[发明专利]用于执行计算机程序的机制

说明书

技术领域

本发明涉及用于执行计算机程序的机制，诸如方法、设备或程序产品，例如是操作系统或操作系统的扩展。在本文中，术语‘计算机程序’指的是在数据处理系统中所执行的程序，所述数据处理系统除通用计算机之外，可以是嵌入式系统，例如在具有可更新软件的移动站和电子设备中所见到的。

背景技术

信息技术中的一个主要问题是对付那些对数据系统和网络有害的程序，这些程序的例子包括病毒、蠕虫和特洛伊木马。它们入侵数据系统造成对数据系统本身和/或与其相连的其它数据系统的各种损害。在本申请的范围内，造成或能够造成损害的程序或程序段通常被称作恶意程序。

用于防止恶意程序的主要手段是借助于保护机制来识别恶意程序。这种预防机制例如包括防火墙和病毒扫描。一旦识别例如新病毒之类的新恶意程序，那么获取其代表性样品(位串)，并且添加到该保护机制的供应商数据库中，用户能够由此更新他们的预防机制。然而，如本领域技术人员所知，这种技术由于若干原因而并非是无懈可击的。例如一个特别的问题是恶意程序能够隐藏在表面上无害的程序内并且在很长时间之后才被激活。

发明内容

从而本发明的目的是依照能够解决上述问题的方式来提供一种保护机制。利用方法、数据处理系统和软件(操作系统或其扩展)来实现本发明的目的，其特征在于独立权利要求中所声明的内容。在从属权利要求中描述了优选实施例。

本发明基于这样的思想，当前的这种程序保护是不够的，因当前的程序保护是基于对用户分配特权的管理。在本文中，用于管理用户特权的计算机或操作系统的一部分被称作第一特权管理器或用户特权管理器。依照本发明，计算机或操作系统还包括第二管理器，即应用特权管理器，它被安排来对这样的情况做出反应，其中应用(application)经由应用编程接口(API)发送请求，用于从操作系统请求预定的系统服务。

从安全观点来看，优选，对这些涉及应用特权管理器要对其做出反应的请求，系统服务的集合应该尽可能宽。默认情况下，优选许可应用只能读访问该应用从其启动的文件，并且访问计算机的用户接口(显示器、键盘并且可能是指示设备)。当应用请求一些它默认情况下自动没有访问权的系统服务时，依照本发明的计算机或操作系统向所述计算机的用户展示对话，请求接受给定的应用只能请求给定系统服务的事实。

正常用户有权使用系统管理员已经许可访问权的应用和文件。可以限制性地允许使用或完全禁止使用因特网。系统管理员是一种用户，他有权定义与给定计算机、计算机的一部分或一组计算机相关联的特权以及在数据网络和/或系统中的特权。系统管理员还获得关于禁止功能的消息。可以存在具有不同特权的几个系统管理员。某些规定的改变可以要求一种建议或接受过程，要求这几个不同的人来做这种改变。

在最低级别，系统管理员的任务包括在组内添加和删除新用户、以及设置属于该组的目录和文件的特权(可能需要其它管理员的接受)。利用最高特权，系统管理员能够安装和更新与系统相关联的必需软件，这可以包括监视系统内核和系统连接。文件约束的非技术性分配者是特定的系统管理员，能够确定在网络之内文件公开性和转移特权以及对网络之外的文件公开性。

依照本发明，可以在数据系统中确定对不同文件的针对特定应用的特权。默认时，可以应用最小特权组，应用除了可以对该应用从中启动的文件进行读(read)访问之外，不能对各文件进行其它的访问。必须分别把其它特权添加给该应用。

还可以限制或完全禁止应用使用外围设备或通信连接(局域网、因特网等)的权利。这种约束可以覆盖整个外围设备或通信连接类型(例如因特网的所有使用)或只覆盖一种具体方式(因特网中的特定协议、网关和/或方向)。还可以当禁止其它功能时对于所述程序被允许的功能确定特权。例如，当禁止其它功能时，可以允许Telnet程序的Telnet会话。也可以限制目的地，因此至内部网络中的连接是不受限制的，但是不能访问外部网络。然而在某些情况中，对于除文件之外的其它资源，用户还可以向某个应用特别许可(诸如与文件处理修改的)一次性的访问权利。

如果应用具有连续的连接选项，那么优选应当尽可能地限制文件访问权利，以防止在没有用户许可的情况下的后台文件传输(background file transfer)。

把新的软件安装到计算机，既可以从可移动的存储介质来安装，或通过网络(从供应商的因特网页面或发布软件的其它位置)来加载软件。