CN102882855A - 按过程的连网能力 - Google Patents

按过程的连网能力 Download PDF

Info

Publication number
CN102882855A
CN102882855A CN2012103268817A CN201210326881A CN102882855A CN 102882855 A CN102882855 A CN 102882855A CN 2012103268817 A CN2012103268817 A CN 2012103268817A CN 201210326881 A CN201210326881 A CN 201210326881A CN 102882855 A CN102882855 A CN 102882855A
Authority
CN
China
Prior art keywords
network
computing equipment
access
ability
equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2012103268817A
Other languages
English (en)
Other versions
CN102882855B (zh
Inventor
G.迪亚斯-克拉
S.伊斯金
J.P.C.科罗内尔门多扎
S.B.格雷厄姆
N.D.伍德
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Technology Licensing LLC
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of CN102882855A publication Critical patent/CN102882855A/zh
Application granted granted Critical
Publication of CN102882855B publication Critical patent/CN102882855B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • G06F21/335User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2121Chip on media, e.g. a disk or tape with a chip embedded in its case
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2145Inheriting rights or properties, e.g., propagation of permissions or restrictions within a hierarchy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/34Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters 

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明描述了按过程的连网能力技术。在一个或多个实施方式中,基于与在计算设备上执行的过程相关的标记,确定关于是否允许该过程访问网络能力。该标记具有一个或多个安全标识符,其引用在清单中描述的一个或多个网络能力。基于该确定来管理对网络能力的访问。

