專利名稱:訪問控制的制作方法
技術(shù)領(lǐng)域:
本發(fā)明一般地涉及訪問控制�。更具體地,但不排他性地��,本發(fā)明 涉及對不同主體(principal)的基于軟件的訪問控制。
背景技術(shù):
當(dāng)前例如移動電話的移動設(shè)備正在不斷地植入更為復(fù)雜的特征 (例如音樂和視頻播放器以及電子書功能)�����,這些特征使用版權(quán)受保 護(hù)的內(nèi)容��,該內(nèi)容的銷售應(yīng)該被保護(hù)����。偶然地或永久性地限制對類似 計算機的設(shè)備的某些特征的訪問是有用的,從而避免計算機病毒��、蠕 蟲和出于惡意目的而設(shè)計的其他所謂惡意軟件的傳播����。一些操作系統(tǒng)已經(jīng)使用基于資源的訪問控制,其用于將認(rèn)證的程 序或用戶的信任等級映射到訪問策略����。也可以要求使用的每個應(yīng)用被 可靠地證書證明為已認(rèn)證。這支持將每個應(yīng)用的訪問限制到僅對給定 的允許的資源�����。然而,如果用戶應(yīng)該能夠使用任意的應(yīng)用(可能是未 認(rèn)證的程序)來訪問一些對于某個特定的操作而言很重要的訪問受控 制的資源����,則這樣的訪問控制機制可能有問題。例如�,各種設(shè)備的用戶配備有應(yīng)該能夠處理受數(shù)字版權(quán)管理 (DRM)保護(hù)的數(shù)據(jù)的媒體播放器。為了符合一些DRM方案����,媒體 播放器應(yīng)該被認(rèn)證或證書證明。然而��,認(rèn)證每個媒體播放器是昂貴的 并且麻煩的�����,因為即使在每個微小的打補丁或更新之后��,都需要媒體 播放器換發(fā)新證和簽名����。證書證明是必要的���,從而確保由程序管理的 任意數(shù)據(jù)絕不會被傳遞到另一個程序��、設(shè)備或用戶���。發(fā)明內(nèi)容本發(fā)明的目的是避免或至少減輕現(xiàn)有技術(shù)的問題和/或提供新的技術(shù)替代方案����。根據(jù)本發(fā)明的第 一 方面���,提供一種用于在具有各種資源的數(shù)據(jù)處 理終端中控制任意計算機可執(zhí)行應(yīng)用對資源的訪問的方法���,包括維護(hù)條件訪問控制約束的集合,其用于定義可由應(yīng)用聯(lián)合使用的可允許的資源組合�����;以及使得僅在可允許的資源組合的約束內(nèi)運行應(yīng)用����,該可允許的資源組合由運行的應(yīng)用聯(lián)合使用。有利地���,可以基于訪問控制約束對任意應(yīng)用進(jìn)行訪問控制�。 當(dāng)資源可以同時和/或按順序使用時��,該資源可以被定義為可聯(lián)合使用。有利地���,非可允許的組合的定義可以支持排除禁止的資源組合����, 特別是由不能被相信是為遵守版權(quán)而設(shè)計的非證書證明的應(yīng)用使用���。訪問控制約束可以定義至少兩個互斥的功能塊或至少兩個互斥 的功能塊的組合�����。通過訪問控制對象來定義所述訪問控制約束����。不同的服務(wù)分配有 相應(yīng)的服務(wù)標(biāo)識符�,不同的訪問對象與相應(yīng)的訪問日志和針對訪問對 象的服務(wù)調(diào)用相關(guān)聯(lián),以及由此調(diào)用服務(wù)的服務(wù)標(biāo)識符被相應(yīng)地存儲 在^^皮調(diào)用的月1務(wù)的訪問日志中�����。訪問控制約束可以是這樣的函數(shù)��,每 個函數(shù)能夠基于一個或多個訪問日志來返回單個布爾值����。提供具有指示使用給定訪問控制對象的服務(wù)的服務(wù)標(biāo)識符的訪 問曰志并且計算布爾值作為訪問控制約束的輸出可得到計算上簡單 的訪問控制機制。任意應(yīng)用對可聯(lián)合使用的不同服務(wù)的訪問也可由維護(hù)的條件訪 問控制約束通過使得僅在可允許的服務(wù)組合的約束內(nèi)運行應(yīng)用而進(jìn) 行控制��,該可允許的服務(wù)組合由運行的應(yīng)用聯(lián)合使用�。根據(jù)本發(fā)明的第二方面,提供一種數(shù)據(jù)處理終端�����,其具有各種資源并且能夠使用資源執(zhí)行任意計算機可執(zhí)行的應(yīng)用�,包括存儲器,用于維護(hù)條件訪問控制約束的集合�,該條件訪問控制約允許的資源組合由運行的應(yīng)用聯(lián)合使用。根據(jù)本發(fā)明的第三方面����,提供一種用于在具有各種資源的數(shù)據(jù)處 理終端中控制操作以便控制任意計算機可執(zhí)行應(yīng)用對資源的訪問的計算機程序,包括計算機程序代碼��,用于使得終端維護(hù)條件訪問控制約束的集合�,計算機程序代碼,其使得終端能夠僅在可允許的資源組合的約束 內(nèi)運"ff應(yīng)用��,該可允許的資源組合由運行的應(yīng)用耳關(guān)合使用���。根據(jù)本發(fā)明的第四方面��,提供一種用于在具有各種資源的數(shù)據(jù)處 理終端中控制操作以便控制任意計算機可執(zhí)行應(yīng)用對資源的訪問的子組件���,該子組件包括用于使得終端維護(hù)條件訪問控制約束的集合的裝置�����,該條件訪問 控制約束的集合用于定義可由應(yīng)用聯(lián)合使用的可允許的資源組合�����;以 及裝置�����,該可允許的資源組合由運行的應(yīng)用聯(lián)合使用��。用于使得終端維護(hù)條件訪問控制約束的集合的裝置和/或用于使 得終端能夠僅在可允許的資源組合的約束內(nèi)運行應(yīng)用的裝置可以基 于下面的任意組合芯片組電路和存儲在一個或多個芯片組中的計算 機代碼���。