專利名稱::用于提供對(duì)企業(yè)網(wǎng)絡(luò)的安全遠(yuǎn)程訪問的方法和裝置的制作方法
技術(shù)領(lǐng)域:
:本發(fā)明涉及通信網(wǎng)絡(luò)領(lǐng)域,尤其涉及提供對(duì)企業(yè)網(wǎng)絡(luò)的安全遠(yuǎn)程訪問。
背景技術(shù):
:通常,寬帶無線接入技術(shù)通過為移動(dòng)企業(yè)用戶提供對(duì)關(guān)鍵企業(yè)資源的連續(xù)訪問,使企業(yè)能夠增加生產(chǎn)率。然而這些技術(shù)的部署給企業(yè)引入安全問題。例如,企業(yè)用戶可以使用寬帶無線接入連接到公共因特網(wǎng),而同時(shí)通過以太網(wǎng)連接維持到企業(yè)內(nèi)聯(lián)網(wǎng)的連接。這種并發(fā)連接性可能引起嚴(yán)重的安全妨害。引起對(duì)企業(yè)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)攻擊的多種安全妨害可能源自企業(yè)房屋的外部。例如,在企業(yè)房屋的外部,企業(yè)用戶系統(tǒng)可能#:公共因特網(wǎng)上的病毒/蠕蟲感染,并且可能將該病毒/蠕蟲傳播給企業(yè)內(nèi)聯(lián)網(wǎng)。在這個(gè)示例中,如果啟用IP轉(zhuǎn)發(fā),則企業(yè)用戶系統(tǒng)作為路由器操作,允許惡意外部入侵者繞過企業(yè)防火墻并訪問關(guān)鍵企業(yè)資源。此外,企業(yè)容易受到其中惡意外部用戶利用具有雙重連接性的企業(yè)用戶系統(tǒng)來攻擊企業(yè)的其他攻擊。盡管企業(yè)正采用昂貴的機(jī)制來防止這種對(duì)企業(yè)網(wǎng)絡(luò)的外部訪問,但雙重網(wǎng)絡(luò)連接性給惡意外部用戶提供了訪問企業(yè)網(wǎng)絡(luò)的能力。引起對(duì)企業(yè)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的攻擊的多種安全妨害可能源自企業(yè)房屋的內(nèi)部。事實(shí)上,企業(yè)正日益認(rèn)識(shí)到,對(duì)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的多數(shù)攻擊是由于內(nèi)部的蓄意破壞或無意的失誤而發(fā)生的。例如,這些活動(dòng)可以包括雇員在公共因特網(wǎng)上不經(jīng)加密地轉(zhuǎn)發(fā)機(jī)密文件,或者不遵守企業(yè)安全策略進(jìn)行的實(shí)時(shí)消息交換。此外,這些活動(dòng)可能導(dǎo)致計(jì)算機(jī)間諜活動(dòng)以及違反政府法規(guī),給企業(yè)帶來嚴(yán)重的財(cái)政損失。盡管企業(yè)正部署昂貴的機(jī)制和策略控制來防止企業(yè)用戶參與這些活動(dòng),但雙重連接性使用戶能繞過這些機(jī)制并且控制和直接連接到因特網(wǎng),而不受這些機(jī)制和控制管轄。
發(fā)明內(nèi)容通過本發(fā)明用于提供對(duì)企業(yè)網(wǎng)絡(luò)的安全遠(yuǎn)程訪問的方法和裝置,解決現(xiàn)有技術(shù)的各種不足。一種裝置,包括網(wǎng)絡(luò)接口模塊,適于維持與網(wǎng)絡(luò)設(shè)備的安全連接,而不管與該設(shè)備相關(guān)聯(lián)的主計(jì)算機(jī)的功率狀態(tài)如何;存儲(chǔ)模塊,用于存儲(chǔ)與安全連接相關(guān)聯(lián)的信息;和耦接到網(wǎng)絡(luò)接口和存儲(chǔ)器的處理器,其中該處理器適于自動(dòng)啟動(dòng)安全連接而無需用戶交互。通過下面結(jié)合附圖考慮詳細(xì)描述,可以容易地理解本發(fā)明的教導(dǎo),其中圖l繪出了通信網(wǎng)絡(luò)的高層框圖;圖2繪出了圖1的通信網(wǎng)絡(luò)的終端之一的高層框圖;圖3繪出了圖1的通信網(wǎng)絡(luò)的安全網(wǎng)關(guān)的高層框圖;圖4繪出了根據(jù)本發(fā)明一個(gè)實(shí)施例的方法;圖5繪出了根據(jù)本發(fā)明一個(gè)實(shí)施例的方法;以及圖6繪出了根據(jù)本發(fā)明一個(gè)實(shí)施例的流程圖。為了便于理解,只要有可能,使用相同的附圖標(biāo)記來指代各附圖中共同的元件。具體實(shí)施方式通常,從企業(yè)用戶的角度來說,無線網(wǎng)絡(luò)的性能應(yīng)當(dāng)與其他寬帶接入技術(shù)的性能相匹配。盡管寬帶無線接入點(diǎn)主要優(yōu)點(diǎn)是無處不在的網(wǎng)絡(luò)連接可用性,但這種可用性常常是以減少的帶寬可用性為代價(jià)的。不管企業(yè)用戶位置、連接類型、系統(tǒng)管理和維護(hù)功能以及各種其他因素如何,企業(yè)用戶需要低延遲、高帶寬性能。通常,從企業(yè)系統(tǒng)管理員的角度來說,對(duì)支持遠(yuǎn)程、移動(dòng)企業(yè)用戶的系統(tǒng)的管理和維護(hù)典型地是困難和昂貴的。由于許多這種遠(yuǎn)程、移動(dòng)企業(yè)用戶(例如,企業(yè)銷售團(tuán)隊(duì))很少在企業(yè)園區(qū)內(nèi),并且在旅行時(shí)不斷地遠(yuǎn)程訪問網(wǎng)絡(luò)資源,因此在企業(yè)用戶從遠(yuǎn)程位置訪問企業(yè)網(wǎng)絡(luò)的時(shí)候必須執(zhí)行軟件更新。盡管這些軟件更新可能涉及關(guān)鍵的安全補(bǔ)丁,但軟件更新也可能給企業(yè)用戶帶來嚴(yán)重的不便(例如,消耗寶貴的系統(tǒng)和網(wǎng)絡(luò)資源來發(fā)送和應(yīng)用軟件更新)。例如,軟件補(bǔ)丁可能在企業(yè)用戶進(jìn)行重要會(huì)議的時(shí)候被啟動(dòng),并且要求立即訪問資源,本發(fā)明提供一種安全系統(tǒng),使企業(yè)用戶(例如,使用公共網(wǎng)絡(luò)遠(yuǎn)程訪問安全企業(yè)網(wǎng)絡(luò)的遠(yuǎn)程企業(yè)用戶,本地訪問安全企業(yè)網(wǎng)絡(luò)的本地企業(yè)用戶,等等)在越來越多地利用寬帶無線網(wǎng)絡(luò)的同時(shí)能安全地訪問企業(yè)網(wǎng)絡(luò)。該安全系統(tǒng)確保源自安全客戶端設(shè)備的企業(yè)用戶業(yè)務(wù)通過安全網(wǎng)關(guān)路由(不管用戶位置如何)。該安全系統(tǒng)包括與訪問企業(yè)網(wǎng)絡(luò)的每個(gè)終端設(shè)備相關(guān)聯(lián)的安全客戶端設(shè)備。該安全系統(tǒng)包括安全網(wǎng)關(guān)設(shè)備,每個(gè)安全客戶端設(shè)備通過該安全網(wǎng)關(guān)設(shè)備訪問企業(yè)網(wǎng)絡(luò)。在一個(gè)實(shí)施例中,安全客戶端設(shè)備的"永遠(yuǎn)在線"(always-on)能力允許終端設(shè)備與企業(yè)網(wǎng)絡(luò)之間的持續(xù)通信。安全、"永遠(yuǎn)在線"的系統(tǒng)允許支持各種有利于最終用戶和系統(tǒng)管理員的特征。安全、"永遠(yuǎn)在線,,系統(tǒng)允許的特征可以包括應(yīng)用加速特征、遠(yuǎn)程管理特征、無線網(wǎng)絡(luò)優(yōu)化特征等等,以及其各種組合。在一個(gè)實(shí)施例中,應(yīng)用加速特征包括背景傳輸、業(yè)務(wù)過濾、數(shù)據(jù)/協(xié)議壓縮、隧道地址轉(zhuǎn)換、協(xié)議優(yōu)化(例如,在安全客戶端設(shè)備、基站等上)等,以及其各種組合。在一個(gè)實(shí)施例中,遠(yuǎn)程管理特征包括允許系統(tǒng)管理員甚至在遠(yuǎn)程終端設(shè)備未加電時(shí)推動(dòng)對(duì)遠(yuǎn)程終端設(shè)備的軟件升級(jí)、策略更新、備份操作等,允許最終用戶在遠(yuǎn)程終端設(shè)備未加電時(shí)調(diào)度軟件升級(jí)、策略更新、備份操作等,以及其各種組合。在一個(gè)實(shí)施例中,無線網(wǎng)絡(luò)優(yōu)化特征包括分析所請(qǐng)求的信息傳輸,以便區(qū)分要求立即響應(yīng)的延遲敏感的信息傳輸(例如,音頻轉(zhuǎn)換)和不要求立即響應(yīng)的延遲不敏感的信息傳輸(例如,電子郵件傳輸、數(shù)據(jù)備份傳輸?shù)?、以及響應(yīng)于各種條件(例如,直到無線信號(hào)質(zhì)量滿足閾值為止,當(dāng)闞值數(shù)量的其他客戶端正在接受服務(wù)時(shí),等等)推遲延遲不敏感信息的傳輸,等等。圖1繪出了通信網(wǎng)絡(luò)的高層框圖。如圖1所示,通信網(wǎng)絡(luò)100包括具有相應(yīng)多個(gè)安全客戶端(SC)104K1-104RN(統(tǒng)稱為SC104R)的多個(gè)遠(yuǎn)程終端(RE)102R1-102RN(統(tǒng)稱為RE102R)、多個(gè)無線網(wǎng)絡(luò)(WN)106,-106〃(統(tǒng)稱為WN106)、因特網(wǎng)108和企業(yè)園區(qū)(EC)110。如圖1所示,EC110包括具有相應(yīng)多個(gè)安全客戶端(SC)104u-104w(統(tǒng)稱為104L)的多個(gè)本地終端(LE)102u-102u(統(tǒng)稱為L(zhǎng)E、內(nèi)聯(lián)網(wǎng)114、安全網(wǎng)關(guān)(SG)112和管理系統(tǒng)(MS)116。RE102k和LE102l可以統(tǒng)稱為終端102。如圖l所示,RE102a使用多個(gè)無線連接(WC)105廣105n(統(tǒng)稱為WC105)與WN106通信。具體地說,RE102"的SCIOU吏用WC105,與WN106!通信,RE1022的SCIO化使用WC1052與WN1062通信,RE102r3的SCIO化使用WC1053與WN1062通信,以及RE102^的SC104KN使用WC105w與WN106n通信。如圖l所示,WN106使用多個(gè)通信鏈路(CL)107「107n(統(tǒng)稱為CL107)與因特網(wǎng)108通信。因特網(wǎng)108使用通信鏈路(CL)109與EC110(舉例來i兌,與EC110的SG112)通信。同樣,RE102K(具體地說是SC104R)可以使用SC10、與SG112之間的安全連接訪問EC110中的任何網(wǎng)絡(luò)元件。如圖l所示,LE102L使用多個(gè)通信鏈路(CL)118廣118N(統(tǒng)稱為CL118)與內(nèi)聯(lián)網(wǎng)114通信。具體地說,LE102u的SC10、使用CL118t與內(nèi)聯(lián)網(wǎng)114通信,LE102l2的SC10《2使用CL1182與內(nèi)聯(lián)網(wǎng)114通信,以及LE102^的SC104^使用CL118w與內(nèi)聯(lián)網(wǎng)114通信。內(nèi)聯(lián)網(wǎng)1144吏用通信鏈路113與SG112通信。同樣,LE102l(具體地i兌是SC104l)可以^_用由SG112管轄的安全策略訪問ECIIO外的任何網(wǎng)絡(luò)元件。MS116使用通信鏈路(CL)115與內(nèi)聯(lián)網(wǎng)114通信。同樣,MS116可以使用SCIO么與SG112之間的安全連接與RE102K(具體地說,與SC104R)通信。如圖1所示,RE102R1-102RN(舉例來說,SC肌「104rn)使用多個(gè)因特網(wǎng)協(xié)議安全(IPSec)隧道120rl2(^(統(tǒng)稱為IPSec隧道120)與EC110通信。在一個(gè)實(shí)施例中,IPSec隧道120可以由SCIO夂響應(yīng)于SC10^檢測(cè)到可用的WN106而建立(不管相關(guān)的RE102k是否-故加電)。在一個(gè)實(shí)施例中,IPSec隧道120可以由SC10么響應(yīng)于SG112對(duì)建立IPSec隧道120的請(qǐng)求而建立(不管相關(guān)的RE102k是否被加電)。