專(zhuān)利名稱(chēng):一種基于資源聲明的應(yīng)用安全監(jiān)控方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息安全和嵌入式系統(tǒng)領(lǐng)域���,尤其涉及一種面向開(kāi)放型業(yè)務(wù)�,在嵌入式終端電視操作系統(tǒng)軟件運(yùn)行環(huán)境中開(kāi)發(fā)的應(yīng)用的安全監(jiān)控方法����,即本發(fā)明提供一種基于資源聲明的應(yīng)用安全監(jiān)控方法及系統(tǒng)。
背景技術(shù):
下一代廣播電視網(wǎng)建設(shè)是廣電行業(yè)落實(shí)三網(wǎng)融合國(guó)家戰(zhàn)略的重要舉措����,面向三網(wǎng)融合�,廣電�、電信業(yè)務(wù)雙向進(jìn)入,為有線電視網(wǎng)打開(kāi)了新的業(yè)務(wù)發(fā)展空間��,通過(guò)雙向改造和網(wǎng)絡(luò)整合��,有線電視網(wǎng)將成為全業(yè)務(wù)全媒體的全國(guó)性運(yùn)營(yíng)網(wǎng)絡(luò)�����,不僅能夠提供原有的廣播電視和互動(dòng)電視服務(wù)�,還可以提供增值電信業(yè)務(wù)和部分基礎(chǔ)電信業(yè)務(wù)。NGB建設(shè)將大大增加有線電視網(wǎng)的雙向和寬帶滲透率����,全業(yè)務(wù)和全媒體、全程全網(wǎng)的運(yùn)營(yíng)需求�。為了實(shí)現(xiàn)基于不同平臺(tái)間的業(yè)務(wù)快速開(kāi)發(fā),對(duì)嵌入式電視操作系統(tǒng)提出了開(kāi)放式業(yè)務(wù)和業(yè)務(wù)安全運(yùn)行的要求�����。必須確保第三方應(yīng)用開(kāi)發(fā)的硬件無(wú)關(guān)性,第三方應(yīng)用開(kāi)發(fā)商應(yīng)能夠與硬件無(wú)關(guān)地開(kāi)發(fā)增值應(yīng)用�,無(wú)需使用目標(biāo)終端的編譯環(huán)境,提高其應(yīng)用開(kāi)發(fā)的靈活性���;同時(shí)必須確保第三方應(yīng)用開(kāi)發(fā)接ロ的規(guī)范化和可擴(kuò)展性�,為第三方應(yīng)用開(kāi)發(fā)商提供規(guī)范的開(kāi)發(fā)接ロ��,能夠支持多種應(yīng)用的開(kāi)發(fā)��,并可針對(duì)未來(lái)的應(yīng)用擴(kuò)展新的接ロ�����。同時(shí)��,開(kāi)放性的引入又對(duì)業(yè)務(wù)安全提出了更高的要求�,嵌入式終端電視操作系統(tǒng)要求當(dāng)?shù)谌綉?yīng)用運(yùn)行吋�,如果發(fā)生異常情況,這種異常情況不會(huì)被傳遞���,以提高終端軟件的健壯性����;同時(shí)還要求保障對(duì)應(yīng)用調(diào)度的快速響應(yīng)、保障第三方應(yīng)用的資源操作效率�、保障第三方應(yīng)用的用戶(hù)體驗(yàn)、保障第三方應(yīng)用的執(zhí)行效率��。嵌入式終端電視操作系統(tǒng)要保障開(kāi)放型業(yè)務(wù)的運(yùn)行安全��,必須具有這樣的機(jī)制�,即開(kāi)放業(yè)務(wù)在電視操作系統(tǒng)中運(yùn)行的過(guò)程中, 應(yīng)用發(fā)生變異時(shí)的安全處理機(jī)制及相應(yīng)資源的回收處理機(jī)制����。目前國(guó)內(nèi)嵌入式終端的電視操作系統(tǒng)運(yùn)行環(huán)境中的第三方應(yīng)用安全監(jiān)控,尚處于研究和開(kāi)發(fā)階段�����,尚沒(méi)有ー個(gè)統(tǒng)ー的標(biāo)準(zhǔn)����,也沒(méi)有針對(duì)電視的特點(diǎn)進(jìn)行相應(yīng)優(yōu)化,當(dāng)運(yùn)行第三方應(yīng)用時(shí)���,無(wú)法保證第三方業(yè)務(wù)運(yùn)行時(shí)對(duì)嵌入式終端操作系統(tǒng)及其內(nèi)置業(yè)務(wù)的破壞����。本發(fā)明提供了ー種可用于電視操作系統(tǒng)的基于資源聲明的應(yīng)用安全監(jiān)控方法及系統(tǒng)。
發(fā)明內(nèi)容
本發(fā)明的目的在干�����,為克服現(xiàn)有技術(shù)在嵌入式終端電視操作系統(tǒng)中開(kāi)放業(yè)務(wù)的運(yùn)行過(guò)程中的安全問(wèn)題�����,從而提供ー種基于資源聲明的應(yīng)用安全監(jiān)控方法及系統(tǒng)���。為了實(shí)現(xiàn)上述目的��,本發(fā)明提供ー種基于資源聲明的應(yīng)用安全監(jiān)控方法�,該方法用于電視操作系統(tǒng)的第三方應(yīng)用的安全發(fā)布與安全運(yùn)行���,所述方法包括(1)生成某一第三方應(yīng)用的資源聲明���,所述資源聲明用于表明該應(yīng)用在運(yùn)行時(shí)所需的終端資源的最大量�;(2)運(yùn)行所述的應(yīng)用吋,首先讀取所述的資源聲明��;(3)判斷第三方應(yīng)用向嵌入式終端電視操作系統(tǒng)申請(qǐng)的資源或者運(yùn)行該第三方應(yīng)
