專利名稱：：交互式媒體環(huán)境中的應用程序安全性的制作方法交互式媒體環(huán)境中的應用程序安全性相關(guān)申請的聲明本申請要求于2005年7月1日提交的美國臨時專利申請第60/695,944號的優(yōu)先權(quán)，該申請通過引用包含在此。扭旦冃眾某些多媒體回放系統(tǒng)在音頻/視頻回放期間提供有限的交互式圖形。交互式回放系統(tǒng)呈現(xiàn)的能力越強，不法行為機會越大。關(guān)鍵的是針對病毒、間諜軟件和其它惡意軟件來維護回放系統(tǒng)的安全。惡意軟件可使交互式回放系統(tǒng)發(fā)生故障或收集并發(fā)送用戶私人信息。此外，交互式回放系統(tǒng)可連接至網(wǎng)絡(luò)。軟件或用戶信息可從該回放系統(tǒng)傳播到附連于該網(wǎng)絡(luò)的其它計算系統(tǒng)。因此，關(guān)鍵的是交互式回放系統(tǒng)包括足夠的安全防備。概述提供了交互式多媒體領(lǐng)域中控制未經(jīng)簽署的應用程序的特權(quán)的安全系統(tǒng)。交互式多媒體是其中應用程序一般在同步實時、準確到幀的基礎(chǔ)上，響應于用戶輸入事件來管理包括圖形、音頻和視頻的多媒體對象的環(huán)境。應用程序此處被稱為"iHD"應用程序，因為它們涉及高清晰度DVD(數(shù)字多功能盤)介質(zhì)。然而，所公開的安全系統(tǒng)可適用于其它更一般的交互式多媒體環(huán)境。該系統(tǒng)尤其適用于應用程序安全性而非內(nèi)容安全性，并建立用于應用程序安全性的架構(gòu)，包括簽名系統(tǒng)，并且還提供支持安全性的文件格式。交互式多媒體應用程序運行在經(jīng)簽署或未經(jīng)簽署的交互式回放系統(tǒng)(它被實現(xiàn)為單機硬件設(shè)備，或者被實現(xiàn)為例如運行在個人計算機上的軟件應用程序)上。允許經(jīng)簽署的應用程序?qū)嶋H上無限的應用。未經(jīng)簽署的應用程序就可訪問的內(nèi)容受到極大的限制。而且，如果經(jīng)簽署和未經(jīng)簽署的應用程序均正在運行，則均僅被給予未經(jīng)簽署的應用程序的安全級別和訪問特權(quán)。規(guī)定未經(jīng)簽署的應用程序允許用豐富的交互式特征來定制家庭自制的盤片，但限制將對例如因特網(wǎng)等網(wǎng)絡(luò)以及5存儲在回放系統(tǒng)內(nèi)的敏感信息的訪問限于授權(quán)方。可用特殊文件格式來提供經(jīng)簽署的應用程序，從而允許無需解析整個文件就可判斷簽名狀態(tài)。附圖簡述圖1是示出在從磁盤中檢測應用程序的簽名狀態(tài)時向應用程序分配特權(quán)的方法的流程圖。圖2是示出在將應用程序加載到回放系統(tǒng)之后檢測其簽名狀態(tài)時向應用程序分配特權(quán)的方法的流程圖。圖3是示出創(chuàng)建以作者標識符為關(guān)鍵字(authoridentifier-keyed)的目錄的流程圖。圖4是應用程序文件的示意性描述。詳細描述交互式多媒體應用程序是其中應用程序?qū)τ脩羰录鞒鲰憫膽贸绦?。一個示例為在應用程序內(nèi)實現(xiàn)的由用戶訪問的菜單，其中用戶提交使應用程序改變狀態(tài)的輸入。在這樣的情況中，交互活動是用菜單圖形，當視頻在實時、幀同步的基礎(chǔ)上在菜單圖形下，例如在2=0層上播放時，呈現(xiàn)該菜單圖形。交互活動可導致例如如何顯示視頻流的改變。例如，底層視頻可以是高清晰度電影。圖形覆蓋物可以是電影導演評論的一部分，它示出例如，覆蓋在屏幕本身上的各個照相機位置的示意圖。用戶可采用遙控器來切換到由那些照相機位置中任一個預想的視圖。如上所述，交互式回放系統(tǒng)呈現(xiàn)的能力越強，不法行為的機會越大。