访问控制
阅读:496发布:2020-05-11
专利汇可以提供访问控制专利检索,专利查询,专利分析的服务。并且向具有各种资源并且能够使用该资源来执行任意计算机可执行应用的 数据处理 终端提供 访问 控制。维护条件访问控制约束的集合,其用于定义可由应用联合使用的可允许的资源组合;仅允许应用在可允许的资源组合的约束内运行,该可允许的资源组合由运行的应用联合使用。约束使用分配给不同访问对象的访问日志以及使用存储在对应于所使用的服务的访问日志中的服务标识符来定义。应用命题逻辑来确定可联合使用的可允许的资源和/或服务的组合。,下面是访问控制专利的具体信息内容。
1.一种用于在具有各种资源的数据处理终端中控制任意计算机 可执行应用对资源的访问的方法,包括:
维护条件访问控制约束的集合,其用于定义可由应用联合使用的 可允许的资源组合;以及
使得仅在可允许的资源组合的约束内运行应用,该可允许的资源 组合由运行的应用联合使用。
2.根据权利要求1所述的方法,其中所述可允许的组合通过定义 非可允许的组合来间接定义。
3.根据权利要求1或2所述的方法,其中所述访问控制约束定义 至少两个互斥的功能块或至少两个互斥的功能块的组合。
4.根据前述权利要求的任意一项所述的方法,其中通过访问控制 对象来定义所述访问控制约束。
5.根据权利要求4所述的方法,其中不同的服务分配有相应的服 务标识符,不同的访问对象与相应的访问日志和针对访问对象的服务 调用相关联,以及由此调用服务的服务标识符被相应地存储在被调用 的服务的访问日志中。
6.根据权利要求5所述的方法,其中所述访问控制约束由布尔逻 辑来定义。
7.根据前述权利要求的任意一项所述的方法,其中任意应用对可 联合使用的不同服务的访问也由所述维护的条件访问控制约束通过 使得仅在可允许的资源组合的约束内运行应用而控制,该可允许的资 源的组合由运行的应用联合使用。
8.一种数据处理终端(100),其具有各种资源并且能够使用资 源执行任意计算机可执行的应用,包括:
存储器(120);
存储在存储器(120)中的条件访问控制约束的集合(122;203), 其定义可由应用联合使用的可允许的资源组合;以及
处理器(130),配置成仅在可允许的资源组合的约束内运行应 用,该可允许的资源的组合由运行的应用联合使用。
9.根据权利要求8所述的终端(100),其中所述可允许的组合 通过定义非可允许的组合来间接定义。
10.根据权利要求8或9所述的终端(100),其中所述访问控制 约束(122;203)定义至少两个互斥的功能块或至少两个互斥的功能 块的组合。
11.根据权利要求8到10的任意一项所述的终端(100),其中 通过访问控制对象(207)来定义所述访问控制约束(122;203)。
12.根据权利要求11所述的终端,其中不同的服务分配有相应的 服务标识符(202),不同的访问对象(207)与相应的访问日志(205) 和针对访问对象(207)的服务(201)调用相关联,以及由此调用服 务的服务标识符(202)被相应地存储在被调用的服务的访问日志 (205)中。
13.根据权利要求12所述的终端(100),其中所述访问控制约 束(122;203)由布尔逻辑来定义。
14.根据权利要求8到13的任意一项所述的终端(100),其中 任意应用对可联合使用的不同服务(201)的访问也由维护的条件访 问控制约束(122;203)通过使得仅在可允许的资源组合的约束内运 行应用而控制,该可允许的资源组合由运行的应用联合使用。
15.一种用于在具有各种资源的数据处理终端中控制操作以便控 制任意计算机可执行应用对资源的访问的计算机程序,包括:
计算机程序代码,用于使得终端维护条件访问控制约束的集合, 其用于定义可由应用联合使用的可允许的资源组合;以及
计算机程序代码,用于使得终端能够仅在可允许的资源组合的约 束内运行应用,该可允许的资源的组合由运行的应用联合使用。
16.一种用于在具有各种资源的数据处理终端中控制操作以便控 制任意计算机可执行应用对资源的访问的子组件,该子组件包括:
用于使得终端维护条件访问控制约束的集合的装置,该条件访问 控制约束的集合用于定义可由应用联合使用的可允许的资源组合;以 及
用于使得终端能够仅在可允许的资源组合的约束内运行应用的 装置,该可允许的资源组合由运行的应用联合使用。
17.根据权利要求16所述的子组件,其中用于使得终端维护条件 访问控制约束的集合的装置和/或用于使得终端能够仅在可允许的资 源组合的约束内运行应用的装置基于下面的任意组合:芯片组电路和 存储在一个或多个芯片组中的计算机代码。
18.一种用于制造具有各种资源并且能够控制任意计算机可执行 应用对资源的访问的数据处理终端的方法,包括:
在所述终端中存储计算机程序代码,该计算机程序代码用于使得 终端维护条件访问控制约束的集合,该条件访问控制约束的集合用于 定义可由应用联合使用的可允许的资源组合;以及
在所述终端中存储计算机程序代码,该计算机程序代码用于使得 终端能够仅在可允许的资源组合的约束内运行应用,该可允许的资源 组合由运行的应用联合使用。
技术领域
本发明一般地涉及访问控制。更具体地,但不排他性地,本发明 涉及对不同主体(principal)的基于软件的访问控制。
背景技术
当前例如移动电话的移动设备正在不断地植入更为复杂的特征 (例如音乐和视频播放器以及电子书功能),这些特征使用版权受保 护的内容,该内容的销售应该被保护。偶然地或永久性地限制对类似 计算机的设备的某些特征的访问是有用的,从而避免计算机病毒、蠕 虫和出于恶意目的而设计的其他所谓恶意软件的传播。
一些操作系统已经使用基于资源的访问控制,其用于将认证的程 序或用户的信任等级映射到访问策略。也可以要求使用的每个应用被 可靠地证书证明为已认证。这支持将每个应用的访问限制到仅对给定 的允许的资源。然而,如果用户应该能够使用任意的应用(可能是未 认证的程序)来访问一些对于某个特定的操作而言很重要的访问受控 制的资源,则这样的访问控制机制可能有问题。
例如,各种设备的用户配备有应该能够处理受数字版权管理 (DRM)保护的数据的媒体播放器。为了符合一些DRM方案,媒体 播放器应该被认证或证书证明。然而,认证每个媒体播放器是昂贵的 并且麻烦的,因为即使在每个微小的打补丁或更新之后,都需要媒体 播放器换发新证和签名。证书证明是必要的,从而确保由程序管理的 任意数据绝不会被传递到另一个程序、设备或用户。
一些操作系统已经使用基于资源的访问控制,其用于将认证的程 序或用户的信任等级映射到访问策略。也可以要求使用的每个应用被 可靠地证书证明为已认证。这支持将每个应用的访问限制到仅对给定 的允许的资源。然而,如果用户应该能够使用任意的应用(可能是未 认证的程序)来访问一些对于某个特定的操作而言很重要的访问受控 制的资源,则这样的访问控制机制可能有问题。
例如,各种设备的用户配备有应该能够处理受数字版权管理 (DRM)保护的数据的媒体播放器。为了符合一些DRM方案,媒体 播放器应该被认证或证书证明。然而,认证每个媒体播放器是昂贵的 并且麻烦的,因为即使在每个微小的打补丁或更新之后,都需要媒体 播放器换发新证和签名。证书证明是必要的,从而确保由程序管理的 任意数据绝不会被传递到另一个程序、设备或用户。
发明内容
本发明的目的是避免或至少减轻现有技术的问题和/或提供新的 技术替代方案。
根据本发明的第一方面,提供一种用于在具有各种资源的数据处 理终端中控制任意计算机可执行应用对资源的访问的方法,包括:
维护条件访问控制约束的集合,其用于定义可由应用联合使用的 可允许的资源组合;以及
