專利名稱:向用戶標(biāo)識(shí)符暫時(shí)提供對(duì)于計(jì)算系統(tǒng)的更高特權(quán)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明一般涉及使用通常與計(jì)算系統(tǒng)的第一用戶標(biāo)識(shí)符相關(guān)的更高特權(quán)訪問(wèn)計(jì)算系統(tǒng)����,并且尤其是,涉及向除第一用戶標(biāo)識(shí)符以外的計(jì)算系統(tǒng)的第二用戶標(biāo)識(shí)符暫時(shí)提供這種更高特權(quán)�����。
背景技術(shù):
許多實(shí)體�����,諸如公司那樣的商業(yè)組織�����,依賴于計(jì)算系統(tǒng)以存儲(chǔ)對(duì)于實(shí)體的有效運(yùn)行十分重要的數(shù)據(jù)�����,但該數(shù)據(jù)也被保持以供諸如政府組織之類的外方檢查����。例如,必須以歷史信息在事后不被修改的方式保持公司的財(cái)務(wù)數(shù)據(jù)��,以使得kcurities and ExchangeCommission(SEC)那樣的政府組織可在需要時(shí)在較晚的時(shí)間點(diǎn)上檢查財(cái)務(wù)數(shù)據(jù)�。因此,禁止公司的用戶以使得他們可以潛在地修改這種歷史數(shù)據(jù)的方式訪問(wèn)他們的計(jì)算系統(tǒng)�。出于各種其它原因,也可以禁止實(shí)體的用戶以使得他們可以潛在地修改這種歷史數(shù)據(jù)的方式訪問(wèn)他們的計(jì)算系統(tǒng)��。并且�,也可以以各種方式和/或出于其它原因禁止實(shí)體的用戶訪問(wèn)他們的計(jì)算系統(tǒng)。這種其它方式和/或其它原因包括防止甚至讀取訪問(wèn)某些數(shù)據(jù)��;即使這種數(shù)據(jù)不被修改,也防止某些數(shù)據(jù)的延遲傳送����;以及防止某數(shù)據(jù)從一個(gè)計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)移動(dòng)到另一個(gè);等等�����。
發(fā)明內(nèi)容
本發(fā)明的實(shí)施例的方法禁用計(jì)算系統(tǒng)的第一用戶標(biāo)識(shí)符��,其中第一用戶標(biāo)識(shí)符具有對(duì)于計(jì)算系統(tǒng)的第一特權(quán)�����。在禁用計(jì)算系統(tǒng)的第一用戶標(biāo)識(shí)符之后且響應(yīng)于確定計(jì)算系統(tǒng)的問(wèn)題解決起來(lái)需要對(duì)于計(jì)算系統(tǒng)的第一特權(quán)��,所述方法執(zhí)行以下操作��。所述方法從第三方接收要在計(jì)算系統(tǒng)上安裝的代碼塊(code patch)��。代碼塊是可安裝于計(jì)算系統(tǒng)上的計(jì)算機(jī)代碼�����。代碼塊要暫時(shí)向除第一用戶標(biāo)識(shí)符以外的計(jì)算系統(tǒng)的第二用戶標(biāo)識(shí)符提供第一特權(quán)的至少一個(gè)子集����,其中第二用戶標(biāo)識(shí)符通常具有比第一特權(quán)少的對(duì)于計(jì)算系統(tǒng)的第二特權(quán)�。所述方法在計(jì)算系統(tǒng)上安裝代碼塊�,從而導(dǎo)致第二用戶標(biāo)識(shí)符暫時(shí)具有對(duì)于計(jì)算系統(tǒng)的第一特權(quán)的至少所述子集。本發(fā)明的實(shí)施例的計(jì)算機(jī)程序產(chǎn)品包含具有在其中體現(xiàn)的計(jì)算機(jī)可讀程序代碼的計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)�。計(jì)算機(jī)可讀程序代碼包含禁用計(jì)算系統(tǒng)的根用戶標(biāo)識(shí)符的計(jì)算機(jī)可讀程序代碼���。所述計(jì)算機(jī)可讀程序代碼還包含用于響應(yīng)于確定計(jì)算系統(tǒng)的問(wèn)題解決起來(lái)需要對(duì)于計(jì)算系統(tǒng)的根特權(quán)而在計(jì)算系統(tǒng)上安裝代碼塊的計(jì)算機(jī)可讀程序代碼����。代碼塊是可安裝于計(jì)算系統(tǒng)上的代碼塊�����。代碼塊要暫時(shí)向除根用戶標(biāo)識(shí)符以外的計(jì)算系統(tǒng)的預(yù)定用戶標(biāo)識(shí)符提供根特權(quán)�����。代碼塊由第三方提供并且不能由為其提供計(jì)算系統(tǒng)的實(shí)體提供�。除被安裝于計(jì)算系統(tǒng)上的代碼塊之外,知道用于預(yù)定用戶標(biāo)識(shí)符的密碼的用戶不能具有對(duì)于計(jì)算系統(tǒng)的根特權(quán)�����。優(yōu)選地,代碼塊具有截止時(shí)間以使得在截止時(shí)間截止之后��,代碼塊從計(jì)算系統(tǒng)被自動(dòng)卸載�����,從而導(dǎo)致用戶標(biāo)識(shí)符不再具有對(duì)于計(jì)算系統(tǒng)的根特權(quán)���。更優(yōu)選地�����,代碼塊可操作為通過(guò)將用于根用戶標(biāo)識(shí)符的密碼設(shè)為多個(gè)未知的隨機(jī)字符�����,禁用計(jì)算系統(tǒng)的根用戶標(biāo)識(shí)符��。更優(yōu)選地�����,計(jì)算機(jī)程序代碼可操作為只有出現(xiàn)以下情況才在計(jì)算系統(tǒng)上安裝代碼塊代碼塊的標(biāo)識(shí)符與計(jì)算系統(tǒng)的標(biāo)識(shí)符匹配�;代碼塊的數(shù)字簽字有效��;以及代碼塊的日期有效,其中只有第三方���,而不是為其提供計(jì)算系統(tǒng)的實(shí)體���,知道給代碼塊簽名的數(shù)字簽名,以使得代碼塊能夠被安裝到計(jì)算系統(tǒng)上��。更優(yōu)選地�����,代碼塊通過(guò)偽計(jì)算機(jī)程序的執(zhí)行而暫時(shí)將用戶標(biāo)識(shí)符的特權(quán)提高到與根用戶標(biāo)識(shí)符的特權(quán)相當(dāng)?shù)奶貦?quán)�����,來(lái)暫時(shí)向計(jì)算系統(tǒng)的用戶標(biāo)識(shí)符提供根特權(quán)�����。本發(fā)明的實(shí)施例的計(jì)算系統(tǒng)包括硬件���、在硬件上運(yùn)行的軟件和安全部件。對(duì)于軟件的訪問(wèn)由具有根特權(quán)的根用戶標(biāo)識(shí)符并由不具有根特權(quán)的預(yù)定用戶標(biāo)識(shí)符掌控�。預(yù)定用戶標(biāo)識(shí)符是與根用戶標(biāo)識(shí)符不同的用戶標(biāo)識(shí)符�����。安全部件要禁用根用戶標(biāo)識(shí)符���,然后,響應(yīng)于確定軟件的問(wèn)題解決起來(lái)需要根特權(quán)而安裝代碼塊�。代碼塊是可安裝于計(jì)算系統(tǒng)上的計(jì)算機(jī)代碼。代碼塊要暫時(shí)向預(yù)定用戶標(biāo)識(shí)符提供根特權(quán)��,并且由第三方提供而不能由為其提供計(jì)算系統(tǒng)的實(shí)體提供�。除安裝于計(jì)算系統(tǒng)上的代碼塊以外,知道預(yù)定用戶標(biāo)識(shí)符的密碼的用戶不能具有根特權(quán)���。
