技術(shù)領(lǐng)域

本發(fā)明總體上涉及改善web運(yùn)行時(shí)刻（webruntime）系統(tǒng)的安全性。更具體地說(shuō)，本發(fā)明涉及使用沙盤(pán)技術(shù)來(lái)改善web運(yùn)行時(shí)刻系統(tǒng)的安全性。

背景技術(shù)

小組件（widget）（通常也稱(chēng)為web小組件）是用于顯示和/或更新本地?cái)?shù)據(jù)或Web上的數(shù)據(jù)的交互式單目標(biāo)應(yīng)用，其以允許在用戶(hù)的機(jī)器或移動(dòng)設(shè)備上進(jìn)行單個(gè)下載和安裝的方式被打包。小組件是可以使用web標(biāo)準(zhǔn)來(lái)制作（authored）并且被打包用于分發(fā)的客戶(hù)端側(cè)應(yīng)用。可以將它們下載并且安裝在客戶(hù)端機(jī)器上。小組件可以作為單機(jī)應(yīng)用（stand-alone?application）來(lái)運(yùn)行（意指它能夠在Web瀏覽器外運(yùn)行）。小組件是通常使用HTML、JavaScript和CSS編寫(xiě)的可下載應(yīng)用，并且利用web技術(shù)和標(biāo)準(zhǔn)。

小組件運(yùn)行所處的運(yùn)行時(shí)刻環(huán)境被稱(chēng)為小組件用戶(hù)代理或Web運(yùn)行時(shí)刻系統(tǒng)（Web?Runtime?System，WRT）。WRT負(fù)責(zé)進(jìn)行小組件的安裝／解除安裝，并且提供用于小組件的調(diào)用和配置的功能。WRT也負(fù)責(zé)小組件的運(yùn)行（execution）。例如，典型地以作為獨(dú)立語(yǔ)言的JavaScript來(lái)編寫(xiě)web小組件。WRT包含被稱(chēng)為JavaScript引擎的軟件模塊，以解釋小組件的JavaScript代碼并且執(zhí)行該運(yùn)行。

圖1圖示出基于Limo^TM平臺(tái)（即基于Linux^TM的移動(dòng)式電話(huà)平臺(tái)）的WRT的簡(jiǎn)化高層（high?level）體系結(jié)構(gòu)圖解。在該示例中，在用戶(hù)界面（UI）層，小組件可以執(zhí)行諸如提供天氣信息、時(shí)鐘或圖片查看器之類(lèi)的功能。存在Web運(yùn)行時(shí)刻UI。在引擎層，存在小組件引擎和小組件管理器。在核心層，存在Web套件（Webkit）。Web套件是在Web引擎中使用的庫(kù)。WRT是除核心層的Web引擎之外的組件的集合，需要其來(lái)支持所安裝的小組件。

小組件程式包是符合特定標(biāo)準(zhǔn)（例如參見(jiàn)由W3C、萬(wàn)維網(wǎng)聯(lián)盟2011年8月11日出版的W3C建議的推薦“Widgets:Packaging?and?Configuration?specification”）、包含構(gòu)成小組件的實(shí)施的各種文件（包括配置文檔、圖標(biāo)、數(shù)字簽名等等）的程式包。小組件程式包包含元數(shù)據(jù)，該元數(shù)據(jù)在本專(zhuān)利申請(qǐng)中將被稱(chēng)為用于相關(guān)聯(lián)的小組件的清單文件（manifest?file）。清單文件描述大量的事情，包括對(duì)于小組件的訪問(wèn)限制。由WRT使用訪問(wèn)限制來(lái)控制小組件對(duì)設(shè)備能力、網(wǎng)絡(luò)資源、文件系統(tǒng)等等的訪問(wèn)。

存在若干不同的標(biāo)準(zhǔn)團(tuán)體，其稍有不同地設(shè)置用于小組件的規(guī)范和標(biāo)準(zhǔn)化以及用于小組件的JavaScript?API。設(shè)置用于小組件的規(guī)范的這些團(tuán)體包括：W3C、WAC、JIL、BONDI和Opera等等。結(jié)果是，存在不同類(lèi)型的小組件和小組件運(yùn)行時(shí)刻系統(tǒng)。盡管規(guī)范的細(xì)節(jié)（例如，如何描述訪問(wèn)權(quán)限和許可的粒度）不同，但這些小組件系統(tǒng)的通用安全性模型和訪問(wèn)控制強(qiáng)制執(zhí)行（enforcement）原理非常地類(lèi)似。

在運(yùn)行小組件本身的相同進(jìn)程中由WRT的用戶(hù)空間（user-space）代碼處理在當(dāng)前的WRT實(shí)施中的訪問(wèn)控制強(qiáng)制執(zhí)行。例如，如圖2中所示的，在Web引擎代碼中處理這些控制和強(qiáng)制執(zhí)行，圖2示出在Web引擎層具有訪問(wèn)控制特征的BONDI小組件實(shí)施的總體高層體系結(jié)構(gòu)。

參考圖3，本專(zhuān)利申請(qǐng)的發(fā)明人已經(jīng)認(rèn)識(shí)到，因?yàn)橛蒞RT的用戶(hù)空間代碼——在運(yùn)行小組件本身的相同進(jìn)程中——來(lái)處理在當(dāng)前的WRT實(shí)施中的訪問(wèn)控制強(qiáng)制執(zhí)行，所以出現(xiàn)常規(guī)WRT中的安全性弱點(diǎn)。例如，在Web引擎（例如Web套件）代碼中處理這些控制和強(qiáng)制執(zhí)行。如圖3所圖示的，具有合法的訪問(wèn)流的良好的進(jìn)程將通過(guò)安全性檢查。然而，受害的進(jìn)程具有可能導(dǎo)致繞過(guò)所提到的安全性檢查的破壞的訪問(wèn)流。

常規(guī)WRT中的安全性控制固有地是易損壞的并且可能經(jīng)由諸如地址空間破壞和代碼注入之類(lèi)的威脅被繞過(guò)。例如，Web引擎可能包含一漏洞（bug），該漏洞允許遠(yuǎn)程攻擊者或惡意的小組件注入并運(yùn)行任意代碼或者改變?cè)揥eb引擎中的合法控制流。因此，攻擊者／小組件可以繞過(guò)安全性檢查并且訪問(wèn)受限資源。