专利名称:通过使用供应商id来改进计算装置的操作的安全性的制作方法
技术领域:
本发明涉及用于改进计算装置的操作的安全性的方法,尤其涉及用于通过使用供应商ID来改进计算装置的操作安全性的方法,其 中,供应商ID用于识别拥有用于具有开^:平台的移动电话的应用程 序源代7马的7>司。
背景技术:
术语"计算装置"包括但不限于台式计算机及便携式计算机、 个人数字助理(PDA)、移动电话、智能电话、数码照相机和数字音 乐播放器。它还包括结合了已提到的一种或多种装置的功能的集成 装置、和许多其他工业及家用电子装置。允许其所有者或用户安装提供新应用或新功能的软件的计算装置被称为开力文装置。尽管存在能够以这种方式扩展装置效用的明显 好处,但是显然这种便利可能为所有者或用户呈现重大的安全性风 险。在计算装置通过网络连接到其他装置的情况下,风险会延伸到 连接到该网络的所有其他装置,甚至会威胁到网络自身的完整性。现在普遍了解,存在影响开放计算装置的恶意程序(或恶意软 件,malware ) 的重大风险。最近的互耳关网文章 (http:〃en.wikipedia.org/wiki/Malware ) i口、另ll并4笛述了十一种不同类型的恶意專欠4牛,其包4舌Virus 、 Worm、 Wabbit、 Trojan、 Backdoor 、 Spyware、 Exploit、 Rootkit、 Key Logger、 Dialer、 和URL injector。获得关于发起任意软件项目的公司或个人的可靠信息的能力在 有助于确定可应用于该软件项目的信任等级方面是无价的帮助。这 不^叉对用户适用,而且尤其对才乘作系统(OS)和可在计算装置上运 4亍的相关业务适用。对该问题的一种解决方案是为软件分配可以由装置检索的全球 唯一的供应商身份(VID);这仅是可以与特定制造商或供应商唯一 相关联的号码。检索VID使作者能够被识别,并且这又提供了可以 信任该项目的证据。在涉及计算装置的许多技术领域中都在使用VID。它们在硬件 装置中很普遍; 解释见 http:〃www.computerhope.com/jargon/v/vendorid.htm 。 Http:〃www.usb.org/developers/vendor/才是供了结合通用串4亍总线的装 置如^f可可以在它们的产品中包^舌供应商ID的实例;以及 http:〃www.pcidatabase.com/vendors.php sort=id包4舌由PCI卡的制造 商4吏用的全部供应商ID的列表。供应商ID还用于4欠件包。 Http:〃www.palmos.com/dev/tech/palmos/creatorid/4苗述了在Palm〇S 中 3口 <可 分 西己 创 建 者 ID , 以 及 http:〃www.ietf.org/rfc/rfc2408.txt number=2408讨论了在获耳又对互联 网密钥交换协议的专有扩展中供应商ID的使用。以上纟会出的供应商ID的实施方式在安全性意义方面不是非常 有用。供应商ID都不能提供防止冒名或者电子欺骗的实际证据。由 于硬件通常不易受由恶意软件? 1起的同 一种攻击的影响,所以或许 这对于并入硬件中的供应商ID影响不大;但是供应商ID本身不能 防止电子欺骗的事实在某种程度上是个缺陷。明显地,恶意软件的制造商不会为获得第三方VID担心。事实上,如果可能使恶意软件 由于对用户是非伪造的而更有吸引力且更可接受,则这是恶意软件 制造商很可能做的事情。当然,可以通过将VID并入安全的凄t字签名i正书中来解决这个 问题。但是,如果这完成了,由于可以检查证书链本身以了解谁已 对它签名,并且这是已知的一种才及好的建立信任的方法,则这会4吏 作为安全4晉施的VID本身变得多余。然而,数字签名证书仅在安装软件时有用。它们在计算上非常 昂贵,并且对于在运行时在计算装置中连续使用是极其繁重的。相比之下,VID快速并且容易进行检查,从而仅需要算术比较。 只要软件在装置上,这就使它们在需要检查软件的来源时非常实用。 然而,VID的在先实施方式并没有冲是供足够置信度(confidence )来 依靠它们作为运4亍时身^f分的明确(categoric ) i正据。发明内容本发明允许开》文计算装置在运4亍时:f皮;险查的应用程序的VID中证书中具有的置信度相同。根据本发明的第一方面,提供了一种操作计算装置的方法,其中,a. 可选地向每个可扭^亍文件分配创建时的供应商身〗分(VID) 或者为零的空VID;以及b. 将VID作为元数据的一部分包括在由该装置使用的可执行文 件格式中;以及C.通过单个组件(安装器)将在制造时未包括在该装置上的所有可执行文件在其能够运行之前安装在装置上;以及d.当在装置上安装应用程序包时,安装器进行检查以确定其是 否4皮适当i也签名;以及e.如果该包未^皮签名,则安装器程序-验证该包不包括包含除空 VID之外的任何VID的可才丸行文件;以及授权方(authority),该签名授权方用于确保在应用程序签名时包含VID。根据本发明的第二方面,提供了 一种净皮配置成根据第 一方面的 方法进行操作的计算装置。根据本发明的第三方面,提供了 一种用于使计算装置根据第一 方面的方法进行操作的才乘作系统。
具体实施方式
现在将参考图1仅通过进一步的实例来描述本发明的实施例, 图1示出了本发明的一个实施例。可以i人为本发明是基于以下原理1.指定用于计算装置的每个可执行文件在创建时(在被编译和 #1链4妄时)被可选地分配VID;将为零的空VID用于未分配有VID 的可执行文件。2. VID作为元数据的一部分被包括在由该装置使用的可执行文 件格式中。3. 计算装置包括作为在制造装置后在该装置上安装软件的唯一 方法的安装程序。4. 当在装置上安装应用程序包时,安装程序进行4企查以确定该 包是否净皮适当地签名。5. 如果该包未被签名,则安装程序验证该包不包括包含VID(除 空VID之外)的可纟丸^f于文件。6.签名4受权方,其必须确保在应用程序签名时包含在包中的任何可执 行文件包含正确的VID。部分的供应商ID。参考图1,当要在计算装置(其可以是移动电话的形式)上安装 应用程序包时,向该装置作出安装该包的请求。4艮据响应,该装置 上的安装器验证该应用程序包是否一皮适当地签名。如果该包被签名, 则安装该软件包。然而,如果该包未^皮签名,则安装器-验证该包内 的任意可执行文件是否包含非空的VID,即,已向其分配了供应商 VID。如果答复为"是",则安装器不继续安装该包,这可以从图1 中看出。然而,如果答复为"否",则安装该软件包。总之,因此, 如果软件包被签名或包含可验证的VID,则安装该软件包。分发VID,签名授权方必须确保在应用程序签名时可执行文件包含 正确的VID。本发明提供了优于在先方法的明显优点,其中,尽管VID只是 一个号码,但仍能给予在运行时被检查的VID与用于数字证书的加 密机制相同的信任等级。此外,操作系统可以容易地识别代码的起 源,而不需要任何加密方法。另外,在某些装置上,这可以用于将 一些业务或资源锁定至仅来自于特定供应商的软件上。尽管已参考特定实施例描述了本发明,但应该理解,在所附权 利要求所限定的本发明的范围内,可以实施^f奮改。
权利要求
1.一种操作计算装置的方法,其中,g.可选地向每个可执行文件分配创建时的供应商身份(VID)或者为零的空VID;以及h.将所述VID作为元数据的一部分包括在由所述装置使用的可执行文件格式中;以及i.通过单个组件(安装器)将在制造时未包括在所述装置上的所有可执行文件在其能够运行之前安装在所述装置上;以及j.当在所述装置上安装应用程序包时,所述安装器进行检查以确定其是否被适当地签名;以及k.如果所述包未被签名,则所述安装器程序验证所述包不包括包含除所述空VID之外的任何VID的可执行文件;以及l.对包进行签名的过程包括将所有分配的VID分发给所有签名授权方,所述所有签名授权方用于确保在应用程序签名时包含在应用程序包中的任何可执行文件均包含正确的VID。
2.对包进行签名的过程包括将所有分配的VID分发给所 有签名授权方,所述所有签名授权方用于确保在应用程序签名
3. —种被配置成根据权利要求1所述的方法进行操作的计算装 置。
4. —种用于使计算装置根据权利要求1所述的方法进行操作的 操作系统。
全文摘要
一种用于计算装置的安装器首先确定用于安装的软件包是否已被签名。如果该包被签名,则在装置上安装它。然而,如果该包未被签名,则安装器仅在该包包含非空VID(供应商身份)的情况下将该包安装在装置上。
文档编号G06F21/51GK101238472SQ200680029088
公开日2008年8月6日 申请日期2006年8月8日 优先权日2005年8月10日
发明者安德鲁·哈克, 格夫·普雷斯顿, 科琳娜·迪夫-勒克吕 申请人:西姆毕恩软件有限公司