、調(diào)制解調(diào)器或ISDN連接、異步數(shù)字用戶線或任何種類的寬帶�。
網(wǎng)絡(luò)訪問(wèn)控制器的主要功能部分是開(kāi)關(guān),它中斷計(jì)算機(jī)到通信網(wǎng)絡(luò)120的物理連接����。開(kāi)關(guān)由功能上獨(dú)立于通信網(wǎng)絡(luò)的系統(tǒng)來(lái)操作。網(wǎng)絡(luò)訪問(wèn)控制器的切換功能性確保計(jì)算機(jī)在沒(méi)有來(lái)自用戶的許可時(shí)無(wú)法進(jìn)行訪問(wèn)�����,以及在沒(méi)有來(lái)自用戶的許可時(shí)無(wú)法讓計(jì)算機(jī)訪問(wèn)通信網(wǎng)絡(luò)120���。下面將描述基本功能以及不同的實(shí)施例�����。
具有上述特征的網(wǎng)絡(luò)訪問(wèn)控制器135可通過(guò)各種方式來(lái)實(shí)現(xiàn)�,下面將參照?qǐng)D1b來(lái)描述一種示范實(shí)現(xiàn)。網(wǎng)絡(luò)訪問(wèn)控制器135包括I/O信號(hào)監(jiān)視單元160����,它為例如鍵盤105、鼠標(biāo)110�����、話筒111��、屏幕112����、揚(yáng)聲器113、攝像頭114和安全登錄裝置115等輸入/輸出裝置以及網(wǎng)絡(luò)內(nèi)連接162�����、網(wǎng)絡(luò)外連接164提供連接器161和適當(dāng)?shù)慕涌?���。I/O信號(hào)監(jiān)視單元160分析來(lái)自I/O裝置以及網(wǎng)絡(luò)連接的信號(hào)活動(dòng)���,并且連接到處理模塊165。處理模塊165通常是軟件可編程集成電路�����,并且可包括記錄功能166�����、專用安全模式(PSM)功能168和隔離功能169�。處理模塊165控制開(kāi)關(guān)175,開(kāi)關(guān)175又通過(guò)斷開(kāi)和閉合網(wǎng)絡(luò)內(nèi)連接162與網(wǎng)絡(luò)外連接164之間的電路來(lái)控制對(duì)網(wǎng)絡(luò)的訪問(wèn)���。開(kāi)關(guān)175還可由控制部件180、例如網(wǎng)絡(luò)訪問(wèn)控制器外表面上的按鈕來(lái)控制����,以便手動(dòng)接通和斷開(kāi)開(kāi)關(guān)175。在某些實(shí)施例中����,網(wǎng)絡(luò)訪問(wèn)控制器配備了用于與計(jì)算機(jī)100進(jìn)行通信的計(jì)算機(jī)接口172以及用于與其它網(wǎng)絡(luò)訪問(wèn)控制器進(jìn)行通信的通信接口173。網(wǎng)絡(luò)訪問(wèn)控制器還可配備通信模塊185�,通信模塊185能夠與不同于計(jì)算機(jī)100連接到的數(shù)據(jù)通信網(wǎng)絡(luò)的其它通信系統(tǒng)進(jìn)行通信�����。通信裝置可以是例如通過(guò)空中接口進(jìn)行數(shù)據(jù)通信的GSM單元����。網(wǎng)絡(luò)訪問(wèn)控制器還可配備顯示和指示部件�,例如LCD和LED186。
在以上說(shuō)明中�����,開(kāi)關(guān)175通常是開(kāi)關(guān)晶體管或繼電器����。本領(lǐng)域的技術(shù)人員理解,切換功能可以許多方式來(lái)實(shí)現(xiàn)�����。例如����,在一些應(yīng)用中,如果將無(wú)線電或光纖用于網(wǎng)絡(luò)連接�����,則斷開(kāi)電源至UART或收發(fā)器電路的連接在技術(shù)上更可行,而不是通過(guò)繼電器來(lái)斷開(kāi)網(wǎng)絡(luò)�����。開(kāi)關(guān)和切換功能應(yīng)視作安全關(guān)閉建立和維護(hù)計(jì)算機(jī)100與通信網(wǎng)絡(luò)120之間的通信的可能性的方式����。
用于檢測(cè)來(lái)自I/O裝置、如鼠標(biāo)的信號(hào)活動(dòng)的方法和裝置是本領(lǐng)域已知的�����,常用于屏幕保護(hù)程序�����,在例如電池供電的膝上型計(jì)算機(jī)中節(jié)省能量并延長(zhǎng)使用時(shí)間���。使用和檢測(cè)手段可參見(jiàn)例如美國(guó)專利US6000003和US5481732。在本申請(qǐng)中����,信號(hào)活動(dòng)通常檢測(cè)為例如將I/O單元連接到計(jì)算機(jī)的電纜中的物理信號(hào)���。這些信號(hào)通常很難、甚至不可能由例如試圖經(jīng)由因特網(wǎng)連接來(lái)控制計(jì)算機(jī)的“黑客”產(chǎn)生���。因此�,與依靠源自計(jì)算機(jī)中程序功能的更高層信息相比��,根據(jù)I/O單元���、尤其是例如鼠標(biāo)等“啞”I/O單元之間的物理信號(hào)來(lái)確定用戶活動(dòng)���,計(jì)算機(jī)可提供更高的安全性,因?yàn)楦邔有畔⒏菀妆蝗肭终呋虿《旧伞?br>
本領(lǐng)域的技術(shù)人員理解����,網(wǎng)絡(luò)訪問(wèn)控制器可通過(guò)許多方式來(lái)實(shí)現(xiàn)。信號(hào)檢測(cè)部分可通過(guò)模擬電路和使用數(shù)字邏輯的處理模塊來(lái)進(jìn)行����。或者����,網(wǎng)絡(luò)訪問(wèn)控制器的大部分幾乎可全部通過(guò)軟件控制電路來(lái)實(shí)現(xiàn)�,其中在信號(hào)檢測(cè)部分利用例如數(shù)字濾波器�����。
