针对一个或多个沙箱化应用程序的文件系统访问的制作方法

针对一个或多个沙箱化应用程序的文件系统访问的制作方法
【专利摘要】本发明公开了方法、系统和机器可读存储介质，其中在一个实施例中，使用诸如书签之类的标识符来允许访问沙箱式环境中的文件或文件夹。通过访问控制系统来限制一个或多个应用程序，该访问控制系统例如可为操作系统的可信软件组件。在一个实施例中，即使在应用程序已被终止时文件被用户重命名或移动，书签或其他标识符也允许应用程序来访问文件。在一个实施例中，资源管理器或其他可信访问控制系统可与应用程序进行交互以允许书签在环境中使用，在该环境中沙箱应用程序控制对文件的访问，使得每个应用程序必须向沙箱应用程序提出请求以获得对特定文件或文件夹的访问。
【专利说明】针对一个或多个沙箱化应用程序的文件系统访问
[0001]相关申请的交叉引用
[0002]本申请要求2012年I月17日提交的美国临时申请61/632，101的权益，这一临时申请据此以引用方式并入本文。本申请与2011年I月14日提交的美国专利申请13/007，472，2010年5月28日提交的美国专利申请12/790，451以及2011年I月14日提交的美国专利申请13/007，480相关。

【背景技术】
[0003]有关基于电子设备的所有类型的处理器的安全问题，尤其是有关计算设备的安全问题，已变得非常重要。诸如病毒、蠕虫、恶意软件之类的恶意代码和其他代码可具有从诸如将消息显示在屏幕上的相对无害的影响到对设备进行控制、运行不同进程、传输和或删除文件等等的影响。许多这样的攻击针对计算设备，诸如工作站、服务器、台式计算机、笔记本电脑和手持式计算机以及其他类似的设备。许多这样的计算设备能够运行用户可操作的一个或多个应用程序以执行一组所需的功能。
[0004]已使用多种方法来试图减少或消除恶意或缺陷代码的攻击和影响。一般来讲，这些方法包括检测、预防和抑制并且可包括尝试扫描、识别以及隔离恶意代码。此外，已使用一些方法通过限制授予给不可信的应用程序的访问量来限制恶意代码所能够执行的破坏量。然而，现有的方法缺乏统一的和系统性的途径，该途径提供对受限环境之外的资源进行访问的一致且持久的方法，特别是在那些资源的名称或位置应改变的情况下。


【发明内容】

[0005]本发明的实施例整体涉及安全计算领域，更具体地涉及对程序所使用的资源进行限制。根据本发明的一个方面，提供标识符以允许对沙箱化环境中的文件或文件夹的访问，在该沙箱化环境中一个或多个应用程序被访问控制系统沙箱化。此类访问控制系统可为可信软件组件的一部分，诸如操作系统的可信软件组件。标识符可为书签或某种其他标识符，并且即使在应用程序已被终止时文件被用户重命名或移动，标识符也可允许应用程序访问文件。前面提到，如果对沙箱化环境之外的文件或文件夹进行移动或重命名，使用该文件或文件夹的应用程序将对该文件或文件夹的重命名或移动一无所知并将无法访问。
[0006]然而，本发明的实施例允许资源管理器或一些其他可信访问控制系统与应用程序(或“app”)进行交互并且允许在该环境中使用书签。在沙箱环境中，沙箱应用程序通过使得在一个实施例中每个应用程序必须对沙箱应用程序提出请求以获得对特定文件或文件夹的访问的方式来控制对文件的访问。具体地，本发明的实施例在不存在访问此类文件或文件夹是用户的意图的某种指示的情况下，将不允许应用程序访问这一文件或文件夹，以避免恶意代码试图暗中访问敏感系统资源的情况。然而，一旦用户的意图通过文件的选择被指定，在一些实施例中，该选择就能够跨应用程序会话持久存留。
[0007]需注意，由于
【发明内容】
不包括本发明的所有方面的穷举性列表，因此本发明并不限于上述
【发明内容】
所公开的实施例。本发明的其他特征通过以下附图和【具体实施方式】将变得显而易见。此外，预期本发明包括能够从上述各个方面的所有适当的组合中实践得出的所有系统和方法以及以下【具体实施方式】中公开的那些。

【专利附图】

【附图说明】
[0008]在附图的图示中通过举例而非限制的方式例示了本发明的实施例，其中类似的附图标记指示类似的元件。
[0009]图1A示出可包含本文所述的实施例中的一个或多个实施例的数据处理系统的例子;
