專利名稱:用于應(yīng)用的執(zhí)行的安全管理的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種用于應(yīng)用的執(zhí)行的安全管理的過程。本發(fā)明與蜂窩電話的域相關(guān),并更具體地與連接到蜂窩電話網(wǎng)絡(luò)的智能終端的域相關(guān)。此處稱為“智能”的終端是能下載多媒體或活動內(nèi)容的移動電話。術(shù)語“活動內(nèi)容”指能在移動電話上執(zhí)行并因此能實現(xiàn)所述移動電話的功能的程序。應(yīng)認(rèn)為這里所述及的所有電話均為智能終端。智能電話使能對不同內(nèi)部資源的管理,所述資源可從不同的擴展端口或通過下載的多媒體或活動內(nèi)容訪問。該限定不限制本發(fā)明的范圍。
本發(fā)明的一個目的是使由在所述移動電話上執(zhí)行的程序?qū)υ撘苿与娫挼馁Y源的訪問安全。
背景技術(shù):
背景技術(shù):
系統(tǒng)實施安全的代碼執(zhí)行環(huán)境。該環(huán)境基于“虛擬機”的實施,所述虛擬機是移動電話的操作系統(tǒng)的頂上的一層。虛擬機執(zhí)行特別為其所寫的程序。因此,虛擬機是這些程序?qū)嵤┑南葲Q條件。虛擬機是特定程序和移動電話操作系統(tǒng)之間,換言之,是特定程序與移動電話的功能之間的中介。
然而,電話具有結(jié)合的虛擬機這一事實并不阻止訪問移動電話的功能的其他非特定程序的實施。因此,由虛擬機實施的安全策略僅被限定用于特定程序。
此外,這樣的策略仍然限于移動電話,且例如,未計劃與SIM卡的交互。例如,一個這樣的安全模型是對應(yīng)Java語言和虛擬機的MIDP 2.0型。
背景技術(shù):
還實施通過域管理的安全策略,其中每個應(yīng)用屬于一個域。域限定了對精確定義的功能以及甚至對所有電話功能的訪問權(quán)限。此例中,所有應(yīng)用必須屬于一域。結(jié)果,如果應(yīng)用要求特定權(quán)限,必須定義一新域并將該域分配給所述應(yīng)用。換言之,這涉及為應(yīng)用執(zhí)行于其中的移動電話的所有功能、包括為應(yīng)用不使用的功能重新限定權(quán)限。這占用大量的存儲器容量。
當(dāng)權(quán)限由域管理時,權(quán)限由域、換言之針對屬于所述域的所有應(yīng)用來更新。因此不可能獨立于其他應(yīng)用為一特定應(yīng)用更新權(quán)限。
發(fā)明內(nèi)容
本發(fā)明中,通過為每個應(yīng)用關(guān)聯(lián)一標(biāo)識符來解決這些問題。當(dāng)應(yīng)用處于活動時,該應(yīng)用的一個實例由電話的操作系統(tǒng)管理。該管理通常通過存儲器上下文而執(zhí)行,所述上下文描述所述應(yīng)用實例的當(dāng)前狀態(tài)、所消耗的資源、所使用的通信系統(tǒng)、在給定時刻鏈接到所述應(yīng)用的父和子進(jìn)程(以上列表不是窮盡性的,并不限制本發(fā)明的范圍)。該上下文是操作系統(tǒng)用于管理應(yīng)用之間或應(yīng)用內(nèi)的優(yōu)先權(quán)和中斷的入口點。在本發(fā)明的范圍內(nèi),應(yīng)用標(biāo)識符是具有恒定值的數(shù)據(jù)項,對于活動應(yīng)用的當(dāng)前實例,該信息通過操作系統(tǒng)所管理的存儲器上下文來提供。在相同應(yīng)用的幾個實例同時處于活動的情況下,操作系統(tǒng)管理幾個不同的存儲器上下文,但因為我們在處理相同的應(yīng)用代碼,該應(yīng)用標(biāo)識符的值因此對所有上下文相同。
本發(fā)明中,每個資源都清楚地被標(biāo)識,并且當(dāng)應(yīng)用試圖訪問它時其可識別為資源。該資源標(biāo)識可以是隱式的,因為在此情況下標(biāo)識經(jīng)由清楚標(biāo)識的應(yīng)用編程接口(API)的使用,或者當(dāng)使用清楚包括在存儲器段中的存儲器地址時所述資源標(biāo)識可以是顯式的,所述存儲器段自身標(biāo)識為要保護(hù)的資源。稍后提供對資源的概念的更詳盡的定義。本發(fā)明中,每個資源與應(yīng)用標(biāo)識符表相關(guān)聯(lián),該列表中的每個標(biāo)識符與有關(guān)資源的權(quán)限相關(guān)聯(lián)。當(dāng)應(yīng)用試圖訪問移動電話上的資源或功能時,操作系統(tǒng)掃描與資源相關(guān)聯(lián)的表以確定所述應(yīng)用是否已標(biāo)識并提取有關(guān)所述資源的應(yīng)用所擁有的權(quán)限。該應(yīng)用的隨后執(zhí)行由對所述權(quán)限的讀取來指示。
本發(fā)明中每個資源與單獨授權(quán)以修改與所述資源相關(guān)聯(lián)的表的所有者相關(guān)聯(lián)。
因此,本發(fā)明使能對與應(yīng)用相關(guān)聯(lián)的權(quán)限的詳細(xì)限定以及對所述權(quán)限的隨后修改,而不影響其他應(yīng)用。
因此,本發(fā)明涉及用于移動電話上的應(yīng)用的執(zhí)行的安全管理的過程,應(yīng)用訪問由操作系統(tǒng)管理的移動電話上的資源,其中所述移動電話上的資源是可識別的,并且與可以或可以不授權(quán)來實施資源的應(yīng)用標(biāo)識符表相關(guān)聯(lián),后者具有唯一授權(quán)來更新應(yīng)用列表的所有者;針對每個被訪問的資源,操作系統(tǒng)應(yīng)用對應(yīng)于訪問應(yīng)用的權(quán)限列表;并且每個應(yīng)用具有唯一標(biāo)識符。
本發(fā)明的另一優(yōu)勢是操作系統(tǒng)為每個應(yīng)用標(biāo)識符管理動態(tài)、臨時的表,所述表可為資源維護(hù)使用授權(quán),所述資源已針對每個應(yīng)用而授權(quán)。
本發(fā)明的另一優(yōu)勢是操作系統(tǒng)在所分配的時間期滿時或離開地理預(yù)定區(qū)域情況下為所標(biāo)識的應(yīng)用釋放對資源的訪問授權(quán)。
本發(fā)明的另一優(yōu)勢是操作系統(tǒng)的資源具有移動電話上的存儲器和/或存儲器區(qū)。
本發(fā)明的另一優(yōu)勢是操作系統(tǒng)的資源是應(yīng)用于移動電話的通信裝置。
本發(fā)明的另一優(yōu)勢是資源的所有者至少處于包含電話用戶、蜂窩電話運營者、移動電話制造者和內(nèi)容提供者的列表之中。
本發(fā)明的另一優(yōu)勢是對資源的訪問集中在應(yīng)用編程接口(API)級,如果試圖訪問資源的應(yīng)用擁有所需權(quán)限,則該接口使能對該資源的訪問。
本發(fā)明的另一優(yōu)勢是與資源相關(guān)聯(lián)的每個應(yīng)用標(biāo)識符表包含對應(yīng)于未列入所述表的應(yīng)用的標(biāo)識符,以便為應(yīng)用限定默認(rèn)權(quán)限。
本發(fā)明的另一優(yōu)勢是,例如當(dāng)在工廠中配置移動電話時,默認(rèn)權(quán)限可被限定用于訪問給定所有者的資源。
本發(fā)明的另一優(yōu)勢是包含對應(yīng)于電子證書的條目的標(biāo)識符表使幾族電子證書能夠一起分組在同一所有者下。
本發(fā)明的另一優(yōu)勢是對資源的訪問包含于包含至少以下能力的集合中讀、寫、修改、刪除、執(zhí)行數(shù)據(jù)或可執(zhí)行代碼。
本發(fā)明的另一優(yōu)勢是當(dāng)電話激活時,啟動程序檢查標(biāo)識表和訪問所述標(biāo)識表的操作系統(tǒng)的部分的完整性。
本發(fā)明的另一優(yōu)勢是當(dāng)電話激活時,啟動程序檢查操作系統(tǒng)的負(fù)責(zé)電話的檢查和安全功能的部分的完整性,在移動電話激活時所執(zhí)行的這些檢查確保只有系統(tǒng)且制造者的原始操作系統(tǒng)安裝到電話中并由所述電話使用。
本發(fā)明的另一優(yōu)勢是對資源的訪問權(quán)限包括在至少包含以下能力的集合中授權(quán)的訪問;一次授權(quán)的訪問;N次授權(quán)的訪問,N是可配置的;拒絕的訪問;對用戶要求授權(quán)一次;在每次訪問對用戶要求授權(quán);要求對N次訪問的授權(quán),N是可配置的;要求代碼輸入一次;要求對每次訪問的代碼輸入;要求對N次訪問的代碼輸入,N是可配置的;要求授權(quán)訪問一次的計算或密碼口令(cryptographic challenge);要求授權(quán)每次訪問的計算或密碼口令;要求授權(quán)N次訪問的計算或密碼口令,N是可配置的。
本發(fā)明的另一優(yōu)勢是應(yīng)用標(biāo)識符表的大小是動態(tài)的。
本發(fā)明的另一優(yōu)勢是分析每個新應(yīng)用以更新應(yīng)用標(biāo)識符表。
參考結(jié)合附圖的以下詳細(xì)描述可最好地理解本發(fā)明。這些附圖僅作為指示而提供,并且決不限制本發(fā)明的范圍。所述附圖示出圖1使能實施如本發(fā)明所提出的過程的裝置的圖解。
圖2如本發(fā)明所提出的過程中的步驟的圖解。
具體實施例方式
圖1示出經(jīng)由天線(103)連接到蜂窩電話網(wǎng)絡(luò)(102)的移動電話(101),所述天線連接到網(wǎng)絡(luò)(102)和內(nèi)部總線(105)之間的接口電路(104),所述內(nèi)部總線是電話(101)的一部分。
電話(101)還包括但不限于微處理器(106)、屏幕(107)、程序存儲器(108)、啟動存儲器(109)和標(biāo)識符表存儲器(110)。如本發(fā)明中所提出的,元件(106)至(110)由總線(105)互連。電話(101)包含未示出的其它裝置,如鍵盤和麥克風(fēng),...,該列表不是窮盡性的。
當(dāng)述及由裝置執(zhí)行動作時,所述動作實際上由記錄在所述裝置上的程序存儲器中的指令代碼所控制的該裝置中的微處理器來執(zhí)行。動作還歸因于應(yīng)用。這意味著構(gòu)成應(yīng)用的指令代碼的部分由所述微處理器執(zhí)行。
存儲器(109)包含當(dāng)電話(101)接通時由微處理器(106)執(zhí)行的指令代碼。實際上,這是ROM或PROM,從而使對存儲器中記錄的指令代碼的破壞非常困難且是專家級任務(wù)。
存儲器(108)是電話(101)的程序存儲器。為使能對本發(fā)明的更好理解,將存儲器(108)分成3個區(qū)。資源區(qū)(108a);操作系統(tǒng)區(qū)(108b),更特定地分配給對資源的訪問的管理;以及區(qū)(108c),用于可由電話(101)的用戶使用的應(yīng)用。區(qū)(108a)對應(yīng)于通常稱為固件的部分,并包含允許對硬件資源訪問的驅(qū)動。
這里,資源應(yīng)理解為一般性概念。實際上,其是硬件資源、電話(101)的功能、或一個或多個對象。
硬件資源可以是電話(101)上的存儲區(qū),該區(qū)是電話的部分,在可拆卸存儲部件或電話功能的擴展中,或在連接到電話(101)的SIM/USIM卡上。對于存儲在電話中的多媒體內(nèi)容,資源可定義為這些多媒體內(nèi)容的存儲區(qū)或定義為幾個區(qū),每個對應(yīng)一獨特內(nèi)容。還可將資源描述為總線上的地址范圍。
還可將資源視為功能。這樣的功能包括,例如從存儲器區(qū)讀或?qū)懙酱鎯ζ鲄^(qū);從擴展端口讀或?qū)懙綌U展端口(紅外、藍(lán)牙、串行連接,此列表不是窮盡性的...);通過存儲器地址范圍或應(yīng)用編程接口(API)使用協(xié)處理器的功能或活動部件;讀、寫、發(fā)送或接收SMS、MMS、消息、電子郵件;讀電話的IMEI;讀電話所連接到的基站上的小區(qū)標(biāo)識符;無論使用何種獲得地理坐標(biāo)的系統(tǒng)(例如,經(jīng)由與GPS系統(tǒng)的應(yīng)用編程接口)來讀電話的地理位置;在電話目錄(所述目錄實際上對應(yīng)于存儲器區(qū))中讀或?qū)?;顯示或擦除屏幕上的對象;發(fā)送命令到SIM/USIM卡;...;該列表不是窮盡性的。
資源還可對應(yīng)于一個或多個不同對象(目錄、目錄中的項、日歷數(shù)據(jù)、一個或多個游戲、一段音樂、電影...,此列表不限制本發(fā)明的范圍)。
資源還可構(gòu)成可稱為應(yīng)用編程接(API)的部分API是可由應(yīng)用實施的功能集合。在我們的實例中集中式接口包含使能訪問電話上的資源的所有功能。對于應(yīng)用,除了實施集中式接口功能外,沒有可替換的方式來訪問資源。
區(qū)(108)對應(yīng)于通常包含區(qū)(108a)的操作系統(tǒng)。這里,我們將它分開以突出這一事實操作系統(tǒng)包含檢查資源訪問權(quán)限的模塊(111)。
區(qū)(108c)包含安裝在電話(101)上的應(yīng)用的指令代碼。應(yīng)用可以例如是日程、袖珍計算器、電子消息系統(tǒng)客戶端(SMS、MMS、電子郵件或其他)、游戲、單或多媒體觀看器、...,該列表不是窮盡性的。每個應(yīng)用由應(yīng)用標(biāo)識符來標(biāo)識。
以此種方式說明存儲器(108),以便說明試圖訪問移動電話上的資源的應(yīng)用經(jīng)由操作系統(tǒng),換言之,經(jīng)由資源訪問權(quán)限檢查模塊(111)這樣進(jìn)行。每個資源由資源標(biāo)識符來標(biāo)識。
存儲器(110)細(xì)分為記錄(112.1)到(112.N),每個記錄由資源標(biāo)識符(113)標(biāo)識。記錄還包含使應(yīng)用標(biāo)識符(114a)與權(quán)限(114b)相關(guān)聯(lián)的表(114)。權(quán)限是例如讀、寫、服從授權(quán)請求的訪問,服從代碼輸入的訪問。
包括記錄(112)的表(114)的大小依賴于其包含的應(yīng)用標(biāo)識符的數(shù)目是可變的。象這樣的表的大小按需且在需要時增加。這使能對移動電話上的存儲器的高效管理。如果表太小而不能容納新權(quán)限的注冊,其大小動態(tài)增加。
存儲器(114)中的記錄還包含字段(116),該字段包含默認(rèn)權(quán)限。當(dāng)試圖訪問資源的應(yīng)用未由對應(yīng)于該資源的存儲器(110)中的記錄中的特定標(biāo)識符描述時,應(yīng)用這些權(quán)限。
在本發(fā)明的替換實施例中,記錄(112)還包含所有者標(biāo)識符(115)。所有者標(biāo)識符是隨機字母數(shù)字詞或通過證書對資源或應(yīng)用的內(nèi)容的數(shù)字簽名。所產(chǎn)生的簽名與證書的公共部分相關(guān)聯(lián),所述公共部分使能簽名的產(chǎn)生。這使得可能檢查簽名并由此確認(rèn)所有者的身份。
圖2示出初始步驟(201),其中電話(101)的用戶將其接通。微處理器然后執(zhí)行記錄在存儲器(109)中的指令代碼。在本發(fā)明的替換實施例中,存儲器(109)中的指令代碼使模塊(111)和存儲器(110)能夠被驗證,例如,通過計算校驗和,或通過以代碼起源的證據(jù)的完整性的密碼驗證來鑒別電話的制造者確實實施了模塊(111)和存儲器(110)這一事實。這確保對電話(101)的資源的訪問策略未修改。
從步驟(201),所述過程繼續(xù)以涉及電話(101)的可能的使用的步驟,其中之一是步驟(202),啟動應(yīng)用。一個實例是激活包含于電話(101)中的電話目錄咨詢應(yīng)用。實際上,此類目錄對應(yīng)于電話(101)中的存儲器區(qū)。
一旦應(yīng)用已啟動,其將在步驟(203)中嘗試訪問電話(101)上的一個或幾個資源。當(dāng)應(yīng)用試圖訪問資源時,此嘗試的訪問由模塊(111)截取。在模塊(111)截取該嘗試的時刻,其從應(yīng)用的idAP標(biāo)識符得知該應(yīng)用,并從資源的idR標(biāo)識符得知應(yīng)用嘗試訪問的所述資源。
在步驟(203)中,模塊(111)執(zhí)行幾個動作。在步驟(204)中,模塊(111)在存儲器(110)中搜索對應(yīng)于標(biāo)識符idR的記錄。一旦該記錄例如(112.1)被定位,處理繼續(xù)以步驟(205),即搜索記錄(112.1)的表(114)中的由idP標(biāo)識的應(yīng)用。
如果該搜索(205)是成功的,過程繼續(xù)以步驟(206),否則其繼續(xù)以步驟(207)。
步驟(205)由對表(114)的順序掃描直到遇到其中列(114a)的內(nèi)容對應(yīng)于idAP標(biāo)識符的一行或者直到表(114)的末端來組成。這使其可能確定表(114)中的一行,或相應(yīng)地斷定表(114)中無標(biāo)識符idAP。
在步驟(206)中,模塊(111)讀取對應(yīng)于步驟(205)中確定的行的列(114b)的內(nèi)容。這是其中讀取權(quán)限的步驟。步驟(206)之后,處理繼續(xù)以其中應(yīng)用權(quán)限的步驟(210)。
在步驟(207)中,模塊(111)試圖讀取鏈接到應(yīng)用的標(biāo)識證書。該證書以與應(yīng)用標(biāo)識符相同的方式記錄在應(yīng)用中。如果此類型的證書存在,過程繼續(xù)以步驟(208),否則,過程繼續(xù)以步驟(209)。
在步驟(208)中,模塊(111)通過檢查證書的有效性來啟動。為了這樣作,移動電話包含若干預(yù)記錄的證書,例如,SIM卡中的運營者證書、啟動代碼中的制造者證書和移動電話或SIM卡中的內(nèi)容提供者證書。為了有效,應(yīng)用證書必須與由電話(101)已知的證書之一一致。例如,通過根據(jù)應(yīng)用證書中的密鑰對隨機數(shù)的加密檢查該一致性,電話已知的證書之一使該隨機數(shù)能恢復(fù)該隨機數(shù)。
在替換實施例中,應(yīng)用還包含鏈接到其提交的證書的簽名。此簽名是基于證書私鑰和應(yīng)用內(nèi)容、換言之是組成它的指令代碼的電子簽名。所述檢查因此以常規(guī)方式基于證書的公鑰和應(yīng)用的內(nèi)容來執(zhí)行。
如果證書有效,模塊(111)掃描表(114)以找到應(yīng)用證書,并且對于應(yīng)用標(biāo)識符,其用于在表(114)中找到一行并從而讀取權(quán)限。在此實施例中,記錄(112.X)因此包含使證書與對由段(113)的內(nèi)容來標(biāo)識的資源的訪問權(quán)限相關(guān)聯(lián)的表。該關(guān)聯(lián)通過由所述證書對應(yīng)用內(nèi)容的簽名來獲得。
如果證書有效,步驟(208)由步驟(210)跟隨,否則,其由步驟(209)跟隨。
如果不可能通過任何方法識別應(yīng)用,則模塊(111)導(dǎo)致步驟(209)。在此情況下,所應(yīng)用的權(quán)限將為對應(yīng)于段(116)內(nèi)容的默認(rèn)權(quán)限。
在本發(fā)明的一個替換實施例中,默認(rèn)權(quán)限必須根據(jù)資源的所有者限定。如果段(116)不包含應(yīng)用試圖訪問的資源的信息,則有一表(118),其記錄在連接到總線(105)的存儲器中,并使默認(rèn)權(quán)限與所有者相關(guān)聯(lián)。根據(jù)試圖訪問的資源的所有者的標(biāo)識符(115),在此表(118)中查找可應(yīng)用的權(quán)限。例如,當(dāng)制造電話時,將數(shù)據(jù)錄入表中。隨后還可將其更新。
在一個替換實施例中,還可基于附于應(yīng)用的或應(yīng)用所有者的證書來確定默認(rèn)權(quán)限。在此情況下,應(yīng)用包含證書或所有者標(biāo)識符。連接到總線(105)的存儲器(119)或電話(101)因此包含使證書和所有者與默認(rèn)權(quán)限相關(guān)聯(lián)的表。
在本發(fā)明的一個替換實施例中,可使用存儲器(119)或未在此描述的另一存儲器來使幾個證書與稱為“主”的證書相關(guān)聯(lián)。此主證書對應(yīng)于所有者并因此對應(yīng)于權(quán)限。特別地,經(jīng)由主證書標(biāo)識的所有者可修改與證書關(guān)聯(lián)的權(quán)限,所述證書自身與主證書相關(guān)聯(lián)。
從步驟(209),過程繼續(xù)以步驟(210)。
在步驟(210)中,模塊(111)根據(jù)在步驟(206)、(208)或(209)中讀取的權(quán)限來應(yīng)答請求對資源訪問的應(yīng)用。
該應(yīng)答是授權(quán)訪問、拒絕訪問、請求用戶授權(quán)、請求代碼輸入或請求密碼口令。
授權(quán)訪問可分解到以下級別讀、寫、修改、刪除、執(zhí)行。
對用戶的授權(quán)請求以顯示在屏幕(107)上的消息的形式出現(xiàn)。一般消息將象這樣“應(yīng)用Ap需要訪問R。授權(quán)是/否?”。
向用戶請求代碼以顯示在屏幕(107)上的消息的形式出現(xiàn)。一般消息將象這樣“應(yīng)用Ap需要訪問R。錄入代碼”。
在密碼口令的情況下,沒有對用戶授權(quán)的請求,如果對密碼口令的應(yīng)答與模塊(111)所預(yù)期的不匹配,電話自身管理對應(yīng)用的訪問授權(quán)。
對這些消息的應(yīng)答確定應(yīng)用的執(zhí)行將如何繼續(xù)。換言之,如果對這些問題的應(yīng)答是肯定的,且代碼正確或密碼口令有效,則訪問被授權(quán),否則訪問被拒絕。
在一個替換實施例中,應(yīng)用可被授權(quán)可配置的數(shù)目N次的訪問。
從步驟(203),過程繼續(xù)以步驟(211),繼續(xù)應(yīng)用的執(zhí)行。在此步驟中,應(yīng)用接收來自模塊(111)的對其對資源的訪問的請求的應(yīng)答。如果應(yīng)答是肯定的,則執(zhí)行正常地繼續(xù),否則執(zhí)行中斷。
在一個替換實施例中,部件(111)保持并維護(hù)關(guān)于授予應(yīng)用或應(yīng)用實例以訪問資源的授權(quán)的上下文,以便于通過不必持續(xù)地再測試對資源的訪問權(quán)限而增強系統(tǒng)的性能。這涉及管理表(117),所述表記錄在連接到總線(105)的臨時和動態(tài)授權(quán)存儲器中,通過idAP索引并包含授權(quán)的資源,或在應(yīng)用被實例化幾次的情況下,通過idAP和實例的識別來索引。例如,表(117)是高速緩沖存儲器,其保存來自步驟(203)的查詢的結(jié)果。因此,這避免了訪問存儲器(110)取得對已處理的查詢的應(yīng)答的需要。在另一實例中,存儲器(117)是存儲器(110)的部分的拷貝,所述部分對應(yīng)于應(yīng)用標(biāo)識符表的段,這些表的段是已被通讀的段。
在一個替換實施例中,對資源的訪問權(quán)限還記憶在臨時表中,并在資源被釋放時釋放。
在一個替換實施例中,訪問授權(quán)可針對預(yù)定的使用周期分配,并在資源被釋放或在分配的使用周期期滿時釋放。該周期的限定可以是對移動電話上的所有資源全局的、對應(yīng)用特定的或?qū)γ總€被訪問的資源特定的。資源或各個資源的使用時間可通過由資源、由應(yīng)用、由應(yīng)用和資源、或全局地由用于一組資源的應(yīng)用、由用于一組應(yīng)用或用于一組資源的一組應(yīng)用的資源來實施一專用計時器來計算。在此實施例中,例如,通過使每個查詢結(jié)果與有效性條件相關(guān)聯(lián)來使用表(117),根據(jù)查詢數(shù)目或根據(jù)地理區(qū)域,所述有效性條件可以是暫時的。一旦有效性的條件過期,將表(117)中的對應(yīng)條目刪除,且必須再一次通讀存儲器(110)。
在一個替換實施例中,可為預(yù)定地理空間分配訪問授權(quán)和訪問權(quán)限,移動電話離開由地理區(qū)域限定的條件這一事實自動使資源釋放。鏈接到此地理區(qū)域的使用條件可以以與限定使用周期相似的方法來限定,換言之,對幾個資源和/或幾個應(yīng)用,特定地或全局地通過資源和/或通過應(yīng)用來限定。
在替換實施例中,可以與限定使用周期類似的方式授予對預(yù)定數(shù)目N次的訪問的授權(quán),換言之,對幾個資源和/或幾個應(yīng)用,特定地或全局地通過資源和/或通過應(yīng)用來授予。
在存儲器(110)自身是資源的情況下,特別是對于修改,其訪問服從相同的授權(quán)機制。此處應(yīng)指出,存儲器例如存儲器(114)可對應(yīng)于幾個資源將對應(yīng)于網(wǎng)絡(luò)運營者功能的記錄組到一起的一個資源、將對應(yīng)于用戶功能的記錄組到一起的資源、將對應(yīng)由移動電話制造者供應(yīng)的功能的記錄組到一起的資源、以及將對應(yīng)于內(nèi)容提供者功能的記錄組到一起的資源。這些資源的每個針對特定應(yīng)用更新,所述特定應(yīng)用只能分別由網(wǎng)絡(luò)運營者、用戶、操作系統(tǒng)和內(nèi)容提供者運行。
在一個替換實施例中,記錄(114)包含所有者標(biāo)識符字段(115)。在此實施例中,如果試圖修改記錄(114)的內(nèi)容的應(yīng)用和記錄(114)具有相同的所有者,所述應(yīng)用只能這樣做。
這些安全機制使得可能高效地管理電話安全策略,而同時由資源所有者分割資源。換言之,只有資源的所有者能修改對該資源的訪問權(quán)限。
這些機制在使用權(quán)限的管理中使能巨大的靈活性,因為由操作系統(tǒng)標(biāo)識且由模塊(111)管理的應(yīng)用也可在電話上被標(biāo)識為資源。對于下載游戲其尤為如此,游戲既是帶有限制權(quán)限的應(yīng)用,又是需要保護(hù)以防止拷貝和濫用的資源。
因而,試圖經(jīng)由串行接口(例如藍(lán)牙)將數(shù)據(jù)引入電話(101)的應(yīng)用必須在被授權(quán)在特定存儲器區(qū)中寫的應(yīng)用列表內(nèi),并在被授權(quán)讀取對應(yīng)于用于經(jīng)由串行接口接收的輸入數(shù)據(jù)的緩沖存儲器的存儲器區(qū)的應(yīng)用列表內(nèi)。
試圖經(jīng)由串行接口輸出例如包含在電話(101)中的數(shù)據(jù)的應(yīng)用,必須在被授權(quán)在特定存儲器區(qū)中寫的應(yīng)用列表中,所述存儲器區(qū)對應(yīng)于經(jīng)由串行接口的數(shù)據(jù)輸出緩沖存儲器。在一個替換實施例中,串行接口模塊是資源,且試圖發(fā)布數(shù)據(jù)的應(yīng)用必須在被授權(quán)實施串行接口模塊的應(yīng)用列表中。在此實例中,希望經(jīng)由串行接口發(fā)布數(shù)據(jù)的用戶必須使用應(yīng)用,一方面來讀取該數(shù)據(jù),換言之,應(yīng)用將有記錄在此數(shù)據(jù)或資源上的權(quán)限,并且另一方面經(jīng)由串行接口來發(fā)布數(shù)據(jù)。這里,選擇串行接口作為實例,可使用另一通信接口作為本發(fā)明的示例,如Wifi、紅外或外部存儲器擴展的各種可能性(或者甚至電話的外部總線)。這對多媒體內(nèi)容的保護(hù)具有特別的潛力。這是由于如果內(nèi)容播放器應(yīng)用未被授權(quán)復(fù)制除經(jīng)由擴音器和/或屏幕的內(nèi)容之外的內(nèi)容,這將防止內(nèi)容從電話中被提取。同樣,如果內(nèi)容被標(biāo)識為資源,只有播放器應(yīng)用將能夠訪問和修改它,文件管理系統(tǒng)不再被授權(quán)操縱該數(shù)字內(nèi)容,操縱包含該內(nèi)容的文件的唯一方法將是通過播放器應(yīng)用。從管理數(shù)字權(quán)限的方面,如果有人考慮大規(guī)模分發(fā)播放器應(yīng)用并且此應(yīng)用與幾個電子證書(通過記錄或電影發(fā)行者的一個證書)相關(guān)聯(lián),將數(shù)字內(nèi)容定義為與由應(yīng)用或電話所知的電子證書相關(guān)聯(lián)的這一事實將意味著只有該應(yīng)用能夠訪問此內(nèi)容。在此情況下,作為內(nèi)容提供者的應(yīng)用和資源(數(shù)字編碼內(nèi)容)的所有者,而不是電話用戶、運營者、制造者或其他內(nèi)容提供者,可改變與此應(yīng)用和資源(數(shù)字編碼內(nèi)容)相關(guān)聯(lián)的權(quán)限。
在一個替換實施例中,安裝在移動電話中的制造者的應(yīng)用具有權(quán)限來讀、寫和擦除為移動電話的使用而保留的存儲器區(qū)(清除或清理存儲器區(qū))。在一個替換實施例中,可實施此應(yīng)用的用戶的認(rèn)證。
為了優(yōu)化本發(fā)明的使用,當(dāng)新應(yīng)用安裝到移動電話上時,分析此應(yīng)用以檢測對電話的資源所做出的所有調(diào)用。然后根據(jù)默認(rèn)權(quán)限或?qū)ο螂娫捰脩籼岢龅膯栴}的應(yīng)答來將新應(yīng)用的標(biāo)識符寫到標(biāo)識符表中。該應(yīng)用分析應(yīng)用從而具有訪問對應(yīng)于權(quán)限管理的資源所需的權(quán)限。實際上,此應(yīng)用是操作系統(tǒng)的部分。
在一個替換實施例中,電話(101)包含由制造者安裝的程序,能夠從移動電話讀、寫和擦除所有存儲器區(qū)。典型地,其可以是重初始化程序。
權(quán)利要求
1.一種用于移動電話(101)上的應(yīng)用的執(zhí)行的安全管理的方法,應(yīng)用(108c)訪問由操作系統(tǒng)管理的所述移動電話上的資源(108a),其中所述移動電話上的資源是可識別的(113),并且與包含應(yīng)用標(biāo)識符的表(114)相關(guān)聯(lián),所述應(yīng)用可以或可以不被授權(quán)實施所述資源;所述資源具有唯一有權(quán)限更新應(yīng)用列表的所有者(115);對于每個被訪問的資源,操作系統(tǒng)尋求并應(yīng)用對應(yīng)于所述訪問應(yīng)用的權(quán)限;每個應(yīng)用具有唯一標(biāo)識符(idAp)。
2.如權(quán)利要求1的方法,其中所述操作系統(tǒng)為每個應(yīng)用標(biāo)識符管理一動態(tài)和臨時表,使能為資源維護(hù)資源使用授權(quán),所述資源已針對每個所述應(yīng)用而授權(quán)。
3.如權(quán)利要求2的方法,其中所述操作系統(tǒng)基于分配的時間過期或當(dāng)離開預(yù)定地理區(qū)域時釋放用于所述標(biāo)識的應(yīng)用的資源的訪問授權(quán)。
4.如權(quán)利要求1至3中之一的方法,其中所述操作系統(tǒng)的資源包含所述移動電話上的存儲器和/或存儲器區(qū)。
5.如權(quán)利要求1至4中之一的方法,其中所述操作系統(tǒng)的資源包含用于所述移動電話的通信的裝置。
6.如權(quán)利要求1至5中之一的方法,其中所述資源的所有者至少在由電話的用戶、移動電話運營者、移動電話的制造者和內(nèi)容提供者所構(gòu)成的列表之中。
7.如權(quán)利要求1至6中之一的方法,其中所述對資源的訪問集中在應(yīng)用編程接口(API)中,如果試圖訪問資源的應(yīng)用擁有所需權(quán)限,則該接口使能對所述資源的訪問。
8.如權(quán)利要求1至7中之一的方法,其中與資源相關(guān)聯(lián)的每個應(yīng)用標(biāo)識符表包含對應(yīng)于未列入所述表的應(yīng)用的標(biāo)識符(116),以便為應(yīng)用限定默認(rèn)權(quán)限。
9.如權(quán)利要求1至8中之一的方法,其中默認(rèn)權(quán)限可被限定為訪問給定所有者的資源,該限定是所述移動電話的工廠配置的部分。
10.如權(quán)利要求1至9中之一的方法,其中包含對應(yīng)于電子證書的條目的標(biāo)識符表使得可能將幾族電子證書一起組到給定所有者下。
11.如權(quán)利要求1至10中之一的方法,其中對資源的訪問是包含至少以下能力的集合中的一個讀、寫、修改、刪除、執(zhí)行數(shù)據(jù)或可執(zhí)行代碼。
12.如權(quán)利要求1至11中之一的方法,其中當(dāng)所述電話激活時,啟動程序檢查所述標(biāo)識符表和所述操作系統(tǒng)的訪問所述標(biāo)識符表的部分的完整性。
13.如權(quán)利要求1至12中之一的方法,其中當(dāng)所述電話激活時,啟動程序檢查所述操作系統(tǒng)負(fù)責(zé)所述電話的檢查和安全功能的部分的完整性,當(dāng)所述移動電話激活時所進(jìn)行的這些檢查確保只有所述系統(tǒng)且只有所述制造者的原始操作系統(tǒng)安裝到所述電話中并由該電話使用。
14.如權(quán)利要求1至13中之一的方法,其中對資源的訪問權(quán)限包括在包含至少以下能力的集合中授權(quán)的訪問;一次授權(quán)的訪問;N次授權(quán)的訪問,N是可配置的;拒絕的訪問;對所述用戶要求授權(quán)一次;在每次訪問對所述用戶要求授權(quán);要求對N次訪問的授權(quán),N是可配置的;要求代碼輸入一次;要求對每次訪問的代碼輸入;要求對N次訪問的代碼輸入,N是可配置的;要求授權(quán)訪問一次的計算或密碼口令;要求授權(quán)每次訪問的計算或密碼口令;要求授權(quán)N次訪問的計算或密碼口令,N是可配置的。
15.如權(quán)利要求1至14中之一的方法,其中所述應(yīng)用標(biāo)識符表的大小是動態(tài)的。
16.如權(quán)利要求1至15中之一的方法,其中分析每個新應(yīng)用以更新所述應(yīng)用標(biāo)識符表。
17.如權(quán)利要求1至16中之一的方法,其中安裝在所述移動電話中的所述制造者的應(yīng)用之一具有讀、寫和擦除為由所述移動電話使用而保留的所有存儲器區(qū)的權(quán)限。
全文摘要
為使在智能移動電話上的應(yīng)用的執(zhí)行安全,每個應(yīng)用由標(biāo)識符標(biāo)識,且權(quán)限表與該移動電話上的每個資源相關(guān)聯(lián)。通過權(quán)限表,對資源的訪問權(quán)限可與應(yīng)用標(biāo)識符相關(guān)聯(lián)。這使得可能針對每個資源管理允許其調(diào)用所述資源的應(yīng)用。此外,與資源相關(guān)聯(lián)的權(quán)限只能由該資源的所有者修改。
文檔編號G06F21/53GK1816192SQ20061000334
公開日2006年8月9日 申請日期2006年2月5日 優(yōu)先權(quán)日2005年2月4日
發(fā)明者讓·希布里, 讓-菲利普·萬瑞 申請人:法國無線電話公司