專利名稱:用于在安全通信中保護計算設備不受網(wǎng)絡環(huán)境散布的計算機惡意行為危害的系統(tǒng)和方法
技術領域:
本發(fā)明涉及一種用于在安全通信中保護計算設備不受網(wǎng)絡環(huán)境散布的計算機惡意行為(exploit)危害的系統(tǒng)和方法�。
背景技術:
隨著越來越多的計算機和計算裝置通過諸如Internet的各種網(wǎng)路被相互連接起來,計算機安全已經(jīng)變得日益重要�����,尤其是阻止通過網(wǎng)絡或信息流發(fā)出的入侵或攻擊��。正如本領域的技術人員所認識到的��,這些攻擊是以不同的形式出現(xiàn)的����,其包括���,但當然不局限于;計算機病毒���、計算機惡意程序�����、系統(tǒng)部件替換、服務拒絕的攻擊�����、甚至合法計算機系統(tǒng)性能的誤用/濫用��,所有的這些都以非法目的而利用了一個或多個計算機系統(tǒng)的弱點����。但本領域的技術人員應認識到各種計算機攻擊在技術上都彼此不同,針對本發(fā)明的目的來說并且為簡單描述�,所有的這些攻擊下面一般稱為計算機惡意行為,或者更簡單地稱為惡意行為���。
當一臺計算機被一個計算機惡意行為攻擊或者“感染”時��,其不利結果是不同的���,包括使計算機裝置不能使用�����;清除或者破壞防火墻�、應用程序或者數(shù)據(jù)文件��;將可能的敏感數(shù)據(jù)傳送給網(wǎng)絡上的另一個存儲單元�����;或者使計算機系統(tǒng)崩潰�����。但是�����,盡管不是所有�,許多計算機惡意行為的另一個致命方面就是一臺感染的計算機系統(tǒng)易于感染其它計算機���。
圖1是表示一般在其上散布計算機惡意行為的典型網(wǎng)絡環(huán)境100的示圖。如圖1所示����,典型的網(wǎng)絡環(huán)境100包括多個計算機102-108,所有的這些計算機都通過諸如內聯(lián)網(wǎng)的通信網(wǎng)絡110或者通過包括一般被稱為Internet的全球TCP/IP網(wǎng)絡的更大的通信網(wǎng)絡相互連接�。無論為了什么目的,連接到網(wǎng)絡110的計算機的惡意部分��,例如計算機102��,產生一個計算機惡意行為112并將其在網(wǎng)絡上釋放����。如箭頭114所指示�����,被釋放的計算機惡意行為112被一臺或多臺計算機��,如計算機104�����,所接收并傳染給它。正如許多計算機惡意行為的一般特性���,一旦感染���,計算機104就易于感染其它計算機,如箭頭116所指示的計算機106���,計算機106反過來感染其它計算機�,如箭頭118所指示的計算機108���。顯然���,由于現(xiàn)代計算機網(wǎng)絡的速度和范圍,計算機惡意行為112可以以指數(shù)速度“生長”����,并且快速成為局部流行病毒,并可快速升級為全球計算機傳染病毒�。
預防計算機惡意行為并且特別是計算機病毒和蠕蟲的傳統(tǒng)防御工具是防病毒軟件。通常�,防病毒軟件掃描輸入的數(shù)據(jù)、覆蓋的網(wǎng)絡、查找與已知的計算機惡意行為有關的可確認的模式����。一旦檢測到一個與一已知計算機惡意行為有關的模式,該防病毒軟件就作出響應從感染的數(shù)據(jù)中移除該計算機病毒���,隔離該數(shù)據(jù)或者刪除“被感染”的輸入數(shù)據(jù)��。令人遺憾的是�,防病毒軟件一般只對“已知”的可確認的計算機惡意行為有效�。大多數(shù)情況下,這是通過將數(shù)據(jù)中的模式與所謂的惡意行為“特征(signature)”作比較而完成的�����。惡意行為檢測模型的其中一個本質缺陷就是未知的計算機惡意行為可以由于未被檢測到而一直在網(wǎng)絡中傳播����,直到計算機防病毒軟件被更新并針對這個新的計算機惡意行為�����。
隨著防病毒軟件的越來越完善并且能有效識別成千上萬的已知計算機惡意行為��,這也使得計算機惡意行為也更復雜。例如�����,最近許多計算機惡意行為是多態(tài)的�,或者換句話說,不具有可被運行中的防病毒軟件識別的可確認的模式或者“特征”����。由于這些多態(tài)惡意行為可以在傳播到另一個計算機系統(tǒng)之前進行自我修改,因此其通常不能被防病毒軟件所識別����。
現(xiàn)在所流行的另一個防計算機惡意行為的預防工具是硬件或軟件網(wǎng)絡防火墻。正如本領域的技術人員將認識到的�����,防火墻就是一個安全系統(tǒng)����,其通過控制內部網(wǎng)和外部網(wǎng)之間的信息流而保護該內部網(wǎng)不接受來自該外部網(wǎng)的非授權訪問。所有來自防火墻外部的通信首先都要發(fā)送到一個代理�,該代理檢驗該通信,確定它是否是安全的或者允許將該通信發(fā)送給其制定目標�。但不幸的是,恰當配置防火墻以便使允許的網(wǎng)絡活動不受約束并且拒絕不允許的網(wǎng)絡活動是一個高深、復雜的任務�����。除了技術上復雜外���,防火墻配置還管理困難�。當不正確恰當配置防火前時����,允許的網(wǎng)絡通信會因疏忽而關閉,而不允許的通信會被允許通過��,從而危及內部網(wǎng)��。為此���,要經(jīng)常改變防火墻�����,并且這些改變僅僅可由非常精通技術網(wǎng)絡設計人員作出。
作為防火墻的另一個限制���,當防火墻保護一內部網(wǎng)時��,它并不對特定計算機提供保護����。換句話說,防火墻并不能滿足一個特定計算的需要���。甚至當防火墻用于保護保護一臺計算機時���,它仍然根據(jù)該防火墻的配置保護那臺計算機,而不是根據(jù)該計算機的配置�����。
防火墻的另一個問題是它不針對來自防火墻所設定的范圍的計算機惡意行為提供保護����。換句話說,一旦一個惡意行為可以進入一防火墻所保護的網(wǎng)絡��,該惡意行為就不受該防火墻的禁止�。當一名員工將一臺便攜式計算機帶回家并在一個不安全的環(huán)境中使用時,這種情況就會經(jīng)常發(fā)生�����。而員工不知道該便攜式計算機隨即就被感染了。當便攜式計算機再次連接到防火墻保護的公司網(wǎng)絡時�����,該惡意行為經(jīng)常不被防火墻檢測而任意感染其它計算機��。
如上所述�,在攻擊中,計算機惡意行為經(jīng)常合法影響計算機系統(tǒng)的性能�����。這樣�,除防火墻和防病毒軟件外的許多方面也必須加入一起保護計算機不受那些計算機惡意行為的攻擊。例如����,由于經(jīng)濟和合同義務的原因,操作系統(tǒng)提供者現(xiàn)在必須不斷地分析他們的操作系統(tǒng)性能����,來確定計算機惡意行為所利用的缺點和弱點。為了這里所討論的目的���,一般任何一個計算機惡意行為可能攻擊計算機系統(tǒng)的方法都被稱為計算機系統(tǒng)的弱點��,或者簡稱為弱點�。
當在操作系統(tǒng)或其它計算機系統(tǒng)部件����、驅動程序、應用程序中確定并定位到弱點時�,供應者通常發(fā)布一個修補該弱點的軟件更新程序。這些更新一般被成為補丁�,為了保證計算機系統(tǒng)不受該確定的弱點的危害,要將這些補丁安裝在計算機系統(tǒng)中���。但是�,這些更新實質上是對操作系統(tǒng)部件���、設備驅動程序或軟件應用程序的代碼變更��。同樣地�,他們不能與防病毒軟件提供者提供的防病毒更新同樣迅速和大量的發(fā)布。因為這些更新是代碼變更�,軟件更新需要在向公眾發(fā)布之前進行充分的內部測試。不幸的是�����,即使進行了內部測試���,軟件更新也可以帶來一個或多個其它計算機系統(tǒng)破壞或故障��。這樣�����,軟件更新就給信賴計算機系統(tǒng)的當事人造成了極大的難題��。更確切地���,要當事人更新他們的計算機系統(tǒng)以保護計算機系統(tǒng)不受破壞他們的計算機系統(tǒng)的操作的弱點和風險的危害,還是要當事人不更新計算機系統(tǒng)而冒感染計算機系統(tǒng)的風險�?在當前的系統(tǒng)下,在網(wǎng)絡110上發(fā)布一個新的計算機惡意行為和更新計算機系統(tǒng)以保護其不受該計算機惡意行為的危害之間存在一段時間��,以下將該時間稱為危險階段(vulnerability window)�。顧名思義,在此危險階段�����,計算機系統(tǒng)是易受新的計算機惡意行為的攻擊的,或者是暴露給新的計算機惡意行為的��。圖2A-2B是典型表示此危險階段的時限時限的方框圖���。相對于下面將要討論的時限時限,將標出重要的時間或事件���,并相對于時限時限將其稱為事件�。
圖2A表示相對一個現(xiàn)在改進級的計算機惡意行為的計算機系統(tǒng)的危險時間��,該計算機惡意行為現(xiàn)在正在公共網(wǎng)絡上發(fā)布�。正如下面所要描述的,這個新級別的計算機惡意行為利用了系統(tǒng)提供者的主動安全測試來確定計算機系統(tǒng)的弱點����,并連續(xù)創(chuàng)建并散布計算機惡意行為。
參照圖2A�,在事件202處,操作系統(tǒng)提供者確定在發(fā)布的操作系統(tǒng)中存在弱點�。例如,在一種情況中��,操作系統(tǒng)提供者對發(fā)布的操作系統(tǒng)執(zhí)行其自己的內部分析�����,發(fā)現(xiàn)一個先前未知的可被用于攻擊計算機系統(tǒng)的弱點。在另一情況中��,該先前未知的弱點要涉及三方人員�,包括在計算機系統(tǒng)上執(zhí)行系統(tǒng)安全分析的人員以及將關于此弱點信息轉給操作系統(tǒng)提供者的人員。
一旦操作系統(tǒng)提供者得知存在安全性弱點����,在事件204處,操作系統(tǒng)提供者就定位該弱點���,組織創(chuàng)建并發(fā)布補丁����,以便保證任何運行該操作系統(tǒng)的計算機系統(tǒng)的安全�����。通常���,操作系統(tǒng)提供者會宣告存在一種有效的系統(tǒng)補丁��,同時推薦所有的操作系統(tǒng)用戶安裝該補丁�����。為了下載并安裝到受侵襲的計算機系統(tǒng)上��,補丁一般位于網(wǎng)絡110的一個公知位置上�。
