本發(fā)明涉及一種用于計(jì)算裝置的操縱保護(hù)的方法。此外，本發(fā)明涉及一種計(jì)算機(jī)程序產(chǎn)品和一種用于計(jì)算裝置的操縱保護(hù)的設(shè)備。

背景技術(shù)：

計(jì)算裝置——如工業(yè)控制系統(tǒng)的完整性是用于保證其正確的功能的重要目標(biāo)。在聯(lián)網(wǎng)的控制系統(tǒng)中，例如可以在持續(xù)運(yùn)行中通過數(shù)據(jù)連接、例如以太網(wǎng)實(shí)現(xiàn)控制系統(tǒng)的操縱。對于這樣的不可靠的操縱，例如可能由攻擊者充分利用實(shí)現(xiàn)中的安全漏洞。

因此存在以下需求：即使在控制系統(tǒng)的或者控制設(shè)備的所實(shí)施的軟件的成功的攻擊的情況下限制通過惡意軟件或者經(jīng)操縱的軟件可實(shí)施的操縱。

為了防止攻擊，實(shí)現(xiàn)了常規(guī)的保護(hù)措施，如用于封閉漏洞的補(bǔ)丁、病毒掃描器或者應(yīng)用“白名單”。盡管如此，通常不能夠完全排除發(fā)生成功的攻擊。

由文獻(xiàn)WO 2012/119218 A已知，使用Linux內(nèi)核模塊用于完整性監(jiān)控。此外，已知所謂的可信平臺模塊（TPM-模塊），其僅僅當(dāng)TPM模塊的PCR寄存器（PCR；Platform Configuration Register：平臺配置寄存器）包含預(yù)給定的值的時(shí)候才釋放對加密秘鑰的訪問。PCR寄存器的值通過重置信號復(fù)位。在軟件的持續(xù)運(yùn)行中和啟動時(shí)可以補(bǔ)充測量值，例如軟件模塊的哈希值。新的PCR值作為當(dāng)前的PCR值的和所提供的測量值的哈希值而產(chǎn)生。由此，僅僅當(dāng)存在確定的軟件配置（作為用于更新PCR寄存器的測量值的結(jié)果）、由所述軟件配置產(chǎn)生所期望的PCR值時(shí)才能夠?qū)崿F(xiàn)這樣的功能的調(diào)用。因此能夠證實(shí)引導(dǎo)過程的完整性，因?yàn)閮H僅在未被操縱的引導(dǎo)過程中存在PCR測量值的相同序列。

然而，對此要求耗費(fèi)的加密計(jì)算。不同的PCR值的限制也僅僅涉及TPM模塊本身的功能。然而由此不限制主處理器單元（主CPU）的或者在所述主處理器單元上執(zhí)行的運(yùn)行系統(tǒng)的功能。

此外，眾所周知在IT系統(tǒng)上的權(quán)限管理，其中僅僅在存在權(quán)力（訪問權(quán)限）時(shí)，用戶（人類用戶或者系統(tǒng)用戶）才能夠調(diào)用功能。在普通系統(tǒng)上設(shè)置主用戶（根用戶、管理員），所述主用戶具有任意的權(quán)限、也即所有權(quán)限。這可以如此實(shí)現(xiàn)，使得對于這樣的主用戶不進(jìn)行通過系統(tǒng)的權(quán)力檢查。此外，也已知所謂的強(qiáng)制訪問控制系統(tǒng)，其中固定地通過用戶的或所訪問的對象的屬性或特征來確定權(quán)力，例如根據(jù)預(yù)先確定的安全級別。然而，必須非常耗費(fèi)地管理這樣的系統(tǒng)。此外，附加的檢查不利地導(dǎo)致延遲。

此外，眾所周知與狀態(tài)相關(guān)的狀態(tài)控制（基于狀態(tài)的訪問控制）。在此，是允許還是不允許訪問取決于當(dāng)前的系統(tǒng)狀態(tài)。此外，在關(guān)于功能安全（Safety）關(guān)鍵的系統(tǒng)中已知配置調(diào)節(jié)的封裝。在此，人類用戶可以封裝由其通過服務(wù)接口規(guī)定的安全配置。經(jīng)封裝的安全配置不能夠通過服務(wù)接口來改變，而是僅僅被完全刪除。

