保护变化的场景的方法、对应的装置、信号和计算机程序,更新变化的场景的方法、对应的装置和计算机程序

摘要

本发明涉及一种用于保护由至少一个元素组成且既定在终端上再现的变化的场景的方法，其特征在于所述方法包含以下步骤：创建(10)至少一个保护规则，从而定义用于修改所述场景和/或所述场景的至少一个元素的至少一个授权，和/或用于在在所述终端上再现所述场景的情境中执行至少一个命令的一个授权；向所述场景和/或向所述场景的所述元素中的至少一者指派(10)安全策略，包含所述保护规则中的至少一者。

说明书

技术领域

本发明的领域是在终端上再现变化的场景。

此终端例如是桌面计算机、便携式计算机、无线电话型终端、PDA(“个人数字助理”)等。

更确切地说，本发明涉及尤其当此类场景易被多个源修改时保护此类场景。

本发明尤其(但并不是非限制性地)适用于多媒体内容。

明确地说，将多媒体内容理解为由至少一个动画图形场景组成的集合，或至少能够随时间变化，其也称为多媒体场景或变化的场景，且一系列命令使此场景能够变化。

明确地说，变化的场景对应于终端的用户可与其交互的时间和空间上的图形对象的集合的布置。

本发明尤其适用于例如MPEG-4/LASeR(“轻量级应用场景表示”)、MPEG-4/BIFS(“二进制格式场景”)、SVG(“可缩放向量图形”)、SMIL(“同步多媒体集成语言”)、XHTML(“可扩展超文本标示语言”)等已知的图形场景描述格式。

背景技术

变化的场景可以场景树的形式表示，所述场景树的节点对应于场景元素。

示范性图形场景更新系统描述于由法国电信和TDF申请的第FR 2765983号法国专利中。

时常，单一源能够修改此场景且因此修改对应的场景树。

然而，明确地说，在移动服务的情况下，场景树可通过将连续递增场景施加到原始场景而逐渐建构，递增场景是现有场景的修改的集合。在此情况下，若干源可产生用于修改场景树的指令。

具有更新命令且实现此递增场景定义的“Rich Media”格式当前为：“MPEG-4BIFS”、“MPEG-4LASeR”、“第3代合作伙伴计划”组织的“DIMS”(“动态且交互式多媒体场景”)和“开放式移动联盟”组织的“RME”(“富媒体环境”)。

在若干源能够修改场景树的情况下，出现关于将准予这多个源以提供由于各个源的贡献的聚合而产生的场景的置信度的问题。

事实上，存在对于一个场景可能的多种类型的修改或更新，例如：

服务器发送将在给定时刻执行的更新命令；

更新命令由服务器发送、存储在场景再现终端中，且因而其执行由终端的用户的动作起始；

服务器发送数据，所述数据在再现终端中处理之后导致应用更新命令；

在再现终端上运行的程序应用更新命令。

在大多数情况下，更新由服务器发起，即使其可由终端的动作起始，或由终端上的程序建构(但从自服务器导出的数据)。

当对应的场景树不是由负责设计服务的实体而是由多个源实施时保护对对应的场景树的这些更新和存取是重要的。

在“SVG”格式中，开发出一解决方案，用于利用称为“动画”的元素规避此保护变化的场景的问题。此元素使得第二场景能够被加载、由始发场景控制且不允许第二场景与第一场景交互。

现有技术的此技术的一个缺点是，其不能解决保护能够由若干源修改的变化的场景的问题，而是通过产生不能对第一场景起作用的第二场景而避免所述问题。

“MPEG-4BIFS”格式同样提出一种使得能够通过实施称为“联机(Inline)”的元素而避免保护问题的解决方案。

“SecurityManager”的概念同样存在于Java小应用程序的领域中。此概念包含对程序可调用的动作的一组限制。

现有技术的此解决方案的一个缺点在于“SecurityManager”的静态概念，其本质上为java类，且因此不能实现例如指定可在哪些位置授权动作或可应谁的请求而授权动作。

