专利名称:活动内容信任模型的制作方法
活动内容信任模型
背景
以下描述仅提供一般背景信息并不旨在用作帮助确定要求保护的主题的范围。
在计算环境中,通常具有教导用户如何完成特定任务的帮助系统。该帮助系 统可处于应用程序或应用程序套件(一组附带和相关应用程序)级或者操作系统(或 外壳)级。通常,即使不是大多数,也有许多具有内建帮助系统的应用程序使用两 个级别的帮助系统。
帮助内容通常实际上是静态的,它向用户提供如何完成特定任务的编写或图 形示出的指令。然而,最近,帮助内容开始从静态文本向更加动态的体验发展。在 从静态帮助内容到动态或活动帮助内容的转变中,传统上视为无害文本的那些正日 益变得能够为用户执行代码或引发代码被执行。为了便于用户允许帮助内容来为其 采取动作,出于有效执行动作和/或通过观看正在由帮助系统执行的动作来教导用 户如何执行这些动作的目的,帮助类型文件日益包含可执行的活动内容代码或脚 本。活动内容文件可被编辑成这些文件自身调用之后也将执行的其它可执行代码。
活动帮助内容的两个示例包括活动内容向导(ACW)和快捷方式。
ACW通常包括一种或另一种形式的代码来与用户界面交互,以便于基本上直 接向用户界面为用户播放帮助主题。虽然ACW与用户界面交互,但是ACW通常 也向用户提供关于该交互的描述。在回放期间,ACW可允许用户与用户界面交互 以便输入诸如文件名等的具体信息从而有助于用户的学习过程。快捷方式是自动执 行操作的帮助类型文件。通常,可根据外壳执行命令(例如Windows⑧操作系统的 开始/运行命令)执行的任何操作或活动都可使用快捷方式来自动执行。
帮助内容现在可以包含或调用可执行代码(活动内容)的事实为用户计算机 和数据带来了由于这种活动内容而受到故意或无意损害的可能性。由于活动帮助内 容在web页面和其它远程源上可用并且有时从这些源自动访问,所以对于活动帮 助内容而言,存在损害用户计算机和数据的更多机会。概述
提供本概述来以简化形式介绍以下在详细描述中将进一步描述的概念的选 择。本概述并非旨在标识要求保护的主题的关键特征或本质特征,也并非旨在用来 帮助确定要求保护的主题的范围。
用于活动内容的信任模型使得终端用户能够以安全和保险的方式下载和/或安 装并执行帮助内容。它通过强制仅用户和/或管理员所信任的内容被允许调出到代 码或者被允许使用第三方扩展来保护用户数据和系统。在某些实施方式中,这些判 断基于调用应用程序和所显示的内容集以及基于运行应用程序的特定用户和为特 定计算机和/或用户设定的策略。如果其中之一不具有执行所必需的许可或信任,
则帮助系统默认进入内容变成静态并且不能损害系统的安全模式。
附图简要描述
图1是其中可实践所公开概念的通用计算环境的框图。
图2是计算环境中基于信任的安全模型实现的框图。
图3是根据本发明一实施方式的帮助内容的特征的图示。
图4是示出了示例方法实施方式的流程图。
图5是示出更详细的示例方法实施方式的流程图。
图6是得到信任和未得到信任的内容之间转换的图示。
详细描述
帮助内容从静态文本向更动态的体验发展。为了提供此动态体验,帮助内容 有时必须能够为用户执行代码或引发代码被执行。所公开的实施方式提供基于信任 模型的安全措施来保护终端用户以及仅允许得到信任内容为用户引发代码执行并 执行动作。
通常的帮助系统,尤其是以下描述的基于信任模型的安全帮助系统实施方式 常常在网络化个人计算机(PC)环境中工作,并且网络为因特网和/或局域网。以 下参照图1 一般描述的计算环境是其中可实现所公开实施方式的计算环境的一个 示例。然而,在进一步描述所示实施方式的诸方面之前,描述图l所示的合适的示 例计算环境是有用的。
图1示出合适的计算系统环境的一个示例100,所示实施方式的一个或多个方 面可在其上实现。计算系统环境100仅作为适当计算环境的一个示例而非旨在对所示实施方式的使用范围和功能设定任何限制。计算环境ioo不应被解释为具有与在 示例性操作环境100中所示的组件中任一个或组合相关的任何依赖性或要求。