惡意軟件可使回放系統(tǒng)發(fā)生故障或收集并發(fā)送用戶私人信息。在當前系統(tǒng)中，用于交互式系統(tǒng)的交互式應用程序或為經(jīng)簽署的，或為未經(jīng)簽署的。經(jīng)簽署的應用程序是從可信根授權(quán)機構(gòu)(例如，電影工作室)繼承根證書的應用程序，并被認為是安全的。經(jīng)簽署的應用程序給給予高級別訪問特權(quán)。這種幾乎無限制的特權(quán)允許訪問例如聯(lián)網(wǎng)、文件1/0、安全和診斷API，且可訪問持久存儲以存儲和檢索跨應用程序的調(diào)用持久的數(shù)據(jù)。另一方面，未經(jīng)簽署的應用程序被給予低級別訪問特權(quán)。拒絕它們訪問高級別訪問所提供的那種類型的功能。它們可被限于利用標記語言，以及例如來自以下ECMAScript中的示例性API的某些對象XML(不帶有I/0功能)；全局化；與圖形元素相關(guān)聯(lián)的繪制功能；以及用戶輸入操作。這種級別的功能禁止訪問任何聯(lián)網(wǎng)、安全或文件I/0。調(diào)用以上名字空間外的功能或加載來自持久本地存儲的資源的任何嘗試可導致將終止應用程序的異常。在一個實施例中，例如HD-DVD等介質(zhì)盤上存在一組應用程序，采用這些應用程序來運行交互式圖形和視頻應用程序。參考圖1，由回放系統(tǒng)接收介質(zhì)盤(步驟12)?；胤畔到y(tǒng)可以是通用計算機系統(tǒng)或更專用的媒體中心系統(tǒng)，它確定該介質(zhì)上應用程序的簽名狀態(tài)(步驟14)。如果確定所有應用程序的簽名狀態(tài)均為經(jīng)簽署的(步驟16)，則向所有應用程序給予高訪問特權(quán)(步驟18)。如果任何一個應用程序的簽名狀態(tài)被確定為未經(jīng)簽署的，則所有應用程序被給予低訪問特權(quán)(步驟22)。即，如果有未經(jīng)簽署的應用程序正在運行，則所有并發(fā)的應用程序，無論是經(jīng)簽署的還是未經(jīng)簽署的，均被限于未經(jīng)簽署的應用程序許可級別。這防止未經(jīng)簽署的應用程序利用并發(fā)的經(jīng)簽署的應用程序的特權(quán)。在另一實施例中，類似方法可直接用于加載到回放系統(tǒng)中的應用程序。參考圖2，應用程序可被加載到回放系統(tǒng)中(步驟24)。然后檢測該應用程序的簽名狀態(tài)(步驟26)。如果確定簽名狀態(tài)為經(jīng)簽署的(步驟28)，則應用程序可在高特權(quán)訪問級別上運行(步驟32)。然而，如果簽名狀態(tài)被確定為未經(jīng)簽署的(步驟28)，則該應用程序在低特權(quán)訪問級別上運行(步驟34)。在此情況中，從例如盤片等介質(zhì)上直接運行應用程序(步驟36)。這提供了增強的安全性，因為防止所有未經(jīng)簽署的應用程序運行或加載來自回放系統(tǒng)的本地持久存儲的資源。如果加載了附加的應用程序(步驟38)，則因其簽名狀態(tài)可對其測試或不測試一般，將向其提供低訪問級別(步驟34)。如果應用程序是經(jīng)簽署的且因此被給予高訪問特權(quán)，然后一稍后的應用程序被加載并且是未經(jīng)簽署的，則高訪問特權(quán)應用程序被降低至低訪問級別。參考圖3，對經(jīng)簽署的應用程序，回放系統(tǒng)可包括采用在介質(zhì)被導入回放系統(tǒng)(步驟42)之后檢測到的一組作者標識符(步驟44)。g卩，每一介質(zhì)或應用程序可與一作者標識符相關(guān)聯(lián)，該標識符唯一標識了內(nèi)容作者，這對持久存儲中的應用程序，即可訪問持久存儲以存儲和檢索期望跨調(diào)用持久的數(shù)據(jù)的應用程序的安全性尤其重要。