专利名称:基于可信实体的反欺诈机制的制作方法
基于可信实体的反欺诈机制背景计算机游戏已变成高利润的产业。计算机游戏已从简单的基于文本的游戏发展成包括复杂的动画图形、音乐和声音的多媒体浸入式(immersive)环境。为了扩充游戏的交互性和社交网络方面,在线环境已变成游戏体验的组成部分,从而允许游戏爱好者参与多玩家游戏、下载新游戏、将新特征加到他们拥有的现有游戏等。在线环境还为玩家创建了参与欺诈的新机会。欺诈是指为了获得超过其他玩家的不公平优势进行的诸如软件扩充之类的用户的任何活动。在诸如多玩家游戏之类的某些环境中,在线欺诈可变得比离线欺诈更加重要。欺诈可采用各种不同的形式。最简单的形式包括修改本地数据文件,以获取游戏内资产(例如,快得多的汽车)的不同规范或修改游戏内环境、更改游戏成就、改变其内容或下载其他玩家所保存的游戏。欺诈还可采用物理形式。Web上的若干规范用于创建和修改控制器以实现比人类动作更快的动作(诸如速射)。这些欺诈可采用简单的软件添加的形式,诸如过滤器驱动器或流行在线多玩家游戏中可用的附件(add-on)。这些添加可与例如,仰视显示、自动映射和引导工具、自动定标、 自动念咒施法(casting)、宽泛的宏能力和机器人(bot)的创建不同,这些添加可在缺乏直接用户输入时自动运行。例如,在具有墙的游戏中,用户可能找到“欺诈法”以使墙隐形或者生成自动定标。欺诈还可指用户在游戏中非法收集成就或奖励。成就可能是在玩游戏期间提供的嘉奖,并表示在玩游戏中的荣誉徽章。可离线或在线获取成就,由此欺诈可在任一模式下发生。然而,通常成就是在线报告的。用户可通过例如扩充或者修改他们系统上的可执行文件或数据文件来参与在线欺诈。欺诈不仅指简单地修改输入堆栈以实现例如速射和对赛车的更换,而且可包括多用户游戏看到的复杂附件,包括仰视显示(HUD)、自动定标、机器人等。软件欺诈代表对游戏软件开发的生存能力的重大经济威胁。当在线欺诈运行猖獗时,它遏制了用户玩游戏的兴趣,并且由此负面地影响游戏销售额以及在线订阅销售额。概述反欺诈系统可包括诸如经修改操作系统之类的经修改环境连同可信外部实体的组合,以验证经修改环境正在特定设备上运行。经修改环境可以特定方式修改,从而创建与经修改环境所替换的原始环境相比受限的环境。对经修改环境的修改可包括对原始环境的变更,以例如检测和/或防止用来允许欺诈行为或非期望用户行为的对硬件和/或软件的改变。根据一个实施例,反欺诈系统可经由创建包括反欺诈限制的经修改操作系统、以及采用可信平台模块(TPM)和相关联静态可信根测量(SRTM)来实现,该反欺诈系统用于验证经修改操作系统正在以未经篡改的形式运行。TPM的使用可与其他技术组合以有助于安全性解决方案的效率。TPM可执行测量直到预定点,其中系统的其余部分的安全性可通过另一种机制(诸如经由代码完整性和/或磁盘完整性机制)来推断。
根据各个替换实施例,对经修改操作系统正在以未经篡改的形式运行的验证可通过任何外部可信实体来实现,只要那个实体具有测量经修改操作系统的能力并且本身能够得到信任。可信实体反欺诈机制可由诸如蜂窝电话之类的安全硬件设备或者由系统管理程序环境以软件来实现。另一个替换实施例包括其中可信实体验证在不存在操作系统的系统上运行游戏的经修改执行环境、或者验证其他可信操作系统或系统管理程序内部的经修改仿真环境的系统。附图
