單，黑名單特別地識(shí)別待阻塞或W其它方式不被信任的地址、節(jié)點(diǎn)、數(shù) 據(jù)源或其它信息。例如，用于本發(fā)明的某些實(shí)施方式的白名單不包括用于任何未授權(quán)網(wǎng)絡(luò) 節(jié)點(diǎn)或任何匿名代理服務(wù)器的IP地址。
[0071] 白名單可W是IANA WHOIS數(shù)據(jù)庫(kù)的子集。其可僅識(shí)別合法金融機(jī)構(gòu)、良好信譽(yù)網(wǎng) 站、良好信譽(yù)下載網(wǎng)站、良好信譽(yù)反病毒公司網(wǎng)站和/或其它服務(wù)提供商的網(wǎng)絡(luò)節(jié)點(diǎn)。運(yùn)種 服務(wù)提供商可包括ISP。因此，可在安裝期間或其它過(guò)程中修改白名單，W包括與一個(gè)或多 個(gè)互聯(lián)網(wǎng)服務(wù)提供商關(guān)聯(lián)的IP地址和其它信息。服務(wù)提供商可能需要訪問(wèn)客戶端設(shè)備、客 戶端節(jié)點(diǎn)可能需要訪問(wèn)的其它互聯(lián)網(wǎng)節(jié)點(diǎn)、或者允許訪問(wèn)用于特定功能的某一裝置的一些 其它網(wǎng)絡(luò)節(jié)點(diǎn)。此外，白名單可包括地址所有者的名稱、域名、分類號(hào)和其它信息。白名單可 存儲(chǔ)在客戶端處、在提供文件的服務(wù)器處、在通信中的媒介節(jié)點(diǎn)處、或者在不是兩個(gè)端節(jié)點(diǎn) 之間的通信的直接方的中立節(jié)點(diǎn)處。在單個(gè)或多個(gè)節(jié)點(diǎn)處可使用多個(gè)白名單，W容納被掩 飾的網(wǎng)絡(luò)地址、代理服務(wù)器等。例如，多個(gè)白名單可分布至多個(gè)路由器或其它節(jié)點(diǎn)，W在消 息、網(wǎng)頁(yè)或其它通信沿著通信路徑移動(dòng)時(shí)執(zhí)行媒介檢查。
[0072] 本發(fā)明的實(shí)施方式可實(shí)現(xiàn)為提供多層安全性。頂層是IP地址。第二層是端口號(hào)。第 =層是分類。其它層可與通信的其它方面關(guān)聯(lián)。根據(jù)應(yīng)用需求，實(shí)施方式可應(yīng)用不同級(jí)別的 評(píng)估。一個(gè)實(shí)施方式可W通過(guò)相對(duì)于信任IP地址檢查白名單僅執(zhí)行第一層評(píng)估。對(duì)于更高 安全性，實(shí)施方式可檢查全部=層。管理員可在評(píng)估模塊中設(shè)置評(píng)估級(jí)別。
[0073] 白名單中的其它信息可包括安全等級(jí)，其用于指示是否需要用戶交互。例如，對(duì)于 最高安全等級(jí)，評(píng)估模塊將自動(dòng)執(zhí)行其評(píng)估并作出所有決定。對(duì)于另一安全等級(jí)，可能需要 用戶交互W允許通信、文件下載、或者與可疑網(wǎng)站節(jié)點(diǎn)關(guān)聯(lián)的其它動(dòng)作。對(duì)于最低等級(jí)，評(píng) 估模塊可自動(dòng)地阻塞通信、文件下載或其它訪問(wèn)。附加地或可替換地，安全等級(jí)可在檢查通 信的同時(shí)確認(rèn)或單獨(dú)地確定。例如，如果IP地址、端口號(hào)和分類碼與白名單中的那些匹配， 評(píng)估模塊可指示高安全等級(jí)。如果IP地址和端口號(hào)匹配，但是分類碼不匹配，評(píng)估模塊可確 定中間安全等級(jí)，并請(qǐng)求用戶關(guān)于如何進(jìn)行的指令。如果IP地址和端口號(hào)都與白名單中的 那些不匹配，評(píng)估模塊可確定為最低安全等級(jí)。評(píng)估模塊和/或其它應(yīng)用可根據(jù)安全等級(jí)進(jìn) 行不同動(dòng)作。
