針對一個(gè)或多個(gè)沙箱化應(yīng)用程序的文件系統(tǒng)訪問的制作方法
【專利摘要】本發(fā)明公開了方法�����、系統(tǒng)和機(jī)器可讀存儲(chǔ)介質(zhì)�����,其中在一個(gè)實(shí)施例中��,使用諸如書簽之類的標(biāo)識符來允許訪問沙箱式環(huán)境中的文件或文件夾�����。通過訪問控制系統(tǒng)來限制一個(gè)或多個(gè)應(yīng)用程序���,該訪問控制系統(tǒng)例如可為操作系統(tǒng)的可信軟件組件��。在一個(gè)實(shí)施例中�,即使在應(yīng)用程序已被終止時(shí)文件被用戶重命名或移動(dòng)�,書簽或其他標(biāo)識符也允許應(yīng)用程序來訪問文件。在一個(gè)實(shí)施例中����,資源管理器或其他可信訪問控制系統(tǒng)可與應(yīng)用程序進(jìn)行交互以允許書簽在環(huán)境中使用�,在該環(huán)境中沙箱應(yīng)用程序控制對文件的訪問�����,使得每個(gè)應(yīng)用程序必須向沙箱應(yīng)用程序提出請求以獲得對特定文件或文件夾的訪問���。
【專利說明】針對一個(gè)或多個(gè)沙箱化應(yīng)用程序的文件系統(tǒng)訪問
[0001]相關(guān)申請的交叉引用
[0002]本申請要求2012年I月17日提交的美國臨時(shí)申請61/632����,101的權(quán)益��,這一臨時(shí)申請據(jù)此以引用方式并入本文����。本申請與2011年I月14日提交的美國專利申請13/007,472�����,2010年5月28日提交的美國專利申請12/790�,451以及2011年I月14日提交的美國專利申請13/007,480相關(guān)。
【背景技術(shù)】
[0003]有關(guān)基于電子設(shè)備的所有類型的處理器的安全問題���,尤其是有關(guān)計(jì)算設(shè)備的安全問題,已變得非常重要��。諸如病毒���、蠕蟲����、惡意軟件之類的惡意代碼和其他代碼可具有從諸如將消息顯示在屏幕上的相對無害的影響到對設(shè)備進(jìn)行控制����、運(yùn)行不同進(jìn)程、傳輸和或刪除文件等等的影響���。許多這樣的攻擊針對計(jì)算設(shè)備�,諸如工作站��、服務(wù)器��、臺(tái)式計(jì)算機(jī)�����、筆記本電腦和手持式計(jì)算機(jī)以及其他類似的設(shè)備。許多這樣的計(jì)算設(shè)備能夠運(yùn)行用戶可操作的一個(gè)或多個(gè)應(yīng)用程序以執(zhí)行一組所需的功能�����。
[0004]已使用多種方法來試圖減少或消除惡意或缺陷代碼的攻擊和影響����。一般來講,這些方法包括檢測���、預(yù)防和抑制并且可包括嘗試掃描����、識別以及隔離惡意代碼����。此外,已使用一些方法通過限制授予給不可信的應(yīng)用程序的訪問量來限制惡意代碼所能夠執(zhí)行的破壞量�����。然而����,現(xiàn)有的方法缺乏統(tǒng)一的和系統(tǒng)性的途徑��,該途徑提供對受限環(huán)境之外的資源進(jìn)行訪問的一致且持久的方法���,特別是在那些資源的名稱或位置應(yīng)改變的情況下。
【發(fā)明內(nèi)容】
[0005]本發(fā)明的實(shí)施例整體涉及安全計(jì)算領(lǐng)域��,更具體地涉及對程序所使用的資源進(jìn)行限制�。根據(jù)本發(fā)明的一個(gè)方面����,提供標(biāo)識符以允許對沙箱化環(huán)境中的文件或文件夾的訪問,在該沙箱化環(huán)境中一個(gè)或多個(gè)應(yīng)用程序被訪問控制系統(tǒng)沙箱化���。此類訪問控制系統(tǒng)可為可信軟件組件的一部分���,諸如操作系統(tǒng)的可信軟件組件。標(biāo)識符可為書簽或某種其他標(biāo)識符��,并且即使在應(yīng)用程序已被終止時(shí)文件被用戶重命名或移動(dòng)��,標(biāo)識符也可允許應(yīng)用程序訪問文件�。前面提到�����,如果對沙箱化環(huán)境之外的文件或文件夾進(jìn)行移動(dòng)或重命名���,使用該文件或文件夾的應(yīng)用程序?qū)υ撐募蛭募A的重命名或移動(dòng)一無所知并將無法訪問。
