TW318230B

TW318230B - Support for portable trusted software

Info

Publication number: TW318230B
Application number: TW085115111A
Authority: TW
Inventors: Dan Asit; Ramaswami Rajiv; Sitaram Dinkar
Original assignee: Ibm
Priority date: 1996-06-11
Filing date: 1996-12-06
Publication date: 1997-10-21
Also published as: DE69732323D1; JPH1083310A; US5825877A; DE69732323T2; EP0813132B1; KR100267872B1; EP0813132A3; JP3701773B2; EP0813132A2; KR980004069A

Description

S230 A7 B7 五、發明説明（1 ) 1 .發明背景 a.發明領域本發明概言之係關於經由配的傳送。无例如網路，之敕體 b .相關技術軟體配送目前是一主要事業。 θ CD-ROM且愈來愈多經由網路里疋經由磁碟，網路⑽自遠端位置下載程式碼以外，二㈣器下載並執行_et’而這i;a。式語言或其他二 s，例如Telescript，所提議之環.境。〇自其他地方取得之程式碼的-大顧慮是安全性。例如，在㈣作業系統中，該程式碼將在客户層之下執行並具有茲客尸（所有權利.，包括對於其之所有檔案的存取，以及可能傳送郵件，嘗試不合法之侵入，等等。一嘗試藉由在一非常局限之環境下執行applet來替applet解決此種問題。結果，Java applet之適用性與功能性受到限制。另—方面Java應用程式依賴作業系統所提供之安全性且未具有任何程度之鑑別。因此他們與任何其他程式碼導致相同之安全性問題。經濟部中央標準局貝工消費合作社印装 I---------\裝------訂 (請先閱讀背面之注意事項再填寫本頁) A· D. Rubin之論文"Trusted Distribution of Software Over the Internet , Internet Society Symposium on Network and Distributed Security, 1995，提出一種鑑別方法，在此種鑑別方法中，一受信託之第三者簽署一證件以辨識一程式之作者並確保該程式碼之完整性。雖然如此使得客户可驗證 -4 本紙佚尺度適用中國國家標準（CNS ) A4規格（210X29*7公釐） 31S230 A7 五、發明説明（經濟部中央搞準局貝工消費合作社印製气馬之眞貫f生’此種方法無法指定相關於該程組彈性斗可H .，土 4m 、巧之一等許/。 …4供-種自動化方法以供客户來實施該 11 .發明摘要、Μ幻文而„本發明提供一種鎩別方法，其中—受信託 :罘二者僉署一證件以辨識—程式之作者並確保該程式之疋正〖生。这私式碼受到封裝或者相關於該證件與—存取控制表列（ACL)。1¾存取控制表列説明該程式碼户斤需之許可與資源。本發明4接址 „ 一- — P 也彳疋供一種貫施機制而該種實施機制根據 ACL來指配系統許可與資源。 , 幸人佳κ例中，一程式碼產生系統與一證明代理者行L Λ而。玄拉明代理者爲一受信託之第三者。證明代者發出該& ^碼之證件與該彳以碼之存取表列&證件。一 -發出3 α件’則任_方皆無法在不使該證件變成無效之下1U ?文这私式碼或存取表列。該程式碼與其之ACL，連他：之證件儲存於-伺服器。-下載該程式碼或存取表之各户可知也忒私式碼/存取表列之完整性且該系統可施該存取表列以確保未超出許可與資源。 III.附圖簡短説明圖1展示一根據本發明之較佳實例之程式碼傳送與證系統的方塊圖：圖2展示客户系統之不同組件如何—起運作來執行該例所述之功能；圖3展示存取控制表列（ACL); 進理同實明實

In---I-I. 裝-- 11-I ^ (請先閔讀背面之注意事項再填寫本頁)

