CN102882855A - 按过程的连网能力 - Google Patents
按过程的连网能力 Download PDFInfo
- Publication number
- CN102882855A CN102882855A CN2012103268817A CN201210326881A CN102882855A CN 102882855 A CN102882855 A CN 102882855A CN 2012103268817 A CN2012103268817 A CN 2012103268817A CN 201210326881 A CN201210326881 A CN 201210326881A CN 102882855 A CN102882855 A CN 102882855A
- Authority
- CN
- China
- Prior art keywords
- network
- computing equipment
- access
- ability
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 134
- 230000008569 process Effects 0.000 title claims abstract description 116
- 230000006855 networking Effects 0.000 title abstract description 14
- 238000005516 engineering process Methods 0.000 abstract description 20
- 230000002596 correlated effect Effects 0.000 abstract 1
- 230000006870 function Effects 0.000 description 20
- 230000015654 memory Effects 0.000 description 15
- 238000007726 management method Methods 0.000 description 13
- 238000004891 communication Methods 0.000 description 12
- 230000000712 assembly Effects 0.000 description 4
- 238000000429 assembly Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 230000015572 biosynthetic process Effects 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 238000009434 installation Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000004883 computer application Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
- 230000005236 sound signal Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
- G06F21/335—User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2121—Chip on media, e.g. a disk or tape with a chip embedded in its case
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2145—Inheriting rights or properties, e.g., propagation of permissions or restrictions within a hierarchy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/34—Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明描述了按过程的连网能力技术。在一个或多个实施方式中,基于与在计算设备上执行的过程相关的标记,确定关于是否允许该过程访问网络能力。该标记具有一个或多个安全标识符,其引用在清单中描述的一个或多个网络能力。基于该确定来管理对网络能力的访问。
Description
背景技术
用户可以获得用于由计算设备来执行的可执行代码(例如,软件)的方式在不断增加。例如,用户传统上敢于去“实体”商店来查找(locate)并购买应用,所述应用随后由用户来手动安装。因此,由于商店自身的声誉以及软件开发者的声誉,用户通常能信任该软件。
然而,随着应用卖场(marketplace)的出现,用户可以从成百甚至上千个不同开发者获得数以千计的不同类型的应用。因此,用户可以在计算设备上安装来自广泛的源的众多应用,其中一些源可以甚至导致一个应用危害另一应用。因此,用户甚至卖场自身难以确定这些应用是否是可信赖的,并且因而应该被允许访问用户的计算设备的功能。该困难可能被恶意方进一步加剧,该恶意方可以攻击应用以访问应用所支持的功能,例如访问甚至是用于源自可信赖源的应用的敏感数据。
发明内容
描述了按过程的连网能力技术。在一个或多个实施方式中,基于与在计算设备上执行的过程相关的标记,确定关于是否允许该过程访问网络能力。该标记具有一个或多个安全标识符,其引用一个或多个在清单(manifest)中描述的网络能力。基于该确定来管理对网络能力的访问。
在一个或多个实施方式中,网络被探测以识别代理服务器、子网或远程可访问网络。基于代理服务器或子网的识别以及对与在计算设备上执行的过程相关的标记的审查来管理该过程对网络的网络能力的访问。标记具有一个或多个安全标识符,其引用允许该过程所使用的、在清单中描述的网络能力。这可以以安全的方式来执行,该安全的方式没有被配置为受该过程影响。
在一个或多个实施方式中,一个或多个计算机可读存储介质包括存储在其上的指令,响应于在计算设备上的执行,该指令使得计算设备执行操作系统以形成具有一个或多个安全标识符的标记,所述一个或多个安全标识符引用清单中描述的网络能力,该清单对应于通过由计算设备对执行代码的执行来形成的过程,所述执行代码和清单从包(package)被安装在计算设备上,标记可由操作系统使用来管理过程对网络能力的访问。
提供此发明内容来以简要形式介绍一些概念选集,其将在以下具体实施例中进一步介绍。此发明内容不旨在标识要求保护主题的关键特征或必要特征,也不旨在用来帮助确定要求保护主题的范围。
附图说明
参考附图来描述具体实施例。在图中,附图标记的最左边的一个或多个数字标识该附图标记首次出现在哪个图中。说明书和附图中的不同实例中使用的相同附图标记指示相似或相同的项。
图1是可用于执行按过程连网能力技术的示例实施方式中的环境的图示。
图2是示出按过程连网能力技术的示例实施方式的示例实施方式中的系统的图示。
图3是示出按过程连网能力技术的示例实施方式的示例实施方式中的系统的另一图示。
图4是描绘具有可执行代码的包和清单被安装在计算设备上并用以响应于发起执行代码的执行来形成标记的示例实施方式中的过程的流程图。
图5是描绘计算设备使用在图4中形成的标记来管理对能力的访问的示例实施方式中的过程的流程图。
图6是描绘探测连同标记被一起使用来管理对网络能力的按过程访问的示例实施方式中的过程的流程图。
图7图示了包括如参考图1所述的计算设备的示例系统。
图8图示了示例设备的各种组件,该示例设备可以实现为如参考图1-3和7所述的任意类型的计算设备以实现本文中描述的技术的实施例。
具体实施例
概览
传统上,执行在计算设备上的应用被允许访问计算设备的大多数(如果不是全部的话)功能,甚至不管是否期望该访问。这可以包括对网络的不受约束的访问。然而,在一些实例中,这些同样的应用可能被恶意方所利用。这些恶意方因而可以使用不受约束的访问来访问互联网上的资源、接收未经同意的连接、访问联网功能等等。因此,给予这些应用的宽泛的访问现在可能给用户的计算设备以及计算设备可访问的设备呈现显著的风险。
描述了按过程网络能力技术。在一个或多个实施方式中,使用能力模型来确保应用能够访问开发者限定的网络资源,而不能访问开发者没有限定的其他网络资源。因而,该能力模型可以防止被利用的应用利用通常不被该应用所使用的网络资源。通过此方式,模型可以用来确保被盗用(compromised)的应用被限制于访问限定的网络能力并且限制利用被开发者限定为应用不可访问的网络能力。还设想了各种其他示例,可以参考以下章节找到对于这些示例的进一步讨论。
在以下讨论中,首先描述可以采用本文中描述的网络能力技术的示例环境。随后,描述可以在示例环境和其他环境中执行的示例过程。因此,执行所述示例过程不限于示例环境并且示例环境不限于执行示例过程。
示例环境
图1图示了根据一个或多个实施例的操作环境,通常在100处。环境100包括计算设备102,其具有可以包括一个或多个处理器的处理系统104、示出为存储器106的计算机可读存储介质的示例、操作系统108和一个或多个应用108。计算设备102可以体现为任意合适的计算设备,例如,以示例而非限制的方式,桌面计算机、便携式计算机、诸如个人数字助理(PDA)的手持计算机、移动电话、平板计算机等等。下面在图6和7中示出和描述了计算设备102的不同示例。
计算设备102还包括操作系统108,其被图示为在处理系统104上执行并且可以存储在存储器106中。计算设备102进一步包括应用110,其被图示为存储在存储器106中并且也可以在处理系统104上执行。操作系统108代表计算设备102的功能,该功能可以抽象底层的硬件和软件资源以供应用110使用。例如,操作系统108可以抽象数据如何显示在显示设备112上的功能,而应用110不必“知晓”如何实现该显示。还设想了各种其他示例,例如抽象计算设备102的处理系统104和存储器106资源、网络资源等。
计算设备102还被图示为包括过程管理器模块114。过程管理器模块114代表计算设备102管理可执行代码访问计算设备102的能力的功能。例如,计算设备102可以接收具有可执行代码118(例如,应用)的包116以用于安装在计算设备102上。包116还可以包括由可执行代码118的开发者生成的清单120,其描述了计算设备102的一个或多个能力122,所述一个或多个能力122可以包括计算设备102访问网络124的能力。因而,该描述可以描述允许和/或不允许通过执行可执行代码118形成的过程访问计算设备102的哪些能力。例如,清单120可以列出将使得过程可以访问的能力和/或可以列出将使得该过程不可以访问的能力。通过这样的方式,可执行代码118的开发者可以在清单120中指定能力以有助于降低或甚至消除恶意方盗用应用来访问可执行代码118通常不访问的能力的本领(ability)。