根據(jù)本發(fā)明的第五方面,提供一種制造和控制具有各種資源的數(shù) 據(jù)處理終端從而控制任意計算機可執(zhí)行應(yīng)用對資源的訪問的方法��,包 括在所述終端中存儲計算機程序代碼��,該計算機程序代碼用于使得 終端維護(hù)條件訪問控制約束的集合,該條件訪問控制約束的集合用于 定義可由應(yīng)用聯(lián)合使用的可允許的資源組合�;以及在所述終端中存儲計算機程序代碼��,該計算機程序代碼用于使得終端能夠僅在可允許的資源組合的約束內(nèi)運行應(yīng)用�,該可允許的資源 組合由運行的應(yīng)用耳關(guān)合^吏用。計算機程序代碼或軟件可以提供為攜帶和/或存儲在數(shù)據(jù)介質(zhì)上 或嵌入在數(shù)據(jù)信號中的一個或多個計算機產(chǎn)品����。軟件也可以由一個或 多個設(shè)備以分布式的方式進(jìn)行主控。正的情況下應(yīng)用于本發(fā)明的其他方面�����。
現(xiàn)在將通過示例����、參考附圖來描述本發(fā)明的實施方式,其中圖1示出根據(jù)本發(fā)明的一個實施方式的移動臺的框圖��;圖2示出根據(jù)本發(fā)明的一個實施方式的主要組件的示意系統(tǒng)����;以及圖3示出代表根據(jù)本發(fā)明的一個實施方式的操作的流程圖。
具體實施方式
圖1示出根據(jù)本發(fā)明的一個實施方式的移動臺(MS)100的框圖����。 MS 100包括無線塊110��、包括用于存儲長期操作指令122的非易失性 存儲器121和工作存儲器123的存儲器120��。 MS 100進(jìn)一步包括處理 器130和用戶接口 140�。所有的這些部件都連接到處理器130��。處理 器被配置成從非易失性存儲器121讀取長期操作指令122并且使用工 作存儲器123來運行期望的應(yīng)用和服務(wù)�����。移動臺例如可以是智能電話����, 其能夠運行運營商特定的和/或用戶定義的應(yīng)用。移動臺可以運行符合 開放式規(guī)范的軟件�����。然而��,移動臺100的物理結(jié)構(gòu)并不重要���,只要其 允許控制 一 些基于不同軟件的單元彼此的訪問���。詳細(xì)描述本發(fā)明的特定實施方式��,包括發(fā)明人所知的最佳模式��。 當(dāng)使用非認(rèn)證或非可信軟件時,這些實施方式試圖限制提供特定服 務(wù)����,而不需要對每個單獨服務(wù)常規(guī)執(zhí)行的操作進(jìn)行全面控制或限制。一些服務(wù)可以被阻止����,盡管其包括互操作的但不傳送、非可信的軟件����。 因此,應(yīng)該提供比使用現(xiàn)有已知的簡單阻止對特定資源的訪問從而可 能導(dǎo)致不期望的服務(wù)更為精細(xì)的訪問控制的粒度等級����。 在描述例子時,做出如下假設(shè)1. 訪問控制機制不會阻止任何進(jìn)程的終止���。2. 每個主體所需的狀態(tài)是固定的�����。3. 在計算量上�,本方法是很少的。在下文中�,在圖2中示出根據(jù)一個實施方式的本發(fā)明的框架的描 述,其基于服務(wù)201��、服務(wù)標(biāo)識符202��、訪問控制約束203 (也稱為沙 盒約束)���、主體集204��、訪問日志205��、服務(wù)管道(conduit) 206和主 體207的概念提供���。該框架的目的是提供這樣一種功能,即提供對傳 送和非傳送程序集的行為的可配置約束���。在進(jìn)一步描述本發(fā)明的實施方式前�,下面將描述某些術(shù)語。當(dāng)參 考圖2閱讀時�����,這些術(shù)語可以被最好地理解�。服務(wù)包括操作系統(tǒng)中的任何機制,其可用于向主體或者服務(wù)管道 提供操作系統(tǒng)的特征����、資源或功能的使用。這些機制包括操作系統(tǒng)調(diào) 用�、設(shè)備驅(qū)動程序和/或服務(wù)器程序�。服務(wù)標(biāo)識符是任何服務(wù)的任意唯 一 名稱。該標(biāo)識符可以靜態(tài)地分 配或動態(tài)地生成����。當(dāng)動態(tài)地生成時,服務(wù)標(biāo)識符可以包含一種結(jié)構(gòu)或 符合給定的分層��,以便提供唯一性�����。服務(wù)標(biāo)識符可以例如表示為任意 的位矢量�����。服務(wù)標(biāo)識符應(yīng)該可靠地標(biāo)識 一 項服務(wù)。資源管道或服務(wù)管道��,其表示可用于傳輸數(shù)據(jù)或提供服務(wù)的任何 本地服務(wù)���。這些本地服務(wù)或?qū)ο罂梢岳缡蔷哂羞M(jìn)程間控制(IPC) 能力的文件或程序�。如果在MS 100中使用Symbian⑧操作系統(tǒng)(OS), 則服務(wù)管道可以包括服務(wù)器程序�。服務(wù)管道,類似于主體(在下文中 描述)���,其可以是活的或死的�����。主體表示訪問控制(即�����,約束)的對象�����,例如應(yīng)用或程序�����。主體 可以是服務(wù)管道并且服務(wù)管道可以是主體�����。每個主體與各自的訪問日 志關(guān)聯(lián)�。當(dāng)主體存在于系統(tǒng)中時,其是活的并且其訪問日志可用于檢驗����。死的主體已經(jīng)執(zhí)行了其功能并且已經(jīng)從系統(tǒng)移除。對于死的主體, 沒有訪問日志必需用于檢驗���。也沒有必要存在這樣的可用的任何信 息�,即關(guān)于死的主體已經(jīng)執(zhí)行了什么功能�����、何時執(zhí)行和/或如何執(zhí)行�����。 主體從活的狀態(tài)到死的狀態(tài)的改變被稱為主體的終止���。訪問對象是使用通用名稱來覆蓋主體和服務(wù)管道二者的集體術(shù)語���。