阻挡非授权应用程序的方法以及使用该方法的装置制造方法及图纸

本发明专利技术提出一种阻挡非授权应用程序的方法以及使用该方法的装置，该阻挡非授权应用程序的方法，由处理单元载入并执行母板支持服务的程序码时实施，且包含以下步骤：从应用程序接收输入参数，以及通过检查输入参数的内容以判断应用程序是否通过验证；当应用程序通过验证时，乱数产生会话密钥，储存会话密钥至文件并且储存此文件至储存装置中只能被母板支持服务及应用程序存取的路径；以及回复路径及文件的文件名给应用程序。本发明专利技术能够避免硬件遭受恶意攻击。

Method for blocking unauthorized applications and device using the method

The invention provides a method for blocking unauthorized applications and device using the method, the method of blocking unauthorized applications, implemented by the processing unit load and motherboard support service code execution, and comprises the following steps: receiving input parameters from the application, and by checking the input parameters to determine whether the application is verified; when the application is verified when the random number generation session key and session key to store files and store the file path to only storage device is the motherboard support service and application access; and the return path and file name for the application. The invention can avoid malicious attack of hardware.

【技术实现步骤摘要】
阻挡非授权应用程序的方法以及使用该方法的装置
本专利技术有关一种计算机安全技术，特别是一种阻挡非授权应用程序的方法以及使用该方法的装置。
技术介绍
于计算机安全情境，黑客寻找并攻击计算机系统中的弱点。企业通常会因为这些攻击而遭受伤害，例如危害计算机服务、客户私人数据遭窃、降低利润或声誉等。为防止计算机系统遭受攻击，需要一种阻挡非授权应用程序的方法以及使用该方法的装置。
技术实现思路
本专利技术的实施例提出一种阻挡非授权应用程序的方法，由处理单元载入并执行母板支持服务的程序码时实施，且包含以下步骤：从应用程序接收输入参数，以及通过检查输入参数的内容以判断应用程序是否通过验证；当应用程序通过验证时，乱数产生会话密钥，储存会话密钥至文件并且储存此文件至储存装置中只能被母板支持服务及应用程序存取的路径；以及回复路径及文件的文件名给应用程序，使得应用程序可从文件取得会话密钥并使用会话密钥加密及解密于母板支持服务及应用程序间传递的数据。本专利技术的实施例另提出一种阻挡非授权应用程序的方法，包含以下步骤：第一计算机装置中的处理单元从第二计算机装置接收请求，其中包含电子申请表，以及电子申请表包含版本编号以及客户识别码；处理单元使用一把私钥加密电子申请表以产生数字证书，其中，私钥相应于一把公钥，此公钥储存于母板中的非易失性存储器，此母板设置于第一计算机装置及第二计算机装置之外的电子设备；以及处理单元回复数字证书给上述计算机装置。本专利技术的实施例提出一种阻挡非授权应用程序的装置，包含处理单元。处理单元传送请求给服务器，包含应用程序的数字证书，当从服务器接收到请求允许时，于指定目录下读取文件中的会话密钥，使用会话密钥加密通信数据，传送加密后的通信数据给服务器。本专利技术的实施例另提出一种阻挡非授权应用程序的装置，包含处理单元。处理单元从客户端接收请求，包含应用程序的数字证书，以及通过检查数字证书判断请求是否合法，当请求合法时，处理单元产生会话密钥，于指定目录下建立文件，从数字证书中取得用户识别码，设定文件的存取权限为只能被指定用户识别码的处理读取，将会话密钥储存至文件，以及回复请求允许给客户端。本专利技术能够避免硬件遭受恶意攻击。附图说明图1是依据本专利技术实施例的网路架构示意图。图2是依据本专利技术实施例的电子设备的系统架构图。图3是依据本专利技术实施例的计算机装置的系统架构图。