用于安全环境中的端点硬件辅助的网络防火墙的系统和方法
【技术领域】
[0001]本公开概括而言涉及网络安全领域,并且更具体地涉及使用防篡改环境来管理业务流。
【背景技术】
[0002]在当今社会中网络安全领域已经变得日益重要。互联网使得在世界范围内能够实现不同计算机网络的互连。然而,互联网也为恶意操作者提供了许多机会以利用这些网络。在一些实例中,一旦恶意软件(本文还称为‘malware’ )已经感染了主计算机,则恶意操作者可以从远程计算机发布命令来控制恶意软件。在其他情况下,软件可以固有地被配置为执行一些动作,而不必响应于操作者的命令。恶意软件能够被配置为执行任意数量的恶意动作,诸如从主计算机发出垃圾电子邮件或恶意电子邮件,从与主计算机相关联的企业或个人盗窃敏感信息,传播到其他主计算机,和/或辅助分布式的拒绝服务攻击。在其他情况下,恶意软件能够配置为以存储盘的某些区域为目标,以便获得对主计算机及其资源的未经授权的控制。因此,有效地保护和维持稳定的计算机和系统的能力继续对部件制造商、系统设计者和网络操作者提出了巨大的挑战。
【附图说明】
[0003]为了提供对本公开及其特征和优点的更全面的理解,结合附图参考了下面的说明,其中相似的附图标记表示相似的元件,其中:
[0004]图1是根据实施例的网络体系结构的简化示出;
[0005]图2是根据示例性实施例的客户端和服务器的简化图;
[0006]图3是根据一个实施例的用于实现用于管理诸如利用加密、用户身份验证和密码保护方案来保护设备的动作的安全分区的简化虚拟机环境;
[0007]图4是示出了可以与用于在网络环境中发送业务流的安全引擎相关联的示例流程的简化流程图;
[0008]图5是示出了根据实施例的可以与用于俘获应用信息的俘获模块相关联的示例流程的简化流程图;
[0009]图6是示出了根据实施例的可以与用于获取应用信息的安全引擎相关联的示例流程的流程图;以及
[0010]图7是示出了根据实施例的以点对点配置进行布置的计算系统的框图。
【具体实施方式】
[0011]SM
[0012]在一个示例实施例中提供了一种方法,并且该方法包括:在防篡改环境中从应用接收业务流,其中防篡改环境与主机操作系统分离。该方法还包括:将安全标记应用于业务流,以及将业务流发送到服务器。
[0013]在具体实施例中,安全模块可以将与应用有关的信息添加到业务流。俘获模块可以监控主机存储器的存储器状况,识别该状况,以及响应于识别出状况而发起针对应用的虚拟环境;以及检查业务流的完整性。
[0014]示例实施例
[0015]图1示出了根据一个实施例的网络体系结构100。如所示出的,在网络体系结构100的上下文中,提供了多个网络102。网络102的每一个可以呈现为包括但不限于局域网(LAN)、无线网络、诸如互联网的广域网(WAN)、对等网络等任意形式。
[0016]与网络102耦合的是服务器104,服务器104能够经由网络102进行通信。还与服务器104和网络102耦合的是多个客户端106。这样的服务器104和/或客户端106的每一个可以包括台式计算机、膝上型计算机、手持式计算机、移动电话、平板电脑、个人数字助理(PDA)、外围设备(例如,打印机等)、计算机的任意部件、和/或能够利于进行如本文所述的端点硬件辅助的网络防火墙活动的任意类型的逻辑(或代码)。为了利于网络102当中的通信,至少一个网关108任选地耦合在它们之间。
[0017]图1的元件可以通过采用任意适合的连接(有线的或无线的)的一个或多个接口彼此耦合,所述元件为诸如业务流(网络流、网络业务、分组数据等)的电子通信提供了可使用的通路。另外,图1的这些元件中的任意一个或多个可以基于特定的配置需要而组合到体系结构中或者从体系结构中去除。
[0018]一般地,网络体系结构100可以通过包括有线通信和/或无线通信的任何适当类型或拓扑结构的网络(例如,内联网、外联网、LAN、WAN、WLAN、MAN、VLAN, VPN、蜂窝网络等)或其适当的组合来实现。在网络体系结构100中,可以根据任何适合的通信消息传输协议来发送和接收包含分组数据、帧、信号、数据等的业务流。适合的通信消息传输协议可以包括多层方案,诸如开放式系统互连(OSI)模型或其任意衍生物或变型(例如,传输控制协议/互联网协议(TCP/IP)、用户数据报协议/IP(UDP/IP))。此外,还可以在网络体系结构100中提供通过蜂窝网络的无线信号通信。可以提供适当的接口和基础结构以使蜂窝网络与分组数据网络之间的通信能够实现。