所示实施方式可与许多其它通用或专用计算系统环境或配置一起操作。适于 与所示实施方式一起使用的公知计算系统、环境和/或配置的示例包括,但不限于 个人计算机、服务器计算机、手持或膝上型设备、多处理器系统、基于微处理器的 系统、机顶盒、可编程消费电子产品、网络PC、小型计算机、大型计算机、电话 系统、包括以上系统或设备中任一种的分布式计算环境等。
所示实施方式可在由计算机执行的诸如程序模块的计算机可执行指令的通用 上下文中描述。通常,程序模块包括执行特定任务或实现特定抽象数据类型的例程、 程序、对象、组件、数据结构等。所示实施方式还可在其中任务由通过通信网络链 接的远程处理设备执行的分布式计算环境中实施。在分布式计算环境中,程序模块 可位于包括存储器存储设备的本地和远程计算机存储介质中。在以下通过附图的帮 助来描述由程序或模块执行的任务。本领域技术人员可将本文提供的描述和附图实 现为可在任何形式的计算机可读介质上编写的处理器可执行指令。
参照图1,示例性系统包括计算机110形式的通用计算设备。计算机110的组
件可包括,但不限于处理单元120、系统存储器130和将包括系统存储器的各种 系统组件耦合到处理单元的系统总线121。系统总线121可以是包括存储器总线和
存储器控制器、外围总线和使用各种总线架构中任一种的局域总线的若干类型总线
结构中任一种。作为示例而非限制,这种架构可包括工业标准架构(ISA)总线、微 信道架构(MCA)总线、增强ISA(EISA)总线、视频电子标准协会(VESA)局域总线、 和也称为Mezzanine的外围组件互连(PCI)总线。
计算机110通常包括各种计算机可读介质。计算机可读介质可以是能由计算 机IIO访问的任何可用介质,并且包括易失性和非易失性介质、可移动和不可移动 介质。作为示例而非限制,计算机可读介质可包括计算机存储介质和通信介质。计 算机存储介质包括以任何方法或技术实现的用于存储诸如计算机可读指令、数据结 构、程序模块或其它数据的信息的易失性和非易失性、可移动和不可移动介质。计 算机存储介质包括,但不限于RAM、 ROM、 EEPROM、闪存或其它存储技术、 CD-ROM、数字多功能盘(DVD)或其它光盘存储、盒式磁带、磁带、磁盘存储或其 它磁性存储设备、或者可用于存储所需信息并可由计算机110访问的任何其它介 质。通信介质通常以诸如载波或其它传输机制的已调制数据信号的方式体现计算机 可读指令、数据结构、程序模块或其它数据,并且包括任何信息传输介质。术语"已调制数据信号"表示以在信号中编码信息的形式设定或改变其特征的一个或多个的 信号。作为示例而非限制,通信介质包括诸如有线网络或直接接线连接的有线网络、 以及诸如声学、RF、红外和其它无线介质的无线介质。以上的任一种的组合也应 该包含在计算机可读介质的范围内。
系统存储器130包括诸如只读存储器(ROM) 131和随机存取存储器(RAM) 132 的易失性和/或非易失性存储器形式的计算机存储介质。包含在诸如启动过程中帮 助在计算机110内的元件之间传递信息的基本例程的基本输入/输出系统133 (BIOS) 通常存储在ROM 131中。RAM 132通常包含可由处理单元120即时访问和/或正 在其上操作的数据和/或程序。作为示例而非限制,图1示出操作系统134、应用程 序135、其它程序模块136和程序数据137。
计算机110还可包括其它可移动/不可移动、易失性/非易失性计算机存储介质。 仅作为示例,图1示出从不可移动、非易失性磁性介质读取或向其写入的硬盘驱动 器141、从可移动、非易失性磁盘152读取或向其写入的磁盘驱动器151、以及从 诸如CD ROM或其它光学介质的可移动、非易失性光盘156读取或向其写入的光 盘驱动器155。可在示例性操作环境中使用的其它可移动/不可移动、易失性/非易 失性计算机存储介质包括,但不限于磁带盒、闪存卡、数字多功能盘、数字录像 带、固态RAM、固态ROM等。硬盘驱动器141通常通过诸如接口 140的不可移 动存储器接口连接到系统总线121,并且磁盘驱动器151和光盘驱动器155通常通 过诸如接口 150的可移动存储器接口连接到系统总线121。