使得仅在可允许的资源组合的约束内运行应用,该可允许的资源 组合由运行的应用联合使用。
有利地,可以基于访问控制约束对任意应用进行访问控制。
当资源可以同时和/或按顺序使用时,该资源可以被定义为可联合 使用。
可允许的组合可以通过定义非可允许的组合来间接定义。
有利地,非可允许的组合的定义可以支持排除禁止的资源组合, 特别是由不能被相信是为遵守版权而设计的非证书证明的应用使用。
访问控制约束可以定义至少两个互斥的功能块或至少两个互斥 的功能块的组合。
通过访问控制对象来定义所述访问控制约束。不同的服务分配有 相应的服务标识符,不同的访问对象与相应的访问日志和针对访问对 象的服务调用相关联,以及由此调用服务的服务标识符被相应地存储 在被调用的服务的访问日志中。访问控制约束可以是这样的函数,每 个函数能够基于一个或多个访问日志来返回单个布尔值。
提供具有指示使用给定访问控制对象的服务的服务标识符的访 问日志并且计算布尔值作为访问控制约束的输出可得到计算上简单 的访问控制机制。
任意应用对可联合使用的不同服务的访问也可由维护的条件访 问控制约束通过使得仅在可允许的服务组合的约束内运行应用而进 行控制,该可允许的服务组合由运行的应用联合使用。
根据本发明的第二方面,提供一种数据处理终端,其具有各种资 源并且能够使用资源执行任意计算机可执行的应用,包括:
存储器,用于维护条件访问控制约束的集合,该条件访问控制约 束的集合定义可由应用联合使用的可允许的资源组合;以及
处理器,配置成仅在可允许的资源组合的约束内运行应用,该可 允许的资源组合由运行的应用联合使用。
根据本发明的第三方面,提供一种用于在具有各种资源的数据处 理终端中控制操作以便控制任意计算机可执行应用对资源的访问的 计算机程序,包括:
计算机程序代码,用于使得终端维护条件访问控制约束的集合, 其用于定义可由应用联合使用的可允许的资源组合;以及
计算机程序代码,其使得终端能够仅在可允许的资源组合的约束 内运行应用,该可允许的资源组合由运行的应用联合使用。
根据本发明的第四方面,提供一种用于在具有各种资源的数据处 理终端中控制操作以便控制任意计算机可执行应用对资源的访问的 子组件,该子组件包括:
用于使得终端维护条件访问控制约束的集合的装置,该条件访问 控制约束的集合用于定义可由应用联合使用的可允许的资源组合;以 及
用于使得终端能够仅在可允许的资源组合的约束内运行应用的 装置,该可允许的资源组合由运行的应用联合使用。
用于使得终端维护条件访问控制约束的集合的装置和/或用于使 得终端能够仅在可允许的资源组合的约束内运行应用的装置可以基 于下面的任意组合:芯片组电路和存储在一个或多个芯片组中的计算 机代码。
根据本发明的第五方面,提供一种制造和控制具有各种资源的数 据处理终端从而控制任意计算机可执行应用对资源的访问的方法,包 括:
在所述终端中存储计算机程序代码,该计算机程序代码用于使得 终端维护条件访问控制约束的集合,该条件访问控制约束的集合用于 定义可由应用联合使用的可允许的资源组合;以及
在所述终端中存储计算机程序代码,该计算机程序代码用于使得 终端能够仅在可允许的资源组合的约束内运行应用,该可允许的资源 组合由运行的应用联合使用。
计算机程序代码或软件可以提供为携带和/或存储在数据介质上 或嵌入在数据信号中的一个或多个计算机产品。软件也可以由一个或 多个设备以分布式的方式进行主控。
从属权利要求和上述的实施方式涉及本发明的不同实施方式。实 施方式所包含的并且涉及本发明的特定方面的主题可以在做必要修 正的情况下应用于本发明的其他方面。
附图说明
现在将通过示例、参考附图来描述本发明的实施方式,其中:
图1示出根据本发明的一个实施方式的移动台的框图;
图2示出根据本发明的一个实施方式的主要组件的示意系统;以 及
图3示出代表根据本发明的一个实施方式的操作的流程图。
根据本发明的第一方面,提供一种用于在具有各种资源的数据处 理终端中控制任意计算机可执行应用对资源的访问的方法,包括:
维护条件访问控制约束的集合,其用于定义可由应用联合使用的 可允许的资源组合;以及
使得仅在可允许的资源组合的约束内运行应用,该可允许的资源 组合由运行的应用联合使用。
有利地,可以基于访问控制约束对任意应用进行访问控制。
当资源可以同时和/或按顺序使用时,该资源可以被定义为可联合 使用。
可允许的组合可以通过定义非可允许的组合来间接定义。
有利地,非可允许的组合的定义可以支持排除禁止的资源组合, 特别是由不能被相信是为遵守版权而设计的非证书证明的应用使用。
访问控制约束可以定义至少两个互斥的功能块或至少两个互斥 的功能块的组合。
通过访问控制对象来定义所述访问控制约束。不同的服务分配有 相应的服务标识符,不同的访问对象与相应的访问日志和针对访问对 象的服务调用相关联,以及由此调用服务的服务标识符被相应地存储 在被调用的服务的访问日志中。访问控制约束可以是这样的函数,每 个函数能够基于一个或多个访问日志来返回单个布尔值。
提供具有指示使用给定访问控制对象的服务的服务标识符的访 问日志并且计算布尔值作为访问控制约束的输出可得到计算上简单 的访问控制机制。
任意应用对可联合使用的不同服务的访问也可由维护的条件访 问控制约束通过使得仅在可允许的服务组合的约束内运行应用而进 行控制,该可允许的服务组合由运行的应用联合使用。
根据本发明的第二方面,提供一种数据处理终端,其具有各种资 源并且能够使用资源执行任意计算机可执行的应用,包括:
存储器,用于维护条件访问控制约束的集合,该条件访问控制约 束的集合定义可由应用联合使用的可允许的资源组合;以及
处理器,配置成仅在可允许的资源组合的约束内运行应用,该可 允许的资源组合由运行的应用联合使用。
根据本发明的第三方面,提供一种用于在具有各种资源的数据处 理终端中控制操作以便控制任意计算机可执行应用对资源的访问的 计算机程序,包括:
计算机程序代码,用于使得终端维护条件访问控制约束的集合, 其用于定义可由应用联合使用的可允许的资源组合;以及
计算机程序代码,其使得终端能够仅在可允许的资源组合的约束 内运行应用,该可允许的资源组合由运行的应用联合使用。
根据本发明的第四方面,提供一种用于在具有各种资源的数据处 理终端中控制操作以便控制任意计算机可执行应用对资源的访问的 子组件,该子组件包括:
用于使得终端维护条件访问控制约束的集合的装置,该条件访问 控制约束的集合用于定义可由应用联合使用的可允许的资源组合;以 及
用于使得终端能够仅在可允许的资源组合的约束内运行应用的 装置,该可允许的资源组合由运行的应用联合使用。
用于使得终端维护条件访问控制约束的集合的装置和/或用于使 得终端能够仅在可允许的资源组合的约束内运行应用的装置可以基 于下面的任意组合:芯片组电路和存储在一个或多个芯片组中的计算 机代码。
根据本发明的第五方面,提供一种制造和控制具有各种资源的数 据处理终端从而控制任意计算机可执行应用对资源的访问的方法,包 括:
在所述终端中存储计算机程序代码,该计算机程序代码用于使得 终端维护条件访问控制约束的集合,该条件访问控制约束的集合用于 定义可由应用联合使用的可允许的资源组合;以及
在所述终端中存储计算机程序代码,该计算机程序代码用于使得 终端能够仅在可允许的资源组合的约束内运行应用,该可允许的资源 组合由运行的应用联合使用。
计算机程序代码或软件可以提供为携带和/或存储在数据介质上 或嵌入在数据信号中的一个或多个计算机产品。软件也可以由一个或 多个设备以分布式的方式进行主控。
从属权利要求和上述的实施方式涉及本发明的不同实施方式。实 施方式所包含的并且涉及本发明的特定方面的主题可以在做必要修 正的情况下应用于本发明的其他方面。