发明内容

明确地说，本发明的目的是减轻现有技术的这些缺点。

更确切地说，根据至少一个实施例，本发明的一个目的是实现能够由多个源修改的变化的场景的保护。

明确地说，本发明的目的是提供在变化的场景的完整性方面以及变化的场景的可能的受保护修改的多样性方面具有改进的性能的技术。

根据至少一个实施例，本发明的另一目的是提供确保与现有变化的场景和现有场景再现终端的兼容性的技术。

本发明的另一目的是提供在变化的场景中的保护数据和受保护区域的定义方面尽可能灵活的技术。

本发明以一种用于保护由至少一个元素组成且既定在终端上再现的变化的场景的方法的形式提出一种不具有现有技术的所有这些缺点的新颖的解决方案。

根据本发明，此方法包含以下步骤：

创建至少一个保护规则，从而定义用于修改所述场景和/或所述场景的至少一个元素的至少一个授权，和/或用于在在所述终端上再现所述场景的情境中执行至少一个命令的一个授权；

向所述场景和/或向所述场景的所述元素中的至少一者指派安全策略，包含所述保护规则中的至少一者。

以此方式，本发明是基于一种通过向场景的一个或一个以上元素或向整个场景指派安全策略而保护变化的场景的新颖且独创的方法，所述安全策略定义与此或这些元素或与整个场景相关联的修改授权以及用以在在所述终端上再现所述场景的情境中执行一个或一个以上命令的授权。

此安全策略由保护规则定义，所述保护规则每一者对应于至少一个修改或命令执行授权。

举例来说，保护规则可指定在元素上授权一类型的动作(插入、替换、擦除、命令的执行、保护规则的修改...)，或另一方面，不在元素上授权动作，或仅授权修改动作。

因此，本发明使得能够通过向场景的一些或所有元素指派用于修改或用于执行命令的授权而保护所述场景中的变化，其因而使得能够例如在场景的更新的接收期间基于先前指派到场景的元素的授权而使所述更新生效或不使所述更新生效。

根据本发明的一个实施例，安全策略是在与所述变化的场景的描述文件或流分离的单独文件或流中定义。

因此，根据本发明的方法使得能够在不修改场景描述文件或流的情况下定义与场景或场景的元素相关联的安全策略。举例来说，已创建的场景或甚至已再现且在使用中的场景可从根据本发明的保护受益。

以此方式，根据本发明的此实施例的保护方法确保与已创建的场景的兼容性。

另外，根据本发明的此实施例的方法同样使得能够确保与现有档案再现器的兼容性，所述现有档案再现器将不能使用安全策略且不能实施场景保护。事实上，由于场景描述文件未经修改，所以不适于管理安全策略的档案再现器可处理变化的场景且将其再现为不从任何安全策略受益的“常规”场景。

根据本发明的另一实施例，在所述变化的场景的描述文件或流中定义安全策略。

以此方式，根据本发明的此实施例的方法使得能够直接在场景描述文件或流中定义与场景或场景的元素相关联的安全策略，以便促进这些安全策略的处理。事实上，保护规则可在读取和处理场景描述树后即刻直接存取。另外，此替代方法实现使用与用于场景元素的机制相同的机制进行保护数据的更新。

根据本发明的一个特定方面，保护方法包含以下步骤：

获得能够修改所述场景和/或能够修改所述场景的再现情境的至少一个源的识别信息的至少一个项目；

在所述安全策略中使识别信息的所述至少一个项目与所述安全策略的至少一个保护规则相关联。

以此方式，根据本发明的此实施例的方法使得能够向能够处于场景的更新的起源处或能够在场景的再现情境中执行命令的一个或一个以上源指派对应于指派到场景的元素的授权的权利。

更新源可为服务器，例如发射场景的更新的服务器。

源可同样对应于通信信道，其能够具有一服务器或多个服务器作为数据“提供者”。举例来说，源可对应于在再现变化的场景的情境中建立的“http”型连接，其在场景的再现终端与充当交换节点或交换器的远程服务器之间，用于来自多个其它服务器的数据。以此方式，根据本发明的方法使得能够定义与预定义连接或与通信信道相关联且不与使用所述连接或信道的数据提供者相关联的权利。

