一種瀏覽器隔離使用的方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)安全領(lǐng)域，特別是一種瀏覽器安全控制方法。
技術(shù)背景
[0002]為了提供更豐富的功能，在Web頁面中使用了越來越多的客戶端腳本和組件技術(shù)。這一方面帶來了更好的功能和用戶體驗(yàn)，同時(shí)也使用戶在使用瀏覽器軟件時(shí)要面對(duì)更多的安全問題。
[0003]JavaScript客戶端腳本技術(shù)已經(jīng)成為事實(shí)標(biāo)準(zhǔn)上的標(biāo)準(zhǔn)，自然也是被惡意軟件利用的主要對(duì)象。由于JavaScript對(duì)操作系統(tǒng)的使用范圍和權(quán)限受到了較為嚴(yán)格的限制，所以很難利用其直接進(jìn)行破壞。但是下載器程序往往利用JavaScript到互聯(lián)網(wǎng)上下載實(shí)際的攻擊代碼。
[0004]ActiveX作為瀏覽器軟件與其它平臺(tái)進(jìn)行交互的重要技術(shù)，也有著悠久的安全問題歷史。由于具有比瀏覽器腳本更強(qiáng)的系統(tǒng)操縱能力，基于ActiveX組件的病毒程序往往更具破壞力，而且可以直接對(duì)操作系統(tǒng)展開攻擊。很多企業(yè)級(jí)的軟件系統(tǒng)將ActiveX組件作為實(shí)現(xiàn)客戶端功能的核心技術(shù)，使安全保護(hù)體系的搭建變得更加復(fù)雜。除此之外，利用Windows Script Host的VBScript以及目前已經(jīng)較少使用的Java Applet小程序等等，都可以基于瀏覽器開展破壞活動(dòng)。
[0005]同樣值得關(guān)注的是，作為桌面計(jì)算機(jī)上最常用的應(yīng)用程序，瀏覽器現(xiàn)在與操作系統(tǒng)的結(jié)合越來越緊密。除了與Windows操作系統(tǒng)緊密集成的IE瀏覽器之外，其它的瀏覽器同樣也利用很多操作系統(tǒng)的底層組件來提升自身的功能價(jià)值。這也是為什么利用瀏覽器問題的安全攻擊可以如此具有破壞力的重要原因，很多漏洞允許攻擊代碼可以直接破壞或利用操作系統(tǒng)核心。特別對(duì)于那些廠商尚未發(fā)布更新補(bǔ)丁的Oday攻擊來說，桌面計(jì)算機(jī)將完全暴露在攻擊之下幾無還手之力。
[0006]面對(duì)如此眾多的攻擊可能，對(duì)于瀏覽器用戶尤其是對(duì)網(wǎng)絡(luò)不甚了解、甚至對(duì)計(jì)算機(jī)知之甚少的用戶來說，總會(huì)顯得無所適從。很多情況下，用戶需要的數(shù)據(jù)或者文件所在的網(wǎng)頁上包含著木馬和惡意代碼，但是用戶既希望下載這些有用的數(shù)據(jù)同時(shí)還想避免計(jì)算機(jī)系統(tǒng)受到侵害。目前的瀏覽器無法實(shí)現(xiàn)這種需求。

【發(fā)明內(nèi)容】

[0007]有鑒于此，為解決上述問題，本發(fā)明提供了一種瀏覽器隔離使用的方法。
[0008]為了達(dá)到上述目的，本發(fā)明提供一種瀏覽器隔離使用的方法，其包括以下步驟:瀏覽器在用戶計(jì)算機(jī)系統(tǒng)中創(chuàng)建虛擬環(huán)境；將瀏覽器的加載內(nèi)容置于所述虛擬環(huán)境中；處理在所述虛擬環(huán)境中的操作結(jié)果。
