用于保护网络端点的系统及方法与流程
相关申请案
本申请案主张对于2014年12月11日提出申请的标题为“用于保护网络端点的系统及方法(systemsandmethodsforsecuringnetworkendpoints)”的第62/090,547号美国临时专利申请案、于2015年6月16日提出申请的标题为“用于自动装置检测、装置管理及远程协助的系统及方法(systemsandmethodsforautomaticdevicedetection,devicemanagement,andremoteassistance)”的第62/180,390号美国临时专利申请案及于2015年9月11日提出申请的标题为“用于自动网络服务接管的系统及方法(systemsandmethodsforautomaticnetworkservicetakeover)”的第62/217,310号美国临时专利申请案的申请日期的权益,所述临时专利申请案的全部内容以引用的方式并入本文中。
背景技术:
本发明涉及用于保护网络端点免受计算机安全威胁的系统及方法,且涉及用于自动装置检测及远程装置管理的系统及方法。
恶意软件(malicioussoftware,也被称作恶意软件(malware))在世界范围内影响大量计算机系统。在其许多形式(例如计算机病毒、漏洞利用及间谍软件)中,恶意软件对数百万计算机用户呈现出严重风险,使他们易于遭受数据及敏感信息损失、身份盗用及生产力损失等等。
各种各样的装置(非正式地称为物联网(iot))当前连接到通信网络及因特网。此类装置尤其包含智能电话、智能手表、tv及其它多媒体装置、游戏控制台、家用电器及各种家庭传感器,例如恒温器。随着越来越多此类装置进入网络,其变成安全威胁的目标。因此,越来越需要保护类装置免受恶意软件破坏以及保护去往及来自此类装置的通信。
另外,例如家庭及办公室等环境中的此类智能装置的增生产生装置及网络管理的增加的问题。当每一装置使用相异配置接口且需要单独连接设定时,尤其对缺乏网络管理经验的典型家庭用户来说,管理大量此类装置可变成负担。因此,开发特别强调安全的用于自动装置检测及配置的系统及方法越来越受关注。
技术实现要素:
根据一个方面,一种网络调节器包括硬件处理器及存储器,所述硬件处理器经配置以自动地从路由器接管网络服务,所述网络调节器经由本地网络连接到所述路由器,所述网络服务包括将网络地址指派给连接到所述本地网络的多个客户端系统。所述硬件处理器进一步经配置以响应于接管所述网络服务,拦截所述多个客户端系统中的客户端系统接入位于所述本地网络之外的资源的请求。所述硬件处理器进一步经配置以响应于拦截所述请求,将所述请求的指示符发射到远程安全服务器以进行分析,其中所述安全服务器经配置以确定接入所述资源是否对所述客户端系统构成计算机安全威胁。
根据另一方面,一种安全服务器包括至少一个硬件处理器及存储器,所述至少一个硬件处理器配置以:从连接到远程网络的网络调节器接收连接到所述远程网络的客户端系统接入位于所述远程网络之外的资源的请求的指示符。所述至少一个硬件处理器进一步经配置以响应于接收到所述请求的所述指示符,确定接入所述资源是否对所述客户端系统构成计算机安全威胁。所述网络调节器经配置以自动地从路由器接管网络服务,所述路由器经由所述远程网络连接到所述网络调节器,所述网络服务包括将网络地址指派给连接到所述远程网络的多个客户端系统。所述网络调节器进一步经配置以响应于接管所述网络服务,拦截所述请求,且响应于拦截所述请求,将所述请求的所述指示符发射到所述安全服务器。
根据另一方面,一种非暂时性计算机可读媒体存储在由网络调节器的至少一个硬件处理器执行时致使所述网络调节器进行以下操作的指令:自动地从路由器接管网络服务,所述网络调节器经由本地网络连接到所述路由器,所述网络服务包括将网络地址指派给连接到所述本地网络的多个客户端系统。所述指令进一步致使所述网络调节器进行以下操作:响应于接管所述网络服务,拦截所述多个客户端系统中的客户端系统接入位于所述本地网络之外的资源的请求。所述指令进一步致使所述网络调节器进行以下操作:响应于拦截所述请求,将所述请求的指示符发射到远程安全服务器以进行分析,其中所述安全服务器经配置以确定接入所述资源是否对所述客户端系统构成计算机安全威胁。
附图说明
在阅读以下详细描述后且在参考图式后,本发明的前述方面及优点将立即被更好地理解,在图式中:
图1-a展示根据本发明的一些实施例的由本地网络互连的客户端系统及保护客户端系统免受计算机安全威胁的网络调节器的示范性配置。
图1-b展示根据本发明的一些实施例的客户端系统及网络调节器的替代配置。
图2展示根据本发明的一些实施例的与网络调节器协作的一组远程服务器。
图3图解说明根据本发明的一些实施例的客户端系统的示范性硬件配置。
图4图解说明根据本发明的一些实施例的网络调节器的示范性硬件配置。
图5图解说明根据本发明的一些实施例的管理装置的示范性硬件配置。
图6展示根据本发明的一些实施例的在受保护客户端系统上执行的一组示范性软件组件。
图7展示根据本发明的一些实施例的在网络调节器上执行的一组示范性软件组件。
图8图解说明根据本发明的一些实施例的在路由器上执行的示范性软件。
图9展示根据本发明的一些实施例的在管理装置上执行的示范性软件。
图10展示根据本发明的一些实施例的由网络调节器执行的示范性步骤序列。
图11展示根据本发明的一些实施例的在网络服务接管过程期间执行的路由器、网络调节器及配置服务器之间的示范性数据交换。
图12展示根据本发明的一些实施例的在网络服务接管过程期间由网络调节器执行的示范性步骤序列。
图13展示根据本发明的一些实施例的在网络服务接管期间执行的替代数据交换。