举例来说，更新源可具有修改场景元素的类型的权利，而不管所述修改如何，或另外可具有对所有场景元素实行预定义类型的动作的权利。

以此方式，可例如在针对场景的所请求的更新期间结合对发布更新的源的权利的校验而应用指派到场景的一个或一个以上元素的安全策略。

以此方式，对场景中的变化的保护得以增强和多样化。

安全策略可因此以对(识别信息，保护规则)的列表的形式表示。

明确地说，变化的场景的元素组织于使至少一个母元素与至少一个子元素相关联的树结构中，且指派到所述母元素的安全策略同样默认应用于所述至少一个子元素。

因此，不具有其自身的安全策略的元素默认从指派到其母元素的安全策略受益。这使得有可能在场景中不具有任何未受保护元素。

根据本发明的一特定方面，保护方法包含定义由所述场景的共享单一安全策略的元素组成的至少一个群组的步骤。

以此方式，有可能向场景的元素的一个(或一个以上)集合或群组指派安全策略。以此方式，安全策略可指派到场景中的各种精确度水平：元素、元素的群组或整个场景。

根据本发明的一个特定特性，所述修改属于至少包含以下各项的群组：

将元素插入到所述场景中；

修改所述场景中的元素；

从所述场景删除元素；

修改所述场景中的属性；

从所述场景删除属性；

修改所述场景中的安全策略。

明确地说，这因此实现影响场景的元素或待保护的场景的属性的修改，以及影响指派到元素、元素的群组或整个场景的安全策略的修改。

举例来说，所述保护规则包含属于至少包含以下各项的群组的信息的至少一个项目：

应用对所述场景的一个元素的修改的限制；

应用对所述场景的元素的群组的修改的限制；

应用对预定义类型的所述场景的所有元素的修改的限制；

应用对所述场景的一类型的属性的修改的限制；

应用基于至少一个预定准则的修改的限制；

在所述场景的给定情境中执行一命令或命令的群组的限制。

因此，明确地说，保护规则可指定修改或经授权动作的类型、动作经授权的场景的位置(元素、元素的群组、一类型的元素...)、动作经授权所基于的属性的类型。

举例来说，保护规则可定义如下：

针对应用保持永久活动的权利；

在终端的图形接口内显示图标/动态信息/...的权利；

收听键盘键以便从活动/不活动模式改变的权利；

将元素添加到菜单以便从活动/不活动模式改变的权利；

在不活动性的情况下控制屏幕的权利；

添加叠加于应用上的消息的权利；

添加用户接口元素的权利；

基于元素的状态(活动/不活动)修改所述元素的权利；

在同一类型的其它元素尚未存在于场景中的情况下添加一元素的权利；

...

根据本发明的一个特定方面，所述识别信息属于至少包含以下各项的群组：

识别符；

IP地址；

用于对所述源发射的内容进行签名的证书。

以此方式，有可能基于所需安全性水平实施各种水平的源识别。简单的识别符或IP地址不能确保非常高的安全性水平，因为其可被源修改以便对应于经授权源。另一方面，证书的使用使得能够通过更可靠地识别期望修改场景的源而保证某一安全性水平。

本发明同样涉及一种更新由上述保护方法创建的变化的场景的方法，所述场景由至少一个元素组成且既定在终端上再现。

根据本发明，此方法包含以下步骤：

接收由源和/或数据发射信道发起的针对所述变化的场景的元素、所述变化的场景的元素的群组或所述整个变化的场景的更新请求，和/或在再现所述变化的场景的情境中执行命令的请求；