[0009]優(yōu)選地，所述虛擬環(huán)境需要一定的系統(tǒng)資源，所述方法進(jìn)一步包括:在計(jì)算機(jī)系統(tǒng)開機(jī)或?yàn)g覽器啟動(dòng)時(shí)調(diào)用所述系統(tǒng)資源。
[0010]優(yōu)選地，所述瀏覽器在加載內(nèi)容時(shí)會(huì)使用操作系統(tǒng)資源，所述將瀏覽器的加載內(nèi)容置于所述虛擬環(huán)境中的步驟進(jìn)一步包括:將瀏覽器對(duì)系統(tǒng)資源的操作重指向到預(yù)先創(chuàng)建的虛擬環(huán)境中。
[0011]優(yōu)選地，所述預(yù)先創(chuàng)建的虛擬環(huán)境為預(yù)先創(chuàng)建的臨時(shí)文件夾，所述方法將瀏覽器對(duì)磁盤的寫操作重指向到預(yù)先創(chuàng)建的臨時(shí)文件夾中；或?qū)⑴c寫入系統(tǒng)的操作、文件、資源寫入專門設(shè)計(jì)的私有格式文件中；或?qū)Σ糠植僮鬟M(jìn)行重定向；或建立完整的虛擬環(huán)境。
[0012]優(yōu)選地，所述瀏覽器對(duì)系統(tǒng)資源的操作包括對(duì)磁盤的寫操作、讀操作、對(duì)系統(tǒng)資源的讀寫操作、系統(tǒng)配置的設(shè)置讀寫操作或與當(dāng)前系統(tǒng)中正在運(yùn)行的應(yīng)用軟件的交互。
[0013]優(yōu)選地，所述瀏覽器隔離使用由用戶主動(dòng)觸發(fā)或由瀏覽器分析網(wǎng)址或網(wǎng)頁內(nèi)容觸發(fā)。
[0014]優(yōu)選地，所述將瀏覽器的加載內(nèi)容置于所述虛擬環(huán)境中的步驟還包括處理虛擬環(huán)境中操作結(jié)果步驟，具體包括:判斷瀏覽器對(duì)系統(tǒng)資源的操作是否為合法操作；對(duì)于合法操作不將瀏覽器對(duì)系統(tǒng)資源的操作重新指向到預(yù)先創(chuàng)建的虛擬環(huán)境中。
[0015]8.根據(jù)權(quán)利要求7所述的方法，其特征在于，所述瀏覽器對(duì)系統(tǒng)資源的操作包括對(duì)磁盤的寫操作，所述預(yù)先創(chuàng)建的虛擬環(huán)境為預(yù)先創(chuàng)建的臨時(shí)文件夾，所述方法不將瀏覽器對(duì)磁盤合法的寫操作重指向到預(yù)先創(chuàng)建的臨時(shí)文件夾中。
[0016]優(yōu)選地，所述方法進(jìn)一步包括:關(guān)閉虛擬環(huán)境。
[0017]優(yōu)選地，所述關(guān)閉虛擬環(huán)境的步驟包括:立即關(guān)閉虛擬環(huán)境、延時(shí)關(guān)閉虛擬環(huán)境、下次啟動(dòng)瀏覽器關(guān)閉虛擬環(huán)境或重置清空虛擬環(huán)境中的內(nèi)容。
[0018]本發(fā)明提供的實(shí)施例通過在計(jì)算系統(tǒng)中開辟創(chuàng)建虛擬環(huán)境，將整個(gè)瀏覽器的運(yùn)行內(nèi)容加載在這個(gè)虛擬環(huán)境中，使其與真實(shí)環(huán)境隔絕。這樣用戶就可以有選擇地決定文件的存儲(chǔ)和是否改變真實(shí)環(huán)境中的設(shè)置。本發(fā)明保護(hù)了用戶系統(tǒng)的安全可靠，同時(shí)可以讓用戶安全地獲取自己需要的內(nèi)容。
【附圖說明】
[0019]圖1是本發(fā)明一個(gè)具體的實(shí)施例的方法流程圖。