以上所述以及图1中所示的驱动器及其关联计算机存储介质为计算机110提 供计算机可读指令、数据结构、程序模块和其它数据的存储。例如在图1中,硬盘 驱动器被示为存储操作系统144、应用程序145、其它程序模块146和程序数据147。 注意这些组件可与操作系统134、应用程序135、其它程序模块136和程序数据 137相同或者不同。在此向操作系统144、应用程序145、其它程序模块146和程 序数据147给出不同的附图标记以至少说明它们是不同的副本。
用户可通过诸如键盘162、话筒163和诸如鼠标、轨迹球或触摸板的定点设备 161的输入设备向计算机110输入命令和信息。其它输入设备(未示出)可包括操 纵杆、游戏垫、圆盘式卫星天线、扫描仪等。这些和其它输入设备通常通过耦合于 系统总线的用户输入接口 160连接到处理单元120,但是可由诸如并行端口、游戏 端口或通用串行总线(USB)的其它接口和总线结构连接。监视器191或其它类型 的显示设备也经由诸如视频接口 190的接口连接到系统总线121。除监视器之外,计算机还可包括可通过输出外围接口 195连接的诸如扬声器197和打印机196的其 它外围输出设备。
计算机110可在使用到一个或多个诸如远程计算机180的远程计算机的逻辑 连接的网络化环境中操作。远程计算机180可以是个人计算机、手持型设备、服务 器、路由器、网络PC、对等设备或其它公共网络节点,并且通常包括以上相关于 计算机110描述的元件中多个或全部。图1所示的逻辑连接包括局域网(LAN) 171 和广域网(WAN) 173,但是还可包括其它网络。这种网络环境在办公室、企业内 部计算机网络、内联网和因特网中十分常见。
当在LAN网络环境中使用时,计算机IIO通过网络接口或适配器170连接到 LAN 171。当在WAN网络环境中使用时,计算机110通常包括调制解调器172或 用于在诸如因特网的WAN 173上建立通信的其它装置。或为内置式或为外置式的 调制解调器172可经由用户输入接口 160或其它适当的机构连接到系统总线121。 在网络化环境中,相关于计算机IIO描述的程序模块或其部分可存储在远程存储器 存储设备中。作为示例而非限制,图1将远程应用程序185示为驻留在远程计算机 180上。应该理解,所示网络连接是示例性的,并且可使用在计算机之间建立通信 链路的其它装置。
现在参照图2,更一般地示出的其中实现或体现帮助系统和基于信任的安全模 型的计算机系统或计算环境200。在图2中示出计算机205,它可以是包括PC、膝 上型计算机、笔记本计算机或其它移动或不可移动计算机的各种计算环境中任一 种。然而,计算机205不限于任何特定类型的计算环境。
计算机205主宿、运行或另外支持应用程序或操作系统(OS)软件207 (下 文中称为"应用程序207"或"调用应用程序207")和帮助系统210。应用程序207 按需调用帮助系统210来访问本地帮助内容215 (术语"本地"指示其位置在计算 机205上)。本地帮助内容215 (以及远程帮助内容220和/或235)现在通常包括 不断增加的活动内容。术语"活动内容"指能够执行代码或引发代码被执行的内容。 活动内容的示例包括,例如如上所述的ACW和快捷方式。
在某些实施方式中,调用应用程序207还可调用或请求帮助系统210来从经 由因特网230或其它全局或非局域计算机网络连接到计算机205的服务器计算机 225存取活动内容。类似地,调用应用程序207可调用帮助系统210来从连接到同 一局域网(例如在组织等的内部)245的计算机240存取活动帮助内容235。
计算机205还可被配置成实施安全管理器250,该管理器管理应用程序207
