专利名称:信息处理方法、任务间通信方法及其计算机可执行程序的制作方法
技术领域:
本发明涉及信息处理方法、在操作系统上安全任务间通信方法、及其计算机可执行程序。
更具体地讲,本发明涉及一种信息处理方法,其中处理器利用存储器或其它这样的硬件资源执行各个任务,具体地具有一种由操作系统提供的环境下执行一个或多个任务操作的组态,并且其中在具有操作系统和多任务存在于该操作系统的组态中该操作系统安全地执行描述在各任务部分的各应用程序;并且涉及一种在操作系统上安全任务间通信方法,其中在一种操作系统和在该操作系统上执行各任务的组态中,在操作系统侧判断各任务自身的安全水平和是否存在在任务侧发送和接收时指定的安全模式,并且在存在安全的事件中,从涉及对其访问受到限制的存储区中获得通信工作区,和发送的内容被加密;并且还涉及一种在计算机上实现上述方法的计算机可执行程序。
背景技术:
近来,诸如信息处理和信息通信之类的计算技术已经得到了很大的提高,并且计算机系统已经变得很平常。一般,计算机系统在操作程序的控制下执行各种类型的计算处理。
利用当前的操作系统,能够进行多程序间切换和处理从而能够并行运行若干作业的机制,即“多任务处理”,正在变得相当普通。操作系统按照虚拟方式复用实际是有限的各硬件资源,并且针对每个程序请求有效地调用硬件资源。
例如,日本未经审查专利申请No.2000-48483披露了一种信息处理方法,该方法允许重放装置与数据处理装置之间互相验证,能够构成对各个内容的每个在重放装置上进行重放的多任务组态。也就是说,根据来自数据处理装置的请求,重放装置利用来自数据处理装置的识别码ID读出存储在存储介质上的数据,并通过暂时存储的中间密钥INT KEY按选择和时分方式执行加密和验证作业,并且还执行时分发送。另外,数据处理装置涉及通过识别重放装置返回的由暂时存储的用于解密和验证作业的参数,按选择和时分方式由时分处理请求的多个数据组,并且对应于多组时分处理执行加密和验证任务。
然而,在本公开中描述的信息处理方法仅执行各装置之间的互相验证,并在激活一个任务时请求服务或从一个任务向操作系统的情况下不执行互相验证。
在核心部分和任务是独立地提供的情况下,或在各任务的一部分已经由第三方产生情况下,没有办法知道是否该任务是可靠和有效的。
也就是说,由于从操作程序可以看出来,存在着一些描述在任务部分的应用程序不能安全地执行的情况。
另外,利用对于在操作系统上任务间通信的正常安排,没有设置用于隐蔽或隐藏进行交换的数据的内容的存储器,这样可以由第三方产生的软件模块读出和写入各个内容。
为了实现经操作系统发送的数据的安全性,与此有关已经发明了一种根据是否安全性已经由发送侧任务设置的能够实现任务间通信(例如,函件(Mail))的机制。
例如,日本未经审查专利申请No.08-106441披露了一种根据微结构型操作系统的假设的具有安全水平的处理间通信方法。
但是,这个公开也有一个问题,即在操作系统外侧需要等效于验证机构的受托服务器。
发明内容
由于上述各种问题已经作出了本发明,因此本发明的一个目的是提供一种具有在由操作系统提供的环境下操作一个或多个任务的组态的信息处理方法。
本发明的另一个目的是提供一种在具有操作系统并在该操作系统中存在多任务的组态的信息处理方法,该操作系统安全地执行描述在各个任务部分中的应用程序。
本发明的再一个目的是一种在操作系统中提供任务间安全通信的方法,代替利用操作系统外部的验证机构,由操作系统本身利用发送内容主体的硬件实现访问限制和发送内容加密,因此考虑了组合体的利用率,能够增加任务间通信的安全,该通信通过在一种环境下执行密钥操作、加密、和解密提供任务安全水平,在该环境中按照加密水平的各任务共同存在的处理,还能使安全水平对各个任务和对启动任务将通信服务的时间将被单独地设置,并且能使通过两者的组合实现对任务间通信内容主体的访问限制。
为此,按照本发明的第一方面,提供一种由操作系统提供的执行环境中执行一个或多个任务的信息处理方法,包括操作系统与在启动该任务时的一个任务之间互相验证的步骤。
这里,互相验证步骤可以利用由用户描述任务给出的密钥执行。
按照本发明的第二方面,提供一种由操作系统提供的执行环境中执行一个或多个任务的信息处理方法,包括执行操作系统与在一个任务请求操作系统服务时的该任务之间的互相验证的步骤。
这里,利用通过利用用于第一互相验证的密钥信息作为第二互相验证的执行密钥加密预定数据产生的数据可以执行互相验证步骤,并且第二互相验证可以接着第一互相验证。
