本发明专利技术涉及一种计算机系统鉴认应用程序的方法,所述系统包括:微处理器;多个应用程序;开放的通用操作系统(OS2),能够执行和管理所述应用程序,特别将每个应用程序的标识符(3)与执行它所需的标识信息相关联;被信任的环境(EC),向所述应用程序提供服务。根据本发明专利技术,在应用程序访问被信任的环境的服务前,在所述应用程序的标识信息上执行散列操作,被信任的环境(EC)验证所述散列操作的结果的真实性。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及鉴认计算机系统的应用程序的方法。
技术介绍
计算机系统被认为其中某个数量的“被信任的”服务运行于安全的本地环境(被信任的环境)。这些服务提供了可从该被信任的环境之外访问的功能。目的因此就是控制有权访问每个功能的人(及其应用)。例如,数字权利管理(DRM)代理可采用的情况,它被执行于被信任的环境。这个DRM代理管理用于读取被DRM许可保护的MP3文件的授权。例如,这个许可包括读取MP3文件直至有限日期的权利。DRM代理负责验证许可条件被遵守。操作于被信任的环境在这个任务中有所帮助:例如,它保证了本地系统的时间和日期。如果条件被遵守,DRM代理授权对MP3文件的读取。为了这个目的,它必须给标准MP3播放机应用程序(它在标准区域被执行,即被信任的环境之外)提供解码该MP3文件的钥匙。明显地,DRM代理不应该提供这个钥匙给未知MP3播放机应用(例如可能将其张贴到互联网上......)。从这个例子可见安全服务(DRM代理)必须鉴认引起MP3文件的读取的标准应用程序(MP3播放机)。进一步地,在封闭环境中本地服务容易鉴认另一个本地应用程序,不管它们是封闭的操作系统(即其中所有应用程序都是在管理员或批准的使用者的操纵下初始安装的)还是执行环境。的确,如果是封闭操作系统,应用程序的安装本身是其真实性的保证,因为只有被授权者才能完成这个操作。如果是执行环境(虚拟机器),问题仅稍微复杂些因为应用程序的格式设计成向虚拟机器提供验证其真实性-->或完整性的装置(通过其建立,虚拟机器处理它执行的应用程序的码)。在开放系统的情况下问题大大复杂了,其中新的应用程序可自由下载或安装,而且其中有很多工具用于开发、修改、排除故障、跟踪应用程序。但是,寻求解决方案的需要甚至更加关键因为开放系统在包括装载计算机(或埋入式)系统如移动电话、便携多媒体播放机或PDA(个人数字助理)的领域中应用得越来越频繁。随之,某些系统选择在开放系统内集成改进的安全机制。这就是例如在某些操作系统如Linux、特别是SELinux(注册商标)中发现的功能的情况,其中操作系统集成了授权的概念(授权的例子:“诚实的MP3播放机应用程序被授权采用DRM代理的服务”)。这个解决方案有以下好处:·它是侵入式的:整个操作系统必须基于这个概念并被重写以包括这个概念。不是为此而编程的操作系统因此必须进行相当的修改以包括这个。·授权配置对于系统的管理者是个永久的问题,因为有许多必须进行的一般情况的例外;进一步地,授权可能随时间而改变。·应用程序的鉴认委托给操作系统,这不是它的角色。操作系统的作用是管理彼此之间相对的任务,而不是完成安全操作。已知把安全处理委托给通用实体是个坏实践。相反,它们应该被组合在专用的、受限的模块。其他解决方案如“被信任的计算”模块基于特定的安全硬件(被信任的平台模块——TPM)和加密认证机理的出现。在这种情况下,TPM负责提供具有本地系统的真实性保证的外部实体。但是,加密认证设计成提供全局系统而不是给定应用(没有采用鉴认本地应用的TPM)的保证;进一步地,专用硬件的增加不是必须在所有场合下都可以(因为技术和/或商业理由)。
技术实现思路
-->本专利技术的具体目的因此是通过以下方法消除这些缺点,一种本地地提供保证的方法,该保证针对开放操作系统并且不修改它,该保证针对在被信任的环境以外执行的“标准”应用程序的真实性,以使在被信任的环境中操作的服务安全,其中这个方法允许获得三个不同层级的信任:·标准应用程序(不安全的)·操作系统(具有一定层级的特权),以及·被信任的应用程序。这个方法允许包括以下各项的操作系统的应用程序的鉴认:·多个应用程序·通用操作系统,能够执行并管理所述应用,特别是关联到该信息标识符的要执行每个应用程序所需的信息,所谓的“标识信息”,·向所述应用程序提供服务的被信任的环境根据本专利技术,在一个应用程序访问被信任的环境的服务之前,该方法包括以下操作阶段:·执行关于所述应用程序的标识信息的“散列”操作;·通过被信任的环境,对所述“散列”操作的压缩结果的真实性,进行验证。有利的是,该程序可进一步以“驱动器”软件元件为特征,允许从操作系统对被信任的环境进行访问,然后就可执行如下操作:·驱动器向操作系统提供应用程序的标识符;·操作系统向驱动器提供标识信息;·驱动器对标识信息执行“散列”操作并发送压缩结果给被信任的环境。有利的是:·上述标识信息可包括应用程序的可执行码并且可能包括该应用程序使用的某些文件名和文件。·通过搜索可接受的压缩结果的清单进行被信任的环境对压缩结果的真实性的验证。-->·当应用程序请求访问被信任的环境中的服务时进行鉴认操作。·鉴认操作在“登录”初始阶段进行,它允许应用程序在访问被信任的环境中的服务的任何请求之前被鉴认。·根据压缩结果的结果,被信任的环境可提供具有不同访问其服务的权利的应用程序。·由被信任的环境提供的服务可包括至少对计算机系统的某些资源的访问。·由被信任的环境控制的计算机系统的资源可包括加密编码装置。·由被信任的环境控制的计算机系统的资源可包括使用某些内容(DRM)的权利。有利的是,被信任的环境(EC)可以安全微处理器模式执行,它提供改进的安全保证。本专利技术还涉及鉴认应用程序的系统,使用上面定义的方法并可在便携设备如移动电话、音频或视频播放器、PDA,等上执行。附图说明下面将通过非限制性例子并参考附图描述本专利技术的一个执行模式,其中:唯一的图是根据本专利技术的验证系统的结构的示意图。具体实施方式该例子中,终端1采用:·开放操作系统OS2(如Linux、Window、Solaris等)(注册商标)。当然,这个OS2操作系统必须能够管理要鉴认的应用程序。“标准”(非-安全)应用程序直接在这个操作系统上执行。这个操作系统具有两个全局级别的特权(使用者模式/核心模式)。·EC被信任的环境以执行安全服务4。-->从OS2操作系统到EC被信任的环境的切换由驱动器5控制,这就是说是执行于OS2操作系统的核心的小的模块(或插件)。驱动器设计为拦截从非安全应用程序(在OS2操作系统中执行)到安全服务4(在被信任的环境EC中执行)的访问请求。跟随访问请求的拦截,驱动器5发给OS2操作系统该应用的标识符并请求包含其可执行码的文件。通常,操作系统在称作过程控制块(PCB)的数据结构中保持这个信息。驱动器5在由OS2操作系统提供的文件上执行“散列”操作(如SHA-1)。OS2操作系统可在文件目录中进一步搜索“显示清单(manifeste)”文件,并提供这个信息给驱动器5,该“显示清单”文件包含该应用程序使用(如图形文件、共享的图书馆,等)的所有重要文件的绝对名。然后驱动器5既对于可执行的显示清单文件也对于在该显示清单文件中所标注的所有文件(或只是其部分),执行“散列”操作。在所有情况下,压缩结果提供非-安全应用程序的独特标识(假设“散列”功能能够使碰撞被避免)。然后被发送给被信任的环境用于验证真实性。通过这个例子,压缩结果可与可接受的压缩结果的清单相比较。如果压缩结果被找到,对由安全服务器4提供的服务的访问就可被授权。在上述例子中,OS2操作系统仅涉及识别对应于访问EC被信任的环境的服务以及搜索有关信息的请求的文件,它整个落入操作系本文档来自技高网...
