平码五不中公式规律
  • / 22
  • 下载费用:30 金币  

使用受保护存储限制系统调用.pdf

关 键 ?#21097;?/dt>
使用 保护 存储 限制 系统 调用
  专利查询网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
摘要
申请专利号:

CN201580034717.0

申请日:

2015.08.07

公开号:

CN106663174A

公开日:

2017.05.10

当前法律状态:

实审

有效性:

审中

法?#19978;?#24773;: 实质审查的生效IPC(主分类):G06F 21/62申请日:20150807|||公开
IPC分类号: G06F21/62(2013.01)I; H04W4/00(2009.01)I 主分类号: G06F21/62
申请人: 谷歌公司
发明人: 安德鲁·弗兰; 希希尔·库马尔·阿格拉沃尔; 西蒙·阿斯科特; 劳伦斯·乔纳森
地址: 美国加利福尼亚州
优先权: 2014.08.14 US 14/459,417
专利代理机构: 中原信达知识产权代理有限责任公司 11219 代理人: 李宝泉;周亚荣
PDF完整版下载: PDF下载
法律状态
申请(专利)号:

CN201580034717.0

授权公告号:

|||

法律状态公告日:

2017.06.06|||2017.05.10

法律状态类型:

实质审查的生效|||公开

摘要

提供用于使用受保护存储限制系统调用的系统和技术。可以从应用接收对受限系统组件的系统调用。可以确定应用具有对受限系统组件进行系统调用的许可。可以使用来自受保护存储的公开密钥验证与应用相关联的签名。公开密钥可以由被授权修改受保护存储中的数据的一方的计算设备发送到受保护存储中。当公开密钥成功地验证与应用相关联的签名?#20445;?#21487;以许可受限系统组件执行由系统调用指示的功能。

权利要求书

1.一种由数据处理装置执行的计算机实现的方法,所述方法包括:
从应用接收对受限系统组件的系统调用;
确定所述应用具有对所述受限系统组件进行所述系统调用的许可;
使用来自受保护存储的公开密钥验证与所述应用相关联的签名,其中所述公开密钥由
被授权修改所述受保护存储中的数据的一方的计算设备发送到所述受保护存储;以及
当所述公开密钥成功地验证与所述应用相关联的所述签名?#20445;?#35768;可所述受限系统组件
执行由所述系统调用指示的功能。
2.根据权利要求1所述的计算机实现的方法,其中,所述受限系统组件是受限API。
3.根据权利要求1所述的计算机实现的方法,其中SIM卡包括所述受保护存储。
4.根据权利要求1所述的计算机实现的方法,还包括从被授权修改所述受保护存储中
的数据的所述一方的所述计算设备接收所述公开密钥。
5.根据权利要求4所述的计算机实现的方法,其中,经由带外空中下载更新来接收所述
公开密钥。
6.根据权利要求1所述的计算机实现的方法,其中,与所述应用相关联的所述签名是使
用来自公开/?#25509;?#23494;钥对的?#25509;?#23494;钥创建的,并且其中,所述公开密钥是所述公开/?#25509;?#23494;
钥对的一部分。
7.根据权利要求6所述的计算机实现的方法,其中,被授权修改所述受保护存储中的数
据的所述一方的所述计算设备用于使用所述?#25509;?#23494;钥创建与所述应用相关联的所述签名。
8.根据权利要求1所述的计算机实现的方法,其中,被授权修改所述受保护存储中的数
据的所述一方是蜂窝服务提供者。
9.根据权利要求1所述的计算机实现的方法,其中,由所述系统调用指示的所述功能是
SMS过滤、拨打紧急号码、擦除存储、和改变网络访问设置中的一个。
10.根据权利要求1所述的计算机实现的方法,还包括:
从第二应用接收对所述受限系统组件的第二系统调用;
确定所述第二应用具有对所述受限系统组件进行所述系统调用的许可;
使用来自受保护存储的公开密钥验证与所述应用相关联的第二签名,其中所述公开密
钥由被授权修改所述受保护存储中的数据的一方的计算设备发送到所述受保护存储;以及
当所述公开密钥验证与所述第二应用相关联的所述第二签名失败?#20445;?#38459;止所述受限系
统组件执行由所述第二系统调用指示的功能。
11.根据权利要求10所述的计算机实现的方法,其中,所述第二签名是使用?#25509;?#23494;钥创
建的,所述?#25509;?#23494;钥不是与来自所述受保护存储的所述公开密钥相同的公开/?#25509;?#23494;钥对
的一部分。
12.根据权利要求1所述的计算机实现的方法,还包括:
在当所述公开密钥成功地验证与所述应用相关联的所述签名时许可所述受限系统组
件执行由所述系统调用指示的功能之前,验证所述应用的名称在所述受保护存储中的独特
软件包名称的列表上;
并且如果验证失败则阻止所述受限系统组件执行所述功能,或者如果验证成功则许可
所述受限系统组件执行所述功能。
13.一种由数据处理装置执行的计算机实现的方法,所述方法包括:
生成包括公开和?#25509;?#23494;钥的公开/?#25509;?#23494;钥对,其中所述公开密钥验证使用所述?#25509;?br />密钥创建的签名;
生成包括使用所述?#25509;?#23494;钥创建的所述签名的证书;
使用所述证书签署应用;
发送所述应用以安装在移动计算设备上;以及
发送所述公开密钥的副本以存储在所述移动计算设备的受保护存储中。
14.根据权利要求13所述的计算机实现的方法,其中,只有使用所述证书签署所述应用
的一方具有修改所述移动计算设备的所述受保护存储的能力。
15.根据权利要求13所述的计算机实现的方法,还包括:
生成包括第二公开密钥和第二?#25509;?#23494;钥的第二公开/?#25509;?#23494;钥对,其中,所述第二公开
密钥验证使用所述第二?#25509;?#23494;钥创建的第二签名;
从所述移动计算设备的所述受保护存储中删除所述公开密钥;
从所述应用中移除所述证书;
生成包括所述第二签名的第二证书;
使用所述第二证书签署所述应用以生成更新的应用;
将所述更新的应用发送到所述移动计算设备以替换所述应用;以及
将所述第二公开密钥的副本发送到所述移动计算设备的所述受保护存储。
16.根据权利要求13所述的计算机实现的方法,其中,所述应用包括要求对所述移动计
算设备的所述系统的受限系统组件的系统调用的至少一个功能。
17.根据权利要求13所述的计算机实现的方法,其中,所述应用不被发送到所述移动计
算设备作为系统构建的一部分。
18.根据权利要求13所述的计算机实现的方法,其中,公开密钥被使用带外空中下载更
新来发送到所述移动计算设备。
19.一种用于限制移动系统调用的计算机实现的系统,包括:
存储;
受保护存储,所述受保护存储包括公开密钥并且适配于从被授权修改所述受保护存储
中的数据的一方的远程计算设备接收所述公开密钥;
应用,所述应用包括证书,所述证书包括签名,所述应用适配于对受限系统组件进行系
统调用;以及
系统,所述系统包括至少一个受限系统组件,所述系统适配于从所述应用接收对所述
至少一个受限系统组件的系统调用、使用所述公开密钥验证所述应用的所述证书的所述签
名、并在所述签名被成功地验证时许可所述至少一个受限系统组件执行由所述系统调用指
示的功能。
20.根据权利要求19所述的计算机实现的系统,其中,所述系统进一步适配于在所述签
名的验证失败时阻止所述至少一个受限系统组件执行由所述系统调用指示的功能。
21.根据权利要求19所述的计算机实现的系统,其中,所述至少一个受限系统组件是受
限API。
22.根据权利要求19所述的计算机实现的系统,其中,所述应用是从被授权修改所述受
保护存储中的数据的所述一方的远程计算设备接收的。
23.根据权利要求19所述的计算机实现的系统,其中,所述应用的所述证书的所述签名
是使用来自公开/?#25509;?#23494;钥对的?#25509;?#23494;钥创建的,并且其中,所述公开密钥来自相同的公
开/?#25509;?#23494;钥对。
24.根据权利要求19所述的计算机实现的系统,其中,所述受保护存储进一步适配于接
收所述公开密钥作为来自所述远程计算设备的带外空中下载更新的一部分。
25.根据权利要求19所述的计算机实现的系统,其中,所述系统进一步适配于确定所述
应用已被授予许可,以对所述至少一个受限系统组件进行所述系统调用。
26.根据权利要求19所述的计算机实现的系统,其中,所述系统调用指示修改所述存储
中的设置、擦除所述存储、拨打紧急号码、或过滤SMS消息中的一个的功能。
27.一种系统,包括:一个或多个计算机和存储指令的一个或多个存储设备,所述指令
在由所述一个或多个计算机执行时能够操作为使得所述一个或多个计算机执行操作,所述
操作包括:
从应用接收对受限系统组件的系统调用;
确定所述应用具有对所述受限系统组件进行所述系统调用的许可;
使用来自受保护存储的公开密钥来验证与所述应用相关联的签名,其中,所述公开密
钥由被授权修改所述受保护存储中的数据的一方的计算设备发送到所述受保护存储;以及
当所述公开密钥成功地验证与所述应用相关联的所述签名?#20445;?#35768;可所述受限系统组件
执行由所述系统调用所指示的功能。

