[发明专利]在计算机上的应用之间建立信任

说明书

公开了用于提供安全服务的系统、方法和机器可读介质。所述方法包括接收应用对象代码的修改，以允许软件应用发送对安全服务的请求；从存储器检索对应于软件应用的修改后的应用对象代码；经由处理器从修改后的应用对象代码接收对安全服务的请求；并且经由处理器提供安全服务。公开了根据所述方法执行操作的系统和机器可读介质。

对相关申请的交叉引用

本申请要求于2014年3月14日提交的美国专利申请No.14/213,244的权益并且是其继续申请，而申请14/213,244是于2013年3月15日提交的美国专利申请No.13/841,498的部分继续申请，这两个申请的全部内容通过引用被结合于此，用于所有目的。

技术领域

本公开内容一般而言涉及用于提供安全服务的系统、方法和机器可读介质。更具体而言，本公开内容涉及用于向软件应用提供安全服务的系统、方法和机器可读介质，其中，除其它的之外，安全服务还包括认证、授权、审计、单点登录、安全策略实施、密钥管理和分配、安全通信、安全数据存储以及安全数据共享。

发明内容

公开了用于提供安全服务的系统、方法和机器可读介质。根据本公开内容的特征，系统包括存储器和处理器。存储器可用于存储多个应用数据，每个应用数据与软件应用关联并且包括应用对象代码。处理器可以包括安全管理器应用模块。安全管理器应用模块可以对经由软件应用的请求作出响应，该请求是来自由对象代码修改模块修改的应用对象代码的对安全服务的请求，修改后的应用对象代码促进对安全服务的请求发送到安全管理器应用模块。

在一种实施例中，对象代码修改模块可以被用来通过引入动态或静态库、添加加载命令、符号替换、交叉混合(swizzling)和插入(interposing)当中的至少一个来修改应用对象代码。在另一种实施例中，安全管理器应用模块可以生成选自由认证令牌、认证密钥和安全通信信道组成的组当中的安全工件(artifact)，安全管理器应用模块响应于接收到对安全服务的请求而把安全工件发送到软件应用。由对象修改模块接收并修改的应用对象代码可以处于未签署形式。

根据本公开内容的特征，应用对象代码可以在应用对象代码被对象代码修改模块修改之前被对象代码签名转换模块从已签署形式转换为未签署形式；并且在应用对象代码被对象代码修改模块修改之后从未签署形式转换为已签署形式。在一种实施例中，对象代码修改模块可以在应用对象代码的修改之前把应用对象代码从已签署形式转换为未签署形式，并且可以在应用对象代码的修改之后把应用对象代码从未签署形式转换为已签署形式。

在一种实施例中，应用对象代码的修改可以包括修改被软件应用使用的编程接口、类、对象和函数当中的至少一个。应用对象代码的修改可以包括用于确保与安全策略的兼容性的策略引擎的引入。安全策略可以选自由数据泄漏预防与访问控制策略组成的组。

根据本公开内容的特征，安全管理器应用模块可以包括用于确保软件应用与安全策略的兼容性的策略引擎。安全管理器应用模块可以把安全策略发送到软件应用，用于执行。安全策略可以应用到软件应用的一部分、单个软件应用以及多个软件应用当中的至少一个。在一种实施例中，策略引擎是动态策略引擎，安全策略基于选自由执行上下文、外部事件、明确的策略重定义以及改变组和角色成员资格组成的组当中的至少一个。在另一种实施例中，安全策略是从远程策略服务器检索的。在还有另一种实施例中，第一软件应用从远程策略服务器检索安全策略，并且第二软件应用从第一软件应用检索安全策略。从策略引擎的执行得到的数据可以发送到安全管理器应用模块和/或策略服务器。