CN1154515A

CN1154515A - 保护性使用动态连接的可执行模块的系统和方法

Info

Publication number: CN1154515A
Application number: CN96122021A
Authority: CN
Inventors: 查尔斯·E·麦克梅尼斯
Original assignee: Sun Microsystems Inc
Current assignee: Sun Microsystems Inc
Priority date: 1995-10-26
Filing date: 1996-10-24
Publication date: 1997-07-16
Anticipated expiration: 2016-10-24
Also published as: EP0770957A3; TW378304B; US6546487B1; JPH09231068A; US5757914A; US5970145A; CN1130648C; EP0770957A2; JP3982857B2; KR970022747A; KR100417443B1

Abstract

一个计算机系统有一程序模块验证器和至少第一和第二程序模块。每个程序模块有一数字标记和一可执行过程。第一程序模块还包括一对第二程序模块的过程调用，第二程序模块包括一响应所述调用的可执行过程，第一、二程序模块都包括一对程序模块验证器的过程调用和当产生否定的验证时禁止执行的指令。程序模块验证器验证任一程序模块的可靠性并返回一个肯定或否定的验证，当返回否定验证时，调用程序模块产生异常并终止其执行。

Description

保护性使用动态连接的可执行模块的系统和方法

本发明涉及限制可执行模块使用的系统和方法，以使每一可执行模块只与其它可靠性已得到验证的可执行模块动态连接。

在计算机程序的上下文中，“外部函数”是位于使用该外部函数的计算机程序外部的程序库或其他函数库中的一典型的程序或函数。外部函数经常但并非总是被不同于使用这些外部函数的计算机程序的其他人或其它团体编写。

程序的执行环境要求外部函数在运行期间而并非在连接或编译时被连接，以简化维护和更新计算机程序，因为对应用到此类执行环境的程序来说，只有那些正在被修改或更新的程序需要重新编译，而其它的模块不用做任何改变，此外，由于即使程序使用的其他模块在程序开发系统中并不出现，但被修改程序的编译也能执行，因此重新编译的过程得到简化。

然而，运用此类程序执行环境的系统是有缺陷的，因为程序模块间的接口通常被较好地说明了，或可以被第三者确定，因此对第三者来说可能以未被相应软件许可协议承认的方式来使用那些程序模块。另外，这些第三者可以用损坏的模块来代替真正的程序模块，使系统遭到破坏。

在以从美国向其他国家的消费者或发行商出口为目的的软件中，当用密码程序进行处理时，该问题就更严重了。目前，美国的商业法禁止出口提供通用密码的软件模块。另一方面，这样一类的程序出口是允许的，即这些程序在有限的上下文中可执行密码功能，在其外的程序中不能执行通用的密码功能。事实上，设计以授权方式使用密码功能的出口软件系统在商业上是很重要的。现有技术中最新的约束系统，如动态连接库(Windows系统中的DLLS)或共享目标(如Solaris里的·SO文件)，试图通过隐藏软件模块间的接口或者通过单独提供“仅供出口”的软件版本来解决此问题。单独提供“仅供出口”的软件产品导致了要用单一的代码库保持对国内和出口版本进行升级和修订维护“同步”的问题。

另一个有必要限制或禁止使用动态连接模块的情况是一个出版商写的应用软件，由于商业秘密或合同的原因，他希望应用软件中某些函数是保密的。这样的系统就要求限制访问这些秘密函数的方式。

总而言之，本发明为一计算机系统，它有一个程序模块验证器和至少一个第一和一个第二程序模块。每一程序模块包含有一个数字标记和一个可执行的过程。此外，第一个程序模块还包含一个可调用第二程序模块的过程；一个调用程序模块验证器的过程，调用程序模块验证器的程序逻辑上应位于第一程序模块中，以便在执行调用第二程序模块之前就被执行；以及一些指令，当调用程序模块验证器的过程导致了程序模块验证器的一个否定的答复，那么这些指令就禁止调用第二程序模块。

第二程序模块中包含响应第一程序模块对第二程序模块过程调用而执行的一个可执行过程，还包含一个逻辑上位于第二程序模块中，以便在执行第二程序模块的可执行过程完成之前就被执行的对程序模块验证器调用的过程，还包含一些当程序模块验证器返回一个关于第一程序模块的否定验证时禁止执行可执行过程的指令。