简述图Ia描绘了根据一个实施例的反欺诈系统。图Ib是描绘根据一个实施例的反欺诈过程的操作的流程图。图2是用于执行反欺诈功能的可信平台模块和静态可信根模块的框图。图3a描绘了根据一个实施例的代码完整性操作。图北描绘了根据一个实施例的磁盘完整性机制的操作。图如描绘了根据一个实施例的代理执行过程。图4b描绘了根据一个实施例的监督(watchdog)过程的操作。图如描绘了反欺诈系统经由受限硬件设备来实现。图4d描绘了根据一个实施例的反欺诈系统经由系统管理程序的操作。图5示出了用于实现示例实施例的示例性系统,该示例实施例包括计算机形式的通用计算设备。说明性实施例的详细描述图Ia描绘了根据一个实施例的反欺诈系统。根据一个实施例,反欺诈系统101可包括诸如客户机设备110上的经修改操作系统102之类的经修改环境的设计连同可信外部实体104的操作的组合,以实际上验证经修改环境(例如,经修改操作系统102)实际上正在客户机设备110上运行。经修改环境(例如,经修改操作系统10 可以特定方式修改, 从而创建与其已替换的原始操作系统103相比受限的环境。根据一个实施例,经修改操作系统102中的修改可包括用以防止作弊的对原始操作系统103的变更,比如用以防止用户 105的作弊行为的修改。经修改操作系统102可在客户机设备110上创建隔离执行环境108。隔离执行环境108可以是一范围,其通过传递特定限制要求从要求所有软件直接由单个供应商签署、 到允许其中容许第三方软件得到证明的一更灵活的系统地来运行,由此获许在隔离执行环境中运行。根据一个实施例,TPM可以是可信根,并且隔离执行环境108可主要通过代码测量和在代码正确测量时解锁秘密来建立。隔离执行环境108可包括其中可控制和标识在客户机设备110上运行的软件的环境。在完全隔离的环境中,攻击者不能在客户机设备110上运行任何代码,并且必须采用基于更昂贵和笨重的硬件的攻击。外部实体104可用于通过执行客户机设备110上的监视功能来实际上验证隔离执行环境108被安装在客户机设备110上并且是完整的,从而验证隔离执行环境108正在操作,即安装和执行经修改操作系统102。再次参考图la,用户105可利用客户机设备110来玩诸如游戏标题112之类的游戏或者运行其他娱乐软件。用户105可在在线和离线两种模式下利用客户机设备110。在离线或在线模式下与游戏标题112交互的用户105可收集成就奖励或关于玩游戏的其他表示。成就奖励可以是,例如,所获取级别的表示、所战胜敌人的数量等。另外,用户105可设置游戏标题112的各个参数,这些参数控制游戏标题112的特征。这些特征可包括与诸如难度级别等玩游戏相关的各个功能。在在线模式期间,用户105可与其他玩家(图Ia未示出)交互以允许玩多玩家游戏。具体而言,客户机设备110可经由网络114耦合到娱乐服务器116以允许用户105在多玩家玩游戏中与其他用户(未示出)交互。在多玩家游戏会话期间,用户105可享受与影响玩游戏的游戏标题112的操作相关的各个特征。这些特征可包括游戏的操作,诸如,用户的玩家是隐形的还是具有某些耐攻击性。例如,在玩单玩家游戏期间,用户105还可在离线模式下与客户机设备110交互。 随后,用户105可使客户机设备110上线。在从离线模式到在线模式的这个转换之后,用户 105在离线玩游戏期间已收集的各个成就可被呈现给在线的其他玩家。根据一个实施例,预先存在或原始的环境(例如原始操作系统103)可在客户机设备110中被替换,客户机设备110在经修改操作系统102的替换之后现在可支持游戏标题 112的仅以受限方式的运行。经修改操作系统102可以是,例如主存娱乐或游戏软件、但限制用户105参与特定的非期望欺诈行为的操作系统。根据一个实施例,经修改操作系统102可以是创建关于运行游戏标题例如112的受限环境的操作系统。即,经修改操作系统102可以限制用户105执行某些欺诈行为的能力的方式从原始操作系统103设计而来。例如,原始操作系统103可允许没有限制地安装任何设备驱动器,只要该驱动器已通过已由若干根认证机构之一认证的密钥签署。可修改经修改操作系统102以通过要求任何设备驱动器由中央权威机构的特定密钥签署来防止某些类型的欺诈行为,并且还可禁止本地管理员更新设备驱动器。可信外部实体104可执行关于客户机110的功能以实际上验证经修改操作系统 102实际上被安装在客户机设备110上并且在其上执行。可信外部实体104在以下意义上是可信的,其操作的可信程度比可信实体104正在验证的实体(即,经修改操作系统103) 更高。