基于指派到所述元素或指派到所述群组或所述场景的安全策略接受或拒绝所述更新请求和/或执行命令的请求。

根据本发明的一个特定特性，更新方法包含识别所述源、发布识别信息的项目的步骤，且所述接受步骤考虑与识别信息的所述项目相关联的安全策略。

因此有可能通过考虑关于正更新的场景的预定义的安全策略并考虑处于更新的起源处的源的识别而校验针对场景接收的更新的有效性。

举例来说，如果已发射更新的服务器未在关于场景定义的安全策略的对(识别信息，保护规则)的列表中识别，那么拒绝所述更新。

如果服务器是已知的，那么所述方法实施额外步骤以便使更新生效或不使更新生效。

根据本发明的一个特定特性，识别信息的所述项目是借助对所述更新和/或所述命令的存取而提供。

此方法因此使得能够使用对更新的存取(读取文件、打开连接...)的手段以便识别源和与其相关联的权利。举例来说，如果经由http连接发射更新，那么存取手段直接提供源识别。

根据本发明的另一特定特性，识别信息的所述项目存在于所述更新和/或所述命令中。

以此方式，如果对更新的存取手段不提供关于处于更新的起源处的源的任何识别信息，例如在打开并读取文件的情况下，那么根据本发明的方法搜索例如呈签名或代码的形式的更新本身中的识别信息。

明确地说，所述接受或拒绝步骤包含以下子步骤：

解码所述更新和/或所述命令；

识别与所述元素或与所述元素群组或与所述更新所涉及的所述场景相关联的安全策略；

在所述经识别的安全策略中，校验所述识别项目和对应于所述经解码更新和/或所述命令的至少一个保护规则的关联的存在，借此在所述校验为肯定的情况下发布接受所述更新和/或所述命令的决策。

因此有可能保证由所识别的服务器请求的更新实际上经授权。

在第一阶段中，所述方法对更新进行解码以便确定(明确地说)其应用于场景的哪一部分(整个场景、元素的群组、元素...)，以及涉及什么类型的更新(修改、命令的执行...)。

接下来，所述方法从此信息中，且尤其从指示更新应用于场景的哪一部分的信息中，识别与场景的所讨论部分相关联的安全策略。

最后，所述方法校验所述类型的更新确实由原始信息所识别的源关于场景的所识别部分经授权。

如果情况如此，那么使更新生效，如果否，那么拒绝所述更新。

本发明同样涉及表示由至少一个元素组成且既定在终端上再现的变化的场景的信号，其包含至少一个保护字段，所述保护字段包含表示安全策略的信息的至少一个项目，所述安全策略包含定义至少一个授权以修改所述元素和/或所述场景的至少一个保护规则，以便基于所述策略在终端中启用或禁止源所请求的修改。

本发明进一步涉及一种用于保护由至少一个元素组成且既定在终端上再现的变化的场景的装置。

根据本发明，此所述装置包含：

创建至少一个保护规则从而定义用以修改所述场景和/或所述场景的至少一个元素的至少一个授权和/或用以在在所述终端上再现所述场景的情境中执行至少一个命令的授权的构件；

向所述场景和/或向所述场景的所述元素中的至少一者指派安全策略的构件，所述安全策略包含所述保护规则中的至少一者。

此保护装置尤其能够实施如上文描述的保护方法的步骤。

此装置例如为用于创建变化的场景的计算机或服务器。

本发明还涉及一种用于更新变化的场景的装置，所述场景由至少一个元素组成且既定在终端上再现。

根据本发明，此装置包含：

接收由源和/或数据发射信道发起的针对所述变化的场景的元素、所述变化的场景的元素的群组或所述整个变化的场景的更新请求和/或在再现所述变化的场景的情境中执行命令的请求的构件；

基于指派到所述元素或指派到所述群组或所述场景的安全策略而接受或拒绝所述更新请求和/或执行命令的请求的构件。

此更新装置尤其能够实施如上文描述的更新方法的步骤。

此装置例如为用于再现变化的场景的终端。

本发明进一步涉及一种计算机程序，其可从通信网络下载且/或记录在计算机可读媒体上且/或可由处理器执行，所述计算机程序包含程序代码指令，所述程序代码指令用于当所述程序在计算机上运行时实施如上文描述的保护方法。

最后，本发明同样涉及一种计算机程序，其可从通信网络下载且/或记录在计算机可读媒体上且/或可由处理器执行，所述计算机程序包含程序代码指令，所述程序代码指令用于当所述程序在计算机上运行时实施如上文描述的更新方法。

附图说明

在阅读仅出于说明性而非限制性目的给定的特定实施例的以下描述后且从附图中将更清楚地了解本发明的其它特性和优点，附图中：

图1展示根据本发明的一特定实施例的保护方法的主要步骤；

图2展示针对根据图1所示的方法创建的场景的更新方法的主要步骤；

图3展示根据本发明的一特定实施例的保护和更新方法的主要步骤；

图4a和4b展示根据现有技术以及根据本发明的一特定实施例的场景树的示范性修改。

具体实施方式

本发明的一般原理是基于向变化的场景或向其元素中的一者或一者以上指派安全策略，借此使得能够基于能够修改场景的源而针对场景或针对其元素中的一者指定修改授权。

本发明的方法因此使得能够尤其在场景由一个或一个以上源更新时保护所述场景中的变化。

场景的保护可根据以下各项发生：

某些源具有修改场景的权利，而其它源不具有所述权利；

场景的某些区域可被修改，而其它区域不可被修改；

对场景的某些元素授权某些操作，而其它则不；

...

这些实例对应于针对场景或场景的集合定义的授权。这些授权可同样经组合以用于更精细且准确的保护。

举例来说，源可经授权以将一类型的修改应用于场景的元素的群组。

这些原理在下文结合展示本发明的实施例的各图而更详细描述。

现将结合图1呈现根据本发明的一个实施例的保护方法的主要步骤。

考虑待保护的变化的场景，其包含多个元素，其中一些元素能够合并为群组。

需要当场景正再现于终端上时保护此场景，以便在在终端上再现场景的情境中不启用未经授权的更新或未经授权的动作，且借此在再现及其变化期间确保场景的完整性。

在第一步骤10期间，结合场景创建一个或一个以上保护规则。

这些保护规则使得能够定义一个或一个以上修改授权，所述修改授权因而可适用于场景、适用于场景的元素或另外适用于场景的元素的群组。

这些保护规则同样使得能够在在终端上再现场景的情境中定义用以执行命令的一个或一个以上授权。举例来说，某些更新不修改场景，而是仅通过将图标添加到例如终端的图形接口或通过修改用于再现场景的终端的键盘的某些键的处理而修改场景的再现情境。

一旦这些保护规则已经定义，所述方法的第二步骤11就包含以安全策略的形式将其指派到场景的元素(逐元素地、或通过元素的群组或针对整个场景)。

以此方式，场景的每一元素与安全策略相关联，从而保证其控制其可能经历的更新。

安全策略可依据所述策略所指派到的元素的安全性水平而包含一个或一个以上安全规则。

举例来说，一般安全策略可指派到场景，借此针对所有可能更新以及所有可能命令指令对场景创建服务器授权。以此方式，创建原始场景的服务器具有对场景以及对其所有元素的所有权利。