按照本发明的第三方面,提供一种由操作系统提供的执行环境中执行一个或多个任务的信息处理方法,包括操作系统根据由该任务保持的互相验证密钥验证一个任务的步骤;操作系统利用互相验证密钥加密该任务的栈指示字,并返回栈指示字到该任务的步骤;和对利用互相验证密钥加密的栈指示字解密并执行验证的步骤。
这里,在验证成功的事件中,操作系统和任务可以保持利用互相验证密钥加密的栈指示字作为将被用于后续各验证步骤的执行密钥。
按照本发明的第四方面,提供一种由操作系统提供的执行环境中执行一个或多个任务的信息处理方法,包括一个任务利用附加的执行密钥请求操作系统服务的步骤;根据执行密钥操作系统验证该任务的步骤;和响应于验证成功操作系统执行服务委托,并利用执行密钥加密栈指示字产生下一个执行密钥的步骤。
按照本发明的第五方面,提供一种由操作系统提供的执行环境中执行一个或多个任务的信息处理的计算机程序,包括操作系统根据由该任务保持的互相验证密钥验证一个任务的步骤;操作系统利用互相验证密钥加密该任务的栈指示字,并将该栈指示字返回到该任务的步骤;和该任务组合并验证加密的栈指示字与互相验证密钥的步骤;其中在验证过程是成功的事件中,操作系统和保持加密的栈指示字任务利用该互相验证密钥作为将被用于后续各验证步骤的执行密钥。
按照本发明的第六方面,提供一种由操作系统提供的执行环境中执行一个或多个任务的信息处理的计算机程序,包括一个任务利用附加的第一执行程序请求操作程序的服务的步骤;操作程序根据第一执行密钥验证该任务的步骤;和响应于验证的成功操作系统执行请求的服务,并利用执行密钥加密该任务的栈指示字产生将被用于下一次的第二密钥的步骤。
按照本发明的第七方面,提供一种在操作系统中被执行的各个任务之间的通信方法,包括管理在操作系统侧的一个表格式中的各任务自身的安全水平和用于各任务与操作系统之间互相验证的互相验证密钥的步骤,其中安全水平具有是保密的第一水平和是不保密的第二水平;用于读和写第一水平的各任务的块和第二水平的各任务的块分别到保密存储块和非保密存储块的步骤;用于在第一水平的一个任务的第一任务上提供第一缓冲器,和在第二水平的一个任务的第二任务上提供第二缓冲器,并在操作系统存储区内提供存储数据和用于存储管理信息的存储区的步骤;用于在第一任务规定一个ID和设置在第一任务侧的一个地址,在操作系统侧根据该第一任务的安全水平和第一功能的安全水平判断使用哪个存储块,并且在该第一任务的安全水平和正在执行的第一任务的水平是保密的事件中,管理信息被写入安全存储块和数据按照ID、管理信息的地址值、和数据主体的地址值作为密钥加密的内容写入的步骤;和用于在第二任务规定一个与该第二任务相同的ID和设置在第二任务侧的一个地址,在操作系统侧根据该第二任务的安全水平和第二功能的安全水平判断使用哪个保密块,并且在第二任务的安全水平和正在执行的第二水平是保密的事件中,在保密存储块中搜索寻址管理的第二任务数据,并且将存在数据的缓冲器的内容复制到已经利用ID、管理信息的地址值、和数据主体的地址值作为密钥解密的第二任务中的步骤。
这里的任务可以是信号量(semaphore)、事件标志(event flag)、或函件信箱(mailbox)的任何之一。任务可以是一个信号量,第一任务可以是各资源的返回,和第二任务可以是待命捕获资源。或者,任务可以是事件标志,第一任务可以是设置一个事件标志,和第二任务可以是清除事件标志。另外,任务可以是函件信箱,第一任务可以是发送数据,和第二任务可以是接收数据。
验证可以通过校验每个任务是否具有与在操作系统侧管理的密钥相同的密钥来执行。
这个方法可以通过存储管理装置来实现,该存储管理装置在保密存储块与非保密存储块之间有区别地执行读出和写入,该存储管理装置可以包括能够根据安全水平对各个存储块的每个块设置访问许可的硬件,和该存储管理装置可以被设置成不能读出或写入涉及在第二水平上的第一任务或第二任务的第一水平的存储块。
操作系统可以经存储管理装置以集中的方式执行对每个任务的安全水平的管理和存储块的管理。另外,管理信息可以包括函件的大小和函件主体的指示字。
由于这样一种组态,在发送和接收时在保密操作系统侧判断函件发送任务和函件接收任务本身的安全水平被设置为由任务侧规定的安全模式的事件中,操作系统分配将被发送的数据的实际状态和用于建立任务间通信路径的管理数据到保密存储块,利用密钥加密将被在保密操作系统侧发送的数据,和解密函件接收任务的数据。
