本申請(qǐng)要求2015年6月30日提交的俄羅斯聯(lián)邦的專利申請(qǐng)No.2015125968的權(quán)益，其內(nèi)容通過引用被合并于此。

技術(shù)領(lǐng)域

本發(fā)明一般地涉及信息系統(tǒng)安全，并且更具體地，涉及一種一般信息處理功能與安全保障運(yùn)算分離的安全布置。

發(fā)明背景

現(xiàn)今的計(jì)算機(jī)和軟件技術(shù)解決著廣泛的任務(wù)，從簡單的玩游戲或創(chuàng)建文檔，到非常復(fù)雜的，如控制工業(yè)設(shè)施。這種計(jì)算機(jī)化急劇地提高了保證計(jì)算機(jī)安全的必要性。安全性對(duì)家庭計(jì)算機(jī)用戶來說很重要，因?yàn)閻阂獾能浖?，例如病毒，?jì)算機(jī)蠕蟲及木馬程序非常普遍，且可以成為制造網(wǎng)絡(luò)犯罪的工具，例如從銀行賬戶中盜竊資金。但安全事項(xiàng)對(duì)關(guān)鍵基礎(chǔ)設(shè)施及工業(yè)系統(tǒng)來說尤其重要。例如，震網(wǎng)計(jì)算機(jī)蠕蟲證明已經(jīng)存在軟件可以被用作非法數(shù)據(jù)收集及破壞工業(yè)公司、發(fā)電廠、機(jī)場(chǎng)和其他關(guān)鍵設(shè)備設(shè)施的自動(dòng)處理控制系統(tǒng)(APCS)的工具。確保安全是一個(gè)非常重要的話題，在家庭計(jì)算機(jī)及工業(yè)系統(tǒng)的操作中應(yīng)被及時(shí)解決。

目前，軟件具有自己的安全相關(guān)的功能，可以與操作系統(tǒng)的安全功能分離或結(jié)合。換句話說，在今天的操作系統(tǒng)和軟件中，安全和功能的邏輯可以被聯(lián)合起來。這種方法有其缺點(diǎn)。例如，犯罪者利用功能性邏輯中的錯(cuò)誤和零日漏洞通?？梢岳@開指定的安全等級(jí)。例如TCP/IP協(xié)議棧，一組網(wǎng)絡(luò)協(xié)議，其中一個(gè)協(xié)議位于低級(jí)操作“以上”的高級(jí)操作中，其使用封裝機(jī)制。這組協(xié)議功能性上被設(shè)計(jì)用來傳遞網(wǎng)絡(luò)上的信息。同時(shí)，微軟公司的操作系統(tǒng)由于在IPv4數(shù)據(jù)包的處理過程中TCP/IP協(xié)議棧中的錯(cuò)誤而包含隱患。遠(yuǎn)程用戶可以使用特別創(chuàng)建的數(shù)據(jù)包結(jié)束系統(tǒng)操作。另外一個(gè)例子是NTFS文件系統(tǒng)，其具有自己的安全機(jī)制-例如，訪問分化。因此，啟動(dòng)磁盤上信息塊訪問的NTFS驅(qū)動(dòng)程序也執(zhí)行訪問控制。如果這些安全功 能被從驅(qū)動(dòng)程序中移除，則NTFS文件系統(tǒng)將會(huì)容易受到許多可能的攻擊。

此外，目前存在的OS的保護(hù)機(jī)制不足以面對(duì)施加于信息系統(tǒng)上的機(jī)密性和完整性的請(qǐng)求。信息系統(tǒng)的多樣性和其中發(fā)起的應(yīng)用創(chuàng)造了大量的不同的安全請(qǐng)求，使多種形式的安全策略成為必須。一種安全體系架構(gòu)必須是充分可靠的，并可以靈活地支持大量的安全策略。

作為一種自動(dòng)化系統(tǒng)的安全體系架構(gòu)的例子，F(xiàn)lask授權(quán)訪問控制體系架構(gòu)被提出；它被國家安全局(NSA)及安全計(jì)算公司(SCC)聯(lián)合開發(fā)，且以類型強(qiáng)制(TE)機(jī)制為基礎(chǔ)。所述Flask體系架構(gòu)被集成到Linux OS的內(nèi)核中。這一計(jì)劃被命名為SELinux(安全增強(qiáng)Linux)。

在Flask體系架構(gòu)下，一個(gè)單獨(dú)的組件被分派到OS中，稱為安全服務(wù)器，安全策略被實(shí)施在其中。安全服務(wù)器提供了對(duì)OS其他部件的一種特殊的編程接口，從而允許其他部件接受安全策略解決方案。OS的其他組件被稱為對(duì)象管理器。例如，文件系統(tǒng)是一個(gè)文件管理器。Flask體系架構(gòu)只界定了安全服務(wù)器為對(duì)象管理器提供的接口。在SELinux中，安全服務(wù)器支持以下三種訪問控制機(jī)制：類型強(qiáng)制(TE-類型強(qiáng)制)，基于角色的控制(RBAC-基于角色的訪問控制)，和多級(jí)安全(MLS-多級(jí)安全)。這些安全模型在體系架構(gòu)中是難寫的，且這一表單的任意變化都將導(dǎo)致必須在體系架構(gòu)的主要組件中做出改變(即在安全服務(wù)器和對(duì)象管理器中)。

上述的例子遭受了功能和安全之間缺乏差異化的問題。任何既保證功能又保證安全的軟件模塊如果被犯罪者利用，可讓犯罪者繞開系統(tǒng)安全，且例如提升執(zhí)行犯罪者動(dòng)作需要的進(jìn)程的特權(quán)。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的一個(gè)方面是針對(duì)用于提供一種計(jì)算機(jī)安全體系架構(gòu)的系統(tǒng)。所述系統(tǒng)包括計(jì)算硬件，其包括至少一個(gè)處理器，數(shù)據(jù)存儲(chǔ)器，及與所述至少一個(gè)處理器相連接的輸入/輸出設(shè)備。所述數(shù)據(jù)存儲(chǔ)器包括一個(gè)操作系統(tǒng)和多個(gè)由所述至少一個(gè)處理器執(zhí)行的主題實(shí)體。主題實(shí)體的例子包括計(jì)算機(jī)系統(tǒng)，應(yīng)用程序，進(jìn)程，網(wǎng)絡(luò)設(shè)備，移動(dòng)電話，工業(yè)基礎(chǔ)設(shè)施中的多種設(shè)備，等等。

所述數(shù)據(jù)存儲(chǔ)進(jìn)一步包括一個(gè)安全子系統(tǒng)，由所述至少一個(gè)處理器執(zhí)行，當(dāng)其被執(zhí)行時(shí)會(huì)引起計(jì)算硬件實(shí)現(xiàn)安全服務(wù)器引擎，多個(gè)網(wǎng)關(guān)引擎和安全強(qiáng)制引擎。

所述安全服務(wù)器配置為將從定義一個(gè)或多個(gè)安全性策略的一組規(guī)則中所選出的規(guī)則應(yīng)用到給定的一組安全環(huán)境參數(shù)。這產(chǎn)生了安全裁定，其代表主題實(shí)體請(qǐng)求的一個(gè)特定動(dòng)作是否是可允許的，一個(gè)或多個(gè)安全策略中的每一個(gè)與對(duì)應(yīng)的通信接口相關(guān)聯(lián)。