[0010]图1B为描述根据本发明的一个实施例用于操作受限操作环境中的程序或应用程序的系统的框图；
[0011]图2A为指示根据本发明的一个实施例在一个实施例中用于执行应用程序范围的书签以允许对受限操作环境中文件的持续访问的方法的流程图；
[0012]图2B为描述根据本发明的一个实施例，重新启动的应用程序如何能够通过受限操作环境中的书签或其他标识符进行访问的流程图；
[0013]图3A为描述根据本发明的一个实施例创建用于受限操作环境中的集合范围的书签的方法的流程图；
[0014]图3B为描述根据本发明的一个实施例通过与受限操作环境中的集合范围的书签相关联的项目来允许访问的方法的流程图。

【具体实施方式】
[0015]在以下的描述和附图中，描述了管理针对一个或多个沙箱化应用程序的文件访问的各种实施例。以下的描述和附图是对本发明的例示而不应理解为是以方式进行限制。描述了众多的具体细节以提供对本发明的各种实施例的全面理解。然而，在某些实例中，并未描述熟知的或常规的细节以便提供对本发明的实施例的简明论述。
[0016]在本说明书中对“一个实施例”或“实施例”的引用是指结合该实施例而描述的特定特征、结构或特性可以被包括在本发明的至少一个实施例中。本说明书中多处出现“在一个实施例中”短语，这并不一定表示它们全指的是同一实施例。尽管下文利用某些顺序操作来描述流程，但是应当理解，所描述的某些操作可以不同的顺序来执行。此外，某些操作也可以并行地执行而并非按顺序执行。
[0017]受限操作环境为限制程序执行恶意代码的破坏潜力的一种方式。受限操作环境可包括这样的环境:在该环境中，操作系统将沙箱化机制强加于在该操作系统上执行的应用程序上。这些沙箱机制可包括对应用程序可访问的存储器诸如计算设备的DRAM或其他主存储器的限制，以及对存储在非易失性存储设备诸如硬盘驱动器或诸如固态盘之类的闪存存储设备上的文件的访问的限制。在共同未决的2011年I月14日提交的美国专利申请13/007，472，2010年5月28日提交的美国专利申请12/790，451和2011年I月14日提交的美国专利申请13/007,480中描述了受限操作环境的实例，并且所有这些专利申请据此以引用方式全文并入本文。
[0018]在沙箱化应用程序限制对文件的访问时，其可通过要求经由可信设施的用户意图的表示来进行，例如用户通过可信系统资源诸如由操作系统的可信部件提供的打开文件对话框或面板对文件的选择。从而，在应用程序执行时，用户可通过经由可信系统资源提供的打开对话框、保存的对话框、或其他对话框或面板对文件进行选择来提供必要的信任指示。
[0019]然而，存在某些实例，在这些实例中应用程序寻求对文件或文件夹的访问，但这是在缺少指示文件或文件夹的可信度的用户交互的情况下进行的。例如，邮件应用程序可能希望访问下载文件夹以存储邮件中的下载内容。这可在启动邮件程序时发生，但邮件程序的启动不包括用户对特定下载文件夹的选择。从而，在这种情况下，在邮件应用程序被重新启动之后，该邮件应用程序对文件夹的访问将会被拒绝。应用程序将会在受限环境中被拒绝访问的另一个实例是如果该应用程序使用项目或集合文件，诸如用于“Final Cut Pro”电影编辑软件应用程序的项目文件。项目或集合文件可被视为目录，其包含元数据和指定各种电影和其他内容的路径名称，该二者共同用于提供展示。在项目文件的典型使用中，用户通过使用打开对话框从应用程序内打开项目文件。在这种情况下，由于用户被假定是可信的并且用户选择文件的行为指示了该文件的可信度，因此系统无需验证文件的可信度。然而，应用程序将需要或可能需要访问项目或集合内所涉及到的文件，而且对那些文件的访问将会在受限操作环境中被拒绝，这就需要用户针对特定文件的可信度的指示。
[0020]本文所述方法中的任一方法可在多种不同的数据处理设备上实现，包括但不限于通用计算机系统、专用计算机系统、嵌入式计算机系统等等。例如，可使用本文所述方法中任一方法的数据处理系统可包括台式计算机或膝上型计算机；诸如平板电脑、智能手机或蜂窝电话之类的移动设备；个人数字助理(PDA);或某种其他形式的嵌入式电子设备或消费电子设备。图1A示出可用于本发明的典型的数据处理系统的一个实例。注意，虽然图1A示出了诸如计算机系统之类的数据处理系统的各种组件，但它并不旨在表示使这些组件互连的任何特定构造或方式，因此这些细节与本发明并无密切关系。还应理解，比图1A所示具有更少组件或更多组件的其他类型的数据处理系统也可用于本发明。图1A的数据处理系统可以为购自 Apple Inc.(Cupertino, California)的 Macintosh 计算机。
[0021]如图1A所示，数据处理系统100包括一条或多条总线125，该一条或多条总线用来互联该系统的各种组件。如本领域中所公知的，一个或多个处理器115耦接至一条或多条总线125。存储器120可为DRAM或非易失性RAM，或者可为闪存存储器或其他类型的存储器。该存储器使用本领域所公知的技术耦接至一条或多条总线125。数据处理系统100还可包括非易失性存储器122，该非易失性存储器可为硬盘驱动器或闪存存储器或磁性光驱或磁性存储器或光驱或其他类型的存储器系统，该非易失性存储器即使在将电力从系统中移除之后也能够保持数据。非易失性存储器122和存储器120均使用已知的接口和连接技术耦接至一条或多条总线125。显示控制器130耦接至一条或多条总线125以接收将要显示在显示设备132上的显示数据，该显示设备可显示本文所述的用户界面特征或实施例中的任何一者。显示设备132可包括集成的触摸式输入以提供触摸屏。
[0022]数据处理系统100还可包括一个或多个输入/输出(I/O)控制器140，该一个或多个I/o控制器提供用于一个或多个I/O设备的接口，所述一个或多个I/O设备包括诸如一个或多个鼠标、触摸屏、触摸板、操纵杆和其他输入设备(包括本领域所公知的那些)和输出设备(如扬声器)。如本领域中所公知的，输入/输出设备142通过一个或多个I/O控制器140进行耦接。尽管图1A示出非易失性存储器122和存储器120直接耦接至一条或多条总线而不是通过网络接口，但应当理解数据处理系统可利用诸如网络存储设备之类的远离该系统的非易失性存储器，该网络存储设备通过诸如调制解调器、以太网接口或无线接口(如无线W1-Fi收发器145、无线蜂窝电话收发器或这些收发器的组合)之类的网络接口135耦接至该数据处理系统。
[0023]如本领域中所公知的，一条或多条总线125可包括一个或多个桥接器、控制器或适配器以在各种总线之间进行互连。在一个实施例中，I/O控制器140包括用于控制USB外部设备的USB适配器，并且能够控制以太网端口、或无线收发器或多个无线收发器的组合。从本描述中将显而易见，本发明的方面可至少部分地体现在软件中。即，可响应于数据处理系统的处理器执行一系列指令，在该数据处理系统中实施该技术，该一系列指令被包含在存储器中，诸如存储器120、非易失性存储器122、或可共同体现非暂态机器可读存储介质的这些存储器的组合。在各种实施例中，硬连线电路系统可与软件指令结合使用来实现本发明。因此，所述技术不限于硬件电路系统和软件的任何特定组合或针对由数据处理系统所执行的指令的任何特定来源。
[0024]图1B示出根据本发明实施例的操作环境，该操作环境可包括如图1A所示的数据处理系统。该操作环境使用资源管理器或其他可信访问控制系统161将书签提供给沙箱化的app或应用程序，以允许应用程序即使其已被终止并且重新启动之后也能在受限环境中访问。在一些实施例中，资源管理器161可为操作系统内的访问控制系统，并且该资源管理器161的可执行目标代码可被密码签名或者说验证以验证其可信度。通过资源管理器161来访问存储设备155。在一个实施例中，资源管理器通过文件系统访问存储设备155。应用程序151通过资源管理器161访问文件或文件夹诸如文件159或文件夹157，该文件或文件夹继而通过该文件系统访问存储设备155。存储设备155可为硬盘驱动器、或闪存驱动器或本领域中所公知的其他非易失性存储装置。应用程序151通过沙箱153被沙箱化，使得主存储器中的存储器的使用可由沙箱应用程序进行限制，并且应用程序151通过经由资源管理器161请求访问仅可获得对其程序包或容器之外的文件或文件夹的访问。资源管理器161可在用户执行应用程序并且通过由可信系统软件组件所提供的打开或保存对话框或面板而请求文件时，允许对该文件的访问。例如，如果用户从首选项面板中选择特定的下载文件夹或一些其他文件夹以用于应用程序的某些用途，则应用程序可在其当前执行期间使用所述文件夹。然而，当应用程序被终止或者说退出并且重新启动时，该应用程序在没有用户交互的情况下无法再使用或获得对所述文件夹或文件的访问。
[0025]图2A和图2B中所示的方法提供了如何即使在应用程序终止之后也可允许应用程序或app对先前可信的文件或文件夹的访问的方法的例子。换句话讲，系统通过安全范围的书签或诸如统一资源定位符(URL)之类的其他标识符的使用，可提供对先前可信的文件或文件夹的访问。图2A和图2B中所示的方法涉及应用程序使用应用程序范围的书签来获得对用户先前所选择的文件或文件夹的访问的情况。图2A中所示的方法可始于操作201，在该操作中应用程序在其执行时接收用户对文件或文件夹的选择。然后，在操作203中，应用程序作为响应请求资源管理器创建应用程序范围的书签。该请求可通过对诸如资源管理器111之类的可信资源组件的API调用来执行。该请求可指定文件夹或文件并且还可指定请求应用程序。在操作205中，资源管理器进而检查该应用程序是否有权访问；在一个实施例中，这可通过接收来自应用程序的文件描述符来执行，继而资源管理器比照操作201中由用户所选择的请求文件的文件描述符来检查该文件的描述符。如操作205中所确定的，如果应用程序有权访问，则资源管理器使用对于应用程序而言未知的密钥和应用程序的签名密钥或签名标识的组合来创建组合密钥。在操作209中，资源管理器继而可确定或接收用于请求文件或文件夹的书签，并且组合密钥可与散列函数一起使用以创建加密的位置标识符，该位置标识符为操作209中的书签的散列值或摘要。然后，在操作211中，资源管理器可将书签和该书签的散列值发送至应用程序，继而该应用程序在操作213中对该书签和该书签的散列值进行存储。在一个实施例中，可在应用程序的沙箱内的应用程序包或容器内对书签和该书签的散列值进行编码，从而使其在无需获得资源管理器的允许的情况下能够访问数据。然后，在操作215中，可终止应用程序或可关闭系统。此时，受限操作环境已创建应用程序范围的书签以允许应用程序在无需另外的用户交互来指示文件或文件夹的可信度的情况下对先前选择的文件或文件夹进行访问。
[0026]图2B示出应用程序范围的书签在应用程序被重新启动时的使用，其中该应用程序在操作215中的终止之后再次执行。重新启动发生在操作221中，然后在操作223中，应用程序请求对其沙箱之外的文件或文件夹的访问。例如，邮件程序可请求将下载存储在用户先前选择的下载文件夹中。在操作225中，应用程序可通过API调用资源管理器以获得对文件或文件夹(诸如下载文件夹)的访问，并且该应用程序提供其在操作213中存储的书签和该书签的散列值。在操作227中，资源管理器接收来自该应用程序的书签和该书签的散列值并且使用接收到的书签上的组合密钥通过将URL重新编码为第二带密钥的散列值并将重新创建的散列值与从应用程序接收到的散列值进行比较，来对该书签的散列值进行密码验证。在操作229中，如果比较结果显示它们匹配，则资源管理器对该请求进行验证并且允许对文件或文件夹的访问。如果它们不匹配，则拒绝访问。
[0027]图3A和3B示出根据一个实施例的方法的例子，该方法允许对集合或项目诸如Final Cut Pro电影编辑项目中指定的文件的持续访问。图3A中所示的方法可始于操作301，在该操作中用户使用应用程序来打开集合或项目。在用户使用该应用程序内的打开对话框打开该项目时，如果该打开对话框是由诸如提供所述打开对话框的操作系统软件之类的可信系统资源提供的，则用户的打开提供了针对该项目或集合的可信度的指示。用户继而可在操作303中选择或打开想要添加至该项目的电影。操作305中的应用程序请求资源管理器111创建针对该电影的书签，其中该书签的作用域为该项目，该项目可由该项目的文件路径名称来指定。在一个实施例中，应用程序通过文件名称来指定项目并将该文件名称提供给资源管理器。在操作307中，资源管理器验证应用程序有权访问该项目和所指定电影，并且如果有权访问，则在操作309中，若针对该项目的密钥不存在，资源管理器将创建随机密钥并将该密钥附加到该项目文件。在一个实施例中，尽管密钥被附加到项目文件，但该密钥对于应用程序是隐藏的。在此类实施例中，资源管理器可通过要求文件系统将随机密钥存储在与文件块的其余部分隔离开来的单独块中或通过使用本领域中所公知的其他机制，来限制对文件的包含随机密钥的部分的访问。在操作311中，资源管理器111可使用针对项目文件在操作309中创建的随机密钥来创建针对电影的书签的带密钥的散列值或摘要。然后，在操作313中，资源管理器将针对电影的书签以及带密钥的散列值/摘要返回至应用程序。在一个实施例中，书签可包含带密钥的散列值/摘要。在操作315中，应用程序将书签和带密钥的散列值/摘要存储在项目文件或目录内以备再利用，如将结合图3B所说明的。针对想要包含在项目或集合中的每个电影或其他对象，重复操作303-315。应当理解，该集合或项目可为电影项目或音乐项目或其他应用程序，其中引用的项表示该应用程序所使用的文档库。在操作315之后，应用程序可退出或被终止或可关闭系统。
[0028]图3B中所示的方法示出在图3A中所示的方法中创建的集合范围的书签的使用。在操作321中，重新启动应用程序，然后在操作323中用户打开应用程序内的项目。在一个实施例中，由于系统可依赖于用户对项目的选择来作为项目或其他文件或文档集合的可信度的指示，因此无需检查项目的可信度。然后在操作325中，应用程序将项目所引用的一个或多个书签以及将项目文件路径名称和书签的带密钥的散列值发送至资源管理器111。然后在操作327中，资源管理器可从项目文件中对在操作309中所创建的随机密钥进行检索。然后，资源管理器在操作329中可使用检索到的随机密钥来创建针对通过操作325从应用程序接收到的每个书签的带密钥的散列值。然后资源管理器可将从应用程序接收到的书签的每个带密钥的散列值与每个书签的重新计算后的带密钥的散列值进行比较；如果匹配发生，则提供访问，否则拒绝访问。通过这种方式，可以允许对集合或项目中的引用那些文档集合的用户所选择的文档的持续访问。
[0029]就图3A和3B中所示的方法而言，持续引用是特定于表示文档或文档集的集合或项目的，并且它们不是应用程序的配置的一部分，而是该应用程序可打开的特定文档的一部分。
[0030]另一方面，图2A和2B中所示的方法特定于在应用程序的执行期间接收用户对文件或文件夹的选择的该应用程序。资源管理器或其他可信访问控制系统可验证:书签(可以是URL)未被篡改以及相同的应用程序正试图访问用户所选择的先前访问过的文件。因此，应用程序范围的书签或标识符对特定的应用程序是特定的。
[0031]在前述的说明书中，参照其特定的示例性实施例描述了本发明。显而易见的是，可在不脱离以下权利要求所示的本发明的更广泛的实质和范围的情况下对实施例做出各种修改。因此，说明书和附图应被认为是例证性的而非限制性的。可单独地或以任何组合来使用所述实施例的各方面、实施例、具体实施或特征。
[0032]所述实施例还可体现为非暂态计算机可读介质上的计算机可读代码。非暂态计算机可读介质为可对随后能够由计算机系统读取的数据进行存储的任何数据存储装置，而不是专门针对传输暂时性信号而设计的介质。非暂态计算机可读介质的例子包括软盘、闪存设备、光盘、CD-ROM、和磁性光盘、只读存储器(ROM)、随机存取存储器(RAM)、可擦可编程ROM(EPROM)、电可擦可编程ROM (EEPROM)、磁卡或光卡、或适用于存储电子指令的其他类型的介质。在各种实施例中，存储在机器可读存储介质上的软件指令可与硬连线电路系统结合使用以实现本发明。因此，该技术不限于硬件电路系统和软件指令的任何特定组合或针对由与执行本文所述的一个或多个操作的装置相关联的数据处理系统所执行的指令的任何特定来源。
【权利要求】
1.一种机器实现的方法,包括: 接收用户对文件或文件夹的选择； 响应于所述选择，请求与所述文件或文件夹相关联的位置标识符； 响应于所述请求，接收经密码验证的位置标识符和即使所述文件或文件夹被重命名或在存储设备上被移动也允许检索所述文件或文件夹的标识符；以及存储所述标识符和所述经密码验证的位置标识符。
2.根据权利要求1所述的方法，其中所述标识符为URL，并且所述经密码验证的位置标识符为所述URL的第一带密钥的散列值。
3.根据权利要求2所述的方法，其中对所述位置标识符的请求由资源管理器提供服务，其中所述资源管理器为可信访问控制系统。
4.根据权利要求3所述的方法，其中所述资源管理器为计算机操作系统的组件，并且其中即使所述文件或文件夹在应用程序未执行时被重命名或移动，所述文件或文件夹也可被所述应用程序检索。
5.根据权利要求4所述的方法，还包括: 请求访问所选择的文件或文件夹； 提供所述URL和第一带密钥的散列值；以及 访问所述文件或文件夹，其中即使所述文件或文件夹被重命名或移动，对所述文件或文件夹的访问也是可用的。
6.根据权利要求5所述的方法，其中所述资源管理器通过创建第二带密钥的散列值并且将所述第二带密钥的散列值与所述第一带密钥的散列值进行比较来验证所述位置标识符。
7.一种用于管理对电子计算机系统上的资源的访问的受限操作环境，所述受限操作环境包括: 沙箱，所述沙箱限制对所述资源的访问；以及 资源管理器，所述资源管理器管理所述沙箱中的应用程序对所述资源的访问，其中所述资源管理器， 接收对位置标识符的请求，所述位置标识符用于访问所述资源， 通过确定是否允许对所述资源的访问来检查所述请求，并且发送所述位置标识符和标识符，其中即使所述资源被重命名或移动，所述标识符也允许检索所述沙箱之外的所述资源。
8.根据权利要求7所述的受限操作环境，其中所述沙箱限制对文件或文件夹的访问，其中所述文件或文件夹位于所述沙箱之外。
9.根据权利要求8所述的受限操作环境，其中所述资源管理器为计算机操作系统的经密码验证的组件。
10.根据权利要求9所述的受限操作环境，其中所述标识符为URL，并且所述位置标识符为所述URL的带密钥的散列值。
11.根据权利要求10所述的受限操作环境，其中所述带密钥的散列值被生成并密码验证。
12.根据权利要求7所述的受限操作环境，其中所述沙箱限制对主存储器的访问。
13.一种非暂态机器可读存储介质，所述机器可读存储介质提供指令，所述指令在被处理系统执行时使得所述处理系统执行对受限操作环境中的资源访问进行管理的操作，所述操作包括: 接收对提供与文件或文件夹相关联的位置标识符的第一请求； 验证所述第一请求有权访问所述文件或文件夹； 创建随机密钥并将所述随机密钥附加到所述文件或文件夹； 使用所述随机密钥创建第一带密钥的散列值；以及 返回包括URL和所述第一带密钥的散列值的与所述文件或文件夹相关联的所述位置标识符。
14.根据权利要求13所述的机器可读存储介质，还包括: 接收对所述文件或文件夹进行访问的第二请求，所述第二请求包括所述URL和所述第一带密钥的散列值； 从所述文件或文件夹中检索所述随机密钥； 使用所述随机密钥创建第二带密钥的散列值；以及 将所述第二带密 钥的散列值与所述第一带密钥的散列值进行比较。
15.根据权利要求14所述的机器可读存储介质，其中对所述文件或文件夹具有访问权限的应用程序无法访问所述随机密钥。
16.根据权利要求15所述的机器可读存储介质，其中所述URL和第一散列密钥提供对用户所选择的文档的集合的访问。
17.根据权利要求15所述的机器可读存储介质，其中所述URL和第一散列密钥对特定的应用程序是特定的。
18.根据权利要求15所述的机器可读存储介质，其中所述URL包括第一散列密钥。
19.根据权利要求15所述的机器可读存储介质，其中所述URL和第一散列密钥提供跨应用程序会话的一致的访问。
20.根据权利要求19所述的机器可读存储介质，其中所述URL和第一散列密钥提供跨系统电力周期的一致的访问。
21.一种非暂态机器可读存储介质，所述机器可读存储介质提供当被执行时使得数据处理系统执行如权利要求1中所述的方法的指令。
【文档编号】G06F17/30GK104054086SQ201380005743
【公开日】2014年9月17日 申请日期:2013年1月14日 优先权日:2012年1月17日
【发明者】I·科尔斯蒂克, L·H·阿斯特兰德 申请人:苹果公司