專利名稱:應用程序身份和評定服務的制作方法
應用程序身份和評定服務發(fā)明領域本發(fā)明的各方面涉及在安裝或執(zhí)行軟件代碼之前在其中建立信任�。 發(fā)明背景盡管用戶和操作系統(tǒng)努力工作來阻止個人計算機成為惡意軟件的溫床,但情況仍是如此����。所謂的惡意軟件(例如,蠕蟲����、木馬、自動下載(download)等)可 攻擊計算機����、刪除文件、竊取個人信息��、將其自身傳播給用戶的聯(lián)系人����、并且一般 使得沒有疑心的用戶感到困難����。當計算機被惡意軟件感染時�,用戶生產率因工作成 果的損失����、計算機性能的損失、以及花費來試圖清除混亂的時間而減少����。這樣的生 產率損失每年都花費個人和企業(yè)大量的時間和金錢。圖2示出了計算機209的各個軟件入口點��。每一入口點呈現(xiàn)了惡意軟件和其 它不合需要的軟件被復制或安裝到計算機209上的可能渠道����。術語惡意軟件用來指 有意惡意軟件,且可包括計算機病毒(例如�,蠕蟲、特洛伊木馬)���、鍵擊記錄器����、 廣告軟件、間諜軟件���、以及可能具有違背計算機209所屬用戶或公司的利益的邪惡 目的的其它程序��。不是所有不合需要的軟件都必然是惡意軟件�。這樣的軟件可能不具有邪惡的 目的��,但可能具有不合需要的副作用�����。例如��,某些公司不允許其雇員使用即時消息 通信軟件��,因為這樣的軟件可能會造成分心���。父母和其它組織可能會覺得對等文件 交換網絡不宜于在其計算機上�,可能因為存在從下載感染計算機病毒的可能性��。其 它善意軟件可能被認為不合需要的其它理由包括過大的文件大小�、過大的網絡通信 量��、系統(tǒng)不兼容�����、年齡不宜素材��、或程序可能僅單單是令人討厭的��。回到圖2����,存在可經其下載、復制可執(zhí)行代碼或將可執(zhí)行代碼安裝到計算機 209上的眾多入口點�。可能惡意軟件和其它不合需要軟件的最普遍來源就是因特網 201��,無論其是未被過濾還是由防火墻202部分過濾的����。可執(zhí)行代碼可經由web瀏 覽器����、電子郵件程序、文件交換網絡、即時消息程序����、因特網中繼聊天(IRC)和 連接至因特網的其它程序有意或無意地下載。通常����,用戶無意地啟動從因特網下載
惡意軟件(或可有意下載其它不合需要軟件),盡管某些惡意軟件可由黑客或另一計算機經由計算機209上的現(xiàn)有軟件易受攻擊性被注入到計算機209上����。作為網絡上的一員的計算機209的另一軟件入口點是第二計算機203,它可經 由LAN連接直接或間接地連接��。用戶可啟動從第二計算機203的文件復制��,或第 二計算機203可自動將文件復制給計算機209�。第二計算機203可以是由網絡連接 的服務器或任何其它約定(compromised)計算設備。用戶更可能信任來自其自身 網絡內部的可執(zhí)行代碼��,這是某些惡意軟件所利用的潛在易受攻擊性���。惡意軟件和其它不合需要軟件的其它來源可包括個人數(shù)字助理204或其它同 步設備��,諸如音樂播放器或蜂窩電話(未示出)�。而且,諸如USB驅動器205或 外置硬盤驅動器(未示出)等便攜式存儲器設備也可以是軟件的來源��。軟件的常規(guī) 來源�����,諸如DVDROM206��、 CD ROM�、軟盤等也可包含不合需要的代碼。最終���, 甚至是有足夠經驗的用戶210也有可能將惡意或不合需要的代碼直接輸入到計算 機210內,而不需要復制單個文件����。這樣的用戶210可鍵入例如腳本,并執(zhí)行它來 跟蹤計算機209上所使用的所有鍵擊或信用卡號�。基于各自對計算機安全的注意程度����,個人計算機用戶的范圍可被分成三個類 別。 一端是極端勤勉的用戶��。他們是運行防火墻和反病毒程序、迅速地應用補丁���、 檢查下載的數(shù)字證書��、并在安裝軟件之前對其進行研究的用戶���。另一端則是毫不介 意的用戶。他們是安裝任何東西和每個東西�����、在不可信網絡上交換文件����、忽略安全 消息、其機器成為有益和惡意軟件的名副其實的收藏館的用戶�。在這些極端之間,存在總體上最大的一群用戶�����。這些盡責的用戶想要保持其 計算機安全�����,但或者沒有時間致力于研究新軟件或惡意軟件,或者不能足夠理解每 一安裝決策的暗示���。盡管這些用戶有良好的意愿����,但可輕易地哄騙他們來安裝惡意 軟件�,有時甚至是在其不知情的情況下。甚至是避免了已知惡意軟件騙局的用戶也 因惡意軟件的快速進化而不能避免某些軟件����。 一旦被感染,這些用戶難以發(fā)現(xiàn)并移 除所有惡意軟件的痕跡�。最終,個人計算機的盡責的用戶需要用于針對惡意軟件來防護其計算機的新 方法和系統(tǒng)�����。他們需要能夠作出關于安裝新程序的可靠的決策�����,而不必浪費大量時 間來研究每一發(fā)布者和應用程序�。他們需要可靠保持其計算機處于該機器在離開計 算機工廠時可能所處的已知的良好狀態(tài)的方式�����。他們需要能夠避免惡意軟件制作者 所采用的欺騙和/或隨軟件而產生的其它問題,而不必成為軟件專家����。就對惡意軟 件和其它不合需要軟件問題的解決方案能夠起效而言,必須能夠保護計算機110 免受通過上述入口點中即使不是所有也是大多數(shù)而到達的軟件的影響�����。 發(fā)明概述以下呈現(xiàn)了簡化的概述以便提供對本發(fā)明的某些方面的基本理解�。該概述不 是本發(fā)明寬泛的概觀。它不旨在標識本發(fā)明的重要或關鍵元素�,也不旨在描繪本發(fā) 明的范圍。以下概述僅按照簡化的形式呈現(xiàn)本發(fā)明的某些概念來作為以下更詳細描 述的序言�。本發(fā)明的第一方面允許對包含計算機可執(zhí)行代碼的文件授權??山⑹跈嗖?略,它可包括對文件的一個或多個內容評定�、文件的來源和發(fā)布者信息、和/或其 它證據(jù)的評估�����。內容評定可通過例如創(chuàng)建文件的密碼散列并基于該散列查詢評定服 務來尋找�����。除文件的散列以外,可為文件使用一個標識符或標識符的組合(例如����, 公鑰、應用程序名等)�����。本發(fā)明的第二方面考慮提供文件的評定�����。接收評定請求�����,它包括文件的密碼 散列�����、其它標識符�、或標識符的組合��。可使用散列作為內容評定搜索的搜索關鍵字�����。 可基于任何找到的內容評定來生成回復����。回復也可包括來源和/或發(fā)布者評定�����。以下將結合附圖在說明性實施例的詳細描述中討論本發(fā)明的這些和其它方面����。附圖簡述可通過結合附圖參考以下描述來獲取對本發(fā)明及其優(yōu)點的更完整的理解,附 圖中相同的參考標號指示相同的特征��,附圖中