4用所占用資源的是否超過(guò)該資源聲明中表明的該資源使用量的最大值��;(4)如果未超過(guò)則繼續(xù)執(zhí)行該應(yīng)用直至運(yùn)行結(jié)束,否則終止執(zhí)行該應(yīng)用��,并釋放相應(yīng)的資源����。上述技術(shù)方案中,對(duì)每個(gè)應(yīng)用采用単獨(dú)的進(jìn)程來(lái)實(shí)現(xiàn)安全監(jiān)控��。上述技術(shù)方案所述的方法還包括步驟判斷所述應(yīng)用是否使用了該資源聲明中未聲明的電視操作系統(tǒng)的資源���,當(dāng)確定該應(yīng)用使用了電視操作系統(tǒng)的資源而未在該資源聲明中聲明吋����,則關(guān)閉該進(jìn)程并回收相應(yīng)資源�。在運(yùn)行該應(yīng)用的過(guò)程中,實(shí)時(shí)監(jiān)控該應(yīng)用對(duì)特定資源的占用���,一旦確定該應(yīng)用對(duì)特定資源的占用量超過(guò)該資源聲明中的最大量時(shí)�����,則終止該應(yīng)用的運(yùn)行�,并釋放相應(yīng)資源�。所述步驟(2)還包括將所述資源聲明轉(zhuǎn)換為電視操作系統(tǒng)運(yùn)行該應(yīng)用時(shí)所需要的細(xì)粒度資源聲明�����?;谏鲜龇椒?,本發(fā)明還提供ー種基于資源聲明的應(yīng)用安全監(jiān)控系統(tǒng),該系統(tǒng)用于電視操作系統(tǒng)的第三方應(yīng)用的安全發(fā)布與安全運(yùn)行���,所述系統(tǒng)包含用于用戶(hù)注冊(cè)和提交待發(fā)布的應(yīng)用注冊(cè)服務(wù)器�����,用于只對(duì)具有數(shù)字簽名的應(yīng)用進(jìn)行電視操作系統(tǒng)安全檢測(cè)的檢測(cè)中心��,當(dāng)檢測(cè)通過(guò)后由安全管控服務(wù)器對(duì)待發(fā)布的應(yīng)用軟件進(jìn)行注冊(cè)和簽名授權(quán)的安全管控服務(wù)器�����,和用于上載經(jīng)過(guò)應(yīng)用注冊(cè)和簽名授權(quán)的應(yīng)用����,位于發(fā)布服務(wù)器上的應(yīng)用可進(jìn)ー步提供給合法終端用戶(hù)進(jìn)行隨時(shí)隨地的下載和安裝的發(fā)布服務(wù)器�;其特征在干�,所述系統(tǒng)還包含資源聲明生成及發(fā)送模塊��,該模塊用于當(dāng)開(kāi)發(fā)第三方應(yīng)用時(shí)生成針對(duì)該軟件的粗粒度資源聲明�����;其中���,當(dāng)?shù)谌綉?yīng)用的開(kāi)發(fā)完成后,將應(yīng)用對(duì)應(yīng)的軟件和粗粒度資源聲明一同上載到注冊(cè)服務(wù)器���,注冊(cè)服務(wù)器將軟件和粗粒度資源聲明交給檢測(cè)中心�����;檢測(cè)中心對(duì)該應(yīng)用進(jìn)行安全檢測(cè)���,并生成其運(yùn)行所需的細(xì)粒度資源聲明;檢測(cè)通過(guò)后由安全管控服務(wù)器對(duì)待發(fā)布的應(yīng)用進(jìn)行注冊(cè)和簽名授權(quán)��,然后上載到發(fā)布服務(wù)器以提供給合法終端用戶(hù)進(jìn)行隨時(shí)隨地的下載和安裝����;和判斷決策模塊,用于判斷第三方應(yīng)用向嵌入式終端電視操作系統(tǒng)申請(qǐng)的資源或者運(yùn)行該第三方應(yīng)用所占用資源的是否超過(guò)該資源聲明中表明的該資源使用量的最大值�,如果未超過(guò)則繼續(xù)執(zhí)行該應(yīng)用直至運(yùn)行結(jié)束���,否則終止執(zhí)行該應(yīng)用,并釋放相應(yīng)的資源����。上述技術(shù)方案中,所述生成細(xì)粒度資源聲明具體步驟為檢測(cè)中心將第三方軟件在測(cè)試用的電視操作系統(tǒng)的機(jī)頂盒上運(yùn)行���,以測(cè)試其對(duì)B類(lèi)資源的占用情況����,估算出這些資源的最大使用量�,寫(xiě)入細(xì)粒度資源聲明;根據(jù)功能組件與A類(lèi)資源的映射關(guān)系���,粗粒度資源聲明可以轉(zhuǎn)換為A類(lèi)資源聲明����,寫(xiě)入細(xì)粒度資源聲明�;其中,嵌入式數(shù)字電視終端的CPU�、 內(nèi)存和網(wǎng)絡(luò)帶寬是B類(lèi)資源,其余數(shù)字電視終端的資源為A類(lèi)資源。