另外,在启动各任务和任务间通信服务时,可以单独地设置安全水平。
从下面按照本发明各实施例和附图的详细描述中,本发明的其它目的、特征、和优点将变得更清楚。
图1是示意性表示密钥管理表的组态和该表被存储的区的图;图2是描述功能和任务控制块的图;图3是应用在按照本发明的操作系统的保密的任务间通信方法的实施例的在执行任务间通信的事件中各部件组态的说明图;图4是应用在按照本发明的操作系统的保密的任务间通信方法的实施例的描述保密操作系统中任务安全水平的说明图;图5是应用在按照本发明的操作系统的保密的任务间通信方法的第一实施例的用于描述在保密操作系统侧保密存储块管理的说明图;图6是应用在按照本发明的操作系统的保密的任务间通信方法的实施例的函件管理信息的组态说明图;图7是说明任务与操作系统执行互相验证的处理过程的流程图;图8是说明在服务验证时的执行验证处理的处理过程的流程图;图9是应用在按照本发明的操作系统的保密的任务间通信方法的实施例的描述函件发送处理的流程图;图10是应用在按照本发明的操作系统的保密的任务间通信方法的实施例的说明加密函件主体流程的流程图;图11是应用在按照本发明的操作系统的保密的任务间通信方法的实施例的说明函件接收处理流程的流程图;图12A是应用在按照本发明的操作系统的保密的任务间通信方法的第一实施例的说明函件发送功能的一个例子的图;和图12B是说明函件接收功能的一个例子的图。
具体实施例方式
首先,将给出关于各实施例的操作的一般描述。
信息处理方法包括一个操作系统和在该操作系统上执行的各任务,并具有一种当启动各任务时在各任务与操作系统之间执行互相验证的机制,从而判断各任务的有效性。
例如,可以在由第三方产生的任务被激活的点上或在该任务请求操作系统服务的点上执行验证和确认。
另外,操作系统评估任务在该任务请求操作系统服务时保持的密钥,并仅在操作系统自身具有相同密钥的事件中允许执行各服务,从而将能保持安全性。
按照本发明,操作系统利用通过利用密钥加密每个任务的栈指示字获得的数据作为下一个密钥(ID)。因此,只要存在栈指示字的移动,对于该任务从操作系统请求服务的密钥每次被更新,这样保持了安全性。
从上述得到的结论是,利用按照本发明的信息处理方法,从操作系统角度看,描述在任务部分的各个应用程序可以被保密地执行。
下面是参照附图对本发明各实施例的详细描述。
第一实施例在实现本发明中,我们假设,用户作为任务描述的应用程序(下面简称为“用户”)提供用于每个任务号(或任务ID)的互相验证密钥,正如在下表中表示的那样。
另一方面,操作系统在内部以用户不能读和修改的状态,保持用于管理任务ID和密钥的表。
图1示意性地表示密钥管理表的组态和该表被存储的区。
在各任务的密钥管理表中,为每个任务ID设置互相验证密钥(任务的初始密钥)和执行密钥(任务工作密钥)。
另外,用户为每个任务提供一个密钥存储区,和用于告诉当前栈指示字的功能“GetCurrentSP()”。
图2示意性地表示功能和任务控制块的操作。
等于任务数的任务控制块(TCB)提供在操作系统中。栈指示字在操作系统最后接收服务时被存储在任务控制块。另外,操作系统具有用于返回一个任务ID的功能“TaskID()”。
为了使一个任务获得一个任务ID,可以使用对操作系统的服务请求“TaskID()”。另外,为了在任务中获得栈指示字,可以使用由用户提供的功能“GetCurrentSP()”。
在伴随激活操作系统时间表的任务转换时,在该任务曾被执行的点上的栈指示字每次被保存在任务控制块中的一个预定区域上。
接下来,将参照如图7所示的流程图描述其中任务和操作系统执行互相验证的处理过程。
首先,该任务利用功能“TaskID()”从操作系统获得其自身的任务ID(步骤S1)。然后,该任务传送任务ID和互相验证密钥,即任务初始密钥,到操作系统(步骤S2)。传送的任务ID和验证密钥例如由“管理员调用”来执行。
操作系统比较接收的任务初始密钥与在任务密钥管理表中被管理的任务初始密钥(步骤S3和S4)。在两个不一致的事件中,验证失败,并且这使得整个验证处理返回到结束。
另一方面,在密钥匹配的事件中,则被视为操作系统的验证成功。在这种情况下,操作系统利用该任务的初始密钥加密该任务的栈指示字(步骤S5)并返回经加密的数据“EncTIKey(TaskSP)”到该任务(步骤S6)。
该任务利用其自身任务初始密钥解密接收的经加密的数据(步骤S7),并还比较这个数据与利用功能“GetCurrentSP()”获得的栈指示字的值(步骤S8)。在两个不一致的事件中,验证失败,并且这使得整个验证处理返回到结束。
另一方面,在两组数据一致的事件中,则被视为该任务的验证已经成功,并且加密的数据“EncTIKey(TaskSP)”被保存在该任务密钥区(步骤S9)。
再有,操作系统还在任务密钥管理表中,保持通过利用任务初始密钥加密获得的数据、通过加密在任务控制块内的栈指示字获得的数据,作为在执行密钥区内的任务工作密钥(步骤S10)。
接下来,参照图8将对有关在执行各任务时的验证处理的流程进行描述。
该任务随着任务密钥区的内容,即该任务的工作密钥传送服务委托到操作系统(步骤S11)。这个服务委托是由操作系统提供的各种功能,诸如请求外围设备、管理存储器库、管理时间、发送和接收消息到和从其它任务等等。另外,通过例如管理员调用(supervi sor call)执行服务委托。
原则上,操作系统接收该管理员调用和任务工作密钥(S12),并与保持在密钥管理表中的对应ID进行比较(步骤S13和S14)。在两个不一致的事件中,验证失败。并且这使得整个验证处理返回到结束。
另一方面,在各个密钥一致的事件中,操作系统判断该任务请求的服务作为认定的去执行。
在这种情况下,操作系统产生通过利用该任务的工作密钥加密该任务的栈指示字数据作为下一个任务的工作密钥(步骤S15)并将去写入任务密钥管理表中的对应任务工作密钥字段。
然后,操作系统执行委托服务,并随着执行的结果将其返回到该任务作为下一个工作密钥(步骤S16)。
在该任务的密钥区该任务存储该任务的完成和接收任务工作密钥,并且或许用于后来的执行。
正如上面详细的描述,按照本发明,提供一种具有在由操作系统提供的环境下工作一个或多个任务的组态的信息处理方法。
另外,按照本发明,提供一种信息处理方法,在该方法中一种组态中具有操作系统和存在于该操作系统中的多任务,该操作系统安全地执行描述在任务部分中的各个应用程序。
按照本发明的具有操作系统和在该操作系统执行的各任务的信息处理方法具有一种机制,该机制是在启动各任务时在各任务与操作系统之间执行互相验证,因此判断各任务的有效性。例如,可以在由第三方产生一个任务的点上或在该任务请求操作系统服务的点上执行验证和认证。
另外,操作系统评估在该任务请求操作系统的服务时该任务保持的密钥,并仅在操作系统自身具有相同的密钥的事件中允许执行各种服务,从而将能维持安全性。
按照本发明,操作系统利用一个密钥加密对每个任务的栈指示字获得的数据作为下一个密钥(ID)。因此,只要存在着栈指示字的移动,每次用于任务从操作系统请求服务的密钥进行更新,以便维持安全性。
从而,从操作系统的观点上看,可以安全地执行描述在任务部分中的应用程序。
第二实施例接下来,将参照附图描述在操作系统上保密任务间通信的方法。
在详细地描述这个实施例之前,首先,将描述其一般的特征。本实施例实现了一种操作系统和在该操作系统上执行的各个任务的组态,在该操作系统判断各任务自身的安全水平和在任务侧是否存在发送和接收时规定的安全模式,因此实现具有不同安全水平的任务间通信的路径。
另外,在判断为存在安全模式的事件中,操作系统分配待发送数据的实际状态和用于建立任务间通信路径的管理数据到访问受限制的存储器中。
另一方面,在判断为没有安全模式的事件中,两个数据被专用为无访问限制的通用存储器。
另外,在任务中作出判断是安全模式的事件中,操作系统利用密钥加密待发送的数据的实际状态。
任务间通信的一些例子包括用作各资源的排除控制的信号量、用作通知是否一个事件存在的另一方的事件标志、用作处理各个任务之间大量数据的函件信箱等。应当对此这样理解,各个任务的产生和删除意味着分别地返回和捕获资源、设置和清除事件标志、和发送和接收消息。
接下来,将详细地描述具有这样一些特征的第二实施例。描述将从参照图4开始。
图4是用于描述应用了本实施例的保密操作系统1中的任务2和3的安全水平的说明图。
这个第二实施例假设两个水平,保密的和非保密的。
涉及保密操作系统1与各个任务已经成功互相验证的任务2和3(在图4中任务2包含任务A和B)是处于保密水平的,和涉及互相验证尚未执行、已经失败、或尚未进行处理的任务3(它是图2中的任务C)处于不保密水平。
保密操作系统1与任务2和3之间的互相验证方法的例子包括每个具有密钥的任务2和3,并且该水平在任务2和3具有与正在被保密操作系统1管理的匹配的密钥事件中是保密的,但是该水平在双方密钥不匹配的事件中是不保密的,并且如上所述图4表示任务3是非保密水平的情况。