Description

按过程的连网能力
背景技术
用户可以获得用于由计算设备来执行的可执行代码(例如,软件)的方式在不断增加。例如,用户传统上敢于去“实体”商店来查找(locate)并购买应用,所述应用随后由用户来手动安装。因此,由于商店自身的声誉以及软件开发者的声誉,用户通常能信任该软件。
然而,随着应用卖场(marketplace)的出现,用户可以从成百甚至上千个不同开发者获得数以千计的不同类型的应用。因此,用户可以在计算设备上安装来自广泛的源的众多应用,其中一些源可以甚至导致一个应用危害另一应用。因此,用户甚至卖场自身难以确定这些应用是否是可信赖的,并且因而应该被允许访问用户的计算设备的功能。该困难可能被恶意方进一步加剧,该恶意方可以攻击应用以访问应用所支持的功能,例如访问甚至是用于源自可信赖源的应用的敏感数据。
发明内容
描述了按过程的连网能力技术。在一个或多个实施方式中,基于与在计算设备上执行的过程相关的标记,确定关于是否允许该过程访问网络能力。该标记具有一个或多个安全标识符,其引用一个或多个在清单(manifest)中描述的网络能力。基于该确定来管理对网络能力的访问。
在一个或多个实施方式中,网络被探测以识别代理服务器、子网或远程可访问网络。基于代理服务器或子网的识别以及对与在计算设备上执行的过程相关的标记的审查来管理该过程对网络的网络能力的访问。标记具有一个或多个安全标识符,其引用允许该过程所使用的、在清单中描述的网络能力。这可以以安全的方式来执行,该安全的方式没有被配置为受该过程影响。
在一个或多个实施方式中,一个或多个计算机可读存储介质包括存储在其上的指令,响应于在计算设备上的执行,该指令使得计算设备执行操作系统以形成具有一个或多个安全标识符的标记,所述一个或多个安全标识符引用清单中描述的网络能力,该清单对应于通过由计算设备对执行代码的执行来形成的过程,所述执行代码和清单从包(package)被安装在计算设备上,标记可由操作系统使用来管理过程对网络能力的访问。
提供此发明内容来以简要形式介绍一些概念选集,其将在以下具体实施例中进一步介绍。此发明内容不旨在标识要求保护主题的关键特征或必要特征,也不旨在用来帮助确定要求保护主题的范围。
附图说明
参考附图来描述具体实施例。在图中,附图标记的最左边的一个或多个数字标识该附图标记首次出现在哪个图中。说明书和附图中的不同实例中使用的相同附图标记指示相似或相同的项。
图1是可用于执行按过程连网能力技术的示例实施方式中的环境的图示。
图2是示出按过程连网能力技术的示例实施方式的示例实施方式中的系统的图示。
图3是示出按过程连网能力技术的示例实施方式的示例实施方式中的系统的另一图示。
图4是描绘具有可执行代码的包和清单被安装在计算设备上并用以响应于发起执行代码的执行来形成标记的示例实施方式中的过程的流程图。
图5是描绘计算设备使用在图4中形成的标记来管理对能力的访问的示例实施方式中的过程的流程图。
图6是描绘探测连同标记被一起使用来管理对网络能力的按过程访问的示例实施方式中的过程的流程图。
图7图示了包括如参考图1所述的计算设备的示例系统。
图8图示了示例设备的各种组件,该示例设备可以实现为如参考图1-3和7所述的任意类型的计算设备以实现本文中描述的技术的实施例。
具体实施例
概览
传统上,执行在计算设备上的应用被允许访问计算设备的大多数(如果不是全部的话)功能,甚至不管是否期望该访问。这可以包括对网络的不受约束的访问。然而,在一些实例中,这些同样的应用可能被恶意方所利用。这些恶意方因而可以使用不受约束的访问来访问互联网上的资源、接收未经同意的连接、访问联网功能等等。因此,给予这些应用的宽泛的访问现在可能给用户的计算设备以及计算设备可访问的设备呈现显著的风险。
描述了按过程网络能力技术。在一个或多个实施方式中,使用能力模型来确保应用能够访问开发者限定的网络资源,而不能访问开发者没有限定的其他网络资源。因而,该能力模型可以防止被利用的应用利用通常不被该应用所使用的网络资源。通过此方式,模型可以用来确保被盗用(compromised)的应用被限制于访问限定的网络能力并且限制利用被开发者限定为应用不可访问的网络能力。还设想了各种其他示例,可以参考以下章节找到对于这些示例的进一步讨论。
在以下讨论中,首先描述可以采用本文中描述的网络能力技术的示例环境。随后,描述可以在示例环境和其他环境中执行的示例过程。因此,执行所述示例过程不限于示例环境并且示例环境不限于执行示例过程。
示例环境
图1图示了根据一个或多个实施例的操作环境,通常在100处。环境100包括计算设备102,其具有可以包括一个或多个处理器的处理系统104、示出为存储器106的计算机可读存储介质的示例、操作系统108和一个或多个应用108。计算设备102可以体现为任意合适的计算设备,例如,以示例而非限制的方式,桌面计算机、便携式计算机、诸如个人数字助理(PDA)的手持计算机、移动电话、平板计算机等等。下面在图6和7中示出和描述了计算设备102的不同示例。
计算设备102还包括操作系统108,其被图示为在处理系统104上执行并且可以存储在存储器106中。计算设备102进一步包括应用110,其被图示为存储在存储器106中并且也可以在处理系统104上执行。操作系统108代表计算设备102的功能,该功能可以抽象底层的硬件和软件资源以供应用110使用。例如,操作系统108可以抽象数据如何显示在显示设备112上的功能,而应用110不必“知晓”如何实现该显示。还设想了各种其他示例,例如抽象计算设备102的处理系统104和存储器106资源、网络资源等。
计算设备102还被图示为包括过程管理器模块114。过程管理器模块114代表计算设备102管理可执行代码访问计算设备102的能力的功能。例如,计算设备102可以接收具有可执行代码118(例如,应用)的包116以用于安装在计算设备102上。包116还可以包括由可执行代码118的开发者生成的清单120,其描述了计算设备102的一个或多个能力122,所述一个或多个能力122可以包括计算设备102访问网络124的能力。因而,该描述可以描述允许和/或不允许通过执行可执行代码118形成的过程访问计算设备102的哪些能力。例如,清单120可以列出将使得过程可以访问的能力和/或可以列出将使得该过程不可以访问的能力。通过这样的方式,可执行代码118的开发者可以在清单120中指定能力以有助于降低或甚至消除恶意方盗用应用来访问可执行代码118通常不访问的能力的本领(ability)。
过程管理器模块114例如可以将防火墙功能利用为该模块自身的一部分,或者与另一模块,例如专用防火墙模块进行通信。该功能可以用来允许或拒绝访问网络124,如包116的清单所指定的那样。因而,可执行代码118可以如代码的开发者设想的那样工作,并从而有助于降低恶意方盗用代码的机会。
可以从各种不同的源接收包116以用于安装在计算设备102上。例如,应用服务126(例如,应用商店)可由计算设备102经由网络124(例如,因特网)来访问。在购买时,包括可执行代码118和清单120的包116可以经由网络124传输以用于安装在计算设备102上。在另一示例中,用户可以获取包含包116的计算机可读存储介质(例如,光盘)。可以参考图2找到对于在计算设备上安装包括可执行代码118和清单的包116的进一步讨论。
通常,本文中描述的任意功能都可以使用软件、固件、硬件(例如,固定的逻辑电路)或这些实施方式的组合来实现。本文中使用的术语“模块”、“功能”和“逻辑”通常代表软件、固件、硬件或其组合。在软件实施方式的情况下,模块、功能或逻辑代表在处理器(如一个或多个CPU)上被执行时执行指定任务的程序代码。该程序代码可以存储在一个或多个计算机可读存储器设备中。下述技术的特征是平台独立的,意指该技术可以实现在具有各种处理器的各种商业计算平台上。
例如,计算设备102还可以包括这样的实体(例如,软件),其使得计算设备102的硬件执行操作,例如处理器、功能块等。例如,计算设备102可以包括这样的计算机可读媒介,其被配置为维护使得计算设备,更具体地计算设备102的硬件来执行操作的指令。因而,所述指令工作以配置硬件来执行操作,并且通过这样的方式导致变换硬件来执行功能。计算机可读媒介可以通过各种不同的配置来将指令提供给计算设备102。
一种这样的计算机可读媒介的配置为信号承载媒介,并因而被配置为比如经由网络将指令(例如作为载波)发送到计算设备的硬件。计算机可读媒介还可以被配置为计算机可读存储媒介,并因而不是信号承载媒介。计算机可读存储媒介的示例包括随机存取存储器(RAM)、只读存储器(ROM)、光盘、快闪存储器、硬盘存储器以及可以使用磁、光学和其他技术来存储指令和其他数据的其他存储器设备。
图2是示例实施方式中的系统200的图示,该示例实施方式示出包116安装在计算设备102上和形成管理过程对计算设备的网络能力的访问的标记。如前所述,当开发者创建可执行代码118时,还可以创建清单120,其包含被声明用于通过执行代码实现的过程的能力122的集合。这些能力122可以在安装期间注册,这被图示为图2中的包部署202。
例如,可以经由应用目录204安装可执行代码118以用于使用。清单中描述的能力122可以安装在能力存储装置206中并且与包116和/或可执行代码118本身的身份相关。在一个或多个实施方式中,能力存储装置206被配置为防篡改的(例如物理和/或电子地),使得恶意方不能访问或修改其中描述的能力122,以便防止过程自身的访问。
在源自于执行可执行代码118的过程创建208期间,获取可由过程管理器模块114使用的标识符来定位针对过程210描述的能力,例如,上述包116、可执行代码118等的标识符。这些能力122随后被用作过程创建208的部分以形成标记212,过程管理器模块114可以使用该标记212来控制对计算设备102的能力的访问。
标记212例如可以包括一个或多个安全标识符214,其对应于针对该过程在能力存储装置206中描述的能力212的一个或多个。换言之,标记212被填充有与包116关联的相关能力,作为安全标识符214。因而,过程管理器模块114可以使用标记212在过程210请求访问能力时确定是否将允许该过程210的访问。
在一个或多个实施方式中,过程210不能操纵标记212。标记212还可以允许过程210参与针对能力(例如资源的ACL)的访问使用验证检查。进一步地,过程管理器模块114还可以实现这些技术,其中包括在授权访问能力之前基于能力(或能力组合)的存在的决定。因为过程210不能直接访问标记,所以过程管理器模块114可以充当代理,其利用标记212的不变性来确保适当的访问被授权给过程210。
安全标识符214可以引用各种不同的能力122。另外,安全标识符214可以以各种方式来引用这些能力。例如,开发者可以创建可执行代码118(例如应用)和清单120,该清单120包含针对包116中的每个过程声明的能力的集合,该过程通过执行可执行代码118来实现。该包116还可以具有“强身份”,其中在安装包116时使用该身份将网络能力注册到操作系统108。
因此,当后续启动过程210(其将包身份包括作为过程创建参数)时,标记212填充有过程身份和网络能力,它们可以被填充为安全标识符214。进一步地,操作系统108可以防止过程210修改标记212。在一个或多个实施方式中,子过程可以继承身份和网络能力的子集,其中该子集由父过程定义。
可以通过清单120来指定各种不同的能力122以用于管理过程210的访问使用,例如,从预定义的网络能力到丰富的防火墙类型规则。例如,可以定义“互联网-客户端”能力来管理过程210对网络124(例如,互联网)的向外连接的访问。在另一示例中,可以定义“互联网客户端/服务器”能力来允许向内(incoming)和向外(outgoing)的网络124连接。该能力例如可以用来允许过程接受来自因特网的未经同意的连接,以及通过防火墙发送和接收数据。在进一步的示例中,可以定义“私有网络客户端服务器(PrivateNetworkClientServer)”能力来允许在同样定义的网络124(例如,家庭网络、工作网络、内部网等等)上与计算设备来回通信。还设想了各种其他示例,以使得可以创建丰富的引用能力的防火墙规则,这些能力可以变得甚至更加特定和丰富,例如访问特定的端口。通过这样的方式,使用标记212中的安全标识符214可以允许过程管理器模块114管理过程210对网络能力的访问,其示例参考下图描述。
图3描绘了示例实施方式中的系统,其示出通过图1的过程管理器模块来管理过程对网络能力的访问。当过程210请求访问网络124时,过程管理器模块114验证应用身份(例如,包ID 302),并确保由标记212指定的网络能力304、306是能力存储装置206中的在安装时注册的网络能力的子集。如果剩余的能力对于网络通信是足够的,则允许通信。否则,阻塞通信。因而,过程管理器模块114可以充当防火墙的一部分来允许和/或拒绝访问计算设备102的网络能力。
在一个或多个实施方式中,可以允许应用访问在能力存储装置206中注册的能力的全集。然而,过程210还可能创建子过程,其中该子过程不具有父过程可用的访问权限的全集。
如前所述,可以声明各种不同的能力。进一步地,这些能力可以组合来给予过程210对于出站连接(例如客户端)或入站(inbound)和出站(outbound)连接(例如客户端&服务器)的互联网和内部网(例如,私有网络)访问。
互联网能力还可以允许访问HTTP代理。例如,过程管理器模块114可以主动地探测网络来确定是否存在代理服务器或子网,因此绑定到私有网络(例如内部网)或互联网的连网能力可以被正确地利用。如果活动目录(Active Directory)服务器包含有关子网定义的特定信息,则过程管理器模块114还可以利用该信息来帮助确定子网的边缘(edge)。还可以采用这样的机制,其中通过行政(administrative)管理工具预先定义子网和代理,并因而不涉及探测。在没有这样的通过探测和/或使用行政管理工具规定的情况下,可能会给一些设备分配不正确的网络类型,并且因而过程管理器模块114可能会不正确地允许或拒绝访问。因而,过程管理器模块114可以基于该标识(例如,经由内部网或因特网是否可用)来正确地管理能力。
在一个或多个实施方式中,被认为是至关重要的端口被阻塞未经同意的入站访问来防止使用相同机制的常见攻击向量。这些设置也可以经由策略(policy)人工地配置。也可以保护回路(例如,使用127.0.0.1的到同一机器的连接),从而防止过程210“绕过”(working around)对该过程所限定的能力。例如,回路可以绑定到上述“私有网络客户端服务器”能力,但是明显的是,在另一示例中,可以使用模型将其指定为单独的能力。
因而,这些技术还可以用来支持按过程限制网络访问和提供如上所述的不同程度的粒度的机制。如上所述,按过程连网能力可以绑定到过程的强身份。该身份还可以由子过程继承,这确保过程不能绕过已由父过程授权该过程的连网能力。与防火墙规则具有相同灵活性的高保真度连网能力还可以由过程管理器模块114来支持。连网能力例如可以在安装时注册到防火墙,并且可以具有针对防火墙规则找到的灵活性,其可以包括网络类型、连接类型和入站/出站连接。流量方向还可以与防火墙所定义的网络简档相关。
进一步地,声明的连网能力还可以组合来提供作为不同能力的联合(union)的访问。例如,可以针对过程210组合网络能力来提供不同网络访问的组合,例如私有网络(例如,内部网)访问以及出站互联网访问。还设想了各种其他示例,可以参考以下过程找到对于它们的进一步讨论。
再进一步地,用来强制实施能力的防火墙规则可以例如由“高度正直”的系统在运行时动态地修改或强制实施或微调,以提供可以具有增加的有用性的能力。所限定的能力可以与系统中的其他防火墙组件隔离和/或被传递给所述其他防火墙组件,以进一步地正确管理网络中的应用。
示例过程
以下讨论描述了可以使用前述系统和设备实现的按过程连网能力技术。过程的每一个的各方面可以在硬件、固件或软件或其组合中实现。该过程被示出为指定通过一个或多个设备执行的操作的框的集合,并且不必限于所示出的顺序来执行各个框的操作。在以下讨论的各部分中,将分别参考图1的环境100和图2和3的系统200、300。
图4描绘了示例实施方式中的过程400,其中具有可执行代码和清单的包被安装在计算设备上并用来形成标记。在计算设备处接收包括可执行代码和清单的包,该清单描述了可执行代码的能力(框402)。包116例如可以存储在计算机可读存储介质上,通过网络124从应用服务126下载等等。如前所述,清单120可以描述计算设备102在执行代码期间所使用的网络能力,如可执行代码122的开发者所设想的那样。
可执行代码安装在用于执行的计算设备上(框404)。可执行代码122例如可以被配置为要被安装在计算设备上以用于通过应用目录、第三方插件模块等访问的应用。
由清单针对可执行代码描述的网络能力被保存在计算设备上的能力存储装置中,所保存的能力可用以形成标记来管理(通过执行可执行代码形成的)一个或多个过程对计算设备的能力的访问(框406)。能力存储装置206例如可以被配置为防篡改的,例如物理地和/或电子地。通过这样的方式,其中描述的能力不能被未授权的实体所访问,不能被在计算设备102上执行的过程所访问,等等。因而,能力的描述可以被认为是“可信赖的”并因此用以形成可以用来通过过程管理访问的标记。
随后,可以接收输入以发起安装在计算设备上的可执行代码的执行(框408)。该输入例如可以通过用户对代码的表示(例如图标、区块(tile)等)的选择来接收。该输入也可以源自代码自身(例如,以预定的时间间隔唤醒),源自在计算设备102上执行的其他代码,等等。
形成具有一个或多个安全标识符的标记,所述一个或多个安全标识符引用针对可执行代码的在清单中描述的网络能力(框410)。如前所述,安全标识符122可以枚举在能力存储装置206中描述的能力。标记212例如可以包括与可执行代码118和/或包116的标识符相匹配的标识符,可以在请求对能力的访问时由可执行代码118自身来传递(例如标记自身和/或可用来找到标记212的标识符),等等。随后,标记212可以用来管理过程210对计算设备102的一个或多个网络能力的访问,可以参考下图来找到其示例。
图5描绘了示例实施方式中的过程500,其中计算设备使用图4中形成的标记来管理对网络能力的访问。基于与过程相关的标记 确定是否允许在计算设备上执行的过程访问网络能力,该标记具有引用清单中描述的一个或多个网络能力的一个或多个安全标识符(502)。例如,过程管理器模块114可以从过程接收请求。过程210可以由计算设备102通过执行可执行代码118来实现,如前所述。
随后,过程管理器模块114可以例如使用如前所述的包116标识符、“强类型”等来定位标记212。可以形成标记212来描述所允许的访问(例如引用所允许的能力)和/或描述所不允许的访问,例如引用不允许相应的过程210所访问的能力。
基于所述确定来管理对网络能力的访问(框504)。过程管理器模块114例如可以接收来自过程210的访问网络能力的请求,例如请求使用向外网络连接。随后,过程管理器模块114可以审查标记212来确定是否允许该网络访问,例如定位引用向外网络连接的安全标识符。因而,过程管理器模块114可以轻易地确定什么访问被允许并相应地达到。如前所述,还设想了各种其他示例,例如确定基于通过标记212的枚举来确定允许哪个访问。
图6描绘了示例实施方式的过程600,其中探测网络来识别代理服务器或子网,该过程用来辅助管理给予过程的网络能力访问。网络被探测来识别代理服务器或子网(框602)。这可以通过形成一个或多个将被发送到服务器的传输、检测网络设置等来执行。
基于对代理服务器或子网的识别以及与在计算设备上执行的过程相关的标记的审查来管理该过程对网络的网络能力的访问,所述标记具有一个或多个安全标识符,该一个或多个安全标识符引用在清单中描述的允许过程使用的网络能力(框604)。如前,过程管理器模块114可以通过使用标记来管理访问,该标记“指明”允许与该标记相关的过程访问哪些能力。进一步地,该标记可以用来确保对网络的访问与该枚举相一致,例如该访问准确地反映处设备是否经由子网或因特网等可访问的。还设想了各种其他示例。
示例系统和设备
图7示出了包括如参考图1描述的计算设备102的示例系统700。当在个人计算机(PC)、电视设备和/或移动设备上运行应用时,示例系统700实现了用于无缝用户体验过的普适环境。当使用应用、播放视频游戏、观看视频等等时,服务和应用在所有三个环境中运行基本类似以用于在从一个设备转变到下一个设备时的共同的用户体验。
在示例系统700中,多个设备通过中央计算设备互连。该中央计算设备可以是多个设备本地的,或者可以远离所述多个设备。在一个实施例中,中央计算设备可以是一个或多个服务器计算机的云,其通过网络、因特网或其他数据通信链路连接到多个设备。在一个实施例中,该互连架构使得功能能够跨多个设备递送来向多个设备的用户提供共同的和无缝的体验。多个设备的每一个可以具有不同的物理要求和能力,并且中央计算设备使用平台来实现对设备的体验的递送,该体验既对该设备是定制的又对所有设备是共同的。在一个实施例中,创建一类目标设备并且对设备通用类定制体验。一类设备可以由设备的物理特征、使用类型或其他共同特征来定义。
在各种实施方式中,计算设备102可以采取各种不同的配置,例如以用于计算机702、移动装置704和电视706。这些配置的每一个包括可以具有一般不同的构造和能力的设备,并且因而计算设备102可以根据不同设备类的一个或多个来配置。例如,计算设备102可以实现为设备的计算机702类,其包括个人计算机、桌面计算机、多屏幕计算机、膝上计算机、上网本、等等。
计算设备102还可以被实现为设备的移动装置704类,其包括诸如移动电话、便携式音乐播放器、便携式游戏设备、平板计算机、多屏幕计算机等的移动设备。计算设备102还可以实现为设备的电视706类,其包括具有或连接到随意查看环境中的通常较大的屏幕的设备。这些设备包括电视、机顶盒、游戏机、等等。本文中描述的技术可以得到计算设备102的这些各种配置的支持并且不限于本文中描述的技术的特定示例。
云708包括和/或代表用于内容服务712的平台710。该平台710抽象云708的硬件(例如服务器)和软件资源的底层功能。内容服务712可以包括可以被使用的应用和/或数据,同时计算机处理在远离计算设备102的服务器上执行。内容服务712可以被提供为通过因特网和/或用户网络(例如蜂窝网络或Wi-Fi网络)的服务。
平台710可以抽象资源和功能来将计算设备102与其他计算设备相连接。平台710还可以用来抽象资源的缩放(scaling)以提供对于所遇到的经由平台710实现的内容服务712的需求的相应规模(scale)等级。相应地,在互连的设备实施例中,对于本文中描述的功能的功能实现可以遍及系统700分布。例如,功能可以部分实现在计算设备102上以及部分经由抽象云708的功能的平台710实现。
图8示出示例设备800的各种组件,该示例设备800可以实现为如参考图1、2和7所述的任意类型的计算设备以实现本文中描述的技术的实施例。设备800包括通信设备802,其使得能够有线和/或无线地传输设备数据804(例如,已接收的数据,正在被接收的数据、计划用于广播的数据、数据的数据分组等)。设备数据804或其他设备内容可以包括设备的配置设置、存储在设备上的媒体内容和/或与设备的用户相关的信息。存储在设备800上的媒体内容可以包括任意类型的音频、视频和/或图像数据。设备800包括一个或多个数据输入806,经由其可以接收任意类型的数据、媒体内容和/或输入,例如用户可选的输入、消息、音乐、电视媒体内容、记录的视频内容和从任意内容和/或数据源接收的任意其他类型的音频、视频和/或图像数据。
设备800还包括通信接口808,其可以实现为串行和/或并行接口、无线接口、任意类型的网络接口、调制解调器的任意一个或多个,或实现为任意其他类型的通信接口。通信接口808提供了设备800和通信网络之间的连接和/或通信链路,其他电子、计算和通信设备通过该连接和/或通信链路与设备800进行通信。
设备800包括一个或多个处理器810(例如,任意微处理器、控制器等),其处理各种计算机可执行指令来控制设备800的操作并实现本文中描述的技术的实施例。可替换地或附加地,设备800可以用硬件、固件或固定逻辑电路的任意一个或组合来实现,该固定逻辑电路通常与在812处标识的处理和控制电路相连接。虽然未示出,但是设备800可以包括耦接设备中各种组件的系统总线或数据传送系统。系统总线可以包括不同总线结构的任意一个或组合,例如存储器总线或存储器控制器、外围总线、通用串行总线和/或使用任意各种架构的处理器或局部总线。
设备800还包括计算机可读介质814,例如一个或多个存储器组件,其示例包括随机存取存储器(RAM)、非易失性存储器(例如,只读存储器(ROM)、闪存存储器、EPROM、EEPROM等的任意一个或多个)以及磁盘存储设备。磁盘存储设备可以实现为任意类型的磁或光学存储设备,例如硬盘驱动器、可记录和/或可重写光盘(CD)、任意类型的数字化通用盘(DVD),等等。设备800还可以包括大规模存储介质设备816。
计算机可读介质814提供数据存储机制来存储设备数据804,以及各种设备应用818和任意其他类型的与设备800的操作方面相关的信息和/或数据。例如,操作系统820可以被维护为具有计算机可读介质814的计算机应用并在处理器810上执行。设备应用818可以包括设备管理器(例如控制应用、软件应用、信号处理和控制模块、特定设备本地的代码、特定设备的硬件抽象层等)。设备应用818还包括任意系统组件或模块来实现本文中描述的技术的实施例。在此示例中,设备应用818包括接口应用822和输入/输出模块824,它们被示出为软件模块和/或计算机应用。输入/输出模块824代表用来向被配置为捕获输入的设备(例如触摸屏、跟踪板、摄像头、麦克风等)提供接口的软件。可替换地或附加地,接口应用822和输入/输出模块824可以实现为硬件、软件、固件或其任意组合。另外,输入/输出模块824可以被配置为支持多个输入设备,例如单独的设备来分别捕获视觉和音频输入。
设备800还包括音频和/或视频输入-输出系统826,其向音频系统828提供音频数据和/或向显示系统830提供视频数据。音频系统828和/或显示系统830可以包括处理、显示和/或用其他方式再现音频、视频和图像数据的任意设备。视频信号和音频信号可以经由RF(射频)链路、S-视频链路、混合视频链路、分量视频链路、DVI(数字视频接口)、模拟视频连接或其他类似的通信链路从设备800传输到音频设备和/或显示设备。在实施例中,音频系统828和/或显示系统830被实现为设备800的外部组件。可替换地,音频系统828和/或显示系统830被实现为示例设备800的集成组件。
结论
虽然以特定于结构化特征和/或方法学上的行为的语言描述本发明,但是要理解的是,所附权利要求中限定的本发明不必限于所描述的具体特征和行为。相反,这些具体特征和行为以实现所要求保护的发明的示例形式来公开。

Claims (11)

1.一种通过计算设备实现的方法,该方法包括:
基于与在计算设备上执行的过程相关的标记,确定是否允许该过程访问网络能力,该标记具有一个或多个安全标识符,其引用在清单中描述的一个或多个网络能力(502);以及
基于该确定来管理对网络能力的访问(504)。
2.如权利要求1所述的方法,其中清单存储在计算设备上作为可执行代码的安装部分,当被执行时,可执行代码实现所述过程。
3.如权利要求2所述的方法,其中网络能力的描述存储在防篡改的位置中作为计算设备上的可执行代码的安装部分。
4.如权利要求1所述的方法,其中通过访问在所述过程不能访问的计算设备的防篡改位置中存储的能力的描述来形成标记。
5.如权利要求1所述的方法,其中所述确定和管理通过在计算设备上执行操作系统来进行。
6.如权利要求1所述的方法,其中清单中描述的至少一个所述网络能力指示是否允许通过过程的回路。
7.如权利要求1所述的方法,其中清单中描述的至少一个所述网络能力指示是否允许通过网络的向外连接供所述过程使用。
8.如权利要求1所述的方法,其中清单中描述的至少一个所述网络能力指示是否允许通过网络的向内和向外连接供所述过程使用。
9.如权利要求8所述的方法,其中向内连接允许所述过程接受未经同意的连接。
10.如权利要求1所述的方法,其中清单中描述的至少一个所述网络能力指示是否允许私有网络访问供所述过程使用。
11.一个或多个存储指令的计算机可读存储介质,当由计算设备执行时,导致所述计算设备执行如前述权利要求中任一项所述的方法。
CN201210326881.7A 2011-09-06 2012-09-06 按过程的连网能力的管理方法及设备 Active CN102882855B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US13/226,223 US9118686B2 (en) 2011-09-06 2011-09-06 Per process networking capabilities
US13/226,223 2011-09-06
US13/226223 2011-09-06

Publications (2)

Publication Number Publication Date
CN102882855A true CN102882855A (zh) 2013-01-16
CN102882855B CN102882855B (zh) 2016-06-29

Family

ID=47483999

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201210326881.7A Active CN102882855B (zh) 2011-09-06 2012-09-06 按过程的连网能力的管理方法及设备

Country Status (6)

Country Link
US (1) US9118686B2 (zh)
EP (1) EP2754084B1 (zh)
JP (1) JP6038924B2 (zh)
KR (1) KR101839647B1 (zh)
CN (1) CN102882855B (zh)
WO (1) WO2013036253A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111813854A (zh) * 2013-05-29 2020-10-23 微软技术许可有限责任公司 计量网络的同步

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9773102B2 (en) 2011-09-09 2017-09-26 Microsoft Technology Licensing, Llc Selective file access for applications
US8990561B2 (en) 2011-09-09 2015-03-24 Microsoft Technology Licensing, Llc Pervasive package identifiers
US9800688B2 (en) 2011-09-12 2017-10-24 Microsoft Technology Licensing, Llc Platform-enabled proximity service
US10356204B2 (en) 2012-12-13 2019-07-16 Microsoft Technology Licensing, Llc Application based hardware identifiers
US9021574B1 (en) * 2013-03-12 2015-04-28 TrustPipe LLC Configuration management for network activity detectors
US9900285B2 (en) 2015-08-10 2018-02-20 International Business Machines Corporation Passport-controlled firewall
US10536464B2 (en) * 2016-06-22 2020-01-14 Intel Corporation Secure and smart login engine
US11381575B2 (en) * 2019-05-03 2022-07-05 Microsoft Technology Licensing, Llc Controlling access to resources of edge devices
DE102022206744B3 (de) 2022-07-01 2023-11-02 Infineon Technologies Ag Ressourcenschutz

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1617101A (zh) * 2003-10-24 2005-05-18 微软公司 操作系统资源保护
CN1633084A (zh) * 2004-12-28 2005-06-29 北京邮电大学 用于应用服务器的基于令牌的细粒度访问控制系统及方法

Family Cites Families (132)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5956715A (en) 1994-12-13 1999-09-21 Microsoft Corporation Method and system for controlling user access to a resource in a networked computing environment
CA2242596C (en) * 1996-01-11 2012-06-19 Mrj, Inc. System for controlling access and distribution of digital property
US6151643A (en) 1996-06-07 2000-11-21 Networks Associates, Inc. Automatic updating of diverse software products on multiple client computer systems by downloading scanning application to client computer and generating software list on client computer
EP0862124A3 (en) 1997-02-28 2003-03-26 Fujitsu Limited File access system for efficiently accessing a file having encrypted data within a storage device
US5974549A (en) 1997-03-27 1999-10-26 Soliton Ltd. Security monitor
US6117187A (en) 1997-09-30 2000-09-12 Hewlett-Packard Company Automatic generation of a software installation package
US6101607A (en) 1998-04-24 2000-08-08 International Business Machines Corporation Limit access to program function
US6505300B2 (en) * 1998-06-12 2003-01-07 Microsoft Corporation Method and system for secure running of untrusted content
US6279111B1 (en) 1998-06-12 2001-08-21 Microsoft Corporation Security model using restricted tokens
US6697569B1 (en) 1998-09-11 2004-02-24 Telefonaktiebolaget Lm Ericsson (Publ) Automated conversion of a visual presentation into digital data format
US7151832B1 (en) 1999-11-18 2006-12-19 International Business Machines Corporation Dynamic encryption and decryption of a stream of data
US7398532B1 (en) 2000-03-02 2008-07-08 Hewlett-Packard Development Company, L.P. System and method for establishing a secure execution environment for a software process
US6725452B1 (en) 2000-06-01 2004-04-20 Aduoa, Inc. Method for resolving dependency conflicts among multiple operative entities within a computing environment
AU2001268647A1 (en) 2000-06-20 2002-01-02 James R Clark Multi-session secured digital transmission process
US7669238B2 (en) * 2000-06-21 2010-02-23 Microsoft Corporation Evidence-based application security
AU2001280490A1 (en) 2000-07-10 2002-01-21 Critical Devices, Inc. Method and system for software inventory management using a global central repository
US20030084134A1 (en) 2000-09-01 2003-05-01 Pace Charles P. System and method for bridging assets to network nodes on multi-tiered networks
JP3776705B2 (ja) 2000-09-28 2006-05-17 株式会社東芝 通信システム、移動端末装置、ゲートウェイ装置及び通信制御方法
US6604209B1 (en) 2000-09-29 2003-08-05 Sun Microsystems, Inc. Distributed component testing in an enterprise computer system
JP2003044297A (ja) 2000-11-20 2003-02-14 Humming Heads Inc コンピュータリソースの制御を行なう情報処理方法および装置、情報処理システム及びその制御方法並びに記憶媒体、プログラム
US20030037237A1 (en) 2001-04-09 2003-02-20 Jean-Paul Abgrall Systems and methods for computer device authentication
US7069330B1 (en) 2001-07-05 2006-06-27 Mcafee, Inc. Control of interaction between client computer applications and network resources
US7401235B2 (en) 2002-05-10 2008-07-15 Microsoft Corporation Persistent authorization context based on external authentication
GB0212314D0 (en) 2002-05-28 2002-07-10 Symbian Ltd Secure mobile wireless device
US6865659B2 (en) 2002-06-07 2005-03-08 Sun Microsystems, Inc. Using short references to access program elements in a large address space
US7542988B1 (en) 2006-01-03 2009-06-02 Symantec Corporation File type associative application layered system
US7152243B2 (en) 2002-06-27 2006-12-19 Microsoft Corporation Providing a secure hardware identifier (HWID) for use in connection with digital rights management (DRM) system
US7401352B2 (en) 2002-08-30 2008-07-15 International Business Machines Corporation Secure system and method for enforcement of privacy policy and protection of confidentiality
EP1420323A1 (en) 2002-11-18 2004-05-19 Koninklijke KPN N.V. Method and system for distribution of software components
US7337442B2 (en) 2002-12-03 2008-02-26 Microsoft Corporation Methods and systems for cooperative scheduling of hardware resource elements
US20040199787A1 (en) * 2003-04-02 2004-10-07 Sun Microsystems, Inc., A Delaware Corporation Card device resource access control
US7478094B2 (en) 2003-06-11 2009-01-13 International Business Machines Corporation High run-time performance method for setting ACL rule for content management security
US7392383B2 (en) * 2003-09-25 2008-06-24 International Business Machines Corporation Method and apparatus for providing process-based access controls on computer resources
US20050091535A1 (en) 2003-10-24 2005-04-28 Microsoft Corporation Application identity for software products
US8590032B2 (en) 2003-12-10 2013-11-19 Aventail Llc Rule-based routing to resources through a network
US7568195B2 (en) 2003-12-16 2009-07-28 Microsoft Corporation Determining a maximal set of dependent software updates valid for installation
US7480655B2 (en) 2004-01-09 2009-01-20 Webroor Software, Inc. System and method for protecting files on a computer from access by unauthorized applications
US7698393B2 (en) 2004-03-23 2010-04-13 Microsoft Corporation Method and system for shadowing information between computing devices
US20050246762A1 (en) * 2004-04-29 2005-11-03 International Business Machines Corporation Changing access permission based on usage of a computer resource
US20050256859A1 (en) 2004-05-13 2005-11-17 Internation Business Machines Corporation System, application and method of providing application programs continued access to frozen file systems
US7650627B1 (en) 2004-05-28 2010-01-19 Sap Ag Abstract configuration files for efficient implementation of security services
US7540013B2 (en) * 2004-06-07 2009-05-26 Check Point Software Technologies, Inc. System and methodology for protecting new computers by applying a preconfigured security update policy
US7509497B2 (en) * 2004-06-23 2009-03-24 Microsoft Corporation System and method for providing security to an application
US20100081375A1 (en) 2008-09-30 2010-04-01 Apple Inc. System and method for simplified control of electronic devices
US7676835B2 (en) * 2004-08-31 2010-03-09 International Business Machines Corporation System and method for regulating access to objects in a content repository
US7703090B2 (en) 2004-08-31 2010-04-20 Microsoft Corporation Patch un-installation
US8499337B1 (en) 2004-10-06 2013-07-30 Mcafee, Inc. Systems and methods for delegation and notification of administration of internet access
US8117623B1 (en) 2004-11-18 2012-02-14 Adobe Systems Incorporated System and method for providing notices to users of a computer program in a flexible way
WO2006055838A2 (en) 2004-11-18 2006-05-26 America Online, Inc. Runtime environment
US7475396B2 (en) 2004-12-03 2009-01-06 International Business Machines Corporation Method and apparatus for defining, building and deploying pluggable and independently configurable install components
US7472377B2 (en) 2005-01-18 2008-12-30 International Business Machines Corporation Systems and methods for determining software package identity during a system build
US7802294B2 (en) * 2005-01-28 2010-09-21 Microsoft Corporation Controlling computer applications' access to data
US7650501B1 (en) 2005-02-15 2010-01-19 Sun Microsystems, Inc. System and methods for construction, fusion, prosecution, and maintenance of minimized operating environments
US20060193467A1 (en) 2005-02-16 2006-08-31 Joseph Levin Access control in a computer system
EP1872211A4 (en) 2005-04-18 2008-05-28 Research In Motion Ltd METHOD AND SYSTEM FOR EXECUTING A CONTAINER-MANAGED APPLICATION ON A PROCESSING DEVICE
US20060259980A1 (en) * 2005-05-16 2006-11-16 Microsoft Corporation Method and system for limiting rights of services
US7716734B2 (en) 2005-05-19 2010-05-11 Microsoft Corporation Systems and methods for pattern matching on principal names to control access to computing resources
US7580933B2 (en) * 2005-07-28 2009-08-25 Microsoft Corporation Resource handling for taking permissions
US8073442B2 (en) 2005-10-05 2011-12-06 Microsoft Corporation Binding a device to a provider
US20070083620A1 (en) 2005-10-07 2007-04-12 Pedersen Bradley J Methods for selecting between a predetermined number of execution methods for an application program
CN1959631B (zh) 2005-11-04 2016-09-21 上海启明软件股份有限公司 一种基于itron的应用软件自主装配系统及方法
US20100153671A1 (en) 2005-12-01 2010-06-17 Drive Sentry Inc. System and method to secure a computer system by selective control of write access to a data storage medium
US7664924B2 (en) 2005-12-01 2010-02-16 Drive Sentry, Inc. System and method to secure a computer system by selective control of write access to a data storage medium
US7779265B2 (en) 2005-12-13 2010-08-17 Microsoft Corporation Access control list inheritance thru object(s)
US8621549B2 (en) * 2005-12-29 2013-12-31 Nextlabs, Inc. Enforcing control policies in an information management system
US8150816B2 (en) * 2005-12-29 2012-04-03 Nextlabs, Inc. Techniques of optimizing policies in an information management system
US8209747B2 (en) * 2006-01-03 2012-06-26 Cisco Technology, Inc. Methods and systems for correlating rules with corresponding event log entries
US20070192500A1 (en) 2006-02-16 2007-08-16 Infoexpress, Inc. Network access control including dynamic policy enforcement point
US20070208857A1 (en) 2006-02-21 2007-09-06 Netiq Corporation System, method, and computer-readable medium for granting time-based permissions
EP1833222A1 (en) 2006-03-10 2007-09-12 Abb Research Ltd. Access control protocol for embedded devices
US20070240194A1 (en) * 2006-03-28 2007-10-11 Hargrave Bentley J Scoped permissions for software application deployment
US20070234412A1 (en) 2006-03-29 2007-10-04 Smith Ned M Using a proxy for endpoint access control
US9489109B2 (en) 2006-03-30 2016-11-08 Sony Ericsson Mobile Communication Ab Data communication in an electronic device
US8001528B2 (en) 2006-03-30 2011-08-16 Microsoft Corporation Organization of application state and configuration settings
US8166472B2 (en) 2006-10-12 2012-04-24 Apple Inc. Installation utility system and method
US20080120707A1 (en) 2006-11-22 2008-05-22 Alexander Ramia Systems and methods for authenticating a device by a centralized data server
US7934087B2 (en) 2006-11-29 2011-04-26 Novell, Inc. Techniques for secure event recording and processing
US7925875B2 (en) 2006-12-31 2011-04-12 Sandisk Corporation Systems and methods for identifying and booting a computer architecture
CN100483352C (zh) 2007-02-13 2009-04-29 华为技术有限公司 Idl调用装置及调用方法
US20080201705A1 (en) 2007-02-15 2008-08-21 Sun Microsystems, Inc. Apparatus and method for generating a software dependency map
CN101616719A (zh) 2007-02-23 2009-12-30 高通股份有限公司 用以基于接近度创建或加入游戏会话的方法和设备
US7797743B2 (en) 2007-02-26 2010-09-14 Microsoft Corporation File conversion in restricted process
US20080244723A1 (en) 2007-03-27 2008-10-02 Microsoft Corporation Firewall Restriction Using Manifest
US8239954B2 (en) 2007-05-07 2012-08-07 Microsoft Corporation Access control based on program properties
CN102006334B (zh) 2007-06-11 2013-01-02 华为技术有限公司 安装软件组件的方法、系统及装置
US8185889B2 (en) 2007-06-19 2012-05-22 Red Hat, Inc. Methods and systems for porting software packages from one format to another
GB2455059A (en) 2007-10-09 2009-06-03 Symbian Software Ltd Transmitting device pairing information over multiple available out of band channels/interfaces
US8978028B2 (en) 2007-10-10 2015-03-10 Microsoft Technology Licensing, Llc Transactional multi-package installation
US8356335B2 (en) * 2007-10-30 2013-01-15 Apple Inc. Techniques for authentication via network connections
KR101474561B1 (ko) 2007-11-27 2014-12-19 삼성전자주식회사 이동통신 단말기에서의 어플리케이션 실행방법 및 장치
US8107879B2 (en) 2007-12-31 2012-01-31 Intel Corporation Device, system, and method of establishing multiple wireless connections
US20090193507A1 (en) 2008-01-28 2009-07-30 Wael Ibrahim Authentication messaging service
EP2086206A1 (en) 2008-01-31 2009-08-05 Alcatel Lucent System for operating a peer-to-peer network taking into account access network subscriber information
JP4613969B2 (ja) 2008-03-03 2011-01-19 ソニー株式会社 通信装置、及び通信方法
EP2107458A1 (en) 2008-03-31 2009-10-07 Jatho Investments Modelling software appliance
US7930760B2 (en) 2008-04-01 2011-04-19 Microsoft Corporation Centralized enforcement of name-based computer system security rules
US8090852B2 (en) * 2008-06-04 2012-01-03 Sophos Plc Managing use of proxies to access restricted network locations
US8407693B2 (en) 2008-06-09 2013-03-26 International Business Machines Corporation Managing package dependencies
US20090327900A1 (en) 2008-06-26 2009-12-31 Microsoft Corporation Indicating resources to which there are access rights
US8204969B2 (en) 2008-08-05 2012-06-19 Canon Kabushiki Kaisha Method for retrieving updates via the internet
US20100058320A1 (en) 2008-09-04 2010-03-04 Microsoft Corporation Managing Distributed System Software On A Gaming System
US9043919B2 (en) 2008-10-21 2015-05-26 Lookout, Inc. Crawling multiple markets and correlating
US8146134B2 (en) * 2008-10-28 2012-03-27 Yahoo! Inc. Scalable firewall policy management platform
US20100174599A1 (en) 2009-01-05 2010-07-08 Apple Inc. System and method for providing content associated with a product or service
US9288210B2 (en) * 2009-01-26 2016-03-15 Microsoft Technology Licensing, Llc Revocable object access
US8131214B2 (en) 2009-03-02 2012-03-06 Motorola Mobility, Inc. Method for selecting content for transfer or synchronization between devices
US8375377B2 (en) 2009-03-06 2013-02-12 International Business Machines Corporation Controlling java virtual machine component behavior on a per-classloader basis
US8468608B1 (en) 2009-03-30 2013-06-18 Symantec Corporation Enforcing digital rights management in a heterogeneous environment
US20100287513A1 (en) 2009-05-05 2010-11-11 Microsoft Corporation Multi-device gesture interactivity
KR101590188B1 (ko) 2009-05-08 2016-01-29 삼성전자주식회사 휴대단말기에서 소프트웨어 패키지의 무결성을 검증하는 방법
US9270683B2 (en) 2009-05-15 2016-02-23 Amazon Technologies, Inc. Storage device authentication
US8826269B2 (en) 2009-06-15 2014-09-02 Microsoft Corporation Annotating virtual application processes
US20110066851A1 (en) * 2009-09-14 2011-03-17 International Business Machines Corporation Secure Route Discovery Node and Policing Mechanism
US20110070827A1 (en) 2009-09-24 2011-03-24 Research In Motion Limited Communications device and method for initiating communications at a communications device
US20110098030A1 (en) 2009-10-27 2011-04-28 Nokia Corporation Method and apparatus for activating services
US8838644B2 (en) 2009-11-25 2014-09-16 International Business Machines Corporation Extensible access control list framework
CN102129364B (zh) 2010-01-14 2013-09-25 中国电信股份有限公司 应用程序中嵌入微件工具栏的方法和快速访问微件的方法
US8745239B2 (en) 2010-04-07 2014-06-03 Limelight Networks, Inc. Edge-based resource spin-up for cloud computing
US9218359B2 (en) 2010-07-02 2015-12-22 Code Systems Corporation Method and system for profiling virtual application resource utilization patterns by executing virtualized application
US20120194534A1 (en) 2011-02-02 2012-08-02 Alcatel-Lucent Usa Inc. System and Method for Managing Cache Storage in Adaptive Video Streaming System
US20120297288A1 (en) 2011-05-16 2012-11-22 Edward Mansouri Method and System for Enhancing Web Content
US9319406B2 (en) 2011-07-12 2016-04-19 Apple Inc. System and method for linking pre-installed software to a user account on an online store
JP5701715B2 (ja) * 2011-08-12 2015-04-15 株式会社東芝 エネルギー管理装置、電力管理システムおよびプログラム
US20130054734A1 (en) 2011-08-23 2013-02-28 Microsoft Corporation Migration of cloud applications between a local computing device and cloud
WO2013036223A1 (en) 2011-09-07 2013-03-14 Intel Corporation Verifying firmware integrity of a device
US20130067459A1 (en) 2011-09-09 2013-03-14 Microsoft Corporation Order-Independent Deployment Collections with Dependency Package Identifiers
US8990561B2 (en) 2011-09-09 2015-03-24 Microsoft Technology Licensing, Llc Pervasive package identifiers
US9800688B2 (en) 2011-09-12 2017-10-24 Microsoft Technology Licensing, Llc Platform-enabled proximity service
CN103188797A (zh) 2011-12-28 2013-07-03 北京三星通信技术研究有限公司 一种改变tdd上下行配置的方法
US9152784B2 (en) 2012-04-18 2015-10-06 Mcafee, Inc. Detection and prevention of installation of malicious mobile applications
US10356204B2 (en) 2012-12-13 2019-07-16 Microsoft Technology Licensing, Llc Application based hardware identifiers
US9858247B2 (en) 2013-05-20 2018-01-02 Microsoft Technology Licensing, Llc Runtime resolution of content references

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1617101A (zh) * 2003-10-24 2005-05-18 微软公司 操作系统资源保护
CN1633084A (zh) * 2004-12-28 2005-06-29 北京邮电大学 用于应用服务器的基于令牌的细粒度访问控制系统及方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111813854A (zh) * 2013-05-29 2020-10-23 微软技术许可有限责任公司 计量网络的同步

Also Published As

Publication number Publication date
US20130061309A1 (en) 2013-03-07
KR101839647B1 (ko) 2018-03-16
EP2754084A4 (en) 2015-05-06
EP2754084B1 (en) 2016-11-30
WO2013036253A1 (en) 2013-03-14
EP2754084A1 (en) 2014-07-16
JP6038924B2 (ja) 2016-12-07
CN102882855B (zh) 2016-06-29
JP2014526728A (ja) 2014-10-06
US9118686B2 (en) 2015-08-25
KR20140068935A (ko) 2014-06-09

Similar Documents

Publication Publication Date Title
CN102882855B (zh) 按过程的连网能力的管理方法及设备
Babun et al. A survey on IoT platforms: Communication, security, and privacy perspectives
US10686758B2 (en) Elastic outbound gateway
US10374869B2 (en) Containerized architecture to manage internet-connected devices
US9230085B1 (en) Network based temporary trust extension to a remote or mobile device enabled via specialized cloud services
US10708067B2 (en) Platform attestation and registration for servers
US10728269B2 (en) Method for conditionally hooking endpoint processes with a security agent
EP2936368B1 (en) Hardware management interface
EP3007408B1 (en) Service method for managing transactions using application properties and system therefor
EP4191453A1 (en) Platform security
US10419900B2 (en) Method and apparatus for managing application terminal remotely in wireless communication system
CN106605397A (zh) 安全编排框架
EP2887607A1 (en) Migration of assets of a trusted execution environment
Subhashini et al. The role of Internet of Things (IoT) in smart city framework
WO2012175786A1 (en) Methods, apparatuses and computer program products for provisioning applications to in vehicle infotainment systems with secured access
CN110147675A (zh) 一种智能终端的安全检测方法及设备
JP2016537894A (ja) 局所/ホームネットワークのためのセキュリティゲートウェイ
WO2013055421A1 (en) System and method for managing access for trusted and untrusted applications
US10951642B2 (en) Context-dependent timeout for remote security services
JP2015534669A (ja) クラウドプラットフォームを実施するためのネットワークシステム
KR20190069574A (ko) 무선 네트워크 유형 검출 방법과 장치, 및 전자 디바이스
WO2019211592A1 (en) Locally securing endpoints in an enterprise network using remote network resources
JP5602124B2 (ja) スマートフォンを利用したネットワークシステム
US20220300244A1 (en) Systems and methods for orchestrated audio session management for modern workspaces
Subhashini et al. 3 The Role of Internet

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
ASS Succession or assignment of patent right

Owner name: MICROSOFT TECHNOLOGY LICENSING LLC

Free format text: FORMER OWNER: MICROSOFT CORP.

Effective date: 20150706

C41 Transfer of patent application or patent right or utility model
TA01 Transfer of patent application right

Effective date of registration: 20150706

Address after: Washington State

Applicant after: Micro soft technique license Co., Ltd

Address before: Washington State

Applicant before: Microsoft Corp.

C14 Grant of patent or utility model
GR01 Patent grant