、運行時安全分析和實施模塊212���、硬件管理模塊214���、顯示模塊216、安全應(yīng)用程序218���、通信模塊220�、輸入/輸出存儲器管理單元(1MMU) 224��、和工作負荷調(diào)度器226中的每一個可以被實施為硬件���、軟件����、固件或其組合。
[0032]現(xiàn)在參考圖3�����,在使用中���,計算設(shè)備102可以執(zhí)行用于建立客戶級網(wǎng)絡(luò)應(yīng)用程序運行時控制的方法300��。方法300開始于框302���,其中計算設(shè)備102確定計算設(shè)備102是否已從網(wǎng)絡(luò)服務(wù)器106請求基于瀏覽器的應(yīng)用程序208。當然����,這樣的請求可以發(fā)生在例如當計算設(shè)備102的用戶在瀏覽互聯(lián)網(wǎng)或其它網(wǎng)絡(luò)時導(dǎo)航至網(wǎng)頁時。如果計算設(shè)備102已請求了基于瀏覽器的應(yīng)用程序208�,則在框304,計算設(shè)備102從網(wǎng)絡(luò)服務(wù)器接收(例如�����,通過下載)與基于瀏覽器的應(yīng)用程序208相關(guān)聯(lián)的應(yīng)用程序代碼���。應(yīng)當意識到�����,基于瀏覽器的應(yīng)用程序208是同態(tài)的���、串流的(streamed)、或另外隨時間而接收到的����。在這樣的實施例中,可以針對在某時間量內(nèi)傳輸?shù)膽?yīng)用程序代碼的每個塊��、分組��、或部分而執(zhí)行方法300�。例如,在涉及串流的應(yīng)用程序代碼的實施例中�,瀏覽器安全接口 206可以充當緩沖器,并且在任意給定的時間點上將機器可執(zhí)行應(yīng)用程序代碼的當前緩沖的分段提供給網(wǎng)絡(luò)安全模塊以進行分析�����。
[0033]在框306���,計算設(shè)備102將用戶應(yīng)用程序啟動時訪問控制配置提供給網(wǎng)絡(luò)安全模塊210(例如����,經(jīng)由瀏覽器安全接口 206)。如上文討論的���,在一些實施例中��,用戶可以通過建立用戶應(yīng)用程序啟動時訪問控制配置而允許或禁止使用瀏覽器202來執(zhí)行某些應(yīng)用程序代碼�。在這種情況下����,用戶可以針對一個或多個基于瀏覽器的應(yīng)用程序208而建立靜態(tài)安全設(shè)置(例如,經(jīng)由瀏覽器安全設(shè)置)�。替代地或額外地,響應(yīng)于啟動基于瀏覽器的應(yīng)用程序208����,用戶可以建立用戶應(yīng)用程序啟動時訪問控制配置。由此����,在框308,計算設(shè)備102可以接收關(guān)于該訪問控制配置的用戶輸入�����。此外,計算設(shè)備102可以從計算設(shè)備102的數(shù)據(jù)存儲設(shè)備118或存儲器112���、或者從一個或多個遠程設(shè)備提取任何靜態(tài)啟動時訪問控制配置(例如����,在云環(huán)境中)�。
[0034]在框310�����,計算設(shè)備102生成針對與基于瀏覽器的應(yīng)用程序208相關(guān)聯(lián)的應(yīng)用程序代碼的機器可執(zhí)行代碼和訪問控制圖(例如�����,使用瀏覽器安全接口 206)����。在各個實施例中,所生成的機器可執(zhí)行代碼可以是字節(jié)代碼��、機器代碼����、二進制代碼���、解釋代碼、和/或任何其它合適的代碼����。此外,在其它實施例中�,計算設(shè)備102可以請求遠程設(shè)備生成機器可執(zhí)行代碼。如上文討論的��,可以根據(jù)基于瀏覽器的應(yīng)用程序208的設(shè)計時規(guī)則和用戶配置(即����,啟動時規(guī)則)生成訪問控制圖。例如�����,開發(fā)者可以在設(shè)計時通過指定計算設(shè)備102的哪個硬件228要被評估(例如�,通過寫入到特定端口并從特定端口讀取)而建立訪問控制。另夕卜�����,用戶配置可以禁止基于瀏覽器的應(yīng)用程序208訪問某些硬件(例如��,特定存儲器位置)。由此����,在一些實施例中,在還沒有施加運行時訪問控制的情況下�,訪問控制圖定義或另外標識出基于瀏覽器的應(yīng)用程序208被配置為要訪問計算設(shè)備102的哪個硬件228。
[0035]在框312����,計算設(shè)備102的瀏覽器安全接口 206將所生成的機器可執(zhí)行代碼和訪問控制圖提供給網(wǎng)絡(luò)安全模塊210。在一些實施例中��,網(wǎng)絡(luò)安全模塊210的運行時安全分析和實施模塊212從一個或多個安全應(yīng)用程序218和/或其它遠程設(shè)備采集或接收應(yīng)用程序安全信息���。如上文討論的,應(yīng)用程序安全信息可以是由例如惡意軟件檢測應(yīng)用程序?qū)跒g覽器的應(yīng)用程序208的安全性評估�。此外,在一些實施例中�����,計算設(shè)備102可以將機器可執(zhí)行代碼或應(yīng)用程序代碼傳輸?shù)竭h程設(shè)備以進行安全分析�,如果使用的話。在框314中采集到任何可用的安全信息之后�,方法300前進道框316(見圖4)��。
[0036]在圖4的框316中�,運行時安全分析和實施模塊212執(zhí)行對基于瀏覽器的應(yīng)用程序208的安全性評估�����。即�����,在實施例中��,運行時安全分析和實施模塊212可以分析從安全應(yīng)用程序218和/或其它設(shè)備的網(wǎng)絡(luò)安全模塊接收到的應(yīng)用程序安全信息���,以確定基于瀏覽器的應(yīng)用程序208的風(fēng)險等級(例如��,基于瀏覽器的應(yīng)用程序208是否是安全威脅)�。在其它實施例中�����,安全性評估可以根據(jù)從安全應(yīng)用程序218接收到的應(yīng)用程序安全信息����、訪問控制圖�、設(shè)計時規(guī)則�、以及用戶配置中的一個或多個。例如�����,在實施例中��,安全應(yīng)用程序218可以識別出基于瀏覽器的應(yīng)用程序208包括惡意軟件����,其中其為高安全風(fēng)險。在另一實施例中���,安全應(yīng)用程序218可以不指示關(guān)于基于瀏覽器的應(yīng)用程序208對計算設(shè)備102的安全性的任何特定威脅,但是運行時安全分析和實施模塊212可以識別(例如���,根據(jù)訪問控制圖)出基于瀏覽器的應(yīng)用程序208被配置為常規(guī)地訪問存儲有關(guān)于特定計算設(shè)備102的機密信息(例如����,個人信息或私有密鑰)存儲器112的一部分����。由此���,盡管基于瀏覽器的應(yīng)用程序208是“無惡意軟件”的,但是運行時安全分析和實施模塊212仍可以將應(yīng)用程序標識為安全威脅��。
[0037]在框318中����,運行時安全分析和實施模塊212可以建立應(yīng)用程序運行時安全策略222。在這種情況下�����,在框320中�����,運行時安全分析和實施模塊212可以建立硬件訪問規(guī)則����。在一些實施例中,硬件訪問規(guī)則可以標識計算設(shè)備102的哪個硬件228或硬件228的哪些部分被授權(quán)以供由基于瀏覽器的應(yīng)用程序208訪問����。例如,計算設(shè)備102可以包括專用于特定功能或目的的帶內(nèi)協(xié)處理器(例如,圖形處理��、數(shù)字信號處理���、加密等)���。此外,如上文討論的�����,計算設(shè)備102可以具有存儲器112的安全的部分��,基于瀏覽器的應(yīng)用程序208被限制不能訪問該安全的部分��。在每種情況下����,硬件訪問規(guī)則可以將特定硬件228標識為不可訪問或另外標識為未授權(quán)以供由基于瀏覽器的應(yīng)用程序208使用。
[0038]另外���,在框322中,運行時安全分析和實施模塊212可以建立調(diào)解安全規(guī)則���。即�,在發(fā)生安全問題的情況下,運行時安全策略222可以標識出要由計算設(shè)備102執(zhí)行的運行時過程��。例如�,在一些情況下,反復(fù)重復(fù)的特定功能或計算操作可以引起安全問題(例如���,潛在的拒絕服務(wù)攻擊)由此�,運行時安全策略222可以標識一個過程來進行執(zhí)行以調(diào)解或另外處理這樣的事件或沖突���。在另一示例中��,運行時安全策略222可以建立這樣的過程:相比于由基于瀏覽器的應(yīng)用程序208通過例如過濾掉不安全的應(yīng)用程序代碼而配置或設(shè)想的��,該過程允許對硬件228的減少的或有限的訪問��。
[0039]如上文討論的��,在一些實施例中�����,基于瀏覽器的應(yīng)用程序208可以由計算設(shè)備102從網(wǎng)絡(luò)服務(wù)器106動態(tài)地接收���、在流中接收或另外隨時間接收�。由此�����,在框324中����,計算設(shè)備102確定是否已從網(wǎng)絡(luò)服務(wù)器106接收到新的應(yīng)用程序代碼。如果沒有�,則在框326中,計算設(shè)備102(例如�����,經(jīng)由網(wǎng)絡(luò)安全模塊210)施加運行時安全策略222��。在這種情況下��,在框328���,中�����,計算設(shè)備102可以阻止由基于瀏覽器的應(yīng)用程序208對計算設(shè)備102的硬件228的未授權(quán)的訪問嘗試��。如上文討論的�����,在一些實施例中��,運行時安全分析和實施模塊212和硬件管理模塊214協(xié)同工作以阻止未由在框318中建立的運行時安全策略222所授權(quán)的硬件訪問�����。在框330中��,計算設(shè)備102確定基于瀏覽器的應(yīng)用程序208是否已被終止���。如果沒有,則方法300回到框324���,其中計算設(shè)備102確定是否已從網(wǎng)絡(luò)服務(wù)器106接收到新的應(yīng)用程序代碼��。在框324中���,如果計算設(shè)備102確定已從網(wǎng)絡(luò)服務(wù)器106接收到新的應(yīng)用程序代碼�����,則方法300回到圖3的框306���,其中計算設(shè)備102將用戶應(yīng)用程序啟動時訪問控制配置提供給網(wǎng)絡(luò)安全模塊210。
[0040]現(xiàn)在參考圖5�,在使用中,計算設(shè)備102可以執(zhí)行用于實施應(yīng)用程序運行時安全策略222的方法500��。方法500開始于框502���,其中計算設(shè)備102確定基于瀏覽器的應(yīng)用程序208是否引起了安全問題��。如果沒有�,則在框504中�,計算設(shè)備102允許完全或另外典型執(zhí)行基于瀏覽器的應(yīng)用程序208的應(yīng)用程序代碼。即����,在一些實施例中,在框506中���,在沒有施加運行時訪問控制的情況下��,計算設(shè)備102允許基于瀏覽器的應(yīng)用程序208訪問計算設(shè)備102的硬件228 (例如����,存儲器112)�����,該硬件228是基于瀏覽器的應(yīng)用程序208被配置為要訪問的��。
[0041]回