專利名稱:一種通信方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種安全技術(shù)�,尤其涉及一種采用環(huán)境隔離的通信方法和裝置。
背景技術(shù):
現(xiàn)代社會已是一個網(wǎng)絡(luò)信息化的社會�����,人們的工作生活也越來越依賴于互 聯(lián)網(wǎng),越來越多的事情(如網(wǎng)上銀行���、證券交易�����、網(wǎng)上購物等)可以在互聯(lián)網(wǎng) 上進行。在互聯(lián)網(wǎng)上實現(xiàn)上述事情��,極大地方便了人們的工作和生活��,但隨之 帶來的網(wǎng)絡(luò)信息安全問題也越來越嚴重��,如��,黑客通過各種手段(如通過后門 軟件、木馬、病毒����、網(wǎng)絡(luò)釣魚等)來盜取某些關(guān)鍵網(wǎng)絡(luò)信息�����,如盜取帳號密碼 等����。
為了保障在通信過程中網(wǎng)絡(luò)信息的安全���,下面以網(wǎng)上銀行應(yīng)用為例來描述 現(xiàn)有技術(shù)中保障網(wǎng)絡(luò)信息安全的方法。如�����,為了防止黑客通過各種手段(如通 過后門軟件��、木馬�、病毒�、網(wǎng)絡(luò)釣魚等)來盜取某些關(guān)鍵網(wǎng)絡(luò)信息�����,目前的網(wǎng)
上銀行應(yīng)用主要用到了以下一些技術(shù)在進行身份認證時使用安全控件����、數(shù)字 證書��、移動證書等。
通過安全控件在登錄過程中進行身份認證���。這類安全控件通過防止鍵盤/ 消息鉤子��,過濾IE (Internet Explorer, —種瀏覽器)的COM (與其它對象通信 的數(shù)據(jù)接口 )口使普通的病毒/木馬程序捕獲不到網(wǎng)上銀行的賬號和密碼�。然而, 由于安全控件與病毒/木馬程序處于同一個操:作系統(tǒng)環(huán)境中����,而這類安全控件與 病毒/木馬處于同一層次,可能無法抑制有些病毒/木馬對用戶賬號和/或密碼的 盜耳又行為���。
通過數(shù)字證書在登錄過程中進行身份認證�。由于數(shù)字證書是保存在操作系 統(tǒng)中的一個普通文件�,在一個存在病毒/木馬的系統(tǒng)中,數(shù)字證書文件是可能被 盜取的�����,從而導(dǎo)致用戶的賬號和/或密碼被盜取后�����,利用數(shù)字證書��、賬號和/或 密碼進行身份認證����,進行不法行為���。
通過移動證書在登錄過程中進行身份認證��。盡管病毒/木馬無法盜取移動 證書�����,但如果系統(tǒng)中存在病毒/木馬�,同樣存在賬號和/或密碼被盜取的可能。 當賬號和/或密碼被盜取后��,對用戶來說仍然會存在很大的風險��。
發(fā)明內(nèi)容
本發(fā)明實施例提供了 一種通信方法和裝置����,可解決網(wǎng)絡(luò)信息被病毒/木馬之 類的軟件盜取的問題。
本發(fā)明的實施例l是供了一種通信方法����,包括 獲取用戶操作系統(tǒng)中的網(wǎng)絡(luò)配置; 加載定制的操:作系統(tǒng)和應(yīng)用����;
應(yīng)用在所述定制的操作系統(tǒng)下與其它實體根據(jù)所述網(wǎng)絡(luò)配置進行通信。 本發(fā)明實施例還提供了一種通信裝置,所述通信裝置包括安裝單元�����、應(yīng)用 單元�����、還原單元���。
所述安裝單元�,用于獲取用戶操作系統(tǒng)中的網(wǎng)絡(luò)配置���;加載定制的操作系 統(tǒng)��;在定制的操作系統(tǒng)中配置在用戶操作系統(tǒng)中獲取到的網(wǎng)絡(luò)配置�;加載應(yīng)用���; 所述應(yīng)用單元�,用于在所述定制的操作系統(tǒng)下與其它實體進行通信���。 根據(jù)本發(fā)明實施例�,通過將應(yīng)用在定制的操作系統(tǒng)上運行,實現(xiàn)了對應(yīng)用 的運行環(huán)境與用戶原有操作系統(tǒng)的完全隔離��,完全解決了用戶原有搡作系統(tǒng)上 存在病毒/木馬�����、間諜軟件��、用戶操作系統(tǒng)漏洞所帶來的問題���,從而避免了病毒 /木馬之類對網(wǎng)絡(luò)信息盜取的問題,也防止了用戶操作系統(tǒng)漏洞所帶來的各種隱 患�����。
圖l示出了本發(fā)明實施例的通信流程���; 圖2示出了本發(fā)明實施例的通信裝置���。
具體實施例方式
為了便于本領(lǐng)域一般技術(shù)人員理解和實現(xiàn)本發(fā)明,現(xiàn)結(jié)合附圖描繪本發(fā)明 的實施例��。
在本發(fā)明實施例中���,當用戶需要使用應(yīng)用(如網(wǎng)上銀行�����、證券交易軟件) 時����,保存用戶機器(如個人計算機、服務(wù)器等)上原操作系統(tǒng)的當前狀態(tài)���,然 后釋放出硬件資源以加載定制的操作系統(tǒng)�,將應(yīng)用加載在定制的操作系統(tǒng)中�����, 這樣���,應(yīng)用就運行在定制的操作系統(tǒng)之上���,與用戶機器上的操作系統(tǒng)完全實現(xiàn) 了物理隔離。從而可完全避免原操作系統(tǒng)中存在的諸如木馬/病毒等的危害�����。下 面通過實施例詳細描述本發(fā)明的通信方法和通信裝置。
實施例一
本實施例提供了一種通信方法����,在進行通信之前,需要獲取應(yīng)用安裝程序�, 并在用戶機器上運行應(yīng)用安裝程序,所述應(yīng)用安裝程序包括安裝程序����、應(yīng)用�、 定制操作系統(tǒng)、還原程序�����。
所述安裝程序用于獲取用戶操作系統(tǒng)中的網(wǎng)絡(luò)配置���;并保存用戶操作系統(tǒng) 的所有狀態(tài)����,加載定制的才乘作系統(tǒng)�����;在定制的l喿作系統(tǒng)中配置在用戶4喿作系統(tǒng) 中獲取到的網(wǎng)絡(luò)配置;加載應(yīng)用(如網(wǎng)上銀行���、證券交易軟件)�。當用戶申請 某個業(yè)務(wù)后��,可從服務(wù)商處獲得應(yīng)用安裝程序����。所述應(yīng)用安裝程序可存儲在只 讀存儲介質(zhì)(如光盤)中。
所述應(yīng)用用于與其它實體(如網(wǎng)絡(luò)側(cè)實體����、或其它客戶端)進行通信,即 安裝有應(yīng)用的用戶機器與其它實體(如網(wǎng)絡(luò)側(cè)實體�、或其它客戶端)進行通信。
所述定制操作系統(tǒng)用于為應(yīng)用提供運行環(huán)境�����。所述定制操作系統(tǒng)可以是任 意的操作系統(tǒng)��,能為應(yīng)用提供運行環(huán)境���。
所述還原程序����,用于當用戶使用完該應(yīng)用時,退出該應(yīng)用�����;關(guān)閉定制的操
作系統(tǒng)�;啟動用戶的操作系統(tǒng);還原保存的系統(tǒng)狀態(tài)���; 如圖1所示,下面描述本發(fā)明實施例的通信方法�。 步驟IOI、獲取用戶操作系統(tǒng)中的網(wǎng)絡(luò)配置�。