[0006]然而���,本發(fā)明的實(shí)施例允許資源管理器或一些其他可信訪問控制系統(tǒng)與應(yīng)用程序(或“app”)進(jìn)行交互并且允許在該環(huán)境中使用書簽�����。在沙箱環(huán)境中����,沙箱應(yīng)用程序通過使得在一個(gè)實(shí)施例中每個(gè)應(yīng)用程序必須對沙箱應(yīng)用程序提出請求以獲得對特定文件或文件夾的訪問的方式來控制對文件的訪問����。具體地,本發(fā)明的實(shí)施例在不存在訪問此類文件或文件夾是用戶的意圖的某種指示的情況下�����,將不允許應(yīng)用程序訪問這一文件或文件夾���,以避免惡意代碼試圖暗中訪問敏感系統(tǒng)資源的情況����。然而,一旦用戶的意圖通過文件的選擇被指定����,在一些實(shí)施例中,該選擇就能夠跨應(yīng)用程序會(huì)話持久存留�����。
[0007]需注意�����,由于
【發(fā)明內(nèi)容】
不包括本發(fā)明的所有方面的窮舉性列表�,因此本發(fā)明并不限于上述
【發(fā)明內(nèi)容】
所公開的實(shí)施例����。本發(fā)明的其他特征通過以下附圖和【具體實(shí)施方式】將變得顯而易見。此外����,預(yù)期本發(fā)明包括能夠從上述各個(gè)方面的所有適當(dāng)?shù)慕M合中實(shí)踐得出的所有系統(tǒng)和方法以及以下【具體實(shí)施方式】中公開的那些�����。
【專利附圖】
【附圖說明】
[0008]在附圖的圖示中通過舉例而非限制的方式例示了本發(fā)明的實(shí)施例�����,其中類似的附圖標(biāo)記指示類似的元件����。
[0009]圖1A示出可包含本文所述的實(shí)施例中的一個(gè)或多個(gè)實(shí)施例的數(shù)據(jù)處理系統(tǒng)的例子;
[0010]圖1B為描述根據(jù)本發(fā)明的一個(gè)實(shí)施例用于操作受限操作環(huán)境中的程序或應(yīng)用程序的系統(tǒng)的框圖�;
[0011]圖2A為指示根據(jù)本發(fā)明的一個(gè)實(shí)施例在一個(gè)實(shí)施例中用于執(zhí)行應(yīng)用程序范圍的書簽以允許對受限操作環(huán)境中文件的持續(xù)訪問的方法的流程圖;
[0012]圖2B為描述根據(jù)本發(fā)明的一個(gè)實(shí)施例���,重新啟動(dòng)的應(yīng)用程序如何能夠通過受限操作環(huán)境中的書簽或其他標(biāo)識符進(jìn)行訪問的流程圖����;
[0013]圖3A為描述根據(jù)本發(fā)明的一個(gè)實(shí)施例創(chuàng)建用于受限操作環(huán)境中的集合范圍的書簽的方法的流程圖���;
[0014]圖3B為描述根據(jù)本發(fā)明的一個(gè)實(shí)施例通過與受限操作環(huán)境中的集合范圍的書簽相關(guān)聯(lián)的項(xiàng)目來允許訪問的方法的流程圖����。
【具體實(shí)施方式】
[0015]在以下的描述和附圖中���,描述了管理針對一個(gè)或多個(gè)沙箱化應(yīng)用程序的文件訪問的各種實(shí)施例���。以下的描述和附圖是對本發(fā)明的例示而不應(yīng)理解為是以方式進(jìn)行限制�����。描述了眾多的具體細(xì)節(jié)以提供對本發(fā)明的各種實(shí)施例的全面理解��。然而���,在某些實(shí)例中,并未描述熟知的或常規(guī)的細(xì)節(jié)以便提供對本發(fā)明的實(shí)施例的簡明論述�。
[0016]在本說明書中對“一個(gè)實(shí)施例”或“實(shí)施例”的引用是指結(jié)合該實(shí)施例而描述的特定特征、結(jié)構(gòu)或特性可以被包括在本發(fā)明的至少一個(gè)實(shí)施例中�����。本說明書中多處出現(xiàn)“在一個(gè)實(shí)施例中”短語���,這并不一定表示它們?nèi)傅氖峭粚?shí)施例。盡管下文利用某些順序操作來描述流程�,但是應(yīng)當(dāng)理解,所描述的某些操作可以不同的順序來執(zhí)行���。此外���,某些操作也可以并行地執(zhí)行而并非按順序執(zhí)行�。
[0017]受限操作環(huán)境為限制程序執(zhí)行惡意代碼的破壞潛力的一種方式���。受限操作環(huán)境可包括這樣的環(huán)境:在該環(huán)境中�����,操作系統(tǒng)將沙箱化機(jī)制強(qiáng)加于在該操作系統(tǒng)上執(zhí)行的應(yīng)用程序上�。這些沙箱機(jī)制可包括對應(yīng)用程序可訪問的存儲(chǔ)器諸如計(jì)算設(shè)備的DRAM或其他主存儲(chǔ)器的限制����,以及對存儲(chǔ)在非易失性存儲(chǔ)設(shè)備諸如硬盤驅(qū)動(dòng)器或諸如固態(tài)盤之類的閃存存儲(chǔ)設(shè)備上的文件的訪問的限制。在共同未決的2011年I月14日提交的美國專利申請13/007���,472����,2010年5月28日提交的美國專利申請12/790�,451和2011年I月14日提交的美國專利申請13/007,480中描述了受限操作環(huán)境的實(shí)例,并且所有這些專利申請據(jù)此以引用方式全文并入本文。