不幸的是,由于太過經(jīng)常���,操作系統(tǒng)提供者發(fā)布補丁之后,在事件206處�����,惡意人員下載補丁�����,并且使用一些逆向工程(reverse engineering)和操作系統(tǒng)或其他工具造成的公開信息���,識別出操作系統(tǒng)中“修補”的弱點的細節(jié)���。利用這些信息,惡意人員創(chuàng)建一個計算機惡意行為攻擊突出的弱點。在事件208處����,惡意人員在網(wǎng)絡110上發(fā)布計算機惡意行為。軟件補丁也被認為是“修補”����,當其目標是修正突出的弱點時,“修補”一般是一段復雜的軟件代碼���,不幸的是�����,其本身會產生或包含一個新的弱點�,該弱點可能要被惡意人員創(chuàng)建的計算機惡意行為所攻擊���。這樣�����,除了要評估該“修補”要修正什么�����,還要評估該“修補”潛在的弱點��。
當一“修補”是可靠的時�,惡意人員意識到,由于包括上述的各種原因����,并不是所有的有弱點的計算機都會立即升級。這樣��,在事件208處����,惡意人員在網(wǎng)絡110上發(fā)布計算機惡意行為112。計算機惡意行為112的發(fā)布就進入了危險階段�,如上所述�����,在危險階段中���,有弱點的計算機系統(tǒng)是容易收到該計算機惡意行為的襲擊的�。只有當在事件210處最終計算機系統(tǒng)上安裝了補丁時�,計算機系統(tǒng)的危險階段212才結束。
雖然發(fā)布的許多計算機惡意行為是基于已知的弱點的,例如���,在圖2A中描述的情況���,但有時候,在網(wǎng)絡110上也發(fā)布利用預先未知的弱點的計算機惡意行為�。圖2B表示了在這樣的情況下時限220的危險階段230。因此�����,如時限220所示�,在事件222處,惡意人員發(fā)布了一個新的計算機惡意行為���。由于這是一個新的計算機惡意行為����,即沒有操作系統(tǒng)補丁可用的防病毒軟件來保護有弱點的計算機系統(tǒng)不受攻擊����。相應的,就進入了危險階段230����。
某段時間后這個新計算機惡意行為在網(wǎng)絡110上流行�����,操作系統(tǒng)提供者和/或防病毒軟件提供者檢測到這個新計算機惡意行為��,如事件224所指示的�。正如本領域的技術人員應當知道的���,在大概幾小時之內操作系統(tǒng)提供者和防病毒軟件提供者都會檢測到這個新的計算機惡意行為的出現(xiàn)�。
一旦檢測到計算機惡意行為����,通過防病毒軟件辨識出該計算機惡意行為,防病毒軟件提供者就可以開始識別其模式或“特征”的過程�����。類似地�����,操作系統(tǒng)提供者也開始分析該計算機惡意行為的過程�����,以便確定該操作系統(tǒng)是否必須修補以保護其不受該計算機惡意行為的危害�����。這些并行努力的結果就是���,在事件226處����,操作系統(tǒng)提供者和/或防病毒軟件提供者發(fā)布操作系統(tǒng)或防病毒軟件的一個針對該計算機惡意行為的更新���,也就是一個軟件補丁��。接著�����,在事件228處���,在用戶的計算機系統(tǒng)上安裝該更新,從而保護了計算機系統(tǒng)�����,并且結束了危險階段230。
從上述實例中可以看出�,所有計算機惡意行為對計算機系統(tǒng)造成威脅的可能的情況僅僅是代表性的,危險階段存在于計算機惡意行為112在網(wǎng)絡110上發(fā)布時間之間����,并且當在用戶的計算機系統(tǒng)上安裝了相應的更新后,危險階段就結束了��。但令人沮喪的是��,無論危險階段的長或短�����,無論如何��,受感染的計算機都會花費計算機所有者大量成本來“殺毒”和修復��。當涉及具有成千上萬與網(wǎng)絡110相連的設備的大公司或企業(yè)時���,此成本是巨大的�。當可能惡意篡改或破壞客戶數(shù)據(jù)時����,此成本還會進一步擴大。所需要的就是能迅速并根據(jù)個人計算機系統(tǒng)的需要����,甚至是在可使用保護更新和/或安裝在計算機系統(tǒng)上之前,用于確保計算機系統(tǒng)不受計算機惡意行為破壞的系統(tǒng)和方法?,F(xiàn)有技術中的這些和其他的問題都能被本發(fā)明所解決。
附圖的簡要說明當結合附圖時�����,通過參考下面的詳細說明��,本發(fā)明的上述各個方面和其所帶來的優(yōu)點將更加顯而易見和更加容易理解����。
圖1是表示現(xiàn)有技術的典型網(wǎng)絡環(huán)境的示圖,計算機惡意行為通常通過該網(wǎng)絡散布�����;圖2A和2B是表示涉及網(wǎng)絡上發(fā)布的計算機惡意行為的計算機系統(tǒng)的不同危險階段的典型時限的方框圖�;圖3A和3B是表示適于實施本發(fā)明的典型網(wǎng)絡環(huán)境的示圖;圖4A和4B是用于示意本發(fā)明如何使計算機惡意行為的危險階段最小化的典型時限的示圖����;圖5是依據(jù)本發(fā)明����,用于根據(jù)公開的安全信息動態(tài)控制計算機系統(tǒng)的網(wǎng)絡訪問的典型程序的流程圖���;圖6是表示根據(jù)本發(fā)明�,安全服務執(zhí)行的典型程序的流程圖���,該安全服務用于在典型網(wǎng)絡環(huán)境中公開網(wǎng)絡安全模型的安全信息��;圖7是表示安全服務執(zhí)行的典型程序的流程圖���,該程序用于從網(wǎng)絡安全模型接收并響應一個安全信息的請求;圖8是表示安全服務模塊執(zhí)行的典型程序的流程圖�,該程序用于根據(jù)從安全服務那里獲得安全度量(measure)控制計算機和網(wǎng)絡之間的網(wǎng)絡信息流;圖9是表示實施為一個計算機外圍硬件設備的典型網(wǎng)絡安全模塊的示圖�;圖10是表示依據(jù)本發(fā)明形成的網(wǎng)絡安全模塊的邏輯部件的方框圖;圖11是表示計算機惡意行為如何發(fā)送到利用安全通信的計算設備的方框圖����;圖12是表示依據(jù)本發(fā)明的網(wǎng)絡安全模塊如何利用安全通信保護計算設備不受發(fā)送到該計算設備的計算機惡意行為的危害;圖13A和13B表示依據(jù)本發(fā)明的典型程序的方框圖,該程序用于檢測安全通信以及處理安全通信���。
發(fā)明概述根據(jù)本發(fā)明的各個方面��,提出了一種介于計算設備和網(wǎng)絡之間的網(wǎng)絡安全模塊。網(wǎng)絡安全模塊的位置使得所有計算設備和網(wǎng)絡之間的網(wǎng)絡活動都要通過該網(wǎng)絡安全模塊���。該網(wǎng)絡安全模塊包括一個計算裝置連接��。該計算裝置連接將該網(wǎng)絡安全模塊與計算設備連接起來�����。該網(wǎng)絡安全模塊還包括一個將網(wǎng)絡安全模塊與網(wǎng)絡相連的網(wǎng)絡連接�����。通過計算設備連接和網(wǎng)絡連接��,網(wǎng)絡活動就能通過該網(wǎng)絡安全模塊���。該網(wǎng)絡安全模塊還包括一個解碼模塊。該解碼模塊臨時利用獲得的解密鑰解密安全通信�����。該網(wǎng)絡安全模塊進一步包括一個安全實施模塊,該安全實施模塊控制計算設備和網(wǎng)絡之間的網(wǎng)絡活動�����。該安全實施模塊執(zhí)行獲得的安全度量���,從而保護計算設備不受確定的網(wǎng)絡安全線程的危害���。
根據(jù)本發(fā)明的又一些方面,提出了一種在一個網(wǎng)絡安全模塊上實施的方法���,其用于保護計算設備目前不受到確定的安全威脅�����,該網(wǎng)絡安全模塊介于計算設備和網(wǎng)絡之間��,從而所有計算設備和網(wǎng)絡之間的網(wǎng)絡活動都要通過該網(wǎng)絡安全模塊���。獲得了保護性安全度量。當加強保護性安全度量時����,其保護該計算設備不受到確定的安全威脅��。把安全通信指向到檢測到的計算設備�。然后臨時解密安全通信���。此后����,在臨時解密的安全通信上執(zhí)行保護性安全度量���。
優(yōu)選實施例的詳細描述圖3A是表示適于實施本發(fā)明的典型網(wǎng)絡環(huán)境300的示圖。典型網(wǎng)絡環(huán)境300包括一臺與網(wǎng)絡110相連的計算機302���。應當注意的是����,雖然本發(fā)明是以連接一臺例如計算機302的個人計算機的運行形式描述��,但是這僅僅是為了描述�����,同時其不應當解釋為對本發(fā)明的限制。本領域的技術人員會很容易地意識到幾乎任何網(wǎng)絡計算設備都可能收到計算機惡意行為的攻擊�����。因此�����,本發(fā)明可有利地保護眾多類型的計算機�����、計算設備或包括但不局限于個人計算機的計算系統(tǒng)���、圖形輸入板計算機�����、筆記本電腦�、個人數(shù)字助理(PDA)����、小型或大型計算機、無限電話(通常稱為移動電話)��、例如無限電話/PDA組合體的混合計算設備等等。本發(fā)明也可有利地保護硬件設備���、外圍設備���、軟件應用程序、設備驅動器�、操作系統(tǒng)等等。
應當意識到���,網(wǎng)絡110可包括任意數(shù)量的現(xiàn)行的通信網(wǎng)絡����。這些現(xiàn)行的通信網(wǎng)絡包括但不局限于Internet��、廣域和局域網(wǎng)�����、內聯(lián)網(wǎng)�、移動電話網(wǎng)��、IEEE802.11和藍牙無限網(wǎng)絡等等����。因此���,盡管本發(fā)明以計算機網(wǎng)絡的形式描述,特別是Internet�,但是其僅僅是為了描述方便,并且其不應當被解釋為對本發(fā)明的限制���。