附图说明
现在将通过示例、参考附图来描述本发明的实施方式,其中:
图1示出根据本发明的一个实施方式的移动台的框图;
图2示出根据本发明的一个实施方式的主要组件的示意系统;以 及
图3示出代表根据本发明的一个实施方式的操作的流程图。
具体实施方式
图1示出根据本发明的一个实施方式的移动台(MS)100的框图。 MS 100包括无线块110、包括用于存储长期操作指令122的非易失性 存储器121和工作存储器123的存储器120。MS 100进一步包括处理 器130和用户接口140。所有的这些部件都连接到处理器130。处理 器被配置成从非易失性存储器121读取长期操作指令122并且使用工 作存储器123来运行期望的应用和服务。移动台例如可以是智能电话, 其能够运行运营商特定的和/或用户定义的应用。移动台可以运行符合 开放式规范的软件。然而,移动台100的物理结构并不重要,只要其 允许控制一些基于不同软件的单元彼此的访问。
详细描述本发明的特定实施方式,包括发明人所知的最佳模式。 当使用非认证或非可信软件时,这些实施方式试图限制提供特定服 务,而不需要对每个单独服务常规执行的操作进行全面控制或限制。 一些服务可以被阻止,尽管其包括互操作的但不传送、非可信的软件。 因此,应该提供比使用现有已知的简单阻止对特定资源的访问从而可 能导致不期望的服务更为精细的访问控制的粒度等级。
在描述例子时,做出如下假设:
1.访问控制机制不会阻止任何进程的终止。
2.每个主体所需的状态是固定的。
3.在计算量上,本方法是很少的。
在下文中,在图2中示出根据一个实施方式的本发明的框架的描 述,其基于服务201、服务标识符202、访问控制约束203(也称为沙 盒约束)、主体集204、访问日志205、服务管道(conduit)206和主 体207的概念提供。该框架的目的是提供这样一种功能,即提供对传 送和非传送程序集的行为的可配置约束。
在进一步描述本发明的实施方式前,下面将描述某些术语。当参 考图2阅读时,这些术语可以被最好地理解。
服务包括操作系统中的任何机制,其可用于向主体或者服务管道 提供操作系统的特征、资源或功能的使用。这些机制包括操作系统调 用、设备驱动程序和/或服务器程序。
服务标识符是任何服务的任意唯一名称。该标识符可以静态地分 配或动态地生成。当动态地生成时,服务标识符可以包含一种结构或 符合给定的分层,以便提供唯一性。服务标识符可以例如表示为任意 的位矢量。服务标识符应该可靠地标识一项服务。
资源管道或服务管道,其表示可用于传输数据或提供服务的任何 本地服务。这些本地服务或对象可以例如是具有进程间控制(IPC) 能力的文件或程序。如果在MS 100中使用Symbian操作系统(OS), 则服务管道可以包括服务器程序。服务管道,类似于主体(在下文中 描述),其可以是活的或死的。
主体表示访问控制(即,约束)的对象,例如应用或程序。主体 可以是服务管道并且服务管道可以是主体。每个主体与各自的访问日 志关联。当主体存在于系统中时,其是活的并且其访问日志可用于检 验。死的主体已经执行了其功能并且已经从系统移除。对于死的主体, 没有访问日志必需用于检验。也没有必要存在这样的可用的任何信 息,即关于死的主体已经执行了什么功能、何时执行和/或如何执行。 主体从活的状态到死的状态的改变被称为主体的终止。
访问对象是使用通用名称来覆盖主体和服务管道二者的集体术 语。
通过例如附接将访问日志关联到每个访问对象。访问日志列举了 所有服务的服务标识符,这些服务已经向访问对象提供了服务或信 息。
有时,独立的非传送主体可能集体打破访问控制约束。因此,期 望将主体与主体集相关联,通过该主体集可以计算访问控制约束。这 些集合不需要没有交集,即,不需要不具有公共的元素。
可以被显式计算的主体集包括活的主体。包括活的主体和零个或 多个死的主体的集合被称为主体的历史。主体的完整历史不必显式地 呈现以避免存储器溢出。相反,关于涉及主体历史的访问控制约束的 所有信息必须从死的主体传播到活的主体。假定访问控制约束具有某 种性质时,这是可行的。例如,如果访问控制约束不关心主体历史中 单个主体的访问控制日志内的服务标识符的关系,则可以为主体历史 中的所有死的主体创建单个的访问日志并且简单地将服务标识符从 所有死的主体复制到该访问日志。
在主体集或主体历史中的主体的访问日志上评估访问控制约束, 即访问约束。访问约束优选的是返回布尔值真或假的函数。访问约束 例如使用逻辑方程来实现。针对主体集的访问控制约束应该得到相同 的值,即使主体集中的成员已终止。否则,访问约束可能无法应付主 体的突然终止。
图2示出根据本发明的一个实施方式的主要组件的示例性系统。 特别地,图2示出访问约束系统的不同单元之间的关系。应该理解在 通过服务管道计算服务供应流和通过服务管道计算信息流之间存在 差别。
基于单工或双工关系的发送方和接收方关系,快速计算信息流的 方向。然而,在没有给定服务的性质的特定知识的情况下,不太可能 确定在信息流中是发送方还是接收方正在提供服务。服务可能在复杂 的协议交换的帮助下实施,包括双方的多个信号,由该服务的提供者 或消费者来发起。在不知道准确的协议语法和语义的情况下,计算哪 一方是消费者而哪一方是该服务的生产者是不可行的。建议以下面的 两种方式来解决:为服务加注释(容易确定或计算出哪一方是消费者 而哪一方是生产者)或假设服务在两个方向上提供(即,交换中的双 方都既是消费者又是生产者)。
基本上,本系统可以下面的声明来进行描述:
1.对于每个服务标识符,存在关联的服务集,该服务集排他性地允许 将服务标识符输入到访问日志。
2.如果访问对象访问或使用服务,则该服务的服务标识符被附加到访 问对象的访问日志。
3.如果主体使用或访问服务管道,则主体的访问日志被附加到服务管 道的访问日志,并且反之亦然。
4.如果服务管道访问或使用另一个服务管道,则这些服务管道的访问 日志相互附加。
5.如果服务标识符将要首次被输入到主体的访问日志,则评估访问控 制约束。如果附加服务标识符后访问控制约束被评估为假,则当前 的操作被拒绝。
访问控制约束的评估是基于针对主体集计算访问控制约束。该计 算可以多种方式执行。例如,访问控制约束本身可提供足够的表达力 和信息以隐式地定义这些集合。可选地,主体集可以经由使用基于例 如命题逻辑的分组方程来在访问控制约束中显式地定义。
在通常情况下,可以使用具有谓词P(主体,服务标识符上的命 题逻辑方程)的一阶谓词逻辑来表达访问控制约束,当在主体的访问 日志中的服务标识符之上进行评估时,该谓词P被定义为服务标识符 上的命题逻辑方程的值。
访问控制约束可以各种方式来提供,例如,通过在本发明的实施 方式的制造期间固定访问控制约束,或允许即时策略更新,例如所谓 的安全策略的认证的空中更新。例如,可以通过使用临时的PKI或共 享的秘密来认证访问控制更新消息并且通过因特网或蜂窝网络(例如 GSM)发送它们来提供访问控制约束。此类认证访问控制更新可以包 括新的约束的一个或多个插入和/或老的约束的移除。
一阶谓词逻辑的评估在计算上是繁重的(使用确定性算法,需要 指数级时间),并且照这样的话,折衷的解决方案是有利的并且下面 将描述计算上可行的分组主体以及评估访问控制约束。
系统的动态方面影响访问控制约束的定义。实际上不可避免的是 包括在服务的供应中的任何主体在其执行了功能后,或甚至在它应当 执行其功能时,可能有意或无意地被立即终止。例如,事件链可以是 使得第一主体首先将数据写入到第一文件并且终止。第二主体随后开 始将该数据转发到第二文件。这明显暗示访问日志中的服务标识符的 转移,不过对如何形成主体集不具有明显的影响。