作者標識符然后同與該作者標識符相關(guān)聯(lián)的目錄的創(chuàng)建相關(guān)聯(lián)(步驟46)。來自該介質(zhì)的應用程序僅可訪問持久存儲中對應于其作者標識符的目錄。文件系統(tǒng)如應用程序所視地根植于該目錄。盡管應用程序可管理子目錄，但它不能越過其根目錄看到其它作者的數(shù)據(jù)。作者標識符可與盤片(包括該盤片上的所有應用程序)或單個應用程序(位于該盤片上、在若干盤片上分散、或以其它方式，例如經(jīng)由因特網(wǎng)下載而被加載到回放系統(tǒng))相關(guān)聯(lián)。而且，給定的介質(zhì)可與單個作者標識符相關(guān)聯(lián)，但給定的作者標識符可在多個介質(zhì)上找到。另一實施例可以是使用由簽署該應用程序的密鑰所參考的標識符。假定在單個介質(zhì)上，可由不同的個人簽署不同的應用程序，該實施例將導致更厲害的存儲隔離。使用證書鏈而非最后一個簽名將加劇這種情況。應用程序結(jié)構(gòu)現(xiàn)在描述經(jīng)簽署的應用程序的結(jié)構(gòu)。參考圖4，經(jīng)簽署的應用程序50可包括清單文件52和至少一個源文件54。使用作者的簽名和證書來簽署清單文件52，并認證其所引用的所有資源。應用程序可使其自己的清單文件52和所有的資源文件54-58被打包成未經(jīng)壓縮的存檔48。存檔48的文件格式甚至不需要支持加密。存檔文件48實質(zhì)上是容器，且一般不需被獨立簽署。清單文件52可引用交互式應用程序的資源文件54-58中的每一個?？芍付ù鏅n48的體系結(jié)構(gòu)，使得存檔48可被高效地流傳送，例如經(jīng)簽署的清單文件52可以是存檔48內(nèi)的第一文件，從而允許無需讀取整個存檔而驗證簽名。存檔格式的后續(xù)版本可與先前的版本向后兼容?？赏ㄟ^使用例如由RFC3275定義的XML簽名來提供存檔48中數(shù)據(jù)的認證。清單文件格式在一個示例中，經(jīng)簽署的清單文件52的格式可使用由RFC3275定義的XML簽名句法和處理的W3C建議(W3CRecommendation)的子集。以此方式，可包括和支持以下元素子集ds:Signature(簽名)ds:SignatureValue(簽名值)ds:SignatureType(簽名類型)ds:Reference(弓|用)ds:Reference/ds:DigestValue(摘要值)其它元素可由系統(tǒng)確定。包括在清單中的每一資源項的摘要值可被列為ds:Reference(弓l用)元素。證書和簽名作為示例，所需證書類型可以是例如X.509。如由ds:SignatureMethod定義的簽名方法可以是RSA-SHA1。標準化方法可被指定為獨家XML標準化1.0(ExclusiveXMLCanonicalization1.0)。摘要方法可以與簽名方法相同，即RSA-SHA1。密鑰信息可由系統(tǒng)從介質(zhì)的身份或應用程序正從其運行的本地存儲區(qū)中推斷。證書撤銷列表為了提供用于撤銷和替換受損的應用程序的機制，每一交互式視頻和圖形應用程序作者可包括內(nèi)容撤銷列表("CRL"),它列出了被撤銷的應用程序的一捆文件摘要值。該CRL可被包括在單獨的文件中。該文件包括已經(jīng)被撤銷的一捆簽名摘要的列表，以及創(chuàng)作該盤片的內(nèi)容創(chuàng)建者的簽名。假定原始作者對每一撤銷的應用程序的簽名匹配CRL文件中的簽名，則所列出的應用程序摘要可被存儲在本地存儲上內(nèi)容提供者的受限區(qū)域中，且不再被允許運行。如果CRL被包括在應用程序中，則可對其給予可識別名稱，諸如Revocation.xml。