Способ предоставления привилегий низкопривилегированной инстанции высокопривилегированной инстанцией


 


Владельцы патента RU 2422894:

Т-МОБИЛЕ ИНТЕРНАЦИОНАЛЬ АГ (DE)
ДОЙЧЕ ТЕЛЕКОМ АГ (DE)

Изобретение относится к компьютерному администрированию, а именно к способу предоставления привилегий. Техническим результатом является расширение функциональных возможностей за счет упрощения предоставления привилегий. Для достижения технического результата реализован способ предоставления привилегий низкопривилегированной инстанции высокопривилегированной инстанцией. Ввод привилегий для низкопривилегированной инстанции в обрабатывающий данные прибор осуществляют автоматически за счет того, что прибор перед доставкой пользователю или через радиоинтерфейс снабжают функциями для установки привилегий. При этом прибор с помощью криптографической сигнатуры проверяет, уполномочена ли высокопривилегированная инстанция на доступ к функциям для установки привилегий и на установку привилегий для низкопривилегированной инстанции. Для установки привилегий вводят высокопривилегированную инстанцию в прибор уполномоченной на это машиной или лицом. Далее выполняют высокопривилегированную инстанцию в приборе. Осуществляют доступ ко всем функциям для установки привилегий высокопривилегированной инстанцией. Затем осуществляют автоматическую установку привилегий для низкопривилегированной инстанции в приборе. 5 з.п. ф-лы. 1 ил.

 

Чтобы контролируемым образом предоставлять привилегии инстанции в приборе, например мобильном терминале, высокопривилегированная инстанция, обладающая особой привилегией самой предоставлять привилегии, устанавливает в приборе привилегии низкопривилегированной инстанции. Для этого обычно необходимо, чтобы человек имел физический доступ к такому прибору.

Примером привилегии является право доступа к функции прибора. Обладает ли инстанция требуемой привилегией, можно идентифицировать, например, с помощью криптографической сигнатуры, которой снабжена инстанция. Для этого функции в приборе, например чтению списка контактов, можно присвоить так называемый корневой сертификат для цифровой подписи. Если сигнатура в инстанции успешно идентифицирована, то инстанция получает привилегию доступа, при необходимости, к функции.

Высокопривилегированной инстанцией может быть, например, программное обеспечение.

Обычно применяется следующий метод.

Человек, например, так называемый администратор, приводит прибор в состояние, в котором он имеет необходимые привилегии для выполнения программного обеспечения, с чьей помощью могут устанавливаться привилегии для низкопривилегированного программного обеспечения. Это состояние можно обозначить как состояние администрирования. Человек, использующий низкопривилегированное программное обеспечение, обычно не может привести прибор в это высокопривилегированное состояние. Программное обеспечение для установки привилегий выполняется администратором, и привилегии устанавливаются. Администратор снова выводит прибор из состояния администрирования.

Недостаток обычно применяемого метода состоит в том, что администратору требуется физический доступ к прибору. Либо администратор идет или едет к месту, где находится прибор, либо прибор доставляется администратору. В обоих случаях возникают расходы. В первом случае из-за времени, в течение которого администратор по пути к прибору не может работать, или из-за транспортных средств, таких как автомобиль или поезд. Во втором случае - из-за простоя или транспортировки прибора. В обоих случаях возникают к тому же дополнительные расходы из-за рабочего времени, необходимого для индивидуальной установки и администрирования. К ним относятся затраты на обучение и т.д.

Эту проблему не следует путать с импортом дополнительного корневого сертификата в браузер и т.п. пользователем. Последнее не связано с предоставлением привилегий (авторизация) подписавшимся инстанциям. Это позволяет лишь аутентифицировать подписавшиеся инстанции.

В ЕР 1353259 А1 раскрыт способ эксплуатации компьютерной системы, при котором в ней устанавливается главный модуль программы, и записываются данные главного модуля и/или дополнительного модуля программы, причем записанные данные модуля содержат лицензионную часть, которая требуется для установления наличия права пользования главным и/или дополнительным модулем, и предпочтительно еще информационную часть. Записанные данные модуля обрабатываются для приобретения дополнительного права пользования дополнительным модулем или другим дополнительным модулем, и информация о приобретении права пользования предоставляется в зависимости от результата обработки.

Задачей изобретения является усовершенствование способа предоставления привилегий низкопривилегированной инстанции высокопривилегированной инстанцией.

Эта задача решается согласно изобретению посредством признаков п.1 формулы, на содержание которого здесь дана ссылка.

Предпочтительные варианты осуществления и предпочтительные признаки изобретения приведены в зависимых пунктах формулы, на содержание которых здесь дана ссылка.

Благодаря изобретению должно достигаться, в том числе, снижение затрат и, тем самым, сокращение расходов на установку привилегий.

Предложенный способ основан на том, что ввод привилегий в приборы может быть автоматизирован и осуществлен без вмешательства администратора. Для этого прибор перед доставкой владельцу или пользователю должен быть снабжен требуемыми привилегиями, которые необходимы для того, чтобы с помощью высокопривилегированной инстанции, снабженной особыми привилегиями предоставления привилегий, установить привилегии низкопривилегированным инстанциям.

Чтобы установить в приборе привилегию, уполномоченная на это машина или лицо направляет высокопривилегированную инстанцию пользователю прибора или непосредственно на прибор. В первом случае пользователь устанавливает инстанцию в приборе. Во втором случае инстанция может быть установлена в приборе, например, уже при его доставке пользователю или может передаваться на прибор через воздушный интерфейс. Инстанция устанавливается в приборе при взаимодействии с пользователем или без него. Прибор, например с помощью криптографической сигнатуры в инстанции, может проверить, уполномочена ли инстанция на установку более низких привилегий для других инстанций. Если да, то инстанция получает, например, доступ к специальным функциям для установки привилегий. Затем инстанция устанавливает привилегии без необходимости приведения прибора пользователем в другое состояние. После успешной установки привилегий инстанция может быть снова удалена из прибора.

После установки новых привилегий уполномоченные на это инстанции могут обращаться к этим более низким привилегиям.

На чертеже изображен предпочтительный вариант способа.

1. Способ предоставления привилегий низкопривилегированной инстанции высокопривилегированной инстанцией, при котором ввод привилегий для низкопривилегированной инстанции в обрабатывающий данные прибор осуществляют автоматически за счет того, что прибор перед доставкой пользователю или через радиоинтерфейс снабжают функциями для установки привилегий, чтобы с помощью высокопривилегированной инстанции, обладающей особыми привилегиями для предоставления привилегий низкопривилегированным инстанциям, установить привилегии для низкопривилегированной инстанции, при этом прибор с помощью криптографической сигнатуры в высокопривилегированной инстанции проверяет, уполномочена ли высокопривилегированная инстанция на доступ к функциям для установки привилегий для низкопривилегированной инстанции и на установку привилегий для низкопривилегированной инстанции, отличающийся тем, что для установки привилегий для низкопривилегированной инстанции осуществляют следующие операции:
- ввод высокопривилегированной инстанции в прибор уполномоченной на это машиной или лицом;
- выполнение высокопривилегированной инстанции в приборе;
доступ ко всем функциям для установки привилегий для низкопривилегированной инстанции высокопривилегированной инстанцией;
- автоматическую установку привилегий для низкопривилегированной инстанции в приборе высокопривилегированной инстанцией.

2. Способ по п.1, отличающийся тем, что высокопривилегированную инстанцию предоставляют в распоряжение пользователю, и пользователь устанавливает ее в прибор.

3. Способ по п.1, отличающийся тем, что высокопривилегированная инстанция имеется в приборе уже перед его доставкой пользователю или ее передают через радиоинтерфейс непосредственно на прибор.

4. Способ по п.1, отличающийся тем, что высокопривилегированную инстанцию выполняют в приборе автоматически.

5. Способ по п.1, отличающийся тем, что высокопривилегированную инстанцию выполняют в приборе за счет взаимодействия с пользователем.

6. Способ по п.1, отличающийся тем, что высокопривилегированную инстанцию удаляют из прибора после успешной установки привилегий для низкопривилегированной инстанции.



 

Похожие патенты:

Изобретение относится к способам импортирования, управления и размещения драйверов. .

Изобретение относится к объектно-ориентированному программированию, а более конкретно к формированию отношений между программными элементами. .

Изобретение относится к области процессоров, более конкретно к способу улучшения прогнозирования ветвлений посредством проактивного управления содержимым КЭШа адресов ветвлений.

Изобретение относится к обеспечению возможности применения команды изменения графического окна для дистанционно сгенерированного графического окна. .

Изобретение относится к области вычислительной техники, а именно к системам и способам планирования активных заданий в операционной системе, и может применяться в цифровых вычислительных машинах, в которых несколько заданий предназначены для выполнения одним или более процессором, в многозадачных операционных системах (ОС) со статическим назначением приоритетов в политике планирования, таких как ОС Linux.

Изобретение относится к системам и методам сравнения файлов и более конкретно к отнесению данного файла к определенной коллекции в зависимости от степени схожести.

Изобретение относится к области создания заданий обработки данных конечным пользователем. .

Изобретение относится к области создания заданий обработки данных конечным пользователем. .

Изобретение относится к области технологии сетевых коммуникаций и, в частности, к способу шифрованного доступа по протоколу защищенной пересылки гипертекста (HTTPS), системе и устройству для его осуществления.

Изобретение относится к области электросвязи и вычислительной техники, а точнее к области способов защиты информации в компьютерных системах и сетях. .

Изобретение относится к области использования цифрового контента на основе цифровых лицензий. .

Изобретение относится к области использования цифрового контента на основе цифровых лицензий. .

Изобретение относится к защите систем унифицированного хранилища. .

Изобретение относится к области систем защиты контента. .

Изобретение относится к компьютерным системам, имеющим защищенные сетевые службы. .

Изобретение относится к управлению информацией/событиями безопасности, в частности к эффективному хранению информации/событий безопасности с поддержкой запроса
Наверх