一种核心、用于因特网的恶意软件问题的解决方案.pdf

一种用于保护芯片的管理系统。保护芯片适用于防止恶意软件在用户操作系统和外部网络之间通信，而无需用户交互。该管理系统包括验证功能，利用每次通信来验证保护芯片和管理系统之间的交互、更新功能，提供对保护芯片的更新，而无需用户交互、以及控制功能，防止保护芯片的用户控制。该管理系统可以包括管理员来创建更新。

1.  一种用于保护芯片的管理系统，其中，保护芯片适合于防止恶意软件在用户操作系统和外部网络之间通信，其中所述管理系统包括：
i.验证功能，利用每次通信来验证保护芯片和管理系统之间的交互；
ii.更新功能，提供对保护芯片的更新而无需用户交互；以及
iii.控制功能，防止保护芯片的用户控制。

2.  如权利要求1所述的管理系统，其中，所述管理系统远离所述用户操作系统。

3.  如权利要求1所述的管理系统，其中，所述保护芯片包括：
i.带有易失性工作存储器的至少一个保护处理器；以及
ii.非易失性存储器。

4.  如权利要求1所述的管理系统，其中，所述更新包括：另外的病毒签名、错误修正、专用于给定用户的新的芯片特征、虚拟专用网或其组合。

5.  如权利要求1所述的管理系统，其中，所述管理系统使用密码安全协议来发送所述更新，并且其中，所述密码安全协议是安全外壳(SSH)或者安全套接字层(SSL)。

6.  如权利要求1所述的管理系统，其中，所述管理系统是分布式管理系统。

7.  如权利要求1所述的管理系统，其中，所述管理系统进一步包括来自保护芯片的数据的副本。

8.  如权利要求1所述的管理系统，其中，所述管理系统进一步包括用户标识信息、操作系统规范、来自至少一个第三方的至少一个授权访问许可、来自至少一个第三方的授权访问许可的至少一个撤销、及其组合。

9.  如权利要求1所述的管理系统，其中，所述保护芯片在接受更新之前验证交互。

10.  如权利要求1所述的管理系统，其中，所述保护芯片适于阻塞至少一个IP协议端口。

11.  一种用户操作系统，用于防止恶意软件与用户操作系统通信，其中，所述用户操作系统包括与用户操作系统的处理器通信的保护芯片，其中，所述保护芯片适于：
a.防止恶意软件在用户操作系统和外部网络之间通信；
b.利用用户操作系统和远程管理系统之间的每次通信，验证与管理系统的交互，和
c.从所述管理系统接收更新。

12.  如权利要求11所述的用户操作系统，其中，所述管理系统远离所述用户操作系统。

13.  如权利要求11所述的用户操作系统，其中，所述保护芯片包括：
a.带有易失性工作存储器的至少一个保护处理器；以及
b.非易失性存储器，并且其中所述保护芯片适于与用户操作系统的处理器通信。

14.  如权利要求11所述的用户操作系统，其中，所述更新包括：附加病毒签名、错误修正、专用于给定用户的新的芯片特征、虚拟专用网、或者其组合。

15.  如权利要求11所述的用户操作系统，其中，所述管理系统使用密码安全协议来发送更新，并且其中所述密码安全协议是安全外壳(SSH)或安全套接字层(SSL)。

16.  如权利要求11所述的用户操作系统，进一步包括附连到与用户操作系统有关的装置的第二保护芯片。

17.  如权利要求11所述的用户操作系统，其中，所述管理系统包括来自保护芯片的数据的副本。

18.  如权利要求11所述的用户操作系统，进一步包括与用户操作系统通信的附加用户可控芯片。

19.  如权利要求11所述的用户操作系统，其中，所述管理系统进一步包括用户标识信息、操作系统规范、来自至少一个第三方的至少一个授权访问许可、来自至少一个第三方的授权访问许可的至少一个撤销、及其组合。

20.  如权利要求11所述的用户操作系统，其中，所述保护芯片进一步适于阻塞至少一个IP协议端口。

21.  如权利要求11所述的用户操作系统，其中，所述保护芯片适于在所述用户操作系统的用户的请求下，阻塞因特网访问。

22.  如权利要求11所述的用户操作系统，其中，所述用户操作系统的用户可以在监视器上观察通过保护芯片的通信。

23.  如权利要求11所述的用户操作系统，进一步地其中，所述保护芯片适于形成至外部网络的安全连接。

24.  一种使用用户操作系统来控制数据传送的方法，其中该方法包括：
a.防止恶意软件与所述用户操作系统通信；
b.允许管理系统访问所述用户操作系统，以便更新保护芯片而无需用户交互；
c.使用所述管理系统来控制所述保护芯片；以及
d.使用所述保护芯片来验证所述用户操作系统和管理系统之间的通信。

25.  如权利要求24所述的方法，其中，用于防止恶意软件与用户操作系统通信的方法过滤以下协议中的至少一个：超文本传输协议(HTTP)、简单邮件传输协议(SMTP)、远程终端协议(Telnet)和文件传输协议(FTP)。

26.  如权利要求24所述的方法，其中，所述管理系统包括用于维护所述保护芯片的至少一个管理员。

27.  如权利要求24所述的方法，进一步包括实例化将由保护芯片提供的服务的步骤。

28.  如权利要求24所述的方法，其中，所述管理系统包括来自保护芯片的非易失性存储器的数据的副本和下列组的成员：用户标识信息、操作系统规范、来自至少一个第三方的至少一个授权访问许可、来自至少一个第三方的授权访问许可的至少一个撤销、及其组合。

29.  如权利要求24所述的方法，其中，所述保护芯片的更新包括：在保护芯片上安装附加病毒签名、在保护芯片上安装错误修正、安装专用于给定用户的新的保护芯片特征、或者其组合。

30.  如权利要求24所述的方法，其中，所述保护芯片的更新使用密码安全协议。

31.  一种用于防止恶意软件与用户操作系统通信的装置，其中该装置包括：
a.保护芯片，其(i)非可移动地连接到用户操作系统，(ii)与外部网络通信，并且(iii)与管理系统通信，其中，所述保护芯片包括：
i.带有易失性工作存储器的至少一个保护处理器；以及
ii.连接到至少一个保护处理器的非易失性存储器；以及
b.其中，所述保护芯片，无需用户访问，适用于：
i.防止恶意软件在用户操作系统和外部网络之间通信；
ii.验证与所述管理系统的通信；以及
iii.接收来自所述管理系统的更新。

32.  如权利要求31所述的装置，其中，所述管理系统是分布式管理系统。

33.  如权利要求31所述的装置，其中，所述管理系统包括来自所述保护芯片的非易失性存储器的数据的副本。

34.  如权利要求31所述的装置，其中，所述保护芯片提供至用户网页的安全连接。

35.  如权利要求31所述的装置，其中，用户可以在监视器上观察通过所述保护芯片的通信。

一种核心、用于因特网的 恶意软件问题的解决方案
技术领域
本实施方式通常涉及一种由专家管理以防止病毒、恶意软件(malware)、蠕虫、间谍软件和DDoS攻击用户操作系统的系统。
背景技术
因特网受到如恶意软件、垃圾邮件、病毒、蠕虫和DDoS攻击的问题困扰。
当用户在计算机上安装软件时，用户控制下的任何计算机部分可以由恶意软件盗用。常常，计算机的盗用是计算机用户难以觉察到的。
Dell^TM注意到，所有用户关心的呼叫的20％是由于恶意软件，以及每一呼叫平均30美元。由于恶意软件导致的公司损失有上亿美元。在所有公司当中，大约八成已经报告了它们的公司网被恶意软件或者间谍软件侵入。感染上间谍软件的单个个人计算机花费任何地方的IT部门从两个小时到许多天时间来修复。与垃圾邮件有关的成本已经从2003年的100亿美元上升到2005年的220亿美元。
2004年九月，每天大约30,000台个人计算机被感染恶意软件、垃圾邮件、间谍软件或者参予感染其它计算机，或者受到或者参与DDoS攻击。
许多实体非常适合于发现和诊断垃圾邮件、病毒、蠕虫和DDoS攻击。这些实体的实例是AOL、MSN、Comcast、McAfee、AT&T和MCI。本发明的实施方式的目标是，允许这些非常适合的实体来通过运行它们的巨大网络而获得的知识来管理个人计算机的安全。
需要这样一种系统：它可以适用于不能被用户操作系统的用户绕过的新威胁，而且还防止威胁到达用户操作系统的关键组件。
本发明实施方式满足这些需要。
发明内容
在一种实施方式中，本发明包括一种管理系统。
在另一实施方式中，本发明包括一种带有恶意软件防止组件的用户操作系统。
用户操作系统可以防止恶意软件与用户操作系统的通信。用户操作系统更进一步地适合于与位于远离用户操作系统的管理系统通信，并验证管理系统。管理系统可以可选地包括用于管理保护芯片的管理程序。管理系统可以适合于与保护芯片通信并更新保护芯片，以便在没有用户交互的情况下，防止恶意软件由用户操作系统发送、由用户操作系统接收、或者既发送又接收。
这些是本发明的一些实施方式，在下面可以描述另外的元件和更广泛的实施方式。
附图说明
结合如下附图将更好地理解详细说明：
图1描述一种根据本发明的用于防止恶意软件的传播的用户操作系统。
图2描述根据本发明的保护芯片的实施方式。
参考所列附图详细描述了这些实施方式。
具体实施方式
在详细地解释这些实施方式之前，可以理解的是，本发明不被限制在特定实施方式中，而且本发明可以以多种方式来实践或者执行。
本发明的实施方式是一种由专家控制的系统，其可以被添加到带有用户操作系统的个人计算机或者其它装置。这些专家关注于安全因特网访问(Secure Internet Access)，而非通用服务或者应用程序。本发明将一种新的、安全管理的接口/层添加到用户操作系统。
一种益处是，用户可以安全地使用计算机，而没有从因特网到用户操作系统、或者从用户操作系统到另一用户操作系统的恶意软件的传播。
另一益处是，通过用户操作系统，由专家运行的管理系统可以远程维护安装在用户操作系统上的保护芯片。此方法仅仅允许有资格的专家访问和适当地管理保护芯片。
本发明的一种实施方式可以是一种用于保护芯片的管理系统。保护芯片适合于防止在用户操作系统与外部网络之间通信恶意软件。保护芯片也防止用户与保护芯片的设置进行交互。
管理系统包括验证功能，利用每次通信来验证保护芯片和管理系统之间的交互。管理系统还包括更新功能，以提供对保护芯片的更新而没有用户交互，以及控制功能，以防止保护芯片的用户控制。
一旦保护芯片用于因特网安全，对操作系统存在两个增加的益处：(1)保护芯片可以使用SSL或者IPSEC，将所有网上冲浪和电子邮件引导到安全入口，(2)对于恶意软件或者其它任何类型有害软件，所有链接可以被擦掉(scrubbed)。
在一种实施方式中，网页可以被构成为允许用户使用保护芯片并控制因特网访问。举例来说，当读取电子邮件时或者当用户打开诸如Word、Powerpoint以及Excel的文档时，管理员可以使得保护芯片将因特网访问“断开”。当用户完成读取电子邮件、或者打开文件时，用户可以点击“接通”并且得到所有有关当因特网访问是“断开”时向外发送数据的试图的报告。这允许用户既阻塞由间谍软件所引起的这种传输，又看到哪个应用导致发送该传输。
该系统的另一好处涉及使用管理系统来监测进入带有保护芯片的每个计算机或装置的保护芯片的业务量，以允许快速检测新的恶意软件。恶意软件一般分布在三种波中：第一、小测试，第二、较大测试，以及最后、全插入。预期使用大量保护芯片的实施方式更可能检测到处于第一测试的恶意软件，然后可以在第三波实现全分布之前，更新保护芯片以检测新的恶意软件。
本发明的另一实施方式可以用于用户操作系统，以便防止恶意软件与用户操作系统通信。用户操作系统包括与用户操作系统的处理器通信的保护芯片。该保护芯片适合于防止恶意软件在用户操作系统和外部网络之间通信，验证用户操作系统和远程管理系统之间的交互，以及从管理系统接收更新。
用户操作系统可以是计算机、或者诸如路由器或者蜂窝电话的装置。
本发明的另一实施方式可以是用于使用用户操作系统来控制数据传输的方法。该方法包括防止恶意软件与用户操作系统通信的第一步骤。然后，下一步骤是允许管理系统访问用户操作系统，以便更新保护芯片而没有用户交互。然后，使用管理系统来控制保护芯片；以及使用保护芯片来验证用户操作系统和管理系统之间的通信。可以以各种次序来执行该方法的步骤，而不局限于所列出的步骤次序。
该方法允许管理员使用管理系统来访问用户操作系统，以便更新保护芯片而没有用户交互。管理员是被授权维护保护芯片的人员，并且可以执行保护芯片的更新，以及在保护芯片上安装附加程序。
该方法包括防止对于保护芯片的非管理员特许访问。非管理员是被授权配置保护芯片以便与管理系统通信的用户。“特许访问”表示实例化(instantiate)服务，实例化或者取消对于保护芯片的访问权限、服务，包括安装错误修正、安装用户识别文件以便其它用户识别他们自己。
该方法包括控制由非管理员对保护芯片的非特许访问的步骤。非特许访问的控制可以包括控制访问，诸如配置对外部网络的连接。作为实例，如果外部网络通过电缆调制解调器通信，它将典型地使用动态主机配置协议(DHCP)来获得其外部网络地址，然而，通过数字用户线(DSL)连接，用户将典型地必须输入帐户信息以获得外部网络地址，使用被称为以太网上的点对点协议(PPPoE)的协议。该方法还可以包括使用管理系统和保护芯片来验证用户操作系统的用户的步骤，所述用户操作系统可以是计算机。此验证由管理系统和保护芯片执行，使得用于更新保护芯片的连接是安全的。具体地，验证步骤可能是输入用户名和口令，或者使用如由Massachusetts的RSASecurity生产的安全ID^TM标记的装置。
另外，该方法包括使用管理系统来自动更新保护芯片的步骤。当用户请求用于保护芯片的新业务或者特征时，管理系统可以自动地更新系统。
管理系统包括来自保护芯片的非易失性存储器的数据的副本。该数据可以包括用户识别信息、操作系统规范、来自第三方的授权访问许可、来自第三方的访问许可的取消及其组合。万一保护芯片被毁坏，关于管理系统的数据仍将有效。这是本发明的方法和系统的重要好处。
预期用于控制数据传输的方法可以控制在以下协议至少之一上的数据传输：超文本传输协议(HTTP)、简单邮件传输协议(SMTP)、远程终端协议(Telnet)和文件传输协议(FTP)。
另外，该方法可以包括在启动任何其它步骤之前，安全地实例化保护芯片，以识别保护芯片和将由保护芯片提供的服务。实例化可以是通过使用安装在保护芯片上的、如从Dallas、Texas的DallasSemiconductor获得的型号DS2432的安全芯片。如根据2005年4月20日的Dallas Semiconductor网页中所描写的，该安全芯片在此应用中被称为共享秘密标识芯片：“DS2432型号芯片合并1024位的EEPROM与64位秘密及512位安全散列算法(SHA-1)引擎，以便基于保护芯片的安全，在低的成本提供高水平验证。为了修改DS2432中的数据，1-Wire^TM主机必须成功地计算并且发送160位SHA-1消息验证码(MAC)，该消息验证码需要包括未公开的64位秘密标识符的DS2432芯片的现有知识。DS2432芯片还提供读存储器命令，其自动计算160位MAC，并将其传递至1-Wire^TM主机。再次，此序列使用未公开的秘密标识符，并且是一种非常有效的用于基于DS2432的芯片的主机验证的解决方案”。
保护芯片的更新可以包括另外的病毒签名、错误修正、专用于给定用户的新芯片特征或其组合。更新可以是通过密码安全协议。密码安全协议可以是安全套接字层(Secure Socket Layer)、或者安全外壳(SSH)。
本发明的另一实施方式可以用于一种装置，以便防止恶意软件与用户操作系统通信。该装置包括保护芯片，该保护芯片(i)非可移动地连接到用户操作系统，(ii)与外部网络通信，并且(iii)与管理系统通信。保护芯片包括带有易失性工作存储器的至少一个保护处理器，和连接到至少一个保护处理器的非易失性存储器。
可以从与用户操作系统隔离或者远离的管理系统来更新、验证和控制保护芯片。管理系统可以通过I/O信道或虚拟机(VM)层与用户操作系统隔离。
易失性工作存储器的实例是来自台湾Micron的同步动态随机存取存储器(SDRAM)。非易失性存储器的实例是来自加利福尼亚的英特尔的闪存。
保护芯片适于防止恶意软件在用户操作系统和外部网络之间通信，验证与管理系统的通信，以及从管理系统接收更新。用户不能控制保护芯片的功能。
与外部网络的通信包括将恶意软件从用户操作系统传输到外部网络、用户操作系统从外部网络接收恶意软件、或者其组合。
参照附图，图1描述了一种用户操作系统，用于防止恶意软件发送到用户操作系统中，或者从用户操作系统传播。
用户操作系统(10)包括至少一个用户操作系统处理器(12)、连接到外部网络(16)的第一I/O端口(14)、和用于与置于母板(21)上的至少一个芯片(20)通信的第二I/O端口(18)。可用在本发明中的母板是可以从加利福尼亚的英特尔公司获得的PentiumTM母板。芯片(20)可以是用户可控制芯片。用户操作系统处理器(12)可以位于母板(21)上，如图所示。
处理器可以是若干种处理器中的任何一种，包括而不局限于视频处理器、音频处理器、飞行模拟器、游戏处理器、其它处理器及其组合。可用在本发明中的处理器的一种实例是来自加利福尼亚的ATI的视频处理器，来自加利福尼亚的Creative Labs的音频处理器。
置于母板上的可以是非移动保护芯片(22)。该保护芯片可用于过滤通过第一I/O端口(14)至或来自用户操作系统和外部网络的通信。
外部网络可以是置于另一计算机上的另一用户操作系统。换句话说，外部网络可以是因特网、家用局域网、商业局域网、公司区域网及其组合。它可以是按需的安全连接。
用户操作系统可被置于个人计算机上，或者它可以在服务器或者其它装置上。其它装置的实例是个人数字助理(PDA)。
第二保护芯片(23)可以可选地附连到带有用户操作系统的装置，其并非是完全的计算机。该装置可以是硬盘、闪存驱动器、可拆卸存储器驱动器或者其组合。该第二保护芯片可以防止未被授权方访问该装置。
保护芯片可以被配置成阻塞已知的指定端口传输恶意软件。总是可以被阻塞的指定端口的实例是那些保护用户的个人计算机防止Microsoft网络基本输入输出系统文件共享和网络时间协议(NTP)服务器攻击的实例。另外的通信端口，诸如传输控制协议(TCP)和用户数据报协议(UDP)端口可以利用保护芯片被阻塞。
以下列表给出那些可以利用保护芯片来阻塞的示意性端口。