專利名稱:用于預(yù)防連接了因特網(wǎng)的計(jì)算機(jī)上的惡意軟件安裝的方法
技術(shù)領(lǐng)域:
本發(fā)明一般涉及計(jì)算機(jī)安全和因特網(wǎng)安全�����。更明確地�����,本發(fā)明涉及一 種用于預(yù)防惡意軟件被安裝到計(jì)算機(jī)系統(tǒng)上的方法����。本發(fā)明為因特網(wǎng)使用 提供一種專用分區(qū)����,在所述專用分區(qū)中�����,惡意軟件不能被安裝�����。
背景技術(shù):
在因特網(wǎng)上分發(fā)的惡意軟件是一種巨大的和正在增長的問題����。罪犯和 黑客已開發(fā)出用于將不需要和有破壞性的軟件安裝到連接到因特網(wǎng)的計(jì)算 機(jī)上的技術(shù)。例如間諜軟件或按鍵記錄程序的惡意軟件可以捕獲例如銀行 帳號�����、社會保障號或信用卡號的個(gè)人生活的隱私詳情�����,其可以被用于識別
盜竊。同樣地�����,惡意軟件可以將計(jì)算機(jī)轉(zhuǎn)換為可以被用于拒絕服務(wù)(DOS) 攻擊或其它犯罪活動的可遠(yuǎn)程控制的"僵尸���,,計(jì)算機(jī)��。存在可以從因特網(wǎng) 下載惡意軟件的許多方法��。典型地���,惡意軟件被用戶無意地下載�,該用戶 導(dǎo)航到網(wǎng)站并且下栽表面上無害或有用的軟件�����。有時(shí)�����,惡意軟件凈皮偽裝為 有用文件或媒體(例如音樂��、視頻)����。同樣地����,所迷軟件可以通過電子郵 件消息獲取���。
惡意軟件的問題正在增長���,并且威脅因特網(wǎng)上的許多合法商業(yè)活動。 同樣地����,惡意軟件可以導(dǎo)致對計(jì)算機(jī)網(wǎng)絡(luò)的深遠(yuǎn)破壞和對因特網(wǎng)用戶的不 便。
提供一種用于防止惡意軟件的安裝和運(yùn)行的簡單和有效的方法將是本 領(lǐng)域中的進(jìn)步�����。所迷方法應(yīng)當(dāng)在不允許惡意軟件的安裝的情況下提供到因 特網(wǎng)的全功能的和方便的訪問�。
發(fā)明內(nèi)容
本發(fā)明提供一種用于安全因特網(wǎng)訪問的方法。在本方法中���,第一和第 二分區(qū)在計(jì)算機(jī)存儲器(例如隨機(jī)訪問存儲器)中凈皮創(chuàng)建��。每個(gè)分區(qū)具有
其自己的操作系統(tǒng)(os)�����。所述第一分區(qū)用于常規(guī)計(jì)算機(jī)使用��,并且具有
常規(guī)操作系統(tǒng)��。所述第二分區(qū)用于根據(jù)本發(fā)明的安全因特網(wǎng)使用�����,并且具 有根據(jù)本發(fā)明的專用于因特網(wǎng)使用的因特網(wǎng)os����。所述因特網(wǎng)os不能在所
述第二分區(qū)中寫或復(fù)制文件�,或者改變所述第二分區(qū)的大小。來自所述第 二分區(qū)的計(jì)算機(jī)操作可以經(jīng)由任意快捷技術(shù)被調(diào)用�,其中,所述快捷4支術(shù) 例如是通過對屏幕圖標(biāo)的選擇而發(fā)起的可執(zhí)行文件��。
為了以安全方式訪問因特網(wǎng)����,因特網(wǎng)軟件被加栽到所述第二分區(qū)中, 并且然后使用所迷第二分區(qū)中的軟件來訪問因特網(wǎng)。根據(jù)本發(fā)明�,所述第 二分區(qū)提供到因特網(wǎng)的安全訪問。從因特網(wǎng)被加載到所述第二分區(qū)中的惡 意軟件將不能在所述第二分區(qū)中創(chuàng)建或改變文件�,并且將不能改變所述第 二分區(qū)的大小或分配給因特網(wǎng)軟件應(yīng)用的存儲器。
優(yōu)選地�,安全存儲器也被提供。所述安全存儲器臨時(shí)存儲所述第二分 區(qū)中所使用的軟件應(yīng)用和文件����。同樣地,所述安全存儲器可以具有可以用
于檢測文件中的改變的數(shù)據(jù)的循環(huán)冗余檢驗(yàn)(CRC )表或類似資源庫��。(循 環(huán)冗余檢驗(yàn)是一種用于從可能大得多的文件中的特定文本計(jì)算出數(shù)字的技 術(shù)��,以及即使所述文本中的較小改變也可以導(dǎo)致顯著不同的數(shù)字����。以下, 術(shù)語循環(huán)冗余檢驗(yàn)或CRC將被用作對例如散列函數(shù)和能夠確定文件中的 改變的類似功能的所有技術(shù)和方案的集體引用��。)所述CRC表存儲所述 安全存儲器中的所有文件的CRC值�。當(dāng)軟件從所述安全存儲器凈皮加栽到 所述第二分區(qū)中時(shí),CRC值針對所述第二分區(qū)中的所有文件被計(jì)算���,以及 所計(jì)算出的CRC值^C與存儲在所述CRC表中的CRC值比較��。如果所述 CRC值匹配��,則因特網(wǎng)訪問可以進(jìn)行�����。如果其不匹配��,則惡意軟件可能出 現(xiàn)���。到因特網(wǎng)的訪問被停止��,并且新軟件可以(例如從所述安全存儲器���、 硬盤驅(qū)動器或其它安全源)被加載到所述第二分區(qū)中�。
同樣地,下載存儲器優(yōu)選被提供����。所述下栽存儲器臨時(shí)存儲從因特網(wǎng)
