[发明专利]防篡改的位置服务

权利要求书

1.一种基于位置信息来设置对资源的访问许可的计算机实现的方法，所述方法包括：

接收更新对所标识的资源的许可以便包括基于位置的许可信息的许可更新请求(210)；

定位所述所标识的资源(220)；

定位与所述所标识的资源相关联的访问控制信息(230)；

从伴随所述请求的所述基于位置的许可信息确定一个或多个被允许的动作(240)；

更新所定位的访问控制信息以包括被允许的基于位置的动作(250)；以及

存储与所述所标识的资源相关联的已更新的访问控制信息(260)，使得随后的访问所述所标识的资源的尝试将受到指定的基于位置的访问信息的限制，

其中，前面的各步骤由至少一个处理器来执行。

2.如权利要求1所述的方法，其特征在于，所标识的资源是由操作系统管理的包括相关联的安全信息的对象，包括至少一个访问控制列表(ACL)或访问控制入口(ACE)。

3.如权利要求1所述的方法，其特征在于，接收所述许可更新请求包括通过操作系统应用编程接口(API)从应用接收所述请求。

4.如权利要求1所述的方法，其特征在于，接收所述许可更新请求包括接收由路径标识所述资源的信息，以及接收包括地理位置作为至少一个访问准则的访问控制信息。

5.如权利要求1所述的方法，其特征在于，定位所述所标识的资源包括访问磁盘上、配置数据库内、或配置目录内的所述资源，以及访问与所述资源相关联的有关访问控制元数据。

6.如权利要求1所述的方法，其特征在于，定位所述访问控制信息包括调用操作系统应用编程接口(API)以便导航和/或修改包括基于位置的信息的访问控制信息。

7.如权利要求1所述的方法，其特征在于，确定一个或多个被允许的动作包括基于所述资源存储在其上的计算设备的地理位置，确定所述资源是否可被读、写、或包括在列表中。

8.如权利要求1所述的方法，其特征在于，确定一个或多个被允许的动作包括基于地理区域的一个或多个指定边界，确定所述地理区域。

9.如权利要求1所述的方法，其特征在于，更新所述访问控制信息包括添加分层的访问控制条目(ACE)，所述访问控制条目指示了许可与所述所标识的资源有关的指定动作的地理区域。

10.如权利要求1所述的方法，其特征在于，更新所述访问控制信息包括对基于位置的访问控制信息与非基于位置的访问控制信息进行组合，以指示访问所述所标识的资源的一个或多个准则。

11.一种向软件应用提供防篡改的位置服务的计算机系统，所述系统包括：

位置硬件组件(110)，提供指示所述系统的当前地理位置的硬件信号；

硬件安全组件(120)，提供对运行在所述系统上的软件代码的可信计算保证；

被配置成执行包含在以下组件内的软件指令的处理器和存储器；

内核位置提供者(130)，提供从操作系统内核到使用位置信息的用户模式服务和应用的接口；

位置认证组件(140)，用来自所述位置硬件组件和所述硬件安全组件的信息来获取指示所述计算机系统的当前位置的证书；

位置审计组件(150)，存储与所述计算机系统相关联的安全位置信息的审计踪迹；以及

位置验证组件(160)，向所述内核位置提供者请求位置信息，并且基于已接收的位置信息来执行一个或多个动作。

12.如权利要求11所述的系统，其特征在于，所述位置硬件组件包括接收GPS信号并确定所述系统的位置的全球定位系统(GPS)硬件设备。

13.如权利要求11所述的系统，其特征在于，所述硬件安全组件包括提供与计算设备的安全性有关的可密码验证的权威信息的受信平台模块(TPM)。

14.如权利要求11所述的系统，其特征在于，所述硬件安全组件和位置硬件经由用于通信的安全通道而连接。

15.如权利要求11所述的系统，其特征在于，所述硬件安全组件对与所述位置硬件组件相关联的软件驱动程序的认证信息进行验证，以创建从所述位置硬件组件到所述操作系统的安全信任链。