即,与用户105实际上已安装经修改操作系统102的行为相比,可信实体104的操作的可信程度大得多。图Ib是描绘根据一个实施例的反欺诈过程的操作的流程图。过程在120中发起。 在124,修改原始操作系统以创建隔离执行环境,该隔离执行环境可以是阻止用户参与各种反欺诈行为的受限执行环境。在126,可信外部实体执行确定经修改操作系统实际上是否正在特定客户机设备上运行并且是否被安装在其上的验证。过程在1 结束。图2是用于执行反欺诈功能的可信平台模块和静态可信根模块的框图。具体而言,如图2所示,图Ia示出的可信外部实体的功能已被TPM 204替换。根据一个实施例,TPM 204可执行证明功能或操作。具体而言,TPM 204可经由证明模块208来执行证明功能。证明可指担保信息准确性的过程,尤其是关于经修改操作系统102在客户机设备110上的安装和执行的信息。TMP 204可证明,例如,加载到客户机设备110上的引导(boot)环境和特定引导链。证明允许对在客户机设备上运行的软件的改变,然而所有对那个软件的这些改变都被测量,从而允许发布秘密或者允许对网络功能的访问的授权决策。证明可通过使与客户机设备102相关联的硬件生成声明什么软件目前正在运行(例如,经修改操作系统102) 的证书来实现。客户机设备102随后可将该证书呈现给诸如娱乐服务器116之类的远程方以示出其软件(例如,经修改操作系统112)实际上在客户机设备110上是完整的并且还未被篡改。虽然并非必要,但是证明可与比如公钥加密的加密技术结合,以使所发送的信息只可由呈现和请求证明的程序读取、而不可由窃听器读取。这些加密技术可保护用户的隐私以及系统所使用协议的机密性。根据一个实施例,证明可被施加至反欺诈的上下文以确定用户是否正在运行特定版本的系统或操作系统。即,证明可由TPM 204上的证明模块208来执行,以验证经修改操作系统102已被安装在客户机设备110上并且正在其上执行。例如,由于经修改版本本身可能已增强了安全性和反欺诈保护,因此可能需要强迫用户105运行经修改操作系统102 而不是原始操作系统103。S卩,如参考图Ia所述,经修改操作系统102可包括由隔离执行环境108表示的受限环境。然而,用户110可尝试通过在实际用户110实际上正在运行旧版本的操作系统、即原始操作系统103时假装运行经修改操作系统102来参与欺诈行为。这可通过从新版本 (经修改操作系统102)收集某些位、同时实际上在运行旧版本(原始操作系统103)来实现,由此错误地表示用户105正在运行新版本(经修改操作系统10 。当今这些技术是常见的,由此在对经破坏的DRM系统进行修补之后,攻击者或者从经修补系统获取新的秘密数据并将这些数据放入旧的经破坏系统、从而错误地使旧的经破坏系统看起来是新的经修补系统,或者通过对新的经修补系统施加相同形式或略加修改形式的攻击来获取新的秘密数据并将这些数据放入旧的经破坏系统,从而创建新的经破坏系统。在两种情况下,攻击者没有在运行新修补的DRM系统。增加攻击者执行那些动作中任一个的困难表示大部分工作在发布补丁。开发者必须记住可容易地提取新秘密并且相同类别的攻击可容易地施加至新的经修补系统。由此,可能需要让TPM 204证明用户105正在运行经修改的操作系统102 而不是原始操作系统103或两者的组合的事实。另选地,所需组件可另选为硬件组件。在该情况下,可能需要可信组件证明用户具有特定硬件组件的事实。一个附加替换方案是硬件组件直接实施对什么软件可运行的限制,从而防止直接修改环境。又一个替换方案是硬件组件既实施对什么软件可加载的限制、又测量和提供曾加载的软件的证明。同样,系统管理程序可执行这两个动作或任一动作。TPM 204可包括安全密码处理器(图2中未示出),该安全密码处理器可存储保护信息的密钥。除了硬件伪随机数字生成器之外,TPM 204可提供安全生成密钥并限制其使用的设施。