说明书

使用受保护存储限制系统调用

背景技术

诸如智能电话或平板电脑的移动计算设备的操作系统,可以允许第三方通过应用
编程接口(API)与操作系统和应用的各个方面相互作用,应用可以是操作系统构建的一部
分。在移动计算设备上使用的许多API可以被认为是安全的,并?#20197;?#31227;动计算设备上安装的
第三方应用可以能够在没有请求许可的情况下使用这些API。某些API可能更为敏感,例如
允许访问操作系统的组件或负责在移动计算设备上接收SMS消息的应用的API。例如在安装
过程中,第三方应用可能需要请求移动计算设备的用户的许可以访?#25910;?#20123;API。用户可以决
定是否向第三方应用授权许可,允许用户阻止某些应用访问移动计算设备的某些功能。例
如,第三方SMS消息传递应用可能需要使用API,以便访问传入的SMS消息以及发送传出的
SMS消息。用户可以决定是否允许第三方SMS消息传递在应用的安装过程中使用这些API。

一些API可能被认为过于危险而不能允许移动计算设备的用户控制哪些第三方应
用可以访问它们。这些受限API可能只对安装在移动计算设备的系统分区的特权区段中的
应用是可访问的。在特权区段中的应用可能需要在移动计算设备?#31995;?#25805;作系统的初始安装
过程中安装。例如,智能电话的制造商可以创建包括操作系统、平台组件、和应用的系统构
建,所述操作系统、平台组件、和应用可以作为制造过程的一部?#21482;?#32773;稍后在操作系统被更
新时都被安装在智能电话上。作为系统构建的一部分安装的应用可以是系统应用,并且可
以能够访?#23454;?#19977;方应用不被允许访问的受限API。可能难以允许在构建已经被安装之后才
安装的第三方应用访?#25910;?#20123;受限API。只有负责系统构建的一方,例如智能电话的制造商,
可以能够安装系统应用,因为它们可能只被安装为系统的一部分。

发明内容

根据所公开的主题的一个实施例,可以从应用接收对受限系统组件的系统调用。
该应用可以被确定为具有对受限系统组件进行系统调用的许可。可以使用来自受保护存储
的公开密钥验证与应用相关联的签名。公开密钥可以由被授权修改受保护存储中的数据的
一方的计算设备发送到受保护存储中。当公开密钥成功地验证与应用相关联的签名?#20445;?#21487;
以许可受限系统组件执行由系统调用指示的功能。

受限系统组件可以是受限API。SIM卡可以包括受保护存储。可以从被授权修改受
保护存储中的数据的一方的计算设备中接收公开密钥。可以经由带外空中下载接收公开密
钥。与应用相关联的签名可以使用来自公开/?#25509;?#23494;钥对的?#25509;?#23494;钥创建。公开密钥可以是
公开/?#25509;?#23494;钥对的一部分。被授权修改受保护存储中的数据的一方的计算设备可用于使
用?#25509;?#23494;钥创建与应用相关联的签名。被授权修改受保护存储中的数据的一方可以是蜂窝
服务提供者。由系统调用指示的功能可以是SMS过滤、拨打紧急号码、擦除存储和改变网络
访问设置中的一种。

可以从第二应用接收对受限系统组件的第二系统调用。第二应用可以被确定为具
有对受限系统组件进行系统调用的许可。可以使用来自受保护存储的公开密钥验证与应用
相关联的第二签名。公开密钥可以已经由被授权修改受保护存储中的数据的一方的计算设
备发送到受保护存储中。当公开密钥验证与第二应用相关联的第二签名失败?#20445;?#21487;能阻止
受限系统组件执行由第二系统调用指示的功能。可以使用不是与来自受保护存储的公开密
钥相同的公开/?#25509;?#23494;钥对的一部分的?#25509;?#23494;钥创建第二签名。

在公开密钥成功地验证与应用相关联的签名时允许受限系统组件执行由系统调
用指示的功能之前,应用的名称可以被验证为在受保护存储中的独特软件包名称的列表
上。如果验证失败则可以阻止受限系统组件执行该功能,如果验证成功则可以许可受限系
统组件执行该功能。

根据所公开的主题的一个实施方式,包括用于从应用接收对受限系统组件的系统
调用的装置,用于确定应用具有对受限系统组件进行系统调用的许可的装置,用于使用来
自受保护存储的公开密钥验证与应用相关联的签名的装置,其中公开密钥由被授权修改受
保护存储中的数据的一方的计算设备发送到受保护存储中,用于在公开密钥成功地验证与
应用相关联的签名时许可受限系统组件执行由系统调用指示的功能的装置,用于从被授权
修改受保护存储中的数据的一方的计算设备中接收公开密钥的装置,用于从第二应用接收
对受限系统组件的第二系统调用的装置,用于确定第二应用具有对受限系统组件进行系统
调用的许可的装置,用于使用来自受保护存储的公开密钥验证与应用相关联的第二签名的
装置,其中公开密钥由被授权修改受保护存储中的数据的一方的计算设备发送到受保护存
储中,用于在公开密钥验证与第二应用相关联的第二签名失败时阻止受限系统组件执行由
第二系统调用指示的功能的装置,用于在公开密钥成功地验证与应用相关联的签名时许可
受限系统组件执行由系统调用指示的功能之前,验证应用的名称在受保护存储中的独特软
件包名称的列表?#31995;?#35013;置,以及用于如果验证失败则阻止受限系统组件执行该功能以及如
果验证成功则许可受限系统组件执行该功能的装置。

