当前位置: 首页 > 专利查询>诺基亚公司专利>正文

访问控制制造技术

技术编号:2821324 阅读:157 留言:0更新日期:2012-04-11 18:40
向具有各种资源并且能够使用该资源来执行任意计算机可执行应用的数据处理终端提供访问控制。维护条件访问控制约束的集合,其用于定义可由应用联合使用的可允许的资源组合;仅允许应用在可允许的资源组合的约束内运行,该可允许的资源组合由运行的应用联合使用。约束使用分配给不同访问对象的访问日志以及使用存储在对应于所使用的服务的访问日志中的服务标识符来定义。应用命题逻辑来确定可联合使用的可允许的资源和/或服务的组合。

【技术实现步骤摘要】
【国外来华专利技术】
本专利技术一般地涉及访问控制。更具体地,但不排他性地,本专利技术 涉及对不同主体(principal)的基于软件的访问控制。
技术介绍
当前例如移动电话的移动设备正在不断地植入更为复杂的特征 (例如音乐和视频播放器以及电子书功能),这些特征使用版权受保 护的内容,该内容的销售应该被保护。偶然地或永久性地限制对类似 计算机的设备的某些特征的访问是有用的,从而避免计算机病毒、蠕 虫和出于恶意目的而设计的其他所谓恶意软件的传播。一些操作系统已经使用基于资源的访问控制,其用于将认证的程 序或用户的信任等级映射到访问策略。也可以要求使用的每个应用被 可靠地证书证明为已认证。这支持将每个应用的访问限制到仅对给定 的允许的资源。然而,如果用户应该能够使用任意的应用(可能是未 认证的程序)来访问一些对于某个特定的操作而言很重要的访问受控 制的资源,则这样的访问控制机制可能有问题。例如,各种设备的用户配备有应该能够处理受数字版权管理 (DRM)保护的数据的媒体播放器。为了符合一些DRM方案,媒体 播放器应该被认证或证书证明。然而,认证每个媒体播放器是昂贵的 并且麻烦的,因为即使在每个微小的打补丁或更新之后,都需要媒体 播放器换发新证和签名。证书证明是必要的,从而确保由程序管理的 任意数据绝不会被传递到另一个程序、设备或用户。
技术实现思路
本专利技术的目的是避免或至少减轻现有技术的问题和/或提供新的技术替代方案。根据本专利技术的第 一 方面,提供一种用于在具有各种资源的数据处 理终端中控制任意计算机可执行应用对资源的访问的方法,包括维护条件访问控制约束的集合,其用于定义可由应用联合使用的可允许的资源组合;以及使得仅在可允许的资源组合的约束内运行应用,该可允许的资源组合由运行的应用联合使用。有利地,可以基于访问控制约束对任意应用进行访问控制。 当资源可以同时和/或按顺序使用时,该资源可以被定义为可联合使用。有利地,非可允许的组合的定义可以支持排除禁止的资源组合, 特别是由不能被相信是为遵守版权而设计的非证书证明的应用使用。访问控制约束可以定义至少两个互斥的功能块或至少两个互斥 的功能块的组合。通过访问控制对象来定义所述访问控制约束。不同的服务分配有 相应的服务标识符,不同的访问对象与相应的访问日志和针对访问对 象的服务调用相关联,以及由此调用服务的服务标识符被相应地存储 在^^皮调用的月1务的访问日志中。访问控制约束可以是这样的函数,每 个函数能够基于一个或多个访问日志来返回单个布尔值。提供具有指示使用给定访问控制对象的服务的服务标识符的访 问曰志并且计算布尔值作为访问控制约束的输出可得到计算上简单 的访问控制机制。任意应用对可联合使用的不同服务的访问也可由维护的条件访 问控制约束通过使得仅在可允许的服务组合的约束内运行应用而进 行控制,该可允许的服务组合由运行的应用联合使用。根据本专利技术的第二方面,提供一种数据处理终端,其具有各种资源并且能够使用资源执行任意计算机可执行的应用,包括存储器,用于维护条件访问控制约束的集合,该条件访问控制约允许的资源组合由运行的应用联合使用。根据本专利技术的第三方面,提供一种用于在具有各种资源的数据处 理终端中控制操作以便控制任意计算机可执行应用对资源的访问的计算机程序,包括计算机程序代码,用于使得终端维护条件访问控制约束的集合,计算机程序代码,其使得终端能够仅在可允许的资源组合的约束 内运"ff应用,该可允许的资源组合由运行的应用耳关合使用。