SC104r與SG112之間的IPSec隧道120在RE102<和與SG112通信的各個(gè)網(wǎng)絡(luò)設(shè)備(舉例來說,LE102"MS116等)之間傳輸信息。盡管針對(duì)IPSec隧道120進(jìn)行了描述,但在本發(fā)明的一個(gè)實(shí)施例中可以利用SC104R與SG112之間的任何安全連接。如圖1所示,通信網(wǎng)絡(luò)100大體示出用于位于ECIIO外部的企業(yè)用戶(即與RE102K相關(guān)聯(lián)的用戶)和位于ECllO內(nèi)部的企業(yè)用戶(即,與LE102t相關(guān)聯(lián)的用戶,以及可選地,與MS116相關(guān)聯(lián)的系統(tǒng)管理員)的安全系統(tǒng)。如圖1所示,該安全系統(tǒng)包括(i)安全客戶端設(shè)備(舉例來說,終端102),在寬帶無線網(wǎng)絡(luò)接口上集成安全以及應(yīng)用加速、遠(yuǎn)程管理、無線網(wǎng)絡(luò)優(yōu)化等特征;和(ii)部署在企業(yè)邊緣處的安全網(wǎng)關(guān)設(shè)備(舉例來說,作為ECIIO與因特網(wǎng)118之間接口部署的SG112),為安全客戶端設(shè)備提供安全接口以支持應(yīng)用加速、遠(yuǎn)程管理、無線網(wǎng)絡(luò)優(yōu)化等特征。在本發(fā)明的一個(gè)實(shí)施例中,當(dāng)配備安全客戶端的企業(yè)用戶系統(tǒng)位于企業(yè)園區(qū)外部時(shí),遠(yuǎn)程安全客戶端可以在不需任何用戶干預(yù)的情況下建立到安全網(wǎng)關(guān)的安全隧道。根據(jù)本發(fā)明一個(gè)實(shí)施例的遠(yuǎn)程安全客戶端在相關(guān)的遠(yuǎn)程終端設(shè)備處于非活動(dòng)功率狀態(tài)(例如,處于睡眠模式、斷電等)以及缺少任何用戶交互時(shí)作為活動(dòng)網(wǎng)絡(luò)部件運(yùn)行,可操作來建立安全網(wǎng)絡(luò)連接。同樣,本發(fā)明一個(gè)實(shí)施例的遠(yuǎn)程安全客戶端代替之前的網(wǎng)絡(luò)接口而作為被動(dòng)調(diào)制解調(diào)器運(yùn)行,可操作來僅當(dāng)相關(guān)的遠(yuǎn)程終端設(shè)備被加電并且響應(yīng)于至少某個(gè)用戶交互時(shí)建立網(wǎng)絡(luò)連接。在本發(fā)明的一個(gè)實(shí)施例中,當(dāng)配備安全客戶端的企業(yè)用戶系統(tǒng)位于企業(yè)園區(qū)內(nèi)部時(shí),本地安全客戶端驗(yàn)證用戶,而且從本地安全客戶端傳送的業(yè)務(wù)被直接路由到企業(yè)內(nèi)聯(lián)網(wǎng)(舉例來說,內(nèi)聯(lián)網(wǎng)114),從而確保所有企業(yè)用戶業(yè)務(wù)在到達(dá)公共因特網(wǎng)(舉例來說,因特網(wǎng)108)之前經(jīng)受相同的企業(yè)策略控制。在本發(fā)明的一個(gè)實(shí)施例中,通過在本地安全客戶端內(nèi)實(shí)現(xiàn)安全隧道功能,從而防止與包括本地安全客戶端的本地終端相關(guān)聯(lián)的企業(yè)用戶繞過企業(yè)安全策略。在一個(gè)實(shí)施例中,包括安全客戶端和安全網(wǎng)關(guān)的安全系統(tǒng)適于支持移動(dòng)用戶。當(dāng)設(shè)備在IP網(wǎng)絡(luò)內(nèi)是移動(dòng)的時(shí),該移動(dòng)設(shè)備的公共IP地址可以隨著移動(dòng)設(shè)備從一個(gè)位置移動(dòng)到另一位置而改變。當(dāng)發(fā)生這樣的IP地址改變時(shí),所有活動(dòng)的網(wǎng)絡(luò)會(huì)話將被終止。這顯然不是移動(dòng)用戶所期望的。解決該問題的現(xiàn)有機(jī)制是移動(dòng)IP(MobileIP),它要求移動(dòng)設(shè)備上的專門支持,并且產(chǎn)生額外的網(wǎng)絡(luò)開銷。如果移動(dòng)設(shè)備是IPSec終端,那么網(wǎng)絡(luò)開銷會(huì)進(jìn)一步增加。在一個(gè)實(shí)施例中,為了避免移動(dòng)IP的這些缺點(diǎn),該安全系統(tǒng)支持一種即使在客戶端的公共IP地址改變時(shí)仍維持IPSec隧道、且不使用移動(dòng)IP的機(jī)制。在該實(shí)施例中,由于移動(dòng)設(shè)備上的網(wǎng)絡(luò)應(yīng)用使用隧道IP地址,因此它們不受影響。如這里所述,根據(jù)本發(fā)明一個(gè)實(shí)施例的安全客戶端包括用于與各種無線網(wǎng)絡(luò)接口的網(wǎng)絡(luò)接口模塊、運(yùn)行安全操作系統(tǒng)(不遭受與其他最終用戶系統(tǒng)相同的脆弱性)的專用微控制器、和非易失性存儲(chǔ)器(例如,閃存)。在一個(gè)實(shí)施例中,當(dāng)通過自身建立網(wǎng)絡(luò)連接的無線網(wǎng)絡(luò)接口失效(例如,終端從室內(nèi)移動(dòng)到室外)時(shí),安全客戶端可以從優(yōu)先級(jí)列表中選擇下一個(gè)可用的無線網(wǎng)絡(luò)接口,為與該終端相關(guān)聯(lián)的用戶提示另一網(wǎng)絡(luò)接口,等等。在一個(gè)這樣的實(shí)施例中,由于可能需要重建IPSec隧道,因此終端上的應(yīng)用可能會(huì)受到網(wǎng)絡(luò)接口失效的影響。在一個(gè)實(shí)施例中,根據(jù)本發(fā)明一個(gè)實(shí)施例的安全客戶端適于即使當(dāng)相關(guān)聯(lián)的主計(jì)算機(jī)(舉例來說,終端102)斷電(例如,處于睡眠模式)時(shí)仍處于活動(dòng)(例如,處于喚醒模式、加電等)。同樣,根據(jù)本發(fā)明一個(gè)實(shí)施例的安全客戶端包括"永遠(yuǎn)在線"能力,該能力允許安全客戶端在相關(guān)聯(lián)的主計(jì)算機(jī)空閑的時(shí)候完成網(wǎng)絡(luò)傳輸,允許系統(tǒng)管理員遠(yuǎn)程激活(例如,喚醒)相關(guān)聯(lián)的主計(jì)算機(jī),以及允許類似的功能。盡管參照特定元件、功能等描述了遠(yuǎn)程客戶端設(shè)備和本地客戶端設(shè)備,但本發(fā)明一個(gè)實(shí)施例中的遠(yuǎn)程客戶端設(shè)備可以包括參照本地客戶端設(shè)備描述的元件和功能的至少一部分,并且本發(fā)明一個(gè)實(shí)施例中的本地客戶端設(shè)備可以包括參照遠(yuǎn)程客戶端設(shè)備描述的元件和功能的至少一部分。同樣,根據(jù)本發(fā)明一個(gè)實(shí)施例的客戶端設(shè)備可以包括用于支持本發(fā)明各種功能的元件、功能等的各種組合。如這里所述,對(duì)于遠(yuǎn)程安全客戶端(舉例來說,SC104K),根據(jù)本發(fā)明一個(gè)實(shí)施例的安全網(wǎng)關(guān)(舉例來說,SG112)支持安全功能(例如,終止來自遠(yuǎn)程安全客戶端的安全隧道)。如這里所述,對(duì)于本地安全客戶端(舉例來說,SC104l),根據(jù)本發(fā)明一個(gè)實(shí)施例的安全網(wǎng)關(guān)支持安全功能(例如,管理網(wǎng)絡(luò)訪問(例如,對(duì)本地安全客戶端(舉例來說,SC104L)、管理系統(tǒng)(舉例來說,MS116)等),管理用戶證書、安全策略等,并且執(zhí)行類似安全功能)。如這里所述,根據(jù)本發(fā)明一個(gè)實(shí)施例的安全網(wǎng)關(guān)除了受到支持的安全功能之外,還可以支持應(yīng)用加速、遠(yuǎn)程管理、無線網(wǎng)絡(luò)優(yōu)化等功能。例如,根據(jù)本發(fā)明一個(gè)實(shí)施例的安全網(wǎng)關(guān)可以支持壓縮機(jī)制、連接管理(例如,通過允許用戶以最小的中斷在接口和/或網(wǎng)絡(luò)之間漫游,管理連接的移動(dòng)性方面)、連接優(yōu)化(例如,隱藏應(yīng)用對(duì)不同接入技術(shù)的限制)和各種其他功能。如圖1所示,MS116是適于與安全客戶端和安全網(wǎng)關(guān)通信的管理系統(tǒng)。在一個(gè)實(shí)施例中,MS116與安全客戶端(舉例來說,SC104R和SC10《)通信,以便推動(dòng)對(duì)相關(guān)終端設(shè)備(舉例來說,分別是RE102k和LE102l)的軟件升級(jí)、策略更新、備份操作等等。在一個(gè)實(shí)施例中,MS116與安全網(wǎng)關(guān)(舉例來說,SG112)通信,以便分發(fā)安全策略更新、管理目錄和最終用戶策略,以及執(zhí)行類似功能。在一個(gè)實(shí)施例中,MS116提供支持系統(tǒng)管理員功能的各種機(jī)制。在一個(gè)實(shí)施例中,MS116包括用戶管理接口、策略管理接口、安全客戶端訪問接口、維護(hù)接口、網(wǎng)絡(luò)入侵對(duì)策控制功能和其他類似接口、功能的至少一個(gè),以及相關(guān)處理器、存儲(chǔ)器、支持電路等和其各種組合。在一個(gè)實(shí)施例中,用戶管理接口允許系統(tǒng)管理員管理安全客戶端目錄、用戶-客戶端-計(jì)算機(jī)關(guān)聯(lián)等。在一個(gè)實(shí)施例中,策略管理接口定義網(wǎng)絡(luò)策略、資源訪問策略等。在一個(gè)實(shí)施例中,客戶端訪問接口允許系統(tǒng)管理員訪問遠(yuǎn)程安全客戶端(獨(dú)立于網(wǎng)絡(luò)連接類型)。在一個(gè)實(shí)施例中,維護(hù)接口允許客戶端的遠(yuǎn)程維護(hù),包括軟件更新、病毒/防火墻策略更新等。在一個(gè)實(shí)施例中,受管理控制的網(wǎng)絡(luò)入侵對(duì)策包括對(duì)安全客戶端閃存和遠(yuǎn)程終端的保護(hù)(如果安全客戶端丟失或被盜,則擦除閃存并禁用硬盤)。圖2繪出了圖1的通信網(wǎng)絡(luò)的安全客戶端設(shè)備之一的高層框圖。在一個(gè)實(shí)施例中,參照?qǐng)D2繪出和描述的安全客戶端104是與遠(yuǎn)程終端相關(guān)聯(lián)的安全客戶端(舉例來說,如圖l所示,與相應(yīng)的一個(gè)RE102R相關(guān)聯(lián)的一個(gè)SC104K)。在一個(gè)實(shí)施例中,參照?qǐng)D2繪出和描述的安全客戶端104是與本地終端相關(guān)聯(lián)的安全客戶端(舉例來說,如圖1所示,與相應(yīng)的一個(gè)LE102,相關(guān)聯(lián)的一個(gè)SC104,)。盡管繪出為包括各部件的特定組合,但安全客戶端102可以包括更少或更多的、以類似或不同配置排列的部件。如圖2所示,SC104包括網(wǎng)絡(luò)接口模塊(NIM)202、客戶端處理器(CP)204、用戶存儲(chǔ)器(UM)206、主計(jì)算機(jī)接口(HI)208和客戶端存儲(chǔ)器(CM)210。CM210包括操作系統(tǒng)(OS)212、程序214和數(shù)據(jù)216。如圖2所示,CP204耦接到NIM202、UM206、HI208和CM210。如圖2所示,NIM202與至少一個(gè)外部網(wǎng)絡(luò)接口。在安全客戶端是遠(yuǎn)程安全客戶端(舉例來說,SC104K)的一個(gè)實(shí)施例中,NIM202與無線網(wǎng)絡(luò)(舉例來說,圖1中繪出的WN106之一)通信。在安全客戶端是本地安全客戶端(舉例來說,SC104l)的一個(gè)笑施例中,NIM202與企業(yè)網(wǎng)絡(luò)(舉例來說,圖1中繪出的內(nèi)聯(lián)網(wǎng)114)通信。如圖2所示,SC104可以用元件和相關(guān)功能的各種組合來實(shí)現(xiàn)。在一個(gè)實(shí)施例中,SC104可以用Cardbus(32位)PC-Card格式實(shí)現(xiàn)。