[0018]在沙箱化應(yīng)用程序限制對文件的訪問時(shí)�,其可通過要求經(jīng)由可信設(shè)施的用戶意圖的表示來進(jìn)行,例如用戶通過可信系統(tǒng)資源諸如由操作系統(tǒng)的可信部件提供的打開文件對話框或面板對文件的選擇����。從而,在應(yīng)用程序執(zhí)行時(shí)��,用戶可通過經(jīng)由可信系統(tǒng)資源提供的打開對話框�、保存的對話框、或其他對話框或面板對文件進(jìn)行選擇來提供必要的信任指示���。
[0019]然而��,存在某些實(shí)例���,在這些實(shí)例中應(yīng)用程序?qū)で髮ξ募蛭募A的訪問,但這是在缺少指示文件或文件夾的可信度的用戶交互的情況下進(jìn)行的��。例如����,郵件應(yīng)用程序可能希望訪問下載文件夾以存儲(chǔ)郵件中的下載內(nèi)容���。這可在啟動(dòng)郵件程序時(shí)發(fā)生���,但郵件程序的啟動(dòng)不包括用戶對特定下載文件夾的選擇�。從而��,在這種情況下�,在郵件應(yīng)用程序被重新啟動(dòng)之后,該郵件應(yīng)用程序?qū)ξ募A的訪問將會(huì)被拒絕�。應(yīng)用程序?qū)?huì)在受限環(huán)境中被拒絕訪問的另一個(gè)實(shí)例是如果該應(yīng)用程序使用項(xiàng)目或集合文件,諸如用于“Final Cut Pro”電影編輯軟件應(yīng)用程序的項(xiàng)目文件����。項(xiàng)目或集合文件可被視為目錄,其包含元數(shù)據(jù)和指定各種電影和其他內(nèi)容的路徑名稱�����,該二者共同用于提供展示����。在項(xiàng)目文件的典型使用中,用戶通過使用打開對話框從應(yīng)用程序內(nèi)打開項(xiàng)目文件����。在這種情況下,由于用戶被假定是可信的并且用戶選擇文件的行為指示了該文件的可信度,因此系統(tǒng)無需驗(yàn)證文件的可信度����。然而,應(yīng)用程序?qū)⑿枰蚩赡苄枰L問項(xiàng)目或集合內(nèi)所涉及到的文件����,而且對那些文件的訪問將會(huì)在受限操作環(huán)境中被拒絕,這就需要用戶針對特定文件的可信度的指示����。
[0020]本文所述方法中的任一方法可在多種不同的數(shù)據(jù)處理設(shè)備上實(shí)現(xiàn),包括但不限于通用計(jì)算機(jī)系統(tǒng)���、專用計(jì)算機(jī)系統(tǒng)���、嵌入式計(jì)算機(jī)系統(tǒng)等等。例如�����,可使用本文所述方法中任一方法的數(shù)據(jù)處理系統(tǒng)可包括臺(tái)式計(jì)算機(jī)或膝上型計(jì)算機(jī)�����;諸如平板電腦����、智能手機(jī)或蜂窩電話之類的移動(dòng)設(shè)備;個(gè)人數(shù)字助理(PDA);或某種其他形式的嵌入式電子設(shè)備或消費(fèi)電子設(shè)備�����。圖1A示出可用于本發(fā)明的典型的數(shù)據(jù)處理系統(tǒng)的一個(gè)實(shí)例���。注意���,雖然圖1A示出了諸如計(jì)算機(jī)系統(tǒng)之類的數(shù)據(jù)處理系統(tǒng)的各種組件,但它并不旨在表示使這些組件互連的任何特定構(gòu)造或方式�����,因此這些細(xì)節(jié)與本發(fā)明并無密切關(guān)系����。還應(yīng)理解,比圖1A所示具有更少組件或更多組件的其他類型的數(shù)據(jù)處理系統(tǒng)也可用于本發(fā)明��。圖1A的數(shù)據(jù)處理系統(tǒng)可以為購自 Apple Inc.(Cupertino, California)的 Macintosh 計(jì)算機(jī)��。
[0021]如圖1A所示,數(shù)據(jù)處理系統(tǒng)100包括一條或多條總線125�,該一條或多條總線用來互聯(lián)該系統(tǒng)的各種組件。如本領(lǐng)域中所公知的����,一個(gè)或多個(gè)處理器115耦接至一條或多條總線125。存儲(chǔ)器120可為DRAM或非易失性RAM����,或者可為閃存存儲(chǔ)器或其他類型的存儲(chǔ)器。該存儲(chǔ)器使用本領(lǐng)域所公知的技術(shù)耦接至一條或多條總線125�。數(shù)據(jù)處理系統(tǒng)100還可包括非易失性存儲(chǔ)器122,該非易失性存儲(chǔ)器可為硬盤驅(qū)動(dòng)器或閃存存儲(chǔ)器或磁性光驅(qū)或磁性存儲(chǔ)器或光驅(qū)或其他類型的存儲(chǔ)器系統(tǒng)����,該非易失性存儲(chǔ)器即使在將電力從系統(tǒng)中移除之后也能夠保持?jǐn)?shù)據(jù)。非易失性存儲(chǔ)器122和存儲(chǔ)器120均使用已知的接口和連接技術(shù)耦接至一條或多條總線125���。顯示控制器130耦接至一條或多條總線125以接收將要顯示在顯示設(shè)備132上的顯示數(shù)據(jù)����,該顯示設(shè)備可顯示本文所述的用戶界面特征或?qū)嵤├械娜魏我徽?����。顯示設(shè)備132可包括集成的觸摸式輸入以提供觸摸屏。
