專利名稱:用于評(píng)價(jià)安全風(fēng)險(xiǎn)的機(jī)制的制作方法
技術(shù)領(lǐng)域:
該本發(fā)明涉及計(jì)算機(jī)安全系統(tǒng)��。更具體地說�����,本發(fā)明涉及用于評(píng)價(jià)和總計(jì)計(jì)算系統(tǒng)的安全評(píng)估信息的機(jī)制�。
背景技術(shù):
現(xiàn)在�����,計(jì)算機(jī)用戶可以使用大量不同的應(yīng)用程序和實(shí)用程序�����。典型的計(jì)算機(jī)用戶在一年中可以在計(jì)算機(jī)上安裝許多計(jì)算機(jī)程序��。多數(shù)情況下����,計(jì)算機(jī)用戶有意識(shí)地將程序安裝在他們的計(jì)算機(jī)上。例如�����,用戶可以購(gòu)買軟件程序然后人工安裝。用戶有時(shí)可能會(huì)無意中安裝了程序���,諸如通過瀏覽一個(gè)特定的被配置成向用戶計(jì)算機(jī)上安裝Java程序或小程序的網(wǎng)站�。今天�,向計(jì)算機(jī)安裝程序已經(jīng)變得十分普遍,以致一些用戶沒有意識(shí)到與新軟件的安裝有聯(lián)系的安全問題�����。而其他用戶雖然一般敏銳地意識(shí)到了安全問題��,但是其一般不能確定可能圍繞特定程序安裝的具體問題����。
多數(shù)用戶明白新程序可能會(huì)在他們的計(jì)算機(jī)上引入病毒或其他惡意代碼��。用戶也明白一些軟件開發(fā)者使程序可自由使用����,而這些軟件具有明顯的功能或目的(諸如增加電子郵件信息)和隱藏功能或目的(諸如記錄有關(guān)用戶的信息,這些信息隨后返回給市場(chǎng)實(shí)體)�。這個(gè)特定類型的軟件常稱為“間諜軟件”,因此用戶要經(jīng)常設(shè)法以各種方式保護(hù)他們自己免受安全威脅�����。例如,許多用戶安裝反病毒實(shí)用程序來保護(hù)他們自己以防病毒�。少數(shù)用戶也安裝反間諜軟件實(shí)用程序以解決間諜軟件安全問題。
不幸的是����,每個(gè)安全實(shí)用程序都彼此獨(dú)立地運(yùn)行并且互不清楚彼此的結(jié)果,因此使用戶承擔(dān)了徹底了解來自于每個(gè)安全實(shí)用程序的信息的負(fù)擔(dān)?�,F(xiàn)在的安全防范系統(tǒng)彼此相對(duì)的運(yùn)行在空白中����,并且每個(gè)都向用戶提供它的特定的安全風(fēng)險(xiǎn)。更確切地說�,他們只希望他們的安全防范系統(tǒng)工作。現(xiàn)在的安全實(shí)用程序的修補(bǔ)性一般讓用戶擔(dān)心他們已在他們的防御中留下漏洞����,從而惡意的或不受歡迎的程序?qū)⒘镞M(jìn)來。因?yàn)檫@些擔(dān)心���,許多用戶不愿試用新程序���,尤其在聯(lián)機(jī)環(huán)境中尤其如此。
不幸的是,目前沒有可以保護(hù)用戶免受當(dāng)下載�����、安裝或執(zhí)行具體的軟件程序所帶來的多個(gè)不同安全風(fēng)險(xiǎn)的侵害�。用于評(píng)估安全風(fēng)險(xiǎn)的適當(dāng)機(jī)制已把本領(lǐng)域熟練的技術(shù)人員難倒。
發(fā)明總述本發(fā)明針對(duì)的是一種用于總計(jì)有關(guān)程序的安全評(píng)估信息并以適宜的和可用的方式在這些信息上進(jìn)行操作的系統(tǒng)和方法�����。
簡(jiǎn)要地說��,主機(jī)環(huán)境負(fù)責(zé)裝入應(yīng)用程序���。響應(yīng)應(yīng)用程序裝入的啟動(dòng)����,主機(jī)環(huán)境調(diào)用一個(gè)信任管理器以評(píng)價(jià)與該應(yīng)用程序有關(guān)的安全風(fēng)險(xiǎn)���。信任管理器調(diào)用多個(gè)信任評(píng)價(jià)器,其中每個(gè)信任評(píng)價(jià)器負(fù)責(zé)對(duì)不同的安全風(fēng)險(xiǎn)進(jìn)行分析和評(píng)估��。在完成對(duì)每個(gè)安全風(fēng)險(xiǎn)的評(píng)價(jià)之后����,對(duì)這些個(gè)體安全風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果將返回到信任管理器���。信任管理器總計(jì)安全風(fēng)險(xiǎn)評(píng)價(jià)結(jié)果的種類,并且根據(jù)總計(jì)的評(píng)價(jià)結(jié)果作出安全決定�����。這些決定可能是繼續(xù)裝入應(yīng)用程序���,阻止應(yīng)用程序的裝入�����,或者向用戶提示是否繼續(xù)裝入的決定�����。有利地�����,如果被提示�����,用戶可以根據(jù)該應(yīng)用程序的總計(jì)安全評(píng)估來做出決定����,通常該安全評(píng)估通常向用戶提供較大的保護(hù)意識(shí)。
