CN101685487A - Api检查装置以及状态监视装置 - Google Patents
Api检查装置以及状态监视装置 Download PDFInfo
- Publication number
- CN101685487A CN101685487A CN200910176280A CN200910176280A CN101685487A CN 101685487 A CN101685487 A CN 101685487A CN 200910176280 A CN200910176280 A CN 200910176280A CN 200910176280 A CN200910176280 A CN 200910176280A CN 101685487 A CN101685487 A CN 101685487A
- Authority
- CN
- China
- Prior art keywords
- api calls
- user
- api
- execution environment
- state
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种API检查装置以及状态监视装置,在具备开放执行环境和封闭执行环境的设备中,关于开放执行环境和封闭执行环境中的基于API调用的协作,能够以较低的开销确保安全性以及可靠性。API检查装置(300)具备:API检查请求接收部(301),其接收请求判定是否许可API调用的判定请求;状态信息取得部(303),其取得设备(100)的状态信息;检查模式设定部(305),其根据所取得的状态信息,设定与API调用相对应的检查模式;判定部(307),其根据所设定的检查模式判定是否许可API调用,并生成API调用的检查结果;以及检查结果输出部(309),其输出由判定部生成的检查结果。
Description
技术领域
本发明涉及在便携电话或PDA、PC等设备中通过软件或硬件实现的API检查装置以及状态监视装置,尤其涉及配置在封闭执行环境中的API检查装置、和配置在开放执行环境中的状态监视装置。
背景技术
以往,已知在便携电话或PDA、PC等设备中设有例如可以在1个CPU上并行地运行多个操作系统(OS)的软件或硬件、所谓的虚拟机监视器(VMM)的方法。
在这样的设备中,可以在各OS上安全地隔离执行:被信赖的程序以外的程序也可以自由地、或者在一定限制下执行的执行环境(以下称为开放执行环境),和根据来自开放执行环境的应用程序接口(API)调用,执行预定的处理,仅执行被信赖的程序的封闭的执行环境(以下称为封闭执行环境)。在此,所谓API调用,是指封闭执行环境中的功能的调用、或用于进行与封闭执行环境的数据交换的调用等。
于是,通过使得可以从开放执行环境调用由封闭执行环境提供的API,从而可以允许在开放执行环境中自由地追加程序,同时可以在封闭执行环境中在隔离的状态下利用想要保守的机密的功能或数据(例如专利文献1)。
在上述专利文献1所公开的技术中,通过配置在开放执行环境内的OS等所提供的访问控制功能,对开放执行环境中的API调用源是否是正当的程序进行认证,防止不正当的API的调用。但是存在如下问题:病毒等恶意程序有可能进入开放执行环境中,并且,通过恶意用户自身的解析以及攻击使访问控制功能被绕过或者被无效化的情况下,可能进行不正当的API调用。
另一方面,如果在封闭执行环境中执行是否包含作为API调用的自变量而使用的值的范围或不正当的字符的检查、交换数据的格式检查、以及病毒检查等,则可以不受病毒或来自恶意用户的攻击的影响而安全地进行检查。但是,这样的处理负荷会加重,在便携电话等中,电池的消耗、或应答性降低等成为问题。
因此,作为不依存于OS的访问控制,而且与自变量或数据的检查相比处理负荷较低的检查手段,考虑设定与开放执行环境和封闭执行环境的状态相对应的检查模式。例如,封闭执行环境内的API检查装置,取得在开放执行环境中是否正在执行该API调用(协作)所需要的程序以及不正当的程序的状态信息,当正在执行需要的程序、并且不正当的程序并非正在执行时,许可API调用,否则对用户进行警告,设定用于催促确认的用户警告模式。在此,当协作所需要的程序并非正在执行时,有可能协作动作失败并发生故障,因此,需要预先向用户进行警告等处理。
但是,在此方法中存在以下问题。第1问题是,追随可以被导入开放执行环境的多种且持续新出现的不正当程序的出现,运用成本较高,因此寻求运用成本更低的方法。
第2问题是,在针对某个API调用向用户进行警告来催促确认时,在用户应答前为用户确认等待状态,别的新的协作请求会被拒绝,但此状态下的来自开放执行环境的新的协作请求的发行会引起无用的虚拟机切换以及虚拟机间通信。
而且,第3问题是,通过引入处理负荷较低的检查单元,可以作为一次性的过滤器来除去不正当或不恰当的API调用,但当这样的API调用通过了该检查单元后,执行自变量或病毒的检查等处理负荷高的检查,因此,API调用的处理延迟会增加,应答性会下降。
【专利文献1】美国专利第7325083号说明书
发明内容
因此,本发明的目的在于,提供在具备开放执行环境和封闭执行环境的设备中,关于通过开放执行环境和封闭执行环境中的API调用而进行的协作,能够以较低的开销确保安全性以及可靠性的API检查装置以及状态监视装置。
为了解决上述问题,本发明具有如下特征。首先,本发明的第1特征的主旨在于,提供一种在具备开放执行环境(开放执行环境120)和封闭执行环境(封闭执行环境130)的设备(设备100)中,被配置在所述封闭执行环境中的API检查装置(API检查装置300),所述开放执行环境是被信赖的程序(许可程序P1)以外的程序(例如非信赖程序P2)也可以自由地或者在一定限制下执行的执行环境,所述封闭执行环境是根据从所述开放执行环境调用应用程序接口(API131)的API调用来执行预定的处理,仅执行被信赖的程序的执行环境,该API检查装置具备:API检查请求接收部(API检查请求接收部301),其从所述开放执行环境接收请求判定是否许可所述封闭执行环境内的所述API调用的判定请求;状态信息取得部(状态信息取得部303),其取得表示所述设备的状态的状态信息;检查模式设定部(检查模式设定部305),其根据所述状态信息取得部所取得的所述状态信息,设定与所述API调用对应的检查模式;判定部(判定部307),其根据由所述检查模式设定部所设定的所述检查模式,判定是否许可所述API调用并生成所述API调用的检查结果;以及检查结果输出部(检查结果输出部309),其输出由所述判定部生成的所述检查结果。
本发明的第2特征与本发明的第1特征相关,其主旨在于,所述状态信息取得部,取得本地锁定状态、远程锁定状态、或者表示在预定时间范围内没有向所述设备的输入操作的无输入操作状态的至少某一种状态,作为所述设备的所述状态信息,所述检查模式设定部,在所述状态信息是所述本地锁定状态、所述远程锁定状态、或者所述无输入操作状态时,将所述检查模式设定为用户操作禁止模式,所述判定部,在已设定为所述用户操作禁止模式,是仅在通过所述设备的用户的操作而被请求的情况下被许可的类别的API调用时,禁止所述API调用。
本发明的第3特征与本发明的第1特征相关,其主旨在于,所述状态信息取得部,使用非信赖标志作为所述状态信息,所述非信赖标志,当在所述开放执行环境中正在执行不被信赖的非信赖程序、或者在所述设备中安装了所述非信赖程序时,被置位,并且,当并非正在执行所述非信赖程序、或者在所述设备中未安装所述非信赖程序时,被复位,所述检查模式设定部,在所述非信赖标志为置位状态时,设定为用户警告模式,所述判定部,在被设定为所述用户警告模式时,对所述设备的用户进行遵从所述状态信息的警告,在对用户确认了是否许可API调用后、或者不进行所述确认地拒绝所述API调用。
本发明的第4特征与本发明的第1特征相关,其主旨在于,所述状态信息取得部,使用许可标志作为所述状态信息,所述许可标志,当为了正常执行针对所述封闭执行环境的API调用所必要的必要程序正在所述开放执行环境中正常运行时、或者在所述设备中安装了所述必要程序时,被置位,并且,在所述必要程序故障时、或者在所述设备中未安装所述必要程序时,被复位,所述检查模式设定部,当所述许可标志为复位状态时,设定为用户警告模式,所述判定部,在被设定为所述用户警告模式时,对所述设备的用户进行遵从所述状态信息的警告,在对所述用户确认了是否许可API调用后、或者不进行所述确认地拒绝所述API调用。
本发明的第5特征与本发明的第1特征相关,其主旨在于,所述API检查请求接收部,接收包含作为所述应用程序接口的调用源的API调用源的程序识别符的判定请求,所述状态信息取得部,取得许可标志列表作为所述状态信息,所述许可标志列表包含关于被许可了针对所述封闭执行环境的所述API调用的多个许可程序的每一个,在所述开放执行环境中正在执行所述许可程序、或者在设备中安装了所述许可程序时被置位的许可标志的列表,所述判定部,在与所述程序识别符对应的所述许可标志为复位状态时,对所述用户进行警告,在对所述用户确认了是否许可API调用后、或者不进行所述确认地拒绝所述API调用。
本发明的第6特征与本发明的第1特征相关,其主旨在于,所述状态信息取得部,当所述本地锁定状态或所述远程锁定状态变化为其它状态时,按照变化后的状态设定锁定解除等待协作抑制标志,并且按照所述变化后的状态,向监视在所述开放执行环境中执行的所述程序的状态的状态监视装置通知锁定解除等待协作抑制标志。
本发明的第7特征与本发明的第1特征相关,其主旨在于,所述状态信息取得部,在所述封闭执行环境中所述用户的确认等待状态经过了预定时间时,将用户确认等待协作抑制标志置位,并且向监视在所述开放执行环境中执行的所述程序的状态的状态监视装置通知所述用户确认等待协作抑制标志,在所述用户确认等待协作抑制标志为置位的状态下用户确认等待状态结束了时,将所述用户确认等待协作抑制标志复位,并且向所述状态监视装置通知所述用户确认等待协作抑制标志已被复位。
本发明的第8特征与本发明的第1特征相关,其主旨在于,所述判定部,作为所述检查结果,与表示所述检查结果的理由的代码一起生成所述API调用的禁止、所述API调用的许可、以及所述API调用的拒绝中的某一种。
本发明的第9特征与本发明的第1特征相关,其主旨在于,所述检查模式设定部,关于与被判定为许可的所述API调用同一类别的API调用、或者包含表示同一API调用源的所述程序识别符的API调用,设定预定次数或者在预定时间范围内无条件地许可的检查省略模式,所述判定部,在设定为所述检查省略模式时,生成表示省略了所述API调用的检查的所述检查结果。
本发明的第10特征与本发明的第1特征相关,其主旨在于,具备API限制管理部,其管理所述应用程序接口的类别、和许可或拒绝所述类别的API调用的所述程序识别符,所述API检查请求接收部接收包含所述API调用源的程序识别符和所述类别的判定请求,所述判定部向所述API限制管理部进行查询,在所述判定请求中包含的所述程序识别符相当于被许可API调用的所述类别时,许可所述API调用。
本发明的第11特征与本发明的第10特征相关,其主旨在于,所述API限制管理部,除所述类别和许可或拒绝所述类别的API调用的所述程序识别符以外,还管理表示是否向所述设备的用户进行所述API调用的许可的查询的查询标志、和在是否进行所述查询的判定中所使用的API调用自变量的条件,所述判定部向所述API限制管理部进行查询,当所述判定请求中包含的所述程序识别符相当于被许可API调用的所述类别,同时所述查询标志被置位,满足所述API调用自变量的条件时,向所述用户进行所述查询,当通过所述用户许可了所述API调用时,许可所述API调用。
本发明的第12特征与本发明的第1特征相关,其主旨在于,具备完整性检查部,其检查提供作为所述状态监视装置的功能的状态监视装置程序的完整性,当检测出针对所述状态监视装置程序的篡改时,禁止所述API调用。