接下来，安全策略可单独指派到场景的每一元素，以便指定在每一元素上授权的动作，以及经授权以实行这些动作的源。

根据各种替代性实施例，安全策略可直接在变化的场景的描述文件中或在单独文件中定义(这两种替代方法在下文结合图4a和4b更详细描述)。

结合图3且明确地说步骤30更详细描述根据本发明的保护方法的额外步骤，步骤30实现定义能够在再现变化的场景期间修改所述变化的场景的多个源的识别信息。

现将描述更新变化的场景的方法的主要步骤，其包含(明确地说)指派到场景的一个或一个以上元素的一个或一个以上安全策略，如上所述。

认为变化的场景正在终端上再现，且源期望更新所述变化的场景。

第一步骤20包含接收对场景或场景的元素或元素群组的更新请求，或者在再现场景的情境中执行命令的请求。

举例来说，此请求由希望在精确位置处将元素添加到场景的服务器发布，其对应于将子元素添加到场景树中已存在的元素。

否则，此请求由期望将应用程序安装于再现场景的情境内且明确地说将用于此应用程序的图标添加到终端上可用应用程序的列表的服务器发布。

一旦已接收所述请求，其就在步骤21期间基于更新目标，基于指派到场景或指派到场景的元素或元素群组的一个或一个以上安全策略而被接受或拒绝。

以此方式，在接受更新或执行命令的请求之前，校验此更新是否经授权，即发送源是否经授权以修改场景以及更新的目标(元素或元素的群组或整个场景)是否授权所讨论的更新。

此接受或拒绝步骤包含若干子步骤，其结合图3更详细描述，且其明确地说使得能够识别源并校验所述源是否属于经授权以对场景或场景的再现情境起作用的源。

现将根据本发明的一个实施例结合图3呈现保护变化的场景的方法和更新此场景的方法的主要步骤。

与先前一样，考虑待保护的变化的场景，其包含多个元素，其中一些元素能够合并为元素群组。

保护方法的前两个步骤10和11与上文结合图1描述的那些步骤相同。

下一步骤30包含识别能够修改所讨论的变化的场景的多个源。

在这些源中，举例来说，一个或一个以上服务器可通过IP地址或用于对服务器发射的内容进行签名的证书来识别。

同样可识别通信信道或连接，其由多个源使用以发射变化的场景的更新。

此步骤30发布识别信息的一个或一个以上项目，其在步骤31期间接着与指派到场景的元素或元素群组的安全策略中的一个或一个以上保护规则相关联。

安全策略因此对应于对(保护规则，识别信息)的列表。

举例来说，指派到元素的安全策略可指定仅两个经识别的源S1和S2经授权以修改此元素，但未经授权破坏所述元素。

否则，指派到元素的安全元素可指定源S1经授权以修改并破坏所述元素，源S2经授权以在某些条件下(例如，只有当所述元素不具有子元素时)修改所述元素，但不破坏所述元素，且源S3没有权利修改所述元素。

因此被保护的变化的场景接着在步骤32期间再现于终端上。

在此再现期间，变化的场景由多个源更新，其遵循终端的用户的动作或由源自身(例如，服务器)主动进行。

在此实施例中，认为源S请求更新变化的场景。

在上文已描述的步骤20期间，更新请求由再现终端接收。

下一步骤33包含在更新的起源处识别源S，以便在第一阶段中校验此源S经授权以更新场景。

此识别源S的步骤发布识别信息I_S的项目。

此识别信息可(明确地说)基于存取的类型或对更新的存取手段而以各种方式获得。

事实上，当终端接收更新时，其被通知对此更新的存取手段。举例来说，所述更新可通过读取文件或通过打开例如“http”型的连接或通过存取终端上的特定本地地址而存取。

对于这些各种存取手段中的一些，直接提供源的识别：例如，在打开“http”连接的情况下，指定“http”连接地址，借此识别所述源。

然而，举例来说，在对更新的存取手段对应于文件的读取的情况下，识别信息并非直接可用且必须从文件本身恢复。在此情况下，识别信息例如以代码或签名的形式存在于更新的内容中。

一旦已获得此识别信息I_S，就实施接受或拒绝步骤21。

此步骤包含(明确地说)主要子步骤34、35和36。

预先，如果识别信息I_S不存在于指派到场景的安全策略(指派到整个场景的策略，和指派到场景的元素或元素群组的策略)的任一者中，那么立即拒绝更新，因为源未经授权以更新所述场景，而不管更新和此更新的目标如何。

如果信息I_S存在于指派到场景的安全策略中的至少一者中，那么实施以下子步骤。

子步骤34包含对更新进行解码(明确地说)以便确定其适用于场景的哪一部分：整个场景、元素的群组、元素...。

此解码步骤同样使得有可能知晓经实施用于执行更新的动作(元素的插入、元素的删除等)。

在此实例中，认为更新适用于元素的群组G，且其包含将子元素添加到群组G的元素中的每一者。

从对更新的此解码中，在步骤35期间通过读取场景的描述文件(上文描述的第一替代方法)或通过读取用于定义场景的安全策略的单独文件(上文描述的第二替代方法)而识别与此元素群组G相关联的安全策略P。