在一個(gè)實(shí)施例中,SC104可以順應(yīng)支持類型IIPCMCIA插槽的PC平臺(tái)。在這樣一個(gè)實(shí)施例中,SC104可以至少支持Cardbus接口上的DO、Dl、D2和D3功率狀態(tài),并且可以能夠?qū)⒐β时3衷贒3熱狀態(tài)。在一個(gè)實(shí)施例中,可以支持SC104的不同實(shí)例,包括支持無線網(wǎng)絡(luò)的各種組合。在一個(gè)實(shí)施例中,SC104支持?jǐn)?shù)據(jù)業(yè)務(wù)處理,包括全I(xiàn)P棧操作、點(diǎn)對(duì)點(diǎn)協(xié)議(PPP)封裝、IPSec封裝、加密/解密操作、數(shù)據(jù)/頭壓縮等,以及其各種組合。在一個(gè)實(shí)施例中,SCl(M包括另外的特征,如內(nèi)部和外部天線支持、SIM順應(yīng)性、具有供用戶訪問的單獨(dú)分區(qū)的嵌入式閃存、具有本地DRAM和雙因素驗(yàn)證的集成基礎(chǔ)架構(gòu)的嵌入式處理器子系統(tǒng)、獨(dú)立于主計(jì)算機(jī)狀態(tài)的網(wǎng)絡(luò)接口的外部通/斷開關(guān)(即,不管主計(jì)算機(jī)是活動(dòng)(例如加電)還是非活動(dòng)(例如斷電))等,以及其各種組合。如圖2所示,NIM202可以實(shí)現(xiàn)為在無線網(wǎng)絡(luò)上為相關(guān)主計(jì)算機(jī)(舉例來說,終端102)提供IP網(wǎng)絡(luò)連接性的無線調(diào)制解調(diào)器。NIM202可以被配置來與無線網(wǎng)絡(luò)的各種組合接口,無線網(wǎng)絡(luò)包括lx演進(jìn)(lxEV)純數(shù)據(jù)(EVDO)網(wǎng)絡(luò)、單載波(lx)無線傳輸技術(shù)(lxRTT)網(wǎng)絡(luò)、高速下行鏈路分組接入(HSPDA)網(wǎng)絡(luò)、通用無線分組服務(wù)(GPRS)網(wǎng)絡(luò)、無線保真(WiFi)網(wǎng)絡(luò)、通用移動(dòng)通信系統(tǒng)(UMTS)網(wǎng)絡(luò)等公共和專有無線網(wǎng)絡(luò)。同樣,NIM202的不同實(shí)例可以支持不同的無線接口組合。如圖2所示,NIM202作為發(fā)射機(jī)和接收機(jī)運(yùn)行。在一個(gè)實(shí)施例中,NIM202的發(fā)射機(jī)功能包括各種可配置的參數(shù),包括最小發(fā)射功率、最大發(fā)射功率、頻率誤差、帶外發(fā)射、相鄰信道泄漏功率比、雜散發(fā)射、互調(diào)制、誤差向量幅度、峰值碼域誤差等,以及其各種組合。在一個(gè)實(shí)施例中,NIM202的接收機(jī)功能包括各種可配置的參數(shù),包括靈敏度、最大輸入電平、相鄰信道選擇性、阻塞特性、帶內(nèi)參數(shù)、帶外參數(shù)、窄帶參數(shù)、雜散響應(yīng)、互調(diào)制、雜散發(fā)射等,以及其各種組合。如圖2所示,CP204被配置來執(zhí)行這里所述的本發(fā)明功能的至少一部分,包括安全功能、安全連接啟動(dòng)、用戶驗(yàn)證、以及應(yīng)用優(yōu)化、網(wǎng)絡(luò)優(yōu)化和控制等功能。在一個(gè)實(shí)施例中,CP204與終端102的至少一部分部件合作,以執(zhí)行這里所述的各種功能。在一個(gè)實(shí)施例中,在SC104處于熱狀態(tài)(例如,D3熱狀態(tài))的時(shí)候以及NIM202處于休眠狀態(tài)的時(shí)候,CP204可以進(jìn)入睡眠模式以^更省電。如圖2所示,UM206存儲(chǔ)用戶信息。在一個(gè)實(shí)施例中,存儲(chǔ)在UM206內(nèi)的用戶信息可以由CP204或者至少一個(gè)其他部件(例如,驗(yàn)證子系統(tǒng)(未繪出))使用,以便將用戶與計(jì)算機(jī)軟件和企業(yè)網(wǎng)絡(luò)相關(guān)聯(lián)。如圖2所示,CM210存儲(chǔ)OS212、程序214和數(shù)據(jù)216。在一個(gè)實(shí)施例中,CM210存儲(chǔ)持久數(shù)據(jù)、安全認(rèn)證、客戶端同步數(shù)據(jù)等,以及其各種組合。在一個(gè)實(shí)施例中,使用分區(qū)來形成存儲(chǔ)空間和系統(tǒng)存儲(chǔ)空間的一個(gè)存儲(chǔ)部件實(shí)現(xiàn)UM206和CM210。在一個(gè)實(shí)施例中,UM206和CM210包括非易失性存儲(chǔ)器。如圖2所示,CM210存儲(chǔ)OS212、程序214和數(shù)據(jù)216。如圖2所示,OS212是卡上操作系統(tǒng),其中駐留了遠(yuǎn)程訪問功能、應(yīng)用、服務(wù)等,以及其各種組合。在一個(gè)實(shí)施例中,OS2"提供到企業(yè)安全中心的管理鏈路,該鏈路允許主動(dòng)的企業(yè)網(wǎng)絡(luò)管理,如隧道監(jiān)視、遠(yuǎn)程軟件/固件更新、遠(yuǎn)程協(xié)助等,以及其各種組合。如圖2所示,HI208作為SC104與相關(guān)終端102(即,主機(jī)系統(tǒng))之間的接口運(yùn)行。在一個(gè)實(shí)施例中,HI208便于SC104與終端102之間的信息傳輸。例如,HI208可以便于從終端102傳輸要存儲(chǔ)在SC104的CM210中的信息(例如,終端102上的用戶創(chuàng)建的電子郵件),以便通過安全連接傳輸。例如,HI208可以便于信息(例如,通過安全連接接收并存儲(chǔ)在CM210中的信息)遞送到終端102。在一個(gè)實(shí)施例中,HI208通過高級(jí)配置和功率接口(ACPI)標(biāo)準(zhǔn)提供到主操作系統(tǒng)(舉例來說,OS231)的接口。如圖2所示,除了SC104,終端102還包括客戶端接口模塊(CIM)222、主處理器(HP)224、支持電路(SC)226、輸入輸出(I/O)模塊228和主存儲(chǔ)器(HM)230。HM230包括操作系統(tǒng)(OS)231(例如,Windows、Linux等)、內(nèi)核驅(qū)動(dòng)程序(KD)232、程序233、支持庫(kù)(SL)234、應(yīng)用235和數(shù)據(jù)236。如圖2所示,HP204耦接到CIM222、SC226、I/O模塊228和HM230。如圖2所示,終端202包括個(gè)人計(jì)算機(jī)(例如,膝上型計(jì)算機(jī))。如圖2所示,CI222作為終端102(即,主系統(tǒng))與相關(guān)SC104之間的接口運(yùn)行。在一個(gè)實(shí)施例中,CI222便于SC104與終端102之間的信息傳輸。例如,CI222可以便于從終端102傳輸要存儲(chǔ)在SC104的CM210中的信息(例如,終端102上的用戶創(chuàng)建的電子郵件),以便通過安全連接傳輸。例如,CI222可以便于信息(例如,通過安全連接接收并存儲(chǔ)在CM210中的信息)遞送到終端102。在一個(gè)實(shí)施例中,CI222通過高級(jí)配置和功率接口(ACPI)標(biāo)準(zhǔn)提供到主操作系統(tǒng)(舉例來說,OS231)的接口。如圖2所示,1/0模塊228作為用戶與安全客戶端上的功能之間的接口運(yùn)行。在一個(gè)實(shí)施例中,1/0模塊228適于與各種用戶接口相接,如顯示器、揚(yáng)聲器、輸出端口、用戶輸入設(shè)備(如鍵盤、小鍵盤(keypad)、鼠標(biāo)等)、存儲(chǔ)設(shè)備(例如,包括但不限于,磁帶驅(qū)動(dòng)器、軟驅(qū)、硬盤驅(qū)動(dòng)器或光盤驅(qū)動(dòng)器)、接收機(jī)、發(fā)射機(jī)和各種其他設(shè)備。同樣,1/0模塊228支持個(gè)人計(jì)算機(jī)可提供的任何用戶交互。如圖2所示,SC226與HP224協(xié)作來執(zhí)行根據(jù)本發(fā)明一個(gè)實(shí)施例的各種其他功能。如圖2所示,HP224被配置來執(zhí)行和/或支持這里所述的本發(fā)明功能的至少一部分,包括安全功能、安全連接啟動(dòng)、用戶驗(yàn)證、以及應(yīng)用優(yōu)化、網(wǎng)絡(luò)優(yōu)化和控制等功能。在一個(gè)實(shí)施例中,HP224與SC104的至少一部分部件協(xié)作來執(zhí)行這里所述的各種功能。在本發(fā)明的一個(gè)實(shí)施例中,終端102(即,HP224、CIM22、SC226、HM230和1/0模塊228之間的交互的各種組合)實(shí)施根據(jù)本發(fā)明一個(gè)實(shí)施例的各種功能。在一個(gè)實(shí)施例中,終端102提供終端102與安全客戶端(舉例來說,SC104)之間的接口。在一個(gè)實(shí)施例中,終端102提供用于安全客戶端的主驅(qū)動(dòng)程序,加入用于引導(dǎo)所有要路由的網(wǎng)絡(luò)連接性通過安全客戶端的機(jī)制,記錄和報(bào)告對(duì)安全網(wǎng)關(guān)(舉例來說,圖1中所示的SG112)的任何惡意用戶活動(dòng),為安全客戶端的任何用戶可配置參數(shù)提供接口等功能,以及其各種組合。如圖2所示,HP224與存儲(chǔ)在HM230中的OS231、KD232、程序233、SL234、應(yīng)用235和數(shù)據(jù)236的各種組合協(xié)作,來執(zhí)行這里所述的各種功能。同樣,這里終端102的各種功能是在適于執(zhí)行這些功能的主軟件的上下文中進(jìn)一步描述的(例如,終端102的各部件的組合的協(xié)作)。如參照?qǐng)D2繪出和描述的,主軟件包括內(nèi)核模式軟件驅(qū)動(dòng)程序(舉例來說,KD232)、圖形用戶接口(GUI)應(yīng)用(舉例來說,應(yīng)用235)和支持庫(kù)(舉例來說,SL234)。在一個(gè)實(shí)施例中,內(nèi)核模式軟件驅(qū)動(dòng)程序包括安全客戶端驅(qū)動(dòng)程序、網(wǎng)絡(luò)支持驅(qū)動(dòng)程序、網(wǎng)絡(luò)設(shè)備驅(qū)動(dòng)程序等??梢詫踩蛻舳蓑?qū)動(dòng)程序支持實(shí)現(xiàn)為作為一個(gè)進(jìn)程或多個(gè)進(jìn)程運(yùn)行。在一個(gè)實(shí)施例中,網(wǎng)絡(luò)支持驅(qū)動(dòng)程序驅(qū)動(dòng)無線接口。在一個(gè)實(shí)施例中,網(wǎng)絡(luò)支持驅(qū)動(dòng)程序總是被加載。在一個(gè)實(shí)施例中,網(wǎng)絡(luò)支持驅(qū)動(dòng)程序被放置于網(wǎng)絡(luò)設(shè)備驅(qū)動(dòng)程序與安全客戶端驅(qū)動(dòng)程序之間,從而確保所有IP業(yè)務(wù)穿過安全客戶端進(jìn)行與企業(yè)的安全通信(即,確保在不經(jīng)過企業(yè)網(wǎng)絡(luò)的情況下不可能有到公共因特網(wǎng)的連接)。此外,安全客戶端驅(qū)動(dòng)程序和網(wǎng)絡(luò)支持驅(qū)動(dòng)程序都提供對(duì)各種功能(包括遠(yuǎn)程管理、監(jiān)視、安全等)的低層支持。同樣,終端102確保所有網(wǎng)絡(luò)接口只有在經(jīng)過合法、當(dāng)前的安全客戶端之后才能到達(dá)。在一個(gè)實(shí)施例中,終端102提供網(wǎng)絡(luò)支持、篡改保護(hù)特征、管理應(yīng)用、遠(yuǎn)程監(jiān)管支持等,以及其各種組合。在一個(gè)實(shí)施例中,可以使用存儲(chǔ)在終端102上的各種管理應(yīng)用(舉例來說,應(yīng)用235)提供這些功能。在一個(gè)實(shí)施例中,這些應(yīng)用提供對(duì)配置、監(jiān)視和連接建立的支持。在一個(gè)實(shí)施例中,服務(wù)監(jiān)視應(yīng)用顯示接口統(tǒng)計(jì)數(shù)據(jù)和當(dāng)前連接狀態(tài)。