基于数字证书的信任等级来反病毒检查文件的系统和方法
【技术领域】
[0001] 本发明总体涉及计算机安全领域,尤其涉及基于文件的数字证书的信任等级来反 病毒检查文件。
【背景技术】
[0002] 计算机和网络技术的普及在过去二十年得到了迅速地发展;然而,它一直伴随有 网络犯罪的稳步增长,网络犯罪的范围从相对无害的情况(例如未经请求的电子邮件(通常 称为垃圾邮件)的散布)到更严重的网络犯罪情况(例如拒绝服务攻击、偷窃机密财务信息、 甚至网络战和网络恐怖行动)。已变得明显的是,严厉打击网络犯罪是当务之急。并且,用于 保护计算机免受网络攻击的最常用的手段之一是反病毒软件。然而,目前这一代的反病毒 软件解决方案还有不足之处。
[0003] 典型的反病毒应用可以执行数个不同的恶意软件检测方法,通常范围从相对快速 的签名匹配到更复杂的启发式分析和仿真。近来的反病毒检查方法通常是资源密集的,这 些方法对运行它们的计算机的生产率产生有害影响,尤其是在频繁且复杂的反病毒任务的 执行过程中。这种任务的示例是检查用于恶意软件的硬盘,该恶意软件大量地载入计算机 的硬盘系统。由反病毒应用处理资源的消耗尤其影响个人计算机、笔记本和具有有限的处 理能力的其它类型的计算机。
[0004] 因此,需要提高反病毒软件的运行效率。
【发明内容】
[0005] 公开了用于基于文件的数字证书的信任等级来反病毒检查文件的系统、方法和计 算机程序产品。在一个方面中,一种用于执行文件的反病毒检查的示例性方法包括:获得所 述文件的数字签名的数字证书;通过硬件处理器确定所获得的数字证书的有效性;基于所 确定的所述文件的所述数字证书的有效性或无效性,将信任等级分配至所述数字证书;基 于所分配的所述文件的所述数字证书的信任等级,确定对所述文件执行何种反病毒检查方 法;以及对所述文件执行所确定的反病毒检查方法。
[0006] 在一个示例性方面中,该方法还可以包括:将低信任等级分配至无效的数字证书 或已知的恶意文件的数字证书;以及执行启发式分析、仿真、手动检查、以及阻止执行具有 低信任等级的数字证书的文件中的一者或多者。
[0007] 在一个示例性方面中,该方法还可以包括:将中信任等级分配至有效的数字证书; 以及对具有中信任等级的数字证书的文件执行签名匹配。
[0008] 在一个示例性方面中,该方法还可以包括:将高信任等级分配至由信任的认证机 构发行的数字证书;以及对具有高信任等级的数字证书的文件不执行反病毒检查。
[0009] 在一个示例性方面中,确定所述数字证书的有效性可以包括:构建与所述文件的 所述证书相关的证书链;以及遍历所述证书链并校验所述证书链中的每个证书。
[0010] 在一个示例性方面中,该方法还可以包括:将低信任等级分配至在恶意文件的证 书链中发现的证书链中的中间证书。
[0011] 在一个示例性方面中,当满足以下条件中的一者或多者时,确定数字证书是否有 效:认证机构的数字签名是正确的;所述证书的有效期当前还没有到期;以及所述证书还未 被取消。
[0012] 在另一个方面中,一种用于执行文件的反病毒检查的示例性系统包括:硬件处理 器,所述硬件处理器被配置成:获得所述文件的数字签名的数字证书;确定所获得的所述文 件的数字证书的有效性;基于所确定的所述文件的所述数字证书的有效性或无效性,将信 任等级分配至所述数字证书;基于所分配的所述文件的所述数字证书的信任等级,确定对 所述文件执行何种反病毒检查方法;以及对所述文件执行所确定的反病毒检查方法。
[0013] 以上对示例性方面的简要概述用来提供对本发明的基本理解。该概述并不是对所 有预期方面的广泛综述,并且既不旨在识别所有方面的关键要素或重要要素,也不旨在描 绘本发明的任何方面或所有方面的范围。它的唯一目的是以简化形式提出一个或多个方 面,作为随后的对本发明的更详细的描述的前奏。为了实现前述目的,本发明的一个或多个 方面包括权利要求中所描述和特别指出的特征。
【附图说明】
[0014] 并入本说明书并构成本说明书的一部分的附图示出了本发明的一个或多个示例 性方面,以及连同详细的描述一起用来阐述这些示例性方面的原理和实现方式。
[0015] 图1示出根据一个示例性方面的基于文件的数字证书的信任等级来反病毒检查文 件的示例性系统;
[0016] 图2示出根据一个示例性方面的填充信任的证书的数据库的示例性方法;
[0017] 图3示出根据一个示例性方面的基于文件的数字证书的信任等级来反病毒检查该 文件的示例性方法;
[0018] 图4示出根据一个示例性方面的遍历并校验证书链的示例性方法;
[0019] 图5示出根据一个示例性方面的遍历并校验证书链的示例图;以及
[0020] 图6示出根据一个示例性方面的适合于实现所公开的基于文件的数字证书的信任 等级来反病毒检查文件的系统和方法的方面的通用计算机系统(例如个人计算机或服务 器)的示例。
【具体实施方式】
[0021] 本文描述了基于文件的数字证书的信任等级来反病毒检查文件的系统、方法和计 算机程序产品的示例性方面。本领域的普通技术人员将认识到,以下描述仅仅是说明性的, 而不旨在以任何方式进行限制。其它方面将是了解本发明的优点的本领域技术人员容易想 到的。现在将详细地参考如附图中所示的示例性方面的实现方式。贯穿附图和以下描述将 尽可能地使用相同的附图标记来指代相同或类似的项目。
[0022] 图1示出了根据一个方面的基于文件的数字证书的信任等级来反病毒检查文件的 示例性系统的总图。术语"数字证书"还通常被称为公钥证书或识别证书。系统100包括安装 有应用101的用户计算机110。计算机110例如可以是个人计算机(personal computer,PC)、 笔记本、平板电脑、智能电话或其它类型的计算设备。在一个示例性方面中,应用101可以为 反病毒程序,其被配置成使用例如签名匹配、仿真、启发式分析和其它已知的恶意软件检查 技术来执行对存储或下载在计算机110上的文件102的反病毒检查。在一个示例性方面中, 反病毒应用101还可以检查文件的数字签名的公钥证书的有效性。如果满足以下条件中的 一者或多者,则该证书可以被视为有效的:
[0023] ?认证机构(certification authority,CA)的数字签名正确;
[0024] ?证书的有效期当前还没有到期;以及
[0025] ?证书还未被取消。
[0026] 在一个示例性方面中,系统100还可以包括服务器120,该服务器120经由私人网络 或公用网络连接至用户计算机110。服务器120包括验证模块103,该验证模块103连接至应 用101并被设计成在执行证书的验证时从应用101获得终端证书。该终端证书可以是软件制 造商的公钥证书,软件制造商的数字签名用来签署文件102。分配信任等级的模块104连接 至验证模块103并用来在信任证书的数据库105的帮助下确定用于证书的信任等级。如本文 所使用的信任等级指的是确定证书的有效性的参数(例如整数),并且信任等级用于文件 102的反病毒检查。数据库105连接至分配信任等级的模块104,并且数据库105包含证书及 其相应的信任等级和可用来唯一地确定各自的证书的标识符。例如,证书标识符可以是序 列号、公钥、