CN102291387A

CN102291387A - 加密的网络通信拦截和检查

Info

Publication number: CN102291387A
Application number: CN2011101778435A
Authority: CN
Inventors: V·利夫亮德; A·M·本-梅纳赫姆
Original assignee: Microsoft Corp
Current assignee: Microsoft Technology Licensing LLC
Priority date: 2010-06-18
Filing date: 2011-06-17
Publication date: 2011-12-21
Anticipated expiration: 2031-06-17
Also published as: US8578486B2; US20110314270A1; US20140215610A1; CN102291387B; US9118700B2

Abstract

本发明涉及加密的网络通信拦截和检查。一种操作计算设备的方法，其允许检查设备试图以加密形式通过网络传送的数据中是否存在恶意软件、病毒或机密信息。该方法包括对从应用到操作***的加密组件的用于对数据进行加密的请求进行拦截，并且响应于请求而获得加密组件所生成的加密数据。可以使用SSL或TLS协议来进行加密。请求可以用API挂钩来拦截。未加密形式的数据以及加密数据的标识符可以被提供给数据检查工具，用于使用标识符在未加密数据和加密数据之间建立对应关系。数据检查工具检查未加密数据以确定是否允许加密数据通过网络进行传输。

Description

加密的网络通信拦截和检查

技术领域

本发明涉及网络通信，尤其涉及网络安全***。

背景技术

计算机***的安全正成为日益重要的问题，特别是随着极大地方便了计算机间大量数据的交换的因特网的出现。安全可以涉及保护计算机***不受来自恶意方的攻击，恶意方可能对***引入病毒、蠕虫或其他恶意数据。另一安全问题涉及通过保护通过诸如因特网等公共网络传送的数据不被不期望方所访问，从而确保所传送的数据的机密性。

计算机***的安全也可以包含控制对计算机***中存储的信息的分发和访问。例如，企业或组织可能有一策略，该策略定义了期望保护哪些信息不在企业的计算机***之外被分发。这种信息可以包括例如，个人信息、财务文档、医疗记录、机密技术的描述以及其他敏感信息。

计算机使用不同的网络通信协议来交换数据，所述协议诸如例如：传输控制协议/因特网协议(TCP/IP)。已经开发了TCP/IP来允许计算机之间的通信，它并没有特别考虑到安全性。因此，按照TCP/IP传送的信息可能受到不同的安全攻击。由此，已经开发了各种安全***来保护计算机不受入侵并且控制计算机上存储的信息。这种安全***检查计算机***接收到的数据以及计算机***试图发送的数据。为了确定是允许还是阻止通过网络发送或接收这些数据，安全***一般需要访问未加密的(或可解密的)形式的数据。

为了改进它们的安全性并且防止与所传送的数据的不期望干扰，许多应用越来越多地使用诸如加密和验证等措施。使用不同的协议对通过网络发送的数据进行加密。用于加密和验证的常用协议是安全套接字层(SSL)协议及其派生物。尽管使用SSL改进了安全性，但是使用SSL协议加密的数据可能不能被控制对网络的访问的网络安全***正确地分析和解释，因为数据是加密的。恶意方(例如，应用和服务)可以使用该特征来绕过网络安全***所实现的安全保护或安全策略。例如，如果以加密的形式发送或接收包含病毒、木马(Trojans)或其他恶意内容的数据，则这可以不被网络安全***所检测。此外，加密的敏感数据可以在组织之外发送，从而破坏了数据私密性。

发明内容

一种***、方法和计算机可读存储介质，其允许对计算设备所执行的应用试图通过网络传送的数据进行检查，即使这种传出数据是为其通过网络的传输而加密的。提供了一种用于拦截来自应用的对数据进行加密的请求的技术，所述请求包括未加密数据并且被定向到计算机设备的操作***的组件，该组件为网络上的通信提供安全性并且执行数据加密/解密。

拦截可由使用称为应用编程接口(“API”)挂钩的已知编程技术所实现的拦截组件来执行。API挂钩允许对从应用到操作***的执行数据加密的组件的调用进行拦截。数据加密可以按照安全套接字层(SSL)协议、传输层安全(TLS)协议或任何其他协议来执行。

对来自应用的请求进行拦截可以提供对未加密数据的访问。未加密数据与加密数据的标识符一起被提供给网络安全***的数据检查工具。被拦截的请求前进至加密组件，加密组件对未加密数据进行加密以提供加密数据。然后，加密数据被提供给数据检查工具，后者使用加密数据的标识符在未加密数据和加密数据之间建立对应关系。由于数据检查工具从多个应用进程接收未加密数据和加密数据，并且不能辨别哪个接收到的未加密数据是哪个接收到的加密数据的加密形式，因此可以建立对应关系。

数据检查工具可以为接收到的加密数据标识相对应的未加密数据，并且检查未加密数据以确定是允许还是阻止该数据以加密形式通过网络的传输。当允许传输时，接收到的加密数据可以通过网络传送。

以上概述是对由所附权利要求定义的本发明的非限定性的概述。

附图说明

附图不旨在按比例绘制。在附图中，各个附图形中示出的每一相同或近乎完全相同的组件由同样的附图标记来表示。出于简明的目的，不是每个组件在每张附图中均被标号。在附图中：

