[发明专利]用于web运行时刻系统的沙盘技术

权利要求书

1.一种在具有处理器和存储器的计算机系统中提供小组件的安全性强制执行的方法，包括：

从请求服务的小组件进程提取访问控制信息、生成为该小组件进程定制的访问控制规则，并且向Web运行时刻（WRT）系统的用户代码空间外的计算机系统的可信部分提供访问控制规则；以及

对于任何静态访问控制规则，将小组件进程的安全性检查从WRT系统委托到计算机系统的可信部分。

2.根据权利要求1所述的方法，进一步包括：

对于任何非静态访问控制规则：

从安全服务器请求一次性令牌，其中该一次性令牌在小组件进程消耗所请求的服务之后期满；并且

其中，由小组件进程使用一次性令牌来访问服务。

3.根据权利要求1所述的方法，其中，静态访问控制规则包括以下中的一个：

覆盖式提示；

许可提示；和

拒绝提示。

4.根据权利要求2所述的方法，其中，非静态访问控制规则包括以下中的一个：

会话提示；和

一次使用提示。

5.根据权利要求2所述的方法，其中，对于作为会话提示的任何非静态访问控制规则，该方法进一步包括：

在启动小组件进程之前，从用户请求许可；

丢弃WRT的特权；以及

在小组件进程的下一次启动时，重置小组件进程的动态访问控制配置并且请求安全服务器撤回一次性令牌。

6.根据权利要求2所述的方法，其中，对于作为一次性提示的任何非静态访问控制规则，该方法进一步包括：

当小组件进程请求服务时，从用户请求许可；

请求安全服务器仅仅单次兑现一次性令牌。

7.根据权利要求1所述的方法，其中，可信部分是操作系统内核。

8.根据权利要求7所述的方法，其中，访问控制规则被实施为由内核强制执行的强制访问控制规则。

9.根据权利要求7所述的方法，其中，由WRT管理进程来执行提取、生成和提供。

10.根据权利要求1所述的方法，其中，安全服务器是服务位置协议（SLP）访问控制的一部分。

11.一种在具有处理器和存储器的计算机系统中提供小组件的安全性强制执行的方法：包括：

从请求服务的小组件进程提取访问控制信息、生成为该小组件进程定制的访问控制规则，并且向Web运行时刻（WRT）系统的用户代码空间外的计算机系统的可信部分提供访问控制规则；以及

对于任何静态访问控制规则，将小组件进程的一些但非所有安全性检查从WRT系统委托到计算机系统的可信部分，使得执行两个级别的安全性检查，一个由WRT系统执行，并且一个由计算机系统的可信部分执行。

12.根据权利要求11所述的方法，其中，可信部分是操作系统内核。

13.根据权利要求12所述的方法，其中，访问控制规则被实施为由内核强制执行的强制访问控制规则。

14.一种具有改善的小组件安全性的计算机系统，包括：

处理器；

存储器；

操作系统；以及

Web运行时刻（WRT）系统，支持小组件的安装和调用，WRT系统被配置为从每个被安装的小组件接收小组件清单并且确定可从WRT委托到与操作系统相关联的计算机系统的更安全的部分的访问控制规则，WRT系统进一步被配置为将可委托的静态访问控制规则的集合传递到更安全的部分以执行安全性检查。

15.根据权利要求14所述的计算机系统，其中，WRT系统包括WRT管理进程，其被配置为与安全服务器通信以对于任何非静态访问控制规则获取一次性令牌。

16.根据权利要求14所述的计算机系统，其中，WRT系统被配置为当小组件被调用时传递可委托的静态访问控制规则的集合。

17.根据权利要求15所述的计算机系统，其中，WRT管理进程进一步被配置为当为了作为会话提示的任何非静态访问控制规则调用小组件时与安全服务器通信。