本發明專利技術公開了一種提高計算機安全的方法,其本質和原理是在任何可執行的代碼在被載入內存執行之前必須經過嚴格的明確的身份驗證與授權,阻止不明代碼或被病毒感染的代碼被執行。二進制授權的前提是身份驗證,因此其客體是所有可能被執行的對象(不論是直接執行還是間接解釋執行或調用執行),所有對象的主體信息在經過授權機制時首先被進行加密的身份標識,主體對象任何可能的變動(包含位置、名稱、時間、內容等等所有信息)均會導致身份標識的變化,這樣經過安全授權的對象一旦感染病毒或其它原因被修改,其授權將會失去,可避免病毒或有害代碼的執行和繼續傳播。
【技術實現步驟摘要】
本專利技術涉及計算機安全領域,通過對計算機中運行的代碼進行授權(二進制授權),提高計算機軟件的安全。本專利技術可應用于病毒、木馬及網絡攻擊的防御、軟件知識產權的保護及新一代操作系統等方面。
技術介紹
目前隨著計算機應用技術的發展和應用范圍的擴大,安全問題成為計算機領域一個非常重要的內容,據咨詢機構Infonetics最新出爐的研究報告,2006年全球網絡安全設備和軟件市場收入比上年增長了15%,達到了45億美元,并有望在2007年首次超過50億美元(數據來源中國電子政務網-http://www.e-gov.org.cn/wangluoanquan/news003/200703/52284.html),而這僅僅是網絡安全市場,表明計算機安全已經成為當前該領域一個非常嚴重的問題。以下分別列舉目前計算機安全領域幾個主要的方面來說明1、病毒防御傳統的病毒防御大多采用特征碼比對的方式,目前主流的市場殺毒軟件大多采用此方式,這種方式明顯的缺陷很多,如滯后于新型病毒、病毒庫越來越龐大、面對不斷的新病毒變種疲于應付、消耗大量的計算機資源(如內存、CPU計算能力)和人力物力等等,非常被動,不符合計算機發展的趨勢。目前還有一些防病毒產品采用了所謂“行為特征判斷”、“微點主動防御”(“國家八六三計劃反計算機入侵和防病毒研究中心”專家委員會專家劉旭提出)等方法,但這種方法的效果很值得懷疑,此類方法一些已經應用于市場多年(如瑞星等產品),效果并不理想。因為目前計算機應用范圍的擴大,各種用途的軟件不可勝數,新病毒的思路和方法也層出不窮,嚴格地講,可以說并不存在病毒和非病毒之間明確的“行為特征”差異,也不存在任何一種算法能夠實現“完全主動防御”所有病毒。因此,傳統的這些防病毒方法并不是好的出路。還有一些與傳統方法有區別的思路,如已公開的專利技術“危機病毒防治的軟件自我保護方法”(公開號CN1068205A)、“計算機軟件保護方法”(公開號CN1155700A)、“一種計算機病毒防御方法”(公開號CN01140073.0、“一種預防病毒程序傳染的方法和系統”(公開號CN01113879.3)、“一種基于軟件身份認證技術的計算機安全保護方法”(公開號CN 200610078622.1)等等,由于各種缺陷,均不能或很難有效地徹底解決病毒問題。如CN01113879.3專利技術采用簡單限制程序讀寫來處理,既增加成本,又限制軟件功能發展利用,同時具有很大的局限性(很多病毒并不只限于在本機讀寫);專利技術CN01140073.0分別針對各類常見病毒采用不同方式進行處理,效果也不理想,如對腳本病毒的處理采用判斷提示的方法,但實際中腳本和非腳本的判斷并非明顯,而且腳本并不全是以獨立文件形式存在;對宏病毒的處理則涉及相關知識產權和商業機密的壁壘,而且宏病毒的處理顯然過于浪費資源;對文件型病毒的處理采用寫入重定位,再利用知識庫進行查詢處理,但文件型病毒并非只存在于可執行文件中,可執行文件也并非全是一成不變的,對可執行文件的寫操作及變化不全是病毒行為等等;而且除了該專利技術列舉的4類病毒之外還有其它類型的病毒;專利技術CN 200610078622.1以軟件身份識別為基礎,采用安全認證數據庫和認證服務器進行集中認證的方法,這種方法有一定的先進性,但也存在一些明顯的缺陷,如什么是軟件?以該專利技術的描述看,顯然是以“可執行文件特征碼”為主體,存在較大的漏洞;該專利技術采用的“可信賴的權威機構認證”也存在時間、成本、可行性等方面的問題;該專利技術需要事先建立固定的安全認證數據庫,操作與維護均相當繁雜,包含已知和未知的程序數量可能有無數個,如何事先建立?對開發人員而言這種系統下調試程序將成為一種非常困難的操作,而且一旦實際需要執行具有一定危害特征的程序時在這種系統下將很難實現,無法實現向下兼容;該專利技術采用網絡協議的方式與認證服務器進行數據交換(即使認證服務器在同一臺機器上),對無網絡設備或未安裝相關協議的計算機則無法實施,通過網絡協議進行數據交換的過程也容易被追蹤與篡改;另外采用這種方式成本非常高,也不能解決大量的單獨使用的計算機的問題。近年來微軟針對軟件安全方面也采取了很多的措施,如以NTFS格式為代表的一系列安全措施,這種方式在一定程度上加強了系統的安全性,但由于其有以下局限性導致效果有限安全授權主體是用戶,未涉及到全部可執行代碼;對可執行對象未進行有效的身份驗證;使用范圍有限等等。2、木馬和惡意軟件、廣告軟件及黑客攻擊等目前對于此類安全問題,一般采用放火墻(包括軟硬件)和相關查殺木馬等軟件來解決,主要存在以下幾方面的問題成本過高、消耗資源過大、使用不方便、功能滯后等問題。
技術實現思路
為了概括本專利技術的目的,在這里描述了本專利技術的某些方面、優點和新穎特征。應了解,無需所有這些方面、優點和特征包含在任一特殊的實施例中。本專利技術的目的是提供一種以“二進制授權”為核心的方法,無論是用于病毒木馬等防御方面,還是用于操作系統方面,均可實現一種比目前使用的計算機系統更為安全可靠的系統,同時還具備軟件知識產權保護的輔助作用。從短期看,本專利技術可很快用于病毒防御領域,不采用任何“特征碼”或“行為分析判斷”等方法,可在很大程度和范圍內防御新出現的任何以現有病毒原理為基礎的病毒,歷史上的原有病毒將只有收藏價值,從長期看,本專利技術可用于新一代操作系統的設計,實現后既可完全兼容原有舊版本環境下的軟件(實現歷史投資保護),又使現有的病毒原理在新的環境下失去生存的基礎,極大地提高了未來可能出現的“新型原理病毒”的技術門檻,“新型原理病毒”將成為可預見時期內成本極端昂貴的只存在于理論中的問題。計算機經歷了從單機到網絡的發展,也經理了從單任務到多任務的發展。Windows NT剛出現的時候其C2級安全標準吸引了當時很大的注意力,到目前為止,隨著安全問題的日益嚴重,是到了提高操作系統安全級別的時候了。根據美國國防部的計算機安全等級(正式名稱為可信任計算機標準評估標準),C2級以上的標準如下B1級標志安全性保護要求特別的安全性計劃,所有的保密數據都要加一標志,在系統中傳遞這些數據時必須核對標志。用戶不能自己改變這些標志。B2級結構化保護,要求結構化的、正規的安全性計劃。用戶賬戶驗證功能增強,以確定每個用戶合法的安全性權限。B3級安全域要求安全性系統盡可能小,排除一切無權限代碼執行。這些代碼可能不利于系統的安全性和測試,要求有附加的有關安全性管理的工具。系統必須有很強的反無權改動和侵入。A1級核實的設計功能和B3相同,但A1要經過更嚴格、更正規的測試。如果采用該標準提高操作系統的安全等級,哪怕是進一小步采用B1級標準,操作系統就需要完全重新開發,而這種標準的操作系統對現有大部分市場而言,不僅僅是造成大量歷史投資的浪費,還帶來了完全不同的更為復雜的操作方式,客戶將很難接受這樣的新操作系統。因此,按照這種標準進行升級是很不現實的。針對目前的安全問題,采用有針對性的方法予以解決,而又不會帶來操作系統太大的變動,是一個理想的選擇。在此基礎上,本專利技術針對目前病毒、木馬等流行安全問題,提出二進制授權的方法,二進制授權的原理(可參照附圖1)與目前的流行網絡系統的用戶授權與驗證類似,授權的客體是計算機內所有自成單位的可執行的二進制對象,包本文檔來自技高網...
【技術保護點】
一種提高計算機軟件安全的方法,包括以下步驟:身份驗證,判斷是否為授權客體,所有可能被執行的對象,包含任何直接或間接、編譯型、解釋型或其它任何類型可能被載入執行的對象,均為授權客體;授權,任何可執行的代碼在被載入內存執行之前必須經過嚴格的明確的身份驗證與授權,所有對象的主體信息在經過授權機制時首先被進行加密的身份標識,主體對象任何可能的變動均會導致身份標識的變化,只有經過授權的對象才允許被執行;身份和授權無誤,則載入內存執行,身份和授權錯誤,則拒絕執行并記錄;授權可分層次與等級,不同等級的授權可進行不同的執行后處理。
【技術特征摘要】
【專利技術屬性】
技術研發人員:李宏強,
申請(專利權)人:李宏強,
類型:發明
國別省市:45[中國|廣西]
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。