專利名稱:在電信終端上實現(xiàn)安全性的系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明一般涉及移動或有線電信終端上的安全策略執(zhí)行的領(lǐng)域, 特別涉及具有開放式操作系統(tǒng)的電信終端中應用層的安全策略的執(zhí) 行���,所述開放式操作系統(tǒng)允許安裝(和執(zhí)行)第三方軟件應用�����。
背景技術(shù):
移動電信終端(例如����,最新一代的移動電話機)在終端的計算能 力�����、可用通信帶寬�、專門為電信終端設計的服務和軟件應用的可用性 方面的普及和發(fā)展正在擴展電信終端能夠向用戶提供的業(yè)務的范圍, 以及接入電信網(wǎng)絡的形態(tài)��。
3E見在�,具有開》文式操作系纟克���,比:ft口 Windows Mobile, Symbian 或SavaJe的移動電信終端上通信帶寬和計算能力的可用性已使得能 夠提供新的增值業(yè)務,以及采用"always on"連接特征(profile)(即���,電 信終端的用戶始終與電信/數(shù)據(jù)通信網(wǎng)絡連接���,并能夠在任何時候訪問 提供的業(yè)務)。這些新業(yè)務的例子是統(tǒng)一標準的消息接發(fā)(電子郵件�����、 即時消息接發(fā)��、短消息業(yè)務-SMS����、多^f某體消息業(yè)務-MMS),雇員通 過IP(因特網(wǎng)協(xié)議)信道對企業(yè)資源的安全訪問(例如���,借助包括比如 TLS/SSL-傳輸安全層/安全套接字層�����,IPsec-IP安全����,L2TP-第二層隧 道協(xié)議等協(xié)議在內(nèi)的受保護隧道的方式),數(shù)字版權(quán)管理(DRM)業(yè)務��, 多媒體內(nèi)容的訪問和利用(例如��,基于DVB-H-手持數(shù)字視頻廣播標 準)�����,對企業(yè)的業(yè)務和應用程序的訪問��,等等�。
另外考慮到定制業(yè)務能夠觸及的廣大目標客戶,這些強大的移動 電信終端的可用性是一個巨大的市場機會���。不過��,這種強大的終端也 會在移動電信網(wǎng)絡運營商的核心業(yè)務方面帶來安全問題�����。在一些方 面��,移動終端特別易受軟件攻擊僅僅列舉一些例子�,移動終端通常專用于個人使用,它保存敏感信息(個人信息和職業(yè)信息)����,它具有與
SIM(用戶身份模塊)相關(guān)的貨幣信用,它保存便于容易地跟蹤用戶的 信息(比如IMSI-國際移動用戶身份�,和IMEI-國際移動設備身份), 它可以使用寬的通信帶寬(例如����,GPRS/EDGE/UMTS),并且它可以 實現(xiàn)不同種類的連接(例如Wi-Fi���,藍牙���,IrDA-紅外設備應用,NFC-近場通信��,ZigBee)���。
目前,涉及移動電信終端的安全問題主要歸因于用戶的敏感性 (社會工程)�����,及特洛伊式惡意軟件的擴散。與個人計算機(PC)的用戶 相比��,移動電話機的用戶通常對安全問題不太敏感���;這部分歸因于與 PC相比��,移動電話機更普及����,以及歸因于移動電話機通常被視為安 全設備的事實����,從而用戶不習慣認為他們的移動電話機可能受到軟件 攻擊。
現(xiàn)在�����,正在傳播的惡意軟件基本上是特洛伊式惡意軟件��;從而���, 它很少利用駐留在移動終端上的軟件的弱點�,相反它使用"掩飾 (cover),����,應用程序在終端上進行安裝,在獲得用戶的授權(quán)之后(在這方 面��,用戶的低敏感性起了重要的作用)��,實施為其設計的攻擊(例如��, 向收費號碼(premium number)發(fā)送SMS�����,刪除用戶文件和文檔���,非 法轉(zhuǎn)發(fā)電子郵件和其t種類的信息����,復制它自己)��。
為了解決部分由幾種惡意應用程序的擴散驅(qū)動的日益增長的對 更高安全性的需求���,提出了幾種方案(initiative)��。 一些最重要的方案 是 Microsoft Mobile-2-Market(http:〃msdn,microsoft.com/mobilitv/ windowsmobile/partners/mobile2market/dsefault.aspx) ���, Symbian Signed師i3s:〃www.svmbiaiisigiied.coin), OMTP(開放式移動終端平 臺)P6應用程序安全計劃(http:〃www.omtp.org), GSM-A MAS(移動 應用程序安全)計劃(http:〃www. 2smworld.com/using/securitv /mobile application.shtml) ���, Java MIDP(移動信息i殳備簡 才當)2.0(httD:〃iava.sun,com/ products/midD/index.isp)�。
通常�,所有已知的方案都基于相同的模型,下面稱為"信任模型"���, 它一般定義兩種宏觀類型的能夠在移動電信終端上運行的軟件應用
9可信應用程序和不可信應用程序��。
不可信應用程序是當被安裝和/或執(zhí)行時����,在終端上不能評估其
真實性的未數(shù)字簽名的應用程序(或者由不可信的認證機構(gòu)-CA數(shù)字 簽名的應用程序)���;因為不存在關(guān)于這些應用程序的任何信息����,并且不 能進行任何檢查�����,因此��,它們是終端的潛在攻擊源���。由于這些原因��, 不可信應用程序只被允許訪問電信終端的資源的有限子集���,即,操作 系統(tǒng)暴露的API (應用編程接口 )�����,也就是^i人為不危險的API����。
相反�����,可信應用程序被(可信CA)數(shù)字簽名���,并且被允許訪問更 大的一組暴露API�����。特別地,按照所訪問資源的關(guān)鍵程度的準則�����,操 作系統(tǒng)暴露的API被分成不同的類別���。根據(jù)發(fā)出用其簽署應用程序的 數(shù)字證書的CA�����,可信的數(shù)字簽名的應用程序被映射到某一安全級別。 對應于不同的"根證書"定義不同的安全級別相對于引用存在于終端 上的根證書之一的證書鏈��,認證某一應用程序���。待分配給該應用程序
的�����。分配給該應用程序的安全級別確定該應用程序能夠訪問的一組資 源����,以及該應用程序能夠與所述一組資源交互作用的方式。在一些情 況下��,已被分配某一安全級別的應用程序不能訪問為該級別指定的所 有資源��,而只能訪問在認證過程中由軟件廠商指定的那些資源��。
在應用程序的安全受到威脅或者違反特定的安全策略時���,數(shù)字簽 名機制的使用還允許實現(xiàn)應用程序撤消機制����。例如�����,就連接的可用性 來說����,在安裝和/或執(zhí)行應用程序之前�,移動終端可確定所考慮的應用 程序是否被撤消�;這可通過下載和檢查證書撤消清單(CRL),或者利 用諸如在線證書狀態(tài)協(xié)議(OCSP)之類的協(xié)議,以便獲得和與簽名密鑰 綁定的證書的有效性����,從而和相關(guān)的簽名應用程序的有效性相關(guān)的即 時響應來實現(xiàn)。
在EP-A-1361527中可找到信任模型的一種實現(xiàn)例子����,其中描述 一種用于把應用程序加載到設備中����,通常用于把應用程序下載到便攜 式設備(一般是移動電話機)中的方法。所述方法包括下述步驟把 帶簽名的應用程序下載到設備中�����;使應用程序的簽名與保存在設備中
10的預定義屬性證書關(guān)聯(lián)�����;連同所述屬性證書一起安裝該應用程序��。優(yōu) 選地�����,使應用程序的簽名與根證書關(guān)聯(lián),該根證書再把應用程序與預 定義的屬性證書聯(lián)系起來�。