技術(shù)實(shí)現(xiàn)要素：

在此背景下，本發(fā)明的任務(wù)在于，改善計(jì)算裝置的操縱保護(hù)。

因此，提出一種用于計(jì)算裝置的操縱保護(hù)的方法，所述計(jì)算裝置包括被設(shè)置用于執(zhí)行軟件的、具有所分配的訪問權(quán)限的N個(gè)（其中N≥2）部件。所述方法包括以下步驟：在計(jì)算裝置的啟動過程期間撤銷對所述部件的訪問權(quán)限中的M個(gè)訪問權(quán)限（其中1 ≤ M < N），并且基于所撤銷的訪問權(quán)限來確定對所述部件的訪問權(quán)限的在軟件的執(zhí)行期間不可改變的子集X，其中X = N - M。

分配給部件的訪問權(quán)限說明訪問該部件的權(quán)力或許可。如果與此相反分配給所述部件的訪問權(quán)限缺乏，則不能夠訪問所述部件。訪問權(quán)限、也即訪問分配給所述訪問權(quán)限的部件的權(quán)力尤其確定計(jì)算裝置的配置調(diào)節(jié)。

因此，在計(jì)算單元的啟動過程期間撤銷所述訪問權(quán)限中的M個(gè)并且因此在執(zhí)行軟件期間確定對部件的訪問權(quán)限的子集X（X = N - M）。因此，在啟動過程期間實(shí)現(xiàn)配置調(diào)節(jié)的封裝。隨后，配置調(diào)節(jié)直至下一次系統(tǒng)啟動或重置不再能夠通過所執(zhí)行的軟件改變。

由此改進(jìn)計(jì)算裝置的完整性保護(hù)，因?yàn)榧词乖诔晒Φ墓舻那闆r下可通過被操縱的軟件實(shí)施的操縱也受限。

下面的示例——在該示例中控制設(shè)備（嵌入式系統(tǒng)）作為計(jì)算裝置執(zhí)行微控制器（CPU）上的控制軟件——應(yīng)該闡述本發(fā)明。在啟動過程（引導(dǎo)過程）期間，所執(zhí)行的軟件需要廣泛的權(quán)力（訪問權(quán)限），以便配置諸如硬件組件的部件或者啟動并且配置軟件部件。所述功能可以通過所謂的啟動腳本實(shí)現(xiàn)，所述啟動腳本作為用戶管理員或者根用戶（也即具有所有權(quán)力的用戶）來實(shí)施。

通過所提出的用于操縱保護(hù)的方法，根用戶在結(jié)束所述配置之后自身撤銷用于其他配置的訪問權(quán)限（權(quán)力）。然后，在所述配置上的改變也不再能夠通過根用戶進(jìn)行，在下一次系統(tǒng)啟動或重啟時(shí)才可又進(jìn)行。

因此，例如在系統(tǒng)啟動（重啟）之后通過在微控制器上執(zhí)行的軟件僅僅可以如此長時(shí)間地進(jìn)行配置調(diào)節(jié)、例如基于微控制器的控制設(shè)備的功能的或者API（Application Programming Interface：應(yīng)用編程接口）的調(diào)用，直至實(shí)現(xiàn)配置調(diào)節(jié)的封裝。尤其可以在引導(dǎo)過程期間實(shí)現(xiàn)運(yùn)行系統(tǒng)內(nèi)核的配置。在成功的封裝之后，在軟件控制下的改變通過根用戶也不可以。在再一次的重新啟動之后才又能夠?qū)崿F(xiàn)改變。

在該上下文中，操縱可以理解為從外部對計(jì)算裝置的軟件的每個(gè)未經(jīng)允許的干預(yù)，該干預(yù)導(dǎo)致在軟件上的或者在與所述軟件關(guān)聯(lián)的數(shù)據(jù)上的不期望的改變。因此，所述軟件的操縱也可能導(dǎo)致所述計(jì)算裝置的部件（執(zhí)行環(huán)境）的所不期望的改變或者導(dǎo)致對所述部件的操縱。

由此，寫訪問尤其也可以通過對確定的配置存儲器、如EEPROM存儲器或者閃存的確定的訪問權(quán)限的撤銷來禁止，使得在持續(xù)運(yùn)行中禁止所述存儲器的覆蓋。

根據(jù)一種實(shí)施方式，所述訪問權(quán)限中的多個(gè)訪問權(quán)限通過在計(jì)算裝置的存儲裝置中可存儲的標(biāo)志映射。

因此，訪問權(quán)限的撤銷和訪問權(quán)限的不可改變的子集的管理也可以通過所述標(biāo)志來管理。在另一種變型方案中，所述標(biāo)志也可以在硬件中實(shí)現(xiàn)。

根據(jù)另一種實(shí)施方式，在第一運(yùn)行模式中和在跟隨第一運(yùn)行模式的第二運(yùn)行模式中運(yùn)行計(jì)算裝置，在所述第一運(yùn)行模式中，對所述部件的訪問權(quán)限中的多個(gè)訪問權(quán)限存在（被置位），在所述第二運(yùn)行模式中，對所述部件的訪問權(quán)限中的僅僅確定的子集存在。

根據(jù)另一種實(shí)施方式，第一運(yùn)行模式被構(gòu)造為在計(jì)算裝置上的軟件的引導(dǎo)過程。

根據(jù)另一種實(shí)施方式，第二運(yùn)行模式被構(gòu)造為具有經(jīng)引導(dǎo)的軟件的計(jì)算裝置的正常運(yùn)行。

正常運(yùn)行也可以稱作規(guī)則運(yùn)行。

根據(jù)另一種實(shí)施方式，通過唯一的標(biāo)志區(qū)分第一運(yùn)行模式和第二運(yùn)行模式。

例如，被置位的標(biāo)志可以表明第一運(yùn)行模式，與此相反，未被置位的標(biāo)志可以表明第二運(yùn)行模式。

根據(jù)另一種實(shí)施方式，使用存儲單元來存儲標(biāo)志，所述存儲單元在軟件執(zhí)行期間通過借助軟件生成的指令僅僅可朝唯一的方向改變。

在該實(shí)施方式中，雖然標(biāo)志可以通過軟件命令置位，但僅僅可以通過硬件重置來重新復(fù)位。這提高了計(jì)算裝置的安全性和完整性保護(hù)。

在此，優(yōu)選地使用數(shù)字觸發(fā)器作為用于存儲所述唯一的標(biāo)志的存儲單元。

數(shù)字觸發(fā)器是用于實(shí)現(xiàn)該存儲單元的一種特別簡單并且價(jià)格適宜的方案。

根據(jù)另一種實(shí)施方式，將訪問權(quán)限的確定的子集作為列表或者作為矩陣存儲在計(jì)算裝置的存儲裝置中。

所述列表例如可以是所允許的程序文件的或者配置文件的白名單。所述白名單可以在運(yùn)行系統(tǒng)內(nèi)核中被配置并且然后也可以被封裝。然后，白名單的修改在持續(xù)運(yùn)行中不再可能，通過具有根用戶權(quán)限或者管理員權(quán)限的用戶也不能。在成功的封裝之后繼續(xù)所述引導(dǎo)過程或者啟動應(yīng)用程序。

根據(jù)另一種實(shí)施方式，在計(jì)算裝置的啟動過程期間在發(fā)生預(yù)先確定的事件的情況下撤銷對所述部件的訪問權(quán)限中的所述多個(gè)訪問權(quán)限。

根據(jù)另一種實(shí)施方式，在計(jì)算裝置的啟動過程期間在定時(shí)器到期的情況下撤銷對所述部件的訪問權(quán)限中的所述多個(gè)訪問權(quán)限。

根據(jù)另一種實(shí)施方式，在計(jì)算裝置的啟動過程期間，當(dāng)發(fā)生預(yù)先確定的事件的時(shí)候或者當(dāng)確定的定時(shí)器到期的時(shí)候撤銷對所述部件的訪問權(quán)限中的所述多個(gè)訪問權(quán)限。

根據(jù)另一種實(shí)施方式，被設(shè)置用于執(zhí)行所述軟件的部件包括至少一個(gè)硬件部件、尤其是網(wǎng)絡(luò)接口、輸入/輸出單元、看門狗、存儲器、傳感器、執(zhí)行器或者處理器和/或軟件部件、尤其是文件或者進(jìn)程。

根據(jù)另一種實(shí)施方式，計(jì)算裝置是控制設(shè)備、個(gè)人計(jì)算機(jī)、嵌入式設(shè)備、服務(wù)器或者控制計(jì)算機(jī)。

根據(jù)另一種實(shí)施方式，軟件是運(yùn)行系統(tǒng)、運(yùn)行內(nèi)核、內(nèi)核模塊、驅(qū)動器、用戶空間程序或者加載例程。

根據(jù)另一種實(shí)施方式設(shè)置以下步驟：

在確定對部件的訪問權(quán)限的子集之后，產(chǎn)生在軟件執(zhí)行期間不可改變的參考信息用于在計(jì)算裝置的啟動期間計(jì)算裝置的完整性檢查，以及

借助所產(chǎn)生的參考信息來實(shí)施完整性檢查。

此外，提出一種計(jì)算機(jī)程序產(chǎn)品，所述計(jì)算機(jī)程序產(chǎn)品在程序控制的裝置上促使上面闡述的方法的實(shí)施。

計(jì)算機(jī)程序產(chǎn)品、諸如計(jì)算機(jī)程序媒介例如可以作為存儲介質(zhì)、諸如存儲卡、USB棒、CD-ROM、DVD或者也以可下載的文件的形式由網(wǎng)絡(luò)中的服務(wù)器提供或者供應(yīng)。這例如可以在無線通信網(wǎng)絡(luò)中通過具有計(jì)算機(jī)程序產(chǎn)品或者計(jì)算機(jī)程序媒介的相應(yīng)文件的傳輸來實(shí)現(xiàn)。

根據(jù)另一方面，提出一種用于計(jì)算裝置的操縱保護(hù)的設(shè)備，所述計(jì)算裝置包括被設(shè)置用于執(zhí)行軟件的、具有所分配的訪問權(quán)限的多個(gè)部件。所述設(shè)備具有第一單元和第二單元。第一單元被設(shè)置用于在計(jì)算裝置的啟動過程期間撤銷（封鎖）對所述部件的訪問權(quán)限中的多個(gè)訪問權(quán)限。第二單元被設(shè)置用于基于所撤銷的訪問權(quán)限來確定對所述部件的訪問權(quán)限的在軟件的執(zhí)行期間不可改變的子集。

相應(yīng)的單元、例如第一單元或第二單元可以通過硬件技術(shù)和/或通過軟件技術(shù)實(shí)現(xiàn)。在通過硬件技術(shù)的實(shí)現(xiàn)中，相應(yīng)的單元可以構(gòu)造為設(shè)備或設(shè)備的一部分，例如構(gòu)造為計(jì)算機(jī)或者微處理器。在通過軟件技術(shù)的實(shí)現(xiàn)中，相應(yīng)的單元可以構(gòu)造為計(jì)算機(jī)程序產(chǎn)品、功能、例程，構(gòu)造為程序代碼的一部分或者構(gòu)造為可執(zhí)行的對象。

針對所提出的方法描述的實(shí)施方式和特征相應(yīng)地適用于所提出的設(shè)備。

根據(jù)另一方面，提出一種計(jì)算裝置，所述計(jì)算裝置具有被設(shè)置用于執(zhí)行軟件的、具有所分配的訪問權(quán)限的多個(gè)部件以及如上闡述的用于計(jì)算裝置的操縱保護(hù)的設(shè)備。

本發(fā)明的其他可能的實(shí)現(xiàn)也包括先前或者下面關(guān)于實(shí)施例描述的特征的或?qū)嵤┓绞降奈疵鞔_提出的組合。在此，本領(lǐng)域技術(shù)人員也將單獨(dú)方面作為改善或者補(bǔ)充添加至本發(fā)明的相應(yīng)的基本形式。

附圖說明

本發(fā)明的其他有利的構(gòu)型和方面是從屬權(quán)利要求和下面描述的本發(fā)明的實(shí)施例的主題。此外，根據(jù)優(yōu)選實(shí)施方式參考附圖詳細(xì)闡述本發(fā)明。

圖1示出用于計(jì)算裝置的操縱保護(hù)的方法的第一實(shí)施例的示意性流程圖；

圖2示出用于計(jì)算裝置的操縱保護(hù)的方法的第二實(shí)施例的示意性流程圖；

圖3示出用于計(jì)算裝置的操縱保護(hù)的設(shè)備的一個(gè)實(shí)施例的示意性電路框圖；

圖4示出計(jì)算裝置的一個(gè)實(shí)施例的示意性電路框圖；

圖5示出用于計(jì)算裝置的操縱保護(hù)的方法的第三實(shí)施例的示意性流程圖；

圖6示出用于計(jì)算裝置的操縱保護(hù)的方法的第四實(shí)施例的示意性流程圖；

圖7示出用于計(jì)算裝置的操縱保護(hù)的方法的第五實(shí)施例的示意性流程圖。

具體實(shí)施方式

在圖1中示出用于計(jì)算裝置的操縱保護(hù)的方法的第一實(shí)施例的示意性流程圖。

計(jì)算裝置包括被設(shè)置用于執(zhí)行軟件的、具有所分配的訪問權(quán)限的多個(gè)部件。分配給部件的訪問權(quán)限說明訪問該部件的許可。如果與此相反分配給所述部件的訪問權(quán)限缺乏、也即訪問權(quán)限未被授予，則不能夠訪問所述部件。

訪問權(quán)限可以通過標(biāo)志來管理。標(biāo)志例如存儲在計(jì)算裝置的存儲裝置中。計(jì)算裝置的被設(shè)置用于執(zhí)行軟件的部件可以包括硬件部件和/或軟件部件。用于硬件部件的示例是網(wǎng)絡(luò)接口、輸入/輸出單元、看門狗、存儲器、傳感器、執(zhí)行器或者處理器。軟件部件可以包括文件或進(jìn)程。

計(jì)算裝置例如是控制設(shè)備、控制系統(tǒng)、嵌入式控制設(shè)備、個(gè)人計(jì)算機(jī)、嵌入式設(shè)備、服務(wù)器或者控制計(jì)算機(jī)。計(jì)算裝置例如包括微控制器或者微處理器。軟件例如是運(yùn)行系統(tǒng)、運(yùn)行內(nèi)核、內(nèi)核模塊、驅(qū)動器、用戶空間程序或者加載例程。

圖1的方法包括以下步驟S11和S12。

在步驟S11中在計(jì)算裝置的啟動過程期間撤銷對所述部件的訪問權(quán)限中的多個(gè)訪問權(quán)限。如果例如N表示訪問權(quán)限的數(shù)目并且M表示所撤銷的訪問權(quán)限的數(shù)目，則1 ≤ M < N。

在步驟S12中，基于所撤銷的訪問權(quán)限來確定對所述部件的訪問權(quán)限的在軟件的執(zhí)行期間不可改變的子集X（X = N - M）。

因此，優(yōu)選在第一運(yùn)行模式中和在跟隨第一運(yùn)行模式的第二運(yùn)行模式中運(yùn)行計(jì)算裝置，在所述第一運(yùn)行模式中，對所述部件的訪問權(quán)限中的所述多個(gè)訪問權(quán)限存在（被置位），在所述第二運(yùn)行模式中，對所述部件的訪問權(quán)限中的僅僅確定的子集存在。第一運(yùn)行模式例如是軟件的引導(dǎo)過程，其中第二運(yùn)行模式于是是計(jì)算裝置的正常運(yùn)行或規(guī)則運(yùn)行。例如，第一運(yùn)行模式和第二運(yùn)行模式通過唯一的標(biāo)志來區(qū)別。

尤其是為了存儲標(biāo)志而使用存儲單元，所述存儲單元在軟件執(zhí)行期間通過借助軟件生成的指令僅僅朝唯一的方向可改變。因此，所述標(biāo)志可以通過軟件命令置位，但僅僅可以通過硬件重置來重新復(fù)位。用于這樣的存儲單元的示例是數(shù)字觸發(fā)器。所述標(biāo)志也可以稱作封裝標(biāo)志。

例如將訪問權(quán)限的確定的子集作為列表或者作為矩陣來管理。在所述計(jì)算裝置的啟動過程期間在發(fā)生預(yù)先確定的事件的情況下（事件觸發(fā)地）和/或在定時(shí)器到期的情況下（時(shí)間觸發(fā)地）撤銷對所述部件的訪問權(quán)限中的所述多個(gè)訪問權(quán)限。因此，可以通過軟件命令（事件觸發(fā)地）進(jìn)行配置調(diào)節(jié)的封裝或者自動地時(shí)間控制地，例如在一分鐘或者五分鐘之后進(jìn)行。優(yōu)選在復(fù)位或者系統(tǒng)啟動時(shí)對定時(shí)器置位。因此，在可預(yù)給定的從重置或者系統(tǒng)啟動起的持續(xù)時(shí)間到期之后自動進(jìn)行封裝。存儲單元尤其可以具有以下定時(shí)器，所述定時(shí)器在可預(yù)給定的從硬件重置起的持續(xù)時(shí)間到期之后對所述存儲單元的標(biāo)志自動置位。

時(shí)間控制的變型方案可以被構(gòu)造為備用變型方案（Rückfallvariante）并且具有以下優(yōu)點(diǎn)：與所執(zhí)行的軟件無關(guān)地自動進(jìn)行封裝，因此也無需所執(zhí)行的軟件明確促使封裝。

圖2示出用于計(jì)算裝置的操縱保護(hù)的方法的第二實(shí)施例的示意性流程圖。計(jì)算裝置、軟件和部件可以具有如關(guān)于圖1描述的特性和特征。

根據(jù)圖2的方法包括步驟S21至S24。

在步驟S21中，在計(jì)算裝置的啟動期間產(chǎn)生并存儲用于所述計(jì)算裝置的完整性檢查的參考信息。所述參考信息應(yīng)在所述完整性檢查的稍后執(zhí)行期間不可改變。

在步驟S22中，在所述計(jì)算裝置的啟動過程期間撤銷對所述部件的訪問權(quán)限中的多個(gè)訪問權(quán)限。因此進(jìn)行封裝。在此，特別封鎖對在步驟S21中存儲的參考信息的寫訪問。對此，可以通過軟件命令來對封裝標(biāo)志置位。

在步驟S23中，基于所撤銷的訪問權(quán)限來確定對所述部件的訪問權(quán)限的在軟件的執(zhí)行期間不可改變的子集。

在步驟S24中，借助所產(chǎn)生的參考信息實(shí)施完整性檢查。步驟S23和S24也可以以相反的順序或者同時(shí)被實(shí)施。

在圖3中示出用于計(jì)算裝置101的操縱保護(hù)的設(shè)備10的一個(gè)實(shí)施例的示意性電路框圖。計(jì)算裝置101可以包括如關(guān)于圖1描述的特性和特征。該計(jì)算裝置101的一個(gè)示例在圖4中示出。

圖3的設(shè)備包括第一單元11和第二單元12。

第一單元11被設(shè)置用于在計(jì)算裝置101的啟動過程期間撤銷對所述部件的訪問權(quán)限中的多個(gè)訪問權(quán)限。

第二單元12被設(shè)置用于基于借助第一單元11撤銷的訪問權(quán)限來確定對所述部件的訪問權(quán)限的在所述軟件的執(zhí)行期間不可改變的子集。

圖4示出計(jì)算裝置101的一個(gè)實(shí)施例的示意性電路框圖。計(jì)算裝置101可以是嵌入式控制設(shè)備?？刂圃O(shè)備101包括應(yīng)用區(qū)域102（用戶模式、應(yīng)用）、運(yùn)行系統(tǒng)區(qū)域103（內(nèi)核模式、操作系統(tǒng)）和硬件104。

應(yīng)用區(qū)域102可以包含不同的應(yīng)用105、106和107。硬件104包括CPU 108、不同的存儲器109、110，諸如RAM存儲器109和閃存110、輸入/輸出單元111和網(wǎng)絡(luò)接口112（CNI通信網(wǎng)絡(luò)接口）。CPU 108包括根據(jù)圖3的設(shè)備。S/A模塊101、103可以通過輸入/輸出單元111耦合。網(wǎng)絡(luò)接口112被設(shè)置用于將計(jì)算裝置101與網(wǎng)絡(luò)200，例如LAN（局域網(wǎng)）耦合。

在硬件104上執(zhí)行運(yùn)行系統(tǒng)103，例如嵌入式Linux。在內(nèi)核模式103中執(zhí)行運(yùn)行系統(tǒng)內(nèi)核。內(nèi)核103可以調(diào)用任意操作，也即在運(yùn)行系統(tǒng)內(nèi)核內(nèi)不設(shè)置訪問控制。通過內(nèi)核103將應(yīng)用105至107作為進(jìn)程來執(zhí)行。進(jìn)程分配給（系統(tǒng)）用戶（例如作為根用戶、用戶、控制）。據(jù)此給進(jìn)程分配權(quán)力（訪問權(quán)限）。僅僅在存在所要求的權(quán)力時(shí)進(jìn)程才可以調(diào)用運(yùn)行系統(tǒng)功能。運(yùn)行系統(tǒng)103在啟動過程中從引導(dǎo)加載程序加載。也可以實(shí)現(xiàn)多級引導(dǎo)方案。例如，初始引導(dǎo)加載程序可以從閃存加載并執(zhí)行第二階段引導(dǎo)加載程序。該引導(dǎo)加載程序從閃存110加載運(yùn)行系統(tǒng)映像并且執(zhí)行所述運(yùn)行系統(tǒng)映像。該引導(dǎo)加載程序?qū)碜蚤W存110的運(yùn)行系統(tǒng)映像加載到RAM存儲器109中并且遞交執(zhí)行控制。運(yùn)行系統(tǒng)103在一開始以引導(dǎo)腳本的執(zhí)行啟動。在此，例如將內(nèi)核模塊加載到運(yùn)行系統(tǒng)內(nèi)核中。配置硬件104。此外，啟動系統(tǒng)進(jìn)程。在引導(dǎo)過程結(jié)束時(shí)啟動應(yīng)用程序105-107。

圖5至7示出三個(gè)變型方案，如何可以將封裝集成到引導(dǎo)過程中。因此，圖5示出方法步驟S50-S57的以下順序：

S50：重置；

S51：引導(dǎo)加載程序的第一階段；

S52：引導(dǎo)加載程序的第二階段；

S53：OS引導(dǎo)加載程序；

S54：OS內(nèi)核；

S55：啟動腳本；

S56：內(nèi)核-配置的封裝；

S57：一個(gè)（多個(gè)）應(yīng)用的啟動。

此外，圖6示出方法步驟S60-S68的以下順序：

S60：重置；

S61：引導(dǎo)加載程序的第一階段；

S62：引導(dǎo)加載程序的第二階段；

S63：OS引導(dǎo)加載程序；

S64：OS內(nèi)核；

S65：啟動腳本（第一部分）；

S66：內(nèi)核-配置的封裝；

S67：啟動腳本（第二部分）；

S68：一個(gè)（多個(gè)）應(yīng)用的啟動。

此外，圖7示出方法步驟S70-S79的以下順序：

S70：重置；

S71：引導(dǎo)加載程序的第一階段；

S72：引導(dǎo)加載程序的第二階段；

S73：OS引導(dǎo)加載程序；

S74：OS內(nèi)核；

S75：啟動腳本（第一部分）；

S76：內(nèi)核-配置的封裝；

S77：啟動腳本（第二部分）；

S78：用于完整性檢查的參考信息的封裝

S79：一個(gè)（多個(gè)）應(yīng)用的啟動。

例如可以在結(jié)束啟動腳本（例如參見步驟S55）之后或者在結(jié)束啟動腳本的第一部分（例如參見步驟S66）之后進(jìn)行封裝。也可以的是，設(shè)置多個(gè)封裝（參見步驟S76和S78），所述多個(gè)封裝涉及不同的或者至少部分不同的功能。因此，在進(jìn)行控制設(shè)備101的常規(guī)運(yùn)行模式之前，例如可以封裝用于計(jì)算裝置的完整性檢查的參考信息（參見步驟S78）。

在附圖中，相同的或功能相同的元素配備有相同的附圖標(biāo)記，除非另有說明。

盡管已經(jīng)根據(jù)實(shí)施例描述了本發(fā)明，但本發(fā)明可以通過多種多樣的方式修改。