應用程序作者可能希望用新版本來替換被撤銷的應用程序。這可按照若干不同方式來實現(xiàn)?？墒惯\行在連接因特網(wǎng)的播放器上的標題在其主服務(wù)器中檢查更新的播放列表或指定新下載的應用程序的一捆交互式視頻和圖形?；蛘?，撤銷應用程序的介質(zhì)本身也可提供替換。下表描述了存檔文件的一種可能的格式，以及描述各域的注釋。應注意到，可使用眾多其它格式。在此表中，使用縮寫來表示各種類型Ui"表示w位無符號整數(shù)。例如，Ui8是8位的無符號整數(shù)，而Ui32是32位無符號整數(shù)。使用方括號指示類型的數(shù)組，該數(shù)組的長度由這些括號之間的數(shù)字指示。如果長度取決于之前的域，則該域的名字、或該域中所指示的較短的名字可用于指示該域的值。使用Oxdd記法來指示十六進制值。所有長度可變串，以及資源名可使用采用Pascal串記法(8位長度后跟各字節(jié))的UTF-8來編碼。<table>tableseeoriginaldocumentpage10</column></row><table>某些規(guī)則可應用于上述應用程序資源。例如，資源名必須為文件系統(tǒng)名或邏輯URI?？蓮闹刑崛〈鏅n文件的目錄在提取期間可被認為是文件系統(tǒng)的根。以此方式，可使所有名字與該目錄相關(guān)，使得絕對路徑可與相對路徑同樣表現(xiàn)。如果名字導致位于目錄外的位置，則該名字和條目可被認為是無效的。下節(jié)給出了關(guān)于以上示例性存檔文件的各個域和部分的更詳細信息。存檔頭幻域這是用于唯一標識存檔的"幻數(shù)(magicnumber)"。它由被編碼為UTF-8、ASCII等的一系列5字符值(即0x69、0x48、0x44、0x61、0x72)的串"iHDar"，即iHD存檔組成。版本域版本域允許存檔讀取器讀取該存檔格式的不同版本。通過査看版本域，可了解在文件的不同部分中可期待什么，因此讀取在文件格式的某些版本中不存在的信息。該域的值可以是例如0x01。將來的版本的值可以為0x02到0xff。資源分類和資源條目資源分類包括多個資源條目。每一條目允許同一格式。資源條目長度這是資源條目本身以字節(jié)為單位的長度。該值由正讀取其版本不為它們所理解的格式的讀取器使用。假定由為版本1定制的讀取器看到了使用格式的版本2編寫的存檔，則該讀取器可讀取它所了解的域并跳至下一資源條目，因為它知道當前條目的長度。資源偏移量這指示該資源在資源數(shù)據(jù)塊中的字節(jié)偏移量。第一資源的偏移量為0x0000。資源長度這是資源的以字節(jié)為單位的長度。如果資源A和B在存檔文件中毗鄰，則B的資源偏移量等于A的資源偏移量與資源長度的和。資源校驗和這表示如由ISO3309定義的、資源的CRC-32校驗和。注意，該校驗和僅應被用于通過不可靠介質(zhì)傳輸?shù)馁Y源的完整性的簡單驗證。因為CRC-32校驗和既沒加密也不是抗沖突的，因此它不應用于認證的目的。如果需要認證資源，則可采用上述簽名機制。資源類型這是資源的MIME類型。資源名長度這是資源名以字節(jié)為單位的長度。資源名緊接在該域之后。資源名這是資源名本身。資源數(shù)據(jù)塊資源數(shù)據(jù)塊按照資源的所有字節(jié)在資源編目中出現(xiàn)的順序包含該資源的所有字節(jié)。在兩個資源之間一般沒有明確的分離，因為它們的偏移量和長度是公知的數(shù)本系統(tǒng)可在諸如程序模塊等由計算機執(zhí)行的計算機可執(zhí)行指令的通用上下文中描述。一般而言，程序模塊包括例程、程序、對象、組件、數(shù)據(jù)結(jié)構(gòu)等，它們執(zhí)行特定任務(wù)或?qū)崿F(xiàn)特定抽象數(shù)據(jù)類型。