參照?qǐng)D2的流程圖描述的是根據(jù)本發(fā)明的網(wǎng)絡(luò)訪問(wèn)控制器的第一實(shí)施例的基本操作��。在以下算法中�����,“用戶活動(dòng)”定義為來(lái)自I/O單元��、對(duì)應(yīng)于使用計(jì)算機(jī)的用戶活動(dòng)的任何信號(hào)活動(dòng)�����。應(yīng)該理解���,信號(hào)活動(dòng)可以就是I/O單元與計(jì)算機(jī)之間的載波或相關(guān)電信號(hào)的存在��。信息內(nèi)容通常且最好不需加以顯示和分析。正是物理形式的信號(hào)本身才是主要關(guān)注的�����。但是,在某種應(yīng)用中��,還分析I/O單元與計(jì)算機(jī)之間的信號(hào)中的信息內(nèi)容可能是有用的�����,以及以下算法易于加以調(diào)整以適應(yīng)這種應(yīng)用�。“網(wǎng)絡(luò)相關(guān)用戶活動(dòng)”定義為從計(jì)算機(jī)輸出信號(hào)到通信網(wǎng)絡(luò)120�,以及指示用戶發(fā)起的活動(dòng)、如檢查輸入電子郵件�。“網(wǎng)絡(luò)活動(dòng)”定義為從計(jì)算機(jī)到網(wǎng)絡(luò)的信令�,它不涉及用戶活動(dòng)、即在大部分情況下不受歡迎的網(wǎng)絡(luò)活動(dòng)���。所有實(shí)施例中采用同樣的定義���。
200在第一步驟200中,網(wǎng)絡(luò)訪問(wèn)控制器處于第一監(jiān)控模式�。對(duì)通信網(wǎng)絡(luò)120的訪問(wèn)被關(guān)閉,即不能與計(jì)算機(jī)100之間進(jìn)行任何通信����。在第一監(jiān)控模式中��,網(wǎng)絡(luò)訪問(wèn)控制器將根據(jù)上述定義連續(xù)檢查用戶活動(dòng)和網(wǎng)絡(luò)相關(guān)用戶活動(dòng)���,如步驟205-210所述。
205網(wǎng)絡(luò)訪問(wèn)控制器在步驟205中檢查用戶活動(dòng)�����。如果沒(méi)有任何用戶活動(dòng)��,則返回到步驟200���。如果檢測(cè)到用戶活動(dòng)���、即往來(lái)于輸入/輸出裝置105、110和115的信號(hào)活動(dòng)����,則進(jìn)入步驟210。
210在步驟210中���,網(wǎng)絡(luò)訪問(wèn)控制器檢查網(wǎng)絡(luò)相關(guān)用戶活動(dòng)��。如果沒(méi)有檢測(cè)到任何這種活動(dòng)���,則無(wú)用戶想訪問(wèn)通信網(wǎng)絡(luò)120的指示,以及開(kāi)關(guān)175保持關(guān)閉對(duì)通信網(wǎng)絡(luò)的訪問(wèn)����。如果檢測(cè)到網(wǎng)絡(luò)相關(guān)用戶活動(dòng),則算法進(jìn)入步驟215���。
215在步驟215中��,網(wǎng)絡(luò)訪問(wèn)控制器開(kāi)啟對(duì)通信網(wǎng)絡(luò)的訪問(wèn)�,允許對(duì)例如因特網(wǎng)的訪問(wèn)�。應(yīng)該強(qiáng)調(diào)的是,網(wǎng)絡(luò)訪問(wèn)控制器要開(kāi)啟訪問(wèn)����,必需滿足兩個(gè)標(biāo)準(zhǔn)用戶活動(dòng)和網(wǎng)絡(luò)相關(guān)用戶活動(dòng)。
220在開(kāi)啟訪問(wèn)之后����,網(wǎng)絡(luò)訪問(wèn)控制在步驟220進(jìn)入第二監(jiān)控模式,其特征在于連續(xù)監(jiān)視網(wǎng)絡(luò)相關(guān)用戶活動(dòng)�。
225在步驟225中�����,網(wǎng)絡(luò)訪問(wèn)控制器檢查網(wǎng)絡(luò)相關(guān)用戶活動(dòng)��。如果檢測(cè)到指示用戶仍然頻繁地使用需要網(wǎng)絡(luò)通信的計(jì)算機(jī)應(yīng)用程序的網(wǎng)絡(luò)相關(guān)用戶活動(dòng)���,則算法返回到步驟220。如果沒(méi)有檢測(cè)到任何這種活動(dòng)��,則算法進(jìn)入步驟230�����。
230步驟230由等待一段預(yù)定時(shí)間tw組成���。等待時(shí)間的目的是不讓短期內(nèi)無(wú)信號(hào)(這通常出現(xiàn)在所有通信中)��,導(dǎo)致網(wǎng)絡(luò)訪問(wèn)的關(guān)閉���。
235在步驟235中,再次檢查網(wǎng)絡(luò)相關(guān)用戶活動(dòng)�����。如果檢測(cè)到網(wǎng)絡(luò)相關(guān)用戶活動(dòng),則表示步驟225的結(jié)果(無(wú)任何活動(dòng))是因通信的短時(shí)中斷所致�����,而不是表示需要網(wǎng)絡(luò)通信的計(jì)算機(jī)應(yīng)用程序的終止�����。在這種情況下��,網(wǎng)絡(luò)訪問(wèn)控制器將保持在第二監(jiān)控模式中�����,即轉(zhuǎn)到步驟220����。如果沒(méi)有檢測(cè)到任何網(wǎng)絡(luò)相關(guān)用戶活動(dòng)��,則算法進(jìn)入步驟240�����。
240在步驟240中���,網(wǎng)絡(luò)訪問(wèn)控制器關(guān)閉對(duì)通信網(wǎng)絡(luò)的訪問(wèn)����,不允許與通信網(wǎng)絡(luò)120的任何通信。網(wǎng)絡(luò)訪問(wèn)控制器返回到第一監(jiān)控模式�,即轉(zhuǎn)到200。
第一及第二監(jiān)控模式中所用的上述“連續(xù)監(jiān)視”不一定是嚴(yán)格的連續(xù)���。監(jiān)視通常每隔一定間隔進(jìn)行�,所述間隔經(jīng)過(guò)選擇�����,使得就計(jì)算機(jī)上運(yùn)行的所有應(yīng)用程序而言�,用戶感覺(jué)該監(jiān)視是連續(xù)進(jìn)行的。
網(wǎng)絡(luò)訪問(wèn)控制器在斷開(kāi)網(wǎng)絡(luò)連接之前等待的一段預(yù)定時(shí)間tw是通常由用戶設(shè)置的一個(gè)參數(shù)�。本發(fā)明的另一個(gè)實(shí)施例中將描述輸入時(shí)段tw以及其它用戶特定參數(shù)的一種方法。引入等待時(shí)間以及根據(jù)步驟225-235的過(guò)程的目的是不讓通常在所有通信中出現(xiàn)的沒(méi)有信令的短時(shí)段導(dǎo)致網(wǎng)絡(luò)訪問(wèn)的關(guān)閉���。本領(lǐng)域的技術(shù)人員理解�����,這可通過(guò)各種方式來(lái)實(shí)現(xiàn)�����。例如具有固定等待時(shí)間以及要求連續(xù)檢測(cè)到網(wǎng)絡(luò)相關(guān)用戶活動(dòng)若干次(可由用戶設(shè)置)�。
