背景技術

用戶可以獲得用于由計算設備來執行的可執行代碼（例如，軟件）的方式在不斷增加。例如，用戶傳統上敢于去“實體”商店來查找（locate）并購買應用，所述應用隨后由用戶來手動安裝。因此，由于商店自身的聲譽以及軟件開發者的聲譽，用戶通常能信任該軟件。

然而，隨著應用賣場（marketplace）的出現，用戶可以從成百甚至上千個不同開發者獲得數以千計的不同類型的應用。因此，用戶可以在計算設備上安裝來自廣泛的源的眾多應用，其中一些源可以甚至導致一個應用危害另一應用。因此，用戶甚至賣場自身難以確定這些應用是否是可信賴的，并且因而應該被允許訪問用戶的計算設備的功能。該困難可能被惡意方進一步加劇，該惡意方可以攻擊應用以訪問應用所支持的功能，例如訪問甚至是用于源自可信賴源的應用的敏感數據。

發明內容

描述了按過程的連網能力技術。在一個或多個實施方式中，基于與在計算設備上執行的過程相關的標記，確定關于是否允許該過程訪問網絡能力。該標記具有一個或多個安全標識符，其引用一個或多個在清單（manifest）中描述的網絡能力。基于該確定來管理對網絡能力的訪問。

在一個或多個實施方式中，網絡被探測以識別代理服務器、子網或遠程可訪問網絡。基于代理服務器或子網的識別以及對與在計算設備上執行的過程相關的標記的審查來管理該過程對網絡的網絡能力的訪問。標記具有一個或多個安全標識符，其引用允許該過程所使用的、在清單中描述的網絡能力。這可以以安全的方式來執行，該安全的方式沒有被配置為受該過程影響。

在一個或多個實施方式中，一個或多個計算機可讀存儲介質包括存儲在其上的指令，響應于在計算設備上的執行，該指令使得計算設備執行操作系統以形成具有一個或多個安全標識符的標記，所述一個或多個安全標識符引用清單中描述的網絡能力，該清單對應于通過由計算設備對執行代碼的執行來形成的過程，所述執行代碼和清單從包（package）被安裝在計算設備上，標記可由操作系統使用來管理過程對網絡能力的訪問。

提供此發明內容來以簡要形式介紹一些概念選集，其將在以下具體實施例中進一步介紹。此發明內容不旨在標識要求保護主題的關鍵特征或必要特征，也不旨在用來幫助確定要求保護主題的范圍。

附圖說明

參考附圖來描述具體實施例。在圖中，附圖標記的最左邊的一個或多個數字標識該附圖標記首次出現在哪個圖中。說明書和附圖中的不同實例中使用的相同附圖標記指示相似或相同的項。

圖1是可用于執行按過程連網能力技術的示例實施方式中的環境的圖示。

圖2是示出按過程連網能力技術的示例實施方式的示例實施方式中的系統的圖示。

圖3是示出按過程連網能力技術的示例實施方式的示例實施方式中的系統的另一圖示。

圖4是描繪具有可執行代碼的包和清單被安裝在計算設備上并用以響應于發起執行代碼的執行來形成標記的示例實施方式中的過程的流程圖。

圖5是描繪計算設備使用在圖4中形成的標記來管理對能力的訪問的示例實施方式中的過程的流程圖。

圖6是描繪探測連同標記被一起使用來管理對網絡能力的按過程訪問的示例實施方式中的過程的流程圖。

圖7圖示了包括如參考圖1所述的計算設備的示例系統。

圖8圖示了示例設備的各種組件，該示例設備可以實現為如參考圖1-3和7所述的任意類型的計算設備以實現本文中描述的技術的實施例。

具體實施例

概覽

傳統上，執行在計算設備上的應用被允許訪問計算設備的大多數（如果不是全部的話）功能，甚至不管是否期望該訪問。這可以包括對網絡的不受約束的訪問。然而，在一些實例中，這些同樣的應用可能被惡意方所利用。這些惡意方因而可以使用不受約束的訪問來訪問互聯網上的資源、接收未經同意的連接、訪問聯網功能等等。因此，給予這些應用的寬泛的訪問現在可能給用戶的計算設備以及計算設備可訪問的設備呈現顯著的風險。

描述了按過程網絡能力技術。在一個或多個實施方式中，使用能力模型來確保應用能夠訪問開發者限定的網絡資源，而不能訪問開發者沒有限定的其他網絡資源。因而，該能力模型可以防止被利用的應用利用通常不被該應用所使用的網絡資源。通過此方式，模型可以用來確保被盜用（compromised）的應用被限制于訪問限定的網絡能力并且限制利用被開發者限定為應用不可訪問的網絡能力。還設想了各種其他示例，可以參考以下章節找到對于這些示例的進一步討論。