該系統(tǒng)和方法也可以在分布式計算環(huán)境中實現(xiàn)，其中任務(wù)由通過通信網(wǎng)絡(luò)連接的遠程處理設(shè)備來執(zhí)行。在分布式計算環(huán)境中，程序模塊可以位于包括存儲器存儲設(shè)備的本地和遠程計算機存儲介質(zhì)中。執(zhí)行該方法和系統(tǒng)的指令可被存儲在各種計算機可讀介質(zhì)上。計算機可讀介質(zhì)可以是可由計算機訪問的任何可用介質(zhì)，且包括易失性和非易失性介質(zhì)、可移動和不可移動介質(zhì)。作為示例，而非限制，計算機可讀介質(zhì)可以包括計算機存儲介質(zhì)和通信介質(zhì)。計算機存儲介質(zhì)包括以任何方法或技術(shù)實現(xiàn)的用于存儲諸如計算機可讀指令、數(shù)據(jù)結(jié)構(gòu)、程序模塊或其它數(shù)據(jù)等信息的易失性和非易失性、可移動和不可移動介質(zhì)。計算機存儲介質(zhì)包括，但不限于，RAM、ROM、EEPROM、閃存或其它存儲器技術(shù)、CD-ROM、數(shù)字多功能盤(DVD)或其它光盤存儲、磁帶盒、磁帶、磁盤存儲或其它磁性存儲設(shè)備、或能用于存儲所需信息且可以由計算機訪問的任何其它介質(zhì)。通信介質(zhì)通常具體化為諸如載波或其它傳輸機制等已調(diào)制數(shù)據(jù)信號中的計算機可讀指令、數(shù)據(jù)結(jié)構(gòu)、程序模塊或其它數(shù)據(jù)，且包含任何信息傳遞介質(zhì)。術(shù)語"己調(diào)制數(shù)據(jù)信號"指的是這樣一種信號，其一個或多個特征以在信號中編碼信息的方式被設(shè)定或更改。作為示例，而非限制，通信介質(zhì)包括諸如有線網(wǎng)絡(luò)或直接線連接的有線介質(zhì)，以及諸如聲學、RF、紅外線和其它無線介質(zhì)的無線介質(zhì)。上述中任一個的組合也應包括在計算機可讀介質(zhì)的范圍之內(nèi)。盡管結(jié)合包括計算機的示例性計算系統(tǒng)環(huán)境來描述，但本系統(tǒng)可用于眾多其它通用或?qū)Ｓ糜嬎阆到y(tǒng)環(huán)境或配置。該計算系統(tǒng)環(huán)境不旨在對使用范圍或功能提出任何限制。而且，計算系統(tǒng)環(huán)境不應被解釋為對示例性操作環(huán)境中示出的任一組件或其組合有任何依賴性或要求。可適于使用的公知計算系統(tǒng)、環(huán)境和/或配置的示例包括但不限于，個人計算機、服務(wù)器計算機、手持或膝上型設(shè)備、多處理器系統(tǒng)、基于微處理器的系統(tǒng)、機頂盒、可編程消費者電子產(chǎn)品、移動電話、網(wǎng)絡(luò)PC、小型機、大型機、包括任何以上系統(tǒng)或設(shè)備的分布式計算環(huán)境等。此處所述的系統(tǒng)和方法可使用軟件或硬件或使用本領(lǐng)域公知的技術(shù)來實現(xiàn)。除非另有指定，否則此處所示和所述的方法的執(zhí)行或進行的順序不是必需的。即，除非另有指明，否則方法的各元素可按照任何順序執(zhí)行，且該方法可包括比此處所公開的多或少的元素。當介紹本發(fā)明或其實施例的各元素時，冠詞"一"、"一個"、"該"和"所述"指的是存在該元素的一個或多個。術(shù)語"包括"、"包含"和"含有"旨在為包含性的，并指除所列元素外還可能存在其它元素、因為可對以上構(gòu)造、產(chǎn)品和方法作出各種改變而不背離本發(fā)明的范圍，以上描述中所包含的所有方式都旨在被解釋為說明性而非限定性的。盡管此處使用了結(jié)構(gòu)特征和/或方法動作專用的語言描述了本主題，但可以理解，所附權(quán)利要求書中定義的本主題不必限于上述的特定特征或動作。