图1是示出其中可实现本发明的某些实施例的计算机***的概览的框图；

图2是示出其中可实现本发明的某些实施例的计算机***的体系结构的框图；

图3是示出其中可实现本发明的某些实施例的计算机***的更详细的体系结构的框图；

图4是按照本发明的某些实施例、示出用于拦截和检查传出数据的过程的流程图；

图5是按照本发明某些实施例、示出用于将数据转发至数据检查工具的过程的流程图，该过程是结合图4示出的处理的一部分；以及

图6是按照本发明的某些实施例、示出用于由数据检查工具处理未加密数据和加密数据的流程图。

具体实施方式

联网环境中的计算设备可以通过诸如因特网等网络与联网环境中的其他计算设备交换数据。发明人明白，为了确保计算设备的安全并且保护计算设备上执行的应用试图通过网络传送的数据，可能希望既对数据进行加密，又检查数据的内容以确定是否允许传送数据。尽管加密通过阻止和数据发送至的一方不同的恶意方或任一其他方对数据进行访问、从而允许保护数据的机密性，但是对数据内容的检查可允许确定数据是否是恶意的或者对计算设备之外的数据分发是否有任何限制。

对是否允许数据通过网络被传送的确定可由实现网络安全功能的适当***来执行。控制数据对网络的访问的网络安全***一般要求数据是明文形式，意味着数据是不加密的，因此其内容可被网络安全***访问。与此同时，数据可以在通过网络被传送之前被加密。结果，现有的网络安全***可能不能直接检查这种加密数据的内容。

以允许***检查和拦截数据的形式向网络安全***提供数据的现有方法包括：实现充当执行应用的客户机和服务器之间的代理的安全***。当使用这种机制时，安全***可以对加密数据进行解密、检查它、并且对经处理的已解密数据进行加密。然而，这种解密/加密可能修改用于签署数据的证书。因而，用户可能看到由代理提供的而不是由用户希望看到其证书的一方提供的证书。例如，用户可能看到代理所使用的证书，而不是来自已知证书提供者(例如VeriSign

)的SSL证书。这可能不利地影响用户体验。此外，这种代理***的部署和管理可以是复杂的。

发明人认识到并且明白，可以提供实现这样一种技术的方法、***和计算机可读存储介质，该技术既用于对通过网络传送的数据进行加密或解密，又用于确定传送该数据是否可能提供安全性攻击或信息控制破坏的潜在风险。该技术可允许适当的网络安全***检查未加密的形式的数据，所述数据为了通过网络的传输而被加密。结果，可以改进网络通信的安全性，而不破坏对加密数据以保护其不被不期望方访问的要求。

该技术可以包括拦截来自试图通过网络传送数据的应用到一接口的请求，该接口提供了对提供网络通信安全的操作***的组件的访问。在一些实施例中，请求可以是被定向到可以是操作***一部分的加密组件的对数据进行加密的请求。拦截可以包括取代提供网络通信安全的组件的特定功能。

请求包括应用试图通过网络传送的未加密数据，所述请求可以是对未加密数据进行加密的请求。请求的拦截可允许获得对以下数据的访问：应用提供给加密组件以进行加密的未加密数据、以及由加密组件作为对未加密数据进行加密的结果而提供的加密数据。因而，可能不需要任何额外的加密或解密，因此拦截可以以对用户透明的方式来执行。此外，可以不提供任何额外的证书供用户查看。这些可以改进用户体验。

应用可以通过经由本领域已知的应用编程接口(“API”)向操作***呈现请求或调用，通过与操作***交互来执行它们的任务。例如，应用可以向操作***呈现对期望服务的请求。在本发明的一些实施例中，这可以是对应用试图通过网络传送的数据进行加密的请求。

在本发明的一些实施例中，对从应用到加密组件的请求或调用的拦截可以使用应用编程接口(“API”)挂钩来执行。API挂钩是在期望改变应用与操作***或任何其他程序交互的方式时采用的编程技术。由此，API挂钩允许对由应用在其执行期间对操作***的调用进行拦截。

在API挂钩中，“挂钩”可以是将特定的计算机可读指令从它们的原始路径重定向的计算机可执行指令。由此，API挂钩可以包括将被定向到操作***的API调用重定向到某一其他组件，诸如替换功能。这种功能可以在将控制传回被调用的API之前对API调用的输入参数进行某些操纵或其他处理。替换功能也可以在将API的返回结果传递回API的调用者之前操纵所述返回结果。

在一些实施例中，对来自应用的请求进行拦截可以提供对未加密数据的访问。未加密数据连同用于相应的加密数据的标识符一起被提供给数据检查工具。标识符可以是例如加密数据的一部分，诸如加密数据的前缀。被拦截的请求前进至加密组件，加密组件对未加密的数据进行加密以提供加密数据。

加密数据可以被提供给数据检查工具，后者使用加密数据的标识符在未加密数据和加密数据之间建立对应关系。由于数据检查工具从多个应用进程接收未加密数据和加密数据(其中每个应用进程可以建立多个连接)，并且不能辨别哪个接收到的未加密数据是哪个接收到的加密数据的加密形式，因此可以建立对应关系。在未加密数据和相对应的加密数据之间建立对应关系允许对传出数据执行异步检查。

数据检查工具可以为接收到的加密数据标识相对应的未加密数据，并且检查未加密数据以确定是允许还是阻止该数据以加密形式通过网络的传输。在检查未加密数据时可以采用任何适当的策略。

策略可由计算机设备通过任一适当的方式获得。例如，策略(可以是可配置的)可以作为计算设备所执行的操作***的一部分被安装，可由计算设备的用户提供，或者经由因特网被接收。举另一个例子，如果计算设备属于一企业网络，则计算设备可以根据企业的策略来传送数据。企业策略可以定义例如，哪类信息是不期望在企业外部被传送的。这种信息可以包括个人信息(例如组织的雇员或顾客的社保号码)、医疗记录、财务记录、机密技术的描述以及其他敏感信息。