下載的文件。在已下載文件被傳輸?shù)剿龅谝环謪^(qū)之前���,所述文件祐j吏用 任意合適技術(shù)(例如反病毒軟件或不可能命令檢測)針對惡意軟件進(jìn)4亍掃 描�。所述下載存儲器在潛在被感染的文件可以被針對惡意軟件進(jìn)行掃描和 測試之前為潛在被感染的文件提供安全存儲。
在優(yōu)選實(shí)施例中��,所述因特網(wǎng)OS可以僅在所述安全存儲器或所述下
載存儲器中寫或復(fù)制文件��,但不能在所述第二分區(qū)中寫���。同樣地���,所述第 二分區(qū)中的軟件應(yīng)用優(yōu)選具有已分配的具有固定的、不可改變大小的存儲 器區(qū)域�。這防止惡意軟件通過導(dǎo)致程序存儲器溢出而獲得對計(jì)算機(jī)的訪問。
應(yīng)當(dāng)指出�,"固定和不可改變"是指所述已分配存儲器在所述第二分區(qū) 被創(chuàng)建之后不能被改變。如果所述笫二分區(qū)被關(guān)閉���,則第二分區(qū)的大小和 分配的存儲器可以被改變����,以及具有不同存儲器分配大小的新第二分區(qū)被 創(chuàng)建����。
圖1示出了根據(jù)本發(fā)明的優(yōu)選實(shí)施例的計(jì)算機(jī)內(nèi)部的存儲器分配結(jié)構(gòu)。
圖2示出了根據(jù)本發(fā)明的優(yōu)選實(shí)施例的循環(huán)冗余檢驗(yàn)表��。該CRC表 優(yōu)選存儲被加載到第二分區(qū)中或在其中被創(chuàng)建的所有文件的CRC值。
圖3a和3b示出了用于準(zhǔn)備用于實(shí)現(xiàn)根據(jù)本發(fā)明的優(yōu)選實(shí)施例的安全 因特網(wǎng)訪問方法的計(jì)算機(jī)的初始化方法的流程圖���。
圖4示出了才艮據(jù)本發(fā)明的優(yōu)選實(shí)施例的安全因特網(wǎng)訪問的流程圖�����。
圖5示出了根據(jù)本發(fā)明的優(yōu)選實(shí)施例的從因特網(wǎng)安全下栽文件的流程圖�����。
具體實(shí)施例方式
本發(fā)明提供一種用于防止連接了因特網(wǎng)的計(jì)算機(jī)上的惡意軟件的安裝 的方法和裝置�����。在本發(fā)明的優(yōu)選實(shí)施例中��,計(jì)算機(jī)具有被劃分為兩個(gè)分區(qū) 的隨機(jī)訪問存儲器����。第一分區(qū)用于正常的(優(yōu)選為非因特網(wǎng)相關(guān)的)使用��。
第二分區(qū)用于安全因特網(wǎng)使用�����。所述第二分區(qū)具有其自己的操作系統(tǒng)�����、因 特網(wǎng)瀏覽器以及適于因特網(wǎng)通信的其它軟件����,并且優(yōu)選地僅具有所述軟件。 所述第二分區(qū)中的操作系統(tǒng)由此在功能上受限�。更明確地,所述第二分區(qū) 中的操作系統(tǒng)不能擴(kuò)展第二分區(qū)存儲器的大小��,以及不能向所述第二分區(qū) (或所述第一分區(qū))寫或復(fù)制文件�����,而僅能向(處于密碼或類似保護(hù)下的) 下載存儲器或安全存儲器寫或復(fù)制文件���。安全存儲器(例如針對至少對其 的寫操作被密碼保護(hù))也被提供��。所述安全存儲器可由所述兩個(gè)分區(qū)中的 軟件讀訪問�����。所述安全存儲器包含用于建立所述第二分區(qū)的文件和軟件(例 如因特網(wǎng)瀏覽器和循環(huán)冗余檢驗(yàn)軟件)�。每當(dāng)因特網(wǎng)訪問被希望時(shí)(或計(jì) 算機(jī)啟動期間,或周期性地在所述第二分區(qū)被建立之后)�����,所述安全存儲
器中的軟件和文件被認(rèn)證(例如經(jīng)由循環(huán)冗余檢驗(yàn)(CRC))��,以及然后 如果需要則被加載到所述第二分區(qū)中��。同樣地�, 一種方法被提供用于在所 述第一分區(qū)中加載和安裝之前將文件下載到下載存儲器中。通過這么4故����, 從因特網(wǎng)被加載到所述第二分區(qū)中的惡意軟件不能在所述第二分區(qū)中復(fù)制 或?qū)懳募⒉荒軅鱚"到所述第一分區(qū)�����,以及因此在其功能上受限而不能創(chuàng) 建破壞�����。相應(yīng)地����,本發(fā)明提供全功能的因特網(wǎng)訪問、針對惡意軟件的保護(hù) 以及一般地針對下載不希望的軟件或文件的保護(hù)�。
在本發(fā)明的優(yōu)選實(shí)施例中,所述分區(qū)被定義為計(jì)算機(jī)存儲器的區(qū)域或 計(jì)算機(jī)可讀存儲器中的存儲器地址組��。典型地����,所述分區(qū)將位于高速隨機(jī) 訪問存儲器中,其中�,所述高速隨機(jī)訪問存儲器可用于微處理器根據(jù)存儲 在該存儲器中的計(jì)算機(jī)可讀指令實(shí)施將在下面詳細(xì)描述的操作。每個(gè)分區(qū) 基本上可以用作單獨(dú)的計(jì)算機(jī)����,雖然對兩個(gè)分區(qū)的處理優(yōu)選由單一處理器 實(shí)施。軟件和文件可以根據(jù)這里描述的安全方法在分區(qū)和存儲器區(qū)域之間 -陂移動�。
圖1示出了4艮據(jù)本發(fā)明的計(jì)算機(jī)的存儲器結(jié)構(gòu)。在根據(jù)本發(fā)明運(yùn)轉(zhuǎn)的 計(jì)算機(jī)中��,第一存儲器分區(qū)20和第二存儲器分區(qū)22被提供�。分區(qū)20、 22 是隨機(jī)訪問存儲器的獨(dú)立區(qū)域����。每個(gè)分區(qū)20、 22包含其自己的操作系統(tǒng) (OS)��。本計(jì)算機(jī)包括可以被密碼保護(hù)的安全存儲器24�����。兩個(gè)分區(qū)20����、
22中的操作系統(tǒng)都可以對安全存儲器24讀和寫。同樣提供了用于臨時(shí)存 儲從因特網(wǎng)下載的可能被感染的文件的下載存儲器26�。 一般地����,第二分區(qū) 22可以對下載存儲器26進(jìn)行寫,而第一分區(qū)20可以從下載存儲器26進(jìn) 行讀���,以便實(shí)施對惡意軟件的掃描���,以及如果沒有任何惡意軟件被找到的 話,實(shí)施隨后的存儲或其它操作����。
第 一分區(qū)20是專用于例如操作系統(tǒng)和其它所希望的軟件的��、所述計(jì)算 機(jī)的正常運(yùn)轉(zhuǎn)所需的軟件(例如計(jì)算機(jī)可讀指令)的存儲器區(qū)域�。根據(jù)本 發(fā)明,如果所述計(jì)算機(jī)將被限于安全因特網(wǎng)訪問��,如被認(rèn)為是理想的那樣�����, 則所述第一分區(qū)優(yōu)選不包含訪問因特網(wǎng)的軟件(例如瀏覽器)。即�,在本 發(fā)明中,第一分區(qū)20優(yōu)選從不直接連接到因特網(wǎng)���。因此����,所述第一分區(qū)一 般不會直接易受來自因特網(wǎng)的惡意軟件攻擊���。在本發(fā)明中優(yōu)選地����,僅第二 分區(qū)22包含可以訪問因特網(wǎng)的軟件。然而�,第一分區(qū)20可以接收從因特 網(wǎng)下載的文件(在其已通過下載存儲器26之后,在下載存儲器26處����,其 可以針對惡意軟件的出現(xiàn)被掃描)。
第二分區(qū)22包含例如因特網(wǎng)瀏覽器或電子郵件應(yīng)用(可選的)的�����、訪 問因特網(wǎng)所需的軟件����。同樣地,第二分區(qū)22可以包括專用于實(shí)現(xiàn)如下面闡 述的本發(fā)明的軟件����。笫二分區(qū)22中的操作系統(tǒng)優(yōu)選是簡單的��,以及優(yōu)選缺 少對于使用因特網(wǎng)不必要的����、并且可以被惡意軟件使用或利用的特征。例 如��,第二分區(qū)22中的操作系統(tǒng)可以缺少用于打印的指令或者與因特網(wǎng)訪問 不相關(guān)的操作軟件應(yīng)用或功能。同樣地��,第二分區(qū)22和/或所述因特網(wǎng)OS 被編程為使得文件復(fù)制和文件寫命令對于對該笫二分區(qū)的復(fù)制或?qū)懖籢皮允 許���。第二分區(qū)22中的因特網(wǎng)OS不能向該笫二分區(qū)寫文件����,以及不能在該 第二分區(qū)中復(fù)制文件�����。所述因特網(wǎng)OS僅可以向安全存儲器24 (以被密碼 保護(hù)為基礎(chǔ)或處于其它安全方案下)和下載存儲器26寫和復(fù)制文件��。這是 本發(fā)明的基本和本質(zhì)方面�����,因?yàn)槠湎拗迫魏螑阂廛浖蛩龅谝环謪^(qū)的傳 播��。該特征還被保護(hù)以防被將在下面充分討論的本發(fā)明的其它特征作廢����。
下載存儲器26臨時(shí)存儲由包含在第二分區(qū)22中的軟件(例如瀏覽器) 從因特網(wǎng)下載的文件。下載存儲器26用作可能是惡意的已下載文件的臨時(shí)存儲區(qū)域。在被傳輸?shù)降谝环謪^(qū)20之前����,已下載文件針對惡意軟件或文件 或其它不希望的數(shù)據(jù)被掃描和檢查。
安全存儲器24是存儲被第二分區(qū)22使用的軟件應(yīng)用的隨機(jī)訪問存儲 器或硬盤驅(qū)動存儲器的區(qū)域�����。例如����,所述安全存儲器可以包含因特網(wǎng)操作 系統(tǒng)(OS)和因特網(wǎng)瀏覽器。文件可以被第一分區(qū)20和第二分區(qū)22從安 全存儲器24進(jìn)行復(fù)制或?qū)懭氲桨踩鎯ζ?4��。安全存儲器24優(yōu)選被密碼 保護(hù)���。例如���,每當(dāng)文件從安全存儲器24被復(fù)制或被寫入到安全存儲器24 時(shí),密碼可以被需要���,但是密碼對于讀取用于本發(fā)明的運(yùn)轉(zhuǎn)的一些文件可 以不被需要,其中�,所述文件例如是CRC表或用于檢測文件中的改變的 其它方案。
安全存儲器24還優(yōu)選包含循環(huán)冗余檢驗(yàn)(CRC )表。圖2示出了示 例性CRC表30����。該CRC表存儲^皮存儲在所述安全存儲器中的文件的循 環(huán)冗余檢驗(yàn)和(checksum )值。CRC檢驗(yàn)和值使用熟知的CRC計(jì)算技術(shù) 來計(jì)算���。CRC計(jì)算類似于散列函數(shù)或數(shù)字簽名��。當(dāng)用于創(chuàng)建CRC值的底 層文件#>改變時(shí)�,該CRC值改變�����。
可以具有所述CRC表中的CRC值的文件包括可以被第二分區(qū)22 中的電子郵件程序或?yàn)g覽器創(chuàng)建或更改的文件�、所述因特網(wǎng)瀏覽器和關(guān)聯(lián) 文件,以及可選地包括所述因特網(wǎng)OS����。例如,如果瀏覽器創(chuàng)建習(xí)慣選擇 文件或書簽文件����,則這些文件應(yīng)當(dāng)具有存儲在所述CRC表中的檢驗(yàn)和值。 所述CRC表用于判斷是否已對所述第二分區(qū)中使用的文件做出改變�����。對 文件做出的改變將導(dǎo)致被更改的CRC值;被改變的CRC值可以經(jīng)由與所 述CRC表的比較被檢測到��。被改變的CRC值將由此指示惡意或未授權(quán)軟 件在所述第二分區(qū)中的可能出現(xiàn)����。
同樣地,應(yīng)當(dāng)指出��,所述CRC表可以包括存儲在所述下載存儲器中 的文件的CRC值�����。例如���,CRC值可以從獨(dú)立和/或外部源獲得���,以i人證可 以在因特網(wǎng)上下載的軟件,所述軟件例如是對于應(yīng)用或甚至反病毒軟件的 周期性更新等�����。
圖1示出了準(zhǔn)備訪問因特網(wǎng)的計(jì)算機(jī)設(shè)備中的存儲器分配��。明確地說,
第二分區(qū)22被建立,以及因特網(wǎng)OS和瀏覽器被包含在第二分區(qū)22中�。 在本發(fā)明中�����,所述計(jì)算機(jī)在啟動時(shí)或在安全因特網(wǎng)訪問被需要時(shí)進(jìn)行整個(gè) 初始化過程�。
圖3a和3b示出了用于初始化用于實(shí)現(xiàn)本發(fā)明的計(jì)算機(jī)的流程圖。圖 3a和3b的步驟可以被一起(例如以并發(fā)或交織方式)或單獨(dú)實(shí)施����。圖3a 示出了用于創(chuàng)建圖1中所示的存儲器結(jié)構(gòu)的初始化過程。圖3a的初始化過 程如下進(jìn)行
步驟101:計(jì)算機(jī)被啟動�。
步驟102:因特網(wǎng)OS、瀏覽器軟件(以及因特網(wǎng)訪問所需的其它軟件)�����、 CRC軟件和CRC表30 (例如從硬盤驅(qū)動器)被加載到安全存儲器24中���。 所述第一分區(qū)中的操作系統(tǒng)可以管理向安全存儲器24的所述軟件加載�。所 述CRC軟件包括用于計(jì)算CRC值以及將計(jì)算的CRC值與存儲在CRC 表30中的CRC值比較的指令�。
步驟103: CRC值針對所述安全存儲器中的所有文件被計(jì)算,以及其 結(jié)果被存儲在CRC表30中或在其中被更新���。所述CRC值計(jì)算可以在第 一分區(qū)20中或在第二分區(qū)22中實(shí)施��。然而�����,第二分區(qū)22可能不會在圖 3a的初始化過程期間被建立�。
在圖3b的初始化過程中,第二分區(qū)被創(chuàng)建���。第二分區(qū)22中的區(qū)域被 創(chuàng)建���。圖3b的初始化過程如下進(jìn)行
步驟201:第二分區(qū)被創(chuàng)建。該第二分區(qū)是隨機(jī)訪問存儲器中的區(qū)域��。 一旦被創(chuàng)建�,則第二分區(qū)大小(即所分配存儲器的量)不能被改變。然而����, 該第二分區(qū)的大小可以經(jīng)由關(guān)閉該第二分區(qū)以及然后重新創(chuàng)建具有不同大 小的新第二分區(qū)來改變。
步驟202:在所述第二分區(qū)中定義用于因特網(wǎng)操作系統(tǒng)(OS )的區(qū)域����。
區(qū)域是被定義為被分配用于特定目的或軟件應(yīng)用的存儲器區(qū)域���。 一旦被創(chuàng) 建,則用于所述因特網(wǎng)OS的區(qū)域不能被改變�����。
步驟203:所述因特網(wǎng)OS從所述安全存儲器被加載�。該步驟應(yīng)當(dāng)在 CRC值已針對所述因特網(wǎng)OS被創(chuàng)建之后被實(shí)施�����,以便支持第一分區(qū)對第
二分區(qū)的認(rèn)證���。對此�����,優(yōu)選地僅允許從通過所述第一分區(qū)進(jìn)行操作的計(jì)算 機(jī)進(jìn)^f所述第二分區(qū)的打開�����。
所述因特網(wǎng)os的加載可以認(rèn)為是向所述第二分區(qū)的"永久寫"�����。即��,
當(dāng)被寫入所述第二分區(qū)時(shí)�,其旨在至少在該第二分區(qū)會話打開期間保持在
第二分區(qū)存儲中,除非其中的改變被檢測到��; 一旦所述其中的改變,皮檢測 到的情形發(fā)生���,則在再次檢驗(yàn)和認(rèn)證復(fù)制到第二分區(qū)的文件的同時(shí)���,因特 網(wǎng)OS被擦除以及從安全存儲器24重建。所述"永久寫"將區(qū)別于臨時(shí)寫��, 其中����,所述臨時(shí)寫例如被用于建立因特網(wǎng)事務(wù)并且在該事務(wù)被傳輸之后被 擦除,以及由于該原因臨時(shí)寫必須在所述第二分區(qū)中被允許�。
步驟204:第二分區(qū)22中的區(qū)域被定義用于其它軟件應(yīng)用。每個(gè)應(yīng)用 將在所述第二分區(qū)中具有其自己的存儲器區(qū)域���。 一旦凈皮創(chuàng)建�,則所述區(qū)域 不能被改變(例如在大小上被改變)����。在不關(guān)閉所述第二分區(qū)和重建新第 二分區(qū)的情況下�����,所述第二分區(qū)中分配給軟件應(yīng)用的存儲器的量不能,皮改 變����。換句話說��,為改變所述笫二分區(qū)的大小或所述第二分區(qū)中的區(qū)域����,圖 3a和3b的初始化過程必須,皮重復(fù)�。
對于第二分區(qū)22的每次啟動,該第二分區(qū)中的存儲器分配結(jié)構(gòu)是固定 和不可更改的�。如果在第二分區(qū)22中運(yùn)行的軟件應(yīng)用需要超過其已分配區(qū) 域的大小的存儲器,則該軟件應(yīng)用將崩潰并且優(yōu)選地退出����。本發(fā)明的該特 征防止被惡意軟件利用的公共技術(shù)獲得對計(jì)算機(jī)系統(tǒng)的未授權(quán)訪問。明確 地說��,惡意軟件經(jīng)常增加或更改存儲器分配(即程序存儲器溢出)以便其 可以將其自己安裝到該計(jì)算機(jī)系統(tǒng)中�����。第二分區(qū)22中的固定存儲器分配方
案即使在所述因特網(wǎng)OS不能向該第二分區(qū)寫被作廢或被規(guī)避的情況下也 有效防止所述方法��。進(jìn)一步地����,如果任何攻擊在根據(jù)本發(fā)明的因特網(wǎng)OS 上成功地作廢或規(guī)避這些保護(hù)機(jī)制的任一個(gè),則當(dāng)所述第二分區(qū)打開時(shí)����, 該攻擊可以被周期性CRC檢測到。在圖3a和3b的初始化過程已,皮實(shí)施 后��,計(jì)算機(jī)的存儲器結(jié)構(gòu)將如圖1中所示����。
圖4示出了才艮據(jù)本發(fā)明的安全因特網(wǎng)訪問的方法的流程圖。圖4示出 了怎樣以安全方式訪問因特網(wǎng)�����、沖浪因特網(wǎng)以及關(guān)閉因特網(wǎng)連接���。圖4未
示出怎樣安全地下載文件(其是下面解釋的圖5的主題)��。圖4的步驟被 解釋如下
步驟301:所述因特網(wǎng)OS在第二分區(qū)中被啟動���。該因特網(wǎng)OS優(yōu)選是 設(shè)計(jì)為專用于訪問因特網(wǎng)的簡化操作系統(tǒng)��。該因特網(wǎng)OS不能在第二分區(qū) 中寫或復(fù)制文件��,以及可以完全缺少寫或復(fù)制文件的能力(盡管上面定義 的"臨時(shí)寫"必須被允許)�。不能在所述第二分區(qū)中寫或復(fù)制文件�����、或者 在沒有向安全存儲器24進(jìn)行寫的密碼等或沒有掃描所述文件(當(dāng)存儲在下 載存儲器中時(shí))的情況下不能向所述第一分區(qū)傳播文件��、所述兩個(gè)存儲器 都與第一分區(qū)分離減少了來自惡意軟件的風(fēng)險(xiǎn)��,其中���,所述惡意軟件否則
可以劫持操作系統(tǒng)的寫和復(fù)制能力。
步驟302:其它軟件被加載到第二分區(qū)中��。每個(gè)軟件應(yīng)用被加載到其 被分配的并且固定的區(qū)域中�。CRC值計(jì)算和比較軟件被加載到第二分區(qū) 中。
步驟303: CRC值針對加載到第二分區(qū)中的所有文件和軟件應(yīng)用(優(yōu) 選地包括因特網(wǎng)OS)被計(jì)算。
步驟304/305:所述CRC軟件周期性地將計(jì)算出的CRC值與存儲在 CRC表(位于所述安全存儲器中)中的CRC值進(jìn)行比較���。該比較可以被 非常迅速地執(zhí)行�,并且即使相對經(jīng)常地或甚至在每個(gè)從因特網(wǎng)接收數(shù)據(jù)的 實(shí)例時(shí)被實(shí)施也不會呈現(xiàn)顯著的處理開銷負(fù)擔(dān)����。如果所述計(jì)算出的CRC 值與存儲的CRC值不匹配,則第二分區(qū)中的文件可能被惡意軟件污染�。 例如,所述惡意軟件可能已改變了加載到第二分區(qū)中的文件����。因此,如果 所述計(jì)算出的CRC值與存儲的CRC值不匹配�����,則第二分區(qū)中的文件4皮擦 除�����,以及該軟件被從安全存儲器24或其它安全源重新加載到第二分區(qū)中��。 同樣地�,假設(shè)所述值不匹配��,則圖3a和3b的初始化過程可以被重復(fù)���。同 樣地,如上面暗指的�����,存儲在下載存儲器中的文件可以經(jīng)由CRC計(jì)算和 與從外部和/或獨(dú)立源導(dǎo)出的CRC值的比較而被檢驗(yàn)�,從而在已下載文件 可以被傳播到第一分區(qū)或安全存儲器之前認(rèn)證該已下載文件。對此���,所述 處理器可以使用第一分區(qū)的OS在不實(shí)際導(dǎo)入或打開文件的情況下掃描和
檢查下栽存儲器26中的文件����。
步驟306:如果所述CRC值匹配�����,則因特網(wǎng)會話^C啟動��。因特網(wǎng)可以 被瀏覽器或任何其它因特網(wǎng)相關(guān)的軟件訪問���。
步驟307/308:在所述因特網(wǎng)會話期間,第二分區(qū)中的文件被周期性 地針對改變進(jìn)行監(jiān)視。例如����,改變可以包括對瀏覽器習(xí)慣選擇文件或書簽 文件做出的改變。如果文件被改變�,則該改變被寫入安全存儲器24中的對 應(yīng)文件中。被寫入安全存儲器的該改變將導(dǎo)致在圖3a的下一個(gè)初始化過程 中CRC表中的新CRC值�����。
步驟309:如果所述因特網(wǎng)會話將被終止�����,則終止過程(開始于步驟 310);故啟動�。
步驟310/311: CRC值針對笫二分區(qū)中的所有文件被計(jì)算,并且然后 被與CRC表30中的CRC值比較���。步驟310和311被實(shí)施以判斷是否第 二分區(qū)中的任意文件已被改變����。已改變的文件可以指示惡意軟件的出現(xiàn)����。
步驟312:如果已改變CRC值被檢測到����,則第二分區(qū)被擦除����。可選地�, 軟件可以從安全存儲器被重新加載。同樣可選地�,如果所述CRC值被改 變,則步驟308中對安全存儲器做出的改變可以被擦除�。
在本發(fā)明中,文件可以從因特網(wǎng)被安全地下載并且針對惡意軟件被掃 描����。已下載文件因?yàn)槠湓趻呙璞粚?shí)現(xiàn)時(shí)被存儲在單獨(dú)的下栽存儲器26中并 且不在第一分區(qū)中所以在其被掃描之前不能感染計(jì)算機(jī)。在本發(fā)明中�,已 下載文件被從第二分區(qū)直接加載到下栽存儲器中。在被加栽到第 一分區(qū)中 之前���,已下載文件針對惡意軟件被掃描���。優(yōu)選地����,所述已下載文件具有固 定大小�。圖5的流程圖示出了用于從因特網(wǎng)安全地下載文件的本發(fā)明的方 法�����。圖5的步驟如下進(jìn)行
步驟401:文件被直接下載到下載存儲器中�。所述下載文件不,皮復(fù)制 或存儲到第二分區(qū)中,因?yàn)橐蛱鼐W(wǎng)OS不能在第二分區(qū)中寫或復(fù)制文件�����。 然而���,因特網(wǎng)OS能夠在下載存儲器26中寫文件����。
步驟402:如果因特網(wǎng)會話將被終止�,則下載過程被啟動(開始于步 驟403)。
步驟403:直到因特網(wǎng)會話被終止之前�����,不對下載存儲器中的已下載 文件采取任何動作���。
步驟404:如果沒有任何文件已被下載并且下載存儲器為空����,則^:有 任何動作是必要的,并且該會話可以退出�。
步驟405:如果下載存儲器包含文件,則這些文件針對例如間諜軟件�����、 按鍵記錄程序���、病毒等的惡意軟件被掃描����。
步驟406/407:如果惡意軟件被發(fā)現(xiàn)�����,則該惡意軟件被從下載存儲器 擦除����。可選地,整個(gè)下載存儲器可以被擦除���。
步驟408:在下載存儲器已被掃描并且清除惡意軟件之后,則存儲在 下載存儲器中的文件被加載到第 一分區(qū)中�。
應(yīng)當(dāng)指出,圖4和5中示出的步驟典型將被合并�����。為清楚和簡短起見���, 圖4和5的方法已在單獨(dú)的流程圖中被示出�����。例如����,步驟309和402基本 上相同��。因特網(wǎng)會話的終止將進(jìn)行到步驟310和404��。步驟310和404可 以同時(shí)^f皮實(shí)施���。
同樣地���,應(yīng)當(dāng)指出�����,例如因特網(wǎng)瀏覽器等的因特網(wǎng)相關(guān)軟件可以在第 一分區(qū)中被運(yùn)行����。第一分區(qū)可以支持任何常規(guī)計(jì)算機(jī)應(yīng)用��,包括常規(guī)因特 網(wǎng)訪問�。第二分區(qū)提供安全因特網(wǎng)訪問。如果因特網(wǎng)訪問不需要是安全的����, 則第 一分區(qū)可以用于在不使用本發(fā)明的情況下以常規(guī)方式訪問因特網(wǎng)。然 而��,考慮前述內(nèi)容可以看出��,本發(fā)明提供包括針對可以在因特網(wǎng)上4皮傳送 的惡意軟件的多層保護(hù)的特征���,以及每個(gè)所述特征在以防止各個(gè)特征被單 獨(dú)作廢或規(guī)避的方式共同合作的同時(shí)提供堅(jiān)固的保護(hù)�����。明確地說��,l)第二 分區(qū)中的文件寫或復(fù)制不被允許����,從而可執(zhí)行文件不能被安裝到第二分區(qū) 中���;2)—旦第二分區(qū)經(jīng)由已認(rèn)證因特網(wǎng)OS文件從安全存儲器的傳輸被建 立����,則所述各個(gè)文件的存儲空間和第二分區(qū)的大小是固定并且不可更改的�����, 其一方面防止被修改軟件的安裝�����,以及另一方面導(dǎo)致大小超過已認(rèn)證軟件 的任意軟件失靈和停止執(zhí)行���;3)因特網(wǎng)OS的任意文件中的任意改變被初 始和最終(例如當(dāng)?shù)诙謪^(qū)被關(guān)閉和/或因特網(wǎng)會話被終止時(shí))CRC檢驗(yàn) 以及當(dāng)?shù)诙謪^(qū)打開時(shí)的周期性CRC檢驗(yàn)所檢測到����,以及如果任何文件
的任何可能修改被檢測到,則其導(dǎo)致第二分區(qū)的擦除和重建����;4)安全存儲 器的至少寫操作密碼保護(hù),以及不需要從第二分區(qū)向安全存儲器的寫或提 供對從第二分區(qū)向安全存儲器的寫的外部密碼控制����;以及5)在允許存儲 在第 一分區(qū)之前在下載存儲器中的臨時(shí)存儲,使得任意已下載文件在存儲 在第 一分區(qū)中或任何其它操作被實(shí)施之前可以針對惡意軟件被掃描�����。
本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)清楚���,在不脫離本發(fā)明的范圍的情況下����,以上 實(shí)施例可以以許多方式被更改���。相應(yīng)地����,本發(fā)明的范圍應(yīng)當(dāng)由以下權(quán)利要 求及其合法等價(jià)體確定。
本公開的范圍包括這里公開的任意新穎特征或特征的組合��。本申請書 由此指出�����,在本申請書的貫徹或任意所述其它申請書^皮從其導(dǎo)出期間�,新 權(quán)利要求可以被表述為所述特征或特征的組合。特別地�����,通過參考所附權(quán) 利要求��,來自從屬權(quán)利要求的特征可以被與獨(dú)立權(quán)利要求的那些特征合并����,
要求中枚舉的特定組合被合并�����。
為避免疑惑����,術(shù)語"包括"當(dāng)貫穿本說明書和權(quán)利要求在這里使用時(shí) 將不被解釋為是指"僅包括"�����。
權(quán)利要求
1.一種用于安全因特網(wǎng)訪問的方法��,包括以下步驟a)在計(jì)算機(jī)存儲器中創(chuàng)建第一分區(qū)和第二分區(qū)����,其中�����,所述第一分區(qū)包含用于常規(guī)使用的常規(guī)操作系統(tǒng)���,其中���,所述第二分區(qū)包含專用于因特網(wǎng)相關(guān)使用的因特網(wǎng)操作系統(tǒng);其中�����,所述因特網(wǎng)操作系統(tǒng)不允許所述第二分區(qū)中的文件寫或文件復(fù)制����,以及不允許改變所述第二分區(qū)的大?���?;b)將因特網(wǎng)相關(guān)應(yīng)用軟件加載到所述第二分區(qū)中;c)用所述第二分區(qū)中的所述因特網(wǎng)相關(guān)應(yīng)用軟件訪問因特網(wǎng)��。
2. 根據(jù)權(quán)利要求l所述的方法����,進(jìn)一步包括創(chuàng)建安全存儲器的步驟, 其中�,所述安全存儲器可被所述笫一分區(qū)和所述第二分區(qū)讀和寫訪問,以 及其中���,所述因特網(wǎng)相關(guān)應(yīng)用軟件在步驟(b)中被從所述安全存儲器加 載到所述第二分區(qū)�����。
3. 根據(jù)權(quán)利要求2所述的方法,其中���,所述安全存儲器進(jìn)一步包含循 環(huán)冗余檢驗(yàn)表�����。
4. 根據(jù)權(quán)利要求3所述的方法����,進(jìn)一步包括以下步驟計(jì)算在步驟(b ) 中加載到所述第二分區(qū)中的多個(gè)文件的循環(huán)冗余檢驗(yàn)值,以及在步驟(c) 之前�,將計(jì)算出的循環(huán)冗余檢驗(yàn)值與存儲在所述循環(huán)冗余檢驗(yàn)表中的循環(huán) 冗余檢驗(yàn)值比較。
5. 根據(jù)任意前面權(quán)利要求所述的方法�����,進(jìn)一步包括創(chuàng)建用于臨時(shí)存儲 從因特網(wǎng)下載的文件的下載存儲器的步驟����。
6. 根據(jù)權(quán)利要求5所述的方法,進(jìn)一步包括針對惡意軟件掃描所迷下載存儲器中的文件的步驟�����。
7. 根據(jù)任意前面權(quán)利要求所述的方法���,其中��,存儲在所述第二分區(qū)中 的每個(gè)軟件應(yīng)用被分配固定的�、不可改變大小的存儲器區(qū)域�����。
8. —種用于提供對因特網(wǎng)的安全訪問的計(jì)算機(jī),包括 a)處理器����, b)與所述處理器通信的計(jì)算機(jī)可讀存儲器,其中��,所述存儲器包括1) 第一分區(qū)和第二分區(qū)�����;其中���,所述第一分區(qū)包含用于常規(guī)使用的常規(guī)操作系統(tǒng)��, 其中���,所述第二分區(qū)包含專用于因特網(wǎng)相關(guān)使用的因特網(wǎng)操作系統(tǒng)��, 其中��,所述因特網(wǎng)操作系統(tǒng)不允許所述第二分區(qū)中的文件寫或文件復(fù) 制��,以及不允許改變所述第二分區(qū)的大小���;2) 對于所述第二分區(qū)和所述笫二分區(qū)可訪問的安全存儲器���,其中,所 述安全存儲器包含循環(huán)冗余檢驗(yàn)表����;3 )用于將因特網(wǎng)相關(guān)應(yīng)用軟件從所述安全存儲器加載到所述第二分區(qū) 的計(jì)算機(jī)可讀指令;4 )用于計(jì)算所述第二分區(qū)中的多個(gè)文件的循環(huán)冗余檢驗(yàn)值的計(jì)算機(jī)可 讀指令����;5 )用于將計(jì)算出的循環(huán)冗余檢驗(yàn)值與存儲在所述循環(huán)冗余檢驗(yàn)表中的 循環(huán)冗余檢驗(yàn)值進(jìn)行比較以提供循環(huán)冗余檢驗(yàn)結(jié)果的計(jì)算機(jī)可讀指令;6)用于用所述第二分區(qū)中的所述因特網(wǎng)相關(guān)應(yīng)用軟件訪問因特網(wǎng)的計(jì) 算機(jī)可讀指令���。
9. 根據(jù)權(quán)利要求8所述的用于提供對因特網(wǎng)的安全訪問的計(jì)算機(jī)�,進(jìn) 一步包括用于使用包括所述因特網(wǎng)操作系統(tǒng)的所述第二分區(qū)啟動所述計(jì)算機(jī)的 運(yùn)轉(zhuǎn)的計(jì)算機(jī)可讀指令��。
10. 根據(jù)權(quán)利要求9所述的用于提供對因特網(wǎng)的安全訪問的計(jì)算機(jī)�, 其中,所述用于使用包括所述因特網(wǎng)操作系統(tǒng)的所述第二分區(qū)啟動所述計(jì) 算機(jī)的運(yùn)轉(zhuǎn)的計(jì)算機(jī)可讀指令由對圖標(biāo)的選擇啟動�����。