访问控制约束不应该阻止主体的终止。有时,主体可能突然终止。 这会牵连到在主体集上评估的访问控制约束,因为集合中可能包含多 于一个的成员元素并且它们中的任意一个可能终止。
相反地,可以被稳健表达的声明可能限于这些声明,这些声明限 于下面的形式:
·不应存在这样的主体历史,其中活的主体和死的主体的访问日志 无条件地包含定义的服务标识符的逻辑乘法。
·不应该存在单个的活的主体,使得访问日志和主体不能满足可以 以命题逻辑表达的定义的访问控制约束。
下面描述表达访问控制约束的计算上易处理的形式的例子。每个 访问控制约束被划分成分组方程和访问控制方程。分组方程的目的是 计算主体集,其中访问控制方程必须在该主体集上有效。
使用可用的涉及主体属性的命题全域上的命题逻辑来定义分组 方程。例如,如果指示信任等级的标量值可以与每个主体关联,则分 组方程可以作为例如值为42的信任等级阈值而给出。主体可以具有 一组静态的授权。主体也可具有认证的创建者。相应地,可以这样的 形式来声明分组方程,即“具有认证X”并且“未被Y公开”或甚至 “具有<42的信任等级”。分组方程也可以包括将访问控制约束限制 在单个定义的主体的命题。
在本发明的一个实施方式中定义附加的访问控制约束指示 is_singleton(是单元素集合)。如果对于访问控制约束,is_singleton 指示被定义为真,则分组约束产生主体集,该主体集正好包含使得分 组方程评估为真的一个主体。如果指示is_singleton是假,则满足访 问控制约束的分组约束G的所有主体被放置到主体的共同集中。这意 味着如果对应于分组约束G,is_singleton是假,则在任意给定时间, 对于G存在主体的零个或一个历史。如果对于分组约束G,is_singleton 是真,则在任意的时刻,可能存在(活的)主体的许多(或没有)singleton 集合,每个集合恰好包含针对G活着的一个主体。创建像singleton 这样的机制在于允许使用这样形式的访问控制方程,即“如果由id_x 标识的服务不存在于主体的访问日志中,则由id_y标识的服务允许用 于该主体”。通过将超出常规命题逻辑的表达力添加到计算方程,类 似的特征被实现在本发明的可选实施方式中。is_singleton的使用支持 使用标准命题逻辑。使用单独的is_singleton位的优势也在于可以简 单地推断如何从尝试违反策略(即,尝试违反访问控制约束)恢复。 将访问控制约束表示为,其中G是分组方程并 且S是访问控制方程。分组算法可以基本表示如下:
1.对于每个访问控制约束C=
·如果is_singleton是假,并且S不能表达为文字(服务标识符) 的逻辑乘的非,则通知错误。
·如果is_singleton是假,则创建主体集Set_C。
2.对于每个主体:P
·对于每个访问控制约束C=
·如果P满足G,并且is_singleton是假,则
·将P添加到Set_C
·如果P满足G,并且is_singleton是真,则
·创建新的Singleton_C_P
当主体集或访问控制约束改变时,应该运行该算法。当考虑到簿 记时,也可以执行优化。当添加访问控制约束时,时间复杂度是O(1), 当添加主体时,时间复杂度是O(n)(其中n是访问控制约束的数量), 并且当主体被杀死时,时间复杂度是O(1)。
可以通过访问列表中的服务标识符的并集上的评估、使用命题逻 辑来定义访问控制方程。如此,对于整个主体集,访问控制方程固有 地是真或假。
主体集的生命周期和主体的历史(二者如下仅表示为主体的历 史)可以如下示出:
·主体的每个历史H与访问控制约束C=关联。
如果我们具有主体的历史,则可以假设is_singleton是假。
·对于每个历史H,我们也将“死的主体”的单个访问日志L关联。
在H的生命周期,此访问日志L附加在历史H上。在本发明的 一个实施方式中,仅在H被移除后才将L从系统中移除。该 实施方式在当L的大小是常数时尤其适用。
·如果主体P满足访问控制约束C的分组约束G,则P被添加到H。
·如果H中的主体P是死的,则来自P的访问日志的服务标识符被 复制到与H关联的死的主体的访问日志l。如果资源需要被保 留,则P的所有痕迹可以从系统擦除。
·如果H中的主体P访问资源,造成新的服务标识符“x”被添加 到其访问日志,从而“x”在之前并未出现在H中任何主体的 访问日志中,则系统检查即使“x”被添加到P的访问日志, 访问控制方程S也将被满足,否则访问被拒绝。
接着访问控制方程S不能对给定H中的单个主体的访问日志内的 服务标识符的关系感兴趣,而是必须在所述H中的主体的访问日志的 并集上进行评估。这允许表达有意义的约束,同时死的主体可以从系 统完全移除,从而释放系统资源。
Symbian操作系统(OS)上的例子
使用Symbian OS Platsec中的功能位来评估针对约束中的项“G”的命题逻辑。这些位至少包括下面的 功能:网络服务、本地服务、读用户数据、写用户数据和位置。这些 (和其他)功能位稍后在本文中描述。
如果is_singleton是假,则禁止状态基本上是访问日志中不能在 单个主体集的生命周期中全部发生的事件集合。访问控制约束有利的 是Symbian已知的可信计算基础(TCB)的一部分并且仅可由支持 TCB的程序修改、创建、添加和删除。约束被存储在安全路径下,例 如\sys\sandboxes.
为了有效地处理,服务标识符通常是整数。 \sys\sandboxes\identifiers中的表定义了安全标识符(SID)和设置访问 日志中的服务标识符所需的功能。每个标识符有利地赋予人类可读名 称,以便例如结合访问控制方程引用。
定义下面的服务标识:
·麦克风:表示使用麦克风。
·扬声器:表示使用扬声器。
·联网:表示使用联网能力。
·文件系统写:表示使用文件系统来写数据
·文件系统读:表示使用文件系统来读数据
·DRM:表示读取受DRM保护的数据
·Non-UI(用户接口):该服务标识符由不与UI函数关联的所有 系统函数来设置。
分组方程中可用的属性是SID和程序的功能。访问控制方程中可 用的属性是功能和服务标识符。
根据本发明的一个实施方式的访问日志简单的是位矢量,该位矢 量针对每个服务标识符具有一个位。可以简单地使用按位OR操作来 计算两个访问日志的并集,其中按位操作是这样的操作,其中每个位 独立于所有的其他位来处理。两个访问日志可以使用按位OR操作来 进行连接。服务管道通常是进程、服务和文件。访问日志与每个进程 和文件关联。对于每个服务,为其注释相对于通信流的发起方/响应方 关系,服务提供在与信息流相同的方向上,相反的方向上还是双向。
任何文件可以被视为服务管道。如果程序读取或写入到文件,则 根据服务标识符的注释更新文件和程序的访问日志。
将理解到进程间通信稍微有更多的问题,因为由于客户端-服务 器关系可以是任意的,不太容易以稳健的方式推断出正在提供服务的 方向。因此,执行程序和服务器功能到服务和服务管道的严格划分。
·属于可信的计算环境并且不允许在程序间传输信息的程序和系 统调用是考虑的服务
·所有其他程序和系统是考虑的服务管道。
例如,允许设置像素的颜色的系统调用可以被用于隐蔽地将访问 传递给通过访问控制约束的服务。通常地,程序间的任意隐蔽信道可 以用于该目的。如果在服务和不是服务的程序间执行IPC,则所述服 务的服务标识符被附加到程序的访问日志。
联网协议可以被用于甚至在该主操作系统内的该框架外的主体 间进行通信。相同的情况也适用于可移动式介质或模拟信道,例如从 扬声器到麦克风或从显示屏到照相机。这应该在访问控制约束的定义 中考虑。这适用于在外部通信信道(它们是模拟或数字的)存在的情 况下尝试访问控制信息的任意系统。注意到,许多用户接口功能可以 合起来作为程序间的模拟I/O信道。