這里參照的附圖形成說(shuō)明書的一部分�。除非另外明確地指出����,否則,圖示的特征意味著僅解釋本發(fā)明的一些實(shí)施例而不是本發(fā)明的所有實(shí)施例�,并且不另外做出相反的隱含。圖1是根據(jù)本發(fā)明的實(shí)施例的方法的流程圖�����。圖2是根據(jù)本發(fā)明的實(shí)施例的計(jì)算系統(tǒng)的示圖。圖3是根據(jù)本發(fā)明的實(shí)施例的圖2的計(jì)算系統(tǒng)的一部分的詳細(xì)示圖��。
具體實(shí)施例方式在本發(fā)明的示例性實(shí)施例的以下詳細(xì)描述中��,參照形成其一部分的附圖�,在這些附圖中,作為解釋示出了可實(shí)施本發(fā)明的特定示例性實(shí)施例���。這些實(shí)施例被足夠詳細(xì)地描述�����,以使得本領(lǐng)域技術(shù)人員能夠?qū)嵤┍景l(fā)明��。可以利用其它實(shí)施例����,并且,可以在不背離本發(fā)明的范圍的情況下提出邏輯���、機(jī)械和其它的改變�。因此,以下的詳細(xì)描述不是要進(jìn)行限制����,并且本發(fā)明的范圍僅由所附權(quán)利要求限定。如在背景技術(shù)中指出的那樣�����,實(shí)體可能必須以不能在事后修改數(shù)據(jù)的方式保持?jǐn)?shù)據(jù)��,以使得禁止實(shí)體的用戶以他們可潛在地修改該歷史數(shù)據(jù)的方式訪問(wèn)他們的計(jì)算系統(tǒng)�。一般地,實(shí)體的一個(gè)或多個(gè)用戶可以是實(shí)體的計(jì)算系統(tǒng)的根用戶�。根用戶能夠完全徹底地訪問(wèn)計(jì)算系統(tǒng),并且能夠修改存儲(chǔ)于計(jì)算系統(tǒng)上的任意數(shù)據(jù)��。因此�,如果禁止實(shí)體的用戶以他們可能潛在地修改存儲(chǔ)于計(jì)算系統(tǒng)上的數(shù)據(jù)的方式訪問(wèn)計(jì)算系統(tǒng),那么不允許任何用戶總是為根用戶����。但是,由于有時(shí)需要對(duì)于計(jì)算系統(tǒng)的根特權(quán)以解決計(jì)算系統(tǒng)如何運(yùn)行的問(wèn)題�,因此這可能是有問(wèn)題的。本發(fā)明的實(shí)施例給計(jì)算系統(tǒng)的預(yù)定用戶標(biāo)識(shí)符暫時(shí)提供根特權(quán)��,以使得可以解決計(jì)算系統(tǒng)的這種問(wèn)題,但是���,是以使與該預(yù)定用戶標(biāo)識(shí)符相關(guān)的用戶能夠自由訪問(wèn)系統(tǒng)的風(fēng)險(xiǎn)最小化的方式提供根特權(quán)的��。預(yù)定用戶標(biāo)識(shí)符通常不具有對(duì)于計(jì)算系統(tǒng)的根特權(quán)�����,并且�,對(duì)于系統(tǒng)的根用戶標(biāo)識(shí)符被永久禁用����。但是,當(dāng)計(jì)算系統(tǒng)識(shí)別出解決起來(lái)需要根特權(quán)的問(wèn)題時(shí)�����,第三方提供當(dāng)被安裝于系統(tǒng)上時(shí)暫時(shí)向預(yù)定用戶標(biāo)識(shí)符提供根特權(quán)的代碼塊��。第三方提供代碼塊����,以使得具有預(yù)定用戶標(biāo)識(shí)符的用戶不能單獨(dú)地向他或她自己提供根特權(quán)���。代碼塊是出于向預(yù)定用戶標(biāo)識(shí)符提供暫時(shí)的根特權(quán)的明確目的被安裝于系統(tǒng)上的計(jì)算機(jī)代碼-即����,計(jì)算機(jī)軟件-的一部分。與該預(yù)定用戶標(biāo)識(shí)符相關(guān)的用戶然后向第三方提供他或她的密碼�����,以使得第三方可解決該問(wèn)題��。一旦問(wèn)題得到解決����,就從計(jì)算系統(tǒng)卸載代碼塊,以使得用戶標(biāo)識(shí)符不再具有根特權(quán)�,并且用戶改變密碼以使得第三方不再知道它。因此�����,本發(fā)明的實(shí)施例確保了具有預(yù)定用戶標(biāo)識(shí)符的用戶不能由他或她自己將與標(biāo)識(shí)符相關(guān)的特權(quán)提高到根特權(quán)�。而是,需要只能由第三方提供的代碼塊�����。并且,第三方不能向自身提供對(duì)于計(jì)算系統(tǒng)的根特權(quán)訪問(wèn)�����;沒(méi)有由用戶提供的密碼��,第三方不能訪問(wèn)計(jì)算系統(tǒng)���。因此�,需要用戶和第三方二者的默許以實(shí)現(xiàn)對(duì)于計(jì)算系統(tǒng)的根特權(quán)訪問(wèn)���。此外�����,這種根特權(quán)訪問(wèn)是短暫的一旦系統(tǒng)的問(wèn)題得到解決��,代碼塊就手動(dòng)或自動(dòng)地從計(jì)算系統(tǒng)被卸載�,這導(dǎo)致預(yù)定用戶標(biāo)識(shí)符不再具有根特權(quán)��。在這一方面�,要注意的是本發(fā)明的方法有利地與現(xiàn)有技術(shù)對(duì)于該問(wèn)題的解決方案不同。一種現(xiàn)有技術(shù)的方法不是永久地禁用計(jì)算系統(tǒng)的根用戶標(biāo)識(shí)符�,而是托管用于根用戶標(biāo)識(shí)符的密碼。當(dāng)需要根特權(quán)時(shí)��,只有滿足了大量的預(yù)定條件��,諸如實(shí)體處的用戶和第三方均授權(quán)這種發(fā)布�����,才可發(fā)布用于根用戶標(biāo)識(shí)符的密碼�。但是,密碼托管是有問(wèn)題的����,原因是它需要維護(hù)用于敏感密碼的中心存放處,該存放處本質(zhì)上是針對(duì)黑客或希望訪問(wèn)實(shí)體的計(jì)算系統(tǒng)的其它有惡意個(gè)人的磁體�����。另一現(xiàn)有技術(shù)的方案在實(shí)體的計(jì)算系統(tǒng)內(nèi)添加安全控制和記錄特征的大量軟件或硬件層����,以確保僅對(duì)于被授權(quán)的情況使用根用戶標(biāo)識(shí)符的利用。但是��,這種添加到計(jì)算系統(tǒng)上的添加層增加了系統(tǒng)的復(fù)雜性和開(kāi)銷���。結(jié)果�,計(jì)算系統(tǒng)的性能會(huì)受到不利影響,并且在最壞的情況下��,問(wèn)題會(huì)通過(guò)這些附加層而被引入到計(jì)算系統(tǒng)中�。本發(fā)明的方法與這兩種現(xiàn)有技術(shù)的解決方案不同在于本發(fā)明的方法不托管密碼,并且不向計(jì)算系統(tǒng)添加安全控制和記錄特征的軟件或硬件層����。在以下描述的示例性實(shí)施例中,向除根用戶標(biāo)識(shí)符以外的用戶標(biāo)識(shí)符暫時(shí)提供對(duì)于計(jì)算系統(tǒng)的根特權(quán)�����,其中根用戶標(biāo)識(shí)符已被禁用��。但是����,更一般地,向除第一用戶標(biāo)識(shí)符以外的第二用戶標(biāo)識(shí)符提供通常賦予第一用戶標(biāo)識(shí)符的對(duì)于計(jì)算系統(tǒng)的第一特權(quán)的至少一個(gè)子集�,其中第一用戶標(biāo)識(shí)符已被禁用。第二用戶標(biāo)識(shí)符通常具有比第一用戶標(biāo)識(shí)符的第一特權(quán)的至少所述子集少的對(duì)于計(jì)算系統(tǒng)的第二特權(quán)��。因而����,本發(fā)明的實(shí)施例更一般地涉及向計(jì)算系統(tǒng)的(第二)用戶標(biāo)識(shí)符暫時(shí)提供通常賦予被禁用的不同(第一)用戶標(biāo)識(shí)符的更高(第一)特權(quán)(例如��,這些更高的第一特權(quán)的至少一個(gè)子集)。圖1示出根據(jù)本發(fā)明的實(shí)施例的方法100����。在為實(shí)體提供的計(jì)算系統(tǒng)上或由其執(zhí)行方法100的左列中的部分。例如��,實(shí)體可以是公司或其它類型的商業(yè)組織或其它組織��。為實(shí)體提供計(jì)算系統(tǒng)是因?yàn)閷?shí)體可控制計(jì)算系統(tǒng)���、可具有安裝于實(shí)體的計(jì)算系統(tǒng)�����、和/或可包括計(jì)算系統(tǒng)的主要用戶以執(zhí)行任務(wù)以使實(shí)體有效運(yùn)行��?�?稍诔龑?shí)體以外的第三方或由其執(zhí)行方法100的右列中的部分���。例如�,第三方可以是與實(shí)體訂合同以維護(hù)計(jì)算系統(tǒng)的支持組織或者為實(shí)體制造或向?qū)嶓w提供計(jì)算系統(tǒng)的組織���。對(duì)于計(jì)算系統(tǒng)的根用戶標(biāo)識(shí)符被禁用(102)��。對(duì)于計(jì)算系統(tǒng)的根用戶標(biāo)識(shí)符允許完全且自由地訪問(wèn)計(jì)算系統(tǒng)�����。具有根用戶標(biāo)識(shí)符的用戶對(duì)于存儲(chǔ)的所有數(shù)據(jù)和通過(guò)計(jì)算系統(tǒng)運(yùn)行的所有計(jì)算機(jī)程序具有所有的權(quán)利和許可�。這種用戶可以做許多不具有根用戶標(biāo)識(shí)符的用戶不能做的事情��,諸如改變文件的所有權(quán)和約定以下標(biāo)為IOM的網(wǎng)絡(luò)端口�����?���?捎删哂懈脩魳?biāo)識(shí)符的用戶執(zhí)行的功能在這里被稱為根特權(quán)。在大多數(shù)UNIX (UNIX是TheOpen Group在美國(guó)和其它國(guó)家的注冊(cè)商標(biāo))和包括LINUX (LINIX是Linus Torvlds在美國(guó)�����、其它國(guó)家或兩者的注冊(cè)商標(biāo))操作系統(tǒng)的類似UNIX 的操作系統(tǒng)中,根用戶標(biāo)識(shí)符是與“超級(jí)用戶”相關(guān)的名稱����。與根用戶標(biāo)識(shí)符相當(dāng)并且在這里的該術(shù)語(yǔ)中包含的其它用戶標(biāo)識(shí)符包含各種版本的MICROSOFT WINDOWS (Microsoft, Windows,Windows NT和Windows標(biāo)識(shí)是Microsoft Corporation在美國(guó)、其它國(guó)家或兩者的商標(biāo))操作系統(tǒng)中的管理員用戶標(biāo)識(shí)符��。與根用戶標(biāo)識(shí)符相當(dāng)并且在這里的該術(shù)語(yǔ)中包含的其它用戶標(biāo)識(shí)符還包含各種版本的BEOS 操作系統(tǒng)中的baron用戶標(biāo)識(shí)符�、一些UINUX 操作系統(tǒng)中的avatar用戶標(biāo)識(shí)符和作為一種版本的UINUX 操作系統(tǒng)的BSD 操作系統(tǒng)中的toor用戶標(biāo)識(shí)符。在一個(gè)實(shí)施例中�����,通過(guò)將用于根用戶標(biāo)識(shí)符的密碼設(shè)為長(zhǎng)串的未知隨機(jī)字符來(lái)禁用對(duì)于計(jì)算系統(tǒng)的根用戶標(biāo)識(shí)符��。字符可由機(jī)器隨機(jī)選取��,并且�����,由于不被揭示給任何用戶��,因此是未知的�����。未知的隨機(jī)字符的串越長(zhǎng)����,則密碼越不可能被惡意的用戶破解。例如�����,密碼可被設(shè)為63或更多的未知隨機(jī)字符���,其在任何合理的時(shí)間長(zhǎng)度內(nèi)���,是不太可能被破解的。但是����,要注意的是除了將其密碼設(shè)為長(zhǎng)串的未知隨機(jī)字符以外,根用戶標(biāo)識(shí)符可以以其它方式被禁用�����。在一些點(diǎn)上�,在根用戶標(biāo)識(shí)符被禁用之后,確定計(jì)算系統(tǒng)存在解決起來(lái)需要根特權(quán)的問(wèn)題(104)�����。注意,在一些情況下����,考慮可能在正在被執(zhí)行的部分102和已被執(zhí)行的部分104之間經(jīng)過(guò)諸如幾個(gè)月或者甚至幾年的較大時(shí)間長(zhǎng)度。根用戶標(biāo)識(shí)符固有地具有與其相關(guān)的根特權(quán)�����,但是���,如后面詳細(xì)描述的那樣,其它用戶標(biāo)識(shí)符可暫時(shí)被賦予根特權(quán)��,以使得具有這種用戶標(biāo)識(shí)符的用戶能夠訪問(wèn)計(jì)算系統(tǒng)���,就象他們具有根用戶標(biāo)識(shí)符那樣�。注意�����,發(fā)明人考慮到計(jì)算系統(tǒng)的大多數(shù)問(wèn)題——諸如計(jì)算系統(tǒng)的軟件沒(méi)有如期望的那樣工作一可能在不需要對(duì)于計(jì)算系統(tǒng)的根特權(quán)的情況下被解決�。然而,不能保證計(jì)算系統(tǒng)的所有問(wèn)題可以在沒(méi)有根特權(quán)的情況下被解決。但是�,可以預(yù)見(jiàn)這些問(wèn)題很少被遇到。響應(yīng)于確定計(jì)算系統(tǒng)存在解決起來(lái)需要根特權(quán)的問(wèn)題��,第三方被通知并且作為響應(yīng)而提供代碼塊(106)��。代碼塊暫時(shí)向預(yù)定用戶標(biāo)識(shí)符提供根特權(quán)���。例如��,已經(jīng)給其提供計(jì)算系統(tǒng)的實(shí)體的特定用戶可負(fù)責(zé)與第三方一起工作以解決問(wèn)題�。因此�����,代碼塊暫時(shí)向該用戶的預(yù)定用戶標(biāo)識(shí)符提供根特權(quán)�,其中該預(yù)定用戶標(biāo)識(shí)符與根用戶標(biāo)識(shí)符不同。在計(jì)算系統(tǒng)上接收并安裝該代碼塊(108)��,這導(dǎo)致該預(yù)定用戶標(biāo)識(shí)符具有對(duì)于計(jì)算系統(tǒng)的根特權(quán)����。在一個(gè)實(shí)施例中,在第三方開(kāi)發(fā)代碼塊之前向第三方提供預(yù)定用戶標(biāo)識(shí)符����,以使得代碼塊被開(kāi)發(fā)或?qū)懭胍詴簳r(shí)專門向預(yù)定用戶標(biāo)識(shí)符提供根特權(quán)��。如上所述����,代碼塊是安裝于計(jì)算系統(tǒng)上的計(jì)算機(jī)代碼-即��,計(jì)算機(jī)軟件-的一部分�����。并且���,第三方開(kāi)發(fā)代碼塊�����,以使得實(shí)體自身的用戶不能自身升高他們的特權(quán)。在另一實(shí)施例中��,不在第三方開(kāi)發(fā)代碼塊之前向第三方提供預(yù)定用戶標(biāo)識(shí)符��,以使得代碼塊不被開(kāi)發(fā)或?qū)懭胍詴簳r(shí)專門向預(yù)定用戶標(biāo)識(shí)符提供根特權(quán)��。而是,在計(jì)算系統(tǒng)上安裝代碼塊時(shí)�����,代碼塊可向用戶詢問(wèn)要暫時(shí)提供根特權(quán)的用戶標(biāo)識(shí)符�。作為響應(yīng)于,用戶然后在那時(shí)鍵入預(yù)定用戶標(biāo)識(shí)符��。
在本發(fā)明的一個(gè)實(shí)施例中���,代碼塊包含以下中的一個(gè)或多個(gè)�。首先���,代碼塊可具有與要安裝該代碼塊的計(jì)算系統(tǒng)對(duì)應(yīng)的標(biāo)識(shí)符�。因此�,在計(jì)算系統(tǒng)上安裝代碼塊的過(guò)程中,只有該標(biāo)識(shí)符與計(jì)算系統(tǒng)的標(biāo)識(shí)符匹配�����,才允許安裝代碼塊����。例如�,標(biāo)識(shí)符可以是計(jì)算系統(tǒng)的特定計(jì)算裝置的唯一的序列號(hào)��。第二����,代碼塊可具有只有第三方知道的數(shù)字簽名。在計(jì)算系統(tǒng)上安裝代碼塊的過(guò)程中���,也只有該數(shù)字簽名被驗(yàn)證為有效時(shí)才允許安裝代碼塊�。例如���,計(jì)算系統(tǒng)可能夠訪問(wèn)公共密鑰�,并且第三方可能夠訪問(wèn)相應(yīng)的私有密鑰��。如果由第三方利用來(lái)給代碼塊簽名的私有密鑰與將利用來(lái)給計(jì)算系統(tǒng)簽名的公共密鑰匹配���,那么只有這樣才允許在計(jì)算系統(tǒng)上安裝該代碼塊�。只有第三方而不是實(shí)體能夠訪問(wèn)私有密鑰�;例如�,實(shí)體的用戶不能訪問(wèn)私有密鑰。第三��,代碼塊可具有諸如開(kāi)始日期和結(jié)束日期的日期。在計(jì)算系統(tǒng)上安裝代碼塊的過(guò)程中��,也只有該日期被驗(yàn)證為有效時(shí)才允許安裝該代碼塊����。例如,為了允許安裝代碼塊���,當(dāng)前日期和時(shí)間可能必須落在添加到代碼塊上的開(kāi)始日期和結(jié)束日期之間���。代碼塊的這些安全方面確保只有第三方才可提供這種用于在計(jì)算系統(tǒng)上安裝的代碼塊,以使得象實(shí)體和實(shí)體的用戶那樣的其它各方不能提供這種代碼塊����。由于代碼塊暫時(shí)將賦予預(yù)定用戶標(biāo)識(shí)符的特權(quán)提高到根特權(quán),因此�,代碼塊連同用于該標(biāo)識(shí)符的密碼最終允許通過(guò)使用預(yù)定用戶標(biāo)識(shí)符及其密碼來(lái)自由訪問(wèn)該計(jì)算系統(tǒng)。因此���,標(biāo)識(shí)符��、數(shù)字簽名和日期確保只有第三方才提供代碼塊����。例如,只有第三方而不是實(shí)體知道給代碼塊簽名的數(shù)字簽名�����,以使得代碼塊能夠被安裝到計(jì)算系統(tǒng)上����。還應(yīng)注意,代碼塊可僅具有這些安全方面中的一個(gè)�、這些安全方面中的僅僅兩個(gè)或這些安全方面中的全部三個(gè),以確保只有第三方才可提供用于在計(jì)算系統(tǒng)上安裝的代碼塊����。關(guān)于代碼塊,也可實(shí)現(xiàn)其它類型的安全方面以確保只有第三方才可提供用于在實(shí)體上安裝的代碼塊�����。除了以上提到的代碼塊的安全方面中的一個(gè)或多個(gè)以外��,或者�,作為其替代,可以存在其它類型的安全方面�。代碼塊包含當(dāng)在計(jì)算系統(tǒng)上被安裝(即,被執(zhí)行)時(shí)諸如通過(guò)暫時(shí)將預(yù)定用戶標(biāo)識(shí)符的特權(quán)提高到與根用戶標(biāo)識(shí)符的特權(quán)相當(dāng)?shù)奶貦?quán)而暫時(shí)向預(yù)定用戶標(biāo)識(shí)符提供根特權(quán)的計(jì)算機(jī)可讀程序代碼。在一個(gè)實(shí)施例中���,該計(jì)算機(jī)可讀程序代碼通過(guò)執(zhí)行與不同于根用戶標(biāo)識(shí)符的預(yù)定用戶標(biāo)識(shí)符有關(guān)的SUdo計(jì)算機(jī)程序?qū)崿F(xiàn)這一點(diǎn)。SUdo計(jì)算機(jī)程序是在大多數(shù)UNIX 操作系統(tǒng)和包含LINUX 操作系統(tǒng)的類似UNIX 的操作系統(tǒng)上可用的命令行(command-line)程序�,它允許程序根據(jù)用戶標(biāo)識(shí)符但是以諸如根用戶標(biāo)識(shí)符之類的其它用戶標(biāo)識(shí)符的特權(quán)運(yùn)行。一旦代碼塊被安裝����,預(yù)定用戶標(biāo)識(shí)符由此具有對(duì)于計(jì)算系統(tǒng)的根特權(quán)。因此���,在一個(gè)實(shí)施例中����,用于該預(yù)定用戶標(biāo)識(shí)符的密碼被提供給第三方(110)���。第三方接收用于預(yù)定用戶標(biāo)識(shí)符的密碼���,并且,通過(guò)該暫時(shí)具有根特權(quán)的標(biāo)識(shí)符并且通過(guò)提供的密碼�,使用根特權(quán)以解決所識(shí)別的計(jì)算系統(tǒng)的問(wèn)題(112)。由此����,與現(xiàn)有技術(shù)不同���,使得第三方能夠在不必通過(guò)被禁用的根用戶標(biāo)識(shí)符自身訪問(wèn)計(jì)算系統(tǒng)的情況下并且在不必通過(guò)密碼托管服務(wù)訪問(wèn)用于所識(shí)別的預(yù)定用戶標(biāo)識(shí)符的密碼的情況下解決問(wèn)題。注意�,除被安裝于計(jì)算系統(tǒng)上的代碼塊之外,知道用于預(yù)定用戶標(biāo)識(shí)符的密碼的用戶-諸如與該標(biāo)識(shí)符相關(guān)的用戶-沒(méi)有并且不能具有對(duì)于計(jì)算系統(tǒng)的根特權(quán)����。這是由于預(yù)定用戶標(biāo)識(shí)符通常不是根用戶標(biāo)識(shí)符。由于這種用戶在沒(méi)有第三方的幫助的情況下不能開(kāi)發(fā)和安裝代碼塊�����,因此���,這意味著在正常情況下防止用戶能夠具有對(duì)于計(jì)算系統(tǒng)的根特權(quán)����。類似地�����,要注意的是除提供給第三方的預(yù)定用戶標(biāo)識(shí)符的密碼之外���,提供代碼塊的第三方?jīng)]有并且不能具有對(duì)于計(jì)算系統(tǒng)的根特權(quán)���。這是由于第三方通常不具有用于預(yù)定用戶標(biāo)識(shí)符的密碼��。由于第三方在正常情況下不具有該密碼,因此這意味著在正常情況下也防止第三方能夠具有對(duì)于計(jì)算系統(tǒng)的根特權(quán)��。當(dāng)?shù)谌匠晒Φ亟鉀Q了問(wèn)題之后�,代碼塊被卸載(114),并且�,改變用于預(yù)定用戶標(biāo)識(shí)符的密碼(116)。代碼塊的卸載導(dǎo)致預(yù)定用戶標(biāo)識(shí)符不再具有對(duì)于計(jì)算系統(tǒng)的根特權(quán)����,以使得與該標(biāo)識(shí)符相關(guān)的實(shí)體的用戶不再能夠自由訪問(wèn)計(jì)算系統(tǒng)。并且����,與該標(biāo)識(shí)符相關(guān)的實(shí)體的用戶改變用于預(yù)定用戶標(biāo)識(shí)符的密碼導(dǎo)致第三方不再知道用于該預(yù)定用戶標(biāo)識(shí)符的密碼。因而�����,第三方以后在與預(yù)定用戶標(biāo)識(shí)符相關(guān)的用戶不知道或沒(méi)有該用戶幫助的情況下����,不能通過(guò)使用該預(yù)定用戶標(biāo)識(shí)符向自己提供對(duì)于計(jì)算系統(tǒng)的根特權(quán)���。可在第三方成功解決了計(jì)算系統(tǒng)的問(wèn)題之后手動(dòng)卸載代碼塊��。例如�,第三方可在解決了計(jì)算系統(tǒng)的問(wèn)題之后手動(dòng)卸載代碼塊,或者���,諸如與預(yù)定用戶標(biāo)識(shí)符相關(guān)的用戶之類的實(shí)體的用戶可手動(dòng)卸載代碼塊�����。并且�����,代碼塊可具有截止時(shí)間��。在截止時(shí)間截止之后���,在實(shí)體的任何用戶或第三方?jīng)]有進(jìn)行交互的情況下,從計(jì)算系統(tǒng)自動(dòng)卸載代碼塊�。最佳的實(shí)施可以是在解決計(jì)算系統(tǒng)的問(wèn)題之后立即執(zhí)行手動(dòng)卸載�����,但仍然在代碼塊內(nèi)提供截止日期����,以使得如果不執(zhí)行這種手動(dòng)卸載����,則最終仍然從計(jì)算系統(tǒng)卸載該代碼塊��。在上述的本發(fā)明的實(shí)施例中���,在計(jì)算系統(tǒng)上安裝代碼塊之后����,用于預(yù)定用戶標(biāo)識(shí)符的密碼被提供給第三方���,以使得第三方可解決計(jì)算系統(tǒng)的該問(wèn)題����。但是���,在另一實(shí)施例中�����,在代碼塊被安裝于計(jì)算系統(tǒng)上之后�,不向第三方提供用于預(yù)定用戶標(biāo)識(shí)符的密碼。在這種實(shí)施例中���,第三方例如可以替代地提供關(guān)于如何解決問(wèn)題的指令給實(shí)體處的用戶�,以使得可以在不向第三方提供用于預(yù)定用戶標(biāo)識(shí)符的密碼的情況下解決問(wèn)題�����。圖2示出根據(jù)本發(fā)明的實(shí)施例的計(jì)算系統(tǒng)200���。計(jì)算系統(tǒng)200包含實(shí)體(被稱為實(shí)體計(jì)算裝置202)的或用于該實(shí)體的計(jì)算裝置202����。計(jì)算系統(tǒng)200還包含第三方(被稱為第三方計(jì)算裝置204)的或用于該第三方的計(jì)算裝置204���。計(jì)算裝置202和204通過(guò)網(wǎng)絡(luò)206相互通信連接��。實(shí)體計(jì)算裝置202是出現(xiàn)解決起來(lái)需要根特權(quán)的問(wèn)題的計(jì)算裝置���?����?梢栽诘谌接?jì)算裝置204上開(kāi)發(fā)代碼塊�����。代碼塊從第三方計(jì)算裝置204被傳送到實(shí)體計(jì)算裝置202上����,并且被安裝于實(shí)體計(jì)算裝置202上�����。第三方可通過(guò)使用由實(shí)體提供的用于預(yù)定用戶標(biāo)識(shí)符的密碼����,其中該預(yù)定用戶標(biāo)識(shí)符具有由于安裝代碼塊而獲得的根特權(quán)����,在第三式計(jì)算裝置204經(jīng)由網(wǎng)絡(luò)訪問(wèn)實(shí)體計(jì)算裝置202。通過(guò)這種對(duì)于實(shí)體計(jì)算裝置202的訪問(wèn)���,第三方解決實(shí)體計(jì)算裝置202的問(wèn)題�����,然后��,從裝置202卸載代碼塊并改變用于預(yù)定用戶標(biāo)識(shí)符的密碼���。圖3更詳細(xì)地示出根據(jù)本發(fā)明的實(shí)施例的實(shí)體計(jì)算裝置202���。