專利名稱:使用許可向應(yīng)用程序分配設(shè)備資源的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及用于計(jì)算機(jī)設(shè)備中的應(yīng)用程序的處理��,尤其涉及按應(yīng)用程序準(zhǔn)許設(shè)備資源���。
背景無線通信這幾年經(jīng)歷了蓬勃發(fā)展�。隨著顧客和商務(wù)越來越依賴于他們的無線設(shè)備,比如無線電話和個(gè)人數(shù)字助理(PDA)�,無線服務(wù)提供商,即通信公司���,努力提供這些無線設(shè)備上的附加功能�����。該附加功能不僅會(huì)增加對(duì)無線設(shè)備的需求��,而且還增加了當(dāng)前用戶中的使用率�。
當(dāng)考慮在無線設(shè)備上執(zhí)行應(yīng)用程序時(shí)����,無線設(shè)備的環(huán)境面臨獨(dú)特的挑戰(zhàn)。需要開發(fā)下載應(yīng)用程序并且刪除應(yīng)用程序的方法���。此外�,需要無線設(shè)備上的安全性���。安全性關(guān)系到無線設(shè)備��,包括以可能的最佳方式控制環(huán)境�,使得應(yīng)用程序不能有意或無意地使無線設(shè)備上或者無線設(shè)備進(jìn)行通信的網(wǎng)絡(luò)上的其他文件降級(jí)或損壞。
應(yīng)用程序在執(zhí)行期間要求它們所執(zhí)行的設(shè)備上的各種資源���。這些資源包括存儲(chǔ)器(包括主存儲(chǔ)器和輔助存儲(chǔ)器)����、CPU時(shí)間和/或訪問�����、I/O端口��、特別是顯示器�����、揚(yáng)聲器�、鍵盤或鍵區(qū)和麥克風(fēng)�����。如果設(shè)備連到網(wǎng)絡(luò)�����,應(yīng)用程序也可能希望訪問設(shè)備資源以使用網(wǎng)絡(luò),例如設(shè)備上的撥號(hào)器�����。
希望控制應(yīng)用程序?qū)υO(shè)備資源的訪問作為一種安全性措施���,來限制應(yīng)用程序可能會(huì)對(duì)該設(shè)備��、或連接到設(shè)備的其他設(shè)備的任何損壞�����。這個(gè)損壞可能通過病毒對(duì)應(yīng)用程序上是有意的�,或者在用寫得很差的代碼執(zhí)行應(yīng)用程序時(shí)是無意的����,后者中的代碼無意地主宰了資源并且使其對(duì)其他應(yīng)用程序不可用或者是損壞的。
目前�����,用于控制設(shè)備資源的方法是基于用戶特權(quán)級(jí)別的�。如果用戶是系統(tǒng)上的一般用戶,就向他或她提供了訪問資源的級(jí)別����,該級(jí)別根據(jù)他們所需的來預(yù)期���。無論用戶在設(shè)備上施加或執(zhí)行什么應(yīng)用程序,只要應(yīng)用程序在那些用戶特權(quán)下執(zhí)行����,那些應(yīng)用程序?qū)υO(shè)備就都有相同訪問權(quán)利。
例如�,如果用戶是設(shè)備所連接到的網(wǎng)絡(luò)上的系統(tǒng)管理員或系統(tǒng)工程師,該用戶就可能有較高的特權(quán)級(jí)別�����,如“超級(jí)用戶”���,并且被給予到設(shè)備和網(wǎng)絡(luò)資源更多的訪問。盡管類似地對(duì)一般用戶��,這個(gè)超級(jí)用戶的特權(quán)在超級(jí)用戶執(zhí)行的所有應(yīng)用程序上都是相同的���。在該情況下���,由一般用戶執(zhí)行的相同應(yīng)用程序可能在由超級(jí)用戶執(zhí)行時(shí)被準(zhǔn)許附加的資源�����。
然而���,這種實(shí)踐不允許設(shè)備限制設(shè)備的按應(yīng)用程序分配的資源。雖然用戶自身可能試圖限制應(yīng)用程序?qū)Y源的訪問����,這對(duì)那些維護(hù)設(shè)備和設(shè)備所位于的網(wǎng)絡(luò)的資源不提供任何安全性。用戶可以避免限制資源��,并因此根據(jù)為用戶定義的特權(quán)級(jí)別而損壞設(shè)備資源或網(wǎng)絡(luò)資源�。
因此,本領(lǐng)域中需要一種系統(tǒng)和方法����,它用于保護(hù)設(shè)備和所連接網(wǎng)絡(luò)的資源,還通過允許按應(yīng)用程序?qū)Y源的準(zhǔn)許權(quán)利而提高了管理設(shè)備資源的靈活性����。
發(fā)明概述通過允許應(yīng)用程序根據(jù)與應(yīng)用程序相關(guān)的一組許可來訪問設(shè)備的資源,符合本發(fā)明的系統(tǒng)和方法克服了現(xiàn)有系統(tǒng)的缺點(diǎn)���。
在一個(gè)實(shí)施例中���,本發(fā)明提供了在設(shè)備上存儲(chǔ)應(yīng)用程序的方法���,包括以下步驟在設(shè)備處接收應(yīng)用程序;在設(shè)備處接收許可列表���,其中許可列表指示應(yīng)用程序可能在設(shè)備上可以訪問的資源���;以及把所述應(yīng)用程序和許可列表存儲(chǔ)在設(shè)備上。
在另一實(shí)施例中���,本發(fā)明提供了允許訪問設(shè)備資源的方法�����,包括以下步驟從應(yīng)用程序接收對(duì)設(shè)備資源的請(qǐng)求�����;評(píng)估與應(yīng)用程序相關(guān)的許可列表,其中許可列表指示應(yīng)用程序可以訪問的資源�����;以及根據(jù)許可列表內(nèi)的指示準(zhǔn)許應(yīng)用程序訪問設(shè)備資源。
