专利名称:用于向计算机用户报警数字安全入侵的系统与方法
技术领域:
本发明涉及一种系统与方法,用于监视并就主服务器对远程客户机用户的计算机的数字入侵向其报警。特别是,本发明涉及一种系统与方法,用于由远程客户机监视主服务器与关于远程客户机的信息相关的行为,并且,在一个与主服务器的网络连接期间,如到因特网的连接期间,当发生一个数字入侵或安全缺口时,向远程客户机报警,最好是以图形警报来报警。
背景技术:
因特网,经由万维网(World Wide Web,WWW),是一个图形化和交互式的计算机环境,以便在远程各方之间实施通常被称为e-commerce的电子商务。典型地,一个远程客户机用户通过WWW浏览器交互位于一台主服务器上的信息。浏览器使远程客户机用户能够以图形方式与服务器进行交互。由于很多远程客户机都能够访问一个给定的主服务器,所以希望通过其各自的浏览器能够实现与每个远程客户机个性化的交互。因此,在WWW计算机环境中运行的自含式(self contained)数字跟踪组件(如通常所说的“cookie”)可以与在每个远程客户机上所使用的每个WWW浏览器程序相关联。
浏览器cookie是一种通用的方法,由主服务器WWW站点使用,在一个浏览器使用会话期间,来收集关于远程客户机请求者(远程客户机浏览器用户)的信息。一个与远程客户机的浏览器cookie关联可以或者通过使主服务器站点在访问主服务器期间向客户机浏览器发送一个cookie而建立,或者使一个事先生成并驻留在客户机浏览器上的cookie被主服务器站点检索出来而建立。Cookie自身通常是被储存在一个小型二进制文件中,该文件保留着针对生成它们(cookie)的服务器主站点的信息。
典型地,cookie包括与客户机用户相关的个人信息,如用户名、地址和其他标识标记。为电子商务的目的,cookie使得填写购买表单更容易,因为它只需要从一个特定客户机收集一次信息即可。这样,在返回访问时,主服务器站点可以检索与特定客户机相关联的cookie,并自动用客户机事前已被收集到的信息来填写表单。Cookie还可以包含在主服务器站点上被特定客户机访问过的链接。Cookie通常是针对一个特定主服务器的站点的,并驻留在客户计算机上一个存储器单元中,如一个缓存目录中,以易于快速访问。
然而,由客户机和服务器使用cookie会给客户机带来一个安全漏洞。例如,关于一个特定客户机的个人和隐私的信息,该客户机访问过哪里、该客户机在服务器站点做过什么事,由于主机生成的cookie而存在一个隐私缺口。即,不道德的主服务器站点,并不一定是生成cookie的那个主服务器站点,在客户机不知不觉地访问它时,会访问并读取一个特定客户机的所有cookie。这是一个问题,因为cookie会包含客户机的私人信息,而不道德的主服务器会出卖这个信息或使用它来侵犯客户的隐私。
虽然存在着若干与WWW浏览器集成在一起的安全功能,但它们不是有效的,而且不可能识别出不道德的服务器站点。例如,有一个集成的安全功能是一个“开/关”开关,用来或者允许或者禁止所有的cookie功能,从而使主服务器不能发起或检索cookie。这是麻烦并且无效的,因为许多诚实的和法律容许的站点需要cookie。如果开关被禁止,则客户机将不能访问许多合法的服务器站点。因此,所需要的是一种系统和方法,它将向客户机提供恰当的信息来允许客户机做出是否允许某些站点来检索该客户机cookie的基于可靠消息的决定。还需要一种系统与方法,它使用一个图形警报设备,用于检测服务器站点的可疑的cookie检索,而不会过度地干扰WWW浏览过程。
发明内容
为了克服上述先有技术中的局限及克服将随着阅读并理解本说明书而变得明显的其他局限,本发明在一个系统与方法中实施,用于监视并就主服务器对其计算机的数字入侵向客户机用户报警。
一般来说,本发明监视主服务器与远程客户机信息相关的行为,并在与主服务器的网络连接,如到因特网的连接期间,发生一个数字入侵或安全缺口时,向用户显示图形警报。应当注意到,虽然警报最好是一个图形警报,但它也可以是任何合适的警报,如一个可听见的警报或一个可听/可视警报的组合。