[0022]數(shù)據(jù)處理系統(tǒng)100還可包括一個(gè)或多個(gè)輸入/輸出(I/O)控制器140����,該一個(gè)或多個(gè)I/o控制器提供用于一個(gè)或多個(gè)I/O設(shè)備的接口�����,所述一個(gè)或多個(gè)I/O設(shè)備包括諸如一個(gè)或多個(gè)鼠標(biāo)�����、觸摸屏��、觸摸板��、操縱桿和其他輸入設(shè)備(包括本領(lǐng)域所公知的那些)和輸出設(shè)備(如揚(yáng)聲器)����。如本領(lǐng)域中所公知的,輸入/輸出設(shè)備142通過一個(gè)或多個(gè)I/O控制器140進(jìn)行耦接�。盡管圖1A示出非易失性存儲(chǔ)器122和存儲(chǔ)器120直接耦接至一條或多條總線而不是通過網(wǎng)絡(luò)接口,但應(yīng)當(dāng)理解數(shù)據(jù)處理系統(tǒng)可利用諸如網(wǎng)絡(luò)存儲(chǔ)設(shè)備之類的遠(yuǎn)離該系統(tǒng)的非易失性存儲(chǔ)器���,該網(wǎng)絡(luò)存儲(chǔ)設(shè)備通過諸如調(diào)制解調(diào)器���、以太網(wǎng)接口或無線接口(如無線W1-Fi收發(fā)器145�、無線蜂窩電話收發(fā)器或這些收發(fā)器的組合)之類的網(wǎng)絡(luò)接口135耦接至該數(shù)據(jù)處理系統(tǒng)����。
[0023]如本領(lǐng)域中所公知的,一條或多條總線125可包括一個(gè)或多個(gè)橋接器���、控制器或適配器以在各種總線之間進(jìn)行互連�����。在一個(gè)實(shí)施例中�����,I/O控制器140包括用于控制USB外部設(shè)備的USB適配器�����,并且能夠控制以太網(wǎng)端口����、或無線收發(fā)器或多個(gè)無線收發(fā)器的組合����。從本描述中將顯而易見��,本發(fā)明的方面可至少部分地體現(xiàn)在軟件中���。即,可響應(yīng)于數(shù)據(jù)處理系統(tǒng)的處理器執(zhí)行一系列指令��,在該數(shù)據(jù)處理系統(tǒng)中實(shí)施該技術(shù)��,該一系列指令被包含在存儲(chǔ)器中�����,諸如存儲(chǔ)器120�、非易失性存儲(chǔ)器122����、或可共同體現(xiàn)非暫態(tài)機(jī)器可讀存儲(chǔ)介質(zhì)的這些存儲(chǔ)器的組合。在各種實(shí)施例中��,硬連線電路系統(tǒng)可與軟件指令結(jié)合使用來實(shí)現(xiàn)本發(fā)明���。因此���,所述技術(shù)不限于硬件電路系統(tǒng)和軟件的任何特定組合或針對由數(shù)據(jù)處理系統(tǒng)所執(zhí)行的指令的任何特定來源�。
[0024]圖1B示出根據(jù)本發(fā)明實(shí)施例的操作環(huán)境�,該操作環(huán)境可包括如圖1A所示的數(shù)據(jù)處理系統(tǒng)。該操作環(huán)境使用資源管理器或其他可信訪問控制系統(tǒng)161將書簽提供給沙箱化的app或應(yīng)用程序���,以允許應(yīng)用程序即使其已被終止并且重新啟動(dòng)之后也能在受限環(huán)境中訪問��。在一些實(shí)施例中�,資源管理器161可為操作系統(tǒng)內(nèi)的訪問控制系統(tǒng)�����,并且該資源管理器161的可執(zhí)行目標(biāo)代碼可被密碼簽名或者說驗(yàn)證以驗(yàn)證其可信度�����。通過資源管理器161來訪問存儲(chǔ)設(shè)備155��。在一個(gè)實(shí)施例中����,資源管理器通過文件系統(tǒng)訪問存儲(chǔ)設(shè)備155。應(yīng)用程序151通過資源管理器161訪問文件或文件夾諸如文件159或文件夾157,該文件或文件夾繼而通過該文件系統(tǒng)訪問存儲(chǔ)設(shè)備155�����。存儲(chǔ)設(shè)備155可為硬盤驅(qū)動(dòng)器���、或閃存驅(qū)動(dòng)器或本領(lǐng)域中所公知的其他非易失性存儲(chǔ)裝置�。