CN101198947A

CN101198947A - 对web服务第三方扩展的安全且稳定的主存

Info

Publication number: CN101198947A
Application number: CNA2006800210427A
Authority: CN
Inventors: G·C·亨特; J·R·劳瑞斯; A·G·格朗纳瑞斯; R·E·安德斯
Original assignee: Microsoft Corp
Current assignee: Microsoft Technology Licensing LLC
Priority date: 2005-06-20
Filing date: 2006-05-19
Publication date: 2008-06-11
Anticipated expiration: 2026-05-19
Also published as: EP1896978A4; WO2007001679A3; JP5043003B2; US8849968B2; WO2007001679A2; CN101198947B; EP1896978A2; BRPI0611985A2; RU2007147464A; US20070011199A1; JP2008547114A; MX2007016218A; RU2424556C2; KR20080028877A; KR101343258B1; EP1896978B1

Abstract

在此描述了包括通过通信网络(例如，因特网)的标准web服务集和用于扩展该标准web服务集以执行一个或多个扩展web服务的机制的一个或多个计算机操作环境。由于这些扩展web服务集可能是由未确认或不受信任的源(例如，第三方软件开发商)生成的，所以所述计算机操作系统将扩展web服务与标准web服务集和通信网络隔离开来。此外，每个扩展web服务是与其它服务通信的能力受限的隔离进程(isoproc)。具体而言，每个isoproc的通信能力被仅限于它在其上具有通信的明确许可的相关联的规定通信通道。

Description

对web服务第三方扩展的安全且稳定的主存

相关申请

本申请要求2005年6月20日提交的美国临时专利申请No.60/692,190的优先权。

背景

一些主要的商务Web服务(例如，电子零售商、搜索引擎等)具有由被组合以构建其web应用的许多服务(例如，200个以上)组成的平台。它们给出了软件开发工具包(SDK)以允许第三方使用这些服务(通过web协议)来创建新的应用。商务Web服务之所以希望第三方这么做是因为它为商务Web服务招揽了业务、广告、和/或销售。第三方希望构建这些应用，因为他们从其所招揽的每笔销售的商务Web服务中赚钱。

问题在于这些商务Web服务不具备主存其平台内的第三方代码的良好方法。第三方使用现有技术主存其自己的网站。这对于第三方是不利的，因为他们必须构建网站、需要服务器和网络连接、并管理和运行其服务器(即使他们会雇人来管理其服务器)。取决于具体情形，这会是在联网、安全性、分布式系统、系统升级等方面要求专业技术的非常复杂的任务。该情形对于商务Web服务是不利的，因为它造成了阻碍新的第三方对其平台开发扩展的障碍。

商务Web服务不主存第三方代码，因为不存在廉价而安全的途径来这么做。商务Web服务主存第三方代码的常规选择主要是：将代码放在自己的服务器(非常昂贵)、使用类似于VMWare^TM或虚拟服务器(相当昂贵)的虚拟机监视器(VMM)来将代码放在自己的基于软件的虚拟机上或者信任代码(不安全)。

即使使用前两种选择，由于第三方代码具有对所有网络栈的接入，所以商务Web服务必须在其周围设置防火墙(可能为昂贵的静态防火墙)以防止其与服务的服务器不恰当地通信或防止其执行诸如向外界发送多余的垃圾邮件等不恰当的动作。商务Web服务运行第三方代码的另一不切实际的解决方案是诸如太阳公司(Sun)的Java虚拟机(JVM)或.NET AppDomains等的基于语言的虚拟机。虽然比物理硬件或VMM解决方案便宜很多，但基于语言的VM解决方案是非柔性的，从而严重限制了可被安全运行的第三方代码的结构。同时，基于语言的VM解决方案由于扩大了易损面且因为其不能充分地限制资源使用所以牺牲了安全性。

商务Web服务不具有允许它们廉价而安全地将第三方代码主存在其使用服务运行专业知识的数据中心中的常规途径。独立软件供应商(ISV)不具有安全而廉价地赋予他们按其设计需求所指示编写新的扩展并容易地将其嵌入在商务Web服务的服务器中的柔性的常规途径。