圖1是可用于本發(fā)明的說明性實施例的一個或多個方面的操作環(huán)境的功能框圖�����;圖2描述了本發(fā)明的說明性實施例提供的各種軟件入口點��;圖3描述了本發(fā)明的說明性實施例提供的使用密碼散列來創(chuàng)建內容專用標識符;圖4描述了本發(fā)明的說明性實施例提供的排除不合需要的軟件的分層方式��;圖5描述了本發(fā)明的說明性實施例提供的對軟件評定服務的使用����;圖6是示出本發(fā)明的說明性實施例提供的用于對文件授權的方法的流程圖;圖7是示出本發(fā)明的說明性實施例提供的用于使用策略來評估文件授權的方 法的流程圖8描述了本發(fā)明的說明性實施例提供的包括第三方評定的示例授權對話框�����;以及圖9是示出如本發(fā)明的說明性實施例提供的用于為文件提供評定的方法的流 程圖���。說明性實施例的詳細描述在對各個說明性實施例的以下描述中�,對附圖進行了參考�����,附圖構成各個說 明性實施例的一部分��,且其中經由說明來示出可在其中實現(xiàn)本發(fā)明的各個實施例���。 可以理解�����,可利用其它實施例�����,且可進行結構上或功能上的修改�,而不背離本發(fā)明 的范圍和精神����。盡管以下描述中的某些項目被說成連接或彼此連接,但應理解�����,這 些項目可被直接或間接連接�。說明性操作環(huán)境圖1示出了可在其中實現(xiàn)本發(fā)明的各方面的合適的計算系統(tǒng)環(huán)境100的示例。 計算系統(tǒng)環(huán)境100只是合適的計算環(huán)境的一個示例�����,并不旨在對本發(fā)明的使用范圍 或功能提出任何限制���。也不應該把計算系統(tǒng)環(huán)境100解釋為對說明性計算系統(tǒng)環(huán)境 100中示出的任一組件或其組合有任何依賴性或要求�。本發(fā)明可用眾多其它通用或專用計算系統(tǒng)環(huán)境或配置來操作�����。適合與本發(fā)明 一起使用的公知的計算系統(tǒng)、環(huán)境和/或配置的示例包括���,但不限于�����,個人計算機(PC);服務器計算機��;手持或其它便攜式設備��,諸如個人數(shù)字助理(PDA)�����、 圖形輸入板PC或膝上型PC;多處理器系統(tǒng)��;基于微處理器的系統(tǒng)��;機頂盒�����;可 編程消費者電子產品���;網絡PC;小型機����;大型機�����;包含上述系統(tǒng)或設備中的任一 個的分布式計算機環(huán)境等��。本發(fā)明的各方面可在諸如程序模塊等由計算機執(zhí)行的計算機可執(zhí)行指令的通 用上下文中描述����。 一般而言���,程序模塊包括例程�����、程序�、對象�����、組件、數(shù)據(jù)結構等���, 它們執(zhí)行特定任務或實現(xiàn)特定抽象數(shù)據(jù)類型����。本發(fā)明也可以在分布式計算環(huán)境中實 現(xiàn)����,其中任務由通過通信網絡鏈接的遠程處理設備執(zhí)行。在分布式計算環(huán)境中����,程 序模塊可以位于包括存儲器存儲設備在內的本地和遠程計算機存儲介質中。參考圖1�����,說明性計算系統(tǒng)環(huán)境包括計算機IIO形式的通用計算設備��。計算機 IIO的組件可以包括���,但不限于����,處理單元120、系統(tǒng)存儲器130和將包括系統(tǒng)存 儲器130在內的各種系統(tǒng)組件耦合至處理單元120的系統(tǒng)總線121��。系統(tǒng)總線121 可以是若干類型的總線結構中的任一種�,包括存儲器總線或存儲器控制器、外圍
線和使用各種總線體系結構中的任一種的局部總線�����。作為示例��,而非限制�,這樣的體系結構包括工業(yè)標準體系結構(ISA)總線���、微通道體系結構(MCA)總線�、擴 展的ISA (EISA)總線��、視頻電子技術標準協(xié)會(VESA)局部總線���、高級圖形端 口 (AGP)總線��、和外圍部件互連(PCI)總線(也被稱為Mezzanine總線)��。計算機110通常包括各種計算機可讀介質����。計算機可讀介質可以是可由計算 機110訪問的任何可用介質,諸如易失性和非易失性��、可移動和不可移動介質���。作 為示例��,而非限制���,計算機可讀介質可以包括計算機存儲介質和通信介質。計算機 存儲介質包括以任何方法或技術實現(xiàn)的用于存儲諸如計算機可讀指令�����、數(shù)據(jù)結構��、 程序模塊或其它數(shù)據(jù)等信息的易失性�、非易失性、可移動和不可移動介質�。計算機 存儲介質包括,但不限于��,隨機存取存儲器(RAM)、只讀存儲器(ROM)�、電 可擦可編程ROM(EEPROM)、閃存或其它存儲器技術���、緊致盤ROM(CD-ROM)���、 數(shù)字多功能盤(DVD)或其它光盤存儲、磁帶盒����、磁帶、磁盤存儲或其它磁性存 儲設備�����、或能用于存儲所需信息且可以由計算機UO訪問的任何其它介質���。