程序模块验证器通过对任何指定的程序模块的可靠性进行验证并返回一个对每一次过程调用肯定或否定的验证来响应过程调用。确切地说，在一个优选实施例中，程序模块验证器包含对一个指定程序模块进行验证的要求进行响应的指令。响应的方式为：(A)用一个相应的解码钥对指定的程序模块中的数字标记进行解码，(B)根据信息摘要函数产生一个至少为指定程序模块一部分的信息摘要，(C)当被解码的数字标记与信息摘要相匹配时就返回一个肯定的验证，以及(D)如果被解码的数字标记与信息摘要不相匹配时就返回一个否定的验证。

在该优选实施例中，当程序模块验证器无法验证第二程序模块的可靠性时，第一程序模块就产生异常并终止执行。同样地，当程序模块验证器无法验证第一程序模块的可靠性时，第二程序模块就产生异常并终止执行。

当结合附图，并根据下面详细的描述和所附权利要求，本发明另外的目的和特点就更易明白了。其中：

图1是结合本发明的计算机系统框图；

图2是一个代表使用本发明的优选实施例的一个典型的过程调用的“时间序列”。

图3是在优选实施例中两个连接的软件模块相互验证可靠性方法的流程图。

参见图1，图示为一个计算机系统100。虽然计算机100可以是台式计算机，如Sun工作站、IBM兼容机或Macintosh计算机，但实际上可使用任何型号的计算机。计算机100包括一个CPU102，一个用户接口104及存储器106。存储器106包括主随机存储器(RAM)和辅助存储器，一般为一个或多个磁盘或光盘。存储器106存储着一个操作系统110、一个程序模块或目标可靠性验证器112及一组应用程序目标实例114、116、118和120，又称程序模块或应用程序模块。

如图1所示，在本发明的一个优选实施例中，每个应用程序目标实例包括目标标题122、至少一个数字标记124、至少一个嵌入式公用密钥126和一个主应用过程128(常称之为方法)。每个方法(或称过程)128包括至少一个验证过程调用指令130和用于答复为响应验证过程调用而收到的验证否定信息的指令132，例如终止过程执行的指令。在第一个程序模块中的主应用程序A过程(128-A)进一步包括调用在第二程序模块中的一个可执行过程(如主应用程序B过程128-B)的过程调用134，调用程序模块验证器的过程调用130-A在逻辑上位于在第一程序模块中，以便在调用第二程序模块的过程调用134执行之前就被执行。

调用程序模块验证器的过程调用130-B在逻辑上位于第二程序模块中紧接着通向第二程序模块中各可执行过程128-B的入口点之后的地方，以便先于过程128-B而使其执行。更一般地说，在本发明的其他实施例中，调用程序模块验证器的过程调用130-B在逻辑上位于在第二程序模块中先于每一可执行过程完成点之前的地方(更普遍地说，位于所有会被其它程序模块调用的程序模块中)，以便如果验证器否定了调用程序的验证时，则避免每个这样的模块执行完毕。

在本发明的一个优选实施例中，在指定组中的所有过程(如某一特定顶层应用程序所使用的所有过程或一组顶层应用程序)具有同一嵌入式公钥126，且都使用同一密钥，如RSA加密术，来进行数字标记。但在另一个实施例中，不同的过程和过程子组以不同的密钥来进行标记。在这个另外的实施例中，包含有过程调用的过程模块具有用于验证它们所能调用的过程的嵌入式公钥，所有可被其它过程调用的过程模块包含用于调用过程验证的公

图2是一个代表一个典型的本发明的优选实施例中使用的过程调用是如何进行的“时间序列”。在图2中，先发事件在垂直方向上的位置比后发事件要高。图3中是过程调用执行中所包含的各步骤的流程图。

参见图2与图3，在程序模块A中的可执行过程(如图1中的主应用程序A过程)开始执行(步骤200)。为便于讨论，在程序模块A中正被执行的过程称为“过程A”，而在程序模块B中试图调用的过程称为“过程B”，在程序模块B对一可执行过程进行过程调用(步骤220)之前，过程A对验证器进行过程调用以要求对程序模块B的可靠性进行验证(步骤202)，验证器然后试图对程序模块B的可靠性进行验证并对程序A发送一个返回值以显示对程序模块B的验证是否成功(步骤204)。

