基于信任级别和其他属性对WEB内容进行的差异化的容器化与执行制造技术

系统和方法可供接收web内容并确定与该web内容相关联的信任级别。另外，可以至少部分地基于该信任级别来将该web内容映射到执行环境。在一个示例中，将web内容存储到信任级别专用数据容器中。

【技术实现步骤摘要】
【国外来华专利技术】【专利说明】基于信任级别和其他属性对WEB内容进行的差异化的容器 化与执行
技术介绍
各实施例一般地涉及对基于web的应用的访问控制。更具体地，各实施例涉及基 于信任级别和其他属性的web内容的差异化容器化（differentiated containerization) 和执行。 诸如HTML5 (超文本标记语言5,例如，2012年5月8日的HTML5编辑草案，万维网 联盟 /W3C，www*w3*org)、LLVM(例如，LLVM 3. 1，2012 年 5 月 22 日，llvm. org)以及其他运 行时或即时（JIT)环境语言之类的新兴标记语言可以支持更稳健的多媒体相关的web平台 开发。然而，web应用开发者使用这些语言也可能暴露原本将不可由传统web内容访问的 客户机设备硬件。尽管近来开发的"沙箱"解决方案可以通过在将代码作为web页面的部 分发送时阻止某些功能来提供某种级别的保护，但仍然留有可观的改善空间。例如，常规的 沙箱解决方案可能不能充分区分受信任的web内容源和不受信任的web内容源。结果，客 户机设备可能容易受到恶意软件（恶意的软件）和其他web内容源的攻击。【附图说明】 通过阅读下列的说明书和所附权利要求，并参考下列的附图，本领域中的技术人 员将明显看出本专利技术的诸实施例的各种优点，附图中： 图1是根据实施例的具有多个信任级别专用数据容器的容器化架构的示例的框 图； 图2是根据实施例的使用诸信任级别来区分web内容的方法的示例的流程图； 图3是根据实施例的具有内容卸载模块的容器化结构的示例的框图； 图4是根据实施例使用诸信任级别和卸载容器来区分web内容的方法的示例的流 程图； 图5是根据实施例的处理器的示例的框图；以及 图6是根据实施例的系统的示例的框图。【具体实施方式】 现在转到图1，示出了容器化架构10,其中，基于对应于web内容12的信任级别信 息，将与浏览器14相关联的诸如web应用、web代码、服务、"混聚（mash-up) "等等的web内 容12映射到执行环境。术语"容器化"可以是指将web内容信息（例如，对象）组织成一个 或多个"容器"，该容器被表示为类、数据结构、抽象数据类型（ADT)、二进制文件、其他可执 行代码等等，其实例可以是其他对象的集合。web内容12的容器化可以遵守特定的访问规 贝1J，其中，所阐释的架构10将诸信任级别合并为那些规则的部分。在所阐释的示例中，浏览 器接口 16接收web内容12,且容器指派模块18确定与该web内容12相关联的信任级别。 就这一点而言，web内容12可以合并诸如例如HTML5、LLVM等等的运行时或JIT环境语言， 相比于比传统的web内容，它们允许对本地平台硬件24和/或存储器26的更多访问。相 应地，如将更详细地讨论的那样，使用信任级别来容器化web内容12并将该web内容12映 射到执行环境可以提供显著改善的运行时保护。 容器指派模块18可以访问信任级别数据库20,用来自其他设备22(例如，机器和 /或用户）的数据增殖信任级别数据库20,其中，信任级别数据库20中的信息又可以用来 确定信任级别。例如，信任级别数据库20可以包括关于"白名单"站点、"灰名单"站点、"黑 名单"站点等等的信息以及其他原始数据，诸如例如，提供方信息、应用开发者信息、混聚 (mash-up)原点和/或行为信息等等。容器指派模块18也可以使用实时信任评估26来确 定web内容12的信任级别，其中，可以由容器化架构10(例如，作为安全工具插件的部分） 在内部产生实时信任评估26，或者从另一安全模块28 (例如，第三方安全软件）获取实时信 任评估26。尤其，c。 所阐释的架构10也包用于根据对应于web内容12的一个或多个信任级别来组织 和/或存储web内容12的多个级别专用的数据容器30 (30a_d)。例如，高信任容器30a可 以被用来存储与白名单站点相关联的内容，其中，高（例如，"原生"）信任容器30a中的内容 可以被认为是非常值得信任的，且从执行环境的视角来看，可以类似地将其视为原生代码。 另一方面，中等信任容器30b可以被用来存储与灰名单站点相关联的内容，其中，中等（例 如，"浏览器应用"）信任容器30b中的内容可以被认为是中等值得信任的，且从执行环境的 视角来看，可以类似地将其视为浏览器应用。另外，低信任容器30c可以被用来存储与未知 站点相关联的内容，其中，低（例如，"测试"）信任容器30c中的内容可以被认为是潜在地 不能信任的，且可以类似地将其视为新的web站点。所阐释的架构10也包括垃圾容器30d， 它可以被用来存储与黑名单站点相关联的内容，其中，可以阻止执行该垃圾容器30d中的 内容和/或删除该内容。 环境模块32可以至少部分地基于与web内容12相关联的信任级别，将web内容 12映射到执行环境。因而，环境模块32可以使用工作调度器34来分配平台硬件24中诸如 处理器（例如，中央处理单元/CPU、图形处理单元/GPU)、输入输出（IO)控制器（例如，显 示器、音频、视频、网络）等的资源，用于执行与web内容12相关联的一个或多个工作负荷。 类似地，环境模块32可以使用存储器映射模块36 (例如，输入输出存储器管理单元/I0MMU) 来实施与web内容12相关联的一个或多个存储器事务。特别值得注意的是，工作负荷的调 度、资源的分配和存储器事务的实施都可以是与web内容12相关联的信任级别的函数。 更具体而言，保存基本web内容12的容器30的类型可以确定工作负荷调度器34 如何分配资源并调度工作负荷，以及确定存储器映射模块36如何执行与存储器26有关 的存储器事务。例如，所有平台资源可以对与高信任容器30a中的内容相关联的工作负荷 可用，而平台资源的仅子集可以对与中信任容器30b中的内容相关联的工作负荷可用。另 一方面，与低信任容器30c中的内容相关联的工作负荷可以仅对平台资源具有受限的访问 权，并且可以防止与垃圾容器30d中的内容相关联的工作负荷对无论什么平台硬件进行任 何访问。另外，可以防止由垃圾容器30d、低信任容器30c和/或中度信任容器30b中的web 内容访问存储器26的某些受限区域。如将更详细地讨论的那样，诸如例如与web内容12 相关联的栈区成分（例如，代码逻辑、数据呈现、数据消耗）、一个或多个web事务的等待时 间、内容目的（例如，web站点的类型与所消耗的数据之间的相互关系）、服务/站点类型等 的其他上下文属性也可以被用来容器化web内容12并为web内容12选择执行环境。 现在转到图2,示出了使用诸信任级别来区分web内容的方法40。方法40可以被 实现为一组逻辑指令和/或固件，这些逻辑指令或固件被存储在机器可读介质或计算机可 读介质（诸如，随机存取存储器（RAM)、只读存储器（R0M)、可编程ROM(PROM)、闪存等）中， 被存储在可配置逻辑（诸如例如，可编程逻辑阵列（PLA)、现场可编程门阵列（FPGA)、复杂 可编程逻辑器件（CPLD))中，被存储在使用电路技术（诸如例如，专用集成电路（ASIC)、互 补金属氧化物半导体（CMOS)或晶体管-晶体管逻辑（TTL)技术）的本文档来自技高网...

【技术保护点】
一种区分web内容的方法，包括：接收web内容；确定与所述web内容相关联的信任级别；以及至少部分地基于所述信任级别，将所述web内容映射到执行环境。

【技术特征摘要】
【国外来华专利技术】...

【专利技术属性】
技术研发人员：H·C·李，J·B·文森特，P·德韦恩，
申请(专利权)人：英特尔公司，
类型：发明
国别省市：美国;US