当数据检查工具基于对未加密数据的检查而确定允许加密数据的传输时，可以通过网络传送加密数据。或者，当数据检查工具确定未加密数据包括恶意数据(例如恶意软件、木马或病毒)或可能破坏信息的机密时，可以阻止加密数据通过网络被传送。

图1示出了可在其中实现本发明的各方面的网络计算环境100的示例。计算环境100可以包括可经由网络106通信的客户机102和服务器104。网络106可以是任何合适的网络。例如，网络可以是诸如因特网这样的公共网络。

客户机102可以是接收网络服务的任何终端站设备，诸如工作站、个人计算机、个人数字助理或任何其他适当的计算设备。服务器102可以是向一个或多个客户机提供网络服务的任何适当的计算设备，诸如工作站、个人计算机、小型计算机、大型计算机或任何适当的计算设备。可以为客户机102和服务器104之间的通信使用任何适当的通信协议，诸如TCP/IP协议。然而，本发明的各实施例不限于在客户机102和服务器104之间进行通信的特定方式。

在一些实施例中，客户机102可以是专用网络的一部分，专用网络诸如企业或组织的网络。在这样的情况中，另一计算机可以充当到客户机102的网关，其中客户机102在该网关之后操作。在企业网络中，客户机102可以按照企业网络所施加的特定私密性、安全性和其他规则来操作。

在所示的示例中，按照本发明一些实施例，客户机102可以包括对客户机102通过网络106传送和接收的数据提供控制的组件。客户机102可以执行()应用，诸如Internet Explorer或任何其他适当的应用，所述应用可以试图通过网络106传送或接收数据。对数据提供控制的组件可以提供这样的功能，所述功能允许检查客户机102试图通过网络106发送的数据，即使数据正在被加密。这可以有效地并且以对主存在客户机102上的一个或多个应用的用户透明的方式来执行。

在本发明的一个实施例中，服务器104可以是SSL服务器，客户机102可以是SSL客户机，意味着它们中的每一个能够传送按照SSL协议加密的数据。SSL协议允许客户机102和服务器104通过公共网络以安全的方式通信。然而，可以使用任何其他适当的协议来在客户机102和服务器104之间传送数据。还应当理解，客户机102和服务器104可以是包括图1中为简洁起见未示出的任何组件在内的任何适当的计算设备。

应当明白，上述计算机中的任一个及其组件中的任一个可以用多种方式中的任一种来实现。例如，本文描述的功能组件或操作可以使用硬件、软件或其组合来实现。当使用软件实现时，该软件代码可在无论是在单个计算机中提供的还是在多个计算机之间分布的任何合适的处理器或处理器的集合上执行。

此外，应当理解，计算机可以用多种形式中的任一种来具体化，如机架式计算机、台式计算机、膝上型计算机、或图形输入板计算机。另外，计算机可以具体化在通常不被认为是计算机但具有合适的处理能力的设备中，包括个人数字助理(PDA)、智能电话、或任何其它适合的便携式或固定电子设备。

图2示出了本发明的一些实施例可以在其中实现的计算***200的示例性体系结构。计算***200可以包括计算设备202(例如图1中的客户机102)，计算设备202包括应用204、加密组件208和拦截组件206，拦截组件206拦截从应用204到加密组件208的请求。计算设备202可以是工作站、个人计算机、个人数字助理或任何其他适当的计算设备，并且可以包括任何适当的组件。

计算设备202可以支持诸如应用204等各应用，应用204可以是电子邮件、web浏览、数据库访问或任何其他应用。例如，在一些实施例中，应用204可以是Microsoft

Internet Explorer

Microsoft Outlook

或任何其他适当的应用。应当理解，计算设备202可以通过处理器205执行多于一个应用，处理器205可以是任何适当的处理器中的一个或多个。

应用204可以通过与网络上的其他计算设备的每一个建立安全连接并且试图通过该安全连接发送/接收数据，从而与所述其他计算设备通信。数据可以是例如电子邮件消息，电子邮件消息(在其正文内和/或作为附件)包括文本、图像、图形、它们的组合或者任何其他信息。同样，在应用204包括web浏览器的情况下，数据可以包括经由web浏览器输入的并由此被发送至诸如服务器104(图1)等远程计算机的任何数据。然而应当理解，本发明的各实施例不限于应用204可以通过网络传送或接收的特定类型或格式的数据。此外，即使本发明的一些实施例是结合对应用104试图通过网络传送的传出数据进行拦截和检查而描述的，然而应当理解，这里所述的技术也可应用于传入数据。

在本发明的一些实施例中，应用204可以试图通过网络传送数据。为了提高应用204所传送的传出数据的安全性和机密性，传出数据可以被加密。以加密形式经由网络传送数据可以阻止除了数据被定向至的一方以外的其他方对数据进行访问或可能的更改。

为了加密传出数据，应用204可以向加密组件208呈现加密该数据的请求。在一些实施例中，加密组件208可以是SSL组件。如本领域已知的，SSL协议可以被定义为对用于设备间安全通信的网络协议的TCP/IP标准的增强。应用204可以使用SSL协议来与应用204试图将数据发送至的计算设备(例如服务器104)建立安全连接。然而应当理解，加密组件208可以使用任何其他适当的协议，诸如传输层安全(TLS)协议等。还应当理解，由于加密组件208可以执行对加密数据的解密以及任何其他适当的功能，因此加密组件208在此被称为“加密”组件只是为了简洁起见。

加密组件208可以对通过来自拦截组件206的调用从应用204接收到的未加密数据(例如，包括未加密的文本、图形、图形或其任何组合在内的信息)进行加密。加密可以按照任何适当的加密算法来执行。应当理解，在一些实施例中，加密组件208也可以对计算设备202上接收到的安全(加密的)数据进行解密。