本发明的第13特征与本发明的第9特征相关,其主旨在于,所述检查模式设定部,在设定了所述检查省略模式的情况下,当进行了所述设备的结构变更时解除所述检查省略模式。
本发明的第14特征的主旨在于,提供一种在具备开放执行环境(开放执行环境120)和封闭执行环境(封闭执行环境130)的设备(设备100、设备100A以及设备100B)中,被配置在所述开放执行环境中的状态监视装置(状态监视装置200),所述开放执行环境是被信赖的程序(许可程序P1)以外的程序(例如非信赖程序P2)也可以自由地或者在一定限制下执行的执行环境,所述封闭执行环境是根据从所述开放执行环境调用应用程序接口(API131)的API调用来执行预定的处理,仅执行被信赖的程序的执行环境,该状态监视装置具备:状态管理部(状态管理部201),其取得所述设备的状态,并保存表示所取得的所述状态的状态信息;以及许可决定部(许可决定部203),其根据所述状态信息,决定是否许可从所述开放执行环境进行所述封闭执行环境内的所述API调用。
本发明的第15特征与本发明的第14特征相关,其主旨在于,所述状态管理部,保存仅在所述设备为本地锁定状态、远程锁定状态、或者表示在预定时间范围内而没有对所述设备的输入操作的无输入操作状态的情况下被置位的用户操作API禁止标志,所述许可决定部,当所述用户操作API禁止标志为置位状态,是仅在通过所述设备的用户的操作而被请求的情况下被许可的类别的所述API调用时,禁止所述API调用。
本发明的第16特征与本发明的第14特征相关,其主旨在于,所述状态管理部保存非信赖标志作为所述状态信息,所述非信赖标志,当所述开放执行环境中正在执行不被信赖的非信赖程序、或者在所述设备中安装了所述非信赖程序时被置位,并且,当所述非信赖程序并非正在执行、或者在所述设备中未安装所述非信赖程序时被复位,所述许可决定部,当所述非信赖标志为置位状态时,向所述设备的用户进行遵从所述状态信息的警告,在对所述用户确认了是否许可API调用后、或者不进行所述确认地决定拒绝所述API调用。
本发明的第16特征与本发明的第15特征相关,其主旨在于,所述状态管理部作为所述状态信息保存许可标志列表,所述许可标志列表是关于被许可了针对所述封闭执行环境的所述API调用的多个许可程序的每一个,在所述开放执行环境中正在执行所述许可程序时被置位的所述许可标志的列表。
本发明的第17特征与本发明的第14特征相关,其主旨在于,所述状态管理部保存许可标志作为所述状态信息,所述许可标志,当为正常执行针对所述封闭执行环境的API调用所必要的必要程序正在所述开放执行环境中正常运行、或者在所述设备中安装了所述必要程序时被置位,并且,在所述必要程序故障时、或者在所述设备中未安装所述必要程序时被复位,所述许可决定部,在所述许可标志为复位状态时,向所述设备的用户进行遵从所述状态信息的警告,在对所述用户确认了是否许可API调用后、或者不进行所述确认地决定拒绝所述API调用。
本发明的第18特征与本发明的第16特征相关,其主旨在于,具备状态信息通知部(状态信息通知部205),其当所述非信赖标志变化为置位状态时,向配置在所述封闭执行环境中的API检查装置(API检查装置300)通知所述状态信息。
本发明的第19特征与本发明的第17特征相关,其主旨在于,具备状态信息通知部(状态信息通知部205),其当所述许可标志变化为复位状态时,向配置在所述封闭执行环境中的API检查装置(API检查装置300)通知所述状态信息。
本发明的第20特征与本发明的第14特征相关,其主旨在于,所述状态管理部,从配置在所述封闭执行环境中的API检查装置,作为所述状态信息接收并保存当本地锁定状态或远程锁定状态变化为其它状态时被设定的锁定解除等待协作抑制标志、或者在封闭执行环境中当所述用户的确认等待状态经过了预定时间时被置位的用户确认等待协作抑制标志中的至少某一个,所述许可决定部,仅在所述锁定解除等待协作抑制标志以及所述用户确认等待协作抑制标志都是复位状态时,许可仅在通过所述设备的用户的操作而被请求的情况下被许可的类别的所述API调用。
本发明的第21特征与本发明的第20特征相关,其主旨在于,所述状态管理部,在经过了预定的超时时间的情况下,将所述用户确认等待协作抑制标志复位。
本发明的第22特征与本发明的第20特征相关,其主旨在于,所述状态管理部,在请求了所述API调用后在预定时间范围内而没有针对所述API调用的应答时,判断为所述用户的确认等待状态,将所述用户确认等待协作抑制标志置位,所述许可决定部,在所述用户确认等待协作抑制标志为置位状态时,禁止仅在通过所述用户的操作而被请求的情况下被许可的所述API调用。
根据本发明的特征,可以提供:在具备开放执行环境和封闭执行环境的设备中,关于通过在开放执行环境和封闭执行环境中的API调用来进行的协作,能够以较低开销确保安全性以及可靠性的API检查装置以及状态监视装置。
附图说明
图1是本发明的实施方式的设备100的功能框图。
图2是表示本发明的实施方式的状态信息的具体例的图。
图3是表示本发明的实施方式的锁定状态和操作状态所对应的API调用的抑制步骤的图。
图4是表示本发明的实施方式的状态信息的通知步骤的图。
图5是表示本发明的实施方式的基于非信赖标志或许可标志的API调用的抑制步骤(其一)的图。
图6是表示本发明的实施方式的基于非信赖标志或许可标志的API调用的抑制步骤(其二)的图。
图7是表示本发明的实施方式的基于协作抑制标志(锁定解除等待协作抑制标志以及用户确认等待协作抑制标志)的API调用的抑制步骤(其一)的图。
图8是表示本发明的实施方式的基于协作抑制标志(锁定解除等待协作抑制标志以及用户确认等待协作抑制标志)的API调用的抑制步骤(其二)的图。
图9是表示本发明的实施方式的检查模式的设定步骤的图。
图10是表示本发明的实施方式的API调用的检查步骤的图。
图11是表示本发明的实施方式的API限制管理部311的API131的限制例的图。
图12是本发明的另一实施方式的设备100A的功能框图。
图13是本发明的另一实施方式的设备100B的功能框图。
符号说明
100、100A、100B设备;110虚拟机监视器;111A、111B CPU;120、120A开放执行环境;130、130A封闭执行环境;131应用程序接口(API);200状态监视装置;201状态管理部;203许可决定部;205状态信息通知部;300API检查装置;301API检查请求接收部;303状态信息取得部;305检查模式设定部;307判定部;309检查结果输出部;311API限制管理部;313完整性检查部;P1许可程序;P2非信赖程序;P3必要程序。
具体实施方式
下面,说明本发明的实施方式。具体而言,对(1)设备的功能块结构、(2)状态监视装置的功能块结构、(3)API检查装置的功能块结构、(4)作用·效果以及(5)其它实施方式进行说明。
此外,在以下的附图的记载中,对相同或类似的部分赋予相同或类似的标记。但是应该注意:附图仅是示意性的,各尺寸的比例等与现实中不同。
因此,应该参考以下的说明来判断具体的尺寸等。另外,当然在附图相互之间也包含彼此的尺寸的关系或比例不同的部分。
(1)设备的功能块结构
图1是本实施方式的设备100的功能框图。在设备100中设置了虚拟机监视器110(VMM),它是可以在一个CPU(未图示)上并行地运行多个操作系统(OS)的软件或硬件。
在本实施方式中,开放执行环境120、封闭执行环境分别作为OS被实现。即,设备100具备开放执行环境120和封闭执行环境130。
在开放执行环境120中,作为由设备100的提供者(终端制造商或通信操作员等)信赖的程序的许可程序P1以外的程序(非信赖程序P2),也可以自由地、或者在一定的限制下执行。
在封闭执行环境130中,根据从开放执行环境120调用应用程序接口131(以下称为API131)的API调用来执行预定的处理,仅执行被信赖的程序。
在开放执行环境120中配置状态监视装置200。状态监视装置200监视在开放执行环境120中执行的程序的状态,将表示该状态的状态信息通知给API检查装置300。
在封闭执行环境130中配置API检查装置300。API检查装置300检查由在开放执行环境120中执行的程序进行的API调用的合法性等。
开放执行环境120和封闭执行环境130利用虚拟机(VM)间通信功能相互进行通信。此外,在本实施方式中,设想作为设备驱动程序(device driver)来安装状态监视装置200以及API检查装置300,但也可以作为中间件等OS上的软件来安装,也可以作为硬件来安装。
(2)状态监视装置的功能块结构
如图1所示,状态监视装置200具备状态管理部201、许可决定部203以及状态信息通知部205。以下,对各块的功能进行说明。
(2.1)状态管理部201
状态管理部201取得设备100的状态,并保存表示所取得的所述状态的状态信息。图2表示状态信息的具体例。如图2所示,状态管理部201可以保存非信赖标志作为设备100的状态信息。非信赖标志,在开放执行环境120中正在执行不被信赖的非信赖程序P2时、或者在设备100中安装了非信赖程序P2时,被置位。另一方面,在并非正在执行非信赖程序P2、或者在设备100中未安装非信赖程序P2时,被复位。
作为非信赖程序的例子,考虑有调试软件、使用USB或Bluetooth与外部的PC等连接来中继通信的程序、伪装成游戏的病毒或间谍软件程序等。另外,例如可以通过检查有无数字签名来实现非信赖程序的识别。未附加特定组织(终端制造商、通信操作员以及特定的软件供应商等)的数字签名的程序视为不可信赖。另外,也可以在白名单中记载信赖的程序,将该程序以外的程序视为不可信赖。或者,也可以在黑名单中记载不可信赖的程序,将该程序视为不可信赖。
另外,状态管理部201,作为状态信息可以保存许可标志。许可标志,当为了正常执行针对封闭执行环境130的API调用所必要的必要程序P3正在开放执行环境120中正常运行时、或者在设备100中安装了必要程序P3时,被置位。另外,在必要程序P3故障时、或者未在设备100中安装必要程序P3时,被复位。此外,可以通过状态管理部201对必要程序P3进行查询,确认是否有正常的应答等来实现必要程序P3的故障检测。
必要程序P3,例如考虑:用于保护VM间通信功能或开放执行环境120的安全性的病毒扫描程序、在限定了调用封闭执行环境130的API的应用程序时被许可了该API调用的该应用程序等。
而且,状态管理部201可以把仅在设备100为本地锁定状态、远程锁定状态、或无输入操作状态的情况下被置位的用户操作API禁止标志作为状态信息来保存。
所谓本地锁定状态,是只要不输入正当的个人身份号码或密码、或按下特定的按钮等,就锁定设备100以使用户无法进行设备100的操作的状态。通过用户在一定时间未进行操作、或者关闭折叠型(clamshell)的终端、或者进行特定的按钮设定,设备100迁移到本地锁定状态。
另一方面,所谓远程锁定状态,是设备100根据来自管理设备100的服务器的请求、或来自远程用户的请求而锁定,以使无法进行设备100的操作的状态。本地锁定状态以及远程锁定状态,都可以通过由管理OS或中间件等的状态的软件所提供的API来取得锁定状态。
所谓无输入操作状态,是在预定时间范围内而没有对设备100的输入操作的状态。例如,若使用键区(keypad)的设备驱动程序来收集日志(log),则可以判定从现在起一定时间内的操作的有无。
另外,可以通过OS的进程管理功能或应用程序管理功能的利用、RAM(未图示)的扫描、各程序在特定的区域内写入的标志或数据的确认、或者程序启动时发行的通知的取得等,来实现程序的执行状态或安装状态的取得。状态管理部201通过将状态信息存储在RAM或硬盘等存储装置中来保存。此外,状态信息理想的是保存在无法篡改的安全的场所。
