BRPI0713470A2 - processo para delegação de privilégios a uma instáncia de privilégio inferior por uma instáncia de privilégio superior - Google Patents

processo para delegação de privilégios a uma instáncia de privilégio inferior por uma instáncia de privilégio superior Download PDF

Info

Publication number
BRPI0713470A2
BRPI0713470A2 BRPI0713470-3A BRPI0713470A BRPI0713470A2 BR PI0713470 A2 BRPI0713470 A2 BR PI0713470A2 BR PI0713470 A BRPI0713470 A BR PI0713470A BR PI0713470 A2 BRPI0713470 A2 BR PI0713470A2
Authority
BR
Brazil
Prior art keywords
instance
privileges
privilege
privilege instance
installation
Prior art date
Application number
BRPI0713470-3A
Other languages
English (en)
Inventor
Uwe Wilhelm
Katrin Jordan
Stefan Schroeder
Rainer Hillebrand
Original Assignee
T mobile int ag
Deutsche Telekom Ag
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by T mobile int ag, Deutsche Telekom Ag filed Critical T mobile int ag
Publication of BRPI0713470A2 publication Critical patent/BRPI0713470A2/pt

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/629Protecting access to data via a platform, e.g. using keys or access control rules to features or functions of an application
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Stored Programmes (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Abstract

PROCESSO PARA DELEGAçãO DE PRIVILéGIOS A UMA INSTáNCIA DE PRIVILéGIO INFERIOR POR UMA INSTáNCIA DE PRIVILéGIO SUPERIOR. A presente invenção refere-se a um processo para delegação de privilégios a uma instância de privilégio inferior por uma instância de privilégio superior, em que a instalação de privilégios, P1, para uma instância de privilégio inferior é executada automaticamente em um aparelho de processamento de dados, na medida em que o aparelho antes do fornecimento a um usuário ou por tele-transferéncia de dados é provido de funções para a instalação dos privilégios, para com auxílio de uma instância de privilégio superior, que é provida de privilégios especiais, P2, para concessão de privilégios, poder instalar privilégios, P1, para a instância de privilégio inferior.

Description

Relatório Descritivo da Patente de Invenção para "PROCESSO PARA DELEGAÇÃO DE PRIVILÉGIOS A UMA INSTÂNCIA DE PRIVILÉGIO INFERIOR POR UMA INSTÂNCIA DE PRIVILÉGIO SUPERIOR"
A presente invenção refere-se a conferir controladamente privi- légios a uma instância em um aparelho, como, por exemplo um terminal mó- vel, uma instância de privilégio superior, que possui o privilégio especial de conferir ela própria privilégios, instala os privilégios da instância de privilégio inferior no aparelho, Para tanto, usualmente é necessário que uma pessoa tenha um acesso físico a esse aparelho.
Um exemplo para um privilégio é o direito de acesso a uma fun- ção de um aparelho. Poder-se-ia verificar se uma instância possui o privilé- gio requerido, por exemplo por meio de uma assinatura criptográfica com a qual a instância é provida. Para tanto, por exemplo a uma função, como, por exemplo a leitura de uma lista de contatos, poderia ser associado ao apare- lho assim chamado certificado "Root" para "Code Signing". Quando a assina- tura pode ser verificada com sucesso com o certificado "Root", a instância recebe o privilégio de acessar a função se necessário.
Uma instância de privilégio superior poderia ser, por exemplo um software. Usualmente é empregado o seguinte processo:
Uma pessoa, por exemplo assim chamado administrador, coloca um aparelho em um estado, em que ele tem os privilégios necessários para a execução de um software, com o qual os privilégios para um software me- nos privilegiado podem ser instalados. Esse estado pode também ser desig- nado como assim chamado estado de administração.
Aquele que usa o software menos privilegiado usualmente não pode colocar o aparelho nesse estado de administração.
O software para a instalação dos privilégios é executado pelo administrador e os privilégios são instalados.
O administrador tira novamente o aparelho do estado de admi- nistração.
A desvantagem do processo usualmente empregado reside em que um administrador precisa ter acesso físico ao aparelho. O administrador caminha ou viaja para o local em que o aparelho se encontra ou o aparelho é trazido ao administrador. Em ambos os casos há custos: no primeiro caso, pelo tempo em que o administrador deixa de trabalhar no caminho para o aparelho, quer em meios de transporte como automóvel ou trem. No segun- do caso, pelo tempo que o aparelho não é usado ou leva no transporte. Em ambos os casos, além disso, resultam outros custos devido ao tempo de trabalho necessário para a instalação individual e administração. A isso a- crescem despesas com instrução, etc.
Essa problemática não deve ser confundida com a importação de um certificado Root adicional em um Browser, entre outros, pelo usuário. Este último não está vinculado a uma concessão de privilégios (autorização) a instâncias habilitadas. Ele permite apenas a autenticação de instâncias habilitadas.
O objetivo da invenção reside, portanto, em indicar um processo aperfeiçoado para a delegação de privilégios a uma instância de privilégio inferior por uma instância de privilégio superior.
Esse objetivo é alcançado, segundo a invenção, pelas caracte- rísticas da reivindicação 1, a cujo teor se remete nesse ponto.
Configurações preferidas e características vantajosas da inven- ção se depreendem das reivindicações dependentes, a cujo teor se remete nesse ponto.
Com a invenção deve ser conseguido, entre outros, reduzir o trabalho e assim os custos para a instalação de privilégios.
O processo segundo a invenção se baseia em que a instalação de privilégios em aparelhos pode ser executada automaticamente e sem in- tervenção de um administrador. Para tanto, antes do fornecimento ao propri- etário ou usuário o aparelho deve ter sido provido dos necessários privilé- gios, que são necessários para com uma instância mais privilegia, que é provida de privilégios especiais para a concessão de privilégios, se poder instalar privilégios para instâncias de privilégio inferior.
Para se instalar um privilégio em um aparelho, uma máquina ou pessoa a isso autorizada transmite uma instância de privilégio superior ao usuário do aparelho ou diretamente ao aparelho. No primeiro caso, o usuário instala a instância no aparelho. No segundo caso, por exemplo já quando do fornecimento do aparelho ao usuário está presente no aparelho ou pode ser transmitida ao aparelho através de uma interface aérea. A instância é levada à execução no aparelho com ou sem interação com o usuário. O aparelho pode, por exemplo verificar, com auxílio da assinatura criptográfica na ins- tância, se a instância está autorizada a instalar privilégios menores para ou- tras instâncias= Quando este é o caso, a instância tem acesso, por exemplo às funções especiais para instalação de privilégios. A instância, em seguida, instala os privilégios, sem que o usuário deva levar o aparelho a um outro estado. Depois de os privilégios terem sido instalados com sucesso, a ins- tância pode novamente ser removida do aparelho.
Em seguida, depois da instalação dos novos privilégios, instân- cias a eles autorizadas podem então reivindicar esses privilégios inferiores.
A figura 1 mostra um decurso preferido do processo segundo a invenção.

Claims (10)

1. Processo para delegação de privilégios a uma instância de privilégio inferior por uma instância de privilégio superior, em que a instala- ção de privilégios, P1, para uma instância de privilégio inferior é executada automaticamente em um aparelho de processamento de dados, na medida em que o aparelho antes do fornecimento a um usuário ou por tele- transferência de dados é provido de funções para a instalação dos privilé- gios, para com auxílio de uma instância de privilégio superior, que é provida de privilégios especiais, P2, para concessão de privilégios, poder instalar privilégios, P1, para a instância de privilégio inferior.
2. Processo, de acordo com a reivindicação 1, caracterizado pe- lo fato de que para a instalação dos privilégios, P1, para a instância de privi- légio inferior são executadas as seguintes etapas: - instalação da instância de privilégio superior no aparelho por uma máquina ou pessoa a isso autorizada, - execução da instância de privilégio superior no aparelho, - acesso às funções para instalação de privilégios, P1, pela ins- tância de privilégio superior, - instalação automatizada dos privilégios, P1, para a instância de privilégio inferior no aparelho pela instância de privilégio superior.
3. Processo, de acordo com uma das reivindicações 1 ou 2, ca- racterizado pelo fato de que a instância de privilégio superior é disponibiliza- da ao usuário e por ele instalada no aparelho.
4. Processo, de acordo com uma das reivindicações 1 ou 2, ca- racterizado pelo fato de que a instância de privilégio superior já está presen- te no aparelho quando do fornecimento do aparelho ao usuário ou é transmi- tida diretamente ao aparelho por uma interface aérea.
5. Processo, de acordo com uma das reivindicações 1 a 4, ca- racterizado pelo fato de que a instância de privilégio superior é executada automaticamente no aparelho.
6. Processo, de acordo com uma das reivindicações 1 a 4, ca- racterizado pelo fato de que a instância de privilégio superior é executada por uma interação com o usuário no aparelho.
7. Processo, de acordo com uma das reivindicações 1 a 6, ca- racterizado pelo fato de que, com base em uma assinatura criptográfica na instância de privilégio superior, o aparelho verifica se a instância de privilégio superior está autorizada a ter acesso às funções para instalação de privilé- gios, P1, e a instalar privilégios, P1, para uma instância de privilégio inferior.
8. Processo, de acordo com uma das reivindicações 1 a 7, ca- racterizado pelo fato de que a instância de privilégio superior é removida do aparelho, depois de os privilégios, P1, para a instância de privilégio inferior terem sido instalados com sucesso.
9. Aplicativo de software com um código de programa, que exe- cutado em um aparelho de processamento de dados realiza um processo como definido nas reivindicações 1 a 8.
10. Produto de programa de processamento de dados, que a- brange um aplicativo de software executável em um aparelho de processa- mento de dados para realização do processo como definido nas reivindica- ções 1 a 8.
BRPI0713470-3A 2006-06-27 2007-06-19 processo para delegação de privilégios a uma instáncia de privilégio inferior por uma instáncia de privilégio superior BRPI0713470A2 (pt)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102006029756.3 2006-06-27
DE102006029756A DE102006029756A1 (de) 2006-06-27 2006-06-27 Verfahren zum Delegieren von Privilegien an eine niedriger-priviligierte Instanz durch eine höher-priviligierte Instanz
PCT/EP2007/005364 WO2008000369A1 (de) 2006-06-27 2007-06-19 Verfahren zum delegieren von privilegien an eine niedriger-privilegierte instanz durch eine höher-privilegierte instanz

