[发明专利]插件的沙盒执行

说明书

背景

软件供应商在寻找使用现有数量的当前发布的应用程序为用户提供价值的方法，而不是通过新产品的购买。这可以通过提供允许用户代码作为正常应用程序操作的一部分来运行的特征来达到。以被配置为在应用程序操作中的具体点处运行的“插件”或辅助应用程序的形式添加用户代码。在在线环境中，由于代码运行在主服务器上使这变得具有挑战性，因此编码时的错误或恶意代码可以导致对公司计算机系统或公司网络的破坏。

概述

以下提出简单的概述以便提供对此处描述的一些新颖实施例的基本理解。本概述不是大量的概述，并且不旨在确定关键/决定性的元素或描绘其范围。其唯一目的是以简化形式呈现某些概念作为之后呈现的更详细描述的序言。

所公开的体系结构是隔离软件插件代码的特征的唯一组合，以便于代码在公司主环境中被安全地运行，并且还为该环境执行有用的功能。所述体系结构包括被设计为标识和防止有意或无意的恶意插件、从错误中恢复、以及通过罚分系统自动地禁用和阻止恶意插件的注册的沙盒系统。所述沙盒系统还提供与在同一被隔离系统上运行的其它插件的隔离，以及限制对诸如机器名、IP地址、文件系统等的敏感信息和资源的访问。

可以以多级别提供隔离，例如机器隔离、进程隔离、具有受限访问权限的安全账户、以及使用本地安全机制的进程中的应用程序域隔离。所述多级别隔离的组合实现了高级别的安全性。

此外，所述体系结构是用于插件执行的高度可伸缩、无状态、以及低管理的体系结构，该体系结构可以在没有预先配置的情况下通过即时(on-the-fly)添加(或删除)额外的沙盒服务器而被简单地缩放。

为了实现前述和相关目的，此处结合以下描述和附图描述了某些说明性的方面。这些方面仅指示可实现此处公开的原理的各种方式，且所有方面及其等价物均旨在包括在所要求保护的主题的范围内。当结合附图考虑以下详细描述时，其它优点和新颖的特征将是显而易见的。

附图简述

图1示出依照所公开的体系结构的程序管理系统。

图2示出包含有用于惩罚恶意辅助代码的惩罚组件的更详细的程序管理系统。

图3示出示例性的程序管理体系结构。

图4示出用于使用沙盒服务器的程序管理的更一般的系统。

图5示出管理程序的方法。

图6示出基于罚分管理辅助代码的方法。

图7示出基于罚分管理注册的方法。

图8示出管理恶意辅助代码的发布者的方法。

图9示出基于恶意辅助代码管理机构的方法。

图10示出基于负载平衡选择沙盒服务器的方法。

图11示出依照所公开的体系结构，可执行隔离的插件执行的计算系统的框图。

图12示出用于插件隔离的程序管理的计算环境的示意框图。

具体实施方式

沙盒体系结构隔离和标识恶意插件(有意的或无意的)以防止系统中断和故障。如果插件引入错误，所述体系结构通过罚分系统自动地禁用和阻止恶意插件的注册。可以以多级别提供隔离，例如机器隔离、进程隔离、具有受限访问权限的安全账户、以及使用本地安全机制(例如.Net代码访问安全)的进程中的应用程序域(例如AppDomain)隔离。多级别隔离的组合实现了高级别的安全性。

此外，所述体系结构是用于插件执行的高度可伸缩、无状态、以及低管理的体系结构，该体系结构可以在没有预先配置的情况下通过即时添加(或删除)额外的沙盒服务器而被简单地缩放。

现在将参考附图，其中使用相同的标号来在全文中指示相同的元素。在以下描述中，出于解释的目的，阐明了众多具体细节以便提供对其彻底的理解。但是显然，所述新颖的实施例能够在没有这些具体细节的情况下实现。在其它情况中，用框图形式示出了熟知的结构和设备以便于帮助对其的描述。目的旨在涵盖落在所要求保护的主题的精神和范围之内的所有修改、等价物、以及替代物。

图1示出依照所公开的体系结构的程序管理系统100。系统100包括用于接收与应用程序106(例如服务器)一起执行的辅助代码104的接口组件102。例如，接口组件102可以是应用程序106的一部分，或者是单独一段代码。或者例如，接口组件102可以是隔离组件108的一部分。

系统100还包括用于接收辅助代码104并且使用一个或更多级别的隔离将辅助代码104安全地隔离在隔离环境110中的隔离组件108，以及用于部分地基于异常执行行为来监控和管理隔离环境110中辅助代码104的执行的管理组件112。