图14展示根据本发明的一些实施例的由网络调节器与配置服务器协作执行以执行网络服务接管的示范性步骤序列。
图15展示根据本发明的一些实施例的在网络服务接管过程的另一实例期间执行的路由器、网络调节器及客户端系统之间的数据交换。
图16展示根据本发明的一些实施例的在网络服务接管过程期间由网络调节器执行的另一示范性步骤序列。
图17图解说明作为装置特定代理安装的一部分的在客户端系统、网络调节器及配置服务器之间的示范性数据交换。
图18图解说明根据本发明的一些实施例的在代理安装过程期间由网络调节器执行的示范性步骤序列。
图19-a图解说明本发明的一实施例,其中根据本发明的一些实施例在安全服务器处对网络业务的一部分进行扫描。
图19-b展示本发明的一实施例,其中根据本发明的一些实施例由网络调节器对网络业务的一部分进行扫描。
图20展示根据本发明的一些实施例的作为对虚拟专用网络(vpn)实用代理进行配置的一部分的在客户端系统、网络调节器及配置服务器之间的示范性数据交换及用于受保护客户端系统的安全连接。
图21图解说明根据本发明的一些实施例的由客户端系统执行以操作vpn代理的示范性步骤序列。
具体实施方式
在以下描述中,应理解,结构之间的所有所引用连接可为直接操作连接或通过中间结构的间接操作连接。一组元素包含一或多个元素。对元素的任何引用应理解为指代至少一个元素。多个元素包含至少两个元素。除非另有需要,否则任何所描述方法步骤不需要一定以特定所图解说明次序执行。从第二元素导出的第一元素(例如,数据)涵盖等于所述第二元素的第一元素以及通过处理所述第二元素而产生的第一元素及任选地其它数据。根据参数做出确定或决策涵盖根据所述参数及任选地根据其它数据做出确定或决策。除非另外规定,否则一些数量/数据的指示符可为数量/数据本身,或与所述数量/数据本身不同的指示符。计算机安全涵盖保护用户及设备免受对数据及/或硬件的非预期或未授权存取、免受对数据及/或硬件的非预期或未授权修改,及免受对数据及/或硬件的破坏。计算机程序是执行任务的处理器指令序列。在本发明的一些实施例中所描述的计算机程序可为独立软件实体或其它计算机程序的子实体(例如,子例程、库)。当两个装置的网络地址属于同一子网络时及/或当两个装置具有同一广播地址时,将所述两个装置称为连接到或属于同一本地网络。隧道是连接到通信网络的两个实体之间的虚拟点对点连接。计算机可读媒体涵盖非暂时性媒体(例如磁性媒体、光学媒体及半导体存储媒体(例如,硬驱动器、光盘、快闪存储器、dram))以及通信链路(例如导电缆线及光纤光学链路)。根据一些实施例,本发明尤其提供计算机系统,所述计算机系统包括经编程以执行本文中所描述的方法的硬件(例如,一或多个处理器),以及用以执行本文中所描述的方法的计算机可读媒体编码指令。
以下描述通过实例的方式且不必通过限制方式图解说明本发明的实施例:
图1-a到1-b展示根据本发明的一些实施例的示范性网络配置10a到10b,其中多个客户端系统12a到12f通过本地网络14互连且进一步连接到扩展网络16,例如因特网。客户端系统12a到12f可表示具有处理器、存储器及通信接口的任何电子装置。示范性客户端系统12a到12f包含个人计算机、膝上型计算机、平板计算机、移动电信装置(例如,智能电话)、媒体播放器、tv、游戏控制台、家用电器(例如,冰箱、恒温器、智能加热及/或照明系统)及可穿戴装置(例如,智能手表、运动及健身设备)等等。本地网络14可包括局域网(lan)。示范性本地网络14可包含家庭网络及公司网络等等。
路由器19包括实现客户端系统12a到12f之间的通信及/或客户端系统12a到12f到扩展网络16的接入的电子装置。在一些实施例中,路由器19充当本地网络14与扩展网络16之间的网关且给客户端系统12a到12f提供一组网络服务。除非另外规定,否则本文中使用术语网络服务来表示实现客户端系统12a到12f的互通信以及客户端系统12a到12f与其它实体之间的通信的服务。举例来说,此类服务可包含将网络配置参数(例如,网络地址)分配给客户端系统12a到12f及路由参加的端点之间的通信。示范性网络服务实施动态主机配置协议(dhcp)。
图1-a到1-b进一步展示连接到本地网络14的网络调节器18。在一些实施例中,网络调节器18包括经配置以为客户端系统12a到12f执行各种服务的网络器具。此类服务尤其包含计算机安全服务(例如,反恶意软件、入侵检测、反间谍软件等)、装置管理(例如,对客户端系统12a到12f的远程配置)、家长控制服务、安全通信服务(例如,虚拟专用网络–vpn)及远程技术协助(例如,装置及/或网络疑难解答)。
在根据本发明的一些实施例的典型应用中,将网络调节器18引入到已通过路由器19配置及管理的本地网络。在一些实施例中,在安装时,调节器18从路由器19接管例如dhcp等网络服务,且将自身安装于本地网络14与扩展网络16之间的网关位置中,使得客户端系统12a到12f与扩展网络16之间的业务的至少一部分穿越网络调节器18(参见图1-a)。将网络调节器18放置于网关位置可为优选的,这是因为在一些实施例中,调节器18通过将至少一些业务(例如,http请求)从客户端系统12a到12f重新引导到安全服务器而提供计算机安全服务。使调节器18位于网关位置可促成对此业务的拦截。
在例如图1-b中的实例等一些实施例中,路由器19可在安装调节器18之后继续作为本地网络14的网关操作,但在此类情形中,网络调节器18优选地定位于客户端系统12a到12f与现有网关(即,路由器19)之间,使得调节器18与客户端系统12a到12f属于同一本地网络。此位置是优选的,这是因为在一些实施例中,网络调节器18经配置以与远程服务器协作以检测每一客户端系统的类型(例如,智能电话对pc),且作为响应,将装置特定实用代理递送到客户端系统12a到12f中的一些。其中调节器18并非本地网络14的成员(例如,将调节器18放置于路由器19与扩展网络16之间)的配置可使此装置发现及代理递送更困难。