在WO2006/017757中可找到實現(xiàn)信任;漠型的另 一種實現(xiàn)例子, 其中公開了利用業(yè)務提供者驗證���,提供增強的安全性的方法和設備����。 除了對照保存在網(wǎng)絡節(jié)點上的根證書驗證應用程序簽名之外�����,還比較 與應用程序關(guān)聯(lián)的第 一 電信公司標識與第二電信公司標識�。如果第一 和第二電信公司標識匹配,那么該應用程序可被分配給可信保護域和 被授予提供對網(wǎng)絡節(jié)點的特許訪問的許可�。例如,應用程序可被授予 在網(wǎng)絡節(jié)點上安裝和/或執(zhí)行的許可���。否則����,該應用程序可被拒絕特許 訪問。因此��,電信公司的應用程序?qū)⒅槐话惭b到作為該應用程序的預 定接收者的網(wǎng)絡節(jié)點上�����。
在US 2005/03398中可找到信任^t型的又一種實現(xiàn)例子�,其中單 一機器具有在不可信環(huán)境中運行的實體和在可信環(huán)境中運行的實體, 可信環(huán)境中的實體的可信賴性被投射到不可信環(huán)境中的實體�。這適用 于例如 Microsoft 的 Next Generation Secure Computing Base(NGSCB),其中常規(guī)的操作系統(tǒng)(例如,Windows操作系統(tǒng))托管 安全操作系統(tǒng)(例如��,nexus)���。
發(fā)明內(nèi)容
申請人注意到上面討論的信任模型受到幾個問題的影響。 由CA來認證應用程序具有不可忽視的費用���;從而��,只有那些能 夠負擔認證費用的軟件生產(chǎn)商/廠家才更可能存在于市場上(即����,提供 能夠訪問移動終端的操作系統(tǒng)暴露的最感興趣API的強大應用程序)�����。 在這方面,應注意到使軟件應用被CA認證的費用較高�����,還因為僅僅 在首次把應用程序投放到市場上時對其進行認證并不夠需要對該應 用程序的每個新版本重復認證�,即使變化較少或者廠家發(fā)布了服務包 或應用程序補丁也不例外。
就開源軟件來說���,認證費用的問題感受特別明顯申請人認為開源軟件程序可以獲得對操作系統(tǒng)的所有API和資源的訪問同樣是重 要的�,不過采用上述的基于CA認證的信任模型會使之變得不可能���, 因為不清楚誰將負擔認證費用�。
信任模型的另 一 問題在于上面提及的應用程序撤消機制�。應用程 序的撤消可以或者應該由信任模型中所涉及的幾個參與者(比如移動 電話機用戶,軟件生產(chǎn)商/廠家�����,網(wǎng)絡運營商���,移動終端制造商)來授 權(quán)�,這使過程的設計及不同角色和職責的分配復雜化。由于不同國家 中的不同立法的緣故���,還涉及法律問題這會使得難以創(chuàng)建被不同的 國家全球認可和法律支持的適合于提供同質(zhì)的服務簡檔的統(tǒng)一框架����。
信任模型的另 一 問題在于根據(jù)一組標準測試��,軟件應用被賦予一 定的安全級別�����,所述一組標準測試包括應用程序代碼的靜態(tài)分析(即��, 不考慮當在實際環(huán)境中運行時��,該應用程序?qū)嶋H會做什么的分析)�。不 過���,這種靜態(tài)分析可能不是很有效它不能重構(gòu)和評價應用程序的所 有可能的執(zhí)行路徑�。為此���,諸如Symbian Signed的一些認證過程要 求來自軟件生產(chǎn)商的關(guān)于該應用程序的非惡意行為的聲明���。當考慮軟 件漏洞(軟件應用的程序缺陷���,其可能被惡意軟件用于傳播和產(chǎn)生損害) 時,情況更復雜���。目前�,通過靜態(tài)分析確定漏洞的存在是一個具有挑 戰(zhàn)性的問題�����。已知的解決方案��,比如Java, Symbian Signed, Microsoft M2M提供向應用程序靜態(tài)賦予在認證過程中確定的安全級別����。這種 認證,以及其它種類的認證���,比如Common Criteria或ITSEC(信息 技術(shù)安全評價標準)認證不能防止應用程序包含可被惡意軟件用于進 行攻擊的嚴重漏洞��。此外��,即使確定了嚴重漏洞����,并且已一次或多次 被利用,認證也不會改變���。申請人認為這種靜態(tài)分配對用戶(對軟件應 用的可用性的限制)和能夠?qū)崿F(xiàn)的業(yè)務模型來說局限性都很強��。
鑒于上面概述的現(xiàn)有技術(shù)的狀態(tài)����,申請人解決了實現(xiàn)不受上述問 題和局限影響的安全方案的問題�。
特別地,申請人解決了提高具有開放式操作系統(tǒng)的電信終端中的 應用層的安全性的問題����。
申請人發(fā)現(xiàn)通過提供一種適合于向安裝在電信終端上,并且可能被電信終端執(zhí)行的軟件應用分配易于隨時間變化的安全級別的框架��, 并通過提供一種適合于動態(tài)管理對于應用程序的安全級別的分配的 框架����,能夠克服已知信任模型經(jīng)歷的問題。
特別地����,申請人發(fā)現(xiàn)能夠根據(jù)軟件應用的聲譽分配安全級別。軟 件應用的聲譽指的是軟件應用的信任度���。軟件應用的聲譽��,即信任度�,
可根據(jù)從多個信息源收集的信息來計算�����;可用于計算軟件應用的聲譽 的信息包括已發(fā)現(xiàn)漏洞的數(shù)目和嚴重性信息����,軟件應用代碼(可執(zhí)行代 碼和,如果可能的話��,源代碼)的分析�����,利用已發(fā)現(xiàn)漏洞的存在����,補丁 發(fā)布時間,等等���。
對于本發(fā)明來說����,"漏洞"(vulnerability)指的是數(shù)據(jù)處理系統(tǒng) 中允許攻擊者違犯數(shù)據(jù)處理系統(tǒng)或它托管的數(shù)據(jù)和/或應用程序的完 整性,機密性�����,訪問控制�����,可用性�, 一致性或?qū)徲嫏C制的缺陷。漏洞 可起源于系統(tǒng)中的程序缺陷或設計缺點�。漏洞可以僅僅在理論上存 在,或者可具有已知的利用��。當包含漏洞的程序借助特權(quán)工作���,進行 驗證或者易于訪問用戶數(shù)據(jù)或設施時����,漏洞尤其嚴重�。
軟件應用的安全級別的動態(tài)計算可被委托給代表電信終端的用 戶工作的服務器實體�。
按照本發(fā)明的一個方面����,提供一種如所附權(quán)利要求1中所述的系統(tǒng)����。
所述系統(tǒng)包括
-具有數(shù)據(jù)處理能力的至少一個電信終端,所述電信終端容許在 其上安裝軟件應用����,其中每個軟件應用具有與之關(guān)聯(lián)的相應指示符, 所述指示符適合于指示軟件應用的安全級別�����,所述安全級別能夠隨時 間變化�����;
-由所述至少一個電信終端執(zhí)行的軟件代理�,所述軟件代理適合 于根據(jù)相應的安全級別,有條件地允許軟件應用在電信終端上的安 裝��;
-與所述軟件代理通信的服務器����,所述服務器適合于動態(tài)計算軟 件應用的安全級別�����,并把計算的待安裝在所述電信終端上的軟件應用的安全級別發(fā)送給所述軟件代理��。
對于本發(fā)明來說�����,軟件應用的"安全級別�,�����,意指能夠^:認為是歸因 于該軟件應用的信任度�����,它確定電信終端允許訪問其資源(操作系統(tǒng)的
API)的程度��。