Publications (1)

Publication Number Publication Date
BRPI0713470A2 true BRPI0713470A2 (pt) 2012-01-24

Family

ID=38564403

Family Applications (1)

Application Number Title Priority Date Filing Date
BRPI0713470-3A BRPI0713470A2 (pt) 2006-06-27 2007-06-19 processo para delegação de privilégios a uma instáncia de privilégio inferior por uma instáncia de privilégio superior

Country Status (10)

Country Link
US (1) US20090165129A1 (pt)
EP (1) EP2038805B1 (pt)
JP (1) JP2009541874A (pt)
KR (1) KR101414173B1 (pt)
CN (1) CN101490692A (pt)
BR (1) BRPI0713470A2 (pt)
CA (1) CA2655927C (pt)
DE (1) DE102006029756A1 (pt)
RU (1) RU2422894C2 (pt)
WO (1) WO2008000369A1 (pt)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9043877B2 (en) * 2009-10-06 2015-05-26 International Business Machines Corporation Temporarily providing higher privileges for computing system to user identifier
US9276943B2 (en) * 2013-10-25 2016-03-01 International Business Machines Corporation Authorizing a change within a computer system
CN105809000A (zh) * 2016-03-07 2016-07-27 联想(北京)有限公司 一种信息处理方法及电子设备
CN109166200A (zh) * 2018-07-06 2019-01-08 捷德(中国)信息科技有限公司 授权方法、装置、系统、电子锁、数字钥匙和存储介质
CN116340900A (zh) * 2021-12-24 2023-06-27 华为终端有限公司 应用权限同步方法及相关设备

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5956505A (en) * 1991-12-24 1999-09-21 Pitney Bowes Inc. Remote activation of software features in a data processing device
US5473692A (en) * 1994-09-07 1995-12-05 Intel Corporation Roving software license for a hardware agent
DE50014708D1 (de) * 2000-03-30 2007-11-22 Siemens Ag Verfahren und System zur Freischaltung einer verschlüsselten Datei
US7035963B2 (en) 2000-12-27 2006-04-25 Intel Corporation Method for resolving address space conflicts between a virtual machine monitor and a guest operating system
JP2003202929A (ja) * 2002-01-08 2003-07-18 Ntt Docomo Inc 配信方法および配信システム
JP2003202930A (ja) * 2002-01-09 2003-07-18 Toshiba Corp 実行権限管理システム
JP2003241844A (ja) * 2002-02-15 2003-08-29 Yamatake Corp プログラム実装装置、装置立ち上げ方法および装置立ち上げプログラム
DE50207195D1 (de) * 2002-04-08 2006-07-27 Aladdin Knowledge Systems Deut Verfahren zur Aktualisierung und Lizenzierung von Computerprogrammen und Computer-System hierfür
US20030217126A1 (en) * 2002-05-14 2003-11-20 Polcha Andrew J. System and method for automatically configuring remote computer
GB0212314D0 (en) * 2002-05-28 2002-07-10 Symbian Ltd Secure mobile wireless device
TW561767B (en) * 2002-08-16 2003-11-11 Benq Corp Method for refreshing flash of a cellular phone
DE10302637A1 (de) * 2003-01-23 2004-07-29 Siemens Ag Verfahren zum Freischalten von Leistungsmerkmalen in Telekommunikationsendgeräten
US20040193917A1 (en) * 2003-03-26 2004-09-30 Drews Paul C Application programming interface to securely manage different execution environments
GB2400194A (en) * 2003-03-31 2004-10-06 Matsushita Electric Industrial Co Ltd Upgrading software in a consumer product
JP4537670B2 (ja) * 2003-07-01 2010-09-01 株式会社リコー 情報処理装置、インストール方法、インストールプログラム、バージョン情報管理装置及び認証情報管理装置
US7093032B2 (en) * 2003-10-28 2006-08-15 General Electric Company System and method for multi-vendor authentication to remotely activate a software-based option
EP1550931A1 (en) * 2003-12-31 2005-07-06 Neopost S.A. Unlocking of a locked functionality of a computer-controlled apparatus
US7475431B2 (en) * 2004-06-10 2009-01-06 International Business Machines Corporation Using security levels to improve permission checking performance and manageability
US7802250B2 (en) 2004-06-28 2010-09-21 Intel Corporation Support for transitioning to a virtual machine monitor based upon the privilege level of guest software
US8156488B2 (en) * 2004-10-20 2012-04-10 Nokia Corporation Terminal, method and computer program product for validating a software application

