CN102770869B - 计算资源的安全执行 - Google Patents
计算资源的安全执行 Download PDFInfo
- Publication number
- CN102770869B CN102770869B CN201080064671.4A CN201080064671A CN102770869B CN 102770869 B CN102770869 B CN 102770869B CN 201080064671 A CN201080064671 A CN 201080064671A CN 102770869 B CN102770869 B CN 102770869B
- Authority
- CN
- China
- Prior art keywords
- computational resource
- descriptor
- systems
- secondary descriptor
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/54—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
Abstract
控制对计算特征的访问包括:准备用于由执行系统(100)执行的计算资源(120),该执行系统已经提供包含识别值(130)的主要描述符(132)并且已经将特征指示符(136)与该主要描述符关联;访问包含该识别值并且加密地分配给该计算资源(120)的次要描述符(138);以及基于该特征指示符(136)批准对该执行系统的计算特征(510,510a)的计算资源访问。
Description
技术领域
本描述涉及计算资源的安全执行。
背景技术
诸如计算机软件的计算资源的供应商在提供这些资源给第三方时有风险。供应商可能希望限制对计算资源的特定元件的访问。在一些情况下,一些团体应当被批准访问特定元件,而其它的被拒绝访问。在其它情况下,资源的某些方面应当对所有团体屏蔽。恶意行为者可能试图规避对资源施加的限制。
发明内容
在一个方面,通常,一种控制对计算特征的访问的方法包括:准备用于由执行系统执行的计算资源,该执行系统已经提供包含识别值的主要描述符并且已经将特征指示符与该主要描述符关联;访问包含该识别值并且加密地分配给该计算资源的次要描述符;以及基于该特征指示符批准对该执行系统的计算特征的计算资源访问。
各方面可以包括以下特征的一个或多个。
该计算资源被加密。
加密地分配次要描述符给计算资源包括:组合该资源和该次要描述符,并且加密地标记该组合。
加密地标记该组合包括:使用分配给该主要描述符的私有加密密钥加密从该组合得出的值。
该方法还包括在计算资源的执行期间验证加密地分配给该计算资源的次要描述符。
验证次要描述符包括:使用分配给该主要描述符的公共加密密钥解密从该计算资源和该次要描述符的组合得出的值。
该方法还包括:在执行该计算资源之前生成次要描述符的第一实例;在执行该计算资源之前生成次要描述符的第二实例;以及比较描述符的两个实例以确定该计算资源是否被授权执行。
该方法还包括加密该次要描述符的第一实例。
该方法还包括加密该次要描述符的第二实例。
该次要描述符的第一实例具有与该次要描述符的第二实例相同的第一数据值、以及与该次要描述符的第二实例不同的第二数据值。
该方法还包括:将具有用于执行该计算资源的指令的内部容器(container)分配给该计算资源和该次要描述符的第一实例;以及将具有用于执行该计算资源的指令的、表示为数据的外部容器分配给该内部容器和该次要描述符的第二实例。
该方法还包括加密地标记该外部容器。
该方法还包括:接受来自该计算资源的指令以访问第二计算资源;在系统上执行该第二计算资源;将该次要描述符加密地分配给该第二计算资源;以及基于该特征指示符对执行的第二计算资源提供对计算特征的访问。
在第一计算资源已经完成执行后,该第二计算资源继续执行。
该计算资源在第一系统上执行,并且该第二计算资源在第二系统上执行。
将该次要描述符加密地分配给该第二计算资源包括:访问包含该次要描述符的实例的存储位置。
该方法还包括:访问加密地分配给包含第二识别值的第二次要描述符的第二计算资源;执行该第二计算资源;访问加密地分配给包含第二识别值的第二主要描述符的第二特征指示符;以及基于该第二特征指示符,对执行的第二计算资源提供对计算特征的访问。
在另一方面,通常一种用于控制对计算特征的访问的系统包括:开发计算机系统,配置为准备用于执行的计算资源,包括提供包含识别值的主要描述符;以及执行计算机系统,配置为执行该计算资源。执行该计算资源包括:将特征指示符与该主要描述符关联;访问包含该识别值并且加密地分配给该计算资源的次要描述符;以及基于该特征指示符批准对该执行系统的计算特征的计算资源访问。
在另一方面,通常一种用于控制对计算特征的访问的系统包括:用于准备用于执行的计算资源的部件,包括提供包含识别值的主要描述符;以及用于执行该计算资源的部件。执行该计算资源包括:将特征指示符与该主要描述符关联;访问包含该识别值并且加密地分配给该计算资源的次要描述符;以及基于该特征指示符批准对该执行系统的计算特征的计算资源访问。
在另一方面,通常一种计算机可读介质存储用于控制对计算特征的访问的计算机程序。该计算机程序包括用于使得计算机执行以下的指令:准备用于由执行系统执行的计算资源,该执行系统已经提供包含识别值的主要描述符并且已经将特征指示符与该主要描述符关联;访问包含该识别值并且加密地分配给该计算资源的次要描述符;以及基于该特征指示符批准对该执行系统的计算特征的计算资源访问。
各方面可以包括以下优点的一个或多个。
通过加密地分配描述符给计算资源,该分配在没有授权的情况下不能改变。通过基于分配给描述符的特征指示符提供访问给计算特征,计算特征在没有授权的情况下不能访问。
从下面的描述以及权利要求中,本发明的其它特征和优点将变得明显。
附图说明
图1A是执行系统和相关组件的概况。
图1B是执行系统和相关组件的概况。
图2A是数据流图的方块图。
图2B是执行系统的方块图。
图3A是密钥容器的方块图。
图3B是组件存储器的方块图。
图4A是用于生成标记令牌(brandtoken)的执行系统的部分。
图4B是用于生成执行脚本的执行系统的部分。
图4C是用于生成脚本容器的执行系统的部分。
图5A是用于访问脚本容器的执行系统的部分。
图5B是用于访问执行脚本的执行系统的部分。
图5C是用于使能和禁用特征的执行系统的部分。
图6A是用于生成另一标记令牌的执行系统的部分。
图6B是用于访问另一标记令牌的执行系统的部分。
图7是用于分配标记的过程的流程图。
图8是用于访问特征指示符的过程的流程图。
图9是用于执行可执行组件的过程的流程图。
图10是用于提供对特征的访问的过程的流程图。
具体实施方式
概述
当计算资源在计算系统上执行时,该资源可以以特定方式操作,并且访问计算系统的特定特征。执行该资源的恶意行为者可能使用安全缺陷来克服由该资源的提供者或授权方对执行施加的任何限制。例如,恶意行为者可能试图修改资源本身以便以使用原始没有被设计为使用的资源的系统特征的方式操作。因此,计算系统可能保护相关计算资源的完整性以确保没有行为者能够在没有授权的情况下修改或篡改资源。在一些情况下,资源的完整性还可能希望防止任何行为者访问资源的底层结构或设计,即使该行为者被允许执行该资源。