表示網(wǎng)絡(luò)訪問(wèn)控制器的典型使用的參數(shù)最好由制造商設(shè)置。用戶可能想在安裝時(shí)或在維護(hù)期間改變部分參數(shù)�。在本發(fā)明的一個(gè)實(shí)施例中,網(wǎng)絡(luò)訪問(wèn)控制器135配備了計(jì)算機(jī)接口172以及用于與計(jì)算機(jī)通信的部件����。這可采用計(jì)算機(jī)通常配備的通信端口和協(xié)議�,例如串行RS-232、并行端口或USB����。用戶特定參數(shù)及設(shè)置、如時(shí)段tw經(jīng)由計(jì)算機(jī)接口172并借助于在計(jì)算機(jī)上執(zhí)行且在網(wǎng)絡(luò)訪問(wèn)控制器的處理模塊165中的軟件程序���,輸入到計(jì)算機(jī)100中并傳送到網(wǎng)絡(luò)訪問(wèn)控制器��。對(duì)于維護(hù)網(wǎng)絡(luò)訪問(wèn)控制器提供的增加的安全性���,重要的是,網(wǎng)絡(luò)訪問(wèn)控制器與計(jì)算機(jī)之間的通信應(yīng)該以無(wú)法由入侵者遠(yuǎn)程控制的方式來(lái)進(jìn)行���。通信最好是不應(yīng)該經(jīng)由網(wǎng)絡(luò)連接電纜或者通過(guò)通常用于計(jì)算機(jī)網(wǎng)絡(luò)的協(xié)議來(lái)進(jìn)行�����。連接通常僅在建立過(guò)程或者在記錄信息傳遞期間在有限的時(shí)間間隔中使用����。信息某些時(shí)候在計(jì)算機(jī)與網(wǎng)絡(luò)訪問(wèn)控制器之間共享,最好是在傳遞信息之后�,立即通過(guò)例如電氣上分割這些單元的開(kāi)關(guān)安全地終止到計(jì)算機(jī)的連接?����;蛘?�,如本領(lǐng)域技術(shù)人員理解的那樣��,還可使用在網(wǎng)絡(luò)訪問(wèn)控制器中設(shè)置參數(shù)的其它方法�����,網(wǎng)絡(luò)訪問(wèn)控制器例如可配備簡(jiǎn)單的I/O裝置�。
在本發(fā)明的一個(gè)實(shí)施例中,網(wǎng)絡(luò)訪問(wèn)控制器135配備了記錄功能166,能夠檢測(cè)往來(lái)于網(wǎng)絡(luò)連接120的信號(hào)活動(dòng)����,以及存儲(chǔ)從計(jì)算機(jī)訪問(wèn)通信網(wǎng)絡(luò)的嘗試的記錄,并且還可能聯(lián)系從通信網(wǎng)絡(luò)到計(jì)算機(jī)的嘗試�����。從計(jì)算機(jī)100發(fā)起的訪問(wèn)通信網(wǎng)絡(luò)120的任何嘗試����,在其不是預(yù)期嘗試、即在第一監(jiān)控模式中沒(méi)有任何用戶活動(dòng)的情況下時(shí)����,可存儲(chǔ)在日志中���。這些嘗試可能是駐留在計(jì)算機(jī)中并試圖連接到因特網(wǎng)的特洛伊型病毒的指示���。聯(lián)系嘗試的日志可在網(wǎng)絡(luò)訪問(wèn)控制器的顯示器上呈示給用戶?����;蛘撸罩就ㄟ^(guò)通信接口172從網(wǎng)絡(luò)訪問(wèn)控制器傳送到計(jì)算機(jī)����,可能用于通過(guò)計(jì)算機(jī)100中的適當(dāng)軟件進(jìn)行進(jìn)一步的處理。網(wǎng)絡(luò)訪問(wèn)控制器同樣可用來(lái)記錄從通信網(wǎng)絡(luò)120到計(jì)算機(jī)100的接觸嘗試�����。網(wǎng)絡(luò)訪問(wèn)控制器與計(jì)算機(jī)之間的通信最好應(yīng)該是嚴(yán)格單向的�����,防止網(wǎng)絡(luò)訪問(wèn)控制器設(shè)置的任何改變��,但允許將記錄及告警信息傳遞到計(jì)算機(jī)����。
或者,如果計(jì)算機(jī)處于有效使用中���,但沒(méi)有發(fā)生任何網(wǎng)絡(luò)相關(guān)用戶活動(dòng)(第一監(jiān)控模式)��,則可由網(wǎng)絡(luò)訪問(wèn)控制器經(jīng)由通信接口172或者經(jīng)由視聽(tīng)告警信號(hào)���,向用戶警告接觸嘗試��。用戶隨后可以同意或者不同意該嘗試��。
在上述實(shí)施例中�����,網(wǎng)絡(luò)的關(guān)閉主要由網(wǎng)絡(luò)訪問(wèn)控制器135根據(jù)用戶活動(dòng)和網(wǎng)絡(luò)相關(guān)用戶活動(dòng)自動(dòng)進(jìn)行���。另外,網(wǎng)絡(luò)訪問(wèn)控制器135還可用于通過(guò)從計(jì)算機(jī)100或者從某種遙控裝置來(lái)指示斷開(kāi)���,快速斷開(kāi)與通信網(wǎng)絡(luò)120的連接��?����;蛘?��,網(wǎng)絡(luò)訪問(wèn)控制器可配備按鈕�����,當(dāng)用戶手動(dòng)按下時(shí)立即斷開(kāi)網(wǎng)絡(luò)連接。網(wǎng)絡(luò)訪問(wèn)控制器這時(shí)將處于安全模式�����、稱作“專用安全模式”(PSM)下��。通過(guò)從計(jì)算機(jī)100或者通過(guò)遙控再次按下該按鈕�����,可以重置專用安全模式����、即允許對(duì)通信網(wǎng)絡(luò)的訪問(wèn)。例如���,在網(wǎng)絡(luò)訪問(wèn)控制器進(jìn)行檢測(cè)以及發(fā)送有關(guān)指示不受歡迎的入侵的信號(hào)活動(dòng)的告警的上述情形中就使用了這種功能����。另一種用途可能在內(nèi)聯(lián)網(wǎng)���、即公司內(nèi)部通信網(wǎng)絡(luò)中���。在這種網(wǎng)絡(luò)中����,安全性往往較低��,因?yàn)閮?nèi)聯(lián)網(wǎng)的主要用途之一是以一種便利方式共享信息�����。雖然內(nèi)聯(lián)網(wǎng)的開(kāi)放性在許多情況下是需要的特征�����,但內(nèi)聯(lián)網(wǎng)的某個(gè)成員有時(shí)處理不是針對(duì)每個(gè)人的信息�。通過(guò)使用網(wǎng)絡(luò)訪問(wèn)控制器的專用安全模式,該成員可在例如對(duì)包含敏感信息的文檔進(jìn)行處理時(shí)關(guān)閉內(nèi)聯(lián)網(wǎng)訪問(wèn)����。在以不可從內(nèi)聯(lián)網(wǎng)訪問(wèn)的方式把文檔存儲(chǔ)到例如可拆卸硬盤或CD上之后,再次開(kāi)啟對(duì)內(nèi)聯(lián)網(wǎng)的訪問(wèn)��、即重置專用安全模式����。
