本申請是申請日為2006年3月27日、申請號為200680054653.1、發明名稱為“在移動通信設備上實施安全策略的系統”的發明專利申請的分案申請。

技術領域

本發明一般涉及無線通信領域。更具體地說，本發明一般涉及在適合于在移動通信網絡中使用的移動通信設備上實施安全策略的系統和方法。

背景技術

近年來，移動通信終端已提高其數據處理能力，以便除了能夠實現普通的個人間通信之外，還能夠支持更多，更豐富的服務；另一方面，已用無線通信能力增強以前的諸如個人數字助理(PDA)之類的便攜式數據處理設備。從而，許多移動通信終端目前可以被看作實際的數據處理系統，比如個人計算機(PC)，趨勢是朝著進一步增大處理能力的方向發展。

作為不受歡迎的副作用，類似于任何其它數據處理設備，無線通信設備已成為計算機病毒、特洛伊木馬、蠕蟲和惡意軟件的攻擊目標。

惡意軟件會導致欺詐、數據的破壞或丟失、未經授權的訪問、服務的不可用性、隱私的侵犯，對于移動終端的用戶和移動通信網絡運營商來說，這都會轉化成重大的經濟損失。

為了降低移動通信設備受到攻擊的風險，提出了實施特定安全策略的方法和系統。

安全策略實施系統負責在移動通信設備上實現和保證所需安全策略的執行。安全策略通常由安全管理員創建，包括定義有益于使對普通移動設備和保存于其中的數據的安全性，以及移動網絡運營商的安全性，和/或雇用移動設備的用戶或被移動設備的用戶訪問的公司企業的安全性的威脅可能性降至最小的容許行為的規則。

安全策略可按照考慮的具體情況由不同的行動者定義。例如，在消費者情況下，安全策略可由移動通信設備的最終用戶定義，在企業/公司情況下，可由關于雇員的移動通信設備的安全管理員定義，可由移動通信網絡運營商定義，或者由移動通信設備的制造商定義，等等。

通常，在企業/公司情況下，按照集中的方式實現和管理安全策略，以便建立均勻統一的安全域。US2005/0055578公開一種管理和實施安全策略，并監視移動設備的狀態的客戶機/服務器體系結構。在該文獻中，描述了通過服務器計算機系統，比如企業網絡內的服務器計算機系統對于客戶機移動計算設備上的數據，或者單獨的移動計算設備上的數據的保護。描述了提供根據與移動設備所工作的網絡環境相關的位置而實施的不同安全策略的安全工具。描述了檢測移動設備的位置的方法。該安全工具還提供根據安全特征實施不同的策略。安全特征的示例包括通過其傳送數據的連接的類型(有線連接或無線連接)，防病毒軟件的操作，或者網絡適配器卡的類型。不同的安全策略提供可根據與移動設備相關的檢測位置和/或有效安全特征而調整的實施機制。所提供的實施機制的示例是自適應端口阻塞，文件隱藏和文件加密。

WO2005/064498公開一種利用動態生成的安全簡表，在移動設備上實施安全策略的系統和方法。用于實施安全參數的系統和方法從與移動設備相關的來源收集信息。根據收集的信息，確定移動設備的身份狀態，所述身份狀態唯一地識別移動設備，將其與其它移動設備區分開。當移動設備與計算節點源連接時，或者當移動設備訪問網絡內的資源時，可確定該移動設備的身份狀態。生成基于移動設備的身份狀態的安全策略，并將該安全策略應用于該移動設備。

發明內容

申請人已經注意到本領域中現有的在移動通信設備上實現和實施安全策略的解決方案并不很令人滿意。這樣的解決方案實際上基本以軟件為基礎。因此，它們易于攻擊：例如，將在移動通信設備上實施的安全策略可能被攻擊者，例如病毒操控，并被修改，以便在移動通信設備上產生與安全管理員預期的動作不同的動作；這會危害通信、用戶和應用數據，鑒權憑證等的安全。

申請人已經解決了改進由移動通信設備的安全策略實施平臺保證的安全的程度的問題。