應(yīng)用程序151通過沙箱153被沙箱化����,使得主存儲(chǔ)器中的存儲(chǔ)器的使用可由沙箱應(yīng)用程序進(jìn)行限制,并且應(yīng)用程序151通過經(jīng)由資源管理器161請求訪問僅可獲得對其程序包或容器之外的文件或文件夾的訪問���。資源管理器161可在用戶執(zhí)行應(yīng)用程序并且通過由可信系統(tǒng)軟件組件所提供的打開或保存對話框或面板而請求文件時(shí),允許對該文件的訪問�����。例如�,如果用戶從首選項(xiàng)面板中選擇特定的下載文件夾或一些其他文件夾以用于應(yīng)用程序的某些用途,則應(yīng)用程序可在其當(dāng)前執(zhí)行期間使用所述文件夾�。然而,當(dāng)應(yīng)用程序被終止或者說退出并且重新啟動(dòng)時(shí)��,該應(yīng)用程序在沒有用戶交互的情況下無法再使用或獲得對所述文件夾或文件的訪問。
[0025]圖2A和圖2B中所示的方法提供了如何即使在應(yīng)用程序終止之后也可允許應(yīng)用程序或app對先前可信的文件或文件夾的訪問的方法的例子�����。換句話講�,系統(tǒng)通過安全范圍的書簽或諸如統(tǒng)一資源定位符(URL)之類的其他標(biāo)識符的使用,可提供對先前可信的文件或文件夾的訪問���。圖2A和圖2B中所示的方法涉及應(yīng)用程序使用應(yīng)用程序范圍的書簽來獲得對用戶先前所選擇的文件或文件夾的訪問的情況�����。圖2A中所示的方法可始于操作201����,在該操作中應(yīng)用程序在其執(zhí)行時(shí)接收用戶對文件或文件夾的選擇���。然后�����,在操作203中���,應(yīng)用程序作為響應(yīng)請求資源管理器創(chuàng)建應(yīng)用程序范圍的書簽�����。該請求可通過對諸如資源管理器111之類的可信資源組件的API調(diào)用來執(zhí)行����。該請求可指定文件夾或文件并且還可指定請求應(yīng)用程序�。在操作205中,資源管理器進(jìn)而檢查該應(yīng)用程序是否有權(quán)訪問��;在一個(gè)實(shí)施例中�����,這可通過接收來自應(yīng)用程序的文件描述符來執(zhí)行���,繼而資源管理器比照操作201中由用戶所選擇的請求文件的文件描述符來檢查該文件的描述符�����。如操作205中所確定的,如果應(yīng)用程序有權(quán)訪問����,則資源管理器使用對于應(yīng)用程序而言未知的密鑰和應(yīng)用程序的簽名密鑰或簽名標(biāo)識的組合來創(chuàng)建組合密鑰。在操作209中,資源管理器繼而可確定或接收用于請求文件或文件夾的書簽�,并且組合密鑰可與散列函數(shù)一起使用以創(chuàng)建加密的位置標(biāo)識符,該位置標(biāo)識符為操作209中的書簽的散列值或摘要�。然后,在操作211中�����,資源管理器可將書簽和該書簽的散列值發(fā)送至應(yīng)用程序�,繼而該應(yīng)用程序在操作213中對該書簽和該書簽的散列值進(jìn)行存儲(chǔ)。在一個(gè)實(shí)施例中��,可在應(yīng)用程序的沙箱內(nèi)的應(yīng)用程序包或容器內(nèi)對書簽和該書簽的散列值進(jìn)行編碼�,從而使其在無需獲得資源管理器的允許的情況下能夠訪問數(shù)據(jù)。然后����,在操作215中,可終止應(yīng)用程序或可關(guān)閉系統(tǒng)���。此時(shí)�����,受限操作環(huán)境已創(chuàng)建應(yīng)用程序范圍的書簽以允許應(yīng)用程序在無需另外的用戶交互來指示文件或文件夾的可信度的情況下對先前選擇的文件或文件夾進(jìn)行訪問����。
[0026]圖2B示出應(yīng)用程序范圍的書簽在應(yīng)用程序被重新啟動(dòng)時(shí)的使用,其中該應(yīng)用程序在操作215中的終止之后再次執(zhí)行��。重新啟動(dòng)發(fā)生在操作221中���,然后在操作223中�����,應(yīng)用程序請求對其沙箱之外的文件或文件夾的訪問���。例如,郵件程序可請求將下載存儲(chǔ)在用戶先前選擇的下載文件夾中����。在操作225中,應(yīng)用程序可通過API調(diào)用資源管理器以獲得對文件或文件夾(諸如下載文件夾)的訪問�,并且該應(yīng)用程序提供其在操作213中存儲(chǔ)的書簽和該書簽的散列值。在操作227中��,資源管理器接收來自該應(yīng)用程序的書簽和該書簽的散列值并且使用接收到的書簽上的組合密鑰通過將URL重新編碼為第二帶密鑰的散列值并將重新創(chuàng)建的散列值與從應(yīng)用程序接收到的散列值進(jìn)行比較����,來對該書簽的散列值進(jìn)行密碼驗(yàn)證。在操作229中����,如果比較結(jié)果顯示它們匹配,則資源管理器對該請求進(jìn)行驗(yàn)證并且允許對文件或文件夾的訪問���。如果它們不匹配����,則拒絕訪問���。
[0027]圖3A和3B示出根據(jù)一個(gè)實(shí)施例的方法的例子��,該方法允許對集合或項(xiàng)目諸如Final Cut Pro電影編輯項(xiàng)目中指定的文件的持續(xù)訪問���。圖3A中所示的方法可始于操作301,在該操作中用戶使用應(yīng)用程序來打開集合或項(xiàng)目��。在用戶使用該應(yīng)用程序內(nèi)的打開對話框打開該項(xiàng)目時(shí)��,如果該打開對話框是由諸如提供所述打開對話框的操作系統(tǒng)軟件之類的可信系統(tǒng)資源提供的�,則用戶的打開提供了針對該項(xiàng)目或集合的可信度的指示。用戶繼而可在操作303中選擇或打開想要添加至該項(xiàng)目的電影���。操作305中的應(yīng)用程序請求資源管理器111創(chuàng)建針對該電影的書簽�,其中該書簽的作用域?yàn)樵擁?xiàng)目,該項(xiàng)目可由該項(xiàng)目的文件路徑名稱來指定����。在一個(gè)實(shí)施例中,應(yīng)用程序通過文件名稱來指定項(xiàng)目并將該文件名稱提供給資源管理器��。在操作307中���,資源管理器驗(yàn)證應(yīng)用程序有權(quán)訪問該項(xiàng)目和所指定電影���,并且如果有權(quán)訪問,則在操作309中���,若針對該項(xiàng)目的密鑰不存在��,資源管理器將創(chuàng)建隨機(jī)密鑰并將該密鑰附加到該項(xiàng)目文件��。在一個(gè)實(shí)施例中����,盡管密鑰被附加到項(xiàng)目文件,但該密鑰對于應(yīng)用程序是隱藏的����。在此類實(shí)施例中���,資源管理器可通過要求文件系統(tǒng)將隨機(jī)密鑰存儲(chǔ)在與文件塊的其余部分隔離開來的單獨(dú)塊中或通過使用本領(lǐng)域中所公知的其他機(jī)制��,來限制對文件的包含隨機(jī)密鑰的部分的訪問�。在操作311中�����,資源管理器111可使用針對項(xiàng)目文件在操作309中創(chuàng)建的隨機(jī)密鑰來創(chuàng)建針對電影的書簽的帶密鑰的散列值或摘要���。然后�,在操作313中����,資源管理器將針對電影的書簽以及帶密鑰的散列值/摘要返回至應(yīng)用程序。在一個(gè)實(shí)施例中��,書簽可包含帶密鑰的散列值/摘要����。在操作315中�,應(yīng)用程序?qū)灪蛶荑€的散列值/摘要存儲(chǔ)在項(xiàng)目文件或目錄內(nèi)以備再利用���,如將結(jié)合圖3B所說明的�����。針對想要包含在項(xiàng)目或集合中的每個(gè)電影或其他對象�,重復(fù)操作303-315�����。應(yīng)當(dāng)理解�,該集合或項(xiàng)目可為電影項(xiàng)目或音樂項(xiàng)目或其他應(yīng)用程序,其中引用的項(xiàng)表示該應(yīng)用程序所使用的文檔庫�����。在操作315之后�����,應(yīng)用程序可退出或被終止或可關(guān)閉系統(tǒng)����。
[0028]圖3B中所示的方法示出在圖3A中所示的方法中創(chuàng)建的集合范圍的書簽的使用�����。在操作321中�����,重新啟動(dòng)應(yīng)用程序,然后在操作323中用戶打開應(yīng)用程序內(nèi)的項(xiàng)目��。在一個(gè)實(shí)施例中��,由于系統(tǒng)可依賴于用戶對項(xiàng)目的選擇來作為項(xiàng)目或其他文件或文檔集合的可信度的指示��,因此無需檢查項(xiàng)目的可信度����。然后在操作325中,應(yīng)用程序?qū)㈨?xiàng)目所引用的一個(gè)或多個(gè)書簽以及將項(xiàng)目文件路徑名稱和書簽的帶密鑰的散列值發(fā)送至資源管理器111�����。然后在操作327中���,資源管理器可從項(xiàng)目文件中對在操作309中所創(chuàng)建的隨機(jī)密鑰進(jìn)行檢索���。然后�����,資源管理器在操作329中可使用檢索到的隨機(jī)密鑰來創(chuàng)建針對通過操作325從應(yīng)用程序接收到的每個(gè)書簽的帶密鑰的散列值�����。然后資源管理器可將從應(yīng)用程序接收到的書簽的每個(gè)帶密鑰的散列值與每個(gè)書簽的重新計(jì)算后的帶密鑰的散列值進(jìn)行比較��;如果匹配發(fā)生����,則提供訪問��,否則拒絕訪問�。通過這種方式,可以允許對集合或項(xiàng)目中的引用那些文檔集合的用戶所選擇的文檔的持續(xù)訪問���。