下一步骤36校验识别信息I_S是否与更新所适用于的元素群组G的安全策略P中的保护规则相关联。

举例来说，如果群组G的安全策略指定(尤其)源S(由I_S识别)经授权以修改群组但不删除所述群组，那么接受更新。另一方面，如果群组G的安全策略指定源S未经授权以修改群组，而是仅修改(例如)群组的一元素，那么拒绝更新。

现将分别根据现有技术且根据本发明的一实施例结合图4a和4b呈现更新所适用于的场景树。

根据现有技术，更新应用于未受保护的元素E，即不校验更新源的起源，且不应用用于授权场景中的修改的任何规则。

不管更新的类型和更新的目标如何，均实施更新的目标，风险是处于更新的起源处的源不是经认可的源且更新将使场景降级。

根据本发明的实施例，同一更新与关于更新所既定针对的源和元素E的识别信息相关联，与如上定义的安全策略相关联，借此使得有可能校验由经识别的源发起的更新是否关于元素E经授权。

根据此实施例的第一替代形式，与元素E相关联的安全策略描述于场景的描述文件中。因此有可能在与场景相关联的场景树中表示对应于此安全策略的数据。

另外，此安全策略数据可以与对应于场景树的元素的其它数据相同的方式来处理，且可因此例如是根据与场景的其它元素相同的更新机制的更新的主体。

安全策略数据因此可直接存取以在读取场景树后即刻处理。

根据第二替代形式(图4b中未展示)，与元素E相关联的安全策略描述于与场景的描述文件分离的文件中。

因此，场景描述文件的格式相同，不管是否将保护策略指派到场景。

举例来说，在预先存在的场景的情况下，没有必要修改场景的描述文件以便实施根据本发明的此替代形式的保护方法。

这因此使得有可能确保与希望将根据本发明的保护方法应用于的已创建的场景的兼容性。

这同样使得有可能确保与将不具有实施本发明的保护方法的能力的场景再现终端的兼容性。由于场景树尚未经修改，所以此终端可始终再现场景，而不实施保护。

第一示范性实施例的描述

现将在保护终端的图形接口的框架中呈现本发明的第一示范性实施方案。

在此情况下，“Rich Media”型的终端的档案再现器负责终端的整个接口。

桌面、图标、菜单和所有接口元素是以档案再现器所理解的“Rich Media”格式描述的元素。

接口元素的所有描述有助于显示桌面或终端的基本页的单一独特的变化的场景。

假设终端的制造商是拥有所有原始权利的实体，且此制造商接着根据本发明的保护方法向为终端提供应用程序的某些合伙公司准予有限权利。

在接口元素中，一些由终端的制造商创建，且其它由合伙公司提供。

向每一应用程序准予最小权利，其包含能够：

作用于接口以便创建所述应用程序的接入图标；

超驰档案再现器以便当激活图标时控制屏幕内容；

当用户退出应用程序时将屏幕的控制传回到档案再现器。

另外，对于应用程序来说，根据本发明的保护方法使得能够更精确地定义权利，例如：

保持永久活动，以及在终端的图形接口内显示状态图标或例如股票交易信息横幅等动态信息的权利；

收听键盘的特定键以便从活动/不活动模式改变的权利；

将元素添加到菜单以便从活动/不活动模式改变的权利；

在不活动性的情况下控制屏幕的权利(屏幕保护程序)；

...

这些权利对应于针对终端的图形接口的保护规则。

接下来，将应用程序提供者识别为能够为终端提供应用程序且因此能够修改终端的图形接口。

与经识别的提供者相关联的这些保护规则包括与终端的图形接口相关联的各种安全策略。

接下来，在终端的使用以及对应于终端的图形接口的场景的再现期间，根据本发明的更新方法使得有可能检测未经授权的应用程序和经授权的应用程序，借此确保终端的图形接口的完整性。

第二示范性实施例的描述

此实例处理移动终端上的电视节目的消耗。

默认考虑具有全屏视频和音频对象的基本场景。各种接口元素使得有可能实行当前操作，例如改变信道或增加音频音量。

在TV应用程序内，用户可同样请求存取节目向导，其包含向场景添加图形对象和描述接下来的时间的节目的文本，其中交互性使得能够在向导中浏览并显示向导的其它部分。

因此经修改的场景因而比基本场景更复杂，且在每一用户动作后即刻变化。

假设移动TV应用程序的提供者还负责节目向导，且因此所有前述元素由拥有所述场景的同一源提供。保护场景的问题因而不是绝对必要的，修改的唯一源经识别并授权作为应用程序的提供者。

然而，当再现场景时，除节目向导的咨询之外的其它类型的事件可发生，例如与节目信道有关的交互(例如，投票)。

在此情况下，消息必须呈现为叠加于节目上，且接着是用于投票的接口元素(例如，按钮)，且接着视需要为确认投票的消息。

接下来，所有为投票添加的元素必须消失。

这些修改是从除移动TV应用程序提供者之外的源导出且因此必须受保护。

为了实现此目的，且为了启用此交互，根据本发明的保护方法定义以下授权：

针对与节目信道有关的交互的源的授权以将元素添加到给定元素群组A(以便创建投票接口元素，即按钮和消息)；

针对与节目信道有关的交互的源的授权以对A中存在的元素执行任何动作(以便最后删除投票接口元素)；

用以俘获并处理键盘/触摸屏事件的子集的授权(以便计算用户的投票)；

禁止将在投票的限制外修改移动TV应用程序的操作的任何其它操作。

一旦已定义这些保护规则，保护方法就将其与对应于将数据提供到节目信道的源的经授权源的识别符相关联，以便定义针对场景的安全策略。

接下来，在用户与正再现的场景交互的时刻，根据本发明的更新方法应用这些安全策略以便基于源(TV信道)和预定义授权而授权或不授权对场景的动作。

另一类型的事件可在移动TV应用程序的框架中发生：优先权事件，例如“外展警报”，即来自权力机构的警报，且其必须替换所显示的内容且接着允许广播在未修改的情况下重新开始。

待定义的权利大体上等效于先前在投票的情况下定义的权利，只是分组元素A必须强制可见且经布置使得其子元素在场景的整个剩余部分之前显示。

第三示范性实施例的描述

考虑包括两个群组的变化的场景：

群组1为既定接收场景的主服务器(服务器P)发送的元素的群组，且不具有任何相关联的安全策略(这意味着仅目标更新元素的原始服务器P有权修改所述元素)；

群组2既定接收来自特定外部源(服务器E)的元素，且向其指派安全策略，所述安全策略由根据本发明的保护方法定义，借此授权来自服务器E的所有动作；

群组3既定接收来自特定外部源(服务器X)的元素，且向其指派安全策略，所述安全策略由根据本发明的保护方法定义，借此授权来自服务器X的所有动作。

在场景的再现期间，场景接收用于将元素插入到群组1中的第一命令。

在第一阶段中，根据本发明的更新方法确定所述命令的起源为服务器S。其校验此服务器S形成与场景相关联的安全策略中的至少一者的一部分。

通过解码所述命令，所述方法接下来确定插入的目标为群组1(不具有安全策略)。

更新方法因此根据安全约束确定所述命令是合法的，并执行所述命令。

场景接下来从除服务器S以外的服务器X接收用于插入到群组1中的第二命令。

在已确定命令的起源为服务器X且此服务器形成场景的安全策略中的一者的一部分之后，根据本发明的更新方法确定此服务器未经授权以用任何方式对群组1(命令的目标)起作用。

此命令不合法且因此被忽略。

场景接收来自服务器E的用于插入到群组2中的第三命令。

根据本发明的更新方法例如通过使用命令签名机制确定命令的起源为服务器E，所述命令签名机制使得能够校验命令的起源以及传送期间没有修改。

所述方法校验此服务器E形成场景的安全策略中的至少一者的一部分，且接着对命令进行解码以便确定插入的目标为群组2(其具有授权来自服务器E的命令的安全策略)。

所述命令因此合法且被执行。

场景接收来自服务器Y的用于插入到群组2中的第四命令。

根据本发明的更新方法确定命令的起源为服务器Y。

所述方法确定此服务器Y不形成场景的任何安全策略的一部分，且因此忽略所述命令，甚至不对其进行解码。