所述多個(gè)網(wǎng)關(guān)引擎中的每一個(gè)都至少與一個(gè)主題實(shí)體關(guān)聯(lián)，且專用于與所述安全服務(wù)器相連接。每一個(gè)所述網(wǎng)關(guān)引擎都配置為監(jiān)控相關(guān)聯(lián)的主題實(shí)體所請(qǐng)求的動(dòng)作，并且對(duì)于每個(gè)檢測(cè)到的被請(qǐng)求的動(dòng)作，識(shí)別安全環(huán)境，基于對(duì)應(yīng)的已識(shí)別的安全環(huán)境，針對(duì)被請(qǐng)求的動(dòng)作，確定適用的安全策略，并且通過對(duì)應(yīng)于適用的安全策略的通信接口從安全服務(wù)器引擎請(qǐng)求安全裁定。

所述安全強(qiáng)制引擎配置為根據(jù)所述安全裁定，允許或拒絕每一個(gè)被請(qǐng)求的動(dòng)作。

在本發(fā)明的一個(gè)相關(guān)方面中，一種用于執(zhí)行計(jì)算機(jī)安全體系架構(gòu)的方法包括將從定義一個(gè)或多個(gè)安全策略的一組規(guī)則中選定的規(guī)則應(yīng)用到給定的一組安全環(huán)境參數(shù)，以產(chǎn)生安全裁定，每個(gè)安全裁定代表主題實(shí)體請(qǐng)求的特定的動(dòng)作是否是可允許的，并且所述一個(gè)或多個(gè)安全策略中的每一個(gè)與對(duì)應(yīng)的通信接口相關(guān)聯(lián)。所述方法進(jìn)一步包括執(zhí)行多個(gè)網(wǎng)關(guān)引擎，每個(gè)網(wǎng)關(guān)引擎與至少一個(gè)所述主題實(shí)體相關(guān)聯(lián)且專用于與所述安全服務(wù)器相連接。所述網(wǎng)關(guān)引擎中的每一個(gè)執(zhí)行對(duì)相關(guān)主題實(shí)體請(qǐng)求的動(dòng)作的監(jiān)控，并且針對(duì)每一個(gè)被檢測(cè)到的被請(qǐng)求的動(dòng)作，識(shí)別安全環(huán)境。

基于對(duì)應(yīng)的已識(shí)別的安全環(huán)境，一種適用的安全策略由所述被請(qǐng)求的動(dòng)作決定，并且經(jīng)由對(duì)應(yīng)于所述適用的安全策略的通信接口，從所產(chǎn)生的安全裁定中獲得安全裁定。根據(jù)所述安全裁定，一個(gè)安全強(qiáng)制決定被做出，以允許或拒絕每一個(gè)被請(qǐng)求的動(dòng)作。

附圖說明

聯(lián)系附圖考慮以下本發(fā)明多種實(shí)施例的詳細(xì)描述，本發(fā)明應(yīng)被更完全地理解，其中：

圖1是說明根據(jù)本發(fā)明的一個(gè)實(shí)施例的實(shí)現(xiàn)一種安全體系架構(gòu)的操作系統(tǒng)的應(yīng)用操作的基本例子的示圖。

圖2是說明根據(jù)一個(gè)實(shí)施例的一種示例性安全系統(tǒng)的示圖。

圖3是說明根據(jù)本發(fā)明一個(gè)實(shí)施例的一種安全服務(wù)器的示圖。

圖4是說明根據(jù)本發(fā)明一個(gè)實(shí)施例的一種網(wǎng)關(guān)的示圖。

圖5是說明根據(jù)本發(fā)明的某些方面的安全體系架構(gòu)的基本實(shí)施例的示圖。

圖6是說明一種計(jì)算機(jī)系統(tǒng)600的示圖，此處描述的本發(fā)明的某些方面會(huì)根據(jù)不同的實(shí)施例被執(zhí)行在其上。

本發(fā)明可經(jīng)受多種修改和替換形式，其細(xì)節(jié)已通過附圖中的示例展示，且將會(huì)被詳細(xì)描述。然而應(yīng)該被理解的是，本發(fā)明不限于某個(gè)特定實(shí)施例中描述的發(fā)明。相反，本發(fā)明應(yīng)覆蓋屬于本發(fā)明精神和范圍內(nèi)的、如由所附的權(quán)利要求書限定的所有的修改，等同，和替代。

具體實(shí)施方式

本發(fā)明的方面針對(duì)一種新的安全體系架構(gòu)范例。本發(fā)明的方面可作為計(jì)算機(jī)系統(tǒng)的部分被實(shí)施。所述計(jì)算機(jī)系統(tǒng)可以是物理的機(jī)器，或者可以被分配于多種物理機(jī)器中，例如通過角色或功能，或通過云計(jì)算分布式模型中的處理線程。在多種實(shí)施例中，本發(fā)明的方面可以配置為運(yùn)行在依次由一個(gè)或多個(gè)物理計(jì)算機(jī)執(zhí)行的虛擬計(jì)算機(jī)中。本領(lǐng)域技術(shù)人員將理解，本發(fā)明的特征可由多種不同合適的機(jī)器實(shí)現(xiàn)來實(shí)現(xiàn)。

根據(jù)多種實(shí)施例的系統(tǒng)包括多種引擎，其中每一個(gè)被構(gòu)造，編程，配置，或適配為實(shí)施一種功能或一組功能。此處使用的術(shù)語引擎意味著現(xiàn)實(shí)世界的設(shè)備，組件或使用硬件實(shí)現(xiàn)的組件的布置，例如通過專用集成電路(ASIC)或現(xiàn)場(chǎng)可編輯門陣列(FPGA)，例如，或作為硬件和軟件的結(jié)合，例如通過微處理器系統(tǒng)及一組程序指令，使引擎適用于實(shí)現(xiàn)某種特定功能，其(在被執(zhí)行時(shí))將微處理器系統(tǒng)轉(zhuǎn)換為特殊專用設(shè)備。引擎還可以被實(shí)現(xiàn)為結(jié)合了兩個(gè)單獨(dú)由硬件輔助的特定功能，或由硬件和軟件結(jié)合輔助的其他功能。在特定的實(shí)施中，至少一部分，在某些情況下，全部的引擎可以被執(zhí)行在一個(gè)或多個(gè)計(jì)算機(jī)的處理器上，其執(zhí)行操作系統(tǒng)，系統(tǒng)程序，和應(yīng)用程序，且使用多重任務(wù)處理，多線程，分布式的(例如簇，對(duì)等層，云等)程序，其中適當(dāng)?shù)?，或其他此類技術(shù)實(shí)施所述引擎。由此，每個(gè)引擎可以實(shí)現(xiàn)為多種適當(dāng)?shù)呐渲?，且通常不?yīng)被限定為任意此處例示的具體實(shí)施方式，除非該限制被清楚地表明。而且，一個(gè)引擎自身可以由不止一個(gè)子引擎組成，每個(gè)子引擎都應(yīng)被視為一個(gè)獨(dú)立的引擎。此外，在此處描述的實(shí)施例中，不同引擎中的每一個(gè)都符合一種特定的功能；然而， 應(yīng)該被理解，在其他構(gòu)想的實(shí)施例中，每個(gè)功能都可被分配給不止一個(gè)引擎。類似地，在其他構(gòu)想的實(shí)施例中，多重定義功能可以由執(zhí)行這些多重功能的單獨(dú)引擎執(zhí)行，可能與其他功能一起，或不同地分散在一組引擎中，而非此處特別地闡明的例子。