典型網(wǎng)絡環(huán)境300還包括一個網(wǎng)絡安全模塊304和一個安全服務306�。網(wǎng)絡安全模塊304介于例如計算機302的計算機和網(wǎng)絡110之間����。網(wǎng)絡安全模塊304可物理地或邏輯地介于計算機302和網(wǎng)絡110之間。計算機302和網(wǎng)絡110之間的通信流過網(wǎng)絡安全模塊304����。依據(jù)本發(fā)明,網(wǎng)絡安全模塊304根據(jù)相應于計算機的特定配置的安全信息��,選擇性地控制計算機302和網(wǎng)絡110之間的網(wǎng)絡活動����,該計算機特定配置包括但不局限于安裝在計算機302上的特殊操作系統(tǒng)的版本、防病毒信息��、防病毒軟件和相應的特征數(shù)據(jù)文件的包含版本信息、安裝的應用程序�、設備驅動程序等等,所有的這些都可以是利用的計算機系統(tǒng)弱點的計算機惡意行為的潛在目標�����。
依據(jù)本發(fā)明的一個實施例�,為了從安全服務306那里周期地獲得安全信息,網(wǎng)絡安全模塊304周期地向安全服務306發(fā)出針對計算機302的特殊��、具體配置的安全信息的安全信息請求�����。網(wǎng)絡安全模塊304可被配置為周期地從安全服務306那里獲得安全信息��。例如����,網(wǎng)絡安全模塊306可以被配置為每分鐘都從安全服務306那里獲得安全信息����。可選擇的��,網(wǎng)絡安全模塊304可被配置為根據(jù)用戶指定的時間周期從安全服務306那里獲得安全信息。
針對一臺計算機的特殊�、具體配置的安全信息的獲得是很重要的,其原因是���,由于各種原因許多用戶必須延遲更新他們的操作系統(tǒng)�����。例如�,由于計算機一段時間沒有開機使用���,操作系統(tǒng)或防病毒軟件的更新就要延遲�����。這樣����,雖然最新版本的計算機操作系統(tǒng)和/或防病毒軟件可以提供足夠的不受最新發(fā)現(xiàn)的計算機惡意行為的危害的保護�����,但是計算機并不是“最新的”,因此容易受計算機惡意行為的感染�,并且其必須針對該計算機的特定配置進行安全度量。因此����,安全信息請求可包括,但并不只局限于識別的計算機操作系統(tǒng)版本的信息��,其包括安裝的補?。惶貏e的防病毒軟件和該計算機所使用的版本����,軟件和數(shù)據(jù)文件更新;以及使用網(wǎng)絡的應用程序信息�,例如,電子郵件和瀏覽器的標識符��、版本����、固件提供者和版本,及其它安全設置�。
根據(jù)本發(fā)明的內容��,作為更新計算機系統(tǒng)部件的一個步驟�����,網(wǎng)絡安全模塊304獲得計算機的特定配置信息。例如����,作為安裝操作系統(tǒng)補丁的一個步驟,當用戶在計算機302上安裝一個操作系統(tǒng)補丁時�,將操作系統(tǒng)的最新版本信息通知網(wǎng)絡安全模塊304。同樣的�,當更新其它計算機系統(tǒng)功能部件時,例如使用網(wǎng)絡的應用程序和防病毒軟件�����,也要通知網(wǎng)絡安全模塊304�����,這都能使網(wǎng)絡安全模塊獲得最正確及足夠的安全信息�,來根據(jù)計算機當前特定的配置保護計算機302。
根據(jù)在安全信息請求中計算機特殊配置信息����,安全服務306確定相關安全信息,以便保護計算機不受已知和意識到的計算機系統(tǒng)弱點的危害。下面將詳細描述識別相關安全信息的步驟�����。安全信息包括保護性安全度量���,其由網(wǎng)絡安全模塊304執(zhí)行���,并能使網(wǎng)絡安全模塊將計算機302與已知弱點的計算機惡意行為相隔離。保護性安全度量可包括任何數(shù)量的網(wǎng)絡活動控制或者其組合��,這些控制包括���,但不局限于阻止計算機302和網(wǎng)絡110之間的所有網(wǎng)絡活動���、預期的某些已知的安全網(wǎng)絡位置之間的通信,例如安全服務306或用于安裝或更新的防病毒軟件服務器308���;阻止特殊通信端口和地址上的通信����;阻止到或來自某些使用網(wǎng)絡的應用程序的通信��,例如電子由附或Web瀏覽器應用程序���;以及阻止訪問計算機302上的特殊硬件或軟件部件�����。這樣���,一旦接收到安全響應,網(wǎng)絡安全模塊就執(zhí)行安全度量���。
如上所述����,網(wǎng)絡安全模塊304介于計算機302和網(wǎng)絡110之間��,這樣�����,計算機和網(wǎng)絡之間的所有網(wǎng)絡活動都必須通過網(wǎng)絡安全模塊���。隨著網(wǎng)絡通訊流過網(wǎng)絡安全模塊304網(wǎng)絡安全模塊監(jiān)視網(wǎng)絡通信并執(zhí)行來自安全服務306的保護性安全度量�,例如阻止除了已知位置之間的預期通信以外的所有網(wǎng)絡訪問,等等���。
根據(jù)本發(fā)明的另一方面的內容�����,安全響應也可包括設計的安全等級��,例如�����,紅���、黃和綠等級。安全等級是一種信息����,該信息表示為計算機302的用戶標識的保護性度量的代表等級,其中����,該保護性度量是由網(wǎng)絡安全模塊304執(zhí)行的。例如����,紅色安全等級表示網(wǎng)絡安全模塊304當前阻止了計算機302和網(wǎng)絡110之間的所有網(wǎng)路活動����,除了通向和來自已知的安全位置的網(wǎng)絡活動�?�?蛇x擇地�,黃色安全等級表示網(wǎng)絡安全模塊304當前正在進行一些保護性安全度量,但是計算機302仍然可以進行與網(wǎng)絡110進行其它方式的通信�����。更進一步地�,綠色安全等級表示網(wǎng)絡安全模塊304沒有進行任何保護性安全度量,并且計算機302和網(wǎng)絡110之間的通信不受限制��。根據(jù)上述安全等級��,為了描述方便��,紅色安全等級也被稱為完全鎖定����,黃色安全等級也被稱為部分鎖定���,綠色安全等級也被稱為自由網(wǎng)絡訪問。雖然上面的描述表示了三個安全等級以及紅色����、黃色和綠色的表述,但是這些都是示例性的��,不能理解為對本發(fā)明的限制�。本領域的技術人員應當意識到,可以使用任何數(shù)量的安全等級�����,在向用戶表示時���,這些安全等級具有可選擇的表述��。
由于網(wǎng)絡安全模塊304是自動運行的����,也就是說����,無需用戶干預��,上面確定的安全等級和任何安全等級的相應視覺表示都僅僅是為了通知用戶�����。它們用于向用戶提供網(wǎng)絡安全模塊304執(zhí)行的限制等級的指示���。當用戶試圖確認網(wǎng)絡連接是否出現(xiàn)故障或者網(wǎng)絡活動是否由于當前網(wǎng)絡安全事項而被限制時,此視覺指示就特別有用���。
根據(jù)本發(fā)明的內容并且由于增加的安全度量,當將網(wǎng)絡安全模塊304通電時�����,網(wǎng)絡安全模塊就進入一個默認狀態(tài)�。此默認狀態(tài)對應于安全的最高等級,也就是�,完全鎖定,這樣就允許計算機302和可信網(wǎng)絡位置之間的網(wǎng)絡活動��。當通電或者是當與安全服務306周期地通信的時候�����,網(wǎng)絡安全模塊304就獲得最新的安全信息,同時根據(jù)該安全信息�,就強制到較低限制的安全度量。很顯然���,當弱點可能已經(jīng)被確認或者在網(wǎng)絡安全模塊關閉期間網(wǎng)絡110上發(fā)布了計算機惡意行為時��,在網(wǎng)絡安全模塊304處實現(xiàn)完全鎖定的默認狀態(tài)對計算機302是有利的���。
依據(jù)本發(fā)明的一個實施例,網(wǎng)絡安全模塊304不從計算機302處請求或訪問信息��。相反網(wǎng)絡安全模塊304直接操作由與某些事件相聯(lián)系的計算機302傳送給它的信息�。這樣,當網(wǎng)絡安全模塊304開始保護一臺計算機時���,例如當網(wǎng)絡安全模塊最初介于計算機302和網(wǎng)絡110時���,網(wǎng)絡安全模塊不具有該計算機系統(tǒng)的任何特定配置信息。如上所述���,當網(wǎng)絡安全模塊304沒有關于計算機302的配置信息時��,或者當網(wǎng)絡安全模塊通電時���,網(wǎng)絡安全模塊就進入其默認狀態(tài)�����,也就是完全鎖定��。但是����,如上所示����,完全鎖定仍然允許計算機302與已知的安全位置通信���。作為一個例子�,這些已知的安全位置包括操作系統(tǒng)更新所在的一個位置或多個位置��。這樣�����,甚至在計算機302被配置為可用的最新的操作系統(tǒng)、防病毒軟件�、應用程序和設備驅動程序的版本和更新,用戶也可以進行更新過程�����,結果配置信息就被發(fā)送到網(wǎng)絡安全模塊304��?��?蛇x擇地�,可提供一個特定程序����,該程序將計算機系統(tǒng)的當前配置通知網(wǎng)絡安全模塊304。
為了保證網(wǎng)絡安全模塊304和安全服務306之間的通信是可信的和未被污染的��,在本發(fā)明的一個實施例中����,例如安全請求和安全信息的網(wǎng)路安全模塊和安全服務之間的通信是在加密、安全的通信中傳輸?shù)?���,例如利用加密套接字協(xié)議層(SSL)協(xié)議的安全通信。同樣的,網(wǎng)絡安全模塊304和計算機302之間的通信也同樣是安全的����。