通過讀取用戶操作系統(tǒng)中的系統(tǒng)配置文件或查看系統(tǒng)狀態(tài)獲取系統(tǒng)當前 的網(wǎng)絡(luò)配置,并將獲取的網(wǎng)絡(luò)配置保存起來�。
步驟102、保護現(xiàn)場�,即,保存用戶才喿作系統(tǒng)的所有狀態(tài)����。
為了保存用戶操作系統(tǒng)的所有狀態(tài),可將當前系統(tǒng)整個內(nèi)存的信息進行保 存�����,如以文件形式進行保存,以保存當前操作系統(tǒng)的狀態(tài)�����。
步驟103�����、加載定制的操作系統(tǒng)�,所述定制的操作系統(tǒng)可以在光盤、U盤等 移動存儲介質(zhì)中���。
步驟104���、在定制的操作系統(tǒng)中配置在用戶操作系統(tǒng)中獲取到的網(wǎng)絡(luò)配置。 步驟105�����、在定制的操作系統(tǒng)下加載應(yīng)用(如網(wǎng)上銀行��、證券交易軟件)。
即����,在制定化的搮:作系統(tǒng)加載完成以后再加載應(yīng)用。
步驟106����、在所述定制的操作系統(tǒng)下,應(yīng)用與其它實體(如網(wǎng)絡(luò)側(cè)實體���、 或其它客戶端)進行通信���,即,安裝有應(yīng)用的用戶機器與其它實體(如網(wǎng)絡(luò)側(cè) 實體����、或其它客戶端)進行通信��。
步驟107�����、當用戶使用完該應(yīng)用時����,退出該應(yīng)用���。
步驟108、關(guān)閉定制的操作系統(tǒng)����。
步驟109、啟動用戶的才喿作系統(tǒng)���。
步驟IIO���、恢復(fù)現(xiàn)場,即�,還原被保存的所述用戶操作系統(tǒng)的所有狀態(tài)。 所述還原保存的系統(tǒng)狀態(tài)是指�,將備份的內(nèi)存數(shù)據(jù)還原到內(nèi)存中,以恢復(fù)操作 系統(tǒng)切換前的狀態(tài)��。
在上述流程中��,也可省略步驟102��,同時省略步驟108至110;另外���,也可 省略步驟107及步驟108��。
當用戶在用戶機器上需要使用某些應(yīng)用(如網(wǎng)上4艮行���、證券交易軟件)時�����, 保存用戶操作系統(tǒng)的狀態(tài)���,然后釋放出硬件資源,加載定制的才喿作系統(tǒng)���,這樣
應(yīng)用就運行在定制的操作系統(tǒng)之上���,與用戶操作系統(tǒng)完全實現(xiàn)了隔離,避免了 用戶操作系統(tǒng)上存在的病毒���、木馬、間諜軟件����、用戶才喿作系統(tǒng)漏洞等對應(yīng)用造
成安全威脅。
實施例二
如圖2所示,本實施例提供了一種通信裝置�,所述通信裝置包括安裝單元、 應(yīng)用單元��、還原單元���。
所述安裝單元用于獲取用戶操作系統(tǒng)中的網(wǎng)絡(luò)配置�����;并保存用戶搡作系統(tǒng) 的所有狀態(tài)�,加載定制的操作系統(tǒng)�;在定制的操作系統(tǒng)中配置在用戶操作系統(tǒng) 中獲取到的網(wǎng)絡(luò)配置;在所述定制的操作系統(tǒng)下加載應(yīng)用(如網(wǎng)上銀行�、證券 交易軟件)。所述定制操作系統(tǒng)用于為應(yīng)用單元提供運行環(huán)境����。所述定制操作 系統(tǒng)可以是任意的操作系統(tǒng),只要能為應(yīng)用提供運行環(huán)境即可����。