过程管理器模块114例如可以将防火墙功能利用为该模块自身的一部分,或者与另一模块,例如专用防火墙模块进行通信。该功能可以用来允许或拒绝访问网络124,如包116的清单所指定的那样。因而,可执行代码118可以如代码的开发者设想的那样工作,并从而有助于降低恶意方盗用代码的机会。
可以从各种不同的源接收包116以用于安装在计算设备102上。例如,应用服务126(例如,应用商店)可由计算设备102经由网络124(例如,因特网)来访问。在购买时,包括可执行代码118和清单120的包116可以经由网络124传输以用于安装在计算设备102上。在另一示例中,用户可以获取包含包116的计算机可读存储介质(例如,光盘)。可以参考图2找到对于在计算设备上安装包括可执行代码118和清单的包116的进一步讨论。
通常,本文中描述的任意功能都可以使用软件、固件、硬件(例如,固定的逻辑电路)或这些实施方式的组合来实现。本文中使用的术语“模块”、“功能”和“逻辑”通常代表软件、固件、硬件或其组合。在软件实施方式的情况下,模块、功能或逻辑代表在处理器(如一个或多个CPU)上被执行时执行指定任务的程序代码。该程序代码可以存储在一个或多个计算机可读存储器设备中。下述技术的特征是平台独立的,意指该技术可以实现在具有各种处理器的各种商业计算平台上。
例如,计算设备102还可以包括这样的实体(例如,软件),其使得计算设备102的硬件执行操作,例如处理器、功能块等。例如,计算设备102可以包括这样的计算机可读媒介,其被配置为维护使得计算设备,更具体地计算设备102的硬件来执行操作的指令。因而,所述指令工作以配置硬件来执行操作,并且通过这样的方式导致变换硬件来执行功能。计算机可读媒介可以通过各种不同的配置来将指令提供给计算设备102。
一种这样的计算机可读媒介的配置为信号承载媒介,并因而被配置为比如经由网络将指令(例如作为载波)发送到计算设备的硬件。计算机可读媒介还可以被配置为计算机可读存储媒介,并因而不是信号承载媒介。计算机可读存储媒介的示例包括随机存取存储器(RAM)、只读存储器(ROM)、光盘、快闪存储器、硬盘存储器以及可以使用磁、光学和其他技术来存储指令和其他数据的其他存储器设备。
图2是示例实施方式中的系统200的图示,该示例实施方式示出包116安装在计算设备102上和形成管理过程对计算设备的网络能力的访问的标记。如前所述,当开发者创建可执行代码118时,还可以创建清单120,其包含被声明用于通过执行代码实现的过程的能力122的集合。这些能力122可以在安装期间注册,这被图示为图2中的包部署202。
例如,可以经由应用目录204安装可执行代码118以用于使用。清单中描述的能力122可以安装在能力存储装置206中并且与包116和/或可执行代码118本身的身份相关。在一个或多个实施方式中,能力存储装置206被配置为防篡改的(例如物理和/或电子地),使得恶意方不能访问或修改其中描述的能力122,以便防止过程自身的访问。
在源自于执行可执行代码118的过程创建208期间,获取可由过程管理器模块114使用的标识符来定位针对过程210描述的能力,例如,上述包116、可执行代码118等的标识符。这些能力122随后被用作过程创建208的部分以形成标记212,过程管理器模块114可以使用该标记212来控制对计算设备102的能力的访问。
标记212例如可以包括一个或多个安全标识符214,其对应于针对该过程在能力存储装置206中描述的能力212的一个或多个。换言之,标记212被填充有与包116关联的相关能力,作为安全标识符214。因而,过程管理器模块114可以使用标记212在过程210请求访问能力时确定是否将允许该过程210的访问。
在一个或多个实施方式中,过程210不能操纵标记212。标记212还可以允许过程210参与针对能力(例如资源的ACL)的访问使用验证检查。进一步地,过程管理器模块114还可以实现这些技术,其中包括在授权访问能力之前基于能力(或能力组合)的存在的决定。因为过程210不能直接访问标记,所以过程管理器模块114可以充当代理,其利用标记212的不变性来确保适当的访问被授权给过程210。
安全标识符214可以引用各种不同的能力122。另外,安全标识符214可以以各种方式来引用这些能力。例如,开发者可以创建可执行代码118(例如应用)和清单120,该清单120包含针对包116中的每个过程声明的能力的集合,该过程通过执行可执行代码118来实现。该包116还可以具有“强身份”,其中在安装包116时使用该身份将网络能力注册到操作系统108。
因此,当后续启动过程210(其将包身份包括作为过程创建参数)时,标记212填充有过程身份和网络能力,它们可以被填充为安全标识符214。进一步地,操作系统108可以防止过程210修改标记212。在一个或多个实施方式中,子过程可以继承身份和网络能力的子集,其中该子集由父过程定义。
可以通过清单120来指定各种不同的能力122以用于管理过程210的访问使用,例如,从预定义的网络能力到丰富的防火墙类型规则。例如,可以定义“互联网-客户端”能力来管理过程210对网络124(例如,互联网)的向外连接的访问。在另一示例中,可以定义“互联网客户端/服务器”能力来允许向内(incoming)和向外(outgoing)的网络124连接。该能力例如可以用来允许过程接受来自因特网的未经同意的连接,以及通过防火墙发送和接收数据。在进一步的示例中,可以定义“私有网络客户端服务器(PrivateNetworkClientServer)”能力来允许在同样定义的网络124(例如,家庭网络、工作网络、内部网等等)上与计算设备来回通信。还设想了各种其他示例,以使得可以创建丰富的引用能力的防火墙规则,这些能力可以变得甚至更加特定和丰富,例如访问特定的端口。通过这样的方式,使用标记212中的安全标识符214可以允许过程管理器模块114管理过程210对网络能力的访问,其示例参考下图描述。
图3描绘了示例实施方式中的系统,其示出通过图1的过程管理器模块来管理过程对网络能力的访问。当过程210请求访问网络124时,过程管理器模块114验证应用身份(例如,包ID 302),并确保由标记212指定的网络能力304、306是能力存储装置206中的在安装时注册的网络能力的子集。如果剩余的能力对于网络通信是足够的,则允许通信。否则,阻塞通信。因而,过程管理器模块114可以充当防火墙的一部分来允许和/或拒绝访问计算设备102的网络能力。
在一个或多个实施方式中,可以允许应用访问在能力存储装置206中注册的能力的全集。然而,过程210还可能创建子过程,其中该子过程不具有父过程可用的访问权限的全集。
如前所述,可以声明各种不同的能力。进一步地,这些能力可以组合来给予过程210对于出站连接(例如客户端)或入站(inbound)和出站(outbound)连接(例如客户端&服务器)的互联网和内部网(例如,私有网络)访问。
互联网能力还可以允许访问HTTP代理。例如,过程管理器模块114可以主动地探测网络来确定是否存在代理服务器或子网,因此绑定到私有网络(例如内部网)或互联网的连网能力可以被正确地利用。如果活动目录(Active Directory)服务器包含有关子网定义的特定信息,则过程管理器模块114还可以利用该信息来帮助确定子网的边缘(edge)。还可以采用这样的机制,其中通过行政(administrative)管理工具预先定义子网和代理,并因而不涉及探测。在没有这样的通过探测和/或使用行政管理工具规定的情况下,可能会给一些设备分配不正确的网络类型,并且因而过程管理器模块114可能会不正确地允许或拒绝访问。因而,过程管理器模块114可以基于该标识(例如,经由内部网或因特网是否可用)来正确地管理能力。
在一个或多个实施方式中,被认为是至关重要的端口被阻塞未经同意的入站访问来防止使用相同机制的常见攻击向量。这些设置也可以经由策略(policy)人工地配置。也可以保护回路(例如,使用127.0.0.1的到同一机器的连接),从而防止过程210“绕过”(working around)对该过程所限定的能力。例如,回路可以绑定到上述“私有网络客户端服务器”能力,但是明显的是,在另一示例中,可以使用模型将其指定为单独的能力。
因而,这些技术还可以用来支持按过程限制网络访问和提供如上所述的不同程度的粒度的机制。如上所述,按过程连网能力可以绑定到过程的强身份。该身份还可以由子过程继承,这确保过程不能绕过已由父过程授权该过程的连网能力。与防火墙规则具有相同灵活性的高保真度连网能力还可以由过程管理器模块114来支持。连网能力例如可以在安装时注册到防火墙,并且可以具有针对防火墙规则找到的灵活性,其可以包括网络类型、连接类型和入站/出站连接。流量方向还可以与防火墙所定义的网络简档相关。
进一步地,声明的连网能力还可以组合来提供作为不同能力的联合(union)的访问。例如,可以针对过程210组合网络能力来提供不同网络访问的组合,例如私有网络(例如,内部网)访问以及出站互联网访问。还设想了各种其他示例,可以参考以下过程找到对于它们的进一步讨论。
再进一步地,用来强制实施能力的防火墙规则可以例如由“高度正直”的系统在运行时动态地修改或强制实施或微调,以提供可以具有增加的有用性的能力。所限定的能力可以与系统中的其他防火墙组件隔离和/或被传递给所述其他防火墙组件,以进一步地正确管理网络中的应用。
示例过程
以下讨论描述了可以使用前述系统和设备实现的按过程连网能力技术。过程的每一个的各方面可以在硬件、固件或软件或其组合中实现。该过程被示出为指定通过一个或多个设备执行的操作的框的集合,并且不必限于所示出的顺序来执行各个框的操作。在以下讨论的各部分中,将分别参考图1的环境100和图2和3的系统200、300。
图4描绘了示例实施方式中的过程400,其中具有可执行代码和清单的包被安装在计算设备上并用来形成标记。在计算设备处接收包括可执行代码和清单的包,该清单描述了可执行代码的能力(框402)。包116例如可以存储在计算机可读存储介质上,通过网络124从应用服务126下载等等。如前所述,清单120可以描述计算设备102在执行代码期间所使用的网络能力,如可执行代码122的开发者所设想的那样。
可执行代码安装在用于执行的计算设备上(框404)。可执行代码122例如可以被配置为要被安装在计算设备上以用于通过应用目录、第三方插件模块等访问的应用。
由清单针对可执行代码描述的网络能力被保存在计算设备上的能力存储装置中,所保存的能力可用以形成标记来管理(通过执行可执行代码形成的)一个或多个过程对计算设备的能力的访问(框406)。能力存储装置206例如可以被配置为防篡改的,例如物理地和/或电子地。通过这样的方式,其中描述的能力不能被未授权的实体所访问,不能被在计算设备102上执行的过程所访问,等等。因而,能力的描述可以被认为是“可信赖的”并因此用以形成可以用来通过过程管理访问的标记。
随后,可以接收输入以发起安装在计算设备上的可执行代码的执行(框408)。该输入例如可以通过用户对代码的表示(例如图标、区块(tile)等)的选择来接收。该输入也可以源自代码自身(例如,以预定的时间间隔唤醒),源自在计算设备102上执行的其他代码,等等。
形成具有一个或多个安全标识符的标记,所述一个或多个安全标识符引用针对可执行代码的在清单中描述的网络能力(框410)。如前所述,安全标识符122可以枚举在能力存储装置206中描述的能力。标记212例如可以包括与可执行代码118和/或包116的标识符相匹配的标识符,可以在请求对能力的访问时由可执行代码118自身来传递(例如标记自身和/或可用来找到标记212的标识符),等等。随后,标记212可以用来管理过程210对计算设备102的一个或多个网络能力的访问,可以参考下图来找到其示例。
图5描绘了示例实施方式中的过程500,其中计算设备使用图4中形成的标记来管理对网络能力的访问。基于与过程相关的标记 确定是否允许在计算设备上执行的过程访问网络能力,该标记具有引用清单中描述的一个或多个网络能力的一个或多个安全标识符(502)。例如,过程管理器模块114可以从过程接收请求。过程210可以由计算设备102通过执行可执行代码118来实现,如前所述。
随后,过程管理器模块114可以例如使用如前所述的包116标识符、“强类型”等来定位标记212。可以形成标记212来描述所允许的访问(例如引用所允许的能力)和/或描述所不允许的访问,例如引用不允许相应的过程210所访问的能力。
基于所述确定来管理对网络能力的访问(框504)。过程管理器模块114例如可以接收来自过程210的访问网络能力的请求,例如请求使用向外网络连接。随后,过程管理器模块114可以审查标记212来确定是否允许该网络访问,例如定位引用向外网络连接的安全标识符。因而,过程管理器模块114可以轻易地确定什么访问被允许并相应地达到。如前所述,还设想了各种其他示例,例如确定基于通过标记212的枚举来确定允许哪个访问。
图6描绘了示例实施方式的过程600,其中探测网络来识别代理服务器或子网,该过程用来辅助管理给予过程的网络能力访问。网络被探测来识别代理服务器或子网(框602)。这可以通过形成一个或多个将被发送到服务器的传输、检测网络设置等来执行。
基于对代理服务器或子网的识别以及与在计算设备上执行的过程相关的标记的审查来管理该过程对网络的网络能力的访问,所述标记具有一个或多个安全标识符,该一个或多个安全标识符引用在清单中描述的允许过程使用的网络能力(框604)。如前,过程管理器模块114可以通过使用标记来管理访问,该标记“指明”允许与该标记相关的过程访问哪些能力。进一步地,该标记可以用来确保对网络的访问与该枚举相一致,例如该访问准确地反映处设备是否经由子网或因特网等可访问的。还设想了各种其他示例。
示例系统和设备
图7示出了包括如参考图1描述的计算设备102的示例系统700。当在个人计算机(PC)、电视设备和/或移动设备上运行应用时,示例系统700实现了用于无缝用户体验过的普适环境。当使用应用、播放视频游戏、观看视频等等时,服务和应用在所有三个环境中运行基本类似以用于在从一个设备转变到下一个设备时的共同的用户体验。
在示例系统700中,多个设备通过中央计算设备互连。该中央计算设备可以是多个设备本地的,或者可以远离所述多个设备。在一个实施例中,中央计算设备可以是一个或多个服务器计算机的云,其通过网络、因特网或其他数据通信链路连接到多个设备。在一个实施例中,该互连架构使得功能能够跨多个设备递送来向多个设备的用户提供共同的和无缝的体验。多个设备的每一个可以具有不同的物理要求和能力,并且中央计算设备使用平台来实现对设备的体验的递送,该体验既对该设备是定制的又对所有设备是共同的。在一个实施例中,创建一类目标设备并且对设备通用类定制体验。一类设备可以由设备的物理特征、使用类型或其他共同特征来定义。
在各种实施方式中,计算设备102可以采取各种不同的配置,例如以用于计算机702、移动装置704和电视706。这些配置的每一个包括可以具有一般不同的构造和能力的设备,并且因而计算设备102可以根据不同设备类的一个或多个来配置。例如,计算设备102可以实现为设备的计算机702类,其包括个人计算机、桌面计算机、多屏幕计算机、膝上计算机、上网本、等等。
计算设备102还可以被实现为设备的移动装置704类,其包括诸如移动电话、便携式音乐播放器、便携式游戏设备、平板计算机、多屏幕计算机等的移动设备。计算设备102还可以实现为设备的电视706类,其包括具有或连接到随意查看环境中的通常较大的屏幕的设备。这些设备包括电视、机顶盒、游戏机、等等。本文中描述的技术可以得到计算设备102的这些各种配置的支持并且不限于本文中描述的技术的特定示例。
云708包括和/或代表用于内容服务712的平台710。该平台710抽象云708的硬件(例如服务器)和软件资源的底层功能。内容服务712可以包括可以被使用的应用和/或数据,同时计算机处理在远离计算设备102的服务器上执行。内容服务712可以被提供为通过因特网和/或用户网络(例如蜂窝网络或Wi-Fi网络)的服务。
平台710可以抽象资源和功能来将计算设备102与其他计算设备相连接。平台710还可以用来抽象资源的缩放(scaling)以提供对于所遇到的经由平台710实现的内容服务712的需求的相应规模(scale)等级。相应地,在互连的设备实施例中,对于本文中描述的功能的功能实现可以遍及系统700分布。例如,功能可以部分实现在计算设备102上以及部分经由抽象云708的功能的平台710实现。
图8示出示例设备800的各种组件,该示例设备800可以实现为如参考图1、2和7所述的任意类型的计算设备以实现本文中描述的技术的实施例。设备800包括通信设备802,其使得能够有线和/或无线地传输设备数据804(例如,已接收的数据,正在被接收的数据、计划用于广播的数据、数据的数据分组等)。设备数据804或其他设备内容可以包括设备的配置设置、存储在设备上的媒体内容和/或与设备的用户相关的信息。存储在设备800上的媒体内容可以包括任意类型的音频、视频和/或图像数据。设备800包括一个或多个数据输入806,经由其可以接收任意类型的数据、媒体内容和/或输入,例如用户可选的输入、消息、音乐、电视媒体内容、记录的视频内容和从任意内容和/或数据源接收的任意其他类型的音频、视频和/或图像数据。
设备800还包括通信接口808,其可以实现为串行和/或并行接口、无线接口、任意类型的网络接口、调制解调器的任意一个或多个,或实现为任意其他类型的通信接口。通信接口808提供了设备800和通信网络之间的连接和/或通信链路,其他电子、计算和通信设备通过该连接和/或通信链路与设备800进行通信。
设备800包括一个或多个处理器810(例如,任意微处理器、控制器等),其处理各种计算机可执行指令来控制设备800的操作并实现本文中描述的技术的实施例。可替换地或附加地,设备800可以用硬件、固件或固定逻辑电路的任意一个或组合来实现,该固定逻辑电路通常与在812处标识的处理和控制电路相连接。虽然未示出,但是设备800可以包括耦接设备中各种组件的系统总线或数据传送系统。系统总线可以包括不同总线结构的任意一个或组合,例如存储器总线或存储器控制器、外围总线、通用串行总线和/或使用任意各种架构的处理器或局部总线。
设备800还包括计算机可读介质814,例如一个或多个存储器组件,其示例包括随机存取存储器(RAM)、非易失性存储器(例如,只读存储器(ROM)、闪存存储器、EPROM、EEPROM等的任意一个或多个)以及磁盘存储设备。磁盘存储设备可以实现为任意类型的磁或光学存储设备,例如硬盘驱动器、可记录和/或可重写光盘(CD)、任意类型的数字化通用盘(DVD),等等。设备800还可以包括大规模存储介质设备816。
计算机可读介质814提供数据存储机制来存储设备数据804,以及各种设备应用818和任意其他类型的与设备800的操作方面相关的信息和/或数据。例如,操作系统820可以被维护为具有计算机可读介质814的计算机应用并在处理器810上执行。设备应用818可以包括设备管理器(例如控制应用、软件应用、信号处理和控制模块、特定设备本地的代码、特定设备的硬件抽象层等)。设备应用818还包括任意系统组件或模块来实现本文中描述的技术的实施例。在此示例中,设备应用818包括接口应用822和输入/输出模块824,它们被示出为软件模块和/或计算机应用。输入/输出模块824代表用来向被配置为捕获输入的设备(例如触摸屏、跟踪板、摄像头、麦克风等)提供接口的软件。可替换地或附加地,接口应用822和输入/输出模块824可以实现为硬件、软件、固件或其任意组合。另外,输入/输出模块824可以被配置为支持多个输入设备,例如单独的设备来分别捕获视觉和音频输入。
设备800还包括音频和/或视频输入-输出系统826,其向音频系统828提供音频数据和/或向显示系统830提供视频数据。音频系统828和/或显示系统830可以包括处理、显示和/或用其他方式再现音频、视频和图像数据的任意设备。视频信号和音频信号可以经由RF(射频)链路、S-视频链路、混合视频链路、分量视频链路、DVI(数字视频接口)、模拟视频连接或其他类似的通信链路从设备800传输到音频设备和/或显示设备。在实施例中,音频系统828和/或显示系统830被实现为设备800的外部组件。可替换地,音频系统828和/或显示系统830被实现为示例设备800的集成组件。
结论
虽然以特定于结构化特征和/或方法学上的行为的语言描述本发明,但是要理解的是,所附权利要求中限定的本发明不必限于所描述的具体特征和行为。相反,这些具体特征和行为以实现所要求保护的发明的示例形式来公开。
Claims (11)
1.一种通过计算设备实现的方法,该方法包括:
基于与在计算设备上执行的过程相关的标记,确定是否允许该过程访问网络能力,该标记具有一个或多个安全标识符,其引用在清单中描述的一个或多个网络能力(502);以及
基于该确定来管理对网络能力的访问(504)。
2.如权利要求1所述的方法,其中清单存储在计算设备上作为可执行代码的安装部分,当被执行时,可执行代码实现所述过程。
3.如权利要求2所述的方法,其中网络能力的描述存储在防篡改的位置中作为计算设备上的可执行代码的安装部分。
4.如权利要求1所述的方法,其中通过访问在所述过程不能访问的计算设备的防篡改位置中存储的能力的描述来形成标记。
5.如权利要求1所述的方法,其中所述确定和管理通过在计算设备上执行操作系统来进行。
6.如权利要求1所述的方法,其中清单中描述的至少一个所述网络能力指示是否允许通过过程的回路。
7.如权利要求1所述的方法,其中清单中描述的至少一个所述网络能力指示是否允许通过网络的向外连接供所述过程使用。
8.如权利要求1所述的方法,其中清单中描述的至少一个所述网络能力指示是否允许通过网络的向内和向外连接供所述过程使用。
9.如权利要求8所述的方法,其中向内连接允许所述过程接受未经同意的连接。
10.如权利要求1所述的方法,其中清单中描述的至少一个所述网络能力指示是否允许私有网络访问供所述过程使用。
11.一个或多个存储指令的计算机可读存储介质,当由计算设备执行时,导致所述计算设备执行如前述权利要求中任一项所述的方法。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/226,223 US9118686B2 (en) | 2011-09-06 | 2011-09-06 | Per process networking capabilities |
US13/226,223 | 2011-09-06 | ||
US13/226223 | 2011-09-06 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102882855A true CN102882855A (zh) | 2013-01-16 |
CN102882855B CN102882855B (zh) | 2016-06-29 |
Family
ID=47483999
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210326881.7A Active CN102882855B (zh) | 2011-09-06 | 2012-09-06 | 按过程的连网能力的管理方法及设备 |
Country Status (6)
Country | Link |
---|---|
US (1) | US9118686B2 (zh) |
EP (1) | EP2754084B1 (zh) |
JP (1) | JP6038924B2 (zh) |
KR (1) | KR101839647B1 (zh) |
CN (1) | CN102882855B (zh) |
WO (1) | WO2013036253A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111813854A (zh) * | 2013-05-29 | 2020-10-23 | 微软技术许可有限责任公司 | 计量网络的同步 |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9773102B2 (en) | 2011-09-09 | 2017-09-26 | Microsoft Technology Licensing, Llc | Selective file access for applications |
US8990561B2 (en) | 2011-09-09 | 2015-03-24 | Microsoft Technology Licensing, Llc | Pervasive package identifiers |
US9800688B2 (en) | 2011-09-12 | 2017-10-24 | Microsoft Technology Licensing, Llc | Platform-enabled proximity service |
US10356204B2 (en) | 2012-12-13 | 2019-07-16 | Microsoft Technology Licensing, Llc | Application based hardware identifiers |
US9021574B1 (en) * | 2013-03-12 | 2015-04-28 | TrustPipe LLC | Configuration management for network activity detectors |
US9900285B2 (en) | 2015-08-10 | 2018-02-20 | International Business Machines Corporation | Passport-controlled firewall |
US10536464B2 (en) * | 2016-06-22 | 2020-01-14 | Intel Corporation | Secure and smart login engine |
US11381575B2 (en) * | 2019-05-03 | 2022-07-05 | Microsoft Technology Licensing, Llc | Controlling access to resources of edge devices |
DE102022206744B3 (de) | 2022-07-01 | 2023-11-02 | Infineon Technologies Ag | Ressourcenschutz |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1617101A (zh) * | 2003-10-24 | 2005-05-18 | 微软公司 | 操作系统资源保护 |
CN1633084A (zh) * | 2004-12-28 | 2005-06-29 | 北京邮电大学 | 用于应用服务器的基于令牌的细粒度访问控制系统及方法 |
Family Cites Families (132)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5956715A (en) | 1994-12-13 | 1999-09-21 | Microsoft Corporation | Method and system for controlling user access to a resource in a networked computing environment |
CA2242596C (en) * | 1996-01-11 | 2012-06-19 | Mrj, Inc. | System for controlling access and distribution of digital property |
US6151643A (en) | 1996-06-07 | 2000-11-21 | Networks Associates, Inc. | Automatic updating of diverse software products on multiple client computer systems by downloading scanning application to client computer and generating software list on client computer |
EP0862124A3 (en) | 1997-02-28 | 2003-03-26 | Fujitsu Limited | File access system for efficiently accessing a file having encrypted data within a storage device |
US5974549A (en) | 1997-03-27 | 1999-10-26 | Soliton Ltd. | Security monitor |
US6117187A (en) | 1997-09-30 | 2000-09-12 | Hewlett-Packard Company | Automatic generation of a software installation package |
US6101607A (en) | 1998-04-24 | 2000-08-08 | International Business Machines Corporation | Limit access to program function |
US6505300B2 (en) * | 1998-06-12 | 2003-01-07 | Microsoft Corporation | Method and system for secure running of untrusted content |
US6279111B1 (en) | 1998-06-12 | 2001-08-21 | Microsoft Corporation | Security model using restricted tokens |
US6697569B1 (en) | 1998-09-11 | 2004-02-24 | Telefonaktiebolaget Lm Ericsson (Publ) | Automated conversion of a visual presentation into digital data format |
US7151832B1 (en) | 1999-11-18 | 2006-12-19 | International Business Machines Corporation | Dynamic encryption and decryption of a stream of data |
US7398532B1 (en) | 2000-03-02 | 2008-07-08 | Hewlett-Packard Development Company, L.P. | System and method for establishing a secure execution environment for a software process |
US6725452B1 (en) | 2000-06-01 | 2004-04-20 | Aduoa, Inc. | Method for resolving dependency conflicts among multiple operative entities within a computing environment |
AU2001268647A1 (en) | 2000-06-20 | 2002-01-02 | James R Clark | Multi-session secured digital transmission process |
US7669238B2 (en) * | 2000-06-21 | 2010-02-23 | Microsoft Corporation | Evidence-based application security |
AU2001280490A1 (en) | 2000-07-10 | 2002-01-21 | Critical Devices, Inc. | Method and system for software inventory management using a global central repository |
US20030084134A1 (en) | 2000-09-01 | 2003-05-01 | Pace Charles P. | System and method for bridging assets to network nodes on multi-tiered networks |
JP3776705B2 (ja) | 2000-09-28 | 2006-05-17 | 株式会社東芝 | 通信システム、移動端末装置、ゲートウェイ装置及び通信制御方法 |
US6604209B1 (en) | 2000-09-29 | 2003-08-05 | Sun Microsystems, Inc. | Distributed component testing in an enterprise computer system |
JP2003044297A (ja) | 2000-11-20 | 2003-02-14 | Humming Heads Inc | コンピュータリソースの制御を行なう情報処理方法および装置、情報処理システム及びその制御方法並びに記憶媒体、プログラム |
US20030037237A1 (en) | 2001-04-09 | 2003-02-20 | Jean-Paul Abgrall | Systems and methods for computer device authentication |
US7069330B1 (en) | 2001-07-05 | 2006-06-27 | Mcafee, Inc. | Control of interaction between client computer applications and network resources |
US7401235B2 (en) | 2002-05-10 | 2008-07-15 | Microsoft Corporation | Persistent authorization context based on external authentication |
GB0212314D0 (en) | 2002-05-28 | 2002-07-10 | Symbian Ltd | Secure mobile wireless device |
US6865659B2 (en) | 2002-06-07 | 2005-03-08 | Sun Microsystems, Inc. | Using short references to access program elements in a large address space |
US7542988B1 (en) | 2006-01-03 | 2009-06-02 | Symantec Corporation | File type associative application layered system |
US7152243B2 (en) | 2002-06-27 | 2006-12-19 | Microsoft Corporation | Providing a secure hardware identifier (HWID) for use in connection with digital rights management (DRM) system |
US7401352B2 (en) | 2002-08-30 | 2008-07-15 | International Business Machines Corporation | Secure system and method for enforcement of privacy policy and protection of confidentiality |
EP1420323A1 (en) | 2002-11-18 | 2004-05-19 | Koninklijke KPN N.V. | Method and system for distribution of software components |
US7337442B2 (en) | 2002-12-03 | 2008-02-26 | Microsoft Corporation | Methods and systems for cooperative scheduling of hardware resource elements |
US20040199787A1 (en) * | 2003-04-02 | 2004-10-07 | Sun Microsystems, Inc., A Delaware Corporation | Card device resource access control |
US7478094B2 (en) | 2003-06-11 | 2009-01-13 | International Business Machines Corporation | High run-time performance method for setting ACL rule for content management security |
US7392383B2 (en) * | 2003-09-25 | 2008-06-24 | International Business Machines Corporation | Method and apparatus for providing process-based access controls on computer resources |
US20050091535A1 (en) | 2003-10-24 | 2005-04-28 | Microsoft Corporation | Application identity for software products |
US8590032B2 (en) | 2003-12-10 | 2013-11-19 | Aventail Llc | Rule-based routing to resources through a network |
US7568195B2 (en) | 2003-12-16 | 2009-07-28 | Microsoft Corporation | Determining a maximal set of dependent software updates valid for installation |
US7480655B2 (en) | 2004-01-09 | 2009-01-20 | Webroor Software, Inc. | System and method for protecting files on a computer from access by unauthorized applications |
US7698393B2 (en) | 2004-03-23 | 2010-04-13 | Microsoft Corporation | Method and system for shadowing information between computing devices |
US20050246762A1 (en) * | 2004-04-29 | 2005-11-03 | International Business Machines Corporation | Changing access permission based on usage of a computer resource |
US20050256859A1 (en) | 2004-05-13 | 2005-11-17 | Internation Business Machines Corporation | System, application and method of providing application programs continued access to frozen file systems |
US7650627B1 (en) | 2004-05-28 | 2010-01-19 | Sap Ag | Abstract configuration files for efficient implementation of security services |
US7540013B2 (en) * | 2004-06-07 | 2009-05-26 | Check Point Software Technologies, Inc. | System and methodology for protecting new computers by applying a preconfigured security update policy |
US7509497B2 (en) * | 2004-06-23 | 2009-03-24 | Microsoft Corporation | System and method for providing security to an application |
US20100081375A1 (en) | 2008-09-30 | 2010-04-01 | Apple Inc. | System and method for simplified control of electronic devices |
US7676835B2 (en) * | 2004-08-31 | 2010-03-09 | International Business Machines Corporation | System and method for regulating access to objects in a content repository |
US7703090B2 (en) | 2004-08-31 | 2010-04-20 | Microsoft Corporation | Patch un-installation |
US8499337B1 (en) | 2004-10-06 | 2013-07-30 | Mcafee, Inc. | Systems and methods for delegation and notification of administration of internet access |
US8117623B1 (en) | 2004-11-18 | 2012-02-14 | Adobe Systems Incorporated | System and method for providing notices to users of a computer program in a flexible way |
WO2006055838A2 (en) | 2004-11-18 | 2006-05-26 | America Online, Inc. | Runtime environment |
US7475396B2 (en) | 2004-12-03 | 2009-01-06 | International Business Machines Corporation | Method and apparatus for defining, building and deploying pluggable and independently configurable install components |
US7472377B2 (en) | 2005-01-18 | 2008-12-30 | International Business Machines Corporation | Systems and methods for determining software package identity during a system build |
US7802294B2 (en) * | 2005-01-28 | 2010-09-21 | Microsoft Corporation | Controlling computer applications' access to data |
US7650501B1 (en) | 2005-02-15 | 2010-01-19 | Sun Microsystems, Inc. | System and methods for construction, fusion, prosecution, and maintenance of minimized operating environments |
US20060193467A1 (en) | 2005-02-16 | 2006-08-31 | Joseph Levin | Access control in a computer system |
EP1872211A4 (en) | 2005-04-18 | 2008-05-28 | Research In Motion Ltd | METHOD AND SYSTEM FOR EXECUTING A CONTAINER-MANAGED APPLICATION ON A PROCESSING DEVICE |
US20060259980A1 (en) * | 2005-05-16 | 2006-11-16 | Microsoft Corporation | Method and system for limiting rights of services |
US7716734B2 (en) | 2005-05-19 | 2010-05-11 | Microsoft Corporation | Systems and methods for pattern matching on principal names to control access to computing resources |
US7580933B2 (en) * | 2005-07-28 | 2009-08-25 | Microsoft Corporation | Resource handling for taking permissions |
US8073442B2 (en) | 2005-10-05 | 2011-12-06 | Microsoft Corporation | Binding a device to a provider |
US20070083620A1 (en) | 2005-10-07 | 2007-04-12 | Pedersen Bradley J | Methods for selecting between a predetermined number of execution methods for an application program |
CN1959631B (zh) | 2005-11-04 | 2016-09-21 | 上海启明软件股份有限公司 | 一种基于itron的应用软件自主装配系统及方法 |
US20100153671A1 (en) | 2005-12-01 | 2010-06-17 | Drive Sentry Inc. | System and method to secure a computer system by selective control of write access to a data storage medium |
US7664924B2 (en) | 2005-12-01 | 2010-02-16 | Drive Sentry, Inc. | System and method to secure a computer system by selective control of write access to a data storage medium |
US7779265B2 (en) | 2005-12-13 | 2010-08-17 | Microsoft Corporation | Access control list inheritance thru object(s) |
US8621549B2 (en) * | 2005-12-29 | 2013-12-31 | Nextlabs, Inc. | Enforcing control policies in an information management system |
US8150816B2 (en) * | 2005-12-29 | 2012-04-03 | Nextlabs, Inc. | Techniques of optimizing policies in an information management system |
US8209747B2 (en) * | 2006-01-03 | 2012-06-26 | Cisco Technology, Inc. | Methods and systems for correlating rules with corresponding event log entries |
US20070192500A1 (en) | 2006-02-16 | 2007-08-16 | Infoexpress, Inc. | Network access control including dynamic policy enforcement point |
US20070208857A1 (en) | 2006-02-21 | 2007-09-06 | Netiq Corporation | System, method, and computer-readable medium for granting time-based permissions |
EP1833222A1 (en) | 2006-03-10 | 2007-09-12 | Abb Research Ltd. | Access control protocol for embedded devices |
US20070240194A1 (en) * | 2006-03-28 | 2007-10-11 | Hargrave Bentley J | Scoped permissions for software application deployment |
US20070234412A1 (en) | 2006-03-29 | 2007-10-04 | Smith Ned M | Using a proxy for endpoint access control |
US9489109B2 (en) | 2006-03-30 | 2016-11-08 | Sony Ericsson Mobile Communication Ab | Data communication in an electronic device |
US8001528B2 (en) | 2006-03-30 | 2011-08-16 | Microsoft Corporation | Organization of application state and configuration settings |
US8166472B2 (en) | 2006-10-12 | 2012-04-24 | Apple Inc. | Installation utility system and method |
US20080120707A1 (en) | 2006-11-22 | 2008-05-22 | Alexander Ramia | Systems and methods for authenticating a device by a centralized data server |
US7934087B2 (en) | 2006-11-29 | 2011-04-26 | Novell, Inc. | Techniques for secure event recording and processing |
US7925875B2 (en) | 2006-12-31 | 2011-04-12 | Sandisk Corporation | Systems and methods for identifying and booting a computer architecture |
CN100483352C (zh) | 2007-02-13 | 2009-04-29 | 华为技术有限公司 | Idl调用装置及调用方法 |
US20080201705A1 (en) | 2007-02-15 | 2008-08-21 | Sun Microsystems, Inc. | Apparatus and method for generating a software dependency map |
CN101616719A (zh) | 2007-02-23 | 2009-12-30 | 高通股份有限公司 | 用以基于接近度创建或加入游戏会话的方法和设备 |
US7797743B2 (en) | 2007-02-26 | 2010-09-14 | Microsoft Corporation | File conversion in restricted process |
US20080244723A1 (en) | 2007-03-27 | 2008-10-02 | Microsoft Corporation | Firewall Restriction Using Manifest |
US8239954B2 (en) | 2007-05-07 | 2012-08-07 | Microsoft Corporation | Access control based on program properties |
CN102006334B (zh) | 2007-06-11 | 2013-01-02 | 华为技术有限公司 | 安装软件组件的方法、系统及装置 |
US8185889B2 (en) | 2007-06-19 | 2012-05-22 | Red Hat, Inc. | Methods and systems for porting software packages from one format to another |
GB2455059A (en) | 2007-10-09 | 2009-06-03 | Symbian Software Ltd | Transmitting device pairing information over multiple available out of band channels/interfaces |
US8978028B2 (en) | 2007-10-10 | 2015-03-10 | Microsoft Technology Licensing, Llc | Transactional multi-package installation |
US8356335B2 (en) * | 2007-10-30 | 2013-01-15 | Apple Inc. | Techniques for authentication via network connections |
KR101474561B1 (ko) | 2007-11-27 | 2014-12-19 | 삼성전자주식회사 | 이동통신 단말기에서의 어플리케이션 실행방법 및 장치 |
US8107879B2 (en) | 2007-12-31 | 2012-01-31 | Intel Corporation | Device, system, and method of establishing multiple wireless connections |
US20090193507A1 (en) | 2008-01-28 | 2009-07-30 | Wael Ibrahim | Authentication messaging service |
EP2086206A1 (en) | 2008-01-31 | 2009-08-05 | Alcatel Lucent | System for operating a peer-to-peer network taking into account access network subscriber information |
JP4613969B2 (ja) | 2008-03-03 | 2011-01-19 | ソニー株式会社 | 通信装置、及び通信方法 |
EP2107458A1 (en) | 2008-03-31 | 2009-10-07 | Jatho Investments | Modelling software appliance |
US7930760B2 (en) | 2008-04-01 | 2011-04-19 | Microsoft Corporation | Centralized enforcement of name-based computer system security rules |
US8090852B2 (en) * | 2008-06-04 | 2012-01-03 | Sophos Plc | Managing use of proxies to access restricted network locations |
US8407693B2 (en) | 2008-06-09 | 2013-03-26 | International Business Machines Corporation | Managing package dependencies |
US20090327900A1 (en) | 2008-06-26 | 2009-12-31 | Microsoft Corporation | Indicating resources to which there are access rights |
US8204969B2 (en) | 2008-08-05 | 2012-06-19 | Canon Kabushiki Kaisha | Method for retrieving updates via the internet |
US20100058320A1 (en) | 2008-09-04 | 2010-03-04 | Microsoft Corporation | Managing Distributed System Software On A Gaming System |
US9043919B2 (en) | 2008-10-21 | 2015-05-26 | Lookout, Inc. | Crawling multiple markets and correlating |
US8146134B2 (en) * | 2008-10-28 | 2012-03-27 | Yahoo! Inc. | Scalable firewall policy management platform |
US20100174599A1 (en) | 2009-01-05 | 2010-07-08 | Apple Inc. | System and method for providing content associated with a product or service |
US9288210B2 (en) * | 2009-01-26 | 2016-03-15 | Microsoft Technology Licensing, Llc | Revocable object access |
US8131214B2 (en) | 2009-03-02 | 2012-03-06 | Motorola Mobility, Inc. | Method for selecting content for transfer or synchronization between devices |
US8375377B2 (en) | 2009-03-06 | 2013-02-12 | International Business Machines Corporation | Controlling java virtual machine component behavior on a per-classloader basis |
US8468608B1 (en) | 2009-03-30 | 2013-06-18 | Symantec Corporation | Enforcing digital rights management in a heterogeneous environment |
US20100287513A1 (en) | 2009-05-05 | 2010-11-11 | Microsoft Corporation | Multi-device gesture interactivity |
KR101590188B1 (ko) | 2009-05-08 | 2016-01-29 | 삼성전자주식회사 | 휴대단말기에서 소프트웨어 패키지의 무결성을 검증하는 방법 |
US9270683B2 (en) | 2009-05-15 | 2016-02-23 | Amazon Technologies, Inc. | Storage device authentication |
US8826269B2 (en) | 2009-06-15 | 2014-09-02 | Microsoft Corporation | Annotating virtual application processes |
US20110066851A1 (en) * | 2009-09-14 | 2011-03-17 | International Business Machines Corporation | Secure Route Discovery Node and Policing Mechanism |
US20110070827A1 (en) | 2009-09-24 | 2011-03-24 | Research In Motion Limited | Communications device and method for initiating communications at a communications device |
US20110098030A1 (en) | 2009-10-27 | 2011-04-28 | Nokia Corporation | Method and apparatus for activating services |
US8838644B2 (en) | 2009-11-25 | 2014-09-16 | International Business Machines Corporation | Extensible access control list framework |
CN102129364B (zh) | 2010-01-14 | 2013-09-25 | 中国电信股份有限公司 | 应用程序中嵌入微件工具栏的方法和快速访问微件的方法 |
US8745239B2 (en) | 2010-04-07 | 2014-06-03 | Limelight Networks, Inc. | Edge-based resource spin-up for cloud computing |
US9218359B2 (en) | 2010-07-02 | 2015-12-22 | Code Systems Corporation | Method and system for profiling virtual application resource utilization patterns by executing virtualized application |
US20120194534A1 (en) | 2011-02-02 | 2012-08-02 | Alcatel-Lucent Usa Inc. | System and Method for Managing Cache Storage in Adaptive Video Streaming System |
US20120297288A1 (en) | 2011-05-16 | 2012-11-22 | Edward Mansouri | Method and System for Enhancing Web Content |
US9319406B2 (en) | 2011-07-12 | 2016-04-19 | Apple Inc. | System and method for linking pre-installed software to a user account on an online store |
JP5701715B2 (ja) * | 2011-08-12 | 2015-04-15 | 株式会社東芝 | エネルギー管理装置、電力管理システムおよびプログラム |
US20130054734A1 (en) | 2011-08-23 | 2013-02-28 | Microsoft Corporation | Migration of cloud applications between a local computing device and cloud |
WO2013036223A1 (en) | 2011-09-07 | 2013-03-14 | Intel Corporation | Verifying firmware integrity of a device |
US20130067459A1 (en) | 2011-09-09 | 2013-03-14 | Microsoft Corporation | Order-Independent Deployment Collections with Dependency Package Identifiers |
US8990561B2 (en) | 2011-09-09 | 2015-03-24 | Microsoft Technology Licensing, Llc | Pervasive package identifiers |
US9800688B2 (en) | 2011-09-12 | 2017-10-24 | Microsoft Technology Licensing, Llc | Platform-enabled proximity service |
CN103188797A (zh) | 2011-12-28 | 2013-07-03 | 北京三星通信技术研究有限公司 | 一种改变tdd上下行配置的方法 |
US9152784B2 (en) | 2012-04-18 | 2015-10-06 | Mcafee, Inc. | Detection and prevention of installation of malicious mobile applications |
US10356204B2 (en) | 2012-12-13 | 2019-07-16 | Microsoft Technology Licensing, Llc | Application based hardware identifiers |
US9858247B2 (en) | 2013-05-20 | 2018-01-02 | Microsoft Technology Licensing, Llc | Runtime resolution of content references |
-
2011
- 2011-09-06 US US13/226,223 patent/US9118686B2/en active Active
- 2011-10-09 KR KR1020147006056A patent/KR101839647B1/ko active IP Right Grant
- 2011-10-09 JP JP2014529674A patent/JP6038924B2/ja active Active
- 2011-10-09 EP EP11872101.8A patent/EP2754084B1/en active Active
- 2011-10-09 WO PCT/US2011/055538 patent/WO2013036253A1/en active Application Filing
-
2012
- 2012-09-06 CN CN201210326881.7A patent/CN102882855B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1617101A (zh) * | 2003-10-24 | 2005-05-18 | 微软公司 | 操作系统资源保护 |
CN1633084A (zh) * | 2004-12-28 | 2005-06-29 | 北京邮电大学 | 用于应用服务器的基于令牌的细粒度访问控制系统及方法 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111813854A (zh) * | 2013-05-29 | 2020-10-23 | 微软技术许可有限责任公司 | 计量网络的同步 |
Also Published As
Publication number | Publication date |
---|---|
US20130061309A1 (en) | 2013-03-07 |
KR101839647B1 (ko) | 2018-03-16 |
EP2754084A4 (en) | 2015-05-06 |
EP2754084B1 (en) | 2016-11-30 |
WO2013036253A1 (en) | 2013-03-14 |
EP2754084A1 (en) | 2014-07-16 |
JP6038924B2 (ja) | 2016-12-07 |
CN102882855B (zh) | 2016-06-29 |
JP2014526728A (ja) | 2014-10-06 |
US9118686B2 (en) | 2015-08-25 |
KR20140068935A (ko) | 2014-06-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102882855B (zh) | 按过程的连网能力的管理方法及设备 | |
Babun et al. | A survey on IoT platforms: Communication, security, and privacy perspectives | |
US10686758B2 (en) | Elastic outbound gateway | |
US10374869B2 (en) | Containerized architecture to manage internet-connected devices | |
US9230085B1 (en) | Network based temporary trust extension to a remote or mobile device enabled via specialized cloud services | |
US10708067B2 (en) | Platform attestation and registration for servers | |
US10728269B2 (en) | Method for conditionally hooking endpoint processes with a security agent | |
EP2936368B1 (en) | Hardware management interface | |
EP3007408B1 (en) | Service method for managing transactions using application properties and system therefor | |
EP4191453A1 (en) | Platform security | |
US10419900B2 (en) | Method and apparatus for managing application terminal remotely in wireless communication system | |
CN106605397A (zh) | 安全编排框架 | |
EP2887607A1 (en) | Migration of assets of a trusted execution environment | |
Subhashini et al. | The role of Internet of Things (IoT) in smart city framework | |
WO2012175786A1 (en) | Methods, apparatuses and computer program products for provisioning applications to in vehicle infotainment systems with secured access | |
CN110147675A (zh) | 一种智能终端的安全检测方法及设备 | |
JP2016537894A (ja) | 局所/ホームネットワークのためのセキュリティゲートウェイ | |
WO2013055421A1 (en) | System and method for managing access for trusted and untrusted applications | |
US10951642B2 (en) | Context-dependent timeout for remote security services | |
JP2015534669A (ja) | クラウドプラットフォームを実施するためのネットワークシステム | |
KR20190069574A (ko) | 무선 네트워크 유형 검출 방법과 장치, 및 전자 디바이스 | |
WO2019211592A1 (en) | Locally securing endpoints in an enterprise network using remote network resources | |
JP5602124B2 (ja) | スマートフォンを利用したネットワークシステム | |
US20220300244A1 (en) | Systems and methods for orchestrated audio session management for modern workspaces | |
Subhashini et al. | 3 The Role of Internet |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
ASS | Succession or assignment of patent right |
Owner name: MICROSOFT TECHNOLOGY LICENSING LLC Free format text: FORMER OWNER: MICROSOFT CORP. Effective date: 20150706 |
|
C41 | Transfer of patent application or patent right or utility model | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20150706 Address after: Washington State Applicant after: Micro soft technique license Co., Ltd Address before: Washington State Applicant before: Microsoft Corp. |
|
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |