[发明专利]修改计算机程序的方法、计算机系统和计算机可读介质

说明书

修改计算机程序的方法、计算机系统和计算机可读介质。一种计算机系统具有系统存储器并允许该系统上的目标程序被以受信方式修改。该系统包括白名单管理代理WMA模块，该WMA模块接收已对目标程序执行更新操作导致生成并在与该计算机系统相关联的存储装置上存储该目标程序的修改后的版本的通知。WMA模块在接收到通知时测量程序并将测量结果与包含在程序白名单中的预先存储的值进行比较来判定加载到系统存储器中的程序是否处于受信状态。如果判定是肯定的，则WMA模块生成目标计算机程序的修改后的版本的散列码，并且将所生成的散列码作为目标程序的新的受信散列码存储在程序白名单中，以允许对处于受信状态的目标程序的修改后的版本的随后验证。

技术领域

本发明涉及用于修改计算机程序的方法和装置，尤其是为了允许以受信方式进行程序更新，该受信方式与诸如由受信计算组织推进的“受信计算(Trusted Computing)”方法兼容。由Eimar Gallery等于2007年8月18日在Foundations of Security Analysis andDesign IV刊登的论文“Trusted Mobile Platforms”：[LECTURE NOTES IN COMPUTERSCIENCE]，Springer Berlin Heidelberg，Berlin，Heidelberg，第282-323页，XP019099702，ISBN：978-3-540-74809-0中提供了受信计算技术的概述并考虑了该技术在移动装置中的可能应用，以及可以如何使用受信计算技术来支持这些装置，尤其关注三个移动应用，即OMA DRM、SIMLOCK和软件下载。

背景技术

受信计算的一个重要方面是确保在计算机上运行的软件不会被从一个已知(或者至少被相信)是安全的版本修改。这样做的原因是，恶意软件经常通过修改现有的应用(例如，可执行文件)来采取动作，并且每当执行修改后的应用时就会执行恶意动作(这种修改或者可以是完全替换合法代码，或者除了合法代码外代码中的一些的部分替换)。为了检测驻留在计算机上的应用是否已被修改，当所有程序处于它们被信任是干净的状态(即，没有任何恶意软件代码以任何方式并入该应用)时，受信平台模块(TPM)存储所有程序的散列，这通常可以是在它们首次被加载到系统上时。如果这些应用中的一个随后被恶意软件感染，则它必然将被修改，并且根据修改后的程序生成的散列将不再与所存储的散列匹配。

鉴于上述情况，TPM检测潜在可疑修改的已知策略是针对各个程序(例如，可执行应用、可执行文件、函数库、组件等)每当该程序被启动时生成新的散列值，并且将该散列值与假定与该程序对应的预先存储的散列值(存储在受信程序的安全散列值的“白名单”中)进行比较。如果散列值不匹配，则TPM断定该软件已经从受信版本被修改，并且因此，有可能是不安全的，于是计算机(系统)可以采取适当的动作(例如，该计算机(系统)可以阻止该程序运行或者阻止该程序访问某些资源-诸如，外部网络访问或对存储设备的写入访问等)。

上述策略的难点在于处理对程序的合法修改(例如，以更新复杂的应用)。用于解决针对合法应用(不时地)对自身进行更新的需求的一种已知的现有技术方法是提供针对(许多不同“版本”的)应用的可接受的散列的大型综合性“白名单库”。这样的库应当由受信的第三方来提供和维护。如果程序被更新成新的版本(例如，从版本5.2到版本5.3或到版本6.0等)，则TPM可以生成针对更新后的程序的散列码，并且然后将所生成的散列码与包含由受信的第三方维护的合法应用的所有可接受的散列码的综合库进行比较。只有当所生成的散列码能够在白名单库中被找到时，才将修改后的应用视为受信的。

EP1887731描述了上述标准方法的一种变型，其中程序被划分成各自具有与其自身相关联的散列的较小的块。当程序需要被更新时，只下载改变的数据块并替换相应的现有的块。然后，对每个块进行散列化，并且将本地生成的散列以正常方式与来自远程受信服务器的散列进行比较。