[发明专利]计算资源的安全执行

说明书

技术领域

本描述涉及计算资源的安全执行。

背景技术

诸如计算机软件的计算资源的供应商在提供这些资源给第三方时有风险。供应商可能希望限制对计算资源的特定元件的访问。在一些情况下，一些团体应当被批准访问特定元件，而其它的被拒绝访问。在其它情况下，资源的某些方面应当对所有团体屏蔽。恶意行为者可能试图规避对资源施加的限制。

发明内容

在一个方面，通常，一种控制对计算特征的访问的方法包括：准备用于由执行系统执行的计算资源，该执行系统已经提供包含识别值的主要描述符并且已经将特征指示符与该主要描述符关联；访问包含该识别值并且加密地分配给该计算资源的次要描述符；以及基于该特征指示符批准对该执行系统的计算特征的计算资源访问。

各方面可以包括以下特征的一个或多个。

该计算资源被加密。

加密地分配次要描述符给计算资源包括：组合该资源和该次要描述符，并且加密地标记该组合。

加密地标记该组合包括：使用分配给该主要描述符的私有加密密钥加密从该组合得出的值。

该方法还包括在计算资源的执行期间验证加密地分配给该计算资源的次要描述符。

验证次要描述符包括：使用分配给该主要描述符的公共加密密钥解密从该计算资源和该次要描述符的组合得出的值。

该方法还包括：在执行该计算资源之前生成次要描述符的第一实例；在执行该计算资源之前生成次要描述符的第二实例；以及比较描述符的两个实例以确定该计算资源是否被授权执行。

该方法还包括加密该次要描述符的第一实例。

该方法还包括加密该次要描述符的第二实例。

该次要描述符的第一实例具有与该次要描述符的第二实例相同的第一数据值、以及与该次要描述符的第二实例不同的第二数据值。

该方法还包括：将具有用于执行该计算资源的指令的内部容器（container）分配给该计算资源和该次要描述符的第一实例；以及将具有用于执行该计算资源的指令的、表示为数据的外部容器分配给该内部容器和该次要描述符的第二实例。

该方法还包括加密地标记该外部容器。

该方法还包括：接受来自该计算资源的指令以访问第二计算资源；在系统上执行该第二计算资源；将该次要描述符加密地分配给该第二计算资源；以及基于该特征指示符对执行的第二计算资源提供对计算特征的访问。

在第一计算资源已经完成执行后，该第二计算资源继续执行。

该计算资源在第一系统上执行，并且该第二计算资源在第二系统上执行。

将该次要描述符加密地分配给该第二计算资源包括：访问包含该次要描述符的实例的存储位置。

该方法还包括：访问加密地分配给包含第二识别值的第二次要描述符的第二计算资源；执行该第二计算资源；访问加密地分配给包含第二识别值的第二主要描述符的第二特征指示符；以及基于该第二特征指示符，对执行的第二计算资源提供对计算特征的访问。

在另一方面，通常一种用于控制对计算特征的访问的系统包括：开发计算机系统，配置为准备用于执行的计算资源，包括提供包含识别值的主要描述符；以及执行计算机系统，配置为执行该计算资源。执行该计算资源包括：将特征指示符与该主要描述符关联；访问包含该识别值并且加密地分配给该计算资源的次要描述符；以及基于该特征指示符批准对该执行系统的计算特征的计算资源访问。

在另一方面，通常一种用于控制对计算特征的访问的系统包括：用于准备用于执行的计算资源的部件，包括提供包含识别值的主要描述符；以及用于执行该计算资源的部件。执行该计算资源包括：将特征指示符与该主要描述符关联；访问包含该识别值并且加密地分配给该计算资源的次要描述符；以及基于该特征指示符批准对该执行系统的计算特征的计算资源访问。

在另一方面，通常一种计算机可读介质存储用于控制对计算特征的访问的计算机程序。该计算机程序包括用于使得计算机执行以下的指令：准备用于由执行系统执行的计算资源，该执行系统已经提供包含识别值的主要描述符并且已经将特征指示符与该主要描述符关联；访问包含该识别值并且加密地分配给该计算资源的次要描述符；以及基于该特征指示符批准对该执行系统的计算特征的计算资源访问。

各方面可以包括以下优点的一个或多个。

通过加密地分配描述符给计算资源，该分配在没有授权的情况下不能改变。通过基于分配给描述符的特征指示符提供访问给计算特征，计算特征在没有授权的情况下不能访问。

从下面的描述以及权利要求中，本发明的其它特征和优点将变得明显。