相反，上述的特定特征和動作被公開為實現(xiàn)權(quán)利要求的示例形式。1權(quán)利要求1.一種用于確保交互式多媒體環(huán)境中的應用程序的安全性的方法，包括a.接收實現(xiàn)交互式視頻和幀同步圖形的應用程序；b.檢測所述應用程序的簽名狀態(tài)；c.如果所述簽名狀態(tài)為經(jīng)簽署的，則給予對本地存儲源和網(wǎng)絡(luò)資源的許可訪問；d.如果所述簽名狀態(tài)為未經(jīng)簽署的，則拒絕對所述本地存儲源和網(wǎng)絡(luò)資源的許可訪問。2.如權(quán)利要求l所述的方法，其特征在于，還包括如果所述簽名狀態(tài)為經(jīng)簽署的，則給予對文件I/0以及安全和診斷API的許可訪問。3.如權(quán)利要求l所述的方法，其特征在于，所述檢測包括讀取與所述應用程序相關(guān)聯(lián)的清單文件，并確定所述清單是否用作者的簽名和證書來簽署。4.如權(quán)利要求3所述的方法，其特征在于，所述應用程序包含容納所述清單文件和至少一個資源文件的存檔，且所述清單文件是所述存檔文件中的第一個文件。5.如權(quán)利要求4所述的方法，其特征在于，所述存檔具有使得所述存檔可被高效流傳送的格式。6.如權(quán)利要求1所述的方法，其特征在于，還包括如果所述簽名狀態(tài)為經(jīng)簽署的，則所述應用程序包括經(jīng)簽署的根證書、內(nèi)容撤銷列表或作者標識符。7.如權(quán)利要求1所述的方法，其特征在于，所述本地存儲源是以所述作者標識符為關(guān)鍵字的目錄。8.如權(quán)利要求l所述的方法，其特征在于，還包括如果所述簽名狀態(tài)為未經(jīng)簽署的，則拒絕對文件I/0以及安全和診斷API的許可訪問。9.如權(quán)利要求1所述的方法，其特征在于，還包括如果所述簽名狀態(tài)為未經(jīng)簽署的，則給予利用標記語言和利用由不帶I/0功能的XML、全局化、繪制功能和用戶輸入操作組成的對象的許可訪問。10.如權(quán)利要求1所述的方法，其特征在于，還包括如果所述簽名狀態(tài)為未經(jīng)簽署的，且所述應用程序是從光盤接收的，則僅從所述光盤運行所述應用程序。11.如權(quán)利要求l所述的方法，其特征在于，還包括a.接收另一應用程序；b.檢測所述另一應用程序的簽名狀態(tài)；C.如果所述應用程序或所述另一應用程序的簽名狀態(tài)為未經(jīng)簽署的，則對這兩個應用程序均拒絕對本地存儲源和網(wǎng)絡(luò)資源兩者的許可訪問；或d.如果所述應用程序和所述另一應用程序的簽名狀態(tài)均為經(jīng)簽署的，則對這兩個應用程序均準許對本地存儲源和網(wǎng)絡(luò)資源兩者的許可訪問。12.—種用于確保媒體盤安全性的方法，包括a.在回放系統(tǒng)中接收媒體盤，所述媒體盤包含一個或多個應用程序，其中所述應用程序?qū)崿F(xiàn)交互式多媒體環(huán)境中的交互式視頻幀同步圖形；b.檢測所述媒體盤上每一應用程序的簽名狀態(tài);C.如果所有所述應用程序的簽名狀態(tài)均為經(jīng)簽署的，則向每一應用程序給予對本地存儲源和網(wǎng)絡(luò)資源的高許可訪問；d.如果所述應用程序中任何一個的簽名狀態(tài)為未經(jīng)簽署的，則向所述應用程序中的任何一個拒絕對本地存儲源和網(wǎng)絡(luò)資源的高許可訪問。13.