根據(jù)本發(fā)明可選的方面,甚至在關閉計算機的時候�����,網(wǎng)絡安全模塊304也連續(xù)操作���,即����,連續(xù)獲得計算機302的安全信息�����。例如���,網(wǎng)絡安全模塊304可以為計算機302連續(xù)獲得安全信息,這些安全信息都取決于開機時計算機提供的最新操作系統(tǒng)和/或防病毒軟件的版本數(shù)據(jù)�。依據(jù)一個實施例,網(wǎng)絡安全模塊304連接于計算機的輔助電源線路���,如本領域的技術人員所知道的����,該輔助電源線路甚至是在計算機302關機時也能為外圍設備提供電力。另外��,如果網(wǎng)絡安全模塊304只在計算機302運行的時候運行���,當網(wǎng)絡安全模塊恢復運行時����,當網(wǎng)絡安全模塊獲得相應于計算機當前配置的最近的安全信息時�,其實施完全鎖定。
根據(jù)本發(fā)明的另一個實施例���,可選擇地���,網(wǎng)絡安全模塊304可被用戶停止。由于完全訪問網(wǎng)絡需要幾次外部權衡計算機惡意行為攻擊的風險�����,這就是非常有用的��。例如,當想要診斷網(wǎng)絡難題/問題時����,需要停止網(wǎng)絡安全模塊304?��?蛇x擇地��,在某些緊急情況���,例如使用E911語音IP(VoIP)服務可能需要停止網(wǎng)絡安全模塊304。
依據(jù)本發(fā)明的一個方面�,當被停止時,盡管網(wǎng)絡安全模塊304不能進行保護性安全度量�����,但是其可以從安全服務306那里連續(xù)獲得安全信息���。對用戶來說����,連續(xù)更新安全信息是有利的�����,特別是由于網(wǎng)絡安全模塊在停止時將具有最近的安全信息�,如果網(wǎng)絡安全模塊304臨時被停止的時候?����?蛇x擇的�����,如果網(wǎng)絡安全模塊304被停止并且不能連續(xù)更新��,在安全服務306一段時間不通信之后���,網(wǎng)絡安全模塊可以返回到其默認狀態(tài)�����,也就是完全鎖定網(wǎng)絡活動���。
安全服務306可以實施為所有安全信息的單一服務器/信源,或者可選擇地實施為分布到網(wǎng)絡110的層級服務器/信源�����。在層級式系統(tǒng)中,網(wǎng)絡安全模塊304最初被配置了安全服務的一個根服務器/信源�����,該根服務器會一直存在�。但是,也許在網(wǎng)絡安全模塊304和安全服務之間的第一通信中����,安全服務提供了關于安全服務的層級信息,該信息是安全服務返回的安全信息的一部分����。此信息可被提供為一個或多個范圍的網(wǎng)絡地址,所有的地址都是安全服務層級中的節(jié)點��,它們可以向網(wǎng)絡安全模塊304提供正確的安全信息����。此后,網(wǎng)絡安全模塊304就無需請求原始節(jié)點以獲得信息�����。很顯然,以分級方式實施安全服務的優(yōu)點是為了調節(jié)網(wǎng)絡安全模塊請求信息的數(shù)量��,安全服務可以很容易地按比例增加或減少�����,并且安全服務層級的原始節(jié)點不會被網(wǎng)絡中的所有網(wǎng)絡安全模塊的安全信息請求所淹沒�。在分布在網(wǎng)絡110中的層級結構下����,也會發(fā)生負載平衡,并且網(wǎng)絡中會堆積冗余��,這樣如果層級中的一個節(jié)點失敗�����,那么其它的節(jié)點就會介入并提供安全信息���。
依據(jù)本發(fā)明的內容��,利用本領域公知的端口模仿技術(port mimicking)����,網(wǎng)絡安全模塊304對于計算機302和網(wǎng)絡110來說是透明的。一般來說��,利用端口模仿技術����,網(wǎng)絡安全模塊304對計算機302來說作為網(wǎng)絡110出現(xiàn),并且對于網(wǎng)絡上的設備來說作為計算機出現(xiàn)���。這樣��,網(wǎng)絡活動通過網(wǎng)絡安全模塊自由地在計算機302和網(wǎng)絡110之間流動�,直到網(wǎng)絡安全模塊確定直接與網(wǎng)絡安全模塊通信�����,例如注意到一個操作系統(tǒng)更新或安全信息響應���,或者直到網(wǎng)絡安全模塊必須根據(jù)保護性安全度量阻止網(wǎng)絡活動�。
如上所述���,網(wǎng)絡安全模塊304從安全服務306那里獲得安全信息作為請求的結果����。本領域的技術人員應當將此認為是輪詢系統(tǒng),即�,向安全服務306輪詢安全信息。但是�,在一個替換實施例中,安全服務306方便地向網(wǎng)絡110中的網(wǎng)絡安全模塊廣播重要的安全信息�。例如�,根據(jù)網(wǎng)絡環(huán)境300中的網(wǎng)絡安全模塊從安全服務306那里獲得安全信息的周期間隔,如果特殊致命計算機惡意行為開始在網(wǎng)絡110中傳播����,而不是等待網(wǎng)絡安全模塊請求重要的安全信息,安全服務向網(wǎng)絡安全模塊廣播安全信息��。下面稱此安全信息為安全通報���,其一般包括容易受計算機惡意行為影響的所有配置��、要采取的保護性安全度量�����,以及指示的相應安全等級�����。依據(jù)本發(fā)明的一個實施例���,安全通報是依據(jù)預定模式的XML文檔�。
向接收者廣播信息的系統(tǒng)被稱為下推系統(tǒng)����,也就是說,安全服務306將重要安全信息推到網(wǎng)絡安全模塊�。依據(jù)本發(fā)明的內容,安全通報是利用“安全傳送”服務在網(wǎng)絡110上廣播�。在安全傳送服務中,安全通報被標識為高優(yōu)先級事項���,并且在網(wǎng)絡服務提供者的同意下�����,在傳送其它網(wǎng)絡通信之前傳送安全通報��,否則這些網(wǎng)絡通信就要首先傳送����。
除了在計算機302通信的相同網(wǎng)絡110上傳送安全通報外,更多是方便地在“頻帶外”通信�����,例如����,在與網(wǎng)絡110獨立的第二通信鏈路上通信。圖3B是表示用于實施本發(fā)明的可選擇配置的網(wǎng)絡環(huán)境310�,該網(wǎng)絡環(huán)境310包括第二通信鏈路314,其用于向附著在網(wǎng)絡110上的網(wǎng)絡安全模塊傳送安全信息��。
如圖3B所示���,可選擇配置的網(wǎng)絡環(huán)境310包括與上面關于網(wǎng)絡環(huán)境300的描述相似的部件,其包括計算機302��、安全服務306以及網(wǎng)絡安全模塊304����。但是,安全服務306被另外配置為向網(wǎng)絡安全模塊304傳輸包括安全信息和/或安全通報的安全信息�����,該網(wǎng)絡安全模塊特別改裝了接收設備312來通過第二通信鏈路314接收信息。依據(jù)本發(fā)明的內容��,第二通信鏈路314可以是衛(wèi)星通信鏈路���、無線電頻率廣播或者安全服務306和網(wǎng)絡安全模塊304之間的其它形式第二通信���。本領域的技術人員應當理解可以使用通信信道數(shù)。
依據(jù)本發(fā)明可選擇的方面�����,第二通信鏈路314可以是來自安全服務306和網(wǎng)絡安全模塊304的單向通信鏈路��,或者用于在安全服務和安全模塊之間進行通信的雙向通信鏈路�。另外,上述的軟件更新或補丁也可以通過第二通信鏈路314從安全服務306下載���。
雖然網(wǎng)絡安全模塊304介于計算機302和Internet110之間���,但是網(wǎng)絡安全模塊的實體可以變化。在各種情況下�����,網(wǎng)絡安全模塊304被計算機302認為是可信任的部件。依據(jù)一個實施例����,網(wǎng)絡安全模塊被實施為計算機302外部的硬件設備,有時被稱為“軟件狗”���,其與網(wǎng)絡110和計算機相連���。可選擇的�����,網(wǎng)絡安全模塊304可被實施為集成在計算機302內部的硬件部件�����,或者集成在計算機網(wǎng)絡接口內的子部件����。當計算機302通過無限連接連接到網(wǎng)絡110時���,將網(wǎng)絡安全模塊304集成在計算機302內或者集成為計算機網(wǎng)絡接口上的子部件會特別有用����。
依據(jù)另一個可選擇的實施例,網(wǎng)絡安全模塊可被實施為計算機302的一個部件內的邏輯�����,例如微編碼或固件���,其中該計算機部件包括處理器����、圖形處理單元�、北電橋或南電橋。仍然作為本發(fā)明再一個實施例���,網(wǎng)絡安全模塊304可被實施為與操作系統(tǒng)結合或者作為操作系統(tǒng)一部分運行的軟件模塊���,或者被實施為安裝在計算機302上的軟件應用程序。網(wǎng)絡安全模塊304執(zhí)行的軟件可在計算機302的第二處理器上運行���。第二處理器能或不能與計算機主處理器不對稱地執(zhí)行其它計算機任務�����。因此��,網(wǎng)絡安全模塊304并不應當解釋為對任何特定實施例的限制���。
應當指出���,本發(fā)明的一個有益之處在于本發(fā)明減輕了許多惡意行為的危害。例如���,本領域的技術人員將認識到服務拒絕(DOS)攻擊試圖壓制計算機進行網(wǎng)絡請求����,結果����,計算機耗盡其資源并崩潰,或者替換地����,錯誤地進入容易被外部攻擊/惡意行為攻擊而損壞的不明確狀態(tài)���。但是���,由于具有通過執(zhí)行保護性安全度量而響應于安全服務306的網(wǎng)絡安全模塊304���,這些包括潛在壓制網(wǎng)絡請求的惡意行為就不能到達計算機302。
為了更完全地理解上述部件如何運行以便向計算機302提供較高的安全����,要參考用具有相應事件的時限表示的典型情況。圖4A和4B是表示示意本發(fā)明的部件的運行時限的方框圖����。更具體地,圖4A是表示典型時限400的方框圖�����,該時限400用于當網(wǎng)絡110上發(fā)布一個新的計算機惡意行為時����,本發(fā)明如何最小化計算機302的危險階段的方框圖。應當意識到���,雖然下文表示為計算機惡意行為攻擊一個操作系統(tǒng)���,但是其僅僅是為了說明����,并且不應當理解為對本發(fā)明的限制�。本發(fā)明可以用于保護代碼模塊、服務甚至計算機系統(tǒng)中的硬件設備�。