下面将详细描述访问控制的实施。创建单独的访问控制服务器。 访问控制服务器能够计算主体集并且评估访问控制约束。访问控制服 务器可以是基于软件并且由处理器130提供的。无论何时新的服务标 识符将被添加到访问日志,修改IPC和文件系统基础结构以传播和管 理访问日志,并且询问访问控制服务器。
需要修改的服务是可信计算环境的一部分。尤其应该关注任何存 在的隐蔽信道。Symbian 9中存在对DRM的支持,其可解决进程不 互操作的情形,但针对互操作进程,更为高级的实现应该进一步考虑 隐蔽信道。即使隐蔽信道不能被完全阻止,但在本发明的一个实施方 式中使得它们相对无效。
有两种主要情形,其中本发明的该框架或实施方式对于改进 Symbian上的DRM的状态尤其有效。
首先,当存在具有在其访问日志中设置有DRM服务标识符的进 程时,此类的访问控制约束可以被定义为阻止麦克风的使用。这基本 上阻止了使用正在播放内容的相同手机对内容“重新数字化”。
其次,可以定义下面的约束:如果由不具有DRM功能设置的程 序读取DRM内容,则禁止对设置“非-UI”服务标识符的服务的使用, 除了对于“文件读取”标识符。因此,此类支持非证书认证DRM的 播放器程序可以被运行,从而能够从文件读取指令和/或命令。该约束 阻止该播放器程序通过除了用户接口以外的任意其他方式传送信息。
在本发明的一个实施方式中,也要求不应该具有在相同的主体集 中使用的下面三个服务标识符:麦克风、扬声器和网络,除非软件是 可信的,即,软件满足预定分组方程的非。在现有技术中已知各种分 组方程协商技术。本实施方式支持阻止使用VoIP服务,例如在没有 削弱整个IP栈的情况下。
针对读者的兴趣,下面将进一步描述一种用于在例如Symbian 9 的操作系统中访问控制程序的行为的框架。
OS功能被划分成两个类别,用户功能和系统功能。用户功能是 小的并且相对容易理解的功能集,当安装应用时,用户功能可以被呈 现给设备的所有者。用户功能支持用户来检查当使用应用时,应用不 应该执行任意非预期的操作。系统功能不会被透明地呈现给用户。相 反,系统功能对于用户是隐藏的。这是因为不是系统功能的所有含意 用户都能轻易地理解。
可能用于本发明的不同实施方式中的大多数功能已经在下面的 列表中标识出,连同这些功能可控制的操作权的访问。
网络服务-在没有对其物理位置的任何限制下对远程服务的访问。通 常,电话用户不知道该位置。此外,此类服务可能对电话用户招致费 用。
本地服务-对电话附近的远程服务的访问。远程服务的位置对于电话 用户来说是熟知的。在大多数的情况下,此类服务不会对电话用户招 致费用。
读用户数据*-对对于电话用户来说机密的数据进行读访问。该功能支 持用户的隐私的管理。联系人、消息和约定总被认为是用户机密的数 据。对于例如图像或声音的其他内容来说,视情形而定。
写用户数据*-管理用户数据的完整性。请注意该功能不与读用户数据 相对称。例如,一个人可能希望阻止流氓应用删除音乐轨道,但可能 不希望限制对它们的读访问。如果清楚所有的私有数据是用户数据, 但机密数据的选择更为随意并且可能取决于UI实现。
位置-到设备位置的访问。该功能支持根据电话位置来管理用户的隐 私。
*注意:提供读用户数据功能和写用户数据功能来保护用户的隐私。 例如,不是移动电话的所有数据都必须由这些功能来保护。存在多种 用例,其中就用户而言,特定的应用数据可以是私有的或是公有的。 例如静态图像和视频电影胶片可以相当中性或很敏感,这取决于它们 的主题。联系人、邮件和日历条目通常是个人的。是否有人看到了公 有数据并不重要,但通常私有数据应该被保护以防其他人和恶意的软 件(即,恶意软件)不期望的访问。UI规范应该解决这些问题并且 提供用于保护私有数据的手段。例如可以通过使用口令保护、根据对 给定数据的期望访问(例如,数据的类型)来将数据划分到不同的文 件夹,或通过这些的任意组合,从而实施保护。
在本发明的一个实施方式中,系统功能包括下面项目中的一个或 多个:
-写访问可执行和共享的只读资源。通常,与该功能一样非常重要的 功能授权访问可执行文件并因此访问它们的功能。
-直接访问通信设备驱动程序。
-电源管理,即,杀死系统中任何进程的权利,以关掉未用的外围设 备,从而将机器切换到待机状态,再次唤醒它或完全断电。
-针对例如声音设备、照相机、视频设备的多媒体设备,访问多媒体 设备驱动程序。
-读访问网络运营商、电话制造商和设备机密设置或数据。例如,管 脚锁定码,已安装应用的列表。诸如系统时间的不是机密的设置不需 要由该功能来保护。
-写访问控制设备的行为的设置。例如,设备锁定设置、系统时间、 时区、闹钟。
-访问受保护的内容。DRM代理使用该功能来确定应用是否该访问 DRM内容。被DRM授权的应用可以相信是遵守与该内容关联的权利 的。
-创建可信的UI会话的权利,并且因此在安全的UI环境中显示对话。 当机密性和安全很重要时,可信的UI对话很少,主要与例如口令对 话使用。对用户接口和显示屏的常规访问不需要该功能。
-服务器注册受保护的名称的权利。受保护的名称以“!”开始。内核 将阻止没有ProtServ功能的服务器使用此类名称并且因此将防止受保 护的服务器被模仿。
-对盘管理操作的访问,这影响不止一个文件系统单元(文件或目录) 或影响到整个文件系统完整性和/或行为等。例如,重新格式化盘分区 的权利。
-修改或访问网络协议控制的权利。通常当动作可以改变所有现存的 和未来连接的行为时,其应该由网络控制来保护。例如,强迫特定协 议上的所有现存连接断开或改变呼叫的优先级。
-对整个文件系统的读访问。
-生成软件密钥 & 笔交互事件以及捕获它们中的任何一个而不考虑应 用的状态的权利。当具有焦点时,常规应用将不需要SwEvent成为分 派的密钥和笔交互事件。
有时需要可靠地识别应用和/或其商家。Symbian平台安全模型允 许服务器在不知道它们的请求方的情况下来控制对它们的API的访 问,并且因此避免需要维护访问控制列表。针对偶尔地需要唯一地标 识应用并且甚至其源,提供安全标识符(SID)和商家标识符(VID)。 SID是保证本地唯一的标识符。VID由可执行文件包含,从而提供给 定可执行文件的源的唯一标识。在大多数的情况下,该VID是零,即, 对于任意的安全检查不需要可执行文件的源。
图3示出代表根据本发明的一个实施方式的操作的流程图。流程 图开始于步骤300,其中终端空闲。下面在步骤310中,启动第一任 意应用。该应用使用无线块的一个功能块以便流式向下传输媒体内 容。开始第一任意应用后,在步骤320中,终端检查没有访问约束禁 止第一应用使用无线块。如果找到任何禁止约束,则访问被拒绝并且 应用可能被停止和/或应用可能提供错误消息,并且进程重新开始于步 骤300。相反,在步骤330中,终端识别出将要接收到的媒体内容的 类型并且启动第三方媒体播放器,其由用户配置为用于该媒体类型的 优选播放器。启动了媒体播放器后,终端检查340内容是否被保护。 如果没有被保护,则执行前进到步骤350并且终端允许启动记录,否 则执行跳到步骤360。在步骤360中,检查是否违反了任何访问约束。 假设没有,则终端前进到步骤350。接着,调用的服务或资源启动, 例如使用媒体播放器回放内容(其正在被流式向下传输)。如果步骤 360的检查结果为是,则终端阻止370记录,因为禁止所用功能的联 合。接着,操作重新开始于步骤310。
应该注意到在例如使用在诺基亚通信器中的典型多任务环境中, 在图3中示出的多个流可以同时运行。