9对包括本地活动内容215和远程活动内容220和235的活动帮助内容的访问。安全 管理器250使用基于信任的安全模型260,该模型可被视为用于确定哪些应用程序 或用户可访问活动内容以及哪些活动内容可被访问的一组规则。安全管理器250 还激活并控制用于帮助文件或具有活动内容的其它文件的两种执行模式,但是也可 以使用附加或不同模式。仅出于示例目的,在此将执行模式称为信任模式和安全模 式。以下将更加详细地描述这些执行模式。除了使用在模型260中定义或其所要求 的标准来控制这些执行模式之外,安全管理器250还基于管理策略247来控制这些 安全模式。出于说明目的,这些策略被表示为从经由网络245连接到计算机205 的管理员计算机246提供。在确定哪种执行模式是特定用户、特定计算机、特定调 用应用程序或特定活动内容所需时,策略247可凌驾于其它标准之上。
如上所述,帮助主题可调用诸如行为、ACW和快捷方式的代码。如果帮助系 统210是可例如使用行为和块(块是提供诸如呈现等的某种服务的帮助系统插件) 来扩展,则也可调用自定义代码。例如,行为可揭示机器的状态(用户在域上或不 在域上),或者它可以是交互的(具有'+ ,和,的扩展菜单)。虽然行为使主题 "活动",但是它们也在用户机器上引入了一定级别的风险。具体地,行为是用户 己经安装的代码。由安全管理器250实现的信任模型260用于保护内容目的。具体 地,"未得到信任"内容可导致本来是安全的代码在本来是安全的机器上运行一且 对用户而言,结果可能是灾难性的。
当用户请求帮助主题时,帮助系统210必须决定允许或拒绝对该主题的访问, 然后过度到决定允许或拒绝访问潜在危险代码(行为、活动内容向导等)。安全管 理器250及其基于信任的安全模型260提供该控制。从根本上,帮助系统必须及时 确定在此时是否信任该主题。如下更详细描述的,基于信任的安全模型260指定如 何在任何给定时刻对于任何给定确定信任。信任模型260保护用户计算机免受由于 运行未得到信任或未明确得到信任的东西而发生的恶意攻击。得到信任的恶意代码 仍可造成负面结果,但是未得到信任的被防止运行。某些"攻击"可能是善意帮助, 它是碰巧引起了无意破坏。在示例性实施方式中,信任模型260也防止这种攻击。 通常当不作为排他性列表,由安全管理器250实现的基于信任的安全模型保护如下 范围
整个帮助系统的一般完整性(在使用帮助的情况下) 一帮助系统保护用户免 受对系统的不期望更改,诸如更改盘上的文件或注册表中的表项。类似地, 使用帮助应该从不影响系统可靠性。 用户隐私一帮助系统应该从不帮助在应用程序或因特网上非期望地传输数 据。
当前安装的帮助的完整性一虽然这可能会落在以上"一般完整性"的范畴内, 但是值得特别注意使用帮助或安装新的帮助应该从不打断先前工作的帮助。
信任模式还禁止不具有足够特权的用户执行活动内容。信任模型还支持由系 统管理员设定的策略并保护该帮助系统的完整性(在帮助情况下)抵制恶意 代码以及免受具有受限特权的用户执行活动内容。
安全管理器250及其信任模型260使得终端用户能够以安全和保险方式下载 和/或安装帮助内容。它以如下方式管理对活动内容的访问仅用户所信任的内容 被允许调出到代码或者被允许使用第三方来扩展。另一优点是使公司、原始设备制 造商(OEM)或分发内容的任何人能够保持其帮助语料库(内容集)受保护而免 受来自恶意攻击的垃圾信息和哄骗。如下所述,安全内容的要求之一是要求该内容 被数字签名。同样通过要求内容由分发者数字签名,存在跟踪恶意内容的痕迹以及 验证数据完整性的能力。
安全管理器250施行两个主要规则从不允许帮助来导致特权上升,以及如 果用户并未明确或暗示地信任该内容或者如果机器的策略并不允许,则从不允许该 内容引发执行。例如,如果公司的域管理员关闭从工作站向web的所有访问,即 使用户信任内容,安全管理器仍不允许执行该代码。请求帮助的应用程序使其自身 的特权被进行核查,并且在访问任何资源或执行代码时可使用这些凭证/特权。这 防止针对将由较低特权的应用程序使用的帮助系统在较高特权的上下文中执行代 码的利用。如果特权足够低或策略指示,则禁用可能危险的内容。
终端用户可通过安装应用程序、其帮助以及相信对该帮助内容进行签名所用 的证书来明确信任帮助。此外,隐式信任通过安装使用已安装在得到信任的证书库 中的证书签名的帮助内容来准予。在没有该信任的情况下,该帮助将作为静态文本 使用并且不能调出到第三方代码或者允许使用该帮助系统中可能不安全的活动特 征的任一个。作为信息集的帮助内容可通过签名来保护,因为仅具有同一证书的内 容才可作为该内容集的孩子存在。然而,在某些实施方式中,即使来自特定证书的 内容以前被信任,但是系统可要求来自用户的对接受任何新内容一尤其是对于不同 应用程序或对于另一内容集一的明确许可。换言之,即使用户接受具有来自特定公 司或内容提供者的证书的应用程序的内容,并不表示用户自动接受来自同一公司另 一产品的内容。示例性实施方式的另一特征使用允许内容集或子集插入到另一内容集中的优惠券(coupon)文件或密钥的概念。该密钥由父内容集的原始拥有者控制
并分发给指定组织。
数字签名用来证实并允许在线内容参与到信任模型中。因此,可安全地核对 来自服务器或存储设备的帮助内容以判定它是否可引发代码执行或使用高级活动行为。
现在提供方法实施方式的更详细描述。在某些实施方式中,安全管理器250 被配置成使用基于信任的安全模型260来执行这些方法。参照图3,示出具有通过 安全管理器250用在示例性实施方式中以实现基于信任的安全的特征的帮助内容 文件或文件300。如图所示,取决于特定实施方式,内容300应该包括数字签名305、 证书310和优惠券或密钥315中某些或全部。虽然并非全部实施方式都要求将所有 三者都视为信任内容,但是提供对使用所有三个特征的示例的描述。
签名305可以是指示电子文档或文件的源的任何所需电子签名格式。例如, 签名305可以是根据用于数字签名和认证XML文档的W3C标准的XML (可扩展 标记语言)签名。可使用其它数字签名格式。当添加数字签名305时,也可要求数 字证书310。可通过诸如威瑞信(VeriSign)公司的商用认证组织获得的数字证书 建立签名的真实性。
电子优惠券(或密钥)315也可包含在帮助内容300中。 一般地,电子优惠券 是安全标识两个电子文档之间关系的方法。因此,在某些实施方式中使用电子优惠 券来允许一组内容子集插入到另一内容集中。优惠券或密钥由父内容集的原始拥有 者控制并分发给指定组织。
现在参照图4,示出说明在帮助系统中提供安全的方法的实施方式的流程图 400。使用基于信任的安全模型260的安全管理器250可被配置成实现如图4中所 示的方法。如框405所示,该方法包括从调用应用程序(即图2所示的207)接收 调用以访问活动内容。该活动内容可以是可从服务器计算机下载的内容(诸如内容 220)或者是在与应用程序207同一计算机上的内容。在从调用应用程序207接收 调用之后,基于预定标准(例如由基于信任的安全模型260所定义的)判定哪个执 行模式可用于访问该活动内容。这在图4的框410中示出。然后,如在框415所示, 该方法包括以所判定的执行模式来访问该活动内容的步骤。
如上所述,在某些实施方式中,可用于访问活动内容的执行模式包括安全模 式和信任模式。信任模式是常规执行模式,且在信任模式中,在调用应用程序的特 权下,允许代码或其它活动内容的执行或调用及其运行。在指示调用应用程序和目标活动内容之一或两者缺少信任的安全模式中,将活动内容文件的内容尽可能地静 态地呈现或显示,但是活动内容中代码的执行受到限制。例如,在安全模式中,可 以禁止ACW和外壳执行内容的调用。而且,在该模式中可强制禁止访问在线帮助
内容。为了静态地呈现活动内容文件,可在SEE约束环境中呈现标题、状态探针 (state probe)和行为。术语SEE (安全执行环境)是指受限管理应用程序的具体 许可集。术语SEE约束通常描述对具有SEE许可的组件进行砂箱工程的运行时环 境(假定的应用程序域)。换言之,帮助系统拒绝该组件提升许可的任何尝试。必 须注意,虽然在本示例实施方式中使用了两种执行模式,但是其它许多执行模式可 用在其它实施方式中。而且,取代使用SEE,可对某些模式使用基于常规本机代码 的安全。
在示例实施方式中,响应于访问活动内容的特定调用来控制执行模式的预定 标准包括如下(1)调用应用程序的信任状态(得到信任或未得到信任等);以及
(2)所请求的活动内容是否来自取得信任的源。在某些实施方式中,对所请求的 活动内容时候来自得到信任的源的判定包括若干标准。例如, 一个标准是该活动内 容是否被电子签名(图3中的305)。如果它未被电子签名,则它被判定为并非来 自得到信任的源。在某些实施方式中,即使活动内容被电子签名为得到信任的源, 该活动内容也必须具有有效证书(图3中的310)。在其它实施方式中,除此之外
(或作为替代)所请求的活动内容有必要具有有效优惠券或密钥(图3中的315) 以被视为来自得到信任的源。这尤其在尝试向其它内容("父内容")中插入内容("子 内容")时使用,如上所述。
图5是示出判定哪个执行模式中可访问活动内容的进程中的上述不同标准。 在判定505,首先判定调用应用程序是否为得到信任的应用程序。如果调用应用程 序的应用程序状态为未得到信任的(在506示出的未得到信任的调用应用程序状 态),则以安全模式访问活动内容(在510示出)。如果调用应用程序的信任状态为 得到信任(在507示出的得到信任的调用应用程序状态),则执行模式判定进程进 行到判定515,其中判定活动内容(例如帮助文件)是否被签名。如果它未被签名, 则以安全模式510访问活动内容。如果活动内容被签名,则该进程进行到判定520, 其中判定该内容是否具有有效证明。再次地,如果该内容不具有有效证明,则以安 全模式访问活动内容。如上所述,判定515和520是关于活动内容是否来自得到信 任的源的总体判定512的部分。
在如上所述的其它任选实施方式中,执行模式判定步骤或进程还可包括判定525,其中判定所请求的内容是否具有有效优惠券。如果不具有,则安全模式510
再次成为所选执行模式。如果满足所有这些标准,则可以以信任模式访问该活动内
容,如530所示。然而,再调用策略247可指示将使用哪个模式,即使其它判定步 骤导致不同结论。
现在参照图6,示出得到信任和未得到信任的内容之间的转换的图示。如果应 用程序正以信任模式访问得到信任的活动内容605,且收到对访问未得到信任的活 动内容610的调用,则安全管理器250导致如607所示的向安全模式的转换。然而, 相反,如果收到对接着访问得到信任的活动内容615的调用,则如612所示,安全 管理器250继续以安全模式操作以便于防止未得到信任的内容610的特权的提升。
然而,如果安全管理器250在访问得到信任内容620时以信任模式操作,则 可以访问其它得到信任的内容625而无需从信任模式转换到安全模式中。这在图6 的622示出。这说明可在保持信任模式的同时访问附加的得到信任的内容,由于第 一得到信任的内容不会提升特权。
虽然以具体到结构特征和/或方法动作的语言来描述主题,但是应该理解,在 所附权利要求书中限定的主题无需限于上述具体特征或动作。相反,上述具体特征 和动作作为实现权利要求的示例形式公开。
1权利要求
1. 一种在帮助系统中提供安全的计算机实现方法,所述方法包括从调用应用程序接收访问活动内容的调用;基于预定标准来判定访问所述活动内容所用的执行模式;以及以所判定的执行模式访问所述活动内容。
2. 如权利要求1所述的计算机实现方法,其特征在于,判定访问所述活动内 容的执行模式还包括判定是以信任模式还是安全模式来访问所述活动内容,所述信 任模式允许执行所述活动内容中的代码,而所述安全模式静态地呈现所述活动内容 的内容但是限制所述活动内容中代码的执行。
3. 如权利要求2所述的计算机实现方法,其特征在于,基于所述预定标准来 判定访问所述活动内容的执行模式还包括判定所述调用应用程序的信任状态,其中 所述调用应用程序可具有得到信任的应用程序状态和未得到信任的应用程序状态 之一。
4. 如权利要求3所述的计算机实现方法,其特征在于,如果所述调用应用程 序被判定为具有未得到信任的应用程序状态,则所述执行模式被判定为所述安全模 式。
5. 如权利要求4所述的计算机实现方法,其特征在于,基于所述预定标准来 判定访问所述活动内容的执行模式还包括判定所述活动内容是否来自得到信任的 源,如果所述活动内容未被判定为来自得到信任的源,则访问所述活动内容所用的 执行模式被判定为安全模式。
6. 如权利要求5所述的计算机实现方法,其特征在于,判定所述活动内容是 否来自得到信任的源还包括判定所述活动内容是否被电子签名,如果它未被电子签 名,则所述活动内容被判定为来自未得到信任的源。
7. 如权利要求6所述的计算机实现方法,其特征在于,如果所述活动内容被 电子签名,则判定所述活动内容是否来自得到信任的源还包括判定所述活动内容是 否具有有效证书,如果它不具有有效证书,则所述活动内容被判定为来自未得到信 任的源。
8. 如权利要求2所述的计算机实现方法,其特征在于,基于所述预定标准来 判定访问所述活动内容所用的执行模式还包括判定所述活动内容是否具有有效优惠券,其中如果所述活动内容被判定为不具有有效优惠券,则所述执行模式被判定 为所述安全模式。
9. 如权利要求2所述的计算机实现方法,其特征在于,基于所述预定标准判定访问所述活动内容所用的执行模式还包括基于控制其上驻留所述调用应用程序 的计算机的操作的管理策略来判定访问所述活动内容所用的执行模式。
10. 如权利要求9所述的计算机实现方法,其特征在于,所述方法的步骤通过 使用信任模式来实现,所述信任模式实际上是动态的,从而如果所述管理策略改变, 则所述信任模式使用已改变的策略来强制执行所述活动内容。
11. 一种其上存储有用于实现如权利要求1所述的方法的步骤的计算机可执 行指令的计算机可读介质。
12. —种用于向计算机用户提供帮助的系统,所述系统包括 帮助系统,从调用应用程序接收访问活动内容的调用;以及 安全管理器,使用基于信任的安全模型来判定访问所述活动内容所用的执行模式。
13. 如权利要求12所述的系统,其特征在于,所述安全管理器基于预定标准 来判定访问所述活动内容所用的执行模式。
14. 如权利要求13所述的系统,其特征在于,所述安全管理器被配置成判定 是以信任模式还是安全模式来访问所述活动内容,所述信任模式允许执行所述活动 内容中的代码,而所述安全模式静态地呈现所述活动内容的内容但限制所述活动内 容中代码的执行。
15. 如权利要求14所述的系统,其特征在于,所述预定标准包括所述调用应 用程序的信任状态,其中所述调用应用程序可具有得到信任的应用程序状态和未得 到信任的应用程序状态之一,所述安全管理器还被配置成判定所述调用应用程序的 所述信任状态。
16. 如权利要求15所述的系统,其特征在于,所述安全管理器被配置成如果 所述调用应用程序被判定为具有所述未得到信任的应用程序状态,则判定所述执行 模式为所述安全模式。
17. 如权利要求14所述的系统,其特征在于,所述预定标准包括所述活动内 容的源的信任状态,所述安全管理器还被配置成判定所述活动内容的源的信任状 态,如果所述活动内容未被判定为来自得到信任的源,则访问所述活动内容所用的 执行模式被判定为所述安全模式。
18. 如权利要求17所述的系统,其特征在于,所述安全管理器被配置成判定 所述活动内容的源的信任状态还包括所述安全管理器被配置成判定所述活动内容 是否被电子签名,如果它未被电子签名,则所述活动内容被判定为来自未得到信任 的源。
19. 如权利要求18所述的系统,其特征在于,如果所述活动内容被电子签名, 则所述安全管理器被配置成通过判定所述活动内容是否具有有效证书来判定所述 活动内容是否来自得到信任的源,如果它不具有有效证书,则所述活动内容被判定 为来自未得到信任的源。
20. 如权利要求19所述的系统,其特征在于,所述预定标准还包括所述活动 内容是否具有有效优惠券,其中如果所述活动内容被判定为不具有有效优惠券,则 所述执行模式被判定为所述安全模式。
全文摘要
一种在帮助系统中提供安全的计算机实现方法包括从调用应用程序接收访问活动内容的调用。基于预定标准对使用哪种执行模式来访问该活动内容作出判定。然后以所判定的执行模式来访问该活动内容。
文档编号G06F17/30GK101535985SQ200680019468
公开日2009年9月16日 申请日期2006年5月8日 优先权日2005年6月27日
发明者A·D·雷迪什, D·E·罗杰森, J·S·麦克罗伯茨, P·P·查弗达, S·昌德拉什卡, W·董 申请人:微软公司