技術領域

本發明涉及計算機安全領域，通過對計算機中運行的代碼進行授權(二進制授權)，提高計算機軟件的安全。本發明可應用于病毒、木馬及網絡攻擊的防御、軟件知識產權的保護及新一代操作系統等方面。

背景技術

目前隨著計算機應用技術的發展和應用范圍的擴大，安全問題成為計算機領域一個非常重要的內容，據咨詢機構Infonetics最新出爐的研究報告，2006年全球網絡安全設備和軟件市場收入比上年增長了15％，達到了45億美元，并有望在2007年首次超過50億美元(數據來源：中國電子政務網-http://www.e-gov.org.cn/wangluoanquan/news003/200703/52284.html)，而這僅僅是網絡安全市場，表明計算機安全已經成為當前該領域一個非常嚴重的問題。以下分別列舉目前計算機安全領域幾個主要的方面來說明：

1、病毒防御：傳統的病毒防御大多采用特征碼比對的方式，目前主流的市場殺毒軟件大多采用此方式，這種方式明顯的缺陷很多，如滯后于新型病毒、病毒庫越來越龐大、面對不斷的新病毒變種疲于應付、消耗大量的計算機資源(如內存、CPU計算能力)和人力物力等等，非常被動，不符合計算機發展的趨勢。目前還有一些防病毒產品采用了所謂“行為特征判斷”、“微點主動防御”(“國家八六三計劃反計算機入侵和防病毒研究中心”專家委員會專家劉旭提出)等方法，但這種方法的效果很值得懷疑，此類方法一些已經應用于市場多年(如瑞星等產品)，效果并不理想。因為目前計算機應用范圍的擴大，各種用途的軟件不可勝數，新病毒的思路和方法也層出不窮，嚴格地講，可以說并不存在病毒和非病毒之間明確的“行為特征”差異，也不存在任何一種算法能夠實現“完全主動防御”所有病毒。因此，傳統的這些防病毒方法并不是好的出路。還有一些與傳統方法有區別的思路，如已公開的發明“危機病毒防治的軟件自我保護方法”(公開號：CN1068205A)、“計算機軟件保護方法”(公開號：CN1155700A)、“一種計算機病毒防御方法”(公開號：CN01140073.0、“一種預防病毒程序傳染的方法和系統”(公開號：CN01113879.3)、“一種基于軟件身份認證技術的計算機安全保護方法”(公開號：CN?200610078622.1)等等，由于各種缺陷，均不能或很難有效地徹底解決病毒問題。如CN01113879.3發明采用簡單限制程序讀寫來處理，既增加成本，又限制軟件功能發展利用，同時具有很大的局限性(很多病毒并不只限于在本機讀寫)；發明CN01140073.0分別針對各類常見病毒采用不同方式進行處理，效果也不理想，如對腳本病毒的處理采用判斷提示的方法，但實際中腳本和非腳本的判斷并非明顯，而且腳本并不全是以獨立文件形式存在；對宏病毒的處理則涉及相關知識產權和商業機密的壁壘，而且宏病毒的處理顯然過于浪費資源；對文件型病毒的處理采用寫入重定位，再利用知識庫進行查詢處理，但文件型病毒并非只存在于可執行文件中，可執行文件也并非全是一成不變的，對可執行文件的寫操作及變化不全是病毒行為等等；而且除了該發明列舉的4類病毒之外還有其它類型的病毒；發明CN?200610078622.1以軟件身份識別為基礎，采用安全認證數據庫和認證服務器進行集中認證的方法，這種方法有一定的先進性，但也存在一些明顯的缺陷，如什么是軟件？以該發明的描述看，顯然是以“可執行文件特征碼”為主體，存在較大的漏洞；該發明采用的“可信賴的權威機構認證”也存在時間、成本、可行性等方面的問題；該發明需要事先建立固定的安全認證數據庫，操作與維護均相當繁雜，包含已知和未知的程序數量可能有無數個，如何事先建立？對開發人員而言這種系統下調試程序將成為一種非常困難的操作，而且一旦實際需要執行具有一定危害特征的程序時在這種系統下將很難實現，無法實現向下兼容；該發明采用網絡協議的方式與認證服務器進行數據交換(即使認證服務器在同一臺機器上)，對無網絡設備或未安裝相關協議的計算機則無法實施，通過網絡協議進行數據交換的過程也容易被追蹤與篡改；另外采用這種方式成本非常高，也不能解決大量的單獨使用的計算機的問題。

近年來微軟針對軟件安全方面也采取了很多的措施，如以NTFS格式為代表的一系列安全措施，這種方式在一定程度上加強了系統的安全性，但由于其有以下局限性導致效果有限：安全授權主體是用戶，未涉及到全部可執行代碼；對可執行對象未進行有效的身份驗證；使用范圍有限等等。