还包括用于生成包括公开和?#25509;?#23494;钥的公开/?#25509;?#23494;钥对的装置,其中公开密钥
验证使用?#25509;?#23494;钥创建的签名,用于生成包括使用?#25509;?#23494;钥创建的签名的证书的装置,用
于对为应用签署证书的装置,用于发送应用以安装在移动计算设备?#31995;?#35013;置,用于发送公
开密钥的副本以存储在移动计算设备的受保护存储中的装置,用于生成包括第二公开和第
二?#25509;?#23494;钥的第二公开/?#25509;?#23494;钥对的装置,其中第二公开密钥验证使用第二?#25509;?#23494;钥创
建的第二签名,用于将公开密钥从移动计算设备的受保护存储中删除的装置,用于从应用
中移除证书的装置,用于生成包括第二签名的第二证书的装置,用于为应用签署第二证书
以生成更新的应用的装置,用于将更新的应用发送到移动计算设备以替换应用的装置,以
及用于将第二公开密钥的副本发送到移动计算设备的受保护存储中的装置。

这里公开的系统和技术可以允许使用受保护存储限制系统调用。所公开的主题的
附加特征、优点和实施方式可从下面的详?#35813;?#36848;、附图和权利要求中阐明或?#36828;?#26131;见。此
外,应该理解,上述发明内容和下面的具体实施方式都是示例,旨在在不限制权利要求的范
围的前提下提供进一步的解释。

附图说明

被包括在这里以提供对所公开主题的进一步理解的附图被纳入并构成本说明书
的一部分。附图还图示了所公开主题的实施例,并且与具体实施方式一起用于解释所公开
主题的实施例的原理。除了对于所公开主题的基本理解和可以实践的各种方式所必需的以
外,不尝试示出更详细的结构?#38468;凇?br />

图1示出了根据所公开主题的实施方式的适合于使用受保护存储限制系统调用的
示例性系统。

图2示出了根据所公开主题的实施方式的用于使用受保护存储限制系统调用的示
例性设置。

图3示出了根据所公开主题的实施方式的用于使用受保护存储限制系统调用的过
程的示例。

图4示出了根据所公开主题的实施方式的用于使用受保护存储限制系统调用的过
程的示例。

图5示出了根据所公开主题的实施方式的用于使用受保护存储限制系统调用的过
程的示例。

图6示出了根据所公开主题的实施例的计算机。

图7示出了根据所公开主题的实施例的网络配置。

具体实施方式

使用用户身份模块(SIM)限制移动系统调用可以允许安装在移动计算设备上?#20063;?br />是系统构建的一部分的应用访问应用编程接口(API),并且进行可能以其他方式被禁止的
系统调用。移动计算设备可以包括操作系统,该操作系统可以包括允许访问操作系统和操
作系统平台的相关组件的各种敏感功能的许多受限API。受限API可以对例如由移动计算设
备的制造商安装为系统构建的一部分的应用而言是可访问的。为了允许来自例如蜂窝服务
提供者的第三方的应用访问受限API,可以由该第三方使用来自公开/?#25509;?#23494;钥对的?#25509;?#23494;
钥来对该应用签署证书。应用可以被安装在移动计算设备上,并且可以在安装过程中请求
访问受限API的许可。用户可以选择授予该许可。第三方可以将来自公开/?#25509;?#23494;钥对的公
开密钥转移到该第三方被授权并且可以具有独占能力来进行修改的移动计算设备?#31995;?#21463;
保护存储。例如,蜂窝服务提供者可以将公开密钥证书转移到移动计算设备?#31995;?#29992;户身份
模块(SIM)卡?#31995;?#23433;全证书存储。?#22791;?#24212;用在移动计算设备上运行并针对受限API进行系统
调用?#20445;?#35813;移动计算设备的操作系统可以使用来自受保护存储的公开密钥验证应用证书中
的?#25509;?#23494;钥签名。如果验证成功,则应用可以被许可调用受限API。然后受限API可以执行由
来自该应用的系统调用所请求的任何功能。

诸如例如智能电话或平板电脑的移动计算设备可以运行作为移动平台的一部分
的操作系统。该操作系统可以包括API和用于允许移动计算设备?#31995;?#20854;他应用访问由操作
系统控制的功能和数据的其他系统组件。一些系统组件可以是受限系统组件,诸如受限
API。操作系统中的受限API可以是相关的敏感数据和功能。允许安装在移动计算设备?#31995;?br />任何第三方应用对受限API进行系统调用可能是一个安全风险。例如,受限API可以包括当
激活时可以擦除移动计算设备的存储的功能。另一个受限API可以控制访问各种电话相关
的功能和数据,例如SMS消息过滤、呼叫紧急电话号码、以及查看和改变用于访问蜂窝服务
提供者的网络的网络访问设置。不具有针对受限API进行系统调用的适当许可的应用可能
会被拒绝访问该受限API。例如,安装在移动计算设备?#31995;?#19981;属于系统构建的一部分的第三
方应用可以尝试调用受限API以擦除移动计算设备的存储,清除存储在该移动计算设备上
的所有数据。操作系统可以响应于接收到来自第三方应用的系统调用而抛出安全异常,阻
止第三方应用使用受限API的存储擦除功能。

第三方可能想要使能够访问受限API并且能够在已经安装了系统构建之后被安装
在移动计算设备?#31995;?#24212;用可用。例如,智能电话可以具有由智能?#21482;?#30340;制造商安装的其系
统构建,包括能够访问受限API的应用。稍后,智能电话可以被激活,用于与蜂窝服务提供者
一起使用。蜂窝服务提供者可能希望允许其用户在智能电话上安装能够访问某些受限API
的应用。由于蜂窝服务提供者没有生成系统构建,并且可能不负责智能电话的未来系统构
建,蜂窝服务提供者可能无法将其应用安装为系统构建的一部分。蜂窝服务提供者也可能
不希望等待未来系统构建,以允许具有对受限API的访?#35782;?#19981;属于当前系统构建的一部分
的应用的安装。

第三方可以创建第三方希望能够访问移动计算设备?#31995;?#21463;限API的应用,并且使
用来自公开/?#25509;?#23494;钥对的?#25509;?#23494;钥为应用签署证书。公开/?#25509;?#23494;钥对可以以任?#38382;?#24403;的
方式、使用任?#38382;?#24403;的?#29992;?#25216;术、系统和算法来生成。?#25509;?#23494;钥可能仅被第三方知道,并且
可能会被保密,以阻?#35895;?#20309;其他一方获得密钥以签署应用。当应用被下载并安装到移动计
算设备?#20445;?#21487;请求移动计算设备的用户授予该应用访问受限API的许可。该应用只有在用户
授予所请求的许可的情况下才被安装。例如,蜂窝服务提供者可以创建使用智能电?#23433;?#20316;
系统的受限电话API的应用,以读取和写入由智能电话控制网络访问的设置。用户可以以任
?#38382;?#24403;的方式将应用下载并安装到他们的智能电话,诸如例如通过应用生态系统商店、通
过由电话服务提供者提供的商店、或者通过下载和侧面加载(sideload)在线商店以外的应
用。侧面加载的例子包括在两个本地设备之间转移应用和/或数据,诸如在计算机和诸如移
动电话、智能电话、PDA、平板电脑、便携式媒体播放器或电子书阅读器的移动设备之间,或
者在两个移动设备之间。

在安装过程中,应用可能会向智能电话的操作系统指示应用需要访问受限电话
API的许可。操作系统可以向用户呈现一个对话,允许用户授予该应用访问许可,并且对受
限电话API进行系统调用。如应用所请求的,由用户授予的许可可以仅应用于针对受限API
所选择的系统调用。例如,应用可以仅请求并被授予使用来自受限API的系统调用子集的许
可,并且可能不具有访问来自该受限API的除了被请求和被授予许可的子集以外的系统调
用的许可。

负责创建由?#25509;?#23494;钥签署的应用的第三方可以被授权,并?#19968;?#21487;以能够排他地修
改移动计算设备?#31995;?#21463;保护存储。受保护存储可以是任?#38382;?#24403;的存储,诸如例如在SIM卡上
的证书存储。例如,智能电话的蜂窝服务提供者可以是有能力存储和修改智能电话中的SIM
卡?#31995;?#35777;书存储中的数据的唯一一方。第三方可以发送来自公开/?#25509;?#23494;钥对的公开密钥
以存储在移动计算设备的受保护存储中。例如,蜂窝服务提供者可以执行将至智能电话的
SIM卡的证书存储的公开密钥的空中下载(OTA)传输、来自正常OTA系统更新的带外传输。第
三方可在任?#38382;?#24403;的时间将公开密钥发送到移动计算设备的受保护存储。例如,当预期到
智能电话用户在未来的安装而由第三方创建应用时、在应用被安装在智能电话上时、当应
用在智能电话?#31995;?#19968;次运行时、或者当应用尝试使其对智能电?#23433;?#20316;系统的受限API进行
第一次调用?#20445;?#34562;窝服务提供者可以将公开密钥存储在智能电话SIM卡的证书存储中。公开
密钥可以包括公开密钥可以用来验证的应用的指示,。

来自第三方的应用可以在移动计算设备上运行,并且可以对受限API进行系统调
用。在操作系统执行该功能或允许应用访问数据之前,操作系统可以与对受限API的系统调
用相关联地尝试验证该应用的许可和签名。操作系统可以例如由用户在安装过程中检查以
确保应用已经被授予适当的许可,从而对受限API进行系统调用。如果应用具有适当的许
可,操作系统可以从受保护存储中检索公开密钥,并且使用公开密钥检查应用的证书中的
签名,相反地,如果应用不具有适当的许可,则该应用对受限API的访问被拒绝。验证可以使
用任?#38382;?#24403;的?#29992;?#25216;术,例如任何与生成公开/?#25509;?#23494;钥的方式相关联的验证技术。如果使
用公开密钥验证了签名,指示该应用是由与来自受保护存储的公开密钥相匹配的?#25509;?#23494;钥
签名的,则操作系统可以执行对受限API的系统调用所请求的功能。如果签名未被验证,或
者对于受保护存储中的应用不存在公开密钥,则应用可能会被拒绝访问受限API。缺乏公开
密钥可能指示适当的公开密?#21487;?#26410;被第三方发送到受保护存储,或者应用是由不具有修改
受保护存储的能力的一方创建的。

例如,调整网络访问设置的应用可以安装在智能电话上,并且用户可以授权该应
用对智能电话的操作系统的受限电话API进行系统调用的许可。该应用可能已经由智能电
话的蜂窝服务提供者创建,并且可能使用由蜂窝服务提供者保密的?#25509;?#23494;钥而被签署证
书。然后蜂窝服务提供者可以将对应的公开密钥发送到智能电话SIM卡的证书存储中。该应
用可以运行,并且可以对受限电话API进行系统调用,以改变网络访问设置中的一个。操作
系统可以首先检查应用被授予对受限API进行系统调用的许可,该受限API激活对网络访问
设置写入改变的功能。如果许可被授权,则操作系统可以从受保护存储中检索公开密钥,并
且使用该公开密钥来验证该应用的证书中的签名。由于公开密钥对应于用于签署应用的私
有密钥,公开密钥可以验证应用的签名。然后操作系统可以允许受限API执行系统调用所请
求的功能,将指定的改变写入到网络访问设置中。

由于第三方可以秘密地保存?#25509;?#23494;钥,并且可能是可以修改受保护存储的唯一一
方,由第三方创建和签署的应用可以访问移动计算设备?#31995;?#21463;限API。由任何其他方创建的
应用可能会被拒绝访问受限API。可能没有使用任何?#25509;?#23494;钥为第四方应用签署证书,在这
种情况下,响应于对受限API的系统调用而由操作系统验证应用?#31995;?#31614;名的任何尝试都将
会失败,从而导致拒绝访问受限API。可以使用?#25509;?#23494;钥来为第四方应用签署证书,然而,因
为由第三方使用的?#25509;?#23494;钥是保密的,由第四方使用的?#25509;?#23494;钥可能不与由第三方使用的
?#25509;?#23494;钥相同。由于用于签署第四方应用的?#25509;?#23494;钥可能不是来自第三方公开/?#25509;?#23494;钥
对,由第三方发送到受保护存储的任何公开密钥可能无法验证来自第四方的应用?#31995;?#31614;
名。由于第四方可能不能修改受保护存储,第四方可能无法将其自己的公开密钥发送到受
保护存储中,以用于验证第四方应用。这可能允许被授权修改移动计算设备的受保护存储
的一方创建对受限API进行系统调用的应用,并且将这些应用安装在系统构建的外部。