本发明的一个实施方式包括在访问控制系统中创建互斥的访问 条件。实施方式可以选择性地支持单独执行多个操作中的任意一个, 但不结合另一个操作。
已经描述了本发明的具体实现和实施方式。本领域技术人员很清 楚本发明不限于上述的实施方式的细节,而是可以在没有偏离本发明 的特性的情况下使用等同手段在其他实施方式中实现。本发明的范围 仅由所附专利权利要求书所限定。
详细描述本发明的特定实施方式,包括发明人所知的最佳模式。 当使用非认证或非可信软件时,这些实施方式试图限制提供特定服 务,而不需要对每个单独服务常规执行的操作进行全面控制或限制。 一些服务可以被阻止,尽管其包括互操作的但不传送、非可信的软件。 因此,应该提供比使用现有已知的简单阻止对特定资源的访问从而可 能导致不期望的服务更为精细的访问控制的粒度等级。
在描述例子时,做出如下假设:
1.访问控制机制不会阻止任何进程的终止。
2.每个主体所需的状态是固定的。
3.在计算量上,本方法是很少的。
在下文中,在图2中示出根据一个实施方式的本发明的框架的描 述,其基于服务201、服务标识符202、访问控制约束203(也称为沙 盒约束)、主体集204、访问日志205、服务管道(conduit)206和主 体207的概念提供。该框架的目的是提供这样一种功能,即提供对传 送和非传送程序集的行为的可配置约束。
在进一步描述本发明的实施方式前,下面将描述某些术语。当参 考图2阅读时,这些术语可以被最好地理解。
服务包括操作系统中的任何机制,其可用于向主体或者服务管道 提供操作系统的特征、资源或功能的使用。这些机制包括操作系统调 用、设备驱动程序和/或服务器程序。
服务标识符是任何服务的任意唯一名称。该标识符可以静态地分 配或动态地生成。当动态地生成时,服务标识符可以包含一种结构或 符合给定的分层,以便提供唯一性。服务标识符可以例如表示为任意 的位矢量。服务标识符应该可靠地标识一项服务。
资源管道或服务管道,其表示可用于传输数据或提供服务的任何 本地服务。这些本地服务或对象可以例如是具有进程间控制(IPC) 能力的文件或程序。如果在MS 100中使用Symbian操作系统(OS), 则服务管道可以包括服务器程序。服务管道,类似于主体(在下文中 描述),其可以是活的或死的。
主体表示访问控制(即,约束)的对象,例如应用或程序。主体 可以是服务管道并且服务管道可以是主体。每个主体与各自的访问日 志关联。当主体存在于系统中时,其是活的并且其访问日志可用于检 验。死的主体已经执行了其功能并且已经从系统移除。对于死的主体, 没有访问日志必需用于检验。也没有必要存在这样的可用的任何信 息,即关于死的主体已经执行了什么功能、何时执行和/或如何执行。 主体从活的状态到死的状态的改变被称为主体的终止。
访问对象是使用通用名称来覆盖主体和服务管道二者的集体术 语。
通过例如附接将访问日志关联到每个访问对象。访问日志列举了 所有服务的服务标识符,这些服务已经向访问对象提供了服务或信 息。
有时,独立的非传送主体可能集体打破访问控制约束。因此,期 望将主体与主体集相关联,通过该主体集可以计算访问控制约束。这 些集合不需要没有交集,即,不需要不具有公共的元素。
可以被显式计算的主体集包括活的主体。包括活的主体和零个或 多个死的主体的集合被称为主体的历史。主体的完整历史不必显式地 呈现以避免存储器溢出。相反,关于涉及主体历史的访问控制约束的 所有信息必须从死的主体传播到活的主体。假定访问控制约束具有某 种性质时,这是可行的。例如,如果访问控制约束不关心主体历史中 单个主体的访问控制日志内的服务标识符的关系,则可以为主体历史 中的所有死的主体创建单个的访问日志并且简单地将服务标识符从 所有死的主体复制到该访问日志。
在主体集或主体历史中的主体的访问日志上评估访问控制约束, 即访问约束。访问约束优选的是返回布尔值真或假的函数。访问约束 例如使用逻辑方程来实现。针对主体集的访问控制约束应该得到相同 的值,即使主体集中的成员已终止。否则,访问约束可能无法应付主 体的突然终止。
图2示出根据本发明的一个实施方式的主要组件的示例性系统。 特别地,图2示出访问约束系统的不同单元之间的关系。应该理解在 通过服务管道计算服务供应流和通过服务管道计算信息流之间存在 差别。
基于单工或双工关系的发送方和接收方关系,快速计算信息流的 方向。然而,在没有给定服务的性质的特定知识的情况下,不太可能 确定在信息流中是发送方还是接收方正在提供服务。服务可能在复杂 的协议交换的帮助下实施,包括双方的多个信号,由该服务的提供者 或消费者来发起。在不知道准确的协议语法和语义的情况下,计算哪 一方是消费者而哪一方是该服务的生产者是不可行的。建议以下面的 两种方式来解决:为服务加注释(容易确定或计算出哪一方是消费者 而哪一方是生产者)或假设服务在两个方向上提供(即,交换中的双 方都既是消费者又是生产者)。
基本上,本系统可以下面的声明来进行描述:
1.对于每个服务标识符,存在关联的服务集,该服务集排他性地允许 将服务标识符输入到访问日志。
2.如果访问对象访问或使用服务,则该服务的服务标识符被附加到访 问对象的访问日志。
3.如果主体使用或访问服务管道,则主体的访问日志被附加到服务管 道的访问日志,并且反之亦然。
4.如果服务管道访问或使用另一个服务管道,则这些服务管道的访问 日志相互附加。
5.如果服务标识符将要首次被输入到主体的访问日志,则评估访问控 制约束。如果附加服务标识符后访问控制约束被评估为假,则当前 的操作被拒绝。
访问控制约束的评估是基于针对主体集计算访问控制约束。该计 算可以多种方式执行。例如,访问控制约束本身可提供足够的表达力 和信息以隐式地定义这些集合。可选地,主体集可以经由使用基于例 如命题逻辑的分组方程来在访问控制约束中显式地定义。
在通常情况下,可以使用具有谓词P(主体,服务标识符上的命 题逻辑方程)的一阶谓词逻辑来表达访问控制约束,当在主体的访问 日志中的服务标识符之上进行评估时,该谓词P被定义为服务标识符 上的命题逻辑方程的值。
访问控制约束可以各种方式来提供,例如,通过在本发明的实施 方式的制造期间固定访问控制约束,或允许即时策略更新,例如所谓 的安全策略的认证的空中更新。例如,可以通过使用临时的PKI或共 享的秘密来认证访问控制更新消息并且通过因特网或蜂窝网络(例如 GSM)发送它们来提供访问控制约束。此类认证访问控制更新可以包 括新的约束的一个或多个插入和/或老的约束的移除。
一阶谓词逻辑的评估在计算上是繁重的(使用确定性算法,需要 指数级时间),并且照这样的话,折衷的解决方案是有利的并且下面 将描述计算上可行的分组主体以及评估访问控制约束。
系统的动态方面影响访问控制约束的定义。实际上不可避免的是 包括在服务的供应中的任何主体在其执行了功能后,或甚至在它应当 执行其功能时,可能有意或无意地被立即终止。例如,事件链可以是 使得第一主体首先将数据写入到第一文件并且终止。第二主体随后开 始将该数据转发到第二文件。这明显暗示访问日志中的服务标识符的 转移,不过对如何形成主体集不具有明显的影响。
访问控制约束不应该阻止主体的终止。有时,主体可能突然终止。 这会牵连到在主体集上评估的访问控制约束,因为集合中可能包含多 于一个的成员元素并且它们中的任意一个可能终止。
相反地,可以被稳健表达的声明可能限于这些声明,这些声明限 于下面的形式:
·不应存在这样的主体历史,其中活的主体和死的主体的访问日志 无条件地包含定义的服务标识符的逻辑乘法。
·不应该存在单个的活的主体,使得访问日志和主体不能满足可以 以命题逻辑表达的定义的访问控制约束。
下面描述表达访问控制约束的计算上易处理的形式的例子。每个 访问控制约束被划分成分组方程和访问控制方程。分组方程的目的是 计算主体集,其中访问控制方程必须在该主体集上有效。
使用可用的涉及主体属性的命题全域上的命题逻辑来定义分组 方程。例如,如果指示信任等级的标量值可以与每个主体关联,则分 组方程可以作为例如值为42的信任等级阈值而给出。主体可以具有 一组静态的授权。主体也可具有认证的创建者。相应地,可以这样的 形式来声明分组方程,即“具有认证X”并且“未被Y公开”或甚至 “具有<42的信任等级”。分组方程也可以包括将访问控制约束限制 在单个定义的主体的命题。
在本发明的一个实施方式中定义附加的访问控制约束指示 is_singleton(是单元素集合)。如果对于访问控制约束,is_singleton 指示被定义为真,则分组约束产生主体集,该主体集正好包含使得分 组方程评估为真的一个主体。如果指示is_singleton是假,则满足访 问控制约束的分组约束G的所有主体被放置到主体的共同集中。这意 味着如果对应于分组约束G,is_singleton是假,则在任意给定时间, 对于G存在主体的零个或一个历史。如果对于分组约束G,is_singleton 是真,则在任意的时刻,可能存在(活的)主体的许多(或没有)singleton 集合,每个集合恰好包含针对G活着的一个主体。创建像singleton 这样的机制在于允许使用这样形式的访问控制方程,即“如果由id_x 标识的服务不存在于主体的访问日志中,则由id_y标识的服务允许用 于该主体”。通过将超出常规命题逻辑的表达力添加到计算方程,类 似的特征被实现在本发明的可选实施方式中。is_singleton的使用支持 使用标准命题逻辑。使用单独的is_singleton位的优势也在于可以简 单地推断如何从尝试违反策略(即,尝试违反访问控制约束)恢复。 将访问控制约束表示为
1.对于每个访问控制约束C=
·如果is_singleton是假,并且S不能表达为文字(服务标识符) 的逻辑乘的非,则通知错误。
·如果is_singleton是假,则创建主体集Set_C。
2.对于每个主体:P
·对于每个访问控制约束C=
·如果P满足G,并且is_singleton是假,则
·将P添加到Set_C
·如果P满足G,并且is_singleton是真,则
·创建新的Singleton_C_P
当主体集或访问控制约束改变时,应该运行该算法。当考虑到簿 记时,也可以执行优化。当添加访问控制约束时,时间复杂度是O(1), 当添加主体时,时间复杂度是O(n)(其中n是访问控制约束的数量), 并且当主体被杀死时,时间复杂度是O(1)。
可以通过访问列表中的服务标识符的并集上的评估、使用命题逻 辑来定义访问控制方程。如此,对于整个主体集,访问控制方程固有 地是真或假。
主体集的生命周期和主体的历史(二者如下仅表示为主体的历 史)可以如下示出:
·主体的每个历史H与访问控制约束C=
如果我们具有主体的历史,则可以假设is_singleton是假。
·对于每个历史H,我们也将“死的主体”的单个访问日志L关联。
在H的生命周期,此访问日志L附加在历史H上。在本发明的 一个实施方式中,仅在H被移除后才将L从系统中移除。该 实施方式在当L的大小是常数时尤其适用。
·如果主体P满足访问控制约束C的分组约束G,则P被添加到H。
·如果H中的主体P是死的,则来自P的访问日志的服务标识符被 复制到与H关联的死的主体的访问日志l。如果资源需要被保 留,则P的所有痕迹可以从系统擦除。
·如果H中的主体P访问资源,造成新的服务标识符“x”被添加 到其访问日志,从而“x”在之前并未出现在H中任何主体的 访问日志中,则系统检查即使“x”被添加到P的访问日志, 访问控制方程S也将被满足,否则访问被拒绝。
接着访问控制方程S不能对给定H中的单个主体的访问日志内的 服务标识符的关系感兴趣,而是必须在所述H中的主体的访问日志的 并集上进行评估。这允许表达有意义的约束,同时死的主体可以从系 统完全移除,从而释放系统资源。
Symbian操作系统(OS)上的例子
使用Symbian OS Platsec中的功能位来评估针对约束
如果is_singleton是假,则禁止状态基本上是访问日志中不能在 单个主体集的生命周期中全部发生的事件集合。访问控制约束有利的 是Symbian已知的可信计算基础(TCB)的一部分并且仅可由支持 TCB的程序修改、创建、添加和删除。约束被存储在安全路径下,例 如\sys\sandboxes.
为了有效地处理,服务标识符通常是整数。 \sys\sandboxes\identifiers中的表定义了安全标识符(SID)和设置访问 日志中的服务标识符所需的功能。每个标识符有利地赋予人类可读名 称,以便例如结合访问控制方程引用。
定义下面的服务标识:
·麦克风:表示使用麦克风。
·扬声器:表示使用扬声器。
·联网:表示使用联网能力。
·文件系统写:表示使用文件系统来写数据
·文件系统读:表示使用文件系统来读数据
·DRM:表示读取受DRM保护的数据
·Non-UI(用户接口):该服务标识符由不与UI函数关联的所有 系统函数来设置。
分组方程中可用的属性是SID和程序的功能。访问控制方程中可 用的属性是功能和服务标识符。
根据本发明的一个实施方式的访问日志简单的是位矢量,该位矢 量针对每个服务标识符具有一个位。可以简单地使用按位OR操作来 计算两个访问日志的并集,其中按位操作是这样的操作,其中每个位 独立于所有的其他位来处理。两个访问日志可以使用按位OR操作来 进行连接。服务管道通常是进程、服务和文件。访问日志与每个进程 和文件关联。对于每个服务,为其注释相对于通信流的发起方/响应方 关系,服务提供在与信息流相同的方向上,相反的方向上还是双向。
任何文件可以被视为服务管道。如果程序读取或写入到文件,则 根据服务标识符的注释更新文件和程序的访问日志。
将理解到进程间通信稍微有更多的问题,因为由于客户端-服务 器关系可以是任意的,不太容易以稳健的方式推断出正在提供服务的 方向。因此,执行程序和服务器功能到服务和服务管道的严格划分。
·属于可信的计算环境并且不允许在程序间传输信息的程序和系 统调用是考虑的服务
·所有其他程序和系统是考虑的服务管道。
例如,允许设置像素的颜色的系统调用可以被用于隐蔽地将访问 传递给通过访问控制约束的服务。通常地,程序间的任意隐蔽信道可 以用于该目的。如果在服务和不是服务的程序间执行IPC,则所述服 务的服务标识符被附加到程序的访问日志。
联网协议可以被用于甚至在该主操作系统内的该框架外的主体 间进行通信。相同的情况也适用于可移动式介质或模拟信道,例如从 扬声器到麦克风或从显示屏到照相机。这应该在访问控制约束的定义 中考虑。这适用于在外部通信信道(它们是模拟或数字的)存在的情 况下尝试访问控制信息的任意系统。注意到,许多用户接口功能可以 合起来作为程序间的模拟I/O信道。
下面将详细描述访问控制的实施。创建单独的访问控制服务器。 访问控制服务器能够计算主体集并且评估访问控制约束。访问控制服 务器可以是基于软件并且由处理器130提供的。无论何时新的服务标 识符将被添加到访问日志,修改IPC和文件系统基础结构以传播和管 理访问日志,并且询问访问控制服务器。
需要修改的服务是可信计算环境的一部分。尤其应该关注任何存 在的隐蔽信道。Symbian 9中存在对DRM的支持,其可解决进程不 互操作的情形,但针对互操作进程,更为高级的实现应该进一步考虑 隐蔽信道。即使隐蔽信道不能被完全阻止,但在本发明的一个实施方 式中使得它们相对无效。
有两种主要情形,其中本发明的该框架或实施方式对于改进 Symbian上的DRM的状态尤其有效。
首先,当存在具有在其访问日志中设置有DRM服务标识符的进 程时,此类的访问控制约束可以被定义为阻止麦克风的使用。这基本 上阻止了使用正在播放内容的相同手机对内容“重新数字化”。
其次,可以定义下面的约束:如果由不具有DRM功能设置的程 序读取DRM内容,则禁止对设置“非-UI”服务标识符的服务的使用, 除了对于“文件读取”标识符。因此,此类支持非证书认证DRM的 播放器程序可以被运行,从而能够从文件读取指令和/或命令。该约束 阻止该播放器程序通过除了用户接口以外的任意其他方式传送信息。
在本发明的一个实施方式中,也要求不应该具有在相同的主体集 中使用的下面三个服务标识符:麦克风、扬声器和网络,除非软件是 可信的,即,软件满足预定分组方程的非。在现有技术中已知各种分 组方程协商技术。本实施方式支持阻止使用VoIP服务,例如在没有 削弱整个IP栈的情况下。
针对读者的兴趣,下面将进一步描述一种用于在例如Symbian 9 的操作系统中访问控制程序的行为的框架。
OS功能被划分成两个类别,用户功能和系统功能。用户功能是 小的并且相对容易理解的功能集,当安装应用时,用户功能可以被呈 现给设备的所有者。用户功能支持用户来检查当使用应用时,应用不 应该执行任意非预期的操作。系统功能不会被透明地呈现给用户。相 反,系统功能对于用户是隐藏的。这是因为不是系统功能的所有含意 用户都能轻易地理解。
可能用于本发明的不同实施方式中的大多数功能已经在下面的 列表中标识出,连同这些功能可控制的操作权的访问。
网络服务-在没有对其物理位置的任何限制下对远程服务的访问。通 常,电话用户不知道该位置。此外,此类服务可能对电话用户招致费 用。
本地服务-对电话附近的远程服务的访问。远程服务的位置对于电话 用户来说是熟知的。在大多数的情况下,此类服务不会对电话用户招 致费用。
读用户数据*-对对于电话用户来说机密的数据进行读访问。该功能支 持用户的隐私的管理。联系人、消息和约定总被认为是用户机密的数 据。对于例如图像或声音的其他内容来说,视情形而定。
写用户数据*-管理用户数据的完整性。请注意该功能不与读用户数据 相对称。例如,一个人可能希望阻止流氓应用删除音乐轨道,但可能 不希望限制对它们的读访问。如果清楚所有的私有数据是用户数据, 但机密数据的选择更为随意并且可能取决于UI实现。
位置-到设备位置的访问。该功能支持根据电话位置来管理用户的隐 私。
*注意:提供读用户数据功能和写用户数据功能来保护用户的隐私。 例如,不是移动电话的所有数据都必须由这些功能来保护。存在多种 用例,其中就用户而言,特定的应用数据可以是私有的或是公有的。 例如静态图像和视频电影胶片可以相当中性或很敏感,这取决于它们 的主题。联系人、邮件和日历条目通常是个人的。是否有人看到了公 有数据并不重要,但通常私有数据应该被保护以防其他人和恶意的软 件(即,恶意软件)不期望的访问。UI规范应该解决这些问题并且 提供用于保护私有数据的手段。例如可以通过使用口令保护、根据对 给定数据的期望访问(例如,数据的类型)来将数据划分到不同的文 件夹,或通过这些的任意组合,从而实施保护。
在本发明的一个实施方式中,系统功能包括下面项目中的一个或 多个:
-写访问可执行和共享的只读资源。通常,与该功能一样非常重要的 功能授权访问可执行文件并因此访问它们的功能。
-直接访问通信设备驱动程序。
-电源管理,即,杀死系统中任何进程的权利,以关掉未用的外围设 备,从而将机器切换到待机状态,再次唤醒它或完全断电。
-针对例如声音设备、照相机、视频设备的多媒体设备,访问多媒体 设备驱动程序。
-读访问网络运营商、电话制造商和设备机密设置或数据。例如,管 脚锁定码,已安装应用的列表。诸如系统时间的不是机密的设置不需 要由该功能来保护。
-写访问控制设备的行为的设置。例如,设备锁定设置、系统时间、 时区、闹钟。
-访问受保护的内容。DRM代理使用该功能来确定应用是否该访问 DRM内容。被DRM授权的应用可以相信是遵守与该内容关联的权利 的。
-创建可信的UI会话的权利,并且因此在安全的UI环境中显示对话。 当机密性和安全很重要时,可信的UI对话很少,主要与例如口令对 话使用。对用户接口和显示屏的常规访问不需要该功能。
-服务器注册受保护的名称的权利。受保护的名称以“!”开始。内核 将阻止没有ProtServ功能的服务器使用此类名称并且因此将防止受保 护的服务器被模仿。
-对盘管理操作的访问,这影响不止一个文件系统单元(文件或目录) 或影响到整个文件系统完整性和/或行为等。例如,重新格式化盘分区 的权利。
-修改或访问网络协议控制的权利。通常当动作可以改变所有现存的 和未来连接的行为时,其应该由网络控制来保护。例如,强迫特定协 议上的所有现存连接断开或改变呼叫的优先级。
-对整个文件系统的读访问。
-生成软件密钥 & 笔交互事件以及捕获它们中的任何一个而不考虑应 用的状态的权利。当具有焦点时,常规应用将不需要SwEvent成为分 派的密钥和笔交互事件。
有时需要可靠地识别应用和/或其商家。Symbian平台安全模型允 许服务器在不知道它们的请求方的情况下来控制对它们的API的访 问,并且因此避免需要维护访问控制列表。针对偶尔地需要唯一地标 识应用并且甚至其源,提供安全标识符(SID)和商家标识符(VID)。 SID是保证本地唯一的标识符。VID由可执行文件包含,从而提供给 定可执行文件的源的唯一标识。在大多数的情况下,该VID是零,即, 对于任意的安全检查不需要可执行文件的源。
图3示出代表根据本发明的一个实施方式的操作的流程图。流程 图开始于步骤300,其中终端空闲。下面在步骤310中,启动第一任 意应用。该应用使用无线块的一个功能块以便流式向下传输媒体内 容。开始第一任意应用后,在步骤320中,终端检查没有访问约束禁 止第一应用使用无线块。如果找到任何禁止约束,则访问被拒绝并且 应用可能被停止和/或应用可能提供错误消息,并且进程重新开始于步 骤300。相反,在步骤330中,终端识别出将要接收到的媒体内容的 类型并且启动第三方媒体播放器,其由用户配置为用于该媒体类型的 优选播放器。启动了媒体播放器后,终端检查340内容是否被保护。 如果没有被保护,则执行前进到步骤350并且终端允许启动记录,否 则执行跳到步骤360。在步骤360中,检查是否违反了任何访问约束。 假设没有,则终端前进到步骤350。接着,调用的服务或资源启动, 例如使用媒体播放器回放内容(其正在被流式向下传输)。如果步骤 360的检查结果为是,则终端阻止370记录,因为禁止所用功能的联 合。接着,操作重新开始于步骤310。
应该注意到在例如使用在诺基亚通信器中的典型多任务环境中, 在图3中示出的多个流可以同时运行。
本发明的一个实施方式包括在访问控制系统中创建互斥的访问 条件。实施方式可以选择性地支持单独执行多个操作中的任意一个, 但不结合另一个操作。
已经描述了本发明的具体实现和实施方式。本领域技术人员很清 楚本发明不限于上述的实施方式的细节,而是可以在没有偏离本发明 的特性的情况下使用等同手段在其他实施方式中实现。本发明的范围 仅由所附专利权利要求书所限定。
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
分析报告
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。
访问热门专利
QQ群二维码
意见反馈
意见反馈