按照本發(fā)明的第二方面�����,提供一種如權(quán)利要求19所述的電信終 端,所述電信終端具有數(shù)據(jù)處理能力����,并且容許在其上安裝軟件應用���, 其中每個軟件應用具有與之關(guān)聯(lián)的相應指示符����,所述指示符適合于指 示軟件應用的安全級別�����。所述電信終端包括適合于由電信終端執(zhí)行的 軟件代理���,所述軟件代理適合于根據(jù)相應的安全級別�,有條件地允許 軟件應用在電信終端上的安裝��,并從服務器接收更新后的待安裝在所 述電信終端上的軟件應用的安全級別��。
按照本發(fā)明的第三方面���,提供一種如所附權(quán)利要求26所述的系 統(tǒng)�����,所述系統(tǒng)包含適合于與具有數(shù)據(jù)處理能力的至少一個電信終端通 信的服務器��,其中所述電信終端容許在其上安裝軟件應用����,每個軟件 應用具有與之關(guān)聯(lián)的相應指示符,所述指示符適合于指示軟件應用的
安全級別����,所述安全級別能夠隨時間變化,所述服務器適合于動態(tài)計 算軟件應用的安全級別��,并把計算的待安裝在所述電信終端上的軟件 應用的安全級別發(fā)送給軟件代理����。
按照本發(fā)明的第四方面,提供一種如所附權(quán)利要求36所述的方 法��,所述方法包括根據(jù)軟件應用的安全級別��,有條件地允許該軟件應 用在電信終端上的安裝��。所述安全級別能隨時間變化,所述方法還包 括使電信終端接收由與所述電信終端通信的服務器更新的該軟件應 用的安全級別���。
通過閱讀僅僅作為非限制性例子提供的本發(fā)明的 一 個實施例的 下述詳細說明�,本發(fā)明的特征和優(yōu)點將變得更明顯�����,為了清楚起見����, 將參考附圖進行說明��,其中
圖1以功能塊簡要地示出了按照本發(fā)明實施例的系統(tǒng)的體系結(jié)
14構(gòu)���;
圖2以功能塊簡要地示出了圖l的系統(tǒng)的信任提供者組件的結(jié)
構(gòu)�����;
圖3以功能塊簡要地示出了駐留在終端上的圖i的系統(tǒng)的客戶端 組件的結(jié)構(gòu)���;
圖4A、4B和4C示出了圖解說明在終端上安裝新的軟件應用時��, 客戶端組件和信任提供者組件執(zhí)行的主要動作的簡化流程圖5示出了圖解說明在運行安裝在終端上的軟件應用的情況下, 客戶端組件和信任提供者組件執(zhí)行的主要動作的簡化流程圖��。
具體實施例方式
參考附圖�,圖1中以功能塊簡要示出了按照本發(fā)明實施例的系統(tǒng) 的體系結(jié)構(gòu)。
該系統(tǒng)包含信任提供者組件105��,信任提供者組件105作為關(guān)于 駐留在用戶的移動電信終端115-1���、 115-2�、 115-3�����、 115-4和115-5上 的若干客戶端組件110的服務器而運行���。
移動通信終端是例如適合于在移動電信網(wǎng)絡��,尤其是移動電話網(wǎng) 絡��,比如GSM(全球移動通信系統(tǒng))�,GPRS(通用分組無線電系統(tǒng))��, EDGE(增強數(shù)據(jù)速率GSM演進)或者UMTS(通用移動電信系統(tǒng))中使 用的移動電話機���,PDA(個人數(shù)字助手)����,智能電話機。不過要指出的 是盡管參照移動通信終端進行本說明�����,不過這不應被解釋成對本發(fā)明 的限制�,本發(fā)明同樣適用于有線電信終端。
普通(generic)移動終端115-1���、 115-2���、 115-3��、 115-4和115-5 上安裝有開放式操作系統(tǒng)���,比如Windows Mobile, Symbian或者 SavaJe����,所述開放式操作系統(tǒng)控制移動終端的操作�,允許在移動終端 上安裝第三方軟件應用��?����?砂惭b在移動終端上的這些軟件應用可通過 操作系統(tǒng)暴露的API(API對應于移動終端的資源�,從而下面術(shù)語 "API"和"資源"將被視為同義詞)訪問移動終端的資源�����。
特別地�����,相應于API相對于移動終端安全性的不同關(guān)聯(lián)度�����,操作系統(tǒng)暴露的AI被分成不同的類別��。
將在移動終端上安裝和執(zhí)行的軟件應用具有相關(guān)聯(lián)的安全或信 任等級����,該關(guān)聯(lián)的安全或信任等級確定應用程序能夠訪問的一組 API(—個或多個類別),以及相關(guān)訪問形態(tài)�����。
一般來說,安全或信任等級是與應用程序能夠有條件地訪問的三 組或多組API對應的大于2個值的多個值之一�����。
訪問形態(tài)的例子是"allow always"形態(tài)�����,"blanket"形態(tài)�,"one shot"形態(tài)和" session "形態(tài)。在"allow always"形態(tài)下��,對用戶來說����, 軟件應用對資源(例如,對API)的訪問請求基本上是透明的而不要求 與用戶的任何直接交互(直接交互可以經(jīng)由提示或者圖形用戶界面 -GUI)����。在"blanket�,,訪問形態(tài)下��,軟件應用可再次按照對用戶來說透 明的方式訪問資源,除應用程序首次請求訪問資源之外這種情況下�, 要求用戶的明確授權(quán); 一旦授權(quán)被批準����,那么該授權(quán)被認為是永久性 的,對資源的后續(xù)訪問請求;陂隱含地認為得到許可��。在"one shot"形 態(tài)下��,每次應用程序請求訪問資源時���,用戶必須授權(quán)該訪問����。在 "session"形態(tài)下��,對資源的訪問需要用戶的授權(quán)����;不過, 一旦授權(quán)被 批準���,那么認為該授權(quán)對整個會話有效�����,即����,直到應用程序的運行被 終止或者使終端保持"打開,���,狀態(tài)��,該授權(quán)有效����;在下次調(diào)用該應用程 序時����,或者在該終端再次加電時,為了準許訪問資源����,必需要新的用 戶授權(quán)。
按照本發(fā)明的實施例��,分配給打算安裝并且隨后可能在移動終端 115-1, 115-5上執(zhí)行的普通軟件應用的安全級別不是靜態(tài)的����,即, 不是像通常在應用程序認證過程中那樣一勞永逸地確定的����,而是動態(tài) 變化的。
特別地�����,通過動態(tài)確定待分配給打算安裝或者已安裝在移動終端 115-1�����, ...����, 115-5上的軟件應用的恰當?shù)陌踩墑e,并把安裝/待安裝 于移動終端上的軟件應用的更新后的安全級別通知移動終端�,信任提 供者105代表移動終端115-1, ...��, 115-5的用戶運作��,并幫助保持移 動終端的完整性。
16移動終端115-1, ...�, 115-5的用戶為其訂戶的移動電信網(wǎng)絡的 運營商可扮演信任提供者105的角色。事實上����,在認證、信道加密和 隱私保護方面����,移動網(wǎng)絡運營商已經(jīng)扮演了其用戶的安全提供者的角 色。此外�����,它具有必要的技術(shù)和管理技能��,被已簽署接入移動網(wǎng)絡合 同的用戶信任��,并且在網(wǎng)絡側(cè)和移動終端側(cè)它都具有可被有利地用于 實現(xiàn)安全框架的資源和平臺����。
信任提供者105與移動終端115-1,…�,115-5通信。特別地����, 通過利用移動電信網(wǎng)絡資源��,例如借助SMS消息和/或MMS消息, 和/或借助IP網(wǎng)絡上的基于分組(例如GPRS)連接�,信任提供者105 和移動終端115-1, ..�����,��, 115-5之間的通信可通過空中(Over The Air) 進行����。優(yōu)選地,例如利用數(shù)字簽名機制(例如�,簽名的XML)保護信任 提供者105和移動終端115-1, ...�����, 115-5之間的通信���。