在還有一個(gè)實(shí)施例中�,本發(fā)明提供了使許可列表與應(yīng)用程序相關(guān)聯(lián)的方法,包括以下步驟接收應(yīng)用程序�����;至少接收與一個(gè)或多個(gè)與設(shè)備資源相關(guān)聯(lián)的一個(gè)或多個(gè)特許權(quán)利����,其中特許權(quán)利指示對(duì)相關(guān)設(shè)備資源的訪問;以及使用所述一個(gè)或多個(gè)特許權(quán)利以及與一個(gè)或多個(gè)設(shè)備資源的每一個(gè)相關(guān)的字段����,創(chuàng)建一個(gè)許可列表,其中所述許可列表與一應(yīng)用程序相關(guān)聯(lián)并且用于評(píng)估應(yīng)用程序是否會(huì)訪問所述一個(gè)或多個(gè)設(shè)備資源���。
在下面的描述和附圖中也描述了本發(fā)明的進(jìn)一步實(shí)施例���。
附圖簡(jiǎn)述通過下面提出的結(jié)合附圖的詳細(xì)描述,本發(fā)明的特征��、性質(zhì)和優(yōu)點(diǎn)將變得更加明顯�����,附圖中相同的元件具有相同的標(biāo)識(shí),其中
圖1是描述其中可以實(shí)現(xiàn)本發(fā)明的示例性實(shí)施例的系統(tǒng)結(jié)構(gòu)環(huán)境的框圖���;圖2是描述其中可以實(shí)現(xiàn)本發(fā)明的包含帶有資源的無線設(shè)備的無線系統(tǒng)結(jié)構(gòu)的框圖�;圖3是描述本發(fā)明示例性實(shí)施例中的無線設(shè)備的組件的框圖����;圖4是描述本發(fā)明的示例性實(shí)施例中,在設(shè)備上執(zhí)行具有資源的許可列表的應(yīng)用程序的過程流程圖�;以及圖5是描述本發(fā)明的示例性實(shí)施例中,為不同設(shè)備的相同應(yīng)用程序指定多個(gè)許可列表的能力的框圖�����。
優(yōu)選實(shí)施例的詳細(xì)描述現(xiàn)在將詳細(xì)參照如圖中說明的當(dāng)前本發(fā)明的示例性和優(yōu)選的實(shí)施例���,附圖中相同的符號(hào)是指相同或相應(yīng)的部分�。在結(jié)合附圖考慮了下列詳細(xì)描述后�����,本發(fā)明的性質(zhì)�、目的和優(yōu)點(diǎn)對(duì)于本領(lǐng)域的技術(shù)人員來說將變得更為明顯。
引言符合本發(fā)明的系統(tǒng)和方法限制了應(yīng)用程序?qū)τ?jì)算機(jī)設(shè)備上的設(shè)備資源的訪問���。雖然可以為用戶定義特許級(jí)別�����,該特許級(jí)別限制了對(duì)設(shè)備資源的訪問����,然而本發(fā)明的系統(tǒng)和方法按應(yīng)用程序限制了應(yīng)用程序?qū)υO(shè)備資源的訪問���,并且提供了管理設(shè)備資源時(shí)增加的靈活性和安全性����。設(shè)備資源包括提供對(duì)功能的訪問或者執(zhí)行某功能的設(shè)備的所有組件�����。這些包括但不限于設(shè)備的存儲(chǔ)器��、主存儲(chǔ)器和輔助存儲(chǔ)器����、輸入/輸出(“I/O”)端口、網(wǎng)絡(luò)訪問、撥號(hào)器�、揚(yáng)聲器、顯示器����、鍵盤/鍵區(qū)、麥克風(fēng)�、設(shè)備可訪問的無論是在設(shè)備自身上面還是位于網(wǎng)絡(luò)上的文件和資源。
本發(fā)明使許可列表與應(yīng)用程序相關(guān)聯(lián)����。應(yīng)用程序的開發(fā)者、系統(tǒng)管理員����、或者通信公司或設(shè)備制造商等其他授權(quán)機(jī)構(gòu),可以為設(shè)備上使用的應(yīng)用程序創(chuàng)建這個(gè)許可列表�����,或者提供輸入來創(chuàng)建該許可列表�。此外,可以使用服務(wù)器根據(jù)從在設(shè)備上執(zhí)行應(yīng)用程序的授權(quán)者����、實(shí)體或用戶而來的輸入�����,來創(chuàng)建許可列表���。當(dāng)在設(shè)備上安裝該應(yīng)用程序和許可列表時(shí)���,應(yīng)用程序執(zhí)行時(shí)僅被允許訪問許可列表中所準(zhǔn)許的資源�。本領(lǐng)域的技術(shù)人員會(huì)認(rèn)識(shí)到����,設(shè)備會(huì)進(jìn)一步限制應(yīng)用程序訪問許可列表外的資源。例如�,用戶可能無權(quán)訪問設(shè)備上的資源,而應(yīng)用程序已被許可訪問�����。本發(fā)明的這個(gè)替代實(shí)施例可以提供附加的限制�����,并因此即使當(dāng)根據(jù)與設(shè)備和/或用戶相關(guān)的其他特許級(jí)別已經(jīng)在許可列表內(nèi)許可時(shí)��,也拒絕訪問該資源。
通過在許可列表內(nèi)把設(shè)備資源與應(yīng)用程序相關(guān)聯(lián)��,可以為使用相同的應(yīng)用程序創(chuàng)建多個(gè)許可列表����。因而,在不同的設(shè)備上���,可以準(zhǔn)許相同的應(yīng)用程序訪問不同的資源�。
本領(lǐng)域的技術(shù)人員會(huì)認(rèn)識(shí)到��,上面描述了為了描述簡(jiǎn)化而分發(fā)和執(zhí)行的應(yīng)用程序文件類型�。“應(yīng)用程序”也可以包括具有可執(zhí)行內(nèi)容的文件����,比如對(duì)象代碼、腳本�����、java文件����、書簽文件(或PQA文件)�、WML腳本�����、字節(jié)代碼以及perl腳本����。此外�����,這里所指的“應(yīng)用程序”還可以包括本質(zhì)上不可執(zhí)行的文件��,比如需要打開的文檔或者需要被訪問的其他數(shù)據(jù)文件�。
