CN100378764C - 通过软件限制保护计算机系统的方法 - Google Patents

Abstract

本发明涉及一种保护计算机系统安全的方法，涉及数据的逻辑限制。更具体地说，本发明涉及一种保护计算机系统的方法，其提供用于执行操作必须被单独处理的数据的代码的可能性。本发明的方法本质上涉及使用以下部分：(i)存储器管理器，用于管理存储器分配单元，其典型地可以是固定尺寸的页或可变尺寸的盒，以及(ii)存储器分配所有者和请求者，其典型地可以是计算机系统的操作系统的用户应用程序，或是实际操作系统。该系统涉及由所述所有者分离前述数据，以及用规定的密钥加密所述数据。

Description

通过软件限制保护计算机系统的方法

技术领域

本发明涉及通过数据的逻辑限制来保护计算机系统的方法。

背景技术

特别是，本发明涉及保护计算机系统，提供执行用于操作必须被单独地处理的数据的代码的可能性。所述单独处理一般是为了安全需要而规定的。例如，调节平台的正确操作的操作系统的数据必须不能被任何应用程序所改变。此外，在允许执行多个应用程序的系统中，一个应用程序的数据一般应当被保护不受其它应用程序的影响。

在某些情况下，这些需要假定一个关键特性(critical character)，例如，可以以不受限制的方式设想芯片卡型、支付终端、数字助理或便携电话的多应用程序嵌入系统，尤其是当嵌入的系统允许应用程序的远程下载时。确实，这些被下载的应用程序可以从多个地点发出，这些地点提供有各种不同的可靠性保证。

一般地，已知为满足这个需要用于分开所述操作系统数据和应用程序的数据的普遍采用的方案依赖于使用借助于硬件提供的机构。一般地说，用于管理存储器的(物理)单元(存储器管理单元(MMU))使物理空间和应用程序相关联，并保护它们不被其它应用程序访问。不过，当可利用这个解决方案时，其不是非常灵活的，并且难于使其和系统关联，以便动态地分配数据，(物理空间的量是固定的)，尤其是在具有少的资源并受到强的安全性限制的嵌入系统的情况下。

发明内容和具体实施方式

因此本发明的目的更具体地说是寻找一种克服这些缺点的方法。

为此目的，提出了要使数据的保护更加灵活，并将其延伸到存储器的动态分配的情况。

其主要涉及：

-至少一个存储器管理器，用于管理存储器分配单元，其一般可以是一个具有固定的尺寸的页，或一个具有可变尺寸的块，

-存储器分配单元的至少处理器和请求器，其一般是计算机系统的操作系统的用户的应用程序，或者是操作系统本身。

按照本发明，通过数据的逻辑限制保护计算机系统的方法包括分开每个处理器的所述数据和利用规定的密钥对所述数据进行加密；所述分开和加密处理通过包括以下步骤的处理进行：

-根据来自向所述存储器管理器传送请求者的身份的操作系统的一个部件的请求，由所述存储器管理器进行存储器分配。这个请求者将成为被分配的存储器的处理器。请求者的身份的传送可以或者借助于管理当前的上下文，或者借助于把各参数传送给存储器管理器的功能来实现；

-由前述的存储器管理器检查全部的存储器分配单元，每个分配单元和该存储器分配单元的处理器相关联。每个存储器分配单元可以只具有一个处理器；然而，几个存储器分配单元可以具有同一个处理器；

-利用和该处理器相关联的密钥对每个处理器的数据加密；

-可选择地，由存储器管理器使用和每个处理器关联的秘密值。所述秘密值一般可以通过操作系统在把处理器引入系统时的时刻和每当访问存储器分配单元时被提供给存储器管理器；

-可选择地，由存储器管理器使用每个处理器的密钥。这个密钥例如可以从和处理器关联的秘密值以及只有存储器管理器才能对其访问的所谓的“主(master)”密钥得到；

-由存储器管理器对于每个访问存储器分配单元的请求来检查请求者的身份；如果这个身份和所述存储器分配单元的处理器的身份不一致，则由存储器管理器拒绝对存储器分配单元的访问；

-由存储器管理器利用和处理器关联的密钥对相关数据进行加密(在写请求的情况下)或者解密(在读请求的情况下)，借以使得这个密钥可由存储器管理器重新计算。

因而，因为不同处理器的数据利用一个秘密被自动地加密，所述秘密只有存储器管理器知道，所以一个应用程序不能利用另一个处理器的数据。

当第三方试图访问不属于它的存储器分配单元时，可能发生两种情况：

-这个试图可能通过存储器管理器触发：在这种情况下，由存储器管理器进行的检查自动地导致拒绝所述请求；

-这个试图可能通过直接访问物理存储器被非法地触发而不通过存储器管理器，如果由硬件进行的检查不足以排除这种可能性的话：第三方可以进行读，但是，因为其没有解密密钥，其将获得不能使用的数据。

只要主密钥被存储在被保护的区域，便可以在两种情况下保持数据的机密性。

有利的是，按照本发明的方法不依赖于这样的事实：存储器分配单元是一个具有固定尺寸的逻辑页，或者是一个具有可变尺寸的块。如果分配单元是页，则该方法用下述方式限定：当存储器管理器收到一个请求(该请求用于代表一个处理器分配一个块)时，其首先利用同一个处理器检索页；因此，由存储器分配单元的处理器分配的所有的块被发现分组在一个或多个规定的页中。

按照本发明的方法可以用几种(非排它的)方式改进：

代替使唯一的密钥和一个给定的处理器关联，存储器管理器可以使密钥和每组处理器以及存储器分配单元关联。这种改进具有两个优点：一方面在密码攻击的情况下，因为每个密钥将不被经常地使用，减少了发现被使用的密钥的可能性；另一方面，在发现密钥的情况下，也减少风险，因为只会危害相关联的存储器分配单元。

-存储器管理器也可以被结合在每个存储器单元内，在允许例如根据一个简单的有符号的校验和或者一种密码算法来检查其完整性的区域内。在每当对存储器单元进行写访问时，在这个区域内包含的数据被存储器管理器更新。其可被存储器管理器用来进行检查，或者在每当对单元进行访问时有系统地检查，或者定期地检查。在被请求的访问之前的检查简单地包括根据单元的内容(明文数据)重新计算完整性数据，并将其和在完整性区域中包含的数据比较。在单元的内容中的不适时的或者非法的改变可被检测到，这将加强数据管理的安全性。

-借助于使不同的安全等级和应用程序关联，并借助于按照关联的安全等级使用不同的加密方法(一般为算法、密钥的长度)，可以均衡关于安全性的实施成本(特别是执行时间)使之达到追求的目标。

作为一个非限制性的例子，保留最强大的(因而成本最高)加密方法以用于保护旨在接收加密密钥或访问权限的存储器单元，可能是合理的。

-按照本发明的方法与物理保护机构(MMU)的组合提供具有更细的粒度的保护。例如，应用程序可被划分成几个大类(可选择地，并以一种非限制的方式，按照可以对其分配的置信度，第一个自然目的地可以在用户的应用程序和操作系统的应用程序之间)，每一类由物理机构保护不受其它类的影响，并利用按照本发明的软件限制方法保护应用程序使得相互之间不发生影响。

Claims (9)

1.一种通过软件限制来保护计算机系统的方法，该计算机系统执行操作数据的代码，该方法涉及：

-至少一个存储器管理器，用于管理存储器分配单元，该存储器分配单元典型地是一个具有固定的尺寸的页或一个具有可变尺寸的块，

-存储器分配单元的至少处理器和请求器，其典型地是计算机系统的操作系统的用户的应用程序，或者是操作系统本身，

其特征在于，该方法包括下述步骤：

-根据来自向所述存储器管理器传送请求者的身份的操作系统的一个部件的请求，由所述存储器管理器进行存储器的分配；

-由前述的存储器管理器检查全部的分配单元，每个分配单元和该存储器分配单元的处理器相关联；

-利用和该处理器相关联的密钥对每个处理器的数据加密；

-由存储器管理器为每个访问存储器分配单元的请求检查请求者的身份；如果这个身份和所述存储器分配单元的处理器的身份不同，则由存储器管理器拒绝对该存储器分配单元的访问；

-由存储器管理器利用和处理器关联的密钥对相关数据在写请求的情况下进行加密或者在读请求的情况下解密，该密钥由存储器管理器重新计算。

2.如权利要求1所述的方法，其特征在于，分配单元是页，并且存储器管理器当收到用于代表存储器分配单元的处理器分配块的请求时，首先利用同一个处理器检索页，从而由所述处理器分配的所有块被发现分组在一个或几个规定的页中。

3.如权利要求1所述的方法，其特征在于，请求者的身份的传送或者借助于管理当前的上下文，或者借助于把各参数传送给存储器管理器的功能来实现。

4.如权利要求1所述的方法，其特征在于，存储器管理器根据和处理器相关联的秘密值以及只允许存储器管理器访问的所谓的主密钥来动态地计算所述处理器的密钥。

5.如权利要求1所述的方法，其特征在于，存储器管理器使密钥与每一组处理器和存储器分配单元相关联，而不是使唯一的密钥与每个处理器相关联。

6.如权利要求1所述的方法，其特征在于，存储器管理器结合在每个存储器分配单元内，在一个可检查后者的完整性的区域内。

7.如权利要求1所述的方法，其特征在于，其使不同的安全等级和各应用程序相关联，并按照相关联的安全等级使用不同的加密方法。

8.如权利要求1所述的方法，其特征在于，其和物理保护机构相结合。

9.如权利要求1所述的方法，其特征在于，其在诸如便携电话型的终端、银行支付终端、便携式支付终端、数字助理或PDA、芯片卡的嵌入系统上被实现。