特别地,本发明监视远程客户机用户与主服务器交互行为的某些方面。根据某些交互行为,如主服务器检索与当前主机会话无关的信息的企图,可以向远程客户机用户提供一个图形警报。这允许远程客户机用户做出一个是否允许某些主服务器站点检索客户机用户个人信息的基于可靠消息的决定。
典型地,关于远程客户机用户的个人信息位于驻留在远程客户机上的一个自含式数字跟踪组件或信息包中。数字跟踪组件可以是一个由一个二进制文件定义的WWW浏览器cookie,或者是驻留在一个存储器单元如一个远程客户机的存储器缓存中的类似组件。这样,在远程客户机用户进行WWW浏览期间,本发明的系统和方法检测并监视主服务器进行的cookie检索,然后就服务器站点所做的任何可疑cookie检索以图形方式向远程客户机用户报警,而不会过度干扰WWW浏览过程。
用户可以规定构成一个可疑检索的定义。一个典型的例子可以是一个企图检索由第二主站点生成并使用的cookie的第一主站点。或者,另一个主站点可疑行为的例子是在一个合理的时间周期内没有WWW活动被客户机请求时,主站点所做的任何cookie检索或植入(implantation)。例如,一个主站点可能会在访问该站点或者仅仅是观看该站点时窥探或在后台植入病毒而不被远程客户机用户知晓。本发明监视并就上面的活动向客户机用户报警,从而防止主服务器站点带来的安全缺口。
下面结合附图及所附权利要求对该发明的详细叙述的研究将使本发明以及其更全面的理解变得清楚明晰。
现在参照附图,其中相同的参考号始终代表相应的部分图1描述了一个与本发明一起使用的常规硬件配置。
图2是一个方块图,显示了一个实施本发明的网络系统的所选组件进一步的细节;图3是一个示例用户界面,描绘了在一个计算机环境中操作的本发明的一个工作示例;以及图4是一个流程图,描绘了本发明的操作。
具体实施例方式
在下面对该发明的叙述中,对附图进行参考,附图构成了本说明书的一部分,并且其中以描绘的方式显示了实现本发明的一个特定实例。应当理解,可以应用其他的实施方案且可以进行结构变化而不背离本发明的范围。
I.介绍优选实施方案可以在任何适当的硬件配置中实现,该硬件配置使用一个网络连接,例如图1中所描绘的计算系统100,或者,替换地,在一个膝上型或笔记本电脑计算系统中实现。计算系统100包括任何合适的中央处理单元110,如一个标准微处理器,以及任何数目的通过系统总线112相互连接的其他对象。为了图解的目的,计算系统100包括存储器,如只读存储器(ROM)116、随机存取存储器(RAM)114和通过I/O适配器118与系统总线相连的外围存储设备(如(磁)盘或(磁)带驱动器120)。计算系统100还包括一个用于将系统总线112与常规显示设备138相连的显示适配器136。用户接口适配器122还可以将系统总线112与其他用户控制端相连,如键盘124、音箱128、鼠标126,以及一个触摸板(未显示)。
熟悉技术的人员很容易认识到常规的计算机和计算机程序是如何操作的,常规的输入设备驱动程序是如何与一个操作系统通信的,以及一个用户如何常规地应用输入设备来发起对一个图形用户界面中的对象的操作。
优选实施方案的一个图形用户界面(GUI)和操作系统(OS)驻留在一个计算机可读介质中并包含一个或多个设备驱动程序,它们允许用户发起对在一个显示设备上所显示的对象图标和文本的操作。任何合适的计算机可读介质都可以保存GUI和操作系统,如ROM116,(磁)盘和/或(磁)带驱动器120(如磁盘、磁带、CD-ROM、光盘或其他合适的存储介质)。
在优选实施方案中,COSETM(通用操作系统环境)桌面GUI提供用户到AIXTM操作系统的接口。GUI可以看作是被合并和嵌入到操作系统中的。或者,替换地,任何合适的操作系统或桌面环境都可以被应用。其他GUI和/或操作系统的例子包括X11TM(XWindows)图形用户界面,Sun的SolarisTM操作系统和Microsoft的Windows 95TM操作系统。GUI和操作系统只是向CPU110发出指令并指挥CPU110,为了解释简单,GUI和操作系统将被描述为实现下面的特性和功能。