在其中采用了从华盛顿雷蒙德的微软公司获得的Windows操作***的本发明各实施例中，加密组件208可以是由微软公司提供的诸如安全信道(“schannel”)这样的安全提供者，安全信道是SSL及其后续的TSL的实现。Schannel可以作为操作***的一部分来实现。同样，在一些实施例中，它可以是应用204的一部分。然而应当理解，由于本发明各实施例不限于这一方面，因此加密组件208可以以任何其他适当的方式来实现。

图2所示的拦截组件206可以拦截来自应用204的请求，以便对应用204试图经由安全连接通过网络传送的数据进行加密。应当理解，由于本发明各实施例不限于这一方面，因此拦截组件206可以以任何其他适当的方式来实现。

在一些实施例中，拦截组件206可以使用称为API挂钩的编程技术来实现。API挂钩可以包括对从应用204被定向到操作***的实现数据加密和解密的组件的请求进行拦截。在所示例子中，这种组件可以是加密组件208。通过采用这样的API挂钩技术，和现有***相比，由于加密组件208执行数据的加密并且在某些实施例中执行数据的解密，因此不需要额外的证书，并且未提供任何额外的组件来执行加密/解密。此外，对于计算设备202的用户来说，由拦截组件206对传出数据进行拦截以及随后检查传出数据是否有安全性攻击可以是透明的，这除了提供增强的安全性以外还改进了用户体验。

在其中采用了微软公司所开发的操作***的本发明各实施例中，可以使用库的一个或多个适当的功能，对从应用204到操作***的适当组件(诸如加密组件208)的API请求或调用进行拦截。例如，可以使用库的(多个)功能来取代初始化加密组件208的schannel.dll的功能，加密组件208按照SSL或其他适当的协议执行数据的加密和解密。库可以是例如Detours库或者任何其他适当的软件组件集。

在一些实施例中，可以实现拦截组件206来提供到加密组件208的接口的功能。例如，可以实现拦截组件206来提供由微软公司开发的应用编程接口的一组功能，所述应用编程接口被称为安全支持提供者接口(“SSPI”)，它支持SSL、TLS或其他适当协议的实现。这些功能可用于访问schannel.dll。因而，在其中计算设备202执行Windows操作***的本发明各实施例中，可以实现拦截组件206来执行SSPI的允许在应用204执行时将拦截组件206加载到该应用的进程空间中的功能。

在一些实施例中，拦截组件206所使用的API挂钩可以通过将动态链接库(“DLL”)注入到应用的进程空间中来实现。在一些情况下，DLL可以是包含可执行指令的文件，可执行指令诸如可由应用204在其运行时加载和执行的SSPI的功能。DLL可以是在操作***配置(例如Windows操作***中的注册表)中注册的库。然而应当理解，由于本发明各实施例不限于这一方面，因此API挂钩可以以任何其他适当的方式来实现。

无论实现加密组件208和拦截组件206的特定方式，作为对向加密组件208请求对未加密数据进行加密的请求进行拦截的结果，拦截组件206可以获得对未加密数据以及其对应的加密数据两者的访问。拦截组件206可以向数据检查工具210提供加密数据的标识符和未加密数据。

应用204可以向服务提供者接口212提供加密数据，服务提供者接口212作为应用204和联网管理器组件214之间的接口来操作。应当理解，将服务提供者接口212示出为单独的组件仅仅是示例性的，因为它可以是联网管理器214或任何其他适当的组件的一部分。服务提供者接口212可以将从应用104获得的加密数据转换成是TCP/IP组件216所要求的格式的数据。在其中实现Windows操作***的本发明各实施例中，服务提供者接口212可以包括WinSock。Winsock是充当到传输服务提供者的接口的DLL，传输服务提供者在该例中是联网管理器214的TCP/IP组件216。Winsock可以按照任何技术来实现，诸如本领域已知的那些技术或其他。

服务提供者接口212可以与联网管理器214通信，并且可以将从应用204接收的加密数据提供给联网管理器214。联网管理器214可以是允许经由网络的计算设备202通信的工具。联网管理器214的TCP/IP组件216可以是协议栈组件，后者是计算设备202的操作***内核的一部分。联网管理器214可以包括任何其他适当的组件，并且与提供到网络的物理接口的网络接口硬件通信。

如图2所示，联网管理器214可以与数据检查工具210通信，后者可以检测所检查的数据中的恶意软件、病毒和其他恶意数据。同样，数据检查工具210可以检查数据以确定通过网络传送该数据是否会导致特定敏感信息的机密性的损失。这可以使用策略来执行。

数据检查工具210可以经由来自应用204的路径、经由联网管理器214来接收加密数据。数据检查工具210也许不能辨别应用204建立的哪个连接提供了所接收的加密数据。因而，检查组件206可以将未加密数据连同相应的加密数据的标识符一起提供给数据检查工具210。数据检查工具210可以使用加密数据的标识符，在未加密数据及其对应的加密数据之间建立对应关系。标识符可以包括加密数据的任何适当子集。

在未加密数据和加密数据之间建立了对应关系之后，数据检查工具210可以检查未加密数据中是否有可能触发安全性攻击或损害任何适当的机密性和安全性策略的内容。因此，数据检查工具210可以确定是否要允许相应的加密数据的加密部分的传输。

应当注意，这里结合对应用104试图以加密形式通过网络传送的传出数据的拦截和检查，描述了按照本发明一些实施例实现的技术。然而应当理解，本发明的各实施例也可以应用于对通过网络发送至应用204的传入数据的解密和检查。

图3更详细地示出其中可实现本发明的一些实施例的计算设备202的各组件、以及所述组件间的交互。图2所示的组件也在图3示出。应当理解，计算设备202可以包括为表示的简洁起见而未在图3中示出的任何其他适当的组件。

图3示意性地示出应用204可以在应用204的进程空间207中执行。进程空间207可以被定义为计算设备202的存储器中的单独空间，其在应用204执行时被分配给该应用。图3仅以示例方式示出进程空间207可以包括应用204、拦截组件206、加密组件208和服务提供者接口212，应用204可以是定义应用的功能的应用的业务逻辑。在所示例子中，计算设备202可以包括多个进程空间307。

应用204可以向加密组件208提供对应用204试图通过网络传送的未加密数据进行加密的请求302。如图3所示，请求302可由拦截组件206拦截。拦截可以经由API挂钩技术或以任何其他适当的方式来执行。

在请求302被拦截组件206拦截后，请求302可以前进到其原始目标，即加密组件208。加密组件208可以对未加密数据进行加密以提供相应的加密数据，如图3所示(304)。加密可以按照任何适当的密码或加密算法来执行。加密数据也可以被拦截组件206拦截。因此，拦截组件206获得未加密数据和相应的加密数据两者。应当理解，尽管请求302被拦截组件206拦截，但拦截并不干扰请求302，意味着请求302到达加密组件208，然后加密组件208响应于该请求而把加密数据提供给应用304。

计算设备202一次可以执行多于一个应用，在图3中示意性地示出为多个进程空间307，其中每个进程空间对应于一个不同的应用。此外，诸如应用204这样的应用可以建立到一计算设备(例如服务器104)的多于一个TCP连接，应用可以通过该TCP连接与该计算设备交换数据。因此，对于同一应用所建立的多于一个的相应的TCP连接，进程空间307可以包括多于一个的进程空间。

进程空间307中的每一个可以包括检查组件206的一个单独实例。因而，多个未加密数据和相应的加密数据可被拦截组件206拦截。这些未加密数据和相应的加密数据可以经由相应的不同路径被转发至数据检查工具210。当数据检查工具210接收到未加密数据和相应的加密数据时，数据检查工具210也许不能确定哪些未加密数据和加密数据是由同一应用进程或者对于应用所建立的多个连接的同一连接而转发的。因此，为了在未加密数据及其对应的加密数据之间建立对应关系，可以采用加密数据的标识符。

拦截组件206可以生成加密数据的标识符，包括关于加密数据的标识信息。标识信息可以是加密数据的任何适当子集。标识信息可以包括标识应用204试图通过其来发送数据的连接和在进程空间207内执行的拦截组件206的实例的信息、以及/或者用于标识加密数据使得在数据检查工具210中在加密数据和其对应的未加密数据之间建立对应关系的任何其他适当的信息。

如图3中的箭头306所示，由拦截组件206获得的未加密数据和相对应的加密数据的标识符被转发给数据检查工具210。拦截组件206可以被加载到通过安全连接传送数据的每一个应用的进程空间。由此，可以执行拦截组件206的多个实例。将拦截和检查功能分开到单独的进程中可以改进存储器消耗的效率。

因而，在一些实施例中，尽管在进程空间207中由计算设备202的一个或多个处理器(例如图2中的处理器205)来执行拦截组件206，但是可以在一个分开的进程空间中由所述一个或多个处理器来执行数据检查工具210。这些分开的进程可以经由被称为远程过程调用(RPC)的进程间通信机制来通信，该进程间通信机制允许对驻留在一不同的进程中的功能的数据交换和调用。在一些实施例中，未加密数据和标识符可经由这样的RPC被转发至数据检查工具210。然而应当理解，由于本发明各实施例不限于这一方面，因此未加密数据和标识符可以任何适当的方式被转发至数据检查工具210。

如箭头308所示，加密组件208提供给应用204的加密数据可以被发送至服务提供者接口212。服务提供者接口212可以是可将加密数据转发给联网管理器214的TCP/IP组件216的WinSock或任何其他适当的组件。由此，如图3中的箭头310所示，服务提供者接口212可以把加密数据转发给联网管理器214的TCP/IP组件216。

如相应的箭头312和316所示，联网管理器214的TCP/IP组件216可以经由驱动程序314把加密数据转发给数据检查工具210。驱动程序314可以是可将加密数据从TCP/IP组件216提供给数据检查工具210的任何适当的组件。例如，驱动程序314可以是传输驱动程序接口(“TDI”)驱动程序、Windows过滤平台(“WFP”)驱动程序以及任何其他适当的组件。

图3示出数据检查工具210可以从拦截组件206接收(306)未加密数据以及对应于未加密数据的加密数据的标识符。同样，数据检查工具210可以从联网管理器214的驱动程序314接收(316)加密数据。数据检查工具210可以包括通过使用加密数据的标识符来在未加密数据和加密数据之间建立对应关系从而将未加密数据和加密数据相关的组件，诸如图3所示的相关组件318。作为相关的结果，数据检查工具210可以确定加密数据和未加密数据分别以加密形式和未加密的形式表示相同的数据。相关可以允许加密数据的异步检查，意味着多于一个的进程可以执行加密组件206的一个实例，每个实例拦截来自应用204的请求并把所拦截的未加密数据提供给数据检查工具210。

数据检查工具210也可以包括检查组件320，检查组件320检查加密数据以确定是允许加密数据通过网络的传输、还是阻止加密数据被传送。在一些实施例中，检查组件320可以在检查加密数据时使用一个或多个策略。图3示出数据检查工具210可以包括可由检查组件320在检查加密数据时使用的策略322。然而应当理解，由于策略可以位于计算设备202中的任何适当的组件中的一个或多个上，因此将策略322示出为数据检查工具210的一部分仅仅是示例性的。

策略322可由计算设备202以任何适当的方式并且从任何适当的源获得。例如，策略322可以是作为在计算设备202上安装的操作***(例如Windows操作***)的一部分被提供给计算设备202的缺省策略。可允许计算机的用户配置策略322。

在其中计算设备202是企业网络的一部分的本发明各实施例中，策略322可由计算设备202从对企业网络内的策略进行管理的工具处获得。例如，企业可以定义不允许哪些信息在形成企业网络的计算机之外被传送。策略322也可以包括和例如用户、应用、服务有关的信息，以及在检查传出(以及在一些实施例中的传入)网络通信时使用的任何其他适当的信息。在一些实施例中，策略322可经由因特网获得。然而应当理解，本发明各实施例不限于可以获得数据检查工具210的策略322的任何特定的方式。

数据检查工具210的检查加密数据中是否存在恶意数据的检查组件320或其他适当的组件可具有模式匹配能力，使其能标识所检查的数据中可能表示恶意软件的模式。然而应当理解，由于本发明各实施例不限于这一方面，因此对加密数据的检查可以以任何其他适当的方式来执行。

数据检查工具210可以任何适当的方式来实现。在一些实施例中，数据检查工具210可以是用于为网络通信提供安全性的被称为网络检查服务(NetworkInspection Service)的微软公司的一种实现。

在本发明的一些实施例中，数据检查工具210可以在用户模式中执行。为了接收可以从内核模式提供的数据，数据检查工具210可以包括被称为拦截点(未示出)的东西，拦截点可以被定义为用于从内核模式接收数据并将数据提供给数据检查工具210的核心的组件。

应当理解，结合图3示出的组件可以被存储在可以是任何适当的非瞬态、有形计算机存储介质的适当的计算机可读存储介质中。组件可由一个或多个处理器执行。在所示例子中，图3所示的组件可位于同一计算设备202上。然而应当理解，组件可位于不同的计算设备上，或者可以以适当的方式在多于一个的计算设备间分配。

图4示出拦截来自应用的对未加密数据进行加密的请求的过程400。未加密数据可以包括任何适当的文本、图像、图形信息、它们的任何组合或者任何其他适当的数据。

过程400可以在任何适当的时间开始。例如，过程400可以在应用(例如应用204)在计算设备上运行(例如用户正在使用应用204)并且试图通过网络传送数据时开始。例如，应用可以正试图发送电子邮件消息或者以任何其他适当的方式通过网络提供数据。

在框402，过程400可以拦截来自应用的对未加密数据进行加密的请求。请求可以是API调用，并且可以被定向至计算设备的操作***中的执行数据加密的组件(例如，图2和3中的加密组件208)。

请求的拦截可由例如拦截组件206(图2和3)来执行。在一些实施例中，它可以按照API挂钩技术执行。API挂钩允许对从应用到加密组件的请求进行拦截，所述请求包括要被加密组件加密的传出未加密数据。拦截还包括对请求的返回结果的拦截，在所示例子中，请求的返回结果是由加密组件作为对未加密数据进行加密的结果而提供的加密数据。加密可以用SSL协议来执行。然而，本发明各实施例不限于这一方面，可以使用任何其他适当的协议(例如TLS)或数据加密技术来对数据进行加密。

由此，拦截请求可允许在未加密数据已经被加密组件加密之后，获得对未加密数据以及对加密数据的访问。由此，在过程400的框404，可以从加密组件接收到加密数据。

接着，过程400可以继续到框406，在那里拦截组件可以把作为对来自应用的请求进行拦截的结果而获得的未加密数据转发至这样一个组件，该组件检查未加密数据中是否存在该未加密数据可触发安全性攻击的任何指示。在一些实施例中，这一组件可以是数据检查工具210(图2和3)。

除了将未加密数据转发至数据检查工具210以外，拦截组件可以向数据检查工具210转发加密数据的标识符，该加密数据是未加密数据的加密形式。标识符可以包括允许确定未加密数据和其加密形式(即加密数据)之间的对应关系的任何适当的信息。在一些实施例中，标识符可以是例如加密数据的一部分，诸如加密数据的前缀。前缀可以是例如加密数据的前32个字节或其他数量的字节。可以选择前缀，使得前缀中未使用加密数据的任何实际内容。当加密组件使用符合SSL协议的密码算法时，可以假定加密数据的前缀是足够随机的以将未加密数据和相对应的加密数据相关联。然而应当理解，由于本发明各实施例不限于这一方面，因此加密数据的标识符可以以任何适当的方式来实现。

如以上讨论的，可以执行多个应用进程，每个应用进程包括拦截组件的一个实例。因而，数据检查工具210可以接收多个加密数据以及多个未加密数据，它们可关于不同的应用进程。为了确定哪个加密数据对应于哪个未加密数据，数据检查工具210可采用标识符。

在框408，拦截组件可以把加密数据转发至数据检查工具210。如结合图5所示，该过程可以包括由加密数据遍历多个组件。

图5示出，在框502，应用可以将加密数据转发至服务提供者接口(例如服务提供者接口212)，服务提供者接口然后可以在框504将加密数据转发给联网管理器的TCP/IP组件，诸如图2和3所示的联网管理器214的TCP/IP组件216。在一些实施例中，服务提供者接口可以是Winsock。

接着，在框506，来自联网管理器的驱动程序(例如图3中的驱动程序314)可以从TCP/IP组件获得加密数据，并且在框508把加密数据转发给数据检查工具(例如数据检查工具210)。驱动程序214可以是例如传输驱动程序接口(“TDI”)驱动程序、Windows过滤平台(“WFP”)驱动程序、或者可以把加密数据从联网管理器提供给数据检查工具的任何其他适当的组件。应当理解，结合图4中的框502-508示出的处理是加密数据的示例性路径。根据所采用的操作***，可以使用任何适当的路径来把加密数据提供给数据检查工具。

图6示出过程600，过程600示出由诸如数据检查工具210这样的网络数据检查组件所执行的处理。过程600可以在任何适当的时间开始。例如，过程600可以在应用在计算设备(例如计算设备202)上执行并且试图通过网络传送传出数据时开始。这种网络通信可由数据检查工具210检查。

在框602，数据检查工具210可以从拦截组件接收加密数据的标识符和未加密数据，拦截组件可如上所述地获得这些数据。加密数据的标识符和未加密数据可以以能将标识符和未加密数据相关联的任何适当的方式提供给数据检查工具210。在一些实施例中，拦截组件可以使用远程过程调用来将加密数据的标识符和未加密数据转发至数据检查工具210。由此，数据检查工具210可以在与应用进程分开的进程中进行数据检查，这改进了检查传出网络通信的效率以及***的总存储器消耗。

在框604，数据检查工具210可以接收加密数据。应当理解，本发明的各实施例不限于执行框602和604中的处理的特定次序，框604处的处理可以在框602处的处理之前执行。

接着，在框606，数据检查工具210可以使用标识符将未加密数据和加密数据相关。相关可以包括确定加密数据是该特定未加密数据的加密形式。相关可以按任何合适的方式来执行。在一些实施例中，相关可以包括扫描加密数据(例如使用模式匹配技术)来确定加密数据是否包括标识符中所包括的信息。如果匹配成功，则可以确定加密数据是与标识符相关联的未加密数据的加密形式。

因而，在框608，数据检查工具210可以检查未加密数据以确定是否可允许该数据以包括加密数据的加密形式通过网络被传送。由于本发明各实施例不限于这一方面，因此确定可以以任何适当的方式执行。例如，可以应用适当的策略(例如图3中的策略322)来确定是否要阻止未加密数据的内容在计算机之外或在计算机所属的专用网络之外被访问。可以使用任何其他适当的技术来确定未加密数据是否包括会损害安全性的恶意数据。

在框610，基于对未加密数据的检查，可以确定是要允许加密数据的传输、还是阻止加密数据通过网络被传送。如果在框610确定允许加密数据通过网络被传送，则过程600可继续到框612，在那里可通过网络传送加密数据。否则，如果在框610确定不允许加密数据通过网络被传送，则过程600可分支到框614，在那里可阻止加密数据通过网络被传送。

无论是允许还是阻止加密数据通过网络被传送，过程600然后可结束。然而应当理解，由于在应用执行时可能有多于一个的应用进程在运行，因此数据检查工具210可继续操作。同样，可以在计算机上执行多个应用。

应当理解，即使结合对应用试图通过网络传送的传出数据进行的拦截和检查而描述了本发明各实施例，然而这里所述的技术和组件也可用于对传入数据进行解密和检查。计算设备所执行的应用可以通过网络以任何适当的方式请求任何适当的数据。例如，数据可经由web浏览器被下载、在电子邮件消息中被接收或者以任何其他适当的方式被提供给应用。

至此描述了本发明的至少一个实施例的若干方面，可以理解，本领域的技术人员可容易地想到各种更改、修改和改进。

这样的更改、修改和改进旨在是本发明的一部分，且旨在处于本发明的精神和范围内。从而，上述描述和附图仅用作示例。

可以用多种方式中的任一种来实现本发明的上述实施例。例如，可使用硬件、软件或其组合来实现各实施例。当使用软件实现时，该软件代码可在无论是在单个计算机中提供的还是在多个计算机之间分布的任何合适的处理器或处理器的集合上执行。

同样，计算机可以具有一个或多个输入和输出设备。这些设备主要可被用来呈现用户界面。可被用来提供用户界面的输出设备的示例包括用于可视地呈现输出的打印机或显示屏和用于可听地呈现输出的扬声器或其它声音生成设备。可被用于用户界面的输入设备的示例包括键盘和诸如鼠标、触摸板和数字化输入板等定点设备。作为另一示例，计算机可以通过语音识别或以其它可听格式来接收输入信息。

这些计算机可以通过任何合适形式的一个或多个网络来互连，包括作为局域网或广域网，如企业网络或因特网。这些网络可以基于任何合适的技术并可以根据任何合适的协议来操作，并且可以包括无线网络、有线网络或光纤网络。

而且，此处略述的各种方法或过程可被编码为可在采用各种操作***或平台中任何一种的一个或多个处理器上执行的软件。此外，这样的软件可使用多种合适的程序设计语言和/或程序设计或脚本工具中的任何一种来编写，而且它们还可被编译为可执行机器语言代码或在框架或虚拟机上执行的中间代码。

当此处描述的技术被具体化为计算机可执行指令时，这些计算机可执行指令可以用任何合适的方式来实现，包括被实现为多个功能工具，每一功能工具提供完成根据这些技术来操作的算法的执行所需的一个或多个操作。不论是如何实例化的，“功能工具”都是计算机***的一个结构组件，其在与一个或多个计算机集成并由其执行时使得该一个或多个计算机执行具体操作任务。功能工具可以是软件元素的一部分或是整个软件元素。例如，功能工具可被实现为进程的函数、或被实现为离散进程、或被实现为任何其他合适的处理单元。如果此处描述的技术被实现为多个功能工具，则每一功能工具可以按其自己的方式来实现；不必将所有功能工具以相同的方式来实现。另外，这些功能工具可在适当时并行或串行执行，并且可使用在其上执行这些模块的计算机上的共享存储器、使用消息传递协议、或以任何其他合适的方式，来在彼此之间传递信息。