所述安裝單元包括獲取模塊,用于獲取用戶操作系統(tǒng)中的網(wǎng)絡(luò)配置����;存 儲模塊�,用于存儲用戶操作系統(tǒng)的所有狀態(tài)(存儲方法可參見實施例一中步驟 102);第一加載才莫塊����,用于加載定制的梯:作系統(tǒng);配置4莫塊�����,用于在定制的 操作系統(tǒng)中配置在用戶搡作系統(tǒng)中獲取到的網(wǎng)絡(luò)配置�;第二加載4莫塊,用于在 所述定制的操作系統(tǒng)下加載應(yīng)用(如網(wǎng)上銀行�����、證券交易軟件)����。
所述應(yīng)用單元用于在所述定制的操作系統(tǒng)下與其它實體(如網(wǎng)絡(luò)側(cè)實體、 或其它客戶端)進行通信��;當應(yīng)用單元通信完畢時�,關(guān)閉定制的操作系統(tǒng)。
所述還原單元��,用于啟動用戶的操作系統(tǒng)���;根據(jù)所述存儲模塊存儲的用戶 操作系統(tǒng)的所有狀態(tài)還原用戶操作系統(tǒng)的狀態(tài)�。
所述還原單元包括啟動模塊����,用于啟動用戶的操作系統(tǒng);還原模塊�,用 于在用戶的操作系統(tǒng)上根據(jù)所述存儲模塊存儲的用戶操作系統(tǒng)的所有狀態(tài)還 原用戶操作系統(tǒng)的狀態(tài)。
根據(jù)本發(fā)明實施例��,通過將應(yīng)用在定制的才喿作系統(tǒng)上運行����,實現(xiàn)了應(yīng)用的 運行環(huán)境與用戶原有操作系統(tǒng)的完全隔離,完全解決了用戶原有系統(tǒng)上存在病 毒�����、木馬�����、間諜軟件�、用戶操作系統(tǒng)漏洞等對應(yīng)用造成的安全威脅����。當用戶需
要使用這些應(yīng)用時�����,保存用戶操作系統(tǒng)的狀態(tài)�,然后釋放出硬件資源,加載定 制的操作系統(tǒng)����,這樣應(yīng)用就運行在定制的操作系統(tǒng)之上,與用戶操作系統(tǒng)完全 實現(xiàn)了隔離���,避免了用戶操作系統(tǒng)上存在的病毒��、木馬����、間諜軟件����、用戶操作 系統(tǒng)漏洞等對應(yīng)用造成安全威脅。
雖然通過實施例描繪了本發(fā)明�,但本領(lǐng)域普通^^支術(shù)人員知道���,在不脫離本 發(fā)明的精神和實質(zhì)的情況下,就可使本發(fā)明有許多變形和變化��,本發(fā)明的范圍 由所附的權(quán)利要求來限定����。
權(quán)利要求
1�����、一種通信方法��,其特征在于�,包括獲取用戶操作系統(tǒng)中的網(wǎng)絡(luò)配置;加載定制的操作系統(tǒng)和應(yīng)用����;所述應(yīng)用在所述定制的操作系統(tǒng)下與其它實體根據(jù)所述網(wǎng)絡(luò)配置進行通信。
2�����、 根據(jù)權(quán)利要求l所述的方法����,其特征在于�����,在所述加載定制的操作系統(tǒng) 和應(yīng)用步驟之前���,所述方法還包括保存所述用戶才喿作系統(tǒng)的所有狀態(tài)。
3���、 根據(jù)權(quán)利要求2所述的方法�,其特征在于�,在執(zhí)行所述應(yīng)用在所述定制 的操作系統(tǒng)下與其它實體根據(jù)所述網(wǎng)絡(luò)配置進行通信的步驟之后,所述方法還 包括還原被保存的所述用戶操作系統(tǒng)的所有狀態(tài)��。
4���、 根據(jù)權(quán)利要求l所述的方法�����,其特征在于����,在執(zhí)行所述獲取用戶操作系 統(tǒng)中的網(wǎng)絡(luò)配置之前,所述方法還包括獲得所述應(yīng)用的安裝程序��。