實(shí)體計(jì)算裝置202包含硬件302和軟件304。硬件302可包含一個(gè)或多個(gè)處理器����、易失性存儲(chǔ)器和非易失性存儲(chǔ)裝置和其它類型的硬件。軟件304可包含一個(gè)或多個(gè)操作系統(tǒng)��、一個(gè)或多個(gè)應(yīng)用計(jì)算機(jī)程序和其它類型的軟件�����。軟件304由硬件302執(zhí)行并且在其上面運(yùn)行���。對(duì)于軟件304的訪問(wèn)由具有根特權(quán)的根用戶標(biāo)識(shí)符并且由通常不具有根特權(quán)的至少一個(gè)預(yù)定用戶標(biāo)識(shí)符掌控��。預(yù)定用戶標(biāo)識(shí)符與根用戶標(biāo)識(shí)符不同����。實(shí)體計(jì)算裝置202還包含可以為硬件302的一部分的計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)306。計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)306存儲(chǔ)可以為軟件304的一部分的計(jì)算機(jī)可讀程序代碼308�。計(jì)算機(jī)可讀程序代碼308實(shí)現(xiàn)安全部件310。安全部件310禁用根用戶標(biāo)識(shí)符�。然后,響應(yīng)于確定軟件304的問(wèn)題解決起來(lái)需要根特權(quán)�����,安全部件310安裝代碼塊���。如已經(jīng)描述的那樣���,代碼塊暫時(shí)向預(yù)定用戶標(biāo)識(shí)符提供根特權(quán)��。代碼塊不由第三方提供并且不能由討論中的實(shí)體提供�����。除被安裝的代碼塊之外��,知道用于預(yù)定用戶標(biāo)識(shí)符的密碼的用戶沒(méi)有并且不能具有根特權(quán)。第三方訪問(wèn)軟件304以在被提供有用于預(yù)定用戶標(biāo)識(shí)符的密碼之后解決該問(wèn)題���,以使得第三方通過(guò)代碼塊和該密碼具有根特權(quán)���。除被提供以該密碼之外,提供代碼塊的第三方?jīng)]有并且不能具有根特權(quán)���。關(guān)于圖1的方法描述的代碼塊的其它方面也適于圖2的系統(tǒng)和圖3的計(jì)算裝置的實(shí)現(xiàn)�。以上參照根據(jù)本發(fā)明的實(shí)施例的方法�����、裝置(系統(tǒng))和計(jì)算機(jī)程序產(chǎn)品的流程圖和/或框圖描述了本發(fā)明的各方面����。應(yīng)當(dāng)理解,可以在計(jì)算機(jī)程序指令上實(shí)現(xiàn)流程圖和/或框圖的每塊和流程圖和/或框圖中的塊的組合��。這些計(jì)算機(jī)程序指令可被提供給通用計(jì)算機(jī)��、特殊用途計(jì)算機(jī)或其它可編程數(shù)據(jù)處理裝置的處理器以產(chǎn)生機(jī)器���,使得通過(guò)計(jì)算機(jī)或其它可編程數(shù)據(jù)處理裝置的處理器執(zhí)行的指令產(chǎn)生用于實(shí)現(xiàn)在流程圖和/或框圖的一個(gè)或多個(gè)塊中規(guī)定的功能/動(dòng)作的裝置�。這些計(jì)算機(jī)程序指令也可被存儲(chǔ)于計(jì)算機(jī)可讀介質(zhì)中,其可指導(dǎo)計(jì)算機(jī)��、其它可編程數(shù)據(jù)處理裝置或其它裝置以特定的方式起作用�����,使得存儲(chǔ)于計(jì)算機(jī)可讀介質(zhì)中的指令產(chǎn)生包含實(shí)現(xiàn)在流程圖和/或框圖的一個(gè)或多個(gè)塊中規(guī)定的功能/動(dòng)作的指令的制造物
P
ΡΠ O計(jì)算機(jī)程序指令也可被加載到計(jì)算機(jī)����、其它可編程數(shù)據(jù)處理裝置或其它裝置上,以導(dǎo)致在計(jì)算機(jī)��、其它可編程裝置或其它裝置上執(zhí)行的一系列操作步驟�����,以產(chǎn)生計(jì)算機(jī)實(shí)現(xiàn)的處理���,使得在計(jì)算機(jī)或其它可編程裝置上執(zhí)行的指令提供用于實(shí)現(xiàn)在流程圖和/或框圖的一個(gè)或多個(gè)塊中規(guī)定的功能/動(dòng)作的處理��。圖中的流程圖和框圖示出根據(jù)本發(fā)明的各種實(shí)施例的系統(tǒng)����、方法和計(jì)算機(jī)程序產(chǎn)品的可能實(shí)現(xiàn)的結(jié)構(gòu)����、功能和操作。在這一點(diǎn)上�����,流程圖或框圖中的每個(gè)塊可表示包含用于實(shí)現(xiàn)特定邏輯功能(一個(gè)或多個(gè))的一個(gè)或多個(gè)可執(zhí)行指令的模塊��、段或代碼的一部分�����。還應(yīng)當(dāng)注意���,在一些替代性實(shí)現(xiàn)中���,在塊中注明的功能的出現(xiàn)次序可以與圖中注明的次序不同。例如���,根據(jù)包含的功能�,連續(xù)示出的兩個(gè)塊事實(shí)上可被基本上同時(shí)地執(zhí)行�,或者�,各塊有時(shí)可以以相反的次序被執(zhí)行����。還應(yīng)注意,可以在執(zhí)行特定的功能或動(dòng)作的基于特殊用途硬件的系統(tǒng)上或在特殊用途硬件和計(jì)算機(jī)指令的組合上實(shí)現(xiàn)框圖和/或流程圖的每個(gè)塊和框圖和/或流程圖中的各塊的組合�����。最后注意����,雖然這里示出和描述了特定實(shí)施例,但是���,本領(lǐng)域技術(shù)人員可以理解���,為了實(shí)現(xiàn)相同目的而計(jì)算出的任何配置可替代示出的特定實(shí)施例。因此����,本申請(qǐng)意圖覆蓋本發(fā)明實(shí)施例的任何調(diào)整或變化。因而����,很顯然本發(fā)明僅由權(quán)利要求及其等同限定���。
權(quán)利要求
1.一種用于提供特權(quán)的方法�����,包括禁用計(jì)算系統(tǒng)的第一用戶標(biāo)識(shí)符���,所述第一用戶標(biāo)識(shí)符具有對(duì)于計(jì)算系統(tǒng)的第一特權(quán)�;在禁用計(jì)算系統(tǒng)的第一用戶標(biāo)識(shí)符之后且響應(yīng)于確定計(jì)算系統(tǒng)的問(wèn)題解決起來(lái)需要對(duì)于計(jì)算系統(tǒng)的第一特權(quán)����,從第三方接收要在計(jì)算系統(tǒng)上安裝的代碼塊,所述代碼塊暫時(shí)向除第一用戶標(biāo)識(shí)符以外的計(jì)算系統(tǒng)的第二用戶標(biāo)識(shí)符提供第一特權(quán)的至少一個(gè)子集�,所述第二用戶標(biāo)識(shí)符通常具有比對(duì)于計(jì)算系統(tǒng)的第一特權(quán)少的對(duì)于計(jì)算系統(tǒng)的第二特權(quán),所述代碼塊包含能夠安裝于計(jì)算系統(tǒng)上的計(jì)算機(jī)代碼����;和在計(jì)算系統(tǒng)上安裝代碼塊以使得第二用戶標(biāo)識(shí)符暫時(shí)具有對(duì)于計(jì)算系統(tǒng)的第一特權(quán)的至少所述子集。