【技术保护点】
一种用于鉴认计算机系统中的应用的方法,所述计算机系统包括:微处理器;多个应用程序;开放的通用操作系统(OS2),能够执行和管理所述应用程序,特别地将每个应用程序标识符(3)与执行它所需的称作“标识信息”的信息相关联;被信任的环境(EC),向所述应用程序提供服务;软件元件,称作驱动器(5),允许从所述操作系统(OS2)访问被信任的环境(EC),其特征在于: 在应用程序访问被信任的环境的服务之前,该方法包括以下操作步骤: 驱动器(5)向操作系统提供所述应用程序的标识符; 操作系统将执行所述应用程序所需的称作标识信息的信息发送回所述驱动器; 由“散列”驱动器采用加密散列函数执行对所述应用程序的标识信息的压缩操作,压缩结果被发送到所述被信任的环境; 由被信任的环境验证所述压缩的“散列”操作的压缩结果的真实性; 其特征在于:采用软件元件或驱动器(5)控制从OS2操作系统到所述被信任的环境的切换,并设计成执行以下操作: 拦截从非安全应用程序到在所述被信任的环境EC中执行的安全服务的访问请求; 跟随对访问请求的拦截,向所述操作系统发送所述应用程序的标识符及向这个系统的对于相应于其可执行码的文件的请求; 在由所述操作系统提供的文件上执行散列操作;以及 传送这个“散列”操作的压缩结果到所述被信任的环境EC中用于所述验证。...
【技术特征摘要】
【国外来华专利技术】FR 2005-12-23 05132471.一种用于鉴认计算机系统中的应用的方法,所述计算机系统包括:微处理器;多个应用程序;开放的通用操作系统(OS2),能够执行和管理所述应用程序,特别地将每个应用程序标识符(3)与执行它所需的称作"标识信息"的信息相关联;被信任的环境(EC),向所述应用程序提供服务;软件元件,称作驱动器(5),允许从所述操作系统(OS2)访问被信任的环境(EC),其特征在于:在应用程序访问被信任的环境的服务之前,该方法包括以下操作步骤:驱动器(5)向操作系统提供所述应用程序的标识符;操作系统将执行所述应用程序所需的称作标识信息的信息发送回所述驱动器;由“散列”驱动器采用加密散列函数执行对所述应用程序的标识信息的压缩操作,压缩结果被发送到所述被信任的环境;由被信任的环境验证所述压缩的“散列”操作的压缩结果的真实性;其特征在于:采用软件元件或驱动器(5)控制从OS2操作系统到所述被信任的环境的切换,并设计成执行以下操作:拦截从非安全应用程序到在所述被信任的环境EC中执行的安全服务的访问请求;跟随对访问请求的拦截,向所述操作系统发送所述应用程序的标识符及向这个系统的对于相应于其可执行码的文件的请求;在由所述操作系统提供的文件上执行散列操作;以及传送这个“散列”操作的压缩结果到所述被信任的环境EC中用于所述验证。2、如权利要求1所述的方法,其特征在于:标识信息至少包括应用程序的可执行码。3、如权利要求2所述的方法,其特征在于:标识信息还至少包括被所述应用程序采用的一些文件名和一些文件。4、如权利要求1所述的方法,其特征在于:通过在可接受的压缩结果的清单中进行搜索,由被信任的环境(EC)执行对所述压缩结果的真实性的验证。5、如权利要求1所述的方法,其特征在于:鉴认操作的验证在“登录”初始阶段进行,允许在访...
【专利技术属性】
技术研发人员:A弗瑞,A阿普弗里勒,
申请(专利权)人:信诚逻辑公司,
类型:发明
国别省市:FR[法国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。