公開了用于提供安全服務的系統、方法和機器可讀介質。所述方法包括接收應用對象代碼的修改，以允許軟件應用發送對安全服務的請求；從存儲器檢索對應于軟件應用的修改后的應用對象代碼；經由處理器從修改后的應用對象代碼接收對安全服務的請求；并且經由處理器提供安全服務。公開了根據所述方法執行操作的系統和機器可讀介質。

對相關申請的交叉引用

本申請要求于2014年3月14日提交的美國專利申請No.14/213,244的權益并且是其繼續申請，而申請14/213,244是于2013年3月15日提交的美國專利申請No.13/841,498的部分繼續申請，這兩個申請的全部內容通過引用被結合于此，用于所有目的。

技術領域

本公開內容一般而言涉及用于提供安全服務的系統、方法和機器可讀介質。更具體而言，本公開內容涉及用于向軟件應用提供安全服務的系統、方法和機器可讀介質，其中，除其它的之外，安全服務還包括認證、授權、審計、單點登錄、安全策略實施、密鑰管理和分配、安全通信、安全數據存儲以及安全數據共享。

發明內容

公開了用于提供安全服務的系統、方法和機器可讀介質。根據本公開內容的特征，系統包括存儲器和處理器。存儲器可用于存儲多個應用數據，每個應用數據與軟件應用關聯并且包括應用對象代碼。處理器可以包括安全管理器應用模塊。安全管理器應用模塊可以對經由軟件應用的請求作出響應，該請求是來自由對象代碼修改模塊修改的應用對象代碼的對安全服務的請求，修改后的應用對象代碼促進對安全服務的請求發送到安全管理器應用模塊。

在一種實施例中，對象代碼修改模塊可以被用來通過引入動態或靜態庫、添加加載命令、符號替換、交叉混合(swizzling)和插入(interposing)當中的至少一個來修改應用對象代碼。在另一種實施例中，安全管理器應用模塊可以生成選自由認證令牌、認證密鑰和安全通信信道組成的組當中的安全工件(artifact)，安全管理器應用模塊響應于接收到對安全服務的請求而把安全工件發送到軟件應用。由對象修改模塊接收并修改的應用對象代碼可以處于未簽署形式。

根據本公開內容的特征，應用對象代碼可以在應用對象代碼被對象代碼修改模塊修改之前被對象代碼簽名轉換模塊從已簽署形式轉換為未簽署形式；并且在應用對象代碼被對象代碼修改模塊修改之后從未簽署形式轉換為已簽署形式。在一種實施例中，對象代碼修改模塊可以在應用對象代碼的修改之前把應用對象代碼從已簽署形式轉換為未簽署形式，并且可以在應用對象代碼的修改之后把應用對象代碼從未簽署形式轉換為已簽署形式。

在一種實施例中，應用對象代碼的修改可以包括修改被軟件應用使用的編程接口、類、對象和函數當中的至少一個。應用對象代碼的修改可以包括用于確保與安全策略的兼容性的策略引擎的引入。安全策略可以選自由數據泄漏預防與訪問控制策略組成的組。

根據本公開內容的特征，安全管理器應用模塊可以包括用于確保軟件應用與安全策略的兼容性的策略引擎。安全管理器應用模塊可以把安全策略發送到軟件應用，用于執行。安全策略可以應用到軟件應用的一部分、單個軟件應用以及多個軟件應用當中的至少一個。在一種實施例中，策略引擎是動態策略引擎，安全策略基于選自由執行上下文、外部事件、明確的策略重定義以及改變組和角色成員資格組成的組當中的至少一個。在另一種實施例中，安全策略是從遠程策略服務器檢索的。在還有另一種實施例中，第一軟件應用從遠程策略服務器檢索安全策略，并且第二軟件應用從第一軟件應用檢索安全策略。從策略引擎的執行得到的數據可以發送到安全管理器應用模塊和/或策略服務器。