在一個(gè)實(shí)施例中,配置應(yīng)用允許按照在安全網(wǎng)關(guān)上定義的企業(yè)策略配置所許可的安全系統(tǒng)操作。在一個(gè)實(shí)施例中,連接建立應(yīng)用支持當(dāng)必須首先通過用戶交互協(xié)商公共IP地址時(shí)的連接。通常,安全客戶端的目的是為相關(guān)聯(lián)的終端提供服務(wù)。在本發(fā)明的一個(gè)實(shí)施例中,終端和相關(guān)聯(lián)的安全客戶端一起操作來提供各種功能。在一個(gè)實(shí)施例中,終端與相關(guān)聯(lián)的安全客戶端一起操作來提供安全特征,提供應(yīng)用加速特征,提供遠(yuǎn)程系統(tǒng)管理特征,提供網(wǎng)絡(luò)優(yōu)化特征,以及提供其他特征和其各種組合。在一個(gè)實(shí)施例中,可以支持各種功率模式組合來提供這些功能,如參照表1所述。<table>tableseeoriginaldocumentpage15</column></row><table>表l由于終端和相關(guān)聯(lián)的安全客戶端只能在正確工作時(shí)保護(hù)相關(guān)企業(yè),因此在本發(fā)明一個(gè)實(shí)施例中,終端和相關(guān)聯(lián)的安全客戶端一起操作來提供篡改檢測(cè)和保護(hù)特征。如表2所述,存在其中安全遭到危及的各種場(chǎng)合。盡管參照?qǐng)D2繪出和描述了其中安全遭到危及的特定場(chǎng)合,但終端和相關(guān)聯(lián)的安全客戶端可以包括適于檢測(cè)和防止這些場(chǎng)合的各種功能。換而言之,終端和相關(guān)聯(lián)的安全客戶端可以包括適于檢測(cè)和防止繞過本發(fā)明安全功能體的嘗試的功能。<table>tableseeoriginaldocumentpage15</column></row><table>客戶端將提醒此妨害并將其報(bào)告給安全網(wǎng)關(guān)運(yùn)行中不工作該狀態(tài)代表客戶端卡已從系統(tǒng)中拔出的情況。只要主軟件在運(yùn)行,它就能禁用網(wǎng)絡(luò)并且可能采取額外的、已經(jīng)配置的動(dòng)作,如鎖定屏幕表2在一個(gè)實(shí)施例中,可以由終端和相關(guān)聯(lián)的安全客戶端執(zhí)行對(duì)墓改終端和/或相關(guān)聯(lián)的安全客戶端的嘗試的檢測(cè)。在一個(gè)這樣的實(shí)施例中,安全客戶端監(jiān)視終端驅(qū)動(dòng)程序,并且終端驅(qū)動(dòng)程序互相監(jiān)視以及監(jiān)視客戶端。如果部件被損害,則至少一部分其他部件檢測(cè)并報(bào)告該篡改。在另一實(shí)施例中,可以使用多種服務(wù)器驅(qū)動(dòng)的詢問/響應(yīng)技術(shù)中的任何技術(shù)來檢測(cè)嘗試的篡改,這些技術(shù)包括廣泛的對(duì)安全客戶端和相關(guān)聯(lián)終端中至少一個(gè)的密碼保護(hù)的完整性校驗(yàn)。在另一實(shí)施例中,可以由至少一個(gè)其他部件(例如,安全網(wǎng)關(guān)、管理系統(tǒng)等)執(zhí)行對(duì)墓改終端和/或相關(guān)聯(lián)的安全客戶端的嘗試的檢測(cè)。在一個(gè)這樣的實(shí)施例中,終端和安全客戶端記錄活動(dòng)和特定狀況發(fā)生的時(shí)間,并且將記錄傳輸給至少一個(gè)其他設(shè)備進(jìn)行分析和關(guān)聯(lián),以寸更檢測(cè)篡改的效果。在一個(gè)實(shí)施例中,可以生成審查跟蹤記錄以侵_確定導(dǎo)致安全缺口的事件序列(例如,知識(shí)產(chǎn)權(quán)的不當(dāng)傳輸).在一個(gè)實(shí)施例中,終端作為記錄消息的主生成器運(yùn)行。在一個(gè)這樣的實(shí)施例中,如果對(duì)安全網(wǎng)關(guān)的連接性不可用,則終端或安全客戶端可以將記錄信息緩存在加密和授權(quán)的文件中,直到重新建立連接性為止。在一個(gè)實(shí)施例中,企業(yè)可以限制哪些終端能用哪些客戶端操作。在一個(gè)這樣的實(shí)施例中,如果合法的安全客戶端不存在于該安全客戶端被分配到的相關(guān)聯(lián)終端中,則可以啟動(dòng)各種響應(yīng)。在一個(gè)這樣的實(shí)施例中,可以實(shí)施安全鎖定。通常,安全鎖定典型地是USB設(shè)備,而且必須存在于計(jì)算機(jī)中以便訪問計(jì)算機(jī)。一旦被移除,屏幕就鎖定,直到重新插入安全密鑰為止。以這樣的方式,安全客戶端的移除產(chǎn)生了其上沒有用戶(遠(yuǎn)程或本地)可以工作的終端。在另一個(gè)這樣的實(shí)施例中,所有網(wǎng)絡(luò)業(yè)務(wù)可能被丟棄。在另一個(gè)這樣的實(shí)施例中,終端是不可啟動(dòng)的。在一個(gè)實(shí)施例中,可以響應(yīng)于確定相關(guān)聯(lián)的安全客戶端未放在終端的相關(guān)插槽內(nèi),使該終端不可用。例如,終端軟件可以執(zhí)行動(dòng)作,如禁用用戶接口部件(例如,鼠標(biāo)、鍵盤等)、使顯示屏幕空白,以及執(zhí)行類似的動(dòng)作和其各種組合。在一個(gè)實(shí)施例中,相應(yīng)于安全客戶端從終端的移除而執(zhí)行的動(dòng)作可以通過管理配置來確定。在另一實(shí)施例中,正確安全客戶端的存在的實(shí)施可以通過將相關(guān)終端的硬盤加密、以及配置安全客戶端執(zhí)行解密終端硬盤所需的解密功能的至少一部分來執(zhí)行。圖3繪出了圖1的通信網(wǎng)絡(luò)的安全網(wǎng)關(guān)的高層框圖。如圖3所示,安全網(wǎng)關(guān)112包括因特網(wǎng)接口302、內(nèi)聯(lián)網(wǎng)接口304、處理器306、管理控制臺(tái)端口308、加速模塊310和存儲(chǔ)器320。存儲(chǔ)器320包括操作系統(tǒng)(OS)322、程序324和數(shù)據(jù)。如圖3所示,處理器306耦接到因特網(wǎng)接口302、內(nèi)聯(lián)網(wǎng)接口304、管理控制臺(tái)端口308、加速模塊310和存儲(chǔ)器320。盡管描繪為包括特定的部件組合,但安全網(wǎng)關(guān)112可以包括以類似或不同配置排列的更少或更多部件。如圖3所示,因特網(wǎng)接口302使用CL109耦接到因特網(wǎng)108。在一個(gè)實(shí)施例中,因特網(wǎng)接口302通過邊緣路由器、防火墻等中的至少一個(gè)與因特網(wǎng)108相接。在一個(gè)實(shí)施例中,因特網(wǎng)接口302適于終止源自遠(yuǎn)程終端(舉例來說,如圖1中所示,源自RE102R)的安全連接。內(nèi)聯(lián)網(wǎng)接口304使用CL118耦接到內(nèi)聯(lián)網(wǎng)304。在一個(gè)實(shí)施例中,內(nèi)聯(lián)網(wǎng)接口304適于終止源自本地終端(舉例來說,如圖1所示,源自LE102,)的安全連接。如圖3所示,加速模塊310包括各種加速機(jī)制。在一個(gè)實(shí)施例中,加速模塊包括應(yīng)用加速機(jī)制,用于提供對(duì)無線網(wǎng)絡(luò)上的應(yīng)用加速的企業(yè)側(cè)支持。在一個(gè)這樣的實(shí)施例中,加速模塊310適用于執(zhí)行本發(fā)明的安全系統(tǒng)所支持的至少一部分應(yīng)用加速功能。在一個(gè)實(shí)施例中,加速模塊310包括無線加速機(jī)制,用于在低速無線網(wǎng)絡(luò)上優(yōu)化相關(guān)聯(lián)安全客戶端的性能。在一個(gè)實(shí)施例中,加速模塊310支持加密/解密功能、密鑰管理功能、壓縮功能等以及其各種組合。在一個(gè)這樣的實(shí)施例中,加速模塊310適用于執(zhí)行本發(fā)明的安全系統(tǒng)所支持的至少一部分網(wǎng)絡(luò)優(yōu)化功能。如圖3所示,管理控制臺(tái)端口308適于提供允許系統(tǒng)管理員執(zhí)行各種功能(例如,啟動(dòng)配置動(dòng)作、查看配置結(jié)果等)的用戶接口。同樣,管理控制臺(tái)端口308適于與各種用戶接口相接,如顯示器、揚(yáng)聲器、輸出端口、用戶輸入設(shè)備(如鍵盤、小鍵盤、鼠標(biāo)等)、存儲(chǔ)設(shè)備(例如包括但不限于磁帶驅(qū)動(dòng)器、軟盤驅(qū)動(dòng)器、硬盤驅(qū)動(dòng)器或光盤驅(qū)動(dòng)器)、接收機(jī)、發(fā)射機(jī)和各種其他設(shè)備。在一個(gè)實(shí)施例中,管理控制臺(tái)端口308適用于執(zhí)行本發(fā)明的安全系統(tǒng)所支持的至少一部分遠(yuǎn)程網(wǎng)絡(luò)配置功能。如圖3所示,處理器302與因特網(wǎng)接口302、內(nèi)聯(lián)網(wǎng)接口304、管理控制臺(tái)端口308、加速模塊310和存儲(chǔ)器320的各種組合協(xié)作,以支持根據(jù)本發(fā)明一個(gè)實(shí)施例的各種功能。例如,處理器302可以支持用戶驗(yàn)證(例如,基于雙因素詢問/響應(yīng)驗(yàn)證機(jī)制,通過與行業(yè)標(biāo)準(zhǔn)驗(yàn)證平臺(tái)的接口(如RSASecureID等))、用于基于每個(gè)用戶(或終端)管理網(wǎng)絡(luò)和資源訪問的小粒度策略控制機(jī)制等等(其中策略可以包括用戶身份、用戶組、遠(yuǎn)程訪問技術(shù)、位置等),以及類似的機(jī)制和其各種組合。在本發(fā)明的一個(gè)實(shí)施例中,安全網(wǎng)關(guān)典型地部署在企業(yè)網(wǎng)絡(luò)的邊緣上或者邊緣附近。由于相關(guān)的防火墻以及其他安全部件典型地部署在企業(yè)網(wǎng)絡(luò)的邊緣上或者邊緣附近,根據(jù)本發(fā)明一個(gè)實(shí)施例,可以支持各種安全網(wǎng)關(guān)部署配置。換而言之,盡管圖1中描繪為位于公共因特網(wǎng)118與企業(yè)內(nèi)聯(lián)網(wǎng)114之間,但SG112可以以多種不同的配置部署。在一個(gè)實(shí)施例中,安全網(wǎng)關(guān)與接入路由器、防火墻和其他應(yīng)用級(jí)網(wǎng)關(guān)以及諸如NAP(網(wǎng)絡(luò)地址保護(hù))服務(wù)器之類的服務(wù)的至少一個(gè)、以及其各種組合協(xié)作。圖4繪出了多個(gè)安全網(wǎng)關(guān)部署配置的高層框圖。如圖4所示,多個(gè)安全網(wǎng)關(guān)部署配置包括第一配置402、第二配置404和第三配置406。如圖4所示,第一配置402、第二配置404和第三配置406每一個(gè)包括與EC110通信的因特網(wǎng)108。如圖4所示,第一配置402、第二配置404和第三配置406中的每一個(gè)的EC110包括邊緣路由器(ER)410、SG112和防火墻420。如圖4所示,對(duì)于第一配置402、第二配置404和第三配置406中等每一個(gè),因特網(wǎng)108使用通信鏈路430與ER410通信'如圖4中參照第一配置402所示,ER410使用通信鏈路442與SG112通信,并且ER41(H吏用通信鏈路444與防火墻420通信。如圖4中參照第二配置404所示,ER410使用通信鏈路452與防火墻420通信,并且防火墻420使用通信鏈路454與SG112通信。如圖4中參照第三配置406所示,ER410使用通信鏈路462與SG112通信,并且SG112使用通信鏈路464與防火墻420通信。第一配置402、第二配置404和第三配置406可配置來支持各種功能。參照結(jié)合圖4繪出和描述的第一配置402,對(duì)于源自企業(yè)外部(并且去往企業(yè))的業(yè)務(wù),ER410將所有IPSec相關(guān)的業(yè)務(wù)路由到安全網(wǎng)關(guān),并且將所有其他業(yè)務(wù)路由到防火墻。