更确切地说，最好是一个不同的受托目标(或另外一个可信系统服务过程)的验证器。接收来自过程A的请求信息(步骤206)，并使用一个由调用过程(即过程A)所提供的公钥对嵌入程序模块B中的数字标记进行解码(步骤208)，通过验证器调用过程A所提供的公钥是嵌入在程序模块A中的“组”公共钥126-A。

在优选实施例中，程序模块的数字标记是通过以下步骤产生的：计算程序模块的信息摘要；对信息摘要增加一个散列函数标识符以指出用以产生信息摘要的散列函数(hash Function)的类型；通过一个密钥，采用RSA加密术对所得值进行加密；然后对加密值再增加一个该程序模块源(即作者或发行者)的明确文本标识符：

MD_B＝散列函数(程序模块B)

数字标记B＝加密(MD_B+散列函数ID，密钥)+程序模块B源的明确文本ID。

因此，为了对程序模块B的数字标记进行解码，验证器(A)从数字标记中删去明确文本ID之后(B)通过公钥对数字标记的剩余部分进行解码以产生一个基于标记的信息摘要DS-MD_B和散列函数ID。

DS-MD_B+散列函数ID＝解码(数字标记B-明确文本ID，公共钥)

之后，验证器使用在解码数字信号中标识的散列函数来计算至少作为程序模块B一部分的信息摘要MD_B。用于产生信息摘要的函数是一个典型的函数，如CRC解密函数，它是以极高的概率对不同的程序模块产生不同的值。许多适用于产生信息摘要的散列函数是被本领域中的技术人员所了解的。

验证器然后对已计算过的信息摘要MD_B和已解码的数字标记中的信息摘要DS-MD_B进行比较，(步骤212)，如果这两个信息摘要匹配时，则向调用过程返回一个验证肯定信息(214步)，若不匹配则产生一个验证否定信息(步骤216)。

在一个优选实施例中，每个程序模块有一个唯一的数字标记，相关的信息摘要是使用基于整个程序模块内容的一个散列函数计算出来的。在其他实施例中，信息摘要基于的是可以仅为程序模块的一个部分。例如在第二个优选实施例中，每个程序模块有两个数字标记：一个用于程序模块的多个方法部分，另一个用于程序模块的一个(若有的话)数据部分。当程序模块有两个数字标记时，通过对这两个数字标记进行解码而得到的两个信息摘要必须与由验证器计算出的相应信息摘要相匹配，以使验证器返回一个验证肯定信息。如果经解码的数字标记中的信息摘要有一个与由验证器计算产生的相应信息摘要不匹配，则验证器返回一个验证否定信息。

如果验证器否定了对程序模块B的验证(步骤216)，过程A则“产生异常”然后终止(步骤218)。产生异常通常会引起相关的执行线程(thread)终止，且进一步引起一个由正在调用的异常处理过程执行线程进行执行，以便给执行调用线程一个机会来进行分析，否则给被调用的过程一个否定的回答。(本例中即为过程A)

一般地，仅当程序模块被破坏，如在安装或从一台计算机向另一台计算机传输的过程中被故意地扰乱时，验证器就会对程序模块验证进行否定。在正常操作时，验证否定应为异常事件。

如果验证器肯定了程序模块B的验证(步骤214)，过程A继续进行对程序模块B中的过程B进行过程调用(步骤220)。在优选实施例中，当接收到过程调用之后，程序模块B首先要做的一件事是对验证器进行过程调用(步骤222)，发出一个对调用程序模块的可靠性进行验证的请求。(即本例中的程序模块A)。

然后，验证器试图验证程序模块A的可靠性，并向过程B返回一个值以表明对程序模块A的验证是否成功(步骤230)。

更确切地说，验证器收到来自过程B的请求信息(步骤232)，用过程B提供的公共钥对程序模块A中嵌入的数字标记解码(步骤234)。过程B提供给验证器的公共钥是嵌入程序模块B的“组”公共钥126-B。

正如上文所解释的，程序模块A的信息摘要是按下面步骤产生的，计算程序模块A的信息摘要；用散列函数标识符加在信息摘要上以表明用来产生信息摘要的散列函数的类形；用RSA加密技术的密钥对所得值进行加密；然后将程序模块源的(即作者或分销商)一个明确文本标识符附加到被加密的值：

MD_A＝散列函数(程序模块A)

数字标记A＝加密(MD_A+散列函数ID，密钥)+程序模块A源的明确文本ID

因此为对程序模块A的数字标记进行解码，验证器(A)从数字标记中删去明确文本ID，然后(B)对数字标记的剩余部分进行解码以产生一个基于标记的信息摘要DS-MD_A和一个散列函数ID。

DS-MD_A+散列函数ID＝解码(数字标记A-明确文本ID，公共钥)

下一步，验证器用解码数字标记中标记的散列函数计算至少为程序模块A一部分的信息摘要MD_A(步骤236)。

验证器然后比较计算得到的信息摘要MD_A与被解码的数字标记中的信息摘要DS-MD_A(步骤238)，如果两个信息摘要匹配时，对调用过程(步骤240)返回一个验证肯定的信息，如果两个信息摘要不匹配时，则返回一个否定的信息。

如果验证器否定对程序模块A的验证(步骤216)，过程B“产生异常”，然后终止执行(步骤244)。

如果验证器肯定程序模块A的验证(步骤240)，则过程B被执行完毕(步骤250)并且执行过程B所产生的结果被返回到过程A(步骤252)。最终，过程A用从过程B的到的值完成它的执行(步骤254)。

在一些补充的实施例中，一组程序模块中仅有一部分程序模块包含“敏感”的算法，或者说对它的验证比其它程序模块更重要。例如，在第一个补充实施例中，一组程序模块(此中叫“全套程序模块”)的发行商可能想确保组内少数程序模块(此处叫“有限子套程序模块”)仅能与组内的其他程序模块一起使用，但发行商可能允许其他剩余程序模块被授权者免费使用，甚至可与组外的程序模块一起使用。在此实施例中，仅仅是那些被限制的程序模块组包含调用验证器模块的过程调用，它在逻辑上位于紧随那些模块入口点之后。这些调用验证器的入口点的过程用来验证调用的程序模块的可靠性，一旦验证到此调用的程序模块是一被确认为可靠的组中的一部分，被调用的程序模块就执行调用程序模块所要求的计算。

在第二补充实施例中，一组程序过程的发行商并不关心限制使用一组“被限制的程序模块”，而是关心所有试图使用被限制的程序模块的服务的调用过程实际上得到被限制的程序模块可靠版本的服务。在这一实施例中，所有对被限制的程序模块产生过程调用的过程都包含对验证器模块的过程调用，验证器模块逻辑上紧在对被限制的程序模块的过程调用之前。这些验证器过程调用用来验证被限制的程序模块的可靠性。然而，在这些实施例中，被限制的程序模块中的过程不包含对调用程序模块的可靠性进行验证的验证器过程调用。一旦验证到被调用的被限制的程序模块是可靠的，调用程序模块就对已被确认为可靠的被限制的程序模块进行调用。

虽然，参考几个已说明的实施例，本发明已经得到了描述，但该描述是对本发明解释并非对发明的限制。对于那些本领域的技术人员来说，在不脱离后附的权利要求所限定的本发明的精神和范围的情况下，可进行各种修改。

Claims

1、一个计算机系统包括：

(A)一个程序模块验证器，用于通过验证对任何指定的程序模块的可靠性，并通过根据每一个这样的过程调用返回一个验证肯定或否定来响应所述程序模块验证器的过程调用；

(B)第一程序模块，和

(C)第二程序模块；

所述的第一和第二程序模块中的一个模块包含对其中的另一个模块的过程调用；

所述的第一和第二程序模块中至少一个模块包含：

一个对所述的程序模块验证器的过程调用以便验证所述的第一和第二程序模块中的另一个模块的可靠性；和

多个指令，用于当对所述的程序模块验证器进行所述的过程调用产生了被所述的程序模块验证器返回的一个验证否定时，终止所述的程序模块的执行。

2、如权利要求1所述的计算机系统，

所述的第一程序模块包含一个第一数字标记和一个第一可执行过程；

所述的第二程序模块包含一个第二数字标记和一个第二可执行过程；

所述的程序验证器模块包含对要求验证一个所述的第一和第二程序模块中所指定模块的过程调用按如下步骤做出响应的指令，(A1)用一个相应的解码钥对所述指定的程序模块中的所述数字标记进行解码，(A2)根据一个预定的信息摘要函数产生至少是所述指定的程序模块一部分的信息摘要，(A3)当所述被解码的数字标记与所述的信息摘要匹配时，返回一个验证肯定，以及(A4)当所述被解码的数字标记与所述的信息摘要不匹配时，返回一个验证否定。

3、如权利要求1所述的计算机系统，

所述的第一程序模块包含一个对所述的第二程序模块的过程调用，

所述的第二程序模块包含：

(C1)在响应对所述的第二程序模块进行所述过程调用时进行的一个可执行过程；

(C2)对所述的程序模块验证器的过程调用，该程序模块验证器在逻辑上位于所述第二程序模块中，以便先于所述的可执行过程的执行之前就被执行；以及

(C3)多个指令，用于当对所述程序模块验证器的所述过程调用产生一个由所述的程序模块验证器返回的验证否定时，禁止所述的可执行过程的执行。

4、如权利要求3所述的计算机系统，其中，禁止所述的第二可执行过程执行完成的所述指令包括，当对所述的程序模块验证器进行所述的过程调用产生由所述程序模块验证器返回的验证否定时，终止所述的第二程序模块执行的指令。

5、如权利要求1、2、3或4所述的计算机系统，

所述的第一程序模块包含：

对所述的第二程序模块的过程调用；

对所述的程序模块验证器的过程调用，该程序模块验证器在逻辑上位于所述的第一程序块中，以便先于对所述的第二程序模块进行所述的过程调用之前就被执行；以及

多个指令，用于当对所述程序模块验证器的过程调用产生一个由所述的程序模块验证器返回的验证否定时，禁止对所述的第二程序模块进行所述的过程调用的执行。

6、一个连接程序模块的方法，包含的步骤为：

(A)在从一个第一程序模块对一个第二程序模块所做的一个过程调用之前，验证所述的第二程序模块的可靠性；

(B)一旦验证了所述的第二程序模块的可靠性，进行从所述的第一程序模块对所述的第二程序模块的过程调用；以及

(C)一旦否定了所述的第一程序模块的可靠性，禁止进行从所述的第一程序模块对所述的第二程序模块的过程调用。

7、如权利要求6中所述的方法，进一步包括：

(D)在进行为响应所述过程调用而通过所述的第一程序模块完成执行在所述的第二程序模块中的一个过程之前，验证所述的第一程序模块的可靠性；

(E)一旦验证了所述第一程序模块的可靠性，就完成执行在所述第二程序模块中的所述过程，以产生一个结果，并返回所述结果给所述的第一程序模块；和

(F)一旦否定了所述第一程序模块的可靠性，禁止完成执行在所述第二程序模块中的所述过程。

8、如权利要求7所述的方法，

所述步骤(D)包括用一个相应解码钥来对在所述第一程序模块中的所述第一数字标记进行解码；根据所述的预定的信息摘要函数产生至少为所述第一程序模块一部分的信息摘要；当所述被解码的数字标记与所述的信息摘要匹配时确认所述第一程序模块的可靠性；以及当所述被解码的数字标记与所述信息摘要不匹配时否定所述第一程序模块的可靠性。

9、如权利要求6、7或8所述的方法，其中，步骤(C)包括终止所述第一程序模块的执行。

10、如权利要求6、7或8所述的方法，其中所述第一程序模块包括一个第一数字标记，所述的第二程序模块包括一个第二数字标记；

所述步骤(A)包括用一个相应的解码钥对在所述第二程序模块中的所述第二数字标记进行解码；根据所述预定的信息摘要函数产生至少为所述第二程序模块一部分的信息摘要；当所述被解码的数字标记与所述的信息摘要匹配时确认所述第二程序模块的可靠性；以及当所述的被解码的数字标记与所述信息摘要不匹配时否定所述第二程序模块的可靠性。

11、如权利要求6、7或8所述的方法，

所述步骤(A)中包括对可信的程序模块验证器做一次过程调用，所述的程序模块验证器是通过验证所述的第二程序模块的可靠性并通过根据所述过程调用返回一个肯定或否定的验证来响应所述过程调用。