[0074] 存在評(píng)估模塊可識(shí)別高風(fēng)險(xiǎn)網(wǎng)絡(luò)節(jié)點(diǎn)的多個(gè)場(chǎng)景。盡管不限于W下內(nèi)容，一些實(shí) 施例包括：
[0075] 1.對(duì)于出站連接請(qǐng)求，如訪問(wèn)網(wǎng)站、FTP(文件傳輸協(xié)議)站點(diǎn)、或其它網(wǎng)絡(luò)節(jié)點(diǎn)，檢 查目的地節(jié)點(diǎn)的IP地址和端口號(hào)。如果目的地節(jié)點(diǎn)的IP地址和端口號(hào)不在白名單中，或者 W其它方式被視為高風(fēng)險(xiǎn)，評(píng)估模塊可阻止連接、提供警告、需要用戶批準(zhǔn)、需要目的地節(jié) 點(diǎn)的附加驗(yàn)證、或者執(zhí)行另一預(yù)定動(dòng)作。如果用戶將批準(zhǔn)連接，目的地節(jié)點(diǎn)的IP地址、端口 號(hào)、和/或其它信息將被添加至白名單。
[0076] 2.對(duì)于入站連接請(qǐng)求，相對(duì)于白名單檢查請(qǐng)求節(jié)點(diǎn)的IP地址和本地裝置端口號(hào)。 運(yùn)可阻止入侵者、黑客或其它未授權(quán)用戶獲得對(duì)于接收裝置的訪問(wèn)。接收裝置(或中間節(jié) 點(diǎn)）可拒絕連接、提供警告、需要用戶批準(zhǔn)、需要請(qǐng)求節(jié)點(diǎn)的附加驗(yàn)證、或者執(zhí)行預(yù)定動(dòng)作。 如果用戶將批準(zhǔn)連接，則請(qǐng)求者節(jié)點(diǎn)的IP地址、端口號(hào)、和/或其它信息將被添加至白名單。 [OOW] 3.對(duì)于文件傳輸，可在下載文件之前檢查源節(jié)點(diǎn)。相反，可在文件被發(fā)送至可疑節(jié) 點(diǎn)之前檢查目的地節(jié)點(diǎn)。如上所述，可相對(duì)白名單檢查IP地址、端口號(hào)和文件類型。類似于 連接場(chǎng)景，評(píng)估模塊可阻止文件傳輸、需要用戶批準(zhǔn)、需要請(qǐng)求節(jié)點(diǎn)的附加驗(yàn)證、或者執(zhí)行 另一預(yù)定動(dòng)作。如果用戶將批準(zhǔn)連接，則可疑節(jié)點(diǎn)的IP地址、端口號(hào)、和/或其它信息將被添 加至白名單。文件擴(kuò)展名也將與相應(yīng)IP地址、端口號(hào)、和/或其它信息一同被存儲(chǔ)為分類。
[0078] 圖5示出了用于本發(fā)明的另一實(shí)施方式的架構(gòu)、通信序列和方法?？刹恍枰灸?塊的全部來(lái)實(shí)踐本發(fā)明，或者可包括附加模塊W用于其它實(shí)施方式。在多個(gè)實(shí)施方式中，一 些模塊可組合，而其它模塊可劃分成多個(gè)模塊。關(guān)于W下架構(gòu)討論示例性場(chǎng)景。
[0079] 在該示例性實(shí)施方式中，架構(gòu)包括客戶端20b，客戶端20b通過(guò)公共互聯(lián)網(wǎng)15b與對(duì) 應(yīng)于網(wǎng)站、FTP站點(diǎn)或其它互聯(lián)網(wǎng)服務(wù)的網(wǎng)絡(luò)節(jié)點(diǎn)317的IP地址進(jìn)行通信?？蛻舳?0b包括與 互聯(lián)網(wǎng)15b通信并與TCP/IP堆找333通信的操作系統(tǒng)3化。TCP^P堆找333與互聯(lián)網(wǎng)網(wǎng)絡(luò)應(yīng)用 34b通信，互聯(lián)網(wǎng)網(wǎng)絡(luò)應(yīng)用34b與授權(quán)模塊3^3通信?；ヂ?lián)網(wǎng)網(wǎng)絡(luò)應(yīng)用34b可W是可用于阻止 包含黑客、病毒或其它不受歡迎實(shí)體通信的電子郵件應(yīng)用或其它應(yīng)用。授權(quán)模塊與本地?cái)?shù) 據(jù)庫(kù)350通信，本地?cái)?shù)據(jù)庫(kù)350可包含在客戶端20b中或者與客戶端20b通信。本地?cái)?shù)據(jù)庫(kù)350 通常包括白名單，其存儲(chǔ)IP地址、TCP^P端口號(hào)、分類、安全等級(jí)、域名、它們的所有者和/或 其它數(shù)據(jù)之間的關(guān)聯(lián)。 巧080] 示例性場(chǎng)景1:出站連接
[0081]在該示例性實(shí)施方式中，客戶端20b的用戶可發(fā)起互聯(lián)網(wǎng)連接，例如連接至網(wǎng)站。 在通信步驟301中，互聯(lián)網(wǎng)網(wǎng)絡(luò)應(yīng)用Wb檢查用于連接的用戶請(qǐng)求。該請(qǐng)求首先被發(fā)送至 TCP/IP堆找333W將域名或U化解析為IP地址。解析域名可能需要訪問(wèn)DNS。然而，來(lái)自DNS的 IP地址可能被掩飾或者W其它方式誤導(dǎo)。在通信步驟302中，TCP/IP堆找333將請(qǐng)求發(fā)送至 操作系統(tǒng)3化，在通信步驟303中，操作系統(tǒng)使得TCP連接通過(guò)互聯(lián)網(wǎng)連接至網(wǎng)絡(luò)節(jié)點(diǎn)317。 [00對(duì)在通信步驟304中，網(wǎng)絡(luò)節(jié)點(diǎn)317(例如，網(wǎng)站的相應(yīng)服務(wù)器)返回請(qǐng)求。而且，被返 回的是網(wǎng)絡(luò)實(shí)體的正確IP地址和端口號(hào)。在通信步驟305中，客戶端操作系統(tǒng)3化接收IP地 址和端口號(hào)，并將該信息傳送至TCP/IP堆找333。在通信步驟306中，TCP/IP堆找傳送控制至 應(yīng)用34a。應(yīng)用程序可確定從接網(wǎng)絡(luò)節(jié)點(diǎn)317收的任何文件或其它數(shù)據(jù)的分類碼。在通信步 驟3 0 7中，應(yīng)用從T C P / I P堆找請(qǐng)求I P地址和端口號(hào)。例如，網(wǎng)絡(luò)應(yīng)用可調(diào)用 GetIPAd化essB卿ame對(duì)象或GetHostByName對(duì)象。在通信步驟308中，TCP/IP堆找將IP地址 和端口號(hào)返回給應(yīng)用。
[0083]然后，在通信步驟309中，網(wǎng)絡(luò)應(yīng)用34b將IP地址、端口號(hào)、分類碼和其它信息傳送 至授權(quán)模塊38b。授權(quán)模塊使用該信息檢查數(shù)據(jù)庫(kù)350。在通信步驟310中，授權(quán)模塊可將具 有IP地址、端口號(hào)、分類碼和其它信息的捜索請(qǐng)求發(fā)送至數(shù)據(jù)庫(kù)350。數(shù)據(jù)庫(kù)350執(zhí)行捜索W 判斷IP地址和其它信息是否包含在信任信息的白名單中。