在一些实施例中,客户端系统12a到12f由用户/管理员使用在连接到扩展网络16(例如,因特网)的管理装置20上执行的软件来远程监视、管理及/或配置。示范性管理装置20包含智能电话及个人计算机系统等等。装置20可暴露图形用户接口(gui),从而允许用户远程地配置及/或管理客户端系统12a到12f的操作(举例来说,设定配置选项及/或接收关于在相应客户端系统上发生的事件的通知)。
在一些实施例中,网络调节器18可与一组远程计算机系统协作以便为客户端系统12a到12f执行各种服务。示范性远程计算机系统包含图2中所图解说明的安全服务器50及配置服务器52。服务器50及52可包括个别机器或多个互连计算机系统的群集。在一些实施例中,网络调节器18将去往及/或来自客户端系统12a到12f的业务中的一些或全部重新引导到安全服务器50。服务器50可接着执行威胁检测操作(例如,恶意软件检测、阻挡接入恶意或欺骗性网站、入侵预防等)以保护客户端系统12a到12f免受计算机安全威胁。安全服务器50可进一步连接到事件数据库55,所述事件数据库包括多个安全记录,每一安全记录包含指示安全事件的数据以及相应事件与受保护客户端系统之间的关联性的指示符。
通过安全服务器50路由去往/来自受保护客户端系统的业务的一个优点是其允许相应客户端系统离开本地网络14同时仍受益于保护。下文以全面细节描述此类配置。
在一些实施例中,配置服务器52与管理装置20协作以配置调节器18、路由器19及/或受保护客户端系统12的装置管理及/或安全设定。服务器52可通信地连接到订户数据库54及装置特征数据库56。根据本发明的一些实施例,订户数据库54可存储多个预订记录,每一预订记录指示受装置管理的一组客户端系统。在一个实施例中,每一预订记录唯一地与一相异网络调节器18相关联。在此类实施例中,使用相应网络调节器来配置及/或以其它方式受服务的所有客户端系统12(例如,图1-a中的连接到本地网络14的客户端系统12a到12f)与同一预订记录相关联。每一预订记录可包含预订周期的指示符及/或描述(举例来说)所要安全级别或对所预订的服务的选择的预订参数集合。预订可根据服务级别协定(sla)来管理。
在一些实施例中,装置特征数据库56包括指示每一客户端系统12的可配置特征及/或每一客户端系统的当前配置设定的一组记录。数据库56可进一步包括可用于确定客户端系统12的装置类型的一组综合记录。此类记录可包含对应于来自各种制造商、使用各种操作系统(例如,
图3到4到5分别展示客户端系统12、网络调节器18及管理装置20的示范性硬件配置。在不失去一般性的情况下,所图解说明的配置对应于计算机系统(图3到4)及智能电话(图5)。其它系统(例如,平板计算机)的硬件配置可不同于图3到4到5中所图解说明的硬件配置。处理器22、122及222中的每一者包括经配置以执行一组信号及/或数据的计算及/或逻辑运算的物理装置(例如,微处理器、形成于半导体衬底上的多核心集成电路)。存储器单元24、124及224可包括易失性计算机可读媒体(例如,ram),所述易失性计算机可读媒体存储在执行操作的过程中分别由处理器22、122及222存取或产生的数据/信号。
输入装置26、226可包含计算机键盘、鼠标及麦克风等等,包含允许用户将数据及/或指令引入到相应系统中的相应硬件接口及/或适配器。输出装置28、228可包含显示装置(例如监视器)及扬声器等等以及允许相应系统将数据传递到用户的硬件接口/适配器(例如图形卡)。在一些实施例中,输入及输出装置共享一个共同硬件(例如,触摸屏)。存储装置32、132及232包含实现软件指令及/或数据的非易失性存储、读取及写入的计算机可读媒体。示范性存储装置包含磁盘及光盘及快闪存储器装置以及可装卸媒体(例如cd及/或dvd磁盘及驱动器)。
网络适配器34、134分别使得客户端系统12及网络调节器18能够连接到电子通信网络(例如本地网络14)及/或其它装置/计算机系统。通信装置40(图5)使得管理装置20能够连接到扩展网络16(例如,因特网)且可包含电信硬件(电磁波发射器/接收器、天线等)。取决于装置类型及配置,管理装置20可进一步包含地理定位装置42(例如,gps接收器)及一组感测装置136(例如,运动传感器、光传感器等)。
控制器集线器30、130、230表示多个系统、外围装置及/或芯片集总线及/或实现每一相应系统的处理器与其余硬件组件之间的通信的所有其它电路。在示范性客户端系统12(图3)中,集线器30可包括存储器控制器、输入/输出(i/o)控制器及中断控制器。取决于硬件制造商,一些此类控制器可并入到单个集成电路中及/或可与处理器集成在一起。
图6展示根据本发明的一些实施例的在客户端系统12上执行的示范性软件组件。此软件可包含提供客户端系统12的硬件与在相应客户端系统上执行的一组软件应用程序之间的接口的操作系统(os)40。软件应用程序包含经配置以给相应客户端系统提供各种服务(例如安全服务、装置管理服务、家长控制服务、安全通信服务(例如,虚拟专用网络–vpn)等)的实用代理41。在一些实施例中,实用代理41经配置以存取及/或修改客户端系统12的一组配置选项(例如,网络配置参数、功率管理参数、安全参数、装置特定参数(例如在远程控制式恒温器的情形中的所要温度或在远程控制式家庭照明管理器的情形中对灯的选择)等)。在一些实施例中,在客户端系统12上安装代理41是由网络调节器18起始及/或促成,如下文更详细地展示。
图7展示根据本发明的一些实施例的在网络调节器18上执行的一组软件组件。此类组件可尤其包含装置检测模块42及dhcp模块43。在一些实施例中,模块43为本地网络14提供dhcp服务。此类服务可包含将因特网协议(ip)配置信息递送到请求接入本地网络14及/或扩展网络16的客户端。装置检测模块42可经配置以与远程配置服务器协作以检测客户端系统12的装置类型,如下文所展示。在一些实施例中,调节器18进一步执行网络中断模块44,所述网络中断模块经配置以执行如下文详细展示的网络服务接管。
图8展示根据本创新的一些实施例的在路由器19上执行的一组示范性软件组件。此类软件组件可包含操作系统140及包含dhcp服务器45的一组应用程序。服务器45可用于将网络配置参数(例如,ip地址)分配给客户端系统12a到12f以便建立本地网络14。
图9展示根据本发明的一些实施例的在管理装置20(例如,智能电话)上执行的一组示范性软件组件。此类软件组件可包含操作系统240及一组应用程序。应用程序包含经配置以使得用户能够远程地配置客户端系统12a到12f的管理应用程序46。对系统12a到12f进行配置可尤其包含对客户端特定安全设定进行配置、对客户端特定网络接入参数(例如,连接速度等)进行配置及发出维护任务(例如,软件升级、磁盘清理操作等)。管理应用程序46可将管理图形用户接口(gui)48暴露给管理装置20的用户。
图10展示根据本发明的一些实施例的由网络调节器18执行的步骤序列。举例来说,此序列可在安装网络调节器18后即刻执行或在首先将调节器18引入到本地网络14时执行。在步骤300中,调节器18自动地检测本文中表示网络服务的现有提供者的路由器19。在一些实施例中,调节器18接着从路由器19接管网络服务中的一些。此接管可包括关闭路由器19的功能性中的一些或以其它方式使其失去能力,且代替路由器19作为与本地网络14相关联的网络服务的至少一部分的提供者。在替代实施例中,服务接管可包括除由路由器19管理的那些网络服务外还提供一组替代网络服务而实际上不使所述路由器失去能力。在一些实施例中,步骤302进一步包括将网络调节器18安装于本地网络14与扩展网络16之间的网关位置,使得客户端系统12a到12f与扩展网络16之间的网络业务的至少一部分穿越调节器18。
在步骤序列304到306中,网络调节器18可自动地检测属于本地网络14的装置(即,客户端系统12a到12f),且将装置特定实用代理41分配给客户端系统12a到12f中的至少一些。另一步骤308为客户端系统12a到12f执行一组计算机安全服务。下文进一步详细地描述步骤300到308。
网络服务接管
在本发明的一些实施例中,可通过网络调节器18关断路由器19的dhcp服务或以其它方式使其失去能力。此效应可通过数个方法获得,下文例示所述方法中的一些。dhcp服务在本文中仅用作实例;下文所描述的系统及方法可适于接管其它网络服务。
在称作dhcp匮乏的一种示范性情境中,网络调节器18可使用网络中断模块44来模拟多个虚构装置且从路由器19请求每一虚构装置的网络地址。此类虚构装置的计数可经选择以便完全占据由路由器19的dhcp服务器45提供的用于租赁的可用ip地址池。以此方式,虽然服务器45继续操作,但服务器45不再能够将ip地址提供给本地网络14上的客户端系统。在一些实施例中,网络调节器18可接着使用dhcp模块43来广播其自身dhcp租赁提供,从而有效地迫使客户端系统12a到12f使用调节器18作为用于客户端系统12a到12f与扩展网络16之间的业务的至少一部分的默认dhcp服务器及网关装置。
dhcp服务接管的另一组示范性方法包括自动地检测现有dhcp服务提供者(例如,路由器19)且停用相应装置(举例来说,通过自动地重新配置其网络及/或其它功能参数)。一种此类情境涉及网络调节器18与配置服务器52以图11到12中所图解说明的方式协作。
在一些实施例中,步骤320请求重新配置路由器19且接着从用户接收准许。相应用户可为调节器18及/或本地网络14的拥有者或管理员,举例来说,如由配置服务器52维持的订户数据库54(参见图2)中所列示。举例来说,获得准许可包含将通知发送到管理装置20,此可由调节器18或配置服务器52完成。装置20的管理gui48可接着暴露输入字段,从而允许用户指示他/她是否允许重新配置路由器19的参数。步骤320可进一步包含经由管理装置20直接从用户或从存储于数据库54中的预订记录获得路由器19的登录凭证(例如,用户名、密码等)。
在步骤322中,网络调节器18例如通过分析在dhcp请求/响应交换期间从路由器19接收的数据而收集关于路由器19的装置类型指示信息。此数据可尤其包含路由器19的媒体存取控制(mac)地址及验证标头。在一些实施例中,网络调节器18可进一步尝试暴露路由器19的登录接口,且进一步从相应接口提取装置类型指示数据(举例来说,确定接口是否为html文档及确定相应接口的网络地址)。调节器18的一些实施例甚至可例如通过使用图像处理算法而提取相应接口的某些视觉特征。
接着将装置类型指示数据61发送到配置服务器52(步骤324),所述配置服务器可根据此数据及/或根据存储于装置特征数据库56(图2)中的数据而识别路由器19的装置类型(例如,制造商、型号、家族、子家族、固件版本等)。配置服务器52可接着根据从调节器18接收的装置类型指示数据而配置针对路由器19的特定装置类型定制的登录试用60,且可将登录试用数据发射到调节器18。
在一些实施例中,网络调节器18可在反复试错尝试中重复步骤326到334的循环以登入到路由器19中。步骤328到330可暴露路由器19的登录接口且将登录试用数据60及/或用户凭证发射到路由器19。将登录是否成功的指示符发送回到服务器52(步骤332);可使用成功指示符来进一步识别路由器19的装置类型。
一旦实现成功登录,在步骤336中,网络调节器18可从配置服务器52获得一组路由器配置命令63,命令63是根据路由器的所识别类型具体制定且旨在使路由器19或由路由器19提供的至少一些网络服务失去能力。示范性路由器配置命令63可指令路由器19关闭、重新起动、暴露配置接口及改变配置设定等等。另一示范性配置命令63包括经配置以暴露路由器19的配置接口的http请求。在一些实施例中,命令63可自动地填充所暴露接口的字段集合。在一些实施例中,命令63包括用于填充路由器19的配置接口的字段集合的参数值集合。
在步骤338中,网络调节器18可将配置命令63发射到路由器19。为完成从路由器19的dhcp服务接管,调节器18可采用dhcp模块43(图7)来将其自身dhcp租赁提供广播给客户端系统12a到12f。
在一些实施例中,网络调节器18可在调节器18的拥有者/管理员决定卸载调节器18时将另一组命令发射到路由器19。在一个此类实例中,调节器18可指令路由器19恢复在安装网络调节器18之前有效的设定。
图13到14图解说明根据本发明的一些实施例的由网络调节器18进行的网络服务接管的替代方法。所图解说明方法包括对上文关于图11到12所描述的方法的变化形式。替代采用网络调节器18来主动地重新配置网络设定及/或(部分地)停用路由器19,在图13到14中所图解说明的方法中,此类动作直接由配置服务器52执行,而调节器18用作代理或中继器。一些实施例使用隧道(即,点对点安全连接/通信通道)进行路由器19的远程配置。
响应于安装于本地网络14内,网络调节器18可将注册消息发射到服务器50-52,所述注册消息包含相应网络调节器、路由器19及连接到相应本地网络的客户端系统的唯一识别指示符。因此,服务器50-52可选择性地识别每一个别装置且使每一客户端系统12及路由器19与预订及/或与相应网络调节器相关联。此向配置服务器52注册的过程允许服务器52接受来自调节器18的隧道连接。
响应于获得来自用户对重新配置本地网络的准许(步骤340),网络调节器18可开通将调节器18连接到服务器52的通信隧道69。示范性隧道包括安全外壳(ssh)隧道,即,使用ssh协议的版本建立的隧道。在一些实施例中,网络调节器18采用端口转发策略来将经由隧道69接收的网络业务重新引导到路由器19上及/或经由隧道69将从路由器19接收的通信重新引导到服务器52上。此端口转发可使用联网技术领域中已知的任何方法(举例来说,使用代理、socks客户端、网络地址翻译(nat)等)而实现。
通过使用端口转发,配置服务器52的一些实施例可因此经由隧道69远程地配置路由器19。此远程配置可包含上文关于图11到12所描述的操作中的一些操作,例如确定路由器19的装置类型、将配置命令发送到路由器19等。
响应于确定了路由器19的装置类型,服务器52可将隧道请求68发送到调节器18,所述隧道请求指令网络调节器18建立隧道69(步骤346)。所述隧道可配置有端口转发,使得由服务器52发送到调节器18的通信将被转发到路由器19上。在步骤348中,服务器52可接着经由隧道69发射登录数据及/或路由器配置命令以指令路由器19停用或以其它方式重新配置路由器19的dhcp服务。
图15到16图解说明根据本发明的一些实施例的从路由器19接管网络服务的又一方法。当被引入到本地网络14时,调节器18可将地址请求70发送到当前网络服务提供者(例如,路由器19),从而请求网络地址(步骤350)。作为响应,路由器19可将地址提供72传回到调节器18。请求70及传回72可形成标准地址指派协议(举例来说,dhcp)的一部分。步骤352可进一步包括接受地址提供72且配置网络调节器18以使用相应网络地址及/或其它网络参数(例如,网关、dns服务器等)。
接下来,在步骤354中,调节器18可获得人类操作者的准许以执行网络服务接管过程(参见上文,关于图12)。响应于获得准许,在步骤356中,网络调节器18可根据先前所接收地址提供72的参数而确定目标网络地址集合。在使用dhcp的一些实施例中,提供72包括由当前网络服务提供者管理及/或可由当前网络服务提供者用于指派的地址池(例如,地址值范围)的指示符。调节器18可从相应地址池选择所述目标网络地址集合。在一些实施例中,所述目标集合包含所述池的所有地址。在其它实施例中,所述目标集合包含所述池的所有地址,惟当前指派给路由器19的地址除外。
步骤358可配置网络调节器18以使用所述目标集合的所有地址。在一些实施例中,步骤358包括创建一组虚构装置(别名),且将目标网络地址集合的子集指派给每一此虚构装置。接下来,在步骤序列360到366中,网络调节器18可利用地址冲突检测(acd)机制来逐步迫使客户端12a到12f放弃其当前所指派网络地址。同时,调节器18可使用dhcp模块36来将新网络地址集合及/或其它配置参数提供给客户端系统12a到12f,因此完成网络服务接管过程。
示范性acd机制描述于
上文所描述的acd机制由网络调节器18的一些实施例出于接管目的而利用,如图15到16中所展示。在步骤序列360到362中,调节器18可监听分别由客户端系统12及/或路由器19发布的地址可用性探测项64a到64b。响应于检测到此探测项,步骤364确定所探测地址是否匹配在步骤356中确定的目标网络地址集合的任何成员。在不匹配时,调节器18返回到监听地址可用性探测项。
当所探测地址匹配目标地址集合的成员时,在步骤366中,调节器18可将探测项回复66a到66b传回到相应探测项的发送者,所述探测项回复经配置以指示相应网络地址不可用。在一些实施例中,步骤366包括由网络调节器18创建的虚构装置(别名)发布配置有相应虚构装置的细节的探测项回复。当客户端系统12经配置以支持冲突检测时,接收到此传回探测项可确定客户端系统12停止使用相应网络地址且请求新地址。此新请求将针对目标地址集合中的所有地址失败,这是因为其将触发返回步骤360到366。通过针对每一客户端系统12a到12f重复步骤序列360到366,网络调节器18可因此逐步停用由路由器19提供的网络服务且迫使客户端系统12a到12f使用由调节器18发布的新网络地址集合。
自动装置发现及代理提供
在已将网络调节器18自身作为网关及/或本地网络14的网络服务的提供者安装的情况下,所述网络调节器可进行到将实用代理41(例如,图6)分配给连接到本地网络14的客户端系统12a到12f。图17展示根据本发明的一些实施例的客户端系统12、网络调节器18及客户端配置服务器52之间的示范性数据交换,所述交换是在装置发现及代理提供期间发生。此类交换可在安装网络调节器18后即刻发生以及在首先将新客户端系统引入到本地网络14时发生。
图18中图解说明由网络调节器18执行以递送装置特定实用代理的示范性步骤序列。在一些实施例中,调节器18可等待来自本地客户端系统的连接请求(步骤400)。示范性连接请求包括http请求。当客户端系统12尝试接入扩展网络16上的地址时,调节器18可迫使相应客户端系统安装实用代理41。在一些实施例中,调节器18可将当前网络接入请求重新引导到配置服务器52,所述配置服务器可给相应客户端系统提供代理安装程序75(图17)。在替代实施例中,调节器18可从服务器52获得代理安装程序75,且接着将安装程序75推送到相应客户端系统。
在一些实施例中,安装程序75经配置以确定客户端系统12(或管理装置20)以向用户暴露确认接口,从而请求用户同意安装代理41。安装程序75可进一步请求用户确认用户同意相应预订的条款(例如,如sla中所列示)。当用户指示同意时,安装程序75可安装且执行代理41。在一些实施例中,安装程序75及/或网络调节器18可使相应客户端系统向客户端配置服务器52注册(图18中的步骤418)。此注册可包含服务器52使相应客户端系统与附加到网络调节器18的预订记录相关联。
考虑到当前连接到通信网络及因特网的多种多样的装置,按每一客户端系统的装置类型(例如运行
替代的装置发现及/或代理提供情境可涉及以与上文关于路由器19的自动检测(图13到14)所描述的方式类似的方式开通隧道。在一个此实例中,调节器18开通连接调节器18与服务器52的通信隧道(例如,ssh隧道)。相应隧道可配置有端口转发,使得从服务器52接收的通信由网络调节器18重新引导到相应客户端系统12。服务器52可接着经由隧道将代理安装程序直接递送到客户端系统12,且可进一步指令客户端系统12安装相应代理。服务器52还可使用上文所描述的方法中的任一者来使用ssh隧道从客户端系统12获得装置类型指示信息。
可使用本文中所描述的系统及方法提供各种各样的实用代理。经配置以提供安全服务的示范性实用代理41可对客户端系统12执行安全评估(例如,本地恶意软件扫描)且可将安全评估数据发送到配置服务器52或安全服务器50。所述服务器可接着将安全指示符转发到管理装置20以显示给用户/管理员。显示给用户/管理员的示范性安全指示符可尤其包含在客户端系统12上执行的特定软件对象(例如,操作系统)是否是最新的指示符及用于保护客户端系统12的密码的强度的指示符。由安全代理执行的其它示范性动作包含为相应客户端系统更新软件及/或安全政策。在一些实施例中,代理41经配置以使用网络包检查算法过滤去往/来自客户端系统12的网络业务以确定(举例来说)客户端系统12是否遭受恶意攻击。下文详述提供计算机安全服务的实用代理的额外功能性。
经配置以提供安全通信服务的示范性实用代理41包含虚拟专用网络(vpn)代理。此类代理可在客户端系统12离开本地网络14时(举例来说,当用户带着他/她的移动电话离开家时)保护客户端系统12。此代理可与网络调节器18及/或配置服务器52协作以开通安全通信隧道及/或在相应客户端系统与安全服务器50之间建立vpn(下文有更多细节)。
经配置以提供家长控制服务的示范性实用代理41可监视客户端系统12的使用且经由管理装置20向监督者用户(例如,家长)报告使用模式。代理41可进一步阻止客户端系统12接入某些远程资源(例如,ip地址、网站等)或阻止其使用某些本地安装的应用程序(例如,游戏)。此阻挡可永久地或根据用户特定计划而强制执行。
经配置以提供远程技术协助的示范性实用代理41可自动地配置及/或开通客户端系统12与配置服务器52之间的安全通信通道(例如,ssh隧道)。在可能不具有来自客户端系统12的用户的明确参与或协助的情况下,配置及/或疑难解答命令可接着从服务器52发射到客户端系统12。
一些客户端系统(例如家用电器、可穿戴装置等)可不能够安装实用代理,如上文所指示。然而,此类装置可包含实现相应装置的远程命令的内置配置及/或装置管理代理。本发明的一些实施例可使用现有管理代理及装置特定协议及/或通信方法来将参数值更新传递到此类装置。甚至对于此类装置,正确地识别装置类型使得配置服务器52能够恰当地格式化且将配置命令传递到相应客户端系统。为促成对此类客户端系统的装置类型的确定,网络调节器18可主动地剖析从相应客户端系统接收的通信或将相应通信重新路由到配置服务器52。
在一些实施例中,网络调节器18可在成功安装实用代理41后即刻调节客户端系统12到扩展网络16的接入。如图18中的步骤416所图解说明,一些实施例可仅响应于代理安装而允许客户端系统接入扩展网络16。此类配置可改进客户端系统12及/或本地网络14的安全。
装置管理
一旦实用代理41起作用,其可用于执行各种装置管理任务,例如远程地配置相应客户端系统12a到12f。示范性配置任务尤其包含接通或关断客户端系统(例如,装备或解除家庭安全系统、开灯及关灯)、设定客户端系统的功能参数的值(例如,设定智能恒温器上的所要温度)、配置网络及/或安全特征(例如,阻挡或允许特定客户端系统接入网络14、配置防火墙参数、配置家长控制应用程序及/或特征)、为在相应客户端系统上执行的组件执行软件更新及执行关于相应客户端系统的技术协助/疑难解答任务。
在一些实施例中,用户/管理员可经由由管理装置20(例如,运行管理应用程序的智能电话)暴露的管理gui48而远程地管理客户端系统12。在网络调节器18向配置服务器52注册之后,服务器52可使调节器18及管理装置20与预订唯一地相关联。相应预订还允许使调节器18与受相应网络调节器保护的一组客户端系统12a到12f唯一地相关联。因此,管理装置20的用户可能够在配置服务器52的协助下从管理gui48选择特定客户端系统来远程地管理。实际装置管理(例如,设定参数值)可包括在管理装置20与相应客户端系统之间发射数据及/或配置命令。
在一些实施例中,将配置数据/命令发射到目标客户端系统使用上文关于配置路由器19(图13到14)及装置发现所描述的系统及方法的变化形式。响应于接收到来自管理装置20的装置管理请求,服务器52可将通知发送到网络调节器18,所述通知致使调节器18及/或目标客户端系统开通服务器52与调节器18之间及/或服务器52与目标客户端系统之间的通信隧道(例如,ssh隧道)。所述隧道可配置有如上文所描述的端口转发。此隧道可接着用于将配置命令从服务器52发射到目标客户端系统,举例来说,相应命令经制定以改变相应客户端系统的配置设定。在一些实施例中,此类配置命令由实用代理41执行。当目标客户端系统缺乏实用代理或无法安装此代理时,配置命令瞄向相应装置的本地管理软件。
在一个示范性应用中,用户可使用上文所描述的方法请求对特定目标客户端系统的技术协助/疑难解答。技术协助可接着在不具有相应用户的进一步参与的情况下自动地进行。作为疑难解答的一部分,服务器52的一些实施例可确定目标客户端系统以安装经配置以解决特定技术问题的专用实用代理。
计算机安全保护
图19-a到19-b展示其中网络调节器18与安全服务器50协作以保护客户端系统12a到12f免受计算机安全威胁(例如恶意软件、广告软件、间谍软件及网络入侵)的示范性实施例。在图19-a的实施例中,网络调节器18通过安全服务器50重新路由受保护客户端系统12与本地网络外部的计算机系统之间的数据业务(本文中由网络包80图解说明)中的一些或全部。举例来说,此重新路由可通过安装网络调节器18作为本地网络14与扩展网络16之间的网关且使用调节器18来拦截网络业务并主动地将其重新引导到服务器50而实现。在如图19-a中所图解说明的实施例中,威胁检测由安全服务器50使用此项技术中已知的任何方法(例如,通过分析网络包80以确定其是否含有恶意软件或其是否指示网络入侵)执行。
在一些实施例中,如图19-b中所图解说明,威胁检测由网络调节器18执行。举例来说,此本地检测可包括对包内容进行过滤。调节器18可通过从安全服务器50下载一组过滤参数82(例如,恶意软件指示特征符号)而使恶意软件检测算法保持最新。一些实施例可组合调节器18上的威胁检测与安全服务器50处的威胁检测。在一个此类实例中,网络调节器18可例如使用相对廉价方法对数据业务执行初步分析。调节器18可接着将可疑网络包发送到服务器50以进行进一步分析。
通过安全服务器50(图19-a)重新路由业务可具有优于执行本地安全分析的数个优点(图19-b)。服务器50可包括多个特意建立的高吞吐量计算机系统,且可因此能够比调节器18高效得多地执行计算密集型业务分析,例如深度包检查。将此类能力安装于网络调节器18中将大体上增加价格、复杂性及调节器18的攻击面。具有集中式数据分析的另一优点是此类配置消除对将恶意软件识别特征符号及网络包分析中所使用的其它数据的更新分配到大量分散式网络调节器18的需要。集中式安全系统通常还被更好地装备以对新发现的威胁做出响应。
此类计算机安全系统及方法的示范性应用包括阻挡受保护客户端系统接入恶意或欺骗性网页。在一个此类实例中,拦截且分析接入远程资源的请求(例如,来自受保护客户端系统的http请求)以确定接入所述远程资源、网页等是否呈现计算机安全风险。此分析可使用此项技术中已知的任何方法,举例来说,将相应资源的地址对照已知恶意或欺骗性网页的黑名单进行匹配、分析相应网页的布局等。所述分析可在安全服务器50(例如,呈如图19-a中所展示的配置)处或在网络调节器18(例如,如图19-b中所展示)处执行。当分析确立接入远程资源并不相当于计算机安全风险时,允许相应客户端系统接入相应远程资源。当接入被认为有风险时,可阻挡请求的客户端系统接入相应资源。除阻挡接入外,安全服务器50的一些实施例还将事件通知发送到管理装置20,从而告知网络调节器18的用户/管理员已发生安全事件。所述通知可包含相应事件中所涉及的客户端系统的指示符及事件的类型的指示符(例如,接入欺骗性网站)。
图20到21中图解说明根据本发明的一些实施例的计算机安全系统的另一示范性应用。如上文所展示,客户端系统可在经由本地网络14连接到网络调节器18时受保护以免受计算机安全威胁。然而,离开网络14(举例来说,如在用户带着他/她的移动电话离开家时发生)可将相应客户端系统暴露于各种安全风险。一些实施例确保一旦出于保护而向调节器18及配置服务器52注册,那么相应客户端系统始终受到保护。
为实现此保护,一些实施例在相应客户端系统(例如,移动电话、平板计算机)上安装实用代理41,实用代理41经配置以管理连接相应客户端系统与安全服务器50的虚拟专用网络(vpn)。当相应客户端系统具有内置vpn代理时,一些实施例可选择配置现有vpn代理而非安装实用代理41。举例来说,当相应客户端系统离开本地网络14时,可起始到安全服务器50的vpn连接(隧道)。通过甚至在远离本地网络14时维持与安全服务器50的连接,一些实施例可继续使用上文所描述的计算机安全方法(例如,经由安全服务器50重新路由业务)来保护相应客户端系统。
图20展示客户端系统12、网络调节器18及配置服务器52之间的示范性数据交换,所述交换作为操作vpn实用代理及与安全服务器50的相关联安全连接的一部分而发生。图21展示根据本发明的一些实施例的由操作vpn实用代理的客户端系统12执行的示范性步骤序列。
在客户端系统12上执行的vpn实用代理可从配置服务器52获得用于确立与安全服务器50的vpn隧道的连接参数88。此类参数可按客户端系统12的装置类型来定制,如上文所论述。在一些实施例中,步骤序列502到504确定客户端系统12当前是否为本地网络14(即,由网络调节器18服务的本地网络)的一部分。步骤502可根据此项技术中已知的任何方法(举例来说,通过维持调节器18与相应客户端系统之间的保持连接(keepalive)消息流84)而进行。当客户端系统12保持连接到本地网络14时,客户端系统12可使用调节器18作为用于接入外部网络16的网关,从而根据上文所描述的方法受到保护以免受计算机安全威胁。
当客户端系统12检测到其不再连接到本地网络14时,在步骤510中,在客户端系统12上执行的vpn代理可开通到安全服务器50的vpn隧道90、根据vpn参数88配置隧道90。此后,客户端系统12可使用vpn隧道90进行通信,例如因特网浏览、消息传送等。在替代实施例中,网络调节器18可确定客户端系统12已离开本地网络14,且作为响应,通知安全服务器50。确立隧道90可接着由服务器50起始。
当客户端系统12返回以接近网络调节器18时(举例来说,当用户带着他/她的移动电话返回家时),客户端系统12可检测到来自网络调节器18的网络服务提供(例如,dhcp提供)。当接收到连接到本地网络14的此提供时,在步骤序列514到516中,在相应客户端系统上执行的vpn实用代理可关闭vpn隧道90且连接到本地网络14。
本文中所描述的示范性系统及方法允许保护多个客户端系统免受计算机安全威胁,例如恶意软件及网络入侵。除保护常规计算机系统外,所描述系统及方法还特别适于保护连接到因特网的智能装置的多样生态系统(例如,在大众文化中统称作物联网(iot)的装置)。此类装置的实例尤其包含可穿戴装置(例如,智能手表、健身手环、互动首饰)、家庭娱乐装置(tv、媒体播放器、游戏控制台)、家用电器(冰箱、恒温器、智能照明系统、家庭安全系统)。举例来说,一些实施例允许使用统一集成解决方案保护家庭中的所有电子装置。
一些实施例包含经配置以建立且管理互连多个受保护客户端系统的本地网络的网络调节器。网络调节器可将自身安装于本地网络与扩展网络(例如因特网)之间的网关的位置中。在一些实施例中,由网络调节器通过远程安全服务器重新路由在受保护客户端系统与本地网络之外的实体之间交换的数据业务的至少一部分而实现保护。接着可对业务进行扫描以找出恶意软件,且阻挡接入有风险的资源(例如,恶意或欺骗性网站)。
一些实施例确保免受计算机安全威胁的保护甚至在相应客户端系统离开本地网络时继续。举例来说,当用户带着他/她的移动电话离开家时,所述电话保持受保护。在一些实施例中,此保护通过自动地检测受保护客户端系统已离开本地网络且作为响应而自动地启动到安全服务器的隧道(例如,点对点vpn连接)而实现,所述隧道用于在相应装置远离本地网络时载运去往/来自所述装置的数据业务。
在一些实施例中,网络调节器与服务预订唯一地相关联,此允许对所有受保护客户端系统(例如,对家庭内的所有智能装置)在安全及其它方面的统一管理。安全事件(例如受保护客户端系统接入欺骗性网站的尝试)可因此自动地与预订账户相关联且报告给相应账户的联系人/管理员。报告安全事件可包括将通知发送到管理员的管理装置(例如,移动电话)。在一些实施例中,此类通知由安全服务器集中且按用户及/或按装置分组。在管理装置上执行的图形用户接口(gui)可显示关于每一安全事件的信息、统计数据等。本发明的一些实施例因此实现用于针对大量客户/账户管理计算机安全的集中式解决方案,每一此账户与其自身多样装置群组相关联。
除确保对连接到本地网络的客户端系统的保护外,一些实施例还提供用于受保护客户端系统的自动配置、疑难解答/技术协助及远程管理的统一解决方案。一些实施例在每一受保护装置上安装实用代理,所述实用代理与远程服务器协作以接收配置数据及/或可执行代码。客户端系统的用户/管理员可经由显示于管理装置(例如,移动电话)上的用户接口远程地管理相应装置。举例来说,此管理可包含设定操作参数(所要家庭温度、家长控制设定等)、应用软件更新及疑难解答。
本发明的一些实施例经具体制定以易于使用,以便不需要计算机工程或网络管理的专门知识。举例来说,在安装后,网络调节器可即刻自动地从现有路由器接管一些网络服务、变为本地网络的因特网接入的默认提供者。
所属领域中的技术人员将清楚,可在不背离本发明的范围的情况下以许多方式更改以上实施例。因此,本发明的范围应由所附权利要求书及其法律等效内容来确定。
- 还没有人留言评论。精彩留言会获得点赞!