附圖簡(jiǎn)述
圖1是說明可以用于本發(fā)明實(shí)施中的計(jì)算裝置的功能方塊圖��。
圖2是一個(gè)功能方塊圖�,其通常說明執(zhí)行應(yīng)用程序的安全評(píng)價(jià)并向用戶提供這些評(píng)價(jià)的集體安全評(píng)估的系統(tǒng)的部件。
圖3是一個(gè)應(yīng)用程序的示例性的授權(quán)組���,該應(yīng)用程序?qū)⑻囟ǖ臋?quán)限與該應(yīng)用程序的上下文中的應(yīng)用程序的部件關(guān)聯(lián)起來�。
圖4是一個(gè)示例性的用戶接口的圖示�����,該用戶接口可以用于將集體安全評(píng)估信息提供給用戶����。
圖5是一個(gè)一般說明評(píng)價(jià)與應(yīng)用程序相關(guān)的安全風(fēng)險(xiǎn)并將集體安全評(píng)估提供給用戶的過程的邏輯流程圖。
優(yōu)選具體實(shí)施例的詳細(xì)說明首先����,將參考其中可以實(shí)施本發(fā)明的具體實(shí)施例的說明性的計(jì)算環(huán)境的一個(gè)實(shí)例來描述本發(fā)明��。其次,將描述本發(fā)明的一個(gè)具體實(shí)施的詳細(xì)實(shí)例��。根據(jù)該具體實(shí)施的某些細(xì)節(jié)����,還可以包括替換實(shí)施。應(yīng)當(dāng)理解��,本發(fā)明的具體實(shí)施例并不局限于在此所描述的這些具體實(shí)施例����。
本發(fā)明的示例性計(jì)算環(huán)境圖1是說明可以用于本發(fā)明示例性實(shí)施中的計(jì)算裝置的功能方塊圖。請(qǐng)參考圖1�����,一個(gè)用于實(shí)施本發(fā)明的典型系統(tǒng)包括計(jì)算裝置���,諸如計(jì)算裝置100���。在一個(gè)非常基本的結(jié)構(gòu)中��,計(jì)算裝置100一般至少包括一個(gè)處理部件102和系統(tǒng)存儲(chǔ)器104�。根據(jù)計(jì)算裝置的確切結(jié)構(gòu)和類型�����,系統(tǒng)存儲(chǔ)器104可以是揮發(fā)性的(諸如RAM)��,非易失性的(諸如ROM�、閃速存儲(chǔ)器��,等)或兩者的某些組合�。系統(tǒng)存儲(chǔ)器104一般包括操作系統(tǒng)105、一個(gè)或多個(gè)程序模塊106�����,并且還可以包括程序數(shù)據(jù)107�。計(jì)算裝置100的基本結(jié)構(gòu)在圖1中通過虛線108內(nèi)部的這些元件來說明。
計(jì)算裝置100可以具有附加的特征或功能�。例如,計(jì)算裝置100還可以包括附加的數(shù)據(jù)存儲(chǔ)器(可移動(dòng)的和/或固定的)�,諸如磁盤、光盤或磁帶�。這種附加存儲(chǔ)器在圖1中通過可移動(dòng)存儲(chǔ)器109和固定存儲(chǔ)器110來說明。計(jì)算機(jī)存儲(chǔ)器介質(zhì)可以包括揮發(fā)性的和非揮發(fā)性的���、可移動(dòng)的和固定的介質(zhì)��。該等介質(zhì)在信息存儲(chǔ)的任何方法或技術(shù)中實(shí)施��,信息諸如計(jì)算機(jī)可讀指令����、數(shù)據(jù)結(jié)構(gòu)����、程序模塊或其它數(shù)據(jù)。系統(tǒng)存儲(chǔ)器104����、可移動(dòng)存儲(chǔ)器109和固定存儲(chǔ)器110是計(jì)算機(jī)存儲(chǔ)器介質(zhì)的全部實(shí)例。計(jì)算機(jī)存儲(chǔ)器介質(zhì)包括(但不限于)�,RAM、ROM��、EEPROM���、閃速存儲(chǔ)器或其它存儲(chǔ)技術(shù)����,CD-ROM�、數(shù)字化視頻光盤(″DVD″)或其它光存儲(chǔ)器�、磁帶盒�����、磁帶��、磁盤存儲(chǔ)器或其它磁存儲(chǔ)器����,或其它任何可用于存儲(chǔ)所需信息并可由計(jì)算裝置100訪問的介質(zhì)。所有的這種計(jì)算機(jī)存儲(chǔ)器介質(zhì)可以是裝置100的一部分�。計(jì)算裝置100還可以具有輸入設(shè)備112,諸如鍵盤122��、鼠標(biāo)器123����、光筆、聲音輸入裝置��、接觸式輸入設(shè)備��、掃描儀����,等��。也可以包括輸出裝置114�����,諸如顯示器、揚(yáng)聲器�����、打印機(jī)����,等。也可以包括輸出裝置114��,諸如顯示器�����、揚(yáng)聲器��、打印機(jī)�����,等。這些裝置在本領(lǐng)域中是公知的����,因此在這里不必詳細(xì)地論述。