图4是依据本专利技术实施例的数字证书产生方法。图5A至5B是依据本专利技术实施例的阻挡非授权应用程序的方法，于处理单元载入并执行相应于母板支持服务的初始化事件的程序码时实施。图6A至6F是依据本专利技术实施例的应用程序验证示意图。图7是依据本专利技术实施例的阻挡非授权应用程序的装置的方块图。图8是依据本专利技术实施例的阻挡非授权应用程序的装置的方法流程图。其中，附图中符号的简单说明如下：100：局域网/因特网；110：母板生产者的计算机；130：设备制造者的计算机；150_1、…、150_n：母板；210：处理单元；220：非易失性存储器；230：输出/入接口；240_1、…、240_m：硬件装置；250：易失性存储器；260：通信接口；270：储存装置；310：处理单元；320：显示单元；330：输入装置；340：储存单元；350：存储器；360：通信接口；S411～S437：方法步骤；S511～S591：方法步骤；610：母板支持服务；630：应用程序；650_1、…、650_3：状态数据库；670_1、…、670_5：数字证书；710：服务器；711：公钥；713：会话密钥；715：文件；730：客户端；731：应用程序；733：数字证书；733a：私钥；733b：电子申请表；735：通信数据。具体实施方式以下说明为完成专利技术的较佳实现方式，其目的在于描述本专利技术的基本精神，但并不用以限定本专利技术。实际的
技术实现思路
必须参考权利要求书的范围。必须了解的是，使用于本说明书中的“包含”、“包括”等词，用以表示存在特定的技术特征、数值、方法步骤、操作处理、元件以及/或组件，但并不排除可加上更多的技术特征、数值、方法步骤、操作处理、元件、组件，或以上的任意组合。于权利要求中使用如“第一”、“第二”、“第三”等词用来修饰权利要求中的元件，并非用来表示之间具有优先权顺序，先行关系，或者是一个元件先于另一个元件，或者是执行方法步骤时的时间先后顺序，仅用来区别具有相同名字的元件。本专利技术实施例提出一种网路架构，用以实施电子设备(electronicequipment)的制造。图1是依据本专利技术实施例的网路架构示意图。母板生产者可写入母板支持服务(boardsupportservice)及公钥(publickey)至母板(motherboard)150_1至150_n中的非易失性存储器，例如，只读存储器(ROM,Read-onlyMemory)、可抹除可编程只读存储器(ErasableProgrammableReadOnlyMemory)、快闪存储器(flashmemory)等。母板支持服务为底层的驱动程序库(driverlibrary)，当母板上的处理单元执行母板支持服务时，控制连接于母板的硬件装置。母板150_1至150_n可被设备制造者组装至不同的电子设备中，例如，工业用个人计算机(industrialPC)、数字看板(digitalbillboard)、销售时点情报系统(point-of-salesystem)、监控系统(surveillancesystems)、物联网(IoT,InternetofThings)设备等。工业用个人计算机可用来进行制程控制以及/或取得量测数据。数字看板可设计来于一天的多个时段显示跑马文字或不同画面。销售时点情报系统可包含结账机台，包括电子收银抽屉、条码扫描器、信用卡读取设备、收据或发票印刷设备或以上的任意组合。销售时点情报系统用以记录每一笔刚发生的销售，使得可即时反应在库存记录上。监控系统可包含监控主机及监控摄相头。监控摄相头可为视频摄像头，用以监视特定区域，而监控主机可包含记录装置，用以记录及压缩从监控摄相头取得的影像，以及储存压缩视频至可供搜寻的数据库。物联网设备可为实体装置，嵌入电子电路、软件、感测器及连接器，使得此装置可与其他连接装置交换数据。物联网设备允许装置进行感测，以及跨网路基础建设进行控制。物联网设备包括如照明控制系统、智能电视、门禁控制系统等。设备制造者的计算机130可通过局域网(LAN,LocalAreaNetwork)或因特网(Internet)100连接上母板生产者的计算机110。计算机130可传送请求至计算机110，请求中包含申请表。接着，计算机130从计算机110取得数字证书(digitalcertificate)，并将数字证书整合入设备制造者开发的应用程序，用以操作母板支持服务。应用程序可为安卓应用程序(AndroidApp)。安桌操作系统的文件系统权限管理沿用于Linux操作系统。于安卓操作系统中，为保证安全性，每个应用程序都有唯一的软件包名称(packagename)。执行时，应用程序的处理(process)都有唯一的用户识别码(UID,UserIdentifier)。特定处理建立的文件只有相应软件包名称的应用程序可被允许存取。计算机130将本文档来自技高网...

【技术保护点】
一种阻挡非授权应用程序的方法，其特征在于，由处理单元载入并执行母板支持服务的程序码时实施，且包含：从应用程序接收输入参数；通过检查上述输入参数的内容以判断上述应用程序是否通过验证；当上述应用程序通过验证时，乱数产生会话密钥，储存上述会话密钥至文件并且储存上述文件至储存装置中只能被上述母板支持服务及上述应用程序存取的路径；以及回复上述路径及上述文件的文件名给上述应用程序，使得上述应用程序从上述文件取得上述会话密钥并使用上述会话密钥加密及解密于上述母板支持服务及上述应用程序间传递的数据。

【技术特征摘要】
1.一种阻挡非授权应用程序的方法，其特征在于，由处理单元载入并执行母板支持服务的程序码时实施，且包含：从应用程序接收输入参数；通过检查上述输入参数的内容以判断上述应用程序是否通过验证；当上述应用程序通过验证时，乱数产生会话密钥，储存上述会话密钥至文件并且储存上述文件至储存装置中只能被上述母板支持服务及上述应用程序存取的路径；以及回复上述路径及上述文件的文件名给上述应用程序，使得上述应用程序从上述文件取得上述会话密钥并使用上述会话密钥加密及解密于上述母板支持服务及上述应用程序间传递的数据。2.根据权利要求1所述的阻挡非授权应用程序的方法，其特征在于，上述母板支持服务及上述应用程序间的数据传递为处理程序间通信。3.根据权利要求1所述的阻挡非授权应用程序的方法，其特征在于，于储存上述会话密钥至文件并且储存上述文件至储存装置中只能被上述母板支持服务及上述应用程序存取的路径的步骤中还包含：于相应于上述应用程序的软件包名称的私有文件夹下建立上述文件；设定上述文件的权限为只能被相应于上述软件包名称的指定UID的处理读取；以及将上述会话密钥储存至上述文件。4.根据权利要求1所述的阻挡非授权应用程序的方法，其特征在于，当储存装置储存的状态数据库处于初始状态时，判断上述应用程序通过验证。5.根据权利要求4所述的阻挡非授权应用程序的方法，其特征在于，上述输入参数包含数字证书，且该阻挡非授权应用程序的方法还包含：使用非易失性存储器储存的公钥解密上述数字证书以取得第一客户识别码及第一版本编号；以及更新上述状态数据库中的第二客户识别码及第二版本编号成为上述第一客户识别码及上述第一版本编号。6.根据权利要求1所述的阻挡非授权应用程序的方法，其特征在于，上述输入参数包含数字证书，当储存装置储存的状态数据库中的客户识别码与上述数字证书中的客户识别码不相符时，判断上述应用程序不通过验证。7.根据权利要求1所述的阻挡非授权应用程序的方法，其特征在于，上述输入参数包含数字证书，当上述数字证书中的第一客户识别码与储存装置储存的状态数据库中的第二客户识别码相符、但上述数字证书中的第一版本编号较新于上述状态数据库中的第二版本编号时，判断上述应用程序通过验证。8.根据权利要求7所述的阻挡非授权应用程序的方法，其特征在于，还包含：使用非易失性存储器储存的公钥解密上述数字证书以取得上述第一客户识别码及上述第一版本编号；以及更新上述状态数据库中的上述第二版本编号成为上述第一版本编号。9.根据权利要求1所述的阻挡非授权应用程序的方法，其特征在于，上述输入参数包含数字证书，当上述数字证书中的客户识别码与储存装置储存的状态数据库中的客户识别码相符、但上述数字证书中的版本编号较旧于上述状态数据库中的版本编号时，判断上述应用程序不通过验证。10.根据权利要求1所述的阻挡非授权应用程序的方法，其特征在于，上述输入参数包含数字证书，当解密上述数字证书失败时，判断上述应用程序不通过验证。11.根据权利要求1所述的阻挡非授权应用程序的方法，其特征在于，上述母板支持服务及上述应用程序执行于Linux或安卓操作系统。12.一种阻挡非授权应用程序的方法，其特征在于，包含：第一计算机装置中的第一处理单元从第二计算机装置接收请求，其中，上述请求包含电子申请表，以及上述电子申请表包...

【专利技术属性】
技术研发人员：吴光辉，刘静林，
申请(专利权)人：威盛电子股份有限公司，
类型：发明
国别省市：中国台湾,71