[0029]就圖3A和3B中所示的方法而言��,持續(xù)引用是特定于表示文檔或文檔集的集合或項(xiàng)目的�����,并且它們不是應(yīng)用程序的配置的一部分�,而是該應(yīng)用程序可打開的特定文檔的一部分。
[0030]另一方面����,圖2A和2B中所示的方法特定于在應(yīng)用程序的執(zhí)行期間接收用戶對文件或文件夾的選擇的該應(yīng)用程序。資源管理器或其他可信訪問控制系統(tǒng)可驗(yàn)證:書簽(可以是URL)未被篡改以及相同的應(yīng)用程序正試圖訪問用戶所選擇的先前訪問過的文件���。因此,應(yīng)用程序范圍的書簽或標(biāo)識符對特定的應(yīng)用程序是特定的���。
[0031]在前述的說明書中��,參照其特定的示例性實(shí)施例描述了本發(fā)明��。顯而易見的是�,可在不脫離以下權(quán)利要求所示的本發(fā)明的更廣泛的實(shí)質(zhì)和范圍的情況下對實(shí)施例做出各種修改��。因此�����,說明書和附圖應(yīng)被認(rèn)為是例證性的而非限制性的?����?蓡为?dú)地或以任何組合來使用所述實(shí)施例的各方面���、實(shí)施例�����、具體實(shí)施或特征�����。
[0032]所述實(shí)施例還可體現(xiàn)為非暫態(tài)計(jì)算機(jī)可讀介質(zhì)上的計(jì)算機(jī)可讀代碼��。非暫態(tài)計(jì)算機(jī)可讀介質(zhì)為可對隨后能夠由計(jì)算機(jī)系統(tǒng)讀取的數(shù)據(jù)進(jìn)行存儲(chǔ)的任何數(shù)據(jù)存儲(chǔ)裝置�����,而不是專門針對傳輸暫時(shí)性信號而設(shè)計(jì)的介質(zhì)�����。非暫態(tài)計(jì)算機(jī)可讀介質(zhì)的例子包括軟盤�、閃存設(shè)備、光盤���、CD-ROM��、和磁性光盤���、只讀存儲(chǔ)器(ROM)、隨機(jī)存取存儲(chǔ)器(RAM)��、可擦可編程ROM(EPROM)�、電可擦可編程ROM (EEPROM)、磁卡或光卡��、或適用于存儲(chǔ)電子指令的其他類型的介質(zhì)����。在各種實(shí)施例中�����,存儲(chǔ)在機(jī)器可讀存儲(chǔ)介質(zhì)上的軟件指令可與硬連線電路系統(tǒng)結(jié)合使用以實(shí)現(xiàn)本發(fā)明����。因此���,該技術(shù)不限于硬件電路系統(tǒng)和軟件指令的任何特定組合或針對由與執(zhí)行本文所述的一個(gè)或多個(gè)操作的裝置相關(guān)聯(lián)的數(shù)據(jù)處理系統(tǒng)所執(zhí)行的指令的任何特定來源。
【權(quán)利要求】
1.一種機(jī)器實(shí)現(xiàn)的方法,包括: 接收用戶對文件或文件夾的選擇�����; 響應(yīng)于所述選擇�����,請求與所述文件或文件夾相關(guān)聯(lián)的位置標(biāo)識符���; 響應(yīng)于所述請求����,接收經(jīng)密碼驗(yàn)證的位置標(biāo)識符和即使所述文件或文件夾被重命名或在存儲(chǔ)設(shè)備上被移動(dòng)也允許檢索所述文件或文件夾的標(biāo)識符�����;以及存儲(chǔ)所述標(biāo)識符和所述經(jīng)密碼驗(yàn)證的位置標(biāo)識符���。
2.根據(jù)權(quán)利要求1所述的方法���,其中所述標(biāo)識符為URL����,并且所述經(jīng)密碼驗(yàn)證的位置標(biāo)識符為所述URL的第一帶密鑰的散列值�。
3.根據(jù)權(quán)利要求2所述的方法,其中對所述位置標(biāo)識符的請求由資源管理器提供服務(wù)����,其中所述資源管理器為可信訪問控制系統(tǒng)。
4.根據(jù)權(quán)利要求3所述的方法����,其中所述資源管理器為計(jì)算機(jī)操作系統(tǒng)的組件,并且其中即使所述文件或文件夾在應(yīng)用程序未執(zhí)行時(shí)被重命名或移動(dòng)�����,所述文件或文件夾也可被所述應(yīng)用程序檢索����。
5.根據(jù)權(quán)利要求4所述的方法�����,還包括: 請求訪問所選擇的文件或文件夾�; 提供所述URL和第一帶密鑰的散列值����;以及 訪問所述文件或文件夾��,其中即使所述文件或文件夾被重命名或移動(dòng)���,對所述文件或文件夾的訪問也是可用的����。
6.根據(jù)權(quán)利要求5所述的方法�,其中所述資源管理器通過創(chuàng)建第二帶密鑰的散列值并且將所述第二帶密鑰的散列值與所述第一帶密鑰的散列值進(jìn)行比較來驗(yàn)證所述位置標(biāo)識符。