此外,计算资源的授权可以是不同于在其上执行资源的计算系统的授权的实体。例如,为计算系统提供系统软件的系统授权可以允许资源授权开发软件模块,作为用于由系统软件使用的资源。在该情况下,系统授权可能希望允许资源授权访问系统的一些特征,而不允许访问其它特征。因此,系统可以具有这样的机构,用于提供对可用资源的特定集合的计算资源访问,并且还提供对可用特征的其它各自集合的其它计算资源访问,其中各集合可以相互重叠或不重叠。
复杂计算系统可以与许多不同的计算资源相关联,所有这些计算资源可以以这些计算资源的多个实例的形式执行,并且可以相互作用。例如,系统可以执行一个计算资源,其又导致第二计算资源的执行。同时,第三计算资源可以导致第二计算资源的另一实例的执行。这种复杂计算系统可以具有这样的机构,用于保持跟踪计算资源的哪些实例与计算资源的其它实例相关联。此外,系统可以仅基于计算资源(如操作者或用户执行的第一资源)之一的访问特权,使用该信息来允许访问特定特征。在该情况下,与第一计算资源相关联的所有执行实例将只能访问第一计算资源可访问的特征。
图1A是示出相关联的主要元件之间的相互关系的计算系统的一个示例性安排的方块图。执行系统100包括执行模块110,其处理可执行组件120。可执行组件120包括能够执行的任何分立计算组成,如计算机程序、软件代码、或其它种类的可执行元件。
可执行元件120可以存储在组件容器122中。可选地,组件存储器122中的可执行组件120可以使用对执行系统100可用的对称遮蔽密钥112加密。组件容器122还具有与可执行组件120有关的其它信息,包括标记130和电子组件签名124。标记130是用于组件的标识,指示特征510,510a哪个可用于该组件。当其它组件用相同标记标识时,与标记130相关联的组件具有对于相同特征510,510a的通路。特征510,510a可以是执行系统100的不同组件。例如,特征510,510a可以对应于命令、指令、软件处理、硬件设备、数据文件、一些其它种类的元件、或这些的任何组合。
执行系统100能够访问密钥容器132,其还包含一个或多个标记130,130a,130b。执行模块110接收密钥容器132作为输入。作为对系统的其它部分的输入的系统的一些部分的关系在图中用箭头表示,其是本描述中遍及附图使用的惯例。密钥容器132中的每个标记130与标记公钥134相关联。执行系统100使用标记公钥134来验证组件容器122中的标记130有效。每个标记130与特征指示符136相关联,该特征指示符描述与标记130相关联的执行系统100的特征510,510a。与标记130相关联的组件120只能访问特征指示符136描述的特征510,510a。
执行系统100通过访问组件容器122执行可执行组件120。执行系统100具有签名验证模块140,其确定组件签名124是否有效。签名验证模块140使用标记公钥134执行该有效性检验。如果可执行组件120被加密,则签名验证模块140将该验证的组件容器122传递给解密模块142,以使用遮蔽密钥112解密。然后使得可执行组件120可用于执行系统100。
执行系统100还具有标记令牌化模块144。该标记令牌化模块144准备包含与组件120相关联的标记130的标记令牌138。标记令牌138用于在组件执行时维持与组件120相关联的标记130。
当执行模块110执行组件120时,标记令牌化模块144安全地将标记令牌138附加到组件120。在执行期间,组件120只能访问与标记令牌138中的令牌130相关联的特征指示符136描述的执行系统100的特征。
图1B是计算系统的另一示例安排的方块图。在图1B中,标记令牌138还用于将标记130与其它可执行组件120a相关联。如果可执行组件120导致另一可执行组件的实例120a的执行,则执行环境模块146将允许标记令牌138附加到其它可执行组件120a。因此,其它可执行组件120a将只能访问与标记令牌138中的令牌130相关联的特征指示符136描述的特征,即使其它可执行组件120a在其组件容器122a中没有令牌130。标记令牌138还可以使用执行环境模块146a附加到不可执行组件,如数据组件121。执行环境模块在图中显示为多个实例146,146a,146b,但是取决于实现,可能只有一个实例是必要的。
可执行组件120,120a之一还可以访问另一执行系统100a(如通过网络104访问的次要或远程系统)上的可执行组件120b。另一执行系统100a也可以具有能够访问遮蔽密钥112的执行模块110a,并且能够访问包含标记130的密钥容器132a。执行环境模块146b可以允许标记令牌138附加到另一执行系统100a处理的可执行组件120b。因此,可执行组件120b将在标记130下操作,即使组件容器122b不包含标记130。可执行系统100可以根据标准网络协议、标准远程程序调用协议、定制协议、其它种类的协议、或这些的任何组合,与另一执行系统100a交互。
在一些实现方式中,可执行组件120使用定向图形表示的“数据流图形”实现,图形中的顶点表示组件(数据组件121或可执行组件120),并且图形中的定向链路或“边缘”表示各组件之间的数据流。图形是模块化实体。每个图形可以由一个或多个其它图形构成,并且特定图形可以是更大图形中的组件。图形开发环境(GDE)提供用于指定可执行图形并且定义用于图形组件的参数的用户接口。实现这样的基于图形的计算的系统在美国专利5,966,072、EXECUTINGCOMPUTATIONSEXPRESSEDASGRAPHS中描述,在此通过应用并入其全部内容。
参考图2A,数据流图形201的示例包括输入数据集组件202,其提供要由数据流图形201的可执行组件204a-204j处理的数据的集合。例如,数据集组件202可以包括与数据库系统相关联的数据记录或与事务处理系统相关联的事务。每个可执行组件204a-204j与由整个数据流图形201定义的计算的部分相关联。工作元件(例如,来自数据集合的各个数据记录)进入组件的一个或多个输入端口,并且输出工作元件(其在一些情况下是输入工作元件或输入工作元件的处理后版本)典型地留下组件的一个或多个输出端口。在图形201中,来自组件204e,204g和204j的输出工作组件存储在输出数据集组件202a-202c中。
图2B示出示例性执行系统100,其耦合到存储系统210,并且配置为使用一个或多个安全程序(如数据流图)处理从要处理的数据源212接收的数据。数据源212可以包括一个或多个数据源(如存储设备或到再现数据流的连接),其每个可以以多种存储格式(例如,数据库表、电子表格文件、平坦文本文件(flattextfile)或大型机使用的本地格式)的任何存储数据。执行系统100包括安全层214和操作系统216,安全层214使用存储系统210中存储的在此描述的描述符(例如,密钥容器)提供安全。在一些实现方式中,安全层214是操作系统216的一部分。
执行系统100从数据源212接收数据用于处理。提供数据源212的存储设备对于执行系统100可以是本地的,例如,存储在连接到运行操作系统216的计算机的存储介质(例如,硬盘驱动器218)上,或者可以远离执行系统100,例如,容纳在通过远程连接与运行操作系统216的计算机通信的远程系统(例如,大型机220)上。
数据存储系统210可以接收已经由开发系统230中的开发者234开发的安全程序232。开发者234能够开发用于在执行系统100中执行的安全程序,其中开发系统230配置为如在此描述的加密地分配描述符。在一些实现方式中,开发系统230是用于开发作为数据流图形的应用的系统(例如,使用上面描述的GDE)。除了在此描述的特征外,例如在美国公开No.2007/0011668、名为“ManagingParametersforGraph-BasedApplications”中更详细地描述了这样的系统的其它特征,在此通过应用并入。