計(jì)算裝置100還可以包含通信連接116��,諸如通過網(wǎng)絡(luò)其允許計(jì)算轉(zhuǎn)置與其它計(jì)算裝置118通訊�。通信連接116是傳播介質(zhì)的一個(gè)實(shí)例。傳播介質(zhì)一般可以被計(jì)算機(jī)可讀指令�����、數(shù)據(jù)結(jié)構(gòu)�����、程序模塊或其它調(diào)制數(shù)據(jù)信號(hào)(諸如載波或其它傳送機(jī)制)形式的其它數(shù)據(jù)具體化��,并且傳播介質(zhì)包括所有的信息分送送介質(zhì)����。術(shù)語″調(diào)制數(shù)據(jù)信號(hào)″指的是一種具有一個(gè)或多個(gè)它的特征集合或以這種方式變化以對(duì)該信號(hào)中的信息編碼的信號(hào)。舉例來說(但不限于)����,傳播介質(zhì)包括有線媒體�����,諸如有線網(wǎng)絡(luò)或直線連接�,和無線介質(zhì)��,諸如聲波��、射頻��、紅外線及其他無線介質(zhì)��。在此使用的術(shù)語計(jì)算機(jī)可讀介質(zhì)包括存儲(chǔ)載體和傳播介質(zhì)兩者��。
具體實(shí)施的詳述圖2是一個(gè)通常說明實(shí)施本發(fā)明的環(huán)境的部件的功能方塊圖�����。如圖2所示��,信任評(píng)價(jià)系統(tǒng)200被配置以評(píng)價(jià)應(yīng)用程序201以及識(shí)別所有的與應(yīng)用程序201有關(guān)的安全風(fēng)險(xiǎn)��。應(yīng)用程序201可以是計(jì)算裝置100可用的任何可執(zhí)行碼�����。在計(jì)算裝置100上固有地存在與執(zhí)行應(yīng)用程序201有關(guān)的一些安全風(fēng)險(xiǎn)����。例如,應(yīng)用程序201可以包含一種病毒或其可以組成間諜軟件�。因此,配置系統(tǒng)200以分析應(yīng)用程序201���,以便以有意義的方式評(píng)估和量化這些風(fēng)險(xiǎn)���。信任評(píng)價(jià)系統(tǒng)200然后對(duì)有關(guān)應(yīng)用程序201的裝入做出決定。
應(yīng)用程序201可以由結(jié)合運(yùn)行的幾個(gè)組件組成��。例如��,應(yīng)用程序201和202可以包括多個(gè)模塊或組件����,諸如組件A202和組件B203。應(yīng)用程序201可以包括描述應(yīng)用程序和其每一個(gè)組成部件的元數(shù)據(jù)����。元數(shù)據(jù)可以包含在清單205中����,或者可以與應(yīng)用程序201相關(guān)地保存���。元數(shù)據(jù)可以包括諸如應(yīng)用程序的名稱��、版本�����、應(yīng)用程序的組成部件所需的資格和權(quán)限���、隱私策略信息����、數(shù)字標(biāo)記信息,等等�����。
在眾多的方式之一中��,應(yīng)用程序201可以首先被裝入計(jì)算裝置100上�。例如�,可以在上因特網(wǎng)期間下載應(yīng)用程序201���,或者從光盤或其它永久性存儲(chǔ)器中獲得�,又或者可以以電子郵件信息的形式接收����,或通過其它的機(jī)制。在本實(shí)施中��,通過主機(jī)環(huán)境220裝入并執(zhí)行應(yīng)用程序201�����。為了描述的目的���,主機(jī)環(huán)境220包括任何在其中將執(zhí)行應(yīng)用程序201的環(huán)境�。例如�,主機(jī)環(huán)境220可以是一個(gè)可控制代碼運(yùn)動(dòng)期環(huán)境、外殼程序��、另一個(gè)應(yīng)用程序�����,等等。在這個(gè)特定的具體實(shí)施例中��,主機(jī)環(huán)境220可以包括基于主機(jī)類型的優(yōu)先級(jí)別���。例如���,可以確定與光盤驅(qū)動(dòng)器有關(guān)聯(lián)的主機(jī)環(huán)境可以引起的安全風(fēng)險(xiǎn)比與諸如因特網(wǎng)此類的網(wǎng)絡(luò)會(huì)話有關(guān)聯(lián)的主機(jī)環(huán)境所引起的安全風(fēng)險(xiǎn)低。當(dāng)將安全計(jì)分分配到應(yīng)用程序201之后���,可以使用優(yōu)先級(jí)別��。
配置主機(jī)環(huán)境220以根據(jù)與應(yīng)用程序201有關(guān)的元數(shù)據(jù)建立應(yīng)用程序描述對(duì)象(ADO)221�。主機(jī)環(huán)境220將ADO221充分的有關(guān)應(yīng)用程序201的信息包括在內(nèi)���,以便有效地評(píng)價(jià)與應(yīng)用程序201有關(guān)的安全風(fēng)險(xiǎn)����。因此��,ADO221可以在目標(biāo)形式中包括應(yīng)用程序的名稱����、應(yīng)用程序的版本、應(yīng)用程序的組成部件所需的資格和權(quán)限��、隱私策略信息�����、數(shù)字標(biāo)記信息��,等等��。進(jìn)一步地配置主機(jī)環(huán)境220�,以調(diào)用信任管理器210執(zhí)行評(píng)價(jià)。