7.一種用于管理對電子計(jì)算機(jī)系統(tǒng)上的資源的訪問的受限操作環(huán)境�����,所述受限操作環(huán)境包括: 沙箱���,所述沙箱限制對所述資源的訪問��;以及 資源管理器�����,所述資源管理器管理所述沙箱中的應(yīng)用程序?qū)λ鲑Y源的訪問�,其中所述資源管理器, 接收對位置標(biāo)識符的請求��,所述位置標(biāo)識符用于訪問所述資源��, 通過確定是否允許對所述資源的訪問來檢查所述請求�,并且發(fā)送所述位置標(biāo)識符和標(biāo)識符,其中即使所述資源被重命名或移動(dòng)�,所述標(biāo)識符也允許檢索所述沙箱之外的所述資源。
8.根據(jù)權(quán)利要求7所述的受限操作環(huán)境��,其中所述沙箱限制對文件或文件夾的訪問�,其中所述文件或文件夾位于所述沙箱之外。
9.根據(jù)權(quán)利要求8所述的受限操作環(huán)境�,其中所述資源管理器為計(jì)算機(jī)操作系統(tǒng)的經(jīng)密碼驗(yàn)證的組件。
10.根據(jù)權(quán)利要求9所述的受限操作環(huán)境����,其中所述標(biāo)識符為URL,并且所述位置標(biāo)識符為所述URL的帶密鑰的散列值�����。
11.根據(jù)權(quán)利要求10所述的受限操作環(huán)境����,其中所述帶密鑰的散列值被生成并密碼驗(yàn)證。
12.根據(jù)權(quán)利要求7所述的受限操作環(huán)境��,其中所述沙箱限制對主存儲(chǔ)器的訪問�。
13.一種非暫態(tài)機(jī)器可讀存儲(chǔ)介質(zhì),所述機(jī)器可讀存儲(chǔ)介質(zhì)提供指令��,所述指令在被處理系統(tǒng)執(zhí)行時(shí)使得所述處理系統(tǒng)執(zhí)行對受限操作環(huán)境中的資源訪問進(jìn)行管理的操作���,所述操作包括: 接收對提供與文件或文件夾相關(guān)聯(lián)的位置標(biāo)識符的第一請求����; 驗(yàn)證所述第一請求有權(quán)訪問所述文件或文件夾�����; 創(chuàng)建隨機(jī)密鑰并將所述隨機(jī)密鑰附加到所述文件或文件夾�����; 使用所述隨機(jī)密鑰創(chuàng)建第一帶密鑰的散列值��;以及 返回包括URL和所述第一帶密鑰的散列值的與所述文件或文件夾相關(guān)聯(lián)的所述位置標(biāo)識符��。
14.根據(jù)權(quán)利要求13所述的機(jī)器可讀存儲(chǔ)介質(zhì),還包括: 接收對所述文件或文件夾進(jìn)行訪問的第二請求�,所述第二請求包括所述URL和所述第一帶密鑰的散列值; 從所述文件或文件夾中檢索所述隨機(jī)密鑰�����; 使用所述隨機(jī)密鑰創(chuàng)建第二帶密鑰的散列值��;以及 將所述第二帶密 鑰的散列值與所述第一帶密鑰的散列值進(jìn)行比較��。
15.根據(jù)權(quán)利要求14所述的機(jī)器可讀存儲(chǔ)介質(zhì)����,其中對所述文件或文件夾具有訪問權(quán)限的應(yīng)用程序無法訪問所述隨機(jī)密鑰。
16.根據(jù)權(quán)利要求15所述的機(jī)器可讀存儲(chǔ)介質(zhì)��,其中所述URL和第一散列密鑰提供對用戶所選擇的文檔的集合的訪問�����。
17.根據(jù)權(quán)利要求15所述的機(jī)器可讀存儲(chǔ)介質(zhì)�����,其中所述URL和第一散列密鑰對特定的應(yīng)用程序是特定的����。
18.根據(jù)權(quán)利要求15所述的機(jī)器可讀存儲(chǔ)介質(zhì)�,其中所述URL包括第一散列密鑰����。
19.根據(jù)權(quán)利要求15所述的機(jī)器可讀存儲(chǔ)介質(zhì)�����,其中所述URL和第一散列密鑰提供跨應(yīng)用程序會(huì)話的一致的訪問���。
20.根據(jù)權(quán)利要求19所述的機(jī)器可讀存儲(chǔ)介質(zhì)���,其中所述URL和第一散列密鑰提供跨系統(tǒng)電力周期的一致的訪問。
21.一種非暫態(tài)機(jī)器可讀存儲(chǔ)介質(zhì)����,所述機(jī)器可讀存儲(chǔ)介質(zhì)提供當(dāng)被執(zhí)行時(shí)使得數(shù)據(jù)處理系統(tǒng)執(zhí)行如權(quán)利要求1中所述的方法的指令。
【文檔編號】G06F17/30GK104054086SQ201380005743
【公開日】2014年9月17日 申請日期:2013年1月14日 優(yōu)先權(quán)日:2012年1月17日
【發(fā)明者】I·科爾斯蒂克, L·H·阿斯特蘭德 申請人:蘋果公司