本發(fā)明的實(shí)施例在此處被描述，針對(duì)操作系統(tǒng)的環(huán)境中的安全體系架構(gòu)及微內(nèi)核體系架構(gòu)，以及更具體地，用一個(gè)描述在這種操作系統(tǒng)中的進(jìn)程間通信的示例。進(jìn)程間通信(IPC)是一組用于提供一個(gè)或多個(gè)進(jìn)程中多線程間數(shù)據(jù)交換的程序。一個(gè)或多個(gè)被網(wǎng)絡(luò)連接的計(jì)算機(jī)可以啟動(dòng)進(jìn)程。

示例性安全體系架構(gòu)的一個(gè)基本原則是將信息處理功能與根據(jù)預(yù)先指定的請(qǐng)求的這種處理的安全保證功能分離。

根據(jù)一個(gè)實(shí)施例，為了在安全體系架構(gòu)中實(shí)施這種原則，基于預(yù)先指定的策略計(jì)算裁定的責(zé)任與申請(qǐng)裁定的責(zé)任不同。所述系統(tǒng)的組件，安全服務(wù)器，負(fù)責(zé)計(jì)算解決方案，例如被計(jì)算的裁定或被計(jì)算的決定。在一個(gè)實(shí)施例中，與此服務(wù)器的交流通過專用的信道發(fā)生。根據(jù)安全服務(wù)器做出的決定的動(dòng)作的執(zhí)行由OS微內(nèi)核支持的安全基礎(chǔ)設(shè)施執(zhí)行。根據(jù)一個(gè)實(shí)施例，為了顯示操作系統(tǒng)中的動(dòng)作在用于決定裁定的安全策略上，安全網(wǎng)關(guān)(下文稱為“網(wǎng)關(guān)”)被用于系統(tǒng)中的活動(dòng)實(shí)體。例如，安全網(wǎng)關(guān)可被系統(tǒng)中的活動(dòng)實(shí)體用于映射(或關(guān)聯(lián))實(shí)體所有可能的動(dòng)作與多個(gè)安全策略。相應(yīng)地，所述策略可以接著被用于決定所述裁定。

這類實(shí)施例所描述的方法確保了指定的任務(wù)與外部提供的規(guī)則的一致性。解決問題涉及的實(shí)體可以完全不了解這種規(guī)則或有能力控制它們。任何此類能力必須在安全策略中基于參數(shù)及目標(biāo)系統(tǒng)中定義的責(zé)任被明確定義。

類似地，做決定的系統(tǒng)不具備關(guān)于其控制的實(shí)體的信息，且只被從安全網(wǎng)關(guān)得到的控制所述策略和設(shè)置所需要的信息管理。相應(yīng)地，根據(jù)此實(shí)施例所述安全體系架構(gòu)實(shí)現(xiàn)在授權(quán)控制中隔離責(zé)任的原則。

圖1是說明根據(jù)本發(fā)明一實(shí)施例實(shí)現(xiàn)安全體系架構(gòu)的操作系統(tǒng)應(yīng)用的操作的基本示例的示圖。

圖1中描繪的計(jì)算機(jī)系統(tǒng)環(huán)境，其中此實(shí)施例的示例性系統(tǒng)運(yùn)行在計(jì)算機(jī)系統(tǒng)上，例如PC或服務(wù)器，可以包括操作系統(tǒng)101，若干應(yīng)用104，和一個(gè)安全子系統(tǒng)，其中包括一個(gè)安全服務(wù)器102和網(wǎng)關(guān)103，分別對(duì)應(yīng)于所述應(yīng)用104。

應(yīng)用104代表了任意計(jì)算機(jī)裝置中安裝的應(yīng)用程序。每個(gè)應(yīng)用104都具有自己的功能能力，即它可以執(zhí)行特殊的用戶任務(wù)。而且，應(yīng)用104可以為了其運(yùn)算被設(shè)置為從用戶處接收某種特定類型的信息。應(yīng)用104可以是用于處理文檔的應(yīng)用，圖像編輯器，網(wǎng)絡(luò)瀏覽器，或例如控制一個(gè)工業(yè)工序所要求的任意專用軟件。

操作系統(tǒng)101包括一組互相關(guān)聯(lián)的處理和控制程序，其邏輯上位于計(jì)算機(jī)裝置的組件和應(yīng)用104之間，且被設(shè)計(jì)用于執(zhí)行多種任務(wù)。這些任務(wù)可以連接上述組件或應(yīng)用104。而且，操作系統(tǒng)101完成來自應(yīng)用104請(qǐng)求的執(zhí)行，例如訪問媒體上的數(shù)據(jù)，存儲(chǔ)器的分配和解除分配，數(shù)據(jù)輸入和輸出等。

任意應(yīng)用彼此之間以及與使用編程接口的操作系統(tǒng)通信。在計(jì)算機(jī)系統(tǒng)中，所有的通信被分配一種類型且基于編程接口的使用。例如，應(yīng)用編程接口(API)允許一個(gè)程序訪問另一個(gè)程序以便執(zhí)行某種特殊的操作或獲得對(duì)數(shù)據(jù)的訪問，同時(shí)接受其他程序的請(qǐng)求。為了保證安全，可以檢查使用編程接口的應(yīng)用之間的通信。

在根據(jù)一個(gè)實(shí)施例的安全體系架構(gòu)中，網(wǎng)關(guān)103被用于使用編程接口的應(yīng)用之間的通信。網(wǎng)關(guān)103的目的是提供一個(gè)信道，應(yīng)用104可以通過該信道與操作系統(tǒng)101或另一個(gè)應(yīng)用104通信。每個(gè)應(yīng)用104可以有自己的網(wǎng)關(guān)103。所述網(wǎng)關(guān)103允許分配關(guān)于嘗試執(zhí)行某個(gè)動(dòng)作(即操作)使用指令的安全環(huán)境，例如API調(diào)用，被通過接口發(fā)送。這種安全環(huán)境可以是例如試圖執(zhí)行動(dòng)作的時(shí)間，發(fā)起執(zhí)行動(dòng)作的嘗試的用戶ID，請(qǐng)求的動(dòng)作的環(huán)境中調(diào)用的一個(gè)或多個(gè)調(diào)用方法，實(shí)體開始嘗試執(zhí)行動(dòng)作的一個(gè)標(biāo)識(shí)符，實(shí)體作為實(shí)施動(dòng)作的對(duì)象的標(biāo)識(shí)符，適用環(huán)境變量的狀態(tài)，實(shí)體的狀態(tài)(如果所述實(shí)體是一個(gè)應(yīng)用，其形態(tài)可以是表示應(yīng)用現(xiàn)狀的參數(shù)值，例如“正在運(yùn)行”，或安全模型參數(shù)(例如類型強(qiáng)制型，強(qiáng)制的訪問指示器，用戶的角色(在RBAC模型中)，表明類型的信息，及任意的限制，在會(huì)話中，關(guān)于可用資源的信息，等等)。

另外，所述網(wǎng)關(guān)103包括能夠控制所述應(yīng)用104的操作的規(guī)則的名字，而這些規(guī)則自身是保存在安全服務(wù)器103中的。這種規(guī)則可以指定，例如，允許和禁止被應(yīng)用104使用的接口，當(dāng)使用特定接口被允許的時(shí)間，等等。所述網(wǎng)關(guān)103可以發(fā)送規(guī)則的名字并分配安全環(huán)境到所述安全服務(wù)器102。在另一個(gè)實(shí)施例中，所述規(guī)則可以被規(guī)則標(biāo)識(shí)符，散列值或其他合適的查 找值引用。所述安全服務(wù)器102可以表示為操作系統(tǒng)101中提供的一個(gè)獨(dú)立的模塊。所述安全服務(wù)器102的目的為根據(jù)提供的安全環(huán)境中的參數(shù)檢查規(guī)則的執(zhí)行以便允許或禁止操作，也就是，通過接口發(fā)送的指令的執(zhí)行。如果所述運(yùn)算被安全服務(wù)器102允許，該指令將被所述操作系統(tǒng)101處理。

根據(jù)一個(gè)實(shí)施例的一種典型的安全系統(tǒng)在圖2中被闡明。在該實(shí)施例中，一種微內(nèi)核操作系統(tǒng)和一種進(jìn)程間通信運(yùn)算被描述用以說明。圖2中描繪的安全系統(tǒng)體系架構(gòu)包括一個(gè)微內(nèi)核200，實(shí)體A，B，C分別通過引用數(shù)字201，202，203表明，網(wǎng)關(guān)A，B，C，在211，212，213處表明，對(duì)應(yīng)上述實(shí)體，及安全服務(wù)器210。

所述微內(nèi)核200保證了實(shí)體之間彼此隔離，并提供實(shí)體之間進(jìn)行通信的機(jī)制。因此，所述內(nèi)核200保證所有用作監(jiān)控目的的攔截。實(shí)體是系統(tǒng)的活動(dòng)組件，從安全子系統(tǒng)的立場(chǎng)來看，由安全環(huán)境代表。在其他的方式中，所述實(shí)體的活動(dòng)被顯示在實(shí)體發(fā)起經(jīng)受監(jiān)控的動(dòng)作的能力中。因此，所述由與另一個(gè)實(shí)體或安全系統(tǒng)相關(guān)的實(shí)體執(zhí)行的動(dòng)作是在安全子系統(tǒng)中做出決策的對(duì)象。安全環(huán)境，代表性地例如數(shù)據(jù)結(jié)構(gòu)，由一個(gè)特殊的安全標(biāo)識(shí)符(SID)識(shí)別，這對(duì)于實(shí)體來說是非透明的。在一個(gè)實(shí)施例中，所述SID是經(jīng)受決策的第一基礎(chǔ)組件。該調(diào)用自身以及其屬性是第二基礎(chǔ)組件。

在進(jìn)程間通信中，進(jìn)程被視為實(shí)體，而一組參數(shù)和每個(gè)特定進(jìn)程的屬性被視為安全環(huán)境。實(shí)體還可以是更復(fù)雜的對(duì)象，例如網(wǎng)絡(luò)設(shè)備，個(gè)人計(jì)算機(jī)，移動(dòng)電話或工業(yè)基礎(chǔ)設(shè)施中各種各樣的設(shè)備。因此，所述微內(nèi)核200還可以被設(shè)計(jì)為獨(dú)立的固件復(fù)合體，其用于在信息系統(tǒng)中執(zhí)行通信。

安全子系統(tǒng)中的資源是經(jīng)受安全監(jiān)控的動(dòng)作的對(duì)象，但資源自身不能發(fā)起這種動(dòng)作。資源的一個(gè)例子是文件，可識(shí)別的內(nèi)存區(qū)域，網(wǎng)絡(luò)接口，打印機(jī)，任何其他設(shè)施。資源，正如一個(gè)實(shí)體，從監(jiān)控的角度看，代表性地為使用SID的安全子系統(tǒng)中可識(shí)別的安全環(huán)境。

實(shí)體201，202，203中所有的通信都是嚴(yán)格類型化的，且被用描述接口的規(guī)范的語言描述，例如特殊的接口描述語言或接口定義語言(IDL)。所有此類的通信，在被微內(nèi)核200發(fā)送的時(shí)刻，被使用安全服務(wù)器210檢查。下列代碼可以是IDL語言中描述文件系統(tǒng)實(shí)體接口的最簡單的示例：

上述例子中描述了兩個(gè)接口-主要的接口用于與所述文件系統(tǒng)，I文件系統(tǒng)，和所述安全接口，I文件安全通信。在每個(gè)接口中，三個(gè)主要的通信方法被描述為：打開，讀和寫。作為說明，以下為一個(gè)用IDL語言描述具有鉆孔的帶式運(yùn)輸?shù)膶?shí)體的接口的例子：

所述安全服務(wù)器210可以被視為一個(gè)實(shí)體，即進(jìn)程間通信的示例中的進(jìn)程，存在描述其接口的IDL語言。所述安全服務(wù)器210，及所述微內(nèi)核200，可以被設(shè)計(jì)為一個(gè)獨(dú)立的固件復(fù)合體，其用于檢查自動(dòng)化系統(tǒng)中的消息。所述特殊的CFG語言(安全配置語言)可以被用于描述所述安全服務(wù)器210的安全配置。

所述安全服務(wù)器210的安全配置包括執(zhí)行多種安全策略的規(guī)則?；谒霭踩?wù)器210的配置，特殊網(wǎng)關(guān)211，212和213被建立。在目前的進(jìn)程間通信的例子中，所述網(wǎng)關(guān)211，212和213可以被自動(dòng)建立，通過使用CFG語言編譯配置。

為了更好地幫助理解所述安全服務(wù)器210的配置，以下是一個(gè)涉及為了過濾來自使用白名單域名地址的網(wǎng)絡(luò)瀏覽器的URL調(diào)用而執(zhí)行安全策略的任務(wù)的示例，其中只有帶有*.kaspersky.com和*.securelist.com掩蔽的地址是被允許的。解決此任務(wù)利用了一個(gè)代理服務(wù)器，通過其對(duì)因特網(wǎng)的訪問將被提供。所述網(wǎng)絡(luò)瀏覽器和代理服務(wù)器將是分離的實(shí)體；其間的交互將被安全服務(wù)器210檢查，以服從所述URL請(qǐng)求過濾策略。根據(jù)本例子，所述代理服務(wù)器的接口的IDL語言的描述表現(xiàn)如下：

這一代理服務(wù)器接口的描述只提供了一種方法，http_get，其使用三個(gè)參數(shù)發(fā)布一個(gè)網(wǎng)頁(數(shù)據(jù))-主機(jī)域名，端口值，和資源標(biāo)識(shí)符(uri)。然后所述安全服務(wù)器210中安全策略的執(zhí)行可以被用于過濾來自使用白名單域名地址的網(wǎng)絡(luò)瀏覽器的URL請(qǐng)求，其可被用CFG語言描述如下：

01 use call policy allow＝secsrv.policies.basic.allow；

02 use call policy match＝secsrv.policies.string.match；

03 use call policy eq＝secsrv.policies.arith.eq_uint32；

04 entity ProxyServer{

05 call in http_get(proto,host,port,uri)＝match[“*.kaspersky.com”,

“*.securelist.com”](host),eq 443(port)；

06 call out http_get(data)＝allow；

07 }

以下是對(duì)這一安全策略實(shí)施方案的每個(gè)字符串的描述的更詳細(xì)的討論。字符串01聲明了使用一個(gè)基本的且最簡單的安全策略，在使用這一策略時(shí)允許任意通信。字符串02聲明了使用包括用于對(duì)比字符串進(jìn)行匹配的 規(guī)則的安全策略。字符串03聲明了使用包括用于檢測(cè)數(shù)值匹配(數(shù)值相等)的規(guī)則的安全策略。字符串04—07描述了代理服務(wù)器實(shí)體的安全配置，所述代理服務(wù)器實(shí)體中主機(jī)的域名和端口值必須被匹配和相等策略檢驗(yàn)以服從安全策略中定義的值(“*.kaspersky.com”或“*.securelist.com”為主機(jī)的域名及433為端口)，以便使網(wǎng)頁在網(wǎng)絡(luò)瀏覽器中被顯示。

所述安全策略，如上述示例中所示，可以從其他安全策略中被建立，允許建立復(fù)雜安全策略作為簡單安全策略的結(jié)合。因此，被提出的安全策略的靈活性不只決定于安全服務(wù)器的存在和多重網(wǎng)關(guān)，其允許新策略的簡單實(shí)現(xiàn)而不干擾系統(tǒng)組件運(yùn)行進(jìn)程，但也提供從已存在安全策略中建立新安全策略的選項(xiàng)。從已存在安全策略中創(chuàng)建新安全策略消除了從頭開始寫安全策略的必要性。從頭開始寫新的安全策略增加了在其中存在缺陷的可能性，而且，此外，這種策略通常證明是太過特殊且無法在相同系統(tǒng)中重復(fù)利用。而且，每次安全策略在一個(gè)系統(tǒng)中被重復(fù)利用時(shí)，系統(tǒng)的安全性增加，因?yàn)閷懶碌陌踩呗栽黾恿讼到y(tǒng)代碼的大小，這增加了攻擊面，且因此增加了系統(tǒng)的隱患且使支持和執(zhí)行此系統(tǒng)的進(jìn)程復(fù)雜化。

建立用以驗(yàn)證實(shí)體的動(dòng)作的安全服務(wù)器210的請(qǐng)求是與實(shí)體有關(guān)的網(wǎng)關(guān)的責(zé)任。所述網(wǎng)關(guān)在實(shí)體的起始被初始化并與其連接。所有隨后的動(dòng)作，包括安全環(huán)境的初始化，以及對(duì)相關(guān)實(shí)體通信的監(jiān)控，被根據(jù)網(wǎng)關(guān)配置分配的規(guī)則執(zhí)行。所述安全配置具有二級(jí)引用結(jié)構(gòu)，包括以下：

·系統(tǒng)配置；以及

·動(dòng)作到安全策略的反射的配置(下文中被稱為“反射配置”)。在一個(gè)實(shí)施例中，反射還可以被稱為“映射”動(dòng)作在安全策略上。

所述系統(tǒng)配置描述了在某一特定安全模型中執(zhí)行安全功能的方面，其作為一個(gè)整體適用于系統(tǒng)。

所述反射配置描述了應(yīng)用策略在實(shí)體的動(dòng)作中的規(guī)則，適用于任意實(shí)體。所述反射配置被用于建立一個(gè)實(shí)體以用于初始化其網(wǎng)關(guān)。所述網(wǎng)關(guān)隨后存儲(chǔ)對(duì)所述涉及實(shí)體的安全策略的引用且召集這些策略以驗(yàn)證其動(dòng)作。

一種安全網(wǎng)關(guān)，因此，在系統(tǒng)中連接了所述應(yīng)用軟件和安全模型，通過聲明哪個(gè)程序動(dòng)作必須被哪個(gè)安全策略管理。在這種情況下，網(wǎng)關(guān)除了對(duì)它們的任何其他的動(dòng)作或策略的信息的引用之外，不需要它們的任何其他的動(dòng)作或策略的信息。根據(jù)一個(gè)實(shí)施例，網(wǎng)關(guān)請(qǐng)求的策略被所述安全服務(wù)器210計(jì)算。

所述反射配置包括涉及所述當(dāng)實(shí)體執(zhí)行安全相關(guān)動(dòng)作時(shí)被應(yīng)用的安全策略：

·實(shí)體開始(這被反射到子代實(shí)體的安全環(huán)境和授權(quán)控制的初始化策略)；

·實(shí)體間消息的通信(這被反射到所述交互監(jiān)控策略)；

·實(shí)體使用安全接口的請(qǐng)求(這被反射到所述交互監(jiān)控策略)。

任何被應(yīng)用在系統(tǒng)中的運(yùn)算可以使用靜態(tài)定義的實(shí)體接口執(zhí)行。這些接口使用通信間進(jìn)程中類型化的請(qǐng)求被實(shí)現(xiàn)。對(duì)使用這種動(dòng)作執(zhí)行的操作的允許或拒絕是基于所述安全服務(wù)器210計(jì)算的裁定做出的。

盡管所有的動(dòng)作基本上都是在進(jìn)程間通信中執(zhí)行的，三種上述類型的動(dòng)作以一種執(zhí)行算法被區(qū)分并被安全子系統(tǒng)監(jiān)控：實(shí)體的開始，實(shí)體間消息的通信，及使用實(shí)體的安全接口的請(qǐng)求。以下描述的是在用于三種類型的進(jìn)程間通信之間的動(dòng)作的安全解決方案的應(yīng)用的安全子系統(tǒng)的組件之間通信的序列。

實(shí)體的開始被執(zhí)行如下：

·實(shí)體A201請(qǐng)求創(chuàng)建實(shí)體B202通過召集操作系統(tǒng)內(nèi)核接口；

·微內(nèi)核為子代實(shí)體B202創(chuàng)建一個(gè)網(wǎng)關(guān)；

·所述子代實(shí)體B202的網(wǎng)關(guān)B212發(fā)送親代和子代實(shí)體的SIDs，初始化策略和允許策略到安全服務(wù)器；

·所述安全服務(wù)器210允許引用所述親實(shí)體A201的安全環(huán)境，初始化所述子實(shí)體B202的安全環(huán)境，并發(fā)布一個(gè)安全裁定；

·如果該裁定為正，所述微內(nèi)核允許實(shí)體B202的創(chuàng)建；

·如果該裁定為負(fù)，所述微內(nèi)核移除所述實(shí)體B202的網(wǎng)關(guān)B212并返回一個(gè)訪問錯(cuò)誤消息。

所述親代實(shí)體的網(wǎng)關(guān)A211不參與新安全環(huán)境的初始化(盡管在一個(gè)實(shí)施例中初始化期間親代實(shí)體環(huán)境可以被子代實(shí)體環(huán)境繼承)。所述安全子系統(tǒng)也不存儲(chǔ)新創(chuàng)建的實(shí)體樹的信息。親代實(shí)體和子代實(shí)體之間的通信(在后者的創(chuàng)建之后)根據(jù)安全配置被管理，以它們和所有其他實(shí)體通信同樣的方式。

消息的傳輸由兩個(gè)實(shí)體參與執(zhí)行-實(shí)體B202，其發(fā)起了消息的發(fā)送，以及實(shí)體C203。取決于安全環(huán)境和網(wǎng)關(guān)C213，安全環(huán)境和網(wǎng)關(guān)B212，以 及消息內(nèi)容，所述消息的傳輸被監(jiān)控。在一個(gè)實(shí)施例中，為了驗(yàn)證所述消息，只使用網(wǎng)關(guān)中的一個(gè)就足夠了，而且，一般來說，只有接收網(wǎng)關(guān)中的網(wǎng)關(guān)，即網(wǎng)關(guān)C213。

所述消息的傳輸被監(jiān)控如下：

·實(shí)體B202請(qǐng)求轉(zhuǎn)移信息到實(shí)體C203，通過召集操作系統(tǒng)內(nèi)核的功能；

·微內(nèi)核比較實(shí)體的C203網(wǎng)關(guān)C213及所述實(shí)體；

·網(wǎng)關(guān)C213反射請(qǐng)求到所述安全策略上；

·網(wǎng)關(guān)C213調(diào)用安全服務(wù)器210，傳送引用到策略，所述實(shí)體B202和實(shí)體C203的安全環(huán)境的SID，及計(jì)算安全裁定的信息的選定的參數(shù)(所述策略可能需要的)；

·安全服務(wù)器210計(jì)算裁定；

·如果該裁定為正，所述消息的傳輸被允許；

·如果該裁定為負(fù)，所述消息的傳輸被阻止，且一個(gè)錯(cuò)誤信息被返回。

如果一個(gè)實(shí)際的安全裁定存在于高速緩存中，網(wǎng)關(guān)C213可以不調(diào)用安全服務(wù)器210。被計(jì)算的安全裁定可以被存儲(chǔ)為進(jìn)一步使用。

監(jiān)控通信的可能性不只通過通信雙方的安全環(huán)境，也通過消息內(nèi)容，允許廣泛的政策的實(shí)現(xiàn)。這種政策可以包括不止發(fā)送/接收，還有通過內(nèi)容或接口合并對(duì)信息的過濾的策略，等。

當(dāng)實(shí)體需要通知安全系統(tǒng)其內(nèi)部事件或請(qǐng)求另一項(xiàng)服務(wù)時(shí)，一個(gè)通過安全接口的調(diào)用被做出。

通過安全接口的調(diào)用被使用，特別是，用于管理對(duì)受保護(hù)資源的訪問的監(jiān)控。如上所述，沒有網(wǎng)關(guān)被與所述資源比較。因此，為了監(jiān)控對(duì)資源的訪問，一個(gè)中間的實(shí)體被使用，用其自身的安全接口請(qǐng)求安全服務(wù)器210的裁定。

使用安全接口的安全裁定的發(fā)布一般來說被執(zhí)行如下：

·實(shí)體C203做出請(qǐng)求，使用所述安全接口，使比較其自身的網(wǎng)關(guān)C213傳送必要的參數(shù)；

·網(wǎng)關(guān)C213反射請(qǐng)求到安全策略上；

·如果沒有實(shí)際裁定在高速緩存中，網(wǎng)關(guān)C213做出請(qǐng)求使安全服務(wù)器210計(jì)算安全裁定，傳輸必要參數(shù)；

·安全服務(wù)器210計(jì)算安全裁定；

·網(wǎng)關(guān)C213返回安全裁定到實(shí)體C203。

如果一個(gè)實(shí)際的安全裁定存在于高速緩存中，網(wǎng)關(guān)C213可以不調(diào)用安全服務(wù)器210。被計(jì)算的安全裁定可以被存儲(chǔ)在之后使用。

一個(gè)示例可以作為文檔轉(zhuǎn)換系統(tǒng)的模型—具有不同訪問級(jí)別(保密，絕對(duì)保密，非保密)的活動(dòng)者，可以讀/寫從/到另一個(gè)。讀操作只被允許在讀者的訪問級(jí)別高于或等同于被讀的活動(dòng)者的訪問級(jí)別時(shí)，而寫操作只被允許在相反情況。

所有被上述安全模型控制的實(shí)體的安全系統(tǒng)的配置中，以下規(guī)則是指定的：對(duì)于“讀”和“寫”消息—執(zhí)行訪問級(jí)別的比較。在消息轉(zhuǎn)移時(shí)，系統(tǒng)使用消息的屬性，判定消息的類型。知道涉及的實(shí)體的安全環(huán)境并使用安全配置，相關(guān)的網(wǎng)關(guān)判定被安全服務(wù)器210計(jì)算的策略以便接收裁定。安全服務(wù)器210，根據(jù)所述訪問策略，使用安全環(huán)境中的訪問等級(jí)，執(zhí)行比較并發(fā)送其裁定到安全系統(tǒng)。

圖3闡明了安全服務(wù)器210。安全服務(wù)器210中的主要任務(wù)是計(jì)算安全策略，或換句話說，是關(guān)于系統(tǒng)中的信息作出安全裁定。安全服務(wù)器210具有關(guān)于安全體系架構(gòu)中使用的安全策略的廣泛知識(shí)—例如，安全策略的類型和以規(guī)則形式存在的它們的特性設(shè)計(jì)，該規(guī)則操作來自從安全環(huán)境的參數(shù)。所述安全策略可以屬于多種安全模型-例如，使用類型強(qiáng)制(TE)機(jī)制的模型，基于角色的訪問控制(RBAC)，和多級(jí)安全(MLS)。而且，安全策略可以被建立基于授權(quán)訪問模型，其決定了每個(gè)進(jìn)程(實(shí)體)的訪問級(jí)別，而此模型中所有的資源(文件，目錄，套接字等)都被匹配一個(gè)特定的類型(安全級(jí)別)，以及限制實(shí)體訪問特定類型的能力的規(guī)則列表被建立。另外一個(gè)安全模型的示例是Bell-LaPadula模型，其中所有的活動(dòng)者(進(jìn)程)和對(duì)象(文件)都有自己的權(quán)限級(jí)別。具有特定權(quán)限級(jí)別的活動(dòng)者被允許讀和創(chuàng)建(寫/更新)具有相同權(quán)限級(jí)別的對(duì)象。此外，活動(dòng)者被允許讀次保密對(duì)象及建立告級(jí)別對(duì)象。一個(gè)活動(dòng)者將永遠(yuǎn)不能以比自身權(quán)限級(jí)別低的許可級(jí)別(clearance level)來創(chuàng)建對(duì)象，或讀有更高許可級(jí)別的對(duì)象。將被理解的是這些只是更寬泛的示例中的一些。

對(duì)于每個(gè)在安全服務(wù)器210上的安全策略的實(shí)現(xiàn)，一個(gè)接口被分配，一個(gè)網(wǎng)關(guān)通過其請(qǐng)求對(duì)消息的關(guān)于特定安全策略的安全裁定的計(jì)算。安全服務(wù)器210運(yùn)行在實(shí)體的功能邏輯之外且只能計(jì)算相關(guān)的安全策略，基于從特定接口接收的數(shù)據(jù)，并返回判定到請(qǐng)求的網(wǎng)關(guān)。例如，如果我們考慮一個(gè)使用三個(gè)策略結(jié)合的安全策略實(shí)施選項(xiàng)，分別依照上述訪問控制機(jī) 制—TE,RBAC和MLS中的一個(gè)被描述，然后，從網(wǎng)關(guān)的觀點(diǎn)看，安全服務(wù)器210將被三個(gè)接口代表，前文列出的策略中的每一個(gè)都有一個(gè)。而且，對(duì)于每一個(gè)信息，所述網(wǎng)關(guān)會(huì)請(qǐng)求安全服務(wù)器210計(jì)算一個(gè)裁定在所有三個(gè)接口上。所述裁定，反過來，會(huì)代表每個(gè)策略的計(jì)算結(jié)果的結(jié)合(TR&&RBAC&&MLS)。

圖4顯示了網(wǎng)關(guān)211的一個(gè)基本的圖表，根據(jù)一個(gè)實(shí)施例。網(wǎng)關(guān)的主要的任務(wù)如下：判定系統(tǒng)消息中特定的通信方法及與其對(duì)應(yīng)的安全策略；識(shí)別與在消息中通信的實(shí)體相關(guān)的安全環(huán)境；并從安全服務(wù)器210請(qǐng)求安全裁定，發(fā)送所述安全環(huán)境到安全服務(wù)器210的相關(guān)接口。網(wǎng)關(guān)211比較多個(gè)安全策略，其計(jì)算需要被從安全服務(wù)器中請(qǐng)求以計(jì)算一個(gè)裁定，以及各自實(shí)體201的每個(gè)被監(jiān)控的事件。為了優(yōu)化以安全體系架構(gòu)為代表的所述安全系統(tǒng)的操作，所有的從關(guān)于實(shí)體201的安全服務(wù)器210接收的安全裁定被在網(wǎng)關(guān)211的裁定高速緩存中保存。

裁定高速緩存的關(guān)鍵可以由參與的實(shí)體的安全環(huán)境的標(biāo)識(shí)符、事件標(biāo)識(shí)符(由安全服務(wù)器210接口號(hào)和系統(tǒng)信息中的交流方法號(hào)組成)、和計(jì)算裁定時(shí)使用的方法參數(shù)值(如果它們是在網(wǎng)關(guān)配置中指定的)組成。

每次網(wǎng)關(guān)請(qǐng)求安全服務(wù)器210計(jì)算裁定時(shí)，它會(huì)檢驗(yàn)裁定高速緩存中是否存在該事件的裁定。如果存在，所述網(wǎng)關(guān)直接返回該裁定；否則它將發(fā)送一個(gè)請(qǐng)求到安全服務(wù)器210。

圖5闡明了根據(jù)本發(fā)明一些方面的安全體系架構(gòu)的一個(gè)基本實(shí)施例。這一選項(xiàng)中所述安全體系架構(gòu)包括三個(gè)級(jí)別：

·系統(tǒng)組件級(jí)別，在其中實(shí)體501，502，503被實(shí)施；

·安全策略強(qiáng)制級(jí)別，被系統(tǒng)組件通信工具504執(zhí)行；及

·裁定計(jì)算級(jí)別，在其中安全子系統(tǒng)500被實(shí)施，包括多重網(wǎng)關(guān)501和安全服務(wù)器505。

所述系統(tǒng)組件級(jí)別由多個(gè)實(shí)體組成。在一個(gè)實(shí)施例中，每一個(gè)實(shí)體執(zhí)行一個(gè)單獨(dú)的組件；例如，一個(gè)文件系統(tǒng)或一個(gè)操作系統(tǒng)中的應(yīng)用，或一個(gè)控制面板，一個(gè)傳送機(jī)或一個(gè)工業(yè)系統(tǒng)中的機(jī)器。通過發(fā)送和接收帶有被請(qǐng)求的動(dòng)作的消息，所述實(shí)體彼此通信。每個(gè)實(shí)體可以有若干參數(shù)(或?qū)傩?，其描繪了實(shí)體自身，例如其獨(dú)特的ID，及其狀態(tài)，例如“開”或“關(guān)”。實(shí)體內(nèi)的所有通信和參數(shù)可以以安全策略的方式描述。

被實(shí)施在裁定計(jì)算等級(jí)的安全服務(wù)器505，使用多種規(guī)則，該規(guī)則被 規(guī)定在一個(gè)或多個(gè)安全策略中，及裁定發(fā)布的安全環(huán)境，其定義是否允許對(duì)被請(qǐng)求的動(dòng)作的執(zhí)行，其中安全環(huán)境是一組參數(shù)，描述其執(zhí)行過程中的實(shí)體。

對(duì)于每一個(gè)系統(tǒng)組件通信工具504攔截的消息，一組網(wǎng)關(guān)510中的各個(gè)網(wǎng)關(guān)執(zhí)行了下列：

·基于與其自身配置一致的安全環(huán)境，所述網(wǎng)關(guān)判定對(duì)該類型通信適用的一組策略；

·所述網(wǎng)關(guān)請(qǐng)求安全服務(wù)器505計(jì)算該組策略；

·基于該組策略計(jì)算的結(jié)果，所述網(wǎng)關(guān)定義最終裁定；

·所述網(wǎng)關(guān)發(fā)送所述裁定用于強(qiáng)制執(zhí)行到系統(tǒng)組件通信工具505.

如上所述關(guān)于特定的實(shí)施例，對(duì)于在安全服務(wù)器505中每個(gè)安全策略的實(shí)現(xiàn)，一個(gè)接口被專用于網(wǎng)關(guān)可以通過該接口請(qǐng)求關(guān)于特定安全策略的消息的安全裁定的計(jì)算。網(wǎng)關(guān)還可以請(qǐng)求對(duì)一組策略的裁定的計(jì)算，通過發(fā)送請(qǐng)求到所述安全服務(wù)器505的相關(guān)接口，且，在從服務(wù)器接受了每個(gè)請(qǐng)求的裁定(即一組裁定)之后，所述網(wǎng)關(guān)可以定義一個(gè)最終的裁定，例如，使用結(jié)合方法。因此，只有在每個(gè)從所述安全服務(wù)器505接收的裁定都為正時(shí)，最終裁定將為正。

被實(shí)施在安全策略強(qiáng)制等級(jí)的所述系統(tǒng)組件通信工具504被設(shè)計(jì)用作監(jiān)控所述實(shí)體的執(zhí)行，以管理實(shí)體間的通信，及直接與一組網(wǎng)關(guān)中已存在的網(wǎng)關(guān)通信以接收和實(shí)施裁定。所述裁定可以表現(xiàn)為簡單的布爾值，其中0意味著“拒絕”而1意味著“允許”，或表現(xiàn)為更復(fù)雜的任意字符(字母，數(shù)字和特殊符號(hào))的結(jié)合，包括已知的單詞，例如“重啟/暫停/激活實(shí)體”。

圖6是闡明計(jì)算機(jī)系統(tǒng)600的示圖，其中如此處描述的發(fā)明的方面可被根據(jù)各種實(shí)施例實(shí)施。計(jì)算機(jī)系統(tǒng)600可以包括計(jì)算裝置例如個(gè)人計(jì)算機(jī)602。所述個(gè)人計(jì)算機(jī)602包括一個(gè)或多個(gè)處理單元604，系統(tǒng)存儲(chǔ)器606，視頻接口608，輸出外部接口610，網(wǎng)絡(luò)接口612，用戶輸入接口614，可移動(dòng)的存儲(chǔ)器接口616和不可移動(dòng)的存儲(chǔ)器接口617，以及耦合所述多種組件的系統(tǒng)總線或高速通信信道620。在多種實(shí)施例中，所述處理單元604可以由多個(gè)邏輯內(nèi)核，能夠處理存儲(chǔ)在計(jì)算機(jī)可讀媒體，如系統(tǒng)存儲(chǔ)器606或附于可移動(dòng)的616或不可移動(dòng)的618存儲(chǔ)器接口上的存儲(chǔ)器中的信息。所述計(jì)算機(jī)602系統(tǒng)存儲(chǔ)器606可以包括非易失性存儲(chǔ)器，如只讀存儲(chǔ)器(ROM)622或易失性存儲(chǔ)器如任意訪問存儲(chǔ)器(RAM)。所述ROM 622 可以包括一個(gè)基本的輸入/輸出系統(tǒng)(BIOS)626以幫助與所述計(jì)算機(jī)602的其他部分通信。所述RAM 624可以存儲(chǔ)多種軟件應(yīng)用的部分例如操作系統(tǒng)628，應(yīng)用程序630和其他的程序引擎632。進(jìn)一步的，所述RAM 624可以存儲(chǔ)其他信息例如程序或應(yīng)用數(shù)據(jù)634。在多種實(shí)施例中，所述RAM 624存儲(chǔ)請(qǐng)求低延遲和有效訪問的信息，例如被操縱或操作的程序和數(shù)據(jù)。在多種實(shí)施例中，RAM 624包括雙數(shù)據(jù)速率(DDR)存儲(chǔ)器，誤差校正存儲(chǔ)器(ECC)或其他具有不同的延遲和配置的存儲(chǔ)技術(shù)，例如RAMBUS或DDR2或DDR3。用這種方法，在不同的實(shí)施例中，所述系統(tǒng)存儲(chǔ)器606可以存儲(chǔ)輸入數(shù)據(jù)存儲(chǔ)，訪問憑證數(shù)據(jù)存儲(chǔ)，操作存儲(chǔ)器數(shù)據(jù)存儲(chǔ)，指令集數(shù)據(jù)存儲(chǔ)，分析結(jié)果數(shù)據(jù)存儲(chǔ)及操作存儲(chǔ)器數(shù)據(jù)存儲(chǔ)。進(jìn)一步的，在多種實(shí)施例中，所述處理單元604可以配置為執(zhí)行指令限制訪問上述的數(shù)據(jù)存儲(chǔ)，通過在訪問信息被允許前請(qǐng)求訪問憑證。

所述可移動(dòng)的存儲(chǔ)器616和不可移動(dòng)的存儲(chǔ)器618可以使所述計(jì)算機(jī)602與磁盤驅(qū)動(dòng)器如SSD或轉(zhuǎn)動(dòng)的磁盤驅(qū)動(dòng)器耦合。這些磁盤驅(qū)動(dòng)器636可以為不同的軟件應(yīng)用如操作系統(tǒng)638，應(yīng)用程序640和其他的程序引擎642提供進(jìn)一步的存儲(chǔ)。進(jìn)一步的，所述磁盤驅(qū)動(dòng)器636可以存儲(chǔ)其他的信息，例如程序或應(yīng)用數(shù)據(jù)644。在不同的實(shí)施例中，所述磁盤驅(qū)動(dòng)器636存儲(chǔ)信息不請(qǐng)求同樣的低延遲，如在其他的存儲(chǔ)媒介中。進(jìn)一步的，所述操作系統(tǒng)638，應(yīng)用程序640數(shù)據(jù)，程序引擎642和程序或應(yīng)用數(shù)據(jù)644可以是如在上述不同實(shí)施例中被存儲(chǔ)在RAM 624中的同樣的信息，或也可以是RAM 624中存儲(chǔ)的數(shù)據(jù)可能衍生出的不同的數(shù)據(jù)。

進(jìn)一步的，所述可移動(dòng)的非易失性存儲(chǔ)器接口616可以耦合計(jì)算機(jī)602與利用磁性媒體例如軟盤648，Zip或Jazz的磁性便攜式磁盤驅(qū)動(dòng)器646，或利用光學(xué)媒體652存儲(chǔ)計(jì)算機(jī)可讀媒體如，DVD-R/RW,CD-R/RW和其他類似格式的光盤驅(qū)動(dòng)器650。還有其他的實(shí)施例利用SSD或放置在便攜式附件54中的轉(zhuǎn)動(dòng)磁盤以增加可移動(dòng)存儲(chǔ)器的能力。

計(jì)算機(jī)602可以利用網(wǎng)絡(luò)接口612通過局域網(wǎng)(LAN)658或廣域網(wǎng)(WAN)660與一個(gè)或多個(gè)遠(yuǎn)程計(jì)算機(jī)656通信。所述網(wǎng)絡(luò)接口612可以利用網(wǎng)絡(luò)接口卡(NIC)或其他接口如調(diào)制解調(diào)器662進(jìn)行通信。所述調(diào)制解調(diào)器662可以使通信穿過電話線，同軸電纜，光纖，電話線或無線地。所述遠(yuǎn)程計(jì)算機(jī)656可以包括一個(gè)相似的硬件和軟件配置或可以有一個(gè)存儲(chǔ)器664包括遠(yuǎn)程應(yīng)用程序666為計(jì)算機(jī)602提供附加的計(jì)算機(jī)可讀指令。 在不同的實(shí)施例中，所述遠(yuǎn)程計(jì)算機(jī)存儲(chǔ)器664可以被用作存儲(chǔ)信息例如已識(shí)別的文件信息，其可在之后被下載到本地系統(tǒng)存儲(chǔ)器606中。進(jìn)一步的，在不同的實(shí)施例中所述遠(yuǎn)程計(jì)算機(jī)656可以是應(yīng)用服務(wù)器，管理服務(wù)器，客戶端計(jì)算機(jī)或網(wǎng)絡(luò)設(shè)備。

使用與用戶輸入接口614連接的輸入設(shè)備(例如鼠標(biāo)668和鍵盤670)，用戶可以輸入信息到計(jì)算機(jī)602中。此外，所述輸入設(shè)備可以是觸摸板，指紋掃描儀，控制桿，條形碼掃描器，媒體掃描儀或類似的。視頻接口608可以提供視覺信息到顯示器，例如監(jiān)控器672。所述視頻接口608可以是嵌入式的接口或者它也可以是分立的接口。進(jìn)一步的，計(jì)算機(jī)可以利用多個(gè)視頻接口608，網(wǎng)絡(luò)接口612和可移動(dòng)的接口616和不可移動(dòng)的接口618以便增加所述計(jì)算機(jī)606操作的靈活性。進(jìn)一步的，不同的實(shí)施例利用幾個(gè)監(jiān)控器672和幾個(gè)視頻接口608，以改變所述計(jì)算機(jī)602的性能和能力。其他的計(jì)算機(jī)接口可以被包括在計(jì)算機(jī)602中，例如輸出外圍接口610。這一接口可以耦合于打印機(jī)674或揚(yáng)聲器676或其他外圍設(shè)備，為計(jì)算機(jī)602提供附加的功能。

各種可供選擇的計(jì)算機(jī)602的配置和實(shí)現(xiàn)被包括在本發(fā)明精神中。這些變化可以包括且不限于，耦合于系統(tǒng)總線620(如通用串行總線(USB))附加接口，打印機(jī)端口，游戲端口，外圍部件互連總線，串行總線，或上述不同部件與芯片集組件的集合，例如北橋或南橋。例如，在不同實(shí)施例中，處理單元604可以包括嵌入式存儲(chǔ)控制器(未示出)，以使數(shù)據(jù)從系統(tǒng)存儲(chǔ)器606中的傳遞比所述系統(tǒng)總線620能提供的更有效。

上述實(shí)施例旨在說明且不是限制性的。附加的實(shí)施例在權(quán)利要求中。此外，盡管本發(fā)明的方面已被根據(jù)特定實(shí)施例描述，本領(lǐng)域的技術(shù)人員將認(rèn)識(shí)到，形式上和細(xì)節(jié)上可以做出的改變不超出本發(fā)明的范圍，如權(quán)利要求書規(guī)定的。

相關(guān)領(lǐng)域的技術(shù)人員將認(rèn)識(shí)到，本發(fā)明包括的特征可以少于任意單獨(dú)的上述實(shí)施例所闡明的。此處描述的實(shí)施例不意味著詳盡的展示了本發(fā)明不同實(shí)施例可以被結(jié)合的方式。相應(yīng)地，所述實(shí)施例不是互相排斥的特征的結(jié)合；而是，本發(fā)明可以包括從不同單獨(dú)的實(shí)施例中挑選出的不同單獨(dú)特征的結(jié)合，正如本領(lǐng)域技術(shù)人員所理解的那樣。

任意通過引用被合并的上述文檔被限定為不合并與此明確披露的相反的主題。任意通過引用被合并的上述文檔進(jìn)一步被限定為所述文檔中包括 的權(quán)利要求不通過引用被合并到本申請(qǐng)的權(quán)利要求之內(nèi)。然而，任意所述文件的權(quán)利要求被合并為此的披露的一部分，除非被特別地排除。任意通過引用被合并的上述文檔還進(jìn)一步被限制為任意所述文檔中提供的定義不在此通過引用被合并，除非明確地被包括于此。

為了解釋本發(fā)明的權(quán)利要求，明確表示，U.S.C.第35卷第六段第112節(jié)不被調(diào)用，除非專用名詞“的方法”或“的步驟”在權(quán)利要求中被列舉。