圖1是描述系統(tǒng)結(jié)構(gòu)環(huán)境的框圖,該環(huán)境中可以實(shí)現(xiàn)本發(fā)明的示例性實(shí)施例���。設(shè)備115能夠執(zhí)行應(yīng)用程序105��。設(shè)備115可以是任何計(jì)算設(shè)備�,比如個(gè)人計(jì)算機(jī)���、包括移動(dòng)和固定無線設(shè)備在內(nèi)的無線設(shè)備��、連接在一起的計(jì)算設(shè)備的組合�。設(shè)備115具有與設(shè)備115相關(guān)的資源120。這些資源包括設(shè)備的組件�����,它們提供了功能�����,或者對(duì)設(shè)備115內(nèi)外的功能的訪問����。設(shè)備資源120的示例包括存儲(chǔ)器,包括主存儲(chǔ)器和輔助存儲(chǔ)器�;麥克風(fēng);連接到設(shè)備的網(wǎng)絡(luò)���;訪問連接到設(shè)備的其他設(shè)備的撥號(hào)器���,包括那些通過網(wǎng)絡(luò)連接的撥號(hào)器;存儲(chǔ)在存儲(chǔ)器中的文件����,包括對(duì)這些文件的讀��、寫和修改操作��;I/O端口��;由設(shè)備支持的其他組件�,比如全球衛(wèi)星定位(“GPS”)功能�。
應(yīng)用程序105經(jīng)由網(wǎng)絡(luò)110或通過某些其他安裝機(jī)制被安裝在設(shè)備上,比如通過使用本地驅(qū)動(dòng)器的CD-ROM��,或者從另一計(jì)算機(jī)通過直接連接的文件傳輸��。應(yīng)用程序105一般會(huì)請(qǐng)求使用設(shè)備的資源120����。例如���,如果應(yīng)用程序105的功能是通過網(wǎng)絡(luò)撥號(hào)到其他設(shè)備��,則該應(yīng)用程序可以請(qǐng)求訪問存儲(chǔ)器�����,該存儲(chǔ)器中包括設(shè)備的地址或撥號(hào)號(hào)碼��,它還可以請(qǐng)求訪問設(shè)備的撥號(hào)器����,使用從存儲(chǔ)器接收到的號(hào)碼來發(fā)出對(duì)另一設(shè)備的呼叫。
服務(wù)器100是本發(fā)明所使用的一個(gè)機(jī)制�,用于把應(yīng)用程序105傳輸至設(shè)備115。許可列表(未示出)可由服務(wù)器100創(chuàng)建���,并且與應(yīng)用程序105相關(guān)聯(lián)以用于設(shè)備105上����。為了應(yīng)用程序的安全傳輸���,以及任何其他數(shù)據(jù)傳輸��,服務(wù)器可以結(jié)合修改檢測(cè)技術(shù)����,比如對(duì)于本領(lǐng)域技術(shù)人員公知的數(shù)字簽名�。通過使用該技術(shù),設(shè)備可以檢驗(yàn)信息�,比如應(yīng)用程序,以確定它是否在被設(shè)備接收前已被修改。而且�����,這個(gè)檢驗(yàn)還可以發(fā)生在每次執(zhí)行應(yīng)用程序以前�����,以確定該信息即使在被設(shè)備接收后是否也發(fā)生任何修改���。
網(wǎng)絡(luò)110可以是任何專用或公共的網(wǎng)絡(luò)���,比如局域網(wǎng)和/或因特網(wǎng)。網(wǎng)絡(luò)110還可以完全地是或結(jié)合了一無線射頻網(wǎng)絡(luò)�����。此外����,網(wǎng)絡(luò)110可以結(jié)合專用線路��、公共交換電話網(wǎng)����,并且支持?jǐn)?shù)據(jù)�����、語音或者它們的組合�����。
圖2是描述無線系統(tǒng)結(jié)構(gòu)的框圖�,該結(jié)構(gòu)包含本發(fā)明示例性實(shí)施例中帶有資源的無線設(shè)備���。中央服務(wù)器202是一實(shí)體����,它或由自身或與認(rèn)證服務(wù)器組合來認(rèn)證應(yīng)用程序與所定義的一組編程標(biāo)準(zhǔn)或慣例兼容�����。如上所述��,可以建立這些標(biāo)準(zhǔn)�,使得應(yīng)用程序會(huì)在高通(QUALCOMM)公司研發(fā)的BREWTM軟件平臺(tái)上執(zhí)行。
在一個(gè)實(shí)施例中�,中央服務(wù)器數(shù)據(jù)庫204包括在任何時(shí)刻被下載到網(wǎng)絡(luò)200中的各個(gè)無線設(shè)備230上的各個(gè)應(yīng)用程序的標(biāo)識(shí)的記錄��、下載應(yīng)用程序的個(gè)人的電子服務(wù)號(hào)(“ESN”)�、以及對(duì)于攜帶該應(yīng)用程序的無線設(shè)備230唯一的移動(dòng)標(biāo)識(shí)號(hào)(“MIN”)���?��;蛘撸醒敕?wù)器數(shù)據(jù)庫204包含無線設(shè)備模型的網(wǎng)絡(luò)200中每個(gè)無線設(shè)備230����、無線網(wǎng)絡(luò)通信公司、其中使用無線設(shè)備230的區(qū)域的記錄�,以及用于標(biāo)識(shí)哪個(gè)無線設(shè)備230攜帶哪些應(yīng)用程序的任何其他信息。此外�,中央服務(wù)器數(shù)據(jù)庫還可以存儲(chǔ)標(biāo)識(shí)與應(yīng)用程序相關(guān)的信息的這個(gè)開發(fā)者。
中央服務(wù)器202在網(wǎng)絡(luò)208上與一個(gè)或多個(gè)計(jì)算機(jī)服務(wù)器206通信�����,比如在因特網(wǎng)(最好是安全的)上��。服務(wù)器206還通過網(wǎng)絡(luò)208與載體網(wǎng)絡(luò)210通信��。載體網(wǎng)絡(luò)210通過因特網(wǎng)和POTS(簡(jiǎn)易普通電話系統(tǒng))兩者(圖2中總體標(biāo)識(shí)為211)與MSC 212進(jìn)行通信���。載體網(wǎng)絡(luò)210和MSC 212之間的因特網(wǎng)連接211傳輸數(shù)據(jù)��,而POTS 211傳輸語音信息��。MSC 212又連接到多個(gè)基站(“BTS”)214�����。MSC 212通過因特網(wǎng)211(用于數(shù)據(jù)傳輸)和POTS 211(用于語音信息)兩者連到BTS���。BTS 214通過短消息服務(wù)(“SMS”)或任何其他通過空中方法把郵件無線地發(fā)送到無線設(shè)備230。
上述網(wǎng)絡(luò)可以用于把應(yīng)用程序和/或許可列表發(fā)送到計(jì)算機(jī)設(shè)備����,比如無線設(shè)備230。在一個(gè)實(shí)施例中�,應(yīng)用程序具有使其區(qū)別于其他應(yīng)用程序的唯一標(biāo)識(shí)符。在被設(shè)備接收以前�,在執(zhí)行應(yīng)用程序以前,以及在許可應(yīng)用程序訪問資源以前��,應(yīng)用程序和許可列表可以包括數(shù)字簽名來檢測(cè)修改�����。這個(gè)數(shù)字簽名可以被捆綁到應(yīng)用程序和許可列表,并且或被捆綁地或分開地被存儲(chǔ)在無線設(shè)備上��,但仍然與應(yīng)用程序和許可列表相關(guān)聯(lián)�����。應(yīng)用程序和許可列表從中央處理器被發(fā)送到各個(gè)服務(wù)器206之一�、通過MSC和BTS被發(fā)送到無線設(shè)備230。
圖3是描述本發(fā)明示例性實(shí)施例中無線設(shè)備的組件的框圖��。無線設(shè)備300包含控制程序305�、應(yīng)用程序310,每個(gè)應(yīng)用程序都有許可列表320和數(shù)字簽名325�,以及資源315。本領(lǐng)域的技術(shù)人員會(huì)認(rèn)識(shí)到�����,應(yīng)用程序310可以執(zhí)行不同的任務(wù)��。而且�,每個(gè)應(yīng)用程序110可以具有與該應(yīng)用程序相關(guān)的單獨(dú)許可列表、以及一般對(duì)于每個(gè)應(yīng)用程序和許可列表是唯一的數(shù)字簽名�����。本領(lǐng)域的技術(shù)人員還可以認(rèn)識(shí)到�����,315中列出的資源是許多設(shè)備資源的示例�����?���?赡苡性S多與設(shè)備相關(guān)的資源,包括哪些設(shè)備可訪問的在設(shè)備外部的資源�,根據(jù)許可列表可以準(zhǔn)許應(yīng)用程序進(jìn)行訪問。
在一個(gè)實(shí)施例中�����,控制程序305位于設(shè)備上以幫助管理對(duì)資源315的訪問�。控制程序305的功能可以結(jié)合到無線設(shè)備的操作系統(tǒng)中��,或者可以是獨(dú)立的API����,比如高通公司開發(fā)的BREWTMAPI�?����?刂瞥绦?05可以根據(jù)授予應(yīng)用程序的特權(quán)來準(zhǔn)許或拒絕該應(yīng)用程序?qū)Y源的訪問����。
在一個(gè)實(shí)施例中,這些特權(quán)通過與應(yīng)用程序相關(guān)的許可列表320來確定��。許可列表320包含一資源的羅列315�、以及指明應(yīng)用程序是否被準(zhǔn)許訪問設(shè)備上的任何特定資源315的指示。例如����,許可列表320可以包括“麥克風(fēng)”和“揚(yáng)聲器”的字段。在每個(gè)字段中一個(gè)標(biāo)志的設(shè)定指明了應(yīng)用程序是否能訪問麥克風(fēng)或揚(yáng)聲器�����。在某些情況下�,麥克風(fēng)字段內(nèi)設(shè)置的標(biāo)志指示應(yīng)用程序可以訪問麥克風(fēng)。在其他情況下����,不設(shè)置該標(biāo)志從而拒絕訪問���。最好在許可列表內(nèi)具有盡可能多的資源,以及與每一個(gè)相關(guān)的標(biāo)志�,所述標(biāo)志指明了應(yīng)用程序是否能訪問相關(guān)的資源。
許可列表320可以由服務(wù)器創(chuàng)建�,并且與應(yīng)用程序一起被發(fā)送到無線設(shè)備320����。許可列表可以通過許多方式創(chuàng)建,例如包括由應(yīng)用程序開發(fā)者或中間授權(quán)者所創(chuàng)建��。這能允許那些授權(quán)者��、實(shí)體或有關(guān)方確定應(yīng)用程序?qū)υO(shè)備資源的訪問�����,所述授權(quán)者��、實(shí)體或有關(guān)方可能會(huì)受到設(shè)備資源的誤用所影響��。因而����,第三方���,比如通信公司,可以通過定義與無線設(shè)備所執(zhí)行的并且在載體網(wǎng)絡(luò)上使用的應(yīng)用程序相關(guān)的許可���,從而控制對(duì)無線設(shè)備資源的訪問����。
數(shù)字簽名325幫助確定應(yīng)用程序310和/或許可列表320是否已被修改��。數(shù)字簽名325可以用許可列表�����、應(yīng)用程序或者兩者的組合來創(chuàng)建�。最好使用數(shù)字簽名、或者某些其他修改檢測(cè)技術(shù)��。通過檢測(cè)許可列表或應(yīng)用程序是否被修改�,設(shè)備對(duì)以下具有較高的置信度,即沒有其他進(jìn)程或應(yīng)用程序有意或無意地破壞應(yīng)用程序或許可列表��。這防止應(yīng)用程序獲得對(duì)最初未被許可的資源的訪問��,并且提高了應(yīng)用程序的可靠和安全執(zhí)行。
圖4是按照本發(fā)明一個(gè)示例性實(shí)施例描述執(zhí)行應(yīng)用程序過程的流程圖����,所述應(yīng)用程序?qū)υO(shè)備上的資源具有一個(gè)許可列表。創(chuàng)建許可列表并且使其與應(yīng)用程序相關(guān)聯(lián)(步驟400)�。在一個(gè)實(shí)施例中,許可列表包含應(yīng)用程序會(huì)在其上運(yùn)行的設(shè)備的資源字段�����。這些字段包含一些標(biāo)志�����,這些標(biāo)志根據(jù)是否允許應(yīng)用程序訪問與字段相關(guān)聯(lián)的資源而被設(shè)定��。
許可列表可以根據(jù)來自應(yīng)用程序開發(fā)者的輸入而創(chuàng)建���。同樣,它可以基于從希望批準(zhǔn)設(shè)備的資源使用的授權(quán)者來的輸入�����。授權(quán)者�,比如無線網(wǎng)絡(luò)中的通信公司,可能希望限制應(yīng)用程序在網(wǎng)絡(luò)上所作所為的范圍。通過限制應(yīng)用程序?qū)υO(shè)備資源的訪問�,授權(quán)者已經(jīng)限制了應(yīng)用程序可以所作用的范圍。
然后����,使用所述應(yīng)用程序和許可列表創(chuàng)建數(shù)字簽名(步驟405)。數(shù)字簽名的使用對(duì)于本領(lǐng)域的技術(shù)人員來說是眾所周知的���;它允許檢測(cè)對(duì)用于創(chuàng)建數(shù)字簽名的文件的任何修改���。盡管為了實(shí)現(xiàn)本發(fā)明的一個(gè)實(shí)施例數(shù)字簽名不是必要的,然而數(shù)字簽名最好應(yīng)用于應(yīng)用程序和數(shù)字簽名兩者��。這允許設(shè)備檢驗(yàn)應(yīng)用程序和許可列表是否已被修改�。如果它們被修改,設(shè)備會(huì)選擇不執(zhí)行應(yīng)用程序���,因此防止被破壞的應(yīng)用程序或許可列表訪問設(shè)備的資源�����。
可以在把應(yīng)用程序安裝在設(shè)備上之前在服務(wù)器處創(chuàng)建許可列表和數(shù)字簽名��。
然后�����,設(shè)備接收應(yīng)用程序�����、許可列表和數(shù)字簽名(步驟410)�。這可以通過從網(wǎng)絡(luò)下載該信息或者將它直接安裝到設(shè)備上而執(zhí)行,后一種方式使用從與該設(shè)備直接相連的另一計(jì)算機(jī)而來的文件傳輸或者通過某些傳輸機(jī)制來執(zhí)行�,比如通過本地驅(qū)動(dòng)器的CD-ROM。
設(shè)備針對(duì)許可列表和應(yīng)用程序來評(píng)估數(shù)字簽名�����,以確定在應(yīng)用程序被設(shè)備接收之前是否有修改(步驟415)��。在一個(gè)實(shí)施例中��,設(shè)備上執(zhí)行的控制程序執(zhí)行這個(gè)評(píng)估�。
如果確定應(yīng)用程序和/或許可列表已被修改(步驟420)���,則處理結(jié)束(步驟455)�����。設(shè)備可以在該點(diǎn)執(zhí)行任何數(shù)量的功能�,包括移去應(yīng)用程序和許可列表、將其標(biāo)記為被破壞的數(shù)據(jù)���、以及/或者通知應(yīng)用程序和許可列表的始發(fā)者該應(yīng)用程序和/或許可列表已被修改并且開始另一個(gè)安裝���。
如果在步驟420中確定未發(fā)生任何修改,則應(yīng)用程序就在設(shè)備上執(zhí)行(步驟425)����。這個(gè)執(zhí)行可以由于用戶發(fā)起一請(qǐng)求或者由于另一應(yīng)用程序或進(jìn)程的請(qǐng)求的結(jié)果而發(fā)生。
然后���,應(yīng)用程序請(qǐng)求設(shè)備上的資源(步驟430)���。在該實(shí)施例中,應(yīng)用程序想要設(shè)備上的資源來執(zhí)行一項(xiàng)功能�。例如,應(yīng)用程序可能希望在無線設(shè)備上開始一呼叫�����,并且正在請(qǐng)求對(duì)設(shè)備上的撥號(hào)器進(jìn)行訪問����。
控制程序評(píng)估與應(yīng)用程序相關(guān)的許可列表(步驟435)�。如果許可列表指示應(yīng)用程序具有特權(quán)來訪問所請(qǐng)求的資源(步驟440)�,則應(yīng)用程序就被準(zhǔn)予訪問該資源(步驟445)。于是進(jìn)程結(jié)束(步驟455)����。
如果在步驟440中許可列表指示應(yīng)用程序不具有訪問所請(qǐng)求的資源的特權(quán),則拒絕訪問該資源的請(qǐng)求(步驟450)�。于是進(jìn)程結(jié)束(步驟455)。在結(jié)束前��,設(shè)備和/或控制程序可以采取幾個(gè)動(dòng)作����,包括終止執(zhí)行應(yīng)用程序、允許執(zhí)行繼續(xù)但不訪問資源����、以及/或者通知始發(fā)者或其他授權(quán)者應(yīng)用程序已經(jīng)請(qǐng)求了一項(xiàng)資源并且它被拒絕���。
圖5是描述在本發(fā)明的示例性實(shí)施例中為不同設(shè)備的相同應(yīng)用程序執(zhí)行多個(gè)許可列表的能力的框圖���。服務(wù)器500包含要被多個(gè)設(shè)備(設(shè)備A 520和設(shè)備B 535)所使用的應(yīng)用程序�。在該實(shí)施例中��,服務(wù)器產(chǎn)生與設(shè)備的應(yīng)用程序相關(guān)聯(lián)的許可列表��。服務(wù)器200可以使用來自多個(gè)源的輸入����,比如設(shè)備A 520和設(shè)備B 535會(huì)連接至的網(wǎng)絡(luò)通信公司(未示出)、設(shè)備制造商(未示出)���、以及應(yīng)用程序開發(fā)者(未示出)��。在另一實(shí)施例中����,許可列表在別處產(chǎn)生并被存儲(chǔ)在服務(wù)器500上��。在任何情況下��,許可列表被定義�,并且指示對(duì)于特定的一個(gè)設(shè)備或一類設(shè)備的應(yīng)用程序可用的資源,這些設(shè)備如連接到特定網(wǎng)絡(luò)的所有設(shè)備���。
服務(wù)器500包含許可列表A 510和許可列表B 515����,分別用于設(shè)備A 520和設(shè)備B 535。服務(wù)器500把應(yīng)用程序505與許可列表A 510一起發(fā)送到設(shè)備A 520����。在一個(gè)實(shí)施例中,服務(wù)器使用數(shù)字簽名525��,數(shù)字簽名525是用應(yīng)用程序505和許可列表A 510信息所創(chuàng)建的����。應(yīng)用程序505、許可列表A 510和數(shù)字簽名525可以參照?qǐng)D4由設(shè)備A 520評(píng)估�����,以便準(zhǔn)予應(yīng)用程序505訪問設(shè)備A的資源545�。
服務(wù)器還把應(yīng)用程序505與許可列表B 515一起發(fā)送到設(shè)備B 535。在一個(gè)實(shí)施例中�����,服務(wù)器500使用數(shù)字簽名530���,數(shù)字簽名530是用應(yīng)用程序505和許可列表B 515信息所創(chuàng)建的�����。應(yīng)用程序505�����、許可列表A 515和數(shù)字簽名530可以參照?qǐng)D4由設(shè)備B 535評(píng)估��,以便準(zhǔn)予應(yīng)用程序505訪問設(shè)備B的資源555����。
本領(lǐng)域的技術(shù)人員會(huì)認(rèn)識(shí)到�,許可列表A 510和許可列表B 515會(huì)有在它們中定義的不同的資源訪問權(quán)利。如果確實(shí)如此��,即使是相同的應(yīng)用程序�����,應(yīng)用程序505也會(huì)有不同的訪問權(quán)利��。而且�����,這些訪問權(quán)利取決于應(yīng)用程序,而不是基于用戶的�����。
或者�����,本發(fā)明的另一實(shí)施例包括單個(gè)設(shè)備�,該設(shè)備具有與其相關(guān)的多個(gè)許可列表。根據(jù)一種情況�,可以與所執(zhí)行的應(yīng)用程序一起使用特定的許可列表。
結(jié)論這樣����,本發(fā)明根據(jù)所執(zhí)行的應(yīng)用程序允許對(duì)一個(gè)設(shè)備或多個(gè)設(shè)備的資源的訪問。用戶特權(quán)級(jí)別雖然影響了對(duì)用于所執(zhí)行的所有應(yīng)用程序的資源的訪問��,然而它不提供這里所述并且由本發(fā)明要求保護(hù)的增加的資源分配粒度����。本發(fā)明允許進(jìn)一步改進(jìn)按照應(yīng)用程序?yàn)榛A(chǔ)許可對(duì)資源的訪問,從而提供了對(duì)設(shè)備資源管理的更直接的控制和靈活性�����,并且提供了更安全的應(yīng)用程序執(zhí)行環(huán)境。
而且���,本發(fā)明允許設(shè)備控制外的授權(quán)者根據(jù)應(yīng)用程序而不是根據(jù)用戶特權(quán)級(jí)別對(duì)資源分配做出決定。這在應(yīng)用程序不僅影響設(shè)備而且還影響連到網(wǎng)絡(luò)的其他組件的網(wǎng)絡(luò)環(huán)境中特別有用�。
為了說明和描述目的給出了上述對(duì)本發(fā)明實(shí)現(xiàn)的描述。它不是窮舉的�,也不把本發(fā)明限制為所公開的精確形式?����?紤]到上述原理并且從實(shí)踐本發(fā)明中得知���,修改和變化是可行的�����。例如��,所述實(shí)現(xiàn)包括軟件�,但本發(fā)明的一個(gè)實(shí)施例可以用硬件和軟件的組合���、或者用硬件單獨(dú)實(shí)現(xiàn)�。本發(fā)明可以用面向?qū)ο蠛头敲嫦驅(qū)ο蟮木幊滔到y(tǒng)來實(shí)現(xiàn)。此外�,盡管所述本發(fā)明的各方面被存儲(chǔ)在存儲(chǔ)器中,然而本領(lǐng)域的技術(shù)人員會(huì)理解���,這些方面也可以被存儲(chǔ)在其他類型的計(jì)算機(jī)可讀媒體上��,比如像硬盤��、軟盤或CD-ROM這樣的輔助存儲(chǔ)設(shè)備�����;來自因特網(wǎng)或其他傳播媒體的載波�;或者其他形式的RAM或ROM�����。本發(fā)明的范圍由權(quán)利要求及其等價(jià)物所定義��。
權(quán)利要求
1.一種在設(shè)備上存儲(chǔ)應(yīng)用程序的方法�,包括以下步驟在設(shè)備處接收一應(yīng)用程序;在設(shè)備處接收一許可列表�����,其中所述許可列表指示應(yīng)用程序可以在設(shè)備上訪問的應(yīng)用程序;以及把所述應(yīng)用程序和許可列表存儲(chǔ)在設(shè)備上���。
2.如權(quán)利要求1所述的方法����,其特征在于��,所述許可列表是用來自授權(quán)當(dāng)局的輸入創(chuàng)建的�����。
3.如權(quán)利要求2所述的方法�,其特征在于��,所述授權(quán)當(dāng)局是與設(shè)備分開的實(shí)體����。
4.如權(quán)利要求1所述的方法,還包括以下步驟在設(shè)備上執(zhí)行所述應(yīng)用程序�;以及根據(jù)所述許可列表準(zhǔn)許應(yīng)用程序訪問設(shè)備的資源。
5.如權(quán)利要求1所述的方法���,還包括接收修改檢測(cè)技術(shù)的步驟�����,其中根據(jù)來自許可列表的信息創(chuàng)建數(shù)字簽名���。
6.如權(quán)利要求1所述的方法��,其特征在于��,所述設(shè)備是一無線設(shè)備��。
7.一種用于執(zhí)行應(yīng)用程序的設(shè)備���,包括控制程序,可作為在手機(jī)資源和應(yīng)用程序之間的接口工作�����,其中所述控制程序可用于從應(yīng)用程序接收對(duì)設(shè)備資源的請(qǐng)求��,并且根據(jù)與所述應(yīng)用程序相關(guān)聯(lián)的許可列表內(nèi)包含的數(shù)據(jù)����,準(zhǔn)許所述應(yīng)用程序訪問所述設(shè)備資源���。
8.如權(quán)利要求7所述的設(shè)備,其特征在于�����,所述設(shè)備是一無線設(shè)備��。
9.如權(quán)利要求7所述的設(shè)備����,其特征在于��,所述控制程序還用于評(píng)估與所述許可列表相關(guān)聯(lián)的數(shù)字簽名����。
10.一種允許訪問設(shè)備資源的方法,包括以下步驟從應(yīng)用程序接收對(duì)設(shè)備資源的請(qǐng)求����;評(píng)估與所述應(yīng)用程序相關(guān)聯(lián)的許可列表,其中所述許可列表指明應(yīng)用程序可訪問的資源�;以及根據(jù)所述許可列表內(nèi)的所述指示準(zhǔn)許應(yīng)用程序訪問設(shè)備資源。
11.如權(quán)利要求10所述的方法���,還包括以下步驟接收至少與許可列表相關(guān)聯(lián)的數(shù)字簽名�;以及評(píng)估所述數(shù)字簽名以確定所述許可列表是否已被修改。
12.如權(quán)利要求10所述的方法�,還包括以下步驟根據(jù)所述許可列表內(nèi)的指示拒絕應(yīng)用程序訪問設(shè)備資源。
13.如權(quán)利要求10所述的方法���,其特征在于�����,所述設(shè)備資源位于連到所述設(shè)備的第二設(shè)備上���。
14.如權(quán)利要求10所述的方法,其特征在于��,所述許可列表是從服務(wù)器接收的�,所述服務(wù)器根據(jù)來自授權(quán)當(dāng)局的要求創(chuàng)建了所述許可列表。
15.一種允許訪問設(shè)備資源的方法�,包括以下步驟從應(yīng)用程序接收對(duì)設(shè)備資源的請(qǐng)求;評(píng)估與所述應(yīng)用程序相關(guān)聯(lián)的許可列表�����,其中所述許可列表指明應(yīng)用程序可訪問的資源����;以及根據(jù)所述許可列表內(nèi)的指示拒絕應(yīng)用程序訪問設(shè)備資源���。
16.一種使許可列表與應(yīng)用程序相關(guān)聯(lián)的方法,包括以下步驟接收一應(yīng)用程序��;至少接收與一個(gè)或多個(gè)設(shè)備資源相關(guān)聯(lián)的一個(gè)或多個(gè)特許權(quán)利����,其中所述特許權(quán)利指示對(duì)所述相關(guān)聯(lián)設(shè)備資源的訪問;以及使用所述一個(gè)或多個(gè)特許權(quán)利以及與所述一個(gè)或多個(gè)設(shè)備資源的每一個(gè)相關(guān)的字段來創(chuàng)建許可列表����,其中所述許可列表與應(yīng)用程序相關(guān)聯(lián),并且用于評(píng)估所述應(yīng)用程序是否可以訪問所述一個(gè)或多個(gè)設(shè)備資源��。
17.如權(quán)利要求16所述的方法�,其特征在于還包括把所述許可列表發(fā)送到設(shè)備的步驟���。
18.如權(quán)利要求17所述的方法��,其特征在于還包括使用所述許可列表內(nèi)的信息創(chuàng)建數(shù)字簽名��,并把所述數(shù)字簽名發(fā)送到所述設(shè)備��。
19.如權(quán)利要求16所述的方法����,還包括以下步驟至少接收與第二設(shè)備的一個(gè)或多個(gè)設(shè)備資源相關(guān)聯(lián)的一個(gè)或多個(gè)特許權(quán)利,其中所述特許權(quán)利指示對(duì)所述相關(guān)的第二設(shè)備資源的訪問��;以及使用所述一個(gè)或多個(gè)特許權(quán)利以及與所述一個(gè)或多個(gè)第二設(shè)備資源的每一個(gè)相關(guān)聯(lián)的字段來創(chuàng)建許可列表�,其中所述許可列表與所述應(yīng)用程序相關(guān)聯(lián),并且用于評(píng)估所述應(yīng)用程序是否可以訪問所述一個(gè)或多個(gè)第二設(shè)備資源��。
20.一種用于在設(shè)備上存儲(chǔ)應(yīng)用程序的系統(tǒng)����,包括用于在設(shè)備處接收應(yīng)用程序的裝置;用于在設(shè)備處接收許可列表的裝置����,其中所述許可列表指示所述應(yīng)用程序可以在設(shè)備上訪問的資源;以及用于把所述應(yīng)用程序和許可列表存儲(chǔ)在設(shè)備上的裝置�。
21.一種允許訪問設(shè)備資源的系統(tǒng),包括用于從應(yīng)用程序接收對(duì)設(shè)備資源的請(qǐng)求的裝置����;用于評(píng)估與所述應(yīng)用程序相關(guān)聯(lián)的許可列表的裝置,其中所述許可列表指示所述應(yīng)用程序可訪問的資源;以及用于根據(jù)所述許可列表內(nèi)的指示準(zhǔn)許所述應(yīng)用程序訪問設(shè)備資源的裝置��。
22.一種使許可列表與應(yīng)用程序相關(guān)聯(lián)的系統(tǒng)�,包括用于接收應(yīng)用程序的裝置;用于至少接收與一個(gè)或多個(gè)設(shè)備資源相關(guān)聯(lián)的一個(gè)或多個(gè)特許權(quán)利的裝置����,其中所述特許權(quán)利指示對(duì)所述相關(guān)設(shè)備資源的訪問;以及使用所述一個(gè)或多個(gè)特許權(quán)利以及與所述一個(gè)或多個(gè)設(shè)備資源的每一個(gè)相關(guān)聯(lián)的字段來創(chuàng)建許可列表的裝置��,其中所述許可列表與應(yīng)用程序相關(guān)聯(lián)�,并且用于評(píng)估所述應(yīng)用程序是否可以訪問所述一個(gè)或多個(gè)設(shè)備資源。
23.一種包含計(jì)算機(jī)可執(zhí)行指令的計(jì)算機(jī)可讀媒介��,所述計(jì)算機(jī)可執(zhí)行指令用于在設(shè)備上存儲(chǔ)一應(yīng)用程序�,所述應(yīng)用程序在執(zhí)行時(shí)執(zhí)行一種方法,所述方法包括以下步驟在設(shè)備處接收一應(yīng)用程序�����;在設(shè)備處接收一許可列表��,其中所述許可列表指示應(yīng)用程序可以在設(shè)備上訪問的應(yīng)用程序�����;以及把所述應(yīng)用程序和許可列表存儲(chǔ)在設(shè)備上�����。
24.一種包含計(jì)算機(jī)可執(zhí)行指令的計(jì)算機(jī)可讀媒體�,所述計(jì)算機(jī)可執(zhí)行指令允許對(duì)設(shè)備資源訪問,在執(zhí)行時(shí)執(zhí)行一種方法���,所述方法包括以下步驟從應(yīng)用程序接收對(duì)設(shè)備資源的請(qǐng)求��;評(píng)估與所述應(yīng)用程序相關(guān)聯(lián)的許可列表�,其中所述許可列表指明應(yīng)用程序可訪問的資源��;以及根據(jù)所述許可列表內(nèi)的所述指示準(zhǔn)許應(yīng)用程序訪問設(shè)備資源��。
25.一種包含計(jì)算機(jī)可執(zhí)行指令的計(jì)算機(jī)可讀媒介���,所述計(jì)算機(jī)可執(zhí)行指令用于將許可列表與應(yīng)用程序相關(guān)聯(lián)�����,所述應(yīng)用程序在執(zhí)行時(shí)執(zhí)行一種方法�����,所述方法包括以下步驟接收一應(yīng)用程序��;至少接收與一個(gè)或多個(gè)設(shè)備資源相關(guān)聯(lián)的一個(gè)或多個(gè)特許權(quán)利�,其中所述特許權(quán)利指示對(duì)所述相關(guān)聯(lián)設(shè)備資源的訪問;以及使用所述一個(gè)或多個(gè)特許權(quán)利以及與所述一個(gè)或多個(gè)設(shè)備資源的每一個(gè)相關(guān)聯(lián)的字段來創(chuàng)建許可列表�����,其中所述許可列表與應(yīng)用程序相關(guān)聯(lián)�,并且用于評(píng)估所述應(yīng)用程序是否可以訪問所述一個(gè)或多個(gè)設(shè)備資源。
26.如權(quán)利要求5所述的方法����,其特征在于,所述修改檢測(cè)技術(shù)是根據(jù)來自應(yīng)用程序的信息而創(chuàng)建的�����。
全文摘要
根據(jù)與應(yīng)用程序(505)相關(guān)聯(lián)的特權(quán)來準(zhǔn)許應(yīng)用程序(505)對(duì)設(shè)備(520)資源的訪問�����。服務(wù)器(500)創(chuàng)建許可列表(510�����,515)��,許可列表指示應(yīng)用程序(505)可以訪問的資源(545)���。在應(yīng)用程序(505)請(qǐng)求資源(545)的應(yīng)用程序執(zhí)行期間����,設(shè)備(520)上執(zhí)行的控制程序(540)用于檢驗(yàn)與應(yīng)用程序(505)相關(guān)聯(lián)的許可列表(510)�����,以確定應(yīng)用程序(505)是否可以訪問資源(545)�。
文檔編號(hào)G06F21/22GK1556959SQ02818504
公開日2004年12月22日 申請(qǐng)日期2002年8月13日 優(yōu)先權(quán)日2001年8月13日
發(fā)明者S·A·斯普里格, L·倫德布雷德, S A 斯普里格, 虜祭椎 申請(qǐng)人:高通股份有限公司