CN101379503A

CN101379503A - 鉴认计算机系统的应用程序的方法

Info

Publication number: CN101379503A
Application number: CNA200680052522XA
Authority: CN
Inventors: A·弗瑞; A·阿普弗里勒
Original assignee: Trusted Logic SAS
Current assignee: Trusted Logic SAS
Priority date: 2005-12-23
Filing date: 2006-12-22
Publication date: 2009-03-04
Also published as: WO2007077362A2; WO2007077362A3; US20090165148A1; FR2895545B1; EP1964018A2; JP2009521033A; KR20080100171A; FR2895545A1

Abstract

本发明涉及一种计算机系统鉴认应用程序的方法，所述系统包括：微处理器；多个应用程序；开放的通用操作系统(OS2)，能够执行和管理所述应用程序，特别将每个应用程序的标识符(3)与执行它所需的标识信息相关联；被信任的环境(EC)，向所述应用程序提供服务。根据本发明，在应用程序访问被信任的环境的服务前，在所述应用程序的标识信息上执行散列操作，被信任的环境(EC)验证所述散列操作的结果的真实性。

Description

鉴认计算机系统的应用程序的方法

技术领域

本发明涉及鉴认计算机系统的应用程序的方法。

背景技术

计算机系统被认为其中某个数量的“被信任的”服务运行于安全的本地环境(被信任的环境)。这些服务提供了可从该被信任的环境之外访问的功能。目的因此就是控制有权访问每个功能的人(及其应用)。

例如，数字权利管理(DRM)代理可采用的情况，它被执行于被信任的环境。这个DRM代理管理用于读取被DRM许可保护的MP3文件的授权。例如，这个许可包括读取MP3文件直至有限日期的权利。DRM代理负责验证许可条件被遵守。操作于被信任的环境在这个任务中有所帮助:例如，它保证了本地系统的时间和日期。如果条件被遵守，DRM代理授权对MP3文件的读取。为了这个目的，它必须给标准MP3播放机应用程序(它在标准区域被执行，即被信任的环境之外)提供解码该MP3文件的钥匙。明显地，DRM代理不应该提供这个钥匙给未知MP3播放机应用(例如可能将其张贴到互联网上......)。从这个例子可见安全服务(DRM代理)必须鉴认引起MP3文件的读取的标准应用程序(MP3播放机)。

进一步地，在封闭环境中本地服务容易鉴认另一个本地应用程序，不管它们是封闭的操作系统(即其中所有应用程序都是在管理员或批准的使用者的操纵下初始安装的)还是执行环境。的确，如果是封闭操作系统，应用程序的安装本身是其真实性的保证，因为只有被授权者才能完成这个操作。如果是执行环境(虚拟机器)，问题仅稍微复杂些因为应用程序的格式设计成向虚拟机器提供验证其真实性或完整性的装置(通过其建立，虚拟机器处理它执行的应用程序的码)。

在开放系统的情况下问题大大复杂了，其中新的应用程序可自由下载或安装，而且其中有很多工具用于开发、修改、排除故障、跟踪应用程序。但是，寻求解决方案的需要甚至更加关键因为开放系统在包括装载计算机(或埋入式)系统如移动电话、便携多媒体播放机或PDA(个人数字助理)的领域中应用得越来越频繁。

随之，某些系统选择在开放系统内集成改进的安全机制。这就是例如在某些操作系统如Linux、特别是SELinux(注册商标)中发现的功能的情况，其中操作系统集成了授权的概念(授权的例子:“诚实的MP3播放机应用程序被授权采用DRM代理的服务”)。这个解决方案有以下好处:

·它是侵入式的:整个操作系统必须基于这个概念并被重写以包括这个概念。不是为此而编程的操作系统因此必须进行相当的修改以包括这个。

·授权配置对于系统的管理者是个永久的问题，因为有许多必须进行的一般情况的例外；进一步地，授权可能随时间而改变。

·应用程序的鉴认委托给操作系统，这不是它的角色。操作系统的作用是管理彼此之间相对的任务，而不是完成安全操作。已知把安全处理委托给通用实体是个坏实践。相反，它们应该被组合在专用的、受限的模块。

其他解决方案如“被信任的计算”模块基于特定的安全硬件(被信任的平台模块——TPM)和加密认证机理的出现。在这种情况下，TPM负责提供具有本地系统的真实性保证的外部实体。但是，加密认证设计成提供全局系统而不是给定应用(没有采用鉴认本地应用的TPM)的保证；进一步地，专用硬件的增加不是必须在所有场合下都可以(因为技术和/或商业理由)。

发明内容

本发明的具体目的因此是通过以下方法消除这些缺点，一种本地地提供保证的方法，该保证针对开放操作系统并且不修改它，该保证针对在被信任的环境以外执行的“标准”应用程序的真实性，以使在被信任的环境中操作的服务安全，其中这个方法允许获得三个不同层级的信任:

·标准应用程序(不安全的)

·操作系统(具有一定层级的特权)，以及

·被信任的应用程序。

这个方法允许包括以下各项的操作系统的应用程序的鉴认:

·多个应用程序

·通用操作系统，能够执行并管理所述应用，特别是关联到该信息标识符的要执行每个应用程序所需的信息，所谓的“标识信息”，

·向所述应用程序提供服务的被信任的环境

根据本发明，在一个应用程序访问被信任的环境的服务之前，该方法包括以下操作阶段:

·执行关于所述应用程序的标识信息的“散列”操作；

·通过被信任的环境，对所述“散列”操作的压缩结果的真实性，进行验证。

有利的是，该程序可进一步以“驱动器”软件元件为特征，允许从操作系统对被信任的环境进行访问，然后就可执行如下操作:

·驱动器向操作系统提供应用程序的标识符；

·操作系统向驱动器提供标识信息；

·驱动器对标识信息执行“散列”操作并发送压缩结果给被信任的环境。

有利的是:

·上述标识信息可包括应用程序的可执行码并且可能包括该应用程序使用的某些文件名和文件。

·通过搜索可接受的压缩结果的清单进行被信任的环境对压缩结果的真实性的验证。

·当应用程序请求访问被信任的环境中的服务时进行鉴认操作。

·鉴认操作在“登录”初始阶段进行，它允许应用程序在访问被信任的环境中的服务的任何请求之前被鉴认。

·根据压缩结果的结果，被信任的环境可提供具有不同访问其服务的权利的应用程序。

·由被信任的环境提供的服务可包括至少对计算机系统的某些资源的访问。

·由被信任的环境控制的计算机系统的资源可包括加密编码装置。

·由被信任的环境控制的计算机系统的资源可包括使用某些内容(DRM)的权利。

有利的是，被信任的环境(EC)可以安全微处理器模式执行，它提供改进的安全保证。

本发明还涉及鉴认应用程序的系统，使用上面定义的方法并可在便携设备如移动电话、音频或视频播放器、PDA，等上执行。

附图说明

下面将通过非限制性例子并参考附图描述本发明的一个执行模式，其中:

唯一的图是根据本发明的验证系统的结构的示意图。

具体实施方式

该例子中，终端1采用:

·开放操作系统OS2(如Linux、Window、Solaris等)(注册商标)。当然，这个OS2操作系统必须能够管理要鉴认的应用程序。“标准”(非-安全)应用程序直接在这个操作系统上执行。这个操作系统具有两个全局级别的特权(使用者模式/核心模式)。

·EC被信任的环境以执行安全服务4。

从OS2操作系统到EC被信任的环境的切换由驱动器5控制，这就是说是执行于OS2操作系统的核心的小的模块(或插件)。

驱动器设计为拦截从非安全应用程序(在OS2操作系统中执行)到安全服务4(在被信任的环境EC中执行)的访问请求。

跟随访问请求的拦截，驱动器5发给OS2操作系统该应用的标识符并请求包含其可执行码的文件。通常，操作系统在称作过程控制块(PCB)的数据结构中保持这个信息。

驱动器5在由OS2操作系统提供的文件上执行“散列”操作(如SHA-1)。

OS2操作系统可在文件目录中进一步搜索“显示清单(manifeste)”文件，并提供这个信息给驱动器5，该“显示清单”文件包含该应用程序使用(如图形文件、共享的图书馆，等)的所有重要文件的绝对名。然后驱动器5既对于可执行的显示清单文件也对于在该显示清单文件中所标注的所有文件(或只是其部分)，执行“散列”操作。

在所有情况下，压缩结果提供非-安全应用程序的独特标识(假设“散列”功能能够使碰撞被避免)。然后被发送给被信任的环境用于验证真实性。通过这个例子，压缩结果可与可接受的压缩结果的清单相比较。如果压缩结果被找到，对由安全服务器4提供的服务的访问就可被授权。

在上述例子中，OS2操作系统仅涉及识别对应于访问EC被信任的环境的服务以及搜索有关信息的请求的文件，它整个落入操作系统范围内，而且不计算压缩结果或进行鉴认检查。

还有，EC被信任的环境认证也可不基于OS2操作系统而可独立于它，因为这个唯一的图只是一个可能的实施方式。

在Linux(注册商标)操作系统中，基于在Linux(注册商标)核心内每个程序被查验的观察，作为任务(“struct task_struct”)，驱动器5获取关于与下列操作序列一致的连接请求的文件清单:

·从对应于过程的任务中获取这个任务已经映射到存储器中的页面(“get_task_mm(task)”。这样就获取了“struct_mm_struct”。

·搜索这些页面的每一个，找寻可执行的有标记的页面(mm->mmap&VM_EXCUTABLE)。这里做出(合理的)假设即这个页面属于对应于该过程的可执行文件。

·该文件被发现与这个页面相关联(mm->mmap->vm_)。在Linux(注册商标)操作系统中，这是一个struct_file”。

·进行对于被找到的文件的内容的“散列”操作。如果引入使用显示清单文件，那么必须进一步:

·获取这个文件的路径:各种与文件(vm_file_>f_dentry)相关联的“dentrys”被循环浏览，

·定位在这个目录中的显示清单文件，

·定位在该显示清单文件中标注的每个文件，

·散列包括显示清单文件的所有文件。

Claims

1.一种用于鉴认计算机系统中的应用的方法，所述计算机系统包括：微处理器；多个应用程序；开放的通用操作系统(OS2)，能够执行和管理所述应用程序，特别地将每个应用程序标识符(3)与执行它所需的称作＂标识信息＂的信息相关联；被信任的环境(EC)，向所述应用程序提供服务；软件元件，称作驱动器(5)，允许从所述操作系统(OS2)访问被信任的环境(EC)，其特征在于：

在应用程序访问被信任的环境的服务之前，该方法包括以下操作步骤：

驱动器(5)向操作系统提供所述应用程序的标识符；

操作系统将执行所述应用程序所需的称作标识信息的信息发送回所述驱动器；

由“散列”驱动器采用加密散列函数执行对所述应用程序的标识信息的压缩操作，压缩结果被发送到所述被信任的环境；

由被信任的环境验证所述压缩的“散列”操作的压缩结果的真实性；

其特征在于：采用软件元件或驱动器(5)控制从OS2操作系统到所述被信任的环境的切换，并设计成执行以下操作：

拦截从非安全应用程序到在所述被信任的环境EC中执行的安全服务的访问请求；

跟随对访问请求的拦截，向所述操作系统发送所述应用程序的标识符及向这个系统的对于相应于其可执行码的文件的请求；

在由所述操作系统提供的文件上执行散列操作；以及

传送这个“散列”操作的压缩结果到所述被信任的环境EC中用于所述验证。

2、如权利要求1所述的方法，其特征在于：标识信息至少包括应用程序的可执行码。

3、如权利要求2所述的方法，其特征在于：标识信息还至少包括被所述应用程序采用的一些文件名和一些文件。

4、如权利要求1所述的方法，其特征在于：通过在可接受的压缩结果的清单中进行搜索，由被信任的环境(EC)执行对所述压缩结果的真实性的验证。

5、如权利要求1所述的方法，其特征在于：鉴认操作的验证在“登录”初始阶段进行，允许在访问被信任的环境(EC)的服务的任何请求之前鉴认所述应用程序。

6、如前述任一项权利要求所述的方法，其特征在于：根据所述压缩结果的验证结果，被信任的环境(EC)授予所述应用程序访问其服务的不同权利。

7、如前述任一项权利要求所述的方法，其特征在于：由被信任的环境(EC)提供的服务至少包括对计算机操作系统(OS2)的一些资源的访问。

8、如权利要求7所述的方法，其特征在于：计算机操作系统的资源包括加密编码装置，由被信任的环境(EC)控制对该资源的访问。

9、如权利要求8所述的方法，其特征在于：计算机操作系统的资源包括使用内容的权利(DRM)，由被信任的环境(EC)控制对该资源的访问。

10、如前述任一项权利要求所述的方法，其特征在于：被信任的环境(EC)以安全微处理器模式被执行。

11、一种鉴认计算机系统的应用程序的系统，包括：多个应用程序；开放的通用操作系统(OS2)，能够执行和管理所述应用程序，特别将每个应用程序标识符(3)与执行它所需的称作＂标识信息＂的信息相关联；被信任的环境(EC)，向所述应用程序提供服务；软件元件，称作驱动器(5)，管理从所述操作系统(OS2)到被信任的环境(EC)的访问，其特征在于包括：

使驱动器(5)拦截从非安全应用程序到在所述被信任的环境EC中执行的安全服务的访问请求的装置；

用于使驱动器(5)向OS2操作系统提供所述被拦截的应用程序的标识符的装置；

用于使操作系统将一些执行所述应用程序所需的称作标识信息的信息发送回所述驱动器的装置；

用于使所述驱动器(5)采用加密散列函数对所述标识信息的“散列”操作进行压缩，并将所谓“压缩”的结果传输给所述被信任的环境的装置；

用于使被信任的环境验证所述压缩的“散列”操作的压缩结果的真实性的装置。

12、如权利要求11所述的鉴认应用程序的系统，其特征在于：它在便携设备如移动电话、音频或视频播放机、或个人数字助理上被执行。