此外,如所述的,TPM 204还可提供诸如证明和密封存储之类的能力。证明可通过 TPM 204创建诸如客户机设备110的硬件和软件配置(例如,系统102和应用程序112)之类的硬件和软件配置、仅硬件配置或仅软件配置的几乎不可伪造的散列密钥概述来实现。 根据一个实施例,不可伪造的散列密钥概述可存储在平台配置注册表(“PCR”)206中。诸如娱乐服务器116之类的第三方然后可使用该证明来验证诸如经修改操作系统204之类的软件在客户机设备110上是完整的并且未曾更改,例如,如参考图Ia所描述的。TPM 204随后可执行密封过程,密封过程以仅当TPM 204发布相关联的解密密钥时数据才可解密的方式对数据加密,TPM 204只对具有如TPM 204的PCR中的所测量正确身份的软件进行密封过程。通过在密封过程期间指定哪个软件可将秘密解封,娱乐服务器可允许离线使用那些秘密并仍然保留这些保护。尽管SRTM 209提供强测量,但在处理现代操作系统中的各个二进制数时它可变得麻烦。为了解决这个问题,TPM 204可执行测量直到预定点,其中系统的其余部分的安全性和完整性可通过诸如使用基于代码完整性和磁盘完整性或者其他完整性的机制之类的另一种机制来管理(以下所述)。图3a描绘了根据一个实施例的代码完整性操作。代码完整性可要求所加载的任一二进制代码由可信根授权机构用密码签署。由此,如图3a所描绘的,二进制文件 304(1)-304(N)以及OS内核302被用密码签署,S卩,存在于密码安全环境315中。为了利用各个文件304 (1)-304 (N)和302,它们必须由可信根授权机构306验证。例如,一些操作系统可包括用于内核模式组件的代码完整性机制。根据一个实施例,可通过测量负责组件(以及直到那个点的引导路径的内容)并且随后推断操作系统内核的安全性来充分利用此现有机制。根据一个实施例,二进制签名可被固定至新密钥以限制可加载的一组驱动器。另外,扩展可被嫁接(graft)到该系统上以要求用户模式二进制拥有相同的签名。尽管如此,使用代码完整性仍然可能留下安全性所必需的一组非二进制文件,诸如,注册表或其他配置文件。根据一个实施例,磁盘完整性机制可提供一种修补那些剩余孔的方法。图北描绘了根据一个实施例的磁盘完整性机制的操作。磁盘完整性可尝试通过控制诸如硬盘之类的持久式介质来确保隔离执行环境。由此,如图北所描绘的,在可利用环境324中的完整性受保护的磁盘文件320 (1)-320 (N)之前,使用模块322来对它们进行完整性检查。通过确保从磁盘读取的数据是受密码保护的(例如,经数字签署的),可增加将攻击软件注入系统的困难,从而一旦建立该系统就使得坚持攻击变得特别困难。根据磁盘完整性模型,分区上的文件例如320 (1)-320 (N)可通过根密钥签署。这可要求磁盘是有效只读的(因为不能在客户机上签署文件)。磁盘完整性模型可通过确保签署数据以及代码来解决代码完整性的漏洞。根据一个替换实施例,可采用代理执行机制。代理执行可以指在除主要的中央处理单元(“CPU”)之外的某一地方运行代码。例如,可在安全处理器上运行代码,该安全处理器比主要的CPU更加防篡改和防窥探。以此方式,可通过以各种方式将代码的某些部分的执行移动到安全处理器来充分利用硬件。根据一个实施例,可通过要求许可CPU和安全处理器之间的通道来进一步增强代理执行。具体而言,图如描绘了根据一个实施例的代理执行过程。可在安全处理器404上执行代码406。安全处理器404可经由被许可通道410与CPU 402通信。根据一个实施例,代理执行机制可用于将安全处理器绑定到特定SRTM代码测量, 并且如果许可证周期性地过期,则可用来强迫重新检查系统作为一恢复形式。根据该实施例,安全处理器和CPU之间的所有通信(除需要建立通道的通信之外)可能需要会话密钥的知识。