信任提供者105另外與外部信息源(總的標注為120)通信��,外 部信息源120適合于向信任提供者105提供有用的信息以動態(tài)確定�, 即,保持被監(jiān)控軟件應用的更新后的安全級別�����。特別地�����,僅僅通過舉 例的方式���,外部信息源120可包括CERT(計算才幾緊急響應小組��, http:〃www,cert.org/����、(標注為120-1)����,它是位于軟件工程研究所(由 卡內(nèi)基*梅隆大學運作的聯(lián)邦資助的研發(fā)中心)的因特網(wǎng)安全專家的中 心,致力于研究因特網(wǎng)安全漏洞��,研究聯(lián)網(wǎng)系統(tǒng)的長期變化�,提出幫 助改善安全性的信息和培訓��;另一示例性的外部信息源是OVAL(開 放漏洞評估語言�����,http:〃oval.mitre.org/)(標注為120-2),它是用于 表示測試用系統(tǒng)的配置信息的標準語言和方法���,目的是分析系統(tǒng)以獲 得指定機器狀態(tài)(漏洞�,配置,補丁狀態(tài))的存在��。進一步示例性的外 部信息源是CVE(公共漏洞和暴露��,http:〃cve.mitre.org/)(標注為 120-3)��,它是所有公知漏洞和安全性暴露的標準化字典����,軟件廠家公 告(標注為120-4),在軟件廠家公告120-4上�,軟件生產(chǎn)商和廠家公布 所檢測到的其軟件應用的漏洞,可能還有解決該問題的補丁或解決途 徑��,和軟件認證實驗室(即CA�,總的標注為120-5),它負責按照公 知的方案(比如Symbian Signed, Microsoft Mobile-2畫Market或OMTP框架)測試和^人證應用程序����。
信任提供者105還可與例如由不同的移動電信網(wǎng)絡運營商運行 的一個或多個其它信任提供者105-1�����、 105-2通信��,從而共享有關(guān)的信 息以動態(tài)且及時地確定被監(jiān)控軟件應用的安全級別�。因為安全級別與 應用程序綁定,而不是與用戶綁定�����,所以可無任何隱私顧慮地共享這 種信息�。
圖1中,各對移動終端115-1���,...�, 115-5之間的箭頭意欲表示移 動終端之間的對等電信信道����,例如(但不限于)短程通信信道,比如藍 牙����、ZigBee�����、 NFC等等��,或者GSM/GPRS/UMTS/HSDPA(高速下行 鏈路分組接入)/WiFi上的全IP信道(如果可用的話)�;在本發(fā)明的一個 優(yōu)選實施例中�,利用這些直接的對等通信信道的移動終端可共享與安 裝在所述移動終端上并且可能在其上運行的軟件應用的安全級別相
關(guān)的信息,甚至無需與信任提供者105建立連接���。這有助于提高安全
框架的效率,并提供更好的帶寬消耗��。
現(xiàn)在參見圖2�,利用主功能塊更詳細地說明信任提供者105的結(jié)構(gòu)。
信任提供者105 (其相對于安裝在移動終端上并在其上運行的客 戶端組件110而言扮演服務器組件的角色)包括前端205和后端210����。 前端205包括與駐留在移動終端上的客戶端110通信的通信接口 (總的標注為215 );這種通信接口 215包括例如SMS接口 , MMS 接口�����, IP接口,廣播信道4妾口(例如���,通過GSM/GPRS/UMTS網(wǎng)絡上 的蜂窩廣播信道發(fā)送信息)�。信任提供者105的前端205還包括信息發(fā) 布接口 220�����,比如第三方(例如移動終端的用戶和其它信任提供者) 可通過web瀏覽器訪問的web服務器��;通過信息發(fā)布接口 220����,信任 提供者105發(fā)布并使第三方可以獲得例如以下信息比如信任提供者 105采用的計算被監(jiān)控軟件應用的安全級別的方法(這可采取安全級 別評價聲明_SLES的形式, 一種宣告所采用的安全級別評價方法的文 檔)����;被監(jiān)控軟件應用及其當前安全級別的建立有關(guān)的過去的事件?�?蓪@種信息的訪問進行驗證處理�, 以便只有授權(quán)用戶和代理才能夠獲得該數(shù)據(jù)。
后端210包括靜態(tài)或二進制分析器模塊225����,適合于進行軟件應 用的代碼的靜態(tài)(即二進制)分析��;還提供了漏洞分析器模塊230����, 通過利用從外部信息源120收集的信息���,漏洞分析器模塊230適合于 分析軟件應用的漏洞����。安全級別評價器模塊235被配置成接收二進制 分析器模塊225和漏洞分析器模塊230的輸出���,以及從外部信息源 120�,尤其是從軟件生產(chǎn)商/廠商公告120-4�����,從CA 120-5和從其它 信任提供者105-1,105-2收集信息����,并通過應用預定度量(在信任提供 者105發(fā)布和維護的SLES中規(guī)定)�,計算待分配給每個被監(jiān)控軟件應 用的安全級別。安全級別通常由安全級別評價器模塊在三個或更多的 級別中選擇�。軟件應用數(shù)據(jù)庫240被配置成保存信任提供者105監(jiān)控 的所有軟件應用的列表�����,和對應的安全級別(優(yōu)選地���,除了當前安全級 別之外,還保存過去的安全級別���,使得能夠認識軟件應用的歷史)�����。用 戶數(shù)據(jù)庫245保存作為信任提供者105的訂戶的用戶的標識符和其它 細節(jié)(例如�,對與用戶的移動終端建立通信或者記賬來說必需的細節(jié))���, 并且對于每個用戶��,保存安裝在用戶的移動終端上的軟件應用的列 表�����。
在圖3中�����,利用主功能塊描述安裝并運行于普通移動終端上的客 戶端組件110的結(jié)構(gòu)���。
客戶端組件110是運行于移動終端上的軟件代理�����?�?蛻舳私M件 110包括適合于管理客戶端組件110和由信任提供者105代表的服務 器組件之間的通信的客戶端/服務器通信模塊305��。優(yōu)選提供利用短程 通信信道(比如藍牙��、ZigBee ����、 NFC 等�,或者 GSM/GPRS/UMTS/HSDPA上的全IP通信信道)來管理與其它移動 終端的直接通信的對等通信模塊310。此外��,還提供廣播通信模塊315���, 以便通過廣播無線電信道(比如GSM/GPRS/UMTS網(wǎng)絡中的蜂窩廣 播)獲得信息。通信模塊305、 310和315形成客戶端組件110的前 端320�����??蛻舳私M件IIO還包括監(jiān)控層323。監(jiān)控層323包括應用程序安 裝監(jiān)控模塊325���,適合于檢測與新軟件應用在移動終端上的安裝相關(guān) 或者導致所述安裝的活動的啟動����。監(jiān)控層323還包括適合于檢測安裝 在移動終端上的應用程序的啟動的應用程序執(zhí)行監(jiān)控模塊330����。提供 內(nèi)核模塊335,內(nèi)核模塊335與應用程序安裝監(jiān)控模塊325和應用程 序執(zhí)行監(jiān)控模塊330通信��,并與配置成包含諸如安裝在移動終端上的 軟件應用的當前安全級別����,和信任提供者105的數(shù)字證書之類信息的 本地數(shù)據(jù)庫340通信(可能的話,與信任提供者105結(jié)成聯(lián)盟的信任提 供者(比如信任提供者105-1和105-2)的數(shù)字證書被交叉證明��;這 樣���,通過對等通信信道從作為所述聯(lián)盟的其它信任提供者105-l��,105-2 的訂戶的移動終端獲得的軟件應用的安全級別信息可被證實和識別 為是真實的���,并且得到用戶的信任提供者的批準)���。
內(nèi)核模塊335還與安全級別更新器模塊337交互作用,安全級別 更新器模塊337管理軟件應用的安全級別的更新�����、與信任提供者 105(經(jīng)由客戶端/服務器通信模塊305)和/或與其它移動終端(經(jīng)由對等 通信模塊310)建立通信�����,或者僅僅借助廣播無線電信道(比如蜂窩廣 播)(經(jīng)由廣播通信模塊315)接收更新信息����。
內(nèi)核模塊335還與外部信息源通信(這里,"外部"意味在客戶端 組件110之外�����,但是存在于移動終端之上)���,比如入侵檢測系統(tǒng) (IDS)345和其它安全工具350����,例如安裝在移動終端上的防惡意軟件 的軟件或個人防火墻���。
下面�����,將詳細說明該安全框架的操作�。
信任提供者105維護安裝在作為其訂戶的用戶的移動終端上的 軟件應用的更新后的動態(tài)安全級別�����。
參見圖4A�����、 4B和4C的簡化流程圖�����,假定在某一時間����,新的軟 件應用將被安裝在移動終端上這種情況下�,該事件被應用程序安裝 監(jiān)控模塊325檢測到(方框405)����,應用程序安裝監(jiān)控模塊325把該事 件通知內(nèi)核模塊335(方框410)。當從應用程序安裝監(jiān)控模塊330收到 該通知時����,內(nèi)核模塊335檢查本地數(shù)據(jù)庫340,以確定指定的軟件應
20用是否已被列于其中(意味該應用程序已被監(jiān)控),在肯定的情況下�����,
內(nèi)核模塊335檢查該軟件應用的安全級別是否足夠新(判定框415)����。 在肯定的情況下(判定框415,離開分支Y)���,內(nèi)核模塊335評估待安裝 的軟件應用的安全級別是否足夠高��,即���,不低于預定的最小安全級別 (判定框420):在肯定的情況下(判定框420��,離開分支Y)�,內(nèi)核模塊 授權(quán)該應用程序的安裝(方框425)�,于是允許該應用程序的安裝��;在 否定的情況下(判定框420�,離開分支N),內(nèi)核模塊335可阻止該軟件 應用的安裝���。應注意預定的最小安全級別是可選擇的如果未被配置�, 那么應用程序?qū)⑹冀K被安裝在移動終端上�,只是在可用的移動終端 API方面受其對應安全級別限制。
如果待安裝的指定軟件應用未被列入本地數(shù)據(jù)庫340中�����,或者即 使被列入�,但是其安全級別不夠新(判定框415,離開分支N)��,那么內(nèi) 核模塊335調(diào)用安全級別更新器模塊337�����,通知服務器組件一個新的 應用程序?qū)⒈话惭b在移動終端上,并獲得所考慮的應用程序的(更新后 的)安全級別(方框435)�。
安全級別更新器模塊337嘗試與信任提供者105建立連接(方框 440),如果成功建立該連接�,那么安全級別更新器模塊337通知信任 提供者105在移動終端上已開始新軟件應用的安裝。它還向信任提供 者105請求與指定軟件應用相關(guān)的更新的安全級別(方框445)�。
信任提供者105接收來自移動終端的請求(方框450),通過把指 定軟件應用添加到安裝在用戶的移動終端上的應用程序的列表中來 更新用戶數(shù)據(jù)庫245(方框455)����,并且隨后把指定軟件應用的當前安全 級別提供給安全級別更新器模塊337(方框460)。如果指定軟件應用不 在被監(jiān)控軟件應用的列表中���,則信任提供者能夠開始收集和該軟件應 用有關(guān)的信息��,并計算對應安全級別的程序���。按照信任提供者采用的 具體度量,關(guān)于新應用程序(即��,尚未被監(jiān)控的應用程序)的安全級別 計算可能需要時間��,從而可能發(fā)生不能實時完成所述計算的情況�����。在 這些情況下,信任提供者能夠返回保守的安全級別(例如�����,較低值)��, 以便至少在完成整個安全級別計算所需的時間期間�,限制可供應用程序使用的API組���。在這些情況下�����,信任提供者還可向其它結(jié)成聯(lián)盟的 信任提供者請求和特定應用程序相關(guān)的安全級別����。
指定應用程序的更新后的安全級別被傳給內(nèi)核模塊335��,并被保 存在本地數(shù)據(jù)庫340中(方框465)����。
現(xiàn)在,內(nèi)核模塊335能夠評估待安裝的軟件應用的安全級別,并 根據(jù)該應用程序的安全級別是否低于預定的最小安全級別允許或阻 止安裝(連接符C��,跳轉(zhuǎn)回判定框420)�。
在不能建立與信任提供者105的連接的情況下,或者除了與信任 提供者105建立連接之外��,安全級別更新器模塊337可嘗試利用對等 通信模塊310與其它移動終端建立連接�����。如果安全級別更新器模塊337 不能建立任何種類的連接(例如���,由于移動終端離線)���,那么按照預先 配置的策略,內(nèi)核才莫塊335可分配保守的安全級別(例如����,可容許的較 低級別)或者阻止軟件安裝,直到獲得所考慮的應用程序的更新后的安 全級別為止���。
參見圖5的簡化流程圖����,現(xiàn)在假定在某一時間,安裝在普通移動 終端115-1上的軟件應用被啟動�。應用程序執(zhí)行監(jiān)控模塊330檢測到 該事件(方框505),并把該事件通知內(nèi)核模塊335(方框510)�。當從應 用程序執(zhí)行監(jiān)控模塊330收到該通知時,內(nèi)核模塊335檢查該應用程 序是否已被安裝和監(jiān)控�,即,該應用程序是否已存在于本地數(shù)據(jù)庫340 中�����。如果該應用程序不存在����,那么該事件被視為新應用程序的安裝來 處理�,如結(jié)合圖4A-4C所述的那樣。相反�����,如果該應用程序存在于本 地數(shù)據(jù)庫340中�,那么內(nèi)核模塊335從本地數(shù)據(jù)庫340取回相關(guān)的安 全級別。如果所述安全級別足夠新�����,那么內(nèi)核模塊335根據(jù)應用程序 的安全級別,批準應用程序的運行和對API的訪問��。相反�,如果安全 級別不夠新,那么內(nèi)核模塊335調(diào)用安全級別更新器模塊337�,以便 刷新保存在數(shù)據(jù)庫340中的安全級別信息(方框515)。
安全級別更新器模塊337嘗試與信任提供者105建立連接(方框 520),如果該連接被建立����,那么安全級別更新器模塊337要求信任提 供者105提供指定軟件應用的更新后的安全級別(方框525)。在不能建立與信任提供者105的連接的情況下���,或者除了與信任提供者105 建立連接之外�����,安全級別更新器模塊337可嘗試利用對等通信模塊310 與其它移動終端建立連接���。
信任提供者105接收來自移動終端的請求,通過從應用程序數(shù)據(jù) 庫240獲得指定軟件應用的當前安全級別�����,并將其提供給移動終端(方 框530)�����。或許�,當確定指定的軟件應用不在安裝于該用戶的移動終端 上的軟件應用的列表中時,信任提供者105把所述指定應用程序添加 到這樣的列表(保存在用戶數(shù)據(jù)庫245中)中��。如果不能建立與信任提 供者的連接���,或者除此之外���,移動終端可從一個或多個其它移動終端 接收指定應用程序的更新后的安全級別;這種情況下���,安全級別更新 器模塊337可適合于評估哪個安全級別是該軟件應用的最新安全級 別例如���,這可通過使最后更新安全級別的日期和時間的指示與安全 級別相關(guān)聯(lián)來實現(xiàn)��。
更新后的安全級別被傳給內(nèi)核模塊335���,并被保存在本地數(shù)據(jù)庫 340中(方框535)�����。
