专利名称:用于计算设备的安全模型的方法和系统的制作方法
技术领域:
本发明一般涉及一种操作系统软件。更具体地说,本发明涉及一 种在计算设备的图形子系统中实现安全模型及其实施的软件.
背景技术:
图形子系统和操作系统通常允许外部应用和插入式部件在它们 的环境中运行,其中所述外部应用和插入式部件通常由笫三方开发者 (诸如应用程序员)和其它不完全可信赖的来源所制作,这通常提高 了对于本系统的安全关注。如果第三方部件制造得较差,从而具有严
重的缺陷,则在操作系统环境内运行所述第三方部件会引起严重或致 命的错误状态。如果笫三方部件是恶意的(诸如病毒),则它会企图 窃取敏感数据或执行破坏性操作。 一些操作系统无法实施保护以不受
7编写较差或恶意的代码的危害,所以,当运行代码时,所述操作系统 盲目地"信任"所述代码是编写良好并且无危害的,
然而,优选的是,原本的系统会预防外部缺陷或恶意代码损害或
渗入所述系统。许多现代系统采用将进程用作保护单元的做法;例如, 如应用程序的第三方部件可各自在它们自己的进程中运行。在所述模 型中,允许代码在它自己的进程内做任何它想做的事情,但是进程之 间的边界在硬件级别实施。由系统向每个进程提供特定的一组许可, 以访问所述进程外部的服务,将在每个进程内运行的代码限制于所述 进程被准予许可的那些外部操作。在超过一定级别的复杂程度的操作 系统中,这种将进程用作保护单元的处理可以说是几乎普遍存在的。
将进程用作保护单元来实现足够的安全措施需要用于将代码和 部件划分到进程中的策略和相关方法,以及用于向所述进程准予许可 的策略和相关方法。
用于将代码划分到进程中的策略和方法很重要,这是因为所述策 略在可由系统控制和操作的部件之间建立边界。如果部件A和部件B 在相同的进程中,则无法保证系统能够向每一部件提供保护,以保证 它不受另一部件中的缺陷或恶意内容的危害。例如,部件A中的代码 可访问部件B中的代码或数据,同时访问部件B的敏感数据。类似地, 如果部件B请求并获得对于外部资源C的访问,则系统实际上将对所 述资源的访问给予在与部件B相同的进程中运行的所有代码。然而, 如果部件A和部件B在不同的进程中运行,则系统能够可靠地保护其 中一个部件的代码和数据不受另一部件中的缺陷或恶意代码的危害, 并且能够可靠地将许可准予所述部件中的一个部件,而不把它准予另 一个部件。
一种用于保护系统不受部件的缺陷或恶意动作的危害并保护部 件不受其它部件部分的缺陷或恶意动作的危害的简单通用技术将每个 新例化的部件放入它自己的单独的进程中。例如,对于每个将被运行 的应用,创建新的进程并把所述应用放入其中,通过安全进程边界将 所述应用与其它第三方部件以及系统部件分离。然而,存在与每个进程有关的大量开销.其包括与创建和消除进程有关的存储器和处理时 间,以及与在进程内通信所需的处理相比,用于沿着进程边界发送消 息所需的额外处理。因此,为每个新应用创建进程是效率非常低的, 通常,部件将具有表示它们自己对于特定系统操作而言是可信赖的证 明(诸如不能由恶意冒名顶替者逼真地复制的密码签名).在其它情 况下,可将两个或更多的部件看作对于彼此而言是可信赖的,但是它 们对于敏感系统服务而言不是可信赖的(例如,可由相同的第三方发
行人或发售者对部件A和部件B两者进行密码地签名,但是系统自身 并不必信任所述发行人),在这种情况下,最好是将所述两个部件都 放入单个的进程。将这些可信赖的对象均划分到它们自己的进程中会 非常浪费系统资源,并且会降低系统的整体性能.
用于将许可准予进程的策略和方法很重要,这是因为在进程内运 行的代码仅可在系统准予代码这样做的许可的情况下访问所述进程外 部的资源。如果将代码划分到进程中的过程建立了"规则"(即,这种 部件仅可访问那些在相同进程中可用的其它部件),则将许可准予进 程的过程建立了对所述规则的"例外,,(即,除了这些特定的系统服务, 所述进程中运行的代码有进行使用的许可)。在许多系统中,这是使 用用于存储所有安全认识、访问控制数据等的中央存储库来实现的。 例如,如果系统服务需要处理请求,它可询问中央授权机构请求者是 否具有访问所述服务的许可。这一设计需要对所有全系统安全策略、
大量集;认识,、以及中央授权机构和系统中的对象之间的固定通信, 这两者在动态、可升级、开放系统中都是不合乎需要的。
此外,在多数系统中,以相对于进程静态的方式对这种许可进行 定义和追踪。例如,在这样的系统中,将部件设计为存在于它自己的 专门进程中,并且所述部件将声明对所述进程的约束,而不是对部件 的约束。在将部件更加动态地划分到进程中的系统中,优选的是,在 部件级别定义安全策略。这将允许使用每个部件的信息较好地作出划 分决定,并将允许可共同操作的部件的网络以分布方式定义它们的安全策略,从而大大消除了对集中式以及与它有关的额外开销的需要.
本领域需要的是这样一种方法,通过所述方法,可基于系统自身 和在其中运行的彼此相关的部件的安全要求将部件划分到进程中,从 而,可在最小化与进程和交叉进程边界有关的低效率的同时实现期望 的保护。此外,在存在第一方法并且基于动态标准将部件分布到进程 中的环境中,所需要的是这样一种方法,所述方法允许由在系统中运 行的部件以分布方式定义安全策略,二者都用于将划分决定通知给进 程,并且允许以轻便和可升级的方式实施对应用特定的安全策略。
发明内容
本发明另外的特点和优点将在下面的描述中进行阐述,并将部分 地通过所述描述变得明显,或者将通过本发明的实施而被了解.可通 过在所附权利要求中具体指出的方法、手段及其组合来实现和获得本 发明的特点和优点。通过下面的描述和所附权利要求,本发明的这些 和其它特点将变得更加清楚,或者可通过在这里阐述的本发明的实施 来了解本发明的这些和其它特点。
本发明解决现有技术中对改进的系统和方法的需要,所述系统和 方法用于在计算设备的图形子系统和操作系统中提供对象的安全模型 以及模型的实施。本发明包括下述系统、方法和计算机可读介质,其 结合对于对象接口的使用以及使用作为对象周围的保护边界使用进程 所实现的动态保护域的安全实施,利用性能模型来提供对于对象和部 件的安全和访问控制。
本发明的方法方面涉及一种统一、流线的和灵活的用于创建对象 的过程,所述对象包含它们自己的安全策略,并且当基于它们特定的 安全需要例化它们时,将它们放入保护域中。所述方法将进程边界用 作用于实施安全模型的主要安全边界或保护边界。安全模型利用大多 数对象模型允许对象具有接口的事实.对象的接口用于确定调用者对
象能够访问什么。因此,存在对象的性能到接口的映射,对象基于由
.箱予什么权利.调用者的调查确定调用者被准予对象的哪些其它方面。
在本发明的一方面中,描述了一种用于在计算设备的操作系统中 控制对于对象的访问的方法。目标对象的接口从察觉到所述接口的存 在的外部对象接收调用。在目标对象,基于第一调用来确定外部对象 是否可访问目标对象的其它接口 。基于所述确定准予对其它对象的访 问.
在本发明的另一方面中,描述了一种在计算设备操作系统中保护 对象的方法。确定对于对象的访问约束。识别具有与第一对象的访问 约束相应的安全简档的保护域。随后将对象放入保护域中。
为了描述可获得本发明的上述以及其它优点和特点的方式,将通 过参照在附图中示出的本发明的特定实施例来提供对以上简要描述的 本发明的更加具体的描述。应理解,这些附图仅描述本发明的典型实 施例,因此并不认为其限制本发明的范围,将通过使用附图以附加的
特征和细节描述和解释本发明,在附图中
图l是示出根据本发明优选实施例的用于移动或手持设备的操作 系统的图形子系统部件的两个方面的示图2是根据本发明优选实施例的具有用户界面元素、显示服务器 进程和视图层次的移动设备的显示器的示图3A和图3B是渲染(render)流对象、命令的样本流以及渲染 流分支的示图4是根据本发明优选实施例的显示服务器部件和它们与视图层 次以及物理屏幕的关系的示图5是根据本发明优选实施例的视图对象和所选择的用于与其它 视图通信的各种接口的示图6是根据本发明优选实施例的将性能映射到接口的进程的流程
图7是示出进程中的对象以及实现动态保护域的进程之间的通道的示图8是在动态保护域中例化新的对象的进程的流程图;以及 图9是根据本发明的计算设备的基本部件的框图。
具体实施例方式
以下将详细讨论本发明的各个实施例。尽管讨论了特定实现,但 是应理解,这样做只是为了示例的目的。本领域的技术人员将认识到 在不脱离本发明的精神和范围的情况下,可使用其它部件和配置。
本发明提供用作操作系统的图形子系统的系统、方法和计算机可 读介质,所述操作系统主要在移动和手持设备上使用,但是也可在附 图所示的任何计算设备上运行。其它计算设备的示例包括笔记本计 算机、输入板、各种互联网应用、以及膝上型和桌上型电脑。在优选 实施例中,图形子系统在诸如组合蜂窝式电话和PDA的手持移动计算 设备上运行。
图1是示出在本发明优选实施例中的操作系统10的图形子系统 100的两个主要方面。所述两个方面是绘图(或渲染)模型方面102 和传送方面104。通常,图形子系统是操作系统的部件,其与图形和 显示硬件连接,向应用和系统软件提供到所述硬件和到与图形有关的 服务的访问,并潜在地对到多个应用之间的图形硬件的访问进行复用,
绘图模型方面102定义高度表现的语言。它允许图形子系统程序 员使用包括路径填充和划线的原始绘图命令来描述图像,并应用彩色、 混合、剪贴等的调整。将渲染明确地建模为目标区域内的每个像素的 值的清晰度。绘图语言提供少量的图元以修改当前像素值,所述图元 包括两种基本类型的图元参数绘制操作(路径定义)和光栅绘制操 作(位块传送(blitting)),通过合成多个操作来实现更复杂的渲染. 本发明的渲染模型的其它性能包括任意路径填充、alpha混合、消 除混叠、任何二维和彩色空间转换、线性彩色渐变、带有可选双曲线 缩放的位图渲染、基于区域的剪贴和普通彩色调整(从Boolean剪贴 到空间彩色调整)。可从低端设备中去除绘图模型的部件。例如,可
12去除部件,从而不支持普通彩色调整、消除混叠或其它这种在小功率 硬件上计算花费较高的操作。另一方面,可将模型配置为得益于全三
维硬件加速器。绘图模型方面102还定义由客户机用来表示绘图语言 中的命令的绘图API。
传送方面104能够将绘图命令从它们通过对绘图API的调用被表 示的地方,诸如客户机进程内,传送到它们被执行的地方,典型地在 服务器进程内。传送方面104解决异步操作问题。例如,它解决以下 的问题由显示服务器控制的屏幕或显示器如何能够复用绘图并更新 来自不同客户机进程的命令,并且如果显示服务器确定合成的图像将 相同,则可选地不按照顺序执行所述命令.
由显示服务器的多个同步客户机发出的绘图命令通常不是严格 按照顺序排列的,即,它们通常可按照不同的顺序执行,并获得与按 照由客户机指定的顺序执行它们时相同的图像,例如,在优选实施例 中,图形子系统100的传送方面104和绘图模型方面102负责保证关 于以A到B到C的顺序指定的绘图命令组A、 B和C, A必须在C 之前执行,但是应允许B在任何时间绘图,其中,C中的命令覆盖由 A绘制的区域,并且B绘制不受A或C影响的区域。这在以下情况中 非常有用A、 B和C由不同的客户机进程发出,负责A的客户机较 慢,被阻止或者已经崩溃,而负责B的客户机准备好继续处理.传送 方面104还使得显示服务器能够与视图的分布式层次通信,其中,每 个视图具有屏幕的特定部分的部分或全部所有权,所述特定部分即为 显示器的所述部分中的实际像素,
图2是示出移动设备的显示器204、显示服务器进程202和视图 层次206的示图,其中,所述显示器具有元素204a、 204b和204c, 显示服务器进程202控制在屏幕204上显示的用户界面的图形特点, 即,显示哪些元素以及如何显示它们。显示服务器202与包括多个视 图的视图对象层次206通信,所述多个视图按照与根视图208的父子 关系排列,根视图208可区别于其它视图的地方在于它是与显示服务 器直接通信的唯一视图。传送方面104使得显示服务器202能够对来自潜在地分布于不同客户机进程的不同视图的绘图命令进行复用,并 按照适当的顺序或按照显示服务器确定为合适的顺序来执行它们.
使用起传递通道作用的对象将绘图命令从客户机视图传送到负
责图形渲染的显示服务器。这些称为渲染流的对象是传送方面104的 特点。图3A是渲染流对象302和命令304的样本流的示图。渲染流 302将命令304从一个或多个客户机进程中的一个或多个客户机(诸 如视图)传送到服务器进程中的显示服务器。在优选实施例中,'遠染 流302是由显示服务器202例化的对象,并执行为单向管道,所述单 向管道将命令从客户机视图中它们被表示的地方传送到显示服务器中 它们被执行的地方。客户机视图和显示服务器可在不同的进程中,或 者假设在必要的情况下采取了适当的安全措施,或者如果已知系统部 件是可信赖的,则所述客户机视图和显示服务器可在相同的进程中分 离。在优选实施例中,当沿着进程边界传送时,在将在渲染流中表示 的绘图命令传送到显示服务器之前,对其进行緩沖,以获得更高的效 率。可存在多个从视图到显示服务器的活动渲染流。
所有类型的绘图命令可在渲染流302中传送.在优选实施例中, 例如卿v"o、 /! ""< 、 ctee/;d W/vA:e〈co/o/^等的命令 类似于Postscript命令。在优选实施例中,渲染流有助于以一个方向 传输命令或诸如像素、调整数据等的任何其它数据。典型地不需要直 接响应的命令最适合使用渲染流进行传送。
绘图模型方面102可独立于任何渲染流来实现它的功能。例如, 如果绘图命令的目的地是本地的,诸如位图,而不是手持设备的屏幕, 则绘图模型不需要使用渲染流(尽管它会使用传送方面104的其它特 点)。在绘图模型独立于渲染流工作的情况下,使用相同的绘制模型 API。然而,取决于具体情况,可理解将命令渲染到本地表面,或者 可将其传送到其它地方的显示器。
在优选实施例中,当显示服务器要求客户机视图刷新屏幕时,发 生由客户机视图进行的绘图.当负责屏幕上的特定区域的像素的视图 无效或"变脏,,或由于任何原因需要重新绘制的时候,进行上述处理,所述原因例如,在发生某些动作或状态改变之后,其中,所述动作或 状态改变的发生改变了一个或更多可视部件的外观,或向层次添加了 视图或从中去除了视图.响应于更新事件,视图将绘图命令发送到显 示服务器,从而所述服务器可根据所述命令改变那些像素.在优选实 施例中,这是视图可绘制到屏幕的唯一机制。
包括由显示服务器进行的请求和客户机产生的合成的绘图的事 件的序列被称为更新周期。显示服务器通过将更新事件发送到根视图 来启动这种周期,所述根视图随后如所需要的那样在整个视图层次中 分布所述事件,以启用视图进行绘图,并组成最终的图像.当显示服 务器工作在与一个或更多客户机视图不同的进程或设备中,或者当存 在相对于彼此异步操作并结合在相同视图层次的多个视图系统时,在 更新周期期间使用渲染流将渲染命令从客户机视图传送到所述显示月艮 务器.如下所述,这些结合的视图系统通过使用视图布局根对象而相 对于彼此异步。
本发明的图形子系统允许通过每个视图在单个视图系统内的层 次中同步跟随它的前辈的绘图来顺次执行更新,或者通过相对于彼此 异步操作的多个系统并列地执行更新。以上处理能够实现部分原因是 由于渲染流到分支的能力。分支是这样一种过程,通过该过程,创建 支流或分支渲染流,并将其传递到儿子视图以在该儿子选择的某后面 的点进行绘图(即,相对于执行分支操作的父亲视图异步),同时, 继续同步地使用原始渲染流或父亲渲染流以传送由父亲视图表示的随 后的绘图命令。
图3B示出渲染流分支。例如,包括层次206中的一个或更多视 图的客户机进程可具有它想要在屏幕上绘制的应用用户界面.显示服 务器基本控制将什么显示在屏幕上,客户机视图具有描述期望的图像 所需要的信息,所以,显示服务器需要用来从所述视图接收绘图命令 的渲染流。在优选实施例中,显示服务器例化渲染流并将其连同更新 事件一起传递给根视图208,启动了更新周期。将绘制应用的影响所 必需的命令分为三个序列A、 B和C,通过组成应用的视图的子集来产生每个序列.产生序列A并将其放入原始渲染流306中,其后,从 原始渲染流306中分出渲染流308,并将其给予产生序列B的视图的 子集,所述序列B将用于表示和传送这些命令。接着,产生序列C并 将其放入原始渲染流306中。由此,在组A中的命令被表示(尽管可 能已经进行緩冲但是还没有必然被传送)之后但是组C中的笫一命令 3皮表示之前的某个时刻,从渲染流306分出渲染流308。在渲染流306 中传送的数据包括来自序列A的命令、渲染流308的标记、以及来 自序列C的命令。渲染流308中的命令来自序列B,当这一渲染流将 绘图命令返回到显示服务器时,它使用标记B来识別自身。
分支的每个动作造成由显示服务器重新排序的可能性。因此,在 所述方案中,分支已造成渲染流308中的命令可与渲染流306中的命 令同时执行或不同顺序执行的可能。可使用多个处理器或硬件加速器 来使用实际的并列执行,或者可通过对发送到单个图形加速器的命令 重新排序来达到更大的效率。显示服务器并列地从渲染流306和308 接收这些命令,并基于命令被表示的顺序和命令之间的依赖关系来决 定将执行所述命令的实际顺序。
图4是显示服务器部件和它们与视图层次以及物理屏幕的关系的 示图.显示服务器202控制屏幕,并且是具有到屏幕的直接访问的唯 一实体。将图形驱动器分为两个部件驱动器402,其提供到图形硬 件寄存器的完全访问并驻留在I/O子系统或主机操作系统的内核中; 图形加速器404,其驻留在显示服务器202中,并提供到帧緩沖器的 映射存储器的访问,以及到由图形加速硬件实现的任何图形功能的访 问。显示服务器包括图形加速器;低级别渲染406(也称为mini-GL), 其负责区域填充和像素操作;以及高级别浚染器408,其提供存储器 緩冲管理,绘制诸如划线的路径处理,浚染状态管理等.
显示服务器202仅具有一个视图,即,根视图208的明确认识。 在显示服务器看来,根视图208负责处理整个屏幕的事件(包括输入 和更新事件)。在筒单的设备上,根视图实际上可以是唯一的视图。 如果存在仅使用 一个视图的单个进程并且没有视图的重新排序,则设
16计的复杂程度锐减为显示服务器和视图层次之间的简单代码路径,这
对于较弱的硬件非常高效。在具有更高级的硬件和用户界面的设备上,
根视图将它对于处理的更新和输入事件的责任分布到视图的层次.
图5是基本视图对象502的示图,视图对象502具有三个分离的 界面,称为/Wew 504、 iy&M^fl/w^ 506和/Fien^/a/i"gw 508'所述 视图层次通过访问彼此上面的所述界面的层次内的父亲和儿子的相互 作用来工作。/Ki'ew504允许处理视图的核心状态和特性,并且允许将 其自身添加到另一视图作为儿子,诸如儿子视图510。 /F/ew504是父 亲在它的儿子上看到的界面.通过每个父亲视图访问它的儿子的 /F&w504界面,输入、更新、布局和其它事件类型沿着从显示服务器 到叶视图的层次向下传播,所述视图依次(同步或异步地)访问它们 自己的儿子的/Wew 504界面,依此类推。/Wew尸fl/^/^506界面是儿 子在它的父亲上看到的界面,诸如父亲视图512,并且其可用于沿着 所述层次向上传播事件,诸如无效事件或对于将被执行的布局的请求。 /WefWI/fl/f^er 508是儿子视图将在它的父亲上用来处理它的同辈的 界面,或者是第三方代码段用来向视图添加儿子或从中去除儿子的界 面。
实施视图层次的弱耦合部分原因是由于将所述界面中的特定界 面对于访问特定的其它界面的调用者隐藏起来。例如,用于视图的默 认安全策略(其可由每个视图随意地推翻)是最初给予它的父亲的 /FiVH^a/w^ 506界面的儿子不能将/F/ew尸"/^"/ 506转换为/Wew 504 界面。视图自身存储诸如空间2D变化的状态,所述状态将应用于所 述视图的绘图,对它的父亲的引用等。
在图6和图7中描述类似于性能的安全模型,其在一组活动对象 之间建立对等式信任网络。所述安全模型允许系统中的每个对象声明 它自己的安全策略,并允许通过由每个单独的对象应用每个策略来隐
含地动态建立信任网络。
性能安全模型基于一组简单的原理。其中的首要原理是最小权力
原理,其规定如果对象仅需要访问资源(或性能)A,以便执行它的任务,则应给予它仅对于A的访问,而不给予,例如,对于如B和 C的任意其它性能的访问。此外,如果对象确定它需要性能D,则它 必须明确地使用另一性能来请求D,所述另一性能允许并可准予所述 请求.
许多对象模型和面向对象的编程语言允许使用它们定义的对象 暴露或公开在其上工作的一个或更多定义好的接口。对象公开的每个 接口定义一组可被发送到对象的消息,或可在其上调用的方法.在多 数基于接口的对象模型中,想要使用对象的客户机必须首先通过检查 所述对象并请求期望的接口来获得对所述对象的接口的引用,然后进 行方法调用或将消息发送到所述接口。这种接口通常是准予对所述对 象的访问的最小粒度。
在本发明的优选实施例中,通过以下操作来定义并实现安全策 略请求使用所述对象的已知的定义好的接口来进行对给定接口的对 象的任何请求,在这种关于使用哪个接口进行请求的请求的时间通知 对象,允许每个对象在各种因素中基于正使用哪个接口进行请求来自 定义它们公开的接口,并且当由另一进程或装置内的对象引用或使用 所述接口时(换言之,当沿着安全边界对接口执行方法调用或消息传
递时),将每个对象接口映射到它自己的类似于性能的安全通信通道。 当对象("调用者,,对象)想要请求另一对象("被调用者"对象) 的接口 B时,必须使用调用者已经通过某种方式获得的所述被调用者 的某接口 A来进行请求。例如,可在通过创建对象创建接口 A的时候 将其提供给所述调用者,或者可通过调用者与另一对象的相互作用来 请求所述接口A。所述被调用者对象将接收对于B的请求,并将在4吏 用接口 A进行所述请求的时候被通知,基于这一认识,关于被调用者 是否实现接口 B,以及被调用者想要定义的任何其它策略,被调用者 可决定是否向调用者提供其所请求的接口 B。
此外,使用接口进行的其它调用或交换的消息(即,那些不执行 接口检查请求的)可自身返回由被调用的对象或任何其它对象公开的 接口。通过每个这种相互作用,即,明确的接口检查或由一个对象与另一对象共享对第三方的接口的引用,对等对象的网络中的信任网络 被渐进和动态地定义。这种信任网络定义给定对象所许可的操作的范
围。例如,如果调用者对象引用被调用者对象的接口 A,则它可容易 地获得对被调用者上的任何其它接口的访问(因此应看作访问被调用 者上的任何其它接口 ),所述调用者对象可通过接口 A进行接口请求 来获得对上述任何其它接口的访问,并且其可访问所述被调用者可访 问并可通过A变得可用的其它对象上的接口 .
每个对象所作出的关于如何,何时以及与谁共享它自己的接口或 另一对象的接口的决定取决于特定对象实现,并且可依赖于所述对象 决定考虑的任意数量的因素。在本发明的优选实施例中,用于确定调 用者可成功请求被调用者的哪些接口的主要或唯一因素仅仅是使用哪 个接口进行请求。尽管可由任何特定对象使用诸如密码签名、密码保 护和用于检验的其它因素来建立基于特定情况需要的专门规则,但是
执行的特定测试以确定调用者是否具有必要的许可。如果对象在它的 接口之一上得到调用,则所述对象由于调用对象首先已引用所述接口 而知道所述调用对象具有进行此次调用的授权或许可。在任何给定对 象的优选实施例中,关于哪个接口用于请求另 一接口的认识是确定哪 些接口响应于所述请求而被暴露,并由此建立信任网络所需要的所有
信息.因此,使用中央授权机构对每个对于对象接口的调用进行恒定 许可检查是不必要的,
可通过将对象的功能分为接口来建立安全策略,所述接口定义按 照访问服务所需要的许可的级別或类型分组的服务的类别。例如,对 象可具有准予最小访问的接口 ,并可将这一性能给予不能必然地完全 信任的对象,并且所述对象可将准予对所有性能的全部访问的其它接 口给予可信任的其它对象.
如图5所示,在优选实施例的示例中,图形视图对象具有三个接 口 /KiewMawag"、 7>7eH^PfliwiZ和/FiewC/u'W。这种视图的层次通 过在访问彼此上的这些接口的层次之内的父亲和儿子的相互作用进行操作。
视图的默认安全策略(可由每个视图对象按照期望来推翻)是
/WewMfl/fflg"和/F/eH^we"f (即使由对象实现)均暴露于使用接口 /Wew进行的任何请求,但是所述/Wew对于使用另外两个接口进行 的任何请求而言是隐藏的(即,使用7T7eM^fflmiger或 接口对于/W,接口的请求将失败),并且/WewiVi/w^对于 /F/ewMa"agw而言是隐藏的。换言之,使用/F/ew接口请求视图的接 口的调用者将能够获得/P7ew尸fl/wi《和/WewMa/mger两者,使用 /FieH^P"/w^请求接口的调用者将能够获得/Kf'ewMa/iage/",通过 /WeH^/""a^r请求接口的调用者将得不到另外的接口 。
所述接口中的每一个准予获得对它的引用的任何对象特定的一 组许可,设计这一默认视图安全策略是基于以下假设视图本质上拥 有它的儿子并能够按照期望来处理它们,但是儿子通常不能够直接控 制或处理它的父亲。父亲具有每个儿子的/K,Vw接口,由此可完全控 制每个儿子,这是因为它可访问儿子的所有已知接口,但是,因为当 儿子视图添加到层次时,仅将它的父亲的/K/ew尸a"/^接口给予它, 所以它不能够获得父亲的/KZeH^ai"e/i/接口 , /WeH^weW接口将允许 它例如,移动它的父亲或调整父亲的大小,并且儿子视图也不能够获 得诸如对它的父亲的父亲的引用的其它信息。这使得儿子对于层次中 它之上的视图仅能够给予间接影响,如同通过受限的/Wew尸a"",接 口提供的影响。对于具有特定需要的特定对象,父亲视图可决定是否 响应于在JKi'ew尸a/r/iZ接口上进行的请求提供/WewMtf/mger接口 ,这 将影响准予或拒绝给予它的儿子用于获得直接访问以处理它的同辈的 许可。这一许可可以在某些情况下起到作用,而在其它情况下没有意 义,所以每个对象可按照它觉得适宜的方式来推翻默认策略。
遵守这一策略将允许视图层次在保持安全性的同时,不需要专用 接口,就可以在许多进程间交互,并以统一的方式沿着层次向上和向 下传播消息。
图6是根据本发明的优选实施例的对象基于接口调用确定安全访问的进程的流程图。在步骤602,目标对象在它的接口之一从外部对 象接收调用。例如,目标接口可具有三个接口 A、 B和C,每一个准 予对目标对象的功能的不同程度的访问.接口 A准予最高程度的访问, 而接口 C准予最低程度的访问。在步骤604,目标对象通过检查它自 己的安全策略来确定是否允许外部对象访问其它接口 ,在优选实施例 中,目标对象不使用存储系统中所有对象的安全数据的中央授权机构 来进行检查。如果外部对象在接口A上进行调用,则目标对象可确定 外部装置可访问接口 B和C。在步骤606,目标对象将访问准予外部 对象以允许它访问如在步骤604确定的其它接口 。
以上描述的是对象如何运作并在不考虑它们所存在的进程的情 况下定义安全策略.例如,调用者和被调用者对象可处于相同或不同 的进程中,在写代码的时间或定义安全策略的时间,不必要知道对象 在各个进程中分布的策略或模式,写代码时假设将由系统可靠地实施 如通过接口检查定义的对象之间的隐含安全策略。
然而,以上描述仅提供了用于定义安全策略的机制。存在实施这 种模型的各种方法,包括存储器保护和基于语言的安全.在优选实施 例中, 一种这样的实施方法将必须保护的对象彼此分离,以进入分开 的进程。
在本发明的优选实施例中,当一个进程中的对象获得不同进程 (相同装置或不同装置上的)中的对象上的接口时,建立这些进程之 间的安全通道,并将其与所述接口引用关联,对于一个进程中的特定 对象上的每个单独的接口,如果另一进程包含持有所述接口上的引用 的对象,则在所述一个进程和所述另一进程之间存在单独的安全通道。 这一安全通道用于将特定接口上的消息和方法调用从一个进程发送到 另一进程,并将任何结果值返回到调用者。这示于图7中。因此,如 果进程704中的对象702具有接口 706,并且由进程710中的对象708 和进程718中的对象712、 714和716持有对对象706的引用,则存在 两个安全通道进程704和进程710之间的一个安全通道720,以及 进程718和进程704之间的另一安全通道722.对于来自相同远程进程的给定对象上的给定接口的所有调用或相互作用将通过相同的安全 通道进行路由。
每当第一次与特定远程进程共享接口时,按照需要随选地创建这 些安全通道。使用这些安全通道允许确保对象当请求从远程进程到达 时,授权调用者通过具有对接口的引用来进行请求,并且可以可靠地
识别进行请求的所述接口。只有当如图7中的虚线所示,在两个通信 对象之间存在进程边界时,才创建安全通道。如果对象想要调用相同 进程中的另一对象,则直接引用并调用所述对象,而不需要使用安全 通道。这使得对象之间的本地通信的情况非常快速。
当由对象本身建立的安全策略(如上详述)总是有效时,将对象 分离到不同的进程,即,由此实施用于在它们之间交换消息、数据和 接口引用的安全管道的使用,是一种实施安全策略的可靠方式.目的 是保护对象不受恶意或错误代码的危害,并保护现有对象不受恶意或 错误代码的危害。但是实施安全策略会牵扯到大量的性能和存储器使 用.例如,如果给予系统中的每个对象它自己的进程,则结果产生的 额外开销将是不可接受的。然而,在基于进程并使用硬件存储器保护 实现的实施方案中,如果对于系统中的每个对象均需要安全策略的严 格实施,则需要这么做,因此,令人满意的情况仅当这种实施被认为 是必要的时,才引用这些策略的实施。
有各种理由可认为安全策略的实施不必要。例如,如果在对象的 网络之内彼此相互作用的所有部件由相同的发售者制造,则它们将对 于彼此构成恶意危害的可能性很小,因此,不需要将它们彼此保护。 另一示例是具有相同安全约束和许可的两个或更多其它方面不相关的 对象(诸如不处理敏感或私人数据的两个普通的第三方应用)。在以 上两种情况中,将一组对象聚集成普通进程与每个对象具有一个进程 相比将大大减少存储器额外开销,并且对象本身将能够非常有效地相 互作用,而不需要创建用于在接口之间路由消息的安全通道。例如, 当没有因为信任的覆盖扩展到由相同发售者公开的所有对象而推翻这 种划分时,进行这种划分是非常明智的。在本发明的优选实施例中,通过允许系统在创建时间将对象分配 到称为动态保护域的不同域中,来选择性地实施安全模型,这示于图
8中。在步骤802,调用者确定它需要例化新的对象.设计对象例化功 能,其中,调用者请求例化或创建对象,如步骤804所示。请求设置 以下内容,在系统确定为最适当的动态保护域内创建正例化的对象。 在步骤806,例化功能基于由系统中的活动对象声明的诸如安全约束 和要求的各种安全因素来创建对象,以及所述系统愿意进行的关于安 全相对于性能以及最佳资源利用的任何折衷选择.在步骤808,将对 象放入现有动态保护域或新的保护域中,以通过进程的优选实施例来 实现。如果认为必要的话,系统还可创建新的动态保护域,以主管新 创建的对象。
从所述例化功能返回的对象可以是对在远程保护域中创建的远 程对象上的接口的引用(例如,如果新创建的对象需要访问创建者没 有访问的许可的敏感数据),或者它可以是相同进程内的本地对象(例 如,如果新创建的对象由创建者已经声明它信任的公开者进行密码地 签名)。因为创建者使用上述讨论的接口抽象功能,所以它不需要根 据结果产生的对象是本地创建还是远程创建的来有区别地知道或运 作。用于作出这些决定的约束、策略和要求是特定的实现,并且可随 着不同的装置变化。在本发明的优选实施例中,将动态保护域实现为 进程。
基于保护策略将对象聚集为保护域,但是在仍旧遵守所述策略的 同时将所述对象放置为尽可能地"靠近"调用者或调用者指定的代表。 换言之,如果在不违背安全考虑的情况下可将对象创建于与它相互作 用的那些对象相同的进程中,则就按此处理。
在优选实施例中,在视图层次,父亲视图可例化"插入式"儿子视 图对象,而不需要具有所述部件进行什么操作或发售者向其提供什么 的先验认识.基于父亲、父亲的进程、系统和儿子的安全约束和策略, 系统可确定是否将儿子部件载入父亲的进程(其将允许最大性能), 是否创建用于儿子生存的新的进程(其将提供最大保护),是否将所述新的儿子放入恰好符合儿子的安全需要并且不包含持有私人信息的 对象的某些其它的现有进程(这将提供父亲和系统的良好的安全级别 以及强健性,同时不需要全新的进程来仅服务于单个的儿子视图对 象)。例如,这允许视图层次脱离协同运作的第三方代码段而动态地
被建立,不需要任何一个部件已知层次配置,但是仍旧允许在表示需
要保护的那些部件之间保持所述的保护。
因为上述本发明的 一 实施例涉及硬件设备或系统,所以以下讨论
与计算设备有关的基本部件。
图9和相关的讨论意在提供对于可实现本发明的适当的计算环境 的简要和总体描述。尽管不是必需的,但是至少部分在诸如程序模块 等由个人计算机或手持计算设备执行的计算机可执行指令的一般情形 中描述本发明。通常,程序模块包括例行程序、对象、部件、数据结 构等,它们执行特定任务或实现特定抽象的数据类型。此外,本领域 的技术人员将认识到,可以用其它计算机系统配置来实施本发明,所 述计算机系统配置包括手持设备、多处理器系统、基于多处理器或 可编程的消费电子设备、网络PC、迷你计算机、大型计算机、通信 设备、蜂窝式电话、输入板等。还可在由通过通信网络链接的远程处 理设备来执行任务的分布式计算环境中实施本发明。在分布式计算环 境中,程序模块可位于本地和远程存储装置设备中。
参照图9,实现本发明的示例性系统包括通用计算设备9,其包 括中央处理单元(CPU) 120、系统存储器130和系统总线110,其 将包括系统存储器130的各种系统部件连接到CPU 120。系统总线110 可以是以下几种总线结构中的任何一种,包括存储器总线或存储控 制器、外围总线、以及使用各种总线结构中的任何一种的本地总线。 系统存储器130包括只读存储器(ROM) 140和随机存取存储器 (RAM) 150。基本输入/输出(BIOS)包含有助于在诸如启动期间帮 助在个人计算机9内的部件之间传送信息的基本例程,并存储在ROM 140中。计算设备9还包括用于读出和写入数据的诸如硬盘驱动器160 的存储设备。所述存储设备可以是磁盘驱动器160或光盘驱动器,其中,磁盘驱动器用于从可移除磁盘读取或向其写入,光盘驱动器用于
从诸如CD ROM或其它光介质的可移除光盘读取或向其写入.驱动 器和有关计算机可读介质提供计算机可读结构、数据结构、程序模块 和计算设备9的其它数据的非易失性存储器。
尽管这里描述的示例性环境使用硬盘、可移除磁盘和可移除光 盘,但是本领域的技术人员应理解,在示例性操作环境中还可使用可 存储计算机可访问的数据的其它类型的计算机可读介质,诸如磁带、 闪速存储卡、数字视频盘、Bernoulli盒式磁带、随机存取存储器 (RAM)、只读存储器(ROM)等.
图9还示出与总线110通信的输入设备160和输出设备170。输 入设备160操作为多媒体数据或其它数据的源,输出设备170包括显 示器、扬声器、或部件的组合作为多媒体数据的目的地。设备170还 可表示从诸如视频摄录机的源设备160接收并记录数据的记录设备。 通信接口 180还可提供与计算设备9的通信方式。
可认识到,提供硬件部件的上述描述仅作为示例。例如,基本部 件可在桌上型计算机和手持或便携式计算设备之间变化。本领域的技 术人员可理解如何基于实施本发明的硬件设备(或联网的计算设备的 组)来修改或调整基本硬件部件。
本发明的范围之内的实施例还可包括用于携带或具有存储其中 的计算机可执行指令或数据结构的计算机可读介质。这种计算机可读 介质可以是通用或专用计算机可访问的任何可用的介质,作为示例, 但并非限制,这种计算机可读介质可包括RAM、 ROM、 EEPROM、 CD-ROM或其它光盘存储器、磁盘存储器或其它磁存储设备、或用于 携带或存储期望的程序代码方式的其它任何介质,其中,所述程序代 码方式的形式为计算机可执行指令或数据结构.当通过网络或另一通 信连接(硬连线、无线或其组合)将信息传送或提供到计算机时,计 算机适当地将所述连接看作计算机可读介质。因此,可适当地将任何 这种连接称为计算机可读介质。上述内容的组合应包括在计算机可读 介质的范围之内.计算机可执行指令包括,例如,指令和数据,其促使通用计算机、 专用计算机或专用处理设备执行特定功能或功能组,计算机可执行指
令还包括有单机或网络环境中的计算机执行的程序模块。通常,程序
模块包括例程、程序、对象、部件和数据结构等,其执行特定任务 或实现特定的抽象数据类型,计算机可执行指令、有关的数据结构和 程序模块表示用于执行这里公开的方法的步骤的程序代码方式的示 例。这种可执行指令或有关数据结构的特定顺序表示用于实现以这样 的步骤描述的功能的相应动作的示例。
本领域的技术人员将认识到,可在具有多种类型的计算机系统配 置的网络计算环境中实施本发明的其它实施例,所述计算机系统配置 包括个人计算机、手持设备、迷你处理器系统、基于微处理器或可 编程的消费电子设备、网络PC、迷你计算机、大型计算机等。还可 在分布式计算机环境中实施实施例,在所述分布式计算机环境中,由 通过通信网络链接(通过硬连线链接、无线链接或通过它们的组合) 的本地和远程处理设备执行任务,在分布式计算环境中,程序模块可 位于本地和远程存储器存储设备中。
尽管上述描述会包含特定细节,但是不应在任何方面将它们解释 为限制权利要求。本发明的所描述的实施例的其它配置是本发明的范 围的一部分。例如,对象可使用除对象模型的接口之外的性能可匹配 的特点。在另一示例中,可通过除进程之外的诸如存储器保护或基于 语言的安全的系统部件来定义保护域。因此,应仅由所附权利要求及 其等同物,而不是任何给出的具体示例来限定本发明。
权利要求
1.一种用于控制对于操作系统中的目标对象的来自外部对象的访问的方法,所述方法包括以下步骤所述目标对象从所述外部对象接收对于所述目标对象的第一接口的调用;基于对于所述第一接口的调用,所述目标对象根据关于将哪个接口与所述第一接口共享的决定,来判断所述外部对象是否也能够访问所述目标对象的其它接口;以及根据所述判断,所述目标对象准予从所述外部对象对所述目标对象的其它接口的访问。
2. 根据权利要求l所述的方法,其特征在于,判断所述外部对象是否也能够访问所述目标对象的其它接口的 步骤还包括如下步骤检查包含在所述目标对象之内的安全策略。
3. 根据权利要求2所述的方法,其特征在于, 所述安全策略完全包含在所述目标对象之内。
4. 根据权利要求l所述的方法,其特征在于, 还包括如下步骤确定所述外部对象和所述目标对象是否操作于相同的进程中。
5. 根据权利要求l所述的方法,其特征在于, 判断所述外部对象是否也能够访问所述目标对象的其它接口的步骤还包括如下步骤当由所述外部对象请求所述第一接口时识别 能够被访问的所述目标对象的其它接口 。
6. 根据权利要求l所述的方法,其特征在于, 还包括如下步骤决定所述目标对象的第一进程。
7. 根据权利要求6所述的方法,其特征在于, 还包括如下步骤决定所述外部对象的第二进程。
8. 根据权利要求7所述的方法,其特征在于,还包括如下步骤在所述目标对象和所述外部对象之间执行交 叉进程通信。
9. 根据权利要求l所述的方法,其特征在于, 还包括如下步骤对所述目标对象的各个接口确保通道。
10. 根据权利要求l所述的方法,其特征在于, 判断所述外部对象是否也能够访问所述目标对象的其它接口的步骤还包括如下步骤分析所述目标对象之内的访问约束。
11. 根据权利要求l所述的方法,其特征在于, 还包括如下步骤分析存储在所述目标对象之内的接口访问数据。
12. 根据权利要求l所述的方法,其特征在于, 还包括如下步骤判断所述目标对象和所述外部对象是否在相同的保护域中。
13. 根据权利要求12所述的方法,其特征在于, 所述保护域是进程。
14. 根据权利要求l所述的方法,其特征在于, 所述目标对象设置它自己的安全策略。
15. 根据权利要求l所述的方法,其特征在于,判断所述外部对象是否也能够访问所述目标对象的其它接口的 步骤还包括决定所述外部对象的性能。
16. 根据权利要求15所述的方法,其特征在于, 还包括如下步骤:将所述外部对象的性能映射到所述目标对象的接口。
17. 根据权利要求l所述的方法,其特征在于, 使用相同的方法创建所述目标对象和所述外部对象。
18. 根据权利要求l所述的方法,其特征在于, 所述目标对象和所述外部对象是视图层次中的视图。
19. 根据权利要求18所述的方法,其特征在于, 所述视图具有父调用接口、子调用接口和管理接口。
20. —种用于控制对于操作系统中的目标对象的来自外部对象 的访问的系统,所述系统包括用于从所述外部对象接收对于所述目标对象的第一接口的调用 的装置;用于基于对于所述第一接口的调用、根据关于将哪个接口与所 述第一接口共享的决定来判断所述外部对象是否也能够访问所述目标对象的其它接口的装置;以及用于根据所述判断准予从所述外部对象对所述目标对象的其它 接口的访问的装置。
21. —种用于在计算机设备操作系统中保护对象的方法,所述 方法包括以下步骤决定第一对象的一个或多个访问约束;识别具有与第一对象的一个或多个访问约束相应的安全简档的保护域;以及将第一对象放入保护域中。
22. 根据权利要求21所述的方法,其特征在于, 还包括如下步骤使用相同的方法创建第一对象和第二对象。
23. 根据权利要求22所述的方法,其特征在于,第一对象和第二对象能够在两个以上的保护域上透明地进行通信。
24. 根据权利要求21所述的方法,其特征在于, 保护域是进程。
25. 根据权利要求21所述的方法,其特征在于, 还包括如下步骤创建对象到对象的安全模型,其中,对象的安全约束包含在所述对象之内。
26. 根据权利要求21所述的方法,其特征在于, 识别保护域的步骤还包括尝试识别相对于第一对象为本地的保护域。
27. 根据权利要求21所述的方法,其特征在于, 还包括如下步骤基于操作系统的安全要求创建进程。
28. 根据权利要求27所述的方法,其特征在于, 还包括如下步骤基于对象的安全策略将对象聚集在进程中。
29. —种用于在计算设备搮作系统中保护对象的系统,所述系 统包括用于决定第一对象的一个或多个访问约束的装置; 用于识别具有与第一对象的一个或多个访问约束相应的安全简 档的保护域的装置;以及用于将第一对象放入保护域中的装置。
30. —种根据操作系统中的目标对象所具有的多个接口控制来 自外部对象的对于所述目标对象的访问的方法,其中,所述多个接 口按照对于该目标对象的访问所需要的许可的级别或类型分组,所 述方法包括以下步骤所述目标对象从所述外部对象接收对于所述目标对象的第一接 口的调用;所述目标对象基于所述调用,判断第一接口的许可的级别或类 型,由此判断所述外部对象是否能够访问所述目标对象的其它接口 ; 以及所述目标对象基于所述判断,准予从所述外部对象对所述目标 对象的其它接口的访问。
31. —种根据操作系统中的目标对象所具有的多个接口控制来 自外部对象的对于所述目标对象的访问的系统,其中,所述多个接口按照对于该目标对象的访问所需要的许可的级别或类型分组,所述系统包括用于从所述外部对象接收对于所述目标对象的第一接口的调用的装置;用于基于所述调用判断第一接口的许可的级别或类型由此判断所述外部对象是否能够访问所述目标对象的其它接口的装置;以及 用于基于所述判断准予从所述外部对象对所述目标对象的其它 接口的访问的装置。
全文摘要
公开了用于计算设备图形子系统中的安全模型及实施模式的系统、方法和计算机可读介质。描述了统一、流线和灵活的创建对象的过程,对象包含其自己的安全策略且当基于特定安全需要例化时将其放入保护域。将进程边界用作实施安全模型的主要安全或保护边界。安全模型利用多数对象模型允许对象有接口的事实。对象接口确定调用者对象能访问什么。有对象性能到接口的映射。对象基于调用者对象的调查和其对对象接口的认识来确定其被授予的权利。该调查确定调用者被授予的对象的其它方面。方法方面包括目标对象接口从察觉到接口的外部对象接收调用。在目标对象基于第一调用确定外部对象是否可访问目标对象的其它接口。基于该确定准予对其它对象的访问。
文档编号G06F9/46GK101526986SQ20091000535
公开日2009年9月9日 申请日期2005年2月8日 优先权日2004年2月9日
发明者丹尼尔·K·汉克波恩, 乔治·E·霍夫曼 申请人:爱可信美国有限公司