-5- S紙張尺纽用t ϋg家標ITcNS ) A4規格（210X297公着) 318230 A7 經濟部令央橾準局貝工消費合作杜印製五、發明説明（3 ) 圖4展示ACL實施程式所使用之資料結構；圖5展示似實施程式如何實施邏輯資源許可；圖6展示ACL實施程戎4 y 一 __ 式如何貫施實體資源限制；圖7展示用於客户系玆 a ‘、，"无疋元整性、驗證，執行與實施啓動運作的虛擬碼；圖8展示ACL管理程式之虛擬碼；且圖9展示ACL實施程式之虛擬碼。 IV.較佳實例之詳細説明圖1展π根據本發明之一較佳實例之程式碼傳送與證明系統的方塊圖。該系統包含一或更多程式碼產生系統 (CPS) 1〇，.一證明代理者WA} U ’ 一或更多伺服器2〇與一或更夕卷·户系統J 〇。客户系統可藉由一傳統之廣域網路 (WAN)或藉由區域網路（LAN)來耦接至伺服器。cps具有一段程式碼（code) 140與該程式碼之一存取表列（ACL) 150且 CPS想要讓證明代理者證明存取表列15〇。CA提供一到處可得並爲客户系統所知之公開金鑰κ。此外CA具有一只有其本身知道之私人金鑰P。若要提供程式碼之證件，CA產生一包含程式碼名稱與程式碼之加密雜亂的證件並利用其之私人金鑰來簽署該證件。現在無法在不使該CA之簽名無效化之下更改該證件》同樣地CA產生並簽署相關於該程式碼之ACL的另一證件（如果想要的話，程式碼與其之存取表列可只具有單一證件）。在圖1之實例中，客户系統是經由WAN或LAN來接收證件，ACL與程式碼。但是，應可瞭解客户系統也可或另外藉由一爲本地輸入裝置，例如软 6- 木紙張尺度適用中國國家標準（CNS ) A4規格（210X297公釐） I I — I ! - 一 -- I —I 1..... 1 I (请先閱讀背*之注意事項真填寫本萸) 4 318230 發明説明（碟機或光碟機，所讀取之可之程式碼。云式儲存媒體來接收經證明圖2所展示之客户系統包尤匕。釦證孝主式110, ACL·管理程式 1)0，執行程式17〇，ACl會说乙只把淨王式180與客户介面19〇。該客尸系統也包含—傳統之中本 _ 處理早兀（CPU)與相關之控 1邏輯192’通訊控制器/網路介面194, cd_r〇m及域軟碟’人系統196與其他資源，例如網路存取模組，顯示次系 ..无只各種特殊用途轉接II。熟悉本技術領域者應可認知客户系統包含一些本文不會詳加説:月之額，外，傳統元件。 ACL官理程式130與ACL實施程式18〇最好是實現成爲程式碼’而下文將更詳細説明該等程式碼之運作。執行程式疋客户之作業系統（未加以展示）的傳統組件且是用以在客户系統執行輸入之程式碼。客户介面19〇可實現成爲— 螢幕圖形使用者介面之前端裝置且該前端裝置提供客户與 ACL官理程式之間的通訊（例如其使得客户可告知acl管理程式13 0以允許或不允許或控制程式對於指定之資源的存取）。驗證程式110最好實現成爲包含一解密模組之程式碼而該解密模組是用以驗證輸入之程式碼，包括存取控制表列’的眞貫性。驗證程式也包含一檢查輸入之程式碼與 A C L之冗整性的雜亂模組。一旦下載程式碼/ACL與其之證件（1〇〇)，驗證程式（11〇: 首先檢查是否該證件之CA簽名爲有效的（利用該CA之已知公開金鑰）。驗證程式然後計算程式碼/ACL之加密雜亂碼並驗證是否該雜亂碼匹配證件之値。如果簽名是無效的或本紙張尺度適用中國國家標準（CNS ) Α4規格（210Χ 297公釐〉 I---- — ^----- 裝—— (請先閱讀背面之注意事項再填寫本頁)