通信介 質通常具體化為諸如載波或其它傳輸機制等已調制數(shù)據(jù)信號中的計算機可讀指令、 數(shù)據(jù)結構���、程序模塊或其它數(shù)據(jù)�,且包含任何信息傳遞介質�����。術語"已調制數(shù)據(jù)信 號"指的是這樣一種信號,其一個或多個特征以在信號中對信息編碼的方式被設定 或更改�����。作為示例���,而非限制�,通信介質包括諸如有線網絡或直接線連接的有線介 質���,以及諸如聲學�����、射頻(RF)(例如���,藍牙、WiFi���、 UWB)�����、光學(例如����,紅外線)和其它無線介質的無線介質。任何單個計算機可讀介質以及多個計算機可讀 介質的任何組合也旨在被包括在術語計算機可讀介質的范圍之內���。系統(tǒng)存儲器130包括易失性和/或非易失性存儲器形式的計算機存儲介質�,諸 如ROM 131和RAM 132�����?�;据斎?輸出系統(tǒng)133 (BIOS)包含有助于諸如啟動 時在計算機110中元件之間傳遞信息的基本例程�,它通常被存儲在ROM 131中。 RAM132通常包含處理單元120可以立即訪問和/或目前正在操作的數(shù)據(jù)和/或程序 模塊�。作為示例,而非限制�����,圖l示出了計算機可執(zhí)行指令形式的軟件���,包括操作 系統(tǒng)134、應用程序135、其它程序模塊136和程序數(shù)據(jù)137�。計算機110也可以包括其它計算機存儲介質。僅作為示例����,圖1示出了從不 可移動、非易失性磁介質中讀取或向其寫入的硬盤驅動器141����,從可移動、非易失 性磁盤152中讀取或向其寫入的磁盤驅動器151�,以及從諸如CD-ROM、 DVD或 其它光學介質等可移動��、非易失性光盤156中讀取或向其寫入的光盤驅動器155�����。 可以在說明性操作環(huán)境下使用的其它計算機存儲介質包括��,但不限于�����,盒式磁帶
閃存卡��、數(shù)字錄像帶、固態(tài)RAM����、固態(tài)ROM等。硬盤驅動器141通常由諸如接 口 140的不可移動存儲器接口連接至系統(tǒng)總線121�����,磁盤驅動器151和光盤驅動器 155通常由諸如接口 150的可移動存儲器接口連接至系統(tǒng)總線121���。以上描述和在圖1中示出的驅動器及其相關聯(lián)的計算機存儲介質為計算機 110提供了對計算機可讀指令����、數(shù)據(jù)結構��、程序模塊和其它數(shù)據(jù)的存儲����。例如,在 圖1中�,硬盤驅動器141被示為存儲操作系統(tǒng)144、應用程序145���、其它程序模塊 146和程序數(shù)據(jù)147��。注意���,這些組件分別可以與操作系統(tǒng)134、應用程序135�����、其 它程序模塊136和程序數(shù)據(jù)137相同或不同���。操作系統(tǒng)144����、應用程序145��、其它 程序模塊146和程序數(shù)據(jù)147在圖1中被分配了不同的參考標號是為了說明它們可 以是不同的副本�。用戶可以通過輸入設備,諸如鍵盤162和定點設備161 (通常指 鼠標���、跟蹤球或觸摸墊)向計算機110輸入命令和信息�����。這樣的輸入設備可提供壓 力信息���,不僅提供輸入位置也提供點擊或觸摸設備時所施加的壓力����。其它輸入設備 (未示出)可以包括麥克風����、操縱桿、游戲墊�、圓盤式衛(wèi)星天線、掃描儀等���。這些 和其它輸入設備通常由耦合至系統(tǒng)總線121的用戶輸入接口 160連接至處理單元 120����,但也可以由其它接口或總線結構�����,諸如并行端口��、游戲端口����、通用串行總線 (USB)�����、或IEEE 1394串行辟線(FIREWIRE)連接。監(jiān)視器184或其它類型的 顯示設備也經由接口���,諸如視頻接口 183連接至系統(tǒng)總線121�。視頻適配器183除 其本身的專門處理器和存儲器以外��,還可具有高級2D或3D圖形能力���。計算機110也可包括允許用戶使用指示筆186來提供輸入的數(shù)字化儀185���。數(shù) 字化儀185可被集成到監(jiān)視器184或另一顯示設備內,或作為諸如數(shù)字化儀板等單 獨設備的一部分����。計算機110也可包括諸如揚聲器189和打印機188等其它外圍輸 出設備,它們可通過輸出外圍接口 187連接����。計算機110可使用至一個或多個遠程計算機,諸如遠程計算機180的邏輯連 接在網絡化環(huán)境下操作��。遠程計算機180可以是個人計算機、服務器����、路由器、網 絡PC�����、對等設備或其它常見網絡節(jié)點����,且通常包括以上相對于計算機110描述的 許多或所有元件,盡管在圖1中只示出存儲器存儲設備181�����。圖1中所示邏輯連接 包括局域網(LAN) 171和廣域網(WAN) 173��,但也可以或者替換地包括其它網 絡��,諸如因特網��。這樣的聯(lián)網環(huán)境在家庭���、辦公室���、企業(yè)范圍計算機網絡�、內聯(lián)網 和因特網中是常見的���。當在LAN聯(lián)網環(huán)境中使用時����,計算機110通過網絡接口或適配器170連接至 LAN 171��。當在WAN聯(lián)網環(huán)境中使用時�����,計算機110可包括調制解調器172或用
于在諸如因特網等WAN173上建立通信的另一裝置�,它可以是內置或外置的����,可 以通過用戶輸入接口 160或其它合適的機制連接至系統(tǒng)總線121。在網絡化環(huán)境中�, 相對于計算機110描述的程序模塊或其部分可以被遠程存儲,諸如存儲在遠程存儲 設備181中��。作為示例,而非限制�����,圖1示出了遠程應用程序182駐留在存儲器設 備181上�����?�?梢岳斫?����,所示的網絡連接是說明性的����,且可以使用在計算機之間建立 通信鏈路的其它手段。應用程序身份對計算機可執(zhí)行代碼的準確識別允許與文件名無關地正確標識軟件�����。計算機 110上的計算機可執(zhí)行代碼實際上總是被存儲在常規(guī)計算機文件中�,無論是存儲在 硬盤驅動器141上還是被存儲在另一形式的存儲器中。每一文件可配備文件名��,文 件名一般是可讀的,且提供關于文件內容的某些引導���。然而�����,文件名可被輕易改變 而不是標識文件內所存儲的可執(zhí)行代碼的可靠方式�����。甚至具有相同文件名的相同文 件可具有更新和修訂�����,使得相同名字的文件(例如,winword.exe)的內容可包含 完全不同的可執(zhí)行代碼���。而且���,熟悉的應用程序內的代碼可被數(shù)字地修改和損害, 將惡意代碼直接注入到底層程序內����。使用文件內容的散列提供了標識文件的更可靠、內容專用的方式。更可靠地標識文件的其它方式可包括使用文件名���、文件大小���、相關聯(lián)公鑰、或其某些組合����。密碼散列是計算機安全專業(yè)人士之間公知的一個內容專用工具。它們通常被用于創(chuàng)建數(shù)字簽名�、用于保證報文和文件確實來自其聲稱的來源。密碼散列實質上是數(shù)字指紋�����,其可基于文件的內容����。文件名可被忽略。盡管黑客可輕易地模仿文件名����,但 實際上不可能以經修改的版本來模仿文件內容同時維持相同的密碼散列。圖3示出本發(fā)明的說明性實施例提供的使用密碼散列來創(chuàng)建內容專用標識符���。所利用的散列可以是諸如SHA-1或MD-5等任何公知散列函數(shù)的產物��,或可以是任何實際上唯一的內容專用散列函數(shù)的產物�。這些散列函數(shù)取得一報文,即文件的數(shù)字內容����,使其通過標準化的數(shù)學函數(shù)來創(chuàng)建摘要(digest),即數(shù)字指紋����,它可以是128位、160位或任何其它大小的數(shù)據(jù)塊��。報文中的小量改變將創(chuàng)建完全不同的摘要����,而摘要除文件身份以外不提供關于文件內容的任何有用信息����。具有完全相同的內容的兩個文件(不附帶任何其它數(shù)據(jù))將產生完全相同的摘要。兩個不同的文件具有完全相同的摘要的可能性無窮小�,以便創(chuàng)建實際上唯一的依賴于內容的標識符。為包含可執(zhí)行代碼的文件創(chuàng)建唯一摘要的過程和產物此處可被稱為應用程序 身份����。在圖3中所示的說明性實施例中��,報文301是具有某一大小和內容的文件 "GoodFile.exe"�。該文件的數(shù)字內容包括可執(zhí)行代碼�,它們是被認為是善意的代 碼。使文件內容通過散列函數(shù)305產生128位的摘要311�。偽造報文302是名為 "GoodFile.exe"的文件,但不確定它是否是同一文件���。首先��,偽造報文302具有 不同的大小���,這是其內容與報文301不相同的容易的指示。當偽造報文302的內容 運行通過相同的散列函數(shù)305時���,它產生完全不同的摘要302����。由于摘要中的這種 差異���,現(xiàn)在可確定偽造報文302不包含與報文301相同的內容���。偽造報文303提出 了更大的挑戰(zhàn)�。該文件具有相同的文件名�����,以及以字節(jié)計完全相同的大小����。它甚至 與報文30內的代碼看上去非常像。然而��,惡意代碼段320被注入到該文件內���,替 換某些代碼���,使得文件大小相同。然而��,使該代碼運行通過相同的散列函數(shù)305 將產生不同的摘要313���。再一次,由于摘要中的這種差異�����,確定偽造報文303不是 與報文301相同的"GoodFile.exe"?��?蓪σ阎埔饪蓤?zhí)行代碼的所有計算機文件計算這樣的散列函數(shù)��。摘要 的這種列表此處被稱為允許列表����。同樣地����,可對已知包含惡意可執(zhí)行代碼的所有文 件計算散列函數(shù),此處被稱為排除列表��。這些列表可能不僅包括已知的應用程序����, 也可包括包含動態(tài)鏈接代碼的文件、包含腳本的文檔以及包含潛在不合需要的計算 機指令的任何其它文件��。擁有己知可執(zhí)行代碼的允許列表和排除列表使計算機能夠 生成最近下載或復制的文件的摘要�����,并將其與已知摘要的目錄進行比較。以此方式����, 可不必逐行分析文件內所包含的指令或依賴于其它證據(jù)而將偽造應用程序和已知 壞代碼排除在執(zhí)行之外。僅擁有已知摘要列表可能不足以將所有壞代碼排除在被安裝在計算機上或在 計算機上執(zhí)行之外��。在世界各地的因特網服務器和CD ROM上駐留著數(shù)百萬個包 含可執(zhí)行代碼的文件�。每天都編寫了新的可執(zhí)行代碼,有好的有壞的����。維護已知摘 要的列表是起點,但需要附加證據(jù)來判斷所下載或以其它方式安裝在計算機上的可 執(zhí)行代碼是否不合需要����。這樣的附加證據(jù)可包括下載軟件的位置,諸如網絡地址或其部分(例如�,因 特網協(xié)議(IP)地址或IP地址的一部分)和/或域或域的一部分(例如,malware.com)�����。 證據(jù)也可包括所下載或復制的任何經數(shù)字簽署的代碼的公鑰��。關于代碼來源的每一 證據(jù)也可與各種允許列表和/或排除列表進行比較��,這些列表用于己知為好或壞的 IP地址(或IP地址的一部分)�����、已知為好或壞的域(或域的一部分)���、和/或已知