II.组件的概览图2是一个方块图,显示了一个实施本发明的网络系统的所选组件的进一步细节。图1中描绘了一个实施了本发明的代表性的系统。一个客户机210通过一个通信信道214连接到一个Web(万维网)服务器平台212。为了描述的目的,信道214是因特网、一个内联网(intranet)或其他已知的网络连接。Web服务器平台212是多个服务器之一,这些服务器可以由客户机来访问,这里用机器210描绘了这样一个客户机。一台代表性的客户机包括一个操作系统211、一个图形用户界面213和一个浏览器216。浏览器是一个已知软件工具,用来访问如因特网这样的网络的服务器。代表性的浏览器除其他之外,还包括Netscape Navigator、Microsoft Internet Explorer或类似软件,它们每个都是现有的或可下载的软件程序。
Web服务器平台(某些时候称为一个“Web”站点)支持超文本文件和对象形式的文件。虽然任何合适的平台都能被使用,但一个代表性的Web服务器平台212包括一台运行AIX(高级交互执行程序)操作系统220和Web服务器程序222的IBM RISC(精简指令集计算机)系统/6000计算机218,Web服务器程序222可以是例如Netscape Enterprise Server Version 2.0(Netscape企业服务器2.0版)这样的程序,它支持接口扩展。平台212还包括一个用于管理(management and administration)的图形用户界面(GUI)224。在IBM公司的许多出版物中对基于RISC计算机的多种模型进行了描述,例如,RISC System 6000,7013和7016POWERstation与POWERserver硬件技术参考,序号No.SA23-2644-00。
在由IBM公司出版的AIX操作系统技术参考的第一版(1985年11月)和其他出版物中,叙述了AIX操作系统。虽然上面的平台是有用的,但任何其他合适的硬件/操作系统/Web服务器组合也都可以使用。
当一个远程客户机用户210希望连接到一个特定的主服务器212,如一个WWW服务器时,用户通常通过指定想要的主服务器的名字来请求访问。在许多情况下,自含式数字跟踪组件230(此后称为“浏览器cookie”)将一个用户与关于客户机210的信息通过WWW浏览器关联起来。一个与远程客户机210的浏览器cookie关联可以通过以下方式而建立或者使主服务器站点在对主服务器的访问期间向客户机浏览器发送cookie230,或者使一个事先已生成并驻留在客户机浏览器216中的cookie被主服务器站点检索出来。Cookie230、232自身通常被储存在一个小型二进制文件中,它们保留针对生成它们的服务器主站点的信息并且还可以包含关于客户机用户的个人信息。Cookie通常驻留在远程客户机上并被储存在远程客户机的计算机可读存储器中,如一个cookie缓存中,来允许在与主服务器交互期间对cookie的快速与简易的访问。
Cookie230、232能够根据客户机210或在一个给定的计算机环境中的程序的使用而变化。例如,在一个网络环境中,cookie230可以是一个动态消息,它由一台服务器212生成并根据与客户机210相关联的信息发给客户机210。客户机210储存该消息,例如,储存在一个二进制或文本cookie文件232中。然后,Cookie232可以在客户机210的计算机每一次向服务器212请求一个页面时,被送回到服务器212。
Cookie的主要目的是识别客户机并有可能为客户机准备定制的因特网或万维网(WWW)页面。例如,当一个特定客户机输入一个WWW站点并使用cookie时,可以要求客户机填写一个提供客户机信息的表单,如姓名、爱好、私人帐号数据、客户机标记等。该信息可能被打包到一个cookie中去并被发送给客户的计算机。Cookie可以由任何合适的计算机程序来访问,如一个WWW浏览器,它储存cookie以便以后使用。每次客户机输入相同的发送cookie的WWW站点时,客户机的WWW浏览器将会把该cookie发送给那个服务器。然后,该服务器能够使用这个信息来向客户机提供定制的WWW页面。这样,例如,客户可以看到一个带有客户姓名和其他客户相关信息,如私人帐号信息的欢迎页面。
但是,由客户机和服务器使用cookie会给客户机带来一个安全漏洞。例如,关于一个特定客户的个人和隐私信息,客户机访问过什么地方以及客户机在服务器站点做过什么事情,由于主机生成的cookie而存在一个隐私缺口。即,不道德的主服务器站点,并不一定是生成cookie的那个主服务器站点,在一个特定客户机不知不觉地访问它时,会访问并读取该客户机的所有cookie。因为cookie会包含关于特定客户机的私人信息,而不道德的主服务器会出卖这个信息或使用它来侵犯客户的隐私,这是一个本发明要解决的问题。
III.操作细节图3是一个用户界面的例子,描绘了在一个计算机环境中操作的本发明的一个工作实例。下面的讨论叙述了本发明的一个工作实例,作为在一个计算机环境中操作的软件实施方案。GUI213能够为浏览器216提供一个查看和交互区域。浏览器可以是一个WWW浏览器并且具有浏.览功能按钮310和一个浏览查看区域315要,以便允许一个远程客户机用户通过因特网的万维网(WorldWide Web of the Internet)来访问主服务器并与主服务器进行交互。
WWW浏览器还可以具有一个监视与报警功能320,它监视主服务器与关于远程客户机的信息有关的行为并就主服务器的行为向远程客户机报警。例如,当一个带有一个特定域名和URL(统一资源定位地址)的主服务器企图获取一个不是由该特定域名或URL发起的cookie时,就会发生一个数字入侵。报警功能可以在与主服务器的网络连接如到因特网的连接期间发生数字入侵或安全缺口时,向远程客户机发出通知。该通知可以是任何合适的通知,如一个可视警报,包括一个对用户界面的改变;一个可听见的警报或消息或一个可听/可视警报的组合。
监视和报警功能320最好是一个位于WWW浏览器216底部或侧面的图形显示,它以符号格式显示驻留在远程客户机存储器单元如cookie缓存中的各个cookie。在操作中,当远程客户机访问或附加(attach)在一个WWW主服务器站点上时,监视和报警功能320可以被激活。在主服务器与远程客户机的数据通信期间,监视和报警功能320能够监视在远程客户机和主服务器之间的cookie活动。监视和报警功能320可以监视在远程客户机的cookie缓存中的cookie符号,并且,如果一个cookie被主服务器请求的话,就判断哪些cookie具有与请求cookie的主服务器站点相同的域名。如果域名相同,可以用一个安全符号或显示向远程客户机用户提示。例如,监视和报警功能320可以有一部分显示变为一种纯色(solid)的安全颜色,如蓝色。
然而,当远程客户机用户与一个主服务器站点连接,并且,有来自其他域名的传送cookie的请求时,监视和报警功能320可以使符号缓存图像开始变成闪烁的红色。这个“红色警报”显示可以通知远程客户机,一个特定的主服务器正在试图从远程客户机的浏览器缓存中获取与该主服务器无关的cookie。监视和报警功能320随后向远程客户机用户提供几个立即选项。一个选项包括停止在远程客户机和企图获取与其无关或不是由该主服务器生成的cookie的主服务器之间的数据传输。另一个选项是向客户机用户提供一个选项来允许主服务器检索那个特定cookie。监视与报警功能320还可以可选地立即退出浏览器程序来防止cookie窃取。进而,即使企图获取一个特定cookie的主服务器是与该cookie相关联的或是生成该cookie的,客户机用户也具有不允许主服务器取得该特定cookie的选择。
作为结果,本发明以一种更为有效的方式来容许常规的事务处理(发生cookie交换)而不必为每个cookie传输请求许可。进而,本发明以一种快速的可视方式来监视并检测cookie访问,并且在某些主服务器站点没有理由来请求这样的信息时,阻止该主服务器站点可能企图进行的对cookie非正规的或非法的请求。虽然插件软件可以允许远程客户机消除或清空所有cookie或者甚至伪装一个远程客户机的标识,但这些插件并不象本发明一样有效,因为它们通常防止或阻碍了正常和顺利的网络事务处理的发生。与此对比,本发明可能利用一个图形显示设备来监视、检测并阻止服务器站点所做的可疑的cookie检索,而不会过度干扰和阻碍WWW浏览过程。
图4是描绘本发明操作的流程图。在一个优选实施方案中,首先,一个远程客户机与一个主服务器连接并在二者之间生成一个数据通信链路(步骤400)。第二,远程客户机监视主服务器访问驻留在远程客户机上的数据的请求(步骤410)。第三,判断主服务器的域名是否和与服务器请求的数据相关联的域名匹配(步骤412)。如果数据不匹配,则就数据失配和主服务器要访问与该特定服务器无关的数据的请求向远程客户机报警(步骤416)。如果远程客户机不想允许对数据的访问,则阻止主服务器访问该数据(步骤418)。如果远程客户机希望允许对数据的访问或者数据在步骤412是匹配的,则允许主服务器访问数据并且继续保持远程客户机与主服务器之间的通信链路(步骤420)。
前述对本发明的叙述是为描述和叙述的目的而提供的。它并不是详尽的或者并不能将本发明限制为所公开的精确形式。根据上述讲解可能有许多修改和变化。本发明的范围并不应局限于这个详细的叙述,而是以所附的权利要求为准。
权利要求
1.一种具有用于执行一个过程的计算机可执行指令的计算机可读介质,该过程包括在远程客户机与主服务器(host server)之间的数字通信期间监视一个主服务器对驻留在一个远程客户机上的数字跟踪组件的访问;以及当主服务器请求一个或多个包含与该主服务器无关的信息的数字跟踪组件时,向远程客户机提供一个警报。
2.权利要求1的用于执行一个过程的计算机可读介质,其中信息是关于与其他主服务器相关联的远程客户机的信息。
3.权利要求1的用于执行一个过程的计算机可读介质,其中与发出请求的主服务器无关的信息包括机密信息。
4.权利要求1的用于执行一个过程的计算机可读介质,其中警报是一个可视警报。
5.权利要求1的用于执行一个过程的计算机可读介质,其中警报是一个可听见的警报。
6.权利要求1的用于执行一个过程的计算机可读介质,其中远程客户机与主服务器通过一个网络连接进行通信。
7.权利要求6的用于执行一个过程的计算机可读介质,其中网络连接是一个万维网因特网(World Wide Web Internet)连接。
8.权利要求7的用于执行一个过程的计算机可读介质,其中该方法在一个万维网(World Wide Web)浏览器中运行。
9.权利要求8的用于执行一个过程的计算机可读介质,其中数字跟踪组件是一个被万维网浏览器使用的cookie。
10.权利要求1的用于执行一个过程的计算机可读介质,还包括以符号格式显示被远程客户机驻留在一个存储器单元中的数字跟踪组件。
11.在一个具有一个远程客户机和一个主服务器之间的连接的计算机系统中,一种保护远程客户机不受数字入侵的方法,该方法包括监视主服务器对远程客户机的数字跟踪组件的访问;以及当发出一个特定主服务器对一个特定数字跟踪组件的请求时,如果该特定主服务器与所请求的数字跟踪组件无关,则向远程客户机提供一个警报。
12.权利要求11的方法,其中远程客户机包括一个含有一个显示设备和一个用户界面选择设备的图形用户界面用于提供警报。
13.权利要求11的方法,其中警报是作为可听见的警报提供的。
14.权利要求12的方法,其中警报是通过由远程客户机的用户界面来显示警报而提供给远程客户机,以指出一个特定主服务器对一个特定数字跟踪组件的请求以及该特定主服务器是否与所请求的数字跟踪组件相关联。
15.权利要求14的方法,其中在远程客户机与主服务器之间的连接是一个万维网因特网连接。
16.一个计算机安全系统,用于防止主服务器获取不相符的驻留在一个远程客户机上的自含式信息包,该系统包括一个监视模块,在远程客户机与主服务器的数字通信期间监视主服务器对驻留在一个远程客户机上的自含式信息包的请求;以及一个通知模块,当一个特定主服务器请求一个或多个包含与该特定主服务器无关的信息的自含式信息包时,向远程客户机提供通知。
17.权利要求16的计算机安全系统,其中通知是一个可视警报。
18.权利要求16的计算机安全系统,其中警报是一个可听见的警报。
19.权利要求16的计算机安全系统,其中监视和通知模块在一个万维网浏览器内运行,并且,自含式信息包是cookie。
20.权利要求19的计算机安全系统,其中通知模块以符号格式显示被远程客户机驻留在一个存储器单元中的cookie。
21.一种在一个第一和一个第二计算机之间处理(transact)数据的方法,包括监视第二计算机对来自第一计算机的数据的请求;判断第二计算机是否应该拥有对所请求数据的访问;以及如果判断第二计算机不应该拥有对数据的访问,则阻止第二计算机访问该数据。
22.权利要求21的方法,其中数据的处理在因特网上发生。
23.权利要求22的方法,其中数据是一个数字跟踪组件。
24.权利要求23的方法,其中数据处理发生在一个万维网浏览器环境之内,并且数字跟踪组件是一个cookie。
25.一种具有计算机可执行指令的计算机可读介质,该指令用于执行一个在一个第一和一个第二计算机之间处理数据的过程,该过程包括监视第二计算机对来自第一计算机的数据的请求;判断第二计算机是否应该拥有对所请求数据的访问;以及如果判断第二计算机不应该拥有对该数据的访问,则阻止第二计算机访问该数据。
26.权利要求25的用于执行一个过程的计算机可读介质,其中数据处理发生在因特网上。
27.权利要求26的用于执行一个过程的计算机可读介质,其中数据是一个数字跟踪组件。
28.权利要求27的用于执行一个过程的计算机可读介质,其中数据处理发生在一个万维网浏览器环境之内,并且,数字跟踪组件是一个cookie。
29.一个用于在一个第一和一个第二计算机之间阻止不相符的数据处理的计算机安全系统,该系统包括一个监视模块,监视第二计算机对来自第一计算机的数据的请求;一个访问模块,判断第二计算机是否应该拥有对所请求数据的访问;以及一个阻止模块,如果判断第二计算机不应该拥有对数据的访问,该模块阻止第二计算机访问该数据。
30.权利要求29的计算机安全系统,其中数据处理发生在因特网上。
31.权利要求30的计算机安全系统,其中数据是一个数字跟踪组件。
32.权利要求31的计算机安全系统,其中数据处理发生在一个万维网浏览器环境之内,并且,该数字跟踪组件是一个cookie。
全文摘要
用于向计算机用户报警数字安全入侵的系统与方法本发明嵌入在一个系统与方法中用于监视并就主服务器对远程客户机用户的计算机的数据入侵向其报警。一般来说,本发明监视主服务器与关于远程客户机的信息相关的行为,并在一个与主服务器的网络连接如到因特网的连接期间发生一个数字入侵或安全缺口时,显示图形警报。特别是,本发明监视远程客户机用户与主服务器的交互行为的某些方面。根据某些交互行为,如主服务器对无关的远程客户机信息的一个检索企图,能够向远程客户机用户提供一个图形警报。这允许远程客户机用户做出一个是否允许某些主服务器站点来检索该客户机用户个人信息的被告知的决定。
文档编号H04L12/24GK1341890SQ01122868
公开日2002年3月27日 申请日期2001年7月12日 优先权日2000年7月13日
发明者斯科特·A·卡洛尔, 威廉·A·菲夫什, 杰拉尔德·F·迈克布莱尔蒂, 肖恩·P·姆林, 约翰尼·M·谢夫 申请人:国际商业机器公司