、1T 經濟部中央標準局員工消費合作社印製經濟部中央標準局員工消費合作衽印製五、發明説明（5 ) 者雜亂碼不匹配，則該程式碼與ACL受到拒絕（12〇)。如果驗證無誤，則ACL管理程式（13〇)受到啓動。ACL管理程式經由客户介面（190)來顯示ACL(説明如下）给客户並確定^ 否客户想要允許或不允許該ACL之個別項目。ACL管理程式依照客户之指示經由客户介面來儲存程式碼（14〇)並儲^ ACL(150)以及許可旗標（16〇)。一可使他們之存取受到ACL實施程式控制之資源包含邏輯貧源，例如檔案系統，特定檔案與系統呼叫，以及實體資源，而實體資源包含例如磁碟空、，磁*碟存取，主記憶體分配與對於各種系統控制器及轉.接器之存取。就對於邏^ 貪源（各尸系統設備）之存取而言，許可旗標顯示是否個別項目受到允許；就實體資源之存取而言，許可旗標可用以顯示最大允許之消耗數量或消耗率。圖2也展示客户系統之不同組件如何一起運作。在一多使用者客尸系統中’每—使用者皆可擁有他們自己之許可旗標的集合。ACL也可与本提 j I D %境邊數；在執行期間改變環 =數使得個別使用者可特別指定存取權利。机與許可旗標儲存於一安全區域；镑& + φ , ，°賣或更新此區域是由ACL實施私式（180)所實施之—權利。 ' 一 ACL官理程式可由客户在任何時間來啓動以顯示或更改二°程式碼是由執行程式（m)來執行。在允許進行存取之前，執行程式啓動似實施以檢查茲存取之有效性。沪θ 疋楮由執行程式】70插入陷阱料式碼成爲-啓動ACL實施程式之驗證常式來達成。下 8- 本紙張尺奴财- -----------一.裝-- (請先鬩讀背面之注意事項再填寫本頁) 訂------Τ ---------- • I I II · 318230 一 A 7 __ m 五、發明説明（6 ) '---- 文將更加詳細説明ACL實施程式之運作。該系統使得程式碼與其之ACL可依所需分別或共同受下載。例如，CPS可能想要免費提供ACL給所有客户作θ 對於實際程式碼則要收費。义圖3展示存取控制表列。ACL包含二部份：包含程式碼所需之實體資源的實體資源表（PRT) 200與包含程式碼所需之許可與邏輯資源的邏輯資源表（LRT) 250。 PRT 200對於每一種資源皆包含一列’而該列包括實炉資源名稱（？1^) 205，資源屬性2；*0，最1消耗率215與最大數量220。資源屬性2 1 〇是用於當一實體裝置或資源磁碟具有多重屬性時，例如儲存裝置之空間與輸入/輸出之數目。最大消耗率21 5與最大數量220分別是資源與屬性之最大允許消耗率與最大充許消耗。 LRT 250對於程式碼所需之一外部常式（稱爲邏輯資源）之每—呼叫皆包含一列。每一列包含邏輯資源名稱（LRN) 255，則一指向一參數項目表列的參數表列26〇。每一參數項目265指定一组有效之參數範圍；亦即每一參數之一组可用於組合之値，以及一指向下一參數項目之欄位nextPE 2 80。每一參數之參數範圍包含二欄位-參數型式27〇與指定該參數之有效範圍的參數値275。對於字串參數，參數型式270是STR而參數値275是一指定該字串之有效型式之一規則表示表列。對於整數參數，參數型式270是INT而參數値275是一整數範圍之表列。參數値275可包含環境變數之名稱，在該種情形之下環境變數是假設成爲包含一在執本紙張尺度適用中國國家標準（CNS ) A4規格（210x297公董） .^ < 裝— (碕先閱讀背面之注意事項再填寫本頁} J-e 經濟部中央標準局員工消費合作社印製五、發明説明（7 ) 行時間代入之値。客户之ACL實施程式確保裎式資源獲得提供JL不允許額外之許可/資源◊所指定之許可與 ACL實施可爲靜態或動態的。在靜能'' 程式碼執行之前完全實施而在程式碼行：中:實施可在。在動態實施中，實施必須當執：：間則-需實施果CA本身驗證ACL且保證程式碼不會_ =可=二統可能無需ACL實施功能。 d客尸系次圖4展示ACL實施程式所使用^資^構。執行時間實體貝源表（RPRT) 300對於每一資源皆包含—列。資 3〇〇’資源屬性310，最大消耗率315與最大數量32〇是pRT 謂之對應欄位旳拷貝。實際消耗率奶與實際使用33〇棚訂疋用以在執行時間分別追蹤程式碼之實際消耗率與實際消耗。執行時間邏輯資源表（RLRT) 35〇經濟部中央標準局員工消費合作社印製資源皆包含-列，RLRT是LRT之一拷貝，且具一有效之參數組合的額外旗標，無論該组合是否爲ACl管理程式所允許。