—種用于應用程序的多媒體回放系統(tǒng)，其中所述應用程序?qū)崿F(xiàn)交互式多媒體環(huán)境中的交互式視頻幀同步圖形，所述系統(tǒng)包括網(wǎng)絡(luò)資源；本地存儲源；接收結(jié)合了交互式圖形和視頻的應用程序的設(shè)備；檢測所述應用程序的簽名狀態(tài)的處理器；其中如果所述應用程序為經(jīng)簽署的，則向所述應用程序給予對所述本地存儲源和所述網(wǎng)絡(luò)資源的許可訪問；以及如果所述應用程序為未經(jīng)簽署的，則向所述應用程序拒絕對所述本地存儲源和所述網(wǎng)絡(luò)資源的許可訪問。14.如權(quán)利要求13所述的系統(tǒng)，其特征在于，所述處理器通過讀取與所述應用程序相關(guān)聯(lián)的清單文件來檢測所述應用程序的簽名狀態(tài)。15.如權(quán)利要求14所述的系統(tǒng)，其特征在于，所述應用程序包含容納所述清單文件和至少一個資源文件的存檔，且所述清單文件為所述存檔中的第一文件。16.如權(quán)利要求13所述的系統(tǒng)，其特征在于，如果所述簽名狀態(tài)為經(jīng)簽署的，則所述應用程序包括經(jīng)簽署的根證書、內(nèi)容撤銷列表、或作者標識符。17.如權(quán)利要求16所述的系統(tǒng)，其特征在于，所述本地存儲源是以所述作者標識符為關(guān)鍵字的目錄。18.如權(quán)利要求13所述的系統(tǒng)，其特征在于，如果所述簽名狀態(tài)為經(jīng)簽署的，則向所述應用程序給予對文件I/O以及安全和診斷API的許可訪問。19.如權(quán)利要求13所述的系統(tǒng)，其特征在于，如果所述簽名狀態(tài)為未經(jīng)簽署的，則對所述應用程序a.向其拒絕對文件1/0以及安全和診斷API的許可訪問；或b.向其給予對利用標記語言和利用由不帶I/0功能的XML、全局化、繪制功能和用戶輸入操作組成的對象的許可訪問。20.如權(quán)利要求13所述的系統(tǒng)，其特征在于，所述處理器被配置成檢測另一應用程序的簽名狀態(tài)，且其中a.如果所述應用程序或所述另一應用程序的簽名狀態(tài)為未經(jīng)簽署的，則對這兩個應用程序均拒絕對本地存儲源和網(wǎng)絡(luò)資源兩者的許可訪問；或b.如果所述應用程序和所述另一應用程序的簽名狀態(tài)均為經(jīng)簽署的，則對這兩個應用程序均準許對本地存儲源和網(wǎng)絡(luò)資源兩者的許可訪問。21.如權(quán)利要求13所述的系統(tǒng)，其特征在于，還包括如果所述應用程序的簽名狀態(tài)為未經(jīng)簽署的，且所述應用程序是從光盤接收的，則僅從所述光盤運行所述應用程序。22.—種創(chuàng)作安全應用程序的方法，包括-開發(fā)實現(xiàn)交互式多媒體環(huán)境中的視頻幀同步圖形的應用程序；將所述應用程序轉(zhuǎn)換成具有清單文件和至少一個資源文件的存檔文件格式；在所述清單文件內(nèi)放置包含簽名的證書；以及將所述清單文件置于所述存檔文件的開始處。23.如權(quán)利要求22所述的方法，其特征在于，還包括將所述應用程序刻錄或保存到盤片上。全文摘要描述了交互式多媒體領(lǐng)域中控制應用程序?qū)ο到y(tǒng)資源的訪問的安全系統(tǒng)。該系統(tǒng)為應用程序安全性建立了一個框架，包括簽名系統(tǒng)，還提供支持安全性的文件格式。向經(jīng)簽署的應用程序提供高訪問特權(quán)，而向未經(jīng)簽署的應用程序提供低訪問特權(quán)。例如盤片上經(jīng)簽署和未經(jīng)簽署的應用程序的組合向所有經(jīng)簽署和未經(jīng)簽署的應用程序提供低訪問特權(quán)。文檔編號G06F15/173GK101657805SQ200680024304公開日2010年2月24日申請日期2006年6月22日優(yōu)先權(quán)日2005年7月1日發(fā)明者R·K·小休格斯,Y·艾瑞耶申請人:微軟公司