6的組件的描述��,并且為了清楚的目的而不再重復(fù)���。此外,應(yīng)當(dāng)意識(shí)到網(wǎng)絡(luò)服務(wù)器106還可以包括其它組件���、子組件和計(jì)算設(shè)備或服務(wù)器中常見的設(shè)備���,參照計(jì)算設(shè)備102沒有在上文討論這些組件并且為了描述的清楚不討論這些組件���。
[0021]如在下文更加詳細(xì)討論的,系統(tǒng)100允許計(jì)算設(shè)備102更安全地執(zhí)行基于瀏覽器的應(yīng)用程序����,例如HTML 5應(yīng)用程序。例如�����,系統(tǒng)100允許計(jì)算設(shè)備102基于所建立的運(yùn)行時(shí)安全策略而禁用或另外控制某些HTML 5功能�����。此外��,除了在設(shè)計(jì)時(shí)由開發(fā)者所應(yīng)用的以及在應(yīng)用程序啟動(dòng)時(shí)由用戶所應(yīng)用的訪問控制之外����,系統(tǒng)100允許計(jì)算設(shè)備102建立運(yùn)行時(shí)訪問控制��,如在下文更加詳細(xì)討論的���。
[0022]現(xiàn)在參考圖2����,在使用中,計(jì)算設(shè)備102建立環(huán)境200以用于促成客戶級(jí)網(wǎng)絡(luò)應(yīng)用程序運(yùn)行時(shí)控制���。在示例性實(shí)施例中的環(huán)境200包括瀏覽器20網(wǎng)絡(luò)安全模塊210��、一個(gè)或多個(gè)安全應(yīng)用程序218�、以及通信模塊220�����,其中的每一個(gè)可以被實(shí)施為軟件��、固件���、硬件����、或其組合����。此外,瀏覽器202可以包括瀏覽器用戶接口 204和瀏覽器安全接口 206���。
[0023]瀏覽器202可以被實(shí)施為能夠從網(wǎng)絡(luò)服務(wù)器106提取基于瀏覽器的應(yīng)用程序208并且在計(jì)算設(shè)備102上相用戶呈現(xiàn)基于瀏覽器的應(yīng)用程序208的任意類型的網(wǎng)絡(luò)瀏覽器或類似應(yīng)用程序����。在這種情況下,瀏覽器202可以例如利用統(tǒng)一資源標(biāo)識(shí)符(URI)��。在各個(gè)實(shí)施例中����,瀏覽器202可以被實(shí)施為例如Internet Explorer瀏覽器,其可從MicrosoftCorp.0f Redmond, Washington 購得�;Firefox 瀏覽器,其可從 Mozilla Corp.0f MountainView, California 購得�����;Safari 瀏覽器��,其可從 Apple Inc.0f Cupertino, California 購得����;Chrome 瀏覽器����,其可從 Google, Inc.0f Mountain View California 購得���;Opera 瀏覽器,其可從Opera Software ASA of Oslo, Norway購得���;基于Android的瀏覽器����,或其它網(wǎng)絡(luò)瀏覽器等�����。
[0024]瀏覽器用戶接口 204允許計(jì)算設(shè)備102的用戶被動(dòng)地和/或主動(dòng)地與基于瀏覽器的應(yīng)用程序208進(jìn)行交互���。即���,瀏覽器用戶接口 204允許用戶輸入和/或向用戶輸出。例如��,瀏覽器用戶接口 204可以將基于瀏覽器的應(yīng)用程序208顯示在計(jì)算設(shè)備102的外圍設(shè)備116(例如���,顯示器)上���。另外�,瀏覽器用戶接口 204可以接收用戶所輸入的輸入(例如�����,用戶配置)�����。
[0025]瀏覽器安全接口充當(dāng)瀏覽器202與網(wǎng)絡(luò)安全模塊210之間的接口����。當(dāng)啟動(dòng)基于瀏覽器的應(yīng)用程序208時(shí)(即,在啟動(dòng)時(shí))����,瀏覽器安全接口 206攔截針對基于瀏覽器的應(yīng)用程序208的應(yīng)用程序代碼并且捕獲用戶訪問控制配置。此外���,如在下文詳細(xì)討論的��,瀏覽器安全接口 206生成針對與基于瀏覽器的應(yīng)用程序208相關(guān)聯(lián)的應(yīng)用程序代碼的機(jī)器可執(zhí)行代碼和訪問控制圖��。在一些實(shí)施例中����,瀏覽器安全接口 206基于由開發(fā)者和用戶配置所建立的設(shè)計(jì)時(shí)規(guī)則而生成訪問控制圖�����。
[0026]在示例性實(shí)施例中����,網(wǎng)絡(luò)安全模塊210包括運(yùn)行時(shí)安全分析和實(shí)施模塊212、硬件管理模塊214�����、和顯示模塊216�。如下文所討論的,網(wǎng)絡(luò)安全模塊210建立并實(shí)施客戶級(jí)網(wǎng)絡(luò)應(yīng)用程序運(yùn)行時(shí)安全策略并且監(jiān)測由基于瀏覽器的應(yīng)用程序所進(jìn)行的硬件訪問嘗試���。在一些實(shí)施例中��,網(wǎng)絡(luò)安全模塊210可以包括安全網(wǎng)絡(luò)應(yīng)用程序容器�����。即��,網(wǎng)絡(luò)安全模塊210可以被實(shí)施為例如沙箱或應(yīng)用程序控制容器以用于分離正在執(zhí)行的程序���。盡管網(wǎng)絡(luò)安全模塊210在圖2的示例性實(shí)施例中被示為靜態(tài)模塊����,但是在其它實(shí)施例中����,網(wǎng)絡(luò)安全模塊210和/或另一安全網(wǎng)絡(luò)應(yīng)用程序容器可以響應(yīng)于啟動(dòng)基于瀏覽器的應(yīng)用程序208而生成。
[0027]運(yùn)行時(shí)安全分析和實(shí)施模塊212評(píng)估基于瀏覽器的應(yīng)用程序208的安全性并且基于這種評(píng)估而建立運(yùn)行時(shí)安全策略222�����。即�,運(yùn)行時(shí)安全分析和實(shí)施模塊212從其它安全應(yīng)用程序218接收應(yīng)用程序安全信息,執(zhí)行對基于瀏覽器的應(yīng)用程序208的安全性評(píng)估�,并且建立與基于瀏覽器的應(yīng)用程序208相關(guān)聯(lián)的客戶級(jí)網(wǎng)絡(luò)應(yīng)用程序運(yùn)行時(shí)安全策略(“應(yīng)用程序運(yùn)行時(shí)安全策略”或“運(yùn)行時(shí)安全策略” )222。在一些實(shí)施例中�,運(yùn)行時(shí)安全分析和實(shí)施模塊212從諸如惡意軟件檢測、阻止�����、和/或移除應(yīng)用程序(例如�����,可從McAfee,Inc.0fSanta Clara, California購得的那些安全應(yīng)用程序)的其它本地安全應(yīng)用程序接收或采集實(shí)時(shí)安全監(jiān)測數(shù)據(jù)��,因?yàn)樵搶?shí)時(shí)安全監(jiān)測數(shù)據(jù)與要被執(zhí)行的基于瀏覽器的應(yīng)用程序208有關(guān)�����。額外地或替代地�,通信模塊220可以從遠(yuǎn)程計(jì)算設(shè)備接收對基于瀏覽器的應(yīng)用程序208的安全性評(píng)估����。例如,通信模塊220可以將基于瀏覽器的應(yīng)用程序208的應(yīng)用程序代碼或機(jī)器可執(zhí)行代碼傳輸?shù)竭h(yuǎn)程反惡意軟件系統(tǒng)以用于進(jìn)行分析(例如��,在企業(yè)環(huán)境中的基于云的反病毒系統(tǒng)或遠(yuǎn)程反病毒服務(wù))�����。替代地或另外����,通信模塊220可以從另一計(jì)算設(shè)備的網(wǎng)絡(luò)安全模塊或運(yùn)行時(shí)安全分析和實(shí)施模塊(即,從類似于計(jì)算設(shè)備102的另一計(jì)算設(shè)備)接收對基于瀏覽器的應(yīng)用程序208的遠(yuǎn)程安全性評(píng)估���。在這樣的實(shí)施例中����,通信模塊220可以將遠(yuǎn)程安全性評(píng)估提供給運(yùn)行時(shí)安全分析和實(shí)施模塊212以供進(jìn)一步使用。
[0028]如在下文進(jìn)一步詳細(xì)討論的��,在一些實(shí)施例中����,運(yùn)行時(shí)安全分析和實(shí)施模塊212根據(jù)從安全應(yīng)用程序218和/或遠(yuǎn)程設(shè)備接收到的應(yīng)用程序安全信息以及由瀏覽器安全接口 206生成的訪問控制圖而執(zhí)行對基于瀏覽器的應(yīng)用程序208的安全性評(píng)估。另外����,運(yùn)行時(shí)安全分析和實(shí)施模塊212針對基于瀏覽器的應(yīng)用程序208建立運(yùn)行時(shí)安全策略222,該運(yùn)行時(shí)安全策略222可以包括各種硬件訪問規(guī)則和/或調(diào)解安全規(guī)則��。在一些實(shí)施例中�����,運(yùn)行時(shí)安全分析和實(shí)施模塊212監(jiān)測由基于瀏覽器的應(yīng)用程序208進(jìn)行的硬件訪問嘗試并且與硬件管理模塊214接合以限制對計(jì)算設(shè)備102的某些硬件228的訪問�。應(yīng)當(dāng)意識(shí)到,盡管運(yùn)行時(shí)安全分析和實(shí)施模塊212在圖2中被示出為單個(gè)模塊�,但是在其它實(shí)施例中,運(yùn)行時(shí)安全分析和實(shí)施模塊212的功能可以由多個(gè)模塊分擔(dān)�����。例如,在一個(gè)實(shí)施例中�����,網(wǎng)絡(luò)安全模塊210可以包括用于執(zhí)行運(yùn)行時(shí)安全分析和實(shí)施模塊212的安全分析功能的安全分析模塊�����,以及用于執(zhí)行實(shí)施功能的分離的實(shí)施模塊���。
[0029]硬件管理模塊214包括輸入/輸出存儲(chǔ)器管理單元(1MMU) 224和工作負(fù)荷調(diào)度器226。硬件管理模塊214與運(yùn)行時(shí)安全分析和實(shí)施模塊212共同工作以實(shí)施在運(yùn)行時(shí)安全策略222中建立的硬件訪問規(guī)則���。例如�����,運(yùn)行時(shí)安全策略222可以要求計(jì)算設(shè)備102的存儲(chǔ)器112的關(guān)鍵部分不可被基于瀏覽器的應(yīng)用程序208訪問�����。在這樣的實(shí)施例中�,運(yùn)行時(shí)安全分析和實(shí)施模塊212監(jiān)測由基于瀏覽器的應(yīng)用程序208進(jìn)行的對存儲(chǔ)器112的該部分的訪問嘗試,并且僅允許安全的訪問嘗試(例如�����,僅允許將安全的應(yīng)用程序代碼發(fā)送到硬件228以供執(zhí)行)�。運(yùn)行時(shí)安全分析和實(shí)施模塊212指示硬件管理模塊214 (例如,經(jīng)由所傳輸?shù)闹噶?使用輸入/輸出存儲(chǔ)器管理單元224來拒絕對硬件228的不安全的和/或未授權(quán)的訪問����。類似地,硬件管理模塊214的工作負(fù)荷調(diào)度器226限制對計(jì)算設(shè)備102的其它硬件組件(例如�����,處理器108等)的訪問��,并且實(shí)施特定工作負(fù)荷在其根據(jù)運(yùn)行時(shí)安全策略222而必須被終止之前可以執(zhí)行的時(shí)間量��。
[0030]顯示模塊216接合在運(yùn)行時(shí)安全分析和實(shí)施模塊212與瀏覽器用戶接口 204之間以為計(jì)算設(shè)備102的用戶提供關(guān)于基于瀏覽器的應(yīng)用程序208的安全性的信息�����。S卩�,顯示模塊將數(shù)據(jù)提供給瀏覽器用戶接口 204以供在計(jì)算設(shè)備102的瀏覽器202上進(jìn)行顯示。在一些實(shí)施例中�����,顯示模塊216允許用戶查看安全性評(píng)估結(jié)果、警告����、通知、推薦����、和/或來自運(yùn)行時(shí)安全分析和實(shí)施模塊212或網(wǎng)絡(luò)安全模塊210的其它信息。另外�����,通信模塊220處理計(jì)算設(shè)備102與遠(yuǎn)程設(shè)備(例如���,網(wǎng)絡(luò)服務(wù)器106)之間的通過網(wǎng)絡(luò)104的通信。
[0031]當(dāng)然���,應(yīng)當(dāng)意識(shí)到瀏覽器202����、瀏覽器用戶接口 204�、瀏覽器安全接口 206���、網(wǎng)絡(luò)安全模塊210