邏輯資源名稱355是LRT 25〇之對應欄位的一拷貝而且參數表列360指向一執行時間參數項目（RPE)之表列365。執行時間參數項目之參數型式37〇，參數値375 之値是1^11丁之對應欄位的拷貝。1^?^?[380指向下一執行時間參數項目365而允許欄3 85可設定成爲YES或NO以顯示此執行時間參數項目365是否受到允許。ACL實施程式也追縱程式碼啓始時間3 9 5。圖5展示ACL實施程式如何實施邏輯資源許可。無論何時 -10- 本紙張尺度逋用中國國家標準（CNS )八4^_格（210X297公釐）經濟部中央橾準局貝工消費合作社印製 A7 ______ &?_ 五、發明説明（8 ) 程式碼呼叫一外邵功能則啓動此路徑。在步驟41 〇，ACL 實施程式定址參數之數目，他們之値，與受到啓動之功能的名稱。用以冗成此工作之確切方法視建構而定；例如，在Java中’前述諸項是位於運算元堆疊。在步碟415，ACL 實施程式定址用於此功能之RLRT 3 50列並定址許可欄設爲 YES之第一 RPE 365。如果未發現該功能名稱，或無此種 RPE 365’則ACL貫施程式前進至步驟455，其中ACL·實施程式離開以顯示該呼叫未獲允許。在步驟420，ACL實施程式定址第一參數之値並使第一參數成爲目前之參數。在步骤425 ’ ACL貫施程式檢查是否目前參數之値爲rpe 365 所允許。如果該値受到允許，則ACL實施程式在步驟430 檢查是否還有參數。如果還有參數，ACL實施程式在步驟 435設定目前參數成爲下一參數並返回至步驟425。如果在步驟430未發現還有其他參數，則acL實施程式前進至步驟4 5 0並返回且送回一該呼叫受到允許之顯示。如果步驟425之允許性測試失敗，ACL實施程式前進至步驟445而步驟445檢查RLRT 350以尋找另一 rpe 365且該 RPE 365之允許〇85設爲YES。如果無此種rpe，acL實施程式削進至步驟4 5 5並離開以顯示該呼叫未獲允許。如果存在此種RPE 365，ACL實施程式前進至步驟42〇。圖6展不ACL實施程式如何實施實體需求。在步驟5〇〇 ’ ACL貫施程式是在指配資源之前受到啓動，二參數，要求資源數量（REOAMT)與估計消耗時間（c〇MpT)，獲得提供。對於磁碟輸入/輸出，RE〇AMT是磁碟輸入/輸出之數量 -11 - 本纸張尺度適用中ii"家標準（CNS )罐^ 21GX297公楚） H 11- - I -I I 1^1 n --- In n^i i n I - (請先閱讀背面之注意事項再填寫本頁) 經濟部中央標準局員工消費合作社印製 A7 _____ Bf 五、發明説明（9 ) 而COMP丁是完成輸入/輸出之估計時間。在步驟505，ACL 實施程式定址用於此資源之RPRT 300列並檢查是否最大數量3 20受到指定且實際使用300加上REOAMT超過最大數量 320。如果是的話，其在步驟527送回一失敗以顯示該消耗未獲允許。如果未超過最大數量320，則ACL實施程式在步驟510計算此資源之預計消耗率爲（實際使用 330+REOAMT)/(目前時間-程式碼啓始時間395 + COMPT)。在步驟515，ACL實施程式檢查是否最大消耗率315受到指定且是否預計消耗率大於最大消7^耗率3*15。如果最大消耗率3 15未受到指定或者預計之消耗率未較大，則a c L實抱程式返回並送回一該消耗獲得允許之顯示。如果預計之消耗率較大，則ACL實施程式在步驟530計算用以執行此運作之所需延遲爲（實際使用300+REOAMT)/最大消耗率315-( 目前時間-程式碼啓始時間395-C〇MPT)並送回所需之延遲與一該消耗將要延後所計算之延遲的顯示。在步驟550，ACL實施程式是在資源消耗以後利用一指定消耗之資源數量（C〇NSAMT)之參數來加以啓動。ACL實掩程式然後更新實際消耗率325與實際使用330。在客户系統中對於相同程式碼也可指配不同之資源與許可給不同之使用者。此可在安裝該程式碼之時執行，由 ACL管理程式藉由觀察給與不同使用者之權利並結合該等權利及允許給與該程式碼之資源及許可來完成。在此種情形之下’每一使用者之資源與許可的集合必須分別加以儲存。在程式碼執行期間，該等資源與許可將以使用者爲單 -12- 本纸張尺度適用中國國家297公董) ^^^1. 1 ! ml 1 1 士 ^^^1 n I— -1 1^1^1 、le-°J (請先閲讀背面之注意事項再填寫本頁}

318230 五、發明説明（1(3) 位來^施。此外該等資源與許可可在程式碼執行期間由 CL貫施程式藉由觀察给與不同使用者之權利並社入核等權利及允許給與純式狀制及許可來加以決定…^ 圖7展π用於客户系統之完整性驗證，執行與實施啓動運作的虛擬碼。應可瞭解本文所説明之各種表，表列，旗標與其他資料結構實現於客户系統之記憶體（例如揮發性隨機存取記憶體，磁碟或二者之一組合）。如前所討論， ACL實施程式與ACL管ί里程式最好實現成爲程式碼且該程式碼爲客户系統之作業系統所連~接或;入。圖8展示管理程式之虛擬碼。圖9展示ACL實施程式之虛擬碼。既然本發明已藉由較佳實例來加以説明，熟悉本技術領域者應可想出各種修改與改良。因此，應可瞭解較佳實例只是做爲範例而非限制。本發明之範疇是由附加之申請利範圍來加以定義。 .-1— H —--- n —i,-衣 _ I (請先閱讀背面之注意事項再填寫本頁) 訂經濟部中央標準局貝工消费合作社印製 -13- 本紙張尺度適用中國國家標準（CNS ) A4規格（210X297公釐）

Claims

六、申請專利範圍 ABCD …用以配送程式碼之方法，該種方法包含提供-受信託之第三者之證明給—客户系統，受作：：弟二者的證明包含該程式碼之經驗證無破壞性 = 之資源與許可的電腦可讀取式說明。斤兩 2. 根據申請專利範圍第Η之方法，其中該驗利用程式碼來封裝證明之步驟。己。 3. 根據申請專利範圍第丨項之方法，該方法進—步勺本列步驟：用客户系統來讀取證明；以及分配客户= 資源與許可以致不會超過該證$所指i之資=4. 根據中請專利範園第2項之方法，該方法進―步^ 列步驟：進_步根據使用者所選之相關於該證明= 來拒絕或給與對於客户系統之資源的程式碼存取與許下之下項可 I HI ! I —II - -11 - V I - I I Is— (請先閎讀背面之注意事項再填寫本頁} 經濟部中央標準局員工消費合作社印製 5. 根據中請專利範圍第Η之方法，其中資源與許腦可讀取式説明是以一加密型式來提供給客户系统 6. 根據申請專利範圍第β之方法，其中該證明進1 含加密之驗證資料且其中客户系統解密該驗證資料以證資源與許可之説明的完整性。 7. 根據申請專利範圍第3項之方法，其中所需之資源、的明包含資料且該資料説明該程式碼所要使用之每二資的數量與該程式碼對於每一資源的最大消耗率。 8. 根據申請專利範圍第3項之方法，其中所需之許可明包含資料且該資料説明該程式碼所要存取之客户的特定設施。包說的說系統 -14- 本紙浪尺度適用中國國家標準（CNS ) Α4規洛（21〇)<297公羞）申請專利範圍 A8 B8 C8 D8 根據申请專利範圍第i項之方法，其一絲兮笛—& 升肀罘二者證明包含 ._·二召罘二者驗證之該程式碼之功能的說明。 10·根據：請專利範圍第！項之方法，其中程式碼是—自一伺服器下載做爲一程式物件的applet。 U·根據申請專利範圍第Η之方法，其中在客户系統中對於相同之程式碼分配不同之資源與許可給不同之使用者經濟部中央標準局員工消費合作社印震根據申請專利範圍第1丨項之方法，其用去——欠.nc t — 二甲允5午给與不同使用者〈資源與許可的集合是在程式碼安裝期間決定。 