根据本专利技术的第四方面,提供一种用于在具有各种资源的数据处 理终端中控制操作以便控制任意计算机可执行应用对资源的访问的子组件,该子组件包括用于使得终端维护条件访问控制约束的集合的装置,该条件访问 控制约束的集合用于定义可由应用联合使用的可允许的资源组合;以 及装置,该可允许的资源组合由运行的应用联合使用。用于使得终端维护条件访问控制约束的集合的装置和/或用于使 得终端能够仅在可允许的资源组合的约束内运行应用的装置可以基 于下面的任意组合芯片组电路和存储在一个或多个芯片组中的计算 机代码。根据本专利技术的第五方面,提供一种制造和控制具有各种资源的数 据处理终端从而控制任意计算机可执行应用对资源的访问的方法,包 括在所述终端中存储计算机程序代码,该计算机程序代码用于使得 终端维护条件访问控制约束的集合,该条件访问控制约束的集合用于 定义可由应用联合使用的可允许的资源组合;以及在所述终端中存储计算机程序代码,该计算机程序代码用于使得终端能够仅在可允许的资源组合的约束内运行应用,该可允许的资源 组合由运行的应用耳关合^吏用。计算机程序代码或软件可以提供为携带和/或存储在数据介质上 或嵌入在数据信号中的一个或多个计算机产品。软件也可以由一个或 多个设备以分布式的方式进行主控。正的情况下应用于本专利技术的其他方面。 附图说明现在将通过示例、参考附图来描述本专利技术的实施方式,其中图1示出根据本专利技术的一个实施方式的移动台的框图;图2示出根据本专利技术的一个实施方式的主要组件的示意系统;以及图3示出代表根据本专利技术的一个实施方式的操作的流程图。具体实施方式图1示出根据本专利技术的一个实施方式的移动台(MS)100的框图。 MS 100包括无线块110、包括用于存储长期操作指令122的非易失性 存储器121和工作存储器123的存储器120。 MS 100进一步包括处理 器130和用户接口 140。所有的这些部件都连接到处理器130。处理 器被配置成从非易失性存储器121读取长期操作指令122并且使用工 作存储器123来运行期望的应用和服务。移动台例如可以是智能电话, 其能够运行运营商特定的和/或用户定义的应用。移动台可以运行符合 开放式规范的软件。然而,移动台100的物理结构并不重要,只要其 允许控制 一 些基于不同软件的单元彼此的访问。详细描述本专利技术的特定实施方式,包括专利技术人所知的最佳模式。 当使用非认证或非可信软件时,这些实施方式试图限制提供特定服 务,而不需要对每个单独服务常规执行的操作进行全面控制或限制。一些服务可以被阻止,尽管其包括互操作的但不传送、非可信的软件。 因此,应该提供比使用现有已知的简单阻止对特定资源的访问从而可 能导致不期望的服务更为精细的访问控制的粒度等级。 在描述例子时,做出如下假设1. 访问控制机制不会阻止任何进程的终止。2. 每个主体所需的状态是固定的。3. 在计算量上,本方法是很少的。在下文中,在图2中示出根据一个实施方式的本专利技术的框架的描 述,其基于服务201、服务标识符202、访问控制约束203 (也称为沙 盒约束)、主体集204、访问日志205、服务管道(conduit) 206和主 体207的概念提供。该框架的目的是提供这样一种功能,即提供对传 送和非传送程序集的行为的可配置约束。在进一步描述本专利技术的实施方式前,下面将描述某些术语。当参 考图2阅读时,这些术语可以被最好地理解。服务包括操作系统中的任何机制,其可用于向主体或者服务管道 提供操作系统的特征、资源或功能的使用。这些机制包括操作系统调 用、设备驱动程序和/或服务器程序。服务标识符是任何服务的任意唯 一 名称。该标识符可以静态地分 配或动态地生成。当动态地生成时,服务标识符可以包含一种结构或 符合给定的本文档来自技高网...

【技术保护点】
一种用于在具有各种资源的数据处理终端中控制任意计算机可执行应用对资源的访问的方法,包括: 维护条件访问控制约束的集合,其用于定义可由应用联合使用的可允许的资源组合;以及 使得仅在可允许的资源组合的约束内运行应用,该可允许的资源组合由运行的应用联合使用。

【技术特征摘要】
【国外来华专利技术】

【专利技术属性】
技术研发人员:L塔尔卡拉
申请(专利权)人:诺基亚公司
类型:发明
国别省市:FI[芬兰]

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1
相关领域技术
  • 暂无相关专利