开发系统230和执行系统100每个可以容纳在在适当操作系统(如UNIX操作系统)控制下的一个或多个通用计算机系统上,并且存储系统210可以包括与计算机系统集成或与其通信的存储介质。例如,计算机系统可以包括多节点并行计算环境,其包括使用多个中央处理单元(CPU)的计算机系统的配置,本地的(例如,诸如SMP计算机的多处理器系统)或本地分布的(例如,耦合为集束的多处理器或MPP),或者远程分布的(例如,经由局域网(LAN)和/或广域网(WAN)耦合的多处理器),或者它们的任何组合。
2.容器(Container)
如图3A所示,密钥容器132可以包括多个标记(brand)130、130a和130b。一个可执行组件120可以根据一个标记130a操作,并且另一个可以根据另一标记130b操作。执行系统100处理可执行组件120,如果与该组件相关联的标记130在密钥容器132中可用。在一些示例中,密钥容器132将是数据文件、存储器位置或其它种类的容器。
每个标记130具有对应的公钥134,其允许签名验证模块140确定可执行组件120和标记130之间的关联是否有效。每个标记130还具有过期指示符135,其允许标记管理者(authority)设置标记130有效的时间段。此外,每个标记130具有特征指示符136,其描述可用于根据该标记130操作的可执行组件120的执行系统100的特征510。
如图3B所示,组件容器122具有与组件300相关的元件。组件300例如可以是可执行组件120。在一些示例中,可以使用其它类型的组件300,如具有可执行组件120使用的信息而自身不可执行的数据组件121。在一些示例中,组件容器122可以是数据文件、存储器位置或其它类型的容器。
组件300可选地被加密以屏蔽组件的结构或内容被未授权地观看或分析。加密模块342使用屏蔽密钥112来加密组件300。加密模块342可以基于标准加密协议,如数据加密标准(DES)、先进加密标准(AES)、其它标准加密协议或这些的组合。加密模块342可以单独使用定制的加密协议或与标准加密协议结合使用。
组件容器122包含与组件300相关联的标记130。标记130用于分配一组特征给组件300。
组件容器122具有组件签名124,用于检查组件容器122的内容的有效性。签名生成模块340通过根据电子签名协议处理组件300和标记130,创建组件签名。该协议可以是用于电子签名的标准密码协议,如RSA、数字签名算法(DSA)、椭圆曲线协议、或其它种类的密码协议。签名生成模块340可以单独使用定制的电子签名协议或与标准加密协议结合使用。
组件签名124使用标记私钥334生成。标记私钥334可用于组件容器122的管理者,但在处理组件300的执行系统100处不可用。执行系统100只能验证标记130和组件300还没有改变,因为生成了组件签名124。因此,组件签名124是将标记130与组件300相关联以及确保组件300的完整性的加密安全部件。
此外,组件容器122具有容器号302,其是用于该组件容器122的唯一标识符。其还具有容器格式304,容器格式304指示构成该组件容器122的数据的特定安排。组件容器122还具有组件类型306,组件类型306指示构成包含在内的组件300的数据的特定安排,包括该组件300是否被加密。
3.标记令牌化
如上所述,执行系统100将标记令牌138附加到可执行组件120、120a和120b,以在执行前将标记130与每个组件相关联。执行系统100在每次之前采取这些令牌化步骤,以使得该关联安全,使得如果恶意行为者试图拦截执行处理以改变或替换标记130,则可以检测到该恶意行为。
如图4A所示,执行系统100使用标记令牌的多个实例138a、138b。每个实例从组件的组将容器生成,在该示例中,该组件容器是可执行组件120的组件容器122。
执行系统100使用签名验证模块140验证组件签名124。签名验证模块140使用标记公钥134来确定在组件容器122创建后的某个时间,可执行组件120或标记130是否已经被修改或者另外篡改。如果可执行组件120或标记130的任一已经被篡改,则签名验证模块140将检测差异,并且拒绝组件容器122。
标记令牌化模块144、144a使用组件容器122的内容来生成标记令牌实例138a、138b。示出了标记令牌化模块的两个实例,但是在一些实现方式中,可能只需要一个实例。标记令牌化模块144、144a将来自组件容器的标记130放入标记令牌的每个实例138a、138b中。标记令牌化模块144还使用组件类型306来生成指示可执行组件120是否加密的标志406。
此外,随机数生成器410对于标记令牌的每个实例138a、138b创建不同的要素(salt)412。因此,标记令牌的每个实例138a、138b将包含与其它实例不同的唯一随机值。
如图4B所示,标记令牌化模块144生成执行脚本420。执行脚本420包含用于执行可执行组件的实例120的指令,并且可以采取若干形式的任一。执行脚本420可以是一组解释或编译的命令,向执行模块110指示适当地处理可执行组件120所需的具体信息。
可执行组件120与执行脚本420相关联。例如,执行脚本420然后可以包含构成可执行组件120自身的指令,或者可替代地它可以具有对可执行组件120的指针或引用。执行脚本420中的指令之一可以访问该指针或引用。
如果可执行组件120在放入组件容器122之前被加密,则解密模块142使用安全密钥112处理解密可执行组件120。
标记令牌的实例之一138a与执行脚本420一起使用。标记令牌化模块144通过生成执行号408并将其放入标记令牌实例138a中,完成标记令牌实例138a。相同执行号408应用于在用于可执行组件120的该执行的令牌化处理中使用的标记令牌的所有实例138。标记令牌化模块144保持跟踪它分配给标记令牌的该实例138a的执行号408,并且将使用该相同执行号408用于其它实例。
一旦标记令牌实例138a完成,加密模块432使用安全密钥112加密标记令牌实例。标记令牌化模块144然后将加密的标记令牌438a放入执行脚本420中。如同可执行组件120,执行脚本420然后包含构成加密的标记令牌438a自身的数据,或者可替代地它可以具有对加密的标记令牌438a的指针或引用。
如图4C所示,标记令牌化模块144生成脚本容器430并将执行脚本420放入其中。在一些实现方式中,脚本容器430是数据文件或数据结构。标记令牌化模块144还通过增加用于标记令牌的第一实例138a的相同执行号408,完成标记令牌的第二实例138b。标记令牌的第二实例138b利用加密模块342加密,并且加密的标记令牌438b放入脚本容器430中。
令牌化签名生成模块450基于脚本容器430生成脚本容器签名424。令牌化签名生成模块450使用在执行系统100可用的令牌器(tokenizer)私钥452。当组件执行开始时,脚本容器签名424提供确保脚本容器430的有效性的机制。
令牌化签名生成模块450以与其它地方描述的其它签名生成模块相似的方式操作,并且通过根据电子签名协议处理脚本容器430来创建脚本容器424。该协议可以是用于电子签名的标准密码协议,如RSA、数字签名算法(DSA)、椭圆曲线协议、或其它种类的密码协议。令牌化签名生成模块450可以单独使用定制的电子签名协议或与标准加密协议结合使用。在脚本容器430建立之后,可执行组件120准备用于安全执行。
4.标记后执行
如图5A所示,执行模块110接收包含可执行组件120的脚本容器430。执行模块110执行沿着脚本容器430的内容所需的步骤,该脚本容器已经构造为允许可执行容器120的安全执行。
执行模块110使用容器签名验证模块550沿着脚本容器签名424。容器签名验证模块550使用容器公钥454来确定在脚本容器430创建后的某个时间,脚本容器430是否已经被修改或者另外篡改。容器签名验证模块550将检测任何差异,并且拒绝脚本容器430。执行模块110还使用屏蔽密钥112,从验证的脚本容器430提取加密的标记令牌438b,并且应用解密模块142。
如图5B所示,执行模块110获取之前由解密模块142解密的标记令牌的解密实例138b。执行模块110还执行之前从验证的脚本容器430获取的执行脚本420中包含的指令。执行脚本420包含可执行组件120以及其它的加密标记令牌438a。执行模块110对该加密的标记令牌438a应用解密模块142。
如图5C所示,令牌验证模块148比较从执行脚本420提取的标记令牌的第一实例138a的内容和从脚本容器430提取的标记令牌的第二实例138b。除了随机要素412a、412b,由标记令牌化模块144创建的标记令牌的两个实例138a、138b将具有相等内容。如果要素412a、412b不同,但是包括标记130和执行号408的另外的内容相同,则令牌验证模块148将提供验证的标记130给执行模块110。
因为标记令牌的一个实例138a利用执行脚本420到达执行模块110,并且标记令牌的另一实例138b利用脚本容器430到达,所以标记令牌的两个实例138a、138b可以用于沿着可执行组件120的真实性及其与标记130的关联。任何特定的执行脚本420不能通过将其放入新的脚本容器430内而重新使用,因为新的脚本容器430将没有具有匹配执行号408的标记令牌138。来自执行脚本420的标记令牌实例138a不能用于脚本容器430,因为来自执行脚本420和脚本容器430的标记令牌实例将没有不同的随机要素412a、412b,如执行模块110期待的。此外,用于脚本容器430的新的标记令牌实例不能通过未授权行为者从执行脚本420内的标记令牌实例138a生成,因为标记令牌实例138a利用安全密钥112加密为加密标记令牌438a。
当通过令牌验证模块148将表示有效标记130的标记令牌实例138a、138b通知给执行模块110时,执行模块110访问密钥容器132以访问对应于标记令牌实例138a、138b中的标记130的、与密钥容器中的标记130相关联的过期指示符135和特征指示符136。执行模块110使用特征指示符136来允许特征组500中的一些特征510a、510b、510c、510d可用于可执行组件,并且禁用特征组500中的其它特征512a、512b。
执行模块110访问来自执行脚本420的可执行组件120,并且允许它仅使用根据标记130的特征指示符120允许的特征510执行。
5.保持标记后执行环境
与标记130相关联的可执行组件120可以启动其它可执行组件120a的执行。例如,这些其它可执行组件120a可能不与它们的容器文件122a中的标记130直接相关联,而是替代地在执行期间与标记130相关联。如果其它特征512a、512b的执行在一些其它环境中启动,则即使其它可执行组件120a已经访问其它特征512a、512b,其它可执行组件120a也将只访问根据与初始可执行组件120相关联的标记130的特征指示符136使能的特征510。因此,使用其它可执行组件120a,初始可执行组件120被限制访问禁用特征512a、512b。
此外,即使在初始可执行组件120已经完成执行之后,其它可执行组件120a、120b也可以启动另外的可执行组件(如可执行组件120b)。执行系统100保持跟踪与初始可执行组件120相关联的标记130,使得将根据该标记130的特征指示符136确定可访问这些组件120、120a、120b的全部的特征510。
在一些实现方式中,执行系统100处理多个可执行组件120,并且将标记130与这些可执行组件120相关联。例如,执行系统100可以通过增加用于保留属于一个可执行组件120的信息用于其它可执行组件120a的机构,在一个可执行组件120已经完成执行后保留该信息。此外,该机构不允许其它组件或恶意行为者访问或改变保留的信息,该机构也不具有增加不必要开销或用作不安全点的额外元件。
如图6A所示,执行系统100具有执行环境模块146,其接收来自令牌验证模块148的关于用于验证可执行组件120的标记130的标记令牌的实例138a、138b的内容的信息。执行环境模块146生成瞬态容器622和指向瞬态容器622的环境引用610。环境引用610存在于可执行组件130的执行环境605的环境中。在一些示例中,执行环境605包含属于可执行组件120的执行的存储器位置、变量、数据文件或其它种类的信息,或者可以包含这些种类的信息的任何组合。
瞬态容器622不是全部地对执行系统100可用。替代地,瞬态容器622只通过访问环境引用610可用。接着,环境引用610只在可执行组件130的执行环境605中可用。如果可执行组件120启动另一可执行组件120a的执行,则另一可执行组件120a被允许访问环境引用610,因为它在与负责启动它执行的可执行组件120相同的执行环境605中操作。在一些示例中,瞬态容器622可以是在不使用环境引用610在情况下,使用执行系统100的普通文件系统不可访问的数据文件。瞬态容器622可用于另一执行系统100a处理的可执行组件120b。
执行环境模块146使用从令牌验证模块148获取的信息生成标记令牌的新的实例138c。该标记令牌的实例138c具有与标记令牌的其它实例138a、138b相同的标记130、标志406和执行号408,并且还具有从随机数生成器410获取的新的随机要素412c。执行环境模块146将标记令牌的新的实例138c放入瞬态容器622中。
图6B示出具有可执行组件120a但不具有标记130的组件容器122a。执行模块110通过访问可执行组件的执行环境605准备可执行组件120a。如果该可执行组件120a的该执行通过另一可执行组件120启动,则该可执行组件120a将在与另一可执行组件120相同的执行环境605内操作,并且因此对瞬态容器622的环境引用610将可用。执行模块110访问瞬态容器622内的标记令牌实例138c,并且获取标记令牌中的标记130。标记令牌实例138c还可以与相同的标记令牌的其它实例138a、138b比较以检查它的有效性。例如,如果恶意行为者已经将标记令牌的其它实例138a、138b之一复制到瞬态容器622中,则瞬态容器622中的标记令牌的实例138c将具有与其他实例中相同的随机要素412a、412b,因此可以识别为有效。
标记令牌化模块144、144a激活并从执行模块110获取标记130。标记令牌化模块在图中显示为两个实例144、144a,但是取决于实现,可能只有一个实例是必要的。标记令牌化模块144、144a然后构造标记令牌的新的实例138d、138e,其包含从新的可执行组件120a的组件容器122a中的组件类型306确定的标记130、标志406a以及从随机数生成器410获取的新的要素412d、412e。这些标记令牌的新的实例138d、138e然后被标记令牌化模块144、144a用于准备如上面参考图4A到4C描述的可执行组件120。
6.过程
图7示出用于加密分配标记130给可执行组件120的示例性过程700的流程图。该过程基于可执行组件120和标记130生成702用于组件容器122的数字签名。该过程验证704该数字签名,并分配706标记130给标记令牌的多个实例138a、138b。该过程加密708标记令牌的一个实例138a,并且将其附加710到执行脚本420。该过程加密712标记令牌的另一实例138b,并且将加密的标记令牌与执行脚本420一起附加到脚本容器430。该过程基于脚本容器430生成716用于脚本容器430的数字签名。
图8示出用于访问分配给标记130的特征指示符136的示例性过程800的流程图。该过程验证802数字签名并访问脚本容器430。该过程解密804标记令牌的实例138b,并且访问806脚本容器430中的执行脚本420。该过程解密808标记令牌的另一实例138a,并且访问810执行脚本420中的可执行组件120。该过程验证812标记令牌的两个实例138a、138b。使用标记令牌实例138a、138b中的标记130,该过程获取814分配给密钥容器132中的标记130的特征指示符136。
图9示出用于在执行系统100上执行可执行组件120的示例性过程900的流程图。该过程生成902瞬态容器622,并且生成904指向瞬态容器622的环境引用。该过程生成906包含与可执行组件120相关联的标记130的标记令牌的实例138c。该过程分配908标记令牌的实例138c给瞬态容器622。该过程移除910除了环境引用622以外的任何其他对瞬态容器622的引用。I过程执行912可执行组件120,并且将环境引用610放入可执行组件120的执行环境605中。
图10示出基于特征指示符136用于给可执行组件120提供对执行系统的特征510的访问的示例性过程1000。该过程1002访问获取的与标记130相关联的特征指示符。该过程识别1004特征指示符136描述的特征510以及可用于执行系统100的特征组500中的对应特征。该过程允许1006特征510被可执行组件120访问。该过程关联1008标记130和具有被可执行组件120启动的执行的其他可执行组件120a。
7.实现
如上所述的用于控制对计算特征的访问的方法可以使用在计算机上执行的软件执行。例如,该软件形成在一个或多个编程的或可编程的计算机系统(其可以是各种架构,如分布式、客户端/服务器或网格式)上执行的一个或多个计算机程序中的过程,该计算机系统每个包括至少一个处理器、至少一个数据存储系统(包括易失性和非易失性存储器和/或存储元件)、至少一个输入设备或端口、以及至少一个输出设备或端口。该软件可以形成例如提供与数据流图的设计和配置有关的其它服务的更大程序的一个或多个模块。该图的节点和元素可以实现为计算机可读介质中存储的数据结构或符合数据库中存储的数据模型的其它有组织的数据。
该软件可以提供在由通用或专用可编程计算机可读取的存储介质(如CD-ROM)上,或者可以通过网络的通信介质传递(以传播信号编码)到该软件执行的计算机上。所有功能可以在专用计算机上执行,或者使用专用硬件(如协处理器)执行。该软件可以以分布式方式实现,其中由软件指定的不同计算部分由不同计算机执行。优选地,每个这样的计算机程序存储或下载到通用或专用可编程计算机可读的存储介质或设备(例如,固态存储器或介质、或磁或光介质)上,用于在该存储介质或设备被计算机系统读取以执行在此描述的过程时配置并操作计算机。还可以考虑将本发明的系统实现为用计算机程序配置的计算机可读存储介质,其中如此配置存储介质,使得计算机系统以特定和预定方式操作以执行在此描述的功能。
已经描述了本发明的大量实施例。无论如何,将理解的是可以进行各种修改而不偏离本发明的精神和范围。例如,上面描述的一些步骤可以与顺序无关,因此可以以不同于描述的顺序的顺序执行。
要理解的是,前面描述意图图示而不是限制由所附权利要求的范围限定的本发明的范围。例如,上面描述的大量功能步骤可以以不同顺序执行,基本上不影响整体处理。其它实施例在下面的权利要求的范围内。
Claims (52)
1.一种控制对计算特征的访问的方法,该方法包括:
准备用于由执行系统执行的第一计算资源,该执行系统已经被提供了主要描述符,每个主要描述符与相应的识别值相关联并且每个主要描述符与相应的特征指示符相关联;
访问包含第一识别值的次要描述符,该第一识别值与所述主要描述符中的第一主要描述符相关联,所述次要描述符被加密地分配给该第一计算资源;
接受来自第一计算资源以执行第二计算资源的指令;
将包含第一识别值的次要描述符的至少一个实例加密地分配给第二计算资源,包括将第二计算资源与所述次要描述符的实例组合,并且加密地标记所述组合;
基于与次要描述符的实例相关联的特征指示符批准对该执行系统的计算特征的第二计算资源访问;以及
在第二计算资源的执行期间,验证次要描述符的实例被加密地分配给该第二计算资源,以确定第二计算资源被授权仅访问根据与第一计算资源相关联的特征指示符使能的计算特征。
2.如权利要求1所述的方法,其中该计算资源被加密。
3.如权利要求1所述的方法,其中通过组合该第一计算资源和该次要描述符,并且加密地标记该组合,次要描述符被加密地分配给第一计算资源。
4.如权利要求1所述的方法,其中加密地标记该组合包括:使用分配给该第一主要描述符的私有加密密钥加密从该组合得出的值。
5.如权利要求1所述的方法,其中验证次要描述符的实例包括:使用分配给该第一主要描述符的公共加密密钥解密从该第二计算资源和该次要描述符的实例的组合得出的值。
6.如权利要求1所述的方法,还包括:
在执行该第一计算资源之前生成次要描述符的第一实例;
在执行该第一计算资源之前生成次要描述符的第二实例;以及
比较次要描述符的两个实例以确定该第一计算资源是否被授权执行。
7.如权利要求6所述的方法,还包括加密该次要描述符的第一实例。
8.如权利要求7所述的方法,还包括加密该次要描述符的第二实例。
9.如权利要求6所述的方法,其中该次要描述符的第一实例具有与该次要描述符的第二实例相同的第一数据值、以及与该次要描述符的第二实例不同的第二数据值。
10.如权利要求6所述的方法,还包括:
将具有用于执行该第一计算资源的指令的第一容器分配给该第一计算资源和该次要描述符的第一实例;以及
将把用于执行该第一计算资源的指令表示为数据的第二容器分配给该第一容器和该次要描述符的第二实例。
11.如权利要求10所述的方法,还包括加密地标记该第二容器。
12.如权利要求1所述的方法,还包括:
接受来自该第一计算资源以访问第二计算资源的指令;
在系统上执行该第二计算资源;
将该次要描述符加密地分配给该第二计算资源;以及
基于该特征指示符对执行的第二计算资源提供对计算特征的访问。
13.如权利要求12所述的方法,其中在第一计算资源已经完成执行后,该第二计算资源继续执行。
14.如权利要求12所述的方法,其中该第一计算资源在第一系统上执行,并且该第二计算资源在第二系统上执行。
15.如权利要求12所述的方法,其中将该次要描述符加密地分配给该第二计算资源包括:访问包含该次要描述符的实例的存储位置。
16.如权利要求1所述的方法,还包括:
访问加密地分配给包含第二识别值的第二次要描述符的第二计算资源;
执行该第二计算资源;
访问加密地分配给包含第二识别值的第二主要描述符的第二特征指示符;以及
基于该第二特征指示符,对执行的第二计算资源提供对计算特征的访问。
17.一种用于控制对计算特征的访问的系统,该系统包括:
第一计算机系统,配置为准备用于执行的第一计算资源,包括提供主要描述符,每个主要描述符与相应的识别值相关联;以及
第二计算机系统,配置为执行该计算资源,包括
将相应的特征指示符与相应的主要描述符关联;
访问包含第一识别值的次要描述符,该第一识别值与所述主要描述符的第一主要描述符相关联,该次要描述符被加密地分配给该第一计算资源;
接受来自第一计算资源以执行第二计算资源的指令;
将包含第一识别值的次要描述符的至少一个实例加密地分配给第二计算资源,包括将第二计算资源与所述次要描述符的实例组合,并且加密地标记所述组合;
基于与次要描述符的实例相关联的特征指示符批准对该执行系统的计算特征的第二计算资源访问;以及
在第二计算资源的执行期间,验证次要描述符的实例被加密地分配给该第二计算资源,以确定第二计算资源被授权仅访问根据与第一计算资源相关联的特征指示符使能的计算特征。
18.一种用于控制对计算特征的访问的系统,该系统包括:
用于准备用于执行的第一计算资源的部件,包括提供主要描述符,每个主要描述符与相应的识别值相关联;以及
用于执行该计算资源的部件,包括
将相应的特征指示符与相应的主要描述符关联;
访问包含第一识别值的次要描述符,该第一识别值与所述主要描述符的第一主要描述符相关联,该次要描述符被加密地分配给该第一计算资源;
接受来自第一计算资源以执行第二计算资源的指令;
将包含第一识别值的次要描述符的至少一个实例加密地分配给第二计算资源,包括将第二计算资源与所述次要描述符的实例组合,并且加密地标记所述组合;
基于与次要描述符的实例相关联的特征指示符批准对计算特征的第二计算资源访问;以及
在第二计算资源的执行期间,验证次要描述符的实例被加密地分配给该第二计算资源,以确定第二计算资源被授权仅访问根据与第一计算资源相关联的特征指示符使能的计算特征。
19.如权利要求17所述的系统,其中该计算资源被加密。
20.如权利要求17所述的系统,其中将该次要描述符加密地分配给该第一计算资源包括组合该第一计算资源与该次要描述符,并且加密地标记该组合。
21.如权利要求17所述的系统,其中加密地标记该组合包括使用分配给该主要描述符的私有加密密钥加密从该组合得出的值。
22.如权利要求17所述的系统,其中验证该次要描述符的实例包括:使用分配给该第一主要描述符的公共加密密钥解密从该第二计算资源和该次要描述符的实例的组合得出的值。
23.如权利要求17所述的系统,其中执行计算机系统配置来:
在执行该第一计算资源之前生成次要描述符的第一实例;
在执行该第一计算资源之前生成次要描述符的第二实例;
比较描述符的两个实例以确定该第一计算资源是否被授权执行。
24.如权利要求23所述的系统,其中准备用于执行的该第一计算资源包括加密该次要描述符的第一实例。
25.如权利要求24所述的系统,其中准备用于执行的该第一计算资源包括加密该次要描述符的第二实例。
26.如权利要求23所述的系统,其中该次要描述符的第一实例具有与该次要描述符的第二实例相同的第一数据值、以及与该次要描述符的第二实例不同的第二数据值。
27.如权利要求23所述的系统,其中准备用于执行的该第一计算资源包括
将具有用于执行该第一计算资源的指令的第一容器分配给该第一计算资源和该次要描述符的第一实例,以及
将把用于执行该第一计算资源的指令表示为数据的第二容器分配给该第一容器和该次要描述符的第二实例。
28.如权利要求27所述的系统,其中准备用于执行的该第一计算资源包括加密地标记该第二容器。
29.如权利要求17所述的系统,其中准备用于执行的该第一计算资源包括
接受来自该第一计算资源以访问第二计算资源的指令;以及
执行该计算资源包括:
在系统上执行该第二计算资源,
将该次要描述符加密地分配给该第二计算资源,以及
基于该特征指示符,对执行的第二计算资源提供对计算特征的访问。
30.如权利要求29所述的系统,其中在第一计算资源已经完成执行后,该第二计算资源继续执行。
31.如权利要求29所述的系统,其中该计算资源在第一系统上执行,并且该第二计算资源在第二系统上执行。
32.如权利要求29所述的系统,其中将该次要描述符加密地分配给该第二计算资源包括访问包含该次要描述符的实例的存储位置。
33.如权利要求18所述的系统,其中该计算资源被加密。
34.如权利要求18所述的系统,其中将该次要描述符加密地分配给该第一计算资源包括组合该第一计算资源与该次要描述符,并且加密地标记该组合。
35.如权利要求18所述的系统,其中加密地标记该组合包括使用分配给该第一主要描述符的私有加密密钥加密从该组合得出的值。
36.如权利要求18所述的系统,其中验证该次要描述符的实例包括:使用分配给该主要描述符的公共加密密钥解密从该第二计算资源和该次要描述符的实例的组合得出的值。
37.如权利要求18所述的系统,还包括
用于在执行该第一计算资源之前生成次要描述符的第一实例的部件;
用于在执行该第一计算资源之前生成次要描述符的第二实例的部件;以及
用于比较描述符的两个实例以确定该第一计算资源是否被授权执行的部件。
38.如权利要求37所述的系统,还包括用于加密该次要描述符的第一实例的部件。
39.如权利要求38所述的系统,还包括用于加密该次要描述符的第二实例的部件。
40.如权利要求37所述的系统,其中该次要描述符的第一实例具有与该次要描述符的第二实例相同的第一数据值、以及与该次要描述符的第二实例不同的第二数据值。
41.如权利要求37所述的系统,还包括
用于将具有用于执行该第一计算资源的指令的第一容器分配给该第一计算资源和该次要描述符的第一实例的部件,以及
用于将把用于执行该第一计算资源的指令表示为数据的第二容器分配给该第一容器和该次要描述符的第二实例的部件。
42.如权利要求41所述的系统,还包括用于加密地标记该第二容器的部件。
43.如权利要求18所述的系统,还包括:
用于接受来自该第一计算资源以访问第二计算资源的指令的部件;
用于在系统上执行该第二计算资源的部件;
用于将该次要描述符加密地分配给该第二计算资源的部件;以及
用于基于该特征指示符,对执行的第二计算资源提供对计算特征的访问的部件。
44.如权利要求43所述的系统,其中在第一计算资源已经完成执行后,该第二计算资源继续执行。
45.如权利要求43所述的系统,其中该第一计算资源在第一系统上执行,并且该第二计算资源在第二系统上执行。
46.如权利要求43所述的系统,其中将该次要描述符加密地分配给该第二计算资源包括访问包含该次要描述符的实例的存储位置。
47.如权利要求1所述的方法,还包括:
将令牌附加到该第一计算资源,其中该令牌配置来在该第一计算资源被该计算特征执行的同时保持与该第一计算资源相关联的识别值。
48.如权利要求47所述的方法,其中在执行该资源期间,该第一计算资源仅访问由与包括在该令牌中的识别值相关联的特征指定的该执行系统的特征。
49.如权利要求17所述的系统,其中该第一计算机系统配置来将令牌附加到该第一计算资源,其中该令牌配置来在该第一计算资源被该计算特征执行的同时保持与该第一计算资源相关联的识别值。
50.如权利要求49所述的系统,其中在执行该第一计算资源期间,该资源仅访问由与包括在该令牌中的识别值相关联的特征指定的该执行系统的特征。
51.如权利要求18所述的系统,其中用于准备所述计算资源的部件还包括用于将令牌附加到该第一计算资源的部件,其中该令牌配置来在该第一计算资源被该计算特征执行的同时保持与该第一计算资源相关联的识别值。
52.如权利要求51所述的系统,其中在执行该资源期间,该第一计算资源仅访问由与包括在该令牌中的识别值相关联的特征指定的该执行系统的特征。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/646,059 | 2009-12-23 | ||
| US12/646,059 US8782429B2 (en) | 2009-12-23 | 2009-12-23 | Securing execution of computational resources |
| PCT/US2010/061517 WO2011079112A1 (en) | 2009-12-23 | 2010-12-21 | Securing execution of computational resources |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102770869A CN102770869A (zh) | 2012-11-07 |
| CN102770869B true CN102770869B (zh) | 2015-11-25 |
Family
ID=43736874
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201080064671.4A Active CN102770869B (zh) | 2009-12-23 | 2010-12-21 | 计算资源的安全执行 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US8782429B2 (zh) |
| EP (1) | EP2517140B1 (zh) |
| JP (1) | JP5797666B2 (zh) |
| KR (2) | KR101751316B1 (zh) |
| CN (1) | CN102770869B (zh) |
| AU (1) | AU2010336503B2 (zh) |
| CA (1) | CA2784896C (zh) |
| WO (1) | WO2011079112A1 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5988473B2 (ja) * | 2011-09-20 | 2016-09-07 | 株式会社Dnpハイパーテック | モジュールの暗号化/復号化プログラム |
| US9112851B2 (en) * | 2013-06-18 | 2015-08-18 | Sap Se | Integrating web protocols with applications and services |
| US10657262B1 (en) * | 2014-09-28 | 2020-05-19 | Red Balloon Security, Inc. | Method and apparatus for securing embedded device firmware |
| TWI770022B (zh) * | 2016-04-29 | 2022-07-11 | 安地卡及巴布達商區塊鏈控股有限公司 | 電腦實施之控制方法、系統及控制系統 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1526429A2 (en) * | 2003-10-24 | 2005-04-27 | Microsoft Corporation | Operating system resource protection |
| CN101110097A (zh) * | 2007-08-17 | 2008-01-23 | 南京新模式软件集成有限公司 | 一种电子文件安全外发的方法 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5966072A (en) | 1996-07-02 | 1999-10-12 | Ab Initio Software Corporation | Executing computations expressed as graphs |
| US6308274B1 (en) * | 1998-06-12 | 2001-10-23 | Microsoft Corporation | Least privilege via restricted tokens |
| US7673323B1 (en) * | 1998-10-28 | 2010-03-02 | Bea Systems, Inc. | System and method for maintaining security in a distributed computer network |
| US6874088B1 (en) * | 1999-10-22 | 2005-03-29 | Mission Critical Linux, Llc | Secure remote servicing of a computer system over a computer network |
| JP4447977B2 (ja) * | 2004-06-30 | 2010-04-07 | 富士通マイクロエレクトロニクス株式会社 | セキュアプロセッサ、およびセキュアプロセッサ用プログラム。 |
| JP4718151B2 (ja) * | 2004-09-24 | 2011-07-06 | 三菱電機株式会社 | 情報処理装置、情報処理方法およびプログラム |
| US7810153B2 (en) * | 2005-01-28 | 2010-10-05 | Microsoft Corporation | Controlling execution of computer applications |
| US7716630B2 (en) | 2005-06-27 | 2010-05-11 | Ab Initio Technology Llc | Managing parameters for graph-based computations |
| US8006088B2 (en) * | 2005-08-18 | 2011-08-23 | Beyondtrust Corporation | Methods and systems for network-based management of application security |
| US8407704B2 (en) * | 2006-09-26 | 2013-03-26 | International Business Machines Corporation | Multi-level memory architecture using data structures for storing access rights and performing address translation |
| US8370957B2 (en) * | 2006-12-05 | 2013-02-05 | Samsung Electronics Co., Ltd | Method and apparatus for transmitting contents with limited system permissions |
| US8171301B2 (en) * | 2007-10-07 | 2012-05-01 | Embotics Corporation | Method and system for integrated securing and managing of virtual machines and virtual appliances |
| JP5112924B2 (ja) * | 2008-03-27 | 2013-01-09 | 株式会社Kddiテクノロジー | アプリケーション移動システム、アプリケーションの移動方法、プログラムおよび携帯端末 |
-
2009
