NO20141445A1 - Sikring av applikasjoner installert i lokalt endepunktutstyr - Google Patents
Sikring av applikasjoner installert i lokalt endepunktutstyr Download PDFInfo
- Publication number
- NO20141445A1 NO20141445A1 NO20141445A NO20141445A NO20141445A1 NO 20141445 A1 NO20141445 A1 NO 20141445A1 NO 20141445 A NO20141445 A NO 20141445A NO 20141445 A NO20141445 A NO 20141445A NO 20141445 A1 NO20141445 A1 NO 20141445A1
- Authority
- NO
- Norway
- Prior art keywords
- source code
- device server
- service provider
- mechanisms
- application
- Prior art date
Links
- 230000007246 mechanism Effects 0.000 claims description 55
- 238000000034 method Methods 0.000 claims description 13
- 238000009826 distribution Methods 0.000 claims description 10
- 230000001131 transforming effect Effects 0.000 claims description 2
- 230000008713 feedback mechanism Effects 0.000 description 13
- 238000001514 detection method Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 230000008676 import Effects 0.000 description 3
- 230000032258 transport Effects 0.000 description 3
- 238000009434 installation Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000000523 sample Substances 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
Description
Teknisk felt
Den foreliggende oppfinnelsen vedrører et system og en fremgangsmåte for sikring av lokalt utplasserte applikasjoner, og mer spesielt et system og en fremgangsmåte for sikring av lokale applikasjoner som kjører på utsatte elektroniske plattformer.
Bakgrunn for oppfinnelsen
Tjenesteleverandører digitaliserer tjenester og gjøre dem tilgjengelig over usikre plattformer, enten de er i besittelse av sluttbrukere, eller er typer av utstyr som er koblet over åpne nettverk for å betjene sluttbrukere med nye tjenester. Som eksempler mobil-bank og Internett lover store verdiforslag for både bedrifter og enkeltpersoner, men kan ikke bli lansert i fullskala eller med en fornuftig risikoprofil uten distribusjon av sikkerhet-stiltak som hindrer at noen hacker seg inn i disse plattformer og applikasjoner.
Teoretisk ville Public Key Infrastructure sammen med Trusted Computing være en god teknologisk kandidat for å beskytte plattformer, men utrullingstakten i markedet er rela-tivt liten på grunn av store kostnader, tung logistikk og med en generell mangel på inte-roperabilitet mellom heterogene distribusjoner.
Sammenfatning av oppfinnelsen
Det er derfor formålet med den foreliggende oppfinnelse, slik den er angitt i kravsettet, å løse problemene som er nevnt ovenfor. Mekanismen i henhold til oppfinnelsen arbeider i henhold til denne beskrivelsen: (1) En tjenesteleverandør gjør tilgjengelig kildekoden til et program som skal sikres ved hjelp av et apparat ved å la apparatserver (AS) importere kildekoden til programmet. AS kan startes manuelt, f.eks. som en del av en programvares utgivelsessyklus eller automatisk ved å lytte til en sabotasjeoppdagermekanisme. Ved begge metoder er den importerte kildekoden analysert og transformert i henhold til strateg i profilen at leverandø-ren bestemmer seg for å velge mellom disse AS «mekanismer» ref. Figur 1:
a. Obfuskasjonsmekanisme,
b. Fjerningsmekanisme,
c. PKI mekanisme,
d. Kompilatormekanisme,
e. Distribusjonsmekanisme eller
f. direkte gjennom sabotasjedeteksjon og tilbakemeldingsmekanisme som arbeider i for-bindelse med AS. (2) Sabotasjedeteksjon og tilbakemeldingsmekanismen genererer automatisk korrek-sjonskrav til alle andre under sekvensielle mekanismer av AS. Sabotasjedeteksjonsme-kanismen får sin input fra utplasserte applikasjoner enten fordi hackere forsøker å utnytte foreldet funksjonalitet som er påvist i serversiden eller fordi hackere er fanget og rap-portert inn falske programvarefunksjoner forsettlig utplassert ved Obfuskasjonsmekanismen til AS. Tilbakekoplingsmekanismen forteller AS å tilveiebringe en patch etter en viss funksjon, kommando eller trekk blir utført i applikasjonen, f.eks. distribuere en ny patch til en bestemt bruker/utstyr som fjerner kodeblokker etter bruk. (3) Obfuskasjon mekanisme styrer og bruke alle typer obfuskasjon teknikker tilgjengelig fra åpen kildekode-miljøet, kommersielle leverandører eller skreddersydd av AS seg selv. Skreddersydd obfuskasjon genererer vanligvis tilpassede kjørbare filer slik at tjenestele-verandører å distribuere bruker- / utstyrspesifikke versjoner av programmer som gjør det enda vanskeligere for angripere å lansere massive angrep. (4) Fjerningsmekanismen forvalter og genererer instruksjoner for distribusjonsmekanismen for å fjerne kodeblokker fra programmer som allerede er utplassert. (5) PKI-Offentlig Key i infrastruktur mekanismer forvalter og leverer nøkler og sertifikater som jobber internt mellom komponenter og tjenester ved hjelp av mekanismen til denne oppfinnelsen. Som en del av denne mekanismen holder et nøkkelarkiv styr på alle nøkler historisk brukt for å gi ikke-benektelse på transaksjoner. (6) kompilatormekanismen kompilerer kildekoden som er bearbeidet og forvandlet gjennom AS. (7) Fordelingsmekanismen bestemmer når og hvordan du kan distribuere applikasjoner første gang og senere patcher bestående av hvilke protokoller å bruke og veksle mellom. Dersom applikasjonen blir lappet eller brukes i en mobiltelefonapplikasjon, kan en distribusjonsmekanisme også kobles mellom IP-baserte transportprotokoller og telecom baserte protokoller som enkelte lydprotokoller over PSTN, og skaper en annen kanal forplik-tende sluttbrukergodkjenning til tjenester, apper og oppdateringer.
Detaljert beskrivelse
Den foreliggende oppfinnelsen gjelder et system og en metode for å sikre lokalt utplassert sluttpunkt åpne programmer, kjører på sårbare elektroniske plattformer, som mobiltelefoner, nettbrett og PC-er eller annet elektronisk utstyr med programvare som kan oppdateres eksternt. Nærmere bestemt et system og en metode som gjør det mulig for tjenesteleverandører å kontinuerlig gjennomføre patching eller fjerne kodeblokker fra programmer som kjører på en dynamisk og ikke-forutsigbar måte. Dette gjøres gjennom taktisk eller systematisk randomisering av endringer på alle aspekter av maskinkjørbar kode som vanligvis kjører på usikre miljøer. Dette gjøres blant annet, men ikke begren-set til å transformere syntaks, sematic, grensesnitt, protokoller, formater og sikkerhets-nøkler og hemmeligheter med obfuskasjonsteknikker på den kjørbare programkoden. Formålet med oppfinnelsen er å utkonkurrere alle forsøk, i forhold til kostnader og tid for en hacker, injisere ondsinnet kode i programmer eller kapre økter, ta kontroll over sams-pillet mellom tjenesteleverandøren og sluttbrukeren/utplassert utstyr eller reverse engi-neeringsprogrammer for å forberede eller gjennomføre eksterne angrep på applikasjoner. (1) En tjenesteleverandør gjør tilgjengelig kildekoden til et program for å være sikret av det oppfunnede apparatet ved å la apparatserver (AS) importere kildekoden til programmet. AS kan startes; (I) manuelt, f.eks. som en del av en programvare utgivelsessyklus eller (ii) automatisk ved å lytte til AS sin sabotasjeoppdager og feedback mekanisme til den nyeste programvareversjonen eller patch eller (iii) tilfeldig for dynamisk å endre applikasjonen med det formål å kontinuerlig endre og oppdatere program i spørs-målet. I alle måter den importerte kildekoden er analysert og transformert i henhold til strateg i profilen at leverandøren bestemmer seg for å velge mellom disse AS «mekanismer» :
a. Obfuskasjonsmekanisme,
b. Fjerningsmekanisme,
c. PKI mekanisme,
d. Kompilatormekanisme,
e. Distribusjonsmekanisme eller
f. gjennom sabotasjedeteksjon og tilbakemeldinger mekanisme som arbeider i forbindel-se med AS. Når kildekoden er importert automatisk det kan være digitalt signert og veri-fisert en ekte før prosessen med transformasjon starter.
(2) Sabotasjedeteksjon og tilbakemeldingsmekanisme genererer automatisk patching krav til alle andre under sekvensielle mekanismer av AS. Sabotasjedeteksjonsmekanis-men blir digitalt signerte innspill fra utplasserte applikasjoner enten fordi hackere forsø-ker å utnytte foreldet funksjonalitet som er påvist i serversiden eller fordi hackere er fanget i falske programvarefunksjoner forsettlig utplassert ved obfuskasjonsmekanismen til AS. Tilbakekoplingsmekanismen danner en digitalt signert melding som forteller AS å tilveiebringe en patch etter en viss funksjon, kommando, feil eller funksjonen utføres i den utplasserte applikasjonen, f.eks. distribuere en ny patch til en bestemt bruker/utstyr som fjerner kodeblokker etter bruk. I tilfelle en strategisk profil krever kontinuerlig og dynamisk endring av applikasjonen er den nyeste programvareversjonen for bruker/ utstyr normalt allerede kjent av AS og derfor er ingen import av kildekoden nødvendig.
a. Eksempel 1: Bruk av oppfinnelsen basert på feedback mekanisme for en mobil-app bruker som logger seg på en tjeneste
i. En app-påloggingsfunksjon utløses
ii. En digitalt signert avtale om å få et obfuskert tastatur blir sendt fra Service Provider til
AS
(3) Obfuskasjonsmekanismen styrer og bruke alle typer obfuskasjonsteknikker tilgjengelig fra åpen kildekode-miljøet, kommersielle leverandører eller skreddersydd av AS selv. Skreddersydd obfuskasjon genererer vanligvis personlige kjørbare slik at tjenesteleve-randører å distribuere bruker / utstyr spesifikke versjoner av programmer som gjør det svært kostbart eller praktisk umulig for angripere å lansere massive angrep. Denne tek-nikken kombinerer den bruker ID med programvaren-ID med utstyret-ID med uklar og digitalt signert programvare patch.
a. Eksempel 1: Bruk av oppfinnelsen basert på feedback mekanisme for en mobil-app bruker som logger seg på en tjeneste
i. AS mottar og verifiserer tastaturanmodning fra serviceleverandør
ii. AS søker opp sitt tastaturbibliotek og genererer en tilfeldig rekke med nummertastene
(0-9)
iii. Den nye blokken av kildekoden inkludert det nye tastaturet er generert og sendt til kompilatormekanismen (4) Fjerningsmekanisme forvalter og genererer digitalt signert instruks for distribusjonsmekanismen for å fjerne kodeblokker fra applikasjoner utplassert på utstyr som kjører de aktuelle applikasjonene.
a. Eksempel 2: Bruk av oppfinnelsen basert på feedback mekanismen for en mobil-app bruker når du logger deg på en tjeneste
i. En app fjerne tastaturet melding utløses etter innlogging av tjenesteyter
ii. Tjenesteyter sender fjerne tastaturet melding til AS.
iii. Den nye blokken av kildekoden som fjerner tastaturet er generert av AS og sendes til kompileringsmekanismen (5) Den interne PKI -Public Key infrastruktur mekanismen forvalter og leverer nøkler og sertifikater som jobber internt mellom komponenter og tjenester ved hjelp av mekanismen til denne oppfinnelsen. Som en del av denne mekanismen holder et nøkkelarkiv styr på alle nøkler historisk brukt for å gi ikke-benektelse på transaksjoner.
a. Eksempel 1 og 2: Bruk av foreliggende oppfinnelse basert på tilbakemeldingsmekanismen.
i. Nye nøkkelpar for kryptering og autentisering blir generert.
ii. App og/eller sluttbruker transporterer private nøkler over enten krypterte telekom-kanaler, krypterte IP-baserte kanaler eller begge deler. iii. Installasjon av tastene er planlagt å finne sted før noen sub-sekvensiell reell bruk av disse tastene faktisk er implementert av AS. iv. AS sender en signert sondemelding med et pålagt automatisk svar fra App for å kont-rollere at nye nøkler er operative på App. (6) Kompilatormekanismen kompilerer kildekoden som er bearbeidet og forvandlet gjennom AS. Utgangen av prosessen er digitalt signert og uklar kompilert kode klar for distribusjon og installasjon.
a. Eksempel 1 og 2: Bruk av foreliggende oppfinnelse basert på tilbakemeldingsmekanismen.
i. Mottatt kildekode kompileres og digitalt signeres av AS-serveren.
ii. Den kompilerte kodeblokken sendes til distribusjonsmekanismen.
(7) Fordelingsmekanismens bestemmer når og hvordan du kan distribuere applikasjoner første gang og senere patcher bestående av hvilke protokoller å bruke og veksle mellom. Dersom applikasjonen som blir patchet eller brukes er en mobiltelefon-app, kan Distribusjonsmekanismen selv bli byttet mellom ende til ende kryptert og autentisert IP-baserte transportprotokoller og Telecom baserte protokoller, som enhver form for lyd protokoller enn PSTN trigging sluttbruker å bekrefte en handling på toppen av plasteret.
a. Eksempel 1 og 2: Bruk av oppfinnelsen basert på tilbakemeldingsmekanismen.
i. AS forbinder med mobiltelefon-app og sender digitalt signert og kompilert kode blokk til app. ii. Mobiltelefon-app'en kontrollerer automatisk, installeres og kjører den oppdaterte ko-den med følgende resultater: Eksempel 1: Et nytt obfuskert tastatur vises til brukeren. Eksempel 2: Tastaturet til kodeblokken blir automatisk fjernet etter bruk. iii. Eventuelt til et PSTN anrop fra AS mot sluttbrukeren trigger sluttbrukeren til å bekrefte kontroll over mobiltelefonen og app'en.
Claims (4)
1. System for sikring av programmer som opererer på en elektronisk plattform som kan oppdateres eksternt, omfattende en tjenesteleverandør, en applikasjon, nevnte applika-sjons kildekode og en anordningsserver,karakterisert vedat nevnte anordningsserver har et sett av mekanismer for omforming av de programmenes kildekode.
2. System ifølge krav 1, hvori mekanismer er, obfuskasjonsmekanisme, fjerningsmekanisme, PKI mekanisme, kompilatormekanisme og distribusjonsmekanisme.
3. Fremgangsmåte for å sikre programmer som opererer på en elektronisk plattform som kan oppdateres fjern omfattende en tjenesteleverandør, en applikasjon, nevnte applika-sjons kildekode og en anordningsserver,karakterisert vedat a. tjenesteleverandøren initierer anordningsserveren og sender over programkildekoden til anordningsserver, b. tjenesteleverandøren velger i det minste en av et sett av mekanismer som finnes i anordningsserver for å transformere kildekoden, c. anordningsserveren analyserer nevnte kildekode, d. anordningsserveren forvandler kildekoden i henhold til valg gjort av tjenesteleveran-døren.
4. Fremgangsmåte i henhold til krav 2, hvori mekanismer er, obfuskasjonsmekanisme, fjerningsmekanisme, PKI mekanisme, kompilatormekanisme, og distribusjonsmekanisme.
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| NO20141445A NO20141445A1 (no) | 2014-12-01 | 2014-12-01 | Sikring av applikasjoner installert i lokalt endepunktutstyr |
| EP15823207.4A EP3227818B1 (en) | 2014-12-01 | 2015-12-01 | System and method for securing locally deployed applications |
| PCT/NO2015/050234 WO2016089218A1 (en) | 2014-12-01 | 2015-12-01 | System and method for securing locally deployed applications |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| NO20141445A NO20141445A1 (no) | 2014-12-01 | 2014-12-01 | Sikring av applikasjoner installert i lokalt endepunktutstyr |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| NO20141445A1 true NO20141445A1 (no) | 2016-06-02 |
Family
ID=55083452
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| NO20141445A NO20141445A1 (no) | 2014-12-01 | 2014-12-01 | Sikring av applikasjoner installert i lokalt endepunktutstyr |
Country Status (3)
| Country | Link |
|---|---|
| EP (1) | EP3227818B1 (no) |
| NO (1) | NO20141445A1 (no) |
| WO (1) | WO2016089218A1 (no) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050050355A1 (en) * | 2003-08-29 | 2005-03-03 | Graunke Gary L. | Securing distributable content against hostile attacks |
| US20070266434A1 (en) * | 2006-05-11 | 2007-11-15 | Reifer Consultants, Inc. | Protecting Applications Software Against Unauthorized Access, Reverse Engineering or Tampering |
| US20110035601A1 (en) * | 2007-12-21 | 2011-02-10 | University Of Virginia Patent Foundation | System, method and computer program product for protecting software via continuous anti-tampering and obfuscation transforms |
| KR101350390B1 (ko) * | 2013-08-14 | 2014-01-16 | 숭실대학교산학협력단 | 코드 난독화 장치 및 그 방법 |
| US20140040977A1 (en) * | 2011-10-11 | 2014-02-06 | Citrix Systems, Inc. | Policy-Based Application Management |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4954979B2 (ja) * | 2005-04-29 | 2012-06-20 | オラクル・インターナショナル・コーポレイション | 詐欺監視、検出、および階層状ユーザ認証のためのシステムおよび方法 |
| US8549656B2 (en) * | 2011-02-11 | 2013-10-01 | Mocana Corporation | Securing and managing apps on a device |
-
2014
- 2014-12-01 NO NO20141445A patent/NO20141445A1/no not_active Application Discontinuation
-
2015
- 2015-12-01 WO PCT/NO2015/050234 patent/WO2016089218A1/en active Application Filing
- 2015-12-01 EP EP15823207.4A patent/EP3227818B1/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050050355A1 (en) * | 2003-08-29 | 2005-03-03 | Graunke Gary L. | Securing distributable content against hostile attacks |
| US20070266434A1 (en) * | 2006-05-11 | 2007-11-15 | Reifer Consultants, Inc. | Protecting Applications Software Against Unauthorized Access, Reverse Engineering or Tampering |
| US20110035601A1 (en) * | 2007-12-21 | 2011-02-10 | University Of Virginia Patent Foundation | System, method and computer program product for protecting software via continuous anti-tampering and obfuscation transforms |
| US20140040977A1 (en) * | 2011-10-11 | 2014-02-06 | Citrix Systems, Inc. | Policy-Based Application Management |
| KR101350390B1 (ko) * | 2013-08-14 | 2014-01-16 | 숭실대학교산학협력단 | 코드 난독화 장치 및 그 방법 |
Non-Patent Citations (2)
| Title |
|---|
| CECCATO, M. et al. CodeBender: Remote Software Protection Using Orhognal Repacement, IEEE SOFTWARE s. , Dated: 01.01.0001 * |
| COLLBERG, C. et al. Distributed Application Tamper Detection Via Continous Software Updates, ACM, 2 Penn Plaza, 2012.12.03, s. 319-328, ISBN 978-1-4503-1312-4, Dated: 01.01.0001 * |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3227818B1 (en) | 2021-01-06 |
| WO2016089218A1 (en) | 2016-06-09 |
| EP3227818A1 (en) | 2017-10-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20170243203A1 (en) | Crm security core | |
| JP5743227B2 (ja) | コードおよびデータ署名を改善するための方法および装置 | |
| US10185595B1 (en) | Program verification using hash chains | |
| US11204999B1 (en) | Method and apparatus of performing data executable integrity verification | |
| US10153904B2 (en) | Validating resources execution | |
| US20130185564A1 (en) | Systems and methods for multi-layered authentication/verification of trusted platform updates | |
| US20100031308A1 (en) | Safe and secure program execution framework | |
| US10050977B2 (en) | Preventing misuse of code signing certificates | |
| US10915609B2 (en) | Securing applications on mobile devices | |
| KR101756692B1 (ko) | 다이나믹 보안모듈 단말장치 및 그 구동방법 | |
| CN104573435A (zh) | 用于终端权限管理的方法和终端 | |
| US20180124106A1 (en) | Detecting "man-in-the-middle' attacks | |
| KR20170066607A (ko) | 보안 체크 방법, 장치, 단말기 및 서버 | |
| US11146961B2 (en) | Third party certificate management for native mobile apps and internet of things apps | |
| CN103888948A (zh) | 一种智能终端移动应用的安全控制方法和装置 | |
| KR101256462B1 (ko) | 모바일 애플리케이션의 위변조 탐지 장치, 시스템 및 방법 | |
| US11184386B1 (en) | System for evaluating and improving the security status of a local network | |
| CN107908962A (zh) | 应用于Android智能终端的自检方法 | |
| NO20141445A1 (no) | Sikring av applikasjoner installert i lokalt endepunktutstyr | |
| AU2013403029B2 (en) | CRM security core | |
| CN104994503B (zh) | 一种移动应用访问方法 | |
| US20180349575A1 (en) | Native code authorization verification library | |
| TW202336590A (zh) | 在開機前環境中為用戶端電腦系統提供bios特徵之技術 | |
| Clancy et al. | Deliver uncompromised: Securing critical software supply chains | |
| Knockel et al. | Protecting Free and Open Communications on the Internet Against Man-in-the-Middle Attacks on Third-Party Software: We're FOCI'd. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| FC2A | Withdrawal, rejection or dismissal of laid open patent application |