通過例如附接將訪問日志關(guān)聯(lián)到每個訪問對象。訪問日志列舉了所有服務(wù)的服務(wù)標(biāo)識符����,這些服務(wù)已經(jīng)向訪問對象提供了服務(wù)或信 白、'"�、o有時,獨立的非傳送主體可能集體打破訪問控制約束����。因此,期 望將主體與主體集相關(guān)聯(lián)�����,通過該主體集可以計算訪問控制約束��。這些集合不需要沒有交集����,即,不需要不具有公共的元素�����。可以被顯式計算的主體集包括活的主體��。包括活的主體和零個或 多個死的主體的集合被稱為主體的歷史�。主體的完整歷史不必顯式地 呈現(xiàn)以避免存儲器溢出。相反��,關(guān)于涉及主體歷史的訪問控制約束的 所有信息必須從死的主體傳播到活的主體�����。假定訪問控制約束具有某 種性質(zhì)時���,這是可行的���。例如,如果訪問控制約束不關(guān)心主體歷史中 單個主體的訪問控制日志內(nèi)的服務(wù)標(biāo)識符的關(guān)系�,則可以為主體歷史 中的所有死的主體創(chuàng)建單個的訪問日志并且簡單地將服務(wù)標(biāo)識符從 所有死的主體復(fù)制到該訪問日志�。在主體集或主體歷史中的主體的訪問日志上評估訪問控制約束, 即訪問約束���。訪問約束優(yōu)選的是返回布爾值真或假的函數(shù)���。訪問約束 例如使用邏輯方程來實現(xiàn)�。針對主體集的訪問控制約束應(yīng)該得到相同 的值�,即使主體集中的成員已終止。否則���,訪問約束可能無法應(yīng)付主 體的突然終止���。圖2示出根據(jù)本發(fā)明的一個實施方式的主要組件的示例性系統(tǒng)。 特別地��,圖2示出訪問約束系統(tǒng)的不同單元之間的關(guān)系����。應(yīng)該理解在 通過服務(wù)管道計算服務(wù)供應(yīng)流和通過服務(wù)管道計算信息流之間存在 差別?;趩喂せ螂p工關(guān)系的發(fā)送方和接收方關(guān)系,快速計算信息流的 方向�����。然而��,在沒有給定服務(wù)的性質(zhì)的特定知識的情況下��,不太可能 確定在信息流中是發(fā)送方還是接收方正在提供服務(wù)。服務(wù)可能在復(fù)雜 的協(xié)議交換的幫助下實施�����,包括雙方的多個信號����,由該服務(wù)的提供者 或消費者來發(fā)起。在不知道準(zhǔn)確的協(xié)議語法和語義的情況下�����,計算哪 一方是消費者而哪一方是該服務(wù)的生產(chǎn)者是不可行的�。建議以下面的 兩種方式來解決為服務(wù)加注釋(容易確定或計算出哪一方是消費者 而哪一方是生產(chǎn)者)或假設(shè)服務(wù)在兩個方向上提供(即,交換中的雙 方都既是消費者又是生產(chǎn)者)�����?;旧希鞠到y(tǒng)可以下面的聲明來進(jìn)行描述1.對于每個服務(wù)標(biāo)識符�����,存在關(guān)聯(lián)的服務(wù)集��,該服務(wù)集排他性地允許 將服務(wù)標(biāo)識符輸入到訪問日志����。2. 如果訪問對象訪問或使用服務(wù),則該服務(wù)的服務(wù)標(biāo)識符被附加到訪問對象的訪問日志�。3. 如果主體使用或訪問服務(wù)管道,則主體的訪問日志被附加到服務(wù)管 道的訪問日志�����,并且反之亦然�����。4. 如果服務(wù)管道訪問或使用另一個服務(wù)管道�����,則這些服務(wù)管道的訪問 曰志相互附加�。5. 如果服務(wù)標(biāo)識符將要首次被輸入到主體的訪問日志,則評估訪問控 制約束����。如果附加服務(wù)標(biāo)識符后訪問控制約束被評估為假,則當(dāng)前 的操作被拒絕。訪問控制約束的評估是基于針對主體集計算訪問控制約束���。該計 算可以多種方式執(zhí)行����。例如�����,訪問控制約束本身可提供足夠的表達(dá)力 和信息以隱式地定義這些集合����。可選地����,主體集可以經(jīng)由使用基于例 如命題邏輯的分組方程來在訪問控制約束中顯式地定義。在通常情況下�,可以使用具有謂詞P (主體,服務(wù)標(biāo)識符上的命 題邏輯方程)的一階謂詞邏輯來表達(dá)訪問控制約束�,當(dāng)在主體的訪問 日志中的服務(wù)標(biāo)識符之上進(jìn)行評估時,該謂詞P被定義為服務(wù)標(biāo)識符 上的命題邏輯方程的值�����。訪問控制約束可以各種方式來提供,例如��,通過在本發(fā)明的實施 方式的制造期間固定訪問控制約束��,或允許即時策略更新�,例如所謂 的安全策略的認(rèn)證的空中更新��。例如���,可以通過使用臨時的PKI或共 享的秘密來認(rèn)證訪問控制更新消息并且通過因特網(wǎng)或蜂窩網(wǎng)絡(luò)(例如GSM)發(fā)送它們來提供訪問控制約束���。此類認(rèn)證訪問控制更新可以包括新的約束的 一 個或多個插入和/或老的約束的移除。一階謂詞邏輯的評估在計算上是繁重的(使用確定性算法��,需要 指數(shù)級時間)�����,并且照這樣的話�����,折衷的解決方案是有利的并且下面 將描述計算上可行的分組主體以及評估訪問控制約束����。系統(tǒng)的動態(tài)方面影響訪問控制約束的定義�����。實際上不可避免的是 包括在服務(wù)的供應(yīng)中的任何主體在其執(zhí)行了功能后�,或甚至在它應(yīng)當(dāng) 執(zhí)行其功能時�,可能有意或無意地被立即終止。例如�,事件鏈可以是 使得第一主體首先將數(shù)據(jù)寫入到第一文件并且終止。第二主體隨后開 始將該數(shù)據(jù)轉(zhuǎn)發(fā)到第二文件�。這明顯暗示訪問日志中的服務(wù)標(biāo)識符的 轉(zhuǎn)移,不過對如何形成主體集不具有明顯的影響����。訪問控制約束不應(yīng)該阻止主體的終止。有時�,主體可能突然終止。 這會牽連到在主體集上評估的訪問控制約束����,因為集合中可能包含多 于一個的成員元素并且它們中的任意一個可能終止。相反地�,可以被穩(wěn)健表達(dá)的聲明可能限于這些聲明,這些聲明限于下面的形式.不應(yīng)存在這樣的主體歷史����,其中活的主體和死的主體的訪問日志 無條件地包含定義的服務(wù)標(biāo)識符的邏輯乘法�����。.不應(yīng)該存在單個的活的主體���,使得訪問日志和主體不能滿足可以 以命題邏輯表達(dá)的定義的訪問控制約束�����。下面描述表達(dá)訪問控制約束的計算上易處理的形式的例子�。每個 訪問控制約束被劃分成分組方程和訪問控制方程。分組方程的目的是 計算主體集�,其中訪問控制方程必須在該主體集上有效。使用可用的涉及主體屬性的命題全域上的命題邏輯來定義分組 方程�����。例如�,如果指示信任等級的標(biāo)量值可以與每個主體關(guān)聯(lián),則分組方程可以作為例如值為42的信任等級閾值而給出��。主體可以具有 一組靜態(tài)的授權(quán)��。主體也可具有認(rèn)證的創(chuàng)建者。相應(yīng)地�,可以這樣的形式來聲明分組方程,即"具有認(rèn)證X"并且"未被Y公開"或甚至 "具有<42的信任等級��,�����,�����。分組方程也可以包括將訪問控制約束限制 在單個定義的主體的命題�����。在本發(fā)明的一個實施方式中定義附加的訪問控制約束指示 is—singleton (是—單元素集合)���。如果對于訪問控制約束�,is—singleton 指示被定義為真�,則分組約束產(chǎn)生主體集,該主體集正好包含使得分 組方程評估為真的一個主體���。如果指示is一singleton是假��,則滿足訪 問控制約束的分組約束G的所有主體被放置到主體的共同集中�。這意 味著如果對應(yīng)于分組約束G, is—singleton是假,則在任意給定時間���, 對于G存在主體的零個或一個歷史�����。如果對于分組約束G��,is—singleton 是真����,則在任意的時刻,可能存在(活的)主體的許多(或沒有)singleton 集合��,每個集合恰好包含針對G活著的一個主體�����。創(chuàng)建像singleton 這樣的機制在于允許使用這樣形式的訪問控制方程����,即"如果由id—x 標(biāo)識的服務(wù)不存在于主體的訪問日志中�,則由id—y標(biāo)識的服務(wù)允許用 于該主體�,���,�。通過將超出常規(guī)命題邏輯的表達(dá)力添加到計算方程�,類 似的特征被實現(xiàn)在本發(fā)明的可選實施方式中。is—singleton的4吏用支持 使用標(biāo)準(zhǔn)命題邏輯��。使用單獨的is—singleton位的優(yōu)勢也在于可以簡 單地推斷如何從嘗試違反策略(即��,嘗試違反訪問控制約束)恢復(fù)�。 將訪問控制約束表示為〈is—singleton, G, S>����,其中G是分組方程并 且S是訪問控制方程。分組算法可以基本表示如下1. 對于每個訪問控制約束C=<is_singleton, G��, S> 如果is—singleton是假��,并且S不能表達(dá)為文字(服務(wù)標(biāo)識符)的邏輯乘的非����,則通知錯誤。 .如果is_singleton是假���,則創(chuàng)建主體集Set—C����。2. 對于每個主體P 對于每個訪問控制約束C=<is—singleton, G, S〉 .如果P滿足G�����,并且is—singleton是假����,貝寸 將P添加到Set—C .如果P滿足G,并且is—singleton是真,貝寸 創(chuàng)建新的Singleton_C—P當(dāng)主體集或訪問控制約束改變時�,應(yīng)該運行該算法。當(dāng)考慮到簿 記時��,也可以執(zhí)行優(yōu)化��。當(dāng)添加訪問控制約束時���,時間復(fù)雜度是O(l), 當(dāng)添加主體時,時間復(fù)雜度是O(n)(其中n是訪問控制約束的數(shù)量)��, 并且當(dāng)主體被殺死時�,時間復(fù)雜度是O(l)�?����?梢酝ㄟ^訪問列表中的服務(wù)標(biāo)識符的并集上的評估�、使用命題邏 輯來定義訪問控制方程。如此����,對于整個主體集,訪問控制方程固有 地是真或假��。主體集的生命周期和主體的歷史(二者如下僅表示為主體的歷 史)可以如下示出 主體的每個歷史H與訪問控制約束C=<is—singleton, G, S〉關(guān)聯(lián)����。如果我們具有主體的歷史,則可以假設(shè)is一singleton是假����。
對于每個歷史H,我們也將"死的主體"的單個訪問日志L關(guān)聯(lián)���。 在H的生命周期����,此訪問日志L附加在歷史H上。在本發(fā)明的 一個實施方式中�,僅在H被移除后才將L從系統(tǒng)中移除。該 實施方式在當(dāng)L的大小是常數(shù)時尤其適用��。 .如果主體P滿足訪問控制約束C的分組約束G�,則P被添加到H。 .如果H中的主體P是死的�����,則來自P的訪問日志的服務(wù)標(biāo)識符被 復(fù)制到與H關(guān)聯(lián)的死的主體的訪問日志L�。如果資源需要被保 留,則P的所有痕跡可以從系統(tǒng)擦除����。 .如果H中的主體P訪問資源,造成新的服務(wù)標(biāo)識符"x"被添加 到其訪問日志�����,從而"x"在之前并未出現(xiàn)在H中任何主體的 訪問日志中���,則系統(tǒng)才全查即使"x"凈皮添加到P的訪問日志, 訪問控制方程S也將被滿足,否則訪問被拒絕��。 接著訪問控制方程S不能對給定H中的單個主體的訪問日志內(nèi)的 服務(wù)標(biāo)識符的關(guān)系感興趣�,而是必須在所述H中的主體的訪問日志的 并集上進(jìn)行評估。這允許表達(dá)有意義的約束���,同時死的主體可以從系統(tǒng)完全移除���,從而釋放系統(tǒng)資源。Symbian操作系統(tǒng)(OS )上的例子 使用Symbian OS Platsec中的功能位來評估針對約束 〈s—singleton,G,S〉中的項"G"的命題邏輯�。這些位至少包括下面的 功能網(wǎng)絡(luò)服務(wù)、本地服務(wù)��、讀用戶數(shù)據(jù)�����、寫用戶數(shù)據(jù)和位置�。這些 (和其他)功能位稍后在本文中描述。如果is一singleton是假����,則禁止?fàn)顟B(tài)基本上是訪問日志中不能在 單個主體集的生命周期中全部發(fā)生的事件集合。訪問控制約束有利的 是Symbian已知的可信計算基礎(chǔ)(TCB )的一部分并且僅可由支持 TCB的程序修改��、創(chuàng)建、添加和刪除�。約束纟皮存儲在安全路徑下,例 如��、sys���、sandboxes.為了有效地處理��,服務(wù)標(biāo)識符通常是整數(shù)����。 \sys\sandboxes\identifiers中的表定義了安全標(biāo)識符(SID )和設(shè)置訪問 曰志中的服務(wù)標(biāo)識符所需的功能��。每個標(biāo)識符有利地賦予人類可讀名 稱��,以便例如結(jié)合訪問控制方程引用�。 定義下面的"l務(wù)標(biāo)識 .麥克風(fēng)表示使用麥克風(fēng)。 .揚聲器表示使用揚聲器�。 .聯(lián)網(wǎng)表示使用聯(lián)網(wǎng)能力。 .文件系統(tǒng)寫表示使用文件系統(tǒng)來寫數(shù)據(jù) .文件系統(tǒng)讀表示使用文件系統(tǒng)來讀數(shù)據(jù) .DRM:表示讀取受DRM保護(hù)的數(shù)據(jù) Non-UI (用戶接口 )該服務(wù)標(biāo)識符由不與UI函數(shù)關(guān)聯(lián)的所有 系統(tǒng)函數(shù)來設(shè)置�����。 分組方程中可用的屬性是SID和程序的功能��。訪問控制方程中可 用的屬性是功能和服務(wù)標(biāo)識符。根據(jù)本發(fā)明的一個實施方式的訪問日志簡單的是位矢量��,該位矢 量針對每個服務(wù)標(biāo)識符具有一個位���。可以簡單地使用按位OR操作來 計算兩個訪問日志的并集��,其中按位操作是這樣的操作����,其中每個位獨立于所有的其他位來處理。兩個訪問日志可以使用按位OK^喿作來 進(jìn)行連接���。服務(wù)管道通常是進(jìn)程�����、服務(wù)和文件����。訪問日志與每個進(jìn)程 和文件關(guān)聯(lián)����。對于每個服務(wù)����,為其注釋相對于通信流的發(fā)起方/響應(yīng)方 關(guān)系����,服務(wù)提供在與信息流相同的方向上,相反的方向上還是雙向�。任何文件可以被視為服務(wù)管道。如果程序讀取或?qū)懭氲轿募?�,則 根據(jù)服務(wù)標(biāo)識符的注釋更新文件和程序的訪問日志���。將理解到進(jìn)程間通信稍微有更多的問題�,因為由于客戶端-服務(wù) 器關(guān)系可以是任意的�,不太容易以穩(wěn)健的方式推斷出正在提供服務(wù)的 方向。因此�����,執(zhí)行程序和服務(wù)器功能到服務(wù)和服務(wù)管道的嚴(yán)格劃分���。 .屬于可信的計算環(huán)境并且不允許在程序間傳輸信息的程序和系統(tǒng)調(diào)用是考慮的服務(wù) .所有其他程序和系統(tǒng)是考慮的服務(wù)管道����。 例如,允許設(shè)置像素的顏色的系統(tǒng)調(diào)用可以被用于隱蔽地將訪問 傳遞給通過訪問控制約束的服務(wù)�����。通常地�,程序間的任意隱蔽信道可以用于該目的���。如果在服務(wù)和不是服務(wù)的程序間執(zhí)行IPC,則所述服務(wù)的服務(wù)標(biāo)識符被附加到程序的訪問日志��。聯(lián)網(wǎng)協(xié)議可以被用于甚至在該主操作系統(tǒng)內(nèi)的該框架外的主體 間進(jìn)行通信����。相同的情況也適用于可移動式介質(zhì)或模擬信道���,例如從 揚聲器到麥克風(fēng)或從顯示屏到照相機��。這應(yīng)該在訪問控制約束的定義 中考慮����。這適用于在外部通信信道(它們是模擬或數(shù)字的)存在的情 況下嘗試訪問控制信息的任意系統(tǒng)�。注意到,許多用戶接口功能可以合起來作為程序間的模擬I /o信道��。下面將詳細(xì)描述訪問控制的實施。創(chuàng)建單獨的訪問控制服務(wù)器��。 訪問控制服務(wù)器能夠計算主體集并且評估訪問控制約束�。訪問控制服務(wù)器可以是基于軟件并且由處理器130提供的。無論何時新的服務(wù)標(biāo) 識符將被添加到訪問日志���,修改IPC和文件系統(tǒng)基礎(chǔ)結(jié)構(gòu)以傳播和管理訪問日志���,并且詢問訪問控制服務(wù)器。需要修改的服務(wù)是可信計算環(huán)境的一部分��。尤其應(yīng)該關(guān)注任何存在的隱蔽信道�。Symbian9中存在對DRM的支持,其可解決進(jìn)程不互操作的情形�����,但針對互操作進(jìn)程����,更為高級的實現(xiàn)應(yīng)該進(jìn)一步考慮 隱蔽信道。即使隱蔽信道不能被完全阻止��,但在本發(fā)明的一個實施方 式中使得它們相對無效。有兩種主要情形����,其中本發(fā)明的該框架或?qū)嵤┓绞綄τ诟倪M(jìn)Symbian上的DRM的狀態(tài)尤其有效。首先�����,當(dāng)存在具有在其訪問日志中設(shè)置有DRM服務(wù)標(biāo)識符的進(jìn) 程時���,此類的訪問控制約束可以被定義為阻止麥克風(fēng)的使用。這基本 上阻止了使用正在播放內(nèi)容的相同手機對內(nèi)容"重新數(shù)字化"���。其次��,可以定義下面的約束如果由不具有DRM功能設(shè)置的程 序讀取DRM內(nèi)容��,則禁止對設(shè)置"非-UI"服務(wù)標(biāo)識符的服務(wù)的使用���, 除了對于"文件讀取"標(biāo)識符。因此��,此類支持非證書認(rèn)證DRM的 播放器程序可以被運行���,從而能夠從文件讀取指令和/或命令��。該約束 阻止該播放器程序通過除了用戶接口以外的任意其他方式傳送信息���。在本發(fā)明的一個實施方式中�����,也要求不應(yīng)該具有在相同的主體集 中使用的下面三個服務(wù)標(biāo)識符麥克風(fēng)���、揚聲器和網(wǎng)絡(luò),除非軟件是 可信的����,即,軟件滿足預(yù)定分組方程的非��。在現(xiàn)有技術(shù)中已知各種分 組方程協(xié)商技術(shù)���。本實施方式支持阻止使用VoIP月l務(wù)��,例如在沒有 削弱整個IP棧的情況下��。針對讀者的興趣�����,下面將進(jìn)一步描述一種用于在例如Symbian9 的操作系統(tǒng)中訪問控制程序的行為的框架�����。OS功能被劃分成兩個類別�,用戶功能和系統(tǒng)功能。用戶功能是 小的并且相對容易理解的功能集�����,當(dāng)安裝應(yīng)用時���,用戶功能可以被呈 現(xiàn)給設(shè)備的所有者。用戶功能支持用戶來檢查當(dāng)使用應(yīng)用時�,應(yīng)用不 應(yīng)該執(zhí)行任意非預(yù)期的操作。系統(tǒng)功能不會被透明地呈現(xiàn)給用戶�����。相 反����,系統(tǒng)功能對于用戶是隱藏的。這是因為不是系統(tǒng)功能的所有含意 用戶都能輕易地理解??赡苡糜诒景l(fā)明的不同實施方式中的大多數(shù)功能已經(jīng)在下面的 列表中標(biāo)識出,連同這些功能可控制的操作權(quán)的訪問����。 網(wǎng)絡(luò)服務(wù)-在沒有對其物理位置的任何限制下對遠(yuǎn)程服務(wù)的訪問。通常���,電話用戶不知道該位置�。此外�,此類服務(wù)可能對電話用戶招致費 用。本地服務(wù)-對電話附近的遠(yuǎn)程服務(wù)的訪問��。遠(yuǎn)程服務(wù)的位置對于電話 用戶來說是熟知的���。在大多數(shù)的情況下��,此類服務(wù)不會對電話用戶招 致費用�����。讀用戶數(shù)據(jù)*-對對于電話用戶來說機密的數(shù)據(jù)進(jìn)行讀訪問�。該功能支 持用戶的隱私的管理��。聯(lián)系人、消息和約定總被認(rèn)為是用戶機密的數(shù) 據(jù)�。對于例如圖像或聲音的其他內(nèi)容來說,視情形而定��。 寫用戶數(shù)據(jù)*-管理用戶數(shù)據(jù)的完整性�。請注意該功能不與讀用戶數(shù)據(jù) 相對稱。例如����, 一個人可能希望阻止流氓應(yīng)用刪除音樂軌道,但可能 不希望限制對它們的讀訪問�����。如果清楚所有的私有數(shù)據(jù)是用戶數(shù)據(jù)��, 但機密數(shù)據(jù)的選擇更為隨意并且可能取決于UI實現(xiàn)��。位置-到設(shè)備位置的訪問�。該功能支持根據(jù)電話位置來管理用戶的隱 私����。*注意提供讀用戶數(shù)據(jù)功能和寫用戶數(shù)據(jù)功能來保護(hù)用戶的隱私。 例如���,不是移動電話的所有數(shù)據(jù)都必須由這些功能來保護(hù)����。存在多種 用例,其中就用戶而言����,特定的應(yīng)用數(shù)據(jù)可以是私有的或是公有的。 例如靜態(tài)圖像和視頻電影膠片可以相當(dāng)中性或很敏感�����,這取決于它們 的主題���。聯(lián)系人�、郵件和日歷條目通常是個人的�����。是否有人看到了公 有數(shù)據(jù)并不重要��,但通常私有數(shù)據(jù)應(yīng)該被保護(hù)以防其他人和惡意的軟 件(即��,惡意軟件)不期望的訪問�。UI規(guī)范應(yīng)該解決這些問題并且 提供用于保護(hù)私有數(shù)據(jù)的手段���。例如可以通過使用口令保護(hù)、根據(jù)對 給定數(shù)據(jù)的期望訪問(例如����,數(shù)據(jù)的類型)來將數(shù)據(jù)劃分到不同的文 件夾,或通過這些的任意組合��,從而實施保護(hù)�。在本發(fā)明的一個實施方式中,系統(tǒng)功能包括下面項目中的一個或 多個-寫訪問可執(zhí)行和共享的只讀資源��。通常�,與該功能一樣非常重要的 功能授權(quán)訪問可執(zhí)行文件并因此訪問它們的功能。 -直接訪問通信設(shè)備驅(qū)動程序���。-電源管理�����,即���,殺死系統(tǒng)中任何進(jìn)程的權(quán)利���,以關(guān)掉未用的外圍設(shè) 備�����,從而將機器切換到待機狀態(tài)��,再次喚醒它或完全斷電�����。 -針對例如聲音設(shè)備����、照相機、視頻設(shè)備的多媒體設(shè)備�����,訪問多々某體 設(shè)備驅(qū)動程序�。-讀訪問網(wǎng)絡(luò)運營商、電話制造商和設(shè)備機密設(shè)置或數(shù)據(jù)��。例如���,管 腳鎖定碼�����,已安裝應(yīng)用的列表��。諸如系統(tǒng)時間的不是機密的設(shè)置不需 要由該功能來保護(hù)�。-寫訪問控制設(shè)備的行為的設(shè)置。例如�����,設(shè)備鎖定設(shè)置�����、系統(tǒng)時間�、 時區(qū)、鬧鐘����。-訪問受保護(hù)的內(nèi)容。DRM代理^^用該功能來確定應(yīng)用是否該訪問DRM內(nèi)容��。被DRM授權(quán)的應(yīng)用可以相信是遵守與該內(nèi)容關(guān)聯(lián)的權(quán)利 的���。-創(chuàng)建可信的UI會話的權(quán)利��,并且因此在安全的UI環(huán)境中顯示對話����。當(dāng)機密性和安全很重要時����,可信的UI對話很少,主要與例如口令對話使用��。對用戶接口和顯示屏的常規(guī)訪問不需要該功能�����。-服務(wù)器注冊受保護(hù)的名稱的權(quán)利�。受保護(hù)的名稱以"!"開始。內(nèi)核將阻止沒有ProtServ功能的服務(wù)器使用此類名稱并且因此將防止受保護(hù)的服務(wù)器被模仿�。-對盤管理操作的訪問,這影響不止一個文件系統(tǒng)單元(文件或目錄) 或影響到整個文件系統(tǒng)完整性和/或行為等���。例如,重新格式化盤分區(qū) 的權(quán)利。-修改或訪問網(wǎng)絡(luò)協(xié)議控制的權(quán)利�����。通常當(dāng)動作可以改變所有現(xiàn)存的 和未來連接的行為時,其應(yīng)該由網(wǎng)絡(luò)控制來保護(hù)。例如,強迫特定協(xié) 議上的所有現(xiàn)存連接斷開或改變呼叫的優(yōu)先級��。 -對整個文件系統(tǒng)的讀訪問。-生成軟件密鑰&筆交互事件以及捕獲它們中的任何一個而不考慮應(yīng) 用的狀態(tài)的權(quán)利���。當(dāng)具有焦點時���,常規(guī)應(yīng)用將不需要SwEvent成為分 派的密鑰和筆交互事件�����。有時需要可靠地識別應(yīng)用和/或其商家�。Symbian平臺安全模型允許服務(wù)器在不知道它們的請求方的情況下來控制對它們的API的訪 問��,并且因此避免需要維護(hù)訪問控制列表。針對偶爾地需要唯一地標(biāo) 識應(yīng)用并且甚至其源,提供安全標(biāo)識符(SID )和商家標(biāo)識符(VID )。SID是保證本地唯一的標(biāo)識符��。VID由可執(zhí)行文件包含�����,從而一是供給 定可執(zhí)行文件的源的唯一標(biāo)識�。在大多數(shù)的情況下,該VID是零,即����, 對于任意的安全檢查不需要可執(zhí)行文件的源。圖3示出代表根據(jù)本發(fā)明的一個實施方式的操作的流程圖����。流程 圖開始于步驟300,其中終端空閑�。下面在步驟310中��,啟動第一任 意應(yīng)用。該應(yīng)用使用無線塊的 一 個功能塊以便流式向下傳輸媒體內(nèi) 容���。開始第一任意應(yīng)用后���,在步驟320中�����,終端檢查沒有訪問約束禁 止第一應(yīng)用使用無線塊����。如果找到任何禁止約束,則訪問被拒絕并且 應(yīng)用可能被停止和/或應(yīng)用可能提供錯誤消息�����,并且進(jìn)程重新開始于步 驟300。相反,在步驟330.中,終端識別出將要接收到的媒體內(nèi)容的 類型并且啟動第三方媒體播放器�,其由用戶配置為用于該媒體類型的 優(yōu)選播放器。啟動了媒體播放器后,終端檢查340內(nèi)容是否被保護(hù)�。 如果沒有被保護(hù),則執(zhí)行前進(jìn)到步驟350并且終端允許啟動記錄����,否 則執(zhí)行跳到步驟360�。在步驟360中,檢查是否違反了任何訪問約束����。 假設(shè)沒有,則終端前進(jìn)到步驟350�。接著,調(diào)用的服務(wù)或資源啟動����, 例如使用媒體播放器回放內(nèi)容(其正在被流式向下傳輸)。如果步驟 360的檢查結(jié)果為是���,則終端阻止370記錄�����,因為禁止所用功能的聯(lián) 合���。接著�,操作重新開始于步驟310�����。應(yīng)該注意到在例如使用在諾基亞通信器中的典型多任務(wù)環(huán)境中���, 在圖3中示出的多個流可以同時運行�����。本發(fā)明的 一 個實施方式包括在訪問控制系統(tǒng)中創(chuàng)建互斥的訪問 條件���。實施方式可以選擇性地支持單獨執(zhí)行多個操作中的任意 一 個���, 但不結(jié)合另一個操作��。已經(jīng)描述了本發(fā)明的具體實現(xiàn)和實施方式����。本領(lǐng)域技術(shù)人員很清 楚本發(fā)明不限于上述的實施方式的細(xì)節(jié)�����,而是可以在沒有偏離本發(fā)明 的特性的情況下使用等同手段在其他實施方式中實現(xiàn)���。本發(fā)明的范圍 僅由所附專利權(quán)利要求書所限定���。
權(quán)利要求
1.一種用于在具有各種資源的數(shù)據(jù)處理終端中控制任意計算機可執(zhí)行應(yīng)用對資源的訪問的方法���,包括維護(hù)條件訪問控制約束的集合,其用于定義可由應(yīng)用聯(lián)合使用的可允許的資源組合�����;以及使得僅在可允許的資源組合的約束內(nèi)運行應(yīng)用,該可允許的資源組合由運行的應(yīng)用聯(lián)合使用。
2. 根據(jù)權(quán)利要求1所述的方法,其中所述可允許的組合通過定義 非可允許的組合來間接定義。
3. 根據(jù)權(quán)利要求1或2所述的方法�����,其中所述訪問控制約束定義 至少兩個互斥的功能塊或至少兩個互斥的功能塊的組合��。
4. 根據(jù)前述權(quán)利要求的任意一項所述的方法��,其中通過訪問控制 對象來定義所述訪問控制約束�。
5. 根據(jù)權(quán)利要求4所述的方法���,其中不同的服務(wù)分配有相應(yīng)的服 務(wù)標(biāo)識符���,不同的訪問對象與相應(yīng)的訪問日志和針對訪問對象的服務(wù) 調(diào)用相關(guān)聯(lián)���,以及由此調(diào)用服務(wù)的服務(wù)標(biāo)識符被相應(yīng)地存儲在被調(diào)用 的服務(wù)的訪問日志中���。
6. 根據(jù)權(quán)利要求5所述的方法��,其中所述訪問控制約束由布爾邏 輯來定義����。
7. 根據(jù)前述權(quán)利要求的任意一項所述的方法,其中任意應(yīng)用對可 聯(lián)合使用的不同服務(wù)的訪問也由所述維護(hù)的條件訪問控制約束通過 使得僅在可允許的資源組合的約束內(nèi)運行應(yīng)用而控制�����,該可允許的資 源的組合由運4亍的應(yīng)用耳關(guān)合4吏用。
8. —種數(shù)據(jù)處理終端(100),其具有各種資源并且能夠使用資 源執(zhí)行任意計算機可執(zhí)行的應(yīng)用����,包括存儲器(120);存儲在存儲器(120)中的條件訪問控制約束的集合(122; 203 ),用��,該可允許的資源的組合由運行的應(yīng)用聯(lián)合使用��。
9. 根據(jù)權(quán)利要求8所述的終端(100),其中所述可允許的組合通過定義非可允許的組合來間接定義。
10. 根據(jù)權(quán)利要求8或9所述的終端(100),其中所述訪問控制 約束(122; 203 )定義至少兩個互斥的功能塊或至少兩個互斥的功能 塊的組合����。
11. 根據(jù)權(quán)利要求8到IO的任意一項所述的終端(100),其中 通過訪問控制對象(207 )來定義所述訪問控制約束(122; 203 )��。
12. 根據(jù)權(quán)利要求11所述的終端�����,其中不同的服務(wù)分配有相應(yīng)的 服務(wù)標(biāo)識符(202 )�,不同的訪問對象(207 )與相應(yīng)的訪問日志(205 ) 和針對訪問對象(207)的服務(wù)(201 )調(diào)用相關(guān)聯(lián),以及由此調(diào)用服 務(wù)的服務(wù)標(biāo)識符(202)被相應(yīng)地存儲在被調(diào)用的服務(wù)的訪問日志(205 )中����。
13. 根據(jù)權(quán)利要求12所述的終端(100),其中所述訪問控制約 束(122; 203 )由布爾邏輯來定義。
14. 根據(jù)權(quán)利要求8到13的任意一項所述的終端(100),其中 任意應(yīng)用對可聯(lián)合^:用的不同服務(wù)(201)的訪問也由維護(hù)的條件訪 問控制約束(122; 203 )通過使得僅在可允許的資源組合的約束內(nèi)運 行應(yīng)用而控制����,該可允許的資源組合由運行的應(yīng)用聯(lián)合4吏用。
15. —種用于在具有各種資源的數(shù)據(jù)處理終端中控制操作以便控 制任意計算機可執(zhí)行應(yīng)用對資源的訪問的計算機程序����,包括計算機程序代碼����,用于使得終端維護(hù)條件訪問控制約束的集合����,計算機程序代碼,用于使得終端能夠僅在可允許的資源組合的約 束內(nèi)運行應(yīng)用�,該可允許的資源的組合由運行的應(yīng)用聯(lián)合使用。
16. —種用于在具有各種資源的數(shù)據(jù)處理終端中控制操作以便控 制任意計算機可執(zhí)行應(yīng)用對資源的訪問的子組件�,該子組件包括用于使得終端維護(hù)條件訪問控制約束的集合的裝置,該條件訪問及用于使得終端能夠僅在可允許的資源組合的約束內(nèi)運行應(yīng)用的
17. 根據(jù)權(quán)利要�、求'16所述的子組件,其中用于使得終端維護(hù)條件 訪問控制約束的集合的裝置和/或用于使得終端能夠僅在可允許的資 源組合的約束內(nèi)運行應(yīng)用的裝置基于下面的任意組合芯片組電路和 存儲在 一個或多個芯片組中的計算機代碼���。
18. —種用于制造具有各種資源并且能夠控制任意計算機可執(zhí)行 應(yīng)用對資源的訪問的數(shù)據(jù)處理終端的方法��,包括在所述終端中存儲計算機程序代碼����,該計算機程序代碼用于使得 終端維護(hù)條件訪問控制約束的集合�����,該條件訪問控制約束的集合用于 定義可由應(yīng)用聯(lián)合使用的可允許的資源組合;以及在所述終端中存儲計算機程序代碼�,該計算機程序代碼用于使得 終端能夠僅在可允許的資源組合的約束內(nèi)運行應(yīng)用,該可允許的資源 組合由運行的應(yīng)用聯(lián)合使用�����。
全文摘要
向具有各種資源并且能夠使用該資源來執(zhí)行任意計算機可執(zhí)行應(yīng)用的數(shù)據(jù)處理終端提供訪問控制�。維護(hù)條件訪問控制約束的集合,其用于定義可由應(yīng)用聯(lián)合使用的可允許的資源組合��;僅允許應(yīng)用在可允許的資源組合的約束內(nèi)運行�����,該可允許的資源組合由運行的應(yīng)用聯(lián)合使用��。約束使用分配給不同訪問對象的訪問日志以及使用存儲在對應(yīng)于所使用的服務(wù)的訪問日志中的服務(wù)標(biāo)識符來定義�。應(yīng)用命題邏輯來確定可聯(lián)合使用的可允許的資源和/或服務(wù)的組合��。
文檔編號G06F21/62GK101336415SQ200680052134
公開日2008年12月31日 申請日期2006年2月1日 優(yōu)先權(quán)日2006年2月1日
發(fā)明者L·塔爾卡拉 申請人:諾基亞公司