способ предоставления привилегий низкопривилегированной инстанции высокопривилегированной инстанцией

Формула изобретения

1. Способ предоставления привилегий низкопривилегированной инстанции высокопривилегированной инстанцией, при котором ввод привилегий для низкопривилегированной инстанции в обрабатывающий данные прибор осуществляют автоматически за счет того, что прибор перед доставкой пользователю или через радиоинтерфейс снабжают функциями для установки привилегий, чтобы с помощью высокопривилегированной инстанции, обладающей особыми привилегиями для предоставления привилегий низкопривилегированным инстанциям, установить привилегии для низкопривилегированной инстанции, при этом прибор с помощью криптографической сигнатуры в высокопривилегированной инстанции проверяет, уполномочена ли высокопривилегированная инстанция на доступ к функциям для установки привилегий для низкопривилегированной инстанции и на установку привилегий для низкопривилегированной инстанции, отличающийся тем, что для установки привилегий для низкопривилегированной инстанции осуществляют следующие операции:

- ввод высокопривилегированной инстанции в прибор уполномоченной на это машиной или лицом;

- выполнение высокопривилегированной инстанции в приборе;

доступ ко всем функциям для установки привилегий для низкопривилегированной инстанции высокопривилегированной инстанцией;

- автоматическую установку привилегий для низкопривилегированной инстанции в приборе высокопривилегированной инстанцией.

2. Способ по п.1, отличающийся тем, что высокопривилегированную инстанцию предоставляют в распоряжение пользователю, и пользователь устанавливает ее в прибор.

3. Способ по п.1, отличающийся тем, что высокопривилегированная инстанция имеется в приборе уже перед его доставкой пользователю или ее передают через радиоинтерфейс непосредственно на прибор.

4. Способ по п.1, отличающийся тем, что высокопривилегированную инстанцию выполняют в приборе автоматически.

5. Способ по п.1, отличающийся тем, что высокопривилегированную инстанцию выполняют в приборе за счет взаимодействия с пользователем.

6. Способ по п.1, отличающийся тем, что высокопривилегированную инстанцию удаляют из прибора после успешной установки привилегий для низкопривилегированной инстанции.

Описание изобретения к патенту

Чтобы контролируемым образом предоставлять привилегии инстанции в приборе, например мобильном терминале, высокопривилегированная инстанция, обладающая особой привилегией самой предоставлять привилегии, устанавливает в приборе привилегии низкопривилегированной инстанции. Для этого обычно необходимо, чтобы человек имел физический доступ к такому прибору.

Примером привилегии является право доступа к функции прибора. Обладает ли инстанция требуемой привилегией, можно идентифицировать, например, с помощью криптографической сигнатуры, которой снабжена инстанция. Для этого функции в приборе, например чтению списка контактов, можно присвоить так называемый корневой сертификат для цифровой подписи. Если сигнатура в инстанции успешно идентифицирована, то инстанция получает привилегию доступа, при необходимости, к функции.

Высокопривилегированной инстанцией может быть, например, программное обеспечение.

Обычно применяется следующий метод.

Человек, например, так называемый администратор, приводит прибор в состояние, в котором он имеет необходимые привилегии для выполнения программного обеспечения, с чьей помощью могут устанавливаться привилегии для низкопривилегированного программного обеспечения. Это состояние можно обозначить как состояние администрирования. Человек, использующий низкопривилегированное программное обеспечение, обычно не может привести прибор в это высокопривилегированное состояние. Программное обеспечение для установки привилегий выполняется администратором, и привилегии устанавливаются. Администратор снова выводит прибор из состояния администрирования.

Недостаток обычно применяемого метода состоит в том, что администратору требуется физический доступ к прибору. Либо администратор идет или едет к месту, где находится прибор, либо прибор доставляется администратору. В обоих случаях возникают расходы. В первом случае из-за времени, в течение которого администратор по пути к прибору не может работать, или из-за транспортных средств, таких как автомобиль или поезд. Во втором случае - из-за простоя или транспортировки прибора. В обоих случаях возникают к тому же дополнительные расходы из-за рабочего времени, необходимого для индивидуальной установки и администрирования. К ним относятся затраты на обучение и т.д.

Эту проблему не следует путать с импортом дополнительного корневого сертификата в браузер и т.п. пользователем. Последнее не связано с предоставлением привилегий (авторизация) подписавшимся инстанциям. Это позволяет лишь аутентифицировать подписавшиеся инстанции.

В ЕР 1353259 А1 раскрыт способ эксплуатации компьютерной системы, при котором в ней устанавливается главный модуль программы, и записываются данные главного модуля и/или дополнительного модуля программы, причем записанные данные модуля содержат лицензионную часть, которая требуется для установления наличия права пользования главным и/или дополнительным модулем, и предпочтительно еще информационную часть. Записанные данные модуля обрабатываются для приобретения дополнительного права пользования дополнительным модулем или другим дополнительным модулем, и информация о приобретении права пользования предоставляется в зависимости от результата обработки.

Задачей изобретения является усовершенствование способа предоставления привилегий низкопривилегированной инстанции высокопривилегированной инстанцией.

Эта задача решается согласно изобретению посредством признаков п.1 формулы, на содержание которого здесь дана ссылка.

Предпочтительные варианты осуществления и предпочтительные признаки изобретения приведены в зависимых пунктах формулы, на содержание которых здесь дана ссылка.

Благодаря изобретению должно достигаться, в том числе, снижение затрат и, тем самым, сокращение расходов на установку привилегий.

Предложенный способ основан на том, что ввод привилегий в приборы может быть автоматизирован и осуществлен без вмешательства администратора. Для этого прибор перед доставкой владельцу или пользователю должен быть снабжен требуемыми привилегиями, которые необходимы для того, чтобы с помощью высокопривилегированной инстанции, снабженной особыми привилегиями предоставления привилегий, установить привилегии низкопривилегированным инстанциям.

Чтобы установить в приборе привилегию, уполномоченная на это машина или лицо направляет высокопривилегированную инстанцию пользователю прибора или непосредственно на прибор. В первом случае пользователь устанавливает инстанцию в приборе. Во втором случае инстанция может быть установлена в приборе, например, уже при его доставке пользователю или может передаваться на прибор через воздушный интерфейс. Инстанция устанавливается в приборе при взаимодействии с пользователем или без него. Прибор, например с помощью криптографической сигнатуры в инстанции, может проверить, уполномочена ли инстанция на установку более низких привилегий для других инстанций. Если да, то инстанция получает, например, доступ к специальным функциям для установки привилегий. Затем инстанция устанавливает привилегии без необходимости приведения прибора пользователем в другое состояние. После успешной установки привилегий инстанция может быть снова удалена из прибора.

После установки новых привилегий уполномоченные на это инстанции могут обращаться к этим более низким привилегиям.

На чертеже изображен предпочтительный вариант способа.