技术领域

本发明涉及通信技术领域， 尤其涉及一种提高终端上网安全性的方 法、 系统和装置。 发明背景

随着移动互联网技术的发展， 移动终端可以通过移动终端侧的浏览 器上网， 从而获取网络信息。 具体地， 移动终端侧的浏览器向万维网

( Web ) /WAP服务器发送获取网络信息的请求， 对 Web/WAP服务器发 来的超文本信息和 /或多媒体数据等网络信息进行格式解释，并� �解释结 果予以显示和 /或播放。

移动互联网技术为用户带来了更为便捷的信息 获取方式， 也将传统 互联网存在的许多安全隐患带入了移动终端中 ， 如域名输入陷阱、 恶意 钓鱼网站、 恶意插件、 吸费应用等， 因此， 如何为用户构建一个安全的， 可信任的， 有归属感的移动网络环境， 成为亟待解决的问题。

由于恶意的钓鱼网站、 域名输入陷阱等不安全因素， 导致移动用户 浏览网页的安全性较差， 而对于如何提高移动终端浏览网页的安全性， 目前尚没有相应的技术方案。

对于用户下载文件的安全性检测， 目前， 通过在移动终端本地存储 病毒库， 根据本地存储的病毒库对下载的文件进行病毒 查杀， 从而提高 移动终端下载文件的安全性。

然而， 这种在本地存储病毒库的方式一方面需要占用 移动终端大量 的存储空间， 而且每次更新病毒库时还会占用移动终端大量 的通信流 量； 另一方面， 由于病毒库一般都有一定的更新周期， 因此无法在更新 周期内保证本地存储的病毒库是当前最新的， 移动终端下载文件的安全 性较差。 发明内容

有鉴于此， 本发明提供了一种提高终端上网安全性的方法 、 系统和 装置， 以便提高终端上网的安全性， 并节省终端侧的资源。

本发明的技术方案具体是这样实现的：

一种提高终端上网安全性的方法， 该方法包括：

网络侧接收终端上报的网络安全信息， 根据各个终端上报的网络安 全信息生成网络安全策略， 根据所述网络安全策略向终端发送安全指 示,

终端根据该安全指示对待获取或已获取的网络 信息进行安全提示。 一种提高终端上网安全性的系统， 该系统包括安全服务器和终端； 所述安全服务器， 用于接收终端上报的网络安全信息， 根据各个终 端上报的网络安全信息生成网络安全策略， 根据所述网络安全策略向终 端发送安全指示；

所述终端， 用于接收所述安全服务器发送的安全指示， 根据该安全 指示对待获取或已获取的网络信息进行安全提 示。

一种终端， 该终端包括上报模块和安全提示模块；

所述上报模块， 用于向安全服务器上报网络安全信息；

所述安全提示模块， 用于接收安全服务器返回的安全指示， 根据该 安全指示对待获取或已获取的网络信息进行安 全提示。

一种安全服务器， 该安全服务器包括获取模块、 分析模块、 存储模 块和发送模块；

所述获取模块， 用于接收各个终端上报的网络安全信息； 所述分析模块， 用于对所述获取模块得到的信息进行分析， 根据分 析结果生成网络安全策略；

所述存储模块， 用于存储网络安全策略；

所述发送模块， 用于根据所述网络安全策略向终端发送安全指 示。 由上述技术方案可见， 本发明中， 各个终端向网络侧上报网络安全 信息， 网络侧根据各个终端上报的网络安全信息生成 网络安全策略， 根 据所述网络安全策略向终端发送安全指示， 终端根据该安全指示对待获 取或已获取的网络信息进行安全提示， 由于生成网络安全策略所依据的 网络安全信息是由众多终端上报的， 安全服务器和众多的终端构成云安 全体系， 因此能够提高网络安全策略的实时性和可靠性 ， 终端依据由该 网络安全策略所得到的安全指示对待获取或已 获取的网络信息进行安 全提示， 从而能够提高终端上网的安全性。 附图简要说明

图 1是本发明提供的提高终端上网安全性的方法� �程图。

图 2是本发明提供安全浏览服务的网址输入界面� �

图 3是本发明提供安全浏览服务的网页浏览界面� �

图 4是本发明提供的移动终端同步黑名单和 /或白名单的流程图。 图 6是本发明提供的提高移动终端上网安全性的� �统组成示意图。 图 7是本发明提供的提高移动终端上网安全性的� �动终端结构图。 图 8是移动终端提供安全浏览服务的另一界面示� �图。

图 9是移动终端提供安全下载服务的界面示意图� �

图 10是本发明提供的提高移动终端上网安全性的� ��全服务器结构 实施本发明的方式

图 1是本发明提供的提高移动终端上网安全性的� �法流程图。 如图 1所示， 该方法包括：

步骤 101 , 网络侧接收终端上报的网络安全信息。

本步骤中， 网络侧除了接收终端的上报的网络安全信息外 ， 还可以 采用下面两种方式或者其一获取网络安全信息 ： 获取网站的访问信息和 /或文件下载信息， 存储网站和文件特征码的安全列表信息。 其中的网络 安全信息包括但不限于： 网址是否安全的信息和文件的特征码信息。

步骤 102, 网络侧根据各个终端上报的网络安全信息生成 网络安全 策略。

本步骤中， 通过对各个终端上报的网络安全信息、 网站的访问信息 和 /或文件下载信息、 网站和文件特征码的安全列表信息进行分析， 可以 生成网络安全策略， 该网络安全策略是用于判断待获取或已获取的 网络 信息是否安全的依据， 例如， 所述网络安全策略包括但不限于安全网站 的白名单和 /或不安全网站的黑名单， 不安全文件的特征码列表和 /或安 全文件的特征码列表等。

步骤 103, 网络侧根据所述网络安全策略向终端发送安全 指示， 终 端根据该安全指示对待获取或已获取的网络信 息进行安全提示。

图 1所示方法可以为终端提供安全浏览服务，还� �以为终端提供 安全下载服务， 其中的终端可以是移动终端， 例如手机、 掌上电脑 ( PDA ) 、 车载移动设备等， 也可以是个人电脑 （PC ) , 下面以移 动终端为例，对提供安全浏览服务和提供安全 下载服务的方法分别详 细介绍，该方法对于 PDA、车载移动设备以及 PC机等终端仍然适用。

为移动终端提供安全浏览服务的方案如下：

网络侧可以将生成的黑名单和 /或白名单等网络安全策略信息发 给移动终端， 移动终端根据该黑名单和 /或白名单对浏览器接收的网 络地址和 /或当前浏览网页中链接的网络地址进行匹配� � 根据匹配结 果进行安全提示，例如，如果与黑名单中的不 安全网络地址匹配成功， 则提示该网络地址不安全， 如果与白名单中的安全网络地址匹配成 功， 则提示该网络地址安全。

通过将浏览器接收的网络地址与黑名单和 /或白名单中的网络地 址进行匹配，并根据匹配结果进行安全提示， 可以在用户输入网址时， 提示网址是否安全， 从而避免用户错误进入钓鱼网站等恶意网站。

图 2是本发明提供安全浏览服务的网址输入界面� �

如图 2所示， 当用户向浏览器输入网络地址时， 移动终端根据用 户输入的网络地址信息模糊匹配出本地已存储 的相关网络地址，并将 模糊匹配出的网络地址与黑名单和 /或白名单中的网络地址进行匹 配， 如果与白名单中的安全网络地址匹配成功， 则显示安全图标， 如 果模糊匹配出的网络地址与白名单中的安全网 络地址不匹配，则不显 示相应的安全图标。 例如图 2中与 www.bank模糊匹配的网址有三个 , 其中只有 www.bank-of-china.com与白名单中的安全网络地址匹 配， 因 此显示盾牌图标表示该网络地址安全，对于其 他两个模糊匹配的网络 地址， 则不显示安全图标。

一般在浏览网页中存在着大量的链接地址， 目前用户无法分辨这 些链接地址是否安全，本发明通过将当前浏览 网页中链接的网络地址 与黑名单和 /或白名单中的网络地址进行匹配， 并根据匹配结果进行 安全提示， 可以向用户提示当前浏览网页中链接的网络地 址是否安 全， 从而避免用户点击恶意的链接地址。

图 3是本发明提供安全浏览服务的网页浏览界面� �

图 3 中 ， 对 于 当 前浏 览 网 页 中 链接的 网 络地址 http:Wwww.sl2dw.com,本发明通过将该链接的网络地� ��与本地存储的 黑名单和 /或白名单中的网络地址进行匹配， 根据匹配结果确定是否 显示安全图标， 例如， 如果与白名单中的网络地址匹配成功， 则显示 安全图标， 如图 3中显示的盾牌图标。 名单， 也可以在打开浏览器后每隔一定时间段同步一 次黑名单和 /或 白名单。

为了降低移动终端同步黑名单和 /或白名单等安全指示所占用的 通信流量， 可以采用增量同步的方式获取更新的黑名单和 /或白名单 等安全指示， 即仅从安全服务器同步黑名单和 /或白名单中发生变化 的部分。

图 4是本发明提供的移动终端同步黑名单和 /或白名单的流程图。 如图 4所示， 该流程包括：

步骤 401 ,移动终端向网络侧上传黑名单和 /或白名单的版本号和 /或时间戳。

步骤 402,网络侧判断是否需要更新黑名单和 /或白名单，如果是， 执行步骤 403 , 否则结束本流程。

本步骤中， 网络侧根据所述版本号和 /或时间戳判断移动终端侧 的黑名单和 /或白名单是否是当前最新的黑名单和 /或白名单，如果是， 则不需要更新， 如果不是， 则需要更新。

步骤 403 , 网络侧将最新的黑名单和 /或白名单发给移动终端。 本步骤中， 网络侧可以将最新的黑名单和 /或白名单全部发给移 动终端， 也可以将最新的黑名单和 /或白名单与移动终端侧当前的黑 名单和 /或白名单相比有变化的部分发给移动终端。

步骤 404 ,移动终端根据网络侧发来的黑名单和 /或白名单更新本 地的黑名单和 /或白名单， 并更新相应的版本号和 /或时间戳， 结束本 流程。

可以按照网站分类， 对每类网站生成黑名单和 /或白名单等安全 名单， 该安全名单可以包括每个分类访问量前预定个 数的网络地址， 例如前 100 的网络地址， 从而可以 4艮好满足绝大多数用户的快速输 入、 安全浏览的需求。

如果网络速度较快， 能够满足用户体验需求， 移动终端还可以将 需要检测是否安全的网络地址实时回传给网络 侧，由网络侧根据当前 的安全策略对该网络地址进行安全检测，根据 检测结果向移动终端发 送安全建议， 移动终端根据该安全建议进行安全提示， 具体可参见图 图 5 是本发明提供的为移动终端提供安全浏览服务 的方法流程 图。

如图 5所示， 该方法包括：

步骤 501 , 移动终端接收打开网络地址的触发操作， 将该网络地 址上传给网络侧的安全服务器。

步骤 502, 网络侧的安全服务器根据当前的网络安全策略 对上传 的网络地址进行安全检测， 根据检测结果向移动终端发送安全建议。

步骤 503 ,移动终端根据所述安全建议判断该网络地址� �否安全， 如果安全， 则继续浏览， 否则提示用户该网络地址存在安全隐患。

本发明中， 还可以将实时回传网络地址与在本地存储黑名 单和 / 或白名单的方式结合， 例如先将待检测的网络地址与黑名单和 /或白 名单中的网络地址进行匹配， 如果没有匹配成功的， 则将待检测的网 络地址回传给网络侧的安全服务器进行安全检 测，并根据完全服务器 返回的安全建议进行安全提示。 为移动终端提供安全下载服务的方案如下：

移动终端获取自身所下载文件的特征码信息， 向安全服务器发送所 述特征码信息， 根据安全服务器返回的安全指示对该文件进行 安全提 示。

其中， 网络侧将移动终端上 >¾的特征码信息与安全文件的特征码和 /或不安全文件的特征码进行匹配， 如果检测出的匹配结果之间相互沖 突， 则向移动终端发送重新采集特征码的指示， 根据移动终端重新采集 的特征码重新进行所述匹配； 移动终端则根据安全服务器的指示， 对同 一文件采用不同的方法采集两次以上的特征码 信息。 不安全文件的特征码匹配时， 网络侧向移动终端发送重新采集特征码的 指示， 移动终端根据该指示采用另外一种特征码采集 方法来采集特征 码， 例如如果前一次是采集文件的开头、 中间和结尾部分的特征码， 则 下一次可以采集文件的开头、 1/4部分、 1/2部分、 3/4部分以及结尾部 分的特征码。 网络侧将移动终端重新采集的特征码与安全文 件的特征码 和 /或不安全文件的特征码进行匹配， 如果匹配结果不沖突， 则进行安全 提示， 如果匹配结果沖突， 则继续向移动终端发送重新采集特征码的指 示， 直至匹配结果不沖突为止。

其中， 关于每次特征码采集所采用的算法， 可以由网络侧和移动 终端预先约定， 也可以由网络侧在重新采集特征码的指示中指 定。

本发明所提供的上述方法中， 移动终端侧的安全检测的所有功能和 协议可以封装在独立的安全插件中， 还可以随时进行安全插件的升级, 以最小的代价,最快的速度， 更新检测策略,以达到更好保护浏览器安全 的效果。

上述安全检测的所有功能和协议也可以直接由 移动终端中的非插 件模块实现。

本发明还提供了一种提高终端上网安全性的系 统，具体请参见图 6。 图 6是本发明提供的提高终端上网安全性的系统� �成示意图。 如图 6所示， 该系统包括安全服务器 601和多个终端 602。

图 6所示系统中，终端 602通过自动或手动上 >¾网站或应用的信 息或文件的特征码到安全服务器 601 , 安全服务器 601通过对网页或 应用的信息或文件的特征码进行自动化分析， 生成安全数据（即网络 安全策略）并存储在数据库中。 当终端 602的浏览器访问网页或下载 文件时， 可以实时回传网址或应用的特征码， 由安全服务器 601给出 安全建议， 从而保证终端 602的上网安全， 或者安全服务器 601根据 所述安全策略向终端 602下发黑名单或白名单等安全指示， 终端 602 根据该安全指示对待浏览的网页或已下载的文 件进行安全提示。

图 6中， 终端 602可以是手机、 PDA, 车载设备等移动终端， 也 可以是台式个人电脑 （PC ) 。 下面以终端 602 为移动终端为例， 对 图 6所示系统进行详细介绍。

安全服务器 601 , 用于接收移动终端 602上报的网络安全信息， 根 据各个移动终端 602上报的网络安全信息生成网络安全策略， 根据所述 网络安全策略向移动终端 602发送安全指示。

移动终端 602, 用于接收安全服务器 601发送的安全指示， 根据该 安全指示对待获取或已获取的网络信息进行安 全提示。

其中， 移动终端 602包括插件平台， 该插件平台包括用于安装网络 安全插件的接口， 所述网络安全插件用于向安全服务器 601上报网络安 全信息， 根据安全服务器 601返回的安全指示对待获取或已获取的网络 信息进行安全提示。

移动终端 602包括浏览模块， 用于接收网络地址， 浏览网页。 所述网络安全插件， 用于从安全服务器 601获取网络安全信息的黑 名单和 /或白名单并存储， 将所述浏览模块接收的网络地址和 /或当前浏 览网页中链接的网络地址与黑名单和 /或白名单中的安全信息进行匹配， 根据匹配结果显示安全提示。

安全服务器 601包括第一模块， 用于根据获取的网络安全信息生成 所述黑名单和 /或白名单。

所述网络安全插件还包括一模块，用于在黑名 单和 /或白名单中均没 有与待检测的网络地址匹配的安全信息时， 将待检测的网络地址发给安 全服务器 601 , 根据安全服务器 601返回的检测结果对待获取或已获取 的网络信息进行安全提示。

安全服务器 601包括第二模块， 用于根据所述网络安全策略对所述 待检测的网络地址进行安全检测， 将检测结果发给所述网络安全插件。

移动终端 602还可以包括下载模块， 用于下载文件。

所述网络安全插件， 用于获取所述下载模块所下载文件的特征码信 息， 向安全服务器 601发送所述特征码信息， 接收安全服务器 601返回 的安全指示。

安全服务器 601包括第三模块， 用于接收移动终端 602上报的特征 码信息， 根据该特征码信息向移动终端 602返回安全指示。

所述网络安全插件， 用于根据安全服务器 601的指示， 对同一文件 采用不同的方法采集两次以上的特征码信息。

所述第三模块， 用于接收移动终端 602上报的特征码信息， 将该特 测出的匹配结果之间相互沖突时， 向移动终端 602发送重新采集特征码 的指示， 根据移动终端 602重新采集的特征码重新进行所述匹配。

安全服务器 601包括获取模块、 分析模块、 存储模块和发送模块。 所述获取模块， 用于接收各个移动终端 602上报的网络安全信息。 所述分析模块， 用于对所述获取模块得到的信息进行分析， 根据分 析结果生成网络安全策略。

所述存储模块， 用于存储网络安全策略。 全指示。

所述获取模块还用于， 获取网站的访问信息和 /或文件下载信息、 和

/或存储网站和文件特征码的安全列表信息� �

本发明还提供了一种提高移动终端上网安全性 的移动终端和安 全服务器， 具体请参见图 7至图 10。

图 7是本发明提供的提高终端上网安全性的终端� �构图。

如图 7所示， 该终端包括上报模块 701和安全提示模块 702。

上报模块 701 , 用于向安全服务器上报网络安全信息。

安全提示模块 702, 用于接收安全服务器返回的安全指示， 根据该 安全指示对待获取或已获取的网络信息进行安 全提示。

该终端包括插件平台， 该插件平台包括用于安装网络安全插件的接 口，所述网络安全插件包括所述上报模块 701和所述安全提示模块 702。

安全提示模块 702, 用于从安全服务器获取网络安全信息的黑名单 和 /或白名单并存储， 将终端接收的网络地址和 /或当前浏览网页中链接 的网络地址与黑名单和 /或白名单中的安全信息进行匹配，根据匹配� �果 显示安全提示。

安全提示模块 702还包括一模块，用于在黑名单和 /或白名单中均没 有与待检测的网络地址匹配的安全信息时， 将待检测的网络地址发给安 全服务器， 根据安全服务器返回的检测结果对待获取或已 获取的网络信 息进行安全提示。 图 8是移动终端提供安全浏览服务的另一界面示� �图。

如图 8所示， 网页浏览界面中的 "举报该网页" 按钮用于启动上报 模块 701向网络侧的安全服务器上报该网页是否安全 的信息。

所述移动终端包括下载模块， 用于下载文件。

上报模块 701 , 用于获取所述下载模块所下载文件的特征码信 息， 向安全服务器发送所述特征码信息。

安全提示模块 702, 用于接收安全服务器针对该特征码信息返回的 安全指示， 根据该安全指示对所述文件进行安全提示。

图 9是移动终端提供安全下载服务的界面示意图� �

如图 9所示， 第一行文件经检测是不安全的， 因此显示盾牌并进行 阴影突出显示， 以表示不安全， 第二行文件经检测是安全的， 因此显示 盾牌表示安全， 第三行文件未经检测， 因此显示带问号的盾牌， 表示安 全性未知。

另外， 图 9所示文件下载界面中的举报按钮用于启动上� �模块 701 向网络侧的安全服务器上报下载文件是否安全 的信息。

图 10 是本发明提供的提高终端上网安全性的安全服 务器结构 图。

如图 10所示， 该安全服务器包括获取模块 1001、 分析模块 1002、 存储模块 1003和发送模块 1004。

获取模块 1001 , 用于接收各个终端上报的网络安全信息。

分析模块 1002, 用于对获取模块 1001得到的信息进行分析， 根据 分析结果生成网络安全策略。

存储模块 1003, 用于存储网络安全策略。

发送模块 1004, 用于根据所述网络安全策略向终端发送安全指 示。 获取模块 1001还用于， 获取网站的访问信息和 /或文件下载信息、 和 /或存储网站和文件特征码的安全列表信息。

本发明公布了一种基于手机浏览器的云安全技 术解决方案，海量 的安全插件通过浏览器和服务器端安全服务通 信， 组成云安全体系， 大大提高了手机浏览器的安全性，很好的防止 访问恶意网站或下载不 安全应用， 所可能引起的安全隐患。

本发明方案主要提供在手机浏览器上的安全浏 览服务和安全下 载服务：

对于安全浏览服务， 拦截具有安全隐患的恶意网站、 虚假网页和 钓鱼网站。

对于安全下载服务， 在下载文件时， 通过进行安全提示来提供安 全保护。

当手机浏览器访问网页或是下载文件时，实时 回传网址或所下载 文件的特征码， 由安全数据服务器给出安全建议， 提供浏览器安全浏 览和安全下载的服务。

本发明方案与传统的通过本地病毒库提高文件 下载安全性的优 势有：

其一， 瘦客户端模式， 移动终端不需要维护庞大的病毒库， 减轻 移动终端的计算和存储压力，节省用户资源， 有更广阔的终端覆盖面。

其二， 更高安全性： 依靠庞大的云安全服务， 实时进行采集、 分 析以及处理， 移动终端越多， 整个云就越安全。

其三， 自动化决策系统： 网络侧通过统计分析上报的安全数据， 自动生成网络安全策略， 极大加快了病毒更新速度和人力成本。

其四， 更好的实时性： 传统的本地病毒库查询方式依赖于病毒库 的维护和更新速度， 有滞后性， 云安全框架提供了移动终端实时获取 安全服务的能力。 实时性的提高可以阻止病毒大规模的传播， 降低病 毒的影响范围。

另外， 移动终端的浏览器采用插件的方式实现云安全 服务，其优 点是：

更灵活， 安全策略可以快速根据需要，通过更新安全插 件的方式 更新安全策略。

更高安全性,由于插件本身也有安全性保护机� �， 因此能够防止 恶意软件攻击浏览器上的安全插件， 从而提高安全性。

不增加浏览器安装包大小， 用户可以按需定制浏览器服务。

以上所述， 仅为本发明的较佳实施例而已， 并非用于限定本发明的 保护范围， 凡在本发明的精神和原则之内所做的任何修改 、 等同替换、 改进等， 均应包含在本发明的保护范围之内。