如時限400所示,在事件402處��,惡意人員在網(wǎng)絡110上發(fā)布了一個新的計算機惡意行為�����。新計算機惡意行為的釋放啟動了該新計算機惡意行為所針對的與網(wǎng)絡110連接的計算機的危險階段406�����,例如計算機302�。在事件404處,如上文所述����,操作系統(tǒng)提供者或者防病毒軟件提供者檢測到新計算機惡意行為的出現(xiàn)。
一旦檢測到新計算機惡意行為的出現(xiàn)�,甚至是在確定該惡意行為的攻擊特性和模式之前�����,在事件408處,操作系統(tǒng)提供者通過安全服務306公布安全信息�。一般地,當發(fā)現(xiàn)計算機惡意行為時�,其特性、范圍或者攻擊模式不是公知的��,安全服務將明顯受到影響的計算機系統(tǒng)的安全等級設為紅色����,也就是完全鎖定。在方框410處����,網(wǎng)絡安全模塊304或者在其周期請求中或者作為安全通報獲得安全信息,并進行相應的安全度量���,在這種情況下�����,完全鎖定����。有利地,一旦從安全服務306提供了安全度量�����,目標計算機的危險階段406就結束了�����。
與圖2B的危險階段230相比�����,危險階段406相對要小���,因此減少了目標計算機系統(tǒng)暴露于新計算機惡意行為的時間����。很清楚地��,以危險階段406為例�����,危險階段開放的實際時間依賴于小數(shù)量的因素。一個因素是在檢測到計算機惡意行為之前所經(jīng)過的時間量����。如上所述����,從發(fā)布開始一般在十五分鐘到幾小時之內就可以檢測到新的計算機惡意行為。第二個因素是網(wǎng)絡安全模塊304從安全服務306那里獲得安全信息所需要的時間量��,其比第一因素更不定��。假設網(wǎng)絡安全模塊304可連續(xù)獲得安全信息�,僅僅幾秒鐘就可以獲得安全信息并進行相應的安全度量。但是����,如果網(wǎng)絡安全模塊不能連續(xù)地與安全服務306通信,或者如果獲得安全信息的周期時間幀比較長�����,保護性安全度量的執(zhí)行可能要花費相當長的時間��。依據(jù)本發(fā)明的內容�����,如果網(wǎng)絡安全模塊在一段時間內不能與安全服務306聯(lián)系,由于為確定將與安全服務的通信����,網(wǎng)絡安全模塊就默認進入完全鎖定狀態(tài)。
在公布了最初的安全信息后�,操作系統(tǒng)提供者或者防病毒軟件提供者通常會繼續(xù)分析該計算機惡意行為,以便更好地理解其怎樣運行和/或其攻擊什么特定計算機系統(tǒng)特性�。根據(jù)這些分析,第二組也許更少限制性的保護性度量被確定�����,即有弱點的計算機系統(tǒng)必須采取措施來阻止被計算機惡意行為感染�����。因此��,在事件412處���,公布更新的安全信息�����,其具有黃色安全等級并確定保護性度量阻止有風險的網(wǎng)絡活動�����,也就是部分鎖定���。例如����,如上所述�,保護性度量可包括簡單阻止到和來自特定范圍的通信端口的訪問�,其端口包括源和/或目的端口,或者中斷電子郵件通信�����、Web訪問或其它直接到安裝在受保護的計算機系統(tǒng)上的操作系統(tǒng)���、應用程序�、設備驅動程序的網(wǎng)絡活動���,而允許其它網(wǎng)絡活動自由流動����。應當理解的是,“具有風險”的網(wǎng)絡活動包括表示惡意行為對計算系統(tǒng)的一個威脅的網(wǎng)絡活動��,而不管該惡意行為攻擊計算機系統(tǒng)缺點或簡單濫用合法計算機系統(tǒng)特性��。另外��,“具有風險”的網(wǎng)絡活動包括直接到由另一設備單向啟動的計算機系統(tǒng)的網(wǎng)絡活動���。換句話說�,“具有風險”的網(wǎng)絡活動包括惡意行為直接到計算機系統(tǒng)的網(wǎng)絡活動���,該計算機系統(tǒng)除了與網(wǎng)絡連接外不作其它任何工作���。
在事件414處,網(wǎng)絡安全模塊304獲得更新的安全信息�����,并且進行相應的保護安全度量����。在事件416處����,操作系統(tǒng)提供者和/或防病毒軟件提供者產生并使軟件更新可用后�,公布附加的更新安全信息。假設軟件更新���,例如來自操作系統(tǒng)提供者��、防病毒軟件提供者或應用程序提供者的更新已安裝在計算機302上�,此附加的更新安全信息可確定安全等級為綠色�。接著�,在事件418處,獲得附加的更新的安全信息����,該軟件更新被安裝在計算機302上,同時網(wǎng)絡安全模塊304就可以安全使用���,也就是非限制的網(wǎng)絡訪問����。
圖4B是表示可選擇的典型時限420的方框圖��,該時限420示意了本發(fā)明如何消除相對在網(wǎng)絡110上的計算機惡意行為的釋放而存在的危險階段,該計算機惡意行為更特別是利用在先已經(jīng)確定的弱點的惡意行為����,而不是全新的攻擊。正如上面所提到的��,在先公知弱點的使用比全新的攻擊更常見��。在事件422處��,操作系統(tǒng)提供者確定在當前發(fā)布的操作系統(tǒng)中存在弱點��。響應于確定弱點引起的威脅��,在事件424處��,通過設定安全等級并確定相應的保護性安全度量�,操作系統(tǒng)提供者公開緩和的安全度量。在圖4B所示的此實例中����,假設該弱點對連接到網(wǎng)絡110的計算機造成重大風險,操作系統(tǒng)提供者公開安全信息�����,該安全信息根據(jù)安全度量設置安全等級為紅色以便執(zhí)行完全鎖定。在事件426處���,網(wǎng)絡安全模塊304獲得最新的安全信息并執(zhí)行完全鎖定��。應當注意的是����,在補丁或“修補”可用時���,執(zhí)行安全度量��,該安全度量保護計算機302不受確定的弱點的危害���。由于大多數(shù)計算機惡意行為都是從通過分析補丁修改的弱點而獲得的信息所導出的���,惡意人員主動拒絕這個創(chuàng)建攻擊該弱點的惡意行為的機會���。這樣就沒有啟動任何危險階段。顯而易見的�,這對于計算機用戶是特別有利的,特別是,當網(wǎng)絡安全模塊沒有執(zhí)行安全度量時���,與圖2A所示的相應的時限200相比�。
經(jīng)常�����,在進一步分析計算機惡意行為后�,操作系統(tǒng)提供者可確定較低限制的保護性度量,該保護性度量將保護連接到網(wǎng)絡110的計算機302不受計算機惡意行為的危害���。這樣�,如圖4B所示��,在事件428處�����,公開更新的安全通報�����,該安全通報設置安全等級為黃色,并包括相應的保護性安全度量,也就是部分鎖定�,該安全通報特別定位于該惡意行為的弱點��,同時所有的網(wǎng)絡活動都是可用的��。相應的,在事件430處��,獲得更新的安全信息�,網(wǎng)絡安全模塊304進行部分鎖定。
一旦操作系統(tǒng)或防病毒更新可以使用���,如果該更新安裝在計算機302上�����,該更新將保護計算機不受以該弱點為目標的計算機惡意行為的危害��,在事件432處�,操作系統(tǒng)提供者公布該信息����,并指示一旦被安裝,該網(wǎng)絡安全模塊就允許自由的網(wǎng)絡訪問�,也就是一旦安全了補丁就設置安全等級為綠色�����。相應的,在事件434處��,計算機302安裝補丁或防病毒更新后���,網(wǎng)絡安全模塊304可以安全訪問���。
圖5是表示根據(jù)公開的安全信息動態(tài)控制計算機系統(tǒng)的網(wǎng)絡訪問的典型程序的流程圖。圖5包括兩個開始端��,開始端502相應于網(wǎng)絡安全模塊304的起始�����,而開始端520相應于從計算機302接收一個更新通知���。最初從開始端502處開始�����,前進到方框504����,網(wǎng)絡安全模塊304相應于安全度量執(zhí)行完全鎖定。如上所述�����,當在完全鎖定狀態(tài)時���,為了獲得最新的安全狀態(tài)信息和任何可用的更新��,計算機被限制為訪問已知的����、可信的網(wǎng)絡位置����,包括安全服務306。
在方框506�,網(wǎng)絡安全模塊304從安全服務器306那里獲得相應于計算機當前配置的最新的安全信息。依據(jù)本發(fā)明的內容���,通過向安全服務發(fā)出對該信息的請求����,網(wǎng)絡安全模塊304可從安全服務那里獲得最新安全信息��?��?蛇x擇的�����,或者通過第二通信鏈路���,或者作為在該網(wǎng)絡上的廣播,網(wǎng)絡安全模塊304可從安全服務306那里獲得廣播的最新安全信息�����。
在判定方框508���,根據(jù)從安全服務306那里獲得最新的安全信息�,網(wǎng)絡安全模塊304確定具有獲得安全信息的當前執(zhí)行的安全度量和相應的安全等級是否是最新的��。依據(jù)本發(fā)明的一個方面�����,此確定是一個簡單的比較�����,其將計算機系統(tǒng)的版本信息與安全服務公開的最新版本相比較,該計算機系統(tǒng)的版本信息是網(wǎng)絡安全模塊當前所存儲的��。
如果當前執(zhí)行的網(wǎng)絡度量不是最新的��,在方框510處���,網(wǎng)絡安全模塊304根據(jù)網(wǎng)絡安全模塊存儲的計算機系統(tǒng)的信息�����,為該計算機系統(tǒng)獲得安全度量����??蛇x擇的(未示出),安全度量可包括獲得的安全信息����。在方框512,一旦網(wǎng)絡安全模塊304具有了安全度量�����,網(wǎng)絡安全模塊就執(zhí)行該安全度量,并設置相應的安全等級��,例如���,紅、黃或綠色�。
在為計算機系統(tǒng)執(zhí)行完安全度量后,或者可選擇的��,對于計算機系統(tǒng)來說���,如果當前執(zhí)行的安全度量是最新的�,在方框514���,網(wǎng)絡安全模塊304進入延遲狀態(tài)�。此延遲狀態(tài)相應于網(wǎng)絡安全模塊304周期地向安全服務306請求以獲得最新的安全信息的時間�。在延遲一個預定的時間后,過程返回到方框506��,在那里����,重復進行從安全服務306那里獲得最新安全信息�、確定當前執(zhí)行的安全度量對于計算機系統(tǒng)來說是否是最新的以及執(zhí)行任何新的安全度量的過程���。
如圖5所示�,由于典型程序500被設計成連續(xù)運行以保護計算機302不受計算機惡意行為的危害��,所以程序500不具有重點�����。但是��,本領域的技術人員應當認識到�,如果網(wǎng)路安全模塊304被關機、與典型網(wǎng)絡環(huán)境300斷開或者被用戶明確中止�,正如上文所述的,程序500將結束�。
參看可選擇的開始端520,此入口點表示當網(wǎng)路安全模塊304從計算機系統(tǒng)接收更新通知時的情況�����。如先前所述�����,當一個步驟更新計算機系統(tǒng)時,適合使用本發(fā)明的應用程序會將新的當前版本信息通知網(wǎng)絡安全模塊���。例如�����,當更新防病毒軟件時��,過程的一個步驟會向網(wǎng)絡安全模塊304發(fā)布一個通知,將該新的當前版本通知網(wǎng)絡安全模塊�。這樣,在方框522���,網(wǎng)絡安全模塊接收一個更新通知��。
在方框524�,網(wǎng)絡安全模塊存儲更新通知信息����,用于隨后確定當前執(zhí)行的安全度量是否是最新的。操作系統(tǒng)的更新和其它代碼模塊的更新可以適于向網(wǎng)絡安全模塊304提供通知����,這樣安全系統(tǒng)可作出更多正確的決定����,此決定是關于保護任何給定計算機系統(tǒng)所需的正確的安全度量的決定����。
存儲信息后,程序500前進到方框506���,如上所述�����,此方框是從安全服務306獲得最新安全信息��、確定當前執(zhí)行的安全度量對計算機系統(tǒng)來說是否是最新的以及是否開始執(zhí)行任何新的安全度量的步驟��。最為一個替換(未示出)�,在方框524處接收到更新的計算機系統(tǒng)信息后�����,網(wǎng)絡安全模塊要等待獲得安全狀態(tài)信息�,直到當前延遲狀態(tài)結束����。
圖6是表示用于在典型網(wǎng)絡環(huán)境300中為例如網(wǎng)絡安全模塊304的網(wǎng)絡安全模塊廣播安全信息的典型程序600的流程圖����。在方框602開始,安全服務306從各種信源獲得相關安全的信息���。例如���,安全服務306一般從操作系統(tǒng)提供者、防病毒軟件提供者那里獲得信息��,這些信息涉及最新版本�����、補丁和可用更新���,同時涉及通過各種補丁和更新而定位到的計算機惡意行為和/或弱點。也可以向其它信源輪詢相關安全的信息�,其包括各種政府代理、安全專家等等��。
在方框604,安全服務306獲得關于連接到網(wǎng)絡110的計算機系統(tǒng)的弱點的信息�����。此信息可來自操作系統(tǒng)提供者����、防病毒軟件提供者或者檢測該弱點的其它部門。在方框606���,根據(jù)弱點帶來的威脅�����,安全服務306確定安全等級����,舉例來說����,紅色、黃色和綠色�,以及網(wǎng)絡安全模塊要執(zhí)行的保護性安全度量,例如網(wǎng)絡安全模塊304�,以便保證受影響的計算機不受針對該弱點的計算機惡意行為的危害����。
在方框606�,如上所述,安全服務306向連接到網(wǎng)絡110的網(wǎng)絡安全模塊廣播安全通報���,該安全通報包括安全等級和相應的保護性安全度量�����。如上所示��,安全服務306可通過向所有的網(wǎng)絡安全模塊發(fā)布全網(wǎng)絡廣播���,或者在網(wǎng)絡環(huán)境300中通過第二通信鏈路向網(wǎng)絡安全設備發(fā)布全網(wǎng)絡廣播,而廣播安全通報�。廣播了安全通報后,程序600結束�����。
圖7是表示安全服務306執(zhí)行的典型程序的流程圖��,該程序用于從網(wǎng)絡安全模型304接收并響應一個安全信息的請求��。從方框702開始�����,安全服務702從網(wǎng)絡安全設備304那里接收安全信息����。正如已經(jīng)提到的,安全信息請求可包括相應于計算機當前配置的信息��。
在方框704�,根據(jù)網(wǎng)路安全模塊提供的安全信息中的特殊計算機的配置信息,安全服務306識別相關的安全信息�����,該安全信息相應于安全信息請求中的計算機當前配置信息�。
根據(jù)一個實施例,通過根據(jù)計算機配置信息確定保護計算機302所需的保護性安全度量����,安全服務306識別出相關的安全信息。依據(jù)一個替換實施例��,為了由網(wǎng)絡安全模塊進一步處理以便確定要執(zhí)行哪個保護性安全度量����,通過返回所有的相應于特殊計算機配置的安全信息��,安全服務306識別出相關安全信息�。作為進一步的替換���,通過返回所有的相應于特殊計算機的配置的安全信息�����,安全服務306識別出相關的安全信息��,該安全信息然后被從網(wǎng)絡安全設備傳送到計算機302����,這樣�����,計算機可以通知網(wǎng)絡安全模塊要執(zhí)行哪個保護安全度量�。也可以應用上述替換的組合和其它系統(tǒng)。因此本發(fā)明并不被解釋為局限于任何一個特定實施例�。
在方框706��,安全服務306將相關安全信息返回到請求的網(wǎng)絡安全模塊304。此后��,程序700中止�。
圖8是表示安全服務模塊304執(zhí)行的典型方法800的流程圖,該方法用于根據(jù)從安全服務306那里獲得的安全度量(measure)控制計算機302和網(wǎng)絡之間的網(wǎng)絡信息流�。從方框802開始,網(wǎng)絡安全模塊304接收網(wǎng)絡通信�����,其包括來到計算機302的網(wǎng)絡通信和源自計算機的網(wǎng)絡通信���。
在決定方框804����,作出網(wǎng)絡通信是否到或來自可信網(wǎng)絡站點的決定����,該網(wǎng)絡站點例如是安全服務、防病毒提供者����、操作系統(tǒng)提供者等等。如果網(wǎng)絡通信到或來自可信的網(wǎng)絡站點���,程序前進到方框810��,在此允許網(wǎng)絡通信通過網(wǎng)絡安全模塊304���,并且接著程序800中止���。但是,如果網(wǎng)絡通信不是到或來自可信的網(wǎng)絡站點��,程序前進到?jīng)Q定方框806��。
在決定方框806��,要作出另一個根據(jù)當前執(zhí)行的安全度量是否限制網(wǎng)絡通信的判定����。如果根據(jù)當前執(zhí)行的安全度量并不限制網(wǎng)絡通信,那么程序前進到方框810��,在此允許網(wǎng)絡通信通過網(wǎng)絡安全模塊304�,并且接著程序800中止。但是如果根據(jù)當前執(zhí)行的安全度量要限制網(wǎng)絡通信�����,程序800前進到方框808,在此不允許網(wǎng)絡通信通過網(wǎng)絡安全模塊304�����。此后�����,程序800中止���。
雖然網(wǎng)絡安全模塊304介于計算機302和Internet110之間,可以改變網(wǎng)絡安全模塊的實際實施例����。根據(jù)一個實施例,網(wǎng)絡安全模塊304可被實施為硬件設備��,其物理上位于計算機302外部����,并與網(wǎng)絡110和計算機302相連。圖9是表示被實施為計算機303的一個外圍硬件設備的典型網(wǎng)絡安全模塊304的示圖�����。
如圖9所示,作為一個外部設備��,網(wǎng)絡安全模塊304包括連接到網(wǎng)絡110的連接902和連接到計算機302的相應的連接904��。計算機302和網(wǎng)絡110之間的所有網(wǎng)絡活動都要在連接計算機的連接904上進行���。描述的網(wǎng)絡安全模塊304也包括以一個位于計算機302和網(wǎng)絡安全模塊304之間的第二計算機連接918���,其用于在這兩個部件之間通信信息。描述的網(wǎng)絡安全模塊304進一步包括一個可用/不可用開關906�����、狀態(tài)指示器910-916以及可選的到外部電源的連接908���。
如先前所提到的�,需要使網(wǎng)絡安全模塊304不能實施其當前的度量����。根據(jù)圖9所示的實施例,可用/不可用開關906是一個搬鈕開關�,其可以在需要繞過當前安全度量的時候使網(wǎng)絡安全模塊304不可用�,并且也可以使網(wǎng)絡安全模塊304可用從而使其強制實施從安全服務306那里獲得的當前安全度量���。
包括狀態(tài)指示器910-916是為了提供網(wǎng)絡安全模塊當前狀態(tài)的可視指示�����。如先前所討論的,狀態(tài)指示器僅僅是為了通知的目的����。他們向用戶提供了關于網(wǎng)絡安全模塊304執(zhí)行的保護性安全度量的可視線索。每個指示器都對應于一個特定安全狀態(tài)����。例如狀態(tài)指示器910可相應于紅色安全等級,其意味著網(wǎng)絡活動的完全鎖定���,并且當網(wǎng)絡安全模塊304實施完全鎖定時�����,其亮起紅色�。狀態(tài)指示器912可相應于黃色安全等級���,舉例來說是網(wǎng)絡活動的部分鎖定�����,并且當網(wǎng)絡安全模塊304實施部分鎖定時���,其亮起黃色���。相同的,狀態(tài)指示器914可相應于綠色安全等級�����,舉例來說是自由的網(wǎng)絡訪問����,并且當網(wǎng)絡安全模塊304允許不限制的網(wǎng)絡訪問時,其亮起綠色���。狀態(tài)指示器916可相應于網(wǎng)絡安全模塊304的可用/不可用狀態(tài)���,這樣當網(wǎng)絡安全模塊不可用時,點亮該狀態(tài)指示器����,也許是閃爍的紅光�。
雖然本發(fā)明可如圖9那樣實施����,但是其僅僅是示意性的。在不背離本發(fā)明的范圍的條件下����,可以對圖9所示的物理實施組出多種修改和改變。因此��,不應當將本發(fā)明解釋為限制作為任何特殊的物理實施�����。
作為一個物理實施例的替換(未示出)�����,網(wǎng)絡安全模塊304可以是集成在計算機302中的一個部件����,或者是計算機網(wǎng)絡接口終端一個子部件����。當計算機302通過無線連接連接到Internet110時�����,這兩個實施例就會特別有用���。作為另一個替換實施例,網(wǎng)絡安全模塊304可被實施為集成在操作系統(tǒng)中的軟件模塊��,或者被實施為安裝在計算機302上的獨立模塊����。因此,網(wǎng)絡安全模塊304不應被理解為限制到任何特定物理或邏輯的實施例�。
圖10是表示依據(jù)本發(fā)明形成的網(wǎng)絡安全模塊304的邏輯部件的方框圖。網(wǎng)絡安全模塊304包括內存儲器1002�、安全狀態(tài)指示器模塊1004、比較模塊1006���、安全強制執(zhí)行模塊1008���、更新請求模塊1010、網(wǎng)絡連接1012����、計算機連接1014�����、第二計算機連接1018以及編碼/解碼模塊1020�。
內存儲器1002存儲由網(wǎng)絡安全模塊304執(zhí)行的當前安全度量�����,其包括易失和非易失內存區(qū)域����。內存儲器1002也存儲向網(wǎng)絡安全模塊304提供的配置信息,該配置信息包括操作系統(tǒng)��、防病毒軟件和特征�、應用程序等等的當前版本信息����。內存儲器1002也可以存儲其他信息,包括可信位置地址��、更新信源等等���。例如可信位置地址的信息更可能存儲在非易失內存儲器中�����。
安全狀態(tài)指示器模塊1004用于向計算機用戶表示網(wǎng)絡安全模塊304的當前安全狀態(tài)��。例如��,當網(wǎng)絡安全模塊304被實施為例如圖9所示的物理設備時����,安全狀態(tài)指示器模塊1004根據(jù)網(wǎng)絡安全模塊的當前安全狀態(tài)控制狀態(tài)指示器910-916。
比較模塊1006將內存儲器1002中存儲的安全信息和從安全服務306那里獲得的安全信息進行比較��,以便確定內存儲器1002中存儲的安全信息對于計算機當前的配置來說是否是最新的����。安全強制執(zhí)行1008是強制執(zhí)行安全度量的部件,以便保護計算機不受察覺到的威脅的危害��。這樣����,安全強制執(zhí)行模塊1008就根據(jù)存儲在內存儲器1002中的安全度量控制計算機302和網(wǎng)絡110之間的網(wǎng)絡活動。
更新請求模塊1010用在一個輪詢系統(tǒng)中,以便周期的請求來自安全服務的最新安全信息��。在推系統(tǒng)中�,更新請求模塊1010可作為來自安全服務的安全信息的接受器,并根據(jù)來自安全服務306的信息與比較模塊合作����,以便確認出用于有效保護計算機302的保護性安全度量。網(wǎng)絡安全模塊304的所有部件都是通過公共系統(tǒng)總線1016相互連接的�。
編碼/解碼模塊1020用于編碼和解碼網(wǎng)絡安全模塊304和安全服務306之間的安全通信以及計算機302和網(wǎng)絡安全模塊之間的安全通信。為了實施當前的安全度量�,編碼/解碼模塊1020解碼的信息被提供給安全強制實施模塊1008。
依據(jù)一個實施例�,計算機302和網(wǎng)絡安全模塊304之間的安全通信通過第二計算機連接1018傳送。但是本發(fā)明并不理解為被限制于包括一個第二計算機連接1018��。在一個替換實施例中����,網(wǎng)絡安全模塊304利用主要計算機連接1014于計算機302進行通信。
雖然已經(jīng)描述了網(wǎng)絡安全模塊304的各個部件�,但是應當理解���,在一實際實施中���,它們都是邏輯部件�,并且能合并在一起��,或者與其他未描述的部件合并在一起����。因此,應當將上述部件視為是示例性的��,并且不解釋為對本發(fā)明的限制���。
正如所描述的�����,雖然獨立運行或者與防病毒軟件結合運行的網(wǎng)絡安全模塊304可以保護計算機設備不受許多計算機惡意行為/攻擊的危害�����,但是在一些情況下����,某些定向惡意行為可以繞過網(wǎng)絡安全模塊和/或防病毒軟件���。特別地��,有一種惡意人員在攻擊一個計算設備所用的技術是通過使用感染的計算機/惡意行為信源和目標計算設備之間的安全的通信�,而使惡意行為不被檢測到。圖11是表示計算機惡意行為如何發(fā)送到使用安全通信的計算設備的方框圖����。
作為計算機惡意行為如何發(fā)送到使用安全通信的計算設備的一個例子,參照圖11�����,計算機102上的惡意人員具有一個惡意行為112����。為了感染另一臺計算機,例如計算機1104�����,惡意人員可以將惡意行為112作為一個合法信源/內容提供給其他人���,但是要通過安全的通信傳送它�����。作為本領域的技術人員所公知的�����,安全通信一般利用公共和私人密鑰加密���,這樣只有密鑰(私人密鑰)的處理器才能解密并瀏覽安全通信的內容。安全通信協(xié)議的實例包括加密套接字協(xié)議層(SSL)和傳輸層安全(TLS)協(xié)議��。
接著本實例��,不懷疑的用戶通過計算設備1104被欺騙相信惡意行為112是真正合法內容�,并從計算機102請求該惡意行為。為了加密和解密該惡意行為112�,計算機102和計算設備1104協(xié)商并交換密鑰。此后�����,為了發(fā)送����,傳輸編碼器1106編碼該惡意行為,并且通過箭頭1108所示的網(wǎng)絡110安全地將該加密的惡意行為發(fā)送給計算設備1104���。因為惡意行為以加密的狀態(tài)發(fā)送����,很可能就能夠通過網(wǎng)絡安全模塊(未示出)和任何防病毒軟件。一旦到達計算設備1104�,傳輸編碼器模塊1110將該編碼的傳輸解碼/解密,并傳給瀏覽器顯示模塊112�����。本領域的技術人員應認識到通常傳輸解碼模塊1110是瀏覽器顯示模塊112的整體部分��。一旦現(xiàn)實該惡意行為��,瀏覽器現(xiàn)實模塊112就能使惡意行為感染該計算設備1104����。
依據(jù)本發(fā)明的內容,網(wǎng)絡安全模塊304可用于保護計算設備不受通過安全通信發(fā)送的計算機惡意行為的危害���。再參照圖10�����,網(wǎng)絡安全模塊304通過第二計算連接1018從計算設備那里獲得加密該安全通信所需的密鑰����。一旦獲得密鑰,編碼/解碼模塊1020就為該過程臨時編碼該安全通信����。如下面將詳細描述的���,如果發(fā)現(xiàn)安全通信破壞了網(wǎng)絡安全模塊304實施的安全度量或者是一個惡意行為�����,就禁止來通信到達該計算設備1104�。但是���,如果安全通信沒有破壞安全度量��,并且不是一個惡意行為��,就允許安全通信流向該計算設備110�����。
依據(jù)本發(fā)明的內容�����,第二計算連接1018(圖10)可以是各種連接到計算設備1104的各種通信信道��。例如第二計算連接1018可以是通用串行總線(USB)連接���、IEEE1394連接或者標準的串行或并行數(shù)據(jù)連接�����。如上所述���,第二計算連接的一個目的就是提供一個通信信道,通過該信道網(wǎng)絡安全模塊304可從傳輸解碼器1110那里獲得一個密碼解密鑰���,以便臨時解密安全通信�。因此作為一個替換實施例����,第二計算連接1018也可以是計算機連接1014,在此計算機連接1014上可以進行計算設備和網(wǎng)絡110之間的網(wǎng)絡活動�����。依據(jù)此替換實施例,計算機連接1014和第二計算連接1018之間的區(qū)別是邏輯而非物理的區(qū)別�����。
圖12是表示一個典型環(huán)境1200的方框圖����,其表示使用本發(fā)明的網(wǎng)絡安全模塊304如何通過安全通信保護計算設備1104不受發(fā)送到該計算設備的計算機惡意行為112的危害�����。與圖11的例子相似�����,計算機102上的惡意人員試圖通過箭頭1108所示的安全通信向計算設備1104傳送計算機惡意行為112���。但是介于網(wǎng)絡110和計算設備1104之間的網(wǎng)絡安全模塊304首先獲得安全通信���。作為強制實施與當前安全等級有關的安全度量的部分,或者僅僅作為正在進行的安全預防��,網(wǎng)絡安全模塊304評估進入的網(wǎng)絡活動以便確定所有的通信是否是安全通信���。
一旦檢測到安全通信�,網(wǎng)絡安全模塊304就通過第二計算機連接1018向計算設備1102的傳輸解碼模塊請求密碼解密鑰。利用該密碼解密鑰�,網(wǎng)絡安全模塊304臨時解密該安全通信,并根據(jù)網(wǎng)絡安全模塊實施的任何安全度量處理該解密的通信數(shù)據(jù)�。根據(jù)本發(fā)明的附加內容,與防病毒軟件結合運行的網(wǎng)絡安全模塊304也可將該臨時解密的通信數(shù)據(jù)發(fā)送到防病毒軟件����,用于惡意行為/病毒評估。
一旦檢測到該安全通信數(shù)據(jù)是實施的安全度量所禁止的網(wǎng)絡活動����,或者檢測表示是一個由任何防病毒軟件檢測到的惡意行為,網(wǎng)絡安全模塊304就禁止該安全通信/惡意行為到達該計算設備1104�,如箭頭1204所示。在這種方式下����,就保護了計算設備104,甚至是保護了不受到在安全通信信道中傳送的通信的危害�。可選擇的地��,如果安全通信不破壞任何實施的安全度量,并且不是惡意行為���,安全通信就被轉送到計算設備1104����。
雖然圖11和12的上述描述表示了傳輸解碼器1110是一個與瀏覽器顯示模塊1112相獨立的模塊����,但是其僅僅為了說明目的。本領域的技術人員應當認識到傳輸解碼器1110經(jīng)常是計算設備上的瀏覽器現(xiàn)實模塊1112的整體部件����。
圖13A和13B表示依據(jù)本發(fā)明的典型程序1300的方框圖����,該程序1300用于檢測和處理安全通信。應當理解雖然典型程序1300可在網(wǎng)絡安全模塊304上實施�����,但是其也可以獨立實施和執(zhí)行為與瀏覽器顯示模塊1112結合運行的軟件模塊����,以便保護計算設備1104不受惡意行為112的危害。
在方框1302處開始(圖13A),典型程序1300監(jiān)視網(wǎng)絡活動����,特別是進入的網(wǎng)絡活動。一旦檢測到進入的網(wǎng)絡活動�,在決定方框1304,確定網(wǎng)絡活動是否是指向到受保護的計算設備的安全通信����。在方框1306,如果該網(wǎng)絡活動不是指向到受保護的計算設備的安全通信�,就將網(wǎng)絡活動轉送到受保護的計算設備。此后��,程序返回到方框1302�����,以便監(jiān)視其他網(wǎng)絡活動���。例如����,如果典型程序1300在網(wǎng)絡安全模塊上執(zhí)行�,例如網(wǎng)絡安全模塊304,可發(fā)生其他處理,例如確定網(wǎng)絡活動是否破壞網(wǎng)絡安全模塊實施的任何安全度量���。非安全網(wǎng)絡活動的處理已經(jīng)在前面描述了����。
如果網(wǎng)絡活動是安全通信���,在方框1308���,獲得解密安全通信的解密鑰。在方框1310����,利用獲得的解密鑰,臨時解密該安全通信�����。此后��,在決定方框1312(圖13B)�����,確定解密的通信是否是網(wǎng)絡安全模塊304實施的安全度量所禁止的����。如果該通信是被禁止的網(wǎng)絡活動,在方框1314處����,不允許該安全通信,例如�����,不向該計算設備運送����。此后,程序1300返回到方框1302(圖13A)來繼續(xù)監(jiān)視網(wǎng)絡活動����。
如果解密的通信不是實施的安全度量所禁止的,在決定方框1316���,就作出該解密通信是否是一個惡意行為的另一個確定�。如上所述��,網(wǎng)絡安全模塊304可與外部防病毒軟件結合運行。在此環(huán)境中���,網(wǎng)絡安全模塊304將臨時解密的通信發(fā)送到防病毒軟件�,來評估其是否是一個惡意行為或者已受惡意行為的感染��。如果確定解密的通信是一個惡意行為�����,在方框1314���,就不允許該安全通信���,并且程序1300返回到方框1302(圖13A),以便繼續(xù)監(jiān)視網(wǎng)絡活動��?�?蛇x擇的�����,如果確定解密的通信不是一個惡意行為�,在方框1318,就將該安全通信傳送到計算設備�。此后,程序1300返回到方框1302(圖13A)來繼續(xù)監(jiān)視網(wǎng)絡活動����。
雖然已經(jīng)說明和描述了本發(fā)明的包括優(yōu)選實施例的多個實施例,但是應當認識到在不背離本發(fā)明的精神和范圍的條件下可以作出各種改變�����。
權利要求
1.一種網(wǎng)絡安全模塊����,其置于一計算設備和一網(wǎng)絡之間,以至于所述計算設備和所述網(wǎng)絡之間的所有網(wǎng)絡活動都要通過所述網(wǎng)絡安全模塊����,所述網(wǎng)絡安全模塊用于保護所述計算設備不受在所述網(wǎng)絡上的確定的安全威脅的危害,所述網(wǎng)絡安全模塊包括一計算設備連接����,其將所述網(wǎng)絡安全模塊連接到所述計算設備;一網(wǎng)絡連接���,其將所述網(wǎng)絡安全模塊連接到所述網(wǎng)絡��;一解碼器模塊�����,其利用一個獲得的解密鑰臨時解密一個安全通信�;以及一安全強制實施模塊,其通過實施獲得的安全度量���,控制所述計算設備和所述網(wǎng)絡之間的網(wǎng)絡活動��,從而保護所述計算設備不受所述網(wǎng)絡上的一個確定的安全威脅的危害�����。
2.如權利要求1所述的網(wǎng)絡安全模塊���,其中,所述安全強制實施模塊通過獲得臨時解密的安全通信并且根據(jù)所述獲得的安全度量評估所述臨時解密的安全通信�����,來控制所述計算設備和所述網(wǎng)絡之間的網(wǎng)絡活動����。
3.如權利要求1所述的網(wǎng)絡安全模塊���,其中���,所述解碼器模塊從所述計算設備上的一解碼模塊那里獲得所述解密鑰��,來臨時解密所述安全通信�����。
4.如權利要求3所述的網(wǎng)絡安全模塊����,其進一步包括一第二通信連接����,其將所述網(wǎng)絡安全模塊連接到所示計算設備,并且其中��,所述解碼器模塊通過所述第二通信連接從所述計算設備上的一解碼模塊那里獲得所述解密鑰�����,來臨時解密所述安全通信����。
5.如權利要求1所述的網(wǎng)絡安全模塊����,其中���,所述安全通信根據(jù)加密套接字層協(xié)議被加密�。
6.如權利要求1所述的網(wǎng)絡安全模塊���,其中�����,所述安全通信根據(jù)傳輸層安全協(xié)議被加密�����。
7.一種用于保護一計算設備不受通過網(wǎng)絡傳送的一確定的安全威脅的危害的方法�����,由置于所述計算設備和所述網(wǎng)絡之間的一個網(wǎng)絡安全模塊上實施����,以至于所述計算設備和所述網(wǎng)絡之間的所有網(wǎng)絡活動都要通過所述網(wǎng)絡安全模塊,所述方法包括獲得用于保護所述計算設備不受一確定的安全威脅的危害的保護性安全度量�;檢測直接到所述計算設備的安全通信;臨時解碼所述安全通信����;以及在所述臨時解碼的安全通信上實施所述保護性安全度量��。
8.如權利要求7所述的方法���,其進一步包括從所述計算設備那里獲得用于解密所述安全通信的解密鑰��。
9.如權利要求8所述的方法�����,其中���,所述解密鑰是通過所述網(wǎng)絡安全模塊和所述計算設備之間的一第二通信連接從所述計算設備那里獲得的。
10.如權利要求9所述的方法����,其中,所述解密鑰是從所述計算設備上的一解碼模塊那里獲得的。
11.如權利要求9所述的方法�����,其中�,所述安全通信根據(jù)加密套接字層協(xié)議被加密。
12.如權利要求9所述的方法�,其中,所述安全通信根據(jù)傳輸層安全協(xié)議被加密����。
13.如權利要求7所述的方法,其進一步包括從所述計算設備那里獲得與所述計算設備有關的配置信息��,并且其中���,獲得用于保護所述計算設備不受一確定的安全威脅的危害的保護性安全度量的步驟包括根據(jù)與所述計算設備有關的所述配置信息獲得用于保護所述計算設備的保護性安全度量��。
14.一種網(wǎng)絡安全模塊����,其置于一網(wǎng)絡設備和一網(wǎng)絡之間�,以至于所述網(wǎng)絡設備和所述網(wǎng)絡之間的所有網(wǎng)絡活動都要通過所述網(wǎng)絡安全模塊,所述網(wǎng)絡安全模塊用于保護所述網(wǎng)絡設備不受在所述網(wǎng)絡上的確定的安全威脅的危害�����,所述網(wǎng)絡安全模塊包括一計算設備連接,其將所述網(wǎng)絡安全模塊連接到所述網(wǎng)絡設備����;一網(wǎng)絡連接,其將所述網(wǎng)絡安全模塊連接到所述網(wǎng)絡��;一解碼器裝置�,其利用一個獲得的解密鑰臨時解密一個安全通信�����;以及一安全強制實施裝置��,其通過實施獲得的安全度量����,來控制所述網(wǎng)絡設備和所述網(wǎng)絡之間的網(wǎng)絡活動,從而保護所述網(wǎng)絡設備不受所述網(wǎng)絡上的一個確定的安全威脅的危害���。
15.如權利要求14所述的網(wǎng)絡安全模塊�����,其中��,所述安全強制實施裝置通過從所述解碼器裝置那里獲得臨時解密的安全通信并根據(jù)所述獲得的安全度量評估所述臨時解密的安全通信�,來控制所述網(wǎng)絡設備和所述網(wǎng)絡之間的網(wǎng)絡活動。
16.如權利要求14所述的網(wǎng)絡安全模塊���,其中��,所述解碼器裝置從所述網(wǎng)絡設備上的一解碼模塊那里獲得所述解密鑰��,來臨時解密所述安全通信����。
17.如權利要求16所述的網(wǎng)絡安全模塊����,其進一步包括一第二通信連接,其將所述網(wǎng)絡安全模塊連接到所述網(wǎng)絡設備�,并且其中,所述解碼器裝置通過所述第二通信連接從所述網(wǎng)絡設備上的一解碼裝置那里獲得所述解密鑰��,來臨時解密所述安全通信���。
18.如權利要求14所述的網(wǎng)絡安全模塊��,其中��,所述安全通信根據(jù)加密套接字層協(xié)議被加密���。
19.如權利要求14所述的網(wǎng)絡安全模塊����,其中����,所述安全通信根據(jù)傳輸層安全協(xié)議被加密。
全文摘要
提出了一種用于保護連接到一通信網(wǎng)絡的計算設備不受確定的安全通信中的網(wǎng)絡威脅的危害的網(wǎng)絡安全模塊�����。該網(wǎng)絡安全模塊或者邏輯或者物理地介于受保護的計算機和通信網(wǎng)絡之間����。一旦檢測到安全通信��,該網(wǎng)絡安全模塊就從計算設備那里獲得一個解密鑰�����,以便解碼該安全通信。然后該網(wǎng)絡安全模塊根據(jù)該加密的通信是否破壞該網(wǎng)絡安全模塊實施的保護性安全度量���,處理該解密的通信����。
文檔編號H04L29/06GK1658577SQ20051005652
公開日2005年8月24日 申請日期2005年2月2日 優(yōu)先權日2004年2月13日
發(fā)明者A·法蘭克, T·G·菲利浦斯 申請人:微軟公司