2.如權(quán)利要求0所述的方法�,還包括在計(jì)算系統(tǒng)上安裝代碼塊之后,向第三方提供用于第二用戶標(biāo)識(shí)符的密碼����,以允許第三方通過(guò)根據(jù)暫時(shí)具有對(duì)于計(jì)算系統(tǒng)的第一特權(quán)的至少所述子集的第二用戶標(biāo)識(shí)符使用對(duì)于計(jì)算系統(tǒng)的第一特權(quán)的至少所述子集來(lái)解決計(jì)算系統(tǒng)的問(wèn)題����。
3.如權(quán)利要求0所述的方法����,還包括在第三方通過(guò)根據(jù)暫時(shí)具有對(duì)于計(jì)算系統(tǒng)的第一根特權(quán)的第二用戶標(biāo)識(shí)符使用對(duì)于計(jì)算系統(tǒng)的第一特權(quán)的至少所述子集解決了計(jì)算系統(tǒng)的問(wèn)題之后,從計(jì)算系統(tǒng)卸載代碼塊以使得第二用戶標(biāo)識(shí)符不再具有對(duì)于計(jì)算系統(tǒng)的第一特權(quán)的至少所述子集�;和改變用于第二用戶標(biāo)識(shí)符的密碼以使得第三方不再知道用于第二用戶標(biāo)識(shí)符的密碼。
4.如任一在前權(quán)利要求所述的方法���,其中�,代碼塊具有截止時(shí)間以使得在代碼塊的截止時(shí)間已經(jīng)截止之后�,所述代碼塊從計(jì)算系統(tǒng)被自動(dòng)卸載,以使得第二用戶標(biāo)識(shí)符不再具有對(duì)于計(jì)算系統(tǒng)的第一特權(quán)的至少所述子集�����。
5.如任一在前權(quán)利要求所述的方法����,其中,禁用計(jì)算系統(tǒng)的第一用戶標(biāo)識(shí)符包含將用于第一用戶標(biāo)識(shí)符的密碼設(shè)為多個(gè)未知的隨機(jī)字符����。
6.如任一在前權(quán)利要求所述的方法�,其中��,在計(jì)算系統(tǒng)上安裝代碼塊包含以下中的至少一個(gè)計(jì)算系統(tǒng)比較代碼塊的標(biāo)識(shí)符與計(jì)算系統(tǒng)的標(biāo)識(shí)符����,以使得如果代碼塊的標(biāo)識(shí)符與計(jì)算系統(tǒng)的標(biāo)識(shí)符匹配�,則在計(jì)算系統(tǒng)上安裝代碼塊;計(jì)算系統(tǒng)驗(yàn)證代碼塊的數(shù)字簽名�����,以使得如果代碼塊的數(shù)字簽名有效���,則在計(jì)算系統(tǒng)上安裝代碼塊�����;和計(jì)算系統(tǒng)驗(yàn)證代碼塊的日期�����,以使得如果代碼塊的日期有效�,則在計(jì)算系統(tǒng)上安裝代碼塊���。
7.如權(quán)利要求0所述的方法�,其中,第三方����,而不是為其提供計(jì)算系統(tǒng)的實(shí)體,獲知給代碼塊簽名的數(shù)字簽名����,以使得代碼塊能夠被安裝于計(jì)算系統(tǒng)上。
8.如任一在前權(quán)利要求所述的方法�����,其中����,通過(guò)使用偽計(jì)算機(jī)程序的執(zhí)行將第二用戶標(biāo)識(shí)符的特權(quán)暫時(shí)提高到與第一用戶標(biāo)識(shí)符的第一特權(quán)的至少所述子集相當(dāng)?shù)奶貦?quán),代碼塊暫時(shí)給計(jì)算系統(tǒng)的第二用戶標(biāo)識(shí)符提供第一特權(quán)的至少所述子集���。
9.如任一在前權(quán)利要求所述的方法�,其中�,使得第三方能夠在不使用第一用戶標(biāo)識(shí)符來(lái)訪問(wèn)計(jì)算系統(tǒng)的情況下解決計(jì)算系統(tǒng)的問(wèn)題。
10.如任一在前權(quán)利要求所述的方法,其中�����,使得第三方能夠在不必使用密碼托管服務(wù)來(lái)訪問(wèn)用于第二用戶標(biāo)識(shí)符的密碼的情況下解決計(jì)算系統(tǒng)的問(wèn)題����。
11.如任一在前權(quán)利要求所述的方法,其中�����,除被安裝于計(jì)算系統(tǒng)上的代碼塊之外��,知道用于第二預(yù)定用戶標(biāo)識(shí)符的密碼的用戶不能具有對(duì)于計(jì)算系統(tǒng)的第一特權(quán)的至少所述子集���。
12.如任一在前權(quán)利要求所述的方法,其中��,除被提供有用于第二用戶標(biāo)識(shí)符的密碼之外��,提供安裝于計(jì)算系統(tǒng)上的代碼塊的第三方不能具有對(duì)于計(jì)算系統(tǒng)的第一特權(quán)的至少所述子集����。
13.一種用于提供特權(quán)的設(shè)備,包括用于禁用計(jì)算系統(tǒng)的第一用戶標(biāo)識(shí)符的裝置,所述第一用戶標(biāo)識(shí)符具有對(duì)于計(jì)算系統(tǒng)的第一特權(quán)�����;用于響應(yīng)于禁用計(jì)算系統(tǒng)的第一用戶標(biāo)識(shí)符且響應(yīng)于確定計(jì)算系統(tǒng)的問(wèn)題解決起來(lái)需要對(duì)于計(jì)算系統(tǒng)的第一特權(quán)�,從第三方接收要在計(jì)算系統(tǒng)上安裝的代碼塊的裝置,所述代碼塊暫時(shí)向除第一用戶標(biāo)識(shí)符以外的計(jì)算系統(tǒng)的第二用戶標(biāo)識(shí)符提供第一特權(quán)的至少一個(gè)子集�����,所述第二用戶標(biāo)識(shí)符通常具有比對(duì)于計(jì)算系統(tǒng)的第一特權(quán)少的對(duì)于計(jì)算系統(tǒng)的第二特權(quán)���,所述代碼塊包含能夠安裝于計(jì)算系統(tǒng)上的計(jì)算機(jī)代碼�����;和用于在計(jì)算系統(tǒng)上安裝代碼塊以使得第二用戶標(biāo)識(shí)符暫時(shí)具有對(duì)于計(jì)算系統(tǒng)的第一特權(quán)的至少所述子集的裝置��。