为了建立该通信,安全处理器在具有直接检查来自TPM的证明的能力时直接检查来自TPM的证明,或者在不具有该能力或需要版本化的更多灵活性时可使用诸如娱乐服务器116之类的可信第三方在TMP和安全处理器之间协商,由此娱乐服务器检查来自TMP的证明并且随后提供证据和密钥材料以允许在安全处理器和TPM之间建立受密码保护的通道。TPM然后可在设备的后续重新引导时以与TPM将所有秘密保护成经授权的PCR值相同的方式将那些秘密提供给CPU。根据一个替换实施例,还可采用个性化机制。个性化可指构建和传递绑定到单个机器或用户的代码的过程。例如,应用程序操作必需的代码可在服务器上构建(按需、或者提前并汇合),并且被下载到客户机作为激活过程的一部分。根据一个实施例,个性化可通过使攻击者针对攻击者期望使用盗版内容的每个机器执行大量的工作来尝试缓解“一旦击破所向披靡(Break Once Run Everywhere) ”的破坏。因为个性化过程产生的二进制代码是唯一的(或至少“几乎是唯一的”),所以变得难以分发可损害所有机器的简单补丁程序。个性化可需要一些形式的强大身份用于机器绑定,这可以是硬件标识符。在传统 DRM系统中,该硬件标识符已通过组合系统中的各件硬件的ID来得出。根据一个实施例,可充分利用安全处理器来提供唯一的并且强大的硬件标识符。在诸如具有差隔离环境的系统之类的某些系统中,用于检查欺诈(并且,在更低程度上,检查盗版)的方法可采用监督过程,该监督过程可对来自游戏服务器116的质询作出响应。由游戏服务器116收集的数据可稍后用于确定机器是否已遭损害,并且如果是则使机器禁止并且防止游戏服务器116获取内容的附加许可。在一个实施例中,监督过程本身可通过与保护如以上在先前实施例中所述的操作系统或执行环境相同的机制来受到完整性保护。图4b描绘了根据一个实施例的监督过程的操作。如图4b所描绘的,反欺诈系统 101进一步适于包括客户机设备110上的监督过程430。娱乐服务器116可生成安全质询 432,安全质询432通过网络114传送并由监督过程430接收。监督过程430进而可生成响应434,响应434随后可通过网络14传送到娱乐服务器116。。除了在经修改操作系统112 内执行之外,监督过程430还可在系统管理程序中执行。监督过程430的实现可要求若干准则的实施。首先,应当不容易简单地创建这些质询的响应的码本,这意味着质询集合应当很大并且正确的回应必须是对客户机明显不可用的。监督过程430可要求足够的敏捷以使可随意添加新质询。在最坏的情况下,攻击者可在因特网上的某处设立干净的系统,从而运行攻击软件的客户机系统可将它用作谕示。为了阻止攻击,加密可被施加至游戏服务器116和监督过程430之间的通道(以阻止中间攻击中的简单窥探和操纵),并且以一些方式,将响应潜在地绑定到安全处理器、机器身份、或诸如TMP之类的其他安全硬件中。还可采用分层保护方案,其中多种技术被分层到各个组合中。例如,可采用“双引导”解决方案,该“双引导”解决方案使用减少的攻击覆盖区域、磁盘完整性和SRTM。根据一个替换实施例,替代利用可以是如先前所述的TPM的如图Ia所示的可信外部实体104,可信实体可包括恰好主存有经修改操作系统102的硬件设备,只要该硬件设备可坚持要求经修改操作系统102实际上正在它上面运行。由此,如图4c所示,反欺诈系统 101经由受限制的硬件设备430来实现,受限制的硬件设备430可在内部实施诸如经修改操作系统102之类的所需操作系统的操作和执行。受限制的硬件设备430可以是,例如,蜂窝电话或有线机顶盒。根据又一个替换实施例,替代采用可信外部实体104,系统管理程序440可在内部被提供给客户机设备110。图4d描绘了根据一个实施例的经由系统管理程序的反欺诈系统的操作。系统管理程序440可接收测量的负担,而不是采用如先前所述的TPM环境中的 SRTM。根据一个实施例,系统管理程序440可以是经测量的引导系统管理程序。根据该实施例,可提供一种用于例如经由系统管理程序身份模块442确定正在运行的特定系统管理程序440的身份的机制。由此,例如,娱乐服务器116可与系统管理程序身份模块通信以标识系统管理程序440的本质。系统管理程序440可进而与娱乐服务器116通信,以通知娱乐服务器116经修改操作系统102存在或不存在。经修改操作系统102的安装确保对游戏标题112的操作的非欺诈上下文。图5示出了其中可实现各个示例实施例的各方面的示例性计算环境。计算系统环境500只是合适的计算环境的一个示例,并不旨在对所述示例实施例的使用范围或功能提出任何限制。也不应将计算环境500解释为对示例性计算环境500中所示的任一组件或其组合具有任何依赖性或要求。各个示例实施例可用于众多其他通用或专用计算系统环境或配置。可适用于各个示例实施例的公知计算系统、环境和/或配置的示例包括但不限于,个人计算机、服务器计算机、手持式或膝上型设备、多处理器系统、基于微处理器的系统、机顶盒、可编程消费电子产品、网络PC、小型计算机、大型计算机、嵌入式系统、包含上述系统或设备中的任一个的分布式计算环境等。各个示例实施例可在诸如程序模块之类的由计算机执行的计算机可执行指令的通用上下文中描述。一般而言,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等。各个示例实施例也可在其中任务由通过通信网络或其他数据传输介质链接的远程处理设备来执行的分布式计算环境中实践。在分布式计算环境中,程序模块和其他数据可位于包括存储器存储设备的本地和远程计算机存储介质两者中。参考图5,用于实现各个示例实施例的示例性系统包括以计算机510形式的通用计算设备。计算机510的组件可包括但不限于,处理单元520、系统存储器530、以及将包括系统存储器在内的各种系统组件耦合到处理单元520的系统总线521。处理单元520可表示诸如在多线程处理器上支持的多个逻辑处理单元。系统总线521可以是若干类型的总线结构中的任一种,包括存储器总线或存储器控制器、外围总线和使用各种总线体系结构中的任一种的局部总线。作为示例而非限制,这样的体系结构包括工业标准体系结构(ISA) 总线、微通道体系结构(MCA)总线、增强型ISA(EISA)总线、视频电子技术标准协会(VESA) 局部总线和外围部件互连(PCI)总线(也称为夹层(Mezzanine)总线)。系统总线521还可被实现为点对点连接、交换光纤等、以及其他通信设备。计算机510通常包括各种计算机可读介质。计算机可读介质可以是可由计算机 510访问的任何可用介质,并且包括易失性和非易失性介质、可移动和不可移动介质。作为示例而非限制,计算机可读介质可包括计算机存储介质和通信介质。计算机存储介质包括以用于存储诸如计算机可读指令、数据结构、程序模块或其他数据之类的信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括但不限于, RAM、ROM、EEPROM、闪存或其他存储器技术、CDROM、数字多功能盘(DVD)或其他光盘存储、磁带盒、磁带、磁盘存储或其他磁存储设备、或可用来储存所需信息并可由计算机510访问的任何其他介质。通信介质通常以诸如载波或其他传输机制之类的已调制数据信号来体现计算机可读指令、数据结构、程序模块或其他数据,并且包括任何信息传送介质。术语“已调制数据信号”是指一个或多个特征以在信号中编码信息的方式被设定或改变的信号。作为示例而非限制,通信介质包括诸如有线网络或直接线连接之类的有线介质,以及诸如声学、 RF、红外及其他无线介质之类的无线介质。以上的任何组合也应包括在计算机可读介质的范围内。系统存储器530包括以易失性和/或非易失性存储器形式的计算机存储介质,诸如,只读存储器(ROM) 531和随机存取存储器(RAM) 532。基本输入/输出系统533 (BIOS) 包含诸如在启动期间帮助在计算机510内的元件之间传输信息的基本例程,它通常储存储在ROM 531中。