U·根據中請專利範圍第丨丨項之方法，丨中允許給與不同使用者I資源與許可的集合是在程式碼執行期間決定。 14·-,用以配送程式碼之方法，該種方法包含下列步驟：提供一程式碼之加密受信託之第三者證明给客户1統，受信託之第三者證明是利用該程式碼來加以封裝並包含該程式碼之經驗證無破壞性運作所需之資源可：一電腦可讀取式説明；由客户系統來讀取該證明；由客户系統來決定該證明之完整性；及只有在完整性獲得驗證之後，根據使用者所選之選項來分配客户手命r尔，.无 < 資源與許可以致不會超過該證明所指定之許可：及根據該分配來執行程式碼；其中所需足資源的説明包含資料且該資料說明該程式碼所要使用之每一資源的煞量與該程式碼對於^二 1厶 -15- 尺度適用中g國家標準"(CNST A4規格（2^7797公螯) ----^- (請先閱讀背面之注意事項再填寫本貢) 装. 訂 « m · • - - I f I I- -, 申請專利範圍

15 資源的最大消耗率，且並士且其中所需之許可的說料且該資料説明該程式碼 l u資設施。尸乐，死的特定 .種計算系統，該種計算系統包含： -用以輸人程式與資料於計算系統之輸入裝置. -用以控制計算系統之運作的作業系統；匕’ 存取邏輯，該存取邏輯是用以自資料摘取且相關於_ 給定程式之該程式碼之經驗證無破壞性運作所资的-電腦可讀取式説明，該存^邏“一步包含完敕：知：查邏輯而冗整性檢查邏輯是用以逄味矣_ ^ 疋用以屋生表不茲電腦可讀取式説明之完整性的驗證資料；及實施邏輯，而該實施邏輯轉接至作業系統並回應於驗證資料以追蹤並分配客户系統以内之一些資源之每—資源的消耗與消耗率以致不會超過該説明所指明之分配；及，一用以根據該分配來執行程式碼之處理器。 16.根據申請專利範圍第丨5項之系統，該系統進一步包含一儲存於一隨機存取記憶體並耦接至實施邏輯之資料結構，該資料結構包含用以追蹤實際消耗之資源的至少一第一欄與用以追蹤資源之消耗率的第二欄，用以儲存利用該説明推導而得之資源消耗之限制的第三欄與用以儲存利用該説明推導而得之資源消耗率之限制的第四襴。 Π.根據申請專利範圍第1 5項之系統，其中該存取管理程式包含用以拆除一包含該程式碼之封裝以取得該説明之裝 -16- 本，氏匕尺度適用中國國家襟準（CNS ) A4说格（210X 297公釐） --------.赛------# f請先閎讀背面之注意事項再填寫本頁) 經濟部中央操準局員工消費合作社印製 318230 8 8 8 0^ ABCS 六、申請專利範圍置與用以解密該説明之裝置。18.根據申請專利範圍第1 5項之系統，其中該實施邏輯包含進一步根據相關於該説明之使用者所選之選項來拒絕或給與該計算系統之資源之程式碼存取與許可的裝置。 m .^m ^^^1 ! !-- - 士1 g I ml HI---1 m 0¾ 、v6 (請先閨讀背面之注意事項再填寫本頁) 經濟部中央榇準局員工消費合作社印製本纸張尺度適用中國國家標準（CNS ) A4規格（210 X 297公釐）