數(shù)據(jù)庫(kù)350也可確定與IP地址關(guān) 聯(lián)的所有者、國(guó)家、安全碼和/或其它信息。在通信步驟311中，數(shù)據(jù)庫(kù)350將經(jīng)請(qǐng)求的信息返 回給授權(quán)模塊38b。授權(quán)模塊38b可將該信息直接傳送至網(wǎng)絡(luò)應(yīng)用34b?；贗P地址和端口號(hào) 是否在白名單中，授權(quán)模塊可在步驟312中發(fā)送指令W關(guān)閉連接、丟棄所接收的信息、發(fā)出 警告消息、等待用戶決定和/或其它預(yù)定動(dòng)作。 巧084] 示例性場(chǎng)景2:入站連接
[0085] 在通信步驟304中，網(wǎng)絡(luò)節(jié)點(diǎn)317可請(qǐng)求連接至客戶端20b。客戶端操作系統(tǒng)3化接 收該請(qǐng)求，其包括網(wǎng)絡(luò)節(jié)點(diǎn)317的IP地址和端口號(hào)。請(qǐng)求通常還包括網(wǎng)絡(luò)應(yīng)用34b的端口號(hào)， W將網(wǎng)絡(luò)應(yīng)用34b識(shí)別為網(wǎng)絡(luò)節(jié)點(diǎn)期望接觸的資源。請(qǐng)求還可包括文件名稱或者與網(wǎng)絡(luò)節(jié) 點(diǎn)期望的數(shù)據(jù)有關(guān)的其它信息。在通信步驟305中，操作系統(tǒng)將該信息傳送至TCP/IP堆找 333。在通信步驟306中，TCP/IP堆找將該信息傳送至互聯(lián)網(wǎng)網(wǎng)絡(luò)應(yīng)用34b。
[0086] 然后，在通信步驟309中，網(wǎng)絡(luò)應(yīng)用34b將IP地址、端口號(hào)和其它信息傳送至授權(quán)模 塊38b。授權(quán)模塊可確定用于由網(wǎng)絡(luò)節(jié)點(diǎn)317請(qǐng)求的任何信息的分類碼。授權(quán)模塊使用該信 息來(lái)檢查數(shù)據(jù)庫(kù)350。在通信步驟310中，授權(quán)模塊可向數(shù)據(jù)庫(kù)350發(fā)送具有IP地址、端口號(hào)、 分類碼、和其它信息的捜索請(qǐng)求。數(shù)據(jù)庫(kù)350執(zhí)行捜索W判斷IP地址和其它信息是否包含在 信任信息的白名單中。數(shù)據(jù)庫(kù)350也可確定與IP地址關(guān)聯(lián)的所有者、國(guó)家、安全代碼、和/或 其它信息。在通信步驟311中，數(shù)據(jù)庫(kù)350將經(jīng)請(qǐng)求的信息返回給授權(quán)模塊38b。授權(quán)模塊38b 可將該信息直接傳送至網(wǎng)絡(luò)應(yīng)用34b?；贗P地址和端口號(hào)是否在白名單中，授權(quán)模塊可在 步驟312中發(fā)送指令W關(guān)閉連接、拒絕所接收的信息、發(fā)出警告消息、等待用戶決定和/或預(yù) 定動(dòng)作。 巧087] 示例性場(chǎng)景3:消息傳送