信任管理器210可以是一個(gè)駐留在計(jì)算裝置100之上的操作系統(tǒng)的信任部件��。在這個(gè)特定的具體實(shí)施例中����,信任管理器210暴露一個(gè)接口,其由主機(jī)環(huán)境220調(diào)用以啟動(dòng)應(yīng)用程序201的安全評(píng)價(jià)�。信任管理器210經(jīng)由該接口從主機(jī)環(huán)境220接收ADO221。進(jìn)一步配置信任管理器201以調(diào)用一系列信任評(píng)價(jià)引擎����,以便評(píng)估與應(yīng)用程序201有關(guān)的安全風(fēng)險(xiǎn)。配置每個(gè)評(píng)價(jià)引擎以根據(jù)ADO221中的信息或應(yīng)用程序201本身的部件來評(píng)價(jià)具體的威脅種類����。例如��;評(píng)價(jià)引擎240可以是一種計(jì)分引擎�����,該計(jì)分引擎評(píng)價(jià)有關(guān)應(yīng)用程序的憑據(jù)(可以包含在ADO221中或別處)��,以便確定該應(yīng)用程序在計(jì)算裝置100之上執(zhí)行惡意行為的能力����。評(píng)價(jià)引擎241可以是一種病毒檢驗(yàn)器�����,而評(píng)價(jià)引擎242可以是被進(jìn)一步配置以評(píng)價(jià)與應(yīng)用程序201有關(guān)的隱私關(guān)系�。每一個(gè)評(píng)價(jià)引擎可以衍生基本類;或可以被作為接口來實(shí)施����。
針對(duì)每個(gè)評(píng)價(jià)引擎的具體規(guī)則和標(biāo)準(zhǔn)�����,配置每個(gè)評(píng)價(jià)引擎以評(píng)估應(yīng)用程序201,確定計(jì)分245�����。計(jì)分的實(shí)例包括最小值和最大值之間的數(shù)值�����;或者包括來自于一組替換的安全級(jí)別的離散值���。這些僅是實(shí)例��,并非詳細(xì)清單���。每個(gè)評(píng)價(jià)引擎結(jié)束其評(píng)估之后,計(jì)分245被返回給信任管理器210����。進(jìn)一步配置信任管理器210以將個(gè)體計(jì)分合計(jì)為計(jì)分累積250,該計(jì)分累積表示在每個(gè)為其而存在評(píng)價(jià)引擎的區(qū)域中的應(yīng)用程序的集體安全評(píng)估�����。可以存在的任何優(yōu)先權(quán)�����,諸如與主機(jī)環(huán)境220的具體類型有關(guān)的優(yōu)先權(quán)�����,可以被應(yīng)用于計(jì)分累積250以便進(jìn)一步改進(jìn)集體安全評(píng)估����。根據(jù)集體安全評(píng)估,信任管理器210可以具有充分的信息來在不涉及用戶的情況下做出裝入決定�。例如,預(yù)先確定的閾值(或者缺省設(shè)置�����,或者由用戶提供)可以控制什么程序可以不尋求用戶認(rèn)可地裝入���,或者什么程序在不提示用戶的情況下阻止��。如果要裝入的具體應(yīng)用程序的集體安全評(píng)估落入兩個(gè)閾值之間���,那么可以向用戶提示裝入確定����。
信任管理器210構(gòu)造一個(gè)描述許可級(jí)別的信任對(duì)象261���,即使有的話,可以用其裝入應(yīng)用程序����。該信任對(duì)象261可以包括在一個(gè)部件接一個(gè)部件地定義用于應(yīng)用程序的許可授權(quán)組262的數(shù)據(jù)。圖3說明一個(gè)示例性許可授權(quán)組262的一個(gè)實(shí)例并且如下所述����。如果應(yīng)用程序201的集體安全評(píng)估落于上述的兩個(gè)閾值之間,那么信任管理器210可以將信任對(duì)象261傳遞到用戶接口260�����,以致可以提示用戶���。
用戶接口260是一種以有意義的方式將集體安全評(píng)估提供給用戶使得用戶可以對(duì)有關(guān)行動(dòng)做出理性確定的機(jī)制�����。
用戶接口260可以采用多種形式����,諸如對(duì)話框、聽覺信號(hào)���、形象指示器�,等等�����。圖4說明可能的用戶接口260的一個(gè)實(shí)例并且如下所述�。本質(zhì)上,用戶接口260為各種不同的安全信息提供的單一點(diǎn)的顯示�,這在習(xí)知系統(tǒng)中并不存在。
用戶接口260可以向用戶提示可能的允許應(yīng)用程序轉(zhuǎn)入以進(jìn)行的安全分支���,而且可能向用戶提供可以分配給應(yīng)用程序的各種權(quán)限級(jí)別����。要求用戶對(duì)是否繼續(xù)裝入應(yīng)用程序做出決定�����。用戶接口260將用戶的反應(yīng)信息添加到信任對(duì)象261并且將其返回給信任管理器210���。
每當(dāng)應(yīng)用程序201裝入或者執(zhí)行時(shí)�����,它的主機(jī)環(huán)境220就可以調(diào)用信任管理器210檢索應(yīng)用程序201的安全評(píng)估�����。在授權(quán)組262已經(jīng)被建立的情況下�,信任管理器210可以將這些授權(quán)組262返回至主機(jī)環(huán)境220�。或者���,主機(jī)環(huán)境220可以高速緩存安全評(píng)估信息����,以用于隨后在不涉及信任管理器210的情況下使用�。主機(jī)環(huán)境220于是將在授權(quán)組262中已識(shí)別的任何訪問權(quán)限應(yīng)用于應(yīng)用程序201。更準(zhǔn)確地說���,主機(jī)環(huán)境220可以將訪問權(quán)限應(yīng)用于應(yīng)用程序201的每個(gè)獨(dú)立的部件上�����,諸如組件202�����。同樣可行的是��,主機(jī)環(huán)境220或者其它的應(yīng)用程序可以提供部件給信任管理器210�����,以用于沒有執(zhí)行部件的具體意圖情況下的安全評(píng)估�����。
圖3是一個(gè)示例性授權(quán)組301的圖示�,該授權(quán)組可通過本發(fā)明的實(shí)施而產(chǎn)生。請(qǐng)注意��,本文所使用的術(shù)語″授權(quán)組″指的是任何信息集合�����,該信息集合用于定義其中可以執(zhí)行應(yīng)用程序的安全環(huán)境��。本文所使用的術(shù)語″授權(quán)組″并不局限于特定的安全環(huán)境�,諸如公共語言運(yùn)動(dòng)期環(huán)境�,而是趨向于涵蓋用于定義在其內(nèi)部不考慮特定操作環(huán)境地執(zhí)行應(yīng)用程序的安全環(huán)境的信息�����。
在這個(gè)特定的實(shí)例中�,授權(quán)組301可以是對(duì)象內(nèi)部的數(shù)據(jù),對(duì)象諸如信任對(duì)象等等�����。在這個(gè)實(shí)例中����,授權(quán)組301包括識(shí)別應(yīng)用程序的每個(gè)部件的信息�。另外,授權(quán)組301包括定義應(yīng)用程序的每個(gè)部件權(quán)限的信息����。在這種情況下,部件表格310識(shí)別部件組件A�、組件B和組件C,并且將這些部件中的每一個(gè)與權(quán)限組關(guān)聯(lián)����。例如�,在授權(quán)組301中��,組件A被識(shí)別為具有權(quán)限組PS1��。
授權(quán)組301中還包括權(quán)限表格320����,以具體的定義這些權(quán)限是與每個(gè)許可組相關(guān)的安全資格。在這個(gè)實(shí)例中�����,權(quán)限組PS1包括這些已在實(shí)例中被識(shí)別為權(quán)限1的權(quán)限和資格���。應(yīng)當(dāng)理解��,當(dāng)主機(jī)環(huán)境220開始裝入應(yīng)用程序的部件時(shí)����,通過參考授權(quán)組301�,在應(yīng)用程序的上下文中可以將適當(dāng)?shù)臋?quán)限應(yīng)用于應(yīng)用程序的每個(gè)部件。換句話說�,其它的應(yīng)用程序也可以包括組件B,但是在其它應(yīng)用程序的上下文中�,組件B可以具有不同的權(quán)限組��。那樣的話��,當(dāng)執(zhí)行其他應(yīng)用程序�,并且裝入組件B時(shí)�����,它應(yīng)具有由與另一個(gè)應(yīng)用程序相關(guān)的授權(quán)組定義的權(quán)限組��。
圖4是一個(gè)示例性用戶接口對(duì)話框����,可以根據(jù)應(yīng)用程序的安全評(píng)估將其提供給用戶�。在這個(gè)具體實(shí)例中,根據(jù)對(duì)具有訪問文件系統(tǒng)和網(wǎng)絡(luò)請(qǐng)求的應(yīng)用程序的評(píng)價(jià)來提供對(duì)話框401���。另外��,病毒鑒別器已經(jīng)確定應(yīng)用程序沒有包含病毒����。還可以包括風(fēng)險(xiǎn)級(jí)別405的形象指示�。向用戶提供允許裝入進(jìn)行的選項(xiàng)����,諸如通過點(diǎn)擊OK按鈕410��,或者終止裝入���。圖4所示的用戶接口僅僅是為了說明�,而不應(yīng)作為限制或者不應(yīng)是將安全信息提供給用戶的唯一機(jī)制�。甚至,可想象到�,根據(jù)本文獻(xiàn)的教學(xué),將清楚許多各種集體安全評(píng)估顯示�。
圖5是一個(gè)通常說明識(shí)別和以有意義的方式來集體提供有關(guān)由應(yīng)用程序所引起的安全風(fēng)險(xiǎn)的信息的邏輯流程圖。步驟開始于起始?jí)K501���,其中正在裝入應(yīng)用程序以在計(jì)算系統(tǒng)上執(zhí)行����。如上所述��,通過各種類型的主機(jī)��,可以多種方式裝入應(yīng)用程序。因此���,在起始?jí)K501��,通過使用特定的主機(jī)���,正在裝入具體的應(yīng)用程序。步驟進(jìn)行至塊503�。
在塊503,主機(jī)根據(jù)有關(guān)應(yīng)用程序的信息構(gòu)造應(yīng)用程序描述對(duì)象(ADO)�。如上所述,信息可以從包括有應(yīng)用程序的清單中獲得�����,或者通過任何與應(yīng)用程序有關(guān)的其它元數(shù)據(jù)中獲得��。ADO包含有關(guān)應(yīng)用程序的描述性信息����,諸如應(yīng)用程序的名稱和版本��、由應(yīng)用程序請(qǐng)求的任何資格�����、由應(yīng)用程序請(qǐng)求的任何代碼訪問權(quán)限、與應(yīng)用程序有關(guān)的數(shù)字標(biāo)記信息�����、隱私策略信息�����,等等�����。步驟進(jìn)行至塊505�。
在塊505,主機(jī)使用指令調(diào)用信任管理器以評(píng)價(jià)與該應(yīng)用程序有關(guān)的安全風(fēng)險(xiǎn)����。主機(jī)將ADO傳遞給信任管理器以便可以在評(píng)價(jià)中使用。
在塊507�,信任管理器通地調(diào)用一系列信任鑒別器(其每一個(gè)都評(píng)價(jià)具體區(qū)域中的安全風(fēng)險(xiǎn))來評(píng)價(jià)應(yīng)用程序的安全風(fēng)險(xiǎn)。例如���,可以對(duì)病毒鑒別器進(jìn)行配置�����,使其為應(yīng)用程序包含病毒的可能性而檢查應(yīng)用程序的每個(gè)部件���。隱私鑒別器可以評(píng)價(jià)由應(yīng)用程序請(qǐng)求的權(quán)限����,以便確定對(duì)應(yīng)用程序提供的隱私的威脅級(jí)別�����。還可以使用許多其它信任鑒別器�����,這對(duì)于本領(lǐng)域熟練的技術(shù)人員來說是顯而易見的�。
循環(huán)508為系統(tǒng)中的每個(gè)信任鑒別器執(zhí)行。循環(huán)508從塊509開始����,其中當(dāng)前信任鑒別器檢查ADO中的信息和/或應(yīng)用程序的部件以便評(píng)估安全風(fēng)險(xiǎn)。ADO中的信息可以針對(duì)一組規(guī)則或其它標(biāo)準(zhǔn)來比較��,以便建立量化應(yīng)用程序的安全風(fēng)險(xiǎn)的計(jì)分���。在一個(gè)實(shí)例中�,計(jì)分可以是從0(最大風(fēng)險(xiǎn))到1(最小風(fēng)險(xiǎn))中的值�����。計(jì)分還可以包括優(yōu)先權(quán)和串描述符��。
應(yīng)當(dāng)理解���,由每個(gè)信任鑒別器執(zhí)行的評(píng)價(jià)類似于可以由習(xí)知機(jī)制執(zhí)行的類似安全風(fēng)險(xiǎn)評(píng)價(jià)��。但是����,根據(jù)本發(fā)明�,每個(gè)信任鑒別器評(píng)估其各自的安全風(fēng)險(xiǎn)并且將計(jì)分累積返回給信任管理器(塊511)。當(dāng)每個(gè)信任鑒別器已經(jīng)將其的計(jì)分累積返回給信任管理器時(shí)�,循環(huán)508終止并且步驟進(jìn)行至塊513。
在塊513���,信任管理器分析來自于信任鑒別器的計(jì)分累積�����。信任管理器可以根據(jù)一些預(yù)先確定的標(biāo)準(zhǔn)(諸如與具體的信任鑒別器有關(guān)的優(yōu)先權(quán)�����,或其它的優(yōu)先化方案)給予計(jì)分累積以優(yōu)先權(quán)�����。例如����,帶來病毒的高風(fēng)險(xiǎn)可以超過可以發(fā)生隱私侵害的風(fēng)險(xiǎn)。信任管理器根據(jù)已給予優(yōu)先權(quán)的計(jì)分累積來確定總計(jì)安全在計(jì)算系統(tǒng)之上的影響�。如果系統(tǒng)上的總計(jì)安全影響超過預(yù)先確定的閾值,信任管理器可以只須阻止應(yīng)用程序的裝入�����。如果總計(jì)安全影響低于其它的閾值�,信任管理器可以只須建立信任對(duì)象,其包括充分的應(yīng)用程序執(zhí)行權(quán)限���。然而���,如果這些情況都不存在��,那么信任管理器可以調(diào)用用戶接口以提示用戶作出決定���。
在塊515����,信任管理器將已給予優(yōu)先權(quán)的計(jì)分累積和總計(jì)影響信息傳遞到用戶接口,以用于最終評(píng)價(jià)(如果需要用戶最終評(píng)價(jià)的話)���。如果是這樣的話���,則將總計(jì)安全影響提供給用戶。該提供可以是對(duì)話框的形式����,該對(duì)話框總結(jié)或具體地說明與應(yīng)用程序的裝入有關(guān)的安全風(fēng)險(xiǎn)。例如����,計(jì)分引擎也許已確定應(yīng)用程序已經(jīng)請(qǐng)求在計(jì)算機(jī)上讀取和修改文件,以及在網(wǎng)絡(luò)連接上發(fā)送數(shù)據(jù)的足夠權(quán)限��。根據(jù)那樣的信息�����,或許和其他證據(jù)一起,隱私鑒別器也許已確定應(yīng)用程序很可能在網(wǎng)絡(luò)上共享用戶的信息�����。因此����,可以結(jié)合信息以通知用戶應(yīng)用程序的裝入很可能導(dǎo)致用戶成為電話推銷活動(dòng)的目標(biāo),或者導(dǎo)致其他用戶個(gè)人信息的不正當(dāng)使用���。有利的是���,向用戶提供了收集到諸如對(duì)話框等此類的公用告示中的不同安全信息。
在塊517�,根據(jù)來自于用戶接口的任何輸入,信任管理器修改描述其中可執(zhí)行應(yīng)用程序的安全環(huán)境的信任對(duì)象�����。在一個(gè)具體實(shí)施例中����,信任對(duì)象包括將應(yīng)用程序����,或應(yīng)用程序的部件與許和授權(quán)組相關(guān)聯(lián)的數(shù)據(jù)�。權(quán)限授權(quán)組描述安全級(jí)別,當(dāng)執(zhí)行應(yīng)用程序時(shí)���,該安全級(jí)別將應(yīng)用于該應(yīng)用程序。在一個(gè)具體的環(huán)境中��,權(quán)限授權(quán)組與應(yīng)用程序的每個(gè)部件相關(guān)聯(lián)���。在塊517����,步驟可以停滯�,直到應(yīng)用程序被實(shí)際執(zhí)行為止,藉此使主機(jī)開始裝入引起的部件����。在該點(diǎn)上,步驟進(jìn)行至塊519����。
在塊519�����,由主機(jī)裝入應(yīng)用程序���。作為應(yīng)用于正在裝入的應(yīng)用程序的安全策略的一部分,主機(jī)為了于應(yīng)用程序有關(guān)的信任對(duì)象而查詢信任管理器����。由于是裝入應(yīng)用程序的每個(gè)部件,因此應(yīng)用了與部件有關(guān)的權(quán)限授權(quán)組�。以這種方式,根據(jù)本發(fā)明已裝入的應(yīng)用程序只被允許這些權(quán)限����,而這些權(quán)限已由用戶以通知的方式直接并包括地建立。如果執(zhí)行的足夠資格還沒有授予應(yīng)用程序���,那么信任管理器可能阻止應(yīng)用程序的執(zhí)行�。
上述說明�����,實(shí)例和數(shù)據(jù)提供了本發(fā)明的概念和示例性實(shí)施的完整敘述。因?yàn)榘l(fā)明的許多具體實(shí)施例可以在不脫離本發(fā)明的精神和范圍的情況下作出����,因此本發(fā)明歸屬于以下附加的權(quán)利要求。
權(quán)利要求
1.一種具有計(jì)算機(jī)可執(zhí)行組件的計(jì)算機(jī)可讀介質(zhì)���,包括信任管理器����,配置以接收應(yīng)用程序正在被裝入的通知�����,并且作出反應(yīng)���,以使應(yīng)用程序針對(duì)多個(gè)安全風(fēng)險(xiǎn)進(jìn)行評(píng)價(jià),所述信任管理器被進(jìn)一步配置以累計(jì)與每個(gè)安全風(fēng)險(xiǎn)評(píng)價(jià)有關(guān)的得分�����,以便基于累積得分確定集體安全評(píng)估�;以及用戶接口,配置以提供由信任管理器確定的集體安全評(píng)估�。
2.根據(jù)權(quán)利要求1所述的計(jì)算機(jī)可讀介質(zhì),其中應(yīng)用程序正由主機(jī)環(huán)境裝入,并且其中主機(jī)環(huán)境發(fā)布通知給信任管理器���。
3.根據(jù)權(quán)利要求2所述的計(jì)算機(jī)可讀介質(zhì)����,其中主機(jī)環(huán)境被配置以建立一包括關(guān)于應(yīng)用程序的描述性信息的應(yīng)用程序描述對(duì)象����。
4.根據(jù)權(quán)利要求3所述的計(jì)算機(jī)可讀介質(zhì),其中描述性信息包括應(yīng)用程序的名稱和應(yīng)用程序的版本����。
5.根據(jù)權(quán)利要求3所述的計(jì)算機(jī)可讀介質(zhì),其中描述性信息識(shí)別由應(yīng)用程序的組件所需的權(quán)力和許可��。
6.根據(jù)權(quán)利要求3所述的計(jì)算機(jī)可讀介質(zhì)��,其中描述性信息包括隱私策略信息���。
7.根據(jù)權(quán)利要求3所述的計(jì)算機(jī)可讀介質(zhì)��,其中描述性信息包括有關(guān)應(yīng)用程序的數(shù)字簽名信息�。