一般而言，功能工具包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等。通常，功能工具的功能可以如它们在其中操作的***所需来组合或分布。在某些实现中，实现此处技术的一个或多个功能工具可一起形成完整的软件包，如作为基于web的社交联网服务。在替换实施例中，这些功能工具可适用于与其他不相关的功能工具和/或进程交互，来实现软件程序应用。在其他实现中，功能工具中的至少一些可适用于以形成操作***的方式来与其他功能工具交互，操作***包括可从华盛顿州雷蒙德市的微软公司获得的Windows操作***。换言之，在某些实现中，功能工具可以替换地被实现为操作***的一部分或在操作***外部实现。

本发明可被具体化为用一个或多个程序编码的一个或多个计算机可读介质(例如，计算机存储器、一个或多个软盘、紧致盘、光盘、磁带、闪存、现场可编程门阵列或其它半导体器件中的电路配置，或其他非瞬态的有形的计算机存储介质)，当这些程序在一个或多个计算机或其它处理器上执行时，它们执行实现本发明的上述各个实施例的方法。计算机可读存储介质或媒质可以是可转移的，使得其上存储的一个或多个程序可被加载到一个或多个不同的计算机或其它处理器上以便实现本发明上述的各个方面。

此处以一般的意义使用术语“程序”或“软件”来指可被用来对计算机或其他处理器编程以实现本发明上述的各个方面的任何类型的计算机代码或计算机可执行指令集。另外，应当理解，根据本实施例的一个方面，当被执行时实现本发明的方法的一个或多个计算机程序不必驻留在单个计算机或处理器上，而是可以按模块化的方式分布在多个不同的计算机或处理器之间以实现本发明的各方面。

计算机可执行指令可以具有可由一个或多个计算机或其他设备执行的各种形式，诸如程序模块。一般而言，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等。通常，程序模块的功能可以按需在各个实施例中进行组合或分布。

而且，数据结构能以任何适合的形式存储在计算机可读介质上。为简化说明，数据结构可被示为具有通过该数据结构中的位置而相关的字段。这些关系同样可以通过对各字段的存储分配传达各字段之间的关系的计算机可读介质中的位置来得到。然而，可以使用任何适合的机制来在数据结构的各字段中的信息之间建立关系，例如通过使用指针、标签、或在数据元素之间建立关系的其他机制。

本发明的各个方面可单独、组合或以未在前述实施例中特别讨论的各种安排来使用，从而并不将其应用限于前述描述中所述或附图形中所示的组件的细节和安排。例如，可使用任何方式将一个实施例中描述的各方面与其它实施例中描述的各方面组合。

同样，本发明可被具体化为方法，其示例已经提供。作为该方法的一部分所执行的动作可以按任何适合的方式来排序。因此，可以构建各个实施例，其中各动作以与所示的次序所不同的次序执行，不同的次序可包括同时执行某些动作，即使这些动作在各说明性实施例中被示为顺序动作。

在权利要求书中使用诸如“第一”、“第二”、“第三”等序数词来修饰权利要求元素本身并不意味着一个权利要求元素较之另一个权利要求元素的优先级、先后次序或顺序、或者方法的各动作执行的时间顺序，而仅用作将具有某一名字的一个权利要求元素与(若不是使用序数词则)具有同一名字的另一元素区分开的标签以区分各权利要求元素。

同样，此处所使用的短语和术语是出于描述的目的而不应被认为是限制。此处对“包括”、“包含”、或“具有”、“含有”、“涉及”及其变型的使用旨在包括其后所列的项目及其等效物以及其他项目。

Claims

1.一种用于操作包括至少一个处理器的计算机的方法，所述方法包括：

用所述至少一个处理器：

拦截(402)来自应用的对由加密组件对未加密数据进行加密的请求；

通过响应于请求而对未加密数据进行加密来获得(404)由加密组件生成的加密数据；以及

把加密数据的标识符和未加密数据转发(406)至数据检查工具，数据检查工具确定是否允许加密数据通过网络的传输。

2.如权利要求1所述的方法，其特征在于，加密数据的标识符包括加密数据的前缀。

3.如权利要求1所述的方法，其特征在于，加密组件是安全套接字层(SSL)组件。

4.如权利要求1所述的方法，还包括把加密数据提供(408)给数据检查工具。

5.如权利要求1所述的方法，其特征在于，把加密数据提供给数据检查工具包括：

把加密数据从应用转发至服务提供者接口，服务提供者接口把加密数据转发至联网管理器；以及

把加密数据从联网管理器转发至数据检查工具。

6.如权利要求1所述的方法，其特征在于，数据检查工具使用标识符在加密数据和未加密数据之间建立对应关系。

7.一种用于控制数据通过网络的传输的计算机***，所述***包括：

由至少一个处理器执行的试图通过网络发送数据的至少一个应用(204)；以及

拦截组件(206)，用于：

拦截(402)从至少一个应用到加密组件的用于对未加密数据进行加密的请求；

把加密数据的标识符和未加密数据转发(406)至数据检查工具；

其中通过以下操作把加密数据提供给数据检查工具：

由至少一个应用把加密数据提供(502)给服务提供者接口；

由服务提供者接口把加密数据提供(504)给联网管理器；以及

由联网管理器把加密数据提供(506、508)给数据检查工具。

8.如权利要求7所述的计算机***，其特征在于，数据检查工具使用加密数据的标识符来确定加密数据是未加密数据的加密形式。

9.如权利要求8所述的计算机***，其特征在于，数据检查工具还检查未加密数据以确定是否允许通过网络发送加密数据。

10.如权利要求7所述的计算机***，其特征在于，加密数据的标识符包括加密数据的前缀。