14.如權(quán)利要求03所述的設(shè)備���,還包括用于響應(yīng)于在計(jì)算系統(tǒng)上安裝代碼塊,向第三方提供用于第二用戶標(biāo)識(shí)符的密碼以允許第三方通過(guò)根據(jù)暫時(shí)具有對(duì)于計(jì)算系統(tǒng)的第一特權(quán)的至少所述子集的第二用戶標(biāo)識(shí)符使用對(duì)于計(jì)算系統(tǒng)的第一特權(quán)的至少所述子集來(lái)解決計(jì)算系統(tǒng)的問(wèn)題的裝置�。
15.如權(quán)利要求14所述的設(shè)備,還包括用于響應(yīng)于第三方通過(guò)根據(jù)暫時(shí)具有對(duì)于計(jì)算系統(tǒng)的第一根特權(quán)的第二用戶標(biāo)識(shí)符使用對(duì)于計(jì)算系統(tǒng)的第一特權(quán)的至少所述子集解決了計(jì)算系統(tǒng)的問(wèn)題�,從計(jì)算系統(tǒng)卸載代碼塊以使得第二用戶標(biāo)識(shí)符不再具有對(duì)于計(jì)算系統(tǒng)的第一特權(quán)的至少所述子集的裝置�;和用于改變用于第二用戶標(biāo)識(shí)符的密碼以使得第三方不再知道用于第二用戶標(biāo)識(shí)符的密碼的裝置����。
16.如權(quán)利要求13-15中任一項(xiàng)所述的設(shè)備,其中�,代碼塊具有截止時(shí)間以使得在代碼塊的截止時(shí)間已經(jīng)截止之后,所述代碼塊從計(jì)算系統(tǒng)被自動(dòng)卸載���,以使得第二用戶標(biāo)識(shí)符不再具有對(duì)于計(jì)算系統(tǒng)的第一特權(quán)的至少所述子集�。
17.如權(quán)利要求13-16中任一項(xiàng)所述的設(shè)備���,其中�,用于禁用計(jì)算系統(tǒng)的第一用戶標(biāo)識(shí)符的裝置包含用于將用于第一用戶標(biāo)識(shí)符的密碼設(shè)為多個(gè)未知的隨機(jī)字符的裝置�。
18.如權(quán)利要求13-17中任一項(xiàng)所述的設(shè)備��,其中��,用于在計(jì)算系統(tǒng)上安裝代碼塊的裝置包含以下中的至少一個(gè)用于比較代碼塊的標(biāo)識(shí)符與計(jì)算系統(tǒng)的標(biāo)識(shí)符以使得如果代碼塊的標(biāo)識(shí)符與計(jì)算系統(tǒng)的標(biāo)識(shí)符匹配��,則在計(jì)算系統(tǒng)上安裝代碼塊的裝置���;用于驗(yàn)證代碼塊的數(shù)字簽名以使得如果代碼塊的數(shù)字簽名有效�����,則在計(jì)算系統(tǒng)上安裝代碼塊的裝置����;和用于驗(yàn)證代碼塊的日期以使得如果代碼塊的日期有效,則在計(jì)算系統(tǒng)上安裝代碼塊的裝置�����。
19.如權(quán)利要求18所述的設(shè)備����,其中,第三方�,而不是為其提供計(jì)算系統(tǒng)的實(shí)體,獲知給代碼塊簽名的數(shù)字簽名�,以使得代碼塊能夠被安裝于計(jì)算系統(tǒng)上。
20.如權(quán)利要求13-19中任一項(xiàng)所述的設(shè)備��,其中�,通過(guò)使用偽計(jì)算機(jī)程序的執(zhí)行將第二用戶標(biāo)識(shí)符的特權(quán)暫時(shí)提高到與第一用戶標(biāo)識(shí)符的第一特權(quán)的至少所述子集相當(dāng)?shù)奶貦?quán),代碼塊暫時(shí)給計(jì)算系統(tǒng)的第二用戶標(biāo)識(shí)符提供第一特權(quán)的至少所述子集�����。
21.如權(quán)利要求13-20中任一項(xiàng)所述的設(shè)備,其中����,使得第三方能夠在不使用第一用戶標(biāo)識(shí)符來(lái)訪問(wèn)計(jì)算系統(tǒng)的情況下解決計(jì)算系統(tǒng)的問(wèn)題。
22.如權(quán)利要求13-21中任一項(xiàng)所述的設(shè)備����,其中,使得第三方能夠在不必使用密碼托管服務(wù)來(lái)訪問(wèn)用于第二用戶標(biāo)識(shí)符的密碼的情況下解決計(jì)算系統(tǒng)的問(wèn)題���。
23.如權(quán)利要求13-22中任一項(xiàng)所述的設(shè)備�����,其中�����,除被安裝于計(jì)算系統(tǒng)上的代碼塊之外�,知道用于第二預(yù)定用戶標(biāo)識(shí)符的密碼的用戶不能具有對(duì)于計(jì)算系統(tǒng)的第一特權(quán)的至少所述子集��。
24.如權(quán)利要求13-23中任一項(xiàng)所述的設(shè)備����,其中,除被提供有用于第二用戶標(biāo)識(shí)符的密碼之外�����,提供安裝于計(jì)算系統(tǒng)上的代碼塊的第三方不能具有對(duì)于計(jì)算系統(tǒng)的第一特權(quán)的至少所述子集����。
25.一種計(jì)算機(jī)程序,包括存儲(chǔ)于計(jì)算機(jī)可讀介質(zhì)上的計(jì)算機(jī)程序代碼��,所述計(jì)算機(jī)程序代碼在被加載到計(jì)算機(jī)系統(tǒng)中并在其上被執(zhí)行時(shí)�����,使得所述計(jì)算機(jī)系統(tǒng)執(zhí)行根據(jù)權(quán)利要求1-12中任一項(xiàng)所述的方法的所有步驟����。
全文摘要
本公開(kāi)涉及向用戶標(biāo)識(shí)符暫時(shí)提供對(duì)于計(jì)算系統(tǒng)的更高特權(quán)。禁用計(jì)算系統(tǒng)的第一用戶標(biāo)識(shí)符���。然后���,并且響應(yīng)于確定計(jì)算系統(tǒng)的問(wèn)題解決起來(lái)需要對(duì)于計(jì)算系統(tǒng)的第一特權(quán),從第三方接收用于在計(jì)算系統(tǒng)上安裝的代碼塊��。代碼塊被安裝于計(jì)算系統(tǒng)上,從而導(dǎo)致用戶標(biāo)識(shí)符暫時(shí)具有對(duì)于計(jì)算系統(tǒng)的根特權(quán)����。用戶標(biāo)識(shí)符與根用戶標(biāo)識(shí)符不同。通過(guò)暫時(shí)具有對(duì)于計(jì)算系統(tǒng)的根特權(quán)的用戶標(biāo)識(shí)符�,用于用戶標(biāo)識(shí)符的密碼被提供給第三方,以允許第三方通過(guò)使用根特權(quán)解決計(jì)算系統(tǒng)的問(wèn)題���。代碼塊是可安裝于計(jì)算系統(tǒng)上的計(jì)算機(jī)代碼�����。
文檔編號(hào)G06F21/00GK102576395SQ201080044879
公開(kāi)日2012年7月11日 申請(qǐng)日期2010年8月31日 優(yōu)先權(quán)日2009年10月6日
發(fā)明者B·J·克林金博格, J·J·奧文夏恩, N·伽瑞梅拉, T·K·克拉克 申請(qǐng)人:國(guó)際商業(yè)機(jī)器公司