【具體實(shí)施方式】
[0020]以網(wǎng)絡(luò)釣魚為代表的各種網(wǎng)絡(luò)欺詐，是目前主要的安全威脅之一。在微軟的IE8瀏覽器當(dāng)中，還提供了一項(xiàng)獨(dú)特的功能改進(jìn)。用戶在瀏覽器的地址欄輸入網(wǎng)址之后，IE8會(huì)識(shí)別網(wǎng)址中的頂級(jí)域名部分并將其用高亮的形式顯示。雖然這項(xiàng)改進(jìn)看起來非常的小，但是在實(shí)際使用過程中的效果缺出乎意料的有效。這能夠明顯地提高用戶的注意力，從而判別自己是否正確輸入了網(wǎng)址。同時(shí)，在IE8中提供的增強(qiáng)的安全過濾器，也可以完成對(duì)網(wǎng)址的分析。最重要的是，通過設(shè)置安全策略，可以將這個(gè)安全過濾器的防護(hù)等級(jí)提高，從而更大限度的屏蔽可疑網(wǎng)址。
[0021]但這畢竟還是一種被動(dòng)防御，如果用戶需要一個(gè)絕對(duì)安全的瀏覽器使用環(huán)境，這樣的方法就不能滿足用戶的這種需求。因此本發(fā)明提供了一種瀏覽器隔離使用的方法，請(qǐng)參看圖1所示，其包括以下步驟。
[0022]步驟101，瀏覽器在用戶計(jì)算機(jī)系統(tǒng)中創(chuàng)建虛擬環(huán)境。
[0023]步驟102，將瀏覽器的加載內(nèi)容置于虛擬環(huán)境中。
[0024]瀏覽器加載頁面的基本過程為:
[0025]1.用戶輸入網(wǎng)址(假設(shè)是個(gè)html頁面，并且是第一次訪問)，瀏覽器向服務(wù)器發(fā)出請(qǐng)求，服務(wù)器返回html文件；
[0026]2.瀏覽器開始載入html代碼，在〈head〉標(biāo)簽內(nèi)的〈link〉標(biāo)簽引用外部CSS文件；
[0027]3.瀏覽器發(fā)出CSS文件的請(qǐng)求，服務(wù)器返回這個(gè)CSS文件；
[0028]4.瀏覽器繼續(xù)載入html中〈body〉部分的代碼，開始渲染頁面；
[0029]5.當(dāng)瀏覽器在代碼中發(fā)現(xiàn)一個(gè)<img>標(biāo)簽引用了一張圖片時(shí)，向服務(wù)器發(fā)出請(qǐng)求獲得這個(gè)圖片，此時(shí)瀏覽器不會(huì)等到圖片下載完，而是繼續(xù)渲染后面的代碼；
[0030]6.服務(wù)器返回圖片文件，由于圖片占用了一定面積，影響了后面段落的排布，因此瀏覽器需要回過頭來重新渲染這部分代碼；
[0031]7.當(dāng)瀏覽器發(fā)現(xiàn)了一個(gè)包含一行Javascript代碼的〈script〉標(biāo)簽時(shí)，運(yùn)行它；
[0032]8.瀏覽器從上到下渲染頁面直到遇到</html>標(biāo)簽。
[0033]可以發(fā)現(xiàn)，瀏覽器顯示頁面時(shí)會(huì)一直從服務(wù)器端獲得文件并寫入本地系統(tǒng)。針對(duì)瀏覽器的各種攻擊，基本都是需要控制用戶的計(jì)算機(jī)資源。而要控制用戶計(jì)算機(jī)資源就不可避免地對(duì)用戶計(jì)算機(jī)的資源進(jìn)行操作。因此控制了瀏覽器對(duì)本地系統(tǒng)的寫入也就確保了本地系統(tǒng)的安全。
[0034]對(duì)用戶計(jì)算機(jī)的資源操作包括對(duì)磁盤的各種寫操作。寫磁盤、刪除、改名、修改注冊(cè)表等操作均可以使用戶中毒。因此本發(fā)