為好或壞的證書簽署者�����。盡管不如評估文件本身來得可靠�,但是檢査可執(zhí)行代碼的 來源和簽名可提供關于是否應運行�����、下載或復制代碼的進一步證據(jù)���。此外����,關于文 件標識符(或多個標識符)的證據(jù)的組合可用于提供更強有力形式的證據(jù)����。最終����,各個計算機用戶可基于應用程序身份�、來源、和簽名以及其它證據(jù)為 自己制定策略�����。他們可將其計算機配置成自動排除某些文件和自動安裝其它文件��。 未達到某些閾值的那些文件可能需要向用戶示出對話框來要求他或她來決定他們 是否信任該安裝�。然而,如果運氣好的話����,這些對話框將是最小限度的,以便不打 擾用戶以及丟失所有有效性��。以下描述了更多關于這樣的信任策略的內容��。圖4示出了本發(fā)明的說明性實施例提供的從計算機110排除不合需要的軟件的分層方法的示例�。公司計算機用戶405正使用計算機110,該計算機經由公司服 務器401并經由因特網服務供應商(ISP) 402連接至因特網403�。所示連接僅是代 表性的���,因為其它計算機、路由器�、網絡設備�、調制解調器等可被連接在所示設備 之間。每一設備402����、 401、 110具有軟件412����、 411和410,并實現(xiàn)了排除策略�, 各自使用關于軟件從因特網403進入的證據(jù)。各自可使用如上所述的應用程序身份 以創(chuàng)建摘要�����,然后將摘要與各個允許列表和排除列表進行比較��。每一設備上的軟件 412�����、 411、 410也可使用關于每一傳入軟件的來源和公鑰的證據(jù)���,再次使用可包括 選擇性允許或排除文件的相關聯(lián)證據(jù)的允許列表和排除列表�??稍诓煌墑e上制定 不同的策略以便考慮各種因素,諸如更新的頻率��、處理能力等�。文件A-E各自或者為計算機110所請求或者被發(fā)送給計算機110,或者作為 電子郵件的附件或者作為這種或那種的因特網下載�����。在ISP402處�,可對安裝在一 個或多個服務器上的軟件檢查在傳遞給其顧客的所有因特網通信之間是否有特定 的文件。該軟件可對所有文件執(zhí)行散列���,并評估來源IP地址或IP地址的一部分�����、 公鑰和域����。然而,考慮到ISP 402處理的通信量�,可能僅能評估IP地址和域。為 每個傳入文件建立摘要的計算上的要求對ISP 402而言可能過大而無法處理��,因此 可與其它文件標識符組合來利用其它形式的證據(jù)�。此外,這樣的計算所引起的延遲 可能不合乎最終用戶405的需要�,尤其對用戶特別請求的下載而言。在了解到從特 定IP地址傳入的所有東西總是惡意的情況下��,即使使用粗略的搜索����,ISP402也能 夠排除文件B��。在ISP級進行的任何文件過濾可能僅是最樂觀的����,允許大多數(shù)文件, 而僅排除其證據(jù)與允許它們相比是壓倒性的那些文件�����。這可包括例如電子郵件蠕蟲 和特洛伊木馬��。一旦文件A和C-E由公司服務器401接收,可再次基于摘要���、來源和/或公鑰
來評估它們�。在此級別上��,計算上的要求可允許散列計算����,且可將文件與包括附加 形式的證據(jù)的各個允許列表和/或排除列表進行比較。公司服務器401可不僅排除 己知的壞文件�����,也可為公司策略原因而排除某些文件�����。例如����,使用應用程序身份,公司服務器401可作為規(guī)則來排除因特網聊天程序或即時消息程序�����。以此方式,公 司服務器401首先就阻止用戶405下載被禁文件��,更不用說安裝它了�����。此外����,在公 司級別,在允許列表或排除列表上均未出現(xiàn)的應用程序可被傳遞給用戶�。此處,可 為策略原因而排除文件A�,可能因為它是游戲�。而未在任何列表上識別出文件D, 因此它被允許通過�����。最后�,在文件C和D到達計算機110時,它們已經由另外兩層保護在粗略的 水平上進行了評估�。在計算機110上操作的軟件410能夠評估關于文件C和D的 進一步證據(jù)。應用程序C被允許安裝在計算機110的存儲415上�,因為其摘要出 現(xiàn)在可安裝應用程序的允許列表上�����。未被公司服務器401識別的文件D可能不出 現(xiàn)在計算機110上的任何已知列表上�����。然而��,由于地址的來源域被認為是可疑的�����, 因此設置在計算機IIO上的策略排除了文件D����。評定服務盡管圖4中所提供的設置因其多級別的保護而被優(yōu)選�,但可能不向駐留在小 型企業(yè)、家庭以及落后公司中的計算機給予附加層次的保護�����。這些機器上的軟件可 能必須迸行與允許和排除文件相關聯(lián)的所有工作���。因此��,這些計算機需要關于文件�����、 IP地址(IP地址的一部分)���、公鑰��、和域(或域的一部分)的可信信息源���。圖5示出本發(fā)明的說明性實施例提供的計算機110對軟件評定服務的使用。 計算機用戶405意欲允許計算機110上的軟件使用允許列表和排除列表����,以便選擇 性地排除或允許軟件被安裝或復制到計算機110上。計算機用戶405剛下載了包含 可執(zhí)行代碼的可疑文件501 "Unknown.dll"��。計算機110使用散列函數(shù)305生成數(shù) 字指紋502��。此外�,計算機110收集下載的時間和日期��、來源IP地址(或IP地址 的一部分)和來源域名(或域的一部分)形式的關于可疑文件501的一個或多個證 據(jù)�。這樣的附加證據(jù)可包括關于可疑文件501的公鑰的信息����。在將文件從不位于因 特網上的另一設備復制到計算機110的情況中����,關于來源的可用信息可能較少。計算機用戶405當安裝軟件來過濾可執(zhí)行代碼時�����,可能從經由諸如內聯(lián)網或 因特網等網絡提供的評定服務510�、 511、 512的總體中選擇了一評定服務�。或者���, 該軟件可能己經在計算機110從工廠裝運之前由原始設備制造商(OEM)安裝����。 在任一情況中�����,可為用戶或由用戶預選了評定服務。評定服務是各個軟件文件和/或軟件來源的信任建議的提供者�。評定服務可向 計算機110提供完整的允許列表和/或排除列表?�;蛘?�,計算機110可査詢評定服 務�����,提供關于文件的標識符和大量證據(jù)�,并從評定服務得到帶有建議的回復。在任一情況中����,用戶、OEM或公司的IT部門選擇了評定服務�,因為他們信任評定服務 的所有者將作出準確且可信的選擇。評定服務可由連接提供者510���、軟件或硬件廠商511���、或第三方提供者512 (計 算機110與之沒有關系)來創(chuàng)建和維護�����。評定服務的連接提供者可包括計算機110 所屬公司的公司IT部門、提供因特網連接的因特網服務供應商��、或諸如防火墻廠 商等網絡軟件廠商����。基于其與計算機110的現(xiàn)有關系����,軟件或硬件廠商511可以是 評定服務的提供者。操作系統(tǒng)(OS)廠商可隨操作系統(tǒng)一起提供過濾文件的軟件��、 且可使用允許列表和/或排除列表預填充計算機110�����。此外�����,OS廠商(例如�, Microsoft、 RedHat���、 Apple)可對列表提供更新以及處理評定服務查詢�。同樣地, OEM廠商(例如�,Dell、 Toshiba)可提供這樣的軟件并提供評定服務�����。最后����,可 單獨封裝用于過濾文件的軟件,銷售該軟件的廠商可提供評定服務���。在每一情況中��, 計算機110應具有在先信任關系的組織可承擔向計算機110提供更新后的評定服務 的責任��。評定服務的第三方提供者512可包括用戶405信任的在線團體和出版者����。這 可包括己經對軟件和產品評定的出版者(例如���,CNET����、 PC Magazine����、 Consumer Reports、 Jack & Jill Magazine)�、在線利益團體(例如,MSDN��、 Slashdot�、教會、 專業(yè)社團等)��,或其它可信信息提供者(例如���,Symantec���、 McAfee)。此外�����,用 戶群體可聯(lián)合在一起并形成他們自己的評定服務�,使用白列表和排除列表���。評定服務510、 511����、 512向計算機110提供關于包含可執(zhí)行代碼的各個文件 以及文件來源的信息。這種信息可被存儲在數(shù)據(jù)庫���、平面文件����、網頁�、或其它結構 化的存儲介質中??苫谒嬎愠龅纳⒘姓蚱渌鼧俗R符來對文件進行索引。當 計算機110查詢評定服務時���,該查詢包括該可疑文件的摘要(這可由計算機110 計算)或其它標識符��,可能附帶來源和公鑰信息��。響應于該查詢�,評定服務可將從 計算機110接收的摘要用作搜索關鍵字來執(zhí)行對該文件的建議的搜索��。基于其自身 的信息源(例如����,其它用戶的反饋或經驗、社論性和/或技術上的評估等)���,評定 服務可提供內容評定形式的建議作為響應。評定服務也可對數(shù)據(jù)庫(或其它結構化存儲)搜索來源IP地址或其部分���、域����、
或發(fā)布者(從證書中得到)�����、或公鑰�����?;谄渥约旱男畔碓?例如,對來自該來 源的其它文件��、原產地、保密策略等的經驗)�,評定服務可提供來源評定作為內容 評定的替換(或附加)?��?深A期肯定或反對特定文件的堅實的內容評定將比來源建議更有力���,但來源評定可提供足夠的信息供計算機110和/或用戶405來決定是否要安裝或運行該文件。評定服務可能能夠提供可由授權策略在確定是否要安裝或運行時使用的關于文件的附加信息�。這可包括以下該文件是否被推薦?該文件是否沒有病毒���?該文 件是否提供標準化的添加/移除選項�����?該文件是否重寫如防火墻端口或文件關聯(lián)等 系統(tǒng)設置�?該文件是否默認自動更新���?該文件是否使用保密保證�?該發(fā)布者是否 被推薦�����?與該文件相關聯(lián)的風險多大?該文件是否為傳入連接監(jiān)聽端口����?該文件 是否會自動改變防火墻設置來監(jiān)聽端口?是否存在該應用程序社論性的評論�?是 否存在關于發(fā)布者的保密準則的更多的信息?評定服務所面對的一個難點在于在用戶安裝應用程序之后發(fā)生的軟件的持續(xù)更新和打補丁�。例如諸如Windows XPTM等操作系統(tǒng)可請求定期的更新和補丁以提供新功能或修補隱錯和安全漏洞。每一新補丁可具有新的依賴于內容的標識符��, 極大地擴張了所跟蹤的軟件的數(shù)據(jù)庫的大小�,這有可能是不必要的�����。評定服務可跟 蹤一系列相關軟件����,而不跟蹤個別更新或補丁。例如����,所接收的査詢可不僅包括更 新的標識符,還包括被更新的軟件的標識符�����。此外,所接收的查詢可包括更新或補 丁以及底層軟件的簽署發(fā)布者�����。如果這些軟件均由同一發(fā)布者簽署���,且該發(fā)布者可 信�����,則可向更新提供肯定的評定而無需實際對其評估�����。這可使評定服務免于評估每 一補丁或更新�����。圖6示出本發(fā)明的說明性實施例提供的使用評定服務對文件授權的方法����。當 在計算機110內檢測到包含可執(zhí)行代碼的新文件時,在步驟601處存儲關于該文件 的信息���,這可包括關于發(fā)布者����、來源���、下載時間���、文件大小以及可協(xié)助安裝或應用 程序執(zhí)行決策的其它證據(jù)的信息。在步驟602處�����,計算機110確定該文件的一個或 多個依賴于內容的標識符�,可能使用SHA-1����、 MD-5、或類似的散列函數(shù)來生成實 際上唯一的依賴于內容的標識符����。在步驟603處,匯編査詢以發(fā)送給一個或多個評 定服務,以便獲得內容評定��。該查詢可包括XML或HTML段���,它包括依賴于內 容的標識符���、來源和公鑰信息、下載時間等���。查詢中所提供的信息可主要用于確認 該可疑文件的身份�����,且有希望從一個或多個評定服務取得最準確的評定�。査詢可替 換地采用眾多其它形式之一�,包括預定文本或二元査詢。 一個或多個評定服務可按
照響應的形式提供關于該文件的證據(jù)��。在步驟604處���,計算機110針對安裝或執(zhí)行策略來評估文件���。這些策略可由用戶����、公司所有者�、硬件廠商、操作系統(tǒng)廠商��、或某些其它相關方配置���。在某些情況中�,策略可包括用戶查詢�����。如果在判定605處使用策略來對該文件授權����,則將存 儲授權的事實。存儲該授權可能是重要的�����,因為當實際取回可執(zhí)行代碼來運行或實 際處理可執(zhí)行代碼時�����,可重新檢查該可執(zhí)行代碼來查看它是否被授權���。因為不是進 入計算機110的每個可執(zhí)行代碼都必然被發(fā)覺(例如����,當它由用戶經由鍵盤輸入 時)����,因此每當代碼運行時可能需要對代碼檢査其授權。這樣的檢査可被安裝在計 算機內的較低層次上��,諸如操作系統(tǒng)中�。具有這樣一個步驟將確保將僅運行預授權 的代碼。如果授權策略未對文件授權�����,則在步驟607處����,將對該文件進行檢疫。這 可能意味著它將被刪除或對其進一步檢查惡意代碼�。無論如何,該文件在沒有進行 更多調查的情況下不能運行�����,或在沒有附加形式的證據(jù)的情況下僅能夠在受限模式 中運行。圖7示出本發(fā)明的說明性實施例提供的使用策略來評估文件授權的方法�����。此 處�����,計算機IIO收集了關于最近被添加的文件的證據(jù)�。在步驟701處,計算機IIO 檢查第一大量證據(jù)來確定授權���??赡艽嬖谧C據(jù)的分級���。例如����,可首先檢查步驟702 處的內容評定����,接著可檢查步驟703處的發(fā)布者,然后可檢查步驟704處的源地址����。 可使用附加證據(jù),諸如以上列出的評定服務所提供的附加信息����。在判定705處,針 對所實行的策略評估每一單獨證據(jù)或證據(jù)的組合�����。如果所檢査的第一證據(jù)是基于內 容的一個或多個評級��,且所查詢的評級服務均未提供任何有用證據(jù)���,則可能需要附 加證據(jù)���。在判定710處,如果存在可挽救(salvage)程序的可用的附加證據(jù)����,則計 算機110可重新評估該策略。如果沒有可用的其它證據(jù)�,則在步驟709處該文件不 被授權����?�;氐脚卸?05處���,如果確定基于策略要對該文件授權��,則在步驟706處����, 該文件被授權����。如果策略確定不清楚是否應對文件授權,則在步驟707處�,可向用 戶呈現(xiàn)對話框,來提供包括所述文件的內容評級在內的信息�。在判定708處,用戶 然后決定是否要對文件授權���。策略可由個別用戶制定或可在企業(yè)級別上制定以實施公司軟件策略����。策略也 可默認由計算機制造商或者操作系統(tǒng)或文件過濾軟件的供應商來制定。而且����,用戶 或企業(yè)管理者可通過訪問多個評級服務網站或提供對若干不同評級服務的訪問的 單個網站來與評定服務簽約��。對策略進行配置可要求向用戶提供復雜的界面���,該界面足夠靈活以提供復雜規(guī)則的分層結構�����。經配置的安全策略的示例可如以下(1)
信任Microsoft簽署的所有軟件����,(2)信任為PC Magazine所知且推薦的所有軟件 (不需要簽名)�,(3)向用戶提示其它經簽署的軟件,以及(4)拒絕所有其它未 經簽署的軟件�����。當然會產生多個評定服務之間的評定沖突(例如��,CNET說一軟件 是好的,但Slashdot說它是壞的)�。協(xié)調這些沖突可要求可配置策略,諸如上述優(yōu) 先權系統(tǒng)�。替換策略可包括,僅允許所有訂閱的評定服務均批準的軟件��、對來自特 定評定服務的評估或特定出版者的評估加權等�。圖8示出了根據(jù)本發(fā)明的說明性實施例,計算機110所提供的包括第三方評 定在內的示例授權對話框801��。當用戶的授權策略需要時�,對話框801將詢問他們 是否愿意對特定文件803授權。如果運氣好的話�,對這樣的對話框的使用將是最小 限度的,以便不干擾用戶�。對話框801包括關于文件803的信息、程序的評定服務 評論802�����、以及授權或拒絕安裝的按鈕804�、 805。當先前未被授權的可執(zhí)行代碼正 首次試圖執(zhí)行����、正被安裝在計算機110上���、或正被傳遞給計算機110時,可使用類 似于對話框801的對話框����。此外,當可執(zhí)行代碼首次試圖訪問或修改計算機110 的敏感方面�����,包括但不限于改變?yōu)g覽器起始頁���、訪問一網絡、寫入特定注冊表鍵項 等時��,可使用這樣的對話框���。圖9示出本發(fā)明的說明性實施例所提供的用于為文件提供評定的方法���。評定 服務可使用類似于此處所述的方法的一種方法來提供內容和來源評定。如上所述���, 評定服務將維護評定數(shù)據(jù)庫�。當用戶想要安裝或運行文件時,計算機110可使用預 定格式(例如���,XML或HTML)向評定服務發(fā)出查詢����,查詢包括一個或多個實際 上唯一的依賴于內容的標識符�����。查詢也可包括文件來源信息�。在步驟卯1處,評定 服務接收查詢����,在步驟902處,使用該一個或多個依賴于內容的標識符作為搜索關 鍵字來搜索內容評定����。如果在判定903處找到評定,則在步驟904處����,將內容評定 信息添加到回復。如果在判定905處����,有關于文件來源的信息可用�����,則在步驟906 處����,將來源信息添加到回復�。在步驟907處,上述種類的任何附加信息被添加到回 復���。而在步驟908處,該回復被發(fā)回到計算機110�����。盡管關于包括實現(xiàn)本發(fā)明的目前的優(yōu)選模式在內的特定示例描述了本發(fā)明����, 但本領域的技術人員可以理解,存在落入如所附權利要求書中所述的本發(fā)明的精神 和范圍內的上述設備和技術的眾多變型和排列�����。除非在權利要求元素中包括了短語 "裝置用于"、"步驟用于"�、或"多個步驟用于",否則該元素不應被解釋為按 照裝置加功能格式�����。而且�,方法權利要求中數(shù)字標記的步驟僅用于標記的目的而不 應被解釋為要求步驟的特定順序。
權利要求
1.一種用于對包含計算機可執(zhí)行代碼的文件授權的計算機實現(xiàn)方法�,所述方法包括建立授權策略;確定所述文件的依賴于內容的標識符�;搜索關于所述文件的證據(jù),其中所述搜索包括基于所述依賴于內容的標識符的搜索�����;使用所述授權策略確定所述文件是否被授權��。
2. 如權利要求l所述的方法����,其特征在于,所述搜索證據(jù)包括査詢一個或多 個評定服務����。
3. 如權利要求1所述的方法���,其特征在于,所述搜索證據(jù)包括搜索允許列表 或排除列表的至少之一���。
4. 如權利要求l所述的方法�����,其特征在于�,還包括搜索關于所述文件的證據(jù)�����,其中所述搜索是基于所述文件的簽名發(fā)布者的��。
5. 如權利要求l所述的方法����,其特征在于����,還包括 搜索關于所述文件的證據(jù),其中所述搜索是基于所述文件的源地址的����。
6. 如權利要求5所述的方法���,其特征在于,所述搜索證據(jù)的集合包括搜索IP 地址的至少一部分���。
7. 如權利要求5所述的方法�,其特征在于�����,所述搜索證據(jù)的集合包括搜索域 名的至少一部分����。
8. 如權利要求l所述的方法,其特征在于��,所述依賴于內容的標識符包括對 所述文件的內容的密碼散列�����。
9. 如權利要求l所述的方法��,其特征在于���,還包括 響應于所述文件被計算機接收�����,評估所述授權策略���。
10. 如權利要求l所述的方法����,其特征在于�,還包括響應于所述文件被授權的判斷,存儲所述經授權文件的授權���。
11. 一種用于提供文件評定的計算機實現(xiàn)方法 接收包括所述文件的依賴于內容的標識符的評定請求����;搜索關于所述文件的證據(jù)�,所述搜索包括基于所述依賴于內容的標識符的搜索���;以及提供對所述評定請求的回復��,所述回復包括對所述文件的所述評定�����。
12. 如權利要求9所述的方法�����,其特征在于�,所述依賴于內容的標識符包括 對所述文件的所述內容的密碼散列。
13. 如權利要求9所述的方法����,其特征在于,所述評定請求還包括所述文件 的源地址�,所述方法還包括-搜索對所述源地址的評定,所述搜索是基于所述文件的所述源地址的��。
14. 如權利要求9所述的方法����,其特征在于,所述評定請求還包括作為所述 文件的信息����、用于簽名所述文件的所述公鑰,所述方法還包括搜索對所述文件發(fā)布者的評定,其中所述搜索是基于所述公鑰信息的�。
15. 如權利要求9所述的方法,其特征在于�����,所述回復還包括關于所述文件 的保密信息���、關于所述文件的卸載信息�����、關于所述文件的病毒信息�、或關于所述文 件的自動更新信息的至少之一�����。
16. —種用于對包含計算機可執(zhí)行代碼的文件授權的系統(tǒng)���,所述系統(tǒng)包括 存儲元件�����,被配置成存儲所述文件和關于所述文件的信息���;以及 耦合至所述存儲元件的處理器,被配置成確定所述文件的依賴于內容的標識符�����,使用所述依賴于內容的標識符在證據(jù)的集合中搜索關于所述文件的信息����,并基 于搜索結果和授權策略確定所述文件是否被授權。
17. 如權利要求16所述的系統(tǒng)�,其特征在于,所述依賴于內容的標識符是對 所述文件的所述內容的密碼散列��。
18. 如權利要求16所述的系統(tǒng)�����,其特征在于�����,所述處理器還被配置成在所述 存儲元件中存儲關于所述文件來源的信息����,搜索關于所述文件來源的信息�,并基于 來源搜索結果和授權策略確定所述文件是否被授權�����。
19. 如權利要求16所述的系統(tǒng)�,其特征在于,所述處理器還被配置成在所述 存儲元件中存儲關于所述文件發(fā)布者的信息�����,其中所述發(fā)布者是基于與所述文件相 關聯(lián)的公鑰來確定的�����。
20. 如權利要求19所述的系統(tǒng)�����,其特征在于�,所述處理器還被配置成形成包 含所述依賴于內容的標識符的查詢,將所述查詢發(fā)送給一個或多個評定服務���,并從 所述一個或多個評定服務接收對所述文件的評定���。 -
全文摘要
允許使用計算機上的文件的密碼散列或其它標識符來找到一個或多個內容評定來對該文件授權����。內容評定結合來源和發(fā)布者評定�,被用于針對用戶���、制造商�����、或公司IT部門設置的授權策略對文件進行評估��。因低評定而受到懷疑的文件不被授權運行在計算機上����。只能找到很少信息的文件被留給用戶來決定是否授權���。評定服務基于社論性或用戶的評論來提供聚集的內容評定�����,并基于正被評估的文件的密碼散列來對其可搜索評定進行索引����。評定服務提供允許列表和排除列表,或可提供對包含文件的密碼散列的查詢的個別響應�。
文檔編號H04N7/173GK101164333SQ200680006936
公開日2008年4月16日 申請日期2006年3月9日 優(yōu)先權日2005年3月22日
發(fā)明者A·G·古納雷斯, A·庫普薩米, E·E·S·墨菲, R·E·安德斯 申請人:微軟公司