用于经由面向方面编程来增强移动安全的系统和方法技术方案

此处描述的系统和方法涉及在移动装置上增强安全。用于增强移动装置安全的方法包括由面向方面编程向进程代码施加安全策略。

【技术实现步骤摘要】
【国外来华专利技术】相关申请的交叉引用本申请要求于2013年7月26日提交的、美国申请序列号13/951,689的优先权，其内容通过引用方式并入本申请中。背景
本专利技术涉及移动装置安全，更具体而言，涉及经由面向方面编程技术来增强移动安全。现有技术的描述与当前装置、尤其是移动装置的软件和数据相关安全依赖于包括虚拟机、进程间通信、封装管理器、移动装置管理系统、触摸屏软件组件、共用存储器、关系数据库、装置构造签名检查、专用调试界面(比如安卓调试桥(AndroidDebugBridge)等)、受信守护程序等的多种特征。在示例中，Android移动装置在进程间通信上使用校验来确定应用是否应该获得访问特定系统资源、比如用户接触列表。虚拟机安全校验、比如确定具体的本地库是否被加载也被使用。现有移动安全解决方案的挑战在于：它们需要对应用编程接口、系统库(systemlibrary)或操作系统进行修改以增强安全策略。例如，为了限制访问无线网络或数据的剪切或粘贴，涉及这些特征的API必须被修改以允许安全策略来改变它们的行为。为了快速研发移动系统，修改平台的API来支持安全特征以及保持它们需要实质上的努力。存在针对改善的安全方法和系统的需求，其中该方法和系统提供其中所需要的强力安全，以及允许将宽范围的应用部署在移动装置上，包括由不包含在研发或部署应用或操作系统部件中的多方所研发的应用。
技术实现思路
此处描述的方法和系统可以设置为通过将安全策略施加到现有应用(包括但不限于操作系统)来更新和增强在移动装置上的现有代码的安全。这种安全可以通过使用面向方面编程的方法和技术、利用一层或多层安全包装现有代码来实现，并且无需修改现有代码的现有内部逻辑。在实施例中，用于增强移动装置安全的方法包括：提供执行在所述移动装置的处理器上的安全策略代码；由面向方面编程来修改进程代码以允许所述安全策略代码控制对被修改的进程代码的访问；并且由所述安全策略代码将安全策略施加到被修改的进程代码。在实施例中，一种用于增强移动装置安全的系统，包括：处理器，其能够提供移动装置的上下文、策略引擎、至少一个第一进程，其中，所述第一进程用至少一个API来执行进程代码，和至少一个第二进程，所述第二进程用至少一个API来执行进程代码并且所述第二进程具有经由面向对象编程施加至其的至少一个安全策略，其中所述面向对象编程被施加至所述第二进程的进程代码以修改所述代码从而允许所述至少一个安全策略被施加。至少第一进程间通信机制和第二进程间通信机制能够与所述策略引擎、第一进程和第二进程通信，其中，所述第一进程间通信机制能够与所述策略引擎和第二进程通信；并且所述第二进程间通信机制能够与所述第一进程间通信机制和第一进程通信。在实施例中，用于对移动装置的特权访问实施访问控制的方法可以包括获得由执行在计算机上以用于特权代码的执行的至少一个应用作出的请求；经由进程间通信机制将该请求指引至执行在计算机处理器上的特权代码服务；由所述特权代码服务确定该应用是否被允许执行代码；并且当确定该应用被允许执行特权代码时允许所述特权代码的执行。在实施例中，移动装置可以是移动电话、平板电脑、便携式电脑和智能手机等其中的一个。在实施例中，进程间通信机制可以包括进程间通信总线和至少两个进程间通信控制器。在实施例中，是否至少一个应用被允许执行特权代码的确定结果可以基于至少一个应用、移动装置用户的身份、一天的时间、移动装置的位置以及移动装置的构造中的一个或多个。在实施例中，方法可以包括经由进程间通信机制将特权代码服务的确定结果返回至系统控制器。在实施例中，允许特权代码的执行可以包括由系统控制器来允许特权代码的执行。在实施例中，方法可以包括记录特权代码服务的确定结果、有关应用请求的信息、用在作出确定结果的条件以及由此引起的动作中的一个或多个。在实施例中，处理器可以驻留在移动手机上并且可以适于起到手机是否处于越狱状态的作用。在实施例中，用于对移动装置的特权访问实施访问控制策略的系统可以包括进程间通信总线；用于由应用、进程间通信总线和应用来控制特权代码的执行的至少一个进程间通信控制器；适于提供特权代码服务的至少一个处理器，其中所述特权代码服务能够至少部分地基于该应用来确定出该特权代码是否可以被执行；以及第二进程间通信控制器，其能够与进程间通信总线和特权代码服务进行通信。在实施例中，应该用可以选自于包括游戏、共用程序、电话应用、网络浏览器、音乐播放器、工具和操作系统的组。在实施例中，系统可以包括进程间通信防火墙，以用于增强管理了与应用的通信的一个或多个规则。在实施例中，第一进程间通信控制器可以适于与一个或多个进程间通信防火墙进行通信。在实施例中，进程间通信防火墙可以是面向对象防火墙。在实施例中，至少一个处理器可以适于在移动装置上提供多个进程间通信防火墙。通过以下优选实施例和附图的详细描述，本专利技术的这些或其他系统、方法、对象、特征以及益处对于本领域技术人员是显而易见的。此处涉及的所有文献通过引入方式并入本文本中。说明书附图在无需按比例绘制的附图中，贯穿多个附图，相同标记可以描述实质上相似的组件。具有不同字母下标的相同标记可以表示实质上相似组件的不同实例。借由示例而非限制的方式，附图大体上示出了本发文献中所讨论的特定实施例的详细描述。图1描绘了用于对装置进行保护的方法和系统。图2描绘了具有策略引擎的系统。图3描绘了用于确定应用之间的数据传输是否可以被允许的方法。图4描绘了用于确定系统调用是否出现的方法。图5描绘了具有多个对象防火墙的系统。图6描绘了包括虚拟机和策略引擎的移动计算系统。图7描绘了与虚拟机通信以控制本地库使用的策略引擎。图8描绘了用于多种移动装置软件特征的受信区域的使用。图9描绘了将移动装置IPC总线虚拟延伸到受信区域中。图10描绘了用于经由面向方面编程的移动安全的系统和方法。图11描绘了用于与装置相关联的动态同步的系统。图12描绘了用于提供用户位置和识别的系统。具体实施方式此处公开了本专利技术的详细实施例；然而，应该理解的是，公开的实施例仅是本专利技术示例性的实施例，其可以以多种方式进行组合。因此，此处公开的具体结构和功能细节并不被解释为是限制性的，而仅是用于教导本领域技术人员在想象的任意合适的详细结构中来多样性地实施本专利技术的代表性基础。本文档来自技高网...

【技术保护点】
一种用于增强移动装置安全的方法，所述方法包括：提供在所述移动装置的处理器上执行的安全策略代码；由面向方面编程来修改进程代码以许可所述安全策略代码控制对被修改的进程代码的访问；并且由所述安全策略代码将安全策略施加到被修改的进程代码。

【技术特征摘要】
【国外来华专利技术】2013.07.26 US 13/951,6891.一种用于增强移动装置安全的方法，所述方法包括：提供在所述移动装
置的处理器上执行的安全策略代码；由面向方面编程来修改进程代码以许可所
述安全策略代码控制对被修改的进程代码的访问；并且由所述安全策略代码将
安全策略施加到被修改的进程代码。
2.根据权利要求1所述的方法，其中，在处理器上执行的所述安全策略代
码为多线程安全策略代码。
3.根据权利要求1所述的方法，其中，所述被修改的进程代码是：应用编
程接口、系统库和操作系统中的至少一个。
4.根据权利要求1所述的方法，其中，所述被修改的进程代码包括在所述
移动装置的至少一个进程上执行的多个被修改的进程代码。
5.根据权利要求1所述的方法，其中，将安全策略施加到被修改的进程代
码包括：使用进程间通信将所述安全策略分布至所述被修改的进程代码。
6.根据权利要求1所述的方法，其中，将安全策略施加到被修改的进程代
码包括：将面向方面的安全技术施加到与所述被修改的进程代码相关的方法、
功能和服务中的至少一个的安全调用。
7.根据权利要求1所述的方法，其中，修改进程代码包括：修改对象类来
在面向对象的方法执行之前、之后以及其间的一个或多个中调用代码的特定段。
8.根据权利要求1所述的方法，其中，修改进程代码包括以下一个或多个：
Java动态代理；施加到方法、服务、系统或其他函数调用中的一个或多个的拦
截器；将类别加载到虚拟机中以改变它们默认行为的修改；二进制代码补丁；
以及对方法调度表进行的以改变用于特定函数或方法的代码执行的修改。
9.根据权利要求1所述的方法，其中，将安全策略施加到被修改的进程代
码包括：使用上下文信息来改变如何施加所述安全策略。
10.根据权利要求9所述的方法，其中，所述上下文信息包括以下一个或
多个：地理信息、加速计信息、相机信息、麦克风信息、无线网络信息、应用
使用信息、用户交互信息、运行进程信息、...

【专利技术属性】
技术研发人员：克里斯多夫·迈克尔·汤普森，克里斯多夫·朱尔斯·怀特，
申请(专利权)人：奥普帝奥实验室有限公司，
类型：发明
国别省市：美国;US