仅使用现有的常规途径，用代码创建或扩展现有web应用的开发商必须精通运行数据中心的专业知识。开发商必须忍受服务器调配、服务器管理、修补、操作规划、服务部署、负载平衡、备份等麻烦。

例如，比方说叫做希望软件公司(Hope Software Corporation)(HSC)的虚构公司，希望扩展被称为世界地图Web服务(WMWS)的服务。HSC希望通过将来自各个网站和多清单服务(MLS)房地产清单的房子绘制到来自WMWS的卫星地图上来扩展该WMWS服务。假定WMWS提供了用以构建该应用所需的应用程序设计接口(API)，HSC还是必须处理作为web应用所带来的运行负担。假设HSC的应用确实很受欢迎并且在一极为流行的网站中起到极为重要的作用。现在，HSC必须确保它们的应用可升级至处理可能在数小时内出现的额外负荷。HSC必须确保在它们的机器中有一台死机的情况下其应用从容地失败(fail over)。HSC知道如果它们不能每星期7天24小时地服务客户，则有其它公司能够做到。

另一个和家用更近的示例，比方说Bob修改被称为共享文档Web服务(SDWS)的服务。Bob用路由文档的少量工作流逻辑修改SDWS以期在其工作组中获得认可。Bob的工作组现在不得不仅由于一点额外的自定义就要为获得服务器、部署操作系统和SDWS、修补、将其备份等麻烦而担心。总之IT部门无法完全摆脱这一困境。现在有另一种浮置于企业中的SDWS的一次性部署并且对于该服务器管理的任何过失都会造成额外的安全性风险和支持成本。

在又一示例中，比方说HSC可修改(这里“mod”)如Everquest^TM或Worldof Warcraft^TM等大型多玩家在线游戏(MMOG)。这样，HSC创建其自己的地带、怪兽、以及人工智能(AI)。尽管有客户机端游戏修改的巨大成功，但根本看不到对MMOG的修改，因为MMOG操作员没有用以隔离MMOG服务器上的各个修改的安全而可靠的机制。

存在其中开发商想要扩展现有的web服务的无数情形。即使在公开了对web服务的基于网络的接口时，扩展web服务也是昂贵而困难的，因为开发该扩展的程序员在开发代码之外还被迫成为了服务供应商。

当然也有第三方可在其处租用托管服务器并运行其代码的主宿数据中心。但在此情形中，第三方实质上仅获得了硬件箱(hardware box)。第三方并没有扩展诸如用于在线广告、协作、业务处理、游戏等的现有web服务。第三方仍需为服务部署、负荷平衡、备份等操心。并且这仍然涉及到成本。如果HSC只是想要尝试一个想法，则就使用服务供应商而言，仅用于主存的成本就可能接近每年1000美元。

至此，我们仅描述了因特网的情景。值得明确提出的是，在此描述的技术适用于较广范围的计算情景。例如，需要扩展的“web服务”实际上可以是诸如移动手机设备或个人计算机等任意的计算节点。它甚至可以是诸如对等设备或格型网络等任意的计算系统。考虑如用于分析无线电信号的SETI@home分布式处理系统这样的项目。在该设置中，所参与的每台PC的每个所有者都需要“信任”该SETI@home软件并非恶意的。然而，该软件是相对固定的，例如对于任意一个宇航员而言，快速地使用这数千台计算机的资源来评价新的无线电信号分析算法的不可能的。

这种情景与早先所述的web服务的情景极为相似，只不过上述“商务web服务”在该情形中实际上是分布式计算网格。总之，这可以被建模为需要扩展的web服务。

概要

本文所描述的是将第三方扩展与web服务的其它组件隔离同时明确定义和限制该第三方扩展具有与谁以及如何交互和通信的许可的技术。本文所述的是一个或多个计算操作环境，这些环境包括经由通信网络(例如因特网)的标准web服务集和用于扩展标准web服务集以执行一个或多个经扩展的web服务的机制。因为这些经扩展的web服务可通过未确认或未受信任的源(例如第三方软件开发商)来生成，所以所描述的计算机操作环境将经扩展的web服务与标准web服务集以及通信网络隔离开。此外，每个经扩展的web服务是与其它服务通信的能力受限的隔离进程(isoproc)。具体而言，每个隔离进程的通信能力仅限于所限定的、具有在其上通信的明确许可的通信通道。

本概要被提供用于以简化形式介绍将在以下具体描述中进一步描述的概念的精选。本概要并非旨在标识所要求保护的主题的关键特征或本质特征，也并非旨在用于帮助确定所要求保护的主题的范围。

附图简述

贯穿所有附图使用了相同标号来表示类似要素或特征。

图1是在此所述的实现的一个框图。

图2是在此所述的实现的一个框图。

图3是示出了在此所述的方法实现的一个流程图。

具体描述

这里所描述的是将由第三方开发商(也被称为独立软件供应商，ISV)所写的扩展与web服务的其它组件隔离开来同时明确定义该第三方扩展具有与谁(以及如何)交互和通信的许可的技术。该第三方扩展被与其它应用或服务隔离开，从而使得可以执行未受信任的第三方代码而不用有任何担忧(关于安全性、稳定性以及可靠性)。

这里所描述的是提供易于维护的计算机操作环境(例如，web服务器的操作系统)和用于执行第三方软件的安全主存环境的一个或多个实现。典型计算机操作环境包括通过通信网络(例如，因特网)的标准web服务集以及用于其它未确认或未受信任的源(例如，第三方软件开发商)向该标准web服务集添加扩展的机制。

为了确保安全性，所述计算机操作系统将该经扩展的web服务与标准web服务集以及通信网络隔离开来。此外，每个经扩展的web服务是与其它服务通信的能力受限的隔离进程(isoproc)。具体而言，每个隔离进程的通信能力仅限于所限定的、具有在其上通信的明确许可的通信通道。

上下文和示例性情景

在此所述的示例性实施例是对由许多软件公司和外方所提供的现有web服务的补充。这些示例性实施例是针对如在“背景”章节所介绍的Bob和希望软件公司(HSC)的开发商。这些开发商希望扩展现有服务或创建新的服务而无需操心服务运行。

例如，假设HSC正在西雅图其所关注的一些邻近区域-Queen Anne和Leschi-寻找要买的房子。HSC每天花费近45分钟来梳理用于各个基于web的房地产编目服务上的销售编目的房子。HSC看到了世界地图Web服务(WMWS)并感叹如果看到用于销售的房子被绘制在WMWS中的地图上将是多么好的事情。这只是HSC在其业余时间要做的副项目。

HSC写入其将来自各个基于web的房地产编目服务的数据显示到WMWS上的代码。由于HSC无需考虑将其主存在哪、花费多少成本、购买服务器等因素，所以HSC之后仅需简单地“发布”该解决方案以使其友人也可使用它。随着HSC解决方案欢迎度的增加，HSC开始添加如犯罪率统计、销售项目、更多城市、移动设备接入、以及警报等的更多特征。HSC购买了域名以及各种搜索引擎关键字以为其应用招揽业务。该web服务(它采用了本文所述的示例性实施例中的至少一个)继续为其现在以百万计的用户群运行该解决方案。

对于该情景，web服务主存运行示例性实施例中的至少一个的机器集群，ISV在其上将其应用构建到现有基础设施端。一种想法是采用现有的web服务并增加其数据中心中采用示例性实施例中的至少一个的服务器。任何第三方可扩展性代码在由本文所述的示例性实施例的至少一个所提供的隔离边界中运行。为了获得数据，该代码仅使用标准web服务API来访问现有的服务基础设施。

这些示例性实施例可以是大型多玩家在线游戏(MMOG)的平台。允许终端用户修改(“mod”)其MMOG体验将会改善他们的体验并可能会减少订户流失。MMOG是大规模多用户分布式游戏或模拟器的一个示例。

有时每星期花费超过40小时来玩游戏的铁杆游戏玩家通常是玩MMOG。MMOG产业的一个重要的流失源是由在用户感觉已经征服了游戏所提供的全部挑战时的厌倦以及用户在游戏世界中投入了一年或更多时间之后的流动所引起的。通常用户花费约两年时间玩一个游戏。订户群的减少明显会导致利润显著下降。

一种使订户流失最小化的方法是不断以新的等级、技能、角色等来丰富该游戏。最佳射手游戏已经在利用用户社区来创建‘mod’上取得了巨大成功。这些mod包括复杂的新技能、经改进的游戏引擎、新等级、新主题、新角色等。另一方面，MMOG还不能获得用户贡献的回报。

在此所述的一个示例性实施例可提供具有游戏工作室的mod工具包。这样，用户将能够创建mod，而MMOG可确信安全且可靠地运行这些mod。

使用在此所述的示例性实施例的方法的四个关键的理想特征在于：安全性、可升级性、可靠性和低成本。

安全性宗旨是起主要推动作用的特征。安全性意味着该系统可采用任意未知代码并安全地运行它，而无需担心破坏操作系统本身、数据中心、或其它程序。这里有至少两个值得注意的情形：由于基于扩展的内插件有隐错或恶意代码而导致不利的影响。不利影响可能意味着例如，必须关闭服务、数据污染、服务假冒等。

就可靠性来说实际上有两个方面：方案本身的可靠性，以及数据中心的可靠性。数据中心不应由于有隐错的第三方代码而遭遇停止运行或其它可靠性问题。类似地，正确代码的作者也不会希望数据中心故障(例如，硬驱动器故障)影响其代码。

另外，示例性实施例可采用旨在对扩展隐藏数据的“伪装(cloaking)机制”。例如，示例性实施例可处理该web服务的消费者的订单，但该web服务可能不希望将某些敏感信息提供给该扩展。相反，该web服务在将信息提供给扩展时用伪信息或替换信息来代替这些敏感信息。因此，该扩展决不会发现该敏感信息。

隔离进程(IsoProc)

图1示出了具有一个或多个处理核心(例如，处理器和相关硬件)以及一个或多个存储器子系统的典型主计算系统100。该主计算系统100可以是单个计算机或协同工作的多个互联计算机。

如图1中所示，主计算系统100具有两个不同的存储器子系统：存储器110和硬件/固件140。存储器110是可在其中存储软件的典型存储器子系统的一个示例。存储器110可以是可由主计算系统100访问的任何可用的处理器可读介质。存储器110可以是易失性或非易失性介质中的任意一种。另外，它也可以是可移动或不可移动介质中的任意一种。硬件/固件140是可在其中存储计算机可执行指令的典型硬件(例如，ROM)或固件的一个示例。

在图1中，存储器110和硬件/固件140被描绘为两个分离区域以强调它们的不同特性，但实际上，高层的操作系统不会在它们之间作较大区分。实质上，存储在硬件/固件140中的可执行指令可以是存储器110的可寻址存储器范围的一部分。

主计算系统100具有提供供诸如SIP 130和SIP 140等软件隔离进程(SIP)使用的架构的操作系统(由存储器110中的OS内核120表示)。在主计算系统100中，该OS中的非内核代码在SIP中运行。SIP通过强类型化通信通道在彼此之间、与OS、以及与通信网络180通信。具体而言，SIP仅能通过它具有明确使用许可(来自OS)的通信通道来与其它进程和内核通信。该许可定义了SIP与谁以及如何与其它进程、与OS、以及通信网络180通信。

如图1中所示，硬件/固件140显示了硬件隔离进程150(HIP)和固件隔离进程160(FIP)的示例。这实质上与SIP相等同，区别在于它们的代码不是存储在工作的主存储器中(如存储器110)。

作为包含性的术语名词，这里使用了术语“隔离进程”及其缩写表示“isoproc”。所定义的“隔离进程”及其示例明确包括SIP、HIP、以及FIP。所以，除非上下文清楚地指示，否则这里对“isoproc”的引用包括SIP、HIP、和/或FIP的概念在内。

isoproc与传统OS进程稍有不同。isoproc具有较强的隔离边界(在隔离方面与VM非常相似)。一个isoproc除了通过类型化通道通信之外不能与另一isoproc通信或改变其状态——即没有共享存储器等的概念。该隔离边界仅是该安全性模型中的一较强和较重要的层。实际上，isoproc仅能通过对其具有明确许可的用于此类通信的通信通道来通信。

OS所授予的明确许可定义了主题isoproc的相关联规定通信通道的通信属性，其中这些属性包括以下属性中的一个或多个：

·主题isoproc可与哪些其它isoproc通信；

·该系统上isoproc可跨通道访问的资源；

·该系统上isoproc可与其交互的其它进程；

·接入通信机制(例如，TCP或web协议)以与其它系统通信的能力；

·与特定系统通信的能力；

·通信类型；

·通信的速率、量、以及时间

由于OS确切地知道在每个isoproc中运行什么代码从而使安全性模型得到进一步加强。isoproc中的代码在具有公知且可描述特性的分开的隔离区域中运行。此外，在每个基于软件的isoproc中运行的代码都被检验以确保存储器安全且不含任何在硬件上具有特权的指令。多个isoproc可在同一硬件保护域中运行，甚至是在OS内核120的硬件保护域中运行。通过在OS内核120的同一硬件保护域中运行，在不同isoproc中调用代码的成本极低。

以下美国专利申请通过引用被包括于此：

·2005年4月29日提交且题为“Inter-Process Interference Elimination(进程间干扰消除)”的申请No.11/118,684；

·2004年12月7日提交且题为“Inter-Process Communications EmployingBi-directional Message Conduits(采用双向消息管道的进程间通信)”的申请No.11/007,655；

·2004年12月7日提交且题为“Self-Describing Artifacts and ApplicationAbstractions(自描述工件和应用抽象)”的申请No.11/007,808。

在此所述的实施例采用了在包括于此的这些引用中所描述的技术。具体而言，用于进程间冲突消除和进程间通信的技术可被用于isoproc。换言之，这些技术被用于将第三方扩展与该web服务的其它组件隔离开，同时明确地定义它具有与谁通信的许可。

示例性环境

图2示出了具有支持和提供isoproc的操作系统(由OS内核210表示)的主计算环境200。该主计算环境200提供了用于运行诸如扩展isoproc 220等第三方代码的廉价而安全的主存环境。第三方(例如，软件或web服务开发商)写入他们的扩展isoproc 220从而使代码在主计算环境200中其自己的isoproc中运行。

OS 210包括通信通道管制器212，它是OS当中明确授予isoproc使用通信通道的许可的组件。该许可定义了规定通信通道的通信属性。在没有来自通信通道管制器212的明确许可的情况下，扩展isoproc 220完全无法与全域中任何地方的任何其它代码通信(甚至OS网络栈或OS文件系统也不行)。

对于该示例性实施例，扩展isoproc 220通过通信通道232接收来自网络服务isoproc 230的传入请求。网络服务isoproc 230起扩展isoproc 220与诸如因特网的外部通信网络260之间的中介的作用。网络服务isoproc 230负责处理扩展isoproc220与外界(例如，因特网160)之间的通信。在一替换性实施例中，当扩展isoproc220已被静态地检查和检验不会执行违背外部通信网络的任何违禁操作时，网络服务isoproc 230可用对外部通信网络260的直接连接来代替。

扩展isoproc 220使用OS提供的跨进程通信通道与该主计算系统上的web服务代理isoproc 240通信。web服务代理isoproc 240起扩展isoproc 220与诸如包含世界地图web服务的地图的数据库系统等其它内部web服务250之间的中介。web服务代理isoproc 240负责处理来自扩展isoproc 220的请求以及与web服务的服务器250通信。为此，可采用诸如SOAP等任何有效并可用的协议。在一替换性实施例中，当web服务代理isoproc 240的代码当中的过滤特征被可检验地插入到扩展isoproc 220代码中时，web服务代理isoproc 240可被替代。

如所描述的，通道232和242仅是扩展isoproc 220具有明确使用许可的两个由OS提供的跨进程通信通道。

网络服务isoproc 230和web服务代理isoproc 240可被统称为“协调器(mediator)”。这是因为它们起扩展isoproc 220与诸如web服务服务器250和因特网260等其它数据源之间的中介或协调器的作用。

每个isoproc具有对OS内核的单独和分开的接口(通常被称为应用程序设计接口(API)或应用二进制接口(ABI))，每个isoproc可通过其从OS请求计算资源，诸如创建执行的新线程，但不能直接影响任何其它isoproc的状态。该接口允许扩展isoproc 220控制自身的执行，但不能影响其它isoproc的执行。通过设计，该接口不会被破坏以作为跨进程通信的机制。在没有isoproc的开发商的明确许可时，不能截取、修改isoproc对该内核的接口或侦听其内容。

在该示例性环境下：

·扩展isoproc 220仅可与诸如网络服务isoproc 230和web服务代理isoproc 240等协调器通信。

·在这些协调器处理所有分布式计算问题时，扩展isoproc 220的作者无需写入分布式代码。这是合乎需要的，因为web服务开发商通常已经确定了如何使用已知的分布式计算解决方案以使其web服务高度可用。他们可在这些协调器中再次使用相同的技术。

·扩展isoproc 220通过完全指定的、静态可检验的协议与这两个协调器(以及任何其它isoproc)通信。

诸如移动手机设备或个人计算机等任意的计算节点。它甚至可以是诸如对等设备或格型网络等任意的计算系统。

考虑如用于分析无线电信号的SETI@home分布式处理系统这样的项目。在该设置中，所参与的每台个人计算机的每个所有者都需要“信任”该SETI@home软件并非恶意的。然而，为了确保信任水平，该软件是相对固定且不可改变的。因此，例如，对于任意一个宇航员而言，快速地使用这数千台计算机的资源来评价新的无线电信号分析算法是不可能的。使用在此所述的技术，该软件可被修改并仍可被信任。

该情景与早先所述的web服务情景相类似，只不过上述“商务web服务”在该情形中实际上是分布式计算网格。总之，这可以被模型化为需要扩展的web服务。

方法实现

图3示出了为被隔离的web服务扩展提供安全、稳定、可靠、且可升级的计算操作环境的方法300。方法300是由如图1和/或2中所示的各种组件中的一个或多个来实现的。此外，该方法300可以软件、硬件、固件或其组合来执行。

为了便于理解，该方法在图3中被描述为由多个独立框所表示的各个步骤；然而，这些单独描述的步骤不应被理解为与其执行具有依存性的必要顺序。另外，出于讨论的目的，方法300是参照图1和/或2来描述的。同时为了讨论的目的，特定组件被指示为执行特定功能；然而其它组件(或组件的组合)也可执行该特定功能。

在图3的310，计算机操作环境(诸如web服务主计算环境200)通过通信网络(诸如因特网260)提供标准web服务集。

在320，计算机操作环境提供用于扩展该标准web服务集以执行一个或多个扩展进程的机制。

在图3的330，计算机操作环境将这些扩展进程(“扩展isoproc”)与标准web服务集和通信网络隔离开。这些web服务是其它isoproc。每个isoproc的通信能力仅被限于它具有明确许可在其上通信的规定通信通道。

结论

这里所述的技术可以包括(但并不限于)程序模块、通用和专用计算系统、网络服务器和装备、专用电子和硬件在内的许多方式来实现，也可被实现为一个或多个计算机网络的部分。这里所述的技术是可以实现的。

虽然以结构特征和/或方法步骤的特有语言方式描述了上述一个或多个实现，但应该理解的是没有所述的这些具体特征或步骤也可实践其它实现。当然，具体特征和步骤是作为一个或多个实现的优选形式来公开的。

Claims

1.一个或多个计算机操作环境，包括：

主计算系统，具有一个或多个处理核心以及一个或多个存储器子系统，所述主计算系统被配置成执行一个或多个隔离进程(isoproc)的计算机可执行指令，其中每个isoproc通信的能力被仅限于它在其上具有通信的明确许可的规定通信通道；

通信通道管制器，被配置成选择性地授予一个或多个isoproc在一个或多个规定的通信通道上通信的明确许可。

2.如权利要求1所述的一个或多个计算机操作环境，其特征在于，在主计算系统上执行的isoproc是选择自包括硬件隔离进程(HIP)、固件隔离进程(FIP)、和软件隔离进程(SIP)的组。

3.如权利要求1所述的一个或多个计算机操作环境，其特征在于，由所述通信通道管制器授予的所述明确许可定义了规定通信通道的通信属性。

4.如权利要求1所述的一个或多个计算机操作环境，其特征在于，由所述通信通道管制器授予的所述明确许可定义了主题isoproc的规定通信通道的通信属性，其中此类属性包括以下属性中的一个或多个：

·主题isoproc可与哪些其它isoproc通信；

·所述系统上可由所述isoproc跨通道访问的资源；

·所述系统上所述isoproc可与其交互的其它进程；

·与特定系统通信的能力；

·通信的类型；

·通信的速率、量、以及时间

5.如权利要求1所述的一个或多个计算机操作环境，其特征在于，还包括被配置成协调通过多个isoproc的通信的协调器。

6.如权利要求1所述的一个或多个计算机操作环境，其特征在于，所述一个或多个计算操作环境是web服务。

7.如权利要求1所述的一个或多个计算机操作环境，其特征在于，所述一个或多个计算操作环境是大规模多用户分布式游戏或模拟器。

8.如权利要求1所述的一个或多个计算机操作环境，其特征在于，所述一个或多个计算操作环境是大型多玩家在线游戏。

9.如权利要求1所述的一个或多个计算机操作环境，其特征在于，所述通信通道管制器还被配置成防止正在执行的主题isoproc直接影响其它正在执行的isoproc的执行。

10.如权利要求1所述的一个或多个计算机操作环境，其特征在于，所述通信通道管制器还被配置成防止正在执行的主题isoproc与除规定的其它正在执行的isoproc的集合之外的其它正在执行的isoproc通信。

11.如权利要求1所述的一个或多个计算机操作环境，其特征在于，所述通信通道管制器还被配置成防止正在执行的主题isoproc访问除规定的其它正在执行的isoproc的集合之外的其它正在执行的isoproc的资源。

12.如权利要求1所述的一个或多个计算机操作环境，其特征在于，所述通信通道管制器还被配置成防止正在执行的主题isoproc通过通信网络与其它计算系统通信，除非所述正在执行的主题isoproc被明确被许可这么做。

13.一个或多个计算机操作环境，其特征在于，还包括被配置成协调通过一个或多个isoproc和通信网络的通信的协调器，所述网络在所述主计算系统外部。

14.如权利要求1所述的一个或多个计算机操作环境，其特征在于，还包括被配置成对在所述主计算系统上执行的一个或多个isoproc隐藏数据的伪装或过滤机构。

15.具有计算机可执行指令的一个或多个计算机可读介质，所述指令在由计算机执行时实施包括以下动作的方法：

执行规定的一个或多个隔离进程(isoproc)的标准集合的指令，其中每个isoproc通信的能力被仅限于它在其上具有通信的明确许可的相关联的规定通信通道；

执行不构成所述标准集合的一部分的扩展isoproc的指令，所述扩展isoproc具有与所述标准集合当中的一个或多个规定成员通信的明确许可，并由此不能与所述标准集合当中的其它成员通信。

16.如权利要求15所述的一个或多个计算机可读介质，其特征在于，所述规定的一个或多个isoproc的标准集合表示大型多玩家在线游戏(MMOG)，而所述扩展isoproc是对MMOG的“修改”。

17.如权利要求15所述的一个或多个计算机可读介质，其中所述执行扩展isoproc的指令的特征进一步在于，所述扩展isoproc与外部通信网络通信的能力是由通过协调isoproc来通信的明确许可提供的。

18.具有计算机可执行指令的一个或多个计算机可读介质，所述指令在由计算机执行时实施包括以下动作的方法：

通过通信网络提供标准web服务集；

提供用于扩展所述标准web服务集以执行一个或多个扩展进程的机制；

将所述扩展进程与所述标准web服务集以及与所述通信网络隔离。

19.如权利要求18所述的一个或多个计算机可读介质，其特征在于，所述一个或多个扩展进程中每一个与所述web服务中的成员以及与其它扩展进程通信的能力被仅限于扩展进程在其上具有通信的明确许可的规定通信通道。

20.如权利要求18所述的一个或多个计算机可读介质，其特征在于，所述标准web服务集中的每个成员以及所述一个或多个扩展进程是选择自包括硬件隔离进程(HIP)、固件隔离进程(FIP)、和软件隔离进程(SIP)的组。

21.如权利要求18所述的一个或多个计算机可读介质，其中所述隔离动作的特征在于防止所述扩展进程冒充所述标准web服务集或其任何成员。

22.如权利要求18所述的一个或多个计算机可读介质，其中所述隔离动作的特征在于定义扩展进程可与哪些其它进程通信以及管制其间的此类通信。