Also Published As

Publication number Publication date
EP2038805B1 (de) 2019-08-28
KR101414173B1 (ko) 2014-07-01
RU2009102506A (ru) 2010-08-10
KR20090057213A (ko) 2009-06-04
JP2009541874A (ja) 2009-11-26
CN101490692A (zh) 2009-07-22
DE102006029756A1 (de) 2008-01-03
EP2038805A1 (de) 2009-03-25
CA2655927C (en) 2015-01-13
WO2008000369A1 (de) 2008-01-03
US20090165129A1 (en) 2009-06-25
CA2655927A1 (en) 2008-01-03
RU2422894C2 (ru) 2011-06-27

Similar Documents

Publication Publication Date Title
US9967749B2 (en) Secure near field communication server information handling system support
US9819661B2 (en) Method of authorizing an operation to be performed on a targeted computing device
US9497221B2 (en) Mobile communication device and method of operating thereof
EP3275159B1 (en) Technologies for secure server access using a trusted license agent
BR0205665A (pt) Primeiro dispositivo previsto para troca de dados com um segundo dispositivo, método de autenticar um dispositivo remoto, e, produto programa de computador
EP3706019B1 (en) Hardware-enforced access protection
US20150086017A1 (en) Secure Near Field Communication Server Information Handling System Lock
US20150072726A1 (en) Mobile communication device and method of operating thereof
US20160191512A1 (en) Predictive user authentication
BRPI0713470A2 (pt) processo para delegação de privilégios a uma instáncia de privilégio inferior por uma instáncia de privilégio superior
BR0317870A (pt) Métodos e aparelho para gerenciar software seguro para um dispositivo sem fio
BR0314673A (pt) Método e sistema para distribuição segura de conteúdo entre dispositivos em uma rede, e, dispositivo central para administrar uma rede
JP2003122540A5 (pt)
MX2008016112A (es) Metodo y aparato para administracion segura de procesos de depuracion dentro de dispositivos de comunicacion.
BR0304267A (pt) Método e sistema para processar listas de revogação de certificado em um sistema de autorização
JP4469892B2 (ja) 車両内の制御機器の認証
TW200949603A (en) System and method for providing a system management command
RU2019114207A (ru) Защищенное управление ключами
WO2017220014A1 (zh) 系统权限管理方法、装置及智能终端
KR20220042992A (ko) 애플릿 패키지 전송 방법, 장치, 전자 기기, 컴퓨터 판독 가능 매체 및 컴퓨터 프로그램
CN103106373B (zh) 一种可信计算芯片及可信计算系统
US20090048691A1 (en) Embedded building conroller with stored software license information
CN112115421A (zh) 正当性确认设备
JP6343928B2 (ja) 携帯端末、認証システム、認証方法、および、認証プログラム
KR20130085544A (ko) 어플리케이션 서명 인증서를 이용한 어플리케이션 제어 장치 및 방법

Legal Events

Date Code Title Description
B15K Others concerning applications: alteration of classification

Ipc: G06F 21/62 (2013.01)

B08F Application dismissed because of non-payment of annual fees [chapter 8.6 patent gazette]
B08K Patent lapsed as no evidence of payment of the annual fee has been furnished to inpi [chapter 8.11 patent gazette]