RAM 532通常包含处理单元520可立即访问和/或目前正在操作的数据和 /或程序模块。作为示例而非限制,图5示出了操作系统534、应用程序535、其他程序模块 536和程序数据537。计算机510还可包括其他可移动/不可移动、易失性/非易失性计算机存储介质。 仅作为示例,图5示出了对不可移动、非易失性磁介质进行读写的硬盘驱动器M0,对可移动、非易失性磁盘552进行读写的磁盘驱动器551,以及对诸如CD ROM或其他光学介质之类的可移动、非易失性光盘556进行读写的光盘驱动器555。可在示例性操作环境中使用的其他可移动/不可移动、易失性/非易失性计算机存储介质包括但不限于,磁带盒、闪存卡、数字多功能盘、数字录像带、固态RAM、固态ROM等。硬盘驱动器541通常通过诸如接口 540之类的不可移动存储器接口连接到系统总线521,磁盘驱动器551和光盘驱动器555通常通过诸如接口 550之类的可移动存储器接口连接到系统总线521。以上讨论并在图5中示出的驱动器及其相关联的计算机存储介质为计算机510提供了对计算机可读指令、数据结构、程序模块和其他数据的存储。在图5中,例如,硬盘驱动器541被示为存储操作系统M4、应用程序M5、其他程序模块546和程序数据M7。注意, 这些组件可与操作系统534、应用程序535、其他程序模块536和程序数据537相同,也可与它们不同。在此操作系统M4、应用程序M5、其他程序模块546和程序数据547被给予了不同的编号,以说明至少它们是不同的副本。用户可通过诸如键盘562和定点设备561 (通常指鼠标、跟踪球或触摸板)之类的输入设备向计算机510输入命令和信息。其他输入设备(未示出)可包括话筒、操纵杆、游戏手柄、圆盘式卫星天线、扫描仪等。这些和其他输入设备通常通过耦合到系统总线的用户输入接口 560连接到处理单元520,但也可通过诸如并行端口、游戏端口或通用串行总线(USB)之类的其他接口和总线结构来连接。监视器591 或其他类型的显示设备还经由诸如视频接口 590之类的接口连接到系统总线521。除监视器之外,计算机还可包括诸如扬声器597和打印机596之类的其他外围输出设备,它们可通过输出外围接口 595来连接。计算机510可使用至诸如远程计算机580之类的一个或多个远程计算机的逻辑连接在网络化环境下操作。远程计算机580可以是个人计算机、服务器、路由器、网络PC、对等设备或其他常见网络节点,并且通常包括以上相对于计算机510描述的许多或所有元件, 尽管在图5中只示出存储器存储设备581。图5中所描绘的逻辑连接包括局域网(LAN)571 和广域网(WAN) 573,但还可包括其他网络。这些联网环境在办公室、企业范围计算机网络、 内联网和因特网中是常见的。当在LAN网络环境中使用时,计算机510通过网络接口或适配器570连接到LAN571。当在WAN网络环境中使用时,计算机510通常包括调制解调器572、或用于通过诸如因特网之类的WAN 573建立通信的其他装置。调制解调器572可以是内置或外置的,它可经由用户输入接口 560或其他合适的机制连接到系统总线521。在网络化环境中,相对于计算机510所描述的程序模块或其部分可存储在远程存储器存储设备中。作为示例而非限制, 图5示出了远程应用程序585驻留在存储器设备581上。应当理解,所示的网络连接是示例性的,并且可使用在计算机之间建立通信链路的其他手段。计算环境500通常包括至少某种形式的计算机可读介质。计算机可读介质可以是可由计算环境500访问的任何可用介质。作为示例而非限制,计算机可读介质可包括计算机存储介质和通信介质。计算机存储介质包括以用于存储诸如计算机可读指令、数据结构、 程序模块或其他数据之类的信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括但不限于,RAM、ROM、EEPR0M、闪存或其它存储器技术、 CD-ROM、数字多功能盘(DVD)或其它光存储、磁带盒、磁带、磁盘存储或其他磁存储设备,或者可用于存储所需信息并且可由计算环境500访问的任何其它介质。通信介质通常以诸如载波或其他传输机制之类的已调制数据信号来体现计算机可读指令、数据结构、程序模块或其他数据,并且包括任何信息传送介质。术语“已调制数据信号”是指一个或多个特征以在信号中编码信息的方式被设定或改变的信号。作为示例而非限制,通信介质包括诸如有线网络或直接线连接之类的有线介质,以及诸如声学、RF、红外及其他无线介质之类的无线介质。上述中任一组合还应包括在计算机可读介质的范围之内。尽管用结构特征和/或方法动作专用的语言描述了本主题,但是可以理解,所附权利要求书中定义的主题不必限于上述具体特征或动作。相反,上述具体特征和动作是作为实现权利要求的示例形式而公开的。尽管用结构特征和/或方法动作专用的语言描述了本主题,但是可以理解,所附权利要求书中定义的主题不必限于上述具体特征或动作。相反,上述具体特征和动作是作为实现权利要求的示例形式而公开的。此处用具体细节描述本发明的主题以满足法定要求。然而,该描述本身并非旨在限制本专利的范围。相反,可以设想,所要求保护的主题还可结合其他当前或未来技术按照其他方式来具体化,以包括不同的步骤或类似于本文中所描述的步骤的步骤组合。
权利要求
1.一种用于防止欺诈的方法,包括由可信组件(104)监视设备(110)和受限环境(102),其中所述受限环境(10 通过修改在所述设备(110)上执行的先前环境(10 来提供; 基于监视的结果来限制对资源的访问。
2.如权利要求1所述的方法,其特征在于,所述资源是必需的秘密。
3.如权利要求1所述的方法,其特征在于,所述资源是网络服务。
4.如权利要求1所述的方法,其特征在于,所述资源是附加硬件。
5.如权利要求1所述的方法,其特征在于,所述可信组件(104)是可信平台模块。
6.如权利要求5所述的方法,其特征在于,与在所述设备(110)上运行的软件相结合的可信平台模块生成静态可信根测量。
7.如权利要求6所述的方法,其特征在于,还包括执行代码完整性操作。
8.一种包括用于防止欺诈的指令的计算机可读介质,所述指令包括由可信组件(104)监视设备(110)和受限环境(102),其中所述受限环境(10 通过修改在所述设备(110)上执行的先前环境(10 来提供; 基于监视的结果来限制对资源的访问。
9.如权利要求8所述的计算机可读介质,其特征在于,所述资源是必需的秘密。
10.如权利要求8所述的计算机可读介质,其特征在于,所述资源是网络服务。
11.如权利要求8所述的计算机可读介质,其特征在于,所述资源是附加硬件。
12.一种用于防止欺诈的系统,包括 设备(110);用于在所述设备(110)上执行至少一个应用程序的受限环境(10 ;以及模块,配置成通过可信组件(104)监视所述设备(110)和所述受限环境(10 ;以及基于监视的结果来限制对资源的访问。
13.如权利要求12所述的系统,其特征在于,所述资源是必需的秘密。
14.如权利要求12所述的系统,其特征在于,所述资源是网络服务。
15.如权利要求12所述的系统,其特征在于,所述资源是附加硬件。
全文摘要
反欺诈系统可包括诸如经修改操作系统之类的经修改环境连同可信外部实体的组合,以验证经修改环境正在特定设备上运行。经修改环境可以特定方式修改,从而创建与由经修改环境替换的原始环境相比受限的环境。对经修改环境的修改可包括对原始环境的变更,以例如检测和/或防止对旨在允许欺诈行为或非期望用户行为的硬件和/或软件的更改。
文档编号G06Q50/00GK102334140SQ201080009877
公开日2012年1月25日 申请日期2010年1月21日 优先权日2009年2月27日
发明者J·M·阿尔科夫, K·D·雷, L·D·麦克迈克尔, N·T·刘易斯, P·施奈尔 申请人:微软公司