如果安全級別更新器模塊337不能建立任何種類的連接(例如��, 由于移動終端離線)����,那么按照預先配置的策略,內(nèi)核模塊335可分配 一個保守的安全級別(例如��,可容許的較低級別)或者阻止軟件運行���, 直到獲得所考慮的應用程序的更新后的安全級別為止����。
根據(jù)安全級別���,內(nèi)核模塊335按照實現(xiàn)的信任模型�,準許已啟動 的軟件應用有條件地訪問移動終端的資源���,即有條件地訪問與特定應 用程序安全級別關(guān)聯(lián)的操作系統(tǒng)暴露的API�����。
當從用戶的移動終端卸載軟件應用時����,該事件被傳給信任提供者 105(—旦檢測到網(wǎng)絡連接,并且網(wǎng)絡連接可用的話)��,信任提供者105 隨后從保存在數(shù)據(jù)庫245中的安裝在用戶的移動終端上的軟件應用的 列表中刪除指定的軟件應用�����。
信任提供者105還實現(xiàn)移動終端的本地數(shù)據(jù)庫340的推送式更新 機制(例如�����,借助SMS���、 MMS��、 WAP推送消息����,蜂窩廣播消息)���,以
說件應用的更新安全級別。另外����,除了當軟件應用被啟動或者將被安裝
在移動終端上時詢問信任提供者105之外�,客戶端組件還定期聯(lián)系信 任提供者105����,以獲得安裝在其上的軟件應用的更新安全級別。除了 定期更新之外�����,可替換地或可附加地��,客戶端組件可基于樣本地工作 從安裝在移動終端上的應用程序中選擇應用程序子集(例如����,最頻繁使 用的應用程序),并為所述應用程序子集請求更新的安全級別��。
駐留在移動終端上的客戶端組件110還可把由安裝在移動終端 上的IDS 345或防惡意軟件工具350檢測的反常事件通知信任提供者 105�。當收到這種通知時,信任提供者可采取必要的步驟來識別安裝 在移動終端上的哪個(哪些)軟件應用導致該反常事件(例如��,使不同 用戶發(fā)送的反常事件相互關(guān)聯(lián))�����,并把識別的應用程序放入需要更仔細 分析的應用程序的列表中;可在實驗室中深入地測試這些應用程序����。
下面,討論由信任提供者105實現(xiàn)的計算軟件應用的安全級別的 方法的例子����。要指出的是下面說明的計算方法只是示例性的,不應被 解釋成對本發(fā)明的限制���,因為幾種備選方法也是可行的�����。
二進制分析器模塊225適合于靜態(tài)分析普通軟件應用的二進制 代碼�����。通過靜態(tài)分析可執(zhí)行代碼�,實現(xiàn)所述靜態(tài)分析��,而不必分析軟 件應用的所有可能的動態(tài)行為或者執(zhí)行路徑���。特別地���,靜態(tài)分析可確 定軟件應用調(diào)用的API的種類,軟件應用的安裝細節(jié)(例如���,是否采 用自動運行特征)�����,被訪問數(shù)據(jù)的性質(zhì)�����。根據(jù)所進行的分析����,二進制分 析器模塊225可向待傳給安全級別評價器模塊的一個或一組參數(shù)AS 賦值�。
漏洞分析器模塊230適合于評估將評價其安全級別的軟件應用 的漏洞。漏洞分析器模塊230適合于從外部信息源����,比如CERT、 OVAL/CVE��、軟件生產(chǎn)商和廠家的公告、軟件認證機構(gòu)取回可用于評 估漏洞的信息�����。漏洞分析器模塊230適合于借助統(tǒng)計和預測分析����,向 安全級別評價器模塊235提供對于所考慮的軟件應用發(fā)現(xiàn)的漏洞的總 數(shù)的指示、每個遇到的漏洞的危急程度�,和何時發(fā)現(xiàn)下一個危急程度 的估計。根據(jù)所進行的分析�,漏洞分析器模塊230可向待傳給安全級別評價器模塊的一個參數(shù)或一組參數(shù)AV賦值。
對安全級別評價器模塊建立應用程序的安全級別有用的另 一個 參數(shù)是軟件生產(chǎn)商/廠家對新漏洞的檢測/公布的反應時間���,即��,軟件 生產(chǎn)商/廠家找到檢測到的/發(fā)布的漏洞的補救措施所需時間的指示���。 可定義一個參數(shù)或一組參數(shù)TR,其值取決于在檢測到A^布漏洞之后���, 發(fā)布補救措施所需的時間���、所發(fā)布的補救措施���、解決途徑或補丁的效 力、已對其發(fā)布補救措施的漏洞的危急程度���。
另外�,安全級別評價器模塊可向定義軟件生產(chǎn)商/廠家的可靠性 的一個參數(shù)或一組參數(shù)AF賦值�;這樣��,歷史上已證明能夠生產(chǎn)/分發(fā) 受較少漏洞影響的安全��、可靠軟件產(chǎn)品的企業(yè)可被賦予特許���。
在評價某一軟件應用的安全級別的過程中���,信任提供者105還可 進一步考慮是否存在由認可的機構(gòu)發(fā)布的任何認證、聲明或保證��,比 如與Symbian Signed, Microsoft Mobile2Market����, Common Criteria 或ITSEC相關(guān)的那些認證、聲明或保證�����。這種認證的存在會影響一 個參數(shù)或一組參數(shù)AC的值��。
確定軟件應用的安全級別的有用信息的另 一來源是來自移動終 端本身的通知�,例如,由駐留在移動終端上的反常檢測或入侵檢測工 具檢測的反常����。如前所述,當駐留在普通移動終端上的IDS或防惡意 軟件工具發(fā)現(xiàn)反常行為�,或者僅僅是惡意軟件的入侵時,它們可用信 號將其通知客戶端組件110���,客戶端組件110隨后向信任提供者105 通告該事件(可能以得到移動終端用戶的授權(quán)為條件)��。通過使可能來 自不同移動終端的信息相互聯(lián)系���,知道安裝在用戶的移動終端上的軟 件應用是哪些軟件應用的信任提供者能夠進行分析,從而識別哪個 (或哪些)軟件應用是最可能導致該反常的軟件應用��。信任提供者還 可進行更詳細的分析,比如代碼的靜態(tài)分析或者暗箱分析(即���,不對在 軟件應用的開發(fā)過程中做出的實現(xiàn)選擇進行假設,局限于觀察和分析 應用程序的輸入和輸出的分析)����。這種分析影響一個參數(shù)或一組參數(shù) AD的值�����。
在待賦予軟件應用的安全級別的評價中��,信任提供者還可例如考慮到在最近的預定月數(shù)(例如12個月)中檢測到和公布的漏洞的數(shù)目�, 設定分析時間窗�����。設定的時間窗被指定為參數(shù)t的值����。
利用上面討論的評價要素,安全級別評價模塊用于計算軟件應用 的安全級別的度量可被表述成
SLAPP(t)=f(AS�����,AV,TR,AF����,AC��,AD��,t)
其中f()表示具有預定形式的函數(shù)�,并且AS, AV, TR��, AF����, AC, AD和t是與上述評價要素對應的參數(shù)��。
根據(jù)該情況���,信任提供者可例如基于用戶的類型����,應用多個函數(shù) f()中的一個函數(shù)����。例如����,對于不想放棄在其終端上安裝和運行普通軟
件應用的可能性的消費者用戶�����,應為其定義函數(shù)fc���。ns畫er()���。另外,對 于具有更嚴格安全標準的客戶企業(yè)的用戶雇員�,應定義函數(shù) fEnterpHse(》
可能的函數(shù)f()是諸參數(shù)的加權(quán)和
(/J —
^ + + + + Ac + Ac
其中基于用戶的類型��,可區(qū)分權(quán)重
Qc,野=(《�����,《����,<��,《��,《�,《)
Qfi"����,w =(《S ,《K ,《�,《,《c ,《D )
這些分別是特定于消費者用戶和企業(yè)用戶的兩組加權(quán)因子�����。 本發(fā)明克服了當前的靜態(tài)認證系統(tǒng)在高成本和組織方面的問題��。 歸功于本發(fā)明�����,通過借助公認的評價度量定期重新計算安全級 別�,以便跟蹤軟件應用的安全性方面的變化,軟件應用被賦予可隨時
間動態(tài)變化的安全級別�;這便于實現(xiàn)獎勵已經(jīng)在實際使用中證明其安 全性的軟件應用的策略。
此外,本發(fā)明有助于減少與惡意軟件和可利用的應用程序有關(guān)的 安全風險��。 一旦檢測到惡意軟件�,對應的安全級別是給移動終端上的 軟件代理的阻止該應用程序運行(并且可能刪除該應用程序)的信息。 就可利用的應用程序來說�����,安全級別被降低���,直到發(fā)布解決途徑或補 丁為止��,使得使該應用程序能夠執(zhí)行�����,但是同時限制移動終端上可用 的資源����。施加這種限制的目的也是為了降低利用應用程序漏洞的惡意軟件所產(chǎn)生的損害的風險�����。應注意的是�����,在這種時間內(nèi)(直到發(fā)布解決 途徑或補丁為止)�,用戶仍然可以使用該應用程序。
按照本發(fā)明的解決方案非常靈活�����,尤其是在能夠建立的業(yè)務模型
方面���;持續(xù)更新可在移動終端獲得的安全級別信息的成本可由例如信 任提供者負擔���,信任提供者可設立訂戶用戶的移動終端與之聯(lián)系的免 費電話號碼、�����;在信任提供者的角色由移動網(wǎng)絡運營商扮演的情況下����, 這些成本可包含在與用戶的服務協(xié)議中。
按照本發(fā)明的系統(tǒng)使移動電信網(wǎng)絡運營商能夠在增強移動終端 的安全性方面起中樞作用���,這不僅有利于運營商自己(就網(wǎng)絡保護而 言)�,而且有利于用戶,用戶能夠依賴于具有技術(shù)和組織技能的可信任 的對方���。
按照本發(fā)明的系統(tǒng)的另 一優(yōu)點是該系統(tǒng)不排除一種重要類別的 應用程序���,比如被歸入開源軟件類別的那些應用程序,因為并不要求 軟件生產(chǎn)商承擔高昂的認證成本��。
基于例如前述信任模型��,按照本發(fā)明的系統(tǒng)能夠容易地與現(xiàn)有解 決方案結(jié)合����。
上面參考本發(fā)明的示例性且非限制性實施例,說明了本發(fā)明�����。本 領(lǐng)域的技術(shù)人員會認識到可對所述實施例^f故出一些修改���,例如為了滿 足臨時的需求����,在不脫離在附加權(quán)利要求中陳述的保護范圍的情況 下���, 一些其它實施例也是可能的���。
例如,沒有什么能阻止在SIM中實現(xiàn)軟件代理�,為了其在電信 網(wǎng)絡中的操作,使之與電信終端在操作上相聯(lián)系����。
2權(quán)利要求
1、一種系統(tǒng)�����,包括-具有數(shù)據(jù)處理能力的至少一個電信終端(115-1�����,...�,115-5),所述電信終端容許在其上安裝軟件應用��,其中每個軟件應用具有與之關(guān)聯(lián)的相應指示符����,所述指示符適合于指示軟件應用的安全級別�����,所述安全級別能夠隨時間變化�;-由所述至少一個電信終端執(zhí)行的軟件代理(110)��,所述軟件代理適合于根據(jù)相應的安全級別��,有條件地允許軟件應用在電信終端上的安裝����;-與所述軟件代理通信的服務器(105),所述服務器適合于動態(tài)計算所述軟件應用的安全級別���,并把所計算的待安裝在所述電信終端上的軟件應用的安全級別傳送給所述軟件代理��。
2���、 按照權(quán)利要求1所述的系統(tǒng),其中所述軟件代理還適合于 -檢測(325)在移動電信終端上安裝軟件應用的起始活動���;和 -就待安裝的所述軟件應用���,向所述服務器請求更新的安全級別��。
3�、 按照權(quán)利要求1或2所述的系統(tǒng)��,其中電信終端還容許進一 步執(zhí)行安裝于其上的軟件應用�����,當軟件應用在電信終端上被執(zhí)行時����, 所述軟件代理還適合于根據(jù)所執(zhí)行的軟件應用的安全級別��,有條件地 允許軟件應用訪問電信終端資源���。
4���、 按照權(quán)利要求3所述的系統(tǒng),其中所述電信終端資源包括由 管理電信終端的操作的操作系統(tǒng)暴露的應用編程接口-API�����。
5����、 按照權(quán)利要求3或4所述的系統(tǒng)�,其中軟件代理還適合于 -檢測(330)安裝在移動電信終端上的軟件應用的啟動�����;和 -就正在啟動的軟件應用�����,向服務器請求更新的安全級別��。
6��、 按照權(quán)利要求5所述的系統(tǒng)�����,其中所述軟件代理還包括適合 于保存安裝在所述電信終端上的軟件應用的安全級別的本地數(shù)據(jù)庫���。
7����、 按照權(quán)利要求6所述的系統(tǒng)�����,其中所述軟件代理還適合于在 保存在本地數(shù)據(jù)庫中的軟件應用的安全級別不是最新的條件下,就正在啟動的軟件應用�����,向所述服務器請求更新的安全級別��。
8�����、 按照任意前述權(quán)利要求所述的系統(tǒng)��,其中所述服務器包括 -適合于靜態(tài)分析所述軟件應用的代碼的第一模塊(225);和 國適合于分析所述軟件應用顯示出的漏洞的第二模塊(230)�。
9��、 按照權(quán)利要求8所述的系統(tǒng)����,其中所述第一模塊適合于通過 評估軟件應用調(diào)用的電信終端資源的類型,進行所述靜態(tài)分析����。
10����、 按照權(quán)利要求8或9所述的系統(tǒng)����,其中所述第一模塊適合于 通過評估所述軟件應用在電信終端上的安裝形態(tài),進行所述靜態(tài)分 析�����。
11�����、 按照權(quán)利要求8�、 9或10所述的系統(tǒng),其中所述第一模塊適 合于通過評估所述軟件應用訪問的數(shù)據(jù)的類型����,進行所述靜態(tài)分析。
12���、 按照權(quán)利要求8-11任意之一所述的系統(tǒng)�����,其中所述第二模 塊適合于基于關(guān)于所述軟件應用的檢測到的已知漏洞的總數(shù)的指示�, 進行所述漏洞分析。
13�����、 按照權(quán)利要求8-12任意之一所述的系統(tǒng)���,其中所述第二模 塊適合于基于檢測到的漏洞的危急程度�,進行所述漏洞分析���。
14、 按照權(quán)利要求8-13任意之一所述的系統(tǒng)����,其中所述第二模 塊適合于基于從CERT, OVAL��, CVE���,軟件應用生產(chǎn)商/廠家的公告���, 軟件認證機構(gòu)中的 一個或多個獲得的信息��,進行所述漏洞分析�����。
15����、 按照任意前述權(quán)利要求所述的系統(tǒng)�����,其中服務器包括 -適合于保存所述服務器監(jiān)控的軟件應用的列表以及相應安全級別的第一數(shù)據(jù)庫(240)�����。
16���、 按照權(quán)利要求15所述的系統(tǒng)����,其中所述服務器包括 -適合于保存安裝在所述至少一個電信終端上的軟件應用的列表的第二數(shù)據(jù)庫(245)�����。
17、 按照任意前述權(quán)利要求所述的系統(tǒng)��,還包括至少一個第二電 信終端�����,所述軟件代理適合于從所述第二電信終端接收涉及所述軟件 應用的安全級別的信息�。
18、 按照任意前述權(quán)利要求所述的系統(tǒng)�����,其中所述軟件代理還適合于-從在電信終端上運行的防惡意軟件的軟件應用或入侵檢測系統(tǒng) 中的一個或多個收集信息�����;和-把所述收集的信息傳給所述服務器����, 其中所述服務器還適合于 -從電信終端接收所述收集的信息�,和 -使用接收的信息動態(tài)計算軟件應用的安全級別。
19���、 一種具有數(shù)據(jù)處理能力的電信終端��,所述電信終端容許在其 上安裝軟件應用��,其中每個軟件應用具有與之關(guān)聯(lián)的相應指示符�,所 述指示符適合于指示所述軟件應用的安全級別,所述電信終端包括-適合于由所述電信終端執(zhí)行的軟件代理�,所述軟件代理適合于 根據(jù)相應的安全級別,有條件地允許所述軟件應用在所述電信終端上 的安裝���,并從服務器接收待安裝在所述電信終端上的軟件應用的更新 后的安全級別���。
20、 按照權(quán)利要求19所述的電信終端��,其中所述軟件代理還適合于-檢測(325)在移動電信終端上安裝軟件應用的起始活動��;和 -就待安裝的軟件應用�,向所述服務器請求更新的安全級別。
21����、 按照權(quán)利要求19或20所述的電信終端,還容許執(zhí)行安裝于 其上的軟件應用���,當軟件應用在所述電信終端上被執(zhí)行時����,所述軟件 代理還適合于根據(jù)所執(zhí)行的軟件應用的安全級別,有條件地允許軟件 應用訪問電信終端資源���。
22�、 按照權(quán)利要求21所述的電信終端����,其中所述電信終端資源 包括由管理所述電信終端的操作的操作系統(tǒng)暴露的應用編程接口 -API。
23���、 按照權(quán)利要求21或22所述的電信終端�����,其中軟件代理還適合于-檢測(330)安裝在移動電信終端上的軟件應用的啟動�;和-就正在啟動的軟件應用�,向服務器請求更新的安全級別�。
24、 按照權(quán)利要求23所述的電信終端����,其中所述軟件代理還包 括適合于保存安裝在電信終端上的軟件應用的安全級別的本地數(shù)據(jù) 庫(340)�。
25�����、 按照權(quán)利要求24所述的電信終端��,其中所述軟件代理還適 合于在保存在本地數(shù)據(jù)庫中的軟件應用的安全級別不是最新的條件 下�,就正在啟動的軟件應用,向服務器請求更新的安全級別���。
26�����、 一種包含適合于與具有數(shù)據(jù)處理能力的至少一個電信終端 (115-1��, ...���, 115-5)通信的服務器(105)的系統(tǒng),其中所述電信終端容 許在其上安裝或運行軟件應用���,每個軟件應用具有與之關(guān)聯(lián)的相應指 示符�����,所述指示符適合于指示軟件應用的安全級別����,所述安全級別能 夠隨時間變化,所述服務器適合于動態(tài)計算軟件應用的安全級別���,并 把計算的待安裝或運行在所述電信終端上的軟件應用的安全級別傳送給軟件代理�。
27����、 按照權(quán)利要求26所述的系統(tǒng),其中所述服務器包括 -適合于靜態(tài)分析軟件應用的代碼的第一模塊(225);和 -適合于分析軟件應用顯示出的漏洞的第二^t塊(230)�。
28、 按照權(quán)利要求27所述的系統(tǒng)�����,其中所述第一模塊適合于通 過評估軟件應用調(diào)用的電信終端資源的類型���,進行所述靜態(tài)分析���。
29、 按照權(quán)利要求27或28所述的系統(tǒng)���,其中所述第一模塊適合 于通過評估軟件應用在所述電信終端上的安裝形態(tài)���,進行所述靜態(tài)分 析。
30�、 按照權(quán)利要求27、 28或29所述的系統(tǒng)�,其中所述第一模塊 適合于通過評估軟件應用訪問的數(shù)據(jù)的類型,進行所述靜態(tài)分析�。
31、 按照權(quán)利要求27-30任意之一所述的系統(tǒng)���,其中所述第二模 塊適合于基于關(guān)于軟件應用檢測到的已知漏洞的總數(shù)的指示�����,進行所 述漏洞分析���。
32、 按照權(quán)利要求27-31任意之一所述的系統(tǒng)�,其中所述第二模 塊適合于根據(jù)檢測到的漏洞的危急程度,進行所述漏洞分析����。
33���、 按照權(quán)利要求27-32任意之一所述的系統(tǒng),其中所述第二模塊適合于基于從CERT�����, OVAL�, CVE,軟件應用生產(chǎn)商/廠家的公告����, 軟件認證機構(gòu)中的一個或多個獲得的信息,進行所述漏洞分析����。
34、 按照前述權(quán)利要求任意之一所述的系統(tǒng)�����,其中服務器包括 -適合于保存服務器監(jiān)控的軟件應用的列表以及相應安全級別的第一數(shù)據(jù)庫(240)��。
35、 按照權(quán)利要求34所述的系統(tǒng)����,其中所述服務器包括 -適合于保存安裝在所述至少一個電信終端上的軟件應用的列表的第二數(shù)據(jù)庫(245)。
36��、 一種方法����,包括-基于軟件應用的安全級別����,有條件地允許該軟件應用在電信終 端上的安裝或執(zhí)行, 其特征在于所述安全級別能隨時間變化����; 并且所述方法還包括通過與所述電信終端通信的服務器(105),使電信終端接收該軟 件應用的更新的安全級別。
37����、 按照權(quán)利要求36所述的方法,還包括 -基于軟件應用的安全級別�,有條件地允許安裝在電信終端上的已安裝軟件應用訪問電信終端的資源。
38��、 一種系統(tǒng),包括-具有數(shù)據(jù)處理能力的至少一個電信終端(115-1�����,…�,115-5),所 述電信終端容許執(zhí)行軟件應用����,其中每個軟件應用具有與之關(guān)聯(lián)的相 應指示符,所述指示符適合于指示所述軟件應用的安全級別���,所述安 全級別能夠隨時間變化�;-由所述至少一個電信終端執(zhí)行的軟件代理(IIO)�����,當所述軟件應 用在電信終端上被執(zhí)行時��,所述軟件代理適合于根據(jù)所執(zhí)行的軟件應 用的安全級別���,有條件地允許所述軟件應用訪問電信終端資源��;-與所述軟件代理通信的服務器(105)�,所述服務器適合于動態(tài)計 算軟件應用的安全級別,并把計算的正在所述電信終端上執(zhí)行的軟件應用的安全級別傳送給軟件代理��。
39��、 一種具有數(shù)據(jù)處理能力的電信終端��,所述電信終端容許執(zhí)行 安裝于其上的軟件應用��,其中每個軟件應用具有與之關(guān)聯(lián)的相應指示 符����,所述指示符適合于指示軟件應用的安全級別�,所述電信終端包括-適合于由所述電信終端執(zhí)行的軟件代理,當軟件應用在所述電 信終端上被執(zhí)行時����,所述軟件代理適合于根據(jù)所執(zhí)行的軟件應用的安 全級別,有條件地允許軟件應用訪問電信終端資源�,并從服務器接收 在所述電信終端上執(zhí)行的軟件應用的更新后的安全級別。
全文摘要
一種系統(tǒng)�����,包括具有數(shù)據(jù)處理能力的至少一個電信終端(115-1��,…,115-5)�����,所述電信終端容許在其上安裝軟件應用�����,其中每個軟件應用具有與之關(guān)聯(lián)的相應指示符���,所述指示符適合于指示軟件應用的安全級別��,所述安全級別能夠隨時間變化�;由所述至少一個電信終端執(zhí)行的軟件代理(110)���,所述軟件代理適合于根據(jù)相應的安全級別�����,有條件地允許軟件應用在電信終端上的安裝���;與所述軟件代理通信的服務器(105),所述服務器適合于動態(tài)計算軟件應用的安全級別����,并把計算的待安裝在所述電信終端上的軟件應用的安全級別傳給軟件代理��。
文檔編號G06F21/51GK101513008SQ200680055970
公開日2009年8月19日 申請日期2006年7月31日 優(yōu)先權(quán)日2006年7月31日
發(fā)明者M·里昂 申請人:意大利電信股份公司