- 2009-12-23 US US12/646,059 patent/US8782429B2/en active Active
-
2010
- 2010-12-21 JP JP2012546145A patent/JP5797666B2/ja active Active
- 2010-12-21 CN CN201080064671.4A patent/CN102770869B/zh active Active
- 2010-12-21 KR KR1020157008266A patent/KR101751316B1/ko active IP Right Grant
- 2010-12-21 KR KR1020127016890A patent/KR101643677B1/ko active IP Right Grant
- 2010-12-21 WO PCT/US2010/061517 patent/WO2011079112A1/en active Application Filing
- 2010-12-21 CA CA2784896A patent/CA2784896C/en active Active
- 2010-12-21 AU AU2010336503A patent/AU2010336503B2/en active Active
- 2010-12-21 EP EP10809117.4A patent/EP2517140B1/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1526429A2 (en) * | 2003-10-24 | 2005-04-27 | Microsoft Corporation | Operating system resource protection |
| CN101110097A (zh) * | 2007-08-17 | 2008-01-23 | 南京新模式软件集成有限公司 | 一种电子文件安全外发的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102770869A (zh) | 2012-11-07 |
| US20110154051A1 (en) | 2011-06-23 |
| KR20120104271A (ko) | 2012-09-20 |
| WO2011079112A4 (en) | 2011-08-18 |
| EP2517140B1 (en) | 2019-08-14 |
| AU2010336503A1 (en) | 2012-06-14 |
| KR101751316B1 (ko) | 2017-06-27 |
| JP2013516004A (ja) | 2013-05-09 |
| KR101643677B1 (ko) | 2016-08-10 |
| KR20150042298A (ko) | 2015-04-20 |
| AU2010336503B2 (en) | 2015-01-15 |
| EP2517140A1 (en) | 2012-10-31 |
| JP5797666B2 (ja) | 2015-10-21 |
| CA2784896A1 (en) | 2011-06-30 |
| WO2011079112A1 (en) | 2011-06-30 |
| CA2784896C (en) | 2017-06-20 |
| US8782429B2 (en) | 2014-07-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101176100B (zh) | 提供基于软件的安全协处理器的方法和装置 | |
| Anati et al. | Innovative technology for CPU based attestation and sealing | |
| BR102020005717A2 (pt) | Segurança e rastreamento de máquina e dados agronômicos com base em transação distribuída | |
| CN110199284A (zh) | 交叉平台包围区身份 | |
| CN107111713A (zh) | 软件系统的自动验证 | |
| CN110932859B (zh) | 用户信息的处理方法、装置、设备及可读存储介质 | |
| CN111200589A (zh) | 一种联盟链的数据保护方法及系统 | |
| CN110214323A (zh) | 包围区抽象模型 | |
| CN111295655B (zh) | 用于一个或多个进程的分布式隐私保护共享执行的计算机系统和方法 | |
| CN106055936A (zh) | 可执行程序数据包加密/解密方法及装置 | |
| CN101416129B (zh) | 现场设备 | |
| CN115580413B (zh) | 一种零信任的多方数据融合计算方法和装置 | |
| CN102770869B (zh) | 计算资源的安全执行 | |
| CN115796871A (zh) | 基于区块链的资源数据处理方法、装置和服务器 | |
| JP2005100347A (ja) | プログラム製作装置 | |
| CS Machado et al. | Software control and intellectual property protection in cyber-physical systems | |
| CN114936365B (zh) | 一种机密数据的保护系统、方法以及装置 | |
| de Carvalho et al. | How to improve monitoring and auditing security properties in cloud storage? | |
| Rodriguez et al. | Dynamic Security and Privacy Seal Model Analysis | |
| Llanos et al. | Using the blockchain to enable transparent and auditable processing of personal data in cloud-based services: Lessons from the Privacy-Aware Cloud Ecosystems (PACE) project | |
| McKay et al. | Cybersecurity Considerations in Blockchain-Based Solutions | |
| Korre | Security and Data De-Duplication Using Hybrid Cloud Technology | |
| Bove | A Large-Scale Study on the Prevalence and Usage of TEE-based Features on Android | |
| Giannetsos et al. | D3. 1: ASSURED ATTESTATION MODEL AND SPECIFICATION | |
| CN114329564A (zh) | 私有化格式文件的处理方法、电子设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |