[发明专利]用于保护客户端及服务器的方法

说明书

技术领域

本发明涉及一种用于保护客户端/服务器模式的服务提供系统免受外部黑客攻击的方法，其构建并运行于网络环境中，包括内联网或外联网环境。具体地说，在客户端系统中创建一独立于现有操作系统环境的保护区，并且客户端应用程序都只在该保护区内运行。服务器应用程序仅信任那些由运行于保护区的客户端应用程序创建的网络数据包。因此，服务器系统和/或客户端系统可以免受外部黑客的攻击。 

背景技术

一般来说，执行于网络环境的服务提供系统包括配置客户端的服务使用者(以下称为用户)及配置服务器的服务提供者(以下称为提供者)。提供者在服务器中安装服务器应用程序；用户则在其系统中安装由提供者分发的客户端应用程序，以使用提供者的服务。服务器应用程序与客户端应用程序进行交互以提供服务。然而，在许多情况下，用户并不能信任提供者，反过来，提供者也不能信任用户。这种信任的缺乏阻碍了基于信息科技(IT)的服务业的发展，而且有时还作为犯罪手段被滥用。 

由于提供者分发的应用程序可能是一种恶意程序，例如间谍软件、广告软件或是一些可能感染电脑病毒的配置文件，所以用户不能信任提供者。在这种情况下，如果安装了恶意程序或感染病毒的文件，用户系统也会被恶意程序或病毒感染。 

反过来说，由于用户系统在安全性方面通常是脆弱的，所以提供者不能够信任用户。提供者系统会由于用户系统的漏洞而变得脆弱。有时，用户可以通过逆向工程技术分析由提供者分发的应用程序并攻 击重要逻辑。在诸如网上银行或类似的金融交易服务中，内部逻辑应该得到保护免受黑客攻击，并且一个通过外联网向合作企业提供商业服务的企业应该保护自身服务系统不会由于合作企业系统的安全漏洞而变得不稳定。 

已提出多种用于在此类客户端及服务器之间建立相互可靠性的方法。在通过网络环境提供的常规服务中，客户端防止黑客攻击的安全防护设备包括防病毒产品、补丁管理系统等等，而服务器或网络侧的安全防护设备则包括网络防火墙、WEB(应用)防护墙、漏洞扫描工具、源代码分析工具等等。以下将对各种技术的细节及局限性加以说明。 

防病毒产品利用列举有知名恶意代码的签名清单来诊断每个文件，并确定该文件是否感染了恶意代码。然而，由于恶意代码是直到其为众所周知并被向呼叫中心报告后才包含在该签名清单中，因此其在诊断恶意代码上存在局限性。 

补丁管理系统将最新的安全补丁应用于操作系统或应用程序，从而将个人计算机(PC)保持在一个安全的状态。然而，一个没有对应补丁发布的漏洞则不能得到保护。 

网络防火墙拦截外部黑客利用存在于网络层及传输层的漏洞所进行的攻击，网络层即OSI(Open Systems Interconnection，开放系统互联)7层中的层3，传输层即OSI7层中的层4。 

图1概念性地显示了网络防火墙150的功能，图中用户以网络防火墙为基础使用IP(Inernet Protocol，互联网协议)地址及端口号建立了一个访问控制规则151，并拦截了来自未经授权攻击者的网络数据包。 

例如，如果一个经授权使用FTP(File Transfer Protocol，文件传输协议)服务的用户100尝试连接到FTP服务160，网络防火墙150会允许相应的连接；而如果一个未经授权使用FTP服务的人110尝 试连接到FTP服务160，网络防火墙150会拦截相应的连接。然而，由于在启用防火墙时，基于IP地址及端口号允许或拒绝连接，因此，如果黑客攻击进入一个授权用户的机器并使用授权用户的机器进行攻击，或者授权用户恶意进行攻击，则无法对此类攻击进行防护。 

另一方面，由于所有用户120都被允许访问网络服务170，网络防火墙150会允许所有指向网络服务170的数据包。然而，如果类似网络服务这样属于一个向外界开放的服务器的网络应用程序易受攻击，则任何人都可以攻击对应的漏洞，因此网络防火墙150不能防护该漏洞免受外部黑客的攻击。也就是说，网络防火墙150可以控制被允许的服务及不被允许的服务，但不能防护对被允许服务漏洞的攻击。 

为解决上述问题提出了应用防火墙。应用防火墙运行于应用层，也即OSI7层中的层7，从而可以识别各种协议，例如HTTP(hyper texttransfer protocol，超文本传输协议)、文件传输协议FTP、SMTP(simple message transfer protocol，简易消息传输协议)等等，并且能防护对存在于对应程序上的漏洞的攻击。