而且,状态管理部201,也可以从配置在封闭执行环境130中的API检查装置300作为状态信息接收当本地锁定状态或远程锁定状态变化为其它状态时设定的锁定解除等待协作抑制标志并保存。另外,状态管理部201也可以从API检查装置300作为状态信息接收在封闭执行环境130中当用户的确认等待状态经过了预定时间时被置位的用户确认等待协作抑制标志并保存。
状态管理部201在经过了预定的超时时间的情况下将用户确认等待协作抑制标志复位。另外,状态管理部201,在请求了API调用后在预定的时间范围内而没有针对API调用的应答时,判断为用户的确认等待状态,将用户确认等待协作抑制标志置位。
(2.2)许可决定部203
许可决定部203根据状态管理部201所保存的状态信息,决定是否许可从开放执行环境120调用封闭执行环境130内的API。具体而言,当程序(应用程序等)调用VM间通信功能时,VM间通信功能向状态监视装置200查询是否许可API调用。许可决定部203针对该查询应答是否许可API调用的决定结果。或者,在程序对状态监视装置200进行查询并被许可了API调用的情况下,可以访问VM间通信功能来执行API调用。
许可决定部203,当用户操作API禁止标志为置位状态、是仅在通过用户的操作请求的情况下被许可的类别的API调用时,可以禁止(抑制)该API调用。另外,许可决定部203,当非信赖标志为置位状态时,也可以对用户进行遵从状态信息的警告,在对用户确认是否许可API调用后、或者不进行该确认地拒绝API调用。例如,在非信赖标志为置位状态时,进行“系统有可能不正常,因此中断处理”这样的内容的警告,禁止API调用。
另外,许可决定部203,在许可标志为复位状态时,也可以对用户进行遵从状态信息的警告,在对用户确认是否许可API调用后、或者不进行该确认地决定拒绝API调用。例如,当许可标志为复位状态时,进行“系统有可能不正常,但继续进行处理吗?”这样的内容的警告。该警告,也可以在进行一次后暂时不进行再次的警告。例如,在设备100的启动后进行了一次警告后,可以暂时不进行警告,直到再次启动设备100后为止。或者,也可以对用户查询是否继续警告。
许可决定部203,可以仅在锁定解除等待协作抑制标志以及用户确认等待协作抑制标志都为复位状态的情况下,许可仅在通过用户的操作而被请求的情况下被许可的类别的API调用。另外,在请求了API调用后在预定时间范围内而没有针对API调用的应答时,状态管理部201判断为用户的确认等待状态,将用户确认等待协作抑制标志置位。许可决定部,在用户确认等待协作抑制标志为置位状态时,禁止仅在通过用户的操作而请求的情况下被许可的API调用。
(2.3)状态信息通知部205
状态信息通知部205向API检查装置300通知状态信息。具体而言,状态信息通知部205使用消息传递(message passing)或共享存储器等向API检查装置300通知状态信息。此外,状态信息的通知可以是从状态监视装置200向API检查装置300的单向通信,也可以取得API检查装置300的确认应答。而且,也可以对通知内容进行加密、或者赋予MAC(消息认证码)或数字签名。
另外,状态信息通知部205,在非信赖标志变为置位状态时、以及许可标志变为复位状态时,向配置在封闭执行环境130中的API检查装置300通知状态信息。此外,API检查装置300不一定配置在封闭执行环境130中。
(2.4)状态监视装置的动作
接着,说明状态监视装置200的动作。具体而言,说明(2.4.1)与锁定状态或操作状态对应的API调用的抑制步骤、(2.4.2)状态信息的通知步骤、(2.4.3)基于非信赖标志或许可标志的API调用的抑制步骤、以及(2.4.4)基于协作抑制标志的API调用的抑制步骤。
(2.4.1)与锁定状态或操作状态对应的API调用的抑制步骤
图3表示与锁定状态或操作状态对应的API调用的抑制步骤。在此,当程序进行API调用时,调用VM间通信功能,VM间通信功能向状态监视装置200查询是否许可API调用。
当设备100成为本地锁定状态或远程锁定状态时、或者成为在预定时间内没有向设备100的输入操作的无输入操作状态时,执行步骤31。在步骤31中,状态管理部201将用户操作API禁止标志置位,并保存该状态。
当设备100解除本地锁定状态或远程锁定状态时、或者在无输入状态下有向设备100的输入操作时,执行步骤32。在步骤32中,状态管理部201将用户操作API禁止标志复位,并保存该状态。
当VM间通信功能向状态监视装置200进行了查询时,执行步骤33。在步骤33中,许可决定部203确认用户操作API禁止标志是否为置位状态。
当用户操作API禁止标志为置位状态时(步骤S33,是),在步骤34中,许可决定部203确认API调用是否是仅在通过用户的操作而请求的情况下被许可的API调用的类别。
当是仅在通过用户的操作而请求的情况下许可的API调用时(步骤34,是),在步骤35中,许可决定部203决定禁止(抑制)该API调用,并对VM间通信功能进行应答。
当不是仅在通过用户的操作而请求的情况下许可的API调用时(步骤34,否),在步骤36中,许可决定部203决定许可该API调用,并对VM间通信功能进行应答。
(2.4.2)状态信息的通知步骤
图4表示状态信息的通知步骤。如图4所示,在步骤41中,状态管理部201检测开放执行环境120中的程序的执行状态的变化,作为状态信息来保存。状态管理部201,在开放执行环境120中正在执行或者安装了一个以上的非信赖程序P2的情况下,将非信赖标志置位。另外,状态管理部201,在开放执行环境120中正在正常运行或者安装了为了正常执行封闭执行环境130的API调用所必要的必要程序P3的情况下,将许可标志置位。
在步骤42中,许可决定部203检测出标志的变化,执行与变化后的标志相对应的处理。在许可标志的状态变化的情况下,许可决定部203执行步骤43的处理。在非信赖标志的状态变化的情况下,执行步骤45的处理。在多个标志的状态变化的情况下,许可决定部203执行步骤47的处理。
在步骤43中,状态信息通知部205向API检查装置300通知许可标志的状态信息。
在步骤44中,状态信息通知部205,作为选项,在许可标志为复位状态时可以向用户警告系统(设备100)不正常。此时,状态监视装置200在向用户确认后可以为了恢复而再启动设备100。
在步骤45中,状态信息通知部205向API检查装置300通知非信赖标志的状态信息。
在步骤46中,状态信息通知部205,作为选项,在非信赖标志为置位状态时可以向用户警告系统(设备100)不正常。此时,状态监视装置200在向用户确认后可以为了恢复而再启动设备100。
在步骤47中,状态信息通知部205向API检查装置300通知许可标志以及非信赖标志的状态信息。
在步骤48中,状态信息通知部205,作为选项,可以与上述步骤44以及46相同地为了恢复而再启动设备100。
(2.4.3)基于非信赖标志或许可标志的API调用的抑制步骤
图5以及图6表示基于非信赖标志或许可标志的API调用的抑制步骤。图5以及图6所示的抑制步骤,与上述状态信息的通知步骤类似,但在此进一步详细说明非信赖标志以及许可标志的设定。
如图5所示,在步骤101中,状态管理部201,在检测出开放执行环境120中的程序的执行状态或安装状态的变化时被调用。
在步骤102中,状态管理部201判定在开放执行环境120中是否正在执行一个以上的非信赖程序P2。
在开放执行环境120中并非正在执行非信赖程序P2时(步骤102,否),在步骤S103中,状态管理部201判定在开放执行环境120中是否安装了一个以上的非信赖程序P2。
在开放执行环境120中正在执行非信赖程序P2时(步骤102,是),或者在开放执行环境120中安装了非信赖程序P2时(步骤103,是),在步骤104中,状态管理部201将非信赖标志置位。
在开放执行环境120中未安装非信赖程序P2时(步骤103,否),在步骤105中,判定在开放执行环境120中是否正在正常运行为了正常执行封闭执行环境130的API调用所必要的必要程序P3。
在开放执行环境120中并非正在正常运行必要程序P3时(步骤105,否),在步骤S106中,状态管理部201判定在开放执行环境120中是否安装了必要程序P3。
当在开放执行环境120中正在正常运行必要程序P3时(步骤105,是),或者在开放执行环境120中安装了必要程序P3时(步骤106,是),在步骤107中将许可标志复位。
在VM间通信功能向状态监视装置200查询时,执行图6所示的步骤108的处理。在步骤108中,状态管理部201判定非信赖标志是否是置位状态。
当非信赖标志为置位状态时(步骤108,是),状态信息通知部205在步骤109中向用户警告由于系统(设备100)不正常因此不能继续进行该处理。接着,在步骤114中,许可决定部203决定禁止(抑制)该API调用,并对VM间通信功能进行应答。
当非信赖标志为复位状态时(步骤108,否),在步骤110中,状态管理部201判定许可标志是否是复位状态。
当许可标志为复位状态时(步骤110,是),状态信息通知部205,在步骤111中向用户确认虽然系统不正常但是否继续进行该处理。
在步骤112中,状态信息通知部205判定来自用户的应答是否请求了继续进行处理。
当来自用户的应答请求了继续进行处理时(步骤112,是),在步骤113中,许可决定部203决定许可该API调用,并对VM间通信功能进行应答。另外,当许可标志为置位状态时(步骤110,否),在步骤113中,许可决定部203决定许可该API调用,并对VM间通信功能进行应答。
当来自用户的应答未请求继续进行处理时(步骤112,否),在步骤114中,许可决定部203决定禁止(抑制)该API调用,并对VM间通信功能进行应答。
(2.4.4)基于协作抑制标志的API调用的控制步骤
图7以及图8表示基于协作抑制标志(锁定解除等待协作抑制标志以及用户确认等待协作抑制标志)的API调用的抑制步骤。在此,当程序进行API调用时,调用VM间通信功能,VM间通信功能向状态监视装置200查询是否禁止(抑制)API调用。
如图7(a)所示,在步骤201中,状态管理部201从API检查装置300接收锁定解除等待协作抑制标志或用户确认等待协作抑制标志的至少某一个,并保存该标志。
在步骤202中,状态管理部201判定接收到的标志是否是用户确认等待协作抑制标志。
当接收到的标志是用户确认等待协作抑制标志时(步骤202,是),在步骤203中,状态管理部201判定用户确认等待协作抑制标志是否是置位状态。
当用户确认等待协作抑制标志是置位状态时(步骤S203,是),在步骤204中,状态管理部201设定所指定的超时时间,并结束处理。
图7(b)所示的步骤205周期性地被执行。在步骤205中,状态管理部201周期性地判定是否经过了所设定的超时时间。
当经过了超时时间时(步骤205,是),在步骤206中,状态管理部201将用户确认等待协作抑制标志复位。
接着,当VM间通信功能向状态监视装置200进行查询时,执行图8所示的步骤207。在步骤207中,状态管理部201判定锁定解除等待协作抑制标志或用户确认等待协作标志是否是置位状态。
当某个协作抑制标志是置位状态时(步骤207,是),在步骤208中,状态管理部201确认该API调用是否是仅在通过用户的操作而请求的情况下许可的API调用。
当是仅在通过用户的操作而请求的情况下许可的API调用时(步骤208,是),在步骤209中,许可决定部203决定禁止(抑制)该API调用,并对VM间通信功能进行应答。
当协作抑制标志为复位状态时(步骤207,否),或者不是仅在通过用户的操作请求的情况下许可的API调用时(步骤208,否),在步骤210中,许可决定部203决定许可该API调用,并对VM间通信功能进行应答。
(3)API检查装置的功能块结构
API检查装置300,从处理封闭执行环境130的API调用的功能或封闭执行环境130侧的VM间通信功能等,接收来自开放执行环境120的是否许可对封闭执行环境130的API调用的判定请求,向状态监视装置200应答是许可还是拒绝该API调用。
如图1所示,API检查装置300具备:API检查请求接收部301、状态信息取得部303、检查模式设定部305、判定部307、检查结果输出部309、API限制管理部311以及完整性检查部313。
(3.1)API检查请求接收部301
API检查请求接收部301接收从开放执行环境120请求判定是否许可对封闭执行环境130的API调用的判定请求。具体而言,从处理封闭执行环境130的API调用的功能、或封闭执行环境130侧的VM间通信功能接收判定请求。
API检查请求接收部301可以接收包含API调用源的程序识别符的判定请求。API调用源的程序识别符可以是程序的名称、程序的特有的编号、程序的散列值、在程序调用API131时指定的识别号码等的任意一个。
另外,API检查请求接收部301也可以接收包含API调用源的程序识别符和API131的类别的判定请求。API131的类别可以是API131的名称或分类名、号码或分类号码、散列值等的任意一个。另外,也可以兼带程序识别符和API131的类别,利用当程序调用API131时指定的识别号码。
(3.2)状态信息取得部303
状态信息取得部303从状态监视装置200或封闭执行环境130的OS或中间件取得设备100的状态信息,并保存所取得的状态信息。状态信息取得部303通过将所取得的状态信息存储在RAM或硬盘等存储装置中来进行保存。另外,状态信息取得部303使用由VM间通信功能提供的消息传递(messagepassing)或共享存储器等,从状态监视装置200取得状态信息。
如上所述,图2表示状态信息的具体例。此外,状态信息的通知可以是从状态监视装置200向API检查装置300的单向通信,在要求确认应答的情况下,也可以将确认应答(ACK)发送到状态监视装置200。另外,在赋予MAC或数字签名、对状态信息进行了加密的情况下,状态信息取得部303根据需要执行验证或解密。
另外,状态信息取得部303,作为状态信息,可以取得本地锁定状态、远程锁定状态或无输入操作状态。此外,在封闭执行环境130或虚拟机监视器110、或者其它不是开放执行环境120的环境中管理本地锁定状态、远程锁定状态或无输入操作状态的情况下,状态信息取得部303可以安全地取得该状态信息。另一方面,在开放执行环境120中管理该状态的情况下,状态信息有可能被篡改,状态信息取得部303未必能取得正确的状态信息。
另外,状态信息取得部303,在本地锁定状态或远程锁定状态时,可以将锁定解除等待协作抑制标志置位,并向状态监视装置200通知已将该标志置位。同样地,状态信息取得部303,在封闭执行环境130中用户的确认等待状态经过了预定时间时,可以将用户确认等待协作抑制标志置位,并向状态监视装置200通知已将该标志置位。
另外,状态信息取得部303,当本地锁定状态或远程锁定状态变化为其它状态时,可以按照变化后的状态设定锁定解除等待协作抑制标志,同时按照该变化后的状态向状态监视装置200通知锁定解除等待协作抑制标志。
另外,状态信息取得部303,在用户确认等待协作抑制标志为置位状态下用户的确认等待状态结束时,可以将用户确认等待协作抑制标志复位,同时向状态监视装置200通知已将用户确认等待协作抑制标志复位。而且,状态信息取得部303,在用户确认等待协作抑制标志为置位状态下超过了预定的超时时间时,可以省略向状态监视装置200通知用户确认等待协作抑制标志的复位。
状态信息取得部303,与上述的状态管理部201同样地,作为状态信息而使用非信赖标志以及许可标志。非信赖标志以及许可标志,可以由在开放执行环境120中工作的状态监视装置200来置位,在由虚拟机监视器110管理非信赖标志的情况下,也可以由虚拟机监视器110来置位。此外,非信赖程序P2的例子或判定方法等与状态管理部201相同。
状态信息取得部303也可以取得许可标志列表作为状态信息(参照图2),所述许可标志列表包含:关于被许可针对封闭执行环境130的API调用的多个许可程序P1的每一个,在开放执行环境120中正在执行该许可程序P1、或者已将该许可程序P1安装在设备100中的情况下被置位的许可标志的列表。
状态信息取得部303,也可以在(a)进行API调用预定次数时、(b)拒绝API调用预定次数时、(c)在进行最后的API调用后经过了预定时间时,请求状态监视装置200通知状态信息。通过这样的通知,即使发生了状态信息的通知的失败等,在接下来在通知中也能消除状态监视装置200和API检查装置300之间的状态信息的不一致。另外,在在预定时间范围内而没有来自状态监视装置200的应答的情况下,API检查装置300可以判定为发生了故障并采取对策。例如,API检查装置300可以执行API调用的禁止、设备的再启动、或者向用户通知后的设备再启动等对策。
(3.3)检查模式设定部305
检查模式设定部305,根据状态信息取得部303所取得的状态信息,设定与API调用对应的检查模式。检查模式表示与API调用对应的检查的策略。
检查模式设定部305,当状态信息是本地锁定状态、远程锁定状态或无输入操作状态时,将检查模式设定为用户操作禁止模式。所谓用户操作禁止模式,是禁止仅在通过用户操作请求的情况下许可的类别的API调用的模式。
检查模式设定部305,在非信赖标志为置位状态时、或者许可标志为复位状态时,可以设定为向用户进行遵从状态信息的警告的用户警告模式。另外,检查模式设定部305,在根据许可标志的状态设定检查模式时,当与API检查请求接收部301接收到的程序识别符对应的标志为复位状态时,可以设定为用户警告模式。
检查模式设定部305,关于与判定为许可的API调用同一类别的API调用、或者包含表示同一API调用源的程序识别符的API调用,可以设定预定次数或者在预定时间范围内无条件地许可的检查省略模式。另外,检查模式设定部305,在设定了检查省略模式的情况下,在进行设备100的结构变更时可以解除检查省略模式。所谓结构变更是应用程序的启动或结束、安装或卸载等。
(3.4)判定部307
判定部307根据由检查模式设定部305设定的检查模式,判定是否许可API调用。另外,判定部307根据判定结果生成API调用的检查结果。
判定部307,在被设定为用户操作禁止模式,是仅在通过用户的操作而被请求的情况下许可的类别的API调用时,判定为禁止该API调用。
另外,判定部307,在被设定为用户警告模式的情况下,可以向用户进行遵从该状态信息的警告,在对用户确认是否许可API调用后、或者不进行该确认地拒绝该API调用。此外,针对用户的警告的内容也可以与上述许可决定部203相同。
判定部307将API调用的禁止、API调用的许可、以及API调用的拒绝的某一个作为检查结果来生成。另外,判定部307也可以与表示检查结果的代码一起生成该检查结果。该代码表示:例如由于不是基于用户的操作的API调用,因此被禁止;或者由于执行API调用所必要的必要程序P3并非正在正常运行,因此被拒绝。
判定部307,在与程序识别符对应的许可标志为复位状态时,可以向用户进行警告,在对用户确认是否许可API调用后、或者不进行该确认地拒绝API调用。另外,判定部307,在被设定为检查省略模式的情况下,生成表示省略了API调用的检查的检查结果。
判定部307,根据API检查请求接收部301接收的判定请求,向API限制管理部311进行查询,在该判定请求中包含的程序识别符相当于被许可API调用的类别时,可以许可该API调用。而且,判定部307,在许可标志在许可标志列表中为置位状态时,向API限制管理部311进行查询,当判定请求中包含的程序识别符相当于被许可API调用的类别,同时查询标志被置位,满足API调用自变量的条件时,可以向设备100的用户进行查询。
判定部307,在由用户许可API调用时,许可API调用。此外,在向用户查询时,为了避免开放执行环境120中的不正当的程序的干扰,理想的是在封闭执行环境130等、开放执行环境120以外,进行向用户的查询消息的提示、与查询对应的来自用户的输入。
另外,判定部307也可以检查API调用自变量的大小或类型等的格式或值、值的范围,或者扫描交换数据来进行病毒的检查。而且,判定部307可以检查API调用的顺序的履历,或者检查特定的API调用的顺序关系是否正确。
(3.5)检查结果输出部309
检查结果输出部309把由判定部307生成的API调用的检查结果输出到请求了API调用的判定的判定请求源(API131的处理功能等)。
如上所述,判定请求源是处理封闭执行环境130的API调用的功能、或封闭执行环境130侧的VM间通信功能等。判定请求源,在检查结果是“省略API检查”时削减资源消耗,因此可以省略更详细的API检查。所谓更详细的API检查,例如是API调用自变量的大小或类型等的格式或值、值的范围的检查,或者交换数据的病毒检查等。
(3.6)API限制管理部311
API限制管理部311,管理API131的类别、和许可或拒绝该类别的API调用的程序识别符。
图11表示API限制管理部311的API131的限制例。在图11所示的限制例中,作为API131的类别,规定了DRM API、安全存储API以及加密API。关于DRM API,仅许可program1。关于安全存储API,许可program1和program2。关于加密API,许可program 1、program2、program3、program4。
API限制管理部311,除了API131的类别和许可或拒绝该类别的API调用的程序识别符以外,还可以管理:表示是否向设备100的用户进行API调用的许可的查询的查询标志、和在是否进行查询的判定中所使用的API调用自变量的条件。例如,在访问通过API调用自变量指定的URL的Web站点的API131中,当该URL为特定的域名时,API限制管理部311可以向用户进行查询。作为另一例子,在未指定条件的情况下,可以无条件地向用户进行查询。
(3.7)完整性检查部313
完整性检查部313检查提供作为状态监视装置200的功能的状态监视装置程序的完整性。完整性检查部313,在检测出针对状态监视装置程序的篡改时,禁止API调用。
完整性检查部313,例如保存了程序代码正确的散列值,周期性地或者在发生特定事件时计算该程序代码的散列值,并与正确的散列值进行比较。完整性检查部313,当比较结果不一致时可以判定为有窜改。所谓特定的事件,例如考虑存在对存储了状态监视装置程序的存储器或文件区域的访问(读入或写入)的情况、存在封闭执行环境130的特定的API调用的情况、或者调用了开放执行环境120中的特定的API或系统调用的情况等。
而且,完整性检查部313也可以检查状态监视装置200以外的开放执行环境120内的OS、中间件以及应用程序等有无窜改。当检测出针对它们的窜改时,可以禁止API调用。另外,完整性检查部313也可以作为VMM(虚拟机监视器)的一部分被实现。
(3.8)API检查装置的动作
接下来,说明API检查装置300的动作。具体而言,说明检查模式的设定步骤以及API调用的检查步骤。
(3.8.1)检查模式的设定步骤
图9表示API检查装置300的检查模式的设定步骤。当从状态监视装置200对API检查装置300(状态信息取得部303)输入了状态信息时,或者状态信息取得部303检测出或被通知了状态信息的变化时,执行检查模式的设定步骤。
如图9所示,在步骤51中,状态信息取得部303保存所输入的状态信息。
在步骤52中,状态信息取得部303判定所输入的状态信息是否是与用户的操作相关的状态。具体而言,状态信息取得部303判定是否是本地锁定状态、远程锁定状态或者无输入操作状态。
当所输入的状态信息是与用户的操作相关的状态时(步骤52,是),在步骤53中,检查模式设定部305将检查模式设定为用户操作禁止模式。
在步骤57中,状态信息取得部303判定所输入的状态信息是否是本地锁定状态或远程锁定状态中的某一个。
当是本地锁定状态或远程锁定状态的某一个时(步骤57,是),在步骤58中,状态信息取得部303设定锁定解除等待协作抑制标志,并向状态监视装置200通知已将锁定解除等待协作抑制标志置位。
另一方面,当所输入的状态信息不是与用户的操作相关的状态时,在步骤54中,状态信息取得部303判定所输入的状态信息是否是非信赖标志。
当所输入的状态信息不是非信赖标志时(步骤S54,否),在步骤55中,状态信息取得部303判定所输入的状态信息是否是许可标志。
当所输入的状态信息是非信赖标志时(步骤54,是),或者所输入的状态信息是许可标志时(步骤55,是),在步骤56中,检查模式设定部305将检查模式设定为用户警告模式。
(3.8.2)API调用的检查步骤
图10表示API检查装置300的API调用的检查步骤。当API检查请求接收部301从封闭执行环境130的API131的处理功能或封闭执行环境130侧的VM间通信功能等接收到判定是否许可来自开放执行环境120的对封闭执行环境130进行API调用的判定请求时,执行API调用的检查步骤。在此,判定请求也可以包含API调用源的程序识别符。
在步骤61中,判定部307确认所设定的检查模式,判定是否被设定为用户操作禁止模式。
在被设定为用户操作禁止模式时(步骤61,是),在步骤62中,判定部307判定该API调用是否是仅在通过用户的操作请求的情况下被许可的类别的API调用。
当该API调用是仅在通过用户的操作请求的情况下被许可的类别的API调用时(步骤62,是),在步骤63中,判定部307作为检查结果生成API调用的禁止。
在未被设定为用户操作禁止模式时(步骤61,否),在步骤64中,判定部307判定检查模式是否被设定为用户警告模式。
在被设定为用户警告模式时(步骤64,是),在步骤65中,判定部307判定非信赖标志是否是置位状态。
在非信赖标志是置位状态时(步骤65,是),在步骤66中,判定部307进行遵从状态信息的警告。
在非信赖标志是复位状态时(步骤65,否),在步骤67中,判定部307判定许可标志是否是复位状态。
当许可标志是复位状态时(步骤67,是),在步骤68中,判定部307向用户确认是否许可API调用。
在步骤69中,判定部307判定用户是否许可了该API调用。
接着步骤66的处理、或者当用户拒绝该API调用时(步骤69,否),在步骤70中,判定部307作为检查结果而生成API调用的拒绝。
在未被设定为用户警告模式时(步骤64,否)、在许可标志是置位状态时(步骤67,否)、或者当用户许可了该API调用时(步骤69,是),在步骤71中,判定部307作为检查结果而生成API调用的许可。
在步骤72中,检查结果输出部309将判定部307生成的检查结果应答到API131的处理功能或VM间通信功能等。
此外,在步骤67中,当状态信息取得部303以与程序识别符对应的列表形式保存了许可标志时,判定部307也可以确认与判定请求中包含的“API调用源的程序识别符”对应的程序在许可标志中是否是复位状态。当许可标志是复位状态时,表示未执行该程序,因此有可能不正当的程序通过伪装成正当的程序来进行API调用。因此,可以向用户进行警告或者拒绝API调用。
(4)作用·效果
根据本实施方式,当设备100为本地锁定状态、远程锁定状态或者无输入操作状态时,被设定为用户操作禁止模式。在用户操作禁止模式中可以禁止仅在通过用户的操作请求的情况下许可的类别的API调用的协作。由此,可以禁止不正当程序任意地调用协作功能那样的API调用。即,可以抑制开销,同时可防止不正当的API调用。
具体而言,能够以比较低的处理负荷取得状态信息,判定是否许可API调用。另外,在封闭执行环境130中,在管理该状态的情况下,可以执行处理负荷比较低且安全的检查。即,根据本实施方式,不依存于OS的访问控制,就可以抑制自变量或数据的检查处理所导致的开销。
在本实施方式中,从封闭执行环境130向开放执行环境120通知锁定解除等待协作抑制标志以及用户确认等待协作抑制标志的状态,抑制无效的API调用的协作。因此,可以抑制设备100的电池消耗。而且,通过使用计时器可以省略与用户的确认等待相关的协作抑制的解除,因此,可以将状态的通知频率最小化,可以削减与通知相关的资源的消耗。
在本实施方式中,在API调用的检查成功后,关于指定次数的API调用、特定类别的API调用,可以省略(减少)检查,因此可以将处于折衷关系的安全性和开销调整到恰当的水平。
在本实施方式中,可以对用户进行遵从状态信息的警告。因此,在执行API调用前,可以向用户通知与开放执行环境120的安全性或可靠性相关的信息。用户可以进行根据该信息判断API调用的许可、或者保存未保存的数据等、适当的应对。
在本实施方式中,在与程序识别符对应的许可标志为复位状态的情况下,可以向用户进行警告。因此可以可靠地拒绝通过许可程序P1以外的程序的伪装而进行的API调用。
在本实施方式中,可以与表示API调用的检查结果的理由的代码一起生成检查结果。因此,在程序或用户进行的API调用失败时可以识别其理由。即,API调用源识别由于不是基于用户的操作的API调用而被禁止,或者由于API调用的执行所必要的必要程序P3故障而被拒绝等,来取得适当的对应。例如,当必要程序P3故障时,用户通过再启动设备100可以将设备100恢复到正常状态。
在本实施方式中设置了检查省略模式,因此可以不大幅度牺牲安全性地,期待API调用的检查频率的降低所导致的应答性降低的缓和、或资源消耗的削减。另外,在本实施方式中,当进行了系统的结构变更后解除检查省略模式。因此,也可以确保一定的安全性。
在本实施方式中,在判定请求中包含的程序识别符相当于许可API调用的类别,同时查询标志被置位,满足API调用自变量的条件的情况下,可以向设备100的用户进行查询。因此,可以针对每个程序相当细致地进行API调用的访问控制,可以提高可靠性和安全性。另外,在判定请求中包含的程序识别符相当于许可API调用的类别,同时查询标志被置位,满足API调用自变量的条件的情况下,可以向设备100的用户进行查询。因此,关于特定的API调用,可以根据用户的确认来判断其可否。
在本实施方式中设置有完整性检查部313,其检查提供作为状态监视装置200的功能的状态监视装置程序的完整性。因此,在状态监视装置200受到攻击时,通过禁止API调用可以防止被害范围的扩大。
在本实施方式中,当非信赖标志变化为置位状态时、或者许可标志变化为复位状态时,向配置在封闭执行环境130中的API检查装置300通知状态信息。因此,在执行API调用前,在封闭执行环境130侧可以向用户通知开放执行环境120的安全性或可靠性的信息。
(5)其它实施方式
如上所述,通过本发明的一个实施方式公开了本发明的内容,但构成该公开的一部分的论述以及附图不应理解为是对本发明进行限制的。根据该公开,对于本领域技术人员来说各种替代实施方式会更加明了。
在上述的设备100中,以使用虚拟机监视器110的情况为例进行了说明,但也可以使用多CPU(或多核)来形成开放执行环境120和封闭执行环境130。
图12是使用多核结构的CPU111A以及CPU111B形成开放执行环境120和封闭执行环境130的设备100A的功能框图。此外,状态监视装置200以及API检查装置300的结构与上述的设备100相同,因此省略其说明。
另外,也可以代替虚拟机监视器110而使用Java(注册商标)VM等虚拟机来形成开放执行环境,使用主机OS来形成封闭执行环境。图13是使用虚拟机以及主机OS的设备100B的功能框图。在设备100B中,通过Java(注册商标)VM形成开放执行环境120A,通过主机OS形成封闭执行环境130A。此外,状态监视装置200以及API检查装置300的结构与上述设备100相同,因此省略其说明。
另外,状态监视装置200以及API检查装置300也可以分别单独提供。
于是,本发明当然包含在此未记载的各种实施方式等。因而,本发明的技术范围,是根据上述说明,仅仅通过妥当的请求专利保护的范围所涉及的发明特定事项来决定的。
Claims (22)
1.一种API检查装置,其在具备开放执行环境和封闭执行环境的设备中,被配置在所述封闭执行环境中,所述开放执行环境是被信赖的程序以外的程序也可以自由地或者在一定限制下执行的执行环境,所述封闭执行环境是根据从所述开放执行环境调用应用程序接口的API调用来执行预定的处理,仅执行被信赖的程序的执行环境,该API检查装置,
具备:
API检查请求接收部,其从所述开放执行环境接收请求判定是否许可所述封闭执行环境内的所述API调用的判定请求;
状态信息取得部,其取得表示所述设备的状态的状态信息;
检查模式设定部,其根据所述状态信息取得部所取得的所述状态信息,设定针对所述API调用的检查模式;
判定部,其根据由所述检查模式设定部所设定的所述检查模式,判定是否许可所述API调用并生成所述API调用的检查结果;以及
检查结果输出部,其输出由所述判定部生成的所述检查结果。
2.根据权利要求1所述的API检查装置,其特征在于,
所述状态信息取得部,作为所述设备的所述状态信息,取得本地锁定状态、远程锁定状态、或者表示在预定时间范围内没有向所述设备的输入操作的无输入操作状态的至少某一种状态,
所述检查模式设定部,在所述状态信息是所述本地锁定状态、所述远程锁定状态、或者所述无输入操作状态时,将所述检查模式设定为用户操作禁止模式,
所述判定部,在已设定为所述用户操作禁止模式,是仅在通过所述设备的用户的操作而被请求的情况下被许可的类别的API调用时,禁止所述API调用。
3.根据权利要求1所述的API检查装置,其特征在于,
所述状态信息取得部,使用非信赖标志作为所述状态信息,
所述非信赖标志,当在所述开放执行环境中正在执行不被信赖的非信赖程序、或者在所述设备中安装了所述非信赖程序时被置位,并且,当并非正在执行所述非信赖程序、或者在所述设备中未安装所述非信赖程序时被复位,
所述检查模式设定部,在所述非信赖标志为置位状态时,设定为用户警告模式,
所述判定部,在已被设定为所述用户警告模式时,对所述设备的用户进行遵从所述状态信息的警告,在对用户确认了是否许可API调用后、或者不进行所述确认地拒绝所述API调用。
4.根据权利要求1所述的API检查装置,其特征在于,
所述状态信息取得部,使用许可标志作为所述状态信息,
所述许可标志,当为了正常执行针对所述封闭执行环境的API调用所必要的必要程序正在所述开放执行环境中正常运行时、或者在所述设备中安装了所述必要程序时被置位,并且,在所述必要程序故障时、或者在所述设备中未安装所述必要程序时被复位,
所述检查模式设定部,当所述许可标志为复位状态时,设定为用户警告模式,
所述判定部,在已被设定为所述用户警告模式时,对所述设备的用户进行遵从所述状态信息的警告,在对所述用户确认了是否许可API调用后、或者不进行所述确认地拒绝所述API调用。
5.根据权利要求1所述的API检查装置,其特征在于,
所述API检查请求接收部,接收包含作为所述应用程序接口的调用源的API调用源的程序识别符的判定请求,
所述状态信息取得部,取得许可标志列表作为所述状态信息,所述许可标志列表包含关于被许可了针对所述封闭执行环境的所述API调用的多个许可程序的每一个,在所述开放执行环境中正在执行所述许可程序、或者在设备中已安装了所述许可程序时被置位的许可标志的列表,
所述判定部,在与所述程序识别符对应的所述许可标志为复位状态时,对所述用户进行警告,在对所述用户确认了是否许可API调用后、或者不进行所述确认地拒绝所述API调用。
6.根据权利要求1所述的API检查装置,其特征在于,
所述状态信息取得部,当所述本地锁定状态或所述远程锁定状态变化为其它状态时,按照变化后的状态设定锁定解除等待协作抑制标志,并且按照所述变化后的状态,向监视在所述开放执行环境中执行的所述程序的状态的状态监视装置通知锁定解除等待协作抑制标志。
7.根据权利要求1所述的API检查装置,其特征在于,
所述状态信息取得部,
在所述封闭执行环境中所述用户的确认等待状态经过了预定时间时,将用户确认等待协作抑制标志置位,并且向监视在所述开放执行环境中执行的所述程序的状态的状态监视装置通知所述用户确认等待协作抑制标志,
在所述用户确认等待协作抑制标志为置位的状态下用户确认等待状态结束时,将所述用户确认等待协作抑制标志复位,并且向所述状态监视装置通知所述用户确认等待协作抑制标志已被复位。
8.根据权利要求1所述的API检查装置,其特征在于,
所述判定部,作为所述检查结果,与表示所述检查结果的理由的代码一起生成所述API调用的禁止、所述API调用的许可、以及所述API调用的拒绝中的某一种。
9.根据权利要求1所述的API检查装置,其特征在于,
所述检查模式设定部,关于与被判定为许可的所述API调用同一类别的API调用、或者包含表示同一API调用源的所述程序识别符的API调用,设定预定次数或者在预定时间范围内无条件地许可的检查省略模式,
所述判定部,在已设定为所述检查省略模式时,生成表示省略了所述API调用的检查的所述检查结果。
10.根据权利要求1所述的API检查装置,其特征在于,
具备API限制管理部,其管理所述应用程序接口的类别、和许可或拒绝所述类别的API调用的所述程序识别符,
所述API检查请求接收部接收包含所述API调用源的程序识别符和所述类别的判定请求,
所述判定部向所述API限制管理部进行查询,在所述判定请求中包含的所述程序识别符相当于被许可API调用的所述类别时,许可所述API调用。
11.根据权利要求10所述的API检查装置,其特征在于,
所述API限制管理部,除所述类别和许可或拒绝所述类别的API调用的所述程序识别符以外,还管理表示是否向所述设备的用户进行所述API调用的许可的查询的查询标志、和在是否进行所述查询的判定中所使用的API调用自变量的条件,
所述判定部向所述API限制管理部进行查询,当所述判定请求中包含的所述程序识别符相当于被许可API调用的所述类别,同时所述查询标志被置位,满足所述API调用自变量的条件时,向所述用户进行所述查询,
当通过所述用户许可了所述API调用时,许可所述API调用。
12.根据权利要求1所述的API检查装置,其特征在于,
具备完整性检查部,其检查提供作为所述状态监视装置的功能的状态监视装置程序的完整性,当检测出针对所述状态监视装置程序的篡改时,禁止所述API调用。
13.根据权利要求9所述的API检查装置,其特征在于,
所述检查模式设定部,在已设定了所述检查省略模式的情况下,当进行了所述设备的结构变更时解除所述检查省略模式。
14.一种状态监视装置,其在具备开放执行环境和封闭执行环境的设备中,被配置在所述开放执行环境中,所述开放执行环境是被信赖的程序以外的程序也可以自由地或者在一定限制下执行的执行环境,所述封闭执行环境是根据从所述开放执行环境调用应用程序接口的API调用来执行预定的处理,仅执行被信赖的程序的执行环境,该状态监视装置,
具备:
状态管理部,其取得所述设备的状态,并保存表示所取得的所述状态的状态信息;以及
许可决定部,其根据所述状态信息,决定是否许可从所述开放执行环境进行所述封闭执行环境内的所述API调用。
15.根据权利要求14所述的状态监视装置,其特征在于,
所述状态管理部,保存仅在所述设备为本地锁定状态、远程锁定状态、或者表示在预定时间范围内没有对所述设备的输入操作的无输入操作状态的情况下被置位的用户操作API禁止标志,
所述许可决定部,当所述用户操作API禁止标志为置位状态,且是仅在通过所述设备的用户的操作而被请求的情况下被许可的类别的所述API调用时,禁止所述API调用。
16.根据权利要求14所述的状态监视装置,其特征在于,
所述状态管理部保存非信赖标志作为所述状态信息,
所述非信赖标志,当所述开放执行环境中正在执行不被信赖的非信赖程序、或者在所述设备中已安装了所述非信赖程序时被置位,并且,当所述非信赖程序并非正在执行、或者在所述设备中未安装所述非信赖程序时被复位,
所述许可决定部,当所述非信赖标志为置位状态时,向所述设备的用户进行遵从所述状态信息的警告,在对所述用户确认了是否许可API调用后、或者不进行所述确认地决定拒绝所述API调用。
17.根据权利要求14所述的状态监视装置,其特征在于,
所述状态管理部保存许可标志作为所述状态信息,
所述许可标志,当为正常执行针对所述封闭执行环境的API调用所必要的必要程序正在所述开放执行环境中正常运行、或者在所述设备中已安装了所述必要程序时被置位,并且,在所述必要程序故障时、或者在所述设备中未安装所述必要程序时被复位,
所述许可决定部,在所述许可标志为复位状态时,向所述设备的用户进行遵从所述状态信息的警告,在对所述用户确认了是否许可API调用后、或者不进行所述确认地决定拒绝所述API调用。
18.根据权利要求16所述的状态监视装置,其特征在于,
具备状态信息通知部,其当所述非信赖标志变化为置位状态时,向配置在所述封闭执行环境中的API检查装置通知所述状态信息。
19.根据权利要求17所述的状态监视装置,其特征在于,
具备状态信息通知部,其当所述许可标志变化为复位状态时,向配置在所述封闭执行环境中的API检查装置通知所述状态信息。
20.根据权利要求14所述的状态监视装置,其特征在于,
所述状态管理部,从配置在所述封闭执行环境中的API检查装置,作为所述状态信息,接收并保存当本地锁定状态或远程锁定状态变化为其它状态时被设定的锁定解除等待协作抑制标志、或者在封闭执行环境中当所述用户的确认等待状态经过了预定时间时被置位的用户确认等待协作抑制标志中的至少某一个,
所述许可决定部,仅在所述锁定解除等待协作抑制标志以及所述用户确认等待协作抑制标志都是复位状态时,许可仅在通过所述设备的用户的操作而被请求的情况下被许可的类别的所述API调用。
21.根据权利要求20所述的状态监视装置,其特征在于,
所述状态管理部,在经过了预定的超时时间的情况下,将所述用户确认等待协作抑制标志复位。
22.根据权利要求20所述的状态监视装置,其特征在于,
所述状态管理部,在请求了所述API调用后在预定时间范围内而没有针对所述API调用的应答时,判断为所述用户的确认等待状态,将所述用户确认等待协作抑制标志置位,
所述许可决定部,在所述用户确认等待协作抑制标志为置位状态时,禁止仅在通过所述用户的操作而被请求的情况下被许可的所述API调用。
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008242637 | 2008-09-22 | ||
JP2008242637 | 2008-09-22 | ||
JP2009196691 | 2009-08-27 | ||
JP2009196691A JP4653230B2 (ja) | 2008-09-22 | 2009-08-27 | Api検査装置及び状態監視装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101685487A true CN101685487A (zh) | 2010-03-31 |
Family
ID=41396138
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200910176280A Pending CN101685487A (zh) | 2008-09-22 | 2009-09-21 | Api检查装置以及状态监视装置 |
Country Status (4)
Country | Link |
---|---|
US (1) | US8413230B2 (zh) |
EP (1) | EP2166478A3 (zh) |
JP (1) | JP4653230B2 (zh) |
CN (1) | CN101685487A (zh) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102681933A (zh) * | 2011-01-20 | 2012-09-19 | 微软公司 | 针对web兼容性和互操作性的代码顾问 |
CN102710631A (zh) * | 2012-05-28 | 2012-10-03 | 华为技术有限公司 | 一种数据传输方法、设备及系统 |
CN104869166A (zh) * | 2015-05-28 | 2015-08-26 | 北京呈创科技股份有限公司 | 桌面云集群系统及桌面云集群中的信息交互方法 |
US9397723B2 (en) | 2014-08-26 | 2016-07-19 | Microsoft Technology Licensing, Llc | Spread spectrum wireless over non-contiguous channels |
US9513671B2 (en) | 2014-08-01 | 2016-12-06 | Microsoft Technology Licensing, Llc | Peripheral retention device |
WO2017012141A1 (zh) * | 2015-07-17 | 2017-01-26 | 宇龙计算机通信科技(深圳)有限公司 | 一种信息处理方法及装置 |
US9705637B2 (en) | 2014-08-19 | 2017-07-11 | Microsoft Technology Licensing, Llc | Guard band utilization for wireless data communication |
CN107438849A (zh) * | 2016-03-29 | 2017-12-05 | 华为国际有限公司 | 用于验证电子设备的完整性的系统和方法 |
US10156889B2 (en) | 2014-09-15 | 2018-12-18 | Microsoft Technology Licensing, Llc | Inductive peripheral retention device |
US10191986B2 (en) | 2014-08-11 | 2019-01-29 | Microsoft Technology Licensing, Llc | Web resource compatibility with web applications |
Families Citing this family (36)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5954666B2 (ja) * | 2010-12-08 | 2016-07-20 | パナソニックIpマネジメント株式会社 | 情報処理装置、及び、情報処理方法 |
US9003543B2 (en) | 2010-12-21 | 2015-04-07 | Microsoft Technology Licensing, Llc | Providing a security boundary |
KR101839607B1 (ko) * | 2011-08-02 | 2018-03-22 | 주식회사 케이티 | 단말 보안을 수행하는 사용자 단말 및 서비스 서버 장치 |
KR101285394B1 (ko) * | 2011-08-24 | 2013-08-23 | 주식회사 팬택 | 휴대 단말 시스템의 대기 상태에서의 퍼미션 제어 장치 |
KR101380966B1 (ko) * | 2011-08-24 | 2014-05-02 | 주식회사 팬택 | 휴대 단말 시스템에서의 보안 장치 |
WO2013080632A1 (ja) * | 2011-11-30 | 2013-06-06 | 日本放送協会 | 受信装置、プログラム及び受信方法 |
EP2696303B1 (en) * | 2012-08-03 | 2017-05-10 | Alcatel Lucent | Mandatory access control (MAC) in virtual machines |
KR101955461B1 (ko) * | 2012-10-23 | 2019-03-11 | 에스케이플래닛 주식회사 | Api 실행 제어를 위한 시스템 및 방법 |
JP6079208B2 (ja) * | 2012-12-19 | 2017-02-15 | 株式会社ソシオネクスト | マイクロコンピュータ,そのミドルウエア及びマイクロコンピュータの動作方法 |
JP6343900B2 (ja) * | 2013-10-10 | 2018-06-20 | 富士通株式会社 | 通信端末、通信処理方法および通信処理プログラム |
US20150294122A1 (en) * | 2014-04-14 | 2015-10-15 | Samsung Electronics Co., Ltd. | Method and apparatus for downloadable drm in a trusted execution environment |
JP5984148B2 (ja) | 2014-05-13 | 2016-09-06 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 遠隔手続き呼び出しを制御する装置及び方法 |
EP3161710B1 (en) * | 2014-06-25 | 2019-12-04 | Intel Corporation | Hardware configuration reporting systems |
US10044695B1 (en) | 2014-09-02 | 2018-08-07 | Amazon Technologies, Inc. | Application instances authenticated by secure measurements |
US9577829B1 (en) | 2014-09-03 | 2017-02-21 | Amazon Technologies, Inc. | Multi-party computation services |
US9584517B1 (en) | 2014-09-03 | 2017-02-28 | Amazon Technologies, Inc. | Transforms within secure execution environments |
US9246690B1 (en) | 2014-09-03 | 2016-01-26 | Amazon Technologies, Inc. | Secure execution environment services |
US10061915B1 (en) | 2014-09-03 | 2018-08-28 | Amazon Technologies, Inc. | Posture assessment in a secure execution environment |
US9754116B1 (en) | 2014-09-03 | 2017-09-05 | Amazon Technologies, Inc. | Web services in secure execution environments |
US10079681B1 (en) * | 2014-09-03 | 2018-09-18 | Amazon Technologies, Inc. | Securing service layer on third party hardware |
US9491111B1 (en) | 2014-09-03 | 2016-11-08 | Amazon Technologies, Inc. | Securing service control on third party hardware |
US9442752B1 (en) * | 2014-09-03 | 2016-09-13 | Amazon Technologies, Inc. | Virtual secure execution environments |
CN104484224B (zh) * | 2014-12-18 | 2019-04-09 | 北京奇安信科技有限公司 | 一种服务器进程控制方法、装置及系统 |
US20160182536A1 (en) * | 2014-12-19 | 2016-06-23 | Ca, Inc. | Adapting user terminal application operation responsive to measured user behavior |
US9552481B1 (en) * | 2014-12-30 | 2017-01-24 | Symantec Corporation | Systems and methods for monitoring programs |
US9769169B2 (en) | 2015-09-25 | 2017-09-19 | Intel Corporation | Secure sensor data transport and processing |
US9984132B2 (en) * | 2015-12-31 | 2018-05-29 | Samsung Electronics Co., Ltd. | Combining search results to generate customized software application functions |
US11243997B2 (en) | 2017-08-09 | 2022-02-08 | The Nielsen Company (Us), Llc | Methods and apparatus to determine sources of media presentations |
JP7119685B2 (ja) * | 2018-07-17 | 2022-08-17 | コニカミノルタ株式会社 | 情報処理装置、情報処理装置の制御方法、およびプログラム |
CN111209561B (zh) * | 2018-11-21 | 2023-01-31 | 成都鼎桥通信技术有限公司 | 终端设备的应用调用方法、装置与终端设备 |
US11050850B1 (en) | 2019-01-07 | 2021-06-29 | Allstate Insurance Company | System and methods for application programming interface validation and testing |
US11501881B2 (en) * | 2019-07-03 | 2022-11-15 | Nutanix, Inc. | Apparatus and method for deploying a mobile device as a data source in an IoT system |
US11172047B2 (en) | 2019-09-30 | 2021-11-09 | Mastercard International Incorporated | Systems and methods for use in network service interface bundling |
US11818134B1 (en) * | 2020-09-30 | 2023-11-14 | Amazon Technologies, Inc. | Validating application programming interface (API) requests to infrastructure systems hosted in a cloud computing environment |
US11726764B2 (en) | 2020-11-11 | 2023-08-15 | Nutanix, Inc. | Upgrade systems for service domains |
US11736585B2 (en) | 2021-02-26 | 2023-08-22 | Nutanix, Inc. | Generic proxy endpoints using protocol tunnels including life cycle management and examples for distributed cloud native services and applications |
Family Cites Families (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
IL132915A (en) * | 1999-11-14 | 2004-05-12 | Networks Assoc Tech Inc | Method for secure function execution by calling address validation |
US7203948B2 (en) * | 2001-09-29 | 2007-04-10 | Siebel Systems, Inc. | Method, apparatus, and system for implementing caching of view custom options in a framework to support web-based applications |
GB2396451B (en) * | 2002-11-18 | 2005-12-07 | Advanced Risc Mach Ltd | Delivering data processing requests to a suspended operating system |
US7962545B2 (en) * | 2002-12-27 | 2011-06-14 | Intel Corporation | Dynamic service registry for virtual machines |
US7624272B2 (en) * | 2003-03-31 | 2009-11-24 | Intel Corporation | Platform information for digital signatures |
US20050108562A1 (en) * | 2003-06-18 | 2005-05-19 | Khazan Roger I. | Technique for detecting executable malicious code using a combination of static and dynamic analyses |
US7634807B2 (en) * | 2003-08-08 | 2009-12-15 | Nokia Corporation | System and method to establish and maintain conditional trust by stating signal of distrust |
US20050132122A1 (en) * | 2003-12-16 | 2005-06-16 | Rozas Carlos V. | Method, apparatus and system for monitoring system integrity in a trusted computing environment |
US7330981B2 (en) * | 2004-04-23 | 2008-02-12 | Microsoft Corporation | File locker and mechanisms for providing and using same |
US20060070066A1 (en) * | 2004-09-30 | 2006-03-30 | Grobman Steven L | Enabling platform network stack control in a virtualization platform |
JP2006242637A (ja) | 2005-03-01 | 2006-09-14 | Denso Corp | 回転検出装置およびその設計方法 |
JP4664055B2 (ja) * | 2004-12-10 | 2011-04-06 | 株式会社エヌ・ティ・ティ・ドコモ | プログラム分割装置、プログラム実行装置、プログラム分割方法及びプログラム実行方法 |
US7886294B2 (en) * | 2004-12-28 | 2011-02-08 | Sap Ag | Virtual machine monitoring |
US7426653B2 (en) * | 2005-04-13 | 2008-09-16 | Progress Software Corporation | Fault tolerant distributed lock management |
US7587724B2 (en) * | 2005-07-13 | 2009-09-08 | Symantec Corporation | Kernel validation layer |
US7725737B2 (en) * | 2005-10-14 | 2010-05-25 | Check Point Software Technologies, Inc. | System and methodology providing secure workspace environment |
US7971104B2 (en) * | 2006-10-24 | 2011-06-28 | Shlomi Dolev | Apparatus and methods for stabilization of processors, operating systems and other hardware and/or software configurations |
JP4288292B2 (ja) * | 2006-10-31 | 2009-07-01 | 株式会社エヌ・ティ・ティ・ドコモ | オペレーティングシステム監視設定情報生成装置及びオペレーティングシステム監視装置 |
US8763115B2 (en) * | 2007-08-08 | 2014-06-24 | Vmware, Inc. | Impeding progress of malicious guest software |
-
2009
- 2009-08-27 JP JP2009196691A patent/JP4653230B2/ja not_active Expired - Fee Related
- 2009-09-18 US US12/562,574 patent/US8413230B2/en not_active Expired - Fee Related
- 2009-09-21 EP EP09170813A patent/EP2166478A3/en not_active Withdrawn
- 2009-09-21 CN CN200910176280A patent/CN101685487A/zh active Pending
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102681933A (zh) * | 2011-01-20 | 2012-09-19 | 微软公司 | 针对web兼容性和互操作性的代码顾问 |
CN102710631A (zh) * | 2012-05-28 | 2012-10-03 | 华为技术有限公司 | 一种数据传输方法、设备及系统 |
US9513671B2 (en) | 2014-08-01 | 2016-12-06 | Microsoft Technology Licensing, Llc | Peripheral retention device |
US10191986B2 (en) | 2014-08-11 | 2019-01-29 | Microsoft Technology Licensing, Llc | Web resource compatibility with web applications |
US9705637B2 (en) | 2014-08-19 | 2017-07-11 | Microsoft Technology Licensing, Llc | Guard band utilization for wireless data communication |
US9397723B2 (en) | 2014-08-26 | 2016-07-19 | Microsoft Technology Licensing, Llc | Spread spectrum wireless over non-contiguous channels |
US10129883B2 (en) | 2014-08-26 | 2018-11-13 | Microsoft Technology Licensing, Llc | Spread spectrum wireless over non-contiguous channels |
US10156889B2 (en) | 2014-09-15 | 2018-12-18 | Microsoft Technology Licensing, Llc | Inductive peripheral retention device |
CN104869166A (zh) * | 2015-05-28 | 2015-08-26 | 北京呈创科技股份有限公司 | 桌面云集群系统及桌面云集群中的信息交互方法 |
WO2017012141A1 (zh) * | 2015-07-17 | 2017-01-26 | 宇龙计算机通信科技(深圳)有限公司 | 一种信息处理方法及装置 |
CN107438849A (zh) * | 2016-03-29 | 2017-12-05 | 华为国际有限公司 | 用于验证电子设备的完整性的系统和方法 |
US10659237B2 (en) | 2016-03-29 | 2020-05-19 | Huawei International Pte. Ltd. | System and method for verifying integrity of an electronic device |
CN107438849B (zh) * | 2016-03-29 | 2020-09-04 | 华为国际有限公司 | 用于验证电子设备的完整性的系统和方法 |
Also Published As
Publication number | Publication date |
---|---|
JP4653230B2 (ja) | 2011-03-16 |
EP2166478A3 (en) | 2010-12-08 |
US8413230B2 (en) | 2013-04-02 |
US20100077473A1 (en) | 2010-03-25 |
JP2010097594A (ja) | 2010-04-30 |
EP2166478A2 (en) | 2010-03-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101685487A (zh) | Api检查装置以及状态监视装置 | |
US11120126B2 (en) | Method and system for preventing and detecting security threats | |
CN103827881B (zh) | 用于设备操作系统中的动态平台安全的方法和系统 | |
US20070118646A1 (en) | Preventing the installation of rootkits on a standalone computer | |
US20070079373A1 (en) | Preventing the installation of rootkits using a master computer | |
EP1916614B1 (en) | Projection of trustworthiness from a trusted environment to an untrusted environment | |
US7665139B1 (en) | Method and apparatus to detect and prevent malicious changes to tokens | |
US20030041255A1 (en) | Method and apparatus for locking an application within a trusted environment | |
US7712135B2 (en) | Pre-emptive anti-virus protection of computing systems | |
US7093135B1 (en) | Software virus detection methods and apparatus | |
US20110252468A1 (en) | Method and system for protecting a computer againts malicious software | |
Powers et al. | Whitelist malware defense for embedded control system devices | |
Alert | Advanced persistent threat compromise of government agencies, critical infrastructure, and private sector organizations | |
Kim et al. | Linux based unauthorized process control | |
KR20160032512A (ko) | 코드사인을 이용한 소프트웨어 관리방법 | |
CN116961977A (zh) | 安全检测方法、装置、设备及计算机程序产品 | |
CN111291355A (zh) | 变电站系统 | |
CN113127871A (zh) | 基于可信安全环境的智能终端控制系统 | |
KR20050046371A (ko) | 침입탐지 시스템에서 파일 무결성 검사 방법 | |
Wang et al. | HACK: A Health-based Access Control Mechanism for Dynamic Enterprise Environments |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20100331 |