例如,与智能电话的蜂窝服务提供者不相关的应用开发人员可能会创建一个应
用,其调用受限API并包括擦除智能电话的存储的功能。可以使用来自由应用开发人员生成
的公开/?#25509;?#23494;钥对的?#25509;?#23494;钥为应用签署证书。用户可以安装应用,并且可以授予该应用
访问受限API的许可。当应用运行?#20445;?#24212;用对受限API进行系统调用,以激活将会擦除智能电
话的存储的功能。操作系统可以确定该应用具有适当的许可以进行系统调用,然后可以尝
试验证该应用的证书中的签名。智能电话的SIM卡可以具有存储在证书存储中的公开密钥。
公开密钥可以已成为由蜂窝服务提供者生成的公开/?#25509;?#23494;钥对的一部分,并且可以已经
被蜂窝服务提供者发送到SIM卡的证书存储中。应用开发人员可能不具有由蜂窝服务提供
者生成的?#25509;?#23494;钥。操作系统可以使用来自SIM卡的公开密钥来尝试验证应用开发人员的
应用的证书的签名。由于应用是由来自与存储在SIM卡?#31995;?#20844;开密钥不同的公开/?#25509;?#23494;钥
对的?#25509;?#23494;钥签署的,验证尝试可能会失败,并且可能会阻止应用使用受限API的功能擦除
智能电话的存储。应用开发人员可能没有能力在SIM卡上存储他自己的公开密钥。由于只有
蜂窝服务提供者可以在SIM卡上存储公开密钥,这可能使应用开发人员不能使操作系统验
证其应用,并?#20197;?#27809;有蜂窝服务提供者的合作的情况下不允许对受限API进行系统调用。通
过这种方式,对于由系统创建者安装的应用,以及由SIM卡在智能电话中的蜂窝服务提供者
批准的应用,对智能电?#23433;?#20316;系统的受限API的访问是受限制的。

相同的公开/?#25509;?#23494;钥对可用于同一应用的多个安装,并且用于来自同一第三方
的多个不同的应用。例如,蜂窝服务提供者可以创建应用,并且使用相同的?#25509;?#23494;钥对应用
的所有副本进行签署,并将同一公开密钥的副本发送给安装有应用的每一个移动计算设
备。不同的公开/?#25509;?#23494;钥对也可以用于同一应用的多个安装,或用于来自同一第三方的多
个不同的应用。例如,蜂窝服务提供者可以创建三个公开/?#25509;?#23494;钥对,并且将每个公开/私
有密钥对用于不同的应用,或者用于同一应用的多个安装中的一些。

如果必要的话,由第三方使用的公开?#25509;?#23494;钥对可能会被替换。例如,第三方可能
会使用密钥?#21482;唬?#25110;者?#25509;?#23494;钥可能会被泄露或被盗并成为公众可获得的。第三方可以生
成新的公开/?#25509;?#23494;钥对,并且可以从任?#25105;?#21160;计算设备的受保护存储中移除旧的公开密
钥,使用新的公开密钥来取代它。新建立的应用可以由新的?#25509;?#23494;钥签署,并且用户可能会
被要求更新安装在他们的移动计算设备?#31995;?#24212;用的版本。应用可能无法访问受限API直到
它被更新,这是因为在验证使用旧的?#25509;?#23494;钥签署的应用?#20445;?#26032;的公开密钥可能会导致失
败。?#36865;猓?#30001;于新的公开密钥不验证使用旧的?#25509;?#23494;钥做出的签名,任何尝试使用泄漏的或
被盗的?#25509;?#23494;钥的应用也可能被阻止访问受限API。

除了公开密钥之外,独特软件包名称列表也可以被存储在受保护存储中。独特软
件包名称列表可以识别哪个第三方应用可能被允许访问受限API。第三方可以以与公开密
钥相同的方式将独特软件包名称列表发送到受保护存储。当应用调用受限API?#20445;?#38500;了利用
公开密钥验证应用的签名以外,操作系统会检查独特软件包名称列表以确定应用是否被识
别,例如具有在独特软件包名称列表?#31995;?#21517;称。这可能允许进一步限制可以对受限API进行
系统调用的应用,由于第三方可以将应用的名称添加至独特软件包名称列表或从独特软件
包名称列表撤销。例如,第三方可以将应用的名称从独特软件包名称列表撤销,即使在使用
作为具有受保护存储中的公开密钥的公开/?#25509;?#23494;钥对的一部分的?#25509;?#23494;钥签署应用?#20445;?br />也能够阻止应用对受限API进行系统调用。

可由应用使用的受限API的功能可能是有限的。例如,负责创建、分发或维护移动
计算设备的操作系统和平台的一方可以指定哪些受限API和哪些功能可以或不可以由第三
方创建的应用访问。这可能使得没有被安装为系统构建的一部分的任何应用仍然无法访问
某些受限API和某些功能。

图1示出了根据所公开主题的实施方式的适合于使用受保护存储限制系统调用的
示例性系统。移动计算设备100可以包括应用110、系统130、存储140和受保护存储150。移动
计算设备100可以是任?#38382;?#24403;的设备,例如用于实现应用110、系统130、存储140和受保护存
储150的如图6所述的计算机20。该移动计算设备100可以是单个的计算设备,或者可以包括
多个连接的计算设备,并且例如可以是如平板电脑或智能电话的移动计算设备,运行可能
是移动平台的一部分的移动操作系统。系统130可以包括移动计算设备100的操作系统,包
括如受限API 105的受限API,和操作系统的平台的其他组件,如被安装作为系统构建的一
部分的应用。应用110可以是能够在移动计算设备100上安装和运行的任?#38382;?#24403;的应用,并
且可以是不作为系统构建的一部分的应用。应用110可以包括证书112,该证书112可以包括
签名113。存储140可以以任?#38382;?#24403;的方式存储设置145。受保护存储150可以以任?#38382;?#24403;的
方式存储公开密钥155。

系统130可以包括移动计算设备100的操作系统,以及与操作系统相关联并且一起
安装的任何其他组件。例如,系统130可以安装在移动计算设备100上以作为系统构建,并且
可以包括操作系统、对操作系统的增强或修改、作为操作系统平台的一部分的组件,以及可
以被安装在移动计算设备100的存储140的系统特权分区?#31995;?#24212;用。系统130可以包括各种
不同的API,其中的一些可以是如受限API 135的受限API。受限API 135可以是负责系统130
的操作系统的一方已经选择限制访问的API。系统130的其他组件、包括操作系统和系统特
权分区?#31995;?#24212;用,可以能够访问和使用受限API 135的功能,但是移动计算设备100的其他
组件在没有适当证书的情况下可能会被拒绝访问受限API 135。例如,应用120可能无法访
问受限API 135。

应用110可以是能够在移动计算设备上安装和运行的任?#38382;?#24403;的应用,并且可以
包括证书112。应用110可以是由第三方创建和分发的应用。在安装过程中,应用110可以使
用系统130的任?#38382;?#24403;的机制请求移动计算设备100的用户授予应用110进行利用受限API
135的某些功能进行系统调用的许可。例如,应用110可以请求许可以调用受限API 135的拨
打紧急电话的功能。负责创建和分发应用110的第三方也可以被授权,并且可以具有独占能
力,以写入受保护存储150。应用110可以包括证书112,该证书112可以包括签名113。签名
113可以使用公开/?#25509;?#23494;钥对的?#25509;?#23494;钥创建,该公开/?#25509;?#23494;钥对例如可以由创建应用
110的一方生成。?#25509;?#23494;钥可以被秘密地保持。证书112和签名113可以用来允许应用110对
受限API 135进行系统调用。应用110例如可以是由蜂窝服务提供者创建的、由来自蜂窝服
务提供者使用任?#38382;?#24403;的?#29992;?#31995;统产生的公开/?#25509;?#23494;钥对的?#25509;?#23494;钥签署的应用。

受保护存储150可以是用于在移动计算设备100上实现存储的硬件和软件的任何
适当的组合。例如,受保护存储150可以是智能电话或平板电脑的SIM卡。受保护存储150可
以是只有负责创建应用110的第三方能够更改的。例如,只有蜂窝服务提供者可以能够修改
存储在受保护存储150中的数据。公开密钥155可以由具有修改受保护存储150的独占能力
的第三方存储在受保护存储150中。例如,蜂窝服务提供者可以将公开密钥155从公开/?#25509;?br />密钥对发送至存储在受保护存储150中,受保护存储150可以是蜂窝服务提供者发布的SIM
卡。公开密钥155可以使用例如空中下载数据转移而被存储到受保护存储150中。公开密钥
155可以来自与用于为应用110创建签名113的?#25509;?#23494;钥相同的公开/?#25509;?#23494;钥对,。

系统130能够从受保护存储150读取公开密钥155。例如,当应用110对受限API 135
进行系统调用?#20445;?#31995;统130可以从受保护存储150读取公开密钥155。系统130可以使用公开
密钥155尝试验证应用110的证书112中的签名113,以确定应用110是否被许可对受限
API135进行系统调用。公开密钥155可用于以任?#38382;?#24403;的方式来验证签名113,例如,使用基
于用于生成公开密钥155和用于创建签名113的?#25509;?#23494;钥的公开/?#25509;?#23494;钥对的?#29992;?#25216;术的
?#29992;?#25216;术。当使用公开密钥155成功地验证签名113?#20445;?#30001;于这可以指示应用110是由还被授
权以修改受保护存储150的第三方创建的,来自应用110的系统调用可以被许可,并且受限
API 135的被调用功能可以被执行。

设置145可以包括移动计算装置100的任?#38382;?#24403;的设置,在不使用受限API的情况
下可能不能被修改。例如,设置145可以是蜂窝服务提供者的网络的网络访问设置。设置145
可以被创建为系统构建的一部分,并?#20197;?#21253;括系统130的系统构建被安装在移动计算设备
100上时被存储在存储140中。设置145可能仅能够通过受限API、如受限API 135的使用而被
修改,并且也可能是只读的。当应用110向受限API 135发送系统调用?#20445;?#24212;用110可以能够
基于由系统130使用公开密钥155对签名113的验证,而使用受限API 135修改设置145。

例如,设置145可以是蜂窝服务提供者的网络的网络访问设置。蜂窝服务提供者可
以创建应用110,使其能够修改设置145。可以使用证书112为应用110签署签名113,可以使
用公开/?#25509;?#23494;钥对的?#25509;?#23494;钥创建签名113。当被安装在例如智能电话的移动计算设备
100上?#20445;?#24212;用110可以请求用户的许可以访问受限API 135,该受限API 135可以是包括用
于修改设置145中的网络访问设置的功能的受限API。用户可以授予所请求的许可。蜂窝服
务提供者可以将公开密钥155发送到受保护存储150,公开密钥155可以是来自与用于创建
签名113的?#25509;?#23494;钥相同的公开/?#25509;?#23494;钥对,受保护存储150可以是移动计算设备100的
SIM卡。应用110可以运行并对受限API135进行系统调用,要求执行修改设置145中的网络访
问设置的功能。系统130可以使用公开密钥155来验证应用110的签名113。由于公开密钥155
可以来自与用于创建签名113的?#25509;?#23494;钥相同的公开/?#25509;?#23494;钥对,应用110可以被验证,并
且对受限API 135的系统调用可以被允许。然后受限API 135可以根据应用110的请求,实现
对设置145中的网络访问设置的修改。因为只有移动服务提供者可以在例如智能电话的SIM
卡的受保护存储器150中存储任何?#25509;?#23494;钥,只有蜂窝服务提供者可以创建能够被安装在
系统构建之外但仍然可以使用受限API 135修改设置145的应用。

图2示出了根据本公开主题的实施方式的用于使用受保护存储限制系统调用的示
例性设置。应用110可以由例如蜂窝服务提供者的第三方创建,并且被存储在提供者服务器
200上。提供者服务器200可以是由例如蜂窝服务提供者的第三方用于创建和分发应用的任
?#38382;?#24403;的服务器系统。应用110可以是被创建为使用系统130的受限API 135的功能的应用。

包括公开密钥155和?#25509;?#23494;钥215的公开/?#25509;?#23494;钥对210可以由提供者服务器200
生成。提供者服务器200可以使用任?#38382;?#24403;的?#29992;?#25216;术来生成公开/?#25509;?#23494;钥对210,并且私
有密钥215可以被保密,例如被安全地存储在提供者服务器200上而不暴露于公开访问。私
有密钥215可以用于以任?#38382;?#24403;的方式创建签名113,并且签名113可以被存储为证书112的
一部分。具有签名113的证书112可以用于签署应用110。公开密钥155可以从提供者服务器
200被发送到移动计算设备100的受保护存储150。

应用110可以以任?#38382;?#24403;的方式被下载并安装到移动计算设备100。例如,应用110
可以从提供者服务器200、从例如也可以与负责创建系统130的操作系统的一方相关联的应
用生态系统的店面被直接下载,或者可以由例如运行提供者服务器200的一方安装在移动
计算设备100上。例如,蜂窝服务提供者可以将应用110安装在由蜂窝服务提供者直接出售
或者被激活以用于在蜂窝服务提供者的网络上使用的所有智能电话上。在安装过程中,应
用110可以请求移动计算设备100的用户授予应用110使用受限API 135的功能的许可。用户
可以对应用110授予所请求的许可。

应用110可以运行在移动计算设备100上。例如,用户可以启动应用110,或者应用
110可以在移动计算设备100启动?#34987;?#21709;应于例如从蜂窝服务提供者外部接收的指令而启
动。应用110可以对受限API135进行系统调用。例如,应用110可以尝试使用受限API 135的
改变存储在设置145中的网络访问设置的功能。

系统130可以从应用110接收对受限API135的系统调用。系统130可以确定应用110
被授予进行系统调用的许可,例如因为在应用110的安装过程中用户授权许可。然后系统
130可以从受保护存储150中检索公开密钥155,公开密钥155在从提供者服务器200接收后
被存储在受保护存储150中。公开密钥155可用于尝试验证应用110的证书112中的签名113。
由于公开密钥155与用于创建签名113的?#25509;?#23494;钥215一起,都是公开/?#25509;?#23494;钥对210的一
部分,应用110可以由系统130验证。

系统130可以允许在验证应用110之后进行对受限API 135的系统调用,授予应用
110对受限API 135的访问。受限API 135可以执行在系统调用中由应用110请求的任何功
能。例如,受限API 135可用于对设置145进行所请求的修改,设置145可以是运行提供者服
务器200的蜂窝服务提供者的网络访问设置。

由应用110对受限API 135进行的随后系统调用可能需要系统130基于公开密钥
155和签名113再次验证应用110。系统130也可以?#19988;?#24212;用110已被验证,并且可以许可应用
110对系统调用进行相似的系统调用,导致在再次验证应用110之前的一些指定的时间?#25991;?br />的原?#24613;?#21270;。

应用220可以是在移动计算设备100?#31995;摹?#19981;是系统构建的一部分并?#20063;?#30001;运行提
供者服务器200的一方创建的应用。例如,应用220可以是来自与运行提供者服务器200的蜂
窝服务提供者不相关的应用开发人员的应用。可以使用证书222为应用220签署签名223。签
名223可能已经使用不是来自公开/?#25509;?#23494;钥对210的?#25509;?#23494;钥215的?#25509;?#23494;钥创建。

应用220可以对受限API 135进行系统调用。系统130可以尝试使用公开密钥155基
于证书222中的签名223验证应用220。由于签名223是使用不是?#25509;?#23494;钥215的?#25509;?#23494;钥创
建的,所以使用公开密钥155对签名223的验证可能会失败。系统130可能拒绝应用220访问
受限API 135,例如,抛出系统错误,并且阻止受限API 135接收系统调用或执行由系统调用
请求的功能。由于运行提供者服务器200的一方可能是被授权的一方,这可以确保只有源于
提供者服务器200并且由?#25509;?#23494;钥215签署的应用能够对受限API 135进行系统调用,并且
可以具有独占能力以修改受保护存储150,以便将例如公开密钥155的公开密钥存储在受保
护存储150中。

图3示出了根据所公开主题的实施方式的用于使用受保护存储限制系统调用的布
置的示例。在300,可以生成公开/?#25509;?#23494;钥对。例如,如蜂窝服务提供者的第三方可以使用
任?#38382;?#24403;的?#29992;?#25216;术来生成包括公开密钥155和?#25509;?#23494;钥215的公开/?#25509;?#23494;钥对210。公
开/?#25509;?#23494;钥对210可以例如被存储在提供者服务器200上。?#25509;?#23494;钥215可以被安全地存
储,并且可以被秘密地保存,以阻止由运行提供程序服务器200的第三方以外的一方使用
它。公开/?#25509;?#23494;钥对210也可以以任何其他适当的方式获得。例如,负责系统130中的操作
系统的一方可以生成公开/?#25509;?#23494;钥对210并将其安全地保管到提供者服务器200。

在302,应用可以由?#25509;?#23494;钥签署。例如,应用110可以由运行提供者服务器200的
第三方创建。应用110可以被签署有证书112,证书112可以包括使用来自公开/?#25509;?#23494;钥对
210的?#25509;?#23494;钥215创建的签名113。应用110可以以任?#38382;?#24403;的方式被签署,例如在应用110
创建过程中或之后的任?#38382;?#24403;的点上。应用110可以包括对受限API 135进行系统调用的功
能。

在304,应用可以被发送以用于安装。例如,应用110可以从提供者服务器200被直
接发送到移动计算设备100从而被安装。移动计算设备100的用户可以启动应用110的下载
和安装,或者应用110可以由例如蜂窝服务提供者的第三方安装,同时第三方例如在移动计
算装置100已售出之前拥有对移动计算设备100的控制。应用110也可以被发送到用于分发
的应用生态系统的店面。例如,负责系统130的操作系统的一方可以包括作为操作系统平台
的一部分的具有店面的应用生态系统。应用110可以从店面被下载并安装在移动计算设备
100上。应用110也可以被侧面加载(side-load)到移动计算设备100上。

在306,公开密钥可以被发送到受保护存储中。例如,提供者服务器200可以直接将
公开密钥155的副本传输给移动计算设备100,以将其存储在受保护存储150中。运行提供者
服务器200的一方、例如蜂窝服务提供者可以是具有修改和存储受保护存储150中的数据的
唯一一方,受保护存储150例如可以是由蜂窝服务提供者发行的SIM卡。公开密钥155可以由
移动计算设备100存储在受保护存储150中。没有其他一方能够在受保护存储150中存储任
何其他公开密钥,或者将公开密钥155从受保护存储150中移除。公开密钥155可以在任何合
适的时间被发送到移动计算设备100。例如,在应用110被安装在移动计算设备100上之后,
或者在应用110对受限API 135进行系统调用之后,公开密钥155在被生成之后可以被发送。

图4示出了根据所公开主题的实施方式的用于使用受保护存储限制系统调用的过
程的示例。在400,应用可以被接收。例如,移动计算设备100可以从任?#38382;?#24403;的源接收应用
110,例如,直接从提供者服务器200、从与系统130的操作系统相关的应用生态系统的店面、
从不同应用生态系统的店面,或者通过短距离传输、例如经由与具有能够被侧面加载到移
动计算装置100?#31995;?#24212;用110的副本的计算设备的USB或WiFi连接。

在402,可以接收选择以授予应用对受限API的访问。例如,应用110可以被安装在
移动计算设备100上。在安装过程中,应用110可以通过系统130请求对访问受限API 135的
许可。移动计算设备100的用户可以选择授予许可,允许应用110向受限API 135发送系统调
用。许可可以从多个受限API被请求和授予,也可以被限于不同API的某些功能。例如,受限
API 135可以执行六个功能,而应用110可能仅被授予使用这六个功能中的三个特定功能的
许可。

在404,可以安装应用。例如,应用110可以在被授予访问受限API 135的许可之后,
完成在移动计算设备135?#31995;?#23433;装。如果未被授予许可,则应用110可以不安装,因为应用
110在不具有访问受限API135的许可的情况下可能不能适当地的起作用。

在406,可以接收公开密钥。例如,可以在移动计算设备100上接收公开密钥155。公
开密钥155可以通过由例如提供者服务器200发送的带外、空中下载的更新而被接收。在应
用110的安装过程中或之后,或者在任何其他适当的时间,公开密钥155可以在接收应用110
的同时被接收。

在408,公开密钥可以被存储在受保护存储中。例如,公开密钥155可以被存储在移
动计算设备100的受保护存储150中。可以按照指令接收公开密钥以将公开密钥存储在受保
护存储150中,受保护存储150例如是SIM卡。由于运行提供者服务器200的一方可以能够直
接对系统130以外的受保护存储150寻址,公开密钥155也可以被直接写入受保护存储150。
运行例如蜂窝服务提供者的提供者服务器200的一方可以是能够对移动计算设备100?#31995;?br />受保护存储150写入或修改的唯一一方。

图5示出了根据所公开主题的实施方式的用于使用受保护存储限制系统调用的过
程的示例。在500,可以从应用接收对受限API的系统调用。例如,系统130可以从应用110中
接收对受限API 135的系统调用。在移动计算设备100上运行的应用110可以尝试使用受限
API 135的一些功能,例如擦除存储140、拨打紧急号码、执行SMS过滤或者对设置145中的网
络访问设置写入。

在502,可以对受限API访问检查许可。例如,系统130可以检查以确保应用110具有
对受限API 135进行系统调用以及应用正在进行的特定系统调用的许可。在应用110的安装
过程中,例如基于用户作出的选择,可以已经授予了许可。

在504,可以使用公开密钥验证应用的签名。例如,用于签署应用110的证书112中
的签名113可以由公开密钥155验证。签名113可能已经使用?#25509;?#23494;钥215被创建,?#25509;?#23494;钥
215与在提供者服务器200上产生的公开密钥155一起都是公开/?#25509;?#23494;钥对210的一部分。
应用110在分发给移动计算设备100之前可能已经由?#25509;?#23494;钥215签署。公开密钥155可以由
系统130从受保护存储150中检索到,然后系统130可以使用公开密钥155来验证签名113。因
为签名113是使用?#25509;?#23494;钥215创建的,所以签名113可以被验证。这可以确保只有被授权写
入和修改受保护存储150的一方能够分发可以被验证以访问受限API 135的应用。没有其他
一方可将他们的公开密钥放置在受保护存储150中,因为公开密钥155将仅验证使用?#25509;?#23494;
钥215创建的签名,所以使用?#25509;?#23494;钥215以外的?#25509;?#23494;钥签署的应用将不被验证。例如,蜂
窝服务提供者可以是能够在智能电话的SIM卡上存储公开密钥的唯一一方。蜂窝服务提供
者可以创建和分发可以使用受限API、由蜂窝服务提供者的?#25509;?#23494;钥签署并且使用由蜂窝
服务提供者存储在智能电话的SIM卡?#31995;?#21305;配公开密钥验证的应用。

在506,可以执行由系统调用请求的API功能。例如,应用110可能已经对受限API进
行系统调用,以改变设置145中的网络访问设置。因为应用110具有使用受限API 135的许
可,并其使用来自受保护存储150的公开密钥155进行了验证,所以系统130可以使用受限
API135来实现变化。

本公开的主题的实施方式可以实现为各种组件和网络架构并与它们一起使用。图
6是适合于实现本公开主题的实施方式的示例计算机系统20。计算机20包括将计算机20的
主要组件互连的总线21,所述主要组件诸如一个或多个处理器24、存储器27(如RAM、ROM、闪
存等等)、输入/输出控制器28、以及固定存储23(如?#25165;?#39537;动器、闪存、SAN设备等等)。应该
理解,也可以包括或不包括其他组件,例如用户显示器(诸如如经由显示器适配器的显示屏
幕)、用户输入接口(诸如控制器及相关的如键盘、鼠标、触摸屏等的用户输入设备)、以及现
有技术中已知的、用在通用计算机系统中或与其结合使用的其它组件。

总线21允许中央处理器24和存储器27之间的数据通信。RAM一般是将操作系统和
应用加载在其中的主要存储器。ROM或闪存在其他代码中可以包含基本输入输出系统
(BIOS),其控制诸如与外围组件的交互的基本硬件操作。常驻计算机20的应用通常存储在
计算机可读介质上并经由该计算机可读介质被访?#21097;?#35745;算机可读介质诸如是固定存储23
和/或存储器27、光驱动器、外部存储机构等等。

所示的每个组件都可以与计算机20集成,或者可以是分离的并通过其他接口访
问。如网络接口29的其他接口可以经由电话链路、有线或无线局域网或广域网连接、专有网
络连接等等提供至远程系统和设备的连接。例如,网络接口29可以允许计算机经由一个或
多个局域、广域或其他网络与其他计算机进行通信,如图7所示。

许多其他的设备或组件(未示出)可以以类似的方式连接,如文档扫描仪、数码相
机、辅助、补充或备份系统等等。相反,为了实践本公开,不是如图6所示的所有组件都是必
须存在的。组件可以以与所示出的不同的方式相互连接。本领域技术人员很容易知道如图6
所示的计算机的操作,并?#20197;?#26412;申请中不详细?#33268;邸?#23454;现本公开的代码可以存储在计算机
可读存储介质中,诸如一个或多个存储器27、固定存储23、远程存储位置或现有技术中已知
的任何其他存储机构中。

图7示出了根据本公开主题的实施方式的示例布置。一个或多个客户端10,11,诸
如本地计算机、智能电话、平板计算设备、远程服务等,可以经由一个或多个网络7连接到其
他设备。该网络可以是一个本地网、广域网、互联网或任何其他适当的通信网络,并且可以
实现在任?#38382;?#24403;的平台上,包括有线和/或无线的网络。客户端10,11可以与一个或多个计
算机系统进行通信,如处理单元14、数据库15和用户接口系统13。在一些情况下,客户端10,
11可以与用户接口系统13进行通信,这可以提供对如数据库15、处理单元14等等的一个或
多个其他系统的访问。例如,用户接口13可以是用户可访问的网页,其提供来自一个或多个
其他计算机系统的数据。用户接口13可以为不同客户提供不同接口,如为Web浏览器客户端
10提供人类可读网页,以及为远程服务客户端11提供计算机可读API或其他接口。用户接口
13、数据库15和处理单元14可以是整体系统的一部分,或者可以包括经由?#25509;?#32593;络、互联
网、或任何其他适当的网络通信的多个计算机系统。处理单元14例如可以是如基于云的计
算系统、搜索引擎、内容传送系统等的分布式系统的一部分,该分布式系统还可以包括数据
库15和/或用户接口13,或者与它们进行通信。在一些布置中,分析系统5可以提供后端处
理,诸如存储或获取的数据在被交付给处理单元14、数据库15和/或用户接口13之前,被分
析系统5预处理。例如,机器学习系统5可以向一个或多个其他系统13、14、15提供各种预测
模型、数据分析等等。

在所公开的主题的实施方式收集用户个人信息或者可以使用个人信息的情况下,
用户可以拥有机会以控制程序或特征是否收集用户信息(例如用户的效能评分、用户的工
作产品、用户提供的输入、用户的地理位置、和与用户相关的任何其他类似数据),或者控制
是否和/或如何从可能与用户更相关的教学课程提供者接收教学课程内容。?#36865;猓?#26576;些数据
可以在被存储或使用之前以一个或多个方式被处理,以便将个人可识别信息移除。例如,用
户的身份可以被处理,从而使得不能对用户确定个人身份信息,或者与教学课程相关的用
户地理位置可以被一般化为获取位置信息的位置(诸如到城市、?#25910;?#32534;码或州级别),从而
使得不能确定用户的具体位置。因此,用户可以具有怎样对于用户收集信息以及由教学课
程提供者使用信息的控制。

上述为?#31169;?#37322;目的的说明已经参照具体实施方式被描述。然而,上述说明性的讨
论不旨在详尽的或将本公开主题的实施方式限制为所公开的精确形式。鉴于以上教导,可
以进行许多修改和变更。实施例被选择和描述以说明本公开主题的实施例及其实践应用的
原理,从而使本领域技术人员能够利用适合于特定用途的这些实施例以及具有各种变型的
各种实施例。

关于本文
本文标题:使用受保护存储限制系统调用.pdf
链接地址:http://www.pqiex.tw/p-6091812.html
关于我们 - 网?#26087;?#26126; - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

[email protected] 2017-2018 zhuanlichaxun.net网站版权所有
经营许可证编号:粤ICP备17046363号-1 
 


收起
展开
平码五不中公式规律 虚拟现实体验馆赚钱 西洋棋好玩吗 赌三公实用小技巧 美女炸金花 新时时彩官网 会赚钱的人看什么书 北京pk10免费人工计划 画材生意赚钱吗 pk10直播开奖赛车网站视频 老版深海捕鱼达人2下载安装