作為對(duì)告警信號(hào)的替換或補(bǔ)充���,要求用戶的動(dòng)作��,網(wǎng)絡(luò)訪問(wèn)控制器135可在檢測(cè)到對(duì)通信網(wǎng)絡(luò)120的非預(yù)期訪問(wèn)嘗試時(shí)自動(dòng)關(guān)閉網(wǎng)絡(luò)訪問(wèn)�����。這將使網(wǎng)絡(luò)訪問(wèn)控制器進(jìn)入“隔離模式”(QM)�,從而在通過(guò)用戶的動(dòng)作、例如在網(wǎng)絡(luò)訪問(wèn)控制器上按下按鈕重置隔離模式之前不允許任何網(wǎng)絡(luò)訪問(wèn)���。
網(wǎng)絡(luò)訪問(wèn)控制器135的上述實(shí)施例可以僅通過(guò)稍微改變結(jié)合到參照?qǐng)D2所示流程圖描述的算法中���。這些改變將參照?qǐng)D3進(jìn)行描述。為該算法提供了兩個(gè)附加步驟��、即202(設(shè)置在步驟200和205之間)和220(設(shè)置在步驟222和225之間)���。
202在步驟202中����,算法分別控制專用安全模式(PSM)或隔離模式(QM)是否已由用戶激活或者已由網(wǎng)絡(luò)訪問(wèn)控制器自動(dòng)激活����。如果任一模式有效��,則網(wǎng)絡(luò)訪問(wèn)控制器保持第一監(jiān)控模式�、即不開(kāi)啟對(duì)網(wǎng)絡(luò)的訪問(wèn)����,直到用戶重置PSM或QM。
222在步驟222中��,算法分別控制專用安全模式(PSM)或隔離模式(QM)是否已由用戶激活或者已由網(wǎng)絡(luò)訪問(wèn)控制器自動(dòng)激活��。如果任一模式有效��,則網(wǎng)絡(luò)訪問(wèn)控制器立即關(guān)閉對(duì)網(wǎng)絡(luò)的訪問(wèn)��、即轉(zhuǎn)到第一監(jiān)控模式的步驟����,不開(kāi)啟對(duì)網(wǎng)絡(luò)的訪問(wèn),直到用戶重置PSM或QM�。
由網(wǎng)絡(luò)訪問(wèn)控制器自動(dòng)激活的隔離模式(QM)提供了提高的安全性以及對(duì)例如特洛伊類型的病毒進(jìn)行跟蹤并采取動(dòng)作的可能性。參照?qǐng)D2���、3和4的流程圖來(lái)描述使用QM的一種方法����。如果在步驟205中沒(méi)有檢測(cè)到任何用戶活動(dòng),則算法根據(jù)以下步驟檢查計(jì)算機(jī)是否嘗試發(fā)起網(wǎng)絡(luò)活動(dòng)400在步驟400中�,網(wǎng)絡(luò)訪問(wèn)控制器通過(guò)監(jiān)視從計(jì)算機(jī)100輸出的信號(hào)來(lái)檢查嘗試的網(wǎng)絡(luò)活動(dòng)�。如果沒(méi)有檢測(cè)到任何嘗試的網(wǎng)絡(luò)活動(dòng),則算法返回到其第一監(jiān)控模式200�。如果網(wǎng)絡(luò)訪問(wèn)控制器檢測(cè)到從計(jì)算機(jī)到網(wǎng)絡(luò)的信令嘗試,則算法進(jìn)入步驟405�����。
405在步驟405中���,激活隔離模式(QM)����。隔離模式(QM)只能由用戶進(jìn)行的動(dòng)作來(lái)重置��。
410在可選步驟410中�����,將訪問(wèn)通信網(wǎng)絡(luò)的嘗試存儲(chǔ)在日志中��,如上所述���,它可通過(guò)多種方式提供給用戶�。在步驟410(或405)之后,網(wǎng)絡(luò)訪問(wèn)控制器返回到其第一監(jiān)控模式200���。
應(yīng)該注意��,在上述例程中���,從未開(kāi)啟對(duì)網(wǎng)絡(luò)的訪問(wèn)。隔離模式(QM)確保用戶具有在重新開(kāi)啟對(duì)網(wǎng)絡(luò)的訪問(wèn)之前采取適當(dāng)動(dòng)作的可能性�,例如運(yùn)行檢測(cè)和刪除病毒或間諜軟件的程序。
或者���,QM可由來(lái)自例如攝像頭或話筒等I/O裝置的非預(yù)期信號(hào)來(lái)激活�。這種信號(hào)可能是有人試圖使用計(jì)算機(jī)進(jìn)行間諜活動(dòng)的指示�。在本實(shí)施例中,I/O裝置分為主要裝置如鼠標(biāo)��、屏幕和鍵盤以及輔助I/O裝置如話筒或攝像頭等�����。I/O裝置的分類方式通常取決于常用的應(yīng)用程序并由用戶設(shè)置。這時(shí)��,用戶活動(dòng)僅從主要I/O裝置來(lái)定義����,即步驟205包括監(jiān)視與主要I/O裝置的信號(hào)活動(dòng)。這時(shí)�����,步驟400也包括監(jiān)視來(lái)自輔助I/O裝置的信號(hào)活動(dòng)�����,以及如果檢測(cè)到來(lái)自輔助I/O裝置的網(wǎng)絡(luò)活動(dòng)和/或信號(hào)活動(dòng)���,則激活QM?��?山o出對(duì)QM模式的這種用法的一般說(shuō)明信號(hào)活動(dòng)/缺省活動(dòng)的某些預(yù)定組合應(yīng)導(dǎo)致隔離模式(QM)的激活����。
在本發(fā)明的另一個(gè)實(shí)施例中�����,通過(guò)讓網(wǎng)絡(luò)訪問(wèn)控制器不僅監(jiān)視所選I/O裝置而且還可斷開(kāi)其連接,從而進(jìn)一步提高安全性��。網(wǎng)絡(luò)訪問(wèn)控制器135還配備了連接到部分或全部I/O連接161的開(kāi)關(guān)部件���。在第一監(jiān)控模式下一段預(yù)定時(shí)間tz之后�,如果沒(méi)有任何用戶活動(dòng)�����,則網(wǎng)絡(luò)訪問(wèn)控制器斷開(kāi)預(yù)先選取的I/O裝置的連接����。最好是斷開(kāi)所有I/O裝置的連接,除安全登錄裝置之外�,例如指紋驗(yàn)證掃描儀、眼睛掃描儀��、應(yīng)答器��、智能讀卡器���、按鍵等���。在此模式�、即I/O安全模式(I/O模式)下�����,網(wǎng)絡(luò)訪問(wèn)控制器不僅用于阻止到/來(lái)自通信網(wǎng)絡(luò)的訪問(wèn)�,而且還在有人在現(xiàn)場(chǎng)嘗試經(jīng)由I/O裝置獲取對(duì)計(jì)算機(jī)的訪問(wèn)權(quán)時(shí)增加安全性。
在I/O模式中�����,獲取對(duì)計(jì)算機(jī)的訪問(wèn)權(quán)的唯一方式是經(jīng)由網(wǎng)絡(luò)訪問(wèn)控制器中指定的I/O裝置�、最好是安全登錄裝置��。在授權(quán)訪問(wèn)之后��,網(wǎng)絡(luò)訪問(wèn)控制器返回第一監(jiān)控模式�,由此允許計(jì)算機(jī)和I/O裝置之間的通信。用戶可能已在此步驟中規(guī)定��,只連接認(rèn)為是主要的I/O裝置���,而不是連接全部I/O裝置��。網(wǎng)絡(luò)訪問(wèn)控制器還可配備告警功能����,以發(fā)出視聽(tīng)告警或者經(jīng)由通信模塊185發(fā)出告警。告警功能設(shè)置成在例如從網(wǎng)絡(luò)訪問(wèn)控制器拆除任何I/O電纜(這是入侵者試圖繞過(guò)I/O模式的指示)時(shí)激活���。告警還可用來(lái)防止盜竊計(jì)算機(jī)�����、計(jì)算機(jī)配件或網(wǎng)絡(luò)訪問(wèn)控制器���。
參照?qǐng)D2、3和5的流程圖來(lái)描述使用I/O模式的方法��。如果在步驟205沒(méi)有檢測(cè)到任何用戶活動(dòng)����,則算法包括以下步驟500在步驟500中,等待預(yù)定時(shí)間tz����。
505在步驟505中,重復(fù)檢查用戶活動(dòng)�。如果出現(xiàn)用戶活動(dòng)���,則轉(zhuǎn)到步驟200,如果沒(méi)有出現(xiàn)510則在步驟510中�����,激活I(lǐng)/O模式�,即關(guān)閉到預(yù)先選取的I/O裝置的連接。最好是斷開(kāi)除安全登錄裝置之外的所有I/O裝置的連接��。
515在I/O模式期間����,網(wǎng)絡(luò)訪問(wèn)控制器監(jiān)視到所選安全登錄裝置的一個(gè)或多個(gè)連接。如果沒(méi)有檢測(cè)到任何訪問(wèn)嘗試或者無(wú)法對(duì)某個(gè)訪問(wèn)嘗試正確授權(quán)���,則算法保持I/O模式。如果檢測(cè)到處于授權(quán)訪問(wèn)中��,則算法進(jìn)入步驟520�。
520在步驟520中,去活I(lǐng)/O模式�,算法返回到第一監(jiān)控模式(200)。
本發(fā)明提供的阻止所選I/O裝置與計(jì)算機(jī)之間的通信的可能性可用來(lái)針對(duì)不同的應(yīng)用及情況定制計(jì)算機(jī)和I/O裝置���。在此實(shí)施例中�,用戶向網(wǎng)絡(luò)訪問(wèn)控制器指明某些I/O裝置將處于使用狀態(tài),然后由網(wǎng)絡(luò)訪問(wèn)控制器斷開(kāi)與其它所有I/O的連接�。在網(wǎng)絡(luò)訪問(wèn)控制器上經(jīng)由通信裝置185以遠(yuǎn)程方式激活該功能或者從計(jì)算機(jī)激活該功能。例如���,用戶可選擇讓鍵盤���、屏幕和鼠標(biāo)保持連接,但斷開(kāi)與話筒的連接����。這個(gè)功能可與上述全部模式結(jié)合使用,以及減少例如話筒和攝像頭等I/O裝置用于進(jìn)行間諜活動(dòng)的風(fēng)險(xiǎn)�����。
已經(jīng)結(jié)合單一計(jì)算機(jī)說(shuō)明了網(wǎng)絡(luò)訪問(wèn)控制器135的使用���。網(wǎng)絡(luò)訪問(wèn)控制器還可在客戶-服務(wù)器網(wǎng)絡(luò)中加以利用����。許多或所有客戶計(jì)算機(jī)可配備根據(jù)本發(fā)明的網(wǎng)絡(luò)訪問(wèn)控制器���。許多網(wǎng)絡(luò)訪問(wèn)控制器彼此進(jìn)行通信或者與中央通信單元進(jìn)行通信����,以及系統(tǒng)例如可用于在網(wǎng)絡(luò)訪問(wèn)控制器沒(méi)有檢測(cè)到任何網(wǎng)絡(luò)相關(guān)用戶活動(dòng)時(shí)關(guān)閉服務(wù)器或服務(wù)器的外部網(wǎng)絡(luò)連接。如果接收到關(guān)于病毒攻擊的告警�,則系統(tǒng)還可用于快速斷開(kāi)許多計(jì)算機(jī)與因特網(wǎng)的連接。
在本發(fā)明的另一個(gè)實(shí)施例中�,控制對(duì)網(wǎng)絡(luò)訪問(wèn)控制器135的通信的訪問(wèn)的開(kāi)關(guān)配備了用于遠(yuǎn)程控制開(kāi)關(guān)175的部件。為了使安全性保持為高等級(jí)���,遠(yuǎn)程控制部件不應(yīng)該是可通過(guò)公共數(shù)據(jù)通信網(wǎng)絡(luò)如因特網(wǎng)進(jìn)行訪問(wèn)的����。遠(yuǎn)程控制例如可通過(guò)電話系統(tǒng)��、如GSM來(lái)進(jìn)行��。如圖1b所示�����,網(wǎng)絡(luò)訪問(wèn)控制器135配備了通信模塊185���,它具有GSM電話功能����。該模塊配備了用戶號(hào)碼以及對(duì)以SMS(短消息服務(wù))MMS(多媒體消息傳遞服務(wù))或者經(jīng)由OTA(空中消息)或通過(guò)使用GSPR標(biāo)準(zhǔn)傳送的數(shù)據(jù)進(jìn)行解碼和處理的能力���。該通信裝置的使用有多種形式a)記錄功能的日志由通信裝置傳送到負(fù)責(zé)的系統(tǒng)�,b)設(shè)置網(wǎng)絡(luò)訪問(wèn)控制器的參數(shù)以安全便捷的方式傳送并輸入一個(gè)或多個(gè)網(wǎng)絡(luò)訪問(wèn)控制器����,c)在病毒告警的情況下,將消息遠(yuǎn)程發(fā)送到通信模塊��,它發(fā)起將網(wǎng)絡(luò)連接關(guān)閉�����,d)可通過(guò)一組SMS或廣播消息快速傳送關(guān)閉所有計(jì)算機(jī)網(wǎng)絡(luò)訪問(wèn)的命令�����,e)允許經(jīng)授權(quán)的外部用戶��、例如希望在家里工作并訪問(wèn)公司網(wǎng)絡(luò)的雇員對(duì)公司內(nèi)部網(wǎng)絡(luò)的安全訪問(wèn)�。
在后一種情況下,對(duì)通信網(wǎng)絡(luò)的訪問(wèn)被關(guān)閉。如果授權(quán)用戶想通過(guò)通信網(wǎng)絡(luò)訪問(wèn)服務(wù)器或計(jì)算機(jī)��,則用戶首先通過(guò)通信模塊185開(kāi)啟網(wǎng)絡(luò)連接��。這個(gè)過(guò)程可包括以下步驟a.通過(guò)普通的調(diào)用程序并使用DTMF來(lái)調(diào)用通信模塊185(GSM模塊)�,給出PIN碼以及對(duì)應(yīng)于將開(kāi)關(guān)改變?yōu)椤敖油ā钡拇a?;蛘撸蓪琍IN碼以及表示“接通”的代碼的SMS傳送到GSM模塊���,或者可使用其它任何當(dāng)前可用或者未來(lái)的用于分組數(shù)據(jù)傳輸?shù)牟考?br>
b.由網(wǎng)絡(luò)訪問(wèn)控制器135解釋表示網(wǎng)絡(luò)開(kāi)關(guān)的“接通”位置的代碼��,并將開(kāi)關(guān)切換為允許到網(wǎng)絡(luò)的連接���。
c.授權(quán)用戶這時(shí)可訪問(wèn)服務(wù)器/計(jì)算機(jī),最好是通過(guò)包括指定用戶名和密碼的典型的安全措施����。
d.在會(huì)話結(jié)束之后,與步驟a)相似�����,授權(quán)用戶可通過(guò)GSM模塊指示網(wǎng)絡(luò)訪問(wèn)控制器關(guān)閉網(wǎng)絡(luò)連接��。作為另一個(gè)備選方案或者另一個(gè)安全措施�,網(wǎng)絡(luò)訪問(wèn)控制器135可在網(wǎng)絡(luò)連接中沒(méi)有任何信號(hào)活動(dòng)的一段預(yù)定時(shí)間之后關(guān)閉網(wǎng)絡(luò)連接。
本領(lǐng)域的技術(shù)人員理解�,對(duì)于大部分現(xiàn)有及未來(lái)的電信系統(tǒng)(包括TDMA),使用根據(jù)本發(fā)明的網(wǎng)絡(luò)訪問(wèn)控制器將明顯地提高安全性�����。本發(fā)明還可有利地與已知安全方法及產(chǎn)品�����,如防病毒軟件���、防火墻和加密方法結(jié)合使用�。本發(fā)明的有用性可結(jié)合加密的使用來(lái)說(shuō)明���。當(dāng)今的高級(jí)加密技術(shù)實(shí)現(xiàn)了經(jīng)因特網(wǎng)進(jìn)行消息或文檔的可接受的安全傳遞�。但是���,在某個(gè)時(shí)間�,消息或文檔必需由接收方進(jìn)行解密�����。在解密過(guò)程中以及當(dāng)文檔處于非加密格式時(shí),用戶可激活網(wǎng)絡(luò)訪問(wèn)控制器的專用安全模式���,從而確保無(wú)法進(jìn)行對(duì)通信網(wǎng)絡(luò)的任何訪問(wèn)��。因此��,不僅消息的傳遞而且消息的組合和處理可以很高的安全性來(lái)進(jìn)行�����。
網(wǎng)絡(luò)訪問(wèn)控制器的未來(lái)用途在IP電話領(lǐng)域���。網(wǎng)絡(luò)訪問(wèn)控制器的信號(hào)檢測(cè)和告警能力可加以利用,用以通知用戶有關(guān)輸入IP電話呼叫以及開(kāi)啟接收呼叫必需的連接(包括對(duì)通信網(wǎng)絡(luò)的訪問(wèn))以及到例如話筒��、揚(yáng)聲器和攝像頭等適當(dāng)I/O裝置的連接����。
根據(jù)以上所述的本發(fā)明,顯然可以許多種方式對(duì)本發(fā)明加以變化�。這些變化不應(yīng)視為背離了本發(fā)明的精神和范圍,并且意在將所有這樣的對(duì)本領(lǐng)域技術(shù)人員顯而易見(jiàn)的修改包含在所附權(quán)利要求書(shū)的范圍之內(nèi)��。
權(quán)利要求
1.一種用于自動(dòng)控制計(jì)算機(jī)(100)和通信網(wǎng)絡(luò)(120)之間的訪問(wèn)的方法,其特征在于所述計(jì)算機(jī)與所述通信網(wǎng)絡(luò)之間的所述訪問(wèn)設(shè)置成與用戶活動(dòng)相關(guān)��。
2.如權(quán)利要求1所述的方法��,其特征在于所述用戶活動(dòng)通過(guò)監(jiān)視所述計(jì)算機(jī)與適合與所述計(jì)算機(jī)通信的至少一個(gè)輸入/輸出裝置之間的信號(hào)活動(dòng)來(lái)確定��,以及所述用戶活動(dòng)定義為檢測(cè)到所述計(jì)算機(jī)與所述輸入/輸出裝置之間的信號(hào)活動(dòng)���。
3.如權(quán)利要求2所述的方法,其特征在于用于控制計(jì)算機(jī)與通信網(wǎng)絡(luò)之間的訪問(wèn)的所述方法的特征還在于-第一監(jiān)控模式(200)��,禁止所述計(jì)算機(jī)與所述通信網(wǎng)絡(luò)之間的訪問(wèn)���;-第二監(jiān)控模式(220)��,其允許所述計(jì)算機(jī)與所述通信網(wǎng)絡(luò)之間的訪問(wèn)��;-在所述第一監(jiān)控模式中確定對(duì)所述通信網(wǎng)絡(luò)的訪問(wèn)是否是允許的����;以及如果是允許的����,則-從所述第一監(jiān)控模式變更為所述第二監(jiān)控模式��。
4.如權(quán)利要求3所述的方法��,其特征在于所述模式變更是手動(dòng)發(fā)起的���。
5.如權(quán)利要求3所述的方法,其特征在于所述確定步驟包括-監(jiān)視用戶活動(dòng)(205)��;-監(jiān)視網(wǎng)絡(luò)相關(guān)用戶活動(dòng)(210)�;以及-如果檢測(cè)到用戶活動(dòng)以及網(wǎng)絡(luò)相關(guān)用戶活動(dòng),則允許所述計(jì)算機(jī)與所述通信網(wǎng)絡(luò)之間的訪問(wèn)(215)��。
6.如權(quán)利要求5所述的方法�,其特征在于所述用戶活動(dòng)監(jiān)視包括監(jiān)視所述計(jì)算機(jī)與適合與所述計(jì)算機(jī)通信的至少一個(gè)輸入/輸出裝置之間的信號(hào)活動(dòng)。
7.如權(quán)利要求6所述的方法�����,其特征在于所述輸入/輸出裝置包括下列裝置中的至少一個(gè)鍵盤(105)���、屏幕(112)��、鼠標(biāo)(110)�����、攝像頭(114)�����、話筒(111)�、游戲桿、掃描儀�、揚(yáng)聲器(113)或安全登錄裝置(115)。
8.如權(quán)利要求6所述的方法��,其特征在于所述輸入/輸出裝置包括定義為主要輸入/輸出裝置的至少一個(gè)輸入/輸出裝置以及定義為輔助輸入/輸出裝置的至少一個(gè)輸入/輸出裝置�,以及用戶活動(dòng)定義為所述計(jì)算機(jī)與所述至少一個(gè)主要輸入/輸出裝置之間的信號(hào)活動(dòng)��。
9.如權(quán)利要求5所述的方法��,其特征在于所述對(duì)網(wǎng)絡(luò)相關(guān)用戶活動(dòng)的監(jiān)視包括監(jiān)視往來(lái)于所述通信網(wǎng)絡(luò)的信號(hào)活動(dòng)�����。
10.如權(quán)利要求5到9中任意一項(xiàng)所述的方法��,其特征在于所述方法包括要在所述第二監(jiān)控模式中進(jìn)行的其它步驟-監(jiān)視網(wǎng)絡(luò)相關(guān)用戶活動(dòng)(225)��;以及如果在一段預(yù)定時(shí)間(tw)中沒(méi)有檢測(cè)到任何網(wǎng)絡(luò)相關(guān)用戶活動(dòng)�����,則變更為所述第一監(jiān)控模式(230-235),不允許所述計(jì)算機(jī)與所述通信網(wǎng)絡(luò)之間的訪問(wèn)�。
11.如權(quán)利要求5到10中任意一項(xiàng)所述的方法,其特征在于所述方法還包括由所述用戶激活和去活的專用安全模式(PSM)����,激活PSM意味著所述計(jì)算機(jī)與所述通信網(wǎng)絡(luò)之間的訪問(wèn)是不允許的,以及去活PSM意味著所述計(jì)算機(jī)與所述通信網(wǎng)絡(luò)之間的訪問(wèn)是允許的�,所述方法包括要在所述第一監(jiān)控模式中進(jìn)行的其它步驟-確定是否激活了所述PSM(202);以及-如果檢測(cè)到用戶活動(dòng)以及網(wǎng)絡(luò)相關(guān)用戶活動(dòng)���,并且如果PSM沒(méi)有激活�����,則允許所述計(jì)算機(jī)與所述通信網(wǎng)絡(luò)之間的訪問(wèn)(215)�����,以及所述方法包括要在所述第二監(jiān)控模式中進(jìn)行的其它步驟-確定是否激活了所述PSM(222)���;以及-如果激活了PSM,則變更為所述第一監(jiān)控模式����,不允許所述計(jì)算機(jī)與所述通信網(wǎng)絡(luò)之間的訪問(wèn)����。
12.如權(quán)利要求5到11中任意一項(xiàng)所述的方法��,其特征在于所述方法還包括自動(dòng)激活的隔離模式(QM)�����,激活QM意味著所述計(jì)算機(jī)與所述通信網(wǎng)絡(luò)之間的訪問(wèn)是不允許的���,所述方法包括要在所述第一監(jiān)控模式中進(jìn)行的其它步驟-確定是否激活了所述QM(202);以及-如果檢測(cè)到用戶活動(dòng)以及網(wǎng)絡(luò)相關(guān)用戶活動(dòng)���,并且如果QM沒(méi)有激活��,則允許所述計(jì)算機(jī)與所述通信網(wǎng)絡(luò)之間的訪問(wèn)����,以及所述方法包括要在所述第二監(jiān)控模式中進(jìn)行的其它步驟-確定是否激活了所述QM(222)�;以及-如果激活了QM,則變更為所述第一監(jiān)控模式����,不允許所述計(jì)算機(jī)與所述通信網(wǎng)絡(luò)之間的訪問(wèn)�。
13.如權(quán)利要求5到10中任意一項(xiàng)所述的方法�����,其特征在于所述方法還包括自動(dòng)激活的隔離模式(PSM)����,激活QM意味著所述計(jì)算機(jī)與所述通信網(wǎng)絡(luò)之間的訪問(wèn)是不允許的和/或一種由所述用戶激活及去活的專用安全模式(PSM);激活PSM意味著所述計(jì)算機(jī)與所述通信網(wǎng)絡(luò)之間的訪問(wèn)是不允許的���,以及去活PSM意味著所述計(jì)算機(jī)與所述通信網(wǎng)絡(luò)之間的訪問(wèn)是允許的�,所述方法包括要在所述第一監(jiān)控模式中進(jìn)行的其它步驟-確定是否激活了所述PSM或所述QM中的任一模式(202)���;-監(jiān)視用戶活動(dòng)(205)���;以及-如果沒(méi)有檢測(cè)到任何用戶活動(dòng),以及如果沒(méi)有激活PSM或QM���,則監(jiān)視網(wǎng)絡(luò)活動(dòng)(400)���;以及-如果檢測(cè)到網(wǎng)絡(luò)活動(dòng)�����,則執(zhí)行以下步驟-激活所述QM(405)����;以及-記錄所述檢測(cè)到的網(wǎng)絡(luò)活動(dòng)(410)�����。
14.一種在包括計(jì)算機(jī)�、適合與所述計(jì)算機(jī)通信的至少一個(gè)第一輸入/輸出裝置和適合與所述計(jì)算機(jī)通信的至少一個(gè)第二輸入/輸出裝置的系統(tǒng)中使用的方法,所述方法的特征在于以下步驟-監(jiān)視所述計(jì)算機(jī)與至少一個(gè)第一輸入/輸出裝置之間的信號(hào)活動(dòng)����;以及-如果在一段預(yù)定時(shí)間中所述計(jì)算機(jī)與所述第一輸入/輸出裝置之間沒(méi)有出現(xiàn)任何信號(hào)活動(dòng),則禁止所述計(jì)算機(jī)與所述至少一個(gè)第二輸入/輸出裝置之間的通信����。
15.如權(quán)利要求14所述的方法��,其特征在于所述第一輸入/輸出裝置是安全登錄裝置�,以及所述監(jiān)視步驟監(jiān)視經(jīng)由所述安全登錄裝置的授權(quán)訪問(wèn)。
16.一種通信網(wǎng)絡(luò)訪問(wèn)控制器(135),用于提高連接到通信網(wǎng)絡(luò)(120)的計(jì)算機(jī)(100)的安全性����,其特征在于用于根據(jù)用戶活動(dòng)來(lái)控制所述計(jì)算機(jī)與所述通信網(wǎng)絡(luò)之間的訪問(wèn)的部件(165)。
17.如權(quán)利要求16所述的網(wǎng)絡(luò)訪問(wèn)控制器����,其特征在于所述網(wǎng)絡(luò)訪問(wèn)控制器還包括用于檢測(cè)用戶活動(dòng)的部件以及用于檢測(cè)網(wǎng)絡(luò)相關(guān)用戶活動(dòng)的部件,所述控制部件與所述對(duì)用戶活動(dòng)的檢測(cè)部件以及所述網(wǎng)絡(luò)相關(guān)用戶活動(dòng)檢測(cè)部件進(jìn)行交互���,以便控制所述計(jì)算機(jī)與所述通信網(wǎng)絡(luò)之間的所述訪問(wèn)��。
18.如權(quán)利要求17所述的網(wǎng)絡(luò)訪問(wèn)控制器����,其特征在于所述網(wǎng)絡(luò)訪問(wèn)控制器還包括連接到所述控制部件并設(shè)置成斷開(kāi)所述計(jì)算機(jī)與所述通信網(wǎng)絡(luò)的連接的開(kāi)關(guān)部件(175)�����。
19.如權(quán)利要求18所述的網(wǎng)絡(luò)訪問(wèn)控制器��,其特征在于所述網(wǎng)絡(luò)訪問(wèn)控制器還包括用于在檢測(cè)到用戶活動(dòng)之后激活所述開(kāi)關(guān)部件一段預(yù)定時(shí)間的部件��。
20.如權(quán)利要求17所述的網(wǎng)絡(luò)訪問(wèn)控制器����,其特征在于所述網(wǎng)絡(luò)訪問(wèn)控制器還包括連接到所述控制部件并設(shè)置成阻止所述計(jì)算機(jī)與所述通信網(wǎng)絡(luò)連接的功率減小部件����。
21.如權(quán)利要求20所述的網(wǎng)絡(luò)訪問(wèn)控制器��,其特征在于所述網(wǎng)絡(luò)訪問(wèn)控制器還包括用于在檢測(cè)到用戶活動(dòng)之后激活所述功率減小部件一段預(yù)定時(shí)間的部件��。
22.如權(quán)利要求17所述的網(wǎng)絡(luò)訪問(wèn)控制器���,其特征在于所述對(duì)用戶活動(dòng)的檢測(cè)部件包括用于監(jiān)視所述計(jì)算機(jī)與連接到所述計(jì)算機(jī)的至少一個(gè)輸入/輸出裝置之間的信號(hào)活動(dòng)的部件(160)�����。
23.如權(quán)利要求22所述的網(wǎng)絡(luò)訪問(wèn)控制器���,其特征在于所述輸入/輸出裝置包括下列裝置中的至少一個(gè)裝置鍵盤、屏幕�����、鼠標(biāo)�、攝像頭���、話筒��、游戲桿���、掃描儀��、揚(yáng)聲器或安全登錄裝置����。
24.如權(quán)利要求17所述的網(wǎng)絡(luò)訪問(wèn)控制器�,其特征在于所述網(wǎng)絡(luò)相關(guān)用戶活動(dòng)檢測(cè)部件包括用于監(jiān)視往來(lái)于所述通信網(wǎng)絡(luò)的信號(hào)活動(dòng)的部件(160)。
25.如權(quán)利要求17所述的網(wǎng)絡(luò)訪問(wèn)控制器��,其特征在于所述網(wǎng)絡(luò)訪問(wèn)控制器還包括用于產(chǎn)生和存儲(chǔ)從所述計(jì)算機(jī)訪問(wèn)所述通信網(wǎng)絡(luò)的嘗試的日志的部件(166)����。
26.如權(quán)利要求17所述的網(wǎng)絡(luò)訪問(wèn)控制器,其特征在于所述網(wǎng)絡(luò)訪問(wèn)控制器還包括用于產(chǎn)生和存儲(chǔ)從所述通信網(wǎng)絡(luò)訪問(wèn)所述計(jì)算機(jī)的嘗試的日志的部件(166)��。
27.如權(quán)利要求22所述的網(wǎng)絡(luò)訪問(wèn)控制器��,其特征在于所述網(wǎng)絡(luò)訪問(wèn)控制器還包括用于經(jīng)由不同于所述通信網(wǎng)絡(luò)的第二通信網(wǎng)絡(luò)進(jìn)行通信的通信模塊(185)���。
28.如權(quán)利要求27所述的網(wǎng)絡(luò)訪問(wèn)控制器���,其特征在于所述第二通信網(wǎng)絡(luò)是無(wú)線電話系統(tǒng)����。
29.一種系統(tǒng)���,包括計(jì)算機(jī)(100)�、適合與所述計(jì)算機(jī)通信的至少一個(gè)輸入/輸出裝置以及如權(quán)利要求16-28中任意一項(xiàng)所述的網(wǎng)絡(luò)訪問(wèn)控制器(135)�����,所述系統(tǒng)適合執(zhí)行如權(quán)利要求1-2所述方法的步驟��。
全文摘要
本發(fā)明涉及用于提高適合與通信網(wǎng)絡(luò)���、如因特網(wǎng)進(jìn)行通信的計(jì)算機(jī)或服務(wù)器的安全性的裝置和方法�。用于自動(dòng)控制計(jì)算機(jī)與通信網(wǎng)絡(luò)之間的訪問(wèn)的方法把訪問(wèn)設(shè)置成與用戶活動(dòng)有關(guān)����。用戶活動(dòng)是通過(guò)監(jiān)視計(jì)算機(jī)與適合與計(jì)算機(jī)通信的至少一個(gè)輸入/輸出裝置之間的信號(hào)活動(dòng)來(lái)確定的,用戶活動(dòng)定義為檢測(cè)到計(jì)算機(jī)與輸入/輸出裝置之間的信號(hào)活動(dòng)��。只有用戶活動(dòng)在預(yù)定時(shí)段內(nèi)正在出現(xiàn)或者已經(jīng)出現(xiàn)��,才允許對(duì)通信網(wǎng)絡(luò)的訪問(wèn)。
文檔編號(hào)G06F21/55GK1662865SQ03813889
公開(kāi)日2005年8月31日 申請(qǐng)日期2003年4月16日 優(yōu)先權(quán)日2002年4月22日
發(fā)明者G·拉松, P·?����?怂? J·阿佩爾格倫 申請(qǐng)人:斯內(nèi)勒公司