[0019]分组数据是能够在分组数据交换网络上的起始地址和目的地之间进行路由的数据单位。分组数据包括源网络地址和目的地网络地址。在TCP/IP消息传输协议中,这些网络地址可以是互联网协议(IP)地址。如本文所使用的术语‘数据’是指任意类型的二进制、数值、语音、视频、文本或脚本数据、或者任意类型的源代码或目标代码,或者以可以从电子设备和/或网络中的一点到另一点通信的任何适当格式的任何其他适当的信息。此外,消息、请求、响应和询问是网络业务的形式,并且因此,可以包括分组数据、帧、信号、数据等。
[0020]本公开的一个或多个实施例识别并考虑防火墙能力,所述防火墙能力能够理解发起业务流的应用和用户是现有能力。但是,如果主机设备的操作系统(OS)受到损害,则存在固有的脆弱性。在该场景中,可能伪造与业务流相关联的带外元数据,或者将恶意代码注入合法应用,以便利用该应用通过防火墙策略并且漏出数据或者发出基于网络的攻击。
[0021]本公开的一个或多个实施例描述了一系列的技术,其通过确保应用(及其相关联的通信流)将应用的散列或图像连同过程所有者信息以及其他元数据一起从硬件直接断言到防火墙,使客户端(也称为主机或端点)的底层硬件能够将完整性断言到通信中。另夕卜,通过防止修改,设备标识符能够通过防篡改环境来进行断言,以便确保通信源自于已知实体并且确保来自另一设备的假冒是不可能的。具有防篡改环境(或诸如VMM的监督软件)提供了完整性检查,并且网络数据的带外通信确保仅通过某些用户在特定设备上执行的经许可应用可以被防火墙准许。应用和设备可以由安全策略来进行限定。
[0022]转到图2,图2是根据示例性实施例的客户端200和服务器201的简化图。客户端200可以是任意类型的具有至少一个处理器202和至少一个存储器203的计算设备。在实施例中,客户端200包括台式计算机、膝上型计算机、或手持式和/或移动计算设备,诸如蜂窝电话、智能电话、平板式计算机、个人设备助理(PDA)、上网本,等等。客户端200还可以包括虚拟环境206和具有安全引擎210的芯片组208。
[0023]本公开的实施例可以使用安全引擎(SE)210来提供安全执行和存储环境,例如用于制止受限制软件的非授权使用的防篡改环境212。在实施例中,安全引擎210可以实现为芯片组208内的可管理性引擎(ME)硬件部件(未示出)内的功能。安全引擎210可以是运行独立固件栈的嵌入式微控制器。在其他实施例中,安全引擎210可以实现为芯片组208内的除了 ME之外的电路。安全引擎210可以包括在防篡改环境212中的微控制器上运行的固件并且提供受保护以防用户级程序、操作系统或在客户端200内的处理器上运行的基本输入/输出系统(B1S)窜改的安全存储区域。在实施例中,安全存储可以存储用来在安全标记数据库218中生成加密密钥的安全标记219。安全标记数据库218可以包括任意类型的存储器。
[0024]业务流207可以通过安全引擎210移动,以实现将与应用215有关的元数据应用并添加到业务流207以产生业务流222的目的。元数据可以是与应用215有关的信息,诸如应用215的散列/图像以及过程所有者信息。取决于特定的实现,与应用相关联的其他信息也可以包括在元数据中。通过使防篡改环境212断言业务流222与何种应用相关联,允许基础结构(例如,服务器中的防火墙)来确定允许、记录或阻挡业务流222是否适当。安全引擎210可以利用网络控制器220来在带外通信中提供该信息。通过使安全引擎210施加安全标记219,服务器201上的防火墙可以准许业务流222,因为业务流222的完整性已由安全引擎210来确保。
[0025]另外,在实施例中,在业务流207被传送到安全引擎210之前,俘获模块216可以确保业务流207的完整性。虚拟化环境206可以包括防篡改环境213。在防篡改环境213内运行的是俘获模块216。俘获模块216可以被配置为监控存储器203的存储器状况。例如,如果某存储器位置被访问,则俘获模块216可以从处理器202请求对存储器203进行控制。俘获模块216可以被配置为通过访问存储器203来获得关于应用215的信息,并且将该信息发送到安全引擎210。
[0026]在另一实施例中,安全引擎210可以直接扫描存储器203并且获得关于应用215的信息。防篡改环境212可能需要理解并行主机OS 204中的虚拟存储器和分页复杂性。
[0027]在操作性术语中,并且特别是在一个实施例中,俘获模块216可以选择仅在小(但是随机)百分比的时间内执行完整