8.根據(jù)權(quán)利要求1所述的計(jì)算機(jī)可讀介質(zhì)����,其中由獨(dú)立的信任鑒別器執(zhí)行安全風(fēng)險(xiǎn)評(píng)估�,每個(gè)信任鑒別器被配置以分析與應(yīng)用程序有關(guān)的具體的安全風(fēng)險(xiǎn)�。
9.根據(jù)權(quán)利要求8所述的計(jì)算機(jī)可讀介質(zhì),其中具體的安全風(fēng)險(xiǎn)包括病毒的存在�。
10.根據(jù)權(quán)利要求8所述的計(jì)算機(jī)可讀介質(zhì),其中具體的安全風(fēng)險(xiǎn)包括隱私的侵害��。
11.根據(jù)權(quán)利要求1所述的計(jì)算機(jī)可讀介質(zhì)�,其中集體安全評(píng)估識(shí)別一個(gè)或多個(gè)與裝入應(yīng)用程序有關(guān)的安全風(fēng)險(xiǎn)。
12.一種使用數(shù)據(jù)結(jié)栬編碼的計(jì)算機(jī)可讀介質(zhì)�,包括與應(yīng)用程序有關(guān)的授權(quán)組,授權(quán)組包括第一表格和第二表格���,第一表格包括組成應(yīng)用程序的組件組件的清單����,每個(gè)組件與一許可組相關(guān)聯(lián)�����,第二表格包括各許可組的清單和對(duì)每個(gè)許可組的描述�。
13.一種計(jì)算機(jī)實(shí)現(xiàn)的方法�����,包括接收應(yīng)用程序正被主機(jī)環(huán)境裝入的通知;接收包括有關(guān)應(yīng)用程序的信息的應(yīng)用程序描述對(duì)象�����;促成對(duì)應(yīng)用程序的評(píng)價(jià)���,以確定多個(gè)與應(yīng)用程序有關(guān)的安全風(fēng)險(xiǎn)�����;對(duì)來自于多個(gè)安全風(fēng)險(xiǎn)的結(jié)果進(jìn)行總計(jì)����;以及將總計(jì)結(jié)果作為應(yīng)用程序的集體安全評(píng)估來提供�。
14.根據(jù)權(quán)利要求13所述的計(jì)算機(jī)實(shí)現(xiàn)的方法,其中促成對(duì)應(yīng)用程序的評(píng)價(jià)進(jìn)一步包括調(diào)用多個(gè)信任鑒別器���,每個(gè)信任鑒別器與不同的可能的安全風(fēng)險(xiǎn)相關(guān)聯(lián)��,每個(gè)信任鑒別器可運(yùn)行以評(píng)估應(yīng)用程序遭受相應(yīng)于信任鑒別器的具體的可能的安全風(fēng)險(xiǎn)損害的可能性���。
15.根據(jù)權(quán)利要求13所述的計(jì)算機(jī)實(shí)現(xiàn)的方法����,進(jìn)一步包括分配許可組給應(yīng)用程序�,該許可組定義有其則應(yīng)用程序?qū)⒈槐辉试S執(zhí)行的許可。
16.根據(jù)權(quán)利要求15所述的計(jì)算機(jī)實(shí)現(xiàn)的方法���,進(jìn)一步包括響應(yīng)于執(zhí)行應(yīng)用程序的通知���,檢索許可組并使用適當(dāng)?shù)脑S可促使應(yīng)用程序被執(zhí)行。
17.根據(jù)權(quán)利要求15所述的計(jì)算機(jī)實(shí)現(xiàn)的方法��,其中任務(wù)組定義應(yīng)用程序的組件的許可����。
全文摘要
所描述的是一種用于集體評(píng)價(jià)與裝入應(yīng)用程序有關(guān)的安全風(fēng)險(xiǎn)的機(jī)制。與裝入應(yīng)用程序有關(guān)的主機(jī)環(huán)境調(diào)用信任管理器來評(píng)價(jià)安全風(fēng)險(xiǎn)�。信任管理器調(diào)用多個(gè)信任鑒別器,其中每個(gè)信任鑒別器負(fù)責(zé)分析和評(píng)估不同的安全風(fēng)險(xiǎn)�����。依據(jù)每個(gè)安全風(fēng)險(xiǎn)評(píng)估的結(jié)束�����,那些個(gè)體安全風(fēng)險(xiǎn)評(píng)估的結(jié)果被返回給信任管理器����。信任管理器對(duì)安全風(fēng)險(xiǎn)評(píng)估結(jié)果的種類進(jìn)行總計(jì),并且根據(jù)總計(jì)評(píng)估結(jié)果作出安全決定���。決定可以是繼續(xù)裝入應(yīng)用程序���,可以是阻止裝入應(yīng)用程序,或許是為了確定是否繼續(xù)裝入而提示用戶�。
文檔編號(hào)G06F9/00GK1618198SQ03801954
公開日2005年5月18日 申請(qǐng)日期2003年5月17日 優(yōu)先權(quán)日2003年5月17日
發(fā)明者A·高德菲德, J·霍金斯, S·考倫, V·拉姆達(dá)特米西厄, J·法羅, G·D·費(fèi), J·艾普靈, A·白比, 許景陽, T·施萊納, J·庫(kù)爾 申請(qǐng)人:微軟公司