[发明专利]用于计算设备的安全模型的方法和系统

说明书

本申请是申请日为2005年2月8日、申请号为200580012263.3、发 明名称为“用于计算设备的安全模型的方法和系统”的申请的分案申请。

优先权要求

本申请要求于2004年2月9日提交的美国临时专利申请 60/543,108的优先权，该申请的内容在此引入作为参考。

相关申请

本申请涉及以下申请：(1)代理卷号4001.Palm.PSI，题为“A System and Method of Format Negotiation in a Computing Device”； (2)代理卷号4002.Palm.PSI，题为“A System and Graphics Subsystem for a Computing Device”；以及(3)代理卷号 4004.Palm.PSI，题为“A System and Method of Managing Connection with a Available Network”，以上的每一个申请与本申请同一天提交， 将每个申请的内容在此引入作为参考。

技术领域

本发明一般涉及一种操作系统软件。更具体地说，本发明涉及一 种在计算设备的图形子系统中实现安全模型及其实施的软件。

背景技术

图形子系统和操作系统通常允许外部应用和插入式部件在它们 的环境中运行，其中所述外部应用和插入式部件通常由第三方开发者 (诸如应用程序员)和其它不完全可信赖的来源所制作。这通常提高 了对于本系统的安全关注。如果第三方部件制造得较差，从而具有严 重的缺陷，则在操作系统环境内运行所述第三方部件会引起严重或致 命的错误状态。如果第三方部件是恶意的(诸如病毒)，则它会企图 窃取敏感数据或执行破坏性操作。一些操作系统无法实施保护以不受 编写较差或恶意的代码的危害，所以，当运行代码时，所述操作系统 盲目地“信任”所述代码是编写良好并且无危害的。

然而，优选的是，原本的系统会预防外部缺陷或恶意代码损害或 渗入所述系统。许多现代系统采用将进程用作保护单元的做法；例如， 如应用程序的第三方部件可各自在它们自己的进程中运行。在所述模 型中，允许代码在它自己的进程内做任何它想做的事情，但是进程之 间的边界在硬件级别实施。由系统向每个进程提供特定的一组许可， 以访问所述进程外部的服务，将在每个进程内运行的代码限制于所述 进程被准予许可的那些外部操作。在超过一定级别的复杂程度的操作 系统中，这种将进程用作保护单元的处理可以说是几乎普遍存在的。

将进程用作保护单元来实现足够的安全措施需要用于将代码和 部件划分到进程中的策略和相关方法，以及用于向所述进程准予许可 的策略和相关方法。

用于将代码划分到进程中的策略和方法很重要，这是因为所述策 略在可由系统控制和操作的部件之间建立边界。如果部件A和部件B 在相同的进程中，则无法保证系统能够向每一部件提供保护，以保证 它不受另一部件中的缺陷或恶意内容的危害。例如，部件A中的代码 可访问部件B中的代码或数据，同时访问部件B的敏感数据。类似地， 如果部件B请求并获得对于外部资源C的访问，则系统实际上将对所 述资源的访问给予在与部件B相同的进程中运行的所有代码。然而， 如果部件A和部件B在不同的进程中运行，则系统能够可靠地保护其 中一个部件的代码和数据不受另一部件中的缺陷或恶意代码的危害， 并且能够可靠地将许可准予所述部件中的一个部件，而不把它准予另 一个部件。