保密操作系统1管理是否任务2和3自身是保密的,和表示在图4的以表的格式的互相验证密钥。
也就是说,涉及在保密水平的任务2、在非保密水平的任务3的数据,和任务2和3具有的密钥数据已经在保密操作系统1中按表示在图4的表的格式进行保持。
接下来,参照图3将对涉及保密操作系统1的存储块的管理进行描述。在图3中,诸如RAM之类能够读出和写入的存储块5被分为两部分,非保密存储块5a和保密存储块5b。
非保密存储块5a具有非保密水平,例如具有在各个块中写入诸如No.1、3等到n-1的奇数号的地址的任务3。
另外,保密存储块5b具有非保密水平。例如具有在各个块中写入诸如No.2、4等到n的偶数号的地址的任务2。
也就是说,从在块增加中能够为各任务设置安全水平的存储器管理单元(存储器管理单元,以下称为SMMU 6)读出存储块5并将其写入。
SMMU 6比较读出和写入侧的安全水平,即保密操作系统1的安全水平(换言之,任务请求服务的安全水平)与写入到非保密存储块5a和写入到保密存储块5b的安全水平,并在执行读出和写入侧的安全水平是低的事件中,出现安全访问违约特例(violation exception),并且从和到保密存储块5b和非保密存储块5A的读出和写入被禁止。
换言之,安全访问违约特例出现,要求访问保密存储块5b和非保密存储块5a的试图具有比要求服务的任务高的安全水平,并且从和到保密存储块5b和非保密存储块5A的读出和写入被禁止。
SMMU 6是能够根据存储器5的安全水平对保密存储块5b和非保密存储块5a进行“访问允许”和“访问拒绝”设置的硬件。
例如,SMMU 6在非保密水平状态不能从在保密状态的保密存储块5b写入或读出。
对于保密存储块5b和非保密存储块5a的安全水平的设置是由SMMU 6在初始化保密操作系统1时执行的,如图5的表所示。
在图5的这个表中,相关是否存在对于在保密存储块5b和非保密存储块5a中地址和各密钥的安全性。
另外,保密操作系统1执行对于每个任务的安全水平的管理,和按集中的方式经SMMU 6的保密存储块5b和非保密存储块5a的管理。
接下来,参照图3将描述执行安全任务间通信的情况。在这种情况下任务间通信是函件,并且在图3中任务2间被描述为函件发送任务2。另外,在图3中任务3间被描述为函件发送任务3。
在函件发送任务2上准备函件发送缓冲器8(服务缓冲器),并且还在函件接收任务3上准备函件接收缓冲器9。
再有,按保密存储器库10a和10b的格式准备在保密操作系统1中用于存储函件内容的存储区。
按非保密存储器排队表11a和保密存储器排队表11b的格式准备用于存储管理信息(等效于上述的保密存储块5b和非保密存储块5a)的存储区。
图6表示管理信息12的组态,管理信息12被组成为函件主体的函件大小12a和指示字12b。
非保密存储器排队表11a和保密存储器排队表11b,并保密存储器库10a和10b分别是按上述保密存储块5b和非保密存储块5a准备的。
接下来,将描述下面如图9所示的流程图的在发送具有附加上保密水平的函件发送任务2的任务间通信功能(例如,函件)事件中的处理流程,其中在函件发送任务2和接收任务3已经完成按正常方式与保密操作系统1的互相验证和其中函件发送任务2和接收任务3自身的安全水平已被设置为保密的情况下。
首先,流程开始,并在函件发送任务2中、在函件发送任务被专用在函件ID和到函件主体的地址被规定为非安全水平。
在(步骤S21)函件发送任务2请求以安全水平的函件发送服务,并且一旦函件发送任务2被发送和保密操作系统1接收函件发送任务2的请求(或服务)(步骤S22),保密操作系统1检查是否接收的函件发送任务2是处于安全水平和是一种函件服务(步骤S23)。
接下来,保密操作系统1作出是否接收的函件发送任务2和函件服务是在安全水平的判断,并且根据发送功能的安全水平作出保密存储块5b和非保密存储块5a的哪个存储块用于接收主发送任务2(如图12A所示作为函件发送功能)(步骤S24)。
仅在这个判断的结果表示接收的函件发送任务2是在保密水平和在发送时的水平是保密的事件中,流程前进到步骤S25的处理,并且保密操作系统1搜索管理信息和由SMMU 6管理的在保密存储块5b的保密存储器排队表11b中的函件主体。
接下来,管理信息从搜索的管理信息和函件主体被写入函件主体的一个单元。
在这种情况下,函件发送任务2的内容被从存储在具有安全性的保密存储块5b的保密存储器库10b进行加密。
接下来,如在用于加密函件主体流程图的图10所示,函件ID由SMMU 6写入从保密存储器库10b加密的函件发送内容的函件主体(步骤S31),管理信息的地址值被写入(步骤S32),函件主体的地址值被写入并利用这些值作为密钥加密函件发送内容(步骤S33),并且经加密的函件发送内容在图9的步骤S26从缓冲器8(服务缓冲器)复制到由保密存储器排队表11b管理的缓冲器13。
接下来,在保密操作系统1,管理信息被更新(步骤S27),从而完成上述一系列函件发送处理。
另外,在上述步骤S24的处理中,保密操作系统1在涉及接收的函件发送任务2的服务的安全和涉及根据任务间通信功能的安全水平是利用保密存储块5b和是非保密存储块5a判断结果事件中,接收的函件发送任务2是保密水平并且在发送时的水平是不保密的时,保密操作系统1利用SMMU 6从非保密存储块5a搜索管理信息和函件主体(步骤S28)。
接下来,保密操作系统1写入函件发送任务2的内容到函件主体,写入到缓冲器8(步骤S29),并执行上述步骤S27的处理。
接下来,下面将描述如图11所示流程图的用于利用函件接收任务3在安全的水平上接收任务间通信功能(例如,函件)处理的流程。
在函件接收任务3,规定非安全水平的分配在函件接收任务3的函件ID和到函件主体的地址。规定与在发送时相同的函件ID。
接下来,在步骤S41函件接收任务3请求以安全水平的函件接收服务,并且当对函件接收任务3的函件服务在函件接收任务3中进行时,保密操作系统1接收函件接收任务3的服务(步骤S42)。
接下来,保密操作系统1检查是否接收的函件接收任务3和函件服务是否处于保密水平(步骤S43),并且在作为检查的结果该水平是保密的事件中,接下来,保密操作系统1检查是否函件接收任务3和服务两者都处于保密水平(步骤S44),并且在作出的判断结果是两者都在安全水平的事件中,保密操作系统1根据函件接收任务3的安全水平和接收功能(如图12B所示作为函件接收功能)的水平,判断使用哪个保密存储块。
仅在这个判断结果表示接收函件接收任务3是在保密水平和接收时的水平是保密的的事件中,该函件被寻址到通过搜索保密存储块5b管理的函件排队表中的函件接收任务3(步骤S25),并找到该缓冲器曾接收到的存在的内容。
通过利用该函件的ID、管理信息的地址值、和函件主体的地址值作为密钥解密缓冲器的内容被复制到函件接收任务3的缓冲器9(步骤S46)。
接下来,保密操作系统1返回该函件主体和管理信息(步骤S47)并且该接收处理系列结束。
另外,在上述步骤S44的处理中,保密操作系统1判断是否函件接收任务3和服务两者都处于保密水平(步骤S44),并且在对两者的判断结果不在保密水平的事件中,保密操作系统1在非保密存储块5a搜索管理信息(步骤S48)。
接下来,保密操作系统1复制函件主体到为函件接收任务3准备的缓冲器9(步骤S49),并且然后执行上述步骤S47的处理。
因此,按照本发明,在保密操作系统判断函件发送任务和函件接收任务本身的安全水平被设置为由该任务在发送和接收时规定的安全模式的事件中,保密操作系统分配待发送数据的实际状态和建立任务间通信路径的管理数据到保密存储块,在保密操作系统利用密钥加密待发送的数据,并解密函件接收任务的数据,使得通过提供执行密钥操作、加密、和解密的各任务的安全水平,利用其中在按照互相存在的安全水平处理任务的环境下对任务间通信内容的访问进行限制的机制,可以增加具有安全性的任务间通信的保密性。
另外,在启动各个任务和任务间通信服务时,安全水平可以单独地设置,因此通过两个规定的安全水平的组合能够对任务间通信的内容主体进行访问限制。
其它实施例现在将简单描述诸如在操作系统上保密任务间通信方法之类的上述实施例可以作出的各种修改。
在第一步骤中,在操作系统上执行的各个任务被分类为其中任务与操作系统之间的互相验证已经成功的保密水平;互相验证尚未执行的非保密水平。这种分类是根据各个任务自身的密钥执行的。是否每个任务自身具有安全性和用于与操作系统互相验证的互相验证密钥被在该操作系统中的表格式进行管理。
在第二步骤中,在操作系统中被管理的各个保密任务的块和各个非保密任务的块是利用保密存储管理机制分别到和从保密存储块和非保密存储块写入和读出的。
在第三步骤中,准备在保密任务中函件发送任务的函件发送缓冲器和准备在保密任务中函件接收任务的函件接收缓冲器。在操作系统中准备用于存储函件内容的存储区和用于存储管理信息的存储区。
在第四步骤中,非安全水平的函件ID和地址被随着该函件任务规定到设置在发送任务的主体。操作系统根据函件发送任务的安全水平和发送功能的水平判断使用哪个存储块。仅在函件发送任务是保密的和发送时的水平是保密的事件中,管理信息被写入保密存储块,和函件发送内容被写入、并利用函件ID、管理信息的地址值、和函件主体的地址值作为密钥进行加密。
在第五步骤中,与函件发送任务一样,函件接收任务规定非保密水平的函件ID和地址到设置在函件接收任务的函件主体。操作系统根据函件接收任务的安全水平和接收功能的安全水平判断使用哪个保密存储块。仅在接收任务是保密的和接收时的水平是保密的事件中,接收函件被寻址到搜索的安全存储块管理的函件接收任务和其中存在利用函件ID、管理信息的地址值、和函件主体作为其密钥进行解码的接收内容的缓冲器内容,并且复制到一个函件接收任务的缓冲器。
在这种修改中,通过检验由每个任务保持的密钥是否与在保密操作系统中管理的密钥相同执行验证。保密存储器管理机制可以包括能够按照安全水平对每个存储块设置“访问允许”或“访问禁止”的硬件。
这里的保密存储器管理机制可以被安排为,使得不能从保密存储块读出或写入实际非保密函件发送任务或函件接收任务,并且保密操作系统对每个任务执行安全水平的管理和以集中的方式经保密存储管理机制的存储块管理。
另外,这里的管理信息可以包括函件的大小和函件主体指示字,并且来自保密存储块中的保密存储器库的函件发送任务内容的实际状态可以被保密。
按照本发明的方法,无论按照上述各个实施例,其修改,还是在本发明的精神和范围内可能的各种安排都可以按计算机执行本发明的计算机可执行的软件程序来提供。
该软件程序可以提供于能够执行各种类型的以计算机可读形式的计算机码的通用计算机系统,该程序是经可拆卸和便携的存储介质提供的,这些介质例如是CD(密致盘)、FD(软盘)、MO(磁光片)等。或者,计算机软件按计算机可读格式经诸如网络(与该网络是有线还是无线的无关)之类的传输媒体提供给特定计算机系统的安排在技术也是可行的。
换言之,经任何这样的媒体安装计算机软件到计算机系统产生与按照本发明的方法相同的可操作的各种优点。
因此,本发明已经参照具体优选实施例及其修改进行了详细地描述。但是,无需多说,对于本专业的技术人员来说,在不脱离本发明的基本内涵的情况下仍可对上述各实施例作出各种修改和替换。也就是说,本发明仅仅是以优选实施例的形式作为例子进行公开的,并因此不能被解释为限制性的方式。本发明的范围应当仅由后附的权利要求书予以判定。
权利要求
1.一种在由操作系统提供的执行环境下执行一个或多个任务的信息处理方法,所述方法包括在启动所述任务时,所述操作系统与所述任务之间执行互相验证的步骤。
2.按照权利要求1的信息处理方法,其中所述互相验证步骤是利用由用户描述任务给出的密钥执行的。
3.一种在由操作系统提供的执行环境下执行一个或多个任务的信息处理方法,所述方法包括在所述任务请求所述操作系统的服务时,在所述操作系统与任务之间执行互相验证的步骤。
4.按照权利要求3的信息处理方法,其中所述互相验证步骤是通过将加密带有第一相互验证的密钥信息的预定数据而产生的数据用作第二相互验证的执行密钥来执行的,并且其中所述第二互相验证是接着所述第一互相验证执行的。
5.一种在由操作系统提供的执行环境下执行一个或多个任务的信息处理方法,所述方法包括一个用于所述操作系统根据由所述任务保持的互相验证密钥验证任务的步骤;一个用于所述操作系统利用所述互相验证密钥加密所述任务的栈指示字,并将其返回到所述任务的步骤;以及一个用于所述任务解密利用所述互相验证密钥加密的所述栈指示字并执行验证的步骤。
6.按照权利要求5的信息处理方法,其中在所述验证成功的事件中,所述操作系统和任务保持利用所述互相验证密钥加密的栈指示字作为将被用于后续的各验证步骤的执行密钥。
7.一种在由操作系统提供的执行环境下执行一个或多个任务的信息处理方法,所述方法包括一个用于任务利用所附加的执行密钥请求所述操作系统服务的步骤;一个用于操作系统根据所述执行密钥验证所述任务的步骤;以及一个所述操作系统响应于所述验证的成功,执行服务委托,并利用所述执行密钥加密所述任务的栈指示字产生下一个执行密钥的步骤。
8.一种用于计算机执行由操作系统提供的执行环境下执行一个或多个任务信息处理的程序,所述处理包括一个用于所述操作系统根据由所述任务保持的互相验证密钥验证一个任务的步骤;一个用于所述操作系统利用所述互相验证密钥加密所述任务的栈指示字,并将其返回到所述任务的步骤;以及一个用于所述任务混合并验证利用所述互相验证密钥加密的栈指示字的步骤;其中在所述验证过程成功的事件中,所述操作系统和任务保持利用所述互相验证密钥加密的栈指示字,将被用于后续的各个验证步骤。
9.一种用于计算机执行由操作系统提供的执行环境下执行一个或多个任务信息处理的程序,所述处理包括一个用于利用附加的第一执行密钥请求所述操作系统服务的步骤;一个用于所述操作系统根据所述第一执行密钥验证所述任务的步骤;以及一个所述操作系统响应于所述验证的成功,执行请求的服务,并利用所述执行密钥加密所述任务的栈指示字产生将被用于下次的第二执行密钥的步骤。
10.一种在操作系统中执行的各任务之间的通信方法,所述方法包括一个用于管理在所述操作系统侧的表格式中的各任务自身的安全水平和用于各任务与所述操作系统之间互相验证的互相验证密钥的步骤,其中所述安全水平具有是保密的第一水平和是不保密的第二水平;一个用于分别读出和写入所述第一水平的各任务的各块和所述第二水平的各任务的各块到相应的一个保密存储块和一个非保密块的步骤;一个用于对所述第一水平的任务的第一任务提供第一缓冲器,和对所述第二水平的任务的第二任务提供第二缓冲器,并在所述操作系统中设置用于存储数据的存储区和用于存储管理信息的存储区;一个用于在第一任务规定分配在所述第一任务侧的ID和地址,在操作系统侧根据所述第一任务的安全水平和第一功能的安全水平判断使用哪个存储块,并且,在所述第一任务的安全水平和用于执行所述第一任务的水平是保密的事件中,管理信息被写入所述安全存储块和数据作为利用ID、管理信息的地址值、和数据主体的地址值作为密钥加密的内容被写入的步骤;以及一个用于在第二所述任务规定与所述第二任务相同的ID和专用在所述第二任务侧的地址,在所述操作系统侧根据所述第二任务的安全水平和第二功能的安全水平判断使用哪个保密块,并且,在所述第二任务的安全水平和用于执行所述第二水平的水平是保密的事件中,搜索在所述保密存储块中管理的所述第二任务的寻址数据,并且所述数据存在的缓冲器的内容被复制到已经利用ID、管理信息的地址值、和数据主体的地址值作为密钥被解密的所述第二任务的步骤。
11.按照权利要求10的通信方法,其中所述任务是信号量、事件标志、或函件信箱的任何一种。
12.按照权利要求10的通信方法,其中所述任务是信号量,并所述第一任务是各资源的返回和所述第二任务是待命捕获各资源。
13.按照权利要求10的通信方法,其中所述任务是事件标志,并且所述第一任务是设置事件标志和所述第二任务是清除事件标志。
14.按照权利要求10的通信方法,其中所述任务的函件信箱,并且所述第一任务是发送数据和所述第二任务是接收数据。
15.按照权利要求10的通信方法,其中所述验证是通过检验每个任务的密钥是否与在操作系统侧管理的密钥相同。
16.按照权利要求10的通信方法,其中所述方法是通过存储器管理装置执行的,该装置执行所述保密存储块与所述非保密存储块之间有区别地进行读出与写入。
17.按照权利要求16的通信方法,其中所述存储器管理装置包括能够按照安全水平对所述存储块的每个块设置访问允许的硬件。
18.按照权利要求16的通信方法,其中所述存储器管理装置不能从涉及在第二水平的第一水平或第二任务的第一水平的存储块读出或写入。
19.按照权利要求16的通信方法,其中所述操作系统对每个任务执行安全水平的管理和经所述存储管理装置按集中方式执行所述存储块的管理。
20.按照权利要求14的通信方法,其中所述管理信息包括函件的大小和函件主体的指示字。
全文摘要
一种信息处理方法具有激活任务时在任务与操作系统之间执行互相验证的机制,从而判断任务有效性。操作系统评估在请求系统服务时任务持有的密钥,并仅在操作系统自身具有相同密钥的情况下才允许执行服务。函件发送任务指定函件ID和函件主体的地址,管理信息由操作系统根据该函件发送任务的安全水平和发送功能的安全水平写入保密存储器排队表,而且存有利用函件ID、管理信息的地址值、和函件主体地址值加密函件发送内容的内容,被写入缓冲器。操作系统利用函件ID、管理信息的地址值、和函件主体地址值作为密钥,根据函件接收任务的安全水平和接收功能的安全水平解密其中存在接收内容的缓冲器内容,并且将其复制到该函件接收任务的缓冲器。
文档编号G06F21/44GK1334521SQ01124648
公开日2002年2月6日 申请日期2001年7月24日 优先权日2000年7月24日
发明者末吉正弘 申请人:索尼公司