ER410使用IP頭中的協(xié)議類型(例如,50和51)和諸如因特網(wǎng)密鑰交換(IKE)協(xié)議的協(xié)議所使用的端口號(hào)(例如,UDP端口500)來識(shí)別IPSec業(yè)務(wù)。參照結(jié)合圖4繪出和描述的第一配置402,對(duì)于源自企業(yè)內(nèi)部的業(yè)務(wù),路由機(jī)制將IPSec業(yè)務(wù)路由到安全網(wǎng)關(guān),并且將所有其他業(yè)務(wù)路由到防火墻。在一個(gè)實(shí)施例中,至少一個(gè)內(nèi)部路由協(xié)議運(yùn)行在SG112上,以便通過對(duì)地址空間嚴(yán)格的分區(qū)和優(yōu)先化來將所有IPSec相關(guān)的業(yè)務(wù)導(dǎo)向自身。在該實(shí)施例中,SG112只需要具有負(fù)責(zé)聚集的IPSec業(yè)務(wù)的轉(zhuǎn)發(fā)能力。參照結(jié)合圖4繪出和描述的第二配置404,進(jìn)入企業(yè)的所有業(yè)務(wù)去往防火墻420(具有對(duì)防火墻420轉(zhuǎn)發(fā)給SG112的IPSec相關(guān)業(yè)務(wù)的針孔(ponhole))。在一個(gè)這樣的實(shí)施例中,防火墻420將所有其他業(yè)務(wù)送到SG112,后者可能具有對(duì)該業(yè)務(wù)的缺省路由。在該實(shí)施例中,SG112包括支持IPSec和非IPSec業(yè)務(wù)兩者的轉(zhuǎn)發(fā)能力。在該實(shí)施例中,不需要復(fù)雜的路由協(xié)議機(jī)制。在另一個(gè)這樣的實(shí)施例中,防火墻420將所有其他業(yè)務(wù)送到不同的設(shè)備(未繪出)。在該實(shí)施例中,作為第一配置402,SG112只需要足以支持IPSec業(yè)務(wù)的能力(然而,可能需要復(fù)雜的路由機(jī)制來將源自企業(yè)內(nèi)部路由的業(yè)務(wù)路由到IPSec隧道終端)。參照結(jié)合圖4繪出和描述的第三配置406,與第一配置402和第二配置404的各個(gè)實(shí)施例中一樣,SG112包括支持IPSec和非IPSec業(yè)務(wù)兩者的轉(zhuǎn)發(fā)能力。在該實(shí)施例中,由于SG112位于ER410和防火墻420之間,所有到達(dá)IPSec隧道終端上的業(yè)務(wù)經(jīng)受企業(yè)防火墻策略。盡管這里參照?qǐng)D4繪出和描述了特定安全網(wǎng)關(guān)部署配置,但本發(fā)明并不意圖限制于這些安全網(wǎng)關(guān)部署配置??梢允褂酶鞣N其他安全網(wǎng)關(guān)部署配置來支持本發(fā)明的功能。如參照?qǐng)D3所述,SG112可以包括一個(gè)到公共因特網(wǎng)(通過接入路由器)的外部接口和多個(gè)到企業(yè)網(wǎng)絡(luò)的內(nèi)部接口。在一個(gè)實(shí)施例中,因特網(wǎng)接口的實(shí)際使用可能取決于企業(yè)所實(shí)施的安全網(wǎng)關(guān)部署情形。在一個(gè)其中企業(yè)被分成虛擬局域網(wǎng)(VLAN)的實(shí)施例中,安全網(wǎng)關(guān)可以通過將安全隧道映射到建立的VLAN,來執(zhí)行基于策略的訪問控制。在一個(gè)實(shí)施例中,對(duì)基于端口的VLAN執(zhí)行這種安全隧道映射。在一個(gè)其中安全網(wǎng)關(guān)支持每端口使用多個(gè)VLAN的這樣的實(shí)施例中,每端口多個(gè)VLAN支持是根據(jù)電氣和電子工程師學(xué)會(huì)(IEEE)801.lq機(jī)制實(shí)施的。在一個(gè)實(shí)施例中,根據(jù)本發(fā)明一個(gè)實(shí)施例的安全網(wǎng)關(guān)支持用戶驗(yàn)證功能。在一個(gè)實(shí)施例中,用戶驗(yàn)證功能在安全網(wǎng)關(guān)上的實(shí)施可能尤其根據(jù)企業(yè)所部署的現(xiàn)有基礎(chǔ)架構(gòu)而不同。在一個(gè)實(shí)施例中,執(zhí)行本地(相對(duì)于安全網(wǎng)關(guān)的)用戶驗(yàn)證。在另一實(shí)施例中,使用RADIUS服務(wù)器執(zhí)行用戶驗(yàn)證。在另一實(shí)施例中,使用SecureID服務(wù)器執(zhí)行用戶驗(yàn)證。在另一實(shí)施例中,使用這些用戶驗(yàn)證功能的各種組合執(zhí)行用戶驗(yàn)證。在一個(gè)實(shí)施例中,執(zhí)行本地(相對(duì)于安全網(wǎng)關(guān)的)用戶驗(yàn)證。通常,本地驗(yàn)證是相對(duì)于安全網(wǎng)關(guān)的自包含機(jī)制,其中所有關(guān)于用戶和口令的信息本地維持在安全網(wǎng)關(guān)(舉例來說,圖3所示的存儲(chǔ)器320)上。在一個(gè)實(shí)施例中,存儲(chǔ)可以是以加密的形式。應(yīng)當(dāng)注意,術(shù)語(yǔ)"口令"在該上下文中是寬泛地使用的,而不應(yīng)當(dāng)僅僅等同于用于登錄目的口令。術(shù)語(yǔ)"口令"這里是指所有信息,包括這里參照隧道建立和的信息。在一個(gè)實(shí)施例中,使用RADIUS服務(wù)器執(zhí)行用戶驗(yàn)證。在該實(shí)施例中,基于眾多企業(yè)典型地已經(jīng)采用RADIUS服務(wù)器來執(zhí)行各種其他功能的事實(shí),安全網(wǎng)關(guān)支持相關(guān)聯(lián)的RADIUS客戶端以便支持基于RADIUS服務(wù)器所提供的信息的驗(yàn)證。該實(shí)施例避免了一些其他用戶驗(yàn)證解決方案的限制(例如,可擴(kuò)展性、可管理性等)。在一個(gè)實(shí)施例中,使用RSASecureID服務(wù)器執(zhí)行用戶驗(yàn)證。在本發(fā)明的一個(gè)實(shí)施例中,安全網(wǎng)關(guān)執(zhí)行安全連接終止。在一個(gè)其中支持使用隧道的安全連接的實(shí)施例中,安全網(wǎng)關(guān)執(zhí)行隧道終止。在一個(gè)實(shí)施例中,使用包括IPSec(IP驗(yàn)證頭AH)和IP封裝安全有效負(fù)載(ESP)、IKE和類似協(xié)議在內(nèi)的至少一個(gè)因特網(wǎng)工程任務(wù)組(IETF)標(biāo)準(zhǔn)協(xié)議來支持隧道化。通常,建立IPSec隧道涉及(1)交換的數(shù)據(jù)的加密/解密(使用AH/ESP來支持),和(2)維護(hù)在隧道終端之間的安全關(guān)聯(lián)(使用IKE來支持)。在一個(gè)實(shí)施例中,可以基于用戶配置的IPSec策略來使用不同的加密/解密機(jī)制。在本發(fā)明一個(gè)實(shí)施例中,安全網(wǎng)關(guān)執(zhí)行企業(yè)策略順應(yīng)性評(píng)估。通常,任何網(wǎng)絡(luò)訪問機(jī)制的重要特征是,評(píng)估連接到網(wǎng)絡(luò)的設(shè)備(舉例來說,終端102)的(與企業(yè)定義的策略的)順應(yīng)性的能力。通常,這種順應(yīng)性典型地涉及確保設(shè)備包括正確的反病毒軟件版本、系統(tǒng)管理員推薦的所有補(bǔ)丁等,以及其各種組合。在一個(gè)實(shí)施例中,可以防止不順應(yīng)的設(shè)備訪問企業(yè)網(wǎng)絡(luò)。在一個(gè)這樣的實(shí)施例中,設(shè)備只能在經(jīng)過設(shè)備順應(yīng)性評(píng)估之后才能接收企業(yè)IP地址。在一個(gè)實(shí)施例中,可以使用動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)協(xié)商(例如,MicrosoftNAP),在DHCP下面的層(例如,CiscoNAC)執(zhí)行設(shè)備順應(yīng)性評(píng)估。通常,MicrosoftNAP解決方案主要是面向PC的軟件解決方案,它非常適合通過VPN將PC連接到公司網(wǎng)織然而,MicrosoftNAP解決方案要求對(duì)因特網(wǎng)驗(yàn)證服務(wù)器(IAS)的配置和管理)。通常,CiscoNAC解決方案主要設(shè)計(jì)用于將主機(jī)直接連接到公司LAN,因?yàn)樗髞碜运谢A(chǔ)架構(gòu)元件的支持,如主機(jī)所能連接到的交換機(jī)、集線器和路由器。在本發(fā)明的一個(gè)實(shí)施例中,安全網(wǎng)關(guān)支持用于實(shí)施設(shè)備順應(yīng)性評(píng)估的DHCP相關(guān)的擴(kuò)展,以及各種其他實(shí)施設(shè)備順應(yīng)性評(píng)估的方法。在這樣的實(shí)施例中,可能在終端上要求對(duì)設(shè)備順應(yīng)性評(píng)估的支持(例如,收集關(guān)于設(shè)備的信息以便與定義的企業(yè)策略比較)。在使用MicrosoftNAP解決方案的情況下,可以通過稱為隔離代理(QA)的Microsoft代理收集這種信息,QA提供應(yīng)用編程接口(API),從而各種其他代理(例如,防火墻、病毒掃描器等)可以用額外的信息補(bǔ)充現(xiàn)有信息。在一個(gè)實(shí)施例中,以在終端與軟件客戶端上的軟件之間協(xié)作的方式收集這種信息。在一個(gè)實(shí)施例中,在建立與安全網(wǎng)關(guān)的安全連接后,終端(或與終端相關(guān)聯(lián)的用戶)被自動(dòng)置入隔離區(qū),直到檢索到策略信息并且認(rèn)為該終端(或相關(guān)聯(lián)用戶)順應(yīng)企業(yè)策略為止。在終端祐j人為不順應(yīng)的情況下,使用安全網(wǎng)關(guān)和與終端相關(guān)聯(lián)的安全客戶端之間的安全連接,將終端連接到只讀存儲(chǔ)器,從該只讀存儲(chǔ)器自動(dòng)將所需的軟件更新/補(bǔ)丁下栽到終端。在終端重新配置后,重新評(píng)估終端對(duì)企業(yè)策略的順應(yīng)性,并且在認(rèn)為終端順應(yīng)的情況下,將終端從隔離區(qū)移出并放入標(biāo)準(zhǔn)工作區(qū)。在本發(fā)明的一個(gè)實(shí)施例中,安全網(wǎng)關(guān)支持源自企業(yè)內(nèi)的安全連接(例如,隧道)(舉例來說,如圖1所示,源自EC110內(nèi)的LE102^的安全隧道)。在本發(fā)明的一個(gè)實(shí)施例中,源自企業(yè)內(nèi)的安全連接提供一種機(jī)制,終端可籍此在接收到完全內(nèi)聯(lián)網(wǎng)訪問權(quán)之前針對(duì)企業(yè)策略順應(yīng)性接受評(píng)估。在一個(gè)實(shí)施例中,這種順應(yīng)性評(píng)估可以作為DHCP協(xié)商(即,MicrosoftNAP解決方案)的一部分來執(zhí)行。在另一實(shí)施例中,這種順應(yīng)性評(píng)估可以使用較低層協(xié)議(例如,Cisco的NAC解決方案)來執(zhí)行。在一個(gè)實(shí)施例中,如果終端成功通過設(shè)備評(píng)估過程,則安全隧道可以拆除,給終端正常訪問企業(yè)網(wǎng)絡(luò)的權(quán)限。在一個(gè)實(shí)施例中,如果終端未成功通過設(shè)備評(píng)估過程,則可以使用安全隧道來修補(bǔ)終端,以便在終止安全隧道之前使終端順應(yīng)。在一個(gè)實(shí)施例中,安全網(wǎng)關(guān)適于區(qū)分由于成功順應(yīng)而引起的隧道終止與由于其他原因而引起的隧道終止。在一個(gè)這樣的實(shí)施例中,安全網(wǎng)關(guān)可以使用增強(qiáng)的隧道終止過程以便區(qū)分由于成功順應(yīng)校驗(yàn)而引起的隧道終止與由于其他原因而引起的終止。圖5繪出根據(jù)本發(fā)明一個(gè)實(shí)施例的方法的流程圖。具體地說,圖5的方法500包括用于從安全客戶端傳輸信息的方法。盡管描繪成依次執(zhí)行的,但本領(lǐng)域技術(shù)人員將認(rèn)識(shí)到,方法500的步驟的至少一部分可以同時(shí)執(zhí)行,或者以不同于圖5所示的順序執(zhí)行。方法500在步驟502開始,并且前進(jìn)到步驟504。在步驟504,將信息從終端傳送到相關(guān)聯(lián)的安全客戶端。在步驟506,做出關(guān)于是否存在安全連接以便將信息從安全客戶端傳輸?shù)脚c安全網(wǎng)關(guān)通信的設(shè)備的判斷。在一個(gè)實(shí)施例中,由于安全客戶端支持"永遠(yuǎn)在線,,能力,因此可以存在安全連接(即使相關(guān)聯(lián)的終端處于非活動(dòng)狀態(tài),如斷電)。如果存在安全連接,則方法500前進(jìn)到步驟516。在一個(gè)實(shí)施例中,由于移動(dòng)企業(yè)客戶可能進(jìn)入和離開無線覆蓋區(qū)域,因此可能沒有可支持安全客戶端與安全網(wǎng)關(guān)之間的安全連接的無線網(wǎng)絡(luò)。如果不存在安全連接,則方法500前進(jìn)到步驟508。在步驟508,做出關(guān)于網(wǎng)絡(luò)是否可用的判斷。在一個(gè)實(shí)施例中,做出關(guān)于無線網(wǎng)絡(luò)是否可用的判斷。如果網(wǎng)絡(luò)可用,則方法500前進(jìn)到步驟516。在一個(gè)實(shí)施例中,由于移動(dòng)企業(yè)客戶可能進(jìn)入和離開無線覆蓋區(qū)域,因此可能沒有可支持安全客戶端與安全網(wǎng)關(guān)之間的安全連接的無線網(wǎng)絡(luò)。如果網(wǎng)絡(luò)不可用,則方法500前進(jìn)到步驟510。在步驟510,安全客戶端將從終端接收的信息本地存儲(chǔ)。在一個(gè)實(shí)施例中,可以將信息存儲(chǔ)在安全客戶端上的非易失性閃存中。方法500然后前進(jìn)到步驟512。在步驟512,做出關(guān)于網(wǎng)絡(luò)是否可用的判斷,在一個(gè)實(shí)施例中,做出關(guān)于無線網(wǎng)絡(luò)是否可用的判斷。如果網(wǎng)絡(luò)不可用,則方法500在步驟512內(nèi)循環(huán),直到檢測(cè)到用于建立用于傳輸信息的安全連接的網(wǎng)絡(luò)為止。如果網(wǎng)絡(luò)可用,則方法500前進(jìn)到步驟514。在步驟514,從安全客戶端存儲(chǔ)器中提取從終端接收的信息。方法500然后前進(jìn)到步驟524。在步驟516,做出關(guān)于從終端接收的信息傳輸是否被延遲的判斷。在一個(gè)實(shí)施例中,如這里所述,傳輸可能由于多種原因而凈皮延遲,由于這些原因使用安全連接的信息傳輸可能被延遲。例如,在一個(gè)實(shí)施例中,可以對(duì)請(qǐng)求的信息傳輸進(jìn)行分析以區(qū)分要求立即響應(yīng)的傳輸(例如,音頻轉(zhuǎn)換)和不要求立即響應(yīng)的傳輸(例如,電子郵件傳輸、數(shù)據(jù)備份傳輸?shù)?,不要求立即響應(yīng)的任何信息傳輸可以相應(yīng)于各種狀況而被延遲(例如,延遲到無線信號(hào)質(zhì)量滿足閾值為止,當(dāng)正在服務(wù)閾值數(shù)量的其他客戶端時(shí)延遲,等等)。如果信息的傳輸未被延遲,則方法500前進(jìn)到步驟524。如果信息的傳輸被延遲,則方法500前進(jìn)到步驟518。在步驟518,安全客戶端將從終端接收的信息本地存儲(chǔ)。在一個(gè)實(shí)施例中,可以將信息存儲(chǔ)在安全客戶端上的非易失性閃存中。方法500然后前進(jìn)到步驟520。在步驟520,做出關(guān)于是否滿足傳輸準(zhǔn)則的判斷。例如,在其中對(duì)請(qǐng)求的信息傳輸進(jìn)行分析以區(qū)分延遲敏感的信息傳輸和延遲不敏感的信息傳輸?shù)囊粋€(gè)實(shí)施例中,延遲不敏感的信息傳輸被延遲到滿足傳輸準(zhǔn)則為止(例如,直到無線信號(hào)質(zhì)量滿足閾值為止,直到閾值數(shù)量的其他客戶端被服務(wù)為止,等等)。如果不滿足傳輸準(zhǔn)則,則方法500在步驟520內(nèi)循環(huán),直到滿足傳輸準(zhǔn)則為止。如果滿足傳輸準(zhǔn)則,則方法500前進(jìn)到步驟522。在步驟522,從安全客戶端存儲(chǔ)器中提取從終端接收的信息。然后方法500前進(jìn)到步驟524。在步驟524,使用安全客戶端與安全網(wǎng)關(guān)之間的安全連接,從安全客戶端傳輸信息。在本發(fā)明的一個(gè)實(shí)施例中,由于安全客戶端適于獨(dú)立于與安全客戶端相關(guān)的終端的功率狀態(tài)(例如,獨(dú)立于活動(dòng)功率狀態(tài),如喚醒模式、加電等,獨(dú)立于非活動(dòng)功率狀態(tài),如睡眠模式、斷電等,并且獨(dú)立于任何其他有效的功率狀態(tài))維持與安全網(wǎng)關(guān)的安全連接,因此安全客戶端適于獨(dú)立于與安全客戶端相關(guān)的終端的功率狀態(tài)而傳輸信息。方法500然后前進(jìn)到步驟526,在此方法500結(jié)束。圖6繪出了根據(jù)本發(fā)明一個(gè)實(shí)施例的方法的流程圖。具體地說,圖6的方法600包括用于在安全客戶端接收信息的方法。盡管描繪為依次執(zhí)行,但本領(lǐng)域技術(shù)人員將認(rèn)識(shí)到,方法600的至少一部分步驟可以同時(shí)執(zhí)行,或者以不同于圖6所示的順序執(zhí)行。方法600在步驟602開始,并且前進(jìn)到步驟604。在步驟604,在安全客戶端通過安全連接接收信息。在步驟606,做出關(guān)于與安全客戶端相關(guān)聯(lián)的終端是否活動(dòng)的判斷。如果與安全客戶端設(shè)備相關(guān)聯(lián)的終端是活動(dòng)的,則方法600前進(jìn)到步驟614。如果與安全客戶端設(shè)備相關(guān)聯(lián)的終端不是活動(dòng)的(例如,與客戶端設(shè)備相關(guān)聯(lián)的終端處于睡眠模式、斷電等),則方法600前進(jìn)到步驟608。在步驟608,安全客戶端將在安全客戶端接收的信息本地存儲(chǔ)。在一個(gè)實(shí)施例中,可以將信息存儲(chǔ)在安全客戶端上的非易失性閃存中。方法600然后前進(jìn)到步驟610。在步驟610,做出關(guān)于與安全客戶端相關(guān)聯(lián)的終端是否活動(dòng)的判斷。如果與安全客戶端設(shè)備相關(guān)聯(lián)的終端不是活動(dòng)的,則方法600在步驟610內(nèi)循環(huán),直到安全客戶端檢測(cè)到與安全客戶端相關(guān)聯(lián)的終端是活動(dòng)的為止(例如,直到安全客戶端檢測(cè)到終端從非活動(dòng)狀態(tài)(例如,睡眠模式、斷電等)轉(zhuǎn)移到活動(dòng)狀態(tài)(例如,喚醒模式、加電等)為止)。如果與安全客戶端設(shè)備相關(guān)聯(lián)的終端是活動(dòng)的,則方法600前進(jìn)到步驟612。在步驟612,從安全客戶端存儲(chǔ)器中提取由安全客戶端接收和存儲(chǔ)的信息。方法600然后前進(jìn)到步驟614。在步驟614,將信息從安全客戶端傳輸?shù)较嚓P(guān)聯(lián)的終端。在本發(fā)明的一個(gè)實(shí)施例中,由于安全客戶端適于獨(dú)立于與安全客戶端相關(guān)聯(lián)的終端的功率狀態(tài)(例如,加電、睡眠模式、斷電等)維持與安全網(wǎng)關(guān)的安全連接,因此安全客戶端適于在相關(guān)聯(lián)的終端非活動(dòng)的時(shí)候接收各種信息(例如,電子郵件消息、企業(yè)推動(dòng)的軟件補(bǔ)丁等),然后響應(yīng)于檢測(cè)到終端已從非活動(dòng)狀態(tài)轉(zhuǎn)移到活動(dòng)狀態(tài)將信息送交給終端。方法600然后前進(jìn)到步驟616,在此方法600結(jié)束。如這里所述,本發(fā)明提供一種安全系統(tǒng),在越來越多地利用寬帶無線網(wǎng)絡(luò)的同時(shí)允許企業(yè)用戶安全地訪問企業(yè)網(wǎng)絡(luò)。在本發(fā)明的一個(gè)實(shí)施例中,安全客戶端設(shè)備的"永遠(yuǎn)在線"能力允許終端設(shè)備與企業(yè)網(wǎng)絡(luò)之間的持續(xù)通信。安全的"永遠(yuǎn)在線"系統(tǒng)允許支持有益于最終用戶和系統(tǒng)管理員的各種特征。安全的"永遠(yuǎn)在線"系統(tǒng)所允許的特征可以包括應(yīng)用加速特征、遠(yuǎn)程管理特征、無線網(wǎng)絡(luò)優(yōu)化特征以及類似特征,以及其各種組合。在一個(gè)實(shí)施例中,這里所述的安全系統(tǒng)保證在包括安全客戶端的終端中,對(duì)該終端唯一可用的IP網(wǎng)絡(luò)訪問是通過企業(yè)內(nèi)部網(wǎng)絡(luò)。在一個(gè)這樣的實(shí)施例中,這里所述的安全系統(tǒng)確保當(dāng)終端在企業(yè)外部時(shí),對(duì)該終端來說唯一的IP網(wǎng)絡(luò)訪問是通過在企業(yè)內(nèi)部終止的安全隧道。根據(jù)本發(fā)明適于支持這些安全目標(biāo)的一個(gè)實(shí)施例,安全系統(tǒng)確保未登錄到終端上(或者登錄到終端上的無權(quán)限帳戶)的用戶不能通過任何方式(包括插入/移除安全客戶端、動(dòng)力循環(huán)該終端、使用主PC上的鍵盤、鼠標(biāo)和可移動(dòng)存儲(chǔ)介質(zhì)執(zhí)行操作等的各種組合)挫敗主要安全目標(biāo)。在一個(gè)實(shí)施例中,這里所述的安全系統(tǒng)確保終端在沒有與該終端相關(guān)聯(lián)的相應(yīng)安全客戶端的情況下是不可用的。在一個(gè)實(shí)施例中,安全系統(tǒng)檢測(cè)和報(bào)告任何破壞該安全系統(tǒng)的嘗試(不管成功與否)。同樣,即使終端的用戶獲得了管理員權(quán)限,躲避安全解決方案所實(shí)施的限制的嘗試也很可能失敗。此外,即使安全系統(tǒng)被高級(jí)軟件或硬件黑客攻擊,也能檢測(cè)和報(bào)告躲避安全系統(tǒng)所實(shí)施的限制的嘗試,并且通過使用安全網(wǎng)關(guān)與安全客戶端之間的安全連接從管理系統(tǒng)推動(dòng)到安全客戶端的更新,關(guān)閉成功的使用。如這里所述,可以使用安全隧道實(shí)現(xiàn)根據(jù)本發(fā)明的安全系統(tǒng)的安全連接。在一個(gè)這樣的實(shí)施例中,安全隧道在安全客戶端上起源,并且在安全網(wǎng)關(guān)上終止。在一個(gè)這樣的實(shí)施例中,與安全客戶端相關(guān)聯(lián)的終端確保所有網(wǎng)絡(luò)通信穿過安全客戶端。為了建立根據(jù)本發(fā)明一個(gè)實(shí)施例的安全隧道(即,為了支持本發(fā)明的各種功能),執(zhí)行各種動(dòng)作,包括選擇主機(jī)接口、獲得IP地址以及選擇與之建立安全隧道的安全網(wǎng)關(guān)。通常,計(jì)算設(shè)備可能具有多個(gè)網(wǎng)絡(luò)接口(可能是不同類型的).除了終端可能支持的網(wǎng)絡(luò)接口外,與終端相關(guān)聯(lián)的安全客戶端還支持無線網(wǎng)絡(luò)接口。同樣,相關(guān)用戶具有各種用于建立網(wǎng)絡(luò)連接的選項(xiàng)。為了支持本發(fā)明的"永遠(yuǎn)在線"功能,安全客戶端無線網(wǎng)絡(luò)接口總是連接到無線網(wǎng)絡(luò),并且同樣可從終端訪問。在本發(fā)明的一個(gè)實(shí)施例中,與終端相關(guān)聯(lián)的所有業(yè)務(wù)將通過安全客戶端。安全客戶端對(duì)終端中的所有接口一包括安全客戶端中的無線網(wǎng)絡(luò)接口,執(zhí)行l(wèi)PSec處理。在一個(gè)實(shí)施例中,終端和安全客戶端部件的組合協(xié)作來獲得IP地址,響應(yīng)設(shè)備順應(yīng)性評(píng)估過程,并且建立到安全網(wǎng)關(guān)的安全隧道。為了在因特網(wǎng)上通信,計(jì)算設(shè)備必須具有IP地址和其他信息,如缺省網(wǎng)關(guān)、域名服務(wù)(DNS)服務(wù)器等。該信息典型地是通過使用DHCP協(xié)議的服務(wù)器等、利用計(jì)算機(jī)上的靜態(tài)分配獲得的。在正常的設(shè)置中,一旦獲得了IP地址(即,非企業(yè)IP地址),用戶就可以自由訪問因特網(wǎng).在該實(shí)施例中,在獲得了非企業(yè)IP地址之后,安全客戶端嘗試與安全網(wǎng)關(guān)建立安全隧道。然后在其中企業(yè)只部署一個(gè)安全網(wǎng)關(guān)的一個(gè)實(shí)施例中,從該安全網(wǎng)關(guān)獲得企業(yè)IP地址。在其中企業(yè)部署多個(gè)安全網(wǎng)關(guān)的另一實(shí)施例中,必須選擇與之建立安全隧道的安全網(wǎng)關(guān)。在該實(shí)施例中,可以基于預(yù)配置的靜態(tài)信息、有利于負(fù)載平衡概念的動(dòng)態(tài)信息等中的至少一個(gè),選擇與之建立安全隧道的安全網(wǎng)關(guān)。在一個(gè)實(shí)施例中,除了最初安全隧道建立外,還可以在安全網(wǎng)關(guān)故障的場(chǎng)合期間使用安全網(wǎng)關(guān)的選擇。在該實(shí)施例中,在獲得非企業(yè)IP地址和識(shí)別應(yīng)當(dāng)與之建立安全隧道的安全網(wǎng)關(guān)之后,安全客戶端從安全網(wǎng)關(guān)獲得IP地址(即,企業(yè)IP地址)。終端應(yīng)用只能通過該企業(yè)IP地址訪問網(wǎng)絡(luò)(即,終端應(yīng)用不能通過非企業(yè)IP地址訪問網(wǎng)絡(luò))。在一個(gè)實(shí)施例中,用于獲得非企業(yè)IP地址的協(xié)商(例如,使用DHCP)和隨后安全隧道的建立是由安全客戶端執(zhí)行的,并且這對(duì)終端是隱藏的。在該實(shí)施例中,在獲得企業(yè)IP地址之后,在安全客戶端卡與安全網(wǎng)關(guān)之間建立安全隧道。在一個(gè)這樣的實(shí)施例中,使用標(biāo)準(zhǔn)IPSec過程(包括IKE)執(zhí)行隧道建立。在一個(gè)實(shí)施例中,作為與安全網(wǎng)關(guān)建立隧道的一部分,執(zhí)行驗(yàn)證。在一個(gè)實(shí)施例中,驗(yàn)證可以是基于用戶身份,如口令或數(shù)字化指紋以及相關(guān)的VPN密鑰卡產(chǎn)生的秘密密鑰,從而僅僅用戶身份或VPN密鑰卡的泄漏將不會(huì)危害系統(tǒng)。通常,VPN密鑰卡是與用戶唯一相關(guān)聯(lián)的。安全客戶端卡與終端軟件協(xié)作執(zhí)行用戶識(shí)別。在一個(gè)實(shí)施例中,在安全隧道建立之后并且在終端軟件使用安全隧道之前,終端軟件、安全客戶端和安全服務(wù)器可以以協(xié)作的方式執(zhí)行設(shè)備檢查。在一個(gè)實(shí)施例中,在安全隧道建立之后,安全客戶端和安全網(wǎng)關(guān)協(xié)作來以對(duì)與終端關(guān)聯(lián)的用戶透明、而且在無線網(wǎng)絡(luò)資源方面有效的方式,維護(hù)安全隧道。例如,在其中無線網(wǎng)絡(luò)變得不可用并且用戶將終端置于斷電模式的一個(gè)實(shí)施例中,在檢測(cè)到無線網(wǎng)絡(luò)可用后,安全客戶端可以重新與安全網(wǎng)關(guān)建立安全隧道。同樣,在本發(fā)明的一個(gè)實(shí)施例中,即使終端斷電,安全客戶端也可以使用安全連接發(fā)送所存儲(chǔ)的信息(安全客戶端在無線網(wǎng)絡(luò)連接不可用的時(shí)候從相關(guān)聯(lián)的終端獲得并本地存儲(chǔ)的信息)以及接收和存儲(chǔ)信息(安全客戶端在終端斷電的時(shí)候從企業(yè)內(nèi)聯(lián)網(wǎng)獲得并本地存儲(chǔ)的信息)。如這里所述,本發(fā)明的包括安全客戶端和安全網(wǎng)關(guān)的安全系統(tǒng)支持應(yīng)用加速功能。通常,企業(yè)用戶已經(jīng)習(xí)慣于在工作和家中的高質(zhì)量、高速度連接性,并且期望從遠(yuǎn)程連接性獲得相同的體驗(yàn)。本發(fā)明包括各種應(yīng)用加速功能,以提供高質(zhì)量、高速度的遠(yuǎn)程連接性。在本發(fā)明的一個(gè)實(shí)施例中,應(yīng)用加速功能可以包括緩存功能(例如,對(duì)于后臺(tái)傳輸)、業(yè)務(wù)過濾功能(例如,在安全客戶端、安全網(wǎng)關(guān)等上)、壓縮功能(例如,數(shù)據(jù)壓縮、協(xié)議頭壓縮等)、隧道地址轉(zhuǎn)換功能、協(xié)議優(yōu)化功能等等,以及其各種組合。在一個(gè)實(shí)施例中,本發(fā)明提供在安全客戶端上的緩存。在一個(gè)這樣的實(shí)施例中,安全客戶端包括內(nèi)聯(lián)(in-line)、雙向、透明應(yīng)用緩存代理。緩存代理駐留在IPSec層的上方,并且緩存兩個(gè)方向上(即,從終端到網(wǎng)絡(luò)以及從網(wǎng)絡(luò)到終端)的數(shù)據(jù)。在一個(gè)實(shí)施例中,安全客戶端緩存用戶證書,盡管在不失安全性的情況下可以在非易失性存儲(chǔ)器中進(jìn)行有限量的證書緩存。在一個(gè)實(shí)施例中,對(duì)于諸如電子郵件、日歷(即,MicrosoftExchange)、網(wǎng)頁(yè)饋送(例如,RSS2.0)等應(yīng)用以及其各種組合,安全客戶端緩存雙向上的應(yīng)用數(shù)據(jù)。由于即使當(dāng)終端斷電(例如,處于睡眠狀態(tài))時(shí)安全客戶端仍保持活動(dòng),因此可以使用緩存在終端斷電的時(shí)候執(zhí)行各種數(shù)據(jù)傳輸。在一個(gè)實(shí)施例中,由于安全客戶端維持與網(wǎng)絡(luò)的安全連接,因此安全客戶端上的緩存可以用于存儲(chǔ)利用安全連接從網(wǎng)絡(luò)接收的數(shù)據(jù),在另一個(gè)實(shí)施例中,在檢測(cè)到與客戶端設(shè)備相關(guān)聯(lián)的終端被激活時(shí),可以將至少一部分緩存的網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)浇K端存儲(chǔ)器。在一個(gè)實(shí)施例中,由于安全客戶端維持與網(wǎng)絡(luò)的安全連接,因此安全客戶端上的緩存可以用于(通過與網(wǎng)絡(luò)的安全連接)加栽利用安全客戶端上的緩存緩沖的數(shù)據(jù)。在一個(gè)實(shí)施例中,為了保留無線寬帶(特別是當(dāng)無線鏈路處于休眠模式時(shí)),本發(fā)明提供應(yīng)用業(yè)務(wù)過濾以消除不必要的業(yè)務(wù)。應(yīng)用業(yè)務(wù)過濾可以由安全客戶端、安全網(wǎng)關(guān)等中的至少一個(gè)以及其各種組合執(zhí)行。在一個(gè)實(shí)施例中,可以過濾至少一部分廣播業(yè)務(wù)(例如,RIP、0SPF、ARP等)。例如,由于路由更新對(duì)于用戶是不必要的,因此可以在安全隧道的任一端使用代理ARP來抑制ARP。在一個(gè)實(shí)施例中,可以過濾NetBIOS,在一個(gè)實(shí)施例中,可以使用緩存數(shù)據(jù)代理至少一部分過濾的業(yè)務(wù)。在一個(gè)實(shí)施例中,除了應(yīng)用業(yè)務(wù)過濾或者代替應(yīng)用業(yè)務(wù)過濾,本發(fā)明可以根據(jù)不同的工作參數(shù)運(yùn)行各種應(yīng)用。在一個(gè)實(shí)施例中,應(yīng)用可以以減少的更新頻率運(yùn)行。例如,可以每五分鐘而不是每三十秒輪詢電子郵件和RSS饋送。在一個(gè)實(shí)施例中,應(yīng)用請(qǐng)求可以被捆在一起。例如,對(duì)于TCP連接,可以將各"keepalive,,請(qǐng)求捆在一個(gè)時(shí)間間隔中,在安全隧道的任一端代理,等等。盡管這里主要是參照應(yīng)用數(shù)據(jù)過濾和應(yīng)用工作參數(shù)的修改進(jìn)行描迷的,但可以使用根據(jù)本發(fā)明一個(gè)實(shí)施例的各種其他保留無線帶寬的方法。在一個(gè)實(shí)施例中,本發(fā)明提供支持應(yīng)用加速的壓縮能力,在一個(gè)實(shí)施例中,可以壓縮應(yīng)用數(shù)據(jù)。在一個(gè)這樣的實(shí)施例中,可以使用IPC0M壓縮標(biāo)準(zhǔn)結(jié)合IPSec執(zhí)行應(yīng)用數(shù)據(jù)壓縮。應(yīng)當(dāng)注意,盡管這種壓縮可能對(duì)文本數(shù)據(jù)(例如,XML)有用,但這種壓縮對(duì)于通常已經(jīng)被壓縮的二進(jìn)制文件(例如,GIF、ZIP、EXE、MPEG等)不那么有用。在一個(gè)實(shí)施例中,可以壓縮協(xié)議頭。在一個(gè)這樣的實(shí)施例中,可以使用對(duì)用戶數(shù)據(jù)報(bào)協(xié)議(UDP)、傳輸控制協(xié)議(TCP)的VJ壓縮和因特網(wǎng)協(xié)議(IP)內(nèi)頭壓縮,來壓縮協(xié)i義頭。在一個(gè)實(shí)施例中,本發(fā)明提供支持應(yīng)用加速的隧道地址轉(zhuǎn)換(TAT)能力。通常,隧道地址轉(zhuǎn)換是分布式網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)操作,由此隧道傳輸?shù)念^可以在隧道一端被網(wǎng)絡(luò)地址轉(zhuǎn)換,在隧道另一端被反網(wǎng)絡(luò)地址轉(zhuǎn)換。在傳統(tǒng)的隧道傳輸中,將額外的UDP/IP頭添加給分組的原始TCP/IP或UDP/IP頭。結(jié)果,每個(gè)分組與兩個(gè)源IP、兩個(gè)目的IP、兩個(gè)源端口和兩個(gè)目的端口(即,一個(gè)用于外部的頭,一個(gè)用于內(nèi)部的頭)相關(guān)聯(lián)。在一個(gè)實(shí)施例中,TAT實(shí)現(xiàn)要求流啟動(dòng)和流終止檢測(cè),它們可以4吏用流過濾、應(yīng)用探聽(snooping)(例如,對(duì)SIPINVITE有效負(fù)荷的探聽)等來執(zhí)行。在該實(shí)施例中,注意到對(duì)于所有流,外部頭地址和端口是不變的,并且對(duì)于給定的流,內(nèi)部頭地址和端口是不變的,從而每個(gè)流可以被重映射為一個(gè)新的頭,這一個(gè)頭封裝了外部和內(nèi)部頭。在該實(shí)施例中,TCP流將需要TCP/IP頭,并且UDP流將需要UDP/IP頭。例如,考慮UDP流(例如,音頻對(duì)話和視頻流),消除內(nèi)部UDP/IP頭將為每個(gè)分組消除28個(gè)字節(jié),大大提高了無線鏈路效率。類似地,對(duì)于TCP流,消除外部UDP/IP頭將為每個(gè)分組消除28個(gè)字節(jié)的開銷。在一個(gè)實(shí)施例中,本發(fā)明提供支持應(yīng)用加速的協(xié)議優(yōu)化能力。在一個(gè)實(shí)施例中,協(xié)議優(yōu)化包括TCP優(yōu)化。在一個(gè)這樣的實(shí)施例中,TCP優(yōu)化可以包括響應(yīng)于鏈路損失搶先重傳TCP段。在一個(gè)實(shí)施例中,由于無線帶寬是稀缺資源,因此協(xié)議優(yōu)化可以包括應(yīng)用優(yōu)先化(包括根據(jù)應(yīng)用優(yōu)先化的分組調(diào)度),以限制低優(yōu)先級(jí)應(yīng)用的可用帶寬。例如,音頻業(yè)務(wù)可以被配置成具有高優(yōu)先級(jí),而電子郵件可以被配置成具有低優(yōu)先級(jí)。如這里所述,本發(fā)明的包括安全客戶端和安全網(wǎng)關(guān)的安全系統(tǒng)支持遠(yuǎn)程系統(tǒng)管理功能。在一個(gè)實(shí)施例中,由于安全客戶端的工作與安全客戶端所在的終端狀態(tài)如何(即,安全客戶端支持"永遠(yuǎn)在線"能力)無關(guān),因此系統(tǒng)管理員可以遠(yuǎn)程訪問安全客戶端,而不管安全客戶端所在的終端狀態(tài)如何。在一個(gè)實(shí)施例中,與安全客戶端維持安全連接的安全網(wǎng)關(guān)支持系統(tǒng)管理員對(duì)安全客戶端的遠(yuǎn)程訪問。在一個(gè)實(shí)施例中,系統(tǒng)管理員對(duì)安全客戶端的遠(yuǎn)程訪問允許系統(tǒng)管理員執(zhí)行各種安全客戶端維護(hù)和控制活動(dòng)。在一個(gè)這樣的實(shí)施例中,系統(tǒng)管理員可以確定安全客戶端和相關(guān)聯(lián)的終端的當(dāng)前軟件版本,確定安全客戶端軟件和終端軟件的軟件升級(jí)/補(bǔ)丁的目錄(包括安裝在安全客戶端或終端中的最新版本的反病毒或其他軟件),訪問和讀取網(wǎng)絡(luò)活動(dòng)日志(例如,正常運(yùn)行時(shí)間和故障時(shí)間信息),確定與終端相關(guān)聯(lián)的用戶是否試圖違反策略(例如,從終端卸載安全客戶端驅(qū)動(dòng)程序、從終端卸載終端驅(qū)動(dòng)程序等)。在一個(gè)實(shí)施例中,系統(tǒng)管理員對(duì)安全客戶端的遠(yuǎn)程訪問允許系統(tǒng)管理員將軟件更新推動(dòng)給安全客戶端。在一個(gè)實(shí)施例中,由于安全客戶端支持"永遠(yuǎn)在線,,能力,因此系統(tǒng)管理員可以在相關(guān)聯(lián)的終端斷電的時(shí)候?qū)⒏峦苿?dòng)到安全客戶端。在該實(shí)施例中,安全客戶端在相關(guān)聯(lián)的終端斷電的時(shí)候接收到的信息(例如,軟件更新、電子郵件等)導(dǎo)致接收的信息被存儲(chǔ)在安全客戶端的本地閃存中。在該實(shí)施例中,當(dāng)終端被加電時(shí),將存儲(chǔ)在安全客戶端的閃存中的信息從安全客戶端傳送到終端(即,立即可被用戶獲得)。在一個(gè)實(shí)施例中,系統(tǒng)管理員對(duì)安全客戶端的遠(yuǎn)程訪問允許系統(tǒng)管理員響應(yīng)于檢測(cè)到的狀況將軟件更新推動(dòng)到安全客戶端。例如,如果遠(yuǎn)程企業(yè)用戶正參與重要的會(huì)議,需要立即訪問信息,而終端在加載軟件更新之前無法使用(即,終端由于下載安裝軟件更新所需的終端和帶寬資湃的消耗而變得實(shí)際上不可用),則移動(dòng)工作者的生產(chǎn)力收到影響。在一個(gè)這樣的實(shí)施例中,本發(fā)明允許系統(tǒng)管理員響應(yīng)于與安全客戶端相關(guān)聯(lián)的終端功能未被使用的判斷(例如,一個(gè)或多個(gè)終端進(jìn)程空閑,終端處于睡眠模式,終端被斷電等),將信息推動(dòng)到安全客戶端。在一個(gè)實(shí)施例中,安全客戶端的遠(yuǎn)程訪問允許安全客戶端上的遠(yuǎn)程系統(tǒng)升級(jí)和補(bǔ)丁。在一個(gè)實(shí)施例中,企業(yè)系統(tǒng)管理員將系統(tǒng)圖像、軟件模塊(包括可動(dòng)態(tài)加載的設(shè)備驅(qū)動(dòng)程序模塊)升級(jí)和補(bǔ)丁從管理系統(tǒng)(舉例來說,圖1中繪出的MS116)經(jīng)由建立的安全隧道推動(dòng)到安全客戶端存儲(chǔ)器(例如,依據(jù)軟件的大小使用DRAM、閃存等中的至少一個(gè))。在一個(gè)實(shí)施例中,可以在將需要的軟件下載到安全客戶端上之后,遠(yuǎn)程地在安全客戶端嵌入式系統(tǒng)上執(zhí)行相關(guān)聯(lián)的軟件升級(jí)和補(bǔ)丁命令。在一個(gè)實(shí)施例中,使用相關(guān)聯(lián)的終端,以對(duì)相關(guān)企業(yè)用戶透明的方式執(zhí)行安全客戶端軟件更新和補(bǔ)丁。在另一實(shí)施例中,為了最小化企業(yè)用戶對(duì)終端用途的中斷,可以實(shí)現(xiàn)終端用戶會(huì)話接口,以向安全客戶端系統(tǒng)指示資源密集型升級(jí)/補(bǔ)丁進(jìn)程。在一個(gè)這樣的實(shí)施例中,終端用戶會(huì)話接口可以提供可選的選項(xiàng),允許與終端相關(guān)聯(lián)的企業(yè)用戶啟動(dòng)(例如,"現(xiàn)在升級(jí),,)或延遲(例如,"在一小時(shí)后升級(jí)")升級(jí)/補(bǔ)丁進(jìn)程。在一個(gè)實(shí)施例中,安全客戶端軟件升級(jí)和補(bǔ)丁包括各種對(duì)安全客戶端配置、安全參數(shù)、安全策略等以及其各種組合進(jìn)行升級(jí)和打補(bǔ)丁的能力。在一個(gè)實(shí)施例中,安全客戶端嵌入式系統(tǒng)包括文件下載管理器,其平衡升級(jí)和補(bǔ)丁軟件下載與正常網(wǎng)絡(luò)接口使用,以改善用戶體驗(yàn)。下載管理器使用分段的文件下栽技術(shù)來處理網(wǎng)絡(luò)中斷、斷開和重連、低速網(wǎng)絡(luò)環(huán)境中的大文件下載等,以及其各種組合。在一個(gè)實(shí)施例中,終端的遠(yuǎn)程訪問允許在終端上的遠(yuǎn)程系統(tǒng)升級(jí)和補(bǔ)丁。在一個(gè)實(shí)施例中,管理系統(tǒng)在終端上執(zhí)行遠(yuǎn)程操作系統(tǒng)以及軟件升級(jí)和補(bǔ)丁、反病毒軟件定義更新、企業(yè)系統(tǒng)策略更新等,以及其各種組合。由于在諸如MicrosoftSystemManagementServer(SMS)或第三方廠商解決方案的現(xiàn)有企業(yè)IT基礎(chǔ)架構(gòu)中支持許多這樣的任務(wù),因此管理系統(tǒng)可以利用現(xiàn)有的解決方案,以使用安全連接(例如,企業(yè)VPN)來執(zhí)行這些和類似任務(wù)。在一個(gè)實(shí)施例中,管理系統(tǒng)通過迅速調(diào)度關(guān)鍵升級(jí)和補(bǔ)丁下載來改善終端軟件升級(jí)和補(bǔ)丁任務(wù)的執(zhí)行,并且利用客戶端文件下載管理器更有效地完成任務(wù),從而最小化終端干擾。如這里所述,安全客戶端上的閃存可以用于緩沖下載文件,從而在完成下載之前不消耗終端資源。在一個(gè)實(shí)施例中,可以將終端軟件、設(shè)備驅(qū)動(dòng)程序和簡(jiǎn)檔升級(jí)和補(bǔ)丁整合到現(xiàn)有的企業(yè)解決方案中。如這里所述,本發(fā)明的包括安全客戶端和安全網(wǎng)關(guān)的安全系統(tǒng)支持無線網(wǎng)絡(luò)優(yōu)化功能。在一個(gè)實(shí)施例中,通過根據(jù)應(yīng)用響應(yīng)時(shí)間要求對(duì)應(yīng)用數(shù)據(jù)傳輸設(shè)置優(yōu)先級(jí),來執(zhí)行無線網(wǎng)絡(luò)優(yōu)化。在一個(gè)這樣的實(shí)施例中,延遲與不需要立即響應(yīng)時(shí)間的應(yīng)用(例如,電子郵件、數(shù)據(jù)備份等)相關(guān)聯(lián)的數(shù)據(jù)傳輸。在一個(gè)實(shí)施例中,安全客戶端區(qū)分延遲敏感的信息傳輸和延遲不敏感的信息傳輸,并且要求僅在以下情況時(shí)相關(guān)聯(lián)的基站才啟動(dòng)延遲不敏感的信息傳輸(1)無線信號(hào)質(zhì)量滿足閾值和(2)基站滿足閾值數(shù)量的要求服務(wù)的客戶。在本發(fā)明的一個(gè)實(shí)施例中,這種優(yōu)化可以大大改進(jìn)無線網(wǎng)絡(luò)容量,從而給無線服務(wù)提供商帶來巨大的成本優(yōu)勢(shì)。盡管這里詳細(xì)顯示和描述了包括本發(fā)明教學(xué)的各種實(shí)施例,但不領(lǐng)域技術(shù)人員能容易地設(shè)計(jì)出許多仍包括這些教學(xué)的其他變型實(shí)施例。權(quán)利要求1.一種裝置,包括網(wǎng)絡(luò)接口模塊,適于維持與網(wǎng)絡(luò)設(shè)備的安全連接,而不管與終端相關(guān)聯(lián)的主計(jì)算機(jī)的功率狀態(tài)如何;存儲(chǔ)模塊,用于存儲(chǔ)與安全連接相關(guān)聯(lián)的信息;和耦接到網(wǎng)絡(luò)接口和存儲(chǔ)器的處理器,該處理器適于自動(dòng)啟動(dòng)安全連接而無需用戶交互。2.如權(quán)利要求l所述的裝置,其中所述處理器適于響應(yīng)于觸發(fā)條件自動(dòng)啟動(dòng)所述安全連接,其中觸發(fā)條件包括檢測(cè)到可用的網(wǎng)絡(luò)或者檢測(cè)到來自網(wǎng)絡(luò)設(shè)備的請(qǐng)求。3.如權(quán)利要求l所述的裝置,其中與所述安全連接相關(guān)聯(lián)的信息包括在該安全連接上接收到的信息和分配用來在該安全連接上傳輸?shù)男畔⒅械闹辽僖粋€(gè)。4.如權(quán)利要求l所述的裝置,還包括耦接到所述處理器的主機(jī)接口模塊,用于支持該裝置與主計(jì)算機(jī)之間的通信;其中該處理器適于響應(yīng)于檢測(cè)到主計(jì)算機(jī)從非活動(dòng)狀態(tài)到活動(dòng)狀態(tài)的轉(zhuǎn)移,從存儲(chǔ)設(shè)備檢索信息并且將信息提供給主機(jī)接口,以便將信息傳送到主計(jì)算機(jī)。5.如權(quán)利要求l所述的裝置,其中所述處理器適于響應(yīng)于安全連接不可用的判斷,將分配用來在安全連接上傳輸?shù)男畔⒋鎯?chǔ)在存儲(chǔ)模塊中。6.如權(quán)利要求l所述的裝置,其中所述處理器適于響應(yīng)于訪問網(wǎng)絡(luò)可用的判斷,重新建立安全連接,從存儲(chǔ)模塊中檢索信息,并且使用安全連接將該信息向網(wǎng)絡(luò)設(shè)備傳送。7.—種方法,包括從主計(jì)算機(jī)接收信息;使用安全連接向網(wǎng)絡(luò)設(shè)備發(fā)送所接收到的信息,其中該安全連接是自動(dòng)建立的,無需用戶交互,其中獨(dú)立于主計(jì)算機(jī)的功率狀態(tài)維持該安全連接。8.如權(quán)利要求7所述的方法,還包括響應(yīng)于第一條件存儲(chǔ)所接收的信息,其中第一條件包括網(wǎng)絡(luò)不可用;響應(yīng)于第二條件提取所存儲(chǔ)的信息,其中第二條件包括網(wǎng)絡(luò)可用;以及響應(yīng)于第二條件自動(dòng)建立安全連接。9.一種方法,包括在安全連接上接收信息,其中該安全連接是自動(dòng)建立的,無需用戶交互,其中獨(dú)立于主計(jì)算機(jī)的功率狀態(tài)維持該安全連接;以及將信息傳送到主計(jì)算機(jī)。10.如權(quán)利要求9所述的方法,還包括響應(yīng)于主計(jì)算機(jī)的功率狀態(tài)包括非活動(dòng)狀態(tài)的判斷,存儲(chǔ)所接收的信息;以及響應(yīng)于檢測(cè)到主計(jì)算機(jī)的功率狀態(tài)從非活動(dòng)狀態(tài)到活動(dòng)狀態(tài)的轉(zhuǎn)移,提取所存儲(chǔ)的信息。全文摘要本發(fā)明包括提供對(duì)企業(yè)網(wǎng)絡(luò)的安全遠(yuǎn)程訪問的方法和裝置。一種裝置(104)包括網(wǎng)絡(luò)接口模塊(202),適于維持與網(wǎng)絡(luò)設(shè)備的安全網(wǎng)絡(luò)連接(120),而不管與終端相關(guān)聯(lián)的主計(jì)算機(jī)的功率狀態(tài)如何;存儲(chǔ)模塊,用于存儲(chǔ)與安全連接相關(guān)聯(lián)的信息;和耦接到網(wǎng)絡(luò)接口和存儲(chǔ)器的處理器(204),該處理器適于自動(dòng)啟動(dòng)安全連接而無需用戶交互。文檔編號(hào)H04W52/02GK101322379SQ200680045390公開日2008年12月10日申請(qǐng)日期2006年12月1日優(yōu)先權(quán)日2005年12月2日發(fā)明者D·斯蒂利亞迪斯,P·V·N·科波爾,S·D·卡馬特,V·P·庫(kù)馬申請(qǐng)人:盧森特技術(shù)有限公司