5��、 根據(jù)權(quán)利要求4所述的方法���,其特征在于,所述應(yīng)用的安裝程序存儲在 只讀介質(zhì)中���。
6����、 一種通信裝置����,其特征在于,所述通信裝置包括安裝單元��,用于獲取用戶操作系統(tǒng)中的網(wǎng)絡(luò)配置�;加載定制的才喿作系統(tǒng); 在定制的操作系統(tǒng)中配置在用戶操作系統(tǒng)中獲取到的所述網(wǎng)絡(luò)配置�����,并加載應(yīng) 用;應(yīng)用單元�����,用于在所述定制的操作系統(tǒng)下與其它實體進行通信��。
7����、 根據(jù)權(quán)利要求6所述的通信裝置,其特征在于�,所述安裝單元包括 獲取模塊,用于獲取所述用戶操作系統(tǒng)中的所述網(wǎng)絡(luò)配置����; 第一加載模塊,用于加載所述定制的操作系統(tǒng)����;配置模塊,用于在所述定制的操作系統(tǒng)中配置在所述用戶操作系統(tǒng)中獲取 到的所述網(wǎng)絡(luò)配置�����;第二加載^t塊,用于在所述定制的^喿作系統(tǒng)下加載所述應(yīng)用。
8���、 根據(jù)權(quán)利要求7所述的通信裝置��,其特征在于���,所述安裝單元還包括 存儲模塊����,用于存儲用戶操作系統(tǒng)的所有狀態(tài)。
9���、 根據(jù)權(quán)利要求8所述的通信裝置,其特征在于,所述裝置還包括 還原單元,用于當所述應(yīng)用單元通信完畢時�,關(guān)閉所述定制的才喿作系統(tǒng)����;啟動所述用戶操作系統(tǒng)����;根據(jù)所述存儲模塊存儲的所述用戶操作系統(tǒng)的所有狀 態(tài)還原所述用戶操作系統(tǒng)的系統(tǒng)狀態(tài)。
10��、 根據(jù)權(quán)利要求9所述的通信裝置����,其特征在于,所述還原單元包括 啟動模塊����,用于啟動所述用戶操作系統(tǒng);還原模塊����,用于在所述啟動模塊啟動的所述用戶操:作系統(tǒng)下,根據(jù)所述存 儲模塊存儲的用戶操作系統(tǒng)的所有狀態(tài)還原所述用戶操作系統(tǒng)的狀態(tài)����。
全文摘要
本發(fā)明的實施例提供了一種通信方法和裝置�,可解決網(wǎng)絡(luò)信息被病毒/木馬之類的軟件盜取的問題。所述通信方法包括獲取用戶操作系統(tǒng)中的網(wǎng)絡(luò)配置�;加載定制的操作系統(tǒng)和應(yīng)用;應(yīng)用在所述定制的操作系統(tǒng)下與其它實體根據(jù)所述網(wǎng)絡(luò)配置進行通信���。所述通信裝置包括安裝單元�、應(yīng)用單元。根據(jù)本發(fā)明實施例���,通過將應(yīng)用在定制的操作系統(tǒng)上運行�,實現(xiàn)了對應(yīng)用的運行環(huán)境與用戶原有操作系統(tǒng)的完全隔離����,完全解決了用戶原有操作系統(tǒng)上存在病毒/木馬、間諜軟件�、用戶操作系統(tǒng)漏洞所帶來的問題,從而避免了病毒/木馬之類對網(wǎng)絡(luò)信息盜取的問題����,也防止了用戶操作系統(tǒng)漏洞所帶來的各種隱患。
文檔編號H04L29/06GK101355551SQ200710130019
公開日2009年1月28日 申請日期2007年7月23日 優(yōu)先權(quán)日2007年7月23日
發(fā)明者陳偉峰, 顧凌志 申請人:華為技術(shù)有限公司