[0088] 如果網(wǎng)絡(luò)應(yīng)用3 4 b是消息傳送服務(wù)，例如電子郵件客戶端如M i C r O S O f t Outlook.?，其可檢查接收到的電子郵件報(bào)頭。在報(bào)頭中，存在具有發(fā)送電子郵件服務(wù)的IP 地址和端口號(hào)的"Received化om"字段。報(bào)頭可包括其它信息，例如與抄送件(CC)接收者關(guān) 聯(lián)的裝置的IP地址、所接收的電子郵件的任何附件的指示和/或其它數(shù)據(jù)。網(wǎng)絡(luò)應(yīng)用34b可 確定任何所附文件的分類碼。然后，在通信步驟309中，網(wǎng)絡(luò)應(yīng)用將IP地址、端口號(hào)和其它信 息傳送至授權(quán)模塊38b。授權(quán)模塊使用該信息判斷電子郵件發(fā)送者是否被信任。具體地，在 通信步驟310中，授權(quán)模塊在捜索請(qǐng)求中將IP地址和端口號(hào)（W及分類碼，如果有的話)發(fā)送 至數(shù)據(jù)庫(kù)350。數(shù)據(jù)庫(kù)在白名單中檢查IP地址和端口號(hào)。數(shù)據(jù)庫(kù)還可獲取域名、電子郵件功 能代碼、安全等級(jí)、和/或其它數(shù)據(jù)(如果有的話）。在通信步驟311中，數(shù)據(jù)庫(kù)350將其捜索的 結(jié)果返回給授權(quán)38a。授權(quán)模塊38b可將該信息直接傳送至電子郵件網(wǎng)絡(luò)應(yīng)用34b?；贗P地 址和端口號(hào)是否在白名單中，授權(quán)模塊可在步驟312中發(fā)送指令來(lái)刪除電子郵件、重定向電 子郵件(例如，至垃圾文件夾）、發(fā)送警告、等待用戶指令、和/或其它動(dòng)作。
[0089] 更詳細(xì)地，本發(fā)明的示例性實(shí)施方式可包括使用簡(jiǎn)單郵件傳輸協(xié)議(SMTP)的互聯(lián) 網(wǎng)電子郵件系統(tǒng)。對(duì)于互聯(lián)網(wǎng)電子郵件，使用SMPT傳送或獲得郵件。運(yùn)通?？赏ㄟ^(guò)媒介郵件 服務(wù)器來(lái)進(jìn)行。當(dāng)接收電子郵件時(shí)，郵件服務(wù)器將接收發(fā)送郵件客戶端的IP地址和TCP/UDP 端口號(hào)。郵件服務(wù)器將發(fā)送者的IP地址添加到電子郵件報(bào)頭的"Received From"字段。如上 所述，可驗(yàn)證IP地址。
[0090] 運(yùn)種驗(yàn)證的另一實(shí)施方式也可包括通過(guò)郵件服務(wù)器的反向DNS查找，W證實(shí)電子 郵件發(fā)送者的域名。注意到一些郵件服務(wù)器使用域信息W阻塞垃圾電子郵件。垃圾郵件阻 塞可使用域信息來(lái)檢查郵件服務(wù)器域和/或客戶端發(fā)送者的域。然而，如上所述，域信息可 能被掩飾。通過(guò)或不通過(guò)DNS查找，本發(fā)明的實(shí)施方式通過(guò)相對(duì)于白名單數(shù)據(jù)庫(kù)檢查電子郵 件的實(shí)際IP地址來(lái)驗(yàn)證電子郵件。然而，可通過(guò)從電子郵件報(bào)頭中的IP地址信息獲取的域 信息來(lái)檢查附加信息，例如所有者和國(guó)家?？赏ㄟ^(guò)使用域查找W確保接收到的IP地址與接 收到的電子郵件地址中指示的域關(guān)聯(lián)，來(lái)獲得額外信任。例如，驗(yàn)證模塊可使用來(lái)自電子郵 件報(bào)頭的IP地址來(lái)捜索白名單、或域分配服務(wù)已確定與IP地址關(guān)聯(lián)的域名。然后，授權(quán)模塊 可將經(jīng)確定的域名與在電子郵件消息的"Received From"字段中指定的域名進(jìn)行比較。如 果域名不匹配，則消息可能是非法的。甚至如果來(lái)自消息的IP地址和端口號(hào)與白名單中的 那些匹配，不同的域名也可能指示黑客訪問(wèn)信任網(wǎng)絡(luò)節(jié)點(diǎn)，并且正使用該