對(duì)每個(gè)應(yīng)用采用単獨(dú)的進(jìn)程來(lái)實(shí)現(xiàn)安全監(jiān)控�。所述判斷決策模塊還用于判斷所述應(yīng)用是否使用了該資源聲明中未聲明的電視操作系統(tǒng)的資源,當(dāng)確定該應(yīng)用使用了電視操作系統(tǒng)的資源而未在該資源聲明中聲明吋�����, 則關(guān)閉該進(jìn)程并回收相應(yīng)資源�。在運(yùn)行應(yīng)用的過(guò)程中���,實(shí)時(shí)監(jiān)控該應(yīng)用對(duì)特定資源的占用�����, 一旦確定該應(yīng)用對(duì)特定資源的占用量超過(guò)該資源聲明中的最大量時(shí)�,則終止該應(yīng)用的運(yùn)行�,并釋放相應(yīng)資源。與現(xiàn)有技術(shù)相比�����,本發(fā)明的優(yōu)點(diǎn)在于1)本發(fā)明屬于嵌入式終端電視操作系統(tǒng)領(lǐng)域��,可根據(jù)應(yīng)用(業(yè)務(wù))的資源聲明信息�����,由電視操作系統(tǒng)快速進(jìn)行安全監(jiān)控,可用于當(dāng)運(yùn)行第三方應(yīng)用吋�����,保證對(duì)嵌入式終端操作系統(tǒng)及其內(nèi)置業(yè)務(wù)的安全性�����。2)本發(fā)明中的最小信任基����,包含系統(tǒng)管理框架,當(dāng)應(yīng)用出現(xiàn)非法資源占用吋����,系統(tǒng)管理框架可快速終止該應(yīng)用的運(yùn)行,并釋放相應(yīng)資源�����,于是釋放的相應(yīng)資源就可用于前臺(tái)應(yīng)用進(jìn)程�。其中,所述最小信任基是整個(gè)安全體系結(jié)構(gòu)的核心�,負(fù)責(zé)保證系統(tǒng)的完整性。可以完全訪問(wèn)設(shè)備資源����,是操作系統(tǒng)完全信任的部分?���?尚庞?jì)算基應(yīng)該盡量小�,它擁有最高的特權(quán),關(guān)系到整個(gè)電視操作系統(tǒng)的穩(wěn)定性����。
圖1為根據(jù)本發(fā)明的安全發(fā)布系統(tǒng)結(jié)構(gòu)圖;圖2為根據(jù)本發(fā)明的基于資源聲明的安全運(yùn)行流程圖��。
具體實(shí)施例方式下面結(jié)合附圖和具體實(shí)施方式
對(duì)本發(fā)明作進(jìn)ー步詳細(xì)描述���。本發(fā)明提供ー種基于資源聲明的應(yīng)用安全監(jiān)控方法��,該方法用于嵌入式終端電視操作系統(tǒng)中���,包括如下步驟(1)生成針對(duì)某一第三方應(yīng)用的資源聲明信息,該資源聲明表明信息包含該第三方應(yīng)用在運(yùn)行時(shí)所需的嵌入式終端資源的最大量�����;( 運(yùn)行所述第三方的應(yīng)用吋,首先讀取所述的資源聲明���;C3)判斷第三方應(yīng)用向嵌入式終端申請(qǐng)的資源或者運(yùn)行所占用的嵌入式終端的資源是否超過(guò)資源聲明中表明的該資源使用量的最大值��;(4)如果未超過(guò)則繼續(xù)執(zhí)行該應(yīng)用直至運(yùn)行結(jié)束��,否則終止執(zhí)行該應(yīng)用���,并釋放相應(yīng)的資源。根據(jù)本發(fā)明的應(yīng)用安全監(jiān)控方法����,其中對(duì)每個(gè)應(yīng)用采用単獨(dú)的進(jìn)程來(lái)實(shí)現(xiàn)安全監(jiān)控。根據(jù)本發(fā)明的應(yīng)用安全監(jiān)控方法���,其中��,判斷所述應(yīng)用是否使用了該資源聲明中未聲明的電視操作系統(tǒng)的資源����,當(dāng)確定該應(yīng)用使用了電視操作系統(tǒng)的資源而未在該資源聲明中聲明吋���,則關(guān)閉該進(jìn)程并回收相應(yīng)資源�。根據(jù)本發(fā)明的應(yīng)用安全監(jiān)控方法,其中所述步驟( 還包括將所述資源聲明轉(zhuǎn)換為電視操作系統(tǒng)運(yùn)行該應(yīng)用時(shí)所需要的細(xì)粒度資源聲明��。根據(jù)本發(fā)明的應(yīng)用安全監(jiān)控方法��,其中在運(yùn)行該應(yīng)用的過(guò)程中��,實(shí)時(shí)監(jiān)控該應(yīng)用對(duì)特定資源的占用�,一旦確定該應(yīng)用對(duì)特定資源的占用量超過(guò)該資源聲明中的最大量吋, 則終止該應(yīng)用的運(yùn)行���,并釋放相應(yīng)資源。如圖1所示��,該圖為根據(jù)本發(fā)明的安全發(fā)布方法提出的系統(tǒng)結(jié)構(gòu)圖�����。具體來(lái)說(shuō)�����,本發(fā)明提出的電視操作系統(tǒng)(TVOS)的安全發(fā)布系統(tǒng)由注冊(cè)服務(wù)器���、檢測(cè)中心�、安全管控服務(wù)器和發(fā)布服務(wù)器組成。其中��,所述注冊(cè)服務(wù)器�,用于用戶(hù)注冊(cè)和提交待發(fā)布的應(yīng)用。所述檢測(cè)中心��,只對(duì)具有數(shù)字簽名的應(yīng)用進(jìn)行電視操作系統(tǒng)安全檢測(cè)�。任何第三方應(yīng)用發(fā)布前必須經(jīng)過(guò)電視操作系統(tǒng)的檢測(cè)中心的安全性檢測(cè)。其中����,應(yīng)用軟件的安全測(cè)試,主要包括功能性測(cè)試�����、性能測(cè)試和基于異常的檢測(cè)����。基于異常的檢測(cè)技術(shù)則是先定義ー 組系統(tǒng)“正?��!鼻闆r的數(shù)值����,然后將系統(tǒng)運(yùn)行時(shí)的數(shù)值與所定義的“正常”情況比較�����,通過(guò)該方法檢測(cè)電視操作系統(tǒng)的應(yīng)用是否存在內(nèi)存泄露�、資源非法使用等。所述安全管控服務(wù)器���,當(dāng)檢測(cè)通過(guò)后由安全管控服務(wù)器對(duì)待發(fā)布的應(yīng)用軟件進(jìn)行注冊(cè)和簽名授權(quán)���。所述發(fā)布服務(wù)器,用于上載經(jīng)過(guò)軟件注冊(cè)和簽名授權(quán)的應(yīng)用����,位于發(fā)布服務(wù)器上的應(yīng)用可進(jìn)ー步提供給合法終端用戶(hù)進(jìn)行隨時(shí)隨地的下載和安裝�����。本發(fā)明的具體實(shí)現(xiàn)方式如下1�、進(jìn)行資源聲明電視操作系統(tǒng)(TVOS)基于LINUX操作系統(tǒng),井分為系統(tǒng)管理框架和資源管理框架�����,由系統(tǒng)管理框架實(shí)施應(yīng)用的進(jìn)程調(diào)度,并由資源管理框架實(shí)施資源分配��、資源監(jiān)控和資源回收����。該操作系統(tǒng)面向融合網(wǎng)絡(luò),對(duì)應(yīng)用是開(kāi)放的����,既有內(nèi)置業(yè)務(wù)程序,也支持第三方軟件的下載和運(yùn)行���。應(yīng)用可能會(huì)在執(zhí)行中發(fā)生變異或者出現(xiàn)意外的邏輯錯(cuò)誤�,進(jìn)而對(duì)電視操作系統(tǒng)資源實(shí)施非法訪問(wèn)�����,最終對(duì)電視操作系統(tǒng)安全造成威脅�。本發(fā)明采用資源聲明的方法來(lái)解決該問(wèn)題,保護(hù)系統(tǒng)的安全����。資源聲明方法所采用的資源聲明用于表明某個(gè)應(yīng)用運(yùn)行時(shí)所需要的終端資源的最大使用量�。本發(fā)明的技術(shù)方案為某一具體應(yīng)用在電視操作系統(tǒng)上運(yùn)行之前����,需提供該應(yīng)用對(duì)應(yīng)的軟件對(duì)數(shù)字電視終端資源的資源聲明。所述數(shù)字電視終端資源包括CPU�、內(nèi)存、網(wǎng)絡(luò)帶寬��、圖形資源����、音視頻解碼器、調(diào)諧模塊和/或磁盤(pán)存儲(chǔ)空間等等��。當(dāng)電視操作系統(tǒng)的系統(tǒng)管理框架調(diào)度某個(gè)具體應(yīng)用吋���,首先讀取該應(yīng)用的資源聲明�����,井向資源管理框架申請(qǐng)所需的資源。如果資源申請(qǐng)成功��,該應(yīng)用將被執(zhí)行��。如果該應(yīng)用在執(zhí)行過(guò)程中發(fā)生了對(duì)資源的非法請(qǐng)求或占用,系統(tǒng)管理框架就會(huì)終止該應(yīng)用����,同時(shí)釋放相應(yīng)的資源。為方便描述���,本發(fā)明實(shí)施例首先將數(shù)字電視終端的資源分為A類(lèi)和B類(lèi)���,其定義為A類(lèi)資源可根據(jù)應(yīng)用代碼中的調(diào)用情況統(tǒng)計(jì)其使用量的資源。B類(lèi)資源難以統(tǒng)計(jì)其使用量����,但可以通過(guò)實(shí)時(shí)監(jiān)測(cè)獲知其被使用情況的資源。根據(jù)上面的定義��,CPU�����、內(nèi)存和網(wǎng)絡(luò)帶寬是B類(lèi)資源�,其余數(shù)字電視終端的資源為A 類(lèi)資源。2��、資源聲明的產(chǎn)生方法電視操作系統(tǒng)上運(yùn)行的應(yīng)用分為兩類(lèi)內(nèi)置應(yīng)用和第三方軟件。根據(jù)本發(fā)明的優(yōu)選實(shí)施例��,這兩類(lèi)應(yīng)用的資源聲明方法是不同的����,具體說(shuō)明如下。(1)內(nèi)置應(yīng)用內(nèi)置應(yīng)用的開(kāi)發(fā)人員使用嵌入式終端芯片的SDK����、LINUX內(nèi)核的系統(tǒng)調(diào)用、C語(yǔ)言庫(kù)函數(shù)等開(kāi)發(fā)應(yīng)用�。內(nèi)置應(yīng)用所占用的A類(lèi)資源可以由應(yīng)用的開(kāi)發(fā)人員來(lái)統(tǒng)計(jì)。內(nèi)置應(yīng)用所占用的B類(lèi)資源需要在終端上運(yùn)行該內(nèi)置應(yīng)用并使用實(shí)時(shí)測(cè)試才能獲得相應(yīng)的資源占用信息��。內(nèi)置應(yīng)用在發(fā)布前要嚴(yán)格進(jìn)行軟件安全測(cè)試���。軟件安全測(cè)試主要包括功能性測(cè)試��、 性能測(cè)試和基于異常的檢測(cè)���。功能測(cè)試用于驗(yàn)證程序代碼在某些典型情況下,其行為是否為預(yù)期的��;還包括產(chǎn)品質(zhì)量�、內(nèi)容審查,主要是軟件是否經(jīng)常死機(jī)���、軟件內(nèi)容是否合法以及該軟件對(duì)電視操作系統(tǒng)其他組件的影響等����。性能測(cè)試是通過(guò)自動(dòng)化的測(cè)試工具模擬多種正常��、峰值以及異常負(fù)載條件來(lái)對(duì)系統(tǒng)的各項(xiàng)性能指標(biāo)進(jìn)行測(cè)試�,例如如負(fù)載測(cè)試和壓カ測(cè)試等。而基于異常的檢測(cè)技術(shù)則是先定義一組系統(tǒng)“正?�!鼻闆r的數(shù)值��,如CPU利用率�、 內(nèi)存利用率和文件校驗(yàn)和等,然后將系統(tǒng)運(yùn)行時(shí)的數(shù)值與所定義的“正?!鼻闆r比較,得出是否有被攻擊的跡象����。通過(guò)該方法檢測(cè)電視操作系統(tǒng)的應(yīng)用是否存在內(nèi)存泄露、資源非法使用等����。根據(jù)安全測(cè)試的結(jié)果,得到應(yīng)用運(yùn)行時(shí)的資源占用信息。統(tǒng)計(jì)出內(nèi)置應(yīng)用對(duì)A類(lèi)和B類(lèi)資源的最大占用值���,從而得到該內(nèi)置應(yīng)用的資源聲明�。(2)第三方應(yīng)用第三方軟件用JAVA等與平臺(tái)無(wú)關(guān)的語(yǔ)言編寫(xiě)���,并由電視操作系統(tǒng)的執(zhí)行引擎來(lái)執(zhí)行��。第三方軟件中可以調(diào)用電視操作系統(tǒng)上的功能組件�����,功能組件通過(guò)資源管理框架訪問(wèn)A類(lèi)資源����。例如�����,DVB功能組件通過(guò)資源管理框架可以訪問(wèn)射頻調(diào)諧與解調(diào)模塊����、解復(fù)用模塊、標(biāo)清或高清音視頻解碼器��、圖形資源。第三方軟件的開(kāi)發(fā)人員并不知道功能組件所調(diào)用的A類(lèi)資源��,也不能將該軟件在電視終端上測(cè)試以統(tǒng)計(jì)其對(duì)B類(lèi)資源的占用情況��。因此����,第三方軟件的資源聲明僅包含其調(diào)用的功能組件����。電視操作系統(tǒng)的安全框架負(fù)責(zé)將第三方軟件的資源聲明(組件聲明,即粗粒度資源聲明)轉(zhuǎn)換為電視操作系統(tǒng)運(yùn)行應(yīng)用時(shí)所需的資源聲明(具體硬件資源�����,即細(xì)粒度的資源聲明)方法如下第三方軟件在開(kāi)發(fā)完成后����,根據(jù)流程(即圖1的流程,軟件必須經(jīng)過(guò)檢測(cè)認(rèn)證后才能發(fā)布)進(jìn)行發(fā)布�。根據(jù)本發(fā)明的一個(gè)實(shí)施例,電視操作系統(tǒng)的安全框架中包含安全發(fā)布系統(tǒng)�,如圖1所示。圖1的安全發(fā)布系統(tǒng)由注冊(cè)服務(wù)器��、檢測(cè)中心、安全管控服務(wù)器和發(fā)布服務(wù)器組成����,其中注冊(cè)服務(wù)器用于用戶(hù)的注冊(cè)和提交待發(fā)布的應(yīng)用。當(dāng)?shù)谌杰浖拈_(kāi)發(fā)完成后��,需要(圖1中的用戶(hù))將軟件和粗粒度資源聲明一同上載到注冊(cè)服務(wù)器����,注冊(cè)服務(wù)器將軟件和粗粒度資源聲明交給檢測(cè)中心,檢測(cè)中心對(duì)該軟件進(jìn)行安全檢測(cè)�,并生成其運(yùn)行所需的細(xì)粒度資源聲明。為生成細(xì)粒度資源聲明�����,檢測(cè)中心會(huì)將第三方軟件在測(cè)試用的電視操作系統(tǒng)的機(jī)頂盒上運(yùn)行��,以測(cè)試其對(duì)B類(lèi)資源的占用情況���,估算出這些資源的最大使用量�,寫(xiě)入細(xì)粒度資源聲明���。根據(jù)功能組件與A類(lèi)資源的映射關(guān)系���,粗粒度資源聲明可以轉(zhuǎn)換為A類(lèi)資源聲明���,寫(xiě)入細(xì)粒度資源聲明。檢測(cè)通過(guò)后由安全管控服務(wù)器對(duì)待發(fā)布的軟件進(jìn)行注冊(cè)和簽名授權(quán)�����,然后上載到發(fā)布服務(wù)器以提供給合法終端用戶(hù)進(jìn)行隨時(shí)隨地的下載和安裝��。第三方軟件的細(xì)粒度資源聲明也是由A類(lèi)和B類(lèi)資源聲明組成�。3�、基于資源聲明的安全運(yùn)行流程作為范例,圖2中顯示了某單個(gè)應(yīng)用基于資源聲明的安全運(yùn)行流程�。要運(yùn)行ー個(gè)應(yīng)用吋,首先解析得到應(yīng)用的資源聲明信息����,即聲明的組件信息,并且由運(yùn)行訪問(wèn)控制器根據(jù)嵌入式電視操作中的能力與資源的對(duì)應(yīng)關(guān)系表���,即ー個(gè)能力和權(quán)限的對(duì)應(yīng)關(guān)系(比如是固定的�,說(shuō)明某個(gè)權(quán)限具有哪些能力)���;通過(guò)與規(guī)則的對(duì)比��,可以知道這個(gè)應(yīng)用是否具有它所需要的能力所要求的權(quán)限��;從而決定該應(yīng)用是否可以運(yùn)行�����。步驟1 當(dāng)系統(tǒng)管理框架確定要運(yùn)行ー應(yīng)用吋���,首先讀取應(yīng)用的資源聲明����,即聲明的組件信息����,并轉(zhuǎn)換為電視操作系統(tǒng)運(yùn)行應(yīng)用時(shí)所需的細(xì)粒度化的資源聲明,例如調(diào)諧模塊可再細(xì)粒度化為T(mén)UNER/DEMOD/DEMUX(調(diào)諧/解調(diào)/解復(fù)用)資源��。步驟2 將資源聲明提供給資源管理框架�����。步驟3 資源管理框架統(tǒng)計(jì)當(dāng)前可用資源�。步驟4:并與該應(yīng)用所聲明的各項(xiàng)資源的最大值進(jìn)行比較����;當(dāng)沒(méi)有足夠的可用資源時(shí)��,確定不執(zhí)行該應(yīng)用����。步驟5 當(dāng)有足夠的可用資源吋,確定運(yùn)行該應(yīng)用���。步驟6 接下來(lái)��,資源管理框架動(dòng)態(tài)地申請(qǐng)A類(lèi)資源;步驟7 然后判斷申請(qǐng)的A類(lèi)資源是否超過(guò)聲明的最大值����;如果判斷未超過(guò),則可以繼續(xù)申請(qǐng)相應(yīng)資源�����,并正常運(yùn)行該應(yīng)用���。步驟8 否則資源管理框架向系統(tǒng)管理框架發(fā)出報(bào)警消息��,表示該應(yīng)用發(fā)生了非法的資源訪問(wèn)�,系統(tǒng)管理框架在收到報(bào)警消息后,將通知資源管理框架回收應(yīng)用所占用的資源并終止該應(yīng)用的運(yùn)行����。步驟9 此外,為了實(shí)現(xiàn)資源管理框架對(duì)內(nèi)存��、線程等資源的實(shí)時(shí)檢測(cè)�����,對(duì)LINUX標(biāo)準(zhǔn)庫(kù)libc�、pthread等某些函數(shù)進(jìn)行特定的修改,在其中増加相應(yīng)的標(biāo)識(shí)信息����,以便當(dāng)系統(tǒng)調(diào)用該函數(shù)時(shí),對(duì)內(nèi)存等資源的使用情況進(jìn)行詳細(xì)的統(tǒng)計(jì)����,從而實(shí)現(xiàn)對(duì)資源的實(shí)時(shí)監(jiān)控;在應(yīng)用執(zhí)行過(guò)程中����,應(yīng)用對(duì)B類(lèi)資源的占用將受到資源管理框架的實(shí)時(shí)監(jiān)控�����。步驟10 判斷該應(yīng)用對(duì)B類(lèi)資源的使用量是否超過(guò)聲明值���,當(dāng)未超過(guò)時(shí),正常運(yùn)行該應(yīng)用�����,否則轉(zhuǎn)到步驟8�。總之����,本發(fā)明提供ー種嵌入式終端電視操作系統(tǒng)基于資源聲明的應(yīng)用安全監(jiān)控方法,系統(tǒng)管理框架根據(jù)應(yīng)用的資源聲明信息來(lái)進(jìn)行安全監(jiān)控��。電視操作系統(tǒng)通過(guò)對(duì)LINUX 標(biāo)準(zhǔn)庫(kù)進(jìn)行特定的修改���,從而實(shí)現(xiàn)對(duì)資源進(jìn)行監(jiān)控。系統(tǒng)管理框架在后臺(tái)運(yùn)行��,且可以在任何時(shí)刻關(guān)閉其他進(jìn)程(如應(yīng)用異常),并釋放相應(yīng)資源�。系統(tǒng)管理框架對(duì)每個(gè)應(yīng)用采用單獨(dú)的進(jìn)程來(lái)實(shí)現(xiàn),對(duì)于可分配資源���,如內(nèi)存等�����,當(dāng)某個(gè)應(yīng)用運(yùn)行時(shí)申請(qǐng)的資源超過(guò)了資源聲明時(shí)所聲明的資源吋�,或者對(duì)于僅能監(jiān)測(cè)的資源���,由資源監(jiān)控模塊對(duì)該應(yīng)用進(jìn)行實(shí)時(shí)監(jiān)控���, 當(dāng)發(fā)現(xiàn)應(yīng)用對(duì)此類(lèi)資源的占用量超過(guò)聲明值時(shí),系統(tǒng)管理框架均退出該應(yīng)用�����,并釋放相應(yīng)資源信息����。同樣當(dāng)應(yīng)用使用了電視操作系統(tǒng)的某些組件模塊而未進(jìn)行相應(yīng)組件模塊的聲明吋,則系統(tǒng)管理框架也對(duì)該進(jìn)程進(jìn)行關(guān)閉�����,并回收相應(yīng)資源。系統(tǒng)管理框架所回收的資源����,可應(yīng)用于其它前臺(tái)進(jìn)程應(yīng)用。以上實(shí)施條例僅用以說(shuō)明本發(fā)明的技術(shù)方案而非對(duì)其限制�,并且在應(yīng)用上可以延伸到其他的修改、變化��、應(yīng)用和實(shí)施��,同時(shí)認(rèn)為所有這樣的修改�����、變化����、應(yīng)用、實(shí)施都在本發(fā)明的范圍內(nèi)�。
權(quán)利要求
1.ー種基于資源聲明的應(yīng)用安全監(jiān)控方法,該方法用于電視操作系統(tǒng)的第三方應(yīng)用的安全發(fā)布與安全運(yùn)行�����,所述方法包括(1)生成某一第三方應(yīng)用的資源聲明��,所述資源聲明用于表明該應(yīng)用在運(yùn)行時(shí)所需的終端資源的最大量����;(2)運(yùn)行所述的應(yīng)用吋,首先讀取所述的資源聲明�����;(3)判斷第三方應(yīng)用向嵌入式終端電視操作系統(tǒng)申請(qǐng)的資源或者運(yùn)行該第三方應(yīng)用所占用資源的是否超過(guò)該資源聲明中表明的該資源使用量的最大值��;(4)如果未超過(guò)則繼續(xù)執(zhí)行該應(yīng)用直至運(yùn)行結(jié)束��,否則終止執(zhí)行該應(yīng)用�,并釋放相應(yīng)的資源。
2.根據(jù)權(quán)利要求1的應(yīng)用安全監(jiān)控方法���,其特征在于��,對(duì)每個(gè)應(yīng)用采用單獨(dú)的進(jìn)程來(lái)實(shí)現(xiàn)安全監(jiān)控��。
3.根據(jù)權(quán)利要求1的應(yīng)用安全監(jiān)控方法����,其特征在干,所述方法還包括如下步驟判斷所述應(yīng)用是否使用了該資源聲明中未聲明的電視操作系統(tǒng)的資源�,當(dāng)確定該應(yīng)用使用了電視操作系統(tǒng)的資源而未在該資源聲明中聲明吋,則關(guān)閉該進(jìn)程并回收相應(yīng)資源�。
4.根據(jù)權(quán)利要求1的應(yīng)用安全監(jiān)控方法,其特征在干�����,所述步驟( 還包括將所述資源聲明轉(zhuǎn)換為電視操作系統(tǒng)運(yùn)行該應(yīng)用時(shí)所需要的細(xì)粒度資源聲明�。
5.根據(jù)權(quán)利要求1的應(yīng)用安全監(jiān)控方法,其特征在干���,在運(yùn)行該應(yīng)用的過(guò)程中�,實(shí)時(shí)監(jiān)控該應(yīng)用對(duì)特定資源的占用��,一旦確定該應(yīng)用對(duì)特定資源的占用量超過(guò)該資源聲明中的最大量吋����,則終止該應(yīng)用的運(yùn)行,并釋放相應(yīng)資源�。
6.ー種基于資源聲明的應(yīng)用安全監(jiān)控系統(tǒng),該系統(tǒng)用于電視操作系統(tǒng)的第三方業(yè)務(wù)的安全發(fā)布和安全運(yùn)行�����,所述系統(tǒng)包含用于用戶(hù)注冊(cè)和提交待發(fā)布的應(yīng)用注冊(cè)服務(wù)器, 用于只對(duì)具有數(shù)字簽名的應(yīng)用進(jìn)行電視操作系統(tǒng)安全檢測(cè)的檢測(cè)中心�, 當(dāng)檢測(cè)通過(guò)后由安全管控服務(wù)器對(duì)待發(fā)布的應(yīng)用軟件進(jìn)行注冊(cè)和簽名授權(quán)的安全管控服務(wù)器���,和用于上載經(jīng)過(guò)軟件注冊(cè)和簽名授權(quán)的應(yīng)用���,位于發(fā)布服務(wù)器上的應(yīng)用可進(jìn)ー步提供給合法終端用戶(hù)進(jìn)行隨時(shí)隨地的下載和安裝的發(fā)布服務(wù)器;其特征在干��,所述系統(tǒng)還包含資源聲明生成及發(fā)送模塊��,該模塊用于當(dāng)開(kāi)發(fā)第三方軟件時(shí)生成針對(duì)該應(yīng)用的粗粒度資源聲明�����;其中���,當(dāng)?shù)谌綉?yīng)用的開(kāi)發(fā)完成后��,將應(yīng)用對(duì)應(yīng)的軟件和粗粒度資源聲明一同上載到注冊(cè)服務(wù)器�����,注冊(cè)服務(wù)器將軟件和粗粒度資源聲明交給檢測(cè)中心���;檢測(cè)中心對(duì)該應(yīng)用進(jìn)行安全檢測(cè)����,并生成其運(yùn)行所需的細(xì)粒度資源聲明�; 檢測(cè)通過(guò)后由安全管控服務(wù)器對(duì)待發(fā)布的應(yīng)用進(jìn)行注冊(cè)和簽名授權(quán),然后上載到發(fā)布服務(wù)器以提供給合法終端用戶(hù)進(jìn)行隨時(shí)隨地的下載和安裝�;和判斷決策模塊,用于判斷第三方應(yīng)用向嵌入式終端電視操作系統(tǒng)申請(qǐng)的資源或者運(yùn)行該第三方應(yīng)用所占用資源的是否超過(guò)該資源聲明中表明的該資源使用量的最大值�,如果未超過(guò)則繼續(xù)執(zhí)行該應(yīng)用直至運(yùn)行結(jié)束,否則終止執(zhí)行該應(yīng)用���,并釋放相應(yīng)的資源����。
7.根據(jù)權(quán)利要求6所述的基于資源聲明的應(yīng)用安全監(jiān)控系統(tǒng)��,其特征在干���,所述生成細(xì)粒度資源聲明具體步驟為檢測(cè)中心將第三方軟件在安裝了電視操作系統(tǒng)的機(jī)頂盒上運(yùn)行��,以測(cè)試其對(duì)B類(lèi)資源的占用情況�����,估算出這些資源的最大使用量�,寫(xiě)入細(xì)粒度資源聲明;根據(jù)功能組件與A類(lèi)資源的映射關(guān)系��,粗粒度資源聲明可以轉(zhuǎn)換為A類(lèi)資源聲明��,寫(xiě)入細(xì)粒度資源聲明�����;其中�,嵌入式數(shù)字電視終端的CPU�、內(nèi)存和網(wǎng)絡(luò)帶寬是B類(lèi)資源,其余數(shù)字電視終端的資源為A類(lèi)資源��。
8.根據(jù)權(quán)利要求6的應(yīng)用安全監(jiān)控系統(tǒng)���,其特征在于��,對(duì)每個(gè)應(yīng)用采用單獨(dú)的進(jìn)程來(lái)實(shí)現(xiàn)安全監(jiān)控�����。
9.根據(jù)權(quán)利要求6的應(yīng)用安全監(jiān)控系統(tǒng)�,其特征在干,所述判斷決策模塊還用于判斷所述應(yīng)用是否使用了該資源聲明中未聲明的電視操作系統(tǒng)的某些資源��,當(dāng)確定該應(yīng)用使用了電視操作系統(tǒng)的某些資源而未在該資源聲明中聲明吋�����,則關(guān)閉該進(jìn)程并回收相應(yīng)資源���。
10.根據(jù)權(quán)利要求6的應(yīng)用安全監(jiān)控系統(tǒng)���,其特征在干,所述判斷決策模塊還用于在運(yùn)行應(yīng)用的過(guò)程中��,實(shí)時(shí)監(jiān)控該應(yīng)用對(duì)特定資源的占用���,一旦確定該應(yīng)用對(duì)特定資源的占用量超過(guò)該資源聲明中的最大量時(shí)�����,則終止該應(yīng)用的運(yùn)行��,并釋放相應(yīng)資源�。
全文摘要
本發(fā)明公開(kāi)了一種基于資源聲明的應(yīng)用安全監(jiān)控方法及系統(tǒng),該方法用于電視操作系統(tǒng)的第三方應(yīng)用的安全發(fā)布與安全運(yùn)行�����,所述方法包括(1)生成某一第三方應(yīng)用的資源聲明���,所述資源聲明用于表明該應(yīng)用在運(yùn)行時(shí)所需的終端資源的最大量����;(2)運(yùn)行所述的應(yīng)用時(shí)���,首先讀取所述的資源聲明;(3)判斷第三方應(yīng)用向嵌入式終端電視操作系統(tǒng)申請(qǐng)的資源或者運(yùn)行該第三方應(yīng)用所占用資源的是否超過(guò)該資源聲明中表明的該資源使用量的最大值����;(4)如果未超過(guò)則繼續(xù)執(zhí)行該應(yīng)用直至運(yùn)行結(jié)束,否則終止執(zhí)行該應(yīng)用���,并釋放相應(yīng)的資源�。本發(fā)明由電視操作系統(tǒng)快速進(jìn)行安全監(jiān)控��,可用于當(dāng)運(yùn)行第三方應(yīng)用時(shí)��,保證對(duì)嵌入式終端操作系統(tǒng)及其內(nèi)置業(yè)務(wù)的安全性。
文檔編號(hào)G06F11/36GK102567175SQ201110402870
公開(kāi)日2012年7月11日 申請(qǐng)日期2011年12月7日 優(yōu)先權(quán)日2010年12月8日
發(fā)明者張輝, 王皓輪, 鄧峰, 郭志川 申請(qǐng)人:中國(guó)科學(xué)院聲學(xué)研究所