11. 根據(jù)權(quán)利要求8所述的用于提供對因特網(wǎng)的安全訪問的計(jì)算機(jī), 其中���,所述用于將計(jì)算出的循環(huán)冗余檢驗(yàn)值與存儲在所迷循環(huán)冗余檢驗(yàn)表 中的循環(huán)冗余檢驗(yàn)值進(jìn)行比較以提供循環(huán)冗余檢驗(yàn)結(jié)果的計(jì)算機(jī)可讀指令 被周期性地執(zhí)行��,以及所述用于將因特網(wǎng)相關(guān)應(yīng)用軟件從所述安全存儲器 加載到所述第二分區(qū)中的計(jì)算機(jī)可讀指令包括用于在加載因特網(wǎng)相關(guān)應(yīng) 用軟件之前從所述第二分區(qū)擦除文件的計(jì)算機(jī)可讀指令���,并且響應(yīng)于所述 循環(huán)冗余檢驗(yàn)結(jié)果被執(zhí)行。
12. 根據(jù)權(quán)利要求8到11中的任一項(xiàng)所述的用于提供對因特網(wǎng)的安全 訪問的計(jì)算機(jī)���,其中�,所述存儲器進(jìn)一步包括用于臨時(shí)存儲從因特網(wǎng)下載 的文件的下載存儲器�。
13. 根據(jù)權(quán)利要求9所述的用于提供對因特網(wǎng)的安全訪問的計(jì)算才幾, 進(jìn)一步包括用于針對惡意軟件掃描所述下栽存儲器中的文件的計(jì)算^L可讀 指令�����。
14. 一種用于安全因特網(wǎng)訪問的方法����,包括以下步驟a) 在計(jì)算機(jī)存儲器中創(chuàng)建第一分區(qū)和第二分區(qū);其中�����,所述第一分區(qū)包含用于常規(guī)使用的常規(guī)操作系統(tǒng)�����, 其中����,所述第二分區(qū)包含專用于因特網(wǎng)相關(guān)使用的因特網(wǎng)操作系統(tǒng), 其中�����,所述因特網(wǎng)操作系統(tǒng)不允許所述第二分區(qū)中的文件寫或文件復(fù) 制�,以及不允許改變所述第二分區(qū)的大小�����;b) 創(chuàng)建對所述第一分區(qū)和所述第二分區(qū)可讀和寫訪問的安全存儲器�,c) 將因特網(wǎng)相關(guān)應(yīng)用軟件從所述安全存儲器加載到所述第二分區(qū)中;以及d) 用所述笫二分區(qū)中的所述因特網(wǎng)相關(guān)應(yīng)用軟件訪問因特網(wǎng)���。
15. 根據(jù)權(quán)利要求14所述的方法��,其中�,所述安全存儲器包舍循環(huán)冗 余檢驗(yàn)表,以及所述方法進(jìn)一步包括以下步驟1) 計(jì)算所述第二分區(qū)中的多個(gè)文件的循環(huán)冗余檢驗(yàn)值����;以及2) 在步驟(d)之前,將計(jì)算出的循環(huán)冗余檢驗(yàn)值與存儲在所述循環(huán) 冗余檢驗(yàn)表中的循環(huán)冗余檢驗(yàn)值進(jìn)行比較����。
16. 根據(jù)權(quán)利要求14或15所述的方法,進(jìn)一步包括創(chuàng)建用于臨時(shí)存 儲從因特網(wǎng)下載的文件的下載存儲器的步驟�。
17. 根據(jù)權(quán)利要求16所述的方法,進(jìn)一步包括針對惡意軟件掃描所述 下載存儲器中的文件的步驟����。
18. 根據(jù)權(quán)利要求14到17中任一項(xiàng)所述的方法,其中�,所述第二分區(qū)中的每個(gè)軟件應(yīng)用被分配固定的、不可改變大小的存儲器區(qū)域���。
全文摘要
計(jì)算機(jī)隨機(jī)訪問存儲器被劃分為第一和第二分區(qū)����。每個(gè)分區(qū)具有其自己的操作系統(tǒng)(OS)�����。所述第一分區(qū)具有常規(guī)OS并且被指定用于非因特網(wǎng)使用。所述第二分區(qū)被指定用于安全因特網(wǎng)訪問���,并且具有專用于因特網(wǎng)使用的OS。所述第二分區(qū)中的軟件不能在所述第二分區(qū)中寫或復(fù)制文件���。所述第二分區(qū)的大小在所述第二分區(qū)打開時(shí)是固定和不可改變的�。所述第二分區(qū)中的每個(gè)軟件應(yīng)用被分配不能被改變的存儲器區(qū)域�����,由此防止存儲器溢出攻擊�����。安全存儲器被指定用于所述第二分區(qū)中所使用的軟件的臨時(shí)存儲���。循環(huán)冗余檢驗(yàn)(CRC)值針對所述安全存儲器中的所有文件被計(jì)算�。為檢測未授權(quán)的文件改變�����,CRC值針對所述第二分區(qū)中使用的所有文件被計(jì)算,以及對照存儲在所述安全存儲器中的值被檢驗(yàn)��。所述第二分區(qū)僅可以使用例如密碼保護(hù)或與所述第一分區(qū)分離的下載存儲器的安全方案向安全存儲器進(jìn)行寫�����,以便允許存儲在所述下載存儲器中的文件在被存儲到所述計(jì)算機(jī)中的其它地方之前經(jīng)由從所述第一分區(qū)的掃描和測試被檢查����。
文檔編號G06F21/00GK101361077SQ200780001715
公開日2009年2月4日 申請日期2007年1月17日 優(yōu)先權(quán)日2006年2月7日
發(fā)明者E·凱萊, F·莫提卡, T·威爾布林克 申請人:國際商業(yè)機(jī)器公司